不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

通過真實模擬測試提高您的 ISACA CISM 考試成績

釋放 SPOTO 的 ISACA CISM 考試試題的威力,推動您的註冊信息安全經理 (CISM) 認證之旅。深入研究全面的考試問題和答案,旨在增強您對風險評估、治理實施和事件響應策略的理解。藉助 SPOTO 的試題和備考材料,您將在應對數據泄露、勒索軟件攻擊和其他不斷變化的安全威脅時獲得競爭優勢。獲取寶貴的學習材料和考試資源,幫助您順利通過考試。參與逼真的模擬考試,模擬考試環境,增強您的信心。在 SPOTO 的幫助下做好準備,成爲一名註冊信息安全經理,以專業知識和信心應對當今的網絡安全挑戰。
參加其他線上考試
問題 #1
使用定性安全風險評估而不是定量方法的最可能的原因是在以下情況下:
A. 一個組織提供的是服務而不是硬商品。
B. 安全計劃要求獨立表達風險。
C. 現有數據過於主觀。
D. 制定了成熟的安全計劃。
查看答案
正確答案: A
問題 #2
以下哪項最能提供信息完整性、發件人身份驗證和不可抵賴性?
A. 稱加密
B. 鑰基礎設施
C. 息散列
D. 息驗證碼
查看答案
正確答案: B
問題 #3
信息安全政策應主要反映以下內容
A. 合規要求。
B. 行業最佳做法。
C. 數據安全標準。
D. 高級管理層的意圖。
查看答案
正確答案: D
問題 #4
如果不將信息安全要求納入建設/購買決策,最有可能導致以下需要:
A. 運行環境中的補償控制。
B. 商業產品符合企業標準。
C. 更嚴格的源程序標準。
D. 對操作平臺進行安全掃描。
查看答案
正確答案: A
問題 #5
爲遠程用戶提供虛擬專用網絡(VPN)隧道的優勢在於它可以
A. 有助於確保通信安全。
B. 提高多層系統之間的安全性。
C. 允許減少密碼更改的頻率。
D. 無需二次驗證。
查看答案
正確答案: A
問題 #6
以下哪項是設計信息安全架構時最重要的因素?
A. 術平臺接口
B. 絡的可擴展性
C. 發方法
D. 益攸關方的要求
查看答案
正確答案: D
問題 #7
以下哪項是社交媒體成爲熱門攻擊目標的主要原因?
A. 周邊的普遍性。
B. 低訪問控制的有效性。
C. 交媒體產生的信任因素。
D. 多個地點訪問社交媒體。
查看答案
正確答案: D
問題 #8
當殘餘風險高於可接受的風險水平時,以下哪項是信息安全經理的最佳行動方案?
A. 行成本效益分析
B. 議額外的控制措施
C. 行風險評估
D. 由業務管理部門處理
查看答案
正確答案: B
問題 #9
以下哪項最能說明風險管理實踐是成功的?
A. 化總體風險
B. 除固有風險
C. 大限度地降低殘餘風險
D. 制風險與業務單位掛鈎
查看答案
正確答案: C
問題 #10
以下哪項最有可能被納入企業信息安全政策?
A. 全監控戰略
B. 計線索審查要求
C. 碼組成要求
D. 遵守規定的後果
查看答案
正確答案: D
問題 #11
漏洞掃描在一個重要的業務應用程序中發現了一個關鍵風險。信息安全經理應首先執行以下哪項工作?
A. 高級管理層報告業務風險。
B. 企業主確認風險。
C. 新風險登記冊。
D. 建緊急變更申請。
查看答案
正確答案: B
問題 #12
應安裝入侵探測系統:
A. 防火牆外。
B. 防火牆服務器上。
C. 屏蔽子網。
D. 外部路由器上。
查看答案
正確答案: C
問題 #13
某組織宣布了建立大數據平臺和開發移動應用程序的新舉措。在確定新的人力資源需求時,第一步是什麼?
A. 招聘和培訓申請額外資金。
B. 析支持新舉措所需的技能。
C. 業界同行爲基準。
D. 定各項舉措的安全技術要求。
查看答案
正確答案: B
問題 #14
首席信息安全官(CISO)最好能直接隸屬於首席信息安全官:
A. 內部審計主管。
B. 首席運營官(COO)。
C. 首席技術官(CTO)。
D. 法律顧問。
查看答案
正確答案: B
問題 #15
管理層擔心,他們無法充分了解與組織相關的主要信息安全風險。爲解決這一問題,應首先採取以下哪項措施?
A. 管理層準備一份關於信息安全舉措的演示文稿
B. 供一份關於信息安全行業趨勢和基準的報告
C. 定所需的衡量標準並制定報告時間表
D. 管理層制定持續的風險和安全意識培訓計劃
查看答案
正確答案: C
問題 #16
以下哪項最有助於使安全操作與 IT 治理框架保持一致?
A. 息安全政策
B. 全風險評估
C. 保行動方案
D. 務影響分析(BIA)
查看答案
正確答案: A
問題 #17
某組織的董事會了解到,最近有立法要求行業內的組織制定具體的保障措施,以保護客戶的機密信息。董事會下一步應採取什麼行動?
A. 導信息安全人員了解他們需要做什麼
B. 究解決方案,確定適當的解決方案
C. 求管理層報告合規情況
D. ;信息安全不向董事會報告
查看答案
正確答案: C
問題 #18
將職位描述與數據訪問類型相匹配的信息安全經理最有可能遵守以下哪項信息安全原則?
A. 德規範
B. 稱性
C. 體化
D. 責制
查看答案
正確答案: B
問題 #19
使用軟件掃描企業網絡內的安全漏洞時,以下哪項是最重要的準則?
A. 不使用開源工具
B. 關注生產服務器
C. 循線性攻擊流程
D. 要中斷生產流程
查看答案
正確答案: D
問題 #20
當擬議的系統變更違反現有安全標準時,最好通過以下方式解決衝突:
A. 計算剩餘風險。
B. 執行安全標準。
C. 重新設計系統變革。
D. 實施緩解控制。
查看答案
正確答案: D
問題 #21
信息安全政策應
A. 解決企業網絡漏洞。
B. 說明通報違規行爲的程序。
C. 直截了當,通俗易懂。
D. 根據特定羣體和角色定製。
查看答案
正確答案: C
問題 #22
從首次發布安全漏洞到提供修補程序之間存在時間差。在這段時間內,應首先採取以下哪種措施來降低風險?
A. 別易受攻擊的系統並採取補償控制措施
B. 量減少使用易受攻擊的系統
C. 系統用戶通報漏洞
D. 新入侵檢測系統 (IDS) 的籤名數據庫
查看答案
正確答案: A
問題 #23
一家全球性企業制定了在兩個國家的辦事處之間共享客戶信息數據庫的戰略。在這種情況下,最重要的是確保:
A. 數據共享符合兩地的當地法律法規。
B. 數據在傳輸過程中和靜止時都要加密。
C. 籤訂保密協議。
D. 兩個地點共享數據,風險範圍被分割。
查看答案
正確答案: A
問題 #24
風險管理的最佳戰略是:
A. 實現風險與組織目標之間的平衡。
B. 將風險降低到可接受的水平。
C. 確保政策制定適當考慮組織風險。
D. 確保管理層接受所有未緩解的風險。
查看答案
正確答案: B
問題 #25
以下哪項是信息安全經理爲獲得技術控制投資批准而採取的最佳行動?
A. 行成本效益分析。
B. 行風險評估。
C. 算暴露係數。
D. 行業務影響分析 (BIA)。
查看答案
正確答案: D
問題 #26
安全政策應與以下方面保持最密切的一致:
A. 行業最佳做法。
B. 組織需求。
C. 普遍接受的標準。
D. 當地法律法規。
查看答案
正確答案: B
問題 #27
從信息安全管理人員的角度來看,明確界定角色和職責的直接好處是什麼?
A. 排將此查詢轉爲統一費率定價,然後再轉回按需定價。
B. 用命令行運行一次模擬查詢,估算讀取的字節數。然後使用定價計算器將估計的字節數換算成美元。
C. 用命令行運行一次模擬查詢,估算返回的字節數。然後使用定價計算器將估計的字節數換算成美元。
D. 運行選擇計數 (*) 來了解查詢將查看多少條記錄。然後使用定價計算器將記錄 數量換算成美元。
查看答案
正確答案: D
問題 #28
獲取外部資源以執行信息安全計劃的主要驅動力在於外部資源可以
A. 獻內部不具備的具有成本效益的專門知識。
B. 責滿足安全計劃的要求。
C. 代對內部資源的依賴。
D. 藉自己的知識更有效地開展工作。
查看答案
正確答案: A
問題 #29
以下哪項是信息安全管理人員最重要的行動?
A. 更新風險容忍度。
B. 通知高級管理層和董事會。
C. 監控環境變化。
D. 新評估組織的風險偏好。
查看答案
正確答案: D
問題 #30
以下哪項有助於改變組織的安全文化?
A. 制定執行信息安全政策的程序
B. 獲得管理層面的大力支持
C. 實施嚴格的技術安全控制
D. 期審計信息安全政策的遵守情況
查看答案
正確答案: B
問題 #31
業務記錄的保留應主要基 於以下因素
A. 務戰略和方向。
B. 管和法律要求。
C. 存能力和壽命。
D. 務便利性和價值分析。
查看答案
正確答案: B
問題 #32
信息安全項目的優先次序應根據以下因素確定:
A. 施所需的時間。
B. 組織的影響。
C. 施費用總額。
D. 需資源的組合。
查看答案
正確答案: B
問題 #33
以下哪項變革管理活動明確表明需要對正常操作程序進行檢查?
A. 似的變更請求。
B. 更申請延期。
C. 消變更申請。
D. 急變更申請。
查看答案
正確答案: D
問題 #34
以下哪項最能促進利益相關者在信息安全風險管理中的責任感?
A. 有針對性的安全程序
B. 確立信息所有權利
C. 建立安全基線
D. 定期審查不合規情況
查看答案
正確答案: B
問題 #35
一位信息安全經理被要求制定一項戰略,以保護組織的信息免受各種威脅。應首先完成以下哪項工作?
A. 行威脅建模演練
B. 制風險簡介
C. 計風險管理流程
D. 擇治理框架
查看答案
正確答案: B
問題 #36
在爲企業制定安全治理框架時,應首先考慮以下哪項?
A. 解當前的業務戰略
B. 當前安全架構的評估
C. 務影響分析(BIA)的結果
D. 行業最佳做法爲基準
查看答案
正確答案: A
問題 #37
在業務案例中,以下哪項最有助於獲得高級管理層對信息安全投資的承諾?
A. 立審計的結果
B. 業最佳做法
C. 計業務價值
D. 務政策參考
查看答案
正確答案: C
問題 #38
以下哪項是信息安全戰略計劃中最重要的信息?
A. 息安全所需人員編制
B. 狀和未來的理想狀態
C. 息技術資本投資需求
D. 信息安全任務說明
查看答案
正確答案: B
問題 #39
以下哪項應作爲確定風險偏好的主要依據?
A. 織目標
B. 級管理層的意見
C. 業基準
D. 立審計結果
查看答案
正確答案: A
問題 #40
作爲社會工程評估的一部分,組織對其員工進行模擬網絡釣魚攻擊的主要原因是什麼?
A. 量安全意識培訓的效果。
B. 定減輕安全控制的需要。
C. 量反垃圾郵件解決方案的有效性。
D. 試事件響應計劃的有效性。
查看答案
正確答案: A
問題 #41
保持關鍵風險指標(KRI)的最重要原因是:
A. 威脅和漏洞不斷演變。
B. 需要它們來核查法律法規的遵守情況。
C. 它們有助於評估安全計劃的績效。
D. 管理層利用它們做出明智的業務決策。
查看答案
正確答案: A
問題 #42
企業風險管理計劃的首要目標是確保組織的安全:
A. 鍵業務功能中的信息技術資產得到保護。
B. 業務風險通過預防控制來解決。
C. 陳述的目標是可以實現的。
D. 息技術設施和系統隨時可用。
查看答案
正確答案: C
問題 #43
信息安全經理負責實施一項安全意識培訓計劃。以下哪項對該計劃的有效性影響最大?
