22. 下列何項是評估資通系統安全等級的主要影響構面?
(A) 機密性、完整性、可用性、法律遵循性
(B) 資產價值、成本效益、時效性、法規遵循性
(C) 威脅、弱點、衝擊、可能性
(D) 硬體、軟體、場域、人員
統計: A(14), B(3), C(8), D(0), E(0) #3923646
詳解 (共 2 筆)
這題的正確解答是 (A) 機密性、完整性、可用性、法律遵循性。
這題考的是台灣《資通安全管理法》及其子法《資通安全責任等級分級辦法》中,政府機關與特定非公務機關在進行「資通系統安全等級評估(又稱系統防護需求分級)」時的法定核心影響構面。
以下為您詳細說明解答與原因分析:
正確答案分析
-
解題關鍵:(A) 法定評估系統安全等級(高、中、普)的四大構面
-
核心原因:根據中華民國《資通安全責任等級分級辦法》附表十(資通系統安全等級評估基準)之規定,評估一個資通系統到底屬於「高」、「中」還是「普」級,必須依據以下四個核心構面受損時的影響程度(衝擊損失)來判定:
-
機密性(Confidentiality):資訊若外洩,對國家、機關、社會或個人隱私的損害程度。
-
完整性(Integrity):資訊若遭惡意竄改、刪除,導致系統不正確的損害程度。
-
可用性(Availability):系統若中斷、癱瘓,導致業務無法運作的損害程度。
-
法律遵循性(Compliance):系統若出事,是否會違反個資法、醫療法、通訊保障及監察法等法律責任。
-
-
這四個構面直接決定了系統需要套用何種強度的資安防護基準(如基本、中級或高級防護控制措施)。
-
其他選項原因分析(為何不選?)
-
(B) 資產價值、成本效益、時效性、法規遵循性
-
原因:這通常是企業在進行「專案採購」或「IT 投資組合管理」時的評估評級指標。雖然包含法規遵循,但「成本效益」與「時效性」並非法律用來評定一個系統資安核心防護等級的標準。
-
-
(C) 威脅、弱點、衝擊、可能性
-
原因:這是標準的「風險評估(Risk Assessment)」核心四要素(風險 = 威脅 × 弱點 × 衝擊 × 可能性)。這是用來計算風險高低的,而題目問的是評估系統本身的「安全等級/防護需求屬性」,兩者觀念不同。
-
-
(D) 硬體、軟體、場域、人員
-
原因:這屬於資安稽核或資產盤點時的「資產分類/環境範圍」(資產類別),或者是實體與環境安全的範圍,並非評估系統安全防護等級(C-I-A 衝擊程度)的影響構面。
-
? 實務複習
在 ISMS 或台灣資安法中,要幫系統定級(普/中/高):
只要系統涉及敏感個人資料(如病歷)、核心業務中斷會引發重大公共利益受損,其 機密性、可用性 或 法律遵循性 的影響程度就會被判定為「高」,該系統就必須直接列為高級資通系統,強制導入最強的防護與監控(如端點偵測、日誌留存等)。