不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

CISM 認證考試問題與答案,認證信息安全經理 | SPOTO

通過SPOTO進入CISM認證考試問題與答案的世界。作爲一名註冊信息安全經理(CISM),您需要證明自己在開發和管理企業信息安全計劃方面擁有先進的專業知識。我們的模擬測試(包括免費測試選項)提供各種考試問題和樣題,讓您做好全面準備。訪問詳細的考試資料、考試試卷和精確的考試答案,加強對關鍵概念的理解。參與逼真的模擬考試,模擬考試場景,加強考試練習。有了 SPOTO' 的備考資源和先進的考試模擬器,您將做好充分準備,成功應對 CISM 認證考試,並在您的信息安全職業生涯中大放異彩。

參加其他線上考試
問題 #1
安裝入侵檢測系統(IDS)的主要目的是識別:
A. 網絡安全的弱點。
B. 可疑訪問模式。
C. 如何對網絡發起攻擊。
D. 對內部網絡的潛在攻擊。
查看答案
正確答案: B
問題 #2
在高級管理層批准了自帶設備(BYOD)計劃後,組織的信息安全標準被批准了大量例外情況。要解決這種情況,信息安全經理最重要的是:
A. 在設備上引入強身份驗證。
B. 拒絕新的例外申請。
C. 更新信息安全政策。
D. 要求授權才能擦除丟失的設備。
查看答案
正確答案: D
問題 #3
以下哪種風險體現在組織的風險偏好中?
A. 制
B. 有的
C. 餘
D. 計
查看答案
正確答案: A
問題 #4
以下哪種信息對獲得高級管理層對信息安全管理的承諾最爲有效?
A. 效的安全保障可消除業務風險
B. 用具有衡量標準的公認框架
C. 全是業務產品而不是流程
D. 全支持和保護業務
查看答案
正確答案: D
問題 #5
日誌記錄是哪種防止系統被入侵的防禦方式?
A. 制
B. 測
C. 應
D. 復
查看答案
正確答案: B
問題 #6
以下哪種變更管理程序最有可能引起信息安全經理的關注?
A. 進行更改前的周末測試後備流程。
B. 發經理將程序移植到生產中
C. 較程序版本採用的是人工而非自動流程。
D. 劃的系統更改不會通知用戶。
查看答案
正確答案: C
問題 #7
一家全球性企業處理並存儲了大量個人數據。在制定數據訪問政策時,以下哪項是最重要的屬性?
A. 用性
B. 信
C. 靠性
D. 密性
查看答案
正確答案: C
問題 #8
某組織得知另一家使用類似技術的公司發生了安全漏洞。信息安全經理首先要做的是:
A. 評估由報告原因引發事件的可能性。
B. 停止使用易受攻擊的技術。
C. 向高級管理層報告組織未受影響。
D. 提醒工作人員沒有發生過類似的安全漏洞。
查看答案
正確答案: C
問題 #9
當企業在公司網絡上使用個人擁有的設備時,以下哪項是信息安全經理的首要責任?
A. 求具備遠程擦除功能
B. 行規定的政策和程序
C. 展安全意識培訓
D. 密移動設備上的數據
查看答案
正確答案: B
問題 #10
以下哪項是指定發言人在事件響應測試中的主要責任?
A. 董事會通報事件的嚴重性
B. 整個組織內建立溝通渠道
C. 估傳播過程的有效性
D. 認事件應對小組的通信
查看答案
正確答案: B
問題 #11
以下哪項指標是說明濫用變更管理流程可能危及信息安全的最佳指標?
A. 量變更請求
B. 月變更申請的百分比大幅下降
C. 括批准後補充增列內容的更改百分比
D. 改的代碼行數與總代碼行數之比高
查看答案
正確答案: A
問題 #12
在將大型無線網絡連接到現有有線網絡基礎設施時,以下哪項 BEST 可以保護機密數據?
