CISA-Prüfung Fragen erhalten aktualisiert [2023] mit korrekten Antworten [Q99-Q116]

2. April 20232. April 2023 examdumpsCISA-Prüfung Fragen erhalten aktualisiert [2023] mit korrekten Antworten [Q99-Q116] 0 Kommentar

Schlagwörter: CISA-Bücher PDF, Neueste CISA-Prüfungsvorbereitung, Neue CISA-Prüfungsunterlagen, CISA zuverlässige Prüfung Sammlung kostenlos, CISA gültig Praxis Fragen Dateien, CISA gültige Prüfung pass4sure

4.7/5 - (3 Stimmen)

Aktualisierte CISA-Prüfungsfragen [2023] mit korrekten Antworten

Praxis CISA Fragen mit Zertifizierung Führer Q&A von Training Expert DumpsMaterials

Q99. Welche der folgenden Aufgaben fällt in den Zuständigkeitsbereich eines Ausschusses für Informationssicherheit?

Auswahl der externen Sicherheitsprüfer der Organisation

Genehmigung des Zugangs zu kritischen Finanzsystemen

Überprüfung von Inhalten für Programme zur Förderung der Informationssicherheit

Priorisierung von Initiativen im Bereich der Informationssicherheitstechnologie

Q100. Ein IS-Auditor plant, die Infrastruktur einer Organisation hinsichtlich Zugriff, Patching und Change Management zu prüfen. Welche der folgenden Möglichkeiten ist die BESTE, um die Systeme zu priorisieren?

Die Komplexität der Umwelt

Kritikalität des Systems

Systemhierarchie innerhalb der Infrastruktur

Rentenplan des Systems

Q101. Ein Mitarbeiter hat versehentlich vertrauliche Daten auf der Social-Media-Seite des Unternehmens veröffentlicht. Welche der folgenden Maßnahmen ist die BESTE, um zu verhindern, dass sich dies wiederholt?

Alle Aktualisierungen müssen vom Marketingdirektor vorgenommen werden.

Einführung eines Genehmigungsverfahrens für Moderatoren

Regelmäßige Überprüfungen der Aktualisierungen in den sozialen Medien durchführen

Einrichtung einer Zwei-Faktor-Zugangskontrolle für Konten in sozialen Medien

Abschnitt: Schutz von Informationswerten
Erläuterung/Referenz:

Q102. Welche der folgenden Punkte sollten bei Abschluss eines Systementwicklungsprojekts in einer Nachbetrachtung berücksichtigt werden?

Bewertung von Risiken, die zu Ausfallzeiten nach der Produktionsfreigabe führen können

Ermittlung von Erfahrungen, die für künftige Projekte genutzt werden können

Überprüfung der Funktionsfähigkeit der Kontrollen im gelieferten System

Sicherstellen, dass Testdaten gelöscht werden

Erläuterung/Referenz:
Erläuterung:
Ein Projektteam kann aus jedem einzelnen Projekt etwas lernen. Da die Risikobewertung ein Schlüsselthema für das Projektmanagement ist, ist es für die Organisation wichtig, die gewonnenen Erkenntnisse zu sammeln und sie in künftige Projekte zu integrieren. Vor der Implementierung eines Systems sollte gemeinsam mit der Betriebsgruppe und anderen Fachleuten eine Bewertung der möglichen Ausfallzeiten vorgenommen werden. Die Überprüfung, ob die Kontrollen funktionieren, sollte in der Phase der Abnahmetests und möglicherweise auch in der Überprüfung nach der Implementierung erfolgen. Die Testdaten sollten für künftige Regressionstests aufbewahrt werden.

Q103. Das Versenden einer Nachricht und eines mit dem privaten Schlüssel des Absenders verschlüsselten Nachrichten-Hashes gewährleistet:

Authentizität und Integrität.

Authentizität und Privatsphäre.

Integrität und Datenschutz.

Datenschutz und Unleugbarkeit.

