【Syuan】點評問題和點評內容

NIST SP 800由NIST推出的網路安全框架，已經受到全球多國組織與企業的認可，臺灣企業也能夠利用，可從五大防護構面快速找到方向，將內部有限的資源，能充分運用在需要優先強化的地方FIPS聯邦資訊處理標準是美國聯邦政府制定給所有軍事機構除外的政府機構及政府的承包商所使用的公開標準。許多FIPS標準都是從廣泛的社會標準修改而來的。ISO/IEC 27000 系列標準是由國際標準化組織及國際電工委員會聯合客製化。該標準系列由最佳實踐所得並提出對於資訊安全管理的建議，並在資訊安全管理系統領域中的風險及相關管控，該標準系列與品質管理保證系統的標準和環境保護標準系列有類似的架構。OWASP 指南開放式Web應用程式安全專案（OWASP）是一個線上社群，在Web應用安全領域提供免費的文章，方法，文件，工具和技術。

【評論主題】29. 小忍想發送秘密訊息給合作夥伴，為了保護這些消息，他使用下列何種的技術，可在普通消息中隱藏秘密消息，通過隱蔽性提供安全性？

【評論內容】

RSA加密演算法是一種非對稱加密演算法，在公開金鑰加密和電子商業中被廣泛使用。公開金鑰加密 (Public-key cryptography)Encryption加密Steganography隱寫術是一門關於資訊隱藏的技巧與科學，所謂資訊隱藏指的是不讓除預期的接收者之外的任何人知曉資訊的傳遞事件或者資訊的內容。

【評論主題】24. Linux 作業系統中，下列何者用於儲存使用者帳號密碼之雜湊（Hash）檔案？(A) (B) (C)(D)

【評論內容】用來追蹤每一個已存取至系統上之已登錄使用...

【評論主題】22. 請問下列何者「並非」行動裝置上唯一識別號嗎？(A) 通用唯一識別碼（Universally Unique Identifier, UUID）(B) 國際移動用戶識別碼（Internationa

【評論內容】

通用唯一識別碼（Universally Unique Identifier, UUID）通用唯一辨識碼是用於電腦體系中以辨識資訊的一個128位元識別碼。國際移動使用者辨識碼（英語：IMSI，International Mobile Subscriber Identity）是用於區分蜂巢式網路中不同使用者的、在所有蜂巢式網路中不重複的辨識碼。國際移動設備識別碼（International Mobile Equipment Identity, IMEI）即通常所說的手機「串號」，用於在行動電話網路中辨識每一部獨立的手機等行動通訊裝置，相當於行動電話的身分證。

【評論主題】21. 關於行動裝置中安全的使用軟體，請問下列敘述何者較「不」正確？(A) 只在官方、原廠網站或可信任來源下載合法軟體(B) 將手機進行越獄（Jailbreak, JB），以利執行所需的各式各樣軟體(

【評論內容】將手機進行越獄（Jailbreak, JB）顧名思義就是手機破解，不受限制如果從不明來源下載安裝軟體，當然就存在各種風險無法保證會不會因為你安裝不知名的應用程式而遭受植入木馬程式或密碼盜取程式

【評論主題】20. 下列何者「不」是常見的雲端運算的部署模式？(A) 公有（Public）雲(B) 私有（Private）雲(C) 自由（Free）雲(D) 混合（Hybrid）雲

【評論內容】

雲端運算服務依其部署的模式，可分為4種

公有雲（Public Cloud）私有雲（Private Cloud）社群雲（Community Cloud）混合雲（Hybrid Cloud）

【評論主題】17. 關於查看網頁事件記錄檔時，會看到 HTTP 狀態代碼段中找不到原始碼檔案，下列何者為事件記錄檔中看到找不到原始碼的實際錯誤代碼？

【評論內容】

202 Accepted伺服器已接受請求，但尚未處理。404 Not Found請求失敗，請求所希望得到的資源未被在伺服器上發現，但允許使用者的後續請求。505 HTTP Version Not Supported伺服器不支援，或者拒絕支援在請求中使用的HTTP版本。909 Network error網路錯誤

【評論主題】12. 下列何者「不」是作業系統更新所使用的指令？(A) wuauclt(B) apt-get(C) update(D) yum

【評論內容】apt-get 與 yum 皆為 Lin☆☆ ★★ ...

