CISA考試練習(xí)(習(xí)題卷9)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共260題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.信息系統(tǒng)審計員在一個政府研究設(shè)施執(zhí)行通信審計時注意到部分網(wǎng)絡(luò)連接使用到了光纖，其它網(wǎng)絡(luò)使用常用的非屏蔽雙絞線。如下哪個是使用雙絞線帶來的最大風(fēng)險？A)帶寬缺乏帶來的性能問題B)入侵者可以接入電纜截取數(shù)據(jù)C)安裝可能會被延期，因為光纖是最容易折斷和安裝復(fù)雜的D)由于干擾可能會導(dǎo)致信息泄露[單選題]2.在計算可接受的關(guān)鍵業(yè)務(wù)流程恢復(fù)時間時，A)只需考慮停機時間的成本B)需要分析恢復(fù)操作的成本C)停機時間成本和恢復(fù)操作成本都需要考慮D)可以忽略間接的停機成本[單選題]3.確定某家企業(yè)關(guān)鍵流程的恢復(fù)點目標(RPO)時，以下哪一項最重要?A)可接受的停機時數(shù)B)恢復(fù)關(guān)鍵系統(tǒng)的總成本C)可接受的數(shù)據(jù)損失程度D)可接受的服務(wù)等級下降[單選題]4.需要在正常工作時間后對數(shù)據(jù)庫作出緊急更改的數(shù)據(jù)庫管理員（DBA）應(yīng)登錄A)自己的具名賬戶進行更改B)共享的DBA賬戶進行修改C)服務(wù)器管理賬戶進行更改D)用戶賬戶進行變更[單選題]5.為對審計反饋的一部分，被審計單位對審計建議有顧慮，猶豫不決是否要實施。以下哪一項是信息系統(tǒng)審計師的最佳行動步驟？A)接受被審計單位的反饋，進行其他測試B)發(fā)布不包括被審計單位意見的最終報告C)與被審計單位進行進一步討論制定緩解計劃D)建議聘用第三方顧問來評估當前狀態(tài)[單選題]6.下面哪項能在數(shù)據(jù)處理過程中最好地檢測出錯誤？A)程序編輯檢查B)精心設(shè)計的數(shù)據(jù)進輸入審查C)職責(zé)分享D)哈希運算[單選題]7.采用自上而下的方法來制定運營政策有助于確保:A)這些政策在整個組織內(nèi)保持一致。B)將這些政策作為風(fēng)險評估的一部分來實施。C)遵守所有政策。D)定期對這些政策進行審查。[單選題]8.IS審計師審查在線電子資金轉(zhuǎn)賬(EFI對賬流程時，應(yīng)該確保涵蓋:A)核單情況B)授權(quán)情況。C)更正工作。D)跟蹤情況。[單選題]9.員工使用便攜式介質(zhì)（MP3播放器、閃存驅(qū)動器）時，IS審計師最應(yīng)關(guān)注以下哪項？A)缺少管理便攜式介質(zhì)使用的政策B)將音頻和視頻文件復(fù)制到便攜式介質(zhì)C)便攜式介質(zhì)給組織帶來的成本D)惡意代碼在整個組織中傳播[單選題]10.下列哪個信息安全意識項目的有效性最具有象征性？A)額外的信息安全事件被報告B)所有員工都簽署了信息安全策略C)大多數(shù)員工都參加了信息宣傳會議D)信息安全責(zé)任已列入工作說明[單選題]11.下列哪一項是對確定項目活動帶優(yōu)先級和確定項目的時間表最有幫助？A)甘特圖（一種按照時間進度標出工作活動，常用項目管理的圖表）B)掙值分析法（是一種項目跟蹤、對項目狀態(tài)評估的技術(shù)。其核心內(nèi)容是將工作、工作進度量化為價值，工作計劃-預(yù)算，實際工作進展-成本，使得我們可以客觀的精確地計算共完成的百分比。它解決了在任務(wù)持續(xù)時間段內(nèi)憑借主觀估計該任務(wù)完成情況的問題）C)項目評審技術(shù)D)功能點分析法[單選題]12.由于IT的變化，一個大型組織的災(zāi)難恢復(fù)計劃已改變。如果沒有測試新計劃，其中主要的風(fēng)險是什么？A)災(zāi)難性服務(wù)中斷B)資源的高消耗C)恢復(fù)總成本無法最小化D)當計劃啟動的時候，用戶和恢復(fù)小組可能面臨嚴重的困難[單選題]13.IS審計師檢查日志文件中的失敗登陸的嘗試，那么，最關(guān)注的賬號是：A)網(wǎng)路管理員B)系統(tǒng)管理員C)資料管理員D)資料庫管理員[單選題]14.當檢查一個ID、S系統(tǒng)時，IS審計員應(yīng)當最關(guān)注下列哪一項：A)非威脅識別成威脅的事件的數(shù)量B)沒有系統(tǒng)被識別出來攻擊C)被自動化工具生成的報告/日志D)被系統(tǒng)阻止的合法流量[單選題]15.針對特定威脅的整體業(yè)務(wù)風(fēng)險可以表示為：A)如果威脅成功利用漏洞，產(chǎn)生的可能性和影響程度B)威脅成功利用此漏洞的影響程度C)威脅對某一特定的漏洞利用的可能性的來源D)對風(fēng)險評估小組的集體判斷[單選題]16.為了獲得一個組織的規(guī)劃和IT資產(chǎn)投資的有效理解，一個信息系統(tǒng)審計師應(yīng)該審查？A)企業(yè)數(shù)據(jù)模型B)IT平衡記分卡（BSC)C)IT組織結(jié)構(gòu)D)歷史財務(wù)報表[單選題]17.下列哪個選項能夠為電子商務(wù)交易提供不可否認性服務(wù)？A)公鑰基礎(chǔ)構(gòu)架（PKI）B)數(shù)據(jù)加密標準（DES）C)消息驗證代碼（MAC）D)個人標識碼（PIN）[單選題]18.組織實施災(zāi)難恢復(fù)計劃的目的之一是在災(zāi)難發(fā)生時可以減少恢復(fù)時間和恢復(fù)成本。災(zāi)難發(fā)生前后，災(zāi)難恢復(fù)計劃將會增加運行成本，但是可以減少重新恢復(fù)到正常經(jīng)營的時間，減少因災(zāi)難引起的成本（損失）。組織財務(wù)系統(tǒng)災(zāi)難恢復(fù)計劃指出，恢復(fù)點目標（RPO）要沒有數(shù)據(jù)損失和時間目標（RTO）是72小時，以下最符合成本效益的解決方案是：A)8小時內(nèi)即可運行的熱站，交易日志的異步備份B)異步更新位于多個地點的分布式數(shù)據(jù)庫系統(tǒng)C)數(shù)據(jù)同步更新，在熱站有備用系統(tǒng)D)數(shù)據(jù)同步遠程拷貝到溫站，并且溫站可以在48小時內(nèi)運行[單選題]19.以下哪一項是在開發(fā)在線應(yīng)用程序的過程中嵌入審計模塊的主要目的?A)在處理交易的過程中收集證據(jù)B)降低定期進行內(nèi)部審計的要求C)識別和報告欺詐性交易D)提高審計功能的效率[單選題]20.以下哪項是處置含有機密信息的磁介質(zhì)的最穩(wěn)妥的方法？A)消磁B)碎片整理C)擦除D)破壞[單選題]21.試圖去控制像用密鑰卡或者鎖的計算機房這樣敏感區(qū)域的物理訪問所帶來的風(fēng)險是A)未授權(quán)人員在控制門前等待授權(quán)人員打開門后尾隨B)組織的偶然計劃不能有效的檢測控制訪問實踐C)控制卡，鑰匙還有輸密碼的小鍵盤可以容易的被復(fù)制，這就允許了控制很容易被妥協(xié)D)移除不再有權(quán)限的人的訪問權(quán)限很復(fù)雜[單選題]22.一個IT災(zāi)難恢復(fù)措施已經(jīng)實施到位并且進行了多年定期測試的中等規(guī)模組織剛剛制定了一個正式的業(yè)務(wù)連續(xù)性計劃(BCP)。已經(jīng)成功進行了基本的BCP桌面演練。要驗證新BCP的充分性IS審計師接下來應(yīng)建議進行以下哪項測試?A)全面測試(將包括IT部門在內(nèi)的所有部門轉(zhuǎn)移到應(yīng)急站點)B)對一系列預(yù)定義情景(涉及所有關(guān)鍵人員)進行的穿行測試C)IT災(zāi)難恢復(fù)測試(業(yè)務(wù)部門參與測試關(guān)鍵應(yīng)用程序D)情景功能測試(有限IT人員參與)[單選題]23.無線局域網(wǎng)比有線局域網(wǎng)在哪方面具有更大的風(fēng)險？A)偽裝和修改/替換B)修改/替換和設(shè)備失竊C)竊聽和偽裝D)竊聽和盜竊設(shè)備[單選題]24.下列哪種風(fēng)險說明了與程序的陷門有關(guān)的風(fēng)險：A)固有風(fēng)險B)審計風(fēng)險C)檢查風(fēng)險D)業(yè)務(wù)（商業(yè)）風(fēng)險[單選題]25.審計師觀察到不存在恰當?shù)捻椖颗鷾柿鞒蹋麘?yīng)該：A)提供詳細流程建議實施。B)尋找沒有書面批準流程的證據(jù)。C)確認缺乏恰當?shù)捻椖颗鷾柿鞒淌遣蛔愕捻椖抗芾砑寄艿娘L(fēng)險標志，建議項目管理培訓(xùn)作為補償性控制D)向管理層建議采取恰當?shù)捻椖颗鷾柿鞒滩⑽臋n化。[單選題]26.小到中型組織，通過互聯(lián)網(wǎng)連接到私有網(wǎng)絡(luò)，下列哪種方法是最安全和經(jīng)濟的A)虛擬專用網(wǎng)B)專有線路C)租用專線D)綜合服務(wù)數(shù)字網(wǎng)絡(luò)[單選題]27.IS審計師需要獲得充分和適當?shù)膶徲嬜C據(jù)的最重要原因是:A)遵從需求的調(diào)整B)是提供合理結(jié)論的基礎(chǔ)C)確保完整的審計覆蓋D)依據(jù)已定義的范圍完成審計[單選題]28.評價一個組織安全意識培訓(xùn)的充分性，以下哪一項是最佳的衡量標準A)高管層意識到關(guān)鍵的信息資產(chǎn)并表明對他們進行適當?shù)谋ＷoB)在作業(yè)描述中對信息安全的主要責(zé)任人進行了清晰的描述C)與風(fēng)險和業(yè)務(wù)的影響等級保持一致，對安全成果有足夠的資金保障D)沒有泄露和其他公開事件的發(fā)生[單選題]29.在將軟件開發(fā)外包給第三方時，企業(yè)在軟件托管協(xié)議中包含以下哪一項最重要？A)托管代理存儲庫將接受企業(yè)的定期審計B)托管代理存儲庫將受到安全保護以防止供應(yīng)商訪問C)托管代理存儲庫將保存在企業(yè)自己的國家D)托管代理存儲庫將隨著軟件產(chǎn)品的發(fā)展而更新[單選題]30.在檢查一個組織的邏輯訪問安全時，下面哪個是IS審計員最關(guān)心的：A)密碼沒有共享B)密碼文件沒有加密C)多余的登錄帳號被刪除D)登錄帳號分配受控制[單選題]31.某公司和外部咨詢公司簽約資金系統(tǒng)以替換現(xiàn)有的自行開發(fā)系統(tǒng)。在審核提交的開發(fā)途徑時，下面那一項最值得關(guān)注？A)由用戶來管理驗收測試B)質(zhì)量規(guī)劃不是合同內(nèi)容的一部分C)在初步實施新系統(tǒng)會導(dǎo)致部分業(yè)務(wù)不可用D)原型法被用于確保系統(tǒng)滿足業(yè)務(wù)需求[單選題]32.