問題詳情
18. 以下何者非 CNS 27001 對「內部稽核」之要求?
(A)瞭解組織及其全景及瞭解關注方之需要及期望
(B)規劃、建立、實作及維持稽核計畫,包括頻率、方法、責任、規劃要求事項及報告
(C)定義各稽核之準則及稽核之範圍,選擇稽核員及施行稽核,以確保稽核過程之客觀性及公平性
(D)確保稽核之結果對相關管理階層報告,保存文件化資訊作為稽核計畫及稽核結果之證據
(A)瞭解組織及其全景及瞭解關注方之需要及期望
(B)規劃、建立、實作及維持稽核計畫,包括頻率、方法、責任、規劃要求事項及報告
(C)定義各稽核之準則及稽核之範圍,選擇稽核員及施行稽核,以確保稽核過程之客觀性及公平性
(D)確保稽核之結果對相關管理階層報告,保存文件化資訊作為稽核計畫及稽核結果之證據
參考答案
無參考答案
內容推薦
- 「管理階層應要求所有員工及承包者,依組織所 建立政策及 程序施行資訊安全事宜。」係因應 CNS 27001 何項控制措施之要求?(A)篩選(B)聘用條款及條件(C)聘用責任之終止或變更(D)管
- 【題組】( )(A) on his way (B) all together (C) in a special way (D) out of this world
- There are many different ways to go to school. Some students go to school (1) foot. Some students
- 「應對員工及承包者定義、傳達於聘用終止或變更後,資訊 安全責任及義務仍保持有效,並執行之。」係因應 CNS 27001 何項控制措施之要求?(A)篩選(B)聘用條款及條件(C)聘用責任之終止或變
- 【題組】( )(A) called (B) call (C) am calling (D) will call
- 「組織為提升人員之資訊安全素養,定期辦理資訊安全相關課程。」係因應CNS 27001 何項控制措施之要求?(A)管理階層責任(B)資訊安全認知、教育及訓練(C)懲處過程(D)聘用條款及條件
- 具機敏資訊之實體環境,可見「機不可攜」之要求,與 CNS 27001 控制措施哪一項有關?(A)行動裝置政策(B)遠距工作(C)存取控制政策(D)密碼式控制措施
- 「應實作政策及支援之安全措施,以保護存取、處理或儲存於遠距工作場所之資訊。」以下哪些非前述之 CNS 27001 控制措施之要求?【複選】(A)行動裝置政策(B)遠距工作(C)存取控制政策
- 【題組】( )(A) stay (B) stayed (C) will stay (D) were staying
- 「為確保組織符合主管機關之要求,應維持適切之聯繫。」前述為 CNS27001 何項控制措施之要求?(A)職務區隔(B)與權責機關之連繫(C)與特殊關注方之連繫(D)專案管理之資訊安全
內容推薦
- 組織推動資訊安全,負責核准資安政策是屬於下列何者的責任?(A)董事會(B)總經理(C)總稽核(D)資訊長
- 「醫院志工將舊病歷拿來做回收紙使用,險遭主管機關開罰!」前述案例,若您是醫院資安官,應加強哪一項控制措施?(A)個人可識別資訊之隱私及保護(B)適用之法規及契約的要求事項之識別(C)智慧財產權(
- 下列何者可作為量測資訊安全「完整性」之指標?(A)確保關鍵服務之達成率(B)確保教育訓練之達成率(C)網頁資訊公開正確性之達成率(D)確保人員知悉之達成率
- CNS 27001 新版在資訊安全風險評鑑新增了何項要求?(A)風險接受準則(B)確保重複之資訊安全風險評鑑產生一致、有效及適於比較之結果(C)識別風險擁有者(D)分析與評估資訊安全風險
- 關於管理審查之輸出,以下敘述何者正確?(A)組織應持續改善資訊安全管理系統之合宜性、適切性及有效性(B)管理審查之輸出應包括與持續改善機會有關之決策,以及任何對資訊安全管理系統變更之需要(C)最
- 應識別與資訊及資訊處理設施相關聯之資產,並製作及維持此等資產之清冊。前述為 CNS 27001 附錄 A.8 中何項控制措施?(A)資產清冊(B)資產擁有者(C)資產之歸還(D)資訊之標示
