CISA國際注冊信息系統(tǒng)審計師認(rèn)證考試題庫大全-下（500題）

PAGEPAGE150CISA國際注冊信息系統(tǒng)審計師認(rèn)證考試題庫大全-下（500題）一、單選題1.以下哪一項是用于開發(fā)新應(yīng)用程序的接口控制文檔完整性的最佳指示？A、失敗的接口數(shù)據(jù)傳輸會阻止后續(xù)進程B、所有文件均已由最終用戶審閱C、記錄成功和失敗的接口數(shù)據(jù)傳輸D、包括潛在行動的所有輸入和輸出答案：C2.以下哪項最能證明有效的災(zāi)難恢復(fù)計劃(DRP)已到位？A、全面運行測試B、定期風(fēng)險評估C、年度走查測試D、經(jīng)常測試備份答案：A3.以下哪項提供了關(guān)于財務(wù)應(yīng)用程序中交易有效性的最可靠的審計證據(jù)？A、實質(zhì)性測試B、走查審查C、設(shè)計文檔審查D、合規(guī)性測試答案：A4.以下哪項確立了內(nèi)部審計職能的作用？A、審核項目計劃B、審計目標(biāo)C、審計章程D、審計治理答案：C5.在評估包含多個宏的電子表格的準(zhǔn)確性時，以下哪項對于IS審核員來說最重要？A、版本歷史B、宏中的公式C、關(guān)鍵計算的核對D、電子表格的加密答案：C6.以下哪一項對于法醫(yī)數(shù)據(jù)收集和保存程序最重要？A、維護監(jiān)管鏈B、保持?jǐn)?shù)據(jù)完整性C、確保設(shè)備的物理安全D、確定要使用的工具答案：A7.以下哪一項對于有效的控制自我評估(CSA)計劃最重要？A、確定評估范圍B、評估風(fēng)險環(huán)境的變化C、執(zhí)行詳細(xì)的測試程序D、了解業(yè)務(wù)流程答案：D8.以下哪一項是保護出站內(nèi)容免遭篡改和竊聽的主要協(xié)議？A、互聯(lián)網(wǎng)密鑰交換(IKE)B、安全外殼(SSH)C、點對點協(xié)議(PPP)D、傳輸層安全性(TLS)答案：D9.正確配置的網(wǎng)絡(luò)防火墻可以降低以下哪些安全風(fēng)險？A、SL注入攻擊B、網(wǎng)絡(luò)釣魚攻擊C、拒絕服務(wù)(DoS)攻擊D、內(nèi)部攻擊答案：C10.以下哪一項是評估IT流程監(jiān)控有效性的最佳信息來源？A、性能數(shù)據(jù)B、參與式管理技術(shù)C、質(zhì)量保證(A)審查D、實時審計軟件答案：A11.以下哪一項是糾正控制的示例？A、利用強制劃分職責(zé)的流程B、生成自動批處理作業(yè)失敗通知C、從數(shù)據(jù)備份中恢復(fù)系統(tǒng)信息D、只雇用合格的人員來執(zhí)行任務(wù)答案：C12.以下哪個指標(biāo)最能衡量組織IT職能的敏捷性？A、每個IT員工的平均學(xué)習(xí)和培訓(xùn)小時數(shù)B、具備足夠IT相關(guān)技能以達到其角色所需能力的員工百分比C、將戰(zhàn)略IT目標(biāo)轉(zhuǎn)變?yōu)樯潭ê团鷾?zhǔn)的計劃的平均時間D、根據(jù)最新標(biāo)準(zhǔn)和指南進行安全評估的頻率答案：C13.對于需要低恢復(fù)時間目標(biāo)(RTO)和低恢復(fù)點目標(biāo)(RPO)的電子商務(wù)組織，以下哪項最佳實現(xiàn)了系統(tǒng)彈性？A、冗余陣列B、鏡像站點C、每晚備份D、遠程備份答案：B14.以下哪項是自動化內(nèi)部控制的主要優(yōu)勢？A、能夠?qū)彶榇箢~交易B、幫助識別沒有職責(zé)分離的交易C、有效地測試大量數(shù)據(jù)D、協(xié)助進行分析審查答案：C15.對于審查客戶關(guān)系管理(CRM)系統(tǒng)遷移項目的項目文檔的IS審計員，以下哪一項最值得關(guān)注？A、在目標(biāo)日期前五周，打印功能仍然存在許多缺陷B、技術(shù)遷移計劃在假期周末進行，最終用戶可能無法使用C、員工擔(dān)心新系統(tǒng)中的數(shù)據(jù)表示與舊系統(tǒng)完全不同D、計劃一個實施階段，遺留系統(tǒng)將立即退役答案：D16.以下哪一項是實施數(shù)據(jù)丟失防護(DLP)工具最重要的先決條件？A、識別現(xiàn)有數(shù)據(jù)所在的位置并建立數(shù)據(jù)分類矩陣B、要求用戶將文件保存在安全文件夾中，而不是公司范圍內(nèi)的共享驅(qū)動器中C、查看數(shù)據(jù)傳輸日志以確定數(shù)據(jù)流的歷史模式D、制定DLP政策并要求用戶簽字確認(rèn)答案：A17.以下哪項最能防范黑客攻擊的風(fēng)險？A、消息驗證B、隧道C、加密D、防火墻答案：C18.以下哪種方法會利用數(shù)據(jù)分析來促進新帳戶創(chuàng)建過程的測試？A、查看業(yè)務(wù)需求文檔中的出生日期字段要求B、審查過去一個月提交的新賬戶申請是否有無效的出生日期C、嘗試提交出生日期無效的新賬戶申請D、評估出生日期字段要求的配置設(shè)置答案：B19.當(dāng)組織將數(shù)據(jù)遷移到更復(fù)雜的企業(yè)資源規(guī)劃(ERP)系統(tǒng)時，以下哪種方法可以提供最佳保證和用戶信心？A、用戶驗收測試(UAT)B、并行處理C、分階段轉(zhuǎn)換D、試點測試答案：C20.對于新系統(tǒng)的實施，以下哪項最能保證貸款申請?zhí)幚淼耐暾院蜏?zhǔn)確性？A、通過新系統(tǒng)運行歷史交易B、將余額和交易數(shù)據(jù)加載到新系統(tǒng)C、比較新舊系統(tǒng)之間的代碼D、審查質(zhì)量保證E、程序答案：A21.以下哪一項是談判熱門網(wǎng)站合同時的主要關(guān)注點？A、恢復(fù)計劃的完整測試B、在多個災(zāi)難聲明的情況下該站點的可用性C、與其他組織的互惠協(xié)議D、在多次宣布災(zāi)難時與現(xiàn)場工作人員進行協(xié)調(diào)答案：B22.IS審計員發(fā)現(xiàn)要在三個月內(nèi)停用的舊應(yīng)用程序無法滿足當(dāng)前策略建立的安全要求審核員解決此問題的最佳方法是什么？A、將政策不合規(guī)情況通知IT主管B、驗證管理層已批準(zhǔn)政策例外以接受風(fēng)險C、建議對應(yīng)用程序進行修補以滿足要求D、不采取任何行動，因為應(yīng)用程序?qū)⒃谌齻€月內(nèi)停用答案：B23.在計劃滲透測試時，應(yīng)首先執(zhí)行以下哪項？A、定義測試范圍B、確定漏洞的報告要求C、獲得管理人員對測試的同意D、執(zhí)行保密協(xié)議(ND答案：C24.以下哪一項是組織使用集群的最佳理由？A、減少系統(tǒng)響應(yīng)時間B、改善恢復(fù)時間目標(biāo)(RTO)C、提高系統(tǒng)彈性D、促進更快的備份答案：A25.以下哪一項對于IT治理中的有效風(fēng)險管理是必要的？A、當(dāng)?shù)亟?jīng)理全權(quán)負(fù)責(zé)風(fēng)險評估B、風(fēng)險管理策略經(jīng)審計委員會批準(zhǔn)C、風(fēng)險評估嵌入管理流程D、IT風(fēng)險管理與企業(yè)風(fēng)險管理是分開的答案：C26.在審查組織的社交媒體實踐過程中，以下哪些觀察結(jié)果最應(yīng)該引起IS審核員的關(guān)注？A、并非所有使用社交媒體的員工都參加了安全意識計劃B、組織不需要批準(zhǔn)社交媒體帖子C、組織沒有書面的社交媒體政策D、超過一名員工被授權(quán)代表組織在社交媒體上發(fā)布答案：B27.以下哪項是IS審核員確定信息安全計劃在整個組織中實施情況的最佳方法？A、評估接受過安全意識培訓(xùn)的員工百分比B、檢查安全意識培訓(xùn)內(nèi)容的完整性C、對組織的業(yè)務(wù)部門進行安全風(fēng)險評估D、評估將安全最佳實踐集成到業(yè)務(wù)工作流程中答案：D28.以下哪個是門禁軟件最重要的功能？A、識別B、認(rèn)證C、違規(guī)報告D、不可否認(rèn)性答案：B29.以下哪一項是與控制自我評估(CSA)相關(guān)的最大問題？A、員工可能沒有足夠的控制意識B、評估可能無法為利益相關(guān)者提供足夠的保證C、可能無法客觀地評估控制D、運營管理層與高級管理層之間的溝通可能無效答案：C30.以下哪一項是與IT部門缺乏參與組織的戰(zhàn)略規(guī)劃計劃相關(guān)的最大風(fēng)險？A、商業(yè)戰(zhàn)略可能不考慮新興技術(shù)B、IT戰(zhàn)略可能與業(yè)務(wù)戰(zhàn)略不一致C、企業(yè)可能不會考慮IT戰(zhàn)略目標(biāo)D、業(yè)務(wù)戰(zhàn)略可能與IT能力不一致答案：B31.IS審計員應(yīng)該期望在網(wǎng)絡(luò)漏洞評估中看到以下哪一項？A、安全設(shè)計缺陷B、配置錯誤和缺少更新C、零日漏洞D、惡意軟件和間諜軟件答案：B32.以下哪項對于IS審計員在災(zāi)難恢復(fù)審計期間驗證最重要？A、災(zāi)難恢復(fù)計劃(DRP)會定期更新B、記錄角色和職責(zé)C、定期備份并存儲在異地D、進行桌面災(zāi)難恢復(fù)測試答案：A33.IS審計員在數(shù)據(jù)庫中發(fā)現(xiàn)允許管理員直接修改任何表的選項此選項對于克服軟件中的錯誤是必要的，但很少使用對表的更改會自動記錄IS審核員的第一個行動應(yīng)該是：A、建議系統(tǒng)需要兩個人參與修改數(shù)據(jù)庫B、確定是否備份表的更改日志C、確定審計跟蹤是否得到保護和審查D、建議立即刪除直接修改數(shù)據(jù)庫的選項答案：C34.IS審核員計劃審查對視頻監(jiān)控和感應(yīng)卡控制的通信室的所有訪問嘗試以下哪項對審計師最有用？A、安全事件日志B、帶有閉路電視的警報系統(tǒng)C、系統(tǒng)電子日志D、手動登錄和注銷日志答案：D35.IS審計員正在評估與從一個數(shù)據(jù)庫管理系統(tǒng)(DBMS)遷移到另一個數(shù)據(jù)庫管理系統(tǒng)(DBMS)相關(guān)的風(fēng)險以下哪項最有助于確保整個變更過程中系統(tǒng)的完整性？A、保持相同的數(shù)據(jù)結(jié)構(gòu)B、保留相同的數(shù)據(jù)接口C、保留相同的數(shù)據(jù)輸入D、保留相同的數(shù)據(jù)分類答案：C36.當(dāng)小型組織中的職責(zé)無法適當(dāng)分離時，以下哪項最重要？A、差異報告B、異常報告C、審計追蹤D、獨立審查答案：D37.以下哪項是董事會批準(zhǔn)的信息安全政策中最重要的方面？A、該政策必須為信息分類提供指導(dǎo)B、必須定期修改政策以確保相關(guān)性C、必須將政策傳達給所有利益相關(guān)者D、該政策必須解決利益相關(guān)者信息的隱私問題答案：C38.以下哪項是糾正控制？A、驗證數(shù)據(jù)處理中的重復(fù)計算B、分離設(shè)備開發(fā)、測試和生產(chǎn)C、執(zhí)行應(yīng)急計劃D、審查用戶訪問權(quán)限以進行職責(zé)分離答案：C39.以下哪項是信息系統(tǒng)審核員評估組織的數(shù)據(jù)丟失預(yù)防(DLP)控制措施的運營有效性最可靠的方法？