6. A 公司於執行風險評鑑過程，依據風險評鑑結果選擇適切之資訊安全風險處理選項，並據以產生適用性聲明。請問有關部分之適用性聲明內容，下列何者「有誤」？
(A)
(B)
(C)
(D)

答案：登入後查看
統計： A(1), B(2), C(0), D(6), E(0) #3871541

洪承佑

B1 · 2026/05/06

#7363092

這是一題關於 ISO 27001:2022 附錄 A 控制措施 與 適用性聲明 (SoA) 的實務情境分析題。在撰寫 SoA 時，必須根據公司實際的業務活動、資產環境以及客戶需求來決定各項控制措施是否「適用」。

5.8 專案管理之資訊安全： A 公司承接各項開發案，需在專案生命週期中納入資安管理，故「適用」。
5.19 ~ 5.22 供應商相關控制： 題目明確提到 A 公司與 B 公司合作開發。B 公司即為 A 公司的供應商，因此從建立關係、協議內容到服務監視都必須管控，故「適用」。

5.23 使用雲端服務之資訊安全： 題目強調「無任何外部服務（包含雲端服務）使用」，因此該項控制措施在 A 公司的環境中不存在，列為「不適用」是正確的。
5.24 事故管理規劃： 客戶期望包含「發現資安事件即時通報」，公司必須有事故規劃才能達成，故「適用」。
6.6 機密性或保密協議 (NDA)： 與金融客戶簽約及與 B 公司合作皆涉及敏感資料，必須簽署 NDA，故「適用」。

8.28 安全程式設計 & 8.29 安全測試： A 公司自行開發軟體且需確保安全，這兩項顯然「適用」。
8.30 委外開發： 這是本選項錯誤的關鍵。題目第一段末尾提到：「部分功能開發作業長期與系統開發商 B 公司合作共同開發」。既然有部分開發是交給外部的 B 公司負責，根據 ISO 27001 規範，「委外開發」控制措施必須列為「適用」，以管理 B 公司的開發品質與安全性。選項中標註「不適用」與事實矛盾。

因為 A 公司將部分開發工作交由 B 公司 執行，這屬於典型的「委外開發」行為。在 SoA 中，必須將 8.30 委外開發 列為「適用」，並制定相應的監督與驗收機制，不能因為原始碼最後存在 A 公司就宣稱不適用。

6. A 公司於執行風險評鑑過程，依據風險評鑑結果選擇適 切之資訊安全風險處理選項，並據以產生適用性聲明。請問有關部分之適用性聲明 內容，下列何者「有誤」？ (A)(B)(C)(D)