CISA中文模擬題

1、2014年歷年真題回憶匯編 12 / 12一旦業(yè)務(wù)功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構(gòu)成了對(duì)組織的主要風(fēng)險(xiǎn)？A、在異地存儲(chǔ)的備用資源詳細(xì)目錄沒(méi)有及時(shí)更新B、在備份計(jì)算機(jī)和恢復(fù)設(shè)備上存儲(chǔ)的備用資源詳細(xì)目錄沒(méi)有及時(shí)更新C、沒(méi)有對(duì)緊急情況下的供應(yīng)商或備選供應(yīng)商進(jìn)行評(píng)估，不知道供應(yīng)商是否還在正常營(yíng)業(yè)D、過(guò)期的材料沒(méi)有從有用的資源中剔除下面哪一句涉及包交換網(wǎng)絡(luò)的描述是正確的？A、目的地相同的包穿過(guò)網(wǎng)絡(luò)的路徑（或稱為：路徑）相同B、密碼/口令不能內(nèi)置于數(shù)據(jù)包里C、包的長(zhǎng)度不是固定的，但是每個(gè)包內(nèi)容納的信息數(shù)據(jù)是一樣的D、數(shù)據(jù)包的傳輸成本取決于將傳輸?shù)臄?shù)據(jù)包本身，與傳輸距離

2、和傳輸路徑無(wú)關(guān)IS指導(dǎo)委員會(huì)應(yīng)當(dāng)：A、包括來(lái)自不同部門和員工級(jí)別的成員B、確保IS安全政策和流程已經(jīng)被恰當(dāng)?shù)貓?zhí)行了C、有正式的引用條款和保管會(huì)議紀(jì)要D、由供應(yīng)商在每次會(huì)議上簡(jiǎn)單介紹新趨勢(shì)和產(chǎn)品對(duì)IT部門的戰(zhàn)略規(guī)劃流程/程序的最佳描述是：A、依照組織大的規(guī)劃和目標(biāo)，IT部門或都有短期計(jì)劃，或者有長(zhǎng)期計(jì)劃B、IT部門的戰(zhàn)略計(jì)劃必須是基于時(shí)間和基于項(xiàng)目的，但是不會(huì)詳細(xì)到能夠確定滿足業(yè)務(wù)要求的優(yōu)先順序的程序C、IT部門的長(zhǎng)期規(guī)劃應(yīng)該認(rèn)識(shí)到組織目標(biāo)、技術(shù)優(yōu)勢(shì)和規(guī)章的要求D、IT部門的短期規(guī)劃不必集成到組織的短計(jì)劃內(nèi)，因?yàn)榧夹g(shù)的發(fā)展對(duì)IT部門的規(guī)劃的推動(dòng)，快于對(duì)組織計(jì)劃的推動(dòng)在審核組織的系統(tǒng)開(kāi)發(fā)方法學(xué)時(shí)，

3、IS審計(jì)人員通常首先執(zhí)行以下哪一項(xiàng)審計(jì)程序？A、確定程序的充分性B、分析程序的效率C、評(píng)價(jià)符合程序的程度D、比較既定程序和實(shí)際觀察到的程序某IS審計(jì)人員參與了某應(yīng)用開(kāi)發(fā)項(xiàng)目并被指定幫助進(jìn)行數(shù)據(jù)安全方面的設(shè)計(jì)工作。當(dāng)該應(yīng)用即將投入運(yùn)行時(shí)，以下哪一項(xiàng)可以為公司資產(chǎn)的保護(hù)提供最合理的保證？A、由內(nèi)部審計(jì)人員進(jìn)行一次審核B、由指定的IS審計(jì)人員進(jìn)行一次審查C、由用戶規(guī)定審核的深度和內(nèi)容D、由另一個(gè)同等資歷的IS審計(jì)人員進(jìn)行一次獨(dú)立的審查用戶對(duì)應(yīng)用系統(tǒng)驗(yàn)收測(cè)試之后，IS審計(jì)師實(shí)施檢查，他（或她）應(yīng)該關(guān)注的重點(diǎn)A、確認(rèn)測(cè)試目標(biāo)是否成文B、評(píng)估用戶是否記載了預(yù)期的測(cè)試結(jié)果C、檢查測(cè)試問(wèn)題日志是否完整D、確認(rèn)

