阿摩線上測驗 登入

104年 - 104 ITE 資訊專業人員鑑定試題_資訊安全類:資訊安全管理系統與風險管理#120633

科目:ITE◆資訊安全管理系統與風險管理 | 年份:104年 | 選擇題數:40 | 申論題數:0

試卷資訊

所屬科目:ITE◆資訊安全管理系統與風險管理

選擇題 (40)

複選題
1. 下列哪些屬於「個人資料保護法」規範之個人資料?(複選) (A)健康檢查報告 (B)職業 (C)婚姻狀態 (D)公司名稱
2. 下列何者可作為量測資訊安全「可用性」之指標? (A)資安事件次數 (B)網路中斷次數 (C)教育訓練次數 (D)電腦中毒次數
複選題
3. 資訊安全政策可以透過下列哪些方式傳達給組織同仁?(複選) (A)書面公告 (B)公開宣導 (C)內部稽核缺失 (D)電子郵件
4. 資訊資產的形式,可包括下列哪些?1. 資訊、2. 商譽、3. 技能經 驗、4. 通信服務。 (A)1 (B)12 (C)123 (D)1234
5. 人員安全管理的 ”聘雇” 一詞,未包括下列何種情況? (A)工作角色變更 (B)任用臨時工 (C)主管機關稽核 (D)人員離職
6. 下列何者不屬於保護辦公室及設施的安全控制措施? (A)考量相關的安全與衛生法規 (B)避免張貼敏感辦公室名稱或標誌 (C)安置於取用方便的地點 (D)不宜讓公眾取得設施地點資訊
7. 下列何者不屬於人員安全管理的控制措施? (A)聘雇前之背景查核 (B)簽署保密協議 (C)簽署資產證明 (D)簽署聘雇合約
8. 「系統化的使用資訊以識別資源與估計風險」是下列何種之定義? (A)風險分析(Risk Analysis) (B)風險評估(Risk Evaluation) (C)風險評鑑(Risk Assessment) (D)風險管理(Risk Management)
9. 有關於風險管理控制措施,下列敘述何者不正確? (A)技術脆弱性管理是資安之共同實務控制措施 (B)控制措施可視為建置資安管理的良好起點 (C)控制措施的選擇是基於組織對風險接受的準則 (D)控制措施的選擇是基於成本考量
10. 有關於資安風險管理,下列敘述何者不正確? (A)風險評鑑必須定期重覆進行 (B)資安風險管理必須包括智慧財產權的控制措施 (C)風險管理有助於決定資安管理優先順序,以降低至零資安風險 (D)施行控制措施的花費與安全失效後的營運損失需相稱
複選題
11. 資訊安全強調保護資訊的哪些特性?(複選) (A)機密性(Confidentiality) (B)識別性(Identification) (C)可用性(Availability) (D)完整性(Integrity)
12. 下列何者為風險評鑑(Risk Assessment)的定義? (A)把預估的風險與已知的風險進行比較的過程 (B)藉由協調各項活動以控管組織相關風險 (C)選擇與實施控制措施以修正風險的過程 (D)風險分析與風險評估的整體過程
13. 風險分析方法大致可區分成定量(Quantitative)與定性(Qualitative) 兩種風險分析方法。請問下列敘述何者正確? (A)定性風險分析方法是指,以計量方式並使用實際的數據來描述影響 (B)定量風險分析方法是指,使用文字的形式或是敘述性的分類等級來描 述可能影響的程度,以及影響發生的機率 (C)“人員的死亡、重傷及輕傷會分別對組織產生非常嚴重、嚴重及輕微 的衝擊”,此為定性風險分析的陳述 (D)定性與定量這兩種方法不可同時使用
14. 下列何者屬於技術遵循性查核? (A)內部稽核 (B)管理審查 (C)漏洞修補 (D)滲透測試
複選題
15. 以下哪些活動是屬於 P-D-C-A 系統架構內之 C(Check)的活動? (複選) (A)管理審查 (B)風險評鑑 (C)資安政策 (D)內部稽核
16. 下列何者不是雲端運算的服務模式? (A)IaaS(Infrastructure as a Service) (B)TaaS(Technical as a Service) (C)PaaS(Platform as a Service) (D)SaaS(Software as a Service)
17. 組織推動資訊安全,負責核准資安政策是屬於下列何者的責任? (A)董事會 (B)總經理 (C)總稽核 (D)資訊長
18. 針對機房範圍購買火災險,係屬於下列何種風險處理控制措施? (A)接受風險 (B)轉移風險 (C)迴避風險 (D)控制風險
19. 資訊資產有許多形式,「電源及空調」係屬於下列何種形式? (A)無形資產 (B)實體資產 (C)服務資產 (D)軟體資產
複選題
20. 下列哪些為「風險處理的作法」?(複選) (A)接受風險 (B)轉移風險 (C)迴避風險 (D)放任風險
