CISA 2024中文習(xí)題710(答案)

CISA2024

Chapter1信息系統(tǒng)審計程序

■ISACA發(fā)布的信息系統(tǒng)審計標(biāo)準(zhǔn)”，準(zhǔn)則,程序和職業(yè)道德規(guī)范

■IS審計實務(wù)和技術(shù)

■收集信息和保存證據(jù)的技術(shù)（視察，調(diào)查問卷，談話，計算機(jī)協(xié)助審計技術(shù)，電子介質(zhì)）

■證據(jù)的生命周期（證據(jù)的收集，愛護(hù)和證據(jù)之間的關(guān)系）

■與信息系統(tǒng)相關(guān)的限制目標(biāo)和限制

■審計過程中的風(fēng)險評估

■審計支配和管理技術(shù)

■報告和溝通技術(shù)（推動，商談，解決沖突）

■限制自我評估

■不間斷審計技術(shù)（連續(xù)審計技術(shù)）

Chapter2IT治理

■IT戰(zhàn)略，政策，標(biāo)準(zhǔn)和程序?qū)M織的意義，及其基本要素

■IT治理框架

■制定實施和復(fù)原IT戰(zhàn)略政策標(biāo)準(zhǔn)和程序的流程

■質(zhì)量管理戰(zhàn)略和政策

■與IT運(yùn)用和管理相關(guān)的組織結(jié)構(gòu)，角色和職責(zé)

■公認(rèn)的國際IT標(biāo)準(zhǔn)和準(zhǔn)則

■制定長期戰(zhàn)略方向的企業(yè)所需的IT體系及其內(nèi)容

■風(fēng)險管理方法和工具

■限制框架（cobit）的運(yùn)用

■成熟度和流程改進(jìn)模型

■簽約戰(zhàn)略,程序和合同管理實務(wù)

■IT績效的監(jiān)督和報告實務(wù)

■有關(guān)的法律規(guī)章問題（保密，隱私，學(xué)問產(chǎn)權(quán)）

■IT人力資源管理

■資源投資和配置實務(wù)

Chapter3系統(tǒng)和體系生命周期

■收益管理實務(wù)（可行性探討，業(yè)務(wù)案例）

■項目治理機(jī)制，如:項目指導(dǎo)委員會，項目監(jiān)督委員會

■項目管理實務(wù)，工具和限制框架

■用于項目管理上的風(fēng)險管理實務(wù)

■項目勝利的原則和風(fēng)險

■涉及開發(fā)，維護(hù)系統(tǒng)的配置，變更和版本管理

■確保IT系統(tǒng)應(yīng)用的交易和數(shù)據(jù)的完整性,精確性，有效性和授權(quán)的限制目標(biāo)和技術(shù)

■關(guān)于數(shù)據(jù)，應(yīng)用和技術(shù)的企業(yè)框架

■需求分析和管理實務(wù)

■選購和合同管理程序

■系統(tǒng)開發(fā)方法和工具以及他優(yōu)的優(yōu)缺點(diǎn)

■質(zhì)量保證方法

■測試流程的管理

■數(shù)據(jù)轉(zhuǎn)換工具技術(shù)和程序

■系統(tǒng)的處置程序

■軟件，硬件的認(rèn)證和鑒證明務(wù)

■實施后的檢查目標(biāo)和方法，如項目關(guān)閉，收益實現(xiàn)，績效測定

■系統(tǒng)移植和體系開發(fā)實務(wù)

Chapter4IT服務(wù)和交付

■服務(wù)等級和水平

■運(yùn)營管理的最佳實務(wù):如工作負(fù)荷調(diào)度,網(wǎng)絡(luò)服務(wù)管理，預(yù)防性維護(hù)

■系統(tǒng)性能監(jiān)控程序,工具和技術(shù).

■硬件和網(wǎng)絡(luò)設(shè)備的功能

■數(shù)據(jù)庫管理實務(wù)

■操作系統(tǒng)工具軟件和數(shù)據(jù)庫管理系統(tǒng)

■生產(chǎn)實力支配和監(jiān)控技術(shù)

■對生產(chǎn)系統(tǒng)的應(yīng)急變更和調(diào)度管理程序，包括變更配置版本發(fā)布和補(bǔ)丁管理實務(wù)

■生產(chǎn)事務(wù)/問題管理實務(wù)

■軟件許可證和清單管理實務(wù)

■系統(tǒng)縮放工具和技術(shù)

Chapters信息資產(chǎn)愛護(hù)

■信息系統(tǒng)平安設(shè)計，實施和監(jiān)控技術(shù)

■用戶運(yùn)用授權(quán)的功能和數(shù)據(jù)時，識別簽訂和約束等邏輯訪問限制

■邏輯訪問平安體系

■攻擊方法和技術(shù)

■對平安事務(wù)的預(yù)料和響應(yīng)程序

■網(wǎng)絡(luò)和internet平安設(shè)備

■入侵檢測系統(tǒng)和防火墻的配置

■加密算法/技術(shù)

■公共密鑰機(jī)構(gòu)組件

■病毒檢測和限制技術(shù)

■平安方案測試和評估技術(shù):滲透技術(shù)，漏洞掃描

■生產(chǎn)環(huán)境愛護(hù)實務(wù)和設(shè)備

■物理平安系統(tǒng)和實務(wù)

■數(shù)據(jù)分類技術(shù)

■語音通訊的平安

■保密信息資產(chǎn)的采集.存儲.運(yùn)用.傳輸和處置程序和流程

■與運(yùn)用便攜式和無線設(shè)備

Chapter6業(yè)務(wù)連續(xù)性與災(zāi)難復(fù)原支配

■數(shù)據(jù)備份，存儲，維護(hù)，保留和復(fù)原流程

■業(yè)務(wù)連續(xù)性和災(zāi)難復(fù)原有關(guān)的法律規(guī)章協(xié)議和保險問題

■業(yè)務(wù)影響分析(BIA)

■開發(fā)和維護(hù)災(zāi)難復(fù)原與業(yè)務(wù)持續(xù)支配

■災(zāi)難復(fù)原和業(yè)務(wù)連續(xù)性支配測試途徑和方法

■與災(zāi)難復(fù)原和業(yè)務(wù)連續(xù)性有關(guān)的人力資源管理

■啟用災(zāi)難到原和業(yè)務(wù)連續(xù)性支配的程序和流程

■備用業(yè)務(wù)處理站點(diǎn)的類型,和監(jiān)督有關(guān)協(xié)議合同的方法

CISA2024練習(xí)題

Chapter1

i.d下列哪些形式的審計證據(jù)就被視為最牢靠？

□口頭聲明的審計

□由審計人員進(jìn)行測試的結(jié)果

□組織內(nèi)部產(chǎn)生的計算機(jī)財務(wù)報告

□從外界收到的確認(rèn)來信

2d當(dāng)程序變更是，從下列哪種總體種抽樣效果最好？

□測試庫清單

□源代碼清單

□程序變更要求

□產(chǎn)品庫清單

■3c在對定義IT服務(wù)水平的限制過程的審核中，審計人員最有可能面試：

□系統(tǒng)程序員.

□法律人員

□業(yè)務(wù)部門經(jīng)理

□應(yīng)用程序員.

■4a進(jìn)行符合性測試的時候，下面哪一種抽樣方法最有效？

□屬性抽樣

□變量抽樣

□平均單位分層抽樣

□差別估算

■5a當(dāng)評估一個過程的預(yù)防限制、檢察限制和訂正限制的整體效果時，審計人員應(yīng)當(dāng)知道：

□當(dāng)數(shù)據(jù)流通過系統(tǒng)時，其作用的限制點(diǎn)。

□只和預(yù)防限制和檢查限制有關(guān).

