阿摩:多寫考古題,才能知道出題方向
100
(2 分39 秒)
模式:試卷模式
試卷測驗 - 107 年 - 107 初級資訊安全工程師能力鑑定試題01:資訊安全管理概論#117053		 繼續測驗
再次測驗 下載 下載收錄
1(D).

1. 下列何者是「機密性」的正確意涵?
(A) 確保被使用的為正確資料,未遭人竄改
(B) 確保網路通訊中的參與者,不會拒絕承認他們的行為
(C) 確保資訊服務隨時可被取用
(D) 防止未經授權的人或系統存取資料或訊息



2(C).

2. 請問「確保已授權之使用者可適時、可靠的存取資料與資源」所代表 的意義是下列何者?
(A) 機密性
(B) 完整性
(C) 可用性
(D) 可讀性



3(B).

3. 組織內部某資料庫遭受駭客藉由惡意程式入侵,竊走大量個人資料, 請問此為下列哪些特性遭受破壞?
(A) 可用性
(B) 機密性
(C) 完整性
(D) 可讀性



4(A).

4. 關於「識別風險並以定性或定量之方式計算風險值」,是下列何者的敘 述?
(A) 風險分析
(B) 風險處理
(C) 風險轉嫁
(D) 風險降低



5(C).

5. 關於管理階層的審查作業,屬於下列戴明循環(P、D、C、A)的何項 步驟?
(A) 計畫(Plan)
(B) 執行(Do)
(C) 檢查(Check)
(D) 行動(Act)



6(B).

6. 關於資訊資產的使用,下列敘述何者正確?
(A) 存有資訊資產的設備要汰換時,只需要將機器交給回收廠商即可
(B) 資訊資產攜出,必須經過適當的授權與核可
(C) 印有機敏性資料的文件,集中到大樓回收箱即可
(D) 資訊資產放在 USB 很方便,隨插隨用,訊息交換最直接



7(C).

7. 下列何者「不」是導入資訊安全管理系統(Information Security Management System, ISMS)的主要目的?
(A)保護組織資訊資產的安全
(B) 確保資訊系統能夠穩定的運作
(C)降低企業的營運和人員成本
(D)避免資料外洩事故的發生



8(D).

8. 資訊安全管理系統遵照計畫(Plan)、執行(Do)、檢查(Check)及行 動(Act)等四個程序,不斷的改進。關於 PDCA 四個程序,下列說明 何者「不」正確?
(A) 計畫(Plan):依照組織政策,建立必要的資安目標
(B) 執行(Do):實施此計畫的過程
(C) 檢查(Check):針對資安目標,確認監督及量測過程,並報告及 結果
(D) 行動(Act):單位執行內部稽核



9(C).

9. 關於資訊資產控管原則,下列敘述何者正確?
(A) 關鍵系統設備不需建立備援機制
(B) 網路設備不用建立備用系統
(C) 個人使用之套裝軟體,其存取權限的賦予,應與使用者的角色與 職責相符
(D) 公開資料未經權責主管之授權核可,禁止複製



10(B).

10. 資訊資產分類一般可分為硬體、軟體、資料、文件、人員、服務,下 列何者可分類為服務資產?
(A) 網路設備
(B) 電力
(C) 請假單
(D) 資訊部門主管



11(D).

11. 關於資訊資產分類,下列敘述何者「不」正確?
(A) 使資訊資產易於管理
(B) 資產管理者或擁有者應依資產之屬性進行分類
(C) 各組織針對所擁有之資訊資產不同,可能會因定義不同而有不同資訊資產分類
(D) 資訊資產分類定義都是固定的,只能分成四類(資料、軟體、硬體與人員)



12(A).

12. 下列何者負責進行資訊分類的判斷?
(A) 擁有者(Owner)
(B) 保管員(Custodian)
(C) 資訊安全經理(Information Security Manager)
(D) 資訊風險經理(Information Risk Manager)



13(D).

