Maggie Chou>試卷(2020/06/12)

ITE◆資訊安全管理系統與風險管理題庫 下載題庫

106 年 - 資訊安全管理系統與風險管理(ISK)#86894 

選擇:40題,非選:0題
立即測驗 
我要補題 回報試卷錯誤
1.1. 資訊安全強調保護資訊的哪些特性?
(A)機密性(Confidentiality)
(B)識別性(Identification)
(C)可用性(Availability)
(D)完整性(Integrity)


2.2. 下列何者不屬於人員安全管理的控制措施?
(A)聘雇前之背景查核
(B)簽署保密協議
(C)簽署資產證明
(D)簽署聘雇合約


3.3. 組織推動資訊安全,負責核准資安政策是屬於下列何者的責任?
(A)董事會
(B)總經理
(C)總稽核
(D)資訊長


4.4. 「醫院志工將舊病歷拿來做回收紙使用,險遭主管機關開罰!」前 述案例,若您是醫院資安官,應加強哪一項控制措施?
(A)個人可識別資訊之隱私及保護
(B)適用之法規及契約的要求事項之識別
(C)智慧財產權
(D)安全政策及標準之遵循性


5.5. 下列何者可作為量測資訊安全「完整性」之指標?
(A)確保關鍵服務之達成率
(B)確保教育訓練之達成率
(C)網頁資訊公開正確性之達成率
(D)確保人員知悉之達成率


6.6. CNS 27001 新版在資訊安全風險評鑑新增了何項要求?
(A)風險接受準則
(B)確保重複之資訊安全風險評鑑產生一致、有效及適於比較之結果
(C)識別風險擁有者
(D)分析與評估資訊安全風險


7.7. 關於管理審查之輸出,以下敘述何者正確?
(A)組織應持續改善資訊安全管理系統之合宜性、適切性及有效性
(B)管理審查之輸出應包括與持續改善機會有關之決策,以及任何對 資訊安全管理系統變更之需要
(C)最高管理階層應確保資訊安全相關角色之責任及權限已指派並 傳達
(D)最高管理階層應於規劃之期間,審查組織之資訊安全管理系統, 以確保其持續的合宜性、適切性及有效性


8.8. 關於供應者關係中之資訊安全要求,CNS27001 附錄 A.15 標準中 有哪些控制措施?
(A)供應者關係之資訊安全政策
(B)於供應者協議中闡明安全性
(C)資訊及通訊技術供應鏈
(D)供應者服務之監視及審查


9.9. 應識別與資訊及資訊處理設施相關聯之資產,並製作及維持此等 資產之清冊。前述為 CNS 27001 附錄 A.8 中何項控制措施?
(A)資產清冊
(B)資產擁有者
(C)資產之歸還
(D)資訊之標示


10.10. 「資安大廠警告,新型後門木馬程式(Backdoor.Dripion)主要針 對位於台灣地區、巴西和美國的企業進行攻擊。」前述資安新聞 中,您認為應加強以下哪一項控制措施?
(A)對軟體安裝之限制
(B)防範惡意軟體之控制措施
(C)技術脆弱性管理
(D)技術遵循性審查


11.11. 關於營運持續管理之資訊安全層面,組織應考量多重備援之議 題,CNS27001 附錄 A.17 標準中有何項控制措施?
(A)規劃資訊安全持續
(B)資訊處理設施之可用性
(C)實作資訊安全持續
(D)查證、審查並評估資訊安全持續


12.12. 有關資訊資產,下列敘述哪些正確?
(A)資產擁有者負責定義資產分類方式
(B)資訊常在經過一段時間後就變得不再敏感與重要
(C)資訊標示程序主要針對實體資訊資產
(D)資訊分類是決定如何處置與保護資訊的最佳方法


13.13. 關於 CNS27001 附錄 A.7 中人員聘用期間.以下何者非適用之控 制措施?
(A)管理階層責任
(B)資訊安全認知、教育及訓練
(C)懲處過程
(D)聘用條款及條件


14.14. 關於 CNS27001 本文於組織控制下執行工作之人員,以下何種非 應認知之事項?
(A)預估資安風險趨勢
(B)資訊安全政策
(C)其對資訊安全管理系統有效性之貢獻,包括改善之資訊安全績效 的益處
(D)未遵循資訊安全管理系統要求事項之可能後果


15.15. 資訊應依法律要求、價值、重要性及對未經授權揭露或修改之敏 感性分級。前述為 CNS 27001 附錄 A.8 中何項控制措施?
(A)資產擁有者
(B)資訊之分級
(C)資產之歸還
(D)資訊之標示


