司法三等申論題
113年
[檢察事務官電子資訊組] 資通安全
第 二 題
ISO/CNS 31000 係規定風險管理的指導綱要,幫助組織進行風險分析和風險評估。我國鑒於企業經營所面臨的風險日益複雜,為協助企業辨識可能之風險,亦訂定「上市上櫃公司風險管理實務守則」。風險管理程序通常包含 5 個要素,即風險辨識、風險分析、風險評量、風險回應,及監督與審查機制 5 大要素。請依此 5 要素,就 ISO/CNS 27001 導入時之風險管理進行說明。(25 分)
📝 此題為申論題
思路引導 VIP
看到此題,應立即聯想 ISO 31000 的通用風險管理框架如何具體應用於 ISO 27001 資訊安全管理系統(ISMS)中。答題時須依序定義這五大要素,並緊扣「資訊資產盤點」、「機密性、完整性、可用性(CIA)」、「風險處置計畫(RTP)」及「適用性聲明(SoA)」等資安核心術語與產出物進行實務論述。
🤖
AI 詳解
AI 專屬家教
【破題】 ISO 31000 提供廣泛的風險管理指導綱要,而 ISO/IEC 27001 則將此框架具體應用於資訊安全管理系統(ISMS)中,旨在保護組織資訊資產的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability),簡稱 CIA。導入 ISO 27001 時,風險管理程序之五大要素具體落實方式如下: 【論述】
▼ 還有更多解析內容