注册信息安全专业人员CISP试卷(1)
-
在制定一个正式的企业安全计划时,最关键的成功因素将是?
- A.成立一个审查委员会
- B.建立一个安全部门
- C.向执行层发起人提供有效支持
- D.选择一个安全流程的所有者
-
一个组织将制定一项策略以定义了禁止用户访问的WEB站点类型。为强制执行这一策略,最有效的技术是什么?
- A.状态检测防火墙
- B.WE内容过滤器
- C.WEB缓存服务器
- D.应该代理服务器
-
对业务应用系统授权访问的责任属于:
- A.数据所有者
- B.安全管理员
- C.IT安全经理
- D.申请人的直线主管
-
向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?
- A.该外部机构的过程应当可以被独立机构进行IT审计
- B.该组织应执行一个风险评估,设计并实施适当的控制
- C.该外部机构的任何访问应被限制在DMZ区之内
- D.应当给该外部机构的员工培训其安全程序
-
下列哪一项是首席安全官的正常职责?
- A.定期审查和评价安全策略
- B.执行用户应用系统和软件测试与评价
- C.授予或废除用户对IT资源的访问权限
- D.批准对数据和应用系统的访问权限
-
某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:
- A.报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的
- B.核实用户的访问权限是基于用所必需原则的
- C.建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致
- D.建议终止用户的活动日志能被定期审查
-
PDCA特征的描述不正确的是
- A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题
- B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
- C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
- D.信息安全风险管理的思路不符合PDCA的问题解决思路
-
在人力资源审计期间,安全管理体系内审员被告知在IT部门和人力资源部门中有一个关于期望的IT服务水平的口头协议。安全管理体系内审员首先应该做什么?
- A.为两部门起草一份服务水平协议
- B.向高级管理层报告存在未被书面签订的协议
- C.向两部门确认协议的内容
- D.推迟审计直到协议成为书面文档
-
减少与钓鱼相关的风险的最有效控制是:
- A.系统的集中监控
- B.钓鱼的信号包括在防病毒软件中
- C.在内部网络上发布反钓鱼策略
- D.对所有用户进行安全培训
-
通过社会工程的方法进行非授权访问的风险可以通过以下方法避免:
- A.安全意识程序
- B.非对称加密
- C.入侵侦测系统
- D.非军事区
-
下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?
- A.虚拟专用网
- B.专线
- C.租用线路
- D.综合服务数字网.
-
下面哪一个是定义深度防御安全原则的例子?
- A.使用由两个不同提供商提供的防火墙检查进入网络的流量
- B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量
- C.在数据中心建设中不使用明显标志
- D.使用两个防火墙检查不同类型进入网络的流量
-
信息安全策略,声称"密码的显示必须以掩码的形式"的目的是防范下面哪种攻击风险?
- A.尾随
- B.垃圾搜索
- C.肩窥
- D.冒充
-
在安全人员的帮助下,对数据提供访问权的责任在于:
- A.数据所有者.
- B.程序员
- C.系统分析师.
- D.库管员
-
下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的:
- A.服务器防毒软件
- B.病毒墙
- C.工作站防病毒软件
- D.病毒库及时更新
-
管理体系审计员进行通信访问控制审查,首先应该关注:
- A.维护使用各种系统资源的访问日志
- B.在用户访问系统资源之前的授权和认证
- C.通过加密或其他方式对存储在服务器上数据的充分保护
- D.确定是否可以利用终端系统资源的责任制和能力.
-
测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是:
- A.由系统生成的信息跟踪到变更管理文档
- B.检查变更管理文档中涉及的证据的精确性和正确性
- C.由变更管理文档跟踪到生成审计轨迹的系统
- D.检查变更管理文档中涉及的证据的完整性
-
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:
- A.导致对其审计独立性的质疑
- B.报告较多业务细节和相关发现
- C.加强了审计建议的执行
- D.在建议中采取更对有效行动
-
以下哪个不是信息安全项目的需求来源
- A.国家和地方政府法律法规与合同的要求
- B.风险评估的结果
- C.组织原则目标和业务需要
- D.企业领导的个人意志
-
下列哪一种情况会损害计算机安全策略的有效性?
- A.发布安全策略时
- B.重新检查安全策略时
- C.测试安全策略时
- D.可以预测到违反安全策略的强制性措施时
-
下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?
- A.完整性控制的需求是基于风险分析的结果
- B.控制已经过了测试
- C.安全控制规范是基于风险分析的结果
- D.控制是在可重复的基础上被测试的
-
软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的策略和实际行为是矛盾的?
- A.员工的教育和培训
- B.远距离工作(Telecommuting)与禁止员工携带工作软件回家
- C.自动日志和审计软件
- D.策略的发布与策略的强制执行
-
基本的计算机安全需求不包括下列哪一条:
- A.安全策略和标识
- B.绝对的保证和持续的保护
- C.身份鉴别和落实责任
- D.合理的保证和连续的保护
-
组织的安全策略可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全策略?
- A.应急计划
- B.远程办法
- C.计算机安全程序
- D.电子邮件个人隐私
-
下面哪一种方式,能够最有效的约束雇员只能履行其分内的工作?
