出自:注册信息安全专业人员(CISA,CISO,CISE)

下列哪一项体现了适当的职责分离?()
A:磁带操作员被允许使用系统控制台
B:操作员是不允许修改系统时间
C:允许程序员使用系统控制台
D:控制台操作员被允许装载磁带和磁盘
信息系统管理人员告诉信息系统审计师组织最近达到了软件能力成熟度模型(CMM)的最高水平,则最近组织增加的软件质量流程是()。
A:持续改进
B:量化的质量目标
C:文档化流程
D:为某一特殊项目定制的流程
以下关于Linux超级权限的说明,不正确的是()
A:一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成
B:普通用户可以通过su和sudo来获得系统的超级权限
C:对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行
D:root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
技术变革的速度增加了下面哪一项的重要性()。
A:外包IS功能
B:实施和强化良好流程
C:员工在组织中的建立事业的愿望
D:满足用户要求
如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于()
A:项目需求定义阶段
B:项目可行性研究阶段
C:项目详细设计阶段
D:项目编程阶段
信息安全策略是管理层对信息安全工作意图和方向的正式表述,以下哪一项不是信息安全策略文档中必须包含的内容()
A:说明信息安全对组织的重要程度
B:介绍需要符合的法律法规要求
C:信息安全技术产品的选型范围
D:信息安全管理责任的定义
IS战略规划应包含()
A:制定的硬件采购规格说明
B:未来业务目标的分析
C:项目开发的(启动和结束)日期
D:IS部门的年度预算(目标)
VPN技术无法实现以下哪个服务?()
A:身份验证
B:传输加密
C:完整性校验
D:可用性校验
内部审计小组对销售回报率的控制进行审计,并考察是否存在欺诈问题。以下那种抽样方法对审计师最有帮助()
A:停-走抽样法
B:经典变量抽样法
C:发现抽样法
D:概率比例规模抽样法
IT工程建设与IT安全工程建设脱节是众多安全风险涌现的根源,同时安全风险也越来越多地体现在应用层。因此迫切需要加强对开发阶段的安全考虑,特别是要加强对数据安全性的考虑,以下哪项工作是在IT项目的开发阶段不需要重点考虑的安全因素?()
A:操作系统的安全加固
B:输入数据的校验
C:数据处理过程控制
D:输出数据的验证
在某个攻击中,入侵者通过由系统用户或系统管理员主动泄漏的可以访问系统资源的信息,获得系统访问权限的行为被称作()
A:社会工程
B:非法窃取
C:电子欺骗
D:电子窃听
风险评估方法的选定在PDCA循环中的哪个阶段完成?()
A:实施和运行
B:保持和改进
C:建立
D:监视和评审
信息安全管理工作小组可就哪些问题向外部安全专家或特定外部组织寻求信息安全方面的建议?()
A:相关安全信息的最佳实践和最新状态知识
B:尽早接受到关于攻击和脆弱点的警告、建议和补丁
C:分享和交换关于新的技术、产品、威胁或脆弱点信息
D:以上都是
IS审计师审查零售公司的EFT运营,确认在资金转移前对客户信贷限额进行了验证,需要审查()。
A:系统接口
B:转换设备
C:个人身份证号码生成程序
D:业务备份处理
根据SSE-CMM信息安全工程过程可以划分为三个阶段,其中()确立安全解决方案的置信度并且把这样的置信度传递给顾客
A:保证过程
B:风险过程
C:工程和保证过程
D:安全工程过程
理想的情况下,压力测试将被实施在一个:()
A:使用测试数据的测试环境中
B:使用实际工作负荷的生产环境中
C:使用实际工作负荷的测试环境中
D:使用测试数据的生产环境中
以下哪个不是软件安全需求分析阶段的主要任务?()
A:确定团队负责人和安全顾问
B:威胁建模
C:定义安全和隐私需求(质量标准)
D:设立最低安全标准/Bug栏
下列哪些团体/个人应承担系统开发项目的总体方向和时间成本责任()。
A:用户管理
B:项目指导委员会
C:高级管理层
D:系统开发经理
Chinese Wall模型的设计宗旨是()。
A:用户只能访问那些与已经拥有的信息不冲突的信息
B:用户可以访问所有信息
C:用户可以访问所有已经选择的信息
D:用户不可以访问那些没有选择的信息
持续审计方法的一个主要优势是:()
A:不需要信息系统审计师对系统的可靠性收集数据
B:需要信息系统审计师对所有收集的信息立刻进行审查和采取跟进措施
C:当在时间共享环境中处理大量交易时,可以提高系统的安全性
D:不依赖组织计算机系统的复杂性
以下哪一个是在所有的WINDOWS2000和WINDOWS系统中都存在的日志是()?
A:目录服务日志
B:文件复制日志
C:应用服务日志
D:DNS服务日志
Kerberos可以防止以下哪种攻击?()
A:隧道攻击
B:重放攻击
C:破坏性攻击
D:处理攻击
SSl不可保证信息的()
A:真实性
B:不可抵赖性
C:完整性
D:保密性
数字签名可以有效对付哪一类电子信息安全的风险()。
A:非授权地阅读
B:盗窃
C:非授权地复制
D:篡改
IS审计师审查交易驱动系统环境中的数据的完整性,需要审查原子性atomicity以确定是否()。
A:数据库存在故障(硬件或软件)
B:每个交易与其他交易分离
C:保持完整的条件
D:交易完成或数据库更新
一套合理有效的信息安全策略最有可能包含以下哪一类(控制)程序来处理可疑的入侵()。
A:响应的
B:纠正的
C:侦测的
D:监控的
以下哪一个是使用ITF综合测试法的优势()。
A:使用真实的或虚拟的主文件,IS审计师不需要审查交易的来源。
B:定期检验过程并不需要单独分离测试过程
C:证实应用程序并可测试正在进行的操作
D:它无需准备测试数据.
下列哪项是成功实施灾难恢复计划(DRP)演练所要的?()
A:所有识别出的资源的参与
B:由管理层批准的演练场景
C:提前通知所有受影响的员工
D:由IT管理部门批准演练场景
信息系统安全保护等级为3级的系统,应当在()年进行一次等级测评。
A:0.5
B:1
C:2
D:3
极限检查
首页 <上一页 92 93 94 95 96 下一页> 尾页