单选题在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该?()A 实施进一步的分析B 向审计委员会报告该问题C 实施风险评估D 建议IDM系统的所有者解决这个工作流成中的问题
题目
实施进一步的分析
向审计委员会报告该问题
实施风险评估
建议IDM系统的所有者解决这个工作流成中的问题
相似考题
更多“在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访”相关问题
-
第1题:
单选题在对业务持续性计划进行验证时,以下哪项最为重要?()A数据备份准时执行
B备份站点已签订合约,并且在需要时可以使用
C人员安全计划部署适当
D保险
正确答案: D解析: 暂无解析 -
第2题:
单选题基于攻击方式可以将黑客攻击分为主动攻击和被动攻击,以下哪一项不属于主动攻击?()A中断
B篡改
C侦听
D伪造
正确答案: D解析: 暂无解析 -
第3题:
单选题对服务器中可疑活动进行观察后,经理要求进行取证分析。以下哪种结果最能引起该调查者的关注?()A该服务器是工作中的一员,而不属于服务器域的一部分
B某来宾帐户在该服务器中得以启用
C近期,该服务器中创建了100个用户
D该服务器没有启用审计日志
正确答案: D解析: 审计日志能够提供继续进行调查所需的证据,因此不应禁用。为满足业务需求,服务器可以是工作组中的一员,因此这并不需要担心。如果系统中启用了来宾帐户,可能会影响安全性,但这并不是司法调查方面的关注点。该服务器中近期创建了100个用户,可能是出于满足业务需求的需要,因此也不需要担心。 -
第4题:
单选题依据国家标准《信息安全技术信息系统灾难恢复规范》(GB/T20988),灾难恢复管理过程的主要步骤是灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预制定和管理;其中灾难恢复策略实现不包括以下哪一项?()A分析业务功能
B选择和建设灾难备份中心
C实现灾备系统技术方案
D实现灾备系统技术支持和维护能力
正确答案: B解析: 暂无解析 -
第5题:
单选题许多组织要求雇员参加强制性休假一个星期或更长时间,该活动的目的是?()A保持员工良好的生活质量
B减少雇员的不当或违法行为的机会
C提供适当的交叉培训的机会
D防止员工休每次假只休一天而造成的潜在破坏
正确答案: C解析: 要求比普通员工持续放假或休假一个星期以上的其他执行工作职能往往是强制性的对于一些敏感职位因为这减低了去犯不当或违法行为的机会,在这段期间,有可能出现更多正在发生的任何诈欺活动。选项ACD都是组织从强制休假当中获得的利益,但他们并不是这个策略简历的原因。 -
第6题:
单选题如下,哪一项是时间盒管理的特征()。A它不能与原型开发或快速应用开发(RAD.配合使用
B它回避了质量管理程序(或流程)的要求
C它能避免预算超支和工期延后
D它分别进行系统测试和用户验收测试
正确答案: B解析: 暂无解析 -
第7题:
名词解释题交易正确答案: 业务事件,或指具相同目的的一组消息。一个交易经常需经计算或更新数据库,以反映出该项事件的完成。解析: 暂无解析 -
第8题:
单选题从内存角度看,修复漏洞的安全补丁可以分为文件补丁和内存补丁,关于文件补丁理解错误的是:()A文件补丁又称为热补丁
B安装文件补丁时,应该停止运行原有软件
C文件补丁的优点是直接对待修补的文件进行修改,一步到位
D安装文件补丁前应该经过测试,确保能够正常运行
正确答案: A解析: 暂无解析 -
第9题:
单选题一家商业公司的网站发生黑客非法入侵和攻击事件后,应及时向哪一家?()A公安部公共信息网络安全监察及其各地相应部门
B国家计算机网络与信息安全管理中心
C互联网安全协会
D信息安全产业商会
正确答案: D解析: 暂无解析 -
第10题:
单选题在对生物识别技术中的错误拒绝率(FRR)和错误接收率(FAR)的定义中,下列哪一项的描述是最准确的?()AFAR属于类型I错误,FRR属于类型II错误
BFAR是指授权用户被错误拒绝的比率,FRR属于类型I错误
CFRR属于类型I错误,FAR是指冒充者被拒绝的次数
DFRR是指授权用户被错误拒绝的比率,FAR属于类型II错误
正确答案: A解析: 暂无解析 -
第11题:
单选题不同的信息安全风险评估方法可能得到不同的风险评估结果,所以组织机构应当根据各自的实际情况,选择适当的风险评估方法。下面的描述中,错误的是()。A定量风险分析试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,以度量风险的可能性和损失量
B定量风险分析相比定性风险分析能得到准确的数值,所以在实际工作中应使用定量风险分析,而不应选择定性风险分析
C定性风险分析过程中,往往需要凭借分析者的经验和直接进行,所以分析结果和风险评估团队的素质、经验和知识技能密切相关
