| 題庫總數:30 | ||
| 是非題:30 (○:23、╳:7) | ||
| 選擇題:0 | ||
| 多選題:0 | ||
| roddayeye整理 | ||
| Q | 遠端存取期間原則以短天期為限。 | |
| v | ○ | |
| ╳ | ||
| Q | 規模較小且無資訊(資安)人力的機關可考慮將資通系統及資訊資源向上集中,由上級機關統籌辦理,減少機關自行維運之負擔。 | |
| v | ○ | |
| ╳ | ||
| Q | 事前加強縱深防禦機制,應包含完善機關資產管理與組態設定管理、完善機關資產管理與組態設定管理及完善機關資產管理與組態設定管理。 | |
| v | ○ | |
| ╳ | ||
| Q | 資安責任等級B級之公務機關應建置防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制及應用程式防火牆,可視需求建置APT攻擊防禦機制。 | |
| v | ○ | |
| ╳ | ||
| Q | 若機關就已使用或採購之大陸廠牌資通訊產品列冊管理,則該產品可依機關業務需求與公務環境介接。 | |
| ○ | ||
| v | ╳ | |
| Q | APT惡意電郵為組織型駭客常見攻擊手法,須持續加強人員資安意識,防範社交工程電子郵件攻擊。 | |
| v | ○ | |
| ╳ | ||
| Q | 資通系統能運作即可,不需要注意漏洞訊息或是漏洞修補。 | |
| ○ | ||
| v | ╳ | |
| Q | 駭客狙殺鍊攻擊前中後,可細分為偵查、武裝、遞送、攻擊、安裝、發令與控制及採取行動等7階段。 | |
| v | ○ | |
| ╳ | ||
| Q | 機關辦理資安內部稽核時,考量系統多為資訊單位維運,因此只需稽核資訊單位即可。 | |
| ○ | ||
| v | ╳ | |
| Q | 人員帳號密碼宜採用最小權限原則。 | |
| v | ○ | |
| ╳ | ||
| Q | SOC監控有效性進行驗證,政府機關應完善監控範圍,定期檢視機關填報與回傳之資安防護項目資訊,定期檢視機關填報與回傳之資安防護項目資訊。 | |
| v | ○ | |
| ╳ | ||
| Q | 監控範圍應包括「端點偵測及回應機制」與「資通安全防護」之辦理項目、目錄服務系統及機關核心資通系統等之資訊設備紀錄與服務/應用程式紀錄。 | |
| v | ○ | |
| ╳ | ||
| Q | 供應鏈攻擊概分以軟(韌)體開發公司或委外人員做為跳板利用受信任管道滲透客戶網路,與透過入侵特定軟(韌)體開發公司或委外人員電腦進行程式竄改或下載連結等惡意行為。 | |
| v | ○ | |
| ╳ | ||
| Q | 對於遠端維護應採「原則禁止、例外允許」,若有必要允許外部遠端維護,應加強相關防護措施,如限制特定存取來源位址、採用雙因子驗證等方式。 | |
| v | ○ | |
| ╳ | ||
| Q | 監視器等物聯網設備不需要定期檢視與落實安全性更新。 | |
| ○ | ||
| v | ╳ | |
| Q | 委外廠商不是資通安全管理法的納管對象,因此機關無法在契約要求廠商辦理資安相關作業。 | |
| ○ | ||
| v | ╳ | |
| Q | 各類財物、勞務、工程採購,如涉資通系統或服務,應參考工程會發布之「資訊服務採購契約範本」內容,納入相關規定。 | |
| v | ○ | |
| ╳ | ||
| Q | 知悉資安事件後,應於1小時內完成通報作業,且應儘量完整說明事件發現時間、處理方式、影響範圍等。 | |
| v | ○ | |
| ╳ | ||
| Q | 機敏資料非必要不得置於公開網站。 | |
| v | ○ | |
| ╳ | ||
| Q | 若機關發生3、4級之重大資通安全事件,資安長應召開會議研商相關事宜。 | |
| v | ○ | |
| ╳ | ||
| Q | 若機關沒有維運任何「核心資通系統」,則也一定沒有「核心業務」。 | |
| ○ | ||
| v | ╳ | |
| Q | 資通安全事件涉及個資外洩,應依個資法規定,評估適當方式通知當事人。 | |
| v | ○ | |
| ╳ | ||
| Q | 勒索軟體攻擊涉及資料外洩威脅,遠端桌面協定(RDP)與惡意電子郵件為常見攻擊管道。 | |
| v | ○ | |
| ╳ | ||
| Q | 情資分析單為SOC分析人員對「資安監控單」進行影響性評估,提供給客戶進行分析之情資。 | |
| v | ○ | |
| ╳ | ||
| Q | 機關用資安事件發生數量當作KPI可以降低資安事件發生機率。 | |
| ○ | ||
| v | ╳ | |
| Q | 資安事件處理,應做好受駭影響層面評估並注意內網橫向擴散情形,針對所有受駭標的進行處置,避免進一步造成更嚴重的資安事件發生。 | |
| v | ○ | |
| ╳ | ||
| Q | 政府領域聯防監控情資涵蓋資安監控單、情資分析單及監控設備狀況單。 | |
| v | ○ | |
| ╳ | ||
| Q | 提報「機關年度資通安全維護計畫實施情形-資通系統及服務資產清冊」時,應盤點機關「所使用」的系統,而非僅盤點機關「所維運」的系統。 | |
| v | ○ | |
| ╳ | ||
| Q | SOC監控有效性進行驗證,SOC業者依回傳能力、偵測能力及情資品質,驗證監控成效。 | |
| v | ○ | |
| ╳ | ||
| Q | 資安責任等級A級之公務機關應建置防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、應用程式防火牆及APT攻擊防禦機制。 | |
| v | ○ | |
| ╳ | ||
文章標籤
全站熱搜
留言列表