不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

通過 CISM 模擬測試提升您的 ISACA 備考水平

在安全威脅和數據泄露不斷演變的今天,獲得認證信息安全經理(CISM)證書至關重要。然而,準備 CISM 考試可能是一項具有挑戰性的任務。這正是 SPOTO 的 CISM 考試試題和資源發揮作用的地方。SPOTO 根據 CISM 考試目標提供全面的 CISM 考試問題和答案、測試問題、模擬考試和學習材料。這些備考資源旨在模擬真實的考試環境,爲您提供逼真的體驗並增強您的信心。通過 SPOTO 的 CISM 考試試題,您可以確定需要進一步學習和練習的領域,確保您具備評估風險、實施有效治理和積極應對安全事件所需的知識和技能。通過利用這些考試資源和模擬考試練習,您可以有效地做好準備,並增加成功通過 CISM 認證考試的機會。 數據泄露、勒索軟件攻擊和其他不斷演變的安全威脅是當今 IT 專業人員最關心的問題。通過註冊信息安全管理員® (CISM®) 認證,您將學會如何評估風險、實施有效的管理並積極應對突發事件。
參加其他線上考試
問題 #1
以下哪項是首席信息安全官 (CISO) 的最基本任務?
A. 新平臺級安全設置
B. 行災後恢復測試演習
C. 准訪問關鍵財務系統
D. 定信息安全戰略文件
查看答案
正確答案: D
問題 #2
誰來決定組織在多大程度上遵守新的網絡安全監管要求?
A. 級管理層
B. 息技術指導委員會
C. 律顧問
D. 息安全經理
查看答案
正確答案: A
問題 #3
以下哪項是信息安全經理在信息資產分類過程中的主要職責?
A. 配資產所有權
B. 定資產分類級別
C. 據資產分類確保資產安全
D. 發資產分類模型
查看答案
正確答案: D
問題 #4
如果某項業務活動的固有風險高於可接受的風險水平,信息安全管理者就應該向信息安全委員會報告:
A. 實施控制措施,將風險降低到可接受的水平。
B. 建議管理層避免該商業活動。
C. 評估當前風險水平與可接受風險水平之間的差距。
D. 將風險轉移給第三方,以避免影響成本。
查看答案
正確答案: C
問題 #5
風險情景通過以下方式簡化了風險評估過程:
A. 減少後續風險評估的需要。
B. 關注重要和相關的風險。
C. 確保降低業務風險。
D. 涵蓋所有可能的風險。
查看答案
正確答案: B
問題 #6
一家公司收購了競爭對手的一家機構,並希望整合安全策略。以下哪項是最需要考慮的問題?
A. 組織的風險偏好不同
B. 同的安全技術
C. 織內部的安全技能不同
D. 密信息可能泄露
查看答案
正確答案: A
問題 #7
在自帶設備 (BYOD) 計劃中,以下哪項是在數據丟失時保護公司數據的最重要考慮因素?
A. 程定位設備的能力
B. 中管理設備的能力
C. 制未經批准的申請的能力
D. 設備類型進行分類的能力
查看答案
正確答案: B
問題 #8
某組織正在經歷數字化轉型過程,這將 IT 組織置於一個陌生的風險環境中。信息安全經理的任務是領導 IT 風險管理流程。以下哪項應列爲最優先事項?
A. 險識別
B. 鍵風險指標(KRI)的設計
C. 制差距分析
D. 擇風險治療方案
查看答案
正確答案: A
問題 #9
對於從互聯網下載商業軟件的用戶來說,以下哪項是確保真實性的最有效手段?
A. 字籤名
B. 字證書
C. 字代碼籤名
D. 寫術
查看答案
正確答案: C
問題 #10
以下哪項是信息安全治理計劃最重要的目標?
A. 查內部控制機制
B. 效參與企業決策
C. 底消除風險因素
D. 保數據的可信度
查看答案
正確答案: D
問題 #11
鼓勵良好安全實踐的最佳方式是:
A. 定期安排合規性審計。
B. 對不遵守安全政策的人進行紀律處分。
C. 識別個人的適當安全行爲
D. 公布信息安全政策。
查看答案
正確答案: C
問題 #12
在對應用程序的底層代碼進行重大修改後,信息安全管理人員最重要的工作是:
A. 通知高級管理層
B. 更新風險評估
C. 驗證用戶驗收測試(UAT)
D. 修改關鍵風險指標 (KRI)
查看答案
正確答案: A
問題 #13
以下哪項風險評估過程的結果最有助於風險管理的決策?
A. 制風險
B. 有風險
C. 險暴露
D. 餘風險
查看答案
正確答案: D
問題 #14
在實施安全控制時,信息安全經理必須首先關注以下方面:
A. 儘量減少運行影響。
B. 消除所有漏洞。
C. 類似組織的使用情況。
D. 第三方認證。
查看答案
正確答案: A
問題 #15
在評估用於監控整個企業安全的產品時,以下哪項是最重要的考慮因素?
A. 於安裝
B. 品文件
C. 提供的支持
D. 統開銷
查看答案
正確答案: D
問題 #16
爲了了解組織的安全態勢,最重要的是組織的高層領導:
A. 確保報告既定的安全指標。
B. 審查報告的安全事件數量。
C. 評估風險緩解工作的進展情況。
D. 評估最近一次事件響應測試的結果。
查看答案
正確答案: A
問題 #17
在一家大型跨國企業中,信息安全經理認爲以下哪類信息的安全保護級別最低?
A. 略業務計劃
B. 將公布的財務結果
C. 戶個人信息
D. 往的財務結果
查看答案
正確答案: D
問題 #18
一位信息安全經理研究了幾種處理持續安全問題的方案,並將向業務經理介紹這些解決方案。以下哪項最能幫助業務經理做出明智的決定?
A. 務影響分析(BIA)
B. 本效益分析
C. 險分析
D. 距分析
查看答案
正確答案: A
問題 #19
信息安全經理發現某業務部門正在計劃實施一個新的應用程序,但卻沒有讓信息安全部門的任何人參與進來。以下哪項是最佳行動方案?
A. 議讓變革管理者參與進來。
B. 止應用程序投入生產。
C. 高層領導討論這個問題。
D. 查和更新變更管理流程。
查看答案
正確答案: A
問題 #20
以下哪種方法是選擇控制措施以最大限度降低信息安全風險的最佳方法?
A. 本效益分析
B. 制效果
C. 險評估
D. 業最佳做法
查看答案
正確答案: C
問題 #21
信息安全經理監控業務和 IT 行業層面變化的主要原因是: 1:
A. 評估變化對殘餘風險水平的影響。
B. 確定風險環境的變化。
C. 根據變化更新信息安全政策。
D. 根據潛在影響改變業務目標。
查看答案
正確答案: B
問題 #22
信息保護的風險管理方法是
A. 根據目標和目的,將風險控制在可接受的水平。
B. 接受商業安全產品提供的安全態勢。
C. 實施培訓計劃,對個人進行信息保護和風險教育。
D. 管理風險工具,確保對所有信息保護漏洞進行評估。
查看答案
正確答案: A
問題 #23
在進行定量風險分析時,以下哪項對估計潛在損失最爲重要?
A. 估生產力損失
B. 估機密數據披露的影響
C. 算信息或資產的價值
D. 量每種威脅的發生概率
查看答案
正確答案: C
問題 #24
安全風險評估應僅涵蓋以下信息資產
A. 進行分類和標記。
B. 在組織內部。
C. 支持業務流程。
D. 具有有形價值。
查看答案
正確答案: A
問題 #25
以下哪種設備放置在非軍事區(DMZ)時,會被認爲是最重要的暴露?
A. 理服務器
B. 件中繼服務器
C. 用服務器
D. 據庫服務器
查看答案
正確答案: D
問題 #26
以下哪項是集中式信息安全管理的特徵?
A. 理成本較高
B. 好地遵守政策
C. 符合業務部門的需求
D. 快地處理請求
查看答案
正確答案: B
問題 #27
要清楚地了解新監管要求對組織信息安全控制的影響,信息安全經理應在以下方面做 出努力
A. 進行成本效益分析。
B. 進行風險評估。
C. 訪問高級管理層。
D. 進行差距分析。
查看答案
正確答案: D
問題 #28
在實施有效 IT 風險管理的組織中,制定關鍵風險指標(KRI)的主要原因是
A. 爲補救風險事件提供信息。
B. 展示風險管理工作的一致性。
C. 將潛在風險映射到關鍵的組織戰略舉措。
D. 超過風險閾值的身份觸發器。
查看答案
正確答案: C
問題 #29
一家金融機構的主郵件服務器的超級用戶級別已被入侵;確保系統安全的唯一方法是:
A. 更改系統的根密碼。
B. 實施多因素身份驗證。
C. 從原始安裝介質重建系統。
D. 斷開郵件服務器與網絡的連接。
查看答案
正確答案: C
問題 #30
以下哪項最適合納入信息安全戰略?
A. 指定爲關鍵控制措施的業務控制措施
B. 全流程、方法、工具和技術
C. 火牆規則集、網絡默認設置和入侵檢測系統 (IDS) 設置
D. 置特定安全工具的概算
查看答案
正確答案: B
問題 #31
以下哪項指標最有助于衡量信息安全對違規日誌的監控程度?
A. 調查的入侵企圖
B. 寫的違規記錄報告
C. 規記錄條目
D. 取糾正行動的頻率
查看答案
正確答案: A
問題 #32
應在變更管理流程中實施以下哪項安全活動,以識別變更帶來的關鍵漏洞?
A. 務影響分析(BIA)
B. 透測試
C. 計和審查
D. 脅分析
查看答案
正確答案: B
問題 #33
以下哪項是 IT 資產管理中最重要的安全風險?
A. 作人員可將信息技術資產用於私人目的
B. 註冊的信息技術資產可能得不到支持
C. 登記的信息技術資產不得列入安全文件
D. 註冊的 IT 資產可能配置不當
查看答案
正確答案: A
問題 #34
持續監控安全控制的主要目的是確保
A. 系統可用性。
B. 控制差距最小化。
C. 控制措施的有效性。
D. 與合規要求保持一致。
查看答案
正確答案: C
問題 #35
以下哪項對防範網絡釣魚攻擊技術最有效?
A. 火牆攔截規則
B. 新籤名檔
C. 全意識培訓
D. 侵檢測監控
查看答案
正確答案: C
問題 #36
BEST 可以通過以下方法預防成功的社交工程攻擊:
A. 就業前篩選。
B. 密切監控用戶的訪問模式。
C. 定期提高認識培訓。
D. 高效的終止程序。
查看答案
正確答案: C
問題 #37
以下哪個部門負責法律和監管責任?
A. 席安全官(CSO)
B. 席法律顧問(CLC)
C. 事會和高級管理層
D. 息安全指導小組
查看答案
正確答案: C
問題 #38
已指派一名信息安全經理實施限制性更強的預防控制措施。這樣做的淨效果是主要減少:
A. 威脅。
B. 損失。
C. 脆弱性。
D. 概率。
查看答案
正確答案: C
問題 #39
以下哪項對整合信息安全治理與公司治理最有幫助?
A. 派指導委員會實施信息安全治理。
B. 信息安全流程納入業務和管理流程。
C. 董事會提供關於信息安全效率和有效性的獨立報告。
D. 信息安全管理與全球公認的框架保持一致。
查看答案
正確答案: B
問題 #40
以下哪項是確定組織當前風險是否在風險偏好範圍內的最佳方法?
