（新版）CISA國際注冊信息系統(tǒng)審計師認證備考試題庫（600題）

PAGEPAGE1（新版）CISA國際注冊信息系統(tǒng)審計師認證備考試題庫（600題）一、單選題1.某一國際性企業(yè)準備發(fā)布一項全球的隱私政策，企業(yè)的信息系統(tǒng)審計師最大的擔憂是什么？A、管理層不采納該政策B、此政策與業(yè)務需求相沖突C、此政策與當地政策相沖突D、此政策與公司政策沖突答案：C2.信息系統(tǒng)審計師發(fā)現，為了提高性能將WEB應用程序的驗證控制機制從服務器下遷至客戶端，那么遭受以下哪一項攻擊的風險最可能增加？A、暴力攻擊（還是釣魚攻擊，忘記了）B、SQL注入C、拒絕服務攻擊D、緩沖區(qū)溢出答案：B3.以下哪一項是公司轉移IT風險的有效方式？A、購買保險（買保險是最常見的轉移IT風險的手段）B、-C、-D、-答案：A4.電子鏈接異地備份能夠降低以下哪一項風險？A、備份期問發(fā)生通訊故障B、運輸過程中介質意外丟失C、存儲介質容量不足D、備份不準確或不完整答案：B5.以下哪一項能夠最大限度地減少長時問電源故障的影響？A、可排除B、冗余電源C、電源調控裝置D、蓄電池組答案：B6.以下哪一種方法能將可重復使用的存儲設備中的敏感數據有效刪除？A、使用介質清除軟件B、覆蓋敏感數據C、格式化便攜式設備D、消磁（使設備暴露于磁場中）答案：B7.評估與企業(yè)內點對點文件共享相關的風險時，以下哪一項應該是信息系統(tǒng)審計師最大的擔憂？A、不是所有設備都運行了防病毒程序B、只有部分員工參加了安全意識培訓C、企業(yè)沒有有效的修補程序管理流程D、文件共享政策尚未進行過審查答案：B8.要有效地建立業(yè)IT結構體系，以下哪一項最為重要：A、僅在體系結構中包含關鍵系統(tǒng)B、企業(yè)支持標準化C、完善的數據轉移政策D、與其他組織體系結構的對比答案：B9.下列哪項技術對項目管理有效？（項目管理有效性體現在）A、達到關鍵里程碑B、使計劃與業(yè)務組合一致C、KPI績效D、項目管理方法答案：C10.企業(yè)遭受了釣魚攻擊，某用戶向攻擊者泄露了自己賬號的密碼。以下哪一項措施能最有效地降低隨后的攻擊入侵的風險？A、教育用戶B、反垃圾郵件篩選器C、加強密碼D、定期進行滲透測試答案：D11.使用數字簽名的主要原因A、機密性B、完整性C、可用性D、實效性答案：B12.企業(yè)正在將HR應用遷移到私有云中的基礎設施即服務(laas)模型。誰主要負責所部警應程序操作系統(tǒng)的安全配置？A、云提供商B、操作系統(tǒng)供貨商C、云提供商的外部審計師D、企業(yè)答案：D13.以下哪個可用于確定恢復順序？A、BIAB、風險評估C、BCP測試結果D、DRP測試結果答案：A14.哪項是數字簽名的特征：A、受接收方控制B、對消息而言是唯一的C、在數據變更后經過認證D、有可再生的哈希算法答案：B15.某IS審計師正在審查某會計系統(tǒng)的訪問情況，并發(fā)現了職責分離問題；但業(yè)務規(guī)模小，沒有額外的工人可供使用。在這種情況下，以下哪一項是建議的最佳補償性控制？A、實施基于角色的訪問B、審查審計軌跡C、執(zhí)行定期訪問審查D、審查錯誤日志答案：B16.與被審單位召開退出會議的主要目的？A、商討下一步的整改措施B、就審計發(fā)現的問題與被審單位進行溝通了解C、確認還有哪些審計遺漏D、了解管理層對審計實施的過程評價答案：B17.在評估潛在的企業(yè)資源規(guī)劃(ERP)實施供應商時，信息系統(tǒng)審計師應首先建議執(zhí)行以下哪一項？A、調查供應商的財務歷史B、檢查供應商的客戶參考C、制定供應商響應計分卡D、審查供應商過去的實施項目答案：D18.組織鼓勵員工因為工作目的而使用社交平臺，以下哪一項能最好防止數據泄露？A、員工簽署政策要求確認和保密協(xié)議B、對敏感數據實施強有力的控制C、對員工使用社交網站的活動實施監(jiān)控D、提供社交平合使用的相關培訓和指導答案：B19.審計師提交了報告和整改建議后，大多數部門的負責人都沒有進行整改，IS審計師應該：A、評估未進行整改的影響B(tài)、重新驗證審計發(fā)現C、報告高級管理層答案：C20.回歸測試的概念：在更改系統(tǒng)中某個程序的功能之后，需要對系統(tǒng)進行回歸測試，其目的是：A、所作的更改是否對系統(tǒng)產生了負面影響。B、更改后的程序是否按照新的程序設計運行。C、更改后的程序是否按照用戶要求的更改來運行。D、效率效能相關的選項（可排除）答案：A21.在對供應商管理數據庫審計期間，信息系統(tǒng)審計師辨認出多個供應商重復記錄。基此，信息系統(tǒng)審計師應向管理層建議：A、對關鍵字段的唯一數據值執(zhí)行系統(tǒng)驗證檢查B、向高級管理層中請查所有新供應商的詳細信息C、在供應商建檔流程中職責分離D、定期審核對完整的供應商列表，以識別重復內容答案：A22.哪一項可確保新建設的數據倉庫滿足公司需求？A、通過其對公司影響的重要性程度來處理數據質量B、將數據需求整合到系統(tǒng)開發(fā)生命周期C、委派數據管理員實施數據洽理D、促進與管理層的有效溝通答案：B23.在制定業(yè)務持續(xù)性計劃時，業(yè)務單位管理層的參與在以下工作過程中最為重要？A、制定業(yè)務恢復程序B、實施文檔庫C、進行業(yè)務影呴分析D、執(zhí)行IT風險評估答案：C24.發(fā)生災難時，什么是確保組織備份介質充分備份的最佳方案？A、定期在測試環(huán)境中恢復生產系統(tǒng)B、有計劃的備份設備維護C、定期審查備份日志，以確保生產環(huán)境中的所有數據得到備份D、有計劃的備份介質讀取/寫入測試答案：C25.公司實施三單（訂單、貨物單據和發(fā)票）自動匹配的目的是控制以下哪種風險？A、系統(tǒng)處理無效付款B、未給子客戶折扣C、訂單延遲處理D、多次支付一項合法交易答案：D26.引用其他審計師的工作報告時，信息系統(tǒng)審計師應做到A、考慮該工作報告的適當性和充足性B、忘記了（可排除）C、較少依賴其他審計師的工作成果D、考慮該工作報告的時效性答案：A27.信息系統(tǒng)審計師在中查裝組織在各全少含地點之間傳輸敏感數據的方法。以下哪一項會引起審計師最大的擔心？此方法完全依賴于使用：A、數字簽名。B、非對稱加密算法。C、對稱加密算法。D、公共密鑰基礎結構。答案：A28.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的？A、吸取的經驗教訓已記錄存檔并加以應用B、業(yè)務和IT相關人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期（SDLC)中的一個正式階段答案：A29.審計委員會已經完成審計日程表，審計師團隊已經對項目進行部分審計，執(zhí)行層提出對新項目進行審計，審計師團隊沒有足夠的資源進行額外審計，可選擇方式進行：A、申請修改審計日程B、拒絕C、申請把當前審計計劃安排到下一期開展D、批準加班，把工作完成答案：A30.信息系統(tǒng)審計師使用端口掃描軟件來：A、建立通訊連接B、檢測入侵行為C、檢測開放服務D、確保所有端口在使用中答案：C31.風險評估結果需要更新主要是由于（)？A、遵從政策的要求B、應對數據的變化C、應對IT環(huán)境的變化D、業(yè)務部門的需求答案：C32.在制定新的風險管理計劃時，一定要考慮以下哪種因素？（新題）A、風險偏好B、合規(guī)性措施C、風險緩解技術D、資源利用答案：A33.在電子商務中使用的典型網絡體系結構中，負載平衡器通常位于下面哪兩個項目之間：A、數據庫和外部網關B、用戶和外部網關C、路由器和web服務器D、郵件服務器和郵件庫答案：C34.對員工進行了安全培訓教育，以下哪種方式證明了培訓的有效性？A、安全事故的上報數量增加B、參加安全意識培訓人員的百分比變多答案：A35.以下哪一項IT服務管理活動最有可能助確定恢復出現的網絡延時的根本原因？A、事故管理B、配罝管理C、變更管理D、問題管理答案：D36.以下哪項用以管理供應商支持的軟件狀態(tài)為最新？A、版本管理B、變更管理C、軟件資產管理D、補丁管理答案：D37.企業(yè)購買第三方開發(fā)的軟件，哪一項最重要？A、知識產權B、審計權限C、第三方協(xié)議答案：A38.當確定審計日志的數據保留期時，最基本的因素是什么？A、計算機取證的原則B、審計標準C、風險控制要求D、法律法規(guī)要求答案：D39.對關鍵IT基礎架構上進行漏洞掃描時，哪項最重要？A、在非高峰時間執(zhí)行B、不會降低系統(tǒng)性能C、掃描后再進行滲透測試D、掃描成本效益答案：A40.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應該做的是什么？