某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及雲端監護系統的安全，該機構規劃導入零信任架構（Zero Trust Architecture）強化存取控制，解決行動式醫療車 及行動加護病房的雲端即時監護系統。

風險管理是資訊安全的核心，對於風險的識別、策略面對於風險的 危險的計算均來自於有效的風險管理。 您是一位資訊安全管理人員，公司的資訊資產無論是管理、技術或營運都須由你來進行規畫，你發現由人事單位所執行的 EIP （Enterprise Information Portal）開發一案，承辦廠商無法提出任何 技術性檢測報告，上線進入測試階段時，你發現該站台上有非常嚴 重的 SQL Injection、XSS、CSRF…等網站應用程式弱點，你試圖要透過合約中規範開發廠商基於安全性問題，必須提供無償 20%程式 碼修改的服務。 但基於你於此類技術性風險識別後，發現此類問題為非常低級錯誤，但在現在階段進行修補曠日廢時，而 CEO 要求你針對此類風 險進行評估，必須避免重複花費，且可接受採用現有公司防護資訊 設備進行保護。 經過盤點，你基於一個月內能進行降低風險的解決方案包含：

1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60%的防護效益

2. 要求乙方應對安全性問題提出改善計劃，但需三個月的時間

3. 另外尋求外包資源針對發現的資安問題進行修補，需額外花費 超過本案 50%的金額

4. 透過 MSSP（Managed Security Service Provider）提供監控 EIP 服務即早預警入侵事件，需額外花費本案 25%的費用

5. 設定網站伺服器平台提供過濾 URI （ Uniform Resource Identifier）字串功能，可提供 85%的防護效益