A. 制訪問控制(MAC)地址過濾
B. 密碼
C. 擬專用網絡(VPN)
D. 火牆
查看答案
正確答案: D
問題 #13
在以下哪個系統開發生命周期(SDLC)階段選擇訪問控制和加密算法?
A. 序設計
B. 築設計
C. 統設計規格
D. 件開發
查看答案
正確答案: A
問題 #14
一名信息安全經理認爲網絡文件服務器被黑客入侵。應首先採取以下哪項措施?
A. 確定服務器上的關鍵數據是否已備份。
B. 閉被入侵的服務器
C. 動事件響應流程。
D. 閉網絡
查看答案
正確答案: D
問題 #15
在定義數據保留政策時,以下哪項是最重要的標準?
A. 力要求
B. 計結果
C. 管要求
D. 業最佳做法
查看答案
正確答案: B
問題 #16
在以下情況下,信息安全管理人員可能無法接受暫時停止某些監控程序,即使是在接受操作風險的支持下:
A. 這意味着合規風險。
B. 短期影響無法確定。
C. 它違反了行業安全慣例。
D. 無法檢測到角色矩陣的變化。
查看答案
正確答案: B
問題 #17
A 組織提供電子商務服務,並使用安全傳輸協議保護互聯網通信。要確認與 A 組織的通信,客戶最好驗證以下哪項?
A. 子商務服務器證書
B. 覽器顯示使用了 SSL
C. 子商務服務器的 IP 地址
D. 子商務服務器的 URL
查看答案
正確答案: C
問題 #18
以下哪項最有可能降低基於特徵碼的入侵檢測系統(IDS)的有效性?
A. 監控的活動偏離正常範圍。
B. 監控活動的信息變得陳舊。
C. 常行爲模式迅速發生巨大變化。
D. 境是複雜的。
查看答案
正確答案: C
問題 #19
在進行事故後審查時,收集平均解決時間 (MTTR) 數據的最大益處在於能夠
A. 降低未來預防性控制的成本。
B. 提供向高級管理層報告的衡量標準。
C. 了解潛在的改進領域。
D. 驗證服務級別協議 (SLA) 的合規性。
查看答案
正確答案: D
問題 #20
爲了減少應用程序的一名程序員需要訪問生產數據的情況,信息安全經理可以建議 BEST:
A. 爲程序員創建一個獨立賬戶,作爲高級用戶。
B. 記錄程序員的所有活動,供主管審查。
C. 讓程序員籤署一份承擔全部責任的信函。
D. 對應用程序進行定期審核。
查看答案
正確答案: D
問題 #21
在以下情況中,業務記錄的保留應主要基於以下因素:
A. 定期脆弱性評估。
B. 監管和法律要求。
C. 設備存儲容量和壽命。
D. 過去的訴訟。
查看答案
正確答案: D
問題 #22
恢復點目標 (RPO) 可用來確定以下哪項?
A. 長可容忍的數據丟失期
B. 長可容忍停機時間
C. 務復原力基線
D. 復備份的時間
查看答案
正確答案: C
問題 #23
誰來確定在企業數據中心託管的應用程序的數據訪問要求?
A. 業主
B. 息安全管理員
C. 統管理員
D. 據保管人
查看答案
正確答案: B
問題 #24
脆弱性評估的主要目的是
A. 確定潛在威脅的影響。
B. 測試入侵檢測系統 (IDS) 和響應程序。
C. 提供明確證據,證明系統足夠安全。
D. 檢測可能導致系統故障的缺陷。
查看答案
正確答案: A
問題 #25
在審查信息安全事件響應的有效性時,以下哪項最需要核實?
A. 取的經驗教訓已得到落實。
B. 試已按時完成。
C. 試結果已妥善記錄。
D. 儀錶板中記錄指標。
查看答案
正確答案: C
問題 #26
執行管理層正在考慮外包所有 IT 業務。以下哪些職能應保留在內部?
A. 據所有權
B. 據監測
C. 據保管人
D. 據加密
查看答案
正確答案: D
問題 #27
爲了減少服務中斷的可能性,某實體與多家互聯網服務提供商(ISP)籤訂了合同。以下哪項是最重要的內容?