【評論主題】6. 下列何者為輕型目錄存取協定（Lightweight Directory Access Protocol,LDAP）較常使用之通訊埠（Port）？(A) 311(B) 123(C) 389(D)

【評論內容】

311：Apple 伺服器管理員工★、...

【評論主題】8. 欲將外部網路（Internet）建立連線至內部網路（Intranet），採用下列何種連線方式，單一使用者可以較安全連接至某個私人網路？(A) WAF(B) SSD(C) VPN(D) PBX

【評論內容】

WAF 網頁應用程式防火牆

SSD 固態硬碟VPN 虛擬私人網路用於保護網路連線和線上隱私權PBX 專用交換機專為特定的企業或機關等服務的電話交換機

【評論主題】2. 「攻擊者利用網站的漏洞把惡意程式腳本注入到網頁內，當使用者瀏覽其網頁時，將會執行網頁內注入的惡意程式碼，可能造成 Cookie資料被竊取、Session 連線被劫持或釣魚欺騙等攻擊。」請問上述屬

【評論內容】

跨網站指令碼（英語：Cross-site scripting，通常簡稱為：XSS）是一種網站應用程式的安全漏洞攻擊，是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻擊成功後，攻擊者可能得到更高的權限（如執行一些操作）、私密網頁內容、對談和cookie等各種內容。常用的XSS攻擊手段和目的有：

盜用cookie，取得敏感資訊。利用植入Flash，通過crossdomain權限設定進一步取得更高權限；或者利用Java等得到類似的操作。利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻擊）使用者的身分執行一些管理動作，或執行一些一般的如發微博、加好友、發私信等操作。利用可被攻擊的域受到其他域信任的特點，以受信任來源的身分請求一些平時不允許的操作，如進行不當的投票活動。在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站，實現DoS攻擊的效果。

維基百科:https://zh.wikipedia.org/zh-tw/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC

【評論主題】49. 下列何者「不」屬於營運持續計畫之演練方式？(A) 模擬測試(B) 檢查表測試(C) 黑箱測試(D) 完全中斷測試

【評論內容】營運持續計畫之測試：結構化排練測試由相關...

【評論主題】38. 資訊安全管理系統（Information Security Management System, ISMS）採用 PDCA 循環的概念，下列何者「不」包含在此流程中？(A) 高階管理審查會議(

【評論內容】

PDCA

P計畫（Plan）D執行（Do）C查核（Check）A行動（Act）

由四大步驟過程所構成的一連串追求改善精進的目標管理。針對品質工作按規劃、執行、查核與行動來進行活動，以確保可靠度目標之達成，並進而促使品質持續改善。是企業界早已普遍運用的一套「目標管理」流程，這個四步的循環一般用來提高產品品質和改善產品生產過程。https://zh.wikipedia.org/zh-tw/PDCAISMS 利用 PDCA 循環的概念來持續地管理資訊安全整合及強化資訊安全管理體系，持續監督及審查管理績效，以落實資訊安全管理及業務持續營運之理念

【評論主題】37. 請問資通安全管理法的何項子法，有定義資通系統防護基準要求？(A) 資通安全事件通報及應變辦法(B) 資通安全情資分享辦法(C) 公務機關所屬人員資通安全事項獎懲辦法(D) 資通安全責任等級分級

【評論內容】資通安全管理法及子法彙編一、資通安全...

【評論主題】33. 下列何者「不」是組織在實作資訊安全營運持續時的必要做法？(A) 任命有經驗及能力可處理事故的人員(B) 制定營運持續計畫和災害復原的程序(C) 確保不利於組織情況的災害不會發生(D) 以文件化

【評論內容】營運持續管理透過預防與復原控制措施的組合...

【評論主題】31. 為強化身份認證機制，我們常會使用雙因素認證機制，下列何種組合並「不」屬於雙因素認證的定義？(A) 密碼（Password）+RFID 感應卡（如悠遊卡）(B) RFID 感應卡+自然人憑證 I

【評論內容】認證因子的種類使用者需要記憶的類型 ...

