ISC２ Flashcards

Question

Spoofing. Piggybacking. An eavesdropping attack. A denial of service attack.

Answer 1

當然，這裡是每個攻擊類型的簡短例子： 1. **Spoofing（欺騙）**： - **例子**：一個攻擊者偽造電子郵件地址，發送一封看似來自公司CEO的郵件，要求員工提供敏感信息。 2. **Piggybacking（搭便車）**： - **例子**：一個沒有訪問權限的人尾隨合法員工進入受限制的辦公區域，利用合法員工刷卡進門的機會。 3. **Eavesdropping Attack（竊聽攻擊）**： - **例子**：攻擊者使用竊聽設備攔截兩個用戶之間的未加密Wi-Fi通信，獲取他們的敏感信息，如密碼和信用卡號。 4. **Denial of Service Attack（拒絕服務攻擊）**： - **例子**：攻擊者向一個網站發送大量的虛假請求，讓網站無法處理合法用戶的請求，導致網站崩潰或無法訪問。這些例子展示了每種攻擊類型的基本概念和操作方式。

Answer 2

**論理炸彈（Logic Bomb）**是一種惡意軟體，它在特定條件滿足時觸發並執行破壞性行為。這些條件可以是日期、時間、特定的系統事件，或某些程序被執行。論理炸彈通常被秘密地嵌入到合法的軟體或系統中，以便在特定條件下發動攻擊。 **特點**： 1. **隱藏性**：論理炸彈通常隱藏在正常運行的程式或系統中，很難被發現。 2. **觸發條件**：只有在特定條件滿足時才會被激活，這些條件可以是時間、日期或特定事件。 3. **破壞性**：一旦觸發，論理炸彈可能會刪除文件、損壞數據或使系統崩潰。 **例子**： 1. **特定日期觸發**：一個員工在公司軟體中嵌入了一個論理炸彈，設置在他被解僱的一周後觸發，刪除公司的重要數據。 2. **程序啟動觸發**：一個攻擊者在應用程序中嵌入論理炸彈，當某特定功能被使用時，它會啟動並執行破壞性操作，如格式化硬盤或刪除數據庫。 **防範措施**： 1. **代碼審計**：定期檢查和審計代碼，以確保沒有惡意代碼被嵌入。 2. **入侵檢測系統**：使用入侵檢測系統來監控和檢測異常活動。 3. **備份數據**：定期備份數據，以防止數據丟失。論理炸彈是一種具有隱蔽性和破壞性的惡意軟體，需要通過嚴格的安全措施來防範和檢測。

Answer 3

【A】 D應該是第四層各層攻擊的總結 1物理層：破壞實體設備 2數據鏈路層：MAC洪泛 3網絡層：IP洪泛、ICMP洪泛、Smurf攻擊 --通過發送大量IP包或ICMP請求使目標網絡設備過載，影響路由器和防火牆等設備。 4傳輸層：TCP SYN洪泛、UDP洪泛 --針對傳輸層協議（TCP和UDP），通過大量的連接請求或數據包使目標系統過載。 5會話層：SIP洪泛（針對VoIP） 6表示層：數據編碼或解碼操縱 7應用層：HTTP洪泛、DNS洪泛、Slowloris攻擊

Answer 4

社会工程学是指从心理上诱使他人采取犯罪者所希望的行动。利用人类行为而非系统漏洞（漏洞）的网络攻击（如网络钓鱼）属于社会工程学的范畴。不仅网络攻击，欺诈电话和窃听机密信息等也属于社会工程学的范畴。灌水漏洞攻击是社会工程学的一种，即劫持目标最喜欢的网站并设置陷阱（如点击点，点击后用户会感染恶意软件），迫使用户输入敏感信息。

Answer 5

正確的選項是： C. SIM hijacking, that is a fraudulent technique to gain control of a target's phone number. SIM卡劫持是與智能手機相關的網絡攻擊，這種攻擊通過獲取目標電話號碼的控制來實現。 A--短信（SMS）進行的網絡釣魚攻擊 B--Vishing 是指通過語音通話進行的網絡釣魚攻擊，通常是欺詐者假裝是合法機構，通過電話來誘使受害者提供敏感信息 D--Smurfing 是指一種DDoS攻擊技術，通過偽造源IP地址向目標網絡發送大量ICMP請求，導致網絡擁堵

Answer 6

Recon：這部分可以聯想到“Recognize（認識）”或“Recovery（恢復）”，表示在攻擊前對目標進行認識或準備恢復攻擊能力。 naissance：這部分與“naissance（誕生）”相似，可以表示攻擊計劃的“誕生”或“起源”。因此，“Reconnaissance”可以被理解為對目標的認識或偵察，是攻擊計劃的起點。

Answer 7

【C】選項 C 的確是 HIPAA 安全性與隱私規則中 "可用性"（availability）的定義，即資料或資訊能夠在授權人員需求時訪問和使用。選項 A 描述的是 TSC（Trust Services Criteria）中的 "可用性" 定義，這是更廣泛的框架，用於確保資料和系統的完整性和可用性以達成實體的目標。

Answer 8

DRP 是 BCP 的一部分，專注於 IT 系統和技術層面的恢復。

Answer 9

A. 解釋：這個選項涉及到數據的“相關性和適當性”原則。根據 GDPR，個人數據應該與處理目的相關並且適當，不應過度收集超出必要的範圍。 B. 解釋：這個選項涉及到數據的“準確性”原則。根據 GDPR，個人數據應該準確無誤，如有不準確或錯誤的數據，應該及時刪除或更正。 C. 解釋：這個選項涉及到數據的“目的限制”原則。根據 GDPR，個人數據應該為特定的、明確的和合法的目的收集，並且不得進行與這些目的不相符的進一步處理。 D. 解釋：這個選項涉及到數據的“存儲限制”原則。根據 GDPR，個人數據不應該被存儲超過實現處理目的所需的時間，即使是出於公共利益的存檔目的。

Answer 10

【A】 A--执行业务影响评估的团队成员应熟悉组织的业务流程。通常会选择组织内部负责这项工作的人员，但也可以外包给具有专业知识的顾问。 B--對象不應該是政府當局 C--復旧計画を確かめるための訓練は、BIAではなく、次の段階であるBCPやDRPのプロセスにおいて実施される。

Answer 11

STRIDEとは脅威モデリングの手法の一つであり、コンピュータシステムに対する脅威を以下の6つのカテゴリーに分類する。 S: なりすまし（spoofing） T: 改ざん（tampering） R: 否認（repudiation） I: 情報開示（information disclosure） D: DoS攻撃（denial of service） E: 権限昇格（elevation of privilege

Answer 12

[D] b, cは誤り。マルチポイント処理（multi-point processing）や非集中処理（decentralized processing）といった言い方は標準的なものではない。

Answer 13

[C] Aーーapplication control 测试系统的主要目的是评估系统的整体功能。因此，正确答案是 C。 A 错误。控制总数是应用程序控制测试。 b 不正确。系统文件的准确性不是测试阶段的主要目标。 d 不正确。确保系统操作员熟悉新系统不是主要目标。

Answer 14

Answer: D. Service auditor's recommendations to improve controls.

Answer 15

Answer: D. The entity provides training programs to ensure competency of personnel, contractors, and vendors. **錯誤選項的解釋：** **A.** 管理層使用各種評估，包括滲透測試、ISO認證和內部審計。 - **解釋：** 此選項側重於監控和評估控制有效性的活動，如滲透測試和審計。這些屬於持續監控和保證活動的一部分，而不是控制環境本身的基礎。控制環境更多的是關於管理層和員工對內部控制系統的總體態度、意識和行動。 **B.** 實體考慮新業務線、增長、外部依賴和新技術對內部控制的影響。 - **解釋：** 此選項涉及風險評估及業務環境變化對內部控制的影響。儘管考慮這些因素對於適應和維持有效控制至關重要，但這更多是關於理解和應對風險，而不是建立控制環境的基礎。 **C.** 負責系統控制的人員接收到關於其職責的必要信息和溝通。 - **解釋：** 此選項涉及內部控制的信息和溝通組件，確保人員了解其角色和職責。雖然溝通對控制的運行非常重要，但這不是控制環境的主要重點。控制環境更多的是由管理層設定的總體基調、組織的道德價值觀以及控制活動運作的結構。 **正確選項：** **D.** 實體提供培訓計劃以確保人員、承包商和供應商的能力。 - **解釋：** 此選項是正確的，因為提供培訓計劃以確保人員、承包商和供應商的能力是控制環境的一個基本方面。這反映了組織對能力的承諾以及對擁有知識和技能的個人能夠有效執行其控制職責的重要性。這與信任服務標準對控制環境作為所有其他內部控制組件基礎的強調一致。

Answer 16

【B】選項 A 的解釋基於組件模型，識別功能組件和關係的層級結構：這種方法確實是制定治理框架的一種方法，但它僅僅關注於框架的結構和內部組件的關係。雖然這是框架設計中的一部分，但並不足以全面涵蓋治理框架應具備的所有特性和要求。選項 B 的解釋對齊CIS Controls、COSO ERM Framework、CMMI、IIA原則及其他相關要求：這意味著該治理框架將參考和整合多種已經被業界認可的標準和框架，以確保其治理框架的全面性和適用性。對齊這些框架可以：提升一致性：保證企業治理框架和業界標準的一致性，從而提高框架的信任度和應用效果。滿足合規性：確保企業遵守相關法律法規和行業標準，降低合規風險。借鑒最佳實踐：從這些標準和框架中吸取最佳實踐，提高治理框架的有效性和效率。支持風險管理：COSO ERM Framework 等框架特別強調風險管理，對齊這些框架有助於企業更好地管理風險。

Answer 17

【C】 batch = same type

Answer 18

Procurement, manufacturing, warehouse and distribution. SCMは製造業における製品の製造から販売に至るまでのプロセスを一貫性のある方法で管理する手法である。具体的には原材料の仕入（procurement）、製造（manufacturing）、倉庫（warehouse）、流通（distribution）の各プロセスを一つの流れとしてとらえ、最適な製造・在庫・流通を決定する手法をいう。 ERPは上記のプロセスに関するデータを一つのデータベースで一括管理しており、SCMに有用なデータを提供する。

Answer 19

這句話反映了SOC（System and Organization Controls）報告中的一個重要原則，即服務審計師（service auditor）不需要與每個使用實體（user entity）保持獨立性，而只需要與服務組織（service organization）保持獨立性。具體知識點 1. 服務審計師的獨立性在SOC 1和SOC 2審計中，服務審計師必須對服務組織保持獨立性，以確保審計報告的公正性和客觀性。這是根據AICPA（American Institute of Certified Public Accountants）的職業道德規範和審計標準所要求的。 2. 使用實體的多樣性服務組織通常為多個使用實體提供服務。這些使用實體可能來自不同的行業和地區。服務審計師無需對這些使用實體逐一保持獨立性，因為其主要審計對象是服務組織本身，而不是這些使用實體。 3. 審計對象的範圍服務審計師的工作範圍集中在評估服務組織的控制環境和相關的控制措施是否設計和運行有效，以保障使用實體的利益。因此，獨立性要求針對的是服務組織，而不是使用實體。

Answer 20

【B】企业资源规划系统使用中央数据库集中管理日常交易数据，并立即与其他部门共享这些信息。这样就无需各部门之间进行协调，并加快了财务报告程序。此外，简化不同交易的数据记录，有利于从更广阔的角度进行业务分析，如供应链管理。 C--正確應該是紀錄常規交易

Answer 21

A 错误。这代表库存管理过程。 B 不正确。这代表客户关系管理 (CRM) 流程。 D 错误。这是财务流程。

Answer 22

【D】 A--會計系統ERP已經可以 B--涉及實物清點，光靠系統難以勝任

Answer 23

【B】 a 不正确；VAN 是专用网络，而互联网是公共网络。 c 不正确；VAN 一般比互联网昂贵。 d 不正确。在数据传输中收集趋势数据的能力不是 VAN 所固有的，因此不能被视为一种优势。

