109年第一次政府資通安全防護巡迴研討會《解答》－永無止盡的學習路

題庫總數：30
是非題：30 (○：15、╳：15)
選擇題：0
多選題：0
roddayeye整理
Q		目前已發展之政府組態基準(GCB)類別包含作業系統、瀏覽器、網通設備及應用程式。
v		○
		╳

Q		駭客帶來的資安威脅並不會影響日常生活。
		○
v		╳

Q		駭客可用加密VPN連線串起多個不同網段並增加自身隱蔽性。
v		○
		╳

Q		依「資通安全責任等級分級辦法」規定，A級與B級公務機關在初次受核定或等級變更後之「一年」內，須依主管機關公告項目，完成政府組態基準(GCB)導入作業並持續維運。
v		○
		╳

Q		帳號密碼設定只有自己知道，所以即使密碼很簡單也不怕被破解。
		○
v		╳

Q		政府機關資安弱點通報機制(VANS)之五大作業流程為資訊資產盤點、資訊資產正規化、資訊資產登錄、弱點比對與修補、資訊資產更新。
v		○
		╳

Q		LOTL技術指駭客使用系統內建的服務或工具進行攻擊。
v		○
		╳

Q		資通安全責任等級為E級或資通安全維護計畫已經併入上級機關辦理，便無須提報資通安全維護計畫實施情形。
		○
v		╳

Q		Dropbox僅提供檔案儲存服務，不可能被駭客用來遠端操控系統。
		○
v		╳

Q		監視器之類的IOT設備，只要能用就好，不需要進行更新。
		○
v		╳

Q		公務機關初次受核定或等級變更後之一年內，C級以上資通安全專責人員每人應持有1張以上資安專業證照與1張以上資安職能評量證書。
v		○
		╳

Q		駭客透過LOTL技術，可以執行不在硬碟中的惡意程式。
v		○
		╳

Q		機關ISMS的「導入」與「驗證」應該放在同一個採購案，以便要求通過驗證，取得證書。
		○
v		╳

Q		駭客除了直接攻擊機關，也經常透過供應鏈進行攻擊。
v		○
		╳

Q		導入政府組態基準(GCB)時，須以GCB設定值為標準，無論如何都不能變更。
		○
v		╳

Q		因電力中斷導致系統無法使用，不屬於駭客入侵行為，所以不用通報資安事件。
		○
v		╳

Q		駭客喜歡用最新議題搭配社交工程郵件進行攻擊。
v		○
		╳

Q		若只是瀏覽網頁並不會遭到挖礦程式所利用。
		○
v		╳

Q		VANS系統可將已登錄的資訊資產項目與弱點資料庫自動比對，當重大弱點發生時可即時得知與應變處理。
v		○
		╳

Q		公務機關應該在知道資通安全事件後「1小時」內通報。
v		○
		╳

Q		公營事業與政府捐助之財團法人，不是資通安全管理法納管對象。
		○
v		╳

Q		政府組態基準(GCB)針對Windows Server 2016伺服器劃分不同角色，為方便部署，每個角色所套用群組原則物件皆是相同的。
		○
v		╳

Q		VANS系統可針對目標主機進行弱點掃描，並產出弱點掃描結果報告。
		○
v		╳

Q		針對資訊資產弱點進行修補後，不需要再到VANS系統進行資訊資產版本資料更新。
		○
v		╳

Q		機關首長公務繁忙，不受到資通安全管理法每年3小時資安通識教育訓練的規範。
		○
v		╳

Q		規模較小且無資訊(資安)人力的機關，無須成立或加入資通安全推動小組。
		○
v		╳

Q		公務機關資安專責人員要專職擔任，即該人員只能辦理資安業務。
v		○
		╳

Q		TWGCB-ID是我國政府組態基準編碼方式，可快速識別與查找政府組態基準(GCB)設定項目。
v		○
		╳

Q		政府機關資安弱點通報機制(VANS)納管範圍包含Windows平台資通系統與使用者電腦之軟體資產。
v		○
		╳

Q		機關應該要訂定機關內部與對所屬機關的資安稽核機制。
v		○
		╳