安裝完網(wǎng)絡(luò)后，組織又安裝了弱點評測工具和安全掃描儀來分辨可能存在的弱點。下面哪一個與這些工具相關(guān)的風(fēng)險最嚴重：A)差異報告B)錯誤肯定報告C)錯誤否定報告D)簡要報告[單選題]33.數(shù)字簽名要求：A)簽名者擁有公鑰，接收者擁有私鑰。B)簽名者擁有私鑰，接受者擁有公鑰。C)簽名者和接收者均擁有公鑰。D)簽名者和接收者均擁有私鑰。[單選題]34.一位IS審計師了解到，一家小公司的新任人力資源經(jīng)理曾是一位IT網(wǎng)絡(luò)管理員，這位新任HR經(jīng)理利用自己的IT技術(shù)，賦予自己權(quán)利閱讀員工的電子郵件并監(jiān)控他們的網(wǎng)絡(luò)使用情況，這位IS審計師應(yīng)該A)記錄問題、驗證有無違反公司策略B)請求立即取消HR經(jīng)理的訪問權(quán)限C)什么也不做，因為公司沒有隱私權(quán)政策D)聯(lián)絡(luò)公司總裁，告知其這一問題[單選題]35.關(guān)鍵應(yīng)用設(shè)定了低的恢復(fù)時間目標，信息系統(tǒng)審計員應(yīng)該推薦使用如下哪個恢復(fù)策略：A)移動站點B)冗余站點C)熱站D)互惠協(xié)議[單選題]36.當實施一個數(shù)據(jù)倉庫時，哪一項是最大的風(fēng)險？A)在生產(chǎn)系統(tǒng)上增加的響應(yīng)時間B)在數(shù)據(jù)修改上不充分的訪問控制C)數(shù)據(jù)重復(fù)D)過期或不正確的數(shù)據(jù)[單選題]37.信息系統(tǒng)審計師受雇于評估電子商務(wù)安全。信息系統(tǒng)審計師的首要任務(wù)檢查每個存在的電子商務(wù)應(yīng)用來尋找脆弱性。下一個任務(wù)是什么？A)馬上向C、IO和C、EO匯報風(fēng)險B)檢查開發(fā)中的電子商務(wù)應(yīng)用系統(tǒng)C)識別威脅和發(fā)生的可能性D)檢查風(fēng)險管理的可用預(yù)算[單選題]38.IS審計師發(fā)現(xiàn)不是所有雇員都了解企業(yè)的信息安全政策。IS審計師應(yīng)當?shù)贸鲆韵履捻椊Y(jié)論：A)這種缺乏了解會導(dǎo)致不經(jīng)意地泄露敏感信息B)信息安全不是對所有只能都是關(guān)鍵的C)IS審計應(yīng)當為那些雇員提供培訓(xùn)D)該審計發(fā)現(xiàn)應(yīng)當促使管理層對員工進行繼續(xù)教育[單選題]39.在發(fā)現(xiàn)未知惡意攻擊時，以下哪一項安全測試技術(shù)最有效？A)沙盒（sandboxing）B)滲透測試C)漏洞測試D)逆向工程（reverseengineering)[單選題]40.經(jīng)過全面的應(yīng)急操作測試后，IS審計師審查恢復(fù)步驟時，發(fā)現(xiàn)將技術(shù)環(huán)境和系統(tǒng)恢復(fù)到全面運行的時間超出了要求的關(guān)鍵恢復(fù)時間。審計師應(yīng)該建議：A)進行恢復(fù)任務(wù)的整體審查B)擴大處理能力贏得恢復(fù)時間C)改進設(shè)備的使用結(jié)構(gòu)D)增加恢復(fù)工作的人手[單選題]41.當審計一個非常重要的業(yè)務(wù)領(lǐng)域的災(zāi)難恢復(fù)計劃時，某信息系統(tǒng)審計師發(fā)現(xiàn)其沒有包含所有的系統(tǒng)。對這個審計員來說，下面哪個行動時最合適的？A)通知管理層，并評估其沒有包含系統(tǒng)的影響度B)取消審計C)完成現(xiàn)存DRP涉及的系統(tǒng)審計D)推遲審計，直至所有系統(tǒng)都被包含到復(fù)原計劃中[單選題]42.一位IS審計師在為某全球性組織執(zhí)行IS審計時發(fā)現(xiàn)，該組織將經(jīng)由互聯(lián)網(wǎng)的IP（VoIP）語音作為各辦事處之間語音連接的唯一手段。以下哪項是該組織VoIP基礎(chǔ)實施中存在的最大風(fēng)險？A)網(wǎng)絡(luò)設(shè)備故障B)分布式拒絕服務(wù)（DDos）攻擊C)優(yōu)惠率欺騙（資費欺騙）D)社會工程攻擊[單選題]43.信息系統(tǒng)審計師使用端口掃描軟件來:A)檢測開放服務(wù)B)確保所有端口都在使用之中C)檢測入侵D)建立通訊鏈接[單選題]44.當評價一個覆蓋公用WA、N的VoIP系統(tǒng)執(zhí)行情況時，信息系統(tǒng)審計師最期望發(fā)現(xiàn)：A)一條綜合服務(wù)數(shù)字網(wǎng)絡(luò)（ISD、N）數(shù)據(jù)鏈路。B)流量工程學(xué)。C)對數(shù)據(jù)進行WEP加密。D)模擬電話終端。[單選題]45.以下哪一項最能表明執(zhí)行強制的年度安全意識培訓(xùn)的有效性？A)社會工程測試結(jié)果趨勢B)第三方滲透測試結(jié)果C)安全事故的數(shù)量D)由隨機選取的員工完成的調(diào)查[單選題]46.在審查基于e的軟件開發(fā)項目期間，某S審計師發(fā)現(xiàn)編碼標準未得到貫徹執(zhí)行而且代碼審查也很少執(zhí)行。此情況最有可能增加成功完成以下哪項攻擊的可能性:A)緩沖區(qū)出B)窮舉攻擊。C)分布式拒絕服務(wù)(DoS)攻擊。D)戰(zhàn)爭撥號攻擊[單選題]47.下面哪種數(shù)據(jù)有效性編輯檢查形式被用于確定某個區(qū)域包含數(shù)據(jù)，而不是零或空白？A)檢驗數(shù)位B)存在性檢查C)完備性檢查D)合理性檢查[單選題]48.當評價一個計算機的預(yù)防維護程序的有效性和充分性時，下列哪一個被信息系統(tǒng)審計師認為最有幫助？A)系統(tǒng)停機日志B)供應(yīng)商的可靠數(shù)字C)周期的排定維護日志D)一個書面的預(yù)防維護時間表[單選題]49.相對于不存在災(zāi)難恢復(fù)計劃，和當前災(zāi)難恢復(fù)計劃的成本對比，最接近的是：A)增加B)減少C)保持不變D)不可預(yù)知[單選題]50.要了解多個項目的管理控制是否有效，IS審計師應(yīng)該審查下列哪項?A)項目數(shù)據(jù)庫B)政策文檔C)項目組合數(shù)據(jù)庫D)項目群組織[單選題]51.為確定供應(yīng)商滿足關(guān)于某關(guān)鍵IT安全服務(wù)的服務(wù)等級協(xié)議(SLA)要求的能力，IS審計師最好參考以下哪一項?A)主協(xié)議合規(guī)性B)商定的關(guān)鍵性能指標C)業(yè)務(wù)連續(xù)性管理測試的結(jié)果D)獨立審計報告的結(jié)果[單選題]52.下列哪一項代表缺乏充分的安全控制？A)威脅B)資產(chǎn)C)影響D)漏洞[單選題]53.一個開放式系統(tǒng)架構(gòu)的優(yōu)點是？A)促進互操作性B)有利于整合私有的組件C)將從設(shè)備供應(yīng)商處得到折扣D)獲得在設(shè)備上的更多經(jīng)濟成就[單選題]54.在審查一個活動的IT項目，IS審計員發(fā)現(xiàn)，由于預(yù)期的效益減少及成本的增加，業(yè)務(wù)模式不再有效。IS審計員應(yīng)該建議：A)終止項目。B)首先識別業(yè)務(wù)模式的變更及可能的糾正措施C)項目應(yīng)該讓贊助者重新批準D)應(yīng)先完成項目，之后更新業(yè)務(wù)模式[單選題]55.下面哪個選項有助于保證連接到數(shù)據(jù)庫的應(yīng)用的便攜性？A)數(shù)據(jù)庫導(dǎo)入/導(dǎo)出過程的核查B)SQL的使用C)存儲流程/觸發(fā)器的分析D)實體關(guān)系模型和數(shù)據(jù)庫物理結(jié)構(gòu)的同步[單選題]56.以下哪一項是兩家公司使用互惠協(xié)議解決災(zāi)難恢復(fù)的最大風(fēng)險？A)發(fā)展可能會導(dǎo)致硬件和軟件的不兼容B)資源在需要的時候未必可得C)恢復(fù)計劃無法測試D)每個公司的安全基礎(chǔ)設(shè)施不同[單選題]57.以下哪項為PKI目錄服務(wù)器的最佳描述？A)加密網(wǎng)絡(luò)中傳送的信息B)對其他用戶身份進行認證并提交應(yīng)用程序C)為執(zhí)行密碼策略提供便利D)保存認證撤回列表(C、RLs)[單選題]58.與使用檢查點重起程序的相關(guān)的邏輯風(fēng)險是:A)拒絕式服務(wù)B)異步進攻、C)搭線竊聽D)停機[單選題]59.在評估某家公司新建立的舉報系統(tǒng)過程中，審計師發(fā)現(xiàn)了幾個問題,以下哪一項應(yīng)是信息系統(tǒng)審計師的最大顧慮?A)舉報者的隱私權(quán)未加以保護B)系統(tǒng)不跟蹤提交的時間和日期C)系統(tǒng)僅在工作時間內(nèi)可用D)新員工對舉報政策不知情[單選題]60.以下哪一項能最大限度地保證信息的真實性？A)哈希碼在傳輸?shù)臅r候按照一定的數(shù)字邏輯進行數(shù)字化處理并傳輸B)哈希碼用發(fā)送者的私鑰進行加密C)哈希碼和信息都用密鑰進行加密D)信息發(fā)送者獲得接受信息人的公共密鑰，并通過認證授權(quán)驗證數(shù)字證書的真實性。[單選題]61.下列哪一個報告應(yīng)該被信息系統(tǒng)審計師用來檢查是否符合計算機正常運行事件的服務(wù)水平協(xié)議？A)利用報告B)硬件錯誤報告C)系統(tǒng)報告D)可用性報告[單選題]62.要確保結(jié)構(gòu)化災(zāi)難恢復(fù)，最重要的是業(yè)務(wù)連續(xù)性計劃(BCP)和災(zāi)難恢復(fù)計劃(DRP):A)存儲在備用位置。B)已傳達給所有用戶。C)定期測試D)定期更新[單選題]63.企業(yè)的業(yè)務(wù)連續(xù)性計劃的啟動應(yīng)基于以下哪方面的預(yù)定標準:A)中斷的持續(xù)時間。B)中斷的類型。C)中斷的概率。D)中斷的原因。[單選題]64.當一個組織外包客戶信用審核系統(tǒng)給第三方，信息系統(tǒng)審計師考慮最重要的是下列供應(yīng)商的哪一個？A)達到或超過行業(yè)安全標準B)同意受外部安全審查C)有經(jīng)驗的服務(wù)和良好的市場信譽D)符合該組織的安全策略[單選題]65.一家服務(wù)提供商參與了一個涉及保密信息的政府項目，在為其執(zhí)行IS審計時，IS審計師注意到該服務(wù)提供商將部分IS工作委派給了一家子承包商。以下那個選項最能確保保護信息機密性的要求都得以滿足?A)月度委員會會議中有子承包商方面的IS經(jīng)理參加B)管理層每周審查子承包商提交的報告C)政府機構(gòu)許可合同事項D)對子承包商的工作指派定期獨立審計[單選題]66.