CISA中文模擬題

1、2014年歷年真題回憶匯編 12 / 12一旦業(yè)務(wù)功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構(gòu)成了對組織的主要風(fēng)險？A、在異地存儲的備用資源詳細(xì)目錄沒有及時更新B、在備份計算機和恢復(fù)設(shè)備上存儲的備用資源詳細(xì)目錄沒有及時更新C、沒有對緊急情況下的供應(yīng)商或備選供應(yīng)商進(jìn)行評估，不知道供應(yīng)商是否還在正常營業(yè)D、過期的材料沒有從有用的資源中剔除下面哪一句涉及包交換網(wǎng)絡(luò)的描述是正確的？A、目的地相同的包穿過網(wǎng)絡(luò)的路徑（或稱為：路徑）相同B、密碼/口令不能內(nèi)置于數(shù)據(jù)包里C、包的長度不是固定的，但是每個包內(nèi)容納的信息數(shù)據(jù)是一樣的D、數(shù)據(jù)包的傳輸成本取決于將傳輸?shù)臄?shù)據(jù)包本身，與傳輸距離

2、和傳輸路徑無關(guān)IS指導(dǎo)委員會應(yīng)當(dāng)：A、包括來自不同部門和員工級別的成員B、確保IS安全政策和流程已經(jīng)被恰當(dāng)?shù)貓?zhí)行了C、有正式的引用條款和保管會議紀(jì)要D、由供應(yīng)商在每次會議上簡單介紹新趨勢和產(chǎn)品對IT部門的戰(zhàn)略規(guī)劃流程/程序的最佳描述是：A、依照組織大的規(guī)劃和目標(biāo)，IT部門或都有短期計劃，或者有長期計劃B、IT部門的戰(zhàn)略計劃必須是基于時間和基于項目的，但是不會詳細(xì)到能夠確定滿足業(yè)務(wù)要求的優(yōu)先順序的程序C、IT部門的長期規(guī)劃應(yīng)該認(rèn)識到組織目標(biāo)、技術(shù)優(yōu)勢和規(guī)章的要求D、IT部門的短期規(guī)劃不必集成到組織的短計劃內(nèi)，因為技術(shù)的發(fā)展對IT部門的規(guī)劃的推動，快于對組織計劃的推動在審核組織的系統(tǒng)開發(fā)方法學(xué)時，

3、IS審計人員通常首先執(zhí)行以下哪一項審計程序？A、確定程序的充分性B、分析程序的效率C、評價符合程序的程度D、比較既定程序和實際觀察到的程序某IS審計人員參與了某應(yīng)用開發(fā)項目并被指定幫助進(jìn)行數(shù)據(jù)安全方面的設(shè)計工作。當(dāng)該應(yīng)用即將投入運行時，以下哪一項可以為公司資產(chǎn)的保護提供最合理的保證？A、由內(nèi)部審計人員進(jìn)行一次審核B、由指定的IS審計人員進(jìn)行一次審查C、由用戶規(guī)定審核的深度和內(nèi)容D、由另一個同等資歷的IS審計人員進(jìn)行一次獨立的審查用戶對應(yīng)用系統(tǒng)驗收測試之后，IS審計師實施檢查，他（或她）應(yīng)該關(guān)注的重點A、確認(rèn)測試目標(biāo)是否成文B、評估用戶是否記載了預(yù)期的測試結(jié)果C、檢查測試問題日志是否完整D、確認(rèn)