A、禁止該員工的系統(tǒng)訪問權限B、審查之前該員工批準的交易C、人員陪同下離開工作場所D、給員工電腦做備份答案：A41.企業(yè)在考慮更換其電商平臺。以下哪一項是最好的啟動方式？A、發(fā)布RRI信息請求書B、發(fā)布RFP建議書C、發(fā)布采購訂單申請D、報價請求答案：B42.審計師發(fā)現系統(tǒng)存在很多多余生產系統(tǒng)權限沒有及時清除，審計師應該建議？A、人力資源系統(tǒng)在員工離職后自動觸發(fā)刪除員工權限B、業(yè)務部門定期審閱并申請刪除多余的訪問權限C、系統(tǒng)管理員應確保權限分配的一致性D、IT安全部門管理員定期刪除多余的權限答案：B43.在生產運行環(huán)境中更改程序，最重要的是得到誰的批準？A、用戶部門負責人B、信息系統(tǒng)管理層C、安全管理員D、項目經理答案：A44.審計第三方供應商的關鍵績效指標KPI時，審計師最大的擔憂是？A、KPI沒有文檔記錄B、KPI指標沒有明確定義C、KPI從未更新D、KPI數據沒有加以分析答案：B45.確定審計發(fā)現的改進時間表，根據什么確定：A、業(yè)務部門的整改時間B、管理層決定的時間C、監(jiān)管部門的檢查時間答案：A46.以下哪項使用回歸測試：A、單元測試B、系統(tǒng)修改C、程序開發(fā)D、壓力測試答案：B解析：uat測試數據可以用來做系統(tǒng)測試，不需要刪除47.信息系統(tǒng)審計師在在制定審計計劃時，應首先執(zhí)行以下哪一項活動？A、確定風險優(yōu)先順序B、審查以前的審計報告C、確定審計范圍D、分配審計資源答案：A48.數據庫中的訂單數量不斷增多，審計師應建議：A、歸檔B、增加索引C、刪除歷史訂單D、增加物理存儲答案：B49.確定配置應用程序的內部安全控制是否符合組織安全標準的最佳測試是哪個？A、安全報告的可用性和頻率B、業(yè)務應用程序的安全參數設置C、IDS的日志D、應用程序的用戶賬戶和密碼答案：B50.被審計方已告知信息系統(tǒng)審計師，資金沒有按照審計報告中商定的建議進行安排，且沒有預計的解決時間計劃，審計師應對此情況應采取什么方法？A、在無法實施完整解決方案的情況下評估風險B、關閉該審計發(fā)現并記錄被審計方的解釋C、獲得內部審計批準，并把審計發(fā)現從報告中刪除D、建議增加預算答案：A51.在審計IT管理時，審計師最擔心見到一下情況A、IT戰(zhàn)略計劃需要的經費沒有經過審批B、IT戰(zhàn)略計劃來源于互聯網最新趨勢C、上一年IT戰(zhàn)略計劃沒有實現D、IT戰(zhàn)略計劃停留在技術架構層面。答案：B52.下面哪一項是最佳的數據完整性檢查？A、將數據追溯至源點B、計算每天處理的交易量C、準備和運行測試數據D、執(zhí)行連續(xù)性檢查答案：A53.為了解決電源長時間斷電問題，最好的方法是A、電源調節(jié)器B、備用電池C、冗余電力D、UPS答案：C54.以下哪項能夠體現企業(yè)采用了適當的控制A、發(fā)布相關政策B、發(fā)布IT戰(zhàn)略C、定期風險分析并開會探討D、可排除答案：C55.證明IT與業(yè)務時間保持一致的最佳證據是：A、IT項目由技術審查委員會正式審查是否符合IT標準B、企業(yè)的業(yè)務目標與行業(yè)標準保持一致C、IT企業(yè)每年都成功減少了IT運營支出D、建立了正式流程，用于對IT項目進行優(yōu)先排序以實現業(yè)務目標答案：D56.在完成信息系統(tǒng)審計后，IS審計師應向利益相關者說明以下哪種風險？A、固有風險B、審計風險C、檢測風險D、殘余風險答案：D57.公司應該采取以下哪一項措施來估計災難的影響？A、分析功能成熟度模型差距B、開展業(yè)務影響分析(BIA）C、模擬災難恢復D、定義恢復點目標(RPO）答案：B58.在對應用程序進行實施后審查時，以下哪一項應測試的主要聚焦重點？A、確保將企業(yè)標準用作實施過程的一部B、確保已完成系統(tǒng)和集成測試，并取得系統(tǒng)所有者的簽字確認C、確保驗收測試符合利益相關者的同意和認可，并落實到實施計劃D、確保應用程序在生產環(huán)境中處于活動狀態(tài)，并且可以從最終用戶設備訪問到答案：A59.人在制定新的風險管理計劃時，一定要考慮以下哪種因素？A、資源利用率B、合規(guī)性措施C、風險緩解技術D、風險偏好答案：D60.以下哪一項最能有效減少系統(tǒng)轉換期間的停機時問？A、實驗研究B、直接切換C、分階段方法D、并行運行（平行運行）答案：D61.非誠信員工被公司解雇后，未收回手機最大的風險是什么A、訪問公司網絡B、泄露客戶聯系方式C、資產清單不完整D、財產損失答案：B62.數據中心在簽署熱備援中心(Hotsite)合同之前，最要確認的是？A、多個公司發(fā)生災難時，與中心員工協(xié)調(用戶同時出現故障用戶間互相協(xié)調能力）B、多個公司發(fā)生災難時，數據中心是否可用(用戶同時出現故障的應對處理能力）C、與其他組織簽互惠協(xié)議D、進行全面測試答案：B63.如何最大地降低清除交易的新進程對數據庫完整性的不利影響？A、數據庫結構B、實體entity關系圖C、測試環(huán)境中的進程結果D、觸發(fā)器設計答案：D64.在審計防火墻配置時，信息系統(tǒng)審計師發(fā)現防火墻已集成到一個新系統(tǒng)中，該系統(tǒng)同時提供防火墻和入侵檢測功能。信息系統(tǒng)審計師應該：A、評估當前工作人員是否能夠支持新系統(tǒng)。B、認為跟進審計不必要，因為不再使用防火墻。C、評估集成系統(tǒng)是否解決已識別的風險。D、審查新系統(tǒng)與現有網絡控制的兼容性。答案：C65.供應商提供SLA服務中規(guī)定保護備份介質完整。在審查各份介質時，發(fā)現有一份備份介質丟失，下一步審計師應該建議執(zhí)行什么：A、建議審查供應商合同B、建議評估丟失介質中的數據C、通知高級管理層D、將此問題發(fā)現納入在審計報告中答案：B66.審計師發(fā)現數據庫配置管理系統(tǒng)有個安全漏洞，他接下來怎么做？A、報告高級管理層B、評估是否有補償性控制C、報告審計委員會D、嘗試利用漏洞答案：B67.為防止未授權的變更被移入生產環(huán)境，最有效方式是以下哪一項？A、徹底測算測試環(huán)境中的變更B、強制在開發(fā)人員和遷移者之間進行職責分高C、需要業(yè)務流程所有者批準變更D、定期審查變更請求，以確保所有變更文件記錄在附件中答案：B68.如下哪個是進行業(yè)務影響分析的最好方法？A、對主要業(yè)務相關者發(fā)布調查問卷B、和主要業(yè)務相關者進行面談C、與IT管理人員進行面談D、咨詢相關專家答案：B69.以下哪項最能確保信息資產的機密性？A、按照“按需分配”的訪問控制原則B、采用雙因素身份認證控制C、人員安全意識培訓D、為所有用戶配置只讀權限答案：A70.哪一項可以證明IT內部控制環(huán)境的成熟度水平最高？A、控制的運作取決于員工的意識B、在管理層的要求下評估IT操作效率C、使用正式記錄的控制流程并定期實施評估D、充分記錄控制并及時發(fā)現控制異常答案：C71.在審查數據防護時，信息系統(tǒng)審計師最應關注：A、分類結構未發(fā)布B、密碼未定期更改C、分類數據未加密D、數據未正確分類答案：D72.在數據庫系統(tǒng)中，正規(guī)化的用途是？A、消除死鎖B、減少數據冗余。C、縮短數據訪問時間。D、使數據標準化。答案：B73.某公司將信息系統(tǒng)功能外包出去。要滿足災難恢復的需要，該公司應該：A、將災難恢復的評估工作委托給內部審計部門B、將災難恢復的評估工作委托給第三方C、停止災難恢復計劃的維護工作D、與外包供應商協(xié)調災難恢復管理措施答案：D74.審計師最應和組織中的什么角色來確認應用系統(tǒng)的業(yè)務需求和目標？A、用戶管理部門B、高級管理層C、項目管理部門D、項目發(fā)起人答案：D75.審計師發(fā)現遠于在,上班時間經常使用社交軟件導致浪費了很多時間，審計師應該建議：A、實施在上班時間可用的社交軟件的政策（制定政策限制社交網絡的使用）B、實施主動監(jiān)控在社交軟件上發(fā)帖的控制C、制定防止數據泄漏的措施答案：A76.對預算有限的公司，解決內部職責分離問題的最合適的措施是：A、定期實施輪崗B、招募臨時員工C、進行獨立審計D、實施補償性控制答案：D77.執(zhí)行備份的做法反映了哪一種類型的內部控制？A、預防B、檢測C、改正性D、補償答案：C78.要審查IT目標服務業(yè)務目標的最好體現是：A、KPIB、業(yè)務案例C、ITBSC答案：C79.電子支票（改成EFT）相對于手寫支票，最大的優(yōu)勢在手A、提高效率B、降低未授權的風險C、節(jié)約人工成本D、可以統(tǒng)一設定傳輸標準。答案：B80.以下哪個事項百分比很高就說明IT部分的工作做的好？