CISA考試練習(xí)(習(xí)題卷3)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷3)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共260題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.以下哪種為控制自我評價方法的屬性？A)廣泛的利益相關(guān)者的參與B)審計師為主控分析C)有限的雇員參與D)策略驅(qū)動[單選題]2.當(dāng)訪問多個系統(tǒng)和維護(hù)身份管理控制的完整性時，如下哪個選項將減少忘記密碼的概率？A)減少密碼長度B)使用單點(diǎn)登錄C)使用雙因子D)容許使用以前的密碼[單選題]3.某第三方應(yīng)用作為多個外部系統(tǒng)的接口，在發(fā)現(xiàn)該軟件存在安全漏洞后，大量的模塊被打上了補(bǔ)丁。IS審計員應(yīng)建議執(zhí)行以下哪個測試A)Stress負(fù)載B)Blackbox黑盒C)Interface接口D)System系統(tǒng)[單選題]4.審計章程的主要目的是：A)把組織需要的審計流程記錄下來B)正式記錄審計部門的行動計劃C)為審計師制定職業(yè)行為規(guī)范D)描述審計部門的權(quán)力與責(zé)任[單選題]5.跨國公司的IS管理部門考慮更新公司現(xiàn)有的虛擬專用網(wǎng)絡(luò)（VPN)，以通過隧道支持IP語音（VOLP)通信。應(yīng)首先考慮以下哪個注意事項？A)可靠性和服務(wù)質(zhì)量（QOS）B)身份認(rèn)證方法C)聲音傳輸?shù)碾[私性D)數(shù)據(jù)傳輸?shù)臋C(jī)密性[單選題]6.以下哪項對成功實(shí)施和維護(hù)安全政策最重要?A)讓所有相關(guān)方熟悉書面安全政策的框架和目的B)管理人員支持并批準(zhǔn)安全政策的實(shí)施和維護(hù)C)通過對任何違反安全規(guī)則的行為實(shí)施處罰以執(zhí)行安全規(guī)則D)通過訪問控制軟件嚴(yán)格執(zhí)行、監(jiān)控和實(shí)施安全專員制定的規(guī)則[單選題]7.下列哪一項將能最有效地盡量降低因網(wǎng)絡(luò)釣魚而發(fā)生未授權(quán)在線銀行業(yè)務(wù)客戶的風(fēng)險?A)增強(qiáng)客戶意識和活動B)清除審計記錄C)入侵防御系統(tǒng)D)強(qiáng)有力的身份認(rèn)證機(jī)制[單選題]8.嘗試控制敏感區(qū)域的物理訪問時（例如，對機(jī)房使用卡密鑰或鎖），存在什么相關(guān)風(fēng)險？A)未授權(quán)人員等待控制門打開，然后跟隨已授權(quán)人員進(jìn)入。B)組織的應(yīng)急計劃不能有效測試受控的訪問操作。C)門禁卡、鑰匙和控制板非常易于復(fù)制，從而使控制很容易受到破壞。D)刪除那些不再有權(quán)進(jìn)行訪問的人員權(quán)限很復(fù)雜。[單選題]9.IS審計人員在應(yīng)用開發(fā)項目的系統(tǒng)設(shè)計時間的首要任務(wù)是：A)商定明確詳盡的控制程序B)確保設(shè)計準(zhǔn)確地反映了需求C)確保初始設(shè)計中包含了所有必要的控制D)勸告開發(fā)經(jīng)理要遵守進(jìn)度表[單選題]10.某審計師發(fā)現(xiàn)，組織最近采用的企業(yè)架構(gòu)(EA)具有充分的當(dāng)前狀態(tài)描述。但該組織又啟動了個獨(dú)立的項目來確立未來狀態(tài)的描述。IS審計師應(yīng)A)建議盡快完成此獨(dú)立項目。B)將此問題作為審計發(fā)現(xiàn)寫入審計報告。C)建議采用Zachmann框架。D)調(diào)整審計范圍以將該獨(dú)立項目包括在當(dāng)前審計中。[單選題]11.為組織政策開展的自上而下的方法有助于確保？A)它們在整個組織中保持一致B)它們作為風(fēng)險評估的一部分被實(shí)施C)遵守所有政策D)它們會被定期審查[單選題]12.在審查組織的IT治理流程時，IS審計師發(fā)現(xiàn)公司最近實(shí)施了IT平衡記分卡(BSC)A)關(guān)鍵績效指標(biāo)(KPI)未報告給管理人員，因此管理人員無法確定BSC的有效性。B)IT項目可能受到成本超支的影響。C)可能將誤導(dǎo)性IT績效指標(biāo)提供給管理人員。D)IT服務(wù)等級協(xié)議(SLA)可能不準(zhǔn)確。[單選題]13.組織的IS審計章程應(yīng)指明:A)IS審計約定計劃。B)IS審計項目的目標(biāo)和范圍。C)針對IS審計人員的詳細(xì)培訓(xùn)計劃。D)IS審計職能部門的角色。[單選題]14.以下哪項會影響質(zhì)量保證小組的獨(dú)立性？A)確保開發(fā)方式的合規(guī)性B)檢驗測試用例C)在測試過程中糾正錯誤代碼D)檢查代碼，以確保其適當(dāng)?shù)奈臋n化[單選題]15.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰的責(zé)任：A)安全管理員B)系統(tǒng)管理員C)數(shù)據(jù)和系統(tǒng)所有者D)系統(tǒng)運(yùn)行組[單選題]16.災(zāi)難恢復(fù)計劃應(yīng)包括下列哪個步驟？A)對風(fēng)險進(jìn)行評估和量化B)獲得替代設(shè)備供應(yīng)C)確定應(yīng)用程序控制需求D)與災(zāi)難計劃咨詢顧問協(xié)商合同[單選題]17.在一個熱站、溫站或者冷站的合同中，合同規(guī)定應(yīng)該涵蓋以下那些主要考慮內(nèi)容？A)物理安全措施。B)用戶總數(shù)量。C)允許同時使用站點(diǎn)的用戶數(shù)。D)其他用戶的使用參考。[單選題]18.建立資料所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任?A)職能部門用戶B)內(nèi)部審計人員C)資料處理人員D)外部審計人員[單選題]19.綜合測試工具被認(rèn)為是有用的審計工具因為：A)它是評估應(yīng)用控制的有效工具B)它使得財務(wù)部和信息系統(tǒng)審計員集成他們的審計測試C)它可以進(jìn)行處理結(jié)果與獨(dú)立計算數(shù)據(jù)的對比D)他提供給信息系統(tǒng)審計員一個分析大量信息的工具[單選題]20.信息系統(tǒng)審計師得出結(jié)論，某公司已有高質(zhì)量的安全政策,以下哪一項是下一步應(yīng)確定的最重要的事項，政策必須:A)頻繁地更新B)由流程所有開發(fā)C)基于行業(yè)標(biāo)準(zhǔn)D)所有員工都充分理解[單選題]21.管理網(wǎng)絡(luò)攻擊風(fēng)險的第一步是：A)評估弱點(diǎn)的影響B(tài))評估危險的可能性C)確認(rèn)關(guān)鍵信息資產(chǎn)D)評估潛在的破壞[單選題]22.對于內(nèi)部組建還是外部購買IT系統(tǒng)要做出明智的決定,以下哪一項可提供最有用的信息?A)業(yè)務(wù)戰(zhàn)略B)業(yè)務(wù)案例C)可行性分析D)需求請求書RFP.[單選題]23.在某小型企業(yè)的車計期間，IS計師注意到IS總監(jiān)具有超級用戶訪問特權(quán)，這使得該總監(jiān)可以直接處理交更請求以更改應(yīng)用程序的訪問角色(訪問類型).該IS審計師應(yīng)建議以下哪個選項?A)針對應(yīng)用程序角色變更請求，實(shí)施適當(dāng)記錄的流程。B)雇傭額外的職員以實(shí)現(xiàn)應(yīng)用程序內(nèi)有職責(zé)分離(SoD)的角色變更C)實(shí)施自動化流程來變更應(yīng)用程序角色。D)詳細(xì)記錄當(dāng)前程序，并在企業(yè)內(nèi)聯(lián)網(wǎng)中提供。[單選題]24.信息系統(tǒng)不能滿足用戶需求的最常見的原因是：A)用戶需求頻繁變動B)對用戶需求增長的預(yù)測不準(zhǔn)確C)硬件系統(tǒng)限制了并發(fā)用戶的數(shù)目D)定義系統(tǒng)時用戶參與不夠[單選題]25.對于信息系統(tǒng)部門的職責(zé)分離情況，以下哪項審計技術(shù)提供了最好的證據(jù)？A)與管理層進(jìn)行討論B)審查組織章程C)觀察和面談D)測試用戶訪問權(quán)限[單選題]26.一個公司正在執(zhí)行動態(tài)主機(jī)設(shè)置協(xié)議。鑒于下列境況存在，哪個是最擔(dān)心的？A)大多數(shù)雇員用便攜式電腦B)一個包過濾防火墻被使用C)IT地址空間少于電腦數(shù)量D)網(wǎng)絡(luò)端口的訪問沒有被限制[單選題]27.下面哪一項是確定恢復(fù)時間目標(biāo)（RTO）的主要因素？A)異地備份的成本B)緊急行動計劃的響應(yīng)時間C)災(zāi)難的停機(jī)成本D)測試業(yè)務(wù)持續(xù)運(yùn)營計劃的成本[單選題]28.IS審計師想要審查是否對程序文檔的訪問只被限制給授權(quán)的用戶，那么IS審計師最可能會:A)．評估場外存儲保留計劃的記錄B)．詢問程序員關(guān)于目前正在應(yīng)用的程序C)．比較使用記錄和操作目錄D)．審查數(shù)據(jù)文件訪問記錄以檢測程序管理員的功能[單選題]29.在一個數(shù)據(jù)中心下面哪種方式抑制起火是最有效并合乎環(huán)境公益要求的方式？A)，哈龍氣體B)，濕管灑水器C)，干管灑水器D)，二氧化碳?xì)怏w[單選題]30.在在線交易處理系統(tǒng)中，維護(hù)數(shù)據(jù)完整性的方法是確保交易被完全執(zhí)行，或者完全未被執(zhí)行。這一數(shù)據(jù)完整性原則指:A)隔離性。B)一致性。C)原子性。D)持久性。[單選題]31.在對一家小型銀行進(jìn)行合規(guī)性審計時，IS審計師發(fā)現(xiàn)，IT職能和會計職能是由財務(wù)系統(tǒng)的同一個用戶執(zhí)行的。用戶監(jiān)督人員執(zhí)行的下列哪一項審查代表最佳的補(bǔ)償控制?A)顯示交易日期和時間的審計軌跡B)含有每筆交易總數(shù)量和總金額(美元)的每日報表C)用戶帳戶管理D)顯示各項交易的計算機(jī)日志文件[單選題]32.計應(yīng)對潛在自然災(zāi)害的數(shù)據(jù)備份策略時，以下哪一項最有幫助?A)恢復(fù)點(diǎn)目標(biāo)(RPO)B)需要備份的數(shù)據(jù)量C)數(shù)據(jù)備份技術(shù)D)恢復(fù)時間目標(biāo)(RTO)[單選題]33.IS審計師正在審查存儲區(qū)域網(wǎng)絡(luò)（SAN）的實(shí)施情況。SAN管理員表示，記錄和監(jiān)控處于活動狀態(tài)，硬分區(qū)用于將數(shù)據(jù)與不同的業(yè)務(wù)單元分隔開來，并且所有未使用的SAN端口均被禁用。管理員實(shí)施系統(tǒng)，在實(shí)施期間執(zhí)行并記錄安全測試，并且確定其是唯一具有系統(tǒng)管理權(quán)限的用戶。IS審計師的初步裁定應(yīng)該是什么？A)SAN是安全的，不存在重大風(fēng)險。B)SAN具有潛在風(fēng)險，因為應(yīng)該使用軟分區(qū)。C)SAN具有潛在風(fēng)險，因為審計日志不會被及時審查。D)SAN具有潛在風(fēng)險，因為只有一個員工有訪問權(quán)限。