A、進行訪談以確定可能的數(shù)據(jù)保護漏洞B、確認(rèn)機密文件不能傳輸?shù)絺€人USB設(shè)備C、驗證當(dāng)前的DLP軟件是否安裝在所有計算機系統(tǒng)上D、根據(jù)行業(yè)最佳實踐審查數(shù)據(jù)分類級別答案：C40.以下哪項會導(dǎo)致IS審計員得出結(jié)論，在數(shù)字取證調(diào)查期間收集的證據(jù)不會在法庭上被采納？A、日志未能識別處理證據(jù)的人B、收集證據(jù)的人不具備代理案件的資格C、在審判之前，證據(jù)沒有使用基于云的解決方案得到充分的支持D、證據(jù)是由內(nèi)部取證小組收集的答案：A41.以下哪項應(yīng)該是安全處理數(shù)據(jù)程序的主要基礎(chǔ)？A、用于數(shù)據(jù)存儲的介質(zhì)類型B、環(huán)境法規(guī)C、數(shù)據(jù)分類D、數(shù)據(jù)保留政策答案：D42.以下哪一項是對內(nèi)部審計的質(zhì)量保證(A)系統(tǒng)和框架進行外部評估的主要目的？A、確保內(nèi)部審計人員有資格履行職責(zé)B、確保內(nèi)部審計職能符合既定的專業(yè)慣例C、確認(rèn)內(nèi)部審計部門有足夠的預(yù)算來履行其職責(zé)D、確認(rèn)先前內(nèi)部審計結(jié)果的準(zhǔn)確性和可靠性答案：B43.在具有不同恢復(fù)速度的多個備份系統(tǒng)備選方案中進行選擇時，以下哪一項是最重要的因素？A、平均故障間隔時間(MTBB、恢復(fù)點目標(biāo)(RPO)C、恢復(fù)時間目標(biāo)(RTO)D、最大可容忍中斷(MTO)答案：B44.以下哪一項應(yīng)該是疑似違規(guī)事件響應(yīng)過程中的第一步？A、聘請第三方獨立評估警告的違規(guī)行為B、通知業(yè)務(wù)管理安全漏洞C、將安全漏洞通知可能受影響的客戶D、研究警報違規(guī)的有效性答案：D45.以下哪個測試災(zāi)難恢復(fù)計劃(DRP)的程序最有效？A、每季度進行一次桌面練習(xí)B、審查記錄在案的備份和恢復(fù)程序C、下班后突然關(guān)閉計算設(shè)施D、使用異地數(shù)據(jù)備份在輔助站點進行測試答案：D46.以下哪項措施最能降低網(wǎng)絡(luò)攻擊期間的泄露風(fēng)險？A、外圍防火墻B、敏感數(shù)據(jù)的散列C、網(wǎng)絡(luò)訪問控制(NAD、數(shù)據(jù)丟失預(yù)防(DLP)系統(tǒng)答案：A47.以下哪項是與在開發(fā)階段添加新系統(tǒng)功能而不遵循項目變更管理流程相關(guān)的主要風(fēng)險？A、新功能可能不符合要求B、項目可能無法在規(guī)定的期限內(nèi)完成C、項目可能超出預(yù)算D、未記錄添加的功能答案：A48.以下哪一項是與缺乏有效的數(shù)據(jù)隱私計劃相關(guān)的最大風(fēng)險？A、未遵守與數(shù)據(jù)相關(guān)的規(guī)定B、未能防止欺詐交易C、無法管理對私人或敏感數(shù)據(jù)的訪問D、無法獲得客戶的信任答案：A49.以下哪項是用于估計開發(fā)大型業(yè)務(wù)應(yīng)用程序復(fù)雜性的最佳方法？A、軟件成本估算B、工作分解結(jié)構(gòu)C、關(guān)鍵路徑分析D、功能點分析答案：D50.執(zhí)行IT運營審查的IS審計員最關(guān)心以下哪些發(fā)現(xiàn)？A、作業(yè)調(diào)度程序應(yīng)用程序未設(shè)計為顯示彈出錯誤消息B、對作業(yè)調(diào)度程序應(yīng)用程序的訪問不限于最多兩名工作人員C、作業(yè)調(diào)度程序應(yīng)用程序參數(shù)的更改未經(jīng)操作主管批準(zhǔn)和審查D、操作班次周轉(zhuǎn)日志不用于協(xié)調(diào)和控制加工環(huán)境答案：C51.對于計劃在即將進行的審計中使用數(shù)據(jù)分析的IS審計員，以下哪項最值得關(guān)注？A、沒有記錄的數(shù)據(jù)模型B、可用數(shù)據(jù)不完整C、數(shù)據(jù)字段用于多種用途D、數(shù)據(jù)來自上一報告期答案：B52.在對包含敏感信息的最終用戶計算(EUC)系統(tǒng)進行審計時，以下哪項最受關(guān)注？A、審計日志不可用B、系統(tǒng)數(shù)據(jù)不受保護C、系統(tǒng)的殺毒軟件過時D、服務(wù)水平協(xié)議(SLA)未定義答案：A53.以下哪項產(chǎn)生最高級別的系統(tǒng)可用性？A、備份B、實時復(fù)制C、云存儲D、熱交換答案：B54.以下哪項是用于容災(zāi)的單一鏡像數(shù)據(jù)中心的特征？A、到鏡像站點的數(shù)據(jù)復(fù)制應(yīng)在故障轉(zhuǎn)移后繼續(xù)B、鏡像站點可能會造成用戶注意到的短暫中斷C、從生產(chǎn)站點進行實時數(shù)據(jù)復(fù)制D、鏡像數(shù)據(jù)中心不需要人員配備答案：C55.以下哪項是解決與安全日志中包含的機器標(biāo)識符信息無意泄露相關(guān)的潛在數(shù)據(jù)隱私問題的最佳方法？A、僅從分類為關(guān)鍵業(yè)務(wù)的服務(wù)器收集日志B、將日志的使用僅限于收集它們的目的C、將日志收集限制在安全活動增加的時段D、限制日志文件從主機傳輸?shù)皆诰€存儲答案：B56.以下哪一項是IT控制環(huán)境基線的主要目標(biāo)？A、定義流程和控制所有權(quán)B、確保IT安全戰(zhàn)略和政策有效C、使IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致D、檢測控制偏差答案：D57.以下哪一項是進行IS審計跟進的主要目的？A、使IS審計活動與業(yè)務(wù)目標(biāo)保持一致B、幫助管理層優(yōu)先考慮相關(guān)的風(fēng)險緩解活動C、確定管理層應(yīng)對風(fēng)險的有效性D、與管理層就行動計劃狀態(tài)達成一致答案：C58.以下哪項是保護存儲在虛擬機上未加密數(shù)據(jù)的機密性和完整性的最有效控制措施？A、監(jiān)控對存儲的虛擬機映像和快照的訪問B、限制對虛擬機映像和快照的訪問C、定期檢查虛擬機的邏輯訪問控制D、限制虛擬機鏡像和快照的創(chuàng)建答案：A59.以下哪項是組織使用平臺即服務(wù)(PaaS)的最可能原因？A、運行第三方托管應(yīng)用程序B、安裝和管理操作系統(tǒng)C、建立網(wǎng)絡(luò)和安全架構(gòu)D、開發(fā)和集成其應(yīng)用程序答案：D60.以下哪項是防止通過即時消息(IM)應(yīng)用程序向外部方傳輸文件的最佳控制？A、文件級加密B、應(yīng)用級防火墻C、即時通訊政策D、文件傳輸協(xié)議(FTP)答案：A61.在評估組織的信息安全策略的充分性時，以下哪項是IS審核員最重要的考慮因素？A、業(yè)務(wù)目標(biāo)B、與IT戰(zhàn)術(shù)計劃保持一致C、遵守行業(yè)最佳實踐D、IT指導(dǎo)委員會會議記錄答案：A62.以下哪項是與從傳統(tǒng)人力資源(HR)系統(tǒng)到基于云的系統(tǒng)的數(shù)據(jù)遷移相關(guān)的最大安全風(fēng)險？A、系統(tǒng)性能可能會受到遷移的影響B(tài)、超過保留期的記錄可能不會遷移到新系統(tǒng)C、來自源系統(tǒng)和目標(biāo)系統(tǒng)的數(shù)據(jù)可能具有不同的數(shù)據(jù)格式D、來自源和目標(biāo)系統(tǒng)的數(shù)據(jù)可能被截取答案：D63.審計發(fā)現(xiàn)，業(yè)務(wù)部門在沒有IT支持的情況下購買了基于云的應(yīng)用程序與這種情況相關(guān)的最大風(fēng)險是什么？A、應(yīng)用采購未遵循采購政策B、應(yīng)用程序可能無法合理保護數(shù)據(jù)C、應(yīng)用程序可能會被修改，恕不另行通知D、應(yīng)用程序未包含在業(yè)務(wù)連續(xù)性計劃(BCP)中答案：D64.IS審計團隊正在評估與IT和業(yè)務(wù)管理執(zhí)行的最新應(yīng)用程序用戶訪問審查相關(guān)的文檔確定用戶列表不是系統(tǒng)生成的以下哪一項應(yīng)該是最令人擔(dān)憂的？A、審查的用戶列表的來源B、審查的用戶列表的可用性C、審查的用戶列表的機密性D、審核的用戶列表的完整性答案：A65.一名IS審計員發(fā)現(xiàn)一名員工未經(jīng)授權(quán)訪問了機密數(shù)據(jù)IS審計師的最佳建議應(yīng)該是：A、建議安全管理員采取的糾正措施B、將數(shù)據(jù)重新分類到較低的保密級別C、為用戶實施強密碼模式D、要求企業(yè)主進行定期訪問審查答案：D66.每月對IS部門的成本收入比、用戶滿意度和計算機停機時間進行評估這是最好的特點是應(yīng)用：A、控制自我評估(CSB、平衡計分卡C、價值鏈分析D、風(fēng)險控制框架答案：B67.IS審核員得出結(jié)論，組織具有質(zhì)量安全策略接下來確定以下哪一項最重要？該政策必須是：A、基于行業(yè)標(biāo)準(zhǔn)B、為所有員工所熟知C、經(jīng)常更新D、由流程所有者開發(fā)答案：B68.IS審計員正在分析應(yīng)用程序系統(tǒng)日志中記錄的訪問樣本如果發(fā)現(xiàn)一個例外，審計師打算展開深入調(diào)查哪種采樣方法合適？A、分層抽樣B、發(fā)現(xiàn)抽樣C、可變抽樣D、判斷抽樣答案：B69.IS審計員在安全位置發(fā)現(xiàn)了一箱硬盤驅(qū)動器，這些硬盤驅(qū)動器已逾期進行物理銷毀負(fù)責(zé)這項任務(wù)的供應(yīng)商從未意識到這些硬盤驅(qū)動器以下哪項是解決此問題的最佳行動方案？A、評估公司資產(chǎn)處理政策的潛在差距B、檢查工作流程以確定資產(chǎn)處理職責(zé)中的差距C、建議將驅(qū)動器發(fā)送給供應(yīng)商進行銷毀D、將調(diào)查結(jié)果上報給資產(chǎn)所有者進行補救答案：B70.IS審核員正在審查生產(chǎn)事件樣本，并指出未執(zhí)行根本原因分析以下哪一項是與該發(fā)現(xiàn)相關(guān)的最大風(fēng)險？A、未來可能會發(fā)生同樣的事件B、未來的事件可能無法及時解決C、未來事件的優(yōu)先級可能不恰當(dāng)D、可能無法滿足服務(wù)水平協(xié)議(SL答案：A71.IS審計員正在審查應(yīng)用系統(tǒng)變更控制的文檔，并確定在投入生產(chǎn)之前未經(jīng)過測試的幾個補丁以下哪項是這種情況下最重大的風(fēng)險？A、過時的系統(tǒng)文檔B、開發(fā)人員訪問生產(chǎn)C、缺乏系統(tǒng)完整性D、失去應(yīng)用程序支持答案：C72.