114-1 (3 月考) 和 114-2 (8 月考) 兩份 I21 資訊安全規劃實務試題做範疇統計比較

📊 出題比重統計

📈 趨勢觀察

1. 治理長期維持最高比重

• 114-1：16 題
• 114-2：18 題
  → 幾乎佔到 整份考題 40–45%，重點在 風險管理流程、風險處理措施、治理架構、供應鏈與 AI 治理。
  👉 未來考試必考的「核心領域」。

2. 存取控制與零信任仍是考試焦點

• 兩次加總約 20+ 題，幾乎占 30% 左右。
• 常見考點：ZTA 原則、SoD、PAM、MFA、端點偵測、VPN、BitLocker。
  👉 存取控制題目容易跟 治理、事件跨題組一起出。

3. 事件題目更實務導向

• 114-1 偏重：社交工程、勒索攻擊、防範類型。
• 114-2 偏重：勒索攻擊處理、Deepfake 攻擊應變。
  👉 題型往「真實案例」靠攏。

4. 法規題數雖少但必考

• 平均 4–5 題，考 法規遵循 + 國際標準 (ISO/NIST)。
• 特別偏好：個資法、資安管理法、ISO 27001/27701、CNS 27002、資通安全管控指引。
  👉 題數少，但容易直接送分或扣分。

🎯 建議準備方向

1. 治理放最多心力

   • ISO 27001/27005、NIST CSF 2.0、ISO 31000、供應鏈安全、AI 治理。
   • 考試常用「情境題」問你要如何治理/處理風險。

2. 存取要懂細節

   • ZTA 架構、SoD、MFA vs OTP vs 密碼複雜度、VPN/DLP/EDR 差異。
   • 題目會設計「最不適切」的陷阱。

3. 事件靠案例練習

   • 勒索攻擊、社交工程、Deepfake、備份策略。
   • 熟悉 事件 → 應變 → 法規通報 的流程。

4. 法規快速掌握條文重點

   • 個資法：告知義務、當事人權利。
   • 資通安全管理法：通報時效（1 小時）。
   • 上市櫃管控指引：董事核定政策。