出自:注册信息安全专业人员(CISA,CISO,CISE)

下面哪一项最好地描述了组织机构的安全策略?()
A:定义了访问控制需求的总体指导方针
B:建议了如何符合标准
C:表明管理者意图的高层陈述
D:表明所使用的技术控制措施的高层陈述
以下关于信息安全法治建设的意义,说法错误的是()
A:信息安全法律环境是信息安全保障体系中的必要环节
B:明确违反信息安全的行为,并对该行为进行相应的处罚,以打击信息安全犯罪活动
C:信息安全主要是技术问题,技术漏洞是信息犯罪的根源
D:信息安全产业的逐渐形成,需要成熟的技术标准和完善的技术体系
生物测定系统操作回顾时,信息系统审计师应首先回顾哪个活动?()
A:注册
B:辨识
C:确认
D:存储
关于PKI/CA证书,下面哪一种说法是错误的?()
A:证书上具有证书授权中心的数字签名
B:证书上列有证书拥有者的基本信息
C:证书上列有证书拥有者的公开密钥
D:证书上列有证书拥有者的秘密密钥
当审查局域网实施时,IS审计师应该首先审查()。
A:节点列表
B:验收报告
C:网络图
D:用户列表
某个基于TCP/IP的环境暴露于互联网中。以下哪项最能确保在传输信息时存在完整的加密和身份认证协议来保护消息?()
A:在具有IP安全的隧道模式下,使用身份认证头(AH)和封装安全负载(ESP)嵌套的服务来完成工作
B:采用RSA的数字签名已实施
C:使用采用RSA的数字认证
D:在TCP服务中完成工作
根据灾难恢复演练的深度不同,可以将演练分为三个级别,这三个级别按演练深度由低到高的排序正确的是?()
A:系统级演练、业务级演练、应用级演练
B:系统级演练、应用级演练、业务级演练
C:业务级演练、应用级演练、系统级演练
D:业务级演练、系统级演练、应用级演练
以下哪一项是对数据库管理员行为的控制()。
A:系统故障后,数据库检查点的重启过程
B:数据库压缩以便减少使用空间
C:监督审查访问日志
D:备份和恢复程序,确保数据库可用性
经过全面的应急操作测试后,IS审计师审查恢复步骤时,发现将技术环境和系统恢复到全面运行的时间超出了要求的关键恢复时间。审计师应该建议:()
A:进行恢复任务的整体审查
B:扩大处理能力赢得恢复时间
C:改进设备的使用结构
D:增加恢复工作的人手
IPSECVPN与SSLVPN的区别描述正确的是()
A:IPSECVPN与SSLVPN没有区别,都是VPN
B:IPSECVPN与SSLVPN区别在于两者使用的方式不一样,实现的功能基本一样
C:IPSECVPN与SSLVPN区别在于IPSEC使用的是三层协议
D:IPSECVPN与SSLVPN的区别是IPSEC可以实现sitetosite,ssl无法实现
接收EDI交易并通过通讯接口站(stage)传递通常要求()
A:转换和拆开交易
B:选择验证程序
C:把数据传递给适当的应用系统
D:建立一个记录接收审计日志的点
信息系统管理者决定在所有服务器上安装一套RAID.1系统以补偿异地备份的缺失。信息系统审计师应该建议:()
A:升级到RAID5
B:增加现场备份的频率
C:恢复系统备份功能
D:在安全地点建立一套站
以下哪一项计算机安全程序的组成部分是其它组成部分的基础?()
A:制度和措施
B:漏洞分析
C:意外事故处理计划
D:采购计划
生产环境中,确定每个应用系统的重要程序的最佳方法是()。
A:约见、面谈开发应用的程序员
B:实施差异分析
C:检查最近的应用审计
D:实施业务影响分析
安全开发制度中,QA最关注的的制度是()。
A:系统后评价规定
B:可行性分析与需求分析规定
C:安全开发流程的定义、交付物和交付物衡量标准
