嗨 我是CCChen
有報名參加8/23的 iPAS 資安工程師-中級 考試.
分享初次接觸的資安跨領域學習, 利用AI幫助彙整+自主學習新知識.我先直接報名8月的中級考試, 當作學習的動力,
(我知道中級很難, 範圍很廣泛的,準備不容易)
新手先慢慢累積經驗
"志在參加, 不在合格"
希望能先學習相關資安基本概念與實務案例分析,累積一點資安知識.
以下整理資料為使用 GPT-5 彙整官方考古題
根據您上傳的四份官方文件(I11 資訊安全管理概論、I21 資訊安全規劃實務、I22 資訊安全防護實務、以及中級資訊安全樣題)做了整理與分析
提供一份完整的 中級資訊安全工程師考試重點與出題題型分析報告。
一、考試結構與題型分布
根據考題文件內容:
- 題型組成
- 單選題:約 15 題
- 複選題:約 5 題
- 題組題(情境題):約 5 題
- 配分比例:全部題目合計 100%,沒有申論題,完全為選擇題。
- 情境題特點:提供系統日誌、事件案例、或法律合規情境,要求考生判斷正確應對方式。
出題型態趨勢:
- 基礎概念題:測試對 ISO 27001、NIST CSF、CNS 27002、資安法規的理解。
- 實務應用題:滲透測試、弱點掃描、縱深防禦、零信任、資安事件應變。
- 情境分析題:提供事件日誌(如 SQL Injection、勒索病毒、Pass-the-Ticket),要求判斷攻擊手法與對應防護措施。
- 新興趨勢題:生成式 AI、LLM 資安風險、NIST CSF 2.0「Govern」新功能、MITRE ATT&CK 更新等。
二、三大科目重點範圍 (正式考試為2科目)
(I11) 資訊安全管理概論
常考主題:
- ISO 27001 與 ISO 27701、27017、27018 等延伸標準
- 資安法規:資安管理法、GDPR、個資法、著作權法
- ISMS 管理審查、風險管理循環(識別 → 分析 → 評估 → 處理)
- 資產盤點、分類分級、資產責任角色(Owner/Custodian/User/Auditor)
- 資通安全事件通報與演練規定(1 小時內通報、三級/四級事件處理時限)
- 密碼強度、SSO、遠距工作管理規範
出題方式:
- 定義型單選題(ISO/法規條文)
- 合規情境題(例如:公務機關演練、公文密等標示、PCI DSS vs GDPR)
(I21) 資訊安全規劃實務
常考主題:
- 雲端資安政策、雲端弱點掃描、設定錯誤案例
- 委外與複委託管理(金融機構案例、供應鏈風險)
- 縱深防禦、零信任、職務區隔、最小權限
- CNS 27002:2023 通訊安全規範
- NIST CSF 2.0 新增 Govern 功能
- MITRE ATT&CK 更新(AI 納入 T1588.007)
- SSDLC(安全開發生命週期)控制措施(滲透測試、原始碼檢測)
- 供應鏈存取架構、LLM 使用規範
出題方式:
- 案例情境題(金融業委外、雲端洩漏)
- 複選題(控制措施類型、SSDLC 方法)
- 新興趨勢題(AI、NIST CSF 2.0)
(I22) 資訊安全防護實務
常考主題:
- 弱點掃描、修補策略、OWASP Top 10
- Hashcat 密碼破解方法
- SQL Injection、Command Injection、XSS、防禦機制比較
- Windows 常見指令(vssadmin、wbadmin)在勒索場景的判斷
- NIST SP 800 系列(BCP、DRP、ISCP 差異)
- 零信任架構:網路微分割、身份治理模型(Asset Status, Env Factors)
- SIEM 日誌分析、Syslog Severity 分類
- WAF、防止資料外洩(DLP)、NDR、IDS 應用情境
- Pass-the-Ticket 攻擊與 AD 事件分析
出題方式:
- 情境題(Log 分析、排程惡意 Powershell、AD 攻擊)