【評論主題】28. 關於系統安全性中，IETF（Internet Engineering Task Force）制定的AAA 協定，下列何者定義主要說明認證機制？(A) Applicability(B) Auth

【評論內容】

AAA協定是同時兼顧驗證（authentication）、授權（authorization）、計帳（accounting）三種服務的協定。驗證-Authentication：驗證使用者合不合法授權-Authorization ：使用者能做甚麼事情?紀錄(會計)-Accounting ：紀錄這個使用者做了甚麼事情https://ithelp.ithome.com.tw/articles/10229281

【評論主題】25. 通用漏洞評分系統（Common Vulnerability Scoring System, CVSS）是一個可衡量漏洞嚴重程度的公開標準。CVSSv3 以基本指標群（Basemetric gr

【評論內容】CVSS 是一個開放式架構，由下列度量群...

【評論主題】49. 下列何者為超文本傳輸安全協定（HTTPS）較常使用之通訊埠（Port）？(A) 22(B) 25(C) 80(D) 443

【評論內容】

HTTP 預設 80 超文本傳輸協定 - 用於傳輸網頁HTTPS 預設 443 超文本傳輸安全協定 - 經由HTTP進行通訊，但利用SSL/TLS來加密封包SMTP 預設25 簡單郵件傳輸協定 - 用於傳遞電子郵件SSH 預設 22 安全遠端登入協定 - 用於安全檔案傳輸

【評論主題】48. 關於中間人攻擊（Man-In-The-Middle Attack, MITM），下列敘述何者「不」正確？(A) 屬於網路竊聽分類的一種攻擊形式(B) 攻擊者會將自己穿插到兩者受害目標之間(C)

【評論內容】

中間人攻擊（Man-In-The-Middle Attack, MITM）是指攻擊者介入正常的通訊，對 Client 與 server 分別建立獨立的聯絡，藉此攔截與監聽兩方交換的資訊。加密傳輸只能防止被竊取時不能輕易破解，並非阻擋攻擊

【評論主題】47. 關於連線劫持（Session Hijacking），下列敘述何者「不」正確？(A) 指攻擊者繞過驗證機制直接劫持了受害目標的 Session(B) Session 是指兩個或多個通信設備之間，

【評論內容】

連線劫持，是一種網路攻擊手段，駭客可以通過破壞已建立的資料流而實現劫持。Session 存在Server 伺服器Cookie 存在Client 使用者本機

【評論主題】43. 關於行動裝置的安全使用方式，請問下列敘述何者較「不」正確？(A) 只在可信任來源下載應用程式，如：Google Play、Apple Store(B) 即時通訊軟體（例如 Line），可直接開

【評論內容】很直覺都說是陌生人了當然不能沒確認就直接下載或點開很多社群平台甚至都有阻擋陌生人訊息的功能

【評論主題】41. 「消費者使用應用程式，但並不掌控作業系統、硬體或運作的網路基礎架構」，請問上述屬於下列何種服務之定義？(A) PaaS（Platform as a Service）(B) IaaS（Infra

【評論內容】

PaaS平台即服務是一種雲★★★★★，...

【評論主題】33. 要防禦（Cross-Site Scripting, XSS），下列何者最有效？(A) 過濾輸入參數長度(B) 過濾輸出頁面(C) 以黑名單過濾輸入參數(D) 以白名單過濾輸入參數

【評論內容】白名單是以「正向表列」的方式允許某些行為...

【評論主題】32. 下列何者屬於網頁攻擊手法？（1）SQL Injection、（2）ParameterizedQuery、（3）Cross-Site Request Forgery、（4）Cross-Site

【評論內容】

Parameterized Query參數化查詢是指在設計與資料庫連結並存取資料時，在需要填入數值或資料的地方，使用參數來給值，這個方法目前已被視為最有效可預防SQL注入(SQL Injection)攻擊的攻擊手法的防禦方式。

【評論主題】30. 請問撰寫安全程式碼，可參考下列何項資料？(A) NIST SP 800 系列(B) FIPS 系列(C) ISO 27000 系列國際標準(D) OWASP 指南

