网友您好, 请在下方输入框内输入要搜索的题目:
题目内容
(请给出正确答案)
单选题
在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该?()
A
实施进一步的分析
B
向审计委员会报告该问题
C
实施风险评估
D
建议IDM系统的所有者解决这个工作流成中的问题
参考答案
参考解析
解析:
信息系统审计师需要进行大量的测试和进一步的分析来确定授权和工作流程没有按预定方式运作是原因。在做出任何建议前,审计师应该很好的理解掌握问题的范围和问题的原因。信息系统审计师应该确认问题是由管理人员没有按预定流程执行所引起的,还是自动化系统本身的工作流程而引起的,还是两种因素都存在。其它选项不正确,是因为审计师没有充分的信息进行下一步的汇报、风险评估和提出解决该问题的建议。点评:发现控制缺陷—深入调研—风险评估—报告
更多 “单选题在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该?()A 实施进一步的分析B 向审计委员会报告该问题C 实施风险评估D 建议IDM系统的所有者解决这个工作流成中的问题” 相关考题
考题
单选题IS审计师应建议采取以下哪项措施来保护数据仓库中存储的特定敏感信息?()A
实施列级和行级权限B
通过强密码增强用户身份认证C
将数据仓库组织成为特定主题的数据库D
记录用户对数据仓库的访问
考题
单选题Operation security requires the implementation of physical security to con-trol which of the following? 操作安全要求对下列哪项实施物理安全控制?()A
evacuation procedures 撤离步骤B
incoming hardware 硬件搬入C
contingency conditions 应急条件D
unauthorized personnel access 未经授权的人员访问
考题
单选题以下哪一项是集成测试设施(ITF)的优势()。A
它利用了实际的主文件,因此IS审计人员可以不审查源交易B
定期测试不要求隔离测试过程C
它验证应用系统并测试系统的持续运行D
它不需要准备测试数据
考题
单选题以下对windows账号的描述,正确的是:()。A
windows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限B
windows系统是采用用户名来标识用户对文件或文件夹的权限C
windows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除D
windows系统默认生成administration和guest两个账号,两个账号都可以改名和删除
考题
单选题对服务器中可疑活动进行观察后,经理要求进行取证分析。以下哪种结果最能引起该调查者的关注?()A
该服务器是工作中的一员,而不属于服务器域的一部分B
某来宾帐户在该服务器中得以启用C
近期,该服务器中创建了100个用户D
该服务器没有启用审计日志
考题
单选题传输控制协议(TCP)是传输层协议,以下关于TCP协议的说法,哪个是正确的?()A
相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途B
TCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机C
TCP协议具有流量控制、数据校验、超时重发、接收确认等机制,因此TCP协议能完全替代IP协议D
TCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低
考题
单选题依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988),灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预制定和管理;其中灾难恢复策略实现不包括以下哪一项?()A
分析业务功能B
选择和建设灾难备份中心C
实现灾备系统技术方案D
实现灾备系统技术支持和维护能力
考题
单选题以下关于lixun超级权限的说明,不正确的是()。A
一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成B
普通用户可以通过su和sudo来获得系统的超级权限C
对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行D
Root是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
考题
单选题许多组织要求雇员参加强制性休假一个星期或更长时间,该活动的目的是?()A
保持员工良好的生活质量B
减少雇员的不当或违法行为的机会C
提供适当的交叉培训的机会D
防止员工休每次假只休一天而造成的潜在破坏
考题
单选题风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?()A
风险分析准备的内容是识别风险的影响和可能性B
风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度C
风险分析的内容是识别风险的影响和可能性D
风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施
考题
单选题如下,哪一项是时间盒管理的特征()。A
它不能与原型开发或快速应用开发(RAD.配合使用B
它回避了质量管理程序(或流程)的要求C
它能避免预算超支和工期延后D
它分别进行系统测试和用户验收测试
考题
单选题对于抽样可以这样认为()。A
当相关的总体不具体或者是控制没有文档记录时,适用于统计抽样。B
如果审计师知道内部控制是强有力的,可以降低置信系数C
属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。D
变量抽样是一种技术,用于评估某种控制或一系列相关控制的发生率。
考题
单选题从内存角度看,修复漏洞的安全补丁可以分为文件补丁和内存补丁,关于文件补丁理解错误的是:()A
文件补丁又称为热补丁B
安装文件补丁时,应该停止运行原有软件C
文件补丁的优点是直接对待修补的文件进行修改,一步到位D
安装文件补丁前应该经过测试,确保能够正常运行
考题
单选题一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一家?()A
公安部公共信息网络安全监察及其各地相应部门B
国家计算机网络与信息安全管理中心C
互联网安全协会D
信息安全产业商会
考题
单选题在对生物识别技术中的错误拒绝率(FRR)和错误接收率(FAR)的定义中,下列哪一项的描述是最准确的?()A
FAR属于类型I错误,FRR属于类型II错误B
FAR是指授权用户被错误拒绝的比率,FRR属于类型I错误C
FRR属于类型I错误,FAR是指冒充者被拒绝的次数D
FRR是指授权用户被错误拒绝的比率,FAR属于类型II错误
考题
单选题不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法。下面的描述中,错误的是()。A
定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量B
定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析C
定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关D
定性风险分析更具主观性,而定量风险分析更具客观性
考题
单选题如果可以在组织范围定义文档化的标准过程,在所有的项目规划、执行和跟踪已定义的过程,并且可以很好地协调项目活动和组织活动,则组织的安全能力成熟度可以达到?()A
规划跟踪定义B
充分定义级C
量化控制级D
持续改进级
考题
单选题信息技术安全评估通用标准(cc)标准主要包括哪几个部分?()A
通用评估方法、安全功能要求、安全保证要求B
简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南C
简介和一般模型、安全功能要求、安全保证要求D
简介和一般模型、安全要求、PP和ST产生指南
考题
单选题当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时,IS审计人员首先应关注的是()。A
用户可能更愿意使用预先制作的测试数据B
可能会导致对敏感数据的非授权访问C
错误处理可信性检查可能得不到充分证实D
没有必要对新流程的全部功能进行测试
热门标签
最新试卷