30. 情境如附圖所示,A 公司為了執行軟體系統之開 發、維護業務活動內有關資訊資產的風險管理事項,因此實 施了一系列的有關作為。試問有關作為之敘述,下列何者錯 誤?
(A) 針對軟體系統之開發、維護業務活動內包含人員、 軟體、硬體、服務與資訊類的資訊資產實施盤點, 並計算其資產價值
(B) 針對每一資訊資產識別出該資產的弱點與面臨之威 脅,並考量風險發生後對組織造成之衝擊以計算該 資訊資產之風險值
(C) 對於不可接受之風險採取相應之控制措施進行處 理,以降低其風險至可接受程度
(D) 依據所採取之控制措施結果,於適用性聲明排除資 訊系統獲取、開發及維護之適用

答案:登入後查看
統計: A(64), B(16), C(65), D(376), E(0) #3142790

詳解 (共 3 筆)

#5911908
適用性聲明是指對特定控制措施的適用性進行...
(共 132 字,隱藏中)
前往觀看
9
0
#6015974
在討論資訊安全風險管理的過程中,一個組...
(共 749 字,隱藏中)
前往觀看
2
0
#7277128
適用性聲明(Statement of Applicability, SoA)的目的,是列出哪些控制措施適用或不適用,並說明理由。但「資訊系統獲取、開發及維護」是 ISO 27001 附錄 A 的標準控制領域之一,對於承接系統開發與維護的公司來說,這是核心業務,不可能被排除。若排除,將違反客戶要求與標準精神。
0
0