CISA考試練習(xí)(習(xí)題卷20)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷20)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.有人擔(dān)心在實(shí)施單點(diǎn)登錄(SSO)流程后，未經(jīng)授權(quán)訪問(wèn)的風(fēng)險(xiǎn)可能會(huì)增加。為了防止未經(jīng)授權(quán)的訪問(wèn)，最重要的措施是A)確保所有失敗的身份認(rèn)證嘗試都得到監(jiān)控。B)定期審查日志文件。C)確保禁用所有無(wú)人使用的帳戶。D)強(qiáng)制采用強(qiáng)密碼政策。答案:D解析:A.確保所有失敗的身份認(rèn)證嘗試都得到監(jiān)控是一種非常好的實(shí)踐，但強(qiáng)密碼政策是一種更好的預(yù)防性控制。B.審查日志文件可以增加檢出未經(jīng)授權(quán)訪問(wèn)的可能性，但在防止未經(jīng)授權(quán)訪問(wèn)方面可能沒(méi)有效。C.確保禁用所有無(wú)人使用的帳戶非常重要，但強(qiáng)密碼政策是一種更好的預(yù)防性控制。D.單點(diǎn)登陸(SSO)有助于大幅提升用戶和T組織的生產(chǎn)效率，因?yàn)橛脩魺o(wú)需重復(fù)輸入用戶ID和密碼。SSO還能夠大幅少因密碼丟失撥打T客戶服務(wù)臺(tái)電話的數(shù)量。SSO或強(qiáng)密碼政策對(duì)于任何身份認(rèn)證系統(tǒng)都非常重要。[單選題]2.要確定向供應(yīng)商發(fā)出的采購(gòu)訂單是否已根據(jù)授權(quán)矩陣取得授權(quán)，以下哪種抽樣方法最有效A)變量抽樣B)分層單位平均評(píng)估抽樣C)屬性抽樣D)不分層單位平均估計(jì)抽樣答案:C解析:屬性抽樣是合規(guī)性測(cè)試中使用的方法。在這種場(chǎng)景下，須對(duì)控制實(shí)務(wù)進(jìn)行評(píng)估，因此應(yīng)采用屬性抽樣來(lái)確定采購(gòu)訂單是否已獲批準(zhǔn)。實(shí)質(zhì)性測(cè)試中則采用變量抽樣方法，它涉及交易定量方面（如資金價(jià)值）的測(cè)試。分層單位平均評(píng)估抽樣和不分層單位平均估計(jì)抽樣則是在變量抽樣中使用。點(diǎn)評(píng)：控制是否有效-符合性測(cè)試-屬性抽樣[單選題]3.IS審計(jì)師與薪資結(jié)算人員面談時(shí)，發(fā)現(xiàn)該人員的回答與其工作描述和記錄在案的工作流程不符。在此情況下，IS審計(jì)師應(yīng)該:A)斷定控制不適當(dāng)。B)擴(kuò)大測(cè)試范圍，從而引入實(shí)質(zhì)性測(cè)試。C)更多地依賴以往的審計(jì)結(jié)果。D)暫停審計(jì)。答案:B解析:A.僅僅根據(jù)與薪資結(jié)算人員面談的結(jié)果，IS審計(jì)師無(wú)法收集到足夠的證據(jù)以斷定現(xiàn)有的控制是否充分。B.如果針對(duì)IS審計(jì)師的問(wèn)題所提供的答案無(wú)法從記錄在案的工作流程或工作描述中得到證實(shí)，那么IS審計(jì)師應(yīng)擴(kuò)大控制測(cè)試范圍，引入額外的實(shí)質(zhì)性測(cè)試。C.更多地依賴以往的審計(jì)結(jié)果屬于不合適的行為，因?yàn)檫@不能提供證明現(xiàn)有的控制是否足夠的最新信息。D.暫停審計(jì)屬于不合適的行為，因?yàn)檫@不能提供證明現(xiàn)有的控制是否足夠的最新信息[單選題]4.在應(yīng)用程序?qū)徲?jì)中，IS審計(jì)師發(fā)現(xiàn)有幾個(gè)問(wèn)題是由于數(shù)據(jù)庫(kù)中篡改的數(shù)據(jù)造成的，IS審計(jì)師應(yīng)當(dāng)建議下面哪一項(xiàng)更正控制措施？A)實(shí)施數(shù)據(jù)備份和恢復(fù)B)制定標(biāo)準(zhǔn)并監(jiān)控該標(biāo)準(zhǔn)的遵守程度C)確保只有授權(quán)的用戶能更新數(shù)據(jù)庫(kù)D)建立控制機(jī)制以處理并行訪問(wèn)帶來(lái)的問(wèn)題答案:A解析:實(shí)施數(shù)據(jù)備份和恢復(fù)程序是糾正性控制措施，因?yàn)閭浞莺突謴?fù)程序，可以用來(lái)回滾數(shù)據(jù)庫(kù)錯(cuò)誤。定義或者建立標(biāo)準(zhǔn)，屬于預(yù)防性控制。監(jiān)控遵循程度屬于檢查性控制。保證只由經(jīng)過(guò)授權(quán)的人員能更新數(shù)據(jù)庫(kù)是預(yù)防性控制。建立控制措施處理并行訪問(wèn)問(wèn)題也是一個(gè)預(yù)防性控制。[單選題]5.以下哪-項(xiàng)是信息系統(tǒng)審計(jì)師對(duì)備份程序有效性進(jìn)行評(píng)估的最佳方法?A)審查備份時(shí)間表B)與數(shù)據(jù)所有者進(jìn)行會(huì)談C)檢查備份日志D)評(píng)估最近的數(shù)據(jù)恢復(fù)答案:D解析:[單選題]6.網(wǎng)頁(yè)和郵件過(guò)濾器對(duì)一個(gè)組織是非常有價(jià)值的，因?yàn)椋篈)保護(hù)組織不受病毒和與業(yè)務(wù)無(wú)關(guān)的材料的侵襲B)加大員工的表現(xiàn)C)保護(hù)組織的聲譽(yù)D)保護(hù)組織預(yù)防法律問(wèn)題及糾紛答案:A解析:投資于WeB、和電子郵件過(guò)濾工具的主要原因是他們顯著的降低了來(lái)自于病毒，垃圾郵件，郵件鏈，網(wǎng)上沖浪和娛樂(lè)郵件的風(fēng)險(xiǎn)。在某些情況下選擇B、也是正確的，（即，它需要和意識(shí)計(jì)劃一起實(shí)施，使雇員的表現(xiàn)可顯著改善）。然而，在這種情況下，它和選項(xiàng)A、沒(méi)有關(guān)系。選擇C、和D、是次要的或間接的好處。[單選題]7.基于互聯(lián)網(wǎng)且使用密碼嗅探的攻擊可以：A)使一方的行為看起來(lái)像另一方B)對(duì)某些交易的內(nèi)容產(chǎn)生修改C)用于獲得包含專有信息系統(tǒng)的訪問(wèn)權(quán)限D(zhuǎn))導(dǎo)致賬單系統(tǒng)和交易處理協(xié)議出現(xiàn)重大問(wèn)題答案:C解析:使用密碼探嗅攻擊可獲得存儲(chǔ)專有信息系統(tǒng)的訪問(wèn)權(quán)限。使用欺騙攻擊可以使一方的行為看起來(lái)像另一方。使用數(shù)據(jù)修改某些交易的內(nèi)容。拒付交易可造成賬單系統(tǒng)和交易處理協(xié)議出現(xiàn)重大問(wèn)題。[單選題]8.下列哪一種方法是最佳實(shí)踐，應(yīng)納入測(cè)試災(zāi)難恢復(fù)程序計(jì)劃？A)邀請(qǐng)客戶參與B)涉及所有的技術(shù)人員C)輪換災(zāi)難恢復(fù)經(jīng)理D)安裝本地儲(chǔ)存?zhèn)浞荽鸢?C解析:輪換災(zāi)難恢復(fù)經(jīng)理能夠增加管理人員對(duì)災(zāi)難恢復(fù)計(jì)劃的經(jīng)驗(yàn)?？蛻舨⒉恍枰诿恳淮味紖⒓?。并非所有技術(shù)人員都要參加每一次測(cè)試。遠(yuǎn)程或異地備份是需要的。[單選題]9.以下哪項(xiàng)對(duì)應(yīng)用程序系統(tǒng)的成功實(shí)施影響最大?A)原型設(shè)計(jì)應(yīng)用程序開(kāi)發(fā)方法B)符合適用的外部要求C)整體組織環(huán)境D)軟件再工程技術(shù)答案:C解析:A.通過(guò)用速度更快、允許用戶在短期內(nèi)查看建議系統(tǒng)工作情況的高層次視圖的開(kāi)發(fā)工具，原型設(shè)計(jì)應(yīng)用程序開(kāi)發(fā)技術(shù)可大幅縮短系統(tǒng)部署時(shí)間。任何一種開(kāi)發(fā)方法對(duì)項(xiàng)目成功的影響都是有限的。B.遵守適用的外部要求對(duì)順利實(shí)施也有影響，但是不如組織的整體環(huán)境影響大。C.組織整體環(huán)境對(duì)應(yīng)用程序系統(tǒng)的順利實(shí)施影響最大。它包括T與業(yè)務(wù)的一致性，開(kāi)發(fā)流程的成熟度，和變更控制與其他項(xiàng)目管理工具的使用。D.軟件再工程技術(shù)是一個(gè)通過(guò)提取、重新使用設(shè)計(jì)和程序組件來(lái)更新現(xiàn)有系統(tǒng)的過(guò)程。在組織運(yùn)營(yíng)方式出現(xiàn)重大變化時(shí)，它能夠提供支持。相對(duì)于組織的整體環(huán)境，它對(duì)應(yīng)用程序系統(tǒng)的順利實(shí)施影響較小。[單選題]10.以下哪一項(xiàng)是用于保護(hù)出站內(nèi)容免遭篡改和竊聽(tīng)的主要協(xié)議？A)點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）B)互聯(lián)網(wǎng)密鑰交換（IKE）C)安全外殼（SSH)D)傳輸層安全（TLS）答案:D解析:[單選題]11.某人力資源（HR）公司在使用通用用戶ID和密碼進(jìn)行身份認(rèn)證后，為其客人提供免費(fèi)公共無(wú)線互聯(lián)網(wǎng)訪問(wèn)。通用ID和密碼可從接待處申請(qǐng)。以下哪些控制措施能最好地解決此問(wèn)題？A)每周更改一次無(wú)線網(wǎng)絡(luò)的密碼B)在公共無(wú)線網(wǎng)絡(luò)和公司網(wǎng)絡(luò)之間使用狀態(tài)監(jiān)測(cè)防火墻C)將公共無(wú)線網(wǎng)絡(luò)與公司網(wǎng)絡(luò)物理隔開(kāi)D)在無(wú)線網(wǎng)絡(luò)中部署入侵監(jiān)測(cè)系統(tǒng)（IDS）答案:C解析:更改無(wú)線網(wǎng)絡(luò)的密碼不能防止未經(jīng)授權(quán)訪問(wèn)公司網(wǎng)絡(luò)，特別是在每周一次的密碼更改間隔之前客人可隨時(shí)訪問(wèn)無(wú)線局域網(wǎng)（WLAN）。狀態(tài)檢測(cè)防火墻將甄別從無(wú)線網(wǎng)路進(jìn)入公司網(wǎng)絡(luò)的所有數(shù)據(jù)包；但需要審計(jì)防火墻的配置，還可能產(chǎn)生防火墻泄露（雖然不太可能）。將無(wú)線網(wǎng)絡(luò)與公司網(wǎng)絡(luò)物理隔離是保護(hù)公司網(wǎng)絡(luò)免受入侵的最佳方法。IDS將檢測(cè)入侵，但不阻止未經(jīng)授權(quán)個(gè)人訪問(wèn)網(wǎng)絡(luò)。[單選題]12.下面哪個(gè)是沒(méi)有單獨(dú)的預(yù)防控制的固有風(fēng)險(xiǎn)？A)騎肩跟入法B)病毒C)數(shù)據(jù)欺騙D)非授權(quán)的應(yīng)用關(guān)閉答案:C解析:數(shù)據(jù)欺騙包括在數(shù)據(jù)進(jìn)入計(jì)算機(jī)前被改變。這是最常見(jiàn)的一種弊端，因?yàn)閮H需要有限的技術(shù)并在計(jì)算機(jī)安全防護(hù)數(shù)據(jù)之前就可以實(shí)現(xiàn)。對(duì)數(shù)據(jù)欺騙僅僅有補(bǔ)償控制。騎肩跟入法是跟蹤一個(gè)被授權(quán)人通過(guò)安全門和能被使用臨時(shí)門阻止進(jìn)入的行為。邏輯的騎肩跟入法是一種根據(jù)有權(quán)利的某人獲得進(jìn)入的嘗試，比如，給授權(quán)的電訊連接到中途截獲連接的電子附文。這種行為能被加密信息阻止。病毒是一種惡意程序代碼加入到另一個(gè)可執(zhí)行代碼上能自我復(fù)制和在計(jì)算機(jī)間通過(guò)共享計(jì)算機(jī)磁盤進(jìn)行散播，傳遞通過(guò)電信線路或直接與以感染病毒的機(jī)器直接接觸。防病毒軟件能用來(lái)阻止病毒侵入計(jì)算機(jī)。+B2937應(yīng)用的停止能被通過(guò)直連連接（在線）或非直接連接（撥號(hào)上線）到計(jì)算機(jī)的終端或微機(jī)初始執(zhí)行。僅有單個(gè)人知道最高級(jí)別進(jìn)入系統(tǒng)的ID和密碼能初始停止程序，如果有正確的訪問(wèn)控制就是有效的。[單選題]13.當(dāng)傳輸一個(gè)支付的指令時(shí)，以下哪一項(xiàng)可用來(lái)幫助校驗(yàn)該指令不是被復(fù)制的？A)使用密碼學(xué)的哈希算法B)加密信息摘要C)解密消息摘要D)（使用）序列號(hào)及時(shí)間戳答案:D解析:當(dāng)傳輸數(shù)據(jù)時(shí)，將一個(gè)序列號(hào)及/或時(shí)間戳加入消息中來(lái)使其（該消息）變得具有唯一性，從而使得接受者能夠確定消息在傳輸工程中沒(méi)有被攔截和重放。這既是公認(rèn)的重放預(yù)防（ReplayProtection），可以用來(lái)確認(rèn)一個(gè)支付指令不是被復(fù)制的。使用密碼學(xué)的哈希算法來(lái)處理整個(gè)消息可以確保（傳輸過(guò)程中的）數(shù)據(jù)完整性。使用發(fā)送者的密鑰來(lái)加密消息摘要，即對(duì)（收到的）消息時(shí)，這保證了該消息只能來(lái)自于對(duì)應(yīng)的發(fā)送者。這個(gè)對(duì)發(fā)送者進(jìn)行認(rèn)證的過(guò)程保證了不可抵賴性。點(diǎn)評(píng)：序列號(hào)和時(shí)間戳是抗重放攻擊的有效手段[單選題]14.以下哪項(xiàng)會(huì)影響質(zhì)量保證小組的獨(dú)立性？A)確保開(kāi)發(fā)方式的合規(guī)性B)檢驗(yàn)測(cè)試用例C)在測(cè)試過(guò)程中糾正錯(cuò)誤代碼D)檢查代碼，以確保其適當(dāng)?shù)奈臋n化答案:C解析:糾正錯(cuò)誤代碼不應(yīng)該是質(zhì)量保證小組的職責(zé)，否則會(huì)破壞職責(zé)分離并影響團(tuán)隊(duì)的獨(dú)立性。其他的選項(xiàng)是有效地質(zhì)量保證小組的職能。質(zhì)量保證人員通常執(zhí)行兩種不同的任務(wù)：質(zhì)量保證（QA）-幫助IS部門確保確保其人員遵守規(guī)定的質(zhì)量程序。例如:QA可以幫助程序和文檔遵守標(biāo)準(zhǔn)及命名規(guī)范。質(zhì)量控制（QC）-負(fù)責(zé)執(zhí)行測(cè)試或?qū)徳u(píng)，以驗(yàn)證并確保軟件不存在缺陷并滿足用戶預(yù)期。他可以在應(yīng)用系統(tǒng)開(kāi)發(fā)的各個(gè)階段進(jìn)行，但必須在程序被遷移到生產(chǎn)環(huán)境之前進(jìn)行。[單選題]15.以下哪一項(xiàng)是用以確定執(zhí)行跟蹤審計(jì)過(guò)程時(shí)間表的最重要標(biāo)準(zhǔn)？A)與安排的下一次審計(jì)之間的協(xié)調(diào)B)來(lái)自發(fā)現(xiàn)結(jié)果的風(fēng)險(xiǎn)暴露C)被審計(jì)單位的時(shí)間許可D)審計(jì)資源的可用性答案:B解析:[單選題]16.一家組織在項(xiàng)目完成之前審查關(guān)鍵項(xiàng)目成果，并決定隨后對(duì)項(xiàng)目進(jìn)行了一些重大更改。管理層發(fā)現(xiàn)這些改動(dòng)會(huì)影響到最初設(shè)定目標(biāo)的實(shí)現(xiàn)。為改進(jìn)項(xiàng)目管理流程，IS審計(jì)師應(yīng)建議采取以下哪一項(xiàng)控制？A)定期績(jī)效監(jiān)控B)流程框架標(biāo)準(zhǔn)化C)適度的活動(dòng)分割D)高層管理人員審批答案:A解析:項(xiàng)目的定期績(jī)效監(jiān)控能夠確保與預(yù)算、時(shí)間和資源有關(guān)的錯(cuò)誤或偏差在項(xiàng)目執(zhí)行階段得到盡早發(fā)現(xiàn)、及早作出更改。這樣要好過(guò)等到項(xiàng)目結(jié)束時(shí)才來(lái)應(yīng)對(duì)（這時(shí)作出更改的成本會(huì)增加）。如同將采用的活動(dòng)和模版自定義一樣，項(xiàng)目管理流程所用框架的標(biāo)準(zhǔn)化也有助于建立有效的項(xiàng)目控制，但它不能直接保證執(zhí)行了適當(dāng)?shù)目?jī)效監(jiān)控。將項(xiàng)目活動(dòng)按照各個(gè)階段進(jìn)行分割能夠簡(jiǎn)化管理、計(jì)劃和控制工作。但是它本身無(wú)法保證對(duì)各階段的目標(biāo)實(shí)現(xiàn)進(jìn)行審查，及時(shí)防止組織更改延遲的情況。為保證獲得項(xiàng)目成功所需要的資源，在項(xiàng)目開(kāi)始前需要得到高層管理人員的審批，但這不能保證項(xiàng)目得到適當(dāng)監(jiān)控，其各個(gè)目標(biāo)均能實(shí)現(xiàn)。點(diǎn)評(píng)：定期的評(píng)價(jià)交付成果有助于對(duì)項(xiàng)目偏離的管控[單選題]17.實(shí)施風(fēng)險(xiǎn)管理方案時(shí)，應(yīng)首先考慮以下哪一項(xiàng)?A)了解組織中存在的威脅、漏洞及風(fēng)險(xiǎn)概況B)了解風(fēng)險(xiǎn)暴露和潛在的危害后果C)確定基于潛在后果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)D)足以使風(fēng)險(xiǎn)所產(chǎn)生的后果保持在可接受水平的風(fēng)險(xiǎn)緩解策略答案:A解析:A.作為有效的信息安全治理的成果之一，實(shí)施風(fēng)險(xiǎn)管理首先需要全面了解組織中存在的威脅、漏洞及風(fēng)險(xiǎn)概況。B.只有在了解組織中的威脅、漏洞及風(fēng)險(xiǎn)概況之后，才能了解風(fēng)險(xiǎn)暴露和潛在的危害后果。C.只有在確定了組織中的威脅、漏洞及風(fēng)險(xiǎn)概況之后，才能制定基于潛在后果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)。D.風(fēng)險(xiǎn)緩解優(yōu)先級(jí)是以風(fēng)險(xiǎn)概況、風(fēng)險(xiǎn)可接受水平和潛在緩解控制為基礎(chǔ)的。這些要素為制定足以使風(fēng)險(xiǎn)所產(chǎn)生的后果保持在可接受的水平的風(fēng)險(xiǎn)緩解策略提供了依據(jù)。[單選題]18.下列哪種情況最適于將實(shí)施數(shù)據(jù)鏡像作為恢復(fù)策略?A)容災(zāi)能力很高。B)恢復(fù)時(shí)間目標(biāo)(RTO)很高。C)恢復(fù)點(diǎn)目標(biāo)(RPO)很低。D)RPO很高。答案:C解析:A.數(shù)據(jù)鏡像是一種數(shù)據(jù)恢復(fù)技術(shù)，而容災(zāi)解決的是業(yè)務(wù)中斷的可允許時(shí)間。B.恢復(fù)時(shí)間目標(biāo)(RTO)是一個(gè)容災(zāi)指標(biāo)。數(shù)據(jù)鏡像解決的是數(shù)據(jù)丟失，而非RTO。C.恢復(fù)點(diǎn)目標(biāo)(RPO)指明了必須保證數(shù)據(jù)恢復(fù)可能得以進(jìn)行的最近時(shí)間點(diǎn)。它決定了為使數(shù)據(jù)損失最小而必須備份數(shù)據(jù)的頻率。如果RPO低，則組織不希望丟失更多數(shù)據(jù)，而必須使用如數(shù)據(jù)鏡像這樣的流程來(lái)防止數(shù)據(jù)丟失。D.如果RPO很高，則可使用較為廉價(jià)的備份策略;而數(shù)據(jù)鏡像不應(yīng)作為數(shù)據(jù)恢復(fù)策略予以實(shí)施[單選題]19.下列哪一種撲滅數(shù)據(jù)中心火災(zāi)的方法是最有效和環(huán)保的？A)鹵化物氣體B)濕式滅火器C)干式滅火器D)二氧化碳?xì)怏w答案:C解析:一般認(rèn)為具有自動(dòng)斷電系統(tǒng)的噴水設(shè)備是很高效的，因?yàn)榭蓪⑵湓O(shè)定為自動(dòng)釋放而不會(huì)對(duì)生命造成威脅，而且水很環(huán)保。滅火器必須是干式的，以防止泄露危險(xiǎn)。鹵化物氣體是有效且高效的滅火方法，因?yàn)樗粫?huì)威脅人的生命安全，而且可以設(shè)定為自動(dòng)釋放，但是它會(huì)破壞環(huán)境而且很昂貴。使用水是可以接受的方法，但為了防止泄露，管道應(yīng)該是空的，所以選擇完整系統(tǒng)并不可行。二氧化碳被公認(rèn)為符合環(huán)保要求的氣體，但因?yàn)樗鼤?huì)威脅生命，所以在工作地點(diǎn)不能設(shè)定為自動(dòng)釋放，從而導(dǎo)致效率偏低。[單選題]20.一個(gè)組織當(dāng)前使用了企業(yè)資源管理（ERP）應(yīng)用程序。以下哪項(xiàng)可成為有效的訪問(wèn)控制？A)用戶級(jí)別權(quán)限訪問(wèn)控制B)基于角色的訪問(wèn)控制C)細(xì)化訪問(wèn)控制D)自主訪問(wèn)控制答案:B解析:基于角色的訪問(wèn)通過(guò)為一級(jí)用戶定義角色來(lái)控制系統(tǒng)訪問(wèn)權(quán)限。分配給用戶不同的角色，并基于用戶角色授予相應(yīng)的訪問(wèn)權(quán)限。ERP系統(tǒng)的用戶級(jí)別權(quán)限將產(chǎn)生大量管理費(fèi)用。細(xì)化訪問(wèn)控制難以在大型企業(yè)環(huán)境下實(shí)施和維護(hù)。自主訪問(wèn)控制可由用戶或數(shù)據(jù)所有者進(jìn)行配置或修改，因此可能使訪問(wèn)控制管理流程出現(xiàn)不一致。[單選題]21.