20. 關於資訊資產盤點作業的描述，下列何者最「不」適當？
(A) 資訊資產盤點即是資訊設備盤點
(B) 資訊資產盤點在確認資產的殘值
(C) 資訊資產盤點應考量全面性
(D) 資訊資產盤點應確認資產的可用性

為什麼答案是 (B)？

這題的核心在於區分 「資訊安全管理 (ISMS)」 與 「財產管理 (財務會計)」 的目的差異。

• 選項 (B) 資訊資產盤點在確認資產的殘值 (Residual Value)

  • 錯在哪裡？ 「殘值」是 財務會計 術語，指的是設備折舊後在帳面上的剩餘金錢價值（例如：一台用了5年的伺服器，會計帳上殘值可能為 0 元）。

  • 資安觀點： 在資安領域，我們看重的是資產的 「價值 (Value / Criticality)」（即 CIA 重要性），而非「價格 (Price)」。

  • 關鍵差異： 一台帳面殘值為 0 元的老舊伺服器，如果上面跑的是核心資料庫，它的 資安價值 是「極高」的。若盤點是為了確認「殘值」，會導致資安人員誤以為這台機器不重要而忽略防護。因此，這個敘述完全搞錯了資安盤點的目的，屬於 「領域錯誤」。

• 選項 (A) 資訊資產盤點即是資訊設備盤點

  • 為什麼它被認為相對「較好」 (或錯得沒那麼離譜)？

  • 雖然標準定義上，資訊資產包含軟體、資料、人員等，不僅止於硬體設備。但在許多實務操作或舊式觀念中，狹義的盤點往往從「實體設備（硬體）」入手。「設備」確實是資產的一部分（Subset）。

  • 相較於 (B) 完全錯用財務指標來衡量資安，(A) 頂多是 「範圍不夠完整」，但還是在講資產本身。所以在單選題的比較下，(B) 的錯誤性質（把資安當會計做）比 (A) 更嚴重。

快速結論

• 資安盤點看重： 機密性、完整性、可用性 (CIA) 的等級。

• 財務盤點看重： 折舊、殘值、帳面金額。

• 因為 (B) 是拿財務的標準來做資安，這在風險評估上是危險且無效的，故為 最不適當 的選項。