4、還有沒(méi)有尚未解決的問(wèn)題在評(píng)估計(jì)算機(jī)預(yù)防性維護(hù)程序的有效性和充分性時(shí)，以下哪一項(xiàng)能為IS審計(jì)人員提供最大的幫助？A、系統(tǒng)故障時(shí)間日志B、供應(yīng)商的可靠性描述C、預(yù)定的定期維護(hù)日志D、書面的預(yù)防性維護(hù)計(jì)劃表企業(yè)正在與廠商談判服務(wù)水平協(xié)議（SLA），首要的工作是：A、實(shí)施可行性研究B、核實(shí)與公司政策的符合性C、起草其中的罰則D、起草服務(wù)水平要求將輸出結(jié)果及控制總計(jì)和輸入數(shù)據(jù)及控制總計(jì)進(jìn)行匹配可以驗(yàn)證輸出結(jié)果，以下哪一項(xiàng)能起上述作用？A、批量頭格式B、批量平衡C、數(shù)據(jù)轉(zhuǎn)換差錯(cuò)糾正D、對(duì)打印池的訪問(wèn)控制應(yīng)用控制的目的是保證當(dāng)錯(cuò)誤數(shù)據(jù)被輸入系統(tǒng)時(shí)，該數(shù)據(jù)能被：A、接受和處理B、接受但不處理C、不接受也不處理

5、D、不接受但處理如果以下哪項(xiàng)職能與系統(tǒng)一起執(zhí)行，會(huì)引起我們的關(guān)切？A、訪問(wèn)規(guī)則的維護(hù)B、系統(tǒng)審計(jì)軌跡的審查C、數(shù)據(jù)保管異口同聲D、運(yùn)行狀態(tài)監(jiān)視應(yīng)用系統(tǒng)開(kāi)發(fā)的責(zé)任下放到各業(yè)務(wù)基層，最有可能導(dǎo)致的后果是A、大大減少所需數(shù)據(jù)通訊B、控制水平較低C、控制水平較高D、改善了職責(zé)分工以下哪一項(xiàng)是業(yè)務(wù)流程再造項(xiàng)目的第一步？A、界定檢查范圍B、開(kāi)發(fā)項(xiàng)目計(jì)劃C、了解所檢查的流程D、所檢查流程的重組和簡(jiǎn)化企業(yè)由于人力資源短缺，IT支持一直以來(lái)由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是：A、限制物理訪問(wèn)計(jì)算設(shè)備B、檢查事務(wù)和應(yīng)用日志C、雇用新IT員工之前進(jìn)行背景調(diào)查D、在雙休日鎖定用戶會(huì)話組織內(nèi)數(shù)據(jù)安全官的最為重要的

6、職責(zé)是：A、推薦并監(jiān)督數(shù)據(jù)安全政策B、在組織內(nèi)推廣安全意識(shí)C、制定IT安全政策下的安全程序/流程D、管理物理和邏輯訪問(wèn)控制執(zhí)行應(yīng)用控制審核的IS審計(jì)人員應(yīng)評(píng)價(jià)：A、應(yīng)用滿足業(yè)務(wù)需求的效率B、所有已發(fā)現(xiàn)的、暴露的影響C、應(yīng)用所服務(wù)的業(yè)務(wù)流程D、應(yīng)用的優(yōu)化IS審計(jì)師在審計(jì)公司IS戰(zhàn)略時(shí)最不可能：A、評(píng)估IS安全流程B、審查短期和長(zhǎng)期IS戰(zhàn)略C、與適當(dāng)?shù)墓竟芾砣藛T面談D、確保外部環(huán)境被考慮了一個(gè)項(xiàng)目經(jīng)理在目標(biāo)期限內(nèi)無(wú)法實(shí)施所有的審計(jì)建議。IT 審計(jì)師應(yīng)該怎么做？A. 建議項(xiàng)目暫時(shí)停止直至問(wèn)題得到解決；B. 建議采取補(bǔ)償控制；C. 對(duì)未解決的問(wèn)題進(jìn)行風(fēng)險(xiǎn)評(píng)估；D. 建議項(xiàng)目經(jīng)理進(jìn)行資源的再分配來(lái)解決

