113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#119307

1. 服務組織控制報告（Service Organization Controls，SOC Report）為美國會計師協會（AICPA）所訂定之報告形式，有 SOC1、SOC2 與 SOC3 等三種，其目的是透過獨立會計師審查以說明組織所提供服務之安全控管現況、程度及有效性。請問下列何種報告最適合發布給一般大眾閱讀的？ (A) SOC1 (B) SOC2 (C) SOC3 (D) SOC1 及 SOC2

2. 智慧型物聯網（IoT）設備於進入歐盟市場之時，應該要遵循下列何項歐盟新發布的法案，以完成應遵循的安全責任及義務事項，以避免高額的罰鍰(如 1,500 萬歐元)？ (A) NIS2 Directive（歐盟第 2022/2555 號《於歐盟實施高度共通程度之資安措施指令》） (B) Cybersecurity Resilience Act（《資通安全韌性法案》） (C) NIS Directive（《網路與資訊系統安全指令》） (D) Cybersecurity Act, Regulation 2019/881（《資通訊安全法案》）

3. 公司建置資訊安全管理系統時，下列何者並「不」是主要考慮的因素？ (A) 適用的法令法規 (B) 資訊安全主管的專長 (C) 客戶與合約的資訊安全要求 (D) 所屬主管機關的資訊安全要求

複選題
4. 某公司建置的測試區域遭受駭客入侵，導致重要客戶資料外流。以下哪些選項可作為前述資安問題的改善措施？ (A) 避免使用真實資料做為測試資料 (B) 強化防火測試區防火牆管理 (C) 在公司測試系統輸入重要客戶資料 (D) 將測試區與公司正式區實施安全、明確之區隔

5. 情境如附圖所示，關於建置組織內資訊安全管理系統需參考的關注方要求，下列敘述何者錯誤？ (A) 建置組織內資訊安全管理系統時，關注方亦包含相關適用法規要求 (B) 個人資料保護法屬於電腦處理相關行業才須遵守的法規 (C) 主管機關也為組織建置資訊安全管理系統的關注方 (D) 組織有合約規範的供應商，也為組織內建置資訊安全管理系統的關注方

6. 情境如附圖所示，關於資通安全責任等級分級辦法，下列敘述何者正確？ (A) 資通安全管理法規範公務機關及特定非公務機關之資通安全責任等級，分為 A 至 D 級 (B) 公務機關應每三年核定其所屬機關資通安全責任等級 (C) 公務機關其負責業務有涉及國家機密，其資通安全責任等級即為 A 級 (D) 各公務機關未維運自行或委外開發之資通系統者，其資通安全責任等級為 C 級

7. 情境如附圖所示，關於組織建置資訊安全管理系統的法規遵循性敘述，下列何者錯誤？ (A) 組織識別適用所在地之法規為主，不予以考量營業據點所在其他國家相關的法規事項 (B) 智慧財產權為所有組織皆須遵守的法規 (C) 客戶提供之紀錄，亦須予以授權保護，以免違反與客戶合約要求 (D) 個人隱私資訊的法規，需將資料會傳遞的國家法規皆予以納入

複選題
8. 情境如附圖所示，下列哪些是組織建置資訊安全管理系統決定實施範圍需要考量的項目？ (A) 會影響組織實施資訊安全管理系統時的內部與外部議題 (B) 組織關注方有關資訊安全管理系統實施的要求事項 (C) 與組織實施資訊安全管理系統，範圍內有委外給供應商的活動，可以不予納入 (D) 與客戶合約要求的系統範圍，應納入資訊安全管理系統範圍考量

9. 一個要導入 ISO 27001 的組織，為了降低組織資產未經授權或誤用的機會，下列何種措施較「無法」避免？ (A) 職務區隔 (B) 職務輪調 (C) 資產清冊 (D) 存取控制政策

10. 關於政府零信任（Zero Trust）網路之敘述，下列何項正確？ (A) 政府推動零信任網路是由國家通訊傳播委員會推動主導 (B) 政府零信任網路包含身分鑑別、設備鑑別及信任推斷等 3 大核心機制 (C) FIDO2 無密碼雙因子驗證滿足零信任網路要求 (D) 持續掌握設備健康管理即滿足設備鑑別要求

