不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

有效備考的最新 ISACA CISM 考試問題

釋放 SPOTO 的 ISACA CISM 考試試題的威力,推動您的註冊信息安全經理 (CISM) 認證之旅。深入研究全面的考試問題和答案,旨在增強您對風險評估、治理實施和事件響應策略的理解。藉助 SPOTO 的試題和備考材料,您將在應對數據泄露、勒索軟件攻擊和其他不斷變化的安全威脅時獲得競爭優勢。獲取寶貴的學習材料和考試資源,幫助您順利通過考試。參與逼真的模擬考試,模擬考試環境,增強您的信心。在 SPOTO 的幫助下做好準備,成爲一名註冊信息安全經理,以專業知識和信心應對當今的網絡安全挑戰。
參加其他線上考試
問題 #1
BEST 通過以下方式確保有效的 IT 治理:
A. 採用自下而上的方法。
B. 由信息技術部門管理。
C. 將問題提交給組織的法律部門。
D. 採用自上而下的方法。
查看答案
正確答案: D
問題 #2
首席信息安全官(CISO)應在以下方面對組織的信息安全目標進行 BEST 調整:
A. 修訂信息安全計劃。
B. 評估平衡業務記分卡。
C. 定期開展用戶宣傳活動。
D. 執行滲透測試。
查看答案
正確答案: B
問題 #3
信息安全經理發現某應用程序的用戶經常使用緊急提升的訪問權限來處理交易。
A. 求用戶的管理人員提供緊急訪問的理由。
B. 求應用程序管理員阻止所有緊急訪問配置文件。
C. 新政策中緊急訪問配置文件的頻率和使用方法。
D. 查應用程序的安全架構並提出修改建議。
查看答案
正確答案: D
問題 #4
以下哪項最有可能需要援引業務連續性計劃?
A. 數據中心發現未經授權的訪客
B. 電子郵件服務器的分布式拒絕服務攻擊
C. 礙工作人員履行工作職能的流行病
D. 持個人身份信息的黑客
查看答案
正確答案: B
問題 #5
在制定風險交流計劃時,應首先確定以下哪項?
A. 標受衆
B. 信渠道
C. 告內容
D. 告頻率
查看答案
正確答案: A
問題 #6
某組織計劃利用流行的社交網絡平臺推廣其產品和服務。以下哪項是信息安全經理支持這一計劃的最佳行動方案?
A. 社交網絡的使用制定安全控制措施
B. 估與使用社交網絡有關的安全風險
C. 立在社交網絡上發布內容的流程
D. 社交網絡平臺進行脆弱性評估
查看答案
正確答案: C
問題 #7
某 IT 部門計劃將一個應用程序遷移到公共雲。以下哪項是信息安全經理支持這一計劃的最重要行動?
A. 算安全實施成本。
B. 估服務水平協議 (SLA)。
C. 供雲安全要求。
D. 查雲提供商獨立評估報告。
查看答案
正確答案: B
問題 #8
以下哪項 BEST 能使跨國組織的國際分支機構部署一致的安全措施?
A. 全程序的成熟度
B. 審計結果的補救
C. 全治理權力下放
D. 立安全治理
查看答案
正確答案: D
問題 #9
爲確保外包 IT 服務的信息安全,以下哪項是最關鍵的盡職調查活動?
A. 查服務提供商提供的服務水平報告樣本。
B. 估服務提供商的安全意識水平。
C. 求服務提供商遵守信息安全政策。
D. 查服務提供商的安全狀態。
查看答案
正確答案: C
問題 #10
以下哪項是定期進行業務影響評估的主要原因?
A. 進上次業務影響評估的結果
B. 據新風險更新恢復目標
C. 短恢復時間
D. 足業務連續性政策的需求
查看答案
正確答案: B
問題 #11
在信息安全管理方面,目標衝突最有可能損害信息安全流程的有效性:
A. 向網絡基礎設施經理報告。
B. 信息技術之外。
C. 部分人員由外部安全顧問提供。
D. 與變革管理職能相結合。
查看答案
正確答案: D
問題 #12
實施自動密碼同步的 MAIN 優勢在於:
A. 減少總體行政工作量。
B. 提高多層系統之間的安全性。
C. 允許減少密碼更改的頻率。
D. 減少對雙因素身份驗證的需求。
查看答案
正確答案: A
問題 #13
確保網絡用戶了解自己有責任遵守組織安全要求的最有效方法是:
A. 每次登錄都會顯示信息。
B. 定期發送與安全相關的電子郵件。
C. 信息安全內聯網網站。
D. 分發信息安全政策。
查看答案
正確答案: A
問題 #14
某組織的外包防火牆配置不當,允許未經授權的訪問,導致停機 48 小時。信息安全經理的下一步行動應該是?
A. 照最佳做法重新配置防火牆。
B. 取問題已得到糾正的佐證。
C. 新審查合同,加強對服務提供商的問責。
D. 求服務提供商賠償損失。
查看答案
正確答案: B
問題 #15
在以下情況下,組織最容易受到通過內聯網引入的新蠕蟲病毒的威脅:
A. 桌面病毒定義文件不是最新的。
B. 系統軟件不進行完整性檢查。
C. 主機有靜態 IP 地址。
D. 可執行代碼從防火牆內部運行。
查看答案
正確答案: A
問題 #16
管理層宣布收購一家新公司。母公司的信息安全經理擔心,在兩家公司整合的過程中,相互衝突的訪問權限可能會導致關鍵信息外泄:
A. 將訪問權限衝突的問題上報給管理層。
B. 實施一致的出入控制標準。
C. 在收購整合過程中審查訪問權限。
D. 對訪問權限進行風險評估。
查看答案
正確答案: B
問題 #17
對一個網絡應用系統的內部審查發現,通過更改用於訪問賬戶的 URL 上的員工 ID,可以訪問所有員工的賬戶。發現的漏洞是
A. 驗證失敗。
B. 未經驗證的輸入。
C. 跨站腳本。
D. 結構化查詢語言 (SQL) 注入。
查看答案
正確答案: A
問題 #18
組織監控安全風險的最佳方式是什麼?
A. 析關鍵績效指標(KPI)
B. 用外部風險情報服務
C. 用儀錶板評估脆弱性
D. 析關鍵風險指標(KRIs)
查看答案
正確答案: D
問題 #19
高級管理層爲本組織各部門分配了資金,以解決信息安全漏洞問題。這筆資金是根據每個部門上一財政年度的技術預算劃撥的。信息安全經理最關心以下哪項?
A. 險最高的地區可能沒有得到充分的優先處理
B. 跨部門實施多餘的控制措施
C. 息安全管理可按部門分散進行
D. 高級管理層報告的投資回報可能不一致
查看答案
正確答案: A
問題 #20
如果無法爲傳統應用程序實施密碼策略,以下哪項是最佳做法?
A. 新應用程序安全策略。
B. 施補償控制。
C. 交遺產申請豁免書。
D. 行應用程序安全評估。
查看答案
正確答案: B
問題 #21
將信息安全風險納入企業風險管理的主要益處在於
A. 確保及時降低風險。
B. 證明信息安全預算的合理性。
C. 獲得高級管理層的承諾。
D. 提供全面的風險視角。
查看答案
正確答案: D
問題 #22
以下哪項對改善組織安全狀況的工作影響最大?
A. 高管理層在安全方面的支持基調
B. 據可查的安全政策和程序
C. 期向高級管理層報告
D. 全控制自動化
查看答案
正確答案: A
問題 #23
以下哪項 BEST 能確保管理層主導信息安全決策過程?
A. 全政策和程序
B. 理層的年度自我評估
C. 全指導委員會
D. 全意識運動
查看答案
正確答案: C
問題 #24
當組織引入信息安全治理框架時,管理層的首要期望是以下哪項?
A. 化信息安全資源
B. 終如一地執行信息安全戰略
C. 強對股東的問責
D. 高安全管理的影響力
查看答案
正確答案: B
問題 #25
經過發送方私人密鑰加密和接收方公用密鑰加密的信息*可實現
A. 驗證和授權。
B. 保密性和完整性。
C. 保密性和不可抵賴性。
D. 驗證和不可抵賴性。
查看答案
正確答案: C
問題 #26
以下哪項是保護傳輸中數據真實性的最有效方法?
A. 希值
B. 字籤名
C. 鑰
D. 鑰
查看答案
正確答案: B
問題 #27
以下哪項最有助於爲商業脆弱性評估工具爭取資金?
A. 釋漏洞修復的商業價值
B. 定適用的法律法規要求
C. 交當前業務系統的漏洞掃描報告
D. 定與業務目標相關聯的安全指標
查看答案
正確答案: A
問題 #28
對生產系統進行安全評估後,信息安全經理最有可能做的是
A. 向系統所有者通報任何殘餘風險,並提出降低風險的措施。
B. 向開發團隊通報任何殘餘風險,並共同制定降低風險的措施。
C. 向信息技術經理通報殘餘風險,並提出降低風險的措施。
D. 制定整體安全計劃,最大限度地降低生產系統的殘餘風險。
查看答案
正確答案: A
問題 #29
信息安全政策的執行是信息安全管理機構的責任:
A. 安全指導委員會。
B. 首席信息官(CIO)。
C. 首席信息安全官 (CISO)。
D. 首席合規官(CCO)。
查看答案
正確答案: C
問題 #30
企業要求用戶籤署系統訪問責任確認書的主要原因是: 1:
A. 保存用戶訪問權限的準確記錄。
B. 作爲安全意識培訓的證據。
C. 始終遵守行業最佳做法。
D. 爲使用用戶 I 進行的交易分配責任
查看答案
正確答案: A
問題 #31
某組織的高級管理層鼓勵員工使用社交媒體進行宣傳。爲支持這一戰略,信息安全經理應首先採取以下哪項措施?
A. 社交媒體納入安全意識計劃。
B. 定可接受的社交媒體使用指南。
C. 定數據丟失防護 (DLP) 解決方案的商業案例。
D. 用網絡內容過濾解決方案。
查看答案
正確答案: B
問題 #32
某組織對潛在的高級持續性威脅(APT)感到擔憂。爲確保與該威脅相關的風險得到妥善管理,該組織應首先採取哪些行動?
A. 高級管理層報告。
B. 動事件響應流程。
C. 施更多控制措施。
D. 行影響分析。
查看答案
正確答案: D
問題 #33
以下哪種方法是管理層獲得安全政策合規性保證的最佳方法?
A. 查安全事件日誌。
B. 員工進行合規責任培訓。
C. 期進行獨立審查。
D. 工作人員詢問其安保職責。
查看答案
正確答案: C
問題 #34
以下哪些設備應置於 DMZ 內?
A. 由器
B. 火牆
C. 件中繼
D. 證服務器
查看答案
正確答案: C
問題 #35
以下哪種安全機制在保護已加密的機密數據以防止泄露和向組織網絡外傳輸方面最爲有效?
A. 火牆的配置
B. 密算法的強度
C. 用程序內的身份驗證
D. 匙的保障措施
查看答案
正確答案: D
問題 #36
一個全球性組織的信息安全經理要接受多個政府管轄區的監管,這些管轄區的要求各不相同,他應該
A. 使所有地點符合所有政府管轄區的總體要求。
B. 爲所有地點制定基準標準,並根據需要增加補充標準。
C. 使所有地點都符合一套公認的行業最佳做法。
D. 制定一個基線標準,納入所有轄區的共同要求。
查看答案
正確答案: B
問題 #37
除成本外,風險評估後選擇對策的最佳標準是什麼?
