CISA學習 模擬題 3

1、目錄第一部分：模擬題2第二部分模擬題答案17第一部分：模擬題證明數(shù)字簽名有效的最佳方式是？核實發(fā)送者的公鑰證書來自可信任的CA使用來自CA的哈希算法來檢測消息是否被篡改過通過對哈希值的手工對比來驗證數(shù)字簽名獲得發(fā)送者的公鑰，并且驗證數(shù)字簽名業(yè)務影響分析（BIA）最主要的目的是？定義恢復戰(zhàn)略識別備份站點改進恢復測試計算年度損耗預測（ALE）決定企業(yè)IT風險偏好的最佳角色是？首席法務官安全經(jīng)理審計委員會指導委員會下面哪一個加密機制運行在OSI模型的應用層上？安全套接層（SSL）IPSecSSH安全/超文本傳輸協(xié)議（S/HTTP）企業(yè)正在制定數(shù)據(jù)庫軟件升級的策略。IS審計師能夠采取下面哪一項任務而

2、不損害IS審計職能的客觀性？建議對新的數(shù)據(jù)庫軟件采用應用控制措施向項目組提供將來許可證費用的估算建議項目的計劃可改進遷移的效率在測試實施前審查用于驗收測試用例文檔當下載軟件時，哈希值可能會提供給：確保軟件來自可信的源作為提供售后服務的參考指標確保軟件沒有被修改過作為付款的依據(jù)在下列控制措施中，防止不適當?shù)卦L問業(yè)務應用系統(tǒng)中的私人敏感信息的最 佳方法是什么？雙因素認證訪問控制授權信息的加密基于角色的訪問控制（RBAC）有效的職責分離（SoD）單點登錄（SSO）服務作為一個合適的鑒別系統(tǒng)用來鑒別網(wǎng)絡上的用戶。IS 審計師已經(jīng)記錄了用戶可以擁有多個ID，并且身份鑒別系統(tǒng)與人力資源（HR） 系統(tǒng)沒有進

3、行強制鏈接。IS審計師最應關注以下哪一項？用戶ID用于不同的應用系統(tǒng)喪失用戶ID的唯一性分配給用戶多個系統(tǒng)賬號ID沒有使用統(tǒng)一的命名標準下面哪一項是保護電源斷電的最好措施？電源轉(zhuǎn)換系統(tǒng)雙路供電線路發(fā)電機不間斷電源下面哪項是使得整體程序編碼變得高校并且可靠的最佳方式？結構化編程微程序設計面向?qū)ο缶幊叹€性規(guī)劃一個關鍵的IT系統(tǒng)開發(fā)人員突然從企業(yè)辭職。下面哪一項行動是最重要的？與人力資源部（HR）進行面談啟動移交程序，以保證項目的持續(xù)性終止開發(fā)人員對于IT資源的邏輯訪問控制在離職單上確保管理層已簽字下面哪一項最能夠成功的將業(yè)務應用系統(tǒng)中的重疊關鍵控制識別出來？評審連接復雜業(yè)務流程的系統(tǒng)功能通過集成測

4、試設施（ITF）提交測試交易采用自動化的審計解決方案取代手工監(jiān)控測試控制措施確認其有效性在進行應用審計期間，IS審計師發(fā)現(xiàn)一些在數(shù)據(jù)庫數(shù)據(jù)損毀的問題。下面哪 一項是審計師應該推薦的正確的控制？定義標準，密切監(jiān)控其符合性確保只有授權人員才能更新數(shù)據(jù)庫采取控制措施處理并行的訪問問題采取恢復步驟為確保有組織的進行災難恢復，最重要的業(yè)務連續(xù)性計劃（BCP）和災難恢 復計劃（DRP）是：存儲和替代的站點與所有人員保持聯(lián)系定期進行測試演練定期進行計劃更新一個企業(yè)的首席信息官（CIO）擔心在軟件項目中一旦軟件進入測試階段會 發(fā)現(xiàn)很多典型的缺陷，并且項目整體處于延遲狀態(tài)。下面哪一項對于當前的 情況是比較合適的

