错题小结
CISSP 单元测试(第一版)
- 1 单元D1-1测试
信息安全项目的负责人可能并不负责项目的具体实施,该负责人应该拥有高级职位,能很好地管理信息安全项目。总裁兼首席执行官不太可能有充足的时间来关心安全问题。在剩余的选择中,首席信息官(CIO)是最高级别的管理者。
基线提供整个组织中每个系统必须满足的最低安全级别。
ISO 27002 是一个侧重于信息安全的国际标准,标题为“信息技术-安全技术-信息安全管理实践守则”。IT 基础设施库(ITIL)确实包含安全管理实践,但它不是文档,而且ITIL 所关注的安全问题都来源于ISO 27002。能力成熟度模型(CMM)专注于软件开发,项目管理知识体系(PMBOK)指南侧重于项目管理。
不可否认性允许接收者向第三方证明消息的来源。身份验证可以向Ben 证明发件人是真实的,但Ben 不能向第三方证明消息的来源
深度防御指出,每个组织都应该实施重叠安全控制,从而保证组织系统的安全。这种方法可以在单个控制失败的情况下提供安全性。
以下哪一个不是正式变更管理项目的目标?(答案:D) A有序地执行变更 B执行前对变更进行测试 C提供变更的回滚计划 D变更发生后通知股东 解析:组织应该在项目发生变化之前、之后通知利益相关者,其他三个选项都是变更管理计划的目标。
电子门禁权限需要妥善处理,工作人员在被解雇后如果继续保留电子门禁权限,那么该员工有可能采取报复行动。另一方面,如果早早地取消员工的电子门禁权限,那么他(她)也就大概也会猜到自己快要被解雇了。
- 2 单元D1-2测试
书面作品(如网站内容)通常受版权法保护。商业秘密与此情况不符,因为网站的内容是在线的,而且这些内容在公司外部也是可以访问到的,不属于商业秘密。专利保护的是发明,商标保护用于表示品牌的词语和符号,这两者都和本题无关。
散列(Hashing)允许用户通过计算来验证文件没有被修改过。访问控制列表(ACL)和只读属性有助于防止未经授权的修改,但它们无法验证文件未被修改过。防火墙是网络安全控制,同样无法验证文件的完整性。
当威胁与脆弱性相关时,存在风险。这种关系可使用等式“风险=威胁*脆弱性”来描述。
保密协议(NDA)通过要求员工不得与第三方共享机密信息,从而保护组织的敏感信息,NDA 通常在员工离开公司后仍然有效。
- 3单元D1-3测试 BCP章节知识点且缺
- 每当你选择接受风险时,你应该将风险接受过程写成详细文档,以便将来供审计师使用。这一步应该在实施安全控制、设计灾难恢复计划和重复业务影响分析(BIA)之前发生。
OSG 8 提供的6*150练习题(www.wiley.com/go/sybextestprep)
评估测试题 XVII 1.1
第一章 课后题
- 2.1 数据分类方案的主要目标是基于指定的重要性与敏感性标签,对数据进行正式化和分层化的安全防护过程.为数据存储、处理和存储提供安全机制.
- 2.2 商业/私营部门的私有数据分类级别用于控制组织内部的个人信息.(机密和私有的真正区别在于,机密数据是公司的,私有数据是与个人相关的)
- 第二章 课后题
- 3.1 离职面谈的主要目的:根据雇佣协议、保密协议和其他安全相关文件,对其的责任和限制进行审查.
- 3.2 用户个人文件不被认为是资产.开发过程、基础架构等通常被认为是资产 OSG P66
- 3.3 威胁事件:代表意外或故意地利用脆弱性.
- 威胁:任何可能发生的、对组织或特定资产造成非预期结果的潜在事件.
- 脆弱性:是防护措施或控制措施缺失或其中存在的缺点.
- 暴露:脆弱性被威胁主体或威胁事件加以利用的可能性是存在的./暴露(exposure)是造成损失的实例。
- 风险:每一个暴露实例/威胁*脆弱性/风险(risk)是威胁主体利用资产上的脆弱性而产生可能的相应业务影响。
- 3.4 IT安全性只能提供针对逻辑或技术性攻击的保护
- 第三章 课后题
- 4.1 BCP团队的首要任务是对负责领导BCP工作的人员最初执行的业务组织分析进行审核和验证.
- 公司高级管理人员,在法律上有义务实施尽职审查,以确保充分实施业务连续性计划.
- 灾难恢复计划从业务连续性计划停止的地方开始.涉及处置设施、备份和容错相关技术的控制.
- 努力让最高级别的人员在BCP的重要声明上签字.
- 第4章 课后题
- 5.1 主要是美国法律,暂时忽略
- 第5章 课后题
- 6.1 管理员在较不安全的环境下重用机密介质前会做清除处理.
- 6.2 净化可能不可靠,因为人员在执行清除、消磁或其他过程时可能操作不当.
- 6.3 记录保留:指需要时就保留和维护重要信息,不需要时就销毁它.
- 第6章 课后题
- 7.1 DES的5种模式
- 7.2 运动密钥密码常从名著中摘取段落作为加密密钥.
- 7.3 Twofish算法使用了预白化和白化后处理技术.