CISA考試練習(xí)(習(xí)題卷26)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷26)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.在部署風(fēng)險(xiǎn)管理程序的時(shí)候，下列哪一項(xiàng)應(yīng)該被最先考慮到:A)組織的威脅，弱點(diǎn)和風(fēng)險(xiǎn)概貌的理解B)揭露風(fēng)險(xiǎn)的理解和妥協(xié)的潛在后果C)基于潛在結(jié)果的風(fēng)險(xiǎn)管理優(yōu)先級(jí)的決心D)風(fēng)險(xiǎn)緩解戰(zhàn)略足夠使風(fēng)險(xiǎn)的結(jié)果保持在一個(gè)可以接受的水平上答案:A解析:實(shí)施風(fēng)險(xiǎn)管理，作為有效的信息安全治理的成果之一，第一步是要取得組織的威脅、脆弱性和風(fēng)險(xiǎn)概貌的整體認(rèn)識(shí)?；谶@一點(diǎn)，一個(gè)風(fēng)險(xiǎn)揭示和潛在妥協(xié)結(jié)果可能被決定。建立在潛在的后果基礎(chǔ)上的風(fēng)險(xiǎn)管理優(yōu)先項(xiàng)目然后可能得到發(fā)展；這將提供一個(gè)基礎(chǔ)，為制定戰(zhàn)略，減輕風(fēng)險(xiǎn)，足夠地使后果同風(fēng)險(xiǎn)保持在一個(gè)在可接受的水平。[單選題]2.在某組織中對(duì)軟件開發(fā)實(shí)務(wù)進(jìn)行評(píng)估期間，IS審計(jì)師注意到質(zhì)量保證(QA)職能部門向項(xiàng)目管理人員匯報(bào)。IS審計(jì)師最關(guān)心的問題是:A)QA職能的有效性，因?yàn)镼A職能應(yīng)是項(xiàng)目管理和用戶管理間的橋梁。B)QA職能的效率，因?yàn)镼A職能部門應(yīng)與項(xiàng)目實(shí)施團(tuán)隊(duì)進(jìn)行交互。C)項(xiàng)目經(jīng)理的有效性，因?yàn)轫?xiàng)目經(jīng)理應(yīng)與QA職能部門進(jìn)行交互。D)項(xiàng)目經(jīng)理的效率，因?yàn)樵換A職能部門需要與項(xiàng)目實(shí)施團(tuán)隊(duì)進(jìn)行溝通。答案:A解析:A.要有效工作，質(zhì)量保證(QA)職能部門應(yīng)該獨(dú)立于項(xiàng)目管理人員來開展工作。否則，項(xiàng)目管理人員可能對(duì)QA職能部門施壓以批準(zhǔn)不合格的產(chǎn)品B.QA職能的效率不會(huì)因?yàn)榕c項(xiàng)目實(shí)施團(tuán)隊(duì)進(jìn)行交互而受影響。QA團(tuán)隊(duì)在產(chǎn)品符合QA要求前不能發(fā)布產(chǎn)品用于實(shí)施C.項(xiàng)目經(jīng)理會(huì)響應(yīng)QA團(tuán)隊(duì)提出的問題。這不會(huì)影響項(xiàng)目經(jīng)理的有效性。D.QA職能部門與項(xiàng)目實(shí)施團(tuán)隊(duì)的交互不應(yīng)影響項(xiàng)目經(jīng)理的效率。[單選題]3.在互聯(lián)網(wǎng)協(xié)議安全中，以下哪項(xiàng)提供了首要的數(shù)據(jù)保護(hù)？A)語義網(wǎng)B)封裝安全負(fù)載C)頭驗(yàn)證（AH）D)數(shù)字簽名答案:B解析:互聯(lián)網(wǎng)協(xié)議安全工作是基于兩個(gè)數(shù)據(jù)包ESP和AH。為了保護(hù)數(shù)據(jù)ESP加密數(shù)據(jù)并且存儲(chǔ)他們?cè)谝粋€(gè)封裝安全負(fù)載包組件中。AH管理驗(yàn)證過程，不是數(shù)據(jù)的安全。語義網(wǎng)是人工智能的一部分并且對(duì)數(shù)據(jù)保護(hù)沒有幫助。數(shù)字簽名不被使用在互聯(lián)網(wǎng)協(xié)議安全中也不提供數(shù)據(jù)保護(hù)。[單選題]4.某IS審計(jì)師正在為某大型跨國公司審應(yīng)用變更管理流程，他最擔(dān)心發(fā)生以下哪種情況?A)測試系統(tǒng)的運(yùn)行配置與生產(chǎn)系統(tǒng)不一樣。B)變更管理記錄為紙質(zhì)記錄。C)配置管理數(shù)據(jù)庫未經(jīng)維護(hù)。D)測試環(huán)境安裝在生產(chǎn)服務(wù)器上。答案:C解析:A.盡管生產(chǎn)和測試系統(tǒng)最好采用相同的配置，但不這樣做可能是有原因的。更重要的問題是，配置管理數(shù)據(jù)庫是否得到維護(hù)。B.紙質(zhì)變更管理記錄難以進(jìn)行大批量維護(hù)，并且不容易審查:但從控制的角度來說，只要得到適當(dāng)和用心的維護(hù)，它們并不會(huì)帶來問題。C.配置管理數(shù)據(jù)庫(CMDB)用于跟蹤配置項(xiàng)(C)及其相互之間的依賴關(guān)系。大型跨國公司中的CMDB如果過時(shí)，可能導(dǎo)致獲得錯(cuò)誤的批準(zhǔn)，或在測試階漏關(guān)鍵的依賴關(guān)系。D.盡管將測試環(huán)境安裝在生產(chǎn)服務(wù)器上不太理想，但這種擔(dān)心與控制無關(guān)只要測試環(huán)境和生產(chǎn)環(huán)境保持隔離，則可以安裝在同一臺(tái)的物理服務(wù)器上[單選題]5.以下哪一種環(huán)境控制可以保護(hù)計(jì)算機(jī)設(shè)備免受電力短期降低的影響?A)電源線調(diào)節(jié)器B)電涌保護(hù)設(shè)備C)備用電源D)間斷電源答案:A解析:A.電源線調(diào)節(jié)器可用于彌補(bǔ)電力供應(yīng)的高峰和低谷，并將電力流量的峰值小至機(jī)器所需的值。該設(shè)備中存儲(chǔ)的電力可以消除谷值B.電涌保護(hù)設(shè)備用于防御高壓脈沖C.備用電源的目的是用于較長時(shí)間的斷電，通常與不間斷電源(UPS)等其他設(shè)備一起補(bǔ)償電力損失，直至供電恢復(fù)。D.無論何時(shí)發(fā)生電源故障，間斷電源都會(huì)導(dǎo)致設(shè)備無法使用。[單選題]6.應(yīng)該仔細(xì)監(jiān)控打印服務(wù)器的離線打印緩存，以確保控制和預(yù)防對(duì)敏感信息的非授權(quán)訪問。下列哪項(xiàng)是審計(jì)師最關(guān)注的？【已經(jīng)理解】A)部分用戶擁有技術(shù)授權(quán)從打印緩存打印數(shù)據(jù)即使該用戶沒有被授權(quán)查看數(shù)據(jù)B)部分用戶擁有技術(shù)授權(quán)從打印緩存修改數(shù)據(jù)即使該用戶沒有被授權(quán)修改數(shù)據(jù)C)部分用戶擁有技術(shù)授權(quán)從打印緩存刪除作業(yè)即使該用戶沒有被授權(quán)刪除作業(yè)D)部分用戶擁有技術(shù)授權(quán)從打印緩存中斷作業(yè)即使該用戶沒有被授權(quán)創(chuàng)建、修改、查看打印作業(yè)的數(shù)據(jù)輸出答案:A解析:題目重點(diǎn)在訪問控制的機(jī)密性。打印機(jī)管理員的技術(shù)特權(quán)可以從打印緩存打印任務(wù)，及時(shí)用戶沒有打印輸出的授權(quán)。其它是信息完整性、可用性的潛在風(fēng)險(xiǎn)暴露。[單選題]7.可以保護(hù)數(shù)據(jù)管理員遵守企業(yè)數(shù)據(jù)管理工作職務(wù)的有效預(yù)防控制是哪個(gè)？A)異常報(bào)告B)職責(zé)分離C)檢查訪問日志和活動(dòng)D)管理監(jiān)督答案:B解析:適當(dāng)?shù)呢?zé)任隔離能夠約束數(shù)據(jù)管理員在數(shù)據(jù)所有者的授權(quán)下進(jìn)行活動(dòng)。異常報(bào)告是偵測型控制，被使用指示數(shù)據(jù)庫管理員什么時(shí)候執(zhí)行了未被授權(quán)的活動(dòng)偵測。檢查訪問日志是經(jīng)常被使用偵測數(shù)據(jù)庫管理員的活動(dòng)表現(xiàn)。數(shù)據(jù)庫管理員活動(dòng)的管理批準(zhǔn)是被使用偵測哪個(gè)活動(dòng)未經(jīng)授權(quán)。[單選題]8.信息系統(tǒng)審計(jì)員是被安全管理告知，病毒掃描程序是實(shí)時(shí)升級(jí)的。信息系統(tǒng)審計(jì)員確認(rèn)了病毒掃描程序是被配置為自動(dòng)升級(jí)。信息系統(tǒng)審計(jì)員下一步應(yīng)該確認(rèn)什么控制是有效的？A)與供應(yīng)商確認(rèn)最新版本的病毒定義模式B)檢查日志并且確認(rèn)病毒樣本是被更新的C)與安全管理員確認(rèn)最近一次升級(jí)的病毒樣本D)信息系統(tǒng)審計(jì)員已經(jīng)做了足夠的工作不需要進(jìn)一步的工作答案:A解析:信息系統(tǒng)審計(jì)員能使用額外提供的信息去確認(rèn)最近一次供應(yīng)商提供的病毒樣本是被病毒掃描程序自動(dòng)升級(jí)。檢查日志并且確認(rèn)病毒樣本是被更新僅暗示了更新是被執(zhí)行。病毒樣本的最后版本應(yīng)被及時(shí)裝載。從安全管理員處確認(rèn)最近一次升級(jí)的病毒樣本，信息是由內(nèi)部安全管理員提供的，它是沒有外部來源可靠地。檢查僅是指示出控制以被執(zhí)行，不是有效的操作。[單選題]9.一位保險(xiǎn)公司的IT主管邀請(qǐng)一名外部審計(jì)師評(píng)估應(yīng)急訪問用戶ID（火警ID）。IS審計(jì)師發(fā)現(xiàn)在授予火警賬戶時(shí)未事先定義到期日期。該IS審計(jì)師應(yīng)該建議以下哪個(gè)選項(xiàng)？A)審查訪問控制特權(quán)授權(quán)過程B)實(shí)施身份管理系統(tǒng)（IMS）C)改進(jìn)對(duì)敏感客戶數(shù)據(jù)更改進(jìn)行審計(jì)的流程D)僅將火警賬戶授予經(jīng)理答案:A解析:在此題中，IS審計(jì)師應(yīng)建議審查訪問控制管理流程。應(yīng)急系統(tǒng)管理級(jí)訪問權(quán)限僅應(yīng)根據(jù)需要授予，并且還應(yīng)事先定義到期日期。具有臨時(shí)特權(quán)的賬戶需要加強(qiáng)控制，以便對(duì)特權(quán)的使用壽命進(jìn)行限制，并且這些賬戶的使用情況也應(yīng)受到嚴(yán)密監(jiān)控。選項(xiàng)B不正確。盡管實(shí)施IMS也許能夠解決問題，但最劃算的方法還是先審查訪問特權(quán)。即使改進(jìn)了對(duì)敏感客戶數(shù)據(jù)更改進(jìn)行審計(jì)的流程（選項(xiàng)C），也無法防止這些賬戶遭到濫用，并且應(yīng)該在審查完過程后執(zhí)行此操作。將火警賬戶僅授予經(jīng)理（選項(xiàng)D）并不現(xiàn)實(shí)。[單選題]10.以下哪個(gè)數(shù)據(jù)校驗(yàn)編輯在檢測移位和抄錄錯(cuò)誤時(shí)，是有效的：A)范圍檢查B)校驗(yàn)數(shù)字位C)有效性檢查D)重復(fù)性檢查答案:B解析:校驗(yàn)數(shù)字位是一種通過數(shù)學(xué)計(jì)算加載在數(shù)據(jù)后面的數(shù)值確保原始數(shù)據(jù)不被修改，范圍檢查檢查數(shù)據(jù)是否在預(yù)先定義的范圍中。有效性檢查是通過程序檢查數(shù)據(jù)是否符合預(yù)先設(shè)定的標(biāo)準(zhǔn)。重復(fù)性檢查是確認(rèn)沒有重復(fù)輸入。點(diǎn)評(píng)：校驗(yàn)數(shù)位用于解決換位錯(cuò)誤和抄錄錯(cuò)誤[單選題]11.在審計(jì)風(fēng)險(xiǎn)管理程序中，下面那一項(xiàng)職責(zé)最有可能損害審計(jì)師的獨(dú)立性？A)參加風(fēng)險(xiǎn)管理框架的設(shè)計(jì)B)為不同的實(shí)施方法提供建議C)協(xié)助風(fēng)險(xiǎn)意識(shí)的培訓(xùn)D)對(duì)風(fēng)險(xiǎn)管理程序進(jìn)行盡職調(diào)查答案:A解析:參加設(shè)計(jì)風(fēng)險(xiǎn)管理框架將涉及控制設(shè)計(jì)，這將損害審計(jì)師審計(jì)風(fēng)險(xiǎn)管理程序的獨(dú)立性。為不同的實(shí)施方法提供建議并不損害審計(jì)師的獨(dú)立性，因?yàn)閷徲?jì)師并不參與決策過程。協(xié)助風(fēng)險(xiǎn)意識(shí)的培訓(xùn)不會(huì)損害審計(jì)師的獨(dú)立性因?yàn)閷徲?jì)師不參與決策過程。盡職調(diào)查（duediligence,又做?謹(jǐn)慎性、合理盡責(zé)?之類的解釋）是一種審計(jì)類型點(diǎn)評(píng)：動(dòng)腦子的活最影響?yīng)毩⑿訹單選題]12.以下哪種加密技術(shù)最能保護(hù)無線網(wǎng)絡(luò)免受中間人攻擊？A)128位有線對(duì)等保密（WEP）B)基于介質(zhì)訪問控制（基于MAC）的預(yù)共享密鑰（PSK）C)隨機(jī)生成的預(yù)共享密鑰（PSK）D)字母數(shù)字的服務(wù)集標(biāo)識(shí)符（SSID）答案:C解析:隨機(jī)生成的PSK強(qiáng)于基于MAC的PSK，因?yàn)橛?jì)算機(jī)的MAC地址是固定的并且通?？梢栽L問。WEP已經(jīng)證明是非常弱的加密技術(shù)，幾分鐘內(nèi)就可以被破解。SSID是無線網(wǎng)絡(luò)上明文形式的廣播。[單選題]13.在與多個(gè)外部系統(tǒng)連接的第三方應(yīng)用程序中發(fā)現(xiàn)安全漏洞后，對(duì)大量模塊應(yīng)用了修補(bǔ)程序。IS審計(jì)師應(yīng)建議執(zhí)行以下哪項(xiàng)測試?A)壓力測試B)黑盒測試C)接口測試D)系統(tǒng)測試答案:D解析:A.壓力測試與容量和可用發(fā)生有關(guān)，不適用于本題的情形B.黑盒測試按單個(gè)模塊進(jìn)行，但因?yàn)槎鄠€(gè)模塊發(fā)生了改變，需要對(duì)整個(gè)系統(tǒng)進(jìn)行測試C.接口測試會(huì)測試與外部系統(tǒng)的交互操作，但不能驗(yàn)證改變后系統(tǒng)的性能。D.鑒于修補(bǔ)程序及其與外部系統(tǒng)的連接的廣泛性，系統(tǒng)測試最為適合。系統(tǒng)測試會(huì)測試所有功能和模塊間的接口。[單選題]14.審計(jì)師尋求確保信息技術(shù)被有效率地使用以支持組織愿景和目標(biāo)，保障信息的機(jī)密性、完整性和可用性。下列哪種流程最好地支持這個(gè)目標(biāo)？A)網(wǎng)絡(luò)監(jiān)控。B)系統(tǒng)監(jiān)控。C)人員監(jiān)控。D)能力計(jì)劃和管理。答案:D解析:計(jì)算機(jī)資源應(yīng)該被仔細(xì)地監(jiān)控匹配利用率需求和恰當(dāng)?shù)馁Y源能力水平。能力計(jì)劃和管理依賴網(wǎng)絡(luò)、系統(tǒng)、人員監(jiān)控以確保滿足組織愿景和目標(biāo)和信息的機(jī)密性、完整性和可用性。[單選題]15.當(dāng)制定風(fēng)險(xiǎn)管理方案，首先要執(zhí)行的活動(dòng)是什么？A)威脅評(píng)估B)分類數(shù)據(jù)C)資產(chǎn)清單D)緊急性分析答案:C解析:對(duì)所要保護(hù)的資產(chǎn)進(jìn)行鑒定是風(fēng)險(xiǎn)管理計(jì)劃的第一步，清單中的威脅是指會(huì)影響這些資產(chǎn)的效能以及危險(xiǎn)性分析是這個(gè)流程的下一個(gè)步驟。要求數(shù)據(jù)分類是為了數(shù)據(jù)定義訪問控制和威脅分析。[單選題]16.下面哪一項(xiàng)保護(hù)措施對(duì)于確保信息處理設(shè)施內(nèi)的軟件和數(shù)據(jù)安全是最重要的？A)安全意識(shí)B)翻閱安全策略C)安全委員會(huì)D)邏輯訪問控制答案:D解析:保持一種競爭優(yōu)勢并且滿足基本的企業(yè)需求，組織必須保證儲(chǔ)存在他們的計(jì)算機(jī)系統(tǒng)中的信息的完整性，保護(hù)敏感數(shù)據(jù)的機(jī)密性，并且保證他們的信息系統(tǒng)的持續(xù)的可用性。為了滿足這些目標(biāo)，邏輯訪問控制必須是適當(dāng)?shù)摹Ｒ庾R(shí)（選擇A）本身并沒有保護(hù)免遭未經(jīng)授權(quán)的訪問或信息泄密。信息系統(tǒng)安全策略方面的知識(shí)（選擇B），組織的雇員應(yīng)該是已知的，這將有助于保護(hù)信息，但不會(huì)防止未經(jīng)授權(quán)訪問信息。安全委員會(huì)（選擇C）對(duì)于保護(hù)信息資產(chǎn)是關(guān)鍵的，但會(huì)從一個(gè)更廣泛的角度處理安全問題。[單選題]17.某內(nèi)部審計(jì)職能部門正在審查為某個(gè)web應(yīng)用程序內(nèi)部開發(fā)的通用網(wǎng)關(guān)接口(CGI)腳本程序.IS審計(jì)師發(fā)現(xiàn)，該腳本程序未經(jīng)質(zhì)量控制職能部門審查和測試，以下哪種風(fēng)險(xiǎn)最值得關(guān)注?A)系統(tǒng)不可用B)惡意軟件暴露C)未經(jīng)授權(quán)的訪問D)系統(tǒng)完整性答案:C解析:A.盡管通用網(wǎng)關(guān)接口(CGI)未經(jīng)測試可能導(dǎo)致最終用戶web應(yīng)用程序受損，但不可能致使其他用戶無法使用系統(tǒng)。B.未經(jīng)測試的CGI腳本程序并不一定會(huì)導(dǎo)致暴露給惡意軟件。C.未經(jīng)測試的CGI可能具有安全弱點(diǎn)，由于CGI通常在面向公眾開放的互聯(lián)網(wǎng)服務(wù)器上執(zhí)行，因此可能允許對(duì)專用系統(tǒng)的未授權(quán)訪問。D.盡管CGI未經(jīng)測試可能導(dǎo)致最終用戶web應(yīng)用程序受損，但不可能嚴(yán)重影響系統(tǒng)完整性。[單選題]18.柜員改變貸款主文件上的利率。在貸出業(yè)務(wù)中輸入利率在正常范圍以外，下面的控制是最有效地提供合理的保證該改變被授權(quán)？A)系統(tǒng)在得到經(jīng)理批準(zhǔn)并輸入一個(gè)批準(zhǔn)代碼前不處理改變的數(shù)據(jù)。B)系統(tǒng)生成周報(bào)告列出了所有的異常率和報(bào)告，由經(jīng)理審閱C)系統(tǒng)要求柜員輸入批準(zhǔn)的編碼D)系統(tǒng)顯示警告信息答案:A解析:選擇A可以防止或發(fā)現(xiàn)未經(jīng)授權(quán)的利率的使用。選擇B是事后檢查，未授權(quán)的匯率可能已經(jīng)發(fā)生。選擇C和D也不能阻止柜員使用未經(jīng)授權(quán)的利率調(diào)整。點(diǎn)評(píng)：預(yù)防性控制更有效[單選題]19.一個(gè)中等大小的組織，其IT災(zāi)難恢復(fù)已實(shí)施多年，并定期檢測，并剛剛開發(fā)了一個(gè)正式的業(yè)務(wù)連續(xù)性計(jì)劃（BCP）。一個(gè)基本的桌面BCP工作已經(jīng)順利完成。接下來信息系統(tǒng)審計(jì)師應(yīng)建議實(shí)施哪項(xiàng)策略？A)安全測試所有部門的應(yīng)急站點(diǎn)（BCP）是否適當(dāng)B)涉及的所有關(guān)鍵人員的一系列的預(yù)定義的場景穿行測試C)對(duì)業(yè)務(wù)部門的IT災(zāi)難恢復(fù)，進(jìn)行測試關(guān)鍵應(yīng)用D)有限IT投入情形下的業(yè)務(wù)功能測試答案:D解析:桌面工作已經(jīng)完成后，下一步輸功能測試，其中包括工作人員恢復(fù)的行政和組織功能。由于IT恢復(fù)的一部分已經(jīng)測試多年，在他會(huì)更有效的驗(yàn)證和優(yōu)化之前，實(shí)際上涉及一個(gè)全面測試BCP。完全測試在審查進(jìn)程之前，每年定期測試計(jì)劃進(jìn)入最后一步。全面的測試中所描述的可能會(huì)失敗，因?yàn)檫@是第一次，該計(jì)劃實(shí)際是運(yùn)行的情況，資源（包括IT）數(shù)目及時(shí)間的內(nèi)容，而不是驗(yàn)證其是否充分。應(yīng)用恢復(fù)應(yīng)始終驗(yàn)證和經(jīng)批準(zhǔn)，而不是純粹的IT驅(qū)動(dòng)。災(zāi)難恢復(fù)測試無助于驗(yàn)證BCP當(dāng)中和IT無關(guān)的行政的和組織性的部分。[單選題]20.IS審計(jì)師建議將一個(gè)初始確認(rèn)控制編程到貸記卡交易套息應(yīng)用程序中，初始確認(rèn)處理最可能為：A)檢查保證貸記卡類型對(duì)應(yīng)的交易類型有效。B)驗(yàn)證輸入號(hào)碼的格式屬數(shù)據(jù)庫中確定的范圍.C)確保輸入的交易額在持卡人的信用額度內(nèi)D)在主文件中驗(yàn)證該貸記卡沒有丟失或被盜答案:B解析:初始驗(yàn)證應(yīng)確認(rèn)是否卡是有效的。這種既定的有效性是通過卡號(hào)和用戶個(gè)人識(shí)別碼的輸入建立。在此基礎(chǔ)上初步審定，所有其他驗(yàn)證將繼續(xù)進(jìn)行。驗(yàn)證控制用以數(shù)據(jù)采集將確保輸入的數(shù)據(jù)是有效的(即，它可以被系統(tǒng)處理)。