CIA內部審計師-科目3：內部審計知識要素-高頻考點題-Ⅲ.信息技術

CIA內部審計師-科目3：內部審計知識要素-高頻考點題-Ⅲ.信息技術[單選題]1.當在應用層面上對終端用戶計算（EUC）控制進行審計時，檢查程序應包括：A.評價EUC管理，政策，程序及終端用戶支持。B.標（江南博哥）識出EUC應用，對其進行風險分級，并對控制進行文件記錄和測試。C.檢查培訓情形、用戶滿意程度及數(shù)據(jù)所有權。D.對物理安全性、邏輯安全性、備份及恢復計劃進行評價。正確答案：B參考解析：A.不正確。這些應是組織層面而不是應用層面上的審計工作。B.正確。鑒于EUC應用所固有的潛在風險，有必要對EUC應用進行標識、風險分級和測試。C.不正確。這些僅是構成檢查過程中的一些具體操作，而不是應用層面上的檢查程序。D.不正確。這些同樣僅是構成檢查程序的一些具體操作。[單選題]2.能對源程序進行語法檢查，并將其翻譯成目標代碼的程序是A.解釋程序。B.編譯程序。C.調試程序。D.加密程序。正確答案：B參考解析：A.不正確。解釋程序將高級語言程序轉換成中間代碼，并逐行解釋執(zhí)行。B.正確。編譯程序對源程序進行語法檢查，并將其翻譯成目標代碼的程序。C.不正確。調試程序用于跟蹤程序的執(zhí)行，并找到發(fā)生錯誤的代碼。D.不正確。加密程序用于對敏感數(shù)據(jù)進行密碼變換，防止信息泄露。[單選題]3.在考慮是開發(fā)新系統(tǒng)、購買現(xiàn)成產品、采購并定制產品還是重新設計現(xiàn)有系統(tǒng)等哪種方式時，以下哪一項基于風險的考慮是最重要的？A.開發(fā)系統(tǒng)以滿足5年后的預期需求。B.外包以獲得必要的能力。C.不做任何變動。D.現(xiàn)在開發(fā)所需需求的一半來滿足預算限制。正確答案：C參考解析：A.不正確。開發(fā)系統(tǒng)要做到滿足5年后的預期需求有一定的難度并需要投入更多的成本。B.不正確。用外包換取能力是需要投入的。C.正確。對現(xiàn)有系統(tǒng)不作任何變更是確定任何其他建議是否可行的基線。無論是從短期還是長期來看，如果什么都不做反而比其他任何選擇都能提供更好的投資回報時，那么它就是最佳選擇。D.不正確。直接開發(fā)完成一半的需求，需要先投入并承擔更多的風險。[單選題]4.某電子公司決定通過應用快速應用程序開發(fā)技術來實現(xiàn)某新系統(tǒng)。以下哪項內容將被包括在該新系統(tǒng)的開發(fā)之中？A.將系統(tǒng)文檔編制的需要延遲到最后模塊完成之時。B.把項目管理責任從開發(fā)小組轉移出去。C.分模塊創(chuàng)建系統(tǒng)直至系統(tǒng)完成。D.應用對象開發(fā)技術將以往編碼的使用減少到最低程度。A.整體測試法在證實賬戶余額的正確性時可能有用，但是在確定處理控制的存在性時可能沒有用。B.測試數(shù)據(jù)可能進入真實的數(shù)據(jù)環(huán)境。C.應用測試時，整體測試法不能與模擬的主文件記錄一起使用。D.測試數(shù)據(jù)必須由具有豐富技術技能的信息技術職員處理。正確答案：B參考解析：A.不正確。通過設計特定的虛擬交易，ITF可以確定處理控制的存在性。B.正確。在采用ITF時，測試人員需虛構一些記錄和交易，并與真實數(shù)據(jù)—起處理，以分析處理結果。因此測試數(shù)據(jù)可能進入真實的數(shù)據(jù)環(huán)境。C.不正確。ITF可以使用模擬的主文件記錄來測試應用，只要該模擬主文件記錄和真實記錄不同即可。D.不正確。整體測試法的測試數(shù)據(jù)處理人員需要精通業(yè)務，但不需要很高深的計算機技術技能。[單選題]5.以下哪項措施能夠控制對多余的電腦設備的低效使用？A.應急計劃。B.系統(tǒng)可行性研究。C.能力計劃。D.例外報告。正確答案：C參考解析：A.不正確。應急計劃可以保證在系統(tǒng)出現(xiàn)緊急故障時能在有效時間內恢復運行。