ISC2 Flashcards
A value-added network (VAN) is a privately owned network that performs which of the following functions?
A. Route data transactions between trading partners.
B. Route data within a company’s multiple networks.
C. Provide additional accuracy for data transmissions.
D. Provide services to send marketing data to customers.
A
An executive information system is not characterized by
A.
Supplying advice to top management from an expert (knowledge-based) system.
B.
Supplying financial and nonfinancial information.
C.
Supplying immediate information about an entity’s critical success factors.
D.
Use on both mainframes and personal computer networks.
【A】
Executive Information System (EIS) 的特點包括:
提供高層管理所需的關鍵資訊。
財務和非財務資訊。
關鍵成功因素。
多平台使用。
Expert System (知識型系統) 是一種人工智慧系統,主要用來模擬人類專家的決策過程,提供專業建議或解決複雜問題。這些系統通常基於特定領域的專業知識和規則,旨在提供專家級的建議和支持
A CRM system will allow customers to call a centralized customer service department when they determine it is time to reorder inventory.
T or F?
原敘述中的問題在於,將「呼叫中央客服部門」作為CRM系統的主要功能之一,而實際上,CRM系統應該強調自動化和多渠道的客戶互動管理。以下是修改後的正確敘述:
“A CRM system will enable customers to reorder inventory through various channels such as online portals, automated systems, or customer service representatives.”
這樣的敘述更準確地反映了CRM系統的功能,即支持多渠道的客戶互動和自動化服務,而不僅僅依賴於呼叫中央客服部門。
Enterprise resource planning.
Electronic data interchange.
有什麼不同
ERP vs. EDI
ERP (Enterprise Resource Planning):
- 集成企業各部門功能(財務、HR、供應鏈等)。
- 提供實時數據和報告。
- 自動化內部業務流程。
EDI (Electronic Data Interchange):
- 標準化企業間的電子數據交換(訂單、發票等)。
- 減少手動數據處理,降低錯誤。
- 加速商業交易。
總結:
- ERP 管理企業內部資源和流程。
- EDI 自動化和標準化企業間的數據交換。
The primary purpose of a database system is to have a single storage location for each
A. File.
B. Record.
C. Database.
D. Data item.
正確答案是D(Data item),因為數據庫系統的主要目的是確保每個數據項目(Data item)只有一個存儲位置,從而實現數據的集中管理和避免數據冗餘
數據項目是數據庫中存儲的單個值或信息單元。它是不可再分的基本數據單位,例如一個表格中的單元格內容。
例子:
客戶數據庫:
客戶姓名:John Doe
電子郵件地址:john.doe@example.com
聯繫電話:123-456-7890
每個這樣的值(姓名、電子郵件地址、電話號碼)都是一個數據項目。
One of the general functions of an operating system is to
B. Identify input/output devices and provide the necessary drivers.
D. Provide a graphical user interface (GUI) that allows the user to input text to execute tasks.
【B】
選項D中提到的「提供圖形用戶界面(GUI)以允許用戶輸入文本以執行任務」並不是操作系統的一般功能,而是屬於用戶界面(User Interface)的功能。操作系統的一般功能主要包括管理計算機的資源和提供基本的系統服務。
Question: What’s correct about a client-server system for accessing a customer database?
A. Same OS required.
B. Server needs a network interface card.
C. Server uses peer-to-peer networking.
D. Server and clients must connect to the world wide web.
【B】
A. Same OS required. - 不需要相同的操作系統。
B. Server needs a network interface card. - 服務器需要安裝網絡接口卡。
C. Server uses peer-to-peer networking. - 在客户端-服务器系统中,架构是集中式的,由一个专用服务器为多个客户端提供服务,这与点对点网络不同,在点对点网络中,每个设备都可以同时充当客户端和服务器。
D. Server and clients must connect to the web. - 服務器和客戶端只需連接到局域網LAN。
BASIC, FORTRAN, and COBOL are all examples of
A.
Application languages.
B.
Machine languages.
C.
Procedural languages.
D.
Operating systems.
高水準言語(high-level languages)の分類についての理解を問う問題。
BASIC、FORTRAN、COBOLなどのプログラミング言語は手続き型言語(procedural languages)に属する。手続き型言語とは特定の問題を解決するために必要な手続き(手順)を順序だててプログラムを記述できるように設計された言語である。
従って、正解はc。
aは誤り。cほど適切な答えではない。
bは誤り。機械言語(machine languages)とは、コンピュータが理解できる言語(0と1の2進法)のことである。
dは誤り。手続き型言語(procedural language)はOSではない。
XXX Corp. is using a public cloud-based software provided on a dedicated cloud infrastructure. What is the cloud environment?
A. A public SaaS.
B. A private IaaS.
C. A hybrid cloud.
D. A multi-cloud.
【C】
hybrid cloud 強調私有雲和公有雲的結合,而 multi-cloud 則強調多個不同的公有雲服務提供商的結合。
What is a set of rules used for exchanging data between two computers?
A. Operating system
B. Transmission speed
C. Router
D. Protocol
【D】
The main components of the central processing unit of a computer are
Arithmetic-logic unit, control unit, and primary storage.
The computer operating system performs scheduling, resource allocation, and data retrieval functions based on a set of instructions provided by the
A. interpreter.
B. language processors.
C. compiler.
D. Job control language.
讓我們逐一解釋每個選項:
A. 解釋器(Interpreter):
- 解釋器是一種軟體,用於解釋並執行高階編程語言中的指令。它逐行解釋程式碼,將其轉換為機器語言並立即執行。解釋器通常用於語言如Python和Ruby等,它們不會提供操作系統所需的排程、資源分配和數據檢索功能。
B. 語言處理器(Language Processors):
- 語言處理器是一個更廣泛的術語,包括編譯器(Compiler)、解釋器(Interpreter)、組譯器(Assembler)等。它們是用來將高階編程語言轉換為機器語言的工具,但它們不直接處理操作系統的排程、資源分配和數據檢索。
C. 編譯器(Compiler):
- 編譯器是一種軟體,用於將高階編程語言的原始程式碼一次性地轉換為機器語言的可執行文件。它會將整個程式碼轉換成目標機器的原生語言,並生成可執行文件。儘管編譯器會產生執行文件,但它不直接處理操作系統的排程、資源分配和數據檢索。
D. 作業控制語言(Job Control Language,JCL):
- 作業控制語言是一種用於操作系統的特殊語言,它用於描述作業的執行流程,包括排程、資源分配和數據檢索等。它通常由作業系統提供,用於管理和控制作業的執行。因此,正確答案是D,因為作業控制語言是直接用於操作系統的功能。
Question:
Which of the following represents a risk associated with using smart contracts for an organization’s control activities?
Options:
A. Deficient business logic in smart contracts.
B. Manipulated blockchain records of transactions by smart contracts.
C. Unauthorized transactions by smart contracts without oracle authorization.
D. Invalid blockchain transactions due to consensus protocol manipulation.
【A】
智能合约是一种程序,通过设置,当满足预定义条件时,交易就会自动记录在区块链上。 设置智能合约可以在没有人为干预的情况下在区块链上记录交易,从而防止不当记录或伪造记录。 但是,如果在最初设置智能合约时存在缺陷,则有可能在引入智能合约时造成严重后果。
What does the recovery point objective (RPO) represent?
What does the recovery time objective (RTO) represent?
Options:
A. The maximum acceptable amount of data loss in case of a system failure.
B. The time within which the system must be recovered after a failure.
C. The time it takes to back up data to ensure minimal data loss.
D. The period within which normal business operations can resume after a disruption.
【A】
【B】
恢复点目标(RPO)代表系统宕机时可能丢失的最大数据量:一小时的 RPO 意味着应恢复系统宕机前一小时内的数据。like conduct backups every 30min
另一方面,恢复时间目标(RTO)表示允许恢复宕机系统的最长时间;RTO 为两小时,表示必须在两小时内恢复系统。like failure occured at 6am and recover in 7am
A company’s recovery point objective (RPO) is 12 hours. Which of the following backup methods will minimize the recovery point actual (RPA)?
A. 10-hour file-level incremental backup.
B. 12-hour reverse incremental backup.
C. 11-hour byte-level incremental backup and weekly full backup.
D. 13-hour differential backup.
【A】
關鍵:先看頻率,後看單位
尽管备份单位更小更高效,但关键是频率,11小时频率略低于10小时文件级备份。
Which of the following costs is covered by a third-party cyber liability insurance?
A. A ransom to be paid to the cyber attacker.
B. Loss of sales due to reputational damage.
C. Notification costs to regulators and the affected parties.
D. Settlement fees and court judgments.
【D】
A–>虽然网络保险可能涵盖勒索软件攻击中的赎金支付,但这通常属于第一方保险范围,而不是第三方网络责任保险。第一方保险直接覆盖公司自身的损失,而第三方保险覆盖因公司的网络安全事件对第三方造成的损害。
第三方网络责任保险承保遭受网络攻击的公司向第三方支付的赔偿金额,包括以下项目
1.对网络攻击受害者(如信息被泄露的客户)的损害赔偿
2.向监管机构支付的罚款
3.法律费用
Question:
Which one of the following statements about the NIST Cybersecurity Framework functions is incorrect?
Options:
A. Identify - Understand assets, threats, and risks.
B. Protect - Implement safeguards against attacks.
C. Detect - Address detected attacks.
D. Recover - Restore data or services after an attack.
【C】
Explanation of the Correct Functions:
Identify
Understand assets, threats, and risks.
Protect
Implement safeguards against attacks.
Detect
Discover security events.
Respond
Take action on detected events.
Recover
Restore capabilities and services after an attack.
Zero trust security means that
B. A user should be permitted to only the resources that are necessary for its legitimate purpose.
C. All users, whether in or outside of an organization’s network should be authenticated to access the network.
【C】
b–need to know
Need to Know(知需原則)
定義: 用戶只能訪問其工作所需的最少資源。
目的: 減少未經授權的訪問和數據洩漏風險。
例子: HR員工能查看人事檔案,但無法訪問財務記錄。
Zero Trust(零信任)
定義: 對所有用戶和設備不預設信任,無論其在內部網絡還是外部。
目的: 持續驗證每次訪問請求,防止內部和外部威脅。
例子: 每次員工訪問公司資源都需進行身份驗證,包括多因素驗證(MFA)。
Which of the following access controls can achieve organization security in accordance with the principle of least privilege?
A. Mandatory access control (MAC).
B. Role-based access control (RBAC).
C. Discretionary access control (DAC).
D. Access control list (ACL).
【B】
A. Mandatory Access Control (MAC)強制評估控制
定義: 根據系統級別的安全策略,由中央管理系統決定和控制所有資源的訪問權限,用戶無法改變。雖然MAC也符合最小特權原則,因為它強制應用安全策略並確保用戶只能訪問其被授權的資源,但RBAC更適合於動態和多變的企業環境。
B. Role-Based Access Control (RBAC)
定義: 基於用戶的角色分配訪問權限,每個角色擁有不同的權限組合。
C. Discretionary Access Control (DAC) 全權評估控制
定義: 資源所有者(如文件創建者)可以自行決定誰可以訪問該資源。
D. Access Control List (ACL)
定義: 為每個資源定義具體的訪問控制列表,列出哪些用戶或系統組件可以對該資源進行何種操作。
Which of the following risks can be minimized by requiring all employees accessing the information system to use passwords?
A. Collusion
B. Data entry errors
C. Failure of server duplicating function
D. Firewall vulnerability
【D】
Asymmetric encryption uses a pair of keys that are not mathematically related with each other.
不對。對稱加密使用一對密鑰(公鑰和私鑰),它們是數學上相關的。公鑰用於加密數據,私鑰用於解密數據。這種密鑰之間的數學關係是非對稱的,因為從公鑰無法推斷出私鑰,反之亦然。所以句子應該修改為:
“Asymmetric encryption uses a pair of keys that are mathematically related to each other.”
Tokenization is a process of replacing sensitive data with substitutes that
C. Are generated using encryption and intended to be decrypted for use.
D. Allow the original information to be retained without compromising its security.
【D】
C–使用加密技术生成令牌时,并不打算对令牌进行解密。这是因为重要的是,令牌只是通过网络交换重要信息的标识符,其本身没有任何意义。
Tokenization是將敏感數據替換為不敏感的替代品的過程。這些替代品被稱為”token”,它們與原始數據之間是一對一的映射關係。這些token通常是不可逆的,這意味著不能從token恢復回原始數據。通常,token會被存儲,而原始數據則被安全地保留在另一處。這樣做的目的是保護原始數據,同時允許使用token來執行特定操作,而不必暴露原始數據。
一個簡單的例子是信用卡支付過程中的tokenization。當您在網上購物時,通常需要輸入信用卡信息。為了保護這些信息,商戶通常不會直接存儲您的信用卡號碼和安全碼。相反,他們會將這些信息發送給支付處理公司,然後支付處理公司會將這些數據token化。這樣,商戶只會收到一個token,而不是您的實際信用卡信息。當商戶需要處理付款時,他們可以使用這個token,而不需要知道您的信用卡詳細信息。這樣做既保護了您的信用卡信息,又允許商戶進行支付處理。
A software vendor accessed fraudulently to the company’s system using a backdoor account.
insider or outsider threats
insider
STRIDE threat modeling?
S: なりすまし(spoofing)spoof 面具
T: 改ざん(tampering)tamper 調整
R: 否認(repudiation)
I: 情報開示(information disclosure)
D: DoS攻撃(denial of service)
E: 権限昇格(elevation of privilege
Spoofing.
Piggybacking.
An eavesdropping attack.
A denial of service attack.
當然,這裡是每個攻擊類型的簡短例子:
-
Spoofing(欺騙):
- 例子:一個攻擊者偽造電子郵件地址,發送一封看似來自公司CEO的郵件,要求員工提供敏感信息。
-
Piggybacking(搭便車):
- 例子:一個沒有訪問權限的人尾隨合法員工進入受限制的辦公區域,利用合法員工刷卡進門的機會。
-
Eavesdropping Attack(竊聽攻擊):
- 例子:攻擊者使用竊聽設備攔截兩個用戶之間的未加密Wi-Fi通信,獲取他們的敏感信息,如密碼和信用卡號。
-
Denial of Service Attack(拒絕服務攻擊):
- 例子:攻擊者向一個網站發送大量的虛假請求,讓網站無法處理合法用戶的請求,導致網站崩潰或無法訪問。
這些例子展示了每種攻擊類型的基本概念和操作方式。
論理炸彈(Logic Bomb)
論理炸彈(Logic Bomb)是一種惡意軟體,它在特定條件滿足時觸發並執行破壞性行為。這些條件可以是日期、時間、特定的系統事件,或某些程序被執行。論理炸彈通常被秘密地嵌入到合法的軟體或系統中,以便在特定條件下發動攻擊。
特點:
1. 隱藏性:論理炸彈通常隱藏在正常運行的程式或系統中,很難被發現。
2. 觸發條件:只有在特定條件滿足時才會被激活,這些條件可以是時間、日期或特定事件。
3. 破壞性:一旦觸發,論理炸彈可能會刪除文件、損壞數據或使系統崩潰。
例子:
1. 特定日期觸發:一個員工在公司軟體中嵌入了一個論理炸彈,設置在他被解僱的一周後觸發,刪除公司的重要數據。
2. 程序啟動觸發:一個攻擊者在應用程序中嵌入論理炸彈,當某特定功能被使用時,它會啟動並執行破壞性操作,如格式化硬盤或刪除數據庫。
防範措施:
1. 代碼審計:定期檢查和審計代碼,以確保沒有惡意代碼被嵌入。
2. 入侵檢測系統:使用入侵檢測系統來監控和檢測異常活動。
3. 備份數據:定期備份數據,以防止數據丟失。
論理炸彈是一種具有隱蔽性和破壞性的惡意軟體,需要通過嚴格的安全措施來防範和檢測。
Which of the following statements is correct about a distributed denial-of-service attack (DDoS attack)?
A. A botnet in IoT devices is commonly used for a DDoS attack.
D. A layer 7 attack is a DDoS attack that sends a large volume of SYN packet to the targeted server to cause disruption.
【A】
D應該是第四層
各層攻擊的總結
1物理層:破壞實體設備
2數據鏈路層:MAC洪泛
3網絡層:IP洪泛、ICMP洪泛、Smurf攻擊
–通過發送大量IP包或ICMP請求使目標網絡設備過載,影響路由器和防火牆等設備。
4傳輸層:TCP SYN洪泛、UDP洪泛
–針對傳輸層協議(TCP和UDP),通過大量的連接請求或數據包使目標系統過載。
5會話層:SIP洪泛(針對VoIP)
6表示層:數據編碼或解碼操縱
7應用層:HTTP洪泛、DNS洪泛、Slowloris攻擊
water hole attack?
社会工程学是指从心理上诱使他人采取犯罪者所希望的行动。利用人类行为而非系统漏洞(漏洞)的网络攻击(如网络钓鱼)属于社会工程学的范畴。不仅网络攻击,欺诈电话和窃听机密信息等也属于社会工程学的范畴。
灌水漏洞攻击是社会工程学的一种,即劫持目标最喜欢的网站并设置陷阱(如点击点,点击后用户会感染恶意软件),迫使用户输入敏感信息。
Which statement about cyber attacks on smartphones is correct?
A. Smishing targets smartphones by sending emails.
B. Vishing exploits voice assistant vulnerabilities.
C. SIM hijacking fraudulently gains control of a phone number.
D. Smurfing uses fake identities for social engineering attacks.
正確的選項是:
C. SIM hijacking, that is a fraudulent technique to gain control of a target’s phone number.
SIM卡劫持是與智能手機相關的網絡攻擊,這種攻擊通過獲取目標電話號碼的控制來實現。
A–短信(SMS)進行的網絡釣魚攻擊
B–Vishing 是指通過語音通話進行的網絡釣魚攻擊,通常是欺詐者假裝是合法機構,通過電話來誘使受害者提供敏感信息
D–Smurfing 是指一種DDoS攻擊技術,通過偽造源IP地址向目標網絡發送大量ICMP請求,導致網絡擁堵
Reconnaissance
Recon:這部分可以聯想到“Recognize(認識)”或“Recovery(恢復)”,表示在攻擊前對目標進行認識或準備恢復攻擊能力。
naissance:這部分與“naissance(誕生)”相似,可以表示攻擊計劃的“誕生”或“起源”。
因此,“Reconnaissance”可以被理解為對目標的認識或偵察,是攻擊計劃的起點。
In using smart devices, an IT and security team should confirm software used in the devices and the manufacturer’s support to reduce the risk of
B. Eavesdropping.
D. Shadow IT.
【D】
The HIPAA Security and Privacy rules define that availability means the property that
A. Data or information is available for operation and use to meet the entity’s objectives.
C. Data or information is accessible and useable upon demand by an authorized person.
【C】
選項 C 的確是 HIPAA 安全性與隱私規則中 “可用性”(availability)的定義,即資料或資訊能夠在授權人員需求時訪問和使用。
選項 A 描述的是 TSC(Trust Services Criteria)中的 “可用性” 定義,這是更廣泛的框架,用於確保資料和系統的完整性和可用性以達成實體的目標。
BCP(Business Continuity Plan,業務連續性計畫)和 DRP(Disaster Recovery Plan,災難復原計畫)都是企業用來應對突發事件的關鍵計劃,專注於 IT 系統和技術層面的恢復的是?