A. 施工作
B. 施工作的技能要求
C. 個方案的有效性
D. 護要求
查看答案
正確答案: C
問題 #38
當從以下方面介紹信息安全治理的價值時,高級管理層最有可能做出承諾並提供支持:
A. 威脅視角。
B. 遵約角度。
C. 風險視角。
D. 政策視角。
查看答案
正確答案: D
問題 #39
某企業正在考慮採用雲服務提供商來擴展全球業務運營。在數據保護方面,信息安全經理最需要審查以下哪項?
A. 據隱私政策
B. 全政策和標準
C. 織要求
D. 地法律法規
查看答案
正確答案: A
問題 #40
對於擁有大型複雜 IT 基礎設施的組織而言,災難恢復熱點服務的以下哪些要素需要最密切的監控?
A. 工訪問
B. 計權
C. 統配置
D. 戶數量
查看答案
正確答案: C
問題 #41
執法部門的聯繫人告知信息安全經理,有證據表明他/她的公司正被一夥技術嫺熟的黑客盯上,這夥黑客會使用各種技術,包括社交工程和網絡滲透。安全經理首先要做的是:
A. 對組織暴露於黑客技術的情況進行全面評估。
B. 啓動提高認識培訓,打擊社會工程學。
C. 立即向高級管理層通報風險升高的情況。
D. 增加監控活動,及早發現入侵。
查看答案
正確答案: C
問題 #42
攻擊成功的可能性取決於:
A. 入侵者的動機和能力
B. 機會和資產價值
C. 威脅和脆弱程度
D. 對入侵者的價值和可取性
查看答案
正確答案: A
問題 #43
爲在人力資源管理系統中存儲和處理的個人數據建立安全措施時,應首先完成以下哪項工作?
A. 行隱私影響評估 (PIA)。
B. 估數據加密技術。
C. 系統轉移到單獨的網絡中。
D. 行脆弱性評估。
查看答案
正確答案: A
問題 #44
以下哪項指標是說明濫用變更管理流程可能危及信息安全的最佳指標?
A. 量變更請求
B. 月變更申請的百分比大幅下降
C. 括批准後補充增列內容的更改百分比
D. 改的代碼行數與總代碼行數之比高
查看答案
正確答案: B
問題 #45
制定信息安全基線非常重要,因爲它有助於確定:
A. 需要保護的關鍵信息資源。
B. 整個組織的安全政策。
C. 需要實施的最低可接受的安全措施。
D. 所需的物理和邏輯訪問控制。
查看答案
正確答案: C
問題 #46
以下哪項是確保組織安全策略符合數據安全法規要求的最佳方法?
A. 得執行管理層的年度籤批。
B. 政策符合最嚴格的全球法規。
C. 合規活動外包。
D. 政策發給利益相關者審查。
查看答案
正確答案: C
問題 #47
信息安全經理在爲新獲得的業務應用程序設計安全控制時,應主要考慮以下哪項?
A. 用程序中已知的漏洞
B. 息技術安全架構框架
C. 行管制措施的成本效益分析
D. 用程序支持的業務流程
查看答案
正確答案: C
問題 #48
某企業之前接受了與零時差漏洞相關的風險。最近,同行業的另一家企業在一次備受矚目的攻擊中利用了相同的漏洞。信息安全經理應首先採取以下哪項行動?
A. 可能性和影響的角度重新評估風險
B. 定最佳和最壞情況假設
C. 高級管理層報告其他組織的違規行爲
D. 估修復漏洞的成本
查看答案
正確答案: A
問題 #49
在創建信息安全治理計劃時,以下哪項 BEST 能使組織滿足監管合規要求?
A. 程和程序指南
B. 全控制框架
C. 批准的安全戰略計劃
D. 全指導委員會的意見
查看答案
正確答案: A
問題 #50
某組織發現其環境中外部暴力攻擊的威脅增加了。以下哪種方法能最有效地降低該組織關鍵系統面臨的這一風險?
A. 高入侵檢測系統的靈敏度
B. 施多因素身份驗證(MFA)
C. 施安全信息和事件管理系統(SIEM)
D. 加日誌監控和分析的頻率
查看答案
正確答案: B
問題 #51
以下哪項能最有效地確保正確安裝限制一小部分內部 IP 地址訪問互聯網的防火牆策略?
A. 受限主機進行連接測試
B. 對防火牆的模擬拒絕服務攻擊
C. 外部對防火牆進行端口掃描
D. 查當前的防火牆配置
查看答案
正確答案: A
問題 #52
應在軟件開發生命周期(SDLC)的哪個階段處理應用程序安全控制 FIRST?
A. 件代碼開發
B. 置管理
C. 用系統設計
D. 集需求
查看答案
正確答案: D
問題 #53
創建注重信息安全的內部文化的第一步是:
A. 實施更有力的控制。
B. 定期開展提高認識培訓。
C. 積極監督行動。
D. 獲得執行管理層的認可。
查看答案
正確答案: D
問題 #54
以下哪種方法是爲新用戶提供訪問電子郵件系統初始密碼的最佳方法?
A. 公室之間使用系統生成的複雜密碼,有效期爲 30 天
B. 過電話提供一個假密碼,設置爲立即失效
C. 要求密碼,但強制用戶在 10 天內設置自己的密碼
D. 置與用戶 ID 相同的初始密碼,有效期爲 30 天
查看答案
正確答案: B
問題 #55
確定 IT 應用程序處理的信息資產相關風險水平的最佳方法是什麼?
A. 估信息對攻擊者的潛在價值
B. 算信息資產的商業價值
C. 查企業獲取信息資產的成本
D. 究與信息相關的合規要求
查看答案
正確答案: B
問題 #56
在實施信息安全治理框架時,應首先建立以下哪些框架?
A. 全事件管理小組
B. 全意識培訓計劃
C. 全架構
D. 全政策
查看答案
正確答案: D
問題 #57
在進行全面功能連續性測試之前,信息安全經理最需要驗證以下哪項?
A. 業接受風險的情況已記錄在案。
B. 簡單的語言記錄事件響應和恢復計劃。
C. 確定負責恢復工作的團隊和個人。
D. 地保存恢復和事故響應計劃副本。
查看答案
正確答案: C
問題 #58
有據可查的信息安全程序帶來的最大好處是:
A. 確保安全政策得到一致應用。
B. 確保臨時員工可以遵循關鍵流程。
C. 爲新員工的安全培訓提供便利。
D. 爲審計安全實踐提供依據。
查看答案
正確答案: A
問題 #59
以下哪個流程是制定信息安全政策的第一步?
A. 全控制評估
B. 息安全審計
C. 行全球標準審查
D. 務風險評估
查看答案
正確答案: D
問題 #60
以下哪種機制是實施安全無線網絡最安全的方法?
A. 濾介質訪問控制(MAC)地址
B. 用 Wi-Fi 保護接入 (WPA2) 協議
C. 用有線等效加密(WEP)密鑰
D. 於網絡的身份驗證
查看答案
正確答案: B
問題 #61
糾正控制的目的是
A. 減少不良事件。
B. 表示妥協。
C. 減輕影響。
D. 確保合規。
查看答案
正確答案: C
問題 #62
高級管理層在批准購置新的入侵檢測系統 (IDS) 之前,要求信息安全經理說明理由。最好的辦法是提供:
A. 有據可查的行業最佳做法
B. 針對新的 IDS 控制措施進行差距分析。
C. 業務案例。
D. 業務影響分析 (BIA)。
查看答案
正確答案: C
問題 #63
以下哪項能最好地防範網絡釣魚攻擊?
A. 用程序白名單
B. 絡加密
C. 子郵件過濾
D. 全戰略培訓
查看答案
正確答案: C
問題 #64
在對網絡犯罪進行取證調查期間處理數字證據時,以下哪項最爲重要?
A. 業戰略
B. 業最佳做法
C. 球標準
D. 方法規
查看答案
正確答案: D
問題 #65
在制定信息安全計劃時,以下哪項應作爲第一步?
A. 行技術漏洞評估
B. 析當前的業務戰略
C. 行業務影響分析
D. 估當前的安全意識水平
查看答案
正確答案: B
問題 #66
在提交給高級管理層的報告中,以下哪項對評估組織信息安全風險狀況的變化最有用?
A. 險登記冊
B. 勢分析
C. 業基準
D. 理行動計劃
查看答案
正確答案: A
問題 #67
以下哪項最能保證變更管理中的信息安全?
A. 更改進行安全審計
B. 變革諮詢委員會提供安全培訓
C. 求高級管理層籤批變革管理
D. 安全角度審查變更
查看答案
正確答案: D
問題 #68
以下哪項是確保業務部門遵守信息安全治理框架的最有效方法?
A. 安全要求與流程相結合
B. 行安全評估和差距分析
C. 行業務影響分析(BIA)
D. 展信息安全意識培訓
查看答案
正確答案: B
問題 #69
以下哪項 BEST 將有助於制定適當的事件響應程序?
A. 行情景測試
B. 行脆弱性評估
C. 析關鍵風險指標(KRIs)
D. 估能力成熟度
查看答案
正確答案: A
問題 #70
以下哪項是確定安全優先級最有效的方法?
A. 響分析
B. 脅評估
C. 弱性評估
D. 距分析
查看答案
正確答案: A
問題 #71
在實施數據分類計劃的組織中,數據庫服務器上數據的最終責任由數據庫服務器承擔:
A. 信息安全經理
B. 業務單位經理。
C. 數據庫管理員 (DBA)。
D. 信息技術經理:
查看答案
正確答案: A
問題 #72
對信息資產進行分類的主要原因應是確保
A. 適當的訪問控制。
B. 高級管理層的支持。
C. 保險估價是適當的。
D. 確定適當的所有權。
查看答案
正確答案: D
問題 #73
某組織的營銷部門要求訪問基於雲的協作網站,以便與外部營銷公司交換媒體文件。因此,信息安全經理被要求進行風險評估。以下哪項應該是最重要的考慮因素?
A. 交換的信息
B. 遞信息的方法
C. 部營銷公司的聲譽
D. 三方雲提供商的安全性
查看答案
正確答案: B
問題 #74
以下哪項是制定安全策略的步驟?
A. 發平臺級安全基線
B. 建 RACI 矩陣
C. 施制定和維護政策的程序
D. 定網絡配置參數
查看答案
正確答案: C
問題 #75
當安全標準與業務目標發生衝突時,應通過以下方法解決:
A. 更改安全標準。
B. 改變業務目標。
C. 進行風險分析。
D. 授權接受風險。
查看答案
正確答案: C
問題 #76
要確保組織內成功的信息安全治理,必須首先糾正以下哪種情況?
A. 息安全部門難以填補空缺。
B. 席信息官 (CIO) 批准安全政策變更。
C. 息安全監督委員會僅每季度召開一次會議。
D. 據中心經理擁有所有安全項目的最終籤字權。
查看答案
正確答案: D
問題 #77
建立信息安全計劃的第一步是:
A. 制定降低組織風險的政策和標準
B. 確保組織的承諾和支持。
C. 評估組織是否符合監管要求。
D. 確定高級管理層可接受的風險水平。
查看答案
正確答案: B
問題 #78
以下哪項是執行管理層參與建立企業安全管理框架的主要原因?