B.不正確。系統(tǒng)可行性研究確保系統(tǒng)能實現(xiàn)預定的功能和性能指標。C.正確。能力計劃包括系統(tǒng)能力的設計目標、現(xiàn)有的設備能力清單以及對未來需求的預測，它能夠控制對多余的電腦設備的低效使用。D.不正確。例外報告可以將特殊問題突出顯示，以引起相關部門的注意。[單選題]6.為了獲取客戶數(shù)據(jù)，操作系統(tǒng)從一個包含鍵值及對應物理地址的文件中找到主鍵。在這種情況下，最有可能的客戶數(shù)據(jù)組織形式是A.直接存取文件。B.索引順序文件。C.順序文件。D.文本文件。正確答案：B參考解析：A.不正確。直接存取文件可直接根據(jù)主鍵的值得到相應記錄的物理位置，不需要主鍵索引文件。B.正確。索引順序文件的記錄按順序存儲在可直接訪問的介質中，可將記錄中的主關鍵字及該記錄的物理地址構成索引文件，通過索引順序訪問方法可直接訪問任意記錄。C.不正確。順序文件中的記錄按順序存放，并按順序存取，不需要主鍵索引文件。D.不正確。文本文件通常用來保存文檔，不適合題意。[單選題]7.數(shù)據(jù)庫查詢的用戶經常需要將幾張表進行結合，以便得到他們想要的信息。結合表格的方法之一被稱為A.連接（joining）。B.合并（merging）。C.映射（projeCting）。D.指向（pointing）。正確答案：A參考解析：A.正確。連接操作利用不同表格所具有的共同數(shù)據(jù)元素，可以將多個不同格式的表格的內容結合成用戶所需要的形式。B.不正確。合并操作將具有相同格式的表格合并成一個表格。C.不正確。映射操作將數(shù)據(jù)庫表中的部分字段構成一個新的子表。D.不正確。指向操作在不同數(shù)據(jù)元素之間建立關聯(lián)。[單選題]8.以下哪項應用程序控制能夠為庫存數(shù)據(jù)完整、準確地輸入提供合理保證？A.順序檢查。B.批量總額。C.限額檢查。D.檢驗數(shù)位。正確答案：B參考解析：A.不正確。順序檢查是一種測試輸入完整性的相當好的控制，但它并不測試正確性。B.正確。批量匯總檢查對測試輸入完整性和正確性都很有效。C.不正確。極限檢查只能判定輸入的數(shù)據(jù)是否在可接受的范圍內，因此也不能用來測試輸入的正確性。D.不正確。數(shù)字檢驗位可以使計算機機械地拒絕錯誤的輸入。生成數(shù)字校驗位需要進行繁瑣的運算，因而這種方法只適用于少數(shù)關鍵的輸入項。數(shù)字校驗位絕不會用于測試成批數(shù)據(jù)輸入的正確性。[單選題]9.對于評估擁有超過15,000臺計算機工作站的組織遵守軟件許可證規(guī)定的情況，以下哪一項是最適合的起點？A.確定軟件安裝是否被集中控制或者軟件的安裝是在整個組織內分散進行。B.確定什么樣的軟件被安裝在公司計算機中以及安裝的每一個軟件的數(shù)量。C.確定公司購買了多少套軟件。D.確定為監(jiān)督軟件的使用，安裝了什么樣的設備。正確答案：A參考解析：A.正確。邏輯起點是為了確定各控制點，然后才能對許可證合規(guī)性的證據(jù)進行評估。B.不正確。在采取這一步驟前，內部審計人員將首先確定是否集中控制了軟件的安裝，因為這將影響內部審計人員對安裝軟件運行的信息的判斷。C.不正確。這將幫助內部審計人員確定軟件是否合法取得，但是內部審計人員還需要通過確定在哪兒安裝的軟件來開始這一步驟，并且答案A是更加有用的起點。D.不正確。在評估許可證合規(guī)性時，監(jiān)督使用者不如確定安裝程序重要。[單選題]10.內部審計人員正在復核一項有關電子郵件的新政策，這個政策應包括除了以下哪項以外的所有因素？A.立即刪除已解除雇傭員工的所有電子郵件。B.對通過電話線傳輸電子郵件信息應該加密。C.限制公司采用的電子郵件軟件包的種類。D.規(guī)定職員不能用電子郵件發(fā)送高度敏感或機密的信息。正確答案：A參考解析：A.