以下哪一項管理了數(shù)字證書的整個生命周期，以確保電子商務(wù)數(shù)字簽名系統(tǒng)具有充分的安全性和控制？A)注冊權(quán)威機構(gòu)(RA)(注冊中心)B)認證權(quán)威機構(gòu)(CA)(認證中心)C)證書撤銷(廢止)列表-CertifiCAtionRevoCA、tionList,CRLD)認證操作規(guī)范[單選題]67.某位曾參與過組織業(yè)務(wù)連續(xù)性計劃(BCP)設(shè)計的IS審計師被指派審計該計劃。IS審計師應(yīng)A)拒絕接受任務(wù)。B)完成審計任務(wù)后通知管理人員可能存在利益沖突。C)開始執(zhí)行任務(wù)前通知BCP團隊可能存在利益沖突。D)開始執(zhí)行任務(wù)前通知審計管理部門可能存在利益沖突。[單選題]68.以下哪項對于成功實施IT治理最為重要?A)實施IT記分卡B)確定組織戰(zhàn)略C)執(zhí)行風(fēng)險評估D)制定正式的安全政策[單選題]69.以下哪項環(huán)境控制措施可以在發(fā)生短時電力減弱時提供保護？A)電路調(diào)節(jié)器B)防浪涌設(shè)備C)冗余電源D)不間斷電源[單選題]70.在評估項目風(fēng)險管理流程的有效性時，以下哪一項應(yīng)是信息系統(tǒng)審計師的最大擔憂？A)發(fā)現(xiàn)風(fēng)險登記表中的某些風(fēng)險評級不正確B)風(fēng)險登記表不受版本控制C)風(fēng)險登記表中尚未確定風(fēng)險響應(yīng)措施D)每月對風(fēng)險登記表進行一次審查[單選題]71.測試程序的更改時,以下哪項是最適合作為總體來抽取樣本?A)測試庫清單B)原程序列表C)程序更改需求D)生產(chǎn)用鏈接庫清單[單選題]72.以下哪一項是進行IT控制環(huán)境基準測試的主要目標？A)檢測控制偏差B)確保IT安全戰(zhàn)略和政策有效C)定義流程和控制所有權(quán)D)使IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致[單選題]73.神經(jīng)網(wǎng)絡(luò)在檢測欺騙入侵的時候是有效的，因為他們能夠:A)發(fā)現(xiàn)新的趨勢，緣于他們的內(nèi)在聯(lián)系B)能夠解決在大量基礎(chǔ)培訓(xùn)數(shù)據(jù)不可獲得的時候產(chǎn)生的問題C)解決需要考慮大量不同的輸入的問題D)對任何曲線關(guān)系的輸出假設(shè)形態(tài)[單選題]74.為了減少成本，一個保險公司對關(guān)鍵應(yīng)用程序正在使用云計算技術(shù)，如下哪個選項是信息系統(tǒng)審計人員最關(guān)心的？A)在主要技術(shù)事故場景中恢復(fù)服務(wù)沒有的能力B)共享環(huán)境中的數(shù)據(jù)被其他公司訪問C)服務(wù)提供上沒有把對事件進行調(diào)查包括在內(nèi)D)當供應(yīng)商離開時，服務(wù)的長期穩(wěn)定性[單選題]75.在設(shè)計一個新系統(tǒng)時設(shè)立一個中斷或凍結(jié)點的原因是:A)避免對一個進行中的項目的更多的影響/變更。B)表明在該點設(shè)計將被完成。C)要求對該點進行成本－效益評估后變更。D)提供項目管理團隊對該項目設(shè)計更多的控制。[單選題]76.當一個系統(tǒng)便用射頻識別（RFID）時，信息系統(tǒng)審計師最應(yīng)該關(guān)注以下哪一項內(nèi)容？A)不可抵賴性B)隱私C)可維護性D)可擴展性[單選題]77.在使用公鑰加密保護通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)安全時A)加密和解密都使用公鑰B)加密使用私鑰，解密使用公鑰C)加密使用公鑰，解密使用私鑰D)加密和解密都使用私鑰[單選題]78.一個遺留的工資支付應(yīng)用系統(tǒng)被遷移到一個新的應(yīng)用程序，下列相關(guān)人員哪個主要負責(zé)檢查和簽收遷移前的數(shù)據(jù)的正確性和完整性？A)信息系統(tǒng)審計師B)數(shù)據(jù)庫管理員C)項目經(jīng)理D)數(shù)據(jù)所有者[單選題]79.對公司內(nèi)部網(wǎng)路實施滲透測試時，如下哪一種方法可以確保網(wǎng)路上的測試人始終不被發(fā)覺？A)使用現(xiàn)有的檔服務(wù)器或域控制器的IP地址發(fā)起測試B)每掃描幾分鐘暫停一會兒，以避免達到或超過網(wǎng)路負載極限C)在沒有人登陸的夜間實施掃描D)使多種掃描工具，多管齊下[單選題]80.當對某組織的臺式計算機軟件合規(guī)性進行審查時，安裝的軟件存在以下哪種情況吋最需要IS審計師給予關(guān)注:A)已安裝，但沒有記錄到T部門記錄中。B)由沒有對其使用經(jīng)過適當培訓(xùn)的用戶使用。C)沒有列于批準軟件標準的文檔中。D)許可證將在15天后到期[單選題]81.下列哪項是在審計計劃中基于風(fēng)險方法的好處？審計:A)提前數(shù)月完成審計時間計劃B)IS審計員對預(yù)算有所掌握C)審計成員面對多種技術(shù)挑戰(zhàn)D)把審計資源分配給高風(fēng)險的審計事項。[單選題]82.以下哪一項能夠最有效地確保用戶能夠不間斷地訪問關(guān)鍵的、任務(wù)繁重的web應(yīng)用程序?A)磁盤鏡像B)廉價磁盤冗余陣列(RAID)技術(shù)C)動態(tài)域名系統(tǒng)(DDNS)D)負載均衡[單選題]83.IS審計章程的主要目的是:A)建立審計部門的組織結(jié)構(gòu)。B)闡述IS審計職能部門的報告責(zé)任。C)詳細闡述IS審計部門執(zhí)行的審計流程和程序。D)概述IS審計職能部門的職責(zé)和權(quán)限。[單選題]84.審計WEB服務(wù)器時，IS審計師應(yīng)該關(guān)心個人通過哪個選項對保密信息進行未授權(quán)訪問的風(fēng)險？A)通過網(wǎng)關(guān)接口（CGI）的腳本。B)enterprisejavA.beans（EJB）C)小應(yīng)用程序（Applet）D)WEB服務(wù)[單選題]85.某組織正在實施企業(yè)資源規(guī)劃(ERP)應(yīng)用程序。為確保項目按計劃進行并取得預(yù)期結(jié)果，準應(yīng)該對項目的監(jiān)督工作負主要貴任?A)項目發(fā)起人B)系統(tǒng)開發(fā)項目團隊(SDPT)C)項目督導(dǎo)委員會D)用戶項目團隊(UPT)[單選題]86.某公司的開發(fā)團隊未采用普遍接受的系統(tǒng)開發(fā)生命周期(SDLC)實踐。以下哪項最有可能導(dǎo)致軟件開發(fā)項目出現(xiàn)問題?A)由最終用戶負責(zé)原型的功能驗證B)在用戶驗收測試(UAT發(fā)現(xiàn)了一些小問題的情況下實施了項目。C)在項目開始時未正式地確定項目責(zé)任。D)項目記錄不充分。[單選題]87.在決策支持系統(tǒng)(DSS)的過程中,以下哪一項具有實施風(fēng)險?A)管理控制B)半結(jié)構(gòu)的決策結(jié)構(gòu)維度C)無法確定目標和使用模式D)決策過程發(fā)生的變化[單選題]88.IS審計師正在審查一家大型公司的IT項目，并且想確定在指定年份實施的IT項目是否己被該企業(yè)指定為最高優(yōu)先級的項目，以及是否會創(chuàng)造最大的商業(yè)價值。以下哪一項與之最緊密關(guān)聯(lián)?A)能力成熟度模型(CMM)B)組合管理C)配置管理D)項目管理知識體系(PMBOK)[單選題]89.評估資料庫應(yīng)用的便捷性時，IS審計師應(yīng)該驗證：A)能夠使用結(jié)構(gòu)化查詢語言（SQL）B)與其他系統(tǒng)之間存在信息的導(dǎo)入、導(dǎo)出程序C)系統(tǒng)中采用了索引（Index）D)所有實體（entities）都有關(guān)鍵名、主鍵和外鍵[單選題]90.在銀行必須準確報告交易的情況下，IS審計師審計一個銀行電匯系統(tǒng)的內(nèi)容，下面哪項代表了審計目標的基本重點？A)數(shù)據(jù)可用性B)數(shù)據(jù)保密性C)數(shù)據(jù)可用性D)數(shù)據(jù)完整性[單選題]91.在具有參照完整性的關(guān)系數(shù)據(jù)庫中，如果客戶表中某行的客戶編號與訂單表上的有效訂單存儲在一起則以下哪種鍵可防止從客戶表中刪除該行?A)外鍵B)主鍵C)次鍵D)公鑰[單選題]92.在什么情況下，熱站會作為一個恢復(fù)策略被執(zhí)行？A)低災(zāi)難容忍度B)高恢復(fù)點目標（RPO）C)高恢復(fù)時間目標（RTO）D)高災(zāi)難容忍度[單選題]93.對稱密鑰加密的下列哪一方面因素會對非對稱加密的發(fā)展起作用？A)處理能力B)數(shù)據(jù)量C)密鑰分配D)算法的復(fù)雜度[單選題]94.在小公司中職責(zé)分離可能不實際，一個雇員可能同時執(zhí)行服務(wù)器操作員和應(yīng)用程序員職責(zé)。信息系統(tǒng)審計師應(yīng)該建議下列那個控制？【已經(jīng)理解】A)對開發(fā)程序庫變更自動日志。B)雇傭額外的技術(shù)人員實現(xiàn)職責(zé)分離。C)執(zhí)行只有批準的程序變更才能被上線的流程。D)預(yù)防操作員登錄ID做程序修改的自動控制。[單選題]95.以一哪項功能應(yīng)當由應(yīng)用所有者執(zhí)行，從而確保IS和最終用戶的充分的職責(zé)分工？A)系統(tǒng)分析B)資料訪問控制授權(quán)C)應(yīng)用編程D)資料管理[單選題]96.以下哪種為依據(jù)法規(guī)管理識別資產(chǎn)時的最佳信息來源？A)安全事件匯總B)供應(yīng)商最佳實踐C)認證中心D)重要合同[單選題]97.在審組織的人力資源政策和流程時，IS審計師應(yīng)對以下哪項的缺失給予最大關(guān)注:A)定期崗位輪換要求。B)正式的離職面談流程。C)要求離職時歸還鑰匙和公司財產(chǎn)并撤消所有訪問權(quán)限的離職清單。D)要求新員工簽訂保密協(xié)議(ND[單選題]98.以下哪一項最有助確保識別偏離項目計劃的情況?A)項目管理框架B)項目管理方法C)項目資源計劃D)項目績效衡量標準[單選題]99.以下一項是數(shù)據(jù)分類流程的最重要成果？A)數(shù)據(jù)的訪問控制矩陣B)全面的數(shù)據(jù)資產(chǎn)清單C)增強的數(shù)據(jù)訪問日志D)確定的保護級別[單選題]100.