CISA考試練習(xí)(習(xí)題卷5)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷5)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共260題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.信息系統(tǒng)審計師擔(dān)心未經(jīng)授權(quán)的用戶可能通過尾隨在后面等方式訪問高度敏感的數(shù)據(jù)中心，以下哪一項是信息系統(tǒng)審計師的最佳建議?A)入侵警報器B)雙道門C)生物特征D)訪問者陪同措施[單選題]2.在審查一個進行中的項目時，IS審計師注意到由于預(yù)期收益有所減少且成本有所增加，因此業(yè)務(wù)案例不再有效。IS審計師應(yīng)建議A)中斷項目。B)更新業(yè)務(wù)案例并采取可行的糾正措施。C)將項目退回項目發(fā)起人進行重新審批。D)繼續(xù)完成項目，日后再更新業(yè)務(wù)案例。[單選題]3.發(fā)送消息的同時也發(fā)送由該發(fā)送者私鑰加密的消息哈希將確保：A)真實性和完整性B)真實性和隱私性C)完整性和隱私性D)隱私性和不可否認性[單選題]4.缺乏最高級管理層的對IT戰(zhàn)略規(guī)劃的承諾最可能的影響是？A)技術(shù)的投資不足B)缺乏系統(tǒng)開發(fā)的方法論C)技術(shù)和組織的目標不一致D)對技術(shù)合同缺乏控制[單選題]5.在進行業(yè)務(wù)持續(xù)審計的時候，審計師發(fā)現(xiàn)業(yè)務(wù)持續(xù)計劃僅僅覆蓋到了關(guān)鍵流程，那么審計師應(yīng)該:A)建議業(yè)務(wù)持續(xù)計劃涵蓋所有業(yè)務(wù)流程B)評估未包含業(yè)務(wù)流程的影響C)將發(fā)現(xiàn)報告給IT經(jīng)理D)重新定義關(guān)鍵流程[單選題]6.對重要的第三方應(yīng)用程序執(zhí)行審查時，IS審計師在發(fā)現(xiàn)以下哪種情況時最為關(guān)注：A)不具備充分的流程，以確保系統(tǒng)存在足夠的可移植性B)不具備足夠的系統(tǒng)操作文檔C)不具備恰當(dāng)?shù)膫溥x服務(wù)提供商列表D)不具備恰當(dāng)?shù)能浖谌酵泄軈f(xié)議[單選題]7.以下哪種方法是防止便攜式計算機機密信息泄露的最有效的方法？A)用所有者的公鑰對硬盤進行加密處理B)激活引導(dǎo)口令（硬件設(shè)置口令）C)利用生物識別設(shè)備D)利用雙因子識別技術(shù)將登陸信息寫入記事本[單選題]8.下面哪一種關(guān)于安全的說法是不對的？A)加密技術(shù)的安全性不應(yīng)大于使用該技術(shù)的人的安全性B)任何電子郵件程序的安全性不應(yīng)大于實施加密的計算機的安全性C)加密算法的安全性與密鑰的安全性一致D)每個電子郵件消息的安全性是通過用標準的非隨機的密鑰加密來實現(xiàn)[單選題]9.在實施IT平衡記分卡時，組織必須:A)提供有效且高效率的服務(wù)。B)定義關(guān)鍵績效指標C)為IT項目提供業(yè)務(wù)價值。D)控制IT開支。[單選題]10.在對企業(yè)數(shù)據(jù)中心的系統(tǒng)預(yù)防性維護流程進行審查期間，IS審計師認定，所有關(guān)鍵的計算、供電和冷卻系統(tǒng)都得到了恰當(dāng)?shù)木S護。此外，對IS審計師而言，最重要的是要確保組織A)已對所有服務(wù)人員進行背景調(diào)查。B)服務(wù)人員在工作執(zhí)行期間得到全程陪同。C)在非關(guān)鍵處理期間執(zhí)行維護。D)單獨驗證正在執(zhí)行維護。[單選題]11.評估IT外包策略時，策略中包括以下哪一項時IS審計師最為關(guān)注A)法律合規(guī)性責(zé)任的轉(zhuǎn)移B)推動簽訂長期而非短期合同C)僅以子公司作為外包對象D)沒有成立跨職能合同管理團隊[單選題]12.以下哪種情況會增加欺詐行為的可能性?A)應(yīng)用程序開發(fā)人員正在執(zhí)行對生產(chǎn)程序的變更。B)管理員正在對供應(yīng)商提供的軟件實施供應(yīng)商補丁，但沒有遵守變更控制流程。C)操作支持人員正在執(zhí)行對批量計劃的變更D)數(shù)據(jù)庫管理員正在執(zhí)行對數(shù)據(jù)結(jié)構(gòu)的變更。[單選題]13.以下哪種為開發(fā)客戶端應(yīng)用程序時的普遍風(fēng)險？A)應(yīng)用程序可能不會被測試和IT一般控制B)增加開發(fā)和維護成本C)增加應(yīng)用程序開發(fā)時間D)決策可能由于當(dāng)請求信息時響應(yīng)效率的降低而受到削弱[單選題]14.IS審計師發(fā)現(xiàn)，某個組織的財務(wù)部門和營銷部門有關(guān)產(chǎn)品收益率的報告分別給出了不同的結(jié)果。通過進一步的調(diào)查發(fā)現(xiàn)，這兩個部門所使用的產(chǎn)品定義不同。該S審計師應(yīng)該建議以下哪個選項A)所有報告發(fā)布到生產(chǎn)之前進行用戶驗收測試(UAT)B)實施組織的數(shù)據(jù)治理實務(wù)C)針對報告開發(fā)使用標準軟件工具D)管理部門對新報告的要求簽字認可[單選題]15.一個備份站點包括電線、空調(diào)和地板，但不包括計算機和通訊設(shè)備，那么它屬于A)冷站B)溫站C)直線站點D)鏡像站點[單選題]16.某個組織已經(jīng)外包了其IT客戶服務(wù)活動。IS審計師在審查該組織與供應(yīng)商之間的合同及相關(guān)服務(wù)等級協(xié)議(SLA)時，最應(yīng)關(guān)注的是以下哪個選項的規(guī)定:A)關(guān)于員工背景調(diào)查的文檔。B)獨立審計報告或完全的審計訪問權(quán)限C)報告逐年遞增的成本降低D)報告員工流失、發(fā)展或培訓(xùn)[單選題]17.某金融機構(gòu)每天要處理大量的交易，其配備了一臺連接到自動提款機(ATMの的中央通信處理器(交換機).以下哪項應(yīng)急計劃對該通信處理器最有利?A)與另一個組織簽訂互惠協(xié)議B)在相同位置安裝備用處理器C)在另一個網(wǎng)絡(luò)節(jié)點安裝備用處理器D)安裝雙工通信線路[單選題]18.組織財務(wù)系統(tǒng)的災(zāi)難恢復(fù)計劃規(guī)定，恢復(fù)點目標(RPO)為零，并且恢復(fù)時間目標(RTO)為72小時。下列哪一項是最具成本效益的解決方案?A)熱備援中心可在八小時內(nèi)投入使用，并對交易日志記錄進行異步備份B)對多個位置處的分布式數(shù)據(jù)庫系統(tǒng)進行異步更新C)對熱備援中心中的數(shù)據(jù)和備用系統(tǒng)進行同步更新D)對于可在48小時內(nèi)投入使用的溫備援中心，以遠程方式同步復(fù)制其中的數(shù)據(jù)[單選題]19.在設(shè)計航空預(yù)定系統(tǒng)的業(yè)務(wù)連續(xù)性計劃時，遠程數(shù)據(jù)傳輸/備份的最好方法是：A)shA、D、ow文件進程B)電子鏈接C)磁盤鏡像D)熱站[單選題]20.用雙門安全系統(tǒng)控制人員訪問計算機設(shè)備的主要目的是：A)防止跟隨。B)防止有毒氣體進入數(shù)據(jù)中心。C)隔離氧氣以防火。D)防止過快進入或離開設(shè)備。[單選題]21.下列哪一項最有助于降低某設(shè)備獲取其他設(shè)備的數(shù)據(jù)包的可能性?A)集線器B)交換機C)路由器D)防火墻[單選題]22.在業(yè)務(wù)連續(xù)性計劃（BCP）中，下面哪個求救電話目錄是最重要的？A)先聯(lián)系設(shè)備供貨商和電力、通訊等資源B)先聯(lián)系保險公司C)先聯(lián)系人力中介公司D)已排定優(yōu)先級的聯(lián)絡(luò)表（緊急救援電話表）[單選題]23.在銀行信息系統(tǒng)審計期間，信息系統(tǒng)審計員評估是否企業(yè)對員工訪問操作系統(tǒng)進行了適當(dāng)?shù)墓芾?，信息系統(tǒng)審計人員應(yīng)該判斷是否企業(yè)執(zhí)行了：A)定期檢查用戶活動日志B)在特定領(lǐng)域登記核實用戶授權(quán)C)檢查數(shù)據(jù)通信活動日志D)定期檢查改變的數(shù)據(jù)文件[單選題]24.信息系統(tǒng)審計師對網(wǎng)絡(luò)操作系統(tǒng)進行審計，下列哪項用戶特征是信息系統(tǒng)審計師應(yīng)該審閱的？A)在線網(wǎng)絡(luò)文件的可獲得性B)支持訪問遠程主機的終端C)在主機和用戶之間處理文件的傳輸D)實施管理、審計和控制[單選題]25.以下哪一項是幫助防止敏感數(shù)據(jù)通過電子郵件流出企業(yè)的最佳控制？A)進行定期網(wǎng)絡(luò)釣魚（phishing）測試B)阻止未加密發(fā)送出站的電子郵件C)掃描外發(fā)電子郵件D)為員工提供加密解決方案[單選題]26.IT指導(dǎo)委員會評審信息系統(tǒng)主要是為了評估？A)IT流程是否支持業(yè)務(wù)需求B)系統(tǒng)功能是否充足C)現(xiàn)有軟件的穩(wěn)定D)以安裝的技術(shù)的復(fù)雜性[單選題]27.下面哪一項是防止筆記本電腦中機密信息泄漏的最好方法？A)用所有者的公鑰對硬盤進行加密。B)啟用啟動密碼（基于硬件的密碼）。C)應(yīng)用生物識別身份認證設(shè)備。D)使用雙因素身份認證登錄該筆記本電腦。[單選題]28.在較小的組織中，開發(fā)人員可能會將緊急變更直接發(fā)布到生產(chǎn)。在這種情況下，以下哪一項能夠最好地控制風(fēng)險?A)在下一個營業(yè)日審批和記錄變更。B)將開發(fā)人員對生產(chǎn)的訪問權(quán)限限制在特定時間范圍內(nèi)C)在發(fā)布到生產(chǎn)之前獲得第二次審核。D)禁用生產(chǎn)計算機中的編譯器選項。[單選題]29.做下面哪一項在峰值使用時間回導(dǎo)致以外掉線？A)進行數(shù)據(jù)遷移或磁帶備份B)進行電子系統(tǒng)預(yù)防性維護C)將應(yīng)用從開發(fā)環(huán)境提升到生產(chǎn)系統(tǒng)D)替換數(shù)據(jù)中的主要路由器的供電配件[單選題]30.某公司為采用一種客戶直銷的新方法而實施業(yè)務(wù)流程再造(BPR)項目。對于新流程，IS審計師應(yīng)最關(guān)注以下哪一項?A)是否存在保護資產(chǎn)和信息資源的關(guān)鍵控制B)系統(tǒng)是否符合公司客戶要求C)系統(tǒng)能否滿足績效目標(時間和資源D)新系統(tǒng)是否支持職責(zé)分離[單選題]31.