17. 【題組 2】情境如附圖所示，承上題，負責作業安全的同事（OP），在實施資訊安全防護機制時，下列何項你必須提醒該同仁考慮的因素？
(A) 組織的業務需求和目標
(B)組織的市場競爭優勢
(C)組織的企業形象
(D)組織的投資組合

答案：
(A) 組織的業務需求和目標

解釋

在導入 ISO 27001 時，選擇並實施資訊安全防護機制（控制措施）必須與組織的整體業務需求和目標保持一致，因為：

1. ISO 27001 的核心
   ISO 27001 強調資訊安全管理系統（ISMS）必須與組織的任務（Mission）、目標（Objectives）與策略（Strategy）緊密結合，確保安全措施能有效支援業務運作，而非單純「技術導向」或「為安全而安全」。

2. 業務需求導向
   如果安全措施脫離了組織的業務需要與目標，可能導致過度防護（浪費資源），或是防護不足（風險無法有效降低）。因此，在選擇或實施任何控制措施時，都需先了解並考量組織的業務流程、風險承受度，以及對於可用性、機密性與完整性的優先程度。

3. 其他選項說明

   • (B) 組織的市場競爭優勢
     雖然保護競爭優勢很重要，但在 ISO 27001 的脈絡中，第一優先並非直接考量「提升競爭優勢」，而是先確保現有業務之穩定與安全。
   • (C) 組織的企業形象
     企業形象確實會因資訊安全事件而受影響，但這在ISO 27001 中通常屬於風險面向的一部分（可能是利害關係人顧慮與潛在損失），而非在落實控制措施時的首要評估條件。
   • (D) 組織的投資組合
     雖然投資預算、資金來源等因素也可能影響企業實施資訊安全的優先度，但依照 ISO 27001 的要求，最主要仍是依「風險評估結果」與「組織業務需求」來決定對策的取捨與投入資源。

總結來說，最直接且關鍵的考量因素，正是**(A) 組織的業務需求和目標**。