DRP 是 BCP 的一部分,專注於 IT 系統和技術層面的恢復。
question: According to the GDPR, personal data should:
A. Be adequate to achieve the necessary purposes for processing.
B. erased or rectified without delay if inaccurate.
C. Be collected for specified purposes and not processed further incompatibly.
D. Not be stored longer than necessary for processing purposes.
A.
解釋:這個選項涉及到數據的“相關性和適當性”原則。根據 GDPR,個人數據應該與處理目的相關並且適當,不應過度收集超出必要的範圍。
B.
解釋:這個選項涉及到數據的“準確性”原則。根據 GDPR,個人數據應該準確無誤,如有不準確或錯誤的數據,應該及時刪除或更正。
C.
解釋:這個選項涉及到數據的“目的限制”原則。根據 GDPR,個人數據應該為特定的、明確的和合法的目的收集,並且不得進行與這些目的不相符的進一步處理。
D.
解釋:這個選項涉及到數據的“存儲限制”原則。根據 GDPR,個人數據不應該被存儲超過實現處理目的所需的時間,即使是出於公共利益的存檔目的。
Which of the following actions will be most likely included in a business impact analysis (BIA)?
A. Contract with external parties to outsource the BIA activities.
B. Use a questionnaire to collect information from governmental authorities.
C. Perform drills to verify whether recovery plans are applicable and effective.
D. Issue a BIA report for distribution to all employees.
【A】
A–执行业务影响评估的团队成员应熟悉组织的业务流程。通常会选择组织内部负责这项工作的人员,但也可以外包给具有专业知识的顾问。
B–對象不應該是政府當局
C–復旧計画を確かめるための訓練は、BIAではなく、次の段階であるBCPやDRPのプロセスにおいて実施される。
Which of the following items is included in the categories accounted for the STRIDE threat modeling?
A. Social engineering.
B. Reputational risk.
C. Information disclosure.
D. Exploitability.
STRIDEとは脅威モデリングの手法の一つであり、コンピュータシステムに対する脅威を以下の6つのカテゴリーに分類する。
S: なりすまし(spoofing)
T: 改ざん(tampering)
R: 否認(repudiation)
I: 情報開示(information disclosure)
D: DoS攻撃(denial of service)
E: 権限昇格(elevation of privilege
The processing of transactions by multiple computers on a network, rather than relying on a single computer for processing, is called
A. Multiprocessing.
B. Multi-point processing.
C. Decentralized processing.
D. Distributed processing.
[D]
b, cは誤り。マルチポイント処理(multi-point processing)や非集中処理(decentralized processing)といった言い方は標準的なものではない。
The primary purpose of a system test is to:
A. test the generation of the designed control totals.
B. determine whether the documentation of the system is accurate.
C. evaluate the system functionally.
D. ensure that the system operators become familiar with the new system.
[C]
Aーーapplication control
测试系统的主要目的是评估系统的整体功能。
因此,正确答案是 C。
A 错误。控制总数是应用程序控制测试。
b 不正确。系统文件的准确性不是测试阶段的主要目标。
d 不正确。确保系统操作员熟悉新系统不是主要目标。
Which of the following matters occurring during a SOC 1 engagement is least likely to affect management’s assertion?
Options:
A. Use of a subservice organization with the carve-out method.
B. Identification of complementary user entity controls.
C. Service auditor’s report modified due to an unfairly stated description.
D. Service auditor’s recommendations to improve controls.
Answer: D. Service auditor’s recommendations to improve controls.
Which statement represents the additional focus for engagements using the Trust Services Criteria for assessing the control environment?
Options:
A. Management uses various evaluations, including penetration testing, ISO certifications, and internal audits.
B. The entity considers impacts of new business lines, growth, foreign reliance, and new technologies on internal control.
C. Personnel responsible for system controls receive necessary information and communication about their responsibilities.
D. The entity provides training programs to ensure competency of personnel, contractors, and vendors.
Answer: D. The entity provides training programs to ensure competency of personnel, contractors, and vendors.
錯誤選項的解釋:
A. 管理層使用各種評估,包括滲透測試、ISO認證和內部審計。
- 解釋: 此選項側重於監控和評估控制有效性的活動,如滲透測試和審計。這些屬於持續監控和保證活動的一部分,而不是控制環境本身的基礎。控制環境更多的是關於管理層和員工對內部控制系統的總體態度、意識和行動。
B. 實體考慮新業務線、增長、外部依賴和新技術對內部控制的影響。
- 解釋: 此選項涉及風險評估及業務環境變化對內部控制的影響。儘管考慮這些因素對於適應和維持有效控制至關重要,但這更多是關於理解和應對風險,而不是建立控制環境的基礎。
C. 負責系統控制的人員接收到關於其職責的必要信息和溝通。
- 解釋: 此選項涉及內部控制的信息和溝通組件,確保人員了解其角色和職責。雖然溝通對控制的運行非常重要,但這不是控制環境的主要重點。控制環境更多的是由管理層設定的總體基調、組織的道德價值觀以及控制活動運作的結構。
正確選項:
D. 實體提供培訓計劃以確保人員、承包商和供應商的能力。
- 解釋: 此選項是正確的,因為提供培訓計劃以確保人員、承包商和供應商的能力是控制環境的一個基本方面。這反映了組織對能力的承諾以及對擁有知識和技能的個人能夠有效執行其控制職責的重要性。這與信任服務標準對控制環境作為所有其他內部控制組件基礎的強調一致。
According to COBIT principles, a governance framework of enterprise governance of information and technology (EGIT) should
A. Be based on a component model, identifying the hierarchy of functional components and relationships.
B. Align to the CIS Controls, COSO ERM Framework, CMMI, IIA principles, and other relevant requirements.
【B】
選項 A 的解釋
基於組件模型,識別功能組件和關係的層級結構:這種方法確實是制定治理框架的一種方法,但它僅僅關注於框架的結構和內部組件的關係。雖然這是框架設計中的一部分,但並不足以全面涵蓋治理框架應具備的所有特性和要求。
選項 B 的解釋
對齊CIS Controls、COSO ERM Framework、CMMI、IIA原則及其他相關要求:這意味著該治理框架將參考和整合多種已經被業界認可的標準和框架,以確保其治理框架的全面性和適用性。對齊這些框架可以:
提升一致性:保證企業治理框架和業界標準的一致性,從而提高框架的信任度和應用效果。
滿足合規性:確保企業遵守相關法律法規和行業標準,降低合規風險。
借鑒最佳實踐:從這些標準和框架中吸取最佳實踐,提高治理框架的有效性和效率。
支持風險管理:COSO ERM Framework 等框架特別強調風險管理,對齊這些框架有助於企業更好地管理風險。
Which of the following is correct concerning batch processing of transactions?
A. Transactions are processed in the order they occur, regardless of type.
C. It is more likely to result in an easy to follow audit trail than is on-line transaction processing.
【C】
batch = same type
An ERP system for supply chain management (SCM) typically integrates business processes of
Procurement, manufacturing, warehouse and distribution.
SCMは製造業における製品の製造から販売に至るまでのプロセスを一貫性のある方法で管理する手法である。具体的には原材料の仕入(procurement)、製造(manufacturing)、倉庫(warehouse)、流通(distribution)の各プロセスを一つの流れとしてとらえ、最適な製造・在庫・流通を決定する手法をいう。
ERPは上記のプロセスに関するデータを一つのデータベースで一括管理しており、SCMに有用なデータを提供する。
The service auditor need not be independent of each user entity.
T or F?
這句話反映了SOC(System and Organization Controls)報告中的一個重要原則,即服務審計師(service auditor)不需要與每個使用實體(user entity)保持獨立性,而只需要與服務組織(service organization)保持獨立性。
具體知識點
1. 服務審計師的獨立性
在SOC 1和SOC 2審計中,服務審計師必須對服務組織保持獨立性,以確保審計報告的公正性和客觀性。這是根據AICPA(American Institute of Certified Public Accountants)的職業道德規範和審計標準所要求的。
- 使用實體的多樣性
服務組織通常為多個使用實體提供服務。這些使用實體可能來自不同的行業和地區。服務審計師無需對這些使用實體逐一保持獨立性,因為其主要審計對象是服務組織本身,而不是這些使用實體。 - 審計對象的範圍
服務審計師的工作範圍集中在評估服務組織的控制環境和相關的控制措施是否設計和運行有效,以保障使用實體的利益。因此,獨立性要求針對的是服務組織,而不是使用實體。
A function of the operating system is to
A. Monitor the system to detect errors.
B. Prevent unauthorized access to a specific application using password protection.
C. Store data for a short-time in a computer device.
D. Analyze financial data to provide metrics.
[A]
Question: Which statement represents a function of a typical ERP system?
A. Uses a decentralized database for various departments.
B. Speeds up financial reporting by streamlining data.
C. Focuses on non-recurring transactions like capital expenditure.
D. Lacks accounting function but assists with budgeting and forecasting.
【B】
企业资源规划系统使用中央数据库集中管理日常交易数据,并立即与其他部门共享这些信息。这样就无需各部门之间进行协调,并加快了财务报告程序。此外,简化不同交易的数据记录,有利于从更广阔的角度进行业务分析,如供应链管理。
C–正確應該是紀錄常規交易
An ERP system for supply chain management (SCM) typically integrates business processes of
A. Acquisition, storage, inventory control and distribution.
B. Marketing, sales, customer service and data analytics.
C. Procurement, manufacturing, warehouse and distribution.
D. Procurement, sales, inventory control and financial reporting.
A 错误。这代表库存管理过程。
B 不正确。这代表客户关系管理 (CRM) 流程。
D 错误。这是财务流程。
Question: A company has replaced its accounting and inventory systems with an ERP system. Which control is most likely affected?
A. Perform accounts receivable aging for doubtful accounts.
B. Compare customer orders with inventory to check stock.
C. Periodically count physical inventory to verify records.
D. Send invoices after verifying orders and shipping documents.
【D】
A–會計系統ERP已經可以
B–涉及實物清點,光靠系統難以勝任
Question: What is the primary advantage of using a value-added network (VAN)?
A. Provides confidentiality for Internet data transmission.
B. Increases security for data transmissions.
C. More cost-effective than Internet data transmission.
D. Enables trend information on data transmissions.
【B】
a 不正确;VAN 是专用网络,而互联网是公共网络。
c 不正确;VAN 一般比互联网昂贵。
d 不正确。在数据传输中收集趋势数据的能力不是 VAN 所固有的,因此不能被视为一种优势。
An auditor would most likely be concerned with which of the following controls in a distributed data processing system?
A. Hardware controls
B. Systems documentation controls
C. Access controls
D. Disaster recovery controls
【C】
在分布式数据处理系统中,连接到主系统(主机)的计算机位于不同的位置。因此,根据用户级别管理访问权限的访问控制(访问控制)非常重要。
因此,正确答案是 C。
Features like Answer, Edit, Forward, Send, Read, and Print indicate which system?
A. Electronic mail.
B. Voice store-and-forward.
C. Desktop publishing.
D. Digital communications.
【A】
电子邮件是一种办公自动化应用程序,可以在计算机之间发送、接收和存储信息,也是一种互联网使用方式。其功能包括回复、编辑、转发、发送、阅读和打印,以及删除、存档和扫描。电子邮件的优点是传输速度快,减少了准备信息的成本,而且可以在方便的时候发送和阅读信息。
因此,正确答案是 A。
B 错误。存储转发语音是一种允许创建、编辑、发送、存储和转发语音信息的系统。
C 错误。桌面出版(DTP)是通过在个人电脑上执行排版等任务,然后用打印机打印出来,从而编辑书籍、报纸和其他出版物的过程。
错误 D.数字通信(数字通信)是指利用计算机和互联网收集、处理、分析和传播信息。
The confusion created by data redundancy makes it difficult for companies to
A. Integrate data from different sources.
B. Use the data in application program.
C. Create a data dictionary.
D. Create online processing capabilities.
【A】
数据冗余是指在多个数据文件中存在相同的数据。由于多个部门独立收集数据,并以不同的名称和内涵进行管理,因此很难收集和整合跨部门的数据。
因此,正确答案是 A。
b、c 和 d 不正确。这些都不是数据冗余造成困难的例子。
The representation of data as they would appear to an application programmer or end user is/are
A. The DBMS
B. The physical view
C. The data manipulation language
D. The logical view
【D】
数据库管理系统提供了一种查看数据的简单方法,无需了解记录数据的计算机即可处理数据,这种视图称为逻辑视图。
因此,正确答案为 D。
A 错误。这不是对数据库管理系统的描述。
b 不正确。存储设备中数据组织和结构的表示方法称为物理视图。
c 不正确。用于访问数据库的语言。
Question: One advantage of a DBMS is?
A. Each unit controls its own data.
B. Reduces cost as users handle data techniques.
C. Decreases vulnerability with security controls.
D. Data independence from application programs.
【D】
数据库的一个基本特征是应用程序与数据库结构无关。在编写使用数据库的程序或设计应用程序时,只需要所需的数据项。数据库管理系统(DBMS)负责所需数据项的定位和检索。
因此,正确答案是 D。
A 错误。每个组织使用数据库开发必要的程序,而不是控制个别数据。
b 不正确。处理数据的技术由数据处理部门负责。
c 不正确:数据库管理系统并不比其他系统更安全。
Data archiving is the process of
A. Copying production data for backups.
B. Managing historical data for timely updates and effective analysis.
C. Storing inactive data in a secured location for a long-time.
D. Destroying unused data immediately to meet compliance requirements.
【C】
存档是指长期存储分析等工作完成后不再使用的数据。
因此,正确答案为 c。
A 错误。备份是指存储业务运营所需的数据。存档则是存储不用于业务目的的数据,与备份不同。
b 不正确。存档的数据基本上从未用于业务目的,因此不会更新或分析。
d 不正确。要存档的数据包括因法律法规要求保存一段时间而不能立即销毁的数据。
Which of the following information technology (IT) departmental responsibilities should be delegated to separate individuals?
A. Network maintenance and wireless access.
B. Data entry and antivirus management.
C. Data entry and application programming.
D. Data entry and quality assurance.
C 是正确答案的主要原因是,当一个人同时处理数据录入和应用程序编程时,会产生直接的利益冲突和欺诈的可能性。选项 D 虽然不理想,但风险较小,因为质量保证更多的是监督和查错,而不是控制数据或系统。
Generally, in a software development process, acceptance testing is performed
A. By the software developer to evaluate whether the development contract is acceptable.
B. Using a top-down approach or a bottom-up approach.
C. To ensure that the software system meets all of its functional requirements.
D. After testing on the fully integrated software system is completed.
【D】
验收测试是软件开发的最后阶段,依次在系统测试(系统测试)完成后进行。
因此,正确答案为 D。
A 错误。验收测试是测试开发的系统是否满足用户的要求,而不是由承包商决定是否接受合同。
b 不正确。自上而下和自下而上的方法是综合测试的方法;验收测试没有这种方法。
c 不正确。功能要求是在系统测试中验证的,而不是在验收测试中验证的。在验收测试中,是从系统是否符合用户要求、满足业务目标和履行合同要求(如服务水平协议)的角度测试系统的。
单元测试(Unit Testing):
内容:测试单个功能模块或组件,确保其按预期工作。
集成测试(Integration Testing):
内容:测试多个模块或组件的组合,检查它们之间的接口和交互。
系统测试(System Testing):
内容:在完整的系统环境中进行测试,验证整个系统的功能、性能和可靠性。
验收测试(Acceptance Testing):
内容:由最终用户或客户进行测试,确认系统满足业务需求和用户要求。
Which of the following statements is correct about unit testing for software development?
A. It requires the involvement of end-users.
B. It focuses on interaction of individual units of source code.
C. Its objective is to find problems early in the development cycle.
D. It is performed after testing multiple units of source code combined as a group.
【C】
B–interaction 關聯性
单元测试(Unit Testing):
内容:测试单个功能模块或组件,确保其按预期工作。
Which of the following documents can be used to detect an unapproved change in software or hardware?
A. Baseline configurations.
B. Change management policies.
C. Service-level agreements.
D. Snapshots of configuration settings.
基线配置是一份描述系统服务、软件、硬件、设备和其他组件在某一特定时间点的状态和配置的文件,并经过正式审查和同意。它是一份经过正式审核和同意的文件。由于其创建和更新需要组织批准,因此,通过比较系统当前的配置设置和基线配置,可以发现未经批准的系统更改。
因此,正确答案是 A。
b 不正确。变更管理策略(变更管理政策)规定了系统变更的程序和规则,并没有说明实际的系统变更是否经过批准。
c 不正确。服务级别协议(SLA)描述了公司提供服务的级别和目标,不能理解为系统更改是否获得批准。
D 不正确。快照是特定时间点的系统状态记录,但不是正式文件。比较快照可以显示是否进行了系统更改以及更改的性质,但不能读出系统更改是否已获批准。
In testing the new P2P system, which statement is correct for a scenario where a user checks if a purchase order (PO) is registered?
Options:
A. Then: The user logs in.
B. When: The user selects “PO activity.”
C. Given: The user enters PO number.
D. When: The system shows the PO status.
【B】
在制定基于情景的验收标准时,程序分为三个阶段:前提条件(given)、操作(when)和结果(then)。在本问题中,它们分别如下。
Which of the following control activities should be taken to reduce the risk of incorrect processing in a newly installed computerized accounting system?
A. Segregation of duties.
B. Ensure proper authorization of transactions.
C. Adequately safeguard assets.
D. Independently verify the transactions.
[D]
关于控制活动的问题,以减少新安装系统处理不准确的风险。
交易的独立核实(确认)是降低处理不准确风险的最有效控制措施。
因此,正确答案为 D。
a、b 和 c 不正确。这些都是重要的控制措施,但不一定能降低处理不准确的风险。
While processing sales invoices, an input control check of total sales is:
A. check digit.
B. missing data check.
C. control total.
D. hash total.
[C]
控制总额指的是财务数字的总和。
因此,正确答案为 c。
a 不正确。校验数位是加在 ID 编号末尾的一个数字,是一种输入控制,用于检查数据是否因数据处理、传输等原因而被更改,以及是否可在系统中使用。
B 错误。缺失数据检查是一种控制,用于检查输入数据是否存在某些数据缺失。
D 不正确。hash总计是与数据项总和有关的检查。
What is a role of the Cloud Computing Steering Committee in an ERM program?