Erläuterung/Referenz:
Erläuterung:
Wenn der Absender sowohl eine Nachricht als auch einen mit seinem privaten Schlüssel verschlüsselten Hash-Wert sendet, kann der Empfänger den öffentlichen Schlüssel des Absenders auf den Hash-Wert anwenden und den Hash-Wert der Nachricht erhalten. Der Empfänger kann den Hash-Algorithmus auf die empfangene Nachricht anwenden und einen Hash erzeugen. Durch den Abgleich des generierten Hashes mit dem empfangenen Hash kann der Empfänger sicherstellen, dass die Nachricht von einem bestimmten Absender gesendet wurde, d. h. dass sie authentisch ist und unterwegs nicht verändert wurde. Authentizität und Datenschutz werden dadurch gewährleistet, dass zunächst der private Schlüssel des Absenders und dann der öffentliche Schlüssel des Empfängers zur Verschlüsselung der Nachricht verwendet werden. Vertraulichkeit und Integrität können gewährleistet werden, indem der öffentliche Schlüssel des Empfängers zur Verschlüsselung der Nachricht verwendet und ein Hash/Digest der Nachricht gesendet wird. Nur die Unleugbarkeit kann durch die Verwendung des privaten Schlüssels des Absenders zur Verschlüsselung der Nachricht gewährleistet werden. Der öffentliche Schlüssel des Absenders, der für jedermann zugänglich ist, kann eine Nachricht entschlüsseln; er gewährleistet also nicht den Datenschutz.

Q104. Aus der Sicht der Kontrolle besteht das PRIMÄRSTE Ziel der Klassifizierung von Informationsbeständen darin,:

Leitlinien für den Grad der Zugangskontrollen festlegen, die zugewiesen werden sollten.

sicherstellen, dass allen Informationsbeständen Zugangskontrollen zugewiesen werden.

das Management und die Prüfer bei der Risikobewertung zu unterstützen.

zu ermitteln, welche Vermögenswerte gegen Verluste versichert werden müssen.

Informationen sind für die Erreichung der Geschäftsziele unterschiedlich sensibel und kritisch. Durch die Zuweisung von Klassen oder Sensibilitäts- und Kritikalitätsstufen für Informationsressourcen kann das Management Richtlinien für den Grad der zuzuweisenden Zugangskontrollen festlegen. Das Endbenutzermanagement und der Sicherheitsadministrator werden diese Klassifizierungen in ihrem Risikobewertungsprozess verwenden, um jedem Vermögenswert eine bestimmte Klasse zuzuweisen.

Q105. Eine IT-Balanced Scorecard wird in erster Linie verwendet für:

Evaluierung des IT-Projektportfolios

Messung der strategischen IT-Leistung

Zuweisung von IT-Budget und -Ressourcen

Überwachung der Risiken bei IT-Prozessen

Q106. Der Hauptzweck eines Konfigurationsmanagementsystems besteht darin,:

Software-Updates verfolgen.

Baselines für Software definieren.

das Freigabeverfahren unterstützen.

die Genehmigung von Änderungen zu standardisieren.

Q107. Eine Private Branch Exchange(PBX)-Umgebung birgt viele Sicherheitsrisiken, eines davon sind die Menschen innerhalb und außerhalb einer Organisation. Welche der folgenden Risiken sind NICHT mit Private Branch Exchange verbunden?
1. Diebstahl von Dienstleistungen
2. Offenlegung von Informationen
3. Änderungen der Daten
4. Dienstverweigerung
5. Verkehrsanalyse

3 und 4

4 und 5

1-4

Es sind ALLE Risiken, die mit PBX verbunden sind

Erläuterung/Referenz:
Das NICHT ist ein Schlüsselwort in der Frage. Sie müssen die Risiken herausfinden, die NICHT mit PBX verbunden sind. Alle in den Optionen aufgeführten Risiken sind mit PBX verbunden.
Die Bedrohungen für das PBX-Telefonsystem sind vielfältig, abhängig von den Zielen der Angreifer, und umfassen:
Diebstahl von Diensten - Mautbetrug, wahrscheinlich das häufigste Motiv für Angreifer.
Offenlegung von Informationen - Daten, die ohne Genehmigung offengelegt wurden, entweder durch absichtliches Handeln oder durch Zufall.
Beispiele sind das Abhören von Gesprächen und der unbefugte Zugriff auf Routing- und Adressdaten.
Datenveränderung - Daten werden durch Aufzeichnung, Löschung oder Veränderung auf irgendeine sinnvolle Weise verändert. So kann ein Eindringling beispielsweise Rechnungsdaten ändern oder Systemtabellen modifizieren, um zusätzliche Dienste zu erhalten.
Unerlaubter Zugriff - Aktionen, die es einem nicht autorisierten Benutzer ermöglichen, Zugriff auf Systemressourcen oder -privilegien zu erhalten.
Dienstverweigerung (Denial of Service) - Aktionen, die verhindern, dass das System entsprechend seinem Zweck funktioniert. Ein Gerät oder eine Einheit kann funktionsunfähig gemacht oder gezwungen werden, in einem beeinträchtigten Zustand zu arbeiten; Vorgänge, die von der Aktualität abhängen, können verzögert werden.
Verkehrsanalyse - Eine Form des passiven Angriffs, bei dem ein Eindringling Informationen über Anrufe beobachtet und daraus Schlüsse zieht, z. B. aus der Quell- und Zielnummer oder der Häufigkeit und Länge von Nachrichten. Ein Eindringling beobachtet zum Beispiel ein hohes Anrufaufkommen zwischen der Rechtsabteilung eines Unternehmens und dem Patentamt und schließt daraus, dass ein Patent angemeldet wird.
Die folgenden Antworten waren falsch:
Alle in den Optionen genannten Risiken sind mit der Telefonanlage verbunden. Andere Optionen sind also nicht gültig.
Die folgende(n) Referenz(en) wurde(n) zur Erstellung dieser Frage verwendet:
CISA-Überprüfungshandbuch 2014 Seitenzahl356

