出自:注册信息安全专业人员(CISA,CISO,CISE)

Gantt图表可以使于()。
A:辅助安排项目任务
B:确定项目检查点
C:确保文献标准
D:进行实施后审查
下面哪一种情况下,IS审计师应该用统计抽样而不是判断抽样()。
A:错误率必须被客观量化
B:审计师希望避免抽样风险
C:通用审计软件不实用
D:容忍误差不能确定
信息安全等级保护技术要求的三种类型是()
A:业务数据安全类、业务处理连续类、通用安全保护类
B:主机业务类、数据传输类、网络服务器类
C:业务数据安全类、网络数据传输类、通用安全保护类
D:主机业务安全类、业务处理连续类、通用安全保护类
安全事件响应系统的最终目标是()。
A:响应安全事件
B:检测安全事件
C:处理安全事件
D:加强保护措施
在如下哪种情况时,IS审计师应该用统计抽样而不是非统计抽样:()
A:必须客观衡量错误概率
B:审计员希望避免抽样风险
C:不能使用同用审计软件
D:允许的错误率不能确定
一个信息系统审计师小组参与将自动审计工具包整合到现有的企业EPR系统的工作。由于性能方面的考虑,审计工具包无法上线。审计师应该给出的最佳建议是什么?()
A:检查所选整合控制的实施
B:请求额外的IS审计资源
C:请求厂商的支持以解决性能问题
D:在用户验收测试(UAT)期间评估压力测试结果
以下哪个入侵检测技术能检测到未知的攻击行为?()
A:基于误用的检测技术
B:基于异常的检测技术
C:基于日志分析的技术
D:基于漏洞机理研究的技术
当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时,IS审计人员首先应关注的是()。
A:用户可能更愿意使用预先制作的测试数据
B:可能会导致对敏感数据的非授权访问
C:错误处理可信性检查可能得不到充分证实
D:没有必要对新流程的全部功能进行测试
分割数据系统
文件备份的频度主要依靠下面哪一条()。
A:应用系统功能的重要性
B:应用系统规则的重要性
C:应用系统文档的重要性
D:应用系统编排方式的重要性
下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的?()
A:服务器防毒软件
B:病毒墙
C:工作站防病毒软件
D:病毒库及时更新
下列哪种类型的IDS能够监控网络流量中的行为特征,并能够创建新的数据库?()
A:基于特征的IDS
B:基于神经网络的IDS
C:基于统计的IDS
D:基于主机的IDS
TCP/IP中哪个协议是用来报告错误并代表IP对消息进行控制?()
A:ICMP
B:IGMP
C:ARP
D:SNMP
在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助?()
A:系统故障时间日志
B:供货商的可靠性描述
C:预定的定期维护日志
D:书面的预防性维护计划表
下图是某单位对其主网站的一天访问流量监测图,如果说该网站在当天17:00到20:00间受到了攻击,则从图中数据分析,这种攻击类型最可能属于下面什么攻击()。
A:跨站脚本(Cross Site Scripting,XSS)攻击
B:TCP会话劫持(TCP Hi jack)攻击
C:IP欺骗攻击
D:拒绝服务(Denial of Service,DoS)攻击
在正常情况下,应急响应计划培训应该至少多久一次?()
A:1年
B:2年
C:半年
D:5年
在最近一次工资数据更新之后,一个未经授权的员工从公司的计算机中心得到了打印的公司数据表,为保证只有经授权的员工才能得到敏感的打印数据,控制手段包括日志和()
A:有控制地销毁作废的打印数据
B:接收人的签名确认
C:对磁盘上的打印输出文件进行访问控制
D:敏感打印数据的强制过期日期
以下哪一个是原型法的优势()。
A:完成的系统通常有很强的内部控制
B:原型系统可以节省大量的时间和费用
C:使用原型系统的变更控制不复杂
D:首先要保证不增加额外功能
IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本,那么,IS审计师应该建议()
A:检查源程序文档的保存情况
B:检查数据文件的安全状况
C:实施版本使用控制
D:进行一对一的核查
程序员经常为方便跟踪调试而在程序中植入一段代码或留下特定入口,这些入口点称为()。
A:逻辑炸弹
B:蠕虫
C:陷门
D:特洛伊木马
以下针对BCP说法正确的是1.组织只能有一个BCP2.对于小规模的只能有一个BCP3.对于大规模的组织可以有多个BCP4.如果信息系统的BCP和DRP要单独建立,必须与组织的总的BCP计划保持一致()。
A:1和2
B:2和3
C:3和4
D:所有
信息安全风险模型阐述了所有者,资产、脆弱性,漏洞、安全措施之间的关系,以下关于信息安全风险模型说法错误的是()
A:资产价值由使用者确定
B:提高脆弱性会提高安全风险
C:降低安全威胁会降低安全风险
D:提高安全措施会降低安全风险
下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系?()
A:脆弱性增加了威胁,威胁利用了风险并导致了暴露
B:风险引起了脆弱性并导致了暴露,暴露又引起了威胁
C:暴露允许威胁利用脆弱性,并导致了风险
D:威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例
许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性,下面哪一种安全技术最不被优先考虑使用()。
A:回叫确认
B:通讯加密
C:智能令牌卡
D:口令与用户名
跨国公司的IS管理部门考虑更新公司现有的虚拟专用网络(VPN),以通过隧道支持IP语音(VOLP)通信。应首先考虑以下哪个注意事项?()
A:可靠性和服务质量(QOS)
B:身份认证方法
C:声音传输的隐私性
D:数据传输的机密性
下列哪项是系统问责所需要的?()
A:授权
B:多人共用同一帐号
C:审计机制
D:系统设计的形式化验证
下面对于SSE-CMM保证过程的说法错误的是()
A:保证是指安全需求得到满足的可信任程度
B:信任程度来自于对安全工程过程结果质量的判断
C:自验证与证实安全的主要手段包括观察、论证、分析和测试
D:PA“建立保证论据”为PA“验证与证实安全"提供了证据支持
应急响应流程一般顺序是()。
A:信息安全事件通告、信息安全事件评估、应急启动、应急处置和后期处置
B:信息安全事件评估、信息安全事件通告、应急启动、应急处置和后期处置
C:应急启动、应急处置、信息安全事件评估、信息安全事件通告、后期处置
D:信息安全事件评估、应急启动、信息安全事件通告、应急处置和后期处置
在实施控制前,管理者首先要保证控制()。
A:满足处理风险问题的需要
B:不降低工作效率
C:基于成本效益分析
D:被检查或纠正
一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查()
A:BPR实施前的处理流程图
B:BPR实施后的处理流程图
C:BPR项目计划
D:持续改进和监控计划
首页 <上一页 25 26 27 28 29 下一页> 尾页