42. 下列何項「不」是資訊安全事故管理計畫需考量的程序？
(A) 制訂資訊安全事故準則
(B) 分析及通報資訊安全事故
(C) 損失與賠償
(D) 存錄事故管理活動

這題的正確答案是 (C) 損失與賠償。

解析

資訊安全事故管理計畫 (Incident Management Plan, IMP) 的核心目的在於：「如何發現問題、控制損害、恢復運作，並從中學習」。它是一個操作層面的流程，主要由資安團隊（CSIRT）執行。

• 為什麼 (C) 是最不適當的？

  • 性質不同： 「損失與賠償」屬於 法律責任 (Legal Liability)、風險轉移 (Risk Transfer / Insurance) 或 財務管理 的範疇。

  • 時間點不同： 雖然事故確實會造成損失，但事故管理計畫的當務之急是「止血（控制範圍）」和「復原（恢復服務）」。至於要賠償客戶多少錢、或是向保險公司索賠，通常是在事故結束後，由法務部門或風險管理部門處理的後續事宜，並非 CSIRT 團隊在當下依據事故管理計畫執行的程序。

• 其他選項為何是必要的？

  • (A) 制訂資訊安全事故準則： 這是 準備階段 (Preparation)。必須先定義什麼算「事故」（例如：駭客入侵 vs. 硬碟故障），才能知道何時啟動計畫。

  • (B) 分析及通報資訊安全事故： 這是 偵測與分析 (Detection & Analysis) 階段。確認事故嚴重度並依規定通報（如通報主管機關），是計畫中的核心動作。

  • (D) 存錄事故管理活動： 這是 鑑識與檢討 (Post-Incident Activity) 的基礎。所有處置過程必須詳細記錄（Log），以利後續的調查取證與檢討改善。

總結

資安事故管理計畫關注的是 「處置 (Action)」 與 「流程 (Process)」；而損失與賠償關注的是 「後果 (Consequence)」 與 「財務 (Finance)」。