所屬科目:銀行◆資訊安全
1.往來廠商工作地點得安排在資訊處人員辦公區。(A)O(B)X
2.電腦作業系統之開發由總務處依程序辦理系統之評核驗收。(A)O(B)X
3.委外開發或維護之系統或程式,應於合約中明定:應本行業務需要,得標廠商須同意本行免費使用及重製於向得標廠商所購置之各營業單位使用之機器中。(A)O(B)X
4.伺服器主機硬體設備更換至新伺服器主機之異動,若新機系統係以原機影像檔全備份回復且未修改 系統設定者,可免辦審核評估辦理移交。(A)O(B)X
5.正式作業伺服器主機系統應用程式異動時,申請人確認上線已完成後,應負責抄錄新版程式之原始碼、 執行碼、格式檔、資料檔等至版本控制環境中,並備份錄成媒體異地保管。(A)O(B)X
6.作業管制科人員應每年彙整系統修改說明書及公文紀錄等相關文件,經系統文件審核小組通過後, 置於指定目錄下備查。(A)O(B)X
7. APP 發布、更新或下架應由資訊處提出申請並經處長核准後,辦理相關作業。(A)O(B)X
8.各業管單位執行 APP 測試作業時,以使用專屬之公用行動裝置為原則,必要時得使用私人行動裝置 做測試。(A)O(B)X
9.本行各單位同仁使用 USB 下載個人資料時,應設簿登記。(A)O(B)X
10.作業管制科在資訊設備/媒體報廢後,將處理方式記錄於「資訊設備/媒體報廢處理紀錄單」,資料 保存一年。(A)O(B)X
11.磁碟於安裝妥當後統籌由作業管制科調配管理;各磁碟依系統程式取得的先後,以流水號統一編號 儲存管理。(A)O(B)X
12.各單位應指派專人建立物聯網設備管理清冊並至少每年更新一次。(A)O(B)X
13.本行禁止員工使用網頁郵件(Webmail)。(A)O(B)X
14.本行嚴禁開發工作站申請連接 Web Server。(A)O(B)X
15.本行行員禁止使用行動裝置透過網際網路存取本行郵件服務。(A)O(B)X
16.總行單位及營業單位申請 AD 設定內容異動時,應函請資訊安全處辦理。(A)O(B)X
17.營業單位端末設備之 A、B 碼由單位主管及副主管分別建置。(A)O(B)X
18.電腦中心主機之磁碟機發生故障時,由業務處理科及有關作業人員研判處理程序及補救措施後進行作業。(A)O(B)X
19.電腦中心主機機房及異地備援中心機房應設置不停電設備,停電時可供電三十分鐘並自動啟動發電 機設備,繼續供電。(A)O(B)X
20.遠距辦公使用 VPN 連線時,應啟用多因子驗證或使用高強度密碼,以強化安全性。(A)O(B)X
21.臺灣土地銀行資訊處資訊安全制度管理規範應至少每年評估一次,以反映政府法令、技術及業務等 最新發展現況,確保資訊安全管理制度運作之可行性與有效性。(A)O(B)X
22.本行網域之 AD 管理人員分為兩種,包含最高權限管理員和網域管理員,由資訊處指定專人擔任。(A)O(B)X
23.資料庫的最高權限帳號可由應用系統維護人員和資料庫管理員共同存取。(A)O(B)X
24.本行網域中,印表機的電腦名稱其設備種類代號為「P」,工作站的電腦名稱其設備種類代號為「W」。(A)O(B)X
25.資訊安全評估要項中的「可用性」(Availability)是指確保各項資訊資產能提供及時且正確的服務,以 滿足使用者之需求。(A)O(B)X
26.資訊處人員每人每二年至少接受三小時以上之資通安全專業課程訓練或資通安全職能訓練,且每年 接受三小時以上之資通安全通識教育訓練。(A)O(B)X
27.資訊安全事件係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之 狀態發生,影響資通系統機能運作,構成資通安全政策之威脅者。(A)O(B)X
28.本行的核心資通系統包括海外分行資訊系統與國際信用卡業務系統。(A)O(B)X
29.資訊安全事件等級參考「臺灣土地銀行資通安全事件通報及應變管理程序」,區分為重大資安事件 (第一級、第二級)及一般資安事件(第三級、第四級)。(A)O(B)X
30.資訊資產價值之決定依據資訊資產之機密性、完整性及可用性評估之後,取三者之最小值為資訊資 產之價值。(A)O(B)X
31.第二類系統之原始碼安全檢測,應無高風險及重大影響之中低風險漏洞類別,並填具「程式原始碼 安全檢測報告」檢附於上線申請案中,再行辦理相關測試及上線作業。(A)O(B)X
32.系統 AD 帳號的異動應由系統維護人員負責填單申請,而單位專用 AD 帳號的異動則由連線管理科 負責填單申請。(A)O(B)X
33.資安事件之對外通報由資訊安全處依「臺灣土地銀行突發事件通報作業程序」辦理。(A)O(B)X
34.應依據資訊服務事件之影響範圍與緊急程度,進行資訊服務事件優先等級之判定,事件優先等級為1 時:目標解決時間為 2 個小時,事件優先等級為 2 時:目標解決時間為 4 個小時。(A)O(B)X