□訂正限制只能算是補(bǔ)償.

□分類有助于審計人員確定哪種限制失效

■6D審計人員在對幾個關(guān)鍵服務(wù)進(jìn)行審計的時候，想要通過分析審計軌跡的方法發(fā)覺潛在的用戶或系統(tǒng)行為異

樣。下列哪些工具最適合從事這項工作？

□計算機(jī)協(xié)助開發(fā)工具(casetool)

□嵌入式(embedded)數(shù)據(jù)收集工具

□啟發(fā)掃描工具(heuristicscanningtools)

□趨勢/變更檢測工具

?7c在應(yīng)用程序開發(fā)項目的系統(tǒng)設(shè)計階段，審計人員的主要作用是：

□建議具體而具體的限制程序

□保證設(shè)計精確地反映了需求

□確保在起先設(shè)計的時候包括了全部必要的限制

□開發(fā)經(jīng)理嚴(yán)格遵守開發(fā)日程支配

■8A下面哪一個目標(biāo)限制自我評估(CSA)支配的目標(biāo)？

□關(guān)注高風(fēng)險領(lǐng)域

□替換審計責(zé)任

□完成限制問卷

□促進(jìn)合作研討會Collaborativefacilitativeworkshops

■9C利用風(fēng)險評估方法對信息平安管理的基準(zhǔn)方法進(jìn)行評估的主要優(yōu)點(diǎn)時是保證：

□充分愛護(hù)信息資產(chǎn)

□依據(jù)資產(chǎn)價值進(jìn)行基本水平的愛護(hù)

□對于信息資產(chǎn)進(jìn)行合理水平的愛護(hù)

□依據(jù)全部要愛護(hù)的信息資產(chǎn)安排相應(yīng)的資源

■10B審計軌跡的主要目的是：

□改善用戶響應(yīng)時間

□確定交易過程的責(zé)任和權(quán)利

□提高系統(tǒng)的運(yùn)行效率

□為審計人員追蹤交易供應(yīng)有用的資料

■11D在基于風(fēng)險為基礎(chǔ)的審計方法中，審計人員除了風(fēng)險，還受到以下那種因素影響：

□可以運(yùn)用的CAATs

□管理層的陳述

□組織結(jié)構(gòu)和崗位職責(zé).

□存在內(nèi)部限制和運(yùn)行限制

■12A對于組織成員運(yùn)用限制自我評估(CSA)技術(shù)的主耍好處是：

□可以確定高風(fēng)險領(lǐng)域，以便以后進(jìn)行具體的審查

□使審計人員可以獨(dú)立評估風(fēng)險

□可以作來取代傳統(tǒng)的審計

□使管理層可以放棄relinquish對限制的責(zé)任

■13C下列哪一種在線審計技術(shù)對于盡早發(fā)覺錯誤或異樣最有效？

□嵌入審計模塊

□綜合測試設(shè)備Integratedtestfacility

□快照sanpshots

□審計鉤Audithooks

■14C當(dāng)一個程序樣本被選中要確定源代碼和目標(biāo)代碼的版本一樣性的問題時，審計人員會用下面哪一種測試方

法？

□對于程序庫限制進(jìn)行實質(zhì)性測試

□對于程序庫限制進(jìn)行復(fù)合性測試

□對于程序編譯限制的符合性測試

□對于程序編譯限制的實質(zhì)性測試

■15B在實施連續(xù)監(jiān)控系統(tǒng)時，信息系統(tǒng)審計師第一步時確定：

□合理的起先(thresholds)指標(biāo)值

□組織的高風(fēng)險領(lǐng)域

□輸出文件的位置和格式

□最有最高回報潛力的應(yīng)用程序

■16B審計支配階段，最重要的一步是確定：

□高風(fēng)險領(lǐng)域

□審計人員的技能

□審計測試步驟

□審計時間

■17A審計師被對一個應(yīng)用系統(tǒng)進(jìn)行實施后審計。下面哪種狀況會損害信息系統(tǒng)審計師的獨(dú)立性？審計師：

□在應(yīng)用系統(tǒng)開發(fā)過程中，實施了具體的限制

□設(shè)計并嵌入了特地審計這個應(yīng)用系統(tǒng)的審計模塊

□作為應(yīng)用系統(tǒng)的項目組成員，但并沒有經(jīng)營責(zé)任

□為應(yīng)用系統(tǒng)最佳實踐供應(yīng)詢問看法

■18B審計中發(fā)覺的證據(jù)表明，有一種欺詐舞弊行為與經(jīng)理的帳號有關(guān)。經(jīng)理把管理員安排給他的密碼寫在紙上

后，存放在書桌抽屜里。IS審計師可以推想的結(jié)論是：

□經(jīng)理助理有舞弊行為

□不能確定無疑是誰做的

□確定是經(jīng)理進(jìn)行舞弊

□系統(tǒng)管理員進(jìn)行舞弊

■19c為確保審計資源的價值安排給組織價值最大的部分，第一步將是：

□制定審計口程表并監(jiān)督花在每一個審計項目上的時間

□培育審計人員運(yùn)用目前公司正在運(yùn)用的最新技術(shù)

□依據(jù)具體的風(fēng)險評估確定審計支配

□監(jiān)督審計的進(jìn)展并起先成本限制措施

■20D審計師在評估一個公司的網(wǎng)絡(luò)是否可能被員工滲透，其中下列哪一個發(fā)覺是審計師應(yīng)當(dāng)最重視的？

□有一些外部調(diào)制解調(diào)器連接網(wǎng)絡(luò)

□用戶可以在他們的計算機(jī)上安裝軟件

□網(wǎng)絡(luò)監(jiān)控是特別有限的

□很多用戶帳號的密碼是相同的

■21A信息系統(tǒng)審計師在限制自我評估(CSA)中的傳統(tǒng)角色是：

□推動者(facilitator)

□經(jīng)理

□伙伴

□股東

■22C下面哪一種審計技術(shù)為IS部門的職權(quán)分別供應(yīng)了最好的證據(jù)：

□與管理層探討

□審查組織結(jié)構(gòu)圖

□視察和面談

□測試用戶訪問權(quán)限

■23AIS審計師應(yīng)當(dāng)最關(guān)注下面哪一種狀況？

□缺少對勝利攻擊網(wǎng)絡(luò)的報告

□缺少對于入侵企圖的通報政策

□缺少對于訪問權(quán)限的定期審查

□沒有通告公眾有關(guān)入侵的狀況

■24A審計人員審計網(wǎng)絡(luò)操作系統(tǒng)。下面哪一個是審計人員應(yīng)當(dāng)審計的用戶特征？

□可得到在線網(wǎng)絡(luò)文檔

□支持終端訪問遠(yuǎn)程主機(jī)

□處理在主機(jī)和內(nèi)部用戶通信之間的文件傳輸

□執(zhí)行管理，審計和限制

■25c審計師運(yùn)用不完整的測試過程得出不存在重大錯誤的結(jié)論，這種做法的風(fēng)險實質(zhì)上是：

□固有的風(fēng)險.