以下哪一項是用以確定執(zhí)行跟蹤審計過程時間表的最重要標準？A)與安排的下一次審計之間的協(xié)調(diào)B)來自發(fā)現(xiàn)結(jié)果的風(fēng)險暴露C)被審計單位的時間許可D)審計資源的可用性[單選題]32.在實施企業(yè)資源規(guī)劃(ERP)系統(tǒng)期間，信息系統(tǒng)審計師正在審查用戶驗收測試UAT結(jié)果，審計師應(yīng)確定的主要焦點應(yīng)是確定:A)測試流程中發(fā)現(xiàn)的所有錯誤是否已得到正B)是否已經(jīng)圓滿測試了應(yīng)用程序接口C)系統(tǒng)集成測試是否已進行D)業(yè)務(wù)流程所有者是否已經(jīng)同意并簽署測試結(jié)果[單選題]33.下列數(shù)據(jù)庫管理員（DBA）進行的活動中，應(yīng)該由不同的人執(zhí)行？A)刪除數(shù)據(jù)庫活動日志B)數(shù)據(jù)庫優(yōu)化工具的使用C)檢測數(shù)據(jù)庫的使用D)備份和恢復(fù)定義的使用[單選題]34.管理層讓一個初級IS審計師用他最佳的判斷力來準備并發(fā)布一個最終報告，因為沒有可用的其他高級IS審計師來檢查其工作報告。這種情況最主要的風(fēng)險是？A)由于審計沒有按照標準執(zhí)行而造成聲譽損失B)審計報告不能識別和分類關(guān)鍵風(fēng)險C)客戶管理者會質(zhì)疑其結(jié)果D)審計報告可能不會被審計經(jīng)理所批準[單選題]35.當(dāng)回顧外包IT服務(wù)提供商時，以下哪項為信息系統(tǒng)審計師的主要關(guān)注點？A)服務(wù)提供商成本最小化B)禁止供應(yīng)商轉(zhuǎn)包服務(wù)C)評估將知識轉(zhuǎn)交給IT部門的流程D)確定服務(wù)是否和合同相符[單選題]36.下列哪一項技術(shù)最能幫助信息系統(tǒng)審計師獲得有關(guān)項目滿足它的目標日期的合理保證？A)根據(jù)情況報告，在已完成的百分比和估計完成的時間的基礎(chǔ)上評估實際結(jié)束日期。B)在與參與已交付工程的有經(jīng)驗的經(jīng)理和員工交談地基礎(chǔ)上確認目標日期。C)在已完成的工作任務(wù)和現(xiàn)在的資源的基礎(chǔ)上推算最后的結(jié)束日期。D)在當(dāng)前的資源和剩余可用項目資金的基礎(chǔ)上推算期待的結(jié)束日期。[單選題]37.以下哪種系統(tǒng)或工具可以辨識信用卡被盜用？A)入侵檢測系統(tǒng)B)數(shù)據(jù)挖掘技術(shù)C)防火墻D)包過濾路由器[單選題]38.使用面向?qū)ο笤O(shè)計和開發(fā)技術(shù)的應(yīng)用最可能：A)使模塊具有重用性B)提高系統(tǒng)性能C)提高控制有效性D)加快系統(tǒng)開發(fā)生命周期[單選題]39.審計師在評審企業(yè)的系統(tǒng)開發(fā)測試策略。關(guān)于在測試過程中使用生產(chǎn)數(shù)據(jù)的陳述中，審計師會認為下面哪種陳述是最恰當(dāng)?shù)?？A)在生產(chǎn)數(shù)據(jù)被用于測試以前，高級IS和業(yè)務(wù)經(jīng)理必須批準該行為。B)只要將生產(chǎn)數(shù)據(jù)復(fù)制到一個安全的測試環(huán)境中，才可以被使用。C)生產(chǎn)數(shù)據(jù)絕不能被使用。必須基于書面的測試用例文檔來準備所有的測試數(shù)據(jù)。D)簽署了保密協(xié)議就可使用生產(chǎn)數(shù)據(jù)。[單選題]40.IS審計師使用數(shù)據(jù)流程圖是用來？A)定義數(shù)據(jù)層次B)標明高級別數(shù)據(jù)定義C)用圖表概述數(shù)據(jù)路徑和存儲D)描繪寫數(shù)據(jù)生成的詳細步驟信息[單選題]41.認證頒發(fā)機構(gòu)（CA）作為第三方的作用是？A)基于認證提供安全的通信和網(wǎng)絡(luò)服務(wù)B)管理由該CA頒發(fā)并具有相應(yīng)公鑰和私鑰的認證庫C)擔(dān)當(dāng)兩個通信伙伴之間的受信任中介D)確認有用該CA所頒發(fā)認證的實體身份[單選題]42.審查廣域網(wǎng)（WAN）的使用中發(fā)現(xiàn)，在同步連接主數(shù)據(jù)庫和備用數(shù)據(jù)庫站點的通信線路中的流量最高達到信息容量的96%，IS設(shè)計師可以得出結(jié)論：A)需要分析以便確定是否出現(xiàn)了短期內(nèi)能導(dǎo)致服務(wù)中斷的情況B)廣域網(wǎng)的通信能力足以滿足最大流量因為還沒達到飽和狀態(tài)C)應(yīng)該立刻更換更大容量的線路，以便提供大約85%的飽和度D)應(yīng)該通知用戶減少通訊流量，或分配其服務(wù)時間以便平衡寬帶消耗[單選題]43.以下哪一項最有利于執(zhí)行管理層實現(xiàn)IT和業(yè)務(wù)的一致性？A)基準指標對比（benchmarking）B)風(fēng)險評估C)衡量績效D)平衡計分卡[單選題]44.在公鑰基礎(chǔ)設(shè)施（PKI）中，處理私鑰安全的詳細說明是？A)證書撤銷列表(C、RL)B)證書實務(wù)聲明(C、PS)C)證書策略(C、P)D)PKI披露條款(PD、S)[單選題]45.評估IT風(fēng)險被很好的達到，可以通過：A)評估IT資產(chǎn)和IT項目總共的威脅B)用公司的以前的真的損失經(jīng)驗來決定現(xiàn)在的弱點和威脅C)審查可比較的組織公開的損失統(tǒng)計D)審查在審計報告中的可識別的IT控制缺陷[單選題]46.數(shù)據(jù)分類第一步應(yīng)做的是A)建立數(shù)據(jù)擁有者B)風(fēng)險分析C)定義訪問規(guī)則D)創(chuàng)建數(shù)據(jù)字典[單選題]47.IS審計師審計一個軟件開發(fā)項目，項目已完成80%以上，但時間已經(jīng)超期限25%，成本超過10%。則審計師該？A)報告組織沒有進行有效的項目管理。B)建議更換項目經(jīng)理。C)審查IT治理結(jié)構(gòu)。D)審查該項目的執(zhí)行過程和業(yè)務(wù)方案（判斷商業(yè)模式是否發(fā)生變更）。[單選題]48.成功的控制自我評估（CSA）是高度依靠：A)把一部分控制監(jiān)控的責(zé)任給在管理層B)讓管理層承擔(dān)建立控制而不是監(jiān)控控制的責(zé)任C)執(zhí)行嚴格的控制政策和以規(guī)則為導(dǎo)向的控制D)執(zhí)行監(jiān)督和監(jiān)控被指定責(zé)任的控制[單選題]49.下列哪項是信息系統(tǒng)審計師需要考慮的和短期規(guī)劃最相關(guān)的？A)分配資源B)保持目前技術(shù)的先進性C)開展控制自我評估D)硬件需求評估[單選題]50.執(zhí)行問題管理機制的第一步應(yīng)該是:A)問題分析。B)例外等級評定。C)例外報告D)根本原因分析。[單選題]51.以下哪種類型的防火墻提供了最高等級和粒度的控制？A)屏蔽路由器B)數(shù)據(jù)包過濾器C)應(yīng)用網(wǎng)關(guān)D)電路網(wǎng)關(guān)[單選題]52.下面哪一個測試階段的錯誤，會對新系統(tǒng)的實施產(chǎn)生最大的影響。A)系統(tǒng)測試B)接受測試C)集成測試D)單元測試[單選題]53.評估商業(yè)連續(xù)計劃效果最好的方法是：A)使用適當(dāng)?shù)臉藴蔬M行規(guī)劃和比較B)之前的測試結(jié)果C)緊急預(yù)案和員工培訓(xùn)D)環(huán)境控制和存儲站點[單選題]54.在提供備份計算機設(shè)備方面，下面哪一種情況是成本最低的？A)互助協(xié)議B)共享設(shè)備C)服務(wù)機構(gòu)D)公司擁有的鏡像設(shè)備[單選題]55.下列哪項控制是信息系統(tǒng)審計師在面對職責(zé)不能被適當(dāng)?shù)姆蛛x的環(huán)境時所尋找到的？A)重疊控制B)邊界控制C)訪問控制D)補償控制[單選題]56.在審査IT短期(戰(zhàn)術(shù))計劃時，IS審計師應(yīng)確定A)IT和業(yè)務(wù)人員是否參與項目。B)是否明確定義IT使命和愿景。C)是否采用戰(zhàn)略信息技術(shù)計劃記分卡。D)該計劃是否使業(yè)務(wù)目標與IT目的和目標相關(guān)聯(lián)。[單選題]57.在公鑰基礎(chǔ)架構(gòu)(PKI)中，應(yīng)根據(jù)下面哪一項證明在線交易是經(jīng)特定客戶授權(quán)的？A)不可否認性B)加密C)身份認證D)完整性[單選題]58.在客戶機-服務(wù)器系統(tǒng)環(huán)境中，下面哪一項控制技術(shù)可用于檢查已知或未知用戶的活動？A)無盤工作站B)數(shù)據(jù)加密技術(shù)C)網(wǎng)絡(luò)監(jiān)控設(shè)備D)認證系統(tǒng)[單選題]59.下列哪一項是可以用于捕捉網(wǎng)絡(luò)用戶密碼的技術(shù)？A)加密B)嗅探C)欺騙D)數(shù)據(jù)毀壞[單選題]60.一名程序員對一份薪資系統(tǒng)報告中的關(guān)鍵字段做了未經(jīng)授權(quán)的變更。下列哪一種控制弱點最可能導(dǎo)致該問題？A)工資文件不受程序庫管理員控制。B)程序設(shè)計人員沒有讓用戶參與測試。C)程序設(shè)計人員有權(quán)訪問生產(chǎn)程序。D)未將用戶需求記錄。[單選題]61.TCP/IP協(xié)議簇包含的面向連接的協(xié)議處于：A)傳輸層B)應(yīng)用層C)物理層D)網(wǎng)路層[單選題]62.在最近發(fā)生內(nèi)部數(shù)據(jù)泄露事件后，要求信息系統(tǒng)審計師對公司內(nèi)的信息安全實踐進行評估。向高級管理層報告以下哪一項審計結(jié)果是最重要的？A)用戶缺乏與安全和數(shù)據(jù)保護相關(guān)的技術(shù)知識B)員工無需簽署競業(yè)禁止協(xié)議C)桌面電腦密碼不需要特殊字符D)安全教育和意識研討會尚未完成[單選題]63.如果數(shù)據(jù)庫用前象存儲進行還原，接著這個中斷，流程應(yīng)該從哪里開始？A)在最后一個事務(wù)之前B)在最后一個事務(wù)之后C)最新的檢查點之后的第一個事務(wù)D)最新的檢查點之前的最后一個事務(wù)[單選題]64.下列哪一項可以幫助信息系統(tǒng)審計師審查移植到生產(chǎn)程序中的程序更改的完整性？A)數(shù)據(jù)庫數(shù)據(jù)結(jié)構(gòu)（databaseB)磁帶管理系統(tǒng)C)配置管理系統(tǒng)（configurationmanagementsystem)D)操作系統(tǒng)日志數(shù)據(jù)[單選題]65.