利用 CISM 模擬測試、認證信息安全經理和 SPOTO，提升您的認證準備水平

問題 #1

某組織最近的風險評估確定了許多安全風險領域，高級管理層要求對評估結果進行五分鐘的概述。以下哪項是信息安全經理介紹該信息的最佳選擇？

A. ��險登記冊

B. ��險熱圖

C. ��蛛圖

D. ��衡計分卡

查看答案

正確答案: B

問題 #2

在制定向信息安全戰略委員會報告的衡量標準時，最重要的考慮因素是什麼？

A. ��定衡量標準的基線值

B. ��發用於交流衡量標準的儀錶板

C. ��時洞察組織的安全態勢

D. ��行業標準爲基準確定指標的預期值

查看答案

正確答案: A

問題 #3

在編制了中央風險登記冊並確定了優先次序後，確定了若干重大風險。信息安全管理人員最重要的行動是：

A. 向高級管理層提供風險處理方案。

B. 設計和實施控制措施以降低風險。

C. 就如何處理風險諮詢外部第三方。

D. 確保員工了解風險。

查看答案

正確答案: A

問題 #4

在風險評估過程中對威脅進行優先排序時，以下哪項最重要？

A. ��威脅系統的關鍵性

B. ��利用漏洞的嚴重程度

C. ��業務的潛在影響

D. ��脅行爲者的能力

查看答案

正確答案: A

問題 #5

信息安全經理在爲新獲得的業務應用程序設計安全控制時，應主要考慮以下哪項？

A. ��用程序中已知的漏洞

B. ��息技術安全架構框架

C. ��行管制措施的成本效益分析

D. ��用程序支持的業務流程

查看答案

正確答案: C

問題 #6

制定安全策略的主要目的是

A. 實施管理層的治理戰略。

B. 確定執行安全任務的方式。

C. 傳達管理層的安全期望。

D. 確定允許的安全邊界。

查看答案

正確答案: B

問題 #7

以下哪項是計算機系統外部入侵成功的最佳指標？

A. �� DMZ 內意外使用協議。

B. ��形 URL 意外增加。

C. ��少登錄失敗的次數。

D. ��錄失敗次數激增。

查看答案

正確答案: A

問題 #8

在評估組織可能受新隱私立法影響的程度時，信息安全管理部門應考慮以下因素

A. 制定一項業務計劃，以實現對立法的遵守。

B. 確定包含隱私內容的系統和流程。

C. 限制個人信息的收集，直到符合要求爲止。

D. 確定其他國家可能包含類似要求的隱私立法。

查看答案

正確答案: B

問題 #9

針對業務流程所有者的安全培訓計劃應主要包括以下哪些內容？

A. ��全風險的影響

B. ��用程序漏洞

C. ��用程序恢復時間

D. ��告的安全事件清單

查看答案

正確答案: A

問題 #10

以下哪項可以保證文件中的數據沒有更改？

A. ��查文件的修改日期

B. ��對稱加密法加密文件

C. ��用嚴格的訪問控制，防止未經授權的訪問

D. ��建文件哈希值，然後比較文件哈希值

查看答案

正確答案: D

問題 #11

實施強密碼政策是某企業本年度信息安全戰略的一部分。某業務部門認爲該策略可能會對客戶採用最近開發的移動應用程序產生不利影響，因此決定不實施該策略。以下哪項是信息安全經理的最佳行動方案？

A. ��析不執行政策的風險和影響。

B. ��移動應用程序制定並實施密碼政策。

C. ��不執行政策的情況上報高級管理層。

D. ��類似的移動應用程序爲基準，找出差距。

查看答案

正確答案: C

問題 #12

某組織決定實施額外的安全控制，以應對新流程的風險。這就是一個例子：

A. 消除風險。

B. 轉移風險。

C.

