出自:注册信息安全专业人员(CISA,CISO,CISE)

矩阵分析法通常是哪种风险评估采用的方法?()
A:定性风险评估
B:定量分析评估
C:安全漏洞评估
D:安全管理评估
信息系统保护轮廓(ISPP)定义了()。
A:某种类型信息系统的与实现无关的一组系统级安全保障要求
B:某种类型信息系统的与实现相关的一组系统级安全保障要求
C:某种类型信息系统的与实现无关的一组系统级安全保障目的
D:某种类型信息系统的与实现相关的一组系统级安全保障目的
金融机构每天在中央通信处理器上为所有的ATM处理上百万笔交易。下面哪一个对于通信处理器来说是最好的应急计划?()
A:与另一个组织的互惠协议
B:同一个地点可替换处理器
C:另一个网络节点的可替换处理器
D:安装双工通信线路
国际标准化组织ISO下属208个技术委员会(TCs),531个分技术委员会(SCs),2378个工作组(WGs),其中负责信息安全技术标准化的组织是()。
A:ISO/IES
B:ISO/IEC JTC1
C:ISO/IEC JTC 1/SC 27
D:ISO/IEC JTC 1/SC 37
可信计算技术不能()。
A:确保系统具有免疫能力,从根本上阻止病毒和黑客等软件的攻击
B:确保密钥操作和存储的安全
C:确保硬件环境配置、操作系统内核、服务及应用程序的完整性
D:使计算机具有更高的稳定性
风险评估实施过程中资产识别的范围主要包括什么类别?()
A:网络硬件资产
B:数据资产
C:软件资产
D:以上都包括
访问控制表格
数据库管理员在检查数据库时发现数据库的性能不理想,他准备通过对部分数据表实施去除规范性(denormanization)操作来提高数据库性能,这样做将增加下列哪项风险?()
A:访问的不一致
B:死锁
C:对数据的非授权访问
D:数据完整性的损害
被动式攻击
一个验证磁带库库存记录准确性的实质性测试是:()
A:确定是否安装了扫描*的读头
B:确定磁带的移动是否被授权
C:清点磁带库存数量
D:检查接收和发布磁带是否被准确记录
当客户需要访问组织信息资产时,下面正确的做法是()?
A:应向其传达信息安全要求及应注意的信息安全问题
B:尽量配合客户访问信息资产
C:不允许客户访问组织信息资产
D:不加干涉,由客户自己访问信息资产
下面关于ISO27002的说法错误的是()。
A:ISO27002的前身是ISO17799-1
B:ISO27002给出了通常意义的信息安全管理最佳实践供组织机构选用,但不是全部
C:ISO27002对于每个控制措施的表述分“控制措施”、“实施指南”和“其它信息”三个部分来进行描述
D:ISO27002提出了十一大类的安全管理措施,其中风险评估和处置是出于核心地位的一类安全措施
要求组织的计算机时钟都同步的主要原因是?()
A:防止遗漏或交易重复
B:确保客户机到服务器的传输数据平稳过渡
C:确保e-mail信息有正确的时间戳
D:支持事件调查过程
在开发一个风险管理程序时,什么是首先完成的活动?()
A:威胁评估
B:数据分类
C:资产清单
D:关键程度分析
用自下而上的方法来开发组织政策的优势在于这样开发的政策()。
A:为组织整体而指定
B:更可能来自于风险评估的结果
C:与企业整体政策不会冲突
D:确保整个组织的一致性
以下哪一项是选择加密算法最重要的因素()。
A:安全和使用许可
B:速度和专利
C:速度和安全
D:专利和使用许可
安全审计是系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用?()
A:辅助辨识和分析未经授权的活动或攻击
B:对与已建立的安全策略的一致性进行核查
C:及时阻断违反安全策略的致性的访问
D:帮助发现需要改进的安全控制措施
下列哪项不是SSE-CMM中规定的系统安全工程过程类()
A:工程
B:组织
C:项目
D:资产
当实施一应用软件包,以下哪项存在最大的风险?()
A:未控制的多个软件版本
B:与目标代码不一致的源程序
C:不正确的参数设置
D:编程错误
代理服务器
地点3A、3D、1D,图表显示集线器是开放的并且是活动的,如果情况属实,什么控制应该被建议用来减轻弱点()。
A:智能集线器
B:集线器的物理安全
C:物理安全和智能集线器
D:不用控制因为没有弱点
使用统计抽样流程有助于最小化()
A:抽样风险
B:检测性风险
C:固有风险
D:控制风险
数据库管理员建议数据库的效率可以提高,通过非范式化一些表。这将导致()。
A:保密的失败
B:增加冗余
C:未经授权的访问
D:应用故障
对于抽样可以这样认为()。
A:当相关的总体不具体或者是控制没有文档记录时,适用于统计抽样。
B:如果审计师知道内部控制是强有力的,可以降低置信系数
C:属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。
D:变量抽样是一种技术,用于评估某种控制或一系列相关控制的发生率。
组织要捐赠一些本单位的旧计算机设备给希望小学,在运输这些捐赠品之前应该确保()
A:计算机上不曾保存机密数据
B:受捐的希望小学签署保密协议
C:资料存储的介质是彻底空白的
D:所有数据已经被删除
以下哪一项是两家公司为灾难恢复签订互惠协议而面临的最大风险?()
A:各自的发展将导致(互相间)软硬件不兼容
B:当需要时资源未必可用
C:恢复计划无法演练
D:各家公司的安全基础架构可能不同
以下哪项业务连续性计划(BCP)测试涉及危机管理/响应小组密切相关成员的参与,以实践妥善的协作?()
A:桌面测试
B:功能测试
C:全面演习
D:穿行测试
下面哪一个测试阶段的错误,会对新系统的实施产生最大的影响。()
A:系统测试
B:接受测试
C:集成测试
D:单元测试
企业将其技术支持职能(helpdesk)外包出去,下面的哪一项指标纳入外包服务等级协定(SLA)是最恰当的()。
A:要支援用户数
B:首次请求技术支持,即解决的(事件)百分比
C:请求技术支援的总人次
D:电话回应的次数
下列哪个控制可以最有效地发现网络传输错误?()
A:奇偶校验
B:同送检查
C:块总数校验
D:循环冗余码校验
首页 <上一页 19 20 21 22 23 下一页> 尾页