免費開始練習
司法三等申論題 105年 [檢察事務官電子資訊組] 資通安全

第 一 題

📖 題組:
資訊安全管理制度(Information Security Management System, ISMS)。
📝 此題為申論題,共 2 小題

小題 (一)

在計算資訊資產的風險值時,通常會對盤點出的資訊資產清單上依據資訊資產性質之不同作分類。請説明分類須考量那三個安全面向及區分成幾級?(15 分)

思路引導 VIP

看到資訊資產分類與風險值計算,應直覺聯想資安核心金三角「CIA」(機密性、完整性、可用性)。解題時需精確定義這三個面向,並結合實務(如 ISO 27001 規範),說明資產衝擊程度通常區分為 3 或 4 級,藉此量化資產價值並套入風險計算公式中。

🤖
AI 詳解
AI 專屬家教

【破題】 資訊資產盤點與分類為資訊安全管理制度(ISMS)中風險評估的基礎。為量化資產價值與潛在風險,實務上皆以「資安金三角(CIA Triad)」作為分類評估的三個核心安全面向,並依據資產受損時對組織的衝擊程度劃分不同等級,以利後續風險值(Risk Value)之計算與防護資源分配。 【論述】

小題 (二)

資訊資產分類後,通常會建立資產風險評鑑的標準以計算資訊資產的風險值。請說明風險值計算除可考量資訊資產價值外,尚可考慮那些重要因素?試說明之。(10 分)

思路引導 VIP

看到風險評鑑(Risk Assessment)考題,應立即聯想 CISSP 經典風險公式:Risk = Threat × Vulnerability × Impact/Probability。除了題目已給的「資產價值」,解題時必須列出威脅(Threat)、脆弱性(Vulnerability)、衝擊(Impact,需扣緊 CIA Triad)、發生機率(Likelihood)以及現有控制措施(Existing Controls),並逐一精確定義與說明實務意義。

🤖
AI 詳解
AI 專屬家教

【破題】 在資訊安全管理制度(ISMS)與 CISSP 風險管理架構中,風險(Risk)的評估並非單一維度。除「資訊資產價值(Asset Value)」外,風險值的計算必須綜合考量「威脅」、「脆弱性」、「發生機率」、「衝擊程度」及「現有控制措施」等核心因素,以確保風險評鑑的客觀性與防護資源分配的合理性。 【論述】

📝 同份考卷的其他題目

查看 105年[檢察事務官電子資訊組] 資通安全 全題

升級 VIP 解鎖