阿摩線上測驗
10. 某企業為防止內部人員濫用權限,設計了資訊系統的權限分工制度。下列何項作法「最符合」職務區隔(Separation of Duties, SOD)之原則?
(A) 系統管理員擁有新增、查詢、刪除與審核所有交易紀錄 的權限
(B) 員工可依需求申請額外權限,經由直屬主管自動核准後立即生效
(C) 部門主管在系統中直接新增自己以及下屬之出勤與加班紀錄,並同時進行審核
(D) 資料輸入作業由 A 員工負責,資料審核與最終送出作業 由 B 員工執行
答案:登入後查看
統計: A(3), B(5), C(0), D(85), E(0) #3536996
統計: A(3), B(5), C(0), D(85), E(0) #3536996
詳解 (共 2 筆)
hiiii
#7057124
正確答案是 ✅ (D) 資料輸入作業由 A 員工負責,資料審核與最終送出作業由 B 員工執行。
?一、核心概念:職務區隔 (Separation of Duties, SoD)
目的:防止單一人員同時擁有足以造成錯誤或舞弊的完整控制權。
在資訊安全與內控中,SoD 的精神是:
-
一個人不能同時執行並核准同一項作業。
-
權限需區分為「製作(Prepare)」、「審核(Review)」、「核准(Approve)」等角色。
-
避免「一人包辦」導致缺乏牽制與無法追責。
?二、選項解析
| 選項 | 說明 | 是否符合 SoD 原則 |
|---|---|---|
| (A) 系統管理員擁有所有權限 | ❌ 完全違反 SoD,一人可自導自演與掩蓋紀錄。 | |
| (B) 權限自動核准立即生效 | ❌ 缺乏人為審查機制,容易濫權。 | |
| (C) 部門主管可新增與審核自己紀錄 | ❌ 存在利益衝突,無法達到獨立牽制。 | |
| (D) 資料輸入由 A,審核由 B | ✅ 權限分工明確,具互相制衡機制。 |
?三、延伸說明:資訊安全中 SoD 的典型應用
| 層面 | 說明 | 實例 |
|---|---|---|
| 系統操作 | 建立與核准帳號權限需分由不同人執行 | A 建立帳號,B 核准 |
| 財務流程 | 登錄與審核交易分開 | 出納付款,會計審核 |
| 開發環境 | 開發與上線審核分離 | Dev 編寫,Ops 部署 |
| 資安維運 | 管理者與稽核者角色區隔 | SysAdmin 維運,Audit 稽核 |
✅ 最符合職務區隔原則的選項:D
A 負責輸入,B 負責審核與送出,
符合「一人不應同時兼具關鍵作業與審核權」的 SoD 精神。
0
0