15. 【題組 2】情境如附圖所示，總經理提出當公司的核心資訊系統受到攻擊時，首先執行的步驟是下列何項？
(A) 修復受影響的系統
(B) 報告給執法機關
(C) 確認並評估攻擊的範圍和影響
(D) 通知所有受影響的客戶和使用者

以下是依照一般資安事件處理流程與 ISO 27001 事故管理精神，對各選項的說明與分析：

為什麼第一步應該是「確認並評估攻擊的範圍和影響」？

在大多數的資安事件處理（Incident Response）框架中，最初的步驟都是**「偵測與分析」**（即確認事件是否真的發生，以及大致的範圍與影響）。如果尚未確定攻擊的規模與影響範圍，就貿然進行修復、通報或通知客戶，可能導致：

1. 錯誤判斷：誤將一些非攻擊事件（如系統異常）當作駭客攻擊，或低估實際影響範圍。
2. 洩漏或破壞證據：在修復前如果沒先完整蒐證，可能會喪失追蹤攻擊來源、了解攻擊方法的機會。
3. 錯誤的資訊傳遞：若沒有先評估清楚就通報執法機關或通知客戶，會造成溝通混亂或不必要的恐慌。

因此，在ISO 27001 或其他國際資安標準強調的「事件回應流程」中，第一步往往是確認事件並初步評估它的嚴重性、影響層面，才能再進一步決定後續動作（例如是否需要立刻修復、何時向主管機關或執法機關通報、如何通知客戶等）。

各選項解析

1. (A) 修復受影響的系統

   • 在尚未明確了解攻擊範圍與影響之前，如果立刻進行修復，可能破壞事證或忽略其他被攻擊的系統。一般建議先確認範圍、蒐集證據，再決定修復或隔離方式。

2. (B) 報告給執法機關

   • 是否需要通報執法機關，通常依事件的嚴重程度、主管法令及公司內部規範而定。在尚未確認事件範圍與影響前，通常不會立刻通報，避免資訊不足或重複通報。

3. (C) 確認並評估攻擊的範圍和影響

   • 這是標準的第一步：先確認真的遭受攻擊（而非系統故障或人員操作失誤），並釐清攻擊波及哪個系統、影響了哪些資料或服務，蒐集初步證據。

4. (D) 通知所有受影響的客戶和使用者

   • 若確定有客戶或使用者的資料受影響，依據法令或合約義務，最後也的確需要通知。不過這往往發生在評估影響範圍並制定溝通計畫之後，而非第一步。

結論

當公司的核心資訊系統受到攻擊時，第一個要做的步驟就是

(C) 確認並評估攻擊的範圍和影響。