出自:注册信息安全专业人员(CISA,CISO,CISE)

风险分析的一个关键因素是()。
A:审计计划.
B:控制
C:弱点.Vulnerabilities
D:负债liabilities
金融机构利用专家系统管理授信额度IS审计师审查系统最应关注的是()。
A:确认系统的数据输入
B:知识库中不同层次的经验和技巧
C:访问控制设置
D:实施处理控制
在进行灾难恢复需求分析的过程中,进行哪项工作可以帮助充分了解技术系统对业务重要性?()
A:业务影响分析
B:确定灾难恢复目标
C:制定灾难恢复策略
D:制定灾难恢复预案
操作员主控台
关于《商用密码管理条例》,正确的是()
A:商用密码技术属于国家机密
B:商用密码可以对涉及国家秘密内容的信息进行加密保护
C:国家对商用密码产品的科研、生产、销售和使用实行认证管理
D:国内用户可以使用自行研制的或者境外生产的密码产品
下列哪项最好的支持通讯可用性()。
A:动态实时告警系统做网络监控
B:集成的纠正性网络控制
C:冗余
D:高速网络吞吐率
为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成?()
A:确保风险评估过程是公平的
B:因为风险正是由于这些来自不同部门的人员所引起的,因此他们应该承担风险评估的职责
C:因为不同部门的人员对本部门所面临的风险最清楚,由此进行的风险评估也最接近于实际情况
D:风险评估团队不应该由来自不同部门的人员组成,而应该由一个来自公司外部的小型团队组成
员工或外单位的工作人员离开组织或岗位变化时,必须进行以下的管理程序除了()
A:明确此人不再具有以前的职责
B:确保归还应当归还的资产
C:确保属于以前职责的访问权限被撤销
D:安全管理员陪同此人离开工作场所
以下哪项是针对数据和系统所有权的政策定义不当所带来的最大风险()。
A:不存在用户管理协调
B:无法确定明确的用户责任
C:未授权用户可能获得创建、修改或删除数据的权限
D:审计建议可能不会实施
下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能?()
A:系统认证和完整性,完整性,真实性和完整性,机密性和完整性
B:用户认证和完整性,完整性,真实性和完整性,机密性
C:系统认证和完整性,完整性,真实性和完整性,机密性
D:系统认证和完整性,完整性和机密性,真实性和完整性,机密性
IS审计师发现正在开发的系统有12个相互联系的模块,每个模块的数据涉及到10多个领域。系统每年处理几百万个交易。IS审计师用下面哪种技术评价开发的规模()。
A:计划评审技术(PERT)
B:SLOC
C:功能点分析
D:白盒测试
一个组织在广泛地地理区域有一定数量的分支机构。在成本效益的原则下,为了确保灾难恢复计划的所有方面都评估到,一个IS审计师应该建议使用以下哪项?()
A:数据恢复测试
B:全盘测试
C:后续测试
D:准备测试
不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况选择适当的风险评估方法。下面的描述中错误的是()。
A:定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和缺失量
B:定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C:定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关
D:定性风险分析更具主观性,而定量风险分析更具客观性
以下哪项功能由虚拟专用网络(VPN)执行()
A:向网络中的探嗅器隐藏信息
B:实施安全政策
C:检测滥用或错误
D:控制访问
管理cyberattack风险的第一步是()。
A:评估弱点的影响
B:评估威胁的可能性
C:确认关键信息资产
D:评估潜在的破坏
在一个有多子系统的远程访问网络里,下面哪个选项是最好的控制?()
A:代理服务器
B:安装防火墙
C:网络管理员
D:密码实施及管理
以下哪一个不是VLAN的划分方式?()
A:根据TCP端口来划分
B:根据MAC地址来划分
C:根据IP组播划分
D:根据网络层划分
按照SSE—CMM,能力级别第三级是指()。
A:定量控制
B:计划和跟踪
C:持续改进
D:充分定义
以下关于“最小特权”安全管理原则理解正确的是()。
A:组织机构内的特敏岗位不能由一个人长期负责
B:对重要的工作进行分解,分配给不同人员完成
C:一个人有且仅有其执行岗位所足够的许可和权限
D:防止员工由一个岗位变动到另一个岗位,累计越来越多的权限
依据GB/T24364-2009《信息安全技术信息安全应急响应计划规范》,应急响应方法论的响应过程的第二步是()
A:准备
B:确认
C:遏制
D:根除
以下哪一个数据传输方式难以通过网络窃听获取信息?()
A:FTP传输文件
B:TELNET进行远程管理
C:URL以HTTPS开头的网页内容
D:经过TACACS+认证和授权后建立的连接
软件发展的瀑布模型,用于下面的哪一种情况时最为适当的()。
A:理解了需求,并且要求需求保持稳定,尤其是开发的系统所运行的业务环境没有变化或变化很小
B:需求被充分地理解,项目又面临工期压力
C:项目要采用面向物件的设计和编程方法
D:项目要引用新技术
关于ISO/IEC21827:2002(SSE-CMM)描述不正确的是()
A:SSE-CMM是关于信息安全建设工程实施方面的标准
B:SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程
C:SSE-CMM模型定义了一个安全工程应有的特征,这些特征是完善的安全工程的根本保证
D:SSE-CMM是用于对信息系统的安全等级进行评估的标准
对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为()。
A:回馈错误控制
B:块求和校验
C:转发错误控制
D:循环冗余校验
以下哪一项不是信息安全风险分析过程中所要完成的工作()
A:识别用户
B:识别脆弱性
C:评估资产价值
D:计算机安全事件发生的可能性
为了帮助用户成功测试和验收一个企业资源规划(ERP)薪资管理系统,以替换现存旧版系统,下面哪种方法是最好的?()
A:多重测试
B:并行测试
C:集成测试
D:原型测试
一个组织的网络设备的资产价值为100000元,一场意外火灾使其损坏了价值的25%,按照经验统计,这种火灾一般每5年发生一次,年预期损失ALE为()。
A:5000元
B:10000元
C:25000元
D:15000元
为确保业务连续性计划(BCP)及时更新,下列哪个是最好的方法?()
A:组织针对不同的场景,进行BCP计划全面演习
B:组织确保特定系统可以在异地备用设备上执行
C:组织了解完善的BCP测试
D:进行部门间的沟通,更为有效的应对灾难的情况
关于SSE-CMM的描述错误的是()。
A:1993年4月美国国家安全局资助,有安全工业界,英国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组
B:SSE-CMM的能力级别分为6个级别
C:SSE-CMM讲安全工程过程划分为三类:风险、工程和保证
D:SSE的最高能力级别是量化控制
以下只用于密钥交换的算法是()。
A:RSA
B:ECC
C:DH
D:RC4
首页 <上一页 32 33 34 35 36 下一页> 尾页