iPas_資訊安全規劃實務_中級

JavaScript isn't enabled in your browser, so this file can't be opened. Enable and reload.

iPas_資訊安全規劃實務_中級_歷屆考題

使用說明：

1.作答題組題請搜尋題組編號來搜尋各年度題目按順序作答(例如：108 年 _ 題組 1)

2.複選沒全對算錯

題組內容：共199題(108年-40題、109年-39題、110年-40題、111年-40題、112年-40題)

參考資料：北科大資財系魏銪志PTT 「iPAS 歷年考題」、Google網路搜尋歷屆試題

Made by：保三-T0ny

Email *

Record my email address with my response

110 年 _ 題組 4
D 公司主要業務為提供客戶雲端存儲服務，基於對客戶的保障，已通過ISO/IEC 27001 驗證，並訂定資安政策及資安目標，其中一項資安目標為提供客戶存儲服務系統，中斷服務不可超過 4 小時，因此相關系統及環境皆依此標準建置。
2020 年初，因疫情影響，公司評估此為重大事件，發現先前制定的分艙分流計畫不足以因應現況，故決議導入居家辦公系統，以便在公司受到疫情影響無法進入公司辦公時，能有效維運存儲服務系統，不中斷對客戶的服務，並於同年 4 月完成系統建置，讓系統維運及公司人員可透過此系統進入公司內網進行工作並對客戶提供服務。
因 D 公司因應得宜，受到某重要客戶青睞，於 2020 年 6 月與該重要客戶簽約提供資料存儲服務，合約中載明系統中斷不可超過 1 小時，公司評估未來營運成長需求，決定對提供客戶存儲服務之系統，設置異地備援之存儲服務系統，且主機房存儲服務系統中斷時，可自動切換至異地存儲服務系統，以避免區域性災難與滿足客戶要求。
---
(題組題 4-3，單選題) 題組背景描述如附圖。若 D 公司決定要符合合約所述的系統維運規格，下列哪些備援模式及敘述為較可行之方案：
1. Cold Site（冷備援）
2. Warm Site（暖備援）
3. Hot Site（熱備援）
4. 異地備援系統設置於隔壁棟大樓
5. 異地備援系統設於與公司所在地不同縣市
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.260 *

1 point

1234

2345

235

112 年第 1 次 _ 題組 4
A 公司年初導入 ISO 27001 資訊安全管理制度，並參考 ISO 31000 風險架構制度訂定風險管理辦法及相關程序。公司亦順利於年底取得驗證通過，驗證過程稽核員於風險管理過程出具一項次要缺失，主因為 A公司於年度風險評鑑過程，風險項目量化數值計算錯誤，但不影響風險排序以及後續選擇風險進行回應之作業。
---
(題組題 4-1，單選題) 背景描述如附圖。ISO 31000 風險管理架構所述簡要列示如後：
1. 風險回應、
2. 建立全景、
3. 風險分析及評估、
4. 風險辨識，以及貫穿於整個風險管理流程之｢監督與覆核」、｢溝通及協商」。
請問上述 1 4 項風險管理流程的正確順序為下列何項？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

1234

4321

2431

4231

110 年 _ 題組 2
實務上，資訊安全架構規劃並不侷限在網路（Network Security）與端點（End Point）的安全架構，亦包含實體安全（Physical Security）架構、軟體開發（Software Development）安全架構、服務（Service）環境安全架構、以及專案資訊系統（Information System）安全架構、資訊安全制度（含維運作業）架構…等若您為 IC 設計公司的資安工程師，負責端點（End Point）安全架構，舉凡 PC、Laptop、Printer、Server、FAX、Copy Machine、Smartphone 等都是端點及其附屬周邊（USB、Bluetooth、紅外線）都有控管記錄或禁用。

公司已嚴格控管網路、電子郵件發送、禁止攜入手機、儲存裝置與Wi-Fi，印表機等輸出裝置都有備份紀錄外且採用金屬保密紙，無法連接外部網路，外接儲存裝置與讀卡機也禁用，出入口亦都有金屬探測門檢查，全公司電腦採用 Windows OS，因為 IC 設計仍會用命令列介面（Command-Line Interface, CLI）形式操作第三方客戶提供的Linux 開發板，但卻出現公司研發機密資料外洩給競爭對手事件，請就上述情境回答下列問題。
---
(題組題 2-2，單選題) 題組背景描述如附圖。承上題，您在資料外洩事件後進行資安事件鑑識工作，透過公司已安裝本機型的資料外洩防護（Data Loss Prevention, DLP）系統，發現外洩的研發檔案、端點電腦的檔案之人為操作皆有管控並留下紀錄，對於檔案及目錄的新增、開啟、刪除、更名、列印甚至權限變更亦都有啟用管控機制、稽核紀錄，未見到任何寫出到 USB 與外接儲存裝置的軌跡紀錄。請問下列哪些可能是您沒顧慮到而導致資料外洩到競爭對手公司的原因？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.48 *

1 point

缺乏列印成 pdf 管控設計

缺乏滑鼠拖拉檔案管控記錄

缺乏檔案寫出寫入記錄

缺乏命令列介面（Command-Line Interface, CLI）指令行為（SSH, Telnet）記錄

(單選題) 某中小企業資訊部門之業務執掌包含程式開發、程式上線、應用程式管理以及資料庫管理等，該公司因故必須縮減資訊部門人力，若您是該企業之資訊部門主管，下列何種處理較無法降低資安風險的發生？
---
111-9
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

將部分資安工作移轉至其他業務單位

增加業務活動之監視紀錄

增加資安稽核頻率

導入自動化資料庫稽核管理工具

110 年 _ 題組 5
A 公司為先進資通訊產品代工製造商，為台灣股票公開發行公司，接受美國知名大廠 B 公司委託代為生產 B 公司所研發與設計商品，為了保護 B 公司的產品設計的機密與安全，A 公司在與 B 公司的製造的合約中，有嚴格的保密條款要求不得以任何型式洩露 B 公司的任何有關他們設計的產品資訊。A 公司也向 B 公司宣稱所有 B 公司委託生產製造的生產線皆採用獨立的生產線及網路實體隔離不與 Internet 連接（如下圖）。
B 公司生產環境的廠區 24 小時全面監控 IPCam 將錄影資訊留存於 A公司的 DVR 伺服器中，保存 6 個月之久，所有的管理帳中集中於 AAA伺服器中，由專人管理，絕對安全可靠。
此外，為方便管理 B 公司產線共用 A 公司的製造執行系統 MES（Manufacturing Execution System），提供自動化的製造排程與即時的圖表式看板供產線管理人員及 B 公司相關人員即時監控實際的生產狀況，如有任何異常立即排除。
---
(題組題 5-3，複選題) 題組背景描述如附圖。關於本題組的敘述與網路架構圖進行資訊安全風險的評估，下列敘述哪些較為正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.238 *

1 point

代 B 公司生產環境的網路的區隔可能較不完整

A 公司內部的網路隔離較為薄弱

ERP 系統放置於 Internet DMZ 區較不適宜，應與圖中的 MES 放置於同網段最為安全

A 公司的研發電腦網路與 B 公司生產環境網路無法互通

Required

(單選題) 下列何者「不」屬於主動式攻擊（Active Attack)?
---
111-4
*

1 point

DDoS Attack（分散式阻斷服務攻擊)

Buffer Overflow（緩衝區溢位)

Typosquatting Attack（誤植域名攻擊)

Brute Force（暴力破解)

108 年 _ 題組 4
-----
ABC 公司為了提高資安防護，全公司通過 ISO/IEC27001 驗證，並「每半年」安排一次後續稽核，以確保證書的有效性。此次外部稽核派了稽核員Kelly 負責執行三天的稽核，受稽的資訊單位主管 Tim 拿出一份資料表，其中部分資料如下：
--------------
(題組題 4-1，單選題) 上述情境中，根據 Tim 提供的網路架構圖，ABC 公司將網頁伺服器主機，放於DMZ（Demilitarized Zone）區，資料庫主機放於內網的伺服主機網段（Server Farm），員工電腦使用獨立辦公室網段，上述網段皆透過核心交換器連接，下列何項資產編號的最大可承受中斷時間（Maximum Tolerable Period of Disruption, MTPD）最可能評估錯誤？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.287 *

1 point

(單選題) 進行網路架構設計時，下列敘述何者「不」正確？
---
109-7
*

1 point

如果有開發系統應該要區分一個測試區

透過 Log Server 記錄各種警訊

採取 HA 機制需要多一台門禁系統

需要規劃備份機制與容量規劃

110 年 _ 題組 5
A 公司為先進資通訊產品代工製造商，為台灣股票公開發行公司，接受美國知名大廠 B 公司委託代為生產 B 公司所研發與設計商品，為了保護 B 公司的產品設計的機密與安全，A 公司在與 B 公司的製造的合約中，有嚴格的保密條款要求不得以任何型式洩露 B 公司的任何有關他們設計的產品資訊。A 公司也向 B 公司宣稱所有 B 公司委託生產製造的生產線皆採用獨立的生產線及網路實體隔離不與 Internet 連接（如下圖）。
B 公司生產環境的廠區 24 小時全面監控 IPCam 將錄影資訊留存於 A公司的 DVR 伺服器中，保存 6 個月之久，所有的管理帳中集中於 AAA伺服器中，由專人管理，絕對安全可靠。
此外，為方便管理 B 公司產線共用 A 公司的製造執行系統 MES（Manufacturing Execution System），提供自動化的製造排程與即時的圖表式看板供產線管理人員及 B 公司相關人員即時監控實際的生產狀況，如有任何異常立即排除。
---
(題組題 5-1，單選題) 題組背景描述如附圖。某日 A 公司員工發現收到附圖的電子郵件勒索信，請問 A 公司是受到下列何組織/集團的加密勒索？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.?? *

1 point

Revil

Conti

DoppelPaymer

無法確認是否真的是加密勒索

我是附圖別選我

111 年 _ 題組 1
---
(題組題 1-3，單選題) 外部供應商與供應鏈進到公司，進行系統建置與維護，常常需要使用自行攜帶的設備與軟硬體裝置，你身為該公司的資安管理人員，依據 ISO27001 制度的外部供應商管理，下列敘述何者「不」正確？
---
教材內容：資訊安全管理系統 _ISO27001 P.12 *

1 point

外部供應商與供應鏈皆是長期合作，本是信賴夥伴關係，不需要特別檢查處置

進入公司前須檢查該外部供應商人員所使用的電腦，是否安裝防毒軟體且更新到最新版，並進行掃毒檢查

攜入的儲存裝置，例如: 隨身碟須經過掃毒分析與內容檢查

必須了解所攜入的物品使用目的及必要性

112 年第 1 次 _ 題組 3
某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及雲端監護系統的安全，該機構規劃導入零信任架構（Zero Trust Architecture）強化存取控制，解決行動式醫療車及行動加護病房的雲端即時監護系統。
---
(題組題 3-2，單選題) 背景描述如附圖。請問在建置行動式醫療車及行動加護病房的雲端即時監護系統的零信任，下列何者「不」是零信任（Zero Trust）架構的原則?
---
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

不管與哪個網路位置的裝置通訊都需確保安全

對於個別企業資源的存取要求，應以連線為基礎去判斷是否許可

所有的資料、設備與運算服務，都要被當作是主體 (Subject)

所有的資源的身分鑑別與授權機制，都要依監控結果動態決定

(複選題) 下列何者「不」是用來在建置資訊安全管理系統時，透過量化資安目標來協助組織瞭解是否落實所訂定之資安政策的做法？
---
109-17
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.25 *

1 point

全面導入資安管理系統

檔案伺服器每年中毒次數低於 2 次

密碼設定 12 碼，文、數字與符號混合

全面導入垃圾郵件過濾系統

Required

1 point

防火牆設定阻擋 TCP 21 埠

安裝資料庫稽核工具

安裝防毒軟體

D 重新設定路由器之路由表

(單選題) 規劃縱深防禦（Defense in Depth）時，我們常會採用多種不同面向的管控措施（Controls），下列何者屬於預防性存取管控措施（Preventative Access Control）？

108 年 _ 第 5 題
教材內容：資訊安全管理系統 _ 資安管理實務 P.173 *

1 point

側錄系統（Session recording system）

加密（Encryption）

備份（Backup）

入侵偵測系統（Intrusion detection system）

109 年 _ 題組 4
近來有愈來愈多公司更積極擁抱新興科技，期望透過更大量的科技應用，提升公司整體營運能力，也希望從中找到新的商機，強化公司競爭力。A 公司為著名電商公司，同時十分注重資訊安全，去年已完成全公司 ISO/IEC27001 導入與驗證，今年為強化公司競爭力，決議將公司主要電商網站由 IDC 機房移入雲端，同時相關辦公自動化服務（Office Automation, OA）也積極使用雲端 Solution。
根據上列資訊，請回答下列問題：
---
(題組題 4-2，單選題) 題組背景描述如附圖。因應資通系統使用雲服務，資通系統開始面臨新的風險，請問下列何種風險與資通系統在雲端環境的關聯度最高？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.260 *

1 point

Account hijacking

Insecure interfaces and APIs

Data breaches

Limited cloud usage visibility

(單選題) 關於安全架構規劃實務，下列敘述何者「不」正確？
---
108 年 _ 第 7 題

教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.260

1 point

企業政府多以租賃影印傳真系統方式提供服務，在年度回收更換影印傳真設備時，應對該設備硬碟暫存區進行清理，或依合約要求廠商硬碟交回租賃方回收銷毀處理

在公務場域內之公發（務）電腦或行動裝置，應加裝防毒防駭系統加以保護，委外廠商私帶裝置進入公務場域使用，亦需經過防毒掃描後放行

不論是多協定標籤交換（Multi-Protocol Label Switching, MPLS）或是 Site to Site VPN 所建立外點連線機制，都應建立各段的防火牆機制或網段政策

企業員工因出差在外連回單位電腦工作，可自行搭建虛擬通道（tunnel）連接公司內電腦與系統

111 年 _ 題組 1
---
(題組題 1-2，單選題) 若外部供應商攜入電腦，卻無法透過自帶智慧手機上網，且有使用網際網路需求，身為資安人員，需要對網路架構進行安全規劃，下列敘述何者正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

讓外部供應商直接使用公司員工座位區的有線網路上網

讓外部供應商直接使用公司內部無線網路上網

外部供應商電腦使用的網路應與公司內部網路完全隔開

有線網路必須以零信任原則嚴格限制非公司電腦可以接取使用

109 年 _ 題組 1

某公司的資安人員依據公司設備狀況規劃以下網路架構設計圖：

---
(題組題 1-2，單選題) 題組背景描述如附圖。承上題，若要進行網路架構改善，可採取下列何種強化措施？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.254

1 point

伺服器與資料庫應該區分在不同網段

增加一個 MAIL Server 做備援

採取 HA 機制多一台印表機

Mac 電腦應該要限制上網

111 年 _ 題組 3
常青公司主要的營運系統建置於北部的舊有廠房內，包含 2 百萬元的伺服器主機、儲存媒體、網路設備及先前採購的 8 百萬元可重覆安裝資訊系統軟體，提供公司辦公室、原廠房以及合作的供應商相關營運作業管理，因原有廠區周邊環境設施不夠完善，最近 5 年因為颱風與豪雨，已經造成 3 次系統運作中斷和 1 次淹水損壞所有資訊系統設備；公司於南科建置的新廠將在年底落成，總經理要求資訊部門主管開始著手規劃未來長期業務持續管理 (Business Continuity Management, BCM），並且評估未來如果再發生障礙時，復原時間目標（Recovery Time Objective, RTO）不大於四小時的可行方案。
---
(題組題 3-2，單選題) 題組背景描述如附圖。針對近年來的系統服務障礙記錄，原廠房資訊系統的預期年度損失（Annual Loss Expectancy, ALE）為多少?
---

教材內容：資訊安全管理系統 _ 營運衝擊分析 P.291

1 point

$10,000,000

$2,500,000

$1,600,000

$400,000

(單選題) 實施風險控制措施（Risk Control）的目的為下列何
者？
---
110-12
教材內容：風險管理實務 _ 風險分析與評估 P.269 *

1 point

消除風險並消除損失的可能性

降低風險並減少損失的可能性

消除風險並減少損失的可能性

降低風險並消除損失的可能性

(單選題) 資訊單位導入新企業資源規劃系統（ERP System）進行系統安全評估時，應評估下列哪些項目？
1. 系統安全性評估
2. 容量管制評估
3. 實體環境安全
4. 使用者功能性需求評估
---
111-12
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.223 *

1 point

123

134

1234

110 年 _ 題組 1
A 集團是全球知名飯店集團，目前在全球超過 120 個國家，擁有約 6千家旅館，旅館遍及亞洲、美洲、歐洲等地，並於 2016 年收購位於美國紐約的 BB 酒店。在 2018 年，BB 酒店房務系統遭駭客入侵造成 3億多筆個資，已知外洩資料中，包含客戶的姓名、通訊地址、電話號碼、電子信箱、護照號碼、出生日期、性別等資料。經查發現，這並不是 BB 酒店第一次遭駭客入侵而外洩客戶資料，早在 2014 年，BB 酒店就曾發生過客戶個資外洩事件。
---
(題組題 1-4，單選題) 題組背景描述如附圖。A 集團在事前投保網通保險（Cyber Insurance），可使損失有效降低，關於網通保險，下列敘述何者「不」正確？
---

*

1 point

屬於風險處理中的風險分擔（Risk Sharing）

可將處理事發後的成本納入保單範圍

可將商譽損失納入保單範圍

可將後續訴訟成本納入保單範圍

(單選題) 某公司新增了一業務型態，員工（20 員，每員配置筆電乙部以及隨身硬碟乙顆）必須至客戶端長期駐點處理有關受託業務，並於客戶端透過網際網路連線回公司內部網路處裡公司相關業務，為了降低此一新增業務型態所衍伸出來的資安風險，該公司正評估採取有效的控制措施來降低此風險，請問下列控制措施何項較無法降低此風險？
---
112-17
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.238 *

1 point

網站應用程式防火牆（Web Application Firewall, WAF)

端點偵測及應變機制（Endpoint Detection and Response, EDR)

虛擬私有網路（Virtual Private Network, VPN)

防毒軟體（Antivirus Software)

112 年第 1 次 _ 題組 5
風險管理是資訊安全的核心，對於風險的識別、策略面對於風險的危險的計算均來自於有效的風險管理。您是一位資訊安全管理人員，公司的資訊資產無論是管理、技術或營運都須由你來進行規畫，你發現由人事單位所執行的 EIP(Enterprise Information Portal) 開發一案，承辦廠商
無法提出任何技術性檢測報告，上線進入測試階段時，你發現該站台上有非常嚴重的 SQL Injection、XSS、CSRF…等網站應用程式弱點，你試圖要透過合約中規範開發廠商基於安全性問題，必須提供無償 20%程式碼修改的服務。

但基於你於此類技術性風險識別後，發現此類問題為非常低級錯誤，但在現在階段進行修補曠日廢時，而 CEO 要求你針對此類風險進行評估，必須避免重複花費，且可接受採用現有公司防護資訊設備進行保護。經過盤點，你基於一個月內能進行降低風險的解決方案包含：

1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60% 的防護效益

2. 要求乙方應對安全性問題提出改善計劃，但需三個月的時間
3. 另外尋求外包資源針對發現的資安問題進行修補，需額外花費超過本案 50% 的金額
4. 透過 MSSP Managed Security Service Provider）提供監控 EIP 服務即早預警入侵事件，需額外花費本案 25% 的費用