為了自主訪問控制有效，應(yīng)該：A)在強制訪問控制里使用B)獨立于強制訪問控制使用C)在必要的時候讓用戶可以繞過強制性訪問控制D)通過安全策略來限定[單選題]101.為支持組織的目標，IT部門應(yīng)具有A)低成本理念。B)長期和短期計劃C)領(lǐng)先的技術(shù)。D)采購新硬件和軟件的計劃。[單選題]102.關(guān)于業(yè)務(wù)連續(xù)性戰(zhàn)略，信息系統(tǒng)審計師在訪談組織中的關(guān)鍵利益相關(guān)者，以確定他們是否了解自己的角色和責(zé)任。信息系統(tǒng)審計師應(yīng)該試圖評價：A)清晰和簡潔的業(yè)務(wù)連續(xù)性計劃B)充分的業(yè)務(wù)連續(xù)性計劃C)業(yè)務(wù)連續(xù)性計劃的效益D)信息系統(tǒng)的能力和最終用戶個人在緊急情況下有效的應(yīng)對[單選題]103.在對IT流程的安全審計過程中，信息系統(tǒng)審計師發(fā)現(xiàn)沒有關(guān)于安全程序的文檔。該審計師應(yīng)該：A)生成該程序的文檔B)中止審計C)進行符合性測試D)識別并評估目前狀況下的組織活動[單選題]104.某組織請求IS審計師提出建議來幫助其提高IP語音（VoIP）系統(tǒng)及數(shù)據(jù)通信的安全性和可靠性。以下哪項措施能實現(xiàn)這一目標？A)使用虛擬局域網(wǎng)（VLAN）對VoIP基礎(chǔ)設(shè)施進行劃分B)在VoIP終端設(shè)置緩沖區(qū)。C)確保在VoIP系統(tǒng)中實現(xiàn)端到端加密。D)確保VoIP基礎(chǔ)設(shè)施中各部分均使用應(yīng)急備用電源。[單選題]105.在業(yè)務(wù)持續(xù)計劃中，下列哪一項具有最高優(yōu)先級？A)恢復(fù)關(guān)鍵處理B)恢復(fù)敏感處理C)恢復(fù)現(xiàn)場D)遷移操作至另一個可替代站點[單選題]106.對于確保業(yè)務(wù)連續(xù)性，如下哪個選項是最重要的：A)關(guān)鍵雇員的聯(lián)系信息B)數(shù)據(jù)備份C)為了短期需要的緊急資金D)另一個處理站點[單選題]107.部署某應(yīng)用程序時，以下哪一項會帶來最大的風(fēng)險？A)由於未對軟件版本加以控制，導(dǎo)致版本不一致B)源程序與目標代碼不一致C)參數(shù)設(shè)置錯誤D)編程錯誤[單選題]108.IT指導(dǎo)委員會應(yīng)從根本上對信息系統(tǒng)進行評定：A)IT流程是否支持業(yè)務(wù)需求B)系統(tǒng)功能是否完善C)現(xiàn)有軟件的穩(wěn)定性D)現(xiàn)有技術(shù)的復(fù)雜度[單選題]109.要使自主訪問控制發(fā)揮作用，必須：A)在強制訪問控制的環(huán)境中運行B)單獨運行強制訪問控制C)使用戶可以在必要時替代強制訪問控制D)由安全政策特別允許[單選題]110.下列哪一項最符合IS審計師與受審方就審計發(fā)現(xiàn)進行討論的目的?A)向受審方傳達審計結(jié)果。B)為所提出的建議制定實施時間線。C)確認審計發(fā)現(xiàn)并建議糾正措施的實施計劃。D)為已確定的風(fēng)險確定補償控制措施。[單選題]111.為確保雙方間消息的完整性、機密性和不可否認性，最有效的方法是創(chuàng)建消息摘要，方法是將加密哈希算法應(yīng)用到：A)整個消息，使用發(fā)送方的私鑰將消息摘要加密，使用對稱密鑰將消息加密，以及通過使用接收方的公鑰將密鑰加密。B)消息的任何部分，使用發(fā)送方的私鑰將消息摘要加密，使用對稱密鑰將消息加密，以及通過使用接收方的公鑰將密鑰加密。C)整個消息，使用發(fā)送方的私鑰將消息摘要加密，使用對稱密鑰將消息加密，以及通過使用接收方的公鑰將已加密消息和摘要加密。D)整個消息，使用發(fā)送方的私鑰將消息摘要加密，以及通過使用接收方的公鑰將消息加密。[單選題]112.在關(guān)鍵系統(tǒng)上執(zhí)行證明和信賴過程的原因是確保：A)安全符合性已經(jīng)在技術(shù)上評估B)數(shù)據(jù)已經(jīng)被加密和存儲C)系統(tǒng)已經(jīng)在不同平臺上測試D)系統(tǒng)已經(jīng)遵照瀑布模型的階段[單選題]113.下列哪個原因能夠最佳地描述強制休假政策的目的?A)保證員工能夠適當?shù)孬@得多種職能的交叉培訓(xùn)B)提升員工士氣C)識別業(yè)務(wù)過程中的潛在錯誤或不一致情況D)作為一種節(jié)省成本的方法[單選題]114.在正常工作時間之后需要對數(shù)據(jù)庫進行緊急變更的數(shù)據(jù)庫管理員(DBA)應(yīng):A)用其指定帳戶登錄進行變更。B)用共享DBA帳戶登錄進行變更。C)登錄到服務(wù)器管理帳戶進行變更D)使用用戶的帳戶登錄進行變更。[單選題]115.網(wǎng)站證書的主要目標是：A)將被訪問的網(wǎng)站的認證B)要訪問那個網(wǎng)站的用戶的認證C)阻止網(wǎng)站被黑客訪問D)與電子證書的目的相同[單選題]116.在開發(fā)階段添加新的系統(tǒng)功能時，以下哪一項是與沒有遵循項目變更管理流程相關(guān)的主要風(fēng)險?A)項目可能無法在規(guī)定期限完成B)項目可能超出預(yù)算C)尚未記錄添加的功能D)新功能可能不符合要求[單選題]117.在通過安全套接字層（SSL）加密（在貿(mào)易伙伴的服務(wù)器上實現(xiàn)）來傳輸數(shù)據(jù)時，以下哪項是令人擔憂的問題？A)組織沒有對加密的控制權(quán)B)消息易被線路竊聽C)數(shù)據(jù)可能未到達目標接收者D)通信可能不安全[單選題]118.下面哪一項持續(xù)計劃測試使用真實資源模擬系統(tǒng)崩潰以證明計劃的有效性，同時符合成本效益原則？A)桌面測試B)效果測驗C)仿真測試D)穿行測試[單選題]119.風(fēng)險分析的關(guān)鍵要素是:A)審計計劃B)控制C)脆弱點D)責(zé)任[單選題]120.IS戰(zhàn)略規(guī)劃應(yīng)包含：A)制定的硬件采購規(guī)格說明B)未來業(yè)務(wù)目標的分析C)項目開發(fā)的（啟動和結(jié)束）日期D)IS部門的年度預(yù)算（目標）[單選題]121.下面那一個是評估一個組織的安全意識培訓(xùn)評估標準？A)高級管理層意識到關(guān)鍵信息資產(chǎn)，并發(fā)表了他們對足夠的保護的關(guān)注B)工作描述包含的信息安全責(zé)任制的聲明C)按照風(fēng)險和業(yè)務(wù)影響度的規(guī)定，有足夠的資金用于安全D)沒有實際發(fā)生的事情以造成的損失或公共事件[單選題]122.在軟件開發(fā)的測試階段結(jié)束時，審計員觀察一個中間軟件錯誤沒有被改正。沒有任何解決這個錯誤的行為。審計員該：A)作為一個發(fā)現(xiàn)報告錯誤及讓被審計對象的仲裁委員會進一步研討這個錯誤B)嘗試解決錯誤C)建議提升問題解決層次D)忽視錯誤，因為不能獲得軟件錯誤的客觀證據(jù)[單選題]123.組織中的訪問點既包含了不能被升級至更強安全性的訪問點，也包含了具有高級無線網(wǎng)絡(luò)安全性的新訪問點。信息系統(tǒng)審計師建議更換不可升級的訪問點。下列哪個選項是證明信息系統(tǒng)審計師建議的最佳依據(jù)？A)擁有更強安全性的新訪問點是可以提供的。B)舊的訪問點在性能方面很差。C)組織的安全性將會和其最脆弱的訪問點一樣。D)新的訪問點更容易管理。[單選題]124.在審核防火墻配置時，審計師認為下列哪項是最大的脆弱性？A)配置使用基于源地址和目的地址，協(xié)議，用戶認證的允許或拒絕對系統(tǒng)/網(wǎng)絡(luò)訪問的規(guī)則。B)配置在規(guī)則中最后使用?拒絕?選項。C)防火墻軟件在安裝時操作系統(tǒng)使用缺省配置。D)防火墻軟件被配置為VPN作為點對點連接。[單選題]125.在審計系統(tǒng)開發(fā)項目的需求階段時，IS審計人員應(yīng)：A)評估審計足跡的充分性B)標識并確定需求的關(guān)鍵程度C)驗證成本理由和期望收益D)確?？刂埔?guī)格已經(jīng)定義[單選題]126.通過對廣域網(wǎng)的檢測發(fā)現(xiàn)，在連接兩個節(jié)點的用于同步主從數(shù)據(jù)庫的通信線路上的峰值數(shù)據(jù)流量達到了這條線路帶寬的96%。一個信息系統(tǒng)審計師應(yīng)該得出結(jié)論：A)需要分析來確定是否有數(shù)據(jù)表明存在短時間內(nèi)的服務(wù)缺失B)廣域網(wǎng)帶寬是足夠滿足最大流量需求的，因為還未達到最大飽和狀態(tài)C)應(yīng)該馬上用一條更大帶寬的線路來取代現(xiàn)有線路，新的線路應(yīng)該確保最大不超過85%的線路飽和D)應(yīng)該指導(dǎo)用戶減少對流量的需求或把流量需求平均分布在整個的工作時間內(nèi)來使得對帶寬的消耗平緩化[單選題]127.審計師在審查數(shù)據(jù)庫時發(fā)現(xiàn)在正常的工作時間修改或者變更有一套標準的程序控制措施。但是，在不是標準工時的時候，變更只要很少的步驟。在這種情況下，那個是被考慮到的適當?shù)难a償性控制：A)變更僅限于數(shù)據(jù)庫管理員帳號B)一般用戶賬戶得到允許后能夠?qū)?shù)據(jù)庫作出變更C)用數(shù)據(jù)庫管理員帳號做變更，并記錄變更以待審查D)用一般帳號做出變更，并記錄以待日后審查[單選題]128.某組織在其安全的網(wǎng)站上在線銷售書籍和音樂。交易每小時都會轉(zhuǎn)移到會計和交付系統(tǒng)進行處理。以下哪種控制最能保證在安全網(wǎng)站上處理的銷售業(yè)務(wù)能夠傳輸?shù)浇桓逗蜁嬒到y(tǒng)?A)在銷售系統(tǒng)中每日記錄交易的總計。每天都對銷售系統(tǒng)的總計進行收集和匯總。B)自動對交易進行數(shù)字排序。對序列進行檢查并對連續(xù)性中斷予以說明。C)處理系統(tǒng)檢查重復(fù)的交易號。如果交易號出現(xiàn)重復(fù)(該編號已經(jīng)存在)將拒絕交易D)使用中心時間服務(wù)器每小時對系統(tǒng)時間進行一次同步。所有交易都有一個日期/時間戳。[單選題]129.在審査輸入控制時，某IS審計師發(fā)現(xiàn)根據(jù)企業(yè)政策，流程允許監(jiān)督人員覆數(shù)據(jù)驗證編輯。IS審計師應(yīng)A)不予重視，因為可能存在其他補償控制措施來減輕風(fēng)險。B)確保覆蓋操作被自動記錄并可接受審查。