題庫堂
檢索
題庫堂
首頁
數學
英文學習
政治學
統計學
經濟學
藥理學
中醫藥物學
財政學
法學知識
公共行政
警察學
BI規劃師
財務管理
公共衛生學
工程經濟學
電力電子學
當前位置:
首頁
9. 公務機關就其所屬人員辦理業務涉及資通安全事項之獎懲,得 依「公務機關所屬人員資通安全事項獎懲辦法」之規定自行訂定獎懲基準。以下何種情形得予獎勵?(A)辦理 A 級機關資通安全管理業務,符合資通安
問題詳情
9. 公務機關就其所屬人員辦理業務涉及資通安全事項之獎懲,得 依「公務機關所屬人員資通安全事項獎懲辦法」之規定自行訂定獎懲基準。以下何種情形得予獎勵?
(A)辦理 A 級機關資通安全管理業務,符合資通安全責任等級分級辦法附表⼀應辦事項,沒有缺失
(B)主動發現零時差弱點,獲得 CVE 編號
(C)考取公務人員資安職能證照
(D)訂定年度資通安全維護計畫
參考答案
答案:B
難度:
簡單
0.688
書單:
沒有書單,新增
上一篇 :
8. 資通安全責任等級 B 級之特定非公務機關應辦事項中,資通安全專責人員以外之資訊人員,下列哪些為應受課程、時數及頻率為何?(複選)(A)每人每二年至少接受三小時以上之資通安全專業課程訓練或資通安全
下一篇 :
10. 資通安全責任等級 A 級之公務機關應辦事項在下列哪些要件成立下,得採用危害國家資通安全產品?(複選)(A)機關⾸⻑核可(B)因業務需求且無其他替代方案(C)全產品時,應具體敘明理由,經主管機關
資訊推薦
11. 資通安全責任等級 A 級之特定非公務機關應辦事項中,每年需辦理至少 2 次的技術⾯項目有那些?(A)網路架構檢視(B)核心資通系統網站安全弱點檢測(C)核心資通系統滲透測試(D)網路惡意活動檢
12. 在資通安全責任等級 B 級之公務機關應辦事項中,哪些項措施是 可以增強政府資訊資產脆弱性管理水準?(複選)(A)防火牆(B)防毒軟體(C)政府組態基準(D)系統滲透測試
13. 公務及非公務機關針對全部核心系統需進行「業務務持續演練」的依據係在資通安全管理法及其相關子法中那⼀份法規中?(A)資通安全管理法(B)資通安全管理法施行細則(C)資通安全責任等級分級辦法(D)
14. 關於資訊安全業務持續計畫(BCP),下列何者為正確?(A)由資訊部門依服務能量決定最大可容忍中斷時間(MTPD)(B)可以用營運持續演練腳本來取代 BCP(C)BCP 的啟動時機,必需小於「最
15. 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,應送下列何權責單位審查?(A)董事會(B)行政院資通安全處(C)中央目的事業主管機關(D)地方政府
16. 資通安全責任等級 A 級之特定非公務機關應辦事項中,初次受核定或等級變更後之二年內,全部核心資通系統導入 CNS 27001 或 ISO 27001 等資訊安全管理系統標準、其他具有同等或以上
17. 在資通安全責任等級分級辦法附表+資通系統防護基準中,等級「高」者,在稽核與可歸責性中,除了滿足所有「普」及「中」等級外,應辦事項中,下列何者為非?(A)應定期審查稽核事件(B)應稽核資通系統管
18. ISO31000 的風險管理的核心與關鍵成功因素為下列何者?(A)領導與承諾(B)整合與設計(C)建置(D)評估與持續改善
19. 鑑別資訊及資通系統「機密性」、「完整性」及「可用性」資產價值,主要係依下列何準則?(A)組織全景(B)後果準則(C)80/20 法則(D)衝擊準則
