本文件概述了資訊安全管理的課程模組，涵蓋資訊安全的定義、需求建立、風險評估、控制措施選擇等重要主題。強調資訊安全的重要性及其對組織運營的影響，並介紹資訊安全管理系統(ISMS)的標準及其全球應用情況。透過風險評估和控制措施的選擇，幫助組織有效地保護其資訊資產，降低風險。

1. 資訊安全管理 1-1
資訊安全管理

2. 資訊安全管理 1-2
課程模組大綱
• Module 1：資訊安全管理概論
• Module 2：資訊安全風險
• Module 3：先期規劃
• Module 4：風險評鑑
• Module 5：資訊安全政策
• Module 6：資訊安全管理組織
• Module 7：資產管理
• Module 8：人力資源管理
• Module 9：實體與環境安全管理

3. 資訊安全管理 1-3
• Module 10：通信與作業管理
• Module 11：存取控制
• Module 12：資訊系統的取得、開發及維護
• Module 13：資安事故管理
• Module 14：營運持續管理
• Module 15：法令、政策、標準、及技術的符合性
• Module 16：內部稽核
• Module 17：管理審查
• Module 18：持續改進

4. 資訊安全管理 1-4
Module 1：資訊安全管理概論

5. 資訊安全管理 1-5
學習目的
1. 本模組目的在於學習資訊安全的定義，為何需要
資訊安全管理，如何建立資訊安全需求，評估資
訊安全風險，處理資訊安全風險，選擇控制措施，
資訊安全管理標準簡介及其演進，資訊安全管理
之關鍵成功因素，以及資訊安全管理之重要名詞
說明等
2. 本模組的重點是瞭解什麼是資訊安全，資訊安全
管理的重要性，以及資訊安全管理系統重要元素，
包括：資訊安全風險評估與處理、控制措施選擇
等。並瞭解資訊安全管理的標準、關鍵成功因素、
重要名詞等。

6. 資訊安全管理 1-6
Module 1：資訊安全管理概論
• Module 1-1：資訊安全的定義
• Module 1-2：為何需要資訊安全管理
• Module 1-3：如何建立資訊安全需求
• Module 1-4：評估資訊安全風險
• Module 1-5：處理資訊安全風險
• Module 1-6：選擇控制措施
• Module 1-7：資訊安全管理標準簡介及其演進
• Module 1-8：關鍵成功因素
• Module 1-9：重要名詞說明
• Module 1-10：我國資安管理法源/政策

7. 資訊安全管理 1-7
• 參考文獻
• 習題

8. 資訊安全管理 1-8
Module 1-1：資訊安全的定義

9. 資訊安全管理 1-9
Module 1-1：資訊安全的定義
• 隨著網際網路高度發展及全球化的趨勢，資訊安
全已成為企業經營管理不可忽視之重要課題。
• 資訊（Information）是組織重要資產，就像其它
重要的營運資產一樣，對組織具有價值。
• 因此需要適當保護，尤其是高度依賴資訊化服務
的組織將更形重要。
• 相對地，資訊也更有機會暴露於日益多樣的威脅
與脆弱性中。
Module 1-1

10. 資訊安全管理 1-10
• 資訊儲存及呈現的形式相當多元，可以列印成書
面表示、可以用電子方式儲存、可以用郵寄或是
電子郵件傳送、也可以用影片播放或以口頭說明。
• 無論資訊的形式為何，以何種方式儲存或與他人
共享，均應以適當的方式加以保護。
Module 1-1

11. 資訊安全管理 1-11
• 資訊安全（Information Security, 簡稱資安）是將
保護資訊的控制措施實施於組織現有的營運流程
及組織架構中，保護資訊不受各種威脅，確保營
運持續、降低營運損失、使組織獲致最佳投資報
酬率及商業機會。
• 當資訊的機密性（Confidentiality）、完整性
（Integrity）、可用性（Availability）遭到破壞時，
可能會造成組織重大的衝擊，甚至中止組織的運
作。
• 如何保護資訊資產是所有組織所面臨的重要議題
之一。
Module 1-1