C)驗證是否所有此類覆蓋操作均提交高級管理層審批。D)建議禁止覆蓋操作。[單選題]130.服務(wù)水平管理（SLM）的首要目標是：A)定義、批準、記錄和管理要求的服務(wù)水平B)保證被管理的服務(wù)是最高水平C)將于每個服務(wù)相關(guān)的成本控制在最低水平D)監(jiān)控和報告企業(yè)管理的不合法事項[單選題]131.評估IT風(fēng)險時，最好通過以下哪項來完成A)評估與現(xiàn)有IT資產(chǎn)和IT項目相關(guān)的威脅和漏洞。B)利用公司在以前積累的實際損失經(jīng)驗來確定目前的暴露風(fēng)險C)對類似組織發(fā)布的有關(guān)損失的統(tǒng)計數(shù)據(jù)進行審查。D)對審計報告中確定的IT控制弱點進行審查。[單選題]132.以下哪項最能維持一個防火墻日志的完整性？A)只給管理員授予訪問日志信息。B)在操作系統(tǒng)層捕捉日志事件。C)將日志記錄在兩個獨立的存儲介質(zhì)。D)日志信息發(fā)送到一個專門的第三方日志服務(wù)器。[單選題]133.一個在多個地區(qū)擁有辦事處的組織已經(jīng)制定了一個災(zāi)難恢復(fù)計劃，實際動用資源進行測試的話，下面哪個DRP是最有成本效率的？A)全盤測試B)預(yù)演測試C)紙面測試D)回歸測試[單選題]134.以下哪一項可能阻止黑客攻擊？A)入侵檢測系統(tǒng)(IDS)B)蜜罐系統(tǒng)C)入侵防御系統(tǒng)(IPS)D)網(wǎng)絡(luò)安全掃描程序[單選題]135.某批量交易作業(yè)在生產(chǎn)中操作失敗;但在用戶驗收測試(UAT)中，同一作業(yè)卻未出現(xiàn)問題。生產(chǎn)批量作業(yè)分析顯示，它在UAT后經(jīng)過修改。將來減小這種風(fēng)險的最佳途徑是以下哪一項?A)完善回歸測試案例。B)針對發(fā)布后的有限時間段啟用審計軌跡。C)執(zhí)行應(yīng)用用戶訪問審查。D)確保開發(fā)人員在測試后無訪問權(quán)限進行編碼。[單選題]136.在審計某個提供醫(yī)療轉(zhuǎn)錄服務(wù)的小型公司期間，IS審計師發(fā)現(xiàn)一些與備份和恢復(fù)流程有關(guān)的問題。以下哪項是IS審計師最應(yīng)關(guān)注的問題?A)未對備份介質(zhì)進行恢復(fù)測試，但所有數(shù)據(jù)恢復(fù)請求的處理都非常成功。B)業(yè)務(wù)所有者在過去三年中未對數(shù)據(jù)備份和保留政策進行審。C)公司使用第三方服務(wù)提供商異地存儲轉(zhuǎn)錄備份磁帶，而該第三方服務(wù)提供商每年對備份磁帶進行一次盤點。D)在收到營銷部門數(shù)據(jù)文件備份失敗警報后，IT管理員未跟進或解決問題。[單選題]137.運用網(wǎng)絡(luò)服務(wù)進行兩系統(tǒng)間信息交換的最大優(yōu)點是A)安全通信B)改良的性能C)有效的接口連接D)增強文件系統(tǒng)[單選題]138.公共密鑰體系（PKI）的某一組成要素的主要功能是管理證書生命周期，包括證書目錄維護，證書廢止列表維護和證書發(fā)布這個要素是：A)證書機構(gòu)（CA）B)數(shù)字簽名C)證書實踐聲明D)注冊機構(gòu)（RA）[單選題]139.在拒絕服務(wù)（DoS）攻擊中保護網(wǎng)絡(luò)成為一個放大器的最好過濾規(guī)則是拒絕所有：A)使用IP源地址向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。B)使用可辨別的源IP地址接受數(shù)據(jù)。C)使用IP選項設(shè)置接受數(shù)據(jù)。D),向關(guān)鍵主機接受數(shù)據(jù)。[單選題]140.為了使軟件項目的開銷最小，質(zhì)量管理技術(shù)應(yīng)該被應(yīng)用A)盡可能與技術(shù)條文相一致B)主要在項目開始的時候，以保證項目的建立與組織的管理標準相一致C)在整個項目過程中持續(xù)進行，強調(diào)找出并解決缺陷，增大測試期間的缺陷發(fā)現(xiàn)率D)主要在項目結(jié)束的時候，以獲得可以在將來的項目中吸取的教訓(xùn)[單選題]141.完成評審之前跟被審計單位開會的主要目的是：A)確認審計員沒有忽略任何重要的議題B)獲取對審計結(jié)果的一致意見C)接受關(guān)于審計規(guī)程充分性的反饋D)測試最終報告[單選題]142.網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）技術(shù)應(yīng)該用于備份，如果：A)需要附加存儲應(yīng)用B)必須避免使用TCP/IP協(xié)議C)不能被傳統(tǒng)的備份系統(tǒng)處理的文件必須進行備份D)必須確保幾個相關(guān)數(shù)據(jù)集的備份的一致性[單選題]143.測試業(yè)務(wù)連續(xù)性計劃的主要目標是A)使員工熟悉業(yè)務(wù)連續(xù)性計劃B)確保解決所有剩余風(fēng)險。C)練習(xí)所有可能的災(zāi)難場景D)識別業(yè)務(wù)連續(xù)性計劃的限制。[單選題]144.組織通過風(fēng)險評估的完成威脅和脆弱性分析，最終報告建議主要互聯(lián)網(wǎng)網(wǎng)關(guān)應(yīng)部署入侵防御系統(tǒng)（IPS），此外所有的業(yè)務(wù)單位應(yīng)通過代理防火墻隔離。為確?？刂剖欠裨搶嵤?，以下哪個是最好的方法？A)成本效益分析B)年率預(yù)期損失計算C)比較IPS、防火墻和業(yè)務(wù)系統(tǒng)成本D)業(yè)務(wù)影響分析（BIA）[單選題]145.為使業(yè)務(wù)和IT之間形成戰(zhàn)略一致性，下面哪一個是最好的促成因素？A)成熟度模型B)目標和指標C)控制目標D)RACI（執(zhí)行人、責(zé)任人、咨詢?nèi)撕捅煌ㄖ耍┍砀馵單選題]146.可以保護數(shù)據(jù)管理員遵守企業(yè)數(shù)據(jù)管理工作職務(wù)的有效預(yù)防控制是哪個？A)異常報告B)職責(zé)分離C)檢查訪問日志和活動D)管理監(jiān)督[單選題]147.以下哪一項能最有效地確保在數(shù)個國家擁有運營中心的組織不會發(fā)生業(yè)務(wù)中斷?A)分發(fā)關(guān)鍵的程序文件B)業(yè)務(wù)合作伙伴之間的互惠協(xié)議C)強大的高層管理能力D)員工接受業(yè)務(wù)連續(xù)性計劃(BCP培訓(xùn)[單選題]148.某IS審計組參與了利用現(xiàn)有企業(yè)資源規(guī)劃(ERP)系統(tǒng)集成自動化審計工具包的工作。由于ERP性能方面的問題，此審計工具包不允許上線。該IS審計師應(yīng)給出的最佳建議是什么?A)檢查所選擇的集成控制措施的實施。B)請求額外的IS審計資源C)請求供應(yīng)商的技術(shù)支持以解決性能問題。D)審查用戶進行驗收測試(UAT)期間壓力測試的結(jié)果。[單選題]149.在如下哪種情況時，IS審計師應(yīng)該用統(tǒng)計抽樣而不是非統(tǒng)計抽樣：A)必須客觀衡量錯誤概率B)審計員希望避免抽樣風(fēng)險C)不能使用同用審計軟件D)允許的錯誤率不能確定[單選題]150.在審計新軟件項目時，項目小組目前在定義用戶需求，把建議的解決方案和用戶需求匹配。目前處于SDLC的哪個階段？A)可行性研究。B)需求。C)設(shè)計。D)開發(fā)。[單選題]151.為了幫助實現(xiàn)IT和業(yè)務(wù)相一致的管理，信息系統(tǒng)審計師應(yīng)該建議使用：A)控制自我評估CSAB)業(yè)務(wù)影響分析BIAC)IT平衡記分卡BSCD)業(yè)務(wù)流程再造BRC[單選題]152.在跟進審計期間，信息系統(tǒng)審計師獲悉，管理層已推遲實施先前同意的建議。審計師的職責(zé)是什么？A)監(jiān)控決策可能給企業(yè)造成的任何風(fēng)險的影響B(tài))修改最終報告以反映推遲實施的決定C)向指導(dǎo)委員會報告推遲實施的決定D)獲得管理層對實施建議的承諾[單選題]153.下列哪項是成功實施災(zāi)難恢復(fù)計劃（DRP）演練所要的？A)所有識別出的資源的參與B)由管理層批準的演練場景C)提前通知所有受影響的員工D)由IT管理部門批準演練場景[單選題]154.作為評估網(wǎng)絡(luò)安全的一部分來執(zhí)行的滲透測試的特性包括：A)可確保發(fā)現(xiàn)所有漏洞。B)應(yīng)在不向組織管理人員發(fā)送警告的情況下執(zhí)行。C)利用現(xiàn)有漏洞獲得未經(jīng)授權(quán)的訪問權(quán)限D(zhuǎn))在網(wǎng)絡(luò)外圍執(zhí)行時不會損害信息資產(chǎn)。[單選題]155.管理層要求IS審計師對可能存在的交易進行審查。IS審計師在評估交易時的首要關(guān)注點應(yīng)為：A)評估交易時保持公正B)確保IS審計師始終保持獨立性C)確保始終保持證據(jù)的完整性D)收集所有相關(guān)的交易證據(jù)[單選題]156.認證授權(quán)(C、A、)作為一個第三方在通訊過程中所起的作用是:A)基于證書(C、ertifiC、A、tes)來提供安全的通訊及網(wǎng)絡(luò)服務(wù)。B)存儲由C、A、發(fā)放的證書(包含對應(yīng)的公鑰和密鑰)。C)在通訊雙方之間扮演一位可信的仲裁者。D)確認某一擁有C、A、發(fā)放的證書的實體的身份。[單選題]157.對于應(yīng)用系統(tǒng)控制的有效性，以下哪項措施帶來的風(fēng)險最大？A)去除手動處理步驟B)流程手冊不充分C)員工之間互相勾結(jié)D)某些合規(guī)性問題無法解決[單選題]158.在生產(chǎn)環(huán)境中，以下哪一個是確定每一個應(yīng)用系統(tǒng)關(guān)鍵程度的最好方法？A)訪談應(yīng)用程序員B)差距分析C)審查最近的應(yīng)用審計D)業(yè)務(wù)影響分析[單選題]159.當應(yīng)用程序開發(fā)人員想要使用前一天的生產(chǎn)交易文件副本來做容量測試時，IS審計師的主要擔優(yōu)是A)用戶可能更愿意在測試時使用編造的數(shù)據(jù)。B)可能導(dǎo)致敏感數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問。C)錯誤處理和可信度檢查可能得不到全面驗證。D)未必能測試新程序的全部功能。[單選題]160.下列哪一種線路介質(zhì)將給電信網(wǎng)絡(luò)提供最佳安全性？