35.核心資通系統與其相連之資通及防護設備的日誌紀錄,應至少保留最近三年;而非核心資通系統的 相關日誌紀錄應至少保留一年,如業務規範另有規定者,從其規定。 (A)O(B)X
36.電腦機房應設監控錄影系統,監控錄影紀錄應至少保留多久? (A)六個月 (B)九個月 (C)一年 (D)二年
37.「例行性操作申請單」應由何者核准後方得使用?(請依本行作業手冊規定作答,不考慮目前該 位主管是否為代理或兼任身分) (A)主辦科科長 (B)作業管制科科長 (C)副處長 (D)處長
38.電腦作業系統之開發,未及列入年度計畫者,應由業務主管單位以專案方式報請何者核准後辦 理?(請依本行作業手冊規定作答,不考慮目前該位主管是否為代理或兼任身分) (A)業務主管單位主管 (B)資訊處處長 (C)所屬督導副總經理 (D)總經理
39.系統開發前取得系統名稱及系統代號之方式為何? (A)向作業管制科註冊取得 (B)主辦科自訂後登錄 (C)向資訊管理科註冊取得 (D)向制度分析科註冊取得
40.業務處理科應多久定期執行第二套主機版本凍結使用者代碼與第一套主機緊急改版使用者代碼下 之程式原始碼、程式目的碼、工作流程控制碼版本比對? (A)每日 (B)每週 (C)每十五日 (D)每月
41.非上班時間須緊急修改連線系統程式時,經主辦科主管核准後,報備作業管制科及業務處理科主 管,始交哪個單位人員於正式作業環境執行異動作業? (A)主辦科 (B)業務處理科 (C)作業管制科 (D)連線管理科
42.連線資料檔案變更控管範圍包括下列何者?
A.資料庫內容變更 B.一般資料檔案內容變更 C. 資料庫結構變更 D.索引檔變更 (A)僅 ABC (B)僅 ABD (C)僅 ACD (D) ABCD
43.欲變更分行及端末機控制檔,由哪個單位提出申請? (A)分行 (B)業務處理科 (C)作業管制科 (D)連線管理科
44.「連線系統資料檔案內容變更申請書」應由何者以上主管核准始完成申請手續?(請依本行作業 手冊規定作答,不考慮目前該位主管是否為代理或兼任身分) (A)副處長 (B)連線管理科長 (C)業務處理科長 (D)申請科主管
45.作業管制科應保留「連線系統資料檔案內容變更申請書」幾年? (A)三 (B)五 (C)六 (D)七
46.自動化設備系統作業環境包括下列何者?
A.正式作業環境 B.版本控制環境 C.虛擬開發環境 D.派版作業環境 (A)僅 ABC (B)僅 ABD (C)僅 BCD (D) ABCD
47.自動化設備應用程式異動時,應由何者核可後,始得進行修改? (A)副處長 (B)資訊管理科長 (C)業務處理科長 (D)申請科主管
48.電腦中心正式作業伺服器主機申請人收到使用者代碼異動完成之通知時,應立即變更通行密碼, 嗣後至少多久變更乙次? (A)三十天 (B)六十天 (C)九十天 (D)一年
49.伺服器主機硬體設備及機房環境工程等之異動,應由何者以上主管核准後辦理?(請依本行作業 手冊規定作答,不考慮目前該位主管是否為代理或兼任身分) (A)處長 (B)副處長 (C)資訊管理科長 (D)業務處理科長
50.伺服器主機系統檔案之異動,應由何者以上主管核准後交作業管制科編號,移業務處理科辦理? (請依本行作業手冊規定作答,不考慮目前該位主管是否為代理或兼任身分) (A)處長 (B)副處長 (C)資訊管理科長 (D)業務處理科長
51.正式作業伺服器主機系統應用程式異動完成後,全案移作業管制科存檔,保留年限幾年? (A)一年 (B)二年 (C)三年 (D)五年
52.下列何者不是系統文件審核小組成員?(請依本行作業手冊規定作答,不考慮目前該位主管是否 為代理或兼任身分) (A)處長 (B)副處長 (C)科長 (D)副科長
53. APP多久期間應由合格實驗室依據數位發展部數位產業署「行動應用APP基本資安檢測基準」辦 理並通過檢測? (A)每年 (B)每二年 (C)每三年 (D)有更版時才需要
54.各使用單位應建立「電腦設備軟體清冊」,並於多久期間依清冊查核有無非法軟體? (A)每三個月 (B)每半年 (C)每九個月 (D)每年
55.各單位主控應於多久期間於分行服務中心管理系統辦理USB主控檢視作業,並依人員執行職務所 需調整USB儲存設備之讀寫設定? (A)每三個月 (B)每半年 (C)每九個月 (D)每年
56.媒體室保管之媒體多久盤點一次? (A)三個月 (B)每半年 (C)九個月 (D)一年
57.經核准之應用程式及檔案異動申請,由何者將欲修改之程式抄錄至開發測試環境? (A)修改人員 (B)主辦科主管指派 (C)作業管制科指派 (D)申請人
58.物聯網設備管理清冊包括下列何者?