12. 資訊安全管理 1-12
Module 1-2：為何需要資訊安全管理

13. 資訊安全管理 1-13
Module 1-2：為何需要資訊安全管理
• 資訊和支援作業、系統及網路都是重要的營運資
產。
• 資訊安全攸關能否維繫競爭力、現金流量、獲利
能力、適法性、及商業形象。
• 組織本身與其資訊系統、網路所面臨的安全威脅
來源日益廣泛。
Module 1-2

14. 資訊安全管理 1-14
• 除了火災或水災等天然的災害外，尚有人為的攻
擊破壞，如電腦相關詐欺行為、入侵攻擊行為
（例如：如惡意碼、電腦駭客等）、蓄意破壞、
毀損等攻擊，都愈來愈普遍、影響也越來越大、
技術亦日益複雜。
• 資安需要全面的綜合管理。
Module 1-2

15. 資訊安全管理 1-15
• 資訊安全管理系統（Information Security
Management Systems, ISMS）的導入，可以協
調組織各方面的管理機制，使資訊安全更有保障。
• 資訊安全管理系統是運用一套系統方法，對組織
內敏感資產進行管理，涉及到人員、程序和資訊
技術（Information Technology, IT）等的系統。
Module 1-2

16. 資訊安全管理 1-16
• 資安的需求是存在於各種組織（不論政府部門、
私人企業或非營利組織等）。
• 確保資訊資產安全，才能避免或降低有關的風險。
• 過去多數組織對資訊安全並無太多概念，很多資
訊系統在設計時，並未將安全控管納入考慮。
Module 1-2

17. 資訊安全管理 1-17
• 透過技術手段所能達到的安全有限，必須透過適
切的管理及程序支援才能有效達成目標。
• 資訊安全管理將包括組織內所有員工及組織外的
供應商、第三方、客戶等外部人員。
Module 1-2

18. 資訊安全管理 1-18
Module 1-3：如何建立資訊安全需求

19. 資訊安全管理 1-19
Module 1-3：如何建立資訊安全需求
• 組織識別自身的安全要求，是絶對必要的。
• 安全要求主要來源：
1. 風險評鑑
2. 外在環境
3. 內在環境
Module 1-3

20. 資訊安全管理 1-20
1. 風險評鑑
• 來自對組織面臨風險的評鑑，考慮到組織整體的
營運策略及目標。
• 風險評鑑（Risk Assessment）後，方能識別資產
所面臨的威脅，並評估脆弱性及其發生的可能性，
以及預估可能造成的衝擊（Impact）。
Module 1-3

21. 資訊安全管理 1-21
2. 外在環境
• 是組織、交易夥伴、合約商及服務供應商，必須
滿足法律、法令、規章及合約方面的要求，以及
他們的社會文化環境。
Module 1-3

22. 資訊安全管理 1-22
3. 內在環境
• 是組織為了支援營運活動而發展的，對資訊處理
的原則、目標、和營運的要求。
Module 1-3

23. 資訊安全管理 1-23
Module 1-4：評估資訊安全風險

24. 資訊安全管理 1-24
Module 1-4：評估資訊安全風險
• 透過有系統的安全風險評鑑，才能識別安全要求。
• 資訊安全的保護投資必需符合經濟原則，有關控
制措施的支出及可能造成的營運損失，需保持平
衡。
Module 1-4

25. 資訊安全管理 1-25
• 風險評鑑的結果，有助於指導及決定適當的管理
作為、管理資訊安全風險的優先順序、實作所選
的控制措施，以防範這些風險。
• 風險評鑑宜定期重覆進行，以應付可能影響風險
評鑑結果的任何改變。
Module 1-4

26. 資訊安全管理 1-26
Module 1-5：處理資訊安全風險

27. 資訊安全管理 1-27
Module 1-5：處理資訊安全風險
• 一旦識別了安全要求、確定組織的風險與其執行
風險處理之決策後，宜選擇並實作控制措施，以
確保將風險降低到可接受的程度。
• 控制措施的選擇，將依據組織風險承受的準則、
風險處理的選擇、以及一般適用於組織風險管理
方法等的決策而定，當然同時受限於所有相關的
國家及國際法律與管理規定。
Module 1-5

28. 資訊安全管理 1-28
Module 1-6：選擇控制措施

29. 資訊安全管理 1-29
Module 1-6：選擇控制措施
• 很多的控制措施都能被視為實行資訊安全很好的
起點。
• 這些措施可以是根據基本的法律要求為基礎，也
可以是資訊安全的一般最佳實務。
Module 1-6

