【題組 5】風險管理是資訊安全的核心,對於風險的識別、策略面對於風險的
危險的計算均來自於有效的風險管理。
您是一位資訊安全管理人員,公司的資訊資產無論是管理、技術或營運都須由你來進行規畫,你發現由人事單位所執行的 EIP
(Enterprise Information Portal)開發一案,承辦廠商無法提出任何
技術性檢測報告,上線進入測試階段時,你發現該站台上有非常嚴
重的 SQL Injection、XSS、CSRF…等網站應用程式弱點,你試圖要透過合約中規範開發廠商基於安全性問題,必須提供無償 20%程式
碼修改的服務。
但基於你於此類技術性風險識別後,發現此類問題為非常低級錯誤,但在現在階段進行修補曠日廢時,而 CEO 要求你針對此類風
險進行評估,必須避免重複花費,且可接受採用現有公司防護資訊
設備進行保護。
經過盤點,你基於一個月內能進行降低風險的解決方案包含:
1. 將該 EIP 納入網站應用程式防火牆保護,可提供 60%的防護效益
2. 要求乙方應對安全性問題提出改善計劃,但需三個月的時間
3. 另外尋求外包資源針對發現的資安問題進行修補,需額外花費
超過本案 50%的金額
4. 透過 MSSP(Managed Security Service Provider)提供監控 EIP
服務即早預警入侵事件,需額外花費本案 25%的費用
5. 設定網站伺服器平台提供過濾 URI ( Uniform Resource
Identifier)字串功能,可提供 85%的防護效益
【題組】38. 【題組 5 背景描述如附圖】風險處理實務中,針對定量分析
(Quantitative),可以計出精準的風險危害程度,計算出可
被度量的數值,一般來說,它是金錢的單位,要計算出一年
內單一風險因子對於資訊資產產生單一危害。經過評估,本
項網站弱點資產價值為 120 萬元,已識別出有 3 個可利用的
弱點,可取得網站上所有員工的個人資料,無論其弱點的多
寡,其危害網站 40%的價值,該 EIP 網站並未被公開於網路
上,但在過去此類內部網站弱點被利用一年內約有 12%的弱
點被利用,請問其年損失期望計算下列何者正確?
(A) 120 萬 * 3 * 40% * 12%
(B) (120 萬 * 3 * 40%) – (120 萬 * 12%)
(C) (120 萬 * 40%) * 12%
(D) (120 萬 * (40%/3) * 12