出自:注册信息安全专业人员(CISA,CISO,CISE)

文档体系建设是信息安全管理体系(ISMS)建设的直接体现,下列说法不正确的是()
A:组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是ISMS审核的依据
B:组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制
C:组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容
D:层次化的文档是ISMS建设的直接体现,文档体系应当依据风险评估的结果建立
一家公司在实施一套新的C/S结构的企业资源管理(ERP)系统。分支机构传送客户订单到一个中心生产设备,下列哪项最好地保证了订单准确地输入和相应产品的生产? ()
A:验证生产的产品和客户订单的内容
B:在ERP系统中记录所有的客户订单
C:在订单传输过程中使用hash也运算
D:(产品主管)在生产前批准订单
将业务连续性规划(BCP)整合到IT项目中有助于:()
A:业务连续性需求的改造
B:一个需求更全面的开发
C:事务流程图的开发
D:确保应用程序满足用户的需求
某网站为了开发的便利,SA连接数据库,由于网站脚本中被发现存在SOL注入漏洞,导致攻击者利用内置存储过程xp_cmdshell删除了系统中的一个重要文件,在进行问题分析时,作为安全专家,你应该指出该网站设计违反了以下哪项原则()
A:权限分离原则
B:最小特权原则
C:保护最薄弱环节的原则
D:纵深防御的原则
在人力资源审计期间,安全管理体系内审员被告知在IT 部门和人力资源部门中有一个关于期望的IT 服务水平的口头协议。安全管理体系内审员首先应该做什么?()
A:为两部门起草一份服务水平协议
B:向高级管理层报告存在未被书面签订的协议
C:向两部门确认协议的内容
D:推迟审计直到协议成为书面文档
《GB/T20269-2006信息安全技术信息系统安全管理要求》中关于安全管理规章制度的要求描述正确的是:()
A:基本的安全管理制度应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,以及机房安全管理规定等;
B:基本的安全管理制度应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,以及相关的操作规程等;
C:基本的安全管理制度应包括网络安全管理规定,系统安全管理规定,数据安全管理规定,防病毒规定,机房安全管理规定,以及相关的操作规程等;
D:较完整的安全管理制度应在基本的安全管理制度的基础上,增加设备使用管理规定,人员安全管理规定,安全审计管理规定,用户管理规定,信息分类分级管理规定,安全事件报告规定,事故处理规定,应急管理规定和灾难恢复管理规定等;
以下哪一种硬件设施可以缓解中心服务器从事网络管理、信息处理、格式转换工作()。
A:Spool
B:簇控制器
C:协议转换器
D:前端处理器
网络
当一个组织对其网络实施远程虚拟专用网络(VPN)访问时,最普遍存在的安全风险是什么()
A:可能在整个网络中传播恶意代码
B:VPN登录可能受到欺骗
C:可能嗅探和解密流量
D:可能损害VPN网关
一个组织应该在软件程序测试的哪个阶段进行体系结构设计测试?()
A:用户验收测试
B:系统测试
C:集成测试
D:单元测试
要很好的评估信息安全风险,可以通过()。
A:评估IT资产和IT项目的威胁
B:用公司的以前的真的损失经验来决定现在的弱点和威胁
C:审查可比较的组织公开的损失统计
D:审查在审计报告中的可识别的IT控制缺陷
以下哪个是恶意代码采用的隐藏技术()
A:文件隐藏
B:进程隐藏
C:网络连接隐藏
D:以上都是
以下哪种无线加密标准的安全性最弱?()
A:wep
B:wpa
C:wpa2
D:wapi
可以降低社交工程攻击的潜在影响的是()
A:遵从法规的要求
B:提高道德水平
C:安全意识计划(如:促进安全意识的教育)
D:有效的绩效激励政策
以下哪些事件对于组织可能会成为灾难性事件()。1.地震、洪水、龙卷风、火灾2.恐怖袭击、电力和通讯中断3.黑客攻击、病毒蔓延4.硬件故障、软件升级导致系通宕机
A:1、2
B:2、3、4
C:1、2、3
D:1、2、3、4
软件开发开发测试阶段的尾声,IS审计师发现软件交互错误没有纠正。没有采取任何行动解决这个错误。该审计员应()。
