Maggie Chou>試卷(2020/06/12)

ITE◆資訊安全管理系統與風險管理題庫 下載題庫

107 年 - 資訊安全管理系統與風險管理(ISK)#86893 

選擇:40題,非選:0題
立即測驗 
我要補題 回報試卷錯誤
1.1. 瞭解關注方之需要及期望,組織應決定哪些事項?【複選】
(A)與資訊安全管理系統有關之關注各方
(B)關注方對資訊安全之要求事項
(C)關注方之要求事項可能包括法律及法規要求,以及契約義務
(D)組織履行之活動與其他組織履行之活動間的介面及相依性


2.2. 組織應決定資訊安全管理系統之邊界及適用性,以建立其範圍。於決定範 圍時,應考量哪些事項?【複選】
(A)內部及外部議題
(B)關注方之需要及期望
(C)組織履行之活動與其他組織履行之活動間的介面及相依性
(D)範圍應以文件化資訊提供


3.3. 以下對於資訊安全政策之控制措施,哪些有誤?【複選】
(A)資訊安全政策應由管理階層定義並核准,且對所有員工及相關外部 各方公布及傳達
(B)資訊安全政策應依規劃之期間 或發生重大變更時審查,以確保其持續 的合宜性、適切性及有效性
(C)應定義及配置所有資訊安全責任
(D)應維持與相關權責機關之適切聯繫


4.4. 「衝突之職務及責任範圍應予以區隔,以降低組織資產 遭未經授權或非蓄 意修改或誤用之機會。」前述為 CNS 27001 何項控制措施之要求?
(A)職務區隔
(B)資訊安全之角色及責任
(C)聘用條款及條件
(D)管理階層責任


5.5. 「為確保組織符合主管機關之要求,應維持適切之聯繫。」前述為 CNS27001 何項控制措施之要求?
(A)職務區隔
(B)與權責機關之連繫
(C)與特殊關注方之連繫
(D)專案管理之資訊安全


6.【已刪除】6. 「應實作政策及支援之安全措施,以保護存取、處理或儲存於遠距工作場 所之資訊。」以下哪些非前述之 CNS 27001 控制措施之要求?【複選】
(A)行動裝置政策
(B)遠距工作
(C)存取控制政策


7.7. 具機敏資訊之實體環境,可見「機不可攜」之要求,與 CNS 27001 控制 措施哪一項有關?
(A)行動裝置政策
(B)遠距工作
(C)存取控制政策
(D)密碼式控制措施


8.8. 「組織為提升人員之資訊安全素養,定期辦理資訊安全相關課程。」係因應 CNS 27001 何項控制措施之要求?
(A)管理階層責任
(B)資訊安全認知、教育及訓練
(C)懲處過程
(D)聘用條款及條件


9.9. 「應對員工及承包者定義、傳達於聘用終止或變更後,資訊 安全責任及義務仍保持有效,並執行之。」係因應 CNS 27001 何項控制措施之要求?
(A)篩選
(B)聘用條款及條件
(C)聘用責任之終止或變更
(D)管理階層責任


10.10. 「管理階層應要求所有員工及承包者,依組織所 建立政策及 程序施行資訊安全事宜。」係因應 CNS 27001 何項控制措施之要求?
(A)篩選
(B)聘用條款及條件
(C)聘用責任之終止或變更
(D)管理階層責任


11.11. 「機房管理人員因信任委外廠商,直接提供識別證借委外廠商進出機房, 違反組織制定之控制措施。」試問前述案例違反 CNS 27001 何項控制措 施之要求?
(A)實體安全周界
(B)實體進入控制措施
(C)保全之辦公室、房間及設施
(D)防範外部及環境威脅


12.12. 「某電信業者傳出行動通訊全面斷線情況,經追查原因發現因台電變電箱故障導致斷電,致使 100 多萬名用戶受到影響。」前述案例應強化 CNS27001 何項控制措施之要求?
(A)設備安置及保護
(B)支援之公用服務事業
(C)佈纜安全
(D)設備維護


13.13. 「某組織櫃檯人員為存取資料方便,直接將客戶資料隨手放置在辦公桌 面,午休或下班前從未將客戶資料收妥及上鎖。」前述案例應強化 CNS27001 何項控制措施之要求?
(A)場所外設備及資產之安全
(B)設備汰除或再使用之保全
(C)無人看管之使用者設備
(D)桌面淨空及螢幕淨空政策


