出自:注册信息安全专业人员(CISA,CISO,CISE)

当鉴别之前一个项目的完成时间时,以下哪项为在之前完成的基础上需要额外付费的活动()。
A:总计时间最短者
B:零差错时间者
C:最长完成时间者
D:总计差错时间最少者
在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?()
A:C2
B:C1
C:B2
D:B1
对于一个灾难恢复计划,一个IS审计师的任务应包括?()
A:确定关键的应用
B:在恢复测试中确定外部服务提供商
C:观测灾难恢复计划的测试
D:确定建立恢复时间目标(RTO)的标准
在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险?()
A:自动记录开发(程序/文文件)库的变更
B:增员,避免兼职
C:建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操作
D:建立阻止计算机操作员更改程序的访问控制
在Kerberos结构中,下列哪一项会引起单点故障?()
A:E-Mail服务器
B:客户工作站
C:应用服务器
D:D.密钥分发中心(KD
某单位采购主机入侵检测,用户提出了相关的要求,其中哪条要求是错误的?()
A:实时分析网络数据,检测网络系统的非法行为
B:不占用其他计算机系统的任何资源
C:不会增加网络中主机的负担
D:可以检测加密通道中传输的数据
关键路径法
一家大型银行实施IT审计的过程中,IS审计师发现许多业务应用没有执行正规的风险评估,也没有确定其重要性和恢复时间上的要求。那么,这些暴露的银行风险是()。
A:业务连续性计划(BCP)可能没有与银行各应用被破坏的风险相对应
B:业务连续计划(BCP)可能没有包含所有相关应用,因此,在范围上不完整
C:领导或许没有正确认识灾难对业务的影响
D:业务连续性计划(BCP)或许缺少有效的业务所有者关系
信息安全等级保护分级要求,第三级适用正确的是()
A:适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益
B:适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害
C:适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害
D:适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统。其受到破坏后,会对国家安全、社会秩序,经济建设和公共利益造成特别严重损害
Linux/Unix关键的日志文件设置的权限应该为()
A:-rw-r--r-
B:-rw----
C:-rw-rw-rw-
D:-r----
当开发一个灾难恢复计划时,确定可接受的停机时间的标准应该是:()
A:年均亏损预期(ALE)
B:服务交付目标
C:孤立数据的数量
D:最大容忍中断
帧中继
防止对数据文件非授权使用的最有效的方法是什么()。
A:自动文件记帐
B:磁带保管员
C:访问控制软件
D:加锁的程序库
算术逻辑单元
IT平衡记分卡是IT治理工具,用于监测不同于()。
A:财务成果
B:客户满意
C:内部过程改进
D:创新能力.
以下哪一项最好地描述了企业生产重组(ERP)软件的安装所需要的文档?()
A:仅对特定的开发
B:仅对业务需求
C:安装的所有阶段必须进行书面记录
D:没有开发客户特定文档的需要
选择审计规程时,IS审计师应该用专业判断确保?()
A:收集充分的证据
B:在合理的时期收集所有被识别出的重要缺失
C:识别出所有的实质性不足
D:审计费用保持在最低水平
下列对蜜网关键技术描述不正确的是()。
A:数据捕获技术能够检测并审计黑客的所有行为数据
B:数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动,使用工具及其意图
C:通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全
D:通过数据控制、捕获和分析,能对活动进行监视、分析和阻止
以下哪一项是进行业务流程重组的第一步()。
A:定义要审查的范围
B:开发项目计划
C:理解审查的流程
D:重组和梳理要审查的流程
组织建立BCP的作用包括()。
A:在遭遇灾难事件时,能够最大限度地保护组织数据的实时性、完整性和一致性;,
B:提供各种恢复策略选择,尽量减小数据损失和恢复时间,快速恢复操作系统、应用和数据;
C:保证在发生各种不可预料的故障、破坏性事故或灾难情况时,能够持续服务,确保业务系统的不间断运行,降低损失;
D:以上都是。
以下对于蠕虫病毒的说法错误的是()。
A:通常蠕虫的传播无需用户的操作
B:蠕虫病毒的主要危害体现在对数据保密性的破坏
C:蠕虫的工作原理与病毒相似,除了没有感染文件阶段
D:是一段能不以其他程序为媒介,从一个电脑系统复制到另一个电脑系统的程序
要确保信息的真实性、机密性和完整性,发送者应使用其哪种密钥加密消息的哈希:()
A:公钥,然后使用接收者的私钥对消息进行加密
B:私钥,然后使用接收者的公钥对消息进行加密
C:公钥,然后使用接收者的公钥对消息进行加密
D:私钥,然后使用接收者的私钥对消息进行加密
上传
理想的压力测试应该在()。
A:使用测试数据的测试环境
B:使用真实数据的生产环境
C:使用真实工作量的测试环境
D:使用测试数据的生产环境
开发一个风险管理程序时进行的第一项活动是()
A:威胁评估
B:资料分类
C:资产盘点
D:并行模拟
对评价电子数据交换(EDI)应用软件的控制时,IS审计人员应该首先关注到哪个风险:()
A:过多的交易转换时间
B:应用程序界面错误
C:不恰当的授权处理
D:未经核实的批量总数
以下哪一项是程序评估审查技术(PERT)相对于其它技术的优势()。
A:为规划和控制项目而考虑了不同的情景
B:允许用户输入程序和系统参数
C:准确地测试系统维护流程
D:估计系统项目的成本
确定服务中断事件的严重程度的主要标准是:()
A:恢复成本
B:负面舆论
C:地理位置
D:停机时间
信息保障技术框架(IATF)是美国国家安全局(NSA)制定的,为保护美国政府和工业界的信息与信息技术设施提供技术指南,关于IATF的说法错误的是()?
A:IATF的代表理论为“深度防御”
B:IATF强调人、技术、操作这三个核心要素,从多种不同的角度对信息系统进行防护
C:IATF关注本地计算环境、区域边界、网络和基础设施三个信息安全保障领域
D:IATF论述了系统工程、系统采购、风险管理、认证和鉴定以及生命周期支持等过程
以下哪一个关于信息安全评估的标准最先明确了保密性,完整性和可用性三项信息安全特征?()
A:ITSEC
B:TCSEC
C:GB/TB9387.2
D:彩虹系列的橙皮书
首页 <上一页 8 9 10 11 12 下一页> 尾页