出自:注册信息安全专业人员(CISA,CISO,CISE)

某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则()
A:最小特权原则
B:职责分离原则
C:纵深防御原则
D:最少共享机制原则
光纤传输线路(光缆)
交易审计线索的主要目的是?()
A:减少存储介质的使用
B:确定处理交易责任和职务
C:有助IS审计师追踪交易
D:为能力规划提供有益的信息
下面哪一个不是系统实施阶段风险管理的工作内容?()
A:安全测试
B:检查与配置
C:配置变更
D:人员培训
快速应用开发相比传统系统开发生命周期的最大优势是()。
A:有利于用户参与
B:允许提前测试技术特征
C:便于转换到新的系统
D:缩短开发时间
下列我国哪一个政策性文件明确了我国信息安全保障工作的方针和总体要求以及加强信息安全工作的主要原则?()
A:《关于加强政府信息系统安全和保密管理工作的通知》
B:《中华人民共和国计算机信息系统安全保护条例》
C:《国家信息化领导小组关于加强信息安全保障工作的意见》
D:《关于开展信息安全风险评估工作的意见》
IT系统恢复互惠协定的现场测试已经进行,其中包括重点使用的业务单元的四小时测试。测试已经成功,但只对以下那部分提供了保障:()
A:系统和IT操作团队在紧急环境下可持续的操作
B:资源和环境可以承受事务负载
C:连接到远程站点的应用程序满足响应时间的要求
D:在发生灾难情况下,实际业务操作流程可以使用紧急系统
补偿性控制
PDR模型中,下面哪个措施不属于防护(P)措施()
A:物理门禁
B:防火墙
C:入侵检测
D:加密
一个公司由于目前合同到期在考虑采用新的ISP(Internet接入服务商)。从审计的角度以下哪项最需要检查()。
A:服务水平协议。
B:ISP的物理安全。
C:ISP的其它客户的推荐。
D:ISP雇员的背景调查。
大型公司的供应商遍布在全球各地,因此其网络流量会持续上升。在这种环境下的信息基础设备及各种组件应当是可缩放的,下列哪一种防火墙的结构限制了其未来的缩放性()。
A:固定单元的防火墙
B:基于操作系统的防火墙
C:基于主机的防火墙
D:非军事化区(DMZ)
以下哪个测试阶段的失败最影响新的应用软件的实施?()
A:系统测试
B:验收测试
C:集成测试
D:单元测试
在进行例行的信息系统审计时,信息系统审计师要评估测试和演练结果,其主要目的是()。
A:检查是否把相关纠正措施更新到了整个业务连续计划中
B:是否测试和演练结果是否被组织中的相关管理人员复核
C:是否发现了问题并制定了解决方案
D:以上都是
美国信息交换标准码
下列哪一项减少了潜在的社会工程攻击的影响()。
A:遵守规定要求
B:提高道德意识
C:安全意识程序
D:有效的业绩激励
达到评价IT风险的目标最好是通过()
A:评估与当前IT资产和IT项目相关的威胁
B:使用过去公司损失的实际经验来确定当前的风险
C:浏览公开报导的可比较组织的损失统计数据
D:浏览审计报告中涉及的IT控制薄弱点
下列业务连续性计划的哪一部分需要首先在业务影响分析中被识别。()
A:组织风险,如单点失效和基础设施风险
B:关键业务流程的威胁
C:确定关键业务的恢复优先级
D:恢复业务的资源分析
起草业务持续计划(BCP)时,以下哪项陈述是正确的()
A:停机时间成本随恢复点目标(RPO)的提高而降低
B:停机时间成本随时间的推移而增加
C:恢复成本与时间无关
D:恢复成本仅可得到短期控制
有关能力成熟度模型(CMM)错误的理解是()
A:CMM的基本思想是,因为问题是由技术落后引起的,所以新技术的运用会在一定程度上提高质量、生产率和利润率
B:CMM的思想来源于项目管理和质量管理
C:CMM是一种衡量工程实施能力的方法,是一种面向工程过程的方法
D:CMM是建立在统计过程控制理论基础上的,它基于这样一个假设,即“生产过程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”
在线(处理)系统环境下,难以做到完全的职责分工时,下面哪一个职责必须与其他分开()。
A:数据采集和录入
B:授权/批准
C:记录
D:纠错
下面哪一种数据有效性编辑检查被用来确定字段是否包含数据,是非0或空的()
A:校验数字
B:存在性检查
C:完整性测试
D:合理性检查
一个企业的业务连续性计划应根据预定的标准激活,这解决了:()
A:中断的持续时间
B:中断的类型
C:中断的概率
D:中断的原因
非授权用户或外部人员(例如黑客)可以通过公共电话拨入网络,不断地尝试系统代码、用户身份识别码和口令来获得对网络的访问权限。这种“暴力破解”的方法一般在什么情况下有效()。
A:非授权用户在尝试一定数量的口令猜测后,会被系统自动断开
B:使用常用字符和个人相关信息作为口令
C:用户身份识别码和口令有各种大量的可能性组合
D:所有登录企图被记录下来,并妥善保护
在对外包运营网络运营中心(NOC)审查期间,IS审计师得出结论,通过外包代理监控远程网络管理活动的工作流程是不恰当的。管理层讨论期间,首席信息官(CIO)对此问题进行了更正,证实其作为按照客服工作流程处理的客户服务活动的合理性,并提出以激活入侵监测系统(IDS)日志并监控防火墙规则。IS审计师应采取的最佳行动步骤是什么?()
A:根据CIO的反馈修改审计报告中的审计结果
B:因为已经激活IDS日志,所以撤销审计结果
C:因为已经监控防火墙规则,所以撤销审计结果
D:在审计报告中记录已确定的审计结果
进行信息安全管理体系的建设是一个涉及企业文化,信息系统特点,法律法规等多方面因素的负杂过程,人们在这样的过程中总结了许多经验,下面哪一项是最不值得赞同的?()
A:成功的信息安全管理体系建设必须得到组织的高级管理的直接支持
B:制定的信息安全管理措施应当与组织的文化环境相匹配
C:应该对ISO27002等国际标注批判地参考,不能完全照搬
D:借助有经验的大型国际咨询公司,往往可以提高管理体系的执行效
IS审计师推荐使用库控制软件以便提供合理保证:()
A:程序变更得到授权
B:只有经过彻底测试的程序才能被发布
C:被修改的程序自动转移到生产库
D:源代码和可执行代码的完整性得以保持
风险计算原理可以用下面的范式形式化地加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)),以下关于上式各项说明错误的是()
A:R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性
B:L表示威胁利资产脆弱性导致安全事件的可能性
C:F表示安全事件发生后造成的损失
D:Ia,Va分别表示安全事件作用全部资产的价值与其对应资产的严重程度
审核在实施审核时,所使用的检查表不包括的内容有()。
A:审核依据
B:审核证据记录
C:审核发现
D:数据收集方法和工具
安全技术评估工具通常不包括()。
A:漏洞扫描工具
B:入侵检测系统
C:调查问卷
D:渗透测试工具
渗透测试作为网络安全评估的一部分()。
A:提供保证所有弱点都被发现
B:在不需要警告所有组织的管理层的情况下执行
C:找到存在的能够获得未授权访问的漏洞
D:在网络边界上执行不会破坏信息资产
首页 <上一页 90 91 92 93 94 下一页> 尾页