CISA考試練習(xí)(習(xí)題卷4)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷4)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.某IS審計(jì)師檢查了一個(gè)無窗機(jī)房，其中包括電話交換和聯(lián)網(wǎng)設(shè)備以及文檔夾。該機(jī)房配有兩個(gè)手持滅火器-一個(gè)是CO2滅火器，另一個(gè)是鹵化物氣體滅火器。下列哪一項(xiàng)應(yīng)在審計(jì)師的報(bào)告中具有最優(yōu)先級(jí)？A)移走鹵化物滅火器，因?yàn)辂u化物會(huì)對(duì)大氣臭氧層產(chǎn)生負(fù)面影響。B)在密閉機(jī)房中使用時(shí)，兩種滅火系統(tǒng)都有導(dǎo)致窒息的危險(xiǎn)。C)移走CO2滅火器，因?yàn)镃O2對(duì)于涉及固體可然物（紙張）的火災(zāi)是無效的。D)將文檔夾從設(shè)備機(jī)房中移走，從而降低潛在風(fēng)險(xiǎn)。答案:B解析:在滅火行動(dòng)中，保護(hù)人員的生命安全應(yīng)始終放在第一位。CO2和鹵化物都會(huì)降低空氣中的氧化比例，從而導(dǎo)致嚴(yán)重的人身危險(xiǎn)。在許多國家/地區(qū)，安裝或灌注鹵化物滅火系統(tǒng)是不允許的。盡管CO2和鹵化物適用于有效撲滅涉及合成可燃物和電氣設(shè)備的火災(zāi)，但是它們對(duì)于固體可燃物（木材和紙張）幾乎完全無效。盡管優(yōu)先級(jí)略低，但是移走文檔會(huì)降低一些風(fēng)險(xiǎn)。[單選題]2.IS審計(jì)部門正計(jì)劃盡量減少對(duì)關(guān)鍵個(gè)人的依賴。有助于實(shí)現(xiàn)這一目標(biāo)的活動(dòng)包括記錄流程、知共、交又培訓(xùn)，以及A)接任計(jì)劃B)員工崗位評(píng)估。C)責(zé)任定義。D)員工獎(jiǎng)勵(lì)計(jì)劃。答案:A解析:A.接任計(jì)劃可確保發(fā)現(xiàn)和培養(yǎng)有潛力擔(dān)任公司關(guān)鍵崗位的內(nèi)部人員。B.崗位評(píng)估是指確定公司中各個(gè)崗位的相對(duì)價(jià)值以建立公平公正薪酬體系的過程。C.員工職責(zé)定義對(duì)角色和工作職責(zé)詳加定義;但兩者均不可最大限度地降低對(duì)關(guān)鍵個(gè)人的依賴程度。D.員工獎(jiǎng)勵(lì)計(jì)劃可提供激勵(lì);但不能最大程度地減少對(duì)關(guān)鍵個(gè)人的依賴。[單選題]3.以下哪種形式的證據(jù)對(duì)審計(jì)員來講更具可靠性？A)被審計(jì)人員的口頭陳訴B)由IS審計(jì)師執(zhí)行的測(cè)試結(jié)果C)一份內(nèi)部導(dǎo)出的計(jì)算機(jī)財(cái)務(wù)賬目報(bào)告D)從外部資源發(fā)來的確認(rèn)信。答案:A解析:從外部單位獲取的證據(jù)，比從組織內(nèi)部獲取的證據(jù)更可靠。從外部機(jī)構(gòu)獲取的確認(rèn)信，比如那些用來驗(yàn)證應(yīng)收賬款的平衡關(guān)系，是最可靠的證據(jù)。審計(jì)人員的自己測(cè)試結(jié)果可能不是最可靠的，如果審計(jì)人員在檢查中沒有對(duì)測(cè)試技巧進(jìn)行很好的理解。[單選題]4.為評(píng)估軟件的可靠性，IS審計(jì)師應(yīng)該采取哪一種步驟？A)檢查不成功的登陸嘗試次數(shù)B)累計(jì)指定執(zhí)行周期內(nèi)的程序出錯(cuò)數(shù)目C)測(cè)定不同請(qǐng)求的反應(yīng)時(shí)間D)約見用戶，以評(píng)估其需求所滿足的范圍答案:B解析:[單選題]5.在一個(gè)隔離的操作環(huán)境中，下面哪一個(gè)場景是期望看到的？A)對(duì)系統(tǒng)信息和啟動(dòng)問題負(fù)責(zé)的計(jì)算機(jī)操作員關(guān)注失敗的事務(wù)。B)僅在應(yīng)用程序員提醒有錯(cuò)誤時(shí)變更控制庫管理員對(duì)代碼進(jìn)行修改。C)磁帶庫管理員管理打印隊(duì)列和為打印機(jī)裝紙，同時(shí)還負(fù)責(zé)啟動(dòng)異地存儲(chǔ)的磁帶備份。D)操作員通過調(diào)整參數(shù)設(shè)置幫助系統(tǒng)程序員為操作系統(tǒng)排錯(cuò)，系統(tǒng)程序員在旁邊觀看結(jié)果。答案:A解析:BCD都涉及角色沖突。其中C在打印時(shí)有機(jī)會(huì)多打印重要文件。[單選題]6.以下哪種滲透測(cè)試能夠最有效地評(píng)估組織的事故處理和響應(yīng)能力？A)針對(duì)性測(cè)試B)外部測(cè)試C)內(nèi)部測(cè)試D)雙盲測(cè)試答案:D解析:在雙盲測(cè)試中，管理員和安全人員對(duì)測(cè)試毫不知情，這樣便可以評(píng)估組織中的事故處理和響應(yīng)能力。而在針對(duì)性測(cè)試、外部測(cè)試和內(nèi)部測(cè)試中，系統(tǒng)管理員和安全人員會(huì)在測(cè)試開始之前收到通知，因此知道要進(jìn)行測(cè)試。[單選題]7.如果發(fā)生數(shù)據(jù)中心災(zāi)難，以下哪一項(xiàng)是能夠完全恢復(fù)關(guān)鍵數(shù)據(jù)庫的最適當(dāng)策略?A)每天將數(shù)據(jù)備份到磁帶并存儲(chǔ)于遠(yuǎn)程站點(diǎn)中B)實(shí)時(shí)復(fù)制到遠(yuǎn)程站點(diǎn)C)硬盤鏡像到本地服務(wù)器D)將數(shù)據(jù)實(shí)時(shí)備份到本地存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)答案:B解析:A.日常磁帶備份恢復(fù)可能導(dǎo)致丟失一天的數(shù)據(jù)工作。B、通過實(shí)時(shí)復(fù)制到遠(yuǎn)程站點(diǎn)，將在兩個(gè)單獨(dú)的位置同時(shí)更新數(shù)據(jù);因此，一個(gè)站點(diǎn)中的災(zāi)難不會(huì)損壞位于遠(yuǎn)程站點(diǎn)中的信息。這將假設(shè)這兩個(gè)站點(diǎn)均未受同一災(zāi)難的影響。C.硬盤鏡像到本地服務(wù)器發(fā)生在同一數(shù)據(jù)中心且可能受同一災(zāi)難的影響。D.將數(shù)據(jù)實(shí)時(shí)備份到本地存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)也是位于同一數(shù)據(jù)中心，也可能受同一災(zāi)難的影響。[單選題]8.以下哪種形式的證據(jù)對(duì)審計(jì)師來講最具可靠性？A)被審計(jì)人員的口頭陳述B)由外部IS審計(jì)師執(zhí)行的測(cè)試結(jié)果C)內(nèi)部生成的計(jì)算機(jī)財(cái)務(wù)報(bào)告D)從外部資源發(fā)來的確認(rèn)函答案:B解析:由IS審計(jì)師獨(dú)立完成的測(cè)試一直被認(rèn)為是比來自第三方的確認(rèn)函較高可靠性的證據(jù)來源。因?yàn)楹⒉环蠈徲?jì)標(biāo)準(zhǔn)且是主觀的。作為IS審計(jì)師的風(fēng)險(xiǎn)定義的審計(jì)應(yīng)包括檢查、觀察和詢問的組合。這提供了一種標(biāo)準(zhǔn)的方法和合理的保證，因此控制和測(cè)試結(jié)果要求正確無誤。選項(xiàng)A和C也是審計(jì)證據(jù)，但不如選項(xiàng)B可靠。點(diǎn)評(píng)：其他審計(jì)師提供的證據(jù)最可靠[單選題]9.審與服務(wù)供應(yīng)商簽訂的新外包合同時(shí)，缺少以下哪項(xiàng)最需要IS審計(jì)師給予關(guān)注?A)規(guī)定?審計(jì)權(quán)限?(針對(duì)服務(wù)供應(yīng)商進(jìn)行審計(jì))的條款B)對(duì)績效不佳的罰款進(jìn)行定義的條款C)預(yù)先定義的服務(wù)級(jí)別報(bào)告模板D)有關(guān)供應(yīng)商責(zé)任范圍的條款答案:A解析:A.缺少?審計(jì)權(quán)限?條款或缺少其他供應(yīng)商遵守特定標(biāo)準(zhǔn)的證明都可能會(huì)妨礙審計(jì)師對(duì)供應(yīng)商在各方面進(jìn)展的績效進(jìn)行調(diào)查，包括控制缺陷、績效不佳和法律要求的遵守情況。這是IS審計(jì)師重點(diǎn)關(guān)注的地方，因?yàn)樵摻M織將很難評(píng)估合適的控制是否已落實(shí)到位。B.雖然明確定義罰款條款是一種可取的方法，但并不是所有合同都需要規(guī)定對(duì)績效不佳進(jìn)行罰款，而且當(dāng)需要對(duì)績效進(jìn)行處罰時(shí)，通常需要根據(jù)具體情況對(duì)這些處罰進(jìn)行協(xié)商。因此，缺少該內(nèi)容不如缺少審計(jì)權(quán)限重要。C.當(dāng)合同里包含服務(wù)等級(jí)報(bào)告要求，預(yù)先定義服務(wù)等級(jí)報(bào)告模板的做法是可取的，但即便如此，缺少預(yù)定義報(bào)告模板并非需要重點(diǎn)關(guān)注的問題。D.缺少服務(wù)供應(yīng)商責(zé)任范圍條款理論上會(huì)導(dǎo)致供應(yīng)商承當(dāng)無限的責(zé)任。這對(duì)該外包公司是有利的，盡管1S審計(jì)師會(huì)強(qiáng)調(diào)缺少該條款，但這不是需要重點(diǎn)關(guān)注的問題。[單選題]10.認(rèn)證中心C、A、可委托以下過程來代表:A)撤銷和中止用戶的證書B)產(chǎn)生并分發(fā)C、A、的公鑰C)在請(qǐng)求實(shí)體和它的公鑰間建立鏈接D)發(fā)布并分發(fā)用戶的證書答案:C解析:在請(qǐng)求實(shí)體和它的公鑰間建立鏈接是注冊(cè)中心RA、的功能。這個(gè)功能可用或不用C、A、執(zhí)行，因此，這個(gè)過程可委托。撤銷和中止及發(fā)布、分發(fā)證書是證書生命周期管理的職能，必須是C、A、來執(zhí)行。產(chǎn)生和分發(fā)C、A、的公鑰是C、A、密鑰生命周期管理流程的一部分，不能委托。[單選題]11.在災(zāi)難后恢復(fù)數(shù)據(jù)時(shí)，下列哪項(xiàng)指標(biāo)最能說明備份和恢復(fù)程序的有效性?A)恢復(fù)組的成員能夠進(jìn)行工作B)達(dá)到恢復(fù)時(shí)間目標(biāo)(RTO)。