如果在初始驗(yàn)證中采集的數(shù)據(jù)沒有效，(如果卡碼或個(gè)人識(shí)別碼與數(shù)據(jù)庫不匹配),那這張卡片將被拒絕或在適當(dāng)監(jiān)管地方被收繳。一旦初始驗(yàn)證完成后，那卡和持卡人的其他驗(yàn)證將被執(zhí)行。[單選題]21.內(nèi)部審計(jì)部門,從組織結(jié)構(gòu)上向財(cái)務(wù)總監(jiān)而不是審計(jì)委員會(huì)報(bào)告,最有可能:A)導(dǎo)致對(duì)其審計(jì)獨(dú)立性的質(zhì)疑B)報(bào)告較多業(yè)務(wù)細(xì)節(jié)和相關(guān)發(fā)現(xiàn)C)加強(qiáng)了審計(jì)建議的執(zhí)行D)在建議中采取更對(duì)有效行動(dòng)答案:A解析:[單選題]22.如果一個(gè)數(shù)據(jù)庫采用前映像轉(zhuǎn)存儲(chǔ)數(shù)據(jù)，在中斷發(fā)生后程序應(yīng)該從哪開始（恢復(fù)）？A)最后一次交易之前。B)最后一次交易之后。C)最后一次檢查點(diǎn)后的第一次交易。D)最后一次檢查點(diǎn)后的最后一次交易。答案:A解析:如果使用前映像存儲(chǔ)技術(shù)，在轉(zhuǎn)存中斷之前轉(zhuǎn)儲(chǔ)的最后交易不會(huì)更新到數(shù)據(jù)庫。最后的交易也不會(huì)更新到數(shù)據(jù)庫且需重新處理。程序檢查點(diǎn)與這種情況不相關(guān)。[單選題]23.IT治理確保組織的IT戰(zhàn)略符合于：A)企業(yè)目標(biāo)B)IT目標(biāo)C)審計(jì)目標(biāo)D)控制目標(biāo)答案:A解析:[單選題]24.信息系統(tǒng)審計(jì)師審核的是一個(gè)組織的IT戰(zhàn)略計(jì)劃，首先應(yīng)該評(píng)審：A)現(xiàn)有的IT環(huán)境B)商業(yè)計(jì)劃C)目前的IT預(yù)算D)目前的技術(shù)趨勢答案:B解析:IT戰(zhàn)略計(jì)劃的存在是為了支持該組織的業(yè)務(wù)計(jì)劃。評(píng)估的IT戰(zhàn)略規(guī)劃，信息系統(tǒng)審計(jì)師首要做的。點(diǎn)評(píng)：業(yè)務(wù)戰(zhàn)略決定IT戰(zhàn)略[單選題]25.以下哪個(gè)選項(xiàng)是時(shí)間段管理的特征?A)不適用于原型設(shè)計(jì)或快速應(yīng)用開發(fā)(RAD)B)消除對(duì)質(zhì)量過程的需求C)防止成本超支和交付延遲D)分離系統(tǒng)和用戶驗(yàn)收測試答案:C解析:A.時(shí)間段管理非常適合原型設(shè)計(jì)和快速應(yīng)用開發(fā)(RAD)。B.時(shí)間段管理不排除對(duì)質(zhì)量過程的需求C.就本質(zhì)而言，時(shí)間段管理可以設(shè)置特定時(shí)間和成本范圍。在確保每個(gè)項(xiàng)目部分都被分為小的可控時(shí)間段的情況下，可以有效控制成本和交付時(shí)間。D.時(shí)間段管理綜合了系統(tǒng)和用戶驗(yàn)收測試。[單選題]26.以下哪項(xiàng)對(duì)于成功實(shí)施IT治理最為重要?A)實(shí)施IT記分卡B)確定組織戰(zhàn)略C)執(zhí)行風(fēng)險(xiǎn)評(píng)估D)制定正式的安全政策答案:B解析:A.記分卡是在良好治理基礎(chǔ)上實(shí)施計(jì)劃的一個(gè)優(yōu)秀工具，但實(shí)施治理的最重要因素是與組織戰(zhàn)的一致性。B.IT治理方案的主要目標(biāo)是對(duì)業(yè)務(wù)提供支持，因而，確定組織戰(zhàn)略對(duì)于確保IT與公司治理保持一致極為必要。如果不確定組織戰(zhàn)略，即使實(shí)施其余選項(xiàng)，也不會(huì)起作用。C.風(fēng)險(xiǎn)評(píng)估對(duì)于確保安全計(jì)劃關(guān)注最高風(fēng)險(xiǎn)領(lǐng)域很重要，但風(fēng)險(xiǎn)評(píng)估必須以組織戰(zhàn)略為基礎(chǔ)。D.政策是實(shí)施安全計(jì)劃的關(guān)鍵內(nèi)容，但政策卻必須以組織戰(zhàn)略為基礎(chǔ)。[單選題]27.在開發(fā)階段添加新的系統(tǒng)功能時(shí)，以下哪一項(xiàng)是與沒有遵循項(xiàng)目變更管理流程相關(guān)的主要風(fēng)險(xiǎn)?A)項(xiàng)目可能無法在規(guī)定期限完成B)項(xiàng)目可能超出預(yù)算C)尚未記錄添加的功能D)新功能可能不符合要求答案:D解析:[單選題]28.為了向用戶提供更強(qiáng)大的查詢功能，信息系統(tǒng)管理部門最近廢除了數(shù)據(jù)庫管理系統(tǒng)軟件中的某些引用完整性控制，下列哪一種控制最能有效的彌補(bǔ)引用完整性的不足?A)定期檢查表的連接B)并行訪問控制C)更頻繁的備份數(shù)據(jù)D)性能監(jiān)視工具答案:A解析:[單選題]29.一家組織使用軟件即服務(wù)（SaaS）操作模式實(shí)施了在線客戶服務(wù)臺(tái)應(yīng)用程序，當(dāng)涉及到可用性時(shí)，IS審計(jì)師需要建議最佳的控制措施，以監(jiān)控與SaaS供應(yīng)商簽訂的服務(wù)級(jí)別協(xié)議（SLA）以下那個(gè)選項(xiàng)是IS審計(jì)師可提供的最佳建議A)要求SaaS供應(yīng)商就應(yīng)用程序正常運(yùn)行時(shí)間提供每周報(bào)告B)實(shí)時(shí)在線輪詢工具，以監(jiān)控應(yīng)用程序并記錄中斷C)記錄用戶報(bào)告的全部應(yīng)用程序中斷，并每周加總中斷時(shí)間D)雇傭獨(dú)立的第三方，就應(yīng)用程序正常運(yùn)行時(shí)間提供每周報(bào)告答案:B解析:實(shí)施在線輪詢工具來監(jiān)控、記錄應(yīng)用程序中斷是組織監(jiān)控應(yīng)用程序可能性的最佳選擇。比較內(nèi)部報(bào)告與供應(yīng)商的SLA報(bào)告可確保供應(yīng)商SLA監(jiān)控的準(zhǔn)確性，且所有沖突得到妥善解決。應(yīng)用程序可用性的每周報(bào)告很有用，但這些報(bào)告只能代表供應(yīng)商的觀點(diǎn)。監(jiān)控這些報(bào)告時(shí)，組織可以提出自己對(duì)不準(zhǔn)確的擔(dān)憂；但是由于缺乏內(nèi)部監(jiān)控，此類擔(dān)憂無法得到證實(shí)。記錄用戶報(bào)告的中斷時(shí)間很有幫助，但是無法提供在線應(yīng)用程序全部中斷的真實(shí)情況，尤其在中斷時(shí)間間歇發(fā)生的情況下，某些中斷可能沒有報(bào)告。雇傭第三方實(shí)施可用性監(jiān)控的方法性價(jià)比不高，此外，這種做法還會(huì)導(dǎo)致監(jiān)控視線從SaaS供應(yīng)商轉(zhuǎn)向第三方。[單選題]30.下列哪一項(xiàng)是信息系統(tǒng)審計(jì)師在審查軟件許可證管理時(shí)主要考慮的問題？A)缺少軟件第三方托管協(xié)議B)沒有備用許可證供將來使用C)沒有當(dāng)前的軟件清單D)不使用站點(diǎn)許可證答案:C解析:[單選題]31.在即將實(shí)施前對(duì)項(xiàng)目進(jìn)行評(píng)估時(shí)，下列哪一項(xiàng)可提供表明系統(tǒng)具備所需功能的最佳證據(jù)？A)質(zhì)量保證結(jié)果B)用戶驗(yàn)收測試結(jié)果C)高級(jí)管理人員的簽核D)集成測試結(jié)果答案:B解析:[單選題]32.一個(gè)IS審計(jì)師發(fā)現(xiàn)，在一天的某段時(shí)間，數(shù)據(jù)倉庫的查詢性能顯著降低。下列哪個(gè)控制與IS審計(jì)師的檢查相關(guān)？A)提交表空間分配。B)提交和回滾控制。C)用戶池和數(shù)據(jù)庫限制控制。D)讀/寫訪問日志控制。答案:C解析:用戶池限制了可供用戶查詢的空間，這可以防止消耗過多系統(tǒng)資源的不良查詢和影響一般查詢的性能。在用戶自己的數(shù)據(jù)庫中限制他們的可用空間可以防止他們建立過大的數(shù)據(jù)表。這有助于控制空間的利用，本身也可以幫助保持存儲(chǔ)數(shù)據(jù)的實(shí)際物理設(shè)備的數(shù)量的容量緩沖性能。此外，它可以防止在建立專項(xiàng)表時(shí)消耗過多的資源（為了達(dá)到優(yōu)化性能的目的，違背預(yù)計(jì)生產(chǎn)負(fù)荷，經(jīng)常在夜間進(jìn)行）。在數(shù)據(jù)倉庫，因?yàn)槟銢]有運(yùn)行的網(wǎng)上交易，提交和回滾性能沒有影響。其他的選項(xiàng)不是這個(gè)性能問題的根本原因。[單選題]33.實(shí)施下面的哪個(gè)流程，可以幫助確保經(jīng)電子資料交換（EDI）的入站交易事務(wù)的完整性？A)資料片斷計(jì)數(shù)內(nèi)建到交易事務(wù)集的尾部B)記錄收到的消息編號(hào)，定期與交易發(fā)送方驗(yàn)證C)為記賬和跟蹤而設(shè)的電子審計(jì)軌跡D)已收到的確認(rèn)的交易事務(wù)與發(fā)送的EDI消息日志比較、匹配答案:A解析:[單選題]34.以下哪項(xiàng)能夠最好地緩解因?qū)⒒セ輩f(xié)議用作恢復(fù)備選方案而引發(fā)的風(fēng)險(xiǎn)?A)每年進(jìn)行一次災(zāi)難恢復(fù)演練。B)確保合作伙伴組織位于不同的地理位置。C)定期執(zhí)行業(yè)務(wù)影響分析(BLA)。D)選擇具有類似系統(tǒng)的合作伙伴組織。答案:B解析:A.災(zāi)難恢復(fù)演練雖然重要，但難以在互惠協(xié)議中執(zhí)行，更大的風(fēng)險(xiǎn)是地理位置上的靠近。B.如果兩個(gè)合作伙伴組織的地理位置非常接近，可能會(huì)導(dǎo)致雙方受相同環(huán)境災(zāi)難(例如地震)的影響。C.業(yè)務(wù)影響分析(BLA)可幫助兩個(gè)組織明確關(guān)鍵的應(yīng)用程序，但簽訂互惠協(xié)議時(shí)，分離性是更重要的考慮。D.選擇具有類似系統(tǒng)的合作伙伴組織的主意很好，但簽訂互惠協(xié)議時(shí)，分離性是更重要的考慮。[單選題]35.在對(duì)一個(gè)內(nèi)部開發(fā)的網(wǎng)上采購審批應(yīng)用程序進(jìn)行審計(jì)期間，IS審計(jì)師發(fā)現(xiàn)，所有的業(yè)務(wù)用戶共享同一訪問配置文件。以下哪一項(xiàng)是IS審計(jì)師應(yīng)在報(bào)告中提出的最重要的建議?A)確保記錄了所有的用戶活動(dòng)，且活動(dòng)日志由管理層進(jìn)行檢查。B)在應(yīng)用程序中制定額外的訪問配置文件，根據(jù)工作職責(zé)限制用戶訪問權(quán)限。C)確保存在相應(yīng)的政策來控制用戶在應(yīng)用程序中能夠執(zhí)行的活動(dòng)。D)確保實(shí)施虛擬私有網(wǎng)絡(luò)(VPN)讓用戶安全地登錄到該應(yīng)用程序。答案:B解析:A.日志是一種檢測性控制，一般是在因?yàn)榧夹g(shù)問題或成本原因不能實(shí)施預(yù)防性控制的情況下，退而求其次的建議。B.最強(qiáng)的控制是在整個(gè)系統(tǒng)內(nèi)的自動(dòng)化的預(yù)防性控制。編制額外的訪問配置文件能夠保證系統(tǒng)根據(jù)其工作職責(zé)來限制用戶特權(quán)，并且可以對(duì)用戶操作進(jìn)行審計(jì)追蹤。C.盡管執(zhí)行相應(yīng)的政策也是一種預(yù)防性控制措施，但它不如邏輯控制的功能強(qiáng)大，因?yàn)槠鋺?yīng)用和延續(xù)取決于人的行為。D.可以通過虛擬專用網(wǎng)(VPN)訪問實(shí)現(xiàn)對(duì)應(yīng)用程序的安全訪問。實(shí)施VPN可能不必要;但目前主要的問題是用戶共享同一用戶配置文件。[單選題]36.哪三件事情是在檢查操作系統(tǒng)安全時(shí)認(rèn)為是最重要的安全控制？I．來自信任源的代碼。II．打開審計(jì)日志。III．沒必要的服務(wù)被關(guān)掉。IV．缺省密碼被修改。V．系統(tǒng)管理員相對(duì)于其要做的工作來說沒有任何多余的訪問權(quán)限A)I,II,andIIIB)III,IV,andVC)I,III,andIVD)I,II,andIV答案:C解析:審計(jì)日志沒必要打開，它僅在于要監(jiān)視某個(gè)進(jìn)程時(shí)有效。系統(tǒng)管理員有極高的權(quán)限（跟root帳號(hào)一樣的權(quán)限），想對(duì)其權(quán)限進(jìn)行控制是費(fèi)力不討好的事情。[單選題]37.如果IS審計(jì)師與部門經(jīng)理對(duì)審計(jì)結(jié)果存在爭議，爭議期間審計(jì)師應(yīng)首先采取以下哪項(xiàng)行動(dòng)A)對(duì)控制進(jìn)行重新測試，以驗(yàn)證審計(jì)結(jié)果B)邀請(qǐng)第三方對(duì)審計(jì)結(jié)果進(jìn)行驗(yàn)證C)將審計(jì)結(jié)果記入報(bào)告，同時(shí)注明部門經(jīng)理的意見D)對(duì)支持審計(jì)結(jié)果的證據(jù)進(jìn)行重新驗(yàn)證答案:D解析:IS審計(jì)師得出的結(jié)論應(yīng)有充分的證據(jù)支持，同時(shí)也要考慮部門經(jīng)理提出的補(bǔ)償性控制或糾正措施。因此，首先要做的應(yīng)該是對(duì)審計(jì)結(jié)果的證據(jù)進(jìn)行重新驗(yàn)證。對(duì)控制進(jìn)行重新測試通常排在重新驗(yàn)證證據(jù)之后。盡管有時(shí)也需要第三方執(zhí)行特定的審計(jì)程序，但I(xiàn)S審計(jì)師還是應(yīng)該首先驗(yàn)證支持證據(jù)，已確定是否需要第三方的參與。再重新驗(yàn)證和重新測試之后，如果仍有爭議，應(yīng)將這些問題納入報(bào)告。點(diǎn)評(píng)：職業(yè)審慎，存在爭議時(shí)，先自省，而后升級(jí)問題[單選題]38.當(dāng)數(shù)據(jù)采用HTTPS協(xié)議進(jìn)行傳輸時(shí)，以下哪點(diǎn)最令人擔(dān)心A)傳輸雙方的PC、中存在間諜軟件B)嗅探軟件的使用C)RSA、加密算法的使用D)數(shù)據(jù)傳輸中使用對(duì)稱加密算法答案:A解析:SSL和TLS的加密技術(shù)應(yīng)用將使在傳輸過程中的數(shù)據(jù)截取很困難，但是當(dāng)雙方計(jì)算機(jī)中有間諜軟件存在時(shí)，信息將在被加密之前被搜集。其他的選項(xiàng)涉及了加密算法，但間諜軟件的存在將使信息在被加密之前被搜集。[單選題]39.為了幫助用戶成功測試和驗(yàn)收一個(gè)企業(yè)資源規(guī)劃（ERP）薪資管理系統(tǒng)，以替換現(xiàn)存舊版系統(tǒng)，下面哪種方法是最好的？A)多重測試B)并行測試C)集成測試D)原型測試答案:B解析:對(duì)于測試數(shù)據(jù)結(jié)果和系統(tǒng)行為，并行測試是一個(gè)最好的方法，因?yàn)樗试S用戶對(duì)比新舊系統(tǒng)的結(jié)果。并行測試有助于用戶接受新系統(tǒng)。多重測試不能比較來自新老系統(tǒng)的結(jié)果。集成測試是測試這個(gè)系統(tǒng)如何與其他系統(tǒng)交互，但這不是最終用戶要執(zhí)行的。原型測試并不比較新老系統(tǒng)的結(jié)果。點(diǎn)評(píng)：并行測試是用老系統(tǒng)驗(yàn)證新系統(tǒng)[單選題]40.在審計(jì)組織的IT治理框架和IT風(fēng)險(xiǎn)管理實(shí)務(wù)時(shí)，IS審計(jì)師發(fā)現(xiàn)一些與IT管理和治理角色相關(guān)的職責(zé)不明確。以下哪項(xiàng)建議最適用?A)審查IT與企業(yè)戰(zhàn)略的一致性。B)在組織內(nèi)實(shí)行問責(zé)制度。C)確保定期執(zhí)行獨(dú)立的信息系統(tǒng)審計(jì)。D)在組織中設(shè)立首席風(fēng)險(xiǎn)官CRO)職位答案:B解析:A.雖然IT與企業(yè)的戰(zhàn)略一致性很重要，但其與本例所述情況并無直接關(guān)系。B.IT風(fēng)險(xiǎn)的管理方法是將問責(zé)制度引入企業(yè)。IS審計(jì)師應(yīng)建議實(shí)行問責(zé)制度，以確保明確組織內(nèi)的所有責(zé)任。請(qǐng)注意，本題問的是最佳建議一而不是審計(jì)發(fā)現(xiàn)本身。C.如果不明確定義和實(shí)行問責(zé)制度，即使更頻繁地執(zhí)行IS審計(jì)也不會(huì)有幫助。D.如果不明確定義和實(shí)行問責(zé)制度，即使建議設(shè)立新職位(首席風(fēng)險(xiǎn)官)也不會(huì)有幫助。[單選題]41.某組織最近安裝的一個(gè)安全修補(bǔ)程序?qū)е律a(chǎn)服務(wù)器崩潰。為將此類事故再次發(fā)生的概率降至最低，IS審計(jì)師應(yīng)該:A)按照修補(bǔ)程序的發(fā)布說明應(yīng)用修補(bǔ)程序。B)確保具有完善的變更管理流程。C)將修補(bǔ)程序發(fā)給生產(chǎn)部門前對(duì)其進(jìn)行全面測試。D)完成風(fēng)險(xiǎn)評(píng)估后批準(zhǔn)使用修補(bǔ)程序答案:B解析:A.IS審計(jì)師不可應(yīng)用該補(bǔ)丁。這是管理員的責(zé)任。B.IS審計(jì)師必須審查變更管理流程(包括修補(bǔ)程序管理程序)，應(yīng)驗(yàn)證該過程是否具有充分的控制并相應(yīng)提出建議。C.測試補(bǔ)丁是開發(fā)或生產(chǎn)支持團(tuán)隊(duì)、而不是審計(jì)師的責(zé)任。D.IS審計(jì)師沒有批準(zhǔn)補(bǔ)丁的授權(quán)。這是督導(dǎo)委員會(huì)的責(zé)任。[單選題]42.信息安全方針描述了?密碼顯示必須用暗文或者禁止?，這一點(diǎn)防范了下列哪種攻擊方法A)尾隨B)在廢棄信息中挖掘機(jī)密信息C)肩窺D)假冒答案:C解析:如果密碼在屏幕上顯示，附近的任何人都可以肩窺到密碼。尾隨是指的未授權(quán)人物理或邏輯方式跟蹤授權(quán)人到被限定的區(qū)域。密碼的屏蔽也不能防止一些人尾隨授權(quán)人。這個(gè)策略只涉及?密碼的顯示?，如果策略涉及?密碼的顯示和打印?則可能引來肩窺和垃圾數(shù)據(jù)探究（從組織的垃圾數(shù)據(jù)中獲取有價(jià)值的信息）。冒名是指一些人充當(dāng)雇員的身份去試圖得到想要的信息。[單選題]43.以下哪種方式是處置廢舊磁帶前對(duì)其進(jìn)行處理的最佳方法？A)覆寫磁帶B)初始化磁帶標(biāo)簽C)將磁帶消磁D)擦除磁帶內(nèi)容答案:C解析:處理廢舊磁帶的最佳方法是將其消磁。此措施只會(huì)留下極少的磁感應(yīng)殘留物，可基本擦除磁帶的內(nèi)容。覆寫或擦除磁帶內(nèi)容可能會(huì)引發(fā)磁性錯(cuò)誤，因而無法完全移除數(shù)據(jù)。初始化磁帶標(biāo)簽無法移除標(biāo)簽之后的數(shù)據(jù)。[單選題]44.檢查操作系統(tǒng)安全配置的IS審計(jì)師應(yīng)該審查:A)交易日志B)授權(quán)表C)參數(shù)設(shè)置D)路由表答案:C解析:A.交易日志用于跟蹤和分析與應(yīng)用或系統(tǒng)接口相關(guān)的交易，但這不是操作系統(tǒng)審計(jì)中審計(jì)證據(jù)的主要來源B.投權(quán)表用于驗(yàn)證邏輯訪問控制的實(shí)施，在審查操作系統(tǒng)的控制功能時(shí)沒有多大幫助。C.使用配置參數(shù)可自定義標(biāo)準(zhǔn)版軟件，使其適用于不同環(huán)境，這對(duì)于確定系統(tǒng)的運(yùn)行方式非常重要。參數(shù)設(shè)置應(yīng)符合組織的工作量和控制環(huán)境。操作系統(tǒng)的實(shí)施和/或監(jiān)視不當(dāng)可導(dǎo)致正在處理的數(shù)據(jù)出現(xiàn)檢測不到的錯(cuò)誤和損壞，還可造成未經(jīng)授權(quán)的訪問和系統(tǒng)使用情況記錄錯(cuò)誤。D.路由表不包含操作系統(tǒng)的相關(guān)信息，因此在控制的評(píng)估過程中不會(huì)提供任何有幫助的信息。[單選題]45.局域網(wǎng)（LA、N）管理員通常會(huì)受到限制，從:A)行使最終用戶的責(zé)任、B)報(bào)告最終用戶經(jīng)理、C)行使編程的權(quán)利D)負(fù)責(zé)局域網(wǎng)安全管理、答案:C解析:1個(gè)局域網(wǎng)管理員不應(yīng)該有編程的權(quán)限，但可能有最終用戶的權(quán)限,局域網(wǎng)管理員可能會(huì)報(bào)告最終用戶經(jīng)理。在小組織，局域網(wǎng)管理員也可能是負(fù)責(zé)局域網(wǎng)的安全管理、[單選題]46.組織的恢復(fù)時(shí)間（RTO）幾乎等于零，關(guān)鍵系統(tǒng)的恢復(fù)點(diǎn)目標(biāo)（RPO）要求接近（崩潰前）一分鐘的。這意味著系統(tǒng)可以承受？A)長達(dá)一分鐘的數(shù)據(jù)丟失，但是處理必須是連續(xù)的。