版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
試卷科目:CISA考試練習CISA考試練習(習題卷5)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習第1部分:單項選擇題,共260題,每題只有一個正確答案,多選或少選均不得分。[單選題]1.信息系統(tǒng)審計師擔心未經授權的用戶可能通過尾隨在后面等方式訪問高度敏感的數(shù)據(jù)中心,以下哪一項是信息系統(tǒng)審計師的最佳建議?A)入侵警報器B)雙道門C)生物特征D)訪問者陪同措施[單選題]2.在審查一個進行中的項目時,IS審計師注意到由于預期收益有所減少且成本有所增加,因此業(yè)務案例不再有效。IS審計師應建議A)中斷項目。B)更新業(yè)務案例并采取可行的糾正措施。C)將項目退回項目發(fā)起人進行重新審批。D)繼續(xù)完成項目,日后再更新業(yè)務案例。[單選題]3.發(fā)送消息的同時也發(fā)送由該發(fā)送者私鑰加密的消息哈希將確保:A)真實性和完整性B)真實性和隱私性C)完整性和隱私性D)隱私性和不可否認性[單選題]4.缺乏最高級管理層的對IT戰(zhàn)略規(guī)劃的承諾最可能的影響是?A)技術的投資不足B)缺乏系統(tǒng)開發(fā)的方法論C)技術和組織的目標不一致D)對技術合同缺乏控制[單選題]5.在進行業(yè)務持續(xù)審計的時候,審計師發(fā)現(xiàn)業(yè)務持續(xù)計劃僅僅覆蓋到了關鍵流程,那么審計師應該:A)建議業(yè)務持續(xù)計劃涵蓋所有業(yè)務流程B)評估未包含業(yè)務流程的影響C)將發(fā)現(xiàn)報告給IT經理D)重新定義關鍵流程[單選題]6.對重要的第三方應用程序執(zhí)行審查時,IS審計師在發(fā)現(xiàn)以下哪種情況時最為關注:A)不具備充分的流程,以確保系統(tǒng)存在足夠的可移植性B)不具備足夠的系統(tǒng)操作文檔C)不具備恰當?shù)膫溥x服務提供商列表D)不具備恰當?shù)能浖谌酵泄軈f(xié)議[單選題]7.以下哪種方法是防止便攜式計算機機密信息泄露的最有效的方法?A)用所有者的公鑰對硬盤進行加密處理B)激活引導口令(硬件設置口令)C)利用生物識別設備D)利用雙因子識別技術將登陸信息寫入記事本[單選題]8.下面哪一種關于安全的說法是不對的?A)加密技術的安全性不應大于使用該技術的人的安全性B)任何電子郵件程序的安全性不應大于實施加密的計算機的安全性C)加密算法的安全性與密鑰的安全性一致D)每個電子郵件消息的安全性是通過用標準的非隨機的密鑰加密來實現(xiàn)[單選題]9.在實施IT平衡記分卡時,組織必須:A)提供有效且高效率的服務。B)定義關鍵績效指標C)為IT項目提供業(yè)務價值。D)控制IT開支。[單選題]10.在對企業(yè)數(shù)據(jù)中心的系統(tǒng)預防性維護流程進行審查期間,IS審計師認定,所有關鍵的計算、供電和冷卻系統(tǒng)都得到了恰當?shù)木S護。此外,對IS審計師而言,最重要的是要確保組織A)已對所有服務人員進行背景調查。B)服務人員在工作執(zhí)行期間得到全程陪同。C)在非關鍵處理期間執(zhí)行維護。D)單獨驗證正在執(zhí)行維護。[單選題]11.評估IT外包策略時,策略中包括以下哪一項時IS審計師最為關注A)法律合規(guī)性責任的轉移B)推動簽訂長期而非短期合同C)僅以子公司作為外包對象D)沒有成立跨職能合同管理團隊[單選題]12.以下哪種情況會增加欺詐行為的可能性?A)應用程序開發(fā)人員正在執(zhí)行對生產程序的變更。B)管理員正在對供應商提供的軟件實施供應商補丁,但沒有遵守變更控制流程。C)操作支持人員正在執(zhí)行對批量計劃的變更D)數(shù)據(jù)庫管理員正在執(zhí)行對數(shù)據(jù)結構的變更。[單選題]13.以下哪種為開發(fā)客戶端應用程序時的普遍風險?A)應用程序可能不會被測試和IT一般控制B)增加開發(fā)和維護成本C)增加應用程序開發(fā)時間D)決策可能由于當請求信息時響應效率的降低而受到削弱[單選題]14.IS審計師發(fā)現(xiàn),某個組織的財務部門和營銷部門有關產品收益率的報告分別給出了不同的結果。通過進一步的調查發(fā)現(xiàn),這兩個部門所使用的產品定義不同。該S審計師應該建議以下哪個選項A)所有報告發(fā)布到生產之前進行用戶驗收測試(UAT)B)實施組織的數(shù)據(jù)治理實務C)針對報告開發(fā)使用標準軟件工具D)管理部門對新報告的要求簽字認可[單選題]15.一個備份站點包括電線、空調和地板,但不包括計算機和通訊設備,那么它屬于A)冷站B)溫站C)直線站點D)鏡像站點[單選題]16.某個組織已經外包了其IT客戶服務活動。IS審計師在審查該組織與供應商之間的合同及相關服務等級協(xié)議(SLA)時,最應關注的是以下哪個選項的規(guī)定:A)關于員工背景調查的文檔。B)獨立審計報告或完全的審計訪問權限C)報告逐年遞增的成本降低D)報告員工流失、發(fā)展或培訓[單選題]17.某金融機構每天要處理大量的交易,其配備了一臺連接到自動提款機(ATMの的中央通信處理器(交換機).以下哪項應急計劃對該通信處理器最有利?A)與另一個組織簽訂互惠協(xié)議B)在相同位置安裝備用處理器C)在另一個網絡節(jié)點安裝備用處理器D)安裝雙工通信線路[單選題]18.組織財務系統(tǒng)的災難恢復計劃規(guī)定,恢復點目標(RPO)為零,并且恢復時間目標(RTO)為72小時。下列哪一項是最具成本效益的解決方案?A)熱備援中心可在八小時內投入使用,并對交易日志記錄進行異步備份B)對多個位置處的分布式數(shù)據(jù)庫系統(tǒng)進行異步更新C)對熱備援中心中的數(shù)據(jù)和備用系統(tǒng)進行同步更新D)對于可在48小時內投入使用的溫備援中心,以遠程方式同步復制其中的數(shù)據(jù)[單選題]19.在設計航空預定系統(tǒng)的業(yè)務連續(xù)性計劃時,遠程數(shù)據(jù)傳輸/備份的最好方法是:A)shA、D、ow文件進程B)電子鏈接C)磁盤鏡像D)熱站[單選題]20.用雙門安全系統(tǒng)控制人員訪問計算機設備的主要目的是:A)防止跟隨。B)防止有毒氣體進入數(shù)據(jù)中心。C)隔離氧氣以防火。D)防止過快進入或離開設備。[單選題]21.下列哪一項最有助于降低某設備獲取其他設備的數(shù)據(jù)包的可能性?A)集線器B)交換機C)路由器D)防火墻[單選題]22.在業(yè)務連續(xù)性計劃(BCP)中,下面哪個求救電話目錄是最重要的?A)先聯(lián)系設備供貨商和電力、通訊等資源B)先聯(lián)系保險公司C)先聯(lián)系人力中介公司D)已排定優(yōu)先級的聯(lián)絡表(緊急救援電話表)[單選題]23.在銀行信息系統(tǒng)審計期間,信息系統(tǒng)審計員評估是否企業(yè)對員工訪問操作系統(tǒng)進行了適當?shù)墓芾?,信息系統(tǒng)審計人員應該判斷是否企業(yè)執(zhí)行了:A)定期檢查用戶活動日志B)在特定領域登記核實用戶授權C)檢查數(shù)據(jù)通信活動日志D)定期檢查改變的數(shù)據(jù)文件[單選題]24.信息系統(tǒng)審計師對網絡操作系統(tǒng)進行審計,下列哪項用戶特征是信息系統(tǒng)審計師應該審閱的?A)在線網絡文件的可獲得性B)支持訪問遠程主機的終端C)在主機和用戶之間處理文件的傳輸D)實施管理、審計和控制[單選題]25.以下哪一項是幫助防止敏感數(shù)據(jù)通過電子郵件流出企業(yè)的最佳控制?A)進行定期網絡釣魚(phishing)測試B)阻止未加密發(fā)送出站的電子郵件C)掃描外發(fā)電子郵件D)為員工提供加密解決方案[單選題]26.IT指導委員會評審信息系統(tǒng)主要是為了評估?A)IT流程是否支持業(yè)務需求B)系統(tǒng)功能是否充足C)現(xiàn)有軟件的穩(wěn)定D)以安裝的技術的復雜性[單選題]27.下面哪一項是防止筆記本電腦中機密信息泄漏的最好方法?A)用所有者的公鑰對硬盤進行加密。B)啟用啟動密碼(基于硬件的密碼)。C)應用生物識別身份認證設備。D)使用雙因素身份認證登錄該筆記本電腦。[單選題]28.在較小的組織中,開發(fā)人員可能會將緊急變更直接發(fā)布到生產。在這種情況下,以下哪一項能夠最好地控制風險?A)在下一個營業(yè)日審批和記錄變更。B)將開發(fā)人員對生產的訪問權限限制在特定時間范圍內C)在發(fā)布到生產之前獲得第二次審核。D)禁用生產計算機中的編譯器選項。[單選題]29.做下面哪一項在峰值使用時間回導致以外掉線?A)進行數(shù)據(jù)遷移或磁帶備份B)進行電子系統(tǒng)預防性維護C)將應用從開發(fā)環(huán)境提升到生產系統(tǒng)D)替換數(shù)據(jù)中的主要路由器的供電配件[單選題]30.某公司為采用一種客戶直銷的新方法而實施業(yè)務流程再造(BPR)項目。對于新流程,IS審計師應最關注以下哪一項?A)是否存在保護資產和信息資源的關鍵控制B)系統(tǒng)是否符合公司客戶要求C)系統(tǒng)能否滿足績效目標(時間和資源D)新系統(tǒng)是否支持職責分離[單選題]31.