出自:注册信息安全专业人员(CISA,CISO,CISE)

在审核某业务流程再造(BPR)项目时,以下审计人员要评价的项目中哪一项最重要?()
A:被撤销控制的影响
B:新控制的成本
C:BPR项目计划
D:持续改进和监控计划
作为信息中心的主任,你发现没有足够的人力资源保证将数据库管理员和网络管理员的岗位分配给两个不同的人担任,这种情况造成了一定的安全风险。这时你应当怎么做?()
A:抱怨且无能为力
B:向上级报告该情况,等待增派人手
C:通过部署审计措施和定期审查来降低风险
D:由于增加人力会造成新的人力成本,所以接受该风险
在不熟悉领域从事审计时,IS审计师首先应该完成的任务是()
A:为涉及到的每个系统或功能设计审计程序
B:开发一套符合性测试和实质性测试
C:收集与新审计项目相关的背景信息
D:安排人力与经济资源
在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()
A:寻找补偿性控制
B:检阅财务事务日志
C:检阅审计范围
D:叫管理员禁用这些帐号
信息的加密哈希总和由接收者重新计算,这是为了确保()
A:消息的机密性
B:发送者的不可否认性
C:消息的真实性
D:发送者传输数据的完整性
在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提是用户与网络的接口?()
A:网络层
B:表示层
C:应用层
D:物理层
某公司的对外公开网站主页经常被黑客攻击后修改主页内容,该公司应当购买并部署下面哪个设备()?
A:安全路由器
B:网络审计系统
C:网页防篡改系统
D:虚拟专用网(Virtual Private Network,VPN)系统
一个地区性商业银行正在考虑建立DRP,哪一项恢复策略对于它最适合()。
A:无法确定
B:选择热站
C:电子连接
D:双机热备
应急响应领导小组主要职责包括()。
A:对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人财物)等
B:审核并批准应急响应计划
C:负责组织的外部协作工作
D:组织应急响应计划演练
以下关于防火墙的描述哪一项不正确()。
A:防火墙能够执行安全策略
B:防火墙能够产生审计日志
C:防火墙能够阻止组织安全状况的暴露
D:防火墙能够防病毒
域名注册信息可在哪里找到?()
A:路由表
B:DNS记录
C:whois数据库
D:MIBs库
以下可能存在sql注入攻击的部分是()
A:get请求参数
B:post请求参数
C:cookie值
D:以上均有可能
数字签名不能提供下列哪种功能?()
A:机密性
B:完整性
C:真实性
D:不可否认性
通过网页上的钓鱼攻击来获取密码的方式,实质上是一种()
A:社会工程学攻击
B:密码分析学
C:旁路攻击
D:暴力破解攻击
下列哪一个是实施一个IT员工兼职的最佳原因?()
A:为确保公司职员不滥用公司资源
B:为了防止利益冲突
C:为了防止员工绩效问题
D:为了防止盗窃IT资产
某银行信息系统为了满足业务发展的需要准备进行升级改造,以下哪一项不是此次改造中信息系统安全需求分折过程需要考虑的主要因素?()
A:信息系统安全必须遵循的相关法律法规,国家以及金融行业安全标准
B:信息系统所承载该银行业务正常运行的安全需求
C:消除或降低该银行信息系统面临的所有安全风险
D:该银行整体安全策略
关于信息安全策略文件以下说法不正确的是哪个?()
A:信息安全策略文件应由管理者批准、发布
B:信息安全策略文件并传达给所有员工和外部相关方
C:信息安全策略文件必须打印成纸质文件进行分发
D:信息安全策略文件应说明管理承诺,并提出组织的管理信息安全的方法
以下哪一项有利于程序维护?()
A:强内聚/松藕合的程序
B:弱内聚/松藕合的程序
C:强内聚/紧藕合的程序
D:弱内聚/紧藕合的程序
通过向被攻击者发送大量的ICMP回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,这种攻击被称之为()。
A:LAND攻击
B:Smurf攻击
C:Ping of Death攻击
D:ICMP Flood
在实施风险管理程序的时候,下列哪一项应该被最先考虑到?()
A:组织的威胁,弱点和风险概貌的理解
B:揭露风险的理解和妥协的潜在后果
C:基于潜在结果的风险管理优先级的决心
D:风险缓解战略足够使风险的结果保持在一个可以接受的水平上
价格在收费标准的基础上随着改变量增加而变化,任何例外必须通过人工批准。下面哪一种是最有效的自动控制帮助确定所有的价格例外都被审批()。
A:所有款项必须回显在在输入人员,由他们直观检查
B:超过正常范围的价格要输入两次,以便精确确认数据。
C:当输入例外价格并且打印时,系统发出蜂鸣声。
D:在价格例外处理时,必须输入二级密码
考虑将应用程序从测试环境转换到生产环境,提供的最好的控制是()。
A:应用程序员拷贝源程序并编译目标代码到生产库中
B:应用程序员拷贝源程序到产品库,生产控制组编译源程序
C:生产控制组编译目标模块到生产库中,使用测试环境中的源代码
D:生产控制组拷贝源程序到生产库中,然后编译源程序
某组织请求IS审计师提出建议来帮助其提高IP语音(VoIP)系统及数据通信的安全性和可靠性。以下哪项措施能实现这一目标?()
A:使用虚拟局域网(VLAN)对VoIP基础设施进行划分
B:在VoIP终端设置缓冲区
C:确保在VoIP系统中实现端到端加密
D:确保VoIP基础设施中各部分均使用应急备用电源
以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作?()
A:路由器
B:网桥
C:中继器
D:网关
IS审计师检查日志文件中的失败登陆的尝试,那么,最关注的账号是()
A:网络管理员
B:系统管理员
C:数据管理员
D:数据库管理员
下列哪项是减少非法进入无人值守最终用户电脑系统最好的方式?()
A:使用密码保护的屏幕保护程序
B:当用户离开系统使用自动注销
C:在预定的时间间隔终止用户会话
D:关掉显示器因此屏幕是空白的
通过哪一项可以控制无效率地使用大量的计算机设备()。
A:应急计划
B:系统可行性研究
C:容量规划
D:例外报告
以下哪一种代表了典型的交互式应用()。
A:屏幕和处理程序
B:屏幕、交互式编辑和抽样报告
C:交互式编辑、处理程序和抽样报告
D:屏幕、交互式的编辑、处理程序及抽样报告
信息安全管理体系(information Securlty Management System.ISMS)的内部审核和管理审核是两项重要的管理活动,关于这两者,下面描述错误的是()
A:内部审核和管理评审都很重要,都是促进ISMS持续改进的重要动力,也都应当按照一定的周期实施
B:内部审核的实施方式多采用文件审核和现场审核的形式,而管理评审的实施方式多采用召开管理评审会议的形式进行
C:内部审核的实施主体由组织内部的ISMS内审小组,而管理评审的实施主体是由国家政策指定的第三方技术服务机构
D:组织的信息安全方针,信息目标和有关ISMS文件等,在内部审核中作为审核准则使用,但在管理评审中,这些文件是被审对象
以下哪种形式的证据对审计师来讲最具可靠性?()
A:被审计人员的口头陈述
B:由外部IS审计师执行的测试结果
C:内部生成的计算机财务报告
D:从外部资源发来的确认函
首页 <上一页 20 21 22 23 24 下一页> 尾页