A. 定企業安全的理想狀態
B. 定所需的最低控制水平
C. 足審計員關於企業安全的建議
D. 保遵循企業安全的行業最佳做法
查看答案
正確答案: A
問題 #79
有什麼最佳方法可以驗證服務器上應用的所有安全補丁都已正確記錄?
A. 據操作系統 (OS) 補丁日誌跟蹤變更控制請求
B. 操作系統補丁日誌追蹤到操作系統供應商的更新文檔
C. 操作系統補丁日誌追蹤到變更控制請求
D. 查關鍵服務器的變更控制文件
查看答案
正確答案: C
問題 #80
針對可能影響關鍵任務服務器的新漏洞的驗證補丁已發布。應立即採取哪些措施?
A. 加緩解控制措施。
B. 閉服務器並安裝補丁。
C. 查服務器的安全性並安裝補丁。
D. 行影響分析。
查看答案
正確答案: D
問題 #81
一位首席執行官要求通過中央風險登記冊在組織層面實施信息安全風險管理。以下哪項是向董事會報告該風險登記冊摘要的最重要原因?
A. 進風險管理與組織目標的一致性
B. 保爲風險管理和減輕風險提供充足的資金
C. 守組織的監管和法律要求
D. 保與行業標準和趨勢保持一致
查看答案
正確答案: A
問題 #82
從業務角度看,信息安全最重要的功能是提供支持:
A. 可預測的操作。
B. 國際標準。
C. 安全意識。
D. 公司政策。
查看答案
正確答案: D
問題 #83
以下哪些風險最好使用定性風險評估技術進行評估?
A. 取購買的軟件
B. 電 24 小時
C. 戶信心長期下降
D. 毒攻擊導致電子郵件暫時丟失
查看答案
正確答案: C
問題 #84
某監管機構向信息安全經理髮送電子郵件,警告即將發生網絡攻擊。信息安全經理應
A. 驗證警報的真實性
B. 確定攻擊是否正在進行
C. 向網絡運行中心發出警報
D. 回復詢問更多細節
查看答案
正確答案: A
問題 #85
在選擇用於報告供應商風險管理流程的績效指標時,應首先完成以下哪項工作?
A. 查保密要求。
B. 定數據所有者。
C. 擇數據源。
D. 定目標受衆。
查看答案
正確答案: B
問題 #86
某培訓部門未經事先批准,爲公司註冊了一個免費的雲協作網站,並邀請員工使用。以下哪項是信息安全經理的最佳應對措施?
A. 行風險評估和影響分析。
B. 新風險登記冊,審查信息安全戰略。
C. 高級管理層報告活動情況。
D. 許臨時使用網站並監控數據泄漏。
查看答案
正確答案: C
問題 #87
網絡入侵檢測系統 (IDS) 可以檢測到以下哪項?
A. 記錄的開放端口
B. 經授權更改文件
C. 部產生的攻擊
D. 子郵件病毒附件
查看答案
正確答案: A
問題 #88
當信息安全計劃的投資回報率(ROI)難以計算時,以下哪項是 BEST 應納入業務案例的內容?
A. 計減少的風險
B. 計效率的提高
C. 期成本預測
D. 計成熟度的提高
查看答案
正確答案: A
問題 #89
以下哪項爲新的信息安全投資提供了最佳理由?
A. 面威脅分析結果。
B. 計減少的風險。
C. 級管理層參與確定項目的優先次序。
D. 定關鍵績效指標(KPI)
查看答案
正確答案: A
問題 #90
在風險評估過程中發現了一個風險。業務流程所有者選擇接受該風險,因爲補救成本高於最壞情況下的預計成本。信息安全經理的下一步行動應該是什麼?
A. 定成本較低的補救方法。
B. 錄並安排日期重新討論該問題。
C. 閉業務應用程序。
D. 錄並上報高級管理層。
查看答案
正確答案: D
問題 #91
當信息安全經理制定信息安全戰略計劃時,計劃的時間表應爲
A. 與信息技術戰略計劃保持一致。
B. 基於當前的技術變革速度。
C. 硬件和軟件均爲三至五年。
D. 與業務戰略保持一致。
查看答案
正確答案: D
問題 #92
以下哪些設備有可能阻止結構化查詢語言 (SQL) 注入攻擊?
A. 侵防禦系統(IPS)
B. 侵檢測系統(IDS)
C. 於主機的入侵檢測系統(HIDS)
D. 於主機的防火牆
查看答案
正確答案: A
問題 #93
在制定信息安全戰略時,與業務部門經理面談的主要目的是什麼?
A. 定信息類型
B. 取有關部門目標的信息
C. 定數據和系統所有權
D. 信息資產進行分類
查看答案
正確答案: B
問題 #94
某組織計劃在另一個國家開設新的辦事處。敏感數據將在兩個辦事處之間定期發送。信息安全經理的首要任務是什麼?
A. 定適用的監管要求,以制定安全政策。
B. 新隱私政策,納入其他國家的法律法規。
C. 現行的企業安全政策適用於新辦事處。
D. 據安全經理的批准,加密傳輸到總部的數據。
查看答案
正確答案: A
問題 #95
當信息安全經理發現外部服務提供商沒有實施足夠的控制措施來保護組織的關鍵數據時,最佳行動方案是什麼?
A. 估控制差距的影響。
B. 動合同重新談判。
C. 買額外保險。
D. 提供商進行控制審計。
查看答案
正確答案: A
問題 #96
確保外包提供商開展的活動符合信息安全政策的最佳方法是使用以下工具:
A. 服務水平協議。
B. 獨立審計。
C. 明確的合同語言。
D. 當地法規。
查看答案
正確答案: B
問題 #97
某組織採取定期輪換員工的做法,以最大限度地降低欺詐風險並鼓勵交叉培訓。哪種類型的授權政策能最好地應對這種做法?
A. 層次
B. 於角色
C. 處權
D. 於屬性
查看答案
正確答案: B
問題 #98
信息安全經理制定了一項戰略,以應對近期業務變化帶來的新的信息安全風險。在向高級管理層介紹該戰略時,以下哪項內容最爲重要?
A. 業務流程變更相關的成本
B. 業界同行進行基準比較的結果
C. 織變革對安全風險狀況的影響
D. 低風險所需的安全控制措施
查看答案
正確答案: C
問題 #99
以下哪項最好地描述了風險分析的範圍?
A. 鍵財務系統
B. 織活動
C. 鍵系統和基礎設施
D. 遵守法規的系統
查看答案
正確答案: B
問題 #100
在使用 IDS 檢測新威脅時,依賴以下哪種方法最值得關注?
A. 計模式識別
B. 擊特徵
C. 發式分析
D. 通分析
查看答案
正確答案: B
問題 #101
哪項指標是衡量組織信息安全意識策略更新是否有效的最佳指標?
A. 作人員報告的事件數量減少
B. 測到的電子郵件病毒數量減少
C. 測到的電子郵件病毒數量增加
D. 作人員報告的事件數量增加
查看答案
正確答案: A
問題 #102
一個核心業務部門依賴於一個有效的遺留系統,該系統不符合當前的安全標準,並對企業網絡構成威脅。以下哪項是解決這種情況的最佳方案?
A. 風險登記冊中記錄缺陷。
B. 開傳統系統與網絡其他部分的連接。
C. 求實施符合標準的新系統。
D. 定彌補缺陷的程序。
查看答案
正確答案: A
問題 #103
使用公鑰基礎設施(PKI)進行數字籤名:
A. 無法確保信息的完整性。
B. 依賴於證書頒發機構 (CA) 受信任的程度。
C. 要求信息交換雙方。
D. 高度保密。
查看答案
正確答案: B
問題 #104
某企業正在考慮採用自助式解決方案來部署虛擬化開發服務器。信息安全經理應主要關注以下哪項?
A. 護服務器安全基線的能力
B. 斷更新補丁的能力
C. 成過多的安全事件日誌
D. 務器與生產環境隔離
查看答案
正確答案: D
問題 #105
以下哪項能最有效地減少無意中泄露機密信息的機會?
A. 循最小特權原則
B. 制使用可移動媒體
C. 用數據分類規則
D. 違反安全政策的行爲實施處罰
查看答案
正確答案: C
問題 #106
在制定信息安全治理框架時,以下哪項應該是 FIRSTactivity?
A. 安全納入系統開發生命周期流程。
B. 信息安全計劃與組織的其他風險和控制活動保持一致。
C. 定支持該框架的政策和程序。
D. 定應對措施,發現並確保關閉安全漏洞。
查看答案
正確答案: B
問題 #107
以下哪項能最好地確保應用程序安全標準到位?
A. 能測試
B. 行代碼審查
C. 布軟件編碼標準
D. 透測試
查看答案
正確答案: D
問題 #108
以下哪項是信息安全最重要的功能?
A. 理組織面臨的風險
B. 少安全漏洞的財務影響
C. 定系統漏洞
D. 防安全事故
查看答案
正確答案: A
問題 #109
信息安全治理對一個組織的首要目標是
A. 與業務流程保持一致
B. 與業務目標保持一致
C. 制定安全戰略
D. 管理安全成本
查看答案
正確答案: B
問題 #110
在建立信息安全治理框架時,最重要的是讓信息安全管理人員了解:
A. 監管環境。
B. 信息安全最佳做法。
C. 企業文化。
D. 風險管理技術。
查看答案
正確答案: A
問題 #111
當組織的殘餘風險增加時,信息安全經理應首先執行以下哪項工作?
A. 取安全措施降低風險。
B. 信息傳達給高級管理層。
C. 風險轉移給第三方。
D. 估業務影響。
查看答案
正確答案: D
問題 #112
某組織最近推出了一項新的採購計劃,其中不包括任何安全要求。信息安全經理應首先完成以下哪項工作?
A. 據與每個供應商的年度支出額對供應商進行安全評估。
B. 採購主管會面,討論如何使安全與組織的運營目標保持一致。
C. 求內部審計部門對第三方安全控制的現狀進行評估。
D. 出現不合規問題時,將採購計劃漏洞上報合規部門。
查看答案
正確答案: B
問題 #113
以下哪項是信息安全管理職能的主要職責?
A. 定支持組織計劃的安全戰略
B. 保爲使用新興技術的解決方案提供充分支持
C. 養風險意識文化,加強信息安全計劃
D. 風險偏好和容忍度的最佳水平向高級管理層提供建議
查看答案
正確答案: A
問題 #114
外包組織的信息安全程序的有效性會降低:
A. 負責信息安全治理活動
B. 在達到安保服務水平時獲得額外收入
C. 因未履行安全服務級別協議而受到處罰
D. 將單一的訪問控制軟件產品標準化
查看答案
正確答案: A
問題 #115
以下哪種工具最適合用來評估信息安全治理目標是否實現?
A. WOT 分析
B. 布圖
C. 距分析
D. 衡計分卡
查看答案
正確答案: D
問題 #116
高級管理層已經批准了一項全面的信息安全政策。組織應執行以下哪項工作?
