E等公務員,e學中心,解答,測驗,資安法遵查核重點—其他稽核重點(113)
「資安法遵查核重點—其他稽核重點(113)」e等公務園+e學中心+學習平臺解答
相信大家會搜尋進來,應該也是為了更快速完成測驗,貼心的我們懂你❤資料均網路上蒐集整理,僅供參考。大家善用Ctrl+F搜尋題目關鍵字,相信很快就找到答案。
問:有關機關應訂定資通安全之績效評估方式(如績效指標等),且定期監控、量測、分析及檢視,下列哪一項敘述是不正確的? 機關應訂定資通安全目標,設定量化與質性指標v 機關應將績效評估方式及結果公開於網站上,以提高資通安全之透明度 機關訂定績效指標應考量其適切性及可行性 機關應定期及指派人員監控、量測、分析及檢視之績效評估方式,以確保有效的結果 問:資通系統開發如委外辦理,應將系統發展生命週期( SSDLC) 各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約,是屬於下列SSDLC的哪一個階段? SSDLC需求階段 SSDLC設計階段 SSDLC測試階段v SSDLC委外階段 問:依資通安全責任等級分級辦法規定,A級公務機關應配置多少位資安人力?v 4位專職人員 4位專責人員 2位專職人員 2位專責人員 問:有關資通系統執行源碼掃描安全檢測,應在系統發展生命週期( SSDLC)的哪一個階段執行?v SSDLC開發階段 SSDLC設計階段 SSDLC測試階段 SSDLC委外階段 問:依CNS 27002:2023之資訊安全控制措施標準,其開發、測試與運作環境之區隔,屬於下列哪一類別之控制措施?v 技術控制措施 人員控制措施 實體控制措施 組織控制措施 問:有關資通安全實地稽核項目,下列哪一項不屬於技術面的稽核項目? 資通安全事件通報應變及情資評估因應v 資訊及資通系統盤點及風險評估 資通安全防護及控制措施 資通系統發展及維護安全 問:依資通系統防護基準之事件日誌與可歸責,對日誌應進行存取控管,並有適當之保護控制措施,下列哪一項措施是不正確的? 對日誌之存取管理,僅限於有權限之使用者 日誌應運用雜湊或其他適當方式之完整性確保機制 定期備份日誌至原系統外之其他實體系統v 日誌應以明文格式儲存,以利查閱 問:依資通系統防護基準規定,機關應定期執行重要資料之備份作業,下列敘述何者是正確的? 普級資通系統應進行備份還原測試 中級資通系統應進行備份還原測試v 高級資通系統應進行備份還原測試 普級應定期測試備份資訊,以驗證備份媒體之可靠性及資訊之完整性 問:依資通安全事件通報及應變辦法規定,各機關於發現第2級資通安全事件後,必須在幾小時內完成損害控制或復原作業,並且要繼續進行事件的調查和處理? 24小時內 36小時內 48小時內v 72小時 問:有關資通安全威脅偵測管理(SOC)機制,下列哪一項內容不屬於其監控範圍? 端點偵測及應變機制之辦理內容 資通安全防護之辦理內容 資訊服務或應用程式紀錄v 系統維護作業 問:若公務機關向主管機關通報第3級資通安全事件時,則主管機關應於多少時限內完成審核? 1小時內v 2小時內 3小時內 4小時內 問:依資通安全管理法施行細則規定,機關應盤點資訊及資通系統,並標示核心資通系統及相關資產,下列哪一項敘述是不正確的? 資產盤點之範圍應為全機關 資產盤點應建立清冊 資產盤點應鑑別其資產價值v 資產盤點應每2年檢視一次資通系統分級之妥適性 問:有關資通系統上線前,下列哪一項不是安全性要求之測試項目? 