[單選題]34.以下哪一項IT治理審查的發(fā)現(xiàn)應(yīng)是最大的擔(dān)憂?A)IT價值分析尚未完成B)IT支持兩種不同的操作系統(tǒng)C)所有IT服務(wù)皆由第三方提供D)IT預(yù)算不受監(jiān)控[單選題]35.以下哪項技術(shù)可以確保通過光纖、微波以及同軸電纜連入本地通訊網(wǎng)時的通訊持續(xù)性A)最后一米線路保護(hù)技術(shù)B)長距離網(wǎng)絡(luò)傳輸技術(shù)C)多變路由技術(shù)D)可選路由技術(shù)[單選題]36.當(dāng)兩個或多個系統(tǒng)集成在一起時，IS審計師必須在以下方面審查輸入/輸出控制措施A)接收其他系統(tǒng)輸出的系統(tǒng)。B)向其他系統(tǒng)發(fā)送輸出的系統(tǒng)。C)發(fā)送和接收數(shù)據(jù)的系統(tǒng)。D)兩個系統(tǒng)之間的接口。[單選題]37.一個入侵檢測系統(tǒng)應(yīng)該首先報告可疑的網(wǎng)絡(luò)入侵給？A)信息安全人員B)網(wǎng)絡(luò)管理員C)信息系統(tǒng)審計員D)監(jiān)察員[單選題]38.在評估企業(yè)IT項目組合的優(yōu)先級是否適當(dāng)時，什么應(yīng)是信息系統(tǒng)審計師的最重要考慮事項？A)成本效益分析結(jié)果B)企業(yè)的IT預(yù)算C)業(yè)務(wù)影響分析（BIA)D)企業(yè)的業(yè)務(wù)計劃[單選題]39.信息技術(shù)管理層決定，在所有服務(wù)器上安裝1級廉價磁盤冗余陣列(RAID)系統(tǒng)，以彌補(bǔ)撤除異地備份的影響。IS審計師應(yīng)建議:A)升級到5級RAIDB)增加現(xiàn)場備份的頻率。C)恢復(fù)異地備份。D)在安全位置建立冷備援中心。[單選題]40.在變更控制檢查期間緊急變更被識別時，IS審計師期望發(fā)現(xiàn)什么？A)一個控制弱點(diǎn)，由于這些行動不該允許發(fā)生并且應(yīng)該報告。B)變更在必要時實(shí)施，相關(guān)的問題被記錄。C)沒有經(jīng)過系統(tǒng)責(zé)任人批準(zhǔn)采取的激活變更的相關(guān)的規(guī)范活動。D)通知系統(tǒng)變更責(zé)任人和其他所有相關(guān)采取行動的解釋的流程。[單選題]41.以下哪種方式是處置廢舊磁帶前對其進(jìn)行處理的最佳方法？A)覆寫磁帶B)初始化磁帶標(biāo)簽C)將磁帶消磁D)擦除磁帶內(nèi)容[單選題]42.在規(guī)劃IS審計時，最關(guān)鍵的步驟是確定:A)重大風(fēng)險區(qū)域。B)審計人員的技能組合。C)審計中的測試步驟。D)分配給審計的時間。[單選題]43.作為信息安全管理的產(chǎn)物，戰(zhàn)略結(jié)盟提供了：A)安全需求受到企業(yè)需求的驅(qū)動B)遵循最優(yōu)方法的基線安全C)制度化和常規(guī)化的解決方案D)理解風(fēng)險揭示[單選題]44.使用非對稱加密算法對數(shù)據(jù)進(jìn)行加密解密的最佳的描述是哪個？A)使用接收者的私鑰解密使用公鑰加密數(shù)據(jù)B)使用發(fā)送者的私鑰解密數(shù)據(jù)C)使用接收者的公鑰解密數(shù)據(jù)，使用發(fā)送者的私密加密數(shù)據(jù)D)使用發(fā)送者的公鑰加密解密數(shù)據(jù)[單選題]45.為信息處理場所制定恢復(fù)流程的最佳依據(jù)是A)恢復(fù)時間目標(biāo)(RTO)。B)恢復(fù)點(diǎn)目標(biāo)(RPO)。C)可容忍的最長斷電時間(MTO)。D)信息安全政策。[單選題]46.當(dāng)評估一個過程中的預(yù)防、檢測和糾正控制的組合效果時，IS審計員應(yīng)當(dāng)關(guān)注下列中的哪一項？A)某個點(diǎn)，在此處的控制被演練成數(shù)據(jù)流通過系統(tǒng)B)只有預(yù)防和檢測控制是相關(guān)的C)糾正性控制僅僅被認(rèn)為是補(bǔ)償D)分類讓IS審計員確定哪個控制是缺失的[單選題]47.下述哪一個是在沒有充分的計劃和準(zhǔn)備的情況下從采用傳統(tǒng)的審計方法切換到輔助控制自我評估（FCSA,Facilitatedcontrolself-assessment）研討組（workshop）的最主要的風(fēng)險？A)FCSA研討組不能提供足夠的獨(dú)立性B)審計工作不能按時完成C)關(guān)鍵風(fēng)險問題不能被此流程所識別D)財務(wù)報告不能夠被發(fā)布到高級管理者手中[單選題]48.在審計ERP財務(wù)系統(tǒng)的邏輯訪問控制時，信息系統(tǒng)審計師發(fā)現(xiàn)一些用戶帳戶被多人共享使用。用戶ID是基于角色而非人員本身設(shè)置的。這些帳戶允許進(jìn)入ERP系統(tǒng)進(jìn)行財務(wù)處理。下一步，信息系統(tǒng)審計師該怎么做？A)尋找補(bǔ)償性控制B)檢閱財務(wù)事務(wù)日志C)檢閱審計范圍D)叫管理員禁用這些帳號[單選題]49.對一次成功的社會工程攻擊的最有可能的解釋是：A)計算機(jī)邏輯出錯。B)人員判斷出錯。C)攻擊者的計算機(jī)知識。D)攻擊方法的技術(shù)復(fù)雜。[單選題]50.在審查注重質(zhì)量的項目時，IS審計師應(yīng)使用項目管理三角形來說明A)即使減少資源分配也能提高質(zhì)量。B)只有增加資源分配才能提高質(zhì)量。C)即使減少資源分配也能縮短交付時間D)只有降低質(zhì)量才能縮短交付時間。[單選題]51.以下哪項技術(shù)可用于獲取網(wǎng)絡(luò)用戶密碼？A)機(jī)密B)嗅探C)欺騙D)數(shù)據(jù)破壞[單選題]52.對一項安全要求很高的應(yīng)用程序軟件開發(fā)項目進(jìn)行實(shí)施后審查時，最重要的是要證實(shí):A)已執(zhí)行漏洞測試。B)項目已經(jīng)正式結(jié)束。C)符合項目日程計劃安排和預(yù)算D)滿足業(yè)務(wù)要求。[單選題]53.以下哪種風(fēng)險可能是由軟件基準(zhǔn)不充分引起的?A)簽字延遲B)違反軟件完整性C)范圍偏離D)控制不充分[單選題]54.在規(guī)定了IT安全基準(zhǔn)的組織中，IS審計師首先應(yīng)確保A)正常實(shí)施。B)符合規(guī)定。C)記錄在案。D)充分性。[單選題]55.信息系統(tǒng)審計員在評估應(yīng)用系統(tǒng)維護(hù)的時候，會檢閱程序變更日志，因為：A)程序變更授權(quán)B)現(xiàn)在使用的對象模塊的創(chuàng)建日期C)程序變更的實(shí)際數(shù)量D)現(xiàn)在使用的源程序的創(chuàng)建日期[單選題]56.最近組織規(guī)模縮小,注意到這一點(diǎn),IT審計師決定對邏輯訪問控制進(jìn)行測試,IT審計師首先應(yīng)關(guān)注哪一項?A)所有訪問被授權(quán)并與個體的角色和職責(zé)相稱B)管理者對新雇傭的個體進(jìn)行了適當(dāng)?shù)脑L問授權(quán)C)只有系統(tǒng)管理員對個體的訪問權(quán)限進(jìn)行授予或更新D)訪問權(quán)限表格被用于管理個體訪問權(quán)限的授予和更新[單選題]57.下列說法滿足信息系統(tǒng)安全官關(guān)于安全控制有效性的目標(biāo)：【待查書】A)基于風(fēng)險分析的結(jié)果構(gòu)成完整的控制需求。B)控制已經(jīng)被測試。C)給予風(fēng)險分析的結(jié)構(gòu)構(gòu)成安全控制的詳細(xì)要求。D)控制可重現(xiàn)地被測試。[單選題]58.根據(jù)以下哪一項能最能有效地確定對組織數(shù)據(jù)進(jìn)行分類的類別？A)因丟失或泄漏數(shù)據(jù)而對業(yè)務(wù)造成的影響B(tài))由高級管理層處理的交易C)對個人身份數(shù)據(jù)更高的安全要求D)業(yè)務(wù)功能的關(guān)鍵性[單選題]59.以下哪個選項將能最有效地確保業(yè)務(wù)應(yīng)用的離岸開發(fā)取得成功?A)執(zhí)行嚴(yán)格的合同管理實(shí)務(wù)B)詳細(xì)的并得到正確應(yīng)用的規(guī)范C)了解文化和政策上的差異D)實(shí)施后審查[單選題]60.Web程序開發(fā)者有時使用網(wǎng)頁上的隱藏區(qū)域保存客戶會話信息。這種技巧有時被用來保存會話參數(shù)以便能跨網(wǎng)頁訪問，例如在零售網(wǎng)站應(yīng)用程序中保存購物車內(nèi)的物品。因為這種實(shí)踐，下列最有可能基于Web的攻擊是：A)參數(shù)篡改B)跨網(wǎng)腳本C)Cookie中毒D)隱藏運(yùn)行命令[單選題]61.異地安置小組的責(zé)任包括：A)獲取、打包、運(yùn)送介質(zhì)并記錄到恢復(fù)設(shè)施上，確定并監(jiān)督異地存儲安排B)如果還沒有預(yù)先確定的話，尋找一個回復(fù)地點(diǎn)，協(xié)調(diào)將公司員工運(yùn)送到恢復(fù)站點(diǎn)。C)管理重置項目，對設(shè)施和設(shè)備的損壞程度進(jìn)行更詳細(xì)的評估D)協(xié)調(diào)從熱站遷移到新站點(diǎn)或恢復(fù)好的原始站點(diǎn)的過程[單選題]62.當(dāng)發(fā)送網(wǎng)上銀行交易數(shù)據(jù)至數(shù)據(jù)庫導(dǎo)致處理程序突然中斷。以下哪項可以最好的確保交易的完整性？A)數(shù)據(jù)庫完整性檢查。B)驗證檢查。C)輸入控制。D)數(shù)據(jù)庫提交和回滾。[單選題]63.成功攻擊系統(tǒng)的第一步是：A)收集信息B)獲得訪問權(quán)限C)拒絕服務(wù)D)避開檢測[單選題]64.禁用下列哪一項會使無線局域網(wǎng)更安全免遭未經(jīng)授權(quán)的訪問？A)MA、C、地址過濾B)WPA、協(xié)議C)LEA、P輕量級可擴(kuò)展認(rèn)證協(xié)議D)SSID、廣播[單選題]65.一個有效的災(zāi)難恢復(fù)計劃關(guān)鍵因素是下列哪一個？A)備份數(shù)據(jù)的存儲B)最新的關(guān)鍵災(zāi)難恢復(fù)聯(lián)系表C)更換的數(shù)據(jù)中心的有效性D)明確的定義恢復(fù)時間目標(biāo)[單選題]66.技術(shù)變化的速度增加，重要的是：A)外包的信息系統(tǒng)功能B)實(shí)施執(zhí)行正確的流程C)雇傭合格的人員D)滿足用戶要求[單選題]67.從控制角度來說，對信息資產(chǎn)進(jìn)行分類的主要目標(biāo)是：A)為應(yīng)分配的訪問控制等級建立準(zhǔn)則。B)確保將訪問控制分配到所有信息資產(chǎn)。C)在風(fēng)險評估中為管理人員和審計師提供幫助。D)識別需要根據(jù)損失進(jìn)行投保的資產(chǎn)。[單選題]68.信息系統(tǒng)審計師執(zhí)行下列哪項行為最可能損害其在應(yīng)用程序系統(tǒng)審計中的獨(dú)立性？A)執(zhí)行應(yīng)用程序的開發(fā)審查。B)為應(yīng)用程序設(shè)計一個嵌入式審計模塊。C)審計師的上級負(fù)責(zé)此應(yīng)用程序的開發(fā)。D)知道應(yīng)用程序包括審計師的個人交易。[單選題]69.