A. 高員工對政策的認識。
B. 求業務利益相關者對政策的認同。
C. 施身份驗證和授權系統。
D. 定供採用的相關信息安全框架。
查看答案
正確答案: B
問題 #117
使用冷場恢復設施的主要缺點是:
A. 在正常工作時間內無法進行測試。
B. 僅在主要租戶不使用時可用。
C. 不可能提前預訂考試日期。
D. 在現場測試關鍵應用程序的成本效益不高。
查看答案
正確答案: A
問題 #118
當一個部門的系統仍然不符合信息安全政策的密碼強度要求時,最好的辦法是:
A. 將問題提交給指導委員會。
B. 進行影響分析,量化風險。
C. 將系統與網絡的其他部分隔離。
D. 要求高級管理層接受風險。
查看答案
正確答案: B
問題 #119
某組織實施了自帶設備(BYOD)計劃。以下哪項是該組織面臨的最大風險?
A. 乏不可抵賴性
B. 備不兼容
C. 備失竊
D. 據泄漏
查看答案
正確答案: D
問題 #120
以下哪項對在整個組織內成功實施信息安全治理框架最爲重要?
A. 照規定部署的組織安全控制措施
B. 安全目標相一致的安全管理流程
C. 有的組織安全文化
D. 合行業最佳實踐的安全政策
查看答案
正確答案: B
問題 #121
一名信息安全經理發現,即將部署的在線應用程序會增加風險,超出可接受的水平,而且沒有包括必要的控制措施。以下哪項是信息安全經理的最佳行動方案?
A. 高級管理層提交額外控制的業務案例。
B. 示 IT 部門根據緊急業務需求部署控制措施。
C. 補償控制產品招標。
D. 議採用不同的應用程序。
查看答案
正確答案: A
問題 #122
以下哪項是提高識別安全風險能力的指標?
A. 告的安全事件數量增加。
B. 要信息安全培訓的工作人員數量減少。
C. 息安全風險評估的數量減少。
D. 決的安全審計問題數量增加。
查看答案
正確答案: D
問題 #123
日誌記錄是哪種防止系統被入侵的防禦方式?
A. 制
B. 測
C. 應
D. 復
查看答案
正確答案: B
問題 #124
要實現信息安全管理計劃的執行承諾,最重要的因素是
A. 確定的安全框架
B. 已確定的業務驅動因素
C. 既定的安全戰略
D. 流程改進模式
查看答案
正確答案: B
問題 #125
以下哪個人最適合實施和維護特定業務應用程序所需的信息安全級別?
A. 統分析員
B. 量控制經理
C. 程負責人
D. 息安全經理
查看答案
正確答案: C
問題 #126
以下哪項能最好地防範基於網絡的跨域攻擊?
A. 據庫加固
B. 用控制
C. 絡尋址方案
D. 密控制
查看答案
正確答案: B
問題 #127
以下哪項最能有效防止現有生產系統出現弱點?
A. 丁管理
B. 革管理
C. 全基線
D. 毒檢測
查看答案
正確答案: B
問題 #128
在評估電子商務應用的基礎設施即服務(IaaS)雲計算模式時,企業最關心的問題是什麼?
A. 供者服務的可用性
B. 部審計要求
C. 用程序所在位置
D. 請所有權
查看答案
正確答案: A
問題 #129
以下哪項能最有效地幫助組織將信息安全治理與公司治理結合起來?
A. 進安全成爲實現業務目標的推動因素
B. 據 IT 戰略確定安全措施的優先次序
C. 用全球安全標準實現業務目標
D. 定安全性能指標
查看答案
正確答案: A
問題 #130
證明實施單點登錄(SSO)產品合理性的最佳方式是使用:
A. 投資回報(ROD
B. 脆弱性評估。
C. 預期年損失率(ALE)。
D. 業務案例。
查看答案
正確答案: D
問題 #131
應將風險評估納入以下哪個系統開發階段,以確保在開發項目中應對風險?
A. 序設計
B. 格
C. 戶測試
D. 行性
查看答案
正確答案: D
問題 #132
以下哪項能最好地幫助信息安全經理做好接受監管審查的準備?
A. 派一名信息安全管理員擔任監管聯絡員
B. 用監管指南和報告進行自我評估
C. 據流程所有者的意見評估以往的監管報告
D. 保所有監管查詢都得到法律部門的批准
查看答案
正確答案: B
問題 #133
信息安全經理已完成風險評估,並確定了剩餘風險。下一步應該採取以下哪項措施?
A. 控制措施進行評估
B. 定風險是否在風險偏好範圍之內
C. 取對策降低風險
D. 所有已識別的風險進行分類
查看答案
正確答案: B
問題 #134
邊界路由器應放置在以下哪個位置?
A. 絡服務器
B. DS 服務器
C. 選子網
D. 域邊界
查看答案
正確答案: D
問題 #135
以下哪項是組織制定信息安全治理計劃的最重要原因?
A. 立問責制
B. 守審計要求
C. 測安全事件
D. 定戰術解決方案
查看答案
正確答案: B
問題 #136
以下哪項對風險管理計劃的有效性最爲重要?
A. 活的安保預算
B. 全的風險基線
C. 風險檢測
D. 確的風險報告
查看答案
正確答案: C
問題 #137
利用跨站腳本漏洞的攻擊者會利用
A. 缺乏適當的輸入驗證控制。
B. 網絡應用程序層的認證控制薄弱。
C. 有缺陷的加密安全套接字層 (SSL) 實現和較短的密鑰長度。
D. 隱式網絡應用信任關係。
查看答案
正確答案: A
問題 #138
以下哪項能爲組織的合同管理流程提供最有效的安全成果?
A. 安全評估擴展到隨機滲透測試
B. 大安全評估範圍,以涵蓋合同終止時的資產處置
C. 徵求建議書階段進行供應商安全基準分析
D. 保在徵求建議書階段確定安全要求
查看答案
正確答案: C
問題 #139
以下哪項 BEST 有助於識別組織技術基礎設施變化帶來的漏洞?
A. 侵檢測系統
B. 定安全基線
C. 透測試
D. 數匯總和相關性
查看答案
正確答案: C
問題 #140
信息安全經理應提出哪些建議,以支持開發新的網絡應用程序,讓零售客戶能夠查看庫存和訂購產品?
A. 立訪問控制矩陣
B. 求客戶遵守基線安全標準
C. 過虛擬專用網絡(VPN)訪問
D. 行安全傳輸協議
查看答案
正確答案: D
問題 #141
安全管理人員在建議實施安全解決方案時,首先會利用什麼?
A. 險評估報告
B. 術評估報告
C. 務案例
D. 算要求
查看答案
正確答案: C
問題 #142
應定期執行業務影響分析,主要是爲了
A. 驗證環境變化的脆弱性。
B. 分析資產的重要性。
C. 核實控制措施的有效性。
D. 檢查是否符合規定。
查看答案
正確答案: A
問題 #143
以下哪項是進行信息安全風險評估最重要的先決條件?
A. 產分類
B. 定風險承受能力
C. 查業務影響分析
D. 估威脅和脆弱性
查看答案
正確答案: D
問題 #144
在支持大公司董事會制定管理制度時,以下哪項是信息安全經理的主要職能?
A. 得高級管理層的承諾
B. 制安保預算
C. 供諮詢和指導
D. 定平衡計分卡
查看答案
正確答案: C
問題 #145
誰負責確保對信息進行分類並採取具體的保護措施?
A. 保幹事
B. 級管理層
C. 終用戶
D. 管人
查看答案
正確答案: B
問題 #146
以下哪項是高級管理層支持將信息安全治理納入公司治理的最有效方法?
A. 據企業戰略制定信息安全戰略。
B. 命一名業務經理負責信息安全。
C. 動全組織範圍的信息安全意識活動。
D. 立一個由整個組織的代表組成的指導委員會。
查看答案
正確答案: A
問題 #147
安全技術之間的關係最好通過以下哪項來定義?
A. 全指標
B. 絡拓撲結構
C. 全架構
D. 程改進模式
查看答案
正確答案: C
問題 #148
以下哪項是成功實施安全治理的最重要要求?
A. 施安全平衡計分卡
B. 行全機構風險評估
C. 組織戰略相匹配
D. 國際安全框架接軌
查看答案
正確答案: C
問題 #149
作爲國際擴張計劃的一部分,某組織收購了位於另一司法管轄區的一家公司。以下哪項是維護有效信息安全計劃的最佳方法?
A. 保將信息安全納入任何變更控制工作中
B. 併兩個信息安全計劃,建立連續性
C. 定可能影響信息安全戰略的新因素
D. 被收購公司實施當前的信息安全計劃
查看答案
正確答案: C
問題 #150
一位信息安全經理建議投資一項新的安全措施,以應對最近公布的威脅。在業務案例中,以下哪項最爲重要?
A. 脅實現後對業務的影響
B. 保預算中未使用資金的可用性
C. 自可靠來源的威脅信息
D. 舉措與已批准的業務戰略保持一致
查看答案
正確答案: A
問題 #151
在選擇信息安全指導委員會成員時,以下哪項是最重要的考慮因素?
A. 職能構成
B. 息安全專業知識
C. 組織中的任期
D. 務專長
查看答案
正確答案: A
問題 #152
在實施安全架構時,信息安全管理人員必須確保安全控制:
A. 形成多重屏障,抵禦威脅。
B. 透明。
C. 價格最低。
D. 通過安全策略傳達。
查看答案
正確答案: A
問題 #153
以下哪項是風險簡介最重要的組成部分?
A. 險管理框架
B. 據分類結果
C. 透測試結果
D. 險評估方法
查看答案
正確答案: A
問題 #154
在建立成功的信息安全治理框架時,以下哪項最重要?
A. 擇信息安全指導委員會成員
B. 定信息安全戰略
C. 定信息安全的平衡計分卡指標
D. 定信息安全風險情景
查看答案
正確答案: B
問題 #155
在整個組織內開展安全意識計劃的最重要原因是什麼?
A. 低人類風險
B. 存培訓記錄證據,確保合規
C. 業務部門通報安全戰略
D. 人員進行安全事件應對培訓
查看答案
正確答案: A
問題 #156
以下哪項對防止通過電子郵件附件啓動惡意軟件最有效?
A. 新的安全政策
B. 電子郵件服務器置於屏蔽子網中
C. 全意識培訓
D. 絡入侵檢測系統(NIDS)
查看答案
正確答案: C
問題 #157
以下哪項最有可能是自由裁量權?
A. 策
B. 序
C. 導方針
D. 準
查看答案
正確答案: C
問題 #158
信息安全業務案例獲得高級管理層批准後,應
A. 用於設計解決方案的功能要求。
B. 用作風險評估的基礎。
C. 參考建立解決方案的架構藍圖。
D. 在關鍵時間間隔進行審查,以確保取得預期成果。
查看答案
正確答案: D
問題 #159
在控制良好的環境中,以下哪種活動最有可能導致安全軟件出現弱點?
A. 補丁
B. 改訪問規則
C. 級硬件
D. 份文件
查看答案
正確答案: B
問題 #160
以下哪種方法能最有效地防止員工門戶網站中的 SQL 注入?
A. 新配置數據庫模式
B. 行數據庫的參照完整性
C. 行代碼審查
D. 行網絡滲透測試
查看答案
正確答案: B
問題 #161
以下哪項最能說明組織支持信息安全治理?
A. 工參加年度全組織安全培訓。
B. 工可隨時查閱信息安全政策。
C. 錄並定期測試事件響應計劃。
D. 期召開信息安全指導委員會會議。
查看答案
正確答案: D
問題 #162
在沒有技術控制的情況下,減少在隨身攜帶的移動設備上發送未經授權短信的最佳方法是什麼?