5、？責令所有的測試由專門的測試小組來進行生成更小更短的增量系統(tǒng)采取連續(xù)開發(fā)技術，將測試類型連接在開發(fā)階段要求項目交付物均正式簽署IS審計師觀察到許多個應用程序安裝在同一臺服務器上。這臺服務器的恢復 時間目標（RTO）將是？取決于應用程序的最長的RTO取決于應用程序最短的RTO取決于每個應用程序的平均RTORTO是獨立的，并且取決于最關鍵的應用程序?qū)徲嫀煱l(fā)現(xiàn)在已定義審計范圍內(nèi)不包括設備鏈接網(wǎng)絡的網(wǎng)絡拓撲圖，首席信 息官（CIO）解釋為拓撲圖正處于更新并且等待最后審批。IS審計師首先應 該：將IS審計范圍擴大為包含拓撲圖上沒有的設備評估未文件化定義設備審計范圍的影響記錄控制措施缺陷，因為網(wǎng)絡拓撲圖還

6、沒有被更新對沒有文檔定義的設備制定一個補充的審計計劃下面哪一項是IS審計師決定安全意識與培訓程序有效性的最佳方式？評審安全培訓程序詢問安全管理員選擇一個員工樣本進行訪談檢查對雇員的安全提醒下面哪項控制措施能夠幫助預防票據(jù)數(shù)據(jù)錄入時的重復？范圍檢查調(diào)換與代替序列檢查循環(huán)冗余校驗（CRC）在進行應用系統(tǒng)訪問控制審計中，IS審計師發(fā)現(xiàn)系統(tǒng)管理員管理關鍵應用程 序的邏輯訪問。IS審計師應該：應該擔心，因為應用程序所有者應該依據(jù)用戶的工作職責來限制對應用 程序的訪問不用擔心，因為系統(tǒng)管理員負責管理應用程序應該擔心，因為信息安全職能應根據(jù)業(yè)務需要限制用戶訪問不用擔心，因為系統(tǒng)管理員知道每一個人是否可以訪問

7、應用系統(tǒng)下面哪一項測試技術可以被IS審計師用來識別還沒有被測試的特殊程序邏 輯？快照跟蹤和標簽日志映射下面哪一項能夠最有效的消除來自企業(yè)內(nèi)部攻擊對企業(yè)數(shù)據(jù)安全的威脅？形成一個合適的信息安全策略對雇員提供安全培訓對關鍵崗位提供有競爭力的薪酬對潛在的雇員進行足夠的背景調(diào)查關于控制自我評估與控制自我保證程序最主要的目標是？為企業(yè)簡化監(jiān)控控制措施取代部分內(nèi)部審計職責移除一線管理人員的控制職責將部分控制監(jiān)控職責轉(zhuǎn)移到只能區(qū)域下面哪一項是促使業(yè)務與IT之間能夠保持一致的最佳手段？成熟度模型目標與度量控制目標執(zhí)行、負責、咨詢和告知（RACI）表下面哪一個項是用來確保數(shù)據(jù)庫管理員（DBA）遵守企業(yè)數(shù)據(jù)保管工作

8、的有 效預防控制？異常報告職責分離（SoD）審查訪問日志與行為管理監(jiān)督安全管理員已經(jīng)告知IS審計師病毒掃描器已經(jīng)更新到最新版本。IS審計師確 認病毒掃描器已經(jīng)被配置成自動更新。為確認控制措施是有效的，IS審計師 接下來應該采取哪個步驟？將病毒防御的當前版本與供應商版本進行確認審查日志文件，確認病毒防御組件已經(jīng)被更新向安全管理員要求一個關于已經(jīng)將病毒組件升級到最新的確認IS審計師的工作已經(jīng)足夠，不需要更進一步的工作一個金融服務企業(yè)已經(jīng)有了一個小的IT部門，每個成員都承擔多個角色。下面的情況哪一項所帶來的風險是最大的？開發(fā)人員將代碼部署到生產(chǎn)環(huán)境業(yè)務分析編寫需求，并且執(zhí)行功能測試IT經(jīng)理同時進行系

9、統(tǒng)管理數(shù)據(jù)庫管理員（DBA）同時執(zhí)行數(shù)據(jù)備份當對一個財務會計應用進行邏輯訪問授權時，什么時候最可能發(fā)現(xiàn)錯誤？在進行IS審計時實施一個身份管理解決方案后賬號對賬時業(yè)務所有者定期進行授權審查時在調(diào)查一個在線交易時，一個企業(yè)意識到存在欺詐交易，并且需要介入法律 調(diào)查。這個企業(yè)最先采取的行動是？將欺詐交易分析文檔化開始將由于欺詐交易損失的資金進行恢復保護用于法庭訴訟的所有日志文件將系統(tǒng)從網(wǎng)絡中下線審計師在審查由第三方管理的云計算環(huán)境時，當出現(xiàn)以下哪種情況最應引起 關注？組織沒有被允許評估供貨商工作地點的控制措施服務級別協(xié)議（SLA）沒有界定供貨商對于安全損害方面的責任組織與供貨商所在國家法律法規(guī)是不一