正確。已解除雇傭員工的電子郵件中很可能包含有用的客戶和業(yè)務信息，而且這些電子郵件的存在通常不對組織構成風險，因此沒有必要立即刪除，而應安排專人接手并檢查這些郵件。B.不正確。電話線路很容易被竊聽，因此對通過電話線傳輸電子郵件信息進行加密應包括在政策之內。C.不正確。限制公司采用的電子郵件軟件包的種類有利于郵件的安全管理和互通，應包括在政策之內。D.不正確。電子郵件在通過公網傳送時，很可能受到各種攻擊，因此規(guī)定職員不能用電子郵件發(fā)送高度敏感或機密的信息應包括在政策之內。[單選題]11.在使用電子資金轉賬系統(tǒng)后，以下哪一項風險增大了？A.不適當?shù)淖兏刂瞥绦颉.未經授權的訪問和交易活動。C.不充分的在線編輯檢查。D.不充分的備份和災難恢復程序。正確答案：B參考解析：A.不正確。不適當?shù)淖兏刂瞥绦蝻L險在大多數(shù)信息技術環(huán)境中普遍存在。B.正確。未經授權的訪問是一種固有風險，但在電子資金轉移的環(huán)境中該風險將直接導致資金的流失，因此其風險增大。C.不正確。不充分的在線編輯檢查風險在大多數(shù)信息技術環(huán)境中普遍存在。D.不正確。不充分的備份和災難恢復程序風險在大多數(shù)信息技術環(huán)境中都普遍存在。[單選題]12.電子數(shù)據(jù)交換系統(tǒng)（EDI）可以為組織帶來重大利益，但前提是必須清除某些主要障礙。要想成功實施電子數(shù)據(jù)交換，應從以下哪一項開始？A.畫出為實現(xiàn)組織目標所開展的經營活動流程圖。B.為EDI系統(tǒng)購買新的硬件。C.選擇可靠的翻譯、通訊軟件供應商。D.將交易格式、數(shù)據(jù)標準化。正確答案：A參考解析：A.正確。實施EDI不能簡單復制現(xiàn)有的作業(yè)流程，只有通過大力改進現(xiàn)有流程并與EDI相結合，才能獲得顯著的效果。一個低效的處理流程在實施EDI后仍然是低效的，只是速度較快而已。B.不正確。EDI獲得成功的先決條件是對商業(yè)目標、處理過程和流程的理解，以及和外部伙伴的合作。硬件的購置是以后要考慮的問題。C.不正確。選擇軟件供應商成在確定系統(tǒng)目標后進行。D.不正確。交易格式和數(shù)據(jù)的標準化工作應在確定系統(tǒng)目標后進行。[單選題]13.當組織轉為使用電子數(shù)據(jù)交換（EDI）時，大部分使用的是增值網絡（VAN）。下列哪一項功能通常不能由VAN完成？A.保存一個公司的電子訂單以供另一個公司訪問。B.提供組織間的公用接口，使組織與貿易伙伴間不需建立計算機直接通訊設施。C.維護公司與其貿易伙伴間所有交易的日志信息。D.將客戶計算機應用協(xié)議翻譯成EDI通訊的標準協(xié)議。正確答案：D參考解析：A.不正確。保存一個公司的電子訂單以供另一個公司訪問是VAN提供的標準服務。B.不正確。提供公司間的公用接口是VAN提供的標準服務。C.不正確。維護公司與其貿易伙伴間所有交易的日志信息是VAN提供的標準服務。D.正確。VAN只能提供公共的和標準的服務，如A、B、C選項。而客戶應用程序通常無確定模式，因此VAN不可能預見到各種應用模式并提供將其轉換為標準EDI協(xié)議的服務，轉換過程只能由雙方企業(yè)負責。[單選題]14.對于電子商務而言，以下哪一項不是潛在的安全問題？A.交易團體的正確標識。B.計算機病毒的擴散。C.決定誰有權做出交易決策。D.支付數(shù)據(jù)的確認。正確答案：B參考解析：A.不正確。對交易團體的正確標識屬于交易身份的標識和驗證。與電子商務的安全相關。B.正確。病毒雖然也和計算機系統(tǒng)的安全相關，但不是電子商務特有的。C.不正確。決定誰有權做出交易決策是電子交易的授權機制，與電子商務的安全相關。D.不正確。對支付數(shù)據(jù)的確認是電子交易的必要流程之一，也與電子商務的安全相關。[單選題]15.