資訊安全管理概論(一) 1-10題解析 吳玄玉
01.下列有關資安全的描述何者有誤? (A)資訊安全是將保護資訊的控制措施實施於組織現有的營運流程 及組織架構中,保護資訊不受各種威脅 (B)資訊組織重要資產,就像其它重要的營運資產一樣,對組織具 有價值 (C)資訊儲存及呈現的形式相當多元,可以列印成書面表示,可以 用電子方式儲存、可以郵寄或是電子郵件傳送、也可以用影片 播放或以口頭說明 (D)資訊安全強調保護資訊的機密性(Confidentiality)、完整性 (Integrity)、可存取性(Accessibility)
資訊安全的特性 資訊安全三大原則 機密性(Confidentiality) 完整性(Integrity) 可用性(Availability) 確保資訊只有獲得授權的人才能存取 完整性(Integrity) 確保資訊在維護與處理過程中沒有遭到變動與竄改 可用性(Availability) 確保經授權的使用者在需要時,可以適時取得資訊
02.下列何者不屬於資訊安全管理的範疇? (A)風險評估與處理 (B)控制措施選擇 (C)人員升遷管理 (D)實體安全管理
Von Solms等(1994)認為資訊安全的範疇 包括: 資訊安全政策 風險分析 風險管理 權變規劃(Contingency Planning) 災害復原(Disaster Recovery) 運用可施行於資訊資源(硬體、軟體及資料)上之技術性防護方法 及管理程序,期使組織所擁有的資產及個人隱私,均能受到保護。
03.「使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。[ISO/IEC 13335-1:2004]」是指資訊安全中的何種性質? (A)機密性(Confidentiality) (B)完整性(Integrity) (C)存取性(Accessibility) (D)可用性(Availability)
機密性(Confidentiality) 使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 完整性(Integrity) 確保資訊在維護與處理過程中沒有遭到變動與竄改 保護資產的準確度(Accuracy)和完全性(Completeness)的性質。 可用性(Availability) 經授權個體因應需求之可存取及可使用的性質。
04.下列何者不屬於「聘僱與安全相關工作的人員前」之安全控制措施? (A)定義角色與職責 (B)安全篩選與背景查核 (C)同意並簽署其聘僱契約之條款與條件 (D)申請並開通使用者存取權限
人力資源安全聘僱之前有三項控制措施 角色與責任 篩選 聘僱條款與條件 員工、承包商和第三方使用者的安全角色與責任,應依 照組織的資訊安全政策予以定義和文件化。 篩選 員工、承包商和第三方使用者的所有應徵者,都應依照 相關的法律、規範、倫理,並且相稱於業務要求、可被 存取的資訊等級與察覺到的風險,進行背景的查核確認。 聘僱條款與條件 作為合約義務的一部份,員工、承包商和第三方使用者應同意並簽署其合約的聘僱條款與條件,應清楚的陳述其和組織的資訊安全責任。」
人力資源安全聘僱之前有三項控制措施 角色與責任 篩選 聘僱條款與條件 員工、承包商和第三方使用者的安全角色與責任,應依 照組織的資訊安全政策予以定義和文件化。 篩選 員工、承包商和第三方使用者的所有應徵者,都應依照 相關的法律、規範、倫理,並且相稱於業務要求、可被 存取的資訊等級與察覺到的風險,進行背景的查核確認。 聘僱條款與條件 作為合約義務的一部份,員工、承包商和第三方使用者應同意並簽署其合約的聘僱條款與條件,應清楚的陳述其和組織的資訊安全責任。」
人力資源安全聘僱期間有三項控制措施 管理階層責任 資訊安全認知、教育與訓練 懲處過程 管理階層應要求員工、承包商和第三方使用者,依 照組織所建立的政策和程序實施安全事項。 資訊安全認知、教育與訓練 組織所有的員工和相關的承包商與第三方使用者, 應依其相關的工作職務,和組織定期更新的政策和 程序,接受適當的認知訓練。 懲處過程 對違反安全的員工,應有正式的懲處過程。
人力資源安全聘僱的終止或變更有三項控 制措施 人力資源安全聘僱的終止或變更有三項控 制措施 終止責任 執行聘僱終止或變更聘僱的責任,應被清楚的定義 和指派。 資產歸還 所有員工、承包商和第三方使用者,在聘僱、合約 或協議終止時,應歸還其持有的所有組織的資產。 移除存取權限 所有員工、承包商和第三方使用者,對於資訊、資訊處理設施的存取權限,應在聘僱、合約或協議終止時移除,或依變更進行調整。
