未分类
(多选)关于实体安全监视,以下说
法何者正确
法何者正确
- A. 不需要持续监视场所,以防未经授权之实体进出
- B. 监控系统可包括警卫、入侵检测、闭路电视等监控系统,以及由监控服务商管理的安全管理软件 ✓
- C. 应持续监控关键系统、关键设计、生产所在建筑物的出入情况、以侦测未经授权的出入或可疑行为 ✓
- D. 使用监控和记录机制应考虑当地法律法规、包括数据和 PlI 保护,尤其是人员监控和记录视频保留期限的法规 ✓
未分类
(多选)关于个人隐私敏感数据保护何者最正确?
- A. 人员使用电脑设备搜集、处理、利用个人资料,应以专属账号密码登入电脑系统,存取个人资料档案权限应与所职掌业务相符 ✓
- B. 因业务需要而须利用非权限范围之特定个人资料者,应事前提出申请,经业务主管人员同意后开放权限利用 ✓
- C. 保存有纸质档个人资料者,应储存于上锁之保管箱或档案室内,仅业务主管有开启调阅权限 ✓
- D. 保存有纸质档个人资料者,于保存期限届满时,应以碎纸、委外焚化等方式销毁 ✓
未分类
(多选)关于使用云服务的信息安
全,以下说法何者正确
全,以下说法何者正确
- A. 根据公司信息安全要求,建立云服务的获取、使用、管理和退出流程 ✓
- B. 云端服务供货商与公司间不需定义各自责任,履行权责是服务供货商义务
- C. 透过风险评估,识别出全部信息安全要求,管理与云端服务相关的信息安全风险 ✓
- D. 组织应审查与云服务提供商签 订的云服务协议 ✓
未分类
(多选)针对IS027001中提到制定资
安绩效评估(KPI),需考虑哪些事项
安绩效评估(KPI),需考虑哪些事项
- A. 需要针对信息安全过程及控制 措施制定KPI ✓
- B. 监督、量测、分析及评估之适 用方法 ✓
- C. PKI不需要量化
- D. 监督及量测目标值应评估时间 ✓
未分类
(多选)哪些是供方关系的信息安全要求
- A. 供货商协议包括信息和通信技 术服务以及产品供应链信息安 全风险处理要求 ✓
- B. 为减缓供货商访问组织资产带来的风险、宜实施相关信息安全要求 ✓
- C. 应与每个可能与公司产生数据 交互的供货商建立相关的信息 安全要求 ✓
- D. 对新产品供货商无资安要求
未分类
(多选)关于数据屏蔽,以下说法何
者正确
者正确
- A. 限制敏感数据的暴露,包括PII 个人身份信息,并遵守法律、法规、主管机关和合约要求 ✓
- B. 测试环境的敏感个人信息字段需进行脱敏,避免相关字段关连导致可以回湖到个人 ✓
- C. 正式环境敏感个人信息应进行 加密 ✓
- D. 资料最小化 ✓