【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】ISO 27001 是資訊安全管理系統 (ISMS) 的國際標準,提供組織建立、實施、運作、監控、審查、維持和改進其 ISMS 所需的框架。ISO 27701 是 ISO 27001 的附加標準,專注於個人資訊保護 (PII)。它提供組織保護 PII 所需的框架,包括收集、使用、儲存和銷毀 PII。BS 10012 是英國標準協會 (BSI) 制定的標準,旨在幫助組織開發和實施個人資訊管理系統 (PIMS)。PIMS 是一種系統,旨在保護個人資訊,包括收集、使用、儲存和銷毀個人資訊。IEC 62443 是工業控制系統 (ICS) 的安全標準,不專注於個人資訊保護。
因此,答案是 ISO 27701 和 BS 10012。
【評論主題】4. 常見的資訊安全標準中,下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引?(A) ISO 27001(B) ISO 27701(C) BS 10012(D) IEC 62443
【評論內容】ISO 27001 是資訊安全管理系統 (ISMS) 的國際標準,提供組織建立、實施、運作、監控、審查、維持和改進其 ISMS 所需的框架。ISO 27701 是 ISO 27001 的附加標準,專注於個人資訊保護 (PII)。它提供組織保護 PII 所需的框架,包括收集、使用、儲存和銷毀 PII。BS 10012 是英國標準協會 (BSI) 制定的標準,旨在幫助組織開發和實施個人資訊管理系統 (PIMS)。PIMS 是一種系統,旨在保護個人資訊,包括收集、使用、儲存和銷毀個人資訊。IEC 62443 是工業控制系統 (ICS) 的安全標準,不專注於個人資訊保護。
因此,答案是 ISO 27701 和 BS 10012。
【評論主題】46. 關於營運持續管理活動,下列何者為正確的順序?(a)擬定營運持續計畫(BCP)、(b)調整營運持續策略、(c)營運衝擊分析(BIA)、(d)定期演練(A) a b c d(B) c b a d(
【評論內容】答案為 (D) a c b d,正確的營運持續管理活動順序為: (a) 擬定營運持續計畫(BCP):這是確保企業在面對突發狀況時能夠繼續營運的重要步驟,包括評估風險、確定關鍵業務和資產、設定應對策略等。 (c) 營運衝擊分析(BIA):評估企業在面對不同類型的災害或其他營運中斷時可能會面臨的損失和風險。 (b) 調整營運持續策略:基於 BCP 和 BIA 的結果,制定營運持續策略,包括確定緊急應對計畫、建立危機管理團隊等。 (d) 定期演練:定期進行演練可以幫助檢驗營運持續計畫的有效性,及時發現問題並進行改進。
【評論主題】21. 在資安風險管理過程中,關於風險識別(Risk Identification)應包括的工作項目,下列何者較「不」正確?(A) 識別威脅(Threat)(B) 識別脆弱點(Vulnerabilit
【評論內容】
答案:C
解析:風險識別的工作項目應包括:識別威脅、識別脆弱點、識別資產等。而風險等級是在風險評估中進行評估的,屬於後續的步驟,不是風險識別的工作項目。因此選項 C 較不正確。
【評論主題】17. 為了確保資訊依其對組織之重要性,受到適切等級的保護,下列何種控制措施與此目標較「不」具直接相關?(A) 資訊之分級(B) 資訊之標示(C) 資訊之處理(D) 資產擁有權
【評論內容】
答案:D
詳解:
資產擁有權的控制與資訊等級保護的相關性不大,主要是針對資產的歸屬和管理,例如確定哪個單位或人員擁有特定的資產,以及責任歸屬等問題。而資訊之分級、標示和處理等控制措施,都是確保資訊依其重要性和敏感程度受到適切等級的保護,是直接相關的控制措施。
【評論主題】13. 所有權(Property)是資訊倫理常探討的四大議題之一,關於所有權, 下列敘述何者較為正確?(A) 誰擁有資訊(B) 誰負責資訊的真實性與正確性(C) 在何種狀況保護措施下,可向他人揭露那些
【評論內容】
正確答案為 (A) 誰擁有資訊。
所有權 (Property) 是資訊倫理常探討的四大議題之一,指的是誰擁有資訊,即對資訊的控制權、處置權、使用權及取得權。所有權的問題涉及到智慧財產權、資料隱私權等議題,常常需要考慮法律規範及道德價值觀等因素。
選項 (B) 誰負責資訊的真實性與正確性是關於資訊的正確性及真實性的問題,與所有權不同。
選項 (C) 在何種狀況保護措施下,可向他人揭露那些個人資料是關於個人資料隱私權的問題,與所有權不同。
選項 (D) 在何種條件下,個人與組織有權利來獲取所需資料是關於資料存取權的問題,與所有權不同。
【評論主題】3. 下列何種標準是針對雲端服務個人隱私資料的保護?(A) ISO/IEC 27001(B) ISO/IEC 27002(C) ISO/IEC 27017(D) ISO/IEC 27018
【評論內容】(D) ISO/IEC 27018 是針對雲端服務個人隱私資料的保護的標準,它提供了相關隱私保護的控制措施,幫助雲端服務提供者合規地處理個人資料。ISO/IEC 27001 和 ISO/IEC 27002 則是針對資訊安全管理系統和資訊安全控制的標準,覆蓋範圍比 ISO/IEC 27018 更廣。ISO/IEC 27017 則是針對雲端服務的資訊安全控制的標準。
【評論主題】2. 關於資訊安全管理系統(Information Security Management System,ISMS),下列敘述何者較「不」正確?(A) 導入資訊安全管理系統可以保護組織資訊資產的安全(
【評論內容】D) 在建立組織資訊安全管理系統的活動中,...
