不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

CISM 考試輕鬆練習:最新模擬考試,註冊信息安全管理員 | SPOTO

使用 SPOTO 的 CISM Exam Practice Made Easy: Latest Mock Exams 輕鬆備考 Certified Information Security Manager (CISM)。作爲一名 CISM,您需要展示在開發和管理企業信息安全計劃方面的高級知識。訪問我們最新的模擬考試,包括免費測試選項,進行全面的考試準備。深入研究考試試卷、樣題和考試材料,加強對關鍵概念的理解。參與真實的模擬考試,模擬考試環境,完善考試練習。利用我們詳細的考試答案和考試模擬器進行有效的備考。有了 SPOTO 的考試練習資源(包括在線試題),您將能夠在 CISM 考試中取得優異成績,並提升您的職業生涯。
參加其他線上考試

問題 #1
以下哪項是客戶端-服務器環境中與中間件相關的最重要風險?
A. 防止對服務器進行修補
B. 統備份可能不完整
C. 統完整性可能受到影響
D. 終用戶會話可能被劫持
查看答案
正確答案: C
問題 #2
以下哪項 BEST 將有助於制定適當的事件響應程序?
A. 行情景測試
B. 行脆弱性評估
C. 析關鍵風險指標(KRIs)
D. 估能力成熟度
查看答案
正確答案: A
問題 #3
當信息安全計劃的投資回報率(ROI)難以計算時,以下哪項是 BEST 應納入業務案例的內容?
A. 計減少的風險
B. 計效率的提高
C. 期成本預測
D. 計成熟度的提高
查看答案
正確答案: A
問題 #4
以下哪項最能支持信息安全與業務功能的一致性?
A. 立安全指導委員會
B. 息技術管理部門對安全評估的支持
C. 業管理層參與安全滲透測試
D. 注業務流程中的技術安全風險
查看答案
正確答案: A
問題 #5
某 IT 部門計劃將一個應用程序遷移到公共雲。以下哪項是信息安全經理支持這一計劃的最重要行動?
A. 算安全實施成本。
B. 估服務水平協議 (SLA)。
C. 供雲安全要求。
D. 查雲提供商獨立評估報告。
查看答案
正確答案: B
問題 #6
以下哪項最有可能減少未經授權的個人冒充需要重置密碼的授權個人訪問計算機資源的機會?
A. 密碼重置進行審查
B. 展安全意識計劃
C. 加密碼更改頻率
D. 施密碼語法自動檢查
查看答案
正確答案: B
問題 #7
外包服務提供商必須處理敏感的客戶信息。以下哪項對信息安全經理來說最重要?
A. 感數據的存儲和傳輸安全
B. 供商遵守行業標準的程度
C. 施採用的安全技術
D. 近一次獨立安全審查的結果
查看答案
正確答案: A
問題 #8
信息安全經理監控業務和 IT 行業層面變化的主要原因是: 1:
A. 評估變化對殘餘風險水平的影響。
B. 確定風險環境的變化。
C. 根據變化更新信息安全政策。
D. 根據潛在影響改變業務目標。
查看答案
正確答案: B
問題 #9
使用冷場恢復設施的主要缺點是:
A. 在正常工作時間內無法進行測試。
B. 僅在主要租戶不使用時可用。
C. 不可能提前預訂考試日期。
D. 在現場測試關鍵應用程序的成本效益不高。
查看答案
正確答案: A
問題 #10
針對可能影響關鍵任務服務器的新漏洞的驗證補丁已發布。應立即採取哪些措施?
A. 加緩解控制措施。
B. 閉服務器並安裝補丁。
C. 查服務器的安全性並安裝補丁。
D. 行影響分析。
查看答案
正確答案: D
問題 #11
爲關鍵業務應用程序確定恢復時間目標 (RTO) 的主要依據是什麼?
A. 務影響分析(BIA)結果
B. 關業務基準
C. 險評估結果
D. 律和監管要求
查看答案
正確答案: A
問題 #12
某組織來年的信息安全戰略強調降低勒索軟件的風險。以下哪項最有助於支持這一戰略?
