準備 CISM 考試問題和練習測試，註冊信息安全經理

問題 #1

在以可用性爲首要考慮因素的組織中，補丁管理程序最關鍵的成功因素是

A. 部署前的測試時間窗口。

B. 負責團隊的技術能力。

C. 認證部署的有效性。

D. 自動部署到所有服務器。

查看答案

正確答案: A

問題 #2

以下哪項對衡量安全意識計劃的有效性最爲重要？

A. ��全違規報告數量減少

B. ��化評估，確保用戶理解

C. ��點小組對安全問題的興趣增加

D. ��全違規報告數量增加

查看答案

正確答案: B

問題 #3

職責分離是一種安全控制，主要用於

A. 建立雙重檢查。

B. 建立等級制度。

C. 限制惡意行爲。

D. 下放業務。

查看答案

正確答案: C

問題 #4

某組織一年前實施了一項強制性信息安全意識培訓計劃。確定其有效性的最佳方法是什麼？

A. ��析以往審計報告的結論

B. ��析培訓完成報告的結果

C. ��析社會工程測試的結果

D. ��析員工對培訓滿意度調查的答覆

查看答案

正確答案: C

問題 #5

確認所有防火牆規則和路由器配置設置是否充分的最佳方法是什麼？

A. ��期審查網絡配置

B. ��看入侵檢測系統 (IDS) 日誌，查找攻擊證據

C. ��期進行滲透測試

D. ��天審查服務器日誌，查找黑客活動的證據

查看答案

正確答案: C

問題 #6

信息安全經理擔心行政管理層不支持信息安全計劃。以下哪項是解決這種情況的最佳方法？

A. ��董事會報告信息安全計劃的風險和狀況

B. ��訂信息安全戰略，以滿足執行管理層的期望

C. ��不合規問題上報內部審計經理

D. ��明信息安全職能與業務需求相一致

查看答案

正確答案: D

問題 #7

網絡入侵檢測系統 (IDS) 可以檢測到以下哪項？

A. ��記錄的開放端口

B. ��經授權更改文件

C. ��部產生的攻擊

D. ��子郵件病毒附件

查看答案

正確答案: A

問題 #8

信息安全經理懷疑組織遭受了勒索軟件攻擊。應首先採取哪些措施？

A. ��知高級管理層。

B. ��員工發出攻擊警報。

C. ��認感染。

D. ��離受影響的系統。

查看答案

正確答案: C

問題 #9

以下哪項活動最能將安全性納入軟件開發生命周期（SDLC）？

A. ��量減少使用開源軟件。

B. ��開發團隊提供安全培訓。

C. ��描操作系統，查找漏洞。

D. ��啓用前測試應用程序

查看答案

正確答案: D

問題 #10

將信息安全活動納入變革管理流程的主要益處在於

A. 確保變更中包含必要的控制措施

B. 保護組織免遭未經授權的更改

C. 爲業務中與安全有關的變化提供更多的問責制

D. 保護企業免受合謀和合規威脅

查看答案

正確答案: A

問題 #11

以下哪項分析能 BEST 識別對組織信息安全的外部影響？

A. ��距分析

B. ��務影響分析

C. ��脅分析

D. ��弱性分析。

查看答案

正確答案: C

問題 #12

某組織最近推出了一項新的採購計劃，其中不包括任何安全要求。信息安全經理應首先完成以下哪項工作？

A. ��據與每個供應商的年度支出額對供應商進行安全評估。

B. ��採購主管會面，討論如何使安全與組織的運營目標保持一致。

C. ��求內部審計部門對第三方安全控制的現狀進行評估。

D. ��出現不合規問題時，將採購計劃漏洞上報合規部門。

查看答案

正確答案: B

問題 #13

某組織允許在員工擁有的智能手機上存儲和使用其關鍵和敏感信息。以下哪項是最佳安全控制？

A. ��求用戶備份組織數據

B. ��立遠程擦除權限

C. ��控智能手機的使用頻率

D. ��展安全意識培訓

查看答案

正確答案: D

問題 #14

以下哪項能最好地幫助信息系統經理獲得執行管理層的戰略支持？

A. ��織內部安全事件年度報告

B. ��球信息安全漏洞趨勢研究