20. 在詳細風險評鑑作法中,在風險識別階段的順序,以下列何者為先?(A)後果識別(B)威脅與脆弱性識別(C)現有控制措施識別(D)資產識別
21. CNS/ISO/IEC 27005 所描述之資安風險管理過程與「行政院風險管理與危機處理作業手冊」所陳述之管理架構,均源自於下列那⼀份國際標準?(A)ISO 22301(B)ISO 27001
22. 「資通安全責任等級分級辦法」所描述之「安全等級設定原則」,其所採用技術類似 ISO 31010 之企業衝擊分析,評鑑對於機關之衝擊程度,並未考量其發生之可能性(亦可視為衝擊發生是必然的),以評
23. 全球資訊網由於廠商維護人員更動頻繁,經常安排經驗不足人員到場維護,依此情況識別出的威脅及脆弱性分別是?(A)威脅:未授權存取( C );脆弱性:身分與權限設定不當(B)威脅:故障( A );脆
24. 全球資訊網維護廠商由於廠商開發人員眾多,並非所有人均了解委外契約中有規範「廠商所交付程式碼,不得有惡意程式碼或高風險漏洞」,且所交付程式碼經源碼檢測後,程式碼經常含許多高風險漏洞與弱點,依上述
25. 在計算風險值的公式中,下列那⼀項非計算因子?(A)資訊及資通系統資產價值(B)威脅發生可能性(C)脆弱性利用難易度(D)現有控制措施的強度
26. 下列哪些為「風險接受準則」考量因素?(複選)(A)業務需求及目標(B)資源分配狀況(C)經費預算(D)控制措施實施難易度
27. 依 CNS27005 風險決策點有 2 個點,第 1 個是在實施風險評鑑結果之後,第 2個決策點是在哪⼀個時間點?(A)擬訂風險處理計畫前(B)擬訂風險處理計畫後(C)執行風險處理計畫前(D)
28. 控制措施可提供以下之⼀種或多種形式保護,包含矯正、消弭、預防、衝擊最小化、制止、偵測、復原、監視及認知,於控制措施選擇期間,應權衡控制措施的哪些因素?(複選)(A)高階主管的指示(B)獲取、實
29. 因應法律、法令、規章及合約方⾯要求的改變,組織應對已經完成年度風險評鑑報告進行何種處理?(A)原封不動(B)明年再納入風險評估範圍(C)進行風險評鑑變更(D)重做風險評鑑
30. 在 ISO27701 隱私資訊管理制度,係基於下列哪些標準發展出來?(複選)(A)ISO/IEC 27001(B)ISO/IEC 27002(C)ISO/IEC 29100(D)ISO/IEC
31. 瞭解關注方之需要及期望,組織應決定哪些事項?(複選)(A)與資訊安全管理系統有關之關注各方(B)關注方對資訊安全之要求事項(C)關注方之要求事項可能包括法律及法規要求,以及契約義務(D)組織履
32. 關於資訊安全政策,下列何者敘述有誤?(A)必須要有管理高層的支持(B)發佈的範圍要包含合作廠商(C)組織有重大變更時要進行調整(D)只規範公司高層與資訊安全人員之行為
33. 「衝突之職務及責任範圍應予以區隔,以降低組織資產 遭未經授權或非蓄意修改或誤用之機會。」前述為 CNS 27001 何項控制措施之要求?(A)職務區隔(B)資訊安全之角色及責任(C)聘用條款及
34. 公司資料庫管理人員的⼀台筆記型電腦被盗,其中包含資料庫密碼檔案,該公司應該採取下列哪些措施以降低資安風險?(複選)(A)啟動應變程序,通報相關人員(B)全⾯停用資料庫以避免風險擴大(C)更改資
35. 根據行政院資通安全會報公布的資通系統風險評鑑參考指引,風險評鑑(RiAssessment)可分成以下三個作業:1. 風險分析、2. 風險評量、3.風險識別,三者的執行順序為何?(A)1,2,3