Options:
A. Promote cloud investment strategies.
B. Monitoring for new laws and regulations that would impact the organization’s cloud solution.
C. Providing oversight to avoid IT resources including cloud services that are not approved by the IT department.
D. Evaluate costs and ROI of cloud services.
【C】
云计算指导委员会在机构风险管理中的作用是监督机构向云迁移的过程并监测云治理情况。应特别注意云服务是否使用了未经本组织信息技术部门批准的信息技术资源。在未进行充分验证的情况下使用云服务,可能会导致组织使用未经组织授权的 IT 资源。这类 IT 资源被称为影子 IT。
因此,正确答案是 C。
A 错误。有关云服务投资的决策由首席执行官做出。
b 不正确。首席法务官负责监控立法的影响。
d 不正确。首席财务官负责评估云服务投资的成本和回报。
An organization using cloud services should review the performance of these services by:
Options:
A. Using balanced scorecards to review the governance process.
B. Assessing the provider’s availability against SLAs.
C. Obtaining SOC reports and audit reports from the provider.
D. Assessing changes with the provider, even if they don’t directly affect the organization.
与审查和修订企业风险管理中的云计算性能有关的问题。
使用云服务的组织应通过以下方式审查这类云服务的性能
1.审查云计算的管理流程。在此过程中可使用平衡计分卡。
2.根据服务水平协议(SLA)评估提供商的可用性。
3.获取提供商的 SOC 报告和审计报告。
4.评估与提供商有关的情况是否发生变化。
关于上述第(4)点,还应评估不直接影响组织的情况变化。例如,如果医疗服务提供者被另一家公司收购,或者在医疗服务提供者内部发现了欺诈行为,这可能不会产生直接影响,但在未来可能会产生重大影响。
因此,正确答案为 D。
A 错误。审查治理情况的是组织,而不是提供方(上述(1))。
b 不正确。与服务级别协议相比,必须评估提供商可用性的是组织,而不是提供商(上述(2))。
c 不正确。必须接受审计或出具 SOC 报告的是提供商(上文第(3)段)。
data mirroring‘s primal objective is to avoid business interruption due to a disaster for business continuing plan.
T or F?
BCP 中的镜像旨在恢复因灾难而丢失的数据,而不是主要为了防止业务中断。
Which statement is correct about the Framework Core of the NIST CSF?
Options:
A. Provides cybersecurity activities for non-governmental for-profit organizations.
B. Used as a checklist for required cybersecurity actions.
C. Offers a one-size-fits-all solution for cybersecurity risk management.
D. Presents key cybersecurity outcomes to facilitate risk management.
Correct Answer:
D. Presents key cybersecurity outcomes to facilitate risk management.
Explanation:
The Framework Core of the NIST CSF is designed to present key cybersecurity outcomes to help organizations manage risks effectively.
A is incorrect: The Framework Core is applicable to a wide range of organizations, not just non-governmental for-profit ones.
B is incorrect: The NIST CSF is not intended to be a checklist but a flexible framework.
C is incorrect: The NIST CSF does not offer a one-size-fits-all solution; it is adaptable to different organizations’ needs.
Which statement is correct about the Core section of the NIST Privacy Framework?
Options:
A. It is a set of privacy protection activities, desired outcomes, and applicable references.
B. It defines five Functions: Identify, Protect, Detect, Respond, and Recover.
C. Each Function has Categories and Subcategories that correspond with the NIST Cybersecurity Framework.
D. Organizations may use the Cybersecurity Framework Functions in conjunction with the Privacy Framework Functions.
解释:
NIST 隐私框架旨在与 NIST 网络安全框架兼容和结合使用。这样,企业就可以将隐私风险管理和网络安全风险管理完美地结合起来。以下是其他选项不正确的原因:
A 不正确:虽然隐私框架确实涉及活动、结果和参考,但陈述过于笼统,没有抓住 D 中强调的独特整合方面。
B 不正确:五个功能(识别、保护、检测、响应、恢复)是 NIST 网络安全框架的特定功能,而不是隐私框架。
C 错误:虽然隐私框架有类别和子类别,但它们不一定与网络安全框架的类别和子类别直接对应。隐私框架有自己独特的结构。
D 中强调的正确方面强调了框架的兼容性,使组织能够有效管理隐私和网络安全风险。
The NIST Special Publication 800-53 establishes controls for systems and organizations that address the requirements of the implementation of minimum controls prescribed by:
Options:
A. The Federal Information Security Modernization Act (FISMA).
B. The Health Insurance Portability and Accountability Act (HIPAA).
C. The Sarbanes-Oxley Act (SOX).
D. The Control Objective for Information and Related Technologies (COBIT).
A.联邦信息安全现代化法案》(FISMA)。
解释:
NIST 特别出版物 800-53 提供了联邦信息系统和组织的安全和隐私控制目录。它主要用于支持《联邦信息安全现代化法案》(FISMA)的实施。
B 错误:虽然 HIPAA 要求采取特定的安全措施来保护健康信息,但它不是 NIST SP 800-53 的主要重点。
C 不正确:SOX 法案的重点是财务报告和公司治理,而不是 NIST SP 800-53 中特别列出的信息安全控制措施。
D 错误:COBIT 是企业 IT 治理和管理框架,但不是 NIST SP 800-53 中控制措施的基础。
If an implementation specification is “addressable” under HIPAA, which interpretation is correct?
Options:
A. It is optional, and entities can choose not to implement it.
B. Entities can adopt an alternative measure if it is not reasonable or appropriate.
C. Entities must implement it, but business associates do not have to.
D. It is a requirement related to a law other than HIPAA.
【B】
HIPAA 规则中有两类规定:”要求 “和 “可处理”。这里的 “可处理 “规定是指,如果适用实体确定该规定不合理、不适当,则允许其采用更合理、更适当的替代措施。
因此,正确答案为 b。
a 不正确。这并不意味着可以任意应用该规则(可选),而是说如果确定该规则不合理且不适当,则必须应用替代措施。
C 不正确:HIPAA 规则不仅适用于受保实体(承保实体),也适用于其相关方(业务合作方),尽管在某些情况下,”可指定 “条款同时适用于受保实体和相关方。
D 错误。没有这个意思,”可指定 “条款是 HIPAA 规则规定的一部分。
What is the primary advantage of using an application firewall rather than a network firewall?
A. It is less expensive.
B. It offers easier access to applications.
C. It provides additional user authentication.
D. It is easier to install.
【C】
应用防火墙在 OSI 模型的更高层运行,可以根据特定的应用数据检查和过滤流量,从而实现更细粒度的控制,并能够执行特定用户策略,包括额外的身份验证措施。
One of the objectives of using data loss prevention (DLP) is to
A. Provide assurance about processing integrity of transaction data.
B. Address risks that personal information is obtained without consent of individuals.
C. Identify and manage data that is sensitive and critical for business.
D. Comply with regulations SEC Regulations S-X and S-K.
【C】
DLP 工具旨在检测和防止未经授权访问、使用或传输敏感数据,从而保护数据不被泄露,并确保关键信息在组织内得到妥善处理。
a 不正确;DLP 主要关注保密性,而非处理完整性。
b 不正确;DLP 的重点是防止和检测数据泄露,如数据盗窃、未经授权的使用和未经授权的披露,而不是主要检测数据获取方式的泄露。
d 不正确;使用 DLP 的目的是遵守与个人数据保护相关的法律法规,如 HIPAA、PCI DSS、GDRP 等。
Which of the following controls is most effective to protect network environment from zero-day attacks?
A. Anomaly-based IDS.
B. Anomaly-based IPS.
C. Signature-based IPS.
D. Antivirus quarantine.
入侵防御系统 (IPS) 可检测网络中的未授权行为并阻止网络。与基于签名的 IPS 相比,基于anomaly异常的 IPS 更有可能检测到零日攻击,因为它们遵循某些规则来识别未经授权的行为。
因此,正确答案是 b。
a 不正确。入侵检测系统(IDS)只能在检测到未经授权的访问时向管理员发出警报,但没有关闭网络的能力。因此,仅靠 IDS 无法防止网络攻击。
C 错误。基于签名的 IPS 根据过去的网络攻击模式检测未经授权的行为,可能无法检测到尚未建立解决方案的零日攻击。
d 不正确。这里的隔离是指反病毒软件隔离受病毒感染的文件和电子邮件以防止它们感染计算机的功能。换句话说,它是在网络攻击发生后提供帮助的功能,而不是预防网络攻击的功能。
Which of the following activities is most likely included in a vulnerability management process?
A. Identifying vulnerabilities that runs automatically using vulnerability scanner software.
B. Penetration testing by users to verify whether information system meets acceptance requirements.
【A】
漏洞管理通常涉及软件和硬件漏洞的识别、分类、补救和缓解。使用自动漏洞扫描软件是有效识别潜在安全漏洞的常用方法。
渗透测试虽然对安全很重要,但更多的是测试和利用漏洞,而不是持续管理和系统地解决这些问题。
disclosure of an entity’s principal cybersecurity objectives related to
A. Availability, confidentiality, integrity of data, and integrity of processing.
B. Completeness, validity, accuracy, timeliness, and authorization of system processing.
C. Infrastructure, software, people, procedures, and data.
D. Security, availability, processing integrity, confidentiality and privacy.
管理層在描述實體的網絡安全風險管理計劃時,應披露實體的主要網絡安全目標,包括:
A. Availability, confidentiality, integrity of data, and integrity of processing.
這些目標涉及數據的可用性、機密性、完整性以及處理的完整性,這是網絡安全風險管理計劃的核心要素。
Which of the following situations will most likely make a company to define higher risk appetite?
A. Technologies that the company is highly dependent on to operate its core business.
B. Early business expansion that is likely to cause higher reputational risks in the market.
C. Assets that are insignificant for the company to achieve its primary business objectives.
D. Systems that are not met the company’s risk tolerance threshold.
【C】
机构风险管理中的风险偏好是指公司为实现价值而愿意接受的风险程度。高风险偏好意味着公司愿意接受高水平的风险,或换句话说,不必采取行动来减轻风险。例如,对于那些对实现公司主要业务目标并不关键的资产,风险偏好可能会很高,因为从成本效益的角度来看,公司很可能会决定不敢应对风险,接受更高的风险。
因此,正确答案是 C。
A 错误。公司核心业务所依赖的技术对公司更为重要,因此需要采取应对措施来降低风险,这被认为会导致较低的风险偏好。
b 不正确。如果一家公司很早就扩大了业务,并预期会面临较高的市场声誉风险,它就需要考虑采取行动来减轻风险,其风险偏好就可能较低。
d 不正确。风险承受能力是在确定风险偏好后用于制定业务目标的风险承受能力,因此风险偏好不是根据风险承受能力确定的。
Question:
Which of the following statements is correct regarding the relationship between the Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, and Privacy) and the COSO framework?
Options:
A. Trust Services Criteria are supplemental to the COSO framework, used for SOC 1 engagements.
B. Trust Services Criteria use COSO principles, with added points of focus for each criterion.
C. Trust Services Criteria add criteria and points of focus to the COSO control environment principle.
D. Users should assess if each point of focus in the Trust Services Criteria and COSO framework is addressed.
【B】
A. Trust Services Criteria 是 COSO 框架的補充標準,適用於 SOC 1 服務機構的控制評估和報告。
這個選項表示 Trust Services Criteria 是 COSO 框架的補充標準,專門適用於 SOC 1 engagement,也就是對服務機構的控制進行評估和報告,這些控制與用戶實體的內部控制有關。
B. Trust Services Criteria 使用 COSO 框架的原則,但對每個標準提供了額外的重點。
這個選項說明 Trust Services Criteria 基於 COSO 框架的原則,但在每個標準中增加了額外的重點,以提供更具體的指導。
C. Trust Services Criteria 包括補充 COSO 控制環境原則的附加標準和重點。
這個選項表示 Trust Services Criteria 不僅使用 COSO 框架的控制環境原則,還補充了一些附加標準和重點來增強這些原則。
D. 使用者應評估 Trust Services Criteria 和 COSO 框架的每個重點是否得到解決。
這個選項強調使用者在應用 Trust Services Criteria 時,應該評估每個 COSO 框架中的重點,以及 Trust Services Criteria 中的附加重點是否得到了適當處理。
Which of the following is correct about the Trust Services Criteria categories?
Options:
A. Processing integrity ensures system processing is complete, valid, accurate, timely, and authorized.
B. Privacy ensures sensitive information is properly managed to meet objectives.
C. Security requires applying both common and additional criteria.
D. Confidentiality has additional criteria classified into eight sub-categories.
【A】
5個方面
1.Security (安全性)
Protects system and data from unauthorized access and disclosure. only common criteria!
2.Availability (可用性)
Ensures system availability and service continuity.
3.Processing Integrity (處理的完整性)
Ensures completeness, validity, accuracy, timeliness, and authorization of system processing.
4.Confidentiality (機密保持)
Protects sensitive information from unauthorized access.
5.Privacy (私隱)
Manages 【personal information】 to meet privacy laws and policies.
D–因为保密类别的附加标准没有具体划分为八个子类别。虽然 “信任服务标准”(TSC)确实包括详细的保密标准,但并没有明确将其划分为八个具体的子类别。
According to the Trust Services Criteria, which criterion involves obtaining, using, and communicating relevant, quality information regarding processing objectives?
Options:
A. Common criteria for communication and information.
B. Common criteria for control activities.
C. Additional criteria for availability.
D. Additional criteria for processing integrity.
【D】
TSC 包括通用标准和针对具体类别的附加标准。通用标准适用于整个 TSC 类别(TSC 所适用系统的目的),而附加标准则适用于详细审查单个类别时,例如根据工作性质。
从 “与处理有关 “这一短语可以看出,问题文本中引用的标准与处理完整性有关。这意味着该标准专门适用于技术服务类别中的加工完整性,是一项附加标准。
因此,正确答案为 D。
Question:
Which statement focuses specifically on additional areas when using the Trust Services Criteria to assess the control environment?
Options:
A. Management conducts various evaluations like penetration testing, ISO certifications, and internal audits.
B. The entity considers impacts of new business lines, changes in existing lines, acquisitions, growth, foreign reliance, and technology.
C. Personnel involved in system controls receive communications about their responsibilities.
D. Training programs ensure skill development for personnel and vendors.
【D】
Trust Services Criteria(TSC)的通用標準(Common Criteria)包括以下幾個方面,這些標準是適用於整個TSC的:
1.Communication and Information(溝通和信息):
確保有效的溝通和信息流動,包括確保產品和服務的使用所需的信息是準確和及時的。– C
2.Risk Management(風險管理):
確定和評估相關風險,並制定適當的應對措施來減少風險對目標達成的影響。–B
3.Control Environment(控制環境):
創造和維護一個有效的內部控制環境,包括管理層對控制的承諾和組織對控制的態度。
4.Monitoring Activities(監控活動):
實施監控活動來評估內部控制的有效性和執行情況,並進行必要的調整和改進。–A
5.Logical and Physical Access Controls(邏輯和物理訪問控制):
確保對系統和數據的訪問是合法和適當的,並保護系統免受未經授權的訪問。
以下哪個屬於TSC的附加標準?
1.Choice and consent
2.Disclaimer
3.Quality
4.Use, transmission, and duplication
1+3
“P series”は以下の8つのカテゴリーに分類される。
�) 目的の通知及び伝達(notice and communication of objectives)
�) 選択と同意(choice and consent)
�) 収集(collection)
�) 使用、保持及び廃棄(use, retention, and disposal)
�) アクセス(access)
�) 開示及び通知(disclosure and notification)
�) 品質(quality)
�) モニタリング及び強制(monitoring and enforcement)
In a SOC 1 engagement, which information is most likely included in management’s description of a service organization’s system?
Options:
A. Procedures for recording transactions in financial statements.
B. Principal service commitments and system requirements.
C. Criteria from the Trust Services Criteria that are not relevant.
D. Other aspects of the control environment related to services provided.
SSAE AT-C 320 列出了 SOC 1 业务描述的最低要求。这些要求包括 “服务机构控制环境的其他方面、风险评估以及与服务机构提供的服务相关的内部控制的其他组成部分(包括服务机构的控制环境、风险评估、信息和通信(包括相关业务流程)、控制和沟通)”。服务机构的管控环境、风险评估程序、信息和沟通(包括相关业务流程)、管控活动的其他方面,以及与服务机构提供的服务相关的监控活动。与所提供服务相关的监控活动)”。
因此,正确答案为 D。
a 不正确。这句话不是关于财务报表,而是关于受托公司提供服务的程序。
b 不正确。服务承诺和系统要求是 SOC 2 和 SOC 3 操作中特有的概念,不适用于 SOC 1 操作。
c 不正确:信托服务标准不适用于 SOC 1 业务。
Question:
In a SOC 2 examination of controls relevant to availability, which system event should be disclosed in the management’s description of the service organization’s system?
Options:
A. CFO manually entered a significant transaction, bypassing approval.
B. Former sales manager stole customer data using an active account.
C. Employees’ personal data was disclosed due to malware via phishing.
D. Denial-of-service attack disrupted the transportation system.
未经授权的访问、信息泄漏、系统故障或其他导致公司服务承诺和系统要求无法履行的事件被称为系统事件,其中需要承包商公司做出响应的事件被称为系统事故(system incidents)。在管理层对承包商系统的描述中,必须披露与 SOC 2 操作控制有关的系统事件。
本问题中的 SOC 2 工作与可用性有关,拒绝服务 (DoS) 攻击就是可用性相关系统事件的一个例子。这是一种网络攻击,即一次性发送超过系统处理能力的大量数据,从而降低系统功能并中断其运行。
因此,正确答案为 D。
a 不正确。这被认为与处理完整性有关。
b 不正确。这被认为与保密或隐私有关。
c 错误。这被认为与隐私有关。
请注意,a、b、c 和 d 也被认为与安全性有关。
Question:
According to the Description Criteria for a SOC 2 Report, if the service organization uses the inclusive method, which information should be included?
A. Applicable Trust Services Criteria met by subservice organization controls.
B. Types of complementary subservice organization controls (CSOCs).
C. Relevant aspects of the subservice organization’s infrastructure, software, people, procedures, and data.
D. Controls at the subservice organization necessary, with user entities’ controls, to achieve service commitments and system requirements.