A. 得高級管理層的支持
B. 培訓適合組織的環境
C. 得最終用戶的支持
D. 據行業最佳實踐制定培訓計劃
查看答案
正確答案: C
問題 #44
由於其對業務的重要性,企業希望快速實施偏離公司政策的技術解決方案。信息安全經理應
A. 進行風險評估,並根據評估結果允許或不允許。
B. 建議進行風險評估,只有在接受殘餘風險的情況下才能實施。
C. 建議不要實施,因爲這違反了公司的政策。
D. 建議修訂現行政策。
查看答案
正確答案: B
問題 #45
在跨國組織中,本地安全法規的實施應優先於全球安全政策,因爲
A. 務目標由當地業務部門經理確定。
B. 宣傳地方法規比宣傳全球政策更實用。
C. 全球安全政策包括對本地企業不必要的控制。
D. 當地法規的要求優先。
查看答案
正確答案: D
問題 #46
以下哪項是制定全面信息安全政策的最佳理由?
A. 守外部行業和政府法規
B. 持制定有效的風險指標
C. 信息安全計劃與組織戰略保持一致
D. 取高級管理層對信息安全計劃的支持
查看答案
正確答案: C
問題 #47
以下哪種環境對組織安全的風險最大?
A. 地管理的文件服務器
B. 業數據倉庫
C. 載平衡的網絡服務器集羣
D. 中管理的數據交換機
查看答案
正確答案: A
問題 #48
高級管理層對組織的入侵防禦系統可能會反覆幹擾業務運營表示擔憂。以下哪項最能說明信息安全經理已針對這一問題對系統進行了調整?
A. 少誤報
B. 少假陰性
C. 加誤報率
D. 加假陰性
查看答案
正確答案: A
問題 #49
決定風險是否已降至可接受水平的依據應該是:
A. 組織要求。
B. 信息系統要求。
C. 信息安全要求。
D. 國際標準。
查看答案
正確答案: A
問題 #50
在實施信息安全計劃時,部署公鑰基礎設施(PKI)的主要原因是: 1:
A. 確保敏感材料的保密性。
B. 提供高度的身份保證。
C. 允許部署活動目錄。
D. 實施安全套接字層 (SSL) 加密。
查看答案
正確答案: B
問題 #51
制定信息安全戰略的首要目標是
A. 建立安全指標和性能監控。
B. 教育業務流程所有者了解自己的職責。
C. 確保符合法律法規要求
D. 支持組織的業務目標。
查看答案
正確答案: D
問題 #52
在下列人員中,誰的意見對制定信息安全戰略最爲重要?
A. 終用戶
B. 司審計師
C. 程所有者
D. 全架構師
查看答案
正確答案: D
問題 #53
滿足以下哪項安全目標 BEST 可以確保信息免受未經授權的修改?
A. 實性
B. 用性
C. 密性
D. 信
查看答案
正確答案: D
問題 #54
以下哪項對制定安全戰略最爲重要?
A. 造積極的企業安全環境
B. 解關鍵業務目標
C. 高級管理層報告
D. 信息安全分配足夠的資源
查看答案
正確答案: B
問題 #55
在確定風險評估範圍時,需要對資產進行分類:
A. 可能性和影響。
B. 敏感性和臨界性。
C. 威脅和機遇。
D. 冗餘和可恢復性。
查看答案
正確答案: B
問題 #56
以下哪個漏洞帶來外部黑客訪問企業網絡的最大風險?
A. 行不必要服務的內部主機
B. 誌記錄不足
C. 部數據庫管理權限過大
D. 作站缺少補丁
查看答案
正確答案: C
問題 #57
沒有任何正式信息安全計劃但已決定實施信息安全最佳做法的組織應
A. 邀請外部顧問制定安全戰略。
B. 根據最佳做法分配預算。
C. 以類似組織爲基準。
D. 確定高級業務安全要求。
查看答案
正確答案: D
問題 #58
以下哪項是確保信息安全實現組織目標的最重要因素?
A. 部審計在安全程序中的參與
B. 施控制自我評估程序
C. 定可接受的風險閾值
D. 施安全意識計劃
查看答案
正確答案: C
問題 #59
應在項目的哪個階段制定測試計劃來驗證新系統的安全控制?
A. 試
B. 動
C. 計
D. 展
查看答案
正確答案: C
問題 #60
在向利益相關者報告敏感的風險相關信息時,以下哪項是最重要的考慮因素?
A. 保通信不可抵賴
B. 公共關係主任協商
C. 全傳輸內部通信
D. 對受衆定製傳播內容
查看答案
正確答案: C
問題 #61
以下哪項是將信息安全計劃要求納入供應商管理的最大好處?
A. 低供應鏈風險的能力
B. 足行業合規要求的能力
C. 義服務水平協議(SLA)的能力
D. 高供應商績效的能力
查看答案
正確答案: A
問題 #62
網絡漏洞評估的目的是什麼?
A. 天漏洞
B. 意軟件和間諜軟件
C. 全設計缺陷
D. 置錯誤和缺少更新
查看答案
正確答案: D
問題 #63
對於企業網絡的虛擬專用網(VPN)訪問,信息安全經理要求進行強身份驗證。以下哪種方法是確保登錄網絡安全的最強方法?
A. 物統計學
B. 稱加密密鑰
C. 於安全套接字層(SSL)的身份驗證
D. 因素身份驗證
查看答案
正確答案: D
問題 #64
以下哪種技術是測試安全有效性的最佳方法?
A. 行外部滲透測試
B. 查安全政策和標準
C. 查安全日誌
D. 析技術安全做法
查看答案
正確答案: B
問題 #65
應在以下哪個設備上安裝防火牆?
A. 絡服務器
B. 侵檢測系統(IDS)服務器
C. 選子網
D. 域邊界
查看答案
正確答案: D
問題 #66
制定安全策略的主要目的是
A. 實施管理層的治理戰略。
B. 確定執行安全任務的方式。
C. 傳達管理層的安全期望。
D. 確定允許的安全邊界。
查看答案
正確答案: B
問題 #67
恢復時間目標 (RTO) 在以下哪個階段達到?
A. 害申報
B. 復備份
C. 復系統
D. 復正常處理
查看答案
正確答案: C
問題 #68
安全部門最初應在應用程序開發流程的哪個階段介入?
A. 出要求時
B. 試時
C. 程
D. 節要求
查看答案
正確答案: D
問題 #69
監控與信息安全相關的關鍵風險指標 (KRI) 的最重要目標是
A. 確定安全風險的變化。
B. 降低風險管理成本。
C. 滿足監管合規要求。
D. 儘量減少安全事故造成的損失。
查看答案
正確答案: A
問題 #70
以下哪種方法是確保符合密碼標準的最佳方法?
A. 施密碼同步軟件
B. 戶感知程序
C. 動執行密碼語法規則
D. 用密碼破解軟件
查看答案
正確答案: C
問題 #71
在實施新的安全策略時,要解決 IT 管理部門、業務部門和安全管理部門之間出現的問題,最有效的方法是信息安全經理: 1:
A. 將問題上報給外部第三方解決。
B. 確保高級管理層授權安全人員解決這些問題。
C. 堅持要求不同意安全解決方案的管理人員或單位接受風險。
D. 將問題連同任何安全建議提交給高級管理層。
查看答案
正確答案: D
問題 #72
在獲得高級管理層的承諾後,建立信息安全計劃時應完成以下哪項工作?
A. 義安全指標
B. 行風險評估
C. 行差距分析
D. 購安全工具
查看答案
正確答案: B
問題 #73
在向高級管理層說明最近實施的信息安全治理框架的狀況時,以下哪項最有用?
A. 險評估
B. 脅評估
C. 熟度模型
D. 期檢測結果
查看答案
正確答案: C
問題 #74
確定整個組織內員工的信息安全角色和職責的主要原因是
A. 加強培訓的必要性
B. 加強企業問責制
C. 遵守安全政策
D. 實行個人問責制
查看答案
正確答案: C
問題 #75
以下哪項活動最能將安全性納入軟件開發生命周期(SDLC)?
A. 量減少使用開源軟件。
B. 開發團隊提供安全培訓。
C. 描操作系統,查找漏洞。
D. 啓用前測試應用程序
查看答案
正確答案: D
問題 #76
信息安全計劃的主要作用是什麼?
A. 定並執行一套與業務相一致的安全政策
B. 育利益攸關方了解信息安全要求
C. 期進行風險評估和業務影響分析 (BIA)
D. 管理組織安全風險提供指導
查看答案
正確答案: A
問題 #77
以下哪項最能確保對內部開發的業務應用程序所做的修改不會帶來新的安全風險?
A. 力測試
B. 丁管理
C. 革管理
D. 全基線
查看答案
正確答案: C
問題 #78
以下哪項是漏洞的示例?
A. 然災害
B. 缺陷的軟件
C. 索軟件
D. 經授權的用戶
查看答案
正確答案: B
問題 #79
信息安全經理正在實施自帶設備 (BYOD) 計劃。以下哪項能最好地確保用戶遵守安全標準?
A. 控用戶在網絡上的活動
B. 內部網登陸頁面上發布標準
C. 定可接受的使用政策
D. 署設備管理解決方案
查看答案
正確答案: D
問題 #80
就風險管理而言,資產的價值應基於以下因素
A. 原始成本。
B. 淨現金流量。
C. 淨現值。
D. 重置成本。
查看答案
正確答案: D
問題 #81
以下哪項是處理自然災害等概率低、影響程度高的風險的最有效方法?
A. 施應對措施。
B. 除風險。
C. 移風險。
D. 受風險。
查看答案
正確答案: C
問題 #82
以下哪項是爲新系統建立信息安全基礎設施的最重要要求?
A. 行業務影響分析(BIA)
B. 個人信息設備視爲安全政策的一部分
C. 動信息技術安全培訓和熟悉工作
D. 據風險評估建立信息安全基礎設施
查看答案
正確答案: D
問題 #83
下列哪項很少隨技術變革而改變?
A. 準
B. 序
C. 策
D. 導方針
查看答案
正確答案: C
問題 #84
以下哪項有助於管理層確定降低組織風險所需的資源?
A. 險分析流程
B. 務影響分析(BIA)
C. 險管理平衡計分卡
D. 於風險的審計計劃
查看答案
正確答案: B
問題 #85
確定控制有效性的方法之一是確定:
A. 是預防性、偵查性還是補償性。
B. 提供故障通知的能力。
C. 預期目標的測試結果。
D. 評估和分析可靠性。
查看答案
正確答案: C
問題 #86
內部審計發現了信息技術處理過程中的重大缺陷。信息安全經理應使用以下哪種方法向管理層傳達緊迫感?
A. 全度量報告
B. 險評估報告
C. 務影響分析(BIA)
D. 全投資回報報告
查看答案
正確答案: B
問題 #87
成功的信息安全管理計劃應使用以下哪項來確定用於降低風險的資源數量?
A. 險分析結果
B. 計報告結果
C. 透測試結果
D. 用的信息技術預算額
查看答案
正確答案: A
問題 #88
以下哪項最能確保將安全風險評估納入重大 IT 項目的生命周期?
A. 風險評估納入內部審計計劃
B. 信息技術項目中採用全球安全標準
C. 項目經理進行風險評估培訓
D. 信息安全經理參加項目設置委員會
查看答案
正確答案: B
問題 #89
首席信息官要求組織的信息安全經理提供信息安全計劃的一年和五年計劃。長期計劃的主要目的是什麼?
A. 定正式要求,滿足未來的預期安全需求
B. 建和記錄一致的安全能力進展情況
C. 定比一年期計劃更長的風險優先次序
D. 進信息技術組織的持續改進
查看答案
正確答案: D
問題 #90
將訂單處理系統從測試環境遷移到生產環境時,以下哪項是最重要的管理籤核?