Q108. Ein Hub ist ein Gerät, das Verbindungen herstellt:

zwei LANs mit unterschiedlichen Protokollen.

ein LAN mit einem WAN.

ein LAN mit einem Metropolitan Area Network (MAN).

zwei Segmente eines einzigen LANs.

Erläuterung/Referenz:
Erläuterung:
Ein Hub ist ein Gerät, das zwei Segmente eines einzigen LANs miteinander verbindet. Ein Hub ist ein Repeater. Er bietet transparente Konnektivität für Benutzer in allen Segmenten desselben LANs. Er ist ein Gerät der Stufe 1.
Falsche Antworten:
A. Eine Bridge arbeitet auf Ebene 2 der OSI-Schicht und wird verwendet, um zwei LANs mit unterschiedlichen Protokollen zu verbinden (z. B. ein Ethernet- und ein Token-Netzwerk), um ein logisches Netzwerk zu bilden.
B. Ein Gateway, ein Gerät der Stufe 7, wird verwendet, um ein LAN mit einem WAN zu verbinden.
C. Ein LAN wird mit einem MAN über einen Router verbunden, der auf der Netzwerkschicht arbeitet.

Q109. Welche der folgenden Rollen ist UNBEDINGT für den Schutz der Informationen einer Organisation verantwortlich?

Das Direktorium

Der Verantwortliche für Informationssicherheit (CISO)

Der Eigentümer der Daten

Der Chief Information Officer (CIO)

Abschnitt: Schutz von Informationswerten

Q110. Welcher der folgenden Punkte ist am wichtigsten für die forensische Datensammlung und -aufbewahrung?

Gewährleistung der physischen Sicherheit der Geräte

Aufrechterhaltung der Überwachungskette

Bestimmung der zu verwendenden Werkzeuge

Wahrung der Datenintegrität

Q111. Welches der folgenden Ergebnisse ist am ehesten bei einer Konformitätsprüfung zu erwarten?

Vergleich der Daten mit physischen Zählungen

Bestätigung der Daten durch externe Quellen

Identifizierung von Fehlern aufgrund von Verarbeitungsfehlern

Entdeckung von nicht durchgeführten Kontrollen

Q112. Ein Unternehmen möchte die vom Unternehmen zur Verfügung gestellten Smartphones von Mitarbeitern, die das Unternehmen verlassen, wiederverwenden. Welche der folgenden Empfehlungen wäre die BESTE?

Die Speicherkarten der Smartphones sollten ausgetauscht werden.

Die Daten sollten sicher von den Smartphones gelöscht werden.

Die SIM-Karte und die Rufnummer sollten geändert werden.

Smartphones sollten nicht wiederverwendet, sondern physisch zerstört werden.

Q113. Was ist das beste Mittel gegen SQL-Injection-Schwachstellen?

Überprüfung der Eingaben

Unicode-Übersetzung

Secure Sockets Layer (SSL)-Verschlüsselung

Digitale Signaturen

Q114. Welcher der folgenden Punkte ist am wichtigsten für die Aufnahme in den Notfallplan einer Organisation, um ähnliche Vorfälle in Zukunft zu verhindern?

Eindämmungs- und Neutralisierungsmaßnahmen

Dokumentation der Einzelheiten des Vorfalls

Verfahren zur Beendigung von Vorfällen

Überprüfung nach einem Vorfall

Q115. Die Bewertung von IT-Risiken wird am BESTEN erreicht durch:

Bewertung von Bedrohungen im Zusammenhang mit bestehenden IT-Anlagen und IT-Projekten.

unter Verwendung der tatsächlichen Schadenerfahrung des Unternehmens in der Vergangenheit, um das aktuelle Risiko zu bestimmen.