4、還有沒有尚未解決的問題在評估計算機預(yù)防性維護程序的有效性和充分性時，以下哪一項能為IS審計人員提供最大的幫助？A、系統(tǒng)故障時間日志B、供應(yīng)商的可靠性描述C、預(yù)定的定期維護日志D、書面的預(yù)防性維護計劃表企業(yè)正在與廠商談判服務(wù)水平協(xié)議（SLA），首要的工作是：A、實施可行性研究B、核實與公司政策的符合性C、起草其中的罰則D、起草服務(wù)水平要求將輸出結(jié)果及控制總計和輸入數(shù)據(jù)及控制總計進(jìn)行匹配可以驗證輸出結(jié)果，以下哪一項能起上述作用？A、批量頭格式B、批量平衡C、數(shù)據(jù)轉(zhuǎn)換差錯糾正D、對打印池的訪問控制應(yīng)用控制的目的是保證當(dāng)錯誤數(shù)據(jù)被輸入系統(tǒng)時，該數(shù)據(jù)能被：A、接受和處理B、接受但不處理C、不接受也不處理

5、D、不接受但處理如果以下哪項職能與系統(tǒng)一起執(zhí)行，會引起我們的關(guān)切？A、訪問規(guī)則的維護B、系統(tǒng)審計軌跡的審查C、數(shù)據(jù)保管異口同聲D、運行狀態(tài)監(jiān)視應(yīng)用系統(tǒng)開發(fā)的責(zé)任下放到各業(yè)務(wù)基層，最有可能導(dǎo)致的后果是A、大大減少所需數(shù)據(jù)通訊B、控制水平較低C、控制水平較高D、改善了職責(zé)分工以下哪一項是業(yè)務(wù)流程再造項目的第一步？A、界定檢查范圍B、開發(fā)項目計劃C、了解所檢查的流程D、所檢查流程的重組和簡化企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當(dāng)?shù)难a償性控制是：A、限制物理訪問計算設(shè)備B、檢查事務(wù)和應(yīng)用日志C、雇用新IT員工之前進(jìn)行背景調(diào)查D、在雙休日鎖定用戶會話組織內(nèi)數(shù)據(jù)安全官的最為重要的

6、職責(zé)是：A、推薦并監(jiān)督數(shù)據(jù)安全政策B、在組織內(nèi)推廣安全意識C、制定IT安全政策下的安全程序/流程D、管理物理和邏輯訪問控制執(zhí)行應(yīng)用控制審核的IS審計人員應(yīng)評價：A、應(yīng)用滿足業(yè)務(wù)需求的效率B、所有已發(fā)現(xiàn)的、暴露的影響C、應(yīng)用所服務(wù)的業(yè)務(wù)流程D、應(yīng)用的優(yōu)化IS審計師在審計公司IS戰(zhàn)略時最不可能：A、評估IS安全流程B、審查短期和長期IS戰(zhàn)略C、與適當(dāng)?shù)墓竟芾砣藛T面談D、確保外部環(huán)境被考慮了一個項目經(jīng)理在目標(biāo)期限內(nèi)無法實施所有的審計建議。IT 審計師應(yīng)該怎么做？A. 建議項目暫時停止直至問題得到解決；B. 建議采取補償控制；C. 對未解決的問題進(jìn)行風(fēng)險評估；D. 建議項目經(jīng)理進(jìn)行資源的再分配來解決

7、該問題。為評估軟件的可靠性，IS審計師應(yīng)該采取哪一種步驟？A、檢查不成功的登陸嘗試次數(shù)B、累計指定執(zhí)行周期內(nèi)的程序出錯數(shù)目C、測定不同請求的反應(yīng)時間D、約見用戶，以評估其需求所滿足的范圍在業(yè)務(wù)流程重組(BPR)的哪一個步驟,待測定的團隊?wèi)?yīng)訪問、參觀基準(zhǔn)伙伴？A、觀察B、計劃C、分析D、調(diào)整IS管理層建立變更管理程序的目的是：A、控制應(yīng)用從測試環(huán)境向生產(chǎn)環(huán)境的移動B、控制因忽略了未解決的問題而導(dǎo)致的業(yè)務(wù)中斷C、保證在災(zāi)難發(fā)生時業(yè)務(wù)操作的不間斷D、檢驗系統(tǒng)變更已得到適當(dāng)?shù)臅娴挠涗浽趯徲嬒到y(tǒng)開發(fā)項目的需求階段時，IS審計人員應(yīng)：A、評估審計足跡的充分性B、標(biāo)識并確定需求的關(guān)鍵程度C、驗證成本理由和

