阿摩線上測驗
40.承上題,請問 M 公司於今年初 進行年度風險評鑑時,在建立背景流程,識別背景資訊時,下列哪些項目宜列入考量?(複選)
(A) 上市上櫃公司資通安全管控指引
(B) 資通安全管理法
(C) GDPR(General Data Protection Regulation)
(D) ISO 27001:2013
答案:登入後查看
統計: A(383), B(319), C(88), D(323), E(0) #3296335
統計: A(383), B(319), C(88), D(323), E(0) #3296335
詳解 (共 2 筆)
ausyen.de
#7324565
在「建立背景(Establishing the Context)」的過程中,重點在於定義組織目前必須立即遵循的具體邊界與治理框架:
-
(D) ISO 27001:2013(核心治理背景): 這是最重要的背景資訊。M 公司已經通過此驗證,因此年度風險評鑑必須在現有的管理體系(ISMS)架構下進行。這定義了評鑑的內部標準與方法論。
-
(A) 上市上櫃公司資通安全管控指引(法律強制背景): M 公司是「國內股票上市公司」。這是台灣法律對其資安管理的直接強制要求。在建立背景時,必須將此指引列為基準,以確保風險評鑑結果符合主管機關(金管會)的期待。
-
(B) 資通安全管理法(客戶/合約背景): M 公司從事資安軟硬體開發。如果它的客戶包含公務機關或關鍵基礎設施提供者,根據「資通安全管理法」,受規範機關在委外辦理時,必須要求供應商(M 公司)具備相應的資安防護能力。因此,這成為了 M 公司在業務契約上的重要外部背景。
為什麼排除 (C) GDPR?
-
情境限制: 雖然 GDPR 在全球資安領域非常重要,但在這題的背景描述中,M 公司被強調為「國內股票上市公司」。
0
0