25. 您服務的公司在不同國家或地域皆有設置服務據點，而您也 是該公司總部單位的資訊安全長，當您預計制定該公司的資 訊安全發展策略時，下列何者是資訊安全長最「不」需優先 評估的因素？
(A) 基層員工和管理階層對於資通安全不同的認知態度
(B) 能否解決因為不同國家時差，而連絡到更上層的高層 主管
(C) 不同地域所需遵循的法規和行政規範之項目
(D) 全球各國的營業安控政策及流程的一致性

總結

制定跨國公司資訊安全策略時，首要需評估的關鍵因素包括：基層員工與管理階層對資安的認知態度（影響安全文化與執行力）(CSO Online)、不同地域所需遵循的法規與行政規範（決定合規性與政策方向）(Deloitte United States)，以及全球各國營業安全管控政策與流程的一致性（確保策略可跨地域落地）(Deloitte United States)。相較之下，因時差而能否即時聯絡更高層主管屬於組織溝通與人事管理的執行挑戰，並非策略制定中需優先納入的資安面向，故最不需優先評估。

選項解析

(A) 基層員工和管理階層對於資通安全不同的認知態度

安全文化的養成需自下而上同步推動，若基層與高層對資安價值觀存在落差，將影響控管措施的有效執行與組織凝聚力，為資訊安全長需優先關注的要素。(CSO Online)

(B) 能否解決因為不同國家時差，而連絡到更上層的高層主管

儘管跨時區溝通是營運管理上的挑戰，但它屬於行政與人事協調範疇，不直接影響資安策略的設計、風險評估或合規要求，因此最不需優先納入策略評估。(LinkedIn)

(C) 不同地域所需遵循的法規和行政規範之項目

各國法規（如 GDPR、SOX、個資法等）對安全控制與通報義務規定不一，資訊安全策略必須以合規為前提，否則將面臨高額罰鍰與聲譽風險，為必評估項目。(Deloitte United States)

(D) 全球各國的營業安控政策及流程的一致性

為確保策略能在各服務據點有效落地，需統一或協調各區域的安全政策與流程，如存取管理、事件回報與稽核機制，避免因流程差異導致防護薄弱。(Deloitte United States)

結論

在考量跨國資訊安全策略時，(B) 能否解決因為不同國家時差，而連絡到更上層的高層主管最不屬於資訊安全長需優先評估的因素。