A. 行業務影響分析 (BIA),並向管理層提交報告。
B. 新公司手機使用政策,禁止發短信。
C. 止提供移動設備,直到組織能夠實施控制。
D. 安全意識培訓中加入禁止發短信的主題。
查看答案
正確答案: D
問題 #163
一個全球性組織的信息安全經理必須確保當地的信息安全計劃在初期確保符合《信息安全條例》:
A. 企業數據隱私政策。
B. 收集數據的數據隱私政策。
C. 總部所在國的數據隱私政策。
D. 全球適用的數據隱私指令。
查看答案
正確答案: B
問題 #164
當審計、風險和安全職能保持一致時,對執行管理層的主要好處是什麼?
A. 證報告數量減少
B. 有效的決策
C. 及時的風險報告
D. 高效地處理事件
查看答案
正確答案: B
問題 #165
對減輕已識別風險的補救工作進行持續跟蹤的最佳方法是使用以下哪種方法?
A. 狀圖
B. 恩圖
C. 圖
D. 形圖
查看答案
正確答案: C
問題 #166
以下哪項最適合用於更新生產服務器上防病毒軟件的防病毒籤名文件?
A. 日
B. 周
C. 操作系統補丁更新同時進行
D. 計劃的變更控制更新期間
查看答案
正確答案: A
問題 #167
以下哪項 BEST 可以保護組織免受內部安全攻擊?
A. 態 IP 地址
B. 部地址轉換
C. 在僱員背景調查
D. 工意識認證計劃
查看答案
正確答案: C
問題 #168
以下哪些是業務影響分析 (B1A) 的基本要素?
A. 機容忍度、資源和關鍵性
B. 爲安全預算係數的一年業務中斷成本
C. 在部署的業務連續性測試方法
D. 機管理小組的結構
查看答案
正確答案: A
問題 #169
加密密鑰管理最初將在應用程序開發過程的哪個階段進行?
A. 定要求
B. 署
C. 統測試
D. 碼審查
查看答案
正確答案: A
問題 #170
在考慮是否採用自帶設備 (BYOD) 時,最重要的是信息安全經理要確保:
A. 企業領導者了解安全風險。
B. 用戶已閱讀並籤署可接受使用協議。
C. 每臺設備在加入網絡時都會受到安全控制。
D. 在實施前對應用程序進行測試。
查看答案
正確答案: A
問題 #171
客戶數據存儲在中央數據庫中,僅供企業銷售部門使用,其最合適的所有者應該是:
A. 銷售部門。
B. 數據庫管理員。
C. 首席信息官(CIO)。
D. 銷售部門負責人。
查看答案
正確答案: D
問題 #172
在決定是否接受殘餘風險時,以下哪項對安全管理人員最爲重要?
A. 產的歷史成本
B. 在業務影響的可接受程度
C. 外緩解控制措施的成本與效益
D. 期年損失率 (ALE)
查看答案
正確答案: C
問題 #173
以下哪項是評估安全意識培訓效果的最佳指標?數量:
A. 重置密碼。
B. 報告的事件。
C. 已解決的事件。
D. 違反訪問規則。
查看答案
正確答案: B
問題 #174
描述信息安全戰略目標最有用的方法是通過以下方式:
A. 理想狀態的屬性和特徵"。
B. 安全計劃的總體控制目標。
C. 將 IT 系統與關鍵業務流程相匹配。
D. 年度預期損失的計算。
查看答案
正確答案: A
問題 #175
以下哪項最適合使用差距分析?
A. 估業務影響分析(BIA)
B. 定平衡業務記分卡
C. 示控制之間的關係
D. 量當前狀態與未來理想狀態
查看答案
正確答案: D
問題 #176
要實施安全框架,信息安全管理人員必須首先制定:
A. 安全標準。
B. 安全程序。
C. 安全策略。
D. 安全準則。
查看答案
正確答案: D
問題 #177
如果在規定期限內不遵守當地的監管要求,企業將面臨嚴厲的罰款和處罰。高級管理層要求信息安全經理制定一項行動計劃,以達到合規要求。以下哪項能爲規劃提供最有用的信息?
A. 距分析結果
B. 務影響分析結果
C. 止日期和違規處罰
D. 有安全控制清單
查看答案
正確答案: D
問題 #178
以下哪項是向利益相關者報告安全指標的首要目標?
A. 定組織內部的關鍵控制措施
B. 安全審計活動提供支持
C. 傳安全計劃的有效性
D. 示與業務戰略的一致性
查看答案
正確答案: D
問題 #179
以下哪項能最好地實現有效的信息資產分類流程?
A. 查資產的恢復時間目標(RTO)要求
B. 析審計結果
C. 安全要求納入分類過程
D. 配所有權
查看答案
正確答案: C
問題 #180
以下哪種攻擊最好通過使用強密碼來緩解?
A. 間人攻擊
B. 力攻擊
C. 程緩衝區溢出
D. 基工具包
查看答案
正確答案: B
問題 #181
以下哪項最能支持信息安全與業務功能的一致性?
A. 立安全指導委員會
B. 息技術管理部門對安全評估的支持
C. 業管理層參與安全滲透測試
D. 注業務流程中的技術安全風險
查看答案
正確答案: A
問題 #182
對於在競爭激烈、不斷發展的網絡市場中運營的企業來說,最重要的是關注安全政策:
A. 制定新技術政策。
B. 促進新技術的採用。
C. 要求對新技術進行認證。
D. 管理新技術的風險。
查看答案
正確答案: D
問題 #183
在網絡瀏覽器中使用安全套接字層(SSL)時,通常會缺少以下哪項功能?
A. 於證書的網絡客戶端身份驗證
B. 於證書的網絡服務器認證
C. 戶端和網絡服務器之間的數據保密
D. 種加密算法
查看答案
正確答案: A
問題 #184
以下哪種方法能最好地減少網絡釣魚?
A. 全監控軟件
B. 密
C. 因素認證
D. 戶意識
查看答案
正確答案: D
問題 #185
有效安全治理的一個成果是
A. 業務依賴性評估
B. 戰略調整。
C. 風險評估。
D. 規劃。
查看答案
正確答案: B
問題 #186
在軟件開發外包過程中,確保企業獲得安全軟件產品的最佳時機就是外包期間:
A. 企業安全審查。
B. 合同執行情況審計。
C. 合同談判。
D. 制定安全政策。
查看答案
正確答案: C
問題 #187
當用戶使用客戶端數字證書通過安全套接字層(SSL)對網絡服務器進行身份驗證時,最容易受到以下哪種情況的影響?
A. P 欺騙
B. 間人攻擊
C. 認
D. 洛伊木馬
查看答案
正確答案: D
問題 #188
在設計信息安全架構時,以下哪項是最重要的考慮因素?
A. 定組織的風險管理參數。
B. 息安全架構符合行業標準。
C. 持的安全級別取決於業務決策。
D. 現有威脅狀況進行監測。
查看答案
正確答案: C
問題 #189
以下哪項能最好地實現有效的信息安全治理?
A. 期脆弱性評估
B. 定的信息安全衡量標準
C. 進的安全技術
D. 有安全意識的企業文化
查看答案
正確答案: D
問題 #190
新版信息安全法規發布,要求組織遵守。信息安全經理應
A. 根據新版條例進行審計。
B. 進行風險評估,確定違規風險。
C. 以類似組織爲基準。
D. 對照新法規進行差距分析。
查看答案
正確答案: D
問題 #191
對安全技術和流程的投資應基於:
A. 與組織的目標和目的明確一致。
B. 以往項目中的成功案例。
C. 最佳業務實踐。
D. 現有技術中固有的保障措施。
查看答案
正確答案: A
問題 #192
爲信息資源劃分敏感性和關鍵性等級的主要目的是爲以下方面提供依據:
A. 確定納入信息安全計劃的範圍。
B. 確定訪問控制的級別。
C. 論證信息資源的成本。
D. 確定信息安全計劃的總體預算。
查看答案
正確答案: B
問題 #193
以下哪項最有助於制定支持成熟度模型概念的安全治理框架?
A. 續分析、監測和反饋
B. 續監測安保投資回報(ROSD
C. 續降低風險
D. 全管理流程的關鍵風險指標(KRD 設置
查看答案
正確答案: A
問題 #194
信息安全經理發現外部 FTP 服務器的根密碼可能會受到暴力破解攻擊。以下哪種方法最適合降低攻擊成功的可能性?
A. 止攻擊者的源 IP 地址。
B. 次嘗試失敗後鎖定遠程登錄。
C. 止訪問對外服務器。
D. 裝入侵檢測系統 (IDS)。
查看答案
正確答案: B
問題 #195
以下哪項是保護機密信息免受內部威脅最有效的緩解策略?
A. 行權利審查程序
B. 施認證機制
C. 定職責分工
D. 立授權控制
查看答案
正確答案: D
問題 #196
怎樣才能確保在造成重大損失之前發現成功入侵網絡的入侵者?
A. 期進行滲透測試
B. 立最低安全基線
C. 行供應商默認設置
D. 網絡上安裝蜜罐
查看答案
正確答案: D
問題 #197
以下哪項最能驗證新業務流程中實施了安全控制?
A. 據信息安全政策評估流程。
B. 行業實踐爲基準制定流程。
C. 查公認控制框架的使用情況。
D. 查流程是否符合信息安全最佳實踐。
查看答案
正確答案: A
問題 #198
在保密性、完整性和可用性(CIA)三要素中,以下哪項活動最能支持完整性概念?
A. 行服務水平協議
B. 施數據分類模式
C. 保傳輸中的數據加密
D. 用正式的變革管理流程
查看答案
正確答案: D
問題 #199
以下哪項是集中式信息安全組織結構的最佳優勢?
A. 允許在整個企業內實現共同的保證級別。
B. 容易管理和控制業務部門的安全團隊。
C. 能滿足業務部門的需求。
D. 能更快地處理安全豁免申請。
查看答案
正確答案: B
問題 #200
以下哪項是信息安全標準中最重要的信息?
A. 建日期
B. 者姓名
C. 稿批准日期
D. 次審查日期
查看答案
正確答案: D
問題 #201
誰可以 BEST 批准實施信息安全治理框架的計劃?
A. 部審計員
B. 息安全管理
C. 導委員會
D. 礎設施管理
查看答案
正確答案: C
問題 #202
信息分類計劃應
A. 考慮安全漏洞可能造成的影響。
B. 對電子形式的個人信息進行分類。
C. 由信息安全管理人員執行。
D. 根據處理的數據對系統進行分類。
查看答案
正確答案: A
問題 #203
以下哪項是向高級管理層傳達信息安全風險的最有效方法?
A. 務影響分析
B. 衡計分卡
C. 鍵績效指標(KPI)
D. 圖
查看答案
正確答案: A
問題 #204
在定期向高級管理層提交的報告中,以下哪項最有助於證明信息安全計劃的有效性?
A. 鍵風險指標(KRI)
B. 力成熟度模型
C. 鍵成功要素(CSF)
D. 鍵績效指標(KPI)
查看答案
正確答案: A
問題 #205
實施一項提高認識計劃,以降低通過使用社交媒體傳播感染的風險。以下哪項能最好地確定宣傳計劃的有效性?
A. 高認識計劃後調查
B. 於宣傳計劃材料的小測驗
C. 擬社交工程攻擊
D. 傳計劃的員工出席率
查看答案
正確答案: C
問題 #206
以下哪項是信息安全經理確保將安全納入組織項目開發流程的最有效方法?
A. 設計、測試和實施過程中進行安全審查。
B. 組織的安全要求納入項目管理。
C. 項目管理辦公室保持良好的溝通。
D. 與項目的啓動、審批和供資。
查看答案
正確答案: A
問題 #207
以下哪項對在組織內部成功實施信息安全最爲關鍵?
A. 息安全管理員負責制定信息安全政策
B. 息安全小組具有很強的風險管理技能
C. 信息安全工具分配預算
D. 所有管理人員和員工進行有效的安全宣傳
查看答案
正確答案: D
問題 #208
在選擇恢復站點時,以下哪項是首要考慮因素?
A. 管要求
B. 復時間目標
C. 理位置
D. 復點目標
查看答案
正確答案: B
問題 #209
在公司的電子商務網站上,有關數據隱私的良好法律聲明應包括:
A. 關於公司將如何處理所收集信息的聲明。
B. 關於其網站信息準確性的免責聲明。
C. 有關如何保護信息的技術信息。
D. 有關信息託管地點的聲明。
查看答案
正確答案: A
問題 #210
一份好的隱私聲明應包括
A. 關於信息準確性責任的通知。
B. 通知信息將被加密。
C. 公司將如何處理收集到的信息。
D. 信息分類過程說明。
查看答案
正確答案: C
問題 #211
以下哪種做法可以完全防止兩臺主機之間的中間人(MitM)攻擊?
A. 用安全令牌進行身份驗證
B. 過 IPSec VPN 連接
C. 用帶有服務器端證書的 https
D. 行靜態媒體訪問控制 (MAC) 地址
查看答案
正確答案: B
問題 #212
在大型企業中,確定恢復時間目標(RTO)主要由以下人員負責:
A. IT 經理。
B. 信息安全經理。
C. 業務部門經理。
D. 高級經理。
查看答案
正確答案: D
問題 #213
包括以下內容的設計可最直接地解決應用程序數據完整性風險:
A. 訪問控制技術,如基於角色的權限。
B. 嚴格應用經授權的數據字典。
C. 應用程序日誌要求,如現場級審計跟蹤和用戶活動日誌。
D. 校驗和、哈希總計和記錄計數等調節例程。
查看答案
正確答案: D
問題 #214
誰負責確保信息的機密性?
A. 級管理層
B. 全管理員
C. 據所有者
D. 管人
查看答案
正確答案: C
問題 #215
以下哪項是保持企業員工對信息意識興趣的最佳方法?
A. 保爲所有員工制定共同的安全意識計劃
B. 安全意識計劃與安全政策聯繫起來
C. 保所有員工參與
D. 用各種交付方法
查看答案
正確答案: D
問題 #216
在以下情況下,信息安全管理人員可能無法接受暫時停止某些監控程序,即使是在接受操作風險的支持下:
A. 這意味着合規風險。
B. 短期影響無法確定。
C. 它違反了行業安全慣例。
D. 無法檢測到角色矩陣的變化。
查看答案
正確答案: A
問題 #217
風險管理的目標是將風險降至最低水平,即
A. 符合安全政策
B. 考慮到行業和監管環境的實際情況。
C. 從技術和財務角度看是可以實現的。
D. 鑑於組織的偏好,可以接受。
查看答案
正確答案: A
問題 #218
當信息安全經理尋求高級管理層的承諾時,了解以下哪項最重要?
A. 保費用
B. 術漏洞
C. 全技術要求
D. 施任務
查看答案
正確答案: C
問題 #219
將風險管理實踐納入現有生產系統的最有效方法是:
A. 制定政策。
B. 變革管理。
C. 意識培訓。
D. 定期監測。
查看答案
正確答案: B
問題 #220
將技術風險降低到可接受的水平應主要基於以下幾點:
A. 業務流程再造。
B. 業務流程要求。
C. 法律法規要求。
D. 信息安全預算。
查看答案
正確答案: B
問題 #221
確定系統對業務的關鍵性的最佳方法是:
A. 威脅評估。
B. 資產分類。
C. 漏洞評估。
D. 影響評估。
查看答案
正確答案: B
問題 #222
風險管理最具成本效益:
A. 持續進行。
B. 在制定安全計劃的業務案例時。
C. 在安全計劃制定之初。
D. 與其他企業保障職能相結合。
查看答案
正確答案: D
問題 #223
在準備實施安全信息和事件管理系統(SIEM)的商業案例時,以下哪項應成爲可行性研究的主要驅動因素?
A. 件成本
B. 本效益分析
C. 施時間框架
D. 業基準
查看答案
正確答案: B
問題 #224
以下哪項是防止蓄意破壞內部安全的最有效方法?
A. 選未來僱員
B. 心設計的防火牆系統
C. 心設計的入侵檢測系統(IDS)
D. 物識別安全訪問控制
查看答案
正確答案: B
問題 #225
系統管理員沒有立即通知安全官有關惡意攻擊的情況。信息安全管理員可以通過以下措施防止這種情況發生:
A. 定期測試事件響應計劃。
B. 定期測試入侵檢測系統 (IDS)。
C. 對所有人員進行強制性培訓。
D. 定期審查事件響應程序。
查看答案
正確答案: A
問題 #226
以下哪項是防範魚叉式網絡釣魚攻擊最有效的方法?
A. 一威脅管理
B. 絡過濾
C. 垃圾郵件解決方案
D. 戶意識培訓
查看答案
正確答案: D
問題 #227
在企業運營中使用公司擁有的移動設備時,以下哪項是信息安全經理的首要職責?
A. 求設備具備遠程擦除功能。
B. 設備上執行密碼和數據加密。
C. 展安全意識培訓。
D. 查和更新現有的安全政策。
查看答案
正確答案: D
問題 #228
在網絡上傳輸個人信息時,必須對以下方面進行適當控制:
A. 變革管理。
B. 保護隱私。
C. 同意數據傳輸。
D. 加密設備。
查看答案
正確答案: B
問題 #229
在不再需要承包商和其他臨時用戶的系統訪問權限時,以下哪種做法是 BEST 的做法?
A. 錄所有賬戶使用情況,並將其發送給經理
B. 先確定自動失效日期
C. 求管理人員在用戶離開時發送安全電子郵件
D. 保每個人都籤署了安全確認書
查看答案
正確答案: B
問題 #230
在一次安全評估中,信息安全經理發現一臺託管重要業務應用程序的服務器上未安裝多個安全補丁。爲了避免中斷應用程序,應用程序所有者沒有批准安裝修補程序。信息安全經理應首先採取以下哪種措施?
A. 風險上報高級管理層。
B. 潛在影響告知應用程序所有者。
C. 信息安全指導委員會報告風險。
D. IT 管理人員一起確定緩解方案。
查看答案
正確答案: D
問題 #231
一家擁有大量用戶的企業發現有必要改進訪問控制應用程序。以下哪項最有助於防止未經授權的用戶訪問網絡和應用程序?
A. 點登錄
B. 物識別系統
C. 雜的用戶密碼
D. 問控制列表
查看答案
正確答案: D
問題 #232
脆弱性評估的主要目的是
A. 確定潛在威脅的影響。
B. 測試入侵檢測系統 (IDS) 和響應程序。
C. 提供明確證據,證明系統足夠安全。
D. 檢測可能導致系統故障的缺陷。
查看答案
正確答案: D
問題 #233
在制定信息安全計劃時,什麼是確定可用資源最有用的信息來源?
A. 力測試
B. 務說明
C. 織結構圖
D. 能清單
查看答案
正確答案: D
問題 #234
對於在世界各地開展業務的組織來說,確保安全政策不與當地法律法規相衝突的最佳方法是:
A. 參照外部全球標準,避免任何地區衝突
B. 制定足夠高水平的政策,使其全球適用
C. 通過統一政策
D. 建立全球和地方政策的層次結構
查看答案
正確答案: D
問題 #235
一旦組織的業務部門成功實施了一整套安全控制措施,信息安全經理就必須
A. 確保定期測試控制措施的持續有效性。
B. 將控制權移交給相關企業主。
C. 準備爲未來的系統升級調整控制裝置。
D. 執行測試,將控制性能與行業水平進行比較。
查看答案
正確答案: A
問題 #236
選擇私有雲而不是公共雲的最大好處是:
A. 服務器保護。
B. 收集數據取證。
C. 在線服務的可用性。
D. 控制客戶數據。
查看答案
正確答案: A
問題 #237
在安全計劃中使用風險分析的主要目的是
A. 證明安全支出的合理性。
B. 幫助企業確定需要保護的資產的優先次序。
C. 向執行管理層通報剩餘風險價值。
D. 評估暴露情況並制定補救計劃。
查看答案
正確答案: D
問題 #238
在編制了中央風險登記冊並確定了優先次序後,確定了若干重大風險。信息安全管理人員最重要的行動是:
A. 向高級管理層提供風險處理方案。
B. 設計和實施控制措施以降低風險。
C. 就如何處理風險諮詢外部第三方。
D. 確保員工了解風險。
查看答案
正確答案: A
問題 #239
在制定信息安全資源業務案例時,以下哪項最重要?
A. 級管理層的意見
B. 距分析
C. 本效益分析
D. 險評估
查看答案
正確答案: C
問題 #240
在確定風險管理戰略時,應確定以下哪項?
A. 險評估標準
B. 織目標和風險偏好
C. 息技術架構的複雜性
D. 業災難恢復計劃
查看答案
正確答案: B
問題 #241
業務風險的識別和優先排序使項目經理能夠
A. 確定實施裏程碑。
B. 減少總體鬆弛時間。
C. 處理最重要的領域。
D. 加速完成關鍵路徑。
查看答案
正確答案: C
問題 #242
A 組織提供電子商務服務,並使用安全傳輸協議保護互聯網通信。要確認與 A 組織的通信,客戶最好驗證以下哪項?
A. 子商務服務器證書
B. 覽器顯示使用了 SSL
C. 子商務服務器的 IP 地址
D. 子商務服務器的 URL
查看答案
正確答案: A
問題 #243
一份包含與組織業務活動具體聯繫的信息安全戰略文件首先是一個指標:
A. 業績衡量。
B. 整合。
C. 對齊。
D. 價值交付。
查看答案
正確答案: C
問題 #244
通過適當的控制措施,若干已識別的風險已被降低到可接受的水平。以下哪些活動最有助於維持可接受的風險水平?
A. 常評估內在風險
B. 期審查環境變化
C. 已實施的控制措施進行定期成本效益分析
D. 常評估風險行動計劃
查看答案
正確答案: A
問題 #245
在資源有限的安全計劃中,以下哪種方法能最好地利用有限的資源?
A. 叉培訓
B. 避風險
C. 定風險優先次序
D. 脅管理
查看答案
正確答案: C
問題 #246
信息安全風險分析 BEST 可幫助組織確保:
A. 基礎設施有適當級別的訪問控制。
B. 就哪些資產需要保護作出成本效益高的決定
C. 爲安全程序提供適當的資金。
D. 織採用適當的安全技術
查看答案
正確答案: B
問題 #247
可以通過建立 BEST 來實現授權:
A. 數據的所有權。
B. 用戶獲得系統訪問權限後可以做什麼。
C. 用戶是否如其所言。
D. 用戶如何向信息系統表明自己的身份。
查看答案
正確答案: B
問題 #248
當最終用戶表示新的安全控制措施限制性太強時,信息安全經理應如何處理?