5. 設定網站伺服器平台提供過濾 URI Uniform Resource Identifier）字串功能，可提供 85% 的防護效益
---
(題組題 5-3，單選題)
題組背景描述如附圖。CEO 所要求的風險處理原則，是在選擇控制措施前必須先考量到成本效益 (Cost Effective) 因此第一步就是金錢利益分析（Cost/Benefit Analysis），計算出保護措施的總價值，這類的風險處理稱之為降低風險。請問下列何項降低風險的敘述最為適當？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264

1 point

風險處理必須降到為零為止

透過一系列的控制措施，將衝擊降到可以被規避為止

選擇投入最少花費的控制措施，將風險降至擁有者 (Owner) 可接受為止

投入降低風險比例最大的控制措施，將風險降至接近零為止

109 年 _ 題組 1

某公司的資安人員依據公司設備狀況規劃以下網路架構設計圖：

---
(題組題 1-4，單選題) 題組背景描述如附圖。若要設定防火牆內對外的連線，僅開放對外的服務及網頁瀏覽，下列何者正確？
---
教材內容：No

1 point

Allow all

Allow http port 80

Allow http port 1443

Deny smtp 125

(單選題) 在進行職務規劃時，下列何種情境宜優先考量是否有職務區隔（Segregation Of Duties, SOD）之設計？
---
108 年 _ 第 4 題

教材內容：資訊安全管理系統 _ 資安管理實務 P.150

1 point

執行資安內部稽核時，業務人員負責查核資訊單位的資安事故通報作業流程

程式設計人員於程式上架更新時，應在負責更新系統程式的資訊部門待命

採購人員於向廠商下單訂購前，應在庫存系統確認庫存數量

人力資源部門主管，負責人資資訊系統之更新與維護

110 年 _ 題組 3
C 公司已投入電子商務 2 年，雖然疾情對既有傳統商務有些微影響，但是整體電子商務營運仍持續成長，並且已達到必須增建機房設施與系統容量之際，身為資訊部門的主管，您必須要在擴充資訊系統之際，同時規劃兼顧提昇系統資訊安全的任務，請就上述情境回答下列問題。
---
(題組題 3-3，複選題) 題組背景描述如附圖。依據行政院技術服務中心 109 年第 4 季資通安全技術報告，統計分析現況資安威脅發現，以「非法入侵」（占 56.39%）類型為主，排除綜合類型「其他」外，其次分別為「設備問題」（占 12.78%）」與「網頁攻擊（占 6.77%）」為主要通報類型。請問下列哪些作為可以大幅減少 C 公司電子商務的資安威脅？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.36 *

1 point

建立完整的帳號管理與密碼規範，並重新檢視各系統所有使用的操作權限，將權限設定最小化強化帳密管理

確認做好 DMZ 區域與內網安全存取管理，將網頁服務與資料庫分區管理，減少交易資料與個資洩漏

電子商務軟體進行軟體弱點掃瞄，且針對程式弱點進行網頁程式修改，減少商業邏輯漏洞

結合 IPS 入侵防禦系統、WAF 應用程式防火牆、AV 防毒系統、郵件防護系統建構多層次防禦架構

Required

1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60% 的防護效益

5. 設定網站伺服器平台提供過濾 URI Uniform Resource Identifier）字串功能，可提供 85% 的防護效益
---
(題組題 5-4，複選題) 題組背景描述如附圖。因人事單位發包的員工入口網弱點事件，發現公司內部的系統發包規範未有一個有效的管理規範，以導致本項問題，在公司組織內無設置CIO/CISO 及資安專責人員的制度，造成資訊安全問題層出不窮，因此公司決定要導入資訊安全管理系統制度進行管理，目前已完成資訊資產盤點，透過內部議題討論後發現，除了無資安專責人員以外，亦無有效管控資安風險的資訊資產。請問下列哪些可以有效的提升這些資訊軟體取得之前的安全強度？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264

1 point

建立合約範本，將相關檢測需求明文規範

定期執行已發包專案合約內容審查

設立資安專責單位並將相關需求交由該專責單位查驗

驗收後定期執行各項檢測並要求廠商辦理技術移轉教育訓練

Required

112 年第 1 次 _ 題組 2
某公司資訊系統管理人員發現該公司 SQL Server 有些異常現象發生，經檢視相關 SQL Server 之紀錄檔之後，並未發現足以支撐該管理人員對此異常現象發生原因之推論，惟該管理人員可以判斷的是，這個異常現象應該是人為的因素比較大，因此，管理人員為了確認 SQL Server 異常現象的發生是其所判斷的「人為因素」所產生。
---
(題組題 2-3，單選題)
題組背景描述如附圖。當管理人員分析網路封包發現來自於外部的 IP 位址在深夜的時候連接至該公司的內部網路並進入該SQL Server 下了一些破壞性的 Command，因此，就將先前封存的網路封包帶至公司附近的警察局進行報案，而受理的警察在第二天就將案發當天深夜從外部 IP 位址連接至該公司內部網路 SQL Server 進行破壞的案件當事人找到，並確認了案件當事人為該公司最近離職的 MIS 經理。請問對於警察為什麼可以在短短的時間內就可以找到案件當事人的敘述，下列何者最「不」可能？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.238 *

1 point

因為網路封包的內容有案件當事人進入 SQL Server 使用的帳號

因為網路封包的內容有案件當事人進入 SQL Server 使用的外部IP 位址

因為網路封包的內容有案件當事人進入 SQL Server 的 MFA Token

因為網路封包的內容有案件當事人在 SQL Server 所下的Command

112 年第 1 次 _ 題組 3
某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及雲端監護系統的安全，該機構規劃導入零信任架構（Zero Trust Architecture）強化存取控制，解決行動式醫療車及行動加護病房的雲端即時監護系統。
---
(題組題 3-3，單選題)
題組背景描述如附圖。關於建置行動式醫療車及行動加護病房雲端即時監護系統的零信任架構與角色敘述，下列何者錯誤？
---
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

政策引擎（Policy Engine, PE）與政策管理者 (Policy Administrator, PA) 位於政策決策點 (Policy Decision Point, PDP)中

政策落實點（Policy Enforcement Point, PEP），可以是網路防火牆或監視系統

持續診斷與緩解系統（Continuous Diagnostics and Mitigation,CDM）的工作是持續收集企業數位資產的狀況，以作為政策引擎（Policy Engine, PE）評估放行與否的參考

信賴評估演算法可以是條件（Criteria-based）為基礎或以分數（Score-based）為基礎

112 年第 1 次 _ 題組 2
某公司資訊系統管理人員發現該公司 SQL Server 有些異常現象發生，經檢視相關 SQL Server 之紀錄檔之後，並未發現足以支撐該管理人員對此異常現象發生原因之推論，惟該管理人員可以判斷的是，這個異常現象應該是人為的因素比較大，因此，管理人員為了確認 SQL Server 異常現象的發生是其所判斷的「人為因素」所產生。
---
(題組題 2-4，複選題) 題組背景描述如附圖。公司高層因為此一資安事件進行了事後的檢討，要求必須降低此一資安事件發生之風險，以防止類似案再次發生，請問下列哪些是正確的控制措施？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.238 *

1 point

建立內部資訊安全管理制度並發布與確實施行

對於離職人員應及時將其所使用之帳號停用或刪除

重新調整防火牆政策以阻擋所有對資料庫的連線

進行內部資訊安全教育訓練與資安意識宣導

Required

(單選題) 關於資訊安全事故管理，下列敘述何者「不」正確？
---
110-3
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.25 *

1 point

系統管理人員於組織內發現駭客侵害行為，為避免擴大危害，應自行調整流程，先處置並降低影響後再通報

可建立網站資安事故的通報平台，鼓勵外部人員（使用者、客戶）進行資訊安全事故通報

應加入條文要求委外廠商即時回報該公司所發現之資安事故或案件，以利組織迅速回應

針對員工所通報之資訊安全事件，組織除即時處置外，也需評鑑其是否為資安事故; 若為事故則需分析其成因並取得改善方式，以降低再度發生之可能性

110 年 _ 題組 2
實務上，資訊安全架構規劃並不侷限在網路（Network Security）與端點（End Point）的安全架構，亦包含實體安全（Physical Security）架構、軟體開發（Software Development）安全架構、服務（Service）環境安全架構、以及專案資訊系統（Information System）安全架構、資訊安全制度（含維運作業）架構…等若您為 IC 設計公司的資安工程師，負責端點（End Point）安全架構，舉凡 PC、Laptop、Printer、Server、FAX、Copy Machine、Smartphone 等都是端點及其附屬周邊（USB、Bluetooth、紅外線）都有控管記錄或禁用。
公司已嚴格控管網路、電子郵件發送、禁止攜入手機、儲存裝置與Wi-Fi，印表機等輸出裝置都有備份紀錄外且採用金屬保密紙，無法連接外部網路，外接儲存裝置與讀卡機也禁用，出入口亦都有金屬探測門檢查，全公司電腦採用 Windows OS，因為 IC 設計仍會用命令列介面（Command-Line Interface, CLI）形式操作第三方客戶提供的Linux 開發板，但卻出現公司研發機密資料外洩給競爭對手事件，請就上述情境回答下列問題。
---
(題組題 2-4，單選題) 題組背景描述如附圖。承上題，該資訊系統已經上線進入維運階段，通常需求建議書（Request for Proposal, RFP）會要求該專案保有 10%～15% 新功能擴充設計的條款，以滿足該資訊系統對外服務實際需要。維運階段必須有一個功能版本與上線系統功能一致的測試系統網站，來驗證維運時期的新增程式功能。軟體開發工程師必須將新開發程式放上該測試網站，提供政府一級單位（甲方）進行驗證，驗證通過後更新到正式系統。當您在面對維運階段的資訊安全制度（含維運作業）架構時，下列敘述何者正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.48 *

1 point

該測試系統應對外開放，以利甲方進行測試驗證

軟體開發工程師開發好程式後，應放在測試系統提供測試，不需要再進行黑白箱檢測

測試系統上的測試資料，必須是經過甲方同意後的混淆假資料

甲方在測試系統驗證完成後，對該系統進行程式更新，此時不需要進行任何 ISMS 安全變更程序

(單選題) 下列何者最能說明系統角色權限存取控制（Role-Based Access Control, RBAC）？
---
110-01
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.143 *

1 point

允許系統管理者決定誰能不能夠存取相關資源

採用集中存取控制方法，系統管理者可不需要依使用者部門來進行存取控制設定

可依據系統使用者的工作任務，設定與變更人員操作存取權限，也可於使用人員任務異動時撤銷不需要的授權功能

主要作為執行企業資訊系統的安全策略、資安標準和作業管理指南

(單選題) 某公司 EIP 系統，建立在 ESXi5.0 虛擬環境中，EIP虛擬機硬碟容量 500GB，已經使用 200GB，近期實體硬體主機發生不定時重新開機，屬舊型主機，面板看出燈號已經亮起，卻無相關資訊，最後發現 RAID 卡電池膨脹故障，關於風險處理程序與分析，下列敘述何者較「不」適當？
---

108 年 _ 第 10 題

教材內容：無，實務應變題

1 point

應將 ESXi5.0 系統掛入不同版本的 VCenter 系統中，將其遷移至其他虛擬主機，以確保正常運作

實體主機面板警示燈號亮起，卻無資訊可分析，應接入 Console設法連線主機，取出警示錯誤訊息，進行判讀

RAID 卡電池故障，應先將虛擬機移至其他主機後，才能再進行RAID 卡電池更換

應先確認相關備份作業是否完成，且可被復原，才進行 EIP 系統遷移

111 年 _ 題組 5
下圖為密碼學中常見的一種加密系統，請根據圖中資訊回答下列問題：
---
(題組題 5-3，單選題) 題組背景描述如附圖。在步驟 3. 之中，接收者應使用何種 Key 來進行解密以獲得共享金鑰
（symmetric key)?
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

傳送者的公開金鑰（public key of sender)

傳送者的私密金鑰（private key of sender)

接收者的公開金鑰（public key of receiver)

接收者的私密金鑰（private key of receiver)

110 年 _ 題組 4
D 公司主要業務為提供客戶雲端存儲服務，基於對客戶的保障，已通過ISO/IEC 27001 驗證，並訂定資安政策及資安目標，其中一項資安目標為提供客戶存儲服務系統，中斷服務不可超過 4 小時，因此相關系統及環境皆依此標準建置。
2020 年初，因疫情影響，公司評估此為重大事件，發現先前制定的分艙分流計畫不足以因應現況，故決議導入居家辦公系統，以便在公司受到疫情影響無法進入公司辦公時，能有效維運存儲服務系統，不中斷對客戶的服務，並於同年 4 月完成系統建置，讓系統維運及公司人員可透過此系統進入公司內網進行工作並對客戶提供服務。
因 D 公司因應得宜，受到某重要客戶青睞，於 2020 年 6 月與該重要客戶簽約提供資料存儲服務，合約中載明系統中斷不可超過 1 小時，公司評估未來營運成長需求，決定對提供客戶存儲服務之系統，設置異地備援之存儲服務系統，且主機房存儲服務系統中斷時，可自動切換至異地存儲服務系統，以避免區域性災難與滿足客戶要求。
---
(題組題 4-2，單選題) 題組背景描述如附圖。資訊單位負責導入居家辦公系統，進行系統安全評估時，評估考量項目應包括下列哪些評估事項：
1. 功能性需求評估
2. 供應商評估
3. 系統安全性評估
4. 容量管制評估
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.223 *

1 point

123

234

111 年 _ 題組 1
---
(題組題 1-4，複選題) 許多大型敏感的產業，嚴格限制外部供應商與供應鏈攜帶智慧型手機進入公司，下列嚴格限制的理由哪些正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

智慧型手機通常會有攝影鏡頭，擔心機密資料被拍照外洩

智慧型手機具有藍牙功能，亦可用來傳輸資料

智慧型手機可利用充電線，變成儲存裝置，用來竊取資料

通常企業對於長期外部供應商，會要求使用只有電話功能，無其他功能的手機

Required

108 年 _ 題組 3
-----
超能力公司於年初通過全公司 ISO/IEC27001 驗證，其中關於系統維運部分的相關政策，要求重要系統中斷時間不得超過 2 小時，所有重要系統及其相關支援環境皆依此標準建立。
超能力公司年中接獲開心買公司重要訂單，由公司負責提供環境建立並維護開心買公司網路訂購系統，並於合約要求該網路訂購系統若因該公司之問題中斷超過 3 分鐘，超能力公司需賠償開心買公司。
超能力公司據此將該系統判定為重要系統，並於既有重要系統支援環境導入此新架設的購物系統，並為該系統在原機房建立備援機制。
--------------
(題組題 3-3，單選題) 上述情境中，關於超能力公司決定要符合合約所述的系統維運規格，下列何種備援模式最為適合？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.175 *

1 point

Cold Site（冷備援）

Warm Site（暖備援）

Hot Site（熱備援）

依照題目所述之規劃即可

109 年 _ 題組 5
近ABC 公司導入 ISO/IEC27001 資訊安全管理系統，並透過第三方稽核單位執行部分單位驗證。內部公告且遵循之資安事件（故）通報與處理規範如下：
---
(題組題 5-2，單選題) 題組背景描述如附圖。ABC 公司其內部專責資安團隊對日誌進行關聯分析後，已有跡證顯示部分內部伺服器遭受駭客接管且取得系統管理者權限，下列敘述何者「最」正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.123
此題為送分題(詳細等級均有變更請參考講義中最新版) *

1 point

此受駭情況可能影響商譽，應由資安長裁示後續處置

已轉交專責資安團隊處理，不需要進行資安通報程序

此為內部系統受駭，進行通報並 48 小時處理完成即可

此受駭狀況非同小可，應於當日處理完成並每小時回報部門主管，待處理完成後再通知總經理

110 年 _ 題組 1
A 集團是全球知名飯店集團，目前在全球超過 120 個國家，擁有約 6千家旅館，旅館遍及亞洲、美洲、歐洲等地，並於 2016 年收購位於美國紐約的 BB 酒店。在 2018 年，BB 酒店房務系統遭駭客入侵造成 3億多筆個資，已知外洩資料中，包含客戶的姓名、通訊地址、電話號碼、電子信箱、護照號碼、出生日期、性別等資料。經查發現，這並不是 BB 酒店第一次遭駭客入侵而外洩客戶資料，早在 2014 年，BB 酒店就曾發生過客戶個資外洩事件。
---
(題組題 1-2，單選題) 題組背景描述如附圖。A 集團在併購前BB 酒店前未確認 BB 酒店於 2014 年已發生過訂房系統個資外洩，請問 A 集團可能違反下列何種原則？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.48 *

1 point

僅知原則（Need to Know）

僅用原則（Need to Use）

適度關注（Due Care）

盡職調查（Due Diligence）

108 年 _ 題組 5
-----
醫療設備大廠 XYZ 出產的兩款醫療設備，區域醫院 QAZ 為了即時取得醫療資訊，透過網路方式使用這兩款設備，安全廠商 ABC 在區域醫院QAZ 的安全測試時發現嚴重漏洞，可讓連上同一網路的攻擊者遠端變更系統設定，包括：藥劑、氣體、關閉警鈴和機器數值。但是 XYZ 強調這兩款設備並沒有網路連線能力，僅提供序列埠及 USB 認為漏洞並非出在機器本身，並未發布修補程式。安全廠商 ABC 聲稱雖然這兩款醫療設備本身沒有連網能力，但的確可由 TCP/IP 網路進行連線並下達指令。
--------------
(題組題 5-3，單選題) 上述情境中，醫療設備大廠 XYZ 應該為這個問題負整體責任嗎？
---
教材內容：無

1 point

需要，並應該推出新版韌體進行更新

需要，應協助解決連網問題

不需要，但需協助釐清問題並提出安全建議

不需要，安全廠商 ABC 說法太過牽強

108 年 _ 題組 4
-----
ABC 公司為了提高資安防護，全公司通過 ISO/IEC27001 驗證，並「每半年」安排一次後續稽核，以確保證書的有效性。此次外部稽核派了稽核員Kelly 負責執行三天的稽核，受稽的資訊單位主管 Tim 拿出一份資料表，其中部分資料如下：
--------------
(題組題 4-2，單選題) 上述情境中，
Kelly：請問貴公司，在風險評鑑的過程中，若發現有高於可接受風險等級（Acceptable Risk Level）的項目，接下來會怎麼處理?
Tim：我們會提出風險處理計劃，執行處理計畫後，再進行風險再評鑑（Re-Assessment），看是否有把風險降到可接受風險等級以下。
關於 Tim 的回答，下列敘述何者正確？
---
教材內容：風險管理實務 _ 風險分析與評估 P.311 *

1 point

Tim 回答的處理方式沒問題

有問題，風險再評鑑並不一定需要執行

有問題，風險再評鑑應在提出風險處理計畫後，即先執行

有問題，高於可接受風險等級的項目，應先詢問受影響資產的管理單位是否需處理，再決定是否提出風險處理計畫

110 年 _ 題組 2
實務上，資訊安全架構規劃並不侷限在網路（Network Security）與端點（End Point）的安全架構，亦包含實體安全（Physical Security）架構、軟體開發（Software Development）安全架構、服務（Service）環境安全架構、以及專案資訊系統（Information System）安全架構、資訊安全制度（含維運作業）架構…等若您為 IC 設計公司的資安工程師，負責端點（End Point）安全架構，舉凡 PC、Laptop、Printer、Server、FAX、Copy Machine、Smartphone 等都是端點及其附屬周邊（USB、Bluetooth、紅外線）都有控管記錄或禁用。

