A.提供保证所有弱点都被发现 B.在不需要警告所有组织的管理层的情况下执行
C.找到存在的能够获得未授权访问的漏洞 D.在网络边界上
33.在制定控制前,管理层首先应该保证控制
A.满足控制一个风险问题的要求 B.不减少生产力
C.基于成本效益的分析 D.检测行或改正性的
34.风险评估和管理工具通常是指什么工具
A.漏洞扫描工具 B.入侵检测系统
C.安全审计工具 D.安全评估流程管理工具
35.风险评估实施过程中资产识别的依据是什么
A.依据资产分类分级的标准 B.依据资产调查的结果
C.依据人员访谈的结果 D.依据技术人员提供的资产清单
36.降低风险的控制措施有很多,下面哪一个不属于降低风险的措
施?
A.在网络上部署防火墙 B.对网络上传输的数据进行加密
C.制定机房安全管理制度 D.购买物理场所的财产保险
37.信息安全管理措施不包括:
A.安全策略 B.物理和环境安全
C.访问控制 D.安全范围
38.为了解决操作人员执行日常备份的失误,管理层要求系统管理员签字日常备份,这是一个风险,,例子:
A.防止 B.转移
C. 缓解 D.接受
39.通常最好由谁来确定系统和数据的敏感性级别?
A.审计师 B.终端用户
C.拥有者 D.系统分析员
40.系统地识别和管理组织所应用的过程,特别是这些过程之间的相互作用,称为什么?
A.戴明循环 B.过程方法
C.管理体系 D. 服务管理
41.下面哪一项组成了CIA三元组?
A.保密性,完整性,保障 B.保密性,完整性,可用性
C.保密性,综合性,保障 D.保密性,综合性,可用性
42.在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是 :
A.非授权用户可以使用ID擅自进入 . B.用户访问管理费时
C.很容易猜测密码 D.无法确定用户责任
43.组织的安全策略可以是广义的,以是狭义的,下面哪一条是属于广义的安全策略?
A.应急计划 B.远程办法
C.计算机安全程序 D.电子邮件个人隐私
44.下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?
A.虚拟专用网 B.专线