阿摩線上測驗 登入

108年 - 應考指南(1~100)#81904

科目:資訊安全與法律(ESL) | 年份:108年 | 選擇題數:100 | 申論題數:0

試卷資訊

所屬科目:資訊安全與法律(ESL)

選擇題 (100)

1 下列哪些為應用於資料庫的加密方式?(1)DBMS 組態加密、(2)資料 庫加密、(3)資料庫檔案加密、(4)網路傳輸加密。 (A)1234 (B)124 (C)12 (D)234
2 一般採用的約定方式中,列出雙方將要一起達成的協定,稱為? (A)服務等級協議 (B)保密協定 (C)備忘錄或協議章程 (D)合約
3 關於資訊安全管理標準,下列何者正確? (A)美國標準協會為國際標準制定機構之一 (B)ISO 27002 為國際標準 (C)BS 7799 分為 BS 7799‐1 ~ BS 7799‐5 五個部分 (D)ISO 17799:2005 包含 110 個控制措施章節
4 下列哪一個資訊安全問題的發生,與 Web 應用中的安全漏洞比較有關? (A)公司機密外洩 (B)客戶資料外洩 (C)XSS(Cross‐site scripting) (D)成為跳板
5 關於資料庫管理的敘述,下列何者有誤? (A)應用程式透過 DBMS 與資料庫進行查詢 (B)帳戶只要設定 sa 就好,方便管控 (C)對於不需變更資料的顯示,以 View 來查詢 (D)使用者密碼不可以太過簡單
複選題
6 下列哪些屬於資訊安全管理循環中,在「檢查」階段進行的工作?(複選) (A)風險評鑑 (B)業務永續運作計畫演練 (C)建立安全事件管理程序 (D)資安內部稽核計畫
7 在擁有原有加密金鑰的文件下,下列關於加密敘述何者為真? (A)Triple DES 機制可以解密出 DES 機制所加密的資料 (B)DES 機制可以解密出 Triple DES 機制所加密的資料 (C)AES 機制可以解密出 DES 機制所加密的資料 (D)AES 機制可以解密出 Triple DES 機制所加密的資料
複選題
8 就資訊安全而言,下列敘述哪些有誤?(複選) (A)ISMS 是資訊安全管理系統的縮寫 (B)ISMS 是一種最佳化實務系統,企業應該直接套用並進行企業流程再 造 (C)ISMS 目的是保護資訊資產 (D)已採用 ISO 14001 之組織不適用 ISO 27001
9 在電子商務中,下列敘述何者有誤? (A)OTP 是不安全的認證方法,不宜用在電子交易上 (B)認證是跟別人證明我是誰 (C)基於所有也是認證的方式之一 (D)雙因素認證可以降低電子商務的風險
複選題
10 下列哪些是保護線上付款的技術?(複選) (A)VISA 3D 認證服務 (B)SSL (C)SET (D)Master 4D 認證服務
11 遇到電子商務的標錯價糾紛時,下列哪一項規範是處理這類事件的主要依 據? (A)個人資訊保護法 (B)零售業等網路交易定型化契約應記載及不得記載事項 (C)電子商務標價 (D)電子簽章法
複選題
12 資料庫管理作業中,受保護內容的傳輸可以採取哪幾種方式?(複選) (A)在安全的連線中傳輸 (B)將資料保護後送出 (C)在公開的環境中直接傳送 (D)不要傳送
複選題
13 下列對於資訊安全管理系統之描述,哪些為真?(複選) (A)資訊安全管理系統是運用系統方法,對組織內敏感資產進行管理的 系統 (B)資訊安全管理系統涉及到人員、程序和資訊技術(Information Technology, IT) (C)資訊安全管理系統由於涉及較多的專業領域,故應設置於組織整體 管理系統以外獨立運作 (D)資訊安全管理系統是以營運風險導向(作法)為基礎,用以建立、 實作、運作、監視、審查、維持與改進資訊安全
14 下列何者是資訊安全管理系統驗證的國際標準? (A)ISO 9001 (B)ISO 20000 (C)ISO 27001 (D)ISO 10014
