出自:注册信息安全专业人员(CISA,CISO,CISE)

下面哪一个不是系统设计阶段风险管理的工作内容?()
A:安全技术选择
B:软件设计风险控制
C:安全产品选择
D:安全需求分析
IT治理的最终目的是()。
A:鼓励最优地运用IT
B:降低IT成本
C:在组织中分散IT资源
D:集中控制IT
业务流程重组(BPR)的业务目的主要是()。
A:减少工作岗位
B:减少步骤以改善业务效率
C:变更管理层方向
D:增加利益相关者(股东,客户,供应商,银行)价值
规范的实施流程和文档管理,是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时,形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中,该《待评估信息系统相关设备及资产清单》应是如下()中的输出结果。
A:风险评估准备
B:风险要素识别
C:风险分析
D:风险结果判定
等级保护定级阶段主要包括哪2个步骤?()
A:系统识别与描述、等级确定
B:系统描述、等级确定
C:系统识别、系统描述
D:系统识别与描述、等级分级
业务持续管理需要重点考虑以下那个方面?()
A:恢复站点是安全的,和主站点保持适当的距离
B:恢复计划定期进行测试
C:经过全面测试的备份硬件在恢复站点可用
D:网络连接可以从多个服务提供商获取
网络信道/网关
绘制关系图
下面哪一种测试手段审计师可以用于最有效的确定组织变更控制程序的一致性()。
A:审查软件迁移记录并核实批准
B:确认已经发生的变更,并核实批准
C:审查变更控制文档,并核实批准
D:确保只有适当的人员可以将变更迁移到生产环境
目前,我国信息安全管理格局是一个多方“齐抓共管”的体制,多头管理现状决定法出多门,《计算机信息系统国际联网保密管理规定》是由下列哪个部门所指定的规章制度?()
A:公安部
B:国家保密局
C:信息产业部
D:国家密码管理委员会办公室
关于信息安全保障,下列说法正确的是()
A:信息安全保障是一个客观到主观的过程,即通过采取技术、管理、工程等手段,对信息资源的保密性、完整性、可用性提供保护,从而给信息系统所有者以信心
B:信息安全保障的需求是由信息安全策略所决定的,是自上而下的一个过程,在这个过程中,决策者的能力和决心非常重要
C:信息系统安全并不追求万无一失,而是要根据资金预算,做到量力而行
D:以上说法都正确
某金融服务公司有一个小规模的IT部门,其员工身兼多职。下面哪一个行为带来的风险最大?()
A:开发者在生产环境中升级代码
B:业务分析员编写相关需求并执行了功能测试
C:IT经理同时兼任系统管理员
D:DBA同时执行数据备份
系统工程是信息安全工程的基础学科,钱学森说:“系统工程时组织管理系统规划,研究、制造、实验,科学的管理方法,使一种对所有系统都具有普遍意义的科学方法,以下哪项对系统工程的理解是正确的?()
A:系统工程是一种方法论
B:系统工程是一种技术实现
C:系统工程是一种基本理论
D:系统工程不以人参与系统为研究对象
当对符合性进行测试时,以下哪种抽样方法是最有用的?()
A:属性抽样
B:变量抽样
C:分层单位均值抽样
D:差异估计
检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定()
A:是否口令经常修改
B:客户/服务器应用的框架
C:网络框架和设计
D:防火墙保护和代理服务器
编辑控制
IS管理员最近通知IS审计师准备在支付系统中禁用某些参照完整性控制,以便为用户提供更快的报告产生速度,这有可能导致下面哪种风险()。
A:非授权用户访问数据
B:对不存在的职工支付工资
C:擅自提高雇员工资
D:授权用户重复数据输入
信息系统审计员在评估应用系统维护的时候,会检阅程序变更日志,因为()。
A:程序变更授权
B:现在使用的对象模块的创建日期
C:程序变更的实际数量
D:现在使用的源程序的创建日期
假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪?()
A:星型
B:总线
C:环型
D:全连接
在Windows2000中可以察看开放端口情况的是()。
A:nbtstat
B:net
C:netshow
D:netstat
广域网络
一个存有保密数据的硬盘被破坏且不能维修。下面哪个选项可以防止访问那个硬盘存有的数据?()
A:用RANDOM 0s和1s重新硬盘数据
B:低级别的格式化硬盘
C:粉粹硬盘数据
D:物理破坏硬盘
下面哪一个涉及到实施路由器和连接设备监控系统()。
A:简单网络管理协议SNMP
B:文件传输协议
C:简单邮件传输协议
D:Telnet
无磁盘工作站
系统的安全策略和审查记录使得机构管理者能够确保用户对其自身的行为负责。为了使用系统记录,使安全策略发挥作用,下面哪一项是首要必需的?()
A:物理访问控制
B:环境控制
C:管理控制
D:逻辑访问控制
一种基于信任而产生的并且很难防范的主要风险是()。
A:正确使用的授权访问
B:被滥用的授权访问
C:不成功的非授权访问
D:成功的非授权访问
假设一个系统已经包含了充分的预防控制措施,那么安装监测控制设备()
A:是多余的,因为它们完成了同样的功能,但要求更多的开销
B:是必须的,可以为预防控制的功效提供检测
C:是可选的,可以实现深度防御
D:在一个人工系统中是需要的,但在一个计算机系统中则是不需要的,因为预防控制的功能已经足够
风险分析的关键要素是()
A:审计计划
B:控制
C:脆弱点
D:责任
IS审计师审计IT控制的效果,发现了一份以前的审计报告,但是没有工作记录workpapers,IS审计师应该怎么处理()。
A:暂停审计直至找到工作记录
B:依靠以前的审计报告
C:对于风险最高的区域重新测试控制
D:通知审计管理层,重新测试控制
一位IS审计师在为某全球性组织执行IS审计时发现,该组织将经由互联网的IP(VoIP)语音作为各办事处之间语音连接的唯一手段。以下哪项是该组织VoIP基础实施中存在的最大风险?()
A:网络设备故障
B:分布式拒绝服务(DDos)攻击
C:优惠率欺骗(资费欺骗)
D:社会工程攻击
首页 <上一页 4 5 6 7 8 下一页> 尾页