注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

资产管理是信息安全管理的重要内容，而清楚的识别信息系统相关的财产，并编制资产清单是资产管理的重要步骤。下面关于资产清单的说法错误的是（）。
A:资产清单的编制是风险管理的一个重要的先决条件
B:信息安全管理中所涉及的信息资产，即业务数据、合同协议、培训材料等
C:在制定资产清单的时候应根据资产的重要性、业务价值和安全分类，确定与资产重要性相对应的保护级别
D:资产清单中应当包括将资产从灾难中恢复而需要的信息，如资产类型、格式、位置、备份信息、许可信息等

一位IS审计师正在验证一项控制，其中涉及对系统所生成异常报告的审查。以下那个选项是说明控制有效性的最佳证据？（）
A:与审查人员一起对控制实务经行穿行性测试
B:审查期间系统生成的异常报告，审查人员已签字确认
C:审查期间系统生成的异常报告样本，审查人员已注明后续操作项目
D:管理层确认审查期间控制有效

在开放系统互联（OSI）参考模型中共有七层，提供安全服务以加强信息系统的安全性以下哪一个OSI参考层同时提供机密性和数据完整性服务（）。
A:数据链路层
B:物理层
C:应用层
D:表示层

在提供给一个外部代理商访问信息处理设施前，一个组织应该怎么做？（）
A:外部代理商的处理应该接受一个来自独立代理进行的IS审计
B:外部代理商的员工必须接受该组织的安全程序的培训
C:来自外部代理商的任何访问必须限制在停火区（DMZ）
D:该组织应该进行风险评估，并制定和实施适当的控制

以一哪项功能应当由应用所有者执行，从而确保IS和最终用户的充分的职责分工？（）
A:系统分析
B:数据访问控制授权
C:应用编程
D:数据管理

以下哪一项是其中最有效的方法对付由于协议的脆弱性导致的网络蠕虫的蔓延（）。
A:安装卖方对于弱点的修补程序
B:使用防火墙阻塞协议通讯
C:在内部网段之间阻塞通讯
D:停止服务，直到安装了适当的网络补丁程序

Windows组策略适用于（）。
A:S
B:D
C:O
D:S、D、OU

我国信息安全事件分级分为以下哪些级别？（）
A:特别重大事件-重大事件-较大事件-一般事件
B:特别重大事件-重大事件-严重事件-较大事件-一般事件
C:特别严重事件-严重事件-重大事件-较大事件-一般事件
D:特别严重事件-严重事件-较大事件-一般事件

公钥基础设施中不包括以下哪一项（）
A:CRL
B:RA
C:IKE
D:CA

DSA算法不提供以下哪种服务？（）
A:数据完整性
B:加密
C:数字签名
D:认证

业务流程再造（BPR）项目最有可能导致以下哪一项的发生？（）
A:更多的人使用技术
B:通过降低信息技术的复杂性而大量节省开支
C:较弱的组织结构和较少的责任
D:增加的信息保护（IP）风险

下列哪一项是创建防火墙策略的第一步：（）
A:成本效益分析的以方法确保应用程序
B:需要识别在外部访问的网络应用
C:需要识别在外部访问的网络应用的脆弱性
D:创建一个应用程序的流量矩阵现实保护方式

一个实体的最佳的业务连续性战略由什么决定的？（）
A:最低的停机时间成本和最高的重置成本
B:最低的停机时间成本总和和重置成本的总和
C:最低的重置成本和最高的停机时间成本
D:重置成本和停机时间成本的加总平均

下列哪种风险说明了与程序的陷门有关的风险（）。
A:固有风险
B:审计风险
C:检查风险
D:业务（商业）风险

Smurf利用下列哪种协议进行攻击？（）
A:ICMP
B:IGMP
C:TCP
D:UDP

美国国防部提出的《信息保障技术框架》（IATF）在描述信息系统的安全需求时，将信息技术系统分为（）。
A:内网和外网两个部分
B:本地计算机环境、区域边界、网络和基础设施、支撑性基础设施四个部分
C:用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分
D:信用户终端、服务器、系统软件、网络设备和通信线路、应用软件，安全防护措施六个部分

确保审计资源在组织中发挥最大价值的首要步骤应该是（）
A:规划审计工作并监控每项审计的时间花费
B:培训信息系统审计师掌握公司中使用的最新技术
C:基于详细的风险评估制定审计计划
D:监控审计进展并实施成本控制

组织的恢复时间（RTO）几乎等于零，关键系统的恢复点目标（RPO）要求接近（崩溃前）一分钟的。这意味着系统可以承受？（）
A:长达一分钟的数据丢失，但是处理必须是连续的
B:一分钟的处理中断，但是不能承受丢失任何数据丢失
C:一分钟以上的中断处理
D:数据丢失和中断处理都可以超过一分钟

要支持组织的目标，信息部门应该具有（）。
A:低成本理念
B:长期和短期计划
C:领先的技术
D:购买新的硬件和软件的计划

组织内数据安全官的最为重要的职责是（）。
A:推荐并监督数据安全策略
B:在组织内推广安全意识
C:制定IT安全策略下的安全程序/流程
D:管理物理和逻辑访问控制

数据保护最重要的目标是以下项目中的哪一个？（）
A:识别需要获得相关信息的用户
B:确保信息的完整性
C:对信息系统的访问进行拒绝或授权
D:监控逻辑访问

检测性控制

在实施风险分析期间，识别出威胁和潜在影响后应该（）。
A:识别和评定管理层使用的风险评估方法
B:识别信息资产和基本*系统
C:揭示对管理的威胁和影响
D:识别和评价现有控制

长远来看，最有可能改善安全事件反应程序的选项是（）
A:通盘检查事件反应程序和流程
B:事件反应小组的事后检查、回顾
C:对用户不断地安全培训
D:记录对事件的反应过程

生物测量系统的精确度指标是（）。
A:系统响应时间
B:注册时间
C:输入文件的大小
D:误接受率

一家商业公司的网站发生黑客非法入侵和攻击事件后，应及时向哪一个部门报案？（）
A:公安部公共信息网络安全监察局及其各地相应部门
B:国家计算机网络与信息安全管理中心
C:互联网安全协会
D:信息安全产业商会

某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁？（）
A:网站竞争对手可能雇佣攻击者实施DDoS攻击，降低网站访问速度
B:网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等
C:网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改
D:网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息

在对消息的发送者进行认证时，下列哪一项安全机制是最可靠的？（）
A:数字签名
B:非对称加密算法
C:数字证书
D:消息认证码

首页 <上一页 105 106 107 108 109 下一页> 尾页