不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

CISM 考試問題和模擬考試,註冊信息安全經理 | SPOTO

CISM 認證可驗證您在開發和管理企業信息安全計劃方面的專業知識。我們的模擬測試涵蓋廣泛的主題,包括考試問題、樣例問題和模擬考試,確保您爲真正的考試做好充分準備。您可以訪問考試轉儲、考試材料和在線試題,加深對關鍵概念的理解。我們詳細的考試答案和考試問答部分將進一步強化您的知識基礎。通過我們的考試練習課程和考試模擬器,您將增強信心,爲 CISM 考試做好準備。立即開始參加我們的免費測試,通過 SPOTO 提升您的備考體驗。
參加其他線上考試

問題 #1
在進行風險評估時,最重要的考慮因素是:
A. 管理層支持風險緩解工作。
B. 計算了關鍵資產的年度預期損失(ALE)。
C. 已確定資產並對其進行了適當估值。
D. 了解攻擊的動機、手段和機會。
查看答案
正確答案: A
問題 #2
安全管理人員在建議實施安全解決方案時,首先會利用什麼?
A. 險評估報告
B. 術評估報告
C. 務案例
D. 算要求
查看答案
正確答案: D
問題 #3
在大型企業中,以下哪種方法最適合確保密碼強度?
A. 試將多個密碼重置爲較弱的值
B. 裝獲取密碼的代碼,以便進行定期審計
C. 取一部分用戶,要求他們提供密碼以供審查
D. 查每個平臺的一般安全設置
查看答案
正確答案: B
問題 #4
以下哪種工具最適合用來評估信息安全治理目標是否實現?
A. WOT 分析
B. 布圖
C. 距分析
D. 衡計分卡
查看答案
正確答案: C
問題 #5
進行風險評估最有效:
A. 在安全計劃制定之初。
B. 持續不斷。
C. 在制定安全計劃的業務案例時。
D. 在業務變革過程中。
查看答案
正確答案: B
問題 #6
確定控制有效性的方法之一是確定:
A. 是預防性、偵查性還是補償性。
B. 提供故障通知的能力。
C. 預期目標的測試結果。
D. 評估和分析可靠性。
查看答案
正確答案: C
問題 #7
以下哪項能最好地確認業務連續性/災後恢復計劃目標已經實現?
A. 試期間沒有超過恢復時間目標(RTO)
B. 終如一地對業務連續性/災後恢復計劃進行客觀測試
C. 後恢復計劃測試證明恢復點目標(RPO)不足
D. 根據業務連續性計劃/災後恢復計劃對信息資產進行估值並分配給所有者
查看答案
正確答案: D
問題 #8
對於希望保護知識產權的組織來說,以下哪種方法是最佳方法?
A. 辦知識產權政策宣傳會議
B. 求所有員工籤署保密協議
C. 員工離開組織時,立即刪除所有訪問權限
D. 訪問權限限制在 "需要知道 "的範圍內
查看答案
正確答案: C
問題 #9
應定期重複安全風險評估工作,因爲
A. 商業威脅不斷變化。
B. 可以解決早期評估中的疏漏。
C. 可採用各種方法進行重複評估。
D. 它們有助於提高企業的安全意識。
查看答案
正確答案: B
問題 #10
BEST 可以通過以下方式獲得高級管理層對建立溫暖站點的支持:
A. 建立定期風險評估。
B. 促進監管要求。
C. 制定商業案例。
D. 制定有效的衡量標準。
查看答案
正確答案: A
問題 #11
一位項目經理正在開發一個開發人員門戶網站,他要求安全經理分配一個公共 IP 地址,以便內部員工和組織局域網 (LAN) 以外的外部顧問可以訪問該門戶網站。安全經理首先應該做什麼?
A. 解開發人員門戶網站的業務需求
B. 開發人員門戶網站進行漏洞評估
C. 裝入侵檢測系統(IDS)
D. 允許外部訪問服務器之前,從外部顧問那裡獲得一份已籤署的保密協議(NDA)
查看答案
正確答案: D
問題 #12
對一個網絡應用系統的內部審查發現,通過更改用於訪問賬戶的 URL 上的員工 ID,可以訪問所有員工的賬戶。發現的漏洞是
A. 驗證失敗。
B. 未經驗證的輸入。
C. 跨站腳本。
D. 構化查詢語言 (SQL) 注入。
查看答案
正確答案: D
問題 #13
爲了向管理層強調網絡安全的重要性,安全管理人員應在第一階段:
A. 開發安全架構。
B. 安裝網絡入侵檢測系統 (NIDS),並準備一份攻擊清單。
C. 制定網絡安全政策。
D. 進行風險評估。
查看答案
正確答案: A
問題 #14
在保留內部能力的同時,緩解安全團隊人員不足的最佳方法是什麼?
A. 用一名不計入長期人數的承包商
B. 包給安全服務提供商,同時保留內部控制權
C. 全公司有能力的員工中建立一個虛擬安全團隊
D. 供交叉培訓,儘量減少現有資源缺口
查看答案
正確答案: C
問題 #15
BEST 可以通過以下方法預防成功的社交工程攻擊:
A. 重新就業篩選。
B. 密切監控用戶的訪問模式。
C. 定期提高認識培訓。
D. 高效的終止程序。
查看答案
正確答案: A
問題 #16
從首次發布安全漏洞到提供修補程序之間存在時間差。在這段時間內,應首先採取以下哪種措施來降低風險?
A. 別易受攻擊的系統並採取補償控制措施
B. 量減少使用易受攻擊的系統
C. 系統用戶通報漏洞
D. 新入侵檢測系統 (IDS) 的籤名數據庫
查看答案
正確答案: D
問題 #17
應進行風險評估:
A. 每個業務流程和子流程每年一次。
B. 關鍵業務流程每三到六個月一次。
C. 由外部各方保持客觀性。
D. 每年或每當有重大變化時。
查看答案
正確答案: C
問題 #18
以下哪項是持續進行風險評估的主要原因?
A. 須不斷說明安保預算的合理性。
B. 天都有新的漏洞被發現。
C. 險環境不斷變化。
D. 理層需要不斷了解新出現的風險。
查看答案
正確答案: B
問題 #19
在與外包商籤訂提供安全管理的合同時,最重要的合同要素是:
A. 終止權條款。
B. 責任限制。
C. 服務水平協議(SLA)。
D. 財務處罰條款。
查看答案
正確答案: A
問題 #20
在聘請第三方顧問進行攻擊和滲透測試時,以下哪項是最重要的操作?
A. 求提供將使用的軟件清單
B. 信息技術人員提供明確的指導
C. 切監控入侵檢測系統 (IDS) 和防火牆日誌
D. 定明確的交戰規則
查看答案
正確答案: C
問題 #21
在事件響應期間收集和保存可採信的證據時,以下哪項是最關鍵的考慮因素?
A. 掉系統插頭
B. 管鏈
C. 責分工
D. 鐘同步
查看答案
正確答案: C
問題 #22
防範網絡釣魚攻擊的最佳建議是什麼?
A. 裝反垃圾郵件系統
B. 客戶發布安全指南
C. 高組織員工的安全意識
D. 裝應用級防火牆
查看答案
正確答案: A
問題 #23
最完整的安全解決方案商業案例是:
A. 包括適當的理由。
B. 解釋當前的風險狀況。
C. 詳細說明監管要求。
D. 確定事件和損失。
查看答案
正確答案: C
問題 #24
某組織得知另一家使用類似技術的公司出現了安全漏洞。信息安全經理首先要做的是:
A. 評估由報告原因引發事件的可能性。
B. 停止使用易受攻擊的技術。
C. 向高級管理層報告組織未受影響。
D. 提醒工作人員沒有發生過類似的安全漏洞。
查看答案
正確答案: C
問題 #25
某組織的信息安全經理被要求聘請一名顧問,幫助評估該組織信息安全管理的成熟度。招標書(RFP)中最重要的內容是:
A. 其他組織的推薦信。
B. 參與小組過去的經驗。
C. 交付品樣本。
D. 評估中使用的方法。
查看答案
正確答案: A
問題 #26
描述信息安全戰略目標最有用的方法是通過以下方式:
A. "理想狀態 "的屬性和特徵。
B. 安全計劃的總體控制目標。
C. 將 IT 系統與關鍵業務流程相匹配。
D. 年度預期損失的計算。
查看答案
正確答案: B
問題 #27
以下哪項能最好地確認業務連續性/災後恢復計劃目標已經實現?
A. 試期間沒有超過恢復時間目標(RTO)
B. 終如一地對業務連續性/災後恢復計劃進行客觀測試
C. 後恢復計劃測試證明恢復點目標(RPO)不足
D. 根據業務連續性計劃/災後恢復計劃對信息資產進行估值並分配給所有者
查看答案
正確答案: A
問題 #28
減輕網絡拒絕服務(DoS)攻擊的最佳方法是什麼?
A. 保所有服務器的操作系統補丁都是最新的
B. 用數據包過濾,丟棄可疑數據包
C. 施網絡地址轉換,使內部地址不可路由
D. 面向互聯網的設備實施負載平衡
查看答案
正確答案: A
問題 #29
在選擇安全技術時,應首先考慮其:
A. 降低業務風險的能力。
B. 行業出版物的評價。
C. 使用新興技術。
D. 效益與成本的比較。
查看答案
正確答案: C
問題 #30
在部署了多個安全補丁後,一些業務部門報告其系統出現了問題。處理這一問題的第一步是:
A. 評估問題,必要時啓動回滾程序。
B. 切斷系統與網絡的連接,直到問題得到解決。
C. 立即從這些系統卸載補丁。
D. 立即就出現的問題與供應商聯繫。
查看答案
正確答案: A
問題 #31
找出供應商新漏洞的最具成本效益的方法是什麼?
A. 部脆弱性報告來源
B. 問定期進行脆弱性評估
C. 侵防禦軟件
D. 於 DMZ 的蜜罐
查看答案
正確答案: A
問題 #32
使用公鑰基礎設施(PKI)進行數字籤名:
A. 不保證信息的完整性。
B. 依賴於證書頒發機構 (CA) 受信任的程度。
C. 要求信息交換雙方。
D. 高度保密。
查看答案
正確答案: B
問題 #33
在系統開發生命周期(SDLC)的每個階段都涉及信息安全的主要原因是要確定安全影響和所需的潛在解決方案:
A. 識別系統中的漏洞。
B. 保持組織的安全態勢。
C. 將受到影響的現有系統
D. 遵守職責分工。
查看答案
正確答案: B
問題 #34
從信息安全管理人員的角度來看,明確界定角色和職責的直接好處是什麼?
A. 強政策合規性
B. 進程序流程
C. 責分離
D. 強問責制
查看答案
正確答案: D
問題 #35
在下列情況下,實施持續監測控制是最佳選擇:
A. 件的影響和頻率可能很高
B. 法要求採取強有力的內部/機構安全控制措施
C. 響大但頻率低的事件
D. 子商務是主要的業務驅動力
查看答案
正確答案: A
問題 #36
在實施信息安全計劃時,部署公鑰基礎設施(PKI)的主要原因是: 1:
A. 確保敏感材料的保密性。
B. 提供高度的身份保證。
C. 允許部署活動目錄。
D. 施安全套接字層 (SSL) 加密。
查看答案
正確答案: A
問題 #37
企業必須遵守最近公布的行業監管要求--遵守這些要求可能會產生高昂的實施成本。信息安全經理首先應該做什麼?
A. 立安全委員會。
B. 行差距分析。
C. 施補償控制。
D. 求立即遵守。
查看答案
正確答案: B
問題 #38
爲實現安全倡議的有效戰略協調,必須:
A. 輪選指導委員會領導。
B. 在主要組織單位之間獲得投入並達成共識。
C. 定期更新業務戰略。
D. 程序和標準須經所有部門負責人批准。
查看答案
正確答案: C
問題 #39
確保信息安全計劃成功的最重要因素是有效:
A. 向組織內所有用戶傳達信息安全要求。
B. 制定信息安全政策和程序。
C. 與組織目標和目的保持一致
D. 監督信息安全政策和程序的遵守情況。
查看答案
正確答案: C
問題 #40
以下哪項與雙因素身份驗證系統的成本效益分析最爲相關?
A. 件的預期年損失率(ALE)
B. 頻率事件
C. 擁有成本(TCO)
D. 目的核定預算
查看答案
正確答案: D
問題 #41
在定義信息分類政策時,以下哪項是最相關的因素?
A. 息數量
B. 用的信息技術基礎設施
C. 定基準
D. 據所有者的要求
查看答案
正確答案: C
問題 #42
以下哪項對制定安全戰略最爲重要?
A. 造積極的企業安全環境
B. 解關鍵業務目標
C. 高級管理層報告
D. 信息安全分配足夠的資源
查看答案
正確答案: B

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼: