出自:注册信息安全专业人员(CISA,CISO,CISE)

以下哪个不是SDL的思想之一()
A:SDL是持续改进的过程,通过持续改进和优化以适用各种安全变化,追求最优效果
B:SDL要将安全思想和意识嵌入到软件团队和企业文化中
C:SDL要实现安全的可度量性
D:SDL是对传统软件开发过程的重要补充,用于完善传统软件开发中的不足
质量保证小组通常负责()
A:确保从系统处理收到的输出是完整的
B:监督计算机处理任务的执行
C:确保程序、程序的更改以及存盘符合制定的标准
D:设计流程来保护数据,以免被意外泄露、更改或破坏
确定异构环境下跨平台的资料访问方式,IS审计师应该首先检查()。
A:业务软件
B:系统平台工具
C:应用服务
D:系统开发工具
在TCP/IP模型中应用层对应OSI模型的哪些()层:
A:应用层
B:应用层、表示层
C:应用层、表示层、会话层
D:应用层、表示层、会话层、传输层
安全事件应急响应系统的最终目标是()。
A:对安全事件做出的反应不足
B:检测安全事件
C:对安全事件做出过度反应
D:实施提高安全的保护措施
信息系统安全保障工程是一门跨学科的工程管理过程,他是基于对信息系统安全保障需求的发掘和对()的理解,以经济,科学的方法来设计、开发、和建设信息系统,以便他能满足用户安全保障需求的科学和艺术。
A:安全风险
B:安全保障
C:安全技术
D:安全管理
SSE-CMM将工程过程区域分为三类,即风险过程、工程过程、和保证过程,下面对于保证过程的说法错误的是()
A:保证是指安全需求得到满足的可信任程度
B:信任程度来自于对安全工程过程结果质量的判断
C:自验证与证实安全的主要手段包括观察、论证、分析和测试
D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持
在软件开发过程中,以下哪一个最有可能确保业务需求得到满足()。
A:适当的培训
B:程序员理解业务流程
C:业务规则文件
D:关键用户尽早介入
审计电子资金转账(EFT)系统时,IS审计师最应该关注以下哪种用户配置文件?()
A:能够获取并验证他们自己信息的3个用户
B:能够获取并发送他们自己的信息的5个用户
C:能够验证其他用户并发送他们自己信息的5个用户
D:能够获取并验证其他用户的信息,并发送他们自己信息的3个用户
起始项目
在检查意外事件报告中,IT审计师发现有一次,一份留在雇员桌上的重要的文件被外包的清洁工丢弃进了垃圾桶。以下哪项是IT审计师应该向管理层提出的建议()。
A:组织和清洁部门应该实施更严格的控制。
B:因为过去没有事故发生,因此不需要采取行动。
C:制定一个桌面清理政策并在组织中严格实施。
D:制定对所有的重要办公文档的严格备份策略。
对操作系统打补丁和系统升级是以下哪种风险控制措施?()
A:降低风险
B:规避风险
C:转移风险
D:接受风险
在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误的理解是()
A:如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时,则这个组织在这个过程区域的能力成熟度未达到此级
B:如果该组织某个过程区域(Process Areas,PA)具备了“定义标准过程”、“执行已定义的过程”两个公共特征,则此过程区域的能力成熟度级别达到3级“充分定义级”
C:如果某个过程区域(Process Areas,PA)包含4个基本实施(Base Practices,BP),执行此PA时执行了3个BP,则此过程区域的能力成熟度级别为0
D:组织在不同的过程区域的能力成熟度可能处于不同的级别上
一个组织为他的供应链伙伴和客户提供信息,通过外联网和基础设施。下面哪一个是IS审计师在审查防火墙安全架构时应该最关注的()。
A:安全套接层为用户认证和远程管理防火墙
B:基于变更需求,升级防火墙策略
C:阻挡进入的通讯,除非通讯类型和连接被特别许可
D:防火墙被配置在业务操作系统顶部并安装了所有选项
IS审计师应该确保网上电子资金交易(EFT)的审核,对账程序应包括:()
A:核单
B:授权
C:更正
D:追踪
编辑
计算机取证的工作顺序是()
A:1准备,2提取,3保护,4分析,5提交
B:1准备,2保护,3提取,4分析,5提交
C:1准备,2保护,3提取,4提交,5分析
D:1准备,2提取,3保护,4分析,5提交
以下哪项是组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动?()
A:反应业务目标的信息安全方针、目标以及活动
B:来自所有级别管理者的可视化的支持与承诺
C:提供适当的意识、教育与培训
D:以上所有
下面威胁中不属于抵赖行为的是()
A:发信者事后否认曾经发送过某条消息
B:收信者事后否认曾经接收过某条消息
C:发信者事后否认曾经发送过某条消息的内容
D:收信者接收消息后更改某部分内容
在使用系统工具安全工程能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,有关测量结果,错误理解的是()
A:如果该组织在执行某个特定的过程区域具备了一个特定级别的部门公共特征时,这个组织过程的能力成熟度未达到级别
B:如果该组织过个工程区域(Process Areas PA)具备了定义标准过程,执行已定义的过程,两个公共特征,对此工程区域的能力成熟度级别达到3级充分定义级
C:如果某个区域过程(Prpcess Areas PA)包含的4个基本措施(Base Pracbces,BP)执行此BP时执行了3个BP此过程区域的能力成熟度级别为0
D:组织在不同的过程区域能力成熟度可能处于不同级别上
虚拟专用网(VPN)通过以下哪种方式提供数据加密()。
A:SSL(安全套接层协议)
B:隧道模式
C:数字签名
D:钓鱼
IS审计师对于与员工相关的IS管理实践审计进行一般控制审计,应该特别关注的是()。
A:强制休假政策和遵守情况
B:人员分类和公平的补偿政策
C:员工培训
D:分配给员工的职责
下列对虚拟专用网描述正确的是()
A:通过不同的网络来构建的专用网络
B:只有使用PPTP才可以建立企业专用网
C:虚拟专网只有运营商拥有
D:只有使用IPSEC协议才能建立真正的VPN
从业务角度出发,最大的风险可能发生在哪个阶段?()
A:立项可行性分析阶段
B:系统需求分析阶段
C:架构设计和编码阶段
D:投产上线阶段
当发现信息系统被攻击时,以下哪一项是首先应该做的?()
A:切断所有可能导致入侵的通信线路
B:采取措施遏制攻击行为
C:判断哪些系统和数据遭到了破坏
D:与有关部门联系
下列哪种算法通常不被用于保证机密性?()
A:AES
B:RC4
C:RSA
D:MD5
在一个组织中信息技术安全的基线已经被定义了,那么信息系统审计师应该首先确认它的()。
A:实施
B:遵守
C:文件
D:足够(充分)
IS审计师审查机构的数据文件控制程序,发现应用于最新的文件,而重启程序恢复以前的版本。IS审计师应该建议实施以下()。
A:保留源文件
B:数据文件安全
C:版本使用控制
D:一对一地检测
以下哪一项最有可能发生在系统开发项目编码阶段的中期()。
A:单元测试
B:压力测试
C:回归测试
D:验收测试
某IS审计师参与了优化IT基础设施的重建过程。下面哪一项最适合用于识别需要解决的问题?()
A:自我评估
B:逆向工程
C:原型设计
D:差距分析
首页 <上一页 58 59 60 61 62 下一页> 尾页