C. ��據國際標準對組織的安全性進行評級

D. ��對組織的風險分析

查看答案

正確答案: D

問題 #15

某組織制定了信息安全政策，但信息安全經理注意到有大量例外請求。以下哪項最有可能是造成這種情況的原因？

A. ��組織在一個高度管制的行業中運作。

B. ��息安全計劃資金不足。

C. ��息安全政策與企業目標不一致。

D. ��息安全政策沒有在整個組織內傳達

查看答案

正確答案: C

問題 #16

高級管理層對組織的入侵防禦系統可能會反覆幹擾業務運營表示擔憂。以下哪項最能說明信息安全經理已針對這一問題對系統進行了調整？

A. ��少誤報

B. ��少假陰性

C. ��加誤報率

D. ��加假陰性

查看答案

正確答案: A

問題 #17

在以下人員中，誰應承擔評估與外包雲計算提供商合同相關的安全風險的主要責任？

A. ��息安全管理員

B. ��規經理

C. ��席信息官

D. ��務交付經理

查看答案

正確答案: D

問題 #18

以下哪種方法能最有效地防止員工門戶網站中的 SQL 注入？

A. ��新配置數據庫模式

B. ��行數據庫的參照完整性

C. ��行代碼審查

D. ��行網絡滲透測試

查看答案

正確答案: B

問題 #19

一家金融機構的主郵件服務器的超級用戶級別已被入侵；確保系統安全的唯一方法是：

A. 更改系統的根密碼。

B. 實施多因素身份驗證。

C. 從原始安裝介質重建系統。

D. 斷開郵件服務器與網絡的連接。

查看答案

正確答案: C

問題 #20

將信息安全風險納入企業風險管理的主要益處在於

A. 確保及時降低風險。

B. 證明信息安全預算的合理性。

C. 獲得高級管理層的承諾。

D. 提供全面的風險視角。

查看答案

正確答案: D

問題 #21

高級管理層已經批准了一項全面的信息安全政策。組織應執行以下哪項工作？

A. ��高員工對政策的認識。

B. ��求業務利益相關者對政策的認同。

C. ��施身份驗證和授權系統。

D. ��定供採用的相關信息安全框架。

查看答案

正確答案: B

問題 #22

確定整個組織內員工的信息安全角色和職責的主要原因是

A. 加強培訓的必要性

B. 加強企業問責制

C. 遵守安全政策

D. 實行個人問責制

查看答案

正確答案: C

問題 #23

在說明爲現有網絡應用程序添加安全控制的成本時，以下哪項最有效？

A. ��部審計報告

B. ��用程序安全策略

C. ��弱性評估結果

D. ��業案例

查看答案

正確答案: D

問題 #24

以下哪項是工作人員不當使用互聯網的潛在指標？

A. ��務臺要求重置密碼的電話增加

B. ��少防火牆的 ping 次數

C. ��於系統性能緩慢的報告增多

D. ��洞掃描產生的弱點數量增加

查看答案

正確答案: C

問題 #25

以下哪項是向利益相關者報告安全指標的首要目標？

A. ��定組織內部的關鍵控制措施

B. ��安全審計活動提供支持

C. ��傳安全計劃的有效性

D. ��示與業務戰略的一致性

查看答案

正確答案: D

問題 #26

使用衡量標準來評估信息安全的主要原因是： 1：

A. 找出安全弱點。

B. 說明預算支出的理由。

C. 實現穩步提高。

D. 提高對安全問題的認識。

查看答案

正確答案: C

問題 #27

信息安全經理 BEST 可以通過以下哪種方式確保安全控制措施足以支持業務目標和目的？

A. ��查公司年度外部審計結果

B. ��用國際公認的控制措施

C. ��違規行爲執行嚴格的懲戒程序

D. ��用風險管理流程

查看答案

正確答案: D

問題 #28

以下哪種設備放置在非軍事區（DMZ）時，會被認爲是最嚴重的暴露？

A. ��理服務器

B. ��件中繼服務器

C. ��用服務器

D. ��據庫服務器

查看答案

正確答案: D

問題 #29

一臺關鍵設備在交付時附帶了單個用戶和密碼，多個用戶需要共享密碼才能訪問該設備。信息安全經理的任務是確保對設備的所有訪問都經過授權。以下哪種方法最有效？

A. ��過需要充分驗證的獨立設備啓用訪問權限

B. ��施手動程序，要求每次使用後都更改密碼

C. ��求供應商添加多個用戶 ID

D. ��析日誌以檢測未經授權的訪問

查看答案

正確答案: A

問題 #30

以下哪項對企業資源規劃（ERP）系統的安全威脅最大？

A. ��記錄用戶臨時報告

B. ��絡流量通過單一交換機

C. ��作系統（OS）安全補丁未應用

D. ��據庫安全性默認爲企業資源規劃設置

查看答案

正確答案: C

問題 #31

在以下情況下，組織最容易受到通過內聯網引入的新蠕蟲病毒的威脅：

A. 桌面病毒定義文件不是最新的。

B. 系統軟件不進行完整性檢查。

C. 主機有靜態 IP 地址。

D. 可執行代碼從防火牆內部運行。

查看答案

正確答案: A

問題 #32

確保外包提供商所開展的活動符合信息安全政策，BEST 可以通過以下方法來實現：

A. 服務水平協議。

B. 獨立審計。

C. 明確的合同語言。

D. 當地法規。

查看答案

正確答案: B

問題 #33

以下哪項是在組織文化中提高信息安全可見度的最佳方法？

A. ��求進行跨職能信息安全培訓

B. ��全公司開展提高用戶意識的活動

C. ��布可接受使用政策

D. ��據行業標準制定安全策略

查看答案

正確答案: A

問題 #34

以下哪項最有助於爲信息安全計劃的業務案例爭取支持？

A. ��示組織一致性

B. ��調對組織的威脅

C. ��考控制缺陷

D. ��交解決方案比較矩陣

查看答案

正確答案: A

問題 #35

在企業中部署自帶設備 (BYOD) 移動項目時，以下哪項是信息安全經理面臨的主要挑戰？

A. ��終用戶的接受程度

B. ��置管理

C. ��動應用程序控制

D. ��同設備的安全性

查看答案

正確答案: C

問題 #36

將個人擁有的移動設備連接到企業電子郵件系統時，以下哪項是最有效的數據丟失控制措施？

A. ��子郵件必須以加密格式存儲在移動設備上。

B. ��接到公共 Wi-Fi 熱點時，必須防止電子郵件同步。

C. ��次連接都必須經高級管理人員批准。

D. ��戶必須同意在移動設備丟失時將其清除。

查看答案

正確答案: D

問題 #37

登錄網絡應用程序後，在不同的應用點還需要進一步的密碼憑證。採用這種方法的主要原因是什麼？

A. ��保授權人員獲得訪問權限

B. ��行強大的雙因素身份驗證

C. ��保會話管理變量安全

D. ��施單點登錄

查看答案

正確答案: A

問題 #38

在確定信息安全重新評估的頻率時，以下哪項是最重要的因素？

A. ��險優先級

B. ��險度量

C. ��計結果

D. ��解控制措施

查看答案

正確答案: B

問題 #39

在與雲計算供應商確定責任時，以下哪項應視爲用戶和供應商之間的共同責任？

A. ��據所有權

B. ��問日誌審查

C. ��用程序日誌

D. ��件應對

查看答案

正確答案: A

問題 #40

計算恢復時間目標 (RTO) 是確定恢復時間的必要條件：

A. 恢復文件所需的時間

B. 修復的優先次序

C. 同步點

D. 預期年損失率 (ALE)

查看答案

正確答案: B

問題 #41

爲幫助確保合同人員不會在未經授權的情況下訪問敏感信息，信息安全經理應首先

A. 將其賬戶設置爲 6 個月或更短時間內到期。

B. 避免授予系統管理角色。

C. 確保他們順利通過背景調查。

D. 確保他們的訪問得到數據所有者的批准。

查看答案

正確答案: B

問題 #42

某企業的人力資源部門希望將其員工系統外包給雲託管解決方案，因爲這樣既能提供功能，又能節省成本。管理層已將此解決方案視爲業務需求，並希望繼續推進。在這項工作中，信息安全應發揮什麼主要作用？