7、該問(wèn)題。為評(píng)估軟件的可靠性，IS審計(jì)師應(yīng)該采取哪一種步驟？A、檢查不成功的登陸嘗試次數(shù)B、累計(jì)指定執(zhí)行周期內(nèi)的程序出錯(cuò)數(shù)目C、測(cè)定不同請(qǐng)求的反應(yīng)時(shí)間D、約見(jiàn)用戶，以評(píng)估其需求所滿足的范圍在業(yè)務(wù)流程重組(BPR)的哪一個(gè)步驟,待測(cè)定的團(tuán)隊(duì)?wèi)?yīng)訪問(wèn)、參觀基準(zhǔn)伙伴？A、觀察B、計(jì)劃C、分析D、調(diào)整IS管理層建立變更管理程序的目的是：A、控制應(yīng)用從測(cè)試環(huán)境向生產(chǎn)環(huán)境的移動(dòng)B、控制因忽略了未解決的問(wèn)題而導(dǎo)致的業(yè)務(wù)中斷C、保證在災(zāi)難發(fā)生時(shí)業(yè)務(wù)操作的不間斷D、檢驗(yàn)系統(tǒng)變更已得到適當(dāng)?shù)臅娴挠涗浽趯徲?jì)系統(tǒng)開(kāi)發(fā)項(xiàng)目的需求階段時(shí)，IS審計(jì)人員應(yīng)：A、評(píng)估審計(jì)足跡的充分性B、標(biāo)識(shí)并確定需求的關(guān)鍵程度C、驗(yàn)證成本理由和

8、期望收益D、確?？刂埔?guī)格已經(jīng)定義IS審計(jì)師正在檢查開(kāi)發(fā)完成的項(xiàng)目以確定新的應(yīng)用是否滿足業(yè)務(wù)目標(biāo)的要求。下面哪類報(bào)告能夠提供最有價(jià)值的參考？A、用戶驗(yàn)收測(cè)試報(bào)告B、性能測(cè)試報(bào)告C、開(kāi)發(fā)商與本企業(yè)互訪記錄（或社會(huì)交往報(bào)告）D、穿透測(cè)試報(bào)告項(xiàng)目開(kāi)發(fā)過(guò)程中用來(lái)檢測(cè)軟件錯(cuò)誤的對(duì)等審查活動(dòng)稱為：A、仿真技術(shù)B、結(jié)構(gòu)化走查C、模塊化程序設(shè)計(jì)技術(shù)D、自頂向下的程序構(gòu)造IS審計(jì)人員應(yīng)在系統(tǒng)開(kāi)發(fā)流程的哪一個(gè)階段首次提出應(yīng)用控制的問(wèn)題？A、構(gòu)造B、系統(tǒng)設(shè)計(jì)C、驗(yàn)收測(cè)試D、功能說(shuō)明在因特網(wǎng)應(yīng)用中使用小應(yīng)用程序（applets）的最有可能的解釋是：A、它是從服務(wù)器跨網(wǎng)絡(luò)發(fā)送B、服務(wù)器不能運(yùn)行程序且輸出不能跨網(wǎng)絡(luò)發(fā)送C、