控制自我估計（C、SA、）的成功高度依賴于:A)由基層管理人員承擔(dān)部分控制監(jiān)控職責(zé)B)分配給成員管理者建筑的職責(zé)，但沒有監(jiān)控和控制職責(zé)C)實施的嚴厲控制政策和規(guī)則驅(qū)動的控制D)實施監(jiān)管和分配職責(zé)中控制點的監(jiān)控[單選題]66.對IT系統(tǒng)實施滲透測試時，組織最應(yīng)關(guān)注以下哪項：A)報告的機密性B)找到系統(tǒng)中的所有潛在漏洞C)將所有系統(tǒng)恢復(fù)為原始狀態(tài)D)記錄生產(chǎn)系統(tǒng)的所有更改[單選題]67.下列哪項是使災(zāi)難恢復(fù)計劃(DRP)有效的最關(guān)鍵因素?A)備份數(shù)據(jù)存儲在異地B)關(guān)鍵災(zāi)難恢復(fù)聯(lián)系人名單中的數(shù)據(jù)保持在最新狀態(tài)C)后備數(shù)據(jù)中心的可用性D)明確定義了恢復(fù)時間目標(RTO)[單選題]68.IS審計師參與應(yīng)用系統(tǒng)開發(fā),他們從事以下哪項可以導(dǎo)致獨立性的減弱.A)對系統(tǒng)開發(fā)進行了復(fù)核B)對控制和系統(tǒng)的其他改進提出了建議C)對完成后的系統(tǒng)進行了獨立評價D)積極參與了系統(tǒng)的設(shè)計和完成[單選題]69.審查信息安全政策時，以下哪個選項令I(lǐng)S審計師最為關(guān)注？該政策：A)在IT部門目標的推動下設(shè)立B)公開發(fā)布，但未要求用戶閱讀政策C)不包含信息安全流程D)已超過一年沒有更新[單選題]70.以下哪種滲透測試能夠最有效地評估組織的事故處理和響應(yīng)能力？A)針對性測試B)外部測試C)內(nèi)部測試D)雙盲測試[單選題]71.一家企業(yè)在公司內(nèi)部建立了數(shù)據(jù)中心，而將主要的財務(wù)應(yīng)用程序的管理外包給了一家服務(wù)提供商。下列哪一項控制能夠最佳地確保服務(wù)提供商的員工遵守安全政策?A)要求所有用戶在企業(yè)安全政策上簽字表示保證遵守。B)將賠償條款加入到與服務(wù)提供商簽訂的合同中C)對所有用戶強制實施安全意識培訓(xùn)D)應(yīng)該修改安全政策，以解決第三方用戶合規(guī)性問題。[單選題]72.數(shù)字簽名的用途：A)需要使用一個性口令生成器B)提供信息加密技術(shù)。C)確保信息來源有效。D)確保信息機密性。[單選題]73.審查IT組織的IS審計師最關(guān)心的是IT督導(dǎo)委員會是否:A)負責(zé)項目審批以及優(yōu)先級的確定。B)負責(zé)開發(fā)長期的IT計劃。C)將IT項目狀況向董事會報告。D)負責(zé)確定業(yè)務(wù)目標。[單選題]74.IS審計師發(fā)現(xiàn)由于開發(fā)人員實施缺陷修復(fù)工作從而導(dǎo)致新系統(tǒng)的用戶驗收測試被再三中斷。下面哪項是該IS審計師給出的最佳建議?A)考慮采用獨立用戶驗收環(huán)境的可行性。B)安排在每天的既定時間進行用戶測試。C)實施源代碼版本控制工具。D)只測試高優(yōu)先級缺陷。[單選題]75.審計自動化系統(tǒng)時，不是每次都能夠確立責(zé)任人和報告層級關(guān)系，因為A)多種多樣的控制能夠?qū)е滤袡?quán)不相關(guān)。B)員工習(xí)慣于頻繁更換工作。C)共享資源的領(lǐng)域很難確立所有權(quán)。D)隨著技術(shù)的飛速發(fā)展，職務(wù)變動頻繁。[單選題]76.在制定年度信息系統(tǒng)審計計劃時，進行風(fēng)險評估的主要原因是什么？A)確定被審計領(lǐng)域存在相應(yīng)控制B)決定便用哪些審計程序和技巧C)對涵蓋關(guān)鍵項目提供保證D)確定審計領(lǐng)域及其優(yōu)先級[單選題]77.以下哪一項是確保數(shù)據(jù)分析項目使用的個人數(shù)據(jù)無法識別的最佳方式？A)匿名化（anonymization）B)重新識別（reidentification）C)標記化（tokenization）D)隨機化（randomization）[單選題]78.組織的管理層決定建立一項安全認識程序。下列哪項最應(yīng)該包含在該項目中？A)利用入侵檢測系統(tǒng)報告發(fā)生的事件。B)要求使用密碼登陸所有軟件C)安裝一個有效的用戶日志系統(tǒng)來跟蹤每個用戶的操作。D)對所有新老職員進行定期培訓(xùn)[單選題]79.在恢復(fù)C、yB、er攻擊中，下列哪一項是最重要的行動？A)組建一個事件反應(yīng)團隊B)利用C、yB、er事故調(diào)查員C)執(zhí)行業(yè)務(wù)可持續(xù)性計劃D)主張保險要求[單選題]80.業(yè)務(wù)連續(xù)性計劃使用哪種測試方法最合適？A)試運行B)紙面C)單元D)系統(tǒng)[單選題]81.一家B2C電子商務(wù)網(wǎng)站的信息安全程序要求能夠監(jiān)測和預(yù)防黑客的活動，一時有可疑行為即警示系統(tǒng)管理員。下面的哪個系統(tǒng)組件可以實現(xiàn)這個目標？A)入侵監(jiān)測系統(tǒng)（IDS）B)防火墻C)路由器D)不對稱加密[單選題]82.IT系統(tǒng)恢復(fù)互惠協(xié)定的現(xiàn)場測試已經(jīng)進行，其中包括重點使用的業(yè)務(wù)單元的四小時測試。測試已經(jīng)成功，但只對以下那部分提供了保障：A)系統(tǒng)和IT操作團隊在緊急環(huán)境下可持續(xù)的操作。B)資源和環(huán)境可以承受事務(wù)負載。C)連接到遠程站點的應(yīng)用程序滿足響應(yīng)時間的要求。D)在發(fā)生災(zāi)難情況下，實際業(yè)務(wù)操作流程可以使用緊急系統(tǒng)。[單選題]83.信息系統(tǒng)審計師正在審查對應(yīng)用的訪問控制，以確定10個最新的用戶賬號是否被適當(dāng)?shù)氖跈?quán)。這是一個屬于以下哪個方面的例子？A)變量抽樣B)實質(zhì)性測試C)符合性測試D)停走抽樣[單選題]84.許多組織要求雇員強制性休假一周或者更多，目的是:A)確保雇員保持好的生活質(zhì)量，從而提供更高的生產(chǎn)力B)減少雇員做不恰當(dāng)或不合法事情的機會C)為另一名雇員提供適當(dāng)?shù)臋M向培訓(xùn)D)消除因為雇員一次休假一天所導(dǎo)致的潛在破壞[單選題]85.當(dāng)數(shù)據(jù)采用HTTPS協(xié)議進行傳輸時，以下哪點最令人擔(dān)心A)傳輸雙方的PC、中存在間諜軟件B)嗅探軟件的使用C)RSA、加密算法的使用D)數(shù)據(jù)傳輸中使用對稱加密算法[單選題]86.以下哪種能滿足雙重用戶身份認證？A)虹膜加指紋掃描B)終端號加全球定位系統(tǒng)(GPS)C)需要用戶識別號的智能卡D)用戶代碼加密碼[單選題]87.為協(xié)助記錄軟件發(fā)布的基準，IS審計師應(yīng)建議執(zhí)行以下哪個流程?A)變更管理B)備份和恢復(fù)C)事故管理D)配置管理[單選題]88.下面哪一項措施對成功建立企業(yè)IT體系結(jié)構(gòu)至關(guān)重要?A)企業(yè)對標準化的支持B)體系結(jié)構(gòu)中僅包含關(guān)鍵系統(tǒng)C)完善的數(shù)據(jù)轉(zhuǎn)移政策D)與其他組織的體系結(jié)構(gòu)進行比較[單選題]89.IS審計師在審查EDI交易過程中發(fā)現(xiàn)存在未經(jīng)授權(quán)的交易，審計師可能會建議改進：A)EDI貿(mào)易伙伴協(xié)議。B)終端物理控制。C)發(fā)送和接受消息鑒證技術(shù)D)程序變更控制程序。[單選題]90.繞過正常變更控制流程的緊急變更在以下哪種情況下是最可以接受的A)管理人員在變更發(fā)生后對變更進行審查和審批。B)變更在發(fā)生時由同事進行審查C)變更由運營部門記錄在變更控制系統(tǒng)中D)管理人員已預(yù)先批準所有緊急變更。[單選題]91.在測試變更控制流程的設(shè)計有效性方面，以下哪種方式最有效?A)測試變更請求的樣本總體B)測試已授權(quán)變更的樣本C)約談變更控制流程的負責(zé)人D)對流程執(zhí)行端到端的穿行測試[單選題]92.在服務(wù)器觀察到可疑的活動之后，管理層要求法庭分析。下面哪一個發(fā)現(xiàn)是與調(diào)查最相關(guān)的？A)服務(wù)器是工作組的成員和不是服務(wù)其域的一部分B)服務(wù)器上的GＵEＳＴ賬戶可用C)近來，在服務(wù)器上創(chuàng)建的１００個用戶D)服務(wù)器上審計日志不可用[單選題]93.當(dāng)一個組織的備份設(shè)施處在溫站時,下列哪一項是最關(guān)心的？A)硬件的及時可用性、B)熱度,濕度和空調(diào)設(shè)備的可用性、C)電力連接充足、D)電信網(wǎng)絡(luò)的有效性、[單選題]94.以下哪項屬于IT平衡計分卡的4個關(guān)鍵角度中的3個？【已經(jīng)理解】書第70頁A)業(yè)務(wù)判斷，服務(wù)水平協(xié)議，預(yù)算B)組織人員，成本減少，雇員培訓(xùn)C)成本減少，業(yè)務(wù)流程，增長D)服務(wù)水平，關(guān)鍵成功因素，供應(yīng)商選擇[單選題]95.當(dāng)評估一個組織的軟件開發(fā)實務(wù)時，信息系統(tǒng)審計師注意到質(zhì)量保證能直接報告給項目經(jīng)理，作為一個信息系統(tǒng)審計師最重要的關(guān)系是：A)質(zhì)量保證功能的有效性，因為項目管理人員和用戶管理人員之間相互影響。B)質(zhì)量保證功能的效能，因為項目實施小組的配合。C)項目經(jīng)理的效力，因為項目經(jīng)理與質(zhì)量保證功能互相影響。D)項目經(jīng)理的效能，因為質(zhì)量保證功能需要與項目實施小組聯(lián)系。[單選題]96.如果預(yù)算有限的情況下，且一個區(qū)域內(nèi)有多個辦公場所，下列那一項是最適合的恢復(fù)策略?A)商業(yè)熱站維護B)民用冷站C)辦公室之間互惠協(xié)議D)第三方熱站[單選題]97.在審查災(zāi)難恢復(fù)計劃(DRP)時，IS審計師最關(guān)注的是缺少:A)流程責(zé)任人的參與。B)記錄良好的測試程序。C)備用處理設(shè)施。D)記錄良好的數(shù)據(jù)分類方案。[單選題]98.審計客戶/服務(wù)器資料庫安全時，IS審計師應(yīng)該最關(guān)注于哪一方面的可用性？A)系統(tǒng)工具B)應(yīng)用程序生成器C)系統(tǒng)安全文文件D)訪問存儲流程[單選題]99.