A. 務水平協議(SLA)
B. 計權條款
C. 侵檢測系統(IDS)服務
D. 圾郵件過濾服務
查看答案
正確答案: C
問題 #28
制定事件響應計劃的信息安全經理必須確保計劃包括以下內容
A. 關鍵數據清單
B. 升級標準
C. 關鍵基礎設施圖
D. 業務影響分析
查看答案
正確答案: B
問題 #29
業務連續性政策應包含以下哪些內容?
A. 急呼叫樹
B. 復標準
C. 務影響評估(BIA)
D. 鍵備份清單
查看答案
正確答案: C
問題 #30
以下哪項對成功制定信息安全戰略最爲重要?
A. 施良好的治理框架
B. 狀和預期目標
C. 實施的開發生命周期流程
D. 准的政策和標準
查看答案
正確答案: A
問題 #31
有據可查的信息安全程序帶來的最大好處是:
A. 確保安全政策得到一致應用。
B. 確保臨時員工可以遵循關鍵流程。
C. 爲新員工的安全培訓提供便利。
D. 爲審計安全實踐提供依據。
查看答案
正確答案: D
問題 #32
隱私政策最重要的組成部分是
A. 通知
B. 保證
C. 負債
D. 地理覆蓋範圍
查看答案
正確答案: A
問題 #33
以下哪項是制定事件處理程序時考慮 IT 服務磁盤作用的最重要原因?
A. 務臺人員掌握如何解決常見系統問題的信息。
B. 務臺是識別安全事件的來源。
C. 務臺提供信息,根據用戶情況確定系統恢復的優先次序。
D. 經培訓的服務臺人員可能是造成安全事故的原因之一。
查看答案
正確答案: B
問題 #34
信息安全經理在進行全功能連續性測試前,最需要驗證以下哪項?
A. 業接受風險的情況已記錄在案。
B. 簡單的語言記錄事件響應和恢復計劃。
C. 確定負責恢復工作的團隊和個人。
D. 地保存恢復和事故響應計劃副本。
查看答案
正確答案: A
問題 #35
在保密性、完整性和可用性(CIA)三要素中,以下哪項活動最能支持完整性概念?
A. 行服務水平協議
B. 施數據分類模式
C. 保傳輸中的數據加密
D. 用正式的變革管理流程
查看答案
正確答案: C
問題 #36
讓第三方團隊參與對信息安全事件進行事後審查的主要目的是: 1:
A. 對事件的根本原因進行獨立客觀的審查。
B. 獲得支持,加強第三方團隊的專業知識。
C. 找出經驗教訓,進一步改進信息安全管理程序。
D. 獲得對信息安全計劃的更多支持。
查看答案
正確答案: B
問題 #37
信息安全指導小組應
A. 提供總體監督和指導。
B. 制定信息安全政策。
C. 建立信息安全基線。
D. 監督安全計劃的日常運作。
查看答案
正確答案: A
問題 #38
某企業正在與一家新的業務合作夥伴籤訂協議,進行客戶郵件發送。信息安全經理需要執行的最重要的行動是什麼?
A. 業務夥伴的安全控制進行盡職安全審查
B. 保業務合作夥伴擁有有效的業務連續性計劃
C. 保第三方有合同義務遵守所有相關安全要求
D. 業務夥伴的其他客戶交談,查看業績證明書
查看答案
正確答案: A
問題 #39
一家全球性金融機構決定不再對風險評估小組發現的拒絕服務(DoS)風險採取任何進一步行動。他們做出這一決定的最可能原因是
A. 有足夠的保障措施來防止這種風險的發生。
B. 所需對策過於複雜,難以部署。
C. 應對措施的成本高於資產的價值和潛在損失。
D. 險發生的可能性未知。
查看答案
正確答案: C
問題 #40
以下哪項是信息安全經理證明與入侵防禦系統 (IPS) 相關的持續年度維護費用合理性的最佳方法?