30. 資訊安全管理 1-30
• 依據可適用的法律，從法律的角度來看，對組織
至關重要的控制措施，包括：
– 保護資料(訊)及個人資訊的隱私；
– 保護組織的記錄；
– 保護組織的智慧財產權（Intellectual Property
Rights, IPR）。
Module 1-6

31. 資訊安全管理 1-31
• 在資訊安全的實務中，常用的控制措施，包括：
– 資訊安全政策文件；
– 資訊安全責任的配置；
– 資訊安全認知、訓練與教育；
– 應用系統的正確處理流程；
– 脆弱性管理；
– 營運持續管理；
– 管理資訊安全事故與改善。
Module 1-6

32. 資訊安全管理 1-32
• 這些控制措施適用於大部分的組織及環境。
• 但任何控制措施是否適用，還是取決於組織所面
臨的特有風險。
Module 1-6

33. 資訊安全管理 1-33
Module 1-7：資訊安全管理標準簡介
及其演進

34. 資訊安全管理 1-34
Module 1-7：資訊安全管理標準簡介及其演進
• 英國標準協會（British Standards Institution, BSI）
為國際標準制定機構之一，於1995年提出編號為
BS 7799的資訊安全管理系統（Information
Security Management Systems, ISMS）標準。
Module 1-7

35. 資訊安全管理 1-35
• BS 7799分為BS 7799-1 & BS 7799-2兩個部分
（Part），其中BS 7799-1已在2005年6月成為
ISO/IEC 17799：2005國際標準；而BS 7799-2
亦於2005年10月正式成為ISO/IEC 27001：2005
國際標準。
Module 1-7

36. 資訊安全管理 1-36
• 資訊安全管理在國內及全球已逐漸被重視，上述
標準為目前國際公認最完整之資訊安全管理標準。
• 表1-1顯示，導入ISMS且取得認證的機構數總共
有3,363家（2007年3月），日本導入ISMS的機
構數最多（1,910），而台灣排名第4（124）。
Module 1-7

37. 資訊安全管理 1-37
• 由於部分機構為跨國企業可能註冊於多個國家，
或者有些機構擁有多張證照，扣除這些該重複註
冊部分，導入ISMS且取得認證的機構數有3,350
家。
Module 1-7

38. 資訊安全管理 1-38
日本(Japan) 1,910 奧地利(Austria) 11 巴基斯坦(Pakistan) 2
英國(UK) 326 沙烏地阿拉伯
(Saudi Arabia)
9 羅馬尼亞(Romania) 2
印度(India) 279 菲律賓(Philippines) 8 斯洛伐克(Slovak Republic) 2
臺灣(Taiwan) 124 西班牙(Spain) 8 南非(South Africa) 2
德國(Germany) 74 瑞典(Sweden) 8 斯里蘭卡(Sri Lanka) 2
匈牙利(Hungary) 57 冰島(Iceland) 7 亞美尼亞(Armenia) 1
韓國(Korea) 49 阿拉伯聯合大公國
(UAE)
7 保加利亞(Bulgaria) 1
中國(China) 47 希臘(Greece) 5 直布羅陀(Gibraltar) 1
美國(USA) 47 科威特(Kuwait) 5 埃及(Egypt) 1
義大利(Italy) 42 俄羅斯
(Russian Federation)
5 黎巴嫩(Lebanon) 1
荷蘭(Netherlands) 31 泰國(Thailand) 4 立陶宛(Lithuania) 1
表1-1 全球各國導入ISMS的機構數統計（2007年3月）。
資料來源為ISMS International User Group網頁
（http://www.iso27001certificates.com/）
Module 1-7