A. 戶
B. 全
C. 務
D. 據庫
查看答案
正確答案: A
問題 #91
新聘用的信息安全經理在審查現有的安全投資計劃時,最有可能關注的是該計劃:
A. 完全基於對現有 IT 系統安全威脅和漏洞的審查
B. 確定實施工作可能對業務流程產生的潛在影響
C. 側重於遵守共同的國際安全標準
D. 概述了實施信息技術的成本,而不是提供細節
查看答案
正確答案: A
問題 #92
當組織面臨新的監管要求時,信息安全經理的首要任務是什麼?
A. 行差距分析
B. 成控制評估
C. 交支持合規的業務案例
D. 新風險登記冊
查看答案
正確答案: A
問題 #93
組織的信息安全戰略應基於以下幾點
A. 根據業務目標管理風險。
B. 將風險控制在零水平,儘量減少保險費。
C. 避免風險發生,從而不需要保險。
D. 將大部分風險轉移給保險公司,節省控制成本。
查看答案
正確答案: A
問題 #94
審查以下哪項可以 BEST 地確保安全控制措施的有效性?
A. 險評估政策
B. 全投資回報
C. 全指標
D. 戶訪問權限
查看答案
正確答案: C
問題 #95
決定特定資產在 BEST 中應獲得的保護級別取決於以下因素
A. 威脅評估。
B. 脆弱性評估。
C. 風險分析。
D. 企業風險偏好。
查看答案
正確答案: C
問題 #96
以下哪項是實施風險管理計劃的主要原因?
A. 許組織消除風險
B. 管理層盡職調查的必要組成部分
C. 足審計和監管要求
D. 助提高投資回報率(ROD
查看答案
正確答案: B
問題 #97
在制定信息安全戰略時,最重要的要求是:
A. 標準體現管理意圖。
B. 制定實現目標的時間表。
C. 已知預期結果。
D. 制定關鍵成功因素 (CSF)。
查看答案
正確答案: A
問題 #98
在對傳統業務應用程序進行安全審查時,發現敏感客戶數據在存儲過程中沒有加密,這不符合組織的信息安全政策。以下哪項是信息安全經理的最佳行動方案?
A. 客戶端數據進行加密。
B. 高級管理層報告不合規情況。
C. 析補償控制措施並評估相關風險。
D. 定加密成本,並與應用程序所有者討論。
查看答案
正確答案: C
問題 #99
在嘗試整合整個組織的信息安全時,管理機構最重要的目標應該是確保:
A. 用於信息安全項目的資源保持在最低水平。
B. 信息安全被視爲業務關鍵問題。
C. 批准爲所申請的信息安全項目提供資金。
D. 定期進行信息安全審計。
查看答案
正確答案: B
問題 #100
在降低風險後,以下哪種方法最有助於確保殘餘風險保持在組織既定的風險容忍度範圍內?
A. 入新的風險情景,測試計劃的有效性。
B. 控安全環境的風險變化。
C. 展提高用戶風險意識的計劃。
D. 行業務影響分析 (BIA)。
查看答案
正確答案: A
問題 #101
以下哪項能讓 BEST 及時緩解已發現的漏洞?
A. 續漏洞監測工具
B. 據系統重要性對漏洞進行分類
C. 鍵風險指標(KRIs)的監測
D. 有責任和期限的行動計劃
查看答案
正確答案: C
問題 #102
信息安全治理的最重要成果是:
A. 規避商業風險。
B. 知情決策。
C. 與業務目標保持一致。
D. 與合規要求保持一致。
查看答案
正確答案: C
問題 #103
以下哪項是制定定義明確的信息安全戰略的最大優勢?
A. 持組織員工的認同
B. 最優先事項分配資源
C. 止偏離風險容忍度閾值
D. 高事件響應流程的成熟度
查看答案
正確答案: C
問題 #104
以下哪項是制定有效的關鍵風險指標(KRI)以監控信息安全風險的重要標準?
A. 標應與特定風險高度相關,並定期測量。
B. 標應側重於信息技術,並準確反映風險差異。
C. 標應與關鍵績效指標保持一致,並衡量流程績效問題的根本原因。
D. 指標應提供風險影響的回顧性視圖,並每年進行衡量。
查看答案
正確答案: A
問題 #105
在選擇風險應對方案管理風險時,信息安全經理的 MAIN 重點應放在減少風險上:
A. 達到風險承受水平的風險敞口。
B. 受到威脅的可能性。
C. 通過轉移風險造成經濟損失。
D. 安全漏洞的數量。
查看答案
正確答案: A
問題 #106
在採取控制措施之前,確定特定威脅/漏洞對的風險可表示爲
A. 特定威脅試圖利用漏洞的可能性
B. 如果威脅利用漏洞,可能性和影響的函數
C. 如果威脅利用漏洞,影響的嚴重程度
D. 漏洞控制成本和有效性的函數
查看答案
正確答案: B
問題 #107
BEST 可以通過以下方式加強高級管理層對信息安全的承諾和支持:
A. 由首席執行官(CEO)發起的正式安全政策。
B. 定期對員工進行安全意識培訓。
C. 定期審查與業務管理目標的一致性。
D. 高級管理層籤署信息安全戰略。
查看答案
正確答案: C
問題 #108
以下哪項對災難期間優先恢復 IT 資產最有幫助?
A. 務影響分析(BIA)
B. 險評估
C. 弱性評估
D. 本效益分析
查看答案
正確答案: A
問題 #109
在制定新的信息安全計劃時,以下哪項應作爲首要目標?
A. 行安全戰略
B. 化資源
C. 進業務安全
D. 現監管合規
查看答案
正確答案: A
問題 #110
某組織開展的一項風險評估研究指出,局域網(LAN)沒有分段。網絡分段可減少以下哪種情況的潛在影響?
A. 絕服務(DoS)攻擊
B. 量嗅探
C. 毒感染
D. P 地址欺騙
查看答案
正確答案: B
問題 #111
風險緩解報告將包括以下建議
A. 評估。
B. 接受。
C. 評估。
D. 量化。
查看答案
正確答案: B
問題 #112
高級管理層在支持信息安全方面最合適的角色是
A. 評估提供安全產品的供應商。
B. 評估組織面臨的風險。
C. 批准政策說明和資金。
D. 監督監管要求的遵守情況。
查看答案
正確答案: C
問題 #113
以下哪種方法能最有效地降低機密數據泄漏給未經授權的利益相關者的風險?
A. 施基於角色的訪問控制。
B. 建數據分類政策。
C. 求使用登錄憑證和密碼。
D. 展信息安全意識培訓。
查看答案
正確答案: A
問題 #114
信息安全經理發現組織的新信息安全政策沒有得到所有部門的遵守。信息安全經理最關心以下哪項?
A. 個業務部門可能需要不同的通信方法。
B. 務部門管理層沒有強調新政策的重要性。
C. 應的控制措施被認爲會阻礙業務運營。
D. 策措辭不適合受衆。
查看答案
正確答案: C
問題 #115
在爲組織內社交網站的使用制定指導方針時,以下哪項是最重要的步驟?
A. 違規行爲制定懲戒措施。
B. 定可接受的張貼信息。
C. 別安全的社交網站
D. 行漏洞評估。
查看答案
正確答案: D
問題 #116
某組織發現一名最終用戶點擊了一個惡意鏈接。以下哪項措施能最有效地防止類似情況再次發生?
A. 終用戶培訓
B. 毒防護
C. 終用戶訪問控制
D. 新安全政策
查看答案
正確答案: A
問題 #117
要最大限度地降低因勒索軟件利用零時差漏洞而導致信息丟失的風險,以下哪項是最佳控制措施?
A. 保行動中心
B. 丁管理流程
C. 鑰基礎設施
D. 據恢復過程
查看答案
正確答案: D
問題 #118
在哪個開發階段最適合開始評估新應用系統的風險?
A. 行性
B. 計
C. 展
D. 試
查看答案
正確答案: A
問題 #119
對基於網絡的業務應用程序進行內部認證的主要原因是確保:
A. 符合行業標準。
B. 確定組織政策框架的變化。
C. 使用最新的網絡技術。
D. 遵守組織政策。
查看答案
正確答案: D
問題 #120
IT 部門聲明,在將新應用程序投入生產時,沒有必要更新業務影響分析 (BIA),因爲它不會對業務流程產生修改。信息安全經理應
A. 與業務部門核實決定。
B. 檢查系統的風險分析。
C. 建議在實施後審查後進行更新。
D. 要求進行審計審查。
查看答案
正確答案: A
問題 #121
信息安全經理可採用哪種最佳衡量標準來有效評估安全計劃的結果?
A. 實施控制措施的數量
B. 成控制目標的百分比
C. 守安全政策的百分比
D. 告的安全事件數量減少
查看答案
正確答案: B
問題 #122
以下哪項是設計有效信息安全治理框架最重要的考慮因素?
A. 義的安全指標
B. 續審計周期
C. 全政策規定
D. 全控制自動化
查看答案
正確答案: A
問題 #123
爲確定實現業務目標所需的控制措施選擇,信息安全經理應
A. 優先使用基於角色的訪問控制。
B. 關注關鍵控制。
C. 僅對關鍵應用程序實施控制。
D. 注重自動控制。
查看答案
正確答案: B
問題 #124
預計風險管理計劃將
A. 消除所有固有風險。
B. 將殘餘風險保持在可接受的水平。
C. 針對每一種威脅實施預防性控制。
D. 將控制風險降至零。
查看答案
正確答案: B
問題 #125
以下哪項通常用於確保在互聯網上傳輸的信息是真實的,並且確實是由指定的發件人傳輸的?
A. 物識別認證
B. 入式隱寫術
C. 因素認證
D. 入式數字籤名
查看答案
正確答案: D
問題 #126
在最終接受殘餘風險之前,信息安全經理處理被確定爲低於可接受風險水平的風險因素的最佳方法是什麼?
A. 估是否實施了過度控制。
B. 求高級管理層提高可接受的風險水平。
C. 施更嚴格的應對措施。
D. 求高級管理層降低可接受的風險水平。
查看答案
正確答案: A
問題 #127
信息安全管理人員如何平衡國際組織的安全標準和當地法規可能相互衝突的要求?
A. 組織標準優先於地方法規
B. 遵守當地法規
C. 組織了解那些與當地法規相衝突的標準
D. 商組織標準的本地版本
查看答案
正確答案: D
問題 #128
啓動政策例外程序的主要原因是:
A. 業務太忙,無法遵守。
B. 風險與收益相匹配。
C. 遵守政策難以執行。
D. 用戶最初可能會感到不便。
查看答案
正確答案: B
問題 #129
某公司的郵件服務器允許匿名文件傳輸協議 (FTP) 訪問,這可能會被利用。信息安全經理應採用什麼程序來確定採取補救措施的必要性?
A. 透測試
B. 全基線審查
C. 險評估
D. 務影響分析(BIA)
查看答案
正確答案: C
問題 #130
以下哪種情況需要使用恢復點目標 (RPO)?
A. 息安全計劃
B. 件應對計劃
C. 務連續性計劃
D. 後恢復計劃
查看答案
正確答案: C
問題 #131
以下哪種方法是確定成功攻擊對組織關鍵任務應用程序的潛在影響的最佳方法?
A. 行滲透測試。
B. 期執行漏洞掃描。
C. 行獨立的代碼審查。
D. 行應用程序漏洞審查。
查看答案
正確答案: A
問題 #132
一家軟件供應商公布了一個零日漏洞,暴露了一家企業的關鍵業務系統,信息安全經理的首要關注點應該是什麼?
A. 業對停機時間的容忍度
B. 件應對計劃的充分性
C. 施控制的資源可用性
D. 部署前測試修補程序的能力
查看答案
正確答案: C
問題 #133
以下哪項是使用無代理端點安全解決方案的主要優勢?
A. 少網絡帶寬的使用
B. 少行政管理
C. 強復原力
D. 全面的信息結果
查看答案
正確答案: B
問題 #134
BEST 可以通過以下方式協助制定成功的信息安全軟件產品採購商業案例:
A. 評估事件發生的頻率。
B. 量化控制失靈的成本。
C. 計算投資回報(ROI)預測。
D. 將支出與類似組織進行比較。
查看答案
正確答案: C
問題 #135
以下哪項能最好地降低通過電子郵件泄露私人信息的可能性?