公司已嚴格控管網路、電子郵件發送、禁止攜入手機、儲存裝置與Wi-Fi，印表機等輸出裝置都有備份紀錄外且採用金屬保密紙，無法連接外部網路，外接儲存裝置與讀卡機也禁用，出入口亦都有金屬探測門檢查，全公司電腦採用 Windows OS，因為 IC 設計仍會用命令列介面（Command-Line Interface, CLI）形式操作第三方客戶提供的Linux 開發板，但卻出現公司研發機密資料外洩給競爭對手事件，請就上述情境回答下列問題。
---
(題組題 2-3，單選題) 題組背景描述如附圖。若您於事件結束後，轉換工作擔任某系統整合商（System Integration, SI）資安工程師，近期公司承接政府一級單位某資訊系統建置案，政府一級單位皆通過 ISO/IEC27001 認證，並在需求建議書（Request for Proposal, RFP）文件中要求：.
(1) 在系統上線前與保固期間該專案軟體必須每季通過 OWASPTop 10 安全檢測
(2) 相關程式源碼必須通過白箱檢測
(3) 系統上線前應修補與提出對應防護機制，來完成硬體、作業系統、Web Service（如：IIS7, Tomcat,WebLogic）漏洞
(4) 上線後還需經過第三方滲透測試。
若您要進行安全技術作業來滿足上述軟體開發安全架構、服務環境安全架構需求，下列敘述何者「不」正確？
---
教材內容：風險管理實務 _ 風險處理實務 P.48 *

1 point

建議該單位通過 OWASP Top 10 安全檢測，通常可採用安全測試工具，如：Acunetix、WebInspect

可採用白箱檢測（white-box testing），又稱（Source Code Analysis）工具，可以分析已經 Compile 後的執行檔程式，如：Fortify、IDA Pro

在 Web 服務的防護對策，建議該單位採購網站應用程式防火牆（Web Application Firewall, WAF）來進行過濾攔阻攻擊行為，而WAF 有軟體式與硬體式規格

在滲透檢測（Penetrant Testing, PT）作業上，因為已經是上線對外服務的系統，在滲透攻入成功後，應嚴守不破壞該資訊系統程式與資料

(單選題) 關於監控中心（Security Operations Center, SOC）的發展與建置規劃，下列敘述何者「不」正確？
---
110-8
教材內容： None *

1 point

SOC 建置重點於主動化、自動化、智能化，主要的關鍵技術是巨量資料分析與機器學習的導入

SOC 核心三元素為：人員、程序、科技，而科技的導入在於輔助人員依相關作業程序完成任務

SOC 提供監控與管理資訊安全系統與設備、執行定期網路安全掃描、防火牆、防毒系統之架設、設定與管理等服務

SOC 工作包含應用程式碼的解析、程式壓力測試與報告

110 年 _ 題組 1
A 集團是全球知名飯店集團，目前在全球超過 120 個國家，擁有約 6千家旅館，旅館遍及亞洲、美洲、歐洲等地，並於 2016 年收購位於美國紐約的 BB 酒店。在 2018 年，BB 酒店房務系統遭駭客入侵造成 3億多筆個資，已知外洩資料中，包含客戶的姓名、通訊地址、電話號碼、電子信箱、護照號碼、出生日期、性別等資料。經查發現，這並不是 BB 酒店第一次遭駭客入侵而外洩客戶資料，早在 2014 年，BB 酒店就曾發生過客戶個資外洩事件。
---
(題組題 1-3，單選題) 題組背景描述如附圖。BB 酒店洩漏的個資還包含客戶信用卡資訊，根據發卡銀行要求，下列何種個人資訊最不應被儲存？
---

*

1 point

信用卡用戶姓名（Name）

信用卡有效期限（Expire Date）

信用卡號碼（Card Number）

信用卡安全碼（Security Code）

(單選題) 關於資訊安全模型（Security Models）中的強制存取控制（Mandatory Access Control,MAC），下列敘述何者「不」正確？
---
109-8
教材內容：資訊安全管理系統 _ 資安管理實務 P.143 *

1 point

依據事前定義（Pre-defined）主體（Subject）的安全等級和被存取物件（Object）機敏等級來決定是否可以存取

安全強度較自主存取控制（Discretionary Access Control, DAC）高

傳統的 Unix 系統使用者（Users）、群組（Groups）和讀-寫-執行（Read-Write-Execute）管控，即為 MAC 的一種實作

安全政策（Policy）由安全政策員（Security policy administrator）集中管控

(單選題)AAA 公司網站常受駭客入侵，網站風險問題一直居高不下，關於降低網站風險問題處理實務，下列做法何者較為正確？
---
111-13
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

連線至後台管理系統的帳號密碼不需要區隔讀取與寫入刪除資料庫權限區隔

公司網站應定期進行網站黑箱檢測以及系統弱點掃描，對程式碼應進行 Code Review

工程師在系統上直接更新新版程式，可先將舊版程式改名成 bak作為歷史留存在官網系統中，以便日後改錯後有原始程式碼做修正使用

網站已經建立網站應用程式防火牆（Web Application Firewall, WAF）系統，其主機作業系統則不需要再升級更新

108 年 _ 題組 1
-----
某上櫃企業已通過 ISO/IEC27001 認證，於某上班日發現公司半數同仁AD 帳號遭到鎖定，無法使用 AD 帳號密碼登入電腦系統。MIS 進行AD 解鎖後，同仁隨即再次被鎖定無法登入，慌亂初期 MIS 採取區域性斷網，依然無效。
隨即分析 AD 主機事件記錄，發現都是 Exchange Server 所造成，進一步分析防火牆記錄，發現大量外部 access OWA 的 443Port 登入失敗，有多個來源遠端攻擊者裝置嘗試入侵 Web Mail 系統失敗，類似「DDoS」與「密碼暴力攻擊」。
MIS 採取緊急應變措施，阻斷相關攻擊者裝置 IP。可是每隔一段時間會自動換成其他國家地區 IP 持續入侵攻擊，MIS 進一步將境外非台 IP全面禁止，以短暫維持運作。但相關攻擊來源竟轉換台灣地區 IP。MIS進一步採取關閉用外部開放使用 Exchange OWA 服務，要求公司外部活動人員須以 VPN 方式，建立裝置放行白名單方式，進行 Exchange郵件登入作業。而 VPN 依群組方式申請建立不同放行權限，非全面開放。
並對來自台灣的攻擊裝置主機，進行反查，確認其管理公司以及人員，進行對主管機關進行資安通報，聯繫該攻擊方 IP 公司進行相關處理。該公司隨即停用該主機，重新安裝，中斷 C&C 在台灣中繼站，國外攻擊者 IP，則以E-mail 通知，並於事件發生期間，全面中斷境外相關連線，直到改善為止。
--------------
(題組題 1-1，單選題) 上述情境中，關於事件發生當下之敘述，下列何者正確，且符合 ISO/IEC27001 相關制度？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.106 *

1 point

依據資安通報流程，應通報「資安官」、「資安主管」告知事件之危害以及可能處置對策

應要求相關同仁，停止登入，將相關電腦重新安裝作業系統

通知證交所發布公司重大訊息

指責委外廠商沒辦理好相關委外工作

(單選題) 關於風險分析與評估之敘述，下列何者錯誤？
---
112-26
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

公司最好至少每年定期執行一次風險評鑑

公司營運重大改變時，應進行風險評鑑

重大風險項目完成風險回應後，不需進行風險再評估

進行風險分析與評估前，應先了解相關背景資訊（例如：法規要求、技術環境)

108 年 _ 題組 2
-----
A 公司為一中小型 3C 電器設備販售商，服務客群除國內之外（總公司），觸角亦已開拓至歐洲（分公司），目前以O2O（OnlineToOffline）營銷模式進行商品販售。
為刺激商品販售動能，該公司於每季均提供會員參加抽獎活動，依據抽獎結果以電子郵件方式通知中獎之會員，並將所獲獎品寄送至會員指定之地址。

另該公司為強化各業務活動之效能，因此採購了一批相關軟、硬體設備（軟、硬體設備資料詳如附錄一），以滿足公司自動化與資訊化的作業需求。
（附錄一）

I 軟體明細:
。i 作業系統
。 ii 伺服器軟體
。 iii 資料庫軟體
。 iv 防毒軟體
。 v 客製化 ERP 系統
II 硬體明細:
。 i 行政電腦硬體
。 ii 伺服器硬體

--------------
(題組題 2-2，單選題) 上述情境中，關於該公司為避免個資外洩之風險發生，公司高層指派有關部門之同仁針對前述要求進行之處理，下列敘述何者較「不」正確？
---
教材內容：無 *

1 point

將個資外洩風險轉移至保險公司

購買資安設備並進行參數之正確設定

進行個人資料之盤點

協調會計部門保留預算

108 年 _ 題組 1
-----
某上櫃企業已通過 ISO/IEC27001 認證，於某上班日發現公司半數同仁AD 帳號遭到鎖定，無法使用 AD 帳號密碼登入電腦系統。MIS 進行AD 解鎖後，同仁隨即再次被鎖定無法登入，慌亂初期 MIS 採取區域性斷網，依然無效。
隨即分析 AD 主機事件記錄，發現都是 Exchange Server 所造成，進一步分析防火牆記錄，發現大量外部 access OWA 的 443Port 登入失敗，有多個來源遠端攻擊者裝置嘗試入侵 Web Mail 系統失敗，類似「DDoS」與「密碼暴力攻擊」。
MIS 採取緊急應變措施，阻斷相關攻擊者裝置 IP。可是每隔一段時間會自動換成其他國家地區 IP 持續入侵攻擊，MIS 進一步將境外非台 IP全面禁止，以短暫維持運作。但相關攻擊來源竟轉換台灣地區 IP。MIS進一步採取關閉用外部開放使用 Exchange OWA 服務，要求公司外部活動人員須以 VPN 方式，建立裝置放行白名單方式，進行 Exchange郵件登入作業。而 VPN 依群組方式申請建立不同放行權限，非全面開放。
並對來自台灣的攻擊裝置主機，進行反查，確認其管理公司以及人員，進行對主管機關進行資安通報，聯繫該攻擊方 IP 公司進行相關處理。該公司隨即停用該主機，重新安裝，中斷 C&C 在台灣中繼站，國外攻擊者 IP，則以E-mail 通知，並於事件發生期間，全面中斷境外相關連線，直到改善為止。
--------------
(題組題 1-3，單選題) 上述情境中，可通報下列何種單位較為合宜？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.102 *

1 point

通報「行政院資安處」

通報「資策會資安所」

通報「工研院資通所」

通報「TWCERT/CC 台灣電腦網路危機處理暨協調中心」

(複選題) 關於風險分析及風險評估議題的敘述，下列哪些正確?
---
112-28
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

風險評估的過程，須將目前已實施的措施結果納入考量

風險分析時產出的後果與可能性的評估方式應定義清楚

風險識別僅需將與機密性有關風險識別清楚

以風險評鑑工具直接執行的過程與結果皆須留存紀錄

Required

111 年 _ 題組 3
常青公司主要的營運系統建置於北部的舊有廠房內，包含 2 百萬元的伺服器主機、儲存媒體、網路設備及先前採購的 8 百萬元可重覆安裝資訊系統軟體，提供公司辦公室、原廠房以及合作的供應商相關營運作業管理，因原有廠區周邊環境設施不夠完善，最近 5 年因為颱風與豪雨，已經造成 3 次系統運作中斷和 1 次淹水損壞所有資訊系統設備；公司於南科建置的新廠將在年底落成，總經理要求資訊部門主管開始著手規劃未來長期業務持續管理 (Business Continuity Management, BCM），並且評估未來如果再發生障礙時，復原時間目標（Recovery Time Objective, RTO）不大於四小時的可行方案。
---
(題組題 3-3，單選題) 題組背景描述如附圖。為了符合公司持續營業的需求，在本次業務持續管理中將考量增建異地備援的需求，以解決先經歷長時間營運中斷的窘境，針對評估小組提出的以下方案，請問在不考量建置成本的情況下，下列何者為最佳選擇？
---

教材內容：資訊安全管理系統 _ 替代場地選擇 P.250

1 point

在新廠房規劃建置冷備援（cold sites）方案

租用網路數據中心空間規劃建置暖備援（warm sites）方案

在新廠房規劃建置熱備援（hot sites）方案

租用網路數據中心空間規劃建置全備援（mirrored sites）方案

(單選題) 關於風險接受（Risk Acceptance），下列敘述何者「不」正確？
---
110-11
教材內容：風險管理實務 _ 風險分析與評估 P.269 *

1 point

在風險影響與處理對策之間取得平衡，決定組織可接受之風險值

高於可接受的風險值，應優先控管或處理

用於決定是否接受某風險

風險控制措施即是緩解風險的途徑

108 年 _ 題組 5
-----
醫療設備大廠 XYZ 出產的兩款醫療設備，區域醫院 QAZ 為了即時取得醫療資訊，透過網路方式使用這兩款設備，安全廠商 ABC 在區域醫院QAZ 的安全測試時發現嚴重漏洞，可讓連上同一網路的攻擊者遠端變更系統設定，包括：藥劑、氣體、關閉警鈴和機器數值。但是 XYZ 強調這兩款設備並沒有網路連線能力，僅提供序列埠及 USB 認為漏洞並非出在機器本身，並未發布修補程式。安全廠商 ABC 聲稱雖然這兩款醫療設備本身沒有連網能力，但的確可由 TCP/IP 網路進行連線並下達指令。
--------------
(題組題 5-4，單選題) 上述情境中，依據我國《資通安全責任分
級辦法》，醫院 QAZ 應屬於下列資通安全責任分級的哪一級？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.106

1 point

A 級

B 級

C 級

D 級

109 年 _ 題組 3
為因應 2019 冠狀病毒疾病疫情，中央防疫中心也提升至一級開設，對此，金管會表示，國內銀行業也積極因應，目前已有 13 家銀行採取異地辦公，A 銀行決定將資訊部門的系統管理人員及其代理人分別安排在不同的辦公地點辦公。
根據上列資訊，請回答下列問題：
---
(題組題 3-2，單選題) 題組背景描述如附圖。關於 A 銀行異地辦公地點的考量及選擇，下列敘述何者較「不」正確？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.283 *

1 point

應與系統異地備援的設置位置一致

可依營運衝擊分析後的流程或服務的重要性來決定哪些角色需要異地辦公

隨著資訊科技的進步，異地辦公的選擇應著重在工作的執行，而不是辦公室地點的選擇

如系統發生異地中斷，系統管理員可由遠端連線操控，應可考量採居家辦公

(單選題)「依據我國《資通安全管理法施行細則》條文中規定，下列何者「不」是資通安全維護計畫應（或強制要求）包括的事項？
---
111-11
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.106 *

1 point

核心業務及其重要性

資通安全稽核組織

資通安全政策及目標

專責人力及經費之配置

(複選題) 某政府一級單位官網，交付政府維運機房代管，要求服務層級協議（Service Level Agreement, SLA）99.99% 服務水平，監測發現該政府官網，固定在每週週一，半夜 12:00 會自動停止服務 30 分鐘。該事件已經持續半年之久，因發生在半夜不易被人員發現。半年後才因民眾發現告知該單位有此問題，風險問題排除過程中：
(1)IIS Web Server 都服務正常；
(2)MS-SQL 資料庫服務也正常；
(3) 防火牆也未變動其政策；
(4) 檢查相關排程程有每月一次定期備份檔案到 D 磁碟某目錄；
(5) 在檔案異動上發現有多了一個 Lcx.exe 惡意程序放在 Web Root 目錄；

若您是該單位 IT 系統維運工程師，若從上述情境選擇合宜的風險處置措施，下列敘述哪些較佳？
---
108 年 _ 第 20 題
教材內容：風險管理實務 _ 風險處理實務 P.311

1 point

長達半年未發現，是因為缺乏有效監管網站存活狀態，可利用工具建立監控機制，監控 Web Server、URL 連結、資料庫 1433通訊，就可以知道系統 SLA 狀態與降低中斷服務的風險

以 99.99% 服務水平標準來看，本次事件長達半年，以一年 365 天計算仍符合 99.99% 服務水平

在 Web root 目錄出現 lcx.exe，屬被駭客入侵的資安事件，必須先通知部會主管後，緊急補救風險處理

必須在「國家資通安全通報應變網站」進行通報

Required

109 年 _ 題組 5
近ABC 公司導入 ISO/IEC27001 資訊安全管理系統，並透過第三方稽核單位執行部分單位驗證。內部公告且遵循之資安事件（故）通報與處理規範如下：
---
(題組題 5-3，單選題) 題組背景描述如附圖。ABC 公司已於規範之時間內進行資料採證、分析、弱點修正與資料還原後，目前服務已恢復正常運作，下列敘述何者正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.293 *

1 point

服務恢復後應立即針對此事故執行風險評鑑，擬定資訊安全風險處理計畫並執行之

應對事故進行分析並了解可能成因，應用此知識來降低發生機率，或類似事件再發生所造成之影響

服務雖已恢復但無法確保未來不再受駭，應立即招開管理審查會議，討論與爭取改善措施所需資源

縱使服務恢復，但仍導致資訊安全關鍵績效指標無法達成，需立調整關鍵績效指標項目以確保合規性

(單選題) 網站遭遇入侵行為時，關於採取之風險應變處置及改善，下列敘述何者較「不」適當？
---
110-14
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.48 *

1 point

用防火牆或網站應用程式防火牆（Web Application Firewall,WAF）先暫時將此風險做偵測跟阻擋

採用弱點掃描工具或滲透測試服務驗證是否完成修補

使用原始碼檢測確認是否有其他類似弱點

先將網站備份，再進行資料復原作業

(單選題) 在進行營運衝擊分析（Business Impact Analysis, BIA）時，下列三項評估的先後順序為何？
1 產品與服務（Products and services）
2 流程（Processes）
3 活動（Activities）
---
109-13
教材內容：風險管理實務 _ 風險分析與評估 P.283 *

1 point

3->2->1

1->2->3

2->1->3

1->3->2

(單選題) 如附圖所示，關於營運持續管理（Business ContinuityManagement System, BCMS）的執行項目排序，下列何者較正確？
1 建立營運持續策略（Business Continuity Strategy, BCS）
2 撰寫緊急應變計畫（Emergency Plan）
3 撰寫營運持續計畫（Business Continuity Planning, BCP）
4 營運持續計畫演練（Business Continuity Planning Exercise）
5 執行營運衝擊分析（Business Impact Analysis, BIA）
---
109-12
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.297 *

1 point

1->2->3->5->4

5->1->2->3->4

5->2->3->1->4

1->2->3->4->5

108 年 _ 題組 4
-----
ABC 公司為了提高資安防護，全公司通過 ISO/IEC27001 驗證，並「每半年」安排一次後續稽核，以確保證書的有效性。此次外部稽核派了稽核員Kelly 負責執行三天的稽核，受稽的資訊單位主管 Tim 拿出一份資料表，其中部分資料如下：
--------------
(題組題 4-4，單選題) 上述情境中，Kelly：Tim，貴公司的風險管理與營運持續管理執行，似乎將兩個流程整併執行。Tim：是啊，因為這兩個流程，都需要識別重要的營運服務項目，也需要評鑑可用性的需求，加上營運衝
擊分析（Business Impact Analysis）與分析各種事件的風險評鑑（Risk Assessment）的關係也很密切，所以我們是合併在一起執行。
請問 Tim 所提到的
(I) 識別重要營運服務項目
(II) 營運衝擊分析
(III) 風險評鑑，最佳的執行順序為何？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.297

