【評論主題】3. 關於確保資訊安全機密性的方法,下列敘述何者較「不」正確? (A)建立防火牆 (B)限制資料存取權限 (C)使用多因素身份驗證 (D)定期更新修補程式以及病毒碼
【評論內容】
(D) 定期更新修補程式以及病毒碼
定期更新修補程式以及病毒碼是確保資訊安全的重要措施之一,而非較不正確的選項。這種措施有助於修補系統中的漏洞,提高防禦能力,以及保護系統免受最新的威脅和病毒侵害。
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】
(B), (C)
這些標準都涵蓋了信息安全管理的不同方面,其中和隱私信息保護相關的為 ISO 27701和BS 10012。
(A) ISO 27001:這是信息安全管理體系(ISMS)的國際標準。它提供了建立、實施、運營、監督、評審和維護組織信息安全管理體系的框架,旨在確保信息資產的機密性、完整性和可用性。
(B) ISO 27701:這是與ISO 27001相關的標準,是隱私信息管理體系(PIMS)的擴展。它提供了與個人隱私信息保護相關的指導方針,用於擴展現有的ISMS以包括個人信息的保護。
(C) BS 10012:這是個人信息管理體系(PIMS)的標準,是一個與隱私和個人信息相關的框架。它提供了確保個人信息處理遵循合規性和最佳實踐的指導方針。
(D) IEC 62443:這是工業自動化和控制系統的信息安全標準。它提供了保護工業控制系統和自動化系統免受威脅和風險的指導方針,涵蓋了這些系統的硬體、軟體和網絡。
【評論主題】2. 在 ISO 系列的 ISMS 標準中,下列何者與電信產業資訊安全管理最有關聯?(A) ISO / IEC 27010(B) ISO / IEC 27011(C) ISO / IEC 27015(
【評論內容】(B) ISO / IEC 27011與電信產業資訊安全管理最有關聯。其他項目:
(A) ISO / IEC 27010:這個標準是關於信息安全管理體系在人力資源方面的指南。它提供了在人力資源管理過程中如何集成信息安全管理的指導方針。
(C) ISO / IEC 27015:這個標準是關於金融服務業的信息安全管理的指南。它提供了在金融服務業中實施信息安全管理的指導,包括了相關的風險管理和合規性要求。
(D) ISO 27799:這個標準是關於醫療保健業的信息安全管理的指南。它提供了在醫療保健領域中實施信息安全管理的指導,特別針對醫療信息和醫療信息系統的保護需求。
【評論主題】【題組 1】 A 公司為某先進產品的製造商,該公司主要據點 B 與 C 分散在國內兩地,距離約 20 km,其主要客戶位於歐洲地區,該公司十分重視資訊安全及品質管理,先前已通過 ISO 9
【評論內容】
(D)
情境描述中提到,業務部門的印表機突然印出紙本的勒索信,這暗示著印表機可能已被駭客入侵並惡意濫用。由於業務部門的印表機私自設定使用了公有 IP,缺乏適當的安全措施,可能成為攻擊者入侵公司網路的一個入口點。駭客可能利用印表機的弱點進行攻擊,然後進一步入侵內部網絡,導致勒索信的印刷事件。
請注意,這種情況下,印表機被濫用成為入侵點的可能性較高,但仍需進一步的調查和分析確定具體的安全事件。
【評論主題】3. 駭客為了追求最大利益,將亂槍打鳥的隨機攻擊轉換成目標式攻擊,進階持續性威脅(Advanced Persistent Threats, APT)即是最難防禦的目標式攻擊。關於 APT 攻擊的敘述,
【評論內容】
Ans: (B) APT 攻擊的模式通常都是透過老舊的網路設備進行攻擊是錯誤的。
APT 攻擊通常具有以下特性:
(A) 具有隱匿性高且長期潛伏於目標系統的特性。
(C) 潛伏期可以只是幾天,也可能長達一年半載。
(D) 遭受攻擊後,被害者多數只能盡快修補漏洞並設定災害停損點,無法有效根除攻擊。
APT 攻擊的方式和工具多種多樣,攻擊者通常會利用各種技術和手段,包括使用最新的攻擊向量和工具,以進行有針對性的攻擊。攻擊者可能利用零日漏洞、社交工程、釣魚郵件、惡意軟體等方式來入侵目標系統,而不僅僅限於老舊的網路設備。因此 (B) APT 攻擊的模式通常都是透過老舊的網路設備進行攻擊是錯誤的。
