出自:注册信息安全专业人员(CISA,CISO,CISE)

企业风险
为了预防逻辑炸弹,项目经理采取的最有效的措施应该是()。
A:对每日提交的新代码进行人工审计
B:代码安全扫描
C:安全意识教育
D:安全编码培训教育
审计程序
实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的()。
A:审计要求
B:口令
C:识别控制
D:验证控制
以下关于风险评估的描述不正确的是()?
A:作为风险评估的要素之一,威胁发生的可能需要被评估
B:作为风险评估的要素之一,威胁发生后产生的影响需要被评估
C:风险评估是风险管理的第一步
D:风险评估是风险管理的最终结果
下列哪个不是《商用密码管理条例》规定的内容?()
A:国家密码管理委员会及其办公室(简称密码管理机构)主管全国的商用密码管理工作
B:商用密码技术属于国家秘密,国家对商用密码产品的科研、生产、销售和使用实行专控管理
C:商用密码产品由国家密码管理机构许可的单位销售
D:个人可以使用经国家密码管理机构认可之外的商用密码产品
通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证()
A:可靠的产品是有保证的
B:程序员的效率得到了提高
C:安全需求得到了规划、设计
D:预期的软件程序(或流程)得到了遵循
如下,哪一项是时间盒管理的特征()。
A:它不能与原型开发或快速应用开发(RAD.配合使用
B:它回避了质量管理程序(或流程)的要求
C:它能避免预算超支和工期延后
D:它分别进行系统测试和用户验收测试
以下哪种关于电子邮件安全性的说法是正确的()。I.电子邮件不可能比它依赖的计算机系统更安全II.机密的电子邮件信息应该储存于邮件服务器中,储存时间和纸质文件相同III.在大型组织中,可能有若干个不同安全级别的邮件管理员和地点
A:只有I对的
B:只有I和II是对的
C:只有I和III是对的
D:只有II和III是对的
在通过安全套接字层(SSL)加密(在贸易伙伴的服务器上实现)来传输数据时,以下哪项是令人担忧的问题?()
A:组织没有对加密的控制权
B:消息易被线路窃听
C:数据可能未到达目标接收者
D:通信可能不安全
E-MAIL软件应用中验证数位签名可以()。
A:帮助检查垃圾邮件(spam)
B:实现保密性
C:加重闸道服务器的负载
D:严重降低可用的网络带宽
以下对SSE-CMM描述正确的是()
A:它是指信息安全工程能力成熟模型
B:它是指系统安全技术能力成熟的模型
C:它是指系统安全工程能力成熟的模型
D:它是指信息安全技术能力成熟的模型
应用系统开发的责任下放到各业务基层,最有可能导致的后果是()
A:大大减少所需数据通讯
B:控制水平较低
C:控制水平较高
D:改善了职责分工
制订风险管理计划时,首先进行的活动是()。
A:风险评估
B:数据分类
C:资产清单
D:关键性分析
以下对异地备份中心的理解最准确的是()
A:与生产中心不在同一城市
B:与生产中心距离100公里以上
C:与生产中心距离200公里以上
D:与生产中心面临相同区域性风险的机率很小
在一个新组建的运行正常的网络中,如果只允许内网的某些客户可以访问互联网,内网的某些服务器可以被互联网上的用户访问,要在网络中再次部署哪种设备:()
A:防病毒过滤网关
B:IDS
C:二层交换机
D:防火墙
有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(GenericPractices,GP),错误的理解是()
A:GP是涉及过程的管理、测量和制度化方面的活动
B:GP适用于域维中部分过程区域(Process Areas,PA)的活动而非所有PA的活动
C:在工程实施时,GP应该作为基本实施(Base,Practices,BP)的一部分加以执行
D:在评估时,GP用于判定工程组织执行某个PA的能力
对系统工程(Systems Engineering,SE)的理解,以下错误的是()
A:系统工程偏重于对工程的组织与经营管理进行研究
B:系统工程不属于技术实现,而是一种方法论
C:系统工程不是一种对所有系统都具有普遍意义的科学方法
D:系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法
以下对PPDR模型的解释错误的是()。
A:该模型提出以安全策略为核心,防护、检测和恢复组成一个完整的,
B:该模型的一个重要贡献是加进了时间因素,而且对如何实现系统安全状态给出了操作的描述
C:该模型提出的公式1:Pt>Dt+Rt,代表防护时间大于检测时间加响应时间
D:该模型提出的公式1:Pt=Dt+Rt,代表防护时间为0时,系统检测时间等于检测时间加响应时间
外围设备
在分布式计算环境中,系统安全扮演着重要角色,存在着两种网络攻击方式()主动式和被动式攻击,以下哪一种是被动式攻击()。
A:试图登录进入其他人的账户
B:在网络线路上搭线以产生错误信息
C:对合法用户拒绝服务
D:在用户输入系统口令时窃听
在完成了业务影响分析(BIA)后,下一步的业务持续性计划应该是什么?()
A:测试和维护业务持续性计划
B:制定一个针对性计划
C:制定恢复策略
D:实施业务持续性计划
组织已和供应商签约,使用他们的电子征税系统解决方案。供应商在解决方案中包含了应用软件的所有权。合约应满足()。
A:备份服务器应可以使用最新数据运行电子征税系统
B:备份服务器保存所有相关软件和数据
C:组织中使用该系统的员工应被培训后可处理任何事件
D:电子征税系统的原代码应由第三者保存附带条件委付盖印的契约
组织业务连续计划中的联系列表应保持最新的状态,以便一旦发生灾难性事件能够及时找到相关人员作为组织很难做到保持联系列表实时更新,但至少组织应每隔多长时间主动检查联系列表状态()。
A:一周
B:一个月
C:三个月
D:半年
下面对访问控制技术描述最准确的是()
A:保证系统资源的可靠性
B:实现系统资源的可追查性
C:防止对系统资源的非授权访问
D:保证系统资源的可信性
以下哪一项是数据仓库设计中最重要的因素()。
A:元数据的质量
B:处理的速度
C:数据的变动性
D:系统弱点
执行实质性测试时,IS审计师应最关注:()
A:可确定控制运行是否符合设计的证据
B:可确定风险评估的证据
C:收集可评估数据有效性的证据
D:要收集和审查数据的质量
Java小应用程序和ActiveX控件是在WEB上分发的并在客户端浏览器后台执行的程序。这种分发和执行活动在下面哪种情形下被认为是可行的?()
A:存在防火墙的时候
B:使用安全WEB连接时
C:可执行的文件来源可靠时
D:主机网站属于组织的一部分时
路由器的扩展访问控制列表能够检查流量的那些基本信息?()
A:协议,vtan id,源地址,目标地址
B:协议,vian id,源端口,目标端口
C:源地址,目地地址,源端口,目标端口,协议
D:源地址,目地地址,源端口,目标端口,交换机端口号
进入远程站点实行数据的编辑/检验最有效在:()
A:主处理站点在应用程序系统进行之后进行
B:主处理站点在应用程序系统进行时进行
C:数据传输至主处理站点后远程处理站点
D:数据传输至主处理站点时远程处理站点
首页 <上一页 7 8 9 10 11 下一页> 尾页