1 point

(I)(II)(III)

(I)(III)(II)

(II)(I)(III)

(II)(III)(I)

(複選題) 常見的資訊安全標準中，下列哪些標準可以為個人資訊保護或隱私資訊管理提供指引？
---
112-04
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25 *

1 point

ISO 27001

ISO 27701

BS 10012

IEC 62443

Required

109 年 _ 題組 2

某公司為一跨國企業，公司員工約10,000 人，所有員工皆配備一台筆記型電腦，身為資安專家的你，正在評估筆記型電腦的安全風險，並對公司高層提出建議。
目前已搜集到以下資訊：
每台筆記型電腦價值：30,000
筆記型電腦遺失，價值將 100%受損，每年遺失數量 10 台
同時，資安專家已完成資料防護軟體評估，以避免筆記型電腦遺失時對公司造成的損失，產品生命週期為四年，廠商報價如下：
全硬碟加密軟體：500,000，使用期間每年維護費用：75,000
遠端資料清除工具：100,000，使用期間每年維護費用：20,000
根據上列資訊，請回答下列問題：

---
(題組題 2-4，單選題) 題組背景描述如附圖。根據分析結果，資安專家應對公司提出下列何種建議？
---
教材內容：No

1 point

接受風險，購買防護軟體費用過高

導入資料防護軟體以降低風險

資料不足，需重新進行評估

接受風險，筆記型電腦遺失數量不多

(單選題)「商業公司使用防毒和反垃圾郵件機制，以保護公司的電子郵件系統。」請問上述屬於下列何種風險處理對策？
---
111-7
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

風險避免 (Risk avoidance)

風險保留 (Risk retention)

風險修改 (Risk modification)

風險分擔 (Risk sharing)

(單選題) 關於區塊鏈（Block chain）技術，下列敘述何者「不」正確？
---
108 年 _ 第 6 題
教材內容：資訊安全管理系統 _ 資安管理實務 P.217 、資訊安全管理系統 _ 資安管理實務 P.73 *

1 point

原始概念為去中心化的架構設計

比特幣的 Hash Chain 符合我國電子簽章法中數位簽章的描述

在實務上不容易竄改交易的內容

可採用工作量證明加強交易的不可否認性

(複選題) 某 AI 開發新創公司規劃在 Microsoft Azure 雲端建立「儲存體」存放公司資料，與美國分公司進行資料分享，希望依賴 Microsoft Azure 既有備份備援機制，並進行相關風險評估與技術應用需求，若從資訊安全管理系統評估提出適宜之備份方案，下列敘述哪些較佳？
---
108 年 _ 第 19 題

*

1 point

在雲端儲存體服務上 Microsoft Azure 提供本地備援儲存體（Locally-redundant storage, LRS）機制，不需要再建立可讀取備份機制

Microsoft Azure 提供異地備援儲存體（Geo-redundant storage, GRS），可以滿足異地備份安全規定，大幅降地風險，且分屬在不同地區，距離相距 300 公里以上

Microsoft Azure 亦提供更高階讀取權限異地備援儲存體（Read-access geo-redundant storage, RA-GRS），可以提供隨時讀取備份資料機制

Microsoft Azure 所提供 LRS，屬於即時同步備份機制，且備份成三份資料，而 GRS or RA-GRS 則屬於非同步備份機制

Required

(複選題) 關於風險分析及風險評估議題的敘述，下列哪些正確?(單選題)ISO/IEC 27005 於 2022 年 10 月發布最新版本，該版本與 2008 年版本的差異之一為風險識別的方式，其中 2008 年版為：基於 ___ ；2022 年版增加了：基於 ___。
---
112-27
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

事件（event）；資產 (asset)

威脅（threat）；事件 (event)

資產（asset）；風險 (risk)

資產（asset）；事件 ( event)

111 年 _ 題組 2
迪菲-赫爾曼密鑰交換（Diffie-Hellman Key Exchange, D-H）是一種金鑰交換方法，其能夠讓通訊雙方在公開通道上建立金鑰，並且使用該金鑰在後續的通訊中作為共同金鑰來加密訊息內容。若小美和小明想要使用這個演算法來建立一個共同金鑰以利後續的訊息交換，則他們所使用的計算過程及參數如下所示：
圖1
根據此式，小美和小明可以先各自選定私鑰 a 和 b，並搭配公開資訊 g與 p 來計算得到共同金鑰 K。假設小美為金鑰交換的發起端，則金鑰建立流程如下所示：
在步驟 5. 以後，雙方皆得到一個相同的金鑰 K 可作為後續訊息交換使用。
---
(題組題 2-2，單選題) 題組背景描述如附圖。此時若有第三人小華獲知了雙方於公開通道中的通訊內容，在私鑰沒有外洩並且通訊內容未遭受攻擊與竄改的情況下，關於三人可獲取的資訊，下列何者正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

g 和 p：小美知道，小明知道，小華不知道

a：小美知道，小明知道，小華不知道

b：小美不知道，小明知道，小華不知道

K：小美知道，小明不知道，小華知道

112 年第 1 次 _ 題組 1
A 公司為某先進產品的製造商，該公司主要據點 B 與 C 分散在國內兩地，距離約 20 km，其主要客戶位於歐洲地區，該公司十分重視資訊安全及品質管理，先前已通過 ISO 9001、ISO 27001 及 ISO 27701 等相關標準的驗證。據點 B 主要主要包含的業務與技術服務部門，據點 C主要包含管理部門、資訊部門及相關研發、製造部門。
---
(題組題 1-1，單選題) 背景描述如附圖，該公司據點 B 與據點C 兩地的通訊，在成本考量下，最終分別租用業者 D 的網際網路接取服務，以連接網際網路（Internet）。近日業務部門的印表機突然印出紙本的勒索信，信中表示該公司的電腦已被駭客組織 E 入侵，需支付高額的金錢，否則將進一步把公司的電腦資料加密。經調查後發現，業務部門為了方便業務人員從公司外部直接列印資料，而私自將該部門的印表機設定使用公有 (IP Public Internet Protocol)，且部門中的其他電腦皆位於啟用(NAT Network Address Translation) 功能的防火牆後方，請問最有可能被入侵的網路節點？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

據點 C 中資訊部門的電腦

據點 B 中業務部門的電腦

據點 B 中技術服務部門的電腦

印表機遭惡意濫用

112 年第 1 次 _ 題組 3
某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及雲端監護系統的安全，該機構規劃導入零信任架構（Zero Trust Architecture）強化存取控制，解決行動式醫療車及行動加護病房的雲端即時監護系統。
---
(題組題 3-1，單選題) 背景描述如附圖。請問該醫療機構導入零信任（Zero Trust）優先進行的工作為下列何項?
---
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

建立零信任架構

瞭解現行的架構、設備與流程

建立政策決策點 (Policy Decision Point, PDP)

建立政策落實點 (Policy Enforcement Point, PEP)

110 年 _ 題組 3
C 公司已投入電子商務 2 年，雖然疾情對既有傳統商務有些微影響，但是整體電子商務營運仍持續成長，並且已達到必須增建機房設施與系統容量之際，身為資訊部門的主管，您必須要在擴充資訊系統之際，同時規劃兼顧提昇系統資訊安全的任務，請就上述情境回答下列問題。
---
(題組題 3-2，單選題) 題組背景描述如附圖。關於資訊安全管理系統 (Information Security Management System, ISMS) 提供的風險評鑑方法，藉由資產分類，並判斷其價值與重要性，作出弱點及威脅分析，進行風險分析、風險評估及風險處理的規劃流程，對 C 公司而言，在企業有限的資源下，下列何者在風險控管處理上較「不」適切？
---
教材內容：風險管理實務 _ 風險分析與評估 P.269 *

1 point

根據風險評估與業務營運衝擊做出的決定相關資安資源投入的多寡

風險評估完成後，所有風險項目必須擬訂風險改善計畫，明定管理階層的責任範圍與一般步驟處理

由風險值之高低決定風險控管之優先順序，風險處理對策應採取適當的控制措施與風險避免的方法，以達到降低風險發生機率或影響程度

極度危險的風險，就需要立即採取行動，高度危險的風險，管理階層需督導所屬研擬計畫並提供資源，但是發生機率低的項目可以採用風險分擔模式

(複選題) 關於系統存取控制管理規劃與執行，下列哪些項目適當可行？
---
111-17
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

公司企業資源規劃系統（ERP System）的權限申請，依照不同部門業務面向，須先經由負責部門主管審核。（例如：採購類權限申請須經採購主管審核）

公司依照各個基本職能於預先規劃其企業資源規劃系統系統使用權限，新進人員待用人部門主管確認後，通知權限管理人賦予其預設之權限，無須額外填單申請

公司所有系統原預設每半年進行權限檢核，本次風險評估後，其中某個系統因其重要性降低，經權責主管核准後，變更為每年進行權限檢核

公司規定委外廠商於外部連入公司內部網路，須申請以虛擬專用網路（virtual private network, VPN）方式為之，申請者使用完畢後，不需告知管理單位關閉其權限

Required

109 年 _ 題組 5
近ABC 公司導入 ISO/IEC27001 資訊安全管理系統，並透過第三方稽核單位執行部分單位驗證。內部公告且遵循之資安事件（故）通報與處理規範如下：
---
(題組題 5-4，複選題) 題組背景描述如附圖。若未來 ABC 公司新的核心系統屬於「資通安全管理法」所定義之特定非公務機關，其未涉及關鍵基礎設施維運之核心資通系統遭輕微竄改，下列敘述何者正確？
---

註記：本題應該第二級資通安全事件，應該 72 小時內完成復原作業，
所以題目送分！教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.123 *

1 point

為第一級資通安全事件，應於知悉事件後 72 小時內完成損害控制，並於指定時間內送交改善報告

為第二級資通安全事件，應於知悉事件後 48 小時內完成復原作業，並於指定時間內送交改善報告

為第三級資通安全事件，應於知悉事件後 36 小時內完成損害控制或復原作業，並於指定時間內送交改善報告

為第四級資通安全事件，應於知悉事件後 24 小時內完成損害控制或復原作業，並於指定時間內送交改善報告

(單選題) 如附圖所示，若將風險情境分為四個象限，關於四個風險處理的選擇，下列何者敘述較適切？
---
110-13
教材內容：風險管理實務 _ 風險分析與評估 P.269 *

1 point

象限 (一)：避免（Avoid），象限 (二)：降低（Reduce）

象限 (二)：降低（Reduce），象限 (四)：分擔（Sharing）

象限 (三)：分擔（Sharing），象限 (四)：避免（Avoid）

象限 (一)：避免（Avoid），象限 (二)：分擔（Sharing）

(單選題) 關於縱深防禦（Defense in Depth），下列敘述何者
「不」正確？
---
109-14
教材內容：資訊安全管理系統 _ 資安管理實務 P.173 *

1 point

縱深防禦又稱為階層式防禦（Layered Defense）或洋蔥式防禦（Onion Defense）

縱深防禦對資訊資產套用多層安全防護，若部分防護失效仍可透過其餘機制降低受駭風險

縱深防禦僅能應用於實體控制之情境以發揮最大效益（如：IDC 資料中心）

透過「網路從取控制＞伺服器存取控制＞應用程式存取控制＞資料存取控制」此四層架構，即可稱為縱深防禦之存取控制模式

(單選題) 下列何者為使用自動化風險分析工具主要的原因？
---
111-8
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

可將大量資訊收容於工具中

在審查期間收集的大部分數據不能重新用於後續分析

自動化方法對於風險分析訓練和知識的需要最少

大多數軟體工具有易於使用且不需要任何訓練的使用者操作界面

109 年 _ 題組 2

---
(題組題 2-3，單選題) 題組背景描述如附圖。正在評估的資料防護軟體，每年的年度花費為下列何者？
---
教材內容：No

1 point

695000

980000

300000

245000

112 年第 1 次 _ 題組 4
A 公司年初導入 ISO 27001 資訊安全管理制度，並參考 ISO 31000 風險架構制度訂定風險管理辦法及相關程序。公司亦順利於年底取得驗證通過，驗證過程稽核員於風險管理過程出具一項次要缺失，主因為 A公司於年度風險評鑑過程，風險項目量化數值計算錯誤，但不影響風險排序以及後續選擇風險進行回應之作業。
---
(題組題 4-4，複選題) 題組背景描述如附圖。導入 ISO 27001後，A 公司評估資安市場商機龐大，擬開發以 AES 512 加密技術之資安產品，並將主要目標市場設定為：美國、中國、日本、韓國、台灣。公司已瞭解此為重大事項，要求風險部門啟動風險評估作業，下列哪些項目是風險評估過程應被關注的事項？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

法律法規

公司資本

技術

評估者之偏好

Required

1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60% 的防護效益

5. 設定網站伺服器平台提供過濾 URI Uniform Resource Identifier）字串功能，可提供 85% 的防護效益
---
(題組題 5-1，單選題) 背景描述如附圖。CEO 表示，現階段已經進入測試階段，無法提供更多的預算進行防護，乙方回覆修改程式碼需要至少三個月，且會超過 20% 的修改比例，CEO需要你規劃最佳成本效益 (Cost Effective），下列何項可以進行暫時性保護，並爭取廠商修復時間?
---
教材內容：風險管理實務 _ 風險分析與評估 P.264

1 point

導入其它雲端流量清洗服務

選擇設定網站伺服平台提供過濾 URI 字串功能，以提供 85% 的防護效益

選擇透過 MSSP 提供監控 EIP 服務即早預警入侵事件

選擇納入網站應用程式防火牆保護

110 年 _ 題組 1
A 集團是全球知名飯店集團，目前在全球超過 120 個國家，擁有約 6千家旅館，旅館遍及亞洲、美洲、歐洲等地，並於 2016 年收購位於美國紐約的 BB 酒店。在 2018 年，BB 酒店房務系統遭駭客入侵造成 3億多筆個資，已知外洩資料中，包含客戶的姓名、通訊地址、電話號碼、電子信箱、護照號碼、出生日期、性別等資料。經查發現，這並不是 BB 酒店第一次遭駭客入侵而外洩客戶資料，早在 2014 年，BB 酒店就曾發生過客戶個資外洩事件。
---
(題組題 1-1，單選題) 題組背景描述如附圖。請問 BB 酒店2018 年的資料外洩事件，是否會受歐盟依一般資料保護規範（General Data Protection Regulation, GDPR）裁罰？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.90 *

1 point

不會，GDPR 對於總部不在歐盟成員國的企業沒有司法管轄權

不會，由於系統遍及全世界，應由聯合國進行裁罰

會，由於系統內包含大量的歐盟成員國公民資料，且 BB 酒店亦有設置在歐盟內

不一定，因 BB 酒店在本案也是受害者

(單選題) 依據資通安全責任等級分級辦法，對於組織的資通安全責任等級共可區分為 A 級、B 級、C 級、D 級及 E 級，當組織業務涉及公務機關捐助或研發之敏感科學技術資訊之安全維護及管理事項之情形者，其資通安全責任等級應為下列何者？
---
110-7
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.106 *

1 point

A 級

B 級

C 級

D 級

111 年 _ 題組 2
迪菲-赫爾曼密鑰交換（Diffie-Hellman Key Exchange, D-H）是一種金鑰交換方法，其能夠讓通訊雙方在公開通道上建立金鑰，並且使用該金鑰在後續的通訊中作為共同金鑰來加密訊息內容。若小美和小明想要使用這個演算法來建立一個共同金鑰以利後續的訊息交換，則他們所使用的計算過程及參數如下所示：
圖1
根據此式，小美和小明可以先各自選定私鑰 a 和 b，並搭配公開資訊 g與 p 來計算得到共同金鑰 K。假設小美為金鑰交換的發起端，則金鑰建立流程如下所示：
在步驟 5. 以後，雙方皆得到一個相同的金鑰 K 可作為後續訊息交換使用。
---
(題組題 2-4，複選題) 題組背景描述如附圖。小美和小明「無法」使用哪些方式來防止此類型的攻擊？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

在交換訊息前必須先驗證對方身分

公開雙方的私鑰（a 和 b)

改採用 RSA 加密演算法

使用端點偵測及回應系統（Endpoint Detection & Response, EDR)

Required

(單選題) 某公司員工數約 5,000 人，所有員工皆配備一台筆記型電腦，每台筆記型電腦價值：30,000 元，若筆記型電腦遺失，價值將 100% 受損，今年公司遺失數量 5 台筆電，請問年度損失期望值（Annualized Loss Expectancy）為下列何者？
---
110-15
*

1 point

15,000 元

300,000 元

150,000 元

30,000 元

(複選題) 關於 NIST SP 800-207 零信任架構（Zero Trust
Architecture, ZTA）的邏輯元件敘述，下列哪些正確？
---
112-20
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

威脅情資（TI）來源：提供外部資訊給政策落實點 (PEP），以進行存取決策

持續診斷緩解（CDM）系統：收集資產目前狀態並套用更新至設定與軟體元件

公鑰基礎設施（PKI）：系統產生給資源、服務與應用程式之憑證，並進行紀錄

安全資訊事件管理（SIEM）系統: 收集以安全為主的資訊，並用於日後分析

Required

110 年 _ 題組 3
C 公司已投入電子商務 2 年，雖然疾情對既有傳統商務有些微影響，但是整體電子商務營運仍持續成長，並且已達到必須增建機房設施與系統容量之際，身為資訊部門的主管，您必須要在擴充資訊系統之際，同時規劃兼顧提昇系統資訊安全的任務，請就上述情境回答下列問題。
---
(題組題 3-4，單選題) 題組背景描述如附圖。營運持續管理的資訊安全構面在於防治營運活動的中斷，保護重要營運過程不受重大資訊系統失效或災害的影響，並確保及時的回復，關於營運持續，下列敘述何者較「不」正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.175 *

1 point

依據 ISO/IEC 27001 規範提出組織持續營運所需的資訊與資訊安全要求、並識別能導致營運過程中斷的事件，以及它們對資訊安全的衝擊與後果

遵循 ISO/IEC 27001，組織應考量多重備援之方案，規劃資訊處理設施之可用性的相關控制措施

參閱 ISO 22301 營運持續管理系統的框架，組織擬訂之營運持續計劃（Business Continuity Plan, BCP）應必須包含：計劃啟動條件、緊急應變程序、減災程序、後撤及召回程序、維護時程表、定期演練以及教育訓練等相關作業

組織發展與執行 BCP 持續營運計劃時，除關鍵活動中斷或設備障礙需於必要時間內恢復營運，也應定期測試與更新，以確保持續的適當性、充分性、及有效性

I 軟體明細:
。i 作業系統
。 ii 伺服器軟體
。 iii 資料庫軟體
。 iv 防毒軟體
。 v 客製化 ERP 系統
II 硬體明細:
。 i 行政電腦硬體
。 ii 伺服器硬體

--------------
(題組題 2-3，單選題) 上述情境中，關於該公司為強化各業務活動之效能所採購之軟體，下列何者於上線前必須進行原始碼檢測？
---
教材內容：無 *