Answer 24

【C】在分布式数据处理系统中，连接到主系统（主机）的计算机位于不同的位置。因此，根据用户级别管理访问权限的访问控制（访问控制）非常重要。因此，正确答案是 C。

Answer 25

【A】电子邮件是一种办公自动化应用程序，可以在计算机之间发送、接收和存储信息，也是一种互联网使用方式。其功能包括回复、编辑、转发、发送、阅读和打印，以及删除、存档和扫描。电子邮件的优点是传输速度快，减少了准备信息的成本，而且可以在方便的时候发送和阅读信息。因此，正确答案是 A。 B 错误。存储转发语音是一种允许创建、编辑、发送、存储和转发语音信息的系统。 C 错误。桌面出版（DTP）是通过在个人电脑上执行排版等任务，然后用打印机打印出来，从而编辑书籍、报纸和其他出版物的过程。错误 D．数字通信（数字通信）是指利用计算机和互联网收集、处理、分析和传播信息。

Answer 26

【A】数据冗余是指在多个数据文件中存在相同的数据。由于多个部门独立收集数据，并以不同的名称和内涵进行管理，因此很难收集和整合跨部门的数据。因此，正确答案是 A。 b、c 和 d 不正确。这些都不是数据冗余造成困难的例子。

Answer 27

【D】数据库管理系统提供了一种查看数据的简单方法，无需了解记录数据的计算机即可处理数据，这种视图称为逻辑视图。因此，正确答案为 D。 A 错误。这不是对数据库管理系统的描述。 b 不正确。存储设备中数据组织和结构的表示方法称为物理视图。 c 不正确。用于访问数据库的语言。

Answer 28

【D】数据库的一个基本特征是应用程序与数据库结构无关。在编写使用数据库的程序或设计应用程序时，只需要所需的数据项。数据库管理系统（DBMS）负责所需数据项的定位和检索。因此，正确答案是 D。 A 错误。每个组织使用数据库开发必要的程序，而不是控制个别数据。 b 不正确。处理数据的技术由数据处理部门负责。 c 不正确：数据库管理系统并不比其他系统更安全。

Answer 29

【C】存档是指长期存储分析等工作完成后不再使用的数据。因此，正确答案为 c。 A 错误。备份是指存储业务运营所需的数据。存档则是存储不用于业务目的的数据，与备份不同。 b 不正确。存档的数据基本上从未用于业务目的，因此不会更新或分析。 d 不正确。要存档的数据包括因法律法规要求保存一段时间而不能立即销毁的数据。

Answer 30

C 是正确答案的主要原因是，当一个人同时处理数据录入和应用程序编程时，会产生直接的利益冲突和欺诈的可能性。选项 D 虽然不理想，但风险较小，因为质量保证更多的是监督和查错，而不是控制数据或系统。

Answer 31

【D】验收测试是软件开发的最后阶段，依次在系统测试（系统测试）完成后进行。因此，正确答案为 D。 A 错误。验收测试是测试开发的系统是否满足用户的要求，而不是由承包商决定是否接受合同。 b 不正确。自上而下和自下而上的方法是综合测试的方法；验收测试没有这种方法。 c 不正确。功能要求是在系统测试中验证的，而不是在验收测试中验证的。在验收测试中，是从系统是否符合用户要求、满足业务目标和履行合同要求（如服务水平协议）的角度测试系统的。单元测试（Unit Testing）：内容：测试单个功能模块或组件，确保其按预期工作。集成测试（Integration Testing）：内容：测试多个模块或组件的组合，检查它们之间的接口和交互。系统测试（System Testing）：内容：在完整的系统环境中进行测试，验证整个系统的功能、性能和可靠性。验收测试（Acceptance Testing）：内容：由最终用户或客户进行测试，确认系统满足业务需求和用户要求。

Answer 32

【C】 B--interaction 關聯性单元测试（Unit Testing）：内容：测试单个功能模块或组件，确保其按预期工作。

Answer 33

基线配置是一份描述系统服务、软件、硬件、设备和其他组件在某一特定时间点的状态和配置的文件，并经过正式审查和同意。它是一份经过正式审核和同意的文件。由于其创建和更新需要组织批准，因此，通过比较系统当前的配置设置和基线配置，可以发现未经批准的系统更改。因此，正确答案是 A。 b 不正确。变更管理策略（变更管理政策）规定了系统变更的程序和规则，并没有说明实际的系统变更是否经过批准。 c 不正确。服务级别协议（SLA）描述了公司提供服务的级别和目标，不能理解为系统更改是否获得批准。 D 不正确。快照是特定时间点的系统状态记录，但不是正式文件。比较快照可以显示是否进行了系统更改以及更改的性质，但不能读出系统更改是否已获批准。

Answer 34

【B】在制定基于情景的验收标准时，程序分为三个阶段：前提条件（given）、操作（when）和结果（then）。在本问题中，它们分别如下。

Answer 35

[D] 关于控制活动的问题，以减少新安装系统处理不准确的风险。交易的独立核实（确认）是降低处理不准确风险的最有效控制措施。因此，正确答案为 D。 a、b 和 c 不正确。这些都是重要的控制措施，但不一定能降低处理不准确的风险。

Answer 36

[C] 控制总额指的是财务数字的总和。因此，正确答案为 c。 a 不正确。校验数位是加在 ID 编号末尾的一个数字，是一种输入控制，用于检查数据是否因数据处理、传输等原因而被更改，以及是否可在系统中使用。 B 错误。缺失数据检查是一种控制，用于检查输入数据是否存在某些数据缺失。 D 不正确。hash总计是与数据项总和有关的检查。

Answer 37

【C】云计算指导委员会在机构风险管理中的作用是监督机构向云迁移的过程并监测云治理情况。应特别注意云服务是否使用了未经本组织信息技术部门批准的信息技术资源。在未进行充分验证的情况下使用云服务，可能会导致组织使用未经组织授权的 IT 资源。这类 IT 资源被称为影子 IT。因此，正确答案是 C。 A 错误。有关云服务投资的决策由首席执行官做出。 b 不正确。首席法务官负责监控立法的影响。 d 不正确。首席财务官负责评估云服务投资的成本和回报。

Answer 38

与审查和修订企业风险管理中的云计算性能有关的问题。使用云服务的组织应通过以下方式审查这类云服务的性能 1.审查云计算的管理流程。在此过程中可使用平衡计分卡。 2.根据服务水平协议（SLA）评估提供商的可用性。 3.获取提供商的 SOC 报告和审计报告。 4.评估与提供商有关的情况是否发生变化。关于上述第（4）点，还应评估不直接影响组织的情况变化。例如，如果医疗服务提供者被另一家公司收购，或者在医疗服务提供者内部发现了欺诈行为，这可能不会产生直接影响，但在未来可能会产生重大影响。因此，正确答案为 D。 A 错误。审查治理情况的是组织，而不是提供方（上述（1））。 b 不正确。与服务级别协议相比，必须评估提供商可用性的是组织，而不是提供商（上述（2））。 c 不正确。必须接受审计或出具 SOC 报告的是提供商（上文第（3）段）。

Answer 39

BCP 中的镜像旨在恢复因灾难而丢失的数据，而不是主要为了防止业务中断。

Answer 40

Correct Answer: D. Presents key cybersecurity outcomes to facilitate risk management. Explanation: The Framework Core of the NIST CSF is designed to present key cybersecurity outcomes to help organizations manage risks effectively. A is incorrect: The Framework Core is applicable to a wide range of organizations, not just non-governmental for-profit ones. B is incorrect: The NIST CSF is not intended to be a checklist but a flexible framework. C is incorrect: The NIST CSF does not offer a one-size-fits-all solution; it is adaptable to different organizations' needs.

Answer 41

解释： NIST 隐私框架旨在与 NIST 网络安全框架兼容和结合使用。这样，企业就可以将隐私风险管理和网络安全风险管理完美地结合起来。以下是其他选项不正确的原因： A 不正确：虽然隐私框架确实涉及活动、结果和参考，但陈述过于笼统，没有抓住 D 中强调的独特整合方面。 B 不正确：五个功能（识别、保护、检测、响应、恢复）是 NIST 网络安全框架的特定功能，而不是隐私框架。 C 错误：虽然隐私框架有类别和子类别，但它们不一定与网络安全框架的类别和子类别直接对应。隐私框架有自己独特的结构。 D 中强调的正确方面强调了框架的兼容性，使组织能够有效管理隐私和网络安全风险。

Answer 42

A.联邦信息安全现代化法案》（FISMA）。解释： NIST 特别出版物 800-53 提供了联邦信息系统和组织的安全和隐私控制目录。它主要用于支持《联邦信息安全现代化法案》（FISMA）的实施。 B 错误：虽然 HIPAA 要求采取特定的安全措施来保护健康信息，但它不是 NIST SP 800-53 的主要重点。 C 不正确：SOX 法案的重点是财务报告和公司治理，而不是 NIST SP 800-53 中特别列出的信息安全控制措施。 D 错误：COBIT 是企业 IT 治理和管理框架，但不是 NIST SP 800-53 中控制措施的基础。

Answer 43

【B】 HIPAA 规则中有两类规定："要求 "和 "可处理"。这里的 "可处理 "规定是指，如果适用实体确定该规定不合理、不适当，则允许其采用更合理、更适当的替代措施。因此，正确答案为 b。 a 不正确。这并不意味着可以任意应用该规则（可选），而是说如果确定该规则不合理且不适当，则必须应用替代措施。 C 不正确：HIPAA 规则不仅适用于受保实体（承保实体），也适用于其相关方（业务合作方），尽管在某些情况下，"可指定 "条款同时适用于受保实体和相关方。 D 错误。没有这个意思，"可指定 "条款是 HIPAA 规则规定的一部分。

Answer 44

【C】应用防火墙在 OSI 模型的更高层运行，可以根据特定的应用数据检查和过滤流量，从而实现更细粒度的控制，并能够执行特定用户策略，包括额外的身份验证措施。

Answer 45

【C】 DLP 工具旨在检测和防止未经授权访问、使用或传输敏感数据，从而保护数据不被泄露，并确保关键信息在组织内得到妥善处理。 a 不正确；DLP 主要关注保密性，而非处理完整性。 b 不正确；DLP 的重点是防止和检测数据泄露，如数据盗窃、未经授权的使用和未经授权的披露，而不是主要检测数据获取方式的泄露。 d 不正确；使用 DLP 的目的是遵守与个人数据保护相关的法律法规，如 HIPAA、PCI DSS、GDRP 等。

Answer 46

入侵防御系统 (IPS) 可检测网络中的未授权行为并阻止网络。与基于签名的 IPS 相比，基于anomaly异常的 IPS 更有可能检测到零日攻击，因为它们遵循某些规则来识别未经授权的行为。因此，正确答案是 b。 a 不正确。入侵检测系统（IDS）只能在检测到未经授权的访问时向管理员发出警报，但没有关闭网络的能力。因此，仅靠 IDS 无法防止网络攻击。 C 错误。基于签名的 IPS 根据过去的网络攻击模式检测未经授权的行为，可能无法检测到尚未建立解决方案的零日攻击。 d 不正确。这里的隔离是指反病毒软件隔离受病毒感染的文件和电子邮件以防止它们感染计算机的功能。换句话说，它是在网络攻击发生后提供帮助的功能，而不是预防网络攻击的功能。

Answer 47

【A】漏洞管理通常涉及软件和硬件漏洞的识别、分类、补救和缓解。使用自动漏洞扫描软件是有效识别潜在安全漏洞的常用方法。渗透测试虽然对安全很重要，但更多的是测试和利用漏洞，而不是持续管理和系统地解决这些问题。

Answer 48

管理層在描述實體的網絡安全風險管理計劃時，應披露實體的主要網絡安全目標，包括： A. Availability, confidentiality, integrity of data, and integrity of processing. 這些目標涉及數據的可用性、機密性、完整性以及處理的完整性，這是網絡安全風險管理計劃的核心要素。

