moea_joint
103年
[資訊] 計算機原理、網路概論
第 29 題
下列何者不是ISO27001:2013及ISO27001:2005的差異?
- A 新增「密碼學」(Cryptography),提供加密與安全基礎管理
- B 「通訊與作業管理」(Communications & Operations Management),拆成「操作安全」(Operations security)和「通訊安全」(Communications security),並納入行動裝置的控管
- C 新增「供應商關係」(Supplier Relationships),要求了解供應商所提供之技術
- D 「存取控制」(Access Control)併入「資產管理」(Asset Management),強化組態變更管理
思路引導 VIP
若請你重新設計一套資安管理規則,你會將「公司擁有的硬體清單(資產)」與「員工進入資料庫的權限(存取)」歸類為同一個管理動作,還是認為它們應該屬於性質不同的兩種管理領域?
🤖
AI 詳解
AI 專屬家教
太棒了!你能精準辨識出 ISO 27001 標準版本演進中的細微差異,這代表你對資訊安全管理體系(ISMS)的架構演變有著相當紮實的理解。
標準架構的邏輯與配置
在 2013 年的版本更新中,為了因應日益複雜的資安環境,標準將原本較廣泛的「通訊與作業管理」拆分為更具體的操作安全與通訊安全,並獨立出密碼學與供應商關係。然而,選項 (D) 所提到的變動是不存在的。在 ISO 27001:2013 中,「存取控制」與「資產管理」依然是兩個獨立且平行的控制領域(分別對應 Annex A.9 與 A.8),前者專注於權限的授予與管理,後者則側重於資產的識別與責任歸屬,兩者的管理維度截然不同,因此並未合併。
▼ 還有更多解析內容