某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()A、报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的B、核实用户的访问权限是基于用所必需原则的C、建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致D、建议终止用户的活动日志能被定期审查
题目
某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()
- A、报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的
- B、核实用户的访问权限是基于用所必需原则的
- C、建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致
- D、建议终止用户的活动日志能被定期审查
相似考题
更多“某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:()A、报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的B、核实用户的访问权限是基于用所必需原则的C、建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致D、建议终止用户的活动日志能被定期审查”相关问题
-
第1题:
下面()最容易增加非授权用户访问的风险。
- A、终端用户开发的增长
- B、系统中对于增强功能的竞争压力
- C、更多的信息系统在线访问
- D、组织越来越依赖于信息系统
正确答案:C -
第2题:
访问信息系统的用户注册的管理是()
- A、对用户访问信息系统和服务的授权的管理
- B、对用户予以注册时须同时考虑与访问控制策略的一致性
- C、当I(D)资源充裕时可允许用户使用多个I(D)
- D、用户在组织内变换工作岗位吋不必重新评审其所用I(D)的访问权
正确答案:A,B -
第3题:
访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。
- A、完善信息系统的访问控制
- B、加强主机系统及开放平台系统的安全管理
- C、网络系统安全管理
- D、确保用户终端安全
正确答案:A -
第4题:
审计日志应至少包含以下内容:用户ID或引起这个事件的处理程序ID事件的日期、事件(时间戳)、事件类型、实践内容、事件是否成功,请求的来源、用户敏感信息。
正确答案:错误 -
第5题:
管理信息系统开发策略的基本点在于保证用户对信息的需求。
正确答案:正确 -
第6题:
访问信息系统的用户注册的管理是()
- A、对用户访问信息系统和服务的授权的管理
- B、对用户予以注册时须同时考虑与访问控制策略的一致性
- C、当ID.资源充裕时可允许用户使用多个ID
- D、用户在组织内变换丁.作岗位吋不必重新评审其所用ID的访问权
正确答案:A,B -
第7题:
以下哪种访问控制策略需要安全标签?()
- A、基于角色的策略
- B、基于标识的策略
- C、用户指向的策略
- D、强制访问控制策略
正确答案:D -
第8题:
通过组策略中的本地安全策略可以控制()。
- A、访问计算机的用户
- B、域控制器中的用户
- C、授权用户对计算机上的资源的访问
- D、事件日志中用户或组的操作的记录
正确答案:A,C,D -
第9题:
单选题在银行信息系统审计期间,信息系统审计员评估是否企业对员工访问操作系统进行了适当的管理,信息系统审计人员应该判断是否企业执行了:()A定期检查用户活动日志
B在特定领域登记核实用户授权
C检查数据通信活动日志
D定期检查改变的数据文件
正确答案: D解析: 通常操作系统访问控制功能包括用户活动日志,事件等。选项B是一个数据库级和应用程序级的访问控制功能。选项C是一个网络控制特征。选项D是一个变更控制。 -
第10题:
多选题访问信息系统的用户注册的管理是()A对用户访问信息系统和服务的授权的管理
B对用户予以注册时须同时考虑与访问控制策略的一致性
C当I(D)资源充裕时可允许用户使用多个I(D)
D用户在组织内变换工作岗位吋不必重新评审其所用I(D)的访问权
正确答案: D,A解析: 暂无解析 -
第11题:
多选题访问信息系统的用户注册的管理是()A对用户访问信息系统和服务的授权的管理
B对用户予以注册时须同时考虑与访问控制策略的一致性
C当ID.资源充裕时可允许用户使用多个ID