□限制風(fēng)險

□檢查危急

□審計風(fēng)險

■26D審計章程應(yīng)實行：

□是動態(tài)的和常常變更的，以便適應(yīng)技術(shù)和和審計專業(yè)(professional)的變更

□清晰的說明審計目標(biāo)和授權(quán)，維護(hù)和審核內(nèi)部限制

□文檔化達(dá)到支配審計目標(biāo)的審計程序

□列出對審計功能的全部授權(quán)，范圍和責(zé)任

■27A審計師已經(jīng)對一個金融應(yīng)用的數(shù)據(jù)完整性進(jìn)行了評估，下面哪一個發(fā)覺是最重要的？

□應(yīng)用程序全部者不知道IT部門對系統(tǒng)實施的一些應(yīng)用

□應(yīng)用數(shù)據(jù)每周只備份一次

□應(yīng)用開發(fā)文檔不完整

□信息處理設(shè)施沒有受到適當(dāng)?shù)幕馂?zāi)探測系統(tǒng)的愛護(hù)

■28BIS審計功能的一個主要目的是：

□確定每個人是否都依據(jù)工作說明運(yùn)用IS資源

□確定信息系統(tǒng)的資產(chǎn)愛護(hù)和保持?jǐn)?shù)據(jù)的完整性

□對于計算機(jī)化的系統(tǒng)審查帳冊及有關(guān)證明文件

□確定該組織識別詐騙fraud的實力

■29c進(jìn)行審計的時候，審計師發(fā)覺存在病毒，1S審計師下一步應(yīng)當(dāng)做什么？

□視察反應(yīng)機(jī)制

□病毒清除網(wǎng)絡(luò)

□馬上通知有關(guān)人員

□確保刪除病毒

■30D審計章程的的主要目標(biāo)是：

□A記錄企業(yè)運(yùn)用的審計流程

□B審計部門行動支配的正式文件

□C記錄審計師專業(yè)行為的行為準(zhǔn)則

□D說明審計部門的權(quán)力和責(zé)任。

■3ID在對1T程序的平安性審計過程中，1S審計師發(fā)覺沒有文件記錄平安程序，該審計員應(yīng)當(dāng)：

□建立程序文件

□終止審計

□進(jìn)行一樣性測試

□鑒定和評估現(xiàn)行做法

■32D在風(fēng)險分析期間，IS審計師已經(jīng)確定了威逼和潛在的影響，下一步IS審計師應(yīng)當(dāng)：

□確定并評估管制層運(yùn)用的風(fēng)險評估過程

□確定信息資產(chǎn)和受影響的系統(tǒng)

□發(fā)覺對管理者的威逼和影響

□鑒定和評估現(xiàn)有限制.

■33A下面哪一項用于描述ITF(整體測試法)最合適？

□這種方法使1S審計師能夠測試計算機(jī)應(yīng)用程序以核實正確處理

□利用硬件和或軟件測試和審查計算機(jī)系統(tǒng)的功能

□這種方法能夠運(yùn)用特殊的程序選項打印出通過計算機(jī)系統(tǒng)執(zhí)行的特定交易的流程

□IS系統(tǒng)審計師用于測試的一種程序，可以用于處理lagging和擴(kuò)展交易和主文件記錄。

■34BIS審計師要推斷是否嚴(yán)格限制被授權(quán)者對于程序文檔的訪問，最有可能的做法是：

□評估在存儲場所的文件保存支配

□就當(dāng)前正在進(jìn)行的流程采訪程序員

□對比實際運(yùn)用的記錄和操作表

□審查數(shù)據(jù)文件訪問記錄測試管理庫的功能

■35D須要進(jìn)?步收集哪些數(shù)據(jù)，IS審計師的確定取決于

□須要的重要信息的可用性

□審計師對于狀況的熟識程序

□審計人員(auditee)找到相關(guān)證據(jù)的實力

□進(jìn)行審計的目的和范圍

■36A審查管理層的長期戰(zhàn)略支配有助于審計師：

□了解一個組織的宗旨和目標(biāo)

□測試企業(yè)的內(nèi)部限制

□評估組織隊信息系統(tǒng)的依靠性

□確定審計所需的資源

■37B利用統(tǒng)計抽樣程序可以削減：

□抽樣風(fēng)險

□檢查風(fēng)險

□固有風(fēng)險

□限制風(fēng)險

■38cls審計師對軟件運(yùn)用和許可權(quán)進(jìn)行審計，發(fā)覺大量的PC安裝了未授權(quán)的軟件.IS審計師應(yīng)當(dāng)實行下面哪

種行為？

□個人擅自刪除全部未授權(quán)軟件拷貝

□通知被審計人員非授權(quán)軟件的狀況，并確認(rèn)刪除

□報告運(yùn)用未經(jīng)授權(quán)軟體的狀況，并須要管理層避開這種狀況重復(fù)發(fā)生

□不實行任何行動，囚為這是一個公認(rèn)的慣例和做法，業(yè)務(wù)管理部門負(fù)責(zé)監(jiān)督這種運(yùn)用

■39A下面哪一項1S審計師可用來確定編輯和確認(rèn)程序的有效性(effectiveness)?

□域完整性測試

□相關(guān)完整性測試

□參照完整性測試

□奇偶校驗檢查

■40A下面哪一種狀況下，IS審計師應(yīng)當(dāng)用統(tǒng)計抽樣而不是推斷抽樣(nonstatistical)：

□錯誤率必需被客觀量化(objectivelyquantified)

□審計師希望避開抽樣風(fēng)險

□通用審計軟件不好用(unavailable)

□容忍誤差(tolerableerrorrate)不能確定

■41c證明稅收計算系統(tǒng)精確性的最好的方法是：

□對于計算程序源代碼具體目測審核和分析

□運(yùn)用通用審計軟件對每個月計算的總數(shù)進(jìn)行重復(fù)的邏輯計算

□為處理流程準(zhǔn)備模擬交易，并和預(yù)先確定的結(jié)果進(jìn)行比較

□自動分析流程圖和計算程序的源代碼

■42B以下哪一個是運(yùn)用測試數(shù)據(jù)的最大的挑戰(zhàn)？

□確定測試的程序的版本和產(chǎn)品程序的版本一樣

□制造測試數(shù)據(jù)包括全部可能的有效和無效的條件

□對于測試的應(yīng)用系統(tǒng)，盡量削減附加交易的影響

□在審計師監(jiān)督下處理測試數(shù)據(jù)

■43A電子郵件系統(tǒng)已經(jīng)成為一個有用的訴訟證據(jù)來源，下面哪一個是最有可能的緣由？

□多重循環(huán)備份檔案可供利用

□訪問限制可以確定電子郵件行為的責(zé)任

□對于通過電子郵件溝通的信息盡心過數(shù)據(jù)分類管理

□企業(yè)中，用于確保證據(jù)可得的清晰的運(yùn)用電子郵件的政策

■44BIS審計師對于應(yīng)用程序限制進(jìn)行審查，應(yīng)當(dāng)評價：

□應(yīng)用程序?qū)τ跇I(yè)務(wù)流程的的效率

□發(fā)覺的隱患exposures的影響

□應(yīng)用程序服務(wù)的業(yè)務(wù)

□應(yīng)用程序的優(yōu)化.

■45A以下哪一個是最主要的優(yōu)勢，利用計算機(jī)司法軟件進(jìn)行調(diào)查：

□維護(hù)保管的一系列電子證據(jù)

□節(jié)約時間

□效率和效益

□尋求侵?jǐn)_學(xué)問產(chǎn)權(quán)證據(jù)的實力

■46B以下哪一個是運(yùn)用ITF綜合測試法的優(yōu)勢？

□運(yùn)用真實的或虛擬的主文件，IS審計師不須要審查交易的來源。

□定期檢驗過程并不須要單獨(dú)分別測試過程

□證明應(yīng)用程序并可測試正在進(jìn)行的操作

□它無需準(zhǔn)備測試數(shù)據(jù).

■47c風(fēng)險分析的一個關(guān)鍵因素是：

□審計支配.

□限制

□弱點(diǎn).Vulnerabilities

□負(fù)債liabilities

■48BIS審計師的決策和行動最有可能影響下面哪種風(fēng)險？

□固有風(fēng)險

□檢查分析

□限制風(fēng)險

□業(yè)務(wù)風(fēng)險

■49c在一臺重要的服務(wù)器中，IS審計師發(fā)覺了由已知病毒程序產(chǎn)生的木馬程序，這個病毒可以利用操作系統(tǒng)的

弱點(diǎn)。IS審計師應(yīng)當(dāng)首先做什么？

□調(diào)查病毒的作者.

