1. 下列敘述是否正確?「資通安全責任等級分級辦法中,要求各機關之資通安全人員須至少持有一張證照。」
是
否
2. 下列何者不是受稽核時應有的態度?
只回答稽核員詢問的問題
不懂會有缺失,趕快硬凹
只提供稽核員欲調閱的文件
說寫作一致
3. 「在 ISMS 條文中,重點是要文件作業,溝通其實並不那麼重要。」這句話是否正確?
是
否
4. ISO 27001: 2022,其中的「ISO」,指的是國際標準組織(International Organization for Standardization)?
是
否
5. 常講的ISO 27001與資訊安全管理系統( information security management system, ISMS) ,是否有所差異?
無差異
兩個是不一樣東西
6. 下列何者為風險評鑑方法論常見的計算方式?
相減
取最小值
相乘
開根號
7. 下列何者不是 ISO 27001 資訊安全管理系統 (ISMS) 中常說的 PDCA 循環?
Do
Check
Audit
Plan
8. 請問,在 ISMS 條文中提到的「文件化資訊」是指,要訂定規範或條文?
是
否
9. 「SOP 標準文件共有三階」這句話是否正確?
是
否
10. 下列何者不符合事項之缺失定義?
口頭警告(Verbal warning)
觀察事項 (Observation)
改善建議 (Opportunity For Improvement)
主要缺失(Major nonconformity)
11. 下列哪個不是導入資訊安全管理系統(ISMS)的優點?
保護機關的資產
提升機關信譽和競爭力
合規要求
增加工作量
12. 下列何者資訊不在 ISO 證書內?
公司名稱
驗證範圍
驗證標準
驗證人數
13. 下列何者不在 ISO 27001 認證的標準流程內發生?
資產盤點
外部稽核活動
管理審查會議
稽核後聚餐
14. 下列敘述是否正確?「組織ISMS證書,每三年要更新驗證一次。」
是
否
15. 下列何者不是資訊安全之定義?
資訊安全係藉由實作一組合適之控制措施達成,此等控制措施包括政策、規則、過程、程序、組織結構及軟硬體功能。必要時組織宜定義、實作、監視、審查及改善此等控制措施, 以符合其特定安全及營運目標。諸如CNS 27001 中所規定之ISMS, 採取組織資訊安全風險的全面及協調觀點, 俾於一致之管理系統整體框架下, 決定並實作一套周全的資訊安全控制措施
機密性、完整性與可用性
資訊安全之定義:資訊安全是透過安全管制措施,保護資產免於受到危害,以達到機密性、完整及可用性的目標。進而支持組織業務、創造價值、實現組織使命與願景的一門學問
No money no security 信任始於安全
16. 下列何者不是管理審查應進行之考量?
過往管理審查之決議的處理狀態
與資訊安全管理系統相關關注方之需要及期望的變更
與資訊安全管理系統無關之外部及內部議題的變更
資訊安全績效之回饋
17. 下列何者不是資訊安全保護的目標?
資料(Data)
人(People)
業務程序(Business Processes)
家具(Furniture)
18. 「ISO 27001:2022 條款本文章節,共有11章」,是否正確?
是
否
19. 下列敘述是否正確?「資通安全責任等級分級辦法中,要求A級機關之資通安全專責人員,每年要進行15小時之資通安全專業或職能訓練。」
是
否
留言列表