A、事件發(fā)生立即解決的百分比B、用戶對IT工作滿意的百分比C、利益相關者對IT項目范圍的滿意度答案：B81.訂單系統(tǒng)沒有連續(xù)分配請求訂單，管理層做出更改，以下哪一項可以證明該措施實施了？A、獲得管理層系統(tǒng)中的采購訂單B、審查系統(tǒng)的訂單連續(xù)性配置及相關日志C、管理層確認已經做出更改答案：B82.企業(yè)開展業(yè)務所在地區(qū)的隱私法變更后，信息系統(tǒng)審計師應采取生命行動？A、設計補償控制以符合新的隱私法B、對企業(yè)的隱私程序提供更新建議C、使用當前的隱私程序執(zhí)行差距分析D、將隱私法的變更傳達給法律部門答案：C83.以下哪一種是檢測型控制？A、輸入格式驗證B、進行恢復程序C、密碼控制D、散列驗證答案：D84.要實施IT治理框架，董事會需要做到？A、解決IT技術問題B、成立IT戰(zhàn)略委員會C、審批IT戰(zhàn)略D、了解所有IT項目發(fā)展答案：B85.以下哪一項控制最能防止互聯網噢探器（Internetsniffer）進行重放攻擊(replayattack):A、數據包過濾路由器B、帶時間戳的數據加密技木C、正確配置的防火墻D、數字簽名技木答案：B86.審計師最擔心的是修補程序管理流程中出現什么情況？A、修補時間比原計劃長B、某些系統(tǒng)的修補程序采用手動安裝C、每三個月執(zhí)行一次修補程序D、修補程序需要回滾答案：C87.以下哪項最能支持組織減少拒絕服務（DoS)，攻擊對在線支付應用程序的影響？A、加固設備參數B、部署入侵檢測系統(tǒng)（IDS)C、建立特定場景的災難恢復程序D、對網絡用戶進行安全意識培訓答案：C88.從Internet連接到企業(yè)的局域網時，防止未經授權訪問的最佳建議是利用A、代理服務器B、VPNC、加密D、虛擬化服務器答案：B89.企業(yè)已經制定了成熟風險管理實踐，審計師利用風險管理成熟度最有效的方式是什么？A、促進識別審計風險和評估研討會B、整合風險登記表用于進行審計計劃C、向管理層提供有關風險的保證D、實施風險響應流程答案：B90.跟進上一年審計報告的主要原因是確定：A、控制環(huán)境是否出現重大變化。B、是否解決了已確定的控制弱點問題。C、上一年推薦的行動方案是否變得毫無相關性。D、固有風險是否發(fā)生變化。答案：A91.以下哪一項是執(zhí)行風險評估的主要原因？A、符合監(jiān)管要求B、幫助分配預算用于風險緩解控制C、確保與業(yè)務影響分析(BIA)保持一致D、確定當前的風險概況答案：D92.以下哪項最能防止數據孤立A、表索引B、輸入驗證檢查C、參考完整性D、表劃分答案：C93.2022年4月題目為：審計師如何評估公司員工安全意識充分性？A、就安全職責訪談員工B、觀察員工在安全方面的行為C、進行安全意識調查問卷D、確認公司的安全意識計劃答案：B解析：（答案同樣為B，觀察比訪談更客觀）94.容量管理的目標是確保：A、充分地利用可用資源。B、可排除。C、有效地使用組織的資源。D、將新資源分配給新應用程序。答案：A95.關于數據庫鎖定的記錄的目的是什么？（DBMS的記錄鎖定Recordingoption能夠？）A、數據管理員防止數據被刪除B、防止記錄的同時輸入C、指定文件不讓其他人員訪問答案：B96.在進行IT風險評估時，應首先執(zhí)行以下哪一個步聚？A、評估現行控制B、評估漏洞C、識別潛在的威脅D、識別要保護的資產答案：D97.以下哪項是檢查性控制？A、輸錯了3次密碼，就鎖定該賬戶IDB、建立整個系統(tǒng)的災難恢復計劃C、審查特權用戶的登陸日志D、要求用戶通過電子郵件系統(tǒng)請求額外的訪問答案：C98.源代碼庫應該設計用于：。A、提供自動整合并分發(fā)修改后的代碼。B、防止對現有代碼進行變更。C、為現有代碼提供安全的版本管理和備份功能。D、防止開發(fā)者訪問安全源代碼。答案：C99.哪項風險對抽樣方法的選擇影響最大？A、固有風險B、殘余風險C、檢測風險D、控制風險答案：D100.抽樣方法受以下哪種風險的影響？A、控制風險B、固有風險C、審計風險D、檢測風險答案：A解析：lieaven說題：在確定固有風險后，審計師對控制風險進行評估，從而確定抽樣方法和具體的測試方法。檢測風險是指審計人員經過實質性測試仍未發(fā)現管理層認定中的重大失實陳述的風險，檢測風險由抽樣風險和非抽樣風險組成。檢測風險將直接響應審計風險。101.對于問題的整改，公司并未按先前商定的程序去按時跟進，且高級管理層已接受相關風險，如果審計師不同意管理層的決定，最佳的處理方式是？A、將問題報告給首席審計執(zhí)行官，尋求解決方法B、在審計范圍內重新執(zhí)行審計，但僅涵蓋具有可接受風險的領域C、既然高級管理層已經接受風險，不需要任何行動D、建議新的糾正行動以緩釋可接受的風險答案：A102.以下哪一個角色的支持對信息安全洽理的影響最大？A、信息安全指導委員會B、董事會C、首席信息安全官D、首席信息官答案：B103.信息系統(tǒng)審計師應該會在下列哪一個SDLC階段，發(fā)現控制措施已集成到系統(tǒng)規(guī)范中？A、實施B、設計C、開發(fā)D、可行性研究答案：B104.為使信息系統(tǒng)審計師更好地從發(fā)現和結論中做出判斷，審計證據應符合以下哪些要求？A、采集、經過檢查并且受到保護B、符合法律法規(guī)要求C、被認為是充分的人可靠的和相關的D、符合監(jiān)管要求答案：C105.在提交審計報告前，審計經理發(fā)現由于錯誤的收集了審計證據導致可能審計結論不正確，該風險屬于什么風險？A、固有風險B、操作風險C、審計風險D、控制風險答案：C106.哪一項是進行IT控制環(huán)境基準測試的主要目標？A、確保IT戰(zhàn)略與業(yè)務戰(zhàn)略的一致性B、確保IT安全戰(zhàn)略和政策有效C、定義流程和控制所有權D、檢測控制偏差答案：D107.在選擇和部署使用面部識別軟件的生物特征識別系統(tǒng)前，必須完成以下哪一項？A、圖像干擾審查B、錯誤的驗收測試C、隱私影響分析D、漏洞評估答案：C108.規(guī)劃審計時。對重要性進行評估的作用是：A、可排除小錯誤的累計效應B、幫助審計集中在關鍵領域C、在審計測試完成時告知審計師D、集中于財務方面的項目答案：B109.新系統(tǒng)的實施是通過自行實施還是買用外包模式實施需要明知的決策，這應該實在哪個環(huán)節(jié)中考慮的？A、業(yè)務案例B、可行性分析答案：B110.在一個電壓忽高忽低的場景下，需要哪種設備保護系統(tǒng)A、UPSB、冗余電力（發(fā)電機）C、穩(wěn)壓器D、電源線調節(jié)器答案：C111.質量保證團隊正在測試新的電子票務應用程序，以下哪一項是最大的問題？A、項目經理希望推遲幾天實施B、管理電子票務應用程序的用戶管理流程還沒完成設計C、稅表不會上傳到生產數據庫中D、沒有明確定義執(zhí)行測試的用戶驗收標準答案：D112.審查公司IT戰(zhàn)略與IT計劃的一致性，信息系統(tǒng)審計師發(fā)現哪項最重要A、未分發(fā)業(yè)務戰(zhàn)略會議紀要B、IT未參與業(yè)務戰(zhàn)略的制定C、IT戰(zhàn)略計劃的文檔不足D、根據業(yè)務制定的IT戰(zhàn)略所導出的IT項目的成果物答案：B113.電力暫時增高減少的情況時應選擇哪個設備？（選項中沒有穩(wěn)壓器）A、冗余電力B、UPSC、備用發(fā)電機D、關閉電源緊急開關答案：B114.信息系統(tǒng)審計師懷疑公司擁有的計算機可能涉及參與非法交易活動，審計師應采取的最佳方式是什么？A、向審計管理部門上報其擔憂B、隔離并保存?zhèn)浞軨、通知執(zhí)法部門D、在計算機上安裝監(jiān)控工具答案：A115.哪一項是審計師對于幫助企業(yè)提高資源效率的最佳建議？A、實時備份B、可排除C、硬件升級D、虛擬化答案：D116.什么影響DRP？(信息系統(tǒng)審計師檢查恢復策略的充分性主要檢查下列哪個因素？）A、BIAB、RTOC、RPO答案：A117.開發(fā)團隊每天都將包含個人信息的數據同步到測試環(huán)境，需要獲得誰的授權A、數據所有者B、個人信息主體C、信息安全經理D、系統(tǒng)管理員答案：A118.為驅動問責制以實現在IT項目利益實現計劃中的預期結果，應采取以下哪項措施？A、確保項目經理擁有正式的權限來管理利益實現計劃B、確保IT部門對收益實現計劃各個方面的交付和跟蹤負責C、記錄該項目與同一計劃中其他項目時間的相依性D、為計劃中每個已識別的利益分配職責、措施和時間表答案：D119.針對web應用程序中的安全漏洞以獲得對數據集的訪問權限的攻擊方式是：A、RootkitB、拒絕服務(DoS)C、SOL注入D、網絡釣魚(phishing)攻擊答案：C120.提交了審計報告，部門未整改，應該？A、報告管理層B、評估影響C、重新驗證審計發(fā)現答案：A121.