A. 行業務影響分析 (BIA)
B. 得流程所有者的支持,取消控制措施
C. 修改控制環境進行風險評估
D. 修改控制環境進行成本效益分析
查看答案
正確答案: C
問題 #249
在制定信息分類政策時,以下哪項是最相關的因素?
A. 息數量
B. 用的信息技術基礎設施
C. 定基準
D. 據所有者的要求
查看答案
正確答案: D
問題 #250
傳達信息安全風險對組織目標的影響程度的最有效方法是介紹:
A. 業務影響分析 (BIA) 結果。
B. 詳細的威脅分析結果。
C. 風險治療方案。
D. 風險熱圖。
查看答案
正確答案: D
問題 #251
以下哪項應作爲根據外部審計報告的建議批准實施災難恢復(DR)站點的主要理由?
A. 本效益分析
B. 復時間目標(RTO)
C. 難恢復站點的安全控制
D. 管要求
查看答案
正確答案: A
問題 #252
在與第三方供應商籤訂虛擬主機協議時,以下哪項是最重要的內容?
A. 止條件
B. 任限額
C. 務水平
D. 私限制
查看答案
正確答案: C
問題 #253
資產分類對成功的信息安全計劃非常重要,其主要原因是分類決定了:
A. 風險緩解工作的優先順序和程度。
B. 發生損失時所需的保險金額。
C. 適當的資產保護水平。
D. 與同行組織相比,保護水平如何。
查看答案
正確答案: C
問題 #254
某組織希望將信息安全納入其人力資源管理流程。以下哪項應該是第一步?
A. 估信息安全整合的成本
B. 估流程的業務目標
C. 定與流程相關的信息安全風險
D. 最佳做法爲基準確定流程,找出差距
查看答案
正確答案: B
問題 #255
在風險評估過程中,應首先執行以下哪個步驟?
A. 作人員訪談
B. 脅識別
C. 產識別和估值
D. 定已識別風險的可能性
查看答案
正確答案: C
問題 #256
以下哪項能最有效地幫助組織監控標準化配置的實施?
A. 施單獨的變更跟蹤系統,記錄配置變更。
B. 行定期審核,檢測不合規的配置。
C. 定要求使用既定基準的政策。
D. 據既定基準實施自動掃描。
查看答案
正確答案: D
問題 #257
信息安全管理人員應使用風險評估技術來
A. 說明選擇風險緩解戰略的理由。
B. 投資回報最大化(ROD
C. 爲審計員和監管機構提供文件。
D. 量化原本主觀的風險。
查看答案
正確答案: A
問題 #258
恢復點目標(RPO)需要以下哪項?
A. 害申報
B. 像修復前
C. 統恢復
D. 像後處理
查看答案
正確答案: B
問題 #259
一名安全經理正在準備一份報告,以獲得執行管理層對安全計劃的承諾。包含以下哪項內容最有價值?
A. 似組織真實事件的實例
B. 認最佳做法說明
C. 現實威脅與企業目標聯繫起來
D. 前技術風險分析
查看答案
正確答案: C
問題 #260
信息安全應該是
A. 專注於消除所有風險。
B. 兼顧技術要求和業務要求。
C. 由監管要求驅動。
D. 由董事會確定。
查看答案
正確答案: B
問題 #261
以下哪項是提高具有安全功能的系統管理員責任心的最佳選擇?
A. 職務說明中列入安全職責
B. 求管理員獲得安全認證
C. 系統管理員進行滲透測試和漏洞評估培訓
D. 系統管理員進行風險評估培訓
查看答案
正確答案: A
問題 #262
決定新風險應屬於定期報告還是事件驅動報告應基於以下哪項?
A. 解控制措施
B. 響的可見度
C. 生的可能性
D. 件頻率
查看答案
正確答案: B
問題 #263
以下哪項應作爲信息安全戰略的首要基礎?
A. 織的願景和使命。
B. 息安全政策。
C. 面差距分析的結果。
D. 計和監管要求。
查看答案
正確答案: A
問題 #264
除了業務調整和安全所有權,以下哪項對信息安全治理最爲關鍵?
A. 統的可審計性
B. 守政策
C. 全指標報告
D. 政贊助
查看答案
正確答案: A
問題 #265
以下哪項是鼓勵業務部門在信息安全計劃中發揮作用和承擔責任的最佳方法?
A. 行風險評估。
B. 展宣傳計劃。
C. 行安全審計。
D. 定控制措施和對策。
查看答案
正確答案: B
問題 #266
以下哪項是進行風險分析最重要的原因?
A. 定適當的保護級別
B. 定關鍵信息資產
C. 別和消除威脅
D. 進組織提高安全意識
查看答案
正確答案: A
問題 #267
當收到供應商提供的互聯網軟件安全補丁時,應首先開展以下哪項活動?
A. 使用哈希算法驗證補丁。
B. 補程序應應用於關鍵系統。
C. 迅速向存在漏洞的系統部署補丁。
D. 在測試環境中對補丁進行評估。
查看答案
正確答案: A
問題 #268
以下哪種方法是安全傳輸信息的最佳方法?
A. 密碼保護的可移動媒體
B. 全室內的傳真傳輸
C. 用公鑰基礎設施(PKI)加密
D. 寫術
查看答案
正確答案: C
問題 #269
風險管理計劃旨在降低以下風險:
A. 水平太小,無法測量。
B. 收益超過支出的點。
C. 組織願意接受的水平。
D. 回報率等於當前的資本成本。
查看答案
正確答案: C
問題 #270
在確保銷售點 (POS) 收銀機獲取的客戶信用卡數據安全時,以下哪項是最重要的考慮因素?
A. 份驗證
B. 化
C. 密
D. 可抵賴性
查看答案
正確答案: C
問題 #271
以下哪項最能體現信息安全治理與公司治理之間的一致性?
A. 業務單位安全事件的平均數量
B. 業務價值的角度說明安保項目的理由
C. 查明的高風險信息資產漏洞數量
D. 決全企業安全事件的平均時間
查看答案
正確答案: B
問題 #272
以下哪種訪問控制最有效?
A. 中式
B. 於角色
C. 散式
D. 處權
查看答案
正確答案: B
問題 #273
以下哪項是做出戰略性信息安全決策的最佳方法?
A. 立信息安全指導委員會。
B. 期召開高級管理層會議。
C. 立定期信息安全狀況報告制度。
D. 立業務單位安全工作組。
查看答案
正確答案: D
問題 #274
爲了證明投資法證分析工具的必要性,信息安全經理應在以下方面進行思考:
A. 審查解決方案的功能和實施要求。
B. 審查同行公司實施工具的比較報告。
C. 舉例說明這種工具在哪些情況下會有用。
D. 證實爲滿足組織需求而進行的投資。
查看答案
正確答案: D
問題 #275
在跨國組織中,本地安全法規的實施應優先於全球安全政策,因爲
A. 宣傳地方法規比宣傳全球政策更實用。
B. 全球安全政策包括對本地企業不必要的控制。
C. 業務目標由當地業務部門經理確定。
D. 當地法規的要求優先。
查看答案
正確答案: D
問題 #276
以下哪項 BEST 能讓信息安全經理識別與基於雲的解決方案相關的風險?
A. 據組織的安全政策評估解決方案
B. 查供應商對服務水平協議(SLA)的遵守情況
C. 查雲服務提供商的第三方審計
D. 使用雲解決方案的同行組織進行基準比較
查看答案
正確答案: C
問題 #277
數據所有者主要負責制定風險緩解方法,以解決以下哪個方面的問題?
A. 臺安全
B. 利變更
C. 侵檢測
D. 病毒控制
查看答案
正確答案: B
問題 #278
以下哪項最常屬於信息安全治理指導委員會的工作範圍?
A. 試信息安全專家職位的候選人
B. 安全意識計劃編制內容
C. 定信息安全舉措的優先次序
D. 准訪問關鍵財務系統
查看答案
正確答案: C
問題 #279
信息安全戰略計劃的主要目標是
A. 制定風險評估計劃。
B. 制定數據保護計劃。
C. 保護信息資產和資源。
D. 建立安全治理。
查看答案
正確答案: C
問題 #280
確定恢復時間目標(RTO)的最佳方法是平衡成本與現實的恢復時間框架:
A. 進行業務影響分析 (BIA)。
B. 確定每日停機成本。
C. 分析成本指標。
D. 進行風險評估。
查看答案
正確答案: A
問題 #281
信息安全管理計劃的最基本要求是
A. 與公司業務戰略保持一致。
B. 以健全的風險管理方法爲基礎。
C. 充分遵守法規。
D. 爲安全舉措提供最佳做法。
查看答案
正確答案: A
問題 #282
通過將風險識別、分析和緩解活動與以下方面聯繫起來,BEST 可以將這些活動整合到業務生命周期流程中:
A. 合規性測試
B. 配置管理
C. 連續性規劃
D. 變革管理
查看答案
正確答案: B
問題 #283
在制定支持信息安全計劃投資的商業案例時,以下哪項最重要?
A. 級管理層支持
B. 本效益分析結果
C. 險評估結果
D. 風險狀況的影響
查看答案
正確答案: D
問題 #284
以下哪項是防止組織外部人員修改企業數據庫中敏感信息的最有效解決方案?
A. 選子網
B. 息分類政策和程序
C. 於角色的訪問控制
D. 侵檢測系統(IDS)
查看答案
正確答案: A
問題 #285
針對可能影響關鍵任務服務器的新漏洞的驗證補丁已發布,應立即採取哪些措施?
A. 加緩解控制措施。
B. 查服務器的安全性並安裝補丁。
C. 行影響分析。
D. 閉服務器並安裝補丁。
查看答案
正確答案: C
問題 #286
以下哪項是進行業務影響分析 (BIA) 的最佳理由?
A. 助確定當前的風險狀況
B. 所需的控制措施編制適當的預算
C. 足監管要求
D. 析對企業的影響
查看答案
正確答案: A
問題 #287
爲了幫助用戶採用與數據隱私法規相關的適當控制措施,什麼是最需要向用戶傳達的?
A. 據保護產品的特點
B. 據存儲程序
C. 透測試結果
D. 據分類政策
查看答案
正確答案: B
問題 #288
組織在實施信息安全治理計劃時,其董事會應負責
A. 起草信息安全政策。
B. 審查培訓和提高認識計劃。
C. 確定計劃的戰略方向。
D. 合規審計。
查看答案
正確答案: C
問題 #289
當風險發生率較低但影響較大時,以下哪項是最合適的行動方案?
A. 險轉移
B. 受風險
C. 險緩解
D. 避風險
查看答案
正確答案: A
問題 #290
在考慮資產價值時,以下哪項能爲信息安全經理提供衡量信息安全治理價值交付的最客觀依據?
A. 制數量
B. 現控制目標的成本
C. 制措施的有效性
D. 制措施的測試結果
查看答案
正確答案: B
問題 #291
一家在 15 個國家開展業務的跨國公司正在考慮實施一項信息安全計劃。哪個因素對信息安全計劃的設計影響最大?
