2022 真实 CISM Dumps 最新 ISACA 模拟测试 Dumps [Q66-Q85]

2022 真实的 CISM Dumps 最新 ISACA 模拟测试 Dumps

CISM Dumps PDF – CISM Real Exam Questions Answers

谁是目标受众？

Now that you have an idea of the key topics of CISM, it’s also relevant to know the main audience of the certification. First and foremost, it is created for individuals who have managerial roles. Their position allows them to design, supervise, and calculate the information security features of the organization. In addition, these professionals must have a minimum of 5 years of industry experience in managing information security. Isaca may allow a waiver of the number of working years for up to 2 years.

ISACA CISM：您需要了解哪些考试细节？

CISM 认证考试通常持续约 4 个小时，包含 150 道题。考试采用多选题形式，选择错误答案不会扣分。但是，在同一道题中，正确答案无效。因此，您应该只选择自己确定的答案。每道题都有不同的分数，取决于它的难度。满分 800 分，您需要获得 450 分以上才能顺利通过考试。考试有简体中文、英文、日文和西班牙文版本。考试券的费用为 $760，如果注册会员，则为 $575。

为什么 CISM 被强烈推荐担任管理职位？

CISM 是信息安全领域担任管理职务的专业人员所需的最佳认证之一。他们可能是安全经理、IT 经理、安全管理员、高级系统管理员等。通过获得这一 Isaca 证书，您将为自己的职业生涯增添价值，因为 CISM 的考试范围战略性地突出了 IS 管理的方方面面。

因此，如果您想提高自己的技能和技术熟练程度，该认证可以帮助您实现目标。另一个让 CISM 在技术专业人士中声名鹊起的原因是它可以提高薪水。通过在个人档案中加入该认证，雇主可以提前分辨您的技能。因此，根据 PayScale 的数据，获得 CISM 认证的人员平均薪水超过 $123,000+，相对高于未获得认证的安全专业人员的收入。

此外，申请人还可以选择其他 Isaca 认证。虽然没有与 CISM 相关的更多课程，但申请人可以选择其他课程，如 CISA - 注册信息系统审计师、CSX-P - 网络安全从业人员认证等。

问题 66
以下哪项是工作人员不当使用互联网的潜在指标？

 服务台要求重置密码的电话增加

 减少防火墙的 ping 次数

 关于系统性能缓慢的报告增多

 漏洞扫描产生的弱点数量增加

问题 67
在选择信息安全指导委员会成员时，以下哪项是最重要的考虑因素？

 跨职能组成

 信息安全专业知识

 在组织中的任期

 业务专长

科：信息安全计划管理

问题 68
在整个企业内使用加密技术的成文标准/程序应首先：

 定义应使用加密技术的情况。

 定义加密算法和密钥长度。

 描述处理加密密钥的程序。

 确定使用加密解决方案。

科：信息安全计划管理
解释：
应为整个企业使用加密技术制定成文的标准程序；这些标准程序应界定应使用加密技术的情况。它们应涵盖加密算法和密钥长度的选择，但不对其进行精确定义，还应解决加密密钥的处理问题。不过，这对于如何以及何时使用加密技术是次要的。应涉及加密解决方案的使用，但这同样是次要考虑因素。

问题 69
某跨国企业制定了自带设备 (BYOD) 政策，要求在个人拥有的设备上安装移动设备管理 (MDM) 软件。以下哪项是实施该政策的最大挑战？

 移动操作系统平台的差异

 不同的员工数据隐私权

 企业文化的差异

 政策的翻译和宣传

问题 70
使用衡量标准来评估信息安全的主要原因是： 1：

 找出安全漏洞。

 证明预算支出的合理性。

 实现稳步提高。

 提高对安全问题的认识。

度量的目的是促进和跟踪持续改进。它无法找出所有安全弱点。它可以提高人们的认识，帮助证明某些支出是合理的，但这不是它的主要目的。

问题 71
一个核心业务部门依赖于一个有效的遗留系统，该系统不符合当前的安全标准，并威胁到企业网络。以下哪项是解决这种情况的最佳方案？

 将不足之处记录在风险登记册中。

 断开旧系统与网络其他部分的连接。

 要求实施符合标准的新系统。

 制定弥补不足的流程。

问题 72
以下哪项是风险管理计划的首要目标？

 针对威胁实施预防性控制。

 管理内在风险对业务的影响。

 管理组织政策的遵守情况。

 降低组织的风险偏好。

章节信息风险管理

问题 73
在配置用于保护高度安全数据中心的生物识别门禁系统时，应设置系统的灵敏度级别：

 导致更高的错误拒绝率 (FRR)。

 从而降低交叉错误率。

 导致更高的错误接受率 (FAR)。

 正好与交叉误差率相等。

章节：信息安全计划的制定
解释：
生物识别门禁系统并非万无一失。在调整解决方案时，我们必须调整灵敏度，优先考虑错误拒绝率（I 类错误率），在这种情况下，系统更容易出错，拒绝有效用户进入，或者出错，允许无效用户进入。随着生物识别系统灵敏度的调整，这些数值也会发生反向变化。在某一点上，这两个值相交并相等。这种情况就产生了交叉错误率，它是衡量系统准确性的一个标准。在可能出现错误拒绝的系统中，可能有必要降低灵敏度，从而增加错误接受的数量。这有时被称为等误差率（EER）。在一个非常敏感的系统中，可能需要尽量减少错误接受的数量，即允许未经授权的人进入系统的数量。为此，需要对系统进行调整，使其更加敏感，从而导致错误拒绝（即被禁止访问的授权人员数量）增加。