【評論主題】46. 關於營運持續管理活動,下列何者為正確的順序?(a)擬定營運持續計畫(BCP)、(b)調整營運持續策略、(c)營運衝擊分析(BIA)、(d)定期演練(A) a b c d(B) c b a d(
【評論內容】答案為 (D) a c b d,正確的營運持續管理活動順序為: (a) 擬定營運持續計畫(BCP):這是確保企業在面對突發狀況時能夠繼續營運的重要步驟,包括評估風險、確定關鍵業務和資產、設定應對策略等。 (c) 營運衝擊分析(BIA):評估企業在面對不同類型的災害或其他營運中斷時可能會面臨的損失和風險。 (b) 調整營運持續策略:基於 BCP 和 BIA 的結果,制定營運持續策略,包括確定緊急應對計畫、建立危機管理團隊等。 (d) 定期演練:定期進行演練可以幫助檢驗營運持續計畫的有效性,及時發現問題並進行改進。
【評論主題】21. 在資安風險管理過程中,關於風險識別(Risk Identification)應包括的工作項目,下列何者較「不」正確?(A) 識別威脅(Threat)(B) 識別脆弱點(Vulnerabilit
【評論內容】
答案:C
解析:風險識別的工作項目應包括:識別威脅、識別脆弱點、識別資產等。而風險等級是在風險評估中進行評估的,屬於後續的步驟,不是風險識別的工作項目。因此選項 C 較不正確。
【評論主題】17. 為了確保資訊依其對組織之重要性,受到適切等級的保護,下列何種控制措施與此目標較「不」具直接相關?(A) 資訊之分級(B) 資訊之標示(C) 資訊之處理(D) 資產擁有權
【評論內容】
答案:D
詳解:
資產擁有權的控制與資訊等級保護的相關性不大,主要是針對資產的歸屬和管理,例如確定哪個單位或人員擁有特定的資產,以及責任歸屬等問題。而資訊之分級、標示和處理等控制措施,都是確保資訊依其重要性和敏感程度受到適切等級的保護,是直接相關的控制措施。
【評論主題】13. 所有權(Property)是資訊倫理常探討的四大議題之一,關於所有權, 下列敘述何者較為正確?(A) 誰擁有資訊(B) 誰負責資訊的真實性與正確性(C) 在何種狀況保護措施下,可向他人揭露那些
【評論內容】
正確答案為 (A) 誰擁有資訊。
所有權 (Property) 是資訊倫理常探討的四大議題之一,指的是誰擁有資訊,即對資訊的控制權、處置權、使用權及取得權。所有權的問題涉及到智慧財產權、資料隱私權等議題,常常需要考慮法律規範及道德價值觀等因素。
選項 (B) 誰負責資訊的真實性與正確性是關於資訊的正確性及真實性的問題,與所有權不同。
選項 (C) 在何種狀況保護措施下,可向他人揭露那些個人資料是關於個人資料隱私權的問題,與所有權不同。
選項 (D) 在何種條件下,個人與組織有權利來獲取所需資料是關於資料存取權的問題,與所有權不同。
【評論主題】3. 下列何種標準是針對雲端服務個人隱私資料的保護?(A) ISO/IEC 27001(B) ISO/IEC 27002(C) ISO/IEC 27017(D) ISO/IEC 27018
【評論內容】(D) ISO/IEC 27018 是針對雲端服務個人隱私資料的保護的標準,它提供了相關隱私保護的控制措施,幫助雲端服務提供者合規地處理個人資料。ISO/IEC 27001 和 ISO/IEC 27002 則是針對資訊安全管理系統和資訊安全控制的標準,覆蓋範圍比 ISO/IEC 27018 更廣。ISO/IEC 27017 則是針對雲端服務的資訊安全控制的標準。
【評論主題】2. 關於資訊安全管理系統(Information Security Management System,ISMS),下列敘述何者較「不」正確?(A) 導入資訊安全管理系統可以保護組織資訊資產的安全(
【評論內容】D) 在建立組織資訊安全管理系統的活動中,...
【評論主題】38. 關於網站加密協定,下列敘述何者「不」正確?(A) TLS 1.0 以下的協定版本存在降級攻擊(Downgrade Attack)的風險(B) SSL 與 TLS 1.0 差距相當微小,可視 T
【評論內容】(B) SSL 與 TLS 1.0 差距相當微小,可視 TLS 為 SSL 標準化的版本這個敘述不正確。SSL(Secure Sockets Layer)是 TLS(Transport Layer Security)的前身,TLS是在SSL的基礎上進行改進而來的。TLS1.0是於1999年發佈,相較於SSL3.0的升級版本,改進了一些安全漏洞,而TLS1.1、TLS1.2、TLS1.3則相繼針對一些漏洞進行了改進和加強,因此TLS和SSL之間有較大的差距,且TLS被視為SSL的替代品。