複選題
15 下列對於資訊安全政策的描述,哪些為宜?(複選) (A)資安政策是組織建置資安管理制度不可或缺的重要元素 (B)資安政策是管理階層依照組織營運要求、相關法律、法規與客戶合 約要求等制定的 (C)資訊安全政策應詳細描述施行的細節,以提供給各單位施行的最佳 實例 (D)資安政策文件應陳述管理階層的承諾並由管理階層核准
16 下列宣導資訊安全政策的方式,何者較不適宜? (A)公司內張貼公告 (B)以電子郵件傳遞給所有內部人員通知 (C)對外發佈新聞稿公告 (D)在管理會議中宣達
複選題
17 下列哪些是宣導資訊安全政策宜注意的事項?(複選) (A)宣導資訊安全政策的重點,使相關人員能夠意識其資安責任 (B)避免流於形式,而應著重效果 (C)資安政策的宣導只限於內部人員,外部團體或與第三方使用者較不 需要特別注意 (D)在訪客會客櫃台處公告相關資安政策及要求,並由接待人員提醒訪 客遵守不失為一個宣導辦法
複選題
18 下列對於保密協議的描述,哪些為宜?(複選) (A)簽署機密性或保密協議包括員工、委外廠商或第三方 (B)應不定期審查協議要求之內容是否已反映組織對資訊保護之需求 (C)保密協議的內容應考量範圍、期限、終止條件、責任與法令遵循等 (D)保密協議中應注意應使用具有法定強制效力之用語,來闡明保護機 密資訊的要求
複選題
19 下列哪些為電子商務種類之常用代號?(複選) (A)E2C(企業對個人) (B)B2B (企業對企業) (C)E2E(企業對企業) (D)B2C(企業對個人)
20 資訊安全管理之 PDCA 管理架構之『Do(執行)』工作內容為下列何者? (A)目標預測與訂定 (B)評定與評估、作業管制與稽核 (C)激勵、命令與實施 (D)改善對策訂定、改善行動執行
複選題
21 有關資訊安全的敘述,哪些是正確的?(複選) (A)隱密性是確保訊息內容不會被未經授權的第三者知道 (B)完整性是確保內容不會被變更 (C)對可用性而言,DoS 是最典型的攻擊之一 (D)只要有安裝防毒軟體,就不會發生資安的問題
22 系統、服務或網路發生一個已識別的狀態,其指示可能的資訊安全政策違 例或保護措施失效,或是可能與安全相關而先前未知的狀況等。前述定義 稱之為何? (A)風險評鑑 (B)風險管理 (C)資訊安全事件 (D)資訊安全事故
23 下列何者不屬於資訊安全管理循環中,在「執行」階段進行的工作? (A)資訊資產分類與管制 (B)風險評鑑 (C)風險管理與產出適用性聲明 (D)業務永續運作計畫演練
24 不斷複製自己,經網路四處傳播,癱瘓系統與網路的惡意程式為下列何 者? (A)後門程式(Trapdoor) (B)木馬程式(Trojan horse) (C)邏輯炸彈(Logic bomb) (D)蠕蟲程式(Worms)
25 下列何者不屬於保護帳號、通行碼(password)安全的措施? (A)不點選不明人士傳送的網址 (B)不買賣租借會員帳號 (C)不以相同帳號、通行碼註冊其他網站 (D)為避免忘記帳號須以紙本記錄下通行碼
26 通常是藉由人性的弱點來達成目的,攻擊者會誘使使用者洩漏帳號、通行 碼(password)等資訊。前述攻擊屬於何種攻擊? (A)社交工程(Social Engineering)攻擊 (B)阻斷服務(Denial‐of‐Service)攻擊 (C)中間人(Man‐in‐the‐middle)攻擊 (D)監聽(Eavesdropping)攻擊
27 下列何者選項中的裝置皆屬於網路安全裝置? (A)防火牆、IPS、VPN (B)IPS、ATM (C)防火牆、POS (D)弱點掃瞄閘道、POS
28 組織礙於資源因素而無法全面實施 ISMS 時,應從下列何項先開始? (A)最核心的業務流程 (B)最簡易的業務流程 (C)最複雜的業務流程 (D)易變動的業務流程
