出自:注册信息安全专业人员(CISA,CISO,CISE)

作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险,这时你应当怎么做?()
A:抱怨且无能为力
B:向上级报告该情况,等待增派人手
C:通过部署审计措施和定期审查来降低风险
D:由于增加人力会造成新的人力成本,所以接受该风险
目前对消息摘要算法(MD5),安全哈希算法(SHA1)的攻击是指()
A:能够构造出两个不同的消息,这两个消息产生了相同的消息摘要
B:对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要
C:对于一个已知的消息摘要,能够恢复其原始消息
D:对于一个已知的消息,能够构造出一个不同的消息摘要,也能通过验证
企业正在与厂商谈判服务水平协议(SLA),首要的工作是()
A:实施可行性研究
B:核实与公司政策的符合性
C:起草其中的罚则
D:起草服务水平要求
以下无线加密标准中哪一项的安全性最弱()。
A:wep
B:wpa
C:wpa2
D:wapi
下面对于“电子邮件炸弹”的解释最准确的是()
A:邮件正文中包含的恶意网站链接
B:邮件附件中具有强破坏性的病毒
C:社会工程的一种方式,具有恐吓内容的邮件
D:在短时间内发送大量邮件的软件,可以造成目标邮箱爆满
以下哪一个不是风险控制的主要方式?()
A:规避方式
B:转移方式
C:降低方式
D:隔离方式
为保证主记录中的关键词段已被正确更新,最好采用下列哪一种办法()。
A:字段检查
B:求和校验与控制
C:合理性检查
D:审查事前和事后的维护报告
以下哪一项不属于恶意代码?()
A:病毒
B:蠕虫
C:宏
D:特洛伊木马
数据库管理系统软件包不可能提供下面哪一种访问控制功能?()
A:用户对字段数的访问
B:用户在网络层的登录
C:在程序级的身份验证
D:在交易级的身份验证
阴极射线管
以下那种测试方法可以确定新的或修改的系统是否能在目标环境中与已有系统无缝运行?()
A:并行测试
B:抽样测试
C:接口/集成测试
D:社交类测试
信息系统审计员发现企业对USB存储设备没有使用约束,也没有访问使用规定,对于系统审计员以下哪个选项是最好的推荐?()
A:使用安全软件阻止USB端口的数据传输
B:制定一个使用轻便移动设备的策略
C:在数据传输时使用虚拟专用网络(VPN)以确保加密会话
D:对所有机器禁止使用USB接口
组织捐赠使用过的电脑应该确保()。
A:计算机没有用于存储敏感信息
B:签署不泄漏协议
C:数据存储媒介被清洗
D:所有数据被删除
以下哪项机制与数据处理完整性不相关?()
A:数据库事务完整性机制
B:数据库自动备份复制机制
C:双机并行处理,并相互验证
D:加密算法
以下指标可用来决定在应用系统中采取何种控制措施,除了()
A:系统中数据的重要性
B:采用网络监控软件的可行性
C:如果某具体行动或过程没有被有效控制,由此产生的风险等级
D:每个控制技术的效率,复杂性和花费
某公司决定建立一套基于KPI(公钥基础设施)的电子签名系统。用户的密钥将会被存储在个人计算机的硬盘中,并由口令保护。这一方法最重大的风险是()
A:通过替换一位用户的公钥方式来冒名。
B:通过另一用户的私钥进行数字签名来伪造。
C:如果口令泄密,用户的数字签名将被其他人使用。
D:通过替换另一个用户的私钥来冒名。
在考虑增加人员到受实施时间限制的项目时,应该先考虑以下哪一步()。
A:项目预算
B:项目的关键路径
C:剩余任务的时间长度
D:员工分配的其他任务
下面哪一个不是高层安全方针所关注的?()
A:识别关键业务目标
B:定义安全组织职责
C:定义安全目标
D:定义防火墙边界防护策略
在对数据中心进行安全审计时,通常审计师第一步要采取的是()。
A:评级物理访问控制测试的结果
B:确定对于数据中心站点的风险/威胁
C:审查业务持续程序
D:测试对于可疑站点的物理访问的证据
以下哪一项是减轻职责划分不当引发风险的补偿控制()。
A:序列检验
B:核对数字
C:源文件保存
D:批控制Reconciliations
以下哪一个是对“岗位轮换“这一人员安全管理原则的正确理解?()
A:组织机构内的敏感岗位不能由一个人长期负责
B:对重要的工作进行分解,分配给不同人员完成
C:一个人有且仅有其执行岗位所足够的许可和权限
D:防止员工由一个岗位变动到另一个岗位,累积越来越多的权限
下列哪一项安全机制是一个抽象机,不但确保主体拥有必要的访问权限,而且确保对客体不会有未经授权的访问以及破坏性的修改行为?()
A:安全核心
B:可信计算基
C:引用监视器
D:安全域
以下哪种泄漏可能是由检索技术引起()
A:未经授权的数据访问
B:过度的CPU周期使用
C:终端轮询的锁定
D:多路复用器控制功能障碍
组织已经完成了年风险估价。信息系统审计师对于组织下一步的有何关于商业持续计划的建议?()
A:回顾并评价商业持续计划是否恰当
B:对商业持续计划进行完整的演练
C:对职员进行商业持续计划的培训
D:将商业持续计划通报关键联络人
审查灾难恢复计划(DRP)时,IS审计师应在发现缺乏以下那个选项时最为关注()
A:流程负责人的参与
B:详细记录的测试程序
C:备用的处理设施
D:详细记录的数据分类方案
阻塞控制最好由OSI协议的哪一层控制()。
A:数据链路层
B:会话层
C:传输层
D:网络层
IATF深度防御战略的三个层面不包括()
A:人员
B:法律
C:技术
D:运行
保护数据安全包括保密性、完整性和可用性,对于数据的可用性解决方法最有效的是()
A:加密
B:备份
C:安全删除
D:以上都是
信息系统审计师检查操作系统的配置来验证控制,应查看下列哪个?()
A:交易日志
B:授权表
C:参数设置
D:路由表
测试连接两个或两个以上的系统的组件,信息从一个区域到另一个区域被称为()。
A:Pilot测试
B:平行测试
C:接口测试
D:回归测试
首页 <上一页 16 17 18 19 20 下一页> 尾页