Sunteți pe pagina 1din 10

C2-29 : Obiectivul primar al unui audit al securitatii politicilor IT este sa asigure ca

:
A. Sunt distribuite si disponibile pentru intreg staff-ul
B. Politicile de securitate si control sunt in concordanta cu bussines-ul si
obiectivele IT
C. Exista o diagrama organizationala cu descrierile functionale
D. Sarcinile sunt segregate corespunzator
B. Orientarea spre business ar trebui sa fie principal tema in implementarea
securitatii. Prin urmare, au audit IS al politicii securitatii IT ar trebui in primul rand
sa se concentreze pe verificarea faptului ca IT-ul si politicile de securitate si
control sunt in concordanta cu bussines-ul si obiectivele IT. Verificarea faptului ca
politicile sunt disponibile tuturor este un obiectiv, dar distribuirea lor nu asigura si
intelegerea acestora. Existeta unei diagrame organizationale cu descrierile
functionale si segregarea sarcinilog poate fi inclusa in verificare, dar nu este un
obiectiv primar al auditului politicilor de Securitate.
C2-30.: Rata schimbarii in tehnologie creste importanta :
A . Externalizarii functiilor IS
B. Implementarii si aplicarii proceselor bune
C. Angajarii personalului dornic de a face cariera in cadrul organizatiei
D. Indeplinirii asteptarilor clientilor
B. Schimbarea cere implementarea si aplicarea unor bune procese de
management . Externalizarea functiilor IS nu este direct legata de rata schimbarii
tehnologice. Personalul dintr-un department IS tipic este calificat si educat, de
obicei nu simt riscul de a-si pierde jobul si sunt pregatiti pentru schimbarea
frecventa a jobului. Desi indeplinirea asteptarilor clientilor este importanta, nu
este legata direct de rata schimbarii tehnologice in mediul IS.
C2-31 : Un auditor IS descopera ca nu toti angajatii sunt constienti de politica de
securitate de informatie a companiei. Auditorul IS poate concluziona ca :
A. Lipsa de cunostinte poate duce la dezvaluirea neintentioana a informatiilor
delicate
B. Securitatea informatiei nu este critica pentru toate functiile
C. Auditul IS trebuie a asigure training tuturor angajatilor
D. Descoperirea auditului va face managementul sa asigure training continuu
staff-ului

Toti angajatii trebuie sa fie constienti de politica de securitate de informatie a


companiei pentru a preveni dezvaluirea neintentioana a informatiilor delicate .
Training-ul reprezinta un control preventive. Programele de constientizare a
securitatii pentru angajati pot preveni dezvaluirea neintentionata a informatiilor
catre cei din afara companiei.
C2-32 : Cand o politica a securitatii informatiei este creata, cel mai important
este ca aceasta sa fie :
A.
B.
C.
D.

Stocata offsite
Scrisa de management-ul IS
Facuta cunoscuta userilor
Updatata frecvent

Pentru a fi eficienta, o politica a securitatii informatiei ar trebui sa ajunga la toti


membrii staff-ului. Stocarea acesteia offsite sau intr-un loc sigur poate fi de droit,
dar continutul acesteia nu are valoare daca nu este cunoscut de angajatii
companiei . Ar trebui scrisa de managerii unitatii de afaceri, incluzand, dar nu
exclusive, managerii IS. Updatare acestei politii esre importanta dar nu va
asigura propagarea acesteia.
C2-33 : Dezvoltara unei politici de securitate IS esteresponsabilitatea :
A.
B.
C.
D.

Departamentului IS
Comitetul de securitate
Administratorul de securitate
Board-ul de directori

D . In mod normal, dezvoltarea unei politici de secuitate informationala este


responsbilitatea top management-ulu sau a board-ului de directori.
Departamentul IS este responsabil pentru executia politicii . neavand nicio
responsabilitate in dezvoltarea politicii. Administratorul de securitate este
responsabil pentru implementarea , monitorizarea si aplicarea regulilor de
securitate pe care managementul le-a stabilit si autorizat.
C2-34 : Care din urmatoarele programe ar trebui sa fie incluse intr-o politica a
securitatii informatiei sonore pentru a gestiona intruziunile susecte ?

A.
B.
C.
D.

Raspuns
Corectie
Detectie
Monitorizare

A . O politica IS a sunetului cel mai probabil va utiliza un program de raspuns


pentru a gestiona intuziunile suspecte. Corectia, detectia, si monitorizarea
programelor sunt toate aspecte ale securitatii informatiei, dar nu sunt incluse in
politica seuritatii IS.
C2-35 : Care din urmatoarele ar trebui sa fie incluse in politica de securitatii IS a
unei organizatii :
O lista a resurselor cheie IT care s fie securizate
A. Baza pentru autorizarea accesului
B. Feature-urile de securitate sensibile
C. Feature-urile de securitate relevante
B . Politica de securitate ofera unc adru larg de securitate , dupa cum este
prevazuta si aprobata de senior manager. Aceasta include o definitie a celor
autorizati sa ofere acces si baza pentru acordarea accesului .
C2-36 : Care din urmatoarele este primul pas in crearea unei politici de
firewall ?
A.
B.
C.
D.

