阿摩線上測驗
16. 在資訊資產盤點中,若發現某些資產因技術更新而變得不再具備相同的商業價值,最適合的後續處理方式為下列何項?
(A) 按重新對資產進行分類並降級,但保留原始存取控制
(B) 徹底移除該資產的分類與保護,轉交給資產報廢小組
(C) 根據風險評估,繼續保留該資產的現有分類與保護
(D) 降低資產保護等級,但仍需定期進行風險評估與監控
答案:登入後查看
統計: A(11), B(5), C(7), D(76), E(0) #3671702
統計: A(11), B(5), C(7), D(76), E(0) #3671702
詳解 (共 1 筆)
hiiii
#7064701
正確答案是 ✅ (D) 降低資產保護等級,但仍需定期進行風險評估與監控。
?題意解析:
題目描述的情境是:
在資訊資產盤點過程中,發現資產因技術更新而商業價值下降。
這屬於 「資產生命周期管理(asset lifecycle management)」 中的「分類調整與風險再評估」階段。
?相關標準依據:
根據 ISO/IEC 27001:2022 Annex A.5.9 與 CNS 27002:2023:
組織應定期檢視與更新資產清冊與分類,
若資產的價值、敏感度或使用情境改變,
應調整其保護等級與控制措施,
並依據風險評估結果確定後續處理。
⚖️選項分析:
| 選項 | 說明 | 判定 |
|---|---|---|
| (A) 重新分類但保留原存取控制 | 不合適。若價值下降仍保留原控制,造成過度保護與資源浪費。 | ✗ |
| (B) 移除分類與保護直接報廢 | 錯誤。除非資產不再使用且已確認無殘餘風險,否則仍須評估與控管。 | ✗ |
| (C) 保留原分類與保護 | 錯誤。價值已變動,應重新風險評估後調整。 | ✗ |
| (D) 降低保護等級但持續評估監控 | ✅ 正確。符合「動態風險管理」原則。 | ✅ |
?補充說明:
-
資產保護等級應與其「商業價值 + 風險程度」相符。
-
若資產退役或價值下降,可:
-
重新分類為較低等級;
-
調整存取權限或保護控制;
-
但仍應「保留於清冊中」並「定期檢視風險」。
-
✅ 正確答案: (D) 降低資產保護等級,但仍需定期進行風險評估與監控
0
0