出自:注册信息安全专业人员(CISA,CISO,CISE)

下面哪一项最准确的阐述了安全监测措施和安全审计措施之间的区别?()
A:审计措施不能自动执行,而检测措施可以自动执行
B:监视措施不能自动执行,而审计措施可以自动执行
C:审计措施是一次性地或周期性地进行,而监测措施是实时地进行
D:监测措施一次性地或周期性地进行,而审计措施是实时地进行
测试一个业务连续性计划的主要目标是:()
A:员工熟悉业务连续计划
B:确保所有剩余的风险得到处理
C:测试所有可能灾难发生的场景
D:确定业务连续性计划的弱点
在确定关键业务流程在可接受的时间内恢复时:()
A:只有停机费用需要考虑
B:恢复操作进行分析
C:同时对停机成本和恢复成本进行评估
D:间接停机费用应该被忽略
在部署控制前,管理层主要应该保证控制:()
A:满足解决风险问题的需求
B:不减少生产力
C:基于成本效益的分析
D:控制是检测或纠正型的
地址空间
降低企业所面临的信息安全风险,可能的处理手段不包括哪些?()
A:通过良好的系统设计、及时更新系统补丁,降低或减少信息系统自身的缺陷
B:通过数据备份、双机热备等冗余手段来提升信息系统的可靠性;
C:建立必要的安全制度和部署必要的技术手段,防范黑客和恶意软件的攻击
D:通过业务外包的方式,转嫁所有的安全风险
职责分离的主要目的是()?
A:防止一个人从头到尾整个控制某一交易或者活动
B:不同部门的雇员不可以在一起工作
C:对于所有的资源都必须有保护措施
D:对于所有的设备都必须有操作控制措施
密码
在对生物识别技术中的错误拒绝率(FRR)和错误接收率(FAR)的定义中,下列哪一项的描述是最准确的?()
A:FAR属于类型I错误,FRR属于类型II错误
B:FAR是指授权用户被错误拒绝的比率,FRR属于类型I错误
C:FRR属于类型I错误,FAR是指冒充者被拒绝的次数
D:FRR是指授权用户被错误拒绝的比率,FAR属于类型II错误
能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是()。
A:将每次访问记入个人信息(即:作日志)
B:对敏感的交易事务使用单独的密码/口令
C:使用软件来约束授权用户的访问
D:限制只有营业时间内才允许系统访问
下列哪项措施能够最有效地减少一个设备捕获其他设备信息包的能力?()
A:过滤器
B:交换机
C:路由器
D:防火墙
对PPDR模型的解释错误的是()
A:该模型提出安全策略为核心,防护、检测和恢复组成一个完整的、动态的循环
B:该模型的一个重要贡献是加速了时间因素,而且对如何实现系统安全和评价安全状态给出了可操作的描述
C:该模型提出的公式1:Pt>Dt+rt,代表防护时间大于检测时间加响应时间
D:该模型提出的公式2:Et=Dt+rt,代表当防护时间为0时,系统的暴露时间等于检测时间加响应时间
访问控制表与访问能力表相比,具有以下那个特点()。
A:访问控制表更容易实现访问权限的特点
B:访问能力表更容易浏览访问权限
C:访问控制表回收访问权限更困难
D:访问控制表更适用于集中式系统
管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是?()
A:由于审计没有按照标准执行而造成声誉损失
B:审计报告不能识别和分类关键风险
C:客户管理者会质疑其结果
D:审计报告可能不会被审计经理所批准
IS审计功能的一个主要目的是()。
A:确定每个人是否都按照工作说明使用IS资源
B:确定信息系统的资产保护和保持数据的完整性
C:对于计算机化的系统审查帐册及有关证明文件
D:确定该组织识别诈骗fraud的能力
信息安全发展各阶段中,下面哪一项是通信安全阶段主要面临的安全威胁?()
A:病毒
B:非法访问
C:信息泄露
D:脆弱口令
在风险分析中,以下哪种说法是正确的?()
A:定量影响分析的主要优点是它对风险进行排序并对那些需要立即改善的环节进行标识
B:定性影响分析可以很容易地对控制进行成本收益分析
C:定量影响分析不能用在对控制进行的成本收益分析中
D:定量影响分析的主要优点是它对影响大小给出了一个度量
以下哪些不属于敏感性标识?()
A:不干贴方式
B:印章方式
C:电子标签
D:个人签名
虚拟专用网(VPN)提供以下哪一种功能()。
A:对网络嗅探器隐藏信息
B:强制实施安全政策
C:检测到网络错误和用户对网络资源的滥用
D:制定访问规则
利用统计抽样程序可以减少()。
A:抽样风险
B:检查风险
C:固有风险
D:控制风险
信息处理场所
信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性?()
A:在应用系统的开发阶段执行特定的需求功能。
B:为了审计该应用系统而设计一个嵌入式的审计模块。
C:作为应用系统项目团队的一员,但不承担运行职能。
D:根据应用系统的最佳实践提供咨询和建议。
根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素决定?()
A:威胁、脆弱性
B:系统价值、风险
C:信息安全、系统服务安全
D:受侵害的客体、对客体造成侵害的程度业务
下面哪项不是电磁辐射泄漏防护手段?()
A:红黑电源
B:屏蔽机房
C:视频干扰器
D:防静电服
在开放系统互联(OSI)参考模型中共有七层,提供安全服务以加强信息系统的安全性以下哪一个OSI参考层不提供机密性服务()。
A:表示层
B:传输层
C:网络层
D:会话层
在应用程序开发项目的系统设计阶段,审计人员的主要作用是()。
A:建议具体而详细的控制程序
B:保证设计准确地反映了需求
C:确保在开始设计的时候包括了所有必要的控制
D:开发经理严格遵守开发日程安排
出现以下哪种情况,信息系统审计师最需要对第三方托管的云计算机进行审查:()
A:组织无权评估供应商网站的控制
B:服务水平协议(SLA)没有规定供应商对于出现安全漏洞时的责任
C:组织和供应商所在国家应用不同的法律和法规
D:组织使用的浏览器旧版本存在安全风险
以下哪种方式是最有效的手段确定操作系统功能正常运行()。
A:与供应商协商
B:审查供应商安装指南
C:咨询系统程序员
D:审查系统产生参数
信息安全风险管理的最终责任人是()?
A:决策层
B:管理层
C:执行层
D:支持层
某Web服务器受到攻击和损害。应首先执行以下哪项操作以处理该事件?()
A:将易失性存储器数据转储到磁盘上
B:以故障,安全模式运行服务器
C:断开该Web服务器与网络的连接
D:关闭该Web服务器
首页 <上一页 50 51 52 53 54 下一页> 尾页