機關組織每一季實施人員資安教育訓練，屬於哪一個資安強化重點？
a.    個人資料管理機制的強化
b.   營運及服務持續機制的強化
c. √人員對於資安意識的持續提升
d.    對外提供服務之資訊系統的強化

依客戶端需求提升服務主機與系統的維護管理機制，屬於哪一個資安強化重點？
a.   個人資料管理機制的強化
b.   營運及服務持續機制的強化
c.   人員對於資安意識的持續提升
d.√ 對外提供服務之資訊系統的強化

組織需針對鑑別出的高風險進行必要的風險處理，下列何者為國際標準或實務中建議的風險處理選項?
a.√ 避免風險
b.   不予理會
c.√ 轉移風險
d.√ 降低風險

在ISO/IEC 27001的管理制度面要求中，如何有效的鑑別組織所面臨的風險及機會，並採取適切的行動予以因應為關鍵成功要素。組織應如何鑑別所面臨的風險?
a.√ 鑑別組織所面臨的資安風險 (從機密性、完整性、可用性相關角度鑑別)
b.√ 鑑別各項風險發生的可能性
c.    鑑別風險處理選項
d.√ 鑑別各項風險發生後的後果

績效評估為ISO/IEC 27001: 2013年版中的主要改變之一，請問在制定資安KPI (關鍵績效指標時) 需要考慮的項目何者為非?
a.   需針對ISMS的過程及安控措施制定KPI
b.   需針對各項KPI定義5W & 1H
c.√  KPI不需要量化
d.   需定義監控，量測，分析及評估KPI之方法

下列哪一項要求屬於ISO/IEC 27001的管理制度面中對規劃階段的要求?
a.√ 領導作為
b.√支援
c.   績效評估
d.√ 組織全景

妥善的保護組織的關鍵資訊資產是導入資訊安全管理的重點之一，有哪些措施可以進行資產管理?
a.√ A.8.1資產責任
b.√ A.8.2資訊分級
c.√ A.8.3媒體處置
d.   A.9.3使用者責任

下列那一個控制措施不是 ISO/IEC 27001:2013年版中因應未來風險所新增之控制措施?
a.   A.17.2.1 資訊處理設施之可用性
b.   A.16.1.4 對資訊安全事件之評鑑及決策
c.√ A.8.2.1資訊之分級
d.   A.6.2.1 行動裝置政策

ISO/IEC 27000系列標準中，哪一本標準為驗證用的標準，組織可用來對外展現其資訊安全管理滿足國際標準的基本要求?
a.   ISO/IEC 27002
b.   ISO/IEC 27000
c.√ ISO/IEC 27001
d.   ISO/IEC 27005

有鑑於網路攻擊 (cyber attack)對於組織資安管理的影響，ISO/IEC 27001在哪一個章節提供了額外的建議供組織強化及遵循？
a.√ A.13通訊安全
b.   A.7人力資源安全
c.   A.14系統獲取、開發及維護
d.   A.8資產管理

下列何者對ISO/IEC 27001:2013安控措施的敘述是正確的?
a.   安控措施的章節從A.5 ~ A.18 (共14個面向的要求)
b.   安控措施的數量共有114個
c.    安控措施包含管理面、技術面及政策面的要求
d.√ 以上皆是

委外或供應商管理是組織在資安管理上不可忽視的關鍵議題，下列哪幾個控制目標與此議題有關?
a.√ 供應者關係中之資訊安全
b.   對法律及契約要求事項之遵循
c.   資訊安全審查
d.√ 供應者服務交付管理

下列哪一個控制目標不是A.12 運作章節中的管理重點?
a.   防範惡意軟體
b.   存錄與監視
c.   運作程序及責任
d.√ 保全區域

組織在決定ISMS的範圍時，ISO/IEC 27001中要求組織必須依其所面臨的議題、風險、挑戰及關注方之需要及期望等決定適切的範圍及邊界，下列那一個例子為較佳的範圍?
a.   組織之核心業務涉及到國家關鍵基礎建設的管理，決定以特定重要資訊系統作為ISMS的範圍。
b.   組織有許多業務因資源及技術考量決定由業務單位進行委外， 業務單位要求其中最重要的委外廠商導入ISMS。
c.√ 組織透過適當的方法鑑別出組織最關鍵及核心的業務活動，要求該業務活動涉及業務部門、資訊部門及支援的部門導入資訊安全。
d.   組織業務涉及對外民眾服務並涉及到個資的蒐集、處理及利用，要求資訊中心進行資訊安全的導入。