一個企業(yè)的業(yè)務(wù)連續(xù)性計劃應(yīng)根據(jù)預(yù)定的標(biāo)準(zhǔn)激活，這解決了：A)中斷的持續(xù)時間B)中斷的類型C)中斷的概率D)中斷的原因[單選題]70.下列哪一項，是處置含有機(jī)密信息的磁性存儲介質(zhì)的最佳方法？A)消磁B)磁盤碎片整理C)刪除D)銷毀[單選題]71.一個組組織外包其廣域網(wǎng)（WAN）給第三方服提供商。在這種情況下審計師應(yīng)該執(zhí)行業(yè)務(wù)連接性計劃（BCP）和災(zāi)難恢復(fù)計劃（DRP）審計，下列哪個是首要任務(wù)？A)檢查服務(wù)商的BCP與該組織的BCP和合同義務(wù)是否一致B)檢查服務(wù)水平協(xié)議（SLA）是否包含在出現(xiàn)故障時，以應(yīng)付發(fā)生災(zāi)難時的服務(wù)水平和處罰條款C)審查該組織在選擇服務(wù)供應(yīng)商時的方法D)審閱第三方服務(wù)提供商時的工作人員的認(rèn)可[單選題]72.使用閃存存儲器（例如，USB可移動磁盤）時最大的安全問題是：A)內(nèi)容極易丟失。B)數(shù)據(jù)無法備份。C)數(shù)據(jù)可被復(fù)制。D)設(shè)備可能與其他外圍設(shè)備不兼容。[單選題]73.某公司用容量更大的新型存儲設(shè)備替換了主數(shù)據(jù)中心中的所有存儲設(shè)備,更換下來的設(shè)備已安裝在災(zāi)難恢復(fù)地點(diǎn)中，以取代更加陳舊的設(shè)備，信息系統(tǒng)審計師注意的主要問題是:A)恢復(fù)地點(diǎn)設(shè)備是否能夠滿足存儲要求B)是否將這一遷移計劃通知了所有有關(guān)方面C)此次采購是否符合公司的政策和程序D)是否為原有存儲設(shè)備和新的存儲設(shè)備都簽訂了硬件維護(hù)合同[單選題]74.下列哪項活動不應(yīng)該由數(shù)據(jù)庫管理員(DBA)執(zhí)行?A)刪除數(shù)據(jù)庫活動日志B)實(shí)施數(shù)據(jù)庫優(yōu)化工具C)監(jiān)控數(shù)據(jù)庫使用情況D)制定備份和恢復(fù)流程[單選題]75.IT司法審計的主要目的是？A)參加與企業(yè)相關(guān)的調(diào)查B)系統(tǒng)的收集在系統(tǒng)故障后的數(shù)據(jù)C)評估組織財務(wù)申明是準(zhǔn)確性D)判斷是否有犯罪行為[單選題]76.審閱基于代理的防火墻時，信息系統(tǒng)審計員應(yīng)該:A)確認(rèn)防火墻沒有丟掉任何發(fā)出的包B)審閱地址解析協(xié)議表，確認(rèn)物理地址與IP地址之間的正確映射C)校驗服務(wù)的過濾器是否有效，如HTTPD)測試是不是有路由信息通過防火墻發(fā)出[單選題]77.在跟蹤審計期間，被審計單位指出,對以前報告的發(fā)現(xiàn)結(jié)果應(yīng)采取的糾正措施需要比預(yù)期更長的時間，以下哪一項是信息系統(tǒng)審計師應(yīng)采取的最佳行動?A)停止審計工作并推遲跟蹤審計B)將問題上報給高級管理層C)確定是否已采取補(bǔ)償性控制的臨時措施D)要求在商定的期限內(nèi)完成補(bǔ)救工作[單選題]78.IT平衡記分卡是IT治理工具，用于監(jiān)測不同于:A)財務(wù)成果、B)客戶滿意、C)內(nèi)部過程改進(jìn)、D)創(chuàng)新能力、[單選題]79.建立一個信息安全體系的最初步驟是：A)開發(fā)和實(shí)施信息安全標(biāo)準(zhǔn)手冊B)由信息安全審計師實(shí)施的全面的安全控制評審C)企業(yè)信息安全策略聲明D)購買安全訪問控制軟件[單選題]80.根據(jù)能力成熟度模型（CMM）評估某應(yīng)用開發(fā)項目，IS審計師應(yīng)該能夠驗證：A)保證了產(chǎn)品的可靠性B)提高了程序員的效率C)有設(shè)計安全需求D)遵循了預(yù)期的軟件開發(fā)流程[單選題]81.災(zāi)難性恢復(fù)計劃(D、RP)基于:A)技術(shù)方面的業(yè)務(wù)連續(xù)性計劃、B)操作部分的業(yè)務(wù)連續(xù)性計劃、C)功能方面的業(yè)務(wù)連續(xù)性計劃、D)總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計劃、[單選題]82.從軟盤上拷貝文件時，某用戶帶入了一個病毒到網(wǎng)絡(luò)里。以下哪項能最有效檢測到這個病毒的存在？A)使用前掃描所有軟盤B)網(wǎng)絡(luò)文件服務(wù)器上的病毒檢測器C)每天對所有網(wǎng)絡(luò)驅(qū)動器進(jìn)行掃描D)在用戶的個人電腦上的病毒檢測器[單選題]83.在審查一個基于web的軟件開發(fā)項目的過程中，信息系統(tǒng)審計師意識到編程代碼標(biāo)準(zhǔn)不是強(qiáng)制性的，并且代碼的審查也很少執(zhí)行。這將會最可能增加下列哪個選項發(fā)生的可能性：A)緩沖區(qū)溢出B)暴力破解攻擊C)分布式拒絕服務(wù)攻擊D)戰(zhàn)爭撥號攻擊[單選題]84.控制自我評估(CSA)成功與否很大程度取決于:A)由生產(chǎn)管理人員承擔(dān)部分控制監(jiān)測責(zé)任。B)將控制構(gòu)建責(zé)任(而非監(jiān)測責(zé)任)分派給行政管理人員C)執(zhí)行嚴(yán)格的控制政策和規(guī)則導(dǎo)向控制。D)執(zhí)行監(jiān)督和職責(zé)分派控制監(jiān)測。[單選題]85.對IT服務(wù)臺實(shí)踐的審查中，信息系統(tǒng)審計師發(fā)現(xiàn)客戶服務(wù)部門人員花在為用戶重設(shè)密碼上的時間比花在解決關(guān)鍵事故上的時間長，對IT管理部門提出以下哪一項建議最能解決該問題？A)計算事故申請的持續(xù)時間，如超出服務(wù)水平協(xié)議（SLA）則向高級IT人員發(fā)送提醒。B)向最終用戶提供年度密碼管理培訓(xùn)以減少重設(shè)密碼申請的數(shù)量。C)實(shí)施自助服務(wù)解決方案，對于頻繁請求服務(wù)分流用戶使用自助平臺。D)如能在約定的服務(wù)水平內(nèi)關(guān)閉事故，則給予服務(wù)臺人員獎勵。[單選題]86.使用POS機(jī)進(jìn)行電子資金轉(zhuǎn)賬（EFT）的大型連鎖店都有應(yīng)該中央通信處理器與銀行網(wǎng)絡(luò)進(jìn)行連接。對于通信處理器最好的災(zāi)難恢復(fù)計劃是：A)異地存儲的日常備份B)現(xiàn)場可替代的備用處理器C)安裝復(fù)用通信線路D)另一個網(wǎng)絡(luò)節(jié)點(diǎn)的可替代的備用處理器[單選題]87.業(yè)務(wù)持續(xù)計劃的測試的最主要的目的是:A)讓員工熟悉業(yè)務(wù)持續(xù)計劃B)確保所有的殘留風(fēng)險都能夠被辨別出來C)實(shí)踐所有的災(zāi)難設(shè)想D)鑒別業(yè)務(wù)持續(xù)計劃的局限性[單選題]88.某組織具有完善的風(fēng)險管理流程。以下哪項風(fēng)險管理實(shí)踐最有可能會使組織面臨最大的合規(guī)性風(fēng)險?A)風(fēng)險降低B)風(fēng)險轉(zhuǎn)移C)風(fēng)險避免D)風(fēng)險緩解[單選題]89.如下內(nèi)容中的哪些將是最安全的防火墻系統(tǒng)？A)屏蔽主機(jī)防火墻B)屏蔽子網(wǎng)式防火墻C)雙宿主防火墻D)狀態(tài)檢測防火墻[單選題]90.在一個商用的B-TO-B網(wǎng)絡(luò)應(yīng)用程序中，為了確保商業(yè)機(jī)密，如下哪個選項是最好的方法？A)使用單項哈希加密算法B)使用接收的公鑰加密交易數(shù)據(jù)C)在傳輸前數(shù)字化簽名所有交易D)使用發(fā)送者的私鑰簽名所有交易[單選題]91.一個團(tuán)隊在執(zhí)行風(fēng)險分析時，難以預(yù)測某種風(fēng)險可能造成的經(jīng)濟(jì)損失。要評估潛在的影響，該團(tuán)隊?wèi)?yīng)當(dāng):A)計算相關(guān)資產(chǎn)的攤銷。B)計算投資回報(ROI)。C)采用定性方法D)花費(fèi)相應(yīng)的時間來確定準(zhǔn)確的損失金額。[單選題]92.下列哪項是自上而下的軟件測試方法的優(yōu)點(diǎn)?A)及早發(fā)現(xiàn)接口錯誤。B)可以在所有程序完成之前便開始測試。C)比其他測試方法更有效。D)可以很快檢測到關(guān)鍵模塊中的錯誤。[單選題]93.服務(wù)水平管理(SLM)的主要目標(biāo)是A)定義、商定、記錄并管理所需的服務(wù)級別。B)確保對服務(wù)進(jìn)行管理，以便實(shí)現(xiàn)可達(dá)到的最高可用水平。C)盡量降低與任何服務(wù)相關(guān)的成本。D)監(jiān)測并將任何違法行為報告給業(yè)務(wù)管理人員。[單選題]94.如果一臺便攜式計算機(jī)丟失或被盜，管理人員最關(guān)注的是機(jī)密信息是否會暴露。要保護(hù)存放在便攜式計算機(jī)上的敏感信息，下面哪一條措施是最有效的和最經(jīng)濟(jì)的？A)用戶填寫情況簡要介紹B)簽署確認(rèn)用戶簡要介紹C)可移動資料存儲介質(zhì)D)在存儲介質(zhì)上對資料檔案加密[單選題]95.成功實(shí)施和維護(hù)一個安全策略，最關(guān)鍵的是？A)由恰當(dāng)?shù)南嚓P(guān)方一起撰寫框架B)管理層支持和批準(zhǔn)實(shí)施和維護(hù)安全策略C)任何違反安全規(guī)則的懲罰性行動來強(qiáng)化信息安全規(guī)則D)通過訪問控制軟件來嚴(yán)格執(zhí)行，檢測安全管理人員所執(zhí)行的規(guī)則[單選題]96.一家組織在業(yè)務(wù)連續(xù)性規(guī)劃中完成了業(yè)務(wù)影響分析(BIA)。流程中的下一步是制定A)業(yè)務(wù)連續(xù)性策略。B)測試和練習(xí)計劃。C)用戶培訓(xùn)計劃。D)業(yè)務(wù)連續(xù)性計劃(BCP)。[單選題]97.在審查業(yè)務(wù)連續(xù)性計劃時，信息系統(tǒng)審計師注意到何種情況將宣布為危機(jī)還沒有做出定義。與此相關(guān)的重大風(fēng)險是：A)對形勢的評估可能會推遲B)災(zāi)難恢復(fù)計劃的執(zhí)行將受到影響C)團(tuán)隊可能不會得到通知D)識別潛在的危機(jī)可能無效[單選題]98.一旦業(yè)務(wù)功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構(gòu)成了對組織的主要風(fēng)險？A)在異地存儲的備用資源詳細(xì)目錄沒有及時更新B)在備份計算機(jī)和恢復(fù)設(shè)備上存儲的備用資源詳細(xì)目錄沒有及時更新C)沒有對緊急情況下的供貨商或備選供貨商進(jìn)行評估，不知道供貨商是否還在正常營業(yè)D)過期的材料沒有從有用的資源中剔除[單選題]99.一個企業(yè)對于所有使用的數(shù)據(jù)通過協(xié)議正在采用由國外供應(yīng)商提供的云架構(gòu)。在這個項目中什么是審計人員最應(yīng)該關(guān)注的？A)A私有數(shù)據(jù)可能被未被授權(quán)的用戶訪問。B)訪問云主機(jī)是通過遠(yuǎn)程訪問方式完成的。