A. 子郵件加密
B. 戶意識培訓
C. 大的用戶身份驗證協議
D. 止個人使用電子郵件
查看答案
正確答案: D
問題 #136
發送的信息帶有哈希值。可以通過以下方法降低攻擊者更改信息並生成真實哈希值的風險:
A. 結合哈希算法使用祕鑰
B. 要求接收者使用不同的哈希算法
C. 使用發件人的公開密鑰加密信息
D. 生成與原始信息大小相同的散列輸出
查看答案
正確答案: A
問題 #137
以下哪項最適合信息安全經理向 IT 運營部門傳達?
A. 有風險的程度
B. 弱性評估
C. 脅評估
D. 露程度
查看答案
正確答案: B
問題 #138
根據信息的安全分類爲其貼上標籤:
A. 提高人們安全處理信息的可能性。
B. 減少所需反措施的數量和類型。
C. 減少爲每個分類確定基準控制的需要。
D. 影響不安全處理信息的後果。
查看答案
正確答案: D
問題 #139
在要求外包服務的大型企業中,以下哪項合同條款對信息安全經理最爲重要?
A. 守安全要求
B. 況報告的頻率
C. 密條款
D. 識產權(IP)
查看答案
正確答案: A
問題 #140
下面哪項業務知識比信息技術知識更重要?
A. 弱性分析
B. 衡計分卡
C. 本效益分析
D. 響分析
查看答案
正確答案: B
問題 #141
信息安全經理在與服務提供商完成合同談判中扮演什麼角色?
A. 新外包流程的安全標準
B. 保列入定期審計條款
C. 提供商處獲得安全標準認證
D. 外包流程進行風險分析
查看答案
正確答案: A
問題 #142
以下哪項對指導制定和管理綜合信息安全計劃最爲重要?
A. 用信息安全計劃管理最佳做法
B. 施信息安全戰略的政策和程序
C. 立和維護信息安全治理框架
D. 組織的業務目標與信息技術目標相一致
查看答案
正確答案: C
問題 #143
在制定涉及託管關鍵應用程序的服務器的事件響應程序時,應首先通知以下哪項?
A. 務管理
B. 務經理
C. 息安全管理員
D. 統用戶
查看答案
正確答案: C
問題 #144
使信息安全與公司治理目標相一致的主要目的是
A. 建設改進安全流程的能力。
B. 始終如一地管理重大風險領域。
C. 確定組織的風險容忍度。
D. 重新調整角色和職責。
查看答案
正確答案: A
問題 #145
記錄信息安全準則供大型國際組織使用的主要目的是
A. 確保所有業務部門都有相同的戰略安全目標。
B. 爲審計人員提供證據,證明安全措施是充分的。
C. 解釋組織在安全方面的首選做法。
D. 確保所有業務單位執行相同的安全程序。
查看答案
正確答案: A
問題 #146
以下哪項最有助於確定組織當前的風險緩解能力?
A. 力成熟度模型
B. 務影響分析
C. 息技術安全風險和暴露
D. 弱性評估
查看答案
正確答案: A
問題 #147
在預算有限的情況下,確定實施哪些安全控制措施的最佳方法是什麼?
A. 險分析
B. 期年損失率(ALE)計算
C. 本效益分析
D. 響分析
查看答案
正確答案: C
問題 #148
內聯網服務器一般應放置在:
A. 內部網絡。
B. 防火牆服務器。
C. 外部路由器。
D. 主域控制器。
查看答案
正確答案: A
問題 #149
信息安全政策的設計應主要基於以下幾點
A. 業務需求。
B. 固有風險
C. 國際標準。
D. 商業風險。
查看答案
正確答案: D
問題 #150
信息安全經理向董事會介紹主要風險的首要目標是
A. 滿足信息安全合規要求。
B. 確保適當的信息安全治理。
C. 數量聲譽風險。
D. 重新評估風險偏好。
查看答案
正確答案: B
問題 #151
信息安全管理人員在組織內信息分類過程中的主要作用是什麼?
A. 義和批准信息資產分類結構
B. 定適用於組織信息資產的分類級別
C. 據信息資產的分類確保其安全
D. 查信息資產是否已正確分類
查看答案
正確答案: A
問題 #152
在制定有效的信息安全戰略時,以下哪項是最重要的驅動因素?
A. 息安全標準
B. 規要求
C. 準報告
D. 全審計報告
查看答案
正確答案: A
問題 #153
病毒檢測軟件的有效性最依賴於以下哪項?
A. 據包過濾
B. 侵檢測
C. 件升級
D. 義表
查看答案
正確答案: D
問題 #154
某組織將工資單處理工作外包。以下哪項是監控服務提供商信息安全的最佳關鍵風險指標?
A. 嚴重程度分列的安全事件數量
B. 要安全補丁的數量
C. 用正常運行時間百分比
D. 工薪資調整次數
查看答案
正確答案: A
問題 #155
最完整的安全解決方案商業案例是:
A. 包括適當的理由。
B. 解釋當前的風險狀況。
C. 詳細說明監管要求。
D. 確定事件和損失。
查看答案
正確答案: A
問題 #156
設計有效的 IT 安全意識計劃最重要的成功因素是:
A. 針對目標受衆定製內容。
B. 確保高級管理層有代表。
C. 確保所有員工都接受過培訓。
D. 避免技術性內容,但要舉出具體例子。
查看答案
正確答案: A
問題 #157
以下哪項是客戶端-服務器環境中與中間件相關的最重要風險?
A. 防止對服務器進行修補
B. 統備份可能不完整
C. 統完整性可能受到影響
D. 終用戶會話可能被劫持
查看答案
正確答案: C
問題 #158
以下哪項是信息安全戰略與業務協調一致的最佳體現?
A. 息安全措施直接支持的業務目標數量。
B. 配給信息安全舉措的企業預算百分比。
C. 加過信息安全宣傳課程的企業高管人數。
D. 規定的服務級別協議內解決的信息安全事件的百分比。
查看答案
正確答案: A
問題 #159
風險管理計劃應降低以下風險
A. 零。
B. 可接受的水平。
C. 可接受的收入百分比。
D. 可接受的發生概率。
查看答案
正確答案: B
問題 #160
以下哪項工作是安全部門最擅長的?
A. 准訪問操作系統的標準
B. 錄對操作系統的未授權訪問
C. 理訪問操作系統的用戶配置文件
D. 置用戶訪問操作系統
查看答案
正確答案: B
問題 #161
使用存在公認漏洞的網絡應用程序時,以下哪項是最重要的操作?
A. 署應用程序防火牆。
B. 署基於主機的入侵檢測。
C. 裝反間諜軟件。
D. 控應用程序級日誌。
查看答案
正確答案: A
問題 #162
第三方服務提供商正在爲某組織的客戶開發一款移動應用程序,信息安全經理最應該關注以下哪個問題?
A. 同中未涉及軟件託管。
B. 同中沒有關於安全開發實踐的要求。
C. 動應用程序的程序員都是海外承包商。
D. 署後的服務水平協議沒有明確定義。
查看答案
正確答案: B
問題 #163
記錄正式數據保留政策的信息安全管理員的首要關注點是:
A. 普遍接受的行業最佳做法。
B. 業務要求。
C. 立法和監管要求。
D. 存儲可用性。
查看答案
正確答案: B
問題 #164
以下哪種方法是保護在線公共網站消費者私人信息的最佳方法?
A. 傳輸和靜止狀態下加密消費者的數據。
B. 消費者數據應用屏蔽策略。
C. 用安全加密傳輸層。
D. 在線賬戶應用強身份驗證。
查看答案
正確答案: A
問題 #165
以下哪項是建立信息安全計劃的第一步?
A. 定安全政策。
B. 定安全操作程序。
C. 定安全計劃。
D. 展安全控制研究。
查看答案
正確答案: C
問題 #166
信息資產的價值主要由以下因素決定:
A. 個體業務經理。
B. 業務系統分析員。
C. 信息安全管理。
D. 行業平均基準。
查看答案
正確答案: A
問題 #167
在規劃長期保存電子存儲業務記錄時,最重要的因素是要考慮到潛在的變化:
A. 儲存能力和保質期。
B. 監管和法律要求。
C. 業務戰略和方向。
D. 應用系統和媒體。
查看答案
正確答案: D
問題 #168
以下哪項能最好地確保通過互聯網傳輸的信息保持機密?
A. 擬專用網絡(VPN)
B. 火牆和路由器
C. 物識別認證
D. 因素身份驗證
查看答案
正確答案: A
問題 #169
當一個組織與其 IT 託管服務提供商籤訂合同時,最重要的是合同應包括以下內容:
A. 預期安全指標的細節。
B. 各方的安全責任。
C. 對不遵守安全政策的處罰。
D. 恢復時間目標 (RTO)。
查看答案
正確答案: B
問題 #170
以下哪項對確定業務連續性計劃 (BCP) 中各項行動的優先次序最爲關鍵?
A. 務影響分析(BIA)
B. 險評估
C. 產分類
D. 務流程製圖
查看答案
正確答案: A
問題 #171
確保外包服務提供商遵守組織信息安全政策的最有效方法是:
A. 服務水平監測。
B. 滲透測試。
C. 定期審計。
D. 安全意識培訓。
查看答案
正確答案: C
問題 #172
隔離存儲在員工自有移動設備上的企業數據的最佳方法是實施隔離:
A. 沙箱環境。
B. 設備加密。
C. 雙因素身份驗證。
D. 強密碼策略
查看答案
正確答案: A
問題 #173
應持續進行風險評估,因爲
A. 控制措施不斷變化
B. 黑客事件的數量不斷增加
C. 管理層應了解風險變化的最新情況
D. 影響信息安全變化的因素
查看答案
正確答案: A
問題 #174
以下哪項最能確定信息資產的分類?
A. 據所有者的指令
B. 務流程的關鍵性
C. 產信息資產的成本
D. 息資產對競爭對手的價值
查看答案
正確答案: B
問題 #175
在對失去服務器的影響進行風險評估時,應使用以下公式計算服務器的價值:
A. 原始購置成本。
B. 存儲軟件的成本。
C. 預期年損失率(ALE)。
D. 獲得替代品的費用。
查看答案
正確答案: D
問題 #176
在開發自定義應用程序時,以下哪項最有助於確保安全?
A. 開發人員進行安全培訓
B. 安全要求納入開發流程
C. 求在實施前進行安全評估
D. 安全審計納入整個開發流程
查看答案
正確答案: B
問題 #177
以下哪項最有助於及時發現安全事件?
A. 服務臺實施票單系統
B. 求安保人員參加培訓
C. 定用戶意識計劃
D. 期進行滲透測試
查看答案
正確答案: C
問題 #178
以下哪個人最適合發起成立信息安全指導小組?
A. 息安全管理員
B. 席運營官(COO)
C. 部審計員
D. 律顧問
查看答案
正確答案: B
問題 #179
以下哪項是在整個組織內部署信息安全戰略的主要原因?
A. 保企業遵守安全規定
B. 保管理層的意圖在安保活動中得到體現
C. 保員工遵守安全標準
D. 保採用與安全有關的行業最佳做法
查看答案
正確答案: A
問題 #180
以下哪項對成功的信息安全計劃最爲重要?
A. 於新興安全技術的充分培訓
B. 關鍵流程所有者保持開放式溝通
C. 當的政策、標準和程序
D. 行管理層的承諾
查看答案
正確答案: D
問題 #181
以下哪項對防止操作系統安全漏洞最有效?
A. 丁管理
B. 革管理
C. 全基線
D. 置管理
查看答案
正確答案: A
問題 #182
某企業正在採用混合數據基礎架構,將所有非核心應用程序轉移到雲服務提供商,並在內部維護所有核心業務功能。信息安全經理決定採用縱深防禦策略。以下哪項最恰當地描述了這一策略?
