当前的 CISM 考试题库 [2023] 顺利完成 ISACA 考试 [Q183-Q206]

10 月 30, 202310 月 30, 2023 考试当前的 CISM 考试题库 [2023] 顺利完成 ISACA 考试 [Q183-Q206] 0 条评论

標籤: CISM 下载费用, CISM 转储问题, CISM 最新练习题集, CISM 新转储电子书, CISM 有效在线练习测试, CISM 有效测试指南, CISM 有效测试 pass4sure

4/5 - (3 选票)

当前 CISM 考试题库 [2023] 顺利完成 ISACA 考试

CISM 高级 PDF 和测试引擎文件，含 417 个问题和答案

新问题 183
在计算帧中继网络连接中断 18-24 小时的影响时，应使用以下公式：

运营商收取的每小时计费费率。

通过网络传输的数据值。

所有受影响企业用户的赔偿总额。

受影响业务部门遭受的财务损失。

说明/参考：
解释：
计算损失影响的底线是其对组织造成的成本。其他选择都是造成总体货币影响的因素。

新问题 184
在检查计算机系统以获取法证证据的过程中，可疑媒体上的数据被无意中篡改。在调查过程中，应首先采取以下哪种行动？

将可疑介质备份到新介质上。

将原始媒体源逐位映像到新媒体上。

复制与调查相关的所有文件。

在所有逻辑驱动器上运行错误检查程序，确保没有磁盘错误。

节：事件管理和响应
解释：
原始硬盘驱动器或可疑介质绝不能用作分析源。应确保源或原始介质的物理安全，并仅将其用作创建逐位映像的母盘。原件应根据位置使用适当的程序进行存储。应使用为取证分析创建的映像。备份并不能百分之百地保留数据，例如已擦除或删除的文件以及闲置空间中的数据--这些数据可能对调查过程至关重要。源数据一旦被篡改，就可能不再被法庭采纳。继续调查、记录更改的日期、时间和数据，这些行为在法律诉讼中可能不被采纳。组织需要了解收集和保存与其管辖范围相关的法证证据的细节。

新问题 185
信息安全架构与以下哪项保持一致最为重要？

行业最佳做法

信息技术计划

信息安全最佳做法

业务目的和目标

信息安全架构应始终与业务目标保持一致。相比之下，与 IT 计划或行业和安全最佳实践保持一致是次要的。

新问题 186
在评估组织可能受新隐私立法影响的程度时，信息安全管理部门应考虑以下因素

制定一项业务计划，以实现对立法的遵守。

确定包含隐私内容的系统和流程。

限制个人信息的收集，直至符合要求。

确定其他国家可能包含类似要求的隐私立法。

确定相关系统和流程是最好的第一步。制定遵守法律的操作计划是不正确的，因为这不是第一步。限制个人信息的收集是其次。确定其他国家的隐私立法不会增加多少价值。

新问题 187
以下哪项是信息安全指导委员会的首要职责？

审查防火墙规则

设置密码过期程序

确定安全举措的优先次序

起草安全政策

新问题 188
以下哪项是风险负责人的职责？

进行风险评估，指导风险应对措施

确定组织的风险偏好

确保对控制效果进行监测

实施控制措施以降低风险

说明
风险负责人是负责确保有效管理风险的个人或实体。风险负责人的主要职责之一是实施有助于减轻或管理风险的控制措施。
虽然风险评估、确定组织的风险承受能力和监控控制的有效性都是风险管理的重要方面，但风险负责人有责任采取必要的行动来管理风险。

新问题 189
最完整的安全解决方案商业案例是：

包括适当的理由。

解释了当前的风险状况。

详细说明监管要求。

确定事件和损失。

说明
管理层最感兴趣的是能以最具成本效益的方式应对风险的安全解决方案。
为满足组织的需求，业务案例应根据组织战略提出适当的安全解决方案。

新问题 190
组织如何知道其新的信息安全计划是否实现了目标？

主要指标表明，事件影响有所减少。

高级管理层已批准并支持该计划。

员工乐于接受已实施的变革。

报告的事件立即减少。

说明/参考：
解释：
选项 A 是正确的，因为有效的安全计划会显示出减少影响的趋势。选项 B 和 C 很可能来自一个有效的计划，但不如选项 A 重要。

新问题 191
风险管理计划应降低以下风险

零。

可接受的水平。

可接受的收入百分比。

可接受的发生概率。

章节信息风险管理
解释：
应根据组织的风险偏好，将风险降低到可接受的水平。将风险降低到零是不切实际的，而且可能会导致成本过高。将风险与收入百分比挂钩是不可取的，因为两者之间没有直接的关联。降低风险发生的概率并不总是可能的，比如自然灾害。重点应该是将影响降低到组织可以接受的程度，而不是降低风险发生的概率。