A. 所有員工提供相關培訓。
B. 定滲透測試計劃
C. 行控制差距分析。
D. 強信息技術環境的安全控制。
查看答案
正確答案: A
問題 #13
在風險評估之後,管理層批准了新的應對措施。以下哪項工作應在下一步進行?
A. 定實施戰略。
B. 排實施活動的目標結束日期。
C. 制實施活動的總費用預算。
D. 算每項對策的殘餘風險。
查看答案
正確答案: A
問題 #14
以下哪項是延遲應用關鍵安全補丁的最佳理由?
A. 軟件開發生命周期的衝突
B. 術相互依存
C. 乏脆弱性管理
D. 源限制
查看答案
正確答案: B
問題 #15
在高價值在線金融交易系統中,以下哪項特徵對銀行最爲重要?
A. 份識別
B. 密性
C. 份驗證
D. 計監督
查看答案
正確答案: B
問題 #16
在進行法證調查時,以下哪項最重要?
A. 錄分析步驟
B. 捉完整的系統圖像
C. 持監管鏈
D. 析系統內存
查看答案
正確答案: C
問題 #17
在一個組織中,信息技術對其業務戰略至關重要,而且業務高度依賴信息技術,高級管理層對安全的承諾主要體現在以下方面:
A. 職責分離政策
B. IT 安全職能的規模
C. 首席信息安全官(CISO)的隸屬關係
D. IT 指導委員會的存在
查看答案
正確答案: D
問題 #18
在爲組織內社交網站的使用制定指導方針時,以下哪項是最重要的步驟?
A. 違規行爲制定懲戒措施。
B. 定可接受的張貼信息。
C. 份安全社交網站。
D. 行漏洞評估。
查看答案
正確答案: D
問題 #19
雲服務提供商無法提供獨立的控制評估。以下哪種方法最能確保提供商能夠充分保護組織的信息?
A. 據合同規定行使審計權
B. 查提供方的信息安全政策
C. 看供應商其他客戶提供的參考資料
D. 查提供方的自我評估
查看答案
正確答案: A
問題 #20
在對操作系統進行加固時,信息安全管理人員最重要的是確保:
A. 激活系統日誌
B. 更改默認密碼
C. 文件訪問受限
D. 取消匿名訪問
查看答案
正確答案: A
問題 #21
對安全策略進行持續監控的主要原因是:
A. 優化資源分配。
B. 確認效益正在實現。
C. 評估戰略的實施情況。
D. 爲信息安全撥款
查看答案
正確答案: C
問題 #22
將安全信息和事件管理(SIEM)解決方案與 IDS、反惡意軟件和電子郵件篩查解決方案等傳統安全工具集成,以下哪項好處最大?
A. 除假陽性檢測
B. 低運營成本
C. 高對潛在威脅模式的可見度
D. 工具整合到一個控制臺中
查看答案
正確答案: D
問題 #23
以下哪項對確定業務連續性計劃 (BCP) 中各項行動的優先次序最爲關鍵?
A. 務影響分析(BIA)
B. 險評估
C. 產分類
D. 務流程製圖
查看答案
正確答案: A
問題 #24
隔離存儲在員工自有移動設備上的企業數據的最佳方法是實施隔離:
A. 沙箱環境。
B. 設備加密。
C. 雙因素身份驗證。
D. 強密碼策略
查看答案
正確答案: A
問題 #25
當信息安全經理得知某些安全控制措施的實施因預算限制而推遲時,他的最佳行動方案是什麼?
A. 據風險確定安全控制的優先級。
B. 安全控制申請預算例外。
C. 動風險接受程序。
D. 議成本較低的替代安全控制措施。
查看答案
正確答案: A
問題 #26
以下哪項指標能最好地評估災後恢復準備工作的完整性?
A. 布的應用程序恢復計劃數量
B. 復計劃文件與申請總數之比
C. 試應用程序與總應用程序之比
D. 功與失敗測試的比率
查看答案
正確答案: C
問題 #27
某組織將工資單處理工作外包。以下哪項是監控服務提供商信息安全的最佳關鍵風險指標?
