出自:注册信息安全专业人员(CISA,CISO,CISE)

下面哪项能在数据处理过程中最好地检测出错误?()
A:程序编辑检查
B:精心设计的数据进输入审查
C:职责分享
D:哈希运算
为了解风险和控制风险,应当及时进行风险评估活动,我国有关文件指出:风险评估的工作形式可分为自评估和检查评估两种,关于自评估,下面选项中描述错误的是()。
A:自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B:自评估应参照相应标准、依据制定的评估方案和评估准则,结合系统特定的安全要求实施
C:自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施
D:周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
当回顾外包IT服务提供商时,以下哪项为信息系统审计师的主要关注点?()
A:服务提供商成本最小化
B:禁止供应商转包服务
C:评估将知识转交给IT部门的流程
D:确定服务是否和合同相符
磁卡机读取机
当审计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险()。
A:业务(商业)风险
B:检查风险
C:审计风险
D:固有风险
以下哪一项是图像处理的弱点?()
A:验证签名
B:改善服务
C:相对较贵
D:减少处理导致的变形
随着公司遗产系统的重组,发现记录被意外删除,下面哪一项可以最有效的诊断这种情况的发生()。
A:范围检查
B:表查询
C:运行汇总Run-to-runtotals
D:一对一地检测
风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?()
A:风险分析准备的内容是识别风险的影响和可能性
B:风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C:风险分析的内容是识别风险的影响和可能性
D:风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施
应急响应哪一个阶段用来降低事件再次发生的风险?()
A:遏制
B:根除
C:跟踪
D:恢复
下面哪一项是黑客用来实施DDOS攻击的工具?()
A:LC5
B:Rootkit
C:Icesword
D:Trinoo
RSA与DSA相比的优点是什么?()
A:它可以提供数字签名和加密功能
B:由于使用对称密钥它使用的资源少加密速度快
C:前者是分组加密后者是流加密
D:它使用一次性密码本
以下哪一项不是我国国务院信息化办公室为加强信息安全保障明确提出的九项内容之一?()
A:提高信息技术产品的国产化率
B:保证信息安全资金投入
C:加快信息安全人才培养
D:重视信息安全应急处理工作
如果对于程序变动的手工控制收效甚微,以下哪一种方法将是最有效的?()
A:自动软件管理
B:书面化制度
C:书面化方案
D:书面化标准
试图去控制像用密钥卡或者锁的计算机房这样敏感区域的物理访问所带来的风险是()。
A:未授权人员在控制门前等待授权人员打开门后尾随
B:组织的偶然计划不能有效的检测控制访问实践
C:控制卡,钥匙还有输密码的小键盘可以容易的被复制,这就允许了控制很容易被妥协
D:移除不再有权限的人的访问权限很复杂
RADIUS服务器默认会用到哪些端口()
A:UDP1812和UDP1813两个端口
B:UDP1811和UDP1812两个端口
C:UDP1812端口
D:UDP1813端口
脉冲减弱器
在《信息系统灾难恢复规范》中,根据()要素,X灾难恢复等级划分为()X。
A:7;6
B:8;7
C:7;7
D:8;6
以下哪个不是信息安全项目的需求来源?()
A:国家和地方政府法律法规与合同的要求
B:风险评估的结果
C:组织原则目标和业务需要
D:企业领导的个人意志
以下除哪一项外都是SLA的检查标准()。
A:业务需求的年审和重新认可
B:确信预期的服务被清晰的定义
C:确信准备了监测和上报流程
D:确信服务提供者给所有同级的客户提供服务
下面关于定性风险评估方法的说法正确的是()。
A:通过将资产价值和风险等量化为财务价值和方式来进行计算的一种方法
B:采用文字形式或叙述性的数值范围来描述潜在后果的大小程度及这些后果发生的可能性
C:在后果和可能性分析中采用数值,并采用从各种各样的来源中得到的数据
D:定性风险分析提供了较好的成本效益分析
某公司开发了一个游戏网站,但是由于网站软件存在漏洞,在网络中传输大数据包时总是会丢失一些数据,如一次性传输大于2000个字节数据时,总是会有3到5个字节不能传送到对方,关于此案例,可以推断的是()
A:该网站软件存在保密性方面安全问题
B:该网站软件存在完整性方面安全问题
C:该网站软件存在可用性方面安全问题
D:该网站软件存在不可否认性方面安全问题
为了确保审计资源给组织带来了最大的价值,通常的第一步是:()
A:计划审计项目,并对每个审计项目的时间安排进行监督
B:向信息系统审计师培训有关组织正在使用的最新技术
C:在详细风险评估的基础上开展审计计划
D:审计监督程序,并采取成本控制措施
公司最近升级了其采购系统与EDI系统进行整合。为使EDI接口提供的有效数据映射应实施以下哪个控制?()
A:关键确认
B:逐个检查
C:手工重算
D:功能的确认
当通信分析人员进行下面哪一项的时候,IS审计师应该给予重点关注()。
A:监测系统性能,追踪程序变动导致的问题
B:根据当前和未来的交易量,审查网络负载需求
C:评价终端响应时间和网络数据传输率对于网络负载的影响
D:网络负载平衡措施和改进建议
下面哪一个是测试软件模块的动态分析工具()
A:黑盒测试
B:桌面检测
C:结构化穿行测试
D:设计图和代码
下面哪一个是审计师将要立刻作出的建议()。
A:改进对于关键系统的备份
B:延迟迁移服务器
C:在合同中包括灾难恢复
D:备份数据远离服务提供商
下列哪一项是注册机构(RA)的职责?()
A:证书发放
B:证书注销
C:提供目录服务让用户查询
D:审核申请人信息
对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据?()
A:异常作业终止报告
B:操作员问题报告
C:系统日志
D:操作员工作日程安排
下面用于使用实际资源模仿系统事故对持续性计划进行测试的方法中,对于获得计划有效性的证据,哪个最具有成本效益性的()。
A:纸上推演
B:全面测试
C:预备测试
D:穿行测试
非对称密钥的密码技术具有很多优点,其中不包括()。
A:可提供数字签名、零知识证明等额外服务
B:加密/解密速度快,不需占用较多资源
C:通信双方事先不需要通过保密信道交换密钥
D:密钥持有量大大减少
首页 <上一页 23 24 25 26 27 下一页> 尾页