14.14. 以下哪些為 CNS 27001 資訊安全持續之要求?【複選】
(A)規劃資訊安全持續
(B)實作資訊安全持續
(C)查證、審查並評估資訊安全持續
(D)組織全景分析


15.15. 以下何者為 CNS 27001 資訊處理設施可用性控制措施之最佳敘述?
(A)組織應決定其對資訊安全之要求事項,以及於不利情況下(例:危機或 災難期間),對資訊安全管理之要求事項
(B)組織應建立、文件化、實作及維持過程、程序及控制措施,以確保不利 情況期間所要求之資訊安全等級
(C)應對資訊處理 設施實作充分之多重備援,以符合可用性要求
(D)組織應定期查 證所建立及實作之資訊安全控制措施,以確保其於不良 情況期間係生效及有效


16.16. 「組織於營運持續管理的程序中,進行重要(關鍵)資訊系統所在之機房或 環境評估,藉以規劃或改善異地備援機房,使其達到緊急應變與營運持續 的目標。」前述案例係參酌 CNS 27001 何項控制措施為最佳?
(A)資訊安全稽核
(B)組織全景分析
(C)適用之法規及契約的要求事項之識別
(D)資訊處理設施之可用性


17.17. 以下哪些為 CNS 27001 對「績效評估」之要求?【複選】
(A)改善
(B)監督、量測、分析及評估
(C)內部稽核
(D)管理審查


18.18. 以下何者非 CNS 27001 對「內部稽核」之要求?
(A)瞭解組織及其全景及瞭解關注方之需要及期望
(B)規劃、建立、實作及維持稽核計畫,包括頻率、方法、責任、規劃要求 事項及報告
(C)定義各稽核之準則及稽核之範圍,選擇稽核員及施行稽核,以確保稽核 過程之客觀性及公平性
(D)確保稽核之結果對相關管理階層報告,保存文件化資訊作為稽核計畫 及稽核結果之證據


19.19. 請選出下列哪些為 CNS 27001 對「改善」之要求?【複選】
(A)不符合項目及矯正措施
(B)監督、量測、分析及評估
(C)持續改善
(D)管理審查


20.20. 以下哪些活動是屬於 P-D-C-A 系統架構內之 C(Check)的活動?【複選】
(A)管理審查
(B)風險評鑑
(C)資安政策
(D)內部稽核


21.21. 資訊安全政策可以透過下列哪些方式公佈給組織同仁?【複選】
(A)書面公告
(B)公開宣導
(C)內部稽核缺失
(D)電子郵件


22.22. 下列何者不屬於人員安全管理的控制措施?
(A)聘雇前之背景查核
(B)簽署保密協議
(C)簽署資產證明
(D)簽署聘雇合約


23.23. 下列何者不屬於實體進入的安全控制措施?
(A)CCTV 監視器
(B)訪客登記簿
(C)進出控制卡加上個人識別碼(PIN)
(D)防震阻尼器


24.24. 下列何者不屬於營運持續管理過程中的活動?
(A)營運衝擊分析
(B)內部稽核
(C)風險評鑑
(D)測試營運持續計畫


25.25. 組織應依規劃之期間施行內部稽核,以提供資訊安全管理系統之何者資 訊?
(A)組織本身對其資訊安全管理系統之要求事項
(B)風險評鑑報告
(C)CNS27001 標準之要求事項
(D)是否有效實作及維持


26.26. 關於供應者關係中之資訊安全要求,CNS27001 附錄 A.15 標準中有何項 控制措施?【複選】
(A)供應者關係之資訊安全政策
(B)於供應者協議中闡明安全性
(C)資訊及通訊技術供應鏈
(D)供應者服務之監視及審查


27.27. 以下何者非 CNS 27001 對「資訊安全風險評鑑過程」之要求?
(A)建立及維持包括下列準則之資訊安全風險準則
(B)確保重複之資訊安全風險評鑑產生一致、有效及適於比較之結果
(C)識別、分析及評估資訊安全風險
(D)考量風險評鑑結果,選擇適切之資訊安全風險處理選項


