出自:注册信息安全专业人员(CISA,CISO,CISE)

审计师审查数据库管理系统的功能,以确定是否已取得足够的数据控制。审计师应该确定的是()。
A:对数据处理业务的功能报告
B:明确定义功能的责任
C:数据库管理员应该是胜任的系统程序员
D:审计软件具有高效访问数据库的能力。
下列哪项提供最好的方法识别行为和规章之间的问题()。
A:政策审核
B:直接观察
C:规章审核
D:访谈
在信息安全风险管理工作证,识别风险时主要重点考虑的要素应包括()
A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C:完整性、可用性、机密性、不可抵赖性
D:减低风险、转嫁风险、规避风险、接受风险
当审计师进行DRP审计时,下列哪项是一个信息系统审计师最应该关心的?()
A:DRP尚未经过测试
B:新的团队成员都没有看到过DRP
C:经理负责对DRP的最近的推出
D:DRP的手册不是定时更新
关于业务连续性计划以下说法最恰当的是()。
A:组织为避免所有业务功能因重大事件而中断,减少业务风险而建立的一个控制过程
B:组织为避免关键业务功能因重大事件而中断,减少业务风险而建立的一个控制过程;
C:组织为避免所有业务功能因各种事件而中断,减少业务风险而建立的一个控制过程;
D:组织为避免信息系统功能因各种事件而中断,减少信息系统风险而建立的一个控制过程
一个金融服务组织正在开发和撰写业务连续性措施。以下各项是IT审计师觉得最可能存在问题的()。
A:组织使用最佳实践指导而不是使用行业标准,同时依靠外部咨询以确保措施的充分性。
B:通过仔细选取一系列可能发生的情况来计划业务连续性的能力。
C:RTOs并没有考虑IT灾难恢复的限制,比如人员或系统在恢复期间的依赖性。
D:组织计划租用一个用于紧急情况下工作的备份场所,改场所只能容纳目前正常雇员的一半人数。
IS审计师在审核数字版权管理(DRM)应用软件时,期待找到如下哪一种广泛应用的技术?()
A:数字签名
B:哈希法
C:解析法
D:隐写术
当航空预订系统制定业务持续计划时,异地数据传输/备份最适合使用的方法是:()
A:同步档案处理
B:电子保险库
C:硬盘镜像
D:热站
哪一类防火墙具有根据传输信息的内容(如关键字、文件类型)来控制访问连续的能力?()
A:包过滤防火墙
B:状态监测防火墙
C:应用网关防火墙
D:以上都不是
企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为()
A:挑选和配置阶段
B:可行性研究和需求定义阶段
C:实施和测试阶段
D:(无,不需要置换)
关于计算机病毒具有的感染能力不正确的是()。
A:能将自身代码注入到引导区
B:能将自身代码注入到限区中的文件镜像
C:能将自身代码注入文本文件中并执行
D:能将自身代码注入到文档或模板的宏中代码
对数据和系统所有权不适当的政策略定义下列哪一项存在最高风险?()
A:用户管理协调不存在
B:未制定特定用户职责
C:未授权用户可能取得创建、修改和删除数据的权力
D:审计建议未被采纳
在银行必须准确报告交易的情况下,IS审计师审计一个银行电汇系统的内容,下面哪项代表了审计目标的基本重点?()
A:数据可用性
B:数据保密性
C:数据完整性
通常,黑客使用如下哪一种攻击手段时,会引起对互联网站点的分散式拒绝服务攻击(DDos)()。
A:逻辑炸弹
B:网络钓鱼
C:间谍软件
D:特洛伊木马
以下那一个角色一般不能对安全日志文件实施检查()。
A:安全管理员
B:安全主管
C:系统主管
D:系统管理员
对于评估业务连续性计划的有效性最好方法是审查:()
A:计划并把他们作为适当的标准
B:预先的测试结果
C:应急程序和员工培训
D:异地存储和环境监控
组织在制定灾难恢复计划时,应该最先针对以下哪点制定?()
A:所有信息系统流程
B:所有应用系统流程
C:信息系统经理指派的路程
D:业务经理定义的流程优先级
下面的哪种组合都属于多边安全模型?()
A:TCSEC和Bell-LaPadula
B:Chinese Wall和BMA
C:TCSEC和Clark-Wilson
D:Chinese Wall和Biba
信息系统审计师在审查一个人力资源(HR)数据库时发现,该数据库服务器使用集群以保障高可用性,所有的默认数据库账户已被删除,数据库审计日志进行了保存并且每周进行审查。为了确保数据库得到适当的安全,设计师还应该检查其它的什么方面?()
A:数据库数字签名
B:利用随机数和其他变数对数据库加密
C:启用数据库戒指访问控制(MAC)地址认证
D:数据库初始化参数
下面哪一种IT治理是提高战略联盟(alignment)的最佳做法()。
A:供应商和合作伙伴的风险管理.