29 下列敘述何者有誤? (A)資訊安全可保護資訊不受各種威脅,確保持續營運,將營運損失降 到最低,得到最豐厚的投資報酬率和商機 (B)資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價 值,因此需要持續給予妥善保護 (C)組織對於資訊資產的管理應該賦予與一般資產相同的重視,因此應 以管理一般資產的方式來管理資訊資產 (D)資訊是組織的重要資產,與其他重要的營運資產一樣對組織具有價 值
30 工程師建構三層式的電子商務系統,優點為何? (A)資料庫置於前端,提升性能 (B)減輕伺服器端電腦的負擔 (C)特殊架構,通常使用兩層式架構 (D)比兩層式架構複雜,管理不易
31 資訊安全管理要素中的完整性(integrity)是指下列何者? (A)資訊系統的軟體與硬體皆完好運作 (B)資訊系統對資訊的處理皆按照正確的步驟與適當的授權進行 (C)所有的資料儲存都能夠有安全的防護措施 (D)資訊系統所處理的資料不是部分的片面資料
複選題
32 下列哪些是組織識別其各項安全要求之要項?(複選) (A)支援營運活動 (B)法律、法令、規章及合約要求 (C)資訊安全風險評鑑 (D)資訊公開與透明化
33 使用非對稱加密機制來秘密傳送訊息給對方,應該如何進行? (A)使用自己的私鑰加密傳送 (B)使用自己的公鑰加密傳送 (C)使用對方的私鑰加密傳送 (D)使用對方的公鑰加密傳送
34 確保資料的完整性與私密性,並預防非法入侵者的破壞,是屬於下列哪一 項? (A)實體安全 (B)資料安全 (C)程式安全 (D)系統安全
35 下列哪一項不屬於資訊安全管理的範疇? (A)系統安全管理 (B)人員安全管理 (C)綠色環保管理 (D)網路安全管理
36 根據世界經濟合作開發組織(Organization for Economic Corporation and Development, OECD)在 2001 年會議中對資訊安全目標的描述為「確保 仰賴資訊系統上的各種利益,避免傷害而導致機密性(Confidentiality)、 真確性或完整性(Integrity)及下列哪一項的失能」? (A)儲存性(Storage) (B)環保性(Environmental) (C)隱密性(Privacy) (D)可用性(Availability)
複選題
37 Java Card 是一種標準的智慧卡片,智慧卡片在當今網路安全應用最重要 的三個特點有哪些?(複選) (A)確認性 (B)便利性 (C)儲存性 (D)保密性
38 電子商務交易環境中,在「不可否認性」的安全需求上,其安全目的要做 到確認交易的真實性,在安全機制方面應做到何種程度? (A)數位簽章演算法 (B)訊息驗證碼 (C)密碼驗證 (D)資料加密演算法
複選題
39 電子文件保護機制除了須滿足機密性、完整性、鑑別性、不可否認性等資 訊安全目標外,尚須兼顧下列哪些具實務應用的需求?(複選) (A)開放性 (B)長期性 (C)法律性 (D)永續性
40 目前資料庫管理系統對於安全機制都提供完善的保障,而有效地提供使用 者登入控管機制是屬於哪一方面的安全考量? (A)資料備份 (B)使用者權限 (C)密碼設定 (D)人員訓練
41 因應實務的需求,資訊安全管理系統(ISMS)顯得其重要性,請問下列哪 一項不屬於 ISMS 的步驟範圍? (A)系統安全管理 (B)人員安全管理 (C)綠色環保管理 (D)網路安全管理
42 在資訊安全管理循環裡,下列哪一項內容是依據管理階層之審查結果採取 矯正與預防措施,以達成持續改進 ISMS? (A)規劃(Plan) (B)持續改善(Act) (C)查核(Check) (D)執行(Do)
43 下列何者不屬於資訊安全管理相關之標準與規範? (A)NIST SP 800 系列 (B)CNS 27001 (C)ISO 27799 (D)CNS 7797