A.識別設備用途 B.網段(IP位址) C.存放位置 D.管 理人員 E.供應商 (A)僅 BCD (B)僅 ACD (C)僅 ACDE (D)僅 ABCD
59.對於通過防火牆之來源端主機 IP 位址、目的端主機 IP 位址、來源通訊埠編號、目的地通訊埠 編號、通訊協定、登入登出時間、存取時間及採取的行動,均應留存紀錄,保留年限為多久? (A)九個月 (B)一年 (C)二年 (D)永久保留
60.電子郵件收送紀錄(寄件者、收件者、發送及收受時間等資訊)至少保留幾年? (A)三 (B)五 (C)七 (D)九
61.資訊安全處每年至少幾次針對全行辦理電子郵件社交工程演練? (A)一次 (B)二次 (C)三次 (D)四次
62.有關本行 IP 位址之安全管理,下列敘述何者錯誤? (A)分行設備之 IP 位址由連線管理科負責編號管理 (B)各單位設備之網段規劃由業務處理科統籌辦理 (C)資訊處各項設備 IP 位址之編號由各科自行指定專人依業務處理科規劃之範圍編號,並設簿登記備查 (D)總行各單位設備之 IP 位址全部由連線管理科負責編號管理
63.有關本行防火牆安全政策設定準則,下列敘述何者錯誤? (A)防火牆服務物件採正面表列 (B)依業務需要及系統安全需求,僅以「群組」、「網段」或「ANY」為標的控管其存取權限 (C)以開放 HIGH PORT(PORT NO 大於 1023)之存取為原則 (D)各區存取權限係採「預設封閉」原則
64.防火牆管理人員進行防火牆控制台修改,其修改前、後之內容,經覆核人員覆核無誤後送作業管 制科歸檔,應至少保留多久? (A)三年 (B)五年 (C)七年 (D)永久保留
65.有關路由器通行密碼之管理,下列敘述何者錯誤? (A)通行密碼長度應至少 16 位以上 (B)新密碼不得與前三次重複 (C)使用者於取得使用者代碼時應立即變更通行密碼 (D)應定期變更通行密碼,最長不得超過九十天
66.本行同仁應依其職務性質及資通安全責任等級分級辦法,每年接受一定時數之資通安全教育訓 練,資訊安全處人員每人每年至少接受多少小時以上之資通安全專業課程訓練或資通安全職能訓練? (A)五小時 (B)十小時 (C)十五小時 (D)二十小時
67.依原始碼安全檢測處理,若發現高風險漏洞,應於多久時間內修補完成? (A) 1 個月內 (B) 3 個月內 (C) 4 個月內 (D) 6 個月內
68.核心資通系統之各業務系統因應用程式開發錯誤而須異動之次數,每半年不得超過多少次? (A) 0 次 (B) 1 次 (C) 2 次 (D) 3 次
69.依據「金融機構辦理電子銀行業務安全控管作業基準」中定義電子銀行業務之訊息傳輸途徑,不 包括下列何者? (A)專屬網路 (B)網際網路 (C)行動網路 (D)物聯網
70.依據個人資料保護法規定,非公務機關利用個人資料行銷時,若當事人表示拒絕接受行銷,應立 即採取何種措施? (A)記錄拒絕意向並回報主管機關 (B)停止利用其個人資料行銷 (C)提供其他替代行銷方案 (D)告知相關法律責任
71.資訊安全管理制度相關文件依其所屬層級及記載內容分為四階,其中「各管理制度實行的規範及 原則」屬於第幾階文件? (A)第一階文件 (B)第二階文件 (C)第三階文件 (D)第四階文件
72.依資訊資安單位辦公區域作業管理規定,個人電腦、伺服器應設定螢幕保護程式,其啟動時間設 定不應超過多少分鐘? (A) 5 分鐘 (B) 10 分鐘 (C) 15 分鐘 (D) 30 分鐘
73.視訊會議軟體於傳輸連線時,應具備哪種安全機制? (A)備份機制 (B)資料壓縮機制 (C)頻寬管理機制 (D)安全加密機制