39. 資訊安全管理 1-39
新加坡(Singapore) 28 阿根廷(Argentina) 3 盧森堡(Luxemburg) 1
香港(Hong Kong) 25 克羅埃西亞(Croatia) 3 馬其頓(Macedonia) 1
澳大利亞(Australia) 22 法國(France) 3 摩爾多瓦(Moldova) 1
馬來西亞(Malaysia) 19 印尼(Indonesia) 3 摩洛哥(Morocco) 1
愛爾蘭(Ireland) 17 曼島(Isle of Man) 3 紐西蘭(New Zealand) 1
波蘭(Poland) 17 澳門(Macau) 3 祕魯(Peru) 1
巴西(Brazil) 15 斯洛維尼亞(Slovenia) 3 卡達(Qatar ) 1
捷克(Czech Republic) 15 巴林(Bahrain) 2 塞爾維亞(Serbia and
Montenegro)
1
瑞士(Switzerland) 15 比利時(Belgium) 2 烏克蘭(Ukraine) 1
芬蘭(Finland) 14 加拿大(Canada) 2 烏拉圭(Uruguay) 1
挪威(Norway) 14 哥倫比亞(Colombia) 2 越南(Vietnam) 1
土耳其(Turkey) 13 丹麥(Denmark) 2 相對總家數 3363
墨西哥(Mexico) 12 阿曼(Oman) 2 絕對總家數 3350
Module 1-7

40. 資訊安全管理 1-40
• ISO 17799:2005資訊安全管理作業要點（Code
of Practice for Information Security Management）
主要是作為參考文件，提供廣泛性的安全控制措
施，作為現行資訊安全之最佳作業方法。
• 其中包含11個控制措施章節，但不作為評鑑與驗
證標準。
Module 1-7

41. 資訊安全管理 1-41
• ISO 27001:2005資訊安全管理系統要求
（Information Security Management Systems
（ISMS）- Requirements）係根據ISO 17799，
提供資訊安全管理系統之建立實施與書面化之具
體要求，依據個別組織的需求，規定要實施之安
全控制措施的要求。
Module 1-7

42. 資訊安全管理 1-42
• ISO 27001是國際資訊安全管理系統標準。它可
以幫助組織鑑別、管理和減少資訊所面臨的各種
風險。
Module 1-7

43. 資訊安全管理 1-43
• ISO 27001包括建置組織管理系統所需要的PDCA
（Plan, Do, Check, Act）管理架構及廣泛的安全
控制措施指引：
1. 安全政策（Security Policy）
2. 資訊安全組織（Organization of Information
Security）
3. 資產管理（Asset Management）
4. 人力資源安全（Human Resources Security）
5. 實體和環境安全（Physical and Environmental
Security）
Module 1-7

44. 資訊安全管理 1-44
6. 通訊與作業管理（Communications and
Operations Management）
7. 存取控制（Access Control）
8. 資訊系統取得、開發和維護（Information
Systems Acquisition, Development and
Maintenance）
9. 資訊安全事故管理（Information Security Incident
Management）
10. 營運持續管理（Business Continuity
Management）
11. 遵循性（Compliance）
Module 1-7

45. 資訊安全管理 1-45
Module 1-7
ISO/IEC 17799 : 2005 架構
資通安全管理技術標準介紹-ISO/IEC 27001，資策會專案支援處資安服務中心，2006/6/30
安全政策
資訊安全組織
資產管理
人力資源安全
實體和環境
安全
通訊與作業
管理
資訊系統
取得、開
發和維護
存取控制
資訊安全事故管理
營運持續管理
遵循性

46. 資訊安全管理
2005年版本vs.2013年版本標準章節比較
1-46

47. 資訊安全管理 1-47
控制措施

48. 資訊安全管理 1-48

49. 資訊安全管理
由114個控制項目調整成93個。
1-49

50. 資訊安全管理
ISO/IEC 27001：2022新增控制項
1-50

51. 資訊安全管理 1-51
1. 安全政策
• 表達對資訊安全管理系統的支持和承諾。
Module 1-7

52. 資訊安全管理 1-52
2. 資訊安全組織
• 建立一個管理架構，用於公司內部資訊安全的管
理和控制，以及執行現有的資訊安全規定。
Module 1-7

53. 資訊安全管理 1-53
3. 資產管理
• 確保對組織各項資產的安全進行有效保護。
Module 1-7

54. 資訊安全管理 1-54
4. 人力資源安全
• 明訂所有人員在安全方面的職責和角色。
Module 1-7

55. 資訊安全管理 1-55
5. 實體和環境安全
• 對組織營運場所及人員提出簡單明確的安全要求。
Module 1-7

56. 資訊安全管理 1-56
6. 通訊與作業管理
• 盡可能完善公司內外的溝通聯繫，以利於資訊安
全管理系統的順利運行。
Module 1-7

57. 資訊安全管理 1-57
7. 存取控制
• 對資訊存取行為的管理。
Module 1-7

58. 資訊安全管理 1-58
8. 資訊系統取得、開發和維護
• 確保公司IT專案和相關的支援活動已實施安全控
制，必要時進行資料管制和加密。
Module 1-7

