資安管理制度(ISMS)標準─ISO/IEC 27001：2013介紹《解答》

題庫總數：14
是非題：0
選擇題：9 (A：1、B：0、C：5、D：3)
多選題：5
roddayeye整理
Q		機關組織每一季實施人員資安教育訓練，屬於哪一個資安強化重點？
		個人資料管理機制的強化
		營運及服務持續機制的強化
v		人員對於資安意識的持續提升
		對外提供服務之資訊系統的強化

Q		依客戶端需求提升服務主機與系統的維護管理機制，屬於哪一個資安強化重點？
		個人資料管理機制的強化
		營運及服務持續機制的強化
		人員對於資安意識的持續提升
v		對外提供服務之資訊系統的強化

Q		組織在決定ISMS的範圍時，ISO/IEC 27001中要求組織必須依其所面臨的議題、風險、挑戰及關注方之需要及期望等決定適切的範圍及邊界，下列那一個例子為較佳的範圍?
		組織之核心業務涉及到國家關鍵基礎建設的管理，決定以特定重要資訊系統作為ISMS的範圍。
		組織有許多業務因資源及技術考量決定由業務單位進行委外，業務單位要求其中最重要的委外廠商導入ISMS。
v		組織透過適當的方法鑑別出組織最關鍵及核心的業務活動，要求該業務活動涉及業務部門、資訊部門及支援的部門導入資訊安全。
		組織業務涉及對外民眾服務並涉及到個資的蒐集、處理及利用，要求資訊中心進行資訊安全的導入。

Q		在ISO/IEC 27001的管理制度面要求中，如何有效的鑑別組織所面臨的風險及機會，並採取適切的行動予以因應為關鍵成功要素。組織應如何鑑別所面臨的風險?
v		鑑別組織所面臨的資安風險 (從機密性、完整性、可用性相關角度鑑別)
v		鑑別各項風險發生的可能性
		鑑別風險處理選項
v		鑑別各項風險發生後的後果

Q		組織需針對鑑別出的高風險進行必要的風險處理，下列何者為國際標準或實務中建議的風險處理選項?
v		避免風險
		不予理會
v		轉移風險
v		降低風險

Q		績效評估為ISO/IEC 27001: 2013年版中的主要改變之一，請問在制定資安KPI (關鍵績效指標時) 需要考慮的項目何者為非?
		需針對ISMS的過程及安控措施制定KPI
		需針對各項KPI定義5W & 1H
v		KPI不需要量化
		需定義監控，量測，分析及評估KPI之方法

Q		下列哪一項要求屬於ISO/IEC 27001的管理制度面中對規劃階段的要求?
v		領導作為
v		支援
		績效評估
v		組織全景

Q		妥善的保護組織的關鍵資訊資產是導入資訊安全管理的重點之一，有哪些措施可以進行資產管理?
v		A.8.1資產責任
v		A.8.2資訊分級
v		A.8.3媒體處置
		A.9.3使用者責任

Q		有鑑於網路攻擊 (cyber attack)對於組織資安管理的影響，ISO/IEC 27001在哪一個章節提供了額外的建議供組織強化及遵循？
v		A.13通訊安全
		A.7人力資源安全
		A.14系統獲取、開發及維護
		A.8資產管理

Q		下列那一個控制措施不是 ISO/IEC 27001:2013年版中因應未來風險所新增之控制措施?
		A.17.2.1 資訊處理設施之可用性
		A.16.1.4 對資訊安全事件之評鑑及決策
v		A.8.2.1資訊之分級
		A.6.2.1 行動裝置政策

Q		委外或供應商管理是組織在資安管理上不可忽視的關鍵議題，下列哪幾個控制目標與此議題有關?
v		供應者關係中之資訊安全
		對法律及契約要求事項之遵循
		資訊安全審查
v		供應者服務交付管理

Q		下列哪一個控制目標不是A.12 運作章節中的管理重點?
		防範惡意軟體
		存錄與監視
		運作程序及責任
v		保全區域

Q		下列何者對ISO/IEC 27001:2013安控措施的敘述是正確的?
		安控措施的章節從A.5 ~ A.18 (共14個面向的要求)
		安控措施的數量共有114個
		安控措施包含管理面、技術面及政策面的要求
v		以上皆是

Q		ISO/IEC 27000系列標準中，哪一本標準為驗證用的標準，組織可用來對外展現其資訊安全管理滿足國際標準的基本要求?
		ISO/IEC 27002
		ISO/IEC 27000
v		ISO/IEC 27001
		ISO/IEC 27005