不想錯過任何事?

通過認證考試的技巧

最新考試新聞和折扣資訊

由我們的專家策劃和更新

是的,請向我發送時事通訊

通過練習測試爲 CSA CCAK 考試做好戰略準備

SPOTO 的 CSA CCAK 模擬題對於準備參加雲審計知識證書 (CCAK) 考試的人來說是無價之寶。這些模擬試題提供全面的考試問題和答案,與實際考試形式密切相關。通過定期使用 SPOTO 的模擬試題,考生可以模擬考試情況,找出需要改進的地方,並對自己的知識建立信心。SPOTO 的模擬考試及其豐富的備考資源和學習材料爲成功奠定了堅實的基礎。通過 SPOTO 的考試資源,考生可以有效地備考,並增加順利通過 CCAK 考試的機會。
參加其他線上考試
問題 #1
一位獨立承包商正在根據行業標準評估一家 SaaS 公司的安全成熟度。該 SaaS 公司使用第三方雲服務提供商 (CSP) 提供的雲服務開發並託管了其所有產品。評估 CSP 負責的控制措施的最佳和最有效的機制是什麼?
A. 審查第三方審計報告。
B. 審查 CSP 公布的問卷。
C. 接審核 CSP。
D. 向 CSP 發送供應商調查問卷。
查看答案
正確答案: B
問題 #2
審計公共雲時應審查哪些方面?
A. 丁、源代碼審查、管理程序、訪問控制
B. 身份和訪問管理、數據保護
C. 丁、配置、管理程序、備份
D. 洞管理、網絡安全審查、打補丁
查看答案
正確答案: B
問題 #3
企業在設計雲合規性計劃時,應儘早確定以下哪個關鍵利益相關者?
A. 雲流程所有者
B. 內部控制職能
C. 法律職能
D. 雲戰略所有者
查看答案
正確答案: A
問題 #4
以下哪些 CSP 活動需要客戶批准?
A. 刪除訪客賬戶或測試賬戶
B. 除主賬戶或訂閱所有者賬戶
C. 除訪客賬戶或銷毀測試數據
D. 除測試賬戶或銷毀測試數據
查看答案
正確答案: D
問題 #5
雲服務提供商不允許使用自動化工具進行審計,因爲這些工具可能被視爲雲環境的破壞性技術。審計的以下哪些方面會受到限制?
A. 目的
B. 目標
C. 關係性質
D. 範圍
查看答案
正確答案: B
問題 #6
某組織已按照 ISO 27001 和附件 A 控制措施實施了 ISMS。首席信息官希望將部分基礎設施遷移到雲中。以下哪些標準有助於 BEST 確定遷移過程中需要考慮的控制措施?
A. SO/IEC 27701
B. SO/IEC 22301
C. SO/IEC 27002
D. SO/IEC 27017
查看答案
正確答案: D
問題 #7
某組織正處於採用雲技術的初始階段。它對雲安全和雲責任分擔模式不甚了解。以下哪種方法最適合該機構評估其雲安全?
A. 利用既定標準/規定繪製控制圖,並將其用作審計標準
B. 出於效率原因,使用內部系統的審計標準來審計雲環境
C. 由於這是初始階段,雲服務提供商共享的 ISO/IEC 27001 證書足以用於審計和合規目的。
D. 根據自身內部審計測試計劃制定雲安全審計標準,以確保適當的覆蓋範圍
查看答案
正確答案: A
問題 #8
雲客戶應使用以下哪個控制框架來評估雲提供商的整體安全風險?
A. OC3 - 類型 2
B. 雲控制矩陣 (CCM)
C. OC2 - 類型 1
D. OC1 - 類型 1
查看答案
正確答案: C
問題 #9
以下哪方面的風險管理涉及在發生事故時確定潛在的聲譽損害和/或財務損害?
A. 緩解措施
B. 剩餘風險
C. 可能性
D. 影響分析
查看答案
正確答案: D
問題 #10
使用 SaaS 解決方案時,誰負責應用程序的安全?
A. 僅雲服務提供商
B. 雲服務消費者
C. 消費者和企業
D. 雲提供商和消費者雙方
查看答案
正確答案: A
問題 #11
如果生產託管在公共雲上,而備份在企業內部進行,以下哪項是企業在治理方面面臨的最大挑戰?
A. 使雲服務交付與組織目標相一致
B. 雲提供商的 SLA 與組織的政策保持一致