10、樣的組織正在用一款版本比較舊的瀏覽器，并且對于特定風險是一個弱點一個私有企業(yè)為符合發(fā)生了巨大變更稅法要求正在進行一個修改財務會計 系統(tǒng)的項目，在正式投入使用前，作為系統(tǒng)所有者的財務經(jīng)理突然離開，并 且沒有完成系統(tǒng)變更的功能測試。開發(fā)團隊負責人認為可以在沒有得到業(yè)務 流程所有者批準的情況下實施這些變更。下面哪一項是正確的？如果恰當?shù)臏y試被實施，并且得到企業(yè)所有者批準，在沒有得到業(yè)務流 程所有者批準的情況下，變更可以從產(chǎn)品中去掉。在沒有得到應用所有者批準的情況下，變更不應該被升級。如果存在一 個實施變更緊急需求，管理者應該代替財務經(jīng)理審查測試并且進行審批變更可以從產(chǎn)品中移除，因為應用已經(jīng)使用了 5

11、年并且是適用的，開發(fā) 團隊負責人能夠作為代替角色進行批準審批變更。因為開發(fā)團隊負責人在會計方面具有足夠的知識，并且參與到在變更開 發(fā)中，因而沒有得到業(yè)務流程所有者的批準時，變更可以從產(chǎn)品中移除，。IS審計師正在主導一個企業(yè)的網(wǎng)絡實施后審查。下面哪一個發(fā)現(xiàn)可能是最應 該引起關注的？PDAs沒有口令保護安裝網(wǎng)絡設備時沒有對默認口令進行更改不存在外置的Web代理所有的通信鏈路都沒有進行加密IS審計師在審查IS安全策略時，應該核實信息安全管理角色與職責是否向下 面的哪個角色進行傳達？專職主管人員組織內(nèi)的用戶IS指導委員會IS安全管理人員在IPSec中，下面哪一項提供了最基本的數(shù)據(jù)保護？語義網(wǎng)壓縮安全有

12、效載荷（ESP）鑒定文件頭（AH）數(shù)據(jù)簽名IS審計中，IS審計師發(fā)現(xiàn)企業(yè)總部正在使用一個無線網(wǎng)絡，審計師最先應該 確認的事情為？建筑物之外的信號長度配置設置情況連接的客戶端數(shù)量設備設定的IP地址在評估基于口令管理程序的控制措施時，下面哪一項是IS審計師最有可能信 賴的？長度檢查散列綜合有效性檢查領域檢查在執(zhí)行一個政府研究設施通信審計時，IS審計師注意到網(wǎng)絡連接使用光纜， 然而其他的用普通的未屏蔽雙絞線（UTP）。下面哪一項是使用UTP線纜的 最大風險？由于缺乏頻帶寬度可能產(chǎn)生性能問題攻擊者可能通過截斷線纜來竊取數(shù)據(jù)由于光纖是易碎并且安裝復雜，可能導致設備安裝推遲由于串音可能導致信息泄漏在審計一

13、個小型企業(yè)時，IS審計師注意到IS主管有超級用戶特權，訪問權限 可以允許其處理應用程序訪問角色的變更需求。下面哪一項是IS審計師應該 建議的？為應用角色變更需求實施一個合適的文檔化流程雇傭額外人員來為應用角色變更提供一個職責分離機制（SoD）為應用角色變更實施一個自動化流程對當前的處理程序詳細的文檔化，并且在企業(yè)內(nèi)部保證其可用性IS審計師正在測試員工對一個大型財務系統(tǒng)的訪問，IS審計師從被審計人員 提供的當前員工列表中進行抽樣選擇，下面哪一項證據(jù)最能夠可靠的證明測 試？系統(tǒng)管理員提供的電子表格人力資源部招聘經(jīng)理簽署的文件系統(tǒng)提供的賬號訪問水平列表與系統(tǒng)管理員現(xiàn)場實施的觀察企圖使用本地管理員登錄