C)備份磁帶庫存已得到妥善維護(hù)。D)備份磁帶在備用站點(diǎn)中完全恢復(fù)。答案:B解析:A.有關(guān)鍵人員并不能保證備份和恢復(fù)流程能夠有效工作B.恢復(fù)時(shí)間目標(biāo)(RTO)的達(dá)成能夠在最大程度上確保備份和恢復(fù)程序的有效性，因?yàn)檫@里包括了在業(yè)務(wù)影響分析階段嚴(yán)格地定義的需求，所有業(yè)務(wù)流程負(fù)責(zé)人均提出了意見并參與其中。C.備份磁帶庫存只是成功恢復(fù)的要素之一。D.備份磁帶的恢復(fù)是成功的關(guān)鍵，但要能夠在RTO設(shè)定的時(shí)間期限內(nèi)恢復(fù)。[單選題]12.以下哪一項(xiàng)能夠最有效地確保用戶能夠不間斷地訪問關(guān)鍵的、任務(wù)繁重的web應(yīng)用程序?A)磁盤鏡像B)廉價(jià)磁盤冗余陣列(RAID)技術(shù)C)動(dòng)態(tài)域名系統(tǒng)(DDNS)D)負(fù)載均衡答案:D解析:A.磁盤鏡像提供實(shí)時(shí)磁盤驅(qū)動(dòng)器復(fù)制，但如果出現(xiàn)服務(wù)器崩潰的情況，則無法保證系統(tǒng)可用性不受中斷。B.廉價(jià)磁盤冗余陣列(RAID)技術(shù)能夠提高恢復(fù)力，但無法針對(duì)網(wǎng)卡(NC)故障或中央處理器(CPU)故障提供保護(hù)。C.動(dòng)態(tài)域名系統(tǒng)(DDNS)是用于向動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址分配主機(jī)名稱的一種方法。這是一種有用的技術(shù)，但無助于確?？捎眯浴.負(fù)載均衡通過在多臺(tái)服務(wù)器之間分配流量確保系統(tǒng)可用性不受中斷。負(fù)載均衡有肋確保web應(yīng)用程序的響應(yīng)時(shí)間最后一致。另外，如果Web服務(wù)器出現(xiàn)故障，負(fù)載均衡可確保流量導(dǎo)向不同的可用服務(wù)器。[單選題]13.執(zhí)行計(jì)算機(jī)犯罪證據(jù)調(diào)查時(shí)，對(duì)于數(shù)據(jù)收集，IS審計(jì)師應(yīng)該最關(guān)心的證據(jù)是：A)分析B)評(píng)估C)保存D)公開答案:C解析:根據(jù)法律實(shí)施和司法授權(quán)保存和存檔審評(píng)證據(jù)時(shí)最重要的事情，如果不能正確的保存證據(jù)可能會(huì)影響到法律訴訟時(shí)對(duì)證據(jù)的采納。分析、評(píng)估和公開證據(jù)都很重要但是不是證據(jù)調(diào)查時(shí)的首要事情。點(diǎn)評(píng)：證據(jù)的完整性是最重要的[單選題]14.下面哪個(gè)選項(xiàng)有助于保證連接到數(shù)據(jù)庫的應(yīng)用的便攜性？A)數(shù)據(jù)庫導(dǎo)入/導(dǎo)出過程的核查B)SQL的使用C)存儲(chǔ)流程/觸發(fā)器的分析D)實(shí)體關(guān)系模型和數(shù)據(jù)庫物理結(jié)構(gòu)的同步答案:A解析:SQL便捷的使用。核查與其他系統(tǒng)的導(dǎo)入/導(dǎo)出流程是確保與其他系統(tǒng)更好的接口連接。分析存儲(chǔ)流程/觸發(fā)器是確保適當(dāng)?shù)脑L問/執(zhí)行，而且評(píng)價(jià)實(shí)體關(guān)系模型也是有用的，但是這些都不能有助于數(shù)據(jù)庫連接的應(yīng)用的便攜性。[單選題]15.下列那一項(xiàng)的開發(fā)時(shí)，高級(jí)管理層的參與是最重要的？A)戰(zhàn)略計(jì)劃B)信息系統(tǒng)策略C)信息系統(tǒng)程序D)標(biāo)準(zhǔn)和指南答案:A解析:戰(zhàn)略計(jì)劃為確保企業(yè)能夠達(dá)到預(yù)期目標(biāo)和目標(biāo)的基礎(chǔ)。高級(jí)管理人員的參與是關(guān)鍵，以確保該計(jì)劃充分滿足了既定的目標(biāo)和目的。IS程序，標(biāo)準(zhǔn)和準(zhǔn)則都是用以支持整體的戰(zhàn)略計(jì)劃的結(jié)果。點(diǎn)評(píng)：戰(zhàn)略制定是高層的責(zé)任[單選題]16.對(duì)于評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃的有效性最好方法是審查：A)計(jì)劃并把他們作為適當(dāng)?shù)臉?biāo)準(zhǔn)B)預(yù)先的測(cè)試結(jié)果C)應(yīng)急程序和員工培訓(xùn)D)異地存儲(chǔ)和環(huán)境監(jiān)控答案:B解析:預(yù)先測(cè)試結(jié)果將提供業(yè)務(wù)連續(xù)性計(jì)劃的有效性證據(jù)。標(biāo)準(zhǔn)比較將提供一些保證，該計(jì)劃涉及的業(yè)務(wù)連續(xù)性計(jì)劃的重要方面，但是沒有透露任何有關(guān)其有效性。檢查應(yīng)急程序，異地存儲(chǔ)和環(huán)境控制將提供使該計(jì)劃某些方面的見解，但都低于提供該計(jì)劃的整體效益的保證。[單選題]17.在審計(jì)ERP財(cái)務(wù)系統(tǒng)的邏輯訪問控制時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)一些用戶帳戶被多人共享使用。用戶ID是基于角色而非人員本身設(shè)置的。這些帳戶允許進(jìn)入ERP系統(tǒng)進(jìn)行財(cái)務(wù)處理。下一步，信息系統(tǒng)審計(jì)師該怎么做？A)尋找補(bǔ)償性控制B)檢閱財(cái)務(wù)事務(wù)日志C)檢閱審計(jì)范圍D)叫管理員禁用這些帳號(hào)答案:A解析:最好的邏輯訪問控制實(shí)踐是創(chuàng)建用戶ID給每一個(gè)定義了責(zé)任的使用人。只有在建立ID和獨(dú)立使用人之間一個(gè)一對(duì)一關(guān)系時(shí)才有可能。盡管如此，如果用戶ID是基于角色創(chuàng)建的，信息系統(tǒng)審計(jì)師應(yīng)首先理解原因，然后評(píng)價(jià)補(bǔ)償控制有效性和效率。檢查處理日志對(duì)審計(jì)邏輯訪問控制是無關(guān)的，檢查審計(jì)相關(guān)的范圍也是無關(guān)的。在弄明白原因和評(píng)價(jià)補(bǔ)償性控制之前，不建議信息系統(tǒng)審計(jì)師請(qǐng)管理員對(duì)共享帳號(hào)停掉。這不是信息系統(tǒng)審計(jì)師的職責(zé)在審計(jì)期間讓停止使用帳號(hào)。+B2890[單選題]18.用戶使用分配的安全令牌結(jié)合個(gè)人識(shí)別碼(PIN)來訪問公司的虛擬私有網(wǎng)絡(luò)(VPN)。對(duì)于PIN，安全政策中應(yīng)包含哪項(xiàng)最重要的規(guī)則?A)用戶不應(yīng)將令牌置于容易被盜的地方。B)用戶不得將令牌與便攜式計(jì)算機(jī)置于同一包中C)用戶應(yīng)選擇完全隨機(jī)且沒有重復(fù)數(shù)字的PIN。D)用戶不應(yīng)將PIN寫下來。答案:D解析:A.如果沒有個(gè)人識(shí)別碼(PIN)，對(duì)令牌進(jìn)行訪問毫無價(jià)值:二者缺一不可。B.如果沒有PIN，對(duì)令牌進(jìn)行訪問毫無價(jià)值;二者缺一不可。C.只要PIN足夠機(jī)密，便不需要是隨機(jī)的。D.如果用戶將PIN記錄在紙條上，則能獲取到令牌、這張紙條以及計(jì)算機(jī)的任何人都可以訪問公司網(wǎng)絡(luò)。令牌和PIN是一種雙因素身份認(rèn)證方法。[單選題]19.公司XZ已將生產(chǎn)支持外包給在另一個(gè)國家的服務(wù)提供商ABC。ABC服務(wù)提供商的工作人員通過互聯(lián)網(wǎng)遠(yuǎn)程連接到Y(jié)Z的生產(chǎn)支持網(wǎng)絡(luò).以下哪一項(xiàng)能夠最有效地保證只有經(jīng)過授權(quán)的ABC用戶能夠通過互聯(lián)網(wǎng)連接為XYZ提供服務(wù)支持?A)單點(diǎn)登陸身份認(rèn)證B)密碼復(fù)雜性要求C)雙因素身份認(rèn)證D)互聯(lián)網(wǎng)協(xié)議(IP)地址限制答案:C解析:A.單點(diǎn)登陸身份認(rèn)證提供系統(tǒng)資源的單一訪問點(diǎn)。它不是這種情況下的最佳答案。B.盡管密碼復(fù)雜性要求有助防止未經(jīng)授權(quán)的訪問，雙因素身份認(rèn)證是這種情況下更有效的控制。C.雙因素身份認(rèn)證是提供安全連接的最佳方法，原因在于它使用雙因素，通常是?您有什么?(例如生成一次性密碼的設(shè)備)、?您是誰?(例如生物特征)或?您知道什么?(例如個(gè)人識(shí)別號(hào)碼PIN或密碼)。只使用密碼而不使用上述1個(gè)或多個(gè)其他因素不是這種情況下的最佳答案。D.互聯(lián)網(wǎng)協(xié)議(IP)地址始終可以被更改或仿冒，因此不是上述情景的最佳身份認(rèn)證方式。[單選題]20.當(dāng)應(yīng)用程序開發(fā)人員想要使用前一天的生產(chǎn)交易文件副本來做容量測(cè)試時(shí)，IS審計(jì)師的主要擔(dān)優(yōu)是A)用戶可能更愿意在測(cè)試時(shí)使用編造的數(shù)據(jù)。B)可能導(dǎo)致敏感數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問。C)錯(cuò)誤處理和可信度檢查可能得不到全面驗(yàn)證。D)未必能測(cè)試新程序的全部功能。答案:B解析:A.生產(chǎn)數(shù)據(jù)更易于用戶在比較時(shí)使用。B.除非數(shù)據(jù)經(jīng)過清理，否則將有泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)。C.存在之前的生產(chǎn)數(shù)據(jù)可能不會(huì)測(cè)試出所有的錯(cuò)誤例程的風(fēng)險(xiǎn);但這沒有泄露敏感數(shù)據(jù)的風(fēng)大D.使用生產(chǎn)數(shù)據(jù)的副本可能測(cè)試不了全部功能，但這沒有泄露敏感數(shù)據(jù)的風(fēng)險(xiǎn)大。[單選題]21.以下哪項(xiàng)是由于對(duì)數(shù)據(jù)和系統(tǒng)的所有權(quán)定義的不足產(chǎn)生最大的風(fēng)險(xiǎn)？