【評論主題】2. 試問運用網頁文字輸入欄位中,以輸入「' o r 1=1」訊息內容的方式,讓該網頁顯示出所有的資料內容,這種攻擊型態屬於下列那種攻擊手法?(A) XSS(B) SQL Injection
【評論內容】
(B) SQL Injection(SQL 注入)攻擊手法。
攻擊者將惡意的 SQL 代碼插入到網頁的輸入欄位中,以試圖修改、擷取或刪除數據庫中的資料。在這個例子中,輸入「' o r 1=1」的目的是試圖通過注入的 SQL 代碼來使查詢條件永遠成立,從而顯示所有的資料內容。
其他選項:A. XSS(跨網站指令碼攻擊)是一種攻擊手法,攻擊者利用網頁應用程式對用戶端的信任,將惡意的指令碼注入到網頁中,使其在受害者瀏覽器上執行。
C. CSRF(跨站請求偽造)是一種攻擊手法,攻擊者利用受害者已經認證的狀態,在不知情的情況下執行非預期的操作。
D. DDoS(分散式拒絕服務)攻擊則是通過發送大量的請求來壓倒或使服務器癱瘓,阻止合法用戶的訪問
【評論主題】1. 下列的弱點應對修補方式,何者較「不」適當?(A) 緩衝區溢位要用記憶體防護(DEP)(B) 遠端執行安全漏洞(RCE)可以透過防火牆阻擋(C) Command Injection 用過濾方式即可
【評論內容】(B) 遠端執行安全漏洞(RCE)可以...
【評論主題】3.下列選項何者作為金鑰分配(KeyDistribution)的安全性較佳?(A)3DES(B)MD5(C)Blowfish(D)ECC
【評論內容】
(D) ECC(橢圓曲★★★★)...
【評論主題】18.網路安全框架(CybersecurityFramework,CSF)為美國國家標準暨技術研究院(NationalInstituteofStandardsandTechnology,NIST)彙整
【評論內容】(A) 框架核心(FrameworkCo☆☆)(☆) ...
【評論主題】5.下列何項安全實作原則是為了預防僅因個人行為而造成可能的舞弊情形發生?(A)強制休假(Mandatoryvacation)(B)僅知原則(Needtoknowbasis)(C)最小權限(Leastp
【評論內容】(D) 職責分離(Separationofduties)
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】
(B), (C)
這些標準都涵蓋了信息安全管理的不同方面,其中和隱私信息保護相關的為 ISO 27701和BS 10012。
(A) ISO 27001:這是信息安全管理體系(ISMS)的國際標準。它提供了建立、實施、運營、監督、評審和維護組織信息安全管理體系的框架,旨在確保信息資產的機密性、完整性和可用性。
(B) ISO 27701:這是與ISO 27001相關的標準,是隱私信息管理體系(PIMS)的擴展。它提供了與個人隱私信息保護相關的指導方針,用於擴展現有的ISMS以包括個人信息的保護。
(C) BS 10012:這是個人信息管理體系(PIMS)的標準,是一個與隱私和個人信息相關的框架。它提供了確保個人信息處理遵循合規性和最佳實踐的指導方針。
(D) IEC 62443:這是工業自動化和控制系統的信息安全標準。它提供了保護工業控制系統和自動化系統免受威脅和風險的指導方針,涵蓋了這些系統的硬體、軟體和網絡。
【評論主題】2. 在 ISO 系列的 ISMS 標準中,下列何者與電信產業資訊安全管理最有關聯?(A) ISO / IEC 27010(B) ISO / IEC 27011(C) ISO / IEC 27015(
【評論內容】(B) ISO / IEC 27011與電信產業資訊安全管理最有關聯。其他項目:
(A) ISO / IEC 27010:這個標準是關於信息安全管理體系在人力資源方面的指南。它提供了在人力資源管理過程中如何集成信息安全管理的指導方針。
(C) ISO / IEC 27015:這個標準是關於金融服務業的信息安全管理的指南。它提供了在金融服務業中實施信息安全管理的指導,包括了相關的風險管理和合規性要求。
(D) ISO 27799:這個標準是關於醫療保健業的信息安全管理的指南。它提供了在醫療保健領域中實施信息安全管理的指導,特別針對醫療信息和醫療信息系統的保護需求。