一名IS審計經(jīng)理臨時負(fù)責(zé)監(jiān)督分配給該組織工資單應(yīng)用程序升級的項目經(jīng)理返回審計部門后，審計經(jīng)理被要求進行審計，以驗證工資單應(yīng)用程序的執(zhí)行情況審計經(jīng)理是審計部門唯一具有IT項目管理經(jīng)驗的人最好的行動方案是什么？A、盡管缺乏IT項目管理經(jīng)驗，但仍將任務(wù)轉(zhuǎn)移給不同的審計經(jīng)理B、讓一名高級信息系統(tǒng)審計員管理項目，信息系統(tǒng)審計經(jīng)理進行最終審查C、將審計外包給獨立且合格的資源D、管理審核，因為沒有其他人具有適當(dāng)?shù)慕?jīng)驗答案：A73.IS審核員執(zhí)行后續(xù)審核，并了解到受審核方為解決問題而采取的方法與上次審核中確認(rèn)的商定方法不同以下哪一項應(yīng)該是審核員的下一步行動？A、將方法變化通知高級管理層B、進行包含變更的風(fēng)險分析C、向?qū)徲嬑瘑T會報告跟蹤結(jié)果D、評估所采取補救措施的適當(dāng)性答案：D74.一名信息系統(tǒng)審計員參與了新系統(tǒng)安全架構(gòu)的設(shè)計階段對于計劃的實施后審核，以下哪項是審核員最合適的行動方案？A、讓另一位審計員審查安全架構(gòu)B、在審計報告中披露獨立性問題C、更改審計范圍以排除安全架構(gòu)D、將實施后審計推遲到以后進行答案：A75.IS審計員發(fā)現(xiàn)組織的數(shù)據(jù)丟失防護(DLP)系統(tǒng)配置為使用供應(yīng)商默認(rèn)設(shè)置來識別違規(guī)行為審核員的主要關(guān)注點應(yīng)該是：A、違規(guī)舉報可能無法及時審核B、不得根據(jù)組織的風(fēng)險概況對違規(guī)行為進行分類C、可能會報告大量誤報違規(guī)D、根據(jù)組織的風(fēng)險概況，不得保留違規(guī)報告答案：B76.在評估組織的網(wǎng)絡(luò)安全程序和控制的有效性時，應(yīng)首先審查以下哪一項？A、惡意軟件防御B、授權(quán)設(shè)備清單C、數(shù)據(jù)恢復(fù)能力D、漏洞修復(fù)答案：D77.IS審計員正在審查組織結(jié)構(gòu)發(fā)生重大變化對業(yè)務(wù)流程產(chǎn)生重大影響的業(yè)務(wù)連續(xù)性計劃(BCP)以下哪項調(diào)查結(jié)果應(yīng)該是審計師最關(guān)心的問題？A、自重組以來，BCP的副本尚未分發(fā)給新的業(yè)務(wù)單位最終用戶B、最近的業(yè)務(wù)影響分析(BIC、是在重組前兩年進行的D、BCP的測試計劃在過去兩年內(nèi)沒有完成E、關(guān)鍵業(yè)務(wù)流程最終用戶未參與業(yè)務(wù)影響分析(BI答案：C78.審查項目以獲取基于IT的解決方案的IS審計員了解到與項目失敗相關(guān)的風(fēng)險已被評估為高審核員的最佳行動方案是什么？A、重新評估項目成本以確保它們在組織的風(fēng)險承受能力范圍內(nèi)B、根據(jù)業(yè)務(wù)案例審查收益實現(xiàn)C、告知管理層由于項目失敗可能造成的損失D、審查項目執(zhí)行期間的風(fēng)險監(jiān)控過程答案：D79.IS審計員正在審查一個工業(yè)控制系統(tǒng)(ICS)，該系統(tǒng)在即將進行的審計范圍內(nèi)使用了舊的不受支持的技術(shù)審計師應(yīng)該認(rèn)為最重要的問題是什么？A、沒有記錄技術(shù)規(guī)格B、沒有制定災(zāi)難恢復(fù)計劃(DRP)C、工業(yè)控制系統(tǒng)的攻擊向量正在演變D、系統(tǒng)被利用的風(fēng)險更大答案：B80.IS審計員發(fā)現(xiàn)日志管理系統(tǒng)被誤報警報淹沒審計師的最佳建議是：A、招聘更多的監(jiān)控人員B、建立審查警報的標(biāo)準(zhǔn)C、減少防火墻規(guī)則D、微調(diào)入侵檢測系統(tǒng)（IDS）答案：D81.審查新電子商務(wù)系統(tǒng)的數(shù)據(jù)庫控制的IS審計員發(fā)現(xiàn)了數(shù)據(jù)庫配置中的安全漏洞以下哪一項應(yīng)該是IS審計師的下一步行動？A、向高級管理層披露調(diào)查結(jié)果B、識別現(xiàn)有的緩解控制C、試圖利用弱點D、協(xié)助起草糾正措施答案：B82.IS審計員發(fā)現(xiàn)最近部署的應(yīng)用程序有許多開發(fā)人員在測試環(huán)境中遺留了不適當(dāng)?shù)母略L問權(quán)限以下哪項最能阻止更新訪問被遷移？A、在SDLC中包括一個步驟，以在上線之前清理訪問權(quán)限B、為供應(yīng)用戶建立基于角色的矩陣C、讓應(yīng)用程序所有者對應(yīng)用程序安全負(fù)責(zé)D、在質(zhì)量保證E、環(huán)境中重新分配用戶訪問權(quán)限答案：A83.要求IS審核員審查大型組織的變更管理流程以下哪種做法會帶來最大的風(fēng)險？A、事務(wù)數(shù)據(jù)更改可由高級開發(fā)人員進行B、變更管理票據(jù)不包含特定文檔C、系統(tǒng)管理員在計劃的停機時間內(nèi)執(zhí)行代碼遷移D、在沒有用戶驗收測試(UAT)的情況下促進緊急代碼更改答案：A84.IS審計員正在評估組織數(shù)據(jù)備份過程的安全性，其中包括將每日增量備份傳輸?shù)焦苍铺峁┥桃韵履捻棸l(fā)現(xiàn)對組織構(gòu)成最大的風(fēng)險？A、備份傳輸偶爾會失敗B、歸檔數(shù)據(jù)日志不完整C、備份傳輸未加密D、數(shù)據(jù)恢復(fù)測試每季度進行一次答案：C85.執(zhí)行應(yīng)用程序開發(fā)審查的IS審計員參加開發(fā)團隊會議如果IS審計員：A、協(xié)助開發(fā)系統(tǒng)上的集成測試設(shè)施(ITB、C、重新執(zhí)行開發(fā)團隊使用的測試程序D、審查開發(fā)團隊執(zhí)行的系統(tǒng)測試的結(jié)果E、設(shè)計并執(zhí)行用戶的驗收測試計劃答案：D86.IS審計經(jīng)理正在為云服務(wù)提供商的審計業(yè)務(wù)準(zhǔn)備人員配備計劃當(dāng)?shù)弥块T中的一名新審計員以前為該供應(yīng)商工作時，經(jīng)理的主要關(guān)注點是什么？A、職業(yè)操守B、能力C、誠信D、獨立答案：D87.IS審計員發(fā)現(xiàn)Web應(yīng)用程序中的驗證控件已從服務(wù)器端移至瀏覽器以提高性能這很可能會通過以下方式增加成功攻擊的風(fēng)險：A、拒絕服務(wù)(DoS)B、網(wǎng)絡(luò)釣魚C、結(jié)構(gòu)化查詢語言（SL）注入D、緩沖區(qū)溢出答案：C88.IS審計員指出，應(yīng)用程序超級用戶活動未記錄在系統(tǒng)日志中審核員的最佳行動方案是什么？A、調(diào)查缺少日志記錄的原因B、向?qū)徲嫿?jīng)理報告問題C、推薦激活超級用戶活動記錄D、推薦最小權(quán)限訪問模型答案：A89.IS審計員正在審查與負(fù)責(zé)知識產(chǎn)權(quán)和專利的業(yè)務(wù)部門的協(xié)作工具相關(guān)的安全控制以下哪些觀察結(jié)果最應(yīng)引起審計師的關(guān)注？A、沒有為處理知識產(chǎn)權(quán)和專利的部門提供培訓(xùn)B、未啟用內(nèi)容過濾的日志記錄和監(jiān)控C、協(xié)作工具是托管的，只能通過Intenet瀏覽器訪問D、員工可以通過協(xié)作工具與公司外部的用戶共享文件答案：D90.一名IS審計員被要求評估最近遷移的數(shù)據(jù)庫系統(tǒng)的安全性，該數(shù)據(jù)庫系統(tǒng)包含銀行客戶的個人和財務(wù)數(shù)據(jù)以下哪項控制對于審核員確認(rèn)其到位最重要？A、默認(rèn)配置已更改B、數(shù)據(jù)庫中的所有表都進行了規(guī)范化C、數(shù)據(jù)庫服務(wù)器使用的服務(wù)端口發(fā)生了變化D、更改帳號密碼后使用默認(rèn)管理帳號答案：A91.對新購買的軟件程序進行審查的IS審計員注意到已執(zhí)行托管協(xié)議以獲取源代碼對于IS審核員來說，最重要的驗證是什么？A、源代碼由獨立第三方持有B、產(chǎn)品驗收測試已完成C、供應(yīng)商在財務(wù)上是可行的D、每次更改都會更新源代碼答案：D92.一位IS審計員注意到訂單處理系統(tǒng)中的事務(wù)處理時間在主要版本發(fā)布后顯著增加IS審核員應(yīng)首先審核以下哪項？A、容量管理計劃B、壓力測試結(jié)果C、培訓(xùn)計劃D、數(shù)據(jù)庫轉(zhuǎn)換結(jié)果答案：B93.IS審計師正在執(zhí)行基于風(fēng)險的IS審計策略，以確保對關(guān)鍵領(lǐng)域進行審計以下哪一項最應(yīng)該引起審計師的關(guān)注？A、風(fēng)險評估數(shù)據(jù)庫不包括完整的審計范圍B、風(fēng)險評估方法不允許收集財務(wù)審計數(shù)據(jù)C、風(fēng)險評估方法依賴于過程某些點的主觀審計判斷D、風(fēng)險評估方法未經(jīng)風(fēng)險經(jīng)理批準(zhǔn)答案：A94.指派一名信息系統(tǒng)審核員審查信息系統(tǒng)部門的質(zhì)量程序在聯(lián)系信息系統(tǒng)經(jīng)理后，審計員發(fā)現(xiàn)有一套非正式的不成文標(biāo)準(zhǔn)以下哪一項應(yīng)該是審核員的下一步行動？A、完成審計并報告調(diào)查結(jié)果B、記錄并測試是否符合非正式標(biāo)準(zhǔn)C、推遲審核，直到IS管理層實施書面標(biāo)準(zhǔn)D、就適當(dāng)?shù)馁|(zhì)量標(biāo)準(zhǔn)向IS管理層提出建議答案：B95.IS審計員將通過對整個交易群體執(zhí)行數(shù)據(jù)分析來測試應(yīng)付賬款控制在獲取人口數(shù)據(jù)時，審計員確認(rèn)以下哪項最重要？A、數(shù)據(jù)分析工具最近已更新B、可以及時獲取數(shù)據(jù)C、數(shù)據(jù)中不存在隱私信息D、數(shù)據(jù)直接取自系統(tǒng)答案：D96.評估新實施呼叫中心內(nèi)的控制的IS審計員將首先：A、從客戶那里收集有關(guān)響應(yīng)時間和服務(wù)質(zhì)量的信息B、在呼叫中心測試技術(shù)基礎(chǔ)設(shè)施C、查看呼叫中心的手動和自動控制D、評估與呼叫中心相關(guān)的運營風(fēng)險答案：D97.IS審計員正在檢查前端子分類帳和主分類帳如果兩個系統(tǒng)之間的賬戶映射存在缺陷，以下哪項是最令人擔(dān)憂的？A、單一日記帳分錄的雙重過帳B、未經(jīng)授權(quán)更改賬戶屬性C、無法支持新的業(yè)務(wù)交易D、財務(wù)報告不準(zhǔn)確答案：D98.在實施新的數(shù)據(jù)分類過程時，以下哪些領(lǐng)域最有可能被忽視？A、電子郵件附件B、發(fā)送給供應(yīng)商的數(shù)據(jù)C、新系統(tǒng)應(yīng)用D、最終用戶計算(EUC)系統(tǒng)答案：C99.