嗨 我是 CCChen
有參加2025/08/23 iPAS 資安工程師-中級 考試
08/25 官網馬上公告考試題目與答案分享出題比例與分析結果 ~使用AI工具 ChatGPT 5
📊科目一《資訊安全規劃實務》出題比例與分析
1️⃣ 個資保護 / 法規遵循(題號 1–4, 22)
比例:約 12%(5 題 / 40 題)
考點:個資法告知義務、ISO 27001:2022 沟通要求、證交所重大資安事件揭露、ISO 27701、BS10012。
分析:強調「合規」與「資訊揭露」,考驗考生是否熟悉 台灣法規 與 國際標準 的落差。
2️⃣ 零信任架構 ZTA(題號 3, 6, 7, 9, 19, 23)
比例:約 15%(6 題 / 40 題)
考點:金管會 ZTA 分級、Micro-segmentation、PEP/PDP、內網橫向移動、OT 場域挑戰。
分析:ZTA 是本次重點,涵蓋 政策制定、技術實作(微切分、MFA)、產業應用(金融、製造 OT)。
3️⃣ 勒索軟體防護(題號 5, 18, 20, 37–40)
比例:約 15%(6 題 / 40 題)
考點:法規要求通報、端點防護(EDR)、備份、風險處理、保險轉移、多層備份。
分析:從「事件回應 → 技術控制 → 風險處理 → 備援方案」全鏈條考察,顯示 勒索軟體防護 為高頻考點。
4️⃣ AI / Deepfake / AI 治理(題號 12–16)
比例:13%(5 題 / 40 題)
考點:Liveness Detection、生物辨識、多重審批、ISO 42001、AI Trustworthiness 指標。
分析:反映 新興威脅與治理標準,特別是 深度偽造防護 與 AI 可信任性(Robustness, Reliability, Controllability)。
5️⃣ 風險管理與 ISO 標準(題號 25–36)
比例:30%(12 題 / 40 題)
考點:ISO 27005、ISO 31000、風險識別/分析/評估、範疇界定、風險處理策略(Avoid, Modify, Retain, Transfer)、風險處理計畫。
分析:此區域為 最大比重,全面檢驗考生是否熟悉 風險管理流程 與 標準實務應用。
6️⃣ 供應鏈安全 / OT 安全(題號 7, 17, 19, 32)
比例:10%(4 題 / 40 題)
考點:SBOM、OT 與 IT 區隔、ICS 老舊設備風險、供應鏈軟體安全。
分析:配合 美國 EO 14028 與 NIST 指引 趨勢,SBOM 與 OT 安全成為重點。
7️⃣ 其他主題(題號 10, 11, 27, 35)
比例:5%(2–3 題)
考點:SOD(職務分離)、量子運算風險、APT 威脅、網站憑證使用。
分析:屬於 補充型考題,但仍需具備最新趨勢知識。
📌 總結出題趨勢
三大重點板塊
風險管理 & ISO 標準(30%)
勒索軟體防護(15%)
零信任架構(15%)
新興考點
AI 治理 & Deepfake(13%)
供應鏈安全與 OT 安全(10%)
合規與法規
個資法 / ISO 27701 / 證交所重大事件揭露(12%)
📊 重點建議:
優先準備:ISO 27001/27005/31000 的風險管理流程與控制措施。
務必掌握:ZTA 架構、勒索軟體事件回應、EDR、備份策略。
持續關注:AI 治理(ISO 42001)、Deepfake 防護、OT/ICS 的資安挑戰。
📊科目二《資訊安全防護實務》出題比例與分析
1️⃣ Web 應用程式安全
題號:1, 2, 4, 5–8, 29–36, 37–40
題數:18 題
比例:45%
重點內容:
常見攻擊:SQL Injection, XSS, Command Injection, SSRF
弱點修補與防護技術:Prepared Statement, CSP, Output Encoding
攻擊框架與工具:Struts2 RCE, sqlmap, nikto, Burp Suite, SAST/DAST
Broken Authentication / Access Control
分析:這是 最大比重,顯示考試強調實務滲透與防護,符合現行 OWASP Top 10 與 DevSecOps 趨勢。
2️⃣ 惡意程式 / 勒索軟體 / APT 防禦
題號:10, 12, 13, 18, 19, 20, 25–28
題數:10 題
比例:25%
重點內容:
SOC/EDR 警報處理、記憶體鑑識
ICS/OT 環境的勒索攻擊應變
DDoS 攻擊與防禦:SYN Cookies、CDN、防火牆、流量清洗
MITRE ATT&CK 與 CTI 應用
分析:高度聚焦於 事件回應與 SOC 實務,尤其是勒索軟體與 DDoS,顯示實務場景題比重增加。
3️⃣ 人工智慧與新興威脅 (AI / LLM / Deepfake)
題號:14
題數:1 題
比例:2.5%
重點內容:
LLM 安全風險:Prompt Injection、DLP、RBAC
分析:首次納入 GenAI 安全,反映出 生成式 AI 資安治理 已成最新考點。雖僅 1 題,但具指標性。
4️⃣ 法規 / 框架 / 管控
題號:9, 11, 15, 16, 22, 23, 24, 32
題數:8 題
比例:20%
重點內容:
NIST CSF、NIST SP800-34、TLP(紅綠燈協定)
Android TEE、身份驗證事件閾值
政府 GCB(OS/Browser/DB)
分析:題目涵蓋 資安治理框架 + 作業平台控管,強調考生是否能將標準對應到實務。
5️⃣ 其他(滲透測試 / 應用程式檢測 / 程式碼安全)
題號:29–31, 37–39
題數:6 題
比例:15%
重點內容:
原始碼檢測、逆向工程、CSPM、測試報告重點
Python 程式隱藏惡意行為分析
分析:著重 安全測試與原始碼安全審查,符合目前企業 DevSecOps 與 AppSec 要求。
📌 總結出題趨勢
核心大宗:
Web 應用程式安全(45%)
惡意程式 / APT / 勒索 / DDoS(25%)
次要重點:
法規 / 框架治理(20%)
新興考點:
生成式 AI 安全(2.5%)
考試風格:
題目偏 情境題組(滲透測試、SOC 警報、ICS/OT 勒索場景)。
重視 工具與技術名詞的應用(nmap/sqlmap/Burp Suite/ATT&CK/SAST)。
CCChen
