发布时间 : 星期六 文章CISP试题及答案(515多题整理版)更新完毕开始阅读
【答案】 D
51. 处理报废电脑的流程时,以下哪一个选项对于安全专业人员来说是最重要考虑的内容?
A.在扇区这个级别上,硬盘已经被多次重复写入,但是在离开组织前没有进行重新格式化。
B.硬盘上所有的文件和文件夹都分别删除了,并在离开组织进行重新格式化。
C. 在离开组织前,通过在硬盘特定位置上洞穿盘片,进行打洞,使得硬盘变得不可读取。
D.由内部的安全人员将硬盘送到附近的金属回收公司,对硬盘进行登记并粉碎。 【答案】 B
52. 一个组织已经创建了一个策略来定义用户禁止访问的网站类型。哪个是最有效的技术来达成这个策略? A.A.状态检测防火墙 B.B.网页内容过滤 C..网页缓存服务器 D.D.代理服务器 【答案】 B
53. 当组织将客户信用审查系统外包给第三方服务提供商时,下列哪一项是信息安全专业人士最重要的考虑因素?该提供商: A.满足并超过行业安全标准 B.同意可以接受外部安全审查 C.其服务和经验有很好的市场声誉 D.符合组织的安全策略 【答案】 D
54. 一个组织将制定一项策略以定义了禁止用户访问的WEB 站点类型。为强制执行这一策略,最有效的技术是什么? A.状态检测防火墙 B.WE内容过滤器 C.WEB 缓存服务器 D.应该代理服务器 【答案】 B
55. 在制定一个正式的企业安全计划时,最关键的成功因素将是? A.成立一个审查委员会 B.建立一个安全部门
C.向执行层发起人提供有效支持 D.选择一个安全流程的所有者 【答案】 C
56. 对业务应用系统授权访问的责任属于: A.数据所有者 B.安全管理员 C.IT 安全经理
D.申请人的直线主管
【答案】 A
57. 下列哪一项是首席安全官的正常职责? A.定期审查和评价安全策略
B.执行用户应用系统和软件测试与评价 C.授予或废除用户对IT 资源的访问权限 D.批准对数据和应用系统的访问权限 【答案】 B
58. 向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?
A.该外部机构的过程应当可以被独立机构进行IT 审计 B.该组织应执行一个风险评估,设计并实施适当的控制 C.该外部机构的任何访问应被限制在DMZ 区之内 D.应当给该外部机构的员工培训其安全程序 【答案】 B
59. 某组织的信息系统策略规定,终端用户的ID 在该用户终止后90 天内失效。组织的信息安全内审核员应:
A.报告该控制是有效的,因为用户ID 失效是符合信息系统策略规定的时间段的
B.核实用户的访问权限是基于用所必需原则的
C.建议改变这个信息系统策略,以保证用户ID 的失效与用户终止一致 D.建议终止用户的活动日志能被定期审查 【答案】 C
60. 减少与钓鱼相关的风险的最有效控制是: A.系统的集中监控
B.钓鱼的信号包括在防病毒软件中 C.在内部网络上发布反钓鱼策略 D.对所有用户进行安全培训 【答案】 D
61. 在人力资源审计期间,安全管理体系内审员被告知在IT 部门和人力资源部门中有一个关于期望的IT 服务水平的口头协议。安全管理体系内审员首先应该做什么?
A.为两部门起草一份服务水平协议
B.向高级管理层报告存在未被书面签订的协议 C.向两部门确认协议的内容
D.推迟审计直到协议成为书面文档 【答案】 C
62. 下面哪一个是定义深度防御安全原则的例子?
A.使用由两个不同提供商提供的防火墙检查进入网络的流量 B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量 C.在数据中心建设中不使用明显标志
D.使用两个防火墙检查不同类型进入网络的流量 【答案】 A
63. 下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?
A. 虚拟专用网 B.专线
C. 租用线路
D. 综合服务数字网. 【答案】 A
64. 通过社会工程的方法进行非授权访问的风险可以通过以下方法避免:
A. 安全意识程序 B.非对称加密 C. 入侵侦测系统 D. 非军事区 【答案】 A
65. 在安全人员的帮助下,对数据提供访问权的责任在于: A. 数据所有者. B.程序员
C. 系统分析师. D. 库管员 【答案】 A
66. 信息安全策略,声称\密码的显示必须以掩码的形式\的目的是防范下面哪种攻击风险? A. 尾随 B.垃圾搜索 C. 肩窥 D. 冒充
【答案】C?
67. 管理体系审计员进行通信访问控制审查,首先应该关注: A. 维护使用各种系统资源的访问日志 B.在用户访问系统资源之前的授权和认证
C. 通过加密或其他方式对存储在服务器上数据的充分保护 D. 确定是否可以利用终端系统资源的责任制和能力. 【答案】 D
68. 下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的: A. 服务器防毒软件 B.病毒墙
C. 工作站防病毒软件 D. 病毒库及时更新 【答案】 D
69. 测试程序变更管理流程时,安全管理体系内审员使用的最有效的方法是:
A.由系统生成的信息跟踪到变更管理文档
B.检查变更管理文档中涉及的证据的精确性和正确性 C. 由变更管理文档跟踪到生成审计轨迹的系统 D. 检查变更管理文档中涉及的证据的完整性 【答案】 A
70. 内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:
A.导致对其审计独立性的质疑 B.报告较多业务细节和相关发现 C. 加强了审计建议的执行
D. 在建议中采取更对有效行动 【答案】 A
71. 下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?
A.完整性控制的需求是基于风险分析的结果 B.控制已经过了测试
C. 安全控制规范是基于风险分析的结果 D. 控制是在可重复的基础上被测试的 【答案】 D
72. 下列哪一种情况会损害计算机安全策略的有效性? A.发布安全策略时 B.重新检查安全策略时 C. 测试安全策略时
D. 可以预测到违反安全策略的强制性措施时 【答案】 D
73. 组织的安全策略可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全策略? A.应急计划 B.远程办法
C. 计算机安全程序 D. 电子邮件个人隐私 【答案】 C
74. 基本的计算机安全需求不包括下列哪一条: A.安全策略和标识
B.绝对的保证和持续的保护 C. 身份鉴别和落实责任
D. 合理的保证和连续的保护 【答案】 B
75. 软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的策略和实际行为是矛盾的? A.员工的教育和培训
B.远距离工作(Telecommuting)与禁止员工携带工作软件回家 C. 自动日志和审计软件
D. 策略的发布与策略的强制执行 【答案】 B
76. 组织内数据安全官的最为重要的职责是: A.推荐并监督数据安全策略 B.在组织内推广安全意识
C. 制定IT安全策略下的安全程序/流程