阿摩線上測驗
3. 關於 CNS 27002:2023 國家標準,下列何項描述最為適切?
(A) 特定產業的資訊安全稽核標準
(B) 通用資訊安全控制措施的參考與實作指引
(C) 資訊安全事故的法律訴訟程序
(D) 雲端服務的防護模型
答案:登入後查看
統計: A(5), B(58), C(1), D(3), E(0) #3671689
統計: A(5), B(58), C(1), D(3), E(0) #3671689
詳解 (共 1 筆)
hiiii
#7064654
正確答案是 ✅ (B) 通用資訊安全控制措施的參考與實作指引。
?題意分析:
題目提到 CNS 27002:2023,
這是台灣採等同方式採用的國際標準 ISO/IEC 27002:2022。
屬於 資訊安全管理系統 (ISMS) 架構下的「控制措施實作指引」。
?標準簡介:
| 項目 | 說明 |
|---|---|
| 標準全名 | CNS 27002:2023《資訊安全、網路安全與隱私保護 — 資訊安全控制措施》 |
| 對應國際標準 | ISO/IEC 27002:2022 |
| 性質 | 實務性指引(guideline),非要求性標準 |
| 用途 | 提供組織在導入 ISO 27001 時,對控制措施的詳細說明與建議實作方式 |
?控制項架構(2022 / CNS 27002:2023版)
共 93 條控制措施,歸類為四大類別:
| 類別 | 控制項數 | 說明 |
|---|---|---|
| 組織控制 (Organizational) | 37 | 政策、風險管理、供應鏈安全等 |
| 人員控制 (People) | 8 | 員工安全、教育訓練等 |
| 實體控制 (Physical) | 14 | 設施與環境安全 |
| 技術控制 (Technological) | 34 | 存取控制、加密、備份、監控等 |
❌各選項分析:
| 選項 | 說明 | 判定 |
|---|---|---|
| (A) 特定產業稽核標準 | 錯。CNS 27002 是「通用」指引,非特定產業稽核規範。 | ✗ |
| (B) 通用資訊安全控制措施參考與實作指引 | 正確。正是該標準的核心定位。 | ✅ |
| (C) 資訊安全事故法律訴訟程序 | 錯。法律程序屬於法規領域,非本標準範疇。 | ✗ |
| (D) 雲端服務防護模型 | 錯。雲端防護屬於 ISO 27017 或 ISO 27018 範疇。 | ✗ |
✅ 正確答案: (B) 通用資訊安全控制措施的參考與實作指引
1
0