B)一分鐘的處理中斷，但是不能承受丟失任何數(shù)據(jù)丟失。C)一分鐘以上的中斷處理。D)數(shù)據(jù)丟失和中斷處理都可以超過一分鐘。答案:A解析:RTO衡量組織對(duì)中斷的承受能力，RPO衡量多少數(shù)據(jù)丟失可以被接受。選項(xiàng)B.C.D不正確，因?yàn)樗麄兂^了RTO的規(guī)定限制范圍。[單選題]47.一個(gè)驗(yàn)證磁帶庫庫存記錄準(zhǔn)確性的實(shí)質(zhì)性測試是：A)確定是否安裝了掃描槍的讀頭B)確定磁帶的移動(dòng)是否被授權(quán)C)清點(diǎn)磁帶庫存數(shù)量D)檢查接收和發(fā)布磁帶是否被準(zhǔn)確記錄答案:C解析:實(shí)質(zhì)性測試包括收集證據(jù)來評(píng)估單筆交易、數(shù)據(jù)或其它信息的準(zhǔn)確性。清點(diǎn)磁帶庫的庫存數(shù)目屬于實(shí)質(zhì)性測試。選項(xiàng)A.B.D都是合規(guī)性測試。點(diǎn)評(píng)：實(shí)質(zhì)性測試-變量抽樣-查賬-金額、數(shù)量的偏離程度[單選題]48.IS審計(jì)師被IS管理人員告知，組織最近己達(dá)到軟件能力成熟度模型(CMM)的最高級(jí)別,則該組織最近添加的軟件質(zhì)量過程為A)持續(xù)改進(jìn)。B)定量質(zhì)量目標(biāo)。C)記錄流程。D)為特定項(xiàng)目制定的流程。答案:A解析:A.組織可以達(dá)到的成熟度模型(CMM)最高級(jí)別是5級(jí)，優(yōu)化。B.定量質(zhì)量目標(biāo)可以在4級(jí)及以下達(dá)到C.文檔記錄流程在3級(jí)及以下執(zhí)行。D.針對(duì)具體項(xiàng)目定制的流程可在2級(jí)或以下達(dá)到[單選題]49.自動(dòng)運(yùn)行（lights-out）數(shù)據(jù)中心的主要目的是：【已經(jīng)理解】A)節(jié)省電力。B)減少風(fēng)險(xiǎn)。C)改善安全。D)減少人員費(fèi)用。答案:B解析:自動(dòng)運(yùn)行（lights-out）運(yùn)維的主要目的是減少人員風(fēng)險(xiǎn)和環(huán)境風(fēng)險(xiǎn)，通過隔離設(shè)備和IT支持人員可以減少差錯(cuò)。液體、食物的減少也環(huán)境風(fēng)險(xiǎn)。[單選題]50.在對(duì)新的或者更改過的應(yīng)用程序系統(tǒng)進(jìn)行邏輯測試時(shí)，下列哪項(xiàng)是最關(guān)健的A)對(duì)每一種測試場景都有足量的數(shù)據(jù)B)數(shù)據(jù)能代表實(shí)際處理過程的情況C)按日程表完成測試D)實(shí)際數(shù)據(jù)的隨機(jī)抽樣答案:B解析:選擇合適類型的數(shù)據(jù)是測試的關(guān)健。測試數(shù)據(jù)不僅應(yīng)包括有效和無效數(shù)據(jù)，更應(yīng)具有實(shí)際處理數(shù)據(jù)的代表性，質(zhì)量比數(shù)量更重要。足夠的測試數(shù)據(jù)要比如期完成測試更重要。隨機(jī)抽樣的實(shí)際數(shù)據(jù)不可能涵蓋所有的測試條件，具有合理的代表性。點(diǎn)評(píng)：使用貼近真實(shí)業(yè)務(wù)的數(shù)據(jù)進(jìn)行最為重要[單選題]51.在審計(jì)分配的初級(jí)階段，IS審計(jì)師執(zhí)行功能性巡視的首要原因是：A)理解業(yè)務(wù)流程B)遵從審計(jì)標(biāo)準(zhǔn)C)識(shí)別控制不足D)計(jì)劃實(shí)質(zhì)性測試答案:A解析:理解業(yè)務(wù)流程是IS審計(jì)師要做的第一步。標(biāo)準(zhǔn)不要求IS審計(jì)師執(zhí)行流程巡視。識(shí)別控制不足不是巡視的主要原因并且常發(fā)生在審計(jì)的后期階段。實(shí)質(zhì)性測試計(jì)劃也是在審計(jì)后期工作。點(diǎn)評(píng)：審計(jì)計(jì)劃：了解業(yè)務(wù)-法律法規(guī)-風(fēng)險(xiǎn)評(píng)估-審計(jì)目標(biāo)[單選題]52.執(zhí)行計(jì)算機(jī)取證調(diào)查時(shí)，對(duì)于收集到的證據(jù)，IS審計(jì)師最應(yīng)關(guān)注的是A)證據(jù)的分析。B)證據(jù)的評(píng)估。C)證據(jù)的保存。D)證據(jù)的泄漏。答案:C解析:A.證據(jù)的分析很重要，但不是與取證調(diào)查中的證據(jù)相關(guān)的首要關(guān)注點(diǎn)。B.評(píng)估很重要，但不是與取證調(diào)中的證據(jù)相關(guān)的首要關(guān)注點(diǎn)。C.供執(zhí)法人員和司法當(dāng)局審查的證據(jù)的保存和存檔，是執(zhí)行調(diào)查時(shí)的首要關(guān)注點(diǎn)。未能妥善保存證據(jù)將影響到法律訴訟中證據(jù)能否被接受D.泄露很重要，但不是IS審計(jì)師在取證調(diào)查中的首要關(guān)注點(diǎn)。[單選題]53.兩個(gè)組織合并后，多個(gè)由它們自主研發(fā)的遺留應(yīng)用系統(tǒng)，都由一個(gè)新的共同平臺(tái)所取代。下列哪項(xiàng)將是最大的風(fēng)險(xiǎn)？A)項(xiàng)目管理和進(jìn)度報(bào)告合并于一個(gè)由外部顧問驅(qū)動(dòng)的項(xiàng)目管理辦公室B)更換那些沒有將資源分配整合到項(xiàng)目組合管理辦法的獨(dú)立的項(xiàng)目C)熟悉對(duì)方公司遺留系統(tǒng)的時(shí)候，組織的資源分配是缺乏效率的D)新平臺(tái)將使這兩個(gè)組織在業(yè)務(wù)領(lǐng)域改變他們的工程流程，這將產(chǎn)生廣泛的培訓(xùn)需求答案:B解析:應(yīng)努力確保合并后組織整體策略保持一致。如果資源分配不集中，單獨(dú)內(nèi)部開發(fā)的舊應(yīng)用程序項(xiàng)目，獲取關(guān)鍵資源的風(fēng)險(xiǎn)比較高。在兼并后采取整合方案，是項(xiàng)目管理辦公室里常見的形式。為了確保規(guī)劃的標(biāo)準(zhǔn)化水平、信息和報(bào)告結(jié)構(gòu)，對(duì)集中項(xiàng)目成果或資源的依賴，外部顧問的經(jīng)驗(yàn)可以是有價(jià)值的，因?yàn)轫?xiàng)目管理并不要求深入的系統(tǒng)的知識(shí)。這可以免費(fèi)得到功能任務(wù)的資源，這是一個(gè)好辦法，首先要熟悉的舊系統(tǒng)，明白需要在遷移中完成什么，來評(píng)估技術(shù)決策的影響。在大多情況下，合并導(dǎo)致應(yīng)用程序的變化和各種組織流程發(fā)生變化，利用合并的協(xié)同效應(yīng)達(dá)到預(yù)期的需求。[單選題]54.試圖去控制像用密鑰卡或者鎖的計(jì)算機(jī)房這樣敏感區(qū)域的物理訪問所帶來的風(fēng)險(xiǎn)是A)未授權(quán)人員在控制門前等待授權(quán)人員打開門后尾隨B)組織的偶然計(jì)劃不能有效的檢測控制訪問實(shí)踐C)控制卡，鑰匙還有輸密碼的小鍵盤可以容易的被復(fù)制，這就允許了控制很容易被妥協(xié)D)移除不再有權(quán)限的人的訪問權(quán)限很復(fù)雜答案:A解析:尾隨法的解決是建立物理控制。選項(xiàng)B、極少關(guān)注災(zāi)難恢復(fù)的環(huán)境，選項(xiàng)C、不容易復(fù)制，至于選項(xiàng)D、，隨著技術(shù)不斷在更新，帶有密鑰的卡已經(jīng)存在一段時(shí)間了，在可預(yù)見的將來將是切實(shí)可行的選擇[單選題]55.對(duì)入侵檢測系統(tǒng)（IDS）的實(shí)施進(jìn)行審查的IS審計(jì)師應(yīng)最關(guān)注以下哪個(gè)選項(xiàng)？A)IDS傳感器置于防火墻之外。B)基于行為IDS引發(fā)許多誤警報(bào)。C)基于簽名的IDS不足以抵抗新型攻擊。D)該IDS用來檢測加密流量。答案:D解析:IDS不能檢測加密流量中的攻擊，如果某人受到誤導(dǎo)并且認(rèn)為IDS能夠檢測加密流量中的攻擊，則應(yīng)引起關(guān)注。組織可以將傳感器置于防火墻之外以檢測攻擊。將這些傳感器置于高敏感區(qū)域和外聯(lián)網(wǎng)中。對(duì)于基于行為的IDS不足以抵抗新型攻擊同樣在預(yù)料之內(nèi)，因?yàn)槠渲荒茏R(shí)別先前已經(jīng)確定的攻擊。[單選題]56.IS審計(jì)人員在進(jìn)行一項(xiàng)電訊訪問控制的檢查時(shí)，下列哪一項(xiàng)首先要得到關(guān)注：A)不同系統(tǒng)資源使用的訪問日志的保持.B)優(yōu)先獲準(zhǔn)訪問系統(tǒng)資源的用戶的授權(quán)和驗(yàn)證.C)通過加密或其他方法形成的對(duì)服務(wù)器上存儲(chǔ)數(shù)據(jù)的充分保護(hù).D)責(zé)任系統(tǒng)，以及鑒別任何一個(gè)訪問系統(tǒng)資源的終端的能力.答案:A解析:在電信的訪問控制檢查時(shí)，授權(quán)和認(rèn)證的用戶是最重要的方面，因?yàn)樗且豁?xiàng)預(yù)防控制。如這方面處于較弱控制的水平，則會(huì)影響到所有其他方面。維護(hù)系統(tǒng)資源的訪問日志是檢查控制。通過加密或其他方法形成的對(duì)服務(wù)器上存儲(chǔ)數(shù)據(jù)的充分保護(hù)，是一種信息保護(hù)方式，而不是接入的問題。責(zé)任系統(tǒng)，以及鑒別任何一個(gè)訪問系統(tǒng)資源的終端的能力，是對(duì)能力的一種鑒定。[單選題]57.以下哪項(xiàng)可確保通過互聯(lián)網(wǎng)發(fā)送的信息的機(jī)密性？A)數(shù)字簽名B)數(shù)字認(rèn)證C)聯(lián)機(jī)認(rèn)證狀態(tài)協(xié)議(OCSP)D)私鑰加密系統(tǒng)答案:D解析:私鑰加密系統(tǒng)可保證機(jī)密性。數(shù)字簽名保證數(shù)據(jù)完整性、身份認(rèn)證和不可否認(rèn)性，但并不保證機(jī)密性。數(shù)字認(rèn)證是一種使用數(shù)字簽名將公鑰與身份綁定在一起的認(rèn)證；因此，并不保證機(jī)密性。OCSP是用來獲取數(shù)字認(rèn)證吊銷狀態(tài)的互聯(lián)網(wǎng)協(xié)議。[單選題]58.一個(gè)IS審計(jì)師被請(qǐng)求去為一個(gè)基于Web的關(guān)鍵訂單系統(tǒng)做完全監(jiān)控檢查，且此時(shí)距該訂單系統(tǒng)預(yù)定的正式上線日期只有很短的時(shí)間，該審計(jì)師進(jìn)行了一項(xiàng)滲透測試，產(chǎn)生了不確定的結(jié)果，而在授權(quán)給審計(jì)的完成時(shí)間內(nèi)無法進(jìn)行另外的測試。