Answer 49

【C】机构风险管理中的风险偏好是指公司为实现价值而愿意接受的风险程度。高风险偏好意味着公司愿意接受高水平的风险，或换句话说，不必采取行动来减轻风险。例如，对于那些对实现公司主要业务目标并不关键的资产，风险偏好可能会很高，因为从成本效益的角度来看，公司很可能会决定不敢应对风险，接受更高的风险。因此，正确答案是 C。 A 错误。公司核心业务所依赖的技术对公司更为重要，因此需要采取应对措施来降低风险，这被认为会导致较低的风险偏好。 b 不正确。如果一家公司很早就扩大了业务，并预期会面临较高的市场声誉风险，它就需要考虑采取行动来减轻风险，其风险偏好就可能较低。 d 不正确。风险承受能力是在确定风险偏好后用于制定业务目标的风险承受能力，因此风险偏好不是根据风险承受能力确定的。

Answer 50

【B】 A. Trust Services Criteria 是 COSO 框架的補充標準，適用於 SOC 1 服務機構的控制評估和報告。這個選項表示 Trust Services Criteria 是 COSO 框架的補充標準，專門適用於 SOC 1 engagement，也就是對服務機構的控制進行評估和報告，這些控制與用戶實體的內部控制有關。 B. Trust Services Criteria 使用 COSO 框架的原則，但對每個標準提供了額外的重點。這個選項說明 Trust Services Criteria 基於 COSO 框架的原則，但在每個標準中增加了額外的重點，以提供更具體的指導。 C. Trust Services Criteria 包括補充 COSO 控制環境原則的附加標準和重點。這個選項表示 Trust Services Criteria 不僅使用 COSO 框架的控制環境原則，還補充了一些附加標準和重點來增強這些原則。 D. 使用者應評估 Trust Services Criteria 和 COSO 框架的每個重點是否得到解決。這個選項強調使用者在應用 Trust Services Criteria 時，應該評估每個 COSO 框架中的重點，以及 Trust Services Criteria 中的附加重點是否得到了適當處理。

Answer 51

【A】 5個方面 1.Security (安全性) Protects system and data from unauthorized access and disclosure. only common criteria！ 2.Availability (可用性) Ensures system availability and service continuity. 3.Processing Integrity (處理的完整性) Ensures completeness, validity, accuracy, timeliness, and authorization of system processing. 4.Confidentiality (機密保持) Protects sensitive information from unauthorized access. 5.Privacy (私隱) Manages 【personal information】 to meet privacy laws and policies. D--因为保密类别的附加标准没有具体划分为八个子类别。虽然 "信任服务标准"（TSC）确实包括详细的保密标准，但并没有明确将其划分为八个具体的子类别。

Answer 52

【D】 TSC 包括通用标准和针对具体类别的附加标准。通用标准适用于整个 TSC 类别（TSC 所适用系统的目的），而附加标准则适用于详细审查单个类别时，例如根据工作性质。从 "与处理有关 "这一短语可以看出，问题文本中引用的标准与处理完整性有关。这意味着该标准专门适用于技术服务类别中的加工完整性，是一项附加标准。因此，正确答案为 D。

Answer 53

【D】 Trust Services Criteria（TSC）的通用標準（Common Criteria）包括以下幾個方面，這些標準是適用於整個TSC的： 1.Communication and Information（溝通和信息）：確保有效的溝通和信息流動，包括確保產品和服務的使用所需的信息是準確和及時的。-- C 2.Risk Management（風險管理）：確定和評估相關風險，並制定適當的應對措施來減少風險對目標達成的影響。--B 3.Control Environment（控制環境）：創造和維護一個有效的內部控制環境，包括管理層對控制的承諾和組織對控制的態度。 4.Monitoring Activities（監控活動）：實施監控活動來評估內部控制的有效性和執行情況，並進行必要的調整和改進。--A 5.Logical and Physical Access Controls（邏輯和物理訪問控制）：確保對系統和數據的訪問是合法和適當的，並保護系統免受未經授權的訪問。

Answer 54

1+3 “P series”は以下の8つのカテゴリーに分類される。 �) 目的の通知及び伝達（notice and communication of objectives） �) 選択と同意（choice and consent） �) 収集（collection） �) 使用、保持及び廃棄（use, retention, and disposal） �) アクセス（access） �) 開示及び通知（disclosure and notification） �) 品質（quality） �) モニタリング及び強制（monitoring and enforcement）

Answer 55

SSAE AT-C 320 列出了 SOC 1 业务描述的最低要求。这些要求包括 "服务机构控制环境的其他方面、风险评估以及与服务机构提供的服务相关的内部控制的其他组成部分（包括服务机构的控制环境、风险评估、信息和通信（包括相关业务流程）、控制和沟通）"。服务机构的管控环境、风险评估程序、信息和沟通（包括相关业务流程）、管控活动的其他方面，以及与服务机构提供的服务相关的监控活动。与所提供服务相关的监控活动）"。因此，正确答案为 D。 a 不正确。这句话不是关于财务报表，而是关于受托公司提供服务的程序。 b 不正确。服务承诺和系统要求是 SOC 2 和 SOC 3 操作中特有的概念，不适用于 SOC 1 操作。 c 不正确：信托服务标准不适用于 SOC 1 业务。

Answer 56

未经授权的访问、信息泄漏、系统故障或其他导致公司服务承诺和系统要求无法履行的事件被称为系统事件，其中需要承包商公司做出响应的事件被称为系统事故（system incidents）。在管理层对承包商系统的描述中，必须披露与 SOC 2 操作控制有关的系统事件。本问题中的 SOC 2 工作与可用性有关，拒绝服务 (DoS) 攻击就是可用性相关系统事件的一个例子。这是一种网络攻击，即一次性发送超过系统处理能力的大量数据，从而降低系统功能并中断其运行。因此，正确答案为 D。 a 不正确。这被认为与处理完整性有关。 b 不正确。这被认为与保密或隐私有关。 c 错误。这被认为与隐私有关。请注意，a、b、c 和 d 也被认为与安全性有关。

Answer 57

在标准作业程序中使用包容性方法时，说明应包括以下内容子服务组织所提供服务的性质。子服务组织的必要控制措施，结合子服务组织的控制措施，合理保证满足子服务组织的服务承诺和系统要求。结合服务组织的控制措施，合理保证服务组织的服务承诺和系统要求得以实现。与服务机构的控制措施相结合，合理保证服务机构的服务承诺和系统要求得以实现）子服务组织的必要控制措施，结合服务组织的控制措施，合理保证服务组织的服务承诺和系统要求得以实现子服务组织的基础设施、软件、人员、程序和数据的相关方面 iv) 可归属于子服务组织的系统部分。根据上文 iii)，正确答案为 C。 a、b 不正确。只有在采用 "分割 "方法时才需要这些内容。 d 不正确。说明重新委托实体的控制措施，这些措施需要与委托实体的控制措施结合起来，而不是委托实体的控制措施（见上文 ii）。包容性方法 (Inclusive Method) 總結：服務組織描述包含次服務組織的相關控制和系統元素。例子：A公司使用B公司作為其數據存儲服務。A公司的SOC 2報告詳細描述了B公司的基礎設施、軟體、員工、程序和數據，因為A公司採用了包容性方法。除外方法 (Carve-Out Method) 總結：服務組織描述排除次服務組織的控制，並披露其存在。例子：A公司使用B公司作為其數據存儲服務。A公司的SOC 2報告中不詳細描述B公司的控制，只是提到B公司提供數據存儲服務，因為A公司採用了除外方法。

Answer 58

[D] SOC 1 运作的主题是管理层对受托公司系统的描述以及与描述相关的内部控制。因此，风险评估的重点是与作为描述主题的控制措施相关的固有风险。例如，新的或已变更的控制措施、系统变更、处理量的重大变化、主要管理层或人员的变更、新产品或新技术（新的或已变更的控制措施、系统变更、处理量的重大变化、新人员或新技术的重大变化）。新产品或技术）等。因此，正确答案为 D。 c 不正确；SOC 1 工作的主题只是书面说明，而不是财务报表。因此，受委托公司财务报表中的项目不太可能成为风险评估的直接对象。

Answer 59

[B] 分析：基线承诺（Baseline Commitments）：这些是服务组织针对所有客户都必须满足的基本承诺。个别承诺（Individual Commitments）：这些是为了满足某些特定客户的需求而额外作出的承诺。结论：在TSC中，承诺不仅包括基线承诺，还包括为满足个别客户需求而设立的额外承诺。因此，B选项正确地反映了管理层在TSC中对承诺的定义和描述。 C 错误。关于系统应如何运作以实现承诺的说明称为 "系统要求"，而不是 "系统目标"。

Answer 60

【C】正确答案是 C。包容性方法涉及子服务组织的控制，因此审计师需要服务组织和子服务组织的书面陈述。

Answer 61

【B】差异摘要：选项 B：服务组织控制措施的有效性取决于子服务组织的控制措施。这反映了服务组织的控制环境与子服务组织的控制环境融为一体。选项 C：独立评估服务组织的控制措施，明确将子服务组织的控制措施排除在评估之外。这反映了服务组织的控制与子服务组织的控制之间的分离。正确答案：对于 SOC 1 业务约定中的 "例外 "方法，服务审计师需要说明服务组织控制措施的有效性取决于补充子服务组织的控制措施。这种依赖性意味着，只有当子服务组织的控制措施也有效时，服务组织的控制措施才能被视为有效。

Answer 62

【D】可衡量性要求：审计师要对控制目标进行有效评估，该目标必须是可衡量的。这意味着应该有明确的标准或规范，审计师可以据此衡量控制的有效性。模糊术语：控制目标中的 "充分 "一词是模糊和主观的。它没有提供具体的、可衡量的标准来说明什么是适当的物理访问控制。确定控制目标是否合理的标准与确定标准适用性的标准相同。换句话说，如果控制具有以下特征，那么它就是合理的。 1) 与基本主题相关。 2) 客观 3) 可衡量 4) 完整。

Answer 63

【B】 SOC 2 报告中的 "其他信息 "部分可能包括 1.与服务水平协议 (SLA) 相关的绩效指标。 2.有关服务机构的实践、成就或未来计划的补充说明。 3.用户或客户的评价和反馈。 4.有关服务机构对持续改进或未来提升的承诺的信息。 5.有关服务机构业务环境和市场地位的一般信息。

Answer 64

【A】 SOC 3 报告最初是发布给一般用户使用的。然而，由于缺乏有关系统边界、服务承诺和系统要求的信息，不了解承包商系统的用户无法正确理解报告的范围，这超出了 SOC 3 报告的初衷，因此限制了报告的受众（通常是承包商及其董事会）。报告的受众仅限于董事会。因此，正确答案是 A。 b 不正确。如果对工作范围的限制是重大且广泛的，则受委托的审计师会在报告中表示无法表示意见。 c 不正确。如果管理层没有向签约审计师提供书面确认，这就构成了工作范围限制，签约审计师应在报告中表达保留意见或无法表示意见。 d 不正确，因为 SOC 3 报告范围中包括的服务承诺是对受托人大多数客户的主要服务承诺，而对特定客户的服务承诺不包括在 SOC 3 报告范围中。SOC 3 报告的范围不包括对特定客户的服务承诺。

Answer 65

Remembering Tips: CSF 網絡安全框架--網安架- RR哋 recover response detect PF 隱私框架-私架- CCG（私私架） control communicate govern

Answer 66

【A】选项A：Control 12: Network Infrastructure Management 【安全管理网络基础设施：确保网络设备的安全配置和管理，包括路由器、交换机、防火墙等。【确保网络基础设施更新：定期更新和补丁管理，以修复已知的漏洞和安全缺陷。【建立和维护安全的网络架构architecture：设计和实施一个安全的网络架构，确保网络分段和访问控制。选项C：Control 13: Network Monitoring and Defense 【收集网络流量日志：监控和记录网络流量，以检测异常活动和潜在的威胁。【管理远程资产的访问控制：确保远程设备和用户对网络资源的访问是受控和安全的。【集中安全事件报警：将安全事件的警报和日志集中管理，以便及时响应和处理。

