28. 與滲透測試及弱點掃描相關議題的敘述,下列何者較為正確?
(A) 若使用滲透測試工具來測試系統安全性,測試期間宜謹慎規劃不要危及系統運作
(B) 滲透測試會影響系統可用性之稽核測試,宜於正常營運時間執行,可確認實際結果
(C) ISO 27005 為提供關於技術遵循性審查之特定國際指引
(D) 滲透測試或源碼檢測之結果,若有風險需判斷修補, 可於下次再檢測時,確認實施結果

答案:登入後查看
統計: A(459), B(14), C(16), D(24), E(0) #3142748

詳解 (共 1 筆)

#6304992

讓我們逐一分析每個選項:

(A) 若使用滲透測試工具來測試系統安全性,測試期間宜謹慎規劃不要危及系統運作

  • ✓ 正確
  • 滲透測試應該謹慎規劃,包括:
    • 事先取得授權
    • 選擇適當的測試時間
    • 制定緊急回復計劃
    • 避免影響系統正常運作
    • 限制測試範圍和強度

(B) 滲透測試會影響系統可用性之稽核測試,宜於正常營運時間執行,可確認實際結果

  • ✗ 錯誤
  • 影響系統可用性的測試應該在非營運時間執行,原因:
    • 避免影響正常業務運作
    • 降低對使用者的影響
    • 減少營運風險
    • 便於系統復原

(C) ISO 27005 為提供關於技術遵循性審查之特定國際指引

  • ✗ 錯誤
  • ISO 27005 實際上是資訊安全風險管理的標準
  • 技術遵循性審查相關的標準是 ISO 27007 和 ISO 27008

(D) 滲透測試或源碼檢測之結果,若有風險需判斷修補,可於下次再檢測時,確認實施結果

  • ✗ 錯誤
  • 發現的風險應該:
    • 及時修補
    • 進行確認測試
    • 不應等到下次定期檢測
    • 需要驗證修補的有效性

因此,正確答案是 (A)。

這是正確的因為:

  1. 強調了滲透測試需要謹慎規劃
  2. 重視系統運作的安全性
  3. 體現了風險管理的概念
  4. 符合專業的測試準則

其他選項都包含了不當或錯誤的做法:

  • 在正常營運時間執行高風險測試
  • 錯誤的標準引用
  • 延遲修補確認的做法
1
0