信息系統(tǒng)審計師在上線之前審查新系統(tǒng)的項目計劃時，注意到項目團隊尚未記錄恢復計劃。以下哪一項是這一情況下最佳的系統(tǒng)上線方法？A、均衡負載B、（明顯不對，可排除）C、立即切換D、并行切換答案：D122.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類型的檢查？A、有效性檢查B、完整性檢查C、存在性檢查D、可排除答案：A123.信息系統(tǒng)審計師發(fā)現數據庫管理系統(tǒng)維護后未重新啟動審計日志，以下哪一項是最大的問題？A、將不能記錄數據庫管理員所作的更改操作B、將不能優(yōu)化數據庫的觸發(fā)器和指針C、將不能記錄應用程序用戶所作的更改操作D、將妨礙數據庫優(yōu)化答案：A124.以下哪項可以提供邏輯訪問控制，以禁止更新或刪除關系數據庫(relationaldatabase)中的業(yè)務信息？A、觸發(fā)器B、視圖C、關聯數據D、可排除答案：B125.下列哪項數據分布式系統(tǒng)中的檢查性策略？A、審查特權用戶日志B、輸入密碼錯誤三次后鎖定C、對電子郵件申請額外的加密請求D、建立BCP答案：A126.公司要將保密數據給到下游應用系統(tǒng)，最能保證安全性的是？（金融機構需要向下屬分公司傳輸機密性的數據，最佳做法是？）A、SFTP（安全文件傳輸協(xié)議）B、帶時間截的文件頭C、SNMP（簡單網絡管理協(xié)議）D、SNTP（簡單網絡數據協(xié)議）E、安全外殼SSH（遠程登錄和其他網絡上用戶層網絡層協(xié)議）F、使用靜態(tài)密鑰雙向加密答案：A127.在審計射頻識別技術（RFID）時，最應該注意什么？A、可擴展性B、不可否認性C、隱私D、可維護性答案：C128.以下哪項是檢測重復付款最有效的方法？A、加密和解密信息摘要B、評估付款歷史的合理性和審批情況C、查看每個交易的序列號和時間戳D、使用加密哈希算法答案：C129.哪一項能最有效地防止舊硬盤的數據泄露？A、重復寫（覆寫）B、物理破壞C、低級格式化D、消磁答案：B130.在制定項目風險登記表時：以下哪項是最重要的行動？A、進行walkthrough穿行測試B、為已識別的風險分配風險所有權C、確定風險評分標準D、制定風險行動計劃答案：B131.信息系統(tǒng)審計師正在審查外包客戶服務部門的服務管理。以下哪一項最能表明服務提供商執(zhí)行此職能的效能？A、有效通話次數B、客戶滿意度評級C、工單平均時長D、通話記錄審查答案：B132.公司將其應用程序遷移到私有云中的IaaS平臺。誰將負費所部署應用程序所在操作系統(tǒng)的安全配置？A、云提供商B、操作系統(tǒng)供貨商C、公司D、可排除答案：C133.項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大？A、未滿足用戶需求B、項目關鍵路徑改變C、超出預算D、項目延遲完成答案：A134.以下哪一項是使用能力成熟度模型的最大優(yōu)勢？A、績效改進相關的描述（可以排除）B、幫助企業(yè)開發(fā)一個向其期望的成熟度級別發(fā)展的路線圖C、提供了與類似企業(yè)的成熟度級別進行對標的方式D、幫助企業(yè)評估多久才能在每個領域達到最高的成熟度級別答案：B135.在審查DRP時，最需要注意的事項是哪個？A、沒有規(guī)定宣布災難的職責B、CIO沒有批準與簽署DRP計劃C、沒有將DRP文件備份儲存在異地安全的地方D、DRP恢復步驟不詳細答案：A136.下列哪項會使IT戰(zhàn)略與業(yè)務目標不一致：A、CIO沒有參與董事會會議B、新的業(yè)務流程實施中IT預算不足C、CIO制定IT戰(zhàn)略D、業(yè)務戰(zhàn)略規(guī)劃沒有信息安全的參與答案：A137.企業(yè)開發(fā)系統(tǒng)有4個模塊，最后一個涉及將數據更新至數據庫中，信息系統(tǒng)審計師應檢查什么A、實體關系圖B、配置數據庫管理C、變更管理D、數據流圖答案：D138.IDS能檢測什么類型的攻擊？A、系統(tǒng)掃描B、垃圾郵箱C、欺騙D、邏輯炸彈答案：A139.信息系統(tǒng)審計師提交審計報告和整改建議后，公司更換了管理層，新上任的管理人員對之前的整改建議拒不執(zhí)行，以下哪種是最佳執(zhí)行選擇：A、報告給審計經理B、報告給審計委員會主席C、重新進行測試D、終結審計問題答案：A140.審計師關注UAT測試的重點是？A、已完成應用程序接口測試B、已完成系統(tǒng)集成測試C、業(yè)務流程所有者簽字確認測試結果。答案：C141.信息系統(tǒng)審計師提交審計報告和整改建議后，公司更換了管理層，新上任的管理人員對之前的整改建議拒不執(zhí)行，以下哪種是最佳執(zhí)行選擇：A、報告給審計經理B、重新進行測試C、終結審計問題D、報告給審計委員會主席答案：A142.發(fā)生災難時，什么是確保組織備份介質有效性的最佳方案？A、定期在測試環(huán)境中恢復生產系統(tǒng)B、有計劃的備份設備維護C、定期審查備份日志，以確保生產環(huán)境中的所有數據得到備份D、有計劃的備份介質讀取/寫入測試答案：D143.審計師作為開發(fā)小組成員，該小組正在采購軟件。以下哪一項有損該審計獨立性？A、鑒證供應商選擇流程B、批準供應商選擇方法C、驗證每項選擇標準的權重D、可排除答案：B144.項目實施后一個月，審查中采用調查問卷的方式，哪項影響最大A、一個月之后才發(fā)問卷B、問卷沒有開放性回答C、沒有把結果報告管理層D、用戶對調查問卷參與不積極答案：C145.以下哪一項是系統(tǒng)交更回退計劃的主要目的？A、確保系統(tǒng)變更有效B、確保在實施變更之前存在備份C、確保在需要時可以重新執(zhí)行測試D、確保存在必要時刪除變更的步驟答案：D146.數據匿名化可以防止大數據環(huán)境中哪類攻擊？A、相關性correlationB、拒絕服務DDOSC、中間人攻擊D、欺騙答案：A147.當企業(yè)實施安全信息和事件管理(SIEM)系統(tǒng)時，建立了哪一種控制類型？A、檢測性B、改正性C、指導性D、預防性答案：A解析：SIEM，全稱為安全信息與事件管理，是一種企業(yè)級的安全管理解決方案。它通過收集和分析來自各種不同來源的安全事件數據，來識別、預防和響應網絡安全威脅。在數據整合之后，SIEM系統(tǒng)會對數據進行分析，以便發(fā)現任何異?；蚩梢傻哪Ｊ?。最后，如果SIEM系統(tǒng)檢測到可能的安全威脅，它會發(fā)出警報，通知管理員進行進一步的調查和響應。148.以下哪項會通過將自身追加到文件中來防御病毒？A、行為攔截程序B、循環(huán)冗余校驗(CRC)C、免疫程序D、主動監(jiān)控程序答案：C149.客戶可以通過internet直接訪問一個web應用系統(tǒng)（客戶關系管理系統(tǒng)）。以下哪一項是審計師最擔心的？A、系統(tǒng)部署在企業(yè)內部網段中B、系統(tǒng)托管在第三方服務商的混合云平臺中C、系統(tǒng)部署在公司網絡的DMZ區(qū)中D、系統(tǒng)托管在第三方供應商的服務器上答案：B150.評估云環(huán)境下的應用程序的控制措施時，審計師最應關注以下那項？A、云環(huán)境下系統(tǒng)的可用性B、系統(tǒng)所支持的業(yè)務流程C、正在接受審計的業(yè)務領域的相關政策和程序D、系統(tǒng)結構和云環(huán)境答案：B151.基于風險的審計方法其主要好處是：A、識別關鍵控制措施B、縮小審計范圍C、確定審計資源的優(yōu)先級D、了解業(yè)務流程。答案：C152.可以駐留在WEB服務器上的功能？A、監(jiān)控的主機數量B、流量分析C、發(fā)送接受警告D、啟動關閉服務器答案：B153.為了解決審計發(fā)現，以下哪一項是信息系統(tǒng)審計師的角色？A、解釋審計發(fā)現并提供一般建議B、提供整改方案并協(xié)助管理層實施C、設計信息系統(tǒng)架構答案：A154.審計師對團隊進行特定項目通過特定控制進行審計時，對于出現頻率較低的關鍵控制，以不哪種抽樣方式能發(fā)現欺詐行為有所幫助？A、停走抽樣B、發(fā)現抽樣C、貨幣單位抽樣D、隨機抽樣答案：B155.企業(yè)開發(fā)人員每日將PIT生產環(huán)境數據導入測試環(huán)境，關于數據隱私防護角度哪種最能降低風險？A、高級管理層同意并簽字B、數據加密C、數據清洗D、數據所有者的簽字授權答案：B解析：數據清洗是數據分祈領域的概念，為對數據進行整理（如刪除異常值等），與數據脫敏是完全不同的概念。156.企業(yè)正在進行購買硬件以支持新web服務器的可行性研究，遺漏下列哪一項將帶來最大影響？A、潛在供商的聲譽B、潛在供應商的財務穩(wěn)定性C、所需硬件的備選方案D、產品的成本效益分析答案：D157.