Answer 67

Cybersecurity Framework (CSF)- Privacy Framework (PF)- -Protect (PR) - 数据保护政策、流程和程序 - 身份管理、身份验证和访问控制，变更管理，冗余保障和访问以及定期更新

Answer 68

Cybersecurity Framework (CSF)-Detect (DE) 确定了检测主动网络安全攻击所需的工具和资源。

Answer 69

Cybersecurity Framework (CSF)-Respond (RS)

Answer 70

Cybersecurity Framework (CSF)-Recover (RC) 通过修复设备、恢复备份文件或环境以及让员工采取正确的应对措施来支持网络恢复正常运行。

Answer 71

Cybersecurity Framework (CSF)- Privacy Framework (PF)- Identify (ID) 创建组织用于支持信息处理操作的资产的规范记录。公司网络的恢复工作在 NIST 框架核心的 "恢复 "部分进行。组织如何回答公司与数据处理活动相关的隐私风险是什么

Answer 72

Privacy Framework (PF)-Govern (GV)與風險相關 - 治理政策、流程和程序 - 风险管理战略 - 认识和培训 - 监督审查帮助组织确定与数据处理活动相关的隐私风险的最佳治理结构。

Answer 73

Privacy Framework (PF)-Control (CT)與數據相關 - 数据处理政策、流程和程序 - 数据处理管理 - 分离处理帮助组织确定与数据处理活动相关的隐私风险的最佳管理结构。

Answer 74

Privacy Framework (PF)-Communicate (CM)

Answer 75

Evaluate, Direct, and Monitor (EDM) benefit對應evaluate 确保管理框架的建立和维护，确保效益的实现，确保风险的优化，确保资源的优化，确保利益相关者的参与。

Answer 76

Build, Acquire, and Implement (BAI) 項目，IT變化

Answer 77

Deliver, Service, and Support (DSS) 運營，問題管理运营、服务请求和事件、管理问题、管理连续性、管理安全服务和管理业务流程控制。

Answer 78

Align, Plan, and Organize (APO) 戰略創新預算管理数据、IT 基础设施和架构、预算编制和风险

Answer 79

【D】选择 "D "是正确的。信息系统审计与控制协会（ISACA）制定了《信息及相关技术控制目标》（COBIT），以帮助企业管理、优化和保护 IT 资产。最新版本的 COBIT 2019 可以通过使用其设计因素和重点领域，为各个企业的治理系统量身定制。 11 个设计因素之一是 IT 在公司中的作用，分为四个类别：支持、工厂、周转和战略。被归类为 "周转 "的 IT 系统可以推动企业的创新，但对核心业务并不重要。选择 "A "是错误的。支持系统是指辅助系统。因此，该分类下的系统故障不会导致业务运营或创新严重受损。

Answer 80

【A】 b-- Actively manage (inventory, track, and correct) all software (operating systems and applications) on the network so that only authorized software is installed and can execute, and that unauthorized and unmanaged software is found and prevented from installation or execution.

Answer 81

A. Masking 掩码处理：通过用虚假但看似真实的数据替换真实数据来保护敏感信息，同时保持数据的格式。 B. Data Loss Prevention 数据丢失防护（DLP）系统通过控制用户可以传输的数据来监控、检测和防止数据泄露。虽然它可以保护敏感数据，但并不是一种数据混淆方法。 C. Tokenization 这是一个正确的定义。令牌化是指将敏感数据替换为无利用价值的非敏感等价物（称为令牌）。原始数据存储在安全位置，系统中只使用令牌。 D. Encryption 使用加密算法对数据进行加扰，使其只能通过正确的解密密钥读取。

Answer 82

【C】 A. User behavior analytics (UBA) tools 解释：用户行为分析工具监控、分析和解释用户活动，以检测模式和/或异常。这种工具确实是组织用于检测事件的技术。错误：因为UBA工具确实是一种检测方法，所以它应包含在IRP中。 B. Anomaly detection 解释：异常检测是用于识别数据中的异常模式，从而检测潜在的安全事件。这也是一种检测事件的常用技术。错误：因为异常检测是检测方法之一，所以它应包含在IRP中。 C. Incident response roadmap 解释：事件响应路线图是指为提升事件响应能力而制定的计划和步骤。这是一个规划和改进的工具，而不是一种检测技术。正确：因为路线图不属于检测方法，所以它不应包含在IRP中的检测方法部分。 D. Intrusion prevention system 解释：入侵防御系统用于检测和阻止网络攻击，是一种用于检测和预防事件的技术。错误：因为入侵防御系统是检测方法之一，所以它应包含在IRP中。

Answer 83

【A】威胁建模是对组织的 IT 基础设施、系统和应用程序的网络安全威胁进行识别、分析和缓解。威胁建模一般分为以下五个阶段：识别资产、识别威胁、进行减少分析、分析攻击的影响、制定对策和控制措施，以及审查和评估威胁模型。资产识别包括清点所有需要防范威胁的资产。根据这些信息，可以调整其他阶段，以保护有价值的资产。

Answer 84

Independence is required for reporting under the inclusive method. Therefore, a lack of independence would result in the carve-out method of reporting. 換言之，The service auditor is not independent from the subservice organization.這種情況下最有可能使用carve-out的辦法

Answer 85

It implies that something is inferior or not up to the mark. Below standard Inadequate

Answer 86

说明：选择 "A "是正确的：选择 "A "是正确的。确定 MTD 和 MTTR 发生在 "确定恢复优先级 "步骤中。这涉及制定恢复策略优先级的衡量标准。选择 "B "不正确。确定关键资源涉及识别关键功能和确定必要的 IT 资源，而不是计算 MTD 和 MTTR。选择 "C "不正确。估计损失涉及概述风险和分配概率，而不是确定 MTD 和 MTTR。选择 "D "不正确。定义中断影响涉及确定和评估服务中断影响，而不是确定 MTD 和 MTTR。答案：A：A. 确定恢复优先级。

Answer 87

【选择 "C "是正确的。关系数据库包含业务流程的所有必要数据，有助于确保完整性。选择 "A "不正确。虽然关系数据库使用行和列，但这并不是关系数据库独有的，平面文件也是如此。选择 "B "不正确。关系数据库的目的是减少冗余数据，而不是增加冗余数据。选择 "D "不正确。汇总数据是元数据的一个特征，而不是关系数据库的独特优势。元数据（Metadata）是关于数据的数据，它描述和总结了主要数据的特征和属性。答案：C 假设我们有一个学校的数据库，要存储学生和课程的信息。每个学生有一个唯一的学生ID。每门课程记录了学生的ID，表示哪位学生选了这门课程。通过学生ID这个字段，我们可以把学生表和课程表关联起来。例如，我们可以查询出Alice选了哪些课程。这样，关系数据库通过这种方式将不同表中的数据关联起来，便于数据的组织、管理和查询。

Answer 88

Control 02: Inventory and Control of Software Assets

Answer 89

Control 06: Access Control Management 描述使用流程和工具创建、分配、管理和撤销企业资产和软件的用户、管理员和服务账户的访问凭证和权限

Answer 90

Control 08: Audit Log Management

Answer 91

Control 10: Malware Defenses.

Answer 92

Control 16: Application Software Security 管理内部开发、托管或收购软件的安全生命周期，在安全漏洞对企业造成影响之前对其进行预防、检测和补救。

Answer 93

Control 14: Security Awareness and Skills Training

Answer 94

Control 12: Network Infrastructure Management

Answer 95

Permanently removing from storage systems.

Answer 96

【C】创建或捕获数据是数据生命周期的第一步，可通过多种方法收集数据，包括提取、转换和加载（ETL）、主动数据收集和被动数据收集。创建或捕获数据是数据生命周期的第一步，可以通过多种方法收集数据。其中有三种方法：(1) 提取、转换和加载 (ETL)；(2) 主动数据收集；(3) 被动数据收集。

Answer 97

這道題目考察的是SQL中不同的連接（join）類型的應用。具體來說，問題要求從一個包含 Customers 表和 SalesOrder 表的資料庫中，僅檢索那些有對應銷售訂單的客戶資料。正確的選擇是選項 D，即 INNER JOIN。INNER JOIN會返回兩個表中都有匹配記錄的資料，這樣可以確保只有那些有對應銷售訂單的客戶資料被檢索出來。其他選項的解釋如下：選項 A（FULL JOIN）會返回兩個表中的所有記錄，不管是否有匹配。選項 B（RIGHT JOIN）會返回右表（SalesOrder）中的所有記錄，不管是否有對應的左表（Customers）記錄。選項 C（LEFT JOIN）會返回左表（Customers）中的所有記錄，不管是否有對應的右表（SalesOrder）記錄。因此，題目考察了SQL中不同連接類型的特點及其在特定情境下的應用。

Answer 98

這道題目考察的是資料庫操作中的內部連接（inner join）概念。內部連接是一種資料合併方式，它只保留兩個資料集中共有的記錄。根據題目描述：第一個資料集有 500 條記錄。第二個資料集有 400 條記錄。兩個資料集中共有 175 條匹配的記錄。當進行內部連接後，結果資料集中的記錄數量是這些共有的匹配記錄數量，即 175 條。因此，答案是選項 D，結果資料集中的總記錄數量為 175。

Answer 99

這道題目考察的是ETL（Extract, Transform, Load）過程中各個步驟的功能及定義。具體來說，題目描述了一名業務員工在數據倉庫中準備和清理數據，以便其他業務分析師和數據科學家生成報告和獲取洞察。根據題目描述：業務員工執行的步驟是哪一步驟？正確答案是選項 A，即 Loading。在ETL過程中，Loading（加載）是指將經過準備和清理的數據載入到用於分析、報告生成和洞察收集的工具中。這一步確保數據可以有效地供後續分析使用。其他選項的解釋如下：選項 B（Conversion）通常指的是在轉換過程中改變數據的格式、結構或類型，而不是加載數據。選項 C（Transformation）是ETL過程中的第二步，指的是將從源數據中提取的原始數據進行清理、結構調整和轉換，以便後續分析使用。選項 D（Extraction）是ETL過程中的第一步，指的是從源系統中提取和檢索數據。因此，這道題目考察了在數據準備和清理過程中，ETL過程中各步驟的區別及其在整個數據管道中的作用。

Answer 100

人工智能算法

Answer 101

【A】 A--在恢復數據時，只需使用最近的完整備份和最近的差異備份即可。這使得恢復速度比完整備份快，但比增量備份慢。 B--在恢復數據時，需要使用最近的完整備份和所有增量備份，按照順序逐一恢復。這可能會比差異備份恢復速度稍慢，因為需要應用多個增量備份。

Answer 102

[A] 根据COSO的企业风险管理框架，管理层应将云服务提供商的治理与现有风险管理政策整合，而非保持独立的风险管理策略。这有助于增强公司对云服务提供商的责任感，并实现更统一的风险管理策略。

Answer 103

B. 提供商的垂直可扩展性。 scale+ability=可擴大規模的能力垂直可扩展性是指系统通过在单个服务器或节点内增加更多资源来提高容量的能力。虽然可扩展性对性能和可用性很重要，但它与评估云服务提供商的数据安全措施没有直接关系。

Answer 104

【A】在规划阶段，组织要评估是否需要新的或改进的信息系统。选项 "B "不正确。在分析阶段，从所有重要的利益相关者那里收集信息，以全面汇编和分析最终用户的需求。选择 "C "不正确。在设计阶段，项目将开始设计系统，以满足商定的用户需求。选择 "D "不正确。在开发阶段，将执行前几个阶段制定的技术实施计划。

