注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

DNS欺骗是发生在TCP/IP协议中（）层的问题。
A:网络接口层
B:互联网网络层
C:传输层
D:应用层

在软件保障成熟度模型（Software Assurance Maturity ldode，SAMM）中，规定了软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能（）
A:治理，主要是管理软件开发的过程和活动
B:构造，主要是在开发项目中确定目标并开发软件的过程与活动
C:验证，主要是测试和验证软件的过程与活动
D:购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动

信息系统审计师发现企业架构（EA）是采取最近当前状态的组织。不过，该组织已启动了一个独立的项目开展优化未来状态。信息系统审计师应该？（）
A:建议单独的项目应尽快完成
B:在审计报告中作为一个结论来报告这个问题
C:推荐采用的Zachmann架构
D:重新审核，把单独项目包括在新的范围内

通信设备的持续性是通过提供冗余连接，如本地的T1线路，微波，同轴电缆，保证远程通信能够持续访问本地线路是：（）
A:最后一英里电路保护
B:长途网多样性
C:多种线路
D:替代线路

以下哪一项根据系统输入、输出及文件的数量和复杂性来测算系统的规模（）。
A:程序评估审查技术（PERT）
B:快速应用开发（RAD）
C:功能点分析（FPA）
D:关键路径法（CPM）

某政府机构拟建设一机房，在工程安全监理单位参与下制定了招标文件，项目分二期，一期目标为年底前实现系统上线运营，二期目标为次年上半年完成运行系统风险的处理，招标文件经管理层审批后发布。就此工程项目而言，以下正确的是（）
A:此项目将项目目标分解为系统上线运营和运行系统风险处理分期实施，具有合理性和可行性
B:在工程安全监理的参与下，确保了此招标文件的合理性
C:工程规划不符合信息安全工程的基本原则
D:招标文件经管理层审批，表明工程目标符合业务发展规划

攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。这是哪种类型的漏洞？（）
A:缓冲区溢出
B:SQL注入
C:设计错误
D:跨站脚本

IS审计师审计业务连续性计划（BCP）以下哪一个发现最重要？（）
A:没有可替换的PBX（数字程控交换机，主要用于电话通讯）系统
B:缺乏骨干网的备份
C:缺乏对用户PC的备份系统
D:访问卡片系统失败

质量保证组一般负责（）。
A:确保从其他系统接受的结果处理已经完成
B:监督计算机处理任务的执行
C:确保程序，程序变更和文档与制定的标准一致
D:设计流程保护数据防止意外泄漏，修改和破坏

对于外部组织访问企业信息资产的过程中相关说法不正确的是（）？
A:为了信息资产更加安全，禁止外部组织人员访问信息资产
B:应确保相关信息处理设施和信息资产得到可靠的安全保护
C:访问前应得到信息资产所有者或管理者的批准
D:应告知其所应当遵守的信息安全要求

有关系统安全工程-能力成熟度模型（SSZ-CMM），错误的理解是（）
A:SSE-CMM要求实施组织与其他组织相互作用，如开发方、产品供应商、集成商和咨询服务商等
B:SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目
C:基手SSE-CMM的工程是独立工程，与软件工程、硬件工程、通信工程等分别规划实施
D:SSE-CMM覆盖整个组织的活动，包括管理、组织和工程活动等，而不仅仅是系统安全的工程活动

以下哪一个关于信息安全评估的标准首先明确提出了保密性、完整性和可用性三项信息安全特征？（）
A:ITSEC
B:TCSEC
C:GB/T9387.2
D:彩虹系列的橙皮书

信息安全需求获取的主要手段是（）。
A:信息安全风险评估
B:领导的指示
C:信息安全技术
D:信息安全产品

在业务持续计划（BCP）发布之后，要有效的实施它，最重要的是BCP应该：（）
A:存放在公司外部的安全设施中
B:高级管理层批准
C:通报给相关人员
D:通过企业的网络使其可用

下面有关于信息安全管理体制的说法错误的是（）
A:目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B:我国的信息安全保障工作综合利用法律、管理和技术的手段
C:我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针
D:我国对于信息安全贵任的原则是谁主管、谁负责；谁经营、谁负责

干管灭火器系统使用（）。
A:水，但是只有在发现火警以后水才进入管道
B:水，但是水管中有特殊的防水剂
C:CO₂代替水
D:哈龙代替水

下列哪一项准确地定义了风险评估中的三个基本步骤？（）
A:识别风险；评估风险；消减风险
B:资产赋值；风险分析；防护措施
C:资产赋值；识别风险；评估风险
D:识别风险；资产赋值；消减风险

使用闪存（比方说USB可移动盘）最重要的安全考虑是（）。
A:内容高度不稳定
B:数据不能备份
C:数据可以被拷贝
D:设备可能与其他外设不兼容

企业里有个混合访问点不能升级其安全强度，而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点，下面哪一个选项支持IS审计师的建议的理由最为充分（）。
A:新的访问点具有更高的安全强度
B:老的访问点性能太差
C:整个企业网络的安全强度，就是其最为薄弱之处的安全强度
D:新的访问点易于管理

以下哪项不可以作为ISMS审核（包括内审和外审）的依据，文件审核、现场审核的依据？（）
A:机房登记记录
B:信息安全管理体系
C:权限申请记录
D:离职人员的口述

下列哪一项是深层防护安全原则的例子？（）
A:使用两个不同供应商的防火墙，连续检查传入的网络通信
B:使用防火墙以及逻辑访问控制对主机的传入信号进行控制
C:在电脑中心建筑外面没有物理信号
D:使用两个并列的防火墙检查不同类型的传入流量

基于生物特征的鉴别系统一般使用哪个参数来判断系统的准确度？（）
A:错误拒绝率
B:错误监测率
C:交叉错判率
D:错误接受率

用于IT开发项目的关于业务案例的文件应该保留到（）。
A:整个系统的生命周期结束
B:项目被核准
C:用户接受系统
D:系统正常生产

安全管理评估工具通常不包括（）。
A:调查问卷
B:检查列表
C:访谈提纲
D:漏洞扫描

在审计报告确认发现的结果finding后，被审计方迅速采取了纠正行动。审计师应该（）。
A:在最后报告中包括发现的结果，因为ＩＳ师要负责正确的审计报告包括所有的发现结果。
B:在最后的调查报告中不包括发现结果，因为审计报告仅仅包括未解决的发现结果
C:在最后的调查报告中不包括发现结果，因为在审计师审计期间，纠正行动已经被确认。
D:包括结果，仅仅在闭幕会议上讨论调查之用。

设计信息安全策略时，最重要的一点是所有的信息安全策略应该（）。
A:非现场存储
B:由IS经理签署
C:发布并传播给用户
D:经常更新

在实施对于多用户分布式应用程序的审核时，IS审计师发现在三个方面存在小的弱点（）。初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应该（）。
A:分别记录对于每个发现产生的相关影响。
B:建议经理关于可能的风险不记录这些发现，因为控制弱点很小
C:记录发现的结果和由于综合缺陷引发的风险
D:报告部门领导重视每一个发现并在报告中适当的记录

在审查信息系统短期（战术性）计划时，一个信息系统审计师应该确定是否（）。
A:计划中包含了信息系统和业务员工
B:明确定义了信息系统的任务与远景
C:有一套战略性的信息技术计划方法
D:该计划将企业目标与信息系统目标联系起来

首页 <上一页 82 83 84 85 86 下一页> 尾页