A 公司為某先進產品的製造商，該公司主要據點 B 與 C 分散在國內兩地，距離約 20 km，其主要客戶位於歐洲地區，該公司十 分重視資訊安全及品質管理，先前已通過 ISO 9001、ISO 27001 及 ISO 27701 等相關標準的驗證。據點 B 主要主要包含的業務 與技術服務部門，據點 C 主要包含管理部門、資訊部門及相關 研發、製造部門。

       某公司資訊系統管理人員發現該公司 SQL Server 有些異常現象發生，經檢視相關 SQL Server 之紀錄檔之後，並未發現足以支 撐該管理人員對此異常現象發生原因之推論，惟該管理人員可以判斷的是，這個異常現象應該是人為的因素比較大，因此， 管理人員為了確認 SQL Server 異常現象的發生是其所判斷的 「人為因素」所產生。

某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及雲端監護系統的安全，該機構規劃導入零信任架構（Zero Trust Architecture）強化存取控制，解決行動式醫療車 及行動加護病房的雲端即時監護系統。

A 公司年初導入 ISO 27001 資訊安全管理制度，並參考 ISO 31000 風險架構制度訂定風險管理辦法及相關程序。公司亦順利於年底取 得驗證通過，驗證過程稽核員於風險管理過程出具一項次要缺失， 主因為 A 公司於年度風險評鑑過程，風險項目量化數值計算錯誤， 但不影響風險排序以及後續選擇風險進行回應之作業。

風險管理是資訊安全的核心，對於風險的識別、策略面對於風險的 危險的計算均來自於有效的風險管理。 您是一位資訊安全管理人員，公司的資訊資產無論是管理、技術或營運都須由你來進行規畫，你發現由人事單位所執行的 EIP （Enterprise Information Portal）開發一案，承辦廠商無法提出任何 技術性檢測報告，上線進入測試階段時，你發現該站台上有非常嚴 重的 SQL Injection、XSS、CSRF…等網站應用程式弱點，你試圖要透過合約中規範開發廠商基於安全性問題，必須提供無償 20%程式 碼修改的服務。 但基於你於此類技術性風險識別後，發現此類問題為非常低級錯誤，但在現在階段進行修補曠日廢時，而 CEO 要求你針對此類風 險進行評估，必須避免重複花費，且可接受採用現有公司防護資訊 設備進行保護。 經過盤點，你基於一個月內能進行降低風險的解決方案包含：

1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60%的防護效益

2. 要求乙方應對安全性問題提出改善計劃，但需三個月的時間

3. 另外尋求外包資源針對發現的資安問題進行修補，需額外花費 超過本案 50%的金額

4. 透過 MSSP（Managed Security Service Provider）提供監控 EIP 服務即早預警入侵事件，需額外花費本案 25%的費用

5. 設定網站伺服器平台提供過濾 URI （ Uniform Resource Identifier）字串功能，可提供 85%的防護效益