16. 在落實資訊安全管理制度(ISMS)時,行銷部門主管認為「客戶名單」屬於機密資 料,但 IT 管理員認為該檔案僅供內部參考。在資產分類的權責架構中,較「不」適 合由下列何者決定該資料的機密等級?
(A) 資訊資產擁有者(Asset Owner)
(B) 資訊安全長(CISO)
(C) 資料隱私保護官(DPO)
(D) 系統管理員(System Administrator)
統計: A(4), B(3), C(4), D(13), E(0) #3923640
詳解 (共 2 筆)
這題的正確解答是 (D) 系統管理員(System Administrator)。
這題考的是資訊安全管理制度(ISMS,如 ISO 27001)中非常核心的資產管理與權責劃分(Role & Responsibility)觀念。
在資安維護上,我們必須區分「誰擁有/了解這份資料(業務面)」與「誰負責維護存放這份資料的系統(技術面)」。
以下為您詳細說明解答與原因分析:
正確答案分析
-
解題關鍵:(D) 系統管理員(最「不」適合決定機密等級)
-
核心原因:系統管理員(IT人員)在 ISMS 架構中通常扮演「資產保管者(Asset Custodian)」的角色。他們負責的是硬體維護、權限設定、備份及套用安全原則等「技術實作」。
-
為什麼不能決定?:IT 管理員並不參與第一線的業務運作,無法真正評估該資料一旦外洩,對公司業務、營收或商譽會造成多大的衝擊(這也是為什麼題目中 IT 管理員會誤以為客戶名單「僅供內部參考」,而忽略了行銷部門外洩名單的巨大風險)。因此,由保管者來決定資產的價值與機密等級,是本末倒置的。
-
其他選項原因分析(為何他們適合參與或決定?)
-
(A) 資訊資產擁有者(Asset Owner)
-
原因:這是最標準、最適合的法定決定者。 在 ISO 27001 標準中,機密等級原則上就是由「資產擁有者」來定義的。以本題為例,行銷部門主管最清楚客戶名單是怎麼收集來的、對業務有多重要,因此他作為該資料的 Owner,最有權力且最適合判定其等級。
-
-
(B) 資訊安全長(CISO)
-
原因:CISO 負責統籌全公司的資安治理策略與分類定義。當業務單位(行銷部)與技術單位(IT)對資料評級產生認知衝突時,CISO 具有高階管理權限,可以依據公司的風險管理政策進行最終裁決或居中協調。
-
-
(C) 資料隱私保護官(DPO)
-
原因:由於「客戶名單」涉及大量客戶的個人隱私資料(PII),DPO 負責確保公司各項資料處理符合《個資法》(或 GDPR)等法規。DPO 從法律合規與隱私衝擊評估(PIA)的角度切入,非常適合參與並指導該資料應列為高機密等級。
-
? 觀念總結:Owner(擁有人)定等級,Custodian(保管人)做防護
行銷主管(Asset Owner):懂得資料的商業價值 $\rightarrow$ 決定這份資料是「極機密」。
IT 管理員(Custodian/SysAdmin):不懂商業價值,但懂技術 $\rightarrow$ 依據 Owner 的決定,在伺服器上把該資料夾權限鎖死,只允許特定人讀取。