阿摩線上測驗
6. 下列「資通安全管理法」的哪一項子法,有明確規範資通安全演練作業項目?
(A) 資通安全責任等級分級辦法
(B) 資通安全管理法施行細則
(C) 資通安全情資分享辦法
(D) 資通安全事件通報及應變辦法
答案:登入後查看
統計: A(11), B(22), C(0), D(77), E(0) #3671692
統計: A(11), B(22), C(0), D(77), E(0) #3671692
詳解 (共 2 筆)
hiiii
#7064662
正確答案是 ✅ (D) 資通安全事件通報及應變辦法。
?題意解析:
題目問:「哪一項子法明確規範資通安全演練作業項目?」
關鍵字是 「演練」(drill / exercise),屬於**通報與應變(incident response)**階段的工作。
?四個子法簡介對照表:
| 子法名稱 | 主要內容摘要 | 是否涵蓋「資通安全演練」 |
|---|---|---|
| (A) 資通安全責任等級分級辦法 | 規範各級機關/單位應依業務重要性、影響層級劃分資安責任等級(A、B、C、D)。 | ❌ 無明確提及演練。 |
| (B) 資通安全管理法施行細則 | 說明母法的執行細節、名詞定義、責任分工等。 | ❌ 僅原則性描述,無具體演練規範。 |
| (C) 資通安全情資分享辦法 | 涉及資安威脅、攻擊情資之分享與協作機制。 | ❌ 著重「資訊分享」非演練。 |
| (D) 資通安全事件通報及應變辦法 | 詳列事件通報、應變處理、復原及演練要求。例如:主管機關應定期辦理演練、模擬事件應變流程。 | ✅ 明確包含演練要求。 |
?法規依據(摘錄重點):
根據《資通安全事件通報及應變辦法》第 15 條(或相對條文):
各級機關(構)應定期辦理資通安全事件通報與應變演練,
並可視需要結合跨機關、跨層級之聯合演練,
以強化實際應變處理能力。
?結論:
| 正確選項 | 條文關鍵字 | 理由 |
|---|---|---|
| ✅ (D) 資通安全事件通報及應變辦法 | 明確規範通報、應變與「演練」 | 直接規範實際作業流程與演練要求 |
✅ 最適當答案: (D) 資通安全事件通報及應變辦法
2
0
JL
#7323948
| 法規名稱 | 核心規範內容 (考點關鍵字) | 考試常見陷阱 / 數字 |
| 資通安全管理法 (母法) | 定義公務機關與特定非公務機關(如關鍵基礎設施:銀行、台鐵、桃捷)的義務。 | 記住「特定非公務機關」包含:關鍵基礎設施、公營事業、政府捐助法人。 |
| 資通安全責任等級分級辦法 | 根據重要性將機關分為 A、B、C、D、E 五級。規定各級應配置的專責人力與證照要求。 | A 級最嚴 (需 2 員專責);A、B 級需通過 ISO 27001 驗證。 |
| 資通安全事件通報及應變辦法 | 規定事件發生後的通報時效、損害控制流程,以及資安演練(如社交工程、應變演練)的項目。 | 1 小時內通報;36 小時內完成復原或損害控管(1-36 邏輯)。 |
| 資通安全情資分享辦法 | 規範機關間如何交換威脅情資(如惡意 IP、中繼站、弱點資訊),建立 ISAC (情資分享與分析中心)。 | 重點在於「公私協力」與「情資時效性」,不涉及具體技術演練。 |
| 特定非公務機關資通安全籌設維運計畫相關辦法 | 針對銀行、醫院、能源等「特定非公務機關」,要求其撰寫並執行維運計畫。 | 桃捷即屬於此範疇,需受中央目的事業主管機關(交通部)監督。 |
| 資通安全管理法施行細則 | 對母法中的名詞進行定義(如:資通系統、資通服務、核心資通系統)。 | 核心系統是指:涉及關鍵基礎設施維運、大量個資或機密資訊處理的系統。 |
0
0