1 point

伺服器軟體

資料庫軟體

防毒軟體

客製化 ERP 系統

110 年 _ 題組 5
A 公司為先進資通訊產品代工製造商，為台灣股票公開發行公司，接受美國知名大廠 B 公司委託代為生產 B 公司所研發與設計商品，為了保護 B 公司的產品設計的機密與安全，A 公司在與 B 公司的製造的合約中，有嚴格的保密條款要求不得以任何型式洩露 B 公司的任何有關他們設計的產品資訊。A 公司也向 B 公司宣稱所有 B 公司委託生產製造的生產線皆採用獨立的生產線及網路實體隔離不與 Internet 連接（如下圖）。
B 公司生產環境的廠區 24 小時全面監控 IPCam 將錄影資訊留存於 A公司的 DVR 伺服器中，保存 6 個月之久，所有的管理帳中集中於 AAA伺服器中，由專人管理，絕對安全可靠。
此外，為方便管理 B 公司產線共用 A 公司的製造執行系統 MES（Manufacturing Execution System），提供自動化的製造排程與即時的圖表式看板供產線管理人員及 B 公司相關人員即時監控實際的生產狀況，如有任何異常立即排除。
---
(題組題 5-2，單選題) 題組背景描述如附圖。承上題，依據「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」新修訂的條文，第四條第一項第二十六款所述「發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事...」的規定，下列敘述何者較為正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.106 *

1 point

此為臺灣證券交易所股份有限公司的內部規範，不需要依規定進行訊息揭露

只要是資通安全事件，皆應依規定發佈重大訊息

應進一步評估是否構成造成公司重大損害或影響，再確認是否需公開揭露

重大訊息揭露與否屬於內部控制範疇無需進行資訊揭露

(複選題) 從 ISO 27001:2022 附錄 A「參考控制目標及控制措施」中，下列哪些是「實體控制措施」相關的規範或控制措施？
---
112-12
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25
請參考 CNSOnline 內的 CNS27001:2023 附錄 A
https://www.cnsonline.com.tw *

1 point

實體進入控制措施

遠端工作應提出申請

維護設備，以確保其持續之可用性及完整性

未經事前授權，不得將設備、資訊帶出場域外

Required

(單選題) 關於風險處理的敘述，下列何者錯誤？
---
112-33
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

風險處理計畫是定義行動並實施所需的控制，以降低無法接受風險的管理文件

風險處理計畫中要考量風險處理之優先順序

風險處理計畫如果完成時間較長，如需導入工具，可以先以接受該高風險處理

風險處理計畫中，所需資源及交付事項，皆須完整計畫考量

109 年 _ 題組 3
為因應 2019 冠狀病毒疾病疫情，中央防疫中心也提升至一級開設，對此，金管會表示，國內銀行業也積極因應，目前已有 13 家銀行採取異地辦公，A 銀行決定將資訊部門的系統管理人員及其代理人分別安排在不同的辦公地點辦公。
根據上列資訊，請回答下列問題：
---
(題組題 3-1，單選題) 題組背景描述如附圖。請問該異地辦公的規劃與營運持續管理有下列何種關聯？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.293 *

1 point

與營運持續管理無關，應屬於職業衛生安全管理（Occupational Health and Safety Assessment Series, OHSAS）的議題

與資料復原目標（Recovery Point Objective, RPO）的達成較有關

與復原目標時間（Recovery Time Objective, RTO）的達成較有關

屬於政治因應，配合主管機關要求

108 年 _ 題組 3
-----
超能力公司於年初通過全公司 ISO/IEC27001 驗證，其中關於系統維運部分的相關政策，要求重要系統中斷時間不得超過 2 小時，所有重要系統及其相關支援環境皆依此標準建立。
超能力公司年中接獲開心買公司重要訂單，由公司負責提供環境建立並維護開心買公司網路訂購系統，並於合約要求該網路訂購系統若因該公司之問題中斷超過 3 分鐘，超能力公司需賠償開心買公司。
超能力公司據此將該系統判定為重要系統，並於既有重要系統支援環境導入此新架設的購物系統，並為該系統在原機房建立備援機制。
--------------
(題組題 3-4，單選題) 上述情境中，若超能力公司位於台北市，為降低因地震、颱風等災害造成資訊系統停止運作之風險，公司擬設置第二備援機房，下列何縣市之降低風險效果最差？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.175 *

1 point

台中市

雲林縣

基隆市

高雄市

110 年 _ 題組 4
D 公司主要業務為提供客戶雲端存儲服務，基於對客戶的保障，已通過ISO/IEC 27001 驗證，並訂定資安政策及資安目標，其中一項資安目標為提供客戶存儲服務系統，中斷服務不可超過 4 小時，因此相關系統及環境皆依此標準建置。
2020 年初，因疫情影響，公司評估此為重大事件，發現先前制定的分艙分流計畫不足以因應現況，故決議導入居家辦公系統，以便在公司受到疫情影響無法進入公司辦公時，能有效維運存儲服務系統，不中斷對客戶的服務，並於同年 4 月完成系統建置，讓系統維運及公司人員可透過此系統進入公司內網進行工作並對客戶提供服務。
因 D 公司因應得宜，受到某重要客戶青睞，於 2020 年 6 月與該重要客戶簽約提供資料存儲服務，合約中載明系統中斷不可超過 1 小時，公司評估未來營運成長需求，決定對提供客戶存儲服務之系統，設置異地備援之存儲服務系統，且主機房存儲服務系統中斷時，可自動切換至異地存儲服務系統，以避免區域性災難與滿足客戶要求。
---
(題組題 4-1，複選題) 題組背景描述如附圖。D 公司因疫情影響，決議導入居家辦公系統，依據 ISO/IEC 27001 之規範，下列哪些行為是 D 公司應進行之事項？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.25 *

1 point

新系統導入後，須重新申請 ISO/IEC 27001 之驗證

審查資安政策確認其合宜性

針對此變化進行風險評估

審查與訂定並執行遠距工作的政策及支援之安全措施

Required

109 年 _ 題組 3
為因應 2019 冠狀病毒疾病疫情，中央防疫中心也提升至一級開設，對此，金管會表示，國內銀行業也積極因應，目前已有 13 家銀行採取異地辦公，A 銀行決定將資訊部門的系統管理人員及其代理人分別安排在不同的辦公地點辦公。
根據上列資訊，請回答下列問題：
---
(題組題 3-3，單選題) 題組背景描述如附圖。除了異地辦公地點的選擇外，下列何項亦可增加疫情發生時的營運持續能力？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.184 *

1 point

接班人計畫

代理人計畫

工作輪休計畫

員工進修計畫

111 年 _ 題組 4
A 企業為台灣 50 大之企業之一，且為股票上市企業，實收資本額達新台幣 150 億元，主要營業項目為電商相關，該公司最近發現客服中心收到多筆客訴，內容主要都為消費者在公司電商網站購物後，就接到詐騙電話，電話中明確指出受駭者的消費明細，並誆稱要辦理退費，導引消費者去 ATM 操作，導致受駭者金錢損失。
---
(題組題 4-4，複選題) 題組背景描述如附圖。A 企業在此一事件發生後，未發佈任何公開聲明，僅維持與受駭之消費者進行後續糾紛處理，但受駭消費者透訴媒體，以致眾媒體已大幅報導、相關檢警調單位亦已主動介入偵辦，另由於未有專屬之資安部門與人員編制，A 企業計畫於民國 112 年 1 月 1 日、成立專門之資安單位，編制 4 人，最高資安主管為協理，直接向資訊副總經理負責。綜上所述，請問該公司可能違反下列哪些法令法規的要求？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.238 *

1 point

公開發行公司建立內部控制制度處理準則

資通安全管理法

臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序

公司法

Required

(複選題)「某政府一級單位官網，交付政府維運機房代管，要求服務層級協議 (Service Level Agreement, SLA) 99.999% 服務水平，監測發現該政府官網，固定在每週日，半夜 12:00 會自動停止服務 30 分鐘。該事件已經持續半年才被發現，在風險問題排除過程中：
(1) IIS Web Server 都服務正常
(2) MS-SQL
資料庫服務也正常
(3) 防火牆也未變動其政策
(4) 檢查相關排程有每月一次定期備份檔案到 D 磁碟某目錄
(5) 在檔案異動上發現有多了一個 Lcx.exe 惡意程序放在 Web Root 目錄。」
下列哪些選項屬於合適的風險處置措施？
---
111-20
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

問題經半年才被發現，表示目前缺乏有效監管網站存活狀態，可利用工具建立監控機制，監控 Web Server、URL 連結、資料庫1433 通訊，就可以知道系統服務層級協議狀態與降低中斷服務的風險

在 Web root 目錄出現 Lcx.exe 確定屬被駭客入侵的資安事件，必須先通知部會主管後，緊急補救風險處理

以 99.999% 服務層級協議來看，本次事件長達半年，以一年 365天計算仍符合 99.999% 服務層級協議

必須依規定進行通報，例如：「國家資通安全通報應變網站」進行通報

Required

(單選題) 某台灣公司，業務市場及銷售據點分布在臺、美兩地，在建置資安系統時，應優先考量附圖哪些法規事項？
1 歐盟支付服務指令第 2 版（The Second Payment Services Directive, PSD2）
2 臺灣-資通安全管理法
3 美國-CCPA（California Consumer Privacy Act）
4 臺灣-營業秘密法
5 香港-CFI（Cybersecurity Fortification Initiative）
---
109-1
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.102 *

1 point

2345

1234

234

1235

(單選題)公司在招募新員工時，若打算在網頁上公布錄取榜單，下列敘述何者「不」正確？
---
108 年 _ 第 2 題
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.78 *

1 point

若因取得當事人書面同意之作業有窒礙難行之處，採「匿名化」、「去識別化」方式公布榜單，為較適切的作法

公布招募新進員工之榜單，應先依法取得當事人之書面同意

因同名同姓的人很多，若只公告單一項姓名資料，並無法直接識別出本人，不需取得當事人之書面同意

自然人之姓名，屬個人資料之範疇，故公布榜單之行為必須符合個資法規範

(單選題) 下列何項安全實作原則是為了預防僅因個人行為而造成可能的舞弊情形發生？
---
111-5
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

強制休假（Mandatory vacation)

僅知原則（Need to know basis)

最小權限（Least privilege)

職責分離（Separation of duties)

109 年 _ 題組 4
近來有愈來愈多公司更積極擁抱新興科技，期望透過更大量的科技應用，提升公司整體營運能力，也希望從中找到新的商機，強化公司競爭力。A 公司為著名電商公司，同時十分注重資訊安全，去年已完成全公司 ISO/IEC27001 導入與驗證，今年為強化公司競爭力，決議將公司主要電商網站由 IDC 機房移入雲端，同時相關辦公自動化服務（Office Automation, OA）也積極使用雲端 Solution。
根據上列資訊，請回答下列問題：
---
(題組題 4-1，單選題) 題組背景描述如附圖。就 ISO/IEC27001而言，若考量公司重要服務（電商網站）由地端移入雲端一事，下列敘述何者較適當？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.260 *

1 point

由於是將電商網站由 IDC 機房移入雲端，整體系統功能未進行調整，所以無須針對此一作業進行風險評估

由於是將電商網站由 IDC 機房移入雲端，與 ISO 先前的驗證情況大不相同，所以應於工作結束後立即進行 ISO/IEC27001 重新驗證

電商網站由 IDC 機房移入雲端，屬重大服務調整，所以應針對此一作業進行風險評估

由於是將電商網站由 IDC 機房移入雲端，雲端平台的安全性高，所以無需重新評估該網站的資安防護機制

(單選題) 關於風險管理步驟由先至後，下列排序何者正確？
(1)全景建立
(2)風險處理
(3)風險識別
(4)監控風險處理
(5)風險評估
---
111-14
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

12345

13524

15324

35214

(單選題) 依據民國 110 年 12 月發布的《公開發行公司建立內部控制制度處理準則》第九條之一第二項規定，以及金融監督管理委員會 110 年 12 月 28 日金管證審字第 11003656544 號函釋，上市（櫃）公司實收資本額達新台幣 100 億元以上時，應於民國 111 年 12 月 31 日前，完成哪些資訊安全單位及人員的設置？
1. 資訊安全長；
2. 資安專責單位；
3. 資安專責人員 (至少 3 名
4. 資安專責人員 (至少 2 名)
5. 資安專責單位主管 *

1 point

1、3、5

1、4、5

1、2、4、5

1、2、3、5

(單選題)「某網站伺服器經常有大量的使用者來進行異動，且常會定義不同的使用者身份，例如會員、非會員或系統管理者。」關於網站存取控制模型之選擇，下列何者管理效率較高?
---
111-15
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

存取控制清單（Access Control List)

強制存取控制（Mandatory Access Control)

自主性存取控制（Discretionary Access Control)

以角色為基礎的存取控制（Role Based Access Control)

(單選題) 關於網站應用程式防護，下列敘述何者正確？
---
109-15
*

1 point

為有效降低網站應用程式受駭風險，原始碼檢測不可於程式開發過程中執行，待開發完成後再一次性執行以達最大效益

網頁應用程式防火牆（Web Application Firewall, WAF）可有效避免遭受駭客攻擊，且若啟用特徵碼定期更新機制，則受駭風險已降至最低，網站應用程式之安全性測試便可忽略

網站應用程式所使用之元件若發現弱點，透過網頁應用程式防火牆（Web Application Firewall, WAF）套用虛擬修補（Virtualpatching）能有效阻擋攻擊，則不需再對該元件進行修復

網站應用程式應定期執行安全檢測（如：原碼檢測、弱點掃描、滲透測試），並對檢出之安全弱點進行修復，若無法修復則需實施補償性控制措施來降低安全風險

112 年第 1 次 _ 題組 1
A 公司為某先進產品的製造商，該公司主要據點 B 與 C 分散在國內兩地，距離約 20 km，其主要客戶位於歐洲地區，該公司十分重視資訊安全及品質管理，先前已通過 ISO 9001、ISO 27001 及 ISO 27701 等相關標準的驗證。據點 B 主要主要包含的業務與技術服務部門，據點 C主要包含管理部門、資訊部門及相關研發、製造部門。
---
(題組題 1-2，單選題) 題組背景描述如附圖。為符合業務部門員工從公司外部列印資料的需求，下列何種解決方案，可以不需在印表機設定公有 IP (Public Internet Protocol) 的前提下達成此需求?
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

WAF (Web Application Firewall)

IDS (Intrusion Detection System)

VPN (Virtual Private Network)

EDR (Endpoint Detection and Response)

(複選題) 關於資產威脅實施風險處理流程，下列哪些為風險分擔（Risk Sharing）的方法？
---
110-19
教材內容：風險管理實務 _ 風險處理實務 P.173 *

1 point

將風險分擔給委外的廠商

藉由加強控制風險的措施，而將該風險威脅發生機率降低

將此威脅造成的風險，向保險公司買保險

藉由針對該威脅增加控制流程，而將該風險影響降低

Required

112 年第 1 次 _ 題組 2
某公司資訊系統管理人員發現該公司 SQL Server 有些異常現象發生，經檢視相關 SQL Server 之紀錄檔之後，並未發現足以支撐該管理人員對此異常現象發生原因之推論，惟該管理人員可以判斷的是，這個異常現象應該是人為的因素比較大，因此，管理人員為了確認 SQL Server 異常現象的發生是其所判斷的「人為因素」所產生。
---
(題組題 2-2，單選題) 題組背景描述如附圖。該管理人員安裝網路封包側錄器後，對該 SQL Server 持續側錄了一整晚的網路封包，隔天進公司針對所側錄下來的網路封包進行分析，發現在網路封包內容顯示了有一個來自 210.34.17.8 的 IP 位址在深夜的時候連接至公司內部該資料庫主機 TCP 3389 埠以及 TCP 1433 埠）。請問下列敘述何者較為適當?
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

外部人員使用 VNC 軟體進行連線

外部人員使用虛擬私有網路（Virtual Private Network, VPN）連接內部網路

外部人員使用虛擬私有網路（Virtual Private Network, VPN）連接 SQL Server

外部人員使用 Remote Desktop Protocol RDP）連接內部網路設備

(單選題) 下列選項何者作為金鑰分配（Key Distribution) 的安全性較佳?
---
111-3
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

3DES

MD5

Blowfish

ECC

(複選題) 某公司共有 500 名員工，在疫情期間啟用遠距在家上班的應變計畫，關於遠距上班，下列敘述哪些較正確？
---
110-18
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

在規劃遠距上班方案時，應滿足同時上線及可由外部連入公私單位內部之線路頻寬大小

需要注意虛擬私人網路（Virtual Private Network, VPN）設備負載連線數，以及是否需要擴充更多 VPN 設備，而 VPN 設備亦必須修補其韌體漏洞

使用第三方視訊會議系統，應嚴守不將機敏性資訊貼附在討論群組，但可將機密性資料上傳到不被信任的雲端空間

VPN 連入後，應以職務區隔（Segregation of Duties, SOD）及零信任原則開通員工使用資訊系統與服務之權限，並搭配監控機制確保機密資料不會外洩

Required

(單選題) 機房區域屬於防範基本設備操作直接存取的重要防護區域，下列敘述何者「不」正確？
---
111-6
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.302 *

1 point

限制具拍照或錄影功能之裝置攜帶進入機房

外包商只能在工作檯使用電腦遠距操作主機，相關隨身碟（USB Disk) 資料匯入，需要經過掃毒後由機房管理人員協助使用

只有資訊人員可以自由進出機房，不用填寫出入登記表

機房 Level 5 硬體安全模組（Hardware Security Module, HSM）設備需要另外實體隔離保護

(單選題) 某公司在每週星期日凌晨 1 點執行完整備份（Full Backup），每日凌晨 1 點執行增量備份（Incremental Backup），每日備份資料分存放於不同磁帶。若此系統在星期三的下午 2 點發生嚴重損毀（Crash），資訊人員執行資料回復，需使用多少個磁帶的資料？
---
109-4
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.245 *

1 point

108 年 _ 題組 3
-----
超能力公司於年初通過全公司 ISO/IEC27001 驗證，其中關於系統維運部分的相關政策，要求重要系統中斷時間不得超過 2 小時，所有重要系統及其相關支援環境皆依此標準建立。
超能力公司年中接獲開心買公司重要訂單，由公司負責提供環境建立並維護開心買公司網路訂購系統，並於合約要求該網路訂購系統若因該公司之問題中斷超過 3 分鐘，超能力公司需賠償開心買公司。
超能力公司據此將該系統判定為重要系統，並於既有重要系統支援環境導入此新架設的購物系統，並為該系統在原機房建立備援機制。
--------------
(題組題 3-2，單選題) 上述情境中，關於超能力公司依完整評估後決定的備援模式，若從公司管理決策階層的角度來看，下列敘述何者最適當？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.175 *

1 point

此備援模式不正確，因為未能滿足客戶要求

此備援模式不正確，因為可能因此而被罰款

此備援模式正確，因為符合公司的相關政策

此備援模式正確，因為經過完整評估後確認產生的風險及衝擊在公司可承受範圍

(單選題)M 公司引進最新的科技，大幅度的改善公司重要的資訊系統，雖然功能相同，但效能更快與使用更便利。若從資安的角度來看，下列敘述何者較佳？
---
108 年 _ 第 12 題
教材內容：風險管理實務 _ 風險分析與評估 P.311 *