新问题 192
在资源有限的安全计划中，以下哪种方法能最好地利用有限的资源？

交叉训练

规避风险

确定风险优先次序

威胁管理

科：信息安全计划管理

新问题 193
在制定信息安全计划的衡量标准时，最好的方法是确定以下指标：

证明安全计划的有效性。

减少信息安全计划的开支。

反映企业风险文化。

支持重大信息安全举措。

新问题 194
在以下情况下，信息安全管理人员可能无法接受暂时停止某些监控程序，即使是在接受操作风险的支持下：

这意味着合规风险。

短期影响无法确定。

违反行业安全惯例。

无法检测到角色矩阵的变化。

说明/参考：
解释：
此外，还需要监控流程来保证组织履行法律法规，因此，信息安全经理有义务遵守法律。选项 B 和 C 作为操作风险的一部分进行评估。选择 D 不太可能成为违反监管法规的关键。对业务风险的接受程度高于选项 B、C 和 D。

新问题 195
某组织没有专门的安全职能部门，该组织的管理人员决定由 IT 经理来执行安全审查。这种安排的主要工作要求是，IT 经理必须

报告其他部门的风险。

获得其他部门的支持。

报告重大安全风险。

了解安全标准。

说明
IT 经理需要根据安全审查报告环境中的安全风险，包括 IT 实施中的风险。选项 A、B 和 D 很重要，但不是主要职责或工作要求。

新问题 196
创建注重信息安全的内部文化的第一步是：

实施更有力的控制。

定期开展提高认识培训。

积极监测运行情况。

获得执行管理层的认可。

说明/参考：
解释：
行政管理层以政策的形式予以认可，可提供方向和认识。实施更强有力的控制措施可能会导致规避。意识培训很重要，但必须以政策为基础。积极监督业务不会影响各级文化。

新问题 197
以下哪项最能确保将安全风险评估纳入重大 IT 项目的生命周期？

将风险评估纳入内部审计计划

将全球安全标准应用于信息技术项目

对项目经理进行风险评估培训

让信息安全经理参加项目设置委员会

新问题 198
以下哪项对确定是否接受关键安全系统的残余风险最有帮助？

缓解控制措施的成本效益分析

恢复时间目标（RTO）

可用年度预算

最大可容忍停机时间 (MTO)

新问题 199
以下哪项是防止组织外部人员修改企业数据库中敏感信息的最有效解决方案？

筛选子网

信息分类政策和程序

基于角色的访问控制

入侵检测系统（IDS）

说明
筛选子网是非军事区（DMZ），旨在防止外部用户攻击内部网络。对信息进行分类的政策和程序最终会带来更好的保护，但并不能防止实际的修改。基于角色的访问控制有助于确保用户只能访问适合其工作角色的文件和系统。入侵检测系统 (IDS) 对于检测无效尝试很有用，但不能阻止尝试。

新问题 200
在制定支持信息安全计划投资的商业案例时，以下哪项最重要？

高级管理层支持

成本效益分析结果

风险评估结果

对风险状况的影响

说明/参考：
说明
信息安全经理必须了解组织的业务风险概况。任何模式都无法提供完整的信息，但对组织的风险领域进行逻辑分类，有助于集中精力制定关键的风险管理战略和决策。它还能使组织制定和实施与业务相关且具有成本效益的风险处理方法。

新问题 201
以下哪项是高级管理层支持将信息安全治理纳入公司治理的最有效方法？

根据企业战略制定信息安全战略。

任命一名业务经理负责信息安全。

推动全组织的信息安全意识活动。

成立一个由整个组织的代表组成的指导委员会。

新问题 202
为确保 IT 设备符合组织安全标准，最有效的方法是：

评估设备部署期间的安全。

确保用户验收测试期间的合规性。

评估所有新设备的风险。

制定经批准的设备清单。

科：信息安全计划管理

新问题 203
审查防火墙规则的信息安全经理最关心的是防火墙是否允许：

源路由。

广播传播。

未注册的端口。

非标准协议。

科：信息安全计划管理
说明
解释：
如果防火墙允许源路由，任何外部人员都可以通过窃取组织的内部（私有）IP 地址来实施欺骗攻击。广播传播、未注册端口和非标准协议不会造成严重的安全隐患。

新问题 204
以下哪项对成功实施信息安全战略最为关键？

既定的信息安全政策

为信息安全计划提供大量资金

遵守法规

高级管理层的持续承诺

新问题 205
漏洞扫描在一个重要的业务应用程序中发现了一个关键风险。信息安全经理应首先执行以下哪项工作？

向高级管理层报告业务风险。

与企业主确认风险。

创建紧急更改请求

更新风险登记册。

新问题 206
以下哪项要求在信息安全中的优先级最低？

技术

监管

隐私权

商业

说明
信息安全优先事项有时可能会优先于技术规范，因此必须重新编写技术规范，以符合最低安全标准。法规和隐私要求是政府强制执行的，因此不能凌驾于技术规范之上。在决定信息安全优先级时，应始终优先考虑业务需求。

加载中 …

CISM 认证是信息安全管理领域专业人员的重要证书。注册信息安全经理认证证明了个人在设计、实施和管理组织信息安全计划方面的专业知识。CISM 考试是一项具有挑战性的考试，要求考生深入了解信息安全管理原则、最佳实践和框架。通过 CISM 考试，个人可以增加自己的职业机会，并证明自己对信息安全管理领域的承诺。

CISM Premium Files 实用有效的考试题库： https://www.dumpsmaterials.com/CISM-real-torrent.html