41. 有關資安事件是否需要通報的判斷依據，下列何者較「不」適當？
(A) 根據事件的嚴重性等級
(B) 依據主管機關的法規要求
(C) 根據事故管理計畫的規定
(D) 依據事件鑑識人員的現場判斷

這題的正確答案是 (D) 依據事件鑑識人員的現場判斷。

解析

資安事件通報是一個高度敏感且受法律／合規性約束的程序，其判斷標準必須是客觀、標準化且預先定義好的，不能僅依賴技術人員當下的主觀判斷。

• 為什麼 (D) 最不適當？

  • 主觀性風險： 鑑識人員的主要職責是「調查發生了什麼事（技術面）」，而非「決定公司要不要對外揭露（管理/法律面）」。若僅依賴現場判斷，容易因人員經驗落差或壓力，導致該通報未通報（隱匿）或不該通報卻誤報。

  • 缺乏全貌： 現場鑑識人員可能只看到技術細節，不清楚商業衝擊、法律責任或合規要求。

• 為什麼 (A)、(B)、(C) 是適當的？

  • 標準化依據： 這三個選項都是**「預先定義好的規則」**。

  • (A) 嚴重性等級： 通常依據資安法或 ISO 27001，會將事件分級（如 1級~4級），達到特定等級就必須通報。

  • (B) 法規要求： 例如《資通安全管理法》或金管會規定，發生特定事件（如個資外洩、核心系統中斷）有強制通報義務。

  • (C) 事故管理計畫： 企業內部的 SOP (IRP) 會明確定義通報流程圖（Call Tree），這是標準作業程序。

實務觀點（針對 iPAS/CISSP 考試）

在資安管理中，「鑑識 (Forensics)」 與 「事件回應 (Incident Response)」 是兩個緊密相關但職責不同的領域。

• 鑑識人員： 提供事實（Fact）。例如：「確認有一筆 50GB 的資料被傳送到境外 IP。」

• 事件回應主管 (Incident Commander)： 根據事實，對照 (A) 嚴重性、(B) 法規 與 (C) 計畫，做出「通報」的決策。