以下哪一項是用以確定執(zhí)行跟蹤審計過程時間表的最重要標準?A)與安排的下一次審計之間的協(xié)調B)來自發(fā)現(xiàn)結果的風險暴露C)被審計單位的時間許可D)審計資源的可用性[單選題]32.在實施企業(yè)資源規(guī)劃(ERP)系統(tǒng)期間,信息系統(tǒng)審計師正在審查用戶驗收測試UAT結果,審計師應確定的主要焦點應是確定:A)測試流程中發(fā)現(xiàn)的所有錯誤是否已得到正B)是否已經圓滿測試了應用程序接口C)系統(tǒng)集成測試是否已進行D)業(yè)務流程所有者是否已經同意并簽署測試結果[單選題]33.下列數(shù)據(jù)庫管理員(DBA)進行的活動中,應該由不同的人執(zhí)行?A)刪除數(shù)據(jù)庫活動日志B)數(shù)據(jù)庫優(yōu)化工具的使用C)檢測數(shù)據(jù)庫的使用D)備份和恢復定義的使用[單選題]34.管理層讓一個初級IS審計師用他最佳的判斷力來準備并發(fā)布一個最終報告,因為沒有可用的其他高級IS審計師來檢查其工作報告。這種情況最主要的風險是?A)由于審計沒有按照標準執(zhí)行而造成聲譽損失B)審計報告不能識別和分類關鍵風險C)客戶管理者會質疑其結果D)審計報告可能不會被審計經理所批準[單選題]35.當回顧外包IT服務提供商時,以下哪項為信息系統(tǒng)審計師的主要關注點?A)服務提供商成本最小化B)禁止供應商轉包服務C)評估將知識轉交給IT部門的流程D)確定服務是否和合同相符[單選題]36.下列哪一項技術最能幫助信息系統(tǒng)審計師獲得有關項目滿足它的目標日期的合理保證?A)根據(jù)情況報告,在已完成的百分比和估計完成的時間的基礎上評估實際結束日期。B)在與參與已交付工程的有經驗的經理和員工交談地基礎上確認目標日期。C)在已完成的工作任務和現(xiàn)在的資源的基礎上推算最后的結束日期。D)在當前的資源和剩余可用項目資金的基礎上推算期待的結束日期。[單選題]37.以下哪種系統(tǒng)或工具可以辨識信用卡被盜用?A)入侵檢測系統(tǒng)B)數(shù)據(jù)挖掘技術C)防火墻D)包過濾路由器[單選題]38.使用面向對象設計和開發(fā)技術的應用最可能:A)使模塊具有重用性B)提高系統(tǒng)性能C)提高控制有效性D)加快系統(tǒng)開發(fā)生命周期[單選題]39.審計師在評審企業(yè)的系統(tǒng)開發(fā)測試策略。關于在測試過程中使用生產數(shù)據(jù)的陳述中,審計師會認為下面哪種陳述是最恰當?shù)模緼)在生產數(shù)據(jù)被用于測試以前,高級IS和業(yè)務經理必須批準該行為。B)只要將生產數(shù)據(jù)復制到一個安全的測試環(huán)境中,才可以被使用。C)生產數(shù)據(jù)絕不能被使用。必須基于書面的測試用例文檔來準備所有的測試數(shù)據(jù)。D)簽署了保密協(xié)議就可使用生產數(shù)據(jù)。[單選題]40.IS審計師使用數(shù)據(jù)流程圖是用來?A)定義數(shù)據(jù)層次B)標明高級別數(shù)據(jù)定義C)用圖表概述數(shù)據(jù)路徑和存儲D)描繪寫數(shù)據(jù)生成的詳細步驟信息[單選題]41.認證頒發(fā)機構(CA)作為第三方的作用是?A)基于認證提供安全的通信和網絡服務B)管理由該CA頒發(fā)并具有相應公鑰和私鑰的認證庫C)擔當兩個通信伙伴之間的受信任中介D)確認有用該CA所頒發(fā)認證的實體身份[單選題]42.審查廣域網(WAN)的使用中發(fā)現(xiàn),在同步連接主數(shù)據(jù)庫和備用數(shù)據(jù)庫站點的通信線路中的流量最高達到信息容量的96%,IS設計師可以得出結論:A)需要分析以便確定是否出現(xiàn)了短期內能導致服務中斷的情況B)廣域網的通信能力足以滿足最大流量因為還沒達到飽和狀態(tài)C)應該立刻更換更大容量的線路,以便提供大約85%的飽和度D)應該通知用戶減少通訊流量,或分配其服務時間以便平衡寬帶消耗[單選題]43.以下哪一項最有利于執(zhí)行管理層實現(xiàn)IT和業(yè)務的一致性?A)基準指標對比(benchmarking)B)風險評估C)衡量績效D)平衡計分卡[單選題]44.在公鑰基礎設施(PKI)中,處理私鑰安全的詳細說明是?A)證書撤銷列表(C、RL)B)證書實務聲明(C、PS)C)證書策略(C、P)D)PKI披露條款(PD、S)[單選題]45.評估IT風險被很好的達到,可以通過:A)評估IT資產和IT項目總共的威脅B)用公司的以前的真的損失經驗來決定現(xiàn)在的弱點和威脅C)審查可比較的組織公開的損失統(tǒng)計D)審查在審計報告中的可識別的IT控制缺陷[單選題]46.數(shù)據(jù)分類第一步應做的是A)建立數(shù)據(jù)擁有者B)風險分析C)定義訪問規(guī)則D)創(chuàng)建數(shù)據(jù)字典[單選題]47.IS審計師審計一個軟件開發(fā)項目,項目已完成80%以上,但時間已經超期限25%,成本超過10%。則審計師該?A)報告組織沒有進行有效的項目管理。B)建議更換項目經理。C)審查IT治理結構。D)審查該項目的執(zhí)行過程和業(yè)務方案(判斷商業(yè)模式是否發(fā)生變更)。[單選題]48.成功的控制自我評估(CSA)是高度依靠:A)把一部分控制監(jiān)控的責任給在管理層B)讓管理層承擔建立控制而不是監(jiān)控控制的責任C)執(zhí)行嚴格的控制政策和以規(guī)則為導向的控制D)執(zhí)行監(jiān)督和監(jiān)控被指定責任的控制[單選題]49.下列哪項是信息系統(tǒng)審計師需要考慮的和短期規(guī)劃最相關的?A)分配資源B)保持目前技術的先進性C)開展控制自我評估D)硬件需求評估[單選題]50.執(zhí)行問題管理機制的第一步應該是:A)問題分析。B)例外等級評定。C)例外報告D)根本原因分析。[單選題]51.以下哪種類型的防火墻提供了最高等級和粒度的控制?A)屏蔽路由器B)數(shù)據(jù)包過濾器C)應用網關D)電路網關[單選題]52.下面哪一個測試階段的錯誤,會對新系統(tǒng)的實施產生最大的影響。A)系統(tǒng)測試B)接受測試C)集成測試D)單元測試[單選題]53.評估商業(yè)連續(xù)計劃效果最好的方法是:A)使用適當?shù)臉藴蔬M行規(guī)劃和比較B)之前的測試結果C)緊急預案和員工培訓D)環(huán)境控制和存儲站點[單選題]54.在提供備份計算機設備方面,下面哪一種情況是成本最低的?A)互助協(xié)議B)共享設備C)服務機構D)公司擁有的鏡像設備[單選題]55.下列哪項控制是信息系統(tǒng)審計師在面對職責不能被適當?shù)姆蛛x的環(huán)境時所尋找到的?A)重疊控制B)邊界控制C)訪問控制D)補償控制[單選題]56.在審査IT短期(戰(zhàn)術)計劃時,IS審計師應確定A)IT和業(yè)務人員是否參與項目。B)是否明確定義IT使命和愿景。C)是否采用戰(zhàn)略信息技術計劃記分卡。D)該計劃是否使業(yè)務目標與IT目的和目標相關聯(lián)。[單選題]57.在公鑰基礎架構(PKI)中,應根據(jù)下面哪一項證明在線交易是經特定客戶授權的?A)不可否認性B)加密C)身份認證D)完整性[單選題]58.在客戶機-服務器系統(tǒng)環(huán)境中,下面哪一項控制技術可用于檢查已知或未知用戶的活動?A)無盤工作站B)數(shù)據(jù)加密技術C)網絡監(jiān)控設備D)認證系統(tǒng)[單選題]59.下列哪一項是可以用于捕捉網絡用戶密碼的技術?A)加密B)嗅探C)欺騙D)數(shù)據(jù)毀壞[單選題]60.一名程序員對一份薪資系統(tǒng)報告中的關鍵字段做了未經授權的變更。下列哪一種控制弱點最可能導致該問題?A)工資文件不受程序庫管理員控制。B)程序設計人員沒有讓用戶參與測試。C)程序設計人員有權訪問生產程序。D)未將用戶需求記錄。[單選題]61.TCP/IP協(xié)議簇包含的面向連接的協(xié)議處于:A)傳輸層B)應用層C)物理層D)網路層[單選題]62.在最近發(fā)生內部數(shù)據(jù)泄露事件后,要求信息系統(tǒng)審計師對公司內的信息安全實踐進行評估。向高級管理層報告以下哪一項審計結果是最重要的?A)用戶缺乏與安全和數(shù)據(jù)保護相關的技術知識B)員工無需簽署競業(yè)禁止協(xié)議C)桌面電腦密碼不需要特殊字符D)安全教育和意識研討會尚未完成[單選題]63.如果數(shù)據(jù)庫用前象存儲進行還原,接著這個中斷,流程應該從哪里開始?A)在最后一個事務之前B)在最后一個事務之后C)最新的檢查點之后的第一個事務D)最新的檢查點之前的最后一個事務[單選題]64.下列哪一項可以幫助信息系統(tǒng)審計師審查移植到生產程序中的程序更改的完整性?A)數(shù)據(jù)庫數(shù)據(jù)結構(databaseB)磁帶管理系統(tǒng)C)配置管理系統(tǒng)(configurationmanagementsystem)D)操作系統(tǒng)日志數(shù)據(jù)[單選題]65.控制自我估計(C、SA、)的成功高度依賴于:A)由基層管理人員承擔部分控制監(jiān)控職責B)分配給成員管理者建筑的職責,但沒有監(jiān)控和控制職責C)實施的嚴厲控制政策和規(guī)則驅動的控制D)實施監(jiān)管和分配職責中控制點的監(jiān)控[單選題]66.