【評論主題】【題組 1】 A 公司為某先進產品的製造商,該公司主要據點 B 與 C 分散在國內兩地,距離約 20 km,其主要客戶位於歐洲地區,該公司十分重視資訊安全及品質管理,先前已通過 ISO 9
【評論內容】
(D)
情境描述中提到,業務部門的印表機突然印出紙本的勒索信,這暗示著印表機可能已被駭客入侵並惡意濫用。由於業務部門的印表機私自設定使用了公有 IP,缺乏適當的安全措施,可能成為攻擊者入侵公司網路的一個入口點。駭客可能利用印表機的弱點進行攻擊,然後進一步入侵內部網絡,導致勒索信的印刷事件。
請注意,這種情況下,印表機被濫用成為入侵點的可能性較高,但仍需進一步的調查和分析確定具體的安全事件。
【評論主題】3. 駭客為了追求最大利益,將亂槍打鳥的隨機攻擊轉換成目標式攻擊,進階持續性威脅(Advanced Persistent Threats, APT)即是最難防禦的目標式攻擊。關於 APT 攻擊的敘述,
【評論內容】
Ans: (B) APT 攻擊的模式通常都是透過老舊的網路設備進行攻擊是錯誤的。
APT 攻擊通常具有以下特性:
(A) 具有隱匿性高且長期潛伏於目標系統的特性。
(C) 潛伏期可以只是幾天,也可能長達一年半載。
(D) 遭受攻擊後,被害者多數只能盡快修補漏洞並設定災害停損點,無法有效根除攻擊。
APT 攻擊的方式和工具多種多樣,攻擊者通常會利用各種技術和手段,包括使用最新的攻擊向量和工具,以進行有針對性的攻擊。攻擊者可能利用零日漏洞、社交工程、釣魚郵件、惡意軟體等方式來入侵目標系統,而不僅僅限於老舊的網路設備。因此 (B) APT 攻擊的模式通常都是透過老舊的網路設備進行攻擊是錯誤的。
【評論主題】2. 試問運用網頁文字輸入欄位中,以輸入「' o r 1=1」訊息內容的方式,讓該網頁顯示出所有的資料內容,這種攻擊型態屬於下列那種攻擊手法?(A) XSS(B) SQL Injection
【評論內容】
(B) SQL Injection(SQL 注入)攻擊手法。
攻擊者將惡意的 SQL 代碼插入到網頁的輸入欄位中,以試圖修改、擷取或刪除數據庫中的資料。在這個例子中,輸入「' o r 1=1」的目的是試圖通過注入的 SQL 代碼來使查詢條件永遠成立,從而顯示所有的資料內容。
其他選項:A. XSS(跨網站指令碼攻擊)是一種攻擊手法,攻擊者利用網頁應用程式對用戶端的信任,將惡意的指令碼注入到網頁中,使其在受害者瀏覽器上執行。
C. CSRF(跨站請求偽造)是一種攻擊手法,攻擊者利用受害者已經認證的狀態,在不知情的情況下執行非預期的操作。
D. DDoS(分散式拒絕服務)攻擊則是通過發送大量的請求來壓倒或使服務器癱瘓,阻止合法用戶的訪問
【評論主題】1. 下列的弱點應對修補方式,何者較「不」適當?(A) 緩衝區溢位要用記憶體防護(DEP)(B) 遠端執行安全漏洞(RCE)可以透過防火牆阻擋(C) Command Injection 用過濾方式即可
【評論內容】(B) 遠端執行安全漏洞(RCE)可以...
【評論主題】18.網路安全框架(CybersecurityFramework,CSF)為美國國家標準暨技術研究院(NationalInstituteofStandardsandTechnology,NIST)彙整
【評論內容】(A) 框架核心(FrameworkCo☆☆)(☆) ...
【評論主題】3.下列選項何者作為金鑰分配(KeyDistribution)的安全性較佳?(A)3DES(B)MD5(C)Blowfish(D)ECC
【評論內容】
(D) ECC(橢圓曲★★★★)...
【評論主題】5.下列何項安全實作原則是為了預防僅因個人行為而造成可能的舞弊情形發生?(A)強制休假(Mandatoryvacation)(B)僅知原則(Needtoknowbasis)(C)最小權限(Leastp
【評論內容】(D) 職責分離(Separationofduties)
【評論主題】49. 下列何者「不」屬於營運持續計畫之演練方式?(A) 模擬測試(B) 檢查表測試(C) 黑箱測試(D) 完全中斷測試
【評論內容】(C) 黑箱測試營運持續計畫演...
