CISA考試練習(xí)(習(xí)題卷3)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷3)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.下面哪一種說法的順序正確？A)脆弱性導(dǎo)致了威脅，然后威脅導(dǎo)致了風(fēng)險(xiǎn)B)風(fēng)險(xiǎn)導(dǎo)致了威脅，然后威脅導(dǎo)致了脆弱性C)脆弱性導(dǎo)致了風(fēng)險(xiǎn)，然后風(fēng)險(xiǎn)導(dǎo)致了威脅D)威脅導(dǎo)致了脆弱性，然后脆弱性導(dǎo)致了風(fēng)險(xiǎn)答案:A解析:[單選題]2.在審計(jì)數(shù)據(jù)庫環(huán)境中，如果數(shù)據(jù)庫管理員履行下列哪項(xiàng)職責(zé)，信息系統(tǒng)審計(jì)師認(rèn)為最擔(dān)心？A)根據(jù)管理程序履行數(shù)據(jù)庫改變B)安裝補(bǔ)丁或升級操作系統(tǒng)C)設(shè)置表空間大小和配置表的聯(lián)系D)履行備份和恢復(fù)程序答案:B解析:安裝補(bǔ)丁和升級操作系統(tǒng)應(yīng)該被系統(tǒng)管理員來執(zhí)行，而不是數(shù)據(jù)庫管理員。如果一個(gè)數(shù)據(jù)庫管理員履行這項(xiàng)職責(zé)，將是基于不恰當(dāng)職責(zé)分離的風(fēng)險(xiǎn)。其他的選項(xiàng)是數(shù)據(jù)庫管理員的正常職責(zé)，并不會(huì)引起擔(dān)心。[單選題]3.以下哪一項(xiàng)是用于災(zāi)難恢復(fù)的鏡像數(shù)據(jù)中心的特征?A)鏡像數(shù)據(jù)中心不需要配備人員B)失效發(fā)生之后，應(yīng)該繼續(xù)將數(shù)據(jù)復(fù)制到鏡像站點(diǎn)C)鏡像站點(diǎn)可能會(huì)造成用戶能注意到的短暫中斷D)生產(chǎn)站點(diǎn)發(fā)生實(shí)時(shí)數(shù)據(jù)復(fù)制答案:D解析:[單選題]4.在組織中，IT安全的職責(zé)被明確分配和執(zhí)行，以及IT安全風(fēng)險(xiǎn)和影響分析被貫徹執(zhí)行，這些可以代表已經(jīng)達(dá)到信息安全治理成熟度模型的那種水平？A)已優(yōu)化B)已管理C)已定義D)可重復(fù)答案:B解析:董事會(huì)以及高級管理層可以利用這些信息安全治理成熟度模型在組織中建立安全排名。該排名是虛擬的，初始級，可重復(fù)，已定義，已管理和已優(yōu)化。當(dāng)IT安全的職責(zé)已被明確分析和執(zhí)行，以及IT安全風(fēng)險(xiǎn)和影響分析被貫徹執(zhí)行時(shí)，它被認(rèn)為是?有管理的，可衡量的?。[單選題]5.以下哪一項(xiàng)IT治理審查的發(fā)現(xiàn)應(yīng)是最大的擔(dān)憂?A)IT價(jià)值分析尚未完成B)IT支持兩種不同的操作系統(tǒng)C)所有IT服務(wù)皆由第三方提供D)IT預(yù)算不受監(jiān)控答案:D解析:[單選題]6.以下哪一項(xiàng)是圖像處理的弱點(diǎn)？A)驗(yàn)證簽名B)改善服務(wù)C)相對較貴D)減少處理導(dǎo)致的變形答案:C解析:[單選題]7.在數(shù)據(jù)中心審計(jì)期間，IS審計(jì)師發(fā)現(xiàn)磁帶管理系統(tǒng)中的一些參數(shù)設(shè)置為繞過或忽略磁帶頭記錄。以下哪項(xiàng)是對此漏洞最有效的補(bǔ)償控制措施?A)暫存和作業(yè)設(shè)置B)監(jiān)督審查日志C)定期磁帶備份D)異地存?zhèn)浯艓Т鸢?A解析:A.如果IS審計(jì)師發(fā)現(xiàn)存在有效的暫存和作業(yè)設(shè)置過程，則可接受其作為補(bǔ)償控制。沒有讀取磁帶頭記錄還可能導(dǎo)致加載錯(cuò)誤的磁帶和除已加載磁帶上正在訪問的數(shù)據(jù)。B.對日志的監(jiān)督審査是一種檢測性控制，不能防止加載錯(cuò)誤的磁帶。C.定期磁帶備份與繞過磁帶頭記錄無關(guān)D.磁帶的異地存儲(chǔ)不能防止因繞過磁頭記錄而導(dǎo)致加載錯(cuò)誤的磁帶。[單選題]8.以下哪項(xiàng)應(yīng)是IS審計(jì)師最為關(guān)注的:A)沒有報(bào)告網(wǎng)路被攻陷的事件B)未能就企業(yè)闖入事件通知執(zhí)法人員C)缺少對操作權(quán)限的定期檢查D)沒有就闖入事件告之公眾答案:A解析:[單選題]9.