中央防病毒系統(tǒng)負責(zé)在允許個人電腦接入網(wǎng)絡(luò)之前，確定每臺PC機是否具有最新的病毒定義文件，并安裝最新的病毒定義文件。A)指令性控制。B)改正性控制。C)補償性控制。D)檢測性控制[單選題]100.一個IS審計師被分配去執(zhí)行一項測試：比較計算機作業(yè)運行日志與作業(yè)計劃表。下面哪一條是IS審計師最需要關(guān)注的？A)有越來越多的緊急變更B)存在某些作業(yè)沒有按時完成的情況C)存在某些作業(yè)被計算機使用者否決的情況D)證據(jù)顯示僅僅運行了預(yù)先計劃的作業(yè)[單選題]101.在準備災(zāi)難恢復(fù)計劃時下列哪一個任務(wù)是應(yīng)該最先被執(zhí)行的？A)制定恢復(fù)策略B)進行業(yè)務(wù)影響分析(BIA)C)描述出軟件系統(tǒng)，硬件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等組件D)任命恢復(fù)團隊的人員、角色和等級[單選題]102.IS審計師在檢查一個推薦的應(yīng)用軟件采購時應(yīng)該確保：A)使用的操作系統(tǒng)與現(xiàn)有的硬件平臺相兼容B)計劃操作系統(tǒng)的升級已按照公司要求的最小負面影響來安排時間C)操作系統(tǒng)是最新版本并且實時升級D)產(chǎn)品與當(dāng)前或者計劃中的操作系統(tǒng)相兼容[單選題]103.企業(yè)里有個混合訪問點不能升級其安全強度，而新的訪問點具有高級無線安全特性。IS審計師建議用新的訪問點替換老的混合訪問點，下面哪一個選項支持IS審計師的建議的理由最為充分？A)新的訪問點具有更高的安全強度B)老的訪問點性能太差C)整個企業(yè)網(wǎng)路的安全強度，就是其最為薄弱之處的安全強度D)新的訪問點易于管理[單選題]104.組織有完整的開發(fā)環(huán)境（ID、E），所有程序庫都存放在服務(wù)器上，但是更新/開發(fā)和測試都是在PC、工作站中完成。以下哪項將在ID、E中得到加強？A)對程序版本進行控制。B)提高程序資源和工具的可用性。C)提高程序和處理的完整性。D)防止有效的變更被其它的變更所覆蓋。[單選題]105.在開發(fā)階段添加新的系統(tǒng)功能時，以下哪一項是與沒有遵循項目更改管理流程相關(guān)的主要風(fēng)險？A)尚未記錄添加的功能B)新功能可能不符合需求C)項目可能無法在規(guī)定期限完成D)項目可能超出預(yù)算[單選題]106.審査一份業(yè)務(wù)連續(xù)性計劃時，IS計師注意到，對哪一種情況被宣布為危機的臨界點尚未進行定義與此相關(guān)的主要風(fēng)險是:A)對情況的評估可能會延退。B)災(zāi)難恢復(fù)計劃的執(zhí)行可能受影響。C)可能不會通知相關(guān)團隊。D)潛在危機的識別可能會延遲。[單選題]107.在測試數(shù)據(jù)中使用清潔活動交易的一個優(yōu)點是:A)數(shù)據(jù)事務(wù)類型可以包括進來B)每個錯誤情況可能被測試C)沒有特殊過程被要求來訪問這些結(jié)果D)測試事務(wù)是活動過程的代表[單選題]108.內(nèi)部審計部門編寫了一些腳本，用于對某些信息系統(tǒng)(IS)的持續(xù)審計。IT部門要求獲得腳本副本，以用來在關(guān)鍵系統(tǒng)上設(shè)立連續(xù)監(jiān)控流程。與IT部門分享這些腳本是否會影響IS審計師獨立、客觀地審計IT部門的能力?A)不允許分享腳本，因為這會使IT部門能夠?qū)ο到y(tǒng)進行預(yù)審計并避開精確、全面的審計。B)需要分享腳本，因為IT部門必須能夠?qū)徍嗽贗S系統(tǒng)上運行的所有程序和軟件，無論是否削弱審計獨立性。C)只要IT部門認識到審計還可能在腳本覆蓋范圍以外進行，便可以允許分享腳本。D)不允許分享腳本，因為這意味著編寫腳本的IS審計師將不被允許計任何使用該腳本進行監(jiān)控的系統(tǒng)。[單選題]109.當(dāng)員工離職時，最重要的工作是:A)將員工的所有文件移交給另一位指定員工。B)完成對員工工作的備份。C)將此解約通知給其他員工D)禁止該員工的邏輯訪問。[單選題]110.在IS合規(guī)性審計規(guī)劃階段，以下哪個選項是決定數(shù)據(jù)收集內(nèi)容的最重要因素A)組織業(yè)務(wù)的復(fù)雜性B)上一年度的審計結(jié)果和注意到的問題C)審計的目的、目標和范圍D)審計師對組織的熟練程度[單選題]111.在現(xiàn)場工作觀察和客戶方IS部門的訪談期間，一位IS審計師發(fā)現(xiàn)客戶近期實施的應(yīng)用程序軟件包存在很多問題。以下哪個問題帶來的風(fēng)險最大？A)安全控制規(guī)定不當(dāng)B)存在多個軟件版本C)參數(shù)設(shè)置不正確D)沒有明確定義的培訓(xùn)計劃[單選題]112.IT治理的最終目的是？A)推動優(yōu)化利用ITB)降低IT成本C)在整個組織中分散IT控制D)集中的IT控制[單選題]113.以下哪項是控制自我評估（CSA）的關(guān)鍵優(yōu)勢？A)企業(yè)管理目標的內(nèi)部控制得到加強B)由外部審計轉(zhuǎn)為內(nèi)部評估時，會減少相關(guān)的費用C)由企業(yè)內(nèi)部員工從事業(yè)務(wù)測試，有利于檢測欺詐行為D)通過使用評估結(jié)果，內(nèi)部審計人員可以轉(zhuǎn)變?yōu)樽稍冾檰柕慕巧玔單選題]114.在審計過程中，IS審計師注意到，應(yīng)用程序開發(fā)員還對特定的應(yīng)用程序執(zhí)行質(zhì)量保證測試。該IS審計師應(yīng)執(zhí)行以下哪個選項?A)建議補償性控制B)審査開發(fā)員創(chuàng)建的代碼C)分析質(zhì)量保證儀表板D)報告所發(fā)現(xiàn)的狀況。[單選題]115.對服務(wù)器中可疑活動進行觀察后，經(jīng)理要求進行取證分析。以下哪種結(jié)果最能引起該調(diào)查者的關(guān)注？A)該服務(wù)器是工作中的一員，而不屬于服務(wù)器域的一部分。B)某來賓帳戶在該服務(wù)器中得以啟用C)近期，該服務(wù)器中創(chuàng)建了100個用戶。D)該服務(wù)器沒有啟用審計日志。[單選題]116.出現(xiàn)以下哪種情況時，審計師最需要對第三方托管的云計算環(huán)境進行審查A)該組織無權(quán)評估參與供應(yīng)商網(wǎng)站中的控制。B)服務(wù)等級協(xié)議(SLA)未規(guī)定出現(xiàn)安全漏洞時供應(yīng)商應(yīng)承擔(dān)的C)組織和供應(yīng)商所在國家/地區(qū)的法律和法規(guī)不同。D)組織使用的舊版瀏覽器存在某些類型的安全風(fēng)險。[單選題]117.在即將實施前對項目進行評估時，下列哪一項可提供表明系統(tǒng)具備所需功能的最佳證據(jù)？A)質(zhì)量保證結(jié)果B)用戶驗收測試結(jié)果C)高級管理人員的簽核D)集成測試結(jié)果[單選題]118.在信息系統(tǒng)審計的計劃階段，信息審計師的首要目標是A)確定審計目標B)收集足夠的證據(jù)C)設(shè)計詳細測試D)最小化審計資源[單選題]119.作為信息安全治理的結(jié)果，戰(zhàn)略一致性提供了:A)由企業(yè)需求驅(qū)動的安全要求。B)符合良好實踐的基準安全。C)制度化和商品化的解決方案。D)對風(fēng)險暴露的了解。[單選題]120.對服務(wù)提供商進行審計時，IS審計師發(fā)現(xiàn)，該服務(wù)提供商已將部分工作外包給了其他提供商。由于此工作涉及到機密信息，因此，IS審計師應(yīng)當(dāng)首先考慮:A)有關(guān)保護信息機密性的要求可能會受到損害。B)合同有可能被終止，因為事先未獲得外包商許可。C)提供部分外包工作的其他服務(wù)提供商不需要接受審計。D)外包商將直接與其他服務(wù)提供商進行接觸，以便進一步開展工作。[單選題]121.在應(yīng)用程序計期間，一位IS審計師收到請求，為數(shù)據(jù)庫參照完整性提供保證。應(yīng)對以下哪項進行審查?A)字段定義B)主表定義C)復(fù)合鍵D)外鍵結(jié)構(gòu)[單選題]122.信息系統(tǒng)管理人員告訴信息系統(tǒng)審計師組織最近達到了軟件能力成熟度模型（C、MM）的最高水平，則最近組織增加的軟件質(zhì)量流程是:A)持續(xù)改進B)量化的質(zhì)量目標C)文檔化流程D)為某一特殊項目定制的流程[單選題]123.一名信息系統(tǒng)審計員被指派審閱最近外包給多個服務(wù)商的IT組織結(jié)構(gòu)和活動。信息系統(tǒng)審計員應(yīng)該最先決定下面哪個選項:A)在所有合同有相關(guān)的審計條款B)每個合同的服務(wù)水平協(xié)議都有適當(dāng)?shù)腒PI指標C)服務(wù)商的合同保證支持企業(yè)的業(yè)務(wù)需求D)合同終止時，每個外包商會保證有新的外包商提供服務(wù)支持[單選題]124.在審計企業(yè)資源規(guī)劃（ERP)財務(wù)系統(tǒng)的邏輯訪問控制期間，IS審計師發(fā)現(xiàn)某些用戶賬戶為多人共享、用戶ID基于角色而不是基于個人身份、這些賬戶允許對ERP中的金融交易進行訪問。IS審計師接下來應(yīng)該做什么？A)尋求補償控制。B)審查金融交易日志。C)審查審計范圍。D)要求管理員禁用這些賬戶。[單選題]125.信息系統(tǒng)審計師回顧組織的風(fēng)險估價流程時應(yīng)首先：A)鑒別對于信息資產(chǎn)威脅的合理性B)分析技術(shù)和組織弱點C)鑒別并對信息資產(chǎn)進行分級D)對潛在的安全漏洞效果進行評價[單選題]126.特定威脅的總體業(yè)務(wù)風(fēng)險可定量地表示為:A)影響的可能性和影響大小的乘積(如果威脅成功利用漏洞)。B)影響的大小(如果威脅源成功利用漏洞)C)特定威脅源利用特定漏洞的可能性D)風(fēng)險評估團隊的集體判斷。[單選題]127.以下哪項對應(yīng)用程序系統(tǒng)的成功實施影響最大?A)原型設(shè)計應(yīng)用程序開發(fā)方法B)符合適用的外部要求C)整體組織環(huán)境D)軟件再工程技術(shù)[單選題]128.當(dāng)使用一個ITF時，審計員應(yīng)確保;A)生產(chǎn)數(shù)據(jù)用于測試B)測試數(shù)據(jù)隔離與生產(chǎn)數(shù)據(jù)C)使用一個測試數(shù)據(jù)生成器D)主文件根據(jù)測試數(shù)據(jù)更新[單選題]129.在軟件開發(fā)項目的需求定義階段，應(yīng)該在軟件測試方面制定：A)覆蓋關(guān)鍵應(yīng)用的測試數(shù)據(jù)。