CISM错题整理

1.以下哪一项是在组织内建立信息安全管理的组重要前提：信息安全政策

2.在评估信息价值时，以下哪项最重要：潜在财物损失

3.安全解决方案最完整的业务案例是：包括适当的解释和说明

4.组织中数据保管人的安全责任包括：确保安全措施与政策一致

5.以下哪项将有助于管理层确定减轻组织风险所需的资源：业务影响分析BIA

6.进行风险评估时，最重要的考虑是：资产已确认并适当估价

7.启动政策异常过程的主要原因是：根据收益情况来调整风险

8.安全监测机制应主要：关注关键业务信息

9.以下哪种工具最适合确定安全项目的实施时间：关键路径

10.应在以下哪一项上放置防火墙：领域边界

11.电子商务应用程序的安全客户使用最好通过以下方式实现：数据加密

12.以下哪项对于确保成功恢复最重要：备份介质在异地存放

13.在建立安全架构时，应首先执行以下哪个步骤：定义安全策略

14.以下哪项在确保安全方案与战略一致性方面最有效？通过业务部门经理的输入来建立安全策略

15.以下哪一项是确定信息安全计划是否符合公司治理的最佳方法：审查信息安全政策

16.在恢复多台服务器的过程中，一个为外部客户提供服务的关键流程由于故障而延迟恢复，从而导致收入损失。以下哪一项最有助于防止这种情况的发生？事件识别方法的改进

17.在某个应用的基础代码发生重大更改之后，信息安全经理最重要的是要：通知高级管理层

18.在制定安全标准时，以下哪项最适合包括在内：IT资产的可接受的使用

19.容量计划的实施将防止：硬件资源不足导致应用程序故障

20.DLP解决方案规定，一些员工如果违反公司政策，向其个人电子邮件地址发送机密公司数据。信息安全经理应首先：立即进行调查以确定不符合的全部程度

21.在建立业务案例以支持对信息安全计划的投资时，应考虑以下哪一项最重要：对风险状况的影响

22.实现信息安全治理计划执行承诺的最重要因素是：既定的安全策略

23.信息安全经理了解到部门系统不符合信息安全策略的密码强度要求。以下哪一项是信息安全经理的第一个操作步骤：先将不符合要求的系统与网络的其他部分隔离

24.在决定是否继续外包给托管安全服务商时，以下哪项是最重要的考虑因素：满足可交付的能力

25.以下哪项最能使信息安全经理确定组织信息安全战略的全面性：业务影响分析

26.在为事件响应测试制定桌面测试计划时，场景设计的主要目的是：作为事件响应团队的一部分，衡量管理层的参与度

27.在对事件响应团队进行培训时，使用桌面练习的优势在于：为团队提供应对事件的实践经验

28.确保一个组织能够在第三方设施内进行安全审查主要是通过以下方式实现的：服务水平协议（SLA）

29.以下哪项是桌面检查业务连续性（bcp）的主要优势？提供了一种评估BCP完整性的低成本方法

30.新聘的信息安全经理在审查现有的安全投资计划使，最有可能关心的是该计划：仅基于对现有IT系统中的安全威胁和漏洞的审查

31.安全策略对一个组织很重要，主要是因为它提供了：安全活动的管理层意图和方向

32.组织从有效的信息安全治理中获得的主要好处是：确保可接受的中断水平

33.赔偿协议可用于：减少对关键资源的影响

34.风险分析应：应付潜在的损失规模和损失可能性

35.以下哪一项是在新的业务应用中选择适当控制措施的有第一步：风险评估

36.以下哪项是成功的安全意识培训计划的最重要的要素：安全意识计划的针对性内容

37.如果信息安全经理有责任进行应用程序安全性审查，那么以下哪项附加责任在执行审查时存在利益冲突：应用程序管理

38.以下哪项最有可能降低IDS的效率:被监控的活动偏离了正常的状态

39.风险评估报告显示，对于支持在线金融服务的组织来说，网络钓鱼攻击是一种新的威胁。以下哪项是信息安全经理的最佳行动方案：保险范围内转移风险

40.一个组织制定了多项信息安全政策以满足监管要求，以下哪种情况最有可能增加不遵守这些要求的可能性：系统所有者对政策的支持不足

41.以下哪项最能帮助信息安全经理确定整改活动的优先级以满足监管要求：不合规的年度损失预期（ALE）

42.以下哪项最佳表明信息安全治理框架的目标正在得到满足：KPI

43.使用定性安全风险评估而不是定量方法的最可能原因是：可用的数据过于主观

44.在支持大公司董事会建立治理时，以下哪项是信息安全经理的主要职能：制定平衡记分卡

45.实施信息安全治理框架后，以下哪项可以为指定信息安全项目计划提供最佳信息：平衡记分卡

46.一家新组织遭到勒索软件攻击，严重影响其业务运营。该组织尚未制定适当的事件相应计划，但确实有数据备份的恢复程序，以下哪一项应该是第一个行动方案？制定事件响应计划

47.当在IT服务提供商提供的设施中检测到安全漏洞时，信息安全经理必须首先执行以下哪些任务？确认服务提供商的合同义务

48.风险管理计划在以下情况下最有效：业务部门参与风险评估

49.第三方服务提供商提出了DLP解决方案，要使该解决方案与组织相关，必须具备以下哪项：一个商业案例

50.以下哪项最能证明最近制定的信息安全计划是有效的？定期传达IT平衡记分卡

51.以下哪一项对信息安全策略最重要：当前和未来期望的信息安全状态

52.以下哪项使成功实施安全治理最重要的要求？映射到组织

53.以下哪项对系统入侵最有效：分层防护

54.应首先将以下哪些安全控制措施集成到采购流程中，以提高供应商所提供服务的安全性：执行风险评估以识别安全问题

55.应用系统存储客户机密数据，但对数据加密不可行，此情况下，防止数据泄露的最佳措施是：定期审查访问日志

56.以下哪个流程最能支持事件响应有效性的评估？事后审查

57.以下哪项最能帮助信息安全经理证明SIEM系统的合理性：成本效益分析

58.威胁和脆弱性评估很重要，主要是因为它们：是设定控制目标的依据

59.安全控制的选择主要与以下哪项有关？业务影响评估

60.在报告信息安全计划的有效性时，以下哪项是展示安全绩效改进的最佳方式：出示由第三方进行的渗透测试报告

61.在建立必须遵守适用的数据隐私法规的新数据保护计划时，应首先执行以下哪项？创建存储个人数据的系统清单

62.高级管理层批准信息安全战略后，信息安全经理下一步应该采取的措施是？成立指导委员会

63.在典型的IaaS模型中，以下哪些服务产品最能帮助云服务提供商在从安全事件中恢复时为客户提供帮助？在线虚拟机分析的能力

64.以下哪项是确保基于角色的访问方案有效性的最佳方法？审查授予的例外数量

65.以下哪一项是一套全面的安全计划指标的最大好处？安全策略的评估

66.组织希望将信息安全整合到其人力资源管理流程中，以下哪项是第一步？识别与流程相关的信息安全风险

67.在创建事件响应计划时，明确定义安全事件的主要好处是它有助于：配备充足的人员并培训事件相应团队

68.组织来年的信息安全战略强调降低勒索软件的风险。以下哪项最有助于支持这一战略？执行控制差距分析