出自:注册信息安全专业人员(CISA,CISO,CISE)

在制定控制前,管理层首先应该保证控制()。
A:满足控制一个风险问题的要求
B:不减少生产力
C:基于成本效益的分析
D:检测行或改正性的
以下哪一项不是IDS可以解决的问题?()
A:弥补网络协议的弱点
B:识别和报告对数据文件的改动
C:统计分析系统中异常活动模式
D:提升系统监控能力
IP欺骗(IP Spoof)是利用TCP/IP协议中()的漏洞进行攻击的。
A:对源IP地址的鉴别方式
B:结束会话时的四次握手过程
C:IP协议寻址机制
D:TCP寻址机制
组织的管理层决定建立一个安全通告程序。下面哪一项可能是程序的一部分()。
A:利用入侵侦测系统报告事件
B:授权使用密码访问所有软件
C:安装高效的用户日志系统,以追踪记录每个用户的行为
D:定期培训所有当前员工和新进员工
在计划渗透测试时最重要的成功因素是()。
A:计划测试过程的文档
B:计划和决定测试的时间长度
C:客户组织管理层的参与
D:参与测试的人员的资格和经验
审计师为了审计公司的战略计划,以下哪项第一个检查()。
A:目前架构的细节。
B:去年、今年、明年的预算。
C:组织流程图。
D:公司的业务计划。
中层软件
下列对SSLVPN描述正确的是()
A:SSLVPN可以穿透任何防火墙的限制
B:SSLVPN不需要安装客户端可以非常灵活的接入到网络中
C:SSLVPN可以在任何移动设备上登陆
D:SSLVPN可以实现严格的访问控制和访问权限
以下哪一项信息资源访问规则会对访问控制的有效性产生最大影响()。
A:知所必需的原则
B:最小授权的原则
C:职责分离的原则
D:授权延伸的原则
在信息安全风险管理体系中分哪五个层面?()
A:决策层、管理层、执行层、支持层、用户层
B:决策层、管理层、建设层、维护层、用户层
C:管理层、建设层、运行层、支持层、用户层
D:决策层、管理层、执行层、监控层、用户层
在linux系统中磁盘分区用哪个命令:()
A:fdisk
B:mv
C:mount
D:df
使用非屏蔽双绞线(UTP)电缆进行数据通信相比于其他铜质电缆的好处之一是,UTP电缆()
A:减少双绞线之间的串扰
B:提供线路窃听防护
C:可用于长距离网路
D:安装简单
《刑法》第六章第285.286,287条对计算机犯罪的内容和量刑进行了明确的规定,以下哪一项不是其中规定的罪行?()
A:非法侵入计算机信息系统罪
B:破坏计算机信息系统罪
C:利用计算机实施犯罪
D:国家重要信息系统管理者玩忽职守罪
下面哪一个选项最能有效地确定在业务应用系统中重叠的关键控制?()
A:审计附加到复杂业务流程的系统功能
B:通过ITF(集成测试设施)提交测试交易
C:用自动化审计解决方案替换手工监测
D:对控制进行测试以验证测试是否有效
下列哪个确保在互联网上传送的信息的保密性?()
A:数字签名
B:数字证书
C:在线证书状态协议
D:私钥密码系统
下面哪一种安全措施可以允许调查人员有足够的反应时间()。
A:阻止
B:检测
C:拖延
D:拒绝
下面哪一项是对于通信组件失败/错误的控制()。
A:限制操作访问,维护审计轨迹
B:监督和审查系统活动
C:提供网络冗余
D:确定数据通过网络传输的物理屏障
组织通过风险评估的完成威胁和脆弱性分析,最终报告建议主要互联网网关应部署入侵防御系统(IPS),此外所有的业务单位应通过代理防火墙隔离。为确保控制是否该实施,以下哪个是最好的方法?()
A:成本效益分析
B:年率预期损失计算
C:比较IPS、防火墙和业务系统成本
D:业务影响分析(BIA)
进行符合性测试的时候,下面哪一种抽样方法最有效()。
A:属性抽样
B:变量抽样
C:平均单位分层抽样
D:差别估算
做下面哪一项在峰值使用时间回导致以外掉线?()
A:进行数据迁移或磁带备份
B:进行电子系统预防性维护
C:将应用从开发环境提升到生产系统
D:替换数据中的主要路由器的供电配件
在新系统设计中建立停止或“冻结点”的原因是:()
A:组织以后对项目过程的改动
B:标志软件设计将要完成的点
C:冻结点后的变更需求需要进行成本效益评估
D:为项目管理团队提供更多的项目计划
软件安全保障的思想是在软件的全生命周期中贯彻风险管理的思想,在有限资源前提下实现软件安全最优防护,避免防范不足带来的直接损失,也需要关注过度防范造成的间接损失。在以下软件安全开发策略中,不符合软件安全保障思想的是()
A:在软件立项时考虑到软件安全相关费用,经费中预留了安全测试、安全评审相关费用,确保安全经费得到落实
B:在软件安全设计时,邀请软件安全开发专家对软件架构设计进行评审,及时发现架构设计中存在的安全不足
C:确保对软编码人员进行安全培训,使开发人员了解安全编码基本原则和方法,确保开发人员编写出安全的代码
D:在软件上线前对软件进行全面安全性测试,包括源代码分析、模糊测试、渗透测试,未经以上测试的软件不允许上线运行
语音信件
定义ISMS范围时,下列哪项不是考虑的重点?()
A:组织现有的部门
B:信息资产的数量与分布
C:信息技术的应用区域
D:IT人员数量
审查管理层的长期战略计划有助于审计师()。
A:了解一个组织的宗旨和目标
B:测试企业的内部控制
C:评估组织队信息系统的依赖性
D:确定审计所需的资源
下列哪一项代表缺乏充分的安全控制?()
A:威胁
B:资产
C:影响
D:漏洞
小张是信息安全风险管理方面的专家,被某单位邀请过去对其核心机房经受某种灾害的风险进行评估,已知:核心机房的总价价值一百万,灾害将导致资产总价值损失二成四(24%),历史数据统计告知该灾害发生的可能性为八年发生三次,请问小张最后得到的年度预期损失为多少()
A:24万
B:0.09万
C:37.5万
D:9万
一个信息系统审计师在评审组织从一场没有留下任何关键数据的灾难中恢复,下列哪个指标是被错误的定义的?()
A:中断窗口
B:恢复时间目标
C:提供服务的目标
D:恢复点目标(RPO)
在客户服务体系,以下哪种技术用于检测已知和未知用户的活动()。
A:diskless工作站
B:数据加密技术
C:网络监控设备
D:认证制度
成功的实施控制自我评估(CSA)需要高度依赖()。
A:一线管理人员承担部分监督管理责任
B:安排人员负责建设build管理,而不是监督、控制
C:实施严格的控制策略,和规则驱动的控制
D:监督实施和并对控制职责进行监督monitoring
首页 <上一页 38 39 40 41 42 下一页> 尾页