對IT系統(tǒng)實施滲透測試時,組織最應關注以下哪項:A)報告的機密性B)找到系統(tǒng)中的所有潛在漏洞C)將所有系統(tǒng)恢復為原始狀態(tài)D)記錄生產系統(tǒng)的所有更改[單選題]67.下列哪項是使災難恢復計劃(DRP)有效的最關鍵因素?A)備份數(shù)據(jù)存儲在異地B)關鍵災難恢復聯(lián)系人名單中的數(shù)據(jù)保持在最新狀態(tài)C)后備數(shù)據(jù)中心的可用性D)明確定義了恢復時間目標(RTO)[單選題]68.IS審計師參與應用系統(tǒng)開發(fā),他們從事以下哪項可以導致獨立性的減弱.A)對系統(tǒng)開發(fā)進行了復核B)對控制和系統(tǒng)的其他改進提出了建議C)對完成后的系統(tǒng)進行了獨立評價D)積極參與了系統(tǒng)的設計和完成[單選題]69.審查信息安全政策時,以下哪個選項令IS審計師最為關注?該政策:A)在IT部門目標的推動下設立B)公開發(fā)布,但未要求用戶閱讀政策C)不包含信息安全流程D)已超過一年沒有更新[單選題]70.以下哪種滲透測試能夠最有效地評估組織的事故處理和響應能力?A)針對性測試B)外部測試C)內部測試D)雙盲測試[單選題]71.一家企業(yè)在公司內部建立了數(shù)據(jù)中心,而將主要的財務應用程序的管理外包給了一家服務提供商。下列哪一項控制能夠最佳地確保服務提供商的員工遵守安全政策?A)要求所有用戶在企業(yè)安全政策上簽字表示保證遵守。B)將賠償條款加入到與服務提供商簽訂的合同中C)對所有用戶強制實施安全意識培訓D)應該修改安全政策,以解決第三方用戶合規(guī)性問題。[單選題]72.數(shù)字簽名的用途:A)需要使用一個性口令生成器B)提供信息加密技術。C)確保信息來源有效。D)確保信息機密性。[單選題]73.審查IT組織的IS審計師最關心的是IT督導委員會是否:A)負責項目審批以及優(yōu)先級的確定。B)負責開發(fā)長期的IT計劃。C)將IT項目狀況向董事會報告。D)負責確定業(yè)務目標。[單選題]74.IS審計師發(fā)現(xiàn)由于開發(fā)人員實施缺陷修復工作從而導致新系統(tǒng)的用戶驗收測試被再三中斷。下面哪項是該IS審計師給出的最佳建議?A)考慮采用獨立用戶驗收環(huán)境的可行性。B)安排在每天的既定時間進行用戶測試。C)實施源代碼版本控制工具。D)只測試高優(yōu)先級缺陷。[單選題]75.審計自動化系統(tǒng)時,不是每次都能夠確立責任人和報告層級關系,因為A)多種多樣的控制能夠導致所有權不相關。B)員工習慣于頻繁更換工作。C)共享資源的領域很難確立所有權。D)隨著技術的飛速發(fā)展,職務變動頻繁。[單選題]76.在制定年度信息系統(tǒng)審計計劃時,進行風險評估的主要原因是什么?A)確定被審計領域存在相應控制B)決定便用哪些審計程序和技巧C)對涵蓋關鍵項目提供保證D)確定審計領域及其優(yōu)先級[單選題]77.以下哪一項是確保數(shù)據(jù)分析項目使用的個人數(shù)據(jù)無法識別的最佳方式?A)匿名化(anonymization)B)重新識別(reidentification)C)標記化(tokenization)D)隨機化(randomization)[單選題]78.組織的管理層決定建立一項安全認識程序。下列哪項最應該包含在該項目中?A)利用入侵檢測系統(tǒng)報告發(fā)生的事件。B)要求使用密碼登陸所有軟件C)安裝一個有效的用戶日志系統(tǒng)來跟蹤每個用戶的操作。D)對所有新老職員進行定期培訓[單選題]79.在恢復C、yB、er攻擊中,下列哪一項是最重要的行動?A)組建一個事件反應團隊B)利用C、yB、er事故調查員C)執(zhí)行業(yè)務可持續(xù)性計劃D)主張保險要求[單選題]80.業(yè)務連續(xù)性計劃使用哪種測試方法最合適?A)試運行B)紙面C)單元D)系統(tǒng)[單選題]81.一家B2C電子商務網站的信息安全程序要求能夠監(jiān)測和預防黑客的活動,一時有可疑行為即警示系統(tǒng)管理員。下面的哪個系統(tǒng)組件可以實現(xiàn)這個目標?A)入侵監(jiān)測系統(tǒng)(IDS)B)防火墻C)路由器D)不對稱加密[單選題]82.IT系統(tǒng)恢復互惠協(xié)定的現(xiàn)場測試已經進行,其中包括重點使用的業(yè)務單元的四小時測試。測試已經成功,但只對以下那部分提供了保障:A)系統(tǒng)和IT操作團隊在緊急環(huán)境下可持續(xù)的操作。B)資源和環(huán)境可以承受事務負載。C)連接到遠程站點的應用程序滿足響應時間的要求。D)在發(fā)生災難情況下,實際業(yè)務操作流程可以使用緊急系統(tǒng)。[單選題]83.信息系統(tǒng)審計師正在審查對應用的訪問控制,以確定10個最新的用戶賬號是否被適當?shù)氖跈?。這是一個屬于以下哪個方面的例子?A)變量抽樣B)實質性測試C)符合性測試D)停走抽樣[單選題]84.許多組織要求雇員強制性休假一周或者更多,目的是:A)確保雇員保持好的生活質量,從而提供更高的生產力B)減少雇員做不恰當或不合法事情的機會C)為另一名雇員提供適當?shù)臋M向培訓D)消除因為雇員一次休假一天所導致的潛在破壞[單選題]85.當數(shù)據(jù)采用HTTPS協(xié)議進行傳輸時,以下哪點最令人擔心A)傳輸雙方的PC、中存在間諜軟件B)嗅探軟件的使用C)RSA、加密算法的使用D)數(shù)據(jù)傳輸中使用對稱加密算法[單選題]86.以下哪種能滿足雙重用戶身份認證?A)虹膜加指紋掃描B)終端號加全球定位系統(tǒng)(GPS)C)需要用戶識別號的智能卡D)用戶代碼加密碼[單選題]87.為協(xié)助記錄軟件發(fā)布的基準,IS審計師應建議執(zhí)行以下哪個流程?A)變更管理B)備份和恢復C)事故管理D)配置管理[單選題]88.下面哪一項措施對成功建立企業(yè)IT體系結構至關重要?A)企業(yè)對標準化的支持B)體系結構中僅包含關鍵系統(tǒng)C)完善的數(shù)據(jù)轉移政策D)與其他組織的體系結構進行比較[單選題]89.IS審計師在審查EDI交易過程中發(fā)現(xiàn)存在未經授權的交易,審計師可能會建議改進:A)EDI貿易伙伴協(xié)議。B)終端物理控制。C)發(fā)送和接受消息鑒證技術D)程序變更控制程序。[單選題]90.繞過正常變更控制流程的緊急變更在以下哪種情況下是最可以接受的A)管理人員在變更發(fā)生后對變更進行審查和審批。B)變更在發(fā)生時由同事進行審查C)變更由運營部門記錄在變更控制系統(tǒng)中D)管理人員已預先批準所有緊急變更。[單選題]91.在測試變更控制流程的設計有效性方面,以下哪種方式最有效?A)測試變更請求的樣本總體B)測試已授權變更的樣本C)約談變更控制流程的負責人D)對流程執(zhí)行端到端的穿行測試[單選題]92.在服務器觀察到可疑的活動之后,管理層要求法庭分析。下面哪一個發(fā)現(xiàn)是與調查最相關的?A)服務器是工作組的成員和不是服務其域的一部分B)服務器上的GUEST賬戶可用C)近來,在服務器上創(chuàng)建的100個用戶D)服務器上審計日志不可用[單選題]93.當一個組織的備份設施處在溫站時,下列哪一項是最關心的?A)硬件的及時可用性、B)熱度,濕度和空調設備的可用性、C)電力連接充足、D)電信網絡的有效性、[單選題]94.以下哪項屬于IT平衡計分卡的4個關鍵角度中的3個?【已經理解】書第70頁A)業(yè)務判斷,服務水平協(xié)議,預算B)組織人員,成本減少,雇員培訓C)成本減少,業(yè)務流程,增長D)服務水平,關鍵成功因素,供應商選擇[單選題]95.當評估一個組織的軟件開發(fā)實務時,信息系統(tǒng)審計師注意到質量保證能直接報告給項目經理,作為一個信息系統(tǒng)審計師最重要的關系是:A)質量保證功能的有效性,因為項目管理人員和用戶管理人員之間相互影響。B)質量保證功能的效能,因為項目實施小組的配合。C)項目經理的效力,因為項目經理與質量保證功能互相影響。D)項目經理的效能,因為質量保證功能需要與項目實施小組聯(lián)系。[單選題]96.如果預算有限的情況下,且一個區(qū)域內有多個辦公場所,下列那一項是最適合的恢復策略?A)商業(yè)熱站維護B)民用冷站C)辦公室之間互惠協(xié)議D)第三方熱站[單選題]97.在審查災難恢復計劃(DRP)時,IS審計師最關注的是缺少:A)流程責任人的參與。B)記錄良好的測試程序。C)備用處理設施。D)記錄良好的數(shù)據(jù)分類方案。[單選題]98.審計客戶/服務器資料庫安全時,IS審計師應該最關注于哪一方面的可用性?A)系統(tǒng)工具B)應用程序生成器C)系統(tǒng)安全文文件D)訪問存儲流程[單選題]99.中央防病毒系統(tǒng)負責在允許個人電腦接入網絡之前,確定每臺PC機是否具有最新的病毒定義文件,并安裝最新的病毒定義文件。A)指令性控制。B)改正性控制。C)補償性控制。D)檢測性控制[單選題]100.一個IS審計師被分配去執(zhí)行一項測試:比較計算機作業(yè)運行日志與作業(yè)計劃表。下面哪一條是IS審計師最需要關注的?A)有越來越多的緊急變更B)存在某些作業(yè)沒有按時完成的情況C)存在某些作業(yè)被計算機使用者否決的情況D)證據(jù)顯示僅僅運行了預先計劃的作業(yè)[單選題]101.