A. 行業務影響分析(BIA)
B. 施關鍵績效指標(KPI)
C. 施關鍵風險指標(KRI)
D. 定額外的緩解控制措施
查看答案
正確答案: C
問題 #41
技術基礎設施安全的最低標準應在安全標準中加以規定:
A. 戰略。
B. 指導方針。
C. 模型。
D. 建築。
查看答案
正確答案: D
問題 #42
發生重大安全漏洞時,FIRST 應向高級管理層報告什麼?
A. 明事件順序的安全日誌摘要
B. 件經過和採取的糾正行動
C. 析類似攻擊對其他組織的影響
D. 施更強邏輯訪問控制的業務案例
查看答案
正確答案: B
問題 #43
以下哪項對成功實施限制性密碼策略最有效?
A. 期審計密碼
B. 點登錄系統
C. 全意識計劃
D. 規處罰
查看答案
正確答案: C
問題 #44
以下哪項是信息安全經理調整安全和業務目標的最佳方法?
A. 定關鍵績效指標(KPI)
B. 利益攸關方積極接觸
C. 查業務戰略
D. 行業務影響分析(BIA)
查看答案
正確答案: D
問題 #45
某組織實行嚴格的 "有必要知道 "信息訪問政策,即將推出一個知識管理內聯網,爲確保符合現有安全政策,以下哪項活動最爲重要?
A. 定控制程序,在內容發布前對其進行檢查。
B. 變組織政策,允許更廣泛地使用新網站。
C. 保只有高級管理人員和董事會才能訪問網站。
D. 包含機密信息的文件進行密碼保護。
查看答案
正確答案: A
問題 #46
一家大型企業正在制定信息安全計劃,該計劃涉及多個複雜的組織職能部門。以下哪項是成功實施該計劃的最佳方法?
A. 全治理
B. 全政策
C. 全指標
D. 全準則
查看答案
正確答案: A
問題 #47
對信息安全技術的投資應基於:
A. 脆弱性評估。
B. 價值分析。
C. 商業環境。
D. 審計建議。
查看答案
正確答案: B
問題 #48
某組織頒布了若干信息安全政策,以滿足監管要求。以下哪種情況最有可能增加不遵守這些要求的可能性?
A. 統所有者對支持政策的認同不足
B. 公共網站上提供安全政策文件
C. 乏對最終用戶的安全政策培訓
D. 乏信息安全治理框架
查看答案
正確答案: A
問題 #49
某企業正在採用標準化的企業聊天信息技術,以幫助促進業務部門之間的溝通。以下哪項是與此計劃相關的重要任務?
A. 加安保和業務人員,爲技術提供支持
B. 制有敏感信息的部門使用該技術
C. 查有關新技術的現行組織政策
D. 制加密聊天通信
查看答案
正確答案: C
問題 #50
以下哪項對信息安全計劃的成功最爲重要?
A. 全意識培訓
B. 實現的目標和目的
C. 級管理層的贊助
D. 足的啓動預算和人員配備
查看答案
正確答案: C
問題 #51
新上任的信息安全經理發現,離職員工的賬戶清理工作每年只進行一次。
A. 計並記錄新流程。
B. 新安全策略。
C. 行風險評估。
D. 高級管理層報告問題。
查看答案
正確答案: C
問題 #52
信息安全經理在評估變更請求時,應確保以下哪項最重要?
A. 請由流程所有者批准。
B. 求增加業務價值。
C. 餘風險在風險承受範圍之內。
D. 制定應急計劃。
查看答案
正確答案: D
問題 #53
以下哪項是防止內部用戶修改敏感和機密信息的最有效解決方案?
A. 線安全標準
B. 統訪問違規記錄
C. 於角色的訪問控制
D. 出例行程序
查看答案
正確答案: C
問題 #54
以下哪個角色主要負責確定特定信息資產的信息分類級別?
A. 理
B. 管人
C. 戶
D. 主
查看答案
正確答案: D
問題 #55
信息安全指導小組應
A. 提供總體監督和指導。
B. 制定信息安全政策。
C. 建立信息安全基線。
D. 監督安全計劃的日常運作。
查看答案
正確答案: A
問題 #56
以下哪項是向高級管理層證明組織安全實踐符合行業標準的最佳方法?
A. 立評估的結果
B. 新的政策和程序文件
C. 於控制措施成熟度的報告
D. 否存在業界認可的框架
查看答案
正確答案: A
問題 #57
在部署新電子郵件系統的過程中,信息安全經理希望確保信息在傳輸過程中的保密性。以下哪種方法最適合確保新電子郵件系統實施過程中的數據保密性?
A. 密
B. 字證書
C. 字籤名
D. 鞭打算法
查看答案
正確答案: A
問題 #58
如果具備以下條件,信息安全治理框架的有效性將得到 BEST 的增強:
A. 息系統審計員有權評估治理活動
B. 將風險管理納入業務和戰略活動中
C. 管理層倡導遵守法律法規的文化
D. 顧問審查信息安全治理框架
查看答案
正確答案: D
問題 #59
數據所有者必須提供安全可靠的環境,確保交易的保密性、完整性和可用性。這就是信息安全的一個例子:
A. 基準線。
B. 戰略。
C. 程序。
D. 政策。
查看答案
正確答案: D
問題 #60
某企業計劃實施文檔協作解決方案,讓員工共享公司信息。以下哪項是降低新解決方案相關風險的最重要控制措施?
A. 數據所有者分配寫入權限。
B. 許最少數量的用戶訪問解決方案。
C. 數據所有者定期進行用戶訪問審查。
D. 允許在解決方案中使用非敏感信息。
查看答案
正確答案: C
問題 #61
以下哪項能最好地增強防火牆的安全性?
A. 防火牆置於屏蔽子網中
B. 錄安全事件
C. 施變革控制做法
D. 供動態地址分配
查看答案
正確答案: B
問題 #62
當殘餘風險降至最低時:
A. 可接受的風險是可能的。
B. 轉移的風險是可以接受的。
C. 降低控制風險。
D. 風險是可以轉移的。
查看答案
正確答案: A
問題 #63
當一個新安裝的跨多個系統和平臺同步密碼的系統在沒有警告的情況下異常終止時,以下哪項應首先自動發生?
A. 火牆應在中斷期間阻止所有入站流量
B. 有系統都應阻止新的登錄,直到問題得到糾正
C. 問控制應退回到無同步模式
D. 統日誌應記錄所有用戶活動,以便日後分析
查看答案
正確答案: C
問題 #64
風險接受是以下哪項內容的組成部分?
A. 估
B. 解
C. 估
D. 測
查看答案
正確答案: B
問題 #65
誰對組織的信息負最終責任?
A. 據保管人
B. 席信息安全官(CISO)
C. 事會
D. 席信息官(CIO)
查看答案
正確答案: C
問題 #66
以下哪項是確定組織信息安全狀況的首要任務?
A. 立資產清單
B. 出管理權限
C. 定安全標準
D. 成威脅評估
查看答案
正確答案: C
問題 #67
以下哪項是確定信息安全計劃是否符合組織業務目標的最佳方法?
A. 施績效措施。
B. 據國際安全標準進行審查。
C. 行業務影響分析 (BIA)。
D. 展全企業範圍的年度安全評估。
查看答案
正確答案: A
問題 #68
以下哪些風險最好使用定量風險評估技術進行評估?
A. 戶數據被盜
B. 電
C. 黑客破壞的網站
D. 件開發團隊的損失
查看答案
正確答案: B
問題 #69
以下哪項對信息安全經理定期向高級管理層報告最爲重要?
A. 透測試結果
B. 計報告
C. 補救風險的影響
D. 脅分析報告
查看答案
正確答案: C
問題 #70
風險應對戰略的首要目標應該是
A. 減少威脅。
B. 遵守法規。
C. 高級管理層的支持。
D. 適當的控制選擇。
查看答案
正確答案: A
問題 #71
建立信息安全管理框架的主要目的應是
A. 調整信息安全戰略和投資,以支持組織活動
B. 根據信息安全目標調整公司治理、活動和投資
C. 確立將信息安全戰略整合到組織工作中的業務案例
D. 記錄並宣傳信息安全計劃如何在組織內發揮作用
查看答案
正確答案: A
問題 #72
以下哪項控制措施能最有效地合理保證使用生物識別設備控制的無人值守機房的物理訪問合規?
A. 期審查訪問控制列表
B. 衛護送來訪者
C. 口的訪客登記簿
D. 物識別技術與密碼相結合
查看答案
正確答案: A
問題 #73
在制定災難恢復計劃時,以下哪項是最需要考慮的?
A. 務連續性計劃(BCP)
B. 務影響分析(BIA)
C. 本效益分析
D. 行性評估
查看答案
正確答案: B
問題 #74
評估防火牆有效性的最佳指標是:
A. 阻止的攻擊次數。
B. 丟棄的數據包數量。
C. 平均吞吐率。
D. 防火牆規則的數量。
查看答案
正確答案: A
問題 #75
以下哪項最有利於監測整個組織的風險?
A. 透測試
B. 鍵風險指標(KRI)
C. 脅評估
D. 險偏好趨勢
查看答案
正確答案: B
問題 #76
以下哪項是資產分類的最佳標準?
A. 產的市場價值
B. 期年損失率(ALE)
C. 產相對於組織的價值
D. 復時間目標(RTO)
查看答案
正確答案: C
問題 #77
以下哪種方法是將安全集成到應用程序開發中最有效的方法?
A. 定安全要求
B. 行漏洞掃描
C. 安全性納入用戶驗收測試籤核
D. 行開發安全模型
查看答案
正確答案: A
問題 #78
以下哪項能爲高級管理層提供最佳信息,以更好地了解組織的信息安全風險狀況?
A. 響業務運營的情景
B. 斷客戶服務的情況
C. 響業務目標的情景
D. 有貨幣影響的情景
查看答案
正確答案: C
問題 #79
以下哪項最能說明信息安全已納入公司治理?
A. 接向安全管理員報告新漏洞。
B. 大事件上報執行管理層。
C. 期審查安全政策文件。
D. 行政人員進行有關當前信息安全主題的培訓。
查看答案
正確答案: D
問題 #80
關於遵守新監管要求的影響,可能會導致應用系統的重大變更,應從以下方面獲得主要指導:
A. 企業內部審計員。
B. 統開發人員/分析人員。
C. 關鍵業務流程所有者。
D. 公司法律顧問。
查看答案
正確答案: C
問題 #81
一個組織擁有兩個直接連接到互聯網和同一 DMZ 的獨立防火牆的最佳理由是:
A. 提供深入的辯護。
B. 測試和生產分開。
C. 允許流量負載平衡。
D. 防止拒絕服務攻擊。
查看答案
正確答案: C
問題 #82
以下哪些流程可用於修復已識別的技術漏洞?
A. 行基線配置
B. 行風險評估
C. 行業務影響分析(BIA)
D. 行自動掃描儀
查看答案
正確答案: B
問題 #83
信息安全團隊已確定需要額外的安全解決方案來加強組織的安全狀況。信息安全經理應該採取什麼措施來推進這項計劃?
A. 估現有產品
B. 建業務案例
C. 始選擇供應商
D. 動供應商盡職調查
查看答案
正確答案: B
問題 #84
企業必須遵守最近公布的行業監管要求,而遵守這些要求可能會產生高昂的實施成本。信息安全經理首先應該做什麼?
A. 立安全委員會。
B. 行差距分析。
C. 施補償控制。
D. 求立即遵守。
查看答案
正確答案: B
問題 #85
當信息安全指導委員會中沒有用戶管理代表時,MAIN 風險是什麼?
