阿摩線上測驗
21. ISO/IEC 27001 是資訊安全管理的國際標準,ISO 27001 認證
是在確保公司擁有一套安全穩固的資訊管理系統來保護公
司內部重要的資訊財產。下列敘述何者錯誤?
(A) ISO/IEC 27001 設計是針對 IT 部門進行管理
(B) 建構資訊安全管理系統(Information Security
Management System, ISMS)是以具系統性的方法來
保護資訊安全。取得 ISMS 的認證也能增加企業或
組織的可信度,並且為公司帶來正面的影響及信任
(C) 組織應架構一項風險處理計畫以鑑別適當管理措
施、資源、職責及優先順序,以便管理資訊安全風
險
(D) 組織應依規劃之期間施行內部稽核,以提供資訊安
全管理系統相關資訊,最後階段必須保存文件化資
訊作為稽核計畫及稽核結果之證據
答案:登入後查看
統計: A(515), B(9), C(6), D(10), E(0) #3102152
統計: A(515), B(9), C(6), D(10), E(0) #3102152
詳解 (共 1 筆)
hiiii
#6326307
答案:
(A)「ISO/IEC 27001 設計是針對 IT 部門進行管理」為錯誤的敘述。
以下為各選項解釋:
-
(A) ISO/IEC 27001 設計是針對 IT 部門進行管理
ISO/IEC 27001 是針對整個組織的資訊安全管理系統(ISMS)設計的國際標準,並非僅局限於單一的 IT 部門。其範疇可以涵蓋所有需要被保護的資訊資產,包括人員、流程、技術及其他方面,因此並不是只對 IT 部門進行管理。- 由於此敘述只針對「IT 部門」而非整個組織,與實際標準適用範圍不符,故為 錯誤。
-
(B) 建構資訊安全管理系統(ISMS)是以具系統性的方法來保護資訊安全。取得 ISMS 的認證也能增加企業或組織的可信度,並且為公司帶來正面的影響及信任
- ISO/IEC 27001 的核心精神之一就是建置資訊安全管理系統(ISMS)並持續不斷地維護與改善,透過系統化的方式保護企業或組織的資訊安全。
- 取得認證除了可以確保組織有符合標準的安全機制,亦能為組織在外部展示其資訊安全水準,提升信任度。
- 以上內容符合 ISO/IEC 27001 的要點,屬 正確 的敘述。
-
(C) 組織應架構一項風險處理計畫以鑑別適當管理措施、資源、職責及優先順序,以便管理資訊安全風險
- ISO/IEC 27001 中重要的過程之一是風險評估與風險處理。組織需透過訂定風險處理計畫(Risk Treatment Plan),來決定如何面對已識別之資訊安全風險(如採取哪些管控措施、優先順序等)。
- 此描述與標準要求相符,為 正確 的敘述。
-
(D) 組織應依規劃之期間施行內部稽核,以提供資訊安全管理系統相關資訊,最後階段必須保存文件化資訊作為稽核計畫及稽核結果之證據
- ISO/IEC 27001 要求組織應定期進行內部稽核(Internal Audit),以確保 ISMS 的落實、有效性及持續改進。
- 內部稽核之後,必須保存稽核計畫與稽核結果的文件化資訊,做為組織後續檢視與外部稽核時的證據。
- 以上內容亦符合標準要求,為 正確 的敘述。
1
0
