注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

安装网络后，该组织实施了脆弱性评估工具和安全扫描工具确定潜在弱点，其中与这种工具相关的最严重的风险是（）。
A:差别报告
B:错误的主动报告
C:错误的被动报告
D:欠详细报告

在审计新软件项目时，项目小组目前在定义用户需求，把建议的解决方案和用户需求匹配目前处于SDLC的哪个阶段（）。
A:可行性研究
B:需求
C:设计
D:开发

以下哪一个是对完整性的检查（管理）（）。
A:检查位
B:奇偶校验位
C:一对一检测
D:预先录入

以下哪一项不是《GB/T20274信息安全保障评估框架》给出的信息安全保障模型具备的特点？（）
A:强调信息系统安全保障持续发展的动态性，即强调信息系统安全保障应贯穿于整个信息系统生命周期的全过程
B:强调信息系统安全保障的概念，通过综合技术、管理、工程和人员的安全保障要求来实施和实现信息系统的安全保障目标
C:以安全概念和关系为基础，将安全威胁和风险控制措施作为信息系统安全保障的基础和核心
D:通过以风险和策略为基础，在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素，从而使信息系统安全保障实现信息安全的安全特征

PPDR模型不包括（）
A:策略
B:检测
C:响应
D:加密

IT治理的职责取决于（）。
A:IT战略委员会
B:首席信息官
C:审计委员会
D:董事会

某组织的信息系统策略规定，终端用户的ID 在该用户终止后90天内失效。组织的信息安全内审核员应（）。
A:报告该控制是有效的，因为用户ID失效是符合信息系统策略规定的时间段的
B:核实用户的访问权限是基于用所必需原则的
C:建议改变这个信息系统策略，以保证用户ID的失效与用户终止一致
D:建议终止用户的活动日志能被定期审查

当通知审计结果时，IS审计师应该牢记他们的最终责任是对（）。
A:高级管理和/或审计委员会.
B:被审计单位的经理.
C:IS审计主管.
D:法律部门

通常，黑客使用如下哪一种攻击手段时，会引起对互联网站点的分布式拒绝服务攻击（DDos）（）。
A:逻辑炸弹
B:网络钓鱼
C:间谍软件
D:特洛伊木马

最常见的信息系统失败的原因对于用户的需求是（）。
A:用户需求不断变化
B:用户需求的增长无法准确预测
C:硬件系统限制了同时使用的用户的数量
D:用户对于系统需求的定义参与不够

IS审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP），但是没有整个企业的BCP。那么，IS审计师应该采取的最佳行动是（）。
A:各业务部门都有适当的BCP就够了，无需其它
B:建议增加、制订全企业的、综合的BCP
C:确定各部门的BCP是否一致，没有冲突
D:建议合并所有BCP为一个单独的全企业的BCP

一个IS审计师被请求去为一个基于Web的关键订单系统做完全监控检查，且此时距该订单系统预定的正式上线日期只有很短的时间，该审计师进行了一项渗透测试，产生了不确定的结果，而在授权给审计的完成时间内无法进行另外的测试。下述哪个是该审计师最好的选择？（）
A:基于可用的信息公布一个报告，突出强调潜在的安全弱点以及对后续审计测试的需求。
B:公布一个报告，忽略来自测试的证据不足的领域。
C:请求推迟正式上线时间直到完成附加的安全测试并获得正式测试的证据。
D:通知管理层审计工作不能在规定的时间窗内完成，并建议审计推迟。

对于网络风险控制模型中，描述正确的是：（）
A:检查分析计划实施总结
B:监控识别分析计划实施
C:检查分析监控预算实施
D:监控识别计划执行总结

为中国信息安全测评中心cisp注册信息安全专业人员，对通过cisp之外还需要满足一基本要求，以下哪一项不属于这些基本要求？（）
A:满足注册信息安全人员（cisp）注册资质的教育背景要求
B:同意并遵守注册信息安全专业人员（cisp）执业准则
C:在政府机关或重要信息系统的主管后运营单位从事信息安全保障工作或为其提供安全
D:参加并完成由中国信息安全测评中心（CNITSEC）授权培训机构组织的注册信息安全专业人员（cisp）专业培训

在审计信用卡支付系统时，下列哪种方法提供最好的保证信息被正确地处理（）。
A:审计痕迹。
B:数据录入和计算机操作员的职责分离。
C:击键验证。
D:主管审查。

管理网络攻击风险的第一步是：（）
A:评估弱点的影响
B:评估危险的可能性
C:确认关键信息资产
D:评估潜在的破坏

如果双方使用的密钥不同，从其中的一个密钥很难推出另外一个密钥，这样的系统称为（）。
A:常规加密系统
B:单密钥加密系统
C:公钥加密系统
D:对称加密系统

下列哪一项不属于Fuzz测试的特性（）
A:主要针对软件漏洞或可靠性错误进行测试
B:采用大量测试用例进行漏洞-相应测试
C:一种试探性测试方法，没有任何理论依据
D:利用构造畸形的输入数据引发被测试目标产生异常

在桔皮书（the Orang eBook）中，下面级别中哪一项是第一个要求使用安全标签（security label）的（）
A:B3
B:B2
C:C2
D:D

IS审计师发现被审计的企业经常举办交叉培训，那么需要评估如下哪一种风险？（）
A:对某个技术骨干的过分依赖
B:岗位接任计划不适当
C:某个人知道全部系统的细节
D:运营中断

一个IS审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划，并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的，但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划（ERP）系统，该IS审计系统应当如何反应？（）
A:如IT经理所请求的，审计新ERP应用
B:审计电子商务服务器，因为它去年没有被审计
C:确定风险最高的系统，并基于该结果制定审计计划
D:既审计电子商务服务器也审计ERP应用

磁带管理系统中的一项控制特征是其具备以下哪种能力（）。
A:限制接触生产库
B:禁止非授权的数据察看
C:使作业无法绕过标签处理
D:控制接触有特别权力的工具程序

有利于服务质量（QoS）是（）。
A:整体网络的可用性和性能大大改善
B:电信承运人将为公司提供准确的服务水平的遵守情况报告
C:申请人保证服务水平
D:通信联系被安全控制执行，以保障网上交易的安全性

企业再工程

以下哪一项不是我国与信息安全有关的国家法律？（）
A:《信息安全等级保护管理办法》
B:《中华人民共和国保守国家秘密法》
C:《中华人民共和国刑法》
D:《中华人民共和国国家安全法》

银行的自动柜员机（ATM）是一种专门用于销售点的终端，它可以（）。
A:只能用于支付现金和存款服务
B:一般放置在入口稠密的场所以威慑盗窃与破坏
C:利用保护的通讯线进行数据传输
D:必须包括高层的逻辑和物理安全

以下哪一项对于备份信息处理设施的生存能力来说是必须存在的（）。
A:该站点必须离主站点足够近来保证快速有效的（业务）恢复。
B:该站点必须包含可用的先进的硬件设备。
C:监控主站点的负载从而确保有足够的后备。
D:（该站点的）硬件设备在安装过程中都经过了合适的测试，来保证其有效运行。

宽频（带）

首页 <上一页 53 54 55 56 57 下一页> 尾页