精熟測驗 - iPAS◆資訊安全規劃實務◆中級-阿摩線上測驗

阿摩：猶豫不決是一個錯誤，遲早你都要採取行動，否則機會稍縱即逝。

84分

(3 分55 秒)

模式:精熟測驗
科目:iPAS◆資訊安全規劃實務◆中級

繼續測驗

再次測驗下載

下載收錄

1(B).

6. 關於區塊鏈（Blockchain）技術，下列敘述何者「不」正確？
(A)原始概念為去中心化的架構設計
(B) 比特幣的 Hash Chain 符合我國電子簽章法中數位簽章的描述
(C) 在實務上不容易竄改交易的內容
(D)可採用工作量證明加強交易的不可否認性

2(A).

5. 規劃縱深防禦（Defense in Depth）時，我們常會採用多種不同面向的管控措施（Controls），下列何者屬於預防性存取管控措施（Preventative Access Control）？
(A)側錄系統（Session recording system）
(B) 加密（Encryption）
(C) 備份（Backup）
(D)入侵偵測系統（Intrusion detection system）

3(C).

3. 依據我國《資通安全管理法施行細則》條文中規定，下列何者「不」是資通安全維護計畫應（強制要求）包括的事項？
(A)核心業務及其重要性
(B) 資通安全政策及目標
(C) 實施安控的作業程序書
(D)專責人力及經費之配置

4(B).

1. 某中央一級單位通過 ISO/IEC 27001 認證，公務資訊中心位置在台北市中正區。另有對外 7x24x365 Web Based 便民資訊系統與資料庫，以虛擬機制建立在中和機房，關於資訊安全管理建置，下列敘述何者「不」正確？
(A)該單位資訊中心需定期驗證備份資料，確保資料系統高可用性
(B) 異地備援中心選擇「永和辦公室」主要考量因素是距離近
(C) 建議「異地備援機房建置」參考行政院「電腦機房異地備援機制參考指引」為佳
(D)便民資訊系統應建立服務層級協議（Service Level Agreement, SLA），資訊系統建立負載平衡，資料庫建立高可用性架構尤佳

5(B,C).

【題組 5】

【題組】40.情境如附圖所示。有關 DDoS 攻擊的防禦機制，除本題組第一題的服務型機制外，還可以在建置下列哪些設備或服務，以減輕攻擊所造成的影響？
(A) 建置網頁型防火牆（WAF）系統
(B) 建置「內容傳遞網路」（Content Delivery Network, CDN）
(C) 建置「負載平衡伺服器」（Server Load Balancer）
(D) 建置資料外洩防護（DLP）系統

6(B).

【題組】39.情境如附圖所示。承本題組第一題，該項防禦機制於每一年能夠為 Quick GO 公司創造的價值為何？
(A) 負 20,000 元
(B) 負 10,000 元
(C) 20,000 元
(D) 50,000 元

7(C).

【題組】38.情境如附圖所示。承上題，單以營業損失而言，該項防禦機制一年能為 Quick GO 降低多少金額？
(A) 10,000 元
(B) 80,000 元
(C) 70,000 元
(D) 30,000 元

8(B).

【題組】37. 情境如附圖所示。請問應該選用下列何項由 ISP 業者提供的服務型防護機制，較能有效地減緩攻擊及其所帶來的影響？
(A) 網路存取控制（NAC）
(B) 網路流量清洗服務（Flow Cleaning）
(C) 蜜罐誘捕系統（Honey Pot）
(D) 入侵偵測系統（IDS）

9(C).

【題組 4】

【題組】32.情境如附圖所示，A 企業欲針對此次在英國的電子商務平台，所發生的大量客戶個資外洩事件進行風險處理，請問下列何風險處理方式較「不」適當？
(A) 電子商務平台個人資料去識別化
(B) 落實資料庫加密以避免未經授權的存取
(C) 採用 SSL3.0 的傳輸加密
(D) 採用多因子身份認證（MFA）

10(B).

【題組】31.情境如附圖所示，請問於 A 企業於歐盟內系統據點執行的資訊安全管理系統（ISMS）及個人資料保護管理系統（PIMS），執行下列選項較為適當？
(A) 資訊安全風險評鑑（ISRA）及營運衝擊評鑑（BIA）
(B) 資訊安全風險評鑑（ISRA）及資料保護衝擊評鑑（DPIA）
(C) 環境影響評鑑（EIA）及營運衝擊評鑑（BIA）
(D) 環境影響評鑑（EIA）及資訊安全風險評鑑（ISRA）

11(C,D).

28. 如附圖所示，委外廠商的滲透測試人員在與客戶接洽之前，會在工作說明書（SOW）訂定附圖中的規定並由客戶完成審核。而根據 SOW 所呈現的資訊，下列哪些行為會較容易被視為該廠商人員具有「不道德」的風險行為？

(A) 使用合法軟體授權之滲透測試工具，進行安全查核和檢視
(B) 利用公鑰加密技術以確保檢測結果在檢測作業完成後，能妥適安全地交付 CISO
(C) 未能將發現的重要漏洞報告及討論，以滿足客戶的高階領導團隊的安全需求
(D) 使用客戶所屬 IP 位址，至地下駭客論壇或暗網查找技術文件或工具

12(B).

26. 如附圖所示，依據 ISO/CNS 31010 當資通安全主管決定利用「後果 /機率矩陣」模型完成以資通資產（Asset）為基礎的風險評鑑。附圖中的哪些項目比較能夠說明該方式可能會得到的結果？

(A) 1、2、3
(B) 2、3、6
(C) 3、4、5
(D) 1、4、5、6

13(C).