59. 資訊安全管理 1-59
9. 資訊安全事故管理
• 確保在某種程度上，傳達與資訊系統有關的資訊
安全事件與弱點，始能採取即時的矯正行動。
• 確保實施一致與有效的方法來管理資訊安全事故。
Module 1-7

60. 資訊安全管理 1-60
10. 營運持續管理
• 發展和維護企業營運持續計劃，保護關鍵的業務
活動，免受重大災難或中斷的影響。
Module 1-7

61. 資訊安全管理 1-61
11. 遵循性
• 符合資訊安全法令或規定的相關要求。
Module 1-7

62. 資訊安全管理 1-62
Module 1-8：關鍵成功因素

63. 資訊安全管理 1-63
Module 1-8：關鍵成功因素
• 能反映營運目標的資訊安全政策、目標及活動
• 與組織文化一致之實作、維護、監控、及改進資
訊安全的方法與框架
• 來自所有管理階層的實際支持和承諾
• 對資訊安全要求、風險評鑑以及風險管理的深入
理解
Module 1-8

64. 資訊安全管理 1-64
• 向全體管理人員、受雇人員、及相關人員，有效
推廣資訊安全，以達到認知
• 向所有管理人員、受雇人員、及相關人員宣傳資
訊安全政策的指引和標準
• 資助資訊安全管理的規定
Module 1-8

65. 資訊安全管理 1-65
• 提供適切的認知、訓練及教育
• 制定有效的資訊安全事故管理過程
• 實施用於評估資訊安全管理的績效及改善的回饋
建議之量測系統
Module 1-8

66. 資訊安全管理 1-66
Module 1-9：重要名詞說明

67. 資訊安全管理 1-67
Module 1-9：重要名詞說明
1. 資產（Asset）
2. 資訊處理設施（Information Processing Facilities）
3. 資訊安全（Information Security）
4. 資訊安全管理系統（Information Security
Management System, ISMS）
5. 機密性（Confidentiality）
6. 完整性（Integrity）
7.可用性（Availability）
Module 1-9

68. 資訊安全管理 1-68
8. 資訊安全事件（Information Security Event）
9. 資訊安全事故（Information Security Incident）
10. 風險（Risk）
11. 威脅（Threat）
12. 脆弱性（Vulnerability）
13. 風險分析（Risk Analysis）
14. 風險評估（Risk Evaluation）
15. 風險評鑑（Risk Assessment）
Module 1-9

69. 資訊安全管理 1-69
16. 風險處理（Risk Treatment）
17. 剩餘風險（Residual Risk）
18. 風險接受（Risk Acceptance）
19. 風險管理（Risk Management）
20. 適用性聲明（Statement of Applicability）
Module 1-9

70. 資訊安全管理 1-70
1. 資產
• 對組織有價值的任何事物。
• [ISO/IEC 13335-1:2004]
Module 1-9

71. 資訊安全管理 1-71
2. 資訊處理設施
• 任何資訊處理系統、服務或基礎建設、或是儲藏
它們的實體地點。
Module 1-9

72. 資訊安全管理 1-72
3. 資訊安全
• 保護資訊的機密性、完整性及可用性；此外，亦
能涉及如鑑別性、可歸責性、不可否認性及可靠
度等性質。
• [ISO/IEC 17799：2005]
Module 1-9

73. 資訊安全管理 1-73
4. 資訊安全管理系統
• 整體管理系統的一部份，以營運風險導向（作法）
為基礎，用以建立、實作、運作、監視、審查、
維持與改進資訊安全。
• 資訊安全管理系統包括組織架構、政策、規劃活
動、責任、實務、程序、過程及資源。
Module 1-9

74. 資訊安全管理 1-74
5. 機密性
• 使資訊不可用或不揭露給未經授權之個人、個體
或過程的性質。
• [ISO/IEC 13335-1:2004]
Module 1-9

75. 資訊安全管理 1-75
6. 完整性
• 保護資訊資產的準確度(Accuracy)和完全性
(Completeness)的性質。
• [ISO/IEC TR 18044:2004]
Module 1-9