查看答案

正確答案: C

問題 #13

以下哪種方法是將安全集成到應用程序開發中最有效的方法？

A. ��定安全要求

B. ��行漏洞掃描

C. ��安全性納入用戶驗收測試籤核

D. ��行開發安全模型

查看答案

正確答案: A

問題 #14

以下哪項是防止蓄意破壞內部安全的最有效方法？

A. ��選未來僱員

B. ��心設計的防火牆系統

C. ��心設計的入侵檢測系統（IDS）

D. ��物識別安全訪問控制

查看答案

正確答案: B

問題 #15

以下哪項是在組織內實施數據分類的首要前提？

A. ��定工作角色

B. ��行風險評估

C. ��定數據所有者

D. ��定數據保留政策

查看答案

正確答案: C

問題 #16

以下哪項能爲高級管理層提供最佳信息，以更好地了解組織的信息安全風險狀況？

A. ��響業務運營的情景

B. ��斷客戶服務的情況

C. ��響業務目標的情景

D. ��有貨幣影響的情景

查看答案

正確答案: C

問題 #17

應持續進行風險評估，因爲

A. 控制措施不斷變化

B. 黑客事件的數量不斷增加

C. 管理層應了解風險變化的最新情況

D. 影響信息安全變化的因素

查看答案

正確答案: A

問題 #18

使用存在公認漏洞的網絡應用程序時，以下哪項是最重要的操作？

A. ��署應用程序防火牆。

B. ��署基於主機的入侵檢測。

C. ��裝反間諜軟件。

D. ��控應用程序級日誌。

查看答案

正確答案: A

問題 #19

實施自動密碼同步的 MAIN 優勢在於：

A. 減少總體行政工作量。

B. 提高多層系統之間的安全性。

C. 允許減少密碼更改的頻率。

D. 減少對雙因素身份驗證的需求。

查看答案

正確答案: A

問題 #20

一位缺乏經驗的信息安全經理依靠內部審計部門來設計和實施關鍵的安全控制。以下哪項風險最大？

A. ��制措施執行不力

B. ��益衝突

C. ��反審計章程

D. ��計技能不足

查看答案

正確答案: B

問題 #21

讓企業管理層參與評估和管理信息安全風險的一個主要好處是，他們可以

A. 更好地了解組織風險。

B. 可以平衡技術風險和業務風險。

C. 比安全管理更客觀。

D. 更好地了解安全架構。

查看答案

正確答案: B

問題 #22

決定特定資產在 BEST 中應獲得的保護級別取決於以下因素

A. 威脅評估。

B. 脆弱性評估。

C. 風險分析。

D. 企業風險偏好。

查看答案

正確答案: C

問題 #23

當殘餘風險高於可接受的風險水平時，以下哪項是信息安全經理的最佳行動方案？

A. ��行成本效益分析

B. ��議額外的控制措施

C. ��行風險評估

D. ��由業務管理部門處理

查看答案

正確答案: B

問題 #24

在制定災難恢復計劃時，以下哪項是最需要考慮的？

A. ��務連續性計劃（BCP）

B. ��務影響分析（BIA）

C. ��本效益分析

D. ��行性評估

查看答案

正確答案: B

問題 #25

以下哪項最能驗證新業務流程中實施了安全控制？

A. ��據信息安全政策評估流程。

B. ��行業實踐爲基準制定流程。

C. ��查公認控制框架的使用情況。

D. ��查流程是否符合信息安全最佳實踐。

查看答案

正確答案: A

問題 #26

某組織採取定期輪換員工的做法，以最大限度地降低欺詐風險並鼓勵交叉培訓。哪種類型的授權政策能最好地應對這種做法？

A. ��層次

B. ��於角色

C. ��處權

D. ��於屬性

查看答案

正確答案: B

問題 #27

一位首席執行官要求使用不符合組織政策的移動設備訪問公司文件。信息安全經理應

A. 評估第三方解決方案。

B. 部署額外的安全控制。

C. 評估業務風險。

D. 啓動例外情況審批程序。

查看答案

正確答案: C

問題 #28

以下哪項最有助於有效實施信息安全戰略？

A. ��全指標報告

B. ��期安全意識培訓

C. ��級管理層的認可

D. ��行安全標準

查看答案

正確答案: C

問題 #29

某組織實行嚴格的 "有必要知道 "信息訪問政策，即將推出知識管理內聯網。以下哪項是確保符合現有安全策略的最重要活動？