對于WeB服務和面向服務的體系結構（SOA），以下哪項描述是正確的？A.此類系統(tǒng)需要驗證外部應用程序本身。B.此類系統(tǒng)只能通過安全端口進行通信。C.此類系統(tǒng)無法與傳統(tǒng)應用程序一起使用。D.此類系統(tǒng)不能與殺毒軟件一起運行。正確答案：A參考解析：A.正確。使用SOA，雙方可以自動進行交易。因此，一些由用戶交互而創(chuàng)建的職責隔離將會缺失。于是，系統(tǒng)的補償性控制是根據(jù)基于角色的訪問權限，自行將創(chuàng)建該接口的機器或系統(tǒng)指定為用戶。B.不正確。SOA可以使用多種接口方案進行通訊。C.不正確。SOA可以和傳統(tǒng)應用程序一起使用。D.不正確。SOA可以和殺毒軟件、防火墻等各種其他軟件一起運行。[單選題]16.提供多道程序能力的軟件是：A.應用程序軟件。B.實用軟件。C.操作系統(tǒng)軟件。D.數(shù)據(jù)庫管理系統(tǒng)軟件。正確答案：C參考解析：A.不正確。具有多道程序能力的是操作系統(tǒng)軟件而非應用程序軟件。B.不正確。具有多道程序能力的是操作系統(tǒng)軟件而非實用軟件。C.正確。多道程序執(zhí)行允許多個程序通過并發(fā)地使用一個中央處理單元（CPU）,可在任何時間共享計算機系統(tǒng)資源，是操作系統(tǒng)分享計算機資源的最重要的能力。多道程序設計的目的是提高CPU的利用率，充分發(fā)揮計算機部件的并行性和提供整體系統(tǒng)的效率。D.不正確。具有多道程序能力的是操作系統(tǒng)軟件而非數(shù)據(jù)庫管理系統(tǒng)軟件。[單選題]17.ERP系統(tǒng)的一個主要優(yōu)勢是A.程序--數(shù)據(jù)相關。B.數(shù)據(jù)冗余。C.不同功能數(shù)據(jù)的單獨修改。D.數(shù)據(jù)集中。正確答案：D參考解析：A.不正確。ERP系統(tǒng)的數(shù)據(jù)管理利用了數(shù)據(jù)庫管理系統(tǒng)，而數(shù)據(jù)庫管理系統(tǒng)的特點是其應用程序和數(shù)據(jù)相對獨立。B.不正確。EPR系統(tǒng)消除了數(shù)據(jù)冗余，這也是數(shù)據(jù)庫管理系統(tǒng)的特征。C.不正確。ERP系統(tǒng)將所有的數(shù)據(jù)都集中在一個中心數(shù)據(jù)庫中，而且每個數(shù)據(jù)原則上僅存放一次，任何功能對讀數(shù)據(jù)的修改會立即反映到其他功能上。D.正確。ERP系統(tǒng)的所有數(shù)據(jù)集中存放在中心數(shù)據(jù)庫中。[單選題]18.制造資源計劃（MRP-II）系統(tǒng)A.完成企業(yè)ERP系統(tǒng)的后端功能。B.使用一個主產品計劃。C.缺乏預測和預算。D.完成企業(yè)ERP系統(tǒng)的前端功能。正確答案：B參考解析：A.不正確。MRP-II系統(tǒng)并沒有集成組織內部的所有子系統(tǒng)（后端功能），如人力資源及客戶服務等。B.正確。MRP-II是一個閉合的制造系統(tǒng)，它包含制造過程的各個方面，包括產品、銷售、存貨、日程和現(xiàn)金流等，也包括互動的會計和財務功能。MRP-II采用主產品計劃來描述特定時期內的特定項目，主產品計劃是MRP-II系統(tǒng)的部件之一。C.不正確。MRP-II具有生成現(xiàn)金及其他預算項的預測和計劃能力。D.不正確。MRP-II系統(tǒng)不具備與客戶、供應商、業(yè)主、債權人以及戰(zhàn)略伙伴等相連的前端功能。[單選題]19.新一代的ERP軟件（ERPII）包含的先進的計劃和進度安排系統(tǒng)A.決定零售銷路的場所。B.連接組織和聯(lián)合體內的其他成員。C.通過供應鏈控制制造商的材料和部件的流動。D.實現(xiàn)對客戶訂單的跟蹤。