在标准作业程序中使用包容性方法时,说明应包括以下内容
子服务组织所提供服务的性质。
子服务组织的必要控制措施,结合子服务组织的控制措施,合理保证满足子服务组织的服务承诺和系统要求。结合服务组织的控制措施,合理保证服务组织的服务承诺和系统要求得以实现。与服务机构的控制措施相结合,合理保证服务机构的服务承诺和系统要求得以实现)
子服务组织的必要控制措施,结合服务组织的控制措施,合理保证服务组织的服务承诺和系统要求得以实现子服务组织的基础设施、软件、人员、程序和数据的相关方面
iv) 可归属于子服务组织的系统部分。
根据上文 iii),正确答案为 C。
a、b 不正确。只有在采用 “分割 “方法时才需要这些内容。
d 不正确。说明重新委托实体的控制措施,这些措施需要与委托实体的控制措施结合起来,而不是委托实体的控制措施(见上文 ii)。
包容性方法 (Inclusive Method)
總結:服務組織描述包含次服務組織的相關控制和系統元素。
例子:A公司使用B公司作為其數據存儲服務。A公司的SOC 2報告詳細描述了B公司的基礎設施、軟體、員工、程序和數據,因為A公司採用了包容性方法。
除外方法 (Carve-Out Method)
總結:服務組織描述排除次服務組織的控制,並披露其存在。
例子:A公司使用B公司作為其數據存儲服務。A公司的SOC 2報告中不詳細描述B公司的控制,只是提到B公司提供數據存儲服務,因為A公司採用了除外方法。
A service auditor engaged in a SOC 1 engagement should assess the risk of material misstatement. Which of the following risks is most likely focused on?
C. Inherent risks related to items presented in the user entities’ financial statements.
D. Inherent risks related to changed controls at the service organizations.
[D]
SOC 1 运作的主题是管理层对受托公司系统的描述以及与描述相关的内部控制。因此,风险评估的重点是与作为描述主题的控制措施相关的固有风险。例如,新的或已变更的控制措施、系统变更、处理量的重大变化、主要管理层或人员的变更、新产品或新技术(新的或已变更的控制措施、系统变更、处理量的重大变化、新人员或新技术的重大变化)。新产品或技术)等。
因此,正确答案为 D。
c 不正确;SOC 1 工作的主题只是书面说明,而不是财务报表。因此,受委托公司财务报表中的项目不太可能成为风险评估的直接对象。
which is correct?
B.
Commitments includes ones that are designed to meet individual customer needs and result in the implementation of processes or controls, in addition to those required to meet the baseline commitments.
C.
System objectives refer to how the system should function to achieve the entity’s commitments to customers relevant laws and regulations, or guidelines of industry groups, such as trade or business associations.
[B]
分析:
基线承诺(Baseline Commitments):这些是服务组织针对所有客户都必须满足的基本承诺。
个别承诺(Individual Commitments):这些是为了满足某些特定客户的需求而额外作出的承诺。
结论:
在TSC中,承诺不仅包括基线承诺,还包括为满足个别客户需求而设立的额外承诺。因此,B选项正确地反映了管理层在TSC中对承诺的定义和描述。
C 错误。关于系统应如何运作以实现承诺的说明称为 “系统要求”,而不是 “系统目标”。
In a SOC 1 engagement using the inclusive method, from whom should the service auditor obtain written representations?
A. Management of the service organization only.
B. Management of the service organization and user entities.
C. Management of the service organization and subservice organization.
D. Management of the service organization, user entities, and subservice organizations.
【C】
正确答案是 C。包容性方法涉及子服务组织的控制,因此审计师需要服务组织和子服 务组织的书面陈述。
在 SOC 1 项目中,服务审计师决定在第 2 类报告中发表未经修订的意见。服务机构使用子服务机构。如果使用 “例外 “方法,则要求在报告中包含以下声明:
A. The controls including complementary subservice organization controls operated effectively.
B. The control operated effectively if complementary subservice organization operated effectively.
C. The control operated effectively except for complementary subservice organization controls.
【B】
差异摘要:
选项 B:服务组织控制措施的有效性取决于子服务组织的控制措施。这反映了服务组织的控制环境与子服务组织的控制环境融为一体。
选项 C:独立评估服务组织的控制措施,明确将子服务组织的控制措施排除在评估之外。这反映了服务组织的控制与子服务组织的控制之间的分离。
正确答案:
对于 SOC 1 业务约定中的 “例外 “方法,服务审计师需要说明服务组织控制措施的有效性取决于补充子服务组织的控制措施。这种依赖性意味着,只有当子服务组织的控制措施也有效时,服务组织的控制措施才能被视为有效。
A payroll service organization states,
“Controls provide reasonable assurance that physical access to computer equipment, storage media, and program documentation is adequate.”
The service auditor will most likely find this control objective:
A. Reasonable.
B. Not relevant.
C. Incomplete.
D. Not measurable.
【D】
可衡量性要求:
审计师要对控制目标进行有效评估,该目标必须是可衡量的。这意味着应该有明确的标准或规范,审计师可以据此衡量控制的有效性。
模糊术语:
控制目标中的 “充分 “一词是模糊和主观的。它没有提供具体的、可衡量的标准来说明什么是适当的物理访问控制。
确定控制目标是否合理的标准与确定标准适用性的标准相同。换句话说,如果控制具有以下特征,那么它就是合理的。
1) 与基本主题相关。
2) 客观
3) 可衡量
4) 完整。
What is most likely described in the “Other Information” section of a SOC 2 report?
A. Subsequent event affecting the system description or management assertion.
B. Comparison of performance with service-level agreements.
C. System incidents with ineffective controls.
D. Internal audit tests of controls.
【B】
SOC 2 报告中的 “其他信息 “部分可能包括
1.与服务水平协议 (SLA) 相关的绩效指标。
2.有关服务机构的实践、成就或未来计划的补充说明。
3.用户或客户的评价和反馈。
4.有关服务机构对持续改进或未来提升的承诺的信息。
5.有关服务机构业务环境和市场地位的一般信息。
When will a SOC 3 report most likely need to be restricted?
A. Management omits the system boundaries.
B. Management limits the auditor’s access to information.
C. Management refuses to provide written representations.
D. The service organization makes a specific commitment to one customer.
【A】
SOC 3 报告最初是发布给一般用户使用的。然而,由于缺乏有关系统边界、服务承诺和系统要求的信息,不了解承包商系统的用户无法正确理解报告的范围,这超出了 SOC 3 报告的初衷,因此限制了报告的受众(通常是承包商及其董事会)。报告的受众仅限于董事会。
因此,正确答案是 A。
b 不正确。如果对工作范围的限制是重大且广泛的,则受委托的审计师会在报告中表示无法表示意见。
c 不正确。如果管理层没有向签约审计师提供书面确认,这就构成了工作范围限制,签约审计师应在报告中表达保留意见或无法表示意见。
d 不正确,因为 SOC 3 报告范围中包括的服务承诺是对受托人大多数客户的主要服务承诺,而对特定客户的服务承诺不包括在 SOC 3 报告范围中。SOC 3 报告的范围不包括对特定客户的服务承诺。
Cybersecurity Framework (CSF):
1. Identify (ID)
2. Protect (PR)
3.
4.
5.
Privacy Framework (PF):
1. Identify (ID)
2.
3.
4.
5. Protect (PR)
Remembering Tips:
CSF 網絡安全框架–網安架-
RR哋
recover
response
detect
PF 隱私框架-私架-
CCG(私私架)
control
communicate
govern
Which of the following CIS Controls most likely includes controls such as securely managing the network, ensuring the network components are up-to-date, and establishing and maintaining a secure network architecture?
A. Control 12: Network Infrastructure Management
C. Control 13: Network Monitoring and Defense
【A】
选项A:Control 12: Network Infrastructure Management
【安全管理网络基础设施:确保网络设备的安全配置和管理,包括路由器、交换机、防火墙等。
【确保网络基础设施更新:定期更新和补丁管理,以修复已知的漏洞和安全缺陷。
【建立和维护安全的网络架构architecture:设计和实施一个安全的网络架构,确保网络分段和访问控制。
选项C:Control 13: Network Monitoring and Defense
【收集网络流量日志:监控和记录网络流量,以检测异常活动和潜在的威胁。
【管理远程资产的访问控制:确保远程设备和用户对网络资源的访问是受控和安全的。
【集中安全事件报警:将安全事件的警报和日志集中管理,以便及时响应和处理。
【framework core- function】
- Data Protection Policies, Processes, and Procedures
- Identity Management, Authentication, and Access Control, change management, redundancy
- Data Security
- Maintenance
- Protective Technology
Cybersecurity Framework (CSF)-
Privacy Framework (PF)-
-Protect (PR)
- 数据保护政策、流程和程序
- 身份管理、身份验证和访问控制,变更管理,冗余
保障和访问以及定期更新
【framework core- function】
- Anomalies and Events
- Security Continuous Monitoring
- Detection Processes
Cybersecurity Framework (CSF)-Detect (DE)
确定了检测主动网络安全攻击所需的工具和资源。
【framework core- function】
- Response Planning
- Communications
- Analysis
- Mitigation
- Improvements
Cybersecurity Framework (CSF)-Respond (RS)
【framework core- function】
- Recovery Planning
- Improvements
- Communications
Cybersecurity Framework (CSF)-Recover (RC)
通过修复设备、恢复备份文件或环境以及让员工采取正确的应对措施来支持网络恢复正常运行。
【framework core- function】
- Inventory and Mapping
- Business Environment
- Risk Assessment
- Data Processing Ecosystem Risk Management
how the organization answers what the company’s privacy risks related to data processing activities are
Cybersecurity Framework (CSF)-
Privacy Framework (PF)-
Identify (ID)
创建组织用于支持信息处理操作的资产的规范记录。公司网络的恢复工作在 NIST 框架核心的 “恢复 “部分进行。
组织如何回答公司与数据处理活动相关的隐私风险是什么
【framework core- function】
- Governance Policies, Processes, and Procedures
- Risk Management Strategy
- Awareness and Training
- Monitoring Review
helps the organization determine what the best governance structure is for privacy risks related to data processing activities.
Privacy Framework (PF)-Govern (GV)與風險相關
- 治理政策、流程和程序
- 风险管理战略
- 认识和培训
- 监督审查
帮助组织确定与数据处理活动相关的隐私风险的最佳治理结构。
【framework core- function】
- Data Processing Policies, Processes, and Procedures
- Data Processing Management
- Disassociated Processing
helps the organization determine what the best 【management structure】 is for 【privacy risks】 related to 【data processing activities】.
Privacy Framework (PF)-Control (CT)與數據相關
- 数据处理政策、流程和程序
- 数据处理管理
- 分离处理
帮助组织确定与数据处理活动相关的隐私风险的最佳管理结构。
【framework core- function】
- Communication Policies, Processes, and Procedures
- Data Processing Awareness
Privacy Framework (PF)-Communicate (CM)
which COBIT core model?
Ensured governance framework setting and maintenance, ensured benefits delivery, ensured risk optimization, ensured resource optimization, and ensured stakeholder engagement.
Evaluate, Direct, and Monitor (EDM)
benefit對應evaluate
确保管理框架的建立和维护,确保效益的实现,确保风险的优化,确保资源的优化,确保利益相关者的参与。
which COBIT core model?
managed programs, managed projects, managed requirements definition, managed IT changes, and managed assets.
Build, Acquire, and Implement (BAI)
項目,IT變化
which COBIT core model?
managed operations, service requests and incidents, managed problems, managed continuity, managed security services, and managed business process controls.
Deliver, Service, and Support (DSS)
運營,問題
管理运营、服务请求和事件、管理问题、管理连续性、管理安全服务和管理业务流程控制。
which COBIT core model?
managed strategy, managed innovation, managed portfolio, managed risk, and managed data.
managing data, IT infrastructure and architecture, budgeting, and risk
Align, Plan, and Organize (APO)
戰略創新預算
管理数据、IT 基础设施和架构、预算编制和风险
Its systems that are not critical for business operations but drive innovation can best be described as which of the following?
A.Support
B.Strategic
C.Factory
D.Turnaround
【D】
选择 “D “是正确的。信息系统审计与控制协会(ISACA)制定了《信息及相关技术控制目标》(COBIT),以帮助企业管理、优化和保护 IT 资产。最新版本的 COBIT 2019 可以通过使用其设计因素和重点领域,为各个企业的治理系统量身定制。
11 个设计因素之一是 IT 在公司中的作用,分为四个类别:支持、工厂、周转和战略。被归类为 “周转 “的 IT 系统可以推动企业的创新,但对核心业务并不重要。
选择 “A “是错误的。支持系统是指辅助系统。因此,该分类下的系统故障不会导致业务运营或创新严重受损。
Use processes and tools to create, assign, manage, and revoke access credentials and privileges for user, administrator, and service accounts for enterprise assets and software.
A. Control 06: Access Control Management
B. Control 02: Inventory and Control of Software Assets
【A】
b–
Actively manage (inventory, track, and correct) all software (operating systems and applications) on the network so that only authorized software is installed and can execute, and that unauthorized and unmanaged software is found and prevented from installation or execution.
Which option correctly matches a data obfuscation method with its definition?
A. Scrambles data using cryptography so it can only be read with a key.
B. Prevents sensitive data from being transferred out of the organization.
C. Replaces real data with a non-sensitive surrogate value.
D. Swaps data with other similar data to disguise its original characteristics.
A. Masking
掩码处理:通过用虚假但看似真实的数据替换真实数据来保护敏感信息,同时保持数据的格式。
B. Data Loss Prevention
数据丢失防护(DLP)系统通过控制用户可以传输的数据来监控、检测和防止数据泄露。虽然它可以保护敏感数据,但并不是一种数据混淆方法。
C. Tokenization
这是一个正确的定义。令牌化是指将敏感数据替换为无利用价值的非敏感等价物(称为令牌)。原始数据存储在安全位置,系统中只使用令牌。
D. Encryption
使用加密算法对数据进行加扰,使其只能通过正确的解密密钥读取。
Which of the following is not a detection method in an Incident Response Plan (IRP)?
A. User behavior analytics (UBA) tools
B. Anomaly detection
C. Incident response roadmap
D. Intrusion prevention system
【C】
A. User behavior analytics (UBA) tools
解释:用户行为分析工具监控、分析和解释用户活动,以检测模式和/或异常。这种工具确实是组织用于检测事件的技术。
错误:因为UBA工具确实是一种检测方法,所以它应包含在IRP中。
B. Anomaly detection
解释:异常检测是用于识别数据中的异常模式,从而检测潜在的安全事件。这也是一种检测事件的常用技术。
错误:因为异常检测是检测方法之一,所以它应包含在IRP中。
C. Incident response roadmap
解释:事件响应路线图是指为提升事件响应能力而制定的计划和步骤。这是一个规划和改进的工具,而不是一种检测技术。
正确:因为路线图不属于检测方法,所以它不应包含在IRP中的检测方法部分。
D. Intrusion prevention system
解释:入侵防御系统用于检测和阻止网络攻击,是一种用于检测和预防事件的技术。
错误:因为入侵防御系统是检测方法之一,所以它应包含在IRP中。
Which phase of threat modeling is best described as the identification of resources that need to be protected against threats?
A. Identify assets.
B. Perform a reduction analysis.
C. Identify threats.
D. Analyze the impact of an attack.
【A】
威胁建模是对组织的 IT 基础设施、系统和应用程序的网络安全威胁进行识别、分析和缓解。威胁建模一般分为以下五个阶段:识别资产、识别威胁、进行减少分析、分析攻击的影响、制定对策和控制措施,以及审查和评估威胁模型。
资产识别包括清点所有需要防范威胁的资产。根据这些信息,可以调整其他阶段,以保护有价值的资产。
Independence is required for reporting under the carve-out/ inclusive method.
Independence is required for reporting under the inclusive method.
Therefore, a lack of independence would result in the carve-out method of reporting.
換言之,The service auditor is not independent from the subservice organization.這種情況下最有可能使用carve-out的辦法
subpar?
It implies that something is inferior or not up to the mark.
Below standard
Inadequate
Which of the following is the COBIT 2019 management objective that addresses IT security, business process controls, and business continuity?
dss
Suzie, Senior Accounting Director, needs to determine the MTD and MTTR for the company’s general ledger software. In which BIA step does this occur?
A. Establish recovery priorities.
B. Identify critical resources.
C. Estimate losses.
D. Define disruption impacts.
说明:选择 “A “是正确的:
选择 “A “是正确的。确定 MTD 和 MTTR 发生在 “确定恢复优先级 “步骤中。这涉及制定恢复策略优先级的衡量标准。
选择 “B “不正确。确定关键资源涉及识别关键功能和确定必要的 IT 资源,而不是计算 MTD 和 MTTR。
选择 “C “不正确。估计损失涉及概述风险和分配概率,而不是确定 MTD 和 MTTR。
选择 “D “不正确。定义中断影响涉及确定和评估服务中断影响,而不是确定 MTD 和 MTTR。
答案:A:A. 确定恢复优先级。
K Corporation hired P to assess the benefits of a relational database. Which of the following is a primary benefit of relational databases?
A. Relational databases organize data into rows and columns.
B. Relational databases increase redundant data storage.
C. Relational databases ensure all necessary business process data is included.
D. Relational databases summarize data to make it easier to work with.
【选择 “C “是正确的。关系数据库包含业务流程的所有必要数据,有助于确保完整性。
选择 “A “不正确。虽然关系数据库使用行和列,但这并不是关系数据库独有的,平面文件也是如此。
选择 “B “不正确。关系数据库的目的是减少冗余数据,而不是增加冗余数据。
选择 “D “不正确。汇总数据是元数据的一个特征,而不是关系数据库的独特优势。元数据(Metadata)是关于数据的数据,它描述和总结了主要数据的特征和属性。
答案:C
假设我们有一个学校的数据库,要存储学生和课程的信息。
每个学生有一个唯一的学生ID。
每门课程记录了学生的ID,表示哪位学生选了这门课程。
通过学生ID这个字段,我们可以把学生表和课程表关联起来。例如,我们可以查询出Alice选了哪些课程。
这样,关系数据库通过这种方式将不同表中的数据关联起来,便于数据的组织、管理和查询。
Actively manage (inventory, track, and correct) all software (operating systems and applications) on the network so that only authorized software is installed and can execute, and that unauthorized and unmanaged software is found and prevented from installation or execution.
which control?
Control 02: Inventory and Control of Software Assets
Which CIS Control best describes using processes and tools to create, assign, manage, and revoke access credentials and privileges for user, administrator, and service accounts for enterprise assets and software?
Control 06: Access Control Management
描述使用流程和工具创建、分配、管理和撤销企业资产和软件的用户、管理员和服务账户的访问凭证和权限
Collect, alert, review, and retain audit logs of events that could help detect, understand, or recover from an attack.
which control
Control 08: Audit Log Management
Prevent or control the installation, spread, and execution of malicious applications, code, or scripts on enterprise assets.
which control?
Control 10: Malware Defenses.
Manage the security life cycle of in-house developed, hosted, or acquired software to prevent, detect, and remediate security weaknesses before they can impact the enterprise.
which control?
Control 16: Application Software Security
管理内部开发、托管或收购软件的安全生命周期,在安全漏洞对企业造成影响之前对其进行预防、检测和补救。
Establish and maintain a security awareness program to influence behavior among the workforce to be security conscious and properly skilled to reduce cybersecurity risks to the enterprise.
which control?
Control 14: Security Awareness and Skills Training
Establish, implement, and actively manage (track, report, correct) network devices in order to prevent attackers from exploiting vulnerable network services and access points.
which control?