76. 資訊安全管理 1-76
• 經授權個體因應需求之可存取及可使用的性質。
• [ISO/IEC 13335-1:2004]
7. 可用性
Module 1-9

77. 資訊安全管理 1-77
8. 資訊安全事件
• 系統、服務或網路發生一個已識別的狀態，其指
示可能的資訊安全政策違例或保護措施失效，或
是可能與安全相關而先前未知的狀況等。
[ISO/IEC TR 18044:2004]
Module 1-9

78. 資訊安全管理 1-78
9. 資訊安全事故
• 單一或一連串有顯著機率可能危害營運作業與威
脅資訊安全之非所欲或非預期的資訊安全事件。
• [ISO/IEC TR 18044:2004]
Module 1-9

79. 資訊安全管理 1-79
10. 風險
• 事件發生與其影響的可能性之組合。
• [ISO Guide 73:2002]
Module 1-9

80. 資訊安全管理 1-80
11. 威脅
• 可能導致對系統或組織傷害，有害事件的潛在原
因。
• [ISO/IEC 13335-1:2004]
Module 1-9

81. 資訊安全管理 1-81
12. 脆弱性
• 能被單一威脅利用的單一或一群資產的弱點。
• [ISO/IEC 13335-1:2004]
Module 1-9

82. 資訊安全管理 1-82
13. 風險分析
• 系統性的使用資訊，以識別緣由與估計風險。
• [ISO Guide 73:2002]
Module 1-9

83. 資訊安全管理 1-83
14. 風險評估
• 把預估的風險和已知的風險準則，進行比較的過
程，以決定風險的顯著性。
• [ISO Guide 73:2002]
Module 1-9

84. 資訊安全管理 1-84
15. 風險評鑑
• 風險分析與風險評估的整個過程。
• [ISO Guide 73:2002]
Module 1-9

85. 資訊安全管理 1-85
16. 風險處理
• 選擇與實作措施的過程，藉以修正風險。
• [ISO Guide 73:2002]
Module 1-9

86. 資訊安全管理 1-86
17. 剩餘風險
• 風險處理後，所剩餘的風險。
• [ISO Guide 73:2002]
Module 1-9

87. 資訊安全管理 1-87
18. 風險接受
• 決定接受某風險。
• [ISO/IEC Guide 73:2002]
Module 1-9

88. 資訊安全管理 1-88
19. 風險管理
• 藉由協調各項活動，以指導與控管組織之有關風
險。
• [ISO Guide 73:2002]
Module 1-9

89. 資訊安全管理 1-89
20. 適用性聲明
• 描述與組織之資訊安全管理系統(ISMS)相關且對
其適用之各項控制目標與控制措施的已文件化聲
明。
• 控制目標與控制措施，係以風險評鑑與風險處理
之各項過程的結果與結論、法律或法規要求、契
約義務，以及組織對資訊安全的營運要求為基礎。
Module 1-9

90. 資訊安全管理 1-90
Module 1-10：我國資安管理法源/政策
Module 1-10
行政院及所屬機關資訊安全管理規範(草案) ，資通安全會報技服中心，2005。

91. 資訊安全管理 1-91
我國資通安全共通規範架構
行政院及所屬機關資訊安全管理規範(草案) ，資通安全會報技服中心，2005。

92. 資訊安全管理 1-92
參考文獻

93. 資訊安全管理 1-93
參考文獻
• 行政院及所屬機關資訊安全管理規範(草案) ，行政院資通
安全會報技服中心，2005。
• 國家標準CNS 17799「資訊技術-安全技術--資訊安全管理
之作業規範」。
• 國家標準CNS 27001「資訊技術-安全技術--資訊安全管理
系統-要求事項」。
• ISO/IEC 27001:2005 Information technology -- Security
techniques -- Information security management
systems – Requirements.
• ISO 27001:2005 Information technology – Security
techniques – Code of practice for information security
management.
• ISO/IEC Guide 2:1996, Standardization and related
activities – General vocabulary.

