阿摩線上測驗
7. 【題組 1】情境如附圖所示。身為該醫療中心的資安長(CISO), 在事件後的改善會議上,考量到醫院的預算限制與營運持續性, 下列何項針對「供應鏈安全」的長期風險處理策略最為務實且具成本效益?
(A) 要求所有第三方軟體供應商提供其產品的完整原始碼進行原始碼掃描
(B) 建立軟體物料清單(Software Bill of Materials, SBOM) 管理機制,並導入工具持續監控已知漏洞
(C) 全面禁止使用任何開源軟體與第三方模組,所有系統均 自行開發
(D) 要求第三方軟體供應商皆簽署最高額度資安保險
答案:登入後查看
統計: A(6), B(49), C(0), D(0), E(0) #3536993
統計: A(6), B(49), C(0), D(0), E(0) #3536993
詳解 (共 2 筆)
hiiii
#7057087
正確答案是 ✅ (B) 建立軟體物料清單 (Software Bill of Materials, SBOM) 管理機制,並導入工具持續監控已知漏洞。
?一、題目情境關鍵字
題幹描述:
-
醫療中心為關鍵基礎設施提供者;
-
使用AI 輔助開發工具、第三方遠距平台,涉及軟體供應鏈風險;
-
事件後進行「長期風險處理策略」;
-
考量到預算限制與營運持續性。
因此重點是:
在有限資源下,如何「務實」地管理供應鏈安全,避免第三方或開源套件再成為漏洞來源。
?二、選項逐一解析
| 選項 | 說明 | 評價 |
|---|---|---|
| (A) 要求第三方提供完整原始碼掃描 | 理論上安全性高,但實務上廠商多不願提供原始碼(智慧財產權問題),且維護成本極高。 | ❌ 不切實際 |
| (B) 建立 SBOM 機制 + 持續漏洞監控 | 可自動化追蹤使用之第三方元件、套件與版本,若有新 CVE 即時警示;是目前國際公認供應鏈安全最佳實務(如美國NIST、FDA醫療裝置規範)。 | ✅ 務實且具成本效益 |
| (C) 全面禁止開源或第三方模組 | 幾乎不可能實現,將大幅提高開發成本、延長上線時程;違反「營運持續性」考量。 | ❌ 不可行 |
| (D) 要求廠商簽署高額資安保險 | 屬「轉移風險」手段,但成本高、難以執行,且無法預防技術層面漏洞。 | ⚠️ 次要策略,非長期成本效益高方案 |
?三、為什麼選 (B) 是長期且務實的方案
-
SBOM(軟體物料清單) 能清楚列出系統中使用的所有第三方套件與版本。
-
配合 自動化漏洞掃描 / 威脅情資比對(如 CVE、NVD、VEX),可即時發現潛在風險。
-
相較於原始碼審查或保險,成本低、可持續、自動化。
-
已被納入 美國NIST SP 800-218(SSDF) 與 FDA醫療器材資安指引 要求。
✅ 最正確答案:B
建立SBOM與持續漏洞監控是兼顧成本效益、營運需求與法規趨勢的最務實供應鏈安全策略。
0
0