在準備災難恢復計劃時下列哪一個任務是應該最先被執(zhí)行的?A)制定恢復策略B)進行業(yè)務影響分析(BIA)C)描述出軟件系統(tǒng),硬件系統(tǒng)和網絡系統(tǒng)等組件D)任命恢復團隊的人員、角色和等級[單選題]102.IS審計師在檢查一個推薦的應用軟件采購時應該確保:A)使用的操作系統(tǒng)與現(xiàn)有的硬件平臺相兼容B)計劃操作系統(tǒng)的升級已按照公司要求的最小負面影響來安排時間C)操作系統(tǒng)是最新版本并且實時升級D)產品與當前或者計劃中的操作系統(tǒng)相兼容[單選題]103.企業(yè)里有個混合訪問點不能升級其安全強度,而新的訪問點具有高級無線安全特性。IS審計師建議用新的訪問點替換老的混合訪問點,下面哪一個選項支持IS審計師的建議的理由最為充分?A)新的訪問點具有更高的安全強度B)老的訪問點性能太差C)整個企業(yè)網路的安全強度,就是其最為薄弱之處的安全強度D)新的訪問點易于管理[單選題]104.組織有完整的開發(fā)環(huán)境(ID、E),所有程序庫都存放在服務器上,但是更新/開發(fā)和測試都是在PC、工作站中完成。以下哪項將在ID、E中得到加強?A)對程序版本進行控制。B)提高程序資源和工具的可用性。C)提高程序和處理的完整性。D)防止有效的變更被其它的變更所覆蓋。[單選題]105.在開發(fā)階段添加新的系統(tǒng)功能時,以下哪一項是與沒有遵循項目更改管理流程相關的主要風險?A)尚未記錄添加的功能B)新功能可能不符合需求C)項目可能無法在規(guī)定期限完成D)項目可能超出預算[單選題]106.審査一份業(yè)務連續(xù)性計劃時,IS計師注意到,對哪一種情況被宣布為危機的臨界點尚未進行定義與此相關的主要風險是:A)對情況的評估可能會延退。B)災難恢復計劃的執(zhí)行可能受影響。C)可能不會通知相關團隊。D)潛在危機的識別可能會延遲。[單選題]107.在測試數(shù)據(jù)中使用清潔活動交易的一個優(yōu)點是:A)數(shù)據(jù)事務類型可以包括進來B)每個錯誤情況可能被測試C)沒有特殊過程被要求來訪問這些結果D)測試事務是活動過程的代表[單選題]108.內部審計部門編寫了一些腳本,用于對某些信息系統(tǒng)(IS)的持續(xù)審計。IT部門要求獲得腳本副本,以用來在關鍵系統(tǒng)上設立連續(xù)監(jiān)控流程。與IT部門分享這些腳本是否會影響IS審計師獨立、客觀地審計IT部門的能力?A)不允許分享腳本,因為這會使IT部門能夠對系統(tǒng)進行預審計并避開精確、全面的審計。B)需要分享腳本,因為IT部門必須能夠審核在IS系統(tǒng)上運行的所有程序和軟件,無論是否削弱審計獨立性。C)只要IT部門認識到審計還可能在腳本覆蓋范圍以外進行,便可以允許分享腳本。D)不允許分享腳本,因為這意味著編寫腳本的IS審計師將不被允許計任何使用該腳本進行監(jiān)控的系統(tǒng)。[單選題]109.當員工離職時,最重要的工作是:A)將員工的所有文件移交給另一位指定員工。B)完成對員工工作的備份。C)將此解約通知給其他員工D)禁止該員工的邏輯訪問。[單選題]110.在IS合規(guī)性審計規(guī)劃階段,以下哪個選項是決定數(shù)據(jù)收集內容的最重要因素A)組織業(yè)務的復雜性B)上一年度的審計結果和注意到的問題C)審計的目的、目標和范圍D)審計師對組織的熟練程度[單選題]111.在現(xiàn)場工作觀察和客戶方IS部門的訪談期間,一位IS審計師發(fā)現(xiàn)客戶近期實施的應用程序軟件包存在很多問題。以下哪個問題帶來的風險最大?A)安全控制規(guī)定不當B)存在多個軟件版本C)參數(shù)設置不正確D)沒有明確定義的培訓計劃[單選題]112.IT治理的最終目的是?A)推動優(yōu)化利用ITB)降低IT成本C)在整個組織中分散IT控制D)集中的IT控制[單選題]113.以下哪項是控制自我評估(CSA)的關鍵優(yōu)勢?A)企業(yè)管理目標的內部控制得到加強B)由外部審計轉為內部評估時,會減少相關的費用C)由企業(yè)內部員工從事業(yè)務測試,有利于檢測欺詐行為D)通過使用評估結果,內部審計人員可以轉變?yōu)樽稍冾檰柕慕巧玔單選題]114.在審計過程中,IS審計師注意到,應用程序開發(fā)員還對特定的應用程序執(zhí)行質量保證測試。該IS審計師應執(zhí)行以下哪個選項?A)建議補償性控制B)審査開發(fā)員創(chuàng)建的代碼C)分析質量保證儀表板D)報告所發(fā)現(xiàn)的狀況。[單選題]115.對服務器中可疑活動進行觀察后,經理要求進行取證分析。以下哪種結果最能引起該調查者的關注?A)該服務器是工作中的一員,而不屬于服務器域的一部分。B)某來賓帳戶在該服務器中得以啟用C)近期,該服務器中創(chuàng)建了100個用戶。D)該服務器沒有啟用審計日志。[單選題]116.出現(xiàn)以下哪種情況時,審計師最需要對第三方托管的云計算環(huán)境進行審查A)該組織無權評估參與供應商網站中的控制。B)服務等級協(xié)議(SLA)未規(guī)定出現(xiàn)安全漏洞時供應商應承擔的C)組織和供應商所在國家/地區(qū)的法律和法規(guī)不同。D)組織使用的舊版瀏覽器存在某些類型的安全風險。[單選題]117.在即將實施前對項目進行評估時,下列哪一項可提供表明系統(tǒng)具備所需功能的最佳證據(jù)?A)質量保證結果B)用戶驗收測試結果C)高級管理人員的簽核D)集成測試結果[單選題]118.在信息系統(tǒng)審計的計劃階段,信息審計師的首要目標是A)確定審計目標B)收集足夠的證據(jù)C)設計詳細測試D)最小化審計資源[單選題]119.作為信息安全治理的結果,戰(zhàn)略一致性提供了:A)由企業(yè)需求驅動的安全要求。B)符合良好實踐的基準安全。C)制度化和商品化的解決方案。D)對風險暴露的了解。[單選題]120.對服務提供商進行審計時,IS審計師發(fā)現(xiàn),該服務提供商已將部分工作外包給了其他提供商。由于此工作涉及到機密信息,因此,IS審計師應當首先考慮:A)有關保護信息機密性的要求可能會受到損害。B)合同有可能被終止,因為事先未獲得外包商許可。C)提供部分外包工作的其他服務提供商不需要接受審計。D)外包商將直接與其他服務提供商進行接觸,以便進一步開展工作。[單選題]121.在應用程序計期間,一位IS審計師收到請求,為數(shù)據(jù)庫參照完整性提供保證。應對以下哪項進行審查?A)字段定義B)主表定義C)復合鍵D)外鍵結構[單選題]122.信息系統(tǒng)管理人員告訴信息系統(tǒng)審計師組織最近達到了軟件能力成熟度模型(C、MM)的最高水平,則最近組織增加的軟件質量流程是:A)持續(xù)改進B)量化的質量目標C)文檔化流程D)為某一特殊項目定制的流程[單選題]123.一名信息系統(tǒng)審計員被指派審閱最近外包給多個服務商的IT組織結構和活動。信息系統(tǒng)審計員應該最先決定下面哪個選項:A)在所有合同有相關的審計條款B)每個合同的服務水平協(xié)議都有適當?shù)腒PI指標C)服務商的合同保證支持企業(yè)的業(yè)務需求D)合同終止時,每個外包商會保證有新的外包商提供服務支持[單選題]124.在審計企業(yè)資源規(guī)劃(ERP)財務系統(tǒng)的邏輯訪問控制期間,IS審計師發(fā)現(xiàn)某些用戶賬戶為多人共享、用戶ID基于角色而不是基于個人身份、這些賬戶允許對ERP中的金融交易進行訪問。IS審計師接下來應該做什么?A)尋求補償控制。B)審查金融交易日志。C)審查審計范圍。D)要求管理員禁用這些賬戶。[單選題]125.信息系統(tǒng)審計師回顧組織的風險估價流程時應首先:A)鑒別對于信息資產威脅的合理性B)分析技術和組織弱點C)鑒別并對信息資產進行分級D)對潛在的安全漏洞效果進行評價[單選題]126.特定威脅的總體業(yè)務風險可定量地表示為:A)影響的可能性和影響大小的乘積(如果威脅成功利用漏洞)。B)影響的大小(如果威脅源成功利用漏洞)C)特定威脅源利用特定漏洞的可能性D)風險評估團隊的集體判斷。[單選題]127.以下哪項對應用程序系統(tǒng)的成功實施影響最大?A)原型設計應用程序開發(fā)方法B)符合適用的外部要求C)整體組織環(huán)境D)軟件再工程技術[單選題]128.當使用一個ITF時,審計員應確保;A)生產數(shù)據(jù)用于測試B)測試數(shù)據(jù)隔離與生產數(shù)據(jù)C)使用一個測試數(shù)據(jù)生成器D)主文件根據(jù)測試數(shù)據(jù)更新[單選題]129.在軟件開發(fā)項目的需求定義階段,應該在軟件測試方面制定:A)覆蓋關鍵應用的測試數(shù)據(jù)。B)詳細的測試計劃。C)質量保證的測試規(guī)格。D)用戶驗收測試規(guī)格。[單選題]130.IT安全政策審計的主要目標是為了確保:A)讓所有員工都知曉并了解B)安區(qū)和控制政策能支持業(yè)務及IT目標C)有已經發(fā)布的組織機構圖,在圖中能了解所有的功能描述,即職位和職責D)確保職責分開[單選題]131.IS審計師正在評估內部軟件開發(fā)項目的項目管理流程。在軟件功能方面,IS審計師應查看是否已獲得以下哪方的簽字?A)項目經理。B)系統(tǒng)開發(fā)管理人員。C)業(yè)務部門管理入員。D)質量保證(QA)團隊。[單選題]132.