某企業(yè)的多個(gè)辦公室都位于一個(gè)區(qū)域內(nèi)，并且用于恢復(fù)的預(yù)算很有限，以下哪種恢復(fù)策略最適合?A)由企業(yè)維護(hù)的熱備援中心B)商業(yè)冷備援中心C)在企業(yè)各辦公室之間實(shí)行互惠安排D)第三方熱備援中心答案:C解析:A.由企業(yè)維護(hù)的熱備援中心是高成本的解決方案，但可提供高置信度B.為多個(gè)辦公室租用多個(gè)冷備援中心的可用性差，非有效解決方案。C.對(duì)于多個(gè)辦公室均在一個(gè)區(qū)域內(nèi)的企業(yè)，在其各辦公室之間實(shí)行互惠安排最為合適。每個(gè)辦公室均可作為其他某個(gè)辦公室的恢復(fù)站點(diǎn)。這種方法可以保持置信水平在可接受的程度，并且最為廉價(jià)。D.第三方恢復(fù)設(shè)施由傳統(tǒng)的熱備援中心提供。這種方法的成本也很高，也可提供高置信度。[單選題]22.通過(guò)HTTPS協(xié)議在互聯(lián)網(wǎng)中發(fā)送數(shù)據(jù)時(shí)，以下哪項(xiàng)最值得關(guān)注？A)某端存在間諜軟件B)使用了流量嗅探工具C)實(shí)施了RSA的解決方案D)使用對(duì)稱加密法進(jìn)行數(shù)據(jù)傳輸答案:A解析:如果采用安全套按字層/傳輸層安全（SSL/TLS）隧道進(jìn)行加密，便很難攔截傳輸中的數(shù)據(jù)，但如果某端用戶計(jì)算機(jī)中存在間諜軟件，則在加密開(kāi)始前數(shù)據(jù)便會(huì)被截走。其他選項(xiàng)則涉及到對(duì)流量進(jìn)行加密，但如果某端存在間諜軟件，剛在加密開(kāi)始前數(shù)據(jù)便會(huì)被獲取。[單選題]23.某組織已與供應(yīng)商就一套用于電子收費(fèi)系統(tǒng)(ETCS)的即用型解決方案簽訂合同。供應(yīng)商在解決方案中提供了其擁有的專有應(yīng)用軟件。該合同應(yīng)要求:A)存在能使用最新數(shù)據(jù)運(yùn)行ETCS操作的備用服務(wù)器。B)存在裝載著所有相關(guān)軟件和數(shù)據(jù)的備用服務(wù)器。C)組織的系統(tǒng)人員接受處理各類事件的培訓(xùn)。D)ETCS應(yīng)用程序的源代碼交由第三方保管。答案:D解析:A.具有裝載著最新數(shù)據(jù)的備用服務(wù)器雖然很重要，但不如確保源代碼的可用性重要B.具有裝載著相關(guān)軟件的備用服務(wù)器雖然很重要，但不如確保源代碼的可用性重要。C.進(jìn)行員工培訓(xùn)雖然很重要，但不如確保源代碼的可用性重要。D.無(wú)論何時(shí)購(gòu)買專有應(yīng)用軟件，合同都應(yīng)包含源代碼托管協(xié)議。這將確保采購(gòu)方公司在供應(yīng)商停業(yè)的情況下仍能修改該軟件。[單選題]24.以下哪項(xiàng)會(huì)動(dòng)搖應(yīng)用系統(tǒng)審計(jì)軌跡的可靠性：A)在審計(jì)軌跡中的記錄ID。B)安全管理員具有審計(jì)文件的只讀數(shù)據(jù)。C)在執(zhí)行操作時(shí)記錄日期和時(shí)間。D)更正系統(tǒng)錯(cuò)誤時(shí)，用戶可修改審計(jì)軌跡記錄。答案:D解析:如果審計(jì)軌跡的詳細(xì)信息可以修改，則該審計(jì)軌跡無(wú)效。[單選題]25.一家組織提出要建立無(wú)線局域網(wǎng)（WLAN）管理層要求IS審計(jì)師為WLAN推薦安全控制措施。以下哪項(xiàng)最適合的建議A)保證無(wú)線接入點(diǎn)的物理安全，以防篡改B)使用能明確識(shí)別組織的服務(wù)集標(biāo)識(shí)符（SSID）C)使用有線等效加密（WEP）機(jī)制加密流量D)實(shí)施簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）以允許主動(dòng)監(jiān)控答案:A解析:保證接入點(diǎn)的物理安全，如無(wú)線路由器，以防止盜竊，能夠降低惡意人員篡改設(shè)備設(shè)置的風(fēng)險(xiǎn)，如果可以在物理上接觸到接入點(diǎn)，那么要恢復(fù)弱式默認(rèn)密碼和加密密鑰，或是從網(wǎng)絡(luò)完全取消身份認(rèn)證和加密機(jī)制往往很容易。不應(yīng)使用SSID，因?yàn)楹诳蜁?huì)將WLAN與已知組織關(guān)聯(lián)起來(lái)，這會(huì)增加他們的攻擊動(dòng)機(jī)。可能還會(huì)給他們提供這樣的信息，原始的WEP安全機(jī)制已被證明有大量可被利用的弱點(diǎn)，最近開(kāi)發(fā)的WI-Fi網(wǎng)絡(luò)安全存取協(xié)議（WPA）和Wi-Fi網(wǎng)絡(luò)安全存取協(xié)議2（WPA2）標(biāo)準(zhǔn)代表了更加安全的身份認(rèn)證和加密方式，在無(wú)線接入點(diǎn)安裝SNMP實(shí)際上會(huì)增大安全漏洞。如果一定需要SNMP，那么應(yīng)部署比起早期版本更強(qiáng)大的SNMPV3身份認(rèn)證機(jī)制。[單選題]26.雖然管理層發(fā)表了聲明，但I(xiàn)S審計(jì)員仍然有理由相信組織使用了盜版軟件。在這種情況下，IS審計(jì)員應(yīng)該:A)把管理層的陳訴包含到審計(jì)報(bào)告中B)認(rèn)定組織實(shí)際使用了哪些軟件C)與管理層再次確認(rèn)實(shí)際使用了哪些軟件D)與更高級(jí)別管理層討論:如果在審計(jì)報(bào)告中記錄這個(gè)問(wèn)題可能會(huì)導(dǎo)致負(fù)面的影響。答案:A解析:當(dāng)有跡象表明組織可能在使用未經(jīng)注冊(cè)的軟件時(shí)，在他報(bào)告中反映之前，IT審計(jì)師應(yīng)該獲得成分的證據(jù)。針對(duì)此事的管理層的申述不能影響審計(jì)師的獨(dú)立判斷。如果組織使用了未經(jīng)認(rèn)證的軟件，基于客觀性、獨(dú)立性IT審計(jì)師必須在報(bào)告中反映。[單選題]27.一位IS審計(jì)師正在執(zhí)行合規(guī)性測(cè)試，以確定控制是否支持管理政策和流程。測(cè)試在以下哪個(gè)方面對(duì)IS審計(jì)師有所幫助：A)獲得對(duì)控制目標(biāo)的了解B)保證運(yùn)行中的控制與設(shè)計(jì)要求一致C)確定數(shù)據(jù)控制的完整性D)確定財(cái)務(wù)報(bào)告控制的合理性答案:B解析:合規(guī)性測(cè)試可用于監(jiān)測(cè)已定義流程的存在性和有效性。了解合規(guī)性測(cè)試的目標(biāo)非常重要。IS審計(jì)師希望其所依賴的控制之有效性具有合理的保障。了解控制目標(biāo)是很關(guān)鍵，但這并非執(zhí)行合規(guī)性測(cè)試的原因。實(shí)質(zhì)性測(cè)試（而非合規(guī)性測(cè)試）于數(shù)據(jù)完整性和財(cái)務(wù)報(bào)告相關(guān)。點(diǎn)評(píng)：符合性測(cè)試判斷控制的有無(wú)[單選題]28.IS審計(jì)師應(yīng)該使用下列哪一項(xiàng)測(cè)試技術(shù)來(lái)確定尚未測(cè)試的具體程序邏輯?A)快照B)跟蹤和標(biāo)記C)記錄D)映射答案:D解析:A快照可記錄流經(jīng)程序內(nèi)各邏輯路徑的指定交易。B.跟蹤和標(biāo)記可用于顯示應(yīng)用期間所執(zhí)行的指令軌跡。C.記錄是指記錄具體任務(wù)以供日后審查。D.通過(guò)映射可確定尚未測(cè)試的具體程序邏輯，還可在執(zhí)行期間分析程序以指出程序語(yǔ)句是否已執(zhí)行。[單選題]29.一家服務(wù)提供商參與了一個(gè)涉及保密信息的政府項(xiàng)目，在為其執(zhí)行IS審計(jì)時(shí)，IS審計(jì)師注意到該服務(wù)提供商將部分IS工作委派給了一家子承包商。以下那個(gè)選項(xiàng)最能確保保護(hù)信息機(jī)密性的要求都得以滿足?A)月度委員會(huì)會(huì)議中有子承包商方面的IS經(jīng)理參加B)管理層每周審查子承包商提交的報(bào)告C)政府機(jī)構(gòu)許可合同事項(xiàng)D)對(duì)子承包商的工作指派定期獨(dú)立審計(jì)答案:D解析:定期獨(dú)立審計(jì)能夠合理保證，對(duì)保護(hù)信息機(jī)密性的各項(xiàng)要求沒(méi)有被降低標(biāo)準(zhǔn)。委員會(huì)例行會(huì)議是監(jiān)控委派任務(wù)的不錯(cuò)辦法；但是，獨(dú)立審查能夠提供更好的保證。管理層不應(yīng)僅僅依賴承包商自己報(bào)告的信息。獲得政府機(jī)構(gòu)的許可與確保信息機(jī)密性無(wú)關(guān)。點(diǎn)評(píng)：外包中的獨(dú)立審計(jì)條款能夠保障機(jī)密性[單選題]30.在對(duì)客戶關(guān)管理(CRM)系統(tǒng)遷移項(xiàng)目進(jìn)行審計(jì)時(shí)，IS審計(jì)師最應(yīng)關(guān)注以下哪項(xiàng)?A)技術(shù)遷移安排在長(zhǎng)周末前的周五進(jìn)行，時(shí)間窗口對(duì)于完成所有任務(wù)來(lái)說(shuō)過(guò)短。B)對(duì)系統(tǒng)執(zhí)行試點(diǎn)測(cè)試的員工擔(dān)心新系統(tǒng)中的數(shù)據(jù)表示法與舊系統(tǒng)完全不同。C)計(jì)劃單一實(shí)施，直接棄用舊版系統(tǒng)。D)在目標(biāo)日期前五周，新系統(tǒng)軟件的打印功能仍存在大量缺陷。答案:C解析:A.周末可用作時(shí)間緩沖，這樣新系統(tǒng)在周末后正常運(yùn)行的概率會(huì)更大B.數(shù)據(jù)表示法不同并不意味著前端的數(shù)據(jù)表示法也不同。即使是這樣，此問(wèn)題也可以通過(guò)充足的培訓(xùn)和用戶支持來(lái)解決。C.重大系統(tǒng)遷移應(yīng)包括一個(gè)井行運(yùn)行的階段或階段切換，以降低實(shí)施風(fēng)險(xiǎn)。如果新系統(tǒng)無(wú)法正確運(yùn)行，棄用或處置舊硬件會(huì)使回退策略變得復(fù)雜。D.打印功能通常是新系統(tǒng)中要測(cè)試的最后幾項(xiàng)功能之一，因?yàn)樵谌魏螛I(yè)務(wù)事件中打印幾乎都是最后執(zhí)行的步驟因此，只有在軟件的所有其他部分均測(cè)試成功后，才能進(jìn)行有意義的測(cè)試和相應(yīng)的錯(cuò)誤修復(fù)。[單選題]31.信息系統(tǒng)審計(jì)師檢查一個(gè)IT設(shè)備的外包合同時(shí)，會(huì)期望合同定義了：A)硬件配置B)訪問(wèn)控制軟件C)知識(shí)產(chǎn)權(quán)的所有者D)應(yīng)用開(kāi)發(fā)方法論答案:A解析:選擇硬件和訪問(wèn)控制軟件通常是不恰當(dāng)?shù)?