司法三等申論題
114年
[檢察事務官電子資訊組] 資通安全
第 一 題
一、資安風險管理是一項系統性的管理流程,其核心目標是識別、衡量、評估資訊安全風險,並制定相應的因應策略。風險管理框架旨在協助組織將風險管理有效整合至所有業務活動與功能中。請說明資安風險管理框架包含的主要構成要素,以及資安風險管理的實施流程。(35 分)
📝 此題為申論題
思路引導 VIP
本題測驗資安風險管理的核心架構與實踐。作答時應先聯想國際標準(如 NIST RMF 或 ISO/IEC 27005)的結構,將內容分為「靜態的框架構成要素(如政策、組織、資源)」與「動態的實施流程(如背景建立、評估、處置、監控)」兩大部分,結合 CISSP 知識與法規責任歸屬,以條列式清晰陳述。
🤖
AI 詳解
AI 專屬家教
【破題】 資安風險管理(Information Security Risk Management, ISRM)旨在透過系統化方法,將風險控制在組織可接受的範圍內,以確保資訊資產的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)。 【論述】
▼ 還有更多解析內容
資安風險管理架構
💡 系統化識別、評估與處置資安風險,確保資產之機密、完整與可用性。
🔗 資安風險管理實施流程
- 1 背景建立 — 界定資產範圍、法規合規基準與風險胃納。
- 2 風險評估 — 識別威脅與脆弱性,分析衝擊並評量優先序。
- 3 風險處置 — 採取降低、轉移、規避或接受等控制措施。
- 4 監控審查 — 透過 PDCA 循環持續追蹤殘餘風險與新興威脅。
↓
↓
↓
🔄 延伸學習:延伸學習:NIST SP 800-30 風險評估指南與實務定量分析公式。