- A.应用级访问控制
- B.数据加密
- C.卸掉雇员电脑上的软盘和光盘驱动器
- D.使用网络监控设备
-
组织内数据安全官的最为重要的职责是:
- A.推荐并监督数据安全策略
- B.在组织内推广安全意识
- C.制定IT安全策略下的安全程序/流程
- D.管理物理和逻辑访问控制
-
内部审计师发现不是所有雇员都了解企业的信息安全策略。内部审计师应当得出以下哪项结论:
- A.这种缺乏了解会导致不经意地泄露敏感信息
- B.信息安全不是对所有职能都是关键的
- C.IS审计应当为那些雇员提供培训
- D.该审计发现应当促使管理层对员工进行继续教育
-
设计信息安全策略时,最重要的一点是所有的信息安全策略应该:
- A.非现场存储
- B.b)由IS经理签署
- C.发布并传播给用户
- D.经常更新
-
负责制定、执行和维护内部安全控制制度的责任在于:
- A.IS审计员.
- B.管理层.
- C.外部审计师.
- D.程序开发人员.
-
组织与供应商协商服务水平协议,下面哪一个最先发生?
- A.制定可行性研究.
- B.检查是否符合公司策略.
- C.草拟服务水平协议.
- D.草拟服务水平要求
-
ISO27001认证项目一般有哪几个阶段?
- A.管理评估,技术评估,操作流程评估
- B.确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证
- C.产品方案需求分析,解决方案提供,实施解决方案
- D.基础培训,RA培训,文件编写培训,内部审核培训
-
以下哪一个是数据保护的最重要的目标?
- A.确定需要访问信息的人员
- B.确保信息的完整性
- C.拒绝或授权对系统的访问
- D.监控逻辑访问
-
在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是:
- A.非授权用户可以使用ID擅自进入.
- B.用户访问管理费时.
- C.很容易猜测密码.
- D.无法确定用户责任
-
企业由于人力资源短缺,IT支持一直以来由一位最终用户兼职,最恰当的补偿性控制是:
- A.限制物理访问计算设备
- B.检查事务和应用日志
- C.雇用新IT员工之前进行背景调查
- D.在双休日锁定用户会话
-
作为信息安全治理的成果,战略方针提供了:
- A.企业所需的安全要求
- B.遵从最佳实务的安全基准
- C.日常化制度化的解决方案
- D.风险暴露的理解
-
关于安全策略的说法,不正确的是
- A.得到安全经理的审核批准后发布
- B.应采取适当的方式让有关人员获得并理解最新版本的策略文档
- C.控制安全策略的发布范围,注意保密
- D.系统变更后和定期的策略文件评审和改进
-
安全策略体系文件应当包括的内容不包括
- A.信息安全的定义、总体目标、范围及对组织的重要性
- B.对安全管理职责的定义和划分
- C.口令、加密的使用是阻止性的技术控制措施;
- D.违反安全策略的后果
-
哪一项不是管理层承诺完成的?
- A.确定组织的总体安全目标
- B.购买性能良好的信息安全产品
- C.推动安全意识教育
- D.评审安全策略的有效性
-
对信息安全的理解,正确的是
- A.信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的
- B.通过信息安全保障措施,确保信息不被丢失
- C.通过信息安全保证措施,确保固定资产及相关财务信息的完整性
- D.通过技术保障措施,确保信息系统及财务数据的完整性、机密性及可用性
-
构成风险的关键因素有哪些?
- A.人,财,物
- B.技术,管理和操作
- C.资产,威胁和弱点
- D.资产,可能性和严重性
-
信息安全管理体系要求的核心内容是?
- A.风险评估
- B.关键路径法
- C.PDCA循环
- D.PERT
-
以下哪项是组织中为了完成信息安全目标,针对信息系统,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动?
- A.反应业务目标的信息安全方针、目标以及活动;
- B.来自所有级别管理者的可视化的支持与承诺;
- C.提供适当的意识、教育与培训
- D.以上所有
-
下面哪一项组成了CIA三元组?
- A.保密性,完整性,保障
- B.保密性,完整性,可用性
- C.保密性,综合性,保障
- D.保密性,综合性,可用性
-
在信息安全策略体系中,下面哪一项属于计算机或信息安全的强制性规则?
- A.标准(Standard)
- B.安全策略(Securitypolicy)
- C.方针(Guideline)
- D.流程(Procedure)
-
有效减少偶然或故意的未授权访问、误用和滥用的有效方法是如下哪项?
- A.访问控制
- B.职责分离
- C.加密
- D.认证
-
下面哪一项最好地描述了风险分析的目的?
- A.识别用于保护资产的责任义务和规章制度
- B.识别资产以及保护资产所使用的技术控制措施
- C.识别资产、脆弱性并计算潜在的风险
- D.识别同责任义务有直接关系的威胁
-
在许多组织机构中,产生总体安全性问题的主要原因是:
- A.缺少安全性管理
- B.缺少故障管理
- C.缺少风险分析
- D.缺少技术控制机制
-
以下哪一项对安全风险的描述是准确的?
- A.安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性
- B.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实
- C.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性
- D.安全风险是指资产的脆弱性被威胁利用的情形
-
以下哪些不属于脆弱性范畴?
- A.黑客攻击
- B.操作系统漏洞
- C.应用程序BUG
- D.人员的不良操作习惯
-
依据信息系统安全保障模型,以下那个不是安全保证对象
- A.机密性
- B.管理
- C.过程
- D.人员