C)主機(jī)結(jié)構(gòu)和設(shè)置是由供應(yīng)商完成的。D)單機(jī)驗證被使用。[單選題]100.IS審計師被IS管理人員告知，組織最近己達(dá)到軟件能力成熟度模型(CMM)的最高級別,則該組織最近添加的軟件質(zhì)量過程為A)持續(xù)改進(jìn)。B)定量質(zhì)量目標(biāo)。C)記錄流程。D)為特定項目制定的流程。[單選題]101.以下哪項是中小型組織中通過互聯(lián)網(wǎng)連接專用網(wǎng)絡(luò)的最安全經(jīng)濟(jì)的方法？A)虛擬專用網(wǎng)絡(luò)（VPN）B)專用線路C)租用線路D)綜合業(yè)務(wù)數(shù)字網(wǎng)[單選題]102.在審核某業(yè)務(wù)流程再造（BPR）項目時，以下審計人員要評價的項目中哪一項最重要？A)被撤銷控制的影響B(tài))新控制的成本C)BPR項目計劃D)持續(xù)改進(jìn)和監(jiān)控計劃[單選題]103.在審查IT基礎(chǔ)設(shè)施時，IS審計師注意到存儲資源不斷增多。IS審計師應(yīng):A)建議使用磁盤鏡像。B)審查異地存儲的充分性。C)審查容量管理流程。D)建議使用壓縮算法。[單選題]104.某保險公司對經(jīng)常應(yīng)用的數(shù)據(jù)進(jìn)行斷點(diǎn)打印拷貝，使有關(guān)人員可在主機(jī)文件中獲取這些數(shù)據(jù)，經(jīng)過授權(quán)的用戶可以將數(shù)據(jù)子集下載進(jìn)入電子數(shù)據(jù)表程序，這種提供數(shù)據(jù)存取途徑方法的風(fēng)險是：A)復(fù)制文件可能沒有得到同步處理；B)數(shù)據(jù)片斷可能缺乏完整性；C)數(shù)據(jù)處理的進(jìn)行可能缺乏成熟；D)數(shù)據(jù)的普及性。[單選題]105.在審查IT災(zāi)難恢復(fù)測試的時候，下列哪項是IS審計師最應(yīng)該關(guān)注的？A)由于有限的測試時間窗，只有最重要的系統(tǒng)被測試了。其他系統(tǒng)在當(dāng)年余下的時間分開測試。B)在測試的過程中，注意到有些備份系統(tǒng)有缺陷揮著不正常工作，導(dǎo)致測試失敗。C)在啟動備份站點(diǎn)之前，關(guān)閉程序和原始產(chǎn)生站點(diǎn)的安全所需的時間比計劃的要長。D)每年都由相同的員工進(jìn)行測試。由于恢復(fù)的每一步都被參與者熟知，就不使用恢復(fù)計劃文檔。[單選題]106.一個團(tuán)隊進(jìn)行威脅分析，從風(fēng)險角度預(yù)測可能造成的經(jīng)濟(jì)損失是很困難的，為了評估潛在的損失，團(tuán)隊?wèi)?yīng)該？A)設(shè)計出相關(guān)資產(chǎn)攤銷B)計算投資回報C)使用定性方法D)花費(fèi)時間確定損失的確定金額[單選題]107.下面哪一項測試最可能檢測到某個子程序中由于另一個子程序的最近更改導(dǎo)致的錯誤?A)回歸測試B)黑盒測試C)壓力測試D)用戶驗收測試[單選題]108.在軟件測試中使用自下而上方式的優(yōu)勢：A)盡早檢測到接口B)能較早完成系統(tǒng)開發(fā)C)更早地檢測到關(guān)鍵模塊的錯誤D)更早地測試主要功能和過程[單選題]109.以下哪一個是面向?qū)ο蟮募夹g(shù)特性，可以增強(qiáng)數(shù)據(jù)更高安全性的特點(diǎn)？A)繼承：繼承可以參考數(shù)據(jù)庫結(jié)構(gòu)的嚴(yán)格層次型結(jié)構(gòu)（不具多重繼承）.如果繼承初始化與類的層次無關(guān)的其他對象，這樣就不具對象的嚴(yán)格層次性。B)動態(tài)庫。C)封裝性：利用分層協(xié)議的技術(shù)，較下層的接受較高層的信息成為內(nèi)部框架中的一部分。D)多態(tài)性：就像數(shù)據(jù)結(jié)構(gòu)，傳送同一命令給不同的子對象，但根據(jù)他們所屬的層次型的樹狀結(jié)構(gòu)，會產(chǎn)生不同的結(jié)果。[單選題]110.某IS審計師在審查電子數(shù)據(jù)交換(EDD交易紀(jì)錄期間發(fā)現(xiàn)未授權(quán)的交易，該審計師很可能建議改進(jìn):A)EDI貿(mào)易伙伴協(xié)議。B)終端機(jī)的物理控制。C)發(fā)送和接收消息的身份認(rèn)證技術(shù)D)程序變更控制流程。[單選題]111.在IS審計的計劃階段，IS審計師的主要目標(biāo)是A)達(dá)到審計目標(biāo)。B)收集足夠的證據(jù)。C)指定適當(dāng)?shù)臏y試。D)盡可能少使用審計資源。[單選題]112.以下哪種風(fēng)險是在軟件即服務(wù)(SaS)環(huán)境下最可能遇到的?A)沒有遵守軟件許可協(xié)議B)因互聯(lián)網(wǎng)交付方法而導(dǎo)致性能問題C)因軟件許可要求而導(dǎo)致成本增加D)因需要升級到兼容硬件而導(dǎo)致成本增加[單選題]113.銷售商為了從事故障維護(hù)工作需要遠(yuǎn)程訪問關(guān)鍵的網(wǎng)絡(luò)。以下選項中，最安全和最有效的方法是為該銷售商建立：A)安全外殼(SSH-2)隧道B)雙重認(rèn)證C)撥號接入D)虛擬專用網(wǎng)[單選題]114.在確定信息資產(chǎn)的適當(dāng)保護(hù)等級時，IS審計師應(yīng)當(dāng)主要關(guān)注以下哪一個因素?A)風(fēng)險評估的結(jié)果B)對業(yè)務(wù)的相對價值C)漏洞評估的結(jié)果D)安全控制的成本[單選題]115.以下哪項表示兩家公司之間簽訂的災(zāi)難恢復(fù)互惠協(xié)議所帶來的最大風(fēng)險?A)開發(fā)系統(tǒng)可能會導(dǎo)致硬件和軟件不兼容。B)必要時資源不可用。C)無法測試恢復(fù)計劃。D)這兩家公司的安全基礎(chǔ)架構(gòu)可能不同。[單選題]116.分布式拒絕服務(wù)攻擊互聯(lián)網(wǎng)網(wǎng)站是由于黑客使用如下哪一種典型手段引起的:A)邏輯炸彈B)釣魚網(wǎng)站C)間諜軟件D)特洛伊木馬[單選題]117.當(dāng)決定是否可使用第三方來解決疑似安全泄露事故時，以下哪一項應(yīng)是IT管理部門最重要的考慮事項？A)使用第三方的成本B)事故優(yōu)先等級C)審計的批準(zhǔn)D)數(shù)據(jù)的敏感性[單選題]118.以下哪一種是入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡(luò)中流量和活動的常用方式，并建立一個數(shù)據(jù)庫？A)基于簽名的B)基于神經(jīng)網(wǎng)絡(luò)的C)基于統(tǒng)計(信息)的D)基于主機(jī)的[單選題]119.一個組織解雇了一名數(shù)據(jù)庫管理員（DBA）。該組織立即刪除了公司系統(tǒng)中該DBA的所有訪問權(quán)限。該DBA威脅，除非為他/她支付了一大筆錢，否則數(shù)據(jù)庫將在兩個月內(nèi)被刪除。前任DBA最有可能使用下列哪項刪除數(shù)據(jù)庫？A)病毒感染B)蠕蟲感染C)拒絕服務(wù)式攻擊（DoS）D)邏輯炸彈攻擊[單選題]120.IS審計師正在測試一個大型財務(wù)系統(tǒng)的員工訪問權(quán)限。IS審計師從受審方提供的當(dāng)前員工名單中選擇一個樣本。下面哪一個證據(jù)能夠最可靠的支持該項測試？A)系統(tǒng)管理員提供的一個電子表格B)員工管理人員所簽署的HR文檔C)系統(tǒng)生成的包含訪問級別的賬戶列表D)在系統(tǒng)管理員在場的情況下進(jìn)行的現(xiàn)場觀察[單選題]121.為了降低通過通訊線路來傳送專用數(shù)據(jù)時帶來的安全風(fēng)險，應(yīng)該應(yīng)用：A)異步調(diào)制解調(diào)器B)鑒別技術(shù)C)回叫程序D)加密設(shè)備[單選題]122.在最初的調(diào)查之后，IS審計員找到了理由相信欺騙可能存在。該IS審計員應(yīng)當(dāng)：A)擴(kuò)大行動以決定是否授權(quán)進(jìn)行一個調(diào)查。B)向?qū)徲嬑瘑T會報告問題。C)向最高管理層報告欺騙的可能性并詢問他們希望如何處理。D)與外部法律顧問協(xié)商以決定將采取的行動方針[單選題]123.IT服務(wù)的可用性和可持續(xù)性的最佳實(shí)踐應(yīng)該是:A)使費(fèi)用減到最小與災(zāi)難恢復(fù)相結(jié)合B)提供足夠的能力滿足業(yè)務(wù)需求C)提供合理的擔(dān)保滿足對客戶的責(zé)任D)及時地生成性能報告[單選題]124.下面哪一種測試手段審計是可以最有效地確定組織變更控制程序的一致性?A)審查軟件遷移記錄，并核實(shí)是否經(jīng)過批準(zhǔn)B)確認(rèn)已經(jīng)發(fā)生的變更，并核實(shí)是否經(jīng)過批準(zhǔn)C)審查變更控制文檔，并核實(shí)是否經(jīng)過批準(zhǔn)D)確保只有適當(dāng)人員可以將變更遷移到生產(chǎn)環(huán)境[單選題]125.以下哪一項專門針對的是如何檢測對組織IT系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊以及如何從攻擊中恢復(fù)?A)事故應(yīng)對計劃(IRP)B)IT應(yīng)急計劃C)業(yè)務(wù)連續(xù)性計劃(BCP)D)運(yùn)營連續(xù)性計劃(COOP)[單選題]126.下面哪個是沒有單獨(dú)的預(yù)防控制的固有風(fēng)險？A)騎肩跟入法B)病毒C)數(shù)據(jù)欺騙D)非授權(quán)的應(yīng)用關(guān)閉[單選題]127.在非屏蔽雙絞線（UTP）網(wǎng)絡(luò)中鋪設(shè)的以太電纜長度超過100米。以下哪種情況可能是電纜長度引起的？A)電磁干擾（EMI）B)串?dāng)_C)離散D)衰減[單選題]128.某家安全要求極高的組織正在評估生物識別系統(tǒng)的有效性。以下哪一項性能指標(biāo)最重要？A)誤接受率（FAR）B)相等錯誤率（EER）C)誤拒絕率（FRR）D)誤判率（FIR）[單選題]129.下列哪一項數(shù)據(jù)確認(rèn)校驗，在檢查交換和復(fù)制錯誤時，是有效的:A)范圍檢查B)校驗位C)有效性檢查D)復(fù)制檢查[單選題]130.認(rèn)證中心C、A、可委托以下過程來代表:A)撤銷和中止用戶的證書B)產(chǎn)生并分發(fā)C、A、的公鑰C)在請求實(shí)體和它的公鑰間建立鏈接D)發(fā)布并分發(fā)用戶的證書[單選題]131.組織的應(yīng)用系統(tǒng)使用開源軟件，但是沒有一個認(rèn)可的開發(fā)者開發(fā)補(bǔ)丁。以下哪項是最安全的更新開放源碼軟件的方法？A)重新編寫補(bǔ)丁并且運(yùn)用。B)審查代碼和可用的補(bǔ)丁程序。C)開發(fā)內(nèi)部補(bǔ)丁。D)在運(yùn)用之前，確認(rèn)和測試合適的補(bǔ)丁。[單選題]132.以下哪種方式最能保證電子郵件消息的真實(shí)性和機(jī)密性：A)使用發(fā)送者私鑰簽署消息，使用接收者公鑰加密消息B)使用發(fā)送者公鑰簽署消息，使用接收者私鑰加密消息C)使用接收者私鑰簽署消息，使用發(fā)送者公鑰加密消息D)使用接收者公鑰簽署消息，使用發(fā)送者私鑰加密消息[單選題]133.