16.16. 以下哪一項不是組織應定義及應用資訊安全風險評鑑過程之事項 中?
(A)選擇適切之資訊安全風險處理選項
(B)評估資訊安全風險
(C)分析資訊安全風險
(D)建立及維持資訊安全風險準則


17.17. 下列何者不屬於實體進入的安全控制措施?
(A)CCTV 監視器
(B)訪客登記簿
(C)進出控制卡加上個人識別碼(PIN)
(D)防震阻尼器


18.18. 對不符合項目反應,並於適當時採取下列哪些作為?
(A)採取行動以控制並矯正之
(B)處理其後果
(C)審查不符合項目
(D)決定不符合項目之原因


19.19. 關於 ISMS 監督、量測、分析及評估,以下敘述何者有誤?
(A)所選擇之方法宜產生適於比較及可重製視為有效之結果
(B)組織應保存適切之文件化資訊,作為監督及量測結果的證據
(C)組織應確保委外過程經確定並受控制
(D)組織應評估資訊安全績效及資訊安全管理系統之有效性


20.20. 不論專案之型式,應在專案管理中因應資訊安全。前述為 CNS27001 中何項控制措施之要求?
(A)A.6.1.3 與權責機關之聯繫
(B)A.6.1.4 與特殊關注方之聯繫
(C)A.6.1.5 專案管理之資訊安全
(D)A.6.1.2 職務區隔


21.21. 組織應定義並應用資訊安全風險處理過程,以達成以下哪些事 項?
(A)考量風險評鑑結果,選擇適切之資訊安全風險處理選項,決定 所有必須實作之控制措施,並確認未忽略必要之控制措施
(B)產生適用性聲明,包括必要之控制措施,且不論是否實作,提供 納入之理由,以及由附錄 A 排除之理由,並制訂資訊安全風險處 理計畫
(C)取得風險擁有者對資訊安全風險處理計畫之核准,以及剩餘資訊 安全風險之接受
(D)應保存關於資訊安全風險處理過程之文件化資訊


22.22. 有關於風險管理控制措施,下列敘述何者不正確?
(A)技術脆弱性管理是資安之共同實務控制措施
(B)控制措施可視為建置資安管理的良好起點
(C)控制措施的選擇是基於組織對風險接受的準則
(D)控制措施的選擇是基於成本考量


23.23. 組織應依規劃之期間施行內部稽核,以提供資訊安全管理系統之 何者資訊?
(A)組織本身對其資訊安全管理系統之要求事項
(B)風險評鑑報告
(C)CNS27001 標準之要求事項
(D)是否有效實作及維持


24.24. 以下哪些活動是屬於 P-D-C-A 系統架構內之 C(Check)的活動?
(A)管理審查
(B)風險評鑑
(C)資安政策
(D)內部稽核


25.25. 於規劃如何達成資訊安全目標時,以下何者非組織應決定時之考慮要素?
(A)待辦事項及所需資源
(B)負責人員及完成時間
(C)結果之評估方式
(D)可量測(若可行時)


26.26. 為確保人員勝任相關工作,以下何者考非適用之行動?
(A)對現有員工提供訓練
(B)指導或重新指派
(C)雇用或委外勝任人員
(D)保存適切之文件化資訊,作為勝任之證據


27.27. 因組織同仁不具備 IT 相關能力,第一次執行 ISMS 內稽時,由 IT 主管擔任其內稽人員,請問是否恰當?
(A)恰當,因比較與 IT 人員較熟識
(B)恰當,因比較熟悉 IT 相關作業
(C)不恰當,因無法確保稽核過程之客觀性及公平性
(D)不恰當,因無法提供稽核結果之證據


28.28. 營運持續計畫框架應考量下列哪些項目?
(A)召回程序
(B)後撤程序
(C)再續程序
(D)緊急應變程序


29.29. 組織應評估資訊安全績效及資訊安全管理系統之有效性,並應決 定下列哪些事項?
(A)需要監督及量測之事項,包括資訊安全過程及控制措施
(B)監督、量測、分析及評估之適用方法,以確保有效的結果
(C)執行監督及量測之時間及人員
(D)監督及量測結果應分析及評估之時間,並分析及評估上述結果 之人員


30.30. 關於供應者服務之交付管理,CNS27001 附錄 A.15 標準中有哪些 控制措施?
(A)供應者關係之資訊安全政策
(B)於供應者協議中闡明安全性
(C)供應者服務之監視及審查
(D)管理供應者服務之變更