A. ��定控制程序，在內容發布前對其進行檢查。

B. ��變組織政策，允許更廣泛地使用新網站。

C. ��保只有高級管理人員和董事會才能訪問網站。

D. ��包含機密信息的文件進行密碼保護。

查看答案

正確答案: A

問題 #30

恢復點目標（RPO）對災難恢復的貢獻在於

A. 確定備份策略。

B. 消除單點故障。

C. 縮短平均故障間隔時間（MTBF）。

D. 儘量縮短停電時間。

查看答案

正確答案: D

問題 #31

在評估和降低網絡應用程序的風險後，應由誰決定是否接受殘餘的應用程序風險？

A. ��息安全乾事

B. ��席信息官（CIO）

C. ��業主

D. ��席執行官（CFO）

查看答案

正確答案: C

問題 #32

以下哪項是對合同進行信息安全審查的最重要原因？幫助確保

A. 協議各方可以履行。

B. 協議中不包括保密數據。

C. 包括適當的控制措施。

D. 審計權是一項要求。

查看答案

正確答案: C

問題 #33

以下哪項最能保證變更管理中的信息安全？

A. ��更改進行安全審計

B. ��變革諮詢委員會提供安全培訓

C. ��求高級管理層籤批變革管理

D. ��安全角度審查變更

查看答案

正確答案: D

問題 #34

某組織的外包防火牆配置不當，允許未經授權的訪問，導致停機 48 小時。信息安全經理的下一步行動應該是？

A. ��照最佳做法重新配置防火牆。

B. ��取問題已得到糾正的佐證。

C. ��新審查合同，加強對服務提供商的問責。

D. ��求服務提供商賠償損失。

查看答案

正確答案: B

問題 #35

在信息安全管理方面，目標衝突最有可能損害信息安全流程的有效性：

A. 向網絡基礎設施經理報告。

B. 信息技術之外。

C. 部分人員由外部安全顧問提供。

D. 與變革管理職能相結合。

查看答案

正確答案: D

問題 #36

風險管理最具成本效益：

A. 持續進行。

B. 在制定安全計劃的業務案例時。

C. 在安全計劃制定之初。

D. 與其他企業保障職能相結合。

查看答案

正確答案: D

問題 #37

以下哪項是單點登錄的最大風險？

A. ��是企業訪問控制流程的單點故障。

B. ��個用戶對密碼的粗心大意可能會導致整個基礎設施受到攻擊。

C. ��點登錄與其他基礎設施的整合非常複雜。

D. ��個管理員維護單點登錄解決方案，沒有職責分工。

查看答案

正確答案: A

問題 #38

漏洞掃描在一個重要的業務應用程序中發現了一個關鍵風險。信息安全經理應首先執行以下哪項工作？

A. ��高級管理層報告業務風險。

B. ��企業主確認風險。

C. ��新風險登記冊。

D. ��建緊急變更申請。

查看答案

正確答案: B

問題 #39

信息安全意識計劃在以下情況下最爲有效

A. 爲每個目標受衆量身定製。

B. 由高級管理層贊助。

C. 通過計算機輔助培訓加以強化。

D. 在員工入職培訓時進行

查看答案

正確答案: A

問題 #40

以下哪項是確定遺留應用程序是否存在新風險的最佳方法？

A. ��期風險評估

B. ��動漏洞掃描

C. ��三方滲透測試

D. ��常更新風險登記冊

查看答案

正確答案: A

問題 #41

在配置用於保護高度安全數據中心的生物識別門禁系統時，應設置系統的靈敏度級別：

A. 錯誤拒絕率 (FRR) 較高。

B. 降低交叉錯誤率。

C. 錯誤接受率（FAR）較高。

D. 與交叉錯誤率完全一致。

查看答案

正確答案: A

問題 #42

以下哪項是風險管理計劃的首要目標？

A. ��對威脅實施預防性控制。

B. ��理內在風險對業務的影響。

C. ��理組織政策的遵守情況。

D. ��低組織的風險偏好。

查看答案

正確答案: B

問題 #43

以下哪項是執行管理層參與建立企業安全管理框架的主要原因？

A. ��定企業安全的理想狀態

B. ��定所需的最低控制水平

C. ��足審計員關於企業安全的建議

D. ��保遵循企業安全的行業最佳做法

查看答案

正確答案: A

問題 #44

某企業正在採用混合數據基礎架構，將所有非核心應用程序轉移到雲服務提供商，並在內部維護所有核心業務功能。信息安全經理決定採用縱深防禦策略。以下哪項最恰當地描述了這一策略？