【評論主題】33. 下列何者「不」是組織在實作資訊安全營運持續時的必要做法?(A) 任命有經驗及能力可處理事故的人員(B) 制定營運持續計畫和災害復原的程序(C) 確保不利於組織情況的災害不會發生(D) 以文件化
【評論內容】(C) 確保不利於組織情況的災害不會發生。...
【評論主題】27. 下列何者「無法」加強使用者權限管理?(A) 強制要求密碼的複雜度(數字、大小寫文字與符號雜湊)與長度(B) 審查權限變更紀錄(C) 審查存取權限(D) 特權帳號審查
【評論內容】(A) 強制要求密碼的複雜度(數字、大小...
【評論主題】20. 下列何者為資訊安全資產清冊製作及維持的主要目的?(A) 方便帳務管理(B) 適切的保護資產(C) 對於財產價值的管理(D) 便於資訊備份
【評論內容】
(B) 適切的保護資產
資訊安全資產清冊是一份清單,列出組織擁有的資訊資產,包括硬體、軟體、資料、網路設備等。資訊安全資產清冊的主要目的是讓組織能夠清楚地了解自己所擁有的資訊資產,以便對這些資產進行適當的保護和管理。以下是適切保護資產的幾種方式:
瞭解和控制資訊資產的存取權限,並限制未經授權的存取。監視和追蹤資訊資產的使用情況,以便及時檢測和回應安全事件。實施適當的安全措施,例如加密、防火牆、入侵偵測等,以保護資訊資產免受攻擊和破壞。定期進行風險評估和漏洞掃描,以及及時補救和強化資訊安全防護。因此,資訊安全資產清冊是保護資訊資產的重要工具,幫助組織實現適切的資訊安全管理。
【評論主題】47. 關於營運持續管理(Business Continuity Management, BCM),下列敘述何者較「不」正確?(A) 確保組織的利益最大化(B) 確保人員的成本最小化(C) 確保組織在
【評論內容】(D) 確保組織在購併其他產業時,可以迅速的完成營運持續管理(Business Continuity Management, BCM)是一個旨在確保組織在面對不可預期的災難、中斷或緊急情況時,可以持續運營並恢復正常運作的策略和程序。因此,選項 (D) 確保組織在購併其他產業時,可以迅速的完成,並不屬於營運持續管理的範疇。
【評論主題】43. 公司收到主管機關要求,必須每年進行網路資安健檢,下列何種處理較「不」符合?(A) 遠端網路弱點掃描(Network Vulnerability Assessment)(B) 遠端滲透測試(Pe
【評論內容】
(D) 到場網路安全備援服務較不符合要求。原因是:到場網路安全備援服務是指安全專家到現場進行全面的安全檢查,通常需要時間和人力資源的投入。相對地,其他選項都是透過自動化的方式進行檢查和評估。在這種情況下,到場網路安全備援服務可能不是最適合的選擇,因為它可能需要更多的時間和成本。
其他選項的簡要說明如下:
(A) 遠端網路弱點掃描(Network Vulnerability Assessment):通過對網路上的主機和設備進行掃描,檢測其漏洞和弱點。(B) 遠端滲透測試(Penetration Testing):透過模擬攻擊來評估系統的安全性,通常需要測試者具備相當的技術能力。(C) 到場網頁應用程式弱點掃描(Web Vulnerability Assessment):檢測網站和應用程式的漏洞和弱點,以確保其安全性。【評論主題】40. 關於網站加密連線方式,下列敘述何者「不」正確?(A) SSL/TLS 僅採用對稱式加密方式完成(B) SSL/TLS 加密過程中主要是透過 SSL/TLS 交握協定(HandshakeProt
【評論內容】A SSL/TLS 是一種加密協定,主要...