正確答案：C參考解析：A.不正確。計劃和進度安排系統(tǒng)不包括零售銷路的場所。B.不正確?；锇楣芾砉芾響貌粌H連接聯(lián)合體內的成員（如客戶和供應商），還連接業(yè)主、債權人和戰(zhàn)略聯(lián)盟成員。C.正確。先進的計劃和進度安排系統(tǒng)是制造商的供應鏈管理應用的要素。它控制材料和部件在鏈內的流動，并根據(jù)成本、時間和存貨來安排進度。D.不正確。計劃和進度安排系統(tǒng)不能實現(xiàn)對客戶訂單的跟蹤，這是其他軟件的功能。[單選題]20.對于傳統(tǒng)的系統(tǒng)，程序變更控制能夠保證生產系統(tǒng)是從經批準的程序的正確版本中產生。而在客戶機/服務器環(huán)境下運行的系統(tǒng)有可能增加程序變更控程序變更控制功能是保證A.程序版本在全網絡上同步。B.程序緊急移動手續(xù)應制成文檔并得到遵守。C.程序變更測試有適當?shù)挠脩魠⑴c。D.從測試庫到生產庫的傳遞要受到控制。正確答案：A參考解析：A.正確?？蛻魴C/服務器環(huán)境下的客戶端程序分散在各個客戶機中，當升級應用程序版本時，必須保證版本在全網絡上的同步，否則舊版的客戶程序可能不能正常工作甚至影響到服務器中的數(shù)據(jù)。而在大型機環(huán)境下應用程序集中存放在主機中，只需升級主機中的程序即可。B.不正確。客戶機/服務器環(huán)境和大型機環(huán)境都必須制定程序緊急變更的條文規(guī)定并要求遵照執(zhí)行。C.不正確。兩種環(huán)境下都要求用戶參與程序變更測試。D.不正確。兩種環(huán)境下從測試庫到生產庫的傳送都應受到控制。[單選題]21.在一個大型組織的會計部門，CD-ROM最有可能被用來A.提供EDI交易的永久審計線索。B.保存該部門收到的文件的圖像。C.記錄從銀行退回的支票正面和背書。D.提供一個檢索會計標準和指南的途徑。正確答案：D參考解析：A.不正確。由于需要多次寫入，采用磁帶等磁性介質提供EDI交易的永久審計線索更合適。B.不正確。見題解A。C.不正確。見題解A。D.正確。會計標準和指南是一類相對固定的信息，可以在生產時一次模壓成型，因此適合釆用CD-ROM,成本低且易于分發(fā)。[單選題]22.要發(fā)現(xiàn)局域網響應時間的惡化情況，應用以下哪種方法最好？A.平行測試B.集成測試設施C.性能監(jiān)視D.程序編碼比較軟件正確答案：C參考解析：A.不正確。平行測試是一種新系統(tǒng)實施時的測試方法，也是一種軟件審計方法。B.不正確。集成測試設施是一種軟件審計和測試方法。C.正確。性能監(jiān)視是對運行結果，如交易速率、響應時間、故障率等進行系統(tǒng)化的測量和評價。性能監(jiān)視可以揭示出對處理能力的使用趨勢，從而可以在用戶產生不滿之前就對處理能力進行升級。D.不正確。程序編碼比較軟件用于比較兩個編碼文件之間的異同。[單選題]23.用以連接異構網絡的設備叫做A.網關。B.網橋。C.路由器。D.集線器。正確答案：A參考解析：A.正確。網關在兩種或多種不同的協(xié)議簇之間進行翻譯，從而使兩種不同類型網絡的連接成為可能。網關通常由軟件來實現(xiàn)。B.不正確。網橋連接不同網段，并使其顯得像是只有一個物理網段。C.不正確。路由器連接兩個或更多個相同協(xié)議的網段，使這些網絡段之間可以通訊。D.不正確。集線器可與來自同一局域網的幾臺PC機的雙絞線連接。[單選題]24.相對于公共交換電話網絡（PSTN）和虛擬專用網（VPN），IP電話（VoIP）具有以下哪一項特性？A.VoIP上的所有通訊均被加密，因此搭線竊聽會很困難。B.VPN的安全性不如PSTN或VoIP。C.通過VoIP系統(tǒng)來攻擊提供VoIP服務的服務器是不可能的。D.VoIP的應用可能會降低計算機網絡中其他應用的性能。正確答案：D參考解析：A.不正確。除非采用特殊的加密VoIP系統(tǒng)，否則VoIP系統(tǒng)的通訊是不加密的。