注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

剩余风险应该如何计算？（）
A:威胁×风险×资产价值
B:（威胁×资产价值×脆弱性）×风险
C:单次损失值×频率
D:（威胁×脆弱性×资产价值）×控制空隙

下述最佳实践，在新信息系统正式开发计划在哪个期间：（）
A:开发阶段
B:设计阶段
C:测试阶段
D:部署阶段

UDP协议和TCP协议对应于ISO/OSI模型的哪一层？（）
A:链路层
B:传输层
C:会话层
D:表示层

审计企业的业务不间断计划时，IS审计师发现业务不间断计划（BCP）中只涵盖了关键的业务，那么IS审计师（）。
A:应该建议该计划扩大，以涵盖全部业务
B:评估部分业务没有纳入该计划所带来的影响
C:向IT经理汇报这个问题
D:重新定义、划定关键业务

第四代语言

以下哪一项是防止未经授权使用数据的最有效的方法（）。
A:自动的文件入口
B:磁带库
C:访问控制软件
D:数据库锁定

以下关于RBAC模型说法正确的是（）。
A:该模型根据用户所担任的角色和安全级来决定用户在系统中的访问权限
B:一个用户必须扮演并激活某种角色，才能对一个象进行访问或执行某种操作
C:在该模型中，每个用户只能有一个角色
D:在该模型中，权限与用户关联，用户与角色关联

下面对PDCA模型的解释不正确的是（）
A:通过规划、实施、检查和处置的工作程序不断改进对系统的管理活动
B:是一种可以应用于信息安全管理活动持续改进的有效实践方法
C:也被称为"戴明环"
D:适用于对组织整体活动的优化，不适合单个的过程以及个人

企业影响分析

以下哪一项是为IT治理实施决定优先权预先范围时最重要的考虑因素。（）
A:过程成熟度
B:性能指标
C:业务风险
D:保险报告

以下哪一项有助于程序维护（）。
A:聚合性强，藕合性松散
B:松聚合，松藕合
C:强聚合，强藕合
D:松聚合，强藕合

下面对ISO27001的说法最准确的是（）。
A:该标准的题目是信息安全管理体系实施指南
B:该标准为度量信息安全管理体系的开发和实施提供的一套标准
C:该标准提供了一组信息安全管理相关的控制和最佳实践
D:该标准为建立、实施、运行、监控、审核、维护和改进信息安全体系提供了一个模型

审计计划阶段，最重要的一步是确定（）。
A:高风险领域
B:审计人员的技能
C:审计测试步骤
D:审计时间

某公司的在实施一个DRP项目，项目按照计划完成后。聘请了专家团队进行评审，评审过程中发现了几个方而的问题，以下哪个代表最大的风险？（）
A:没有执行DRP测试
B:灾难恢复策略没有使用热站进行恢复
C:进行了BIA、但其结果没有被使用
D:灾难恢复经理近期离开了公司

公司进行业务流程重组，以支持对客户新的直接的营销方法。关于这个新过程IS审计师最关注什么（）。
A:保护资产和信息资源的关键控制发挥作用
B:公司是否满足顾客的需求
C:系统是否满足性能要求
D:用户确定谁将为流程负责

在进行灾难恢复操作之前，组织最先应进行的工作是（）。
A:确定灾难恢复策略
B:灾难宣告
C:向管理层报告损失
D:评估灾难的影响

下面哪一种环境控制措施可以保护计算机不受短期停电影响（）。
A:电力线路调节器
B:电力浪涌保护设备
C:备用的电力供应
D:可中断的电力供应

重新调整下面哪种防火墙的类型可以防止通过FTP在内部下载文件（）。
A:电路级网关
B:应用网关
C:包过滤
D:筛选路由器

以下哪一种入侵检测系统监控网络中流量和事件的整体模式，并建立一个数据库？（）
A:基于特征库的
B:基于神经网络的
C:基于统计（信息）的
D:基于主机的

EDI对内部控制的影响是（）。
A:审查和批准较少存在
B:固有认证
C:由第三方拥有的适当分配的EDI交易
D:IPF管理将会增加对于数据中心控制的责任

数据库系统中协同控制的目标是（）。
A:限制授权用户更新数据库
B:防止完整性问题，当两个进程试图更新相同数据时
C:防止意外或未经授权泄露数据资料库
D:确保数据的准确性、完整性和数据的一致性

信息化建设和信息安全建设的关系应该是（）
A:信息化建设的结果就是信息安全建设的开始
B:信息化建设和信息安全建设应同步规划、同步实施
C:信息化建设和信息安全建设是交替进行的，无法区分谁先谁后
D:以上说法都正确

以下对于蠕虫病毒的描述错误的是（）。
A:蠕虫的传播无需用户操作
B:蠕虫会消耗内存或网络带宽，导致DOS
C:蠕虫的传播需要通过“宿主”程序或文件
D:蠕虫程序一般由“传播模块”、“隐藏模块”、“目的功能模块”构成

下列哪项说明了企业架构enterprise architecture（EA）的目的（）。
A:确保内部和外部战略一致
B:匹配组织的IT架构
C:匹配组织的IT架构并且确保IT架构的设计匹配组织的战略
D:确保IT投资和业务战略一致

下面哪一项保护措施对于确保信息处理设施内的软件和数据安全是最重要的？（）
A:安全意识
B:翻阅安全策略
C:安全委员会
D:逻辑访问控制

综合测试法ITF被认为是一个有用的工具，因为它（）。
A:对于审计应用控制来说，是一种具有成本效益的方式
B:允许财务和ＩＳ审计师整合他们的测试
C:将处理的输出结果与单独计算的数据进行比较。
D:为ＩＳ审计师提供分析大量信息的工具

建立在信任基础上，并且难以预防的最大风险是（）。
A:授权访问的正当使用
B:授权访问的误用
C:失败的非授权访问
D:成功的非授权访问

以风险为基础的审计方法，ＩＳ审计师应该首先完成（）。
A:固有的风险评估.
B:控制风险评估.
C:控制测试评估.
D:实质性测试评估.

WEB和电子邮件过滤工具对于组织的最主要的价值是（）。
A:保护组织防止病毒和非业务材料
B:最大化员工绩效
C:维护本组织的形象
D:有助于防止组织的法律问题

攻击者使用伪造的SYN包，包的源地址和目标地址都被设置成被攻击方的地址，这样被攻击方会给自己发送SYN-ACK消息并发回ACK消息，创建一个连接，每一个这样的连接都将保持到超时为止，这样过多的空连接会耗尽被攻击方的资源，导致拒绝服务，这种攻击称为之为（）。
A:Land攻击
B:Smurf攻击
C:Ping of Death攻击
D:ICMP Flood

首页 <上一页 57 58 59 60 61 下一页> 尾页