出自:注册信息安全专业人员(CISA,CISO,CISE)

关于源代码审核,描述错误的是()
A:源代码审核有利于发现软件编码中存在的安全问题
B:源代码审核工程遵循PDCA模型
C:源代码审核方式包括人工审核工具审核
D:源代码审核工具包括商业工具和开源工具
下面哪个角色对数据的安全负责?()
A:数据拥有者
B:数据监管人员
C:用户
D:安全管理员
作为业务持续性计划的一部分,在进行业务影响分析(BIA)时的步骤是() 1.标识关键的业务过程 2.开发恢复优先级 3.标识关键的IT资源 4.表示中断影响和允许的中断时间
A:1-3-4-2
B:1-3-2-4
C:1-2-3-4
D:1-4-3-2
信息系统审计师出具审计报告指出边界网关缺少防火墙保护,并推荐了一个外部产品来解决这一缺陷。信息系统审计师违反了()。
A:专业独立性
B:组织独立性
C:技术能力
D:专业能力
在检查信息系统评估其隐私风险时,除以下哪一项外都是IS审计师必须考虑的()。
A:确保在发布敏感数据前得到客户的恰当许可
B:流程中对客户数据的业务需求
C:对客户的适当声明,如:使用何种数据以及如何保护数据
D:客户数据隐私保护的相关法律、法规
哪种测试结果对开发人员的影响最大?()
A:单元测试和集成测试
B:系统测试
C:验收测试
D:渗透测试
在工程实验阶段,机构依据承建合同,安全设计方案,实施方案,实施记录,国家或地方相关标准和技术指导文件,对信息化工程进行安全()检查,以验证项目是否实现了项目设计目标和安全等级要求
A:功能性
B:可用性
C:保障性
D:符合性
一个项目开发团队正在考虑在测试过程中使用生产数据。在将数据载入测试环境之前,该团队将其中的敏感数据元素清除。对于这种做法,IS审计师应额外关注下列哪一项? ()
A:将不会测试全部功能
B:生产数据被引入测试环境
C:需要专门的培训
D:项目可能会超出预算
依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988),需要备用场地但不要求部署备用数据处理设备的是灾难恢复等级的第几级?()
A:2
B:3
C:4
D:5
调试程序的目的是()。
A:用于产生在实施之前测试程序的随机数
B:保证有效变更,防止被其他变更程序重写
C:定义程序开发和维护费用列入可行性研究
D:确保异常中断和编码错误被检查和纠正
允许访问低层和高层网络服务的接口被称为()。
A:固件
B:中间件
C:X25接口
D:工具
下列那种技术不是恶意代码的生存技术?()
A:反跟踪技术
B:加密技术
C:模糊变换技术
D:自动解压缩技术
公开密钥型密码系统
在Internet应用中使用applets,最可能的解释是:()
A:它由服务器通过网络传输
B:服务器没有运行程序,输出也没有经过网络传输
C:改进了web服务和网络的性能
D:它是一个通过网络浏览器下载的JAVA程序,由客户机web服务器执行
某单位将对外提供服务的服务器部署在防火墙DMZ区,为了检测到该区域中的服务器受到的攻击行为,应将防火墙探头接口镜像哪个位置的流量?()
A:内网核心交换机
B:防火墙互联网接口
C:防火墙DMZ区接口
D:以上都可以
恢复策略的选择应该最有可能取决于:()
A:基础设施和系统的修复费用
B:恢复站点的可用性
C:业务流程的关键性
D:时间响应过程
在电子商务环境中,最好避免通信失败风险的方法是使用()。
A:压缩软件减少传输时间
B:功能或信息认知功能
C:对于路由信息的包过滤防火墙
D:租用线路异步传输模式ATM
对以下哪项的频繁更新是使一个灾难恢复计划持续有效的关键?()
A:关键人员的联系信息
B:服务器详细目录文档
C:个人角色和职责
D:阐述灾难的程序
ISMS指的是什么?()
A:信息安全管理
B:信息系统管理体系
C:信息系统管理安全
D:信息安全管理体系
下列哪一项准确地描述了脆弱性、威胁、影响和风险之间的关系?()
A:脆弱性增加了威胁,威胁利用了风险并导致了影响
B:风险引起了脆弱性并导致了影响,影响又引起了威胁
C:风险允许威胁利用脆弱性,并导致了影响
D:威胁利用脆弱性并产生影响的可能性称为风险,影响是威胁已造成损害的实例
以下对企业信息安全活动的组织描述不正确的是()。
A:企业应该在组织内建立发起和控制信息安全实施的管理框架
B:企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全
C:在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定
D:企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
下面有关我国信息安全管理体制的说法错误的是?()
A:目前我国的信息安全保障工作是相关部门各司其职、相互配合、齐抓共管的局面
B:我国的信息安全保障工作综合利用法律、管理和技术的手段
C:我国的信息安全管理应坚持及时检测、快速响应、综合治理的方针
D:我国对于信息安全责任的原则是谁主管、谁负责;谁经营、谁负责
负责授权访问业务系统的职责应该属于()。
A:数据拥有者
B:安全管理员
C:IT安全经理
D:请求者的直接上司
开发业务应用系统的变更控制,使用原型法有可能会复杂由于()。
A:反复性原型
B:需求和设计的快速变化
C:强调报告和显示
D:缺乏综合性工具
当一名入侵者紧跟着一位授权人员,在没有经过访问控制系统认证的情况下通过入口的行为称为:()
A:冒充
B:尾随
C:截获
D:欺骗
在进行应用系统的测试时,应尽可能避免使用包含个人稳私和其它敏感信息的实际生产系统中的数据,如果需要使用时,以下哪一项不是必须做的()
A:测试系统应使用不低于生产系统的访问控制措施
B:为测试系统中的数据部署完善的备份与恢复措施
C:在测试完成后立即清除测试系统中的所有敏感数据
D:部署审计措施,记录生产数据的拷贝和使用
ISO/IEC27001《信息技术安全技术信息安全管理体系要求》的内容是基于()
A:BS7799-1
B:BS7799-2
C:ITSEC
D:CC
下面对信息安全特征和范畴的说法错误的是()。
A:信息安全是一个系统性的问题,不仅要考虑信息系统本身的技术文件,还有考虑人员、管理、政策等众多因素
B:信息安全是一个动态的问题,他随着信息技术的发展普及,以及产业基础,用户认识、投入产出而发展
C:信息安全是无边界的安全,互联网使得网络边界越来越模糊,因此确定一个组织的信息安全责任是没有意义的
D:信息安全是非传统的安全,各种信息网络的互联互通和资源共享,决定了信息安全具有不同于传统安全的特点
IPsec有几种工作模式分别是()
A:一种工作模式,加密模式
B:三种工作模式,机密模式、传输模式、认证模式
C:两种工作模式,隧道模式、传输模式
D:两种工作模式,隧道模式、加密模式
OSI的第五层是()。
A:会话层
B:传输层
C:网络层
D:表示层
首页 <上一页 91 92 93 94 95 下一页> 尾页