44 企業組織從事營運的相關活動,應考量符合適法性的要求,此要求之來源 涵蓋法律、標準、法令、法規、合約等,上述要求較適合之名稱為何? (A)遵循性(compliance) (B)依據(accordance) (C)採納(adoption) (D)同意(consent)
複選題
45 在網路上的虛擬世界中,可以使用數位憑證來識別與驗證對方的身分,其 作用類似於真實生活中的身分證,而一般常用的數位憑證採用之標準為 X.509 第三版(也稱為 X.509 v3),如:自然人憑證、工商憑證等,請問 X.509 v3 憑證的欄位包含下列哪些?(複選) (A)地址(Address) (B)生日(Birthday) (C)發行者名稱(Issuer) (D)版本(Version)
46 稽核由稽核組織的來源進行區分,可將稽核活動分為三類:第一方稽核、 第二方稽核與第三方稽核,請問下列何者為第三方稽核? (A)內部稽核 (B)主管機關以督導及管理的角度執行稽核活動 (C)對供應商或外包商進行的稽核活動 (D)由企業組織外部的驗證公司執行稽核活動
47 某系統一年當機 20 小時,請問此系統之可用性位於下列何者區間? (A)0.98 ~ 0.99 (B)0.99 ~ 0.999 (C)0.999 ~ 0.9999 (D)0.9999 ~ 0.99999
複選題
48 資料庫之加密包含下列哪些層面?(複選) (A)DBMS 組態設定加密 (B)網路傳輸加密 (C)資料庫檔案加密 (D)隨機存取記憶體(RAM)加密
複選題
49 依電子商務之特性,其資訊安全之目標除機密性、完整性及可用性外,還 必須特別考慮下列哪些資訊安全目標?(複選) (A)身分鑑別 (B)個人隱私 (C)偏好性 (D)不可否認性
50 下列何項措施不會增進資料庫之安全? (A)善加使用視表(view) (B)遵循 ACID 原則 (C)移除不需要的帳號 (D)不修改 DBMS 的預設網路埠
51 下列何者不是處理資訊安全風險的作法? (A)接受風險 (B)逃避風險 (C)轉移風險 (D)降低風險
複選題
52 下列哪些是資訊安全風險分析的工具?(複選) (A)蒙地卡羅模擬法 (B)專家調查法 (C)擲骰子 (D)歷史模擬法
53 資訊安全風險評估表格不會包含以下哪一項內容? (A)資產 (B)擁有者 (C)CIA 影響程度 (D)CAN 影響程度
複選題
54 資訊安全風險處理的考量包含下列哪些項目?(複選) (A)風險接受準則 (B)法律 (C)契約 (D)選擇讓資產無風險的處理方式
55 適用性聲明書不包含下列哪一個項目? (A)控制措施 (B)排除之控制措施及理由 (C)控制措施交叉核對表 (D)風險處理計畫
複選題
56 下列哪些是資產可能的威脅來源?(複選) (A)設備 (B)人為 (C)天然災害 (D)軟體瑕疵
複選題
57 下列對於威脅的描述哪些是正確的?(複選) (A)威脅之來源可能是人為的威脅也可能是環境所造成的威脅 (B)威脅的大小頻率在每次風險評鑑時以直覺評定即可,不需要適當記 錄與統計 (C)尚未有可參考的數據資料時,可以參考國內外調查機構所統計的數 值 (D)當無法量化時,可以採用定性的衡量方式
58 下列對於風險評鑑時鑑別資產價值的描述,何者有誤? (A)可將機密性、完整性與可用性一起納入考量 (B)有些資產可能只具備機密性、完整性與可用性其中一項或兩項性質 (C)資產價值高低的評鑑應該以採購金額的多寡為唯一的評判依據 (D)當無法量化或量化工作成本過高時,可採用定性法衡量
59 下列對於風險評鑑時,決定可接受風險等級的描述,何者為非? (A)組織可接受風險等級的高低,反應組織對風險的態度 (B)當組織可接受風險等級越高時,表示組織願意承擔較高的風險,並 預期獲得較低的報酬 (C)當組織可接受風險等級越低時,則不希望冒高風險 (D)組織對於可接受風險等級高低的決定,可能隱含著組織文化的考慮
60 下列何者屬於環境的威脅? (A)惡意程式 (B)火災與水災 (C)未經授權的存取 (D)意外的刪除
