鹿先生的公務員終身學習解答

機關組織每一季實施人員資安教育訓練，屬於哪一個資安強化重點？

1. 個人資料管理機制的強化
2. 營運及服務持續機制的強化
3. 人員對於資安意識的持續提升
4. 對外提供服務之資訊系統的強化

依客戶端需求提升服務主機與系統的維護管理機制，屬於哪一個資安強化重點？

1. 個人資料管理機制的強化
2. 營運及服務持續機制的強化
3. 人員對於資安意識的持續提升
4. 對外提供服務之資訊系統的強化

組織在決定ISMS的範圍時，ISO/IEC 27001中要求組織必須依其所面臨的議題、風險、挑戰及關注方之需要及期望等決定適切的範圍及邊界，下列那一個例子為較佳的範圍?

1. 組織之核心業務涉及到國家關鍵基礎建設的管理，決定以特定重要資訊系統作為ISMS的範圍。
2. 組織有許多業務因資源及技術考量決定由業務單位進行委外，業務單位要求其中最重要的委外廠商導入ISMS。
3. 組織透過適當的方法鑑別出組織最關鍵及核心的業務活動，要求該業務活動涉及業務部門、資訊部門及支援的部門導入資訊安全。
4. 組織業務涉及對外民眾服務並涉及到個資的蒐集、處理及利用，要求資訊中心進行資訊安全的導入。

在ISO/IEC 27001的管理制度面要求中，如何有效的鑑別組織所面臨的風險及機會，並採取適切的行動予以因應為關鍵成功要素。組織應如何鑑別所面臨的風險?

1. 鑑別組織所面臨的資安風險 (從機密性、完整性、可用性相關角度鑑別)
2. 鑑別各項風險發生的可能性
3. 鑑別風險處理選項
4. 鑑別各項風險發生後的後果

組織需針對鑑別出的高風險進行必要的風險處理，下列何者為國際標準或實務中建議的風險處理選項?

1. 避免風險
2. 不予理會
3. 轉移風險
4. 降低風險

績效評估為ISO/IEC 27001: 2013年版中的主要改變之一，請問在制定資安KPI (關鍵績效指標時) 需要考慮的項目何者為非?

1. 需針對ISMS的過程及安控措施制定KPI
2. 需針對各項KPI定義5W & 1H
3. KPI不需要量化
4. 需定義監控，量測，分析及評估KPI之方法

下列哪一項要求屬於ISO/IEC 27001的管理制度面中對規劃階段的要求?

1. 領導作為
2. 支援
3. 績效評估
4. 組織全景

妥善的保護組織的關鍵資訊資產是導入資訊安全管理的重點之一，有哪些措施可以進行資產管理?

1. A.8.1資產責任
2. A.8.2資訊分級
3. A.8.3媒體處置
4. A.9.3使用者責任

有鑑於網路攻擊 (cyber attack)對於組織資安管理的影響，ISO/IEC 27001在哪一個章節提供了額外的建議供組織強化及遵循？

1. A.13通訊安全
2. A.7人力資源安全
3. A.14系統獲取、開發及維護
4. A.8資產管理

下列那一個控制措施不是 ISO/IEC 27001:2013年版中因應未來風險所新增之控制措施?

1. A.17.2.1 資訊處理設施之可用性
2. A.16.1.4 對資訊安全事件之評鑑及決策
3. A.8.2.1資訊之分級
4. A.6.2.1 行動裝置政策

委外或供應商管理是組織在資安管理上不可忽視的關鍵議題，下列哪幾個控制目標與此議題有關?

1. 供應者關係中之資訊安全
2. 對法律及契約要求事項之遵循
3. 資訊安全審查
4. 供應者服務交付管理

下列哪一個控制目標不是A.12 運作章節中的管理重點?

1. 防範惡意軟體
2. 存錄與監視
3. 運作程序及責任
4. 保全區域

下列何者對ISO/IEC 27001:2013安控措施的敘述是正確的?

1. 安控措施的章節從A.5 ~ A.18 (共14個面向的要求)
2. 安控措施的數量共有114個
3. 安控措施包含管理面、技術面及政策面的要求
4. 以上皆是

ISO/IEC 27000系列標準中，哪一本標準為驗證用的標準，組織可用來對外展現其資訊安全管理滿足國際標準的基本要求?

1. ISO/IEC 27002
2. ISO/IEC 27000
3. ISO/IEC 27001
4. ISO/IEC 27005