30. 【題組 4】情境如圖所示。承上題，依 XYZ 科技的資訊安全委員會在評量資安策略及資安管理架構時，請問下列何項資訊安 全管理範疇設定描述最「不」適切？
(A) 包含有形與無形的資訊資產、人員、營運流程皆應納入風險評鑑項目之中
(B) 針對供應商資安作業，可於合約要求簽署必要的保密協 議及資訊安全事項，並遵循公司資訊安全政策
(C) 產品不屬資訊資產不需列入資安風險評鑑項目之中，應由產品部門依循公司定訂的-「產品安全開發生命週期 (Product Security Development Life Cycle, PSDLC)」程序操作即可
(D) 資訊安全管理需定期參考國際安全標準及銷售地之法律 法規要求，並更新公司的相關管理辨法與程序

這道題目要找出關於「資訊安全管理範疇設定」描述最不適切的選項。我們根據題目提供的情境（XYZ 公司為晶片設計公司）以及標準的資安治理原則來分析。

選項分析：

• (A) 包含有形與無形的資訊資產、人員、營運流程皆應納入風險評鑑項目之中：

  這是適切的。ISO 27001 要求風險評鑑必須涵蓋所有相關資產，包括硬體（有形）、軟體與智慧財產（無形）、人員及業務流程。

• (B) 針對供應商資安作業，可於合約要求簽署必要的保密協議及資訊安全事項，並遵循公司資訊安全政策：

  這是適切的。圖 1 的「2023年進度」與「短期目標」中皆明確提到了「供應商資安防護能力」、「修訂派遣外包合約」等，顯示供應商管理是資安策略的重要一環。

• (C) 產品不屬資訊資產不需列入資安風險評鑑項目之中，應由產品部門依循公司定訂的-「產品安全開發生命週期 (PSDLC)」程序操作即可：

  這是最不適切的。

  1. 核心資產誤判：XYZ 是「晶片設計公司」，其產品（晶片設計圖、IP） 是公司最有價值的核心資訊資產（無形資產）。將其排除在資訊資產之外是極大的錯誤。

  2. 治理架構矛盾：圖 2 的資安管理架構中，「產品安全」 明確列為資安委員會轄下的三大支柱之一。這表示產品安全是公司整體資安治理的核心部分，必須納入整體的風險評鑑與管理範疇，而不僅僅是丟給產品部門跑 PSDLC 流程就沒事了。

  3. 風險視角缺失：PSDLC 是「控制措施」或「流程」，而風險評鑑是要找出「威脅」與「弱點」。必須先將產品視為資產進行評鑑，才能確認 PSDLC 是否足以涵蓋所有風險（如供應鏈攻擊、IP 竊取等）。

• (D) 資訊安全管理需定期參考國際安全標準及銷售地之法律法規要求，並更新公司的相關管理辨法與程序：

  這是適切的。圖 1 的目標中提到了導入 ISO 27001、TISAX（車載資安標準）以及確保遵循 IP 資安保護政策，這符合合規性（Compliance）的要求。

結論：

選項 (C) 錯誤地將公司最重要的資產排除在風險評鑑之外，且違背了圖 2 將產品安全納入整體資安治理架構的意旨。

正確答案：(C)