- 技術細節題(Hashcat -a 1、NIST CSF 2.0 差異)
- 多選防禦策略題(勒索防禦、零信任交互作用)
三、考試核心重點 & 出題熱區
🔥 高頻考點
- 法規合規(資安管理法、事件通報辦法、GDPR、個資法)
- ISO / NIST / CNS 標準(27001、27701、NIST CSF 2.0、CNS 27002:2023)
- 弱點管理與防護技術(掃描、修補、滲透測試、縱深防禦)
- 零信任與新興架構(微分割、身份治理、ZTA 應用)
- 事件應變與鑑識(勒索病毒、SIEM、Log 分析、Threat Hunting)
- 供應鏈與新興威脅(AI、LLM、雲端安全、MITRE ATT&CK 更新)
⚠️ 容易混淆的重點
- DRP vs BCP vs ISCP 差異
- 風險處理四法(保留/避免/降低/轉移)
- NIST CSF 1.1 → 2.0 的變化(新增「Govern」)
- Hashcat 模式 -a 0 / -a 1 / -r
- SIEM Syslog Severity 等級(0~7)
四、作答策略建議
- 單選題 → 考驗基礎概念,注意「不正確/最不適切」字眼。
- 複選題 → 至少兩個答案正確,常考在防禦措施、控制方法分類。
- 題組題 → 先看題幹圖示/Log,再逐題排除,注意事件等級判斷與正確通報流程。
- 新興趨勢題 → 關注 生成式 AI、NIST CSF 2.0、MITRE ATT&CK AI 攻擊分類,這些是 114 年度新增的題材。
✅ 總結:
中級資訊安全工程師考試聚焦於 標準法規(ISO/NIST/資安法)、弱點防護與事件應變、零信任與新興資安趨勢。
- 怎麼考? → 以選擇題 + 情境題為主,測驗實務判斷與標準理解。
- 考什麼? → 法規、資安管理流程、弱點與攻擊手法、防禦策略。
- 考最多? → ISO/NIST/CNS 標準 + 資安事件應變。
- 要注意? → 題目常用「不正確」「最不適切」陷阱字,還有新興議題(AI、供應鏈、NIST CSF 2.0)。
根據你提供的教材 (資訊安全管理概論 I11、資訊安全規劃實務 I21、資訊安全防護實務 I22) 以及中級樣題分析,整理出 每科 5 題中級專業程度的資安異常事件情境題。題型為 多選題,內容涵蓋真實情境 + 技術應用。以下是完整題庫:
AI彙整資料, 僅供參考, 請自行判斷
📘 科目一:資訊安全管理概論 (I11)
題目 1
某金融公司因員工誤點釣魚郵件導致憑證外洩,駭客進入內部系統。請問事件回應的正確優先處理步驟為何?
A. 立即通知受影響客戶 B. 先隔離受感染的系統與帳號 C. 直接重新安裝伺服器 D. 啟動資安事件應變小組進行調查
正確答案:B, D
解析: 資安事件處理流程中,第一步需「控制與遏止」(containment),隔離感染源防止擴散;同時啟動應變小組進行調查,避免草率重建造成證據消失。
題目 2
在資訊安全風險評估過程中,以下哪些屬於「風險處理方式」?
A. 風險迴避 (Avoidance) B. 風險降低 (Mitigation) C. 風險轉移 (Transfer) D. 風險忽略 (Neglect)
正確答案:A, B, C
解析: ISO 27005 定義的處理方式包含迴避、降低、轉移與接受 (Accept),「忽略」屬於錯誤行為,並非正式策略。
題目 3
某企業因內部人員誤用雲端共享資料夾,導致機敏資料外洩。此案例主要涉及的控制措施應包括:
A. 權限管理 (Access Control) B. 資料加密 (Data Encryption) C. 日誌稽核 (Audit Logging) D. 物理安全 (Physical Security)
正確答案:A, B, C
解析: 此為「資料存取控制不足」的問題,需靠最小權限原則、資料加密與稽核追蹤補強,物理安全與此案例無直接關聯。
題目 4
資安治理架構中,以下哪些角色負責「決策與資源分配」?