一家組織在業(yè)務(wù)連續(xù)性規(guī)劃中完成了業(yè)務(wù)影響分析(BIA)。流程中的下一步是制定A)業(yè)務(wù)連續(xù)性策略。B)測試和練習(xí)計(jì)劃。C)用戶培訓(xùn)計(jì)劃。D)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)。答案:A解析:A.業(yè)務(wù)連續(xù)性戰(zhàn)略是下一步的工作，因?yàn)樗鼤?huì)指出最佳恢復(fù)方式。在這一階段，業(yè)務(wù)流程的關(guān)鍵性、成本、恢復(fù)需要的時(shí)間以及安全性都需要考慮。B.恢復(fù)策略和計(jì)劃在測試計(jì)劃之前制定。C.只有完成業(yè)務(wù)連續(xù)性計(jì)劃(BCP)之后，才能制定培訓(xùn)方案。D.必須在制定BCP之前確定一個(gè)策略。[單選題]10.因?yàn)殚_發(fā)時(shí)間或資源需求被低估，很多IT項(xiàng)目遇到問題，以下哪一項(xiàng)技術(shù)可以在預(yù)計(jì)項(xiàng)目期限方面提供最大的幫助？A)功能點(diǎn)分析B)PERT圖C)快速應(yīng)用開發(fā)D)面向?qū)ο箝_發(fā)答案:B解析:了解所有的活動(dòng)及相應(yīng)的工作后，可以通過PERT圖計(jì)算項(xiàng)目持續(xù)時(shí)間。功能點(diǎn)分析是基于功能點(diǎn)數(shù)量判斷一項(xiàng)開發(fā)任務(wù)大小的技術(shù)。功能點(diǎn)是輸入。輸出、查詢、邏輯內(nèi)部文件等要素。雖然這有助于確定個(gè)別活動(dòng)的規(guī)模，卻無法確定項(xiàng)目的持續(xù)時(shí)間，因?yàn)榛顒?dòng)有很多重疊。快速應(yīng)用程序開發(fā)能夠組織快速開發(fā)具有重點(diǎn)戰(zhàn)略意義的系統(tǒng)，同時(shí)降低開發(fā)成本，保證質(zhì)量，面向?qū)ο箝_發(fā)方法是解決方案的技術(shù)說明和建模的過程。點(diǎn)評：項(xiàng)目期限估算技術(shù)--PERT[單選題]11.在業(yè)務(wù)持續(xù)性計(jì)劃中，下面哪一項(xiàng)具有最高的優(yōu)先級？A)恢復(fù)關(guān)鍵流程B)恢復(fù)敏感流程C)恢復(fù)站點(diǎn)D)將運(yùn)行過程重新部署到一個(gè)替代的站點(diǎn)答案:A解析:關(guān)鍵流程的恢復(fù)具有最高的優(yōu)先級，因?yàn)樗苁沟脴I(yè)務(wù)流程在中斷后迅速開始，且不會(huì)晚于公告的中斷平均時(shí)間。敏感流程的恢復(fù)指的是重要而敏感流程的恢復(fù)，在一個(gè)可容忍的成本下，它可以在一個(gè)更長的時(shí)間范圍內(nèi)通過手工的方式執(zhí)行，這種恢復(fù)不被標(biāo)識(shí)為高優(yōu)先級。維修和恢復(fù)站點(diǎn)到初始狀態(tài)并恢復(fù)業(yè)務(wù)運(yùn)行是一個(gè)需要消耗時(shí)間的操作過程，也不具有高優(yōu)先級。將運(yùn)行過程重新部署到一個(gè)替代的站點(diǎn)，根據(jù)中斷的情況，臨時(shí)的或是永久的，這也是一個(gè)需要消耗時(shí)間的過程；并且，重新部署可能是不需要的。[單選題]12.下列哪一項(xiàng)，是處置含有機(jī)密信息的磁性存儲(chǔ)介質(zhì)的最佳方法？A)消磁B)磁盤碎片整理C)刪除D)銷毀答案:A解析:處置機(jī)密信息使之不可恢復(fù)的最佳方法是銷毀。消磁不能徹底抺除機(jī)密信息；磁盤碎片整理的目的只是重新整理文件系統(tǒng)，而不是刪除信息；刪除不能徹底抺除信息，它只是改變文件的引導(dǎo)信息。[單選題]13.以下哪項(xiàng)提供了對平衡計(jì)分卡的最好的解釋？A)被用于標(biāo)桿到目標(biāo)服務(wù)水平。B)被用于度量提供給客戶的IT服務(wù)的效果。C)驗(yàn)證組織的戰(zhàn)略和IT服務(wù)的匹配。D)度量幫助臺(tái)職員的績效。答案:C解析:平衡計(jì)分卡被用于匹配組織的戰(zhàn)略和IT服務(wù)。[單選題]14.下面哪個(gè)是時(shí)間窗管理的特性？A)不適合原型或快速應(yīng)用開發(fā)B)減少質(zhì)量過程的需要C)防止超支和延遲交付D)分開系統(tǒng)和用戶接受性測試答案:A解析:時(shí)間窗管理，就它的特性來說，是設(shè)置具體的時(shí)間和成本界限。