B.不正確。VPN采用加密技術來保證通訊信息的安全，因此其安全性比PSTN或VoIP要好。C.不正確。VoIP服務器和VoIP系統(tǒng)通過網絡連接，完全有可能遭受攻擊。D.正確。VoIP將語音信息數(shù)字化后通過計算機網絡傳輸，需要占用較大的帶寬，通常會影響網絡中其他應用的性能。[單選題]25.—家金融服務公司的管理層正在考慮一項有關擴展其現(xiàn)有局域網（LAN）的戰(zhàn)略決策，以增強公司的客戶服務功能。擴展后系統(tǒng)的下列哪方面對管理層來說是最不重要的戰(zhàn)略問題？A.如何開發(fā)指標來衡量擴展系統(tǒng)實現(xiàn)其業(yè)務目標的情況。B.擴展后的系統(tǒng)如何有助于公司的長期業(yè)務計劃。C.擴展后的系統(tǒng)如何支持日常業(yè)務運作。D.擴展后的系統(tǒng)將如何有助于降低運營成本。正確答案：D參考解析：A.不正確。擴展系統(tǒng)是否能夠實現(xiàn)其業(yè)務目標是重要的戰(zhàn)略問題。B.不正確。從戰(zhàn)略角度看，擴展后的系統(tǒng)應有助于公司的長期業(yè)務發(fā)展計劃。C.不正確?？蛻舴展δ軐儆谌粘I(yè)務運作，是擴展系統(tǒng)的主要目的。D.正確。削減成本本身是最不重要的問題?；貓蠡虺杀净貓笫且粋€更相夫的戰(zhàn)略考慮。[單選題]26.以下除哪項外都是信息安全主管的職責？A.制定組織的信息安全政策。B.維護和更新用戶密碼列表。C.評價新應用軟件中的安全控制。D.監(jiān)測和調查不成功的訪問企圖。正確答案：B參考解析：A.不正確。制定組織的信息安全政策是信息安全主管的職責。B.正確。維護和更改用戶密碼列表應由用戶自己完成。C.不正確。評價新應用軟件中的安全控制是信息安全主管的職責。D.不正確。對失敗的訪問企圖進行監(jiān)測和調查是信息安全主管的職責。[單選題]27.一個組織的計算機幫助平臺功能通常由哪個部門負責？A.應用開發(fā)部門。B.系統(tǒng)編程部門。C.計算機運行部門。D.用戶部門。正確答案：C參考解析：A.不正確。應用開發(fā)部門負責系統(tǒng)的開發(fā)。B.不正確。系統(tǒng)編程部門負責系統(tǒng)的程序說計。C.正確。計算機運行部門負責系統(tǒng)的日常運行維護，計算機幫助平臺是其功能之一。D.不正確。用戶部門負責操作和使用計算機系統(tǒng)。[單選題]28.一個大型組織在開發(fā)一個內部廣泛使用的新應用程序的時候，信息系統(tǒng)部門與其他部門之間的主要聯(lián)絡人通常是A.終端用戶。B.應用程序員。C.維護程序員。D.系統(tǒng)分析員。正確答案：D參考解析：A.不正確。終端用戶使用信息系統(tǒng)。B.不正確。應用程序員根據(jù)需求分析報告設計并編碼實現(xiàn)系統(tǒng)功能。C.不正確。維護程序員負責修復系統(tǒng)運行過程中暴露的軟件故障。D.正確。系統(tǒng)分析員負責系統(tǒng)的需求分析，在進行需求分析時需要不斷和其他業(yè)務部門進行交流，因此通常成為信息系統(tǒng)部門與其他部門之間的主要聯(lián)絡人。[單選題]29.在一個大型組織里，信息中心幫助平臺沒有配備足夠人員的最大風險是A.增加了實施應用審計的難度。B.應用系統(tǒng)缺乏足夠的文檔。C.增加了使用未經授權的程序代碼的可能性。D.用戶操作系統(tǒng)時不斷出現(xiàn)錯誤。正確答案：D參考解析：A.不正確。無論幫助平臺是否配備足夠的人員，應用審計的難度是相同的。B.不正確。文檔制作是開發(fā)職能，而不是幫助平臺的職能。C.不正確。使用未經許可程序代碼的可能性也不是幫助平臺的職能，而是變更控制的職能。D.正確。信息中心幫助平臺沒有配備足夠人員的最大風險是用戶在和系統(tǒng)交互過程中將無意識地持續(xù)出錯。[單選題]30.