【評論主題】24. 關於風險降低(Reduction),下列敘述何者「不」正確?(A) 其方式包括日常稽核遵守控制程度(B) 其方式包括處理偶發事故的計畫(C) 其方式包括找出相較於現有的控制方法,新的控制方法所
【評論內容】
(D) 其方法包括契約的簽訂、保險和機關的結構,如合夥經營和共同投資。
風險降低(Reduction)是一種風險管理策略,旨在降低風險的可能性或影響。在風險降低策略中,可以包括以下方式:
處理偶發事故的計畫,以最小化影響找出相較於現有的控制方法,新的控制方法所可能帶來的相對利益契約的簽訂、保險和機關的結構,如合夥經營和共同投資,則屬於風險轉移(Transfer)策略,不是風險降低策略的方式。
【評論主題】23. 關於風險評鑑管理程序,下列敘述何者較「不」正確?(A) 建立全景係界定風險評鑑範圍(B) 詳細風險評鑑包括風險識別、風險分析與風險評估(C) 風險處理若符合風險處理準則,則進入風險接受階段(D
【評論內容】D風險溝通是風險管理中的一部分,但通常不是在風險評鑑準則不符合時進行,因此(D)敘述不正確。
【評論主題】17. 為了確保資訊依其對組織之重要性,受到適切等級的保護,下列何種控制措施與此目標較「不」具直接相關?(A) 資訊之分級(B) 資訊之標示(C) 資訊之處理(D) 資產擁有權
【評論內容】(D) 資產擁有權。 資產擁有權是一種控...
【評論主題】49. 下列何者「不」屬於營運持續計畫之演練方式?(A) 模擬測試(B) 檢查表測試(C) 黑箱測試(D) 完全中斷測試
【評論內容】(C) 黑箱測試營運持續計畫演...
【評論主題】33. 下列何者「不」是組織在實作資訊安全營運持續時的必要做法?(A) 任命有經驗及能力可處理事故的人員(B) 制定營運持續計畫和災害復原的程序(C) 確保不利於組織情況的災害不會發生(D) 以文件化
【評論內容】(C) 確保不利於組織情況的災害不會發生。...
【評論主題】27. 下列何者「無法」加強使用者權限管理?(A) 強制要求密碼的複雜度(數字、大小寫文字與符號雜湊)與長度(B) 審查權限變更紀錄(C) 審查存取權限(D) 特權帳號審查
【評論內容】(A) 強制要求密碼的複雜度(數字、大小...
【評論主題】20. 下列何者為資訊安全資產清冊製作及維持的主要目的?(A) 方便帳務管理(B) 適切的保護資產(C) 對於財產價值的管理(D) 便於資訊備份
【評論內容】
(B) 適切的保護資產
資訊安全資產清冊是一份清單,列出組織擁有的資訊資產,包括硬體、軟體、資料、網路設備等。資訊安全資產清冊的主要目的是讓組織能夠清楚地了解自己所擁有的資訊資產,以便對這些資產進行適當的保護和管理。以下是適切保護資產的幾種方式:
瞭解和控制資訊資產的存取權限,並限制未經授權的存取。監視和追蹤資訊資產的使用情況,以便及時檢測和回應安全事件。實施適當的安全措施,例如加密、防火牆、入侵偵測等,以保護資訊資產免受攻擊和破壞。定期進行風險評估和漏洞掃描,以及及時補救和強化資訊安全防護。因此,資訊安全資產清冊是保護資訊資產的重要工具,幫助組織實現適切的資訊安全管理。
【評論主題】47. 關於營運持續管理(Business Continuity Management, BCM),下列敘述何者較「不」正確?(A) 確保組織的利益最大化(B) 確保人員的成本最小化(C) 確保組織在
【評論內容】(D) 確保組織在購併其他產業時,可以迅速的完成營運持續管理(Business Continuity Management, BCM)是一個旨在確保組織在面對不可預期的災難、中斷或緊急情況時,可以持續運營並恢復正常運作的策略和程序。因此,選項 (D) 確保組織在購併其他產業時,可以迅速的完成,並不屬於營運持續管理的範疇。
【評論主題】43. 公司收到主管機關要求,必須每年進行網路資安健檢,下列何種處理較「不」符合?(A) 遠端網路弱點掃描(Network Vulnerability Assessment)(B) 遠端滲透測試(Pe
【評論內容】
(D) 到場網路安全備援服務較不符合要求。原因是:到場網路安全備援服務是指安全專家到現場進行全面的安全檢查,通常需要時間和人力資源的投入。相對地,其他選項都是透過自動化的方式進行檢查和評估。在這種情況下,到場網路安全備援服務可能不是最適合的選擇,因為它可能需要更多的時間和成本。
其他選項的簡要說明如下:
(A) 遠端網路弱點掃描(Network Vulnerability Assessment):通過對網路上的主機和設備進行掃描,檢測其漏洞和弱點。(B) 遠端滲透測試(Penetration Testing):透過模擬攻擊來評估系統的安全性,通常需要測試者具備相當的技術能力。(C) 到場網頁應用程式弱點掃描(Web Vulnerability Assessment):檢測網站和應用程式的漏洞和弱點,以確保其安全性。【評論主題】40. 關於網站加密連線方式,下列敘述何者「不」正確?(A) SSL/TLS 僅採用對稱式加密方式完成(B) SSL/TLS 加密過程中主要是透過 SSL/TLS 交握協定(HandshakeProt
【評論內容】A SSL/TLS 是一種加密協定,主要...
