- 3種
- 4種
- 5種
- 6種
2.續上題,請問主管機關的個人電腦安全稽核屬於哪一種稽核?
- 第一方稽核
- 第二方稽核
- 第三方稽核
- 內部稽核
3.續上題,現在要安排資料庫安全的稽核活動,請問下列何種稽核手法較不適用?
- 問卷
- 檢查表
- 滲透測試
- 弱點掃瞄
4.續上題,在安排內部稽核的細部計畫時,需要注意以下什麼項目?
- 稽核範圍、項目與稽核人員資格的適切性
- 稽核時程規劃要保留準備稽核報告與結案報告的時間
- 稽核人員的稽核範圍應避免利害相關或自身業務部分
- 以上皆是
5.續上題,稽核人員在執行資料庫安全的稽核活動時,哪種證據最能證明資料庫已能有效對抗新型態的攻擊?
- 資料庫管理員的作業日誌
- 資料庫版本更新或是修補軟體安裝的系統紀錄
- 防火牆紀錄
- 外部稽核員的稽核報告
6.又到了稽核作業的高峰期,上週才剛內部資安稽核結束,驗證單位即將於下週進行ISO27001複評作業,接著便是主計處的年度資安稽核作業。志明身兼資訊中心的主導稽核員以及網站管理員,最近正緊鑼密鼓地進行稽核前的準備事項。請問志明不需要準備以下何種文件紀錄?
- 網站設定變更異動單
- 網站系統規格文件
- ISO27001外部稽核計畫
- 內部資安稽核不符合事項矯正預防紀錄單
7.續上題,上週內部資安稽核結束時,發現有好幾項缺失需要改進,目前相關負責同仁正在努力改進中。而下週就要進行ISO27001複評作業了,這時緊張的志明不宜採取下列哪種措施?
- 追蹤改進活動的進度,確保每項改進措施都依照計畫執行
- 修改內部資安稽核報告,將比較重大的缺失改為較為輕微的缺失,避免給驗證單位的稽核員看到
- 在ISO27001複評之前針對改進後的缺失再進行一次追蹤稽核,以確認缺失已經確實改進
- 追蹤改進活動的過程,並思考有沒有更有效的執行方式
8.續上題,志明平時會定期抽閱網站紀錄,當他為了明天的稽核活動,再度清查網站紀錄時,意外發現已有網站遭受入侵的紀錄!這時請問以下作法何者較佳?
- 循資安事件通報與應變相關制度向上通報與緊急應變,並依照矯正與預防相關規定檢討改進
- 將該筆紀錄刪除,再私下進行資安事件處理
- 修改網站紀錄的抽閱紀錄,將此紀錄加入,並補上當時的資安事件通報與應變制度相關表單紀錄
- 當作沒有看到,反正稽核員也未必會看到
9.終於到了稽核的日子!稽核當天,稽核員正在稽核網站管理相關活動時,同仁接到志明負責的網站異常故障的系統通知,這時候,志明應採取何種處置方式較佳?
- 若無其事陪同稽核員繼續稽核,將緊急應變工作交由同仁處理,以向稽核員展示其職務代理工作有落實執行
- 不管網站異常故障,陪同稽核員完成網站管理的稽核工作後,再處理故障問題
- 請稽核員先進行其他部分的稽核工作,然後依照網站的緊急處理程序進行通報應變作業
- 怪罪稽核員耽誤網站管理的工作,將稽核員趕走
10.續上題,稽核員發現網站的現行設定與網站設定變更異動單上的記載不符合,這時稽核員將銳利的目光投向志明,希望能更深入瞭解不一致的部分與原因。請問下列哪種志明的反應比較不理想?
- 確認稽核員的問題與自己所認知的相同
- 冷靜回答稽核員的詢問,並充分說明
- 回答稽核員的問題後,確認稽核員瞭解的說明與自己想要表達的相同
- 跟稽核員抱怨每天工作太忙,成天有看不完的紀錄,寫不完的報告,而且其他同仁也都沒時間審閱紀錄