要求IS審計員就新項目的系統(tǒng)選項分析提供反饋IS審計員的最佳行動方案是：A、要求至少另一種替代方案B、評論用于評估替代品的標(biāo)準(zhǔn)C、保留意見作為審計報告的發(fā)現(xiàn)D、確定最佳替代方案答案：B100.IS審計員了解到服務(wù)器管理團隊會定期應(yīng)用變通辦法來解決關(guān)鍵數(shù)據(jù)處理服務(wù)的重復(fù)故障以下哪項最能幫助組織解決此問題？A、服務(wù)水平管理B、事件管理C、問題管理D、變更管理答案：B101.一名IS審計師獲悉，正在使用多個電子表格來生成關(guān)鍵財務(wù)信息NEXT審核員應(yīng)該驗證什么？A、是否有足夠的文檔和培訓(xùn)可供電子表格用戶使用B、電子表格是否滿足最低IT一般控制要求C、是否有最終用戶計算(EUC)電子表格的完整清單D、電子表格是否由首席財務(wù)官(CFO)正式審查答案：D102.IS審計員正在審查IT設(shè)施外包合同如果缺失，以下哪項最應(yīng)該引起審計師的關(guān)注？A、訪問控制要求B、硬件配置C、服務(wù)臺可用性D、外圍網(wǎng)絡(luò)安全圖答案：A103.IS審計員正在審查數(shù)據(jù)轉(zhuǎn)換項目以下哪項是審核員在上線前的最佳建議？A、自動化測試腳本B、進行模擬轉(zhuǎn)換測試C、審查測試程序和場景D、建立配置基線答案：B104.IS審核員應(yīng)確保應(yīng)用程序的審核跟蹤：A、有足夠的安全性B、可在線訪問C、不影響運營效率D、記錄所有數(shù)據(jù)庫記錄答案：A105.以下哪項最能證明IT戰(zhàn)略委員會的有效性？A、IT戰(zhàn)略委員會會議記錄B、IT戰(zhàn)略委員會章程C、IT活動與公司目標(biāo)同步D、業(yè)務(wù)單位滿意度調(diào)查結(jié)果答案：A106.IS審計員正在審查部署新網(wǎng)站的業(yè)務(wù)需求以下哪個密碼系統(tǒng)可以提供Intenet上安全通信的最佳證據(jù)？A、傳輸層安全(TLS)B、Wi-Fi保護訪問2(WPA2)C、IP安全(IPSED、安全外殼(SS答案：A107.IS審核員正在對組織的用戶供應(yīng)過程中確定的發(fā)現(xiàn)執(zhí)行后續(xù)審核在進行補救測試時，以下哪一項是最適合抽樣的人群？A、管理層解決審計問題后提供的所有用戶B、遵循管理層提供的用戶配置流程的所有用戶C、最終審計報告出具后提供的所有用戶D、在最初確定發(fā)現(xiàn)后提供的所有用戶答案：C108.以下哪項是防止銀行員工進行電匯欺詐的最佳方法？A、雙重身份驗證控制B、系統(tǒng)強制雙重控制C、獨立對賬D、重新輸入電匯金額答案：B109.以下哪項對計劃采用公共云計算模型的組織最有用？A、服務(wù)水平協(xié)議(SLA)性能指標(biāo)B、管理證明報告C、獨立控制評估D、服務(wù)提供商準(zhǔn)備的審計報告答案：C110.以下哪項是最有效的控制措施，可以減少無意濫用授權(quán)訪問？A、定期監(jiān)控用戶訪問日志B、安全意識培訓(xùn)C、可接受使用政策的年度簽署D、正式的紀(jì)律處分答案：B111.為了有用，關(guān)鍵績效指標(biāo)(KPI)必須：A、得到管理層的批準(zhǔn)B、經(jīng)常改變以反映組織戰(zhàn)略C、有一個目標(biāo)值D、可以用百分比來衡量答案：C112.對于審核組織在上個季度的IT流程績效報告的IS審計員來說，以下哪一項最值得關(guān)注？A、指標(biāo)與行業(yè)基準(zhǔn)不一致B、指標(biāo)是在沒有利益相關(guān)者審查的情況下定義的C、僅在一個月內(nèi)就達到了關(guān)鍵績效指標(biāo)(KPI)D、績效報告包含太多技術(shù)術(shù)語答案：B113.在關(guān)鍵利益相關(guān)者之間就IT的成本效益達成共識時，以下哪一項最重要？A、IT項目治理和管理B、標(biāo)準(zhǔn)化企業(yè)架構(gòu)(EC、IT性能監(jiān)控和報告D、統(tǒng)一的IT退款流程答案：C114.以下哪一項是持續(xù)審計的主要好處？A、它有利于機器人自動化過程的使用B、它允許減少測試的樣本量C、它能夠及時發(fā)現(xiàn)異常D、阻止欺詐交易答案：C115.以下哪項最適合持續(xù)審計？A、小額交易B、異常交易C、實時交易D、人工交易答案：C116.以下哪項是維護對程序源代碼所做更改的審計跟蹤的最佳方法？A、標(biāo)準(zhǔn)化文件命名約定B、利用自動化版本控制C、在源代碼中嵌入細(xì)節(jié)D、在變更登記冊上記錄詳細(xì)信息答案：B117.應(yīng)用數(shù)據(jù)分析技術(shù)的IS審計員最有可能發(fā)現(xiàn)以下哪項？A、由于不安全的應(yīng)用程序自動將交易上傳到總賬而導(dǎo)致的問題B、授權(quán)用戶對工資系統(tǒng)產(chǎn)生的未經(jīng)授權(quán)的工資或福利變更C、源自應(yīng)付賬款部門的潛在欺詐性發(fā)票付款D、完成個人身份信息(PII)的不當(dāng)跨境傳輸答案：C118.IS審計員正在計劃對組織的應(yīng)付賬款流程進行審計在審計中評估以下哪些控制最重要？A、發(fā)出采購訂單和付款之間的職責(zé)分離B、管理層對采購訂單的審核和批準(zhǔn)C、授權(quán)層級的管理審查和批準(zhǔn)D、接收發(fā)票和設(shè)置授權(quán)限制之間的職責(zé)分離答案：A119.IS審計員發(fā)現(xiàn)，由于資源限制，數(shù)據(jù)庫管理員(DBA)負(fù)責(zé)開發(fā)和執(zhí)行對生產(chǎn)環(huán)境的更改審核員應(yīng)首先執(zhí)行以下哪項？A、確保在實施之前遵循變更管理流程B、確定是否存在任何補償性控制C、確定其他數(shù)據(jù)庫管理員(DBA)是否可以進行更改D、報告潛在的職責(zé)分離(SoD)違規(guī)行為答案：B120.IS審計員正在審查組織的金融業(yè)務(wù)應(yīng)用程序的邏輯訪問控制以下哪項調(diào)查結(jié)果最應(yīng)引起審計師的關(guān)注？A、管理層不審查應(yīng)用程序用戶活動日志B、密碼長度設(shè)置為八個字符C、用戶帳戶在用戶之間共享D、用戶無需定期更改密碼答案：C121.IS審計員發(fā)現(xiàn)工作站上安裝了未經(jīng)授權(quán)的客戶管理軟件審核員確定該軟件一直在將客戶數(shù)據(jù)上傳到外部方以下哪一項是IS審計師的最佳行動方案？A、檢查其他工作站以確定事件的程度B、確定上傳的客戶記錄數(shù)C、通知事件響應(yīng)團隊D、在下次審計進度會議上提出問題答案：C122.IS審核員正在審查組織的信息資產(chǎn)管理過程以下哪項最令審計師關(guān)注？A、流程所有權(quán)尚未確定B、資產(chǎn)價值的識別不包括在流程中C、該過程不需要指定資產(chǎn)的物理位置D、該過程不包括資產(chǎn)審查答案：C123.IS審計員正在對企業(yè)資源規(guī)劃(ERP)系統(tǒng)進行實施后審查最終用戶對系統(tǒng)進行的關(guān)鍵自動計算的準(zhǔn)確性表示擔(dān)憂審核員的首要行動應(yīng)該是：A、驗證用戶驗收測試(UAT)的完整性B、驗證結(jié)果以確定用戶關(guān)注的有效性C、審查初始業(yè)務(wù)需求D、回顧系統(tǒng)最近的變化答案：B124.執(zhí)行備份程序?qū)徲嫷腎S審計員觀察到備份磁帶每周被拾取并存儲在第三方托管設(shè)施的場外以下哪個建議是保護備份磁帶上數(shù)據(jù)完整性的最佳方法？A、確保在離開設(shè)施之前對數(shù)據(jù)進行加密B、確認(rèn)記錄和記錄數(shù)據(jù)傳輸C、確認(rèn)數(shù)據(jù)是在上鎖的防篡改容器中傳輸?shù)腄、確保運輸公司獲得所有貨物的簽名答案：C125.IS審計員被要求對組織的移動計算安全性進行保證審查為確保組織能夠集中管理移動設(shè)備以防止數(shù)據(jù)泄露，審核員確定是否：A、丟失的設(shè)備可以遠程定位B、丟失設(shè)備的程序包括遠程擦除數(shù)據(jù)C、存在移動安全意識培訓(xùn)計劃D、存在針對移動設(shè)備的安全策略答案：D126.已要求IS審計員對新的公司人力資源(HR)系統(tǒng)進行實施后評估為了保護員工信息，以下哪些控制領(lǐng)域?qū)彶樽钪匾?？A、數(shù)據(jù)保留做法B、認(rèn)證機制C、系統(tǒng)架構(gòu)D、記錄能力答案：A127.已聘請外部IS審計員確定組織的網(wǎng)絡(luò)安全狀況下列哪一項對這個目的最有用？A、能力成熟度評估B、合規(guī)報告C、控制自我評估(CSA)D、行業(yè)基準(zhǔn)報告答案：B128.IS審計員觀察到，關(guān)鍵業(yè)務(wù)應(yīng)用程序當(dāng)前沒有任何級別的容錯能力以下哪一項是對這種情況的最大擔(dān)憂？A、服務(wù)退化B、減少平均故障間隔時間(MTBF)C、有限的損壞容忍度D、單點故障答案：D129.IS審計員正在評估組織的IT戰(zhàn)略和計劃以下哪一項最令人擔(dān)憂？A、IT不參與業(yè)務(wù)戰(zhàn)略規(guī)劃B、不分發(fā)經(jīng)營戰(zhàn)略會議紀(jì)要C、IT戰(zhàn)略規(guī)劃的文件不充分D、沒有明確的IT安全策略答案：A130.在以下情況下，審核數(shù)據(jù)中心威脅評估的IS審核員最關(guān)心的是：A、包括鄰近組織的業(yè)務(wù)B、演習(xí)由當(dāng)?shù)毓芾韺油瓿蒀、所有已識別的威脅都與外部實體有關(guān)D、一些已識別的威脅不太可能發(fā)生答案：C131.IS審核員觀察到例外情況已被批準(zhǔn)用于組織的信息安全策略以下哪一項對審核員確認(rèn)最重要？A、例外不會改變剩余風(fēng)險B、預(yù)定義期間的例外情況得到批準(zhǔn)C、例外情況需要更改政策D、例外情況由董事會批準(zhǔn)答案：A132.一名IS審計員發(fā)現(xiàn)，組織無法以經(jīng)濟高效的方式按需添加新服務(wù)器以下哪項是審計師的最佳建議？A、為IT職能雇用臨時合同工B、構(gòu)建虛擬環(huán)境C、增加現(xiàn)有系統(tǒng)的容量D、將硬件升級到更新的技術(shù)答案：B133.一名高級審計員正在審查一名初級審計員準(zhǔn)備的工作文件，表明在被審計方表示他們糾正了問題后，發(fā)現(xiàn)已被刪除以下哪項是高級審計師最合適的行動方案？A、要求被審核方重新測試B、恢復(fù)調(diào)查結(jié)果C、將問題提交給審計主管D、批準(zhǔn)書面工作文件答案：A134.IS審計員發(fā)現(xiàn)，雖然組織的IT戰(zhàn)略主要側(cè)重于研究和開發(fā)，但IT組合中的大多數(shù)項目都側(cè)重于運營和維護以下哪一項是最佳推薦？