銀行的一位IS審計師正在執(zhí)行合規(guī)性測試他發(fā)現(xiàn)有一個分行六個月沒有更新過病毒特征碼。在這種情況下，IS審計師應(yīng)建議A)加強(qiáng)安全意識和有關(guān)更新防病毒軟件重要性的教育工作B)使用自動化方式，從總行啟動各個分行的防病毒軟件更新C)重新配置防火墻，設(shè)置約束最嚴(yán)的政策，并實(shí)施入侵防御系統(tǒng)（IPS）D)分行在安裝更新后重新驗證機(jī)器狀況[單選題]134.實(shí)施防火墻最容易發(fā)生的錯誤是：A)訪問列表配置不準(zhǔn)確B)社會工程學(xué)會危及口令的安全C)把modem連至網(wǎng)路中的計算機(jī)D)不能充分保護(hù)網(wǎng)路和服務(wù)器使其免遭病毒侵襲[單選題]135.供應(yīng)商為他們的軟件分發(fā)了修復(fù)安全漏洞的補(bǔ)丁。哪一項應(yīng)該是審計師在這種情況下舉薦的A)在補(bǔ)丁部署之前評估影響B(tài))要求供應(yīng)商提供帶有所有補(bǔ)丁的軟件的新的版本C)立刻安裝所有補(bǔ)丁D)以后拒絕和這些供應(yīng)商合作[單選題]136.下面哪項是自上而下的軟件測試的優(yōu)勢：A)接口錯誤可以盡早識別B)測試需在所有程序編寫完成前進(jìn)行C)它比其他的方法更有效率D)關(guān)鍵模塊中的錯誤可以盡早的檢測出來[單選題]137.關(guān)于IT服務(wù)的可用性和可持續(xù)性的IT最佳實(shí)踐是:A)最小化與災(zāi)難彈性組件相關(guān)的成本B)提供足夠的能力以滿足商定的業(yè)務(wù)需求C)提供合理的保證以滿足商定的客戶能承擔(dān)的責(zé)任D)及時生成性能度量報告[單選題]138.在評估對密碼管理的程序控制時，下面那一個是審計師最有可能參照的？A)長度檢查B)散列總計C)有效性檢查D)字段檢查[單選題]139.某IS審計師要為滲透測試選擇一個服務(wù)器，并且該測試會由技術(shù)專業(yè)人員執(zhí)行。下面哪個選項最重要？A)用來進(jìn)行測試的工具B)IS審計師持有的認(rèn)證C)服務(wù)器數(shù)據(jù)所有者的批準(zhǔn)D)啟用了入侵檢測系統(tǒng)（IDS）[單選題]140.要從網(wǎng)絡(luò)攻擊中恢復(fù)，以下哪項措施最重要？A)簡歷事故應(yīng)對團(tuán)隊B)動用網(wǎng)絡(luò)取證調(diào)查員C)執(zhí)行業(yè)務(wù)連續(xù)性計劃D)歸檔保險理賠文件[單選題]141.信息系統(tǒng)審計師應(yīng)該通過檢查以下哪項內(nèi)容來了解更多項目管理控制的效果？A)項目數(shù)據(jù)庫B)政策文件C)項目組合數(shù)據(jù)庫D)程序組織[單選題]142.當(dāng)收到敏感的電子工作底稿時，IS審計師發(fā)現(xiàn)它們沒有被加密，那么這將影響以下哪項A)工作底稿的版本審計日志B)工作底稿的審批C)工作底稿的訪問權(quán)限D(zhuǎn))工作底稿的保密性[單選題]143.公司的web服務(wù)器上安裝了防火墻,防火墻可以防止下列哪個問題的發(fā)生?A)內(nèi)部用戶未經(jīng)授權(quán)修改信息B)外界獲取信息C)信息可用性D)連接internet[單選題]144.審計員在評估網(wǎng)絡(luò)監(jiān)測控制設(shè)計時，首先應(yīng)該評審網(wǎng)絡(luò)的？A)拓?fù)鋱DB)寬帶利用情況C)流量分析報告D)瓶頸位置[單選題]145.一位IS審計師發(fā)現(xiàn)，有些用戶在他們的個人電腦上安裝了個人軟件。安全政策并沒有明令禁止這種行為。IS審計師的最佳方案應(yīng)該是建議A)IS部門實(shí)施控制機(jī)制，以阻止未經(jīng)授權(quán)的軟件安裝B)安全政策進(jìn)行更新，以將未授權(quán)軟件的特定語言包括在內(nèi)C)IS部門禁止下載未經(jīng)授權(quán)的軟件D)在安裝非標(biāo)準(zhǔn)軟件之前用戶應(yīng)取得IS經(jīng)理的批準(zhǔn)[單選題]146.以下哪一項是啟動數(shù)據(jù)分類程序的第一個步驟?A)評估風(fēng)險偏好B)分配數(shù)據(jù)所有權(quán)C)分配敏感性水平D)盤點(diǎn)數(shù)據(jù)資產(chǎn)[單選題]147.通過傳輸每個字符或數(shù)據(jù)幀的冗余信息來檢測或糾正(傳輸)錯誤被稱作為:A)反饋差錯控制B)(數(shù)據(jù))塊和數(shù)校驗C)前向差錯控制D)循環(huán)冗余校驗[單選題]148.局域網(wǎng)(LAN)管理員通常不應(yīng)承擔(dān)以下哪項責(zé)任:A)承擔(dān)最終用戶責(zé)任。B)向最終用戶經(jīng)理報告工作C)承擔(dān)編程責(zé)任。D)負(fù)責(zé)LAN安全管理。[單選題]149.以下哪一項可以提供邏輯訪問控制，以禁止更新或刪除關(guān)系數(shù)據(jù)庫（relationaldatabase）中的業(yè)務(wù)信息？A)觸發(fā)器（trigger）B)關(guān)聯(lián)數(shù)據(jù)（primaryC)視圖（view）D)合并（join）[單選題]150.一位IS審計師在審查一家采用交叉培訓(xùn)實(shí)務(wù)的組織時，應(yīng)評估以下哪種風(fēng)險:A)對某個人的依賴性。B)接任計劃不充分。C)某個人了解系統(tǒng)的所有組成部分。D)運(yùn)營中斷。[單選題]151.在審計企業(yè)資源規(guī)劃(ERP)系統(tǒng)時，信息系統(tǒng)審計師發(fā)現(xiàn)一個應(yīng)用程序的修補(bǔ)程序已應(yīng)用至生產(chǎn)環(huán)境，對于信息系統(tǒng)審計師來說，最為重要的是核實(shí):A)系統(tǒng)管理員的批準(zhǔn)B)項目經(jīng)理的批準(zhǔn)C)信息安全負(fù)責(zé)人的批準(zhǔn)D)信息資產(chǎn)所有者的批準(zhǔn)[單選題]152.哪一個是IT性能測量程序的主要目標(biāo)？A)錯誤最小化B)收集性能數(shù)據(jù)。C)建立性能基線。D)使性能最優(yōu)。[單選題]153.對于通過因特網(wǎng)從一個主機(jī)連接另一主機(jī)，通道技術(shù)可通過下列哪一項提供額外的安全性?A)提供端對端加密B)啟用更強(qiáng)大的加密密鑰C)防止密碼破解和重放攻擊D)便于基于公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的證書交換[單選題]154.一家技術(shù)服務(wù)企業(yè)最近收購了一家新子公司,考慮到其他對IT審計計劃發(fā)展的影響時，信息系統(tǒng)審計師的下一個行動步驟應(yīng)該是什么?A)繼續(xù)執(zhí)行當(dāng)前的審計計劃B)審查經(jīng)修改的業(yè)務(wù)影響分析BIAC)進(jìn)行風(fēng)險評估D)將新系統(tǒng)納入審計計劃[單選題]155.業(yè)務(wù)連續(xù)性計劃（BCP）的哪個部分，是企業(yè)IS部門的主要責(zé)任？A)制定業(yè)務(wù)連續(xù)性計劃B)選定、批準(zhǔn)業(yè)務(wù)連續(xù)性計劃的相關(guān)戰(zhàn)略C)遇災(zāi)報警D)災(zāi)后恢復(fù)IS系統(tǒng)和資料[單選題]156.在管理從舊版應(yīng)用程序轉(zhuǎn)換到新版應(yīng)用程序時的故障時，以下哪項的風(fēng)險最低?A)分階段轉(zhuǎn)換B)一次性轉(zhuǎn)換C)回退流程D)并行轉(zhuǎn)換[單選題]157.系統(tǒng)開發(fā)項目完成后，項目實(shí)施后審查工作中應(yīng)該囊括以下哪一項?A)評估可能在產(chǎn)品發(fā)布之后導(dǎo)致停機(jī)的風(fēng)險B)總結(jié)可應(yīng)用到未來項目中的經(jīng)驗教訓(xùn)C)檢驗所交付系統(tǒng)中的控制是否正常運(yùn)D)確保已刪除測試數(shù)據(jù)[單選題]158.在計劃審計的時候應(yīng)該進(jìn)行一次風(fēng)險評估以提供:A)合理的保證審計將涵蓋實(shí)質(zhì)性項目B)絕對的保證實(shí)質(zhì)性項目在審計工作過程中會被涵蓋C)合理的保證所有的項目都會被涵蓋在審計中D)足夠的保證所有項目在這次審計工作中都會被涵蓋[單選題]159.下面哪個是建立防火墻策略的初始步驟？A)成本效益應(yīng)用系統(tǒng)安全的分析方法B)識別外部訪問的網(wǎng)絡(luò)應(yīng)用C)識別外部訪問網(wǎng)絡(luò)應(yīng)用的漏洞D)建立一個應(yīng)用流量矩陣顯示保護(hù)方法[單選題]160.具有多個分支機(jī)構(gòu)的某金融機(jī)構(gòu)具有自動化控制措施，它要求分支機(jī)構(gòu)經(jīng)理審批超過一定金額的交易。這種審計控制屬于哪種類型?A)檢測性B)預(yù)防性C)改正性D)指令性[單選題]161.發(fā)送消息和用發(fā)送方私鑰加密哈希加密信息將確保：A)真實(shí)性和完整性B)真實(shí)性和隱私C)完整性和隱私D)隱私和不可否認(rèn)性[單選題]162.理想情況下，壓力測試應(yīng)在以下哪個環(huán)境中執(zhí)行:A)采用測試數(shù)據(jù)的測試環(huán)境。B)采用實(shí)時工作量的生產(chǎn)環(huán)境。C)采用實(shí)時工作量的測試環(huán)境。D)采用測試數(shù)據(jù)的生產(chǎn)環(huán)境。[單選題]163.有效的IT治理將會確保IT計劃和下列企業(yè)組織的什么一致:A)業(yè)務(wù)規(guī)劃B)審計計劃C)安全計劃。D)投資計劃。[單選題]164.一個電子郵件的發(fā)送者對數(shù)字摘要應(yīng)用了數(shù)字簽名。這個行動能確保：A)信息的數(shù)據(jù)和時間戳B)識別發(fā)信的計算機(jī)C)對信息內(nèi)容進(jìn)行加密D)對發(fā)送者的身份進(jìn)行識別[單選題]165.選擇使用快速應(yīng)用開發(fā)（RAD）方法來實(shí)現(xiàn)一個ERP系統(tǒng)。因為內(nèi)部員工無法滿足需求，所有的項目活動都被分配給承包的咨詢公司。審計師首先要做什么？A)評估項目的計劃和方案B)要求供應(yīng)商提供額外的外部員工C)建議公司雇傭更多的員工D)暫停項目，直到人員到位[單選題]166.為保護(hù)異地存儲備份的介質(zhì)，存儲站點(diǎn)應(yīng)該做到：A)設(shè)置在建筑物的不同樓層。B)任何人都容易獲得的。C)清晰的標(biāo)簽以便應(yīng)急使用。D)防止未授權(quán)的訪問。[單選題]167.實(shí)施安全計劃作為安全管理框架的一部分，其主要優(yōu)點(diǎn)是？A)校對有信息系統(tǒng)審計建議的IT活動B)強(qiáng)制安全風(fēng)險管理C)實(shí)施首席信息安全官CISO的建議D)降低IT安全的成本[單選題]168.如下哪一類風(fēng)險是假設(shè)被檢查的方面缺乏補(bǔ)償控制:A)控制風(fēng)險B)檢查風(fēng)險C)固有風(fēng)險D)抽樣風(fēng)險[單選題]169.數(shù)據(jù)庫管理員檢測到某些表存在性能問題，這些問題可通過逆正規(guī)化解決。