出自:注册信息安全专业人员(CISA,CISO,CISE)

一名攻击者试图通过暴力攻击来获取?()
A:加密密钥
B:加密算法
C:公钥
D:密文
外部组织使用组织敏感信息资产时,以下正确的做法是()?
A:确保使用者得到正确的信息资产
B:与信息资产使用者签署保密协议
C:告知信息资产使用的时间限制
D:告知信息资产的重要性
为了确保收到的商品与采购发票上的商品一致,计算机系统应该()。
A:将采购发票的所选字段同收到的商品进行匹配
B:保留存货价值的控制总数
C:计算每批输入的批总数
D:在账户号中使用校验数位
评估一个正在进行的项目,信息系统审计员注意到,因为减少预期的利益及增加成本,这个业务需求不再有效。信息系统审计员应该建议()。
A:项目不应该再继续
B:业务需求应该更新并作相应的修正
C:项目应该让赞助者重新批准
D:项目应该完成,业务需求随后更新
TCP/IP协议的4层概念模型是()?
A:应用层、传输层、网络层和网络接口层
B:应用层、传输层、网络层和物理层
C:应用层、数据链路层、网络层和网络接口层
D:会话层、数据链路层、网络层和网络接口层
审计章程应该()
A:是动态的并且经常修订以适应技术和审计职业的变化
B:消除表述经管理当局授权以复核并维护内控制度的审计目标
C:明文规定设计好的审计程序,以达成预定审计目标
D:概述审计职能的权力、范围和责任
以下针对SDL的需求分析的描述最准确的是()
A:通过安全需求分析,确定软件安全需要的安全标准和相关要求
B:通过安全需求分析,确定软件安全需要的安全技术和工作要求
C:通过安全需求分析,确定软件安全需要的安全标准和安全管理
D:通过安全需求分析,确定软件安全需要的安全技术和安全管理
当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在该系统重新上线前管理员不需查看()。
A:访问控制列表
B:系统服务配置情况
C:审计记录
D:用户帐户和权限的设置
一个国家气象部门,每天都要处理大量的气象数据,相比而言以下那种备份方式适合于该组织采用()。
A:完全备份+差分备份
B:完全备份+增量备份
C:增量备份+差分备份
D:以上都不是
第四代语言的一个突出特点是可移植性,这意味着()。
A:环境独立
B:工作台概念
C:设计屏幕格式和图形化输出的能力
D:能够运行在线操作
建立了信息安全程序的第一步是()。
A:制定和实施信息安全标准手册
B:IS审计师执行对于安全控制理解的审查
C:采用公司的信息安全政策报告
D:购买安全访问控制软件
以下对于信息安全事件理解错误的是()
A:信息安全事件,是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件
B:对信息安全事件进行有效管理和响应,最小化事件所造成的损失和负面影响,是组织信息安全战略的一部分
C:应急响应是信息安全事件管理的重要内容
D:通过部署信息安全策略并配合部署防护措施,能够对信息及信息系统提供保护,杜绝信息安全事件的发生
以下属于哪一种认证实现方式:用户登录时,认证服务器(Authentication Server,AS)产生一个随机数发送给用户,用户用某种单向算法将自己的口令、种子秘钥和随机数混合计算后作为一次性口令,并发送给AS,AS用同样的防腐计算后,验证比较两个口令即可验证用户身份。()
A:口令序列
B:时间同步
C:挑战/应答
D:静态口令
对公司内部网络实施渗透测试时,如下哪一种方法可以确保网络上的测试人始终不被发觉()。
A:使用现有的档服务器或域控制器的IP地址发起测试
B:每扫描几分钟暂停一会儿,以避免达到或超过网络负载极限
C:在没有人登陆的夜间实施扫描
D:使多种扫描工具,多管齐下
信息资产分级的最关键要素是()。
A:价值
B:时间
C:安全性
D:所有者
下列哪一种在线审计技术对于尽早发现错误或异常最有效()。
A:嵌入审计模块
B:综合测试设备
C:快照
D:审计钩
以下是哪一个是其中最好的预防系统弱点暴露的方法()。
A:日志监测
B:病毒保护
C:入侵侦测
D:补丁管理
审计章程应该是:()
A:动态且经常变更,与技术和审计专业的变化本质保持同步和一致
B:清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责
C:为了取得计划的审计目标而制定的审计程序的文件
D:对审计工作的整体授权、范围、职责的描述
关于SSE-CMM不对的描述是:()
A:1993年4月美国国家安全局资助,有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。
B:SSE的能力级别分为5级。
C:SSE-CMM将安全工程划分为三个基本过程:风险、工程和保证。
D:SSE的最高能力级别是量化控制。
下面哪一个用于电子邮件的鉴别和机密性?()
A:数字签名
B:IPSEC AH
C:PGP
D:MD4
网上资金传输信息的安全性是一个严重的问题,下面哪一种安全控制措施在防止对资金传输信息的舞弊和滥用方面是最有效的?()
A:唯一的口令
B:唯一的用户名和口令
C:加密
D:唯一的用户名、口令和个人身份识别码
下面哪一个是审计师有可能在系统控制台日志中发现的()。
A:系统用户名
B:超级用户切换验证
C:系统错误
D:数据编辑错误
信息安全工作具有投资收益的要求,以下关于信息安全与业务发展的关系说法最准确的是()
A:信息安全的投入很容易测算其产生收益的
B:信息安全为业务发展提供基础安全保障
C:信息安全与网络信息系统有着密切联系
D:信息安全的投入是不能测算其产生收益的
运行到运行的汇总
在ISO27001-2005中,制定风险处置计划应该在PDCA的哪个阶段进行?()
A:Plan
B:Do
C:Check
D:Act
下面对跟踪审计功能的描述哪项是正确的?()
A:审计跟踪不需要周期性复查
B:实时审计可以在问题发生时进行阻止
C:对一次事件的审计跟踪记录只需包括事件类型和发生时间
D:审计是记录用户使用计算机网络系统进行的所有活动过程,它是提高安全的重要工具
关于不恰当的职责分离,审计师的主要责任是()。
A:确保恰当的职责分离的执行。
B:为管理层提供不恰当的职责分离相关风险的建议。
C:参与组织内角色和责任的定义以预防不恰当的职责分离。
D:把违反恰当的职责分离的情况记录在案
以下人员中,谁负有决定信息分类级别的责任?()
A:用户
B:数据所有者
C:审计员
D:安全官
经营单位关注最近实施系统的绩效。IS应该做出何种建议()。
A:建立基线和监测系统使用
B:确定候补处理程序
C:准备维护手册
D:落实用户的修改建议
IS审计师要审查一台服务器操作系统的完整性,应该主要做到:()
A:验证用户程序不会援引特权程序或者服务调用
B:确定管理员用户是否有恰当的口令控制措施
C:确保配置文件的权限是正确的
D:验证服务器上运行的程序或服务来自于有效的源码
首页 <上一页 107 108 109 110 111 下一页> 尾页