A. 嚴重程度分列的安全事件數量
B. 要安全補丁的數量
C. 用正常運行時間百分比
D. 工薪資調整次數
查看答案
正確答案: A
問題 #28
以下哪項能最好地爲利益相關者提供信息,以確定適當的災難應對措施?
A. 險評估
B. 弱性評估
C. 務影響分析
D. WOT 分析
查看答案
正確答案: C
問題 #29
以下哪項對改善組織安全狀況的工作影響最大?
A. 高管理層在安全方面的支持基調
B. 據可查的安全政策和程序
C. 期向高級管理層報告
D. 全控制自動化
查看答案
正確答案: A
問題 #30
某組織發現一名最終用戶點擊了一個惡意鏈接。以下哪種方法能最有效地防止類似情況再次發生?
A. 終用戶培訓
B. 毒防護
C. 終用戶訪問控制
D. 新安全政策
查看答案
正確答案: A
問題 #31
在評估電子商務應用的基礎設施即服務(IaaS)雲計算模式時,企業最關心的問題是什麼?
A. 供者服務的可用性
B. 部審計要求
C. 用程序所在位置
D. 請所有權
查看答案
正確答案: A
問題 #32
在決定實施新技術後,信息安全經理應首先採取以下哪項行動?
A. 定支持新技術所需的安全控制。
B. 新技術進行業務影響分析(BIA)。
C. 新技術進行投資回報率(ROI)分析。
D. 定新技術是否符合監管要求。
查看答案
正確答案: B
問題 #33
以下哪項是確保安全政策與組織業務實踐相關的最有效方法?
A. 合行業最佳做法
B. 得高級管理層的批准
C. 行全組織範圍的安全審計
D. 用安全指導委員會的貢獻
查看答案
正確答案: D
問題 #34
開發的新系統不符合密碼老化規則。BEST 可以通過以下方式識別這種不合規情況:
A. 業務影響分析
B. 內部審計評估
C. 事故管理流程
D. 循序漸進的一系列警告
查看答案
正確答案: B
問題 #35
在一家通過收購進行擴張的企業中,以下哪項能確保 BEST 的企業網絡安全?
A. 用安全組
B. 統訪問日誌分析
C. 於業務或角色的細分
D. 穿越網絡的數據進行加密
查看答案
正確答案: A
問題 #36
在選擇信息安全指標時,以下哪項最重要?
A. 衡量標準與 IT 戰略相結合
B. 數量上定義度量標準
C. 保指標的可重複性
D. 定性角度定義度量標準
查看答案
正確答案: B
問題 #37
信息安全計劃的主要作用是什麼?
A. 定並執行一套與業務相一致的安全政策
B. 育利益攸關方了解信息安全要求
C. 期進行風險評估和業務影響分析 (BIA)
D. 管理組織安全風險提供指導
查看答案
正確答案: A
問題 #38
將數據外包給雲服務提供商時,信息安全經理最需要考慮以下哪項?
A. 戶組織的角色和職責已經確定。
B. 服務器與組織位於同一國家。
C. 問授權包括生物識別安全驗證。
D. 儲在雲服務提供商處的數據不會被混合。
查看答案
正確答案: D
問題 #39
作爲社會工程評估的一部分,組織對其員工進行模擬網絡釣魚攻擊的主要原因是什麼?
A. 量安全意識培訓的效果。
B. 定減輕安全控制的需要。
C. 量反垃圾郵件解決方案的有效性。
D. 試事件響應計劃的有效性。
查看答案
正確答案: A
問題 #40
利用外部資源執行技術性很強的信息安全任務,可使信息安全管理人員
A. 分配技術風險。
B. 利用有限的資源。
C. 外包責任。
D. 轉移業務風險。
查看答案
正確答案: D
問題 #41
以下哪項是企業使用自動事件監控解決方案的主要好處?
A. 短事件響應時間
B. 進網絡保護
C. 化法證分析
D. 少人工分析的需要
查看答案
正確答案: A
問題 #42
當信息安全經理得知與第三方的現有合同沒有明確規定保護組織關鍵數據的要求時,他的 BEST 建議是什麼?
