E等公務員,e學中心,解答,測驗,資安管理制度(ISMS)標準─ISO/IEC 27001:2013介紹
「資安管理制度(ISMS)標準─ISO/IEC 27001:2013介紹」e等公務園+e學中心+學習平臺解答
相信大家會搜尋進來,應該也是為了更快速完成測驗,貼心的我們懂你❤資料均網路上蒐集整理,僅供參考。大家善用Ctrl+F搜尋題目關鍵字,相信很快就找到答案。
問:機關組織每一季實施人員資安教育訓練,屬於哪一個資安強化重點? 個人資料管理機制的強化 營運及服務持續機制的強化v 人員對於資安意識的持續提升 對外提供服務之資訊系統的強化 問:依客戶端需求提升服務主機與系統的維護管理機制,屬於哪一個資安強化重點? 個人資料管理機制的強化 營運及服務持續機制的強化 人員對於資安意識的持續提升v 對外提供服務之資訊系統的強化 問:組織在決定ISMS的範圍時,ISO/IEC 27001中要求組織必須依其所面臨的議題、風險、挑戰及關注方之需要及期望等決定適切的範圍及邊界,下列那一個例子為較佳的範圍? 組織之核心業務涉及到國家關鍵基礎建設的管理,決定以特定重要資訊系統作為ISMS的範圍。 組織有許多業務因資源及技術考量決定由業務單位進行委外,業務單位要求其中最重要的委外廠商導入ISMS。v 組織透過適當的方法鑑別出組織最關鍵及核心的業務活動,要求該業務活動涉及業務部門、資訊部門及支援的部門導入資訊安全。 組織業務涉及對外民眾服務並涉及到個資的蒐集、處理及利用,要求資訊中心進行資訊安全的導入。 問:在ISO/IEC 27001的管理制度面要求中,如何有效的鑑別組織所面臨的風險及機會,並採取適切的行動予以因應為關鍵成功要素。組織應如何鑑別所面臨的風險?v 鑑別組織所面臨的資安風險 (從機密性、完整性、可用性相關角度鑑別)v 鑑別各項風險發生的可能性 鑑別風險處理選項v 鑑別各項風險發生後的後果 問:組織需針對鑑別出的高風險進行必要的風險處理,下列何者為國際標準或實務中建議的風險處理選項?v 避免風險 不予理會v 轉移風險v 降低風險 問:績效評估為ISO/IEC 27001: 2013年版中的主要改變之一,請問在制定資安KPI (關鍵績效指標時) 需要考慮的項目何者為非? 需針對ISMS的過程及安控措施制定KPI 需針對各項KPI定義5W & 1Hv KPI不需要量化 需定義監控,量測,分析及評估KPI之方法 問:下列哪一項要求屬於ISO/IEC 27001的管理制度面中對規劃階段的要求?v 領導作為v 支援 績效評估v 組織全景 問:妥善的保護組織的關鍵資訊資產是導入資訊安全管理的重點之一,有哪些措施可以進行資產管理?v A.8.1資產責任v A.8.2資訊分級v A.8.3媒體處置 A.9.3使用者責任 問:有鑑於網路攻擊 (cyber attack)對於組織資安管理的影響,ISO/IEC 27001在哪一個章節提供了額外的建議供組織強化及遵循?v A.13通訊安全 A.7人力資源安全 A.14系統獲取、開發及維護 A.8資產管理 問:下列那一個控制措施不是 ISO/IEC 27001:2013年版中因應未來風險所新增之控制措施? A.17.2.1 資訊處理設施之可用性 A.16.1.4 對資訊安全事件之評鑑及決策v A.8.2.1資訊之分級 A.6.2.1 行動裝置政策 問:委外或供應商管理是組織在資安管理上不可忽視的關鍵議題,下列哪幾個控制目標與此議題有關?v 供應者關係中之資訊安全 對法律及契約要求事項之遵循 資訊安全審查v 供應者服務交付管理 問:下列哪一個控制目標不是A.12 運作章節中的管理重點? 防範惡意軟體 存錄與監視 運作程序及責任v 保全區域 問:下列何者對ISO/IEC 27001:2013安控措施的敘述是正確的? 安控措施的章節從A.5 ~ A.18 (共14個面向的要求) 安控措施的數量共有114個 安控措施包含管理面、技術面及政策面的要求v 以上皆是 問:ISO/IEC 27000系列標準中,哪一本標準為驗證用的標準,組織可用來對外展現其資訊安全管理滿足國際標準的基本要求? ISO/IEC 27002 ISO/IEC 27000v ISO/IEC 27001 ISO/IEC 27005
問:機關組織每一季實施人員資安教育訓練,屬於哪一個資安強化重點?