14、嘗試失敗的事件日志被審計師發(fā)現(xiàn)。下面的哪一項 最有可能是導致這么多失敗登錄嘗試的原因？SYN洪水攻擊社會工程緩沖區(qū)溢出攻擊惡意代碼攻擊在數(shù)據(jù)文件在處理過程中，下面哪一項能夠用來提供自動保證？內(nèi)部標簽，包括文件頭記錄版本使用奇偶校驗文件安全控制使用新的ERP工資系統(tǒng)代替舊的系統(tǒng)，下面哪種方法是促使用戶成功測試的 最佳方法？多重測試平行校驗集成測試原型測試下面哪一項是對使用不對稱加密算法進行加解密的最佳描述？使用接收者私鑰來解密被接收者公鑰加密的數(shù)據(jù)使用發(fā)送者私鑰來解密數(shù)據(jù)使用接收者公鑰來解密發(fā)送者私鑰加密了的數(shù)據(jù)使用發(fā)送者公鑰來加解密數(shù)據(jù)IS審計師在審計軟件獲取流程時，應確保：合同在簽署前，已得

15、到律師的審核和批準需求不能滿足現(xiàn)有的系統(tǒng)已了解關鍵業(yè)務的需求在處理過程用戶適當?shù)倪M行參與一個正在被建立在國外用來為公眾提供信息的數(shù)據(jù)庫，為了增加信息可用性 速度。數(shù)據(jù)庫被安置在一個數(shù)據(jù)中心，并且實時將信息更新到本地的鏡像上。 下面哪項操作被認為具有最高的風險？存儲在數(shù)據(jù)庫的保密性運行數(shù)據(jù)庫應用的硬件海外數(shù)據(jù)庫的信息的備份備份數(shù)據(jù)庫的遠程訪問IS審計師發(fā)現(xiàn)在很多情況下存在用戶名和口令相同的情況，這是違反安全政 策的。下面哪個是最佳的建議？修改企業(yè)的安全策略對弱口令對用戶進行教育要求對用戶ID和口令的檢測與糾正進行定期的審查更改系統(tǒng)配置，以強制實施強口令策略災難后當恢復數(shù)據(jù)時，下面哪一項是備份和恢

16、復程序有效的最佳標志？恢復小組成員可用恢復時間目標（RTOs）符合備份磁帶的目錄被適當?shù)木S護在代替站點備份磁帶被完全的恢復當需要訪問多個應用程序，并且保持識別管理措施的完整性，下面哪一項將 減少忘記口令的發(fā)生率？減少口令的長度建立單點登錄（SSO）使用雙因子認證允許使用前一個口令企業(yè)正在開發(fā)一套新的采購系統(tǒng)，項目開展已經(jīng)落后于計劃的時間表。因此， 測試階段被提議在原來的計劃的基礎上縮短時間。項目經(jīng)理詢問IS審計師關 于縮短測試所帶來的風險如何減輕，下面哪一項是最合適的風險減輕戰(zhàn)略？測試發(fā)布一個減少功能的試用版確定并且再測試最嚴格的功能缺陷減少開發(fā)團隊計劃測試，進行直達接受測試實施一個自動缺陷追

17、蹤的測試工具IS審計師已經(jīng)被指派進行工作運行日志與計算機工作時間表進行比較測試。 下面哪一項是IS審計師最為關切的？突發(fā)的變更數(shù)量正在增加擁有一些工作沒有被及時完成的情況有的時候，會有一些工作被計算機操作員遺漏證據(jù)表明只有計劃時間表上的工作運行過在對一個銀行進行審計時，IS審計師正在評估訪問操作系統(tǒng)的人員是否是適 當企業(yè)的管理人員。IS審計師將要決定企業(yè)是否實施：定期對用戶行為日志進行審查合適用戶授權審查數(shù)據(jù)用戶訪問行為日志定期對更改數(shù)據(jù)文件進行審查當首席風險官（CRO）完成組織控制自評估（CSA）的評估時，下面哪一項是 IS審計師最應該關注的？CRO直接向首席信息官（CIO）進行報告一些IT

18、經(jīng)理表明CSA培訓研討會是不充分的CRO直接向董事會進行報告CSA流程只是最近才被組織米納關鍵應用具有一個低的恢復時間目標（RTO）, IS審計師將要建議使用下面哪 一項恢復戰(zhàn)略？移動站點冗余站點熱戰(zhàn)互惠協(xié)定企業(yè)制定的呼叫中心的IS策略是要求所有的用戶被分配唯一的用戶賬戶。通 過觀察發(fā)現(xiàn)并不是所有當前用戶都是這樣的情況。下面哪個是最合適的建 議？將當前的配置交由運營管理層批準確保對所有存在的賬號擁有審計痕跡為所有員工實施個人用戶賬號修訂IS策略允許共享賬號在審查支持財務報表審計的IT控制中，總賬（GL）的使用者向IS審計師抱 怨訪問數(shù)據(jù)時存在相當長的延遲。IS審計師將要采取哪個行動是最合適的？

19、記錄延遲作為一個能夠被證明的控制缺陷建議使用平衡裝載來改進吞吐量在管理層的信件中進行解釋形成IT控制審計報告是不包括抱怨下面哪一項是確保業(yè)務連續(xù)的最重要的？關鍵員工的合同信息備份數(shù)據(jù)有權使用短期需求資金代替的處理站點對于一個具有高恢復時間目標的敏感系統(tǒng)來說，哪一項是最為合適的恢復戰(zhàn) 略？溫站熱站冷戰(zhàn)移動恢復站點為了減少成本，保險公司正在使用云計算通信來運行其一個關鍵的應用。下 面哪一項是IS審計師最應該關注的？在一個重大的技術失敗后，無力恢復業(yè)務存儲在共享環(huán)境下的數(shù)據(jù)被其他公司訪問服務提供商沒有包含對事故的調(diào)查支持如果供應商終止業(yè)務，服務的長期可用性一個保險公司正在將真實的客戶數(shù)據(jù)用于測試目的

20、。下面哪一項是IS審計師 對這種模式的安全運用最好的建議？審查訪問權限確保客戶數(shù)據(jù)是加密的執(zhí)行數(shù)據(jù)安全處理確保只有內(nèi)部管理員能夠管理數(shù)據(jù)庫企業(yè)正在采用由簽約的外部供應商提供服務的云基礎設施來用于個人數(shù)據(jù) 的使用。下面哪一項是審計這個項目時審計師最應該重點關注的？私有數(shù)據(jù)可能被未授權用戶的訪問通過遠程訪問的方式來訪問云站點主機配置與安裝是由供應商的管理員來完成使用單因子認證企業(yè)的數(shù)據(jù)中心在本地，并且關鍵財務系統(tǒng)是由外包商進行管理的。下面哪 一項是確保外部服務商員工遵守安全策略的最好控制措施？要求所有人員簽署同意企業(yè)安全策略與服務提供上的合同中包含賠償條款為所有人員提供強制的安全意識培訓修改安全策

21、略來滿足第三方人員的需求一個財務企業(yè)在IT戰(zhàn)略委員會與IT指導委員會之間的職責很難進行嚴格的 區(qū)分與定義。下面哪一項是IT指導委員會最有可能需要被分配的職責？批準IT項目計劃及預算確保IT目標與業(yè)務目標的融合對IT合規(guī)風險給出建議提供IT治理最佳實踐IS審計師發(fā)現(xiàn)企業(yè)在處理部分硬件設備沒有考慮一種安全方式，這樣可能無 法保證數(shù)據(jù)不能完全可靠的被恢復，除此之外，企業(yè)在數(shù)據(jù)處理方面也沒有 一個定義的策略。下面哪一項是IS審計師最先進行的？起草審計發(fā)現(xiàn)，并且與審計主管討論確定在硬件設備上的信息敏感性與IT經(jīng)理討論數(shù)據(jù)處理的最佳實踐為企業(yè)開發(fā)一個適當?shù)臄?shù)據(jù)處理策略IS審計組正在進行ERP系統(tǒng)與自動審計

22、工具的集成工作。因為性能原因，自動化的工具被禁止啟動使用。下面哪一項是IS審計師最佳的建議？審查被選擇集成控制的集成要求額外的IS審計資源要求供應商技術支持來解決性能問題審查在用戶接受測試（UAT）時的壓力測試結果IS審計師正在審查企業(yè)系統(tǒng)開發(fā)測試策略，關于使用生產(chǎn)數(shù)據(jù)進行測試，下 面哪一項是IS審計師提供的最合適的建議？在將生產(chǎn)數(shù)據(jù)用于測試前必須得到高級IS與業(yè)務經(jīng)理的批準測試數(shù)據(jù)可以被復制到一個安全測試環(huán)境中使用生產(chǎn)數(shù)據(jù)不能被使用，所有的測試數(shù)據(jù)必須依據(jù)文檔化的測試用例被創(chuàng) 建在簽署保密協(xié)議時，生產(chǎn)數(shù)據(jù)可以被提供使用IS審計師正在審查一個防火墻升級項目，發(fā)現(xiàn)一些業(yè)務開展所不需要的端口 仍在

