資訊安全管理概論(一) 1-10題解析 吳玄玉.

Presentation on theme: "資訊安全管理概論(一) 1-10題解析 吳玄玉."— Presentation transcript:

1 資訊安全管理概論(一) 1-10題解析 吳玄玉

2  01.下列有關資安全的描述何者有誤? (A)資訊安全是將保護資訊的控制措施實施於組織現有的營運流程 及組織架構中，保護資訊不受各種威脅
(B)資訊組織重要資產，就像其它重要的營運資產一樣，對組織具 有價值 (C)資訊儲存及呈現的形式相當多元，可以列印成書面表示，可以 用電子方式儲存、可以郵寄或是電子郵件傳送、也可以用影片 播放或以口頭說明 (D)資訊安全強調保護資訊的機密性(Confidentiality)、完整性 (Integrity)、可存取性(Accessibility) 

3 資訊安全的特性 資訊安全三大原則 機密性(Confidentiality) 完整性(Integrity) 可用性(Availability)
確保資訊只有獲得授權的人才能存取 完整性(Integrity) 確保資訊在維護與處理過程中沒有遭到變動與竄改 可用性(Availability) 確保經授權的使用者在需要時，可以適時取得資訊

4 02.下列何者不屬於資訊安全管理的範疇？ (A)風險評估與處理 (B)控制措施選擇 (C)人員升遷管理 (D)實體安全管理 

5 Von Solms等（1994）認為資訊安全的範疇 包括：
資訊安全政策 風險分析 風險管理 權變規劃（Contingency Planning） 災害復原（Disaster Recovery） 運用可施行於資訊資源（硬體、軟體及資料）上之技術性防護方法 及管理程序，期使組織所擁有的資產及個人隱私，均能受到保護。

6 03.「使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。[ISO/IEC 13335-1:2004]」是指資訊安全中的何種性質?
 (A)機密性(Confidentiality) (B)完整性(Integrity) (C)存取性(Accessibility) (D)可用性(Availability)

7 機密性(Confidentiality)
使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 完整性(Integrity) 確保資訊在維護與處理過程中沒有遭到變動與竄改 保護資產的準確度(Accuracy)和完全性(Completeness)的性質。 可用性(Ａvailability) 經授權個體因應需求之可存取及可使用的性質。

8 04.下列何者不屬於「聘僱與安全相關工作的人員前」之安全控制措施?
(A)定義角色與職責 (B)安全篩選與背景查核 (C)同意並簽署其聘僱契約之條款與條件 (D)申請並開通使用者存取權限 

9 人力資源安全聘僱之前有三項控制措施 角色與責任 篩選 聘僱條款與條件
員工、承包商和第三方使用者的安全角色與責任，應依 照組織的資訊安全政策予以定義和文件化。 篩選 員工、承包商和第三方使用者的所有應徵者，都應依照 相關的法律、規範、倫理，並且相稱於業務要求、可被 存取的資訊等級與察覺到的風險，進行背景的查核確認。 聘僱條款與條件 作為合約義務的一部份，員工、承包商和第三方使用者應同意並簽署其合約的聘僱條款與條件，應清楚的陳述其和組織的資訊安全責任。」

10 人力資源安全聘僱之前有三項控制措施 角色與責任 篩選 聘僱條款與條件
員工、承包商和第三方使用者的安全角色與責任，應依 照組織的資訊安全政策予以定義和文件化。 篩選 員工、承包商和第三方使用者的所有應徵者，都應依照 相關的法律、規範、倫理，並且相稱於業務要求、可被 存取的資訊等級與察覺到的風險，進行背景的查核確認。 聘僱條款與條件 作為合約義務的一部份，員工、承包商和第三方使用者應同意並簽署其合約的聘僱條款與條件，應清楚的陳述其和組織的資訊安全責任。」

11 人力資源安全聘僱期間有三項控制措施 管理階層責任 資訊安全認知、教育與訓練 懲處過程
管理階層應要求員工、承包商和第三方使用者，依 照組織所建立的政策和程序實施安全事項。 資訊安全認知、教育與訓練 組織所有的員工和相關的承包商與第三方使用者， 應依其相關的工作職務，和組織定期更新的政策和 程序，接受適當的認知訓練。 懲處過程 對違反安全的員工，應有正式的懲處過程。

12 人力資源安全聘僱的終止或變更有三項控 制措施
人力資源安全聘僱的終止或變更有三項控 制措施 終止責任 執行聘僱終止或變更聘僱的責任，應被清楚的定義 和指派。 資產歸還 所有員工、承包商和第三方使用者，在聘僱、合約 或協議終止時，應歸還其持有的所有組織的資產。 移除存取權限 所有員工、承包商和第三方使用者，對於資訊、資訊處理設施的存取權限，應在聘僱、合約或協議終止時移除，或依變更進行調整。

