1.在ISO27000系列標準中,下列何者為建置資訊安全管理系統的實作
指引(Informationsecuritymanagementsystems—Guidance)?
(A)ISO/IEC27001
(B)ISO/IEC27002
(C)ISO/IEC27003
(D)ISO/IEC27004
統計: A(193), B(110), C(360), D(31), E(0) #3055822
詳解 (共 4 筆)
這題的正確答案是 (C) ISO/IEC 27003。
以下為各選項的詳細原因與標準定義說明:
答案解析
-
(C) ISO/IEC 27003:資訊安全管理系統—指引(Guidance)
-
原因: 本標準的官方名稱即為 Information technology — Security techniques — Information security management systems — Guidance。它專門為組織在規劃、建置、維持和持續改善符合 ISO/IEC 27001 要求的資訊安全管理系統(ISMS)時,提供具體的實作步驟、指引與建議。
-
其他選項錯誤原因說明
-
(A) ISO/IEC 27001:資訊安全管理系統—要求(Requirements)
-
原因: 這是 ISO 27000 系列中的核心驗證標準。它定義了建立、實施、維護和持續改善 ISMS 的「強制性要求」。組織如果要通過 ISO 27001 驗證,必須完全符合此標準條文,它屬於驗證依據,而非單純的實作指引。
-
-
(B) ISO/IEC 27002:資訊安全控制措施(Information security controls)
-
原因: 本標準舊稱為實務守則(Code of practice),現為控制措施指引。它主要是針對 ISO/IEC 27001 附錄 A(Annex A)所列出的各項安全控制措施,提供具體、詳細的實施指引與管理建議(例如:密碼管理、存取控制、實體安全等該如何做),但它聚焦在「控制措施」本身,而不是「整個 ISMS 系統的建置流程」。
-
-
(D) ISO/IEC 27004:資訊安全管理—監控、量測、分析與評估(Monitoring, measurement, analysis and evaluation)
-
原因: 本標準主要針對 ISMS 的績效評估提供指引。它協助組織設計量化指標(Metrics),用以評估資訊安全控制措施與管理系統的有效性,屬於建置完成後的監控與量測階段,而非建置實作指引。
-