它是非常適合原形和RA、D、，并將系統(tǒng)和用戶接受性測試整合到一起，但是不能減少質(zhì)量過程的需要。[單選題]15.以下哪一項(xiàng)可以提供邏輯訪問控制，以禁止更新或刪除關(guān)系數(shù)據(jù)庫（relationaldatabase）中的業(yè)務(wù)信息？A)觸發(fā)器（trigger）B)關(guān)聯(lián)數(shù)據(jù)（primaryC)視圖（view）D)合并（join）答案:A解析:[單選題]16.IS審計(jì)師發(fā)現(xiàn)有些用戶在其PC上安裝了個(gè)人軟件。安全政策對此沒有明確禁止。以下哪項(xiàng)是IS審計(jì)師可以建議的最佳方法A)IT部門實(shí)施控制機(jī)制來防止未經(jīng)授權(quán)的軟件安裝B)更新安全政策，納入未授權(quán)軟件相關(guān)的具體規(guī)定。C)IT部門禁止下載未經(jīng)授權(quán)的軟件。D)用戶在安裝非標(biāo)軟件前取得IS經(jīng)理的批準(zhǔn)。答案:B解析:A.IS審計(jì)師的職責(zé)是，報(bào)告發(fā)現(xiàn)的情況并提出最佳建議，也就是根據(jù)政策進(jìn)行問題處理。IT部門不能在未經(jīng)政策授權(quán)的情況下實(shí)施控制。B.可接受的使用政策中缺乏解決未授權(quán)軟件問題的具體規(guī)定是管理控制措施中的不足。應(yīng)審查和更新該政策以解決此問題，并為IT部門實(shí)施技術(shù)控制提供授權(quán)。C.阻止下載未經(jīng)授權(quán)的軟件這一解決辦法不夠全面。未經(jīng)授權(quán)的軟件還可通過光盤(CD)和通用串行總線(USB)驅(qū)動(dòng)器引入。D.在安裝非標(biāo)準(zhǔn)軟件之前取得IS經(jīng)理的批準(zhǔn)是一種例外處理控制手段。只有在禁止安裝未經(jīng)授權(quán)軟件的預(yù)防性控制實(shí)施之后才會(huì)有效[單選題]17.在基于風(fēng)險(xiǎn)審計(jì)做計(jì)劃時(shí)，以下哪一步最關(guān)鍵？【已經(jīng)理解】A)對組織全部環(huán)境做整體評估。B)基于可接受的框架（例如COBIT或COSO)建立審計(jì)方法論。C)文檔化審計(jì)程序確保審計(jì)師獲得計(jì)劃的審計(jì)目標(biāo)。D)識(shí)別控制失效的高風(fēng)險(xiǎn)區(qū)域。答案:D解析:在為審計(jì)項(xiàng)目做計(jì)劃時(shí)最關(guān)鍵步驟是識(shí)別高風(fēng)險(xiǎn)區(qū)域。[單選題]18.下列哪項(xiàng)有助于制定一個(gè)有效的業(yè)務(wù)連續(xù)性計(jì)劃？A)文檔分發(fā)給有關(guān)各方B)計(jì)劃包含所有用戶部門C)高層管理者的批準(zhǔn)D)外部信息系統(tǒng)審計(jì)師對BCP實(shí)施審計(jì)答案:B解析:在業(yè)務(wù)連續(xù)性計(jì)劃中包含用戶部門，以便識(shí)別業(yè)務(wù)處理優(yōu)先次序，業(yè)務(wù)連續(xù)性計(jì)劃的傳閱將使業(yè)務(wù)連續(xù)性計(jì)劃的文檔確保被所有人員收到，雖然重要，但對于業(yè)務(wù)連續(xù)性計(jì)劃的成功并不是最重要的，高層管理者對業(yè)務(wù)連續(xù)性計(jì)劃的批準(zhǔn)不能確保業(yè)務(wù)連續(xù)性計(jì)劃的質(zhì)量，必要的審計(jì)也不能提高業(yè)務(wù)連續(xù)性計(jì)劃的質(zhì)量。[單選題]19.IT治理成熟度模型中從哪一層級開始可以使用IT平衡記分卡？A)可重復(fù)但模糊級B)已定義級C)已管理和可度量級D)已優(yōu)化級答案:A解析:在被定義IT平衡計(jì)分卡中，已定義級（3級）是最低的。[單選題]20.周期性的測試位于站點(diǎn)外的設(shè)備目的是:A)保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的完整性B)降低編制詳細(xì)偶然事故計(jì)劃的需要C)保證突發(fā)事故時(shí)使用的設(shè)備的兼容性D)保證程序和系統(tǒng)程序持續(xù)更新答案:A解析:測試異地災(zāi)備設(shè)備的主要目的是保證突發(fā)事故時(shí)使用的設(shè)備的兼容性。特殊的軟件工具可以用來保護(hù)數(shù)據(jù)的完整性。應(yīng)急計(jì)劃不能去除，程序和系統(tǒng)文件應(yīng)該連續(xù)被評審。[單選題]21.