问题:下列哪一些对信息安全漏洞的描述是错误的?()A、漏洞是存在于信息系统的某种缺陷B、漏洞存在于一定的环境中,寄生在一定的客体上(如TOE中、过程中等)C、具有可利用性和违规性,它本身的存在虽不会造成破坏,但是可以被攻击者利用,从而给信息系统安全带来威胁和损失D、漏洞都是人为故意引入的一种信息系统的弱点
查看答案
问题:被聘用的信息系统审计师评审电子商务的安全性。信息系统审计师的首要任务是评审每个现有的电子商务应用程序,寻找漏洞。那么接下来的任务是?()A、立即向CIO和CEO报告风险B、检查在开发中的电子商务应用C、识别威胁和发生的可能性D、检查风险管理的预算
问题:以下哪项业务连续性计划(BCP)测试涉及危机管理/响应小组密切相关成员的参与,以实践妥善的协作?()A、桌面测试B、功能测试C、全面演习D、穿行测试
问题:IS审计师在审查信用卡交易程序中推荐加入初始复核控制,该初始复核控制最可能用于:()A、检验交易类型与与对应信用卡类型是否有效B、验证输入卡号的格式并在数据库中查找该卡号C、确保输入的交易额在持卡人的信用额度内D、在主文件中验证该信用卡没有丢失或被盗
问题:下列哪一项准确地描述了脆弱性、威胁、暴露和风险之间的关系?()A、脆弱性增加了威胁,威胁利用了风险并导致了暴露B、风险引起了脆弱性并导致了暴露,暴露又引起了威胁C、暴露允许威胁利用脆弱性,并导致了风险D、威胁利用脆弱性并产生影响的可能性称为风险,暴露是威胁已造成损害的实例
问题:建立了信息安全程序的第一步是()。A、制定和实施信息安全标准手册B、IS审计师执行对于安全控制理解的审查C、采用公司的信息安全政策报告D、购买安全访问控制软件
问题:下列哪项为电子商务事务处理提供认可?()A、公钥基础设施(PKI)B、数据加密标准(DES)C、信息证实代码(MAC)D、个人鉴定码(PIN)
问题:在风险分析期间,IS审计师已经确定了威胁和潜在的影响,下一步IS审计师应该()。A、确定并评估管制层使用的风险评估过程B、确定信息资产和受影响的系统C、发现对管理者的威胁和影响D、鉴定和评估现有控制.
问题:在业务持续性计划中,RTO指的是()。A、灾难备份和恢复B、恢复技术项目C、业务恢复时间目标D、业务恢复点目标
问题:设施、网络、平台、介质、应用类信息资产的保密期限为()。A、3年B、长期C、4月D、短期
问题:《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于资产分类的描述正确的是:()A、具体的资产分类方法可以根据评估对象的要求;B、资产有多种表现形式;同样的两个资产即使属于不同的信息系统,重要性依然相同。C、根据资产的表现形式,可将资产分为数据、软件、硬件、服务等类型。D、根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型。
问题:关于信息安全保障的概念,下面说法错误的是()A、信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念B、信息安全保障已从单纯的保护和防御阶段发展为集保护、检测和响应为一体的综合阶段C、在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全D、信息安全保障把信息安全从技术扩展到管理,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统及业务使命的保障
问题:在对Linux 系统中dir目录及其子目录进行权限权限统一调整时所使用的命令是什么?()A、rm -fr -755/dirB、ls -755/dirC、chmod 755 /dir/*D、chmod -R 755 /dir
问题:组织内数据安全官的最为重要的职责是()。A、推荐并监督数据安全策略B、在组织内推广安全意识C、制定IT安全策略下的安全程序/流程D、管理物理和逻辑访问控制
问题:一种用来保证程序的源代码和执行代码相一致的控制是()。A、验证程序的移动请求是经过授权的B、要求对程序、系统和代码进行平行测试C、授权程序员只能对测试库进行访问D、将源代码重新编译到生产库中
问题:ISO27001认证项目一般有哪几个阶段?()A、管理评估,技术评估,操作流程评估B、确定范围和安全方针,风险评估,风险控制(文件编写),体系运行,认证C、产品方案需求分析,解决方案提供,实施解决方案D、基础培训,RA培训,文件编写培训,内部审核培训
问题:以下工作哪个不是计算机取证准备阶段的工作()A、获得授权B、准备工具C、介质准备D、保护数据
问题:广域网络
问题:白盒测试特有的优势是:()A、验证程序能够与系统的其他部分运行成功B、确保程序的功能运行有效,不考虑程序内部架构C、确定一个程序的详细逻辑路径的程序上的正确性和环境D、通过执行在一个受限的或者虚拟的环境下受限访问主系统来检查程序的功能性
问题:按照我国信息安全等级保护有关政策和标准,有些信息系统只需要自主定级,自主保护,按照要求向公安机关备案即可,可以不需要上级或主管部门来测评和检查,此类信息系统应属于:()A、零级系统B、一级系统C、二级系统D、三级系统