試題詳解

7. 情境如上述所示，請問廠商 A 在上個月進行例行 的 ISO 27001 內部稽核時，發現員工缺乏對社交攻擊的認知， 請問下列措施何者「不」合適？
(A) 「員工缺乏對社交攻擊的認知」為可接受之風險
(B) 進行相關員工教育訓練，讓員工了解社交攻擊
(C) 以模擬釣魚郵件對內部員工進行點擊測試用來評估 教育訓練後的成效
(D) 重新評估「員工缺乏對社交攻擊的認知」可能產生的影響