A. 現有合同創建一個附錄。
B. 消外包合同。
C. 風險轉嫁給提供方。
D. 提供商的數據中心進行外部審計。
查看答案
正確答案: A
問題 #43
從業務角度看,信息安全最重要的功能是提供支持:
A. 可預測的操作。
B. 國際標準。
C. 安全意識。
D. 公司政策。
查看答案
正確答案: D
問題 #44
信息安全業務案例獲得高級管理層批准後,應
A. 用於設計解決方案的功能要求。
B. 用作風險評估的基礎。
C. 參考建立解決方案的架構藍圖。
D. 在關鍵時間間隔進行審查,以確保取得預期成果。
查看答案
正確答案: D
問題 #45
以下哪項是評估安全意識計劃有效性的最有效方法?
A. 故後審查
B. 會工程學測試
C. 洞掃描
D. 面測試
查看答案
正確答案: B
問題 #46
以下哪項是防禦暴力破解攻擊的最佳方法?
A. 情訪問控制
B. 侵檢測鎖定
C. 間限制
D. 制訪問控制
查看答案
正確答案: C
問題 #47
以下哪項對建立有效的信息安全計劃最爲重要?
A. 加監測活動的信息安全架構
B. 理層對信息安全的支持
C. 傳計劃中包含的相關和及時的內容
D. 息系統的邏輯訪問控制
查看答案
正確答案: B
問題 #48
記錄信息安全準則供大型國際組織使用的主要目的是
A. 確保所有業務部門都有相同的戰略安全目標。
B. 爲審計人員提供證據,證明安全措施是充分的。
C. 解釋組織在安全方面的首選做法。
D. 確保所有業務單位執行相同的安全程序。
查看答案
正確答案: A
問題 #49
以下哪項是保護傳輸中數據真實性的最有效方法?
A. 希值
B. 字籤名
C. 鑰
D. 鑰
查看答案
正確答案: B
問題 #50
以下哪種方法能最有效地確保授予新員工訪問權限的流程標準化並滿足組織的安全要求?
A. 信息安全管理部門批准,按要求對個別系統進行授權。
B. 求新員工的經理在員工入職培訓期間負責賬戶設置和訪問。
C. 授權和創建賬戶與人力資源入職程序結合起來。
D. 用標準模板,規定所有員工在聘用時的訪問級別。
查看答案
正確答案: C
問題 #51
在對信息進行加密和數字籤名以保護貿易夥伴之間傳輸的文件時,最令人擔憂的是
A. 貿易夥伴可以拒絕信息的傳輸。
B. 黑客可以竊聽信息。
C. 貿易夥伴可以拒絕接收信息。
D. 黑客可以引入僞造信息。
查看答案
正確答案: D
問題 #52
風險已被正式接受並記錄在案。以下哪項是信息安全管理人員最重要的行動?
A. 新風險容忍度。
B. 知高級管理層和董事會。
C. 控環境變化。
D. 新評估組織的風險偏好。
查看答案
正確答案: D
問題 #53
以下哪項是資產分類的最佳標準?
A. 產的市場價值
B. 期年損失率(ALE)
C. 產相對於組織的價值
D. 復時間目標(RTO)
查看答案
正確答案: C
問題 #54
以下哪項是定期進行漏洞評估的最重要原因?
A. 理層要求定期報告。
B. 境在不斷變化。
C. 須降低技術風險。
D. 在評估當前的威脅程度。
查看答案
正確答案: B
問題 #55
恢復時間目標(RTO)是以下哪項的輸出結果?
A. 務連續性計劃
B. 後恢復計劃
C. 務水平協議(SLA)
D. 務影響分析(BIA)
查看答案
正確答案: B
問題 #56
以下哪項最適合信息安全經理向 IT 運營部門傳達?
A. 有風險的程度
B. 弱性評估
C. 脅評估
D. 露程度
查看答案
正確答案: B
問題 #57
數據泄漏防護 (DLP) 解決方案發現,有幾名員工違反公司政策,將公司機密數據發送到個人電子郵件地址。信息安全經理應
A. 聯繫相關員工重新參加安全意識培訓
B. 將員工違反政策的情況通知高級管理層
C. 限制相關員工訪問互聯網
D. 啓動調查,以確定不合規的全部程度
查看答案
正確答案: D
問題 #58
使用 IDS 檢測新威脅時,依賴以下哪種方法最值得關注?