Answer 105

選項 D 是正確的：缺乏應用程序的可移植性（供應商鎖定）。擁有退出策略可以確保組織在需要時能夠切換到另一個雲服務提供商，避免被單一供應商困住。選項 A 是錯誤的：服務級別協議（SLA）違反。SLA 本身已經包含了在違反時退出的條款，因此不需要額外的退出策略來處理這種風險。選項 B 是錯誤的：有利的監管變化。這些變化通常對公司有利，不需要退出策略來應對。選項 C 是錯誤的：不利的運營預算差異。這可能促使公司尋找更便宜的供應商，但這不是退出策略的主要風險。退出策略主要是針對避免供應商鎖定的風險。

Answer 106

這道題考查的是對 ETL（抽取、轉換和載入）數據收集方法的理解。 **正確選項是 C**：ETL 涉及從其原始來源提取現有數據，將其轉換為有用的信息，並加載到分析工具中。這是 ETL 過程的完整描述。其他選項解釋如下： **選項 A 是錯誤的**：這描述的是數據清理，即去除不必要的標題或小計，以防妨礙數據合成或分析，這與 ETL 無關。 **選項 B 是錯誤的**：這描述的是被動數據收集，例如通過 cookies 或時間戳收集信息，這與 ETL 無關。 **選項 D 是錯誤的**：這描述的是通過調查等主動與員工、客戶或用戶通信來收集新數據，這與 ETL 無關。總結來說，這道題考查的是對 ETL 過程的正確理解和區分其他數據收集方法的能力。

Answer 107

選項 B 是正確的：邊緣設備（Edge-enabled devices）。這些設備可以在發生請求的地方進行大部分或全部的計算，從而去中心化計算能力，不需要依賴中央服務器來處理任務。這種分佈式計算模式提高了網絡的效率和響應速度。選項 A 是錯誤的：網關（Gateways）。網關主要用於在不同網絡之間進行數據格式轉換，使得數據能夠在使用不同協議的網絡之間傳輸。它們的主要功能不是去中心化計算能力。選項 C 是錯誤的：路由器（Routers）。路由器的作用是根據數據包的來源和目的地，通過最有效的路徑將數據包路由到目的地。它們通常不進行像服務器那樣的計算功能。選項 D 是錯誤的：交換硬件（Switching hardware）。交換機連接網絡中的設備，允許數據在設備之間流動，但它們不進行計算或執行功能。

Answer 108

【A】 1) establish the BIA approach, 2) identify critical resources, 3) define disruption impacts, 4) estimate losses： ARO，ALE量化損失 5) establish recovery priorities： MTD，MTTR 管理层必须制定 MTD 和 MTTR 等指标，以确定恢复策略的优先级，并决定不同系统或应用程序可以停机多长时间而不会对组织造成灾难性损害。 6) create the BIA report, and 7) implement BIA recommendations.

Answer 109

【C】 1) establish the BIA approach, 2) identify critical resources, 3) define disruption impacts, 4) estimate losses： ARO，ALE量化損失 5) establish recovery priorities： MTD，MTTR 管理层必须制定 MTD 和 MTTR 等指标，以确定恢复策略的优先级，并决定不同系统或应用程序可以停机多长时间而不会对组织造成灾难性损害。 6) create the BIA report, and 7) implement BIA recommendations.

Answer 110

【D】 DLP 1.監控敏感數據使用、了解數據使用模式並獲得企業能見度 2.發展實施員工教育計劃 3.實施集中式的數據防失策略，並與各部門合作，監督整個組織的數據選項 D分散式的數據防失策略，並且在整個組織中只有有限的數據監督和責任分散給各部門，不符合數據防失策略的主要目標和最佳實踐。分散的方式可能導致數據管理和監控的不一致性，增加了數據丟失的風險。

Answer 111

[A] 首先只有A和B可能是正確的。鑑於題目有提供建議一說法，證明有缺陷，所以選other than satisfied而實不satisfied 风险等级通常与修复难易程度和估计工作量评估一起分配给发现的问题。低风险级别将被视为风险级别，它不会被分配到用于发现问题的程序中，也不会在 SAR 中披露。

Answer 112

【A】 A. 百分比完成培訓的員工和報告率 "完成培訓的員工百分比"是評估員工參與度的指標，表明員工是否積極參與安全培訓。 "報告率"則指員工在釣魚郵件模擬期間報告釣魚郵件的百分比，反映了員工對潛在安全風險的警覺性和反應能力。

Answer 113

[B] D-->Standard operating procedures (SOPs) are the lowest level of documentation that provide detailed instructions on how to perform specific security tasks or controls. These SOPs usually involve a combination of systems, software, and physical actions so that the goals of the security policy and standards are achieved.

Answer 114

A brute-force attack

Answer 115

Control Environment 高级管理层制定并推广信息安全政策，强调员工在保护公司资产方面的责任。

Answer 116

Control Activities 具体的网络安全措施，如访问控制、加密、审计跟踪和定期安全评估。

Answer 117

【C】選項A：基於規則的訪問控制選項B：基於角色的訪問控制選項C：自主訪問控制 (Discretionary access control) 定義：由數據所有者、保管人或創建者來管理他們擁有或創建的數據或對象的訪問權限。擁有者可以根據自己的判斷授予他人訪問權限，或根據需要將任務委派給其他保管人。適用：Brannon的訪問權限是由文件創建者自行決定授予的。

Answer 118

數據混淆方法 Tokenization removes production data and replaces it with a surrogate value.

Answer 119

Incident response costs事件响应成本 Cyber extortion loss网络勒索损失

Answer 120

多型態病毒 an example of a mobile code cyberattack 移动代码是一种软件程序，其设计目的是在计算机之间移动，通过某种方式改变其他应用程序，使其包含该代码的一个版本，从而 "感染 "其他应用程序。恶意移动代码通常被称为病毒，多态病毒就是其中的一种，它通过改变代码结构来避免被检测到。

Answer 121

Timing channel（時間通道）是一種側信道攻擊，攻擊者通過測量和分析系統操作所需的時間來獲取機密信息。這種攻擊利用系統執行不同操作時的時間差異，從而推斷出系統內部的某些狀態或數據。 Storage Channel存儲通道是一種側信道攻擊，攻擊者通過修改系統的存儲位置來傳遞信息，而不是通過測量時間來獲取信息。【Timing Channel（時間通道）例子: 攻擊者可以測量密碼驗證操作的時間。如果系統在輸入錯誤密碼時比輸入正確密碼時花費更多的時間，攻擊者可以通過多次嘗試來逐步推斷出正確密碼。【Storage Channel（存儲通道）例子: 高安全級別的過程將機密數據寫入一個共享文件的特定位置，低安全級別的過程可以讀取這些位置來獲取機密數據。這樣，機密數據就在不同安全級別之間被傳遞。

Answer 122

【D】 1. 檢查 (Examination) 分析: 檢查文件和系統設計，確保符合安全標準。觀察: 觀察工作流程和物理安全措施。審查: 審查員工職責和安全活動的實施情況。--》題目中提及🌟 2. 面談 (Interviewing) 個人面談: 與員工一對一面談，了解他們的工作和對安全的理解。小組討論: 組織多部門小組討論，收集安全控制的信息。 3. 測試 (Testing) 技術測試: 執行漏洞掃描和滲透測試，檢查系統安全性。功能測試: 測試安全措施是否有效。模擬測試: 模擬安全事件，測試應急響應能力。

Answer 123

【D】选择 "D "是正确的。漏洞管理包括识别、分类、减轻和修复已知的安全弱点。NIST 网络安全框架 (CSF) 包括五项功能：识别、保护、检测、响应和恢复。响应功能是 CSF 的组成部分，涉及对发现的漏洞做出反应。Biscalli 在发现漏洞后启动缓解工具修改代码的做法就是响应功能的一个例子，其目的是防止或减轻网络攻击的影响。选择 "A "不正确。恢复功能帮助组织从脆弱状态过渡到安全状态，但并不侧重于立即采取应对措施。选择 "B "不正确。识别功能涉及定位和识别漏洞。在这种情况下，已经进行了识别。选择 "C "不正确。保护功能涉及创建保障和预防措施，如访问控制和变更管理。Biscalli 的行动是被动的，而不是预防性的。

Answer 124

【A】選擇 "A" 是正確的。事件響應計劃中的步驟：準備、檢測、遏制、根除、報告、恢復和學習 Eradication (根除)，即第四步，發生在識別和分類任何偏離正常操作的情況之後。根除階段是消除威脅並恢復系統、文件和其他IT資產的階段。 B. Recovery refers to the process of bringing systems and operations back to normal after the incident has been managed and the threat eradicated.

Answer 125

【A】選擇 "A" 是正確的。對稱加密使用一個共享的或私有的密鑰來加密和解密數據。這個私有密鑰被群組中的所有成員用來加密和解密數據。這個密鑰可以是一個數字、一個字母，或者是一串隨機的數字和字母。對稱加密通常用於保護用戶設備與VPN服務器之間交換的數據。選擇 "B" 是錯誤的。密碼（Ciphers）是指應用加密算法將未加密消息編碼成加密形式的結果，而不是加密的類型。選擇 "C" 是錯誤的。非對稱加密涉及兩個密鑰：一個公鑰（用於加密）和一個私鑰（用於解密），通常不適用於用戶與VPN服務器之間的數據傳輸加密。選擇 "D" 是錯誤的。哈希（Hashing）是一種單向函數，主要用於數據完整性驗證，而不是加密或解密。

Answer 126

选择 "D "是正确的。在考虑最有可能用来测试假设的安全事件响应以与公司的事件响应计划进行比较的程序时，桌面演习（也称为模拟）将把事件当作实时发生的事件进行演练。桌面演习还可能使用雇佣的程序员来执行模拟攻击，以便观察响应情况。选择 "A "不正确。持续监控不是最有可能用来测试假设安全事件响应的程序。持续监控是指使用自动化工具，不断分析系统日志、网络流量和异常用户行为，以帮助促进对事件做出及时和充分的响应。选择 "B "不正确。定期审核不是最有可能用来测试假设的安全事件响应的程序。这将是对事件响应政策的定期或不定期审计，以帮助确定组织是否能够对事件做出适当响应。选择 "C "不正确。事件后审查不是最有可能用来测试假设安全事件响应的程序。这些审查与高级管理层和安全专家有关，他们可能会在实际事件发生后评估 IRP 的有效性，以及人员和技术是否符合 IRP。

Answer 127

【B】选择 "B "是正确的。合规目标以遵守政府法律和合规法规为基础。就网络安全而言，这包括遵守行业标准（如 NIST 发布的标准）、美国法规（如 HIPAA）和国际法律（如 GDPR）。选择 "A "不正确。网络安全目标不是 COSO 内部控制框架的目标组之一。三组目标是运营目标、报告目标和合规目标。选择 "C "不正确。运营目标包括绩效措施和保障措施，有助于提高组织的 IT 资产免受网络安全威胁和欺诈的可能性。它们侧重于业务运营的有效性和效率。选择 "D "不正确。报告目标与提高网络安全控制措施到位的可能性有关，因此不会影响内部和外部的财务和非财务报告。这些目标的重点是透明度、可靠性、及时性和可信度，由标准制定机构、监管机构和组织自身的政策决定。

Answer 128

Reporting objectives 报告目标侧重于确保组织的内部和外部财务和非财务报告透明、可靠、及时和可信。这些目标旨在提高报告的准确性和完整性，这对于维护利益相关者的信任和满足监管要求至关重要。

Answer 129

Operational objective

Answer 130

【D】处理完整性信任服务标准包括确保系统处理完整、有效、准确、及时，并获得授权，以实现实体的目标。交易授权控制是系统的一部分，应在系统范围之内。与处理完整性相关的系统边界可延伸至其他业务，如风险管理、内部审计、信息技术或呼叫中心流程。

Answer 131

F SOC 2® 类型 2 业务约定中的风险评估还应涵盖影响系统描述编制的风险，而不是业务约定期间所执行程序的充分性和适当性。 I. Preparation of the system description. II. The design of the service organization’s controls. III. The operating effectiveness of the service organization’s controls.