A)用戶管理協(xié)調(diào)不存在B)特定用戶責(zé)任不能成立C)未經(jīng)授權(quán)的用戶可以訪問，修改或刪除數(shù)據(jù)D)審計(jì)的建議可能無法實(shí)現(xiàn)答案:C解析:如果沒有一個(gè)明確的策略誰具備了授予訪問特定系統(tǒng)的責(zé)任，就會(huì)增加風(fēng)險(xiǎn)，即某人可以獲得系統(tǒng)的訪問權(quán)當(dāng)他們不應(yīng)該得到授權(quán)時(shí)。通過分配授權(quán)訪問到特定的用戶，有一個(gè)更好的機(jī)會(huì)就是業(yè)務(wù)目標(biāo)將得到適當(dāng)?shù)闹С?。[單選題]22.某公司和外部咨詢公司簽約實(shí)施商業(yè)金融系統(tǒng)以替換現(xiàn)存的自開發(fā)系統(tǒng)。在審核提交的開發(fā)文檔時(shí)，下面哪一項(xiàng)最值得重視？A)由用戶來控制驗(yàn)收測(cè)試B)質(zhì)量控制計(jì)劃不是合同的一部分C)在初步實(shí)施時(shí)不包括所有的商業(yè)功能D)原型法被用于確保系統(tǒng)符合商業(yè)需求答案:A解析:質(zhì)量計(jì)劃是所有項(xiàng)目的一項(xiàng)基本要素。這是至關(guān)重要的，該合同供應(yīng)商須出示這樣的一個(gè)計(jì)劃。建議的開發(fā)合同的質(zhì)量計(jì)劃應(yīng)當(dāng)是全面的，涵蓋了開發(fā)的各個(gè)階段，并且包括哪些業(yè)務(wù)功能將被納入以及何時(shí)（實(shí)現(xiàn)）。通常是由用戶方面來接受，因?yàn)樗麄儽仨毚_信該新系統(tǒng)將滿足他們的需求。如果系統(tǒng)是大型的，逐步使用系統(tǒng)的辦法是一個(gè)合理的做法。原型是一個(gè)有效的方法，確保該系統(tǒng)將滿足業(yè)務(wù)需求。[單選題]23.對(duì)生物識(shí)別系統(tǒng)的運(yùn)行情況進(jìn)行審查期間，IS審計(jì)師首先應(yīng)審查的階段是：A)注冊(cè)。B)識(shí)別。C)驗(yàn)證。D)存儲(chǔ)。答案:A解析:生物識(shí)別設(shè)備的用戶必須首先在該設(shè)備上注冊(cè)。該設(shè)備科獲取人類的身體或動(dòng)作圖像，并識(shí)別獨(dú)特的特征，然后使用算法將其轉(zhuǎn)換成以模板形式存儲(chǔ)的一串?dāng)?shù)字，以便用于匹配過程。[單選題]24.對(duì)服務(wù)提供商進(jìn)行審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)，該服務(wù)提供商已將部分工作外包給了其他提供商。由于此工作涉及到機(jī)密信息，因此，IS審計(jì)師應(yīng)當(dāng)首先考慮:A)有關(guān)保護(hù)信息機(jī)密性的要求可能會(huì)受到損害。B)合同有可能被終止，因?yàn)槭孪任传@得外包商許可。C)提供部分外包工作的其他服務(wù)提供商不需要接受審計(jì)。D)外包商將直接與其他服務(wù)提供商進(jìn)行接觸，以便進(jìn)一步開展工作。答案:A解析:A.許多國家均制定了相關(guān)法規(guī)，用來保護(hù)本國維護(hù)的或與其他國家交換的信息的機(jī)密性。當(dāng)服務(wù)提供商將部分服務(wù)外包給其他服務(wù)提供商時(shí)，有對(duì)信息的機(jī)密性造成危害的潛在風(fēng)險(xiǎn)。B.因違反合同條款而終止合同可能是個(gè)問題，但與確保信息的保密性無關(guān)。C.外包商不需要接受審計(jì)可能是個(gè)問題，但與保證信息的保密性無關(guān)。D.外包商直接與其他服務(wù)提供商進(jìn)行接觸以便進(jìn)一步開展工作，這絲毫不是IS審計(jì)師需要關(guān)心的問題。[單選題]25.IS審計(jì)師獲取充分和合適的審計(jì)證據(jù)的最重要的原因是：A)遵從法規(guī)的要求B)提供推導(dǎo)出合理結(jié)論的基礎(chǔ)C)確認(rèn)完整的審計(jì)內(nèi)容D)根據(jù)定義的范圍執(zhí)行審計(jì)答案:B解析:IS審計(jì)的范圍由目標(biāo)來定義。它包括確定與審計(jì)范圍相關(guān)的控制不足。獲取充分和合適的證據(jù)有助于審計(jì)員確定、記錄并控制不足之處。遵從法規(guī)要求、確認(rèn)審計(jì)內(nèi)容和執(zhí)行審計(jì)都與審計(jì)有關(guān)但不是需要充分和相關(guān)證據(jù)的原因。點(diǎn)評(píng)：審計(jì)證據(jù)是用來得出審計(jì)結(jié)論的[單選題]26.流程所有權(quán)分配在系統(tǒng)開發(fā)項(xiàng)目中至關(guān)重要，原因是它:A)利于跟蹤開發(fā)完成的百分比。B)優(yōu)化用戶驗(yàn)收測(cè)試(UAT)案例的設(shè)計(jì)成本。C)最大限度縮小需求與功能之間的差距。D)確保系統(tǒng)設(shè)計(jì)基于業(yè)務(wù)需求。答案:D解析:A.流程所有權(quán)分配不具備跟蹤交付成果完成百分比的功能。B.是否優(yōu)化測(cè)試案例的設(shè)計(jì)成本不取決于流程所有權(quán)的分配。它具有一定程度的幫助:但測(cè)試案例的設(shè)計(jì)涉及許多因素。C.為最大限度縮小差距，需部署和應(yīng)用具體的需求分析框架;然而能夠?qū)е孪到y(tǒng)功能不滿足需求的差距可能在設(shè)計(jì)和竣工的系統(tǒng)之間發(fā)現(xiàn)。這將在用戶驗(yàn)收測(cè)試(UAT被識(shí)別。流程所有權(quán)本身并不具備度縮小需求差距的能力。D.流程所有者的參與將確保系統(tǒng)功能根據(jù)業(yè)務(wù)流程的要求來設(shè)計(jì)。流程所有者必須在設(shè)計(jì)上簽字認(rèn)可，然后才能開始開發(fā)。[單選題]27.對(duì)一個(gè)使用?系統(tǒng)開發(fā)生命周期?方法的項(xiàng)目而言，其階段和提交件應(yīng)該在下列哪個(gè)時(shí)候決定？A)在項(xiàng)目啟動(dòng)計(jì)劃階段B)在早期計(jì)劃完成后，在實(shí)際工作開始之前C)整個(gè)工作過程中，基于風(fēng)險(xiǎn)和暴露問題的D)只有在所有風(fēng)險(xiǎn)和暴露問題被確認(rèn)及信息系統(tǒng)審計(jì)員建議合適的控制后答案:A解析:在項(xiàng)目的最初階段對(duì)項(xiàng)目進(jìn)行適當(dāng)?shù)挠?jì)劃并確定特定的階段和提交件是非常重要的。[單選題]28.在減少開發(fā)成本和確保項(xiàng)目的質(zhì)量情況下，以下哪項(xiàng)管理技術(shù)可以使企業(yè)快速開發(fā)戰(zhàn)略上的重要系統(tǒng)：A)功能點(diǎn)分析B)關(guān)鍵路徑法C)快速應(yīng)用程序開發(fā)D)項(xiàng)目評(píng)審技術(shù)答案:C解析:RAD是一種管理技術(shù)用于組織快速開發(fā)戰(zhàn)略上的重要系統(tǒng)，在減少開發(fā)成本和確保項(xiàng)目的質(zhì)量情況下。PERT和CPM是計(jì)劃控制技術(shù)，而功能點(diǎn)分析師用于建立復(fù)雜的業(yè)務(wù)應(yīng)用開發(fā)的一種控制技術(shù)，用于評(píng)估項(xiàng)目的復(fù)雜度。點(diǎn)評(píng)：開發(fā)戰(zhàn)略性的項(xiàng)目--RAD[單選題]29.某保險(xiǎn)公司對(duì)經(jīng)常應(yīng)用的數(shù)據(jù)進(jìn)行斷點(diǎn)打印拷貝，使有關(guān)人員可在主機(jī)文件中獲取這些數(shù)據(jù)，經(jīng)過授權(quán)的用戶可以將數(shù)據(jù)子集下載進(jìn)入電子數(shù)據(jù)表程序，這種提供數(shù)據(jù)存取途徑方法的風(fēng)險(xiǎn)是：A)復(fù)制文件可能沒有得到同步處理；B)數(shù)據(jù)片斷可能缺乏完整性；C)數(shù)據(jù)處理的進(jìn)行可能缺乏成熟；D)數(shù)據(jù)的普及性。答案:B解析:提供數(shù)據(jù)存取途徑方法的風(fēng)險(xiǎn)：數(shù)據(jù)片斷可能缺乏完整性。不缺乏普及性、成熟性；得到同步處理。[單選題]30.以下哪項(xiàng)對(duì)數(shù)字認(rèn)證生命周期進(jìn)行管理，以確保與電子商務(wù)有關(guān)的數(shù)字簽名應(yīng)用程序中存在足夠的安全性和控制？A)注冊(cè)機(jī)構(gòu)B)認(rèn)證頒發(fā)機(jī)構(gòu)（CA）C)證書撤銷清單（CRL）D)認(rèn)證實(shí)施細(xì)則答案:B解析:CA維護(hù)數(shù)字認(rèn)證的目錄，以供認(rèn)證的接收者參考。它管理認(rèn)證的生命周期，包括認(rèn)證目錄的維護(hù)以及證書撤銷清單的維護(hù)和發(fā)布。選項(xiàng)A不正確，因?yàn)樽?cè)機(jī)構(gòu)是可選實(shí)體，負(fù)責(zé)與注冊(cè)最終實(shí)體（CA頒發(fā)的認(rèn)證的主體）相關(guān)的管理任務(wù)。選項(xiàng)C不正確，因?yàn)镃RL是一種工具，用于檢查CA負(fù)責(zé)的認(rèn)證的持續(xù)有效性。選項(xiàng)D不正確，因?yàn)檎J(rèn)證實(shí)施細(xì)則是一套管理認(rèn)證頒發(fā)機(jī)構(gòu)運(yùn)營的詳細(xì)規(guī)則。[單選題]31.檢查用戶的生物特征識(shí)別身份認(rèn)證系統(tǒng)的IS審計(jì)師證明存在一種控制弱點(diǎn)，該弱點(diǎn)允許未授權(quán)用戶更新服務(wù)器上用于存儲(chǔ)生物特征識(shí)別樣本的集中式數(shù)據(jù)庫。在以下選項(xiàng)中，哪一項(xiàng)是針對(duì)此風(fēng)險(xiǎn)的最佳控制描施A)KerberosB)有效性檢測(cè)C)多模式生物特征識(shí)別D)前/后圖像記錄答案:A解析:A.Kerberos是一種用于客戶端服務(wù)器應(yīng)用程序的網(wǎng)絡(luò)身份認(rèn)證協(xié)議，用于將數(shù)據(jù)庫的訪問權(quán)限限制為授權(quán)的用戶。B.有效性檢測(cè)會(huì)盡力保證提供生物特征識(shí)別的用戶是?健在?的，而不僅僅是生物特征識(shí)別值的圖像或照片。C.多模式生物特征識(shí)別綜合使用多種生物特征識(shí)別方法來驗(yàn)證用戶的身份。如果攻擊者能夠訪問生物特征識(shí)別模板，使用多個(gè)模板也不是一種有效的控制。D.數(shù)據(jù)庫交易的前/后圖像記錄是檢測(cè)性控制，與Kerberos這種預(yù)防性控制剛好相反。[單選題]32.以下哪個(gè)流程能夠最有效地檢測(cè)到將非法軟件包加載到網(wǎng)絡(luò)上的這一行為?A)使用無盤工作站B)定期檢硬盤C)使用最新的防病毒軟件D)違反規(guī)定便立即解雇的政策答案:B解析:A.無盤工作站作為預(yù)防性控制，在防止用戶通過網(wǎng)絡(luò)訪問非法軟件方面完全無效。B.定期檢查硬盤對(duì)于發(fā)現(xiàn)加載到網(wǎng)絡(luò)上的非法軟件包最為有效。C.防病毒軟件不一定能發(fā)現(xiàn)非法軟件，除非該軟件包含病毒。D.政策中是提出有關(guān)加載軟件規(guī)則的預(yù)防控制，但無法檢測(cè)實(shí)際發(fā)生情況。[單選題]33.以下哪些選項(xiàng)是CSO的日常職責(zé)？A)定期審查和評(píng)估安全策略B)執(zhí)行用戶應(yīng)用程序和對(duì)軟件的測(cè)試和評(píng)估C)對(duì)用戶訪問IT資源進(jìn)行授權(quán)和撤銷權(quán)限D(zhuǎn))授權(quán)訪問數(shù)據(jù)庫和應(yīng)用程序答案:A解析:一位首席安全官職能是確保企業(yè)安全策略和控制足以防止對(duì)企業(yè)財(cái)產(chǎn)未授權(quán)的訪問，包括數(shù)據(jù)，程序以及設(shè)備。用戶應(yīng)用程序和其他軟件的測(cè)試與評(píng)估通常是開發(fā)和維護(hù)職員的責(zé)任，對(duì)用戶訪問權(quán)限的授權(quán)和撤銷通常是網(wǎng)管或數(shù)據(jù)管理員的職能。數(shù)據(jù)庫和應(yīng)用程序的訪問授權(quán)是數(shù)據(jù)所有者的職責(zé)。[單選題]34.某金融服務(wù)企業(yè)設(shè)有一個(gè)小規(guī)模的IT部門，從而需要單個(gè)員工身兼數(shù)職。以下哪種做法帶來的風(fēng)險(xiǎn)最大?A)開發(fā)人員將代碼提升到生產(chǎn)環(huán)境中。B)業(yè)務(wù)分析人員編寫相關(guān)需求并執(zhí)行功能性測(cè)試。C)IT經(jīng)理同時(shí)執(zhí)行系統(tǒng)管理工作。D)數(shù)據(jù)庫管理員(DBA)也執(zhí)行數(shù)據(jù)備份。答案:A解析:A.如果開發(fā)人員能進(jìn)入生產(chǎn)環(huán)境，則存在將未經(jīng)測(cè)試的代碼提升至生產(chǎn)環(huán)境中的風(fēng)險(xiǎn)。B.安全管理小組主要關(guān)注的是安全狀況的管理，無法決定安全狀況。C.在小規(guī)模的團(tuán)隊(duì)中，只要IT經(jīng)理不同時(shí)參與代碼開發(fā)，便允許其執(zhí)行系統(tǒng)管理工作。D.執(zhí)行數(shù)據(jù)備份可以是數(shù)據(jù)庫管理員的部分職責(zé)[單選題]35.下面哪一種方式，能夠最有效的約束雇員只能履行其分內(nèi)的工作？A)應(yīng)用級(jí)訪問控制B)數(shù)據(jù)加密C)卸掉雇員計(jì)算機(jī)上的軟盤和光盤驅(qū)動(dòng)器D)使用網(wǎng)絡(luò)監(jiān)控設(shè)備答案:A解析:[單選題]36.在對(duì)異地備份存儲(chǔ)庫的備份和恢復(fù)進(jìn)行審計(jì)時(shí)，下面哪個(gè)發(fā)現(xiàn)是信息系統(tǒng)審計(jì)員最關(guān)心的A)3個(gè)人擁有進(jìn)入庫房的鑰匙B)紙質(zhì)文檔也保存于異地存儲(chǔ)庫C)保存于異地庫的數(shù)據(jù)文件是同步的D)異地庫位于單獨(dú)的設(shè)施中。答案:A解析:選項(xiàng)A、是不正確的，因?yàn)槌^1個(gè)人擁有到庫房的鑰匙可以保證負(fù)責(zé)異地備份庫的人員可以休假和輪班。選項(xiàng)B、不正確，因?yàn)橐幻畔⑾到y(tǒng)審計(jì)師不應(yīng)該關(guān)注紙質(zhì)文檔是否存儲(chǔ)在異地庫。事實(shí)上，像程序性文檔和應(yīng)急計(jì)劃副本這些紙質(zhì)文檔更應(yīng)該存放在異地庫。庫房的所在地很重要，但沒有數(shù)據(jù)文件的同步那么重要。[單選題]37.以下哪種情況最適合實(shí)施數(shù)據(jù)鏡像作為恢復(fù)策略？A)災(zāi)難容忍度高B)恢復(fù)時(shí)間目標(biāo)高C)恢復(fù)點(diǎn)目標(biāo)低D)恢復(fù)點(diǎn)目標(biāo)高答案:C解析:所謂恢復(fù)點(diǎn)目標(biāo)指的是恢復(fù)數(shù)據(jù)可接受的最近狀態(tài)。如果恢復(fù)點(diǎn)目標(biāo)很低，那么數(shù)據(jù)鏡像將被用作數(shù)據(jù)恢復(fù)策略；所謂恢復(fù)時(shí)間目標(biāo)就是再難容忍度的一個(gè)指標(biāo)，回復(fù)時(shí)間目標(biāo)越低災(zāi)難容忍度也就越低。[單選題]38.下面哪一項(xiàng)攻擊技術(shù)會(huì)因互聯(lián)網(wǎng)防火墻的固有安全漏洞成功?A)對(duì)網(wǎng)站發(fā)送過量數(shù)據(jù)包B)網(wǎng)絡(luò)釣魚C)針對(duì)加密密碼的字典攻擊D)攔截?cái)?shù)據(jù)包并查看密碼答案:A解析:[單選題]39.數(shù)據(jù)庫管理員（DBA）建議通過非規(guī)范化一些數(shù)據(jù)庫（DB英文全稱datA.base，數(shù)據(jù)庫）來提高性能，這將導(dǎo)致：A)保密性丟失B)增加冗余C)非授權(quán)訪問D)應(yīng)用故障答案:B解析:在關(guān)系數(shù)據(jù)庫中使用和設(shè)計(jì)一個(gè)規(guī)范化流程可以減少冗余，因此，非規(guī)范化就會(huì)增加了冗余。冗余在資源可用方面通常被認(rèn)為能起到積極的作用，但在數(shù)據(jù)庫環(huán)境下卻被認(rèn)為有著負(fù)面的影響，因?yàn)樗枰M(jìn)行額外的不必要的數(shù)據(jù)處理工作。非規(guī)范化由于一些功能原因有時(shí)是可以被推薦使用的，但它不應(yīng)該引起保密性丟失、非授權(quán)訪問或者應(yīng)用故障。[單選題]40.支持安全評(píng)定／認(rèn)證需要執(zhí)行的保證任務(wù)，應(yīng)在何時(shí)確定：A)在完成必要的修改之后。B)在用戶驗(yàn)收階段。C)在項(xiàng)目規(guī)劃階段。D)在制定了質(zhì)量保證計(jì)劃之后。答案:C解析:[單選題]41.要從網(wǎng)絡(luò)攻擊中恢復(fù)，以下哪項(xiàng)措施最重要?A)建立事故響應(yīng)團(tuán)隊(duì)B)雇傭網(wǎng)絡(luò)取證調(diào)查員C)執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃(BCP)D)保留證據(jù)答案:A解析:A.最好是在網(wǎng)絡(luò)攻擊之前就建立事故響應(yīng)團(tuán)隊(duì)和流程。第一步是啟動(dòng)事故響應(yīng)團(tuán)隊(duì)，遏制事故并保持業(yè)務(wù)的運(yùn)轉(zhuǎn)。B.當(dāng)懷疑受到網(wǎng)絡(luò)攻擊時(shí)，應(yīng)動(dòng)用網(wǎng)絡(luò)取證調(diào)查員來建立警報(bào)、抓獲網(wǎng)絡(luò)入侵者，并通過互聯(lián)網(wǎng)對(duì)其進(jìn)行追蹤和跟蹤。只有在確認(rèn)事故后才可動(dòng)用網(wǎng)絡(luò)取證專家。C.從網(wǎng)絡(luò)攻擊中恢復(fù)時(shí)，最重要的目標(biāo)是保持業(yè)務(wù)的運(yùn)轉(zhuǎn)，但大多數(shù)攻擊不要求啟動(dòng)或使用業(yè)務(wù)連續(xù)性計(jì)劃(BCP)。D.企業(yè)的主要目標(biāo)是保持業(yè)務(wù)運(yùn)行。在非刑事調(diào)查中，這甚至可能導(dǎo)致證據(jù)丟失[單選題]42.對(duì)于災(zāi)難恢復(fù)計(jì)劃(DRP)，管理層考慮了兩種方案:方案A:兩個(gè)月內(nèi)完全恢復(fù)方案B:八個(gè)月內(nèi)完全恢復(fù)。兩種計(jì)劃的恢復(fù)點(diǎn)目標(biāo)相同?？梢灶A(yù)計(jì)，計(jì)劃B具有更高的:A)停機(jī)時(shí)間成本B)繼續(xù)運(yùn)營成本C)恢復(fù)成本。D)穿行性測(cè)試成本。答案:A解析:A.由于管理層在方案B中考慮了較長的恢復(fù)時(shí)限，因此該方案中包含的停機(jī)時(shí)間成本可能較高。B.由于方案B的恢復(fù)時(shí)間較長，因此，繼續(xù)運(yùn)營成本成本應(yīng)該會(huì)較低。C.由于方案B的恢復(fù)時(shí)間較長，因此，恢復(fù)成本應(yīng)該會(huì)較低。D.穿行性測(cè)試成本不屬于災(zāi)難恢復(fù)的一部分。[單選題]43.以下哪種為控制自我評(píng)價(jià)方法的屬性？A)廣泛的利益相關(guān)者的參與B)審計(jì)師為主控分析C)有限的雇員參與D)策略驅(qū)動(dòng)答案:A解析:控制自我評(píng)價(jià)（C、SA、）方法強(qiáng)調(diào)管理和問責(zé)制為發(fā)展和監(jiān)督組織的業(yè)務(wù)流程。C、SA、的屬性包括雇員授權(quán)、持續(xù)改進(jìn)、廣泛的員工參與管理和培訓(xùn)，所有這些都代表了廣泛的利益相關(guān)者的參與。選B、C、D、是傳統(tǒng)審計(jì)方法的屬性。[單選題]44.如下哪個(gè)是社交工程攻擊？A)邏輯炸彈B)木馬C)包重放D)網(wǎng)絡(luò)釣魚答案:D解析:網(wǎng)絡(luò)釣魚是通過用戶是電子郵件或者文本信息欺騙他們暴露個(gè)人信息的一類社交攻擊。邏輯炸彈和木馬是惡意代碼的變種不是社交攻擊。包重放是在網(wǎng)絡(luò)上的主動(dòng)攻擊，不是社交攻擊。[單選題]45.從控制角度來說，對(duì)信息資產(chǎn)進(jìn)行分類的主要目標(biāo)是：A)為應(yīng)分配的訪問控制等級(jí)建立準(zhǔn)則。