A. 有充分考慮功能要求。
B. 戶培訓計劃可能不足。
C. 配給業務單位的預算不合適。
D. 息安全計劃與業務要求不一致
查看答案
正確答案: D
問題 #86
以下哪項是確保安全政策與組織業務實踐相關的最有效方法?
A. 合行業最佳做法
B. 得高級管理層的批准
C. 行全組織範圍的安全審計
D. 用安全指導委員會的貢獻
查看答案
正確答案: D
問題 #87
完成全面 IT 風險評估後,誰能 BEST 決定應實施哪些緩解控制措施?
A. 級管理層
B. 務經理
C. 息技術審計經理
D. 息安全官(ISO)
查看答案
正確答案: B
問題 #88
一位首席執行官要求使用不符合組織政策的移動設備訪問公司文件。信息安全經理應
A. 評估第三方解決方案。
B. 部署額外的安全控制。
C. 評估業務風險。
D. 啓動例外情況審批程序。
查看答案
正確答案: C
問題 #89
最重要的是,信息安全管理人員要確保進行安全風險評估:
A. 貫穿整個企業
B. 在根本原因分析期間
C. 作爲安全業務論證的一部分
D. 應對威脅環境
查看答案
正確答案: A
問題 #90
讓最終用戶參與連續性規劃的主要優勢在於:
A. 比信息安全管理更客觀。
B. 可以平衡技術風險和商業風險。
C. 更好地了解具體業務需求。
D. 可以看到對業務的總體影響。
查看答案
正確答案: B
問題 #91
高級管理層批准信息安全戰略後,信息安全經理的下一個步驟應該是以下哪項?
A. 定安全政策。
B. 制預算。
C. 行差距分析。
D. 建指導委員會。
查看答案
正確答案: A
問題 #92
以下哪項最有助於爲信息安全計劃的業務案例爭取支持?
A. 示組織一致性
B. 調對組織的威脅
C. 考控制缺陷
D. 交解決方案比較矩陣
查看答案
正確答案: A
問題 #93
在開發存儲高度機密數據的關鍵系統過程中,信息安全經理應主要關注以下哪項?
A. 保殘餘風險量可接受
B. 少檢測到的漏洞數量
C. 免已查明的系統威脅
D. 守監管要求
查看答案
正確答案: D
問題 #94
以下哪種情況最妨礙安全治理的有效實施?
A. 術的複雜性
B. 算限制
C. 務優先事項的衝突
D. 級別贊助
查看答案
正確答案: D
問題 #95
以下哪項是將信息安全納入公司治理的最佳方法?
A. 請外部安全顧問參與安全舉措。
B. 主要利益相關者進行全面的信息安全管理培訓。
C. 保信息安全流程成爲現有管理流程的一部分。
D. 求定期進行安全風險評估。
查看答案
正確答案: C
問題 #96
以下哪種方法最有可能確保將風險管理納入業務生命周期流程?
A. 期進行風險評估
B. 安全風險納入企業風險管理
C. 風險管理納入軟件開發生命周期
D. 解企業管理層的風險承受能力
查看答案
正確答案: B
問題 #97
以下哪種方法是確保風險管理計劃整體有效性的最佳方法?
A. 戶對變化的評估
B. 劃成果與行業標準的比較
C. 織內部的風險分配
D. 織所有成員的參與
查看答案
正確答案: D
問題 #98
爲確保有效實施信息安全治理,應優先考慮以下哪項?
A. 詢
B. 判
C. 進
D. 劃
查看答案
正確答案: D
問題 #99
在評估組織可能受新隱私立法影響的程度時,信息安全管理部門應考慮以下因素
A. 制定一項業務計劃,以實現對立法的遵守。
B. 確定包含隱私內容的系統和流程。
C. 限制個人信息的收集,直到符合要求爲止。
D. 確定其他國家可能包含類似要求的隱私立法。
查看答案
正確答案: B
問題 #100
當員工使用社交媒體時,以下哪項是與組織最相關的風險因素?
A. 從多個地點訪問社交媒體。
B. 交媒體提供了一個可以承載網絡攻擊的平臺。
C. 交媒體可用於收集攻擊情報。
D. 交媒體提高了風險速度和威脅能力。
查看答案
正確答案: C
問題 #101
以下哪項是信息安全經理防範零時差攻擊的最佳方法?
A. 行業務影響分析 (BIA)。
B. 天進行漏洞掃描。
C. 置病毒防護軟件的每日運行。
D. 施基於啟發式的監控工具。
查看答案
正確答案: D
問題 #102
管理層對信息安全預算提案中若干項目的必要性提出質疑。在提交預算之前,以下哪項最有幫助?
A. 行業競爭對手的信息安全工作爲基準
B. 信息安全服務供應商那裡獲得更優惠的價格
C. 交一份關於當前組織所面臨威脅的報告
D. 管理層傳授信息安全最佳做法
查看答案
正確答案: C
問題 #103
在風險評估過程中對威脅進行優先排序時,以下哪項最重要?
A. 威脅系統的關鍵性
B. 利用漏洞的嚴重程度
C. 業務的潛在影響
D. 脅行爲者的能力
查看答案
正確答案: A
問題 #104
在確定信息安全治理計劃的有效性時,以下哪項最重要?
A. 鍵績效指標(KPI)
B. 鍵風險指標(KRI)
C. 熟度模型
D. 險容忍度
查看答案
正確答案: A
問題 #105
在資產分類和控制中,哪個計劃要素應首先實施?
A. 險評估
B. 類
C. 值
D. 險緩解
查看答案
正確答案: C
問題 #106
使用 BEST 可以確保不可抵賴性:
A. 強密碼。
B. 數字哈希。
C. 對稱加密。
D. 數字籤名。
查看答案
正確答案: D
問題 #107
在確定組織內的理想安全狀態時,以下哪項應作爲主要輸入?
A. 接受的風險水平
B. 預期損失
C. 部審計結果
D. 務影響程度
查看答案
正確答案: D
問題 #108
以下哪項可以確定信息安全管理流程偏離了公認的良好實踐標準?
A. 險評估
B. 務影響分析(BIA)
C. 透測試
D. 距分析
查看答案
正確答案: D
問題 #109
以下哪項是信息安全指導委員會的首要職責?
A. 定與企業和信息技術戰略相一致的安全政策
B. 查尚未實現效益的業務案例
C. 定與新安全舉措相關的風險
D. 安全舉措制定和提出業務案例
查看答案
正確答案: A
問題 #110
一家網上銀行機構擔心,由於需要通知和賠償個人信息可能被泄露的客戶,客戶個 人信息泄露將產生重大財務影響。該機構認爲殘餘風險始終過高,並決定:
A. 通過購買保險減輕影響。
B. 實施電路級防火牆來保護網絡。
C. 提高現有安全措施的復原力。
D. 實施實時入侵檢測系統。
查看答案
正確答案: A
問題 #111
在採用信息安全框架後,信息安全經理正與高級管理層合作,以改變整個組織認爲信息安全僅僅是信息安全部門職責的觀念。爲實現這一目標,信息安全經理的 FIRST 計劃應該是什麼?
A. 定一項業務計劃,爲信息安全項目提供最佳做法。
B. 高級管理層的支持下,開展信息安全意識活動。
C. 錄並公布信息安全部門的職責。
D. 施正式程序,定期進行合規審查。
查看答案
正確答案: B
問題 #112
一個基於網絡的業務應用程序正在從測試向生產遷移。以下哪項是此次遷移最重要的管理籤核?
A. 戶
B. 絡
C. 務
D. 據庫
查看答案
正確答案: A
問題 #113
信息安全經理通過強調以下幾點,可獲得高級管理層對信息安全的承諾和支持:
A. 組織風險。
B. 全組織範圍的衡量標準。
C. 安全需求。
D. 組織單位的職責。
查看答案
正確答案: A
問題 #114
信息安全管理人員使用安全指標來衡量:
A. 信息安全計劃的績效。
B. 安全基線的性能。
C. 安全風險分析的有效性。
D. 事件應對小組的有效性。
查看答案
正確答案: A
問題 #115
在社會工程情景中,以下哪項最有可能降低未經授權的個人訪問計算機資源的可能性?
A. 屏幕上屏蔽密碼
B. 期開展安全意識計劃
C. 加密碼更改頻率
D. 求對密碼嚴格保密
查看答案
正確答案: B
問題 #116
以下哪項能最好地解決數據泄漏的風險?
A. 件備份程序
B. 據庫完整性檢查
C. 接受使用政策
D. 件應對程序
查看答案
正確答案: C
問題 #117
某組織的一項重大採購建議和新流程的風險評估和業務影響分析(BIA)已經完成。信息安全經理和負責流程的業務部門經理對結果和指定風險存在分歧。以下哪種方法是信息安全經理的最佳方法?
A. 受業務經理關於公司風險的決定
B. 受信息安全管理人員關於公司風險的決定
C. 執行管理層一起審查評估結果,徵求最終意見
D. 要新的風險評估和 BIA 來解決分歧
查看答案
正確答案: C
問題 #118
完成風險行動計劃後,以下哪項評估最爲重要?
A. 脅概況
B. 有風險
C. 餘風險
D. 弱性狀況
查看答案
正確答案: A
問題 #119
在評估數據時,定量風險分析是最合適的:
A. 包括客戶的看法。
B. 包含百分比估算。
C. 不包含具體細節。
D. 包含主觀信息。
查看答案
正確答案: B
問題 #120
以下哪項 BEST 可以防止前僱員的惡意活動?
A. 業前篩選
B. 切監控用戶
C. 期提高認識培訓
D. 效的終止程序
查看答案
正確答案: D
問題 #121
一位信息安全經理計劃購買一套移動設備管理 (MDM) 系統,以管理員工用於訪問公司電子郵件的個人設備。以下哪項最重要?
A. 本效益分析
B. 查明的風險和減輕風險的控制措施
C. 業最佳做法基準結果
D. 息安全相關指標
查看答案
正確答案: A
問題 #122
在組織採用新興技術時,以下哪項是建立既定信息安全治理框架的主要優勢?
A. 定了新興技術戰略
B. 立有效的安全風險管理流程
C. 定最終用戶對新興技術的接受程度
D. 本效益分析過程更容易進行
查看答案
正確答案: B
問題 #123
以下哪項最有可能包含在企業安全策略中?
A. 責任定義
B. 保留時間表
C. 系統訪問規範
D. 組織風險
查看答案
正確答案: A
問題 #124
開發新應用程序時,以下哪種方法是確保符合安全要求的最佳方法?
A. 開發人員提供安全培訓。
B. 定詳細的驗收標準。
C. 持變革管理流程。
D. 行安全漏洞分析。
查看答案
正確答案: B
問題 #125
以下哪項是解決與使用外包技術服務提供商有關的風險的最佳方法?
A. 查網絡責任保險。
B. 施供應商管理計劃。
C. 求管理層批准供應商的選擇。
D. 籤訂合同時對供應商進行盡職調查。
查看答案
正確答案: B
問題 #126
以下哪項是調整安全和業務戰略的最佳方法?
A. 安全風險作爲企業風險管理的一部分。
B. 定安全平衡計分卡。
C. 過安全流程制定業務關鍵績效指標(KPI)。
D. 信息安全治理納入公司治理。
查看答案
正確答案: C
問題 #127
以下哪項對信息安全經理向高級管理層傳達安全計劃最爲重要?
A. 在風險和風險點
B. 響分析結果
C. 全架構變化
D. 戶角色和責任
查看答案
正確答案: B
問題 #128
將安全信息和事件管理(SIEM)解決方案與 IDS、反惡意軟件和電子郵件篩查解決方案等傳統安全工具集成,以下哪項好處最大?