21. 風險評鑑包含了以下步驟:(1) 辨識資產、(2) 決定控制措施、(3) 評 估衝擊與風險等級、(4) 辨識威脅及弱點、(5) 決定可接受風險值, 請選出正確的順序? (A)(1) (4) (3) (5) (2) (B)(1) (2) (4) (3) (5) (C)(4) (1) (3) (5) (2) (D)(1) (2) (4) (5) (3)
複選題
22. 有關資訊資產,下列敘述哪些正確?(複選) (A)資產擁有者負責定義資產分類方式 (B)資訊常在經過一段時間後就變得不再敏感與重要 (C)資訊標示程序主要針對實體資訊資產 (D)資訊分類是決定如何處置與保護資訊的最佳方法
23. 評估安全失效所導致的營運衝擊時,不用考慮下列何種損失後果? (A)機密性 (B)完整性 (C)獲利性 (D)可用性
複選題
24. 個人電腦遭受電腦病毒攻擊而無法正常運作,依脆弱點與威脅的相 對應關係來看,下列敘述哪些正確?(複選) (A)缺乏防毒機制是脆弱點 (B)電腦病毒是脆弱點 (C)防毒程式未定期更新是威脅 (D)若沒有威脅,就算有脆弱點也不會發生風險
複選題
25. 滲透測試(penetration testing)或弱點掃瞄,應該謹慎為之,該類 行動可能引發系統安全的危害,為降低風險,應有下列哪些控制措 施?(複選) (A)限由合格、經過授權的人員執行,或在其監督下執行 (B)只能以手動方式執行,嚴禁使用任何自動化的工具協助 (C)宜經規劃、文件化並可重覆 (D)應於可控制的範圍內進行
26. 在授權承包商存取任何組織的資訊資產之前,必須要執行下列工 作:(1) 針對承包商所派出人員的專業能力進行調查、(2) 制訂資 訊資產一旦遭受破壞(例如遺失或毀損)時的處理程序、(3) 制訂 資訊外洩時的通報調查程序、(4) 風險評鑑。請問上述何者應首先 被執行? (A)(1) (B)(2) (C)(3) (D)(4)
27. 下列何者不屬於營運持續管理過程中的活動? (A)營運衝擊分析 (B)內部稽核 (C)風險評鑑 (D)測試營運持續計畫
28. 有關資訊安全組織,下列敘述何者不正確? (A)應明確界定相關人員之資訊安全責任 (B)資安協調工作宜納入資訊人員及管理者 (C)新的資訊處理設施必須經過管理人員授權 (D)具有已配置安全責任之個人,不可將安全任務委派給其他人
29. 下列何項不是用來分析營運中斷之衝擊與風險的方法? (A)識別能導致營運過程中斷的事件 (B)風險評鑑 (C)風險處理計畫 (D)營運衝擊分析
30. 下列是關於安全區域的敘述:1. 安全區域必須完全由人員駐守來確 保資訊及設施受到保護、2. 安全周界的界定要由承包商作完整的評 估、3. 要先作風險評鑑、4. 建議在出入口安裝防盜及監控的設備、 5. 依消防法規要求,不可對逃生門進行任何管制。請問上述哪些不 正確? (A)1、2、3 (B)1、3、5 (C)1、3、4 (D)1、2、5
31. 下列資訊安全管理標準,何者屬於驗證稽核之標準? (A)ISO 27001 (B)ISO 27002 (C)ISO 27003 (D)ISO 27004
複選題
32. 營運持續計畫框架應考量下列哪些項目?(複選) (A)召回程序 (B)後撤程序 (C)再續程序 (D)緊急程序
33. 下列何者不屬於實體進入的安全控制措施? (A)CCTV 監視器 (B)訪客登記簿 (C)進出控制卡加上個人識別碼(PIN) (D)防震阻尼器
34. 經風險評鑑及內部稽核後,發現組織未針對單位內人事調整訂定權 限調整之流程檢核機制,致使調任人員擁有過當之權限,導致人員 因操作錯誤將原本不應取得資料取走,故組織增加了組內人員異動 時權限檢核機制,是以哪個量測方式可量測此控制措施的有效性最 佳? (A)帳號清查正確率 (B)異動時權限檢核的執行率 (C)資料外洩異常事故發生率 (D)資料存取覆核的執行率
35. 下列有關內部稽核之敘述,何者不正確? (A)必須由獨立於受稽範圍的人員擔任 (B)屬於第二方稽核型態 (C)稽核紀錄必須包括稽核發現 (D)稽核前必須通知受稽單位
複選題
36. 資訊安全政策的訂定應考量以下哪些事項?(複選) (A)與營運策略及目標的一致性 (B)相關法令法規要求 (C)資訊安全內部查核的結果 (D)過去曾發生之資安事故
37. 為確保資訊安全政策持續適當及有效,應定期或適時進行政策的審 查,下列何者最為正確? (A)外部稽核開出缺失時 (B)每三年一次 (C)組織或業務重大變更時 (D)公司上市時
38. 下列何者不屬於人員聘雇終止時的安全管理控制措施? (A)要求歸還資產 (B)完成懲處過程 (C)簽署保密切結 (D)移除存取權限
39. 資訊安全的風險評鑑係屬於 P-D-C-A 的哪個階段? (A)P(規劃;Plan) (B)D(執行;Do) (C)C(檢核;Check) (D)A(行動方案;Act)
40. 定期審查 ISMS 的有效性,可透過下列哪些項目進行審查? 1. 安全稽核報告、2. ISMS 政策、3. 市場佔有率、4. 控制措施有 效性量測 (A)12 (B)13 (C)234 (D)124

申論題 (0)