A)寬帶網(wǎng)絡(luò)數(shù)字傳輸B)基帶網(wǎng)絡(luò)C)撥號D)專線[單選題]161.一家公司將其工資系統(tǒng)由外包服務(wù)轉(zhuǎn)換成了內(nèi)部軟件包，四明份,公司以并行方式進行工資處理，在新舊系統(tǒng)對此中，下列哪一項數(shù)據(jù)比較對確保系統(tǒng)轉(zhuǎn)換后的數(shù)據(jù)完整性最有效?A)工資處理的周轉(zhuǎn)周期B)抽樣部分員工的工資詳細信息C)員工人數(shù)和年初迄今為止的工資總額D)工資日記賬中的員工數(shù)據(jù)主文件[單選題]162.以下哪種消息服務(wù)能夠最有力地證明特定行為的發(fā)生？A)交付證明B)不可否認性C)提交證明D)消息源驗證[單選題]163.下列哪個選項最能促使形成有效的業(yè)務(wù)連續(xù)性計劃?A)文件分發(fā)給所有相關(guān)方。B)所有用戶部門均參與計劃過程。C)計劃得到高級管理層的批準。D)審計由外部IS審計師執(zhí)行。[單選題]164.盡管管理人員已作出說明，但IS審計師仍有理由相信組織使用的是沒有許可的軟件。在這種情況下，IS審計師應(yīng)該首先:A)將管理層的說明寫入審計報告。B)通過測試證實軟件在用。C)將該事項寫入審計報告。D)與高級管理層討論該問題，因為它可能對組織產(chǎn)生負面影響。[單選題]165.人力資源副總裁要求進行審計，以確定上一年多付的工資額。在這種情況下，最佳的審計技術(shù)是什么?A)生成樣本測試數(shù)據(jù)B)通用審計軟件C)集成測試設(shè)施D)嵌入式審計模塊[單選題]166.檢驗一個稅務(wù)系統(tǒng)計算準確性的最佳方法是:A)詳細觀察并分析計算程序的源代碼B)用通用審計軟件模擬程序邏輯以計算月度總數(shù)C)準備模擬交易以處理和比較結(jié)果和預(yù)決結(jié)果D)使用自動化流程圖并分析計算程序源代碼[單選題]167.以下哪項為信息指導(dǎo)委員會的職能？A)監(jiān)控供應(yīng)商變更管理和測試的管理B)確保信息處理環(huán)境中責(zé)任分離C)審核和監(jiān)控主要項目，信息規(guī)劃和預(yù)算的狀況D)在信息系統(tǒng)部門和最終用戶之間保持聯(lián)系[單選題]168.一個公司由于目前合同到期在考慮采用新的ISP（Internet接入服務(wù)商）。從審計的角度以下哪項最需要檢查？A)服務(wù)水平協(xié)議。B)ISP的物理安全。C)ISP的其它客戶的推薦。D)ISP雇員的背景調(diào)查。[單選題]169.使用數(shù)字簽名的主要原因是確保數(shù)據(jù)：A)保密性B)完整性C)可用性D)時效性[單選題]170.當系統(tǒng)需要一天24小時在線接收銷售訂單時，以下哪一項是備份大量關(guān)鍵性任務(wù)數(shù)據(jù)的最有效策略?A)實施容錯的磁盤到磁盤備份解決方案B)每周一次磁帶完整備份，每晚一次增量備份C)建立雙重存儲區(qū)域網(wǎng)絡(luò)(SAN)，并將數(shù)據(jù)復(fù)制到第二個SAND)在一個熱備援中心建立相同的服務(wù)器和存儲基礎(chǔ)設(shè)施[單選題]171.以下哪項應(yīng)是IS審計師最為關(guān)注的:A)沒有報告網(wǎng)路被攻陷的事件B)未能就企業(yè)闖入事件通知執(zhí)法人員C)缺少對操作權(quán)限的定期檢查D)沒有就闖入事件告之公眾[單選題]172.項目小組尋求購買一套新應(yīng)用系統(tǒng),在需求請求書得到回復(fù)后，確定一些合適的供應(yīng)商，這時，該項目小組應(yīng):A)對建議的系統(tǒng)針對條件進行評估排名B)聯(lián)系供應(yīng)產(chǎn)品的當前用戶C)審查應(yīng)用程序控制的設(shè)計D)要求在合同條款中包含審計條款[單選題]173.以下哪一項是用于保護出站內(nèi)容免遭篡改和竊聽的主要協(xié)議？A)點對點協(xié)議（PPP）B)互聯(lián)網(wǎng)密鑰交換（IKE）C)安全外殼（SSH)D)傳輸層安全（TLS）[單選題]174.進行災(zāi)難恢復(fù)測試時，IS審計師注意到災(zāi)難恢復(fù)站點的服務(wù)器性能較慢。要找到根本原因，IS審計師應(yīng)首先審查:A)在災(zāi)難恢復(fù)站點生成的事件錯誤日志。B)災(zāi)難恢復(fù)測試計劃。C)災(zāi)難恢復(fù)計劃(DRP)D)主要站點和災(zāi)難恢復(fù)站點的配置和一致性。[單選題]175.隨著應(yīng)用系統(tǒng)開發(fā)的進行,很明顯有數(shù)個設(shè)計目標已無法實現(xiàn)最有可能導(dǎo)致這一結(jié)果的原因是：A)用戶參與不足B)項目此理早期撤職C)不充分的質(zhì)量保證（QA）工具D)沒有遵從既定的已批準功能[單選題]176.確定服務(wù)中斷事件的嚴重程度的主要標準是：A)恢復(fù)成本。B)負面輿論。C)地理位置。D)停機時間。[單選題]177.從一份與IT相關(guān)的投資業(yè)務(wù)中所獲得的直接利益是個什么例子？A)提高聲譽B)提高員工士氣C)新技術(shù)的使用D)市場占有率的提高[單選題]178.IT審計師注意到數(shù)據(jù)中心磁帶管理系統(tǒng)中的一個脆弱性，部分參數(shù)被154、設(shè)置成繞過或忽略磁帶頭記錄，以下哪一項是針對該脆弱性的最有效的補償性控制？A)分段傳輸和建立作業(yè)B)對日志進行監(jiān)督和評估C)有序的磁帶備份D)磁帶的異地存儲[單選題]179.數(shù)字簽名的特征是確保發(fā)送者過后不能否認產(chǎn)生和發(fā)送了信息叫：A)數(shù)據(jù)完整性B)識別C)不可抵賴D)重演保護[單選題]180.密碼應(yīng)該滿足：A)安全管理員賦予首次登錄B)由用戶每隔30天進行更改C)經(jīng)常復(fù)用以確保用戶不會遺忘D)在屏幕上回顯以確保用戶輸入正確[單選題]181.在審計的計劃中，最關(guān)鍵的一步為識別:A)高風(fēng)險的區(qū)域B)審計人員的技能安排。C)審計的測試步驟。D)審計時間安排[單選題]182.某個組織已經(jīng)把其服務(wù)臺職能外包了。下列哪項指標最應(yīng)該包含在服務(wù)等級協(xié)議(SLA)中?A)支持的用戶總數(shù)B)首次呼叫解決的事故所占的百分比C)報告至服務(wù)臺的事故數(shù)D)接線員的數(shù)量[單選題]183.當評估一個組織的IS戰(zhàn)略時，下列哪一項應(yīng)被IS審計員認為是最重要的：A)已被條線管理部門批準。B)沒有與IS部門初步預(yù)算區(qū)分開來。C)遵守采購規(guī)程。D)支持組織的業(yè)務(wù)目標。[單選題]184.對于一家醫(yī)療保健組織，以下哪個理由最能說明患者的福利數(shù)據(jù)倉庫應(yīng)留在組織內(nèi)部，而不能外包出去進行離岸運營A)存在有關(guān)數(shù)據(jù)隱私方面的法規(guī)B)會員服務(wù)代表培訓(xùn)的成本過于高昂C)監(jiān)控遠程數(shù)據(jù)庫的難度較大D)時區(qū)差異會對客戶服務(wù)造成影響[單選題]185.長遠來看，最有可能改善安全事件反應(yīng)程序的選項是：選項:A)通盤檢查事件反應(yīng)程序和流程B)事件反應(yīng)小組的事后檢查、回顧C)對用戶不斷地安全培訓(xùn)D)記錄對事件的反應(yīng)過程[單選題]186.網(wǎng)頁和郵件過濾器對一個組織是非常有價值的，因為：A)保護組織不受病毒和與業(yè)務(wù)無關(guān)的材料的侵襲B)加大員工的表現(xiàn)C)保護組織的聲譽D)保護組織預(yù)防法律問題及糾紛[單選題]187.下列哪一種撲滅數(shù)據(jù)中心火災(zāi)的方法是最有效和環(huán)保的？A)鹵化物氣體B)濕式滅火器C)干式滅火器D)二氧化碳氣體[單選題]188.在調(diào)查期間確定一名員工在公共社交媒體網(wǎng)站上泄露了公司系統(tǒng)的管理賬戶密碼,信息系統(tǒng)審計師的首要建議是什么?A)更改管理員賬號密碼B)起訴該員工C)開始法政調(diào)查D)啟動系統(tǒng)關(guān)機[單選題]189.數(shù)據(jù)庫管理員（DBA）建議通過非規(guī)范化一些數(shù)據(jù)庫（DB英文全稱datA.base，數(shù)據(jù)庫）來提高性能，這將導(dǎo)致：A)保密性丟失B)增加冗余C)非授權(quán)訪問D)應(yīng)用故障[單選題]190.哪種審計技術(shù)可提供IT部門中職責(zé)分離的最佳證據(jù)?A)與管理層進行討論B)審查組織架構(gòu)圖C)觀察和面談D)測試用戶訪問權(quán)限[單選題]191.專家系統(tǒng)的知識庫使用問卷調(diào)查的方式引導(dǎo)用戶做出一系列選擇，直到得出結(jié)論，這樣的方法被稱為A)規(guī)則。B)決策樹。C)語義網(wǎng)絡(luò)。D)數(shù)據(jù)流圖。[單選題]192.IS審計師在對組織的IT項目組合進行審時，應(yīng)主要考慮以下哪個方面A)IT預(yù)算B)現(xiàn)有IT環(huán)境C)業(yè)務(wù)計劃D)投資計劃[單選題]193.如果一個組織在一個地區(qū)有多個辦事處和有限的恢復(fù)預(yù)算，下列哪個是最恰當?shù)幕謴?fù)策略？A)被組織維護的熱站B)商業(yè)冷站C)組織辦事處之間的互相協(xié)議D)第三方熱站[單選題]194.許多組織強制要求雇員休假一周或更長時間，以便：A)確保雇員維持生產(chǎn)質(zhì)量，從而生產(chǎn)力更高B)減少雇員從事不當或非法行為的機會C)為其他雇員提供交叉培訓(xùn)D)消除當某個雇員一次休假一天造成的潛在的混亂[單選題]195.某公司決定基于公鑰基礎(chǔ)架構(gòu)（PKI)來實施電子簽名方案。用戶的私鑰會存儲在計算機硬盤中，并受密碼保護。此方法的最大風(fēng)險是：A)如果密碼泄露，該用戶的電子簽名將遭到其他人的利用。B)使用其他用戶的私鑰對消息進行電子簽名，從而實現(xiàn)偽造。C)用其他人的公鑰來替代該用戶的公鑰，從而實現(xiàn)對某用戶的模仿。D)在計算機中用其他人的私鑰進行替代，從而實現(xiàn)偽造。[單選題]196.在評估電子數(shù)據(jù)交換(EDI)應(yīng)用程序的控制時，IS審計師應(yīng)該主要關(guān)注以下哪種風(fēng)險A)交易周轉(zhuǎn)時間過長。B)應(yīng)用程序接口故障。