下面哪一項措施是防止非授權登錄最可靠的方法？A、加強現有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計算機D、安全自動密碼生成器答案：B158.雇員有意或無意將敏感信息通過郵件發(fā)送到外部，在實施郵件控制措施之前，首先最重要的是要做什么？A、安裝程序監(jiān)測郵件內容和雇員活動B、實施數據分類C、與雇員簽署保密協(xié)議D、對郵件服務器進行加固答案：B159.白箱測試方法適用于以下哪項測試程序？A、并行測試B、社交測試C、用戶驗收測試D、集成測試答案：D160.在信息安全審計時，信息系統(tǒng)審計師得由外部咨詢顧問執(zhí)行了一項安全審查，對審計師來說，下面哪項是最重要的？A、審查咨詢顧問提交的類似報告B、重新執(zhí)行安全審查C、評定咨詢顧問的客觀性和勝任能力D、接受咨詢顧問的發(fā)現和結論答案：C161.為減輕API查詢公開數據的風險，以下哪項考慮因素最重要？A、數據完整性B、數據質量C、數據最小化D、數據保留答案：C162.在制定數據保留政策(dataretentionpolicy)時，首要考慮的是：A、設計基礎設施存儲戰(zhàn)略B、識別法律和合同規(guī)定的數據保留期C、確定數據的安全訪問權限D、根據保留期確定備份周期答案：B163.包含敏感信息的EUC存在哪項最大的風險A、數據未被保護B、系統(tǒng)未被包含進庫存C、沒有審計日志D、安全授權不可用答案：A164.IT審計師審查了為系統(tǒng)實施所做的審計工作，并確定導致重大問題的弱點不在審計范圍內。這很有可能是在審計計劃時哪一種類型的審計風險最可能被忽略？A、抽樣風險B、檢測風險C、固有風險D、控制鳳險答案：C165.以下哪一項對防止未經授權訪問最有效？A、數據中心必配備鑰匙卡系統(tǒng)B、數據中心區(qū)域必須處于連續(xù)的監(jiān)控之下C、必須在所有數據中心附近放置警告標志和標牌D、防撞門必須放置在數據中心之外答案：A166.因為數據泄漏事件，公司開展審計，以下哪個審計結果最應該報告給管理層？A、員工對相關的安全政策沒有意識和技能B、安全意識教育研討會未完成C、桌面密碼缺少特殊Z字符D、員工沒有簽署競業(yè)協(xié)議答案：B167.企業(yè)將某個系統(tǒng)部署到私有云的issa，問誰為系統(tǒng)安全最終負責：A、企業(yè)B、企業(yè)和云供應商C、操作系統(tǒng)供應商D、云供應商答案：A168.公司使用云平臺進行IT管理，發(fā)生異常問題導致業(yè)務中止，應該首先進行：A、審計云服務商B、事故響應計劃C、重新簽訂云服務合同D、追究云服務商責任答案：B169.CMMI成熟度模型的作用最主要是什么？A、有助于建立組織能力B、將績效與同行進行對標C、為企業(yè)提供標準的評估工具D、促進與監(jiān)管的溝通答案：C170.IS信息系統(tǒng)SJ審計師審計時發(fā)現有些員工離職后，賬號仍然能訪問系統(tǒng)，為了防止這種情況，最好的控制是什么？A、自動刪除一段時間沒有活動的員工賬號B、自動刪除入職一定時間的員工賬號C、不記得了，可排除D、用一個軟件與人力資源的系統(tǒng)建立自動化接口答案：D171.以下哪種措施最可以有效地確認郵件在傳輸過程中未被修改A、使用對稱加密方法加密郵件B、使用發(fā)送者私鑰加密郵件C、對郵件內容進行強加密D、把郵件和強加密的單向哈希值一起發(fā)送答案：D172.因業(yè)務激增，某公司來購了大型主機系統(tǒng)，信息系統(tǒng)審計師應當主要考慮下面哪一個因素？A、DRP是否評估和更新B、采購是否超過預算C、投標是否經過評估D、應用程序訪問控制是否充分答案：D173.以下哪一項是保護公司隱私相關數據安全的最佳方式？A、對個人身份信息進行加密B、告訴數據所有者收集信息的目的C、將隱私相關數據歸類為機密信息D、頒布數據分類方案答案：D174.用戶測試數據最好是用A、隨機生成的數據B、測試生成器生成的參數C、模擬生產環(huán)境數據D、供應商提供的數據答案：C175.實施新的應用程序軟件包（或第三方應用），最大的風險是A、參數配置錯誤B、沒有審計軌跡C、交易量過大D、交易敏感度高答案：A176.什么能確保IT部門充分履行的他們的職能？A、審計章程B、確保IT策略在公司內部被充分共享C、為業(yè)務構建流程圖D、審計委員會會議記錄答案：C177.對于VoIP，信息系統(tǒng)審計師最關注什么？A、不可抵賴性B、服務的連續(xù)性C、網絡的統(tǒng)一性D、數據與語音網絡分離答案：B178.以下哪項數據具有最高的敏感性，應受到最嚴格的保護？A、滲透測試結果B、安全事故數據C、系統(tǒng)錯誤報告D、系統(tǒng)訪問列表答案：A179.被審計跟蹤之前審計發(fā)現只進行了部分審計整政措施，審計師首先應該A、匯報管理層B、評估剩余未解決問題風險C、審查是否有補償性控制臨時解決問題D、確保為解決問題仍記錄在審計報告中答案：C180.信息安全政策主要基準是？另一題為：信息系統(tǒng)審計師在協(xié)助企業(yè)定義信息安全政策應該考慮哪些因素？A、過去發(fā)生的安全事故B、行業(yè)最佳實踐C、風險管理流程D、安全管理框架答案：D181.對最近購買的系統(tǒng)進行實施后檢查時，最重要的是信息系統(tǒng)審計師要確定：A、供應商產品是否已提供可行的解決方案B、項目利益相關者的預期是否己識別。C、測試方案是否反映了運營活動D、是否已滿足用戶需求答案：D182.某公司實施了虛擬化，但是對網絡和安全基礎設施沒有變動，最容易造成哪種風險？A、IDS檢測不了虛擬化到服務器的流量B、虛擬平臺的漏洞會影響多合主機C、系統(tǒng)文檔未更新以反映環(huán)境的變更D、新的虛擬環(huán)境與原環(huán)境配置不同答案：B183.下列哪項最能表明安全角色和責任在整個企業(yè)都得到有效落實？A、業(yè)務活動符合策略的規(guī)定B、用戶簽署了保密協(xié)議C、安全策略的出臺和發(fā)布D、定期審查病毒更新策略答案：A184.采用面向服務的架構將最有可能：A、禁止與舊有系統(tǒng)時間的集成。B、使合伙人時間的連接更加便利。C、危害應用程序軟件的安全性。D、簡化所有內部流程。答案：B185.存儲機密信息的電子介質要送到異地，怎樣才能確保最大程度的安全性？A、找經過認證和有擔保的信使(運送服務商)B、對機密信息文件進行數字簽名C、用安全鎖物理加固介質D、加密介質答案：D186.公司已將部分業(yè)務外包出去，現在打算對外包服務商審計，要確定審計范圍，內部審計師首先要（）A、與外包服務商商定審計目標B、審查外包合同C、審查外包商的內部控制答案：B187.對在線系統(tǒng)實施BCP計劃中下列哪一項最重要？A、供應商的網絡安全B、單一故障點C、供應商的解決問題的能力D、供應商的財務穩(wěn)定性答案：B188.—個有大量桌面程序的應用，為了盡早能在前期發(fā)現界面程序的錯誤，應該采取哪種測試方法：A、社交測試B、自上而下C、自下而上D、邏輯路徑監(jiān)測答案：B189.哪一項是確定最近安裝的入侵檢測系統(tǒng)(IDS)的有效性的最佳方式？（已發(fā)布）A、實施訪問控制B、進行攻擊模擬C、審查審計日志D、檢查IDS配置答案：D190.在共享的處理環(huán)境中，最大的挑戰(zhàn)是：A、分離客戶數據B、分離客戶網絡C、合并結果D、保持一致的標準答案：A191.執(zhí)行跟蹤審計期間，管理層告知1S審計師沒有足夠資源和時間完成所有的審計建議和整改，下一步應該？A、建議對未整改項實施補償性控制B、評估未整改項導致的殘余風險C、停止跟蹤審計，因為問題尚未解決D、確保在審計報告中保留未整改項答案：B192.在開發(fā)階段添加新功能時，以下哪項是與沒有遵循項目更改管理流程相關的主要風險A、新功能可能不符合要求B、尚未記錄添加的功能C、項目超出預算答案：A193.以下哪項是檢測型控制（又稱發(fā)現型控制A、物理訪問時的證章B、輸入時的編輯檢查效C、哈希值驗證D、恢復程序（或者備份流程）答案：C194.對從數據倉庫生成的商業(yè)報告的質量進行審查時，最應關注下面哪種情況？A、數據錯誤未經過IT人員一致審查B、數據質量報告無法提供對業(yè)務發(fā)展趨勢的洞見C、數據質量報告每晚批量從數據倉庫中生成導出D、報告中的數據錯誤在數據倉庫中已得到修正答案：A195.某公司既執(zhí)行完整數據庫備份和增量數據庫備份。當數據中心遭破壞后，以下哪一項能夠提供最佳的完全恢復？A、每周將完全備份移至異地站點B、每日將增量備份存放到異地站點C、將完全備份和增量備份放在安全的服務器機房里面D、每日將所有備份循環(huán)存放到異地站點答案：D196.以下哪項最能保證數據庫管理系統(tǒng)的最高性能？A、定期維護B、數據一致性C、數據庫正規(guī)化D、數據備份答案：B197.