某IS審計(jì)師要為透測試選擇一個(gè)服務(wù)器，并且該測試會(huì)由技術(shù)專業(yè)人員執(zhí)行。下面哪個(gè)選項(xiàng)最重要?A)用來進(jìn)行測試的工具B)IS審計(jì)師持有的認(rèn)證C)服務(wù)器數(shù)據(jù)所有者的批準(zhǔn)D)啟用了入侵檢測系統(tǒng)(IDS)答案:C解析:A.工具的選擇對于保證有效測試和防止系統(tǒng)故障很重要，但所有者的批準(zhǔn)更重要。B.IS審計(jì)師持有認(rèn)證與否與測試的有效性無關(guān)。C.應(yīng)告知數(shù)據(jù)所有者與滲透測試和測試時(shí)間安排相關(guān)的風(fēng)險(xiǎn)、要執(zhí)行哪種測試以及其他相關(guān)細(xì)節(jié)。D.滲透測試不需要入侵檢測系統(tǒng)(IDS)[單選題]22.下面哪個(gè)選項(xiàng)可以減少社交工程攻擊的潛在影響？A)遵循規(guī)章要求B)提高倫理道德水平C)安全意識(shí)程序D)有效的績效激勵(lì)答案:C解析:[單選題]23.一名IS審計(jì)師被分配執(zhí)行一項(xiàng)測試:比較作業(yè)運(yùn)行日志與計(jì)算機(jī)作業(yè)計(jì)劃表。該IS審計(jì)師最要關(guān)注以下哪一項(xiàng)?A)緊急變更的數(shù)量增加。B)存在某些作業(yè)沒有按時(shí)完成的情況。C)存在某些作業(yè)被計(jì)算機(jī)操作人員覆蓋的情況。D)有證據(jù)顯示僅運(yùn)行了預(yù)先計(jì)劃的作業(yè)。答案:C解析:A.只要作為流程的一部分妥善記錄，緊急變更是可以接受的。B.作業(yè)沒有按時(shí)完成是個(gè)潛在的問題并且應(yīng)該調(diào)查，但不是最需關(guān)注的問題。C計(jì)算機(jī)操作人員對計(jì)算機(jī)處理作業(yè)的覆蓋會(huì)對數(shù)據(jù)或程序造成未經(jīng)授權(quán)的變更。這屬于控制方面的風(fēng)險(xiǎn)因素，因此通常非常關(guān)鍵。D.審計(jì)應(yīng)發(fā)現(xiàn)所有預(yù)先計(jì)劃的作業(yè)都運(yùn)行了，而且任何期望結(jié)果都得到了記錄。所以這沒有違反規(guī)定。[單選題]24.下列哪項(xiàng)工作角色混合引起惡意行為發(fā)生的可能性最??？A)系統(tǒng)分析員和質(zhì)量保障員。B)計(jì)算機(jī)操作員和系統(tǒng)程序員。C)安全管理員和應(yīng)用程序員。D)數(shù)據(jù)庫管理員和系統(tǒng)分析員。答案:D解析:A,B,C是不相容的職責(zé)。[單選題]25.某IS審計(jì)師要為滲透測試選擇一個(gè)服務(wù)器，并且該測試會(huì)由技術(shù)專業(yè)人員執(zhí)行。下面哪個(gè)選項(xiàng)最重要？A)用來進(jìn)行測試的工具B)IS審計(jì)師持有的認(rèn)證C)服務(wù)器數(shù)據(jù)所有者的批準(zhǔn)D)啟用了入侵檢測系統(tǒng)（IDS）答案:C解析:數(shù)據(jù)所有者應(yīng)被告知滲透測試存在哪些相關(guān)風(fēng)險(xiǎn)、要執(zhí)行哪種測試以及其他相關(guān)細(xì)節(jié)。數(shù)據(jù)所有者應(yīng)該對數(shù)據(jù)資產(chǎn)的安全負(fù)責(zé)，其他所有選項(xiàng)均沒有這一條重要。[單選題]26.以下哪種為終端用戶應(yīng)用開發(fā)的普通風(fēng)險(xiǎn)？A)應(yīng)用程序可能沒有測試和IT一般控制B)增加開發(fā)和維護(hù)成本C)增加應(yīng)用程序開發(fā)時(shí)間D)決策可能由于當(dāng)請求信息時(shí)響應(yīng)效率的降低而受到削弱答案:A解析:終端用戶開發(fā)的應(yīng)用程序可能沒有獨(dú)立的外部系統(tǒng)分析人員審查，沒有采用正規(guī)的方法來創(chuàng)建可能由于缺乏適當(dāng)?shù)臉?biāo)準(zhǔn)，質(zhì)量保證程序和文檔。終端用戶應(yīng)用程序的風(fēng)險(xiǎn)是管理可能依靠他們的傳統(tǒng)應(yīng)用。終端用戶計(jì)算（EUC）的系統(tǒng)通常減少應(yīng)用程序開發(fā)和維護(hù)成本，減少開發(fā)周期時(shí)間EUC增加靈活性和響應(yīng)能力。點(diǎn)評：用戶自行開發(fā)軟件能力不足，導(dǎo)致控制設(shè)計(jì)有問題[單選題]27.一家公司部署了一套新的C、S企業(yè)資源管理（ERP）系統(tǒng)。本地分支機(jī)構(gòu)傳送客戶訂單到一個(gè)中央制造設(shè)施，下列哪個(gè)最好地保證了訂單準(zhǔn)確地輸入和相應(yīng)的產(chǎn)品被生產(chǎn)了？A)驗(yàn)證產(chǎn)品和客戶訂單B)在ERP系統(tǒng)中記錄所有的客戶訂單C)在訂單傳輸過程中使用hA、sh總數(shù)D)（產(chǎn)品主管）在生產(chǎn)前批準(zhǔn)訂單答案:A解析:驗(yàn)證可以確保產(chǎn)品訂單和客戶訂單的一致性。紀(jì)錄的方法可用于發(fā)現(xiàn)錯(cuò)誤，但是不能保證處理的正確性。HA、SH總數(shù)可以保證傳送的正確順序,但是無法在中心確定正確的順序。產(chǎn)品監(jiān)理批準(zhǔn)耗費(fèi)時(shí)間，手工處理不能確保實(shí)現(xiàn)了適當(dāng)?shù)目刂?。[單選題]28.以下哪種公匙基礎(chǔ)架構(gòu)（PKI)元素提供了處理被盜用私匙的詳細(xì)描述？A)證書撤銷清單（PKI)B)認(rèn)證實(shí)施細(xì)則（CPS)C)證書政策（CP）D)PKI公開聲明（PDS）答案:B解析:CPS是基于政策的PKI的指引部分。CKL是在認(rèn)證的預(yù)訂截止日期前已調(diào)用認(rèn)證的列表。CP設(shè)置的要求隨后由CPS實(shí)施。PKI公開聲明涵蓋了擔(dān)保、時(shí)效和義務(wù)等多個(gè)法律上束縛各方的關(guān)鍵條目。[單選題]29.在審查IT項(xiàng)目與項(xiàng)目管理的優(yōu)先次序和協(xié)調(diào)事宜時(shí)，對IS審計(jì)師而言，主要考慮因素是什么?A)項(xiàng)目與組織戰(zhàn)略相一致。B)識(shí)別的項(xiàng)目風(fēng)險(xiǎn)得到監(jiān)控和緩解。C)與項(xiàng)目規(guī)劃和預(yù)算編制相關(guān)的控制措施是適當(dāng)?shù)摹)準(zhǔn)確報(bào)告IT項(xiàng)目指標(biāo)。答案:A解析:A.IT項(xiàng)目的主要目標(biāo)是增加對企業(yè)的價(jià)值，因此它們必須與業(yè)務(wù)戰(zhàn)降相一致才能實(shí)現(xiàn)預(yù)期結(jié)果。因此，IS審計(jì)師應(yīng)當(dāng)首先著重確保這種一致性。B.流程足以監(jiān)控和緩解識(shí)別的項(xiàng)目風(fēng)險(xiǎn)很重要;但戰(zhàn)略一致性有助于評估用業(yè)務(wù)術(shù)語識(shí)別的風(fēng)險(xiǎn)。C.在預(yù)定時(shí)間和預(yù)算內(nèi)完成項(xiàng)目很重要;但項(xiàng)目管理的重點(diǎn)應(yīng)當(dāng)放在實(shí)現(xiàn)與業(yè)務(wù)戰(zhàn)略相一致的、希望達(dá)到的項(xiàng)目結(jié)果上。D.準(zhǔn)確報(bào)告項(xiàng)目狀況很重要，但不一定有助于提供項(xiàng)目交付成果的戰(zhàn)略視角。[單選題]30.在對業(yè)務(wù)流程再造(BPR)工作進(jìn)行審查時(shí)，以下哪一項(xiàng)是主要關(guān)注的問題?A)BPR工作消除了一部分控制B)資源不足以支持BPR流程。C)審計(jì)部門不參與BPR工作。D)BPR工作納入該流程領(lǐng)域知識(shí)有限的員工。答案:A解析:A.業(yè)務(wù)流程再造(BPR)的主要風(fēng)險(xiǎn)是，消除了一部分控制。這是主要關(guān)注的問題。B.BPR流程可能是一項(xiàng)資源密集型的舉;但更重要的問題是，是否因?yàn)锽PR工作而消除了關(guān)鍵控制。C.盡管BPR工作通常涉及許多不同的業(yè)務(wù)職能部門，如果審計(jì)部門不參與，則不是個(gè)嚴(yán)重的問題，并且在多數(shù)情況下，審計(jì)部門不適合參與此類工作。D.為BPR建議的良好實(shí)踐是，納入來自企業(yè)所有部分的人員，即使其在該流程領(lǐng)域的知識(shí)有限。因此，這不值得關(guān)注。[單選題]31.較低的恢復(fù)時(shí)間目標(biāo)（恢復(fù)時(shí)間目標(biāo)）的會(huì)有如下結(jié)果：A)，更高的容災(zāi)。B)，成本較高。C)更長的中斷時(shí)間。D),更多許可的數(shù)據(jù)丟失。答案:A解析:恢復(fù)時(shí)間目標(biāo)（RTO）是基可以接受的停機(jī)時(shí)間的。