11. 關於「資料」存取的控制方法，「不」包括下列何者？ (A) 強制存取控制（Mandatory Access Control，MAC） (B) 存取控制清單（Access Control List，ACL） (C) 隨機存取控制（Randomly Access Control，RAC） (D) 角色基準存取控制（Role-based Access Control，RBAC）

複選題
12. 關於「身分驗證管理」相關控制措施的敘述，下列哪些正確？ (A) 使用預設密碼登入系統時，於登入後無需立即變更 (B) 應具備帳戶鎖定機制，例如：帳號登入進行身分驗證失敗達五次後，至少十五分鐘內不允許該帳號繼續嘗試登入 (C) 已逾期之臨時或緊急帳號應刪除或禁用 (D) 使用密碼進行驗證時，應強制最低密碼複雜度

13.情境如附圖所示，為了避免該公司所保有的會員個人資料遭受內部未經授權的存取，因此公司資安長（老闆）要求資訊部評估採取適切的控制措施，以降低個人資料外洩風險的發生，試問資訊部對於會員個人資料遭受內部未經授權存取的風險所採取之控制措施，下列敘述何者錯誤？ (A) 採用圖靈驗證碼（Captcha）控制措施，以識別該身分於存取系統或資源時的權限 (B) 採取權限管理之控制措施，以確保每個使用者僅能存取其需要的資源與功能防止越權存取 (C) 採取存取紀錄監控與審查，以確保及時發現異常之系統存取活動 (D) 採取桌面淨空政策，以避免遭受未經授權存取之風險

14. 情境如附圖所示，為了強化該公司對於會員個人資料保護的作為，資安長（老闆）要求資訊部重新評估公司整體資訊安全相關作為，以降低整體營運上之風險，試問資訊部對於整體資訊安全強化所採取之作為，下列敘述何者錯誤？ (A) 採取邊界防禦評估，包含防火牆、入侵偵測/防禦系統（IDS/IPS）與網路安全設備等，以防止未經授權之存取 (B) 採用防毒軟體進行身分驗證及授權管理評估 (C) 採取應用程式保護評估，包含弱點掃描、滲透測試以及源碼檢測等 (D) 採取資料保護評估，包含機密等級識別、資料加密傳書、存取控制等

15.情境如附圖所示，依據 A 公司現行事業之經營模式，試問若要滿足個人資料保護相關之法規範要求，下列敘述何者錯誤？ (A) 依據 A 公司個人資料蒐集、處理與利用之目的，對於會員個人資料蒐集之特定目的項目與類別可包含○四○行銷（包含金控共同行銷業務）、C○○一識別個人者、C 一一一健康紀錄等 (B) 在實施個人資料之蒐集前應向潛在客戶告知包含一、A 公司名稱；二、蒐集之目的；三、個人資料之類別；四、個人資料利用之期間、地區、對象及方式；五、當事人依第三條規定得行使之權利及方式；六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響 (C) 應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，包含採取技術上及組織上之措施 (D) 依據網際網路零售業及網際網路零售服務平台業個人資料檔案安全維護計畫及業務終止後個人資料處理作業辦法制定個人資料檔案安全維護計畫及業務終止後個人資料處理方法之訂定、修正及執行

複選題

16. 情境如附圖所示，為了因應日益成長的網路業務，A 公司決定擴大規模，將原本會計與財務作業由行政部獨立出來，進出貨與客服作業由業務部獨立出來，資訊部由原本資訊管理作業增加資安業務，因此 A 公司的新組織架構如附圖所示。試問依據新的組織架構，下列哪些規劃措施較「不」符合資安管理要求？
(A) 依據部門屬性切分網段隔離 (B) 全組織人員之權限均為 admin (C) 資訊部人員共用 Admin 帳號 (D) 財會部人員共用 User 3 帳號

17. 關於端點偵測及回應（Endpoint Detection and Response，EDR）的作用敘述，下列何者較「不」正確？ (A) 記錄所有端點上發生的活動和事件 (B) 分析事件以偵測可疑行為 (C) 可協助使用者快速回應安全事件 (D) 能夠完全防止所有端點安全事件發生

18. 規劃網路安全架構時，下列何項措施能「較有效」的保護資料的機密性？ (A) 資料傳輸加密 (B) 強化防火牆設置 (C) 定期資料備份 (D) 內部網路隔離

19. 「資通威脅情資」（Cyber Threat Intelligence，CTI）是指蒐集、分析和處理有關網宇威脅行為和漏洞的資訊，以幫助組織瞭解資安威脅的狀況，主動做好威脅應對和預防措施，以保護組織的營運，並降低事件所造成的衝擊影響。若以提供高階主管的 CTI 類型應選擇下列何項較為合適？ (A) Strategic（戰略型） (B) Tactical（戰術型） (C) Technical（技術型） (D) Operational（操作型）

複選題
20. 規劃系統安全架構時可採取之控制措施，下列敘述哪些「有誤」？ (A) 使用單一的帳號名稱及密碼 (B) 無須定期檢視防火牆規則 (C) 定期執行漏洞掃描並修補漏洞 (D) 開放不必要的伺服器連接埠

21. 情境如附圖所示，該公司主要是遭受下列何種攻擊？ (A) 分散式阻斷服務（DDoS）攻擊 (B) 中間人攻擊（Man-in-the-middle attack） (C) 憑證填充（Credential Stuffing）攻擊 (D) 表頭攻擊（host header attack）

22. 情境如附圖所示。承上題，關於該項攻擊敘述，下列何項錯誤？ (A) 主要目的在癱瘓網路服務 (B) 使用自動化的方式嘗試登入網路服務 (C) 使用其他服務外洩的帳號密碼 (D) 此攻擊有效的可能原因是人們重複使用帳號密碼

複選題
23.情境如附圖所示。承上題，該公司最「不」可能會有下列何項法律問題？ (A) 資通安全管理法 (B) 個人資料保護法 (C) 公司法 (D) 上市上櫃公司資通安全管控指引

複選題
24. 情境如附圖所示。承上題，下列哪些安全管制措施，能減低此項攻擊成功的機率？ (A) 對用戶宣導避免使用與其他服務相同之密碼 (B) 使用多因子驗證機制（Multi-Factor Authentication） (C) 將對外網路服務主機設置於防火牆的 DMZ（Demilitarized Zone）區 (D) 使用一次性密碼

25. 關於風險管理流程之敘述，下列何者錯誤？ (A) 有些辨識出的風險經過分析與評估之後，可以考量接受該風險 (B) 風險處理的成本與風險的嚴重性可能沒有直接關係 (C) 通過 ISO 27001 驗證之公司，進行風險評鑑時，必須通過 ISO 31000 風險管理系統驗證 (D) 決定處理風險優先項目，是依據風險分析與評估後，所判斷的風險嚴重性做為依據

26. 如附圖所示，依據 ISO/CNS 31010 當資通安全主管決定利用「後果 /機率矩陣」模型完成以資通資產（Asset）為基礎的風險評鑑。附圖中的哪些項目比較能夠說明該方式可能會得到的結果？
(A) 1、2、3 (B) 2、3、6 (C) 3、4、5 (D) 1、4、5、6

27. 風險分析的其中一個用以詮釋量化計算公式，包含「單一損失預期值」（Single Loss Expectancy，SLE）、「年度發生比率」（Annual Rate of Occurrence ， ARO ）、和「年度損失預期值」（ Annual Loss Expectancy，ALE），請問三者的關係為下列何項？ (A) ALE= ARO*SLE (B) ARO= ALE*SLE (C) ALE= ARO/SLE (D) ARO= SLE/ALE

複選題

28. 如附圖所示，委外廠商的滲透測試人員在與客戶接洽之前，會在工作說明書（SOW）訂定附圖中的規定並由客戶完成審核。而根據 SOW 所呈現的資訊，下列哪些行為會較容易被視為該廠商人員具有「不道德」的風險行為？
(A) 使用合法軟體授權之滲透測試工具，進行安全查核和檢視 (B) 利用公鑰加密技術以確保檢測結果在檢測作業完成後，能妥適安全地交付 CISO (C) 未能將發現的重要漏洞報告及討論，以滿足客戶的高階領導團隊的安全需求 (D) 使用客戶所屬 IP 位址，至地下駭客論壇或暗網查找技術文件或工具