出自:注册信息安全专业人员(CISA,CISO,CISE)

下列哪一种密钥生命周期最短()
A:公钥
B:私钥
C:会话密钥
D:秘密密钥
对公司信息系统做审计时,审计师的第一步工作应该是()。
A:开发出战略性审计计划。
B:对公司的业务重点获得理解。
C:做初步的风险评估为基于风险的审计打下基础。
D:确定和定义审计范围和重要性。
在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是()。
A:非授权用户可以使用ID擅自进入
B:用户访问管理费时
C:很容易猜测密码
D:无法确定用户责任
在基于风险的审计方法中,IS审计师必须考虑固有风险外,也考虑?()
A:如何通过应用控制消除风险
B:潜在损失VS执行控制的成本之间的平衡
C:该风险是否重要,而不管管理者对风险的容忍度
D:残余风险是否剩余是否高于所购买的风险
下面哪一项不是黑客攻击在信息收集阶段使用的工具或命令?()
A:Nmap
B:Nslookup
C:LC
D:Xscan
在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该?()
A:实施进一步的分析
B:向审计委员会报告该问题
C:实施风险评估
D:建议IDM系统的所有者解决这个工作流成中的问题
下面关于信息系统安全保障模型的说法不正确的是()
A:国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B:模型中的信息系统生命周期模型是抽象的概念性说明模型,在信息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化
C:信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D:信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
审计章程的的主要目标是()。
A:记录企业使用的审计流程
B:审计部门行动计划的正式文件
C:记录审计师专业行为的行为准则
D:说明审计部门的权力和责任。
下列那一项不是信息安全漏洞的载体?()
A:网络协议
B:操作系统
C:应用系统
D:业务数据
如果数据中心发生灾难,下列那一项完整恢复一个关键数据库的策略是最适合的?()
A:每日备份到磁带并存储到异地
B:实时复制到异地
C:硬盘镜像到本地服务器
D:实时数据备份到本地网格存储
以下关于访问控制模型错误的是?()
A:访问控制模型主要有3种:自主访问控制、强制访问控制和基于角色的访问控制
B:自主访问控制模型允许主体显示地制定其他主体对该主体所拥有的信息资源是否可以访问
C:基于角色的访问控制RBAC中,“角色”通常是根据行政级别来定义的
D:强制访问控制MAC是“强加”给访问主体的,即系统强制主体服从访问控制政策
RS-232接口
下面哪一项访问控制模型使用安全标签(security labels)?()
A:自主访问控制
B:非自主访问控制
C:强制访问控制
D:基于角色的访问控制
微软slm将软件开发生命周期制分为七个阶段,并列出了十七项重要的安全活动。其中“弃用不安全的函数”属于()的安全活动
A:要求(rapuiroments)阶段
B:设计(design)阶段
C:实施(lmplenpentation)阶段
D:验证(venifcation)阶段
所谓网络内的机器遵循同一“协议”就是指()
A:采用某一套通信规则或标准
B:采用同一种操作系统
C:用同一种电缆互连
D:用同一种程序设计语言
组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种()。
A:控制程序.
B:控制目标
C:纠正控制
D:运行控制.
某单位上班的管理员小张在繁忙的工作中接到了一个电话,来电者:小张吗?我是科技处李强,我的邮箱密码忘记了,现在打不开邮件,我着急收个邮件,麻烦你先帮我把密码改成123,我收完邮件自己修改掉密码。热心的小张很快的满足了来电考的要求。后来,李强发现邮箱系统登录异常。 请问以下说法哪个是正确的?()
A:小张服务态度不好,如果把李强的邮件收下来亲自交给李强就不会发生这个问题
B:事件属于服务器故障,是偶然事件,应向单位领导申请购买新的服务器
C:单位缺乏良好的密码修改操作流程或者小张没有按操作流程工作
D:事件属于邮件系统故障,是偶然事件,应向单位领导申请升级邮件服务软件
信息安全保障的最终目标是()
A:掌控系统的风险,制定正确的策略
B:确保系统的保密性、完整性和可用性
C:是系统的技术、管理、工程过程和人员等安全保障质量达到要求
D:保障信息系统实现组织机构的使命
信息系统审计师正在检查一个测试流程,并得出了没有发现重要错误的审计结论。上述情形表述了哪类风险的存在?()
A:检查风险
B:审计风险
C:控制风险
D:固有风险
当评估英特网服务商提供的服务时,下面哪一项最重要()。
A:ISP产生的业绩报告
B:B.服务水平协议(SL
C:采访供应商
D:与ISP的其他客户访谈
对任何计算机系统而言,最大的威胁来自()。
A:未经培训或粗心的用户
B:供应商和承包商
C:电脑黑客
D:员工
对于新的或者现有改进的业务应用系统的审查的目的是()。
A:确定是否测试数据覆盖了所有的情况
B:进行认证和证明过程
C:评估项目是否收到预期效益
D:设计审计报告
人力资源的副总要求审计师对去年工资单中的超额支付问题进行审查。以下哪项是适用于此情形下的最好的审计技术?()
A:测试数据
B:通用审计软件
C:整合性测试设施(ITF)
D:嵌入式审计模块
在某个攻击中,由于系统用户或系统管理员主动泄漏,使得攻击者可以访问系统资源的行为被称作()
A:社会工程
B:非法窃取
C:电子欺骗
D:电子窃听
证明税收计算系统精确性的最好的方法是()。
A:对于计算程序源代码详细目测审核和分析
B:使用通用审计软件对每个月计算的总数进行重复的逻辑计算
C:为处理流程准备模拟交易,并和预先确定的结果进行比较
D:自动分析流程图和计算程序的源代码
以下哪些不是网络类资产?()
A:网络设备
B:基础服务平台
C:网络安全设备
D:主干线路
进入21世纪以来,信息安全成为世界各国安全战略关注的重点,纷纷制定并颁布网络空间安全战略,但各国历史、国情和文化不同,网络空间安全战略的内容也各不相同,以下说法不正确的是()
A:与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点
B:美国尚未设立中央政府级的专门机构处理网络信息安全问题,信息安全管理职能由不同政府部门的多个机构共同承担
C:各国普遍重视信息安全事件的应急响应和处理
D:在网络安全战略中,各国均强调加强政府管理力度,充分利用社会资源,发挥政府与企业之间的合作关系
以下哪一项是对信息系统经常不能满足用户需求的最好解释?()
A:没有适当的质量管理工具
B:经常变化的用户需求
C:用户参与需求挖掘不够
D:项目管理能力不强
在SSE-CMM中对工程过程能力的评价分为三个层次,由宏观到微观依次是()
A:能力级别-公共特征(CF)-通用实践(GP)
B:能力级别-通用实践-(GP)-公共特征(CF)
C:通用实践-(GP)-能力级别-公共特征(CF)
D:公共特征(CF)-能力级别-通用实践-(CP)
在关键文件服务中,存储增长管理的不合理导致的风险中,以下哪项最大?()
A:备份时间不断增加
B:备份操作成本会显著增加
C:存储操作成本会显著增加
D:服务器恢复工作可能不能满足恢复时间目标(RTO)
首页 <上一页 26 27 28 29 30 下一页> 尾页