A. 服務應用程序的多因素登錄要求、超時和複雜密碼
B. 基礎設施內部署嵌套防火牆
C. 應用程序、平臺、程序和端點進行單獨的安全控制
D. 格執行基於角色的訪問控制(RBAC)
查看答案
正確答案: C
問題 #183
BEST 可以通過以下哪項來評估信息安全的投資回報?
A. 持業務目標
B. 全指標
C. 全交付成果
D. 程改進模式
查看答案
正確答案: A
問題 #184
以下哪項是補償控制支出的最佳理由?
A. 脅分析
B. 險分析
C. 行基準
D. 弱性分析
查看答案
正確答案: B
問題 #185
以下哪個角色主要負責根據業務需求制定信息分類框架?
A. 級管理層
B. 息安全指導委員會
C. 息所有者
D. 息安全經理
查看答案
正確答案: C
問題 #186
風險分析應
A. 將類似公司的基準納入其範圍。
B. 假設所有資產都受到同等程度的保護。
C. 處理損失的潛在規模和可能性。
D. 更多地考慮可能性與損失的大小。
查看答案
正確答案: C
問題 #187
對於信息安全經理來說,以下哪種角色會造成利益衝突?
A. 請求連通的第三方的評估
B. 估災後恢復計劃的適當性
C. 息安全政策的最終批准
D. 測實體安全控制措施的遵守情況
查看答案
正確答案: C
問題 #188
以下哪種方法能最清楚地說明是否應實施特定的降低風險控制措施?
A. 策成本效益分析
B. 透測試
C. 常性風險評估計劃
D. 期年損失計算
查看答案
正確答案: A
問題 #189
在制定業務連續性計劃 (BCP) 時,以下哪項是最需要考慮的?
A. 後恢復計劃(DRP)
B. 務影響分析(BIA)
C. 件管理要求
D. 務交流計劃
查看答案
正確答案: B
問題 #190
以下哪種技術可確保通過互聯網連接企業內部網絡的個人不是僞裝成授權用戶的入侵者?
A. 侵檢測系統(IDS)
B. P 地址數據包過濾
C. 因素認證
D. 入式數字籤名
查看答案
正確答案: C
問題 #191
以下哪些內容的更新頻率可能最高?
A. 固數據庫服務器的程序
B. 碼長度和複雜性標準
C. 息安全治理政策
D. 件保存和銷毀標準
查看答案
正確答案: A
問題 #192
以下哪項能讓 BEST 將信息安全治理納入公司治理?
A. 保信息安全指導委員會中有適當的企業代表
B. 用平衡計分卡衡量信息安全戰略的績效
C. 施 IT 治理、風險與合規(IT GRC)儀錶板
D. 首席信息官擔任信息安全指導委員會主席
查看答案
正確答案: C
問題 #193
在信息安全管理方面,董事會的首要職責是確保:
A. 批准相關政策和標準。
B. 向利益攸關方通報安全態勢。
C. 遵守法規和最佳做法。
D. 與組織的戰略目標保持一致。
查看答案
正確答案: D
問題 #194
信息安全經理正在審查一項法規對組織人力資源系統的影響。下一步應採取的行動是:
A. 對合規要求進行差距分析。
B. 評估違規處罰。
C. 審查該組織最近的審計報告。
D. 確定履約成本。
查看答案
正確答案: A
問題 #195
傳統應用程序不符合新的監管要求,無法對靜態敏感數據進行加密,而解決這一問題需要大量投資。信息安全經理應該先做什麼?
A. 查補救不合規情況的替代方案。
B. 估對組織的業務影響。
C. 高級管理層報告不合規風險。
D. 定糾正不合規情況的成本。
查看答案
正確答案: B
問題 #196
在制定有意義的信息安全戰略時,以下哪項最重要?
A. 管環境
B. 際安全標準
C. 織風險
D. 織目標
查看答案
正確答案: D
問題 #197
在確定信息安全資源需求時,以下哪項對信息安全管理人員最爲重要?
A. 息安全事件
B. 息安全戰略
C. 前的資源配置水平
D. 在資源的可用性
查看答案
正確答案: B
問題 #198
要有效管理組織的信息安全風險,最重要的是:
A. 定期發現並糾正新的系統漏洞
B. 將風險管理責任分配給最終用戶
C. 以同行組織的風險情景爲基準
D. 確定並交流風險容忍度
查看答案
正確答案: A
問題 #199
以下哪項最有可能將組織文化轉變爲更具安全意識的文化?
A. 當的安全政策和程序
B. 期合規審查
C. 全指導委員會
D. 全意識運動
查看答案
正確答案: D
問題 #200
以下哪項是業務連續性管理的首要目標?
A. 定事件響應程序。
B. 估對業務流程的影響。
C. 高組織的生存能力。
D. 施控制,預防災難。
查看答案
正確答案: C
問題 #201
實施安全控制的成本不應超過:
A. 預期年損失率。
B. 事故成本。
C. 資產價值。
D. 實施機會成本。
查看答案
正確答案: C
問題 #202
應爲新員工提供安全意識培訓:
A. 根據需要。
B. 在系統用戶培訓期間。
C. 在他們獲得數據之前。
D. 與部門工作人員一起。
查看答案
正確答案: C
問題 #203
在公司安全戰略要求範圍內實施有效的安全治理時,以下哪項是最需要考慮的重要因素?
A. 護敏感數據的機密性
B. 立數據共享的國際安全標準
C. 守企業隱私標準
D. 立系統管理員的信息安全責任
查看答案
正確答案: A
問題 #204
以下哪項最能說明組織內部的殘餘風險?
A. 險管理框架
B. 險登記冊
C. 務影響分析
D. 圖
查看答案
正確答案: A
問題 #205
以下哪項是 IT 風險管理流程的最佳衡量標準?
A. 險管理行動計劃的數量
B. 預算補救措施的關鍵資產百分比
C. 解決的風險敞口百分比
D. 現的安全事件數量
查看答案
正確答案: B
問題 #206
互聯網使用政策的首要目標是防止出現以下情況
A. 訪問不適當的網站。
B. 下載惡意代碼。
C. 違反版權法。
D. 幹擾互聯網接入。
查看答案
正確答案: D
問題 #207
以下哪項是業務影響分析 (BIA) 的主要目標?
A. 析薄弱環節
B. 定恢復優先事項
C. 認控制效果
D. 定恢復點目標 (RPO)
查看答案
正確答案: D
問題 #208
在制定事件響應計劃時,信息安全經理應
A. 包括業務管理部門事先批准的應對方案。
B. 確定恢復時間目標 (RTO)。
C. 允許 IT 部門決定哪些系統可以從基礎設施中移除。
D. 要求 IT 部門調用業務連續性計劃。
查看答案
正確答案: B
問題 #209
使用業務案例爲信息安全投資獲取資金在以下情況下最爲有效:
A. 將信息安全政策和標準轉化爲業務要求
B. 將投資與組織的戰略計劃聯繫起來。
C. 根據組織戰略調整信息安全目標。
D. 以清晰的語言闡明管理層的意圖和信息安全指令。
查看答案
正確答案: B
問題 #210
確保外部服務提供商遵守組織安全政策的最佳方法是:
A. 服務提供商明確納入安全策略。
B. 到醫療服務提供者已閱讀所有政策的書面確認。
C. 服務級別協議中的政策相互參照
D. 服務提供商進行定期審查。
查看答案
正確答案: D
問題 #211
某組織決定實施額外的安全控制,以應對新流程的風險。這就是一個例子:
A. 消除風險。
B. 轉移風險。
C. 減少風險。
D. 接受風險。
查看答案
正確答案: C
問題 #212
某組織內的業務部門抵制對信息安全計劃的修改建議。以下哪項是解決這一問題的最佳方法?
A. 展額外的安全意識培訓
B. 業務單位管理人員通報關鍵風險評估結果
C. 業務單位代表納入安全指導委員會
D. 布更新的信息安全政策
查看答案
正確答案: B
問題 #213
以下哪項是促進組織的信息安全計劃與業務目標保持一致的最佳方法?
A. 有信息技術項目在可行性研究階段都要考慮信息安全問題。
B. 息安全治理委員會包括主要業務領域的代表。
C. 席執行官審查並批准信息安全計劃。
D. 息安全計劃由內部審計部門進行審計。
查看答案
正確答案: B
問題 #214
對標準信息安全治理模式影響最大的是什麼?
A. 工人數
B. 際地點之間的距離
C. 織結構的複雜性
D. 織預算
查看答案
正確答案: C
問題 #215
以下哪項對計算安全環境中的投資回報率(ROI)提出了最大挑戰?
A. 法預先確定事件數量
B. 法預計項目成本超支
C. 全工具的成本難以估算
D. 法估算安全事件的成本
查看答案
正確答案: A
問題 #216
在制定信息安全計劃衡量標準之前,確定以下哪項最爲重要?
A. 何收集數據
B. 將使用這些指標
C. 何報告績效
D. 將擁有衡量標準
查看答案
正確答案: D
問題 #217
在筆記本電腦被盜的情況下,以下哪種方法能最有效地降低數據丟失的風險?
A. 供以攜帶筆記本電腦旅行爲重點的最終用戶意識培訓
B. 筆記本電腦上部署終端數據丟失防護軟件
C. 密硬盤
D. 用強密碼
查看答案
正確答案: C
問題 #218
某組織有一個涉及使用供應商的流程。在制定流程的過程中完成了風險評估。實施一年後,做出了使用另一家供應商的貨幣決定。如果需要的話,應該採取什麼措施?
A. 有,因爲在開發過程中已經完成了風險評估。
B. 進行脆弱性評估。
C. 進行新的風險評估。
D. 審查新供應商的 SAS 70 第二類報告。
查看答案
正確答案: C
問題 #219
以下哪項可確保及時消除操作系統中新發現的安全漏洞?
A. 丁管理
B. 革管理
C. 全基線
D. 置管理
查看答案
正確答案: A
問題 #220
批准安全政策的例外情況應主要基於以下因素:
A. 風險偏好。
B. 外部威脅概率。
C. 業務影響分析 (BIA) 的結果。
D. 安全事件的數量。
查看答案
正確答案: C
問題 #221
在配置用於保護高度安全數據中心的生物識別門禁系統時,應設置系統的靈敏度級別:
A. 錯誤拒絕率 (FRR) 較高。
B. 降低交叉錯誤率。
C. 錯誤接受率(FAR)較高。
D. 與交叉錯誤率完全一致。
查看答案
正確答案: A
問題 #222
某組織將外包關鍵任務流程。在籤署服務級別協議(SLA)之前,以下哪項最需要驗證?
A. 供商採用了最新技術。
B. 年對提供方的技術人員進行評估。
C. 應商在組織的行業內廣爲人知。
D. 供方已接受公認審計公司的審計。
查看答案
正確答案: D
問題 #223
以下哪種方法是防禦社會工程學攻擊的最佳方法?
A. 期執行防病毒掃描以識別惡意軟件。
B. 達限制在公共網站上發布信息的指導原則。
C. 用網絡內容過濾解決方案。
D. 控未經授權的訪問嘗試和登錄失敗。
查看答案
正確答案: C
問題 #224
在對人力資源(HR)記錄進行數字化時,以下哪類控制措施最爲重要?
A. 問管理控制
B. 目管理控制
C. 件開發控制
D. 更管理控制
查看答案
正確答案: A
問題 #225
某組織收購了一家外國公司,以在新市場中獲得優勢。信息安全經理應首先採取以下哪項措施?
A. 併現有的兩個信息安全計劃。
B. 定將使用哪個國家的信息安全法規。
C. 現有信息安全計劃應用於被收購公司。
D. 估適用於被收購公司的信息安全法律。
查看答案
正確答案: D
問題 #226
以下哪項最有助於實現信息安全與組織目標之間的一致?