下述哪個(gè)是該審計(jì)師最好的選擇？A)基于可用的信息公布一個(gè)報(bào)告，突出強(qiáng)調(diào)潛在的安全弱點(diǎn)以及對(duì)后續(xù)審計(jì)測試的需求。B)公布一個(gè)報(bào)告，忽略來自測試的證據(jù)不足的領(lǐng)域。C)請(qǐng)求推遲正式上線時(shí)間直到完成附加的安全測試并獲得正式測試的證據(jù)。D)通知管理層審計(jì)工作不能在規(guī)定的時(shí)間窗內(nèi)完成，并建議審計(jì)推遲。答案:A解析:如果IS審計(jì)師在授權(quán)時(shí)間窗內(nèi)不能獲得關(guān)鍵系統(tǒng)充分的確認(rèn)，該事實(shí)應(yīng)該在審計(jì)報(bào)告中突出強(qiáng)調(diào)，并且今后某個(gè)時(shí)間的后續(xù)測試應(yīng)該被預(yù)定。此時(shí)管理層可以決定識(shí)別的潛在弱點(diǎn)中是否有任何一個(gè)重要到需要推遲系統(tǒng)正式上線時(shí)間的程度。審計(jì)師由于在授權(quán)的審計(jì)時(shí)間窗內(nèi)無法獲得充分的證據(jù)而忽略具有潛在弱點(diǎn)的領(lǐng)域是不可接受的。如果這些領(lǐng)域在審計(jì)報(bào)告中被忽略，這將違背ISACA審計(jì)標(biāo)準(zhǔn)。為審計(jì)擴(kuò)展審計(jì)時(shí)間窗和推遲正式上線時(shí)間在該場景下不大可能被接受，因?yàn)樯婕暗南到y(tǒng)是關(guān)鍵交易系統(tǒng)。在任何情況下，推遲正式上線時(shí)間都必須是企業(yè)管理者的決定，而不是IS審計(jì)師的決定。在該場景中，IS審計(jì)師應(yīng)該在授權(quán)時(shí)間前向管理者展示所有可用信息。審計(jì)聘約階段沒有獲得充分的證據(jù)并不意味著需要取消或者推遲審計(jì)，這將違背審計(jì)準(zhǔn)則中關(guān)于盡職審查和專業(yè)職責(zé)條款。點(diǎn)評(píng)：發(fā)現(xiàn)問題后報(bào)告出來，讓owner做決定[單選題]59.一家組織的云計(jì)算策略為采用外部提供商的軟件即服務(wù)（SaaS）模式，在審計(jì)其云計(jì)算策略時(shí)，以下那個(gè)選項(xiàng)是最令I(lǐng)S審計(jì)師關(guān)注的？A)必須執(zhí)行工作站升級(jí)B)軟件的長期購置成本偏高C)與提供商簽訂的合同中不包括現(xiàn)場技術(shù)支持D)沒有全面確定提供商的事故處理流程答案:D解析:SaaS提供商通常不會(huì)為組織提供現(xiàn)場支持。因此，組織及其提供商之間的事故處理流程對(duì)于事故的檢測、溝通和解決非常重要，包括有效的溝通渠道和上報(bào)流程。除非組織的工作站被廢棄，否則升級(jí)不會(huì)成為SaaS模式的一個(gè)問題，這是因?yàn)榇蠖鄶?shù)作為SaaS運(yùn)行程序采用了通常的技術(shù)，允許用戶在不同的設(shè)備上運(yùn)行軟件。軟件購置費(fèi)用的降低是SaaS帶來的眾多好處之一。點(diǎn)評(píng)：Saas模式的概念[單選題]60.在判斷是否有未授權(quán)的對(duì)生產(chǎn)程序的修改時(shí)，IS審計(jì)師可以使用以下哪一項(xiàng)？A)系統(tǒng)日志分析B)合規(guī)性測試C)司法分析D)分析審評(píng)答案:B解析:判斷對(duì)生產(chǎn)系統(tǒng)的修改都經(jīng)過了授權(quán)需要評(píng)審變更管理流程來評(píng)估記錄證據(jù)的痕跡。合規(guī)性測試應(yīng)該有助于驗(yàn)證是否一貫遵守變更管理流程。系統(tǒng)日志分子不太可能提供關(guān)于程序變更的信息。司法分析是一項(xiàng)專業(yè)犯罪調(diào)查的技術(shù)。分析評(píng)審評(píng)估常規(guī)組織的環(huán)境控制。點(diǎn)評(píng)：授權(quán)-控制有效性-符合性測試-屬性抽樣[單選題]61.執(zhí)行詳細(xì)的網(wǎng)絡(luò)評(píng)估和訪問控制審查時(shí)，IS審計(jì)師應(yīng)該首先？A)確定入口點(diǎn)B)評(píng)估用戶的訪問授權(quán)C)評(píng)估用戶的身份認(rèn)證和授權(quán)D)評(píng)估域控制服務(wù)器的配置答案:A解析:在執(zhí)行詳細(xì)的網(wǎng)絡(luò)評(píng)估和訪問控制審查時(shí)，IS審計(jì)師應(yīng)該首先確定系統(tǒng)的入口點(diǎn)，并相應(yīng)的審查入口點(diǎn)是否存在適當(dāng)?shù)目刂?。評(píng)估用戶訪問授權(quán)、評(píng)估用戶身份認(rèn)證和授權(quán)以及評(píng)估域控制服務(wù)器的配置都是為入口點(diǎn)實(shí)施適當(dāng)控制的問題。[單選題]62.在電子郵件的軟件應(yīng)用程序中，已驗(yàn)證的數(shù)字簽名可以？A)幫助檢測垃圾郵件。B)保證機(jī)密性。C)增加網(wǎng)關(guān)服務(wù)器的工作量。D)明顯減少可用寬帶。答案:A解析:已驗(yàn)證的電子簽名基于認(rèn)證頒發(fā)機(jī)構(gòu)（CA）創(chuàng)建的資格認(rèn)證，使用的技術(shù)標(biāo)準(zhǔn)要求確保密鑰在合理時(shí)間內(nèi)不被強(qiáng)行使用或復(fù)制。這種認(rèn)證只能在通過身份證明后，經(jīng)由注冊(cè)機(jī)構(gòu)（RA）獲取。在電子郵件通信中使用強(qiáng)簽名，可以確保不可否認(rèn)性的追蹤發(fā)送者。接收者可以配置自己的電子郵件服務(wù)器或客戶端，使其自動(dòng)刪除特定發(fā)送人的電子郵件。對(duì)于保密性問題，雖然加密和簽名這兩種方法都是基于資格認(rèn)證的，但用戶必須使用前者。如果未直接在郵件網(wǎng)關(guān)服務(wù)器上使用過濾器將比使用防病毒軟件產(chǎn)生更少的開銷。數(shù)字簽名只有幾個(gè)字節(jié)大小，不會(huì)大幅削減帶寬。即使網(wǎng)關(guān)服務(wù)器要檢查證書撤銷清單（CRL），開銷也是非常小的。[單選題]63.Java小應(yīng)用程序和ActiveX控件是在WEB上分發(fā)的并在客戶端瀏覽器后臺(tái)執(zhí)行的程序。這種分發(fā)和執(zhí)行活動(dòng)在下面哪種情形下被認(rèn)為是可行的？A)存在防火墻的時(shí)候B)使用安全WEB連接時(shí)C)可執(zhí)行的文件來源可靠時(shí)D)主機(jī)網(wǎng)站屬于組織的一部分時(shí)答案:C解析:接受這些機(jī)制基于已建立的信任。控制是知道來源且允許接受小應(yīng)用程序?yàn)闂l件。惡意的小應(yīng)用程序可以從任何地方收到。此時(shí)在這一層級(jí)去過濾實(shí)際上是不可能的。一個(gè)安全的WEB連接或考慮過外部防御的防火墻。防火墻去查找并過濾來自一個(gè)信任信源的特定文件是更難的。安全的WEB連接提供機(jī)密性。安全的WEB連接和防火墻都不能鑒別一個(gè)可執(zhí)行文件的友善。當(dāng)主機(jī)網(wǎng)站作為組織的一部分是不現(xiàn)實(shí)的時(shí)，接受Java小應(yīng)用程序和/或ActiveX控件可能成為一項(xiàng)無可選擇建議。如果參數(shù)要求這樣做，客戶將接受程序。[單選題]64.信息系統(tǒng)審計(jì)師鑒定分別由財(cái)務(wù)和市場部門作出的產(chǎn)品盈利能力分析報(bào)告，得出不同的結(jié)論。進(jìn)一步的調(diào)查結(jié)果顯示，該產(chǎn)品的定義在這兩個(gè)部門是不同的。審計(jì)師應(yīng)該建議？A)投入生產(chǎn)前為各種報(bào)告而做出的用戶驗(yàn)收測試（UAT）B)組織數(shù)據(jù)治理實(shí)踐是否到位C)用于報(bào)表開發(fā)的標(biāo)準(zhǔn)軟件工具D)管理層簽署的關(guān)于新報(bào)告的要求答案:B解析:這一選擇直接解決了問題，一個(gè)組織內(nèi)部的方法需要達(dá)到的數(shù)據(jù)資產(chǎn)的有效管理、這包括數(shù)據(jù)元素執(zhí)行，這是一個(gè)數(shù)據(jù)治理計(jì)劃一部分的標(biāo)準(zhǔn)定義、其他的選項(xiàng)，都不是解決問題的根本原因。點(diǎn)評(píng)：由于企業(yè)內(nèi)部數(shù)據(jù)標(biāo)準(zhǔn)定義不準(zhǔn)確，導(dǎo)致不同口徑數(shù)據(jù)得出了不同的結(jié)論[單選題]65.如果不適當(dāng)，下列哪個(gè)將最可能引起拒絕服務(wù)攻擊呢？A)路由配置和規(guī)則B)設(shè)計(jì)內(nèi)部網(wǎng)絡(luò)C)升級(jí)路由器系統(tǒng)軟件D)審計(jì)測試和審查技術(shù)答案:A解析:不恰當(dāng)?shù)穆酚膳渲煤鸵?guī)則將導(dǎo)致拒絕服務(wù)攻擊。選項(xiàng)B、和C、不如A、。選項(xiàng)D、是不正確的，因?yàn)閷徲?jì)測試和審查技術(shù)是事后應(yīng)用。[單選題]66.下面哪項(xiàng)是自上而下的軟件測試的優(yōu)勢：A)接口錯(cuò)誤可以盡早識(shí)別B)測試需在所有程序編寫完成前進(jìn)行C)它比其他的方法更有效率D)關(guān)鍵模塊中的錯(cuò)誤可以盡早的檢測出來答案:A解析:測試采用自上而下方法的優(yōu)點(diǎn)是，主要功能的測試是先進(jìn)行的，能更早的發(fā)現(xiàn)的接口錯(cuò)誤。最有效的測試方法是依賴于被測試環(huán)境。B和D都是自上而下的方法的優(yōu)勢。點(diǎn)評(píng)：上向下測試能盡早發(fā)現(xiàn)接口的錯(cuò)誤[單選題]67.在應(yīng)用審計(jì)階段，IS審計(jì)師發(fā)現(xiàn)了幾個(gè)問題與數(shù)據(jù)庫中錯(cuò)誤的數(shù)據(jù)有關(guān)，下面哪一個(gè)是IS審計(jì)師應(yīng)該建議的糾正性控制？A)實(shí)施數(shù)據(jù)備份和恢復(fù)程序B)定義標(biāo)準(zhǔn)和相應(yīng)的符合性檢查（預(yù)防性控制）C)確保只有授權(quán)人員能夠更新數(shù)據(jù)庫D)建議控制以處理同時(shí)發(fā)生的訪問問題（預(yù)防性控制）答案:A解析:實(shí)時(shí)數(shù)據(jù)備份和和恢復(fù)程序是糾正性控制，因?yàn)閭浞莺突謴?fù)程序可以用于回滾數(shù)據(jù)庫錯(cuò)誤：定義或者建立標(biāo)準(zhǔn)是預(yù)防性控制，符合性檢查是檢測性控制：確保只有授權(quán)人能夠更新數(shù)據(jù)庫是預(yù)防性控制：建議控制以處理同時(shí)發(fā)生的訪問問題是預(yù)防性控制。[單選題]68.在災(zāi)難后恢復(fù)數(shù)據(jù)，如下哪個(gè)是最好的有效備份和恢復(fù)流程指標(biāo)？A)恢復(fù)組成員是可供使用B)恢復(fù)時(shí)間目標(biāo)（RTO）是契合的C)備份磁帶庫是最恰當(dāng)維護(hù)的D)備份磁帶是被完整的恢復(fù)到一個(gè)輪替站點(diǎn)答案:B解析:有效的備份和恢復(fù)流程是確保符合恢復(fù)時(shí)間目標(biāo)，因?yàn)檫@些需求是在業(yè)務(wù)影響分析階段與所有業(yè)務(wù)流程處理人一起精確定義的。[單選題]69.功能確認(rèn)用于：A)作為ED、I交易的審計(jì)蹤跡B)功能性地描述IS部門C)證明用戶角色和職責(zé)D)作為應(yīng)用軟件的功能描述答案:A解析:功能確認(rèn)是標(biāo)準(zhǔn)的ED、I交易，它告訴貿(mào)易伙伴他們的電子文檔被接收。不同類型的功能確認(rèn)提供不同級(jí)別的細(xì)節(jié)，因此可以作為ED、I交易的審計(jì)軌跡。其他的選擇描述功能確認(rèn)是不恰當(dāng)?shù)摹單選題]70.發(fā)現(xiàn)IS項(xiàng)目范圍發(fā)生變化而未執(zhí)行影響分析時(shí)，最令I(lǐng)S審計(jì)師關(guān)注的是以下哪一項(xiàng)A)變化帶來的時(shí)間和成本影響B(tài))回歸測試失敗的風(fēng)險(xiǎn)C)用戶不同意更改D)項(xiàng)目團(tuán)隊(duì)不具備作出必要更改的技能答案:A解析:任何的范圍變化都會(huì)對(duì)項(xiàng)目周期和成本造成影響；這就是執(zhí)行影響分析、告知客戶變化對(duì)計(jì)劃和成本方面的可能影響的原因。范圍變化不一定會(huì)影響回歸測試失敗的風(fēng)險(xiǎn)，用戶也不一定會(huì)拒絕更改，項(xiàng)目團(tuán)隊(duì)也不見得缺乏做出改變的技能。點(diǎn)評(píng)：項(xiàng)目三要素的概念[單選題]71.在下面哪一個(gè)管理風(fēng)險(xiǎn)的方法中，分擔(dān)風(fēng)險(xiǎn)是一個(gè)關(guān)鍵的因素？A)轉(zhuǎn)移風(fēng)險(xiǎn)B)容忍風(fēng)險(xiǎn)C)終止風(fēng)險(xiǎn)D)降低風(fēng)險(xiǎn)答案:A解析:轉(zhuǎn)移風(fēng)險(xiǎn)（比如：購買保險(xiǎn)）是一個(gè)轉(zhuǎn)移和分擔(dān)風(fēng)險(xiǎn)的方法。容忍風(fēng)險(xiǎn)意味著風(fēng)險(xiǎn)被接受，但是不能被轉(zhuǎn)移。終止（消除）風(fēng)險(xiǎn)不太涉及分擔(dān)風(fēng)險(xiǎn)，因此某些風(fēng)險(xiǎn)仍將存在。處理或者控制風(fēng)險(xiǎn)可能涉及分擔(dān)風(fēng)險(xiǎn)，但它并不是一個(gè)關(guān)鍵的因素。點(diǎn)評(píng)：風(fēng)險(xiǎn)處置的4種方法[單選題]72.下列哪一個(gè)災(zāi)難恢復(fù)或連續(xù)性計(jì)劃在災(zāi)難發(fā)生后提供了最大的恢復(fù)保證：A)使用備用設(shè)施直到原來信息處理設(shè)施恢復(fù)B)用戶管理層來識(shí)別關(guān)鍵系統(tǒng)以及關(guān)鍵系統(tǒng)相關(guān)的關(guān)鍵時(shí)間點(diǎn)C)計(jì)劃的恢復(fù)時(shí)間取決于主要決策人員D)對(duì)管理者題反饋，確認(rèn)業(yè)務(wù)連續(xù)性計(jì)劃的當(dāng)前的規(guī)程是實(shí)際的、可運(yùn)行的答案:A解析:災(zāi)難發(fā)生后備用設(shè)施應(yīng)該可用，直到保證恢復(fù)在災(zāi)難發(fā)生之前。如果沒有這個(gè)保證，計(jì)劃將不會(huì)成功，所有其他的選項(xiàng)都是優(yōu)先保證這個(gè)計(jì)劃的執(zhí)行。[單選題]73.電子郵件的什么策略最有可能降低收集相關(guān)電子證據(jù)的風(fēng)險(xiǎn)：A)銷毀策略B)安全策略C)歸檔策略D)審計(jì)策略答案:C解析:在不透露其他機(jī)密電子郵件記錄的情況下，憑借良好的歸檔電子郵件記錄，訪問或檢索特定電子郵件記錄的策略是有可能的安全性和/或?qū)徍瞬呗圆粫?huì)解決記錄檢索的效率，并且摧毀電子郵件，可能是一種非法行為。[單選題]74.在審查災(zāi)難恢復(fù)計(jì)劃(DRP)時(shí)，IS審計(jì)師最關(guān)注的是缺少:A)流程責(zé)任人的參與。B)記錄良好的測試程序。C)備用處理設(shè)施。D)記錄良好的數(shù)據(jù)分類方案。答案:A解析:A.流程責(zé)任人的參與是業(yè)務(wù)連續(xù)性計(jì)劃(BIA)的一個(gè)關(guān)鍵部分，而創(chuàng)建災(zāi)難恢復(fù)計(jì)劃(DRP)需要用到BIA。如果IS審計(jì)師確定流程負(fù)責(zé)人并未參與，則會(huì)令人非常擔(dān)憂B.盡管詳細(xì)記錄的測試程序很重要，但除非流程負(fù)責(zé)人參與，否則無法了解計(jì)劃的優(yōu)先級(jí)和關(guān)鍵元素是否有效。C.可能需要備用處理設(shè)施來滿足業(yè)務(wù)需求，但此類決策需求卻是以BIA為基礎(chǔ)的。D.數(shù)據(jù)分類方案對(duì)于確保數(shù)據(jù)控制恰當(dāng)非常重要;但是，仍然不及缺乏流程負(fù)責(zé)人的參與令人擔(dān)憂。[單選題]75.以下哪個(gè)選項(xiàng)是與IT人員相關(guān)的預(yù)防性控制的示例?A)審查數(shù)據(jù)中心的訪問者日志B)用于跟蹤用戶登錄IP地址的日志服務(wù)器C)對(duì)IT設(shè)施實(shí)施證章門禁系統(tǒng)D)用于對(duì)員工的電話呼叫進(jìn)行跟蹤的計(jì)費(fèi)系統(tǒng)答案:C解析:A.審查訪問者日志在大多數(shù)情況下是一種檢測性控制B.審查日志服務(wù)器在大多數(shù)情況下是一種檢測性控制。C.預(yù)防性控制用于降低發(fā)生不良事件的可能性。證章門禁系統(tǒng)將會(huì)阻止未經(jīng)授權(quán)的人員進(jìn)入設(shè)施。D.審電話呼叫計(jì)費(fèi)系統(tǒng)在大多數(shù)情況下是一種檢測性控制。[單選題]76.數(shù)據(jù)庫管理系統(tǒng)DBMS的記錄鎖定選項(xiàng)能夠:A)允許用戶鎖定其文件,使其他用戶無法進(jìn)入B)消除對(duì)某一記錄并行更新的風(fēng)險(xiǎn)C)允許數(shù)據(jù)庫管理員記錄用戶的活動(dòng)D)禁止用戶更改記錄中的某些值答案:B解析:[單選題]77.下列哪一項(xiàng)在檢查操作控制臺(tái)系統(tǒng)實(shí)施時(shí)通常不會(huì)考慮？A)是否通過供應(yīng)商提供的系統(tǒng)實(shí)施的專門技術(shù)來進(jìn)行培訓(xùn)，讓內(nèi)部員工學(xué)習(xí)新系統(tǒng)。B)實(shí)施計(jì)劃的范圍和目標(biāo)是否符合成本有效性和時(shí)間性原則。C)用來管理業(yè)務(wù)的KPI是否通過實(shí)施過程得到改進(jìn)。D)理解控制臺(tái)如何同其他操作組件進(jìn)行接口以及兼容性如何。答案:B解析:只有B是跟業(yè)務(wù)相關(guān)，而跟系統(tǒng)實(shí)施無關(guān)。[單選題]78.企業(yè)架構(gòu)(EA)舉措的主要好處是A)使組織的投資能夠用于于最合適的技術(shù)中。B)確保在關(guān)鍵平臺(tái)上實(shí)施安全控制。C)允許開發(fā)團(tuán)隊(duì)更快地響應(yīng)業(yè)務(wù)要求。D)賦予業(yè)務(wù)單位更大的自主權(quán)，以選擇符合其需求的IT解決方案。答案:A解析:A.企業(yè)架構(gòu)(EA)的主要關(guān)注點(diǎn)是確保技術(shù)投資與IT組織的平臺(tái)、數(shù)據(jù)和開發(fā)標(biāo)準(zhǔn)相一致;因此，EA的目標(biāo)是幫助組織實(shí)施最有效的技術(shù)B.確保在關(guān)鍵平臺(tái)上實(shí)施安全控制很重要，但這不是EA的功能。EA可能關(guān)注安全控制的設(shè)計(jì);但EA無助于確保實(shí)施安全控制。EA的主要關(guān)注點(diǎn)是確保技術(shù)投資與IT組織的平臺(tái)、數(shù)據(jù)和開發(fā)標(biāo)準(zhǔn)相一致。C.盡管EA流程可能促使開發(fā)團(tuán)隊(duì)變得更加高效，因?yàn)樗麄兪窃诨谑褂脴?biāo)準(zhǔn)編程語言和方法的標(biāo)準(zhǔn)平臺(tái)上創(chuàng)建解決方案，但EA更重要的好處是為所有類型的投資提供指導(dǎo)，其涵蓋的內(nèi)容遠(yuǎn)不止軟件開發(fā)。D.EA的主要關(guān)注點(diǎn)是定義標(biāo)準(zhǔn)平臺(tái)、數(shù)據(jù)庫和界面。進(jìn)行技術(shù)投資的業(yè)務(wù)單位需要選擇符合其業(yè)務(wù)要求，并且兼容企業(yè)EA的IT解決方案?？赡艽嬖谶@樣一種情況，即建議的解決方案更符合某個(gè)業(yè)務(wù)單位，但不兼容企業(yè)EA，因此需要折中處理，以確保該應(yīng)用得到IT部門的支持。大體上，在企業(yè)單位想要實(shí)施的潛在IT系統(tǒng)方面，EA對(duì)其能力有所限制。在本案例中，支持要求不受影響。[單選題]79.在某小型企業(yè)的車計(jì)期間，IS計(jì)師注意到IS總監(jiān)具有超級(jí)用戶訪問特權(quán)，這使得該總監(jiān)可以直接處理交更請(qǐng)求以更改應(yīng)用程序的訪問角色(訪問類型).該IS審計(jì)師應(yīng)建議以下哪個(gè)選項(xiàng)?A)針對(duì)應(yīng)用程序角色變更請(qǐng)求，實(shí)施適當(dāng)記錄的流程。B)雇傭額外的職員以實(shí)現(xiàn)應(yīng)用程序內(nèi)有職責(zé)分離(SoD)的角色變更C)實(shí)施自動(dòng)化流程來變更應(yīng)用程序角色。D)詳細(xì)記錄當(dāng)前程序，并在企業(yè)內(nèi)聯(lián)網(wǎng)中提供。