B)詳細的測試計劃。C)質(zhì)量保證的測試規(guī)格。D)用戶驗收測試規(guī)格。[單選題]130.IT安全政策審計的主要目標是為了確保：A)讓所有員工都知曉并了解B)安區(qū)和控制政策能支持業(yè)務(wù)及IT目標C)有已經(jīng)發(fā)布的組織機構(gòu)圖，在圖中能了解所有的功能描述，即職位和職責(zé)D)確保職責(zé)分開[單選題]131.IS審計師正在評估內(nèi)部軟件開發(fā)項目的項目管理流程。在軟件功能方面，IS審計師應(yīng)查看是否已獲得以下哪方的簽字?A)項目經(jīng)理。B)系統(tǒng)開發(fā)管理人員。C)業(yè)務(wù)部門管理入員。D)質(zhì)量保證(QA)團隊。[單選題]132.用熱站作為一個備份選擇的優(yōu)勢是：A)熱站花費的成本是低的B)熱站在很長的時間應(yīng)用C)熱站能在很短的時間內(nèi)準備好運行D)他們不要求設(shè)備和系統(tǒng)軟件與主要站點協(xié)調(diào)[單選題]133.下面哪一項審計技術(shù)可以為證明IS部門的職責(zé)分離提供最好的依據(jù)？A)和管理層討論B)審核組織結(jié)構(gòu)圖C)觀察與訪談D)測試用戶訪問權(quán)限[單選題]134.代碼簽名的目的是為保證：A)該軟件后來并未被修改B)應(yīng)用程序可以和其他簽署的應(yīng)用安全交互C)對應(yīng)用程序的簽名者是被信任的D)簽名者的私鑰沒有被破壞[單選題]135.下列哪一項是電子郵件系統(tǒng)成為訴訟證據(jù)的有用來源的最有可能原因?A)備份文件的多個周期仍然可用、B)訪問控制為電子郵件活動建立了問責(zé)制、C)數(shù)據(jù)分類規(guī)范哪些信息應(yīng)該通過電子郵件溝通。D)在企業(yè)內(nèi)部，使用電子郵件的明確的政策可以確保證據(jù)可用。[單選題]136.為了使業(yè)務(wù)連續(xù)性計劃(BCP)在制定之后能夠得到有效實施，最重要的是BCP應(yīng)該:A)存儲在公司外部的安全設(shè)施中。B)得到高層管理人員批準。C)溝通到相關(guān)人員。D)通過企業(yè)內(nèi)網(wǎng)提供。[單選題]137.大學(xué)的IT部門和財務(wù)部（FSO，financialservicesoffice）之間簽有服務(wù)水平協(xié)議（SLA），要求每個月系統(tǒng)可用性超過98%。財務(wù)部后來分析系統(tǒng)的可用性，發(fā)現(xiàn)平均每個月的可用性確實超過98%，但是月末結(jié)賬期的系統(tǒng)可用性只有93%。那么，財務(wù)部應(yīng)該采取的最佳行動是：A)就協(xié)議內(nèi)容和價格重新談判B)通知IT部門協(xié)議規(guī)定的標準沒有達到C)增購計算機設(shè)備等（資源）D)將月底結(jié)賬處理順延[單選題]138.下列哪項在評價信息系統(tǒng)戰(zhàn)略時最重要？A)確保信息系統(tǒng)戰(zhàn)略最大化目前和未來信息技術(shù)資源的效率和利用。B)確保在所有信息系統(tǒng)中考慮信息安全。C)確保信息系統(tǒng)戰(zhàn)略支持公司愿景和目標。D)確保系統(tǒng)管理員為系統(tǒng)能力提供準確的輸入。[單選題]139.以下哪一項是互聯(lián)網(wǎng)上傳輸被列為機密文檔的最佳方法?A)通過不同的網(wǎng)絡(luò)路徑以多個數(shù)據(jù)包發(fā)送文檔B)使用虛擬專網(wǎng)網(wǎng)絡(luò)VPNC)對文檔內(nèi)容采用散列算法并破壞哈希值D)在傳輸將文檔換位專有格式[單選題]140.組織使用的應(yīng)用系統(tǒng)為無任何經(jīng)過認證的開發(fā)人員研發(fā)補丁的開源系統(tǒng)。以下哪種為最安全的開源軟件更新方法？A)重寫補丁并應(yīng)用B)檢查源碼并應(yīng)用可用補丁C)開發(fā)內(nèi)部補丁D)在應(yīng)用前檢查并測試對應(yīng)補丁[單選題]141.由于IT的變化，某大型組織的災(zāi)難恢復(fù)計劃(DRP)已變更。如果新計劃未經(jīng)測試,則主要風(fēng)險是什么?A)災(zāi)難性服務(wù)中斷B)資源消耗較高C)不會降低總恢復(fù)成本D)用戶和恢復(fù)團隊在激活計劃時可能面臨嚴重困難[單選題]142.以下哪類防火墻可以最好的保護網(wǎng)絡(luò)免受互聯(lián)網(wǎng)攻擊？A)屏蔽子網(wǎng)防火墻B)應(yīng)用過濾網(wǎng)關(guān)C)數(shù)據(jù)包過濾路由器D)電路級網(wǎng)關(guān)[單選題]143.當(dāng)鑒別提前一個項目的完成時間，需要額外付費的活動，以下哪項為關(guān)注的：A)活動時間最短B)零松弛時間（關(guān)鍵路徑）C)最長完成時間D)松弛時間最短者[單選題]144.IS審計師可以將授予生產(chǎn)數(shù)據(jù)訪問權(quán)限和系統(tǒng)訪問權(quán)限的職責(zé)委托給：A)流程負責(zé)人B)系統(tǒng)管理員C)安全管理員D)數(shù)據(jù)所有者[單選題]145.對于IS審計師來說，以下哪項通常是最可靠的證據(jù)?A)從驗證帳戶余額的第三方收到的確認函B)部門管理人員對應(yīng)用程序按設(shè)計方式運行所做的保證C)從萬維網(wǎng)(Internt)來源獲得的趨勢數(shù)據(jù)D)IS審計師根據(jù)部門管理人員提供的報告所制作的比率分析[單選題]146.人力資源的副總要求審計師對去年工資單中的超額支付問題進行審查。以下哪項是適用于此情形下的最好的審計技術(shù)？A)測試數(shù)據(jù)B)通用審計軟件C)整合性測試設(shè)施（ITF）D)嵌入式審計模塊[單選題]147.為了確定哪些用戶有權(quán)進入享有特權(quán)的監(jiān)控態(tài)，IS審計人員應(yīng)該檢查以下哪一項？A)系統(tǒng)訪問日志文件B)被啟動的訪問控制軟件參數(shù)C)訪問控制違犯日志D)系統(tǒng)配置文件中所使用的控制選項[單選題]148.管理層為業(yè)務(wù)持續(xù)性計劃考慮兩個方案:計劃A、用2個月時間恢復(fù)，計劃B、用8個月時間恢復(fù)。兩個計劃里的恢復(fù)目標是相同的?？梢灶A(yù)料計劃B、會帶來更高的:A)宕機成本B)接續(xù)成本C)恢復(fù)成本D)排查成本[單選題]149.在審查風(fēng)險管理程序中，下列哪一項職貴最有可能對IS審計師的獨立性造成危害?A)參與風(fēng)險管理框架的設(shè)計B)為不同的實施方法提供建議C)協(xié)助風(fēng)險意識培訓(xùn)D)對風(fēng)險管理流程執(zhí)行盡職審查[單選題]150.在對中型企業(yè)進行信息安全審計時，信息系統(tǒng)審計師注意到，該企業(yè)的信息安全政策還不夠充分。審計師對企業(yè)的最佳建議是什么？A)根據(jù)競爭對手的政策進行對標B)獲得外部顧問的支持以重新編寫政策C)定義定期更新政策的角色和職責(zé)D)與最佳實踐框架進行比較，找出并縮小差距[單選題]151.檢查信息系統(tǒng)安全策略的信息系統(tǒng)審計員應(yīng)該檢查信息安全管理職能和責(zé)任是否被傳達到如下哪個?A)專責(zé)主管B)組織的用戶C)信息系統(tǒng)指導(dǎo)委員會D)信息系統(tǒng)安全管理員[單選題]152.以下哪種保險類型針對因員工欺詐行為造成的損失?A)業(yè)務(wù)中斷B)忠誠保險C)錯誤和遺漏D)額外支出[單選題]153.數(shù)據(jù)庫系統(tǒng)的并發(fā)控制的目的是為了:A)對授權(quán)用戶限制數(shù)據(jù)庫的更新B)防止完整性問題的發(fā)生，當(dāng)同一時間有2個進程同時試圖更新同一個數(shù)據(jù)的時候C)防止由于疏忽或者未授權(quán)導(dǎo)致的數(shù)據(jù)庫中的數(shù)據(jù)泄露D)確保準確性，完整性和數(shù)據(jù)一致性[單選題]154.在計劃滲透測試時最重要的成功因素是：A)計劃測試過程的文檔B)計劃和決定測試的時間長度C)客戶組織管理層的參與D)參與測試的人員的資格和經(jīng)驗[單選題]155.在運行入侵檢測系統(tǒng)時最常見的問題是？A)誤測B)收到陷阱信息C)拒絕錯誤率D)拒絕服務(wù)攻擊[單選題]156.為了確保審計資源給組織帶來了最大的價值，通常的第一步是：A)計劃審計項目，并對每個審計項目的時間安排進行監(jiān)督B)向信息系統(tǒng)審計師培訓(xùn)有關(guān)組織正在使用的最新技術(shù)C)在詳細風(fēng)險評估的基礎(chǔ)上開展審計計劃D)審計監(jiān)督程序，并采取成本控制措施[單選題]157.以下哪一項是執(zhí)行并行測試的主要目的?A)確定系統(tǒng)是否具有成本效益B)實現(xiàn)綜合單元及系統(tǒng)測試C)找出含文件的程序接口中的錯誤D)確保新系統(tǒng)滿足用戶要求[單選題]158.導(dǎo)致信息系統(tǒng)不能滿足用戶需求的最常見到原因是：A)用戶需求經(jīng)常改變B)不能正確預(yù)測用戶所需的增長C)現(xiàn)有的硬件系統(tǒng)限制了并發(fā)用戶的數(shù)量D)在系統(tǒng)需求定義階段用戶參與程度不夠[單選題]159.某新業(yè)務(wù)需求要求變更數(shù)據(jù)庫供應(yīng)商。關(guān)于此項實施，IS審計師應(yīng)當(dāng)主要檢查以下哪個領(lǐng)域?A)數(shù)據(jù)的完整性B)切換的時間安排C)用戶的授權(quán)等級D)數(shù)據(jù)的規(guī)范化[單選題]160.在實施基于風(fēng)險的審計策略時，以下哪一項應(yīng)是主要目標？A)資源平均分配用于保護信息資產(chǎn)B)根據(jù)發(fā)現(xiàn)的威脅和漏洞對審計領(lǐng)域分出輕重緩急C)后續(xù)審計中的發(fā)現(xiàn)和建議明顯減少D)基準水平的安全措施應(yīng)用到信息資產(chǎn)[單選題]161.以下哪個選項最能限制用戶僅使用履行其職責(zé)所需的功能？A)應(yīng)用程序級訪問控制B)數(shù)據(jù)加密C)禁用軟盤驅(qū)動器D)網(wǎng)絡(luò)監(jiān)控設(shè)備[單選題]162.進行事件發(fā)生后檢查的主要目的是,它提供了一個機會去:A)改善內(nèi)部控制程序、B)為實現(xiàn)企業(yè)最佳業(yè)務(wù)強化網(wǎng)絡(luò)C)管理突出時間響應(yīng)管理的重要性、D)提高員工對時間響應(yīng)的認識、[單選題]163.某組織最近部署了內(nèi)部開發(fā)的一個客戶關(guān)系管理(CRM)應(yīng)用系統(tǒng)。