申論題模擬─資訊安全法令與規範（2024-02-15）

申論題模擬─資訊安全法令與規範（2024-02-15）

申論題：

根據ISO 27001標準，以下是相對應的答案：

風險管理的主要步驟包括風險評鑑、風險處理，以及風險處理的核可。在ISO 27001中，這項工作通常由風險擁有者（Risk Owner）負責。

ISO 27001中並未明確使用資產擁有者、設備擁有者、以及資料擁有者的詞彙。相對應的，ISO 27001使用「資訊資產所有者」（Information Asset Owner）這個術語，該擁有者通常是擁有對資訊資產最高權限的個人或實體。

以下是五題申論題：

一、請解釋ISO 27001中風險評鑑的步驟和目的，並說明風險處理階段中風險擁有者的角色及責任。

二、請詳細比較ISO 27001中的資訊資產所有者、風險擁有者、設備擁有者和風險擁有者之間的角色和責任。

三、解釋ISO 27001中風險擁有者的重要性，以及他們如何協助確保組織有效處理風險。請提供實際案例或情境以支持你的說法。

四、請探討在ISO 27001風險處理過程中可能面臨的挑戰和障礙。並提出解決這些挑戰的建議或方法，以確保風險處理能夠順利執行。

五、ISO 27001中風險處理的最終目標是降低風險至組織可以接受的水平。請說明如何評估風險處理的有效性，並提出持續監控和調整風險管理策略的建議。

B

34. 下列何種人員負責風險評鑑後風險處理與殘餘風險結果的核可？

(A) 資產 擁有者（ Asset Owner）

(B) 風險擁有者（ Risk Owner）

(C) 設備擁有者（ Device Owner）

(D) 資料擁有者 （Data Owner）

風險接受準則。

6.1.2(a)1.可接受風險怎麼決定呢？

(2)履行資訊安全風險評鑑之準則。
(b)確保重複之資訊安全風險評鑑產生一致、有效及適於比較之結果。
(c)識別資訊安全風險。
(1)應用資訊安全風險評鑑過程，以識別資訊安全管理系統範圍內與漏失資訊之機密性、完整性及可用性相關聯之風險。
(2)識別風險擁有者。
(d)分析資訊安全風險。
(1)評鑑若 6.1.2(c)(1) 中所識別之風險實現時，可能導致之潛在後果。
(2)評鑑 6.1.2(c)(1) 中所識別之風險發生的實際可能性。
(3)決定風險等級。
(e)評估資訊安全風險。
(1)以 6.1.2(a) 中所建立之風險準則，比較風險分析結果。
(2)訂定已分析風險之風險處理優先序。
組織應保存關於資訊安全風險評鑑過程之文件化資訊。