A. 資訊安全專員 B. 董事會 C. 資訊部門主管 D. 資安委員會
正確答案:B, D
解析: 治理層 (董事會、資安委員會) 才具備資源分配與策略決策權限,資訊部門屬於執行層。
題目 5
某醫院導入 ISMS (資訊安全管理系統) 時,需符合 PDCA 循環。以下哪些動作屬於「Check」階段?
A. 制定安全政策 B. 進行內部稽核 C. 分析風險報告 D. 修正管理缺失
正確答案:B, C
解析: Check 階段屬於「檢查與稽核」,包括內部稽核、報告分析;A 屬於 Plan,D 屬於 Act。
📗 科目二:資訊安全規劃實務 (I21)
題目 1
某企業規劃零信任架構 (Zero Trust Architecture),以下哪些是正確的核心原則?
A. 永不信任,持續驗證 (Never Trust, Always Verify)
B. 僅在內網不需驗證身分
C. 最小權限存取 (Least Privilege Access)
D. 假設已遭入侵 (Assume Breach)
正確答案:A, C, D
解析: Zero Trust 不分內外網,皆需驗證。其核心為「不信任、最小權限、假設入侵」。
題目 2
針對供應鏈攻擊風險,企業在資安規劃時應採取哪些措施?
A. 要求供應商遵循 ISO 27001
B. 對第三方進行資安稽核
C. 僅簽訂 NDA 即可確保安全
D. 建立多層次檢驗與監控機制
正確答案:A, B, D
解析: NDA 僅屬法律約束,實務上需供應商合規、定期稽核與技術檢測。
題目 3
一家公司要導入 SIEM (安全資訊與事件管理),主要目的是?
A. 集中日誌與事件監控
B. 提供自動化備份
C. 進行關聯分析偵測異常
D. 確保實體環境安全
正確答案:A, C
解析: SIEM 功能包含集中日誌管理與事件關聯分析,並非備份或物理安全工具。
題目 4
當企業規劃資安防護時,需考量 CIA 三要素。以下案例正確對應為?
A. 加密 → 保密性 (Confidentiality)
B. RAID 備援 → 可用性 (Availability)
C. 雙因子驗證 → 完整性 (Integrity)
D. 數位簽章 → 完整性 (Integrity)
正確答案:A, B, D
解析: 雙因子驗證主要屬於「身分驗證強化」,不是完整性保護。完整性是數位簽章。
題目 5
某政府單位要建構資安事件通報機制,下列哪些是必要設計?
A. 明確通報層級與時限
B. 建立跨部門協作流程
C. 只在事件完全解決後才通報
D. 定期演練通報流程
正確答案:A, B, D
解析: 資安事件需即時通報,並進行演練;若等到事件完全解決才通報,會延誤危害控制。
📙 科目三:資訊安全防護實務 (I22)
題目 1
某公司遭受 DDoS 攻擊,以下哪些是正確的緊急處理方式?
A. 啟用流量清洗服務
B. 立即更換所有員工密碼
C. 啟動 CDN 分散流量
D. 與 ISP 合作進行流量過濾
正確答案:A, C, D
解析: DDoS 屬網路層攻擊,需透過清洗、CDN 與 ISP 過濾處理;更換密碼與攻擊無關。
題目 2
APT 攻擊常見特徵包括哪些?
A. 長期潛伏與隱蔽性
B. 大量隨機垃圾郵件傳送
C. 多階段滲透與橫向移動
D. 鎖定特定高價值目標
正確答案:A, C, D
解析: APT 不屬於隨機垃圾郵件,而是針對性強、持續滲透的攻擊手法。
題目 3
針對惡意程式攻擊,企業可採取哪些有效防護?
