出自:注册信息安全专业人员(CISA,CISO,CISE)

审计BCP时,IS审计师发现尽管所有部门都位于同一栋大楼里,各部门还是制定了本部门的BCP。IS审计师建议将各BCP协调统一起来,那么,首先要统一的是()。
A:疏散和撤离计划
B:恢复的优先级
C:备份存储
D:电话表
以下对于Windows系统的服务描述,正确的是:()。
A:windows服务必须是一个独立的可执行程序
B:windows服务的运行不需要用户的交互登录
C:windows服务都是随系统的启动而启动,无需用户进行干预
D:windows服务都需要用户进行登录后,以登录用户的权限进行启动
IS审计师被IS告知组织已经达到了CMM最高级别,组织的的软件质量过程最近能够被定义为()。
A:持续改进
B:数量和质量目标
C:文档化的过程
D:对于具体项目的详细处理
在信息系统的设计阶段必须做以下工作除了()。
A:决定使用哪些安全控制措施
B:对设计方案的安全性进行评估
C:开发信息系统的运行维护手册
D:开发测试、验收和认可方案
代码标记的目的是为了提供什么保证()。
A:软件没有后续更改过
B:应用程序能安全的和另外一个标记了的应用程序接口
C:做标记者是可信任的
D:做标记者的私钥尚未被危及安全
下面哪一种关于安全的说法是不对的?()
A:加密技术的安全性不应大于使用该技术的人的安全性
B:任何电子邮件程序的安全性不应大于实施加密的计算机的安全性
C:加密算法的安全性与密钥的安全性一致
D:每个电子邮件消息的安全性是通过用标准的非随机的密钥加密来实现
一个信息系统审计师审核一个组织的风险评估进程应首先:()
A:确定信息资产的合理威胁
B:分析技术和组织的漏洞
C:识别和分级信息资产
D:评价一个潜在的安全漏洞影响
下面把一项最准确的阐述了安全监测措施和安全审计措施之间的区别?()
A:审计措施不能自动执行,而监测措施可以自动执行
B:监测措施不能自动执行,而审计措施可以自动执行
C:审计措施使一次性地或周期性进行,而审计措施是实时地进行
D:监测措施是指一次性地或周期性地进行,而审计措施是实时地进行
在信息安全管理工作中“符合性”的含义不包括哪一项?()
A:对法律法规的符合
B:对安全策略和标准的符合
C:对用户预期服务效果的符合
D:通过审计措施来验证符合情况
公司甲做了很多政府网站安全项目,在为网游公司乙的网站设计安全保障方案时,借鉴以前项目经验,为乙设计了多重数据加密安全措施,但用户提出不需要这些加密措施,理由是影响了网站性能,使用户访问量受限,双方引起争议。下面说法哪个是错误的()
A:乙对信息安全不重视,低估了黑客能力,不舍得花钱
B:甲在需求分析阶段没有进行风险评估,所部署的加密针对性不足,造成浪费
C:甲未充分考虑网游网站的业务与政府网站业务的区别
D:乙要综合考虑业务、合规性和风险,与甲共同确定网站安全需求
以下哪种抽样方法对符合性测试最有用?()
A:属性抽样
B:变数抽样
C:分层单位平均估算法
D:差值估计法
回顾组织的风险评估流程时应首先()。
A:鉴别对于信息资产威胁的合理性
B:分析技术和组织弱点
C:鉴别并对信息资产进行分级
D:对潜在的安全漏洞效果进行评价
在数据仓库中,能保证数据质量的是()。
A:净化
B:重构
C:源数据的可信性
D:转换
企业目前磁带备份,每周一次全备份、每日一次增量备份的策略。最近,企业领导把磁带备份流程中增加了向磁盘备份的步骤。这种做法之所以恰当,是因为()。
A:它支持非现场存储的快速合成备份
B:向磁盘备份的速度远快于向磁带备份
C:随着技术的进步,不再需要磁带库
D:数据保存在磁盘上,其可靠性高于磁带存储
以下对windows账号的描述,正确的是:()。
A:windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限
B:windows系统是采用用户名来标识用户对文件或文件夹的权限
C:windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除
D:windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除
为提供充分的物理访问补偿性控制,以下哪一项最不适用()。
A:ID身份卡
B:口令
C:磁卡
D:访客登记
评估IT风险被很好的达到,可以通过()。
A:评估IT资产和IT项目总共的威胁
B:用公司的以前的真的损失经验来决定现在的弱点和威胁
C:审查可比较的组织出版的损失数据
D:一句审计拔高审查IT控制弱点
下列哪一项在检查操作控制台系统实施时通常不会考虑()。
A:是否通过供应商提供的系统实施的专门技术来进行培训,让内部员工学习新系统
B:实施计划的范围和目标是否符合成本有效性和时间性原则
C:用来管理业务的KPI是否通过实施过程得到改进
D:理解控制台如何同其他操作组件进行接口以及兼容性如何
一家组织通过安全的网站在线销售书籍和音乐产品。每隔一小时都会转移到会计和交付系统进行处理。以下哪种控制最能保证在安全网站上处理的销售业务能够传输到交付和会计系统?()
A:在销售系统中每日记录交易的全部信息。每天都对销售系统的全部信息进行收集和汇总
B:自动对交易进行数字排序。对序列进行检查并对连续性中断予以说明
C:处理系统检查重复的交易号。如果交易号出现重复(该编号已经存在),将拒绝交易
D:使用中心时间服务器每隔一小时对系统时间进行一次同步。给交易加上日期/时间戳
当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?()
A:已买的软件
B:定做的软件
C:硬件
D:数据
为评估软件的可靠性,IS审计师应该采取哪一种步骤?()
A:检查不成功的登陆尝试次数
B:累计指定执行周期内的程序出错数目
C:测定不同请求的反应时间
D:约见用户,以评估其需求所满足的范围
以下哪一个作为网络管理的关键组成部分被广泛接受?()
A:配置管理
B:拓扑映射
C:应用监测工具
D:代理服务器故障排除
使用热站作为备份的优点是()。
A:热站的费用低
B:热站能够延长使用时间
C:热站在短时间内可运作
D:热站不需要和主站点兼容的设备和系统软件
IS审计师审查组织的IS战略计划,首先要审查()。
A:现有的IT环境
B:业务计划
C:目前的IT预算
D:目前的技术趋势
不同类型的加密算法使用不同类型的数学方法,数学方法越复杂,计算所需要的资源就越高。下列哪一种非对称加密算法因需要最少的资源而具有最高效率?()
A:RSA
B:ECC
C:Blowfish
D:IDEA
IS审计师对一家电信公司进行网络安全检查,该电信公司为大型购物中心的无线用户提供无线网络连接服务。该电信公司使用无线传输层安全(WTLS)和安全接层(SSL)技术来保护顾客的支付信息。IS审计师应该最关注,如果黑客:()
A:破坏WAP网关
B:在服务器前端安装嗅探程序
C:盗窃顾客的PDA
D:侦听无线传输
某公司正在对一台关键业务服务器进行风险评估,该服务器价值138000元,针对某个特定威胁的暴露因子(EF)是45%,该威胁的年度发生率(ARO)为每10年发生一次,根据以上信息,该服务器的年度预期损失值(ALE)是多少?()
A:1800元
B:62100元
C:140000元
D:6210元
关于我国加强信息安全保障工作的总体要求,以下说法错误的是()
A:坚持积极防御、综合防范的方针
B:重点保障基础信息网络和重要信息系统安全
C:创建安全健康的网络环境
D:提高个人隐私保护意识
在审计报告中包含的具体发现应该由谁来最终决定()。
A:审计委员会
B:被审人员的经理
C:信息系统审计师
D:组织的首席执行官
人们对信息安全的认识从信息技术安全发展到信息安全保障,主要是由于()
A:为了更好地完成组织机构的使命
B:针对信息系统的攻击方式发生重大变化
C:风险控制技术得到革命性的发展
D:除了保密性,信息的完整性和可用性也引起了人们的关注
首页 <上一页 5 6 7 8 9 下一页> 尾页