A. 匙控制監控
B. 全的安全意識計劃
C. 夠開展業務活動的安全計劃
D. 效的安全架構
查看答案
正確答案: C
問題 #227
爲防止公司網絡上的計算機被用作分布式拒絕服務攻擊的一部分,信息安全經理應使用以下方法:
A. 傳入流量過濾
B. 外向流量過濾
C. 播信息技術安全政策
D. 速度限制
查看答案
正確答案: B
問題 #228
在自帶設備 (BYOD) 政策中,關於設備丟失或被盜,以下哪項最重要?員工需要
A. 啓動公司的事件報告程序。
B. 向移動服務提供商尋求建議。
C. 通知當地執法部門。
D. 請求遠程擦除設備。
查看答案
正確答案: D
問題 #229
BEST 可以通過以下方式獲得高級管理層對建立溫暖站點的支持:
A. 建立定期風險評估。
B. 促進監管要求。
C. 制定商業案例。
D. 制定有效的衡量標準。
查看答案
正確答案: C
問題 #230
所有風險管理活動的首要目的是減少對以下方面的影響:
A. 安全管理員定義的級別。
B. 基於組織風險承受能力的可接受水平。
C. 符合法規要求的最低水平。
D. 可能的最低水平。
查看答案
正確答案: B
問題 #231
以下哪項是定期進行威脅狀況分析的主要原因?
A. 定提議增加安保預算的依據。
B. 定現有的業務連續性計劃是否充分。
C. 定現有漏洞是否構成風險。
D. 執行管理層確定關鍵信息。
查看答案
正確答案: C
問題 #232
以下哪項是識別信息安全環境變化的最有效方法?
A. 續監測
B. 全基線
C. 度風險評估
D. 務影響分析
查看答案
正確答案: A
問題 #233
一個成功的風險管理計劃應導致
A. 根據成本優化降低風險的工作。
B. 將損失控制在年度預算額內。
C. 識別並消除所有人爲威脅。
D. 消除或轉移所有組織風險。
查看答案
正確答案: A
問題 #234
以下哪項是解決外包提供商選擇和合同談判過程中發現的差距的最佳方法?
A. 提供商對安全性和合規性負責
B. 續進行差距評估
C. 審計權納入服務級別協議 (SLA)
D. 施補償控制措施
查看答案
正確答案: D
問題 #235
安裝後不久,入侵檢測系統(IDS)就報告了一起違規事件。以下哪種可能性最大?
A. 規是假陽性。
B. 生了例行的 IDS 日誌文件上傳。
C. 生了例行的 IDS 籤名文件下載。
D. 生了入侵。
查看答案
正確答案: A
問題 #236
BEST 可以通過以下介紹獲得高級管理層對信息安全的承諾和支持:
A. 使用成功攻擊的示例。
B. 解釋組織面臨的技術風險。
C. 根據最佳安全實踐評估組織。
D. 將安全風險與關鍵業務目標聯繫起來。
查看答案
正確答案: D
問題 #237
風險簡介之所以能支持有效的安全決策,主要是因爲它
A. 確定如何最好地減輕未來的風險。
B. 確定減少風險的優先事項。
C. 可與行業最佳實踐進行比較。
D. 描述安全威脅。
查看答案
正確答案: B
問題 #238
當某項業務活動的固有風險低於可接受的風險水平時,最好的做法是: 1:
A. 監控業務變化
B. 審查殘餘風險水平
C. 向管理層報告合規情況
D. 實施控制以降低風險
查看答案
正確答案: B
問題 #239
某業務經理決定不實施基於關鍵任務業務應用程序風險評估的控制措施,因爲它會影響性能。信息安全經理的最佳行動方案是什麼?
A. 示業務經理執行緩解控制措施
B. 新組織的風險概況
C. 議可能的補償控制措施
D. 問題上報高級管理層,由其做出最終決定
查看答案
正確答案: C
問題 #240
確保每個平臺上的安全設置符合信息安全政策和程序的最佳方法是:
A. 執行滲透測試。
B. 建立安全基線。
C. 執行供應商默認設置。
D. 將政策與獨立標準掛鈎。
查看答案
正確答案: B
問題 #241
在對組織的信息資源進行正式風險評估之前,信息安全經理應首先:
A. 繪製業務目標的主要威脅圖。
B. 審查現有的風險信息來源。
C. 確定關鍵資產的價值。
D. 確定威脅實現後的財務影響。
查看答案
正確答案: A
問題 #242
爲實現安全倡議的有效戰略協調,必須:
A. 選指導委員會領導。
B. 主要組織單位之間獲得投入並達成共識。
C. 期更新業務戰略。
D. 序和標準須經所有部門負責人批准。
查看答案
正確答案: B
問題 #243
信息安全經理最近接到通知,第三方服務提供商存在潛在的安全風險。下一步應採取哪些措施來解決這一問題?
A. 行風險分析
B. 報首席風險官
C. 行脆弱性分析
D. 定補償控制措施
查看答案
正確答案: A
問題 #244
客戶認證電子商務供應商的最佳方式是什麼?
A. 用安全的通信協議進行連接。
B. 證書頒發機構驗證供應商的證書。
C. 求通過電子郵件驗證訂單。
D. 用供應商的私人密鑰加密訂單。
查看答案
正確答案: B
問題 #245
審查安全目標和確保各業務部門之間的安全整合是該部門的主要工作重點:
A. 行政管理
B. 首席信息安全官(CISO)
C. 董事會
D. 指導委員會。
查看答案
正確答案: B
問題 #246
以下哪項是衡量一個組織是否妥善管理風險的最佳指標?
A. 作人員報告的安全事件數量有所增加
B. 險評估結果在可承受範圍內
C. 透測試不會發現任何高風險系統漏洞
D. 侵檢測系統報告的事件數量減少了
查看答案
正確答案: B
問題 #247
恢復時間目標(RTO)是以下哪項的輸出結果?
A. 務連續性計劃
B. 後恢復計劃
C. 務水平協議(SLA)
D. 務影響分析(BIA)
查看答案
正確答案: B
問題 #248
以下哪種工具最適合用於確定安全項目實施所需的時間?
A. 特圖
B. 布圖
C. 鍵路徑
D. 速應用程序開發(RAD)
查看答案
正確答案: C
問題 #249
安全治理與以下哪種 IT 基礎架構組件關聯最大?
A. 絡
B. 用
C. 臺
D. 程
查看答案
正確答案: D
問題 #250
在計算幀中繼網絡連接中斷 18-24 小時的影響時,應使用以下公式:
A. 承運人收取的小時計費率。
B. 網絡傳輸數據的價值。
C. 所有受影響企業用戶的賠償總額。
D. 受影響業務單位的財務損失。
查看答案
正確答案: D
問題 #251
一家大型企業正在考慮制定一項政策,允許員工將自己的智能手機帶入企業環境。信息安全經理最關心的問題應該是( ):
A. 支持最終用戶的成本較高
B. 對網絡容量的影響
C. 降低最終用戶的生產力
D. 缺乏設備管理解決方案
查看答案
正確答案: D
問題 #252
使用 BEST 可以確保不可抵賴性:
A. 輸送路徑跟蹤。
B. 反向查找翻譯。
C. 渠道不暢。
D. 數字籤名。
查看答案
正確答案: D
問題 #253
以下哪種方法是確保安全程序和指導原則爲人所知和理解的最佳方法?
A. 期焦點小組會議
B. 期合規審查
C. 算機輔助認證培訓(CBT)
D. 工籤名確認
查看答案
正確答案: C
問題 #254
以下哪項是實現信息安全治理與公司治理相結合的最有效方法?
A. 據組織目標調整信息安全預算申請
B. 保信息安全工作支持業務目標
C. 期向高級管理層提供信息技術平衡記分卡
D. 保信息安全與 IT 戰略保持一致
查看答案
正確答案: A
問題 #255
以下哪種方法是在風險評估過程中對系統和數據關鍵性進行分類的最有效方法?
A. 談高級管理層。
B. 訪數據保管人。
C. 訪董事會成員。
D. 訪資產所有者。
查看答案
正確答案: D
問題 #256
當出現以下情況時,錯誤處理入侵檢測系統(IDS)識別的警報的風險最大:
A. 標準操作程序沒有正規化。
B. 信息技術基礎設施多種多樣。
C. DS 傳感器配置錯誤。
D. 運行和監控由不同的團隊負責。
查看答案
正確答案: A
問題 #257
信息安全經理在制定一套關鍵風險指標(KRI)時,最應關注以下哪項?
A. 全風險對組織目標的影響還不十分清楚。
B. 險容忍度尚未確定。
C. 干業務職能已外包給第三方供應商。
D. 織沒有以往安全事件的歷史數據。
查看答案
正確答案: B
問題 #258
信息安全架構與以下哪項保持一致最爲重要?
A. 業最佳做法
B. 息技術計劃
C. 息安全最佳做法
D. 務目的和目標
查看答案
正確答案: D
問題 #259
以下哪項是單點登錄的最大風險?
A. 是企業訪問控制流程的單點故障。
B. 個用戶對密碼的粗心大意可能會導致整個基礎設施受到攻擊。
C. 點登錄與其他基礎設施的整合非常複雜。
D. 個管理員維護單點登錄解決方案,沒有職責分工。
查看答案
正確答案: A
問題 #260
在生產服務器上更新操作系統 (OS) 補丁的適當頻率是多少?
A. 計劃推出新應用程序期間
B. 據固定的安全補丁管理時間表
C. 季度硬件維護同時進行
D. 當發布重要的安全補丁時
查看答案
正確答案: D
問題 #261
以下哪項是減少不必要的重複合規活動的最佳方法?
A. 動化控制
B. 制程序記錄
C. 合保障工作
D. 規要求的標準化
查看答案
正確答案: D
問題 #262
在設計信息安全政策時,以下哪項應是信息安全管理人員的首要目標?
A. 低組織安全風險
B. 強信息保護
C. 大限度降低安全控制成本
D. 現組織目標
查看答案
正確答案: D
問題 #263
以下哪項是確定遺留應用程序是否存在新風險的最佳方法?
A. 期風險評估
B. 動漏洞掃描
C. 三方滲透測試
D. 常更新風險登記冊
查看答案
正確答案: A
問題 #264
向董事會報告信息安全計劃有效性的最佳方式是提交報告:
A. 顯示關鍵性能指標的儀錶板。
B. 同行行業基準。
C. 最新審計結果摘要。
D. 一份關於改進流程節省成本的報告。
查看答案
正確答案: A
問題 #265
建立安全治理計劃的第一步是:
A. 進行風險評估。
B. 爲所有最終用戶舉辦一次研討會。
C. 編制安全預算。
D. 獲得高層贊助。
查看答案
正確答案: D
問題 #266
以下哪項可以保證文件中的數據沒有更改?
A. 查文件的修改日期
B. 對稱加密法加密文件
C. 用嚴格的訪問控制,防止未經授權的訪問
D. 建文件哈希值,然後比較文件哈希值
查看答案
正確答案: D
問題 #267
以下哪項是信息安全經理在應用程序開發中的主要職責?確保
A. 實施企業安全控制。
B. 遵守行業最佳做法。
C. 控制程序應對業務風險。
D. 將安全性納入系統開發生命周期 (SDLC)。
查看答案
正確答案: A
問題 #268
以下哪項指標能爲管理層提供有關安全意識計劃進展的最有用信息?
A. 織安全政策的下載次數增加
B. 告的安全事件增加
C. 業務單位用戶意識培訓的完成率
D. 全事件數量減少
查看答案
正確答案: D
問題 #269
對信息資產進行分類的主要目的是什麼?
A. 定適當的保護級別。
B. 定業務所有人和信息保管人。
C. 明符合監管要求。
D. 持準確的 IT 資產庫存。
查看答案
正確答案: A
問題 #270
在系統開發項目中實施信息安全時,對於資源有限的信息安全經理來說,以下哪種方法最有效?
A. 代表納入業務項目
B. 據業務影響分配資源
C. 項目規劃期間提出安全要求
D. 發前審查安全要求
查看答案
正確答案: B
問題 #271
以下哪項最有助於幫助高級管理層了解信息安全合規狀況?
A. 業基準
B. 險評估結果
C. 務影響分析(BIA)結果
D. 鍵績效指標(KPI)
查看答案
正確答案: D
問題 #272
以下哪項對有效的信息安全治理框架最爲關鍵?
