A.为保护组织的已识别资产而开发和部署的 IT 结构
B.为管理组织风险和保护其资产而创建的企业框架
C.一套连贯的策略、流程和系统,用于管理信息资产的风险
D.组织各级都遵循的一套标准和准则,以确保合规性和资产保护
信息安全管理系统 (ISMS) 是一组连贯的策略、过程和系统,用于管理 ISO\IEC 27001 中概述的信息资产风险。
A.共识方法
B.德尔福技术
C.群体心态
D.小组讨论阶段
在定性风险分析方法中,德尔菲法用于通过指导个人匿名提交意见来实现诚实的结果。该技术旨在让参与者在不受他人影响的情况下表达自己的观点。
A.应有的谨慎
B.法律承认的义务
C.近因关系
D.尽职
为了使公司承担责任,必须证明近因关系。这意味着可以证明公司实际上有过错并对发生的负面活动负责。
A.信息安全管理体系框架
B.企业安全架构
C.ISMS 企业架构
D. BS 7799标准
企业安全架构是企业架构的一个子集,它定义了信息安全战略,该战略由解决方案、流程和程序层组成,以及它们在战略、战术和运营上在整个企业中的链接方式。它是一种全面而严格的方法,用于描述构成整体信息安全管理系统 (ISMS) 的所有组件的结构和行为。开发企业安全架构的主要原因是确保安全工作以标准化且经济高效的方式与业务实践保持一致。该架构在抽象级别工作,并提供参考框架。除了安全性之外,这种类型的架构还允许组织更好地实现互操作性、集成性、易用性、标准化和治理。
A.策略是高级管理层的声明,它规定了安全所扮演的角色类型。过程是一套完整的说明。准则是建议,标准是规则。
B.程序是管理声明,规定了安全策略以及要实施的标准和准则。
C.标准是 IT 规定的策略,用于帮助制定要实施的安全程序。
D.标准是推荐的指南。程序是高级管理层规定的安全政策直接执行的结果。
安全策略是源自高级管理层的声明。制定标准是为了提供执行安全策略指令的统一方法,并被视为规则。指南是建议。过程是详细的分步操作。
A.Pert 控制图
B.维恩图
C.平衡计分卡
D.合规性导入
平衡计分卡是商业世界中用于绩效衡量的传统战略工具。目标是快速轻松地呈现最相关的信息。将测量值与设定的目标值进行比较,以便如果性能偏离预期,则可以以简单明了的方式传达该偏差。
A.批准特定的安全举措
B.概述公司内部的安全角色并定义这些角色的职责
C.审核和测试将要实施的安全策略的合规性
D.批准并帮助实施安全策略
论坛应讨论其他三个答案中的信息以及更多内容。论坛成员聚集在一起,制定和监督安全计划的实施。此组通常不涉及审核和合规性,该任务是针对另一个组的。审计是确保论坛走上正轨并采取适当谨慎措施的工具。
A.ISO 27001 基于 BS 7799 第 2 部分。
B.ISO 27002 基于 BS 7799 第 1 部分和第 2 部分。
C.ISO 27005 列出了用于安全管理的测量值。
D.ISO 27006 阐述了如何保护敏感的健康信息。
以下是不同的 ISO 27000 系列标准所涵盖的内容: • ISO/IEC 27001:基于英国标准 (BS) 7799 第 2 部分,即信息安全管理体系的建立、实施、控制和改进 • ISO/IEC 27002:提供 ISMS 最佳实践建议的行为准则(以前称为 ISO 17799,其本身基于 BS 7799 第 1 部分,最近于 2005 年修订并重新编号为 ISO/IEC 27002:2005) • ISO/IEC 27004:信息安全管理测量标准 • ISO/IEC 27005:旨在协助基于风险管理方法令人满意地实施信息安全 • ISO/IEC 27006:认证/注册流程指南 • ISO/IEC 27799:说明如何保护个人健康信息的指南。
A.漏洞评估
B.威胁评估
C.风险缓解
D.风险转移
我知道这个问题令人困惑,但它非常能代表您在 CISSP 考试中可能遇到的情况。真正要问的是,进行以下哪项操作是为了了解公司对可能对其产生负面影响的威胁和妥协的敏感程度。这就是脆弱性评估的目标。
A.控制框架
B.用于确保符合COSO的安全控制措施
C.安全控制由 (ISC)2 开发
D. IT 安全治理路线图