【評論內容】

NIST SP 800由NIST推出的網路安全框架，已經受到全球多國組織與企業的認可，臺灣企業也能夠利用，可從五大防護構面快速找到方向，將內部有限的資源，能充分運用在需要優先強化的地方FIPS聯邦資訊處理標準是美國聯邦政府制定給所有軍事機構除外的政府機構及政府的承包商所使用的公開標準。許多FIPS標準都是從廣泛的社會標準修改而來的。ISO/IEC 27000 系列標準是由國際標準化組織及國際電工委員會聯合客製化。該標準系列由最佳實踐所得並提出對於資訊安全管理的建議，並在資訊安全管理系統領域中的風險及相關管控，該標準系列與品質管理保證系統的標準和環境保護標準系列有類似的架構。OWASP 指南開放式Web應用程式安全專案（OWASP）是一個線上社群，在Web應用安全領域提供免費的文章，方法，文件，工具和技術。

【評論主題】29. 小忍想發送秘密訊息給合作夥伴，為了保護這些消息，他使用下列何種的技術，可在普通消息中隱藏秘密消息，通過隱蔽性提供安全性？

【評論內容】

RSA加密演算法是一種非對稱加密演算法，在公開金鑰加密和電子商業中被廣泛使用。公開金鑰加密 (Public-key cryptography)Encryption加密Steganography隱寫術是一門關於資訊隱藏的技巧與科學，所謂資訊隱藏指的是不讓除預期的接收者之外的任何人知曉資訊的傳遞事件或者資訊的內容。

【評論主題】24. Linux 作業系統中，下列何者用於儲存使用者帳號密碼之雜湊（Hash）檔案？(A) (B) (C)(D)

【評論內容】用來追蹤每一個已存取至系統上之已登錄使用...

【評論主題】22. 請問下列何者「並非」行動裝置上唯一識別號嗎？(A) 通用唯一識別碼（Universally Unique Identifier, UUID）(B) 國際移動用戶識別碼（Internationa

【評論內容】

通用唯一識別碼（Universally Unique Identifier, UUID）通用唯一辨識碼是用於電腦體系中以辨識資訊的一個128位元識別碼。國際移動使用者辨識碼（英語：IMSI，International Mobile Subscriber Identity）是用於區分蜂巢式網路中不同使用者的、在所有蜂巢式網路中不重複的辨識碼。國際移動設備識別碼（International Mobile Equipment Identity, IMEI）即通常所說的手機「串號」，用於在行動電話網路中辨識每一部獨立的手機等行動通訊裝置，相當於行動電話的身分證。

【評論主題】21. 關於行動裝置中安全的使用軟體，請問下列敘述何者較「不」正確？(A) 只在官方、原廠網站或可信任來源下載合法軟體(B) 將手機進行越獄（Jailbreak, JB），以利執行所需的各式各樣軟體(

【評論內容】將手機進行越獄（Jailbreak, JB）顧名思義就是手機破解，不受限制如果從不明來源下載安裝軟體，當然就存在各種風險無法保證會不會因為你安裝不知名的應用程式而遭受植入木馬程式或密碼盜取程式

【評論主題】20. 下列何者「不」是常見的雲端運算的部署模式？(A) 公有（Public）雲(B) 私有（Private）雲(C) 自由（Free）雲(D) 混合（Hybrid）雲

【評論內容】

雲端運算服務依其部署的模式，可分為4種

公有雲（Public Cloud）私有雲（Private Cloud）社群雲（Community Cloud）混合雲（Hybrid Cloud）

【評論主題】17. 關於查看網頁事件記錄檔時，會看到 HTTP 狀態代碼段中找不到原始碼檔案，下列何者為事件記錄檔中看到找不到原始碼的實際錯誤代碼？

【評論內容】

202 Accepted伺服器已接受請求，但尚未處理。404 Not Found請求失敗，請求所希望得到的資源未被在伺服器上發現，但允許使用者的後續請求。505 HTTP Version Not Supported伺服器不支援，或者拒絕支援在請求中使用的HTTP版本。909 Network error網路錯誤

【評論主題】12. 下列何者「不」是作業系統更新所使用的指令？(A) wuauclt(B) apt-get(C) update(D) yum

【評論內容】apt-get 與 yum 皆為 Lin☆☆ ★★ ...

【評論主題】6. 下列何者為輕型目錄存取協定（Lightweight Directory Access Protocol,LDAP）較常使用之通訊埠（Port）？(A) 311(B) 123(C) 389(D)

【評論內容】

311：Apple 伺服器管理員工★、...