Control 12: Network Infrastructure Management
purging data
Permanently removing from storage systems.
vulnerability
漏洞
Which of the following steps in the data life cycle involves extract, transform, and load (ETL); active data collection; or passive data collection?
A.Synthesis
B.Publication
C.Capture
D.Purge
【C】
创建或捕获数据是数据生命周期的第一步,可通过多种方法收集数据,包括提取、转换和加载(ETL)、主动数据收集和被动数据收集。创建或捕获数据是数据生命周期的第一步,可以通过多种方法收集数据。其中有三种方法:(1) 提取、转换和加载 (ETL);(2) 主动数据收集;(3) 被动数据收集。
In a database with a Customers table and a SalesOrder table, you want to retrieve customer data only for customers who have placed orders. Which SQL join type would you use for this?
A. FULL JOIN
B. RIGHT JOIN
C. LEFT JOIN
D. INNER JOIN
這道題目考察的是SQL中不同的連接(join)類型的應用。具體來說,問題要求從一個包含 Customers 表和 SalesOrder 表的資料庫中,僅檢索那些有對應銷售訂單的客戶資料。
正確的選擇是選項 D,即 INNER JOIN。INNER JOIN會返回兩個表中都有匹配記錄的資料,這樣可以確保只有那些有對應銷售訂單的客戶資料被檢索出來。
其他選項的解釋如下:
選項 A(FULL JOIN)會返回兩個表中的所有記錄,不管是否有匹配。
選項 B(RIGHT JOIN)會返回右表(SalesOrder)中的所有記錄,不管是否有對應的左表(Customers)記錄。
選項 C(LEFT JOIN)會返回左表(Customers)中的所有記錄,不管是否有對應的右表(SalesOrder)記錄。
因此,題目考察了SQL中不同連接類型的特點及其在特定情境下的應用。
An accountant is performing an inner join on two datasets. The first dataset has 500 records, the second dataset has 400 records, and there are 175 matching records between them. How many records will be in the resulting dataset?
A. 325
B. 900
C. 500
D. 175
這道題目考察的是資料庫操作中的內部連接(inner join)概念。內部連接是一種資料合併方式,它只保留兩個資料集中共有的記錄。根據題目描述:
第一個資料集有 500 條記錄。
第二個資料集有 400 條記錄。
兩個資料集中共有 175 條匹配的記錄。
當進行內部連接後,結果資料集中的記錄數量是這些共有的匹配記錄數量,即 175 條。因此,答案是選項 D,結果資料集中的總記錄數量為 175。
A business employee is preparing and cleaning data in a data warehouse to make it accessible for other analysts and data scientists to generate reports and insights. Which step of the ETL (Extract, Transform, Load) process is the employee performing?
A. Loading
B. Conversion
C. Transformation
D. Extraction
這道題目考察的是ETL(Extract, Transform, Load)過程中各個步驟的功能及定義。具體來說,題目描述了一名業務員工在數據倉庫中準備和清理數據,以便其他業務分析師和數據科學家生成報告和獲取洞察。根據題目描述:
業務員工執行的步驟是哪一步驟?
正確答案是選項 A,即 Loading。在ETL過程中,Loading(加載)是指將經過準備和清理的數據載入到用於分析、報告生成和洞察收集的工具中。這一步確保數據可以有效地供後續分析使用。
其他選項的解釋如下:
選項 B(Conversion)通常指的是在轉換過程中改變數據的格式、結構或類型,而不是加載數據。
選項 C(Transformation)是ETL過程中的第二步,指的是將從源數據中提取的原始數據進行清理、結構調整和轉換,以便後續分析使用。
選項 D(Extraction)是ETL過程中的第一步,指的是從源系統中提取和檢索數據。
因此,這道題目考察了在數據準備和清理過程中,ETL過程中各步驟的區別及其在整個數據管道中的作用。
Artificial intelligence algorithms
人工智能算法
A company with internal-facing software needs a backup method that allows for simple and quick restoration, ideally involving no more than two backup copies. Which system backup method is most appropriate for the company’s needs?
A. Differential
B. Incremental
C. No backup
D. Full
【A】
A–在恢復數據時,只需使用最近的完整備份和最近的差異備份即可。這使得恢復速度比完整備份快,但比增量備份慢。
B–在恢復數據時,需要使用最近的完整備份和所有增量備份,按照順序逐一恢復。這可能會比差異備份恢復速度稍慢,因為需要應用多個增量備份。
COSO’s guidance entity should not do when adopting a cloud service provider (CSP):
A.Keep separate and distinct risk management strategies for the CSP and the organization.
C.Create a steering committee to oversee CSP implementation.
[A]
根据COSO的企业风险管理框架,管理层应将云服务提供商的治理与现有风险管理政策整合,而非保持独立的风险管理策略。这有助于增强公司对云服务提供商的责任感,并实现更统一的风险管理策略。
与评估云服务提供商的数据安全措施没有直接关系的是:
A. The provider’s third-party suppliers.
B. The provider’s vertical scalability.
C. The provider’s multi-tenant architecture.
D. The provider’s cloud-of-cloud agreements.
B. 提供商的垂直可扩展性。
scale+ability=可擴大規模的能力
垂直可扩展性是指系统通过在单个服务器或节点内增加更多资源来提高容量的能力。虽然可扩展性对性能和可用性很重要,但它与评估云服务提供商的数据安全措施没有直接关系。
In which step of the systems development process does an organization evaluate the need for a new or improved information system?
A. Plan
B. Analyze
C. Design
D. Develop
【A】
在规划阶段,组织要评估是否需要新的或改进的信息系统。
选项 “B “不正确。在分析阶段,从所有重要的利益相关者那里收集信息,以全面汇编和分析最终用户的需求。
选择 “C “不正确。在设计阶段,项目将开始设计系统,以满足商定的用户需求。
选择 “D “不正确。在开发阶段,将执行前几个阶段制定的技术实施计划。
Having an exit strategy for a cloud service provider (CSP) is a response to which of the following risks?
A. CSP violation of service level agreement
B. Favorable regulation changes
C. Unfavorable operational budget variances
D. Lack of application portability (vendor lock-in)
選項 D 是正確的:缺乏應用程序的可移植性(供應商鎖定)。擁有退出策略可以確保組織在需要時能夠切換到另一個雲服務提供商,避免被單一供應商困住。
選項 A 是錯誤的:服務級別協議(SLA)違反。SLA 本身已經包含了在違反時退出的條款,因此不需要額外的退出策略來處理這種風險。
選項 B 是錯誤的:有利的監管變化。這些變化通常對公司有利,不需要退出策略來應對。
選項 C 是錯誤的:不利的運營預算差異。這可能促使公司尋找更便宜的供應商,但這不是退出策略的主要風險。退出策略主要是針對避免供應商鎖定的風險。
Which of the following best describes ETL (Extract, Transform, Load) in data collection?
Options:
A. Removing unnecessary headings or subtotals.
B. Collecting data through cookies or timestamps without user permission.
C. Pulling existing data, converting it into useful information, and transferring it to an analysis tool.
D. Actively collecting new data through surveys or direct communication.
這道題考查的是對 ETL(抽取、轉換和載入)數據收集方法的理解。
正確選項是 C:ETL 涉及從其原始來源提取現有數據,將其轉換為有用的信息,並加載到分析工具中。這是 ETL 過程的完整描述。
其他選項解釋如下:
選項 A 是錯誤的:這描述的是數據清理,即去除不必要的標題或小計,以防妨礙數據合成或分析,這與 ETL 無關。
選項 B 是錯誤的:這描述的是被動數據收集,例如通過 cookies 或時間戳收集信息,這與 ETL 無關。
選項 D 是錯誤的:這描述的是通過調查等主動與員工、客戶或用戶通信來收集新數據,這與 ETL 無關。
總結來說,這道題考查的是對 ETL 過程的正確理解和區分其他數據收集方法的能力。
Which hardware component decentralizes computing power in a payment processing network?
Options:
A. Gateways
B. Edge-enabled devices
C. Routers
D. Switching hardware
選項 B 是正確的:邊緣設備(Edge-enabled devices)。這些設備可以在發生請求的地方進行大部分或全部的計算,從而去中心化計算能力,不需要依賴中央服務器來處理任務。這種分佈式計算模式提高了網絡的效率和響應速度。
選項 A 是錯誤的:網關(Gateways)。網關主要用於在不同網絡之間進行數據格式轉換,使得數據能夠在使用不同協議的網絡之間傳輸。它們的主要功能不是去中心化計算能力。
選項 C 是錯誤的:路由器(Routers)。路由器的作用是根據數據包的來源和目的地,通過最有效的路徑將數據包路由到目的地。它們通常不進行像服務器那樣的計算功能。
選項 D 是錯誤的:交換硬件(Switching hardware)。交換機連接網絡中的設備,允許數據在設備之間流動,但它們不進行計算或執行功能。
In which BIA step do you determine maximum tolerable downtime (MTD) and mean time to repair (MTTR)?
Options:
A. Establish recovery priorities.
B. Identify critical resources.
C. Estimate losses.
D. Define disruption impacts.
【A】
1) establish the BIA approach,
2) identify critical resources,
3) define disruption impacts,
4) estimate losses: ARO,ALE量化損失
5) establish recovery priorities: MTD,MTTR
管理层必须制定 MTD 和 MTTR 等指标,以确定恢复策略的优先级,并决定不同系统或应用程序可以停机多长时间而不会对组织造成灾难性损害。
6) create the BIA report, and
7) implement BIA recommendations.
In which BIA step do you calculate the annualized rate of occurrence (ARO) and the annualized loss expectancy (ALE)?
Options:
A. Establish recovery priorities.
B. Define disruption impacts.
C. Estimate losses.
D. Establish the BIA approach.
【C】
1) establish the BIA approach,
2) identify critical resources,
3) define disruption impacts,
4) estimate losses: ARO,ALE量化損失
5) establish recovery priorities: MTD,MTTR
管理层必须制定 MTD 和 MTTR 等指标,以确定恢复策略的优先级,并决定不同系统或应用程序可以停机多长时间而不会对组织造成灾难性损害。
6) create the BIA report, and
7) implement BIA recommendations.
Which of the following would not be considered a main objective and best practice of data loss prevention (DLP)?
C. Developing a program to implement a centralized DLP program, with collaboration from various departments, which oversees data for the entire organization
D. Developing a program to implement a decentralized DLP program, with limited oversight of data for the entire organization, and spreading responsibility across various departments
【D】
DLP
1.監控敏感數據使用、了解數據使用模式並獲得企業能見度
2.發展實施員工教育計劃
3.實施集中式的數據防失策略,並與各部門合作,監督整個組織的數據
選項 D分散式的數據防失策略,並且在整個組織中只有有限的數據監督和責任分散給各部門,不符合數據防失策略的主要目標和最佳實踐。分散的方式可能導致數據管理和監控的不一致性,增加了數據丟失的風險。
C performed a security assessment report (SAR) on S Inc. During this assessment, many procedures were performed. For which procedures would C most likely provide recommendations in the SAR?
A. Procedures resulting in O ratings
B. Procedures resulting in S ratings
C. Low-risk assessment procedures
D. High-risk assessment procedures
[A]
首先只有A和B可能是正確的。
鑑於題目有 提供建議 一說法,證明有缺陷,所以選other than satisfied而實不satisfied
风险等级通常与修复难易程度和估计工作量评估一起分配给发现的问题。低风险级别将被视为风险级别,它不会被分配到用于发现问题的程序中,也不会在 SAR 中披露。
Henry, IT security manager at Peame LLP, is evaluating security awareness, focusing on employee engagement and phishing simulations. Which metrics should he use?
A. Percentage of employees who completed trainings and report rates
C. Click rate and re-click rate
【A】
A. 百分比完成培訓的員工和報告率
“完成培訓的員工百分比”是評估員工參與度的指標,表明員工是否積極參與安全培訓。
“報告率”則指員工在釣魚郵件模擬期間報告釣魚郵件的百分比,反映了員工對潛在安全風險的警覺性和反應能力。
What is the purpose of an organization’s company-wide acceptable use policy (AUP)?
B. Regulate and protect technology resources by assigning varying levels of responsibilities to job roles, listing acceptable behaviors by users.
D. Serve as the lowest level of documentation providing detailed instructions on how to perform specific security tasks or controls.
[B]
D–>Standard operating procedures (SOPs) are the lowest level of documentation that provide detailed instructions on how to perform specific security tasks or controls. These SOPs usually involve a combination of systems, software, and physical actions so that the goals of the security policy and standards are achieved.
what attack is this?
a password-cracking scheme that involves an attacker using an automated program to guess a password. While this kind of attack does rely on an algorithm that uses a high volume of password attempts to crack the password, it does not affect a company’s network traffic.
A brute-force attack
Senior management establishes and promotes information security policies, emphasizing the responsibility of employees in protecting the company’s assets.
Control Environment?
Control Activities?
Control Environment
高级管理层制定并推广信息安全政策,强调员工在保护公司资产方面的责任。
Specific cybersecurity measures such as access controls, encryption, audit trails, and regular security assessments.
Control Environment?
Control Activities?
Control Activities
具体的网络安全措施,如访问控制、加密、审计跟踪和定期安全评估。
Brannon has access to a particular set of files, not because of his credentials or job type and level, but because the creator of those files opted to grant him access. What authorization model is being used?
A. Rule-based access control
B. Role-based access control
C. Discretionary access control
D. Access control list
【C】
選項A:基於規則的訪問控制
選項B:基於角色的訪問控制
選項C:自主訪問控制 (Discretionary access control)
定義:由數據所有者、保管人或創建者來管理他們擁有或創建的數據或對象的訪問權限。擁有者可以根據自己的判斷授予他人訪問權限,或根據需要將任務委派給其他保管人。
適用:Brannon的訪問權限是由文件創建者自行決定授予的。
a common data obfuscation method
數據混淆方法
Tokenization removes production data and replaces it with a surrogate value.
the expenses related to the recovery of lost and stolen data, such as the fees paid to managed services providers or labor costs for external IT experts
a form of insurance coverage that helps organizations hedge against the impact of a cyberattack by providing financial assistance if an attack or data breach occurs.
Incident response costs事件响应成本
Cyber extortion loss网络勒索损失
a surrogate value
代替值
polymorphic virus
多型態病毒
an example of a mobile code cyberattack
移动代码是一种软件程序,其设计目的是在计算机之间移动,通过某种方式改变其他应用程序,使其包含该代码的一个版本,从而 “感染 “其他应用程序。恶意移动代码通常被称为病毒,多态病毒就是其中的一种,它通过改变代码结构来避免被检测到。
A timing channel
Storage Channel
Timing channel(時間通道)是一種側信道攻擊,攻擊者通過測量和分析系統操作所需的時間來獲取機密信息。這種攻擊利用系統執行不同操作時的時間差異,從而推斷出系統內部的某些狀態或數據。
Storage Channel存儲通道是一種側信道攻擊,攻擊者通過修改系統的存儲位置來傳遞信息,而不是通過測量時間來獲取信息。
【Timing Channel(時間通道)例子:
攻擊者可以測量密碼驗證操作的時間。如果系統在輸入錯誤密碼時比輸入正確密碼時花費更多的時間,攻擊者可以通過多次嘗試來逐步推斷出正確密碼。
【Storage Channel(存儲通道)例子:
高安全級別的過程將機密數據寫入一個共享文件的特定位置,低安全級別的過程可以讀取這些位置來獲取機密數據。這樣,機密數據就在不同安全級別之間被傳遞。
A security analyst is drafting a SAR after reviewing IT control compliance. Which method best describes the observation and review of job roles, security specifications, and security activities?
A. Reporting
B. Testing
C. Interviewing
D. Examination
【D】
1. 檢查 (Examination)
分析: 檢查文件和系統設計,確保符合安全標準。
觀察: 觀察工作流程和物理安全措施。
審查: 審查員工職責和安全活動的實施情況。–》題目中提及🌟
2. 面談 (Interviewing)
個人面談: 與員工一對一面談,了解他們的工作和對安全的理解。
小組討論: 組織多部門小組討論,收集安全控制的信息。
3. 測試 (Testing)
技術測試: 執行漏洞掃描和滲透測試,檢查系統安全性。
功能測試: 測試安全措施是否有效。
模擬測試: 模擬安全事件,測試應急響應能力。
B Company uses open-source code and mitigates vulnerabilities in code from high-risk nations by modifying it. This practice aligns with which NIST cybersecurity framework function?
A. Recover
B. Identify
C. Protect
D. Respond
【D】
选择 “D “是正确的。漏洞管理包括识别、分类、减轻和修复已知的安全弱点。NIST 网络安全框架 (CSF) 包括五项功能:识别、保护、检测、响应和恢复。
响应功能是 CSF 的组成部分,涉及对发现的漏洞做出反应。Biscalli 在发现漏洞后启动缓解工具修改代码的做法就是响应功能的一个例子,其目的是防止或减轻网络攻击的影响。
选择 “A “不正确。恢复功能帮助组织从脆弱状态过渡到安全状态,但并不侧重于立即采取应对措施。
选择 “B “不正确。识别功能涉及定位和识别漏洞。在这种情况下,已经进行了识别。
选择 “C “不正确。保护功能涉及创建保障和预防措施,如访问控制和变更管理。Biscalli 的行动是被动的,而不是预防性的。
The phase in an incident response plan (IRP) where a threat is removed and systems, files, and other IT assets are restored is known as ?
A.Eradication
B.Recovery
C.Detection and analysis
D.Post-incident activity
【A】
選擇 “A” 是正確的。
事件響應計劃中的步驟:準備、檢測、遏制、根除、報告、恢復和學習
Eradication (根除),即第四步,發生在識別和分類任何偏離正常操作的情況之後。根除階段是消除威脅並恢復系統、文件和其他IT資產的階段。
B. Recovery refers to the process of bringing systems and operations back to normal after the incident has been managed and the threat eradicated.
When a user connects to a VPN server to access resources and browse the internet securely, what type of encryption is employed to protect the data exchanged between the user’s device and the VPN server?
A.Symmetric
B.Ciphers
C.Asymmetric
D.Hashing
【A】
選擇 “A” 是正確的。對稱加密使用一個共享的或私有的密鑰來加密和解密數據。這個私有密鑰被群組中的所有成員用來加密和解密數據。這個密鑰可以是一個數字、一個字母,或者是一串隨機的數字和字母。對稱加密通常用於保護用戶設備與VPN服務器之間交換的數據。
選擇 “B” 是錯誤的。密碼(Ciphers)是指應用加密算法將未加密消息編碼成加密形式的結果,而不是加密的類型。
選擇 “C” 是錯誤的。非對稱加密涉及兩個密鑰:一個公鑰(用於加密)和一個私鑰(用於解密),通常不適用於用戶與VPN服務器之間的數據傳輸加密。
選擇 “D” 是錯誤的。哈希(Hashing)是一種單向函數,主要用於數據完整性驗證,而不是加密或解密。
Michelle, the Chief Risk Officer of Sagger Growth Inc., wants to test the company’s incident response plan (IRP) with her team. Which procedure is best for testing a hypothetical cybersecurity incident response against the IRP?