C. 整供應商和客戶之間的共同責任
D. 組織活動與雲提供商的政策保持一致
查看答案
正確答案: A
問題 #12
雲客戶應負責並審核 SaaS 功能和運營的哪些方面?
A. 問控制
B. 漏洞管理
C. 代碼審查
D. 修補
查看答案
正確答案: A
問題 #13
開放式認證框架建立在三個信任級別之上。這三個信任級別是
A. SA STAR 自我評估、STAR 認證與鑑定(第三方評估)、STAR 合規性
B. SA STAR 審計、STAR 認證與鑑定(第三方評估)、STAR 持續性評估
C. SA STAR 自我評估、STAR 認證與鑑定(第三方評估)、STAR 監測與控制
D. SA STAR 自我評估、STAR 認證與鑑定(第三方評估)、STAR 持續評估
查看答案
正確答案: D
問題 #14
以下哪項是 FedRAMP 的基本概念,其目的是節約成本、時間和進行多餘的機構安全評估的人員?
A. 常使用,多次提供
B. 行節約,謹慎行事
C. 用現有資源,多次提供
D. 一次,用多次
查看答案
正確答案: D
問題 #15
在跨司法管轄區的雲中存儲數據會帶來以下哪些風險?
A. 合規風險
B. 提供商管理風險
C. 審計風險
D. 虛擬化風險
查看答案
正確答案: A
問題 #16
由於 CCM 允許雲客戶建立一份詳細的要求和控制清單,由 CSP 實施,作爲其整體第三方風險管理和採購計劃的一部分,那麼僅憑 CCM 是否足以定義操作/使用雲服務時需要考慮的所有項目?
A.
B. 的。CCM 就足夠了,因爲它映射了大量廣爲接受的框架庫。
C. 的,如果以正確的方式實施,CCM 本身就可以幫助衡量、評估和監測與 CSP 或特定服務相關的風險。
D. o
查看答案
正確答案: C
問題 #17
在審計過程中發現,託管在外部雲中的一個關鍵應用程序不屬於本組織 DRP(災難恢復計劃)的一部分。管理層表示,他們有責任確保雲服務提供商 (CSP) 制定每年測試一次的計劃。審計員下一步應採取什麼行動?
A. 審查 CSP 審計報告。
B. 審查 CSP 的安全白皮書。
C. 審查合同和 DR 能力。
D. 計劃對 CSP 進行審計。
查看答案
正確答案: B
問題 #18
對於計劃採用新的公共 SaaS 應用程序來簡化招聘流程的企業人力資源部門,以下哪項建議最合適?
A. 確保符合 HIPAA
B. 施雲訪問安全代理
C. 詢法律部門
D. 允許數據以 cleratext 格式存在
查看答案
正確答案: B
問題 #19
雲服務提供商應根據要求,在哪些控制措施中告知客戶合規影響和風險,特別是在客戶數據被用作服務的一部分時?
A. 服務提供商控制
B. 影響和風險控制
C. 數據存量控制
D. 合規控制
查看答案
正確答案: A
問題 #20
與靜態應用安全測試(SAST)方法相比,使用動態應用安全測試(DAST)的優勢是什麼?
A. SAST 不同,DAST 是一個黑盒子,與編程語言無關。
B. DAST 可與大多數 CI/CD 工具動態集成。
C. DAST 的誤報率高於 SAST。
D. AST較慢,但很徹底。
查看答案
正確答案: A
問題 #21
以下哪項是將雲控制矩陣 (CCM) 映射到其他國際標準和法規的直接好處?
A. CM 映射使雲服務提供商有權被列爲投標和政府合同的認可供應商。
B. CM 映射使雲服務提供商和客戶都能簡化自身的合規性和安全性工作。
C. CM 映射可實現不間斷的數據流,特別是在不同司法管轄區之間輸出個人數據。
D. CM 映射使雲服務提供商有權獲得 CSA STAR 計劃的認證。
查看答案
正確答案: B
問題 #22
限制服務的標準允許將非關鍵服務或需要高可用性和高彈性的服務遷移到雲中,這是一個重要的考慮因素,應首先納入雲中:
A. 風險管理政策。
B. 雲政策。
C. 務連續性計劃。
D. 雲技術的信息安全標準。
查看答案
正確答案: C
