出自:注册信息安全专业人员(CISA,CISO,CISE)

实施基于风险的审计过程中,完全由IS审计师启动的风险评估是()。
A:检查风险的评估
B:控制风险的评估
C:固有风险的评估
D:舞弊风险的评估
在进行应用系统的测试时,应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须作的:()。
A:测试系统应使用不低于生产系统的访问控制措施
B:为测试系统中的数据部署完善的备份与恢复措施
C:在测试完成后立即清除测试系统中的所有敏感数据
D:部署审计措施,记录生产数据的拷贝和使用
以下的危险情况哪一个不适与数字签名和随机数字有关的?()
A:伪装
B:重复攻击
C:密码威胁
D:拒绝服务
信息系统的业务特性应该从哪里获取?()
A:机构的使命
B:机构的战略背景和战略目标
C:机构的业务内容和业务流程
D:机构的组织结构和管理制度
信息系统审计师从客户数据库中获得了数据。下一步可以通过以下哪项来确认所导出的数据是完整的?()
A:把导出数据的控制总数与原始数据的控制总数相比对
B:把数据排序以验证是否与原始数据的顺序相一致
C:检查原始数据的前100条打印输出的记录和导出数据的前100条记录
D:按不同目录对数据进行过滤,并与原始数据比对
信息安全方针描述了”密码显示必须用暗文或者禁止“,这一点防范了下列哪种攻击方法()。
A:尾随
B:在废弃信息中挖掘机密信息
C:肩窥
D:假冒
实施安全计划作为安全管理框架的一部分,其主要优点是?()
A:校对有信息系统审计建议的IT活动
B:强制安全风险管理
C:实施首席信息安全官CISO的建议
D:降低IT安全的成本
业务系统运行中异常错误处理合理的方法是()
A:让系统自己处理异常
B:调试方便,应该让更多的错误更详细的显示出来
C:捕获错误,并抛出前台显示
D:捕获错误,只显示简单的提示信息,或不显示任何信息
在某医院中,医务人员携带存有病人健康状况数据的手持式电脑。这些手持式电脑与可从医院数据库传输数据的PC同步。以下哪项措施最重要?()
A:手持式电脑得到了妥善保护,可在发生盗窃或丢失时防止数据机密性遭到破坏
B:在使用后删除本地PC中临时文件的员工具有维护PC的权限
C:通过制定政策和流程来确保同步能够及时进行
D:手持式电脑的使用得到医院政策的允许
口令是验证用户身份的最常用手段,以下哪一种口令的潜在风险影响范围最大?()
A:长期没有修改的口令
B:过短的口令
C:两个人公用的口令
D:设备供应商提供的默认口令
供应商发布补丁程序修补软件中的安全漏洞,IS审计师在这种情况下应该如何建议()。
A:在安装前评估评估补丁的影响
B:要求供应商提供了一个包括所有更新补丁新的软件版本
C:立即安装安全补丁
D:在以后减少处理这些供应商
在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是()
A:实施分析,以确定该事件是否为暂时的服务实效所引起
B:由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会
C:这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%
D:通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定
组织把帮助平台外包出去,下面哪个指标最好包含在服务级别协议里面()。
A:、所有支持的客户数量
B:、第一时间解决的事件所占总事件的百分比
C:、汇总到帮助平台的事件数量
D:、回答电话的代理数量
用于确保虚拟专用网络(VPN)安全性技术为:()
A:封装
B:包装
C:装换
D:加密
SSE-CMM,即系统安全工程---能力成熟度模型,它的六个级别,其中计划和跟踪级着重于()
A:规范化地裁剪组织层面的过程定义
B:项目层面定义、计划和执行问题
C:测量
D:一个组织或项目执行了包含基本实施的过程
定期的测试异地备份设施最主要的目的是?()
A:保护数据库中数据的完整性
B:消除开发详细的紧急计划的需要
C:确保应变设施持续的兼容性
D:确保程序和系统文档保持最新
一位IS审计师正在执行合规性测试,以确定控制是否支持管理政策和流程。测试在以下哪个方面对IS审计师有所帮助:()
A:获得对控制目标的了解
B:保证运行中的控制与设计要求一致
C:确定数据控制的完整性
D:确定财务报告控制的合理性
当使用一个ITF时,审计员应确保()
A:生产数据用于测试
B:测试数据隔离与生产数据
C:使用一个测试数据生成器
D:主文件根据测试数据更新
制造企业想要使用支付账单自动化系统。要达到的目标有()。系统用很少的时间进行审查和授权,系统能够确认错误并根据需要跟进。下面哪一项最符合要求()。
A:与供应商建立跨系统的客户机服务器模式的网络系统,提高效率
B:把自动化支付和帐务收支处理程序外包给第三方专业公司处理
C:对电子业务文档和交易建立EDI系统,EDI系统与关键供应商共建,使用标准格式,从计算机到计算机。
D:重整现有流程,重新设计现有系统
有一类IDS系统将所观察到的活动同认为正常的活动进行比较并识别重要的XX来发现入侵事件,这种机制称作()。
A:异常检测
B:特征检测
C:差距分析
D:比对分析
我国规定商用密码产品的研发、制造、销售和使用采取专控管理,必须经过审批,所依据的是()。
A:商用密码管理条例
B:中华人民共和国计算机信息系统安全保护条例
C:计算机信息系统国际联网保密管理规定
D:中华人民共和国保密法
无线局域网比有线局域网在哪方面具有更大的风险()。
A:伪装和修改/替换
B:修改/替换和设备失窃
C:窃听和伪装
D:窃听和盗窃设备
电路交换网络
下列哪些工具或系统可以确认信用卡交易很可能是由被窃取的信用卡而不是真正的持卡人()。
A:入侵侦测系统
B:数据挖掘技术
C:防火墙
D:包过滤路由器
关于我国加强信息安全保障工作的主要原则,以下说法错误的是()
A:立足国情,以我为主,坚持技术与管理并重
B:正确处理安全和发展的关系,以安全保发展,在发展中求安全
C:统筹规划,突出重点,强化基础工作
D:全面提高信息安全防护能力,保护公众利益,维护国家安全
在一个隔离的操作环境中,下面哪一个场景是期望看到的()。
A:对系统信息和启动问题负责的计算机操作员关注失败的事务
B:仅在应用程序员提醒有错误时变更控制库管理员对代码进行修改
C:磁带库管理员管理打印队列和为打印机装纸,同时还负责启动异地存储的磁带备份
D:操作员通过调整参数设置帮助系统程序员为操作系统排错,系统程序员在旁边观看结果
系统测试的主要目的是()。
A:测试设计产生的控制总数
B:判断系统的文档是否准确
C:评估系统功能
D:确保系统操作熟悉新制度
以下哪一个是测试特定的自动变更控制过程设计有效性的最有效方式?()
A:变更抽样测试
B:实行端到端的穿行测试过程
C:已授权的变更测试
D:使用计算机辅助审计测试(CAAT)
针对威胁、风险或损失,以下哪一类控制提供了第一道防线()。
A:用户ID和口令
B:软件测试
C:回拨调制解调器
D:交易日志
在准备灾难恢复计划时下列哪一个任务是应该最先被执行的? ()
A:制定恢复策略
B:进行业务影响分析(BIA)
C:描述出软件系统,硬件系统和网络系统等组件
D:任命恢复团队的人员、角色和等级
首页 <上一页 49 50 51 52 53 下一页> 尾页