【題組 5】風險管理是資訊安全的核心,對於風險的識別、策略面對於風險的
危險的計算均來自於有效的風險管理。
您是一位資訊安全管理人員,公司的資訊資產無論是管理、技術或營運都須由你來進行規畫,你發現由人事單位所執行的 EIP
(Enterprise Information Portal)開發一案,承辦廠商無法提出任何
技術性檢測報告,上線進入測試階段時,你發現該站台上有非常嚴
重的 SQL Injection、XSS、CSRF…等網站應用程式弱點,你試圖要透過合約中規範開發廠商基於安全性問題,必須提供無償 20%程式
碼修改的服務。
但基於你於此類技術性風險識別後,發現此類問題為非常低級錯誤,但在現在階段進行修補曠日廢時,而 CEO 要求你針對此類風
險進行評估,必須避免重複花費,且可接受採用現有公司防護資訊
設備進行保護。
經過盤點,你基於一個月內能進行降低風險的解決方案包含:
1. 將該 EIP 納入網站應用程式防火牆保護,可提供 60%的防護效益
2. 要求乙方應對安全性問題提出改善計劃,但需三個月的時間
3. 另外尋求外包資源針對發現的資安問題進行修補,需額外花費
超過本案 50%的金額
4. 透過 MSSP(Managed Security Service Provider)提供監控 EIP
服務即早預警入侵事件,需額外花費本案 25%的費用
5. 設定網站伺服器平台提供過濾 URI ( Uniform Resource
Identifier)字串功能,可提供 85%的防護效益
【題組】40. 【題組 5 背景描述如附圖】因人事單位發包的員工入口網弱
點事件,發現公司內部的系統發包規範未有一個有效的管理
規範,以導致本項問題,在公司組織內無設置 CIO/CISO 及
資安專責人員的制度,造成資訊安全問題層出不窮,因此公
司決定要導入資訊安全管理系統制度進行管理,目前已完成
資訊資產盤點,透過內部議題討論後發現,除了無資安專責
人員以外,亦無有效管控資安風險的資訊資產。請問下列哪
些可以有效的提升這些資訊軟體取得之前的安全強度?
(A) 建立合約範本,將相關檢測需求明文規範
(B) 定期執行已發包專案合約內容審查
(C) 設立資安專責單位並將相關需求交由該專責單位查
驗
(D) 驗收後定期執行各項檢測並要求廠商辦理技術移轉
教育訓練