我
- A.成立一个审查委员会
- B.建立一个安全部门
- C.向执行层发起人提供有效支持
- D.选择一个安全流程的所有者
- A.状态检测防火墙
- B.WE内容过滤器
- C.WEB缓存服务器
- D.应该代理服务器
- A.数据所有者
- B.安全管理员
- C.IT安全经理
- D.申请人的直线主管
- A.该外部机构的过程应当可以被独立机构进行IT审计
- B.该组织应执行一个风险评估,设计并实施适当的控制
- C.该外部机构的任何访问应被限制在DMZ区之内
- D.应当给该外部机构的员工培训其安全程序
- A.定期审查和评价安全策略
- B.执行用户应用系统和软件测试与评价
- C.授予或废除用户对IT资源的访问权限
- D.批准对数据和应用系统的访问权限
- A.报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的
- B.核实用户的访问权限是基于用所必需原则的
- C.建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致
- D.建议终止用户的活动日志能被定期审查
- A.顺序进行,周而复始,发现问题,分析问题,然后是解决问题
- B.大环套小环,安全目标的达成都是分解成多个小目标,一层层地解决问题
- C.阶梯式上升,每次循环都要进行总结,巩固成绩,改进不足
- D.信息安全风险管理的思路不符合PDCA的问题解决思路
- A.为两部门起草一份服务水平协议
- B.向高级管理层报告存在未被书面签订的协议
- C.向两部门确认协议的内容
- D.推迟审计直到协议成为书面文档
- A.系统的集中监控
- B.钓鱼的信号包括在防病毒软件中
- C.在内部网络上发布反钓鱼策略
- D.对所有用户进行安全培训
- A.安全意识程序
- B.非对称加密
- C.入侵侦测系统
- D.非军事区
- A.虚拟专用网
- B.专线
- C.租用线路
- D.综合服务数字网.
- A.使用由两个不同提供商提供的防火墙检查进入网络的流量
- B.在主机上使用防火墙和逻辑访问控制来控制进入网络的流量
- C.在数据中心建设中不使用明显标志
- D.使用两个防火墙检查不同类型进入网络的流量
- A.尾随
- B.垃圾搜索
- C.肩窥
- D.冒充
- A.数据所有者.
- B.程序员
- C.系统分析师.
- D.库管员
- A.服务器防毒软件
- B.病毒墙
- C.工作站防病毒软件
- D.病毒库及时更新
- A.维护使用各种系统资源的访问日志
- B.在用户访问系统资源之前的授权和认证
- C.通过加密或其他方式对存储在服务器上数据的充分保护
- D.确定是否可以利用终端系统资源的责任制和能力.
- A.由系统生成的信息跟踪到变更管理文档
- B.检查变更管理文档中涉及的证据的精确性和正确性
- C.由变更管理文档跟踪到生成审计轨迹的系统
- D.检查变更管理文档中涉及的证据的完整性
- A.导致对其审计独立性的质疑
- B.报告较多业务细节和相关发现
- C.加强了审计建议的执行
- D.在建议中采取更对有效行动
- A.国家和地方政府法律法规与合同的要求
- B.风险评估的结果
- C.组织原则目标和业务需要
- D.企业领导的个人意志
- A.发布安全策略时
- B.重新检查安全策略时
- C.测试安全策略时
- D.可以预测到违反安全策略的强制性措施时
- A.完整性控制的需求是基于风险分析的结果
- B.控制已经过了测试
- C.安全控制规范是基于风险分析的结果
- D.控制是在可重复的基础上被测试的
- A.员工的教育和培训
- B.远距离工作(Telecommuting)与禁止员工携带工作软件回家
- C.自动日志和审计软件
- D.策略的发布与策略的强制执行
- A.安全策略和标识
- B.绝对的保证和持续的保护
- C.身份鉴别和落实责任
- D.合理的保证和连续的保护
- A.应急计划
- B.远程办法
- C.计算机安全程序
- D.电子邮件个人隐私
- A.应用级访问控制
- B.数据加密
- C.卸掉雇员电脑上的软盘和光盘驱动器
- D.使用网络监控设备
- A.推荐并监督数据安全策略
- B.在组织内推广安全意识
- C.制定IT安全策略下的安全程序/流程
- D.管理物理和逻辑访问控制
- A.这种缺乏了解会导致不经意地泄露敏感信息
- B.信息安全不是对所有职能都是关键的
- C.IS审计应当为那些雇员提供培训
- D.该审计发现应当促使管理层对员工进行继续教育
- A.非现场存储
- B.b)由IS经理签署
- C.发布并传播给用户
- D.经常更新
- A.IS审计员.