A、審查IT組合中的優(yōu)先級B、改變IT戰(zhàn)略，專注于卓越運營C、使IT組合與IT戰(zhàn)略保持一致D、使IT戰(zhàn)略與業(yè)務(wù)目標(biāo)保持一致答案：D135.以下哪些文件應(yīng)指定IT審計組織內(nèi)的角色和職責(zé)？A、組織結(jié)構(gòu)圖B、年度審計計劃C、審計章程D、委托書答案：C136.以下哪一項對業(yè)務(wù)和IT的協(xié)調(diào)提出了最大的挑戰(zhàn)？A、在業(yè)務(wù)戰(zhàn)略制定中缺乏信息安全參與B、由首席信息官(CIO)主持的IT指導(dǎo)委員會C、執(zhí)行新業(yè)務(wù)項目的IT預(yù)算不足D、缺乏首席信息官(CIO)參與董事會會議答案：A137.在確定信息資產(chǎn)在運輸和處置過程中是否得到充分保護時，以下哪項最受關(guān)注？A、近期缺乏意識培訓(xùn)B、缺乏適當(dāng)?shù)臉?biāo)簽C、缺乏適當(dāng)?shù)臄?shù)據(jù)分類D、缺乏密碼保護答案：B138.以下哪項最能證明第三方服務(wù)提供商的信息安全控制措施是有效的？A、服務(wù)提供商的安全配置控制文檔B、服務(wù)提供商的外部審計師對控制的審計報告C、與服務(wù)提供商的信息安全官面談D、審查服務(wù)提供商的政策和程序答案：A139.以下哪一項是實施數(shù)據(jù)保留政策的最佳理由？A、為災(zāi)難恢復(fù)過程建立恢復(fù)點目標(biāo)(RPO)B、為IT之外的數(shù)據(jù)保護分配責(zé)任和所有者C、限制與存儲和保護信息相關(guān)的責(zé)任D、記錄組織內(nèi)處理數(shù)據(jù)的業(yè)務(wù)目標(biāo)答案：C140.容量管理使組織能夠：A、建立網(wǎng)絡(luò)通信鏈路的能力B、預(yù)測技術(shù)趨勢C、確定組件需要升級的程度D、確定業(yè)務(wù)交易量答案：C141.以下哪項是IS審核員評估組織是否能夠很好地防御高級持續(xù)性威脅(APT)的最有效方法？A、驗證組織是否有足夠水平的網(wǎng)絡(luò)保險B、檢查訪問網(wǎng)絡(luò)的外部Intenet協(xié)議(IP)地址的有效性C、驗證組織正在使用相關(guān)數(shù)據(jù)進行安全監(jiān)控D、評估安全功能中的技能答案：C142.一家信用卡公司決定外包打印客戶報表公司最重要的是驗證是否：A、提供商有備用服務(wù)地點B、合同包括對服務(wù)水平不足的補償C、提供商遵守公司的數(shù)據(jù)保留政策D、提供商的信息安全控制與公司的一致答案：D143.IS審計員正在對數(shù)據(jù)中心進行審查以下哪些觀察結(jié)果可能表明存在訪問控制問題？A、在主入口外部署的安全攝像頭B、直接在緊急出口內(nèi)的泥濘腳印C、設(shè)施周圍的圍欄高兩米D、機房入口處布設(shè)防靜電墊答案：B144.IS審計員指出，IT和企業(yè)對其應(yīng)用程序服務(wù)器的可用性有不同的看法為了理解問題，IS審核員應(yīng)首先審查以下哪項？A、服務(wù)水平的準(zhǔn)確定義及其衡量標(biāo)準(zhǔn)B、定期績效報告文件C、應(yīng)用服務(wù)器上的警報和測量過程D、服務(wù)器的實際可用性作為實質(zhì)性測試的一部分答案：A145.從舊系統(tǒng)轉(zhuǎn)換到新系統(tǒng)時，哪種類型的遷移過程最能最大限度地降低與工資單應(yīng)用程序相關(guān)的風(fēng)險？A、分階段B、直接C、并行D、模擬答案：C146.在審核使用外包商處置存儲介質(zhì)時，以下哪項對于IS審核員驗證最重要？A、合同包括賣方出具銷毀證明B、供應(yīng)商的流程在處理之前對介質(zhì)進行了適當(dāng)?shù)南綜、供應(yīng)商過去沒有經(jīng)歷過安全事件D、處置運輸車輛完全安全答案：B147.以下哪項是檢測控制？A、驗證哈?？倲?shù)B、數(shù)據(jù)輸入的程序編輯檢查C、使用通行卡進入實體設(shè)施D、備份程序答案：A148.以下哪項是組織減輕與第三方應(yīng)用程序性能相關(guān)的風(fēng)險的最佳方式？A、在內(nèi)部審計職能中使用分析B、確保第三方分配足夠的資源來滿足要求C、進行容量規(guī)劃練習(xí)D、利用性能監(jiān)控工具來驗證服務(wù)水平協(xié)議(SL答案：D149.某組織通過向單擊電子郵件正文中嵌入的鏈接的用戶發(fā)送提供現(xiàn)金獎勵的電子郵件來進行測試，以測試用戶的安全意識水平以下哪個指標(biāo)最能表明意識培訓(xùn)的有效性？A、將電子郵件轉(zhuǎn)發(fā)給其業(yè)務(wù)部門經(jīng)理的用戶數(shù)量B、單擊鏈接以了解有關(guān)電子郵件發(fā)件人的更多信息的用戶數(shù)量C、向信息安全團隊報告收到電子郵件的用戶數(shù)量D、因為是釣魚郵件而刪除郵件而不報告的用戶數(shù)量答案：C150.互聯(lián)網(wǎng)安全審查顯示，用戶擁有互聯(lián)網(wǎng)服務(wù)提供商(ISP)的個人用戶帳戶，并使用這些帳戶下載業(yè)務(wù)數(shù)據(jù)該組織希望確保僅使用公司網(wǎng)絡(luò)組織應(yīng)首先：A、使用代理服務(wù)器過濾掉不應(yīng)訪問的Intenet站點B、保留互聯(lián)網(wǎng)訪問的手動日志C、在其安全政策中包含有關(guān)Intenet使用的聲明D、監(jiān)控遠程訪問活動答案：C151.在制定有效的安全意識計劃時，以下哪一項對確保最重要？A、網(wǎng)絡(luò)釣魚練習(xí)是在培訓(xùn)后進行的B、培訓(xùn)人員是信息安全專業(yè)人員C、建立項目的結(jié)果指標(biāo)D、節(jié)目內(nèi)容中包含安全威脅場景答案：C152.IS審計員發(fā)現(xiàn)基于云的應(yīng)用程序未包含在用于確認(rèn)審計范圍的應(yīng)用程序清單中業(yè)務(wù)流程負(fù)責(zé)人解釋說，該申請將在明年由第三方審核審核員的下一步應(yīng)該是：A、評估云應(yīng)用對審計范圍的影響B(tài)、修改審計范圍以包括基于云的應(yīng)用程序C、審核第三方執(zhí)行的審核報告D、向高級管理層報告控制缺陷答案：A153.在執(zhí)行后續(xù)活動時，IS審核員擔(dān)心管理層實施了不同于最初討論并與審核職能達成一致的糾正措施為了解決這種情況，IS審計師的最佳行動方案是：A、確定替代控制是否足以減輕風(fēng)險B、推遲后續(xù)活動并將替代控制升級到高級審計管理層C、將原始問題重新列為高風(fēng)險問題并上報給高級管理層D、在下一個審核周期安排后續(xù)審核答案：A154.以下哪項是遵循配置管理流程來維護應(yīng)用程序的主要原因？A、優(yōu)化系統(tǒng)資源B、優(yōu)化資產(chǎn)管理工作流程C、確保適當(dāng)?shù)淖兏刂艱、遵循系統(tǒng)強化標(biāo)準(zhǔn)答案：D155.當(dāng)管理層對面對面內(nèi)部控制問卷的答復(fù)表明關(guān)鍵內(nèi)部控制不再有效時，IS審計師應(yīng)該首先做什么？A、驗證內(nèi)部控制的整體有效性B、確定使控制有效所需的資源C、驗證控制不再有效的影響D、確定其他補償控制的存在答案：D156.以下哪項是IS審計經(jīng)理在提交報告之前審查高級IS審計師所做工作的主要原因？A、確保結(jié)論得到充分支持B、確保在實地工作期間使用了適當(dāng)?shù)某闃臃椒–、確保正確記錄和歸檔工作D、確保工作按照行業(yè)標(biāo)準(zhǔn)進行答案：A157.實施數(shù)據(jù)丟失防護(DLP)工具后，管理員被大量誤報所淹沒以下哪項是解決此問題的最佳方法？A、啟用僅監(jiān)控模式以允許進一步調(diào)整解決方案B、讓員工了解在組織外部共享敏感信息的風(fēng)險C、修改政策規(guī)則以匹配已批準(zhǔn)和未批準(zhǔn)的業(yè)務(wù)信息路徑D、確保存在最新的簽名文件并配置定期更新答案：D158.在離職面談中，高級管理層不同意審計報告草案中提出的一些事實，并希望將其從報告中刪除以下哪項是審計師的最佳行動方案？A、根據(jù)高級管理層的反對意見修改評估B、收集證據(jù)分析高級管理層的反對意見C、將問題上報給審計管理層D、完成審計報告草案，不做任何修改答案：B159.一家組織最近收到其監(jiān)管機構(gòu)的通知，稱其報告數(shù)據(jù)存在重大差異初步調(diào)查顯示，這些差異是由該組織的數(shù)據(jù)質(zhì)量問題引起的管理層已指示數(shù)據(jù)質(zhì)量團隊加強他們的計劃審計委員會已要求內(nèi)部審計擔(dān)任該過程的顧問為確保解決管理問題，內(nèi)部審計建議首先審查哪些數(shù)據(jù)集？A、影響業(yè)務(wù)目標(biāo)的數(shù)據(jù)B、支持財務(wù)報表的數(shù)據(jù)C、向監(jiān)管機構(gòu)報告的數(shù)據(jù)D、包含客戶個人信息的數(shù)據(jù)答案：A160.以下哪項最好的方法可以最大限度地減少用于驗證電子商務(wù)網(wǎng)站用戶身份的服務(wù)器的性能下降？A、配置每個認(rèn)證服務(wù)器，并確保每個服務(wù)器的磁盤構(gòu)成雙工的一部分B、將每個認(rèn)證服務(wù)器配置為屬于認(rèn)證服務(wù)器集群C、將單臺服務(wù)器配置為主認(rèn)證服務(wù)器，將第二臺服務(wù)器配置為輔助認(rèn)證服務(wù)器D、配置每個認(rèn)證服務(wù)器，確保其RAID的每個磁盤都連接到主控制器答案：B161.審計框架可以通過以下方式協(xié)助IS審計職能：A、概述完成審核所需的具體步驟B、定義IS審計職能的權(quán)力和責(zé)任C、提供有關(guān)如何執(zhí)行審核計劃的詳細(xì)信息D、提供有關(guān)審計執(zhí)行的指導(dǎo)和信息答案：D162.評估組織和第三方共同承擔(dān)責(zé)任的控制環(huán)境的最佳方法是什么？A、進行控制自我評估(CSA)B、查看服務(wù)水平協(xié)議(SLA)C、進行現(xiàn)場評估D、審查互補的用戶實體控制答案：D163.以下哪一項是信息安全管理體系的主要目的？A、增強用于監(jiān)控信息安全事件的報告的影響B(tài)、減少信息安全事件的頻率和影響C、識別和消除信息安全事件的根源D、使信息安全政策和程序保持最新答案：B164.在討論審計報告草稿期間，IT管理層提供了適當(dāng)?shù)淖C據(jù)，證明已經(jīng)實施了一個流程來實現(xiàn)被IS審計師認(rèn)定為無效的控制以下哪項是審核員的最佳行動？A、向IT管理層解釋新的控制措施將在跟進期間進行評估B、在報告中添加對IT管理層所采取行動的評論C、根據(jù)IT管理層提供的證據(jù)更改結(jié)論D、在更改結(jié)論之前重新進行審核答案：C165.組織允許其員工使用個人移動設(shè)備進行工作以下哪項最能在不損害員工隱私的情況下維護信息安全？