iPAS◆資訊安全管理概論◆初級題庫下載題庫

正確答案是：

(D) 重要工作切分給多個人來執行。

職務區隔（Segregation of Duties, SoD）是一種內部控制原則，旨在確保組織中的職務和權限被適當地分離，以防止潛在的欺詐、錯誤或濫用。下面是對每個選項的解釋：

(A) 只提供執行業務上所需知道的資訊：這描述的是資訊原則中的最小授權原則，而不是職務區隔。最小授權原則是確保每個使用者只擁有執行其業務所需的最低權限。

(B) 定期審查權限：這是權限管理的一部分，但與職務區隔無直接關係。職務區隔著重於將關鍵工作分配給不同的人，以建立內部控制和防止欺詐。

(C) 權限開放時採用最低權限原則：這描述的是資訊安全中的原則，以確保使用者只被授予他們執行特定任務所需的最低權限。這也是一個重要的原則，但不是職務區隔的完整定義。

(D) 重要工作切分給多個人來執行：這是職務區隔的核心概念。它指的是將關鍵工作切分給多個人，以確保沒有單一人員具有足夠的權限和控制，以進行潛在的欺詐或濫用行為。這種分離可以提高內部控制的有效性和可靠性。