阿摩線上測驗
4. 資訊安全管理系統(Information Security Management System, ISMS)的導入步驟中,稽核活動的主要目的為下列何項?
(A) 確保該管理系統的完整性
(B) 評估員工的績效表現
(C) 檢查環境硬體設備的完整程度
(D) 確保該管理系統內部控制的有效性
答案:登入後查看
統計: A(14), B(1), C(3), D(51), E(0) #3671690
統計: A(14), B(1), C(3), D(51), E(0) #3671690
詳解 (共 1 筆)
hiiii
#7064656
正確答案是 ✅ (D) 確保該管理系統內部控制的有效性。
?題意解析:
本題關鍵在於:「ISMS 導入步驟中的稽核活動目的」。
在 ISO/IEC 27001 管理循環中,屬於 PDCA (Plan–Do–Check–Act) 之「Check(查核)」階段。
稽核(Audit)是檢查管理系統是否有效運作、符合要求、持續改善的關鍵活動。
?ISMS 導入流程 (PDCA循環)
| 階段 | 主要內容 | 範例活動 |
|---|---|---|
| Plan | 建立 ISMS 架構、政策、風險評估、控制選擇 | 制定資訊安全政策與目標 |
| Do | 實施管理措施與控制 | 執行安全控制、教育訓練 |
| Check | 稽核與檢查內部控制運作狀況 | 內部稽核、管理審查 |
| Act | 改進、持續改善 ISMS | 追蹤矯正預防措施 |
?稽核的核心目的
稽核的目的在於「確認 ISMS 是否有效運作並符合既定要求」,
包含:
控制措施是否落實執行?
管理程序是否符合 ISO 27001 要求?
改善機制是否運作?
因此,是為了確保「內部控制的有效性 (effectiveness)」。
❌其他選項解析:
| 選項 | 錯誤原因 |
|---|---|
| (A) 確保系統完整性 | 「完整性」屬資訊保護層面,不是稽核的主要目的。 |
| (B) 評估員工績效 | 稽核重點在控制有效性,非員工績效。 |
| (C) 檢查硬體完整程度 | 稽核涵蓋系統層面,但非單純硬體檢查。 |
✅ 正確答案: (D) 確保該管理系統內部控制的有效性
1
0