高科技製造業供應鏈資安-解答

課程簡介

隨著數位轉型和人工智慧應用的進展，駭客的攻擊頻率不斷增加，尤其對與數位科技高度相關的高科技產業造成了重大威脅，並且這種威脅透過供應鏈擴展到其他相關產業，導致資訊安全危機的產生。本課程以華碩集團的資訊安全架構為個案學習，介紹如何透過資訊安全專責單位的成立和領導層的全力支持，滿足整個集團的資訊安全需求。同時，透過與產業聯盟和公部門的公私聯防合作，建立數位韌性，以應對這一威脅。

題目和解答

Q 資安管理可以藉由PDCA管理方法持續精進，並考量風險評鑑及風險處置

✓ ◯

  ╳

    

Q 軟體供應鏈的攻擊事件與日俱增，且不少攻擊來自於未知的漏洞

✓ ◯

  ╳

    

Q 近年來無論政府單位或私人企業皆遭受巨大的資安風險，因此公私聯防的概念應運而生，關於公私聯防的內容敘述下列何者正確？

  需要建立即時回報的機制

  臺灣設有企業資安事件通報及協助窗口TWCERT/CC和TWNCERT

  資安聯防公務單位包含數位部、法務部調查局、內政部刑警局等跨部會組織

✓ 以上皆是

    

Q 數位化與AI智能帶來便利性的同時也增加了資安風險，駭客攻擊的頻率與造成的損失不斷創高，下列關於駭客攻擊的敘述何者錯誤？

  開源軟體、商用套裝軟體甚至是委外開發都有被駭客攻擊的風險

  目前已知駭客會使用的攻擊手段高達數百種

✓ 由於物理限制，駭客無法進行跨國的攻擊

  即使公司資安意識很好，也容易遭受來自供應鏈端的駭客攻擊

    

Q 有關於臺灣目前資安產業現狀說明，下列何者正確？

✓ 目前臺灣資安產業規模相較數位先進國家仍有很大的進步空間

  高科技產業基於商業保密原則，不適合進行資安的聯防業務

  目前金管會就臺灣上市櫃公司並沒有規範要設立資安長職位

  以上皆是

    

Q 關於華碩集團資安業務的相關敘述何者正確？

  華碩在海外容易被盜用網站銷售，資安單位會透過當地法務或是調查局協助處理

  資訊安全委員會每個月舉行會議，並由集團高層，如董事會、執行長派員參與

  定期針對集團員工進行資安風險事件的演練和增能培訓

✓ 以上皆是

    

Q 高科技資安聯盟經政策推動，由華碩電腦、日月光控股等十家大型科技業所號召成立，關於該聯盟的相關敘述何者錯誤？

✓ 成立至今已逾10年，是臺灣最早的跨企業資安組織

  設置有LINE交流群組，進行經驗分享、舉辦研討活動等任務

  希望改變以往企業單打獨鬥的狀況，建立資安聯防

  設有四大委員會，分別對應人才培訓、政策法規、推廣服務及供應鏈資安的任務

    

Q 上市櫃公司若有因駭客勒索繳納贖金者，可以報案將所繳贖金列為財報費用抵扣

✓ ◯

  ╳

    

Q 資訊安全目前不屬於企業ESG中的一環

  ◯

✓ ╳

    

Q 假設某公司資訊長A身為臺灣資安主管聯盟的一員，以下何者可能是A在聯盟內會進行的任務？

  與政府代表開會討論關於資安法規制定的建議

  參與聯盟所舉辦的增能培力課程

  加入產業所屬的供應鏈資安委員會，分享產業資安相關經驗

✓ 以上皆是