05.在建置資訊安全管理系統(ISMS)過程中,管理階層的職責應包括哪些?(複選) (A)宣導資安政策 (B)善用資訊處理設施 (C)決定接受風險與可接受風險等級的準則 (D)選擇控制措施
資安標準要求重點 管理階層責任 建立資訊安全之各種角色與責任 向組織傳達資訊安全目標 提供充分資源以建立、實作、運作、監視、審查、維 持與改進ISMS 決定接受風險之準則與可接受風險等級之準則 提供訓練、認知
06.下列何者屬於資訊安全管理標準與規範? (A)ISO 9001 (B)ISO 14001 (C)ISO 18001 (D)CNS 27001
ISO 9001 : 品質管理認證 ISO 14001 : 環境管理認證 ISO 18001 : 職業安全衛生管理認證 CNS 27001:資訊安全管理認證
07.請問「eBay網路拍賣」是屬於電子商務種類中的哪一類? (A)B2B (B)B2C (C)C2B (D)C2C
電子商務活動中,典型的五種經營模式 B2B「企業對企業」 B2C「企業對消費者」 C2C「消費者對消費者」 C2B「消費者對企業」 最典型的就是大型企業組織之間的電子商務 例如台塑石化工業,它的上游是石油供應商,下游是石化工業的產品製造商 B2C「企業對消費者」 凡是企業公司對消費者販售商品 已亞馬遜書店在網路上販售書籍給消費者為例 C2C「消費者對消費者」 建立在消費者與消費者之間 以eBay 網站為例 C2B「消費者對企業」 將所有對同一種商品有購買意願的消費者聚集一起,然後再向同一家公司進行議價的行為 其用意就是為消費者爭取更好的條件與品質 K2K「知識對知識」 交易的內容不再是有形的商品,知識與專業知識將會變成一種販售的商品 可以是單方面的諮詢顧問,也可以是相互的技術支援
08.加密無法提供下列何種安全服務? (A)機密性(Confidentiality) (B)完整性(Integrity) (C)可用性(Availability) (D)可說明性(Accountability)
加密 機密性:不論是在傳輸或儲存設備之中,都可以利用 加密隱藏資訊。 完整性:不論是在傳輸或儲存設備之中,都可以利用 加密確認資訊的完整性。 利用某種方式將資訊打散,避免無權檢視資訊內容的人看到資 訊的內容,而且允許真正獲得授權的人才能看到資訊的內容。 透過加密可以提供下列三種安全服務: 機密性:不論是在傳輸或儲存設備之中,都可以利用 加密隱藏資訊。 完整性:不論是在傳輸或儲存設備之中,都可以利用 加密確認資訊的完整性。 可說明性:加密可以用來確認資訊的來源,且可讓資 訊的來源無法否認資訊的出處。
09.個體鑑別協定(entity authentication)中「需在仲裁者或公正第三者的見證之下,通過個體彼此證明身分,並存下可供日後解決糾紛的證據」係屬何種鑑別演算法執行方式? (A)單向鑑別(one-way authentication) (B)雙向鑑別(two-way authentication) (C)三向鑑別(three-way authentication) (D)金鑰交換協定
鑑別演算法執行方式 個體 鑑別演算法 鑑別演算法執行方式 終端設備、個人電腦、IC卡、使用者、機構等通稱 直接鑑別(direct authentication) 個體利用所持有的秘密參數對身分碼產生鑑別訊息(或簽章) 驗證者直接證明身分碼的有效性 間接鑑別(indirect authentication) 個體利用所持有的秘密參數對任一資訊產生鑑別訊息 驗證者可以藉由證明該鑑別訊息的有效性來間接鑑別個體身分 鑑別演算法執行方式 單向鑑別(one-way authentication) 某一個體向另一個體證明其身分 雙向鑑別(two-way authentication) 通訊個體彼此證明身分 三向鑑別(three-way authentication) 需在仲裁者或公正第三者的見證之下, 通訊個體彼此證明身分,並存下可供日後解決糾紛的證據
10.「資料保密技術中,由軟體系統和硬體設備所組成的,在內部網路和外部網路介面上做一道屏障。所有外部網路和內部網路之間的連接都必須經過此保護層,在此進行檢查和連接。」請問前述內容係屬何種技術? (A)防火牆 (B)對稱式密碼系統(Symmetric Cryptography) (C)非對稱式密碼系統(Asymmetric Cryptography) (D)電子簽章(Electronic Signature)