B:基于客户、产品、市场、流程的知识库实施到位.
C:提供有利于于建立和共享商业信息的组织结构.
D:高层之间对于业务和技术责任的协调
以下关于ISO/IEC27001标准说法不正确的是()
A:本标准可被内部和外部相关方用于一致性评估,审核的重点就是组织信息安全的现状,对部属的信息安全控制是好的还是坏的做出评判
B:本标准采用一种过程方法米建立、实施、运行、监视、评审、保持和改进一个组织的ISMS
C:目前国际标准化组织推出的四个管理体系标准:质量管理体系,职业健康安全管理体系、环境管理体系、信息安全管理体系,都采用了相同的方法,即PDCA模型
D:本标准注重监视和评审,因为监视和评审是持续改进的基础,如果缺乏对执行情况和有效性的测量,改进就成了“无的放矢”
开发人员认为系统架构设计不合理,需要讨论调整后,再次进入编码阶段。开发团队可能采取的开发方法为()。
A:瀑布模型
B:净室模型
C:XP模型
D:迭代模型
某公司正在对一台关键业务服务器进行风险评估:该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。根据以上信息,该服务器的年度预期损失值(ALE)是多少?()
A:1800元
B:62100元
C:140000元
D:6210元
数据保管员
利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证()。
A:充分保护信息资产
B:根据资产价值进行基本水平的保护
C:对于信息资产进行合理水平的保护
D:根据所有要保护的信息资产分配相应的资源
一个信息系统审计师正在执行组织的软件质量管理过程评审,第一步应该是? ()
A:验证组织如何遵循该标准
B:识别和报告目前适当的控制
C:评审品质的评价指标
D:要求获取所有被该组织接受的标准
业务流程重组项目期望()。
A:业务优先顺便保持稳定
B:信息技术不会改变
C:流程将提高成品、服务和赢利能力
D:客户端和顾客的输入不再是必要的
防火墙中网络地址转换(MAT)的主要作用是()。
A:提供代理服务
B:隐藏内部网络地址
C:进行入侵检测
D:防止病毒入侵
ISO9000标准系列着重于以下哪一个方面?()
A:产品
B:加工处理过程
C:原材料
D:生产厂家
为保障信息系统的安全,某经营公众服务系统的公司准备并编制一份针对性的信息安全保障方案,并严格编制任务交给了小王,为此,小王决定首先编制出一份信息安全需求描述报告,关于此项工作,下面说法错误的是()
A:信息安全需求是安全方案设计和安全措施实施的依据
B:信息安全需求应当是从信息系统所有者(用户)的角度出发,使用规范化,结构化的语言来描述信息系统安全保障需求
C:信息安全需求应当基于信息安全风险评估结果,业务需求和有关政策法规和标准的合规性要求得到
D:信息安全需求来自于该公众服务信息系统的功能设计方案
首页 <上一页 104 105 106 107 108 下一页> 尾页