阿摩線上測驗
8. 情境如附圖所示,下列哪些是組織建置資訊安全管理系統決定實施範圍需要考量的項目?
(A) 會影響組織實施資訊安全管理系統時的內部與外部議題
(B) 組織關注方有關資訊安全管理系統實施的要求事項
(C) 與組織實施資訊安全管理系統,範圍內有委外給供應商的活動,可以不予納入
(D) 與客戶合約要求的系統範圍,應納入資訊安全管理系統範圍考量
答案:登入後查看
統計: A(508), B(503), C(15), D(513), E(0) #3223834
統計: A(508), B(503), C(15), D(513), E(0) #3223834
詳解 (共 4 筆)
ausyen.de
#7319831
以下是詳細解析:
(A) 會影響組織實施資訊安全管理系統時的內部與外部議題
-
解析:正確。
-
根據: 參考條款 4.1(理解組織及其背景)。在決定範圍時,必須考量所有會影響資安目標的「外部議題」(如法規、技術趨勢)與「內部議題」(如組織文化、資源、組織架構)。
(B) 組織關注方有關資訊安全管理系統實施的要求事項
-
解析:正確。
-
根據: 參考條款 4.2(理解關注方之需求與期待)。所謂的「關注方」包含政府機關、股東、員工等。他們的期待(例如:主管機關要求落實資安)必須納入範圍評估。
(C) 與組織實施資訊安全管理系統,範圍內有委外給供應商的活動,可以不予納入
-
解析:錯誤(陷阱點)。
-
根據: 參考條款 4.3(c)「組織所執行活動與由其他組織所執行活動間之介面與相依性」。
-
詳述: 如果該項委外活動是在你的業務範圍內,你不能直接不予納入。相反地,你必須定義清楚「介面」在哪裡。即使工作是別人在做,但「管理責任」與「風險控制」依然在你的 ISMS 範圍內(通常透過供應商管理控制項來規範)。
(D) 與客戶合約要求的系統範圍,應納入資訊安全管理系統範圍考量
-
解析:正確。
-
根據: 客戶合約是典型的「關注方要求」。如果合約規定某些系統必須通過驗證或落實資安管理,那麼這些系統就必須被包含在範圍之內。
0
0