D定性风险分析更具主观性,而定量风险分析更具客观性
正确答案: A解析: 暂无解析 -
第12题:
单选题信息技术安全评估通用标准(cc)标准主要包括哪几个部分?()A通用评估方法、安全功能要求、安全保证要求
B简介和一般模型、安全功能要求、安全保证要求、PP和ST产生指南
C简介和一般模型、安全功能要求、安全保证要求
D简介和一般模型、安全要求、PP和ST产生指南
正确答案: B解析: 暂无解析 -
第13题:
单选题以下哪一项是集成测试设施(ITF)的优势()。A它利用了实际的主文件,因此IS审计人员可以不审查源交易
B定期测试不要求隔离测试过程
C它验证应用系统并测试系统的持续运行
D它不需要准备测试数据
正确答案: C解析: 暂无解析 -
第14题:
单选题以下对windows账号的描述,正确的是:()。Awindows系统是采用SID(安全标识符)来标识用户对文件或文件夹的权限
Bwindows系统是采用用户名来标识用户对文件或文件夹的权限
Cwindows系统默认会生成administration和guest两个账号,两个账号都不允许改名和删除
Dwindows系统默认生成administration和guest两个账号,两个账号都可以改名和删除
正确答案: A解析: 暂无解析 -
第15题:
单选题传输控制协议(TCP)是传输层协议,以下关于TCP协议的说法,哪个是正确的?()A相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
BTCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机
CTCP协议具有流量控制、数据校验、超时重发、接收确认等机制,因此TCP协议能完全替代IP协议
DTCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低
正确答案: A解析: 暂无解析 -
第16题:
单选题以下关于lixun超级权限的说明,不正确的是()。A一般情况下,为了系统安全,对于一般常规级别的应用,不需要root用户来操作完成
B普通用户可以通过su和sudo来获得系统的超级权限
C对系统日志的管理,添加和删除用户等管理工作,必须以root用户登录才能进行
DRoot是系统的超级用户,无论是否为文件和程序的所有者都具有访问权限
正确答案: A解析: 暂无解析 -
第17题:
单选题风险评估主要包括风险分析准备、风险要素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?()A风险分析准备的内容是识别风险的影响和可能性
B风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C风险分析的内容是识别风险的影响和可能性
D风险结果判定的内容是发生系统存在的威胁、脆弱性和控制措施
正确答案: B解析: 暂无解析 -
第18题:
单选题下面哪个角色对保护和控制敏感数据担负最终责任()。A数据使用者
B安全管理者
C数据所有人
D数据保管人
正确答案: D解析: 其他的人都是对数据所有人负责 -
第19题:
单选题对于抽样可以这样认为()。A当相关的总体不具体或者是控制没有文档记录时,适用于统计抽样。
B如果审计师知道内部控制是强有力的,可以降低置信系数
C属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。
D变量抽样是一种技术,用于评估某种控制或一系列相关控制的发生率。
正确答案: D解析: 暂无解析 -
第20题:
单选题制定应急响应策略主要需要考虑()。A系统恢复能力等级划分
B系统恢复资源的要求
C费用考虑
D人员考虑
正确答案: A解析: 暂无解析 -
第21题:
名词解释题指纹扫瞄器正确答案: 一种采取生物技术的控制,通过指纹的扫瞄来对人进行识别。解析: 暂无解析 -
第22题:
单选题数据库管理系统套装软件不可能提供下面哪一种访问控制功能()。A用户对栏位数的访问
B用户在网络层的登录
C在程序级的身份验证
D在交易级的身份验证
正确答案: B解析: 暂无解析 -
第23题:
单选题如果可以在组织范围定义文档化的标准过程,在所有的项目规划、执行和跟踪已定义的过程,并且可以很好地协调项目活动和组织活动,则组织的安全能力成熟度可以达到?()A规划跟踪定义
B充分定义级
C量化控制级
D持续改进级
正确答案: D解析: 暂无解析 -
第24题:
单选题当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时,IS审计人员首先应关注的是()。A用户可能更愿意使用预先制作的测试数据
B可能会导致对敏感数据的非授权访问
C错误处理可信性检查可能得不到充分证实
D没有必要对新流程的全部功能进行测试
正确答案: A解析: 暂无解析