較低的恢復(fù)時(shí)間目標(biāo)，就會(huì)有更高的成本回收的策略。容災(zāi)力越低，中斷時(shí)間就需更短，并且對數(shù)據(jù)丟失的許可越少。[單選題]32.以下哪項(xiàng)最能提供新員工誠信的保證？A)背景調(diào)查B)引用C)綁定D)在簡歷上的資質(zhì)答案:A解析:一個(gè)背景調(diào)查是為確保未來的一個(gè)工作人員誠信的主要方法。重要的參數(shù)文獻(xiàn)是需要核實(shí)，但他們都不如背景調(diào)查可靠。綁定時(shí)按照盡職調(diào)查規(guī)定，但并不完整，在簡歷中列出的質(zhì)量可能不準(zhǔn)確。[單選題]33.為確保結(jié)束日期嚴(yán)格、測試執(zhí)行時(shí)間固定的項(xiàng)目能夠?qū)崿F(xiàn)充分的測試覆蓋率，以下哪種方法最好？A)根據(jù)重要性和使用頻率對要求和測試進(jìn)行排序B)測試覆蓋率應(yīng)限制在功能要求之內(nèi)C)使用腳本執(zhí)行自動(dòng)測試D)所需運(yùn)行測試數(shù)應(yīng)通過僅重測缺陷修復(fù)來減少答案:A解析:其思路是：通過專注于系統(tǒng)最重要的方面來使測試效用最大化，以及缺陷代表了用戶接受的最大風(fēng)險(xiǎn)的領(lǐng)域。該方法的進(jìn)一步擴(kuò)展是，同時(shí)考慮要求的技術(shù)復(fù)雜程度，因?yàn)閺?fù)雜程度會(huì)增大缺陷的可能性。僅測試功能要求的問題在于，可用性和安全性等對系統(tǒng)整體質(zhì)量至關(guān)重要的非功能要求領(lǐng)域遭到忽略。通過執(zhí)行自動(dòng)化測試來提高測試效率是一個(gè)不錯(cuò)的想法。但是就這種方法本身來說，他無法保證測試覆蓋率的適當(dāng)目標(biāo)，因此不是一個(gè)有效的潛代方案。僅重測缺陷修復(fù)會(huì)帶來相當(dāng)大的風(fēng)險(xiǎn)，因此這樣將不會(huì)檢測缺陷修復(fù)可能導(dǎo)致系統(tǒng)回歸的實(shí)例，例如，在某些之前工作正常的系統(tǒng)部分引入了錯(cuò)誤。因此，最佳做法是在實(shí)施缺陷修復(fù)之后執(zhí)行正規(guī)的回歸測試。點(diǎn)評：時(shí)間要求嚴(yán)格的項(xiàng)目，挑重要的進(jìn)行測試和發(fā)布[單選題]34.下列哪一項(xiàng)對信息安全管理系統(tǒng)的成功最為關(guān)鍵？A)管理部門對信息安全的承諾B)用戶對信息安全的責(zé)任確立C)信息安全與IT目標(biāo)的統(tǒng)一D)業(yè)務(wù)與信息安全的集成答案:D解析:[單選題]35.哪種審計(jì)技術(shù)可提供IT部門中職責(zé)分離的最佳證據(jù)?A)與管理層進(jìn)行討論B)審查組織架構(gòu)圖C)觀察和面談D)測試用戶訪問權(quán)限答案:C解析:A.管理層可能不知道IT部門每位員工的詳細(xì)職能，他們可能不知道控制是否被遵循。因此，與管理層的討論只能為職責(zé)分離提供有限的信息B.組織架構(gòu)圖不會(huì)提供員工職能或控制是否正確運(yùn)作的詳細(xì)信息。C.基于觀察和面談，IS審計(jì)師可對職責(zé)分離進(jìn)行評估。通過觀察執(zhí)行任務(wù)的員工，審計(jì)師可確定他們是否正在執(zhí)行任何不兼容的操作;通過與IT員工進(jìn)行面談，審計(jì)師可獲得所執(zhí)行任務(wù)的概況。D.測試用戶權(quán)限將提供有關(guān)用戶擁有的IS系統(tǒng)權(quán)限的信息，但不會(huì)提供用戶執(zhí)行功能的完整信息。觀察也許是更好的選擇，因?yàn)橛脩魴?quán)限可能在審計(jì)項(xiàng)目間發(fā)生變化。[單選題]36.在評審組織的IT治理過程中，審計(jì)人員發(fā)現(xiàn)，該公司最近實(shí)施了IT平衡計(jì)分卡（BSC），但是，IS審計(jì)師發(fā)現(xiàn)，績效指標(biāo)衡量不客觀。這種情況最主要的風(fēng)險(xiǎn)是？A)關(guān)鍵性能指標(biāo)（KPI）不向管理層匯報(bào)和管理層不能確定平衡計(jì)分卡的有效性B)IT項(xiàng)目可能成本超支C)提供導(dǎo)誤的IT績效測量指標(biāo)給管理層D)IT服務(wù)水平協(xié)議（SLA）是可能不準(zhǔn)確答案:C解析:IT平衡記分卡是設(shè)置用來衡量IT績效。為衡量業(yè)績，以?績效驅(qū)動(dòng)?