A. 行滲透測試,以證明保護能力。
B. 年開展行業研究,並記錄 IPS 的總體排名。
C. 立並提出適當的績效跟蹤指標。
D. 供年度競爭性定價,以說明 IPS 的價值。
查看答案
正確答案: B
問題 #41
以下哪項是信息安全戰略與業務協調一致的最佳體現?
A. 息安全措施直接支持的業務目標數量。
B. 配給信息安全舉措的企業預算百分比。
C. 加過信息安全宣傳課程的企業高管人數。
D. 規定的服務級別協議內解決的信息安全事件的百分比。
查看答案
正確答案: B
問題 #42
應定期執行業務影響分析,主要是爲了
A. 驗證環境變化的脆弱性。
B. 分析資產的重要性。
C. 核實控制措施的有效性。
D. 檢查是否符合規定。
查看答案
正確答案: C
問題 #43
在一次信息安全審計中,發現信息技術人員在配置和管理信息技術系統時沒有遵循既定標準。以下哪項是防止今後再發生此類情況的最佳方法?
A. 新配置基線以允許例外
B. 期進行漏洞掃描
C. 供年度信息安全意識培訓
D. 施嚴格的變更控制流程
查看答案
正確答案: D
問題 #44
組織制定事件響應計劃的主要原因是什麼?
A. 發即時恢復程序。
B. 定事件響應小組的培訓要求。
C. 據事件的嚴重程度確定處理的優先次序。
D. 供將事件通知利益相關方的流程。
查看答案
正確答案: D
問題 #45
某組織建立了一個內部文檔協作網站。爲確保每個項目組的數據保密性,最重要的是:
A. 禁止遠程訪問網站。
B. 定期重新認證訪問權限。
C. 實施文件生命周期管理。
D. 進行脆弱性評估。
查看答案
正確答案: D
問題 #46
以下哪項是業務連續性管理最重要的考慮因素?
A. 保人身安全
B. 定關鍵業務流程
C. 保備份數據的可靠性
D. 護關鍵信息資產
查看答案
正確答案: A
問題 #47
找出供應商新漏洞的最具成本效益的方法是什麼?
A. 部脆弱性報告來源
B. 問定期進行脆弱性評估
C. 侵防禦軟件
D. 位於 DMZ 的蜜罐
查看答案
正確答案: C
問題 #48
確保災後恢復/業務連續性計劃保持最新的變更管理程序可以通過以下哪項 BEST 實現?
A. 度系統清單與災後恢復和業務連續性計劃的核對
B. 期審計災後恢復/業務連續性計劃
C. 合穿行測試
D. 爲必要步驟納入系統生命周期流程
查看答案
正確答案: A
問題 #49
一家小型企業與一家跨國雲計算供應商籤訂了合同。如果合同中省略以下哪項,信息安全經理會最擔心?
A. 戶批准訪問其數據的權力
B. 購方對供應商進行現場審計的權利
C. 有代碼發布條件的軟件代碼託管
D. 同一物理服務器上混合用戶數據
查看答案
正確答案: B
問題 #50
以下哪項對信息安全經理向高級管理層傳達安全計劃最爲重要?
A. 在風險和風險點
B. 響分析結果
C. 全架構變化
D. 戶角色和責任
查看答案
正確答案: A
問題 #51
選擇私有雲而不是公共雲的最大好處是:
A. 服務器保護。
B. 收集數據取證。
C. 在線服務的可用性。
D. 控制客戶數據。
查看答案
正確答案: C
問題 #52
BEST 可以通過以下介紹獲得高級管理層對信息安全的承諾和支持:
A. 使用成功攻擊的示例。
B. 解釋組織面臨的技術風險。
C. 根據最佳安全實踐評估組織。
D. 將安全風險與關鍵業務目標聯繫起來。
查看答案
正確答案: D
問題 #53
據報告,某機構使用的防火牆軟件存在嚴重漏洞。信息安全經理應立即採取以下哪項行動?