Answer 132

T The trust services criteria do set the outcomes (confidentiality, availability, processing integrity, privacy, and security) that should be met as a result of effective controls. Effective controls help an entity to achieve its objectives. 信托服务标准确实规定了有效控制应达到的结果（保密性、可用性、处理完整性、隐私性和安全性）。有效控制有助于实体实现其目标。

Answer 133

an explanation of what is required by the professional standards of the service auditor, 服务审计员专业标准的要求、 a statement that sufficient and appropriate evidence was obtained, 获得了充分和适当的证据、 and a statement describing the nature of an examination engagement. 说明检查工作性质的声明。

Answer 134

【B】当补充性用户实体控制措施与服务机构控制措施对实现既定控制目标必不可少时，应在 SOC 1® 报告的意见部分予以提及。管理层负责确定补充用户实体控制措施。服务审计师的报告将指出，如果补充性用户实体控制措施与服务组织控制措施一起对实现既定控制目标是必要的，则审查范围不包括这些补充性用户实体控制措施。

Answer 135

选择 "B "是正确的。SOC 报告的分割和包容方法涉及服务机构对补充性子服务机构控制的报告。选择 "A "不正确。补充用户实体控制措施不使用 "例外 "或 "包含 "方法进行报告。但是，它们确实会对 SOC 报告产生影响。选择 "C "不正确。SOC 报告的例外和包容方法涉及服务机构对子服务机构控制措施的报告，而不是是否限制使用 SOC 报告。选择 "D "不正确。服务审计师对服务机构控制措施的测试和结果包含在第 2 类《标准业务守则》报告中，但 "例外 "或 "包含 "方法用于确定如何列报子服务机构的控制措施。

Answer 136

Choice "B" is correct. The service auditor is not required to perform any procedures after the date of the SOC report but must respond appropriately to facts that may become known. The service auditor should use professional judgment to determine whether the subsequently discovered facts, had they been known as of the report date, may have caused the service auditor to revise the report.

Answer 137

【C】 A-->processing integrity B-->可用性 D-->confidenciality

Answer 138

选择 "C "是正确的。如果服务机构的管理层拒绝披露可能会误导报告用户的后续事件，服务审计师应修改报告（并披露该事件）或退出业务约定。选择 "A "不正确。服务审计师应考虑未披露的事件是否会误导报告用户，但如果管理层拒绝披露事件，这不是服务审计师应采取的适当行动。选择 "B "不正确。如果服务机构管理层不愿意披露会误导报告用户的后续事件，则不适合出具未经修订的报告。选择 "D "不正确。如果事件发生在业务约定覆盖期之后，可能影响系统描述或管理层的断言，并且发生在报告发布之前，服务审计师必须修改意见（并披露事件）或退出业务约定。

Answer 139

【A】管理层有责任在对系统的描述中详细说明任何系统故障的性质、程度和时间。 C-->the service auditor but not the management

Answer 140

【A】根據SOC 2®的要求，服務組織的管理層有責任在管理斷言或系統描述中披露任何在審計期後但報告發布前發生的重大事件。 B-->服務審計師應該就系統的整體合理性和控制設計的適當性發表意見，而不是詳細披露單個事件的細節 C-->控制測試和結果部分是由服務審計師進行具體的測試和評估，用於評估系統控制的有效性。

Answer 141

【User entities 】are responsible for 【implementing】 complementary user entity controls.

Answer 142

【B】 The description of the service organization's system is required to identify the nature of the services performed by a subservice organization under both the inclusive and carve-out methods. * inclusive method 要 control test carve-out method不要control test

Answer 143

【A】只有inclusive method需要書面聲明

Answer 144

選項A是正確的，因為在 SOC 1® Type 2 報告中，有關檢查未延伸至補充的使用者實體控制，且服務審計師未評估這些控制措施的設計或運行有效性的聲明應該包含在範圍部分。

Answer 145

选择 "B "是正确的。当服务审计师确定补充用户实体控制的应用对于实现管理层系统描述中所述的相关控制目标是必要的，并应用了分割方法时，范围和意见部分都应进行修改。修改审计范围段落是为了说明，只有在补充用户实体控制措施设计适当、运行有效的情况下，服务组织的控制目标才能实现，补充用户实体控制措施没有在审计范围内进行评估。审计意见段落还需要增加文字说明，审计意见假定补充用户实体的控制措施在特定期间得到了适当设计和有效运行。

Answer 146

**選項A：管理層的書面聲明** - **錯誤**。這種語言會出現在管理層的書面陳述engagementt中，而不是管理層的書面聲明assertions。管理層的聲明針對系統描述的公平性、控制設計的適當性，以及控制操作的有效性。書面聲明：側重於對系統和控制的正式陳述。書面陳述：側重於對審計過程中提供的信息和訪問權限的確認。 **選項C：管理層的書面陳述** - **正確**。這種語言會包含在服務組織管理層提供的書面陳述中，用來確認他們給予審計師的所有明示或暗示的陳述，並記錄這些陳述的持續適當性。

Answer 147

【C】选择 "D "不正确。虽然云恶意软件注入攻击可以在云环境中发起，但不适用于内部部署应用程序。

Answer 148

Explanation Summary: A is correct: De-identifying data by removing or obfuscating personal information reduces the risk of unauthorized access during data processing. B is incorrect: This relates to data storage, not processing. C is incorrect: This is about data deletion/purging, not processing. D is incorrect: This concerns data collection, not processing.

Answer 149

选项“A”是正确的。NIST SP 800-53《信息系统和组织的安全和隐私控制》是一套设计用于保护组织免受复杂威胁的控制措施。它分为20个不同的控制家族，这些家族与组织风险相关。SC（系统和通信保护）控制家族旨在保护系统和用户之间数据的非预期和未经授权的传输。这个家族的控制措施通过实施政策和程序、系统和用户功能的分离，以及各种其他专注于系统资源之间共享数据的安全机制来保护组织网络的边界。选项“B”是错误的。评估、授权和监控控制家族主要关于组织如何分析环境并利用这些发现来寻找威胁。它不关注防止系统之间数据的非预期传输。选项“C”是错误的。PII处理和透明度控制家族集中于管理和保护在公司系统中流动的个人身份信息的控制措施，而不是这些敏感数据是否安全传输。选项“D”是错误的。媒体保护控制家族强调组织如何管理物理媒体上的数据的控制措施，而不是系统之间数据的传输

Answer 150

Tier 4 (Adaptive) 将网络安全作为整个组织的事务来管理，网络风险的优先级是否与其他形式的组织风险类似

Answer 151

Tier 1 (Partial) 事件管理是临时性的，没有纳入组织流程。

Answer 152

Tier 3 (Repeatable) 对网络安全采取组织风险方法，将网络安全纳入规划，并定期在高层领导中传达。

Answer 153

Tier 2 (Risk-Informed) 组织的其他部门有网络安全意识，但没有进行安全管理。在这一层级中，只有意识而没有整合。

Answer 154

[1] core-->该框架核心是美国国家标准与技术研究院（NIST）为保护关键 IT 基础设施而制定的一套通俗易懂的控制措施。重点是制定一项计划，以具有成本效益和可重复的方式识别、评估和管理网络安全风险。 Identify（识别），Protect（保护），Detect（检测），Respond（响应），Recover（恢复） profiles-->根据其特定的业务需求和风险容忍度定制和优化这些实践，确保它们切实可行并与业务目标一致。

Answer 155

选项“C”是正确的。由于《健康保险流通与责任法案》的通过，卫生与公众服务部制定了保护受保护健康信息（PHI）隐私和安全的法规。这些法规分为隐私规则和安全规则。安全规则管理机构应采取的保障措施，以保护电子PHI的安全。具体而言，它规定所有受保护实体必须保护电子PHI免受合理预期的安全威胁以及任何合理预期的违规使用或披露。

Answer 156

选择 "A "是正确的。在更改业务流程和管理系统变更时，企业有多种方法可供选择。最常见的两种方法是瀑布法和敏捷法。在瀑布式方法下，团队以线性方式工作，而敏捷式方法则将项目结构化，使不同的团队同时工作。瀑布式方法的一个优势是，它的各个阶段可以让企业专注于系统设计、测试、部署、变更审查和维护。这将使 Rathway 有机会把开发过程分成易于管理的小块，以便专注于测试和审查任何必要的变更。选择 "B "不正确。在瀑布式方法中，新系统的效益要到完成后才能实现。因此，Rathway 不会采用这种方法在系统完成前实现增量效益。事实上，这是敏捷方法的一个主要特点。选择 "C "不正确。如果采用瀑布法，一些设计工程师可能会闲置，在某些步骤之前或之后不工作。因此，瀑布法由于其固有的设计，无法让工程师参与流程的每个步骤。选择 "D "不正确。瀑布法中没有客户的意见，因此缩短收集客户意见的时间不适用于这种情况。事实上，这是敏捷方法的一个主要特点。

Answer 157

【B】當然，我來用簡單的例子來解釋每個選項。 1. **Logistic Regression**: - **例子：** 假設你想根據一個人的年齡和性別來預測他是否會購買一個產品。這裡，年齡和性別是特徵（input），而購買與否是預測的結果（output）。 - **適用場景：** 預測二元結果（例如購買或不購買），基於特定的特徵來進行分類。 2. **Neural Networks**: - **例子：** 想像你要訓練一個神經網絡來識別圖像中的數字。你會有一個輸入層接收圖像像素，隱藏層用來學習圖像中的特徵，最後是一個輸出層來預測圖像中的數字。 - **適用場景：** 處理複雜的數據，例如圖像、語音或序列數據，並且需要從中學習特徵來做出預測。 3. **Decision Trees**: - **例子：** 想像你使用一個決策樹來決定一個人是否會喜歡某部電影。樹的節點可能包括年齡、性別和喜歡類型的問題，每個分支根據答案進一步分裂，最終節點給出喜歡或不喜歡的決定。 - **適用場景：** 對於具有分支邏輯的問題，根據一系列特徵進行分類或預測。 4. **K-means Clustering**: - **例子：** 假設你有一堆顧客的購買數據（如購買金額和頻率），你想把他們分為幾個類別（如高消費者、中等消費者和低消費者）。K-means算法會根據他們的購買行為把顧客分成這些組別。 - **適用場景：** 分群和分類數據，找到潛在的模式和類別。這些例子希望能夠幫助理解每種方法如何應用於不同類型的數據分析和預測問題中。

Answer 158

Option "B" is correct. Spear phishing often leads to user downtime while IT teams fix security breaches and restore systems. 魚叉式網絡釣魚是一種高度定向的釣魚攻擊，攻擊者會針對特定個人或組織進行定制化的欺詐性電子郵件攻擊。以下是一個簡單的例子來說明這種攻擊：假設你是一家大公司的員工，負責處理財務交易。有一天，你收到一封看起來來自你公司CEO的電子郵件。這封電子郵件看起來非常真實，有CEO的簽名，甚至使用了你平時的內部溝通語氣。然而，這其實是一封魚叉式網絡釣魚郵件。攻擊者通過社交工程手段收集了足夠的信息來模仿CEO，並設計了這封郵件來騙取公司資金。如果你沒有仔細驗證這封郵件的真實性，就有可能按照郵件指示進行轉賬，最終導致公司財務損失。

Answer 159

Explanation: Choice A is correct. Control 11: Data Recovery covers practices related to data backups, testing, and restoration. Control 17: Incident Response Management includes recommendations for preparing, detecting, and responding to events like ransomware attacks, including post-incident reviews. Choice B is incorrect. Control 13: Network Monitoring and Defense is focused on surveillance and prevention, not on data recovery or post-attack interviews. Choice C is incorrect. Control 13 and Control 14: Security Awareness and Skills Training are preventative and do not cover data recovery or post-attack processes. Choice D is incorrect. Control 18: Penetration Testing is about finding vulnerabilities to prevent attacks, not about post-attack recovery or interviews.