31.31. 風險分析方法大致可區分成定量(Quantitative)與定性 (Qualitative)兩種風險分析方法。請問下列敘述何者正確?
(A)定性風險分析方法是指,以計量方式並使用實際的數據來描述 影響
(B)定量風險分析方法是指,使用文字的形式或是敘述性的分類等級 來描述可能影響的程度,以及影響發生的機率
(C)“人員的死亡、重傷及輕傷會分別對組織產生非常嚴重、嚴重及 輕微的衝擊”,此為定性風險分析的陳述
(D)定性與定量這兩種方法僅能擇一使用


32.32. 微軟公告 2016 年 7 月起終止支援 Server 2003,根據 CNS27001,應加強哪一項控制措施?
(A)對軟體安裝之限制
(B)防範惡意軟體之控制措施
(C)技術脆弱性管理
(D)技術遵循性審


33.33. 「資訊應依法律要求、價值、重要性及對未經授權揭露或修改之 敏感性分級。」前述有關資訊資產管理之描述,是 CNS27001 哪一 項控制措施之要求?
(A)資訊之標示
(B)資產之歸還
(C)資產擁有者
(D)資訊之分級


34.34. 關於評估對消除不符合項目之原因的行動之需要,以下何者不是 使其不再發生且不於他處發生之方式?
(A)審查不符合項目
(B)決定不符合項目之原因
(C)決定是否有類似之不符合項目存在,或可能發生
(D)處理其後果


35.35. 村里可否設置村里民聯絡電話簿,以下敘述何者錯誤?
(A)村里長基於民政、社會行政、政令宣導、政府福利金或救濟金 給付行政、選舉、罷免及公民投票行政等特定目的,而於執行其 法定職務(地方制度法第 59 條規定參照)之必要範圍內,蒐集 村里民之姓名及聯絡電話等個人資料,並設置村里聯絡電話簿, 符合個資法規定(個資法第 15 條規定參照)
(B)村里長為執行其法定職務所必要,原則應於特定目的範圍內利用 村里民聯絡資料(例如:辦理一般民政或社會行政業務),尚不 得逕將村里民聯絡資料予以公開或提供予他人
(C)村里長如將村里民聯絡資料作特定目的外利用,應有增進公共 利益、為防止他人權益之重大危害、經當事人書面同意,或為免 除當事人之生命、身體、自由或財產上之危險等個資法第 16 條 但書各款所列情形之一,始得為之
(D)不適用個資法


36.36. 資訊安全政策可以透過下列哪些方式傳達給組織同仁?
(A)書面公告
(B)公開宣導
(C)內部稽核缺失
(D)電子郵件


37.37. 下列何者不屬於營運持續管理過程中的活動?
(A)營運衝擊分析
(B)內部稽核
(C)風險評鑑
(D)測試營運持續計畫


38.重新載圖

38. 警察機關將拾得手機開啟找尋手機所有人資訊並通知,是否違反 個人資料保護法?以下敘述何者正確?(請參閱附圖作答)
5ee32d9ec4d57.jpg
(A)一、正確
(B)一、二、皆正確
(C)皆不正確,因民法並無相關規定
(D)皆不正確,因個人資料保護法並無相關規定



39.39. 關於 CNS27001 本文中的持續改善,以下敘述何者正確?
(A)組織應持續改善資訊安全管理系統之合宜性、適切性及有效性
(B)組織應依本標準之要求事項,建立、實作、維護資訊安全管理 系統
(C)最高管理階層應確保資訊安全相關角色之責任及權限已指派並 傳達
(D)最高管理階層應於規劃之期間,審查組織之資訊安全管理系統, 以確保其持續的合宜性、適切性及有效性


40.40. 員工或委外廠商人員自行攜帶之相關裝置,亦應有政策及支援之 安全措施,以管理使用而導致之風險。試問為 CNS27001 中何項 控制措施之要求?
(A)A.6.1.5 專案管理之資訊安全
(B)A.6.1.4 與特殊關注方之聯繫
(C)A.6.1.3 與權責機關之聯繫
(D)A.6.2.1 行動裝置政策


懸賞詳解

國一國文下第一次

12. 表面所說出的意思,和內心的意思剛好相反的修辭法叫做「倒反」。如朱自清 背影文中的「我那時真是聰明過分」。 下列何者不是使用相同的修辭...

50 x

前往解題

106 年 - 資訊安全管理系統與風險管理(ISK)#86894-阿摩線上測驗

106 年 - 資訊安全管理系統與風險管理(ISK)#86894