12.資訊單位導入新企業資源規劃系統(ERPSystem)進行系統安全評估時,應評估下列哪些項目?1.系統安全性評估、2.容量管制評估、3. 實體環境安全、4.使用者功能性需求評估
(A)13
(B)123
(C)134
(D)1234
答案:登入後查看
統計: A(56), B(393), C(69), D(103), E(0) #3055833
統計: A(56), B(393), C(69), D(103), E(0) #3055833
詳解 (共 2 筆)
#7440267
這題的正確答案是 (B) 123。
這題的解題關鍵在於題目明確限定了「進行系統安全評估時」(也就是從資訊安全與 IT 治理的維度出發)。以下為各個項目是否納入評估的詳細原因:
納入評估項目說明(1、2、3)
-
1. 系統安全性評估:
-
原因: 這是安全評估的的核心。ERP 系統承載企業的財務、供應鏈、人事等核心機密,必須評估其身分驗證機制(如 MFA)、權限控管(如資安權責分立 SoD)、資料加密(傳輸與儲存)、稽核軌跡(Log)以及防範惡意攻擊的能力。
-
-
2. 容量管制評估(Capacity Control / Management):
-
原因: 在資安的三要素(CIA)中,「可用性(Availability)」是關鍵的一環。ERP 系統上線後,若因為資料庫硬體空間不足、記憶體或 CPU 載載過高,導致系統癱瘓或拒絕服務,這在資安與 IT 治理上屬於嚴重的可用性資安事件。因此,評估系統在高峰期的容量與效能承載力,是安全與營運持續評估的必要項目。
-
-
3. 實體環境安全:
-
原因: 不論 ERP 是建置在企業實體機房(On-Premise)還是雲端(Cloud),都必須評估存放 ERP 伺服器與資料庫的實體安全環境(如機房門禁、溫溼度控制、不斷電系統 UPS、消防滅火系統等)。若實體環境遭到破壞或竊取,軟體安全性做得再好也無濟於事。
-
未納入「安全評估」原因說明(4)
-
4. 使用者功能性需求評估:
-
原因: 這屬於業務邏輯與流程設計(Business Requirement)的範疇。例如「財務模組能不能自動產出傳票」、「採購流程需要幾階簽核」,這些是評估系統「好不好用、符不符合業務需求」,而不是評估系統「安不安全」。雖然它在 ERP 導入專案中非常重要,但不屬於「系統安全評估」的審查範圍。因此排除項目 4。
-
0
0