13. 關於資產盤點與汰除事項,下列敘述何者「不」正確?
(A) 財務重要薪資硬碟故障,除資產變更汰除外,應進行消磁銷毀
(B) 傳真掃描影印事務機舊機報廢,應進行儲存媒體清除
(C) 待汰除設備過多,需要擔心聚合效應(Aggregation Effect)
(D) 電腦報廢因整台中古回收價格更高,所以相關硬碟不用額外處理



14(C).

14. 下列何者最適合被指派為資產擁有者?
(A) 資產的採購者
(B) 資產的盤點者
(C) 對資產的使用負有管理責任者
(D) 外包的廠商人員



15(B).

15. 關於組織的資訊資產,下列敘述何者「不」正確?
(A) 資訊資產包含組織內與資訊活動相關的任何人事物
(B) 資訊資產的擁有者對該資產具有實質的財產權
(C) 資訊安全管理的目的在保護資訊資產的機密性、完整性和可用性
(D) 資訊資產管理對資訊安全而言,其目的在於識別與資訊活動相關 的資產,並予以適當的保護



16(D).

16. 對於高等級的衝擊可能會嚴重違背、傷害或阻礙一個組織的使命、聲 譽或利益,或者可能會造成人員的死亡或嚴重受傷。此時應該優先考 量下列何種風險處置策略?
(A) 風險接受
(B) 風險降低
(C) 風險移轉
(D) 風險避免



17(A).

17. 下列敘述何者符合風險移轉?
(A) 投保機房火險
(B) 建立備援網路系統
(C) 停止網路平台交易業務
(D) 增加開啟系統權限的簽核流程



18(C).

18. 關於風險管理常舉例的「木桶理論」,如何決定一個由長短不同的木板 所構成的木桶之「容水量大小」,下列敘述何者正確?
(A) 取決於其中「最長」的那塊木板
(B) 取決於全部木板長度的「平均值」
(C) 取決於其中「最短」的那塊木板
(D) 以上皆非



19(D).

19. 為了降低風險,下列何者「不」是實施風險控制措施的考量因素?
(A) 法規要求與限制
(B) 組織的目標與規範
(C) 實施的可能成本
(D) 資訊資產類別



20(B).

20. 關於風險管理,下列敘述何者「不」正確?
(A) 管理組織風險,避免風險擴大
(B) 協助組織隱藏風險,避免驗證失效
(C) 協調實作控制風險,降低風險
(D) 尋求備案,以避免意外發生



21(B).

21. 關於存取控制措施,下列敘述何者正確?
(A) 組織建立無線存取資訊系統時,無需取得授權,以快速建立無線 存取使用限制、組態/連線需求
(B) 採用最小權限原則時,只允許使用者依據任務和業務功能,完成 所需之授權存取
(C) 資訊系統及系統間的資料交換,無需採取強制審查授權,以符合 組織的存取控制政策
(D) 作業系統皆無需考慮強制存取控制(Mandatory Access Control, MAC)之架構



22(C).

22. 特權(Privilege)是指使用者對資訊資產擁有特殊的權限。下列何者「不」 是特權使用者?
(A) 資料庫管理員
(B) 帳號管理員
(C) 文書處理員
(D) 網路管理員



23(A).

23. 「業務承辦人員,不能身兼業務稽核人員」為下列何者的說明?
(A) 職務區隔(Segregation of Duties)
(B) 最小權限原則(Principle of Least Privilege)
(C) 必要知道原則(Need-to-know Principle)
(D) 以角色為基礎的存取控制(Role-based access control, RBAC)



24(B).

24. 關於權限管理,下列做法何者較「不」適當?
(A) 賦予新到任資訊人員系統權限前,應先經過考核
(B) 由於系統權限設定時已經過核准,故不需定期審查系統權限
(C) 採購助理申請查詢庫存數量權限時,應會簽倉儲主管
(D) 業務助理離職後,系統僅設定停用該員帳號而非刪除帳號



25(D).

25. 下列何者「不」是資料存取控制的方法?
(A) 強制存取控制(Mandatory Access Control, MAC)
(B) 存取控制目錄(Access Control List , ACL)
(C) 規則基準存取控制(Rule-based Access Control)
(D) 身分識別(Identification)



26(D).

