出自:注册信息安全专业人员(CISA,CISO,CISE)

做渗透测试的第一步是()
A:信息收集
B:漏洞分析与目标选定
C:拒绝服务攻击
D:尝试漏洞利用
IS审计师进行应用程序维护审计时,审查程序变更日志是为了()。
A:授权程序变动
B:创建当前对象模块的日期
C:程序变化实际产生发生的数量
D:源程序创建日期
生产程序
企业正在与厂商谈判服务水平协定(SLA),首要的工作是()。
A:实施可行性研究
B:核实与公司政策的符合性
C:起草其中的罚则
D:起草服务水平要求
哪一个最能保证来自互联网internet的交易事务的保密性()。
A:数字签名
B:数字加密标准(DES)
C:虚拟专用网(VPN)
D:公钥加密(PublicKeyencryption)
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能()。
A:导致对其审计独立性的质疑
B:报告较多业务细节和相关发现
C:加强了审计建议的执行
D:在建议中采取更对有效行动
在应用程序审计中,IS审计师发现有几个问题是由于数据库中篡改的数据造成的,IS审计师应当建议下面哪一项更正控制措施?()
A:实施数据备份和恢复
B:制定标准并监控该标准的遵守程度
C:确保只有授权的用户能更新数据库
D:建立控制机制以处理并行访问带来的问题
逻辑访问控制审查的主要目标是:()
A:审查软件提供的访问控制
B:确保访问权限由组织的权利机构授予
C:穿行性测试并评估IT坏境下提供的访问权限
D:保证对计算机硬件进行适当保护以防止滥用
在一个有充分控制的信息处理计算中心中,下面()可以自同一个人执行。
A:安全管理和变更管理
B:计算机操作和系统开发
C:系统开发和变更管理
D:系统开发和系统维护
IS审计师审查组织的IS灾难恢复计划,应该确认计划:()
A:每六个月进行测试
B:定期审查与更新
C:通过CEO审批
D:与组织各部门的领导沟通过
下列描述中,关于摘要算法描述错误的是()
A:消息摘要算法的主要特征是运算过程不需要密钥,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的摘要
B:消息摘要算法将一个随机长度的信息生成一个固定长度的信息摘要
C:为了保证消息摘要算法安全,必须保证其密钥不被攻击方获取,否则所加密的数据将被破解,造成信息泄密
D:消息摘要算法的一个特点是:输入任何微小的变动都将引起加密结果的很大改变
以下哪一项不是IIS服务器支持的访问控制过渡类型?()
A:网络地址访问控制
B:Web服务器许可
C:NTFS许可
D:异常行为过滤
一个组织的灾难恢复计划的基础是,在一个类似的但不是相同的备份的硬件配置已经建立的站点,重新建立继续生存处理,信息系统审计师应该:()
A:在现在计划发现重大缺陷前不做任何行动
B:建议所有站点的配置保持一致
C:通过再审来校验备份地配置能够满足继续生存处理的要求
D:报告在备份站点上的财务支出在没有应该有效计划的情况下是浪费的
以下哪一个是最主要的优势,利用计算机司法软件进行调查()。
A:维护保管的一系列电子证据
B:节约时间
C:效率和效益
D:寻求侵犯知识产权证据的能力
消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证()。
A:消息的真实性和完整性
B:消息的真实性和保密性
C:消息的完整性和保密性
D:保密性和防抵赖性
在审计系统开发项目的需求阶段时,IS审计人员应()
A:评估审计足迹的充分性
B:标识并确定需求的关键程度
C:验证成本理由和期望收益
D:确保控制规格已经定义
ISMS所要求的文件应予以保护和控制,应编制形成文件控制程序,系列哪项不是该程序所规定的管理措施?()
A:确保文件的更改和现行修订状态得到标识
B:防止作废文件的非预期使用
C:确保文件可以为需要者所获得,但防止需要者对文件进行转移、存储和销毁
D:确保在使用处可获得适用文件的最新版本
程序员恶意修改程序用于修改数据,然后恢复为原始代码,下面哪种方法可以最有效的发现这种恶意行为()。
A:比较源代码
B:审查系统日志文件
C:比较目标代码
D:审查可执行代码和源代码的完整性
如果想用windows的网上邻居方式和linux系统进行文件共享,那么在linux系统中要开启哪个服务:()
A:DHCP
B:NFS
C:SAMBA
D:SSH
一家公司最近将其销售系统提升为综合的EDI传输系统为提供有效的数据map,应该在EDI接口实施下列哪一项控制()。
A:关键字验证
B:一对一地检测
C:手工重算
D:功能确认
磁墨字符识别
攻击者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,这是哪种类型的漏洞?()
A:缓冲区溢出
B:SQL注入
C:设计错误
D:跨站脚本
IT指导委员会审查信息系统主要是为了评估()。
A:IT处理是否支持业务需求
B:提出的系统的功能是否足够
C:现有软件的稳定性
D:安装技术的复杂性
在测试程序变更控制流程时,信息系统审计师发现,变更数量过少以至于无法对审计结论提供合理的保证。审计师最合适的行动是?()
A:设计一个另外的测试程序
B:把该缺陷向管理层汇报
C:对整个变更管理流程进行巡视
D:生成另外的程序变更样本
在进行了全面运行测试后,IS审计师对相应的恢复步骤进行了审核,并发现为了将技术环境和系统的所有功能回退所花费的时间超过了规定的关键恢复时间,审计师应当提出下面哪一项建议?()
A:对恢复工作进行全面的审核
B:扩充处理能力以缩短恢复时间
C:改进设施的流转结构
D:增加恢复工作中的人力资源
IS审计师在审查使用交叉培训做法的组织时,应该评估哪一种风险()。
A:对于单个员工的依赖性
B:连续性计划不够充分
C:一个员工了解系统的所有部分
D:错误操作
以下哪一种安全威胁与无线局域网络最不相关()。
A:信息拦截
B:系统不可用
C:系统不可靠
D:设备盗窃
应该仔细监控打印服务器的离线打印缓存,以确保控制和预防对敏感信息的非授权访问下列哪项是审计师最关注的()。
A:部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据
B:部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据
C:部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业
D:部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、修改、查看打印作业的数据输出
为确保审计资源的价值分配给组织价值最大的部分,第一步将是()。
A:制定审计日程表并监督花在每一个审计项目上的时间
B:培养审计人员使用目前公司正在使用的最新技术
C:根据详细的风险评估确定审计计划
D:监督审计的进展并开始成本控制措施
在标准GBXXXX-XX中对机房安全等级划分正确的是?()
A:划分为A、B两级
B:划分为A、B、C三级
C:划分为A、B、C、D四级
D:划分为A、B、C、D、E五级
首页 <上一页 95 96 97 98 99 下一页> 尾页