出自:注册信息安全专业人员(CISA,CISO,CISE)

以下哪一种判断信息系统是否安全的方式是最合理的?()
A:是否己经通过部署安全控制措施消灭了风险
B:是否可以抵抗大部分风险
C:是否建立了具有自适应能力的信息安全模型
D:是否已经将风险控制在可接受的范围内
来自终端的电磁泄露风险,因为它们()。
A:导致噪音污染
B:破坏处理程序
C:产生危险水平的电流
D:可以被捕获并还原
二进制码
当信息系统审计师评估一个高可用性网络的恢复能力时,如发生下列情况应最为关注()。
A:设备在地理位置上分散
B:网络服务器位于同一地点
C:热站就绪可以被激活
D:网络执行了不同行程
下面有几项保证通信线路连续性的方法,其中通过拆分或复制电缆设备来实现路由网络流量的方法称为()。
A:替换式通讯线路
B:分集式通讯线路
C:分集式长途网络连接
D:最后一公里的电路保护
应该由谁来进行灾难宣告激活业务连续计划()。
A:业务连续经理
B:CEO
C:被授权的人
D:CIO
IS审计师参与了组织业务连续性计划的制定,而又被指派去审计这个计划。IS审计师应该?()
A:拒绝这个审计任务的指派
B:提醒管理层关于自己完成审计任务后利益冲突的可能
C:提醒业务连续性计划组关于自己在开始审计任务前可能的利益冲突
D:在开始审计任务之前与管理层沟通关于利益冲突的可能性
信息安全风险评估是信息安全管理体系建立的基础,以下说法错误的是()
A:信息安全管理体系的建立需要确定信息安全需求,而信息安全需求获取的主要手段就是信息安全风险评估
B:风险评估可以对信息资产进行鉴定和评估,然后对信息资产面对的各种威胁和脆弱性进行评估
C:风险评估可以确定需要实施的具体安全控制措施
D:风险评估的结果应进行相应的风险处置,本质上,风险处置的最佳集合就是信息安全管理体系的控制措施集合
如下哪一类风险是假设被检查的方面缺乏补偿控制()
A:控制风险
B:检查风险
C:固有风险
D:抽样风险
VPN系统主要用来()
A:进行用户身份的鉴别
B:进行用户行为的审计
C:建立安全的网络通信
D:对网络边界进行访问控制
审计师要在关键的服务器上分析审计日志,以检查潜在的用户或者系统的异常行为。为执行这个任务,下面哪一个是最恰当的?()
A:计算机辅助软件工程(CASE)工具
B:嵌入式数据收集工具
C:趋势/差异扫描工具
D:启发式扫描工具
以下哪种系统或工具可以辨识信用卡被盗用?()
A:入侵检测系统
B:数据挖掘技术
C:防火墙
D:包过滤路由器
几个税收计算程序保持了几百种不同的税率,确保输入程序的税率准确性的最好的控制是()。
A:对于交易清单的独立审查
B:程序防止编辑输入无效数据
C:程序检查20%以上的数据输入范围的合理性
D:处理部门直观核实数据输入
下面关于信息安全保障的说法错误的是()。
A:信息安全保障的概念是与信息安全的概念同时产生的
B:信息系统安全保障要素包括信息的完整性,可用性和保密性
C:信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段
D:信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施各种保障要素,在系统的生命周期内确保信息的安全属性
通常,操作系统可以提供哪一种访问控制功能()。
A:创建数据库用户账号(profilE.
B:字段级验证用户身份
C:为每个人建立登陆账号
D:为监督访问违例,日志记录数据库访问活动
当新系统将在短期内实施时,最重要的是()。
A:完成用户手册的写作
B:用户进行验收测试
C:不断加强系统功能
D:保证了代码被记录并进行了审查
以下哪种审计技术在早期检测错误或违规时是最有效的?()
A:内嵌的审计模块
B:集成的测试工具
C:截屏
D:审计钩
下面哪一个是最安全的防火墙系统()。
A:Screened-hostfirewall
B:Screened-subnetfirewall
C:Dual-homedfirewall
D:Stateful-inspectionfirewall
以下哪一种算法产生最长的密钥?()
A:Diffe-Hellman
B:DES
C:IDEA
D:RSA
下面哪一种线路媒介能为网络通信提供最好的安全保证()。
A:宽带网络数字传输
B:基带网络
C:拨号
D:专线
哪个测试方法能更早的识别应用程序接口错误?()
A:自底向上
B:社交测试
C:自顶向下
D:系统测试
风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A:明确组织管理机构
B:制定安全措施实施计划
C:资产识别并赋值
D:风险识别并赋值
下列说法满足信息系统安全官关于安全控制有效性的目标()。
A:基于风险分析的结果构成完整的控制需求
B:控制已经被测试
C:给予风险分析的结构构成安全控制的详细要求
D:控制可重现地被测试
下面对能力程度模型解释最准确的是()。
A:它认为组织的能力依赖于严格定义、管理完善、可测可挖的有效业务过程
B:它通过严格考察工程成果来判断工程能力
C:它与统计过程控制理论的出发点不同、所以应用于不同领域
D:它是随着信息安全的发展而诞生的重要概念
要优化企业的业务连续计划(BCP)。审计师应建议业务影响分析(BIA),以确定:()
A:业务流程为组织创造最大的经济价值,因此,首先必须恢复
B:优先事项和恢复秩序以确保和本组织的业务战略保持一致
C:企业关键业务必须在灾难后恢复,以确保组织生存
D:优先事项和恢复秩序将在短期内尽可能多的恢复
下列选项中,建立灾难恢复策略的第一步是要评估?()
A:所有威胁可以被完全移除
B:一个遵循成本效益原则的内部策略被实施
C:回复日志目标(RTO)可以被优化
D:恢复成本最小化
在正式结束审计前,审计会议的最主要目的是()。
A:确保审计师不能忽略任何重要的问题
B:对审计发现达成一致意见
C:接受对审计程序的适当性的反馈
D:检查最后陈述的结构
许多IT项目的经验问题是因为对开发时间和/或所需的资源估计不足。以下哪一种技术是制定项目时间评估的最好辅助工具()。
A:功能点分析
B:PERT图
C:快速应用开发
D:面向对象的系统开发
在评估逻辑访问控制时,应该首先做什么?()
A:把应用在潜在访问路径上的控制项记录下来
B:在访问路径上测试控制来检测是否他们具功能化
C:按照写明的策略和实践评估安全环境
D:对信息流程的安全风险进行了解
审计计划阶段,对于风险的评估用于提供()。
A:审计覆盖重大事项的合理保证
B:明确保证重大事项在审计工作中被覆盖
C:审计覆盖所有事项的合理保证
D:充分保证所有事项在审计工作中被覆盖
首页 <上一页 17 18 19 20 21 下一页> 尾页