7. A 公司接受金融機構之受託業務,客製化開發之各案, 其委託金額均達新台幣三千萬至五千萬,依《資通安全管理法》及其子法規定,下列 項目何者「有誤」?
(A) A 公司提供自行檢測之「資訊交換系統」安全性證明
(B) B 公司提供該「資訊交換系統」之安全性檢測證明
(C) 金融機構客戶自行進行安全性檢測
(D)金融機構客戶另行委託第三方進行安全性檢測

答案:登入後查看
統計: A(59), B(8), C(26), D(7), E(0) #3871542

詳解 (共 1 筆)

#7437061

為什麼 (A) 是錯誤(有誤)的?
缺乏獨立性(球員兼裁判):
A 公司是接受金融機構委託「客製化開發」該資訊交換系統的受託廠商。在資安稽核與風險管理中,開發團隊不能「自行檢測」並出具安全性證明。因為自我檢測缺乏客觀性與獨立性,無法確保系統沒有盲點或刻意留下的後門。
法規與實務要求:
安全性檢測必須由非開發人員之獨立第三方、具公信力之資安檢測機構,或是由客戶(金融機構)自行/另行委外進行。因此,A 公司直接提供「自行檢測」的證明是不符合資安合規要求的。
? 其他選項為什麼「正確」(符合法規精神)?
(B) B 公司提供該「資訊交換系統」之安全性檢測證明
原因:情境中提到「部分功能長期與系統開發商 B 公司合作共同開發」。若由 B 公司針對其開發或整體系統提供合規的安全性檢測證明(或經由第三方驗證),在多方開發的架構下是常見且合法的要求。
(C) 金融機構客戶自行進行安全性檢測
原因:委託方(金融機構客戶)為了確保自身權益與資安合規,本來就可以在系統上線前或驗收時,由內部的資安單位自行進行獨立的安全性檢測(如弱點掃描或源碼審查),這是最直接的防禦把關。
(D) 金融機構客戶另行委託第三方進行安全性檢測
原因:這是實務上最推薦也最合規的做法。由中立的第三方資安專業機構進行滲透測試或資安健檢,最能確保檢測結果的客觀性與可信度。

0
0