C)交易授權(quán)不當D)批量處理總數(shù)未經(jīng)驗證。[單選題]197.信息系統(tǒng)審計員正在評估一個企業(yè)的網(wǎng)絡(luò)是否存在雇員的滲透。下面哪個發(fā)現(xiàn)是信息系統(tǒng)審計員最關(guān)心的A)多個外接調(diào)制解調(diào)器連接到網(wǎng)絡(luò)B)用戶可以在自己的桌面上安裝軟件C)有限的網(wǎng)絡(luò)監(jiān)控D)多個用戶帳號有一樣的密碼[單選題]198.在組織中，IT安全的職責(zé)被明確分配和執(zhí)行，以及IT安全風(fēng)險和影響分析被貫徹執(zhí)行，這些可以代表已經(jīng)達到信息安全治理成熟度模型的那種水平？A)已優(yōu)化B)已管理C)已定義D)可重復(fù)[單選題]199.在應(yīng)用審計階段，IS審計師發(fā)現(xiàn)了幾個問題與數(shù)據(jù)庫中錯誤的數(shù)據(jù)有關(guān)，下面哪一個是IS審計師應(yīng)該建議的糾正性控制？A)實施數(shù)據(jù)備份和恢復(fù)程序B)定義標準和相應(yīng)的符合性檢查（預(yù)防性控制）C)確保只有授權(quán)人員能夠更新數(shù)據(jù)庫D)建議控制以處理同時發(fā)生的訪問問題（預(yù)防性控制）[單選題]200.在一個應(yīng)用審計期間，一個信息系統(tǒng)審計師被要求提供數(shù)據(jù)庫參照完整性保證，下列哪個應(yīng)該被檢查？A)域定義B)主表定義C)混合鍵D)外鍵構(gòu)造[單選題]201.管理C、yB、er攻擊的第一步是：A)評估攻擊影響B(tài))估計可能的威脅C)鑒別重要的資產(chǎn)信息D)估計潛在的損失[單選題]202.下列那一項的開發(fā)時，高級管理層的參與是最重要的？A)戰(zhàn)略計劃B)信息系統(tǒng)策略C)信息系統(tǒng)程序D)標準和指南[單選題]203.某業(yè)務(wù)程序應(yīng)用系統(tǒng)對某個公司的數(shù)據(jù)庫進行訪問，使用的是嵌入在某程序鎮(zhèn)南關(guān)的單一ID和密碼。實施以下哪種措施，可對該組織的數(shù)據(jù)進行有效的訪問控制？A)引入二級身份認證技術(shù)，如刷卡。B)在應(yīng)用系統(tǒng)中應(yīng)用基于角色的授權(quán)。C)針對每個數(shù)據(jù)庫交易，都讓用戶輸入ID和密碼。D)為嵌入在程序中的數(shù)據(jù)庫密碼設(shè)定失效期限。[單選題]204.在某組織中對軟件開發(fā)實務(wù)進行評估期間，IS審計師注意到質(zhì)量保證(QA)職能部門向項目管理人員匯報。IS審計師最關(guān)心的問題是:A)QA職能的有效性，因為QA職能應(yīng)是項目管理和用戶管理間的橋梁。B)QA職能的效率，因為QA職能部門應(yīng)與項目實施團隊進行交互。C)項目經(jīng)理的有效性，因為項目經(jīng)理應(yīng)與QA職能部門進行交互。D)項目經(jīng)理的效率，因為該QA職能部門需要與項目實施團隊進行溝通。[單選題]205.一個決策支持系統(tǒng)（D、D、S）：A)主要是正對解決高層組織的問題。B)聯(lián)合使用非傳統(tǒng)數(shù)據(jù)訪問和恢復(fù)功能。C)強調(diào)使用者決策制定方法的適宜性。D)只支持組織決策制定任務(wù)。[單選題]206.一名具有強大技術(shù)背景且管理經(jīng)驗豐富的長期IT員工申請了IS審計部門的空缺職位。除個人經(jīng)驗外，還最應(yīng)該根據(jù)以下哪項來確定該職位是否雇傭這個人A)工齡，因為這有助于確保技術(shù)能力。B)年齡，因為進行審計技術(shù)培訓(xùn)可能不實際。C)IT知識因為這將增強審計職能的可信度。D)作為IS審計師，可獨立于現(xiàn)有T關(guān)系。[單選題]207.為了幫助管理人員實現(xiàn)IT與業(yè)務(wù)保持一致性的目標，IS審計師應(yīng)當建議使用:A)控制自我評估(CSA)。B)業(yè)務(wù)影響分析(BIA)。C)IT平衡計分卡(BSC)。D)業(yè)務(wù)流程再造(BPR)。[單選題]208.下列哪種系統(tǒng)和數(shù)據(jù)轉(zhuǎn)換策略能夠提供最大的冗余?A)直接切換B)試點研究C)分階段方法D)并行運行[單選題]209.以下哪種數(shù)據(jù)驗證編輯能有效檢測易位和抄寫錯誤?A)范圍檢B)校驗數(shù)字位C)有效性檢查D)重復(fù)檢[單選題]210.當一個組織在選擇異地備份供貨商時，對信息系統(tǒng)審計師來說，下列哪一種情況是最少考慮的？A)供貨商保密存儲介質(zhì)的責(zé)任B)供貨商的保險范圍及對員工的擔保C)要求同一個人一直保管存儲介質(zhì)D)請求和接收貨物的程序和緊急情況下的處理方式[單選題]211.拒絕服務(wù)攻擊損害了下列哪一種信息安全的特性?A)完整性B)可用性C)機密性D)可靠性[單選題]212.在應(yīng)用程序軟件審查過程中，某IS審計師在超出審計范圍的相關(guān)數(shù)據(jù)庫環(huán)境中發(fā)現(xiàn)了細小的漏洞。最佳選項是:A)包括審查范圍內(nèi)的數(shù)據(jù)庫控制B)記錄下來供日后審查。C)與數(shù)據(jù)庫管理員共同解決問題。D)如實報告漏洞。[單選題]213.什么類型的軟件應(yīng)用測試被認為是測試的最后階段，并且通常包括開發(fā)團隊之外的用戶？A)Alpha測試（Alpha測試由用戶在開發(fā)者的場所進行，并且在開發(fā)者對用戶的?指導(dǎo)?下進行測試）B)白盒測試（白盒測試也稱結(jié)構(gòu)測試或邏輯驅(qū)動測試，它是按照程序內(nèi)部的結(jié)構(gòu)測試程序，通過測試來檢測產(chǎn)品內(nèi)部動作是否按照設(shè)計規(guī)格說明書的規(guī)定正常運行，檢驗程序中的每條通路是否都能按預(yù)定要求正確工作。這一方法是把測試對象看做一個打開的盒子，測試人員依據(jù)程序內(nèi)部邏輯結(jié)構(gòu)相關(guān)信息，設(shè)計或選擇測試用例，對程序所有邏輯路徑進行測試，通過在不同點檢查程序的狀態(tài)，確定實際的狀態(tài)是否與預(yù)期的狀態(tài)一致）C)回歸測試（回歸測試是指修改了舊代碼后，重新進行測試以確認修改沒有引入新的錯誤或?qū)е缕渌a產(chǎn)生錯誤。自動回歸測試將大幅降低系統(tǒng)測試、維護升級等階段的成本）D)Beta測試（貝塔測試）[單選題]214.當獲得高層管理人員對災(zāi)難恢復(fù)計劃的支持和制定計劃所需資源的授權(quán)后，選擇起草計劃的人應(yīng)當具有以下哪一種能力：A)具有與信息系統(tǒng)相關(guān)的操作系統(tǒng)、資料庫和通訊的技術(shù)知識B)具有硬件和軟件供貨商咨詢背景C)具有在相同行業(yè)中的客戶咨詢經(jīng)驗D)具有組織的全局觀點和認識所有災(zāi)難后果的能力[單選題]215.在十二月份將來自應(yīng)付賬款應(yīng)用程序的數(shù)據(jù)與從供應(yīng)商處收到的發(fā)票進行比較的最佳表述是A)實質(zhì)性測試。B)合規(guī)性測試。C)定性分析D)判斷抽樣[單選題]216.在人力資源策略和組織內(nèi)部的程序進行評審時，以下哪項的缺失，將會是信息系統(tǒng)審計師最關(guān)注的？A)要求崗位定期輪換B)正式的離職面談過程C)返還鑰匙和公司財務(wù)，撤銷所有訪問權(quán)限的離職檢查列表D)對員工要求簽署一份表格，表示其以閱讀本組織的策略[單選題]217.當審計師進行DRP審計時，下列哪項是一個信息系統(tǒng)審計師最應(yīng)該關(guān)心的？A)DRP尚未經(jīng)過測試B)新的團隊成員都沒有看到過DRPC)經(jīng)理負責(zé)對DRP的最近的推出D)DRP的手冊不是定時更新[單選題]218.以下哪種風(fēng)險是在SaaS（軟件及服務(wù)）環(huán)境下最可能遇到的？A)不遵守軟件許可協(xié)議B)互聯(lián)網(wǎng)交付方法引發(fā)性能問題C)軟件許可要求造成成本偏高D)兼容硬件更新需求造成成本偏高[單選題]219.當一個組織使用VPN通道訪問其網(wǎng)絡(luò)時，最普遍的安全風(fēng)險是：A)惡意代碼在網(wǎng)絡(luò)中擴散B)VPN欺詐登錄C)通信被截取并被獲知D)危及VPN網(wǎng)關(guān)[單選題]220.使用Web服務(wù)在兩個系統(tǒng)之間進行信息交換的最大優(yōu)點是:A)通信安全。B)性能得到改善。C)連接效率高。D)存檔記錄功能得到加強。[單選題]221.為了防止網(wǎng)絡(luò)蠕蟲利用某種網(wǎng)絡(luò)協(xié)議的弱點進行傳播，以下選項中最有效的處理方法是：A)安裝銷售商提供的安全補丁來修正相關(guān)弱點B)阻止該協(xié)議的流量通過邊界防火牆C)阻止該協(xié)議的流量在不同的網(wǎng)段中流通D)停止該服務(wù)，直到安裝了適當?shù)陌踩a丁為止[單選題]222.在下列哪一種風(fēng)險管理方法中，分擔風(fēng)險是一個重要因素?A)轉(zhuǎn)移風(fēng)險B)容忍風(fēng)險C)終止風(fēng)險D)處理風(fēng)險[單選題]223.在與多個外部系統(tǒng)連接的第三方應(yīng)用程序中發(fā)現(xiàn)安全漏洞后，對大量模塊應(yīng)用了修補程序。IS審計師應(yīng)建議執(zhí)行以下哪項測試?A)壓力測試B)黑盒測試C)接口測試D)系統(tǒng)測試[單選題]224.IS審計師正在審査一個重大軟件開發(fā)項目，發(fā)現(xiàn)即使軟件開發(fā)非計劃的加班時間很多。項目仍然按進度和預(yù)算進行。IS審計師應(yīng)A)得出項目按計劃進行的結(jié)論，因為它滿足期限要求。B)進一步詢問項目經(jīng)理，以確認加班成本是否得到了準確跟蹤。C)得出編程人員故意工作緩慢以掙取額外的加班工資D)進一步調(diào)查，以確定項目計劃是否不準確。[單選題]225.信息系統(tǒng)審計師從客戶數(shù)據(jù)庫中獲得了數(shù)據(jù)。下一步可以通過以下哪項來確認所導(dǎo)出的數(shù)據(jù)是完整的？A)把導(dǎo)出數(shù)據(jù)的控制總數(shù)與原始數(shù)據(jù)的控制總數(shù)相比對B)把數(shù)據(jù)排序以驗證是否與原始數(shù)據(jù)的順序相一致C)檢查原始數(shù)據(jù)的前100條打印輸出的記錄和導(dǎo)出數(shù)據(jù)的前100條記錄D)按不同目錄對數(shù)據(jù)進行過濾，并與原始數(shù)據(jù)比對[單選題]226.