9、它可同時(shí)改進(jìn)WEB服務(wù)器和網(wǎng)絡(luò)的性能D、它是一種通過(guò)WEB瀏覽器下載并在客戶機(jī)的WEB服務(wù)器上運(yùn)行的JAVA程序信息系統(tǒng)審計(jì)師檢查IT控制的效力時(shí),發(fā)現(xiàn)以前的審計(jì)報(bào)告,沒(méi)有相應(yīng)的工作底稿,他(她)該怎么辦?A、暫停審核工作,直到找到這些審計(jì)底稿B、信息并直接采納以前的審計(jì)報(bào)告C、重新測(cè)試好些處于高風(fēng)險(xiǎn)內(nèi)的控制D、通知審計(jì)經(jīng)理,并建議重新測(cè)試這些控制下面哪個(gè)在線審計(jì)技術(shù)對(duì)于早期發(fā)現(xiàn)錯(cuò)誤或誤報(bào)有效A、嵌入式審計(jì)模塊B、綜合測(cè)試工具C、快照D、審計(jì)鉤以下哪項(xiàng)應(yīng)是IS審計(jì)師最為關(guān)注的:A、沒(méi)有報(bào)告網(wǎng)絡(luò)被攻陷的事件B、未能就企業(yè)闖入事件通知執(zhí)法人員C、缺少對(duì)操作權(quán)限的定期檢查D、沒(méi)有就闖入事件告之公眾為

10、滿足預(yù)定義的標(biāo)準(zhǔn),下面哪一種連續(xù)審計(jì)技術(shù),對(duì)于查找要審計(jì)的事務(wù)是最佳的工具?A、系統(tǒng)控制審計(jì)檢查文件和嵌入式審計(jì)模塊(SCARF/EAM)B、持續(xù)和間歇性模擬(CIS)C、整體測(cè)試(ITF)D、審計(jì)鉤(Audit hooks)在審查定義IT服務(wù)水平的過(guò)程控制時(shí)，信息系統(tǒng)審計(jì)師最有可能先與下列哪種人面談：A、系統(tǒng)編程人員B、法律顧問(wèn)C、業(yè)務(wù)單位經(jīng)理人員D、應(yīng)用編程人員如下哪一類風(fēng)險(xiǎn)是假設(shè)被檢查的方面缺乏補(bǔ)償控制:A、控制風(fēng)險(xiǎn)B、檢查風(fēng)險(xiǎn)C、固有風(fēng)險(xiǎn)D、抽樣風(fēng)險(xiǎn)對(duì)新的應(yīng)收帳模塊實(shí)施實(shí)質(zhì)性審計(jì)測(cè)試時(shí),IS審計(jì)師的日程安排非常緊,而且對(duì)計(jì)算機(jī)知識(shí)知之不多.那么,下面哪一項(xiàng)審計(jì)技術(shù)是最佳選擇?A、測(cè)試數(shù)

11、據(jù)B、平行模擬(Parallel simulation)C、集成測(cè)試系統(tǒng)(ITF)D、嵌放式審計(jì)模塊(EAM)制訂基于風(fēng)險(xiǎn)的審計(jì)程序時(shí),IS審計(jì)師最可能關(guān)注的是:A、業(yè)務(wù)程序/流程B、關(guān)鍵的IT應(yīng)用C、運(yùn)營(yíng)控制D、業(yè)務(wù)戰(zhàn)略下面的哪一種加密技術(shù)可以最大程度地保護(hù)無(wú)線網(wǎng)絡(luò)免受中間人攻擊？A、128位有線等效加密（WEP）B、基于MAC地址的預(yù)共享密鑰（PSK）C、隨機(jī)生成的預(yù)共享密鑰（PSK）D、字母和數(shù)字組成的服集標(biāo)識(shí)符（SSID處理計(jì)算機(jī)犯罪事件需要運(yùn)用管理團(tuán)隊(duì)的方法，下面哪一個(gè)角色的職責(zé)是明確的？A、經(jīng)理B、審計(jì)人員C、調(diào)查人員D、安全負(fù)責(zé)人安全事件應(yīng)急響應(yīng)系統(tǒng)的最終目標(biāo)是：A、對(duì)安全事件做

