注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

有关人员安全管理的描述不正确的是（）？
A:人员的安全管理是企业信息安全管理活动中最难的环节
B:重要或敏感岗位的人员入职之前，需要做好人员的背景检查
C:如职责分离难以实施，企业对此无能为力，也无需做任何工作
D:人员离职之后，必须清除离职员工所有的逻辑访问帐号

可用性和IT服务的可持续性的最佳实践应该是：（）
A:使费用减到最小与灾难恢复相结合
B:提供足够的能力满足业务需求
C:提供合理的担保满足对客户的责任
D:及时地生成性能报告

在有效的信息安全治理背景中，价值传递的主要目标是（）。
A:优化安全投资来支持业务目标
B:实施一套安全实践标准
C:制定一套标准解决方案
D:建立一个持续进步的文化

IS审计师应该最关注下面哪一种情况（）。
A:缺少对成功攻击网络的报告
B:缺少对于入侵企图的通报政策
C:缺少对于访问权限的定期审查
D:没有通告公众有关入侵的情况

能涵盖损失的最好的保险单类型是（）。
A:基本保险单
B:扩展保险单
C:特殊的涵盖所有风险的保险单
D:与风险类型相称的保险

防范密码嗅探攻击计算机系统的控制措施包括下列哪一项？（）
A:静态和重复使用的密码
B:加密和重复使用的密码
C:一次性密码和加密
D:静态和一次性密码

由于最近的一次经济滑坡，某IT组织已同几名管理员解约并将其所有的IT管理工作都合并到了中央总部进行。审计师在一次IT审计中发现，该组织在实施到各个站点的远程管理连接时，使用了低成本数字用户线路（DSL）连接，还使用了基于简单网络管理协议（SNMP）的自动化监控系统。以下哪项最令人担心？（）
A:用于远程管理的身份认证方法可能不足以实现认证的目的
B:各远程站点的物理安全保障可能不足
C:已解约的员工可能仍留有访问远程站点中系统的权限
D:连接到各远程站点时，没有通过虚拟专用网络（VPN）来实现连通性

评估应急响应计划时，下列哪一项应当最被关注？（）
A:灾难等级基于受损功能的范围，而不是持续时间
B:低级别灾难和软件事件之间的区别不清晰
C:总体应急响应计划被文档化，但详细恢复步骤没有规定
D:事件通告的职责没有被识别

下面哪一项表示了信息不被非法篡改的属性？（）
A:可生存性
B:完整性
C:准确性
D:参考完整性

选择恢复策略与方案时要考虑的因素（）。
A:防范灾难的类型、灾备中心的距离
B:数据完整性、处理性能
C:投入的成本与灾难中断的损失
D:以上所有

功能指数分析

当获得高层管理人员对灾难恢复计划的支持和制定计划所需资源的授权后，选择起草计划的人应当具有以下哪一种能力（）。
A:具有与信息系统相关的操作系统、数据库和通讯的技术知识
B:具有硬件和软件供货商咨询背景
C:具有在相同行业中的客户咨询经验
D:具有组织的全局观点和认识所有灾难后果的能力

IS审计师在审查IT设备的外包合同的时候，希望合同确定的是（）。
A:硬件配置
B:访问控制软件
C:知识产权的所有权
D:开发应用方法

当对一个组织的内部网络进行渗透测试时，下列哪些方法最好，使测试的进行在网络中未被发现？（）
A:使用现有的文件服务器或域控制器的IP地址
B:每隔几分钟，暂停扫描，让阈值重置
C:在夜间，当没有人登录时进行扫描
D:使用多个扫描工具，因为每个工具都有不同的特色

电子取证的风险可能会减少的原因是通过电子邮件的（）。
A:破坏政策
B:安全政策
C:存档政策
D:审计政策

程序目标码

可信计算机安全评估准则（TCSEC）与什么有关？（）
A:桔皮书
B:ISO 15408
C:RFC 1700
D:BS 7799

下面哪一个传播问题是有线和无线传输共有的（）。
A:Cross-talk
B:Shadow-zones
C:Attenuation
D:Multipathinterference

对信息技术保障框架的内涵和特点（IATF）理解不正确的是（）
A:基于PDCA思想构建攻防一体化安全体系
B:对信息系统进行多层防护
C:IATF描述了保护领域的安全需求和相应的可选择措施
D:它体现了分层、深度、强健性的防御特点

下列哪种能力成熟程度模型的层次确保实现基本项目管理控制（）。
A:重复（2级）
B:定义（3级）
C:管理（4级）
D:优化（5级）

《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于资产分类的描述正确的是：（）
A:具体的资产分类方法可以根据评估对象的要求；
B:资产有多种表现形式；同样的两个资产即使属于不同的信息系统，重要性依然相同。
C:根据资产的表现形式，可将资产分为数据、软件、硬件、服务等类型。
D:根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。

一个信息系统审计师得知IT部门正在考虑一项计划，将遍布世界各地的办事处使用的应用程序从集中式用户访问管理切换到分布式管理。所有的应用程序集中在总公司的数据中心。根据新的计划，每个国家都将有一个本地管理员负责管理和维护本地用户访问。信息审计师应该就此计划相关的风险提出怎样的建议？（）
A:这个计划是不能接受的，因为增加了未经授权的用户访问的风险
B:这个计划是可以接受的，只要所有用户访问是由总公司的高级管理层批准
C:这个计划是不能接受的，因为本地管理员可能缺乏相应的安全技能或培训
D:这个计划是可以接受的，只要有适当的监督控制和充分的用户访问权限级别批准

在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题（）
A:SSH
B:HTTP
C:FTP
D:SMTP

职责分离是信息安全管理的一个基本概念，其关键是权力不能过分集中在某一个人手中。职责分离的目的是确保没有单独的人员（单独进行操作）可以对应用程序系统特征或控制功能进行破坏。当以下哪一类人员访问安全系统软件的时候，会造成对“职责分离”原则的违背？（）
A:数据安全管理员
B:数据安全分析员
C:系统审核员
D:系统程序员

在应用程序开发项目的系统测试阶段，IS审计师应当审查：（）
A:概要设计文档
B:开发商合同
C:错误报告
D:程序变更请求

IS审计师在执行一项独立系统分类审计时，应该把系统可以在可接受成本范围内进行长期手动运行的系统分类为？（）
A:关键的
B:重要的
C:敏感的
D:不关键的

在有异议的情况下，离开审计面谈中，考虑到结果的影响，IS审计师应该（）。
A:要求被审计人员以签名的形式接受所有法律责任
B:阐述调查的意义和不纠正的风险
C:向审计委员会报告有异议的情况
D:接收被审计方的意见，因为他们有处理的所有权

TCP/IP协议将Internet分为五个层次分别是（）
A:应用层、传输层、互联网层、网络接口层、物理层
B:应用层、表示层、会话层传输层、网络层
C:会话层传输层、网络层、数据链路层、物理层
D:表示层、会话层传输层、网络层、数据链路层

在审查系统参数时，审计时首先应关注：（）
A:参数设置符合安全性和性能要求
B:变更记入审计轨迹并定期审查
C:变更被合适的文档进行授权和支持
D:对系统中参数的访问被严格限制

首页 <上一页 40 41 42 43 44 下一页> 尾页