Überprüfung der veröffentlichten Verluststatistiken vergleichbarer Organisationen.

Überprüfung der in den Prüfberichten festgestellten Schwachstellen bei der IT-Kontrolle.

Abschnitt: Schutz von Informationswerten
Erläuterung:
Um IT-Risiken zu bewerten, müssen Bedrohungen und Schwachstellen anhand von qualitativen oder quantitativen Risiken beurteilt werden.
Bewertungsansätze. Die Optionen B, C und D sind potenziell nützliche Inputs für den Risikobewertungsprozess,
sind aber für sich genommen nicht ausreichend. Eine Bewertung auf der Grundlage früherer Verluste spiegelt nicht angemessen wider
unvermeidliche Änderungen an den IT-Anlagen, Projekten, Kontrollen und dem strategischen Umfeld des Unternehmens. Außerdem gibt es
wahrscheinlich Probleme mit dem Umfang und der Qualität der verfügbaren Verlustdaten, die bewertet werden sollen. Vergleichbar
Organisationen unterscheiden sich in ihren IT-Beständen, ihrem Kontrollumfeld und ihren strategischen Gegebenheiten.
Daher kann ihre Schadenerfahrung nicht zur direkten Bewertung des IT-Risikos eines Unternehmens herangezogen werden. Kontrolle
Die bei den Prüfungen festgestellten Schwachstellen werden bei der Bewertung der Bedrohungslage von Bedeutung sein, und weitere Analysen können
zur Bewertung der Bedrohungswahrscheinlichkeit erforderlich sein. Je nach Umfang des Prüfungsumfangs ist es möglich, dass nicht
alle kritischen IT-Anlagen und -Projekte wurden kürzlich geprüft, und es gibt möglicherweise nicht genügend
Bewertung der strategischen IT-Risiken.

Q116. Welche der folgenden PBX-Funktionen ermöglicht es, eine PBX so zu konfigurieren, dass eingehende Anrufe an den nächsten verfügbaren Agenten weitergeleitet oder in die Warteschleife gestellt werden, bis ein Agent verfügbar ist?

Automatische Anrufverteilung

Weiterleitung von Anrufen

Anmietung

Mailbox

Erläuterung/Referenz:
Die automatische Anrufverteilung ermöglicht es, eine Telefonanlage so zu konfigurieren, dass eingehende Anrufe an den nächsten verfügbaren Agenten weitergeleitet oder in die Warteschleife gestellt werden, bis ein Agent verfügbar ist.
Für Ihre Prüfung sollten Sie die unten aufgeführten PBX-Funktionen und -Risiken kennen:
System-Merkmale
Beschreibung
Risiko
Automatische Anrufverteilung
Ermöglicht es, eine Telefonanlage so zu konfigurieren, dass eingehende Anrufe an den nächsten verfügbaren Agenten weitergeleitet oder in die Warteschleife gestellt werden, bis ein Agent verfügbar ist.
Abhören und Kontrolle des Verkehrs
Weiterleitung von Anrufen
Ermöglicht die Angabe einer alternativen Nummer, an die Anrufe unter bestimmten Bedingungen weitergeleitet werden Benutzerverfolgung
Kontocodes
Verwendet für:
Nachverfolgung von Anrufen, die von bestimmten Personen oder für bestimmte Projekte getätigt wurden, um eine angemessene Abrechnung zu ermöglichen Einwahl in das System (der Benutzer wählt von außen und erhält Zugang zu den normalen Funktionen der Telefonanlage) Änderung der Benutzerklasse, so dass ein Benutzer Zugang zu einer anderen Gruppe von Funktionen hat (z. B. die Override-Funktion)
Betrug, Benutzerverfolgung, nicht autorisierte Funktionen
Zugangscodes
Taste für den Zugang zu einer bestimmten Funktion seitens der Benutzer mit einfachen Geräten, d.h. traditionellen analogen Telefonen.
Nicht autorisierte Funktionen
Stille Überwachung
Überwacht stillschweigend andere Anrufe
Lauschangriff
Konferenzen
Ermöglicht die Konversation zwischen mehreren Benutzern
Abhören, indem unerwünschte/unbekannte Teilnehmer zu einer Konferenz hinzugefügt werden
überschreiben(eindringen)
Bietet die Möglichkeit, eine besetzte Leitung zu unterbrechen, um einem anderen Benutzer eine wichtige Nachricht mitzuteilen Abhören
Auto-Antwort
Ermöglicht es einem Instrument, automatisch zu gehen, wenn es aufgerufen wird, und gibt normalerweise eine hör- oder sichtbare Warnung, die leicht ausgeschaltet werden kann.
Gewinnung von Informationen, die normalerweise nicht verfügbar sind, für verschiedene Zwecke
Anmietung
Begrenzt den Zugang von Systembenutzern auf die Benutzer, die derselben Mietergruppe angehören - nützlich, wenn ein Unternehmen einen Teil seines Gebäudes an andere Unternehmen vermietet und die Mieter sich eine Telefonzentrale, Fernleitungen usw. teilen Illegale Nutzung, Betrug, Abhören
Mailbox
Speichert die Nachrichten zentral und ermöglicht mit Hilfe eines Passworts den Abruf von internen oder externen Leitungen.
Offenlegung oder Zerstörung aller Nachrichten eines Benutzers, wenn das Passwort dieses Benutzers bekannt ist oder von einem Eindringling entdeckt wird, Deaktivierung des Voice-Mail-Systems und sogar der gesamten Vermittlungsstelle durch langwierige Nachrichten oder eingebettete Codes, illegaler Zugang zu externen Leitungen.
Freigabe der Privatsphäre
Unterstützt die gemeinsame Nutzung von Nebenstellen durch mehrere Geräte, so dass jeweils nur ein Gerät eine Nebenstelle nutzen kann. Die Freigabe der Privatsphäre deaktiviert die Sicherheit, indem sie Geräten erlaubt, sich mit einer bereits verwendeten Erweiterung zu verbinden.
Lauschangriff
Keine besetzte Nebenstelle
Ermöglicht das Hinzufügen von Anrufen zu einer aktiven Nebenstelle zu einer Konferenz, wenn diese Nebenstelle in einer Konferenz ist und bereits abgehoben wurde.
Mithören einer laufenden Konferenz
Diagnostik
Ermöglicht die Umgehung der normalen Anrufbeschränkungsverfahren. Diese Art der Diagnose ist manchmal von jedem angeschlossenen Gerät aus möglich. Es handelt sich dabei um ein separates Leistungsmerkmal, das zusätzlich zu den normalen Diagnosen des Wartungsterminals oder der Vermittlungsstelle zur Verfügung steht.
Betrug und illegale Nutzung
Anklopfen oder Anklopfen
Wenn diese Funktion aktiviert ist, wird ein optisches und akustisches Warnsignal an ein abgehobenes Gerät gesendet, das gerade einen anderen Anruf erhält.
Eine weitere Option dieses Leistungsmerkmals ist die Konferenzschaltung mit dem Anklopfenden oder das Anklopfen, das die angerufene Person zu einem Konferenzteilnehmer macht, ohne es zu wissen.
Dedizierte Verbindungen
Verbindungen, die über die Telefonanlage hergestellt werden, ohne die normalen Wählsequenzen zu verwenden. Sie kann zur Herstellung von Hotlines zwischen Geräten verwendet werden, d. h. ein Gerät klingelt, wenn das andere abhebt. Es wird auch für Datenverbindungen zwischen Geräten und der zentralen Verarbeitungseinrichtung verwendet.
Abhören einer Leitung
Die folgenden Antworten waren falsch:
Anrufweiterleitung - Ermöglicht die Angabe einer alternativen Nummer, an die Anrufe unter bestimmten Bedingungen weitergeleitet werden
Tenanting - Begrenzt den Zugriff der Systembenutzer auf die Benutzer, die derselben Mietergruppe angehören. Dies ist nützlich, wenn ein Unternehmen einen Teil seines Gebäudes an andere Unternehmen vermietet und die Mieter sich eine Telefonzentrale, Fernleitungen usw. teilen.
Voicemail - Speichert Nachrichten zentral und ermöglicht mit Hilfe eines Passworts den Abruf von internen oder externen Leitungen.
Die folgende(n) Referenz(en) wurde(n) zur Erstellung dieser Frage verwendet:
CISA-Überprüfungshandbuch 2014 Seitenzahl 358

Laden …

Bereiten Sie sich auf die ISACA CISA-Prüfung vor: Audio Study Guide Practice Questions Edition: https://www.dumpsmaterials.com/CISA-real-torrent.html