出自:注册信息安全专业人员(CISA,CISO,CISE)

参照数据
某单位在实施风险评估时,按照规范形成了若干文档,其中,()中的文档应属于风险评估中“风险要素识别”阶段输出的文档。
A:《风险评估方法》,主要包括本次风险评估的目的、范围、目标,评估步骤,经费预算和进度安排等内容
B:《风险评估方法和工具列表》,主要包括拟用的风险评估方法和测试评估工具等内容
C:《风险评估准则要求》,主要包括现有风险评估参考标准、采用的风险分析方法,资产分类标准等内容
D:《已有安全措施列表》,主要经验检查确认后的已有技术和管理方面安全措施等内容
以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况?()
A:神经网络
B:数据库管理软件
C:管理信息系统
D:计算机辅助审计技术
在EDI应用中,为确保收到订单的真实性,合适的控制是:()
A:用确认消息告知电子订单的收到
B:在安排订单之前在数量上实施合理性检查
C:验证发件人的身份,并确定订单是否与合同条款相一致
D:加密电子订单
以下哪一项属于所有指令均能被执行的操作系统模式?()
A:问题
B:中断
C:监控
D:标准处理
在对存货应用系统的审计过程中,以下哪个方法能为判断采购订单的有效性提供最有利的证据?()
A:测试是否存在不恰当的员工可以更改应用参数的情况
B:跟踪采购订单至计算机列表
C:将验收报告与详细采购订单相比
D:审查应用系统的文档
在对一个全球性企业做灾难恢复计划的信息系统审计期间,审计师发现一些远程办公室有一些非常有限的当地IT资源。下列哪一项发现被信息系统审计师认为是最严重的?()
A:当从一个灾难或事件中恢复时,确保当地资源保持安全和质量标准的测试没有做
B:公司业务持续计划没有被准确的记录远程办公室存在的系统
C:公司安全措施没包含在测试计划中
D:确保远程办公室的磁带备份可用性的测试没有做
虚空间访问方法
下面对国家秘密定级和范围的描述中,哪项不符合《保守国家秘密法》要求?()
A:国家秘密和其密级的具体范围,由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关规定
B:各级国家机关、单位对所产生的秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级
C:对是否属于国家和属于何种密级不明确的事项,可有各单位自行参考国家要求确定和定级,然后报国家保密工作部门备案
D:对是否属于国家和属于何种密级不明确的事项,由国家保密工作部门,省、自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定
对于信息安全策略的描述错误的是()?
A:信息安全策略是以风险管理为基础,需要做到面面俱到,杜绝风险的存在
B:信息安全策略是在有限资源的前提下选择最优的风险管理对策
C:防范不足会造成直接的损失;防范过多又会造成间接的损失
D:信息安全保障需要从经济、技术、管理的可行性和有效性上做出权衡和取舍
有关人员安全的描述不正确的是()。
A:人员的安全管理是企业信息安全管理活动中最难的环节
B:重要或敏感岗位的人员入职之前,需要做好人员的背景检查
C:企业人员预算受限的情况下,职责分离难以实施,企业对此无能为力,也无需做任何工作
D:人员离职之后,必须清除离职员工所有的逻辑访问帐号
公钥基础设施(PKI)的有效应用是加密()。
A:全部信息
B:私钥
C:公钥
D:对称会话密钥
SYN Flood攻击是利用()协议缺陷进行攻击
A:网络接口层
B:互联网络层
C:传输层
D:应用层
TCP/IP协议簇包含的面向连接的协议处于()
A:传输层
B:应用层
C:物理层
D:网络层
在信息处理设备发生重大事故后,如下哪个是响应小组首要做的事情?()
A:恢复设备
B:设备文档化
C:控制设备
D:检查设备
以下哪一项是对提供给供应商员工的访客无线ID的最佳控制()
A:分配每日过期的可更新用户ID
B:采用一次性写入日志来监控供应商的系统活动
C:使用类似于员工使用的ID格式
D:确保无线网络加密得到正确配置
以下哪一项有助于检测入侵者对服务器系统日志的改动()。
A:在另一台服务器镜像该系统日志
B:在一块一次写磁盘上同时复制该系统日志
C:将保存系统日志的目录设为写保护
D:异地保存该系统日志的备份
在金融交易的EDI系统中,汇总字段的检查汇总位的目的是确保()。
A:完整性
B:真实性
C:授权
D:抗抵赖
IP欺骗(IP Spoof)是发生在TCP/IP协议中()层的问题。
A:网络接口层
B:互联网网络层
C:传输层
D:应用层
在TCP中的六个控制位哪一个是用来请求同步的?()
A:SYN
B:ACK
C:FIN
D:RST
DFS加密文件系统使用的加密技术是()。
A:DES
B:3DES
C:IDEA
D:RSA
在主机计算环境,通常由操作员来负责将软件和数据文件定期备份。在分布式和协作式的系统中,承担备份责任的应该是()。
A:用户管理人员。
B:系统程序员。
C:数据录入员。
D:磁带库管理员。
某单位采购主机入侵检测,用户提出了相关的要求,其中哪条是主机入侵检测无法实现的?()
A:精确地判断攻击行为是否成功
B:监控主机上特定用户活动、系统运行情况
C:监测到针对其他服务器的攻击行为
D:监测主机上的日志信息
计算机辅助软件工程
信息系统设计师在检查一个基于服务导向架构(SOA)原理的软件应用。第一步最好是?()
A:通过查阅服务知识库文档中的文档,理解应用的服务以及它们与业务流程的分配关系
B:对于SAML提出的服务安全标准的使用情况进行抽样
C:检查服务协议(SLA)
D:审计任何单独的服务,以及它与其它服务之间的依赖关系
对于特定威胁的整体经营风险的威胁,可以表示如下()。
A:一种产品的可能性和影响的重要性,如果威胁暴露了弱点
B:影响的重要性应该是威胁来源暴露了弱点
C:威胁来源暴露弱点的可能性
D:风险评估小组的整体判断
下面哪一种审计技术为IS部门的职权分离提供了最好的证据()。
A:与管理层讨论
B:审查组织结构图
C:观察和面谈
D:测试用户访问权限
数据库的安全很复杂,往往需要考虑多种安全策略,才可以更好地保护数据库的安全,以下关于数据库常用的安全策略理解不正确的是()
A:最小特权原则,是让用户可以合法的存取或修改数据库的前提下,分配最小的特权,使得这些信息恰好能够完成用户的工作
B:最大共享策略,在保证数据库的完整性、保密性和可用性的前提下,最大程度地共享数据库中的信息
C:粒度最小策略,将数据库中的数据项进行划分,粒度越小,安全级别越高,在实际中需要选择最小粒度
D:按内容存取控制策略,不同权限的用户访问数据库的不同部分
每感染一个档就变体一次的恶意代码称为()。
A:逻辑炸弹
B:隐秘型病毒
C:特洛伊木马
D:多态性病毒
Clark-Wilson模型可以满足所有三个完整性安全目标,哪一个是错误的:()
A:防止授权用户不适当的修改
B:防止非授权用户进行篡改
C:维持内部和外部的一致性
D:保障数据和程序安全
首页 <上一页 11 12 13 14 15 下一页> 尾页