A:报告发现的错误,并让被审计人员进一步解释
B:尽力解决错误
C:建议问题解决增加
D:忽略错误,因为对于软件错误不可能得到客观事实
对安全策略的描述不正确的是()。
A:信息安全策略(或者方针)是由组织的最高管理者正式制订和发布的描述企业信息安全目标和方向,用于指导信息安全管理体系的建立和实施过程
B:策略应有一个属主,负责按复查程序维护和复查该策略
C:安全策略的内容包括管理层对信息安全目标和原则的声明和承诺
D:安全策略一旦建立和发布,则不可变更
下列哪个是整合性测试(ITF)的优点?()
A:ITF使用实际主文件或者替代文件,从而可以使信息系统审计师不用审阅交易的来源
B:周期性的测试不需要独立的测试过程
C:ITF可以验证应用系统的有效性并且对运行中的操作系统进行测试
D:ITF省去了准备测试数据的麻烦
从长期看,以下哪项对改善安全事故应对流程最具潜力?()
A:对事故应对流程执行穿行性审查
B:由事故应对团队执行事件后审查
C:不断地对用户进行安全培训
D:记录对事件的响应
在资金交易通讯中对电子数据交换(EDI)里进行总数据校验的目的是确保()
A:完整性
B:真实性
C:授权
D:不可否认性
在审计期间,审计师注意到一个中型的IT部门并没有独立风险管理功能,该组织的业务风险文档只包含了一些大致IT风险描述。在这种情况下什么建议是适当的?()
A:创建IT风险管理部门,建立IT风险与外部风险管理专家的援助框架
B:使用通用的行业标准分为几个单独的风险,会更容易处理存在的风险
C:没有建立的必要,因为目前的做法是一个中等规模的组织所适合的
D:建立经常性的IT风险管理会议,以确定和评估风险,并创建一个可能覆盖通用的行业标准的该组织的风险
为了保护DNS的区域传送(zonetransfer),你应该配置防火墙以阻止()。 1.UDP; 2.TCP; 3.53; 4.52。
A:1,3
B:2,3
C:1,4
D:2,4
在评估一个计算机硬件安装的项目中,下面哪一项不是你所希望找到的文档化的信息()。
A:为建议书和投标准备的定义需求和提交要求的流程
B:硬件安装如何提高过程吞吐量
C:基于业务计划和需求的对硬件的功能性需求
D:设备安装的方位和地点的决策
企业ISMS(信息安全管理体系)建设的原则不包括以下哪个?()
A:管理层足够重视
B:需要全员参与
C:不必遵循过程的方法
D:需要持续改进
在审查一个分布式多用户应用系统时,信息系统审计师发现了三方面的一些小缺陷:参数的初始设置配置不正确,使用了弱密码,一些重要的报告没有给恰当的检查。在准备审计报告时,信息系统审计师将:()
A:分别记录各个审计发现,以及针对每种审计发现所产生的影响
B:向管理者建议可能存在的风险,但不记录相关的审计发现,因为这些控制缺陷是次要的
C:记录审计发现以及这些控制缺陷聚合所产生的风险
D:通报部门主管对每个审计发现进行关注,并在报告中进行适当记录
下面有关能力成熟度模型的说法错误的是()
A:能力成熟度模型可以分为过程能力方案(Continuous)和组织能力方案(Staged)两类
B:使用过程能力方案时,可以灵活选择评估和改进哪个或哪些过程域
C:使用组织机构成熟度方案时,每一个能力级别都对应于一组已经定义好的过程域
D:SSE-CMM是一种属于组织能力方案(Staged)的针对系统安全工程的能力成熟度模型
目前数据大集中是我国重要的大型分布式信息系统建设和发展的趋势,数据大集中就是将数据集中存储和管理,为业务信息系统的运行搭建了统一的数据平台,对这种做法的认识正确的是?()
A:数据库系统庞大会提高管理成本
B:数据库系统庞大会降低管理效率
C:数据的集中会降低风险的可控性
D:数据的集中会造成风险的集中
随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是()
A:C、不充分的质量保证(Q工具
高级管理层对IT战略计划缺乏输入引起最可能的结果()。
A:缺乏在技术上的投资
B:缺乏系统开发的方法
C:技术目标和组织目标不一致
D:技术合同缺乏控制
以下哪种为终端用户应用开发的普通风险?()
A:应用程序可能没有测试和IT一般控制
B:增加开发和维护成本
C:增加应用程序开发时间
D:决策可能由于当请求信息时响应效率的降低而受到削弱
首页 <上一页 78 79 80 81 82 下一页> 尾页