【評論主題】8. 欲將外部網路（Internet）建立連線至內部網路（Intranet），採用下列何種連線方式，單一使用者可以較安全連接至某個私人網路？(A) WAF(B) SSD(C) VPN(D) PBX

【評論內容】

WAF 網頁應用程式防火牆

SSD 固態硬碟VPN 虛擬私人網路用於保護網路連線和線上隱私權PBX 專用交換機專為特定的企業或機關等服務的電話交換機

【評論主題】2. 「攻擊者利用網站的漏洞把惡意程式腳本注入到網頁內，當使用者瀏覽其網頁時，將會執行網頁內注入的惡意程式碼，可能造成 Cookie資料被竊取、Session 連線被劫持或釣魚欺騙等攻擊。」請問上述屬

【評論內容】

跨網站指令碼（英語：Cross-site scripting，通常簡稱為：XSS）是一種網站應用程式的安全漏洞攻擊，是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻擊成功後，攻擊者可能得到更高的權限（如執行一些操作）、私密網頁內容、對談和cookie等各種內容。常用的XSS攻擊手段和目的有：

盜用cookie，取得敏感資訊。利用植入Flash，通過crossdomain權限設定進一步取得更高權限；或者利用Java等得到類似的操作。利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻擊）使用者的身分執行一些管理動作，或執行一些一般的如發微博、加好友、發私信等操作。利用可被攻擊的域受到其他域信任的特點，以受信任來源的身分請求一些平時不允許的操作，如進行不當的投票活動。在瀏覽量極大的一些頁面上的XSS可以攻擊一些小型網站，實現DoS攻擊的效果。

維基百科:https://zh.wikipedia.org/zh-tw/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC

【評論主題】49. 下列何者「不」屬於營運持續計畫之演練方式？(A) 模擬測試(B) 檢查表測試(C) 黑箱測試(D) 完全中斷測試

【評論內容】營運持續計畫之測試：結構化排練測試由相關...

【評論主題】38. 資訊安全管理系統（Information Security Management System, ISMS）採用 PDCA 循環的概念，下列何者「不」包含在此流程中？(A) 高階管理審查會議(

【評論內容】

PDCA

P計畫（Plan）D執行（Do）C查核（Check）A行動（Act）

由四大步驟過程所構成的一連串追求改善精進的目標管理。針對品質工作按規劃、執行、查核與行動來進行活動，以確保可靠度目標之達成，並進而促使品質持續改善。是企業界早已普遍運用的一套「目標管理」流程，這個四步的循環一般用來提高產品品質和改善產品生產過程。https://zh.wikipedia.org/zh-tw/PDCAISMS 利用 PDCA 循環的概念來持續地管理資訊安全整合及強化資訊安全管理體系，持續監督及審查管理績效，以落實資訊安全管理及業務持續營運之理念

【評論主題】37. 請問資通安全管理法的何項子法，有定義資通系統防護基準要求？(A) 資通安全事件通報及應變辦法(B) 資通安全情資分享辦法(C) 公務機關所屬人員資通安全事項獎懲辦法(D) 資通安全責任等級分級

【評論內容】資通安全管理法及子法彙編一、資通安全...

【評論主題】33. 下列何者「不」是組織在實作資訊安全營運持續時的必要做法？(A) 任命有經驗及能力可處理事故的人員(B) 制定營運持續計畫和災害復原的程序(C) 確保不利於組織情況的災害不會發生(D) 以文件化

【評論內容】營運持續管理透過預防與復原控制措施的組合...

【評論主題】31. 為強化身份認證機制，我們常會使用雙因素認證機制，下列何種組合並「不」屬於雙因素認證的定義？(A) 密碼（Password）+RFID 感應卡（如悠遊卡）(B) RFID 感應卡+自然人憑證 I

【評論內容】認證因子的種類使用者需要記憶的類型 ...

【評論主題】28. 關於系統安全性中，IETF（Internet Engineering Task Force）制定的AAA 協定，下列何者定義主要說明認證機制？(A) Applicability(B) Auth

【評論內容】

AAA協定是同時兼顧驗證（authentication）、授權（authorization）、計帳（accounting）三種服務的協定。驗證-Authentication：驗證使用者合不合法授權-Authorization ：使用者能做甚麼事情?紀錄(會計)-Accounting ：紀錄這個使用者做了甚麼事情https://ithelp.ithome.com.tw/articles/10229281

【評論主題】25. 通用漏洞評分系統（Common Vulnerability Scoring System, CVSS）是一個可衡量漏洞嚴重程度的公開標準。CVSSv3 以基本指標群（Basemetric gr

【評論內容】CVSS 是一個開放式架構，由下列度量群...

