【正文】 2二 資訊安全管理 10162 ? 監(jiān)視活動，可以考慮包括下列要點： – 監(jiān)視存取行為： 包括細(xì)節(jié)如下： ? 使用者 ID。 ? 日期和時間。 ? 事件型式。 ? 所存取的檔案。 ? 所使用的程式 ?公用程式。 Module 1012二 資訊安全管理 10163 – 監(jiān)視特權(quán)作業(yè)： ? 特權(quán)帳號的使用，例如：監(jiān)督者帳號、管理者帳號。 ? 系統(tǒng)啟動與停止資訊。 ? 輸出 ?輸入設(shè)備的附接 ?拆接。 Module 1012二 資訊安全管理 10164 – 監(jiān)視未經(jīng)授權(quán)存?。? ? 使用者之失敗或拒絕行動資訊。 ? 涉及資料和其他資源之失敗或拒絕行動。 ? 違反網(wǎng)路閘道及防火牆存取政策的行為及通知。 ? 專屬入侵偵測系統(tǒng)發(fā)出的警訊。 Module 1012二 資訊安全管理 10165 – 監(jiān)視系統(tǒng)警訊或故障： ? 控制臺（ Console）警訊或訊息。 ? 系統(tǒng)日誌異常情況。 ? 網(wǎng)路管理警報。 ? 存取控制系統(tǒng)所引起的警報。 Module 1012二 資訊安全管理 10166 – 監(jiān)視系統(tǒng)安全設(shè)定： ? 系統(tǒng)安全設(shè)定的變更或變更嘗詴。 ? 控制措施的變更或變更嘗詴。 Module 1012二 資訊安全管理 10167 ? 除遵守程序進行監(jiān)視活動外 ， 更頇對監(jiān)視活動進行定期審查 ， 以瞭解系統(tǒng)面臨的威脅 ， 以及這些威脅出現(xiàn)的方式 。 Module 1012二 資訊安全管理 10168 ? 監(jiān)視活動日誌之定期審查頻率，應(yīng)取決於相關(guān)的風(fēng)險。風(fēng)險愈高之系統(tǒng)，審查頻率宜高，而風(fēng)險高低可取決於下列要點： – 軟體的關(guān)鍵性： ? 愈關(guān)鍵之應(yīng)用軟體，風(fēng)險愈高。 – 資訊的重要性： ? 包括所涉及資訊的價值、敏感性及關(guān)鍵性。 Module 1012二 資訊安全管理 10169 – 系統(tǒng)危害的頻率： ? 參考過去系統(tǒng)遭受滲透與誤用的經(jīng)驗，以及脆弱性被利用的頻率。 – 系統(tǒng)互連的程度： ? 如公眾網(wǎng)路的風(fēng)險較封閉網(wǎng)路為高。 – 存錄設(shè)施防護的程度： ? 如存錄設(shè)施是否容易遭受破壞或控制。 Module 1012二 資訊安全管理 10170 三、日誌資訊的保護 ? 許多稽核日誌可能會被要求作為紀(jì)錄（證據(jù)）保留歸檔（可參閱 Module 132），故組織應(yīng)保護存錄設(shè)施與日誌資訊，使其不受竄改與未經(jīng)授權(quán)的存取。 Module 1012 資訊安全管理 10171 ? 保護存錄設(shè)施與日誌資訊之控制措施，可以考慮下列要點： – 保護存錄設(shè)施： ? 應(yīng)保護各類型之存錄設(shè)施，例如：營運系統(tǒng)主機、門禁系統(tǒng)主機、監(jiān)視系統(tǒng)主機等。 – 保護訊息型式： ? 防止變更所記錄的訊息型式。 Module 1012三 資訊安全管理 10172 – 保護日誌檔案： ? 防止日誌檔遭編輯或刪除。 – 保護儲存容量： ? 防止日誌檔儲存媒體容量不足，導(dǎo)致無法記錄事件或覆蓋以往之記錄事件。 Module 1012三 資訊安全管理 10173 – 保護日誌備份： ? 應(yīng)考慮適切的將安全監(jiān)視訊息自動複製到第二個日誌中。 – 保護日誌竄改： ? 系統(tǒng)日誌若能輕易被修改或刪除，將導(dǎo)致管理人員對安全之誤判，誤以為系統(tǒng)很安全。 Module 1012三 資訊安全管理 10174 四、管理者與操作者日誌 ? 組織應(yīng)對系統(tǒng)管理者與操作者的活動加以存錄。 Module 1012 資訊安全管理 10175 ? 日誌可考慮包括下列要點： – 事件時間： ? 日誌應(yīng)包括事件成功或失敗發(fā)生的時間，例如：備份作業(yè)順利完成或過程失敗之時間。 – 事件資訊： ? 日誌應(yīng)包括事件相關(guān)資訊（例如：已處理檔案之進度）或失效的資訊（例如：已發(fā)生錯誤並採取矯正措施）。 Module 1012四 資訊安全管理 10176 – 事件人員： ? 日誌應(yīng)包括所涉及的帳號和管理者或操作者。 – 事件過程： ? 日誌應(yīng)包括所涉及的過程。 – 遵循性： ? 可使用不受系統(tǒng)和網(wǎng)路管理者控制管理的入侵偵測系統(tǒng)，監(jiān)視系統(tǒng)和網(wǎng)路管理者的活動是否符合程序或法令要求。 ? 應(yīng)定期審查系統(tǒng)管理者與操作者日誌。 Module 1012四 資訊安全管理 10177 五、失誤存錄 ? 對於系統(tǒng)之任何異常失誤情況，均應(yīng)加以存錄、分析，並採取適當(dāng)措施。 ? 錯誤和失誤的存錄可能影響系統(tǒng)的效能，必頇及時處理。 Module 1012 資訊安全管理 10178 ? 失誤存錄之控制措施，可以考慮下列要點： – 建立存錄程序： ? 應(yīng)界定何種失誤及問題必頇存錄、存錄方式及審查方式等。例如：由使用者通報之失誤、系統(tǒng)程式產(chǎn)生之失誤通報、其他資訊處理或通信系統(tǒng)的問題均頇存錄，頇由系統(tǒng)管理者定期審查失誤日誌，確認(rèn)失誤之影響程度並採取適當(dāng)之處置行動等。 Module 1012五 資訊安全管理 10179 ? 應(yīng)決定不同系統(tǒng)所要求的存錄等級，可經(jīng)由風(fēng)險評鑑及考慮效能降低等因素決定之。存錄等級確認(rèn)後，應(yīng)由有能力的人員（例如：合格的系統(tǒng)管理者）啟用錯誤存錄（ Error Logging）。 Module 1012五 資訊安全管理 10180 – 審查失誤日誌（ Fault Log）： ? 由管理者定期審查，以確保失誤得到滿意的解決。 – 採取矯正措施： ? 針對失誤及問題，經(jīng)過分析及充分授權(quán)後，進行矯正措施，並確認(rèn)該失誤已獲得改善。 Module 1012五 資訊安全管理 10181 六、時鐘同步 ? 正確設(shè)定電腦系統(tǒng)時鐘，是重要的管理活動之一。其可確?；巳照I的準(zhǔn)確性，並可作為在法律或懲處案件的調(diào)查活動中之證據(jù)。不準(zhǔn)確的稽核日誌，可能妨礙此類調(diào)查及減損證據(jù)的可信度。 Module 1012 資訊安全管理 10182 ? 組織應(yīng)對於安全領(lǐng)域內(nèi)所有相關(guān)資訊處理系統(tǒng)的時鐘（例如：營運系統(tǒng)主機、門禁管制系統(tǒng)或監(jiān)視錄影系統(tǒng)等），與議定的準(zhǔn)確時間來源（例如：連接至由國家原子鐘廣播時間的時鐘，可作為存錄系統(tǒng)的主鐘、網(wǎng)路時間協(xié)定可用來使所有伺服器與主鐘同步），建立時鐘同步設(shè)定程序。 Module 1012六 資訊安全管理 10183 ? 時鐘同步設(shè)定，可以考慮下列要點： – 頇鑑別所有需要時鐘同步相關(guān)資訊處理系統(tǒng)。 – 即時時鐘同步： ? 某些電腦或通信裝置有能力即時運作時鐘同步，可依處理程序設(shè)定與標(biāo)準(zhǔn)時鐘同步，如國際標(biāo)準(zhǔn)時間（或稱世界協(xié)調(diào)時間（ Coordinated Universal Time, UTC））或當(dāng)?shù)貥?biāo)準(zhǔn)時間。 Module 1012六 資訊安全管理 10184 – 調(diào)校時鐘同步： ? 某些系統(tǒng)時鐘會隨時間產(chǎn)生誤差，組織應(yīng)建立定期檢查程序及校正其差異。 – 時鐘同步格式： ? 應(yīng)考慮當(dāng)?shù)靥囟〞r間及日期差異情況，例如：時區(qū)差異、日光節(jié)約時間等，以正確地設(shè)定日期 ?時間格式。 Module 1012六 資訊安全管理 10185 參考文獻(xiàn) 資訊安全管理 10186 參考文獻(xiàn) ? 國家標(biāo)準(zhǔn) CNS 17799「資訊技術(shù) 安全技術(shù) 資訊安全管理之作業(yè)規(guī)範(fàn)」。 ? 國家標(biāo)準(zhǔn) CNS 27001「資訊技術(shù) 安全技術(shù) 資訊安全管理系統(tǒng) 要求事項」。 ? ISO/IEC 27001:2023 Information technology Security techniques Information security management systems – Requirements. ? ISO 27001:2023 Information technology – Security techniques – Code of practice for information security management. ? ISO/IEC 133351:2023, Information technology – Security techniques – Management of information and munications technology security – Part 1: Concepts and models for information and munications technology security management. 資訊安全管理 10187 ? ISO/IEC TR 133353:1998, Information technology – Guidelines for the Management of IT Security – Part 3: Techniques for the management of IT Security. ? ISO/IEC TR 133354:2023, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards. ? ISO/IEC 154081:1999 Information technology – Security techniques – Evaluation Criteria for IT security – Part 1: Introduction and general model. ? ISO/IEC 14516:2023 Information technology – Security techniques – Guidelines for the use and management of Trusted Third Party services. 資訊安全管理 10188 Module 10：通信與作業(yè)管理 習(xí)題 資訊安全管理 10189 是非題 (1)_題目 為確保組織資訊存取活動符合安全要求，可透過監(jiān)視措施來偵測組織的資訊處理活動。 ?是 ?非 資訊安全管理 10190 是非題 (2)_題目 對未來的容量需求先預(yù)作規(guī)劃，可降低系統(tǒng)超載的風(fēng)險。 ?是 ?非 資訊安全管理 10191 是非題 (3)_題目 系統(tǒng)管理者與操作者對系統(tǒng)的活動為日常的工作，組織仍應(yīng)對加以存錄。 ?是 ?非 資訊安全管理 10192 是非題 (4)_題目 資料備份可有效維持資訊及資訊處理設(shè)施的完整性與可用性。 ?是 ?非 資訊安全管理 10193 是非題 (5)_題目 為了測詴的方便，可直接將組織的日常資料庫複製至測詴系統(tǒng)環(huán)境是一個很有效方式。 ?是 ?非 資訊安全管理 10194 是非題 (6)_題目 惡意碼泛指具人為意圖破壞資訊系統(tǒng)的程式，如病毒、蠕蟲、特洛伊木馬及邏輯炸彈等。 ?是 ?非 資訊安全管理 10195 是非題 (7)_題目 組織的資訊安全的控制範(fàn)圍限組織內(nèi)部，透過公眾系統(tǒng)發(fā)行之資訊就不需處理。 ?是 ?非 資訊安全管理 10196 是非題 (8)_題目 電子傳訊與以紙張為基礎(chǔ)的通信的風(fēng)險是相同的。 ?是 ?非 資訊安全管理 10197 是非題 (9)_題目 將處理資訊和通信設(shè)施相關(guān)系統(tǒng)活動的作業(yè)程序加以文件化，是確保人員完整正確操作的重要措施。 ?是 ?非 資訊安全管理 10198 是非題 (10)_題目 各項日誌之定期審查頻率，應(yīng)取決於其機密性。 ?是 ?非 資訊安全管理 10199 選擇題 (1)_題目 (1)「人」 (2)「時」 (3)「物」 (4)「地」 「存取控制」控制下列何項？ (複選 ) 資訊安全管理 10200 選擇題 (2)_題目 (1) 系統(tǒng)所在地 (2) 交易人所在地 (3) 擁有者居住地 (4) 美國商業(yè)法規(guī) 從法律的角度而言，公眾可用系統(tǒng)上的資訊需遵守下列何項管轄法律？ (複選 ) 資訊安全管理 10201 選擇題 (3)_題目 (1) 資料 (2) 系統(tǒng)資訊 (3) 應(yīng)用軟體系統(tǒng) (4) 公用資訊 備份可有效維持資訊及資訊處理設(shè)施的完整性與可用性。備份的內(nèi)容為何？ (複選 ) 資訊安全管理 10202 選擇題 (4)_題目 (1) 行動碼； (2) 特洛伊木馬； (3) 病毒； (4) 邏輯炸彈。 「由一電腦轉(zhuǎn)移至另一電腦，自動執(zhí)行的軟體程式碼，並以很少或不需使用