问题:
[单选] 下列哪一项是首席安全官的正常职责?()
定期审查和评价安全策略。执行用户应用系统和软件测试与评价。授予或废除用户对IT资源的访问权限。批准对数据和应用系统的访问权限。
问题:
[单选] 向外部机构提供其信息处理设施的物理访问权限前,组织应当做什么?()
该外部机构的过程应当可以被独立机构进行IT审计。该组织应执行一个风险评估,设计并实施适当的控制。该外部机构的任何访问应被限制在DMZ区之内。应当给该外部机构的员工培训其安全程序。
问题:
[单选] 某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()
报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的。核实用户的访问权限是基于用所必需原则的。建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致。建议终止用户的活动日志能被定期审查。
问题:
[单选] 减少与钓鱼相关的风险的最有效控制是:()
系统的集中监控。钓鱼的信号包括在防病毒软件中。在内部网络上发布反钓鱼策略。对所有用户进行安全培训。
问题:
[单选] 在人力资源审计期间,安全管理体系内审员被告知在IT部门和人力资源部门中有一个关于期望的IT服务水平的口头协议。安全管理体系内审员首先应该做什么?()
为两部门起草一份服务水平协议。向高级管理层报告存在未被书面签订的协议。向两部门确认协议的内容。推迟审计直到协议成为书面文档。
问题:
[单选] 下面哪一个是定义深度防御安全原则的例子?()
使用由两个不同提供商提供的防火墙检查进入网络的流量。在主机上使用防火墙和逻辑访问控制来控制进入网络的流量。在数据中心建设中不使用明显标志。使用两个防火墙检查不同类型进入网络的流量。
问题:
[单选] 下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?()
虚拟专用网。专线。租用线路。综合服务数字网。
问题:
[单选] 通过社会工程的方法进行非授权访问的风险可以通过以下方法避免:()
安全意识程序。非对称加密。入侵侦测系统。非军事区。
问题:
[单选] 在安全人员的帮助下,对数据提供访问权的责任在于:()
数据所有者。程序员。系统分析师。库管员。
问题:
[单选] 信息安全策略,声称“密码的显示必须以掩码的形式”的目的是防范下面哪种攻击风险?()
尾随。垃圾搜索。肩窥。冒充。
