阿摩線上測驗
24. 在工控資安的風險管理流程中,下列何者屬於風險處理(Risk Treatment)的措施?
(A) 識別 PLC 與 SCADA 系統清單
(B) 決定是否採取風險接受、風險降低、風險轉移或風險避免等措施
(C) 建立風險矩陣並評分
(D) 召開資產盤點會議
答案:登入後查看
統計: A(4), B(92), C(7), D(2), E(0) #3671710
統計: A(4), B(92), C(7), D(2), E(0) #3671710
詳解 (共 1 筆)
hiiii
#7064722
正確答案是 ✅ (B) 決定是否採取風險接受、風險降低、風險轉移或風險避免等措施。
?題意解析:
題目主題是「工控資安的風險管理流程」中,
要找出屬於「風險處理 (Risk Treatment)」階段的活動。
這是根據 ISO/IEC 27005 與 IEC 62443-3-2(工控資安風險管理)之標準流程。
?風險管理流程(通用於 IT / OT 環境):
| 階段 | 英文名稱 | 主要內容 |
|---|---|---|
| 1️⃣ 風險識別 (Risk Identification) | 找出資產、威脅、脆弱性、後果 | 例:列出 PLC、SCADA 系統清單 |
| 2️⃣ 風險分析 (Risk Analysis) | 評估可能性與衝擊 | 建立風險矩陣、評分 |
| 3️⃣ 風險評鑑 (Risk Evaluation) | 比較風險與可接受準則 | 決定哪些風險需處理 |
| 4️⃣ 風險處理 (Risk Treatment) | 選擇並實施對應措施,如降低、避免、轉移、接受 | 制定控制策略或改善方案 |
⚖️選項分析:
| 選項 | 所屬階段 | 說明 | 判定 |
|---|---|---|---|
| (A) 識別 PLC 與 SCADA 系統清單 | 風險識別 | 屬於資產盤點與辨識 | ✗ |
| (B) 決定是否採取風險接受、降低、轉移或避免 | 風險處理 | ✅ 這正是「風險處理」的核心任務 | ✅ |
| (C) 建立風險矩陣並評分 | 風險分析 | 用以量化風險值 | ✗ |
| (D) 召開資產盤點會議 | 風險識別前置作業 | 非風險處理階段 | ✗ |
?補充說明:
在 工控(ICS/OT) 環境中,
「風險處理」不只是決策,也包含後續行動,例如:
-
安裝防火牆(降低)
-
外包災備中心(轉移)
-
關閉高風險連線(避免)
-
接受可容忍風險(接受)
✅ 正確答案: (B) 決定是否採取風險接受、風險降低、風險轉移或風險避免等措施
0
0