A. 行為式偵測 (Behavior Analysis)
B. 沙箱測試 (Sandboxing)
C. 單純依靠黑名單
D. EDR (Endpoint Detection & Response)
正確答案:A, B, D
解析: 單靠黑名單無法防止零日攻擊,需結合行為偵測、沙箱與 EDR。
題目 4
某企業遭遇內部人員蓄意竊取資料,屬於哪一類威脅,應優先採取何種措施?
A. Insider Threat → 權限管理與行為監控
B. 網路釣魚 → 郵件過濾
C. 供應鏈攻擊 → 第三方稽核
D. 勒索軟體 → 備份還原
正確答案:A
解析: 此屬內部威脅 (Insider Threat),需強化最小權限、行為分析監控。
題目 5
針對供應鏈攻擊 (例如 SolarWinds 類事件),正確的防護方式包含?
A. 對第三方元件進行完整性檢查
B. 持續監控軟體更新來源
C. 僅依靠廠商聲明可信度
D. 建立多層次防禦 (Defense in Depth)
正確答案:A, B, D
解析: 單靠廠商聲明不足,需驗證與多層防禦。
📑 總結:
- I11 管理概論 → 側重治理架構、風險管理、ISMS、政策規劃。
- I21 規劃實務 → 側重 CIA、Zero Trust、供應鏈、SIEM、通報機制。
- I22 防護實務 → 側重攻擊類型 (APT、DDoS、惡意程式)、防護措施、實務應變。
以下提供 5 題更靈活與多樣性的資安情境混合題(多選題,難度為專業程度),涵蓋 APT、供應鏈、勒索病毒、雲端安全、零信任 等領域,題目設計偏向 實務判斷 + 考試應用。
📘 高階資安情境混合題(多選題)
AI彙整資料, 僅供參考, 請自行判斷
❓ 題目 1:APT 偵測與應對
某台灣政府單位在 2025 年偵測到不明流量,內部伺服器被遠端操控並與境外多個 C2(Command & Control)伺服器通訊。資安團隊懷疑是 APT 攻擊。
請問該單位最優先應採取的行動為何?
A. 立即隔離異常主機並進行流量阻斷
B. 先行通知法遵部門並等待完整報告
C. 啟動數位鑑識,蒐集惡意程式與日誌證據
D. 對外公開事件細節以示透明
E. 啟動緊急應變計畫,通報資安主管機關
✅ 正確答案:A, C, E
📖 解析:
APT 攻擊屬於長期滲透,需 即時隔離 (A) 防止橫向擴散;同時 蒐證 (C) 以便後續司法及威脅情報共享;並 通報資安主管機關 (E) 以符合法規(如《資通安全管理法》)。B 屬於後續程序,D 不宜過早公開避免攻擊者調整策略。
❓ 題目 2:供應鏈攻擊情境
一家半導體供應商因採用第三方軟體更新,結果被植入惡意模組,導致數據竊取。若企業要降低 供應鏈攻擊風險,應採取哪些資安措施?
A. 要求供應商符合 ISO 27001 或 NIST CSF
B. 建立軟體簽章驗證與完整性檢查
C. 所有外部程式碼均進行白名單與沙箱測試
D. 僅依賴供應商自我聲明安全合規
E. 進行第三方資安稽核與合約安全條款設計
✅ 正確答案:A, B, C, E
📖 解析:
供應鏈攻擊通常發生在「軟體更新 / 元件供應」階段,需 國際標準要求 (A)、數位簽章 (B)、沙箱檢測 (C)、第三方稽核與契約要求 (E)。僅依賴供應商自述 (D) 並不足以防範。
❓ 題目 3:勒索病毒與商業持續營運 (BCP)
某醫院因勒索病毒導致 病患資料庫加密,醫療作業中斷。根據 業務持續管理 (BCP) 與資安應變,應優先採取哪些措施?
