CC考點
1.高階主管不得授權日常資安維運工作給團隊成員,是否正確
答案:不正確,風險擁有者(高階主管)可以將日常資安工作授權給保管員(或其他授權人員)
2.風險擁有者的工作為何
答案:其決定資訊安全處理計劃的核准,以及對剩餘資訊安全風險的接受。
3.OO公司董事會決定建立資安三道防線,第一道防線是資訊處資安技術人員,第二道防線是風險管理處資安管理人員,第三道防線是董事會稽核室資安稽核人員。而這三道防線會建立「資訊安全政策」,請問資訊安全政策屬於:
A.管理/行政控制
B.技術控制
C.物理控制
D.雲端設定控制
答案為A
根據定義,行政控制(也稱為管理控制)係針對組織內人員的指示、指南或建議,故資訊安全政策屬於行政(管理)控制。```