出自:注册信息安全专业人员(CISA,CISO,CISE)

个人问责不包括下列哪一项?()
A:访问规则
B:策略与程序
C:审计跟踪
D:唯一身份标识符
制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定()
A:已经存在减免风险的控制
B:找到了弱点和威胁
C:已经考虑到审计风险
D:实施差异分析是适当的
以下关于BLP模型规则说法不正确的是()
A:BLP模型主要包括简单安全规则和*-规则
B:*-规则可以简单表述为向下写
C:主体可以读客体,当且仅当主体的安全级可以支配客体的安全级,且主体对该客体具有自主型读权限
D:主体可以写客体,当且仅当客体的安全级可以支配主体的安全级,且主体对客体;具有自主型写权限
局域网(LAN)管理员通常受限制于(不能)()。
A:具有终端用户权限
B:向终端用户经理报告
C:具有编程权限
D:负责局域网安全管理
某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块资料传输通讯,而微机只支援异步ASCII字符资料通讯。为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能()。
A:缓冲器容量和平行埠
B:网络控制器和缓冲器容量
C:平行埠和协定转换
D:协定转换和缓冲器容量
下列哪一项不属于公钥基础设施(PKI)的组件?()
A:CRL
B:RA
C:KDC
D:CA
企业从获得良好的信息安全管控水平的角度出发,以下哪些行为是适当的?()
A:只关注外来的威胁,忽视企业内部人员的问题
B:相信来自陌生人的邮件,好奇打开邮件附件
C:开着电脑离开,就像离开家却忘记关灯那样
D:及时更新系统和安装系统和应用的补丁
IPSec隧道模式NAT环境下的通信端口正确的是()
A:UDP500和IP51
B:IP50和UDP500
C:UDP4500和IP50
D:UDP500和UDP4500
某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?()
A:Bell-Lapadula模型
B:Biba模型
C:信息流模型
D:Clark-Wilson模型
当IS从独立的服务提供商处采购时,审计师应该期望在招标书中包括下面哪一项()。
A:从其他客户参考
B:B.服务水平协议(SL模板
C:维护协议
D:转换计划
有一些信息安全事件是由于信息系统中多个部分共同作用造成的,人们称这类事件为“多组件事故”,应对这类安全事件最有效的方法是()
A:配置网络入侵检测系统以检测某些类型的违法或误用行为
B:使用防病毒软件,并且保持更新为最新的病毒特征码
C:将所有公共访问的服务放在网络非军事区(DMZ)
D:使用集中的日志审计工具和事件关联分析软件
一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()
A:审查访问控制特权授权过程
B:实施身份管理系统(IMS)
C:改进对敏感客户数据更改进行审计的流程
D:仅将火警账户授予经理
对于RTO和RPO以下错误的说法是()。
A:RTO是衡量灾难恢复时间的指标
B:RTO是指从灾难发生到业务恢复运行所经历的时间
C:RPO有效地量化了业务中断时可以允许丢失的数据量
D:RPO是衡量数据恢复的指标
一个信息系统审计师在审阅组织章程时主要是为了:()
A:了解工作流程
B:调查各种通讯渠道
C:理解每个人的职责和权限
D:调查不同员工的联网信息
下列哪些措施,不是有效的缓冲区溢出的防护措施?()
A:使用标准的C语言字符串库进行操作
B:严格验证输入字符串长度
C:过滤不合规则的字符
D:使用第三方安全的字符串库操作
根据组织业务连续性计划的复杂程度,可以建立多个计划来满足业务连续和灾难恢复的各方面。在这种环境下,有必要()。
A:每个计划都与其它计划相协调
B:所有计划都整合到一个计划中
C:每个计划都独立于其它计划
D:指定所有计划实施的顺序
你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源。在评估这样一个软件产品时最重要的标准是什么()。
A:要保护什么样的信息?
B:有多少信息要保护?
C:为保护这些重要信息你准备有多大的投入?
D:不保护这些重要信息,你将付出多大的代价?
要对访问敏感信息的数据库用户实施问责制,以下哪项控制措施最有效?()
A:实施日志管理流程
B:实施双因素身份认证
C:使用表视图访问敏感数据
D:将数据库服务器与应用程序服务器分开
在许多组织机构中,产生总体安全性问题的主要原因是()。
A:缺少安全性管理
B:缺少故障管理
C:缺少风险分析
D:缺少技术控制机制
使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要()
A:将测试数据孤立于生产数据之外
B:通知用户,让他们调整输出
C:隔离特定的主文件记录
D:用单独的文件收集事务和主文件记录
下列哪项不是安全管理方面的标准?()
A:ISO27001
B:ISO13335
C:GB/T22080
D:GB/T18336
对于组织来说外包其数据处理业务的可能的优势是()。
A:能够获得所需要的外部的专家经验
B:可以对处理行使更大的控制
C:可以实施和内部确定处理的优先权
D:沟通用户需求时,需要更多的用户参与
在一份热站、温站或冷站协议中,协议条款应包含以下哪一项需考虑的事项?()
A:具体的保证设施
B:订户的总数
C:同时允许使用设施的订户数量
D:涉及的其他用户
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是()
A:发送并对账交易数及总计
B:将数据送回本地进行比较
C:利用奇偶检查来比较数据
D:在生产机构对销售定单的编号顺序进行追踪和计算
访问控制的主要作用是()。
A:防止对系统资源的非授权访问
B:在安全事件后追查非法访问活动
C:防止用户否认在信息系统中的操作
D:以上都是
“通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动?()
A:规划和建立
B:实施和运行
C:监视和评审
D:保持和改进
注重安全管理体系建设,人员意识的培训和教育,是信息安全发展哪一个阶段的特点()
A:通信安全
B:计算机安全
C:信息安全
D:信息安全保障
一个组织打算购买软件包,向IS审计师征求风险评估的意见。以下哪一个是其中的主要风险()。
A:得不到源代码
B:没有制造商的质量认证
C:缺乏供应商/客户参考
D:供应商对于软件包的经验很少
下面哪一种风险对电子商务系统来说是特殊的?()
A:服务中断
B:应用程序系统欺骗
C:未授权的信息泄漏
D:确认信息发送错误
以下哪个不可以作为ISMS管理评审的输入?()
A:ISMS审计和评审的结果
B:来自利益伙伴的反馈
C:某个信息安全项目的技术方案
D:预防和纠正措施的状态
首页 <上一页 106 107 108 109 110 下一页> 尾页