38. 如附圖所示，在檢查一個利用第三方服務的電子資料交換系統(EDI)應用情況時，資訊安全人員應該確認和證實哪些項目？

(A) 1、3
(B) 1、4
(C) 2、3
(D) 3、4

答案：登入後查看
統計： A(158), B(300), C(92), D(499), E(0) #3351090

Dan

B1 · 2025/02/12

#6305610

答案是 (D) 3、4。

在檢查 利用第三方服務的電子資料交換系統（EDI） 時，資訊安全人員應確保服務供應商的安全性與合約內容符合要求。其中，最關鍵的項目是：

確認是否已經對服務供應商的營運情況進行了獨立檢查 ✅ （正確）
- 供應商的營運狀況應經過獨立稽核或第三方檢查，以確保他們符合資訊安全標準，例如 SOC 2、ISO 27001 等。
- 這有助於確認供應商是否妥善管理 EDI 服務，降低安全風險。
證實服務供應商的合約包含必要條款，例如稽核查核的權力 ✅ （正確）
- 合約應該包含明確的 資訊安全要求、稽核權限、合規義務，確保企業能夠定期審查供應商的安全狀況。
- 若供應商不符合安全標準，公司應該有權利要求整改或終止合作。

(1) 確認加密金鑰符合使用者要求 ❌
- 雖然加密金鑰很重要，但 EDI 系統的安全性不僅限於加密技術，還涉及供應商的整體營運與合規性，因此這並非主要的檢查點。
(2) 證實服務供應商只使用了 PSDN（Public Switched Data Network） ❌
- EDI 系統可以透過多種網路傳輸，包括 VPN、MPLS、專用網路，不一定只使用 PSDN。這項要求過於狹隘，並非必要條件。

38. 如附圖所示，在檢查一個利用第三方服務的電子資料交換系統(EDI)應用情況時，資訊安全人員應該確認和證實哪些項目？ (A) 1、3(B) 1、4(C) 2、3(D) 3、4