26. 當遇到需設定密碼識別的情況時,下列何種做法可使密碼較「不」容 易被破解?
(A) 使用純數字
(B) 英文名字加生日
(C) 身分證字號
(D) 參雜大小寫數字,越雜亂無章越好



27(D).

27. 下列何種生物辨識方式之交叉錯誤率(Crossover Error Rate, CER)最 低?
(A) 語音辨識
(B) 掌形辨識
(C) 手寫辨識
(D) 虹膜辨識



28(B).

28. 關於身分認證機制,下列敘述何者「不」正確?
(A) 兩階段身分認證的方式可透過手機,或是專屬的安全金鑰裝置等 工具執行
(B) 兩階段身分認證的目的,在於簡化認證程序
(C) 動態密碼符記(Token)身份認證,是在使用者端常見的驗證工具
(D) 可透過 LDAP 服務,整合使用者在各種應用程式進行認證



29(C).

29. 下列何種攻擊手法,「不」能達到竊取或偽冒 Windows 使用者身份的目的?
(A) PTT(Pass the Ticket)
(B) PTH(Pass the Hash)
(C) DDoS(Distributed Denial-of-Service Attack)
(D) 密碼暴力破解(Brute-Force Attack)



30(A).

30. 下列身份認證所需的相關元素,其中何者遭公開或竊取時,「不」會影 響身份認證的安全性?
(A) 憑證公鑰(Public Key)
(B) 密碼(Password)
(C) 通行碼(Pin Code)
(D) 憑證私鑰(Private Key)



31(D).

31. 關於身份識別與存取管理(Identity and Access Management, IAM),下 列敘述何者「不」正確?
(A) IAM 重視驗證(Authentication)、授權(Authorization)及稽核 (Auditing)
(B) IAM 可透過你知(What you know)、你有(What you have)、你是 (What you are)
(C) 驗證安全其它條件,應思考通訊傳輸加密與驗證值加密保護
(D) 驗證後權限,應符合最大權限原則



32(C).

32. 身分驗證中,生物特徵比對有靜態與動態的差異。請問下列何者「不」 是動態比對?
(A) 聲音辨識
(B) 臉部辨識
(C) 指紋辨識
(D) 電子筆簽字辨識



33(C).

33. 若員工重複使用先前用過的密碼,請問管理人員應執行下列何種政 策,以防止這種情況發生?
(A) 強制密碼歷程記錄和密碼最長使用期限
(B) 密碼最短使用期限和密碼必須符合複雜度需求
(C) 強制密碼歷程記錄和密碼最短使用期限
(D) 密碼必須符合複雜度需求和強制密碼歷程記錄



34(C).

34. 身分認證存取控制是一種限制資源存取的處理方式及程序,其目的在保護系統資源不會被非經授權者或授權者進行不當的存取。請問使用者身分被認證後,授予其應有的權限的程序稱為?
(A) Identification(識別)
(B) Authentication(認證)
(C) Authorization(授權)
(D) Accountability(可歸責)



35(D).

35. 下列何者「不」屬於資訊安全事件通報之情況?
(A) 破壞所預期之資訊完整性、機密性、可用性
(B) 違反個資法
(C) 存取違例
(D) 廠商例行維護



36(D).

36. 下列何者「不」屬於資安事故應變與處理程序循環?
(A) 發現與分析(Detection & Analysis)
(B) 控制移除與復原(Containment, Eradication & Recover)
(C) 準備(Preparation)
(D) 清除 Log 檔(Reset Log File)



37(D).

37. 關於資訊安全事故,下列敘述何者「不」正確?
(A) 事件發生時,應填寫通報單,來判定是否為資安事故
(B) 應將資訊安全事件進行分級
(C) 每一個級別都可視為資安事故,有不同處理規範
(D) 天然災害為不可抗力,所以不用列入處理



38(B).

38. 關於資安事件(Security Event),下列敘述何者最正確?
(A) 一定需要立即處理
(B) 需要留存紀錄
(C) 發生時需要啟動緊急應變計畫
(D) 與資安事故(Security Incident)沒有差別



39(A).

39. 發現駭客正試圖攻擊路由器或防火牆,尚未入侵網路系統,此狀況稱 之下列何者?
(A) 資訊安全事件
(B) 資訊安全事故
(C) 資訊安全風險
(D) 資訊安全分析



40(A).

