注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

记录、屏幕和报表配置

在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的？（）
A:测试系统应使用不低于生产系统的访问控制措施
B:为测试系统中的数据部署完善的备份与恢复措施
C:在测试完成后立即清除测试系统中的所有敏感数据
D:部署审计措施，记录产生数据的拷贝和使用

如果专家系统知识库不充分，将存在下列哪种风险（）。
A:未经授权的第三方访问了系统
B:系统性的程序错误
C:专家系统的使用不成功
D:系统失败

分片攻击问题发生在（）。
A:数据包被发送时
B:数据包在传输过程中
C:数据包被接收时
D:数据包中的数据进行重组时

组织与供应商签订了成套的电子收费系统（ETCS）解决方案的合同，供应商提供专用的软件作为解决方案的一部分，合同中应该规定（）。
A:运行ETCS业务和最新数据的备份服务器
B:装有所有相关软件和数据的备份服务器
C:对系统的工作人员进行培训，以便处理任何事件
D:ETCS应用的源代码放在第三方代管

根据组织业务连续性计划（BCP）的复杂程度，可以建立多个计划来满足业务连续和和灾难恢复的各方面。在这种情况下，有必要（）。
A:每个计划和其它计划保持协调一致
B:所有的计划要整合到一个计划中
C:每个计划和其他计划相互依赖
D:指定所有计划实施的顺序

信息系统审计师注意到多个应用程序运行在同一台服务器上。服务器的恢复时间目标（RTO）将是：（）
A:基于应用程序中最长的RTO
B:基于应用程序中最短的RTO
C:基于各应用程序的RTO的平均值
D:基于应用程序的关键性，与RTO无关

有效的IT治理要求组织的结构和流程能够确保（）。
A:组织的战略和目标延伸到IT战略
B:业务战略来自于IT战略
C:IT治理独立于并不同于全面治理
D:IT战略扩大了组织的战略和目标

下面的角色对应的信息安全职责不合理的是（）
A:高级管理层——最终责任
B:信息安全部门主管——提供各种信息安全工作必须的资源
C:系统的普通使用者——遵守日常操作规范
D:审计人员——检查安全策略是否被遵从

下面哪一个直接受到网络性能监控工具的影响（）。
A:完整性
B:可用性
C:完全性
D:机密性

某个长期雇员是具有强大的技术背景和广泛的管理经验，申请IS审计部门的一个空缺职位。确定是否在此岗位上是否聘用此人需要考虑个人经验和（）。
A:服务时间，因为这将有助于确保技术水平
B:年龄，因为培训审计技术可能不切实际
C:IS知识，因为这会带来提高审计工作的可信度
D:能力，因为作为IS审计师，与现有的IS关系是独立的

对于成功实施和维护安全政策来说，以下哪一项是最重要的（）。
A:各方的书面安全策略的结构和目的都一致。
B:管理层支持并批准实施和维护安全政策
C:通过对任何违反安全规则的行为进行惩罚来强调安全规测
D:安全管理人员通过访问控制软件严格执行，监督和强调安全规则

以下哪个是防火墙能实现的功能？（）
A:阻断内外网的访问
B:阻断内外网的病毒
C:记录并监控所有通过防火墙的数据
D:保护DMZ服务区的安全

公司打算安装单点登陆（SSO）控制软件，以访问企业的所有系统。安装前，公司领导应该知道（）
A:一旦口令外泄，有可能出现严重的非授权访问
B:用户访问权限应该由附加的安全配置加以限制
C:安全管理员的工作负担会加重
D:用户的访问权限会增加

在一个交易驱动的系统环境中，IS审计人员应审查基原子性以确定（）。
A:数据库是否能经受失败（硬件或软件）
B:交易之间是否相互隔离
C:完整性条件是否得到保持
D:一个交易是否已完成或没有进行或数据库已经修改或没有修改

校验和（FCS）可以防止下列哪类攻击？（）
A:重放攻击
B:中间人攻击
C:窃听
D:复制攻击

IS审计师发现IDS日志中与入口相关的端口扫描没有被分析，这样将最可能增加哪一类攻击成功的风险（）。
A:拒绝服务攻击
B:包重放
C:社交工程
D:缓存溢出

以下哪些不是无形资产？（）
A:客户关系
B:电子数据
C:商业信誉
D:企业品牌

对于防止系统的弱点或漏洞被利用（或攻击），下成哪一种是最好的方法（）。
A:日志检查
B:防病毒措施
C:入侵监测
D:补丁管理

IS审计师检查操作系统的配置来验证控制，应查看下列哪个：（）
A:交易日志
B:授权表
C:参数设置
D:路由表

网络隔离技术的目标是确保把有害的攻击隔离，在保证可信网络内部信息不外泄的前提下，完成网络间数据的安全交换，下列隔离技术中，安全性最好的是？（）
A:多重安全网关
B:防火墙
C:VLAN隔离
D:物理隔离

在测试中使用清洁真实的交易数据的优点在于（）。
A:可以包括所有交易类型
B:每种错误情况都可能测试到
C:评估结果不需要特定的程序
D:测试交易代表实际处理

信息安全测评是指依据相关标准，从安全功能等角度对信息技术产品、信息系统、服务提供商以及人员进行测试和评估，以下关于信息安全测评说法不正确的是（）
A:信息产品安全评估是测评机构对产品的安全性做出的独立评价，增强用户对己评估产品安全的信任
B:目前我国常见的信息系统安全测评包括信息系统风险评估和信息系统安全保障测评两种类型
C:信息安全工程能力评估是对信息安全服务提供者的资格状况、技术实力和实施服务过程质量保证能力的具体衡量和评价
D:信息系统风险评估是系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件可能造成的危害程度，提出有针对性的安全防护策略和整改措施

在信息系统设计阶段，“安全产品选择”处于风险管理过程的哪个阶段？（）
A:背景建立
B:风险评估
C:风险处理
D:批准监督

信息安全管理的根本方法是（）
A:风险处置
B:应急响应
C:风险管理
D:风险评估

对于在风险评估过程中发现的风险，下列哪一项不是适当的风险处置措施？（）
A:消减风险
B:接受风险
C:忽略风险
D:转移风险

信息系统审计师的决定和行动最有可能对以下哪个风险产生影响？（）
A:固有风险
B:检查风险
C:控制风险
D:业务风险

在审计计划时，通过实施风险评估可以提供以下哪项信息？（）
A:对于审计覆盖重要领域提供合理的保证
B:对于审计工作覆盖重要领域提供一定的保证
C:对审计将覆盖全部领域提供合理的保证
D:对审计将覆盖全部领域提供充分保证

首页 <上一页 77 78 79 80 81 下一页> 尾页