B)確保將訪問控制分配到所有信息資產(chǎn)。C)在風(fēng)險(xiǎn)評(píng)估中為管理人員和審計(jì)師提供幫助。D)識(shí)別需要根據(jù)損失進(jìn)行投保的資產(chǎn)。答案:A解析:信息在滿足業(yè)務(wù)目標(biāo)方面具有不同程度的敏感性和重要性。通過將敏感性和重要性的類別或等級(jí)分配給信息資源，管理人員可以為應(yīng)分配的訪問控制等級(jí)建立準(zhǔn)則。最終用戶管理人員和安全管理員將在各自的風(fēng)險(xiǎn)評(píng)估過程中使用這些分類，據(jù)此為每份資產(chǎn)分配一個(gè)給定的類別。[單選題]46.要確保數(shù)據(jù)庫管理員(DBA)遵守企業(yè)數(shù)據(jù)管理的職務(wù)要求，以下哪項(xiàng)是有效的預(yù)防性控制?A)例外報(bào)告B)職責(zé)分離(SoD)C)審查訪問日志和活動(dòng)D)管理部門監(jiān)督答案:B解析:A.例外報(bào)告屬于檢測(cè)性控制，用于指示何時(shí)在無授權(quán)的情況下執(zhí)行數(shù)據(jù)庫管理員(DBA)活動(dòng)。B.適當(dāng)?shù)穆氊?zé)分離(SoD)可以將DBA的活動(dòng)限制為由數(shù)據(jù)擁有者授權(quán)的活動(dòng)。SoD可通過要求一個(gè)以上的人參與完成任務(wù)，以限制DBA所能進(jìn)行的活動(dòng)C.審查訪問日志是為了檢測(cè)DBA進(jìn)行的活動(dòng)。D.管理部門監(jiān)督DBA活動(dòng)是為了檢測(cè)哪些DBA活動(dòng)未獲得授權(quán)。[單選題]47.以下哪個(gè)選項(xiàng)是針對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊?A)消息修改B)偽裝C)拒絕服務(wù)(DoS)D)流量分析答案:D解析:A.消息修改包括獲取消息、執(zhí)行未授權(quán)的更改或刪除、更改順序或延遲已獲取消息的傳輸。修改數(shù)據(jù)的攻擊是主動(dòng)攻擊。B.偽裝是一種主動(dòng)攻擊，這種情況下入侵者使用的身份并非其原始身份。C.拒絕服務(wù)(DoS)僅在連接到互聯(lián)網(wǎng)的計(jì)算機(jī)被必須處理的數(shù)據(jù)和/或請(qǐng)求淹沒時(shí)才會(huì)發(fā)生。它是一種主動(dòng)攻擊D.入侵者可通過確定特定主機(jī)之間的流量性質(zhì)(流量分析)，推測(cè)出通信的類型[單選題]48.在評(píng)估企業(yè)IT項(xiàng)目組合的優(yōu)先級(jí)是否適當(dāng)時(shí)，什么應(yīng)是信息系統(tǒng)審計(jì)師的最重要考慮事項(xiàng)？A)成本效益分析結(jié)果B)企業(yè)的IT預(yù)算C)業(yè)務(wù)影響分析（BIA)D)企業(yè)的業(yè)務(wù)計(jì)劃答案:D解析:[單選題]49.在審查敏感的電子版工作底稿，IS審計(jì)師注意到它們沒有被加密。這可能會(huì)危及到A)工作底稿版本管理的審計(jì)軌跡。B)審計(jì)階段的批準(zhǔn)。C)對(duì)工作底稿的訪問權(quán)限。D)工作底稿的機(jī)密性。答案:D解析:A.審計(jì)軌跡自身不會(huì)影響機(jī)密性，卻是要求加密的部分原因。B.審計(jì)階段的批準(zhǔn)自身不會(huì)影響工作底稿的機(jī)密性，但是是要求加密的部分原因。C.對(duì)工作底稿的訪問權(quán)限應(yīng)僅限于工作需要的人員，但是沒有加密會(huì)破壞工作底稿的機(jī)密性，而不是對(duì)工作底稿的訪問權(quán)限。D.通過加密的方式可保證電子版工作底稿的機(jī)密性。[單選題]50.在以下哪個(gè)系統(tǒng)開發(fā)階段準(zhǔn)備用戶接受性測(cè)試計(jì)劃？A)可行分析B)需求定義C)實(shí)施計(jì)劃D)實(shí)施后檢查答案:B解析:在需求定義期間，項(xiàng)目小組將會(huì)與用戶定義他們準(zhǔn)備的目標(biāo)和功能性需求。此時(shí)用戶應(yīng)當(dāng)與項(xiàng)目小組合作、考慮系統(tǒng)功能確保滿足他們的需要并且整理在案?？尚行苑治鰧?duì)于用戶的充分參與過早，實(shí)施計(jì)劃和實(shí)施后檢查階段相對(duì)過晚。IS審計(jì)師應(yīng)當(dāng)知道計(jì)劃的用戶測(cè)試點(diǎn)以確保最有效果和效率的。點(diǎn)評(píng)：需求階段準(zhǔn)備UAT計(jì)劃，v型模型[單選題]51.以下哪一項(xiàng)發(fā)現(xiàn)應(yīng)是在審計(jì)IT治理和管理的過程中的最大擔(dān)憂？A)該企業(yè)的做法不符合國際IT控制標(biāo)準(zhǔn)B)業(yè)務(wù)戰(zhàn)略委員會(huì)會(huì)議上無IT代表人員參加C)未記錄IT戰(zhàn)略開發(fā)流程D)未設(shè)首席信息安全官（CISO）職位答案:B解析:[單選題]52.整合性測(cè)試（ITF）被認(rèn)為是一種有效的審計(jì)工具，這是因?yàn)椋緼)在應(yīng)用控制審計(jì)中是一種成本有效的方法B)使用財(cái)務(wù)和信息系統(tǒng)審計(jì)師集成他們的審計(jì)測(cè)試C)將處理輸出結(jié)果和獨(dú)立計(jì)算出的數(shù)據(jù)相比對(duì)D)向信息系統(tǒng)審計(jì)師提供了一種分析大量信息的工具答案:C解析:整合性測(cè)試之所以被認(rèn)為是一種有效的審計(jì)工具是因?yàn)樗梢允褂孟嗤某绦騺肀容^處理輸出結(jié)果和獨(dú)立計(jì)算出的數(shù)據(jù)。這包含了在應(yīng)用系統(tǒng)中建立虛擬實(shí)體，并依靠該實(shí)體來處理測(cè)試數(shù)據(jù)和生產(chǎn)數(shù)據(jù)以驗(yàn)證處理的準(zhǔn)確性。點(diǎn)評(píng)：ITF的概念[單選題]53.在對(duì)資料中心進(jìn)行審計(jì)時(shí),審計(jì)師應(yīng)當(dāng)檢查電壓調(diào)整器是否存在,以保證:A)保護(hù)硬設(shè)備免受浪涌損害B)如果主電力被中斷,系統(tǒng)的完整性也可以得到維護(hù)C)如果主電力被中斷,可以提供實(shí)時(shí)的電力供應(yīng)D)保護(hù)硬設(shè)備不受長期電力波動(dòng)的影響答案:A解析:[單選題]54.某小型公司無法隔離開發(fā)流程與變更控制職能之間的職貴。確保經(jīng)過測(cè)試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么?A)發(fā)布管理軟件B)手動(dòng)代碼比對(duì)C)生產(chǎn)前回歸測(cè)試D)管理層批準(zhǔn)變更答案:A解析:A.自動(dòng)化發(fā)布管理軟件可以通過無需任何手動(dòng)干預(yù)將代碼轉(zhuǎn)入生產(chǎn)，防止未經(jīng)授權(quán)的變更B.手動(dòng)代碼比對(duì)可以檢測(cè)是否已將錯(cuò)誤的代碼轉(zhuǎn)入生產(chǎn);但代碼比對(duì)無法防止移植代碼，這種控制不如使用發(fā)布管理軟件。此外，手動(dòng)代碼比對(duì)并非總是有效，并且需要高技能人才C.回歸測(cè)試確保變更不破壞當(dāng)前的系統(tǒng)功能，或無意間覆蓋先前的變更?；貧w測(cè)試無法防止將未經(jīng)測(cè)試的代碼轉(zhuǎn)入生產(chǎn)。D.盡管管理層應(yīng)當(dāng)審批每一項(xiàng)生產(chǎn)變更，但批準(zhǔn)無法防止將未經(jīng)測(cè)試的代碼移植到生產(chǎn)環(huán)境之中。[單選題]55.下面哪項(xiàng)能最好地保護(hù)連接到互聯(lián)網(wǎng)的計(jì)算機(jī)免受黑客攻擊？A)遠(yuǎn)程訪問服務(wù)器B)代理服務(wù)器C)個(gè)人防火墻D)密碼生成令牌答案:C解析:個(gè)人防火墻是防止黑客攻擊的最好方法，因?yàn)榭赏ㄟ^規(guī)則對(duì)防火墻進(jìn)行定義，這些規(guī)則描述了允許或不允許的用戶或連接類型。可以通過互聯(lián)網(wǎng)對(duì)遠(yuǎn)程訪問服務(wù)器進(jìn)行映射或掃描，這會(huì)產(chǎn)生安全漏洞。代理服務(wù)器能基于互聯(lián)網(wǎng)協(xié)議(IP)地址和端口提供保護(hù)：然而，要做到這一點(diǎn)，個(gè)人需要很深的專業(yè)知識(shí)．并且應(yīng)用程序能夠?qū)⒉煌丝谟糜谄涑绦虻牟煌糠?。密碼生成令牌可幫助加密會(huì)話，但不能保護(hù)計(jì)算機(jī)免受黑客攻擊。[單選題]56.生物測(cè)量系統(tǒng)的精確度指標(biāo)是:A)系統(tǒng)響應(yīng)時(shí)間B)注冊(cè)時(shí)間C)輸入文件的大小D)誤接受率答案:D解析:對(duì)于生物測(cè)量解決方案有3個(gè)主要的精確度指標(biāo):錯(cuò)誤拒絕率(FRR)，交叉錯(cuò)誤率(C、ER,又稱等同錯(cuò)誤率EER)及錯(cuò)誤接受率(FAR)。錯(cuò)誤拒絕率是指合法用戶被錯(cuò)誤拒絕的頻率。錯(cuò)誤接受率是指非法用戶被錯(cuò)誤接受的頻率。交叉錯(cuò)誤率是指當(dāng)FRR與FAR相等時(shí)的頻率。A、和B、選項(xiàng)都是效率指標(biāo)。[單選題]57.對(duì)有明確項(xiàng)目結(jié)東時(shí)間以及固定的測(cè)試執(zhí)行時(shí)間的項(xiàng)目，以下哪一項(xiàng)是確保實(shí)現(xiàn)了充分的測(cè)試覆蓋的最佳方法?A)根據(jù)重要性和使用頻率對(duì)需求進(jìn)行測(cè)試。B)測(cè)試覆蓋率應(yīng)限制在功能性需求之內(nèi)。C)使用腳本執(zhí)行自動(dòng)測(cè)試。D)只重測(cè)缺陷修復(fù)，以減少所需的測(cè)試數(shù)量。答案:A解析:A.其思路是，通過專注于系統(tǒng)最重要的方面，并專注于用戶可接受的由于缺陷所引發(fā)最大風(fēng)險(xiǎn)的領(lǐng)域，來使測(cè)試效用最大化。該方法的進(jìn)一步擴(kuò)展是，同時(shí)考慮需求的技術(shù)復(fù)雜程度，因?yàn)閺?fù)雜程度會(huì)大缺陷的可能性。B.