94. 資訊安全管理 1-94
Module 1：資訊安全管理概論
習題

95. 資訊安全管理 1-95
是非題(1)_題目
資訊安全管理系統是指用以
管理儲存資料及資訊的電腦
系統。
是
非

96. 資訊安全管理 1-96
是非題(2)_題目
資訊安全管理系統是運用一
套系統方法，對組織內敏感
資產進行管理。
是
非

97. 資訊安全管理 1-97
是非題(3)_題目
資訊越隱密就越少人知道，
越少人知道就越安全。故將
所有的資訊列為最高機密就
達成安全。
是
非

98. 資訊安全管理 1-98
是非題(4)_題目
控制措施的選擇，需受限於
所有相關的國家及國際法律
與管理規定。
是
非

99. 資訊安全管理 1-99
是非題(5)_題目
資訊安全的實務中，已經產
生很多的最佳實務，是所有
組織導入ISMS所必須遵守的。
是
非

100. 資訊安全管理 1-100
是非題(6)_題目
資產是指組織中的有形的實
體設施，如機械、廠房、資
本、人員、土地等。
是
非

101. 資訊安全管理 1-101
是非題(7)_題目
風險評鑑宜定期重覆進行，
以應付環境的改變。
是
非

102. 資訊安全管理 1-102
是非題(8)_題目
資訊安全管理是組織的重點
工作其實施的範圍只包括組
織內所有員工及產生的資訊。
是
非

103. 資訊安全管理 1-103
是非題(9)_題目
資訊安全認知、訓練與教育
是一種常用的控制措施。
是
非

104. 資訊安全管理 1-104
是非題(10)_題目
無論對小企業或跨國性大企
業而言，資安的需求都是存
在的。
是
非

105. 資訊安全管理 1-105
選擇題(1)_題目
(1) 有助於指導及決定適當的管理
作為
(2) 風險評鑑結果能保證資訊資產
絕對安全
(3) 管理資訊安全風險的優先順序
(4) 實作所選的控制措施
下列有關風險評鑑結
果之描述，何者正確？
(複選)

106. 資訊安全管理 1-106
選擇題(2)_題目
(1) 保護組織的智慧財產權
(2) 保護組織的記錄
(3) 保護資訊的價格（Price）
(4) 保護個人資訊的隱私
從法律的角度而言，
重要的控制措施包括
下列何項？ (複選)

107. 資訊安全管理 1-107
選擇題(3)_題目
(1) 資訊的價格（Price）
(2) 資訊的機密性
（Confidentiality）
(3) 資訊的完整性（Integrity）
(4) 資訊的可用性（Availability）
資訊安全是要保護資
訊的那些要件？ (複
選)

108. 資訊安全管理 1-108
選擇題(4)_題目
(1) ISO 27001
(2) ISO 9001
(3) ISO 14000
(4) ISO 7777
下列何者是國際資訊
安全管理系統標準？

109. 資訊安全管理 1-109
選擇題(5)_題目
(1) 追求絕對的安全性。
(2) 減少使用資訊科技，就可降低
資訊安全問題。
(3) 資安是因使用資訊技術而起，
所以使用相關技術就可以了。
(4) 是使用適當的成本，來保護資
訊資產。
下列何者為資訊安全
的重要觀念？

110. 資訊安全管理 1-110
選擇題(6)_題目
(1) 識別資產所面臨的威脅
(2) 評估資產的脆弱性
(3) 預估事故可能造成的衝擊
(4) 預估所需的硬體設備為何？
風險評鑑（Risk
Assessment）的功能
有那些？(複選)

111. 資訊安全管理 1-111
選擇題(7)_題目
(1) 風險值
(2) 威脅
(3) 弱點
(4) 風險
「事件發生與其影響
的可能性之組合」是
那個名詞之定義？

112. 資訊安全管理 1-112
選擇題(8)_題目
(1) 完整性
(2) 保密性
(3) 透明性
(4) 可用性
保護資產的準確度和
完全性的性質是指何？

113. 資訊安全管理 1-113
選擇題(9)_題目
(1) 資訊安全的管理
(2) 資訊安全的控制
(3) 資訊安全政策核准
(4) 資訊安全的執行
資訊安全組織的主要
工成作為何？(複選)

114. 資訊安全管理 1-114
選擇題(10)_題目
(1) 降低風險接受值；
(2) 適切的管理；
(3) 程序支援；
(4) 技術
ISMS的導入要能達成
目標，下列那些事項
須配合？(複選)