22. 【題組 3】情境如附圖所示。國內總公司因應海外客戶的要求，其特別重視個資保護，故要求公司需要通過 ISO 27701 隱私資訊安全驗證，請問下列何項措施最「不」適切？
(A) 審視 ISO/IEC 27001 資訊安全管理驗證的範圍是否符合需求
(B) 積極尋求通過 BS 10012 個人資訊管理驗證
(C) 選擇業務部門優先導入 ISO/IEC 27701 資訊安全管理驗 證
(D) 選擇生產基地優先導入 ISO/IEC 27701 資訊安全管理驗 證

這題的情境是關於企業如何因應「海外客戶對個資保護的要求」，目標是通過 ISO 27701（隱私資訊管理系統，PIMS）。

我們來分析各個選項的適切性：

• (A) 審視 ISO/IEC 27001 資訊安全管理驗證的範圍是否符合需求：

  這是適切的。

  理由： ISO 27701 是一個「擴充標準（Extension）」，它必須架構在 ISO 27001（資訊安全管理系統，ISMS）之上。也就是說，要導入 ISO 27701，企業必須先有 ISO 27001，且兩者的驗證範圍（Scope）必須一致或包含。因此，檢視現有的 ISO 27001 範圍是絕對必要的首要步驟。

• (B) 積極尋求通過 BS 10012 個人資訊管理驗證：

  這是最不適切的。

  理由：

  1. 目標不符：題目的明確目標是「通過 ISO 27701」。BS 10012 是英國標準協會制定的另一套個人資訊管理標準。雖然兩者概念相近，但它們是不同的驗證標準。若客戶要求的是 ISO 27701，去考取 BS 10012 並無法直接滿足客戶指定的合規要求。

  2. 資源錯置：在資源有限的情況下，應該集中資源導入目標標準（ISO 27701），而非去尋求另一個獨立的標準（BS 10012）。

  3. 國際趨勢：ISO 27701 (2019年發布) 旨在成為國際通用的 PIMS 標準，通常被視為取代各國在地標準（如英國的 BS 10012）的全球解決方案。

• (C) 選擇業務部門優先導入 ISO/IEC 27701 資訊安全管理驗證：

  這是適切的。

  理由： 依據風險導向（Risk-based）原則，業務部門（Sales/Business Dept）直接處理海外客戶的訂單、聯絡人資訊及合約，是個資（PII）處理量最大且風險最高的單位。優先將其納入驗證範圍，最能直接回應「海外客戶重視個資保護」的需求。

• (D) 選擇生產基地優先導入 ISO/IEC 27701 資訊安全管理驗證：

  這在策略上較不理想，但相較於 (B) 來說不是「最」不適切。

  理由： 生產基地主要處理製造數據、BOM 表等，雖然可能有員工個資，但通常較少涉及「海外客戶的個資」。優先導入生產基地可能無法立即解決客戶的疑慮（客戶關心的是他們自己的資料安全）。不過，這仍是在執行正確的標準（ISO 27701），只是實施順序（優先級）的策略問題；而 (B) 則是完全執行了錯誤的標準。

結論：

選項 (B) 採取了與題目指定目標（ISO 27701）不一致的標準（BS 10012），這屬於方向性的錯誤，因此是最不適切的措施。

正確答案：(B)