這種情況洛增加以下哪種風(fēng)險A)并發(fā)訪問。B)死鎖。C)對數(shù)據(jù)的未授權(quán)訪問。D)失去數(shù)據(jù)完整性。[單選題]170.IS審計師推薦使用庫控制軟件以便提供合理保證：A)程序變更得到授權(quán)B)只有經(jīng)過徹底測試的程序才能被發(fā)布C)被修改的程序自動轉(zhuǎn)移到生產(chǎn)庫D)源代碼和可執(zhí)行代碼的完整性得以保持[單選題]171.將輸出結(jié)果及控制總計和輸入資料及控制總計進(jìn)行匹配可以驗證輸出結(jié)果，以下哪一項能起上述作用？A)批量頭格式B)批量平衡C)資料轉(zhuǎn)換差錯糾正D)對打印池的訪問控制[單選題]172.以下哪種關(guān)于電子郵件安全性的說法是正確的？I.電子郵件不可能比它依賴的計算機(jī)系統(tǒng)更安全。II.機(jī)密的電子郵件信息應(yīng)該儲存于郵件服務(wù)器中，儲存時間和紙質(zhì)文件相同。III.在大型組織中，可能有若干個不同安全級別的郵件管理員和地點(diǎn)。A)只有I對的。B)只有I和II是對的。C)只有I和III是對的D)只有II和III是對的。[單選題]173.為了完全理解組織對計劃和管理IT資產(chǎn)投資的有效性，信息系統(tǒng)審計員應(yīng)該審計以下哪方面：A)企業(yè)數(shù)據(jù)模版B)IT平衡記分卡（BSC）C)IT組織架構(gòu)D)歷史的財務(wù)聲明[單選題]174.在復(fù)核客戶服務(wù)器環(huán)境的安全性時，信息系統(tǒng)審計師應(yīng)最關(guān)注下列哪個事項？A)用加密技術(shù)保護(hù)數(shù)據(jù)B)使用無盤工作站防止未經(jīng)授權(quán)的訪問C)用戶直接訪問及修改數(shù)據(jù)庫的能力D)使用戶機(jī)軟驅(qū)無效[單選題]175.當(dāng)組織根據(jù)定義好的恢復(fù)點(diǎn)目標(biāo)（RPO）要求非常細(xì)小的數(shù)據(jù)恢復(fù)點(diǎn)時，下面哪個備份技術(shù)是最適當(dāng)?shù)?？A)虛擬磁帶庫B)基于磁盤的快照C)持續(xù)數(shù)據(jù)備份D)磁盤到磁帶的備份[單選題]176.以下哪項是實(shí)現(xiàn)雙因素用戶身份認(rèn)證的最佳途徑？A)需要用戶個人標(biāo)識號(Pn)才能使用的智能卡B)用戶ID加密碼C)虹膜加指紋掃描D)需要用戶PIN才能使用的磁卡[單選題]177.為確定系統(tǒng)變更控制流程的適當(dāng)性和有效性。以下那個選項是IS審計師可以采用的最佳方案A)觀察接受審計的IS員工所進(jìn)行的系統(tǒng)變更流程B)從受審計系統(tǒng)對源代碼庫的更改進(jìn)行取樣C)與用戶面談詢問其對更改是否滿意D)審查系統(tǒng)文檔，確認(rèn)文檔完整且及時更新[單選題]178.下列哪一項信息系統(tǒng)功能職責(zé)可以由同一個小組或個人來執(zhí)行，同時又能保證適當(dāng)?shù)穆氊?zé)分離?A)安全管理和應(yīng)用程序設(shè)計B)計算機(jī)操作和應(yīng)用程序設(shè)計C)應(yīng)用程序編程和系統(tǒng)分析D)數(shù)據(jù)庫管理和計算機(jī)操作[單選題]179.制訂業(yè)務(wù)連續(xù)性計劃的第一步，也是必不可少的一步是：A)根據(jù)風(fēng)險將應(yīng)用系統(tǒng)分類B)羅列出所有資產(chǎn)的清單C)完整地記錄所有災(zāi)難D)軟件和硬件的可用性[單選題]180.為了協(xié)助正在規(guī)劃IT投資的組織，信息系統(tǒng)審計師應(yīng)該推薦使用：A)項目管理工具B)面向?qū)ο蟮募軜?gòu)C)戰(zhàn)術(shù)規(guī)劃D)企業(yè)架構(gòu)（EA）[單選題]181.定期進(jìn)行安全代碼審查工作屬于哪一種類型的控制？A)整改B)補(bǔ)償C)檢測D)預(yù)防[單選題]182.使用熱站作為備份的優(yōu)點(diǎn)是：A)熱站的費(fèi)用低B)熱站能夠延長使用時間C)熱站在短時間內(nèi)可運(yùn)作D)熱站不需要和主站點(diǎn)兼容的設(shè)備和系統(tǒng)軟件[單選題]183.信息系統(tǒng)審計員發(fā)現(xiàn)企業(yè)對USB存儲設(shè)備沒有使用約束，也沒有訪問使用規(guī)定，對于系統(tǒng)審計員以下哪個選項是最好的推薦？A)使用安全軟件阻止USB端口的數(shù)據(jù)傳輸B)制定一個使用輕便移動設(shè)備的策略C)在數(shù)據(jù)傳輸時使用虛擬專用網(wǎng)絡(luò)（VPN）以確保加密會話D)對所有機(jī)器禁止使用USB接口[單選題]184.對于生物識別控制設(shè)備的性能，最好的整體定量衡量法是？A)誤拒絕率（FRR）B)誤接受率（FAR）C)相等錯誤率（EER）D)估計錯誤率[單選題]185.以下哪一種控制可以最有效地檢測網(wǎng)絡(luò)傳輸中的錯誤群?A)奇偶校驗B)回送檢驗C)塊總和檢驗D)循環(huán)冗余校驗(CR[單選題]186.對于信息系統(tǒng)審計師來說，評估被選定參與審計工作的專家顧問是否適任的最佳方式是什么?A)了解專家的相關(guān)經(jīng)驗B)審查專家顧問公司的行業(yè)聲譽(yù)C)確認(rèn)委托書是否概述了專家的職責(zé)D)審查專家的獨(dú)立性和客觀性[單選題]187.一個WEB、服務(wù)器受到攻擊和泄露。下列哪一項在處理事件時首先被執(zhí)行？A)轉(zhuǎn)儲不穩(wěn)定的存儲數(shù)據(jù)到一個磁盤B)用喪失安全模式運(yùn)行服務(wù)器C)將ＷEB服務(wù)器從網(wǎng)絡(luò)中斷開D)關(guān)閉ＷEB服務(wù)器[單選題]188.用于確保虛擬專用網(wǎng)絡(luò)（VPN）安全性技術(shù)為：A)封裝B)包裝C)裝換D)加密[單選題]189.在審計訪問權(quán)限時，以下哪項權(quán)限被分配給計算機(jī)操作員會使IS審計師感到可疑？A)對數(shù)據(jù)的讀取訪問。B)對交易數(shù)據(jù)文件的刪除訪問。C)對程序的記錄讀取/執(zhí)行訪問D)對作業(yè)控制語言（JCL）/腳本文件的更新訪問。[單選題]190.對以下哪項的頻繁更新是使一個災(zāi)難恢復(fù)計劃持續(xù)有效的關(guān)鍵？A)關(guān)鍵人員的聯(lián)系信息B)服務(wù)器詳細(xì)目錄文檔C)個人角色和職責(zé)D)闡述災(zāi)難的程序[單選題]191.如果某犯罪者企圖獲得訪問網(wǎng)絡(luò)中所傳輸加密數(shù)據(jù)的權(quán)限，從而收集到與其相關(guān)的信息，則可能會通過以下哪種方式：A)竊聽。B)冒充。C)流量分析D)偽裝。[單選題]192.以下哪一項軟件測試方法能夠提供有關(guān)軟件在現(xiàn)場環(huán)境中的性能最佳反饋?A)Alpha測試B)回歸測試C)Beta測試D)白盒測試[單選題]193.數(shù)據(jù)庫系統(tǒng)中并發(fā)控制的目標(biāo)是：A)限制授權(quán)用戶更新數(shù)據(jù)庫B)防止完整性問題，當(dāng)兩個進(jìn)程試圖同時更新相同數(shù)據(jù)時C)防止意外或未經(jīng)授權(quán)泄露數(shù)據(jù)庫數(shù)據(jù)D)確保數(shù)據(jù)的準(zhǔn)確性、完整性和一致性[單選題]194.因為調(diào)整的需要必須要保留很長一段時間的敏感數(shù)據(jù)備份解決方案，哪項是最重要的評估標(biāo)準(zhǔn):A)全備份窗口B)介質(zhì)的成本C)恢復(fù)窗口D)介質(zhì)的可靠性[單選題]195.在審計一家專注于電子商務(wù)的企業(yè)時，信息系統(tǒng)經(jīng)理表明當(dāng)從客戶獲取信息時使用了數(shù)字簽名。要證實(shí)此說法，信息系統(tǒng)審計師應(yīng)證實(shí)以下哪項被應(yīng)用？A)使用生物，數(shù)字，加密參數(shù)的客戶公鑰B)使用客戶私鑰加密并傳輸?shù)墓Ｖ礐)使用客戶公鑰加密并傳輸?shù)墓Ｖ礑)掃描的用戶簽名已使用客戶公鑰加密[單選題]196.以下哪項會削弱質(zhì)量保證團(tuán)隊的獨(dú)立性?A)確保遵循開發(fā)方法B)檢查測試假設(shè)C)修正測試過程中出現(xiàn)的編碼錯誤D)檢查代碼以確保正確記錄[單選題]197.目標(biāo)導(dǎo)向在設(shè)計和開發(fā)技術(shù)中的應(yīng)用最可能：A)使模塊具有重用性B)改進(jìn)系統(tǒng)的性能C)提高操縱有效性D)加快系統(tǒng)開發(fā)的生命周期[單選題]198.通過以下哪一項，可以最佳的實(shí)現(xiàn)最小化未經(jīng)授權(quán)編輯生產(chǎn)程序，作業(yè)控制語言以及操作系統(tǒng)軟件的可能性？A)數(shù)據(jù)庫訪問檢查B)合規(guī)性檢查C)良好的變更控制程序D)有效的網(wǎng)絡(luò)安全軟件[單選題]199.在對一個使用公開密鑰的組織進(jìn)行審計時，基層組織用數(shù)字證書通過互聯(lián)網(wǎng)進(jìn)行交易。下列哪一個是IS審計師要考慮的弱點(diǎn)：A)廣泛分發(fā)證書給客戶，但證書沒有授權(quán)。B)客戶可以從任何一臺計算機(jī)或移動設(shè)備進(jìn)行交易。C)認(rèn)證授權(quán)有幾個數(shù)據(jù)處理子中心。D)組織是認(rèn)證授權(quán)的所有者。[單選題]200.審計師進(jìn)行業(yè)務(wù)連續(xù)性審計時下列哪個是最重要的？A)數(shù)據(jù)備份及時進(jìn)行B)恢復(fù)網(wǎng)站簽訂協(xié)議及可根據(jù)需要使用C)人員安全程序到位D)保險范圍是足夠的和保費(fèi)是已交的，保單有效[單選題]201.以下哪一項是原型設(shè)計的優(yōu)點(diǎn)?A)成品系統(tǒng)通常具有強(qiáng)大的內(nèi)部控制。B)原型系統(tǒng)能夠顯著地節(jié)省時間和成本。C)原型系統(tǒng)的變更控制通常較為簡單。D)原型設(shè)計可確保功能或附加物不會被添加到指定系統(tǒng)。[單選題]202.負(fù)責(zé)對訪問業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行授權(quán)的人員是?A)數(shù)據(jù)所有者。B)安全管理員。C)IT安全經(jīng)理。D)請求者的直屬上司[單選題]203.以下關(guān)于備份站點(diǎn)的說法哪項是正確的A)應(yīng)與原業(yè)務(wù)系統(tǒng)具有同樣的物理訪問控制措施B)應(yīng)容易被找到以便于在災(zāi)難發(fā)生時以備緊急情況的需要C)應(yīng)部署在離原業(yè)務(wù)系統(tǒng)所在地較近的地方D)不需要具有和原業(yè)務(wù)系統(tǒng)相同的環(huán)境監(jiān)控等級[單選題]204.下面那種發(fā)送者鑒定方法是最值得信賴的？A)數(shù)字簽名B)不對稱加密C)數(shù)字證書D)消息鑒定碼[單選題]205.