61 機房設置所在位置,下列何者較為適宜? (A)易受水災威脅的地點,應避免設置機房 (B)雖為易受水災威脅的地點,但可加強圍牆高度,即能防止水災侵襲 (C)雖為易受水災威脅的地點,隨時注意颱風與大雨消息,即能免除水 災威脅 (D)雖為易受水災威脅的地點,加強排水措施,即能免除水災威脅
62 風險評鑑的整體對象包含範圍為何? (A)人員 (B)資產 (C)環境 (D)硬體設備
63 考慮購買適當的保險,作為整體營運持續流程的一部分,亦作為風險管理 策略,稱為下列何者? (A)轉移風險策略 (B)降低風險策略 (C)接受風險策略 (D)避免風險策略
64 下列對於資安事件之描述何者正確? (A)資安事件的原因,大部份是專業技術層面 (B)約有 50% 的資安事件是由人為疏忽所造成 (C)資安攻擊事件 80% 來自組織外部 (D)約有 60% 的資安事件是因離職員工故意所造成
複選題
65 SQL Injection 攻擊包括下列哪些手法?(複選) (A)入侵登入畫面 (B)植入帳號 (C)刪除資料表 (D)植入木馬程式
66 下列何者不是評估資訊安全風險等級的面向? (A)隱密性 (B)完整性 (C)重複性 (D)可用性
67 下列何者是分析資訊安全風險的內容? (A)識別資產的各項威脅 (B)評鑑安全措施失效或衝擊發生的實際可能性 (C)採用適切的控制措施 (D)建立整體意識及關於資訊安全之各項行動原則
複選題
68 下列敘述哪些為真?(複選) (A)不使用資訊科技,就不會有資訊風險之存在 (B)風險評估不需要隨著科技及組織變化持續改善 (C)資訊資產處於外在威脅越多的環境,則資訊資產所面臨的風險也將 隨之提高 (D)組織可接受風險等級的高低,反映組織對風險的態度
69 決定資訊安全風險措施後,要產生何種文件? (A)資訊安全政策 (B)適用性聲明書 (C)資訊安全事件應變處理程序 (D)稽核報告
70 下列何者不屬於環境的威脅? (A)地震 (B)空調失效 (C)雷擊 (D)颱風
71 下列敘述何者為非? (A)應要求所有員工、供應商及第三方使用者注意並通報在資訊系統上 任何觀察到或可疑的安全弱點 (B)應嚴密注意可能的安全攻擊或蓄意破壞安全的跡象 (C)所有員工、供應商及第三方使用者,應將所察覺到的安全弱點或疑 似資安事件,儘速通報給其管理階層或直接通報給服務提供者 (D)所有可移除式媒體、硬碟上或記憶體中的資訊應製作鏡像(mirror image)或複本,以確保不可否認性
複選題
72 選課系統的重要性與選課期間有關,當選課期間結束且不再選課時,此時 的選課系統具備哪些特性?(複選) (A)選課系統的可用性與時間有關 (B)當選課結束時,完整性會重於可用性 (C)選課系統的可用性、完整性皆與時間無關 (D)選課系統的完整性一直都是重要的
73 在執行風險評鑑作業前,蒐集的資產通常都會進行適當的分類,其主要目 的為何? (A)簡化風險評鑑的過程 (B)找出資產的負責人 (C)往後進行資產盤點較為方便 (D)找出低價值的資產
複選題
74 以下哪些選項為資安可能的威脅?(複選) (A)競爭對手的蓄意破壞 (B)駭客入侵 (C)作業系統的安全漏洞 (D)洪水
75 風險評鑑時,所評估出來的風險等級與可接受風險等級的關係描述,何者 為非? (A)評估出來的風險等級小於或等於可接受風險等級,表示目前資產所 處的風險是組織可接受的 (B)評估出來的風險等級大於可接受風險等級,表示目前各項資訊安全 控制措施是不足以保護該項資產 (C)評估出來的風險等級大於可接受風險等級,需要將此項風險列入風 險改善處理計畫中 (D)可接受風險等級的選擇,應選擇接近兩端的極值
76 下列對於執行風險處理的描述,何者為非? (A)低於可接受風險值的重要資產,表示其現有控制措施是適當的 (B)管理者對高於可接受風險值的風險,有必要事先研擬降低該風險的 處理計畫 (C)處理計畫都可以在短期內完成的,因此可以不用短期的應變措施 (D)執行降低該風險的處理計畫後,是可以適度降低業務營運中斷的風 險