□分析操作系統(tǒng)日志

□確保惡意代碼已被清除

□安裝消退弱點(diǎn)vulnerability的補(bǔ)丁.

?50B組織的IS部門希望確保用于信息處理設(shè)備的計算機(jī)文件有足夠的備份以便能進(jìn)行適當(dāng)?shù)膹?fù)原。這是一種:

□限制程序.

□限制目標(biāo)

□訂正限制

□運(yùn)行限制.

■51DIS審計師審計IT限制的效果，發(fā)覺了一份以前的審計報告，但是沒有工作記錄workpapers,IS審計師應(yīng)

當(dāng)怎么處理？

□暫停審計直至找到工作記錄

□依靠以前的審計報告

□對于風(fēng)險最高的區(qū)域重新測試限制

□通知審計管理層，重新測試限制

■52cls審計師審查組織圖主耍是為了：

□理解工作流程

□調(diào)查各種溝通渠道

□理解個人的責(zé)任和權(quán)利

□調(diào)查員工之間不同的聯(lián)系渠道

■53BIS審計師審查對于應(yīng)用程序的訪問，以確定最近的10個“新用戶”是否被爭取的授權(quán)，這個例子是關(guān)于：

□變量抽芽

□實質(zhì)性測試

□符合性測試

□停-走抽樣.

■54B當(dāng)須要審計軌跡的時候，以下哪一種審計工具最有用？

□綜合測試法(ITF)

□持續(xù)間斷模擬(CIS)

□審計鉤(audithook)

□快照

■55B當(dāng)須要審計軌跡的時候，以下哪一種審計工具最有用？

□綜合測試法(ITF)

□持續(xù)間斷模擬(CIS)

□審計鉤(audilhook)

□快照

■56C以下哪一個是實質(zhì)性測試？

□檢查例外報告清單

□確認(rèn)對參數(shù)變更進(jìn)行審批

□對于磁帶庫清單進(jìn)行統(tǒng)計抽樣

□審核密碼歷史記錄

■57A對于特定威逼的整體經(jīng)營風(fēng)險的威逼，可以表示如下：

□一種產(chǎn)品的可能性和影響的重要性，假如威逼暴露了弱點(diǎn)

□影響的重要性應(yīng)當(dāng)是威逼來源暴露了弱點(diǎn)

□威逼來源暴露弱點(diǎn)的可能性

□風(fēng)險評估小組的整體推斷

■58C在審查客戶主文件的時候，IS審訂師發(fā)覺很多客戶的名字相同arisingfromvariationsincustomerfirst

names,為了進(jìn)一步確定重復(fù)程度，IS設(shè)計師應(yīng)當(dāng)：

□測試數(shù)據(jù)以確認(rèn)輸入數(shù)據(jù)

□測試數(shù)據(jù)以確定系統(tǒng)排序?qū)嵙?/p>

□用通用審計軟件確定地址字段的重復(fù)狀況

□用通用審計軟件確定帳戶字段的重復(fù)狀況

■59A通常，以F哪一種證據(jù)對IS審計師來說最牢靠？

□收到的來自第三方的核實帳戶余額確認(rèn)信

□一線經(jīng)理確保應(yīng)用程序如設(shè)計的方式工作

□從iniernet來源得到的數(shù)據(jù)趨勢(Trenddata)

□由一線經(jīng)理供應(yīng)報告，IS審計師開發(fā)的比率分析(Ratioanalysis)

■60A勝利的實施限制自我評估(CSA)須要高度依靠：

□一線管理人員擔(dān)當(dāng)部分監(jiān)督管理責(zé)任

□支配人員負(fù)責(zé)建設(shè)buhd管理,而不是監(jiān)督、限制

□實施嚴(yán)格的限制策略，和規(guī)則驅(qū)動的限制

□監(jiān)督實施和并對限制職責(zé)進(jìn)行監(jiān)督monitoring

■61A審計支配階段，對于風(fēng)險的評估用于供應(yīng)：

□審計覆蓋重大事項的合理保證

□明確保證重大事項在審計工作中被覆蓋

□審計覆蓋全部事項的合理保證

□充分保證全部事項在審計工作中被覆蓋

■62D下面哪一項是運(yùn)用基于風(fēng)險方法的審計支配的好處？審計

□日程支配可以提前完成.

□預(yù)算更符合IS審計人員的須要

□人員可以運(yùn)用不同的技術(shù)

□資源安排給高風(fēng)險領(lǐng)域

■63cls審計人員運(yùn)用數(shù)據(jù)流程圖是用來

□定義數(shù)據(jù)層次

□突出高級別數(shù)據(jù)定義.

□用圖表化方式描述數(shù)據(jù)路徑和存儲

□描繪一步一步數(shù)據(jù)產(chǎn)生的具體資料

?64B在對數(shù)據(jù)中心進(jìn)行平安審計時，通常審計師第一步要實行的是：

□評級物理訪問限制測試的結(jié)果

□確定對于數(shù)據(jù)中心站點(diǎn)的風(fēng)險/威逼

□審查業(yè)務(wù)持續(xù)程序

□測試對于可疑站點(diǎn)的物理訪問的證據(jù)

■65B高層管理要求IS審計師楮助部門管理者實施必要的限制，IS審計師應(yīng)當(dāng)：

□拒絕這種支配，因為這不是審計人員的職責(zé)

□告知管理層將來他的審計工作無法進(jìn)行

□執(zhí)行支配和將來的審計工作，處于職業(yè)謹(jǐn)慎

□在得到用戶部門批準(zhǔn)的狀況下，進(jìn)行實施和后續(xù)工作

■66B在制定風(fēng)險基礎(chǔ)審計策略時，IS審計師須要進(jìn)行風(fēng)險評估審計，目的是保證：

□減輕風(fēng)險的限制到位

□確定了脆弱性和威逼

□審計風(fēng)險的考慮.

□Gap差距分析是合適的.

■67A當(dāng)通知審計結(jié)果時，IS審計師應(yīng)當(dāng)牢記他們的最終責(zé)任是對：

□高級管理和/或?qū)徲嬑瘑T會.

□被審計單位的經(jīng)理.

□IS審訂主管.

□法律部門legalauthorities

■68B對于抽樣可以這樣認(rèn)為：

□當(dāng)相關(guān)的總體不具體或者是限制沒有文檔記錄時intangibleorundocumentedcontrol,適用于統(tǒng)計抽樣。

□假如審計師知道內(nèi)部限制是強(qiáng)有力的，可以降低置信系數(shù)

□屬性抽樣通過在盡可能早的階段停止抽樣可以避開過度抽樣。

□變量抽樣是一種技術(shù)，用于評估某種限制或一系列相關(guān)限制的發(fā)生率。

■69cls審計師評估系統(tǒng)變更的測試結(jié)果，這個系統(tǒng)用于處理繳納結(jié)算paymemcomputalion。審計師發(fā)覺50%

的計算結(jié)果不能和預(yù)先定義的總數(shù)匹配。IS審計師最有可能實行下面哪一步措施？

□對于出錯的計算，設(shè)計進(jìn)一步的測試

□確定可能導(dǎo)致測試結(jié)果錯誤的變量

□檢查部分測試案例，以便確認(rèn)結(jié)果

□記錄結(jié)果，準(zhǔn)備包括發(fā)覺、結(jié)論和建議的報告

■70C在實施對于多用戶分布式應(yīng)用程序的審核時，IS審計師發(fā)覺在三個方面存在小的弱點(diǎn)：初始參數(shù)設(shè)置不當(dāng)，

正在適用的弱密碼，一些關(guān)鍵報告沒有被很好的檢查。當(dāng)準(zhǔn)備審計報告時，IS審計師應(yīng)當(dāng)：

□分別記錄對于每個發(fā)覺產(chǎn)生的相關(guān)影響。(recordtheobservationsseparatelywiththeimpactofeachof

theinmarkedagainsteachrespectivefinding.)