A. ��管理層解釋與解決方案相關的安全問題

B. ��定如何安全地實施解決方案

C. ��保服務提供商獲得適當的認證

D. ��保對服務提供商進行安全審計

查看答案

正確答案: B

問題 #43

以下哪項最有助於確保 IT 服務提供商遵守組織的信息安全要求？

A. ��求對信息技術服務提供商進行外部安全審計

B. ��內部信息技術部門確定信息安全要求

C. ��求信息技術服務提供商定期提交報告

D. �� IT 服務提供商確定業務恢復計劃

查看答案

正確答案: A

問題 #44

信息安全經理查看了訪問控制列表，發現整個部門都被授予了特權訪問權限。信息安全經理應首先執行以下哪項操作？

A. ��查準入程序

B. ��定準許緊急進入的程序

C. ��數據所有者會面，了解業務需求

D. ��新定義和實施適當的訪問權限

查看答案

正確答案: C

問題 #45

一個信息安全小組正在調查某組織網絡被入侵的指控。以下哪項是需要審查的最佳單一證據來源？

A. ��侵檢測系統

B. IEM 工具

C. ��毒軟件

D. ��件完整性監控軟件

查看答案

正確答案: B

問題 #46

某組織將外包關鍵任務流程。在籤署服務級別協議（SLA）之前，以下哪項最需要核實？

A. ��供商採用了最新技術。

B. ��年對提供方的技術人員進行評估。

C. ��應商在組織的行業內廣爲人知。

D. ��供方已接受公認審計公司的審計。

查看答案

正確答案: D

問題 #47

工資單應用系統接受單個用戶登錄 ID，然後使用單個應用 ID 連接到數據庫。這種系統架構的最大弱點是：

A. 用戶可以直接訪問應用程序 ID 並規避數據控制。

B. 當具有相同應用程序 ID 的多個會話發生碰撞時，數據庫會鎖定。

C. 如果應用程序 ID 的密碼過期，數據庫將不可用。

D. 涉及未經授權訪問數據的事件無法與特定用戶聯繫起來。

查看答案

正確答案: D

問題 #48

以下哪種工具最能體現信息安全計劃的有效性？

A. ��鍵風險指標（KRI）

B. ��理滿意度調查

C. ��險熱圖

D. ��全平衡計分卡

查看答案

正確答案: D

問題 #49

以下哪項是漏洞的示例？

A. ��然災害

B. ��缺陷的軟件

C. ��索軟件

D. ��經授權的用戶

查看答案

正確答案: B

問題 #50

以下哪項最需要修訂信息安全政策？

A. ��競爭公司合併

B. ��告的事件增加

C. ��施新的防火牆

D. ��準和程序的變化

查看答案

正確答案: A

問題 #51

向董事會報告信息安全計劃有效性的最佳方式是提交報告：

A. 顯示關鍵性能指標的儀錶板。

B. 同行行業基準。

C. 最新審計結果摘要。

D. 一份關於改進流程節省成本的報告。

查看答案

正確答案: A

問題 #52

基於變化檢測的殺毒軟件方案的一個優勢是它們具有

A. 有機會檢測到當前和未來的病毒株。

B. 更靈活的病毒特徵目錄。

C. 更新頻率低於活動監視器。

D. 避免誤報的概率最高。

查看答案

正確答案: A

問題 #53

當信息安全經理尋求高級管理層的承諾時，了解以下哪項最重要？

A. ��保費用

B. ��術漏洞

C. ��全技術要求

D. ��施任務

查看答案

正確答案: C

問題 #54

針對可能影響關鍵任務服務器的新漏洞的驗證補丁已發布。應立即採取哪些措施？

A. ��加緩解控制措施。

B. ��查服務器的安全性並安裝補丁。

C. ��行影響分析。