公司發(fā)現企業(yè)的數據安全存在重大漏洞，CE0要求對網絡安全進行審計，但因公司重組問題，目前只有幾個審計師，且能力一般，這種情況下，最合適的解決方案是：A、尋找外部第三方審計B、列入下個年度進行審計C、找目前審計師中最資深的人員開展審計D、延遲項目，先實施審計技能培訓，然后再執(zhí)行審計答案：A198.以下那種情況可以認為系統(tǒng)遭受了攻擊？A、下班時間對系統(tǒng)訪問量增加B、清晨和傍晚的訪問量增加C、一天中某個時段或每周的某段固定時間訪問量增加D、公司的什么自動登錄內部網絡(四個字母英文縮寫)的系統(tǒng)已經關閉答案：B199.IS抽樣時，審計師重點審查賬戶金額超過200,000美金的客戶賬戶，應使用那種抽樣方法？A、判斷抽樣B、分層抽樣C、發(fā)現抽樣D、隨機抽樣答案：B200.開發(fā)人員對薪資系統(tǒng)中的數據字段做了未經授權的變更。下列哪一種控制弱點最可能導致該問題？A、程序設計人員有權訪問生產程序。B、工資文件不受程序庫管理員控制。C、可排除D、程序設計人員沒有讓用戶參與測試。答案：A201.在制定業(yè)務連續(xù)性計劃(BCP)，時，應首先完成以下哪一項？A、執(zhí)行漏洞分析B、進行BIA分析C、審查環(huán)境控制措施D、執(zhí)行業(yè)務威脅評估答案：B202.IT治理審查中，哪一項信,息系統(tǒng)審計師是最擔憂的？A、公司允許兩套操作系統(tǒng)B、未監(jiān)控預算C、IT價值分析未完成D、公司的全部IT技術都是由第三方提供的。答案：C203.企業(yè)建立了開發(fā)、測試及生產三種IT處理環(huán)境。將開發(fā)環(huán)境和測試環(huán)境分開的主要原因是：A、將用戶的訪問權限限制在測試環(huán)境以內。B、在IT人員和最終用戶之間實現職責分離C、在穩(wěn)定的環(huán)境下進行測試。D、保護開發(fā)中的程序不受未經授權的測試。答案：C204.對互聯網防火墻固有漏洞的有效攻擊是A、網絡釣魚B、大量數據（Dos）攻擊網站C、攔截數據包并破獲密碼D、針對加密密碼的字典攻擊答案：A205.高級管理層缺乏哪項決策會造成最大的數據泄露風險？A、沒有對桌面電腦加密B、沒有實施員工安全意識培訓C、員工可以遠程辦公D、安全政策有一年沒有進行更新答案：B206.對電子取證調查各個方面進行記錄的最重要原因是該記錄文件？A、確保在未來的調查中可以重復該流程（留下依據）B、符合IT審計文件要求與標準C、為第三方的獨立調查提供可追溯性D、確保遵守企業(yè)事故響應政策答案：C207.以下哪一項是災難恢復計劃的步驟之-A、評估和量化風險B、與災難計劃咨詢顧問協(xié)商合同C、獲得替代設備供應D、確定應用程序控制需求答案：A208.信息系統(tǒng)審計師評估web應用項目的進度，最適合調閱哪份材料？A、積壓消耗報告B、開發(fā)者狀態(tài)報告C、關鍵路徑分析報告D、更改管理報告答案：C209.企業(yè)部署了數據存儲硬件，IS審計師應審查哪一項以評估IT是否最大限度地利用了存儲和網絡？A、質量管理系統(tǒng)B、日常和非日常作業(yè)時間表C、停機時間統(tǒng)計D、容量管理計劃答案：D210.審查網絡打印機處置的時候，審計師應該最擔心的是什么？A、沒有足夠的證據表明處置的打印機的硬盤徹底清除B、業(yè)務部門直接將打印機交給了授權的供應商處置C、未按照政策和方案規(guī)定來處置D、打印機放在不安全的區(qū)域答案：A211.銀行對計算利息的計算機程序做了很小的改動。哪一項能最好地確定利息計算是否正確？A、審查源代碼B、使用審計軟件進行并行模擬C、手動驗證結果樣本D、審查QA測試結果答案：B212.加密磁帶備份最怕什么？A、密鑰丟失B、消磁C、備份發(fā)生錯誤答案：B213.企業(yè)信息系統(tǒng)目標的最佳來源是什么？A、信息安全管理部門B、業(yè)務流程所有者C、IT管理部門D、最終用戶答案：B214.新系統(tǒng)開發(fā)延期，耽誤了關鍵的實施期限，以下哪一項最重要？A、確保代碼經過審查B、執(zhí)行用戶驗收測試C、記錄系統(tǒng)最新改進D、執(zhí)行實施前審計答案：B215.對供應鏈管理應用程序執(zhí)行業(yè)務影響分析(BIA)的最佳方法是？A、審查組織內的政策和程序B、在關鍵的內部利益關系方時間開展問卷調查C、參考IT人員對業(yè)務問題的看法D、與關鍵利益干系人進行溝通討論答案：D216.審計報告提交給被審方前，審計報告應該由誰檢查A、審計經理B、高層管理者C、項目經理D、系統(tǒng)管理員答案：A217.衡量災難恢復計劃有效性中業(yè)務恢復的最佳途徑是？A、定義恢復點目標RPOB、業(yè)務影響分析BIAC、模擬災難恢復D、評估與功能成熟度模型的差距答案：C218.控制總計能夠降低以下哪一項風險？A、不當授權B、備份錯誤C、處理不完整D、過帳到錯誤記錄答案：C219.非正規(guī)化（非規(guī)范化）對數據庫庫的最大影響是什么：A、影響完整性B、停滯不前的性能C、數據的準確性D、數據的機密性答案：A220.網上系統(tǒng)應用在使用過程中由于數據量大導致延遲，系統(tǒng)響應時間無法接受，哪一項可以提升應用的性能？A、RAID5（數據復制技木）B、磁盤鏡像C、負載均衡D、調整防火墻配置答案：C221.在評估企業(yè)資源規(guī)劃(ERP)實施供應商時，信息系統(tǒng)審計師應首先建議執(zhí)行：A、調查供應商的財務歷史B、檢查供應商的客戶參考C、制定供應商響應計分卡D、審查供應商過去的實施項目答案：D222.應用程序可以使用用戶賬號訪問底層數據庫，審計師最擔心：(也有考生反饋題干描達為：底層用戶可以直接訪問數據庫，哪項風險大？)A、用戶可以繞過應用程序訪問數據庫B、用戶賬戶停用了，仍然可以訪問C、應用程序審計記錄不能包含全部信息D、底層數據庫完整性被破壞答案：A解析：底層數據庫為表鏈接提供223.在審查企業(yè)的生物特征識別訪問系統(tǒng)時，以下哪一項應是最大的擔憂？A、未加密的生物識別信息保存在讀取器設備上B、生物識別系統(tǒng)用于驗證但不用于識別C、肯定可排除D、錯誤拒絕率高答案：A224.公司請外部審計人員來審計，內部審計人員發(fā)現外部審計人員的一些證據文件與內審報告結論有差異，內部審計人員應該怎么做？A、向高級管理層報告B、請專家重新檢查確認審計結論（請外部專家進行額外的測試）C、在報告中說明范圍限制D、対外披露答案：B225.以下哪項應包含在組織的信總安全政策中：A、身份驗證要求B、安全配置的設置C、安全編碼流程D、資產的生命周期答案：A226.確保從遠程位置傳到生產倉庫的斷有訂單都準確和完整校收的最適當控制是：A、發(fā)送并核對交易記錄數量和匯總交易總數。B、跟蹤并計算銷售訂單編號的連續(xù)性。C、驗證奇偶校驗是否仍然有效。D、將數據傳回發(fā)源地，然后進行比對答案：A227.IT部門的資源不足，項目無法按時完成。下一年度要計劃招聘IT人員，以下哪項為IT人員編制計劃提供最佳指南？A、人力資源編制戰(zhàn)略B、以往項目的實際花費時間記錄C、下一年的年度預算D、同行業(yè)的預算參考基準答案：B228.數據分類的第一步？A、盤點數據資產B、確定風險偏好C、定義數據所有權D、確定敏感度水平答案：A229.企業(yè)災難發(fā)生后，業(yè)務中斷，恢復后丟失了大量數據，因為錯誤定義了哪項？A、RPOB、RTOC、DRPD、BIA答案：A解析：RecoveryPointObjective(RPO)，指的是最多可能丟失的數據的時長。RecoveryTimeObjective(RTO)，指的是從災難發(fā)生到整個系統(tǒng)恢復正常所需要的最大時長。簡單區(qū)分的話，RPO是災難發(fā)生之前的時間，RTO是災難發(fā)生之后的時間。230.在審計生命周期的哪個階段適合與客戶討論初步審計意見？A、執(zhí)行階段B、報告階段C、規(guī)劃階段D、跟蹤階段答案：B231.哪種能夠最有效地對物理訪問提供最可靠的身份驗證？A、智能卡和保衛(wèi)B、感應卡C、視網膜D、數字鍵盤和監(jiān)控攝像機答案：C232.如何充分驗證定期備份的及時性與有效性？A、訪談關鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運行的執(zhí)行情況答案：B233.審計師發(fā)現防火墻已過時，并且供應商已不提供支持。下列哪一項任務最恰當地描述了最佳的下一行動方案？A、報告風險緩解控制情況B、確定不更換防火墻的風險C、確定防火墻的價值D、報告組織的安全狀況答案：B234.以下哪一個是提高安全事故檢測有效性的最佳方法？A、培訓最終用戶關于識別可疑活動的知識B、與適當的法證鑒定服務提供商簽訂服務水平協(xié)議(SLA)C、記錄根本原因分析流程D、根據事故類型確定抑制措施答案：A235.