- B.管理层.
- C.外部审计师.
- D.程序开发人员.
- A.制定可行性研究.
- B.检查是否符合公司策略.
- C.草拟服务水平协议.
- D.草拟服务水平要求
- A.管理评估,技术评估,操作流程评估
- B.确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证
- C.产品方案需求分析,解决方案提供,实施解决方案
- D.基础培训,RA培训,文件编写培训,内部审核培训
- A.确定需要访问信息的人员
- B.确保信息的完整性
- C.拒绝或授权对系统的访问
- D.监控逻辑访问
- A.非授权用户可以使用ID擅自进入.
- B.用户访问管理费时.
- C.很容易猜测密码.
- D.无法确定用户责任
- A.限制物理访问计算设备
- B.检查事务和应用日志
- C.雇用新IT员工之前进行背景调查
- D.在双休日锁定用户会话
- A.企业所需的安全要求
- B.遵从最佳实务的安全基准
- C.日常化制度化的解决方案
- D.风险暴露的理解
- A.得到安全经理的审核批准后发布
- B.应采取适当的方式让有关人员获得并理解最新版本的策略文档
- C.控制安全策略的发布范围,注意保密
- D.系统变更后和定期的策略文件评审和改进
- A.信息安全的定义、总体目标、范围及对组织的重要性
- B.对安全管理职责的定义和划分
- C.口令、加密的使用是阻止性的技术控制措施;
- D.违反安全策略的后果
- A.确定组织的总体安全目标
- B.购买性能良好的信息安全产品
- C.推动安全意识教育
- D.评审安全策略的有效性
- A.信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的
- B.通过信息安全保障措施,确保信息不被丢失
- C.通过信息安全保证措施,确保固定资产及相关财务信息的完整性
- D.通过技术保障措施,确保信息系统及财务数据的完整性、机密性及可用性
- A.人,财,物
- B.技术,管理和操作
- C.资产,威胁和弱点
- D.资产,可能性和严重性
- A.风险评估
- B.关键路径法
- C.PDCA循环
- D.PERT
- A.反应业务目标的信息安全方针、目标以及活动;
- B.来自所有级别管理者的可视化的支持与承诺;
- C.提供适当的意识、教育与培训
- D.以上所有
- A.保密性,完整性,保障
- B.保密性,完整性,可用性
- C.保密性,综合性,保障
- D.保密性,综合性,可用性
- A.标准(Standard)
- B.安全策略(Securitypolicy)
- C.方针(Guideline)
- D.流程(Procedure)
- A.访问控制
- B.职责分离
- C.加密
- D.认证
- A.识别用于保护资产的责任义务和规章制度
- B.识别资产以及保护资产所使用的技术控制措施
- C.识别资产、脆弱性并计算潜在的风险
- D.识别同责任义务有直接关系的威胁
- A.缺少安全性管理
- B.缺少故障管理
- C.缺少风险分析
- D.缺少技术控制机制
- A.安全风险是指一种特定脆弱性利用一种或一组威胁造成组织的资产损失或损害的可能性
- B.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失事实
- C.安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性
- D.安全风险是指资产的脆弱性被威胁利用的情形
- A.黑客攻击
- B.操作系统漏洞
- C.应用程序BUG
- D.人员的不良操作习惯
- A.机密性
- B.管理
- C.过程
- D.人员