8、期望收益D、確?？刂埔?guī)格已經(jīng)定義IS審計師正在檢查開發(fā)完成的項目以確定新的應(yīng)用是否滿足業(yè)務(wù)目標(biāo)的要求。下面哪類報告能夠提供最有價值的參考？A、用戶驗收測試報告B、性能測試報告C、開發(fā)商與本企業(yè)互訪記錄（或社會交往報告）D、穿透測試報告項目開發(fā)過程中用來檢測軟件錯誤的對等審查活動稱為：A、仿真技術(shù)B、結(jié)構(gòu)化走查C、模塊化程序設(shè)計技術(shù)D、自頂向下的程序構(gòu)造IS審計人員應(yīng)在系統(tǒng)開發(fā)流程的哪一個階段首次提出應(yīng)用控制的問題？A、構(gòu)造B、系統(tǒng)設(shè)計C、驗收測試D、功能說明在因特網(wǎng)應(yīng)用中使用小應(yīng)用程序（applets）的最有可能的解釋是：A、它是從服務(wù)器跨網(wǎng)絡(luò)發(fā)送B、服務(wù)器不能運行程序且輸出不能跨網(wǎng)絡(luò)發(fā)送C、

9、它可同時改進(jìn)WEB服務(wù)器和網(wǎng)絡(luò)的性能D、它是一種通過WEB瀏覽器下載并在客戶機的WEB服務(wù)器上運行的JAVA程序信息系統(tǒng)審計師檢查IT控制的效力時,發(fā)現(xiàn)以前的審計報告,沒有相應(yīng)的工作底稿,他(她)該怎么辦?A、暫停審核工作,直到找到這些審計底稿B、信息并直接采納以前的審計報告C、重新測試好些處于高風(fēng)險內(nèi)的控制D、通知審計經(jīng)理,并建議重新測試這些控制下面哪個在線審計技術(shù)對于早期發(fā)現(xiàn)錯誤或誤報有效A、嵌入式審計模塊B、綜合測試工具C、快照D、審計鉤以下哪項應(yīng)是IS審計師最為關(guān)注的:A、沒有報告網(wǎng)絡(luò)被攻陷的事件B、未能就企業(yè)闖入事件通知執(zhí)法人員C、缺少對操作權(quán)限的定期檢查D、沒有就闖入事件告之公眾為

10、滿足預(yù)定義的標(biāo)準(zhǔn),下面哪一種連續(xù)審計技術(shù),對于查找要審計的事務(wù)是最佳的工具?A、系統(tǒng)控制審計檢查文件和嵌入式審計模塊(SCARF/EAM)B、持續(xù)和間歇性模擬(CIS)C、整體測試(ITF)D、審計鉤(Audit hooks)在審查定義IT服務(wù)水平的過程控制時，信息系統(tǒng)審計師最有可能先與下列哪種人面談：A、系統(tǒng)編程人員B、法律顧問C、業(yè)務(wù)單位經(jīng)理人員D、應(yīng)用編程人員如下哪一類風(fēng)險是假設(shè)被檢查的方面缺乏補償控制:A、控制風(fēng)險B、檢查風(fēng)險C、固有風(fēng)險D、抽樣風(fēng)險對新的應(yīng)收帳模塊實施實質(zhì)性審計測試時,IS審計師的日程安排非常緊,而且對計算機知識知之不多.那么,下面哪一項審計技術(shù)是最佳選擇?A、測試數(shù)