【評論主題】24. 關於風險降低(Reduction),下列敘述何者「不」正確?(A) 其方式包括日常稽核遵守控制程度(B) 其方式包括處理偶發事故的計畫(C) 其方式包括找出相較於現有的控制方法,新的控制方法所
【評論內容】
(D) 其方法包括契約的簽訂、保險和機關的結構,如合夥經營和共同投資。
風險降低(Reduction)是一種風險管理策略,旨在降低風險的可能性或影響。在風險降低策略中,可以包括以下方式:
處理偶發事故的計畫,以最小化影響找出相較於現有的控制方法,新的控制方法所可能帶來的相對利益契約的簽訂、保險和機關的結構,如合夥經營和共同投資,則屬於風險轉移(Transfer)策略,不是風險降低策略的方式。
【評論主題】23. 關於風險評鑑管理程序,下列敘述何者較「不」正確?(A) 建立全景係界定風險評鑑範圍(B) 詳細風險評鑑包括風險識別、風險分析與風險評估(C) 風險處理若符合風險處理準則,則進入風險接受階段(D
【評論內容】D風險溝通是風險管理中的一部分,但通常不是在風險評鑑準則不符合時進行,因此(D)敘述不正確。
【評論主題】17. 為了確保資訊依其對組織之重要性,受到適切等級的保護,下列何種控制措施與此目標較「不」具直接相關?(A) 資訊之分級(B) 資訊之標示(C) 資訊之處理(D) 資產擁有權
【評論內容】(D) 資產擁有權。 資產擁有權是一種控...
【評論主題】39. 某銀行近日疑似遭遇駭客以彩虹表(Rainbow Table)攻擊法破解內部伺服器的密碼系統,為了能夠抵擋類似的攻擊手法再度發生,請問銀行的內部密碼系統該如何因應?(A) 更換加密雜湊演算法(B
【評論內容】
D選項 A 錯誤,★★★★★★★★★★★★★...
【評論主題】41. 若公司高階管理層希望對公司採取 ISO/IEC 27001 資訊處理措施,實施多重備援(Redundancies),應屬於下列何種控制措施?(A) 紀錄之保護(B) 系統安全測試(C) 保護應
【評論內容】
(D) 資訊處理設施之可用性。
ISO/IEC 27001 是資訊安全管理系統的國際標準,旨在保護機密性、完整性和可用性。多重備援是一種用於提高資訊處理設施可用性的控制措施,它可以在單一元件失效時提供冗餘保護,確保業務連續性和可用性。因此,多重備援控制措施屬於資訊處理設施之可用性。而選項 (A) 紀錄之保護、(B) 系統安全測試和(C) 保護應用服務交易,雖然也是重要的控制措施,但與多重備援措施不同,與資訊處理設施的可用性控制措施無直接關聯。
【評論主題】23. 關於控制的類型,下列何者「不」正確?(A) 嚇阻性:為了讓有犯意的人,因恐懼而產生放棄,如:違反條款(B) 偵測性:為了事件發生時,能夠產生警訊而察覺,如:入侵偵測(C) 預防性:為了避免不希
【評論內容】
(D) 指導性指導性並不是一種控制類型,而是指透過教育、訓練、引導等方式,提高人員的能力與素質,以確保工作品質與效率,不屬於控制的類型之一。
正確的控制類型描述如下:
(A) 嚇阻性:為了讓有犯意的人,因恐懼而產生放棄,如:違反條款(B) 偵測性:為了事件發生時,能夠產生警訊而察覺,如:入侵偵測(C) 預防性:為了避免不希望的事情發生,如:設立門禁卡【評論主題】22. 關於權限定期審核的作法,下列何者較「佳」?(A) 所有系統無論重要與否皆每年執行一次權限審核(B) 只挑選幾個使用人數較多的系統執行權限定期審核(C) 綜合風險評估及衝擊分析的結果,決定各個系
【評論內容】(C) 綜合風險評估及衝擊分析的結果,決定各個系統權限定期審核的頻率所有系統每年執行一次權限審核可能會浪費資源且無法有效地分配資源。只挑選幾個使用人數較多的系統執行權限定期審核可能會忽略其他可能存在風險的系統。權限定期審核時,將特殊權限帳號排除,不檢核其權限可能會忽略重要的風險。因此,透過風險評估及衝擊分析的結果,針對各個系統進行權限定期審核的頻率調整,可以更有效地分配資源並掌握風險。
