出自:注册信息安全专业人员(CISA,CISO,CISE)

以下哪一项不是威胁建模的元素之一()
A:外部实体
B:过程
C:内部实体
D:数据流
任何一种安全措施都应当符合成本效益原则,不间断电源(UPS)系统是应对电力中断的有效措施,在安装UPS系统时,对以下哪一项因素的考虑最少()。
A:汽油/燃料供应能力
B:可提供的电力负载大小
C:可提供的供电时间
D:主电力中断到UPS开始供电的切换速度
在IS合规性审计规划阶段,以下哪个选项是决定数据收集内容的最重要因素()
A:组织业务的复杂性
B:上一年度的审计结果和注意到的问题
C:审计的目的、目标和范围
D:审计师对组织的熟练程度
去尾法
为方便使用公司内不断增加的移动设备(如:笔记本电脑、PDA和有收发电子邮件功能的手机),IS部门经理刚刚施工完成无线局域网(WirelessLAN)改造,以替换掉以前的双绞线LAN。这种技术改造将会增加哪一种攻击风险()。
A:端口扫描
B:后门
C:中间人
D:战争驾驶
一个组织的系统安全能力成熟度模型达到哪个级别以后,就可以考虑为过程域(PR)的实施提供充分的资源?()
A:2级――计划和跟踪
B:3级――充分定义
C:4级――最化控制
D:5级――持续改进
哪一类防火墙具有根据传输信息的内容(如关键字、文件类)来控制访问连接的能力?()
A:包过滤防火墙
B:状态检测防火墙
C:应用网关防火墙
D:以上都不是
由于频繁出现燃机运行时被黑客远程攻击获取数据的现象,某软件公司准备加强软件安全开发管理,在下面做法中,对于解决问题没有直接帮助的是()
A:要求所有的开发人员参加软件安全开发知识培训
B:要求增加软件源代码审核环节,加强对软件代码的安全性审查
C:要求统一采用Windows8系统进行开发,不能采用之前的Windows版本
D:要求邀请专业队伍进行第三方安全性测试,尽量从多角度发现软件安全问题
在数据库管理系统(DBMS)中,数据存放的位置和访问方法有以下哪一项提供()。
A:数据字典
B:元数据
C:系统目录
D:数据定义语言
下列网络安全说法正确的是:()
A:加固服务器和网络设备就可以保证网络的安全
B:只要资源允许可以实现绝对的网络安全
C:断开所有的服务可以保证网络的安全
D:网络安全状态会随着业务系统的变化而变化,因此网络安全状态需要根据不同的业务而调整相应的网络安全策略
组织希望实施的完整性原则的目的是,实现提高数据库应用中的性能,应该应用下面哪一种设计原则()。
A:用户触发(客户)
B:前端验证数据
C:结束后验证数据
D:参照完整性
一位IS审计师发现,有些用户在他们的个人电脑上安装了个人软件。安全政策并没有明令禁止这种行为。IS审计师的最佳方案应该是建议()
A:IS部门实施控制机制,以阻止未经授权的软件安装
B:安全政策进行更新,以将未授权软件的特定语言包括在内
C:IS部门禁止下载未经授权的软件
D:在安装非标准软件之前用户应取得IS经理的批准
一项检查传输错误的控制需要在传输的每一段数据后面增加计算位,被称为()。
A:合理检查
B:奇偶校验
C:冗余校验
D:核对数字
以下哪项为信息指导委员会的职能?()
A:监控供应商变更管理和测试的管理
B:确保信息处理环境中责任分离
C:审核和监控主要项目,信息规划和预算的状况
D:在信息系统部门和最终用户之间保持联系
第三方应用系统中发现有安全弱点,此系统有与外部系统的接口,在很多模块上应用了补丁。IS审计师将建议作何种测试()。
A:压力
B:黑盒
C:接口
D:系统
IS审计师评估系统变更的测试结果,这个系统用于处理缴纳结算。审计师发现50%的计算结果不能和预先定义的总数匹配。IS审计师最有可能采取下面哪一步措施()。
A:对于出错的计算,设计进一步的测试
B:确定可能导致测试结果错误的变量
C:检查部分测试案例,以便确认结果
D:记录结果,准备包括发现、结论和建议的报告
复式路由
关于冷站的计算机设备的组成,下面哪一种说法不正确()。
A:加热系统,湿度控制和空调设备
B:CPU和其它计算机设备
C:电源连接
D:通讯连接
如果以下哪项职能与系统一起执行,会引起我们的关切()。
A:访问规则的维护
B:系统审计轨迹的审查
C:数据保管异口同声
D:运行状态监视
建立应急响应计划最重要的是()。
A:业务影响分析
B:测试及演练
C:各部门的参与
D:管理层的支持
人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是出于()。
A:为了更好的完成组织机构的使命
B:针对信息系统的攻击方式发生重大变化
C:风险控制技术得到革命性的发展
D:除了保密性,信息的完整性和可用性也引起了人们的关注
一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?()
A:2级——计划和跟踪
B:3级——充分定义
C:4级——量化控制
D:5级——持续改进
应当如可理解信息安全管理体系中的“信息安全策略”?()
A:为了达到如何保护标准而提出的一系列建议
B:为了定义访问控制需求而产生出来的一些通用性指引
C:组织高层对信息安全工作意图的正式表达
D:一种分阶段的安全处理结果
下面哪一个控制弱点有可能会危及系统更换项目()。
A:项目启动文档没有更新,以便在整个系统范围内反映变化
B:比较所选方案和原始规范的差异分析显示了关于功能的一些显著变化
C:项目已经受到了具体需求变化的影响
D:组织决定不需要项目指导委员会
北京某公司利用SSE-CMM对其自身工程队伍能力进行自我改善,其理解正确的是()
A:系统安全工程能力成熟度模型(SSE-CMM)定义了6个能力级别。当工程队伍不能执行一个过程域中的基本实践时,该过程域的过程能力是0级
B:达到SSE-CMM最高级以后,工程队伍执行同一个过程,每次执行的结果质量必须相同
C:系统安全工程能力成熟度模型(SSE-CMM)定义了3个风险过程:评价威胁,评价脆弱性,评价影响
D:SSE-CMM强调系统安全工程与其他工程学科的区别性和独立性。
提出申请的交易处理应用程序有很多数据捕获源,以电子和书面的输出形式确保交易处理过程中不会丢失。IS审计师需要建议的结论是()。
A:验证控制
B:内部信用检查
C:员工控制程序
D:自动化系统平衡
审计WEB服务器时,IS审计师应该关心个人通过哪个选项对保密信息进行未授权访问的风险?()
A:通过网关接口(CGI)的脚本
B:enterprise javA beans(EJB)
C:小应用程序(Applet)
D:WEB服务
当IT支持部门和终端用户之间的责权分离问题很重要时,应该采取下面哪种补偿控制()。
A:限制物理访问计算机设备
B:审查交易和应用日志
C:在雇用IT部门人员时进行背景调查
D:一段时间不活动后,锁定用户进程
基频
信息安全保障是一种立体保障,在运行时的安全工作不包括()
A:安全评估
B:产品选购
C:备份与灾难恢复
D:监控
首页 <上一页 61 62 63 64 65 下一页> 尾页