出自:注册信息安全专业人员(CISA,CISO,CISE)

在不能恰当进行权责分离的环境中,信息系统审计师应关注下列哪种控制?()
A:重叠控制
B:边界控制
C:访问控制
D:补偿性控制
下面哪一项是对IDS的正确描述?()
A:基于特征(Signature-based)的系统可以检测新的攻击类型
B:基于特征(Signature-based)的系统比基于行为(behavior-based)的系统产生更多的误报
C:基于行为(behavior-based)的系统维护状态数据库来与数据包和攻击相匹配
D:基于行为(behavior-based)的系统比基于特征(Signature-based)的系统有更高的误报
以下哪一项对于选择和购买正确的操作系统软件是重要的()。
A:竞争性招标
B:用户部门批准
C:硬件配置分析
D:采购部核准
IS审计师在审查EDI交易过程中发现存在未经授权的交易,审计师可能会建议改进:()
A:EDI贸易伙伴协议
B:终端物理控制
C:发送和接受消息鉴证技术
D:程序变更控制程序
了解一个操作系统的安全配置的最佳方式是()。
A:学习供应商的安装手册
B:检查系统安全计划
C:跟安装软件的系统程序员面谈
D:查看系统自动配置的参数
信息系统安全主要从哪几个方面进行评估?()
A:1个(技术)
B:2个(技术、管理)
C:3个(技术、管理、工程)
D:4个(技术、管理、工程、应用)
如图所示,主体S对客体01有读(R)权限,对客体02有读(R)、写(W)、拥有(Own)权限,该图所示的访问控制实现方法是()
A:访问控制表(ACL)
B:访问控制矩阵
C:能力表(CL)
D:前缀表(Profiles)
以下对访问许可描述不正确的是()
A:访问许可定义了改变访问模式的能力或向其他主体传送这种能力的能力
B:有主性访问许可是对每个客体设置一个拥有者,拥有者对其客体具有全部控制权限
C:等级型访问控制许可通常按照组织机构人员结构关系来设置主体对客体的控制权
D:有主性访问许可是对每个客体设置一个拥有者,但拥有者不是唯一有权修改客体访问控制表的主体
下列哪个保险是由于雇员的欺诈行为所引起的损失?()
A:业务中断
B:忠诚度保证
C:错误和遗漏
D:额外开支
有关Kerberos说法下列哪项是正确的?()
A:它利用公钥加密技术
B:它依靠对称密码技术
C:它是第二方的认证系统
D:票据授予之后将加密数据,但以明文方式交换密码
我国党和政府一直重视信息安全工作,我国信息安全保障工作也取得了明显成效,关于我国信息安全实践工作,下面说法错误的是()
A:加强信息安全标准化建设,成立了“全国信息安全标准化技术委员会”制订和发布了大批信息安全技术,管理等方面的标准
B:重视信息安全应急处理工作,确定由国家密码管理局牵头成立“国家网络应急中心”推动了应急处理和信息通报技术合作工作进展
C:推进信息安全等级保护工作,研究制定了多个有关信息安全等级保护的规范和标准,重点保障了关系国定安全,经济命脉和社会稳定等方面重要信息系统的安全性
D:实施了信息安全风险评估工作,探索了风险评估工作的基本规律和方法,检验并修改完善了有关标准,培养和锻炼了人才队伍
完成业务影响性分析(BIA)后,应该处理下面的哪个步骤:()
A:测试和维护计划
B:制定准备计划
C:制定恢复策略
D:落实计划
当一个应用开发商想要用昨天生产交易文件的副本用来测试时,IS审计师的最主要的关注是:()
A:用户更愿意使用人为的数据来测试
B:会导致未授权地访问敏感数据
C:错误挂起和不能充分证明的可信检查
D:对于新处理的所有功能可能不都需要被测试
以下哪项不属于信息安全管理的工作内容?()
A:信息安全培训
B:信息安全考核
C:信息安全规划
D:安全漏洞扫描
当评估一个组织的网络发现性能问题时,对IS审计师来讲下一步最有效的方式是检查:()
A:所实施的防病毒控制
B:网络中采用的协议
C:网络拓扑
D:网络设置的配置