A. 保所有操作系統補丁都是最新的
B. 止入站流量,直到找到合適的解決方案
C. 得防火牆製造商的指導。
D. 託進行滲透測試
查看答案
正確答案: B
問題 #54
以下哪項爲確定信息安全計劃和基本業務流程的整體有效性提供了最相關的信息?
A. 衡計分卡
B. 本效益分析
C. 業基準
D. WOT 分析
查看答案
正確答案: D
問題 #55
一家跨國企業希望監控出站流量,以防數據因使用未經批准的雲服務而泄漏。在實施該控制時,信息安全經理最應考慮以下哪項?
A. 服務的安全性
B. 據隱私條例
C. 業用戶的阻力
D. 測資源的分配
查看答案
正確答案: C
問題 #56
以下哪項是組織在制定業務連續性計劃 (BCP) 或災難恢復計劃 (DRP) 時的主要考慮因素?
A. 置備份站點
B. 護冗餘系統
C. 恢復時間目標(RTO)保持一致
D. 據備份頻率
查看答案
正確答案: B
問題 #57
對於擁有大型複雜 IT 基礎設施的組織而言,災難恢復熱點服務的以下哪些要素需要最密切的監控?
A. 工訪問
B. 計權
C. 統配置
D. 戶數量
查看答案
正確答案: D
問題 #58
在雲技術環境中,以下哪項對安全事件調查的挑戰最大?
A. 問硬件
B. 據加密
C. 標準事件日誌
D. 縮客戶數據
查看答案
正確答案: D
問題 #59
信息安全經理發現組織的關鍵系統可能會受到新的零時差攻擊。首先要採取的行動是:
A. 就風險和補救成本向管理層提出建議。
B. 分析妥協的可能性。
C. 調查同行組織,了解他們是如何解決這一問題的。
D. 重新評估防火牆配置。
查看答案
正確答案: A
問題 #60
某業務部門使用的電子商務應用程序採用了嚴格的密碼策略。許多客戶抱怨他們記不住密碼,因爲密碼太長太複雜。該業務部門表示必須改善客戶體驗。信息安全經理應
A. 更改密碼政策,改善客戶體驗
B. 研究其他安全的身份驗證方法
C. 評估客戶體驗對業務收入的影響
D. 建議實施雙因素身份驗證
查看答案
正確答案: C
問題 #61
在確定信息資產的恢復時間目標(RTO)時,首要的考慮因素是
A. 監管要求。
B. 業務要求。
C. 財務價值。
D. 息技術資源的可用性。
查看答案
正確答案: A
問題 #62
以下哪項是實施安全控制時進行成本效益分析的最重要原因?
A. 出切合實際的信息安全預算
B. 保效益與業務戰略相一致
C. 保緩解工作不超過資產價值
D. 明信息安全計劃活動的合理性
查看答案
正確答案: A
問題 #63
一位項目經理正在開發一個開發人員門戶網站,他要求安全經理分配一個公共 IP 地址,以便內部員工和組織局域網 (LAN) 以外的外部顧問可以訪問該門戶網站。安全經理首先應該做什麼?
A. 解開發人員門戶網站的業務需求
B. 開發人員門戶網站進行漏洞評估
C. 裝入侵檢測系統(IDS)
D. 允許外部訪問服務器之前,從外部顧問那裡獲得一份已籤署的保密協議(NDA)
查看答案
正確答案: C
問題 #64
單點登錄(SSO)的主要優勢在於它將
A. 支持多種身份驗證機制。
B. 增加與安全有關的應用程序。
C. 加強用戶密碼。
D. 提高訪問管理的效率。
查看答案
正確答案: B
問題 #65
以下哪項最有助於有效執行事件響應計劃?
A. 對小組接受計劃培訓。
B. 劃以風險評估結果爲基礎。
C. 件響應計劃與 IT 災難恢復計劃保持一致。
D. 計劃以行業最佳實踐爲基礎。
查看答案
正確答案: B
問題 #66
滿足以下哪項安全目標 BEST 可以確保信息免受未經授權的修改?
A. 實性
B. 用性
C. 密
D. 信
查看答案
正確答案: D

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.