A. 事會成員致力於信息安全計劃。
B. 期審查信息安全政策。
C. 續監控信息安全計劃。
D. 席信息官對信息安全計劃負責。
查看答案
正確答案: A
問題 #273
在對筆記本電腦進行取證檢查以確定員工是否參與欺詐時,以下哪項最重要?
A. 暫停該員工的網絡訪問權限。
B. 得將筆記本電腦帶離公司場所。
C. 記本電腦檢查時應有一名人力資源代表在場。
D. 查應在原始磁盤驅動器的鏡像上進行。
查看答案
正確答案: D
問題 #274
以下哪項是衡量安全意識培訓是否有效的最佳指標?
A. 工籤名確認安全政策
B. 告的事件越來越多
C. 多數員工已完成培訓
D. 個月內未報告任何事件
查看答案
正確答案: B
問題 #275
在制定 IT 安全策略時,以下哪項對信息安全經理的影響最大?
A. 去和當前的威脅
B. 息技術安全框架
C. 守法規
D. 業戰略
查看答案
正確答案: D
問題 #276
信息安全經理已根據行業最佳實踐確定並實施了緩解控制措施。以下哪項是與這種方法相關的最大風險?
A. 施控制的成本可能過高。
B. 全計劃可能與組織目標不一致。
C. 解措施可能無法及時更新。
D. 有高級管理層的意見,可能會遺漏重要的安全控制措施。
查看答案
正確答案: B
問題 #277
在制定事件響應計劃時,對安全事件進行明確定義的主要好處在於它有助於: 1:
A. 向利益相關者傳達事件響應流程
B. 制定有效的升級和響應程序
C. 使桌面測試更有效
D. 爲事件應對小組配備足夠的人員並對其進行培訓
查看答案
正確答案: B
問題 #278
以下哪項是持續進行風險評估的主要原因?
A. 須不斷說明安保預算的合理性。
B. 天都有新的漏洞被發現。
C. 險環境不斷變化。
D. 理層需要不斷了解新出現的風險。
查看答案
正確答案: C
問題 #279
以下哪項 BEST 可以檢測到內部威脅造成的惡意破壞?
A. 問控制列表
B. 密
C. 詐意識培訓
D. 作輪換
查看答案
正確答案: D
問題 #280
以下哪項對建立有效的信息安全計劃最爲重要?
A. 加監測活動的信息安全架構
B. 理層對信息安全的支持
C. 傳計劃中包含的相關和及時的內容
D. 息系統的邏輯訪問控制
查看答案
正確答案: B
問題 #281
確保信息安全政策得到遵守的最佳方法是:
A. 向所有員工分發印刷本。
B. 定期審查合規情況。
C. 包括對違規行爲不斷升級的處罰。
D. 設立匿名熱線,舉報濫用政策的行爲。
查看答案
正確答案: B
問題 #282
誰應負責執行應用程序數據的訪問權限?
A. 據所有者
B. 務流程所有者
C. 全指導委員會
D. 全管理員
查看答案
正確答案: D
問題 #283
以下哪種身份驗證方法可以防止身份驗證重放?
A. 碼散列的實現
B. 戰/回應機制
C. 線等效保密(WEP)加密的使用
D. TTP 基本身份驗證
查看答案
正確答案: B
問題 #284
一家小型企業與一家跨國雲計算供應商籤訂了合同。如果合同中省略以下哪項,信息安全經理會最擔心?
A. 戶批准訪問其數據的權力
B. 購方對供應商進行現場審計的權利
C. 有代碼發布條件的軟件代碼託管
D. 同一物理服務器上混合用戶數據
查看答案
正確答案: D
問題 #285
網絡應用程序編寫不當的一個常見問題是,它們會讓攻擊者:
A. 通過緩衝區溢出獲得控制權。
B. 進行分布式拒絕服務 (DoS) 攻擊。
C. 濫用競賽條件。
D. 注入結構化查詢語言 (SQL) 語句。
查看答案
正確答案: D
問題 #286
有關信息安全投資的管理決策只有在以下基礎上才能最爲有效:
A. 根據歷史安全事件確定的預期年損失率 (ALE)。
B. 管理層正式接受風險分析。
C. 報告持續和定期的風險評估。
D. 識別和分析威脅與弱點的程序。
查看答案
正確答案: C
問題 #287
當出現以下情況時,重新評估風險最爲關鍵:
A. 更改安全政策。
B. 抵制實施緩解控制措施。
C. 威脅形勢的變化。
D. 管理層要求更新安全報告。
查看答案
正確答案: C
問題 #288
業務影響分析(BIA)是最好的計算工具:
A. 總擁有成本。
B. 修復的優先順序。
C. 預期年損失率(ALE)。
D. 剩餘風險。
查看答案
正確答案: B
問題 #289
在考察首席信息安全官 (CISO) 潛在候選人時,以下哪項特徵最爲重要?
A. 息技術平臺、網絡和開發方法方面的知識
B. 解組織需求並將其映射到安全技術的能力
C. 關監管環境和項目管理技術的知識
D. 能力管理整個組織內不同的人員和資源
查看答案
正確答案: B
問題 #290
實施信息安全治理框架後,以下哪項能爲制定信息安全項目計劃提供最佳信息?
A. 險熱圖
B. 期審計結果
C. 衡計分卡
D. 距分析
查看答案
正確答案: C
問題 #291
在進行風險評估時,最重要的考慮因素是:
A. 管理層支持風險緩解工作。
B. 計算了關鍵資產的年度預期損失(ALE)。
C. 已確定資產並對其進行了適當估值。
D. 了解攻擊的動機、手段和機會。
查看答案
正確答案: C
問題 #292
以下哪項是啓動當前風險重新評估的最佳理由?
A. 計報告的後續行動
B. 近發生的一起安全事件
C. 證要求
D. 保人員的變動
查看答案
正確答案: B
問題 #293
以下哪項對企業資產分類計劃的可用性影響最爲直接?
A. 次結構中的分類粒度
B. 織風險登記冊的更新頻率
C. 織的業務目標
D. 級管理層對敘級計劃的支持
查看答案
正確答案: A
問題 #294
以下哪項 BEST 可以保護存儲在筆記本電腦中的組織機密數據免遭未經授權的訪問?
A. 過密碼進行強認證
B. 密硬盤
C. 因素身份驗證程序
D. 於網絡的數據備份
查看答案
正確答案: B
問題 #295
以下哪項是漏洞掃描最重要的結果?
A. 定風險的輕重緩急
B. 關入侵系統所需步驟的信息
C. 門的識別
D. 證系統配置是否正確
查看答案
正確答案: D
問題 #296
某企業計劃允許員工在企業網絡上使用自己的設備。以下哪項是信息安全經理的最佳行動方案?
A. 施自動化軟件
B. 估相關風險
C. 展提高認識培訓
D. 新安全策略
查看答案
正確答案: B
問題 #297
使用無線局域網 (LAN) 技術時,最大的安全風險是什麼?
A. 間人攻擊
B. 騙數據包
C. 意接入點
D. 話劫持
查看答案
正確答案: C
問題 #298
BEST 可以通過以下方式確保客戶安全使用電子商務應用程序:
A. 數據加密。
B. 數字籤名。
C. 強密碼。
D. 雙因素身份驗證。
查看答案
正確答案: A
問題 #299
以下哪項最能描述緩衝區溢出?
A. 序包含隱藏的、非預期的功能,會帶來安全風險。
B. 種捕獲數據的隱蔽信道。
C. 在幹擾正常運行的惡意代碼。
D. 行函數時,數據量超過了函數所能處理的範圍。
查看答案
正確答案: D
問題 #300
以下哪項對企業資源規劃(ERP)系統的安全威脅最大?
A. 記錄用戶臨時報告
B. 絡流量通過單一交換機
C. 作系統(OS)安全補丁未應用
D. 據庫安全性默認爲企業資源規劃設置
查看答案
正確答案: C
問題 #301
在將信息安全要求納入軟件開發時,以下哪些做法應在開發生命周期中優先考慮?
A. 透測試
B. 態代碼分析
C. 脅建模
D. 代碼審查
查看答案
正確答案: C
問題 #302
以下哪項是確定信息安全目標的最重要原因?
A. 量成效的工具
B. 目標的一般理解
C. 合適用標準
D. 理層籤批和支持舉措
查看答案
正確答案: A
問題 #303
某組織來年的信息安全戰略強調降低勒索軟件的風險,以下哪項對支持該戰略最有幫助?
A. 所有員工提供相關培訓。
B. 定滲透測試計劃
C. 行控制差距分析。
D. 強對信息技術環境的安全控制。
查看答案
正確答案: A
問題 #304
在與雲服務提供商籤訂服務級別協議(SLA)的過程中,信息安全經理最重要的一點是:
A. 更新安全策略,以反映提供商的服務條款。
B. 確保安全要求可按合同執行。
C. 與提供商建立適當的通信路徑。
D. 了解正在使用的雲存儲架構,以確定安全風險。
查看答案
正確答案: B
問題 #305
以下哪項 BEST 可以防止外部安全攻擊?
A. 態 IP 地址
B. 絡地址轉換
C. 時僱員的背景調查
D. 護和分析系統訪問日誌
查看答案
正確答案: B
問題 #306
一位信息安全經理正在準備一份演示文稿,以獲得對一項安全計劃的支持。以下哪種方法最能獲得管理層對該計劃的承諾?
A. 括所報告事件的歷史數據
B. 供估計的投資回報率
C. 析當前面臨的風險
D. 括行業基準比較
查看答案
正確答案: C
問題 #307
實施信息安全計劃的規劃在以下情況下最爲有效:
A. 使用決策樹來確定安全項目的優先次序
B. 將差距分析應用於當前和未來的業務計劃
C. 對安全項目採用基於風險的分析
D. 應用技術驅動的解決方案來滿足已確定的需求
查看答案
正確答案: C
問題 #308
信息安全組織應首先
A. 通過提供與安全相關的支持服務,支持公司的業務目標。
B. 負責建立和記錄信息安全小組成員的信息安全責任。
C. 確保公司的信息安全政策符合全球最佳做法和標準。
D. 確保向員工傳達信息安全預期。
查看答案
正確答案: A
問題 #309
爲確保薪資系統在數據中心遭受颶風襲擊時仍能繼續運行,信息安全經理在確保業務連續性規劃時應採取的 FIRS T 關鍵步驟是什麼?
A. 行定性和定量風險分析。
B. 予資產價值。
C. 衡實施計劃的成本與經濟損失。
D. 行業務影響分析(BIA)。
查看答案
正確答案: D
問題 #310
組織決定將 IT 部門的大部分工作外包給一家在國外託管服務器的供應商。以下哪項是最關鍵的安全考慮因素?
A. 產國的法律法規在外國可能無法執行。
B. 於時差,安全漏洞通知可能會延遲。
C. 安裝額外的網絡入侵檢測傳感器,這將導致費用增加。
D. 司可能會失去對服務器的實際控制,無法監控服務器的實際安全狀況。
查看答案
正確答案: A
問題 #311
有效的風險分析必須首先評估哪兩個組成部分?
A. 見度和持續時間
B. 能性和影響
C. 率和頻率
D. 務影響和持續時間
查看答案
正確答案: B
問題 #312
以前接受的風險應該是
A. 定期重新評估,因爲風險可能因條件的變化而上升到不可接受的程度。
B. 永久接受,因爲管理層已經花費了資源(時間和人力),得出了風險水平可以接受的結論。
C. 下次避免,因爲規避風險是對公司最好的保護。
D. 一旦接受就從風險日誌中刪除。
查看答案
正確答案: A
問題 #313
當組織面臨大幅預算削減時,以下哪種方法是信息安全經理證明繼續投資信息安全計劃合理性的最佳方法?
A. 明該計劃有助於開展業務活動
B. 明針對同行組織的勒索軟件攻擊有所增加
C. 明已實施的計劃控制是有效的
D. 明業務連續性計劃已準備就緒
查看答案
正確答案: A
問題 #314
在建立必須遵守適用數據隱私法規的新數據保護計劃時,應首先完成以下哪項工作?
