27. 面對日益嚴峻的軟體供應鏈攻擊(如 Log4j 事件)，企業欲建立快速識別受駭資產的 能力。下列何項機制能最有效地協助組織在漏洞揭露當下，精準定位內部系統是否 使用了含有漏洞的第三方元件？
(A)定期執行外部弱點掃描(Vulnerability Scanning)
(B) 建立並維護軟體物料清單(SBOM)
(C) 要求供應商提供每季一次的滲透測試報告
(D)在所有伺服器上安裝主機型入侵偵測系統(HIDS)

1. 近年資通安全事件日益增加，為保障投資人知的權益，依臺灣證券交易所最新修訂的《上市公司重大訊息發布應注意事項參考問答集》必須充分揭露重大資安事件，依 照相關要求，請問下列何者「不」是發布重大訊息的必要事件？ (A)官方網站首頁遭置換為駭客頁面 30 分鐘 (B) 公司 ERP 系統遭勒索軟體加密，導致採購與出貨系統停擺 3 小時 (C) 雲端備份服務供應商故障 8 小時，主線業務系統運作正常，備份資料未遺失亦未 外洩 (D)研發版控伺服器遭入侵，大量原始碼與未公開技術文件已在暗網販售

2. 企業在處理「個人資料保護法」與資安管理系統(ISMS)的整合時，若發生大規模 個資外洩事件，下列何種法律責任與應變程序的描述最為準確？ (A)只要通過 ISO 27001 認證，即可免除個資法下的行政罰鍰與民事賠償責任 (B) 應於知悉事故後，於法定時限內通報中央目的事業主管機關，否則將面臨加重處 罰 (C) 個資外洩僅屬於隱私議題，不須納入資通安全事件通報及應變辦法之範疇 (D)法律規定企業必須對所有個資進行加密，若未加密即視為未盡善良管理人責任

3. 隨著「後量子密碼學(PQC)」標準逐漸成形，資安團隊正在更新組織的機敏資料保 存規範。考量到攻擊者可能採取「先竊取，後解密(Harvest Now, Decrypt Later)」的 威脅模式。針對需要保存 10 年以上的極機密資料，下列何項加密轉型策略最符合當 前美國國家標準暨技術研究院(NIST)與業界推薦的「加密敏捷性(Crypto-Agility)」 最佳實務？ (A)將金鑰長度升級至 RSA-4096 或 ECC-521，認定其強度足以抵擋未來 10 年的量 子運算威脅 (B) 在 NIST 正式標準完全發布前，暫停所有加密系統更新，避免因採用草案演算法 而產生相容性風險 (C) 採用「混合模式(Hybrid Scheme)」，同時結合傳統高強度演算法(如 ECC/RSA) 與後量子演算法(如 Kyber/ML-KEM)進行雙重封裝 (D)全面捨棄公鑰加密體系，改為僅使用對稱式加密(AES-128)進行金鑰交換與資 料保存，以規避量子威脅

複選題4. 公司為國內股票上市公司，請問發生下列哪些資訊安全事件須依主管機關規定發布 重大訊息？ (A)公司官方網站遭受服務阻斷攻擊(DDoS) (B) 公司重要資通系統因發現系統重大漏洞，進行維護升級作業須停止服務二日 (C) 公司網路遭到入侵，造成內部文件檔案資料外洩 (D)公司機密檔案遭駭客以勒索軟體加密

複選題5. A 公司因近期接獲金融業之客戶通知，爾後承接其業務時，公司應具備最新版 ISO 27001 資訊安全管理系統之導入並通過第三方驗證。請 問 A 公司於導入 ISO 27001 資訊安全管理系統時所申請之驗證範圍，下列哪些項目 最為適切？ (A)資訊機房管理業務活動流程 (B) 人力資源管理系統業務活動流程 (C) 系統開發、維護活動 (D)核心資通系統管理業務活動

6. A 公司於執行風險評鑑過程，依據風險評鑑結果選擇適 切之資訊安全風險處理選項，並據以產生適用性聲明。請問有關部分之適用性聲明 內容，下列何者「有誤」？ (A)(B)(C)(D)

7. A 公司接受金融機構之受託業務，客製化開發之各案， 其委託金額均達新台幣三千萬至五千萬，依《資通安全管理法》及其子法規定，下列 項目何者「有誤」？ (A) A 公司提供自行檢測之「資訊交換系統」安全性證明 (B) B 公司提供該「資訊交換系統」之安全性檢測證明 (C) 金融機構客戶自行進行安全性檢測 (D)金融機構客戶另行委託第三方進行安全性檢測

8. A 公司之客戶某金融機構係屬公務機關，其「資訊交換 系統」之運作涉及國家機密資訊，故 A 公司執行本「資訊交換系統」開發與維護之 相關人員，依《資通安全管理法施行細則》規定「受託業務涉及國家機密者，執行受 託業務之相關人員應接受適任性查核，並依國家機密保護法之規定，管制其出境。」， 請問有關適任性查核事項內容之說明，下列項目何者錯誤？ (A)曾任公務員，因違反相關安全保密規定受懲戒或記過以上行政懲處 (B) 曾任公務員，因違反相關安全保密規定受懲戒或警告以上行政懲處 (C) 曾犯洩密罪，或於動員戡亂時期終止後，犯內亂罪、外患罪，經判刑確定 (D)曾犯洩密罪，或於動員戡亂時期終止後，犯內亂罪、外患罪，通緝有案尚未結案

9. 請問下列對於生物特徵身份認證(Biometric Authentication)的描述何者較「不」正確？ (A)指紋辨識的準確度較人臉辨識的準確度高 (B) 視網膜辨識準確率高，然而特徵擷取十分不便是其難以普及的原因 (C) 錯誤拒絕率又稱為型 II(Type II)錯誤，意指原本合法的使用者在身份認證時被 拒絕 (D)臉形辨識常容易因身材及體重的變化而產生誤判，因此會需要定期重新取樣與訓 練

10. 如附圖所示。某企業為強化組織內部資訊安全，導入了多層次防禦機制。請問附圖中的作法最符合下列何種資訊安全之原則？ (A)最小權限原則(Principle of Least Privilege) (B) 縱深防禦原則(Defense in Depth) (C) 單一防禦原則(Single Point Defense) (D)零信任架構(Zero Trust Architecture)

115年 - 115-1 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#139173

114年 - 114-2 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#130419

114年 - 114-1 資訊安全工程師能力鑑定中級試題：I21 資訊安全規劃實務#126080

113年 - 113-2 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#122124

113年 - 113-1 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#119307

112年 - 112-2 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#116084

112年 - 112-1 資訊安全工程師能力鑑定中級試題：資訊安全規劃實務#114234

111年 - 111 中級資訊安全工程師能力鑑定試題：資訊安全規劃實務#113002

110年 - 110 中級資訊安全工程師能力鑑定試題：資訊安全規劃實務#103271

109年 - 109 中級資訊安全工程師能力鑑定：資訊安全規劃實務#90119