免费CISM练习测验

风险评估和业务影响分析(BIA)已经为一个组织的主要拟议购买和新流程完成. 信息安全经理和业务部门经理之间存在分歧，业务部门经理将负责评估结果和识别风险. 下面哪个选项是correct 最好的。 信息安全经理的方法?

1. 接受业务经理对公司风险的决定

   业务经理可能会把注意力集中在完成业务上，而不是组织面临的风险.

2. 接受信息安全经理对公司风险的决定

   典型的信息安全经理关注风险, 平均而言, 他/她会高估100%的风险——通常考虑最坏的情况而不是最可能的事件.

3. 与执行管理层一起评审风险评估，作为最后的输入

   执行管理将处于最佳位置，以考虑整个组织的大局和安全性与功能之间的权衡.

4. 创建一个新的风险评估和BIA来解决分歧

   There is no indication that the assessments are inadequate or defective in some way; therefore, 重复这种做法是没有必要的

谁负责确保信息被分类并采取具体的保护措施?

1. 保安人员

   安全官员支持和实施信息安全，以实现高级管理目标.

2. 高级管理人员

   日常管理的所有方面的安全是委托, 但高层管理人员必须保持全面的问责制.

3. 终端用户

   最终用户不执行分类.

4. 托管人

   保管人按照指示支持和实施信息安全措施.

从组织内部到外部的异常服务器通信可以被监控到:

1. 记录高级持续性威胁的踪迹

   在高级持续性威胁中，目标攻击最重要的特征是恶意软件秘密地将信息发送回命令和控制服务器. 因此, 监视没有遵循预定义路由的出站服务器通信将是检测此类安全事件的最佳控制方法.

2. 评估服务器操作的流程弹性

   通常不监控服务器通信以评估服务器操作的弹性.

3. 验证入侵检测系统的有效性

   入侵检测系统的有效性可能无法通过监视出站服务器通信来验证.

4. 支持电子商务中的不可否认框架

   不可抵赖性可以由技术支持，例如数字签名. 服务器通信本身并不支持电子商务框架的有效性.

以下哪一种身份验证方法会阻止身份验证重播?

1. 密码哈希实现

   捕获身份验证握手并通过网络重播它将不起作用. 使用散列本身不会阻止重播.

2. 挑战/响应机制

   挑战/响应机制通过在每个身份验证事件中发送不同的随机挑战来防止重放攻击. 应对措施与这一挑战息息相关.

3. 有线等效隐私加密的使用

   有线等效的隐私密钥不能防止嗅探, 但如果攻击者没有WEP密钥，则需要更长的时间来破解它)。. 因此，它将无法阻止记录和重播身份验证握手.

4. 超文本传输协议基本身份验证

   超文本传输协议的基本身份验证是明文的，没有防止重播的机制.

与it相关的风险管理活动是 大多数 当它们是有效的:

1. 作为一个独立的过程处理的

   IT风险是更广泛的风险环境的一部分，必须集成到整体风险管理活动中.

2. 由资讯科技部门执行

   确保一个目标, 全面的方法, IT风险管理必须在澳门赌场官方下载范围内进行, 使其与it部门分离.

3. 集成到业务流程中

   IT是业务活动的推动者, 为了更有效, 它必须集成到业务流程中.

4. 与所有员工沟通

   沟通本身并不一定与流程的成功执行相关.

下面哪一个是 最好的。 在造成重大损害之前检测成功渗透网络的入侵者的方法?

1. 定期进行渗透测试

   渗透测试不会检测到入侵者.

2. 建立最低安全底线

   安全基线设置了最低安全级别，但与检测入侵者无关.

3. 实现厂商默认设置

   实现供应商默认设置不能检测入侵者，这不是最好的主意.

4. 在网络中安装蜜罐

   蜜罐吸引黑客远离敏感系统和文件. 因为蜜罐受到严密监控, 在造成重大损害之前，入侵更有可能被发现.

下列哪项是 最大的 对澳门赌场官方下载资源规划(ERP)系统的安全构成威胁?

1. 用户 特别的 不记录报告

   尽管缺少用于用户临时报告的日志记录并不一定是好事, 它并不像未能安装安全补丁那样代表严重的安全弱点.

2. 网络流量通过单个交换机

   通过单个交换机路由网络流量并不罕见.

3. 操作系统未打安全补丁

   没有应用操作系统安全补丁的事实是一个严重的弱点.

4. 数据库安全默认为ERP设置

   默认为澳门赌场官方下载资源规划系统设置的数据库安全性不那么重要.

在社会工程场景中，以下哪项将 大多数 可能减少未经授权的个人访问计算资源的可能性?

1. 实现屏幕上的密码屏蔽

   实现屏幕上的密码屏蔽是可取的，但在减少成功的社会工程攻击的可能性方面并不有效.

2. 定期开展安全意识项目

   通过定期对可能成为此类攻击目标的用户进行安全意识培训，可以最好地减轻社会工程.

3. 增加修改密码的频率

   增加密码更改的频率是可取的，但不能有效地降低成功的社会工程攻击的可能性.

4. 要求密码严格保密

   在安全策略中要求密码保密是一种很好的控制，但不如定期的安全意识程序有效，后者会提醒用户注意社会工程带来的危险.

对安全事件的事后审查显示，有一个过程没有受到监控. 因此，监控功能已经实现. 下列哪项可以 最好的。 期望从这个补救?

1. 减少总事件持续时间

   监视可能会导致事件持续时间变长，因为每个事件都要进行调查，并可能升级以进行进一步补救.

2. 增加风险承受能力

   风险承受能力是高级管理层根据风险分析的结果和高级管理层认为组织能够有效管理的风险数量所作出的决定. 风险承受能力不会因监控过程的实施而改变

3. 识别改进

   当关键进程未被监控时, 缺乏监控可能会导致安全漏洞或威胁未被发现，从而导致安全事件. 一旦实现了一致的监控, 漏洞和威胁的识别将得到改进.

4. 促进事态升级

   Monitoring itself is simply an identification 和 reporting tool; it has little bearing on how information is escalated to other staff members for investigation 和 resolution.

确定安全漏洞是如何在公司网络上发生的, 安全管理器查看各种设备的日志. 下列哪项 最好的。 促进这些日志的关联和审查?

1. 数据库服务器

   数据库服务器不会帮助进行日志的关联和检查.

2. 域名服务器

   域名服务器不会协助日志的关联和审查.

3. 时间服务器

   准确地重建事件的过程, 需要一个时间参考, 这是由时间服务器提供的.

4. 代理服务器

   代理服务器不会帮助进行日志的关联和检查.