28.28. 以下何者非 CNS 27001 對「資訊安全風險處理」之要求?
(A)識別、分析及評估資訊安全風險
(B)對所選定資訊安全風險處理選項,決定所有必須實作之控制措施
(C)產生適用性聲明,包括必要之控制措施,且不論是否實作,提供納入 之理由,以及由附錄 A 排除之理由
(D)制訂資訊安全風險處理計畫,取得風險擁有者對資訊安全風險處理計畫 之核准,以及對剩餘資訊安全風險 之接受


29.29. A 員工辦理離職程序,將服務期間所保管及使用之組織資產繳回總務處, 係符合 CNS 27001 何項要求?
(A)聘用責任之終止或變更
(B)資產之歸還
(C)聘用條款及條件
(D)管理階層責任


30.30. 定期辦理資訊設備報廢作業,係符合 CNS 27001 何項要求?
(A)資訊之分級
(B)資訊之標示
(C)資產之處置
(D)資產之歸還


31.31. CNS 27001 對於規劃之敘述,以下何者有誤?
(A)瞭解組織及其全景及瞭解關注方之需要及期望
(B)資訊安全風險評鑑及資訊安全風險處理
(C)資訊安全目標及其達成之規劃
(D)領導及承諾


32.32. CNS 27001 對於 PDCA 循環中,其中 D(運作)之敘述,以下何者有誤?
(A)組織應評估資訊安全績效及資訊安全管理系統之有效性
(B)運作之規劃及控制
(C)資訊安全風險評鑑
(D)資訊安全風險處理


33.33. 經內稽檢查,某主機之病毒碼未更新,根據 CNS27001,應加強哪一項控 制措施?
(A)對軟體安裝之限制
(B)防範惡意軟體之控制措施
(C)技術脆弱性管理
(D)技術遵循性審查


34.34. 時間校正發生錯誤,應加強哪一項控制措施?
(A)事件存錄
(B)日誌資訊之保護
(C)管理者及操作者日誌
(D)鐘訊同步


35.35. CNS27001 對「監督、量測、分析及評估」之要求,何者敘述有誤?
(A)需要監督及量測之事項,包括資訊安全過程及控制措施
(B)所選擇之方法不需產生適於比較及可重製視為有效之結果
(C)監督、量測、分析及評估之適用方法,以確保有效的結果
(D)執行監督及量測之時間及人員


36.36. CNS 27001 新版在資訊安全風險評鑑新增了何項要求?
(A)風險接受準則
(B)確保重複之資訊安全風險評鑑產生一致、有效及適於比較之結果
(C)識別風險擁有者
(D)分析與評估資訊安全風險


37.37. 於規劃如何達成資訊安全目標時,以下何者非組織應決定時之考慮要素?
(A)待辦事項及所需資源
(B)負責人員及完成時間
(C)結果之評估方式
(D)可量測(若可行時)


38.38. 「資安大廠警告,新型後門木馬程式(Backdoor.Dripion)主要針對位於台 灣地區、巴西和美國的企業進行攻擊。」前述資安新聞中,您認為應加強以 下哪一項控制措施?
(A)對軟體安裝之限制
(B)防範惡意軟體之控制措施
(C)技術脆弱性管理
(D)技術遵循性審查


39.39. 「遙控北部及中部 22 家某銀行分行內多臺 ATM 的操作指令,竟來自遠 在 1 萬公里外的英國,一臺分行內鎖在鐵櫃中的電話錄音伺服器主機,成 了駭客遠端遙控 ATM 大吐鈔的跳板。」前述資安事件,您認為應加強以下 哪一項控制措施?
(A)對軟體安裝之限制
(B)防範惡意軟體之控制措施
(C)技術脆弱性管理
(D)技術遵循性審查


40.40. 以下何者為個人資訊管理系統標準 BS 10012:2017 新增之控制要求?
(A)識別風險擁有者
(B)行動裝置政策
(C)處理兒童資訊,須考量父母或經監護人同意
(D)密碼式控制措施


懸賞詳解

國二社會上第二次

3. 芸珊欲繪製中國民族分布圖,她使用不同顏色代表各民族,請問:下列哪一個地區呈現的顏色最多樣?(A)青藏高原 (B)華北平原 (C)雲貴高原 (D)內...

50 x

前往解題

107 年 - 資訊安全管理系統與風險管理(ISK)#86893-阿摩線上測驗

107 年 - 資訊安全管理系統與風險管理(ISK)#86893