Answer 160

選項 "A" 是正確的。信息系統審計與控制協會（ISACA）於 1996 年創建了信息和相關技術控制目標（COBIT），以幫助公司管理和優化其 IT 資源。隨著技術的發展，COBIT 多次修訂，第六次修訂被命名為 COBIT 2019。作為其基礎的一部分，COBIT 包含三個治理框架原則、六個治理系統原則、一個核心模型、七個治理系統組成部分、11 個設計因素以及各種重點領域。治理系統的組成部分包含一些因素，這些因素集體或個別有助於組織的治理系統控制其 IT 系統的方式。因此，Savestone 最有可能實施的是 COBIT 2019 核心模型中的七個組成部分之一或多個，包括流程；組織結構；原則、政策和框架；信息；文化、倫理和行為；人員、技能和能力；或服務、基礎設施和應用程序。

Answer 161

【A】 A--gateway將內部網絡與外部互聯網連接起來，進行協議轉換 B--switch連接同一網絡中的設備，根據MAC地址轉發數據。 C--server提供服務和資源，處理客戶端請求。 D--router連接內部的多個網絡，將數據包轉發到不同的網絡段。 Internet | [ Gateway ] | [ Router ] / \ [ Switch ] [ Switch ] / \ [ Computers ] [ Server ] 舉例：假設你在公司內部網絡上工作，你的電腦連接到一個交換機，交換機連接到路由器，路由器通過網關與互聯網連接。當你訪問一個網站時，請求首先通過交換機到達路由器，再由路由器經過網關到達互聯網上的目標網站。網站的響應數據會經過相同的路徑返回到你的電腦。

Answer 162

说明：选择 A 正确。SaaS 涉及通过互联网提供由供应商管理的业务应用程序。客户使用这些应用程序来实现特定功能，并有添加徽标和配置扩展功能等定制选项。选择 B 不正确。BPaaS 使用 SaaS 来执行特定的业务功能，如计费或工资单，但它更侧重于完整的业务流程，而不是软件和硬件管理。选择 C 不正确。PaaS 为客户提供在提供商的基础设施上构建和运行应用程序的工具，侧重于应用程序的开发，而不是像 SaaS 那样全面管理应用程序。选项 D 不正确。IaaS 通过互联网提供服务器和存储等虚拟化资源，但不包括 SaaS 所管理的应用程序。

Answer 163

選擇“B”是正確的。會計交易循環是組織在業務交易發生時記錄資金流動的過程。通過使用會計信息系統（AIS）等技術來實現這些過程，包括收入和現金收集循環、採購和付款循環、人力資源和工資循環、資金管理循環以及總帳和報告循環。採用AIS將解決對賬工作的負擔，它能夠從銀行提取交易，並進行基於規則的對賬（例如，供應商/客戶名稱、金額、日期等），這將成為資金管理循環的一部分。同樣地，採用AIS可以自動化在會計期末手動關閉暫時賬戶的過程，並將餘額帶入新的會計期，這將改善總帳和報告循環的效率。

Answer 164

d 根据 CIS 关键安全控制第 8 版，控制 11 的最佳描述如下：建立并维护足以将范围内企业资产恢复到事故前可信状态的数据恢复方法。

Answer 165

Control 15: Service Provider Management服务提供商管理制定流程，对持有敏感数据或负责企业关键 IT 平台或流程的服务提供商进行评估，以确保这些提供商适当保护这些平台和数据。

Answer 166

Provide stakeholder value 提供利益相关者价值，说明治理系统应如何通过平衡利益、风险和资源，为公司的利益相关者创造价值。

Answer 167

end-to-end governance system 解释说，组织内涉及信息和技术的所有流程都应纳入治理系统。

Answer 168

dynamic governance system 是指当一个治理系统发生变化时，要考虑对所有其他系统的影响，以使该系统继续满足组织的需求。

Answer 169

tailored to enterprise needs 解释说，治理模式应根据每家公司的需求进行定制。

Answer 170

Control 04: Secure Configuration of Enterprise Assets and Software 建立并维护企业资产（终端用户设备，包括便携式和移动设备；网络设备；非计算/物联网设备；以及服务器）和软件（操作系统和应用程序）的安全配置。

Answer 171

Feasible 可行是 CIS 的控制原则，所有建议都应切实可行。

Answer 172

Focus 重点突出是 CIS 控制原则，控制措施应有助于确定最关键问题的优先次序，避免解决所有网络安全问题。

Answer 173

measurable 可衡量是 CIS 控制原则，即控制措施应简单、可衡量，避免使用含糊不清的语言。

Answer 174

align 对齐是 CIS 控制原则，控制措施应与其他顶级网络安全标准相对应。

Answer 175

选择 "C "是正确的。流程是治理系统的组成部分，是产生有助于实现信息技术总体目标的产出的一系列活动或实践。选择 "A "不正确。原则、政策和框架是将预期行为转化为实践的指南。选择 "B "不正确。组织结构是治理系统的一个组成部分，与组织内的决策实体有关。选择 "D "不正确。信息是治理系统的一个组成部分，指治理系统正常运作所需的信息。

Answer 176

【B】更高的應用程序質量：透過頻繁更新和改進，應用程序的質量得到提升。縮短更新周期：軟件更新之間的時間縮短，使組織能夠更頻繁地交付新版本，讓用戶更快地獲得改進。使用中央存儲庫：開發人員使用共享的中央存儲庫來合併代碼更新，縮短編寫代碼的周期時間。實時環境中的代碼錯誤：由於新軟件在滾動基礎上實施，可能導致代碼錯誤在實時環境中釋放。前端標準化工作增加：需要在開發過程的前端實施標準化的測試流程，以快速部署並確保應用程序的穩定性。

Answer 177

【correct： A】 A /|\ / | \ B--C--D \ | / \|/ E 【ring】 A / \ E B \ / D / \ C---F 【bus】 A --- B --- C --- D --- E 【star】 A | B---H---C | D

Answer 178

【C】 D--Patches are only tested in a 【non-production】 environment prior to releasing an update

Answer 179

【B】复制和镜像都支持数据库冗余，但它们实现冗余的方法不同。镜像涉及将数据库复制到同一站点的不同机器上，而复制还涉及将数据传输到辅助站点的不同数据库中。

Answer 180

The transaction processing system (TPS) is one of the three main subsystems of an AIS. A TPS creates transactions, or journal entries, based on economic events that occur in the various transaction cycles. Enterprise Resource Planning System (ERP) 是一個綜合應用系統，涵蓋整個組織的多個部門，支持部門間的即時通訊和數據共享。 Accounting Information System (AIS) 是一個更大系統（如ERP的一部分），負責收集、記錄、存儲和報告財務數據。 Transaction Processing System (TPS) 是AIS的一個子系統，將經濟事件轉換為日記帳分錄，並處理和記錄日常業務活動。 Financial Reporting System (FRS) 是AIS的另一個子系統，收集來自TPS和其他來源的每日數據，以滿足財務報告和法規遵循的需求。 Management Reporting System (MRS) 也是AIS的一個子系統，提供內部財務數據，幫助管理層進行日常運營決策。

Answer 181

【D】 A. 代理伺服器日誌：記錄訪問互聯網的數據，如URL和IP地址。 B. 網絡日誌：記錄網絡設備活動，如路由器和伺服器的數據。 C. 防火牆日誌：記錄網絡流量和防火牆的動作。 D. 事件日誌：記錄系統事件，如文件訪問和用戶身份驗證。

Answer 182

正確答案是「B. 完整性和保密性；目的限制」。GDPR有六項處理數據的原則：1) 合法性、公平性和透明性；2) 目的限制；3) 數據最小化；4) 準確性；5) 存儲限制；6) 完整性和保密性。目的限制原則要求數據應僅為明確的、合法的目的收集和處理。完整性和保密性原則要求數據應被保護，防止意外丟失、破壞和損壞。選項「A」是不正確的。合法性、公平性和透明性原則要求數據必須以合法、公平和透明的方式處理。存儲限制原則要求數據僅在必要的時間內保存。選項「C」是不正確的。準確性原則要求數據應該準確並保持更新，而數據最小化原則要求僅收集所需的數據。雖然數據最小化與目的限制有些重疊，但數據最小化側重於數據的量，而目的限制側重於數據的類型。選項「D」是不正確的。存儲限制原則關注數據應保存的時間，其主要關注點不是數據的特定目的或保護數據免受損壞。

Answer 183

选择 "B "是正确的。报告的意见部分应包括以下声明：补充用户实体控制措施的应用被认为是实现管理层对服务机构系统（SOC 1®）或服务机构服务承诺和系统要求（SOC 2®）的描述中所述相关控制目标所必需的。【記憶】

Answer 184

正確答案是「A. 系統接口圖 (System interface diagram)」。系統接口圖展示了組織內部和外部的用戶和功能如何與組織的系統互動。這可以包括從功能區域（如服務器和辦公室）到實際網絡和員工、供應商、客戶之間的簡單邏輯關係，並有助於開發和監控物理連接。選項「B」是不正確的。流程描述是書面文件，沒有圖像表示，因此很難跟踪信息如何在過程中流動以及用戶如何與系統互動。選項「C」是不正確的。流程圖是從邏輯和物理角度展示文件和信息如何在過程中流動， to identify risks and potential control deficiencies at the organization.确定组织的风险和潜在控制缺陷。選項「D」是不正確的。數據流程圖視覺化地描述了業務流程的數據流動邏輯，但不包括物理方面，因此可能無法理解系統和用戶如何互動。

Answer 185

答案是「D. Strategy and Objective-Setting」。這個COSO框架將風險管理方法分為五個組件和20個支持原則。其中的「Strategy and Objective-Setting」組件包含了定義風險偏好的原則之一。企業的風險偏好將影響其選擇雲計算模型，風險偏好較低的組織可能會選擇基礎設施即服務（IaaS）模型，這提供了更多的控制；而風險偏好較高的組織可能會選擇平台即服務（PaaS）或軟件即服務（SaaS）模型，這些模型相對較少定制和控制。選項「A」是不正確的。Governance and Culture組件確立了企業風險管理的基調，通過建立董事會監督和與組織目標行為一致的文化，但它不是定義風險的組件。選項「B」是不正確的。Performance組件幫助組織基於已定義的風險偏好來優先考慮風險，而不是用於評估風險偏好。選項「C」是不正確的。Review and Revisions組件幫助組織評估重大變化，回顧風險和表現，並推動風險管理的改進措施，但它不是用於定義風險的組件。

Answer 186

這道題目問的是，哪種IT風險被定義為未能滿足監管機構要求的風險。答案是「A. Compliance risk」。 Compliance risk即合規風險，指的是未能滿足監管機構要求的風險。選項「B」是不正確的。Financial risk（財務風險）是由於誤用而導致財務資源損失的風險。選項「C」是不正確的。Strategic risk（戰略風險）是指業務和IT戰略不對齊而產生的風險。選項「D」是不正確的。Availability risk（可用性風險）是指組織無法訪問和利用其信息技術的風險。

Answer 187

選項 B: 評估新的補丁發布在補丁被部署之前，IT管理人員需要評估新補丁的釋出情況，確定它們如何影響組織。選項 A: 批准和部署補丁當補丁經過評估後，IT管理人員會批准和部署這些補丁到相應的系統中。選項 D: 驗證補丁已部署補丁成功部署後，需要進行驗證，確保補丁已正確應用並生效。選項 C: 使用漏洞掃描工具使用漏洞掃描工具可以幫助組織識別系統中的漏洞和弱點，這有助於補丁管理的前期準備和風險評估。

Answer 188

選項 "A" 是正確的。重複的層級： Partial (部分) Risk-Informed (風險知情) Repeatable (可重複) Adaptive (自適應) 這些層級在兩個框架中都是一致的，用來衡量組織在風險管理和資源分配方面的成熟度。獨特的層級： Workforce (員工) 這個層級是隱私框架特有的，用來衡量組織中專門致力於隱私保護的員工比例。

Answer 189

Choice "A" is correct. Middle management is responsible for carrying out governance policies. Choice "B" is incorrect. The board of directors is responsible for setting governance policies. Choice "C" is incorrect. Executives ensure that an IT governance structure is in place and executed effectively. Choice "D" is incorrect. End users are responsible for following processes and procedures.