A. 除假陽性檢測
B. 低運營成本
C. 高對潛在威脅模式的可見度
D. 工具整合到一個控制臺中
查看答案
正確答案: D
問題 #129
以下哪項活動最有可能增加完全清除未立即檢測到的惡意代碼的難度?
A. 補丁
B. 改訪問規則
C. 級硬件
D. 份文件
查看答案
正確答案: D
問題 #130
信息安全經理正在審查一個進入開發階段的安全項目的商業案例。信息安全經理的最佳建議是:
A. 從項目範圍中取消部分控制措施。
B. 中止項目,騰出資金用於其他工作。
C. 繼續實施該項目,直到收益抵消成本。
D. 放慢項目進度,將成本分攤到更長的時間內。
查看答案
正確答案: A
問題 #131
以下哪項對成功推廣良好的安全管理做法最爲重要?
A. 全指標
B. 全基線
C. 理支持
D. 期培訓
查看答案
正確答案: C
問題 #132
以下哪項是防止嗅探的最佳方法?
A. 碼保護文件
B. 施動態 IP 地址方案
C. 密傳輸的數據
D. 置靜態強制訪問控制 (MAC) 地址
查看答案
正確答案: C
問題 #133
以下哪項是隱私法規的主要重點?
A. 限制數據挖掘
B. 份盜竊
C. 護人權
D. 識別的個人數據
查看答案
正確答案: D
問題 #134
以下哪項是 ISO 27001 框架的關鍵領域?
A. 務風險評估
B. 融犯罪衡量標準
C. 力管理
D. 務連續性管理
查看答案
正確答案: D
問題 #135
以下哪項是信息安全戰略中最重要的要素?
A. 定的目標
B. 付時限
C. 用控制框架
D. 整的政策
查看答案
正確答案: A
問題 #136
以下哪項是持續監控信息風險最重要的原因?
A. 險狀況會隨着時間的推移而變化。
B. 以驗證控制措施的有效性。
C. 以最大限度地降低控制成本。
D. 以識別風險評估錯誤。
查看答案
正確答案: A
問題 #137
當客戶數據遭到泄露時,企業應聯繫執法部門:
A. 如果攻擊來自國際來源。
B. 根據信息安全經理的指示。
C. 如果對組織有潛在影響。
D. 根據企業傳播政策。
查看答案
正確答案: D
問題 #138
信息安全經理被要求提供證據,證明組織履行了保護個人身份信息 (PII) 的法律義務。
A. 計劃成效有關的衡量標準
B. 面政策和標準
C. 私意識培訓
D. 私相關應用程序的風險評估
查看答案
正確答案: A
問題 #139
以下哪項對確保組織的網絡安全計劃滿足業務需求最爲重要?
A. 息安全意識培訓
B. 息安全衡量標準
C. 險評估計劃
D. 息安全治理
查看答案
正確答案: D
問題 #140
在風險評估中,在確定組織資產面臨的威脅之後,信息安全經理將
A. 評估現有的控制措施。
B. 實施控制,以達到目標風險水平。
C. 申請安全計劃資金。
D. 確定應向上級管理層報告的威脅。
查看答案
正確答案: A
問題 #141
滿足個人數據國際流動要求的安全管理人員需要確保:
A. 數據處理協議。
B. 數據保護登記。
C. 數據主體的同意。
D. 主題訪問程序。
查看答案
正確答案: C
問題 #142
在恢復時間目標(RTO)很短的情況下,以下哪個站點最合適?
A. 暖
B. 餘
C. 享
D. 動電話
查看答案
正確答案: A
問題 #143
以下哪項是在組織內部建立信息安全管理的最重要前提?
A. 級管理層的承諾
B. 息安全框架
C. 息安全組織結構
D. 息安全政策
查看答案
正確答案: A
問題 #144
以下哪項最有助於制定一系列恢復時間目標(RTO)?
A. 距分析
B. 歸分析
C. 險分析
D. 務影響分析
查看答案
正確答案: D
問題 #145
以下哪項可使電子交易符合不可抵賴性政策要求?
A. 字證書
B. 字籤名
C. 密密碼
D. 次性密碼
查看答案
正確答案: B
問題 #146
以下哪項可提供電子交易的不可抵賴性?
A. 因素身份驗證
B. 期重新認證
C. 三方證書
D. 據確認
查看答案
正確答案: C
問題 #147
進行定期風險評估最重要的原因是
A. 風險評估並不總是精確的。
B. 安全風險經常變化。
C. 審查人員可以優化和降低控制成本。
D. 向高級管理層證明安全職能可以增加價值。
查看答案
正確答案: B
問題 #148
在進行信息風險分析時,信息安全經理應首先:
A. 確定資產所有權。
B. 評估資產風險。
C. 盤點資產。
D. 對資產進行分類。
查看答案
正確答案: C
問題 #149
有哪些機制可用於識別會給攻擊者提供入侵計算機系統機會的缺陷?
A. 務影響分析
B. 全漏洞分析
C. 統性能指標
D. 件響應流程
查看答案
正確答案: B
問題 #150
信息安全計劃應由以下方面發起:
A. 基礎設施管理。
B. 公司審計部門。
C. 關鍵業務流程所有者。
D. 信息安全管理。
查看答案
正確答案: C
問題 #151
以下哪個領域最容易出現安全漏洞?
A. 據庫管理
B. 帶備份管理
C. 置管理
D. 件響應管理
查看答案
正確答案: C
問題 #152
誰能以最佳方式倡導制定信息安全計劃並確保其取得成功?
A. 部審計員
B. 席運營官(COO)
C. 導委員會
D. 息技術管理
查看答案
正確答案: C
問題 #153
在實施信息安全治理的過程中,信息安全經理主要負責
A. 制定安全戰略。
B. 審查安全戰略。
C. 宣傳安全戰略。
D. 批准安全戰略
查看答案
正確答案: A
問題 #154
BEST 可以通過以下方式對移動用戶訪問敏感的內網應用程序進行控制:
A. 數據加密。
B. 數字籤名。
C. 強密碼。
D. 雙因素身份驗證。
查看答案
正確答案: D
問題 #155
由於預算限制,一個內部 IT 應用程序沒有包含必要的控制措施來滿足客戶服務級別協議 (SLA)。
A. 不足之處通知法律部門。
B. 析並向高級管理層報告問題。
C. 求應用程序所有者實施控制。
D. 估並向應用程序所有者提出風險。
查看答案
正確答案: D
問題 #156
以下哪項是防禦暴力破解攻擊的最佳方法?
A. 情訪問控制
B. 侵檢測鎖定
C. 間限制
D. 制訪問控制
查看答案
正確答案: C
問題 #157
確保企業對客戶(B2C)金融網絡應用程序傳輸機密性的最佳協議是
A. 全套接字層(SSL)。
B. 全外殼 (SSH)。
C. P 安全(IPSec)。
D. 全/多用途互聯網郵件擴展(S/MIME)。
查看答案
正確答案: A
問題 #158
在評估信息價值時,以下哪項最重要?
A. 在的經濟損失
B. 新創建信息的成本
C. 險費用
D. 管要求
查看答案
正確答案: A
問題 #159
當企業招聘新的信息安全經理時,此人應首先實現以下哪個目標?
A. 發安全架構
B. 指導委員會成員建立良好的溝通
C. 建一支經驗豐富的工作人員隊伍
D. 同行組織爲基準
查看答案
正確答案: B
問題 #160
基於變化檢測的殺毒軟件方案的一個優勢是它們具有
A. 有機會檢測到當前和未來的病毒株。
B. 更靈活的病毒特徵目錄。
C. 更新頻率低於活動監視器。
D. 避免誤報的概率最高。
查看答案
正確答案: A
問題 #161
針對業務流程所有者的安全培訓計劃應主要包括以下哪些內容?
A. 全風險的影響
B. 用程序漏洞
C. 用程序恢復時間
D. 告的安全事件清單
查看答案
正確答案: A
問題 #162
以下哪種方法是識別不遵守法律、法規和合同要求問題的最佳方法?
A. 險評估
B. 務影響分析(BIA)
C. 弱性評估
D. 距分析
查看答案
正確答案: D
問題 #163
在審查批准滲透測試計劃的過程中,信息安全經理應主要關注以下哪項?
A. 透測試團隊偏離範圍
B. 經授權使用行政公用設施
C. 運行人員發出假陽性警報
D. 生產系統的影響
查看答案
正確答案: D
問題 #164
在高度管制行業的信息安全項目商業案例中,以下哪項信息最爲重要?
A. 規風險評估
B. 要審計結果
C. 業比較分析
D. 告的安全事件數量
查看答案
正確答案: A
問題 #165
以下哪項是評估入侵檢測機制有效性的最佳指標?
A. 測到的攻擊次數
B. 功攻擊次數
C. 陽性與假陰性之比
D. 功攻擊與失敗攻擊之比
查看答案
正確答案: C
問題 #166
某組織正在爲一個託管多個應用程序的數據中心制定災難恢復計劃。BEST 將通過以下分析確定應用程序恢復順序:
A. 鍵績效指標(KPI)
B. 復時間目標(RTO)
C. 復點目標(RPO)
D. 據分類方案
查看答案
正確答案: B
問題 #167
以下哪項是制定業務連續性計劃 (BCP) 的第一步?
A. 定恢復時間目標(RTO)最短的應用程序
B. 定業務恢復戰略
C. 定關鍵業務流程
D. 定可用資源
查看答案
正確答案: C
問題 #168
以下哪種方法是公司降低因員工自有設備訪問公司電子郵件系統而導致數據丟失風險的最佳方法?
A. 自帶設備 (BYOD) 政策與現行的員工紀律政策掛鈎。
B. 求員工在允許訪問企業電子郵件服務之前接受培訓。
C. 求員工在個人設備上安裝可靠的移動防病毒解決方案。
D. 用移動設備管理 (MDM) 解決方案隔離本地企業電子郵件存儲。
查看答案
正確答案: D
問題 #169
在選擇安全技術時,應首先考慮其:
A. 降低業務風險的能力。
B. 行業出版物的評價。
C. 使用新興技術。
D. 效益與成本的比較。
查看答案
正確答案: A
問題 #170
以下哪項最有助於確保組織的安全計劃與業務目標保持一致?
A. 全政策由首席信息官審查和批准。
B. 全戰略由組織的執行委員會審查和批准。
C. 織的董事會中有一名專門的信息安全專家。
D. 目經理每年都要接受信息安全意識培訓。
查看答案
正確答案: B
問題 #171
以下哪項是計算機系統外部入侵成功的最佳指標?
A. DMZ 內意外使用協議。
B. 形 URL 意外增加。
C. 少登錄失敗的次數。
D. 錄失敗次數激增。
查看答案
正確答案: A
問題 #172
信息安全經理應建立以下哪項 FIRST 以確保安全相關活動得到充分監控?
A. 部報告渠道
B. 保職能問責制
C. 期安全評估
D. 期審查計算機系統日誌
查看答案
正確答案: A
問題 #173
風險管理計劃最重要的功能是:
A. 量化總體風險。
B. 儘量減少殘餘風險。
C. 消除內在風險。
D. 使所有年化損失預期值(ALEs)之和最大化。
查看答案
正確答案: B
問題 #174
在確定可接受的風險水平時,以下哪項是最重要的考慮因素?
A. 統關鍵性
B. 弱性評分
C. 險矩陣
D. 脅概況
查看答案
正確答案: A
問題 #175
誰最有資格確定業務應用程序的恢復點目標(RPO)?
