出自:注册信息安全专业人员(CISA,CISO,CISE)

在用户完成了验收程序后,IS审计师正在对应用系统进行审计,下面哪一项是IS审计师最关注的()。
A:判断是否测试目标被文档记录
B:评估是否用户记录了预计的测试结果
C:审查是否已完成测试问题记录
D:审查是否存在尚未解决的问题
下列哪个协议可以防止局域网的数据链路层的桥接环路?()
A:HSRP
B:STP
C:VRRP
D:OSPF
以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中?()
A:删除一个记录
B:改变一个口令
C:泄露一个口令
D:改变访问权限
某公司正在对一台关键业务服务器进行风险评估,该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生1次。根据以上信息,该服务器的年度预期损失值(ALE)是多少?()
A:1800元
B:62100元
C:140000元
D:6210元
为了达到组织灾难恢复的要求,备份时间间隔不能超过()。
A:服务水平目标(SLO)
B:恢复时间目标(RTO)
C:恢复点目标(RPO)
D:停用的最大可接受程度(MAO)
公司数据库管理员(DBA)的一台笔记本电脑被盗,其中包含生产数据库密码文件。该企业应首先采取什么行动()
A:向IS审计部门发送报告
B:更改DBA账户名称
C:暂停DBA账户
D:更改数据库密码
当实施数据仓库时,下面哪一个是最大的风险()。
A:生产系统反应时间增加
B:防止修改数据的访问控制不足
C:数据重复
D:数据没有更新或没有最新数据
一个公司正在实施控制自我评估项目,审计师应该作为什么角色参与()。
A:监督者
B:推动者
C:项目领导者
D:审计师不应该参与公司控制自我评估项目,因为他这样做可能会引起利益冲突
下列关于kerckhofff准则的说法正确的是()
A:保持算法的秘密性比保持密钥的秘密性要困难的多
B:密钥一旦泄漏,也可以方便的更换
C:在一个密码系统中,密码算法是可以公开的,密钥应保证安全
D:公开的算法能够经过更严格的安全性分析
在密码认证体系中应明确指定使用何种加密算法,以下哪一种认证体系能降低计算机网络系统中的人员冒充风险()。
A:基于Kerberos的认证体系
B:基于口令的认证体系
C:基于ID卡的认证体系
D:基于智能令牌的认证体系
安装活动目录时会同时创建DNS的主要区域,区域记录不全会导致目录服务异常,可通过重启Windows的()来重写DNS区域?()
A:Server服务
B:NetLogon服务
C:Messenger服务
D:NetworkDDE服务
安全标志和访问控制策略是由下面哪一个访问控制制度所支持的?()
A:基于身份的制度
B:基于身份认证的制度
C:用户指导制度
D:强制访问控制制度
指导和规范信息安全管理的所有活动的文件叫做()?
A:过程
B:安全目标
C:安全策略
D:安全范围
《GB/T20274信息系统安全保障评估框架》中的信息系统安全保障级中的级别是指()。
A:对抗级
B:防护级
C:能力级
D:监管级
一个长期的雇员具有很强的技术背景和管理经验,申请审计部门的一个职位。是否聘用他,应基于个人的经验和:()
A:服务年限的长短,因为这将有助于确保技术能力。
B:年龄,(年纪太大的话)在审计技术培训时可能不切实际。
C:信息系统知识,因为这将加强审计的可信度
D:能力,作为信息系统审计师,将独立于现有的信息系统
网络管理员最不应该与下列哪个角色共享责任()。
A:质量保障。
B:系统管理员。
C:应用程序员。
D:系统分析员。
以下哪一项面向对象的技术特征可以提高数据的安全级别?()
A:继承
B:动态仓库
C:封装
D:多态性
负责制定、执行和维护内部安全控制制度的责任在于()。
A:IS审计员
B:管理层
C:外部审计师
D:程序开发人员
对于组织在异地建立的灾备中心,以下说法错误的是()。
A:灾备中心应建立并维护一份完整的数据存储介质目录
B:灾备中心的安全等级应该与生产中心的安全等级保持一致
C:灾备中心的规模和处理能力应该与生产中心的规模和处理能力保持一致
D:灾备中心应具备在一段时间内提供持续运行的能力
一个程序使用FirecallIDs,符合提供的操作手册,可以访问产品环境并作出非授权改变。下面哪一个可以防止这种情况发生()。
A:撤销
B:监控
C:授权
D:重置
在制定灾难恢复与应急计划时,下面哪一种情况不是正确的考虑()。
A:对应急计划测试与维护应当是一个持续过程
B:在异地恢复站点恢复系统处理能力时要用到的所有资源与材料应当是可获得的
C:所有相对不重要的工作没有必要恢复
D:在多个站点的环境下,应当为每一个计算机中心制定一份单独的恢复计划
在IS部门中,下面哪一项IS审计师认为是和IS部门的短期计划最相关的()。
A:资源分配
B:保持技术的领先水平
C:进行评估自我控制
D:硬件需求评估
为开发一个成功的业务持续性计划,在下列哪个阶段,最终用户的参与是最关键的()。
A:业务恢复战略
B:详细计划的开发
C:业务影响分析
D:测试和维护
安全策略体系文件应当包括的内容不包括()。
A:信息安全的定义、总体目标、范围及对组织的重要性
B:对安全管理职责的定义和划分
C:口令、加密的使用是阻止性的技术控制措施
D:违反安全策略的后果
美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术系统划分为()
A:内网和外网两个部分
B:本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分
C:用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分
D:用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全防护措施六个部分
合适的信息资产存放的安全措施维护是谁的责任?()
A:安全管理员
B:系统管理员
C:数据和系统所有者
D:系统运行组
以下哪种系统或工具可以辨识是否为被盗信用卡事务?()
A:入侵检测系统
B:数据挖掘技术
C:防火墙
D:包过滤路由器
IS审计师准备审计报告时需要确认对审计结果的支持来源于?()
A:IS管理层的声明
B:其它审计员的工作报告
C:组织的控制自我评估
D:充分、合适的审计证据
ESP协议AH协议使用的协议号分别是()
A:ESP协议使用的IP49协议,AH协议使用的是IP50协议
B:ESP协议使用的IP50协议,AH协议使用的是IP51协议
C:ESP协议使用的IP51协议,AH协议使用的是IP52协议
D:ESP协议使用的IP50协议,AH协议使用的是IP49协议
以下windows服务的说法错误的是()。
A:为了提升系统的安全性管理员应尽量关闭不需要的服务
B:可以作为独立的进程运行或以DLL的形式依附在Svchost.exe
C:windows服务只有在用户成功登陆系统后才能运行
D:windows服务通常是以管理员的身份运行的
首页 <上一页 36 37 38 39 40 下一页> 尾页