如果不阻止數(shù)據(jù)中心員工上網(wǎng)，以下哪個選項是面臨的最大風(fēng)險A)可能會感染來自未經(jīng)授權(quán)網(wǎng)站的惡意軟件，進(jìn)而感染整個網(wǎng)絡(luò)B)操作人員可能會分心，導(dǎo)致無法為關(guān)鍵的業(yè)務(wù)只能提供技術(shù)支持C)操作人員可能會分心，導(dǎo)致無法及時發(fā)現(xiàn)錯誤或警報D)在線活動會占用過多寬帶，影響其他數(shù)據(jù)中心系統(tǒng)[單選題]206.當(dāng)發(fā)生災(zāi)難時，以下哪一項能保證業(yè)務(wù)交易的有效性A)從當(dāng)前區(qū)域外的地方持續(xù)每小時1次地傳送交易磁帶B)從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C)抓取交易以整合存儲設(shè)備D)從當(dāng)前區(qū)域外的地方實(shí)時傳送交易磁帶[單選題]207.在審查過去定期年度審查的結(jié)果時，信息系統(tǒng)審計師注意到發(fā)現(xiàn)結(jié)果可能未報告,也未保持獨(dú)立性，以下哪一項時審計師最佳行動步驟:A)告知審計管理部門B)重新執(zhí)行過去的審計以確保獨(dú)立性C)重新評估內(nèi)部控制D)告知高級管理層[單選題]208.某IS審計師正在審查某應(yīng)用程序的訪問權(quán)限，以確定最近添加的帳戶是否經(jīng)過適當(dāng)授權(quán)。這是以下哪一項的示例?A)變量抽樣。B)實(shí)質(zhì)性測試。C)符合性測試。D)停-走抽樣。[單選題]209.在收集司法證據(jù)時，以下哪個行動最有可能導(dǎo)致破壞或損失在被入侵的系統(tǒng)里發(fā)現(xiàn)的證據(jù)？A)轉(zhuǎn)儲內(nèi)存到文件里B)創(chuàng)建被入侵系統(tǒng)的磁盤鏡像C)重啟系統(tǒng)D)從網(wǎng)絡(luò)里移除系統(tǒng)[單選題]210.IS審計師應(yīng)使用下列哪項來檢測發(fā)票主文件中是否存在重復(fù)的發(fā)票記錄?A)屬性抽樣B)計算機(jī)輔助審計技術(shù)C)符合性測試D)集成測試設(shè)施(IT[單選題]211.應(yīng)該首先審閱：A)IT基礎(chǔ)架構(gòu)B)企業(yè)的管理政策、標(biāo)準(zhǔn)和流程C)法律和法規(guī)的要求D)企業(yè)的管理政策、標(biāo)準(zhǔn)和流程是否得到有效的執(zhí)行[單選題]212.制定風(fēng)險管理方案時，首先執(zhí)行以下哪項活動?A)評估威脅B)對數(shù)據(jù)進(jìn)行分類C)清點(diǎn)資產(chǎn)D)分析重要性[單選題]213.對業(yè)務(wù)流程自動化項目進(jìn)行實(shí)施后審查的主要目標(biāo)是:A)確保項目滿足預(yù)期的業(yè)務(wù)要求。B)評估控制的充分性。C)確認(rèn)符合技術(shù)標(biāo)準(zhǔn)。D)確認(rèn)符合法規(guī)要求。[單選題]214.IS審計師在審查虛擬專用網(wǎng)絡(luò)（VPN）實(shí)施情況時，以下哪種情況最令其擔(dān)憂？網(wǎng)絡(luò)中的計算機(jī)位于：A)企業(yè)的內(nèi)部網(wǎng)絡(luò)。B)備用站點(diǎn)。C)員工家里。D)企業(yè)的遠(yuǎn)程辦公室。[單選題]215.數(shù)據(jù)機(jī)密性是公司新Web服務(wù)的一項要求。以下哪一項將提供最好的保護(hù)？A)安全套接字層（SSL）B)安全文件傳輸協(xié)議（SFTP）C)遠(yuǎn)程登錄（Telnet）D)傳輸層安全（TLS）[單選題]216.以下哪一類設(shè)備可以延伸網(wǎng)路，具有存儲資料幀的能力并作為存儲轉(zhuǎn)發(fā)設(shè)備工作？A)路由器B)網(wǎng)橋C)中繼器D)網(wǎng)關(guān)[單選題]217.一個組織的IT主管已批準(zhǔn)為一個顧問小組在會議室通過他們自己的筆記本接入互聯(lián)網(wǎng)而安裝一個無線局域網(wǎng)（WLAN）。防止未經(jīng)授權(quán)的訪問公司服務(wù)器的最好的控制措施是確保：A)接入點(diǎn)上的加密已啟用；B)會議室網(wǎng)絡(luò)是建立在一個分開的虛擬局域網(wǎng)（VLAN）上；C)在顧問小組的筆記本電腦上應(yīng)用了防病毒簽名和最新補(bǔ)丁版本；D)禁止了默認(rèn)的用戶ID并且在公司服務(wù)器上設(shè)置了強(qiáng)力的密碼。[單選題]218.為了保證兩方之間的消息完整性，保密性和抗否認(rèn)性，最有效的方法是生成一個消息摘要，生成摘要的方法是將加密散列(hA、sh)算法應(yīng)用在：A)整個消息上，用發(fā)送者的私鑰加密消息摘要，用對稱密鑰加密消息，用接收者的公鑰加密（對稱）密鑰。B)消息的任何部分上，用發(fā)送者的私鑰加密消息摘要，用對稱密鑰加密消息，用接收者的公鑰加密（對稱）密鑰。C)整個消息，用發(fā)送者的私鑰加密消息摘要，用對稱密鑰加密消息，用接收者的公鑰加密密文和摘要。D)整個消息，用發(fā)送者的私鑰加密消息摘要，用接收者的公鑰加密消息。[單選題]219.采購部門使用的會議室有網(wǎng)絡(luò)端口，可連接到公司網(wǎng)絡(luò)。有時允許供應(yīng)商公司的銷售代表將便攜式計算機(jī)連接此端口，以進(jìn)行基于Web的演示。與此操作相關(guān)的最可能的風(fēng)險是銷售人可能：A)危害電子郵件服務(wù)器，盜取電子郵件列表以用作銷售線索B)安裝轉(zhuǎn)換軟件來監(jiān)視關(guān)鍵決策人員的通信。C)其PC上帶有病毒，感染網(wǎng)絡(luò)上的主機(jī)。D)在其PC安裝路由器，中斷網(wǎng)絡(luò)通信。[單選題]220.以下哪可作為誘餌來檢測主動互聯(lián)網(wǎng)攻擊？A)蜜罐（Honeypot）B)防火墻C)陷阱門D)流量分析[單選題]221.IS審計師獲取充分和合適的審計證據(jù)的最重要的原因是：A)遵從法規(guī)的要求B)提供推導(dǎo)出合理結(jié)論的基礎(chǔ)C)確認(rèn)完整的審計內(nèi)容D)根據(jù)定義的范圍執(zhí)行審計[單選題]222.資料編輯屬于：A)預(yù)防性控制B)檢測性控制C)糾正性控制D)補(bǔ)償控制[單選題]223.IT控制目標(biāo)對審計師來說很有用，因為他們提供了理解下面什么的基礎(chǔ):A)實(shí)施了特殊控制過程之后的期望結(jié)果或者目標(biāo)B)與特定實(shí)體相關(guān)的最佳IT安全控制實(shí)踐C)信息安全技術(shù)D)安全策略[單選題]224.供應(yīng)商發(fā)布補(bǔ)丁程序修補(bǔ)軟件中的安全漏洞，IS審計師在這種情況下應(yīng)該如何建議？A)在安裝前評估補(bǔ)丁的影響B(tài))要求供應(yīng)商提供了一個包括所有補(bǔ)丁的新的技術(shù)C)立即安裝安全補(bǔ)丁D)在以后減少與這些供應(yīng)商的交易[單選題]225.要優(yōu)化企業(yè)的業(yè)務(wù)連續(xù)計劃（BCP）。審計師應(yīng)建議業(yè)務(wù)影響分析（BIA），以確定：A)業(yè)務(wù)流程為組織創(chuàng)造最大的經(jīng)濟(jì)價值，因此，首先必須恢復(fù)B)優(yōu)先事項和恢復(fù)秩序以確保和本組織的業(yè)務(wù)戰(zhàn)略保持一致C)企業(yè)關(guān)鍵業(yè)務(wù)必須在災(zāi)難后恢復(fù)，以確保組織生存D)優(yōu)先事項和恢復(fù)秩序?qū)⒃诙唐趦?nèi)盡可能多的恢復(fù)[單選題]226.IS審計師正在審使用敏捷軟件開發(fā)方法的項目。該IS審計師會希望看到以下哪種情況?A)能力成熟度模型(CMM)的使用B)根據(jù)日程定期監(jiān)控任務(wù)進(jìn)度C)廣泛使用軟件開發(fā)工具以最大限度提高團(tuán)隊生產(chǎn)力D)執(zhí)行送代后審查，總結(jié)可應(yīng)用到未來項目中的經(jīng)驗教訓(xùn)[單選題]227.電子數(shù)據(jù)交換(EDI)可以為組織帶來重大利益，但前提是必須清除某些障礙。要想成功實(shí)施電子數(shù)據(jù)交換，應(yīng)從以下哪一項開始？A)畫出為實(shí)現(xiàn)組織目標(biāo)所開展的經(jīng)營活動的流程圖B)為EDI系統(tǒng)購買新的硬件C)選擇可靠的應(yīng)用軟件和通訊軟件供應(yīng)商D)將交易格式、數(shù)據(jù)標(biāo)準(zhǔn)化[單選題]228.減輕網(wǎng)絡(luò)釣魚攻擊風(fēng)險的最好方法是什么？A)實(shí)施入侵檢測系統(tǒng)（IDS)B)評估網(wǎng)站安全性C)強(qiáng)身份認(rèn)證D)用戶教育[單選題]229.在應(yīng)用程序開發(fā)項目的系統(tǒng)測試階段，IS審計師應(yīng)當(dāng)審查：A)概要設(shè)計文檔B)開發(fā)商合同C)錯誤報告D)程序變更請求[單選題]230.一項應(yīng)用程序開發(fā)工作外包給了離岸供應(yīng)商。以下哪個選項最令I(lǐng)S審計師關(guān)注A)合同中未包括審計權(quán)力條款B)未建立業(yè)務(wù)案例C)沒有源代碼第三方托管協(xié)議D)合同中沒有包括變更管理流程[單選題]231.IS審計師審查數(shù)據(jù)庫應(yīng)用系統(tǒng)時，發(fā)現(xiàn)當(dāng)前配置不符合原來的結(jié)構(gòu)設(shè)計。審計師下一步將采取什么行動？A)分析結(jié)構(gòu)變化的必要性B)建議恢復(fù)原來的結(jié)構(gòu)設(shè)計C)建議實(shí)施變更控制過程D)確定是否修改得到批準(zhǔn)[單選題]232.組織中的多個部門到商定的目標(biāo)日期為止，尚未實(shí)施審計建議事項，誰應(yīng)該解決這種情況?A)外部審計師B)高級管理層C)部門經(jīng)理D)內(nèi)部審計負(fù)責(zé)人[單選題]233.一個制造商正在開發(fā)一個新的數(shù)據(jù)庫系統(tǒng)，該系統(tǒng)用來處理批量訂單所生產(chǎn)的產(chǎn)品的有關(guān)數(shù)據(jù)。工作人員每天要回答客戶提出的有關(guān)訂貨的生產(chǎn)情況。完工的訂貨在每天晚上要成批地打印出發(fā)票。對生產(chǎn)數(shù)據(jù)最好的訪問方法是：A)索引順序的。B)直接的。C)雜亂無章的。D)順序的。[單選題]234.IS審計師應(yīng)當(dāng)審查以下哪一項，以確保服務(wù)器經(jīng)過最優(yōu)配置以支援處理要求?A)基準(zhǔn)指標(biāo)測試結(jié)果B)服務(wù)器日志C)故障報告D)服務(wù)器利用的數(shù)據(jù)[單選題]235.某數(shù)據(jù)中心有一個證章進(jìn)入系統(tǒng)。以下哪項對于保護(hù)該中心的計算資產(chǎn)來說最重要？A)在可察覺到篡改的位置安裝證章閱讀器B)經(jīng)常對控制證章系統(tǒng)的計算機(jī)進(jìn)行備份C)存在立即停用已丟失或被盜證章的流程D)記錄所有證章進(jìn)入嘗試[單選題]236.白盒測試的具體優(yōu)點(diǎn)是A)能夠檢查程序是否可與系統(tǒng)的其他部分一起正常運(yùn)行。