A. 務連續性協調員
B. 席運營官(COO)
C. 息安全管理員
D. 部審計
查看答案
正確答案: B
問題 #176
在制定全公司業務連續性計劃時,發現有兩個獨立的業務系統可能會受到相同威脅的影響。以下哪種方法是確定災難發生時系統恢復優先級的最佳方法?
A. 估每個系統停運的相關成本
B. 查各部門的業務計劃
C. 較恢復點目標(RPO)
D. 查每個系統的關鍵績效指標 (KPI)
查看答案
正確答案: A
問題 #177
確保合同程序員遵守組織安全策略的最佳方法是什麼?
A. 安全標準中明確提及承包商
B. 承包商書面認可安全政策
C. 合同協議中規定對違約行爲的懲罰措施
D. 期對承包商進行安全審查
查看答案
正確答案: D
問題 #178
以下哪項是建立風險意識文化的最佳方法?
A. 期更改風險意識信息。
B. 確保及時向整個組織通報威脅。
C. 定期測試安全控制的合規性並公布結果。
D. 制定激勵措施,建立員工報告風險的渠道。
查看答案
正確答案: C
問題 #179
信息安全經理正在制定一項新的信息安全戰略。以下哪項職能是審查該戰略並爲業務調整提供指導的最佳資源?
A. 部審計
B. 導委員會
C. 律部門
D. 事會
查看答案
正確答案: B
問題 #180
在爲事件響應測試製定桌面測試計劃時,情景的主要目的應該是: 1:
A. 讓企業衡量組織的整體準備情況
B. 爲參與者提供情境,確保他們了解自己的角色
C. 作爲事件響應小組的一部分,衡量管理層的參與情況
D. 挑戰事件響應團隊在壓力下解決問題的能力
查看答案
正確答案: C
問題 #181
信息安全計劃的制定應主要基於以下幾點
A. 批准的信息安全戰略。
B. 批准的風險管理方法。
C. 數據安全監管要求。
D. 高級管理層的意見。
查看答案
正確答案: A
問題 #182
在進行風險評估時,應首先執行以下哪個步驟?
A. 定企業資產
B. 定業務風險
C. 估脆弱性
D. 估關鍵控制措施
查看答案
正確答案: A
問題 #183
內部審計報告了一些不符合監管要求的信息安全問題。信息安全經理應立即採取哪些措施?
A. 建安全例外
B. 行漏洞評估
C. 行差距分析,確定所需資源
D. 估業務運營風險
查看答案
正確答案: C
問題 #184
在下列情況下,可接受的風險是可以實現的
A. 剩餘風險最小化。
B. 轉移風險最小化。
C. 控制風險最小化。
D. 內在風險最小化。
查看答案
正確答案: A
問題 #185
以下哪項是確定信息安全計劃是否符合公司治理的最佳方法?
A. 估安全舉措的供資情況
B. 查最終用戶對公司治理的看法
C. 查信息安全政策
D. 查平衡計分卡
查看答案
正確答案: C
問題 #186
在評估敏感數據處理供應商時,以下哪項應作爲確保提供正確級別信息安全的第一步?
A. 供應商合同中加入信息安全條款。
B. 查潛在供應商的第三方報告。
C. 信息安全標準作爲選擇供應商的一部分。
D. 定供應商業績衡量標準。
查看答案
正確答案: C
問題 #187
以下哪項能最好地確保組織內信息安全治理的成功?
A. 導委員會批准安全項目
B. 所有管理人員提供安全政策培訓
C. 內聯網上向所有員工提供安全培訓
D. 導委員會強制執行法律法規
查看答案
正確答案: A
問題 #188
在確定影響信息安全的法律法規問題時,以下哪項是制定信息安全政策的最佳方法?
A. 對每項條例制定單獨的政策
B. 定符合所有法定要求的政策
C. 入監管機構提供的政策聲明
D. 定合規風險評估
查看答案
正確答案: B
問題 #189
爲確保對 IT 系統處理的信息進行適當控制,安全保障措施應主要基於以下方面
A. 既定指導方針
B. 符合分類級別的標準
C. 有效的技術處理考慮因素
D. 整體信息技術能力和運行限制
查看答案
正確答案: A
問題 #190
某組織批准了自帶設備 (BYOD) 計劃。以下哪種方法是對個人設備實施應用程序控制的最有效方法?
A. 定移動設備可接受使用政策。
B. 施移動設備管理解決方案。
C. 育用戶使用經批准的應用程序。
D. 施網絡應用程序防火牆
查看答案
正確答案: B
問題 #191
電子商務訂單執行網絡服務器一般應放置在以下哪個位置?
A. 部網絡
B. 軍事區
C. 據庫服務器
D. 控制器
查看答案
正確答案: B
問題 #192
當信息安全經理得知某些安全控制措施的實施因預算限制而推遲時,他的最佳行動方案是什麼?
A. 據風險確定安全控制的優先級。
B. 安全控制申請預算例外。
C. 動風險接受程序。
D. 議成本較低的替代安全控制措施。
查看答案
正確答案: A
問題 #193
一位信息安全經理被要求向董事會簡要介紹組織當前的 IT 風險狀況。以下哪項內容最適合納入此次演示?
A. 險熱圖
B. 距分析結果
C. 脅評估結果
D. 險登記冊
查看答案
正確答案: A
問題 #194
在進行定性風險分析時,以下哪項 BEST 能得出可靠的結果?
A. 產力損失估計
B. 有威脅和影響的可能情景
C. 息資產的價值
D. 弱性評估
查看答案
正確答案: B
問題 #195
以下哪項是信息安全經理識別組織內信息安全政策合規性的最佳方法?
A. 析系統日誌。
B. 行安全意識測試。
C. 行漏洞評估。
D. 行定期審計。
查看答案
正確答案: D
問題 #196
在與組織的人力資源部門討論信息安全問題時,信息安全經理應重點關注以下方面的需求:
A. 爲安全計劃提供充足的預算。
B. 招聘信息技術技術僱員。
C. 定期風險評估。
D. 對員工進行安全意識培訓。
查看答案
正確答案: D
問題 #197
以下哪項是進行滲透測試時的主要關注點?
A. 據挖掘
B. 絡映射
C. 侵檢測系統(IDS)
D. 戶數據
查看答案
正確答案: B
問題 #198
在一個組織中,信息系統安全是下列人員的責任:
A. 所有人員。
B. 信息系統人員。
C. 信息系統安全人員。
D. 職能人員。
查看答案
正確答案: A
問題 #199
在高價值在線金融交易系統中,以下哪項特徵對銀行最爲重要?
A. 份識別
B. 密性
C. 份驗證
D. 計監督
查看答案
正確答案: B
問題 #200
一位信息安全經理了解到一項與信息安全有關的新國際標準。以下哪項是最佳行動方案?
A. 查業界同行對新標準的回應。
B. 標準對法規的適用性諮詢法律顧問。
C. 定組織是否能從採用新標準中獲益。
D. 新標準與現有做法之間的差距進行分析。
查看答案
正確答案: C
問題 #201
在對信息進行加密和數字籤名以保護貿易夥伴之間傳輸的文件時,最令人擔憂的是
A. 貿易夥伴可以拒絕信息的傳輸。
B. 黑客可以竊聽信息。
C. 貿易夥伴可以拒絕接收信息。
D. 黑客可以引入僞造信息。
查看答案
正確答案: D
問題 #202
以下哪種信息對獲得高級管理層對信息安全管理的承諾最爲有效?
A. 效的安全保障可消除業務風險
B. 用具有衡量標準的公認框架
C. 全是業務產品而不是流程
D. 全支持和保護業務
查看答案
正確答案: A
問題 #203
外包 IT 功能的服務級別協議 (SLA) 沒有反映出足夠的保護級別。在這種情況下,信息安全經理應
A. 確保提供商對損失負責。
B. 建議合同到期後不再續籤。
C. 建議立即終止合同。
D. 確定當前的安全級別。
查看答案
正確答案: D
問題 #204
在評估風險時,最重要的是:
A. 爲所有類型的資產提供平等的保障。
B. 使用類似組織的基準數據。
C. 同時考慮貨幣價值和損失的可能性。
D. 主要關注威脅和最近的業務損失。
查看答案
正確答案: C
問題 #205
制定信息安全管理計劃的第一步是:
A. 識別影響組織的業務風險。
B. 明確創建該計劃的組織目的。
C. 分配計劃的責任。
D. 評估控制措施是否足以減輕業務風險。
查看答案
正確答案: B
問題 #206
以下哪種方式是高層領導展示有效信息安全戰略承諾的最佳方式?
A. 命信息安全最高負責人,向首席執行官匯報工作
B. 傳組織的風險偏好和容忍度
C. 准全面風險管理計劃
D. 信息安全分配充足的資源
查看答案
正確答案: D
問題 #207
信息安全官注意到一項關於保護特定類型交易處理的信息的新規定。信息安全官員應
A. 與利益相關者會面,決定如何遵守。
B. 分析合規過程中的主要風險。
C. 評估現有控制措施是否符合規定。
D. 更新現有的安全/隱私政策。
查看答案
正確答案: C
問題 #208
從信息安全的角度看,不再支持業務主要目的的信息應予以刪除:
A. 根據保留政策進行分析。
B. 受信息分類政策保護。
C. 根據備份策略進行分析。
D. 受業務影響分析(BIA)的保護。
查看答案
正確答案: A
問題 #209
以下哪項要求在信息安全中的優先級最低?
A. 術
B. 管
C. 私
D. 務
查看答案
正確答案: A
問題 #210
限制系統管理員的只讀訪問權限對以下哪項最重要?
A. 理員用戶配置文件
B. 統日誌記錄選項
C. 戶訪問日誌文件
D. 理員日誌文件
查看答案
正確答案: D
問題 #211
隱私政策最重要的組成部分是
A. 通知。
B. 保證。
C. 負債。
D. 地理覆蓋範圍。
查看答案
正確答案: A
問題 #212
以下哪種措施能最有效地防範內部人員對機密信息的威脅?
A. 於角色的訪問控制
B. 計跟蹤監測
C. 私政策
D. 深防禦
查看答案
正確答案: A
問題 #213
以下哪項是信息安全指導委員會的主要職責?
A. 查信息安全戰略
B. 准信息安全意識培訓戰略
C. 析信息安全政策合規審查
D. 准購買信息安全技術
查看答案
正確答案: A
問題 #214
當信息安全經理得知與第三方的現有合同沒有明確規定保護組織關鍵數據的要求時,他的 BEST 建議是什麼?
A. 現有合同創建一個附錄。
B. 消外包合同。
C. 風險轉嫁給提供方。
D. 提供商的數據中心進行外部審計。
查看答案
正確答案: A
問題 #215
在讓第三方對組織進行攻擊和滲透測試之前,最重要的行動是確保:
A. 第三方在測試系統上進行演示。
B. 目標和目的明確。
C. 已向技術人員簡要介紹了預期情況。
D. 對生產服務器進行特殊備份。
查看答案
正確答案: B
問題 #216
以下哪項是桌面檢查業務連續性計劃 (BCP) 的主要優勢?
A. 估備份硬件的可用性和兼容性
B. 許管理層和信息技術部門更多地參與
C. 保就注意到的問題開展適當的後續工作
D. 供一種低成本的方法來評估 BCP 的完整性
查看答案
正確答案: C
問題 #217
安全意識培訓最有可能導致以下哪種情況?