A. 區商業領袖的代表性
B. 事會的組成
C. 同國家的文化
D. 息技術安全技能
查看答案
正確答案: C
問題 #292
某組織購買了一個安全信息和事件管理(SIEM)工具。在實施之前,以下哪項是最需要考慮的?
A. 應監測的控制措施
B. 報告能力
C. SIEM 供應商籤訂的合同
D. 用的技術支持
查看答案
正確答案: A
問題 #293
IT 服務提供商與其客戶之間需要建立以下哪種關係,才能最好地實現充分的服務連續性,爲中斷做好準備?
A. 據保留政策
B. 務器維護計劃
C. 復時間目標
D. 惠站點協議
查看答案
正確答案: C
問題 #294
確定基於異常的入侵檢測系統 (IDS) 是否安裝正確的最佳方法是:
A. 模擬攻擊並檢查 IDS 性能。
B. 使用蜜罐檢查異常活動。
C. 審計 IDS 的配置。
D. 將 IDS 與同行網站進行比較。
查看答案
正確答案: A
問題 #295
以下哪個因素是信息安全治理的主要驅動因素,無需進一步說明?
A. 行業最佳做法保持一致
B. 務連續性投資
C. 業利益
D. 守法規
查看答案
正確答案: D
問題 #296
以下哪項最恰當地描述了信息安全經理在多學科團隊中的角色?
A. 保識別所有信息技術風險
B. 估信息安全風險的影響
C. 明信息技術緩解控制措施到位
D. 議新的信息技術控制措施,以降低運營風險
查看答案
正確答案: B
問題 #297
在安全治理框架內,以下哪項是信息安全委員會最重要的特徵?委員會:
A. 經常審查安全政策
B. 與外部專業人員建立了關係
C. 有明確規定的章程和會議規程
D. 包括來自各級管理層的混合成員
查看答案
正確答案: D
問題 #298
在爲外包應用程序制定保護策略時,信息安全經理必須確保: 1:
A. 託管協議已經到位。
B. 安全要求包含在服務級別協議 (SLA) 中。
C. 安全責任在服務級別協議 (SLA) 中轉移。
D. 合同中有保密條款。
查看答案
正確答案: B
問題 #299
在制定向信息安全戰略委員會報告的衡量標準時,最重要的考慮因素是什麼?
A. 定衡量標準的基線值
B. 發用於交流衡量標準的儀錶板
C. 時洞察組織的安全態勢
D. 行業標準爲基準確定指標的預期值
查看答案
正確答案: A
問題 #300
某組織聘請第三方供應商監控和支持受監管機構審查的財務應用程序。以下哪項控制措施能最有效地管理該組織的風險?
A. 系統和數據之間實行職責分離
B. 活訪問和數據記錄
C. 止供應商訪問,只有在需要訪問時才重新啓用
D. 期審查供應商僱員的訪問權限
查看答案
正確答案: B
問題 #301
風險管理計劃的首要目標是
A. 儘量減少固有風險。
B. 消除業務風險。
C. 實施有效控制。
D. 儘量減少殘餘風險。
查看答案
正確答案: D
問題 #302
在進行風險評估後,確定降低風險的成本遠高於獲得的收益。信息安全經理應向業務管理部門建議將該風險:
A. 轉讓。
B. 治療。
C. 接受。
D. 終止。
查看答案
正確答案: C
問題 #303
當遺留應用程序不符合監管要求,但業務部門沒有預算進行補救時,信息安全經理應首先採取以下哪種措施?
A. 制定爲補救工作提供資金的商業案例。
B. 建議高級管理層接受不合規的風險。
C. 將不合規的遺留應用程序通知法律和內部審計部門。
D. 據補救成本評估不合規的後果。
查看答案
正確答案: D
問題 #304
分公司運營所需的關鍵系統位於公司總部。A 分公司正在與第三方洽談提供災難恢復設施的事宜,以下哪項合同條款最值得關注?
A. 部的熱點可能需要共享。
B. 提供從熱站點到公司總部的連接。
C. 同中不包括不履約的處罰條款。
D. 同中沒有規定對熱區進行審計的權利。
查看答案
正確答案: B
問題 #305
在丟失未加密數據的移動設備時,以下哪個因素是最重要的考慮因素?
A. 人信息的披露
B. 險單對意外損失有足夠的承保範圍
C. 儲在設備上的數據的內在價值
D. 備的重置成本
查看答案
正確答案: C
問題 #306
以下哪項是信息安全治理的好處?
A. 少民事或法律責任的可能性
B. 疑供應商關係中的信任
C. 加根據不完整的管理信息做出決策的風險
D. 級管理層直接參與制定控制流程
查看答案
正確答案: A
問題 #307
以下哪項是風險排序中最重要的步驟?
A. 響評估
B. 解成本
C. 脅評估
D. 弱性分析
查看答案
正確答案: A
問題 #308
某業務部門打算部署一項新技術,但其部署方式違反了現有的信息安全標準。信息安全經理應立即採取什麼行動?
A. 行現有的安全標準
B. 改標準,允許部署
C. 行風險分析,量化風險
D. 展研究,建議使用更好的技術
查看答案
正確答案: C
問題 #309
在做出外包決定時,以下哪項職能對保留在組織內部最爲重要?
A. 全管理
B. 件應對
C. 險評估
D. 全治理
查看答案
正確答案: D
問題 #310
在選擇監控信息安全計劃相關風險的指標時,最重要的是信息安全經理要
A. 利用行業基準。
B. 考慮組織的業務戰略。
C. 確定計劃的風險和補償控制措施。
D. 考慮計劃的戰略目標。
查看答案
正確答案: B
問題 #311
以下哪項對防止引入可能會破壞關鍵業務應用程序可用性的漏洞最爲有效?
A. 丁管理流程
B. 更管理控制
C. 輯訪問控制
D. 本控制
查看答案
正確答案: B
問題 #312
在支持組織的隱私官時,以下哪項是信息安全經理在首要要求方面的主要職責?
A. 控私人數據的傳輸
B. 展隱私意識計劃
C. 保適當的控制措施到位
D. 定數據分類
查看答案
正確答案: C
問題 #313
某組織的營銷部門希望使用不符合信息安全政策的在線協作服務。已進行風險評估,正在尋求風險接受。應由以下人員批准風險接受:
A. 信息安全經理
B. 企業高級管理層
C. 首席風險官
D. 合規官員。
查看答案
正確答案: B
問題 #314
在確定信息安全重新評估的頻率時,以下哪項是最重要的因素?
A. 險優先級
B. 險度量
C. 計結果
D. 解控制措施
查看答案
正確答案: B
問題 #315
以下哪項最適合董事會層面的信息安全治理活動?
A. 立安全和連續性所有權
B. 對事件制定 "假設 "情景
C. 定安全基線措施
D. 安全納入工作績效考核
查看答案
正確答案: A
問題 #316
某組織最近的風險評估確定了許多安全風險領域,高級管理層要求對評估結果進行五分鐘的概述。以下哪項是信息安全經理介紹該信息的最佳選擇?
A. 險登記冊
B. 險熱圖
C. 蛛圖
D. 衡計分卡
查看答案
正確答案: B
問題 #317
以下哪項是證明組織的信息安全治理框架有效的最佳證據?
A. 組織的威脅已經減少。
B. 險登記冊每年審查一次。
C. 框架主要側重於技術控制。
D. 框架能適應組織變革。
查看答案
正確答案: A
問題 #318
爲確保 IT 基礎設施人員做好充分的災難準備,最重要的是:
A. 讓最有經驗的人員參與恢復測試。
B. 讓最終用戶人員參與每次恢復測試。
C. 在恢復計劃中指定具體人員的職責。
D. 定期輪換恢復測試參與者。
查看答案
正確答案: D
問題 #319
經過風險評估研究,一家全球運營的銀行決定繼續在身份盜竊猖獗的某些地區開展業務。信息安全經理應鼓勵該企業:
A. 加強對這些地區客戶的宣傳。
B. 實施監控技術,以發現潛在的欺詐行爲並作出反應。
C. 將信用卡處理外包給第三方。
D. 如果客戶不聽從銀行的建議,則要對損失負責。
查看答案
正確答案: B
問題 #320
以下哪項最能體現高級管理層對信息安全計劃的支持?
A. 定並定期審查詳細的信息安全政策。
B. 息安全經理定期與業務部門會面。
C. 信息安全計劃定義關鍵績效指標 (KPI)。
D. 息安全團隊經常進行風險評估。
查看答案
正確答案: C
問題 #321
以下哪項最有可能降低基於特徵碼的入侵檢測系統(IDS)的有效性?
A. 監控的活動偏離正常範圍。
B. 監控活動的信息變得陳舊。
C. 常行爲模式迅速發生巨大變化。
D. 境是複雜的。
查看答案
正確答案: D
問題 #322
抵禦結構化查詢語言 (SQL) 注入攻擊的最佳方法是什麼?
A. 期更新籤名檔
B. 確配置的防火牆
C. 侵檢測系統
D. 格控制輸入字段
查看答案
正確答案: D
問題 #323
以下哪項是實施有效運行安全態勢的最佳策略?
A. 脅管理
B. 深防禦
C. 高安全意識
D. 洞管理
查看答案
正確答案: B
問題 #324
某機構與第三方電子商務提供商籤訂了合同。在隨後的合規審查期間,信息安全經理最需要檢查以下哪項內容?
A. 供方控制和基礎設施的變化
B. 務撥款和維護費用
C. 守服務級別協議
D. 同中的審計權條款
查看答案
正確答案: A
問題 #325
讓信息安全指導委員會審查新的安全控制實施計劃的主要原因是要確保: 1:
A. 計劃與組織的業務計劃相一致。
B. 合理分配部門預算,以支付該計劃的費用。
C. 符合監管要求。
D. 減少計劃對業務部門的影響。
查看答案
正確答案: A
問題 #326
爲了證明持續安全預算的合理性,以下哪項對信息安全部門最有用?
A. 全漏洞頻率
B. 期年損失率(ALE)
C. 本效益分析
D. 行比較
查看答案
正確答案: C
問題 #327
能力計劃的實施將防止
A. 分布式拒絕服務攻擊導致文件系統超載
B. 定期安全維護時的系統停機時間
C. 利用緩衝區容量漏洞造成的軟件故障
D. 硬件資源不足導致的應用程序故障
查看答案
正確答案: D
問題 #328
要清楚地了解新監管要求對組織信息安全控制的影響,信息安全經理應在以下方面做 出努力
A. 與高級管理層面談
B. 進行風險評估
C. 進行成本效益分析
D. 進行差距分析
查看答案
正確答案: D
問題 #329
一個組織的信息安全程序目前被定義爲臨時性的。爲提高其績效水平,組織下一步應:
A. 確保整個組織的安全流程一致。
B. 在整個組織內執行基準安全級別。
C. 確保安全流程有完整的文件記錄。
D. 對安全流程的關鍵績效指標實施監控。
查看答案
正確答案: A
問題 #330
高級管理層決定接受安全補救計劃中的重大風險。以下哪項是信息安全經理的最佳行動方案?
A. 救風險並記錄理由。
B. 據風險接受程度更新風險登記冊。
C. 董事會傳達補救計劃。
D. 監管機構報告風險接受情況。
查看答案
正確答案: C

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.