D用户在组织内变换丁.作岗位吋不必重新评审其所用ID的访问权
正确答案: C,B解析: 暂无解析 -
第12题:
单选题访问授权以“必需知道”和“最小授权”为原则,确保用户在信息系统内的活动只限于相关业务能合法开展所要求的最低限度是属于()。A完善信息系统的访问控制
B加强主机系统及开放平台系统的安全管理
C网络系统安全管理
D确保用户终端安全
正确答案: B解析: 暂无解析 -
第13题:
访问信息系统的用户注册的管理不正确的做法是()
- A、对用户访问信息系统和服务的授权的管理
- B、对用户予以注册时须同时考虑与访问控制策略的一致性
- C、当ID资源充裕时可允许用户使用多个ID
- D、用户在组织内变换工作岗位时须重新评审其所用ID的访问权
正确答案:C -
第14题:
《加油卡系统用户权限管理办法》规定:用户帐户管理包括用户帐户的增加、用户帐户的终止(失效)、()理等。
正确答案:第三方用户的管 -
第15题:
《国家电网公司信息系统安全管理办法》第28条第2款规定:严格限制匿名用户的访问权限;实现操作系统和数据库特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制力度应达到主体为()级。
正确答案:用户 -
第16题:
用户不记得Apple ID密码,应该怎么做()
- A、建议用户访问appleid.apple.com
- B、让用户联系Apple
- C、让用户提供其Apple ID和密码
- D、指导用户创建一个新Apple ID
正确答案:A -
第17题:
为信息系统用户注册时,以下正确的是()
- A、按用户的职能或业务角色设定访问权
- B、组共享用户ID按组任务的最大权限注册
- C、预授权用户ID并保有冗余,以保障可用性
- D、避免频繁变更用户访问权
正确答案:A -
第18题:
关于用户访问权,以下做法正确的是()
- A、用户职位变更时,其原访问权应终止或撤销
- B、抽样进行针对信息系统用户访问权的定期评审
- C、组织主动解聘员工时等不必复审员工访问权
- D、使用监控系统可替代用户访问权评审
正确答案:A -
第19题:
在银行信息系统审计期间,信息系统审计员评估是否企业对员工访问操作系统进行了适当的管理,信息系统审计人员应该判断是否企业执行了:()
- A、定期检查用户活动日志
- B、在特定领域登记核实用户授权
- C、检查数据通信活动日志
- D、定期检查改变的数据文件
正确答案:A -
第20题:
单选题关于用户访问权,以下做法正确的是()A用户职位变更时,其原访问权应终止或撤销
B抽样进行针对信息系统用户访问权的定期评审
C组织主动解聘员工时等不必复审员工访问权
D使用监控系统可替代用户访问权评审
正确答案: B解析: 暂无解析 -
第21题:
单选题开始指令(signon)程序包括设定独特的用户名和密码。然而在很多情况下,信息系统的审计人员发现用户名和密码是一致的。消除这类风险的最有效控制措施是:()A改变公司安全策略
B教育用户明悉使用简单密码的风险
C在设定用户和密码变更过程中引入有效确认程序防止发生此类情形
D定期对照用户名与密码,以及时发现问题并予以纠正
正确答案: D解析: 暂无解析 -
第22题:
单选题访问信息系统的用户注册的管理不正确的做法是()A对用户访问信息系统和服务的授权的管理
B对用户予以注册时须同时考虑与访问控制策略的一致性
C当ID资源充裕时可允许用户使用多个ID
D用户在组织内变换工作岗位时须重新评审其所用ID的访问权
正确答案: A解析: 暂无解析 -
第23题:
单选题在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A寻找补偿性控制
B检阅财务事务日志
C检阅审计范围
D叫管理员禁用这些帐号
正确答案: D解析: 最好的逻辑访问控制实践是创建用户ID给每一个定义了责任的使用人。只有在建立ID和独立使用人之间一个一对一关系时才有可能。尽管如此,如果用户ID是基于角色创建的,信息系统审计师应首先理解原因,然后评价补偿控制有效性和效率。检查处理日志对审计逻辑访问控制是无关的,检查审计相关的范围也是无关的。在弄明白原因和评价补偿性控制之前,不建议信息系统审计师请管理员对共享帐号停掉。这不是信息系统审计师的职责在审计期间让停止使用帐号。 -
第24题:
单选题为信息系统用户注册时,以下正确的是()A按用户的职能或业务角色设定访问权
B组共享用户ID按组任务的最大权限注册
C预授权用户ID并保有冗余,以保障可用性
D避免频繁变更用户访问权
正确答案: C解析: 暂无解析