A. 侵事件減少
B. 告事件的增加
C. 全政策變動減少
D. 反準入規則的情況增加
查看答案
正確答案: B
問題 #218
制定有效的信息安全政策應首先基於以下幾點
A. 行業最佳做法
B. 實施成本
C. 組織的風險狀況
D. 執行的難易程度
查看答案
正確答案: C
問題 #219
以下哪項是對合同進行信息安全審查的最重要原因?幫助確保
A. 協議各方可以履行。
B. 協議中不包括保密數據。
C. 包括適當的控制措施。
D. 審計權是一項要求。
查看答案
正確答案: C
問題 #220
以下哪項是確保有效實施信息安全計劃的最佳方法或技術?
A. 得董事會的支持。
B. 進信息安全意識計劃的內容。
C. 高員工對安全政策的認識。
D. 信息系統實施邏輯訪問控制。
查看答案
正確答案: A
問題 #221
以下哪項是信息安全風險分析最有用的成果?
A. 務影響分析(BIA)報告
B. 低風險的行動項目清單
C. 風險分配給流程負責人
D. 化組織風險
查看答案
正確答案: B
問題 #222
在設計提交給管理層的信息安全季度報告時,需要考慮的最重要因素應該是
A. 信息安全指標。
B. 分析每個問題所需的知識。
C. 與業務領域目標的聯繫。
D. 評估指標的基準。
查看答案
正確答案: C
問題 #223
以下哪項是評估安全意識計劃有效性的最有效方法?
A. 故後審查
B. 會工程學測試
C. 洞掃描
D. 面測試
查看答案
正確答案: B
問題 #224
某公司最近開發了一項突破性技術。由於這項技術可能會給公司帶來巨大的競爭優勢,以下哪項將由 FIRST 規定如何保護這些信息?
A. 問控制政策
B. 據分類政策
C. 密標準
D. 接受使用政策
查看答案
正確答案: B
問題 #225
以下哪項是信息安全治理委員會的主要職責?
A. 析信息安全政策合規審查
B. 准購買信息安全技術
C. 查信息安全戰略
D. 准信息安全意識培訓戰略
查看答案
正確答案: C
問題 #226
以下哪項對確保作爲企業網絡入口的無線網絡安全最有效?
A. 界路由器
B. 加密
C. 向互聯網的防火牆
D. 侵檢測系統(IDS)
查看答案
正確答案: B
問題 #227
在一個關鍵業務應用程序中發現了一個合規性問題,但修復該問題會嚴重影響業務運營。BEST 需要哪些信息才能讓高級管理層做出明智的決定?
A. 響分析和處理方案
B. 補償控制有關的成本
C. 業基準和最佳做法
D. 險評估結果和建議
查看答案
正確答案: A
問題 #228
以下哪項最能說明信息安全治理框架的目標已經實現?
A. 險儀錶板
B. 鍵績效指標(KPI)
C. 透測試結果
D. 衡計分卡
查看答案
正確答案: D
問題 #229
以下哪項是說服管理層投資信息安全計劃的最佳理由?
A. 低成本
B. 守公司政策
C. 護企業資產
D. 加業務價值
查看答案
正確答案: D
問題 #230
在恢復幾臺服務器的過程中,一個爲外部客戶提供服務的關鍵流程由於故障而延遲恢復,導致收入損失。以下哪項措施能最有效地防止這種情況發生?
A. 證高級管理層的風險承受能力
B. 新業務影響分析(BIA)
C. 有效的災難恢復計劃(DRP)測試
D. 進事件識別方法
查看答案
正確答案: D
問題 #231
當管理層改變企業業務戰略時,應使用以下哪個流程來評估現有的信息安全控制措施以及選擇新的信息安全控制措施?
A. 險管理
B. 革管理
C. 問控制管理
D. 置管理
查看答案
正確答案: A
問題 #232
恢復點目標(RPO)對災難恢復的貢獻在於
A. 確定備份策略。
B. 消除單點故障。
C. 縮短平均故障間隔時間(MTBF)。
D. 儘量縮短停電時間。
查看答案
正確答案: D
問題 #233
在決定實施新技術後,信息安全經理應首先採取以下哪項行動?
A. 定支持新技術所需的安全控制。
B. 新技術進行業務影響分析(BIA)。
C. 新技術進行投資回報率(ROI)分析。
D. 定新技術是否符合監管要求。
查看答案
正確答案: B
問題 #234
當管理層改變企業業務戰略時,應使用以下哪個流程來評估現有的信息安全控制措施以及選擇新的信息安全控制措施?
A. 問控制管理
B. 變革管理
C. 置管理
D. 風險管理
查看答案
正確答案: D
問題 #235
以下哪項是組織確保其第三方服務提供商了解信息安全要求和期望的最有效方法?
A. 計第三方供應商提供的服務
B. 合同中納入信息安全條款
C. 第三方人員提供信息安全培訓
D. 求第三方籤署保密協議
查看答案
正確答案: B
問題 #236
信息安全政策中最重要的內容是什麼?
A. 用和責任的界定
B. 全計劃的範圍
C. 全計劃的主要目標
D. 考安全計劃的程序和標準
查看答案
正確答案: C
問題 #237
在最近一次收購之後,信息安全經理被要求解決收購過程中早期報告的未決風險。以下哪項是該經理的最佳行動方案?
A. 未決風險列入收購組織的風險登記冊。
B. 新評估被收購公司的未決風險。
C. 新評估未決風險的風險處理計劃。
D. 被收購公司的基礎設施進行漏洞評估。
查看答案
正確答案: B
問題 #238
組織中數據保管人的安全責任包括
A. 全面保護信息資產。
B. 確定數據分類級別。
C. 在他們安裝的產品中實施安全控制。
D. 確保安全措施符合政策。
查看答案
正確答案: D
問題 #239
當企業與第三方 IT 服務提供商建立合作關係時,從安全角度來看,以下哪項是合同中最重要的內容之一?
A. 守國際安全標準。
B. 用雙因素身份驗證系統。
C. 業務中斷的情況下,是否存在備用熱站點。
D. 守組織的信息安全要求。
查看答案
正確答案: D
問題 #240
以下哪項定義了特定系統必須滿足的最低安全要求?
A. 全政策
B. 全準則
C. 全程序
D. 全基線
查看答案
正確答案: A
問題 #241
以下哪種方法能最有效地確保授予新員工訪問權限的流程標準化並滿足組織的安全要求?
A. 信息安全管理部門批准,按要求對個別系統進行授權。
B. 求新員工的經理在員工入職培訓期間負責賬戶設置和訪問。
C. 授權和創建賬戶與人力資源入職程序結合起來。
D. 用標準模板,規定所有員工在聘用時的訪問級別。
查看答案
正確答案: C
問題 #242
以下哪項最有助於有效實施信息安全戰略?
A. 全指標報告
B. 期安全意識培訓
C. 級管理層的認可
D. 行安全標準
查看答案
正確答案: C
問題 #243
以下哪項是確保信息安全計劃符合新法規要求的首要步驟?
A. 證資產分類模式。
B. 合規性納入風險管理流程。
C. 估組織安全控制。
D. 行差距分析,確定必要的變化。
查看答案
正確答案: B
問題 #244
在將大型無線網絡連接到現有有線網絡基礎設施時,以下哪項 BEST 可以保護機密數據?
A. 制訪問控制(MAC)地址過濾
B. 密碼
C. 擬專用網絡(VPN)
D. 火牆
查看答案
正確答案: A
問題 #245
以下哪項是公司治理與信息安全治理之間有效協調的最有力指標?
A. 級管理層支持信息安全工作。
B. 級管理層要求定期更新信息安全。
C. 制的關鍵績效指標(KPI)呈積極趨勢。
D. 息安全計劃符合範圍、時間表和預算。
查看答案
正確答案: C
問題 #246
一家全球性企業處理並存儲了大量個人數據。在制定數據訪問政策時,以下哪項是最重要的屬性?
A. 用性
B. 信
C. 靠性
D. 密性
查看答案
正確答案: D
問題 #247
在制定信息安全治理框架時,如果缺乏高級管理層的參與,以下哪項會造成主要影響?
A. 有明確界定風險處理的責任。
B. 息安全責任沒有得到有效傳達。
C. 有充分考慮資源需求。
D. 息安全計劃不支持業務需求。
查看答案
正確答案: C
問題 #248
一位信息安全經理正在協助制定一項新的外包服務的招標書(RFP)。這將要求第三方能夠訪問關鍵業務信息。安全經理應主要關注以下方面的定義:
A. 安全指標
B. 服務水平協議(SLA)
C. 風險報告方法
D. 外包流程的安全要求
查看答案
正確答案: A
問題 #249
在評估和降低網絡應用程序的風險後,應由誰決定是否接受殘餘的應用程序風險?
A. 息安全乾事
B. 席信息官(CIO)
C. 業主
D. 席執行官(CFO)
查看答案
正確答案: C
問題 #250
以下哪項定義了業務連續性計劃 (BCP) 中的觸發器?
A. 後恢復計劃
B. 織的需求
C. 距分析
D. 息安全政策
查看答案
正確答案: A
問題 #251
以下哪項與雙因素身份驗證系統的成本效益分析最爲相關?
A. 件的預期年損失率(ALE)
B. 件發生頻率
C. 擁有成本(TCO)
D. 目的核定預算
查看答案
正確答案: C
問題 #252
以下哪種風險體現在組織的風險偏好中?
A. 制
B. 有的
C. 餘
D. 計
查看答案
正確答案: C
問題 #253
當計算機事故響應小組(CIRT)發現黑客侵入企業網絡並修改客戶信息的明確證據時,信息安全經理應首先發出通知:
A. 信息安全指導委員會。
B. 可能受到影響的客戶。
C. 可能受到影響的數據所有者。
D. 監管--監督隱私的機構。
查看答案
正確答案: C
問題 #254
以下哪項是風險管理計劃的首要目標?
A. 對威脅實施預防性控制。
B. 理內在風險對業務的影響。
C. 理組織政策的遵守情況。
D. 低組織的風險偏好。
查看答案
正確答案: B
問題 #255
在以下情況下,風險管理計劃最爲有效:
A. 長期保持風險偏好
B. 定期重複風險評估
C. 風險評估由第三方進行
D. 業務部門參與風險評估
查看答案
正確答案: D
問題 #256
在制定風險處理計劃時,以下哪項是審查降低風險方案時最重要的考慮因素?
A. 本效益分析
B. 戶接受度
C. 務影響分析(BIA)
D. 制識別
查看答案
正確答案: A
問題 #257
外包供應商負責處理某組織的關鍵業務數據,以下哪項是客戶組織獲得供應商安全措施保證的最有效方法?
A. 實供應商持有的安全認證
B. 查供應商的安全審計報告
C. 求第三方定期進行獨立審查
D. 求供應商提供業務連續性計劃(BCP
查看答案
正確答案: C
問題 #258
信息技術資產的估值工作應由以下人員進行:
A. IT 安全經理。
B. 獨立安全顧問。
C. 首席財務官 (CFO)。
D. 信息所有者。
查看答案
正確答案: D
問題 #259
以下哪項使用公開密鑰加密技術可確保信息的認證、保密和不可抵賴性?
A. 用接收方的私人密鑰加密,再用發送方的公開密鑰加密
B. 用發送方的私人密鑰加密,再用接收方的公開密鑰加密
C. 用發送者的私人密鑰加密,再用發送者的公開密鑰解密
D. 用發送方的公開密鑰加密,再用接收方的私人密鑰加密
查看答案
正確答案: B
問題 #260
內部控制審計發現了一個與遺留系統有關的控制缺陷,在該系統中,補償控制似乎不再有效。以下哪項 BEST 可以幫助信息安全經理確定解決控制缺陷的安全要求?
