网友您好, 请在下方输入框内输入要搜索的题目:
题目内容
(请给出正确答案)
单选题
出现以下哪种情况,信息系统审计师最需要对第三方托管的云计算机进行审查:()
A
组织无权评估供应商网站的控制
B
服务水平协议(SLA)没有规定供应商对于出现安全漏洞时的责任
C
组织和供应商所在国家应用不同的法律和法规
D
组织使用的浏览器旧版本存在安全风险
参考答案
参考解析
解析:
云计算机管理通过互联网完成,并且多个实体参与其中。关注自己环境中的安全问题是云计算机环境中每一个合作伙伴的责任。当存在安全漏洞,合作伙伴应该识别出来并对其负相应责任。如果服务水平协议没有规定合作伙伴在安全漏洞方面的职责,便无法确定责任方。如果双方合同没有规定对其它供应商站点的控制进行评估,信息系统审计师就无法进行评估工作。信息系统审计师不能解决组织和供应商所在不同国家的法律和法规的差异性问题。信息系统审计人员可以向被审计单位建议使用适当的修补程序或切换到更安全的浏览器,并且审计师可以追踪所采用的控制措施。
更多 “单选题出现以下哪种情况,信息系统审计师最需要对第三方托管的云计算机进行审查:()A 组织无权评估供应商网站的控制B 服务水平协议(SLA)没有规定供应商对于出现安全漏洞时的责任C 组织和供应商所在国家应用不同的法律和法规D 组织使用的浏览器旧版本存在安全风险” 相关考题
考题
单选题一个大型的、复杂的组织设计了一个新的业务应用程序,业务拥有者要求在“需要知道”的基础上查阅各种报告。下面的哪种访问控制方法是实现这一要求的最好方法?()A
强制性B
基于角色C
自行分配D
单点登录(SSO)
考题
单选题超文本传输协议( HyperText Transfer Protocol,HTTP)是互联网上广泛使用的一种 网络协议,下面哪种协议基于HTTP并结合SSL协议,具备用户鉴别和通信数据加密等功能()A
HTTP1.0协议B
HTTP1.1协议C
HTTPS协议D
HTTPD协议
考题
单选题关于风险要素识别阶段工作内容叙述错误的是()A
资产识别是指对需要保护的资产和系统等进行识别和分类B
威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性C
脆弱性识别以资产为核心,针对每一项需要保护的资产。识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估D
确认已有的安全措施仅属于技术层面的工作,牵涉到具体方面包括:物理平台、系统平台、网络平台和应用平台
考题
单选题某公司的业务部门用户需要访问业务数据,这些用户不能直接访问业务数据,而只能通过外部程序来操作业务数据,这种情况属于下列哪种安全模型的一部分?()A
Bell-Lapadula模型B
Biba模型C
信息流模型D
Clark-Wilson模型
考题
单选题公司进行业务流程重组,以支持对客户新的直接的营销方法。关于这个新过程IS审计师最关注什么()。A
保护资产和信息资源的关键控制发挥作用B
公司是否满足顾客的需求C
系统是否满足性能要求D
用户确定谁将为流程负责
考题
单选题一个典型的公钥基础设施(PKI)的处理流程是下列选项中的哪一个?() (1)接收者解密并获取会话密钥 (2)发送者请求接收者的公钥 (3)公钥从公钥目录中被发送出去 (4)发送者发送一个由接收者的公钥加密过的会话密钥A
4,3,2,1B
2,1,3,4C
2,3,4,1D
2,4,3,1
考题
单选题以下关于账户密码策略中各项策略的作用说明,哪个是错误的()A
“密码必须符合复杂性要求”是用于避免用户产生诸如1234、1111这样的弱口令B
“密码长度最小值”是强制用户使用一定长度以上的密码C
“强制密码历史”是强制用户不能再使用曾经使用过的任何密码D
“密码最长存留期”是为了避免用户使用密码时间过长而不更户
考题
单选题下列哪些手续可以增强信息系统操作部门的控制结构()。I.定期轮换操作人员。II.强制休假。III.控制对设备的访问。IV.将负责控制输入和输出的人员进行分离。A
ⅠⅡB
ⅡⅡⅢC
ⅢⅣD
ⅠⅡⅢⅣ
考题
单选题白盒法是在测试过程中,由详细设计提供的文档,从软件的具体的逻辑结构和执行路径出发,设计测试用例,完成测试的目的,在软件测试中,白盒法是通过分析程序的()来设计测试用例的。A
应用范围B
功能C
内部逻辑D
输入数据
考题
单选题以下对企业信息安全活动的组织描述不正确的是()。A
企业应该在组织内建立发起和控制信息安全实施的管理框架B
企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全C
在没有采取必要控制措施,包括签署相关协议之前,不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定D
企业在开展业务活动的过程中,应该完全相信员工,不应该对内部员工采取安全管控措施
考题
单选题输入参数过滤可以预防以下哪些攻击?()A
SQL注入、跨站脚本、缓冲区溢出B
SQL注入、跨站脚本、DNS毒药C
SQL注入、跨站请求伪造、网络窃听D
跨站请求伪造、跨站脚本、DNS毒药
考题
单选题某公司计划升级现有的所有PC机,使其用户可以使用指纹识别登陆系统,访问关键的数据。实施时需要()。A
所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续)B
完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险)C
在指纹识别的基础上增加口令保护D
保护非授权用户不可能访问到关键数据
考题
单选题对于公司的IS审计师来说,考虑外包IT过程并审查每一个供应商的业务持续计划的副本是合适的的么()。A
是合适的,因为IS审计师会评估服务商计划的充分性,并帮助公司实施补充计划B
是合适的,因为根据计划,IS审计师要评估服务方的财务稳定性和履行合同的能力C
不合适,因为提供的备份在合同中应该是具体充分的D
不合适,因为服务方的业务持续计划是私有的信息
考题
单选题下面对于CC的“评估保证级”(EAL)的说法最准确的是()。A
代表着不同的访问控制强度B
描述了对抗安全威胁的能力级别C
是信息技术产品或信息技术系统对安全行为和安全功能的不同要求D
由一系列保证组件构成的包,可以代表预先定义的保证尺度
考题
单选题在审查业务连续性计划时,信息系统审计师注意到何种情况将宣布为危机还没有做出定义。与此相关的重大风险是:()A
对形势的评估可能会推迟B
灾难恢复计划的执行将受到影响C
团队可能不会得到通知D
识别潜在的危机可能无效
考题
单选题在OSI参考模型中有7个层次,提供了相应的安全服务来加强信息系统的安全性,以下哪一层提供了保密性、身份鉴别、数据完整性服务?()A
网络层B
表示层C
会话层D
物理层
热门标签
最新试卷