A. 切斷受感染網路連線,防止病毒擴散
B. 啟用異地備援系統或災難復原 (DR) 機制
C. 支付贖金以快速恢復業務運作
D. 啟動事件應變小組並通知主管機關
E. 使用金鑰暴力破解方式嘗試還原檔案
✅ 正確答案:A, B, D
📖 解析:
勒索攻擊重點在於 立即隔離 (A)、BCP/DR 啟動 (B)、法遵通報 (D)。支付贖金 (C) 不僅違反資安規範,也可能助長攻擊者;暴力破解 (E) 在實務上幾乎不可行。
❓ 題目 4:雲端安全與合規
一家金融科技公司將核心交易系統遷移至 公有雲,發生內部人員誤設 S3 Bucket 公開權限,導致敏感客戶資料外洩。根據雲端資安最佳實務,哪些措施能有效降低此風險?
A. 啟用 IAM 權限最小化與多因子驗證
B. 建立自動化工具監控 S3 Bucket 公開狀態
C. 使用資料加密 (Encryption at Rest & in Transit)
D. 僅依賴 CSP (Cloud Service Provider) 的內建安全設定
E. 導入 CSPM(Cloud Security Posture Management)工具
✅ 正確答案:A, B, C, E
📖 解析:
雲端誤設是常見外洩原因,必須 權限控管 (A)、監控自動化 (B)、加密 (C)、導入 CSPM (E)。僅依靠 CSP 預設 (D) 不足以確保安全。
❓ 題目 5:零信任架構應用
某能源公司在 2025 年實施 零信任架構 (Zero Trust Architecture, ZTA),以因應來自內外部的複雜攻擊。以下哪些措施符合零信任核心原則?
A. 永不信任、持續驗證 (Never Trust, Always Verify)
B. 僅在 VPN 連線後就給予完整內部網路存取權限
C. 持續監控使用者與裝置行為 (Behavior Analytics)
D. 微分段 (Micro-Segmentation) 與動態存取控制
E. 僅依賴防火牆邊界安全,不需內部驗證
✅ 正確答案:A, C, D
📖 解析:
零信任強調 不預設信任 (A)、行為持續監控 (C)、網路微分段 (D)。B 與 E 屬於傳統「邊界安全」思維,已不足以應對現代攻擊。
✅ 總結特色:
這 5 題比前面更靈活,強調 跨領域情境判斷,符合中級/專業等級考試模式,考點涵蓋:
- APT 攻擊應變
- 供應鏈安全
- 勒索病毒與 BCP
- 雲端安全最佳實務
- 零信任架構
10 題非常專業難度的台灣資安事件通報與應變「情境混合應用題」。每題都結合多重異常情境,並包含 題目、選項、正確答案、以及法規解析,符合 iPAS 資安工程師中級/高級水準考題設計。
📘 非常專業難度情境混合應用題 (10題)
題目 1 – 雙重異常事件通報延誤
某上市公司在週五晚間發現外部攻擊導致資料庫外洩,初步研判涉及 個資 5,000 筆,同時伺服器亦遭勒索軟體加密。因內部人員誤判,延遲到下週二才正式通報。請問此案例違反何項規範,應如何處理?
A. 違反《資通安全管理法》及《個資法》,需於規定時限內通報主管機關
B. 僅違反《個資法》,應於 7 日內通知當事人即可
C. 僅違反《資通安全事件通報應變辦法》,需補送事件報告
D. 無違反,內部先行修復即可
✅ 正確答案:A
📖 法規解析:
- 《個人資料保護法》第12條規定,個資外洩需即時通報並通知當事人。
- 根據主管機關數位發展部所發布的**《資通安全事件通報及應變辦法》**,重大事件(第三級、第四級)的通報時限規定如下:第三級及第四級(重大事件):應於知悉事件後 1 小時內 完成通報。。
- 延遲至週二已超過時效,違反多項規範。
題目 2 – 跨雲環境資安事件
某政府機關使用 混合雲 (AWS + GCP) 儲存國民健康資料,其中一組雲端 API 金鑰外洩,導致攻擊者利用弱點讀取部分資料。該事件涉及 跨國資料傳輸,需同時符合何種規範?