確保應(yīng)用操作與設(shè)計意圖一致的最佳選擇是以下哪一項?A)用戶驗收測試(UAT)B)項目風(fēng)險評估C)實施后審查D)管理層審批系統(tǒng)[單選題]164.如果數(shù)據(jù)庫使用前像轉(zhuǎn)儲進行恢復(fù)，則中斷后流程應(yīng)從何處開始?A)最后的交易之前B)最后的交易之后C)作為最新檢查點之后的第一個交易D)作為最新檢查點之前的最后一個交易[單選題]165.雙因素認證，可規(guī)避下列哪些攻擊?A)拒絕服務(wù)B)中間人C)鍵盤記錄D)暴力破解[單選題]166.為減少軟件開發(fā)項目中出現(xiàn)的缺陷數(shù)目，下列哪項建議最具成本效益?A)增加分配給系統(tǒng)測試的時間。B)實施正式的軟件檢查C)增加開發(fā)人員數(shù)量。D)要求交付所有項目成果時簽字。[單選題]167.一家企業(yè)的業(yè)務(wù)連續(xù)性計劃(BCP)中沒有定義關(guān)鍵流程，以下哪一項最可能發(fā)現(xiàn)這個差距?A)審查業(yè)務(wù)影響分析B)測試事故響應(yīng)計劃C)更新風(fēng)險登記表D)審查業(yè)務(wù)連續(xù)性戰(zhàn)略[單選題]168.下面哪項將會幫助檢測到入侵者在服務(wù)器系統(tǒng)日志里做過改動:A)在另外一臺服務(wù)器上鏡像系統(tǒng)系統(tǒng)日志B)在不可重復(fù)擦寫磁盤里實時復(fù)制系統(tǒng)日志C)對包含系統(tǒng)日志的目錄寫保護D)離岸備份系統(tǒng)日志[單選題]169.對于實施安全政策可問責(zé)（可追溯責(zé)任）非常重要。對于系統(tǒng)用戶以下哪種控制在準確的可問責(zé)上最沒有效果？A)可審計的要求。B)口令。C)識別控制。D)認證控制。[單選題]170.對數(shù)據(jù)和系統(tǒng)所有權(quán)不適當(dāng)?shù)恼呗远x下列哪一項存在最高風(fēng)險？A)用戶管理協(xié)調(diào)不存在B)未制定特定用戶職責(zé)C)未授權(quán)用戶可能取得創(chuàng)建、修改和刪除數(shù)據(jù)的權(quán)力D)審計建議未被采納[單選題]171.下列哪個保險是由于雇員的欺詐行為所引起的損失？A)業(yè)務(wù)中斷B)忠誠度保證C)錯誤和遺漏D)額外開支[單選題]172.在審計關(guān)鍵業(yè)務(wù)領(lǐng)域的災(zāi)難恢復(fù)計劃(DRP)時，某IS審計師發(fā)現(xiàn)此計劃沒有涵蓋所有系統(tǒng)。下列哪項是該IS審計師最應(yīng)該采取的行動?A)向管理層發(fā)出警告并評估不涵蓋所有系統(tǒng)的影響。B)取消審計。C)完成現(xiàn)有DRP所涵蓋系統(tǒng)的審計工作。D)推遲審計直至將相關(guān)系統(tǒng)添加到DRP中。[單選題]173.實施災(zāi)難恢復(fù)計劃后，災(zāi)難前和災(zāi)難后的組織運作成本將會A)降低B)不變C)增高D)由業(yè)務(wù)類型決定[單選題]174.以下哪項確保了災(zāi)難事件中所有交易的可用性？A)每小時向異地站點提供交易數(shù)據(jù)磁帶。B)每天向異地站點提供交易數(shù)據(jù)磁帶。C)轉(zhuǎn)存交易到多個存儲裝備。D)實時傳輸交易到異地站點。[單選題]175.確定可接受風(fēng)險的等級是誰的責(zé)任A)質(zhì)量保障(QA)管理人員。B)高級業(yè)務(wù)管理人員C)首席信息官(CIO)D)首席信息安全官(CISO)。[單選題]176.下列哪一項是采用原形化的好處A)已完成的系統(tǒng)自身就有很強的內(nèi)部控制B)原型系統(tǒng)能夠明顯地節(jié)省時間和費用C)原型系統(tǒng)中的變更控制經(jīng)常沒那么復(fù)雜D)這樣能確保功能性的或者額外的東西不會被加入到已經(jīng)定型的系統(tǒng)中[單選題]177.審查組織中局域網(wǎng)（LAN）性能的IS審計師應(yīng)該首先檢查：A)連接和無連接服務(wù)。B)網(wǎng)絡(luò)拓撲圖。C)數(shù)據(jù)、語音和視頻吞吐量要求。D)廣域網(wǎng)（WAN）連接的數(shù)量。[單選題]178.檢查入侵監(jiān)測系統(tǒng)(IDS)時,IS審計師最關(guān)注的內(nèi)容是:A)把正常通訊識別為危險事件的數(shù)量(誤報)B)系統(tǒng)沒有識別出的攻擊事件C)由自動化工具生成的報告和日志D)被系統(tǒng)阻斷的正常通訊流[單選題]179.在審計一個會計應(yīng)用系統(tǒng)的內(nèi)部數(shù)據(jù)完整性控制時，IS審計師發(fā)現(xiàn)支持該會計系統(tǒng)的變更管理軟件中存在重大不足。審計師應(yīng)采取的最合適的行為是：A)繼續(xù)測試會計應(yīng)用系統(tǒng)控制，口頭通知IT經(jīng)理有關(guān)變更管理軟件中的控制缺陷以及就可能的解決方案提供咨詢。B)完成應(yīng)用程序控制的審核，但是并不報告變更管理軟件中的控制缺陷，因為它不屬于審核范圍。C)繼續(xù)完成會計應(yīng)用系統(tǒng)的測試，并且在最終的報告中加入變更軟件中的控制缺陷。D)停止所有的審計活動，一直到變更控制軟件中的控制缺陷被解決為止。[單選題]180.對由外包數(shù)據(jù)中心托管的關(guān)鍵任務(wù)系統(tǒng)進行審計期間，信息系統(tǒng)審計師發(fā)現(xiàn)，合同規(guī)定的對備用發(fā)電機的日常維護沒有被執(zhí)行。以下哪一項應(yīng)該是審計師的主要顧慮？A)外包商就未執(zhí)行的工作收費的欺詐行為B)備用發(fā)電機在停電期間發(fā)生故障C)如果未能及時檢測到發(fā)電機零部件故障，會產(chǎn)生高昂的維修費用D)由于缺乏系統(tǒng)維護而失去保修資格[單選題]181.一個職員為一個貸款主文件修改利率，這個利率已經(jīng)超過這筆貸款的正常范圍，為確保這項變動經(jīng)過授權(quán)，下面那一項是最有效的控制：A)系統(tǒng)不執(zhí)行修改，除非職員的主管輸入授權(quán)碼來確認。B)系統(tǒng)產(chǎn)生所有利率異常的周報清單，并得到職員主管的審閱。C)系統(tǒng)要求職員輸入一個授權(quán)碼。D)系統(tǒng)對職員顯示警告信息。[單選題]182.在檢查安全包時，下面哪一項不被考慮作為一個調(diào)查設(shè)計？【已經(jīng)理解】A)什么類型的變更和妥協(xié)在正進行的過程中必須發(fā)生？B)安全更新和補丁如何在安全包中進行維護？C)哪些安全包的脆弱點和缺陷點應(yīng)該被考慮？D)對產(chǎn)品進行充分維護時需要哪種支持工作？[單選題]183.推薦的交易處理應(yīng)用程序?qū)⒂性S多數(shù)據(jù)獲取資源以及書面和電子形式的輸出。為了確保交易不在處理過程中丟失，IS審計師應(yīng)建議執(zhí)行:A)驗證控制B)內(nèi)部可信度檢査C)員工控制流程。D)自動系統(tǒng)均衡。[單選題]184.使用非屏蔽雙絞線（UTP）電纜進行數(shù)據(jù)通信相比于其他銅質(zhì)電纜的好處之一是，UTP電纜A)減少雙絞線之間的串?dāng)_B)提供線路竊聽防護C)可用于長距離網(wǎng)路D)安裝簡單[單選題]185.當(dāng)一個應(yīng)用開發(fā)商想要用昨天生產(chǎn)交易文件的副本用來測試時，IS審計師的最主要的關(guān)注是：A)用戶更愿意使用人為的數(shù)據(jù)來測試B)會導(dǎo)致未授權(quán)地訪問敏感數(shù)據(jù)C)錯誤掛起和不能充分證明的可信檢查D)對于新處理的所有功能可能不都需要被測試[單選題]186.一個保險公司為了進行測試，使用真實的客戶數(shù)據(jù)。對于保護數(shù)據(jù)的安全，什么是信息系統(tǒng)審計員最佳推薦？A)檢查訪問權(quán)限B)確?？蛻魯?shù)據(jù)是被加密的C)執(zhí)行數(shù)據(jù)清潔處理（注：意即數(shù)據(jù)脫敏）D)確認只有內(nèi)部管理員能夠管理數(shù)據(jù)庫[單選題]187.在跟進審計中，信息系統(tǒng)審計師發(fā)現(xiàn)實施的控制與建議的控制不同。審計師應(yīng)：A)驗證是否充分實現(xiàn)控制目標。B)將控制與行動計劃進行比較。。C)作為重復(fù)發(fā)現(xiàn)的問題進行報告。D)通知管理層有關(guān)不正確的實施問題。[單選題]188.在檢查崗位職責(zé)時什么是最重要的評估標準？A)工作職能中所有要做的工作和需要的培訓(xùn)都有詳細的定義。B)職責(zé)清晰，每個人都清楚自己在組織中的角色。C)強制休假和崗位輪換被執(zhí)行。D)績效得到監(jiān)控和提升是基于清晰定義的目標。[單選題]189.當(dāng)開發(fā)一個業(yè)務(wù)連續(xù)性計劃時，應(yīng)該用下列哪種形式來獲得對組織業(yè)務(wù)流程的理解？A)業(yè)務(wù)連續(xù)性自我審計B)資源恢復(fù)分析C)風(fēng)險評估D)差距分析[單選題]190.在實施前審查期間，信息系統(tǒng)審計師注意到某些場景尚未經(jīng)過測試。管理層表示該項目至關(guān)重要，不能推遲。以下哪一項是審計師的最佳行動步驟A)確定測試場景是否覆蓋了最重要的項目風(fēng)險B)建議推遲項目實施，直到所有場景都經(jīng)過測試C)幫助管理層在實施前完成剩余場景測試D)實施后在生產(chǎn)環(huán)境中執(zhí)行剩余的場景測試[單選題]191.關(guān)于有效的信息系統(tǒng)審計風(fēng)險評估，以下哪一項對公司來說是最大的益處?A)審計將對高風(fēng)險領(lǐng)域B)可以消除低風(fēng)險領(lǐng)域C)管理層的可信度得到提高D)未來審計的范圍已確立[單選題]192.在對內(nèi)部開發(fā)的網(wǎng)上采購審批應(yīng)用程序?qū)徲嬈陂g，一位Is審計師發(fā)現(xiàn)，所有的業(yè)務(wù)用戶共享同一訪問配置文件。以下哪一項是IS審計師應(yīng)在報告中包括的最重要的建議A)確保記錄了所有的用戶活動，且活動日只由管理層進行檢查B)在應(yīng)用程序中編制額外的配置文件，根據(jù)工作職責(zé)限制用戶訪問權(quán)限C)確保存在相應(yīng)的政策來控制用戶在應(yīng)用程序中能夠執(zhí)行的活動D)確保實施了虛擬私有網(wǎng)絡(luò)（VPN），保證用戶能夠安全登錄應(yīng)用程序[單選題]193.一套合理有效的信息安全策略最有可能包含以下哪一類(控制)程序來處理可疑的入侵？A)響應(yīng)的B)糾正的C)偵測的D)監(jiān)控的[單選題]194.