，只要合同中的功能性、有效性和安全性已?jīng)約定，同樣地，開(kāi)發(fā)方法應(yīng)該是不被關(guān)注的。合同中必須指明誰(shuí)擁有財(cái)產(chǎn)權(quán)力(如,正被處理的數(shù)據(jù),應(yīng)用程序)。所有權(quán)將導(dǎo)致昂貴的開(kāi)銷，因此應(yīng)該重點(diǎn)審計(jì)在外包合同中的定義。[單選題]32.業(yè)務(wù)流程重組（BPR)的業(yè)務(wù)目的主要是：【已經(jīng)理解】A)減少工作崗位。B)減少步驟以改善業(yè)務(wù)效率。C)變更管理層方向。D)增加利益相關(guān)者（股東，客戶，供應(yīng)商，銀行）價(jià)值。答案:B解析:BPR的目的通過(guò)減少不必要的不走或者實(shí)施改善的技術(shù)以改善效率。BPR可以用于減少運(yùn)營(yíng)成本或者合規(guī)。[單選題]33.如果預(yù)算有限的情況下，且一個(gè)區(qū)域內(nèi)有多個(gè)辦公場(chǎng)所，下列那一項(xiàng)是最適合的恢復(fù)策略?A)商業(yè)熱站維護(hù)B)民用冷站C)辦公室之間互惠協(xié)議D)第三方熱站答案:C解析:對(duì)于在一個(gè)區(qū)域有很多間辦公室的公司，互惠式的排列將是最合適的。每間辦公室都能設(shè)計(jì)成其他辦公室的恢復(fù)地點(diǎn)。這是提供可接受信賴水平的最經(jīng)濟(jì)的辦法。商業(yè)熱站維護(hù)是相對(duì)昂貴的解決方案，但是提供更高的可信賴水平。多個(gè)辦公室租用多個(gè)冷站也是昂貴但高信賴水平的辦法。第三方恢復(fù)設(shè)備由傳統(tǒng)的熱站提供，也將是昂貴但高信賴水平的辦法。[單選題]34.在決策支持系統(tǒng)(DSS)的過(guò)程中,以下哪一項(xiàng)具有實(shí)施風(fēng)險(xiǎn)?A)管理控制B)半結(jié)構(gòu)的決策結(jié)構(gòu)維度C)無(wú)法確定目標(biāo)和使用模式D)決策過(guò)程發(fā)生的變化答案:C解析:無(wú)法確定目標(biāo)和使用模式是一個(gè)風(fēng)險(xiǎn)，開(kāi)發(fā)者在實(shí)施決策系統(tǒng)時(shí)不能事先說(shuō)明目的或使用的模式，選項(xiàng)A,B,D不是風(fēng)險(xiǎn)，而是決策支持系統(tǒng)的特征。點(diǎn)評(píng)：無(wú)法確定目標(biāo)將導(dǎo)致DSS系統(tǒng)無(wú)法實(shí)現(xiàn)業(yè)務(wù)價(jià)值[單選題]35.要降低尾隨風(fēng)險(xiǎn)，最有效地控制是？A)配有接待員的單一進(jìn)入點(diǎn)。B)使用智能卡。C)生物識(shí)別門鎖。D)雙門安全系統(tǒng)。答案:D解析:雙門安全系統(tǒng)是使用一對(duì)（兩個(gè)）門的系統(tǒng)。要操作第二扇門，必須先關(guān)閉并鎖好第一扇入口門，同時(shí)只允許一個(gè)人位于等候區(qū)中。這樣可以減少未授權(quán)人呢跟隨授權(quán)人員進(jìn)入受保護(hù)入口的風(fēng)險(xiǎn)（尾隨）。其他選項(xiàng)都是對(duì)進(jìn)入安全區(qū)域的物理控制，但都不特別針對(duì)尾隨風(fēng)險(xiǎn)。[單選題]36.為與組織目標(biāo)一致，IT部門應(yīng)：A)廉價(jià)觀念B)長(zhǎng)期和短期計(jì)劃C)超前技術(shù)D)計(jì)劃獲取新的硬件和軟件答案:A解析:為確保支持組織全面目標(biāo)的實(shí)現(xiàn)，IT部門應(yīng)制定短期和長(zhǎng)期計(jì)劃，為實(shí)現(xiàn)IT目標(biāo)需與組織的主要目標(biāo)保持一致。選項(xiàng)A、和C、是目標(biāo)，但計(jì)劃描述了各個(gè)目標(biāo)將如何實(shí)現(xiàn)。選項(xiàng)D、是全面計(jì)劃的一部分，但僅僅是實(shí)現(xiàn)組織目標(biāo)所需的硬件和軟件。[單選題]37.一個(gè)開(kāi)發(fā)團(tuán)隊(duì)開(kāi)發(fā)并維護(hù)著一個(gè)面向客戶的網(wǎng)絡(luò)應(yīng)用程序，相對(duì)于中央數(shù)據(jù)中心，這個(gè)應(yīng)用是放在其區(qū)域辦事處的。在這種情況下最大的風(fēng)險(xiǎn)是：A)網(wǎng)站的帶來(lái)的附加流量會(huì)減慢域辦事處的因特網(wǎng)訪問(wèn)。B)開(kāi)發(fā)團(tuán)隊(duì)可能缺乏管理和維護(hù)一個(gè)托管應(yīng)用環(huán)境的專業(yè)知識(shí)和人員。C)區(qū)域辦事處可能沒(méi)有火災(zāi)探測(cè)和消防等主數(shù)據(jù)中心相同的環(huán)境水平。D)區(qū)域辦事處可能沒(méi)有保證Web服務(wù)器安全的防火墻或網(wǎng)絡(luò)。答案:B解析:選項(xiàng)B是正確的，因?yàn)橐粋€(gè)關(guān)鍵的Web應(yīng)用程序需要不斷的監(jiān)測(cè)和維護(hù)，通常由數(shù)據(jù)中心操作人員執(zhí)行的，而不是由開(kāi)發(fā)團(tuán)隊(duì)執(zhí)行，雖然系統(tǒng)開(kāi)發(fā)人員也可能具有執(zhí)行操作任務(wù)的能力，但他們通常不會(huì)象系統(tǒng)操作團(tuán)隊(duì)那樣能做到24X7在現(xiàn)場(chǎng)。選項(xiàng)A不正確，因?yàn)榫W(wǎng)絡(luò)流量水平可被預(yù)測(cè)并且預(yù)置更多的帶寬。選項(xiàng)C和D不正確，因?yàn)樵谕泄芤粋€(gè)Web服務(wù)器可能會(huì)是基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全方面的一個(gè)挑戰(zhàn)，最關(guān)鍵的問(wèn)題是需要具有專業(yè)知識(shí)和人員監(jiān)控和維護(hù)這個(gè)關(guān)鍵的網(wǎng)站。[單選題]38.數(shù)據(jù)庫(kù)管理員(DBA)提議，可通過(guò)對(duì)某些表進(jìn)行逆正規(guī)化來(lái)提高數(shù)據(jù)庫(kù)效率。這將導(dǎo)致:A)機(jī)密性丟失。B)冗余度增加。C)未經(jīng)授權(quán)的訪問(wèn)。D)應(yīng)用程序出現(xiàn)故障。答案:B解析:A.即使涉及機(jī)密信息，逆正規(guī)化也不會(huì)導(dǎo)致機(jī)密性丟失。數(shù)據(jù)庫(kù)管理員(DBA)應(yīng)保證數(shù)據(jù)庫(kù)的訪問(wèn)控制一直保持有效。B.正規(guī)化是指使關(guān)系數(shù)據(jù)庫(kù)最大限度減少冗余度的設(shè)計(jì)或優(yōu)化流程;因此，逆正規(guī)化將增加冗余度。涉及到資源可用性時(shí)，冗余通常被看作積極因素，而在數(shù)據(jù)庫(kù)環(huán)境中，它是消極因素，因?yàn)榇嬖谠鄷r(shí)，需要處理原本不必要的額外數(shù)據(jù)出于功能考慮，有時(shí)建議進(jìn)行逆正規(guī)化C.逆正規(guī)化與數(shù)據(jù)庫(kù)結(jié)構(gòu)有關(guān)，與訪問(wèn)控制無(wú)關(guān)。逆正規(guī)化不會(huì)導(dǎo)致未授權(quán)訪問(wèn)。D.逆正規(guī)化會(huì)要求數(shù)據(jù)庫(kù)與應(yīng)用程序之間的調(diào)用變化，但不會(huì)導(dǎo)致應(yīng)用程序故障。[單選題]39.分布式拒絕服務(wù)攻擊互聯(lián)網(wǎng)網(wǎng)站是由于黑客使用如下哪一種典型手段引起的:A)邏輯炸彈B)釣魚(yú)網(wǎng)站C)間諜軟件D)特洛伊木馬答案:A解析:特洛伊木馬是一種隱藏在一個(gè)已經(jīng)授權(quán)的計(jì)算機(jī)程序中惡意的或者破壞性的代碼。黑客們使用特洛伊通過(guò)影響能同時(shí)訪問(wèn)同一個(gè)網(wǎng)站的計(jì)算機(jī)來(lái)策劃分布式拒絕服務(wù)攻擊，導(dǎo)致網(wǎng)站服務(wù)器過(guò)載以至于不再能夠處理合理的請(qǐng)求。邏輯炸彈是一種程序，設(shè)計(jì)用來(lái)在未來(lái)特定時(shí)間破壞或者更改數(shù)據(jù)。釣魚(yú)網(wǎng)站是一種攻擊，通常通過(guò)電子郵件假裝成一個(gè)授權(quán)的人或者組織要求信息。間諜軟件是從pC、驅(qū)動(dòng)器上一種通過(guò)復(fù)制內(nèi)容的拷貝能分揀信息的程序[單選題]40.信息系統(tǒng)審計(jì)師被委任去執(zhí)行對(duì)一個(gè)應(yīng)用系統(tǒng)進(jìn)行實(shí)施后維護(hù)的檢查過(guò)程。以下哪種情形將減弱信息系統(tǒng)審計(jì)師的獨(dú)立性。審計(jì)師：A)在應(yīng)用系統(tǒng)的開(kāi)發(fā)過(guò)程中實(shí)施了詳細(xì)控制B)專門設(shè)計(jì)了一個(gè)嵌入審計(jì)模塊用來(lái)審計(jì)此應(yīng)用系統(tǒng)C)作為一個(gè)成員參與了此應(yīng)用系統(tǒng)項(xiàng)目團(tuán)隊(duì)，但沒(méi)有操作職責(zé)D)就應(yīng)用系統(tǒng)最佳實(shí)務(wù)提供了咨詢意見(jiàn)答案:A解析:獨(dú)立性可能被減弱如果審計(jì)師正在或已經(jīng)叁與應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲取和執(zhí)行。選擇B和C是不減弱審計(jì)師的獨(dú)立性。選擇D是不正確的，因?yàn)閷徲?jì)師不會(huì)因?yàn)樘峁┖玫慕ㄗh而減弱審計(jì)師的獨(dú)立性。[單選題]41.審計(jì)痕跡的主要目的：A)更好的評(píng)估和審計(jì)由于審計(jì)師沒(méi)有檢查出的控制失效引起的審計(jì)風(fēng)險(xiǎn)。B)建立完成的審計(jì)工作按年代順序排列的事件鏈。C)建立交付處理的業(yè)務(wù)交易的責(zé)任（可追溯責(zé)任）。D)職責(zé)分離缺乏的補(bǔ)償。答案:C解析:審計(jì)痕跡和其它日志用于補(bǔ)償缺乏恰當(dāng)?shù)穆氊?zé)分離，審計(jì)痕跡的主要目的是建立交付處理的業(yè)務(wù)交易的職責(zé)（可追溯責(zé)任）。[單選題]42.在確認(rèn)是否符合組織的變更控制程序時(shí)，以下IS審計(jì)人員執(zhí)行的測(cè)試中哪一項(xiàng)最有效？A)審查軟件遷移記錄并核實(shí)審批情況B)確定已發(fā)生的變更并核實(shí)審批情況C)審核變更控制文檔并核實(shí)審批情況D)保證只有適當(dāng)?shù)娜藛T才能將變更遷移至生產(chǎn)環(huán)境答案:B解析:[單選題]43.IS管理層決定要安裝第1級(jí)冗余陣列磁盤系統(tǒng)在所有服務(wù)器上，以補(bǔ)償異地備份的缺失，IS審計(jì)師應(yīng)建議:A)．