試題詳解

30. 【題組 4】情境如圖所示。承上題，依 XYZ 科技的資訊安全委員會在評量資安策略及資安管理架構時，請問下列何項資訊安 全管理範疇設定描述最「不」適切？
(A) 包含有形與無形的資訊資產、人員、營運流程皆應納入風險評鑑項目之中
(B) 針對供應商資安作業，可於合約要求簽署必要的保密協 議及資訊安全事項，並遵循公司資訊安全政策
(C) 產品不屬資訊資產不需列入資安風險評鑑項目之中，應由產品部門依循公司定訂的-「產品安全開發生命週期 (Product Security Development Life Cycle, PSDLC)」程序操作即可
(D) 資訊安全管理需定期參考國際安全標準及銷售地之法律 法規要求，並更新公司的相關管理辨法與程序