已定義和完成的系統(tǒng)交付成果是新業(yè)務(wù)系統(tǒng)應(yīng)用的成功完成和實施的保證，該交付成果應(yīng)由誰審查和批準?A)用戶管理人員B)項目督導(dǎo)委員會C)高級管理層D)質(zhì)量保證人員[單選題]195.倘若發(fā)生災(zāi)難，對于災(zāi)難恢復(fù)計劃/業(yè)務(wù)持續(xù)性機會的成功度，下列哪個因素是最關(guān)鍵性的？A)當(dāng)前的操作系統(tǒng)軟件B)當(dāng)前的操作數(shù)據(jù)C)應(yīng)用軟件包D)系統(tǒng)工具軟件[單選題]196.在某醫(yī)院中，醫(yī)務(wù)人員攜帶存有病人健康狀況數(shù)據(jù)的手持式電腦。這些手持式電腦與可從醫(yī)院數(shù)據(jù)庫傳輸數(shù)據(jù)的PC同步。以下哪項措施最重要？A)手持式電腦得到了妥善保護，可在發(fā)生盜竊或丟失時防止數(shù)據(jù)機密性遭到破壞。B)在使用后刪除本地PC中臨時文件的員工具有維護PC的權(quán)限。C)通過制定政策和流程來確保同步能夠及時進行；D)手持式電腦的使用得到醫(yī)院政策的允許。[單選題]197.在應(yīng)用程序開發(fā)中，質(zhì)量保證測試和用戶驗收測試被結(jié)合起來。IS審計師在檢查項目時應(yīng)著重關(guān)注:A)增加的維護費用B)有關(guān)測試的不正確文件C)不充分的功能測試D)問題解決的延遲[單選題]198.執(zhí)行邏輯訪問控制審查的IS審計師應(yīng)主要關(guān)注：A)對各種系統(tǒng)資源使用情況訪問日志的維護。B)在授予對系統(tǒng)資源的訪問權(quán)限之前對用戶的授權(quán)和身份的認證。C)通過加密或其他方法對服務(wù)器上存儲的數(shù)據(jù)的保護是否充分。D)問責(zé)制和識別訪問系統(tǒng)資源的任何終端的能力。[單選題]199.對生物識別系統(tǒng)的運行情況進行審查期間，IS審計師首先應(yīng)審查的階段是：A)注冊。B)識別。C)驗證。D)存儲。[單選題]200.在審質(zhì)量管理系統(tǒng)(QMS)時，IS審計師應(yīng)當(dāng)主要注重收集證據(jù)，以表明:A)質(zhì)量管理系統(tǒng)(QMS)遵循良好實踐。B)正在監(jiān)測持續(xù)改進目標。C)每年更新IT標準操作程序。D)定義了關(guān)鍵績效指標(KPI)[單選題]201.在制訂災(zāi)難恢復(fù)計劃時，決定可接受停機時間的標準是：A)年度損失期望值B)服務(wù)交付目標C)孤兒數(shù)據(jù)的數(shù)據(jù)D)最大可容忍損失[單選題]202.使用成熟模型（CMM）來評估應(yīng)用程序開發(fā)項目的主要目的是A)確保開發(fā)了適當(dāng)?shù)南到y(tǒng)流程和程序B)驗證是否開發(fā)了可靠的應(yīng)用程序C)確保系統(tǒng)安全要求合理恰當(dāng)D)驗證程序員的工作是否高效[單選題]203.以下哪些屬于縱深防御安全原則的示例？A)使用不同供應(yīng)商提供的兩道防火墻不間斷檢查入站站網(wǎng)絡(luò)流量B)在主機上使用防火墻和邏輯訪問控制來控制入站網(wǎng)絡(luò)流量C)在計算機中心建筑外沒有任何標識D)并行使用兩道防火墻來檢查不同類型的入流站流量[單選題]204.在組織實施時，一個組織的IT治理框架最重要的目標是：A)IT與業(yè)務(wù)的一致性B)問責(zé)制C)IT價值實現(xiàn)D)加強IT的投資回報[單選題]205.信息系統(tǒng)審計師被委任去執(zhí)行對一個應(yīng)用系統(tǒng)進行實施后維護的檢查過程。以下哪種情形將減弱信息系統(tǒng)審計師的獨立性。審計師：A)在應(yīng)用系統(tǒng)的開發(fā)過程中實施了詳細控制B)專門設(shè)計了一個嵌入審計模塊用來審計此應(yīng)用系統(tǒng)C)作為一個成員參與了此應(yīng)用系統(tǒng)項目團隊，但沒有操作職責(zé)D)就應(yīng)用系統(tǒng)最佳實務(wù)提供了咨詢意見[單選題]206.零售商店推出了無線電頻率識別（RFID、）標簽，為所有產(chǎn)品建立了唯一的序號。對于此種做法下列哪些是人們首要關(guān)心的？A)發(fā)布保密性B)波長可以由人體吸收C)RFID、標記可能不是可移動的D)RFID、消滅視線閱讀[單選題]207.經(jīng)初步調(diào)查，IS審計師有理由相信可能存在舞弊行為。IS審計師應(yīng):A)擴大工作范圍，判斷是否有必要開展調(diào)查。B)將該事件報告給審計委員會。C)向管理層報告欺詐的可能性。D)與外部法律顧問進行磋商，確定應(yīng)采取的行動方案。[單選題]208.要在海外安裝一個新的數(shù)據(jù)庫，以便向公眾區(qū)提供信息并且提高獲取信息的速度。此海外的數(shù)據(jù)庫服務(wù)器將放在某IDC，并實施更新以便獲得本地所存儲信息的鏡像。下面哪一個方面的操作的風(fēng)險最高？A)數(shù)據(jù)庫中存儲信息的機密性B)用于運行數(shù)據(jù)庫應(yīng)用的硬件C)海外數(shù)據(jù)庫備份的信息備份D)遠程訪問備份數(shù)據(jù)庫[單選題]209.在觀察一個業(yè)務(wù)繼續(xù)計劃的模擬，IS審計員注意到報警系統(tǒng)嚴重受到設(shè)施破壞。下列選項中，哪個是IS審計員可以提供的最佳建議：A)培訓(xùn)救護組如何使用報警系統(tǒng)B)報警系統(tǒng)為備份提供恢復(fù)C)建立冗余的報警系統(tǒng)D)把報警系統(tǒng)存放地窖里[單選題]210.控制自我評估（CSA）或者控制自我保證程序最主要的目標是：A)簡化企業(yè)的控制監(jiān)控程序B)替換某些內(nèi)部審計職責(zé)C)移除生產(chǎn)管理人員的控制責(zé)任D)將某些控制監(jiān)控責(zé)任轉(zhuǎn)移到職能領(lǐng)域[單選題]211.如果恢復(fù)時間目標(RTO)增加，則會:A)增加容災(zāi)能力。B)增加恢復(fù)成本。C)無法使用冷備援中心。D)增加數(shù)據(jù)備份頻率。[單選題]212.一位IS計師發(fā)現(xiàn)開發(fā)人員具有可訪問生產(chǎn)環(huán)境操作系統(tǒng)命令行的操作員權(quán)限。以下哪項控制可最大程度地降低對生產(chǎn)環(huán)境進行未檢測和未經(jīng)授權(quán)的程序變更所產(chǎn)生的風(fēng)險?A)記錄在命令行中輸入的命令B)定期計算程序的哈希鍵值，并與程序的最新授權(quán)版本的哈希鍵值進行匹配。C)使用預(yù)先批準的權(quán)限通過訪問權(quán)限限制工具來授予訪問操作系統(tǒng)命令行的權(quán)限。D)軟件開發(fā)工具和編譯器已從生產(chǎn)環(huán)境中刪除。[單選題]213.應(yīng)用系統(tǒng)開發(fā)的責(zé)任下放到各業(yè)務(wù)基層，最有可能導(dǎo)致的后果是A)大大減少所需資料通訊B)控制水平較低C)控制水平較高D)改善了職責(zé)分工[單選題]214.確認有組織的災(zāi)難恢復(fù)，最重要的是業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃是？A)被存儲在另一地點B)與所有用戶溝通過C)定期測試D)定期升級[單選題]215.對公司的最終用戶計算系統(tǒng)EUC進行審計時，以下哪一項發(fā)現(xiàn)會是最大的關(guān)切?A)無法監(jiān)控EUC審計日志和活動B)公司的IT系統(tǒng)安全性降低C)遵循的補丁流程不一致D)將錯誤引入財務(wù)報表[單選題]216.對于為什么要將災(zāi)難恢復(fù)計劃(DRP)中的非關(guān)鍵系統(tǒng)和業(yè)務(wù)持續(xù)計劃(BCP)的測試集成在一起,以下哪項是最好的理由?A)確保DRP與業(yè)務(wù)影響分析(BIA)一致B)基礎(chǔ)設(shè)施恢復(fù)人員可以得到業(yè)務(wù)問題專家的幫助。C)BCP可以假設(shè)存在DRP中并不存在的能力。D)為企業(yè)高級管理人員提供災(zāi)難恢復(fù)能力方面的知識。[單選題]217.代碼簽名的目的是保障A)軟件未經(jīng)后續(xù)修改。B)應(yīng)用程序可與其他已簽名的應(yīng)用程序安全對接C)應(yīng)用程序的簽名者值得信賴。D)簽名者的私鑰未被泄漏。[單選題]218.在向供應(yīng)商授予臨時訪問權(quán)限時，以下哪項是最有效的控制措施？A)供應(yīng)商的訪問權(quán)限符合服務(wù)級別協(xié)議（SLA）。B)根據(jù)所提供的服務(wù)創(chuàng)建用戶帳戶并對其設(shè)置到期日期。C)在有限的時間段內(nèi)提供管理員訪問權(quán)限D(zhuǎn))在工作完成后刪除用戶ID[單選題]219.信息系統(tǒng)審計師發(fā)現(xiàn)根據(jù)信息系統(tǒng)策略，一個被終止用戶的ID應(yīng)在90天內(nèi)停用。IS應(yīng)：A)報告控制在有效運行以來，所發(fā)生的停用時限是在信息系統(tǒng)策略規(guī)定的時間框架內(nèi)B)確認已被授予應(yīng)有的訪問權(quán)限的用戶C)建議修訂信息系統(tǒng)策略，以確保用戶ID在終止時停用D)建議定期對已被終止的用戶的活動日志，進行審核[單選題]220.制定一個成功的業(yè)務(wù)連續(xù)性計劃，最終用戶在下列那個階段涉入是最關(guān)鍵的？A)業(yè)務(wù)恢復(fù)戰(zhàn)略B)制定詳細計劃C)業(yè)務(wù)影響分析（BIA）D)測試和維護[單選題]221.資料庫管理系統(tǒng)軟件包不可能提供下面哪一種訪問控制功能?A)用戶對欄位數(shù)的訪問B)用戶在網(wǎng)路層的登錄C)在程序級的身份驗證D)在交易級的身份驗證[單選題]222.下列哪一項具體解決如何偵測組織IT系統(tǒng)的網(wǎng)絡(luò)攻擊和如何在攻擊后恢復(fù)？A)事件響應(yīng)計劃B)IT意外事件計劃C)業(yè)務(wù)持續(xù)性計劃D)運行持續(xù)性計劃[單選題]223.當(dāng)執(zhí)行數(shù)據(jù)庫檢查時，信息系統(tǒng)審計師注意到數(shù)據(jù)庫里的有些表沒有規(guī)格化。信息系統(tǒng)審計師接下來應(yīng)該：A)推薦配置數(shù)據(jù)規(guī)格B)檢查數(shù)據(jù)概念模型C)檢查存儲過程D)檢查說明文件[單選題]224.數(shù)字簽名包含信息摘要，以便：A)顯示消息是否在傳輸后發(fā)生改變B)定義加密算法C)確定發(fā)起人的身份D)以數(shù)字格式傳輸消息。