近期錯題測驗-iPAS◆資訊安全管理概論◆初級-阿摩線上測驗

阿摩：沒有目標的人，永遠為有目標的人努力。

100分

(4 分32 秒)

模式:近期錯題測驗
科目:iPAS◆資訊安全管理概論◆初級

繼續測驗

再次測驗下載

下載收錄

1(A).

7. 下列何種資訊設備較「無法」從網路層進行存取控制以限制合法的來源？
(A) DLP（Data Loss Prevention）
(B) DNS（Domain Name Service）
(C) Firewall
(D) Switch

2(A).

12. 依據「資通安全事件通報及應變辦法」，主管機關於接獲通報後，若判定為 3 級或 4 級事件，應於幾小時內完成審核？
(A) 2 小時
(B) 4 小時
(C) 8 小時
(D) 12 小時

3(C).

13. 下列敘述何者較「不」正確？
(A) RTO 時間越長，代表可容忍系統無法使用時間越長
(B) RPO 的時間點要求越遠，代表可允許之資料備份週期越長
(C) RPO 的時間點要求越遠，代表可允許之資料備份週期越短
(D) MTPD 時間越長，代表可容忍系統無法使用時間越長

4(D).

25. 通用漏洞評分系統（Common Vulnerability Scoring System, CVSS）是一個可衡量漏洞嚴重程度的公開標準。CVSSv3 以基本指標群（Base metric group）、暫時指標群（Temporal metric group）及環境指標群（Environmental metric group）等 3 個群組來進行判斷。關於基本指標群，下列何者「不」是其考量因素？
(A) 機密性衝擊（Confidentiality Impact）
(B) 攻擊途徑（Attack Vector）
(C) 攻擊複雜度（Attack Complexity）
(D) 可靠性衝擊（Reliability Impact）

5(C).

1. 使用專用帳號及密碼登入 CRM（Customer Relationship Management）系統，主要是基於下列何種原則？
(A) 可靠性
(B) 可用性
(C) 機密性
(D) 完整性

6(C).

42. 依據「資通安全事件通報及應變辦法」，主管機關於接獲通報後，若判定為 1 級或 2 級事件，應於幾小時內完成審核？
(A) 2 小時
(B) 4 小時
(C) 8 小時
(D) 12 小時

7(A).

4. 關於維護資料完整性之控制措施，下列敘述何者正確？
(A) 密碼學技術
(B) 防火牆
(C) 資料庫備份
(D) 電子郵件加密

8(B).

6. 依據資通安全責任等級分級辦法之規定，下列有關資通安全責任等級的敘述，下列何者正確？
(A) 業務涉及全國性民眾服務或跨特定非公務機關共用性資通系統之維運，其資通安全責任等級為 A 級
(B) 業務涉及公務機關捐助、資助或研發之國家核心科技資訊之安全維護及管理，其資通安全責任等級為B 級
(C) 各機關維運自行或委外設置、開發且具權限區分及管理功能之資通系統者，其資通安全責任等級為 A 級
(D) 無資通系統但提供資通服務，其資通安全責任等級為 E 級

9(C).

12. 依據營業秘密法的規定，下列何者正確？
(A) 工程師於職務上研究或開發之營業秘密，歸工程師所有
(B) 營業秘密不得讓與他人或與他人共有
(C) 營業秘密不得為質權及強制執行之標的
(D) 營業秘密指方法、技術、製程、配方，程式則不屬營業秘密，應屬著作權

10(A).

13. 當某公益團體舉辦抽獎活動，而需蒐集參與者個人資料時，請問下列何種方式最「不」合適？
(A) 直接保留參與者個人資訊，以供其他用途使用
(B) 明確告知參與者，所蒐集個人資訊的用途
(C) 提供參與者請求停止蒐集個人資訊的管道
(D) 應視活動需求，只蒐集必須的個人資訊

11(B).

17. 關於資訊資產分類的目的，下列敘述何者較正確？
(A) 確認資訊資產的價值
(B) 確認資訊資產的類型
(C) 確認資訊資產的風險
(D) 確認資訊資產的擁有者

12(B).

21. 關於風險的敘述，下列何項錯誤？
(A) 風險是對目標不確定性之效應
(B) 進行風險分析及排序時，須以量化方式進行
(C) 風險與控制並非總是一對一的形式，有時一個風險是透過多控制作業在管理
(D) 風險回應成本的高低與風險嚴重度並非高度正相關

13(B).