升級(jí)到第5級(jí)的RAID、B)．增加現(xiàn)場(chǎng)備份的頻率C)．恢復(fù)異地備份D)．在安全的位置建立一個(gè)冷站答案:C解析:在一個(gè)RAID、系統(tǒng)，在任何級(jí)別，都無(wú)法防范自然災(zāi)害。這個(gè)問(wèn)題將不會(huì)緩解，如果沒(méi)有異地備份。頻繁的現(xiàn)場(chǎng)備份，甚至建立一個(gè)冷站，選擇A，B和D都不能補(bǔ)償缺失異地備份。[單選題]44.業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的主要目標(biāo)是:A)保護(hù)關(guān)鍵的IS資產(chǎn)B)為連續(xù)運(yùn)營(yíng)做好準(zhǔn)備。C)盡量減少組織損失D)保護(hù)人身安全。答案:D解析:A.保護(hù)關(guān)鍵的IS資產(chǎn)是業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的次要目標(biāo)。生命安全始終處于第優(yōu)先級(jí)。B.連續(xù)運(yùn)營(yíng)是業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的次要目標(biāo)。生命安全始終處于第一優(yōu)先級(jí)。C.盡量減少組織損失是業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃的次要目標(biāo)。生命安全始終處于第一優(yōu)先級(jí)。D.生命無(wú)價(jià)，因此任何業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃都應(yīng)該將保護(hù)人身安全放在第一位。[單選題]45.從一份與IT相關(guān)的投資業(yè)務(wù)中所獲得的直接利益是個(gè)什么例子？A)提高聲譽(yù)B)提高員工士氣C)新技術(shù)的使用D)市場(chǎng)占有率的提高答案:D解析:綜合業(yè)務(wù)在對(duì)于任何與IT相關(guān)的投資業(yè)務(wù)提議的情況下，應(yīng)該由明確的商業(yè)利益。用以計(jì)算出預(yù)期收入，這些利益通常分為兩類：直接和間接的。直接利益通常包括，新系統(tǒng)預(yù)計(jì)將可量化的經(jīng)濟(jì)利益。而增強(qiáng)信譽(yù)，提高員工士氣的潛在利益是難以量化的，但應(yīng)盡可能地量化。投資IT不應(yīng)只是為了為了新技術(shù)的緣故，而是應(yīng)以可量化的業(yè)務(wù)需求。點(diǎn)評(píng)：業(yè)務(wù)收益，故選D[單選題]46.在退出會(huì)談期間，如果存在對(duì)一個(gè)審計(jì)發(fā)現(xiàn)的爭(zhēng)論，IT審計(jì)師將：A)要求被審者簽署一個(gè)聲明承擔(dān)全部法律責(zé)任B)詳細(xì)說(shuō)明發(fā)現(xiàn)的重要性和不糾正的風(fēng)險(xiǎn)C)向?qū)徲?jì)委員會(huì)報(bào)告爭(zhēng)議,并由審計(jì)委員會(huì)決定D)接受被審方立場(chǎng)因?yàn)樗麄兪橇鞒讨贫ㄕ叽鸢?A解析:如果被審者對(duì)審計(jì)發(fā)現(xiàn)存在不同意見(jiàn)，當(dāng)被審者可能不會(huì)完全認(rèn)同審計(jì)發(fā)現(xiàn)時(shí)，IT審計(jì)師對(duì)此進(jìn)行詳細(xì)闡述并揭露風(fēng)險(xiǎn)是重要的。目的是提醒被審對(duì)象或揭示審計(jì)師未發(fā)現(xiàn)的新的風(fēng)險(xiǎn)。出現(xiàn)的任何威脅被審對(duì)象的事情都會(huì)降低溝通的效果，并使雙方關(guān)系對(duì)立。出于同樣原因，IT審計(jì)師也不應(yīng)對(duì)被審對(duì)象的觀點(diǎn)進(jìn)行妥協(xié)。[單選題]47.以下哪項(xiàng)是減輕針對(duì)互聯(lián)網(wǎng)銀行應(yīng)用程序的域欺騙攻擊的最佳控制?A)用戶登記和密碼政策B)用戶安全意識(shí)C)使用入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS)D)域名系統(tǒng)(DNS)服務(wù)器安全強(qiáng)化答案:D解析:A.用戶登記和密碼政策不能緩解域欺騙攻擊，因?yàn)椴荒芊乐箤?duì)域名系統(tǒng)(DNS)記錄的操控。B.用戶安全意識(shí)不能緩解域欺騙攻擊，因?yàn)椴荒芊乐箤?duì)域名系統(tǒng)DNS)記錄的操控。C.使用入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)(IDS/PS)不能緩解域欺騙攻擊，因?yàn)椴荒芊乐箤?duì)域名系統(tǒng)(DNS)記錄的操控。D.域欺騙攻擊是利用DNS服務(wù)器的漏洞將流量重定向到未授權(quán)網(wǎng)站。為了避免這種攻擊，需要消除可能會(huì)造成DNS中毒的所有已知滿洞。DNS的舊軟件版本易受此類攻擊，應(yīng)進(jìn)行補(bǔ)丁處理[單選題]48.如果IS審計(jì)師是IT委員會(huì)的成員，那么信息系統(tǒng)審計(jì)師對(duì)IT組織進(jìn)行審核時(shí)最關(guān)心什么？A)負(fù)責(zé)項(xiàng)目審批，設(shè)定優(yōu)先級(jí)B)負(fù)責(zé)制定長(zhǎng)期的IT計(jì)劃C)向董事會(huì)建議IT的相關(guān)發(fā)展項(xiàng)D)確定業(yè)務(wù)目標(biāo)答案:D解析:確定企業(yè)目標(biāo)是高級(jí)管理人員的責(zé)任，IT指導(dǎo)委員會(huì)沒(méi)有責(zé)任。其他的選項(xiàng)是IT指導(dǎo)委員會(huì)適當(dāng)?shù)呢?zé)任。點(diǎn)評(píng)：IT指導(dǎo)委員會(huì)不能確定?業(yè)務(wù)?目標(biāo)[單選題]49.在發(fā)出災(zāi)難聲明后，溫恢復(fù)站點(diǎn)的介質(zhì)創(chuàng)建日期基于:A)恢復(fù)點(diǎn)目標(biāo)(RPO)。B)恢復(fù)時(shí)間目標(biāo)(RTO)C)服務(wù)交付目標(biāo)(SDO)。D)可容忍的最長(zhǎng)停機(jī)時(shí)間(MTO)。答案:A解析:A.恢復(fù)點(diǎn)目標(biāo)(RPO)是運(yùn)轉(zhuǎn)中斷時(shí)可接受的數(shù)據(jù)失確定。它指明可以接受的恢復(fù)數(shù)據(jù)的最早時(shí)間點(diǎn)。RPO能夠有效地量化在發(fā)生運(yùn)行中斷時(shí)允許的數(shù)據(jù)丟失量。介質(zhì)創(chuàng)建日期將反映數(shù)據(jù)要恢復(fù)到的時(shí)間點(diǎn)或RPO。B.恢復(fù)時(shí)間目標(biāo)(RTO)是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時(shí)間量C.服務(wù)交付目標(biāo)(SDO)與業(yè)務(wù)需求直接相關(guān)，是恢復(fù)正常狀況之前在備用流程模式期間要達(dá)到的服務(wù)水平D.可容忍的最長(zhǎng)停機(jī)時(shí)間(MTO)是組織可以支持在備用模式下處理業(yè)務(wù)的最長(zhǎng)時(shí)間。[單選題]50.安全套接層協(xié)議通過(guò)什么實(shí)現(xiàn)保密性？A)對(duì)稱加密B)消息驗(yàn)證碼C)哈希函數(shù)D)數(shù)字簽名驗(yàn)證答案:A解析:SSL（安全套接層協(xié)議）是用對(duì)稱密鑰對(duì)信息加密。一個(gè)保密驗(yàn)證碼是用語(yǔ)確認(rèn)數(shù)字的完整性。HA、sh作用是用語(yǔ)產(chǎn)生一個(gè)信息摘要；它不用于公鑰加密信息．?dāng)?shù)字簽名驗(yàn)證是被SSL用于服務(wù)器驗(yàn)證、[單選題]51.某組織的網(wǎng)絡(luò)已成為多次入侵攻擊的受害者。以下哪種措施可早期檢測(cè)到此類事件？A)防病毒軟件。B)強(qiáng)化服務(wù)器。C)屏蔽路由器。D)蜜罐（Honeypot）。答案:D解析:蜜罐可收集攻擊前兆的相關(guān)數(shù)據(jù)。由于不提供業(yè)務(wù)功能，蜜罐是只有蜜罐管理員而沒(méi)有任何其他授權(quán)用戶的主機(jī)。所有針對(duì)蜜罐主機(jī)的活動(dòng)都被認(rèn)為是可疑的。攻擊者會(huì)掃描并攻擊蜜罐，這為管理員提供了有關(guān)新趨勢(shì)和攻擊工具（尤其是惡意代碼）的數(shù)據(jù)。但是，蜜罐是正確保護(hù)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用誠(chéng)信安全的補(bǔ)充，而不是替代品。如果組織要使用蜜罐，應(yīng)該由合格的事故處理人員和入侵檢測(cè)分析人員對(duì)其進(jìn)行管理。其他選項(xiàng)不會(huì)提供潛在攻擊的跡象。[單選題]52.某公司已開(kāi)始使用社交媒體與現(xiàn)有客戶和潛在客戶進(jìn)行通信。以下哪一項(xiàng)是審計(jì)師最應(yīng)該關(guān)注的？A)使用社交媒體的員工工作效率降低B)缺乏對(duì)社交媒體適當(dāng)使用和監(jiān)控的指導(dǎo)C)使用第三方提供商來(lái)托管和管理內(nèi)容D)客戶的負(fù)面帖子影響公司的形象答案:B解析:[單選題]53.在有全球供應(yīng)商的大公司的網(wǎng)絡(luò)里，網(wǎng)絡(luò)堵塞可能持續(xù)增加。在這樣環(huán)境里，設(shè)備組件必須是可升級(jí)的。下面哪種防火墻架構(gòu)限制了將來(lái)的升級(jí)？A)設(shè)備B)基于操作系統(tǒng)的C)基于主機(jī)的D)非軍事化的答案:A解析:設(shè)備的軟件植入到了機(jī)器的芯片。硬件基礎(chǔ)的防火墻產(chǎn)品不能被移植到更高容量的服務(wù)器。融入操作系統(tǒng)的防火墻軟件往往能得到升級(jí)，因?yàn)樗梢蕴嵘?wù)器的性能?；谥鳈C(jī)的防火墻在服務(wù)器操作系統(tǒng)之上運(yùn)行，是可以升級(jí)的。非軍事化區(qū)是防火墻安裝的一種形式，而不是一種防火墻的架構(gòu)。[單選題]54.處理計(jì)算機(jī)犯罪事件需要運(yùn)用管理團(tuán)隊(duì)的方法，下面哪一個(gè)角色的職責(zé)是明確的？A)經(jīng)理B)審計(jì)人員C)調(diào)查人員D)安全負(fù)責(zé)人答案:A解析:[單選題]55.