個人資料管理機制的強化
營運及服務持續機制的強化
v 人員對於資安意識的持續提升
對外提供服務之資訊系統的強化
問:依客戶端需求提升服務主機與系統的維護管理機制,屬於哪一個資安強化重點?
個人資料管理機制的強化
營運及服務持續機制的強化
人員對於資安意識的持續提升
v 對外提供服務之資訊系統的強化
問:組織在決定ISMS的範圍時,ISO/IEC 27001中要求組織必須依其所面臨的議題、風險、挑戰及關注方之需要及期望等決定適切的範圍及邊界,下列那一個例子為較佳的範圍?
組織之核心業務涉及到國家關鍵基礎建設的管理,決定以特定重要資訊系統作為ISMS的範圍。
組織有許多業務因資源及技術考量決定由業務單位進行委外,業務單位要求其中最重要的委外廠商導入ISMS。
v 組織透過適當的方法鑑別出組織最關鍵及核心的業務活動,要求該業務活動涉及業務部門、資訊部門及支援的部門導入資訊安全。
組織業務涉及對外民眾服務並涉及到個資的蒐集、處理及利用,要求資訊中心進行資訊安全的導入。
問:在ISO/IEC 27001的管理制度面要求中,如何有效的鑑別組織所面臨的風險及機會,並採取適切的行動予以因應為關鍵成功要素。組織應如何鑑別所面臨的風險?
v 鑑別組織所面臨的資安風險 (從機密性、完整性、可用性相關角度鑑別)
v 鑑別各項風險發生的可能性
鑑別風險處理選項
v 鑑別各項風險發生後的後果
問:組織需針對鑑別出的高風險進行必要的風險處理,下列何者為國際標準或實務中建議的風險處理選項?
v 避免風險
不予理會
v 轉移風險
v 降低風險
問:績效評估為ISO/IEC 27001: 2013年版中的主要改變之一,請問在制定資安KPI (關鍵績效指標時) 需要考慮的項目何者為非?
需針對ISMS的過程及安控措施制定KPI
需針對各項KPI定義5W & 1H
v KPI不需要量化
需定義監控,量測,分析及評估KPI之方法
問:下列哪一項要求屬於ISO/IEC 27001的管理制度面中對規劃階段的要求?
v 領導作為
v 支援
績效評估
v 組織全景
問:妥善的保護組織的關鍵資訊資產是導入資訊安全管理的重點之一,有哪些措施可以進行資產管理?
v A.8.1資產責任
v A.8.2資訊分級
v A.8.3媒體處置
A.9.3使用者責任
問:有鑑於網路攻擊 (cyber attack)對於組織資安管理的影響,ISO/IEC 27001在哪一個章節提供了額外的建議供組織強化及遵循?
v A.13通訊安全
A.7人力資源安全
A.14系統獲取、開發及維護
A.8資產管理
問:下列那一個控制措施不是 ISO/IEC 27001:2013年版中因應未來風險所新增之控制措施?
A.17.2.1 資訊處理設施之可用性
A.16.1.4 對資訊安全事件之評鑑及決策
v A.8.2.1資訊之分級
A.6.2.1 行動裝置政策
問:委外或供應商管理是組織在資安管理上不可忽視的關鍵議題,下列哪幾個控制目標與此議題有關?
v 供應者關係中之資訊安全
對法律及契約要求事項之遵循
資訊安全審查
v 供應者服務交付管理
問:下列哪一個控制目標不是A.12 運作章節中的管理重點?
防範惡意軟體
存錄與監視
運作程序及責任
v 保全區域
問:下列何者對ISO/IEC 27001:2013安控措施的敘述是正確的?
安控措施的章節從A.5 ~ A.18 (共14個面向的要求)
安控措施的數量共有114個
安控措施包含管理面、技術面及政策面的要求
v 以上皆是
問:ISO/IEC 27000系列標準中,哪一本標準為驗證用的標準,組織可用來對外展現其資訊安全管理滿足國際標準的基本要求?
ISO/IEC 27002
ISO/IEC 27000
v ISO/IEC 27001
ISO/IEC 27005
評論