A、將工作環(huán)境與設(shè)備上的個人空間分開B、阻止用戶添加應(yīng)用程序C、限制在工作時間內(nèi)出于個人目的使用設(shè)備D、在設(shè)備上安裝安全軟件答案：A166.一位在設(shè)計應(yīng)用程序中發(fā)揮重要作用的IS審計員被要求審查該應(yīng)用程序?qū)徍藛T應(yīng)：A、告知審計管理層早期的參與B、修改審核范圍C、拒絕轉(zhuǎn)讓以避免利益沖突D、利用應(yīng)用知識進行審核答案：A167.在IT系統(tǒng)恢復(fù)期間保持業(yè)務(wù)功能正常運行的變通流程文檔是以下方面的核心部分：A、災(zāi)難恢復(fù)計劃(DRP)B、業(yè)務(wù)連續(xù)性計劃（BCP）C、威脅和風(fēng)險評估D、業(yè)務(wù)影響分析(BI答案：B168.IS審計被要求解釋局域網(wǎng)(LAN)服務(wù)器如何促成病毒的快速傳播IS審計師的最佳回應(yīng)是：A、服務(wù)器的軟件是主要目標(biāo)并且是第一個被感染的B、服務(wù)器的操作系統(tǒng)在每次登錄時開始與每個站點交換數(shù)據(jù)C、服務(wù)器的文件共享功能，方便文件和應(yīng)用程序的分發(fā)D、給定服務(wù)器的用戶對應(yīng)用程序和文件的使用相似答案：C169.一個組織已經(jīng)制定了成熟的風(fēng)險管理實踐，所有部門都遵循這些實踐審計團隊利用這種風(fēng)險管理成熟度最有效的方法是什么？A、代表管理層實施風(fēng)險應(yīng)對B、向管理層提供有關(guān)風(fēng)險的保證C、促進審計風(fēng)險識別和評估研討會D、為審計計劃目的整合風(fēng)險登記冊答案：D170.以下哪一項是為最終用戶計算(EUC)應(yīng)用程序?qū)嵤┌姹究刂频淖钪匾?？A、確保只有授權(quán)用戶才能訪問應(yīng)用程序B、確保應(yīng)用程序不同版本之間的兼容性C、確保僅使用最新批準(zhǔn)的應(yīng)用程序版本D、確保舊版本可供參考答案：C171.在IT決策制定中進行投資回報(ROI)分析的好處之一是它提供：A、更換設(shè)備的成本B、估計擁有成本C、分配財政資源的依據(jù)D、分配間接成本的依據(jù)答案：C172.在評估組織的數(shù)據(jù)轉(zhuǎn)換和基礎(chǔ)架構(gòu)遷移計劃時，以下哪項對于IS審核員驗證最重要？A、一個移民指導(dǎo)委員會已經(jīng)成立B、包含回滾計劃C、包括代碼檢查審查D、已考慮戰(zhàn)略目標(biāo)答案：B173.以下哪個弱點會對外圍防火墻的有效運行產(chǎn)生最大影響？A、對防火墻活動的臨時監(jiān)控B、使用具有默認(rèn)配置的狀態(tài)防火墻C、防火墻軟件的潛在后門D、防火墻規(guī)則配置錯誤答案：B174.以下哪一項對于確保在法醫(yī)調(diào)查期間收集的電子證據(jù)在未來的法律訴訟中可被采納最重要？A、限制獲得專業(yè)認(rèn)證的法醫(yī)調(diào)查員的證據(jù)B、聘請獨立第三方進行法證調(diào)查C、對原始硬盤驅(qū)動器而不是硬盤驅(qū)動器的圖像執(zhí)行調(diào)查程序D、在整個法醫(yī)調(diào)查過程中記錄人員處理的證據(jù)答案：D175.IS審計員建議管理層在將新系統(tǒng)用于生產(chǎn)模式之前對其進行測試制定測試計劃的最佳管理方法是使用以下處理參數(shù)：A、由測試生成器隨機選擇B、由應(yīng)用程序的供應(yīng)商提供C、由用戶隨機選擇D、由生產(chǎn)實體和客戶模擬答案：D176.以下哪項是與在Web服務(wù)器上存儲客戶數(shù)據(jù)相關(guān)的最大風(fēng)險？A、數(shù)據(jù)完整性B、數(shù)據(jù)可用性C、數(shù)據(jù)冗余D、數(shù)據(jù)保密答案：D177.以下哪項測試可以最好地保證醫(yī)療保健組織正在適當(dāng)?shù)靥幚砘颊邤?shù)據(jù)？A、符合行業(yè)標(biāo)準(zhǔn)和最佳實踐B、遵守最近審計產(chǎn)生的行動計劃C、遵守當(dāng)?shù)胤煞ㄒ?guī)D、遵守組織的政策和程序答案：C178.以下哪項提供了外包提供商服務(wù)得到妥善管理的最佳證據(jù)？A、服務(wù)水平協(xié)議(SLA)包括對不履行的處罰B、供應(yīng)商提供歷史數(shù)據(jù)來證明其性能C、內(nèi)部績效標(biāo)準(zhǔn)與公司戰(zhàn)略保持一致D、對不遵守服務(wù)水平協(xié)議(SLA)的行為采取適當(dāng)措施答案：D179.當(dāng)組織的災(zāi)難恢復(fù)策略使用熱站點時，以下哪一項是值得關(guān)注的？A、環(huán)境控制不足B、距離主數(shù)據(jù)中心很遠C、缺乏網(wǎng)絡(luò)基礎(chǔ)設(shè)施D、由于與其他組織的互惠協(xié)議而產(chǎn)生的沖突答案：C180.確定IT資源支出是否與計劃的項目支出一致的最佳方法是什么？A、投資回報(ROI)分析師B、關(guān)鍵路徑分析C、掙值分析(EVD、甘特圖答案：C181.IS審核員正在審查內(nèi)部軟件開發(fā)解決方案的發(fā)布管理流程在哪個環(huán)境中，軟件版本最有可能與生產(chǎn)環(huán)境相同？A、發(fā)展B、分期C、測試D、整合答案：B182.以下哪項最有助于確保開發(fā)團隊將潛在的安全問題視為敏捷開發(fā)軟件增量更改的一部分？A、在受控環(huán)境中部署更改并觀察安全缺陷B、要求以標(biāo)準(zhǔn)格式記錄變更分析C、將安全風(fēng)險分析分配給項目管理辦公室受過專門培訓(xùn)的成員D、包括一個強制性步驟，以在進行更改時分析安全影響答案：D183.軟件開發(fā)的瀑布生命周期模型最適合以下哪種情況？A、該項目將涉及新技術(shù)的使用B、該項目打算應(yīng)用面向?qū)ο蟮脑O(shè)計方法C、項目有時間壓力D、項目要求很好理解答案：D184.由于檢測控制的持續(xù)惡化，以下哪一項影響最大？A、安全日志中的誤報數(shù)量增加B、根本原因分析的有效性降低C、減少整體恢復(fù)時間D、對日志存儲空間的需求增加答案：A185.對服務(wù)器啟動程序更改的適當(dāng)審計跟蹤將包括以下證據(jù)：A、程序執(zhí)行B、運算符覆蓋C、子系統(tǒng)結(jié)構(gòu)D、安全控制選項答案：B186.審計發(fā)現(xiàn)計算機系統(tǒng)未將順序采購訂單編號分配給訂單請求IS審計員正在進行審計跟進，以確定管理層是否解決了這一發(fā)現(xiàn)以下哪項是最可靠的后續(xù)程序？A、詢問管理層是否已對系統(tǒng)進行配置和測試以生成順序訂單號B、查看最近更改的文檔以實施順序訂單編號C、檢查系統(tǒng)設(shè)置和事務(wù)日志以確定是否生成了順序訂單號D、檢查從管理層獲得的系統(tǒng)生成的采購訂單樣本答案：C187.以下哪項是在包含具有不同安全等級的數(shù)據(jù)的服務(wù)器上實施最小特權(quán)原則的最佳方法？A、根據(jù)使用頻率限制對數(shù)據(jù)文件的訪問B、使用腳本訪問控制列表來防止對服務(wù)器的未經(jīng)授權(quán)的訪問C、獲得用戶的正式同意以遵守數(shù)據(jù)分類政策D、應(yīng)用由數(shù)據(jù)所有者確定的訪問控制答案：D188.以下哪項是確定災(zāi)難恢復(fù)計劃(DRP)測試是否成功的最佳方法？A、分析是否達到了預(yù)定的測試目標(biāo)B、在備份數(shù)據(jù)中心進行測試C、測試異地備份文件D、評估關(guān)鍵人員的參與答案：A189.如果在防火墻規(guī)則中啟用，以下哪些服務(wù)會帶來最大的風(fēng)險？A、文件傳輸協(xié)議(FTP)B、簡單對象訪問協(xié)議(SOAP)C、超文本傳輸協(xié)議(HTTP)D、簡單郵件傳輸協(xié)議(SMTP)答案：A190.以下哪項是組織防止數(shù)據(jù)丟失的最有效方法？A、定期進行安全意識培訓(xùn)B、限制員工上網(wǎng)C、查看防火墻日志中的異常情況D、實施數(shù)據(jù)分類程序答案：D191.以下哪項是最大程度地減少未經(jīng)授權(quán)訪問丟失的公司擁有的移動設(shè)備的風(fēng)險的最佳控制措施？A、設(shè)備加密B、設(shè)備跟蹤軟件C、密碼/PIN保護D、定期備份答案：C192.在RACI模型中，以下哪些角色必須只分配給一個人？A、負(fù)責(zé)B、審計C、知情D、咨詢答案：B193.IS審計員發(fā)現(xiàn)供應(yīng)商已經(jīng)倒閉，而托管方擁有舊版本的源代碼審核員對組織的最佳建議是什么？A、執(zhí)行分析以確定業(yè)務(wù)風(fēng)險B、制定維護計劃以支持使用現(xiàn)有代碼的應(yīng)用程序C、更新托管版本D、分析滿足當(dāng)前要求的新應(yīng)用程序答案：A194.IS審計員正在審查新服務(wù)器的安裝IS審核員的主要目標(biāo)是確保：A、安全參數(shù)是按照制造商的標(biāo)準(zhǔn)設(shè)置的B、根據(jù)組織的政策設(shè)置安全參數(shù)C、詳細(xì)的商業(yè)案例在購買前得到正式批準(zhǔn)D、采購項目邀請了至少三個不同供應(yīng)商的投標(biāo)答案：B195.IS審計員在用于處理在線客戶付款的面向公眾的Web服務(wù)器中發(fā)現(xiàn)了一個高風(fēng)險漏洞IS審核員應(yīng)首先：A、通知審計委員會B、審查安全事件報告C、確定補償控制D、在審計報告中記錄異常答案：C196.一名IS審計員發(fā)現(xiàn)，服務(wù)于多個業(yè)務(wù)部門的IT組織對所有計劃都賦予同等的優(yōu)先級，從而造成項目資金延遲的風(fēng)險以下哪項最有助于以支持業(yè)務(wù)目標(biāo)的方式將項目和服務(wù)的需求與可用資源相匹配？A、風(fēng)險評估結(jié)果B、IT治理框架C、項目管理D、投資組合管理答案：D197.以下哪項是識別新系統(tǒng)中違反職責(zé)分離的最有效方法？A、觀察業(yè)務(wù)流程的表現(xiàn)B、制定一個流程來識別授權(quán)沖突C、查看系統(tǒng)中的安全權(quán)限報告D、檢查最近的系統(tǒng)訪問權(quán)限違規(guī)答案：B198.內(nèi)部審計團隊正在決定是否使用由第三方在不同國家/地區(qū)托管的審計管理應(yīng)用程序與在托管應(yīng)用程序中上傳工資審計文檔相關(guān)的最重要的考慮因素是什么？A、托管服務(wù)提供商收取的存儲單位成本B、影響組織的隱私法規(guī)C、影響組織的財務(wù)法規(guī)D、托管應(yīng)用程序的數(shù)據(jù)中心物理訪問控制答案：B199.以下哪項是IS審核員進行實施后審查的主要原因？A、記錄經(jīng)驗教訓(xùn)以改進未來的項目交付B、使項目目標(biāo)與業(yè)務(wù)需求保持一致C、確定業(yè)務(wù)案例中的項目目標(biāo)是否已經(jīng)實現(xiàn)D、確保已獲得關(guān)鍵利益相關(guān)者的簽字答案：C200.