□建議經(jīng)理關(guān)于可能的風(fēng)險不記錄這些發(fā)覺，因為限制弱點(diǎn)很小

□記錄發(fā)覺的結(jié)果和由F綜合缺陷引發(fā)的風(fēng)險

□報告部門領(lǐng)導(dǎo)重視每一個發(fā)覺并在報告中適當(dāng)?shù)挠涗?/p>

■71b人力資源的副總裁要求審計確定上一年度工資發(fā)放中多付酬勞的部分，這種狀況下最好運(yùn)用下面哪一種審

計技術(shù)？

□測試數(shù)據(jù)

□通用審計軟件

□ITF綜合測試法

□嵌入審計模塊

■72c持續(xù)審計方法的主要優(yōu)點(diǎn)是：

□當(dāng)處理過程起先的時候，不要求審計師就系統(tǒng)的牢靠性收集證據(jù)

□當(dāng)全部信息收集完成后，須要審計師審查并馬上實行行動

□可以提高系統(tǒng)的平安性，當(dāng)運(yùn)用分時環(huán)境處理大量的交易時

□不依靠組織的計算機(jī)系統(tǒng)的困難性。

■73A在審計章程中記錄的審計功能中的責(zé)任、權(quán)力和經(jīng)營責(zé)任responsibility,authorityandaccountability,必需：

□必需經(jīng)最高管理層批準(zhǔn)

□經(jīng)審計部門管理者批準(zhǔn)

□經(jīng)用戶部門領(lǐng)導(dǎo)批準(zhǔn)

□在每年IS審計師大會commencemeni之前修改

■74Als審計師從一個客戶的數(shù)據(jù)庫引入數(shù)據(jù)。下一步須要確認(rèn)輸入數(shù)據(jù)是否完整，是由：

□匹配輸入數(shù)據(jù)的限制總數(shù)和原始數(shù)據(jù)的限制總數(shù)

□對數(shù)據(jù)進(jìn)行排序以確認(rèn)是否數(shù)據(jù)和原始數(shù)據(jù)的序號相同

□審查打印輸出的前100條原始記錄和輸入數(shù)據(jù)的前100條記錄

□依據(jù)不同的分類過濾數(shù)據(jù)，和原始數(shù)據(jù)核對

■75A在評估網(wǎng)絡(luò)監(jiān)測限制時，IS審計師笫一步應(yīng)當(dāng)審核網(wǎng)絡(luò)的

□A拓樸圖.

□帶寬運(yùn)用.

□堵塞分析報告

□瓶頸確定

■76DIS審計師評估信息系統(tǒng)的管理風(fēng)險。IS審計師應(yīng)當(dāng)最先審查：

□已經(jīng)實施的限制

□己經(jīng)實施限制的有效性

□資產(chǎn)的風(fēng)險監(jiān)督機(jī)制

□資產(chǎn)的脆弱性和威逼

■77B在有異議的狀況下，離開審計面談中xitinterview,考慮到結(jié)果的影響，IS審計師應(yīng)當(dāng)：

□要求被審計人員以簽名的形式接受全部法律費(fèi)任

□闡述調(diào)查的意義和不訂正的風(fēng)險

□向?qū)徲嬑瘑T會報告有異議的狀況

□接收被審計方的看法，因為他們有處理的全部權(quán)

■78D確定商品庫存的價值已超過八周，IS審計師最有可能是用：

□測試數(shù)據(jù).

□統(tǒng)計抽樣

□綜合測試法ITF

□通用審計軟件

■79A下列哪一個是風(fēng)險評估過程的描述？風(fēng)險評估是：

□主觀.

□客觀.

□數(shù)學(xué)方法

□統(tǒng)計

■80c綜合測試法ITF被認(rèn)為是一個有用的工具，因為它：

□對于審計應(yīng)用限制來說，是一種具有成本效益的方式

□允許財務(wù)和IS審計師整合他們的測試

□將處理的輸出結(jié)果與單獨(dú)計算的數(shù)據(jù)進(jìn)行比較.

□為IS審計師供應(yīng)分析大量信息的工具

■81A在審計報告確認(rèn)發(fā)覺的結(jié)果finding后，被審計方快速實行了訂正行動。審計師應(yīng)當(dāng)：

□在最終報告中包括發(fā)覺的結(jié)果，因為IS師要負(fù)責(zé)正確的審計報告包括全部的發(fā)覺結(jié)果。

□在最終的調(diào)查報告中不包括發(fā)覺結(jié)果，因為審計報告僅僅包括未解決的發(fā)覺結(jié)果

□在最終的調(diào)查報告中不包括發(fā)覺結(jié)果，因為在審計師審計期間，訂正行動已經(jīng)被確認(rèn)。

□包括結(jié)果，僅僅在閉幕會議上探討調(diào)杳之用。

■82A以風(fēng)險為基礎(chǔ)的審計方法，IS審計師應(yīng)當(dāng)首先完成：

□固有的風(fēng)險評估.

□限制風(fēng)險評估.

□限制測試評估.

□實質(zhì)性測試評估.

Chapter2

1.b下面哪一種IT治理是提高戰(zhàn)略聯(lián)盟（alignmeni）的最佳做法？

a）供應(yīng)商和合作伙伴的風(fēng)險管理.

b）基于客戶、產(chǎn)品、市場、流程的學(xué)問庫實施到位.

c）供應(yīng)有利于于建立和共享商業(yè)信息的組織結(jié)構(gòu).

d）高層之間對于業(yè)務(wù)和技術(shù)責(zé)任的協(xié)調(diào)

2.d建立可接受的風(fēng)險水平的責(zé)任屬于：

a）質(zhì)量保證經(jīng)理.

b）高級業(yè)務(wù)管理.

c）CIO首席信息主管.

d）首席平安主管

3.a作為信息平安治理成果，戰(zhàn)略聯(lián)盟供應(yīng)：

a）企業(yè)需求驅(qū)動的平安要求.

b）依據(jù)最佳實踐制定的平安基線.

c）特地的或客戶定制的解決方案.

d）了解風(fēng)險.

4.c假如缺乏高層管理人員對于戰(zhàn)略支配的許諾（commitment）,最可能的后果是：

a）缺乏技術(shù)投資.

b）缺乏系統(tǒng)開發(fā)的方法.

c）技術(shù)與組織目標(biāo)不一樣.

d）缺乏對于技術(shù)合同的限制.

5.d用自下而上的方法來開發(fā)組織政策的優(yōu)勢在于這樣開發(fā)的政策：

a）為組織整體而指定.

b）更可能來自于風(fēng)險評估的結(jié)果.

c）與企業(yè)整體政策不會沖突.

d）確保整個組織的一樣性

6.aIS審計師發(fā)覺并不是全部的員工都知道企業(yè)的信息平安政策.【S審計師可以得出的結(jié)論是:

a）這種無知有可能導(dǎo)致意外泄漏敏感資料

b）信息平安并非對全部功能都是關(guān)鍵的.

c）IS審計師應(yīng)當(dāng)為員工供應(yīng)平安培訓(xùn).

d）D審計結(jié)果應(yīng)當(dāng)使管理者為員工供應(yīng)持續(xù)的培訓(xùn)

7.a有效的IT治理應(yīng)當(dāng)確保IT支配符合組織的：

a）業(yè)務(wù)支配.

b）審計支配.

c）平安支配.

d）投資支配.

