阿摩線上測驗
22. 當資訊室主管收到作業系統標準組態的例外請求時,第一步
應該處理下列何項?
(A) 報告董事會,並尋求董事會的指導
(B) 確定產業的執行慣例,擬定應變作業計劃
(C) 確認風險並確定補償控制措施
(D) 依據資安管理系統程序,一律禁止例外請求作業
答案:登入後查看
統計: A(5), B(96), C(508), D(55), E(0) #3223892
統計: A(5), B(96), C(508), D(55), E(0) #3223892
詳解 (共 2 筆)
hiiii
#6261520
當收到作業系統標準組態的例外請求時,資訊室主管應該以謹慎的態度處理,並且以安全為首要考量。以下列出處理步驟:
- 確認風險: 首先要了解例外請求的內容,評估其帶來的風險,例如是否會增加系統漏洞、降低安全性等。
- 確定補償控制措施: 如果例外請求確實有必要,則需要制定補償控制措施,以減輕潛在的風險。例如,如果需要開放某個端口,則需要同時加強該端口的監控和防護。
- 文件化: 將例外請求、風險評估和補償控制措施等資訊記錄下來,以便日後審計和追蹤。
- 審批: 例外請求應該經過適當的審批流程,例如由資安主管或更高層級的主管批准。
- 監控: 實施例外請求後,需要持續監控其運作情況,並定期重新評估風險。
(A) 報告董事會,並尋求董事會的指導
-
- 解釋:例外請求通常是操作層面的問題,屬於資訊室主管的責任範圍,無需立即報告董事會。董事會通常僅參與重大策略或資安政策的決策。
- 適合性:這不是第一步的正確處理方式。
(B) 確定產業的執行慣例,擬定應變作業計劃
-
- 解釋:參考產業慣例和擬定應變計劃可能是後續步驟,但例外請求的處理需要首先評估風險,確認其可能的影響和是否有必要實施補償控制措施。
- 適合性:這不是處理例外請求的第一步。
(C) 確認風險並確定補償控制措施
-
- 解釋:當收到例外請求時,第一步應該是確認該請求是否會引入新的風險,並評估如何通過補償控制措施來降低風險至可接受的水平。這是根據風險管理的最佳實踐進行處理的方式。
- 適合性:這是第一步應該採取的行動。
(D) 依據資安管理系統程序,一律禁止例外請求作業
-
- 解釋:資安管理系統通常允許根據具體情況進行例外處理,而非一律禁止。直接禁止所有例外請求可能導致業務需求無法被滿足,並非合理的處理方式。
- 適合性:這不是合理的管理方式。
1
0