用戶和管理人員都需認可最初的建議、設計規(guī)劃、轉換計劃和信息系統(tǒng)測試計劃。這是以下哪項控制的例證？A.實施控制。B.硬件控制。C.計算機運行控制。D.數(shù)據(jù)安全性控制。正確答案：A參考解析：A.正確。實施控制應存在于系統(tǒng)開發(fā)過程的各個環(huán)節(jié)，以確保系統(tǒng)實施處于適當?shù)目刂坪凸芾碇?。B.不正確。硬件控制用以保證計算機硬件的物理安全和檢查設備的故障。C.不正確。計算機運行控制應用在計算機部門的工作中，保證程序化的作業(yè)規(guī)程在數(shù)據(jù)的存儲和處理過程中得到一貫正確地執(zhí)行。D.不正確。數(shù)據(jù)安全性控制保證在磁盤或磁帶上的數(shù)據(jù)文件不被非法訪問、修改或毀壞。[單選題]31.為了避免非法數(shù)據(jù)的輸入，某銀行在每個賬號結尾新加一個數(shù)字并對新加的數(shù)字進行一種計算，此種技術被稱為：A.光學字符識別。B.校驗數(shù)位。C.相關性檢驗。D.格式檢驗。正確答案：B參考解析：A.不正確。光學字符識別將印刷字符轉換成計算機可以識別的內部代碼。B正確。校驗數(shù)位是對某字段進行某種計算后得出，并附加在該字段之后的校驗位。通過重新計算校驗位并和原校驗位進行比較，可以發(fā)現(xiàn)該字段內容是否已發(fā)生變化。C.不正確。相關性檢驗用于檢查多個字段之間是否存在某種關聯(lián)，來判斷字段內容的正確性。D.不正確。格式檢驗用于檢查字段內容是否遵循某種特定的格式，如日期字段應該具有如下格式：YYYY：MM：DD。[單選題]32.用來確定應用程序系統(tǒng)需要建立多少控制的標準不包括以下哪項內容？A.數(shù)據(jù)在系統(tǒng)中的重要性。B.應用網絡監(jiān)測軟件的可行性。C.某項活動或處理沒有受到適當控制所產生的風險水平。D.每種控制措施的效率復雜性和費用。正確答案：B參考解析：A.不正確。例如，重要的財務和會計系統(tǒng)，如證券交易所的股票買賣跟蹤系統(tǒng)，相對于記錄員工培訓和技能的系統(tǒng)而言，必須具有更高的控制標準。B.正確。網絡監(jiān)測軟件并不參與應用系統(tǒng)內部的控制。C.不正確。問題的發(fā)生頻率及其潛在的危害應決定在一個系統(tǒng)中建立多少控制。D.不正確。例如，在一個每天處理成千上萬筆支付業(yè)務的系統(tǒng)中，全的逐項檢查可能過于費時而不可操作，但如僅檢查關鍵的數(shù)據(jù)則可能是可行的，如檢查金額、賬號而忽略姓名和地址。[單選題]33.根據(jù)IIA的SAC控制框架，“責任”是指A.與商業(yè)機密和其他知識產權相關的屬性。B.可以確定交易來源的控制屬性。C.對數(shù)據(jù)處理設備和存儲設備的訪問限制。D.與員工和客戶的個人信息相關的屬性。正確答案：B參考解析：A.不正確。與商業(yè)機密和其他知識產權相關的屬性與機密性相關。B.正確。“責任”是一種可以確定交易來源的控制屬性。它確定員工的角色、行動和責任。用戶責任屬性可以由數(shù)據(jù)的所有者關系、訪問者的身份與驗證來確定。C.不正確。對數(shù)據(jù)處理設備和存儲設備的訪問限制與物理安全相關。D.不正確。與員工與客戶的個人信息相關的屬性與個人隱私相關。[單選題]34.COBIT是A.對IT流程實施有效控制的輔助指南。B.對風險及對技術挑戰(zhàn)的反應。C.對以前的系統(tǒng)可審計性與控制報告的修訂。D.由COSO委員會出版發(fā)行。正確答案：A參考解析：A.正確。COBIT是由信息系統(tǒng)審計與控制基金會制定的一種IT控制框架。COBIT提供了一套指南來協(xié)助管理人員和業(yè)務人員對IT流程和資源實施控制。COBIT被設計成一種IT治理工具，有助于理解和管理組織中的信息及與IT相關的風險與利益。B.不正確。