司法三等申論題
108年
[檢察事務官電子資訊組] 資通安全
第 一 題
📖 題組:
三、美國國家標準暨技術局(NIST)的 SP800-30 文件「資訊技術體系風險管理指南」(Risk Management Guide for Information Technology Systems)對風險(Risk)定義如下: Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization. (一)請針對上述風險(Risk)英文定義以中文表示。(5 分) (二)定義「Vulnerability」和「Impact」。(10 分) (三)請寫出我國《資通安全管理法》(公布日期:民國 107 年 06 月 06 日)第 3 條第 3 款「資通安全」和第 7 款「關鍵基礎設施」之用詞定義。(10 分)
三、美國國家標準暨技術局(NIST)的 SP800-30 文件「資訊技術體系風險管理指南」(Risk Management Guide for Information Technology Systems)對風險(Risk)定義如下: Risk is a function of the likelihood of a given threat-source’s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization. (一)請針對上述風險(Risk)英文定義以中文表示。(5 分) (二)定義「Vulnerability」和「Impact」。(10 分) (三)請寫出我國《資通安全管理法》(公布日期:民國 107 年 06 月 06 日)第 3 條第 3 款「資通安全」和第 7 款「關鍵基礎設施」之用詞定義。(10 分)
📝 此題為申論題,共 3 小題
小題 (一)
請針對上述風險(Risk)英文定義以中文表示。(5 分)
思路引導 VIP
本題測驗考生對 NIST 國際資安標準定義的理解及專業術語翻譯能力。解題時必須精準對應核心資安專有名詞(如 likelihood、threat-source、vulnerability、impact),並維持原句「...是...的函數(function)」之邏輯結構。
小題 (二)
定義「Vulnerability」和「Impact」。(10 分)
思路引導 VIP
看到此題,應立即聯想 CISSP 風險管理框架(Risk = Threat × Vulnerability × Impact)。作答時需精確定義兩個術語,並補充其在資安實務上的特徵(如對 CIA 的破壞),以結構化條列方式呈現,確保獲取 10 分的完整配分。
小題 (三)
請寫出我國《資通安全管理法》(公布日期:民國 107 年 06 月 06 日)第 3 條第 3 款「資通安全」和第 7 款「關鍵基礎設施」之用詞定義。(10 分)
思路引導 VIP
本題為典型的法規記憶題。作答時應直接回想《資通安全管理法》第 3 條的法定名詞解釋,『資通安全』須點出防止未經授權行為以維持 CIA 三要素(機密性、完整性、可用性);『關鍵基礎設施』則須強調系統停擺對國家社會的重大影響,以及『經主管機關公告』之要件。