資安管理制度(ISMS)標準─ISO/IEC 27001:2013介紹/解答
機關組織每一季實施人員資安教育訓練,屬於哪一個資安強化重點?
a. 個人資料管理機制的強化
b. 營運及服務持續機制的強化
c. √人員對於資安意識的持續提升
d. 對外提供服務之資訊系統的強化
依客戶端需求提升服務主機與系統的維護管理機制,屬於哪一個資安強化重點?
a. 個人資料管理機制的強化
b. 營運及服務持續機制的強化
c. 人員對於資安意識的持續提升
d.√ 對外提供服務之資訊系統的強化
組織需針對鑑別出的高風險進行必要的風險處理,下列何者為國際標準或實務中建議的風險處理選項?
a.√ 避免風險
b. 不予理會
c.√ 轉移風險
d.√ 降低風險
在ISO/IEC 27001的管理制度面要求中,如何有效的鑑別組織所面臨的風險及機會,並採取適切的行動予以因應為關鍵成功要素。組織應如何鑑別所面臨的風險?
a.√ 鑑別組織所面臨的資安風險 (從機密性、完整性、可用性相關角度鑑別)
b.√ 鑑別各項風險發生的可能性
c. 鑑別風險處理選項
d.√ 鑑別各項風險發生後的後果
績效評估為ISO/IEC 27001: 2013年版中的主要改變之一,請問在制定資安KPI (關鍵績效指標時) 需要考慮的項目何者為非?
a. 需針對ISMS的過程及安控措施制定KPI
b. 需針對各項KPI定義5W & 1H
c.√ KPI不需要量化
d. 需定義監控,量測,分析及評估KPI之方法
下列哪一項要求屬於ISO/IEC 27001的管理制度面中對規劃階段的要求?
a.√ 領導作為
b.√支援
c. 績效評估
d.√ 組織全景
妥善的保護組織的關鍵資訊資產是導入資訊安全管理的重點之一,有哪些措施可以進行資產管理?
a.√ A.8.1資產責任
b.√ A.8.2資訊分級
c.√ A.8.3媒體處置
d. A.9.3使用者責任
下列那一個控制措施不是 ISO/IEC 27001:2013年版中因應未來風險所新增之控制措施?
a. A.17.2.1 資訊處理設施之可用性
b. A.16.1.4 對資訊安全事件之評鑑及決策
c.√ A.8.2.1資訊之分級
d. A.6.2.1 行動裝置政策
ISO/IEC 27000系列標準中,哪一本標準為驗證用的標準,組織可用來對外展現其資訊安全管理滿足國際標準的基本要求?
a. ISO/IEC 27002
b. ISO/IEC 27000
c.√ ISO/IEC 27001
d. ISO/IEC 27005
有鑑於網路攻擊 (cyber attack)對於組織資安管理的影響,ISO/IEC 27001在哪一個章節提供了額外的建議供組織強化及遵循?
a.√ A.13通訊安全
b. A.7人力資源安全
c. A.14系統獲取、開發及維護
d. A.8資產管理
下列何者對ISO/IEC 27001:2013安控措施的敘述是正確的?
a. 安控措施的章節從A.5 ~ A.18 (共14個面向的要求)
b. 安控措施的數量共有114個
c. 安控措施包含管理面、技術面及政策面的要求
d.√ 以上皆是
委外或供應商管理是組織在資安管理上不可忽視的關鍵議題,下列哪幾個控制目標與此議題有關?
a.√ 供應者關係中之資訊安全
b. 對法律及契約要求事項之遵循
c. 資訊安全審查
d.√ 供應者服務交付管理
下列哪一個控制目標不是A.12 運作章節中的管理重點?
a. 防範惡意軟體
b. 存錄與監視
c. 運作程序及責任
d.√ 保全區域
組織在決定ISMS的範圍時,ISO/IEC 27001中要求組織必須依其所面臨的議題、風險、挑戰及關注方之需要及期望等決定適切的範圍及邊界,下列那一個例子為較佳的範圍?
a. 組織之核心業務涉及到國家關鍵基礎建設的管理,決定以特定重要資訊系統作為ISMS的範圍。
b. 組織有許多業務因資源及技術考量決定由業務單位進行委外, 業務單位要求其中最重要的委外廠商導入ISMS。
c.√ 組織透過適當的方法鑑別出組織最關鍵及核心的業務活動,要求該業務活動涉及業務部門、資訊部門及支援的部門導入資訊安全。
d. 組織業務涉及對外民眾服務並涉及到個資的蒐集、處理及利用,要求資訊中心進行資訊安全的導入。