移動設備要丟棄，怎么保證安全？A、多次覆寫B(tài)、清除數據軟件清除數據C、磁化該移動設備D、格式化答案：C236.審查新成立的CallCenter內的控制時，首先應A、評估與風險中心有關的操作風險B、測試呼叫中心的技術基礎設施C、從客戶那里收集服務響應時間和服務質量的信息D、審查呼叫中心的人工和自動控制答案：A237.對新員工進行系統(tǒng)訪問權限的授權出現較大的延遲，從下面哪方面可以找到根本原因：A、已有的訪問權限B、現有的工作流程模型C、SLA服務水平協(xié)議答案：B238.審計新的應用系統(tǒng)，審計師要最主要考慮：A、風險分析B、成本效益分析C、項目可行性分析D、業(yè)務影響分析答案：A239.數據分類的好處：A、減少對敏感信息的保護成本B、業(yè)務風險與敏感信息相匹配C、提升企業(yè)人員的安全意識D、監(jiān)管要求，必須實施答案：A240.在評估企業(yè)的漏洞掃描計劃的有效性時，以下哪項是信息系統(tǒng)審計師的最大顧慮？A、執(zhí)行漏洞掃描的頻率低于企業(yè)漏洞掃描計劃的要求B、結果沒有報告給有權確保解決相關漏洞的干系人C、未正式書面記錄針對已識別漏洞所采取的步驟D、結果沒有得到高級管理層的批準答案：B241.在跟蹤審計過程中發(fā)現之前的審計報告，存在問題，首選需要報告給A、業(yè)務管理部門B、審計項目經理C、項目經理D、高級管理層答案：B242.要從外部聘請審計專家，審查哪方面可確定專家可勝任？A、審查專家專業(yè)知識是否充足B、審查專家的獨立性和客觀性C、了解專家的審計經驗D、打聽專家的業(yè)界聲譽答案：B243.小型公司數據等級方案不正確，以下哪項是最佳措施A、數據所有者與it安全人員一對一解釋B、將數據分類政策發(fā)布到企業(yè)webC、進行數據等級研討會及培訓答案：A244.下列哪一項能夠更好地完善流程改良（優(yōu)化）計劃？A、基于模型的設計表示法B、項目管理方法論C、能力成熟度模型D、平衡記分卡答案：C245.審計師對外包業(yè)務進行審查，最先查？A、合同是否支持業(yè)務需求B、合同中有沒有審計條款C、合同中包含終止后提供支持D、合同是否符合行業(yè)最佳實踐答案：A246.有效防范sql注入攻擊的最佳控制是？A、SSL加密B、數字簽名C、輸入驗證D、unicode轉換答案：C247.在安排跟蹤審計時，以下哪一項是最重要的考慮因素？A、與新審計師進行獨立驗證工作所需的努力B、被審計方同意與審計師合作花費的時間C、不采取整改措施會產生的影響D、與觀察結果有關的控制和檢測風險答案：C248.某企業(yè)IT部門嚴重依賴外包商來維護關能系統(tǒng)。為了解決收入下降的問題，董事會已決定將整個企業(yè)的所有外包商的預算減少30%。以下哪一項是IT領域的最大風險？A、關鍵系統(tǒng)可能得不到適當的維護B、最終用戶可能無法從其余IT員工那里獲得足夠的支持C、所需的軟件許可證預算可能不足D、外包商可能會在離開之前嘗試從關鍵系統(tǒng)中提取有價值的數據答案：D249.公司外包服務給第三方，如何確定第三方提供的服務水平管理的外部審計報告是可被接受的？A、審計報告是最近12個月內實施的B、第三方服務商經過獨立認證和認可C、審計范圍和方法符合審計要求D、報告確定并沒有違反服務水乎答案：C250.對于持續(xù)的數據質量問題，以下哪項最能幫助分析和確定相應的收入損失？A、實施數據有效性驗證控制的成本B、問題數量與平均停機時間的關系C、數據獲取成本與銷售損失的對比D、數據錯誤與交易價值損失的互相關系答案：D251.一名IS審計師正在審查某企業(yè)的系統(tǒng)開發(fā)測試政策。在以下有關使用生產數據進行測試的陳述中，此IS審計師會認為哪項最恰當？A、必須經高級IS和業(yè)務管理層批準使用后，生產數據才能用于測試。B、只要將生產數據復制到安全的測試環(huán)境中，就可使用。C、決不能使用生產數據。必須基于書面的測試案例準備所有測試數據。D、如果簽署了保密協(xié)議，便可使用生產數據。答案：A252.被審計方已告知信息系統(tǒng)審計師，其資金不是以實施審計報告中商定的建議，且沒有預計的解決時間計劃，審計師應對此情況采取的最佳方式是什么？A、在無法實施完整解決方案的情況下評估風險B、關閉該發(fā)現并記錄被審計方的解釋C、獲得內部審計批準，以將發(fā)現從報告中刪除D、提出建議增加IT預算答案：A253.IDS的作用是A、替代防火墻B、補償身份驗證C、為增強基礎信息設施安全提供信息答案：C254.檢測到服務器的實際使用量遠遠小于計劃，以下哪項措施可以改進服務器的可用性？A、系統(tǒng)的停機日志B、容量規(guī)劃C、服務器的配置D、執(zhí)行流量負載均衡答案：B255.開展實施后審查的主要目的是檢驗：A、己充分考慮了用戶訪問控制B、已正確執(zhí)行了UAT測試C、已符合企業(yè)體系結構D、已滿足用戶需求。答案：D256.如何保證防火墻有效的策略。A、審查網絡日志B、做滲透測試C、審查入侵檢測報告D、檢查防火墻配置答案：D257.賬戶并行更新交易如處理不當，會影響A、可用性B、完整性C、機密性D、責任歸屬（不可否認性）答案：B258.下列哪一項可用于評估IT運營效率？A、總體擁有成本B、平衡記分卡C、凈現值D、內部收益率答案：B259.企業(yè)使用IAAS(基礎設施及服務）進行IT管理，誰應該負責操作系統(tǒng)安全A、企業(yè)B、云服務商C、操作系統(tǒng)提供商D、企業(yè)和云服務商答案：A260.影響UAT測試的有效性？A、測試數據是生產數據的精確復制B、不是最終用戶的業(yè)務參與測試C、在一個開發(fā)和用戶都可以進入的環(huán)境答案：B261.ROI分析在IT決策過程中的一個好處是提供A、分配間接成本的基礎B、更換設備的成本C、分配財務資源的基礎D、估計所有權的成本答案：C262.審計師在抽樣中設定了較高的預期差錯率，這將導致？A、更多的樣本B、更低的標準偏差答案：A263.審查項目可行性研究后，審計師最應該做什么？A、審查需求設計是否包含自動化控制B、和項日經理一起看預算和成本是否匹配C、幫助用戶設計用戶驗收測試答案：A264.在取證數據采集和保存流程中以下哪項最重要？A、保持數據完整性B、確保設備的物理安全C、維持保管鏈D、決定要使用的工具答案：C265.審計師抽樣時，一個案例超過平均值5倍，下一步怎么做？A、増加點體100%抽祥B、報告高管C、詢問被審計人員差異D、按原方法和抽樣標準實施答案：C266.信息系統(tǒng)審計師評估IT戰(zhàn)略委員會的有效性？A、業(yè)務和IT戰(zhàn)略一致性B、IT戰(zhàn)略委員會章程答案：A267.以下哪項是上線準備前最有效的保障？A、已經實施了兩遍桌面測試B、已經測試并批準了小范圍的模擬測試C、成功地在處理周期完成了平行測試D、己成功執(zhí)行回滾測試答案：C268.審計的時候，審計師發(fā)現存在病毒，下一步應該做什么？A、通知有關人員B、清理病毒C、斷開網絡D、觀察反應機制答案：A269.在系統(tǒng)SDLC開發(fā)生命周期中，哪一項測試是最先執(zhí)行的？A、單元測試B、回歸測試C、接口測試D、集成測試答案：A270.IT管理員廢除了數據庫中的某些引用完整性控制。下列哪一種控制能夠最有效地彌補引用完整性控制的不足？A、性能監(jiān)視工具B、定期檢查表的鏈接C、更頻繁地備份數據D、并行訪問控制(cuntaccesscontrols)答案：B271.審計經理在復核審計報告時發(fā)現，因審計師的疏忽，一個關鍵證據被遺漏了，這很可能影響審計結論。這種疏忽屬于什么風險？A、控制風險B、審計風險C、管理風險D、剩余風險答案：B272.通過非對稱技術來確保保密性，將使用下列哪一項對消息進行加密？A、接收者的私鑰B、發(fā)送者的私鑰C、發(fā)送者的公鑰D、接收者的公鑰答案：D273.哪一種類型的攻擊針對web應用程序中的安全漏洞以獲得對數據集的訪問權限？A、RootkitB、拒絕服務(Dos)C、SQL注入D、網絡釣魚(phishing）攻擊答案：C274.以下哪一項最有助于信息系統(tǒng)審計師識別工資核算流程中的潛在超額給付情況？A、員工數量和供應商賬號數量的比對B、指出與往期工資單有重大差異的報告C、對用于核查的員工和供應商地址進行審查D、薪資流程中有關最大筆工資的報告答案：B275.IT審計師正在審查公司的事故管理流程，哪一項最讓審計師擔憂？A、無效的事故分類B、無效的事故優(yōu)先排序。C、無效的事故檢測。D、無效的事故后審查。答案：C276.在評估項目風險管理流程的有效性時，以下哪一項應是信息系統(tǒng)審計師的最大擔憂？A、風險登記表中尚未確定風險響應措施B、發(fā)現風險登記表中的某些風險評級不正確C、每月對風險登記表進行一次審查D、風險登記表不受版本控制答案：D277.IT指導委員會負責應對以下哪一項負責？