以下哪一項是衡量IT和業(yè)務(wù)戰(zhàn)略一致性的最佳指標(biāo)？A、業(yè)務(wù)流程能力成熟度評估的頻率B、包括IT相關(guān)風(fēng)險的企業(yè)風(fēng)險評估百分比C、對其IT相關(guān)角色感到滿意的員工百分比D、利益相關(guān)者對計劃的IT項目范圍的滿意程度答案：B201.以下哪一項是數(shù)據(jù)分類過程中最重要的活動？A、確定數(shù)據(jù)所有者的責(zé)任B、適當(dāng)?shù)貥?biāo)記數(shù)據(jù)C、識別與數(shù)據(jù)相關(guān)的風(fēng)險D、確定隱私控制的充分性答案：B202.以下哪項最適合防止未經(jīng)授權(quán)檢索存儲在業(yè)務(wù)應(yīng)用程序系統(tǒng)中的機密信息？A、實行職責(zé)分離B、執(zhí)行內(nèi)部數(shù)據(jù)訪問策略C、強制使用數(shù)字簽名D、應(yīng)用單點登錄進行訪問控制答案：B203.一個項目團隊決定改用敏捷方法來開發(fā)現(xiàn)有業(yè)務(wù)應(yīng)用程序的替代品IS審核員應(yīng)首先執(zhí)行以下哪項以確保項目審核的有效性？A、了解將遵循的特定敏捷方法B、采訪業(yè)務(wù)流程所有者以編制業(yè)務(wù)需求列表C、將敏捷過程與以前的方法進行比較D、識別和評估現(xiàn)有的敏捷過程控制答案：A204.在外部審查期間，IS審核員觀察到在組織內(nèi)對系統(tǒng)關(guān)鍵性進行分類的方法不一致應(yīng)推薦以下哪一項作為確定系統(tǒng)關(guān)鍵性的主要因素？A、最大允許停機時間(MAB、C、平均恢復(fù)時間(MTTR)D、恢復(fù)點目標(biāo)(RPO)E、關(guān)鍵績效指標(biāo)(KPI)答案：A205.以下哪一項是信息系統(tǒng)審計師在每次業(yè)務(wù)中需要考慮的最重大風(fēng)險？A、違規(guī)和違法行為B、不遵守組織政策C、與業(yè)務(wù)目標(biāo)不一致D、流程和資源效率低下答案：C206.包含敏感數(shù)據(jù)的面向外部的系統(tǒng)配置為使用戶具有只讀或管理員權(quán)限系統(tǒng)的大多數(shù)用戶都具有管理員訪問權(quán)限以下哪一項是與這種情況相關(guān)的最大風(fēng)險？A、用戶可以進行未經(jīng)授權(quán)的更改B、用戶可以導(dǎo)出應(yīng)用程序日志C、用戶可以安裝開放許可軟件D、用戶可以查看敏感數(shù)據(jù)答案：A207.以下哪項是與在最終用戶計算(EUC)中使用電子表格進行財務(wù)報告相關(guān)的最大風(fēng)險？A、缺乏密碼保護B、缺乏處理完整性C、操作事故增加D、違規(guī)行為增加答案：B208.接受與數(shù)據(jù)質(zhì)量相關(guān)的IT控制風(fēng)險的決定應(yīng)由以下人員負(fù)責(zé)：A、IS審計經(jīng)理B、首席信息官（CIO）C、信息安全團隊D、企業(yè)主答案：D209.組織的審計章程主要是：A、描述審核員進行審核的權(quán)限B、正式記錄年度和季度審計計劃C、記錄審計過程和報告標(biāo)準(zhǔn)D、定義審計師的行為準(zhǔn)則答案：A210.在黑客利用域控制器中的一個眾所周知的漏洞發(fā)生安全漏洞之后，已要求IS審計員進行控制評估審計師的最佳行動方案是確定：A、補丁已更新B、監(jiān)控日志C、域控制器被分類為高可用性D、網(wǎng)絡(luò)流量被監(jiān)控答案：A211.在對網(wǎng)絡(luò)漏洞進行外部評估期間，最重要的是要驗證什么？A、定期審查網(wǎng)絡(luò)安全政策B、入侵檢測系統(tǒng)(IDS)的位置C、更新安全信息事件管理(SIEM)規(guī)則D、網(wǎng)絡(luò)資產(chǎn)清單的完整性答案：D212.以下哪個環(huán)境最適合用于將數(shù)據(jù)復(fù)制并轉(zhuǎn)換為兼容的數(shù)據(jù)倉庫格式？A、發(fā)展B、測試C、復(fù)制D、分期答案：D213.以下哪一項是組織的自帶設(shè)備(BYOD)政策中包含以幫助防止數(shù)據(jù)泄露的最佳建議？A、指定員工報告丟失或被盜BYOD設(shè)備的責(zé)任B、要求對BYOD設(shè)備進行多重身份驗證C、要求員工放棄與BYOD設(shè)備上的數(shù)據(jù)相關(guān)的隱私權(quán)D、只允許注冊的BYOD設(shè)備訪問網(wǎng)絡(luò)答案：D214.哪種類型的測試最能確定新系統(tǒng)是否滿足業(yè)務(wù)需求并準(zhǔn)備好投入生產(chǎn)？A、負(fù)載測試B、用戶驗收測試(UAT)C、體積測試D、性能測試答案：B215.在審計計劃期間，IS審計經(jīng)理正在考慮是否為企業(yè)認(rèn)為具有低風(fēng)險的實體的審計編制預(yù)算在這種情況下，以下哪項是最好的行動方案？A、將低風(fēng)險審計外包給外部審計服務(wù)提供商B、挑戰(zhàn)風(fēng)險等級并將低風(fēng)險實體納入計劃C、對低風(fēng)險商業(yè)實體進行有限范圍的審計D、驗證低風(fēng)險實體評級并應(yīng)用專業(yè)判斷答案：D216.一個組織已經(jīng)虛擬化了它的服務(wù)器環(huán)境，而沒有對網(wǎng)絡(luò)或安全基礎(chǔ)設(shè)施進行任何其他更改以下哪一項是最重大的風(fēng)險？A、數(shù)據(jù)中心環(huán)境控制與新配置不一致B、系統(tǒng)文檔未更新以反映環(huán)境的變化C、影響多臺主機的虛擬化平臺漏洞D、網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)無法監(jiān)控虛擬服務(wù)器到服務(wù)器的通信答案：C217.在對組織的風(fēng)險管理實踐進行審計期間，IS審計員發(fā)現(xiàn)幾個記錄在案的IT風(fēng)險接受在指定的到期日期之后沒有及時更新在評估這一發(fā)現(xiàn)的嚴(yán)重性時，哪個緩解因素可以最大程度地減少相關(guān)影響？A、有記錄在案的對業(yè)務(wù)流程的補償控制B、有問題的風(fēng)險接受反映了總?cè)丝诘囊恍〔糠諧、自風(fēng)險承接獲批以來，經(jīng)營環(huán)境未發(fā)生重大變化D、風(fēng)險接受事先由適當(dāng)?shù)母呒壒芾韺訉彶楹团鷾?zhǔn)答案：A218.在審計業(yè)務(wù)之前進行風(fēng)險評估時，對于IS審計師來說，以下哪一項最重要？A、行業(yè)標(biāo)準(zhǔn)和最佳實踐B、自上次審計以來的時間量C、上一次審計的結(jié)果D、控制設(shè)計答案：D219.信息系統(tǒng)審計員正在審查新自動化系統(tǒng)的部署以下哪項發(fā)現(xiàn)具有最顯著的風(fēng)險？A、用戶沒有接受過新系統(tǒng)的培訓(xùn)B、新系統(tǒng)與平臺無關(guān)C、遺留系統(tǒng)中的數(shù)據(jù)未正確遷移到新系統(tǒng)D、新系統(tǒng)導(dǎo)致關(guān)鍵有經(jīng)驗人員的裁員答案：C220.以下哪一項是可以通過實施安全指標(biāo)儀表板來解決的行政管理問題？A、安全計劃的有效性B、誤報總數(shù)C、預(yù)算用于安全的總小時數(shù)D、安全事件與行業(yè)基準(zhǔn)答案：A221.以下哪項是減輕最終用戶計算(EUC)中復(fù)雜計算的無意修改相關(guān)風(fēng)險的最佳方法？A、讓獨立方審查源計算B、通過手動計算驗證EUC結(jié)果C、從安全庫中執(zhí)行EUC程序的副本D、實施復(fù)雜的密碼控制答案：C222.在IS審核員開始審核后續(xù)活動之前，必須具備以下哪項？A、最終報告中的管理層回應(yīng)，并承諾實施日期B、根據(jù)風(fēng)險顯示的差距和建議的熱圖C、審計報告中提到的差距和建議的支持證據(jù)D、行動計劃中包含的活動的可用資源答案：A223.以下哪項是在預(yù)算有限的組織中解決職責(zé)分離問題的最佳方法？A、執(zhí)行獨立審計B、實施補償控制C、雇用臨時員工D、定期輪換工作職責(zé)答案：B224.一個審計項目的到期日臨近，審計經(jīng)理確定審計只完成了60%審計經(jīng)理應(yīng)首先執(zhí)行以下哪項？A、延長審核期限B、上報給審計委員會C、分配額外的資源來補充審計D、確定延誤發(fā)生的位置答案：B225.在安全審計期間，IS審計員的任務(wù)是審查從企業(yè)入侵防御系統(tǒng)(IPS)獲得的日志條目哪種類型的風(fēng)險與審計員可能錯過一系列可能表明IPS配置錯誤的記錄事件相關(guān)聯(lián)？A、檢測風(fēng)險B、控制風(fēng)險C、抽樣風(fēng)險D、固有風(fēng)險答案：A226.當(dāng)存儲介質(zhì)有限時，以下哪種備份方案是最佳選擇？A、實時備份B、差異備份C、虛擬備份D、完全備份答案：B227.對于審核組織的災(zāi)難恢復(fù)計劃(DRP)的IS審核員來說，以下哪一項最值得關(guān)注？A、自IT基礎(chǔ)架構(gòu)升級以來，DRP尚未更新B、DRP尚未分發(fā)給最終用戶C、DRP未經(jīng)高級管理層正式批準(zhǔn)D、DRP僅包含關(guān)鍵服務(wù)器的恢復(fù)過程答案：A228.一位系統(tǒng)管理員最近向IS審計員通報了來自組織外部的幾次不成功的入侵嘗試以下哪項在檢測此類入侵時最有效？A、定期查看日志文件B、將路由器配置為防火墻C、安裝基于生物特征的身份驗證D、使用帶有一次性密碼的智能卡答案：A229.根據(jù)風(fēng)險管理的三道防線模型，第二道防線包括以下功能：A、自擔(dān)風(fēng)險B、監(jiān)督風(fēng)險C、定義風(fēng)險偏好D、提供獨立保證答案：B230.在制定基于風(fēng)險的IS審計計劃時，以下哪項應(yīng)該是IS審計師的主要關(guān)注點？A、業(yè)務(wù)流程B、商業(yè)計劃C、投資組合管理D、IT戰(zhàn)略計劃答案：A231.對于無人值守的機房，以下哪項是最合適、最有效的滅火方法？A、灑水器B、滅火器C、二氧化碳(CO)D、干燥管答案：C232.在審查組織的隱私政策時，以下哪一項對于IS審計員檢查最重要？A、監(jiān)管機構(gòu)是否明確允許收集個人數(shù)據(jù)B、組織收集個人數(shù)據(jù)的合法目的C、組織為保護個人數(shù)據(jù)而選擇的加密機制D、是否禁止與第三方服務(wù)提供商共享個人信息答案：B233.審查安全事件流程的IS審計員意識到事件已得到解決和關(guān)閉，但沒有調(diào)查根本原因以下哪一項應(yīng)該是這種情況的主要關(guān)注點？A、安全事件策略已過時B、經(jīng)驗教訓(xùn)沒有被正確記錄C、漏洞沒有得到妥善解決D、沒有報告員工的虐待行為答案：C234.