在C、/S環(huán)境下，IS審計(jì)員檢查的訪問(wèn)控制時(shí)首先應(yīng)：A)評(píng)估加密技術(shù)B)確認(rèn)網(wǎng)絡(luò)訪問(wèn)點(diǎn)C)檢查認(rèn)證管理系統(tǒng)D)檢查應(yīng)用層面的訪問(wèn)控制答案:A解析:一個(gè)C、/S環(huán)境典型的包含數(shù)個(gè)訪問(wèn)點(diǎn)、利用分布式技術(shù)及增加未被授權(quán)的對(duì)數(shù)據(jù)和過(guò)程訪問(wèn)。為了評(píng)估終端服務(wù)環(huán)境的安全性，所有的網(wǎng)絡(luò)訪問(wèn)點(diǎn)應(yīng)得到確認(rèn)。評(píng)估加密技術(shù)，檢查認(rèn)證管理系統(tǒng)和應(yīng)用層面的訪問(wèn)控制應(yīng)該在作為下一個(gè)檢查步驟得到實(shí)施。[單選題]56.在對(duì)大型主機(jī)應(yīng)用程序進(jìn)行訪問(wèn)控制審查期間，IS審計(jì)師發(fā)現(xiàn)用戶安全組沒(méi)有指定所有者。以下哪一項(xiàng)是IS審計(jì)師關(guān)注的主要原因?沒(méi)有所有者就沒(méi)有人負(fù)責(zé):A)更新組的元數(shù)據(jù)。B)審查現(xiàn)有用戶訪問(wèn)C)用戶訪問(wèn)的審批。D)撤銷離職用戶的訪問(wèn)權(quán)限。答案:C解析:A.相對(duì)于未經(jīng)授權(quán)的訪問(wèn)，更新組的相關(guān)數(shù)據(jù)不是最令人擔(dān)憂的狀況。B.盡管定期檢查用戶帳戶是不錯(cuò)的做法，但這是一種檢測(cè)性控制，不如提前阻止未授權(quán)訪問(wèn)更加可靠C.如果沒(méi)有所有者對(duì)組的用戶訪問(wèn)進(jìn)行批準(zhǔn)，則未授權(quán)的個(gè)人有可能在組的權(quán)限內(nèi)訪問(wèn)任何敏感數(shù)據(jù)D.撤銷離職用戶的訪問(wèn)權(quán)限是對(duì)正常終止流程的補(bǔ)償性控制，也是一種檢測(cè)性控制。[單選題]57.登錄流程包括創(chuàng)建唯一的用戶ID和密碼。然而，IS審計(jì)師發(fā)現(xiàn)，在大多數(shù)情況下，用戶名和密碼是相同的。降低這一風(fēng)險(xiǎn)的最好控制是：A)改變公司的安全政策。B)告知用戶使用弱密碼的風(fēng)險(xiǎn)C)建立驗(yàn)證，防止在創(chuàng)建用戶和更改密碼時(shí)出現(xiàn)此情況。D)要求定期審查的用戶ID和密碼，以進(jìn)行檢測(cè)和更改答案:C解析:密碼泄漏是最高的風(fēng)險(xiǎn)。最佳控制是在創(chuàng)建或更改密碼時(shí)通過(guò)驗(yàn)證進(jìn)行預(yù)防性控制。通過(guò)身份管理系統(tǒng)強(qiáng)制執(zhí)行控制自動(dòng)化該任務(wù)。更改公司的安全政策以及告知用戶使用弱密碼的風(fēng)險(xiǎn)只能對(duì)用戶起到提示作用，對(duì)強(qiáng)制執(zhí)行此控制的作用不大。要求定期審查匹配的用戶ID和密碼以進(jìn)行檢測(cè)并確保進(jìn)行更正，這種方法屬于檢測(cè)性控制。[單選題]58.某組織制定了一條政策，定義了禁止用戶訪問(wèn)的網(wǎng)站類型。要使此政策付諸實(shí)施，最有效的技術(shù)是什么？A)狀態(tài)檢測(cè)防火墻B)Web內(nèi)容過(guò)濾器C)Web緩存服務(wù)器D)代理服務(wù)器答案:B解析:Web內(nèi)容過(guò)濾器可根據(jù)配置的規(guī)則接受或拒絕Web通信。為幫助管理員正確配置此工具，組織和供應(yīng)商提供了幾百萬(wàn)個(gè)網(wǎng)站的URL黑名單和分類。狀態(tài)檢測(cè)防火墻對(duì)過(guò)濾Web流量沒(méi)什么幫助，因?yàn)樗鼰o(wú)法用于審查網(wǎng)站的內(nèi)容，也不會(huì)將站點(diǎn)分類考慮在內(nèi)。Web緩存服務(wù)器旨在提高檢索最常見(jiàn)或最近訪問(wèn)的網(wǎng)頁(yè)的速度。代理服務(wù)器也不正確。因?yàn)榇矸?wù)器是一種通過(guò)將客戶端請(qǐng)求轉(zhuǎn)發(fā)給其他服務(wù)器來(lái)回應(yīng)該請(qǐng)求的服務(wù)器。許多人將代理服務(wù)器誤認(rèn)為是Web代理服務(wù)器的同義詞，但也不是所有的Web代理服務(wù)器都具有內(nèi)容過(guò)濾功能。[單選題]59.IT經(jīng)理監(jiān)控技術(shù)能力的主要好處在于A)發(fā)現(xiàn)采購(gòu)新硬件和存儲(chǔ)的需求B)根據(jù)使用情況確定未來(lái)的容量需要C)確保滿足服務(wù)級(jí)別協(xié)議（SLA）的要求D)確保系統(tǒng)在最佳生產(chǎn)能力條件下運(yùn)行答案:C解析:容量監(jiān)控具有多個(gè)目標(biāo)，但其主要目標(biāo)是確保遵守業(yè)務(wù)與IT之間的內(nèi)部SLA。它還有助于根據(jù)使用模式，達(dá)到預(yù)期的未來(lái)容量。此外，容量監(jiān)控也有助于根據(jù)當(dāng)前的使用情況和預(yù)期的未來(lái)容量啟動(dòng)采購(gòu)工作。[單選題]60.為了保護(hù)VoIP設(shè)備免于拒絕服務(wù)攻擊，最重要的是確保什么的安全？A)訪問(wèn)控制服務(wù)器B)會(huì)話邊界控制C)骨干網(wǎng)關(guān)D)入侵檢測(cè)系統(tǒng)答案:A解析:會(huì)話邊界控制提高了網(wǎng)絡(luò)訪問(wèn)的安全。在網(wǎng)絡(luò)訪問(wèn)中，他們隱藏了用戶的真實(shí)地址，而提供被控制的公共地址。公共地址能夠被監(jiān)控，極小機(jī)會(huì)被拒絕服務(wù)攻擊。會(huì)話邊界控制允許訪問(wèn)防火墻后面的客戶在保持防火墻的效力。在核心，會(huì)話邊界控制保護(hù)了網(wǎng)絡(luò)的使用者。他們隱藏了網(wǎng)絡(luò)拓?fù)浜褪褂谜哒鎸?shí)的地址。他們也能夠管理帶寬和服務(wù)質(zhì)量。訪問(wèn)控制服務(wù)器、骨干網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)不能有效防御拒絕服務(wù)攻擊。[單選題]61.以下哪一項(xiàng)對(duì)戰(zhàn)略IT舉措決策流程最有價(jià)值?A)項(xiàng)目管理流程的成熟度B)監(jiān)管環(huán)境C)過(guò)去的審計(jì)結(jié)果D)IT項(xiàng)目組合分析答案:D解析:A.相比執(zhí)行戰(zhàn)略規(guī)劃，項(xiàng)目管理流程的成熟度在管理的日常運(yùn)營(yíng)方面更為重要。B.監(jiān)管要求可推動(dòng)某些技術(shù)和舉措方面的投資;但必須符合監(jiān)管要求通常不是IT和業(yè)務(wù)戰(zhàn)略的主要關(guān)注點(diǎn)。C.過(guò)去的審計(jì)結(jié)果可推動(dòng)某些技術(shù)和舉措方面的投資;但必須針對(duì)過(guò)去的審計(jì)結(jié)果采取補(bǔ)救措通常不是IT和業(yè)務(wù)戰(zhàn)略的主要關(guān)注點(diǎn)。D.組合分析為戰(zhàn)略IT舉措規(guī)劃的相關(guān)決策流程提供最有價(jià)值的信息。組合分析提供有關(guān)已劃的舉措、項(xiàng)目和正在進(jìn)行的IT服務(wù)的可比信息，有助IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。[單選題]62.在審查一份業(yè)務(wù)持續(xù)性計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師注意到什么情況被宣布為一個(gè)危機(jī)沒(méi)有被定義。這一點(diǎn)關(guān)系到的主要風(fēng)險(xiǎn)是：A)對(duì)這種情況的評(píng)估可能會(huì)延遲B)災(zāi)難恢復(fù)計(jì)劃的執(zhí)行可能會(huì)被影響C)團(tuán)隊(duì)通知可能不會(huì)發(fā)生D)對(duì)潛在危機(jī)的識(shí)別可能會(huì)無(wú)效答案:A解析:如果組織不知道什么時(shí)候應(yīng)該宣告危機(jī)發(fā)生，將會(huì)影響業(yè)務(wù)持續(xù)性計(jì)劃的執(zhí)行。選項(xiàng)A、,C、,D、是評(píng)估是否危機(jī)產(chǎn)生的步驟。問(wèn)題和嚴(yán)重性的評(píng)價(jià)將為判定災(zāi)難提供重要信息。當(dāng)潛在的危機(jī)被識(shí)別后，負(fù)責(zé)危機(jī)處理的團(tuán)隊(duì)會(huì)被通知。如果這一步驟被耽誤，直到災(zāi)難被宣告，響應(yīng)團(tuán)隊(duì)的作用也將被抹殺。潛在危機(jī)的識(shí)別是災(zāi)難響應(yīng)的第一步。[單選題]63.推薦的交易處理應(yīng)用程序?qū)⒂性S多數(shù)據(jù)獲取資源以及書(shū)面和電子形式的輸出。為了確保交易不在處理過(guò)程中丟失，IS審計(jì)師應(yīng)建議執(zhí)行:A)驗(yàn)證控制B)內(nèi)部可信度檢査C)員工控制流程。D)自動(dòng)系統(tǒng)均衡。答案:D解析:A.輸入和輸出驗(yàn)證控制當(dāng)然是有效的控制，但不會(huì)檢測(cè)和報(bào)告丟失的交易。B.內(nèi)部可信度檢查是檢測(cè)處理過(guò)程中錯(cuò)誤的有效控制，但不能檢測(cè)和報(bào)告丟失的交易。C.雖然員工控制流程可用于總結(jié)和比較輸入和輸出，但執(zhí)行自動(dòng)化流程更不易出錯(cuò)。D.自動(dòng)系均衡是確保交易不會(huì)丟失的最佳方法，因?yàn)槿魏屋斎肟偭颗c輸出總量之同的不均衡情況都會(huì)被報(bào)告，以供調(diào)查和更正。[單選題]64.以下哪項(xiàng)是處理利用協(xié)議漏洞傳播網(wǎng)絡(luò)蠕蟲(chóng)的最有效的解決方法?A)安裝供應(yīng)商針對(duì)漏洞的安全修補(bǔ)程序。B)在外圍防火墻中阻止協(xié)議通信。C)阻止內(nèi)部網(wǎng)絡(luò)段間的協(xié)議通信。D)在安裝合適的安全修補(bǔ)程序前停止服務(wù)。答案:D解析:A.如果不停止服務(wù)，那么安裝修補(bǔ)程序也不是最有效的方法，因?yàn)橄x(chóng)在修補(bǔ)程序生效前將繼續(xù)傳播。B.如果蠕蟲(chóng)已經(jīng)通過(guò)通用串行總線(USB)或便攜介質(zhì)進(jìn)入內(nèi)部網(wǎng)絡(luò)，則在外圍阻止協(xié)議并不能阻止其傳播。C.