COBIT 是由信息系统审计与控制协会 (ISACA) 开发的框架。它提供了一个全面的框架,通过对企业 IT COBIT 的有效治理和管理,帮助企业实现其目标并交付价值。
A.证据发现、记录、保存、运输、收集、出庭陈述、归还所有者
B.证据发现、记录、收集、运输、保存、出庭陈述、归还所有者
C.证据发现、运输、收集、销毁、保存、出庭陈述、归还失主
D.证据发现、记录、收集、运输、保存、归还所有者、出庭作证
证据有其自身的生命周期,参与调查的个人必须了解生命周期的不同阶段并正确遵循它们。证据的生命周期包括:• 收集和识别 • 储存、保存和运输 • 出庭作证 • 归还受害者或失主
A.如果不采取应有的谨慎措施,保护高级管理层免受潜在的诉讼
B.保护商业秘密
C.保护公共信息
D.保护专有网络配置
保密协议是保护内部信息不泄露给公众的有效机制。如果签署保密协议的个人泄露了受保护的信息,她可能会承担损害赔偿责任。但是,保密协议并非旨在保护公共信息。就其性质而言,公司外部的人员可以访问公共信息。
A.使用定义的方法来识别漏洞和威胁并评估可能的影响。
B.确保安全性具有成本效益、相关性、及时性并能响应威胁。
C.提供对风险进行优先级排序的能力,并向管理层展示应用于以合理方式防范这些风险的资源量。
D.实施并全面测试已确定的对策,以确保符合组织的可接受风险级别。
在这些阶段,不会实施和测试控制措施。风险评估和分析可以帮助确定必要的控制措施,但这些控制措施并未在这些过程中实施。风险评估是一种识别漏洞和威胁的方法,并评估可能的影响以确定在何处实施安全控制。进行风险评估,并分析结果。风险分析用于确保安全性具有成本效益、相关性、及时性和对威胁的响应能力。风险分析有助于公司确定风险的优先级,并向管理层展示应用于以合理方式防范这些风险的资源量。
A.iv
B.ii
C.iii
D. i
失效模式和影响分析的正确步骤如下:
1. 从系统或控件的框图开始。
2. 考虑如果关系图的每个块都失败会发生什么。
3. 绘制一个表格,其中将故障与其影响配对,并评估影响。
4. 纠正系统的设计,并调整工作台,直到不知道系统有不可接受的问题
A.风险评估
B.风险框架
C.风险应对
D.风险监控
在制定和评估风险后开始实施,从风险应对开始,并继续通过风险监控。
A.成为 IT 安全审计员为确保合规性而应遵循的准则
B.理欺诈性金融活动和报告
C.帮助组织安装、实施和维护 COBIT 控件
D.处理与保护敏感健康信息有关的法规要求
COSO框架由特雷德韦委员会赞助组织委员会于1985年制定,旨在通过制定有关企业风险管理、内部控制和欺诈威慑的框架和指导来提供思想领导力。
A.进出口公司
B.被指控的网络犯罪分子
C.加密技术制造商
D.软件供应商
软件保护协会 (SPA) 和商业软件联盟 (BSA) 的成立是为了保护软件供应商及其许可证免受盗版的侵害。
A.定量的
B.一对一
C.德 尔 福
D.定性的
德尔菲法使用每个人在小组环境中的诚实意见来获得关于如何解决问题的广泛想法。它允许人们匿名提交他们的意见,以确保他们不会受到其他人的恐吓或欺凌,这些人可能会影响他们对特定主题的诚实感受。
A.功能性、安全性
B.保证、安全
C.合规性, 测试
D.功能性, 保证
安全性具有功能要求和保证要求,前者定义了产品或系统的预期行为,后者建立了对整个已实施产品或系统的信任。
A.原始证据在正常业务过程中被销毁。
B.原始证据被销毁。
C.原始证据是用与法院使用的语言不同的语言编写的。
D.它不能被接受;只有原件才能被接受和接受为证据。
如果可以证明证据没有被销毁,因为有人可能试图隐瞒某些东西,并且其他类似类型的文件被销毁作为常规业务程序,那么证据的副本可能会被接受。
A.1974 年隐私法
B.1999 年格雷姆-里奇-比利雷法案
C.希帕
D.1984年《综合犯罪控制法》
1974年《隐私法》保护联邦数据库中保存的个人个人信息。数据只能用于收集数据的目的。未经个人同意,不得与第三方实体共享,如果收集的信息不正确,个人应该能够提交更改。
A.下游责任
B.增加 SLA
C.人力资源问题
D.网络配置复杂性
与外部各方共享网络访问权限的公司需要承担下游责任。下游责任意味着,如果一家公司因未采取应有的谨慎程序而将合作伙伴置于风险之中,则公司可能承担法律责任。