24. 當公司使用雲端服務時，面對風險的態度及處理方式，下列何者較「不」適宜？
(A) 參考業界同業的使用經驗，從中選擇合適的雲端服務供應商
(B) 因為採用雲端服務，所以公司在這樣服務不會有風險存在
(C) 當某服務發生失效時，加以記錄相關情況，視情況重新評估其風險
(D)因該服務前 3 年都沒有失效的記錄，故其發生風險的機率較低

14(B).

26. 關於零信任（Zero Trust）的敘述，下列何者正確？
(A) 零信任是不用始終驗證
(B) 僅提供必要的權限
(C) 不需保持網路可見性
(D) 非所有流量都是不安全的前提下進行零信任設計

15(D).

38. 下列何種密碼演算法，其加密與解密使用的金鑰不同？
(A) DES
(B) 3 DES
(C) AES
(D) RSA

16(D).

4. 關於保護資料之機密性、完整性與可用性描述，下列何項正確？
(A) 應用系統的可用性對組織而言，皆為同等級重要
(B) 公司內部員工的個人資訊，不在機密性的保護範圍
(C) 對所有資訊資料而言，機密性最為重要
(D) 組織之公開資訊對外公布時，資料的完整性需審查後再開放

17(D).

7. 下列「資通安全管理法」的哪一項子法，有定義資通安全演練作業項目之子法為何？
(A) 資通安全責任等級分級辦法
(B) 資通安全管理法施行細則
(C) 資通安全情資分享辦法
(D) 資通安全事件通報及應變辦法

18(B).

8. 關於個人資料保護法（以下簡稱：個資法）之規定，下列何者敘述有誤？
(A) 個資法第三條所規範之當事人權利，不得預先要求拋棄
(B) 個資法第八條規定蒐集個人資料應明確告知當事人之事項，應以書面為之
(C) 當事人查詢或請求閱覽個人資料或製給複製本者，可以收取必要之成本費用
(D) 對個人資料之蒐集或處理應有特定目的

19(D).

9. 下列何者行為違反個人資料保護法之規定？
(A) 特定目的消失時，公司即刪除該個資
(B) 首次利用非由當事人提供之個人資料，立即告知當事人取得來源及應行告知之事項
(C) 保險公司要求出險之被保險人提供相關之醫療記錄
(D) 當事人請求閱覽其個人資料，公司於 45 天後告知不予同意

20(C).

11. 關於中華民國「個人資料保護法」中明定「當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之」的敘述，下列何項錯誤？
(A) 查詢或請求閱覽
(B) 請求補充或更正
(C) 請求公開或製給複製本
(D) 請求停止蒐集、處理或利用

21(A).

32. FIDO 是確保登入流程中伺服器透過與終端裝置協定的安全機制。請問下列何項敘述有誤？
(A) 由 IETF（網際網路工程任務組織）所訂定的一套網路識別標準
(B) 這套識別標準透過公開金鑰加密（Public Key Cryptography）的架構進行多重因素驗證（MFA）以及生物辨識登入來強力且嚴密地保護雲端帳號的個資
(C) FIDO 是 Fast Identity Online 的縮寫
(D) FIDO 是採用公開金鑰基礎架構的驗證模式，在 FIDO 認證伺服器端（FIDO Authentication Server）只保存相對應的公鑰，而私鑰則僅保存在使用者的裝置端，因此使用者在登入時只需提供個資給終端裝置解鎖私鑰，再透過這個步驟解鎖公鑰進行登入

22(A).

36. 為確保資料安全，有效降低駭客入侵，最「不」應該進行下列何項措施？
(A) 建立強大的密碼和帳戶管理，實施單一身份驗證
(B) 建立備份和恢復計劃，或是高可用性機制
(C) 使用加密技術
(D) 定期進行安全測試和漏洞掃描

23(A).

37. 關於對稱式加密（Symmetric Encryption）與非對稱式加密（Asymmetric Encryption）的敘述，下列何者錯誤？
(A) 非對稱式加密算法包括 DES、3DES、AES 等，這些算法使用相同的密鑰對資料進行加密和解密
(B) 對稱式加密使用相同的密鑰（也稱為加密鑰）來加 113 年度第 1 次資訊安全工程師能力鑑定初級試題科目：I11 資訊安全管理概論考試日期： 113 年 6 月 1 日第 11 頁，共 14 頁 11 密和解密資料。在對稱式加密中，發送方和接收方必須共享相同的密鑰，並且使用該密鑰對資料進行加密和解密
(C) 非對稱式加密是一種加密技術，使用一對密鑰（公鑰和私鑰）來加密和解密資料
(D) 對稱式加密需要發送方和接收方共享相同的密鑰，因此密鑰的管理和分發比較困難