A. 建存儲個人數據的系統清單。
B. 系統和網絡中存儲的所有個人數據進行加密。
C. 估數據保護所需的隱私技術。
D. 新懲戒程序,處理侵犯隱私的行爲。
查看答案
正確答案: C
問題 #315
進行風險評估最有效:
A. 在安全計劃制定之初。
B. 持續不斷。
C. 在制定安全計劃的業務案例時。
D. 在業務變革過程中。
查看答案
正確答案: B
問題 #316
讓企業管理層參與評估和管理信息安全風險的一個主要好處是,他們可以
A. 更好地了解組織風險。
B. 可以平衡技術風險和業務風險。
C. 比安全管理更客觀。
D. 更好地了解安全架構。
查看答案
正確答案: B
問題 #317
信息安全意識計劃在以下情況下最爲有效
A. 爲每個目標受衆量身定製。
B. 由高級管理層贊助。
C. 通過計算機輔助培訓加以強化。
D. 在員工入職培訓時進行
查看答案
正確答案: A
問題 #318
以下哪項是制定災難恢復計劃 (DRP) 的第一步?
A. 行業務影響分析 (BIA)。
B. 定潛在的第三方服務提供商。
C. 定恢復時間目標(RTO)。
D. 定恢復點目標 (RPO)。
查看答案
正確答案: A
問題 #319
某組織最近遇到了未經授權的設備訪問其網絡的情況。爲主動管理問題並降低風險,最好的預防控制措施是:
A. 保存連接到網絡的所有系統的網絡和硬件地址清單。
B. 安裝狀態檢測防火牆,防止未經授權的網絡流量。
C. 實施網絡級身份驗證和登錄,以規範設備對網絡的訪問。
D. 部署自動資產庫存發現工具,以識別訪問網絡的設備。
查看答案
正確答案: C
問題 #320
保護移動通用串行總線 (USB) 硬盤數據安全的最佳策略是什麼?
A. 份驗證
B. 密
C. 止員工將數據複製到 USB 設備上
D. 制使用 USB 設備
查看答案
正確答案: B
問題 #321
安全管理人員會確定以下哪項來確定恢復正常處理的目標?
A. 復時間目標(RTO)
B. 大可容忍停機時間(MTO)
C. 復點目標(RPO)
D. 務提供目標(SDOs)
查看答案
正確答案: A
問題 #322
在實施信息安全框架時,以下哪項是最重要的考慮因素?
A. 規要求
B. 計結果
C. 險偏好
D. 術能力
查看答案
正確答案: A
問題 #323
在準備將數據存儲庫外包給基於雲的解決方案時,以下哪項最需要審核?
A. 後恢復計劃
B. 份和訪問管理
C. 應商的信息安全政策
D. 險評估
查看答案
正確答案: C
問題 #324
必須對資產進行分類並確定其相對敏感性,以確保:
A. 保護成本與敏感度成正比。
B. 保護高度敏感的資產。
C. 控制成本最小化。
D. 反措施與風險成正比。
查看答案
正確答案: D
問題 #325
某企業希望爲關鍵業務應用程序啓用數字取證功能。以下哪項最有助於實現這一目標?
A. 裝生物識別門禁系統。
B. 定事件響應計劃。
C. 定數據保留標準。
D. 用活動記錄。
查看答案
正確答案: D
問題 #326
誰應推動組織的風險分析?
A. 級管理層
B. 全管理員
C. 量經理
D. 律部門
查看答案
正確答案: B
問題 #327
以下哪項對負責執行強化密碼標準的信息安全經理最有幫助?
A. 行密碼強度測試
B. 最終用戶傳授創建強大複雜密碼的知識
C. 施中央身份管理系統
D. 施技術性密碼控制,包括強大的複雜性
查看答案
正確答案: C
問題 #328
對資產進行分類的主要原因是爲了
A. 平衡資產價值和保護措施。
B. 識別控制不足的低價值資產。
C. 爲資產建立明確的權限和所有權。
D. 向高級管理層通報組織的風險狀況。
查看答案
正確答案: A
問題 #329
以下哪項是信息安全經理有效管理第三方風險的最佳方法?
A. 保實施控制措施以應對風險變化。
B. 保高級管理層已批准供應商關係。
C. 保風險管理工作與所面臨的風險相稱。
D. 保供應商管理控制到位。
查看答案
正確答案: D
問題 #330
將應用程序開發外包給第三方時,以下哪種方法最能確保組織的安全要求得到滿足?
A. 合同中規定對系統開發生命周期進行審計的權利
B. 第三方工作人員提供安全應用程序編碼培訓
C. 開發的應用程序進行獨立的安全測試
D. 求第三方提供商記錄其安全方法
查看答案
正確答案: C
問題 #331
安全指導小組的首要目標是
A. 確保信息安全涵蓋所有業務職能。
B. 確保信息安全與業務目標相一致。
C. 提高整個組織的信息安全意識。
D. 在整個組織內執行有關安全管理的所有決定。
查看答案
正確答案: B
問題 #332
爲公共網站起草企業隱私聲明時,必須包括以下哪些內容?
A. 入控制要求
B. 限責任條款
C. 息加密要求
D. 信息的使用
查看答案
正確答案: C
問題 #333
實施信息安全治理衡量標準的主要目的是
A. 衡量與最佳做法的一致性。
B. 評估業務和計劃衡量標準。
C. 完善控制操作、
D. 引導安全向理想狀態發展。
查看答案
正確答案: D
問題 #334
在業務影響分析中,信息系統的價值應以總體成本爲基礎:
A. 恢復。
B. 重新創造。
C. 如果不可用。
D. 緊急行動。
查看答案
正確答案: C
問題 #335
一家跨國公司希望確保其隱私計劃能在整個運營過程中妥善應對隱私風險。
A. 織採用分散式隱私治理結構。
B. 私政策僅每年審查一次。
C. 織沒有專職的隱私官。
D. 私計劃不包括正式培訓內容。
查看答案
正確答案: D
問題 #336
對於信息安全經理來說,確保新安全系統的業務案例包含以下哪項內容最爲重要?
A. 制措施的有效性
B. 系統相關的風險降低
C. 計記錄功能
D. 準測試結果
查看答案
正確答案: B
問題 #337
在非軍事區(DMZ)內放置以下哪種設備會被視爲重大暴露?
A. 證服務器
B. 絡服務器
C. 理服務器
D. 侵檢測服務器
查看答案
正確答案: A
問題 #338
進行信息資產分類的主要益處在於
A. 將安全要求與業務目標聯繫起來。
B. 確定與風險相稱的控制措施。
C. 定義訪問權限。
D. 確定所有權。
查看答案
正確答案: B
問題 #339
爲了保護網絡,防止未經授權的外部連接到公司系統,信息安全經理應實施 BEST 計劃:
A. 強認證。
B. P 反欺騙過濾。
C. 網絡加密協議。
D. 受信任設備的訪問列表
查看答案
正確答案: A
問題 #340
在制定有效的信息安全戰略時,哪一項最需要確定?
A. 擔保的企業資產
B. 全治理帶來的潛在節餘
C. 規要求
D. 要補救的控制漏洞
查看答案
正確答案: A
問題 #341
信息安全經理在了解到影響組織的新法規後,應首先做以下哪項工作?
A. 法律顧問一起評估變更。
B. 知受影響的業務部門。
C. 估不合規風險。
D. 高級管理層通報新規定。
查看答案
正確答案: A
問題 #342
應進行風險評估:
A. 每個業務流程和子流程每年一次。
B. 對於關鍵業務流程,每三到六個月一次。
C. 由外部各方保持客觀性。
D. 每年或每當有重大變化時。
查看答案
正確答案: D
問題 #343
以下哪項安全特性對保護在線交易系統中的客戶數據最爲重要?
A. 用性
B. 據隔離
C. 計監督
D. 份驗證
查看答案
正確答案: D
問題 #344
外包服務提供商必須處理敏感的客戶信息。以下哪項對信息安全經理來說最重要?
A. 感數據的存儲和傳輸安全
B. 供商遵守行業標準的程度
C. 施採用的安全技術
D. 近一次獨立安全審查的結果
查看答案
正確答案: A
問題 #345
爲確保職責分離,以下哪項活動應由系統管理員以外的人員執行?
A. 除系統日誌
B. 用系統實用程序
C. 測系統使用情況
D. 定系統恢復程序
查看答案
正確答案: A
問題 #346
在選擇第三方安全運營中心時,以下哪項最重要?
A. 償條款
B. 立控制評估
C. 件應對計劃
D. 務連續性計劃
查看答案
正確答案: B
問題 #347
爲了向管理層強調將信息安全納入業務流程的重要性,新聘用的信息安全官應當
A. 編制安全預算。
B. 進行風險評估。
C. 制定信息安全政策。
D. 獲取基準信息。
查看答案
正確答案: B
問題 #348
以下哪些設備應置於 DMZ 內?
A. 理服務器
B. 用服務器
C. 門服務器
D. 據倉庫服務器
查看答案
正確答案: B
問題 #349
事件響應計劃日趨成熟的組織會對所有重大信息安全事件進行事件後審查。這些審查的首要目標應該是
A. 記錄並向高級管理層報告事件的根本原因。
B. 找出需要糾正的安全計劃差距或系統弱點。
C. 就事件向外部各方發出經過適當審查的通知。
D. 確定誰應對安全事件負責。
查看答案
正確答案: A
問題 #350
進行滲透測試的最佳時機是在測試之後:
A. 發生了未遂滲透。
B. 審計報告稱安全控制存在薄弱環節。
C. 進行各種基礎設施改造。
D. 系統人員更替率高。
查看答案
正確答案: C
問題 #351
信息安全經理在審查組織的數據分類計劃時,最關注以下哪項?
A. 計劃允許例外情況。
B. 個組織的標籤不一致。
C. 定義數據保留要求。
D. 類不符合行業最佳實踐。
查看答案
正確答案: B
問題 #352
以下哪個小組最適合爲企業進行風險分析?
A. 聘審計員
B. 類企業中的同行
C. 程所有者
D. 業管理顧問
查看答案
正確答案: C
問題 #353
應用程序的數據訪問要求應由以下因素決定:
A. 法律部門。
B. 合規官員。
C. 信息安全經理。
D. 企業主。
查看答案
正確答案: D
問題 #354
以下哪項能最好地爲利益相關者提供信息,以確定適當的災難應對措施?
A. 險評估
B. 弱性評估
C. 務影響分析
D. WOT 分析
查看答案
正確答案: C
問題 #355
信息資產的關鍵性和敏感性是根據以下因素確定的:
A. 威脅評估。
B. 脆弱性評估。
C. 資源依賴性評估。
D. 影響評估。
查看答案
正確答案: D
問題 #356
確保信息安全計劃成功的最重要因素是有效:
A. 向組織內所有用戶傳達信息安全要求。
B. 制定信息安全政策和程序。
C. 與組織目標相一致。
D. 監督信息安全政策和程序的遵守情況。
查看答案
正確答案: C
問題 #357
以下哪項是在組織文化中提高信息安全可見度的最佳方法?
A. 求進行跨職能信息安全培訓
B. 全公司開展提高用戶意識的活動
C. 布可接受使用政策
D. 據行業標準制定安全策略
查看答案
正確答案: A
問題 #358
某組織擔心員工不正確使用個人擁有的智能設備會造成信息泄漏的風險。信息安全經理減輕相關風險的最佳方法是什麼?
A. 求員工籤署保密協議 (NDA)。
B. 施移動設備管理 (MDM) 解決方案。
C. 錄自帶設備 (BYOD) 政策。D
查看答案
正確答案: B
問題 #359
威脅和漏洞評估之所以重要,主要是因爲它們是:
A. 估計風險所需
B. 設定控制目標的依據
C. 組織安全態勢的要素
D. 用於建立安全投資
查看答案
正確答案: A
問題 #360
以下哪項是向執行委員會提交的信息安全季度報告中最相關的指標?
A. 合安全標準的服務器趨勢報告
B. 合安全標準的服務器百分比
C. 用的安全補丁數量
D. 全補丁應用趨勢報告
查看答案
正確答案: A

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.