出自:注册信息安全专业人员(CISA,CISO,CISE)

数据库管理员在检查数据库时发现数据库的性能不理想,他准备通过对部分数据表实施去除规范化(denormanization)操作来提高数据库性能,这样做将增加下列哪项风险?()
A:访问的不一致
B:死锁
C:对数据的非授权访问
D:数据完整性的损害
及时审查系统访问审计记录是以下哪种基本安全功能?()
A:威慑
B:规避
C:预防
D:检测
在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?()
A:标准(Standard)
B:安全策略(Security policy)
C:方针(Guideline)
D:流程(Procedure)
能确认的作用是:()
A:作为EDI数据交换的审计痕迹
B:IS部门就其功能作用描述
C:文档记录用户角色和职责
D:作为应用软件的功能的描述
对一项应用的控制进行了检查,将会评估()?
A:该应用在满足业务流程上的效率
B:任何被发现风险影响
C:业务流程服务的应用
D:应用程序的优化
在互联网应用上使用applets的最好的解释是()。
A:从服务器经过网络传送
B:服务器不运行程序,输出不经过网络
C:改善网络服务器和网络的性能
D:是通过网页服务器下载的JAVA程序,由客户机上的网页服务器程序执行
鉴别的基本途径有三种:所知、所有和个人特征,以下哪一项不是基于你所知道的()
A:口令
B:令牌
C:知识
D:密码
关于信息保障技术框架(IATF),下列哪种说法是错误的?()
A:IATF强调深度防御(Defense-in-Depth),关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障
B:IATF强调深度防御(Defense-in-Depth),即对信息系统采用多层防护,实现组织的业务安全运作
C:IATF强调从技术、管理和人等多个角度来保障信息系统的安全
D:IATF强调的是以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全
复制数据库
通用审计软件(GAS)的主要用途是()
A:测试程序中内嵌的控制
B:测试对数据的非授权访问
C:为审计数据精选数据
D:降低对(交易)事务判断的需要
ISO27004是指以下哪个标准?()
A:《信息安全管理体系要求》
B:《信息安全管理实用规则》
C:《信息安全管理度量》
D:《ISMS实施指南》
下列信息安全的认识不正确的是()。
A:安全是会随时间的推移而变化
B:世上没有100%的安全
C:合理的投资加可识别的风险即为安全
D:安全是相对的,不安全是绝对的
对信息系统审计师来说,以下哪项通常是最为可靠的证据?()
A:从第三方收到的确认信函来验证账户的余额
B:从职能经理那里得到应用系统设计的运行保证
C:从互联网上得到的趋势数据
D:审计师依据经理提供的报表所进行的比率分析
银行系统使用下面哪一种数据确认编辑,可以确保分配给客户的银行帐号数字的正确性,从而避免传输和交易错误()。
A:序列检验
B:有效性检查
C:检查位数
D:存在性检查
固有风险
某公司在互联网区域新建了一个WEB网站,为了保护该网站主页安全性,尤其是不能让攻击者修改主页内容,该公司应当购买并部署下面哪个设备()
A:负载均衡设备
B:网页防篡改系统
C:网络防病毒系统
D:网络审计系统
下列哪一个角色的任务是确保IT部门的工作与业务目标保持一致()。
A:首席执行官。
B:董事会。
C:IT战略委员会。
D:审计委员会。
以下哪一个是使用测试数据的最大的挑战()。
A:确定测试的程序的版本和产品程序的版本一致
B:制造测试数据包括所有可能的有效和无效的条件
C:对于测试的应用系统,尽量减少附加交易的影响
D:在审计师监督下处理测试数据
以下哪一项不是建筑物的自动化访问审计系统记录的日志的内容()
A:出入的原因
B:出入的时间
C:出入口的位置
D:是否成功进入
下列事项是我国在2009年下发的关于政府信息系统安全保障工作的政策文件()。
A:《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高校)
B:《关于加强政府信息系统安全和保密管理工作的通知》(国发办17号)
C:《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》(国办发28号)
D:《国务院办公厅关于印发<国家网络与信息安全事件应急预案>的通知》(国办函168)
在评估对密码管理的程序控制时,下面那一个是审计师最有可能参照的?()
A:长度检查
B:散列总计
C:有效性检查
D:字段检查
检查BCP时,IS审计师最为关注的是()。
A:灾难程度只考虑到受到威胁的业务职能的范围大小,而没有考虑持续时间的长短
B:没有区分较小的灾难与软件事故
C:整体的BCP是成文的,而具体的恢复步骤没有细化(或预先制定)
D:没有指定报告发生灾难事件的负责人
一个组织的系统安全能力成熟度达到哪个级别以后,就可以考虑为过程域(PA)的实施提供充分的资源?()
A:2级――计划和跟踪
B:3级――充分定义
C:4级――量化控制
D:充分定义
实施下面的哪个流程,可以帮助确保经电子数据交换(EDI)的入站交易事务的完整性?()
A:数据片断计数内建到交易事务集的尾部
B:记录收到的消息编号,定期与交易发送方验证
C:为记账和跟踪而设的电子审计轨迹
D:已收到的确认的交易事务与发送的EDI消息日志比较、匹配
下列哪些类型的控制的设计目的是为了提供核实整个应用处理中的数据和记录()。
A:范围检查
B:运行到运行检查
C:计算总量的限制检查
D:例外报告
SSE—CMM工程过程区域中的风险过程包含哪些过程区域?()
A:评估威胁、评估脆弱性、评估影响
B:评估威胁、评估脆弱行、评估安全风险
C:评估威胁、评估脆弱性、评估影响、评估安全风险
D:评估威胁、评估脆弱性、评估影响、验证和证实安全
下面哪一个是最好的审计程序,以决定是否防火墙的配置符合组织的安全政策()。
A:审查参数设置
B:与防火墙管理员面谈
C:审查实际程序
D:审查最近所受攻击的设备日志文件
以下关于信息系统安全保证是主观和客观的结合说法最准确的是()。
A:信息系统安全保障不仅涉及安全技术,还应综合考虑安全管理、安全工程和人员安全等,以全面保障信息系统安全
B:通过在技术、管理、工程和人员方面客观地评估安全保障措施,向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信息
C:是一种通过客观证据向信息系统评估组提供主观信息的活动
D:是主观和客观综合评估的结果
在软件开发项目的需求定义阶段,软件测试应该制定哪些方面:()
A:测试数据,涵盖关键应用
B:详细的测试计划
C:质量保证测试规范
D:用户验收测试规范
软件安全设计和开发中应考虑用户稳私包,以下关于用户隐私保护的说法哪个是错误的?()
A:告诉用户需要收集什么数据及搜集到的数据会如何披使用
B:当用户的数据由于某种原因要被使用时,给用户选择是否允许
C:用户提交的用户名和密码属于稳私数据,其它都不是
D:确保数据的使用符合国家、地方、行业的相关法律法规
首页 <上一页 96 97 98 99 100 下一页> 尾页