O analiza costuri-beneficii a metodelor pentru scurizarea aplicatiei


Identificarea aplicatiilo network care sunt accesate din exterior
Identificarea vulerabilitatilor associate cu aplicatiile accesate din exterior
Crearea unei matrici cu traficul aplicatiilor care sa arate metodele de
protective.

C2-37 Managementul unei organizati a decis sa stabileasca un program de


constientizare a securitatii.care din urmatoarele ar trebui sa faca parte din
program:
A. Utilizarea unui sistem de detectie a intruziunilor pentru a raporta
incidentele
B. Mandantarea utilizarii unei parola de access la toate software-le
C. Instalarea unui system efficient de autentificare a utilizatorului pentru a
urmari actiunile fiecarui utilizator.
D. Training oferit in mod regulat atat angajatilor curenti, cat si celor noi.

D Utilizand un sistem de detectie a intruziunilor pentru a raporta incidentele


aparute este o implementare a unui program de siguranta si nu este efectiv in
stabilirea unui program de constientizare. Variantele B si C nu se adreseaza
constientizarii. Trainingul este singura varianta care se refera la constientizarea
securitatii.
C2 -38 Care este cel mai important criteriu pentru implementarea si mentenanta
cu success a politici de Securitate?
A. Asimiliarea cadrului si intentia unei politici de Securitate scrisa de catre
toate partile corespunzatoare
B. Management suport si aprobarea pentru implementarea si mentenanta
politicii de Securitate.
C. Punerea in aplicare a regulilor de securitate prin actiuni aspre pentru orice
incalcare a normelor de Securitate
D. Implementarea riguroasa, monitorizarea si aplicarea normelor de catre
ofiterul de Securitate prin intermediul software-ului de control al accesului.
A Asimilarea cadrului si intentia unei politici scrise de catre utilizatorii sistemului
este foarte importanta pentru implementarea cu success si mentenanta unei
politici de Securitate.Poate exista un system de parola foarte bun, dar daca
utilizatorii sistemului tin parola scrisa pe masa, parola nu are nicio
valoare.Management suport si anagamentul sunt fara indoiala si ele importante ,
dar pentru implementarea si mentenanta cu success a unei politici de
Securitate,educarea utilizatorilor despre importanta securitatii este capitala.
Implementarea riguroasa , monitorizarea si aplicarea normelor de catre ofiterul
de Securitate prin intermediul software-ului se control al accesului , si aplicare
de actiuni aspre pentru violarea normelor de Securitate, sunt si ele cerute
impreuna cu educarea utilizatorului despre importanta securitatii.
C2 -39 O politica curpinzatoare si eficienta de e-mail ar trebui sa abordeze
problema structurii e-mailului ,politica, aplicarea, monitorizarea si:
A.
B.
C.
D.

Recuperarea
Retinerea
Reconstruirea
Reutilizarea

B Pe langa faptul ca e o practica buna,legile si normele pot cere ca o organizatie


sa pastreze informatiile care au un impact asupra situatiei
financiare.Preponderenta de procese in care comunicarea prin e-mail este la fel

de importanta ca un act oficial, face ca e-mailul sa fie o necessitate.Toate emailurile generate pe hardware-ul organizatiei este proprietatea organizatiei, si
polecat de e-mail ar trebui sa se adreseze retinerii de mesaje .Politica ar trebui sa
se adreseze si distrugerii e-mailurilor dupa o perioada de timp specificata pentru
a proteja confidentialitatea mesajelor.Retinerea mesajelor ca politica de e-mail
poate facilita recuperarea, retinerea si reutilizarea lor.
C2-40 Intr o organizatie unde este deja stabilt un ghid de referinta pentru
securitatea IT, un auditor trebuie sa asigure inainte de toate:
a. implementarea
b conformitatea
c. documentarea
d. suficienta
D Auditorulare trebuie sa evalueze cum este definit ghidul de referinta
asiguranduse ca aceste este suficient. Documentarea, conformitatea si
implementarea fsunt evaluate in etapa urmatoare.
C2-41 Pentru a se asigura ca o organizatie se conformeaza cu politica de
respectare a intimitatii, auditorul de securitate informationala ar trebuie sa
evalueze prima data:
a. infrastructura it
b. procedurile, standardele si politica organizatiei
c. reglementarile legale impuse
d. adeziunea la procedurile, standardele si politica organizatiei
C Pentru a se asigura de conformitatea organizatiei la politica de respectare a
intimitatii, auditorul ar trebuie sa comunice reglementarile legale impuse prima
data.
Pentru a se coforma la politica de respectare a intimitatii, organizatie trebuie sa
adopte infrastructura it adecvata. Dupa intelegerea contextului politicii de
respectare a intimitatii, auditorul trebuie
sa evalueze procedurile, standardele si politica organizatiei ca sa determine daca
acestea se pliaza pe politica de respectare a intimitatii, si dupa sa constate daca
acestea adereaza la procedurile, standardele si politica organizatiei.