出自:注册信息安全专业人员(CISA,CISO,CISE)

审计中发现的证据表明,有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。IS审计师可以推测的结论是()。
A:经理助理有舞弊行为
B:不能肯定无疑是谁做的
C:肯定是经理进行舞弊
D:系统管理员进行舞弊
IS审计师执行对于IS部门的审计工作,发现不存在正式项目审批程序。如果没有这些程序,项目经理可以擅自批准项目,这些项目能在很短的时间内完成。比较而言,更复杂的项目需要更高级别的管理人员批准。IS审计师建议采取的第一步行动是()。
A:用户参与审查和审批程序
B:使用正式审批程序并记录
C:项目交付适当的管理层审批
D:IS经理的工作描述需要修改以包括审批权
相对于不存在灾难恢复计划,和当前灾难恢复计划的成本对比,最接近的是()。
A:增加
B:减少
C:保持不变
D:不可预知
缓冲溢出是由以下哪一项造成的()。
A:WEB服务器配置错误
B:操作系统软件缺陷
C:CGI脚本缺陷
D:WEB服务器缺陷
对于信息系统访问控制说法错误的是()。
A:应该根据业务需求和安全要求置顶清晰地访问控制策略,并根据需要进行评审和改进
B:网络访问控制是访问控制的重中之重,网络访问控制做好了操作系统和应用层次的访问控制问题就可以得到解决
C:做好访问控制工作不仅要对用户的访问活动进行严格管理,还要明确用户在访问控制中的有关责任
D:移动计算和远程工作技术在广泛应用给访问控制带来了新的问题,因此在访问控制工作中要重点考虑对移动计算设备和远程工作用户的控制措施
按照从强到弱的顺序,对以下抗重放攻击的验证机制进行排序()。
A:仅使用口令、口令和PIN、挑战-响应、一次性口令
B:口令和PIN、挑战-响应、一次性口令、仅使用口令
C:挑战-响应、一次性口令、口令和PIN、仅使用口令
D:挑战-响应、口令和PIN、一次性口令、仅使用口令
实施防火墙最容易发生的错误是()。
A:访问列表配置不准确
B:社会工程学会危及口令的安全
C:把modem连至网络中的计算机
D:不能充分保护网络和服务器使其免遭病毒侵袭
TCP/IP协定簇包含的面向连接的协定处于()。
A:传输层
B:应用层
C:物理层
D:网络层
在审计的计划中,最关键的一步为识别()。
A:高风险的区域
B:审计人员的技能安排。
C:审计的测试步骤。
D:审计时间安排
为了阻止网络假冒,最好的方法是()
A:回拨技术
B:文件加密
C:回拨技术加上数据加密
D:拨号转移技术
下列哪一项能够被用来检测过去没有被识别过的新型攻击?()
A:基于特征的IDS
B:基于知识的IDS
C:基于行为的IDS
D:专家系统
哪一项不是业务影响分析(BIA)的工作内容?()
A:确定应急响应的恢复目标
B:确定公司的关键系统和业务
C:确定业务面临风险时的潜在损失和影响
D:确定支持公司运行的关键系统
以下哪一个成为网络管理的重要组成部分被广泛接受()。
A:配置管理
B:拓扑映射
C:应用监视器
D:代理服务器发现困难
下列对自主访问控制说法不正确的是()
A:自主访问控制允许客体决定主体对该客体的访问权限
B:自主访问控制具有较好的灵活性扩展性
C:自主访问控制可以方便地调整安全策略
D:自主访问控制安全性不高,常用于商业系统
一旦一个组织完成了业务流程重组(BPR)的所有重要操作后,IS审计师的审计重点最可能会是()。
A:BRP之前的处理流程图
B:BPR之后的处理流程图
C:BRP项目计划
D:连续改进和监控计划
某单位在评估生物识别系统时,对安全性提出了非常高的要求。据此判断,下列哪一项技术指标对于该单位来说是最重要的?()
A:错误接收率(FAR)
B:平均错误率(EER)
C:错误拒绝率(FRR)
D:错误识别率(FIR)
系统安全工程-能力成熟度模型(Systems Security Engineoring-Capabilitymaturity model,SSE-CMM)定义的包含评估威胁、评估脆弱牲、评估影响和评估安全风险的基本过程领域是()
A:风险过程
B:工程过程
C:保证过程
D:评估过程
在信息安全管理体系中,带有高层目标的信息安全策略是被描述在()
A:信息安全管理手册
B:信息安全管理制度
C:信息安全指南和手册
D:信息安全记录文档
蠕虫的特性不包括()。
A:文件寄生
B:拒绝服务
C:传播快
D:隐蔽性好
下面哪一个目标控制自我评估(CSA)计划的目标()。
A:关注高风险领域
B:替换审计责任
C:完成控制问卷
D:促进合作研讨会
对于信息系统风险管理描述不正确的是()。
A:漏洞扫描是整个安全评估阶段重要的数据来源而非全部
B:风险管理是动态发展的,而非停滞、静态的
C:风险评估的结果以及决策方案必须能够相互比较才可以具有较好的参考意义
D:风险评估最重要的因素是技术测试工具
IS审计师审查组织的数据文件控制程序,发现事务处理用的是最新文件,而重启程序用了以前的版本。IS审计师应该建议实施以下操作:()
A:源文件保留
B:数据文件安全
C:版本使用控制
D:一对一检查
在电子转账系统(EFT)中,下面哪一种控制有助于发现重复信息()。
A:信息认证码
B:数字签名
C:授权序列码
D:授权分离
业务影响分析(BIA)的主要目的是?()
A:提供灾难后运营的计划
B:识别影响组织运行持续性的事件
C:公开对机构物理和逻辑安全的评鉴
D:提供一个有效的灾难恢复计划的框架
下面有关我国信息安全管理体制的说法错误的是()。
A:目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B:我国的信息安全保障工作综合利用法律、管理和技术的手段
C:我国的信息安全管理应坚持检测、快速响应、综合治理的方针
D:我国对于信息安全责任的原则是谁主管、谁负责、谁经营、谁负责
IT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指标而不是()。
A:财务状况
B:客户满意度
C:内部过程的效率
D:创新能力
哪个TCP/IP协议能够表明域里哪台是邮件服务器?()
A:FTP
B:SMTP
C:tracert
D:Telnet
审计痕迹的主要目的()。
A:更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。
B:建立完成的审计工作按年代顺序排列的事件链。
C:建立交付处理的业务交易的责任(可追溯责任)。
D:职责分离缺乏的补偿。
线路窃听
你所属的机构为了保护一些重要的信息需要一个系统范围内的访问控制软件,在对这类软件产品的评价过程中,哪一条是最重要的原则?()
A:需要保护什么样的信息
B:信息是如何被保护的
C:为保护信息预计投入多少
D:如果信息不能被保护将造成的损失
首页 <上一页 69 70 71 72 73 下一页> 尾页