D. ��閉服務器並安裝補丁。

查看答案

正確答案: C

問題 #55

在委託外部人員執行滲透測試時，哪一項最重要？

A. ��供網絡文檔

B. ��得 IT 管理層的批准

C. ��定項目範圍

D. ��加日誌審查的頻率

查看答案

正確答案: B

問題 #56

當收到供應商提供的互聯網軟件安全補丁時，應首先開展以下哪項活動？

A. ��使用哈希算法驗證補丁。

B. ��補程序應應用於關鍵系統。

C. ��迅速向存在漏洞的系統部署補丁。

D. ��在測試環境中對補丁進行評估。

查看答案

正確答案: A

問題 #57

在審查批准滲透測試計劃的過程中，信息安全經理應主要關注以下哪項？

A. ��透測試團隊偏離範圍

B. ��經授權使用行政公用設施

C. ��運行人員發出假陽性警報

D. ��生產系統的影響

查看答案

正確答案: D

問題 #58

應防止欺騙，因爲它可能被用來

A. 收集信息、跟蹤流量並識別網絡漏洞。

B. 預測程序在出現選項時的分支方向。

C. 通過僞造發件人地址非法進入安全系統。

D. 捕獲通過網絡傳輸的密碼等信息。

查看答案

正確答案: C

問題 #59

以下哪項是向高級管理層證明組織安全實踐符合行業標準的最佳方法？

A. ��立評估的結果

B. ��新的政策和程序文件

C. ��於控制措施成熟度的報告

D. ��否存在業界認可的框架

查看答案

正確答案: A

問題 #60

軟件中的大多數安全漏洞之所以會出現，是因爲

A. 未對安全功能進行充分測試。

B. 軟件有未記錄的功能。

C. 安全設計不當。

D. 軟件開發不遵守標準。

查看答案

正確答案: D

問題 #61

爲防止公司網絡上的計算機被用作分布式拒絕服務攻擊的一部分，信息安全經理應使用以下方法：

A. 傳入流量過濾

B. 外向流量過濾

C. ��播信息技術安全政策

D. 速度限制

查看答案

正確答案: B

問題 #62

在系統開發項目的測試階段使用敏感客戶數據時，以下哪種方法是最佳方法？

A. ��獨立網絡上建立測試環境。

B. ��客戶數據進行消毒。

C. ��控測試環境，防止數據丟失。

D. ��施與源系統同等的控制措施。

查看答案

正確答案: B

問題 #63

一旦組織的業務部門成功實施了一整套安全控制措施，信息安全經理就必須

A. 確保定期測試控制措施的持續有效性。

B. 將控制權移交給相關企業主。

C. 準備爲未來的系統升級調整控制裝置。

D. 執行測試，將控制性能與行業水平進行比較。

查看答案

正確答案: A

問題 #64

以下哪項是確定組織信息安全狀況的首要任務？

A. ��立資產清單

B. ��出管理權限

C. ��定安全標準

D. ��成威脅評估

查看答案

正確答案: C

問題 #65

正在對一個新系統進行風險分析。對於以下哪項，業務知識比信息技術知識更重要？

A. ��弱性分析

B. ��衡計分卡

C. ��本效益分析

D. ��響分析

查看答案

正確答案: B

問題 #66

由於預算限制，一個內部 IT 應用程序沒有包含滿足客戶服務級別協議 (SLA) 的必要控制。以下哪項是信息安全經理的最佳行動方案？

A. ��不足之處通知法律部門。

B. ��析並向高級管理層報告問題。

C. ��求應用程序所有者實施控制。

D. ��估並向應用程序所有者提出風險。

查看答案

正確答案: D

問題 #67

在資源有限的安全計劃中，以下哪種方法能最好地利用有限的資源？

