出自:注册信息安全专业人员(CISA,CISO,CISE)

信息系统审计员注意到一个没有窗户的房里有电话交换机,网络设备和文件档案。这个房间装有两个手持灭火器--一个装二氧化碳,另一个装卤代烷。在审计师报告里,下面哪个选项是最高优先权?()
A:卤代烷灭火器应该被移除,应该卤代烷对大气层有负面影响
B:在一个密封的房间里使用这两种灭火器会有窒息的危险
C:二氧化碳灭火器应该被移除,因为二氧化碳没有灭由纸引起的火
D:文件档案应该从设备房移除减少潜在风险
测试用程序
测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是()。
A:由系统生成的信息跟踪到变更管理文档
B:检查变更管理文档中涉及的证据的精确性和正确性
C:由变更管理文档跟踪到生成审计轨迹的系统
D:检查变更管理文档中涉及的证据的完整性
以下是一种机制可以减轻风险()。
A:安全和控制措施
B:财产责任保险
C:审计和鉴证
D:D.合同服务水平协议(SL
有关信息安全事件的描述不正确的是()。
A:信息安全事件的处理应该分类、分级
B:信息安全事件的数量可以反映企业的信息安全管控水平
C:某个时期内企业的信息安全事件的数量为零,这意味着企业面临的信息安全风险很小
D:信息安全事件处理流程中的一个重要环节是对事件发生的根源的追溯,以吸取教训、总结经验,防止类似事情再次发生
运行说明
某个客户的网络限制可以正常访问internet互联网,共有200台终端PC但此客户从ISP(互联网络服务提供商)里只获得了16个公有的IPv4地址,最多也只有16台PC可以访问互联网,要想让全部200台终端PC访问internet互联网最好采取什么办法或技术?()
A:花更多的钱向ISP申请更多的IP地址
B:在网络的出口路由器上做源NAT
C:在网络的出口路由器上做目的NAT
D:在网络出口处增加一定数量的路由器
IS审计师检查无线网络安全时,发现它没有启用动态主机配置协议(DHCP)。这样的设置将()。
A:降低未经授权即访问网络资源的风险
B:不适用于小型网络
C:能自动分配IP地址
D:增加无线加密协议(WEP)相关的风险
PDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。这种模型的特点理解错误的是()
A:模型已入了动态时间基线,符合信息安全发展理念
B:模型强调持续的保护和响应,符合相对安全理念
C:模型是基于人为的管理和控制而运行的
D:模型引入了多层防御机制,符合安全的“木桶原理”
在实施IT平衡记分卡时,组织必须()。
A:提供有效且高效率的服务。
B:定义关键绩效指标
C:为IT项目提供业务价值。
D:控制IT开支。
根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中()确立安全解决方案的置信度并且把这样的置信度传递给客户。
A:保证过程
B:风险过程
C:工程和保证过程
D:安全工程过程
在检查基于WEB的软件开发项目时,IS审计师发现其编程没遵循适当的编程标准,也没有认真检查这些源程序。这将增加如下哪一类攻击得手的可能性()。
A:缓冲器溢出
B:暴力攻击
C:分布式拒绝服务攻击
D:战争拨号攻击
在检查IT安全风险管理程序,安全风险的测量应该()。
A:列举所有的网络风险
B:对应IT战略计划持续跟踪
C:考虑整个IT环境
D:识别对(信息系统)的弱点的容忍度的结果
在一个业务继续计划的模拟演练中,发现报警系统严重受到设施破坏。下列选项中,哪个是可以提供的最佳建议?()
A:培训救护组如何使用报警系统
B:报警系统为备份提供恢复
C:建立冗余的报警系统
D:把报警系统存放地窖里
以下哪一项安全目标在当前计算机系统安全建设中是最重要的?()