- 關於供應者關係中之資訊安全要求,CNS27001 附錄 A.15 標準中有哪些控制措施?(A)供應者關係之資訊安全政策(B)於供應者協議中闡明安全性(C)資訊及通訊技術供應鏈(D)供應者服務之監
- 「資安大廠警告,新型後門木馬程式(Backdoor.Dripion)主要針對位於台灣地區、巴西和美國的企業進行攻擊。」前述資安新聞中,您認為應加強以下哪一項控制措施?(A)對軟體安裝之限制(B
- 關於營運持續管理之資訊安全層面,組織應考量多重備援之議題,CNS27001 附錄 A.17 標準中有何項控制措施?(A)規劃資訊安全持續(B)資訊處理設施之可用性(C)實作資訊安全持續(D)查
- 有關資訊資產,下列敘述哪些正確?(A)資產擁有者負責定義資產分類方式(B)資訊常在經過一段時間後就變得不再敏感與重要(C)資訊標示程序主要針對實體資訊資產(D)資訊分類是決定如何處置與保護資訊
- 關於 CNS27001 附錄 A.7 中人員聘用期間.以下何者非適用之控制措施?(A)管理階層責任(B)資訊安全認知、教育及訓練(C)懲處過程(D)聘用條款及條件
- 資訊應依法律要求、價值、重要性及對未經授權揭露或修改之敏感性分級。前述為 CNS 27001 附錄 A.8 中何項控制措施?(A)資產擁有者(B)資訊之分級(C)資產之歸還(D)資訊之標示
- 以下哪一項不是組織應定義及應用資訊安全風險評鑑過程之事項中?(A)選擇適切之資訊安全風險處理選項(B)評估資訊安全風險(C)分析資訊安全風險(D)建立及維持資訊安全風險準則
- 關於 CNS27001 本文於組織控制下執行工作之人員,以下何種非應認知之事項?(A)預估資安風險趨勢(B)資訊安全政策(C)其對資訊安全管理系統有效性之貢獻,包括改善之資訊安全績效的益處(D
- 下列何者不屬於實體進入的安全控制措施?(A)CCTV 監視器(B)訪客登記簿(C)進出控制卡加上個人識別碼(PIN)(D)防震阻尼器
- 不論專案之型式,應在專案管理中因應資訊安全。前述為CNS27001 中何項控制措施之要求?(A)A.3 與權責機關之聯繫(B)A.4 與特殊關注方之聯繫(C)A.5 專
- 對不符合項目反應,並於適當時採取下列哪些作為?(A)採取行動以控制並矯正之(B)處理其後果(C)審查不符合項目(D)決定不符合項目之原因
- 關於 ISMS 監督、量測、分析及評估,以下敘述何者有誤?(A)所選擇之方法宜產生適於比較及可重製視為有效之結果(B)組織應保存適切之文件化資訊,作為監督及量測結果的證據(C)組織應確保委外過
- 組織應定義並應用資訊安全風險處理過程,以達成以下哪些事項?(A)考量風險評鑑結果,選擇適切之資訊安全風險處理選項,決定所有必須實作之控制措施,並確認未忽略必要之控制措施(B)產生適用性聲明,包
- 有關於風險管理控制措施,下列敘述何者不正確?(A)技術脆弱性管理是資安之共同實務控制措施(B)控制措施可視為建置資安管理的良好起點(C)控制措施的選擇是基於組織對風險接受的準則(D)控制措施的
- 組織應依規劃之期間施行內部稽核,以提供資訊安全管理系統之何者資訊?(A)組織本身對其資訊安全管理系統之要求事項(B)風險評鑑報告(C)CNS27001 標準之要求事項(D)是否有效實作及維持
- 以下哪些活動是屬於 P-D-C-A 系統架構內之 C(Check)的活動?(A)管理審查(B)風險評鑑(C)資安政策(D)內部稽核
- 於規劃如何達成資訊安全目標時,以下何者非組織應決定時之考慮要素?(A)待辦事項及所需資源(B)負責人員及完成時間(C)結果之評估方式(D)可量測(若可行時)
- 為確保人員勝任相關工作,以下何者考非適用之行動?(A)對現有員工提供訓練(B)指導或重新指派(C)雇用或委外勝任人員(D)保存適切之文件化資訊,作為勝任之證據
- 因組織同仁不具備 IT 相關能力,第一次執行 ISMS 內稽時,由IT 主管擔任其內稽人員,請問是否恰當?(A)恰當,因比較與 IT 人員較熟識(B)恰當,因比較熟悉 IT 相關作業(C)不恰