A. ��叉培訓

B. ��避風險

C. ��定風險優先次序

D. ��脅管理

查看答案

正確答案: C

問題 #68

對基於網絡的業務應用程序進行內部認證的主要原因是確保：

A. 符合行業標準。

B. 確定組織政策框架的變化。

C. 使用最新的網絡技術。

D. 遵守組織政策。

查看答案

正確答案: D

問題 #69

在推薦針對網絡應用程序中跨站腳本的預防性控制措施時，信息安全經理最有可能提出以下建議：

A. 使用 https 代替 http

B. 編碼標準和代碼審查

C. 將多個站點合併爲一個門戶網站

D. 強化網絡服務器的操作系統

查看答案

正確答案: B

問題 #70

在自帶設備 (BYOD) 政策中，關於設備丟失或被盜，以下哪項最重要？員工需要

A. 啓動公司的事件報告程序。

B. 向移動服務提供商尋求建議。

C. 通知當地執法部門。

D. 請求遠程擦除設備。

查看答案

正確答案: D

問題 #71

某企業正在考慮採用自助式解決方案來部署虛擬化開發服務器。信息安全經理應主要關注以下哪項？

A. ��護服務器安全基線的能力

B. ��斷更新補丁的能力

C. ��成過多的安全事件日誌

D. ��務器與生產環境隔離

查看答案

正確答案: D

問題 #72

在實施信息安全框架時，以下哪項是最重要的考慮因素？

A. ��規要求

B. ��計結果

C. ��險偏好

D. ��術能力

查看答案

正確答案: A

問題 #73

以下哪項能最好地降低通過電子郵件泄露私人信息的可能性？

A. ��子郵件加密

B. ��戶意識培訓

C. ��大的用戶身份驗證協議

D. ��止個人使用電子郵件

查看答案

正確答案: D

問題 #74

在對某組織的服務器進行年度安全檢查時，發現客戶服務團隊的文件服務器包含敏感的客戶數據，該組織的所有用戶 ID 都可以訪問該服務器。信息安全經理應首先執行以下哪項工作？

A. ��數據所有者報告情況

B. ��除包含數據的文件夾的訪問權限

C. ��服務器與網絡隔離

D. ��訓客戶服務團隊如何正確控制文件權限

查看答案

正確答案: A

問題 #75

內部控制審計發現了一個與遺留系統有關的控制缺陷，該系統的補償控制似乎不再有效。以下哪項 BEST 可以幫助信息安全經理確定解決控制缺陷的安全要求？

A. ��險評估

B. ��距分析

C. ��本效益分析

D. ��業案例

查看答案

正確答案: B

問題 #76

以下哪項是組織選擇關鍵風險指標（KRI）的最重要因素？

A. ��資回報

B. ��織文化

C. ��規要求

D. ��息的關鍵性

查看答案

正確答案: D

問題 #77

以下哪項是業務影響分析 (BIA) 的主要目標？

A. ��析薄弱環節

B. ��定恢復優先事項

C. ��認控制效果

D. ��定恢復點目標 (RPO)

查看答案

正確答案: D

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取

準備 CISM 考試問題和練習測試，註冊信息安全經理 | SPOTO

提交後看答案

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！ 立即獲取

準備 CISM 考試問題和練習測試，註冊信息安全經理 | SPOTO

提交後看答案

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取