出自:注册信息安全专业人员(CISA,CISO,CISE)

下列哪一项是成功贯彻和维护安全策略最关键的因素()。
A:所有适当团队对安全框架和所制定的安全策略目的理解和吸收
B:管理层支持和赞同一个安全策略的贯彻和维护
C:有对任何违背安全规则进行处罚的强制措施
D:安全官通过访问控制软件严密执行、监控和强制规则的实施
以下哪一种处理过程可以最有效地发现非法软件进入网络()。
A:使用无盘工作站
B:定期检查硬盘
C:使用最新的防病毒软件
D:如果违反立即解雇的政策
在一个分布式计算环境中,系统安全特别重要。分布式计算环境中的网络攻击存在两种主要的类型:被动攻击和主动攻击。下面哪一种是属于被动攻击()。
A:企图登录到别人的帐号上
B:在网络电缆上安装侦听设备,并产生错误消息
C:拒绝为合法用户提供服务
D:当用户键入系统口令时,进行窃听
小李去参加单位组织的信息安全后,他把自己对信息安全管理体系(Information Securlty Management System.ISMS)的理解画了以下一张图,但是他还存在一个空白处未填写,请帮他选择一个最合适的选项()。
A:监控和反馈ISMS
B:批准和监督ISMS
C:监视和评审ISMS
D:沟通和咨询ISMS
有效性检查
信息系统审计师评估了支付结算系统修改后的测试结果,审计师发现百分之五十的计算结果与预先设定好的结果不匹配。下列哪项是审计师可能实施的下一步审计程序?()
A:对错误的计算结果设计进一步程序进行测试
B:对可能造成计算结果不准确的变量进行识别和确认
C:检查某些测试样本来确认结果
D:对测试结果进行文档记录,同时准备关于审计发现,结论和建议的报告
灾难恢复策略中的内容来自于()
A:灾难恢复需求分析
B:风险分析
C:业务影响分析
D:国家保准和上级部门的明确规定
依据国家标准GB/T20274《信息系统安全保障评估框架》,在信息系统安全目标中,评估对象包括哪些内容?()
A:信息系统管理体系、技术体系、业务体系
B:信息系统整体、信息系统安全管理、信息系统安全技术和信息系统安全工程
C:信息系统安全管理、信息系统安全技术和信息系统安全工程
D:信息系统组织机构、管理制度、资产
下列哪一项能够最好的保证防火墙日志的完整性?()
A:只授予管理员访问日志信息的权限
B:在操作系统层获取日志事件
C:将日志信息传送到专门的第三方日志服务器
D:在不同的存储介质中写入两套日志
一个通用串行总线(USB)端口()
A:可连接网络而无需网卡
B:用以太网适配器连接网络
C:可代替所有现存的连接
D:连接监视器
《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》中对于三级防护系统中系统建设管理部分的等级测评项的要求描述不正确的是:()
A:应在系统发生变更时及时对系统进行等级测评,发现级别发生变化的及时调整级别并进行安全改造,发现不符合相应等级保护标准要求的及时整改。
B:应选择具有相关技术资质和安全资质的测评单位进行等级测评。
C:应指定或授权专门的部门或人员负责等级测评的管理。
D:在系统运行过程中,应至少每年对系统进行一次等级测评,发现不符合相应等级保护标准要求的及时整改。
以下工作哪个不是计算机取证准备阶段的工作()
A:获得授权
B:准备工具
C:介质准备
D:保护数据
当服务被外包的时候,以下哪一个是IS管理者最重要的职能()。
A:确保支付给服务商发票
B:作为参加者参与系统设计
C:重新和服务商关于费用进行谈判
D:监督外包商的业绩
下列哪一项能保证发送者的真实性和e-mail的机密性?()
A:用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息散列(hash)
B:发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)
C:用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息。
D:用发送者的私钥加密消息,然后用接收者的公钥加密消息散列(hash)
在进行风险分析过程中,信息系统审计师发现了威胁及其潜在的影响。审计师下一步应该:()
A:对管理层实施的风险评估流程进行评估
B:识别信息资产和与之相关的系统
C:告知管理层所发现的威胁及其影响
D:识别并评估现存的控制
恢复阶段的行动一般包括()。
A:建立临时业务处理能力
B:修复原系统损害
C:在原系统或新设施中恢复运行业务能力
D:避免造成更大损失
下列哪个领域经常面临微型计算机迅速发展所带来的风险()。1.备份和恢复2.应用程序开发成本3.记录的批量更新4.访问的安全5.违反版权法
A:1、2、3
B:2、3、4
C:3、4、5
D:1、4、5
安全模型是用于精确和形式地描述信息系统的安全特征,解释系统安全相关行为。关于它的作用描述不正确的是()?