【評論主題】40. 某公司規定重要系統與資料，在發生重大災難時，也不能發生過長營運中斷或是資料的遺失，當該公司建置異地備援中心時，下列何者「最」能符合上述要求？(A) 熱備援（Hot Backup Site）(B

【評論內容】

維基百科:https://zh.wikipedia.org/zh-tw/%E7%95%B0%E5%9C%B0%E5%82%99%E6%8F%B4冷備援是最便宜的異地備援模式。其不需預先設定硬體，以及自來源站備份資料。建置成本最低，但需要額外時間來執行復原，以復原至災難前的狀態。熱備援是來源站的複製。其具有完整的系統、網路連線，以及利用磁碟鏡像所做到的接近完整的資料備份。當來源站服務中斷時，熱備援可即時啟動以極大程度上降低資料損失。其對於系統來說，資料損失最小，復原時間也是最短，但建置成本卻是最高的。暖備援是介於冷備援與熱備援的異地備援模式，其有事先建置好的硬體與網路連線，與原始站相較具體而微。可能有不完整的資料備份，造成數小時至數週不等的資料損失。傳統自建備援機房則需購置軟硬體、建置網路等基礎設施、暖備援站點與熱備援站點，其復原資源需要長時間的執行，對企業而言需負擔採購、建置與維護成本。雲端災後復原服務則提供資料保護與預備的隨選運算能力，可快速復原、彈性擴充，並依所使用的復原資源如網路流量、運算能力與資料量計費。

【評論主題】50. 由獨立的驗證單位所執行之稽核，稱為下列何者？(A) 第一方（First Party）稽核(B) 第二方（Second Party）稽核(C) 第三方（Third Party）稽核(D) 聯合/

【評論內容】依據ISO 19011 指出，所謂「第三者稽核」是指具有公信力的獨立認證機構，依一特定的標準對公司辦理評鑑，並發給證書以資證明。

【評論主題】26. 關於身分認證（Authentication）技術中所謂的多因子（Multi-Factor）認證，下列何者「不」正確？(A) 你/妳所知道的事物(B) 你/妳所努力的事物(C) 你/妳所擁有的事

【評論內容】多重要素驗證（英語：Multi-factor authentication，縮寫為 MFA）

【評論主題】7. 資訊安全管理系統之法規遵循與適法性要求，旨在降低公司單位違反法律的風險，請問若公司要避免違反智慧財產權的相關法律，下列何者「不」包含在智慧財產權中？(A) 著作權（Literary Proper

【評論內容】

智慧財產權涵蓋專利、商標、著作權可參考經濟部智慧財產局:https://www.tipo.gov.tw/tw/mp-1.html

【評論主題】42. 依據「行政院國家資通安全會報通報及應變作業流程」，判定事故影響等級時，應評估資安事故造成之機密性、完整性以及可用性衝擊，下列何者「不」是 1 級事件？(A) 非核心業務一般資料遭洩漏(B) 非

【評論內容】資通安全事件通報及應變辦法第一 ★ ...

【評論主題】39. 某銀行近日疑似遭遇駭客以彩虹表（Rainbow Table）攻擊法破解內部伺服器的密碼系統，為了能夠抵擋類似的攻擊手法再度發生，請問銀行的內部密碼系統該如何因應？(A) 更換加密雜湊演算法(B

【評論內容】彩虹表是用於加密雜湊函式逆運算的預先計算...

【評論主題】13. 公務或非公務機關在進行個人資料蒐集時，應明確告知當事人事項，請問其告知內容「不」包含下列何者？(A) 個人資料蒐集的目的(B) 個人資料的類別(C) 個人資料儲存方式(D) 個人資料利用的期間

【評論內容】個人資料保護法第 8 條1.公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。全國法規資料庫:https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=I0050021

【評論主題】12. 在個資法中，關於個資隱私損害賠償的規範，當被害人無法證明實際損害金額的時候，可以請求法院依傷害情節，以多少金額計算？(A) 每人一事件新台幣 100 以上，30,000 元以下(B) 每人一事

【評論內容】個人資料保護法第 28 條

用戶【Syuan】點評問題和點評內容