1 point

因在重要系統上進行改變，故需要進行風險評估

因重要系統之更新，其功能相同，故不需要進行風險再評估

因功能不變，故可視需要調整風險接受度

因在重要系統上進行改變，故需要進行調整資安政策

108 年 _ 題組 5
-----
醫療設備大廠 XYZ 出產的兩款醫療設備，區域醫院 QAZ 為了即時取得醫療資訊，透過網路方式使用這兩款設備，安全廠商 ABC 在區域醫院QAZ 的安全測試時發現嚴重漏洞，可讓連上同一網路的攻擊者遠端變更系統設定，包括：藥劑、氣體、關閉警鈴和機器數值。但是 XYZ 強調這兩款設備並沒有網路連線能力，僅提供序列埠及 USB 認為漏洞並非出在機器本身，並未發布修補程式。安全廠商 ABC 聲稱雖然這兩款醫療設備本身沒有連網能力，但的確可由 TCP/IP 網路進行連線並下達指令。
--------------
(題組題 5-1，單選題) 上述情境中，主要是運用下列何種設備，使醫院得以利用 TCP/IP 網路連線到 XYZ 公司生產的兩款醫療設備？
---
教材內容：無

1 point

防火牆（Firewall）

網路交換器（Network Switch）

網路終端伺服器（Network Terminal Server）

路由器（Router）

(複選題) 某公司從事國際型科技大廠組裝代工業務，在合作業務上，嚴禁將未上市產品資訊外洩，包含：未上市產品間諜照、設計圖…等，相關資訊檔案讀取使用僅限制公司少數高階技術人員可以讀取，不能外洩到公司以外其他地方使用。關於上述狀況，下列風險管理敘述何者正確？
---
109-16
教材內容：風險管理實務 _ 風險處理實務 P.173 *

1 point

公司與員工間簽屬相關保密協定與同意限制規範，並進行必要技術管制手段，如：手機必須放置在公司設定手機電腦保管區、嚴禁拍照裝置與私人電腦攜入公司廠區

對公司電腦，限制外接儲存裝置的存取、電腦畫面擷取、與工具軟體使用限制，以降低公司機密資料外洩風險

公司成立相對應資安防護措施，如：防止駭客入侵竊取、電子郵件的附件過濾、對公司內外流量封包監控

公司不應限制禁止員工上網，這是員工午休時基本人權權利

Required

(複選題) 關於資訊安全管理系統在決定驗證範圍時，須包含下列哪些考量議題？
---
111-19
教材內容：資訊安全管理系統 _ 資安管理系統建置實務 P.10 *

1 point

組織內部與外部的議題

主管機關的要求

適用法令與法規的要求

組織與其他組織履行活動間的介面及相依性

Required

111 年 _ 題組 4
A 企業為台灣 50 大之企業之一，且為股票上市企業，實收資本額達新台幣 150 億元，主要營業項目為電商相關，該公司最近發現客服中心收到多筆客訴，內容主要都為消費者在公司電商網站購物後，就接到詐騙電話，電話中明確指出受駭者的消費明細，並誆稱要辦理退費，導引消費者去 ATM 操作，導致受駭者金錢損失。
---
(題組題 4-2，單選題) 題組背景描述如附圖。針對駭客可能是利用偷來的消費者資訊或密碼試圖登入網路服務的這一種攻擊，下列何者防護措施「無法」有效防範此攻擊？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

利用手機簡訊進行二次驗證

在使用者設定密碼時，檢核是否與個人資訊有關

在使用者輸入密碼時，須綁定設備或裝置，當有新裝置登入時，系統會寄發簡訊通知，要求二次驗證

系統在儲存使用者密碼時，會使用加密方式儲存

(單選題)M 公司位於 Q 大樓一樓，每年的颱風季節，網管人員很擔心相關設備因淹水而損壞，經反映問題給高階主管後，管理階層決定購買相關保險以因應相關的風險。請問上述案例是風險處理中的何種選項？
---
108 年 _ 第 15 題
教材內容：風險管理實務 _ 風險處理實務 P.311 *

1 point

風險緩解（Risk Mitigation）

風險接受（Risk Acceptance）

風險規避（Risk Avoidance）

風險轉移（Risk Transference）

(單選題) 下列何者可被用來確認資料的完整性（Integrity）?
---
109-9
教材內容：資訊安全管理系統 _ 資安管理實務 P.203 *

1 point

SHA-512

3DES

RC4

EC-ElGamal

(單選題) 關於 NIST SP 800-207 零信任架構（Zero Trust Architecture, ZTA）的基本規則敘述，下列何項錯誤?
---
112-19
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

所有的通訊都需被保護，無論其所在之網路位置

須觀察與量測所擁有資產與相關資產，其完整性與安全態勢

運算服務（Computing Service）和資料來源 Data Sources）皆可視為資源

應先蒐集資產、網路架構等現狀，建立資產清冊

112 年第 1 次 _ 題組 1
A 公司為某先進產品的製造商，該公司主要據點 B 與 C 分散在國內兩地，距離約 20 km，其主要客戶位於歐洲地區，該公司十分重視資訊安全及品質管理，先前已通過 ISO 9001、ISO 27001 及 ISO 27701 等相關標準的驗證。據點 B 主要主要包含的業務與技術服務部門，據點 C主要包含管理部門、資訊部門及相關研發、製造部門。
---
(題組題 1-3，單選題)
題組背景描述如附圖。因該公司是某先進產品的製造商，若要進一步強化該公司製造場域部分的資訊安全(Operational Technology)，宜再導入下列何種標準驗證較為合適？
---
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25 *

1 point

BS 10012

IEC 62443-2-1

IEC 62443-2-4

ISO/IEC 27001

(單選題) 一個通過 ISO 27001:2013 驗證的組織，在內部稽核活動中，發現已離職員工的帳號仍沒有停用，且進一步追查存取紀錄時，發現其在離職後，仍有登入存取部門共用資料夾的行為。請問對於該組織上述的狀況，下列何項敘述最為合適？
---
112-10
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

該組織可能未落實使用者存取管理之程序

該組織可能未落實資產處置之程序

該組織可能未落實實體及環境安全之程序

該組織可能已落實存取控制政策

(單選題)「M 公司的資訊系統，每週均有進行系統與資料備份，且有異地備份，而近期公司增加了新多重加密機制，讓資料安全可以進一步確保。然近期進行系統之復原測試時，發現復原作業時間共需要 6 小時，與公司的規定 4 小時，明顯不符。」關於上述案例中，「不」符合下列何者要求?
---
111-2
教材內容：資訊安全管理系統 _ 資安管理實務 P.293 *

1 point

復原時間目標（Recovery Time Objective, RTO)

復原點目標（Recovery Point Objective, RPO)

平均復原時間（Mean Time to Recovery, MTTR)

平均失效時間（Mean Time to Failure, MTTF)

(單選題)ISO/IEC 27002 於 2022 年 2 月發布最新版本，該版本與 2013 年版本的差異之一，是增加控制措施的屬性標籤，其中一項是「類別」，共有預防、偵測與矯正等 3 項，請問系統資料備份比較偏向下列哪一類型？
---
112-35
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25 *

1 point

預防 (Preventive)

偵測 (Detective) 及矯正

矯正 (Corrective)

預防及偵測

112 年第 1 次 _ 題組 3
某醫療機構日前發生多起駭客入侵事件，經查發現其行動式醫療車及行動加護病房的雲端即時監護系統皆遭到駭客入侵，駭客並且透過遠端設定改變點滴流速超出原本設定的 50 倍。為了解決行動式醫療設備及雲端監護系統的安全，該機構規劃導入零信任架構（Zero Trust Architecture）強化存取控制，解決行動式醫療車及行動加護病房的雲端即時監護系統。
---
(題組題 3-4，複選題) 背景描述如附圖。導入零信任架構時，可能面臨的威脅挑戰有下列哪些？
---
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

網路的可視性

帳密被盜 /內部威脅

遭遇 DoS 阻斷服務或網路中斷

可建立動態存取政策的控管

Required

108 年 _ 題組 5
-----
醫療設備大廠 XYZ 出產的兩款醫療設備，區域醫院 QAZ 為了即時取得醫療資訊，透過網路方式使用這兩款設備，安全廠商 ABC 在區域醫院QAZ 的安全測試時發現嚴重漏洞，可讓連上同一網路的攻擊者遠端變更系統設定，包括：藥劑、氣體、關閉警鈴和機器數值。但是 XYZ 強調這兩款設備並沒有網路連線能力，僅提供序列埠及 USB 認為漏洞並非出在機器本身，並未發布修補程式。安全廠商 ABC 聲稱雖然這兩款醫療設備本身沒有連網能力，但的確可由 TCP/IP 網路進行連線並下達指令。
--------------
(題組題 5-2，單選題) 上述情境中，若您是資訊安全顧問，您認為應如何改善整體事件的安全性？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.238

1 point

立即更新這兩款醫療設備的韌體

建立網路隔離機制，並強化身份認證與存取管控

建立 VPN 使可以由遠端加密連線至醫療設備

立即更新這兩款醫療設備的通行碼

108 年 _ 題組 3
-----
超能力公司於年初通過全公司 ISO/IEC27001 驗證，其中關於系統維運部分的相關政策，要求重要系統中斷時間不得超過 2 小時，所有重要系統及其相關支援環境皆依此標準建立。
超能力公司年中接獲開心買公司重要訂單，由公司負責提供環境建立並維護開心買公司網路訂購系統，並於合約要求該網路訂購系統若因該公司之問題中斷超過 3 分鐘，超能力公司需賠償開心買公司。
超能力公司據此將該系統判定為重要系統，並於既有重要系統支援環境導入此新架設的購物系統，並為該系統在原機房建立備援機制。
--------------
(題組題 3-1，複選題) 上述情境中，關於超能力公司將接獲開心買公司訂單並導入新系統視為重大事件，依據 ISO/IEC27001之規範，下列哪些是超能力公司應進行之事項？
---
教材內容：資訊安全管理系統 _ 資安管理實務 P.25 *

1 point

重新審查資安政策確認其合宜性

新系統導入後，須重新申請 ISO/IEC27001 之驗證

針對此變化進行風險評估

對於新系統的導入進行安全性評估及容量管制評估

Required

109 年 _ 題組 4
近來有愈來愈多公司更積極擁抱新興科技，期望透過更大量的科技應用，提升公司整體營運能力，也希望從中找到新的商機，強化公司競爭力。A 公司為著名電商公司，同時十分注重資訊安全，去年已完成全公司 ISO/IEC27001 導入與驗證，今年為強化公司競爭力，決議將公司主要電商網站由 IDC 機房移入雲端，同時相關辦公自動化服務（Office Automation, OA）也積極使用雲端 Solution。
根據上列資訊，請回答下列問題：
---
(題組題 4-4，複選題) 題組背景描述如附圖。電商平台移至雲端後，相關系統維運作業也因應調整，請問下列敘述何者具有潛在資安合規風險？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.260 *

1 point

因應雲端作業環境與加強效率，程式開發人員將同時具有雲端平台的操作權限，程式開發完成後可直接進行程式更新作業，縮短作業時間

為確保資料的雲端安全性，資料庫管理人員要求資料在寫入資料庫前，針對機敏資料欄位，需對資料本身加密後才可存入資料庫

為一致化管理作為，針對在雲端上的資通系統，皆未強制要求租用或安裝額外的資安防護機制，以減低成本並簡化維運作業

由於雲端的高可用性，針對在雲端上的資通系統，不需再修訂業務持續計畫

Required

111 年 _ 題組 2
迪菲-赫爾曼密鑰交換（Diffie-Hellman Key Exchange, D-H）是一種金鑰交換方法，其能夠讓通訊雙方在公開通道上建立金鑰，並且使用該金鑰在後續的通訊中作為共同金鑰來加密訊息內容。若小美和小明想要使用這個演算法來建立一個共同金鑰以利後續的訊息交換，則他們所使用的計算過程及參數如下所示：
圖1
根據此式，小美和小明可以先各自選定私鑰 a 和 b，並搭配公開資訊 g與 p 來計算得到共同金鑰 K。假設小美為金鑰交換的發起端，則金鑰建立流程如下所示：
在步驟 5. 以後，雙方皆得到一個相同的金鑰 K 可作為後續訊息交換使用。
---
(題組題 2-3，單選題) 題組背景描述如附圖。若小華想要得知共同金鑰 K，請問他可以透過下列何種攻擊方式得知？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

跨網站指令碼攻擊（Cross Site Scripting Attack, XSS)

分散式阻斷服務攻擊（Distributed Denial of Service Attack,DDoS)

C SQL 注入攻擊（SQL Injection)

中間人攻擊（Man-in-the-Middle Attack, MitM)

(複選題) 下列哪些是進行營運衝擊分析（Business Impact Analysis, BIA）時需考量的因素？
---
109-20
教材內容：風險管理實務 _ 風險分析與評估 P.283 *

1 point

財務衝擊（Financial Impact）

政治衝擊（Political Impact）

商譽衝擊（Reputational Impact）

法規衝擊（Legal Impact）

Required

(單選題) 某公司新網頁資訊系統上線，內含客戶相關資料，經
資安風險分析，有帳號暴力破解風險，再經後續的安全測試，
發現帳戶登錄機制可容許一直重複嘗試登入，關於上述狀況，
下列何者作法最「不」適當？
---
109-5
教材內容：風險管理實務 _ 風險分析與評估 P.148 *

1 point

設定帳戶在嘗試失敗多次後鎖定一段時間

設定密碼政策，設定的密碼至少需有 12 個字元

設定帳戶在嘗試失敗時，寄送 eMail 由郵件通知

設定帳戶連線時，強制使用 Https 安全連線

(複選題) 某公司規劃成立新的國際數據資訊中心（International Data Corporation, IDC），委請外包廠商針對風險評估與分析結果提出建議調整方案，關於外包廠商提出之建議，下列敘述哪些較「不」合適？
---
110-20
*

1 point

建議設計柴油發電機組與 UPS 電池室於地下室，並設有排煙口於一樓停車場旁，降低噪音與空汙問題

建議在 12 頂樓設有一台水冷式冷氣機

建議機房採指紋門禁管制進出電動門

建議消防氣體採二氧化碳氣體，當火災發生時會緊閉機房，噴射滅火氣體

Required

(單選題)X 公司為在中華民國註冊登記之公司，該公司將於
2023 年導入資安管理制度並預計於 2024 年第一季通過國際資安驗證，請問下列何項制度最適合 X 公司做為導入資訊安全管理制度依循之參考？
---
112-1
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25 *

1 point

ISO/IEC 27001 : 2013

ISO/IEC 27004 : 2016

ISO/IEC 20000-1 : 2018

ISO/IEC 27001 : 2022

(單選題) 某公司在員工個人電腦登入後會強制跳出提醒訊息：「請遵守本公司資訊安全規範，避免機敏資料外洩」，此提醒屬於下列何種控制措施？
---
109-11
教材內容：風險管理實務 _ P.302 *

1 point

管理的（Administrative）、威嚇性（Deterrent）

管理的（Administrative）、預防性（Preventive）

技術的（Technical）、威嚇性（Deterrent）

技術的（Technical）、預防性（Preventive）

1. 將該 EIP 納入網站應用程式防火牆保護，可提供 60% 的防護效益

5. 設定網站伺服器平台提供過濾 URI Uniform Resource Identifier）字串功能，可提供 85% 的防護效益
---
(題組題 5-2，單選題) 題組背景描述如附圖。風險處理實務中，針對定量分析 (Quantitative)，可以計出精準的風險危害程度，計算出可被度量的數值，一般來說，它是金錢的單位，要計算出一年內單一風險因子對於資訊資產產生單一危害。經過評估，本項網站弱點資產價值為 120 萬元，已識別出有 3 個可利用的弱點，可取得網站上所有員工的個人資料，無論其弱點的多寡，其危害網站 40% 的價值，該 EIP 網站並未被公開於網路上，但在過去此類內部網站弱點被利用一年內約有 12% 的弱點被利用，請問其年損失期望計算下列何者正確？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264

1 point

120 萬 * 3 * 40% * 12%

(120 萬 * 3 * 40%) - (120 萬 * 12%)

(120 萬 * (40%/3) * 12

(120 萬 * 40%) * 12%

109 年 _ 題組 4
近來有愈來愈多公司更積極擁抱新興科技，期望透過更大量的科技應用，提升公司整體營運能力，也希望從中找到新的商機，強化公司競爭力。A 公司為著名電商公司，同時十分注重資訊安全，去年已完成全公司 ISO/IEC27001 導入與驗證，今年為強化公司競爭力，決議將公司主要電商網站由 IDC 機房移入雲端，同時相關辦公自動化服務（Office Automation, OA）也積極使用雲端 Solution。
根據上列資訊，請回答下列問題：
---
(題組題 4-3，單選題) 題組背景描述如附圖。A 公司某日收到上個月雲端平台的帳號，發現帳單費用爆增，經過清查後發現雲端平台存有不知名的挖礦程式正在執行，導致雲端使用費大增，請問下列何者最「不」可能是遭駭客植入挖礦程式的原因？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.260 *

1 point

資通系統的識別及存取管理（Identity and Access Management,IAM）相關帳密或存取金鑰外洩

主機作業系統或資通系統具遠端程式碼執行（Remote Code Execution, RCE）漏洞

雲端所使用的系統映像檔受感染，系統維護人員下載並執行不明來源的映像檔（Docker Image）

雲端之電商網站具有安全的弱點，遭駭客利用進行 Billion Laugh Attack 所導致

(單選題) 在 ISO 系列的 ISMS 標準中，下列何者與電信產業資訊安全管理最有關聯？
---
112-2
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25 *

1 point

ISO / IEC 27010

ISO / IEC 27011

ISO / IEC 27015

ISO 27799

(單選題) 關於網路區隔，下列敘述何者較「不」可行？
---
108 年 _ 第 9 題
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.238 *

1 point

依安全等級、組織或特定的目的進行區隔

以實體網路或邏輯網路區隔

明確的定義無線區域網路的周界（Boundary）並加以控制

周界使用閘道如防火牆或過濾路由器（Filtering Router）加以控制

(單選題) 某公司在一次例行檢查中，資安管理人員發現一位員工正試圖使用透過手機網路連至外部網路下載軟體至其工作用筆記型電腦，此作法等於繞過公司防火牆，該員工解釋是為了安裝部門專案使用的 X 軟體，關於上述狀況，下列何種措施應優先進行？
---
109-10
*

1 point

重新設定公司防火牆規則讓 X 軟體可以下載並安裝

安裝網路型入侵偵測系統進行監控，提早發現類似不當行為

執行公司資安規範，移除軟體使用

訪談該員工，重新進行需求分析

(單選題) 關於風險評估準則的敘述，下列何者錯誤？
---
112-34
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

組織應定義用於評估風險重要性的準則

不同組織可能採用不同的方法跟準則

這些準則應反映組織的價值觀、目標和資源

風險評估準則應與組織的管理政策可以不一致

(單選題) 某機敏單位遷移至公司大樓 23 樓辦公，23 樓只有該部門專用。若從實體安全規劃評估的角度來看，下列敘述何者風險較高？
---
108 年 _ 第 11 題
教材內容：風險管理實務 _ 風險分析與評估 P.143 *