8.a當(dāng)通信分析人員進(jìn)行下面哪一項的時候，IS審計師應(yīng)當(dāng)賜予重點(diǎn)關(guān)注？

a）監(jiān)測系統(tǒng)性能，追蹤程序變動導(dǎo)致的問題

b）依據(jù)當(dāng)前和將來的交易量，審查網(wǎng)絡(luò)負(fù)載需求

c）評價終端響應(yīng)時間和網(wǎng)絡(luò)數(shù)據(jù)傳輸率對于網(wǎng)絡(luò)負(fù)載的影響

d）網(wǎng)絡(luò)負(fù)載平衡措施和改進(jìn)建議

9.c下面哪一項最可能示意，客戶數(shù)據(jù)倉庫應(yīng)當(dāng)由內(nèi)部開發(fā)而不是外包給海外運(yùn)營？

a）時差不同有可能影響IT團(tuán)隊的溝通

b）通信費(fèi)在第一年特別高

c）有關(guān)防私權(quán)的法律可能會阻礙信息跨國界傳輸

d）軟件開發(fā)須要更具體的說明

10.d當(dāng)一名員工被解雇時，須要實行的最重要的行動是：

a）交出全部職工的檔案給指定的另一名雇員.

b）完成員工工作的備份.

c）通知其他員工關(guān)于該員工的解雇通知.

d）解除該員工的邏輯訪問權(quán)限.

11.d在處理可疑入侵時，一個合理的信息平安策略最有可能包括下列哪一項？

a）反應(yīng)

b）糾錯

c）檢測

d）監(jiān)控

12.cIS審計師在審查運(yùn)用交叉培訓(xùn)做法的組織時，應(yīng)當(dāng)評估哪一種風(fēng)險？

a）對于單個員_L的依靠性

b）連續(xù)性支配不夠充分

c）一個員工了解系統(tǒng)的全部部分

d）錯誤操作.

13.blS審計師在審查IT設(shè)備的外包合同的時候，希望合同確定的是：

a）硬件配置.

b）訪問限制軟件.

c）學(xué)問產(chǎn)權(quán)的全部權(quán).

d）開發(fā)應(yīng)用方法.

14.c設(shè)計信息平安政策時，最重要的一點(diǎn)是全部的信息平安政策應(yīng)當(dāng)：

a）非現(xiàn)場存儲.

b）由IS經(jīng)理簽署writtenbyISmanagement

c）分發(fā)并傳播給用戶.

d）常常更新.

15.d當(dāng)評價組織的IS戰(zhàn)略時候，下面哪一項IS審計師認(rèn)為是最重要的？

a）獲得一線管理人員linemanagement的支持

b）不能與IS部門初步預(yù)算有差異

c）遵守選購程序

d）支持該組織的業(yè)務(wù)目標(biāo)

16.缺乏足夠的平安限制是一個：

a）威逼.

b）資產(chǎn).

c）影響.

d）脆弱性.

17.對于IT平安策略的審計的主要目的是保證

a）策略向全部員工分發(fā)，并且每個員工都知道

b）平安和限制策略支持業(yè)務(wù)和IT目標(biāo)

c）有公開發(fā)行的組織圖表和功能描述

d）適當(dāng)?shù)穆氊?zé)分別.

18.制訂風(fēng)險管理支配時，首先進(jìn)行的活動是：

a）風(fēng)險評估.

b）數(shù)據(jù)分類.

c）資產(chǎn)清單.

d）關(guān)鍵性分析.

19.制訂風(fēng)險管理支配時，首先進(jìn)行的活動是：

a）風(fēng)險評估.

b）數(shù)據(jù)分類.

c）資產(chǎn)清單.

d）關(guān)鍵性分析.

20.風(fēng)險分析小組很難預(yù)料由可能會由風(fēng)險造成的經(jīng)濟(jì)損失，要評估潛在的損失，小組須要：

a）il算有關(guān)資產(chǎn)的折舊.

b）計算投資回報率（ROI）.

c）采納定性的方法.

d）花費(fèi)必要的時間精確計算損失金額

21.以下哪一項是由于對于數(shù)據(jù)和系統(tǒng)的全部權(quán)定義不充分導(dǎo)致的最大的風(fēng)險？

a）管理協(xié)調(diào)用戶不存在.

b）無法明確特定用戶責(zé)任

O未授權(quán)用戶可以產(chǎn)生，修改和刪除數(shù)據(jù)

d）審計建議無法實施

22.耍支持組織的目標(biāo)，信息部門應(yīng)當(dāng)具有：

a）低成本理念.

b）長期和短期支配.

c）領(lǐng)先的技術(shù).

d）購買新的硬件和軟件的支配.

23.為降低成本并提高外包的服務(wù)水匕外包應(yīng)當(dāng)包括以下哪些合同條款？

a）操作系統(tǒng)和軟硬件更新的周期

h）共同共享由于提高績效獲得的收益Gain-sharingperformancebonuses

c）違規(guī)懲罰

d）費(fèi)用和可變成本Chargestiedtovariablecostmetrics

24.24.以下哪一項供應(yīng)了管理機(jī)制使IS管理層能夠確定是否該組織活動的支配偏離了支配或預(yù)期的水平？

a）質(zhì)量管理

b）Is評估方法

c）管理原則

d）行業(yè)標(biāo)準(zhǔn)/基準(zhǔn)

25.25.IS限制目標(biāo)對于IS審計師的用途體現(xiàn)在它們供應(yīng)了基礎(chǔ)，以便于理解：

a）實現(xiàn)特定限制程序的預(yù)期結(jié)果和目標(biāo)

b）對于特定實體的最佳IT平安限制措施

c）信息平安的技術(shù).

d）平安策略

26.對于公司的IS審計師來說，考慮外包IT過程并審查每一個供應(yīng)商的業(yè)務(wù)持續(xù)支配的副本是合適的的么？

□是合適的，因為IS審計師會評估服務(wù)商支配的充分性，并幫助公司實施補(bǔ)充支配

□是合適的，因為依據(jù)支配，IS審計師要評估服務(wù)方的財務(wù)穩(wěn)定性和履行合同的實力

□不合適，因為供應(yīng)的備份在合同中應(yīng)當(dāng)是具體充分的

□不合適，因為服務(wù)方的業(yè)務(wù)持續(xù)支配是私有的信息

27.當(dāng)服務(wù)被外包的時候，以下哪一個是IS管理者最重要的職能？

□:確保支付給服務(wù)商發(fā)票

□作為參與者參與系統(tǒng)設(shè)計

□重新和服務(wù)商關(guān)于費(fèi)用進(jìn)行談判

□監(jiān)督外包商的業(yè)績

■28.當(dāng)IT支持部門和終端用戶之間的責(zé)權(quán)分別問題很重要時，應(yīng)當(dāng)實行下面哪種補(bǔ)償限制？

□限制物理訪問計算機(jī)設(shè)備

□審查交易和應(yīng)用日志

□在雇用IT部門人員時進(jìn)行背景調(diào)查

□一段時間不活動后，鎖定用戶進(jìn)程

■29.對于組織來說外包其數(shù)據(jù)處理業(yè)務(wù)的可能的優(yōu)勢是：

□能夠獲得所須要的外部的專家閱歷

□可以對處理行使更大的限制

□可以實施和內(nèi)部確定處理的優(yōu)先權(quán)

□溝通用戶需求時，須要更多的用戶參與

■30.IS指導(dǎo)委員會應(yīng)當(dāng)：

□包括來自各個部門和各個層次的員工

□確保IS平安政策和程序被適當(dāng)?shù)膱?zhí)行

□有正式的定期召開例會，并保留每一次會議記錄

□在每一次供應(yīng)商召集的會議上，記錄新的趨勢和產(chǎn)品

■31.某個長期雇員是具有強(qiáng)大的技術(shù)背景和廣泛的管理閱歷，申請IS審計部門的一個空缺職位。確定是否在此

崗位上是否聘用此人須要考慮個人閱歷和：

□服務(wù)時間，因為這將有助于確保技術(shù)水平.