問題 #23
在雲遷移過程中,以下哪項是建立雲保證計劃的首要步驟?
A. 設計
B. 確定利益攸關方
C. 發展
D. 風險評估
查看答案
正確答案: C
問題 #24
客戶管理界面如果在公共互聯網上遭到破壞,可能會導致..:
A. 客戶的計算和數據受損。
B. 訪問鄰近雲計算機的 RAM。
C. 獲取雲服務的便利性。
D. 數據未完全清除。
查看答案
正確答案: A
問題 #25
爲協助企業規劃雲遷移戰略的執行,審計師應建議使用以下工具:
A. 面向對象的體系結構。
B. 軟件架構。
C. 向服務的體系結構
D. 企業架構。
查看答案
正確答案: C
問題 #26
組織應如何設計控制措施?
A. 內部審計小組
B. 使用 ISO27001 框架
C. 雲提供商
D. 用組織的風險管理框架
查看答案
正確答案: A
問題 #27
在評估雲系統性能的持續審計實施情況時,審計員需要審查以下哪項量化指標?
A. 服務水平目標(SLO)
B. 恢復點目標(RPO)
C. 務水平協議(SLA)
D. 復時間目標(RTO)
查看答案
正確答案: C
問題 #28
貴公司正在向一家供應商購買應用程序。他們不允許你對其信息系統進行現場審計。但是,他們說,他們會提供第三方審計證明,證明其環境中的控制設計是充分的。供應商會向您提供哪份報告?
A. OC 3
B.
C. OC 1
D.
查看答案
正確答案: B
問題 #29
以下哪些活動屬於雲遷移過程中雲保障計劃實施階段的一部分?
A. 制定監測目標和要求
B. 識別流程、功能和系統
C. 識別相關法律、法規和標準
D. 確定作用和責任
查看答案
正確答案: B
問題 #30
以下哪項會被視爲信任雲服務提供商的因素?
A. 公共信息的曝光程度
B. 已證明的技術能力水平
C. 作意願水平
D. 獲得的公開來源證據的水平
查看答案
正確答案: C
問題 #31
遷移到雲環境時,以下哪項應成爲使用加密的主要驅動因素?
A. 雲服務提供商的加密能力
B. PII 的存在
C. 織安全政策
D. 成本效益分析
查看答案
正確答案: A
問題 #32
認證目標有助於形成一個持續的認證框架,其中包括:
A. SA STAR 2 級認證。
B. 服務水平目標和服務質量目標。
C. 評估安全屬性的頻率。
D. 要測試的範圍說明和安全屬性。
查看答案
正確答案: B
問題 #33
在所有三種雲部署模式(IaaS、PaaS 和 SaaS)中,誰負責爲管理程序層打補丁?
A. 雲服務客戶
B. 共同責任
C. 雲服務提供商
D. 需要在管理程序層打補丁
查看答案
正確答案: A
問題 #34
CSP 和雲客戶之間的供應鏈協議至少應包括以下內容:
A. 戰略規劃編制局組織結構圖
B. 雲客戶的政策和程序
C. 計、評估和獨立核查遵守協議條款的證明書
D. 響雲客戶的監管準則
查看答案
正確答案: C
問題 #35
要滿足公司需要將數據從一個 CSP 轉移到另一個 CSP 的要求,以下哪項合同條款是必要的?
A. 放
B. 降和移位
C. 動靈活
D. 過渡和數據可移植性
查看答案
正確答案: D
問題 #36
以下哪項是旨在應對企業內部不存在的威脅的雲原生解決方案?
A. 基於策略的訪問控制
B. 基於屬性的訪問控制
C. 基於規則的訪問控制
D. 基於角色的訪問控制
查看答案
正確答案: C
問題 #37
雲八角模型的開發旨在爲組織提供支持:
A. 風險評估方法。
B. 風險處理方法。
C. 事件應對方法。
D. 事件檢測方法。
查看答案
正確答案: A

提交後看答案

請提交您的電子郵件和WhatsApp以獲取問題的答案。

注意:請確保您的電子郵件 ID 和 Whatsapp 有效,以便您獲得正確的考試結果。

電子郵件:
WhatsApp/電話號碼:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.