[單選題]225.下列哪一項對信息安全管理系統(tǒng)的成功最為關(guān)鍵？A)管理部門對信息安全的承諾B)用戶對信息安全的責(zé)任確立C)信息安全與IT目標的統(tǒng)一D)業(yè)務(wù)與信息安全的集成[單選題]226.以下哪個選項最令I(lǐng)S審計是擔(dān)心？A)沒有對成功攻擊網(wǎng)絡(luò)的行為進行報告B)未能將入侵企圖通知警方C)沒有對訪問權(quán)限進行定期檢查D)沒有通知公眾存在入侵行為[單選題]227.支持安全評定／認證需要執(zhí)行的保證任務(wù)，應(yīng)在何時確定：A)在完成必要的修改之后。B)在用戶驗收階段。C)在項目規(guī)劃階段。D)在制定了質(zhì)量保證計劃之后。[單選題]228.一個信息系統(tǒng)審計師被要求檢查一項執(zhí)行標準化IT基礎(chǔ)設(shè)施的提議。下述哪個發(fā)現(xiàn)需要在審計師的報告中展現(xiàn)出來？A)提高IT服務(wù)交付與操作支持的成本效益B)增加IT服務(wù)交付與支持的復(fù)雜度C)減少在IT基礎(chǔ)設(shè)施的投資水平D)減少未來應(yīng)用程序變化的測試需求[單選題]229.以下哪個組件負責(zé)收集入侵檢測系統(tǒng)（IDS）中的數(shù)據(jù)？A)分析器B)管理控制臺C)用戶界面D)傳感器[單選題]230.IT審計師評價一個無線網(wǎng)絡(luò),其最應(yīng)關(guān)注以下哪一項A)使用128-B、it靜態(tài)WEP加密B)使用SSID、廣播C)所有無線客戶機安裝了防病毒軟件D)配置MA、C、訪問過濾控制[單選題]231.在審查公司的信息安全政策時，信息系統(tǒng)審計師應(yīng)該驗證定義安全政策的主要基準是:A)信息安全框架B)過去的信息安全事故C)風(fēng)險管理流程D)行業(yè)最佳實踐[單選題]232.用戶結(jié)合使用其分配的安全令牌及個人識別碼（PIN）來訪問公司的虛擬專用網(wǎng)絡(luò)（VPN）。對于PIN，安全政策中應(yīng)包含哪項最重要的規(guī)則？A)用戶不應(yīng)將令牌置于容易被盜的地方B)用戶不得將令牌與便攜式計算機置于同一包中C)用戶應(yīng)選擇完全隨機且沒有重復(fù)數(shù)字的PIND)用戶不應(yīng)將PIN寫下來[單選題]233.以下哪個是IS審計師在審計日志方面最普遍考慮的問題？A)日志只能被系統(tǒng)管理員檢查。B)需要特殊工具才能搜集和檢閱日志。C)一般情況下日志不是有規(guī)律的被備份。D)搜集日志但并不分析。[單選題]234.審查組織中的變更管理措施時，以下那個選項是IS審計師最應(yīng)關(guān)注的A)計劃外變更通常在事后獲得批準B)在最近的一次系統(tǒng)升級中，加急變更數(shù)量翻倍C)高層管理人員不在時，IT經(jīng)理可以批準變更D)變更可以得到正確記錄，但并不總能應(yīng)用到災(zāi)難恢復(fù)站點的全部系統(tǒng)上[單選題]235.交易審計痕跡的主要目的是?:A)減少使用存儲媒介、B)為處理交易確定問責(zé)制和責(zé)任制、C)幫助系統(tǒng)審計師進行細微審查、D)為能力規(guī)劃提供有益的信息、[單選題]236.IS審計師在對系統(tǒng)分級時，如果某系統(tǒng)允許在較長的時間段內(nèi)以可接受的成本進行人工操作，該系統(tǒng)應(yīng)被定義為A)關(guān)鍵級B)重要級C)敏感級D)非關(guān)鍵級[單選題]237.IS審計師最好采取以下哪項措施?A)制定替代的測試程序。B)將發(fā)現(xiàn)結(jié)果作為缺陷報告給管理層。C)對變更管理流程執(zhí)行穿行性測試。D)創(chuàng)建程序的額外樣本變更。[單選題]238.在一個小企業(yè)審計期間，信息系統(tǒng)審計員注意到信息系統(tǒng)總監(jiān)有變更應(yīng)用程序訪問角色的超級用戶權(quán)限，如下哪個是信息系統(tǒng)審計員推薦的？A)為應(yīng)用程序角色改變請求實施適當(dāng)?shù)奈臋n處理B)為應(yīng)用程序角色的變更雇傭一個額外的員工提供隔離的責(zé)任C)為應(yīng)用程序角色變更執(zhí)行一個自動化的程序D)文檔化當(dāng)前過程細節(jié)并且使其在企業(yè)網(wǎng)內(nèi)是可用的[單選題]239.在評估企業(yè)的信息安全治理的有效性時，以下哪一項應(yīng)是信息系統(tǒng)審計師的最大擔(dān)憂？A)沒有衡量信息安全績效的過程B)沒有定期進行信息資產(chǎn)的風(fēng)險評估C)沒有由執(zhí)行管理層審查信息安全政策D)信息安全政策沒有擴展到服務(wù)提供商[單選題]240.組織可以確保其員工中的電子郵件接收者可以通過以下哪種方式對發(fā)送者的身份進行認證：A)對所有電子郵件消息執(zhí)行數(shù)字簽名B)加密所有的電子郵件消息C)壓縮使用的電子郵件消息D)使用密碼保護所有的電子郵件消息[單選題]241.缺乏足夠的控制表示以下哪一項?A)影響B(tài))漏洞C)資產(chǎn)D)威勵[單選題]242.信息系統(tǒng)審計師計劃進行跟進，并且被操作管理層告知新的優(yōu)先事項阻止他們實施行動計劃。管理層計劃在下個季度之后解決審計問題，什么應(yīng)該是審計師的下一個行動步驟？A)向?qū)徲嬑瘑T會報告管理層缺乏行動B)評估延遲實施的風(fēng)險C)按計劃進行跟進審計業(yè)務(wù)D)將跟進審計業(yè)務(wù)推遲到今年晚些時候[單選題]243.在審計報告中包含的具體發(fā)現(xiàn)應(yīng)該由誰來最終決定A)審計委員會B)被審人員的經(jīng)理C)信息系統(tǒng)審計師D)組織的首席執(zhí)行官[單選題]244.下面哪個是在決策支持系統(tǒng)中的實施風(fēng)險？A)管理控制B)半結(jié)構(gòu)化的維度C)沒辦法定義目標和使用模式D)決策過程的變更[單選題]245.組織要捐贈一些本單位的舊計算機設(shè)備給希望小學(xué)，在運輸這些捐贈品之前應(yīng)該確保：A)計算機上不曾保存機密資料B)受捐的希望小學(xué)簽署保密協(xié)議C)資料存儲的介質(zhì)是徹底空白的D)所有資料已經(jīng)被刪除[單選題]246.企業(yè)目前磁帶備份，每周一次全備份、每日一次增量備份的策略。最近，企業(yè)領(lǐng)導(dǎo)把磁帶備份流程中增加了向磁盤備份的步驟。這種做法之所以恰當(dāng)，是因為：A)它支持非現(xiàn)場存儲的快速合成備份B)向磁盤備份的速度遠快于向磁帶備份C)隨著技術(shù)的進步，不再需要磁帶庫D)資料保存在磁盤上，其可靠性高于磁帶存儲[單選題]247.IS審計師評估邏輯訪問控制時首先應(yīng)該：A)記錄對系統(tǒng)訪問路徑的控制B)測試訪問路徑的控制以判斷是否起作用C)評估與已有政策和實踐相關(guān)的安全環(huán)境D)獲取并理解信息處理的安全風(fēng)險[單選題]248.一個數(shù)據(jù)中心擁有身份認證系統(tǒng)，下列哪一項對保護中心計算機資產(chǎn)最重要？A)認證軟件被安裝在篡改容易被發(fā)現(xiàn)的位置。B)控制認證系統(tǒng)的計算機經(jīng)常備份。C)有防止證書被盜或丟失的流程。D)所有的證書請求都被記錄。[單選題]249.在系統(tǒng)開發(fā)項目完成后，對項目的復(fù)核應(yīng)包含以下哪項A)評估在產(chǎn)品發(fā)布后產(chǎn)生的停工風(fēng)險B)總結(jié)經(jīng)驗以便適用于以后的項目C)驗證開發(fā)后的系統(tǒng)中的控制點D)確保測試數(shù)據(jù)已經(jīng)被刪除[單選題]250.一個IT安全策略的審計師的首要目標是確保：A)他們分布并提供給所有工作人員B)安全和控制策略支持業(yè)務(wù)和IT目標C)有一個功能描述組織結(jié)構(gòu)D)職責(zé)適當(dāng)分離[單選題]251.下面哪一條是信息系統(tǒng)審計師主要考慮的問題？A)備份站點是否有一個?誘捕陷阱＂B)備份站點是否有安全保衛(wèi)人員C)備份站點與主站點間是否有一段合理的距離D)備份站點是否是一個服務(wù)機構(gòu)[單選題]252.開發(fā)安全架構(gòu)時，首先應(yīng)該執(zhí)行下列步驟中的哪個步驟?A)制定安全流程B)制定安全政策C)明確訪問控制方法D)定義角色和責(zé)任[單選題]253.在什么情況下，可將實施熱備援中心作為恢復(fù)策略:A)容災(zāi)能力很低。B)恢復(fù)點目標(RPO)很高。?C)恢復(fù)時間目標(RTO)很高。D)可容忍的最長停機時間(MTD)很長[單選題]254.Web和電子郵件過濾工具是組織最寶貴的資產(chǎn)，因為這些工具：A)保護組織免受病毒和非業(yè)務(wù)材料的侵擾。B)最大化員工績效。C)保護組織形象。D)幫助組織預(yù)防法律問題。[單選題]255.機房中，以下哪項最能被活動地板有效地保護:A)計算機及服務(wù)器周邊的線纜損壞B)由靜電引起的斷電C)地震D)水災(zāi)[單選題]256.在對業(yè)務(wù)持續(xù)性計劃進行驗證時，以下哪項對于信息系統(tǒng)審計師來說最為重要A)數(shù)據(jù)備份準時執(zhí)行B)備份站點已簽訂合約，并且在需要時可以使用C)人員安全計劃部署適當(dāng)D)保險[單選題]257.一個組織使用新系統(tǒng)取代一個遺留系統(tǒng)時，下面哪項做法具有最大風(fēng)險？A)實驗性的B)并行測試C)快速切換D)分階段切換[單選題]258.某公司既執(zhí)行完整數(shù)據(jù)庫備份，也執(zhí)行增量數(shù)據(jù)庫備份。當(dāng)數(shù)據(jù)中心遭破壞后，以下哪一項能夠提供最佳的完全恢復(fù)？A)每周將完全備份移至一個異地地點B)每日將增量備份存放到一個異地地點C)每日將所有備份循環(huán)存放到異地地點D)將完全備份和增量備份放在一個安全的服務(wù)器機房[單選題]259.以下哪個選項是IT督導(dǎo)委員會的職能?A)監(jiān)控由供應(yīng)商控制的變更控制和測試B)確保信息處理環(huán)境中的職責(zé)分離C)審批和監(jiān)控重大項目，如IT計劃狀態(tài)及預(yù)算D)在IT部門與最終用戶之間協(xié)調(diào)溝通[單選題]260.使用數(shù)字簽名時．由誰計算消息摘要?A)僅由發(fā)送者。B)僅由接收者。C)由發(fā)送者和接收者。D)由認證頒發(fā)機構(gòu)(CA)1.答案:D解析:2.答案:B解析:A.在重檢更新后的業(yè)務(wù)案例之前，IS審計師不應(yīng)該建議中斷或繼續(xù)完成項目