A:目标应该具体
B:目标应该清晰
C:目标应该是可实现的
D:目标应该进行良好的定义
下面对能力成熟度模型解释最准确的是()。
A:它认为组织的能力依赖于严格定义、管理完善、可测可控的有效业务过程
B:它通过严格考察工程成果来判断工程能力
C:它与统计过程控制理论的出发点不同,所以应用于不同领域
D:它是随着信息安全的发展而诞生的重要概念
根据组织的业务持续性计划的复杂性,该计划可能会发展成为一个以上或多个计划,以解决业务连续性和灾难恢复的不同方面的要求,在这种情况下,至关重要的是:()
A:每个计划彼此一致
B:所有计划都集成到一个单一的计划
C:每个计划都需要相互依存
D:对所有计划实施排序
在复核客户服务器环境的安全性时,信息系统审计师应最关注下列哪个事项?()
A:用加密技术保护数据
B:使用无盘工作站防止未经授权的访问
C:用户直接访问及修改数据库的能力
D:使用户机软驱无效
销售订单按照自动编号顺序在零售商的多个出口输出,小订单直接在出口处理,大的订单送到中央大型生产厂。确保所有生产订单都被接收的最合适的控制是()。
A:发送并匹配交易总量和总数
B:传送的数据返回本地站点进行比较
C:比较数据传输协议并进行奇偶校验
D:在生产工厂追踪并记录销售订单的序列数字
下面哪一项是监理单位在招标阶段质量控制的内容?()
A:协助建设单位提出工程需求,确定工程的整体质量目标
B:根据监理单位的信息安全保障知识和项目经验完成招标文件中的技术需求部分
C:进行风险评估和需求分析完成招标文件中的技术需求部分
D:对标书应答的技术部分进行审核,修改其中不满足安全需求的内容
你在信息系统审计时发现,虽然建立了灾备中心和业务连续计划,但是一旦发生灾难性事件给组织带来的损失还是巨大,然而这无法通过提升这个灾备中心能力等技术手段获得解决此时最适合的措施是()。
A:根据风险水平购买保险
B:让外包商承担这个损失
C:建立第二个灾备中心
D:什么也不做
下面哪一项为系统安全工程能力成熟度模型提供了评估方法()
A:ISSE
B:SSAM
C:SSR
D:GEM
以下哪项是使用回拨设备的益处?()
A:提供审计轨迹
B:可在交换台环境中使用
C:允许无限的用户流动性
D:允许呼叫转移
在制定风险基础审计策略时,IS审计师需要进行风险评估审计,目的是保证()。
A:减轻风险的控制到位
B:确定了脆弱性和威胁
C:审计风险的考虑.
D:Gap差距分析是合适的.
对缓冲区溢出攻击预防没有帮助的做法包括()。
A:输入参数过滤,安全编译选项
B:操作系统安全机制、禁止使用禁用API
C:安全编码教育
D:渗透测试
在对安全控制进行分析时,下面哪个描述是不准确的?()
A:对每一项安全控制都应该进行成本收益分析,以确定哪一项安全控制是必须的和有效的
B:应确保选择对业务效率影响最小的安全措施
C:选择好实施安全控制的时机和位置,提高安全控制的有效性
D:仔细评价引入的安全控制对正常业务带来的影响,采取适当措施,尽可能减少负面效应
一个组织使用ERP,下列哪个是有效的访问控制?()
A:用户级权限
B:基于角色
C:细粒度
D:自主访问控制
在审核一个财务系统的时候,IS审计师怀疑发生了一个事故(攻击)。审计师首先应该做什么?()
A:要求关闭系统以保留证据
B:向管理者报告事故
C:要求立即暂停可疑的账户
D:立即调查事故的来源和性质
下列哪种恶意代码不具备“不感染、依附性”的特点()
A:后门
B:陷门
C:木马
D:蠕虫
在国家标准中,属于强制性标准的是()。
A:GB/T XXXX-X-200X
B:GB XXXX-200X
C:DBXX/T XXX-200X
D:QXXX-XXX-200X
首页 <上一页 41 42 43 44 45 下一页> 尾页