用熱站作為一個備份選擇的優(yōu)勢是:A)熱站花費的成本是低的B)熱站在很長的時間應用C)熱站能在很短的時間內準備好運行D)他們不要求設備和系統(tǒng)軟件與主要站點協(xié)調[單選題]133.下面哪一項審計技術可以為證明IS部門的職責分離提供最好的依據(jù)?A)和管理層討論B)審核組織結構圖C)觀察與訪談D)測試用戶訪問權限[單選題]134.代碼簽名的目的是為保證:A)該軟件后來并未被修改B)應用程序可以和其他簽署的應用安全交互C)對應用程序的簽名者是被信任的D)簽名者的私鑰沒有被破壞[單選題]135.下列哪一項是電子郵件系統(tǒng)成為訴訟證據(jù)的有用來源的最有可能原因?A)備份文件的多個周期仍然可用、B)訪問控制為電子郵件活動建立了問責制、C)數(shù)據(jù)分類規(guī)范哪些信息應該通過電子郵件溝通。D)在企業(yè)內部,使用電子郵件的明確的政策可以確保證據(jù)可用。[單選題]136.為了使業(yè)務連續(xù)性計劃(BCP)在制定之后能夠得到有效實施,最重要的是BCP應該:A)存儲在公司外部的安全設施中。B)得到高層管理人員批準。C)溝通到相關人員。D)通過企業(yè)內網提供。[單選題]137.大學的IT部門和財務部(FSO,financialservicesoffice)之間簽有服務水平協(xié)議(SLA),要求每個月系統(tǒng)可用性超過98%。財務部后來分析系統(tǒng)的可用性,發(fā)現(xiàn)平均每個月的可用性確實超過98%,但是月末結賬期的系統(tǒng)可用性只有93%。那么,財務部應該采取的最佳行動是:A)就協(xié)議內容和價格重新談判B)通知IT部門協(xié)議規(guī)定的標準沒有達到C)增購計算機設備等(資源)D)將月底結賬處理順延[單選題]138.下列哪項在評價信息系統(tǒng)戰(zhàn)略時最重要?A)確保信息系統(tǒng)戰(zhàn)略最大化目前和未來信息技術資源的效率和利用。B)確保在所有信息系統(tǒng)中考慮信息安全。C)確保信息系統(tǒng)戰(zhàn)略支持公司愿景和目標。D)確保系統(tǒng)管理員為系統(tǒng)能力提供準確的輸入。[單選題]139.以下哪一項是互聯(lián)網上傳輸被列為機密文檔的最佳方法?A)通過不同的網絡路徑以多個數(shù)據(jù)包發(fā)送文檔B)使用虛擬專網網絡VPNC)對文檔內容采用散列算法并破壞哈希值D)在傳輸將文檔換位專有格式[單選題]140.組織使用的應用系統(tǒng)為無任何經過認證的開發(fā)人員研發(fā)補丁的開源系統(tǒng)。以下哪種為最安全的開源軟件更新方法?A)重寫補丁并應用B)檢查源碼并應用可用補丁C)開發(fā)內部補丁D)在應用前檢查并測試對應補丁[單選題]141.由于IT的變化,某大型組織的災難恢復計劃(DRP)已變更。如果新計劃未經測試,則主要風險是什么?A)災難性服務中斷B)資源消耗較高C)不會降低總恢復成本D)用戶和恢復團隊在激活計劃時可能面臨嚴重困難[單選題]142.以下哪類防火墻可以最好的保護網絡免受互聯(lián)網攻擊?A)屏蔽子網防火墻B)應用過濾網關C)數(shù)據(jù)包過濾路由器D)電路級網關[單選題]143.當鑒別提前一個項目的完成時間,需要額外付費的活動,以下哪項為關注的:A)活動時間最短B)零松弛時間(關鍵路徑)C)最長完成時間D)松弛時間最短者[單選題]144.IS審計師可以將授予生產數(shù)據(jù)訪問權限和系統(tǒng)訪問權限的職責委托給:A)流程負責人B)系統(tǒng)管理員C)安全管理員D)數(shù)據(jù)所有者[單選題]145.對于IS審計師來說,以下哪項通常是最可靠的證據(jù)?A)從驗證帳戶余額的第三方收到的確認函B)部門管理人員對應用程序按設計方式運行所做的保證C)從萬維網(Internt)來源獲得的趨勢數(shù)據(jù)D)IS審計師根據(jù)部門管理人員提供的報告所制作的比率分析[單選題]146.人力資源的副總要求審計師對去年工資單中的超額支付問題進行審查。以下哪項是適用于此情形下的最好的審計技術?A)測試數(shù)據(jù)B)通用審計軟件C)整合性測試設施(ITF)D)嵌入式審計模塊[單選題]147.為了確定哪些用戶有權進入享有特權的監(jiān)控態(tài),IS審計人員應該檢查以下哪一項?A)系統(tǒng)訪問日志文件B)被啟動的訪問控制軟件參數(shù)C)訪問控制違犯日志D)系統(tǒng)配置文件中所使用的控制選項[單選題]148.管理層為業(yè)務持續(xù)性計劃考慮兩個方案:計劃A、用2個月時間恢復,計劃B、用8個月時間恢復。兩個計劃里的恢復目標是相同的??梢灶A料計劃B、會帶來更高的:A)宕機成本B)接續(xù)成本C)恢復成本D)排查成本[單選題]149.在審查風險管理程序中,下列哪一項職貴最有可能對IS審計師的獨立性造成危害?A)參與風險管理框架的設計B)為不同的實施方法提供建議C)協(xié)助風險意識培訓D)對風險管理流程執(zhí)行盡職審查[單選題]150.在對中型企業(yè)進行信息安全審計時,信息系統(tǒng)審計師注意到,該企業(yè)的信息安全政策還不夠充分。審計師對企業(yè)的最佳建議是什么?A)根據(jù)競爭對手的政策進行對標B)獲得外部顧問的支持以重新編寫政策C)定義定期更新政策的角色和職責D)與最佳實踐框架進行比較,找出并縮小差距[單選題]151.檢查信息系統(tǒng)安全策略的信息系統(tǒng)審計員應該檢查信息安全管理職能和責任是否被傳達到如下哪個?A)專責主管B)組織的用戶C)信息系統(tǒng)指導委員會D)信息系統(tǒng)安全管理員[單選題]152.以下哪種保險類型針對因員工欺詐行為造成的損失?A)業(yè)務中斷B)忠誠保險C)錯誤和遺漏D)額外支出[單選題]153.數(shù)據(jù)庫系統(tǒng)的并發(fā)控制的目的是為了:A)對授權用戶限制數(shù)據(jù)庫的更新B)防止完整性問題的發(fā)生,當同一時間有2個進程同時試圖更新同一個數(shù)據(jù)的時候C)防止由于疏忽或者未授權導致的數(shù)據(jù)庫中的數(shù)據(jù)泄露D)確保準確性,完整性和數(shù)據(jù)一致性[單選題]154.在計劃滲透測試時最重要的成功因素是:A)計劃測試過程的文檔B)計劃和決定測試的時間長度C)客戶組織管理層的參與D)參與測試的人員的資格和經驗[單選題]155.在運行入侵檢測系統(tǒng)時最常見的問題是?A)誤測B)收到陷阱信息C)拒絕錯誤率D)拒絕服務攻擊[單選題]156.為了確保審計資源給組織帶來了最大的價值,通常的第一步是:A)計劃審計項目,并對每個審計項目的時間安排進行監(jiān)督B)向信息系統(tǒng)審計師培訓有關組織正在使用的最新技術C)在詳細風險評估的基礎上開展審計計劃D)審計監(jiān)督程序,并采取成本控制措施[單選題]157.以下哪一項是執(zhí)行并行測試的主要目的?A)確定系統(tǒng)是否具有成本效益B)實現(xiàn)綜合單元及系統(tǒng)測試C)找出含文件的程序接口中的錯誤D)確保新系統(tǒng)滿足用戶要求[單選題]158.導致信息系統(tǒng)不能滿足用戶需求的最常見到原因是:A)用戶需求經常改變B)不能正確預測用戶所需的增長C)現(xiàn)有的硬件系統(tǒng)限制了并發(fā)用戶的數(shù)量D)在系統(tǒng)需求定義階段用戶參與程度不夠[單選題]159.某新業(yè)務需求要求變更數(shù)據(jù)庫供應商。關于此項實施,IS審計師應當主要檢查以下哪個領域?A)數(shù)據(jù)的完整性B)切換的時間安排C)用戶的授權等級D)數(shù)據(jù)的規(guī)范化[單選題]160.在實施基于風險的審計策略時,以下哪一項應是主要目標?A)資源平均分配用于保護信息資產B)根據(jù)發(fā)現(xiàn)的威脅和漏洞對審計領域分出輕重緩急C)后續(xù)審計中的發(fā)現(xiàn)和建議明顯減少D)基準水平的安全措施應用到信息資產[單選題]161.以下哪個選項最能限制用戶僅使用履行其職責所需的功能?A)應用程序級訪問控制B)數(shù)據(jù)加密C)禁用軟盤驅動器D)網絡監(jiān)控設備[單選題]162.進行事件發(fā)生后檢查的主要目的是,它提供了一個機會去:A)改善內部控制程序、B)為實現(xiàn)企業(yè)最佳業(yè)務強化網絡C)管理突出時間響應管理的重要性、D)提高員工對時間響應的認識、[單選題]163.某組織最近部署了內部開發(fā)的一個客戶關系管理(CRM)應用系統(tǒng)。確保應用操作與設計意圖一致的最佳選擇是以下哪一項?A)用戶驗收測試(UAT)B)項目風險評估C)實施后審查D)管理層審批系統(tǒng)[單選題]164.如果數(shù)據(jù)庫使用前像轉儲進行恢復,則中斷后流程應從何處開始?A)最后的交易之前B)最后的交易之后C)作為最新檢查點之后的第一個交易D)作為最新檢查點之前的最后一個交易[單選題]165.雙因素認證,可規(guī)避下列哪些攻擊?A)拒絕服務B)中間人C)鍵盤記錄D)暴力破解[單選題]166.為減少軟件開發(fā)項目中出現(xiàn)的缺陷數(shù)目,下列哪項建議最具成本效益?A)增加分配給系統(tǒng)測試的時間。B)實施正式的軟件檢查C)增加開發(fā)人員數(shù)量。D)要求交付所有項目成果時簽字。[單選題]167.