出自:注册信息安全专业人员(CISA,CISO,CISE)

最终用户计算机应用
下列对审计系统基本组成描述正确的是()
A:审计系统一般包含三个部分:日志记录、日志分析和日志处理
B:审计系统一般包含两个部分:日志记录和日志处理
C:审计系统一般包含两个部分:日记记录和日志分析
D:审计系统一般包含三个部分:日志记录、日志分析和日志报告
在审查客户主文件的时候,IS审计师发现很多客户的名字相同,为了进一步确定重复程度,IS设计师应该()。
A:测试数据以确认输入数据
B:测试数据以确定系统排序能力
C:用通用审计软件确定地址字段的重复情况
D:用通用审计软件确定帐户字段的重复情况
一家银行多年来一直将其异地备份介质和记录存储外包给同一家公司,因为非常熟悉,所以允许银行工作人员不走正式程序即可检索磁带,这种做法对银行的最大风险是以下哪一项()
A:备份介质可能会因事故而丢失或损坏
B:机密文档可能会被未授权的人员看到
C:未经授权的第三方员工可能获得银行数据
D:银行员工可能会有欺诈行为而不会留下审计轨迹
预防性控制
同行peer审查要发现软件开发活动中的错误被称为()。
A:仿真技术
B:结构穿行测试
C:模块程序技术
D:从上到下程序结构
一位IS审计师正在审查某组织的的扩展计划,该组织要在距离现有设施约80米处开设一间新办公室。该计划是在新设施内实施光纤连接,已确定安装100米长的5类(Cat5)无屏蔽双绞线(UTP)电缆,以在两座建筑物之间建立连接。对于此扩展计划,IS审计师应确定的主要风险是什么?()
A:建筑物之间的链路可能无法满足长期业务要求
B:光纤电缆的安装和维护成本高
C:实施计划可能无法实现
D:新建筑物距离现有设施太近(一次灾难可能会破坏两个站点)
实施安全程序能够加强下列所有选项,除了:()
A:数据完整性
B:安全意识教育
C:数据准确性
D:保护资产
当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道()。
A:当数据流通过系统时,其作用的控制点。
B:只和预防控制和检查控制有关.
C:纠正控制只能算是补偿.
D:分类有助于审计人员确定哪种控制失效
以下哪一项最适当的描述了IS审计师和被审计单位就审计发现进行讨论的目的?()
A:把审计结果告知高层管理人员
B:为所提的建议制定出实施时间表
C:确认审计发现,并制定纠正措施的实施计划
D:为识别的风险确定补偿控制
关于加密算法的应用范围,说话正确的有()。
A:DSS用于数字签名,RSA用于加密和签名
B:DSS用于密钥交换,IDEA用于加密和签名
C:DSS用于数字签名,MD5用于加密和签名
D:DSS用于加密和签名,MD5用于完整性效验
以下哪一种模型用来对分级信息的保密性提供保护?()
A:Biba模型和Bell-LaPadula模型
B:Bell-LaPadula模型和信息流模型
C:Bell-LaPadula模型和Clark-Wilson模型
D:Clark-Wilson模型和信息流模型
windows文件系统权限管理作用访问控制列表(Access Control List.ACL)机制,以下哪个说法是错误的()
A:安装Windows系统时要确保文件格式使用的是NTFS,因为Windows的ACL机制需要NTFS文件格式的支持
B:由于windows操作系统自身有大量的文件和目录,因此很难对每个文件和目录设置严格的访问权限,为了作用上的便利,Windows上的ACL存在默认设置安全性不高的问题
C:windows的ACL机制中,文件和文件夹的权限是与主体进行关联的,即文件夹和文件的访问权限信息是写在用户数据库中
D:由于ACL具有很好的灵活性,在实际使用中可以为每一个文件设定独立的用户的权限
下面哪一项整体测试检查数据的准确性、完整性、一致性和授权()。
A:数据
B:关系
C:领域
D:参考
组织实施新的系统取代遗产系统。下面哪一种转换做法将造成最大的风险()。
A:pilot计划
B:平行
C:直接切换
D:分阶段
RPC系列标准是由()发布的
A:国际标准化组织(ISO)
B:国际电工委员会(IEC)
C:国际贸易中心(ITC)
D:互联网工程任务组IETF
下面哪个组合不是信息资产?()
A:硬件、软件、文档资料
B:关键人员
C:组织提供的信息服务
D:桌子、椅子
拒绝服务攻击导致的危害中,以下哪个说法是不正确的()
A:网络带宽被耗尽,网络被堵塞,无法访问网络
B:主机资源被耗尽,主机无法响应请求
C:应用资源被耗尽,应用无法响应请求
D:应用系统被破坏,应用无法响应请求
信息技术安全评估通用标准(cc)标准主要包括哪几个部分?()
A:通用评估方法、安全功能要求、安全保证要求
B:简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南
C:简介和一般模型、安全功能要求、安全保证要求
D:简介和一般模型、安全要求、PP和ST产生指南
管理体系审计员进行通信访问控制审查,首先应该关注()。
A:维护使用各种系统资源的访问日志
B:在用户访问系统资源之前的授权和认证
C:通过加密或其他方式对存储在服务器上数据的充分保护
D:确定是否可以利用终端系统资源的责任制和能力
风险评估不包括以下哪个活动()
A:中断引入风险的活动
B:识别资产
C:识别威胁
D:分析风险
最优质的软件实现()。
A:通过全面测试
B:发现并快速纠正编程错误
C:通过用可用的时间和预算确定测试数量
D:通过使用定义明确的流程和对整个项目的结构审查
神经网络能有效地发现欺诈,因为他们可以()。
A:可以发现新的趋势由于线性遗传
B:解决无法获得大量通用数据的问题
C:攻击的问题需要考虑输入大量变量
D:假定与输出变量相关的曲线的形状
下面哪一项可以将电子邮件从一个网络传送到另一个格式,使信息可以穿过网络()。
A:网关
B:协议转换器
C:前端处理机
D:集中器/复用器
IS审计师获取充分和合适的审计证据的最重要的原因是:()
A:遵从法规的要求
B:提供推导出合理结论的基础
C:确认完整的审计内容
D:根据定义的范围执行审计
评估BCP时,下列哪一项应当最被关注?()
A:灾难等级基于受损功能的范围,而不是持续时间
B:低级别灾难和软件事件之间的区别不清晰
C:总体BCP被文档化,但详细恢复步骤没有规定
D:宣布灾难的职责没有被识别
安全管理员
在设计新系统时确定停止或冻结点的原因是()。
A:防止对运行中项目的进一步修改
B:说明在什么时候可以完成设计
C:要求在这一点改变后评估成本效益
D:为项目管理团队系统对于项目设计提供更多的控制
下列哪类设备可以实时监控网络数据流?()
A:基于网络的IDS
B:基于主机的IDS
C:基于应用的IDS
D:基于防火墙的IDS
某移动智能终端支持通过指纹识别解锁系统的功能,与传统的基于口令的鉴别技术相比,关于此种鉴别技术说法不正确的是()
A:所选择的特征(指纹)便于收集、测量和比较
B:每个人所拥有的指纹都是独一无二的
C:指纹信息是每个人独有的,指纹识别系统不存在安全威胁问题
D:此类系统一般由用户指纹信息采集和指纹信息识别两部分组成
首页 <上一页 33 34 35 36 37 下一页> 尾页