阻止協(xié)議有助于減緩傳播，但這也會(huì)阻止利用此協(xié)議的所有軟件在網(wǎng)絡(luò)段間工作。D.停止服務(wù)并安裝安全修補(bǔ)程序是防止蟲(chóng)病毒傳播的最安全的辦法。[單選題]65.一個(gè)電子郵件的發(fā)送者對(duì)數(shù)字摘要應(yīng)用了數(shù)字簽名。這個(gè)行動(dòng)能確保：A)信息的數(shù)據(jù)和時(shí)間戳B)識(shí)別發(fā)信的計(jì)算機(jī)C)對(duì)信息內(nèi)容進(jìn)行加密D)對(duì)發(fā)送者的身份進(jìn)行識(shí)別答案:A解析:對(duì)摘要的簽名被用于對(duì)發(fā)送者的身份進(jìn)行識(shí)別。它不能提供對(duì)發(fā)送數(shù)據(jù)的時(shí)間戳或所發(fā)送的計(jì)算機(jī)的識(shí)別。對(duì)電子郵件數(shù)字簽名不能防止對(duì)它內(nèi)容的訪問(wèn)，因此，不能確保機(jī)密性。[單選題]66.消息在發(fā)送前，用發(fā)送者的私鑰加密消息內(nèi)容和它的哈希（hash,或譯作：雜選、摘要）值，能夠保證：A)消息的真實(shí)性和完整性B)消息的真實(shí)性和保密性C)消息的完整性和保密性D)保密性和防抵賴性答案:A解析:[單選題]67.在評(píng)估ED、I應(yīng)用控制時(shí)，IS審計(jì)員應(yīng)該主要關(guān)注的風(fēng)險(xiǎn)是：A)額外的交易響應(yīng)時(shí)間B)應(yīng)用接口錯(cuò)誤C)不恰當(dāng)?shù)慕灰资跈?quán)D)無(wú)效的分批總數(shù)答案:A解析:涉及ED、I的最重要風(fēng)險(xiǎn)始不恰當(dāng)?shù)慕灰资跈?quán)。因?yàn)楫?dāng)事人的交易是電子的，沒(méi)有固有的認(rèn)證。其他選擇盡管也是風(fēng)險(xiǎn)，但不是重要的。[單選題]68.在確定恢復(fù)點(diǎn)目標(biāo)（RPO）的時(shí)候，以下哪項(xiàng)是最需要考慮的？A)最低的操作要求B)可接受的數(shù)據(jù)丟失C)平均故障間隔時(shí)間D)可接受的恢復(fù)時(shí)間答案:B解析:RTO提供業(yè)務(wù)操作可接受的緩沖時(shí)間，而RPO是組織可接受數(shù)據(jù)丟失和重新運(yùn)營(yíng)的程度。平均故障間隔時(shí)間和最低操作要求有助于確定恢復(fù)策略。[單選題]69.下列情況適用于軟件托管協(xié)議？A)系統(tǒng)管理員需要訪問(wèn)軟件，以便從災(zāi)難中恢復(fù)B)用戶請(qǐng)求重新在一塊換過(guò)的硬盤上加載軟件C)定制化編寫(xiě)的軟件供應(yīng)商停業(yè)D)IT審計(jì)師需要訪問(wèn)由組織編寫(xiě)的軟件代碼答案:C解析:托管是一個(gè)軟件供應(yīng)商和客戶之間的軟件，以保證訪問(wèn)源代碼的法律協(xié)議。應(yīng)用的程序源代碼是一個(gè)信任的按合同辦事的第三方提供。這項(xiàng)協(xié)議在軟件供應(yīng)商倒閉的事件中是必需的，與客戶或軟件供應(yīng)商有合同糾紛而且沒(méi)有作為一個(gè)軟件許可協(xié)議中承諾的維持軟件更新。其它選項(xiàng)是不正確的，因?yàn)樵L問(wèn)的其他情形的軟件應(yīng)該由一個(gè)內(nèi)部管理的軟件庫(kù)提供的。點(diǎn)評(píng)：第三方軟件托管的概念[單選題]70.當(dāng)多功能打印機(jī)設(shè)備送往異地進(jìn)行維護(hù)時(shí)，以下哪-項(xiàng)會(huì)使信息系統(tǒng)審計(jì)師的最大顧慮?A)維護(hù)期間對(duì)業(yè)務(wù)的影響B(tài))打印件必須重新定向到另一個(gè)部門C)維護(hù)成本超出設(shè)備的價(jià)值D)內(nèi)存不能自動(dòng)清除答案:D解析:[單選題]71.由公認(rèn)的組織認(rèn)證企業(yè)的公鑰是必要的，因?yàn)椋緼)向公眾提供的密鑰可能已經(jīng)被取消B)每個(gè)人都可以訪問(wèn)企業(yè)的公鑰C)企業(yè)的私鑰是不公開(kāi)的D)企業(yè)公鑰可能不與被使用的私鑰關(guān)聯(lián)答案:A解析:從發(fā)行者那了解公鑰的核心目的不僅是確認(rèn)真實(shí)性而且確認(rèn)公鑰的流通性。所有相關(guān)利益團(tuán)體訪問(wèn)公鑰不能改變一個(gè)事實(shí)，即保證公鑰的流通性的必要目標(biāo)。選項(xiàng)C.與獲取公鑰認(rèn)證是無(wú)關(guān)的，公鑰和私鑰必須是相關(guān)聯(lián)的。[單選題]72.以下哪項(xiàng)是最佳的訪問(wèn)控制步驟？A)數(shù)據(jù)所有者正式授權(quán)訪問(wèn)，然后由管理員實(shí)施用戶授權(quán)。B)授權(quán)的員工實(shí)施用戶授權(quán)表，然后由數(shù)據(jù)所有者批準(zhǔn)這些表。C)數(shù)據(jù)所有者和IS經(jīng)理共同創(chuàng)建并更新用戶授權(quán)表。D)數(shù)據(jù)所有者創(chuàng)建更新用戶授權(quán)表。答案:A解析:數(shù)據(jù)所有者擁有正式建立訪問(wèn)權(quán)限的權(quán)利和責(zé)任。然后應(yīng)由IS管理員實(shí)施或更新用戶授權(quán)表。選項(xiàng)B顛倒了合理的順序。選項(xiàng)C不是授權(quán)訪問(wèn)的正式過(guò)程。[單選題]73.檢測(cè)來(lái)自用戶工作站的未授權(quán)輸入的信息最好通過(guò)哪種方式A)控制臺(tái)日志打印輸出。B)交易日志。C)自動(dòng)暫記文件列表。D)用戶錯(cuò)誤報(bào)告。答案:B解析:A.控制臺(tái)日志打印輸出不是最佳方法，因?yàn)槠洳粫?huì)記錄來(lái)自特定終端的活動(dòng)。B.交易日志會(huì)記錄所有交易活動(dòng)，然后可將交易日志與經(jīng)授權(quán)的源文檔進(jìn)行比較，以識(shí)別任何未授權(quán)輸入。C.自動(dòng)暫記文件列表只列出有編輯錯(cuò)誤的交易活動(dòng)。D.用戶錯(cuò)誤報(bào)告只列出導(dǎo)致編輯錯(cuò)誤的輸入，不會(huì)記錄錯(cuò)誤的用戶輸入[單選題]74.實(shí)施安全計(jì)劃作為安全管理框架的一部分，其主要優(yōu)點(diǎn)是？A)校對(duì)有信息系統(tǒng)審計(jì)建議的IT活動(dòng)B)強(qiáng)制安全風(fēng)險(xiǎn)管理C)實(shí)施首席信息安全官CISO的建議D)降低IT安全的成本答案:B解析:實(shí)施安全計(jì)劃的主要優(yōu)點(diǎn)是管理層的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)減少到適當(dāng)水平，和剩余風(fēng)險(xiǎn)的監(jiān)測(cè)。理想的信息系統(tǒng)審計(jì)師的目標(biāo)和CISO通常是包含在一個(gè)安全的計(jì)劃之內(nèi)，但他們不會(huì)是主要的benefit。IT安全成本可能會(huì)或可能不會(huì)減少。[單選題]75.被審計(jì)的業(yè)務(wù)部門的經(jīng)理?yè)?dān)憂，外部信息系統(tǒng)審計(jì)師提出的詢問(wèn)超出審計(jì)范圍。以下哪一項(xiàng)資源最有助于確定擔(dān)憂是否有根據(jù)？A)風(fēng)險(xiǎn)評(píng)估結(jié)果B)審計(jì)章程C)審計(jì)測(cè)試計(jì)劃D)工作說(shuō)明答案:D解析:[單選題]76.在審核某業(yè)務(wù)流程再造（BPR）項(xiàng)目時(shí)，以下審計(jì)人員要評(píng)價(jià)的項(xiàng)目中哪一項(xiàng)最重要？A)被撤銷控制的影響B(tài))新控制的成本C)BPR項(xiàng)目計(jì)劃D)持續(xù)改進(jìn)和監(jiān)控計(jì)劃答案:A解析:[單選題]77.已就網(wǎng)絡(luò)子網(wǎng)中爆發(fā)病毒通知事件響應(yīng)團(tuán)隊(duì)。以下哪一項(xiàng)應(yīng)是下一個(gè)步驟？A)刪除并系統(tǒng)恢復(fù)受到影響的系統(tǒng)B)把事故記錄下來(lái)C)集中精力將損害限制在有限范圍內(nèi)D)檢驗(yàn)受到損害的系統(tǒng)功能是否完好答案:C解析:[單選題]78.以下哪一項(xiàng)能最好地證明IT戰(zhàn)略委員會(huì)的有效性?A)IT戰(zhàn)略委員會(huì)章程B)IT戰(zhàn)略委員會(huì)會(huì)議紀(jì)要C)IT活動(dòng)與企業(yè)目標(biāo)相符D)業(yè)務(wù)部門滿意度調(diào)查結(jié)果答案:C解析:[單選題]79.一個(gè)公司正在執(zhí)行動(dòng)態(tài)主機(jī)設(shè)置協(xié)議。鑒于下列境況存在，哪個(gè)是最擔(dān)心的？A)大多數(shù)雇員用便攜式電腦B)一個(gè)包過(guò)濾防火墻被使用C)IT地址空間少于電腦數(shù)量D)網(wǎng)絡(luò)端口的訪問(wèn)沒(méi)有被限制答案:D解析:給予一個(gè)物理地址訪問(wèn)端口，任何人都能直接連接內(nèi)網(wǎng)，其他的選項(xiàng)不能暴漏訪問(wèn)一個(gè)端口的風(fēng)險(xiǎn)。動(dòng)態(tài)主機(jī)配置協(xié)議能方便便攜式用戶使用。共享IT地址和防火墻的存在時(shí)安全措施。點(diǎn)評(píng)：網(wǎng)絡(luò)端口的訪問(wèn)沒(méi)有限制，使用DHCP協(xié)議，任何人都可以接入內(nèi)部網(wǎng)絡(luò)，風(fēng)險(xiǎn)最大[單選題]80.在計(jì)劃黑箱滲透測(cè)試時(shí)，最重要的成功因素是:A)已計(jì)劃的測(cè)試程序的文檔。B)真實(shí)評(píng)環(huán)境架構(gòu)以確定范圍。C)為客戶組織的管理人員所了解。D)安排并確定測(cè)試的時(shí)長(zhǎng)。答案:C解析:A.滲透測(cè)試應(yīng)仔細(xì)計(jì)劃和執(zhí)行，但最重要的是得到適當(dāng)?shù)呐鷾?zhǔn)。B.在黑箱滲透測(cè)試中，進(jìn)行測(cè)試的組織不了解測(cè)試環(huán)境。C.黑箱滲透試假定事先對(duì)待測(cè)試的基礎(chǔ)架構(gòu)并不了解。測(cè)試人員模擬不熟悉系統(tǒng)的人員發(fā)起的攻擊。管理人員知道測(cè)試流程非常重要，以便在監(jiān)控系統(tǒng)識(shí)別出該測(cè)試時(shí)，可快速確定操作的合法性。D.測(cè)試的安排必須使影響重要操作的風(fēng)險(xiǎn)減到最小;但這是與組織的管理層合作的內(nèi)容。[單選題]81.