僅測(cè)試功能要求的問題在于，可用性和安全性等對(duì)系統(tǒng)整體質(zhì)量非常重要的非功能性需求領(lǐng)域遭到忽略。C.通過執(zhí)行自動(dòng)化測(cè)試來提高測(cè)試效率是一個(gè)不錯(cuò)的想法。但是，就這種方法本身來說，它無法保證測(cè)試覆蓋率的適當(dāng)目標(biāo)，因此不是一個(gè)有效的替代方案。D.僅重測(cè)缺陷修復(fù)會(huì)帶來相當(dāng)大的風(fēng)險(xiǎn)，因?yàn)檫@樣將不會(huì)檢測(cè)缺陷修復(fù)可能導(dǎo)致系統(tǒng)回歸的實(shí)例(即在之前工作正常的系統(tǒng)的某些部分引入了錯(cuò)誤)。因此，良好實(shí)踐是在缺陷修復(fù)實(shí)施之后執(zhí)行正式的回歸測(cè)試[單選題]58.某審計(jì)師受邀參加一個(gè)關(guān)鍵項(xiàng)目的項(xiàng)目啟動(dòng)會(huì)議。該IS審計(jì)師的主要關(guān)注點(diǎn)應(yīng)該是A)是否已分析項(xiàng)目的復(fù)雜性和風(fēng)險(xiǎn)B)是否已確定整個(gè)項(xiàng)目所需的資C)是否已確定技術(shù)交付成果D)是否已制定好外部各方參與項(xiàng)目所需的合同答案:A解析:A.要取得項(xiàng)目的成功，了解項(xiàng)目的復(fù)雜性和風(fēng)險(xiǎn)在整個(gè)項(xiàng)目中積極地對(duì)其進(jìn)行管理至關(guān)重要。B需要的資源取決于項(xiàng)目的復(fù)雜C.此時(shí)確定技術(shù)交付成果太早D.不是所有的項(xiàng)目要與外部各方簽訂合同[單選題]59.對(duì)公司的最終用戶計(jì)算系統(tǒng)EUC進(jìn)行審計(jì)時(shí)，以下哪一項(xiàng)發(fā)現(xiàn)會(huì)是最大的關(guān)切?A)無法監(jiān)控EUC審計(jì)日志和活動(dòng)B)公司的IT系統(tǒng)安全性降低C)遵循的補(bǔ)丁流程不一致D)將錯(cuò)誤引入財(cái)務(wù)報(bào)表答案:D解析:[單選題]60.一個(gè)數(shù)據(jù)庫管理員檢測(cè)到某些表有一個(gè)性能問題，這個(gè)問題可以通過非正規(guī)化來解決。這種情況會(huì)增加以下哪項(xiàng)風(fēng)險(xiǎn)？A)并發(fā)訪問。B)死鎖。C)非授權(quán)訪問數(shù)據(jù)。D)數(shù)據(jù)完整性丟失。答案:D解析:規(guī)范化可以把數(shù)據(jù)結(jié)構(gòu)中冗余的數(shù)據(jù)元素移除。關(guān)系數(shù)據(jù)庫中禁用規(guī)范化將造成數(shù)據(jù)冗余和數(shù)據(jù)不一致及隨之而生的數(shù)據(jù)完整性丟失的風(fēng)險(xiǎn)。死鎖不會(huì)因?yàn)椴灰?guī)范化而產(chǎn)生。對(duì)數(shù)據(jù)庫的訪問由用戶權(quán)限定義來控制的，而不受非規(guī)范化的影響。[單選題]61.組織在制定災(zāi)難恢復(fù)計(jì)劃時(shí)，應(yīng)該最先針對(duì)以下哪點(diǎn)制定A)所有信息系統(tǒng)流程B)所有應(yīng)用系統(tǒng)流程C)信息系統(tǒng)經(jīng)理指派的路程D)業(yè)務(wù)經(jīng)理定義的流程優(yōu)先級(jí)答案:A解析:業(yè)務(wù)經(jīng)理應(yīng)當(dāng)在災(zāi)難前需要知道那些系統(tǒng)是關(guān)鍵的。業(yè)務(wù)經(jīng)理的職責(zé)要求定義和維護(hù)一個(gè)計(jì)劃。一旦災(zāi)難發(fā)生將沒有足夠的時(shí)間可用。信息系統(tǒng)和應(yīng)用系統(tǒng)流程是用來服務(wù)于組織和幫助一般用戶順利完成他們的工作。[單選題]62.關(guān)于EDI下列說法哪個(gè)最正確？A)EDI對(duì)內(nèi)部控制或外部控制沒有影響。B)EDI減少內(nèi)部控制。C)EDI加強(qiáng)內(nèi)部控制。D)EDI對(duì)內(nèi)部控制沒有影響。答案:B解析:EDI對(duì)內(nèi)部控制的影響是審核和批準(zhǔn)的較少。[單選題]63.以下哪種方法是對(duì)分配給供應(yīng)商員工的訪客無線ID的最佳控制?A)分配一個(gè)每日過期的可更新用戶IDB)采用一次性寫入日志來監(jiān)控供應(yīng)商的系統(tǒng)活動(dòng)C)使用類似于員工使用的用戶ID格式D)確保無線網(wǎng)絡(luò)加密得到正確配置答案:A解析:A.每日過期的可更新用戶D是良好的控制方式，因?yàn)樗艽_保無線訪問每天自動(dòng)終止并且不會(huì)在未經(jīng)授權(quán)的情況下被使用。B.盡管建議在供應(yīng)商員工進(jìn)行系統(tǒng)工作時(shí)監(jiān)控供應(yīng)商活動(dòng)，但這是一種檢測(cè)性控制，因而不如預(yù)防性控制強(qiáng)大。C.用戶ID格式不會(huì)改變無線連接的總體安全。D.與無線網(wǎng)絡(luò)加密相關(guān)的控制固然重要;但網(wǎng)絡(luò)訪問問題更加關(guān)鍵。[單選題]64.要確保生產(chǎn)源代碼和目標(biāo)代碼同步，以下哪種控制最有效?A)版本間的源代碼和目標(biāo)代碼比較報(bào)告B)用庫控制軟件限制對(duì)源代碼進(jìn)行的更改C)限制對(duì)源代碼和目標(biāo)代碼的訪問D)對(duì)源代碼和目標(biāo)代碼的日期和時(shí)間戳進(jìn)行審查答案:D解析:A.使用版本控制軟件和比較源代碼與目標(biāo)代碼是一個(gè)好的做法，但當(dāng)源代碼與目標(biāo)代碼是不同版本時(shí)，可能不會(huì)發(fā)現(xiàn)問題。B.所有的生產(chǎn)庫都應(yīng)通過訪問控制加以保護(hù)，這樣可保證源代碼算改。但這不能保證源代碼和目標(biāo)代碼是基于同一版本的。C.保護(hù)所有源代碼和目標(biāo)代碼(即使在開發(fā)中)是一種良好實(shí)踐。但這不能保證源代碼和目標(biāo)代碼的同步。D.如果對(duì)源代碼和目標(biāo)代碼的日期和時(shí)間戳進(jìn)行審查，則可確保經(jīng)過編譯的源代碼與生產(chǎn)的目標(biāo)代碼相匹配。這種方法能夠最有效地確保已批準(zhǔn)的生產(chǎn)源代碼經(jīng)過編譯并且是正在使用的代碼。[單選題]65.當(dāng)發(fā)生災(zāi)難時(shí)，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有效性A)從當(dāng)前區(qū)域外的地方持續(xù)每小時(shí)1次地傳送交易磁帶B)從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C)抓取交易以整合存儲(chǔ)設(shè)備D)從當(dāng)前區(qū)域外的地方實(shí)時(shí)傳送交易磁帶答案:A解析:保證所有交易的有效性的唯一辦法就是實(shí)時(shí)傳送交易到當(dāng)前區(qū)域外的設(shè)備。選A或B不是實(shí)時(shí)的，所以不能包含全部交易。選C在外部區(qū)域不能保證有效性。[單選題]66.對(duì)涉及保密信息的政府項(xiàng)目的服務(wù)提供商進(jìn)行IS審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)，該服務(wù)提供商已將部分IS工作外包給了其他分包商。以下哪個(gè)選項(xiàng)最能確保保護(hù)信息機(jī)密性的要求都得以滿足?A)分包商的經(jīng)理參加月度委員會(huì)會(huì)議B)管理層每周審查來自分包商的報(bào)告C)取得政府機(jī)構(gòu)對(duì)外包合同的準(zhǔn)許D)對(duì)外包給分包商的工作進(jìn)行定期獨(dú)立審計(jì)答案:D解析:A.委員會(huì)例行會(huì)議是監(jiān)控委派任務(wù)的不錯(cuò)辦法;但是，獨(dú)立審查能夠提供更好的保證B.管理層不應(yīng)僅僅依賴分包商自己報(bào)告的信息C.取得政府機(jī)構(gòu)的準(zhǔn)許與保證信息的保密性沒有關(guān)系。D.定期獨(dú)立審計(jì)可合理保證沒有違反信息保密性的要求。[單選題]67.如果一臺(tái)便攜式計(jì)算機(jī)丟失或被盜，管理人員最關(guān)注的是機(jī)密信息是否會(huì)暴露。要保護(hù)存放在便攜式計(jì)算機(jī)上的敏感信息，下面哪一條措施是最有效的和最經(jīng)濟(jì)的？A)用戶填寫情況簡要介紹B)簽署確認(rèn)用戶簡要介紹C)可移動(dòng)資料存儲(chǔ)介質(zhì)D)在存儲(chǔ)介質(zhì)上對(duì)資料檔案加密答案:C解析:[單選題]68.以下哪項(xiàng)確保了災(zāi)難事件中所有交易的可用性？A)每小時(shí)向異地站點(diǎn)提供交易數(shù)據(jù)磁帶。B)每天向異地站點(diǎn)提供交易數(shù)據(jù)磁帶。C)轉(zhuǎn)存交易到多個(gè)存儲(chǔ)裝備。D)實(shí)時(shí)傳輸交易到異地站點(diǎn)。答案:D解析:確保所有交易的有效性的唯一途徑是將交易信息實(shí)時(shí)傳輸?shù)揭粋€(gè)異地設(shè)備。選項(xiàng)A和B都不是實(shí)時(shí)的，不可能包括所有交易信息。選項(xiàng)C不能確保異地站點(diǎn)的可用性。[單選題]69.在應(yīng)用開發(fā)過程中，結(jié)合了質(zhì)量保證測(cè)試和用戶接受測(cè)試。IS審計(jì)師在檢測(cè)開發(fā)項(xiàng)目時(shí)最主要關(guān)注：A)增加維護(hù)B)測(cè)試沒有適當(dāng)?shù)奈臋n記錄C)不適當(dāng)?shù)墓δ苄詼y(cè)試D)延遲問題解決答案:C解析:質(zhì)量保障測(cè)試和用戶接受度測(cè)試結(jié)合的主要風(fēng)險(xiǎn)是功能測(cè)試可能不夠恰當(dāng)，選項(xiàng)ABD不如C重要。點(diǎn)評(píng)：功能性問題相較而言最為重要[單選題]70.某項(xiàng)審計(jì)需要使用總賬(GL)數(shù)據(jù)。IS審計(jì)師被授予直接訪問數(shù)據(jù)的權(quán)限，無需請(qǐng)求IT部門提據(jù)。這種方式的主要好處是什么?A)減少為審計(jì)提供支持的IT人工工時(shí)B)降低在提取過程中出錯(cuò)的可能性C)讓審計(jì)部門擁有更大的靈活性D)更好地保證數(shù)據(jù)的有效性答案:D解析:A.