一家企業(yè)的業(yè)務連續(xù)性計劃(BCP)中沒有定義關鍵流程,以下哪一項最可能發(fā)現(xiàn)這個差距?A)審查業(yè)務影響分析B)測試事故響應計劃C)更新風險登記表D)審查業(yè)務連續(xù)性戰(zhàn)略[單選題]168.下面哪項將會幫助檢測到入侵者在服務器系統(tǒng)日志里做過改動:A)在另外一臺服務器上鏡像系統(tǒng)系統(tǒng)日志B)在不可重復擦寫磁盤里實時復制系統(tǒng)日志C)對包含系統(tǒng)日志的目錄寫保護D)離岸備份系統(tǒng)日志[單選題]169.對于實施安全政策可問責(可追溯責任)非常重要。對于系統(tǒng)用戶以下哪種控制在準確的可問責上最沒有效果?A)可審計的要求。B)口令。C)識別控制。D)認證控制。[單選題]170.對數(shù)據(jù)和系統(tǒng)所有權不適當?shù)恼呗远x下列哪一項存在最高風險?A)用戶管理協(xié)調不存在B)未制定特定用戶職責C)未授權用戶可能取得創(chuàng)建、修改和刪除數(shù)據(jù)的權力D)審計建議未被采納[單選題]171.下列哪個保險是由于雇員的欺詐行為所引起的損失?A)業(yè)務中斷B)忠誠度保證C)錯誤和遺漏D)額外開支[單選題]172.在審計關鍵業(yè)務領域的災難恢復計劃(DRP)時,某IS審計師發(fā)現(xiàn)此計劃沒有涵蓋所有系統(tǒng)。下列哪項是該IS審計師最應該采取的行動?A)向管理層發(fā)出警告并評估不涵蓋所有系統(tǒng)的影響。B)取消審計。C)完成現(xiàn)有DRP所涵蓋系統(tǒng)的審計工作。D)推遲審計直至將相關系統(tǒng)添加到DRP中。[單選題]173.實施災難恢復計劃后,災難前和災難后的組織運作成本將會A)降低B)不變C)增高D)由業(yè)務類型決定[單選題]174.以下哪項確保了災難事件中所有交易的可用性?A)每小時向異地站點提供交易數(shù)據(jù)磁帶。B)每天向異地站點提供交易數(shù)據(jù)磁帶。C)轉存交易到多個存儲裝備。D)實時傳輸交易到異地站點。[單選題]175.確定可接受風險的等級是誰的責任A)質量保障(QA)管理人員。B)高級業(yè)務管理人員C)首席信息官(CIO)D)首席信息安全官(CISO)。[單選題]176.下列哪一項是采用原形化的好處A)已完成的系統(tǒng)自身就有很強的內部控制B)原型系統(tǒng)能夠明顯地節(jié)省時間和費用C)原型系統(tǒng)中的變更控制經常沒那么復雜D)這樣能確保功能性的或者額外的東西不會被加入到已經定型的系統(tǒng)中[單選題]177.審查組織中局域網(LAN)性能的IS審計師應該首先檢查:A)連接和無連接服務。B)網絡拓撲圖。C)數(shù)據(jù)、語音和視頻吞吐量要求。D)廣域網(WAN)連接的數(shù)量。[單選題]178.檢查入侵監(jiān)測系統(tǒng)(IDS)時,IS審計師最關注的內容是:A)把正常通訊識別為危險事件的數(shù)量(誤報)B)系統(tǒng)沒有識別出的攻擊事件C)由自動化工具生成的報告和日志D)被系統(tǒng)阻斷的正常通訊流[單選題]179.在審計一個會計應用系統(tǒng)的內部數(shù)據(jù)完整性控制時,IS審計師發(fā)現(xiàn)支持該會計系統(tǒng)的變更管理軟件中存在重大不足。審計師應采取的最合適的行為是:A)繼續(xù)測試會計應用系統(tǒng)控制,口頭通知IT經理有關變更管理軟件中的控制缺陷以及就可能的解決方案提供咨詢。B)完成應用程序控制的審核,但是并不報告變更管理軟件中的控制缺陷,因為它不屬于審核范圍。C)繼續(xù)完成會計應用系統(tǒng)的測試,并且在最終的報告中加入變更軟件中的控制缺陷。D)停止所有的審計活動,一直到變更控制軟件中的控制缺陷被解決為止。[單選題]180.對由外包數(shù)據(jù)中心托管的關鍵任務系統(tǒng)進行審計期間,信息系統(tǒng)審計師發(fā)現(xiàn),合同規(guī)定的對備用發(fā)電機的日常維護沒有被執(zhí)行。以下哪一項應該是審計師的主要顧慮?A)外包商就未執(zhí)行的工作收費的欺詐行為B)備用發(fā)電機在停電期間發(fā)生故障C)如果未能及時檢測到發(fā)電機零部件故障,會產生高昂的維修費用D)由于缺乏系統(tǒng)維護而失去保修資格[單選題]181.一個職員為一個貸款主文件修改利率,這個利率已經超過這筆貸款的正常范圍,為確保這項變動經過授權,下面那一項是最有效的控制:A)系統(tǒng)不執(zhí)行修改,除非職員的主管輸入授權碼來確認。B)系統(tǒng)產生所有利率異常的周報清單,并得到職員主管的審閱。C)系統(tǒng)要求職員輸入一個授權碼。D)系統(tǒng)對職員顯示警告信息。[單選題]182.在檢查安全包時,下面哪一項不被考慮作為一個調查設計?【已經理解】A)什么類型的變更和妥協(xié)在正進行的過程中必須發(fā)生?B)安全更新和補丁如何在安全包中進行維護?C)哪些安全包的脆弱點和缺陷點應該被考慮?D)對產品進行充分維護時需要哪種支持工作?[單選題]183.推薦的交易處理應用程序將有許多數(shù)據(jù)獲取資源以及書面和電子形式的輸出。為了確保交易不在處理過程中丟失,IS審計師應建議執(zhí)行:A)驗證控制B)內部可信度檢査C)員工控制流程。D)自動系統(tǒng)均衡。[單選題]184.使用非屏蔽雙絞線(UTP)電纜進行數(shù)據(jù)通信相比于其他銅質電纜的好處之一是,UTP電纜A)減少雙絞線之間的串擾B)提供線路竊聽防護C)可用于長距離網路D)安裝簡單[單選題]185.當一個應用開發(fā)商想要用昨天生產交易文件的副本用來測試時,IS審計師的最主要的關注是:A)用戶更愿意使用人為的數(shù)據(jù)來測試B)會導致未授權地訪問敏感數(shù)據(jù)C)錯誤掛起和不能充分證明的可信檢查D)對于新處理的所有功能可能不都需要被測試[單選題]186.一個保險公司為了進行測試,使用真實的客戶數(shù)據(jù)。對于保護數(shù)據(jù)的安全,什么是信息系統(tǒng)審計員最佳推薦?A)檢查訪問權限B)確??蛻魯?shù)據(jù)是被加密的C)執(zhí)行數(shù)據(jù)清潔處理(注:意即數(shù)據(jù)脫敏)D)確認只有內部管理員能夠管理數(shù)據(jù)庫[單選題]187.在跟進審計中,信息系統(tǒng)審計師發(fā)現(xiàn)實施的控制與建議的控制不同。審計師應:A)驗證是否充分實現(xiàn)控制目標。B)將控制與行動計劃進行比較。。C)作為重復發(fā)現(xiàn)的問題進行報告。D)通知管理層有關不正確的實施問題。[單選題]188.在檢查崗位職責時什么是最重要的評估標準?A)工作職能中所有要做的工作和需要的培訓都有詳細的定義。B)職責清晰,每個人都清楚自己在組織中的角色。C)強制休假和崗位輪換被執(zhí)行。D)績效得到監(jiān)控和提升是基于清晰定義的目標。[單選題]189.當開發(fā)一個業(yè)務連續(xù)性計劃時,應該用下列哪種形式來獲得對組織業(yè)務流程的理解?A)業(yè)務連續(xù)性自我審計B)資源恢復分析C)風險評估D)差距分析[單選題]190.在實施前審查期間,信息系統(tǒng)審計師注意到某些場景尚未經過測試。管理層表示該項目至關重要,不能推遲。以下哪一項是審計師的最佳行動步驟A)確定測試場景是否覆蓋了最重要的項目風險B)建議推遲項目實施,直到所有場景都經過測試C)幫助管理層在實施前完成剩余場景測試D)實施后在生產環(huán)境中執(zhí)行剩余的場景測試[單選題]191.關于有效的信息系統(tǒng)審計風險評估,以下哪一項對公司來說是最大的益處?A)審計將對高風險領域B)可以消除低風險領域C)管理層的可信度得到提高D)未來審計的范圍已確立[單選題]192.在對內部開發(fā)的網上采購審批應用程序審計期間,一位Is審計師發(fā)現(xiàn),所有的業(yè)務用戶共享同一訪問配置文件。以下哪一項是IS審計師應在報告中包括的最重要的建議A)確保記錄了所有的用戶活動,且活動日只由管理層進行檢查B)在應用程序中編制額外的配置文件,根據(jù)工作職責限制用戶訪問權限C)確保存在相應的政策來控制用戶在應用程序中能夠執(zhí)行的活動D)確保實施了虛擬私有網絡(VPN),保證用戶能夠安全登錄應用程序[單選題]193.一套合理有效的信息安全策略最有可能包含以下哪一類(控制)程序來處理可疑的入侵?A)響應的B)糾正的C)偵測的D)監(jiān)控的[單選題]194.已定義和完成的系統(tǒng)交付成果是新業(yè)務系統(tǒng)應用的成功完成和實施的保證,該交付成果應由誰審查和批準?A)用戶管理人員B)項目督導委員會C)高級管理層D)質量保證人員[單選題]195.倘若發(fā)生災難,對于災難恢復計劃/業(yè)務持續(xù)性機會的成功度,下列哪個因素是最關鍵性的?A)當前的操作系統(tǒng)軟件B)當前的操作數(shù)據(jù)C)應用軟件包D)系統(tǒng)工具軟件[單選題]196.在某醫(yī)院中,醫(yī)務人員攜帶存有病人健康狀況數(shù)據(jù)的手持式電腦。這些手持式電腦與可從醫(yī)院數(shù)據(jù)庫傳輸數(shù)據(jù)的PC同步。以下哪項措施最重要?A)手持式電腦得到了妥善保護,可在發(fā)生盜竊或丟失時防止數(shù)據(jù)機密性遭到破壞。B)在使用后刪除本地PC中臨時文件的員工具有維護PC的權限。C)通過制定政策和流程來確保同步能夠及時進行;D)手持式電腦的使用得到醫(yī)院政策的允許。