A. Continuous monitoring
B. Periodic audits
C. Post-incident review
D. Tabletop exercises
选择 “D “是正确的。在考虑最有可能用来测试假设的安全事件响应以与公司的事件响应计划进行比较的程序时,桌面演习(也称为模拟)将把事件当作实时发生的事件进行演练。桌面演习还可能使用雇佣的程序员来执行模拟攻击,以便观察响应情况。
选择 “A “不正确。持续监控不是最有可能用来测试假设安全事件响应的程序。持续监控是指使用自动化工具,不断分析系统日志、网络流量和异常用户行为,以帮助促进对事件做出及时和充分的响应。
选择 “B “不正确。定期审核不是最有可能用来测试假设的安全事件响应的程序。这将是对事件响应政策的定期或不定期审计,以帮助确定组织是否能够对事件做出适当响应。
选择 “C “不正确。事件后审查不是最有可能用来测试假设安全事件响应的程序。这些审查与高级管理层和安全专家有关,他们可能会在实际事件发生后评估 IRP 的有效性,以及人员和技术是否符合 IRP。
Which COSO objective relates to adherence to cybersecurity industry standards such as NIST, HIPAA, and GDPR?
A. Cybersecurity objectives
B. Compliance objectives
C. Operational objectives
D. Reporting objectives
【B】
选择 “B “是正确的。合规目标以遵守政府法律和合规法规为基础。就网络安全而言,这包括遵守行业标准(如 NIST 发布的标准)、美国法规(如 HIPAA)和国际法律(如 GDPR)。
选择 “A “不正确。网络安全目标不是 COSO 内部控制框架的目标组之一。三组目标是运营目标、报告目标和合规目标。
选择 “C “不正确。运营目标包括绩效措施和保障措施,有助于提高组织的 IT 资产免受网络安全威胁和欺诈的可能性。它们侧重于业务运营的有效性和效率。
选择 “D “不正确。报告目标与提高网络安全控制措施到位的可能性有关,因此不会影响内部和外部的财务和非财务报告。这些目标的重点是透明度、可靠性、及时性和可信度,由标准制定机构、监管机构和组织自身的政策决定。
increasing the likelihood that cybersecurity controls are in place so that they do not affect internal and external financial and non-financial reporting. The objectives have a focus on transparency, reliability, timeliness, and trustworthiness as determined by standard setting bodies, regulators, and an organization’s own policies.
COSO internal control framework.
The three groups of objectives are
operational objectives,
reporting objectives,
and compliance objectives.
which one?
Reporting objectives
报告目标侧重于确保组织的内部和外部财务和非财务报告透明、可靠、及时和可信。这些目标旨在提高报告的准确性和完整性,这对于维护利益相关者的信任和满足监管要求至关重要。
performance measures and safeguards that can help increase the likelihood that an organization’s IT assets are protected against cybersecurity threats and fraud.
COSO internal control framework.
The three groups of objectives are
operational objectives,
reporting objectives,
and compliance objectives.
which one?
Operational objective
For a SOC 2® Type 2 engagement related to processing integrity, are controls for transaction authorization part of the system?
A. No, because authorization is not relevant to processing integrity.
B. No, because authorization is never part of a system.
C. Yes, all controls are part of the system regardless of the criteria.
D. Yes, because processing integrity includes ensuring transactions are authorized.
【D】
处理完整性信任服务标准包括确保系统处理完整、有效、准确、及时,并获得授权,以实现实体的目标。交易授权控制是系统的一部分,应在系统范围之内。与处理完整性相关的系统边界可延伸至其他业务,如风险管理、内部审计、信息技术或呼叫中心流程。
Risk assessment in a SOC 2® Type 2 engagement should cover the risks that affect the sufficiency and appropriateness of the procedures performed during the engagement.
T or F?
F
SOC 2® 类型 2 业务约定中的风险评估还应涵盖影响系统描述编制的风险,而不是业务约定期间所执行程序的充分性和适当性。
I. Preparation of the system description.
II. The design of the service organization’s controls.
III. The operating effectiveness of the service organization’s controls.
The trust services criteria set forth the outcomes that an entity’s controls should meet to achieve the entity’s objectives.
Tor F?
T
The trust services criteria do set the outcomes (confidentiality, availability, processing integrity, privacy, and security) that should be met as a result of effective controls. Effective controls help an entity to achieve its objectives.
信托服务标准确实规定了有效控制应达到的结果(保密性、可用性、处理完整性、隐私性和安全性)。有效控制有助于实体实现其目标。
When a disclaimer of opinion is used, the report should omit
an explanation of
a statement that
and a statement
an explanation of what is required by the professional standards of the service auditor,
服务审计员专业标准的要求、
a statement that sufficient and appropriate evidence was obtained,
获得了充分和适当的证据、
and a statement describing the nature of an examination engagement.
说明检查工作性质的声明。
When must complementary user entity controls be referenced in a SOC 1® report?
A. When they are included in the scope of the service auditor’s engagement.
B. When they are necessary to achieve the control objectives stated in management’s system description.
【B】
当补充性用户实体控制措施与服务机构控制措施对实现既定控制目标必不可少时,应在 SOC 1® 报告的意见部分予以提及。
管理层负责确定补充用户实体控制措施。服务审计师的报告将指出,如果补充性用户实体控制措施与服务组织控制措施一起对实现既定控制目标是必要的,则审查范围不包括这些补充性用户实体控制措施。
Management uses either the carve-out or inclusive method to report on what subject matter?
A. The complementary user entity controls
B. The complementary subservice organization controls
C. The determination of whether to restrict the use of the report
D. The service organization controls included in tests of controls and results
选择 “B “是正确的。SOC 报告的分割和包容方法涉及服务机构对补充性子服务机构控制的报告。
选择 “A “不正确。补充用户实体控制措施不使用 “例外 “或 “包含 “方法进行报告。但是,它们确实会对 SOC 报告产生影响。
选择 “C “不正确。SOC 报告的例外和包容方法涉及服务机构对子服务机构控制措施的报告,而不是是否限制使用 SOC 报告。
选择 “D “不正确。服务审计师对服务机构控制措施的测试和结果包含在第 2 类《标准业务守则》报告中,但 “例外 “或 “包含 “方法用于确定如何列报子服务机构的控制措施。
For which section of the SOC report is a service auditor required to perform procedures after the date of the SOC report?
A. Management’s description of the system
B. No section of the SOC report
C. Management’s assertion
D. The tests of controls and results
Choice “B” is correct. The service auditor is not required to perform any procedures after the date of the SOC report but must respond appropriately to facts that may become known. The service auditor should use professional judgment to determine whether the subsequently discovered facts, had they been known as of the report date, may have caused the service auditor to revise the report.
Which of the following is an additional criterion for privacy in the trust services criteria?
A. Delivering output completely, accurately, and timely.
B. Managing processing capacity and system use.
C. Obtaining consent for collecting and using personal data.
D. Identifying and maintaining confidential information.
【C】
A–>processing integrity
B–>可用性
D–>confidenciality
What should the service auditor do if Financial Horizon Works does not agree to disclose a significant breakdown in automated system controls that occurred after the SOC 2® engagement but before the report issuance?
A. Inform report users directly.
B. Issue an unmodified report but include the event disclosure.
C. Modify the report opinion or withdraw from the engagement.
D. Make no changes to the SOC report
选择 “C “是正确的。如果服务机构的管理层拒绝披露可能会误导报告用户的后续事件,服务审计师应修改报告(并披露该事件)或退出业务约定。
选择 “A “不正确。服务审计师应考虑未披露的事件是否会误导报告用户,但如果管理层拒绝披露事件,这不是服务审计师应采取的适当行动。
选择 “B “不正确。如果服务机构管理层不愿意披露会误导报告用户的后续事件,则不适合出具未经修订的报告。
选择 “D “不正确。如果事件发生在业务约定覆盖期之后,可能影响系统描述或管理层的断言,并且发生在报告发布之前,服务审计师必须修改意见(并披露事件)或退出业务约定。
What should Rulert Profits Corp. management do with information on system incidents during the period covered by a SOC 2® engagement?
A. Should include information on the nature, timing, and extent of incidents in the description of the system.
C. Should include information on the incidents in the tests of controls and results section of the report.
【A】
管理层有责任在对系统的描述中详细说明任何系统故障的性质、程度和时间。
C–>the service auditor but not the management
What should Pearlin Industries do regarding a security breach that occurred after their SOC 2® engagement but before the report issuance?
A. Disclose in management’s assertion or system description.
B. Disclose in the opinion section of the service auditor’s report.
C. Disclose in the tests of controls and results section of the service auditor’s report.
【A】
根據SOC 2®的要求,服務組織的管理層有責任在管理斷言或系統描述中披露任何在審計期後但報告發布前發生的重大事件。
B–>服務審計師應該就系統的整體合理性和控制設計的適當性發表意見,而不是詳細披露單個事件的細節
C–>控制測試和結果部分是由服務審計師進行具體的測試和評估,用於評估系統控制的有效性。
When management identifies complementary user entity controls (CUECs), they are required to include disclosures about these controls in the system description, including which statement?
(誰)負責(identifying/implementing/testing)補充使用者實體控制
【User entities 】are responsible for 【implementing】 complementary user entity controls.
When must management identify the nature of services performed by a subservice organization in the description of the service organization’s system?
A. Only when the carve-out method is used.
B. When either the inclusive or carve-out method is used.
D. Only when the inclusive method is used.
【B】
The description of the service organization’s system is required to identify the nature of the services performed by a subservice organization under both the inclusive and carve-out methods.
- inclusive method 要 control test
carve-out method不要control test
When a subservice organization is used written representations:
A. Required when the inclusive method is used.
B. Always required along with service organization representations.
C. Required when the carve-out method is used.
D. Never required if service organization provides.
【A】
只有inclusive method需要書面聲明
In which section of the service auditor’s SOC 1® Type 2 report would you find the statement that the examination did not include complementary user entity controls and that the auditor did not evaluate these controls?
A. Scope section.
B. Inherent limitations section.
C. Service auditor’s responsibility section.
D. This statement would not be included in the report.
選項A是正確的,因為在 SOC 1® Type 2 報告中,有關檢查未延伸至補充的使用者實體控制,且服務審計師未評估這些控制措施的設計或運行有效性的聲明應該包含在範圍部分。
Which sections need amended language if complementary user entity controls are necessary and the carve-out method is used in a SOC 1® Type 2 report?
A. Service auditor’s responsibility and opinion
B. Scope and opinion
C. Service auditor’s responsibility and inherent limitations
D. Scope and inherent limitations
选择 “B “是正确的。当服务审计师确定补充用户实体控制的应用对于实现管理层系统描述中所述的相关控制目标是必要的,并应用了分割方法时,范围和意见部分都应进行修改。修改审计范围段落是为了说明,只有在补充用户实体控制措施设计适当、运行有效的情况下,服务组织的控制目标才能实现,补充用户实体控制措施没有在审计范围内进行评估。审计意见段落还需要增加文字说明,审计意见假定补充用户实体的控制措施在特定期间得到了适当设计和有效运行。
Which document would most likely state that management provided the service auditor with all relevant information and access?
A. Written assertions from management of the service organization.
B. Management’s description of the service organization’s system.
C. Written representations from management of the service organization.
D. The service auditor’s report.
選項A:管理層的書面聲明
- 錯誤。這種語言會出現在管理層的書面陳述engagementt中,而不是管理層的書面聲明assertions。管理層的聲明針對系統描述的公平性、控制設計的適當性,以及控制操作的有效性。
書面聲明:側重於對系統和控制的正式陳述。
書面陳述:側重於對審計過程中提供的信息和訪問權限的確認。
選項C:管理層的書面陳述
- 正確。這種語言會包含在服務組織管理層提供的書面陳述中,用來確認他們給予審計師的所有明示或暗示的陳述,並記錄這些陳述的持續適當性。
Which of the following is a risk of an organization mixing on-premises and cloud-based applications?
C. It may be challenging to integrate and monitor multiple environments, which could make detecting a cyberattack difficult.
D. A threat actor may perform a cloud malware injection attack on the hybrid environment.
【C】
选择 “D “不正确。虽然云恶意软件注入攻击可以在云环境中发起,但不适用于内部部署应用程序。
P wants to reduce the risk of unauthorized access to sensitive data. M is hired to recommend best practices. Which recommendation is related to processing sensitive data?
A. Remove or obfuscate personal information to prevent individual identification.
B. Limit access to personal information on mobile devices.
C. Establish policies for archiving or purging datasets.
D. Require training on relevant guidelines.
Explanation Summary:
A is correct: De-identifying data by removing or obfuscating personal information reduces the risk of unauthorized access during data processing.
B is incorrect: This relates to data storage, not processing.
C is incorrect: This is about data deletion/purging, not processing.
D is incorrect: This concerns data collection, not processing.
Which of the following control families in NIST SP 800-53 addresses the way data is securely transmitted when being sent digitally?
A. System and Communications Protection
B. Assessment, Authorization, and Monitoring
C. PII Processing and Transparency
D. Media Protection
选项“A”是正确的。NIST SP 800-53《信息系统和组织的安全和隐私控制》是一套设计用于保护组织免受复杂威胁的控制措施。它分为20个不同的控制家族,这些家族与组织风险相关。SC(系统和通信保护)控制家族旨在保护系统和用户之间数据的非预期和未经授权的传输。这个家族的控制措施通过实施政策和程序、系统和用户功能的分离,以及各种其他专注于系统资源之间共享数据的安全机制来保护组织网络的边界。
选项“B”是错误的。评估、授权和监控控制家族主要关于组织如何分析环境并利用这些发现来寻找威胁。它不关注防止系统之间数据的非预期传输。
选项“C”是错误的。PII处理和透明度控制家族集中于管理和保护在公司系统中流动的个人身份信息的控制措施,而不是这些敏感数据是否安全传输。
选项“D”是错误的。媒体保护控制家族强调组织如何管理物理媒体上的数据的控制措施,而不是系统之间数据的传输
Which risk management program integration of an Implementation Tier is best described as
managing cybersecurity as an organization-wide affair where cyber risk is prioritized similarly to other forms of organizational risk?
Tier 4 (Adaptive)
将网络安全作为整个组织的事务来管理,网络风险的优先级是否与其他形式的组织风险类似
Which risk management program integration of an Implementation Tier is best described as
incident management being ad hoc and not integrated into organizational processes.
Tier where corporate cybersecurity is isolated, and the organization does not evaluate external risks.
Tier 1 (Partial)
事件管理是临时性的,没有纳入组织流程。
Which risk management program integration of an Implementation Tier is best described as
having an organizational risk approach to cybersecurity where cybersecurity is integrated into planning and regularly communicated among senior leadership.
Tier 3 (Repeatable)
对网络安全采取组织风险方法,将网络安全纳入规划,并定期在高层领导中传达。
Which risk management program integration of an Implementation Tier is best described as
the rest of the organization being aware of cybersecurity but not managing securely. There is awareness without integration in this tier.
Tier 2 (Risk-Informed)
组织的其他部门有网络安全意识,但没有进行安全管理。在这一层级中,只有意识而没有整合。
The focus to develop a program to identify, assess, and manage cybersecurity risks in a cost-effective and repeatable manner is ?
1. The Framework Core
2.Framework Profiles
[1]
core–>该框架核心是美国国家标准与技术研究院(NIST)为保护关键 IT 基础设施而制定的一套通俗易懂的控制措施。重点是制定一项计划,以具有成本效益和可重复的方式识别、评估和管理网络安全风险。
Identify(识别),Protect(保护),Detect(检测),Respond(响应),Recover(恢复)
profiles–>根据其特定的业务需求和风险容忍度定制和优化这些实践,确保它们切实可行并与业务目标一致。
Under the HIPAA (Health Insurance Portability and Accountability Act) Security Rule, covered entities must protect electronic PHI (Protected Health Information) from all:
A. Impermissible disclosures with a remote to moderate likelihood of occurrence.
B. Possible impermissible uses.
C. Security threats that are reasonably anticipated.
D. Potential forms of a data breach that put the covered entity at risk of incurring significant financial penalties.
选项“C”是正确的。由于《健康保险流通与责任法案》的通过,卫生与公众服务部制定了保护受保护健康信息(PHI)隐私和安全的法规。这些法规分为隐私规则和安全规则。
安全规则管理机构应采取的保障措施,以保护电子PHI的安全。具体而言,它规定所有受保护实体必须保护电子PHI免受合理预期的安全威胁以及任何合理预期的违规使用或披露。
Rathway Inc. plans to use the Waterfall method for a new system for its design engineers. Why might Rathway choose this method?
Options:
A. Focus on testing and change review.
B. Realize benefits at each stage of completion.
C. Increase productivity by engaging engineers at every point.
D. Shorten time to collect customer input for design enhancements.
选择 “A “是正确的。在更改业务流程和管理系统变更时,企业有多种方法可供选择。最常见的两种方法是瀑布法和敏捷法。在瀑布式方法下,团队以线性方式工作,而敏捷式方法则将项目结构化,使不同的团队同时工作。
瀑布式方法的一个优势是,它的各个阶段可以让企业专注于系统设计、测试、部署、变更审查和维护。这将使 Rathway 有机会把开发过程分成易于管理的小块,以便专注于测试和审查任何必要的变更。
选择 “B “不正确。在瀑布式方法中,新系统的效益要到完成后才能实现。因此,Rathway 不会采用这种方法在系统完成前实现增量效益。事实上,这是敏捷方法的一个主要特点。
选择 “C “不正确。如果采用瀑布法,一些设计工程师可能会闲置,在某些步骤之前或之后不工作。因此,瀑布法由于其固有的设计,无法让工程师参与流程的每个步骤。
选择 “D “不正确。瀑布法中没有客户的意见,因此缩短收集客户意见的时间不适用于这种情况。事实上,这是敏捷方法的一个主要特点。
Streaming service provider Biscalli uses a recommendation engine that employs layers to rank content based on user history and device. Which technology is most likely used for this engine?