74.電腦中心主機與財金資訊股份有限公司之數據線路故障時,應由哪個單位負責申告? (A)連線管理科 (B)業務處理科 (C)作業管制科 (D)資訊管理科
75.資訊安全管理制度相關文件中,「文件所包含之資訊為本行及法令所規範之機密資訊,如有洩 漏,足以使本行安全、利益或個人權益遭受重大損害者,僅供本行相關業務人員存取」指的是哪種機密 性等級? (A)公開 (B)一般 (C)敏感 (D)機密
76.依據資訊資安單位之資訊資產分類,原始程式碼屬於下列哪一類資訊資產? (A)資料(Data) (B)文件(File) (C)軟體(Software) (D)硬體(Hardware)
77.為落實資訊安全、資訊服務及營運持續管理制度之推動,成立跨部處之資訊管理小組,為常態任 務編組,該小組的召集人由誰擔任?(請依本行作業手冊規定作答,不考慮目前該位主管是否為代理或 兼任身分) (A)資訊處處長 (B)資訊安全處處長 (C)資訊處副處長 (D)資訊管理科科長
78.廠商人員履行合約提供及使用的軟體,均需為合法軟體,不得違反下列何項法律規定? (A)銀行法 (B)洗錢防制法 (C)著作權法 (D)個人資料保護法
79.關鍵資訊系統應每年度至少進行幾次資訊系統災害復原程序演練? (A) 1 次 (B) 2 次 (C) 3 次 (D) 4 次
80.下列何種網路安全事件特徵為不需要透過授權進入系統,而是阻礙合法使用者使用系統? (A)刺探(Probe) (B)掃描(Scan) (C)封包截取(Packet Sniffer) (D)阻絕服務(Denial of Service)
81.當應用系統需要使用真實資料進行大量測試時,為保護敏感性客戶資料,應採取何種措施? (A)不允許使用真實資料 (B)將敏感性客戶資料欄位以遮罩保護 (C)僅限於非上班時間進行測試 (D)需經過總經理核准
82.資訊資安單位之內部稽核,應於每年幾月底前擬定次年管理制度稽核工作計畫,闡明稽核範圍與項目? (A) 3 月 (B) 6 月 (C) 9 月 (D) 12 月
83.依據「臺灣土地銀行資訊處風險評鑑與管理作業程序書」,下列何者非可接受風險值之考量因素? (A)風險衝擊程度 (B)風險改善之急迫性 (C)風險之發生頻率 (D)可分配之資源
84. AD之最高權限管理員應至少多久一次提供已加入LANDBANK網域之各項設備清單,供申請單位 確認? (A)每一個月一次 (B)每三個月一次 (C)每半年一次 (D)每年一次
85.資訊管理小組每年至少應召開幾次管理審查會議,依權責審核各管理制度之制度管理規範及各階 文件,以確保矯正與預防措施之有效運作? (A)每年至少 1 次 (B)每年至少 2 次 (C)每年至少 3 次 (D)每年至少 4 次
86.資訊資安單位之資訊安全管理制度相關文件編碼中,前三碼所代表的意義為何? (A)科別代碼 (B)文件位階別 (C)業務別代碼 (D)業務別流水號
87.下列何者不是本行營運持續計畫演練的方式? (A)文件檢視演練 (B)桌面演練 (C)天災演練 (D)平行演練
88.下列何者不屬於資訊資產中之人員類別? (A)約聘僱人員 (B)廠商維護工程師 (C)保全人員 (D)快遞人員
89.有關資訊安全管理指標(KPI)評量,下列敘述何者錯誤? (A)核心帳務主機系統與分行交易系統集中化之存取款業務、匯款業務、放款業務及國內託收票據暨匯款 集中化作業系統每年無預警中斷不超過 2 小時 (B)核心帳務主機系統需達到全年 99.989%以上之可用性 (C)核心資通系統主機弱點掃描之結果,經評估為高風險以上之弱點項目,逾期修補每年 1 次;如無法完 成修補作業者,應採取補償性控制措施 (D)機密性等級列為機密之資料、文件外洩事件,發生次數每年 0 次
