出自:注册信息安全专业人员(CISA,CISO,CISE)

计算机舞弊行为可以被以下哪一条措施所遏制?()
A:准备起诉
B:排斥揭发腐败内幕的雇员
C:忽略了司法系统的低效率
D:准备接收系统缺乏完整性所带来的风险
攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚步将被解释执行,这是哪种类型的漏洞?()
A:缓冲区溢出
B:sql注入
C:设计错误
D:跨站脚本
程序异常终止
信息安全风险评估对象确立的主要依据是什么?()
A:系统设备的类型
B:系统的业务目标和特性
C:系统的技术架构
D:系统的网络环境
确定商品库存的价值已超过八周,IS审计师最有可能是用()。
A:测试数据.
B:统计抽样
C:综合测试法ITF
D:通用审计软件
审计业务连续性战略时,信息系统审计师与组织中的关键的利益相关者面谈来了解他们对自己(B.C.P中的)角色和职责的理解程度。信息系统审计师会评估以下哪一方面()。
A:业务连续性计划的清晰度和简洁度。
B:业务连续性计划考虑的充分性。
C:业务连续性计划有效性。
D:信息系统的能力及最终用户在紧急情况下的响应能力。
IS管理人员正在考虑使用IP语音(VoIP)网络来降低电信成本,而且管理人员要求IS审计师就哪种安全控制比较合适进行评价。以下哪种安全措施最合适?()
A:审查防火墙功能并在必要时对其进行升级
B:安装调制解调器以便获得远程维护支持
C:创建一个物理上截然不同的网络来处理VoIP流量
D:所有VoIP流量的重定向,从而实现以明文形式记录身份认证凭证
如果IS审计师与部门经理对审计结果存在争议,争议期间审计师应首先采取以下哪项行动()
A:对控制进行重新测试,以验证审计结果
B:邀请第三方对审计结果进行验证
C:将审计结果记入报告,同时注明部门经理的意见
D:对支持审计结果的证据进行重新验证
以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行()。
A:单元测试
B:压力测试
C:回归测试
D:验收测试
从系统工程的角度来处理信息安全问题,以下说法错误的是()
A:系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南
B:系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内
C:系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法
D:系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上,通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科
对涉密系统进行安全保密测评应当依据以下哪个标准?()
A:BMB20-2007《涉及国家秘密的计算机信息系统分级保护管理规范》
B:BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》
C:GB17859-1999《计算机信息系统安全保护等级划分准则》
D:GB/T20271-2006《信息安全技术信息系统统用安全技术要求》
在关于外部信息系统服务的合同的以下条款中,IS审计师最不关心的是哪项()。
A:程序和文件的所有权
B:应有的谨慎和保密声明
C:灾难情况下外包人的持续服务
D:供货商使用的计算机硬件的详尽描述
编译程序
下面哪种VPN技术工作的网络协议层次最高?()
A:IPSEC VPN
B:SSL VPN
C:L2TP VPN
D:GRE VPN
组织允许外部通过互联网访问组织的局域网之前,首先要考虑实施以下哪项措施?()
A:保护调制解调器池
B:考虑适当的身份验证方式
C:为用户提供账户使用信息
D:实施工作站锁定机制
IS审计人员在应用开发项目的系统设计阶段的首要任务是()
A:商定明确详尽的控制程序
B:确保设计准确地反映了需求
C:确保初始设计中包含了所有必要的控制
D:劝告开发经理要遵守进度表
计算机安全应急响应能力CSIRC需要为其日常使用操作以及对系统有效性和责任性检查提供大量信息,下面哪一种日志能最好地反映系统每天的活动过程()。
A:联系日志
B:活动日志
C:事件日志
D:审计日志
下面哪一个被视为网络管理系统的基本特征()。
A:映射网络拓扑结构的图形界面
B:与互联网交互解决问题的能力
C:对于棘手问题的帮助台的连通
D:表格管道数据的输出能力
较低的恢复时间目标(恢复时间目标)的会有如下()结果。
A:更高的容灾
B:成本较高
C:更长的中断时间
D:更多许可的数据丢失
以下哪一项是对于程序员访问应付帐款生产数据的补偿控制()。
A:范围检验和逻辑编辑的处理控制
B:通过数据输入审查应付帐款输出报告
C:审查系统生成的报告,对于固定数量的现金或支票
D:应付帐款管理员核定所有现金和批准的发票
以下哪一项是DOS攻击的一个实例?()
A:SQL注入
B:IP Soof
C:Smurf攻击
D:字典破解
信息系统审计师对网络操作系统进行审计,下列哪项用户特征是信息系统审计师应该审阅的?()
A:在线网络文件的可获得性
B:支持访问远程主机的终端
C:在主机和用户之间处理文件的传输
D:实施管理、审计和控制
在客户/服务器系统中,安全方面的改进应首先集中在()。
A:应用软件级
B:数据库服务器级
C:数据库级
D:应用服务器级
以下哪一项对安全风险的描述是准确的?()
A:安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性
B:安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实
C:安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性
D:安全风险是指资产的脆弱性被威胁利用的情形
计算机顺序检验
为了协助正在规划IT 投资的组织,信息系统审计师应该推荐使用:()
A:项目管理工具
B:面向对象的架构
C:战术规划
D:企业架构(EA)
IS审计师使用数据流程图是用来?()
A:定义数据层次
B:标明高级别数据定义
C:用图表概述数据路径和存储
D:描绘写数据生成的详细步骤信息
审计师在评估一个公司的网络是否可能被员工渗透,其中下列哪一个发现是审计师应该最重视的()。
A:有一些外部调制解调器连接网络
B:用户可以在他们的计算机上安装软件
C:网络监控是非常有限的
D:许多用户帐号的密码是相同的
信息安全保障技术框架(Information Assurance Technical Framework,IATF)由美国国家安全局(NSA)发布,最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南,其中,提出需要防护的三类“焦点区域”是()
A:网络和基础设施区域边界重要服务器
B:网络和基础设施区域边界计算环境
C:网络机房环境网络接口计算环境
D:网络机房环境网络接口重要服务器
对于测试新的、修改的或升级的系统而言,为测试其(处理)逻辑,创建测试数据时,最重要的是()
A:为每项测试方案准备充足的资料
B:实际处理中期望的数据表现形式
C:按照计划完成测试
D:对实际数据进行随机抽样
首页 <上一页 94 95 96 97 98 下一页> 尾页