A. 《資通安全管理法》 + 《GDPR》
B. 《GDPR》 + 《電子簽章法》
C. 《資通安全事件通報應變辦法》 + 《刑法》
D. 《資通安全責任等級分級辦法》 + 《智慧財產權法》
✅ 正確答案:A
📖 法規解析:
- 國民健康資料屬於 敏感性個資,需符合《資通安全管理法》。
- 因資料於雲端傳輸涉及歐盟伺服器,亦觸及 GDPR 第44條跨境傳輸規範。
題目 3 – 供應鏈攻擊與通報
台灣某 IC 設計公司之 第三方外包商 遭駭,惡意更新導致核心程式碼被植入後門。該公司直到客戶通報才知情。請問依規定,該公司應如何處置?
A. 僅需通知外包商改善
B. 需依《資通安全事件通報應變辦法》立即通報並調查
C. 僅需對客戶發布聲明,不需官方通報
D. 僅適用《智慧財產權法》
✅ 正確答案:B
📖 法規解析:
- 《資通安全事件通報應變辦法》第8條規定:涉及供應鏈異常屬於重大事件,需立即通報。
- 同時違反《資通安全管理法》第15條:委外安全管理責任仍由委外機關/企業負責。
題目 4 – 雙重身分認證失效
某金控公司發現 網銀系統多因子驗證(MFA)異常,攻擊者利用弱點繞過 OTP,盜取客戶交易紀錄。此事件涉及 金融資安規範,應如何處置?
A. 僅需依《個資法》處理
B. 依《資通安全管理法》及 FSC 金融資安規範立即通報
C. 僅需內部強化 MFA,不需對外通報
D. 等年底資安審計再行報告
✅ 正確答案:B
📖 法規解析:
- 《資通安全管理法》要求立即通報重大資安異常。
- 根據金融監督管理委員會(FSC)的相關規定,金融業發生資安事件的通報時限如下:對於 重大偶發事件,金融機構必須在事件發生或知悉後 30 分鐘內 以電話或簡訊方式,向金管會和財金資訊公司進行通報。。
題目 5 – IoT 裝置大規模入侵
某電力公司大量 IoT 智慧電表遭殭屍網路入侵,導致供電數據異常。攻擊規模影響 關鍵基礎設施。請問應適用何種規範?
A. 《刑法》 + 《GDPR》
B. 《資通安全管理法》 + 《資通安全責任等級分級辦法》
C. 《智慧財產權法》 + 《電子簽章法》
D. 《個資法》 + 《災害防救法》
✅ 正確答案:B
📖 法規解析:
- 《資通安全管理法》明訂關鍵基礎設施須 立即通報事件。
- 《責任等級分級辦法》規範 IoT 相關設備的防護責任與應變流程。
題目 6 – 災害與駭侵混合事件
台灣南部因颱風導致 資料中心斷電,同時發現黑客利用災害時機進行入侵並竊取備援資料。此案例應如何判定?
A. 僅屬天然災害,非資安事件
B. 屬於複合型資安事件,需依通報辦法即時上報
C. 僅屬駭客入侵,災害不需考量
D. 屬於低風險事件,可半年後補報
✅ 正確答案:B
📖 法規解析:
- 《資通安全事件通報應變辦法》涵蓋 人為入侵與天然災害混合影響。
- 災害影響營運連續性,需立即通報。
題目 7 – 雙重內外洩事件
一間醫院同時發生 員工 USB 遺失 (內部洩漏) 與 外部駭客攻擊醫療系統 (外部洩漏),導致數萬病歷外洩。此情境下,正確的應變措施為何?
A. 僅需依《個資法》處理
B. 需同時依《資通安全管理法》與《個資法》雙重通報
C. 僅需醫院自行公告
D. 僅需向病患解釋
✅ 正確答案:B
📖 法規解析:
- 《個人資料保護法》第12條「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」這條規定是個資法中,當發生資料外洩事件時,組織應盡的**「告知義務」**。
- 《資通安全管理法》第3條 明確定義了資通安全責任等級為「特定非公務機關」的範圍,而醫療院所是被歸類於此範疇內的。該條文中指出,「特定非公務機關」包含以下三類:
- 關鍵基礎設施提供者:由行政院公告的八大關鍵領域(包括緊急救援與醫院)相關業者。
- 公營事業:依據《公營事業移轉民營條例》所定義者。
- 政府捐助之財團法人。
- 因此,醫療院所屬於《資通安全管理法》中被納管的**「特定非公務機關」,並進一步被劃分為「關鍵基礎設施提供者」**,因此必須遵循該法規進行資安通報與應變。
題目 8 – 雙層供應鏈風險
某台灣製造商使用的 ERP 系統由外包商開發,而該外包商又委外給另一國際廠商。最終因 二次委外 遭植入惡意程式,導致客戶訂單與財務資料外洩。此案例涉及何種規範?
A. 僅違反《個資法》
B. 《資通安全管理法》與《資安委外安全管理規範》
C. 《電子簽章法》
D. 僅需民事求償
✅ 正確答案:B
📖 法規解析:
- 《資通安全管理法》第15條:委外責任由主體機關負責。
- 《委外安全管理規範》:多層委外需確保安全性,否則違規。
題目 9 – 重大事件通報錯誤分級
一科技公司發現資料外洩規模超過 10 萬筆個資,卻誤以為屬於「一般事件」,僅內部處理未對外通報。此舉違反何規範?
A. 《資通安全事件通報應變辦法》
B. 《電子簽章法》
C. 《刑法》
D. 《災害防救法》
✅ 正確答案:A
📖 法規解析:
- 《資通安全事件通報應變辦法》第9條:需依事件分級機制通報。
- 超過 10 萬筆屬於 重大事件,未通報即屬違反。
- 在實務上,若涉及"大量個人資料外洩",通常會被視為對權益有重大影響,而歸類為第三級或第四級的重大資安事件,因此必須依規定時限通報。
題目 10 – 雙重法律衝突案例
某跨國公司台灣分公司遭 DDoS 攻擊,導致服務癱瘓,同時歐盟伺服器的台灣客戶個資外洩。此事件應如何通報?
A. 僅依《GDPR》處理
B. 僅依《資通安全管理法》處理
C. 需同時依《GDPR》及台灣《資通安全管理法》雙重通報
D. 僅需跨國母公司公告
✅ 正確答案:C
📖 法規解析:
- 涉及台灣營運與關鍵資安異常 → 《資通安全管理法》適用。
- 涉及歐盟個資外洩,根據 《通用資料保護規範》(GDPR)第33條 規定,當發生個人資料外洩事件時,資料控制者(Data Controller)必須在知悉後72小時內,向監督機關(Supervisory Authority)進行通報。這項規定有以下幾點需要特別注意:
- 「無不當延遲」原則 (Without Undue Delay):72小時是一個最遲時限,如果能更早通報,就應該盡快通報。
- 例外情況:如果個資外洩事件**「不太可能對自然人的權利和自由造成風險」**,則可以免除通報義務。
- 延遲說明:如果無法在72小時內完成通報,必須在通報中附上延遲的理由。
此外,若個資外洩事件**「可能對當事人的權利和自由造成高風險」,資料控制者還必須依據 GDPR第34條 規定,「無不當延遲地」**通知受影響的當事人。
⚡ 以上 10 題均屬 非常專業難度,結合 跨法規、跨情境、跨責任單位 的應變問題。
AI彙整資料, 僅供參考, 請自行判斷.
CCChen 2025/08/21 更新
