資訊安全稽核介紹與實務/解答
某政府機關資訊中心已經取得ISO 27001的驗證,必須每半年複評一次,主計處每年也會要求進行資安稽核,資訊中心的主管機關每半年還會針對個人電腦使用的安全性進行一次資安稽核。近來由於資料庫軟體爆發重大安全漏洞,並演變出一種新的攻擊型態,導致全球已有大量受害案例傳出,資訊中心主任要求稽核人員針對全中心的相關資料庫軟體進行一次資安稽核。現在要安排年度資安稽核計畫,請問他有多少種資安稽核活動需要安排?
a. 3種
b. 4種
c.√ 5種
d. 6種
續上題,請問主管機關的個人電腦安全稽核屬於哪一種稽核?
a. 第一方稽核
b.√ 第二方稽核
c. 第三方稽核
d. 內部稽核
續上題,現在要安排資料庫安全的稽核活動,請問下列何種稽核手法較不適用?
a.√ 問卷
b. 檢查表
c. 滲透測試
d. 弱點掃瞄
續上題,在安排內部稽核的細部計畫時,需要注意以下什麼項目?
a. 稽核範圍、項目與稽核人員資格的適切性
b. 稽核時程規劃要保留準備稽核報告與結案報告的時間
c. 稽核人員的稽核範圍應避免利害相關或自身業務部分
d.√ 以上皆是
續上題,稽核人員在執行資料庫安全的稽核活動時,哪種證據最能證明資料庫已能有效對抗新型態的攻擊?
a. 資料庫管理員的作業日誌
b.√ 資料庫版本更新或是修補軟體安裝的系統紀錄
c. 防火牆紀錄
d. 外部稽核員的稽核報告
又到了稽核作業的高峰期,上週才剛內部資安稽核結束,驗證單位即將於下週進行ISO27001複評作業,接著便是主計處的年度資安稽核作業。志明身兼資訊中心的主導稽核員以及網站管理員,最近正緊鑼密鼓地進行稽核前的準備事項。請問志明不需要準備以下何種文件紀錄?
a. 網站設定變更異動單
b. 網站系統規格文件
c.√ ISO27001外部稽核計畫
d. 內部資安稽核不符合事項矯正預防紀錄單
續上題,上週內部資安稽核結束時,發現有好幾項缺失需要改進,目前相關負責同仁正在努力改進中。而下週就要進行ISO27001複評作業了,這時緊張的志明不宜採取下列哪種措施?
a. 追蹤改進活動的進度,確保每項改進措施都依照計畫執行
b.√ 修改內部資安稽核報告,將比較重大的缺失改為較為輕微的缺失,避免給驗證單位的稽核員看到
c. 在ISO27001複評之前針對改進後的缺失再進行一次追蹤稽核,以確認缺失已經確實改進
d. 追蹤改進活動的過程,並思考有沒有更有效的執行方式
續上題,志明平時會定期抽閱網站紀錄,當他為了明天的稽核活動,再度清查網站紀錄時,意外發現已有網站遭受入侵的紀錄!這時請問以下作法何者較佳?
a.√ 循資安事件通報與應變相關制度向上通報與緊急應變,並依照矯正與預防相關規定檢討改進
b. 將該筆紀錄刪除,再私下進行資安事件處理
c. 修改網站紀錄的抽閱紀錄,將此紀錄加入,並補上當時的資安事件通報與應變制度相關表單紀錄
d. 當作沒有看到,反正稽核員也未必會看到
終於到了稽核的日子!稽核當天,稽核員正在稽核網站管理相關活動時,同仁接到志明負責的網站異常故障的系統通知,這時候,志明應採取何種處置方式較佳?
a. 若無其事陪同稽核員繼續稽核,將緊急應變工作交由同仁處理,以向稽核員展示其職務代理工作有落實執行
b. 不管網站異常故障,陪同稽核員完成網站管理的稽核工作後,再處理故障問題
c. 請稽核員先進行其他部分的稽核工作,然後依照網站的緊急處理程序進行通報應變作業
d. 怪罪稽核員耽誤網站管理的工作,將稽核員趕走
續上題,稽核員發現網站的現行設定與網站設定變更異動單上的記載不符合,這時稽核員將銳利的目光投向志明,希望能更深入瞭解不一致的部分與原因。請問下列哪種志明的反應比較不理想?
a. 確認稽核員的問題與自己所認知的相同
b. 冷靜回答稽核員的詢問,並充分說明
c. 回答稽核員的問題後,確認稽核員瞭解的說明與自己想要表達的相同
d.√ 跟稽核員抱怨每天工作太忙,成天有看不完的紀錄,寫不完的報告,而且其他同仁也都沒時間審閱紀錄