恢復(fù)策略的選擇應(yīng)該最有可能取決于：A)基礎(chǔ)設(shè)施和系統(tǒng)的修復(fù)費用B)恢復(fù)站點的可用性C)業(yè)務(wù)流程的關(guān)鍵性D)時間響應(yīng)過程[單選題]227.當審核一個重點關(guān)注質(zhì)量的項目時，IS審計師應(yīng)該使用項目管理三角形理論(質(zhì)量-成本-時間)來解釋:A)即使資源減少,質(zhì)量目標也能提升B)質(zhì)量目標只能在資源減少的情況下提升C)即使資源減少,交付時間也能減少D)交付時間只能在質(zhì)量目標下降的情況下減少[單選題]228.被審計的業(yè)務(wù)部門的經(jīng)理擔憂，外部信息系統(tǒng)審計師提出的詢問超出審計范圍。以下哪一項資源最有助于確定擔憂是否有根據(jù)？A)風(fēng)險評估結(jié)果B)審計章程C)審計測試計劃D)工作說明[單選題]229.最小密碼長度和密碼復(fù)雜性驗證是以下哪項示例：A)檢測控制。B)控制目標。C)審計目標。D)控制程序。[單選題]230.某組織的IP語音（VoIP）包網(wǎng)絡(luò)對大量通信進行了重新路由。該組織認為其已遭到竊聽。以下哪一項可能導(dǎo)致VoIP通信遭到竊聽？A)以太網(wǎng)交換機中的地址解析協(xié)議（ARP）緩存損壞B)在虛擬電話交換機上使用默認管理員密碼C)在未啟用加密的情況下部署虛擬局域網(wǎng)（VLAN）D)最終用戶有權(quán)訪問包嗅探器應(yīng)用程序等軟件工具[單選題]231.對有明確項目結(jié)東時間以及固定的測試執(zhí)行時間的項目，以下哪一項是確保實現(xiàn)了充分的測試覆蓋的最佳方法?A)根據(jù)重要性和使用頻率對需求進行測試。B)測試覆蓋率應(yīng)限制在功能性需求之內(nèi)。C)使用腳本執(zhí)行自動測試。D)只重測缺陷修復(fù)，以減少所需的測試數(shù)量。[單選題]232.在審計數(shù)據(jù)庫環(huán)境中，如果數(shù)據(jù)庫管理員履行下列哪項職責(zé)，信息系統(tǒng)審計師認為最擔心？A)根據(jù)管理程序履行數(shù)據(jù)庫改變B)安裝補丁或升級操作系統(tǒng)C)設(shè)置表空間大小和配置表的聯(lián)系D)履行備份和恢復(fù)程序[單選題]233.在存儲介質(zhì)管理系統(tǒng)檢查時，IS審計師沒必要關(guān)心：【已經(jīng)理解】A)系統(tǒng)目錄是否正確反映了存儲介質(zhì)所在的物理位置。B)儲存介質(zhì)是否只能被授權(quán)的人訪問。C)存儲介質(zhì)在異地存儲的運輸中被正確的識別。D)系統(tǒng)是否適當?shù)奶蕴鎯橘|(zhì)并以安全的方式提供回收。[單選題]234.IS審計人員在進行一項電訊訪問控制的檢查時，下列哪一項首先要得到關(guān)注：A)不同系統(tǒng)資源使用的訪問日志的保持.B)優(yōu)先獲準訪問系統(tǒng)資源的用戶的授權(quán)和驗證.C)通過加密或其他方法形成的對服務(wù)器上存儲數(shù)據(jù)的充分保護.D)責(zé)任系統(tǒng)，以及鑒別任何一個訪問系統(tǒng)資源的終端的能力.[單選題]235.以下哪項與IS審計師評估項目經(jīng)理對項目進度的監(jiān)控關(guān)系最密切?A)關(guān)鍵路徑圖B)計劃評審技術(shù)(PERT)圖C)功能點分析(FPA)D)甘特圖[單選題]236.IS審計師正在評估在將來IS審計中所用的數(shù)據(jù)挖掘和審計軟件。什么是IS審計師在軟件工具中尋找的最主要的能力？該軟件工具應(yīng)該：A)與多種企業(yè)資源計劃（ERP）軟件和數(shù)據(jù)庫的接口B)保存數(shù)據(jù)完整性C)將審計引入組織的財務(wù)系統(tǒng)以支持連續(xù)審計D)可以配置并支持定制編程以幫助調(diào)查分析[單選題]237.以下哪一項確立內(nèi)部審計職能的角色?A)審計項目計劃B)審計日志C)審計章程.D)審計治理[單選題]238.為滿足業(yè)務(wù)需求的變化，目前開發(fā)的IT解決方案項目需要額外的資金,誰最合適獲取這筆額外資金?A)項目發(fā)起人B)董事會C)IT戰(zhàn)略委員會D)項目經(jīng)理.[單選題]239.下列哪個選項是交叉(跨職位)培訓(xùn)的風(fēng)險？A)增加可依賴的職員B),在連續(xù)計劃中不互相協(xié)助C),一位職員可能知道一個系統(tǒng)的所有部分D),在完成操作的連續(xù)性方面沒有幫助[單選題]240.哪個過程使用測試數(shù)據(jù)作為連續(xù)在線方式中程序控制的全面測試的部分？A)測試數(shù)據(jù)/層面B)基礎(chǔ)方案系統(tǒng)評估C)完整性測試D)平行模擬[單選題]241.某銀行在其所有的重要信息系統(tǒng)項目中都采用系統(tǒng)開發(fā)命周期的概念。目前該行正準備開始一個房貸業(yè)務(wù)系統(tǒng)的可行性研究。可行性研究的主要內(nèi)容應(yīng)該包括：A)可能的投標商和商譽。B)計算機病毒和其他破壞導(dǎo)致的風(fēng)險。C)切換系統(tǒng)實施方法如平行法。D)技術(shù)和相關(guān)成本。[單選題]242.在網(wǎng)絡(luò)傳輸中應(yīng)用數(shù)字簽名技術(shù)可以保證:A)．機密性和完整性B)．安全性和不可否認性C)．完整性和不可否認性D)．機密性和不可否認性[單選題]243.企業(yè)資源規(guī)劃中的總賬設(shè)置功能允許設(shè)定會計期間。對此功能的訪問被授予財務(wù)、倉庫和訂單錄入部門的用戶。這種廣泛的訪問最有可能是因為：A)經(jīng)常性地修改會計期間的需要B)需要向關(guān)閉的會計期間過入分錄C)缺乏適當?shù)穆氊?zé)分工政策和步驟D)需要創(chuàng)建和修改科目表及其分配[單選題]244.有效的IT治理將確保IT計劃與組織的什么相一致？A)商業(yè)計劃B)審計計劃C)安全計劃D)投資計劃[單選題]245.一個金融服務(wù)機構(gòu)正在制定和記錄業(yè)務(wù)連續(xù)性的措施。在下列情況下信息系統(tǒng)審計師最可能提出的一個問題是？A)組織使用的做法并不是使用準則和依賴外部顧問的最佳實踐B)業(yè)務(wù)連續(xù)性計劃是圍繞著精心挑選的場景，某個可能發(fā)生的事件來進行的C)恢復(fù)時間目標（RTO）沒有考慮災(zāi)難恢復(fù)的限制，如：恢復(fù)時段的人員或系統(tǒng)依賴性D)該組織計劃租一個共享的緊急備用站點的工作場所、只具備為正常的工作人員一半使用的空間[單選題]246.在授予系統(tǒng)開發(fā)新成員訪問權(quán)限時，以下哪一項風(fēng)險最大?A)對開發(fā)數(shù)據(jù)庫的寫入權(quán)限B)對生產(chǎn)程序庫的執(zhí)行權(quán)限C)對開發(fā)程序庫的執(zhí)行權(quán)限D(zhuǎn))對生產(chǎn)程序庫的寫入權(quán)限[單選題]247.在做IT流程安全審計的時候，信息系統(tǒng)審計員發(fā)現(xiàn)沒有任何安全流程的相關(guān)文檔。審計員該：A)創(chuàng)建流程文檔B)結(jié)束審計C)進行符合性測試D)確認及評估現(xiàn)存的實例[單選題]248.管理層已決定接受風(fēng)險以回應(yīng)審計建議草案。以下哪一項應(yīng)是信息系統(tǒng)審計師的下一個行動步驟？A)將接受風(fēng)險的決定上報給董事會B)確保跟進審計納入明年的審計計劃C)將接受風(fēng)險的決定上報給審計委員會D)在審計報告中記錄管理層接受風(fēng)險的決定[單選題]249.規(guī)定?必須屏蔽或禁止密碼顯示?的信息安全案政策可應(yīng)對以下哪種攻擊方法？A)尾隨B)垃圾搜尋C)肩窺D)模擬[單選題]250.在缺乏有效的信息安全治理的背景下，價值傳遞的主要目標是：A)支持業(yè)務(wù)目標優(yōu)化安全投資B)實施一套標準安全實踐C)建立一個基于標準的緩解方案D)實施一個持續(xù)改進的文化[單選題]251.滲透測試作為網(wǎng)絡(luò)安全評估的一部分:A)提供保證所有弱點都被發(fā)現(xiàn)B)在不需要警告所有組織的管理層的情況下執(zhí)行C)找到存在的能夠獲得未授權(quán)訪問的漏洞D)在網(wǎng)絡(luò)邊界上執(zhí)行不會破壞信息資產(chǎn)[單選題]252.以下哪一項提供了外包提供商服務(wù)管理得當?shù)淖罴炎C據(jù)?A)針對不遵守服務(wù)級別協(xié)議SLA采取了適當?shù)男袆覤)供應(yīng)商提供詳細數(shù)據(jù)支持其績效統(tǒng)計數(shù)據(jù)C)服務(wù)級別協(xié)議SLA包括了表現(xiàn)不佳的處罰條款D)內(nèi)部績效標準與企業(yè)策略保持一致[單選題]253.評估B、C、P時，下列哪一項對于一名IS審計員應(yīng)當最被關(guān)注：A)災(zāi)難等級基于受損功能的范圍，而不是持續(xù)時間。B)低級別災(zāi)難和軟件事件之間的區(qū)別不清晰。C)總體B、C、P被文檔化，但詳細恢復(fù)步驟沒有規(guī)定。D)宣布災(zāi)難的職責(zé)沒有被識別。[單選題]254.安裝防火墻時最可能發(fā)生的錯誤是：A)訪問列表配置不正確B)由于社會工程破壞了密碼C)連接了調(diào)制解調(diào)器到網(wǎng)絡(luò)上的計算機D)不足以保護網(wǎng)絡(luò)和服務(wù)器免受病毒攻擊[單選題]255.下列哪項ＩＴ治理最佳實踐改進了戰(zhàn)略方針A)供應(yīng)商和合作者風(fēng)險管理B)有基于客戶，產(chǎn)品，市場和流程的知識庫C)有能夠提供創(chuàng)建和分享業(yè)務(wù)信息的組織結(jié)構(gòu)D)領(lǐng)導(dǎo)層在業(yè)務(wù)需求和技術(shù)部門之間的協(xié)調(diào)[單選題]256.IT控制目標對信息系統(tǒng)審計師是有用的，因為他們提供了對于下列哪項的基礎(chǔ)：A)實施具體的控制程序的期望結(jié)果B)對特定實體最好的IT安全控制措施C)安全信息技術(shù)D)安全策略[單選題]257.一個組織正在遷移遺棄的系統(tǒng)企業(yè)資源計劃系統(tǒng)。當檢查數(shù)據(jù)遷移活動時