B)在不考慮程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C)能夠確定程序準(zhǔn)確性或某程序的特定邏輯路徑的狀態(tài)D)通過在限制訪問主機(jī)系統(tǒng)的嚴(yán)格受控或虛擬環(huán)境中執(zhí)行程序功能性而對其進(jìn)行檢查。[單選題]237.一個雇員收到一個數(shù)碼相框的禮物，并把它連接到他/她的工作電腦傳輸數(shù)碼相片。這個情況的主要風(fēng)險是：A)相框的存儲介質(zhì)可以用來竊取公司數(shù)據(jù)。B)相框驅(qū)動程序可能和用戶的電腦部兼容從而造成系統(tǒng)崩潰。C)雇員可能將不雅的照片帶進(jìn)辦公室。D)相框有可能感染了惡意軟件。[單選題]238.為減輕來自內(nèi)部人員攻擊對企業(yè)數(shù)據(jù)安全的威脅，下面那一個選項是最好的？A)正式確定企業(yè)的信息安全策略B)為員工提供安全培訓(xùn)C)為關(guān)鍵崗位提供有競爭力的薪酬D)對潛在的員工實(shí)施充分的背景審查[單選題]239.信息系統(tǒng)審計師在進(jìn)行審計時發(fā)現(xiàn)存在病毒，后續(xù)步驟應(yīng)為？A)觀察反應(yīng)機(jī)制B)從網(wǎng)絡(luò)上清除病毒C)立刻通知相關(guān)人員D)確保病毒被清除[單選題]240.下列哪項是用于降低風(fēng)險的機(jī)制？A)安全和控制實(shí)踐B)財產(chǎn)和責(zé)任保險C)審計與認(rèn)證D)合同和服務(wù)水平協(xié)議[單選題]241.以下哪項可以幫助IS審計師評估已開發(fā)并實(shí)施的新軟件的質(zhì)量?A)報告故障的平均間隔時間B)修復(fù)故障的總體平均時間C)首次報告的故障平均間隔時間D)修復(fù)故障的總體響應(yīng)時間[單選題]242.在C、/S環(huán)境下，IS審計員檢查的訪問控制時首先應(yīng)：A)評估加密技術(shù)B)確認(rèn)網(wǎng)絡(luò)訪問點(diǎn)C)檢查認(rèn)證管理系統(tǒng)D)檢查應(yīng)用層面的訪問控制[單選題]243.企業(yè)的風(fēng)險偏好最好由以下哪項確定:A)首席法務(wù)官。B)安全管理人員C)審計委員會。D)督導(dǎo)委員會。[單選題]244.以下哪一項是有效的IT投資管理的最佳指標(biāo)?A)為每個需要IT投資的業(yè)務(wù)定義關(guān)鍵績效指標(biāo)KPIB)IT投資已映射到特定的業(yè)務(wù)目標(biāo)C)根據(jù)系統(tǒng)開發(fā)生命周期實(shí)施和監(jiān)控IT投資D)IT投資預(yù)算大大低于行業(yè)基準(zhǔn)[單選題]245.IT資產(chǎn)管理層審查發(fā)現(xiàn)，路由器和交換機(jī)在處置前沒有經(jīng)過消毒。這種情況的最大擔(dān)憂是什么？A)配置文件可能會從設(shè)備中提取并危及網(wǎng)絡(luò)安全B)員工沒有遵守企業(yè)的消毒政策和程序C)機(jī)密數(shù)據(jù)文件可能會從設(shè)備中提取并導(dǎo)致隱私泄露D)消毒不是IT部門安全意識培訓(xùn)計劃的一部分[單選題]246.對一個使用?系統(tǒng)開發(fā)生命周期?方法的項目而言，其階段和提交件應(yīng)該在下列哪個時候決定？A)在項目啟動計劃階段B)在早期計劃完成后，在實(shí)際工作開始之前C)整個工作過程中，基于風(fēng)險和暴露問題的D)只有在所有風(fēng)險和暴露問題被確認(rèn)及信息系統(tǒng)審計員建議合適的控制后[單選題]247.在互聯(lián)網(wǎng)上用cookie從事下列哪一項活動時，會構(gòu)成最嚴(yán)重的安全威脅?A)從主機(jī)服務(wù)器下載文件B)傳發(fā)電子郵件和網(wǎng)際協(xié)議IP地址C)使用用戶名和密碼來鑒別身份D)從認(rèn)證機(jī)構(gòu)CA取得公共秘鑰[單選題]248.當(dāng)實(shí)施在一個貿(mào)易伙伴的服務(wù)器上的數(shù)據(jù)通過安全套接層（SSL）加密時，以下哪個會受到關(guān)注？A)組織沒有控制加密B)消息受制于搭線竊聽C)數(shù)據(jù)可能不能到達(dá)目的接受者D)通信可能不安全[單選題]249.IS管理人員告訴IS審計師，組織最近達(dá)到了軟件能力成熟度模型的最高水平，那么最近組織增加的軟件質(zhì)量流程是：A)持續(xù)改進(jìn)B)量化的質(zhì)量目標(biāo)C)文檔化流程D)為某一特殊項目定制的流程[單選題]250.以下哪一項最能向信息系統(tǒng)審計師表明管理層的實(shí)施后分析是有效的?A)實(shí)施后分析是系統(tǒng)開發(fā)生命周期(SDLC)中的一個正式階段B)完成了內(nèi)部后續(xù)審計，且沒有發(fā)現(xiàn)任何情況C)吸取的經(jīng)驗教訓(xùn)已記錄存檔并加以應(yīng)用D)業(yè)務(wù)和IT相關(guān)人員參與了實(shí)施后分析[單選題]251.下列哪一項最能確保組織的廣域網(wǎng)絡(luò)的連續(xù)性？A)，內(nèi)置變更路由B)，每日完成完全的系統(tǒng)備份C)，維保合同與服務(wù)提供商D)，每臺服務(wù)器的做雙機(jī)[單選題]252.當(dāng)接收到EDI交易並將其傳送到通信接口後，通常會：A)對相關(guān)的交易進(jìn)行轉(zhuǎn)譯和解除綁定操作B)進(jìn)行路由校驗C)把有關(guān)數(shù)據(jù)傳送到適當(dāng)?shù)膽?yīng)用系統(tǒng)D)創(chuàng)建對應(yīng)的接收審計記錄[單選題]253.災(zāi)難恢復(fù)計劃解決的是以下哪方面的需求？A)業(yè)務(wù)連續(xù)性計劃的技術(shù)層面B)業(yè)務(wù)連續(xù)性計劃的運(yùn)行部門C)業(yè)務(wù)連續(xù)性計劃的功能方面D)業(yè)務(wù)連續(xù)性計劃的所有協(xié)調(diào)工作[單選題]254.編制審計報告時，IS審計師應(yīng)確保審計結(jié)果得到下列哪項支持:A)IS管理人員的聲明。B)其他審計師的工作底稿。C)組織控制自我評估。D)充分恰當(dāng)?shù)膶徲嬜C據(jù)。[單選題]255.一家大型銀行實(shí)施IT審計的過程中，IS審計師發(fā)現(xiàn)許多業(yè)務(wù)應(yīng)用沒有執(zhí)行正規(guī)的風(fēng)險評估，也沒有確定其重要性和恢復(fù)時間上的要求。那么，這些暴露的銀行風(fēng)險是：A)業(yè)務(wù)連續(xù)性計劃（BCP）可能沒有與銀行各應(yīng)用被破壞的風(fēng)險相對應(yīng)B)業(yè)務(wù)連續(xù)計劃（BCP）可能沒有包含所有相關(guān)應(yīng)用，因此，在范圍上不完整C)領(lǐng)導(dǎo)或許沒有正確認(rèn)識災(zāi)難對業(yè)務(wù)的影響D)業(yè)務(wù)連續(xù)性計劃（BCP）或許缺少有效的業(yè)務(wù)所有者關(guān)系[單選題]256.一個IS審計師審計一個金融組織的災(zāi)難恢復(fù)計劃（DRP）過程中發(fā)現(xiàn)了以下內(nèi)容：現(xiàn)有的災(zāi)難恢復(fù)計劃是兩年前的，由組織IT部門的系統(tǒng)分析師使用業(yè)務(wù)部的交易流量預(yù)測的。該計劃交給了行政總裁副批準(zhǔn)，待正式發(fā)布，但仍然在等待他的審批。該計劃一直沒有得到更新，測試或并交給管理和工作人員，雖然訪談表明，當(dāng)災(zāi)難發(fā)生時每個人都知道采取什么樣的行動。IS審計師得報告中應(yīng)該有怎樣的建議：A)副總裁應(yīng)該為沒有批準(zhǔn)計劃而被問責(zé)B)應(yīng)該成立高級管理層位于委員會審查現(xiàn)有的計劃C)現(xiàn)有的計劃應(yīng)該批準(zhǔn)并在所有的關(guān)鍵管理者和員工之間傳閱D)需要一個協(xié)調(diào)者，在規(guī)定的時間內(nèi)，新建一個計劃或者修訂原有DRP計劃[單選題]257.能涵蓋損失的最好的保險單類型是：A)基本保險單B)擴(kuò)展保險單C)特殊的涵蓋所有風(fēng)險的保險單D)與風(fēng)險類型相稱的保險[單選題]258.下列哪一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的容錯性能最高:A)總線結(jié)構(gòu)B)環(huán)形結(jié)構(gòu)C)星形結(jié)構(gòu)D)網(wǎng)狀結(jié)構(gòu)[單選題]259.在網(wǎng)上銀行應(yīng)用程序中，以下哪項最能防止身份盜用？A)加密個人密碼B)限制用戶使用特定終端C)雙因素身份認(rèn)證D)定期審查訪問日志[單選題]260.以下哪一種生物識別方法具有最高可靠性和最低誤受率（FAR）A)手掌掃描B)面部識別C)視網(wǎng)膜掃描D)手部幾何1.答案:A解析:控制自我評價（C、SA、）方法強(qiáng)調(diào)管理和問責(zé)制為發(fā)展和監(jiān)督組織的業(yè)務(wù)流程。C、SA、的屬性包括雇員授權(quán)、持續(xù)改進(jìn)、廣泛的員工參與管理和培訓(xùn)，所有這些都代表了廣泛的利益相關(guān)者的參與。選B、C、D、是傳統(tǒng)審計方法的屬性。2.答案:B解析:單擊登錄包括多個應(yīng)用程序使用相同密碼，當(dāng)訪問多個應(yīng)用系統(tǒng)時這將非常效的降低遺忘密碼的概率。減少密碼長度將增加密碼被破解的風(fēng)險。兩個驗證因子不是不是被期望解決密碼問題的應(yīng)用。容許使用以前的密碼可能危害密碼安全。3.答案:A解析:大量的模塊被打上了補(bǔ)丁，且接口涉及多個系統(tǒng)，系統(tǒng)測試是最適當(dāng)?shù)摹＝涌跍y試不充分，負(fù)載和黑盒測試在此情況下不適當(dāng)。4.答案:D解析:5.答案:A解析:該公司當(dāng)前具有VPN；身份認(rèn)證和機(jī)密性等問題已通過VPN隧道得以實(shí)施。聲音傳輸?shù)碾[私性由VPN協(xié)議保證。因此，可靠性和QOS是要首先考慮的注意事項。6.答案:A解析:A.讓所有級別的管理人員和系統(tǒng)用戶熟悉書面安全政策框架和目的，對于成功實(shí)施和維護(hù)安全策至關(guān)重要。如果一項政策沒有落實(shí)到日常行為中，便不會有效。B.毫無疑問，管理人員的支持和承諾很重要，但要成功實(shí)施和維護(hù)安全政策，最重要的是讓用戶了解安全的重要性。C.政策的執(zhí)行需要處罰措施，但處罰不是成功實(shí)行的關(guān)鍵。D.通過訪問控制軟件嚴(yán)格執(zhí)行、監(jiān)督和實(shí)施安全規(guī)則以及對違反安全規(guī)則的行為實(shí)施處罰很重要,但這仍依賴于管理人員和用戶的支持及對安全重要性的教育。7.答案:A解析:8.答案:A解析:尾隨這一概念對所有建立的物理控制都有危害作用。選項B在災(zāi)難恢復(fù)環(huán)境中無需多作注意。選項C中的物品并不容易復(fù)制。對于選項D，盡管技術(shù)在不斷發(fā)展變化，但是卡密鑰已經(jīng)存在一段時間，而且在可預(yù)見的將來它仍是一個可行的選擇。9.答案:C解析:10.答案:B解析:IS審計師通常不會在項目進(jìn)度方面提出建議，而是會