機敏資料存取測試v 系統效能測試 用戶輸入輸出之檢查過濾測試 用戶登入資訊檢核測試 問:為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,下列哪一項敘述是不正確的?v 禁止使用及採購大陸製造的資通訊產品 禁止使用及採購大陸廠牌的資通訊產品 禁止使用及採購大陸廠牌的資通訊軟體 禁止使用及採購大陸廠牌的資通訊服務 問:針對機關內部同仁及委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理,並有適當之防護措施, 下列哪一項防護措施是不正確的? 開放遠端存取期間,原則以短天期為限,並建立異常行為管理機制v 遠端存取期間,為方便廠商進行系統維護,原則以長天期為限,並可繼續使用遠端存取通道(如 VPN)登入密碼 依資通系統防護基準有關遠端存取相關規定辦理,並建立及落實管理機制 於結束遠端存取期間後,應確實關閉網路連線,並更換遠端存取通道(如 VPN)登入密碼 問:有關資通安全情資分享辦法規定,下列哪一項敘述是不正確的? 公務機關應適時與主管機關進行情資分享 主管機關應適時與公務機關進行情資分享v 特定非公務機關應適時與中央目的事業主管機關進行情資分享 中央目的事業主管機關應適時與其所管之特定非公務機關進行情資分享 問:有關資通系統的弱點掃描及滲透測試,應在系統發展生命週期( SSDLC)的哪一個階段執行? SSDLC需求階段 SSDLC設計階段v SSDLC測試階段 SSDLC委外階段 問:機關如委外開發核心資通系統,對於系統之安全性檢測,下列哪一項作法是正確的? 委外廠商無須提供核心資通系統安全性檢測報告,委託機關應自行進行安全性檢測 委外廠商無須提供核心資通系統安全性檢測報告,委託機關應另行委託第三方進行安全性檢測v 委外廠商須提供核心資通系統安全性檢測報告外,委託機關應自行或另行委託第三方進行安全性檢測 委外廠商須提供核心資通系統安全性檢測報告,委託機關無須再進行任何安全性檢測 問:依資通安全事件通報及應變辦法規定,機關應多久辦理1次社交工程演練?v 每半年辦理1次 每年辦理1次 每季辦理1次 每月辦理1次 問:依資通安全事件通報及應變辦法規定,機關應多久辦理1次資通安全事件通報及應變演練? 每月辦理1次 每季辦理1次 每半年辦理1次v 每年辦理1次
問:有關機關應訂定資通安全之績效評估方式(如績效指標等),且定期監控、量測、分析及檢視,下列哪一項敘述是不正確的?
機關應訂定資通安全目標,設定量化與質性指標
v 機關應將績效評估方式及結果公開於網站上,以提高資通安全之透明度
機關訂定績效指標應考量其適切性及可行性
機關應定期及指派人員監控、量測、分析及檢視之績效評估方式,以確保有效的結果
問:資通系統開發如委外辦理,應將系統發展生命週期( SSDLC) 各階段依等級將安全需求(含機密性、可用性、完整性)納入委外契約,是屬於下列SSDLC的哪一個階段?
SSDLC需求階段
SSDLC設計階段
SSDLC測試階段
v SSDLC委外階段
問:依資通安全責任等級分級辦法規定,A級公務機關應配置多少位資安人力?
v 4位專職人員
4位專責人員
2位專職人員
2位專責人員
問:有關資通系統執行源碼掃描安全檢測,應在系統發展生命週期( SSDLC)的哪一個階段執行?
v SSDLC開發階段
SSDLC設計階段
SSDLC測試階段
SSDLC委外階段
問:依CNS 27002:2023之資訊安全控制措施標準,其開發、測試與運作環境之區隔,屬於下列哪一類別之控制措施?
v 技術控制措施
人員控制措施
實體控制措施
組織控制措施
問:有關資通安全實地稽核項目,下列哪一項不屬於技術面的稽核項目?
資通安全事件通報應變及情資評估因應
v 資訊及資通系統盤點及風險評估
資通安全防護及控制措施
資通系統發展及維護安全
問:依資通系統防護基準之事件日誌與可歸責,對日誌應進行存取控管,並有適當之保護控制措施,下列哪一項措施是不正確的?
