21. 某企業完成資訊安全風險評鑑後，發現多項風險，包括系統漏洞、弱密碼問題及資料備份不足。資訊安全團隊依據公司事先建立的風險接受準則，比較各項風險的分析結果，並決定優先處理的項目。上述作法最符合資訊安全風險管理中的下列哪一個步驟？
(A) 建立資訊安全教育訓練制度
(B) 評估風險並決定風險處理順序
(C) 建立資訊安全政策文件
(D) 建立風險評鑑清冊

答案：登入後查看
統計： 尚無統計資料

相關試題

22. 下列何項是評估資通系統安全等級的主要影響構面？ (A) 機密性、完整性、可用性、法律遵循性 (B) 資產價值、成本效益、時效性、法規遵循性 (C) 威脅、弱點、衝擊、可能性 (D) 硬體、軟體、場域、人員

23. 某電力公司發現控制中心主伺服器若遭惡意軟體攻擊，可能導致停電事故。經評估後，公司決定導入網段隔離與惡意程式偵測系統，以降低攻擊成功的可能性。此舉屬於下列何種風險處理(Risk Treatment)方式？ (A) 風險避免(Risk Avoidance) (B) 風險降低(Risk Reduction) (C) 風險接受(Risk Acceptance) (D) 風險轉移(Risk Transfer)

24. 在資訊及資通系統之「詳細風險評鑑作法」中，用來計算「風險值」並最終決定「風險等級」，下列何項是風險值計算的主要因素？ (A) 資通安全責任等級、資安事件分級、業務活動說明 (B) 現有控制措施、衝擊準則、風險接受準則 (C) 機密性、完整性、可用性、法律遵循性 (D) 資產價值、威脅發生可能性、弱點利用難易度

25. 公司選定 NIST 風險管理框架(Risk Management Framework, RMF)作為風險管理框架。身為一名資安人員，你已完成風險評估，接下來應該做下列何項步驟？ (A) Framing risk(界定風險) (B) Responding risk(應對風險) (C) Monitoring risk(監控風險) (D) Asset Inventory(盤點資訊資產)

26. 某雲端服務商在使用者連續多次登入失敗後，下列何項處置最為適切？ (A) 立即刪除帳號 (B) 無需任何限制 (C) 鎖定並限制登入間隔時間 (D) 僅記錄失敗次數

27. 在實施零信任架構(ZTA)時，傳統的靜態授權(如 Role-based Access Control, RBAC) 已不足以應對動態威脅。現代存取控制策略轉向「基於屬性的存取控制(Attribute- based access control, ABAC)」。下列何者最能體現 ABAC 的決策邏輯？ (A) 使用者可以自行決定將檔案分享給誰 (B) 只有在上班時間、使用公司配發電腦且來自台灣 IP 的請求，才允許存取 (C) 因為你是經理，所以你可以存取人資系統 (D) 系統依據機密標籤強制比對，禁止低權限讀取高機密

28. 隨著生成式 AI 能輕易製作逼真的 Deepfake 影片與高解析度照片，生物辨識系統面臨「呈現攻擊(Presentation Attack)」的風險。為了確保掃描的是真實的人體而非照片或模型，採購系統時必須要求具備下列何項功能？ (A) 更高的解析度採樣(High Resolution Sampling) (B) 活力(體)檢測(Liveness Detection / PAD) (C) 快速比對演算法(Fast Matching Algorithm) (D) 多模態生物特徵儲存(Multimodal Storage)

29. 軟體開發團隊正在導入自動化 CI/CD 流程，應用程式需頻繁存取後端資料庫。為了避免將憑證寫死在程式碼中(Hardcoded Credentials) ，下列何項驗證策略最為適切？ (A) 關閉資料庫的身分驗證功能，改用 IP 白名單進行控管 (B) 使用工作負載身分同盟(Workload Identity Federation)或託管身分，透過短憑證進行驗證 (C) 將資料庫密碼加密(Password encryption)後儲存於原始碼的版本控制系統中 (D) 設定極為複雜的資料庫密碼並每半年手動更換一次

30. 為了落實最小權限原則並消除「常設性管理員權限(Standing Privileges)」帶來的風險，現代特權存取管理(Privileged Access Management, PAM)傾向採用「即時存取 (Just-in-Time, JIT)」策略。下列何者最符合 JIT 的運作模式？ (A) 管理員擁有永久帳號，但每 90 天強制換密碼 (B) 使用共用的高權限帳號並存放在保險箱中 (C) 將所有管理員權限分割給不同的人(職責分離) (D) 權限平時為零，僅在核准的工單期間內動態賦予權限，用完即收回

31. 關於最小權限原則(Principle of Least Privilege)的主要目的，下列哪一項最為適切？ (A) 依據使用者所屬部門給予統一的存取權限 (B) 接受系統預先定義之權限 (C) 限制使用者僅能存取完成工作所需的資源 (D) 確保系統管理者擁有系統管理所需資源存取權限

相關試卷

115年 - 115-1 資訊安全工程師能力鑑定初級試題：資訊安全管理概論#140604

2026 年 · #140604

114年 - 114-2 資訊安全工程師能力鑑定初級試題：資訊安全管理概論#133437

2025 年 · #133437

114年 - 114-1 資訊安全工程師能力鑑定初級試題：資訊安全管理概論#127127

2025 年 · #127127

113年 - 113-2 資訊安全工程師能力鑑定初級試題：資訊安全管理概論#124020

2024 年 · #124020

113年 - 113-1 初級資訊安全工程師01－資訊安全管理概論#120138

2024 年 · #120138

112年 - 112-2 初級資訊安全工程師能力鑑定試題01：I11資訊安全管理概論#117738

2023 年 · #117738

112年 - 112-1 初級資訊安全工程師能力鑑定：資訊安全管理概論#114715

2023 年 · #114715

111年 - 111初級資訊安全工程師01:資訊安全管理概論#112147

2022 年 · #112147

111年 - 111 初級資訊安全工程師01－資訊安全管理概論#111443

2022 年 · #111443

110年 - 110-2 初級資訊安全工程師－資訊安全管理概論#111415

2021 年 · #111415