注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

总线拓扑结构

以下哪一种控制能够最有效的发现网络传输中发生突发误码的方法是（）。
A:奇偶检测
B:回显检测
C:块求和检测
D:循环冗余检测

以下哪一种计算机存储介质需要垂直存放在无酸环境中以保证介质获得最长的存储时间（）。
A:磁带
B:磁盘驱动器
C:软盘
D:CD/DVD

下面对SSE-CMM说法错误的是？（）
A:它通过域维和能力维共同形成对安全工程能力的评价
B:域维定义了工程能力的所有实施活动
C:能力维定义了工程能力的判断标注
D:“公共特征”是域维中对获得过程区目标的必要步骤的定义

组织回顾信息系统灾难恢复计划时应（）。
A:每半年演练一次
B:周期性回顾并更新
C:经首席执行官（CEO）认可
D:与组织的所有部门负责人沟通

关于监理过程中成本控制，下列说法中正确的是？（）
A:成本只要不超过预计的收益即可
B:成本应控制得越低越好
C:成本控制由承建单位实现，监理单位只能记录实际开销
D:成本控制的主要目的是在批准的预算条件下确保项目保质按期完成

小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为： 1．风险评估工作形式包括：自评估和检查评估； 2．自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估； 3．检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估； 4．对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼，请问小张的所述论点中错误的是哪项（）
A:第一个观点
B:第二个观点
C:第三个观点
D:第四个观点

为了应对日益严重的垃圾邮件问题，人们设计和应用了各种垃圾邮件过滤机制，以下哪一项是耗费计算资源最多的一种垃圾邮件过滤机制？（）
A:SMTP身份认证
B:逆向名字解析
C:黑名单过滤
D:内容过滤

系统上线前应当对系统安全配置进行检查，不包括下列哪种安全检查？（）
A:主机操作系统安全配置检查
B:网络设备安全配置检查
C:系统软件安全漏洞检查
D:数据库安全配置检查

下面哪一项最能保证新员工的正直性（）。
A:背景检查
B:参考资料
C:ｂｏｎｄｉｎｇ
D:简历中的资格

CC标准是目前系统安全认证方面最权威的标准，以下哪一项没有体现CC标准的先进性？（）
A:结构的开放性，即功能和保证要求都可以在具体的“保护轮廓”和“安全目标”中进一步细化和扩展
B:表达方式的通用性，即给出通用的表达方式
C:独立性，它强调将安全的功能和保证分离
D:实用性，将CC的安全性要求具体应用到IT产品的开发、生产、测试和评估过程中

在客户机服务器环境下实施一个购买的系统时，下面哪一项测试能够确定windows注册表的修改不会影响到桌面环境（）。
A:兼容性测试
B:平行测试
C:白盒测试
D:验证测试

在国家标准《信息系统灾难恢复规范》中，根据（）要素。将灾难恢复等级划分为（）级。
A:7，6
B:6，7
C:7，7
D:6，6

IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统与使用大型机相比，使用局域网和个人计算机所增加的风险，不包括哪一项（）。
A:缺乏程序文件以确保完全捕捉数据
B:驻留在个人计算机上的数据安全性较差
C:数据处理的硬件使用故障所引发的问题
D:不完整的数据传输

信息安全管理体系（ISMS）是一个怎样的体系，以下描述不正确的是（）。
A:ISMS是一个遵循PDCA模式的动态发展的体系
B:ISMS是一个文件化、系统化的体系
C:ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定
D:ISMS应该是一步到位的，应该解决所有的信息安全问题

对于一个独立的小型商业计算环境而言，下列哪一种安全控制措施是最有效的（）。
A:对计算机使用的监督
B:对故障日志的每日检查
C:计算机存储介质存话加锁的柜中
D:应用系统设计的独立性检查

以下关于互联网协议安全（Internet Protocol Security，IPsec）协议说法错误的是（）
A:在传送模式中，保护的是IP负载
B:验证头协议（Authentication Head，AH）和IP封装安全载荷协议（Encapsulating Security Payload，ESP）都能以传输模式和隧道模式工作
C:在隧道模式中，保护的是整个互联网协议（Internet Protocol，IP）包，包括IP头
D:IPsec仅能保证传输数据的可认证性和保密性

下列选项中的哪一个可以用来减少一个虚拟专用网（VPN）由于使用加密而导致的系统性能的降低？（）
A:数字证书
B:隧道化
C:远程访问软件
D:数字签名

一个典型的公钥基础设施（PKI）的处理流程是下列选项中的哪一个？（）（1）接收者解密并获取会话密钥（2）发送者请求接收者的公钥（3）公钥从公钥目录中被发送出去（4）发送者发送一个由接收者的公钥加密过的会话密钥
A:4，3，2，1
B:2，1，3，4
C:2，3，4，1
D:2，4，3，1

在数据的机密性、可靠性和完整性方面，以下哪项可以对互联网业务提供最全面的控制？（）
A:安全套接字层（SSL）
B:入侵检测系统（IDS）
C:公钥基础架构（PKI）
D:虚拟专用网络（VPN）

下面哪一个任务在benchmarking process的研究阶段发生（）。
A:确定关键工序
B:基准伙伴访问
C:结果转化为核心的原则
D:认定基准伙伴

公司用于侦察伪造的电子数据交换EDI信息的控制是（）。
A:用确认信息告知收到外部签名的信息
B:只允许授权的员工访问传送设备
C:推迟订单处理，直到收到第二份同样商品的订单
D:将所有收到的信息写入一次写入/多次读取设备，以便存档

张主任的计算机使用Windows7操作系统，他常登陆的用户名为zhang，张主任给他个人文件夹设置了权限为只有zhang这个用户有权访问这个目录，管理员在某次维护中无意将zhang这个用户删除了，随后又重新建了一个用户名为zhang，张主任使用zhang这个用户登录系统后，发现无法访问他原来的个人文件夹，原因是（）
A:任何一个新建用户都需要经过授权才能访问系统中的文件
B:windows7不认为新建立的用户zhang与原来的用户zhang是同一个用户，因此无法访问
C:用户被删除后，该用户创建的文件夹也会自动删除，新建用户找不到原来用户的文件夹，因此无法访问
D:新建的用户zhang会继承原来用户的权限，之所以无法访问是因为文件夹经过了加密

风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程。关于这些过程，以下的说法哪一个是正确的？（）
A:风险分析准备的内容是识别风险的影响和可能性
B:风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C:风险分析的内容是识别风险的影响和可能性
D:风险结果判定的内容是发现系统存在的威胁、脆弱性和控制措施

Kerberos依赖什么加密方式？（）
A:El Gamal密码加密
B:秘密密钥加密
C:Blowfish加密
D:公钥加密

IS审计师对软件使用和许可权进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为（）。
A:个人擅自删除所有未授权软件拷贝
B:通知被审计人员非授权软件的情况，并确认删除
C:报告使用未经授权软体的情况，并需要管理层避免这种情况重复发生
D:不采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用

信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查：（）
A:已经实施的控制
B:已经实施的控制的有效性
C:对相关风险的监控机制
D:与资产相关的威胁和脆弱性

首页 <上一页 65 66 67 68 69 下一页> 尾页