[單選題]197.在應用程序開發(fā)中,質量保證測試和用戶驗收測試被結合起來。IS審計師在檢查項目時應著重關注:A)增加的維護費用B)有關測試的不正確文件C)不充分的功能測試D)問題解決的延遲[單選題]198.執(zhí)行邏輯訪問控制審查的IS審計師應主要關注:A)對各種系統(tǒng)資源使用情況訪問日志的維護。B)在授予對系統(tǒng)資源的訪問權限之前對用戶的授權和身份的認證。C)通過加密或其他方法對服務器上存儲的數(shù)據(jù)的保護是否充分。D)問責制和識別訪問系統(tǒng)資源的任何終端的能力。[單選題]199.對生物識別系統(tǒng)的運行情況進行審查期間,IS審計師首先應審查的階段是:A)注冊。B)識別。C)驗證。D)存儲。[單選題]200.在審質量管理系統(tǒng)(QMS)時,IS審計師應當主要注重收集證據(jù),以表明:A)質量管理系統(tǒng)(QMS)遵循良好實踐。B)正在監(jiān)測持續(xù)改進目標。C)每年更新IT標準操作程序。D)定義了關鍵績效指標(KPI)[單選題]201.在制訂災難恢復計劃時,決定可接受停機時間的標準是:A)年度損失期望值B)服務交付目標C)孤兒數(shù)據(jù)的數(shù)據(jù)D)最大可容忍損失[單選題]202.使用成熟模型(CMM)來評估應用程序開發(fā)項目的主要目的是A)確保開發(fā)了適當?shù)南到y(tǒng)流程和程序B)驗證是否開發(fā)了可靠的應用程序C)確保系統(tǒng)安全要求合理恰當D)驗證程序員的工作是否高效[單選題]203.以下哪些屬于縱深防御安全原則的示例?A)使用不同供應商提供的兩道防火墻不間斷檢查入站站網絡流量B)在主機上使用防火墻和邏輯訪問控制來控制入站網絡流量C)在計算機中心建筑外沒有任何標識D)并行使用兩道防火墻來檢查不同類型的入流站流量[單選題]204.在組織實施時,一個組織的IT治理框架最重要的目標是:A)IT與業(yè)務的一致性B)問責制C)IT價值實現(xiàn)D)加強IT的投資回報[單選題]205.信息系統(tǒng)審計師被委任去執(zhí)行對一個應用系統(tǒng)進行實施后維護的檢查過程。以下哪種情形將減弱信息系統(tǒng)審計師的獨立性。審計師:A)在應用系統(tǒng)的開發(fā)過程中實施了詳細控制B)專門設計了一個嵌入審計模塊用來審計此應用系統(tǒng)C)作為一個成員參與了此應用系統(tǒng)項目團隊,但沒有操作職責D)就應用系統(tǒng)最佳實務提供了咨詢意見[單選題]206.零售商店推出了無線電頻率識別(RFID、)標簽,為所有產品建立了唯一的序號。對于此種做法下列哪些是人們首要關心的?A)發(fā)布保密性B)波長可以由人體吸收C)RFID、標記可能不是可移動的D)RFID、消滅視線閱讀[單選題]207.經初步調查,IS審計師有理由相信可能存在舞弊行為。IS審計師應:A)擴大工作范圍,判斷是否有必要開展調查。B)將該事件報告給審計委員會。C)向管理層報告欺詐的可能性。D)與外部法律顧問進行磋商,確定應采取的行動方案。[單選題]208.要在海外安裝一個新的數(shù)據(jù)庫,以便向公眾區(qū)提供信息并且提高獲取信息的速度。此海外的數(shù)據(jù)庫服務器將放在某IDC,并實施更新以便獲得本地所存儲信息的鏡像。下面哪一個方面的操作的風險最高?A)數(shù)據(jù)庫中存儲信息的機密性B)用于運行數(shù)據(jù)庫應用的硬件C)海外數(shù)據(jù)庫備份的信息備份D)遠程訪問備份數(shù)據(jù)庫[單選題]209.在觀察一個業(yè)務繼續(xù)計劃的模擬,IS審計員注意到報警系統(tǒng)嚴重受到設施破壞。下列選項中,哪個是IS審計員可以提供的最佳建議:A)培訓救護組如何使用報警系統(tǒng)B)報警系統(tǒng)為備份提供恢復C)建立冗余的報警系統(tǒng)D)把報警系統(tǒng)存放地窖里[單選題]210.控制自我評估(CSA)或者控制自我保證程序最主要的目標是:A)簡化企業(yè)的控制監(jiān)控程序B)替換某些內部審計職責C)移除生產管理人員的控制責任D)將某些控制監(jiān)控責任轉移到職能領域[單選題]211.如果恢復時間目標(RTO)增加,則會:A)增加容災能力。B)增加恢復成本。C)無法使用冷備援中心。D)增加數(shù)據(jù)備份頻率。[單選題]212.一位IS計師發(fā)現(xiàn)開發(fā)人員具有可訪問生產環(huán)境操作系統(tǒng)命令行的操作員權限。以下哪項控制可最大程度地降低對生產環(huán)境進行未檢測和未經授權的程序變更所產生的風險?A)記錄在命令行中輸入的命令B)定期計算程序的哈希鍵值,并與程序的最新授權版本的哈希鍵值進行匹配。C)使用預先批準的權限通過訪問權限限制工具來授予訪問操作系統(tǒng)命令行的權限。D)軟件開發(fā)工具和編譯器已從生產環(huán)境中刪除。[單選題]213.應用系統(tǒng)開發(fā)的責任下放到各業(yè)務基層,最有可能導致的后果是A)大大減少所需資料通訊B)控制水平較低C)控制水平較高D)改善了職責分工[單選題]214.確認有組織的災難恢復,最重要的是業(yè)務連續(xù)性計劃和災難恢復計劃是?A)被存儲在另一地點B)與所有用戶溝通過C)定期測試D)定期升級[單選題]215.對公司的最終用戶計算系統(tǒng)EUC進行審計時,以下哪一項發(fā)現(xiàn)會是最大的關切?A)無法監(jiān)控EUC審計日志和活動B)公司的IT系統(tǒng)安全性降低C)遵循的補丁流程不一致D)將錯誤引入財務報表[單選題]216.對于為什么要將災難恢復計劃(DRP)中的非關鍵系統(tǒng)和業(yè)務持續(xù)計劃(BCP)的測試集成在一起,以下哪項是最好的理由?A)確保DRP與業(yè)務影響分析(BIA)一致B)基礎設施恢復人員可以得到業(yè)務問題專家的幫助。C)BCP可以假設存在DRP中并不存在的能力。D)為企業(yè)高級管理人員提供災難恢復能力方面的知識。[單選題]217.代碼簽名的目的是保障A)軟件未經后續(xù)修改。B)應用程序可與其他已簽名的應用程序安全對接C)應用程序的簽名者值得信賴。D)簽名者的私鑰未被泄漏。[單選題]218.在向供應商授予臨時訪問權限時,以下哪項是最有效的控制措施?A)供應商的訪問權限符合服務級別協(xié)議(SLA)。B)根據(jù)所提供的服務創(chuàng)建用戶帳戶并對其設置到期日期。C)在有限的時間段內提供管理員訪問權限D)在工作完成后刪除用戶ID[單選題]219.信息系統(tǒng)審計師發(fā)現(xiàn)根據(jù)信息系統(tǒng)策略,一個被終止用戶的ID應在90天內停用。IS應:A)報告控制在有效運行以來,所發(fā)生的停用時限是在信息系統(tǒng)策略規(guī)定的時間框架內B)確認已被授予應有的訪問權限的用戶C)建議修訂信息系統(tǒng)策略,以確保用戶ID在終止時停用D)建議定期對已被終止的用戶的活動日志,進行審核[單選題]220.制定一個成功的業(yè)務連續(xù)性計劃,最終用戶在下列那個階段涉入是最關鍵的?A)業(yè)務恢復戰(zhàn)略B)制定詳細計劃C)業(yè)務影響分析(BIA)D)測試和維護[單選題]221.資料庫管理系統(tǒng)軟件包不可能提供下面哪一種訪問控制功能?A)用戶對欄位數(shù)的訪問B)用戶在網路層的登錄C)在程序級的身份驗證D)在交易級的身份驗證[單選題]222.下列哪一項具體解決如何偵測組織IT系統(tǒng)的網絡攻擊和如何在攻擊后恢復?A)事件響應計劃B)IT意外事件計劃C)業(yè)務持續(xù)性計劃D)運行持續(xù)性計劃[單選題]223.當執(zhí)行數(shù)據(jù)庫檢查時,信息系統(tǒng)審計師注意到數(shù)據(jù)庫里的有些表沒有規(guī)格化。信息系統(tǒng)審計師接下來應該:A)推薦配置數(shù)據(jù)規(guī)格B)檢查數(shù)據(jù)概念模型C)檢查存儲過程D)檢查說明文件[單選題]224.數(shù)字簽名包含信息摘要,以便:A)顯示消息是否在傳輸后發(fā)生改變B)定義加密算法C)確定發(fā)起人的身份D)以數(shù)字格式傳輸消息。[單選題]225.下列哪一項對信息安全管理系統(tǒng)的成功最為關鍵?A)管理部門對信息安全的承諾B)用戶對信息安全的責任確立C)信息安全與IT目標的統(tǒng)一D)業(yè)務與信息安全的集成[單選題]226.以下哪個選項最令IS審計是擔心?A)沒有對成功攻擊網絡的行為進行報告B)未能將入侵企圖通知警方C)沒有對訪問權限進行定期檢查D)沒有通知公眾存在入侵行為[單選題]227.支持安全評定/認證需要執(zhí)行的保證任務,應在何時確定:A)在完成必要的修改之后。B)在用戶驗收階段。C)在項目規(guī)劃階段。D)在制定了質量保證計劃之后。[單選題]228.一個信息系統(tǒng)審計師被要求檢查一項執(zhí)行標準化IT基礎設施的提議。下述哪個發(fā)現(xiàn)需要在審計師的報告中展現(xiàn)出來?A)提高IT服務交付與操作支持的成本效益B)增加IT服務交付與支持的復雜度C)減少在IT基礎設施的投資水平D)減少未來應用程序變化的測試需求[單選題]229.