□年齡，因為培訓(xùn)審計技術(shù)可能不切實際.

□IS學(xué)問，因為這會帶來提高審計工作的可信度.

□實力，因為作為1S審計師，與現(xiàn)有的IS關(guān)系是獨(dú)立的

■32.很多組織要求雇員強(qiáng)制性休假一周以上是為了：

□確保員工保持良好的生活品質(zhì)，這將帶來更大的生產(chǎn)率.

□削減雇員從事非法或不當(dāng)行為的機(jī)會.

□為其他雇用供應(yīng)適當(dāng)?shù)慕徊媾嘤?xùn).

□消退員工休假一次一天的潛在的干擾

■33.在實施平衡計分卡之前，該組織必需：

□供應(yīng)切實有效的服務(wù).

□確定關(guān)鍵性能指標(biāo).

□供應(yīng)當(dāng)項目的商業(yè)價值.

□限制IT支出.

■34.在企業(yè)資源支配（ERP）系統(tǒng)中總帳的設(shè)置功能允許設(shè)置會計期間。對于這項功能允許財務(wù)，倉庫和訂單

輸入部門的用戶都可以運(yùn)用這項功能。這種廣泛的訪問權(quán)的最可能的緣由是：

□須要定期更改會計期間

□一個會計期間結(jié)束后，須要追加記帳

□缺少適當(dāng)?shù)恼吆统绦蜻M(jìn)行職責(zé)分工

□須要建立和修改關(guān)于賬目和安排的圖表

■35.在IS部門中，下面哪一項IS審計師認(rèn)為是和IS部門的短期支配最相關(guān)的？

□資源安排

□保持技術(shù)的領(lǐng)先水平

□進(jìn)行評估自我限制

□硬件需求評估

■36.評估IT風(fēng)險的最佳方法是：

□評估與現(xiàn)有IT資產(chǎn)和IT項目相關(guān)的威逼

□利用公司以往的實際閱歷，確定當(dāng)前風(fēng)險損失.

□審查同類公司公布的損失統(tǒng)計數(shù)據(jù)

□審查IS審計報告中指出的限制弱點(diǎn)

■37.以下哪一個是IT績效衡量過程的主要目的？

□最小化錯誤

□收集績效數(shù)據(jù).

□建立績效基準(zhǔn).

□績效優(yōu)化.

?38.讓業(yè)務(wù)單位擔(dān)當(dāng)開發(fā)應(yīng)用業(yè)務(wù)的責(zé)任，很可能會導(dǎo)致：

□:數(shù)據(jù)通信的需求大幅度削減.

□行使較低水平的限制.

□實行更高層次的限制.

□改善職責(zé)分工.

■39.IS審計師受雇審查電子商務(wù)平安。IS審計師的第一個任務(wù)是檢查每一個現(xiàn)有的電子商務(wù)應(yīng)用以查找脆弱性。

下一步工作是什么？

□馬上向CIO或CEO報告風(fēng)險

□檢杳開發(fā)中的電子商務(wù)應(yīng)用.

□確定威逼和發(fā)生的可能性.

□核對風(fēng)險管理的可行預(yù)算.

■40.以卜哪一項是創(chuàng)建防火墻策略的第一步？

□對于平安應(yīng)用的成本效益分析方法

□識別外部訪問的網(wǎng)絡(luò)應(yīng)用

□識別外部訪問的網(wǎng)絡(luò)應(yīng)用的脆弱性

□設(shè)立應(yīng)用限制矩陣，顯示保障方法

■41.確保組織遵守隱私的要求，IS審計師應(yīng)當(dāng)首先審查：

□IT基礎(chǔ)設(shè)施.

□組織的政策、標(biāo)準(zhǔn)和程序.

□法律和規(guī)章的規(guī)定.

□組織政策、標(biāo)準(zhǔn)和程序的附件.

■42.組織的管理層確定建立一個平安通告awareness程序。下面哪一項可能是程序的一部分？

□利用入侵偵測系統(tǒng)報告事務(wù)

□授權(quán)運(yùn)用密碼訪問全部軟件

□安裝高效的用戶日志系統(tǒng)，以追蹤記錄每個用戶的行為

□定期培訓(xùn)全部當(dāng)前員工和新進(jìn)員工

■43.以下哪一項是減輕職責(zé)劃分不當(dāng)引發(fā)風(fēng)險的補(bǔ)償限制？

□序列檢驗

□核對數(shù)字

□源文件保存

□批限制Reconciliations

■44.IT平衡記分卡是一種業(yè)務(wù)的監(jiān)督管理工具目的是為了監(jiān)督IT性能評價指標(biāo)而不是

□財務(wù)狀況.

□客戶滿足度

□內(nèi)部過程的效率.

□創(chuàng)新實力

■45.由上而下的方式建立的業(yè)務(wù)政策將有助于保證：

□政策在整個組織的范圍內(nèi)一樣.

□政策作為風(fēng)險評估的一部分實施

□遵守全部政策.

□政策被定期檢討.

■46.以下哪一項是IT指導(dǎo)委員會的職能：

□監(jiān)測供應(yīng)商對于變更限制的限制和測試

□保證信息處理環(huán)境中的職責(zé)分別

□審批和監(jiān)管重大項目，IS支配和預(yù)算的狀況

□IS部門和終端用戶之間的聯(lián)系

■47.其中哪一項應(yīng)包括在組織的信息平安政策中？

□要愛護(hù)的關(guān)鍵IT資源列表

□訪問授權(quán)的基本原則

□確定敏感平安特征

□相關(guān)的軟件平安特征

■48.在一個組織內(nèi)，IT平安的貢任被清晰的定義和強(qiáng)化，并始終如一地執(zhí)行IT平安的風(fēng)險和影響分析。這表示

的是信息平安治理成熟度模型的哪一級？

□優(yōu)化.

□管理

□定義

□重復(fù)

■49.IS審計師在審查信息系統(tǒng)短期(戰(zhàn)術(shù))支配時應(yīng)確定是否：

□在項目中，IS人員和業(yè)務(wù)人員進(jìn)行了整合

□有明確的目標(biāo)和任務(wù)

□信息技術(shù)支配戰(zhàn)略方法在發(fā)揮作用

□將業(yè)務(wù)目標(biāo)和IS目標(biāo)進(jìn)行關(guān)聯(lián)的支配

■50.局域網(wǎng)(LAN)管理員通常受限制于(不能)：

□具有終端用戶權(quán)限

□向終端用戶經(jīng)理報告

□具有編程權(quán)限

□負(fù)責(zé)局域網(wǎng)平安管理

■51.一個組織收購其他企業(yè)，并接著運(yùn)用其遺留的電子數(shù)據(jù)交換系統(tǒng)，和三個獨(dú)立的增值網(wǎng)供應(yīng)商。沒有書面

的增值網(wǎng)合同。IS審計師應(yīng)當(dāng)建議管理者：

□獲得第三方服務(wù)供應(yīng)商的獨(dú)立保證

□設(shè)置程序監(jiān)督第三方交付的服務(wù)

□確保正式合同發(fā)揮作用

□考慮和第三方服務(wù)供應(yīng)商共同開發(fā)業(yè)務(wù)持續(xù)支配

■52.對于勝利實施和維護(hù)平安政策來說，以下哪一項是最重要的？

□各方的書面平安策略的結(jié)構(gòu)和目的都一樣。Assimilationoftheframeworkandintentofawrillensecurity

policybyallappropriateparties

□管理層支持并批準(zhǔn)實施和維護(hù)平安政策

□通過對任何違反平安規(guī)則的行為進(jìn)行懲處來強(qiáng)調(diào)平安規(guī)測

□平安管理人員通過訪問限制軟件嚴(yán)格執(zhí)行，監(jiān)督和強(qiáng)調(diào)平安規(guī)則

■53.下列哪一項削減了潛在的社會工程攻擊的影響：

□遵守規(guī)定要求

□提高道德意識

□平安意識awareness程序

□有效的業(yè)績激勵

■54.以下是一種機(jī)制可以減輕風(fēng)險.