90.電腦中心主機系統軟體發生故障時,應立即採取的措施不包括下列何者? (A)儘速召集廠商工程師及有關人員偵錯 (B)研究應變措施 (C)將故障原因及修復情況詳載於機房工作日誌內 (D)立刻切換至異地備援中心機房
91.營業單位數據線路故障時,應由哪個單位通知營業單位向當地電信公司申告,並由哪個單位協助追蹤? (A)業務處理科、連線管理科 (B)連線管理科、連線管理科 (C)連線管理科、作業管制科 (D)業務處理科、資訊管理科
92.風險評鑑作業除了每年定期執行外,亦須於發生特定情境時,針對變動範圍內的作業程序與資訊 資產進行風險評鑑,下列何者不屬於需進行風險評鑑的情境? (A)營運組織變更 (B)一般人員異動 (C)作業流程改變 (D)發生重大資訊安全事件
93.在數位簽章的製作過程中,傳送方 A 會對何者以私密金鑰加密,以得出此份文件的數位簽章? (A)文件的原文 (B)文件的摘要訊息 (C)接收方的公開金鑰 (D)隨機產生的亂數
94.有關資訊資安單位稽核事項之矯正與預防措施,下列敘述何者錯誤? (A)負責人員應針對需改善之項目,評估各項矯正措施之適當性與有效性,並規劃完善之預防措施 (B)負責人員擬定矯正與預防措施後,應由業務主辦科科長、會辦科、副處長審核後,送作業管制科列冊 (C)業務主辦科科長應負責督導矯正與預防措施能於期限內完成,以及確認措施之有效性,經處長審核後 結案,由資訊管理科歸檔備查 (D)資訊管理小組與個人資料管理小組應於管理審查會議中,檢討「稽核事項矯正預防單」之內容及矯正 與預防措施之有效性
95.本行網路被入侵時,資訊安全處應依下列哪個規定辦理? (A)臺灣土地銀行資訊處電腦及資訊作業安全注意事項 (B)臺灣土地銀行資訊處事件與服務請求管理程序書 (C)臺灣土地銀行資通安全事件通報及應變管理程序 (D)臺灣土地銀行資訊處資訊安全制度管理規範
96.依「臺灣土地銀行資訊處資訊服務變更與上線管理程序書」,下列何者非本行的變更類型? (A)緊急變更 (B)標準變更 (C)異常變更 (D)重要變更
97.資訊資安單位之資訊安全管理制度相關文件中,操作手冊或作業手冊及其相關之第四階文件,由 誰核定?(請依本行作業手冊規定作答,不考慮目前該位主管是否為代理或兼任身分) (A)處長 (B)副處長 (C)主辦科科長 (D)副科長
98.有兩台設備的電腦名稱其用途代號分別為「B」與「S」,請問各代表什麼設備? (A)應用系統、資料庫 (B)負載平衡器、安控伺服器 (C)訊息閘道伺服器、管理主控台 (D)郵件系統、網頁伺服器
99.有關營業單位電腦設備之分配、調撥、維護,下列敘述何者錯誤? (A)營業單位之電腦設備由資訊處依據業務需要、業務量及營業狀況之變遷統籌調配 (B)電腦設備調撥時應由需求單位於分行服務中心管理系統提出設備需求申請,經該單位主管核准後由連 線管理科核配調撥 (C)調撥之電腦設備裝置完成後由連線管理科函送「電腦設備調撥單彙總表」予產權管理部備查 (D)各項電腦設備依本行與電腦維護廠商簽訂之保養維護合約,由資訊處負責維護保養工作
100.有關本行個人資料檔案傳輸要求,下列敘述何者錯誤? (A)高風險個人資料實體紙本文件無論內部傳輸或對外傳輸,皆應採用確認送達個人資料檔案管理者或其 指定專人親自收取之傳輸方式 (B)非高風險個人資料數位檔案對外傳送時,應適當遮蔽,避免提供不必要之資訊 (C)個人資料實體紙本文件之內部傳輸與資料調閱作業,以內部業務為主,借用人應填寫「個人資料檔案 提供紀錄表」 (D)非例行性業務之傳輸(如:辦理行銷活動、出遊活動),需經權責主管核准並留存相關紀錄,內容應涵 蓋該資料之個人資料檔案保管者、傳輸事由、傳輸對象、傳輸方式、傳輸時間等資訊,方可進行
阿摩線上測驗
登入
阿摩線上測驗
登入