出自:注册信息安全专业人员(CISA,CISO,CISE)

作为信息系统审计师你在一次内审过程中,发现生产中心的数据库安全了一个新的补丁程序,但是灾备中心的数据库没有安装这个补丁程序,下一步最适合的行动是()。
A:记录这个事件
B:向业务连续经理报告
C:告知相关人员安装补丁
D:通知相关人员并询问原因
维持对于信息资产的适当的安全措施的责任在于()。
A:安全管理员
B:系统管理员
C:数据和系统的所有者
D:系统作业人员
当备份一个应用程序系统的数据时,以下哪一项是应该首先考虑的关键性问题?()
A:什么时候进行备份
B:在哪里进行备份
C:怎样存储备份
D:需要备份哪些数据
在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项?()
A:控制应该在系统中数据流的各个点上建立
B:只有预防性控制和发现性控制是相关的
C:纠正性控制只能被视为是补偿性的
D:信息系统审计师可以使用分类方法来决定哪些控制是缺少的
一个IS审计师指出,机构对每个单独的业务流程都有适当的业务连续性计划,但是没有一个完整的BCP计划,该审计员最有可能会采取以下行动?()
A:建议开发一个全面的业务连续性计划
B:判断现有的业务连续性计划是否一致
C:接受以编写的业务连续性计划
D:建议创建一个单一的业务连续性计划
以下关于lixun超级权限的说明,不正确的是()。
A:一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成
B:普通用户可以通过su和sudo来获得系统的超级权限
C:对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行
D:Root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
在评估异地备份供应商时,下列哪一条标准最不重要()。
A:存储介质管理和环境因素
B:员工人数
C:信誉和站点安全
D:运输能力
微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项安全要求下面描述错误的是()
A:某用户在登录系统并下载数据后,却声称“我没有下载过数据”软件系统中的这种威胁就属于R威胁
B:解决R威胁,可以选择使用抗抵赖性服务技术来解决,如强认证、数字签名、安全审计等技术措施
C:R威胁是STRIDE六种威胁中第三严重的威胁,比D威胁和E威胁的严重程度更高
D:解决R威胁,也应按照确定建模对象、识别威胁、评估威胁以及消减威胁等四个步骤来进行
以下哪项属于IT平衡计分卡的4个关键角度中的3个()。
A:业务判断,服务水平协议,预算
B:组织人员,成本减少,雇员培训
C:成本减少,业务流程,增长
D:服务水平,关键成功因素,供应商选择
某公司已有漏洞扫描和入侵检测系统(Intrusien Detection System,IDS)产品,需要购买防火墙,以下做法应当优先考虑的是()
A:选购当前技术最先进的防火墙即可
B:选购任意一款品牌防火墙
C:任意选购一款价格合适的防火墙产品
D:选购一款同已有安全产品联动的防火墙
以下哪项控制能够最有效的检测入侵?()
A:通过授权的程序来授予用户ID和用户权限
B:工作站在特定时间段内不活动会自动注销
C:在失败尝试达到指定次数后,系统自动注销
D:由安全管理员监视未成功的登录尝试
故障时间报告
以下哪种情况是对电子公告牌(BBS)服务的重点关注内容()。
A:计算机用户交换信息
B:计算机用户留言
C:黑客对系统访问机密进行交易
D:计算机用户获取公共程序
以下哪一项是和电子邮件系统无关的?()
A:PEM
B:PGP
C:X500
D:X400
作为一个组织第一次建立业务连续计划时,最为重要的一个环节是()。
A:制定业务连续策略
B:进行业务影响分析
C:进行灾难恢复演练
D:建立一个先进的灾备系统
在契约性协议包含源代码第三方保存契约(escrow)的目的是()
A:保证在供货商不存在时源代码仍然有效
B:允许定制软件以满足特定的业务需求
C:审核源代码以保证控制的充分性
D:保证供货商已遵从法律要求
下列哪些可以最好的衡量服务器操作系统的完整性()。
A:在安全区域保护服务器
B:设置根密码
C:加强服务器配置
D:实施动态日志
针对特定威胁的整体业务风险可以表示为:()
A:如果威胁成功利用漏洞,产生的可能性和影响程度
B:威胁成功利用此漏洞的影响程度
C:威胁对某一特定的漏洞利用的可能性的来源
D:对风险评估小组的集体判断
在制定一个正式的企业安全计划时,最关键的成功因素将是()?
A:成立一个审查委员会
B:建立一个安全部门
C:向执行层发起人提供有效支持
D:选择一个安全流程的所有者
对于抽样而言,以下哪项是正确的?()
A:抽样一般运用于与不成文或无形的控制相关联的总体
B:如果内部控制健全,置信系统可以取的较低
C:通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样
D:变量抽样是估计给定控制或相关控制集合发生率的技术
在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的?()
A:计算机操作员兼任备份磁带库管理员
B:计算机操作员兼任安全管理员
C:计算机操作员同时兼任备份磁带库管理管理员和安全管理员
D:没有必要报告上述任何一种情形
跨国公司的IS经理打算把现有的虚拟专用网升级,采用通道技术使其支持语音IP电话服务,那么,需要首要关注的是()。
A:服务的可靠性和质量
B:身份的验证方式
C:语音传输的保密
D:数据传输的保密
以下哪个是IS审计师在审计日志方面最普遍考虑的问题?()
A:日志只能被系统管理员检查
B:需要特殊工具才能搜集和检阅日
C:一般情况下日志不是有规律的被备份
D:搜集日志但并不分析
能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是()。
A:将每次访问记入个人信息(即:作日志)
B:对敏感的交易事务使用单独的密码/口令
C:使用软件来约束授权用户的访问
D:限制只有营业时间内才允许系统访问
进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么()。
A:观察反应机制
B:病毒清除网络
C:立即通知有关人员
D:确保删除病毒
WEB服务器的逆向代理技术用于如下哪一种情况下()。
A:HTTP服务器的地址必须隐藏
B:需要加速访问所有发布的页面
C:为容错而要求缓存技术
D:限制用户(指操作员的带宽)
在数据库应用程序的需求定义阶段,绩效被列为重中之重。访问DBMS文件,下面哪一种技术被建议用于优化I/O性能()。
A:存储区域网络(SNA.
B:网络存储高度(NAS)
C:网络文件系统(NFSv2)
D:通用英特网文件系统(CIFS)
IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层,因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素()
A:操作系统的安全加固
B:输入数据的校验
C:数据处理过程控制
D:输出数据的验证
IS审计师的决策和行动最有可能影响下面哪种风险()。
A:固有风险
B:检查分析
C:控制风险
D:业务风险
一个团队进行威胁分析,从风险角度预测可能造成的经济损失是很困难的,为了评估潜在的损失,团队应该?()
A:设计出相关资产摊销
B:计算投资回报
C:使用定性方法
D:花费时间确定损失的确定金额
首页 <上一页 111 112 113 114 115 下一页> 尾页