A. 計模式識別
B. 擊特徵
C. 發式分析
D. 通分析
查看答案
正確答案: B
問題 #59
在開發存儲高度機密數據的關鍵系統過程中,信息安全經理應主要關注以下哪項?
A. 保殘餘風險量可接受
B. 少檢測到的漏洞數量
C. 免已查明的系統威脅
D. 守監管要求
查看答案
正確答案: D
問題 #60
以下哪項能最好地確保應用程序安全標準到位?
A. 能測試
B. 行代碼審查
C. 布軟件編碼標準
D. 透測試
查看答案
正確答案: D
問題 #61
在確定組織內的理想安全狀態時,以下哪項應作爲主要輸入?
A. 接受的風險水平
B. 預期損失
C. 部審計結果
D. 務影響程度
查看答案
正確答案: D
問題 #62
在採用信息安全框架後,信息安全經理正與高級管理層合作,以改變整個組織認爲信息安全僅是信息安全部門職責的觀念。爲實現這一目標,信息安全經理的第一項舉措應該是什麼?
A. 定一項業務計劃,爲信息安全項目提供最佳做法。
B. 高級管理層的支持下,開展信息安全意識活動。
C. 錄並公布信息安全部門的職責。
D. 施正式程序,定期進行合規審查。
查看答案
正確答案: B
問題 #63
以下哪項最重要?
A. 全指標趨勢分析
B. 脅情報
C. 全事件的根本原因分析
D. 險評估結果
查看答案
正確答案: A
問題 #64
以下哪項定義了特定系統必須滿足的最低安全要求?
A. 全政策
B. 全準則
C. 全程序
D. 全基線
查看答案
正確答案: A
問題 #65
信息安全經理發現外部 FTP 服務器的根密碼可能會受到暴力破解攻擊。以下哪種方法最適合降低攻擊成功的可能性?
A. 止攻擊者的源 IP 地址。
B. 次嘗試失敗後鎖定遠程登錄。
C. 止訪問對外服務器。
D. 裝入侵檢測系統 (IDS)。
查看答案
正確答案: B
問題 #66
以下哪項能最全面地了解組織的信息安全狀況?
A. 險管理衡量標準
B. 部審計結果
C. 弱性評估結果
D. 織的安全事件趨勢
查看答案
正確答案: A
問題 #67
使用業務案例爲信息安全投資獲取資金在以下情況下最爲有效:
A. 將信息安全政策和標準與業務要求聯繫起來
B. 將投資與組織的戰略計劃聯繫起來。
C. 根據組織戰略調整信息安全目標。
D. 以清晰的語言闡明管理層的意圖和信息安全指令。
查看答案
正確答案: B
問題 #68
當客戶數據遭到泄露時,企業應聯繫執法部門:
A. 如果攻擊來自國際來源。
B. 根據信息安全經理的指示。
C. 如果對組織有潛在影響。
D. 根據企業傳播政策。
查看答案
正確答案: D
問題 #69
以下哪項能最好地支持風險評估流程,以確定資產的關鍵性?
A. 務影響分析(BIA)
B. 餘風險分析
C. 弱性評估
D. 脅評估
查看答案
正確答案: A
問題 #70
內部審計發現,在沒有正當理由的情況下,沒有在政策規定的時限內實施關鍵補丁。以下哪項是解決審計發現問題的最佳方案?
A. 期審核關鍵補丁的執行情況。
B. 估補丁管理培訓。
C. 估補丁管理流程。
D. 控並通知 IT 人員關鍵補丁。
查看答案
正確答案: C
問題 #71
在定期向高級管理層提交的報告中,以下哪項最有助於證明信息安全計劃的有效性?
A. 鍵風險指標(KRI)
B. 力成熟度模型
C. 鍵成功要素(CSF)
D. 鍵績效指標(KPI)
查看答案
正確答案: A
問題 #72
向高級管理層提交定期威脅和風險評估報告的主要目的是傳達以下信息:
A. 安全態勢的狀況
B. 未來事件發生的概率
C. 安全控制的成本效益
D. 風險接受標準
查看答案
正確答案: A
問題 #73
以下哪項最有可能推動信息安全戰略的更新?
