資訊推薦

• 11. 在存取控制上，零信任（Zero Trust）是一個重要課題。關於零信任的敘述，下列何者較「不」適當？(A) 零信任依循「永不信任，一律驗證」的原則(B) 推動零信任，企業可能需要重新評估每項資
• 12. 從 ISO 27001:2022 附錄 A「參考控制目標及控制措施」中，下列哪些是「實體控制措施」相關的規範或控制措施？(A) 實體進入控制措施(B) 遠端工作應提出申請(C) 維護設備，以確
• 【題組 2】       某公司資訊系統管理人員發現該公司 SQL Server 有些異常現象發生，經檢視相關 SQL Server 之紀錄檔之後，並未發現足以支撐該管理人員對此異常現象發生原因之推論
• 【題組】14. 【題組 2 背景描述如附圖】該管理人員安裝網路封包側錄器後，對該 SQL Server 持續側錄了一整晚的網路封包，隔天進公司針對所側錄下來的網路封包進行分析，發現在網路封包內容顯示了
• 【題組】15. 【題組 2 背景描述如附圖】當管理人員分析網路封包，發現來自於外部的 IP 位址在深夜的時候連接至該公司的內部網路，並進入該 SQL Server 下了一些破壞性的 Command，因
• 【題組】16. 【題組 2 背景描述如附圖】公司高層因為此一資安事件進行了事後的檢討，要求必須降低此一資安事件發生之風險，以防止類似案再次發生，請問下列哪些是正確的控制措施？(A) 建立內部資訊安全管
• 17. 某公司新增了一業務型態，員工（20 員，每員配置筆電乙部以及隨身硬碟乙顆）必須至客戶端長期駐點處理有關受託業務，並於客戶端透過網際網路連線回公司內部網路處裡公司相關業務，為了降低此一新增業務型
• 18. OWASP Top 10:2021 所發布之 A04:2021-Insecure Design 主要是呈現出許多不同的弱點，代表著「缺乏或無效的控制設計」，試問下列對於預防 A04:2021-
• 19. 關於 NIST SP 800-207 零信任架構（Zero Trust Architecture,ZTA）的基本規則敘述，下列何項錯誤？(A) 所有的通訊都需被保護，無論其所在之網路位置(B)
• 20. 關於 NIST SP 800-207 零信任架構（Zero Trust Architecture,ZTA）的邏輯元件敘述，下列哪些正確？(A) 威脅情資（TI）來源：提供外部資訊給政策落實點（
• 【題組 3】某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及
• 【題組】22. 【題組 3 背景描述如附圖】請問在建置行動式醫療車及行動加護病房的雲端即時監護系統的零信任，下列何者「不」是零信任（Zero Trust）架構的原則？(A) 不管與哪個網路位置的裝置通
• 【題組】23. 【題組 3 背景描述如附圖】關於建置行動式醫療車及行動加護病房雲端即時監護系統的零信任架構與角色敘述，下列何者錯誤？(A) 政策引擎（Policy Engine, PE）與政策管理者（
• 【題組】24. 【題組 3 背景描述如附圖】導入零信任架構時，可能面臨的威脅挑戰有下列哪些？(A) 網路的可視性(B) 帳密被盜/內部威脅(C) 遭遇 DoS 阻斷服務或網路中斷(D) 可建立動態存取
• 25. 與資訊安全風險分析相關議題的敘述，下列何者錯誤？(A) 主管機關公文來函要求事項，可納入風險分析的參(B) 法律法規適用的要求事項，可納入風險分析的參考(C) 客戶合約的要求，可以不用納入風險
• 26. 關於風險分析與評估之敘述，下列何者錯誤？(A) 公司最好至少每年定期執行一次風險評鑑(B) 公司營運重大改變時，應進行風險評鑑(C) 重大風險項目完成風險回應後，不需進行風險再評估(D) 進行
• 27. ISO/IEC 27005 於 2022 年 10 月發布最新版本，該版本與2008 年版本的差異之一為風險識別的方式，其中 2008 年版為：基於_______；2022 年版增加了：基於_
• 28. 關於風險分析及風險評估議題的敘述，下列哪些正確？(A) 風險評估的過程，須將目前已實施的措施結果納入考量(B) 風險分析時產出的後果與可能性的評估方式應定義清楚(C) 風險識別僅需將與機密性有
• 【題組 4】A 公司年初導入 ISO 27001 資訊安全管理制度，並參考 ISO 31000風險架構制度訂定風險管理辦法及相關程序。公司亦順利於年底取得驗證通過，驗證過程稽核員於風險管理過程出具一項
• 【題組】30. 【題組 4 背景描述如附圖】請問 A 公司是否必須要重新進行年度風險評鑑作業，其原因為下列何項？(A) 是，因為此為外部稽核缺失(B) 是，因為必須以此做為矯正預防措施之處理方式(C)
• 【題組】31. 【題組 4 背景描述如附圖】公司取得 ISO 27001 驗證不久之後，即因違反法令規定收到政府機關之處罰，且該項法令規定並未被公司所關注。請問依照前述之風險管理流程，此問題應該在下列
• 【題組】32. 【題組 4 背景描述如附圖】導入 ISO 27001 後，A 公司評估資安市場商機龐大，擬開發以 AES 512 加密技術之資安產品，並將主要目標市場設定為：美國、中國、日本、韓國、台
• 33. 關於風險處理的敘述，下列何者錯誤？(A) 風險處理計畫是定義行動並實施所需的控制，以降低無法接受風險的管理文件(B) 風險處理計畫中要考量風險處理之優先順序(C) 風險處理計畫如果完成時間較長
• 34. 關於風險評估準則的敘述，下列何者錯誤？(A) 組織應定義用於評估風險重要性的準則(B) 不同組織可能採用不同的方法跟準則(C) 這些準則應反映組織的價值觀、目標和資源(D) 風險評估準則應與組
• 35. ISO/IEC 27002 於 2022 年 2 月發布最新版本，該版本與 2013年版本的差異之一，是增加控制措施的屬性標籤，其中一項是「類別」，共有預防、偵測與矯正等 3 項，請問系統資料