答案:A解析:A.IS審計(jì)師應(yīng)建議實(shí)施可防止或發(fā)現(xiàn)主應(yīng)用程序的角色發(fā)生不合理變更的流程。應(yīng)啟動(dòng)應(yīng)用程序角色變更請(qǐng)求的流程并獲得業(yè)務(wù)所有者的批準(zhǔn);然后，IS總監(jiān)才能對(duì)應(yīng)用程序作出變更。B.盡管遵照嚴(yán)格的職責(zé)分離(SoD)和聘用額外職員的做法更好，但對(duì)于小型企業(yè)來說，此舉不一定可行。IS審計(jì)師必須仔細(xì)考慮建議的備選流程C.管理應(yīng)用程序角色的自動(dòng)化流程可能無法有效防止信息系統(tǒng)總監(jiān)作出不合理的變更，該總監(jiān)同樣具有訪問應(yīng)用程序的最高權(quán)限。D.在企業(yè)內(nèi)聯(lián)網(wǎng)中提供當(dāng)前程序?qū)ΡＷo(hù)系統(tǒng)沒有任何價(jià)值[單選題]80.某KS計(jì)師正在為公司審查啟用安全套接字層(SSD)的網(wǎng)站。以下哪一項(xiàng)風(fēng)險(xiǎn)最高?A)過期的數(shù)字證書B)自簽名的數(shù)字證書C)為多個(gè)網(wǎng)站使用相同的數(shù)字證書D)使用56位數(shù)字證書答案:B解析:A.證書過期會(huì)導(dǎo)致阻止訪問網(wǎng)站，造成不必要的停機(jī)。但不會(huì)丟失數(shù)據(jù)。因此相對(duì)風(fēng)險(xiǎn)較低。B.自簽名的數(shù)字證書未經(jīng)證書頒發(fā)機(jī)構(gòu)(CA)簽名，任何人都可以創(chuàng)建。因此，攻擊者可用它們來冒充網(wǎng)站，進(jìn)而可能導(dǎo)致數(shù)據(jù)失竊或進(jìn)行中間人攻擊。C.使用相同的數(shù)字證書不是一種重大風(fēng)險(xiǎn)?？蔀槎鄠€(gè)子域網(wǎng)站使用通配符數(shù)字證書。D.56位數(shù)字證書可能需要用來連接舊版操作系統(tǒng)(OS)或?yàn)g覽器。盡管其強(qiáng)度不如128位或256位數(shù)字證書，但自簽名證書的相對(duì)風(fēng)險(xiǎn)更高。[單選題]81.下面哪項(xiàng)應(yīng)包含在組織的信息安全政策中?A)需要保護(hù)的關(guān)鍵IT資源的清單B)訪問控制授權(quán)的基準(zhǔn)C)敏感安全資產(chǎn)的標(biāo)識(shí)D)相關(guān)軟件安全功能答案:B解析:A.需要保護(hù)的關(guān)鍵IT資源的清單相比政策內(nèi)容過于詳細(xì)B.安全政策提供由高級(jí)管理層制定和批準(zhǔn)的廣泛性安全框架。安全政策包括定義被授權(quán)授予訪問權(quán)限的人員和授予訪問權(quán)限的依據(jù)。C.敏感安全資產(chǎn)的標(biāo)識(shí)相比政策內(nèi)容過于詳細(xì)。D.相關(guān)軟件安全功能列表相比政策內(nèi)容過于詳細(xì)。[單選題]82.漏洞評(píng)估與滲透測試之間的區(qū)別是？A)漏洞評(píng)估通過研究和檢查基礎(chǔ)構(gòu)架來檢測漏洞，二滲透測試則利用漏洞來探查可能由漏洞引起的損害B)漏洞評(píng)估和滲透測試是一種活動(dòng)的不同名稱C)漏洞評(píng)估由自動(dòng)化工具執(zhí)行，而滲透測試完全是手動(dòng)執(zhí)行D)漏洞評(píng)估由商業(yè)工具執(zhí)行，而滲透測試由公共流程執(zhí)行答案:A解析:漏洞評(píng)估的目標(biāo)是在分析的計(jì)算機(jī)和組成部分中找到安全漏洞，而不是要破壞基礎(chǔ)架構(gòu)。滲透測試旨在模仿黑客活動(dòng)并確定其可以進(jìn)入網(wǎng)絡(luò)的程度。二者互不相同，使用的方法也不一樣。漏洞評(píng)估和滲透測試既可以由自動(dòng)或手動(dòng)工具或流程來執(zhí)行，也可以由商業(yè)或免費(fèi)工具來執(zhí)行。[單選題]83.某IS審計(jì)師參與了旨在優(yōu)化IT基礎(chǔ)設(shè)施的軟件再開發(fā)工程。以下哪個(gè)選項(xiàng)最適合用于識(shí)別需要解決的問題A)自我評(píng)估B)反向工程C)原型設(shè)計(jì)D)差距分析答案:D解析:A.自我評(píng)估是開始時(shí)的可行選項(xiàng)之一;但其結(jié)果只能說明當(dāng)前的狀況，而非理想狀態(tài)，而且?guī)в兄饔^傾向。B.反向工程是一種用于分析一個(gè)設(shè)備或程序是如何工作的技術(shù)在此不適合。C.原型設(shè)計(jì)用于保證進(jìn)入全面開發(fā)流程前使用戶需求得到滿足。D差距分析是用于識(shí)別軟件再開發(fā)工程過程中需要解決的問題的最佳方法。通過差距分析可明確當(dāng)前流程中哪部分屬于良好實(shí)踐(理想狀態(tài))，哪部分不屬于[單選題]84.以下哪像計(jì)算機(jī)輔助審計(jì)技術(shù)（CAAT）能夠?qū)?yīng)付帳系統(tǒng)中的員工和供應(yīng)商地址進(jìn)行最佳比較A)快照B)通用審計(jì)軟件（GAS）C)嵌入式審計(jì)數(shù)據(jù)收集工具D)交易選擇工具答案:B解析:GAS可用于執(zhí)行數(shù)據(jù)合并、數(shù)據(jù)比較等數(shù)據(jù)分析工作，從而得出有關(guān)應(yīng)付帳款交易的結(jié)論?？煺湛梢杂糜诒容^數(shù)據(jù)，但是比較大量數(shù)據(jù)（如員工地址）時(shí)可能不夠靈活。嵌入式審計(jì)數(shù)據(jù)收集工具和交易選擇工具可用于選擇交易，而非比較數(shù)據(jù)和得出結(jié)論。點(diǎn)評(píng)：GAS，對(duì)賬工具[單選題]85.為了幫助實(shí)現(xiàn)IT和業(yè)務(wù)相一致的管理，信息系統(tǒng)審計(jì)師應(yīng)該建議使用：A)控制自我評(píng)估CSAB)業(yè)務(wù)影響分析BIAC)IT平衡記分卡BSCD)業(yè)務(wù)流程再造BRC答案:C解析:IT平衡記分卡提供了一個(gè)IT目標(biāo)和業(yè)務(wù)目標(biāo)之間的橋梁，通過補(bǔ)充傳統(tǒng)財(cái)務(wù)評(píng)價(jià)的措施來衡量客戶滿意度，內(nèi)部流程和創(chuàng)新實(shí)力?？刂谱晕以u(píng)估，經(jīng)營影響分析和業(yè)務(wù)流程重組是不足以IT跟組織的目標(biāo)相一致，在這個(gè)題目中知識(shí)點(diǎn)?CSA,BIA,BSC,BRC?代表了什么我們必須熟記。點(diǎn)評(píng)：BSC是IT與業(yè)務(wù)溝通的有效工具[單選題]86.當(dāng)評(píng)估一個(gè)過程中的預(yù)防、檢測和糾正控制的組合效果時(shí)，IS審計(jì)員應(yīng)當(dāng)關(guān)注下列中的哪一項(xiàng)？A)某個(gè)點(diǎn)，在此處的控制被演練成數(shù)據(jù)流通過系統(tǒng)B)只有預(yù)防和檢測控制是相關(guān)的C)糾正性控制僅僅被認(rèn)為是補(bǔ)償D)分類讓IS審計(jì)員確定哪個(gè)控制是缺失的答案:A解析:IS審計(jì)員應(yīng)該關(guān)注于當(dāng)數(shù)據(jù)流通過計(jì)算機(jī)系統(tǒng)時(shí)控制的實(shí)踐效果。選B、是不對(duì)的，因?yàn)榧m正控制也是有關(guān)的。選C、是不對(duì)的，因?yàn)榧m正控制能消除或減少錯(cuò)誤或違規(guī)行為的影響不能僅被視作補(bǔ)償性控制。選D、是不對(duì)和無關(guān)的，因?yàn)榭刂频拇嬖诤凸δ苁侵匾?，而不是分類。[單選題]87.這個(gè)問題是指下列圖:防火墻是無法識(shí)別檢測攻擊企圖的,如果審計(jì)師應(yīng)建議放置一個(gè)網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）在?之間A)防火墻和組織的網(wǎng)絡(luò)、B)互聯(lián)網(wǎng)和防火墻C)互聯(lián)網(wǎng)和WeB、服務(wù)器、D)WeB、服務(wù)器和防火墻、答案:A解析:如果一個(gè)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是放在之間的防火墻和組織的網(wǎng)絡(luò)之間，防火墻無法檢測到攻擊的企圖?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)放在互聯(lián)網(wǎng)和防火墻將檢測到他們是否攻擊防火墻、[單選題]88.經(jīng)初步調(diào)查，IS審計(jì)師有理由相信可能存在舞弊行為。IS審計(jì)師應(yīng):A)擴(kuò)大工作范圍，判斷是否有必要開展調(diào)查。B)將該事件報(bào)告給審計(jì)委員會(huì)。C)向管理層報(bào)告欺詐的可能性。D)與外部法律顧問進(jìn)行磋商，確定應(yīng)采取的行動(dòng)方案。答案:A解析:A.對(duì)于檢測舞弊行為，IS審計(jì)師的職責(zé)包括評(píng)估舞弊跡象、決定是否有必要采取額外措施或是否應(yīng)該建議展開調(diào)查。B.只有在判斷出舞弊跡象足以建議展開調(diào)查時(shí)，IS審計(jì)師才應(yīng)該通知組織內(nèi)的相關(guān)機(jī)構(gòu)C.只有在證據(jù)足以展開調(diào)查時(shí)，.審計(jì)師才應(yīng)該將舞弊的可能性報(bào)告給高級(jí)管理層這可能受高級(jí)管理層是否可能涉入舞弊的影響D.IS審計(jì)師通常無權(quán)與外部法律顧問進(jìn)行磋商。[單選題]89.當(dāng)審查入侵檢測系統(tǒng)（IDS）時(shí)，IS審計(jì)師應(yīng)最關(guān)注以下哪個(gè)選項(xiàng)？A)識(shí)別具有威脅性的非威脅性事件數(shù)B)系統(tǒng)尚未識(shí)別的攻擊C)由自動(dòng)化工具生成的報(bào)告/日志D)系統(tǒng)阻擋的合法流量答案:B解析:由于不清楚系統(tǒng)未識(shí)別的攻擊，不能對(duì)其采取任何行為，因而帶來的風(fēng)險(xiǎn)更高。雖然誤報(bào)數(shù)是嚴(yán)重問題，但可以辨別該問題并予以糾正。通常，IDS報(bào)告首先由自動(dòng)化工具進(jìn)行分析以消除已知的誤報(bào)，一般而言不是個(gè)問題。IDS不會(huì)阻擋任何流量。[單選題]90.控制進(jìn)入計(jì)算機(jī)設(shè)施的雙道門,其主要的目的是用于:A)防止尾隨B)阻止有毒氣體進(jìn)入數(shù)