【評論主題】18. 下列何者為資訊安全風險管理的要求?(A) 資訊安全風險評鑑過程,以識別與機密性、完整性及可用性相關聯之風險(B) 需有一位風險管理主管(C) 相關之風險計算需納入年度預期損失的程序(D) 需取
【評論內容】
(D) 依資訊檔案的大小。
在進行資訊分級時,應採取的適當依據有多種,如「依法律要求」、「依資訊的價值」、「依資訊的重要性」等。而依據檔案的大小,並不是一個適當的依據。檔案大小可能只是檔案本身的物理特性,並不代表檔案內容的價值、重要性或機密等級。因此,選擇 (D) 不正確。
【評論主題】45. 關於事件處理的移除或復原,下列敘述何者「不」正確?(A) 根據鑑識分析報告,修補事件成因(B) 根據各種被利用之弱點,盤點其影響程度及範圍(C) 修補後也應盤點確認,以確保修補作業順利(D)
【評論內容】
(D) 應完成修補避免再度受駭,不可選擇執行系統重建。
在事件處理的移除或復原階段,不是所有情況都需要執行系統重建。系統重建的決策因應情況而定,若修補後已完全移除風險,且從監控中未發現其他風險跡象,則不必執行系統重建。但若修補失敗、風險無法完全移除,或是發現系統被入侵後又關閉過程的紀錄等,都可能需要執行系統重建。因此,選擇 (D) 不正確。
【評論主題】36. 關於區塊加密法(Block Cipher),下列敘述何者「不」正確?(A) 區塊加密採用多輪運算(Iteration)(B) 多輪運算中,每輪使用的金鑰都是主金鑰(C) 金鑰長度不一定要跟區塊
【評論內容】(B) 多輪運算中,每輪使用的金鑰都是主★★...
【評論主題】【題組】40. 題組背景描述如附圖。若要強化 A 公司的工控製造資通安全管理,應導入下列何種標準較為合適?(A) IEC 62443-2-1(B) IEC 62443-2-4(C) ISO/IEC 2
【評論內容】
IEC 62443 為工業控制系統(Industrial Control Systems, ICS)的資訊安全標準,由國際電工委員會(International Electrotechnical Commission, IEC)所制定,旨在提高工業控制系統的資訊安全水平。以下是對每個選項的說明:
(A) IEC 62443-2-1 是針對網路和系統的基本安全要求標準,特別是針對產業自動化和控制系統。
(B) IEC 62443-2-4 是針對產業控制系統(ICS)安全事件的回應和報告的標準。
(C) ISO/IEC 27701 是針對個人資料保護的標準,並且關注個人資訊管理系統(Personal Information Management System, PIMS)的建立和維護。
(D) BS 10012 是針對個人資料保護的標準,並且旨在協助企業建立和維護個人資料管理系統(Personal Data Management System, PDMS)。
因此,由於 A 公司的業務是工控製造,因此導入 IEC 62443-2-1 標準較為合適。
【評論主題】【題組】27. 題組背景描述如附圖。若您於事件結束後,轉換工作擔任某系統整合商(System Integration, SI)資安工程師,近期公司承接政府一級單位某資訊系統建置案,政府一級單位皆通過
【評論內容】(B) 可採用白箱檢測(white-bo☆ ...
【評論主題】【題組】22. 題組背景描述如附圖。A 集團在併購前 BB 酒店前未確認 BB 酒店於2014 年已發生過訂房系統個資外洩,請問 A 集團可能違反下列何種原則?(A) 僅知原則(Need to Kno
【評論內容】D. 盡職調查(Due Diligenc☆)。★★★★...