A. 近的滲透測試發現了一個控制弱點。
B. 個主要的業務應用程序已經升級。
C. 理層決定採用一種新興技術。
D. 請了一位新的首席技術官。
查看答案
正確答案: C
問題 #74
對於從互聯網下載商業軟件的用戶來說,以下哪項是確保真實性的最有效手段?
A. 字籤名
B. 字證書
C. 字代碼籤名
D. 寫術
查看答案
正確答案: C
問題 #75
以下哪項是制定全面信息安全政策的最佳理由?
A. 守外部行業和政府法規
B. 持制定有效的風險指標
C. 信息安全計劃與組織戰略保持一致
D. 取高級管理層對信息安全計劃的支持
查看答案
正確答案: C
問題 #76
將內部安全事件的處理權移交給第三方支持提供商的授權主要由以下方面確定:
A. 信息安全經理
B. 升級程序
C. 災難恢復計劃
D. 監管鏈
查看答案
正確答案: D
問題 #77
降低社交工程攻擊風險的最佳方法是:
A. 部署有效的入侵檢測系統 (IDS)
B. 對信息安全實踐進行用戶知識差距評估
C. 對電子郵件過濾系統進行業務風險評估
D. 在關鍵業務系統上實施多因素身份驗證
查看答案
正確答案: B
問題 #78
一家擁有大量用戶的企業發現有必要改進訪問控制應用程序。以下哪項最有助於防止未經授權的用戶訪問網絡和應用程序?
A. 點登錄
B. 物識別系統
C. 雜的用戶密碼
D. 問控制列表
查看答案
正確答案: D
問題 #79
以下哪項最有助於保持組織信息安全資源的凝聚力?
A. 息安全架構
B. 全漏洞分析
C. 務影響分析
D. 息安全指導委員會
查看答案
正確答案: A
問題 #80
在軟件項目系統開發生命周期(SDLC)的啓動階段,信息安全活動應解決以下問題:
A. 基準安全控制。
B. 成本效益分析。
C. 設定安全指標基準。
D. 安全目標。
查看答案
正確答案: D
問題 #81
以下哪項工作是安全部門最擅長的?
A. 准訪問操作系統的標準
B. 錄對操作系統的未授權訪問
C. 理訪問操作系統的用戶配置文件
D. 置用戶訪問操作系統
查看答案
正確答案: B
問題 #82
信息安全經理在對潛在外包數據中心進行實體安全審查時,以下哪項是最重要的考慮因素?
A. 據中心與公司總部的距離
B. 絡線路連接的可用性
C. 邊環境因素
D. 近執法部門
查看答案
正確答案: C
問題 #83
以下哪項 BEST 可以檢測到內部威脅造成的惡意破壞?
A. 問控制列表
B. 密
C. 詐意識培訓
D. 作輪換
查看答案
正確答案: D
問題 #84
當組織啓動數據分類流程時,信息安全經理的首要職責是以下哪項?
A. 實資產是否已適當分類。
B. 據具體分類實施安全措施。
C. 定要實施的分類結構。
D. 定資產分類級別。
查看答案
正確答案: C
問題 #85
持續監控安全控制的主要目的是確保
A. 系統可用性。
B. 控制差距最小化。
C. 控制措施的有效性。
D. 與合規要求保持一致。
查看答案
正確答案: C
問題 #86
某企業在全球各地的分支機構共享客戶信息。信息安全管理部門最關注以下哪項?
A. 支機構之間的跨文化差異
B. 互衝突的數據保護法規
C. 安全的廣域網(WAN)
D. 息安全權力下放
查看答案
正確答案: C
問題 #87
爲公共網站起草企業隱私聲明時,必須包括以下哪些內容?
A. 入控制要求
B. 限責任條款
C. 息加密要求
D. 息使用說明
查看答案
正確答案: C
問題 #88
批准安全政策的例外情況應主要基於以下因素:
A. 風險偏好。
B. 外部威脅概率。
C. 業務影響分析 (BIA) 的結果。
D. 安全事件的數量。
查看答案
正確答案: C

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼: