不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

CISM 考試問題 2024 年更新:爲考試做好準備,註冊信息安全經理 | SPOTO

使用 SPOTO 最新的 2024 考試試題,爲成功通過 CISM 考試做好準備。我們的綜合模擬測試涵蓋所有考試領域,包括信息風險管理、治理、事件管理以及項目開發和管理。訪問免費樣題以評估您的知識水平,並深入研究我們的大量考試題庫以進行全面複習。利用 SPOTO 的模擬考試,模擬真實的考試場景,提高您的應試技巧。探索我們精心策劃的考試資料,其中包含詳細的答案和解釋,以加強您對關鍵概念的理解。無論您是在練習試題、回顧示例場景,還是在磨練您的考試策略,SPOTO 的在線考試模擬器都是您有效備考 CISM 考試的終極工具。
參加其他線上考試

問題 #1
核實安全事件後應執行什麼任務?
A. 定事件。
B. 制事件。
C. 定事件的根本原因。
D. 行漏洞評估。
查看答案
正確答案: B
問題 #2
以下哪種恢復策略失敗的幾率最大?
A. 門地點
B. 餘站點
C. 惠安排
D. 場
查看答案
正確答案: C
問題 #3
一家將工資單處理外包的機構根據政策要求對第三方的安全控制進行了獨立評估。以下哪項是合同中最有用的要求?
A. 計權
B. 密協議
C. 確實施防火牆
D. 門的安全管理員負責監控合規情況
查看答案
正確答案: A
問題 #4
某組織實施了企業資源規劃(ERP)系統,供來自不同部門的 500 名員工使用。以下哪種訪問控制方法最合適?
A. 於規則
B. 制性
C. 處權
D. 於角色
查看答案
正確答案: D
問題 #5
某企業正在考慮收購競爭對手。爲了確定競爭對手的安全狀況,該組織信息安全經理的最佳行動方案是:
A. 評估競爭對手的安全政策。
B. 評估競爭對手的關鍵技術控制。
C. 對競爭對手進行滲透測試。
D. 對競爭對手進行安全漏洞分析。
查看答案
正確答案: A
問題 #6
當一個新的關鍵業務應用程序投入生產時,更新相關業務影響分析 (BIA) 和業務連續性/災難恢復計劃的主要原因是:
A. 這是安全策略的要求。
B. 軟件許可證將來可能會過期,恕不另行通知。
C. 必須保持資產庫存。
D. 否則可能無法履行服務級別協議。
查看答案
正確答案: D
問題 #7
在就第三方服務提供商處理數據的保密級別確定服務級別協議(SLA)時,合規性的最佳指標是:
A. 訪問控制矩陣。
B. 加密強度。
C. 驗證機制。
D. 數據儲存庫。
查看答案
正確答案: A
問題 #8
以下哪項能最好地證明信息安全計劃與業務戰略保持一致?
A. 息安全計劃在企業的風險承受能力範圍內管理風險。
B. 息安全團隊能夠向高級管理層提供關鍵績效指標 (KPI)。
C. 業高級管理層支持信息安全政策
D. 息安全措施與業務流程直接相關。
查看答案
正確答案: D
問題 #9
對於有員工在不同部門之間流動的組織而言,以下哪種類型的訪問控制最合適?
A. 制性
B. 於角色
C. 份
D. 處權
查看答案
正確答案: C
問題 #10
以下哪項是計算機事件響應小組應對各種信息安全情況的最佳準備?
A. 面演練
B. 醫認證
C. 透測試
D. 後恢復演習
查看答案
正確答案: A
問題 #11
以下哪些人員是信息安全指導委員會成員中最重要的人員?
A. 接向首席信息官報告
B. 息技術管理層和主要業務流程負責人
C. 終用戶和 IT 專業人員的橫截面
D. 部審計和公司法律部門
查看答案
正確答案: B
問題 #12
在聘用外包提供商之前,信息安全經理應確保組織的數據分類要求:
A. 與提供方自己的分類相一致。
B. 告知提供方。
C. 超過外包商。
D. 在合同中註明。
查看答案
正確答案: D
問題 #13
發生計算機安全事故的臺式計算機應作爲證據加以保護,具體做法如下
A. 切斷計算機與所有電源的連接。
B. 禁用除一個管理員之外的所有本地用戶賬戶。
C. 加密本地文件並將準確副本上傳到安全服務器。
D. 使用操作系統 (OS) 將所有文件複製到一次性寫入介質。
查看答案
正確答案: A
問題 #14
在選擇病毒防護軟件時,以下哪項是最重要的標準?
A. 品市場份額和年化成本
B. 入侵檢測系統(IDS)軟件和防火牆連接的能力
C. 病毒的警報通知和影響評估
D. 於維護和更新頻率
查看答案
正確答案: D
問題 #15
以下哪項是測試事件響應計劃最有利的結果?
A. 試計劃結果記錄在案
B. 強計劃以反映測試結果
C. 件響應時間得到改善
D. 對措施包括上報高級管理層
查看答案
正確答案: C
問題 #16
以下哪種災難恢復測試技術是確定計劃有效性的最具成本效益的方法?
A. 備狀態測試
B. 質測試
C. 面運行測試
D. 際服務中斷
查看答案
正確答案: A
問題 #17
某企業針對業務應用程序實施了一項強化的密碼政策,這需要業務部門投入更多的資源來支持客戶。獲得業務部門管理層支持的最佳方法是:
A. 對變革的成本和效益進行分析
B. 討論如果不執行,安全事件的風險和影響
C. 向業務部門介紹行業基準結果
D. 闡述對信息安全的積極影響
查看答案
正確答案: B
問題 #18
以下哪種情況是安全經理最關心的?
A. 產服務器上未啓用審計日誌
B. 統中仍然存在已離職系統分析師的登錄 ID
C. 助服務臺收到了許多用戶收到網絡釣魚電子郵件的結果
D. 現系統管理員的筆記本電腦安裝了木馬程序
查看答案
正確答案: D
問題 #19
向高級管理層介紹以下哪項最有助於確保信息安全戰略獲得持續支持?
A. 史安全事件
B. 全投資回報
C. 完成的業務影響分析 (BIA)
D. 前的脆弱性衡量標準
查看答案
正確答案: B
問題 #20
以下哪項是信息安全控制不再適用的最佳標誌?
A. 戶經常繞過或忽略控制。
B. 制不支持特定的業務功能。
C. T 管理層不支持控制。
D. 不遵守控制相比,遵守控制會給企業帶來更大的損失。
查看答案
正確答案: B
問題 #21
以下哪項是實施良好的宣傳計劃最重要的成果?
A. 事會對風險管理負責。
B. 告的安全事件數量穩步下降。
C. 少社會工程學攻擊的成功次數。
D. 進服務臺解決事件的響應時間。
查看答案
正確答案: B
問題 #22
以下哪種方法是提高安全意識最有效、最積極的方法?
A. 守規定的競賽和獎勵
B. 試三次錯誤密碼後鎖定
C. 格執行密碼格式
D. 違規行爲的紀律處分
查看答案
正確答案: A
問題 #23
項目經理報告組織的 IT 系統可能遭到入侵。事件響應經理首先應該做什麼?
A. 系統上運行端口掃描
B. 用登錄 ID
C. 查系統日誌
D. 證事件
查看答案
正確答案: D
問題 #24
最近的一次審計發現,組織政策規定的安全控制措施沒有在某個應用程序中實施。信息安全經理應如何解決這一問題?
A. 數據所有者討論問題,確定出現異常的原因
B. 數據保管人討論問題,確定例外情況的原因
C. 高級管理層報告問題,並申請資金解決問題
D. 絕訪問應用程序,直到問題得到解決
查看答案
正確答案: A
問題 #25
爲確定企業網絡上的安全漏洞是如何發生的,安全經理會查看各種設備的日誌。以下哪項最有利於關聯和查看這些日誌?
A. 據庫服務器
B. 名服務器(DNS)
C. 間服務器
D. 理服務器
查看答案
正確答案: C
問題 #26
應用系統存儲客戶機密數據,加密並不可行。防止數據泄露的最佳措施是:
A. 定期檢查訪問日誌。
B. 單點登錄。
C. 保密協議(NDA)。
D. 多因素訪問控制。
查看答案
正確答案: D
問題 #27
當信息安全經理向高級管理層提交信息安全計劃狀況報告時,MAIN 的重點應該是:
A. 關鍵風險指標。
B. 關鍵控制評估。
C. 關鍵績效指標(KPI)。
D. 淨現值 (NPV)。
查看答案
正確答案: C
問題 #28
以下哪項最能體現組織的信息安全計劃與業務目標之間的戰略一致性?
A. 務影響分析(BIA)
B. 全審計報告
C. 衡計分卡
D. 鍵風險指標(KRI)
查看答案
正確答案: C
問題 #29
以下哪種說法表明以前失敗的安全計劃正在走向成功?
A. 脅的數量已經減少。
B. 多員工和利益相關者參加安全意識計劃。
C. 洞誤報的數量正在減少。
D. 理層的注意力和預算現在都集中在降低風險上。
查看答案
正確答案: A
問題 #30
確保信息安全事件得到及時有效管理的最有效方法是什麼?
A. 定和衡量關鍵績效指標(KPI)
B. 員工傳達事件應對程序
C. 期測試事件響應程序
D. 得高級管理層的承諾
查看答案
正確答案: C
問題 #31
確定事件響應優先級的最重要因素是什麼?
A. 受影響系統有關的服務級別協議(SLA
B. 企業的潛在影響
C. 復受影響系統的時間
D. 業技術人員的可用性
查看答案
正確答案: B
問題 #32
一個安全團隊正在進行年度災難恢復測試。恢復後測試表明,由於恢復中心的互聯網連接帶寬不足,系統響應時間明顯變慢。以下哪項是安全經理的最佳行動方案?
A. 止測試,直到網絡帶寬增加。
B. 少標記爲關鍵的應用程序的數量。
C. 錄缺陷,供業務領導層審查。
D. 較慢的響應時間尋求風險接受。
查看答案
正確答案: C
問題 #33
以下哪種模式可爲客戶機構提供最多的雲託管環境管理控制權?
A. 儲即服務(SaaS)
B. 臺即服務(PaaS)
C. 件即服務(SaaS)
D. 礎設施即服務(IaaS)
查看答案
正確答案: D
問題 #34
信息安全經理發現一些員工在社交媒體網站上討論公司機密業務。以下哪項是應對這種情況的最佳措施?
A. 達社交媒體使用要求並監督合規情況。
B. 止工作場所訪問社交媒體網站,並監控員工的使用情況。
C. 訓員工如何在社交媒體網站上設置隱私規則。
D. 描社交媒體網站,查找與公司相關的信息。
查看答案
正確答案: A
問題 #35
以下哪項是表明組織已建立有效安全控制的最佳指標?
A. 月服務水平統計數字表明,安全問題造成的影響微乎其微。
B. 施安全控制的成本低於資產的價值。
C. 合安全標準的系統百分比。
D. 計報告沒有反映任何關於安全問題的重大發現。
查看答案
正確答案: A
問題 #36
建立安全基線的最佳方法是記錄:
A. 組織首選的安全級別。
B. 業務標準框架。
C. 所需的安全設置範圍。
D. 可接受的設置標準。
查看答案
正確答案: B
問題 #37
以下哪項能最大限度地減少在社交媒體上無意披露內部業務信息?
A. 定社交媒體準則
B. 用戶進行社交媒體風險教育
C. 制訪問社交媒體網站
D. 施數據丟失防護(DLP)解決方案
查看答案
正確答案: B
問題 #38
審查以下哪項可以爲資產分類過程提供最大的投入?
A. 險評估
B. 產的重置成本
C. 據的敏感性
D. 規要求
查看答案
正確答案: C
問題 #39
以下哪項活動用於確定破壞性事件的影響?
A. 長可容忍停機時間評估
B. 復時間目標(RTO)分析
C. 務影響分析(BIA)
D. 件影響分析
查看答案
正確答案: D
問題 #40
以下哪項是防止個人計算機設備被盜或丟失時數據丟失的最佳機制?
A. 據加密
B. 程訪問設備
C. 止數據泄漏(DLP)
D. 人防火牆
查看答案
正確答案: A
問題 #41
在一個組織中,IT 安全的責任被明確分配和執行,IT 安全風險和影響分析被持續執行。這代表信息安全治理成熟度模型中的哪個等級?
A. 化
B. 理的
C. 義
D. 重複
查看答案
正確答案: B
問題 #42
向信息安全經理報告安全漏洞後,應立即採取以下哪些行動?
A. 認事件
B. 定影響
C. 知受影響的利益攸關方
D. 離事件
查看答案
正確答案: A
問題 #43
以下哪項指標能爲管理層提供有關安全意識計劃有效性的最有用信息?
A. 織安全政策的下載次數增加
B. 全事件數量減少
C. 告的安全事件數量增加
D. 絡釣魚攻擊數量減少
查看答案
正確答案: B
問題 #44
建立以下哪種機制是確保及時發現新風險的最佳方式?
A. 期風險報告
B. 險監測程序
C. 更控制程序
D. 件監測活動
查看答案
正確答案: D
問題 #45
以下哪種方法是確保數據所有者負責實施信息安全流程的最佳方法?
A. 安全任務納入員工崗位描述。
B. 括項目團隊成員。
C. 安保組織提供崗位輪換。
D. 強安全意識培訓。
查看答案
正確答案: D
問題 #46
爲信息安全管理進行資產評估的主要目的是: 1:
A. 確定風險管理活動的優先次序
B. 剔除最不重要的資產
C. 爲資產分類提供依據
D. 確定每項資產的價值
查看答案
正確答案: D
問題 #47
以下哪項是數據保管員的主要職責?
A. 證信息
B. 理信息
C. 息分類
D. 保信息安全
查看答案
正確答案: D
問題 #48
以下哪項是避免提醒某些用戶即將進行滲透測試的主要原因?
A. 止被惡意利用
B. 助成功滲透
C. 估檢測和響應能力
D. 小測試範圍,縮短測試時間
查看答案
正確答案: C
問題 #49
以下哪項是確保企業在災難中成功恢復的最重要因素?
A. 地保存詳細的技術恢復計劃
B. 過單獨的供應商維持網絡冗餘
C. 期重新認證熱場設備需求
D. 定了適當的申報標準
查看答案
正確答案: A
問題 #50
以下哪項最能使信息安全管理人員傳達安全計劃功能的能力?
A. 全架構圖
B. 全成熟度評估
C. 洞掃描結果
D. 鍵風險指標(KRI)
查看答案
正確答案: D
問題 #51
以下哪一方最適合批准信息安全戰略?
A. 政領導團隊
B. 席信息官
C. 息安全管理委員會
D. 席信息安全官
查看答案
正確答案: A
問題 #52
在最近發生行業漏洞事件後,高級管理層擔心安全解決方案可能無法充分保護其多個全球數據中心。接下來應該怎麼做?
A. 行差距分析。
B. 行業務影響分析 (BIA)。
C. 行風險評估。
D. 求進行內部審計審查。
查看答案
正確答案: A
問題 #53
將事件升級的決定應主要基於:
A. 組織層次。
B. 由信息安全管理人員確定優先次序。
C. 預定的政策和程序。
D. 應急小組的經驗。
查看答案
正確答案: C
問題 #54
安全信息事件監控(SIEM)解決方案無法識別嚴重事故的最可能原因是系統:
A. 沒有從相關設備收集日誌。
B. 尚未更新最新補丁。
C. 由雲服務提供商託管。
D. 有性能問題。
查看答案
正確答案: A
問題 #55
以下哪項對組織信息安全戰略的持續成功具有最重要的影響?
A. 息系統
B. 策制定
C. 全程序
D. 織文化
查看答案
正確答案: D
問題 #56
在進行業務連續性計劃 (BCP) 測試時,以下哪項是最重要的考慮因素?
A. 試涉及關鍵組件。
B. 試模擬實際的黃金時間處理條件。
C. 排測試是爲了減少對運行的影響。
D. 試過程中有 IT 人員參與。
查看答案
正確答案: B
問題 #57
在一次成功且廣爲人知的黑客事件之後,某組織計劃改進應用程序的安全性。以下哪項屬於安全項目風險?
A. 鍵證據可能丟失。
B. 織的聲譽可能受損。
C. 用中可能安裝了活門。
D. 能沒有支持實施的資源。
查看答案
正確答案: D
問題 #58
確保組織能夠在第三方設施內進行安全審查,主要通過以下方式實現:
A. 服務水平協議 (SLA)
B. 接受組織的安全政策
C. 合同協議
D. 審計準則
查看答案
正確答案: A
問題 #59
在設計事件升級計劃時,主要考慮應確保
A. 適當的利益攸關方參與
B. 對信息資產進行分類
C. 要求涵蓋法證分析
D. 已確定影響較大的風險
查看答案
正確答案: A
問題 #60
在制定防範 SQL 注入攻擊的策略時,最重要的是讓信息安全經理參與進來:
A. 高級管理層
B. 安全行動中心。
C. 企業主。
D. 應用程序開發人員。
查看答案
正確答案: A
問題 #61
以下哪項有助於確保在事件發生後及時應用適當的資源?
A. 動事件管理日誌。
B. 義事件響應小組。
C. 播緊急信息。
D. 事件進行分類。
查看答案
正確答案: B
問題 #62
要確保在用戶安全意識培訓計劃中反映經常遇到的事件,最好的方法就是將其包括在內:
A. 離職面談的結果
B. 以前的培訓課程。
C. 服務臺請求示例。
D. 對安全問卷的答覆。
查看答案
正確答案: C
問題 #63
以下哪項是檢測安全事件最有效的方法?
A. 析滲透測試結果。
B. 析最近的安全風險評估。
C. 析脆弱性評估。
D. 析安全異常。
查看答案
正確答案: D
問題 #64
以下哪項最有可能提高企業最終用戶的安全意識?
A. 擬網絡釣魚攻擊
B. 入職務說明的安保目標
C. 隊滲透測試
D. 告可疑電子郵件的專用渠道
查看答案
正確答案: B
問題 #65
在允許供應商遠程訪問系統時,以下哪項是最重要的考慮因素?
A. 話監控
B. 盤加密
C. 因素認證
D. 碼散列
查看答案
正確答案: A
問題 #66
以下哪項是在信息安全路線圖中將短期計劃和長期計劃分開的最佳理由?
A. 許採取被動舉措
B. 據當前風險更新路線圖
C. 各項舉措分配資源
D. 於向管理層匯報業務計劃
查看答案
正確答案: A
問題 #67
對於提供網絡服務的組織,以下哪種安全事件最有可能啓動事件響應計劃並上報給管理層?
A. 工工作站多次嘗試登錄失敗
B. 自非軍事區(DMZ)的可疑網絡流量
C. 網絡服務器進行多次端口掃描
D. 名員工工作站上的反惡意軟件警報
查看答案
正確答案: B
問題 #68
以下哪項是事件分類的首要目標?
A. 守監管要求
B. 高響應效率
C. 用事件報告
D. 少上報管理層的情況
查看答案
正確答案: B
問題 #69
在制定事件響應計劃時,以下哪項最爲關鍵?
A. 定什麼是事件
B. 別易受攻擊的數據資產
C. 風險評估程序保持一致
D. 錄事件通知和升級流程
查看答案
正確答案: D
問題 #70
發生惡意安全事件後,某組織決定起訴責任人。以下哪項最有利於法證調查?
A. 份受影響的系統
B. 定受影響的環境
C. 持監管鏈
D. 定損失程度
查看答案
正確答案: C
問題 #71
以下哪項是對現有事件響應流程進行評估的 MAIN 效益?
A. 定威脅和薄弱環節
B. 定行動計劃的優先次序
C. 證現有能力
D. 行業同行爲基準
查看答案
正確答案: C
問題 #72
以下哪項 BEST 能促進整個組織的用戶了解信息安全責任?
A. 展有績效獎勵的安全意識培訓
B. 爲可接受的使用政策傳達安全責任
C. 告用戶將對違規行爲採取紀律處分
D. 信息安全納入組織的行為準則
查看答案
正確答案: A
問題 #73
在保留內部能力的同時,緩解安全團隊人員不足的最佳方法是什麼?
A. 用一名不計入長期人數的承包商
B. 包給安全服務提供商,同時保留內部控制權
C. 全公司有能力的員工中建立一個虛擬安全團隊
D. 供交叉培訓,儘量減少現有資源缺口
查看答案
正確答案: C
問題 #74
以下哪項對系統入侵最有效?
A. 因素身份驗證
B. 續監測
C. 層保護
D. 透測試
查看答案
正確答案: C
問題 #75
以下哪項最有助於有效決策?
A. 析新信息和歷史信息風險的一致流程
B. 據以往安全事件確定的年度損失估算
C. 業管理層正式接受風險分析
D. 遍適用的一般性威脅、影響和脆弱性清單
查看答案
正確答案: A
問題 #76
以下哪些因素是大型網絡易受攻擊的主要原因?
A. 客和惡意軟件
B. 通性和複雜性
C. 絡操作系統和協議
D. 訓不足和用戶錯誤
查看答案
正確答案: B
問題 #77
當檢測到服務器受到多次互聯網入侵時,信息安全管理人員的首要關注點應該是確保服務器不被入侵:
A. 服務器備份到網絡。
B. 服務器已拔掉電源插頭。
C. 維護證據的完整性。
D. 在服務器上加載取證調查軟件。
查看答案
正確答案: C
問題 #78
一家機構發生了數據泄露事件,並遵循了其事件響應計劃。後來發現該計劃不完整,遺漏了向相關部門報告事件的要求。除了制定更新的事件響應計劃,以下哪項對防止類似事件發生最有幫助?
A. 上報告表格,作爲事件應對計劃的增編
B. 理層批准事件報告程序
C. 續評估事件響應計劃。
D. 信責任分配。
查看答案
正確答案: D
問題 #79
一名員工剛剛報告丟失了裝有公司信息的個人移動設備。信息安全經理應首先執行以下哪項工作?
A. 用遠程訪問
B. 動設備重置
C. 動事件響應
D. 行風險評估
查看答案
正確答案: D
問題 #80
某組織購買了一個安全信息和事件管理(SIEM)工具。在實施之前,以下哪項是最需要考慮的?
A. 告能力
B. SIEM 供應商的合同
C. 要監測的控制措施
D. 用的技術支持
查看答案
正確答案: C
問題 #81
某組織希望確保其機密數據在知名雲服務提供商的多租戶環境中得到隔離。以下哪項是確保數據得到充分保護的最佳方法?
A. 取加密管理方法的文件。
B. 證提供商是否遵循雲服務框架標準。
C. 保對提供商進行審計,找出控制漏洞。
D. 查提供方的信息安全政策和程序。
查看答案
正確答案: B
問題 #82
以下哪項指標最有助於證明事件響應計劃的有效性?
A. 決事件的平均時間
B. 告事件總數
C. 件響應總數
D. 對事件的平均時間
查看答案
正確答案: A
問題 #83
從信息安全的角度看,與技術相關物品跨境流動有關的法律問題最經常涉及的是
A. 網站交易和稅收。
B. 缺乏競爭和自由貿易。
C. 加密工具和個人數據。
D. 軟件補丁和公司數據。
查看答案
正確答案: C
問題 #84
以下哪項是實現有效績效衡量的首要步驟?
A. 擇和放置傳感器
B. 實控制目標
C. 證和校準度量標準
D. 義有意義的衡量標準
查看答案
正確答案: D
問題 #85
以下哪項最有助於減少事件響應小組確定適當行動所需的時間?
A. 團隊成員提供有關事件應對的年度意識培訓
B. 業務影響分析 (BIA) 中確定事件嚴重性級別
C. 據行業最佳實踐驗證事件響應計劃
D. 練事件響應程序、角色和責任
查看答案
正確答案: D

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼: