複選題2. 組織應決定資訊安全管理系統之邊界及適用性，以建立其範圍。於決定範圍時，應考量哪些事項？【複選】 (A)內部及外部議題 (B)關注方之需要及期望 (C)組織履行之活動與其他組織履行之活動間的介面及相依性 (D)範圍應以文件化資訊提供

複選題3. 以下對於資訊安全政策之控制措施，哪些有誤？【複選】 (A)資訊安全政策應由管理階層定義並核准，且對所有員工及相關外部各方公布及傳達 (B)資訊安全政策應依規劃之期間或發生重大變更時審查，以確保其持續的合宜性、適切性及有效性 (C)應定義及配置所有資訊安全責任 (D)應維持與相關權責機關之適切聯繫