【評論主題】10. 下列何者是進行定性(Qualitative)風險分析使用的方法?(A) 資產產值(B) 發生次數(C) 風險矩陣(D) 損失金額
【評論內容】定性風險分析是一種非量化的風險分析方法,...
【評論主題】5. 下列何種組合「不」屬於多因子驗證(Multi-factor Authentication)?(A) Smart Card, PIN(B) Password, OTP(C) Password, U
【評論內容】(C) Password, Username 不屬於多因子驗證。多因子驗證是指使用兩個或以上不同的身份驗證要素來進行身份驗證,例如密碼、指紋、智能卡、一次性密碼(OTP)等。每個要素都是獨立的,因此使用多個要素可以提高帳戶的安全性。(A) Smart Card, PIN(B) Password, OTP (D) Fingerprint, PIN 以上都是多因子驗證的組合。(C) Password, Username 只是單一身份驗證要素的組合不屬於多因子驗證。
【評論主題】37. 關於金鑰與憑證管理,下列敘述何者「不」正確?(A) 金鑰都應受保護不被修改和破壞,並應使用實體安全來保護用於產生、儲存和歸檔金鑰的設備,以避免金鑰遭受不當修改、不慎遺失或銷毀等情況(B) 基於
【評論內容】
D
憑證機構使用之電子簽章或加密金鑰長度不是由組織自行決定,而是應參考國際標準與業界最佳實務,經由風險評估與管理後再作決策。長度過短可能會被破解,而長度過長則可能影響效能。因此,應該適當地平衡安全性和效能。
【評論主題】27. 關於程式原始碼存取及權限管理,下列敘述何者「不」正確?(A) 管理人員應開放程式設計人員程式上線權限(B) 管理人員應將系統公用程式與應用程式隔離存放(C) 管理人員應將開發中及正式作業之程式
【評論內容】
(A) 管理人員應開放程式設計人員程式上線權限。
程式原始碼存取及權限管理是保護資訊安全的重要措施,以下是各選項的說明:
(A) 管理人員應開放程式設計人員程式上線權限:這是不正確的,管理人員應根據程式設計人員的工作需要,設定程式上線權限。權限應限制於必要範圍,以降低機密洩漏或資訊被竊取的風險。
(B) 管理人員應將系統公用程式與應用程式隔離存放:這是正確的,管理人員應將系統公用程式與應用程式分開存放,以便管理人員更輕鬆地管理和維護它們。
(C) 管理人員應將開發中及正式作業之程式及資料庫分開存放:這是正確的,管理人員應將開發中及正式作業之程式及資料庫分開存放,以避免因為測試程式對正式作業系統造成不必要的風險。
(D) 管理人員應將程式目錄清單、資料及相關電子檔進行備份:這是正確的,管理人員應定期進行程式目錄清單、資料及相關電子檔的備份,以便在出現系統故障或資料丟失的情況下,能夠恢復到最新的狀態。
【評論主題】23. 關於風險規避(Risk Avoidance),下列敘述何者「不」正確?(A) 決定不涉入風險處境(B) 決定退出風險處境(C) 通常不考量主管機關的影響,而會有躲避風險的傾向(D) 會造成不願
【評論內容】
(C) 通常不考量主管機關的影響,而會有躲避風險的傾向。
風險規避是指決策者選擇不涉入或退出風險處境以避免或減少可能帶來的負面影響。此方法的缺點是可能會造成不願面對風險或淡化處理風險所需要的成本。此外,決策者在考量風險規避時應該綜合考量所有相關因素,包括主管機關的影響,而非只考慮自身的利益。
【評論主題】11. 關於智慧財產權(Intellectual Property Right, IPR),下列敘述何者「不」正確?(A) 商標權是使用文字、標語和標誌的權利,註冊商標後,註冊人即享有商標專用權(B)
【評論內容】
C) 著作權是為保護著作人的權益,不被非授權複製與使用。
著作權是指對於某一特定之文學、藝術、音樂、影像、軟體等創作成果,著作人擁有依法律保護的權利,這些權利包括經濟利益和道德權益。著作權的目的是保護著作人的權益,並非保護讀者的權益,讀者或使用者需要取得著作人的授權或合法授權後方可使用。