23、是開放的。據(jù)調(diào)查這些端口是為了一個為時不長的測試服務器所開放 的。為了保證這種情況不再發(fā)生，下面哪個建議的控制是最好的？只有在變更進行適當?shù)奈臋n化時，防火墻規(guī)則才能更改測試服務器不應連接到生產(chǎn)環(huán)境下的防火墻IT經(jīng)理應聘用第三方來審查防火墻規(guī)則，每季度做一次滲透測試安全管理員應對生效的防火墻規(guī)則執(zhí)行定期審計業(yè)務連續(xù)性計劃（BCP）已經(jīng)被有效的實施開發(fā)，對于BCP最重要的是：BCP存儲在安全、場外設施中高級管理層批準與適當?shù)娜藛T的溝通保持在企業(yè)內(nèi)部的可用在審查企業(yè)的項目卷宗時，IS審計師最重要的建議點是？是否超出現(xiàn)有IT預算與投資戰(zhàn)略保持一致通過IT指導委員會批準與業(yè)務計劃相融合IS審計師參與項目

24、目標為“優(yōu)化IT設施的流程重組”的工作。下面哪一項將 最好的識別出需要被解決的問題？自評估反向工程原型研究網(wǎng)格分析在審查變更管理控制的數(shù)據(jù)文件時，下面哪一項最有助于減少調(diào)查異議所需 的調(diào)查時間？逐個檢查數(shù)據(jù)文件安全事物登記/交易日志更新文件和維護授權入侵檢測系統(tǒng)應將懷疑的網(wǎng)絡入侵最先報告給？信息安全官網(wǎng)絡管理員IS審計師合規(guī)官員在一個小型銀行的符合性審計期間，IS審計師觀察到財務系統(tǒng)的IT和會計職 能是同一個用戶。下面哪一下是監(jiān)管人進行審查時最佳的補償控制？展現(xiàn)數(shù)據(jù)和實踐交易的審計蹤跡帶有總體成員和每筆交易美元賬戶報告的詳細摘要用戶賬號管理在財務系統(tǒng)中顯示單筆交易的計算機日志文件下面哪一種情況

25、將能夠為關鍵應用提供最好的IT災難恢復計劃？每日數(shù)據(jù)備份，備份數(shù)據(jù)存儲在異地，并且熱戰(zhàn)距離主數(shù)據(jù)中心距離140 千米每日數(shù)據(jù)備份，備份數(shù)據(jù)存儲在防火保險箱中在主數(shù)據(jù)中心和熱戰(zhàn)之間實時數(shù)據(jù)復制，熱戰(zhàn)距離主站500米每日數(shù)據(jù)備份，備份數(shù)據(jù)存儲在異地，熱戰(zhàn)距離主數(shù)據(jù)中心70千米IS審計師在評估由政府進行IS符合性審計的ISP服務提供商。下面哪一項是 最重要的？審查需要求提案要求審查ISP提供的執(zhí)行月報審查服務級別協(xié)議（SLA）調(diào)查ISP的其他客戶下面哪一項最能夠描述強制休假目的？保證員工能夠多職能的交叉培訓提高員工士氣識別業(yè)務流程上的潛在錯誤或不相符被用來一項成本節(jié)約測量下面哪一項最能夠幫助定義災難

26、恢復戰(zhàn)略？年度損失預期（ALE）和暴露因子最大容忍宕機時間和數(shù)據(jù)損失現(xiàn)有服務器和網(wǎng)絡冗余數(shù)據(jù)備份和離站存儲要求下面哪一項控制措施最能夠有效的保證和維持系統(tǒng)連續(xù)可用？系統(tǒng)變更適當授權基于need-to-know的訪問用戶適當?shù)奈臋n化的變更接近實時的監(jiān)控一個新的ERP系統(tǒng)實施采用快速應用開發(fā)（RAD）的方法。因為內(nèi)部員工可 用性不夠，所有的項目行為已經(jīng)被分配給合作的咨詢廠商。以下哪一個是IS 審計師為了對資源的缺失的補償性控制所采取的第一步？審查項目計劃和方法要求供應商提供額加的外部員工建議公司雇傭更多的人員停止項目知道人力資源是可用的確定個人賬號余額從一個數(shù)據(jù)庫遷移到另一個數(shù)據(jù)庫的正確性，下面哪

