22. 依據 CNS 27001:2023 標準條款要求有關組織應定義及應用 資訊安全風險評鑑過程之敘述,下列何者錯誤?
(A) 建立及維持資訊安全風險準則
(B) 資訊安全風險準則應包含風險接受準則以及執行資 訊安全風險評鑑之準則
(C) 識別資訊安全風險包含識別資訊安全管理系統範圍 內與喪失資訊之機密性、完整性、可用性以及不可 否認性相關聯之風險
(D) 分析資訊安全風險以識別風險實際發生時,應包含 可能導致的潛在後果以及風險發生的實際可能性

答案:登入後查看
統計: A(209), B(227), C(910), D(212), E(0) #3246557

詳解 (共 5 筆)

#6140142
錯誤敘述:選項 (C) 解析: 識別資...
(共 1094 字,隱藏中)
前往觀看
10
0
#6137475
*風險識別:盤點資訊資產,做資產清冊。
*風險分析:依上述步驟的資訊資產清冊,依「可用性」、「完整性」、「機密性」量化並通盤檢視,決定風險等級。
故(C) 識別資訊安全風險包含識別資訊安全管理系統範圍內與喪失資訊之機密性、完整性、可用性以及不可否認性相關聯之風險,那是「風險分析」的範疇。
9
0
#6308178
「不可否認性」通常屬於數位簽章、交易驗證等範疇,並非資訊安全風險評鑑中主要考量的基本性質。因此,將「不可否認性」納入識別範圍,超出了標準要求的主要考量範疇。
2
0
#6216678
選項C
ㅤㅤ
66f3c14d721c1.jpg
ㅤㅤ
在標準的第 6.1.2 條款「資訊安全風險評鑑」中,明確指出組織應識別與資訊的機密性、完整性和可用性(CIA 三元組)相關的風險。

雖然不可否認性(Non-repudiation)在資訊安全中也是一個重要的屬性,但在 ISO/IEC 27001 的風險評鑑條款中,並未將其列為必須考量的核心要素。
2
0
#6559742
沒有不可否認性
0
0

私人筆記 (共 2 筆)

私人筆記#6529060
未解鎖
錯誤之處:資訊安全風險評鑑的核心是針對喪...
(共 143 字,隱藏中)
前往觀看
5
0
私人筆記#6982325
未解鎖
根據 CNS 27001:2023 標...
(共 421 字,隱藏中)
前往觀看
1
0