77 資訊資產處於外在威脅越多的環境,則下列何者正確? (A)面臨的風險也將隨之提高 (B)資訊資產越多防護越好 (C)資訊資產是內部防護與外部環境無關 (D)資訊資產置於機房即可以安全防護
複選題
78 下列敘述哪些正確?(複選) (A)資產價值、威脅及弱點,都應與風險值成正向關係 (B)組織對於可接受風險值的選擇,應選擇接近兩端的極值 (C)假設組織對於資料銷毀程序的控制措施相當落實,所以利用「資料 銷毀時的不注意」這項弱點的竊取機率是相對低的 (D)網路銀行帳號的書面文件申請單的其中一項威脅是竊取
79 鑑別、定義與評估組織資產所面對的威脅、弱點及其風險值稱為: (A)營運衝擊分析 (B)風險評鑑 (C)營運持續分析 (D)風險分析
複選題
80 下列敘述哪些正確?(複選) (A)唯有外在的威脅剛好利用到資產本身的脆弱性,該項資產的風險才 會發生 (B)組織可接受風險等級的高低,反應組織對風險的態度 (C)在計算資產風險時,如果有過去的歷史紀錄,則可以引用其各項資 訊安全事故的損害值 (D)資產評估出來的風險等級大於可接受風險等級,表示目前各項資訊 安全控制措施是足以保護該項資產
81 下列敘述何者錯誤? (A)資產的價值越高,可能產生的風險也將相對提高 (B)無論是現有的控制措施或預計新增的控制措施,都應適當被辨識出 來,以利後續相關控制措施之文件化 (C)資產盤點後所產生資產清單之完整性,與後續資產風險評估的完整 性有著密切的關聯性 (D)將資產適當分類,可以簡化風險評鑑的過程,是因為組織資源有 限,同類風險可以歸屬同一個風險值
複選題
82 下列敘述哪些錯誤?(複選) (A)如果風險評鑑的結果,風險超過可接受之風險值,就表示該放棄該 項資產的使用,採用替代設備 (B)風險評鑑是衡量資產目前所承擔的風險 (C)資產分類及盤點前,應先進行資產風險評鑑 (D)資產盤點後所產生資產清單之完整性,與後續資產風險評估的完整 性有著密切的關聯性
83 下列對於執行風險評鑑時,鑑別威脅與弱點的描述何者有誤? (A)通常是先有威脅才會造成弱點 (B)威脅是導致風險的外在原因 (C)威脅也有可能來自於內部 (D)弱點則是該項資產內在的脆弱性
84 下列對於資產弱點的描述,何者有誤? (A)資產的弱點與該資產本身的特性有絕對的關係 (B)弱點全部的特性都是與生俱來的 (C)與生俱來的弱點未來要改善的機會可能較少 (D)有一些弱點是可以被適當改善的
複選題
85 風險管理過程中有四個步驟,除了風險處理外,尚有哪三項?(複選) (A)風險避險 (B)風險辨識 (C)風險分析 (D)風險評估
86 在傳統紙張作業的時代,業務上的資訊(如報價單): (A)仍有資訊風險存在 (B)資訊風險是專指電腦與網路資訊 (C)依各單位的資訊管理政策決定 (D)轉成電子文件,才會有資訊風險
87 依據行政院研究發展考核委員會之「風險管理手冊」的風險管理架構,建 立風險管理執行背景體系不包括下列哪一項? (A)建立個人專長 (B)風險管理架構 (C)發展風險評量標準 (D)定義風險分析對象
88 ISO 27001 所規定的營運持續管理,期望企業藉由什麼模型做不斷持續的 修正,讓組織得以因應外部環境之變化,其中包含人為與天然災害的威脅 為下列哪一項模型? (A)BIM 模型 (B)SEM 模型 (C)PAPA 模型 (D)PDCA 模型
89 資訊安全風險管理過程之第 1 個步驟為何? (A)建立全景(Context Establishment) (B)風險評估(Risk Evaluation) (C)風險接受(Risk Acceptance) (D)風險識別(Risk Identification)
複選題