12、出的反應(yīng)不足B、檢測(cè)安全事件C、對(duì)安全事件做出過(guò)度反應(yīng)D、實(shí)施提高安全的保護(hù)措施在對(duì)數(shù)據(jù)中心進(jìn)行審計(jì)時(shí),審計(jì)師應(yīng)當(dāng)檢查電壓調(diào)整器是否存在,以保證:A、保護(hù)硬件設(shè)備免受浪涌損害B、如果主電力被中斷,系統(tǒng)的完整性也可以得到維護(hù)C、如果主電力被中斷,可以提供即時(shí)的電力供應(yīng)D、保護(hù)硬件設(shè)備不受長(zhǎng)期電力波動(dòng)的影響建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任?A、職能部門用戶B、內(nèi)部審計(jì)人員C、數(shù)據(jù)處理人員D、外部審計(jì)人員下面哪一種情況可以使信息系統(tǒng)安全官員實(shí)現(xiàn)有效進(jìn)行安全控制的目的?A、完整性控制的需求是基于風(fēng)險(xiǎn)分析的結(jié)果B、控制已經(jīng)過(guò)了測(cè)試C、安全控制規(guī)范是基于風(fēng)險(xiǎn)分析的結(jié)果D、控制是在可重復(fù)的基

13、礎(chǔ)上被測(cè)試的下面哪一種拒絕服務(wù)攻擊在網(wǎng)絡(luò)上不常見(jiàn)？A、服務(wù)過(guò)載B、對(duì)消息的洪水攻擊C、連接阻塞D、信號(hào)接地對(duì)每個(gè)字符和每一幀都傳輸冗余信息，可以實(shí)現(xiàn)對(duì)錯(cuò)誤的檢測(cè)和校正，這種方法稱為：A、反饋錯(cuò)誤控制B、塊求和校驗(yàn)C、轉(zhuǎn)發(fā)錯(cuò)誤控制D、循環(huán)冗余校驗(yàn)下列哪一種行為是互聯(lián)網(wǎng)上常見(jiàn)的攻擊形式？A、查找軟件設(shè)計(jì)錯(cuò)誤B、猜測(cè)基于個(gè)人信息的口令C、突破門禁系統(tǒng)闖入安全場(chǎng)地D、種值特洛伊木馬在一個(gè)單機(jī)運(yùn)行的微型計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器環(huán)境下，防止程序被盜竊和使系統(tǒng)免受病毒威脅的有效預(yù)防性措施不包括以下哪一條？A、提醒員工不要在非授權(quán)的情況下拷貝任何存放在計(jì)算機(jī)硬盤上受保護(hù)的可執(zhí)行程序B、禁止任何人從一張軟盤拷貝可執(zhí)行程序到另一張軟盤C、不允許有任何從軟件拷貝可執(zhí)行程序到硬盤的企圖D、禁止任何人從“外來(lái)的”軟盤上執(zhí)行任何程序IS審計(jì)師應(yīng)該參與：A、參觀災(zāi)難恢復(fù)計(jì)劃的測(cè)試和演練B、制定災(zāi)難恢復(fù)計(jì)劃C、維護(hù)災(zāi)難恢復(fù)計(jì)劃D、檢查災(zāi)難恢復(fù)需求有交的供應(yīng)商合同IS審計(jì)師發(fā)現(xiàn)企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃中選定的備用處理設(shè)施的處理能力只能達(dá)到現(xiàn)有系統(tǒng)的一半。那么他/她該怎么做？A、無(wú)需做什么。因?yàn)橹挥刑幚砟芰Φ陀谡５?5%，才會(huì)嚴(yán)重影響企業(yè)的生存和備份能力B、找出可以在備用設(shè)施使用的應(yīng)用，其它業(yè)務(wù)處理采用手工操作，制訂手工流程以備不測(cè)C