1 point

該部門屬於機敏單位，且獨立使用 23 樓，建議電梯樓層鎖定，限定只有該部門員工可以抵達 23 樓

在逃生梯間，應設立充足的監視器與防盜警報機制，防止閒雜人等由逃生梯進入到該樓層

外來包裹，可以由警衛放行，刷電梯卡直接送至 23 樓

在 23 樓，應再設立一道門禁關卡，進行人員過濾

(單選題) 組織擬採取「存取控制」構面之控制措施確保組織所保有的資通系統之安全防護，請問關於控制措施的敘述，下列何項錯誤？
---
112-9
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

遠端存取時使用者之權限檢查作業應於使用者端完成

超過組織所許可之閒置時間或可使用期限時，系統自動將使用者登出

採最小權限原則，僅允許使用者依組織任務及業務功能，完成指派任務所需之授權存取

遠端存取之來源應為組織已預先定義及管理之存取控制點

108 年 _ 題組 1
-----
某上櫃企業已通過 ISO/IEC27001 認證，於某上班日發現公司半數同仁AD 帳號遭到鎖定，無法使用 AD 帳號密碼登入電腦系統。MIS 進行AD 解鎖後，同仁隨即再次被鎖定無法登入，慌亂初期 MIS 採取區域性斷網，依然無效。
隨即分析 AD 主機事件記錄，發現都是 Exchange Server 所造成，進一步分析防火牆記錄，發現大量外部 access OWA 的 443Port 登入失敗，有多個來源遠端攻擊者裝置嘗試入侵 Web Mail 系統失敗，類似「DDoS」與「密碼暴力攻擊」。
MIS 採取緊急應變措施，阻斷相關攻擊者裝置 IP。可是每隔一段時間會自動換成其他國家地區 IP 持續入侵攻擊，MIS 進一步將境外非台 IP全面禁止，以短暫維持運作。但相關攻擊來源竟轉換台灣地區 IP。MIS進一步採取關閉用外部開放使用 Exchange OWA 服務，要求公司外部活動人員須以 VPN 方式，建立裝置放行白名單方式，進行 Exchange郵件登入作業。而 VPN 依群組方式申請建立不同放行權限，非全面開放。
並對來自台灣的攻擊裝置主機，進行反查，確認其管理公司以及人員，進行對主管機關進行資安通報，聯繫該攻擊方 IP 公司進行相關處理。該公司隨即停用該主機，重新安裝，中斷 C&C 在台灣中繼站，國外攻擊者 IP，則以E-mail 通知，並於事件發生期間，全面中斷境外相關連線，直到改善為止。
--------------
(題組題 1-2，複選題) 上述情境中，關於問題事件分析、作業規範、以及防護手段，下列敘述哪些正確？
---
教材內容：風險管理實務 _ 風險處理實務 P.106 *

1 point

MIS 進行相關處置對策，亦可稱為「緊急應變措施」

MIS 對應措施都必須保留相關需軌跡記錄，如：防火牆記錄、事件記錄、郵件記錄、通報記錄備份以備查，利於後續稽核作業

這類攻擊模式屬於一種 APT 攻擊行為，是很難防禦的

這次事件所受到攻擊，應該是針對特定目標人員的入侵攻擊行為

Required

(單選題) 與資訊安全風險分析相關議題的敘述，下列何者錯誤？
---
112-25
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

主管機關公文來函要求事項，可納入風險分析的參考

法律法規適用的要求事項，可納入風險分析的參考

客戶合約的要求，可以不用納入風險分析的參考

組織本身內部與外部的議題，可納入風險分析的參考

111 年 _ 題組 5
下圖為密碼學中常見的一種加密系統，請根據圖中資訊回答下列問題：
---
(題組題 5-4，複選題) 題組背景描述如附圖。請問下列關於此種加密系統的敘述，哪些正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

使用對稱金鑰（symmetric key）對訊息 (message）進行加解密

將對稱金鑰（symmetric key）以接收者的公開金鑰加密後再進行傳送

使用私密金鑰將訊息（message）進行加解密

此種加密方式可應用於傳輸層安全協議（Transport Layer Security, TLS）和安全殼協議（Secure Shell, SSH)

Required

109 年 _ 題組 1

某公司的資安人員依據公司設備狀況規劃以下網路架構設計圖：

---
(題組題 1-3，單選題) 題組背景描述如附圖。承上題，在此架構下，下列何者「不」是定期需要執行的資安維運任務？
---
教材內容：No

1 point

定期備份與演練

每半年做一次防毒掃描

每兩年做一次資料備份

不需向主管機關報告

111 年 _ 題組 5
下圖為密碼學中常見的一種加密系統，請根據圖中資訊回答下列問題：
---
(題組題 5-2，單選題) 題組背景描述如附圖。關於附圖中所標示的數字 1. 6. 之執行順序，下列排序何者最為合理？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

2.→1.→5.→3.→4.→6.

3.→5.→6.→4.→1.→2.

6.→1.→4.→3.→5.→2.

3.→1.→5.→4.→6.→2.

(單選題) 關於風險評鑑（Risk Assessment），下列敘述何者「不」正確？
---
110-9
教材內容：風險管理實務 _ 風險分析與評估 P.269 *

1 point

風險評鑑可以參考 ISO/IEC 31010:2019

根據風險評鑑的結果，可能有幾種決策：避免、分擔、降低、拒絕等四種處理風險方式

風險評鑑流程可以提供企業一套有系統、可量化的方式進行評估

風險評鑑結果可讓企業決定要對這樣的風險做什麼處置或防護來降低該風險，或降低該風險造成的影響

I 軟體明細:
。i 作業系統
。 ii 伺服器軟體
。 iii 資料庫軟體
。 iv 防毒軟體
。 v 客製化 ERP 系統
II 硬體明細:
。 i 行政電腦硬體
。 ii 伺服器硬體

--------------
(題組題 2-1，複選題) 上述情境中，關於該公司法務部門新主管為讓公司有關會員的業務活動能符合法律要求，因此提出了幾個供執行業務活動之同仁參考運用的法律規範，下列敘述哪些較正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.90 *

1 point

政府採購法

個人資料保護法

一般資料保護規則（General Data Protection Regulation,GDPR）

國家標準制定辦法

Required

(單選題) 在資訊安全模型（Security Models）中，關於自主存取控制（Discretionary Access Control, DAC），下列敘述何者「不」正確？
---
110-6
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.143 *

1 point

定義於可信任計算機系統評估準則（Trusted Computer System Evaluation Criteria, TCSEC）

依據事前定義（Pre-defined）主體（Subject）的安全等級和被存取物件（Object）機敏等級來決定是否可以存取

傳統 Unix 系統的使用者（Users）、群組（Groups）以及其它使用者（Other）的讀-寫-執行（Read-Write-Execute）管控，即為DAC 的一種實作

有特定權限的主體（Subject）可將存取權限授予其他主體

111 年 _ 題組 3
常青公司主要的營運系統建置於北部的舊有廠房內，包含 2 百萬元的伺服器主機、儲存媒體、網路設備及先前採購的 8 百萬元可重覆安裝資訊系統軟體，提供公司辦公室、原廠房以及合作的供應商相關營運作業管理，因原有廠區周邊環境設施不夠完善，最近 5 年因為颱風與豪雨，已經造成 3 次系統運作中斷和 1 次淹水損壞所有資訊系統設備；公司於南科建置的新廠將在年底落成，總經理要求資訊部門主管開始著手規劃未來長期業務持續管理 (Business Continuity Management, BCM），並且評估未來如果再發生障礙時，復原時間目標（Recovery Time Objective, RTO）不大於四小時的可行方案。
---
(題組題 3-4，複選題) 總經理要求增加評估雲端服務的備援方案，在目前運作順暢的作業流程下，將優先以使用既有穩定軟體系統為前題下，除了與原軟體廠商連繫確認其軟體系統支援主機虛擬化、可移植性與配合事項之外，參考 CNS19086 系列、CNS27018 以及 CNS27002 的相關安全規範，相較於一般先建異地備援方案，選用雲服務商（Cloud Service Provider, CSP）的雲端服務之時，必須考量下列哪些安全要素？
---

教材內容：教材內容：資訊安全管理系統 _ 營運衝擊分析 P.280

1 point

評估何種雲服務商提供的軟體即服務（Software as a Service, SaaS）是最符合公司本案相關服務運作需求與效益

評估雲服務商支援的服務等級目標（Service-Level Objective, SLO）、復原時間目標 Recovery Time Objective, RTO）與復原點目標（Recovery Point Objective, RPO）符合公司災難復原計劃與否

確認雲服務商所提供之安全過程及控制措施可以符合實體與環境安全的要求

確認雲服務商涵蓋所有建置服務的網路及通訊通道安全，並且可預防未經受權之雲端服務客戶（Cloud Service Customer,CSC) 間通訊技術方法

Required

110 年 _ 題組 4
D 公司主要業務為提供客戶雲端存儲服務，基於對客戶的保障，已通過ISO/IEC 27001 驗證，並訂定資安政策及資安目標，其中一項資安目標為提供客戶存儲服務系統，中斷服務不可超過 4 小時，因此相關系統及環境皆依此標準建置。
2020 年初，因疫情影響，公司評估此為重大事件，發現先前制定的分艙分流計畫不足以因應現況，故決議導入居家辦公系統，以便在公司受到疫情影響無法進入公司辦公時，能有效維運存儲服務系統，不中斷對客戶的服務，並於同年 4 月完成系統建置，讓系統維運及公司人員可透過此系統進入公司內網進行工作並對客戶提供服務。
因 D 公司因應得宜，受到某重要客戶青睞，於 2020 年 6 月與該重要客戶簽約提供資料存儲服務，合約中載明系統中斷不可超過 1 小時，公司評估未來營運成長需求，決定對提供客戶存儲服務之系統，設置異地備援之存儲服務系統，且主機房存儲服務系統中斷時，可自動切換至異地存儲服務系統，以避免區域性災難與滿足客戶要求。
---
(題組題 4-4，單選題) 題組背景描述如附圖。若建議異地備援機制後，仍因相關風險事件發生，D 公司進行居家辦公時，提供客戶之存儲服務系統仍出現中斷超過 1 小時的現象。請問造成上述中斷 1 小時的原因可能為下列何者？
1. 機房發生事故，機房內所有系統中斷超過 2 小時
2. 居家辦公系統未設置系統災害復原計畫，導致居家辦公系統
無法及時啟動異地備援機制
3. 主機房之存儲服務系統當機無法使用
4. 居家辦公系統及機房內之存儲服務系統同時中斷超過 2 小時
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.175 *

1 point

123

1234

234

(單選題) 關於資安工程師定期需要執行的資安維運任務，下列何者「不」正確？
---
109-2
*

1 point

定期備份與演練

每週防毒報告

每半年滲透測試

定期向會計主任報告

(單選題)OWASP Top 10:2021 所發布之 A04:2021-Insecure Design 主要是呈現出許多不同的弱點，代表著「缺乏或無效的控制設計」，試問下列對於預防 A04:2021-Insecure Design 發生的控制措施何者較「不」適當？
---
112-18
教材內容：請參考資訊安全防護實務的 OWASP 網頁風險 TOP10:
2021 *

1 point

建立與使用安全開發生命週期並且協同應用程式安全的專業人士來評估與設計安全與隱私相關的控制措施

建立與使用第三方的開源函式庫，或是使用已完成的元件

使用威脅建模在關鍵的認證、存取控制、商業邏輯與關鍵缺陷上

撰寫單元測試與整合測試來驗證所有的關鍵流程對威脅建模都有抵抗

(複選題) 根據 ISO/IEC 27001:2013，在資訊安全管理系統實施時，下列哪些是要求要留下文件化資訊紀錄的項目？
---
110-16
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循P.25 *

1 point

資訊安全政策的規範

風險評鑑與風險處理的過程與結果

資訊安全目標的內容與監督量測的結果

實施資訊安全管理系統的優點

Required

(複選題) 關於風險處理相關議題的敘述，下列哪些正確？
---
112-36
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

制定資訊安全目標，可依據風險處理的實施狀況來量化其達成結果

風險處理的計畫，需細部描述其內容，包含實施內容及相關負責人員等

風險處理的方式必須以修正風險的選項處理

風險分析結果可能性高、衝擊大的可考量選用避免風險

Required

(單選題)某中央一級單位通過 ISO/IEC27001 認證，公務資訊中心位置在台北市中正區。另有對外 7x24x365 Web Based 便民資訊系統與資料庫，以虛擬機制建立在中和機房，關於資訊安全管理建置，下列敘述何者「不」正確？
----------
108 年 _ 第 1 題
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.175 *

1 point

異地備援中心選擇「永和辦公室」主要考量因素是距離近

建議「異地備援機房建置」參考行政院「電腦機房異地備援機制參考指引」為佳

便民資訊系統應建立服務層級協議（Service Level Agreement,SLA），資訊系統建立負載平衡，資料庫建立高可用性架構尤佳

該單位資訊中心需定期驗證備份資料，確保資料系統高可用性

111 年 _ 題組 5
下圖為密碼學中常見的一種加密系統，請根據圖中資訊回答下列問題：
---
(題組題 5-1，單選題) 題組背景描述如附圖。請問圖中所使用的架構是何種加密系統？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

對稱式加密（Symmetric Encryption)

非對稱式加密（Asymmetric Encryption)

混合式加密（Hybrid Encryption)

雜湊演算法（Hash Algorithm)

(單選題) 下列何者「不」是提升服務可用性（Availability）的有效策略?
---
111-10
教材內容：資訊安全管理系統 _ 資訊管理實務 P.129 *

1 point

導入內容遞送網路（Content Delivery Network, CDN）服務

建置應用程式防火牆

設計自動擴展機制

規劃伺服器負載平衡架構

111 年 _ 題組 4
A 企業為台灣 50 大之企業之一，且為股票上市企業，實收資本額達新台幣 150 億元，主要營業項目為電商相關，該公司最近發現客服中心收到多筆客訴，內容主要都為消費者在公司電商網站購物後，就接到詐騙電話，電話中明確指出受駭者的消費明細，並誆稱要辦理退費，導引消費者去 ATM 操作，導致受駭者金錢損失。
---
(題組題 4-1，單選題) 題組背景描述如附圖。A 企業的資訊人員收到客服中心反應後，分析已知受詐騙的消費者，研判駭客可能是利用偷來的消費者資訊或密碼試圖登入網路服務的一種攻擊，下列攻擊手法何者正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

密碼撞庫攻擊

暴力密碼破解

加密密文破解

服務阻斷攻擊

(單選題) 電子郵件常用的數位簽章（Digital Signature），其目的是保護下列哪些資訊安全要素？
---
110-4
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.207 *

1 point

機密性（Confidentiality）與完整性（Integrity）

完整性（Integrity）與可用性（Availability）

完整性（Integrity）與不可否認性（Non-Repudiation）

機密性（Confidentiality）與不可否認性（Non-Repudiation）

109 年 _ 題組 2

---
(題組題 2-1，單選題) 題組背景描述如附圖。請問你正在進行的風險分析方法為下列何者？
---
教材內容：風險管理實務 _ 風險分析與評估 P.269

1 point

定性風險分析（Qualitative Risk Analysis）

定量風險分析（Quantitative Risk Analysis）

協同風險分析（Collaborative Risk Analysis）

風險分析矩陣（Risk Analysis Matrix）

(複選題) 密碼學（Cryptography）除了機密性（Confidentiality）之外，還可以保護下列何者特性？
---
109-18
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.197 *

1 point

完整性（Integrity）

可用性（Availability）

不可否認性（Non-Repudiation）

鑑別性（Authenticity）

Required

(單選題) 公司指派專人負責去回收櫃檯的新客戶個人資料表，裝箱並貼上封條後，再由該專人將這些資料開車運送到 3 公里之外的無人庫房存放，請問上述情境主要違反下列資訊安全管理的何項原則？
---
110-2
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.150 *

1 point

最小權限（Least Privilege）

僅知原則（Need to Know）

定期權限審查（Periodically Access Rights Review）

職務區隔（Segregation Of Duties）

112 年第 1 次 _ 題組 4
A 公司年初導入 ISO 27001 資訊安全管理制度，並參考 ISO 31000 風險架構制度訂定風險管理辦法及相關程序。公司亦順利於年底取得驗證通過，驗證過程稽核員於風險管理過程出具一項次要缺失，主因為 A公司於年度風險評鑑過程，風險項目量化數值計算錯誤，但不影響風險排序以及後續選擇風險進行回應之作業。
---
(題組題 4-3，單選題)
題組背景描述如附圖。公司取得 ISO 27001 驗證不久之後，即因違反法令規定收到政府機關之處罰，且該項法令規定並未被公司所關注。請問依照前述之風險管理流程，此問題應該在下列何項階段即被關注？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

風險辨識

建立全景

風險回應

風險分析及評估

112 年第 1 次 _ 題組 4
A 公司年初導入 ISO 27001 資訊安全管理制度，並參考 ISO 31000 風險架構制度訂定風險管理辦法及相關程序。公司亦順利於年底取得驗證通過，驗證過程稽核員於風險管理過程出具一項次要缺失，主因為 A公司於年度風險評鑑過程，風險項目量化數值計算錯誤，但不影響風險排序以及後續選擇風險進行回應之作業。
---
(題組題 4-2，單選題) 題組背景描述如附圖。請問 A 公司是否必須要重新進行年度風險評鑑作業，其原因為下列何項？
---
教材內容：風險管理實務 _ 風險分析與評估 P.264 *

1 point

是，因為此為外部稽核缺失

是，因為必須以此做為矯正預防措施之處理方式

否，僅需修正量化計算結果，因為不影響風險評鑑之結果

否，因為此項缺失並非主要缺失，不須立即於期限內回應驗證單位

109 年 _ 題組 5
近ABC 公司導入 ISO/IEC27001 資訊安全管理系統，並透過第三方稽核單位執行部分單位驗證。內部公告且遵循之資安事件（故）通報與處理規範如下：
---
(題組題 5-1，單選題) 題組背景描述如附圖。ABC 公司網管人員於定期審查內部網域伺服器日誌時發現疑似未經授權存取，下列敘述何者正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.123 *

1 point

尚未確認對內部系統造成影響，不需要進行資安通報

尚未確認為駭客所為，不需要進行資安通報

待確認為駭客所為且影響內部系統後，再進行通報

雖未確認駭客所為或影響內部系統，仍應儘速通報

(單選題) 在 ISO27000 系列標準中，下列何者為建置資訊安全管理系統的實作指引 (Information security management systems —Guidance)?
---
111-1
教材內容：資訊安全管理系統 _ISMS 一般指導綱要之標準 P.13 *

1 point

ISO/IEC 27001

ISO/IEC 27002

ISO/IEC 27003

ISO/IEC 27004

108 年 _ 題組 4
-----
ABC 公司為了提高資安防護，全公司通過 ISO/IEC27001 驗證，並「每半年」安排一次後續稽核，以確保證書的有效性。此次外部稽核派了稽核員Kelly 負責執行三天的稽核，受稽的資訊單位主管 Tim 拿出一份資料表，其中部分資料如下：
--------------
(題組題 4-3，單選題) 上述情境中，Kelly 又接著問了下列的問題：請問風險處理，針對衝擊不高（Impact）、發生可能性高（Possibility）且超過可接受風險等級
的項目，你們會採取什麼風險處理的對策？
Tim 回答：我們會採取避免/規避（Avoid）的方式，不讓這個可能的項目發生。關於上述風險處理方式，下列敘述何者正確？
---
教材內容：風險管理實務 _ 風險分析與評估 P.311 *