對風險及對技術挑戰(zhàn)的反應是eSAC的特征。C.不正確。SystemsAssurAnCeAnDControl才是對SystemsAuDitABilityAnDControl的升級。D.不正確。COBIT是由ISACA出版發(fā)行的。[單選題]35.關于COBIT，下列哪項說法是錯誤的？A.它可以無縫集成到其他治理框架中以提供單一的組織指導來源。B.它可以為企業(yè)的IT治理和管理需要提供整體解決方案。C.它側重于強化治理與管理的凝聚。D.它可以幫助專業(yè)人員指出IT流程管理的缺陷正確答案：C參考解析：A.不正確。COBIT模型的第三個原則是運用單一集成框架，即可與其他治理框架集成，以為組織提供單一的指導來源。B.不正確。COBIT模型的第四個原則是采用一個整體全面的方法，從而為企業(yè)的IT治理和管理需要提供一種整體解決方案。C.正確。COBIT模型的第五個原則是將治理與管理區(qū)分開而不是凝聚。從計劃到運營階段，COBIT提供了一種整體方法來理解IT在組織戰(zhàn)略中的角色。D.不正確。COBIT的目的是通過平衡來實現(xiàn)利益相關者的利益，幫助組織實現(xiàn)有效的IT管理。[單選題]36.良好的計劃可以幫助組織在處理中斷之后恢復計算機操作。良好的災難恢復計劃應該確保A.備份/重啟程序已嵌入作業(yè)流和程序中。B.變更控制程序不會被操作人員所繞過。C.對設備工作能力的變更計劃與設計好的工作量相容。D.與應用程序所有者達成服務級別的書面協(xié)議。正確答案：A參考解析：A.正確。備份/重啟程序是一個災難恢復計劃的構成要素。B.不正確。設計災難恢復計劃時無需關心變更控制程序的有效性。C.不正確。設計災難恢復計劃時無需關心設備能力的變更計劃是否與設計好的工作量相容。D.不正確。與應用程序所有者達成服務級別的書面協(xié)議雖然十分必要，但這與災難恢復計劃沒有關系。[單選題]37.某公司的應用系統(tǒng)必須24小時工作。公司高級管理層和信息系統(tǒng)管理部門已經做了很大努力保證災難恢復計劃及時、有效。該公司災難恢復計劃的一個重要方面是保證A.組織和運營方面的變動在恢復計劃中得到體現(xiàn)。B.對系統(tǒng)的變更在投入生產前已得到全面的測試。C.必要時管理人員能替代一線人員的工作。D.能力計劃可以準確預測系統(tǒng)負荷的改變。正確答案：A參考解析：A.正確。公司組織和運營方面的變動可能導致原先的恢復計劃失效，因此，這類變動必須在最新的恢復計劃中得到體現(xiàn)。B.不正確。對系統(tǒng)的變更當然要進行全面測試，但這超出了災難恢復計劃的目標范圍。C.不正確。恢復計劃確實應考慮必要時如何替代一線工作人員，但通常不應由管理人員來充當。D.不正確。考察能力計劃的準確性超出了災難恢復計劃的目標范圍。[單選題]38.在對某組織的災難恢復能力進行審計時，內部審計人員可能認為以下哪一項是最嚴重的控制弱點？A.測試利用了恢復腳本。B.熱站合同有兩年時間了。C.備份介質被保存在現(xiàn)場。D.每年只測試幾個系統(tǒng)。正確答案：C參考解析：A.不正確。對后續(xù)事件來說，使用腳本是常見的實務。B.不正確?；謴秃贤皇墙洺８碌?。C.正確。沒能在遠離現(xiàn)場的地方保存?zhèn)浞萁橘|是一項非常嚴重的控制弱點。D.不正確。一般來說，有限的測試時間僅僅允許測試幾個系統(tǒng)。[單選題]39.在確定一個組織的災難構成因素時，以下哪一項是必要的？A.風險分析。B.文件和設備備份需求分析。C.供應商供貨協(xié)議分析。D.應急設施合同分析。正確答案：A參考解析：A.正確。風險分析確定各項風險的級別及可能導致該風險的因素。B.不正確。文件和設備備份需求分析確定災難發(fā)生后的恢復性需求。C.不正確。供應商供貨協(xié)議分析確定供貨協(xié)議的合理性。D.不正確。應急設施合同分析確定災難發(fā)生后啟動應急設施的可行性。[單選題]4