11、據(jù)B、平行模擬(Parallel simulation)C、集成測試系統(tǒng)(ITF)D、嵌放式審計模塊(EAM)制訂基于風(fēng)險的審計程序時,IS審計師最可能關(guān)注的是:A、業(yè)務(wù)程序/流程B、關(guān)鍵的IT應(yīng)用C、運營控制D、業(yè)務(wù)戰(zhàn)略下面的哪一種加密技術(shù)可以最大程度地保護無線網(wǎng)絡(luò)免受中間人攻擊？A、128位有線等效加密（WEP）B、基于MAC地址的預(yù)共享密鑰（PSK）C、隨機生成的預(yù)共享密鑰（PSK）D、字母和數(shù)字組成的服集標(biāo)識符（SSID處理計算機犯罪事件需要運用管理團隊的方法，下面哪一個角色的職責(zé)是明確的？A、經(jīng)理B、審計人員C、調(diào)查人員D、安全負(fù)責(zé)人安全事件應(yīng)急響應(yīng)系統(tǒng)的最終目標(biāo)是：A、對安全事件做

12、出的反應(yīng)不足B、檢測安全事件C、對安全事件做出過度反應(yīng)D、實施提高安全的保護措施在對數(shù)據(jù)中心進(jìn)行審計時,審計師應(yīng)當(dāng)檢查電壓調(diào)整器是否存在,以保證:A、保護硬件設(shè)備免受浪涌損害B、如果主電力被中斷,系統(tǒng)的完整性也可以得到維護C、如果主電力被中斷,可以提供即時的電力供應(yīng)D、保護硬件設(shè)備不受長期電力波動的影響建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任?A、職能部門用戶B、內(nèi)部審計人員C、數(shù)據(jù)處理人員D、外部審計人員下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進(jìn)行安全控制的目的?A、完整性控制的需求是基于風(fēng)險分析的結(jié)果B、控制已經(jīng)過了測試C、安全控制規(guī)范是基于風(fēng)險分析的結(jié)果D、控制是在可重復(fù)的基

13、礎(chǔ)上被測試的下面哪一種拒絕服務(wù)攻擊在網(wǎng)絡(luò)上不常見？A、服務(wù)過載B、對消息的洪水攻擊C、連接阻塞D、信號接地對每個字符和每一幀都傳輸冗余信息，可以實現(xiàn)對錯誤的檢測和校正，這種方法稱為：A、反饋錯誤控制B、塊求和校驗C、轉(zhuǎn)發(fā)錯誤控制D、循環(huán)冗余校驗下列哪一種行為是互聯(lián)網(wǎng)上常見的攻擊形式？A、查找軟件設(shè)計錯誤B、猜測基于個人信息的口令C、突破門禁系統(tǒng)闖入安全場地D、種值特洛伊木馬在一個單機運行的微型計算機或網(wǎng)絡(luò)服務(wù)器環(huán)境下，防止程序被盜竊和使系統(tǒng)免受病毒威脅的有效預(yù)防性措施不包括以下哪一條？A、提醒員工不要在非授權(quán)的情況下拷貝任何存放在計算機硬盤上受保護的可執(zhí)行程序B、禁止任何人從一張軟盤拷貝可執(zhí)行程序到另一張軟盤C、不允許有任何從軟件拷貝可執(zhí)行程序到硬盤的企圖D、禁止任何人從“外來的”軟盤上執(zhí)行任何程序IS審計師應(yīng)該參與：A、參觀災(zāi)難恢復(fù)計劃的測試和演練B、制定災(zāi)難恢復(fù)計劃C、維護災(zāi)難恢復(fù)計劃D、檢查災(zāi)難恢復(fù)需求有交的供應(yīng)商合同IS審計師發(fā)現(xiàn)企業(yè)的業(yè)務(wù)連續(xù)性計劃中選定的備用處理設(shè)施的處理能力只能達(dá)到現(xiàn)有系統(tǒng)的一半。那么他/她該怎么做？A、無需做什么。因為只有處理能力低于正常的25%，才會嚴(yán)重影響企業(yè)的生存和備份能力B、找出可以在備用設(shè)施使用的應(yīng)用，其它業(yè)務(wù)處理采用手工操作，制訂手工流程以備不測C