维护灾难恢复计划的运营开销与没有灾难恢复计划的运营开销相比,下列描述最接近的是:()
A:增加
B:减少
C:相同
D:无法预知
完善的签名应满足以下哪三个条件()
A:签名者事后不能抵赖自己的签名、任何其它人不能伪造签名、签名者有证书
B:任何其它人不能伪造签名、签名者自己可以抵赖、任何人都可以伪造签名
C:如果当事人双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪
D:签名者事后不能抵赖自己的签名、任何其它人不能伪造签名、如果当事人双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。
当检查数据网络架构时,下面哪一项不是IS审计师的一个主要的检查标准()。
A:所有的路由访问都被安全认证的方式控制
B:网络路由可以使关键业务的拥堵得到有效改善
C:对业务和网络管理来说不必要的协议被关闭
D:VLAN使用第二层的转换技术来保证关键数据及其拥堵的安全
下面哪一个不属于基于OSI七层协议的安全体系结构的5种服务之一?()
A:数据完整性
B:数据保密性
C:数字签名
D:抗抵赖
信息安全管理体系(information Securlty Management System.简称ISMS)的实施和运行ISMS阶段,是ISMS过程模型的实施阶段,下面给出了一些备选的活动,选项()描述了在此阶段组织应进行的活动。①制定风险处理计划 ②实施风险处理计划 ③开发有效性测量程序 ④实施培训和意识教育计划 ⑤管理ISMS的运行 ⑥管理ISMS的资源 ⑦执行检测事态和响应事件的程序 ⑧实施内部审核 ⑨实施风险再评估
A:①②③④⑤⑥
B:①②③④⑤⑥⑦
C:①②③④⑤⑥⑦⑧
D:①②③④⑤⑥⑦⑧⑨
审计师观察到不存在恰当的项目批准流程,他应该()。
A:提供详细流程建议实施。
B:寻找没有书面批准流程的证据。
C:确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志,建议项目管理培训作为补偿性控制
D:向管理层建议采取恰当的项目批准流程并文档化。
以下哪一项不是信息安全管理工作必须遵循的原则?()
A:风险管理在系统开发之初就应该予以充分考虑,并要贯穿于整个系统开发过程之中
B:风险管理活动应成为系统开发、运行、维护、直至废弃的整个生命周期内的持续性工作
C:由于在系统投入使用后部署和应用风险控制措施针对性会更强,实施成本会相对较低
D:在系统正式运行后,应注重残余风险的管理,以提高快速反应能力
许多安全管理工作在信息系统生存周期中的运行维护阶段发生。以下哪一种行为通常是不是在这一阶段中发生的?()
A:进行系统备份
B:管理加密密钥
C:认可安全控制措施
D:升级安全软件
审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是()。
A:固有的风险.
B:控制风险
C:检查危险
D:审计风险
一个组织的管理层已经决定建立安全宣传方案。以下哪个最有可能成为该计划的一部分?()
A:利用入侵检测系统事件报告
B:强制规定使用密码来访问所有的软件
C:安装一个有效的用户登录系统跟踪每个用户的行动
D:定期对所有的员工进行培训
传输控制协议
关于安全策略的说法,不正确的是()。
A:得到安全经理的审核批准后发布
B:应采取适当的方式让有关人员获得并理解最新版本的策略文档
C:控制安全策略的发布范围,注意保密
D:系统变更后和定期的策略文件评审和改进
SMTP连接服务器使用端口()。
A:21
B:25
C:80
D:110
按照SSE-cmm能力级别第三级是指()。
A:定量控制
B:计划和跟踪
C:持续改进
D:充分定义
用来为网络中的主机自动分配IP地址、子网掩码、默认网关、WINS服务器地址的网络协议是()
A:ARP
B:IGMP
C:ICMP
D:DHCP
首页 <上一页 79 80 81 82 83 下一页> 尾页