過KPI充足的數(shù)量必須隨著時(shí)間的推移加以界定和衡量。如果衡量的績效指標(biāo)不客觀，那么最嚴(yán)重的風(fēng)險(xiǎn)將是誤導(dǎo)的業(yè)績向管理層報(bào)告。這可能導(dǎo)致虛假的安全感和保證，因此，IT資源也許會(huì)錯(cuò)誤的分配或戰(zhàn)略決策可能是以不正確的信息為基礎(chǔ)。無論是否正確定義績效指標(biāo)，結(jié)果都將報(bào)告給管理層。因此，選項(xiàng)A是不正確的答案。盡管項(xiàng)目管理和績效管理問題可能造成的績效指標(biāo)沒有正確定義，誤導(dǎo)性陳述績效管理是一個(gè)更重大的風(fēng)險(xiǎn)，因此，選項(xiàng)D是不正確的。點(diǎn)評：BSC是IT與業(yè)務(wù)管理層溝通的工具，指標(biāo)不客觀會(huì)導(dǎo)致管理層對IT的misunderstanding[單選題]37.IS審計(jì)師獲得充分恰當(dāng)?shù)膶徲?jì)證據(jù)的最重要目的是:A)遵守法規(guī)要求。B)為得出合理結(jié)論提供依據(jù)C)確保審計(jì)覆蓋范圍完整。D)根據(jù)定義的范圍執(zhí)行審計(jì)。答案:B解析:A.遵守法規(guī)要求對審計(jì)來說是重要的，但不是獲得充分恰當(dāng)證據(jù)的最重要原因。B.IS審計(jì)的范圍由其目標(biāo)決定。這涉及到確定審計(jì)范圍內(nèi)的控制弱點(diǎn)。獲得充分當(dāng)?shù)淖C據(jù)不僅有助于審計(jì)師識(shí)別出控制弱點(diǎn)，還有助于對其進(jìn)行記錄和驗(yàn)證。C.確保覆蓋范圍對進(jìn)行審計(jì)來說是重要，但不是獲得充分恰當(dāng)證據(jù)的最重要原因。獲得證據(jù)的原因是確保審計(jì)結(jié)論有事實(shí)根據(jù)而且準(zhǔn)確。D.在定義的范圍執(zhí)行審計(jì)對審計(jì)來說是重要，但不是獲得充分恰當(dāng)證據(jù)的原因。[單選題]38.經(jīng)過全面的應(yīng)急操作測試后，IS審計(jì)師審查恢復(fù)步驟時(shí)，發(fā)現(xiàn)將技術(shù)環(huán)境和系統(tǒng)恢復(fù)到全面運(yùn)行的時(shí)間超出了要求的關(guān)鍵恢復(fù)時(shí)間。審計(jì)師應(yīng)該建議：A)進(jìn)行恢復(fù)任務(wù)的整體審查B)擴(kuò)大處理能力贏得恢復(fù)時(shí)間C)改進(jìn)設(shè)備的使用結(jié)構(gòu)D)增加恢復(fù)工作的人手答案:A解析:對恢復(fù)任務(wù)執(zhí)行全面的檢查是可行的，以便能夠確保這些任務(wù)真正的被執(zhí)行，識(shí)別分配給完成恢復(fù)所要求的每一個(gè)步驟的時(shí)間，最后決定在哪些地方進(jìn)行調(diào)整。選項(xiàng)B.C和D是在完成相關(guān)檢查后所采取的行動(dòng)。[單選題]39.在對外包運(yùn)營網(wǎng)絡(luò)運(yùn)營中心（NOC）審查期間，IS審計(jì)師得出結(jié)論，通過外包代理監(jiān)控遠(yuǎn)程網(wǎng)絡(luò)管理活動(dòng)的工作流程是不恰當(dāng)?shù)摹９芾韺佑懻撈陂g，首席信息官（CIO）對此問題進(jìn)行了更正，證實(shí)其作為按照客服工作流程處理的客戶服務(wù)活動(dòng)的合理性，并提出以激活入侵監(jiān)測系統(tǒng)（IDS）日志并監(jiān)控防火墻規(guī)則。IS審計(jì)師應(yīng)采取的最佳行動(dòng)步驟是什么？A)根據(jù)CIO的反饋修改審計(jì)報(bào)告中的審計(jì)結(jié)果B)因?yàn)橐呀?jīng)激活I(lǐng)DS日志，所以撤銷審計(jì)結(jié)果C)因?yàn)橐呀?jīng)監(jiān)控防火墻規(guī)則，所以撤銷審計(jì)結(jié)果D)在審計(jì)報(bào)告中記錄已確定的審計(jì)結(jié)果答案:D解析:IS審計(jì)師的獨(dú)立性要求，應(yīng)對受審方提供的額外信息進(jìn)行考察。通常情況下，IS審計(jì)師不會(huì)自發(fā)撤銷或修改審計(jì)結(jié)果。點(diǎn)評：獨(dú)立性，審計(jì)師不應(yīng)因外部壓力而改變審計(jì)結(jié)論[單選題]40.受邀參加項(xiàng)目開發(fā)會(huì)議的IS審計(jì)師發(fā)現(xiàn)沒有對任何項(xiàng)目風(fēng)險(xiǎn)進(jìn)行存檔記錄。