A. 險評估
B. 距分析
C. 本效益分析
D. 業案例
查看答案
正確答案: B
問題 #261
某組織已通過國際安全標準認證。哪種機制有助於 BEST 根據新的業務需求,進一步使組織符合其他數據安全監管要求?
A. 鍵績效指標(KPI)
B. 務影響分析(BIA)
C. 距分析
D. 術脆弱性評估
查看答案
正確答案: C
問題 #262
以下哪項最有助於管理層確定風險是否在組織的承受範圍之內?
A. 計結果
B. 圖
C. 透測試結果
D. 熟度
查看答案
正確答案: B
問題 #263
以下哪些設備應放置在非軍事區(DMZ)內?
A. 絡交換機
B. 絡服務器
C. 據庫服務器
D. 件/打印服務器
查看答案
正確答案: B
問題 #264
以下哪項是在組織內實施數據分類的首要前提?
A. 定工作角色
B. 行風險評估
C. 定數據所有者
D. 定數據保留政策
查看答案
正確答案: C
問題 #265
在下列方法中,確保臨時僱員不會獲得過多訪問權限的最佳方法是( ):
A. 強制性訪問控制。
B. 酌情訪問控制。
C. 基於網格的訪問控制
D. 基於角色的訪問控制
查看答案
正確答案: D
問題 #266
信息安全風險的可接受程度應由以下因素決定:
A. 法律顧問。
B. 安全管理。
C. 外部審計員。
D. die 指導委員會。
查看答案
正確答案: D
問題 #267
以下哪項控制措施可防止 BEST 從控制臺或操作區意外關閉系統?
A. 餘電源
B. 護開關蓋
C. 機警報
D. 物識別閱讀器
查看答案
正確答案: B
問題 #268
一位 IS 經理決定實施一套安全系統來監控互聯網的訪問,並防止訪問大量網站。系統安裝後,員工立即致電 IT 服務臺,抱怨無法在互聯網網站上執行業務功能。這就是一個例子:
A. 安全控制與組織需求相衝突。
B. 強力保護信息資源。
C. 實施適當的控制措施以降低風險。
D. 證明信息安全的保護能力。
查看答案
正確答案: A
問題 #269
安全意識的首要目標是:
A. 確保了解安全策略。
B. 影響員工行爲。
C. 確保遵守法律法規
D. 通知對不遵守行爲採取的行動。
查看答案
正確答案: B
問題 #270
風險登記冊最有效的用途是:
A. 確定風險並分配緩解風險的角色和責任。
B. 確定威脅和可能性。
C. 促進定期徹底審查所有與信息技術有關的風險。
D. 記錄預期風險損失的年化財務金額。
查看答案
正確答案: C
問題 #271
在審查組織的入侵檢測系統 (IDS) 性能時,以下哪種趨勢最值得關注?
A. 少假陰性
B. 報率增加
C. 少誤報
D. 陰性增加
查看答案
正確答案: D
問題 #272
實現以下哪項安全目標 BEST 可以確保信息不被未經授權披露?
A. 實性
B. 密性
C. 可抵賴性
D. 信
查看答案
正確答案: B
問題 #273
在制定信息安全戰略時,恢復時間目標(RTO)將作爲以下方面的指標:
A. 高級管理層的支持
B. 開放式漏洞
C. 風險容忍度
D. 成熟度
查看答案
正確答案: C
問題 #274
以下哪項是地理位置分散的組織的分散式信息安全管理的特點?
A. 務質量更加統一
B. 好地遵守政策
C. 好地滿足業務部門的需求
D. 省更多的總運營成本
查看答案
正確答案: C
問題 #275
以下哪項最能體現信息安全計劃的附加值?
A. 全基線
B. WOT 分析
C. 距分析
D. 衡計分卡
查看答案
正確答案: B
問題 #276
某跨國企業制定了自帶設備(BYOD)政策,要求在個人擁有的設備上安裝移動設備管理(MDM)軟件。以下哪項對實施該政策構成了最大的挑戰?
A. 員數據隱私權的不同
B. 策的翻譯和宣傳
C. 動操作系統平臺的差異
D.
查看答案
正確答案: C
問題 #277
以下哪個職位最適合在一家大型全球性企業中負責設計和實施新的安全基礎設施?
A. 席安全官(CSO)
B. 席運營官(COO)
C. 席隱私官(CPO)
D. 席法律顧問(CLC)
查看答案
正確答案: B
問題 #278
成功實施全企業信息安全計劃的最重要因素是什麼?
A. 合實際的概算
B. 全意識
C. 級管理層的支持
D. 新計算工作係數
查看答案
正確答案: C
問題 #279
在實施數據丟失防護 (DLP) 系統之前,必須確定以下哪項?
A. 私影響評估
B. 據備份政策
C. 據分類
D. 據恢復政策
查看答案
正確答案: C
問題 #280
在確定控制目標時,以下哪項最重要?
A. 前的殘餘風險水平
B. 織的戰略目標
C. 近一次審計提出的控制建議
D. 織的風險偏好
查看答案
正確答案: B
問題 #281
首席信息安全官(CISO)制定了一項信息安全戰略,但卻難以獲得高級管理層對實施該戰略的資金承諾。
A. 戰略不包括成本效益分析。
B. 席信息安全官向首席信息官報告。
C. 開發過程中缺乏與企業的溝通。
D. 略不符合安全標準。
查看答案
正確答案: A
問題 #282
由於關鍵應用程序與更改不兼容,因此無法應用增強系統安全性的操作系統 (OS) 非關鍵補丁。以下哪項是最佳解決方案?
A. 寫應用程序以適應升級後的操作系統
B. 緩解控制措施補償未安裝補丁的損失
C. 改補丁,允許應用程序在特權狀態下運行
D. 測試平臺上運行應用程序;調整生產平臺,允許使用補丁和應用程序
查看答案
正確答案: B
問題 #283
當通過電子郵件收到緊急安全補丁時,該補丁應在 FIRST:
A. 裝入隔離測試機。
B. 反編譯以檢查惡意代碼。
C. 經過驗證以確保其真實性。
D. 複製到一次性寫入介質上以防止篡改。
查看答案
正確答案: C
問題 #284
在對風險進行評估後,治療風險的決定應主要基於以下幾點:
A. 資金供應情況。
B. 風險水平是否超過風險承受能力。
C. 風險程度是否超過固有風險。
D. 風險的嚴重性。
查看答案
正確答案: B
問題 #285
某信息安全經理獲悉網上銀行應用程序中存在一個新漏洞,解決該問題的補丁程序預計將在未來 72 小時內發布。信息安全經理最重要的行動應該是
A. 評估風險並向高級管理層提出建議。
B. 確定並實施緩解控制措施。
C. 以脫機模式運行應用系統。
D. 進行業務影響分析 (BIA)。
查看答案
正確答案: A
問題 #286
根據所提供的信息,對於一個擁有多個但規模較小的國內處理地點的組織來說,以下哪種情況帶來的信息安全風險最大?
A. 統操作程序未得到執行
B. 更管理程序不完善
C. 統開發外包
D. 進行系統容量管理
查看答案
正確答案: B
問題 #287
確定特定業務應用程序所需信息安全級別的最合適人選是:
A. 系統開發人員。
B. 信息安全經理。
C. 指導委員會。
D. 系統數據所有者。
查看答案
正確答案: D
問題 #288
一位缺乏經驗的信息安全經理依靠內部審計部門來設計和實施關鍵的安全控制。以下哪項風險最大?
A. 制措施執行不力
B. 益衝突
C. 反審計章程
D. 計技能不足
查看答案
正確答案: B
問題 #289
信息安全經理懷疑組織遭受了勒索軟件攻擊。應首先採取哪些措施?
A. 知高級管理層。
B. 員工發出攻擊警報。
C. 認感染。
D. 離受影響的系統。
查看答案
正確答案: C
問題 #290
在實施入侵檢測系統 (IDS) 時,以下哪項是最重要的考慮因素?
A. 諧
B. 補
C. 密
D. 據包過濾
查看答案
正確答案: A
問題 #291
以下哪項最有助於確保信息安全與業務職能之間的一致性?
A. 定信息安全政策
B. 立信息安全治理委員會
C. 立安全意識計劃
D. 信息安全工作提供資金
查看答案
正確答案: B
問題 #292
在實施信息安全治理的過程中,組織應首先:
A. 採用安全標準。
B. 確定安全基線。
C. 確定安全戰略。
D. 制定安全策略。
查看答案
正確答案: C
問題 #293
以下哪項最有可能推動信息安全戰略的更新?
A. 近的滲透測試發現了一個控制弱點。
B. 個主要的業務應用程序已經升級。
C. 理層決定採用一種新興技術。
D. 請了一位新的首席技術官。
查看答案
正確答案: C
問題 #294
制定數據分類計劃的主要原因是爲了識別:
A. 數據所有權。
B. 數據保留戰略。
C. 適當的控制。
D. 恢復的優先事項。
查看答案
正確答案: C
問題 #295
以下哪項最有助於保持組織信息安全資源的凝聚力?
A. 息安全架構
B. 全漏洞分析
C. 務影響分析
D. 息安全指導委員會
查看答案
正確答案: A
問題 #296
以下哪項最有可能減少未經授權的個人冒充需要重置密碼的授權個人訪問計算機資源的機會?
A. 密碼重置進行審查
B. 展安全意識計劃
C. 加密碼更改頻率
D. 施密碼語法自動檢查
查看答案
正確答案: B
問題 #297
將個人擁有的移動設備連接到企業電子郵件系統時,以下哪項是最有效的數據丟失控制措施?
A. 子郵件必須以加密格式存儲在移動設備上。
B. 接到公共 Wi-Fi 熱點時,必須防止電子郵件同步。
C. 次連接都必須經高級管理人員批准。
D. 戶必須同意在移動設備丟失時將其清除。
查看答案
正確答案: D
問題 #298
提交管理層批准的年度信息安全預算應包括以下哪些內容?
A. 算資源的成本效益分析
B. 業推薦的所有資源
C. 擁有成本(TCO)
D. 線比較
查看答案
正確答案: A
問題 #299
爲新系統實施安全設置時,以下哪項是最需要考慮的?
A. 部和外部審計結果
B. 府條例和相關處罰
C. 務目標和相關信息技術風險
D. 用於企業的行業最佳做法
查看答案
正確答案: C
問題 #300
安全監控機制應首先
A. 關注關鍵業務信息。
B. 協助業主管理控制風險。
C. 重點檢測網絡入侵。
D. 記錄所有違反安全規定的行爲。
查看答案
正確答案: A
問題 #301
在進行法證調查時,以下哪項最重要?
A. 錄分析步驟
B. 捉完整的系統圖像
C. 持監管鏈
D. 析系統內存
查看答案
正確答案: C
問題 #302
制定災難恢復計劃後,應執行以下哪些任務?
A. 析業務影響
B. 定應急小組的作用
C. 定測試計劃
D. 定恢復時間目標 (RTO)
查看答案
正確答案: B
問題 #303
當適當降低風險的預防控制措施不可行時,信息安全經理應採取以下哪項最重要的措施?
A. 估脆弱性。
B. 理影響。
C. 估潛在威脅。
D. 定不可接受的風險水平。
查看答案
正確答案: D
問題 #304
在制定災難恢復計劃時,以下哪項對確定系統恢復的優先順序最有幫助?