A:准确的描述安全的重要方面与系统行为的关系
B:开发出一套安全性评估准则,和关键的描述变量
C:提高对成功实现关键安全需求的理解层次
D:强调了风险评估的重要性
IS审计师主要关注CRT显示器的射线泄露,因为他们可能()。
A:导致健康问题(如头痛)和疾病
B:被截获的信息可以被其他人获取
C:导致通讯冲突
D:导致主板错误
对于Linux操作系统中shadow文件说法不正确的是()?
A:shadow文件可以指定用户的目录
B:shadow文件中定义了密码的使用期限
C:读取shadow文件能够发现秘钥的加密方法
D:shadow文件对于任何人是不可以读取的
我国信息安全标准化技术委员会(TC260)目前下属6个工作组,其中负责信息安全管理的小组是()。
A:WG1
B:WG7
C:WG3
D:WG5
通过业务影响分析,组织能够获得哪些输出1.RTO和RPO2.主要面临的风险3.关键业务等级4.信息系统关联性5.恢复最小服务级别6.关键业务损失与影响()。
A:1、2、3、4、5
B:1、2、4、5、6
C:1、3、4、5、6
D:1、2、3、4、6
逻辑访问控制
下列哪一项最好地描述了哈希算法、数字签名和对称密钥算法分别提供的功能?()
A:身份鉴别和完整性,完整性,机密性和完整性
B:完整性,身份鉴别和完整性,机密性和可用性
C:完整性,身份鉴别和完整性,机密性
D:完整性和机密性,完整性,机密性
在项目启动阶段审查系统开发项目,IS审计师发现项目小组遵守组织的质量手册。项目组要在截止期限内快速追踪验证和取证处理,这需要在预交付之前开始一些措施。在这种情况下,IS审计师最有可能()。
A:作为关键发现报告给高级管理层
B:接受适合于不同项目的不同的质量处理
C:报告IS管理层,小组无法遵守质量程序
D:向项目指导委员会报告快速追踪的风险
系统的弱点被黑客利用的可能性,被称为()
A:风险
B:残留风险
C:暴露
D:几率
小王是某大学计算科学与技术专业的毕业生,大四上学期开始找工作,期望谋求一份技术管理的职位,一次面试中,某公司的技术经理让小王谈一谈信息安全风险管理中的“背景建立”的基本概念与认识,小王的主要观点包括: (1)背景建立的目的是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,完成信息安全风验管理项目的规划和准备; (2)背景建立根据组织机构相关的行业经验执行,雄厚的经验有助于达到事半功倍的效果; (3)背景建立包括:风险管理准备、信息系统调查、信息系统分析和信息安全分析; (4)背景建立的阶段性成果包括:风险管理计划书、信息系统的描述报告、信息系统的分析报告、信息系统的安全要求报告。 请问小王的所述论点中错误的是哪项()
A:第一个观点,背景建立的目的只是为了明确信息安全风险管理的范围和对象
B:第二个观点,背景建立的依据是国家、地区域行业的相关政策、法律、法规和标准
C:第三个观点,背景建立中的信息系统调查与信息系统分析是同一件事的两个不同名字
D:第四个观点,背景建立的阶段性成果中不包括有风险管理计划书
有线以太网在网络中使用非屏蔽双绞线超过100米,由于电缆的长度可能造成以下的情况()。
A:电磁干扰(EMI)
B:Cross-talk
C:Dispersion分散
D:Attenuation减弱
在公钥加密系统(PKI)中,处理私钥安全的详细说明的是()。
A:撤销的证书列表
B:证书实务说明
C:证书政策
D:PKI披露条款
以下哪一项是针对部件通讯故障/错误的控制()。
A:限制操作员访问和维护审计轨迹
B:监视并评审系统工程活动
C:配备网络冗余
D:建立接触网络传输数据的物理屏障
首页 <上一页 46 47 48 49 50 下一页> 尾页