資安稽核概念(113) 解答

資安稽核中使用的抽樣檢查技巧與要點不包含何者?

• 從主要的活動中選出有代表性的樣本
• 低風險區域優先抽樣
• 時間考量下稽核員須決定大小和選擇
• 抽樣大小應取決於信心是否能被確保

資安稽核目的包含底下何者?

• 確保單位遵循資訊安全政策及標準程序，達成資訊安全稽核目標
• 覆核控管程序是否落實
• 協助發現缺失
• 以上皆是

資通安全實地稽核項目檢核表中，技術面稽核包含哪些項目?(複選)

• 資通安全維護計畫與實施情形之持續精進及績效管理機制
• 資通系統發展及維護安全
• 資通系統或服務委外辦理之管理措施
• 資通安全事件通報應變及情資評估因應

受稽機關接受上級機關資安稽核時，須先進行機關自評並填寫相關文件。為使受稽機關掌握資安現況，並進行改善作為常建議受稽機關先行辦理哪一項資安測試(該服務已納入共同供應契約)?

• 資安健診作業
• 滲透測試
• 紅隊演練
• 弱點掃描

某A級公務機關接受上級機關進行資安稽核,其中某項法遵符合情形，敘述如下: 已依資通安全責任等級分級辦法應辦事項規定，全機關導入資訊安全管理系統,全部資通系統納入ISMS適用範圍，並通過第三方驗證，值得肯定。請問該法遵符合情形敘述中主要是哪一部分係於法規中明訂並優於法規?

• 已依資通安全責任等級分級辦法應辦事項規定辦理
• 全機關導入資訊安全管理系統
• 全部資通系統納入ISMS適用範圍
• 通過第三方驗證

依據我國《資通安全管理法施行細則》條文中規定，下列何者「不」是資通安全維護計畫應(強制要求)包括的事項？

• 核心業務及其重要性
• 資通安全政策及目標
• 資通安全防護及控制措施
• 滲透測試方法論

作為資訊系統稽核手段，與安全相關的時間順序紀錄，並提供影響特定操作、程序的活動順序之文件證據或事件稱之為?

• 稽核典範
• 稽核報告
• 稽核標準
• 稽核軌跡

資通安全稽核中檢核項目的規劃依據中不包含底下哪一項?

• 資通安全管理法及其子法
• 國家資通安全發展方案(110 年至113 年)
• ISO國際標準ISO 27035
• 受稽機關之資通安全維護計畫

關於實地稽核底下敘述何者不適當?

• 實地稽核時間將依機關業務複雜度、機關公務場域數量、重要資通系統數量等因素，彈性調整稽核時程
• 稽核啟始/結束會議之受稽機關代表建議由資安長出席，以帶領機關之資安管理及追蹤改善
• 由領隊帶領稽核團隊至受稽機關進行實地稽核，如受稽機關為特定非公務機關，請通知中央目的事業主管機關派員出席
• 為使稽核有效進行節省時間，午餐由受稽機關訂購並支付相關費用

上級機關對所屬機關的稽核,評估所屬機關是否符合法規要求或相關規定稱之為?

• 第一方稽核
• 第二方稽核
• 第三方稽核
• 第四方稽核

資通安全稽核中檢核項目的規劃依據中包含國家資通安全發展方案(110 年至113 年)，底下關於我國國家資通安全發展方案(110 年至113 年)其中哪一項不是屬於重要績效指標及其內容?

• 培育 350 名資安實戰人才
• 制定 12 項資安檢測技術指引或產業標準
• 推動政府機關資安治理成熟度(含客觀指標)達第 4 級
• 明定資通安全責任等級 A 級與 B 級之公務機關，每年應辦理 1 次資安治理成熟度評估作業，並於 113 年時，所有 A 級政府機關達資安治理成熟度(含客觀指標)第 3 級以上

由組織內部所發起的稽核活動,用來確保管理制度的維護、發展與改善符合目標稱之為?

• 第一方稽核
• 第二方稽核
• 第三方稽核
• 第四方稽核

資安稽核使用之資通安全實地稽核項目檢核表中，管理面通常包含哪一個項目?

• 專責人力及經費配置
• 資通安全維護計畫與實施情形之持續精進及績效管理機制
• 資通系統發展及維護安全
• 資通安全事件通報應變及情資評估因應

資安稽核需透過流程取得稽核證據，並透過客觀地評估，以鑑別其稽核準則所涵蓋的範圍是否達成。此資安稽核流程須具備哪些性質?(複選)

• 系統化
• 主觀性
• 獨立性
• 文件化

資安稽核作業，大體可分為準備作業、前置作業、實施作業及檢討作業等4 階段，其中研擬年度稽核整體規劃、受稽機關、稽核委員建議名單及調修稽核項目等為哪一階段辦理事項?

• 準備作業
• 前置作業
• 實施作業
• 檢討作業