複選題28. 有關風險評鑑的作法，以下敘述哪些有誤？(複選) (A)風險評鑑應該一律以定量的方式進行 (B)進行定量分析時宜列出面臨之威脅與可能存在的脆弱性 (C)資訊資產的價值應該由系統管理者決定 (D)資訊資產的價值應考慮到機密性、完整性和可用性

6. 有關資通安全管理法的敘述何者正確？ (A)資通安全管理法納管對象包含公務機關及所有非公務機關 (B)公務機關可視組織規模及業務屬性決定是否設置資通安全長 (C)C 級機關的資通系統檢測目前以 IT 設備為主，OT 設備不必納入 (D)委外開發之資通系統如屬委託機關之核心資通系統，或委託案件金額在 1,000 萬元以上，委託機關應自行或另行委託第三方進行安全性檢測。