90 有關風險敘述,下列哪些錯誤?(複選) (A)經過風險管理程序,降低風險的嚴重程度之後,剩下的風險值稱為 「風險缺口(Risk Gap)」 (B)要能評估重要的控制措施或活動的成效是否達到預期目標,量測是 一項很重要的工作,蒐集的資料越多越廣越完整,分析出來的結果 將越客觀與準確 (C)風險管理的終極目標就是將「風險缺口(Risk Gap)」控制在可以接 受的程度 (D)不同組織因其不同的營運性質、目標與存活力,所以風險的可接受 程度也不相同
複選題
91 有關風險敘述,下列哪些正確?(複選) (A)風險就是特定威脅來源利用潛在的弱點之可能性及其對組織造成的 衝擊 (B)風險就是特定弱點來源利用潛在的威脅之可能性及其對組織造成的 衝擊 (C)風險是特定威脅利用一項或一群資產的弱點,對組織造成傷害的潛 在可能 (D)風險是特定弱點利用一項或一群資產的威脅,對組織造成傷害的潛 在可能
92 關於惡意程式,下列敘述哪一個正確? (A)蠕蟲(worm)可以自己存在,且可以複製自己,並可在網際網路自 行傳播 (B)木馬程式(Trojan horse)可以自己存在,且可以複製自己,並可在 網際網路自行傳播 (C)病毒(virus)可以自己存在,且可以複製自己,並可在網際網路自 行傳播 (D)Rootkit 病毒是以巨集程式來撰寫,如:Taiwan No.1、梅莉莎病毒
93 攻擊者從網路中截取使用者登入之驗證資訊,稍後再將截取之資訊送往其 登入的伺服器,以冒名該資訊的原始送出者進行登入。請問為下列何種攻 擊? (A)重送攻擊(replay attack) (B)欺騙攻擊(spoofing attack) (C)後門攻擊(backdoor attack) (D)中間人攻擊(man‐in‐the‐middle attack)
複選題
94 比較定量(Quantitative)與定性(Qualitative)之風險分析,下列哪些正 確?(複選) (A)定量風險分析需要較複雜的計算 (B)定性風險分析涉及許多猜想工作 (C)定量風險分析較易於自動化 (D)定性風險分析較可提供可信的成本與收益分析
95 下列技術脆弱性之測試方法中,何者是最詳盡之脆弱性評鑑方法? (A)滲透測試 (B)程式碼審查 (C)自動化脆弱性掃描工具 (D)安全性測試與評估(Security testing and evaluation, STE)
96 風險處理選項的選擇不宜植基於下列何者項目? (A)風險評鑑的結果 (B)實作該選項的預期成本 (C)該選項的預期利益 (D)個人喜好
複選題
97 關於控制措施的成本效益分析,下列哪些敘述正確?(複選) (A)決定控制措施的實作成本和預算任務間的平衡是組織管理者的責任 (B)移除多餘的或不需要的控制措施(特別是若該控制措施具高維護成 本),宜將成本因素納入考量 (C)移除多餘或不需要的控制措施一定比將其留在原處便宜 (D)管理者宜考量稀有但嚴重的風險,在該類情況中, 可能需要實作不 合成本效益的控制措施
複選題
98 關於風險轉移,下列哪些敘述正確?(複選) (A)風險轉移涉及與外部團體分享某些風險的決策 (B)風險轉移不會產生新的風險或修改既存、已識別風險 (C)風險轉移可藉由保險完成 (D)可以轉移管理風險的責任及風險衝擊的法律責任
複選題
99 完整規劃及持續維持之營運持續計畫(Business Continuity Plan, BCP),可 以讓企業組織獲致下列哪些效益?(複選) (A)先期識別風險,預作處理 (B)重大災難發生時,可有效應變,減少人員傷亡及財物損失 (C)增加客戶的信心度,提升企業組織的競爭優勢 (D)賺取保險之賠償
100 社交工程威脅中,最常見的手法為何? (A)阻絕服務(denial of service) (B)殭屍網路(zombie network) (C)釣魚(phishing) (D)零時差攻擊(zero day attack)

申論題 (0)