A. Logistic regression.
B. Neural networks.
C. Decision trees.
D. K-means clustering.
【B】
當然,我來用簡單的例子來解釋每個選項。
-
Logistic Regression:
- 例子: 假設你想根據一個人的年齡和性別來預測他是否會購買一個產品。這裡,年齡和性別是特徵(input),而購買與否是預測的結果(output)。
- 適用場景: 預測二元結果(例如購買或不購買),基於特定的特徵來進行分類。
-
Neural Networks:
- 例子: 想像你要訓練一個神經網絡來識別圖像中的數字。你會有一個輸入層接收圖像像素,隱藏層用來學習圖像中的特徵,最後是一個輸出層來預測圖像中的數字。
- 適用場景: 處理複雜的數據,例如圖像、語音或序列數據,並且需要從中學習特徵來做出預測。
-
Decision Trees:
- 例子: 想像你使用一個決策樹來決定一個人是否會喜歡某部電影。樹的節點可能包括年齡、性別和喜歡類型的問題,每個分支根據答案進一步分裂,最終節點給出喜歡或不喜歡的決定。
- 適用場景: 對於具有分支邏輯的問題,根據一系列特徵進行分類或預測。
-
K-means Clustering:
- 例子: 假設你有一堆顧客的購買數據(如購買金額和頻率),你想把他們分為幾個類別(如高消費者、中等消費者和低消費者)。K-means算法會根據他們的購買行為把顧客分成這些組別。
- 適用場景: 分群和分類數據,找到潛在的模式和類別。
這些例子希望能夠幫助理解每種方法如何應用於不同類型的數據分析和預測問題中。
Which option best describes the impact of spear phishing?
A. Improved data security and customer trust.
B. User downtime as IT teams work to fix issues.
C. Lower IT costs and better communication.
D. Higher employee productivity and better workflow.
Option “B” is correct. Spear phishing often leads to user downtime while IT teams fix security breaches and restore systems.
魚叉式網絡釣魚是一種高度定向的釣魚攻擊,攻擊者會針對特定個人或組織進行定制化的欺詐性電子郵件攻擊。以下是一個簡單的例子來說明這種攻擊:
假設你是一家大公司的員工,負責處理財務交易。有一天,你收到一封看起來來自你公司CEO的電子郵件。這封電子郵件看起來非常真實,有CEO的簽名,甚至使用了你平時的內部溝通語氣。然而,這其實是一封魚叉式網絡釣魚郵件。攻擊者通過社交工程手段收集了足夠的信息來模仿CEO,並設計了這封郵件來騙取公司資金。如果你沒有仔細驗證這封郵件的真實性,就有可能按照郵件指示進行轉賬,最終導致公司財務損失。
Ensista Inc. was hit by ransomware, but its backups were not affected. Which two CIS Controls cover policies for retrieving data from backups and conducting post-attack interviews?
A. Control 11: Data Recovery and Control 17: Incident Response Management
B. Control 11: Data Recovery and Control 13: Network Monitoring and Defense
C. Control 13: Network Monitoring and Defense and Control 14: Security Awareness and Skills Training
D. Control 17: Incident Response Management and Control 18: Penetration Testing
Explanation:
Choice A is correct.
Control 11: Data Recovery covers practices related to data backups, testing, and restoration.
Control 17: Incident Response Management includes recommendations for preparing, detecting, and responding to events like ransomware attacks, including post-incident reviews.
Choice B is incorrect.
Control 13: Network Monitoring and Defense is focused on surveillance and prevention, not on data recovery or post-attack interviews.
Choice C is incorrect.
Control 13 and Control 14: Security Awareness and Skills Training are preventative and do not cover data recovery or post-attack processes.
Choice D is incorrect.
Control 18: Penetration Testing is about finding vulnerabilities to prevent attacks, not about post-attack recovery or interviews.
S Inc. is setting up a governance system based on the COBIT 2019 Framework. They need to implement factors that contribute to successfully managing their IT systems. What are they most likely implementing?
A. Components of a Governance System
B. Design Factors
C. Governance Framework Principles
D. Governance System Principles
選項 “A” 是正確的。信息系統審計與控制協會(ISACA)於 1996 年創建了信息和相關技術控制目標(COBIT),以幫助公司管理和優化其 IT 資源。隨著技術的發展,COBIT 多次修訂,第六次修訂被命名為 COBIT 2019。作為其基礎的一部分,COBIT 包含三個治理框架原則、六個治理系統原則、一個核心模型、七個治理系統組成部分、11 個設計因素以及各種重點領域。
治理系統的組成部分包含一些因素,這些因素集體或個別有助於組織的治理系統控制其 IT 系統的方式。因此,Savestone 最有可能實施的是 COBIT 2019 核心模型中的七個組成部分之一或多個,包括流程;組織結構;原則、政策和框架;信息;文化、倫理和行為;人員、技能和能力;或服務、基礎設施和應用程序。
A device that transforms data from one protocol to another and acts as an intermediary between networks is a:
A. Gateway.
B. Switch.
C. Server.
D. Router.
【A】
A–gateway將內部網絡與外部互聯網連接起來,進行協議轉換
B–switch連接同一網絡中的設備,根據MAC地址轉發數據。
C–server提供服務和資源,處理客戶端請求。
D–router連接內部的多個網絡,將數據包轉發到不同的網絡段。
Internet
|
[ Gateway ]
|
[ Router ]
/ \
[ Switch ] [ Switch ]
/ \ [ Computers ] [ Server ]
舉例:
假設你在公司內部網絡上工作,你的電腦連接到一個交換機,交換機連接到路由器,路由器通過網關與互聯網連接。當你訪問一個網站時,請求首先通過交換機到達路由器,再由路由器經過網關到達互聯網上的目標網站。網站的響應數據會經過相同的路徑返回到你的電腦。
Savestone Cloud Inc. provides customers with a web-based application for selling products. The company manages all hardware and software needed for processing orders and marketing, with some customization options for customers. Which cloud computing model does this describe?
Options:
A. Software-as-a-Service (SaaS)
B. Business Process-as-a-Service (BPaaS)
C. Platform-as-a-Service (PaaS)
D. Infrastructure-as-a-Service (IaaS)
说明:
选择 A 正确。SaaS 涉及通过互联网提供由供应商管理的业务应用程序。客户使用这些应用程序来实现特定功能,并有添加徽标和配置扩展功能等定制选项。
选择 B 不正确。BPaaS 使用 SaaS 来执行特定的业务功能,如计费或工资单,但它更侧重于完整的业务流程,而不是软件和硬件管理。
选择 C 不正确。PaaS 为客户提供在提供商的基础设施上构建和运行应用程序的工具,侧重于应用程序的开发,而不是像 SaaS 那样全面管理应用程序。
选项 D 不正确。IaaS 通过互联网提供服务器和存储等虚拟化资源,但不包括 SaaS 所管理的应用程序。
Creataw Inc. wants to streamline its accounting processes, including reconciling cash balances and closing temporary accounts manually. Which aspect of its operations would benefit most from adopting an AIS?
Options:
A. Production and fixed asset cycles; human resources and payroll cycles
B. Treasury cycles; general ledger and reporting cycles
C. Revenue and cash collection cycles; production and fixed asset cycles
D. Purchasing and disbursement cycles; revenue and cash collection cycles
選擇“B”是正確的。會計交易循環是組織在業務交易發生時記錄資金流動的過程。通過使用會計信息系統(AIS)等技術來實現這些過程,包括收入和現金收集循環、採購和付款循環、人力資源和工資循環、資金管理循環以及總帳和報告循環。
採用AIS將解決對賬工作的負擔,它能夠從銀行提取交易,並進行基於規則的對賬(例如,供應商/客戶名稱、金額、日期等),這將成為資金管理循環的一部分。同樣地,採用AIS可以自動化在會計期末手動關閉暫時賬戶的過程,並將餘額帶入新的會計期,這將改善總帳和報告循環的效率。
Which CIS Control focuses on data recovery practices to restore enterprise assets to a pre-incident and trusted state?
A. Application Software Security
B. Malware Defenses
C. Service Provider Management
D. Data Recovery
d
根据 CIS 关键安全控制第 8 版,控制 11 的最佳描述如下: 建立并维护足以将范围内企业资产恢复到事故前可信状态的数据恢复方法。
control ?
Develop a process to evaluate service providers who hold sensitive data or are responsible for an enterprise’s critical IT platforms or processes, to ensure these providers are protecting those platforms and data appropriately.
Control 15: Service Provider Management服务提供商管理
制定流程,对持有敏感数据或负责企业关键 IT 平台或流程的服务提供商进行评估,以确保这些提供商适当保护这些平台和数据。
【principle under COBIT 2019】describes how governance systems should create value for the company’s stakeholders by balancing benefits, risks, and resources.
Provide stakeholder value
提供利益相关者价值,说明治理系统应如何通过平衡利益、风险和资源,为公司的利益相关者创造价值。
【principle under COBIT 2019】
explains that all processes within the organization involving information and technology should be factored into a governance system.
end-to-end governance system
解释说,组织内涉及信息和技术的所有流程都应纳入治理系统。
【principle under COBIT 2019】
describes the consideration of impact on all others when a change in one governance system occurs so the system continues to meet the demands of the organization.
dynamic governance system
是指当一个治理系统发生变化时,要考虑对所有其他系统的影响,以使该系统继续满足组织的需求。
【principle under COBIT 2019】
explains that governance models should be customized to the needs of each company.
tailored to enterprise needs
解释说,治理模式应根据每家公司的需求进行定制。
【control ?】
Establish and maintain the secure configuration of enterprise assets (end-user devices, including portable and mobile; network devices; non-computing/IoT devices; and servers) and software (operating systems and applications).
Control 04: Secure Configuration of Enterprise Assets and Software
建立并维护企业资产(终端用户设备,包括便携式和移动设备;网络设备;非计算/物联网设备;以及服务器)和软件(操作系统和应用程序)的安全配置。
【 】is the CIS Control principle where all recommendations should be practical.
Feasible
可行是 CIS 的控制原则,所有建议都应切实可行。
【 】 is the CIS Control principle where controls should help prioritize the most critical problems and avoid resolving every cybersecurity issue.
Focus
重点突出是 CIS 控制原则,控制措施应有助于确定最关键问题的优先次序,避免解决所有网络安全问题。
【 】is the CIS Control principle where controls should be simple and measurable, avoiding vague language.
measurable
可衡量是 CIS 控制原则,即控制措施应简单、可衡量,避免使用含糊不清的语言。
【 】is the CIS Control principle where controls should map to other top cybersecurity standards.
align
对齐是 CIS 控制原则,控制措施应与其他顶级网络安全标准相对应。
Which component of a governance system consists of activities or practices that produce outputs to achieve IT goals?
A. Principles, policies, frameworks
B. Organizational structures
C. Process
D. Information
选择 “C “是正确的。流程是治理系统的组成部分,是产生有助于实现信息技术总体目标的产出的一系列活动或实践。
选择 “A “不正确。原则、政策和框架是将预期行为转化为实践的指南。
选择 “B “不正确。组织结构是治理系统的一个组成部分,与组织内的决策实体有关。
选择 “D “不正确。信息是治理系统的一个组成部分,指治理系统正常运作所需的信息。
Rulert Capital has started continuous testing in its portfolio companies, shifting from traditional build-test-deploy. What is a characteristic of continuous deployment and integration?
A. More back-end work.
B. Coding bugs released live.
C. Code integration in decentralized repositories.
D. Longer code writing cycle time.
【B】
更高的應用程序質量:透過頻繁更新和改進,應用程序的質量得到提升。
縮短更新周期:軟件更新之間的時間縮短,使組織能夠更頻繁地交付新版本,讓用戶更快地獲得改進。
使用中央存儲庫:開發人員使用共享的中央存儲庫來合併代碼更新,縮短編寫代碼的周期時間。
實時環境中的代碼錯誤:由於新軟件在滾動基礎上實施,可能導致代碼錯誤在實時環境中釋放。
前端標準化工作增加:需要在開發過程的前端實施標準化的測試流程,以快速部署並確保應用程序的穩定性。
Which topology is least likely to result in a potential single point of failure?
A. Mesh topology
B. Ring topology
C. Bus topology
D. Star topology
【correct: A】
A
/|\
/ | \
B–C–D
\ | /
|/
E
【ring】
A
/ \
E B
\ /
D
/ \
C—F
【bus】
A — B — C — D — E
【star】
A
|
B—H—C
|
D
The AICPA issued guidance regarding patch management in a SOC 2® audit that states service auditors should:
C. Inspect policies to ensure they include rules on patch management.
D. Verify that patches are tested in a production environment prior to release.
【C】
D–Patches are only tested in a 【non-production】 environment prior to releasing an update
Sunriss Corp., with only one location, is enhancing database redundancy. Which practice is it most likely to employ?
B. Mirroring
C. Replication
【B】
复制和镜像都支持数据库冗余,但它们实现冗余的方法不同。镜像涉及将数据库复制到同一站点的不同机器上,而复制还涉及将数据传输到辅助站点的不同数据库中。
A system that transforms economic events into journal entries and disseminates information that supports daily operations is:
A. An enterprise resource planning system.
B. A transaction processing system.
The transaction processing system (TPS) is one of the three main subsystems of an AIS. A TPS creates transactions, or journal entries, based on economic events that occur in the various transaction cycles.
Enterprise Resource Planning System (ERP) 是一個綜合應用系統,涵蓋整個組織的多個部門,支持部門間的即時通訊和數據共享。
Accounting Information System (AIS) 是一個更大系統(如ERP的一部分),負責收集、記錄、存儲和報告財務數據。
Transaction Processing System (TPS) 是AIS的一個子系統,將經濟事件轉換為日記帳分錄,並處理和記錄日常業務活動。
Financial Reporting System (FRS) 是AIS的另一個子系統,收集來自TPS和其他來源的每日數據,以滿足財務報告和法規遵循的需求。
Management Reporting System (MRS) 也是AIS的一個子系統,提供內部財務數據,幫助管理層進行日常運營決策。
A service auditor is testing the claim that only certain personnel have access to client files. They sample three client folders on a shared drive to track employee access. Which log would most likely contain this information?
A. Proxy logs
B. Network logs
C. Firewall logs
D. Event logs
【D】
A. 代理伺服器日誌:記錄訪問互聯網的數據,如URL和IP地址。
B. 網絡日誌:記錄網絡設備活動,如路由器和伺服器的數據。
C. 防火牆日誌:記錄網絡流量和防火牆的動作。
D. 事件日誌:記錄系統事件,如文件訪問和用戶身份驗證。
Which two of the six GDPR principles for processing data state that the data must be processed for a specific reason or protected from getting damaged?
A. Lawfulness, Fairness, Transparency; Storage Limitation
B. Integrity and Confidentiality; Purpose Limitation
C. Accuracy; Data Minimization
D. Integrity and Confidentiality; Storage Limitation
正確答案是「B. 完整性和保密性;目的限制」。GDPR有六項處理數據的原則:1) 合法性、公平性和透明性;2) 目的限制;3) 數據最小化;4) 準確性;5) 存儲限制;6) 完整性和保密性。目的限制原則要求數據應僅為明確的、合法的目的收集和處理。完整性和保密性原則要求數據應被保護,防止意外丟失、破壞和損壞。
選項「A」是不正確的。合法性、公平性和透明性原則要求數據必須以合法、公平和透明的方式處理。存儲限制原則要求數據僅在必要的時間內保存。
選項「C」是不正確的。準確性原則要求數據應該準確並保持更新,而數據最小化原則要求僅收集所需的數據。雖然數據最小化與目的限制有些重疊,但數據最小化側重於數據的量,而目的限制側重於數據的類型。
選項「D」是不正確的。存儲限制原則關注數據應保存的時間,其主要關注點不是數據的特定目的或保護數據免受損壞。
In a SOC 1® engagement, if complementary user entity controls are necessary to achieve control objectives, where should this be stated in the auditor’s report?
A. Service organization’s responsibilities
B. Opinion
C. Service auditor’s responsibilities
D. Inherent limitations
选择 “B “是正确的。报告的意见部分应包括以下声明:补充用户实体控制措施的应用被认为是实现管理层对服务机构系统(SOC 1®)或服务机构服务承诺和系统要求(SOC 2®)的描述中所述相关控制目标所必需的。
【記憶】
Duggan Industries wants a visual representation of the logical relationships and physical connections between their servers and vendors. Which documentation technique should they use?
A. System interface diagram
B. Process narrative
C. Flowchart
D. Data flow diagram
正確答案是「A. 系統接口圖 (System interface diagram)」。系統接口圖展示了組織內部和外部的用戶和功能如何與組織的系統互動。這可以包括從功能區域(如服務器和辦公室)到實際網絡和員工、供應商、客戶之間的簡單邏輯關係,並有助於開發和監控物理連接。
選項「B」是不正確的。流程描述是書面文件,沒有圖像表示,因此很難跟踪信息如何在過程中流動以及用戶如何與系統互動。
選項「C」是不正確的。流程圖是從邏輯和物理角度展示文件和信息如何在過程中流動, to identify risks and potential control deficiencies at the organization.确定组织的风险和潜在控制缺陷。
選項「D」是不正確的。數據流程圖視覺化地描述了業務流程的數據流動邏輯,但不包括物理方面,因此可能無法理解系統和用戶如何互動。
According to the COSO framework “Enterprise Risk Management—Integrating with Strategy and Performance,” which component guides Precision Business Advisors in defining risk?
A. Governance and Culture
B. Performance
C. Review and Revisions
D. Strategy and Objective-Setting
答案是「D. Strategy and Objective-Setting」。這個COSO框架將風險管理方法分為五個組件和20個支持原則。其中的「Strategy and Objective-Setting」組件包含了定義風險偏好的原則之一。企業的風險偏好將影響其選擇雲計算模型,風險偏好較低的組織可能會選擇基礎設施即服務(IaaS)模型,這提供了更多的控制;而風險偏好較高的組織可能會選擇平台即服務(PaaS)或軟件即服務(SaaS)模型,這些模型相對較少定制和控制。
選項「A」是不正確的。Governance and Culture組件確立了企業風險管理的基調,通過建立董事會監督和與組織目標行為一致的文化,但它不是定義風險的組件。
選項「B」是不正確的。Performance組件幫助組織基於已定義的風險偏好來優先考慮風險,而不是用於評估風險偏好。
選項「C」是不正確的。Review and Revisions組件幫助組織評估重大變化,回顧風險和表現,並推動風險管理的改進措施,但它不是用於定義風險的組件。
What IT risk is defined as the risk of not meeting the requirements of regulatory bodies?
A. Compliance risk
B. Financial risk
C. Strategic risk
D. Availability risk
這道題目問的是,哪種IT風險被定義為未能滿足監管機構要求的風險。
答案是「A. Compliance risk」。
Compliance risk即合規風險,指的是未能滿足監管機構要求的風險。
選項「B」是不正確的。Financial risk(財務風險)是由於誤用而導致財務資源損失的風險。
選項「C」是不正確的。Strategic risk(戰略風險)是指業務和IT戰略不對齊而產生的風險。
選項「D」是不正確的。Availability risk(可用性風險)是指組織無法訪問和利用其信息技術的風險。
In an effective patch management program, what should follow testing and deployment, and subsequently monitor to identify and resolve any system issues post-deployment?