1 point

Tim 的回答正確

Tim 的回答不正確，應採用緩解（Modification/Mitigation）的方式

Tim 的回答不正確，應採用移轉（Sharing/Transference）的方式

Tim 的回答不正確，應採用接受（Retention/Acceptance）的方式

(單選題) 某公司為網路電信商，其多年前研發的即時通軟體非常受歡迎，然而在面對歐盟通用資料保護規則（EU General Data Protection Regulation, GDPR）時，內部評估發現其現有系統架構無法符合 GDPR 的規範，且系統修改費用驚人，管理層最後決定停止歐洲的市場業務，關於上述狀況，屬於下列何種風險處理？
---
109-6
教材內容：風險管理實務 _ 風險處理實務 P.311 *

1 point

風險降低（Risk Reduction）

風險接受（Risk Acceptance）

風險規避（Risk Avoidance）

風險轉移（Risk Transfer）

(單選題) 公司網站系統屬於公司門面，網站系統因對外服務，常常成為駭客入侵的首要目標，網站風險問題一直居高不下，就有效降低網站風險處理實務，下列敘述何者正確？
---
108 年 _ 第 13 題
教材內容：資訊安全管理系統 _ 資安管理系統建置實務 P.36 *

1 point

對於公司網站應定期進行網站黑箱檢測以及系統弱點掃描，對其程式碼應進行 Code Review

網站前端呈現與後台管理系統，在資料庫安全設計上，連線 DB的帳號密碼不需要區隔讀取與寫入刪除資料庫權限區隔

工程師在系統上直接更新新版程式，將舊版程式改名成 bak 作為歷史留存在上線官網系統中，以便日後改錯後有原始程式碼做修正使用

網站已經建立網站應用程式防火牆（Web Application Firewall,WAF）系統，其主機作業系統不需要再升級更新

1 point

透過電子郵件將資料寄出

透過 USB 外接儲存裝置

透過開發板上 SD 卡，將開發板模擬成網卡

透過手機拍照

112 年第 1 次 _ 題組 1
A 公司為某先進產品的製造商，該公司主要據點 B 與 C 分散在國內兩地，距離約 20 km，其主要客戶位於歐洲地區，該公司十分重視資訊安全及品質管理，先前已通過 ISO 9001、ISO 27001 及 ISO 27701 等相關標準的驗證。據點 B 主要主要包含的業務與技術服務部門，據點 C主要包含管理部門、資訊部門及相關研發、製造部門。
---
(題組題 1-4，複選題) 題組背景描述如附圖。公司希望其服務提供商，亦具備相關的工業控制系統資訊安全能力。從流程（Process）認證而言，可以進行下列哪兩種標準的認證？
---
教材內容：資訊安全管理系統 _ 資安與個資相關 ISO 標準 P.25 *

1 point

IEC 62443-2-4

IEC 62443-3-3

IEC 62443-2-3

IEC 62443-4-2

Required

I 軟體明細:
。i 作業系統
。 ii 伺服器軟體
。 iii 資料庫軟體
。 iv 防毒軟體
。 v 客製化 ERP 系統
II 硬體明細:
。 i 行政電腦硬體
。 ii 伺服器硬體

--------------
(題組題 2-4，單選題) 承上題，若活動進行中，該公司資安人員發現資料庫遭駭客入侵之處理，下列敘述何者較正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.102 *

1 point

立即依據緊急應變程序進行

立即關閉資料庫伺服器之電源

立即通報防毒廠商

立即登入資料庫採證

(單選題) 依據我國《資通安全管理法施行細則》條文中規定，下列何者「不」是資通安全維護計畫應（強制要求）包括的事項？
---
108 年 _ 第 3 題
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.110 *

1 point

核心業務及其重要性

資通安全政策及目標

實施安控的作業程序書

專責人力及經費之配置

(複選題) 某中小企業資訊部門之業務執掌包含程式開發、程式上線、應用程式管理以及資料庫管理等，該公司因故必須縮減資訊部門人力，若您是該企業之資訊部門主管，下列哪些項目之處理較能降低資安風險的發生？
---
108 年 _ 第 17 題
教材內容：資訊安全管理系統 _ 資安管理實務 P.148 *

1 point

將部分資安工作移轉至其他業務單位

增加業務活動之監視紀錄

增加資安稽核頻率

實施工作輪調

Required

(複選題) 某台灣公司在法國設廠，且帶有業務銷售功能，關於GDPR 法遵要求，下列敘述哪些正確？
---
108 年 _ 第 18 題
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.275 *

1 point

公司在法國設廠有研發業務中心，在地員工人數超過 400 人，進行在地歐洲各國銷售業務，需要在法國當地設立資料保護長職務（Data Protection Officer, DPO）來負責管控滿足歐盟當地個資隱私保護要求與法律責任

在銷售相關產品過程中，必須讓歐盟會員國公民，以清楚易懂文字描述讓當事人知道個資蒐集處理利用，獲得當事人「書面」同意

對歐盟成員國公民，該公民對公司要求撤銷個資蒐集處理利用同意書，可用艱澀法律文書限制撤銷個資程序，來做為後續分析使用

公司必須建立資安防護手段來確保歐盟公民個資不會外洩，一旦出現個資外洩需要在 36 小時，通知資料保護主管機關（DataProtection Authority）

Required

(單選題) 在網站弱點檢測報告中，發現系統本身有存在 Path
Manipulation 問題，可以採取下列何種方案進行修補？
---
108 年 _ 第 14 題
教材內容：無 *

1 point

可以使用白名單路徑跟黑名單危險字串過濾

可以採用圖像式驗證即可根治

HTML.Encode

採用 Prepare Statement

(單選題) 資訊單位負責導入新 ERP 資訊系統，進行系統安全評估時，評估考量項目應包括下列哪些項目？
1 系統安全性評估
2 容量管制評估
3 實體環境安全
4 使用者功能性需求評估
---
108 年 _ 第 8 題
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.223 *

1 point

134

1234

123

(複選題) 某公司正準備規劃其識別及存取管理（Identity and Access Management）機制，下列何者是可選擇的存取控制類型？
---
109-19
教材內容：資訊安全管理系統 _ 資安管理實務 P.143 *

1 point

強制存取控制（Mandatory Access Control, MAC）

識別存取控制（Identity-Based Access Control, IBAC）

規則基礎存取控制（Rule-Based Access Control, RuBAC）

自主存取控制（Discretionary Access Control, DAC）

Required

(複選題) 關於著作權的說明，下列敘述哪些正確？
---
108 年 _ 第 16 題
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.63 *

1 point

我們常說的版權，其實就是法律上著作

屬於民事權利

作品創作完成之著作權取得，需經過主管機關審查批准

指科學、文學、藝術作品的作者，依法對其作品享有的一系列專有權

Required

(複選題)ISO/IEC 27001 中所採用的風險評鑑（Risk
Assessment) 主要包含下列哪些步驟？
---
111-16
教材內容：資訊安全管理系統 _ 資訊安全風險評鑑 P.264 *

1 point

風險評估（Risk Evaluation)

風險分析（Risk Analysis)

風險分類（Risk Classification)

風險識別（Risk Identification)

Required

109 年 _ 題組 2

---
(題組題 2-2，單選題) 題組背景描述如附圖。公司筆記型電腦的
年度損失期望值（Annualized Loss Expectancy）為下列何者？
---
教材內容：風險管理實務 _ 風險分析與評估 P.??

1 point

75000

300000

30000

1200000

110 年 _ 題組 5
A 公司為先進資通訊產品代工製造商，為台灣股票公開發行公司，接受美國知名大廠 B 公司委託代為生產 B 公司所研發與設計商品，為了保護 B 公司的產品設計的機密與安全，A 公司在與 B 公司的製造的合約中，有嚴格的保密條款要求不得以任何型式洩露 B 公司的任何有關他們設計的產品資訊。A 公司也向 B 公司宣稱所有 B 公司委託生產製造的生產線皆採用獨立的生產線及網路實體隔離不與 Internet 連接（如下圖）。
B 公司生產環境的廠區 24 小時全面監控 IPCam 將錄影資訊留存於 A公司的 DVR 伺服器中，保存 6 個月之久，所有的管理帳中集中於 AAA伺服器中，由專人管理，絕對安全可靠。
此外，為方便管理 B 公司產線共用 A 公司的製造執行系統 MES（Manufacturing Execution System），提供自動化的製造排程與即時的圖表式看板供產線管理人員及 B 公司相關人員即時監控實際的生產狀況，如有任何異常立即排除。
---
(題組題 5-4，單選題) 題組背景描述如附圖。若要強化 A 公司的工控製造資通安全管理，應導入下列何種標準較為合適？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.50 *

1 point

IEC 62443-2-1

IEC 62443-2-4

ISO/IEC 27701

BS 10012

(單選題) 在存取控制上，零信任（Zero Trust）是一個重要課題。關於零信任的敘述，下列何者較「不」適當?
---
112-11
教材內容：資訊安全管理實務 _ 進階存取控制零信任架構 P.152 *

1 point

零信任依循「永不信任，一律驗證」的原則

推動零信任，企業可能需要重新評估每項資產的保護方式

零信任倚重於最大特權原則等治理政策

是 Forrester 的 John Kindervag 首次創造的一個名詞

109 年 _ 題組 1

某公司的資安人員依據公司設備狀況規劃以下網路架構設計圖：

---
(題組題 1-1，複選題) 題組背景描述如附圖。請問該網路架構設計中，存在下列哪些問題？
---
教材內容：資訊安全管理系統 _ 安全架構規劃實務 P.254

1 point

OFFICE 與 DMZ 未區分網段

伺服器與資料庫放在同一台

自行架設郵件伺服器安全性不足

印表機應該使用無線分享以增加便利性

Required

(複選題) 關於多層次縱深防禦（Diversity and Defense-in-Depth），下列敘述哪些較正確？
---
110-17
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.173 *

1 point

以勒索病毒破壞為例，因無絕對解決方案，故沒有多層次防禦的相關機制

多層次縱深防禦就是利用多層次的防禦技術來阻絕不同類型的攻擊

多層次縱深防禦架構會涵蓋：管理、實體裝置、技術三個控制層面來達成安全管理的目標

層次縱深防禦機制可達到嚇阻（Deter）、偵測（Detect）、延遲（Delay）、禁制（Deny）的效果

Required

111 年 _ 題組 4
A 企業為台灣 50 大之企業之一，且為股票上市企業，實收資本額達新台幣 150 億元，主要營業項目為電商相關，該公司最近發現客服中心收到多筆客訴，內容主要都為消費者在公司電商網站購物後，就接到詐騙電話，電話中明確指出受駭者的消費明細，並誆稱要辦理退費，導引消費者去 ATM 操作，導致受駭者金錢損失。
---
(題組題 4-3，單選題)
題組背景描述如附圖。由於該電商系統係該公司委外開發及維運，因應此一風險，進行了以下五種措施，下列哪些措施屬於風險分擔（Risk Sharing) ?
（甲）新增使用者登入簡訊驗證功能。
（乙）在公司官網公告此一資安情況並請使用者注意，以及公布專線客服電話協助消費者處理。
（丙）與保險公司投保資安保險，以減少公司損失。
（丁）請委外廠商進行系統健檢，結果發現該系統有二項嚴重漏洞未修補，該漏洞亦有可能造成系統密碼被竊，要求廠商立即修補完成。
（戊）調整與委外廠商的合約內容，新增若因系統設計維運不當，造成甲方（A 企業）的損失時，該損失皆須由委外廠商全額負擔。
---
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.238 *

1 point

甲、丙、戊

乙、丁

丙、戊

丙、丁

111 年 _ 題組 1
---
(題組題 1-1，單選題) 若發現外部供應商偷偷攜帶隨身碟（USB Disk）進入公司使用，竊取公司內部資料並造成病毒蔓延，下列風險處理措施何者最「不」正確？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：風險處理實務 P.311 *

1 point

確實登記外部供應商隨身碟型號後歸還

確認隨身碟所使用之公司內部電腦，應進行病毒檢查

確認隨身碟所使用之公司內部電腦，相關檔案操作記錄，確認公司機密資料是否被存入隨身碟

依據資安管理辦法及與外部供應商簽署同意進入公司資安規定，對外部供應商進行開罰

(單選題) 下列何者是進行定性（Qualitative）風險分析使用的方法？
---
110-10
教材內容：風險管理實務 _ 風險分析與評估 P.269 *

1 point

資產產值

發生次數

風險矩陣

損失金額

(單選題) 若要設定防火牆內對外的連線，僅開放對外的服務及網頁瀏覽，下列敘述何者正確？
---
109-3
教材內容：請參考「資訊安全防護實務」、資訊安全管理系統 _ 安全架構規劃實務 P.238 *

1 point

Allow all

Allow http port 22

Allow https port 443

Allow smtp 25

108 年 _ 題組 1
-----
某上櫃企業已通過 ISO/IEC27001 認證，於某上班日發現公司半數同仁AD 帳號遭到鎖定，無法使用 AD 帳號密碼登入電腦系統。MIS 進行AD 解鎖後，同仁隨即再次被鎖定無法登入，慌亂初期 MIS 採取區域性斷網，依然無效。
隨即分析 AD 主機事件記錄，發現都是 Exchange Server 所造成，進一步分析防火牆記錄，發現大量外部 access OWA 的 443Port 登入失敗，有多個來源遠端攻擊者裝置嘗試入侵 Web Mail 系統失敗，類似「DDoS」與「密碼暴力攻擊」。
MIS 採取緊急應變措施，阻斷相關攻擊者裝置 IP。可是每隔一段時間會自動換成其他國家地區 IP 持續入侵攻擊，MIS 進一步將境外非台 IP全面禁止，以短暫維持運作。但相關攻擊來源竟轉換台灣地區 IP。MIS進一步採取關閉用外部開放使用 Exchange OWA 服務，要求公司外部活動人員須以 VPN 方式，建立裝置放行白名單方式，進行 Exchange郵件登入作業。而 VPN 依群組方式申請建立不同放行權限，非全面開放。
並對來自台灣的攻擊裝置主機，進行反查，確認其管理公司以及人員，進行對主管機關進行資安通報，聯繫該攻擊方 IP 公司進行相關處理。該公司隨即停用該主機，重新安裝，中斷 C&C 在台灣中繼站，國外攻擊者 IP，則以E-mail 通知，並於事件發生期間，全面中斷境外相關連線，直到改善為止。
--------------
(題組題 1-4，單選題) 上述情境中，關於 MIS 在完成事件處置過程中依據之 ISO/IEC27001 相關制度，下列敘述何者「不」正確？
---
教材內容：資訊安全管理系統 _ 資訊安全管理系統建置實務與法規遵循 P.25 *

1 point

MIS 需撰寫資安事件報告，作為事件處理記錄

MIS 需執行矯正措施，以利 PDCA 流程管理

MIS 關閉 ExchangeOWA 外部服務，需填寫連線申請表單

VPN 服務開啟，只需口頭告知即可

110 年 _ 題組 3
C 公司已投入電子商務 2 年，雖然疾情對既有傳統商務有些微影響，但是整體電子商務營運仍持續成長，並且已達到必須增建機房設施與系統容量之際，身為資訊部門的主管，您必須要在擴充資訊系統之際，同時規劃兼顧提昇系統資訊安全的任務，請就上述情境回答下列問題。
---
(題組題 3-1，單選題) 題組背景描述如附圖。關於 CNS 27001資訊安全管理系統與 CNS 27002 資訊安全控制措施作業規範，下列何者「不」是 C 公司啟動資訊安全管理系統最須優先處理的作業？
---
教材內容：風險管理實務 _ 風險處理實務 P.25 *

1 point

建立管理框架，於組織內啟動及控制資訊安全之實作

識別既有電子商務系統風險，確保相關資訊受到適切等級的保護

於最高層級上定義資訊安全管理政策，明列組織管理資安目標之作業，並由管理階層核准

依據營業要求及相關法規，提供資訊安全之管理指導方針及支持

111 年 _ 題組 3
常青公司主要的營運系統建置於北部的舊有廠房內，包含 2 百萬元的伺服器主機、儲存媒體、網路設備及先前採購的 8 百萬元可重覆安裝資訊系統軟體，提供公司辦公室、原廠房以及合作的供應商相關營運作業管理，因原有廠區周邊環境設施不夠完善，最近 5 年因為颱風與豪雨，已經造成 3 次系統運作中斷和 1 次淹水損壞所有資訊系統設備；公司於南科建置的新廠將在年底落成，總經理要求資訊部門主管開始著手規劃未來長期業務持續管理 (Business Continuity Management, BCM），並且評估未來如果再發生障礙時，復原時間目標（Recovery Time Objective, RTO）不大於四小時的可行方案。
---
(題組題 3-1，單選題) 題組背景描述如附圖。業務持續管理的一大重點是業務衝擊分析 (Business Impact Analysis, BIA），請問下列何者「並非」業務衝擊分析後能達成的目標？
---

教材內容：資訊安全管理系統 _ 營運衝擊分析 P.280

1 point

計算失能可能造成的衝擊和損失，評估可能的損失幫助爭取改進預算

分析出外部攻擊威脅與內部系統弱點，以供研擬後續的防護機制

記錄下使用那些流程 /活動，對組織產生衝擊，以及如何快速恢復

採用風險分擔 (Risk sharing）時，讓公司知道需要買什麼保險與額度才能感到安全

(複選題) 網路安全框架（Cybersecurity Framework, CSF）為美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）彙整後所提出，作為整體網路安全架構之規劃藍圖參考，請問該 CSF 之組成元素包含下列哪些項目？
---
111-18
教材內容：資訊安全管理系統 _ 資訊管理實務：NIST Cybersecurity Framework(CSF) P.55 *

1 point

框架核心（Framework Core)

框架設定檔（Framework Profile)

實施程序（Framework Procedure)

實施層級（Implementation Tiers)

Required

(單選題) 下列何種組合「不」屬於多因子驗證（Multi-factor Authentication）？
---
110-5
教材內容：資訊安全管理系統 _ 資訊管理實務：存取控制、縱深防禦、職務區隔 (SOD) P.135 *

1 point

Smart Card, PIN

Password, OTP

Password, Username

Fingerprint, PIN

111 年 _ 題組 2
迪菲-赫爾曼密鑰交換（Diffie-Hellman Key Exchange, D-H）是一種金鑰交換方法，其能夠讓通訊雙方在公開通道上建立金鑰，並且使用該金鑰在後續的通訊中作為共同金鑰來加密訊息內容。若小美和小明想要使用這個演算法來建立一個共同金鑰以利後續的訊息交換，則他們所使用的計算過程及參數如下所示：
圖1
根據此式，小美和小明可以先各自選定私鑰 a 和 b，並搭配公開資訊 g與 p 來計算得到共同金鑰 K。假設小美為金鑰交換的發起端，則金鑰建立流程如下所示：
在步驟 5. 以後，雙方皆得到一個相同的金鑰 K 可作為後續訊息交換使用。
---
(題組題 2-1，單選題) 題組背景描述如附圖。假設小美和小明協議使用 g=5 和 p=11 並且小美選定其私鑰為 a=3，小明選定其私鑰 b=4。請問經過雙方計算所得到的共同金鑰 K 值為何？
---
教材內容：資訊安全管理系統 _ 資訊管理實務：密碼學 P.197 *

1 point

K=1

K=2

K=3

K=4

A copy of your responses will be emailed to .

Submit

Clear form

This content is neither created nor endorsed by Google. - Terms of Service - Privacy Policy

Does this form look suspicious? Report

Forms