A、把實施安全性與業(yè)務目標集成在一起B(yǎng)、評估和報告戰(zhàn)略一致性程度C、審查并協(xié)助IT策略整合工作D、制定IT安全策略答案：C278.公司請外部審計，對外部信息系統(tǒng)審計師的訪問效驗應由以下哪項文件予以說明和授子？A、審計章程B、經批準的工作說明C、給所有相關方的內部備忘錄D、有關審計工作開展的需求請求書答案：A279.當確定在多個國家都有分支機構的全球性企業(yè)的數據保留政策時，下列哪一項是最重要的考慮因素：A、政策與公司政策與慣例的一致性B、政策與當地法律法規(guī)的一致性C、政策與全球最佳實踐的一致性D、政策與業(yè)務目標的一致性答案：B280.查看郵件的內容是否被修改，應使用？A、哈希B、數字簽名C、加密D、雙因素認證答案：A281.在web應用中，包含以下哪一項可以保證最高的安全性？A、SSLB、SFTPC、TelnetD、TLS答案：D282.在一項it開發(fā)項目中調整方案需要用到額外資金，這筆額外資金最適合由誰獲得？（項目因為新增需求，已經確認需要增加經費，誰最應該獲取該項費用？）A、審計師B、項目發(fā)起人C、董事會D、項目經理答案：D283.2、還有一題真題為：人員進入高敏感的數據中心時以下最好的方式是什么？A、監(jiān)控B、陪同C、簽到D、雙重門答案：B284.根據以下哪一項能最能有效地確定數據分類類別？A、對個人身份數據不同的安全要求B、根據業(yè)務功能的關鍵性C、高級管理層處理的交易D、因丟失或泄漏數據對企業(yè)造成的影響答案：D285.審計師發(fā)現系統(tǒng)存在很多鄉(xiāng)余生產系統(tǒng)權限沒有及時清除，審計師應該建議？A、人力資源系統(tǒng)在員工離職后自動觸發(fā)刪除員工權限B、業(yè)務部門定期審閱并申請刪除多余的訪問權限C、系統(tǒng)管理員應確保權限分配的一致性D、IT安全部門管理員定期刷除多余的權限答案：B286.移動設備要丟棄，怎么保證安全？（下列對于磁盤清理數據最有效？）A、多次復寫B(tài)、清除數據軟件數據（數據擦除）C、把移動設備放置在強磁場中D、格式化答案：C287.使用加密的備份磁帶時，最應關注？A、加密密鑰丟失B、備份磁帶的物理安全性C、與將來軟件版本不兼容D、加密過程造成數據不準確答案：A288.在審計完成后立即正式傳達審計結果的主要原因是確保：A、報告中指出的風險立即得到緩解B、報告是相關且有用的。C、審計師遵守標準審計實踐D、滿足最后期限和部門目標答案：B289.五百多個用戶都可以訪問客戶信息表，對什么影響最大？A、完整性B、機密性C、可用性答案：B290.對數據中心機房審查的中發(fā)現哪項最應引起重視？A、在主要入口安裝了視頻監(jiān)控B、在機房入口處放置防靜電墊子C、緊急出口內側有泥腳印D、設施圍欄高度2米答案：C291.對信號進行接收并放大是哪個網絡組件A、網關B、網橋C、路由器D、中繼器答案：D292.發(fā)票上的帳單總金額每周自動傳輸到企業(yè)的帳戶總帳上。審計師發(fā)現總帳上缺少一周的帳單時，應該首先檢查以下哪一個領域？A、年度對帳B、變更管理C、批處理控制D、模塊訪問權限答案：C293.IS審計師已發(fā)現，員工們在通過電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域：對IS審計師而言，以下哪一須是建議的最佳補救措施？A、數據丟失防護（DLP）B、培訓和意識C、活動監(jiān)測D、加密郵件帳戶答案：A294.網絡遭受病毒風暴襲擊，已經通知了事件響應團隊，下一步應該如何處理？A、將事件記錄下來B、集中精力將損害限制在有限范圍內C、刪除并修復受影響的系統(tǒng)D、檢查受損系統(tǒng)的功能是否完好答案：B295.實施后審查的主要目標是驗證系統(tǒng)：A、實現了設定的目標B、與業(yè)務策略一致C、在生產環(huán)境中穩(wěn)定運行。D、有用戶文檔支持。答案：A296.采用面向服務的架構將最有可能：A、禁止與原系統(tǒng)之間的集成B、使合伙人時間的連接更加便利C、危害應用程序軟件的安全性D、簡化所有內部流程答案：B297.下列哪一種方法最適用于確保IT策略符合業(yè)務策略？A、業(yè)務影響分析B、收支平衡點分析C、關鍵路徑分析D、IT價值分析答案：D298.入侵檢測系統(tǒng)（IDS）可以起到哪些作用？A、代替防火墻B、調查網絡內部攻擊C、彌補身份驗證機制的不足D、提供增強安全基礎設施的保障信息答案：D299.以下哪項機制可以確保及時向高級管理層匯報IT運行問題？A、escalation（問題升級流程）B、服務水平監(jiān)控C、定期狀態(tài)報告D、平衡積分卡答案：A300.信息系統(tǒng)審計師正在審查內部軟件開發(fā)解決方案的發(fā)布管理流程，在哪個環(huán)境中的軟件版本最有可能與生產環(huán)境相同？A、分階段B、開發(fā)C、測試D、集成答案：A301.數據遷移計劃的第一步是？A、創(chuàng)建數據轉換腳本B、審查業(yè)務流程的決策C、對數據庫進行數據清洗D、了解新系統(tǒng)的數據結構答案：D302.以下哪項最能說明員工安全意識培訓有效？A、信息安全攻擊數量減少B、社會工程攻擊的成功率下降C、安全事故上報數量減少D、用于維護信息安全的項目成本降低答案：B303.在制定業(yè)務持續(xù)性計劃（BCP）時，業(yè)務單位管理層參與以下哪項工作最重要？A、參與業(yè)務恢復程序的制定B、參與實施文檔庫C、參與業(yè)務影響分析D、參與IT風險評估答案：C304.信息系統(tǒng)審計師在檢查API的設計時，擔心企業(yè)開發(fā)自己的認證方式，應該建議A、TLS安全傳輸協(xié)議B、雙因子認證C、靜態(tài)密鑰雙向認證D、數字簽名答案：A305.在審計完成后立即正式傳達審計結果的主要原因是確保A、報告中指出的風險立即得到緩解B、報告是相關且有用的。C、審計師遵守標準審計實踐D、滿足最后期限和部門目標答案：B306.對于執(zhí)行重大系統(tǒng)升級的實施后分析，以下哪一項應該是信息系統(tǒng)審計師的最大擔憂？A、開發(fā)小組將變更部署到生產環(huán)境中B、開發(fā)人員可以訪問測試環(huán)境C、變更批準未被正式記錄D、開發(fā)小組可以訪問對象代碼答案：A307.為了減少日志服務器不堪收集錯誤攻擊日志的壓力，以下最佳建議是（）A、微調IDS的規(guī)則設置B、調整防火墻的訪問控制規(guī)則C、更換日志服務器D、調整網絡架構答案：A308.對于審計證據，審計師的主要角色和職責是？A、確保證據可充分支持審計結論B、確保獲得的證據是經過審批的C、確保證據沒有經未授權篡改答案：A309.內部審計的職責由以下哪一項明確？A、審計計劃B、審計章程C、審計目標D、審計范圍答案：B310.公司的財務部門實習了系統(tǒng)新技術新流程，信息審計師應該對此情況做什么審計A、財務審計B、網絡審計C、集成審計D、績效審計答案：C311.哪一項是確定RTO的主要因素？A、災難的停機成本B、測試業(yè)務持續(xù)運營計劃的成本C、異地備份成本D、緊急應對的響應時間答案：A312.一名信息系統(tǒng)審計師正在審查公司的軟件開發(fā)流程，哪項適合最終用戶執(zhí)行：A、程序輸出測試B、系統(tǒng)配置C、程序邏輯說明D、性能調整答案：A313.為了幫助董事會履行IT治理職責，IT指導委員會應該：A、制定項目跟蹤的IT政策和措施B、將注意力集中在IT服務和產品的供應上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略答案：D314.對數據庫管理系統(tǒng)的審計發(fā)現，系統(tǒng)維護后未重新啟動審計日志。以下哪一項是信息系統(tǒng)審計師的最大顧慮？A、將不能記錄應用程序用戶所作的更改操作B、將不能優(yōu)化數據庫的觸發(fā)器和指針C、將不能記錄數據庫管理員所作的更改操作D、將危害數據庫優(yōu)化答案：C315.下列哪一項能夠最有效地保護數據中心的信息資產不被供應商竊取A、監(jiān)控并限制供應商的活動B、給供應商發(fā)放訪問卡C、隱藏數據設備和信息標簽D、限制使用便捷式和無線設備答案：A316.在審計IT資源管理實踐時，審計師最擔心的發(fā)生什么情況？A、目前IT管理員空缺B、員工缺乏足夠且有效的培訓C、IT管理人員沒簽署保密協(xié)議D、書面記錄的IT戰(zhàn)略缺失答案：D317.排列恢復系統(tǒng)的優(yōu)先級順序時，不確定該如何進行排序，應該使用以下哪一項為標準進行排序？（也有考生反饋題干為：外審發(fā)現企業(yè)的系統(tǒng)重要性排序不正確，以下哪