外包协议没有包括对于IT运营的灾难恢复计划
服务提供商没有意外事件处理程序
由于程序库管理问题,被破坏的数据库没有恢复
没有审查意外事件
第1题:
风险评估方法包括:定性风险分析、定量风险分析以及半定量风险分析
定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例,因此具有随意性
定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值,因此更具客观性
半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式,实现对风险各要素的度量数值化
第2题:
计算机辅助软件工程(CASE)工具
嵌入式数据收集工具
趋势/差异扫描工具
启发式扫描工具
第3题:
A类和
类地址中没有私有地址,
类地址中可以设置私有地址
A类,B类,C类地址中都没有私有地址
第4题:
安全和控制实践
财产和责任保险
审计与认证
合同和服务水平协议
第5题:
保护资产和信息资源的关键控制发挥作用
公司是否满足顾客的需求
系统是否满足性能要求
用户确定谁将为流程负责
第6题:
cat/var/log/secure
who
whoami
cat/etc/security/access.log
第7题:
汽油/燃料供应能力
可提供的电力负载大小
可提供的供电时间
主电力中断到UPS开始供电的切换速度
第8题:
审查访问控制配置
接口测试评估
详细设计文件审查
系统测试评估
第9题:
数据库数字签名
利用随机数和其他变数对数据库加密
启用数据库戒指访问控制(MAC)地址认证
数据库初始化参数
第10题:
服务中断的时间间隔
目标恢复时间(RTO)
服务交付目标
目标恢复点(RPO)
第11题:
需要被保护的关键IT资源清单
访问授权的基本策略
敏感的安全特性的标识
相关软件安全特性
第12题:
最优的
可管理的
定义级
重复级
第13题:
采购人员
销售人员
财务总监
行政人员
第14题:
规范化地裁剪组织层面的过程定义
项目层面定义、计划和执行问题
测量
一个组织或项目执行了包含基本实施的过程
第15题:
杀毒软件
包过滤路由器
蜜罐
服务器加固
第16题:
软件在Linux下按照时,设定运行时使用nobody用户运行实例
软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账户连接数据库
软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号对日志表拥有权限。
为了保护软件在Windows下能稳定运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误
第17题:
分析系统的体系结构
分析系统的安全环境
制定风险管理计划
调查系统的技术特性
第18题:
总成本中应考虑控制措施维护成本
只要控制措施有效,不管成本都应该首先选择
首先要考虑控制措施的成本效益
应该考虑控制措施实施的成熟度
第19题:
电话
电子邮件
人员
公司OA
第20题:
系统用户名
超级用户切换验证
系统错误
数据编辑错误
第21题:
Incriminating 归罪的
Edited 编辑过的
Decrypted 解密的
Relevant 相关的
第22题:
申请访问控制级别
数据加密
禁用软盘动器
网络监控装备
第23题:
创建数据库用户账号(profilE.
字段级验证用户身份
为每个人建立登陆账号
为监督访问违例,日志记录数据库访问活动
第24题:
审核依据
审核证据记录
审核发现
数据收集方法和工具