今日錯題測驗-iPAS◆資訊安全管理概論◆初級-阿摩線上測驗

阿摩：學力代表過去，財力代表現在，學習力代表未來。

95分

(2 分5 秒)

模式:今日錯題測驗
科目:iPAS◆資訊安全管理概論◆初級

繼續測驗

再次測驗下載

下載收錄

1(B).

2. 組織向第三方驗證公司申請 ISO 27001 資訊安全管理系統證書，下列步驟何項正確？
(A) 初次驗證通過後，需要不定期重新驗證以取得證書
(B) 初次申請驗證流程，分為文件審查與實地審查兩個階段
(C) 重新審查只需要進行文件審查即可
(D) 組織取得通過驗證證書後，三年進行一次重新審查即可延續證書有效期限

2(D).

3. 下列何者「不」是 ISO/IEC 27001:2022 轉版變化的重點？

(A) 管理系統與 ISO 結構的一致性

(B) 簡化標題

(C) 新增控制項目

(D) 驗證範圍調整

3(D).

6. 下列何者目前並非數位發展部資通安全署認可之資通安全專業證照？
(A) ISO 27001 LA
(B) CISSP
(C) iPAS 中級資訊安全工程師
(D) ISO 29100 Lead Privacy Implementer

4(C).

7. 下列何項是支付卡產業資料安全標準？

(A) HIPAA

(B) SOC II

(C) PCI DSS

(D) IEC 62443

5(C).

9. 根據資通安全管理法之規定，主管機關應於其自身完成資通安全事件之通報後，依規定時間完成該資通安全事件等級之審核，下列敘述何項正確？
(A) 通報為第三級或第四級資通安全事件者，於接獲後四小時內
(B) 通報為第三級或第四級資通安全事件者，於接獲後六小時內
(C) 通報為第一級或第二級資通安全事件者，於接獲後八小時內
(D) 通報為第一級或第二級資通安全事件者，於接獲後二小時內

6(A).

12. 下列何種標準是針對雲端服務個人隱私資料的保護？

(A) ISO/IEC 27018

(B) ISO/IEC 27701

(C) ISO/IEC 27001

(D) ISO/IEC 27017

7(D).

15. 下列何者「不」屬於資訊資產清冊可用來支援的項目？

(A) 風險管理

(B) 稽核活動

(C) 事故回應

(D) 財產報廢

8(D).

16. 在建立資訊資產分級政策時，若某資產分類的依據是依其「對企業的營運影響」，下列何者較「不」屬於影響考量？
(A) 資產損失對公司聲譽的影響
(B) 該資產對企業盈利能力的潛在影響
(C) 資訊資產外洩對合作夥伴的潛在影響
(D) 資產所需的技術維護成本

9(C).

18. 進行資訊資產分類時，｢加密系統作業管理程序」通常會歸在下列四項中的何項類別？
(A) 硬體
(B) 環境
(C) 文件
(D) 軟體

10(A).

19. 在定期進行資訊資產盤點的過程中，發現有些資產未被列入資產清單。這可能對資產管理有何直接影響？
(A) 資產的風險評估無法準確進行
(B) 資產的可用性可能會受到影響
(C) 資產的所有者無法進行適當的存取控制
(D) 資產將喪失機密性

11(D).

20. 某公司在進行資訊資產分級時，發現部分資產被多個業務部門使用，不同部門對該資產的重要性評估存在差異。為了確保這類跨部門資產能夠被有效管理，應採用下列何項措施最為適當？
(A) 每個部門獨立分級，根據各部門的需求各自進行保護
(B) 跨部門共享的所有資產，一律採用最高安全等級進行保護
(C) 透過跨部門協調達成共識，將資產設定為中等安全級別
(D) 從有評估的部門中，選擇最高安全等級進行管理

12(C).

25. 如附圖所示。為辦理資通系統安全風險評鑑事宜，組織應訂定該評鑑作業有關作業程序，依照國家資通安全研究院發行之《資通系統風險評鑑參考指引》所介紹之風險評鑑技術及方法，可使用下列何項工具與技術組合？

(A) 2、3、4、5、6
(B) 1、3、4、5、7
(C) 1、2、4、6、8
(D) 1、2、6、7、8

13(A).