A. 行業務影響分析(BIA)
B. 量每個系統的數據量
C. 查信息安全政策
D. 查業務戰略
查看答案
正確答案: A
問題 #305
成功實施信息安全治理需要:
A. 安全意識培訓。
B. 更新安全策略。
C. 計算機事故管理小組。
D. 安全架構。
查看答案
正確答案: B
問題 #306
一家在本國從事電子商務活動的企業在另一個安全法律嚴格的國家開設了新辦事處。在這種情況下,總體安全戰略應基於以下方面:
A. 風險評估結果。
B. 國際安全標準。
C. 最嚴格的要求。
D. 安全組織結構。
查看答案
正確答案: D
問題 #307
應定期重複安全風險評估工作,因爲
A. 商業威脅不斷變化。
B. 可以解決早期評估中的疏漏。
C. 可採用各種方法進行重複評估。
D. 它們有助於提高企業的安全意識。
查看答案
正確答案: A
問題 #308
在以下人員中,誰應承擔評估與外包雲計算提供商合同相關的安全風險的主要責任?
A. 息安全管理員
B. 規經理
C. 席信息官
D. 務交付經理
查看答案
正確答案: D
問題 #309
以下哪項是處理會對信息安全計劃資源分配產生不利影響的法規的最佳選擇?
A. 據可能性確定合規工作的優先次序。
B. 定同行組織的合規水平。
C. 遲實施合規活動。
D. 管理決策進行評估
查看答案
正確答案: D
問題 #310
以下哪項是確定信息安全計劃成熟度的最佳方法?
A. 估關鍵績效指標(KPI)
B. 請第三方審查
C. 查內部審計結果
D. 行自我評估
查看答案
正確答案: A
問題 #311
爲了向管理層強調網絡安全的重要性,安全經理應在第一階段:
A. 開發安全架構。
B. 安裝網絡入侵檢測系統 (NIDS),並準備一份攻擊清單。
C. 制定網絡安全政策。
D. 進行風險評估。
查看答案
正確答案: D
問題 #312
以下哪項最能幫助信息安全經理確定組織信息安全戰略的全面性?
A. 務影響分析
B. 織風險偏好
C. 立安全審計
D. 全風險評估
查看答案
正確答案: A
問題 #313
與基於特徵碼的入侵檢測系統相比,基於統計異常的入侵檢測系統(slat IDS)不常用的最重要原因是統計 IDS:
A. 比基於籤名的 IDS 產生更多開銷。
B. 因系統變量的微小變化而導致誤報。
C. 因用戶或系統的不同操作而產生錯誤警報。
D. 無法檢測到新型攻擊。
查看答案
正確答案: C
問題 #314
爲幫助確保合同人員不會在未經授權的情況下訪問敏感信息,信息安全經理應首先
A. 將其賬戶設置爲 6 個月或更短時間內到期。
B. 避免授予系統管理角色。
C. 確保他們順利通過背景調查。
D. 確保他們的訪問得到數據所有者的批准。
查看答案
正確答案: B
問題 #315
在使用新實施的安全信息和事件管理(SIEM)基礎架構時,應首先考慮以下哪項?
A. 留
B. 諧
C. 密
D. 告分發
查看答案
正確答案: D
問題 #316
某組織發現了因不遵守行業新規定而產生的潛在風險。以下哪項是向高級管理層報告這一情況的最重要原因?
A. 要更新風險簡介。
B. 要對風險進行外部審查。
C. 要實施具體的監控措施。
D. 要進行基準分析。
查看答案
正確答案: A
問題 #317
在與第三方的合同談判中,以下哪種方法最能有效解決組織的安全問題?
A. 與組織的法律部門一起審查第三方合同。
B. 與第三方供應商溝通安全政策。
C. 確保安全參與採購過程。
D. 對第三方供應商進行信息安全審計。
查看答案
正確答案: B
問題 #318
以下哪項最有可能成爲實施安全治理框架的結果?
A. 加信息系統的可用性
B. 守國際標準
C. 息安全舉措實現的業務價值
D. 低信息安全舉措的成本
查看答案
正確答案: C
問題 #319
當信息安全經理得知與第三方的現有合同沒有明確規定保護組織關鍵數據的要求時,他的 BEST 建議是什麼?
A. 取消外包合同
B. 風險轉嫁給提供方
C. 現有合同創建附錄。
D. 提供商的數據中心進行外部審計。
查看答案
正確答案: C
問題 #320
在與外包商籤訂提供安全管理的合同時,最重要的合同要素是:
A. 終止權條款。
B. 責任限制。
C. 服務水平協議(SLA)。
D. 財務處罰條款。
查看答案
正確答案: C
問題 #321
一家公司正在考慮採用一種新的自動化系統,該系統要求使用無線設備採集數據。儘管無線技術不是已獲批准的技術,但高級管理層已接受了風險,並批准進行概念驗證 (POC),以評估該技術和建議的解決方案。以下哪項是信息安全經理的最佳行動方案?
A. 議解決方案的沙盒
B. 人員提供無線安全培訓
C. 施無線入侵檢測系統(IDS)
D. 定企業無線標準
查看答案
正確答案: A
問題 #322
已確定某關鍵任務系統的管理系統賬戶具有防止鎖定、更改權限和名稱的屬性。哪種方法是防止成功暴力破解該賬戶的最佳方法?
A. 止遠程訪問系統
B. 建強大的隨機密碼
C. 求供應商提供補丁
D. 過審計跟蹤跟蹤賬戶的使用情況
查看答案
正確答案: B
問題 #323
組織中誰有責任對信息進行分類?
A. 據保管人
B. 據庫管理員
C. 息安全乾事
D. 據所有者
查看答案
正確答案: D
問題 #324
信息安全經理必須了解信息安全與業務運營之間的關係,以便
A. 支持組織目標。
B. 確定可能出現違規的領域。
C. 評估妥協可能產生的影響。
D. 了解企業面臨的威脅。
查看答案
正確答案: A
問題 #325
應設置外聯網服務器:
A. 防火牆外。
B. 防火牆服務器上。
C. 屏蔽子網。
D. 外部路由器上。
查看答案
正確答案: C
問題 #326
一位項目經理正在開發一個開發人員門戶網站,他要求安全經理分配一個公共 IP 地址,以便內部員工和組織局域網 (LAN) 外的外部顧問都能訪問該門戶網站。安全經理首先應該做什麼?
A. 解開發人員門戶網站的業務需求
B. 開發人員門戶網站進行漏洞評估
C. 裝入侵檢測系統(IDS)
D. 允許外部訪問服務器之前,從外部顧問那裡獲得一份已籤署的保密協議(NDA)
查看答案
正確答案: A
問題 #327
在制定業務部門信息系統處理信用卡數據的安全流程時,信息安全經理應考慮以下因素
A. 審查有關信用卡信息的公司政策。
B. 執行信用卡公司的安全要求。
C. 確保對處理信用卡數據的系統進行分段。
D. 審查行業處理安全支付的最佳做法。
查看答案
正確答案: A
問題 #328
以下哪項最能幫助信息安全經理確定補救活動的優先次序,以滿足監管要求?
A. 力成熟度模型矩陣
B. 合規預期年損失率 (ALE)
C. 關控制措施的成本
D. 信息技術戰略保持一致
查看答案
正確答案: D
問題 #329
以下哪項通常會對組織產生最大的負面影響?
A. 竊計算機軟件
B. 用事業服務中斷
C. 戶失去信心
D. 致金錢損失的內部欺詐
查看答案
正確答案: C
問題 #330
一家全球性金融機構決定不再對風險評估小組發現的拒絕服務(DoS)風險採取任何進一步行動。他們做出這一決定的最可能原因是
A. 有足夠的保障措施防止這種風險發生。
B. 所需對策過於複雜,難以部署。
C. 應對措施的成本高於資產的價值和潛在損失。
D. 險發生的可能性未知。
查看答案
正確答案: C
問題 #331
好的安全策略最重要的特點是:
A. 陳述對信息技術管理的期望。
B. 只說明一項一般安全任務。
C. 與組織目標保持一致。
D. 管理程序和指導方針的制定。
查看答案
正確答案: C
問題 #332
當發現由業務流程所有者控制的應用程序級安全管理不善時,以下哪項 BEST 可以改進當前的做法?
A. 中安全管理
B. 違規行爲實施制裁
C. 息技術管理部門執行政策
D. 期合規審查
查看答案
正確答案: A
問題 #333
安全意識計劃應
A. 提出最高管理層的觀點。
B. 解決具體漏洞的細節問題。
C. 針對特定羣體和角色。
D. 推廣安全部門程序。
查看答案
正確答案: C
問題 #334
當組織啓動數據分類流程時,信息安全經理的首要職責是以下哪項?
A. 實資產是否已適當分類。
B. 據具體分類實施安全措施。
C. 定要實施的分類結構。
D. 定資產分類級別。
查看答案
正確答案: C
問題 #335
以下哪項最重要?
A. 全指標趨勢分析
B. 脅情報
C. 全事件的根本原因分析
D. 險評估結果
查看答案
正確答案: A
問題 #336
信息安全管理的主要驅動力是:
A. 技術限制。
B. 監管要求。
C. 訴訟潛力。
D. 業務戰略。
查看答案
正確答案: D
問題 #337
爲防止未經授權向通用串行總線 (USB) 存儲設備下載數據,企業可以實施以下哪項最實用的控制?
A. 因素身份驗證
B. 制硬盤使用
C. 加密
D. 律行動
查看答案
正確答案: B
問題 #338
某組織正在考慮將其關鍵業務應用程序轉移到雲託管服務。雲提供商爲該應用程序提供的安全級別可能與企業不同。以下哪項提供的信息最有助於維護安全態勢?
A. 險評估
B. 安全戰略
C. 弱性評估
D. 險治理框架
查看答案
正確答案: A
問題 #339
一位信息安全經理正在評估某組織信息安全計劃的關鍵風險指標(KRIs)。以下哪項是信息安全經理最關心的問題?
A. 發警報的未定義閾值
B. 一控制流程的多個 KRI
C. 性措施的使用
D. 乏 IT 管理層對 KRI 的正式批准
查看答案
正確答案: A
問題 #340
實施強密碼策略是某企業本年度信息安全策略的一部分。某業務部門認爲該策略可能會對客戶採用最近開發的移動應用程序產生不利影響,因此決定不實施該政策。以下哪項是信息安全經理的最佳行動方案?
A. 析不執行政策的風險和影響。
B. 移動應用程序制定並實施密碼政策。
C. 不執行政策的情況上報高級管理層。
D. 類似的移動應用程序爲基準,找出差距。
查看答案
正確答案: C
問題 #341
在定義數據保留政策時,以下哪項是最重要的標準?
A. 力要求
B. 計結果
C. 管要求
D. 業最佳做法
查看答案
正確答案: C
問題 #342
信息安全經理正在爲投資信息安全控制制定商業案例。第一步應該是
A. 研究供應商的定價,以顯示成本效益
B. 評估對組織的潛在影響
C. 表明安保人員的工作效率得到提高
D. 獲得審計對安全控制的認可
查看答案
正確答案: B
問題 #343
信息安全經理在制定新的信息安全政策時,以下哪種方法是最好的?
A. 製利益相關者地圖。
B. 考行業標準。
C. 立信息安全治理委員會。
D. 載政策模板。
查看答案
正確答案: C
問題 #344
爲關鍵業務應用程序確定恢復時間目標 (RTO) 的主要依據是什麼?
A. 務影響分析(BIA)結果
B. 關業務基準
C. 險評估結果
D. 律和監管要求
查看答案
正確答案: A

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.