25. 公司選定 NIST 風險管理框架(Risk Management Framework, RMF)作為風險管理框 架。身為一名資安人員,你已完成風險評估,接下來應該做下列何項步驟?
(A) Framing risk(界定風險)
(B) Responding risk(應對風險)
(C) Monitoring risk(監控風險)
(D) Asset Inventory(盤點資訊資產)
統計: A(4), B(8), C(11), D(2), E(0) #3923649
詳解 (共 2 筆)
這題的正確解答是 (B) Responding risk(應對風險)。
這題考的是美國國家標準暨技術研究院(NIST)所發布的 NIST SP 800-30 或 NIST SP 800-39 中經典的資訊安全風險管理流程(Risk Management Process)生命週期。
以下為您詳細說明解答與原因分析:
正確答案分析
-
解題關鍵:(B) 評估完風險後,下一步就是採取行動處理它。
-
核心原因:根據 NIST SP 800-39 的風險管理四步驟核心循環:
-
Frame(界定風險):建立風險管理的組織環境與背景脈絡。
-
Assess(評估風險):識別威脅、弱點,並計算出風險高低(也就是題目中你剛完成的步驟)。
-
Respond(應對風險):評估完風險後,組織必須決定如何處理這些風險(例如:接受、轉移、規避或減輕風險),並選擇對應的安全控制措施。
-
Monitor(監控風險):持續監控控制措施的有效性與環境變化。
-
-
因此,當你剛完成「風險評估(Assess)」,合乎邏輯且法定的下一步絕對是「應對風險(Respond)」。
-
其他選項原因分析(為何不選?)
-
(A) Framing risk(界定風險)
-
原因:這是風險管理的第一步(前置作業)。在界定階段,組織會定義風險的容忍度、評估方法與策略。這是在風險評估「之前」就必須完成的事,而不是之後。
-
-
(C) Monitoring risk(監控風險)
-
原因:這是風險管理的最後一步(持續性作業)。你必須先決定好如何應對風險、部署好安全防護(Respond)之後,才有可能去「監控」這些防護是否有效。直接跳到監控等於略過了處理風險的階段。
-
-
(D) Asset Inventory(盤點資訊資產)
-
原因:資產盤點屬於風險評估(Assess)階段中的基礎輸入資料(前置步驟)。如果沒有先盤點資產,根本無法知道有哪些威脅和弱點會影響公司,因此不可能在「已完成風險評估」後才回頭做盤點。
-
? 觀念速記:NIST 風險管理四部曲
NIST SP 800-39 的標準流程是一個不斷循環的四大區塊:
$$\text{Frame (界定)} \rightarrow \text{Assess (評估)} \rightarrow \color{red}{\text{Respond (應對)}} \rightarrow \text{Monitor (監控)}$$題目考的是 Assess 完的下一步,答案毫無疑問就是 Respond。