盡管由IS審計(jì)師直接提取數(shù)據(jù)可以減少IT人員在支持審計(jì)方的工作量，但這種好處不及提高數(shù)據(jù)的有效性重要。B.出錯(cuò)的風(fēng)險(xiǎn)將會(huì)增加，因?yàn)镮S審計(jì)師對(duì)內(nèi)部數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)庫方面的技術(shù)知識(shí)通常了解得都比較廣泛，但不是特別詳細(xì)。C.IS審計(jì)師在調(diào)整數(shù)據(jù)調(diào)取以滿足各種審計(jì)要求時(shí)可能會(huì)有更大的靈活性;但這不是主要的好處D.如果由IS審計(jì)師提取數(shù)據(jù)，可以更好地保證提取標(biāo)準(zhǔn)不會(huì)妨礙所的完整性，從而收集到所需的所有數(shù)據(jù)。請(qǐng)求T部門提取數(shù)據(jù)可能會(huì)面臨審計(jì)師應(yīng)看到的異常情況被除掉的風(fēng)險(xiǎn)。此外，如果由IS審計(jì)師收集數(shù)據(jù)，則可以了解與各種數(shù)據(jù)表/要素相關(guān)聯(lián)的所有內(nèi)部參考,而這有助于揭示對(duì)確保整個(gè)審計(jì)活動(dòng)的完整性和準(zhǔn)確性至關(guān)重要的要素[單選題]71.下列哪項(xiàng)措施能夠最有效地減少一個(gè)設(shè)備捕獲其他設(shè)備信息包的能力？A)過濾器B)交換機(jī)C)路由器D)防火墻答案:B解析:交換機(jī)是最低級(jí)別的網(wǎng)絡(luò)安全設(shè)備，向特定設(shè)備發(fā)送數(shù)據(jù)包，這將減少一個(gè)設(shè)備捕獲其他設(shè)備信息包的能力；過濾器根據(jù)目標(biāo)地址初步簡單分離網(wǎng)絡(luò)流量；路由器根據(jù)發(fā)送者地址、接受者地址和數(shù)據(jù)包類型，允許數(shù)據(jù)包可以或拒絕被訪問；防火墻是計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的集合，用于限制信息流入或流出組織的一種設(shè)備。[單選題]72.以下哪一項(xiàng)可以提供最可靠的證據(jù)來表明離職員工對(duì)系統(tǒng)的訪問權(quán)限已被及時(shí)終止?A)將離職表格與HR系統(tǒng)中的日期進(jìn)行比較B)審查硬件資產(chǎn)返回表C)與主管面談證實(shí)員工的數(shù)據(jù)得以立即更新D)將離職表格與系統(tǒng)操作日志記錄進(jìn)行比較答案:D解析:[單選題]73.IS審計(jì)師計(jì)劃審計(jì)一個(gè)通過個(gè)人計(jì)算機(jī)使用局域網(wǎng)的客戶信息系統(tǒng)。與使用大型機(jī)相比，使用局域網(wǎng)和個(gè)人計(jì)算機(jī)所增加的風(fēng)險(xiǎn)，不包括哪一項(xiàng)？A)缺乏程序文件以確保完全捕捉數(shù)據(jù)。B)駐留在個(gè)人計(jì)算機(jī)上的數(shù)據(jù)安全性較差。C)數(shù)據(jù)處理的硬件使用故障所引發(fā)的問題。D)不完整的數(shù)據(jù)傳輸。答案:C解析:個(gè)人計(jì)算機(jī)有與主機(jī)相似的硬件組成。[單選題]74.對(duì)于為什么要將災(zāi)難恢復(fù)計(jì)劃(DRP)中的非關(guān)鍵系統(tǒng)和業(yè)務(wù)持續(xù)計(jì)劃(BCP)的測(cè)試集成在一起,以下哪項(xiàng)是最好的理由?A)確保DRP與業(yè)務(wù)影響分析(BIA)一致B)基礎(chǔ)設(shè)施恢復(fù)人員可以得到業(yè)務(wù)問題專家的幫助。C)BCP可以假設(shè)存在DRP中并不存在的能力。D)為企業(yè)高級(jí)管理人員提供災(zāi)難恢復(fù)能力方面的知識(shí)。答案:C解析:A.災(zāi)難恢復(fù)計(jì)劃(DRP)應(yīng)與業(yè)務(wù)影響分析(BIA)保持一致，但這對(duì)為什么要將DRP中的非關(guān)鍵系統(tǒng)和業(yè)務(wù)持續(xù)計(jì)劃(BCP)的測(cè)試集成在一起沒有影響。B.基礎(chǔ)設(shè)施恢復(fù)人員將側(cè)重于恢復(fù)構(gòu)成基礎(chǔ)設(shè)施的各種平臺(tái)，沒必要讓業(yè)務(wù)問題專家參與其中。C.BCP可以假設(shè)存在DRP中并不存在的能力，例如允許員工在發(fā)生災(zāi)難期間在家辦公。但I(xiàn)T可能無法為這些能力提供足夠的支持(例如，他們不能為大量在家辦公的員工提供支持)。盡管非關(guān)鍵系統(tǒng)非常重要，但DRP中可以沒有這些系統(tǒng)。例如，組織可能使用與內(nèi)部系統(tǒng)之間沒有接口的在線系統(tǒng)。如果使用該系統(tǒng)的業(yè)務(wù)功能屬于關(guān)鍵流程，則應(yīng)對(duì)該系統(tǒng)進(jìn)行測(cè)試，但它可以不是DRP的一部分。因此，應(yīng)將DRP和BCP測(cè)試集成在一起。D.盡管企業(yè)高級(jí)管理人員可能會(huì)對(duì)災(zāi)難恢復(fù)的好處感興趣，但測(cè)試并不是完成這一任務(wù)的最佳方式。[單選題]75.對(duì)于有高恢復(fù)時(shí)間（RTO）要求的敏感系統(tǒng)，如下哪個(gè)恢復(fù)策略是最合適的？A)暖站B)熱站C)冷站D)移動(dòng)恢復(fù)站答案:C解析:對(duì)于容許有較長恢復(fù)期的高回復(fù)時(shí)間目標(biāo)的敏感系統(tǒng)在可接受的成本上可以通過人工方式執(zhí)行恢復(fù)。對(duì)于這樣的系統(tǒng)冷站提供了成本效益最佳的解決方案。雖然一個(gè)暖站可以提供較好地解決方案，但它不是更適當(dāng)?shù)?，因?yàn)榕c冷站相比更昂貴。熱站通常使用在低恢復(fù)時(shí)間目標(biāo)的關(guān)鍵應(yīng)用系統(tǒng)上。移動(dòng)恢復(fù)站不能提供冷站一樣的成本效益并且它是不適用于高恢復(fù)時(shí)間目標(biāo)的系統(tǒng)上。[單選題]76.當(dāng)企業(yè)完成所有關(guān)鍵業(yè)務(wù)的業(yè)務(wù)流程重建（BPR）后，IS審計(jì)師最可能關(guān)注以下哪一項(xiàng)？A)業(yè)務(wù)流程重建前的業(yè)務(wù)流程圖B)業(yè)務(wù)流程重建后的業(yè)務(wù)流程圖C)業(yè)務(wù)流程重建計(jì)劃D)持續(xù)改進(jìn)和監(jiān)控計(jì)劃答案:B解析:IS審計(jì)師的任務(wù)是識(shí)別和確認(rèn)關(guān)鍵控制被納入到重建流程。選項(xiàng)A是不正確，因?yàn)镮S審計(jì)師必須檢查現(xiàn)在的流程而不是過去的流程。選項(xiàng)C和D也是不正確的，因?yàn)樗麄兪菢I(yè)務(wù)流程重建的一個(gè)步驟。點(diǎn)評(píng)：BPR之后的結(jié)果是審計(jì)師最關(guān)注的[單選題]77.在某大型且復(fù)雜的組織中設(shè)計(jì)了一個(gè)新業(yè)務(wù)應(yīng)用程序，并且業(yè)務(wù)主管要求基于?按需知密?原則查看各種報(bào)告。在以下訪問控制方法中，哪項(xiàng)是實(shí)現(xiàn)該要求的最佳方法?A)強(qiáng)制訪問控制B)基于角色的訪問控制C)自主訪問控制D)單點(diǎn)登陸(SSO)答案:B解析:A.基于強(qiáng)制訪問控制(MAC)的訪問控制系統(tǒng)很昂貴，且在大型復(fù)雜的組織中難以實(shí)施和維護(hù)。B.基于角色的訪問控制根據(jù)崗位角色和職責(zé)限制訪問，是只讓被授權(quán)用戶按需查看報(bào)告的最佳方法。C.自主訪問控制(DAC)是由資源的所有人來決定誰可以訪問其資源。多數(shù)訪問控制系統(tǒng)都是DAC。該答案對(duì)于本情景不太具體。D.單點(diǎn)登陸(SSO)是用于管理對(duì)多個(gè)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序的一種訪問控制技術(shù)。該答案對(duì)于本題目不太具體。[單選題]78.以下哪一項(xiàng)資料庫管理員行為不太可能被記錄在檢測(cè)性控制日志中？A)刪除一個(gè)記錄B)改變一個(gè)口令C)泄露一個(gè)口令D)改變?cè)L問權(quán)限答案:C解析:[單選題]79.以一哪項(xiàng)功能應(yīng)當(dāng)由應(yīng)用所有者執(zhí)行，從而確保IS和最終用戶的充分的職責(zé)分工？A)系統(tǒng)分析B)資料訪問控制授權(quán)C)應(yīng)用編程D)資料管理答案:B解析:[單選題]80.在小型組織內(nèi)，充分的職責(zé)分工有些不實(shí)際，有個(gè)員工兼職作計(jì)算機(jī)操作員和應(yīng)用程序員，IS審計(jì)師應(yīng)推薦如下哪一種控制，以降低這種兼職的潛在風(fēng)險(xiǎn)？A)自動(dòng)記錄開發(fā)（程序/文文件）庫的變更B)增員，避免兼職C)建立適當(dāng)?shù)牧鞒?程序，以驗(yàn)證只能實(shí)施經(jīng)過批準(zhǔn)的變更，避免非授權(quán)的操作D)建立阻止計(jì)算機(jī)操作員更改程序的訪問控制答案:C解析:[單選題]81.一項(xiàng)應(yīng)用程序開發(fā)工作外包給了離岸供應(yīng)商。以下哪個(gè)選項(xiàng)最令I(lǐng)S審計(jì)師關(guān)注A)合同中未包括審計(jì)權(quán)力條款B)未建立業(yè)務(wù)案例C)沒有源代碼第三方托管協(xié)議D)合同中沒有包括變更管理流程答案:B解析:由于未建立業(yè)務(wù)案例，所以應(yīng)用程序開發(fā)外包的業(yè)務(wù)理由、風(fēng)險(xiǎn)和風(fēng)險(xiǎn)管理緩解策略可能都無法得到高層管理人員的全面評(píng)估和正式批準(zhǔn)。這種情況給組織帶來的風(fēng)險(xiǎn)最大。沒有審計(jì)條款、源代碼托管或變更管理流程，這每一項(xiàng)都代表了對(duì)組織的風(fēng)險(xiǎn)；但它們都不像缺少業(yè)務(wù)案例的風(fēng)險(xiǎn)那樣巨大。點(diǎn)評(píng)：業(yè)務(wù)案例需指明項(xiàng)目意義、成本、風(fēng)險(xiǎn)等信息，是項(xiàng)目方向的總體指導(dǎo)[單選題]82.