25. 公司選定 NIST 風險管理框架(Risk Management Framework, RMF)作為風險管理框 架。身為一名資安人員,你已完成風險評估,接下來應該做下列何項步驟?
(A) Framing risk(界定風險)
(B) Responding risk(應對風險)
(C) Monitoring risk(監控風險)
(D) Asset Inventory(盤點資訊資產)

答案:登入後查看
統計: A(4), B(8), C(11), D(2), E(0) #3923649

詳解 (共 2 筆)

#7403531
第 25 題 正確答案: B 解析: ...
(共 185 字,隱藏中)
前往觀看
1
0
#7421862

這題的正確解答是 (B) Responding risk(應對風險)

這題考的是美國國家標準暨技術研究院(NIST)所發布的 NIST SP 800-30NIST SP 800-39 中經典的資訊安全風險管理流程(Risk Management Process)生命週期。

以下為您詳細說明解答與原因分析:

正確答案分析

  • 解題關鍵:(B) 評估完風險後,下一步就是採取行動處理它。

    • 核心原因:根據 NIST SP 800-39 的風險管理四步驟核心循環:

      1. Frame(界定風險):建立風險管理的組織環境與背景脈絡。

      2. Assess(評估風險):識別威脅、弱點,並計算出風險高低(也就是題目中你剛完成的步驟)。

      3. Respond(應對風險):評估完風險後,組織必須決定如何處理這些風險(例如:接受、轉移、規避或減輕風險),並選擇對應的安全控制措施。

      4. Monitor(監控風險):持續監控控制措施的有效性與環境變化。

    • 因此,當你剛完成「風險評估(Assess)」,合乎邏輯且法定的下一步絕對是「應對風險(Respond)」。

其他選項原因分析(為何不選?)

  • (A) Framing risk(界定風險)

    • 原因:這是風險管理的第一步(前置作業)。在界定階段,組織會定義風險的容忍度、評估方法與策略。這是在風險評估「之前」就必須完成的事,而不是之後。

  • (C) Monitoring risk(監控風險)

    • 原因:這是風險管理的最後一步(持續性作業)。你必須先決定好如何應對風險、部署好安全防護(Respond)之後,才有可能去「監控」這些防護是否有效。直接跳到監控等於略過了處理風險的階段。

  • (D) Asset Inventory(盤點資訊資產)

    • 原因:資產盤點屬於風險評估(Assess)階段中的基礎輸入資料(前置步驟)。如果沒有先盤點資產,根本無法知道有哪些威脅和弱點會影響公司,因此不可能在「已完成風險評估」後才回頭做盤點。

? 觀念速記:NIST 風險管理四部曲

NIST SP 800-39 的標準流程是一個不斷循環的四大區塊:

$$\text{Frame (界定)} \rightarrow \text{Assess (評估)} \rightarrow \color{red}{\text{Respond (應對)}} \rightarrow \text{Monitor (監控)}$$

題目考的是 Assess 完的下一步,答案毫無疑問就是 Respond

0
0

私人筆記 (共 1 筆)

私人筆記#8246397
未解鎖
解析:NIST RMF 架構流程 根據...
(共 445 字,隱藏中)
前往觀看
0
0