27、一項 是最有效的？比較哈希值在遷移的前后在相同的數(shù)據(jù)庫中查實記錄的總數(shù)對遷移的賬號執(zhí)行抽樣測試比較所有交易的總體控制IS審計師觀察到網(wǎng)絡邊緣的一個服務器運行的是一個脆弱的操作系統(tǒng)。下面 哪一項是由于系統(tǒng)存在該弱點而最可能？服務器容易受到攻擊一個攻擊將要發(fā)生作為對策設計一個控制措施威脅的可能性將增加下面哪一項是IS審計師執(zhí)行審計時能夠評估預防性控制措施？交易日志鏡像報告前后表格查詢標簽和跟蹤當審查風險管理流程時，下面哪一個責任最可能要損害IS審計師的獨立性？參與風險管理框架的設計為不同的實施技術提供咨詢促進風險意識培訓對風險管理流程盡職調(diào)查企業(yè)正在評估采用云計算和web虛擬化為開發(fā)環(huán)境獲得新的I

28、T設施。下面 哪一項是IS審計師最需要關注的？類似項目的標桿沒有被考慮安全官員還沒有被咨詢過項目的業(yè)務案例還沒有被建立設計的技術架構沒有考慮硬件的保留下面哪一項是社會工程攻擊？邏輯炸彈木馬數(shù)據(jù)包重放釣魚當執(zhí)行一項會計應用系統(tǒng)內(nèi)部數(shù)據(jù)完整性控制審計時，IS審計師在會計應用 的軟件變更管理中識別了一個重大的控制缺陷。IS審計師最適合采取下面的 哪個行動？繼續(xù)測試會計應用控制，口頭通知IT經(jīng)理關于軟件變更控制的缺失，并 且提供一個合適的解決方案建議完成應用控制審計，但不報告在軟件變更管理中存在的控制缺陷，因為 它不是審計的范圍繼續(xù)進行會計應用控制的測試，在最終的報告中提及軟件變更控制的缺 陷終止所有

29、審計行為，直到軟件變更管理的控制缺陷被解決下面哪項廣域網(wǎng)（WAN）傳輸技術在傳輸數(shù)據(jù)時能提供最好的錯誤和流量控 制程序？信息交換包交換線路轉(zhuǎn)接虛擬電路IS審計師想要通過分析關鍵服務器的審計蹤跡，以發(fā)現(xiàn)一些用戶和系統(tǒng)潛在 的異常的行為。下面哪一項是最合適的行動？計算機輔助軟件工程工具綁定數(shù)據(jù)收集工具趨向/變化監(jiān)測工具嘗試性掃描工具當審計一個財務系統(tǒng)時，IS審計師懷疑一個攻擊事件正在發(fā)生。下面哪一項 是IS審計師最應該做的？要求系統(tǒng)停機來保存證據(jù)向管理層報告事件要求緊急的暫停懷疑賬號立即調(diào)查事件的源頭和特征IS審計師觀察到，企業(yè)的外包軟件開發(fā)第三方是一家新公司。為確保企業(yè)在軟件方面的投資是被保護的

30、，下面哪一項應該是IS審計師應該建議的？應對軟件廠商進行盡職調(diào)查對軟件廠商進行季度審計應具有源代碼的代管契約在合同中包含一個嚴格的懲罰條款發(fā)生一個重大信息處理設施事故時，下面哪一項應該由事件響應小組來最先 執(zhí)行？設施的恢復設施的文檔設施包含內(nèi)容設施的監(jiān)視IS審計師和被審計人員討論審計發(fā)現(xiàn)時，下面哪一項描述了最佳目標？和高級管理人員溝通審計結果為推薦建議的實施提供一個時間線確認發(fā)現(xiàn)并且制定一系列的糾正行動識別補償性控制來識別風險下面哪一項是在一個業(yè)務到業(yè)務（B-to-B）web應用上確保數(shù)據(jù)機密性的最 佳方法？使用單向哈希加密算法使用接收者的公鑰加密交易所有交易成交前進行數(shù)字簽名使用發(fā)送者的私鑰對交易進行簽名IS審計師觀察到管理賬號遭到暴力攻擊。