40. 下列何種備份方式,當需要完整還原所有檔案至前一個備分時間點之 資料時,通常其還原速度最快?
(A) 完整備份(Full Backup)
(B) 差異備份(Differential Backup)
(C) 增量備份(Incremental Backup)
(D) 選擇式備份(Selective Backup)



41(C).

41. 下列幾種異地備援中心,何者可在發生重大災難時於最短時間內將服務回復至最低服務水準?
(A) 冷備援(Cold Site)
(B) 暖備援(Warm Site)
(C) 鏡備援(Mirror Site)
(D) 熱備援(Hot Site)



42(C).

42. 關於最大可容忍的中斷時間(Maximum Tolerable Period of Disruption, MTPD),下列敘述何者正確?
(A) 實際電力中斷的時間
(B) 實際停止上班的時間
(C) 關鍵營運活動最多可允許中斷的時間
(D) 關鍵資料可遺失的時間



43(B).

43. 下列何者是主機備援最安全的做法?
(A) 將備用主機和備份資料,存放於營運主機所在的相同地點
(B) 將備用主機和備份資料,存放於營運主機所在的不同地點
(C) 將備用主機與營運主機存放在相同地點,備份資料則存放於不同 地點
(D) 將備份資料與營運主機存放在相同地點,備用主機則存放於不同 地點



44(D).

44. 下列何者為訂定資料備份策略時,決定可接受之資料損失的項目?
(A) 復原時間目標(Recovery Time Objective, RTO)
(B) 備份媒體的選擇
(C) 備份時間與週期
(D) 復原點目標(Recovery Point Objective, RPO)



45(C).

45. 下列何種行為並「不」違反智慧財產權?
(A) 複製有版權的軟體給他人使用
(B) 使用或張貼網路上的文章及圖畫
(C) 推薦網上購物商品資訊與朋友
(D) 下載網上電影並分享與他人



46(D).

46. 下列何者「不」是個人資料保護法中,當事人對於個人資料的權利?,
(A) 查詢或請求閱覽
(B) 請求補充或更正
(C) 請求刪除
(D) 請求永久保留



47(D).

47. 下列何者「不」是個資法第 6 條,不可隨意蒐集、處理或利用的個資?
(A) 病歷
(B) 基因
(C) 犯罪前科
(D) 財務情況



48(C).

48. 下列何種行為描述,將會損及稽核人員之專業與職業道德?
(A) 稽核人員以誠實、嚴謹及負責之態度執行其任務
(B) 不得使用資訊以圖個人利益
(C) 為維持與受稽核對象的良好關係,部份重大的稽核發現,可選擇 性的不揭露在相關的稽核報告中
(D) 應謹慎使用及保護其在執行任務過程所獲得之資訊



49(C).

49. 關於稽核軌跡,下列敘述何者正確?
(A) 為對紀錄與其他資訊進行獨立檢測的方法
(B) 用於找出與管理影響企業之潛在事件與風險
(C) 指事件發生的過程中留下可供稽核的文件或紀錄
(D) 提供組織一個正確的電腦稽核管理方向與趨勢



50(D).

50. 小張擔任公司的個人資料保護作業內部稽核人員,因時間不足,他於稽核完每個部門的業務負責人後,未向該單位進行稽核結果說明,即直接前往下一受稽核單位,請問關於這樣的稽核方式,下列敘述何者最適當?
(A) 此做法正確,稽核應於預定的時間內完成為首要目標
(B) 此做法正確,稽核結果在結束會議時統一說明即可
(C) 此做法不適當,應該減少稽核項目,隔年稽核再補查,但需向受查單位說明此一狀況
(D) 此做法不適當,每次稽核結束,都應向受稽核單位說明稽核結果, 並且取得受稽單位對稽核結果的共識



最頂
快捷工具
完全正確!

試卷測驗 - 107 年 - 107 初級資訊安全工程師能力鑑定試題01:資訊安全管理概論#117053-阿摩線上測驗

黃仁泓剛剛做了阿摩測驗,考了100分