地特三等申論題
108年
[資訊處理] 資訊管理與資通安全
第 三 題
三、部分企業與組織的網路或是資訊管理系統是外包廠商負責,例如會計資訊管理系統由 A 廠商開發,網站應用程式由 B 廠商開發維護等。說明組織如何做好控管,確保資訊隱私安全與預防攻擊事件。(25 分)
📝 此題為申論題
思路引導 VIP
本題測驗核心為「資安供應鏈管理(Supply Chain Security)」與「委外安全控管」。解題時應具備 ISMS(ISO 27001)稽核員視角,採用「委外生命週期(選商、履約、稽核、終止)」為骨幹,並結合「管理面(法規與合約)」、「技術面(零信任與安全開發)」及「監控面(稽核與應變)」三大維度進行全方位論述,同時須扣緊題目所給的 A 廠商(內部 MIS)與 B 廠商(外部 Web)情境進行舉例。
🤖
AI 詳解
AI 專屬家教
【破題】 企業將資訊系統(如 A 廠商的會計 MIS、B 廠商的網站應用)委外,雖能降低營運成本,但也大幅擴展了組織的資安攻擊面(Attack Surface)。依據資通安全管理法及 ISMS(ISO 27001)精神,「系統可委外,但資安責任不可委外」。組織必須從「管理法規、技術實作、稽核監控」三大構面建立深度的供應鏈安全防護網。 【論述】
▼ 還有更多解析內容