□平安和限制措施

□財產(chǎn)責(zé)任保險

□審計和鑒證

□合同服務(wù)水平協(xié)議(SLA)

■55.電子取證的風(fēng)險可能會削減的緣由是通過電子郵件的：

□破壞政策.

□平安政策.

□存檔政策

□審計政策

■56.1S審計師審查組織的IS戰(zhàn)略支配，首先要審查：

□現(xiàn)有的IT環(huán)境

□業(yè)務(wù)支配

□目前的IT預(yù)算.

□目前的技術(shù)趨勢

□

■57.技術(shù)變革的速度增加了下面哪一項的重要性：

□外包IS功能.

□實施和強(qiáng)化良好流程

□員工在組織中的建立事業(yè)的愿望

□滿足用戶要求

■58.將會在組織的戰(zhàn)略支配中發(fā)覺下面哪一個目標(biāo)？

□測試新的帳戶包Testanewaccountingpackage

□進(jìn)行信息技術(shù)需求評估

□在接下來的12個月中實施新的項目支配

□成為杲種產(chǎn)品的供應(yīng)商

■59.制定一個平安政策是哪一個部門的最終責(zé)任：

□IS部門.

□平安委員會.

□平安管理員.

□董事會

■60.IT治理是哪一項的主要責(zé)任：

□首席執(zhí)行官.

□董事會

□IT指導(dǎo)委員會.

□審計委員會.

■61.1S審計師對于與員工相關(guān)的IS管理實踐審計進(jìn)行一般限制審計，應(yīng)當(dāng)特殊關(guān)注的是：

□強(qiáng)制休假政策和遵守狀況.

□人員分類和公允的補(bǔ)償政策.

□員工培訓(xùn).

□安排給員工的職責(zé).

■62.從限制角度而言，T.作的描述的關(guān)鍵要素在于他們：

□供應(yīng)如何工作的說明和明確的授權(quán)

□對于員工來說是更新的，文檔化，并且簡潔得到

□溝通管理者的具體工作業(yè)績預(yù)期.

□確立員工行為的責(zé)任和義務(wù)

■63.下列哪些證據(jù)供應(yīng)了具有合適的平安意識程序的最好證據(jù)？

□股東的數(shù)量Thenumberofstakeholders,包括受到培訓(xùn)各級員工

□整個企業(yè)范圍內(nèi)培訓(xùn)覆蓋的范圍

□不同供應(yīng)商的平安設(shè)施落實狀況

□定期審查并與最佳實踐比較

■64.在制定以下哪一項時，包括高層管理人員參與是最重要的？

□戰(zhàn)略支配.

□IS政策

□IS程序.

□標(biāo)準(zhǔn)和指南.

■65.在審查IS戰(zhàn)略時，IS審計師最能衡量IS策略是否支持組織的業(yè)務(wù)目標(biāo)的做法是確定是否:

□有須要的全部人員和裝備.

□支配與管理策略一樣.

□運(yùn)用設(shè)備和人員的效率和效益.

□有足夠的實力，以適應(yīng)不斷變更的方向.

■66.在職責(zé)分別不合適的環(huán)境中，IS審計師要找尋下面哪一種限制？

□重疊限制

□邊界限制

□訪問限制

□補(bǔ)償性限制

■67.當(dāng)IS從獨(dú)立的服務(wù)供應(yīng)商處選購時，審計師應(yīng)當(dāng)期望在招標(biāo)書requestforproposal(RFP)中包括下面哪一

項？

□從其他客戶參考

□服務(wù)水平協(xié)議(SLA)模板

□維護(hù)協(xié)議

□轉(zhuǎn)換支配

■68.風(fēng)險管理的產(chǎn)出結(jié)果是下面哪一項的輸入？

□業(yè)務(wù)支配.

□審計章程.

□平安政策策略.

□軟件設(shè)計策略.

■69.IT指導(dǎo)委員會審查信息系統(tǒng)主要是為了評估：

□IT處理是否支持業(yè)務(wù)需求.

□提出的系統(tǒng)的功能是否足夠.

□現(xiàn)有軟件的穩(wěn)定性.

□安裝技術(shù)的困難性.

■70.建立了信息平安程序的第一步是：

□制定和實施信息平安標(biāo)準(zhǔn)手冊.

□IS審計師執(zhí)行對于平安限制理解的審查performanceofacomprehensivesecuritycontrolreviewby(heIS

auditor.

□采納公司的信息平安政策報告

□購買平安訪問限制軟件

■71.在審查電子資金轉(zhuǎn)帳系統(tǒng)［EFT)的結(jié)構(gòu)時，IS審計師留意到技術(shù)架構(gòu)基于集中處理方式，并且外包給國外

處理。由于這些信息，下面哪一個結(jié)論是1S審計師最關(guān)注的？

□可能會有與司法權(quán)限范圍有關(guān)的問題

□由于有國外的供應(yīng)商可能會導(dǎo)致將來審計費(fèi)用超支

□由于距離，審計過程可能會很困難

□可能有不同的審計標(biāo)注

■72組織外包其軟件開發(fā)，以下哪一項是該組織IT管理的責(zé)任？

□支付服務(wù)供應(yīng)商

□作為參與者參與系統(tǒng)設(shè)計

□限制外包商遵守服務(wù)合同

□與供給商談判合同

■74.有效的1T治理要求組織的結(jié)構(gòu)和流程能夠確保：

□組織的戰(zhàn)略和目標(biāo)延長到IT戰(zhàn)略.

□業(yè)務(wù)戰(zhàn)略來自于IT戰(zhàn)略

□IT治理獨(dú)立于并不同于全面治理

□IT戰(zhàn)略擴(kuò)大了組織的戰(zhàn)略和目標(biāo)

■75.全面有效的電子郵件政策應(yīng)明確電子郵件結(jié)構(gòu)、執(zhí)行策略、監(jiān)控和：

□復(fù)原.

□保存.

□重建

□再用

■76.下面哪一項最能保證新員工的正直性？

□背景檢查

□參考資料

□bonding

□簡歷中的資格

Chapter3

□i.一個組織有一個集成開發(fā)環(huán)境，程序庫在服務(wù)器上，但是修改/開發(fā)和測試在工作站上完成，以下哪一項是

集成開發(fā)環(huán)境(IDE)的強(qiáng)項？

■限制程序多個版本的擴(kuò)散

■擴(kuò)展程序資源和可得到的協(xié)助工具

■增加程序和加工的整體性

■防止有效的變更被其他修改程序重寫

□2.以下哪一項是支配評審技術(shù)(PERT)相比其他方法的優(yōu)點(diǎn)？與其他方法相比：

■為支配和限制項目考慮不同的情景

■允許用戶輸入程序和系統(tǒng)參數(shù).

■測試系統(tǒng)維護(hù)加工的精確性

■估算系統(tǒng)項目成本.

□3.下列哪些是運(yùn)用原型法進(jìn)行開發(fā)的優(yōu)