信息系統(tǒng)審計(jì)師在檢查一個(gè)軟件報(bào)告時(shí)發(fā)現(xiàn)一個(gè)實(shí)例中，一個(gè)放在雇員辦公桌的重要文件被外包的清潔員扔進(jìn)了垃圾桶。以下哪項(xiàng)是審計(jì)員要建議的？A)應(yīng)對(duì)組織和保潔機(jī)構(gòu)實(shí)施更嚴(yán)格的控制B)不需要采取任何行動(dòng)，因?yàn)檫@些事件并沒有在過去發(fā)生過C)一個(gè)清潔辦公桌策略應(yīng)該被實(shí)施并嚴(yán)格強(qiáng)制在組織實(shí)施D)一個(gè)良好的對(duì)所有辦公文件備案的策略應(yīng)該得到實(shí)施答案:A解析:一個(gè)員工離開，其辦公桌上有重要文件。清潔人員清除它可能會(huì)導(dǎo)致對(duì)業(yè)務(wù)造成嚴(yán)重影響。因此，審計(jì)師應(yīng)建議嚴(yán)格控制本組織和外包機(jī)構(gòu)。這類事件沒有發(fā)生在過去，并不能減少其影響的嚴(yán)重性。實(shí)施和檢測(cè)一個(gè)清潔桌面策略只是這個(gè)問題的一部分，與清潔機(jī)構(gòu)簽訂保密協(xié)議，同時(shí)確保清潔人員在清潔過程中該做的和不該做的注意事項(xiàng)的教育，同時(shí)也應(yīng)實(shí)行相應(yīng)的管制。這里的風(fēng)險(xiǎn)不是數(shù)據(jù)流失，認(rèn)識(shí)未授權(quán)數(shù)據(jù)源的數(shù)據(jù)泄露。備份策略并沒有解決，未授權(quán)的信息泄露問題。點(diǎn)評(píng)：應(yīng)該加強(qiáng)外包的信息安全管理[單選題]83.在下列哪一種風(fēng)險(xiǎn)管理方法中，分擔(dān)風(fēng)險(xiǎn)是一個(gè)重要因素?A)轉(zhuǎn)移風(fēng)險(xiǎn)B)容忍風(fēng)險(xiǎn)C)終止風(fēng)險(xiǎn)D)處理風(fēng)險(xiǎn)答案:A解析:A轉(zhuǎn)移風(fēng)險(xiǎn)(例如購買保險(xiǎn))是一種分擔(dān)風(fēng)險(xiǎn)的方式B.容忍風(fēng)險(xiǎn)是指接受風(fēng)險(xiǎn)，但不是分擔(dān)風(fēng)險(xiǎn)。C.終止風(fēng)險(xiǎn)不涉及分擔(dān)風(fēng)險(xiǎn)，因?yàn)榻M織已經(jīng)決定終止與風(fēng)險(xiǎn)相關(guān)的流程。D.有幾種處理或控制風(fēng)險(xiǎn)的方法，它們可能涉及降低或分擔(dān)風(fēng)險(xiǎn)，但作為答案，這不如轉(zhuǎn)移風(fēng)險(xiǎn)準(zhǔn)確。[單選題]84.開發(fā)一個(gè)信息系統(tǒng)安全策略最終是誰的責(zé)任：A)信息系統(tǒng)部門B)安全委員會(huì)C)安全管理員D)董事會(huì)答案:D解析:通常情況下，設(shè)計(jì)信息系統(tǒng)安全策略是高層管理人員或董事會(huì)的責(zé)任。信息系統(tǒng)部門負(fù)責(zé)策略的執(zhí)行，因?yàn)樗麄儧]有制訂策略的權(quán)力。安全委員會(huì)在廣泛的由董事會(huì)擬定的安全策略中也有職能。安全管理員負(fù)責(zé)實(shí)施，監(jiān)督和執(zhí)行的安全管理，建立和授權(quán)規(guī)則。點(diǎn)評(píng)：最終責(zé)任--董事會(huì)[單選題]85.某開發(fā)團(tuán)隊(duì)開發(fā)了一個(gè)面向客戶的web應(yīng)用程序，并且目前正在對(duì)其進(jìn)行維護(hù)，該程序托管在其區(qū)辦事處而不是中央數(shù)據(jù)中心。此方案中的最大風(fēng)險(xiǎn)是A)網(wǎng)站的附加流量將降低區(qū)域辦事處的互聯(lián)網(wǎng)訪問速度。B)開發(fā)團(tuán)隊(duì)可能缺乏管理和維護(hù)被托管應(yīng)用程序環(huán)境所需的專業(yè)知識(shí)和人員編制。C)區(qū)域辦事處的火患檢測(cè)及消防可能達(dá)不到主數(shù)據(jù)中心的水平。D)區(qū)域辦事處可能沒有充分保障web服務(wù)器安全的防火墻或網(wǎng)絡(luò)答案:B解析:A.區(qū)域辦事處互聯(lián)網(wǎng)訪問的風(fēng)險(xiǎn)沒有web應(yīng)用的不當(dāng)配置和維護(hù)嚴(yán)重。B.維護(hù)重要的Web應(yīng)用程序要求連續(xù)監(jiān)視和維護(hù)，這通常由數(shù)據(jù)中心操作人員來執(zhí)行，而不是由開發(fā)團(tuán)隊(duì)來執(zhí)行。雖然系統(tǒng)開發(fā)人員能夠執(zhí)行計(jì)算機(jī)操作任務(wù)，但通常不能如計(jì)算機(jī)操作人員一樣全天候在現(xiàn)場C.區(qū)域辦事處數(shù)據(jù)中心的物理安全應(yīng)足以保護(hù)其系統(tǒng)其中許多系統(tǒng)比We應(yīng)用程序更加重要D.區(qū)域辦事處可能確實(shí)沒有適合托管、web應(yīng)用程序的網(wǎng)絡(luò)架構(gòu)和基礎(chǔ)設(shè)施但這只是開發(fā)團(tuán)隊(duì)嘗試操作web應(yīng)用程序相關(guān)的風(fēng)險(xiǎn)之一。[單選題]86.組織中的多個(gè)部門到商定的目標(biāo)日期為止，尚未實(shí)施審計(jì)建議事項(xiàng)，誰應(yīng)該解決這種情況?A)外部審計(jì)師B)高級(jí)管理層C)部門經(jīng)理D)內(nèi)部審計(jì)負(fù)責(zé)人答案:B解析:[單選題]87.以下哪一項(xiàng)面向?qū)ο蟮募夹g(shù)特征可以提高資料的安全級(jí)別？A)繼承B)動(dòng)態(tài)倉庫C)封裝D)多態(tài)性答案:C解析:[單選題]88.人力資源的副總要求審計(jì)師對(duì)去年工資單中的超額支付問題進(jìn)行審查。以下哪項(xiàng)是適用于此情形下的最好的審計(jì)技術(shù)？A)測(cè)試數(shù)據(jù)B)通用審計(jì)軟件C)整合性測(cè)試設(shè)施（ITF）D)嵌入式審計(jì)模塊答案:B解析:通用審計(jì)軟件的特點(diǎn)包括：算數(shù)量化計(jì)算、分層、統(tǒng)計(jì)分析、序列檢查、重復(fù)性檢查和驗(yàn)算。通過使用通用審計(jì)軟件，審計(jì)師可以設(shè)計(jì)合適的測(cè)試方法來驗(yàn)算工資單，從而判斷出是否存在超額支付的問題以及對(duì)哪些人進(jìn)行了超額支付。測(cè)試數(shù)據(jù)可以對(duì)防止超額支付的控制的存在性進(jìn)行測(cè)試，但通常不會(huì)發(fā)現(xiàn)以前的具體的錯(cuò)誤計(jì)算。集成測(cè)試法和嵌入式審計(jì)模塊也無法發(fā)現(xiàn)過去時(shí)間段中存在的錯(cuò)誤。點(diǎn)評(píng)：GAS工具是用來進(jìn)行數(shù)據(jù)對(duì)賬的[單選題]89.審計(jì)章程應(yīng)該是：A)動(dòng)態(tài)且經(jīng)常變更，與技術(shù)和審計(jì)專業(yè)的變化本質(zhì)保持同步和一致B)清晰地說明審計(jì)目標(biāo)、審計(jì)的委托關(guān)系，以及維護(hù)和審查內(nèi)部控制中的授權(quán)職責(zé)C)為了取得計(jì)劃的審計(jì)目標(biāo)而制定的審計(jì)程序的文件D)對(duì)審計(jì)工作的整體授權(quán)、范圍、職責(zé)的描述答案:D解析:審計(jì)章程應(yīng)該說明管理層對(duì)于信息系統(tǒng)審計(jì)的委托授權(quán)及目標(biāo)定位情況。審計(jì)章程應(yīng)該獲得最高管理層的審批，切不應(yīng)該不停地改變。審計(jì)章程不應(yīng)該過于細(xì)致，通常通常不包含詳細(xì)具體的審計(jì)目標(biāo)或?qū)徲?jì)程序。點(diǎn)評(píng)：審計(jì)章程（D）、審計(jì)委托書（B）的概念[單選題]90.IT戰(zhàn)略計(jì)劃如果缺少高級(jí)管理層的認(rèn)定，最可能帶來的影響是:A)缺少技術(shù)投資B)缺少系統(tǒng)開發(fā)的方法C)技術(shù)實(shí)施與組織目標(biāo)不一致D)缺少技術(shù)合同控制答案:C解析:組織需要一個(gè)管理委員會(huì)來確保IT戰(zhàn)略是支持組織目標(biāo)的。如果缺少信息技術(shù)委員會(huì)或委員會(huì)不是由高管層組成，暗示著缺少最高管理層的認(rèn)可。這種情況會(huì)增加IT戰(zhàn)略和組織戰(zhàn)略不一致的風(fēng)險(xiǎn)。[單選題]91.對(duì)于實(shí)施安全政策可問責(zé)（可追溯責(zé)任）非常重要。對(duì)于系統(tǒng)用戶以下哪種控制在準(zhǔn)確的可問責(zé)上最沒有效果？A)可審計(jì)的要求。B)口令。C)識(shí)別控制。D)認(rèn)證控制。答案:B解析:口令存在很多問題，容易被猜測(cè)，容易被哄騙，容易被竊取，容易被共享。最有效的準(zhǔn)則可聞責(zé)控制包括：政策，授權(quán)機(jī)制，識(shí)別和認(rèn)證控制，審計(jì)痕跡，審計(jì)。[單選題]92.在未受保護(hù)的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？A)弱點(diǎn)B)威脅C)可能性D)影響答案:A解析:弱點(diǎn)代表可能被威脅所利用的信息資源的特點(diǎn)。威脅是指造成損害信息資源的潛在的情況或事件?？赡苄源淼陌l(fā)生威脅的可能性，而影響代表結(jié)果，或是威脅利用弱點(diǎn)的結(jié)果。[單選題]93.在審查組織的IT治理流程時(shí)，IS審計(jì)師發(fā)現(xiàn)公司最近實(shí)施了IT平衡記分卡(BSC)A)關(guān)鍵績效指標(biāo)(KPI)未報(bào)告給管理人員，因此管理人員無法確定BSC的有效性。B)IT項(xiàng)目可能受到成本超支的影響。C)可能將誤導(dǎo)性IT績效指標(biāo)提供給管理人員。D)IT服務(wù)等級(jí)協(xié)議(SLA)可能不準(zhǔn)確。答案:C解析:A.如果績效指標(biāo)不可客觀衡量，則最大的風(fēng)險(xiǎn)是將誤導(dǎo)性績效結(jié)