9. 一個要導入 ISO 27001 的組織，為了降低組織資產未經授權或誤用的機會，下列何種措施較「無法」避免？
(A) 職務區隔
(B) 職務輪調
(C) 資產清冊
(D) 存取控制政策

在 ISO 27001 的規範中，這四個選項都是非常重要的管理控制措施，但針對題目要求的「降低未經授權或誤用」這個核心目標，「資產清冊」的角色與其他三者有本質上的不同。

以下是詳細解析：

為什麼 (C) 較「無法」直接避免？

• 解析： 資產清冊（Asset Inventory） 是一份「清單」，記錄了組織擁有哪些資產、資產在哪裡以及誰是負責人（Owner）。

• 關鍵點： 資產清冊是風險評估與後續管理維護的基礎，但它本身是一種「紀錄」而非「控制手段」。僅僅列出一台伺服器在清單上，並不能「防止」某人去非法存取或誤用它。它能讓你知道東西掉了或壞了，但無法在行為發生時產生阻止作用。

其他選項如何「避免」授權錯誤或誤用？

• (A) 職務區隔 (Segregation of Duties)： 這是防止誤用與舞弊最強大的手段之一。將關鍵流程（例如：申請權限與核准權限）分給不同人執行，確保沒有單一人員可以完整控制整個作業流程，從而降低內部人員濫用權力的機會。

• (B) 職務輪調 (Job Rotation)： 透過定期更換員工的職位，可以讓隱藏的違規操作或誤用行為更容易被接手的新人發現（偵測性控制），同時也能防止員工因長期把持某一業務而產生貪瀆或鑽漏洞的念頭。

• (D) 存取控制政策 (Access Control Policy)： 這是「防止未經授權存取」的最直接手段。透過明文規定「誰可以存取什麼」、「在什麼情況下可以存取」，並落實最小權限原則（Least Privilege），直接從系統與制度層面切斷非法的存取路徑。