以下哪個組件負責收集入侵檢測系統(tǒng)(IDS)中的數(shù)據(jù)?A)分析器B)管理控制臺C)用戶界面D)傳感器[單選題]230.IT審計師評價一個無線網絡,其最應關注以下哪一項A)使用128-B、it靜態(tài)WEP加密B)使用SSID、廣播C)所有無線客戶機安裝了防病毒軟件D)配置MA、C、訪問過濾控制[單選題]231.在審查公司的信息安全政策時,信息系統(tǒng)審計師應該驗證定義安全政策的主要基準是:A)信息安全框架B)過去的信息安全事故C)風險管理流程D)行業(yè)最佳實踐[單選題]232.用戶結合使用其分配的安全令牌及個人識別碼(PIN)來訪問公司的虛擬專用網絡(VPN)。對于PIN,安全政策中應包含哪項最重要的規(guī)則?A)用戶不應將令牌置于容易被盜的地方B)用戶不得將令牌與便攜式計算機置于同一包中C)用戶應選擇完全隨機且沒有重復數(shù)字的PIND)用戶不應將PIN寫下來[單選題]233.以下哪個是IS審計師在審計日志方面最普遍考慮的問題?A)日志只能被系統(tǒng)管理員檢查。B)需要特殊工具才能搜集和檢閱日志。C)一般情況下日志不是有規(guī)律的被備份。D)搜集日志但并不分析。[單選題]234.審查組織中的變更管理措施時,以下那個選項是IS審計師最應關注的A)計劃外變更通常在事后獲得批準B)在最近的一次系統(tǒng)升級中,加急變更數(shù)量翻倍C)高層管理人員不在時,IT經理可以批準變更D)變更可以得到正確記錄,但并不總能應用到災難恢復站點的全部系統(tǒng)上[單選題]235.交易審計痕跡的主要目的是?:A)減少使用存儲媒介、B)為處理交易確定問責制和責任制、C)幫助系統(tǒng)審計師進行細微審查、D)為能力規(guī)劃提供有益的信息、[單選題]236.IS審計師在對系統(tǒng)分級時,如果某系統(tǒng)允許在較長的時間段內以可接受的成本進行人工操作,該系統(tǒng)應被定義為A)關鍵級B)重要級C)敏感級D)非關鍵級[單選題]237.IS審計師最好采取以下哪項措施?A)制定替代的測試程序。B)將發(fā)現(xiàn)結果作為缺陷報告給管理層。C)對變更管理流程執(zhí)行穿行性測試。D)創(chuàng)建程序的額外樣本變更。[單選題]238.在一個小企業(yè)審計期間,信息系統(tǒng)審計員注意到信息系統(tǒng)總監(jiān)有變更應用程序訪問角色的超級用戶權限,如下哪個是信息系統(tǒng)審計員推薦的?A)為應用程序角色改變請求實施適當?shù)奈臋n處理B)為應用程序角色的變更雇傭一個額外的員工提供隔離的責任C)為應用程序角色變更執(zhí)行一個自動化的程序D)文檔化當前過程細節(jié)并且使其在企業(yè)網內是可用的[單選題]239.在評估企業(yè)的信息安全治理的有效性時,以下哪一項應是信息系統(tǒng)審計師的最大擔憂?A)沒有衡量信息安全績效的過程B)沒有定期進行信息資產的風險評估C)沒有由執(zhí)行管理層審查信息安全政策D)信息安全政策沒有擴展到服務提供商[單選題]240.組織可以確保其員工中的電子郵件接收者可以通過以下哪種方式對發(fā)送者的身份進行認證:A)對所有電子郵件消息執(zhí)行數(shù)字簽名B)加密所有的電子郵件消息C)壓縮使用的電子郵件消息D)使用密碼保護所有的電子郵件消息[單選題]241.缺乏足夠的控制表示以下哪一項?A)影響B(tài))漏洞C)資產D)威勵[單選題]242.信息系統(tǒng)審計師計劃進行跟進,并且被操作管理層告知新的優(yōu)先事項阻止他們實施行動計劃。管理層計劃在下個季度之后解決審計問題,什么應該是審計師的下一個行動步驟?A)向審計委員會報告管理層缺乏行動B)評估延遲實施的風險C)按計劃進行跟進審計業(yè)務D)將跟進審計業(yè)務推遲到今年晚些時候[單選題]243.在審計報告中包含的具體發(fā)現(xiàn)應該由誰來最終決定A)審計委員會B)被審人員的經理C)信息系統(tǒng)審計師D)組織的首席執(zhí)行官[單選題]244.下面哪個是在決策支持系統(tǒng)中的實施風險?A)管理控制B)半結構化的維度C)沒辦法定義目標和使用模式D)決策過程的變更[單選題]245.組織要捐贈一些本單位的舊計算機設備給希望小學,在運輸這些捐贈品之前應該確保:A)計算機上不曾保存機密資料B)受捐的希望小學簽署保密協(xié)議C)資料存儲的介質是徹底空白的D)所有資料已經被刪除[單選題]246.企業(yè)目前磁帶備份,每周一次全備份、每日一次增量備份的策略。最近,企業(yè)領導把磁帶備份流程中增加了向磁盤備份的步驟。這種做法之所以恰當,是因為:A)它支持非現(xiàn)場存儲的快速合成備份B)向磁盤備份的速度遠快于向磁帶備份C)隨著技術的進步,不再需要磁帶庫D)資料保存在磁盤上,其可靠性高于磁帶存儲[單選題]247.IS審計師評估邏輯訪問控制時首先應該:A)記錄對系統(tǒng)訪問路徑的控制B)測試訪問路徑的控制以判斷是否起作用C)評估與已有政策和實踐相關的安全環(huán)境D)獲取并理解信息處理的安全風險[單選題]248.一個數(shù)據(jù)中心擁有身份認證系統(tǒng),下列哪一項對保護中心計算機資產最重要?A)認證軟件被安裝在篡改容易被發(fā)現(xiàn)的位置。B)控制認證系統(tǒng)的計算機經常備份。C)有防止證書被盜或丟失的流程。D)所有的證書請求都被記錄。[單選題]249.在系統(tǒng)開發(fā)項目完成后,對項目的復核應包含以下哪項A)評估在產品發(fā)布后產生的停工風險B)總結經驗以便適用于以后的項目C)驗證開發(fā)后的系統(tǒng)中的控制點D)確保測試數(shù)據(jù)已經被刪除[單選題]250.一個IT安全策略的審計師的首要目標是確保:A)他們分布并提供給所有工作人員B)安全和控制策略支持業(yè)務和IT目標C)有一個功能描述組織結構D)職責適當分離[單選題]251.下面哪一條是信息系統(tǒng)審計師主要考慮的問題?A)備份站點是否有一個?誘捕陷阱"B)備份站點是否有安全保衛(wèi)人員C)備份站點與主站點間是否有一段合理的距離D)備份站點是否是一個服務機構[單選題]252.開發(fā)安全架構時,首先應該執(zhí)行下列步驟中的哪個步驟?A)制定安全流程B)制定安全政策C)明確訪問控制方法D)定義角色和責任[單選題]253.在什么情況下,可將實施熱備援中心作為恢復策略:A)容災能力很低。B)恢復點目標(RPO)很高。?C)恢復時間目標(RTO)很高。D)可容忍的最長停機時間(MTD)很長[單選題]254.Web和電子郵件過濾工具是組織最寶貴的資產,因為這些工具:A)保護組織免受病毒和非業(yè)務材料的侵擾。B)最大化員工績效。C)保護組織形象。D)幫助組織預防法律問題。[單選題]255.機房中,以下哪項最能被活動地板有效地保護:A)計算機及服務器周邊的線纜損壞B)由靜電引起的斷電C)地震D)水災[單選題]256.在對業(yè)務持續(xù)性計劃進行驗證時,以下哪項對于信息系統(tǒng)審計師來說最為重要A)數(shù)據(jù)備份準時執(zhí)行B)備份站點已簽訂合約,并且在需要時可以使用C)人員安全計劃部署適當D)保險[單選題]257.一個組織使用新系統(tǒng)取代一個遺留系統(tǒng)時,下面哪項做法具有最大風險?A)實驗性的B)并行測試C)快速切換D)分階段切換[單選題]258.某公司既執(zhí)行完整數(shù)據(jù)庫備份,也執(zhí)行增量數(shù)據(jù)庫備份。當數(shù)據(jù)中心遭破壞后,以下哪一項能夠提供最佳的完全恢復?A)每周將完全備份移至一個異地地點B)每日將增量備份存放到一個異地地點C)每日將所有備份循環(huán)存放到異地地點D)將完全備份和增量備份放在一個安全的服務器機房[單選題]259.以下哪個選項是IT督導委員會的職能?A)監(jiān)控由供應商控制的變更控制和測試B)確保信息處理環(huán)境中的職責分離C)審批和監(jiān)控重大項目,如IT計劃狀態(tài)及預算D)在IT部門與最終用戶之間協(xié)調溝通[單選題]260.使用數(shù)字簽名時.由誰計算消息摘要?A)僅由發(fā)送者。B)僅由接收者。C)由發(fā)送者和接收者。D)由認證頒發(fā)機構(CA)1.答案:D解析:2.答案:B解析:A.在重檢更新后的業(yè)務案例之前,IS審計師不應該建議中斷或繼續(xù)完成項目
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 吊車用工合同范例
- 加盟茶飲合同模板
- 國家單位聘用合同范例
- 切糕買賣合同范例
- 商業(yè)房租用合同范例
- 會展活動搭建合同范例
- 供電水氣合同模板
- 個人收購公司合同范例
- 商鋪改公寓寫合同范例
- 公寓租房續(xù)租合同范例
- 2024-2030年中國機器翻譯行業(yè)市場發(fā)展趨勢與前景展望戰(zhàn)略分析報告
- 高速公路綜合監(jiān)控太陽能供電系統(tǒng)技術方案設計
- 2024年秋新華師大版七年級上冊數(shù)學 2.4.3去括號和添括號 教學課件
- 【論述土木工程的信息化建設應用8600字(論文)】
- 北師大版(三起)(2024)三年級上冊英語Unit 5單元測試卷(含答案)
- 2024年初級銀行從業(yè)資格《個人理財》考試試題
- 公司資金調撥及內部往來管理流程手冊模板
- 尊干愛兵課件2017
- 流程圖練習題(三種結構)
- 消防監(jiān)控服務合同范本
- 2024-2030年中國模架租賃行業(yè)市場發(fā)展現(xiàn)狀及投資策略咨詢報告
評論
0/150
提交評論