注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

TACACS+协议提供了下列哪一种访问控制机制？（）
A:强制访问控制
B:自主访问控制
C:分布式访问控制
D:集中式访问控制

以下哪项是 ISMS文件的作用？（）
A:是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循
B:是控制措施（controls）的重要部分
C:提供客观证据--为满足相关方要求，以及持续改进提供依据
D:以上所有

当评价一个计算机的预防维护程序的有效性和充分性时，下列哪一个被信息系统审计师认为最有帮助？（）
A:系统停机日志
B:供应商的可靠数字
C:周期的排定维护日志
D:一个书面的预防维护时间表

鉴别、认证

一个数据库管理员检测到某些表有一个性能问题，这个问题可以通过非正规化来解决。这种情况会增加以下哪项风险？（）
A:并发访问
B:死锁
C:非授权访问数据
D:数据完整性丢失

在辅助财务审计的IT控制测试时，总账GL用户向信息系统审计师投诉，在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为：（）
A:将延时记录为有待改善的控制缺陷
B:推荐使用负载平衡去改进吞吐量
C:在管理建议书中写明这个投诉
D:在形成对IT控制的审计意见时，排除这些投诉

IS审计师在审计公司IS战略时最不可能（）。
A:评估IS安全流程
B:审查短期和长期IS战略
C:与适当的公司管理人员面谈
D:确保外部环境被考虑了

PDCA特征的描述不正确的是（）。
A:顺序进行，周而复始，发现问题，分析问题，然后是解决问题
B:大环套小环，安全目标的达成都是分解成多个小目标，一层层地解决问题
C:阶梯式上升，每次循环都要进行总结，巩固成绩，改进不足
D:信息安全风险管理的思路不符合PDCA的问题解决思路

由于IT的变化，一个大型组织的灾难恢复计划已改变。如果没有测试新计划，其中主要的风险是什么？（）
A:灾难性服务中断
B:资源的高消耗
C:恢复总成本无法最小化
D:当计划启动的时候，用户和恢复小组可能面临严重的困难

测试生成器

信息安全工程建立工程师不需要做的工作是（）。
A:编写验收测试方案
B:审核验收测试方案
C:监督验收测试过程
D:审核验收测试报告

拒绝服务攻击损害了下列哪一种信息安全的特性（）。
A:完整性
B:可用性
C:机密性
D:可靠性

监视恶意代码主体程序是否正常的技术是（）？
A:进程守护
B:备份文件
C:超级权限
D:HOOK技术

何种情况下，一个组织应当对公众和媒体公告其信息系统中发生的信息安全？（）
A:当信息安全事件的负面影响扩展到本组织以外时
B:只要发生了安全事件就应当公告
C:只有公众的生命财产安全受到巨大危害时才公告
D:当信息安全事件平息之后

下列哪一项是虚拟专用网络（VPN）的安全功能？（）
A:验证，访问控制和密码
B:隧道，防火墙和拨号
C:加密，鉴别和密钥管理
D:压缩，解密和密码

程序流程图

在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的（）
A:测试系统应使用不低于生产系统的访问控制措施
B:为测试系统中的数据部署完善的备份与恢复措施
C:在测试完成后立即清除测试系统中的所有敏感数据
D:部署审计措施，记录生产数据的拷贝和使用

完整性检查

令牌（Tokens），智能卡及生物检测设备同时用于识别和鉴别，依据的是以下哪个原则？（）
A:多因素鉴别原则
B:双因素鉴别原则
C:强制性鉴别原则
D:自主性鉴别原则

业务连续性计划（BCP）的哪个部分，是企业IS部门的主要责任（）。
A:制定业务连续性计划
B:选定、批准业务连续性计划的相关战略
C:遇灾报警
D:灾后恢复IS系统和数据

以下哪一项不属于常见的风险评估与管理工具（）
A:基于信息安全标准的风险评估与管理工具
B:基于知识的风险评估与管理工具
C:基于模型的风险评估与管理工具
D:基于经验的风险评估与管理工具

一个投资顾问定期向客户发送业务通讯（newsletter）e-mail，他想要确保没有人修改他的newsletter。这个目标可以用下列的方法达到（）。
A:用顾问的私钥加密newsletter的散列（hash）
B:用顾问的公钥加密newsletter的散列（hash）
C:用顾问的私钥对文件数据签名
D:用顾问的私钥加密newsletter

在对安全控制进行分析时，下面哪个描述是错误的？（）
A:对每一项安全控制都应该进行成本收益分析，以确定哪一项安全控制是必须的和有效的
B:应选择对业务效率影响最小的安全措施
C:选择好实施安全控制的时机和位置，提高安全控制的有效性
D:仔细评价引入的安全控制对正常业务带来的影响，采取适当措施，尽可能减少负面效应

实施下面的哪个流程，可以帮助确保经电子资料交换（EDI）的入站交易事务的完整性（）。
A:资料片断计数内建到交易事务集的尾部
B:记录收到的消息编号，定期与交易发送方验证
C:为记账和跟踪而设的电子审计轨迹
D:已收到的确认的交易事务与发送的EDI消息日志比较、匹配

一个制造商正在开发一个新的数据库系统，该系统用来处理批量订单所生产的产品的有关数据工作人员每天要回答客户提出的有关订货的生产情况完工的订货在每天晚上要成批地打印出发票对生产数据最好的访问方法是（）。
A:索引顺序的
B:直接的
C:杂乱无章的
D:顺序的

信息系统审计师检查IT控制的效力时，发现以前的审计报告，没有相应的工作底稿，他（她）该怎么办（）。
A:暂停审核工作，直到找到这些审计底稿
B:信息并直接采纳以前的审计报告
C:重新测试好些处于高风险内的控制
D:通知审计经理，并建议重新测试这些控制

一个保险公司建立了异地灾难恢复系统，最近他们刚刚制定了BCP，进行了演练并且演练取得了成功在某个周日的晚上这个保险公司数据中心发生火灾，遗憾的是他们的BCP在火灾中被烧毁了，但是在业务连续经理的协调下，恢复小组凭借记忆在规定的RTO范围内恢复了信息系统这个例子中，组织最值得总结的经验是什么（）。
A:训练员工的记忆力是非常重要的
B:应在异地存放一份BCP
C:有一个好的业务连续经理是最重要的
D:以上都是

在开发应用程序时，质量保证测试和用户验收测试被和并在一起。IS审计师在审计时最关心的是（）。
A:加强维修
B:测试文件不当
C:性能测试不足
D:拖延解决问题

首页 <上一页 112 113 114 115 116 下一页> 尾页