對日誌之存取管理,僅限於有權限之使用者
日誌應運用雜湊或其他適當方式之完整性確保機制
定期備份日誌至原系統外之其他實體系統
v 日誌應以明文格式儲存,以利查閱
問:依資通系統防護基準規定,機關應定期執行重要資料之備份作業,下列敘述何者是正確的?
普級資通系統應進行備份還原測試
中級資通系統應進行備份還原測試
v 高級資通系統應進行備份還原測試
普級應定期測試備份資訊,以驗證備份媒體之可靠性及資訊之完整性
問:依資通安全事件通報及應變辦法規定,各機關於發現第2級資通安全事件後,必須在幾小時內完成損害控制或復原作業,並且要繼續進行事件的調查和處理?
24小時內
36小時內
48小時內
v 72小時
問:有關資通安全威脅偵測管理(SOC)機制,下列哪一項內容不屬於其監控範圍?
端點偵測及應變機制之辦理內容
資通安全防護之辦理內容
資訊服務或應用程式紀錄
v 系統維護作業
問:若公務機關向主管機關通報第3級資通安全事件時,則主管機關應於多少時限內完成審核?
1小時內
v 2小時內
3小時內
4小時內
問:依資通安全管理法施行細則規定,機關應盤點資訊及資通系統,並標示核心資通系統及相關資產,下列哪一項敘述是不正確的?
資產盤點之範圍應為全機關
資產盤點應建立清冊
資產盤點應鑑別其資產價值
v 資產盤點應每2年檢視一次資通系統分級之妥適性
問:有關資通系統上線前,下列哪一項不是安全性要求之測試項目?
機敏資料存取測試
v 系統效能測試
用戶輸入輸出之檢查過濾測試
用戶登入資訊檢核測試
問:為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,下列哪一項敘述是不正確的?
v 禁止使用及採購大陸製造的資通訊產品
禁止使用及採購大陸廠牌的資通訊產品
禁止使用及採購大陸廠牌的資通訊軟體
禁止使用及採購大陸廠牌的資通訊服務
問:針對機關內部同仁及委外廠商進行遠端維護資通系統,應採「原則禁止、例外允許」方式辦理,並有適當之防護措施, 下列哪一項防護措施是不正確的?
開放遠端存取期間,原則以短天期為限,並建立異常行為管理機制
v 遠端存取期間,為方便廠商進行系統維護,原則以長天期為限,並可繼續使用遠端存取通道(如 VPN)登入密碼
依資通系統防護基準有關遠端存取相關規定辦理,並建立及落實管理機制
於結束遠端存取期間後,應確實關閉網路連線,並更換遠端存取通道(如 VPN)登入密碼
問:有關資通安全情資分享辦法規定,下列哪一項敘述是不正確的?
公務機關應適時與主管機關進行情資分享
主管機關應適時與公務機關進行情資分享
v 特定非公務機關應適時與中央目的事業主管機關進行情資分享
中央目的事業主管機關應適時與其所管之特定非公務機關進行情資分享
問:有關資通系統的弱點掃描及滲透測試,應在系統發展生命週期( SSDLC)的哪一個階段執行?
SSDLC需求階段
SSDLC設計階段
v SSDLC測試階段
SSDLC委外階段
問:機關如委外開發核心資通系統,對於系統之安全性檢測,下列哪一項作法是正確的?
委外廠商無須提供核心資通系統安全性檢測報告,委託機關應自行進行安全性檢測
委外廠商無須提供核心資通系統安全性檢測報告,委託機關應另行委託第三方進行安全性檢測
v 委外廠商須提供核心資通系統安全性檢測報告外,委託機關應自行或另行委託第三方進行安全性檢測
委外廠商須提供核心資通系統安全性檢測報告,委託機關無須再進行任何安全性檢測
問:依資通安全事件通報及應變辦法規定,機關應多久辦理1次社交工程演練?
v 每半年辦理1次
每年辦理1次
每季辦理1次
每月辦理1次
問:依資通安全事件通報及應變辦法規定,機關應多久辦理1次資通安全事件通報及應變演練?
每月辦理1次
每季辦理1次
每半年辦理1次
v 每年辦理1次
評論