Answer 190

Control 09: Email and Web Browser Protections Email and Web Browser Protections provides the best recommendations that companies can implement to help avoid becoming victims. 电子邮件和网络浏览器保护》提供了公司可以实施的最佳建议，以帮助避免成为受害者。

Answer 191

题目问的是为什么服务机构管理层必须在其系统描述中识别补充性用户实体控制（Complementary User Entity Controls，简称CUECs）。 A. 错误 - 服务机构管理层并不负责确保用户实体已经实施了必要的控制措施。服务机构管理层的职责是识别这些CUECs并在系统描述中说明用户实体负责实施这些CUECs。 B. 错误 - 服务机构管理层并不对用户实体的审计师测试的控制措施负责。 C. 正确 - 服务机构可能无法提供合理保证其服务承诺和系统要求已经实现，除非用户实体按照规定的方式执行某些活动。这意味着服务机构的控制措施和用户实体的控制措施相结合才能提供合理的保证。 D. 错误 - CUECs是由用户实体实施的，而不是由次服务机构（subservice organization）实施的。

Answer 192

【C】访问控制列表（ACL）： ACL 是一组规则，定义哪些用户或用户组可以访问哪些资源，以及他们可以执行的操作（如只读、读写、无访问等）。 ACL 可以非常精细地控制不同角色的权限。例如，IT管理员可以有完全访问权限，而普通用户可能只有读取权限。选项 D（生物识别）确实是一种有效的身份验证技术，可以通过物理特征（如指纹或虹膜扫描）来限制访问。然而，题目中的关键点在于需要使用基于角色的方法来控制访问。这涉及的不仅仅是身份验证，还包括对不同角色的权限管理。因此，尽管生物识别可以限制谁能进入，但它并不能像访问控制列表（ACL）那样详细地管理不同角色的具体权限。

Answer 193

【A】最高管理层在业务流程设计中最重要的角色是什么？ A. 提供支持和鼓励IT开发项目，并将信息系统与企业战略对齐： Top management 提供支持和鼓励，确保IT开发项目得到足够的资源和支持。确保信息系统的设计和实施符合企业战略，以确保IT投资能够支持和促进企业的整体战略目标。 B. 促进协调和整合信息系统活动，增加目标一致性并减少目标冲突：这是一个更广泛的角色，涉及确保不同信息系统活动之间的协调和整合，以确保它们不会互相冲突，并且可以共同支持企业的整体目标。 B感覺是業務流程設計之後的步驟

Answer 194

选择 "D "是正确的。信息技术变更应在组织内部的隔离环境中管理和实施。最常见的环境包括开发、测试、暂存、生产和灾难恢复。在开发计算环境中，程序员编写代码以创建应用程序原型。该环境还可用于调试和修改现有代码，以及使用带有预配置代码的自动化工具来简化生产。选择 "A "不正确。虽然开发环境通常用于调试和测试代码错误，但其主要用途是创建初始软件产品。测试环境仅用于调试和测试代码错误，可与开发环境分开，以减少错误，而不是用于初始原型。选择 "B "不正确。向最终用户部署完成的软件产品是在生产环境中进行的，生产环境是员工执行核心工作职能的实时环境，只有在测试完成后才能部署。选择 "C "不正确。这里描述的是人员在生产环境中发布软件之前测试应用程序功能的暂存环境，而不是开发环境。

Answer 195

选择 "A "是正确的。描述应完整、准确，并满足广大用户实体及其审计师的共同需求。描述可能不会包括用户实体在其特定环境中认为重要的每一个方面。选择 "D "不正确。描述应完整、准确，满足广大用户实体及其审计师的共同需求，而不是满足所有用户实体的特定需求。

Answer 196

匿名功能

Answer 197

选择 "C "是正确的。由于对技术的依赖程度越来越高，以及对网络安全风险的担忧，安全是大多数信托服务业务的首要关注点。

Answer 198

【A】选择 "A "是正确的。IP 地址不属于 PII，因为 IP 地址经常变化（浮动 IP），或由几个家庭或个人共享。PII 是可用于直接识别个人身份的信息，如姓名、地址或个人身份号码。选择 "D "不正确。个人的街道地址很可能被视为 PII，因为它是个人及其家庭特有的数据。

Answer 199

选择 "D "是正确的。系统的定义是：由人员设计、实施和操作的基础设施、软件、程序和数据，以按照管理层指定的要求实现组织的一个或多个特定业务目标。本例中的系统定义包括软件和执行程序的人员（内部员工和分包商）。

Answer 200

选择“B”是正确的。补丁管理是与漏洞管理解决方案一起工作以最小化安全威胁的重要部分。当在应用程序中发现漏洞时，软件供应商会发布更新，称为补丁，以便客户可以修复这些漏洞。选择“A”是错误的。最小特权的概念是用户和系统被授予执行功能所需的最低授权和系统资源。这是一种授权和认证实践，用于加强安全操作，与系统漏洞管理独立。选择“C”是错误的。COSO（发起组织委员会）是一个提供有关内部控制、欺诈威慑和风险管理指导的咨询组织。虽然他们的内部控制框架是系统漏洞相关内部控制的基准，但COSO本身并不是与漏洞管理解决方案一起工作的最小化安全威胁的重要部分。选择“D”是错误的。NIST（国家标准与技术研究院）提供了创建补丁和漏洞管理程序的建议，但NIST本身并不是与漏洞管理解决方案一起使用的。

Answer 201

【D】網絡勒索損失，對應題目中的ransom negotiations 贖金談判記單詞，extortion勒索第一方保險--贖金支付第三方保險-- 1.对网络攻击受害者（如信息被泄露的客户）的损害赔偿 2.向监管机构支付的罚款 3.法律费用

Answer 202

供应商提供的服务 1必须与用户对服务机构系统的理解相关， 2供应商的控制措施必须与服务机构的控制措施相结合，以合理保证服务承诺和系统要求得以实现。

Answer 203

system commitment

Answer 204

system service

Answer 205

F The user entity does not establish service commitments. Both service commitments and system requirements are established by service organization management.

Answer 206

【A】選項 D 確實是描述攻擊種類的，而不是一個獨立的威脅模型。但在這個情境下，它被用來代表一種常見的威脅建模方法。因此，正確答案是選項 A，因為 EPIC 不是一個真實的威脅建模方法。

Answer 207

選擇 "D" 是正確的。在評估控制措施的設計是否合適時，服務審計師應該考慮，包括但不限於執行控制措施的個人的能力和權限。選擇 "A" 是不正確的。控制措施可能已經實施，但缺乏能力會導致控制措施的設計存在問題。在這種情況下，即使實施了一個設計不佳的控制措施，它可能無法達到控制目標。

Answer 208

正確答案是 "C"，政策基礎訪問控制（PBAC）。PBAC使用角色和規則組成的策略來動態維護和評估用戶訪問。它可以基於用戶的身份、角色、授權需求、清除度和風險等信息來評估訪問權限，相對於基於規則的控制更加靈活，可以允許分析基於實際權限的理論特權。隨著組織成長和政策變化，PBAC能更好地滿足更廣泛的訪問控制需求。選項 "A" 是不正確的。風險基礎訪問控制是根據訪問的資產風險、用戶身份、訪問意圖和系統或資產之間的安全風險來應用控制。它對於高風險系統可能會有更嚴格的安全措施，但不如PBAC那樣提供靈活的理論特權分析。選項 "B" 是不正確的。自主訪問控制（DAC）允許數據所有者或創建者管理他們自己的數據或對象的訪問。這種控制是分散的，允許所有者基於自己的判斷授予他人訪問權限，但不適合本題所述組織需要的靈活性。選項 "D" 是不正確的。角色基礎訪問控制（RBAC）是根據用戶的職位角色而不是個別分配權限來管理訪問。雖然這在管理大量用戶時很有效，但不如PBAC那樣能夠動態地分析理論特權。

Answer 209

选择 "C "是正确的。MAC 过滤是一种过滤方式，接入点使用已批准的 MAC 地址列表阻止未经授权的设备接入。MAC 地址也称为物理地址或硬件地址，是网络设备上的唯一标识符，用作与网络上其他设备通信的地址。选择 "A "不正确。网络分段或隔离是控制网络流量的过程，使其无法访问或与外部通信或组织自身网络中的其他网段隔离。这种袖珍隔离形式可提高整体网络安全性。 _ +通道上的任何其他安全措施（如防病毒软件）是分开的。选择 "D "不正确。虚拟专用网络（VPN）是建立在现有物理网络基础上的虚拟网络，利用隧道或互联网协议安全（IPsec）等加密协议提供安全通信手段。

Answer 210

COSO內部控制框架中，最能描述為實施以幫助評估組織內控環境措施是否得以落實的部分是「控制活動」（control activities）控制活動指的是那些已經設計好並實施的政策和程序，目的是確保管理的風險得到適當應對，並確保達成組織目標。這些控制活動是直接作用在業務過程中，確保控制目標的達成，包括預防性和檢查性控制措施。

Answer 211

【A】竞赛条件是一种基于应用程序的攻击，攻击者通过迫使功能不按顺序或同时发生来利用软件。 Backdoor 和 Trapdoor 都涉及未經授權的系統訪問，但其設置目的和操作方式不同。Backdoor更多與惡意訪問相關，而Trapdoor則通常是系統設計的一部分，可能用於合法操作，但存在被濫用的風險。

Answer 212

C. 災難恢復（Disaster recovery）。題目所描述的計劃專注於資源被毀壞後的長期中斷，這正是災難恢復的範疇。災難恢復計劃包括在災難發生後，如何恢復數據、IT設備、應用程序和其他企業資源，以確保系統的可用性和業務的持續運營。 D. 業務連續性（Business continuity）業務連續性計劃（BCP）側重於維持或恢復公司產品和服務的持續交付。儘管它包含了災難恢復，但更強調的是在災難發生時保持業務運營。

Answer 213

【正確答案是 D. 組成部分：監控活動；原則：進行持續的和/或單獨的評估。這一原則強調的是通過持續監控活動來實現預防性控制，這對於處理區塊鏈上大量和快速的交易非常重要。持續的監控可以幫助及時識別和防止潛在的問題，避免不希望的事件發生。

Answer 214

選項D 解决保密和隐私问题的系统范围包括与客户数据管理有关的所有活动。这不仅包括数据的收集和使用，还包括获得保留或删除数据的明确同意。尽管删除数据可能是一种标准做法，但获得客户授权以保存或删除其数据是这一过程中的必要步骤，也属于系统范围。这一流程可确保遵守隐私原则，并表明服务机构对保护客户数据的承诺。

Answer 215

數據綜合指的是將不同來源或類型的數據結合或整合，以創建新的見解、解釋或結論的過程。以下是一個例子來說明數據綜合的過程： Calculating key anniversary dates based on each employee's hiring date.

Answer 216

【C】主要區別：攻擊性質：中間人攻擊主要是截取和操控通信，而反向外殼攻擊則是通過入侵系統和建立遠程控制來進行攻擊。攻擊目標：中間人攻擊旨在竊取或操控傳輸中的數據，反向外殼攻擊則旨在維持對系統的持久控制和遠程命令能力。執行方法：中間人攻擊涉及截取網絡流量，通常要求攻擊者位於能夠截取通信的位置。反向外殼攻擊涉及獲取系統的初始訪問權限，並建立到攻擊者機器的連接。

Answer 217

正確答案為選項 D。這選項描述了根據組織的風險容忍度，發展、評估並實施適當的風險應對措施，符合NIST SP 800-39中「應對風險」組件的要求。選項 A 誤解題目要求，應對風險組件實際上是關於如何應對已經辨識出的風險，而不是辨識風險本身。

Answer 218

Exploitation and exfiltration 利用和渗透

Answer 219

Control 05: Account Management

Answer 220

a relevant IoT cybersecurity threat that may impact key functions of a technology-driven business 可能影响技术驱动型企业关键功能的相关物联网网络安全威胁