32. 下列何者「非」重要系統權限管理常見之安全管理措施？
(A) 系統權限申請必須經過權責主管核准
(B) 臨時權限到期即自動停用
(C) 每月備份重要系統
(D) 每半年定期檢視管理者及使用者權限是否異常

這題的正確答案是 (C) 每月備份重要系統。

解析

題目問的是關於 「系統權限管理」 的安全措施。我們需要分辨哪些選項屬於「權限控制（Access Control）」範疇，哪些屬於其他資安領域。

• (A) 系統權限申請必須經過權責主管核准：

  • 這是 授權流程（Authorization） 的管控，確保權限的賦予是經過審核的，屬於權限管理。

• (B) 臨時權限到期即自動停用：

  • 這是 權限生命週期管理，符合最小權限原則（時間維度），防止過期帳號被濫用，屬於權限管理。

• (C) 每月備份重要系統：

  • 這是 資料可用性（Availability） 與 災難復原（Disaster Recovery） 的措施。雖然備份非常重要，但它的目的在於「資料遺失時能救回」，而非「管控誰可以存取系統」。因此，它不屬於權限管理的範疇。

• (D) 每半年定期檢視管理者及使用者權限是否異常：

  • 這是 權限盤點（Access Review / Recertification），確保離職或轉調人員的權限被移除，屬於權限管理。

總結

選項 (A)、(B)、(D) 都是針對「誰能進入系統、能做什麼」的管控；而 (C) 是針對「系統壞掉怎麼辦」的備援措施。