以下哪項最能保證防火墻日志的完整性？A、根據(jù)策略保留日志B、需要授權(quán)訪問才能查看日志C、不能修改日志D、日志每月審核一次答案：C235.在系統(tǒng)開發(fā)項目的詳細(xì)設(shè)計階段，以下哪項對于IS審核員來說最重要？A、已經(jīng)制定了驗收測試標(biāo)準(zhǔn)B、已建立數(shù)據(jù)轉(zhuǎn)換程序C、設(shè)計已獲得高級管理層批準(zhǔn)D、遵循程序編碼標(biāo)準(zhǔn)答案：B236.IS審核員在評估防火墻規(guī)則時應(yīng)首先考慮以下哪項？A、防火墻的默認(rèn)設(shè)置B、防火墻的物理位置C、遠程節(jié)點的數(shù)量D、組織的安全政策答案：D237.IS審計員發(fā)現(xiàn)仍在正常使用的軟件系統(tǒng)已經(jīng)過時多年，不再受支持被審核方表示，軟件在當(dāng)前版本上運行需要六個月的時間以下哪一項是降低與使用不受支持的軟件版本相關(guān)的直接風(fēng)險的最佳方法？A、驗證所有補丁都已應(yīng)用于軟件系統(tǒng)的過時版本B、監(jiān)控試圖到達過時軟件系統(tǒng)的網(wǎng)絡(luò)流量C、關(guān)閉過時軟件系統(tǒng)上所有未使用的端口D、將過時的軟件系統(tǒng)與主網(wǎng)隔離答案：B238.并行運行新系統(tǒng)的主要目的是：A、對照其前身驗證新系統(tǒng)的操作B、確定兩個系統(tǒng)中哪一個更有效C、解決程序和文件接口中的任何錯誤D、為全面的單元和系統(tǒng)測試提供依據(jù)答案：A239.在數(shù)據(jù)丟失防護(DLP)審計的規(guī)劃階段，管理層表達了對移動計算的擔(dān)憂信息系統(tǒng)審計師應(yīng)將以下哪項識別為相關(guān)風(fēng)險？A、對IT基礎(chǔ)設(shè)施和應(yīng)用程序缺乏治理和監(jiān)督B、對用戶意識培訓(xùn)的需求增加C、云的使用對IT可用性產(chǎn)生負(fù)面影響D、由于隨時隨地可訪問性而增加的脆弱性答案：B240.一家組織最近購買并實施了智能代理軟件，用于向客戶發(fā)放貸款在實施后審查期間，以下哪項是IS審核員執(zhí)行的最重要的程序？A、審查簽署的批準(zhǔn)，以確保系統(tǒng)決策的責(zé)任得到明確定義B、審查系統(tǒng)文件以確保完整性C、查看系統(tǒng)和錯誤日志以驗證交易準(zhǔn)確性D、審查輸入和輸出控制報告以驗證系統(tǒng)決策的準(zhǔn)確性答案：D241.在新系統(tǒng)實施期間，已指派一名IS審計員在每個里程碑審查風(fēng)險管理審計師發(fā)現(xiàn)項目收益的若干風(fēng)險尚未得到解決誰應(yīng)該負(fù)責(zé)管理這些風(fēng)險？A、項目經(jīng)理B、信息安全官C、項目發(fā)起人D、企業(yè)風(fēng)險經(jīng)理答案：C242.在對最近購買的系統(tǒng)進行實施后審查時，IS審核員確定是否：A、供應(yīng)商產(chǎn)品提供了可行的解決方案B、滿足用戶要求C、測試場景反映了運營活動D、確定利益相關(guān)者的期望答案：B243.以下哪種策略在不影響數(shù)據(jù)保留實踐的情況下最能優(yōu)化數(shù)據(jù)存儲？A、允許員工將大型電子郵件存儲在閃存驅(qū)動器上B、自動刪除超過一年的電子郵件C、30天后將電子郵件移至虛擬電子郵件保險庫D、限制通過電子郵件發(fā)送的文件附件的大小答案：D244.以下哪項是驗證服務(wù)供應(yīng)商是否按照客戶要求保持控制級別的最有效方法？A、獲取供應(yīng)商控制自我評估(CSA)的證據(jù)B、定期與供應(yīng)商審查服務(wù)水平協(xié)議(SLA)C、使用商定的標(biāo)準(zhǔn)進行定期現(xiàn)場評估D、對供應(yīng)商的IT系統(tǒng)進行突擊漏洞評估答案：C245.IS審計員正在審查大型組織的IT治理的成熟度以下哪項最佳表明IT治理已得到有效實施？A、董事會審查對法律和監(jiān)管要求的遵守情況B、董事會監(jiān)督對組織信息安全政策的遵守情況C、董事會審查戰(zhàn)略IT關(guān)鍵績效指標(biāo)(KPI)D、董事會批準(zhǔn)IT安全審查所需的資源答案：C246.IS審核員在發(fā)現(xiàn)服務(wù)提供商未將安全漏洞通知其客戶時應(yīng)該首先做什么？A、將調(diào)查結(jié)果通知執(zhí)法部門B、要求第三方通知客戶C、出具有重大發(fā)現(xiàn)的審計報告D、將調(diào)查結(jié)果通知審計管理層答案：D247.IS審計員正在審查組織的主要路由器訪問控制列表以下哪項應(yīng)該導(dǎo)致發(fā)現(xiàn)？A、IT組的許可和拒絕規(guī)則存在沖突B、每個組只有一個具有訪問權(quán)限的規(guī)則C、個人權(quán)限優(yōu)先于組權(quán)限D(zhuǎn)、網(wǎng)絡(luò)安全組可以更改網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)答案：C248.以下哪項是使用互惠站點進行災(zāi)難恢復(fù)的最大風(fēng)險？A、在需要時無法使用該網(wǎng)站B、無法在現(xiàn)場測試恢復(fù)計劃C、不匹配的組織安全策略D、現(xiàn)場的設(shè)備兼容性問題答案：A249.以下哪項最好的方法能夠及時識別風(fēng)險敞口？A、控制自我評估(CSA)B、內(nèi)部審計審查C、壓力測試D、外部審計審查答案：A250.IT平衡計分卡是最有效的監(jiān)控手段：A、變革管理的有效性B、投資回報率(ROI)C、企業(yè)IT治理D、控制效果答案：C251.當(dāng)IS審核顯示防火墻無法識別多次攻擊嘗試時，審核員的最佳建議是在防火墻和以下位置之間放置入侵檢測系統(tǒng)(IDS)：A、組織的Web服務(wù)器B、非軍事區(qū)（DMZ）C、互聯(lián)網(wǎng)D、組織的網(wǎng)絡(luò)答案：D252.擁有許多臺式PC的組織正在考慮遷移到瘦客戶端架構(gòu)以下哪項是主要優(yōu)勢？A、可以為客戶提供管理安全B、可以更好地管理系統(tǒng)管理C、增強了臺式PC的安全性D、桌面應(yīng)用軟件永遠不需要升級答案：B253.對于IS審核員在項目可行性研究中尋找的以下哪項最重要？A、表明收益將超過投資的評估B、表明安全控制將有效運行的評估C、評估是否可以實現(xiàn)預(yù)期收益D、評估是否完全滿足要求答案：C254.IS審計員想要確定誰負(fù)責(zé)監(jiān)督執(zhí)行特定任務(wù)的員工并參考組織的RACI圖表圖表中的以下哪些角色會提供此信息？A、負(fù)責(zé)B、咨詢C、負(fù)責(zé)D、知情答案：A255.IS審核員應(yīng)考慮以下哪項是與取代舊系統(tǒng)的新健康記錄系統(tǒng)相關(guān)的最重大風(fēng)險？A、部署項目出現(xiàn)嚴(yán)重超支，超出預(yù)算預(yù)測B、新系統(tǒng)存在容量問題，導(dǎo)致用戶響應(yīng)速度慢C、數(shù)據(jù)轉(zhuǎn)換不正確，導(dǎo)致病歷不準(zhǔn)確D、員工沒有參與采購過程，造成用戶對新系統(tǒng)的抵制答案：C256.在對一家跨國銀行的處置過程進行審計時，一名IS審計員注意到了幾項發(fā)現(xiàn)以下哪一項應(yīng)該是審計師最關(guān)心的問題？A、備份媒體在處置前未經(jīng)審查B、使用消磁代替物理粉碎C、備份媒體在保留期結(jié)束之前被處置D、硬件未被認(rèn)證供應(yīng)商破壞答案：C257.以下哪項最好的方法使敏捷項目能夠有效地快速開發(fā)新的軟件應(yīng)用程序？A、工作分為幾個階段B、工作被分成沖刺C、創(chuàng)建項目里程碑D、建立項目段答案：B258.以下哪項最能有效地幫助減少組織中重復(fù)事件的數(shù)量？A、將事件與問題管理活動聯(lián)系起來B、就當(dāng)前事件趨勢對事件管理團隊進行培訓(xùn)C、影響評估后對事件進行優(yōu)先排序D、使用廣泛的場景測試事件響應(yīng)計劃答案：B259.一位IS審計員指出，一些員工出于個人原因花費過多時間使用社交媒體網(wǎng)站審核員建議首先執(zhí)行以下哪項？A、實施有關(guān)在工作時間內(nèi)可接受的社交媒體使用的政策B、調(diào)整網(wǎng)絡(luò)使用預(yù)算以包括社交媒體使用C、實施流程以主動監(jiān)控社交網(wǎng)站上的帖子D、在端點上使用數(shù)據(jù)丟失防護(DLP)工具答案：A260.組織的軟件開發(fā)人員需要訪問以特定數(shù)據(jù)格式存儲的個人身份信息(PII)以下哪項是保護這些敏感信息同時允許開發(fā)人員在開發(fā)和測試環(huán)境中使用它的最佳方式？A、數(shù)據(jù)屏蔽B、數(shù)據(jù)加密C、數(shù)據(jù)標(biāo)記化D、數(shù)據(jù)抽象答案：A261.在確定漏洞掃描過程的完整性時，驗證以下哪項最重要？A、該組織正在使用云托管的掃描工具來識別漏洞B、漏洞掃描結(jié)果報告給CISOC、定期審查對漏洞掃描工具的訪問D、組織的系統(tǒng)清單保持最新答案：D262.以下哪項是組織的IT戰(zhàn)略與其業(yè)務(wù)目標(biāo)一致的最佳證據(jù)？A、IT戰(zhàn)略對業(yè)務(wù)戰(zhàn)略有重大影響B(tài)、IT戰(zhàn)略根據(jù)組織變化進行修改C、IT戰(zhàn)略基于IT運營最佳實踐D、IT戰(zhàn)略得到執(zhí)行管理層的批準(zhǔn)答案：B263.選擇來年進行哪些IS審核的主要依據(jù)是什么？A、以前的審計范圍和范圍B、組織風(fēng)險評估C、上一年的審計結(jié)果D、高級管理人員的要求答案：B264.以下哪項是保護組織筆記本電腦上數(shù)據(jù)的最佳方法？A、雙重身份驗證B、全盤加密C、禁用USB端口D、生物識別訪問控制答案：B265.在基于云的消息傳遞和協(xié)作平臺采購的規(guī)劃階段確定以下哪項最重要？A、用戶加入和退出平臺的流程B、審查管理員活動的流程C、可以上傳到平臺的數(shù)據(jù)類型D、基于角色的訪問控制策略答案：D266.一項新法規(guī)要求組織在發(fā)現(xiàn)重大安全事件后24小時內(nèi)向監(jiān)管機構(gòu)報告以下哪一項是IS審計師為促進遵守法規(guī)而提出的最佳建議？A、將要求包含在事件管理響應(yīng)計劃中B、增強入侵檢測系統(tǒng)（IDS）的警報功能C、聘請外部安全事件響應(yīng)專家進行事件處理D、建立關(guān)鍵績效指標(biāo)(KPI)，以便及時識別安全事件答案：A267.一家金融集團最近實施了新技術(shù)和新流程哪種類型的IS審計可以最大程度地保證部門的目標(biāo)已經(jīng)實現(xiàn)？A、財務(wù)審計B、績效審計C、綜合審計D、網(wǎng)絡(luò)審計答案：C268.以下哪項是驗證數(shù)