阿摩線上測驗
15. 資訊資產管理中要求對每項資產指定一位「資產擁有者」,該人員指的是下列何項?
(A) 實際使用該資產的人或部門
(B) 對資產提供技術支援的人或部門
(C) 決定是否採購資產的人或部門
(D) 對資產負有管理責任的人或部門
答案:登入後查看
統計: A(11), B(0), C(2), D(56), E(0) #3671701
統計: A(11), B(0), C(2), D(56), E(0) #3671701
詳解 (共 1 筆)
hiiii
#7064695
正確答案是 ✅ (D) 對資產負有管理責任的人或部門。
?題意解析:
題目考查的是 資訊資產管理(Asset Management) 中「資產擁有者(Asset Owner)」的定義與責任。
此概念出自 ISO/IEC 27001:Annex A.5.9 及 ISO/IEC 27002:2022 A.5.9 / CNS 27002:2023。
?標準原文摘要:
Each information asset shall have an owner assigned.
資產擁有者應負責確保該資產的適當保護,包括:
確定資產分類等級
授權存取權限
確保控制措施適當執行
因此:
「資產擁有者」指的是 對該資產之保護、使用及維護負最終責任 的人或單位,
而非實際操作或提供技術支援者。
⚖️選項分析:
| 選項 | 說明 | 判定 |
|---|---|---|
| (A) 實際使用資產的人 | 為「使用者(user)」而非擁有者 | ✗ |
| (B) 提供技術支援的人 | 為「保管人(custodian)」或 IT 支援單位 | ✗ |
| (C) 決定是否採購的人 | 為「採購主管」或「決策者」,非管理責任人 | ✗ |
| (D) 對資產負有管理責任的人 | 即「asset owner」,負責資產保護與授權 | ✅ |
?補充記憶:
資訊資產角色分工(CISSP / ISO常見對照):
| 角色 | 中文名稱 | 主要責任 |
|---|---|---|
| Owner | 資產擁有者 | 決定保護等級、授權、確保控制措施到位 |
| Custodian | 資產保管者 | 實作與維護安全措施(如IT部門) |
| User | 使用者 | 依授權範圍正確使用資產 |
✅ 正確答案: (D) 對資產負有管理責任的人或部門
1
0