13 05.在建置資訊安全管理系統(ISMS)過程中，管理階層的職責應包括哪些?(複選)
 (A)宣導資安政策 (B)善用資訊處理設施 (C)決定接受風險與可接受風險等級的準則 (D)選擇控制措施 

14 資安標準要求重點 管理階層責任 建立資訊安全之各種角色與責任 向組織傳達資訊安全目標
提供充分資源以建立、實作、運作、監視、審查、維 持與改進ISMS 決定接受風險之準則與可接受風險等級之準則 提供訓練、認知

15  06.下列何者屬於資訊安全管理標準與規範? (A)ISO 9001 (B)ISO 14001 (C)ISO 18001
(D)CNS 27001 

16 ISO : 品質管理認證 ISO : 環境管理認證 ISO : 職業安全衛生管理認證 CNS 27001：資訊安全管理認證

17 07.請問「eBay網路拍賣」是屬於電子商務種類中的哪一類?
(A)B2B (B)B2C (C)C2B (D)C2C 

18 電子商務活動中，典型的五種經營模式 B2B「企業對企業」 B2C「企業對消費者」 C2C「消費者對消費者」 C2B「消費者對企業」
最典型的就是大型企業組織之間的電子商務 例如台塑石化工業，它的上游是石油供應商，下游是石化工業的產品製造商 B2C「企業對消費者」 凡是企業公司對消費者販售商品 已亞馬遜書店在網路上販售書籍給消費者為例 C2C「消費者對消費者」 建立在消費者與消費者之間 以eBay 網站為例 C2B「消費者對企業」 將所有對同一種商品有購買意願的消費者聚集一起，然後再向同一家公司進行議價的行為 其用意就是為消費者爭取更好的條件與品質 K2K「知識對知識」 交易的內容不再是有形的商品，知識與專業知識將會變成一種販售的商品 可以是單方面的諮詢顧問，也可以是相互的技術支援

19  08.加密無法提供下列何種安全服務? (A)機密性(Confidentiality) (B)完整性(Integrity)
(C)可用性(Availability) (D)可說明性(Accountability) 

20 加密 機密性：不論是在傳輸或儲存設備之中，都可以利用 加密隱藏資訊。 完整性：不論是在傳輸或儲存設備之中，都可以利用 加密確認資訊的完整性。
利用某種方式將資訊打散，避免無權檢視資訊內容的人看到資 訊的內容，而且允許真正獲得授權的人才能看到資訊的內容。 透過加密可以提供下列三種安全服務： 機密性：不論是在傳輸或儲存設備之中，都可以利用 　　　　加密隱藏資訊。 完整性：不論是在傳輸或儲存設備之中，都可以利用 　　　　加密確認資訊的完整性。 可說明性：加密可以用來確認資訊的來源，且可讓資 　　　　　訊的來源無法否認資訊的出處。

21 09.個體鑑別協定(entity authentication)中「需在仲裁者或公正第三者的見證之下，通過個體彼此證明身分，並存下可供日後解決糾紛的證據」係屬何種鑑別演算法執行方式?
(A)單向鑑別(one-way authentication) (B)雙向鑑別(two-way authentication) (C)三向鑑別(three-way authentication) (D)金鑰交換協定 

22 鑑別演算法執行方式 個體 鑑別演算法 鑑別演算法執行方式 終端設備、個人電腦、IC卡、使用者、機構等通稱
直接鑑別(direct authentication) 個體利用所持有的秘密參數對身分碼產生鑑別訊息(或簽章) 驗證者直接證明身分碼的有效性 間接鑑別(indirect authentication) 個體利用所持有的秘密參數對任一資訊產生鑑別訊息 驗證者可以藉由證明該鑑別訊息的有效性來間接鑑別個體身分 鑑別演算法執行方式 單向鑑別(one-way authentication) 某一個體向另一個體證明其身分 雙向鑑別(two-way authentication) 通訊個體彼此證明身分 三向鑑別(three-way authentication) 需在仲裁者或公正第三者的見證之下， 通訊個體彼此證明身分，並存下可供日後解決糾紛的證據

23 10.「資料保密技術中，由軟體系統和硬體設備所組成的，在內部網路和外部網路介面上做一道屏障。所有外部網路和內部網路之間的連接都必須經過此保護層，在此進行檢查和連接。」請問前述內容係屬何種技術?
 (A)防火牆 (B)對稱式密碼系統(Symmetric Cryptography) (C)非對稱式密碼系統(Asymmetric Cryptography) (D)電子簽章(Electronic Signature)