D:需求变更规定
以下哪项不是信息安全的主要目标?()
A:确保业务连续性
B:保护信息免受各种威胁的损害
C:防止黑客窃取员工个人信息
D:投资回报和商业机遇最大化
下面对于访问控制模型分类的说法正确的是()
A:BLP模型和Biba模型都是强制访问控制模型
B:Biba模型和ChineseWall模型都是完整性模型
C:访问控制矩阵不属于自主访问控制模型
D:基于角色的访问控制属于强制访问控制
宏病毒是一种专门感染微软office格式文件的病毒,下列()文件不可能感染该病毒。
A:*.exe
B:*.doc
C:*.xls
D:*.ppt
在一个单机运行的微型计算机或网络服务器环境下,防止程序被盗窃和使系统免受病毒威胁的有效预防性措施不包括以下哪一条()。
A:提醒员工不要在非授权的情况下拷贝任何存放在计算机硬盘上受保护的可执行程序
B:禁止任何人从一张软盘拷贝可执行程序到另一张软盘
C:不允许有任何从软件拷贝可执行程序到硬盘的企图
D:禁止任何人从“外来的”软盘上执行任何程序
以下哪个选项是缺乏适当的安全控制的表现?()
A:威胁
B:脆弱性
C:资产
D:影响
在生成数据对新的或者更改过的应用程序系统进行逻辑测试时,以下哪些是最关键的()。
A:对每一个测试范例都有足量的数据
B:数据代表了所期望的实际处理过程的数据
C:按日程表完成测试
D:实际数据的随机抽样
以下哪一个是监控审计日志最大的风险()。
A:日志没有定期备份
B:记录例行公事
C:程序使日志不记载
D:非授权的系统行为被记录,但是没有深入调查
在风险管理工作中“监控审查”的目的,一是();二是()。
A:保证风险管理过程的有效性;保证风险管理成本的有效性
B:保证风险管理结果的有效性;保证风险管理成本的有效性
C:保证风险管理过程的有效性;保证风险管理活动的决定得到认可
D:保证风险管理结果的有效性;保证风险管理活动的决定得到认可
初步调查之后,审计员发现有理由相信欺骗的存在。IS审计员应该:()
A:展开行动确定调查是否合理
B:将事情报告至审计委员会
C:将欺骗可能性报告给高层,高层管理询问是否继续
D:咨询外部法律顾问以决定采取什么及如何行动
建立可接受风险的级别是下面哪个的责任?()
A:质量评估管理
B:高级业务管理
C:首席信息官
D:首席安全管
建议对交易处理申请进行多个数据快照和打印电子表格的作用是为了确保交易在处理过程中不丢失,IS审计师应当建议应当包括以下那种控制()
A:确认控制
B:内部可信性检查
C:文件控制程序
D:自动系统平衡性检查
对攻击面(Attacksurface)的正确定义是()。
A:一个软件系统可被攻击的漏洞的集合,软件存在的攻击面越多,软件的安全性就越低
B:对一个软件系统可以采取的攻击方法集合,一个软件的攻击面越大安全风险就越大
C:一个软件系统的功能模块的集合,软件的功能模块越多,可被攻击的点也越多,安全风险也越大
D:一个软件系统的用户数量的集合,用户的数量越多,受到攻击的可能性就越大,安全风险也越大
以下关于信息安全工程说法正确的是()
A:信息化建设中系统功能的实现是最重要的
B:信息化建设可以先实施系统,而后对系统进行安全加固
C:信息化建设中在规划阶段合理规划信息安全,在建设阶段要同步实施信息安全建设
D:信息化建设没有必要涉及信息安全建设
当选择的控制措施成本高于风险带来的损失时,应考虑()。
A:降低风险
B:转移风险
C:避免风险
D:接受风险
哪项为事先加强安全设定提供了最相关的信息().
A:堡垒主机
B:入侵监测系统
C:蜜罐
D:入侵预防系统
首页 <上一页 35 36 37 38 39 下一页> 尾页