41. 關於資訊安全事件相關稽核日誌的敘述，下列何者正確？
(A) 系統管理者使用而觸發的系統稽核日誌，皆先留存日後再予以審查
(B) 組織可先討論針對系統稽核日誌關心的項目審查，一旦觸發時可優先通知權責主管進行後續處理
(C) 系統管理者因為管理上的需要，可使用到共用的管理帳號
(D) 網路設備留存的稽核日誌，雖然有異常登入的紀錄，但已被阻擋未有資訊安全事故發生，就不須再予以審查

1. 關於資訊安全事件相關稽核日誌的敘述，我們來分析各選項：

• (A) 系統管理者使用而觸發的系統稽核日誌，皆先留存日後再予以審查

  • 不完全正確。 雖然所有稽核日誌都應該留存，但對於系統管理者觸發的敏感操作日誌，僅僅「日後審查」可能不夠。對於高風險或異常行為，可能需要實時監控和警報機制，以便立即發現並處理潛在的資安事件。如果所有日誌都等到日後才審查，可能會錯過黃金處理時間。

• (B) 組織可先討論針對系統稽核日誌關心的項目審查，一旦觸發時可優先通知權責主管進行後續處理

  • 正確。 這是最符合資訊安全管理實務的做法。組織應該定義哪些稽核日誌項目是關鍵的、需要特別關注的（例如：異常登入、權限變更、檔案存取失敗次數過多等）。當這些特定事件被觸發時，應該有自動化的警報機制，並立即通知相關的權責主管或資安團隊，以便及時進行調查和應變。這能將有限的資源集中在最關鍵的資安事件上。

• (C) 系統管理者因為管理上的需要，可使用到共用的管理帳號

  • 錯誤。 在資訊安全實務中，嚴格禁止使用共用的管理帳號。每個系統管理者都應該有獨立的、唯一的管理帳號，這樣才能確保操作的可追溯性、問責性，並方便進行稽核。使用共用帳號會導致無法區分是誰進行了什麼操作，一旦發生問題，難以追查。

• (D) 網路設備留存的稽核日誌，雖然有異常登入的紀錄，但已被阻擋未有資訊安全事故發生，就不須再予以審查

  • 錯誤。 即使異常登入嘗試被阻擋，也絕不意味著可以不審查。異常登入嘗試本身就是一個重要的資安事件指標，可能代表著：
    • 攻擊者正在試圖入侵。
    • 弱密碼或憑證洩漏。
    • 內部人員的未經授權嘗試。
  • 這些異常紀錄都需要被審查、分析，以了解攻擊來源、攻擊意圖，並評估是否需要採取進一步的防禦措施，例如加強密碼策略、IP 黑名單、或進行威脅情報分析。忽視這些紀錄可能會錯失發現潛在威脅的機會。

綜合以上分析，選項 (B) 是唯一正確的描述。

答案是 (B)。