A. ��服務應用程序的多因素登錄要求、超時和複雜密碼

B. ��基礎設施內部署嵌套防火牆

C. ��應用程序、平臺、程序和端點進行單獨的安全控制

D. ��格執行基於角色的訪問控制（RBAC）

查看答案

正確答案: C

問題 #45

以下哪項能爲組織的合同管理流程提供最有效的安全成果？

A. ��安全評估擴展到隨機滲透測試

B. ��大安全評估範圍，以涵蓋合同終止時的資產處置

C. ��徵求建議書階段進行供應商安全基準分析

D. ��保在徵求建議書階段確定安全要求

查看答案

正確答案: C

問題 #46

當適當降低風險的預防控制措施不可行時，信息安全經理應採取以下哪項最重要的措施？

A. ��估脆弱性。

B. ��理影響。

C. ��估潛在威脅。

D. ��定不可接受的風險水平。

查看答案

正確答案: D

問題 #47

以下哪項最能描述緩衝區溢出？

A. ��序包含隱藏的、非預期的功能，會帶來安全風險。

B. ��種捕獲數據的隱蔽信道。

C. ��在幹擾正常運行的惡意代碼。

D. ��行函數時，數據量超過了函數所能處理的範圍。

查看答案

正確答案: D

問題 #48

在審查組織的入侵檢測系統 (IDS) 性能時，以下哪種趨勢最值得關注？

A. ��少假陰性

B. ��報率增加

C. ��少誤報

D. ��陰性增加

查看答案

正確答案: D

問題 #49

信息安全經理在與服務提供商完成合同談判中扮演什麼角色？

A. ��新外包流程的安全標準

B. ��保列入定期審計條款

C. ��提供商處獲得安全標準認證

D. ��外包流程進行風險分析

查看答案

正確答案: A

問題 #50

信息安全經理應建立以下哪項 FIRST 以確保安全相關活動得到充分監控？

A. ��部報告渠道

B. ��保職能問責制

C. ��期安全評估

D. ��期審查計算機系統日誌

查看答案

正確答案: A

問題 #51

當管理層改變企業業務戰略時，應使用以下哪個流程來評估現有的信息安全控制措施以及選擇新的信息安全控制措施？

A. ��險管理

B. ��革管理

C. ��問控制管理

D. ��置管理

查看答案

正確答案: A

問題 #52

信息安全經理在評估變更請求時，應確保以下哪項最重要？

A. ��請由流程所有者批准。

B. ��求增加業務價值。

C. ��餘風險在風險承受範圍之內。

D. ��制定應急計劃。

查看答案

正確答案: D

問題 #53

在制定災難恢復計劃時，以下哪項對確定系統恢復的優先順序最有幫助？

A. ��行業務影響分析（BIA）

B. ��量每個系統的數據量

C. ��查信息安全政策

D. ��查業務戰略

查看答案

正確答案: A

問題 #54

風險管理的目標是將風險降至最低水平，即

A. 符合安全政策

B. 考慮到行業和監管環境的實際情況。

C. 從技術和財務角度看是可以實現的。

D. 鑑於組織的偏好，可以接受。

查看答案

正確答案: A

問題 #55

組織監控安全風險的最佳方式是什麼？

A. ��析關鍵績效指標（KPI）

B. ��用外部風險情報服務

C. ��用儀錶板評估脆弱性

D. ��析關鍵風險指標（KRIs）

查看答案

正確答案: D

問題 #56

以下哪項能最好地防範基於網絡的跨域攻擊？

A. ��據庫加固

B. ��用控制

C. ��絡尋址方案

D. ��密控制

查看答案

正確答案: B

問題 #57

在爲組織的隱私官提供支持時，以下哪項是信息安全經理在首要要求方面的主要職責？

A. ��控私人數據的傳輸

B. ��展隱私意識計劃

C. ��保適當的控制措施到位

D. ��定數據分類

查看答案

正確答案: C

問題 #58

以下哪項是制定定義明確的信息安全戰略的最大優勢？

A. ��持組織員工的認同

B. ��最優先事項分配資源

C. ��止偏離風險容忍度閾值

D. ��高事件響應流程的成熟度

查看答案

正確答案: C

問題 #59

讓最終用戶參與連續性規劃的主要優勢在於：

A. 比信息安全管理更客觀。

B. 可以平衡技術風險和商業風險。

C. 更好地了解具體業務需求。

D. 可以看到對業務的總體影響。

查看答案

正確答案: B

問題 #60

開發新應用程序時，以下哪種方法是確保符合安全要求的最佳方法？

A. ��開發人員提供安全培訓。

B. ��定詳細的驗收標準。

C. ��持變革管理流程。

D. ��行安全漏洞分析。

查看答案

正確答案: B

問題 #61

以下哪項是將信息安全計劃要求納入供應商管理的最大好處？

A. ��低供應鏈風險的能力

B. ��足行業合規要求的能力

C. ��義服務水平協議（SLA）的能力

D. ��高供應商績效的能力

查看答案

正確答案: A

問題 #62

以下哪項是信息安全最重要的功能？

A. ��理組織面臨的風險

B. ��少安全漏洞的財務影響

C. ��定系統漏洞

D. ��防安全事故

查看答案

正確答案: A

問題 #63

威脅和漏洞評估之所以重要，主要是因爲它們是：

A. 估計風險所需

B. 設定控制目標的依據

C. 組織安全態勢的要素

D. 用於建立安全投資

查看答案

正確答案: A

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取

利用 CISM 模擬測試、認證信息安全經理和 SPOTO，提升您的認證準備水平

提交後看答案

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！ 立即獲取

利用 CISM 模擬測試、認證信息安全經理和 SPOTO，提升您的認證準備水平

提交後看答案

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取