44. 公務機關判定資通安全事件等級時,應衡酌機密性、完整性及可用性(CIA)之受損 影響程度。若某事件經評估後,其影響等級分別為「機密性受損:2 級」 、「完整性受 損:3 級」、「可用性受損:1 級」,則該事件最終應判定為幾級資通安全事件?
(A) 第 3 級
(B) 第 1 級
(C) 第 2 級
(D) 由資訊主管自行決定
統計: A(12), B(3), C(5), D(5), E(0) #3923668
詳解 (共 2 筆)
這題的正確解答是 (A) 第 3 級。
這題考的是台灣《資通安全管理法》子法《資通安全事件通報及應變辦法》中,公務機關與特定非公務機關在判定「資通安全事件等級(1 級至 4 級)」時的「從高判定」原則。
以下為您詳細說明解答與原因分析:
正確答案分析
-
解題關鍵:(A) 採「高者從高、木桶理論」原則
-
核心原因:根據中華民國《資通安全事件通報及應變辦法》之規定,當機關發生資安事件時,必須針對機密性(C)、完整性(I)、可用性(A) 三個層面分別評估受損影響程度(各層面皆有對應的 1 至 4 級定義)。
-
計分公式:最終的事件等級並非取平均值,也不是由人員主觀認定,而是直接採取「取三者中最高等級者」作為最終的判定結果。
-
本題計算:
-
機密性受損:2 級
-
完整性受損:3 級(最高)
-
可用性受損:1 級
-
$$\text{最終事件等級} = \max(2, 3, 1) = \mathbf{3}$$
-
-
其他選項原因分析(為何錯誤?)
-
(B) 第 1 級、(C) 第 2 級
-
原因:這不符合資安風險管理的「最壞情況準備(Worst-case scenario)」邏輯。只要系統有任一構面遭到嚴重打擊(例如本題的完整性遭到 3 級破壞,可能代表核心核心資料庫遭大規模竄改、或機密公文管理系統被嚴重污染),整個事件的危害程度就已經達到該層級,不能被其他受損較輕的構面拉低。
-
-
(D) 由資訊主管自行決定
-
原因:資安事件的級別判定攸關法定的通報時效(例如 3 級事件必須在知悉後 1 小時內 完成法定通報,且要在規定時間內完成應變)。如此嚴格的法律義務必須依據客觀法規基準判定,絕對不可能交由資訊主管個人主觀自由心證或隨意決定。
-
? 考試實務速記
判定資安事件等級,只要記住四個字:「從高認定」。不論其他分數多低,只要其中一個構面衝到幾級,最終的大會報告就是那幾級資安事件!