28. 如附圖所示。在雲端服務的存取權限控管中，下列哪些做法組合最能有效避免過度授予權限？

(A) 1、2、5、7
(B) 1、3、5、6
(C) 1、2、4、6
(D) 1、2、5、6

14(A).

32. 採用 FIDO2 作為身分認證是目前的趨勢，關於 FIDO2 的敘述下列何者有誤？
(A) 須加入 FIDO 聯盟認證
(B) 可以應用在企業內部作為身分認證
(C) 可以應用在網際網路之金融應用
(D) 是屬於零信任架構的一環

15(A).

37. 憑證管理中心(CA)所管理的憑證中，有部分憑證已有安全顧慮時，應運用下列何種處罝方式最為合適？
(A) 註銷憑證
(B) 憑證審核
(C) 發佈憑證
(D) 交互認證

16(D).

38. 如附圖所示，在檢查一個利用第三方服務的電子資料交換系統(EDI)應用情況時，資訊安全人員應該確認和證實哪些項目？

(A) 1、3
(B) 1、4
(C) 2、3
(D) 3、4

17(A).

39. 「生日攻擊法」(Birthday Attack)主要針對下列何種加密演算法進行攻擊？
(A) MD5
(B) Rijndael
(C) 3DES
(D) RSA

18(B).

41. 關於資訊安全事件相關稽核日誌的敘述，下列何者正確？
(A) 系統管理者使用而觸發的系統稽核日誌，皆先留存日後再予以審查
(B) 組織可先討論針對系統稽核日誌關心的項目審查，一旦觸發時可優先通知權責主管進行後續處理
(C) 系統管理者因為管理上的需要，可使用到共用的管理帳號
(D) 網路設備留存的稽核日誌，雖然有異常登入的紀錄，但已被阻擋未有資訊安全事故發生，就不須再予以審查

19(D).

42. 依據 SP 800-61 Rev. 2 - Computer Security Incident Handling Guide 文件對於事故回應生命週期(Incident Response Life Cycle)之敘述，下列何者錯誤？
(A) 準備(Preparation)
(B) 偵測與分析(Detection and Analysis)
(C) 封鎖、根除與復原(Containment, Eradication and Recovery)
(D) 備份(Backup)

20(B).

45. 如附圖所示。當公私部門妥善收集與共享網路威脅情資，將能更快地識別威脅並找出因應之道，進而讓尚未受到威脅衝之組織能因此主動防禦減少事件發生之可能性。我國「國家資通安全研究院」已於《領域 ISAC 實務建置指引》定義「ISAC 情資類型」包含：資安訊息情資(ANA)、資安預警情資(EWA)、網頁攻擊情資(DEF)、入侵攻擊情資(INT)、回饋情資(FBI)等五類。本題提供之情資內容如附圖，請問依情資最適合判別為下列何者？

(A) 入侵攻擊情資(INT)
(B) 資安預警情資(EWA)
(C) 網頁攻擊情資(DEF)
(D) 回饋情資(FBI)

21(C).

47. 關於組織進行營運衝擊分析所需包含之內容敘述，下列何者錯誤？
(A) 辨識關鍵業務相關之活動
(B) 辨識各活動中斷時，會對機關所造成的衝擊
(C) 確認各活動之最小可容忍中斷時間(MaximumTolerable Period of Disruption, MTPD)
(D) 根據各活動復原之優先順序加以分類，藉以鑑別機關之關鍵活動

22(B).

48. 關於災害復原(Disaster Recovery)和營運持續(Business Continuity)差別的敘述，下列何者較「不」適當？
(A) 災害復原確保業務流程所需要的資源能夠得以回復的程序
(B) 災害復原強調業務的韌性以及客戶關係的管理
(C) 營運持續規劃因應事故或營運中斷的策略
(D) 營運持續使業務能在預先規劃的服務等級上持續運行