A. Approving and deploying patches
B. Evaluating new patch releases
C. Using a vulnerability tool
D. Verifying patches deployed
選項 B: 評估新的補丁發布
在補丁被部署之前,IT管理人員需要評估新補丁的釋出情況,確定它們如何影響組織。
選項 A: 批准和部署補丁
當補丁經過評估後,IT管理人員會批准和部署這些補丁到相應的系統中。
選項 D: 驗證補丁已部署
補丁成功部署後,需要進行驗證,確保補丁已正確應用並生效。
選項 C: 使用漏洞掃描工具
使用漏洞掃描工具可以幫助組織識別系統中的漏洞和弱點,這有助於補丁管理的前期準備和風險評估。
Which of the following is the only Tier subdivision that the NIST Privacy Framework Tiers and the NIST CSF Tiers do not share?
A. Workforce
B. Risk Management Process
C. Risk Management Program Integration
D. External Participation
選項 “A” 是正確的。重複的層級:
Partial (部分)
Risk-Informed (風險知情)
Repeatable (可重複)
Adaptive (自適應)
這些層級在兩個框架中都是一致的,用來衡量組織在風險管理和資源分配方面的成熟度。
獨特的層級:
Workforce (員工)
這個層級是隱私框架特有的,用來衡量組織中專門致力於隱私保護的員工比例。
Which of the following is responsible for carrying out IT governance policies?
A. Middle management
B. Board of directors
C. Executives
D. End users
Choice “A” is correct.
Middle management is responsible for carrying out governance policies.
Choice “B” is incorrect. The board of directors is responsible for setting governance policies.
Choice “C” is incorrect. Executives ensure that an IT governance structure is in place and executed effectively.
Choice “D” is incorrect. End users are responsible for following processes and procedures.
Thwarting phishing scams that target senior executives who control financial resources is best achieved by applying safeguards within which of the following Center for Internet Security (CIS) Critical Security Controls?
Control 09: Email and Web Browser Protections
Email and Web Browser Protections provides the best recommendations that companies can implement to help avoid becoming victims.
电子邮件和网络浏览器保护》提供了公司可以实施的最佳建议,以帮助避免成为受害者。
服务组织管理层有必要在系统说明中确定补充用户实体控制,因为
A.服务机构管理层负责确保用户实体已实施必要的控制措施,以保证实现服务承诺和系统要求。
B.服务机构管理层负责确保用户实体的审计员测试适当的控制措施。
C.如果用户实体不按规定方式执行某些活动,服务机构可能无法合理保证其服务承诺和系统要求得到实现。
D.子服务组织必须实施和执行此类控制措施,以确保服务组织的控制功能正常运 行。
题目问的是为什么服务机构管理层必须在其系统描述中识别补充性用户实体控制(Complementary User Entity Controls,简称CUECs)。
A. 错误 - 服务机构管理层并不负责确保用户实体已经实施了必要的控制措施。服务机构管理层的职责是识别这些CUECs并在系统描述中说明用户实体负责实施这些CUECs。
B. 错误 - 服务机构管理层并不对用户实体的审计师测试的控制措施负责。
C. 正确 - 服务机构可能无法提供合理保证其服务承诺和系统要求已经实现,除非用户实体按照规定的方式执行某些活动。这意味着服务机构的控制措施和用户实体的控制措施相结合才能提供合理的保证。
D. 错误 - CUECs是由用户实体实施的,而不是由次服务机构(subservice organization)实施的。
An IT manager needs to establish proper access controls for a new on-premises application using a role-based approach. Which access control method is best?
A. Firewall
B. Physical barrier
C. Access control list (ACL)
D. Biometrics
【C】
访问控制列表(ACL):
ACL 是一组规则,定义哪些用户或用户组可以访问哪些资源,以及他们可以执行的操作(如只读、读写、无访问等)。
ACL 可以非常精细地控制不同角色的权限。例如,IT管理员可以有完全访问权限,而普通用户可能只有读取权限。
选项 D(生物识别)确实是一种有效的身份验证技术,可以通过物理特征(如指纹或虹膜扫描)来限制访问。然而,题目中的关键点在于需要使用基于角色的方法来控制访问。这涉及的不仅仅是身份验证,还包括对不同角色的权限管理。因此,尽管生物识别可以限制谁能进入,但它并不能像访问控制列表(ACL)那样详细地管理不同角色的具体权限。
Top management’s most important role(s) in business process design is:
A. Providing support and encouragement for IT development projects and aligning information systems with corporate strategies.
B. Facilitating the coordination and integration of information systems activities to increase goal congruence and reduce goal conflict.
【A】
最高管理层在业务流程设计中最重要的角色是什么?
A. 提供支持和鼓励IT开发项目,并将信息系统与企业战略对齐:
Top management 提供支持和鼓励,确保IT开发项目得到足够的资源和支持。
确保信息系统的设计和实施符合企业战略,以确保IT投资能够支持和促进企业的整体战略目标。
B. 促进协调和整合信息系统活动,增加目标一致性并减少目标冲突:
这是一个更广泛的角色,涉及确保不同信息系统活动之间的协调和整合,以确保它们不会互相冲突,并且可以共同支持企业的整体目标。
B感覺是業務流程設計之後的步驟
Which of the following tasks do programmers perform in a development computing environment?
A. Debug and test code for errors.
B. Deploy the final application to end users.
C. Test functionality immediately before deployment.
D. Create source code and prototypes.
选择 “D “是正确的。信息技术变更应在组织内部的隔离环境中管理和实施。最常见的环境包括开发、测试、暂存、生产和灾难恢复。
在开发计算环境中,程序员编写代码以创建应用程序原型。该环境还可用于调试和修改现有代码,以及使用带有预配置代码的自动化工具来简化生产。
选择 “A “不正确。虽然开发环境通常用于调试和测试代码错误,但其主要用途是创建初始软件产品。测试环境仅用于调试和测试代码错误,可与开发环境分开,以减少错误,而不是用于初始原型。
选择 “B “不正确。向最终用户部署完成的软件产品是在生产环境中进行的,生产环境是员工执行核心工作职能的实时环境,只有在测试完成后才能部署。
选择 “C “不正确。这里描述的是人员在生产环境中发布软件之前测试应用程序功能的暂存环境,而不是开发环境。
Which of the following most accurately describes management’s responsibility with respect to its system description in a SOC 1® report?
A. The description does not omit or distort information relevant to the system and is prepared to meet the common needs of a broad range of user entities and their auditors.
D. The description is complete, accurate, and must be in enough detail to ensure that all user entities have their specific needs met by the report.
选择 “A “是正确的。描述应完整、准确,并满足广大用户实体及其审计师的共同需求。描述可能不会包括用户实体在其特定环境中认为重要的每一个方面。
选择 “D “不正确。描述应完整、准确,满足广大用户实体及其审计师的共同需求,而不是满足所有用户实体的特定需求。
anonymization feature
匿名功能
What is the trust services category that is addressed in most trust services engagements?
A. Availability
B. Confidentiality
C. Security
D. Privacy
选择 “C “是正确的。由于对技术的依赖程度越来越高,以及对网络安全风险的担忧,安全是大多数信托服务业务的首要关注点。
Each of the following examples would likely be considered personal identifiable information (PII) used to identify an individual, except for which of the following?
A. IP addresses of the individual
D. Street address of the individual
【A】
选择 “A “是正确的。IP 地址不属于 PII,因为 IP 地址经常变化(浮动 IP),或由几个家庭或个人共享。PII 是可用于直接识别个人身份的信息,如姓名、地址或个人身份号码。
选择 “D “不正确。个人的街道地址很可能被视为 PII,因为它是个人及其家庭特有的数据。
In defining the system scope for a SOC 2® engagement, which components would be included?
C. Software application, clients, and subcontractors.
D. Software application, internal employees, and subcontractors.
选择 “D “是正确的。系统的定义是:由人员设计、实施和操作的基础设施、软件、程序和数据,以按照管理层指定的要求实现组织的一个或多个特定业务目标。本例中的系统定义包括软件和执行程序的人员(内部员工和分包商)。
Which of the following is an important part of minimizing security threats working in conjunction with vulnerability management solutions?
A. Least privilege
B. Patch management
C. COSO
D. NIST
选择“B”是正确的。补丁管理是与漏洞管理解决方案一起工作以最小化安全威胁的重要部分。当在应用程序中发现漏洞时,软件供应商会发布更新,称为补丁,以便客户可以修复这些漏洞。
选择“A”是错误的。最小特权的概念是用户和系统被授予执行功能所需的最低授权和系统资源。这是一种授权和认证实践,用于加强安全操作,与系统漏洞管理独立。
选择“C”是错误的。COSO(发起组织委员会)是一个提供有关内部控制、欺诈威慑和风险管理指导的咨询组织。虽然他们的内部控制框架是系统漏洞相关内部控制的基准,但COSO本身并不是与漏洞管理解决方案一起工作的最小化安全威胁的重要部分。
选择“D”是错误的。NIST(国家标准与技术研究院)提供了创建补丁和漏洞管理程序的建议,但NIST本身并不是与漏洞管理解决方案一起使用的。
Kidell Global Inc. was hit by a cyberattack where attackers demanded a ransom for sensitive client information. Which type of cyber insurance would most likely cover the costs related to ransom negotiations?
Options:
A. Replacement costs for information systems
B. Information and identity theft
C. Litigation and attorney fees
D. Cyber extortion losses
【D】網絡勒索損失,對應題目中的ransom negotiations 贖金談判
記單詞,extortion勒索
第一方保險–贖金支付
第三方保險–
1.对网络攻击受害者(如信息被泄露的客户)的损害赔偿
2.向监管机构支付的罚款
3.法律费用
The services provided by the vendor must be
relevant to the users’ understanding of the service organization’s system,
and the controls in place at the vendor are necessary,
【 in combination with the service organization’s controls/independently from the service organization’s controls】
to provide reasonable assurance that the service commitments and system requirements are achieved.
供应商提供的服务
1必须与用户对服务机构系统的理解相关,
2供应商的控制措施必须与服务机构的控制措施相结合,以合理保证服务承诺和系统要求得以实现。
a declaration made to user entities about a system used to provide a service–>
system commitment/ system service
system commitment
a specification about how the system should function to meet the service commitments of a service organization.–>
system commitment/ system service
system service
A system requirement is established by service organization management while a service commitment is established by a user entity.
T or F?
F
The user entity does not establish service commitments. Both service commitments and system requirements are established by service organization management.
Which is not one of the three commonly used methodologies for threat models?
A. Evaluating and Processing Information Control (EPIC)
B. Process for Attack Simulation and Threat Analysis (PASTA)
C. Visual, Agile, and Simple Threat (VAST)
D. Spoofing, Tampering, Repudiation, Information disclosure, Denial-of-services attack, and Elevation of privilege (STRIDE)
【A】
選項 D 確實是描述攻擊種類的,而不是一個獨立的威脅模型。但在這個情境下,它被用來代表一種常見的威脅建模方法。因此,正確答案是選項 A,因為 EPIC 不是一個真實的威脅建模方法。
During a SOC 2® Type 2 engagement, Rathway Audit Consultants found concerns about the competency of the final review team at a payroll processing company. This concern is most relevant to which of the following?
A. Implementation of controls
B. Service organization’s description of the system
C. Competency is not a concern due to monitoring activities
D. Design of control
選擇 “D” 是正確的。在評估控制措施的設計是否合適時,服務審計師應該考慮,包括但不限於執行控制措施的個人的能力和權限。
選擇 “A” 是不正確的。控制措施可能已經實施,但缺乏能力會導致控制措施的設計存在問題。在這種情況下,即使實施了一個設計不佳的控制措施,它可能無法達到控制目標。
Which authorization model is best for a mid-sized organization seeking flexibility to analyze theoretical privileges based on actual ones?
A. Risk-based
B. Discretionary (DAC)
C. Policy-based (PBAC)
D. Role-based
正確答案是 “C”,政策基礎訪問控制(PBAC)。PBAC使用角色和規則組成的策略來動態維護和評估用戶訪問。它可以基於用戶的身份、角色、授權需求、清除度和風險等信息來評估訪問權限,相對於基於規則的控制更加靈活,可以允許分析基於實際權限的理論特權。隨著組織成長和政策變化,PBAC能更好地滿足更廣泛的訪問控制需求。
選項 “A” 是不正確的。風險基礎訪問控制是根據訪問的資產風險、用戶身份、訪問意圖和系統或資產之間的安全風險來應用控制。它對於高風險系統可能會有更嚴格的安全措施,但不如PBAC那樣提供靈活的理論特權分析。
選項 “B” 是不正確的。自主訪問控制(DAC)允許數據所有者或創建者管理他們自己的數據或對象的訪問。這種控制是分散的,允許所有者基於自己的判斷授予他人訪問權限,但不適合本題所述組織需要的靈活性。
選項 “D” 是不正確的。角色基礎訪問控制(RBAC)是根據用戶的職位角色而不是個別分配權限來管理訪問。雖然這在管理大量用戶時很有效,但不如PBAC那樣能夠動態地分析理論特權。
Which network security method involves limiting access to unauthorized devices uses a list of approved physical or hardware addresses?
A. Network isolation
B. Endpoint security
C. Media access control (MAC) filtering
D. Virtual private network (VPN)
选择 “C “是正确的。MAC 过滤是一种过滤方式,接入点使用已批准的 MAC 地址列表阻止未经授权的设备接入。MAC 地址也称为物理地址或硬件地址,是网络设备上的唯一标识符,用作与网络上其他设备通信的地址。
选择 “A “不正确。网络分段或隔离是控制网络流量的过程,使其无法访问或与外部通信或组织自身网络中的其他网段隔离。这种袖珍隔离形式可提高整体网络安全性。 _ +通道上的任何其他安全措施(如防病毒软件)是分开的。
选择 “D “不正确。虚拟专用网络(VPN)是建立在现有物理网络基础上的虚拟网络,利用隧道或互联网协议安全(IPsec)等加密协议提供安全通信手段。
the policies and procedures that are implemented to help assess whether the control environment initiatives are being implemented across the organization
control envaazxqweaddfzxa2ironment or control activities?
COSO內部控制框架中,最能描述為實施以幫助評估組織內控環境措施是否得以落實的部分是「控制活動」(control activities)
控制活動指的是那些已經設計好並實施的政策和程序,目的是確保管理的風險得到適當應對,並確保達成組織目標。這些控制活動是直接作用在業務過程中,確保控制目標的達成,包括預防性和檢查性控制措施。
Which attack is best described as an exploitation of the company’s network by forcing certain operations to execute outside of the appropriate order?
A. Race conditions
B. Timing channel
C. Backdoors
D. Trapdoors
【A】
竞赛条件是一种基于应用程序的攻击,攻击者通过迫使功能不按顺序或同时发生来利用软件。
Backdoor 和 Trapdoor 都涉及未經授權的系統訪問,但其設置目的和操作方式不同。Backdoor更多與惡意訪問相關,而Trapdoor則通常是系統設計的一部分,可能用於合法操作,但存在被濫用的風險。
Savestone Inc. has created a plan with their IT provider to handle long-term outages due to resource destruction. Which concept does this plan address?
A. Change management
B. Business resiliency
C. Disaster recovery
D. Business continuity
C. 災難恢復(Disaster recovery)。題目所描述的計劃專注於資源被毀壞後的長期中斷,這正是災難恢復的範疇。災難恢復計劃包括在災難發生後,如何恢復數據、IT設備、應用程序和其他企業資源,以確保系統的可用性和業務的持續運營。
D. 業務連續性(Business continuity)
業務連續性計劃(BCP)側重於維持或恢復公司產品和服務的持續交付。儘管它包含了災難恢復,但更強調的是在災難發生時保持業務運營。
Which COSO component and principle help focus on preventative controls due to the volume and speed of blockchain transactions?
A. Component: Control environment; Principle: Demonstrates commitment to integrity and ethical values
B. Component: Risk assessment; Principle: Identifies and analyzes significant change
C. Component: Control activities; Principle: Deploys control activities through policies and procedures
D. Component: Monitoring activities; Principle: Conducts ongoing and/or separate evaluations
【正確答案是 D. 組成部分:監控活動;原則:進行持續的和/或單獨的評估。這一原則強調的是通過持續監控活動來實現預防性控制,這對於處理區塊鏈上大量和快速的交易非常重要。持續的監控可以幫助及時識別和防止潛在的問題,避免不希望的事件發生。
Precision Business Advisors asks each customer to authorize saving their personal data after their case is closed. Which statement is true?
C. The request for authorization is outside the system boundaries.
D. The request for authorization is within the system boundaries.
選項D
解决保密和隐私问题的系统范围包括与客户数据管理有关的所有活动。这不仅包括数据的收集和使用,还包括获得保留或删除数据的明确同意。尽管删除数据可能是一种标准做法,但获得客户授权以保存或删除其数据是这一过程中的必要步骤,也属于系统范围。这一流程可确保遵守隐私原则,并表明服务机构对保护客户数据的承诺。
data synthesis
數據綜合指的是將不同來源或類型的數據結合或整合,以創建新的見解、解釋或結論的過程。以下是一個例子來說明數據綜合的過程:
Calculating key anniversary dates based on each employee’s hiring date.
Which of the following represents key considerations when obtaining data from external sources?
C. Data integrity, data safety, and copyrights
D. Data completeness, data accuracy, and data integration
【C】
A victim of an attack initiates communication with an attacker from behind a firewall, which creates an environment that allows the attacker to bypass the firewall and other network safeguards remotely. This type of cyberattack is commonly referred to as which of the following?
B. Man-in-the-middle attack
C. Reverse shell attack
【C】
主要區別:
攻擊性質:中間人攻擊主要是截取和操控通信,而反向外殼攻擊則是通過入侵系統和建立遠程控制來進行攻擊。
攻擊目標:中間人攻擊旨在竊取或操控傳輸中的數據,反向外殼攻擊則旨在維持對系統的持久控制和遠程命令能力。
執行方法:中間人攻擊涉及截取網絡流量,通常要求攻擊者位於能夠截取通信的位置。反向外殼攻擊涉及獲取系統的初始訪問權限,並建立到攻擊者機器的連接。
what should do to meet the purpose of the respond to risk component?
A. Identify threats, vulnerabilities, potential harm, and the likelihood of harm.
D. Develop alternative risk response actions, evaluate them, consider actions within risk tolerance, and implement chosen responses.
正確答案為選項 D。這選項描述了根據組織的風險容忍度,發展、評估並實施適當的風險應對措施,符合NIST SP 800-39中「應對風險」組件的要求。
選項 A 誤解題目要求,應對風險組件實際上是關於如何應對已經辨識出的風險,而不是辨識風險本身。
The stage in a cyberattack in which an attacker proceeds with the primary objective of the fraud, such as stealing data, obtaining unauthorized access, or destroying resources, is called:
Exploitation and exfiltration
利用和渗透
Use processes and tools to assign and manage authorization to credentials for user accounts, including administrator accounts, as well as service accounts, to enterprise assets and software.
which control?
Control 05: Account Management
An attacker may create an illegitimate or phony device and introduce it to a company’s network, posing as an actual device, to gain information or access to that network.
what attack?
a relevant IoT cybersecurity threat that may impact key functions of a technology-driven business
可能影响技术驱动型企业关键功能的相关物联网网络安全威胁