以下哪項(xiàng)環(huán)境控制措施可以在發(fā)生短時(shí)電力減弱時(shí)提供保護(hù)？A)電路調(diào)節(jié)器B)防浪涌設(shè)備C)冗余電源D)不間斷電源答案:A解析:電路調(diào)節(jié)器是用來(lái)補(bǔ)償供電峰谷和降低機(jī)器所需的峰值，在設(shè)備中存儲(chǔ)的電源能去除電源谷值。浪涌保護(hù)設(shè)備保護(hù)受到突然的高電壓的沖擊。冗余電源、UPS不間斷電源當(dāng)交流電源不能供電時(shí)是為設(shè)備運(yùn)行較長(zhǎng)時(shí)間的提供電源補(bǔ)償。電源故障產(chǎn)生電源中斷將導(dǎo)致設(shè)備宕機(jī)。[單選題]82.一個(gè)IS審計(jì)師正為一個(gè)老客戶制定審計(jì)計(jì)劃。該審計(jì)師檢查了一上午的審計(jì)計(jì)劃，并發(fā)現(xiàn)之前的被用來(lái)檢查該該公司網(wǎng)絡(luò)和電子郵件系統(tǒng)是上一年新使用的，但是該計(jì)劃并沒(méi)有包括對(duì)電子商務(wù)web服務(wù)器的檢查。公司的IT經(jīng)理暗示今年該公司偏向集中審計(jì)新應(yīng)用的企業(yè)資源計(jì)劃（ERP）系統(tǒng)，該IS審計(jì)系統(tǒng)應(yīng)當(dāng)如何反應(yīng)？A)如IT經(jīng)理所請(qǐng)求的，審計(jì)新ERP應(yīng)用B)審計(jì)電子商務(wù)服務(wù)器，因?yàn)樗ツ隂](méi)有被審計(jì)C)確定風(fēng)險(xiǎn)最高的系統(tǒng)，并基于該結(jié)果制定審計(jì)計(jì)劃D)既審計(jì)電子商務(wù)服務(wù)器也審計(jì)ERP應(yīng)用答案:C解析:最好的行動(dòng)方案是進(jìn)行一項(xiàng)風(fēng)險(xiǎn)評(píng)估，并修訂審計(jì)計(jì)劃以涵蓋高風(fēng)險(xiǎn)的領(lǐng)域，ISACA審計(jì)標(biāo)準(zhǔn)S11（在審計(jì)計(jì)劃中應(yīng)用風(fēng)險(xiǎn)評(píng)估），子標(biāo)準(zhǔn)S03規(guī)定：?在制定整體IS審計(jì)計(jì)劃以及為有效分配IS審計(jì)資源而確定優(yōu)先級(jí)時(shí)，IS審計(jì)師應(yīng)該采用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估技術(shù)或方法?。審計(jì)師不能依賴上一年的審計(jì)計(jì)劃因?yàn)樗赡軟](méi)有被設(shè)計(jì)來(lái)反應(yīng)基于風(fēng)險(xiǎn)的方法（最新的系統(tǒng)并不一定是具有最高風(fēng)險(xiǎn)的系統(tǒng)）。審計(jì)師的ERP應(yīng)該沒(méi)有反應(yīng)基于風(fēng)險(xiǎn)的方法因此不是正確答案。盡管ERP系統(tǒng)典型的包含敏感數(shù)據(jù)并可能出現(xiàn)數(shù)據(jù)丟失或泄漏的風(fēng)險(xiǎn)，沒(méi)有風(fēng)險(xiǎn)評(píng)估，則審計(jì)ERP系統(tǒng)的決定即不急于風(fēng)險(xiǎn)的決定。由于其前一年沒(méi)有被審計(jì)而審計(jì)電子商務(wù)服務(wù)器沒(méi)有反應(yīng)基于風(fēng)險(xiǎn)的方法，因此不是正確答案。另外IT經(jīng)理可能清楚電子商務(wù)服務(wù)器的問(wèn)題并可能故意試圖將審計(jì)員從更脆弱的領(lǐng)域引開(kāi)。盡管盡管乍一看電子商務(wù)服務(wù)器可能是風(fēng)險(xiǎn)最高的領(lǐng)域，也必須進(jìn)行風(fēng)險(xiǎn)評(píng)估而不能依賴于審計(jì)師或IT經(jīng)理的判斷。審計(jì)電子商務(wù)服務(wù)器又審計(jì)ERP應(yīng)用并沒(méi)反應(yīng)基于風(fēng)險(xiǎn)的方法，因此這并不是正確答案。點(diǎn)評(píng)：基于風(fēng)險(xiǎn)來(lái)確定審計(jì)的目標(biāo)和范圍[單選題]83.某零售企業(yè)的每個(gè)出口自動(dòng)到銷售定單進(jìn)行順序編號(hào)。小額定單直接在出口處理，而大額定單則送往中心生產(chǎn)機(jī)構(gòu)。保證所有送往生產(chǎn)機(jī)構(gòu)的定單都被接收和處理的最適當(dāng)?shù)目刂剖牵篈)發(fā)送并對(duì)賬交易數(shù)及總計(jì)B)將資料送回本地進(jìn)行比較C)利用奇偶檢查來(lái)比較資料D)在生產(chǎn)機(jī)構(gòu)對(duì)銷售定單的編號(hào)順序進(jìn)行追蹤和計(jì)算答案:A解析:[單選題]84.公司的web服務(wù)器上安裝了防火墻,防火墻可以防止下列哪個(gè)問(wèn)題的發(fā)生?A)內(nèi)部用戶未經(jīng)授權(quán)修改信息B)外界獲取信息C)信息可用性D)連接internet答案:B解析:[單選題]85.以下哪一項(xiàng)是原型設(shè)計(jì)的優(yōu)點(diǎn)?A)成品系統(tǒng)通常具有強(qiáng)大的內(nèi)部控制。B)原型系統(tǒng)能夠顯著地節(jié)省時(shí)間和成本。C)原型系統(tǒng)的變更控制通常較為簡(jiǎn)單。D)原型設(shè)計(jì)可確保功能或附加物不會(huì)被添加到指定系統(tǒng)。答案:B解析:A.原型設(shè)計(jì)的內(nèi)部控制一般較弱，因?yàn)槠渲攸c(diǎn)主要是功能性而非安全性。B.原型系統(tǒng)通過(guò)更好的用戶交互和快速適應(yīng)不斷變化的需要的能力，能夠顯著地節(jié)省時(shí)間和成本;但也有幾個(gè)不足，包括失去總體安全重點(diǎn)、項(xiàng)目監(jiān)督和尚未準(zhǔn)備好生產(chǎn)的原型實(shí)施。C.原型設(shè)計(jì)的變更控制要復(fù)雜得多。D.原型設(shè)計(jì)通常導(dǎo)致原本沒(méi)有打算添加的功能或附加物被添加到系統(tǒng)中[單選題]86.在電子商務(wù)環(huán)境中，能夠最大限度減少通訊故障風(fēng)險(xiǎn)的最佳方法是：A)使用數(shù)據(jù)包過(guò)濾防火墻來(lái)轉(zhuǎn)送消息。B)使用壓縮軟件縮短傳輸時(shí)間。C)功能或消息確認(rèn)。D)使用更替路由或多重路由。答案:D解析:[單選題]87.IS審計(jì)師發(fā)現(xiàn)系統(tǒng)開(kāi)發(fā)模式下，有12個(gè)鏈接塊且每條記錄帶有10個(gè)可定義屬性的字段。系統(tǒng)一年處理幾百萬(wàn)條事務(wù)，IS審計(jì)師可以使用以下哪種技術(shù)來(lái)評(píng)價(jià)開(kāi)發(fā)工作的大?。緼)項(xiàng)目評(píng)審技術(shù)B)源代碼系統(tǒng)C)功能點(diǎn)分析D)白盒測(cè)試答案:C解析:功能點(diǎn)分析是一種通過(guò)考慮輸入，輸出和文件的數(shù)目和復(fù)雜性間接測(cè)量應(yīng)用程序大小的方法。它用于評(píng)估復(fù)雜的項(xiàng)目。項(xiàng)目評(píng)審技術(shù)是管理技術(shù)有助于項(xiàng)目規(guī)劃和控制。源代碼統(tǒng)計(jì)給予一個(gè)程序大小的直接測(cè)量，但不允許產(chǎn)生有重復(fù)的鏈接模塊的和各種各樣的輸入和輸出地復(fù)雜度。白盒測(cè)試包括詳細(xì)的程序代碼行為檢查，也是適合于簡(jiǎn)單應(yīng)用程序設(shè)計(jì)和開(kāi)發(fā)建立階段的質(zhì)量保證技術(shù)。點(diǎn)評(píng)：項(xiàng)目規(guī)模估算技術(shù)--FPA、SLOC[單選題]88.循環(huán)冗余檢查(CRC)通常用于確定:A)數(shù)據(jù)輸入的準(zhǔn)確性。B)所下載程序的完整性。C)加密的充分性。D)數(shù)據(jù)傳輸?shù)挠行?。答?D解析:A.數(shù)據(jù)輸入的準(zhǔn)確性可以通過(guò)數(shù)據(jù)驗(yàn)證控制(例如選擇列表、交叉檢查、合理性檢查、總數(shù)核對(duì)控制、允許的字符檢查等)來(lái)實(shí)現(xiàn)。B.校驗(yàn)或數(shù)字簽名是通常用于驗(yàn)證所下載程序或其他所傳輸數(shù)據(jù)的完整性。C.加密的充分性取決于要保護(hù)數(shù)據(jù)的敏感度以及決定用多長(zhǎng)時(shí)間才能破解特定加密方法的算法。D.數(shù)據(jù)傳輸塊(例如從硬盤傳輸?shù)臄?shù)據(jù))的準(zhǔn)確性由循環(huán)冗余檢查(CRC)驗(yàn)證。[單選題]89.某位曾參與過(guò)組織業(yè)務(wù)連續(xù)性計(jì)劃(BCP)設(shè)計(jì)的IS審計(jì)師被指派審計(jì)該計(jì)劃。IS審計(jì)師應(yīng)A)拒絕接受任務(wù)。B)完成審計(jì)任務(wù)后通知管理人員可能存在利益沖突。C)開(kāi)始執(zhí)行任務(wù)前通知BCP團(tuán)隊(duì)可能存在利益沖突。D)開(kāi)始執(zhí)行任務(wù)前通知審計(jì)管理部門可能存在利益沖突。答案:D解析:A.只有經(jīng)過(guò)管理層批準(zhǔn)，或向管理部門、計(jì)管理部門或其他利益相關(guān)方披露之后，才可以拒絕接受任務(wù)。B.應(yīng)在開(kāi)始執(zhí)行任務(wù)前獲得批準(zhǔn)，而不是在完成任務(wù)后。C.開(kāi)始執(zhí)行任務(wù)前通知BCP團(tuán)隊(duì)可能存在利益沖突不正確，原因是BCP團(tuán)隊(duì)無(wú)權(quán)決定此類事宜。D.潛在利益沖突有可能影響IS審計(jì)師的獨(dú)立性，應(yīng)在開(kāi)始執(zhí)行任務(wù)之前就提請(qǐng)管理人員注意。[單選題]90.下列哪些組件，在入侵檢測(cè)系統(tǒng)（ID、S）中負(fù)責(zé)收集數(shù)據(jù)？A)分析器B)管理控制臺(tái)C)用戶界面D)傳感器答案:A解析:傳感器負(fù)責(zé)收集數(shù)據(jù)。分析儀接收來(lái)自傳感器的輸入，并確定活動(dòng)的侵?jǐn)_。一個(gè)管理控制臺(tái)和用戶界面是ID、S的組成部分。[單選題]91.某IS審計(jì)師建議于信用卡交易獲取應(yīng)用程序中加入初始驗(yàn)證控制。該初始驗(yàn)證過(guò)程最有可能:A)檢查并確保交易類型適用于信用卡類型。B)檢查所輸入數(shù)字的格式并在數(shù)據(jù)庫(kù)中將其定位。C)確保輸入的交易不超出持卡人的信用額度。D)確認(rèn)信用卡未在主文件中顯示為丟失或被盜。答案:B解析:A.初始驗(yàn)證不會(huì)被用于檢查交易類型只會(huì)檢查卡號(hào)的有效性。B.