阿摩線上測驗
複選題
5. A 公司因近期接獲金融業之客戶通知,爾後承接其業務時,公司應具備最新版 ISO 27001 資訊安全管理系統之導入並通過第三方驗證。請 問 A 公司於導入 ISO 27001 資訊安全管理系統時所申請之驗證範圍,下列哪些項目 最為適切?
(A)資訊機房管理業務活動流程
(B) 人力資源管理系統業務活動流程
(C) 系統開發、維護活動
(D)核心資通系統管理業務活動
統計: A(14), B(5), C(16), D(16), E(0) #3871540
詳解 (共 1 筆)
這是一題關於 ISO 27001 驗證範圍(Scope)界定 的實務情境題。在界定驗證範圍時,最核心的考量是「客戶的需求」、「核心業務活動」以及「支撐這些業務的資產與流程」。
以下為您分析答案與各選項:
正確答案:(A)、(C)、(D)
題目背景分析
-
A 公司的核心業務: 為金融業開發與維護「資訊交換系統」。
-
客戶期望: 提供安全、穩定之系統,且發生資安事件時需即時通報。
-
關鍵資產與地點: 原始碼存放於「自建資訊機房」;所有活動使用「自建應用系統」(含核心資通系統)。
-
委外關係: 部分開發與 B 公司合作,但原始碼由 A 公司管控。
各選項詳解與對錯原因
(A) 資訊機房管理業務活動流程 —— 正確
-
原因: 題目明確提到系統原始碼保存於「A 公司自建之資訊機房內」。機房是存放核心智財(原始碼)與運行核心系統的物理場所。若要保證系統的安全與穩定(客戶要求),機房的實體安全、電力與環境控制必須納入 ISO 27001 驗證範圍內。
(B) 人力資源管理系統業務活動流程 —— 錯誤
-
原因: 雖然 A 公司內部有使用人資系統,但人資系統屬於「支援性行政流程」,而非 A 公司對外提供給金融客戶的「核心業務(資訊交換系統)」。在申請 ISO 27001 驗證時,為了成本與效率,通常會優先納入與客戶產品直接相關的流程。除非人資流程涉及核心開發人員的背景審查(Security Screening)且被視為關鍵風險,否則通常不列為「最適合」的驗證範疇首選。
(C) 系統開發、維護活動 —— 正確
-
原因: 這是 A 公司的核心業務活動。客戶委託的就是系統開發與維護,且要求「開發安全」。ISO 27001 中的開發生命週期(SDLC)管理、版本控制、委外開發管理(與 B 公司的合作關係)都是確保產品安全的關鍵,因此必須包含在範圍內。
(D) 核心資通系統管理業務活動 —— 正確
-
原因: 題目提到 A 公司執行業務時使用「自建核心資通系統」。這些系統支撐著開發與維護作業的運行。為了達成客戶對「穩定與安全」的期望,這些核心系統的權限控管、備份、監控與維運管理流程,是通過第三方驗證時最重要的核心評估對象。
總結
在界定 ISO 27001 範圍時,必須對準「業務連續性」與「客戶合約要求」。由於金融業客戶關注的是「資訊交換系統」的安全性,因此所有直接參與該系統開發(C)、運行該系統的核心環境(D)以及存放資料的物理機房(A),皆為最適合且必要的驗證範圍項目。