21. 請問公司在建置此網路販售系統 時，下列何項為最「不」需要考慮的項目？
(A) 主管機關的要求
(B) 法令規定
(C) 公司資安長的專長
(D) 系統安全需求

總結

在建置網路販售系統時，必須優先考量「主管機關要求」（Regulatory Authority Requirements）、各項「法令規定」（Legal Regulations）以及「系統安全需求」（System Security Requirements），以確保平台符合法規、維護消費者權益並抵禦外部威脅；而「公司資安長的專長」屬於內部人員能力範疇，雖有助於推動專案，但並非建置系統時的必要外部考量。

各選項解析

(A) 主管機關的要求

• 電子商務平台須符合主管機關（如經濟部商業司、金管會）所訂之監理規範與許可程序，包含「電子商務安全管理準則」及消費者保護法等，以免遭處罰或下架停業 (BigCommerce)。

• 未考量主管機關要求，可能導致平台無法取得合法營運資格。

(B) 法令規定

• 法令規定涵蓋《電子商務法》、《個人資料保護法》及相關稅務、消保等立法要求，所有線上交易行為都必須嚴格遵守，以確保交易安全與合法性 (bizbot.com)。

• ISO 27001 要求組織「識別並遵守適用之法令與管制要求」（Annex A.5.31）(ISMS.online)。

(C) 公司資安長的專長

• 雖然資安長（CISO）的專業能力對推動資安策略與落地專案十分重要，但其「個人專長」並非系統建置的先決條件。系統需求應建立在法規、業務及安全控制上，而非依賴單一人員才能。

• ISO 27001 Clause 4.1 要求瞭解「內部與外部議題」，但並未指定必須考量資安長個人專長；重點在於建立組織層級之管理架構與安全政策 (Advisera)。

(D) 系統安全需求

• 在需求分析階段，必須明確定義系統安全需求（如身分驗證、授權控制、資料加密、弱點掃描等），並據此進行架構設計與開發 (ISMS.online)。

• 忽略安全需求將使系統暴露在注入攻擊、資安事件與資金風險之中。

結論

最「不」需要作為建置網路販售系統時考量的是 (C) 公司資安長的專長，因其屬於內部人員能力面，並非系統規劃或合規性之必要條件。