问题 74
以下哪项 BEST 有助于识别组织技术基础设施变化带来的漏洞？

 入侵检测系统

 建立安全基线

 渗透测试

 对数汇总和相关性

问题 75
以下哪种电子商务 BEST 架构可确保高可用性？

 邻近热站点和备用服务器的可用性，并提供关键数据的镜像副本

 单点登录，快速接收和处理交易

 智能中间件可将交易从瘫痪系统引导至替代系统

 自动故障切换到另一个符合用户需求的电子商务网站

问题 76
某组织有一项政策，规定所有犯罪活动都将受到起诉。当一名员工涉嫌使用公司计算机进行欺诈时，信息安全经理最需要确保什么？

 立即启动取证程序

 启动事件响应计划

 备份员工的日志文件

 向高级管理层通报情况

科：信息安全计划管理

问题 77
实施自动密码同步的 MAIN 优势在于：

 减少总体行政工作量。

 提高多层系统之间的安全性。

 可以减少密码更改的频率。

 减少对双因素身份验证的需求。

说明
自动密码同步减少了重置密码的总体管理工作量。它并不能提高多层系统之间的安全性，减少密码更改的频率，或降低对双因素身份验证的需求。

问题 78
在没有技术控制的情况下，减少公司提供的移动设备上未经授权的短信的最佳方法是什么？

 进行业务影响分析 (BIA)，并向管理层提交报告。

 更新公司手机使用政策，禁止发短信。

 在组织能够实施控制之前，停止提供移动设备。

 在安全意识培训中加入禁止发短信的主题。

科：信息安全计划管理

问题 79
在分析 3 起泄密事件的硬盘驱动器的调查过程中，以下哪项是信息安全经理最重要的考虑因素？

 保持监管链

 通知相关利益攸关方

 识别相关恶意软件菌株

 确定存储数据的分类

问题 80
以下哪种人员最适合在变更管理过程中确保现有应用程序不引入新的风险？

 系统分析员

 系统用户

 业务经理

 数据安全官

科：信息安全计划管理
解释：
系统用户，特别是用户验收测试人员，最了解在变更管理过程中是否引入了新的风险。系统设计师或系统分析员、数据安全官和运行经理则不会密切参与代码变更测试。

问题 81
在制定业务连续性计划时，应首先确定以下哪项？

 重建信息处理设施的费用

 系统不可用的每日递增成本

 场外回收设施的位置和成本

 各恢复小组的组成和任务

说明/参考：
解释：
在制定详细的业务连续性计划之前，必须确定丢失不同系统的每日增量成本。这将有助于确定恢复时间目标，进而影响异地恢复设施的位置和成本，以及各个恢复团队的组成和任务。首先要确定的不是重建信息处理设施的成本。

问题 82
风险缓解报告将包括以下建议

 评估。

 接纳

 评价。

 量化。

说明/参考：
解释：
接受风险是风险缓解过程中需要考虑的一种选择。评估。
评估和风险量化是风险分析流程的组成部分，在确定风险缓解方案之前必须完成。

问题 83
风险已被正式接受并记录在案。以下哪项是信息安全管理人员最重要的行动？

 更新风险容忍度。

 通知高级管理层和董事会。

 监控环境变化

 重新评估组织的风险偏好

问题 84
信息分类计划应

 考虑安全漏洞可能造成的影响。

 对电子形式的个人信息进行分类。

 由信息安全管理人员执行。

 根据处理的数据对系统进行分类。

说明
数据分类由业务风险决定，即信息丢失、损坏或泄露对业务的潜在影响。它必须适用于所有形式的信息，包括电子信息和物理信息（纸质信息），并应由数据所有者而不是安全管理人员来实施。选项 B 是不完整的答案，因为它只涉及隐私问题，而选项 A 是更完整的答案。数据分类由业务风险决定，即信息丢失、损坏或泄露对业务的潜在影响。它必须适用于所有形式的信息，包括电子信息和物理信息（纸质信息），并应由数据所有者而不是安全管理人员来实施。

问题 85
在进行信息风险分析时，信息安全经理应首先：

 确定资产所有权。

 评估资产风险。

 盘点资产。

 对资产进行分类。

说明
在进行其他选择之前，必须先清点资产。

 加载中 …

CISM Premium Exam Engine pdf 下载： https://www.topexamcollection.com/CISM-vce-collection.html