25. 關於風險管理流程之敘述，下列何者錯誤？
(A) 有些辨識出的風險經過分析與評估之後，可以考量接受該風險
(B) 風險處理的成本與風險的嚴重性可能沒有直接關係
(C) 通過 ISO 27001 驗證之公司，進行風險評鑑時，必須通過 ISO 31000 風險管理系統驗證
(D) 決定處理風險優先項目，是依據風險分析與評估後，所判斷的風險嚴重性做為依據

14(A).

【題組 3】

【題組】22. 情境如附圖所示。承上題，關於該項攻擊敘述，下列何項錯誤？
(A) 主要目的在癱瘓網路服務
(B) 使用自動化的方式嘗試登入網路服務
(C) 使用其他服務外洩的帳號密碼
(D) 此攻擊有效的可能原因是人們重複使用帳號密碼

15(A).

18. 規劃網路安全架構時，下列何項措施能「較有效」的保護資料的機密性？
(A) 資料傳輸加密
(B) 強化防火牆設置
(C) 定期資料備份
(D) 內部網路隔離

16(B,C).

【題組 2】

【題組】

16. 情境如附圖所示，為了因應日益成長的網路業務，A 公司決定擴大規模，將原本會計與財務作業由行政部獨立出來，進出貨與客服作業由業務部獨立出來，資訊部由原本資訊管理作業增加資安業務，因此 A 公司的新組織架構如附圖所示。試問依據新的組織架構，下列哪些規劃措施較「不」符合資安管理要求？

(A) 依據部門屬性切分網段隔離
(B) 全組織人員之權限均為 admin
(C) 資訊部人員共用 Admin 帳號
(D) 財會部人員共用 User 3 帳號

17(C).

9. 一個要導入 ISO 27001 的組織，為了降低組織資產未經授權或誤用的機會，下列何種措施較「無法」避免？
(A) 職務區隔
(B) 職務輪調
(C) 資產清冊
(D) 存取控制政策

18(B).

2. 智慧型物聯網（IoT）設備於進入歐盟市場之時，應該要遵循下列何項歐盟新發布的法案，以完成應遵循的安全責任及義務事項，以避免高額的罰鍰(如 1,500 萬歐元)？
(A) NIS2 Directive（歐盟第 2022/2555 號《於歐盟實施高度共通程度之資安措施指令》）
(B) Cybersecurity Resilience Act（《資通安全韌性法案》）
(C) NIS Directive（《網路與資訊系統安全指令》）
(D) Cybersecurity Act, Regulation 2019/881（《資通訊安全法案》）

19(C).

1. 服務組織控制報告（Service Organization Controls，SOC Report）為美國會計師協會（AICPA）所訂定之報告形式，有 SOC1、SOC2 與 SOC3 等三種，其目的是透過獨立會計師審查以說明組織所提供服務之安全控管現況、程度及有效性。請問下列何種報告最適合發布給一般大眾閱讀的？
(A) SOC1
(B) SOC2
(C) SOC3
(D) SOC1 及 SOC2

20(B,C).

36. 關於「風險」與「風險管理」的敘述，下列哪些正確？
(A) 風險是外部威脅利用弱點對內部資產造成衝擊的可能性
(B) 通常風險管理都會以 ISO/IEC 27005 風險管理指引作為參考
(C) 風險分析可依可用性、完整性、機密性加以質化後，決定風險等級
(D) 進行風險識別須包含威脅識別與弱點識別

21(C,D).

【題組 4】

【題組】29. 情境如附圖所示，請問在 A 企業位於英國的電子商務平台發生駭客入侵事故，下列應變與處理程序哪些正確？
(A) 依資通安全管理法規定於 2 小時之內通報目的事業主管機關
(B) 依一般資料保護規範（GDPR）規定於 1 週內通報個資外洩
(C) 應該至公開資訊觀測站發佈重大訊息
(D) 發佈的程序應遵循 A 企業訂定的相關程序進行處理

22(A,C).

【題組 3】

【題組】23.情境如附圖所示。承上題，該公司最「不」可能會有下列何項法律問題？
(A) 資通安全管理法
(B) 個人資料保護法
(C) 公司法
(D) 上市上櫃公司資通安全管控指引

23(B).

【題組 2】

【題組】14. 情境如附圖所示，為了強化該公司對於會員個人資料保護的作為，資安長（老闆）要求資訊部重新評估公司整體資訊安全相關作為，以降低整體營運上之風險，試問資訊部對於整體資訊安全強化所採取之作為，下列敘述何者錯誤？
(A) 採取邊界防禦評估，包含防火牆、入侵偵測/防禦系統（IDS/IPS）與網路安全設備等，以防止未經授權之存取
(B) 採用防毒軟體進行身分驗證及授權管理評估
(C) 採取應用程式保護評估，包含弱點掃描、滲透測試以及源碼檢測等
(D) 採取資料保護評估，包含機密等級識別、資料加密傳書、存取控制等

24(B).

10. 關於政府零信任（Zero Trust）網路之敘述，下列何項正確？
(A) 政府推動零信任網路是由國家通訊傳播委員會推動主導
(B) 政府零信任網路包含身分鑑別、設備鑑別及信任推斷等 3 大核心機制
(C) FIDO2 無密碼雙因子驗證滿足零信任網路要求
(D) 持續掌握設備健康管理即滿足設備鑑別要求

25(C).

【題組 1】

【題組】6. 情境如附圖所示，關於資通安全責任等級分級辦法，下列敘述何者正確？
(A) 資通安全管理法規範公務機關及特定非公務機關之資通安全責任等級，分為 A 至 D 級
(B) 公務機關應每三年核定其所屬機關資通安全責任等級
(C) 公務機關其負責業務有涉及國家機密，其資通安全責任等級即為 A 級
(D) 各公務機關未維運自行或委外開發之資通系統者，其資通安全責任等級為 C 級