當(dāng)該IS審計(jì)師提出這一問題時(shí)，項(xiàng)目經(jīng)理回答說，現(xiàn)在確定風(fēng)險(xiǎn)尚早，而且如果風(fēng)險(xiǎn)確實(shí)開始影響到項(xiàng)目，將會(huì)聘用一名風(fēng)險(xiǎn)經(jīng)理。該IS審計(jì)師應(yīng)如何作出合適的回應(yīng):A)強(qiáng)調(diào)在項(xiàng)目的此階段花費(fèi)時(shí)間來考慮和記錄風(fēng)險(xiǎn)，并制定應(yīng)急計(jì)劃的重要性。B)接受項(xiàng)目經(jīng)理的觀點(diǎn)，因?yàn)轫?xiàng)目經(jīng)理才是項(xiàng)目成果的負(fù)責(zé)人。C)任命了風(fēng)險(xiǎn)經(jīng)理后主動(dòng)提出與之合作D)通知項(xiàng)目經(jīng)理，IS審計(jì)師會(huì)在項(xiàng)目的需求定義階段結(jié)東后進(jìn)行風(fēng)險(xiǎn)審查。答案:A解析:A.在項(xiàng)目開始前可以識(shí)別大部分的項(xiàng)目風(fēng)險(xiǎn)，這樣就可以制定緩解/規(guī)避計(jì)劃來應(yīng)對這種風(fēng)險(xiǎn)。項(xiàng)目應(yīng)該與公司戰(zhàn)略、企業(yè)風(fēng)險(xiǎn)管理和戰(zhàn)術(shù)計(jì)劃緊密聯(lián)系，以便為此戰(zhàn)略提供支持。在制定公司戰(zhàn)略、設(shè)定目標(biāo)和制定戰(zhàn)術(shù)計(jì)劃等流程中，應(yīng)該將風(fēng)險(xiǎn)考慮在內(nèi)。B.項(xiàng)目經(jīng)理不能承擔(dān)接受風(fēng)險(xiǎn)的責(zé)任。風(fēng)險(xiǎn)必須持續(xù)地解決一并在流程中盡早開始C.任命風(fēng)險(xiǎn)經(jīng)理是一種很好的做法，但是等到項(xiàng)目已經(jīng)受到風(fēng)險(xiǎn)的影響時(shí)再任命則是不可取的。進(jìn)行風(fēng)險(xiǎn)管理時(shí)應(yīng)具有前瞻性，而任由風(fēng)險(xiǎn)演變?yōu)閷?xiàng)目有負(fù)面影響的問題則表示風(fēng)險(xiǎn)管理是失敗的。無論有沒有風(fēng)險(xiǎn)經(jīng)理，都需要咨詢項(xiàng)目團(tuán)隊(duì)內(nèi)外的人員，鼓勵(lì)他們針對新風(fēng)險(xiǎn)何時(shí)出現(xiàn)或者風(fēng)險(xiǎn)的優(yōu)先級何時(shí)改變發(fā)表意見。IS審計(jì)師有義務(wù)向項(xiàng)目發(fā)起人和組織提供意見，指明怎樣的項(xiàng)目管理做法比較合適。一味地等待組織任命風(fēng)險(xiǎn)經(jīng)理，則會(huì)給實(shí)施風(fēng)險(xiǎn)管理帶來不必要的延遲，從而造成危險(xiǎn)D.IS審計(jì)師不能在不損害其獨(dú)立性的情況下提供風(fēng)險(xiǎn)審查。[單選題]41.生物測試安全控制設(shè)備的最佳量化性能測量指針是：A)錯(cuò)誤拒絕率B)錯(cuò)誤接受率C)平均錯(cuò)誤率D)估計(jì)錯(cuò)誤率答案:C解析:[單選題]42.隨著應(yīng)用系統(tǒng)開發(fā)的進(jìn)行,很明顯有數(shù)個(gè)設(shè)計(jì)目標(biāo)已無法實(shí)現(xiàn)最有可能導(dǎo)致這一結(jié)果的原因是：A)用戶參與不足B)項(xiàng)目此理早期撤職C)不充分的質(zhì)量保證（QA）工具D)沒有遵從既定的已批準(zhǔn)功能答案:A解析:[單選題]43.如果恢復(fù)時(shí)間目標(biāo)(RTO)增加，則會(huì):A)增加容災(zāi)能力。B)增加恢復(fù)成本。C)無法使用冷備援中心。D)增加數(shù)據(jù)備份頻率。答案:A解析:A.恢復(fù)時(shí)間目標(biāo)(RTO)越長，容災(zāi)能力越高。容災(zāi)能力是企業(yè)在恢復(fù)關(guān)注運(yùn)營前能夠承受的中斷時(shí)間量B.RTO越長，恢復(fù)成本越低。C.不能得出冷備援中心不恰當(dāng)?shù)慕Y(jié)論:RTO變長后，使用冷備援中心可能會(huì)可行。D.RTO與數(shù)據(jù)備份頻率無關(guān)一與恢復(fù)點(diǎn)目標(biāo)有關(guān)(RPO)[單選題]44.當(dāng)執(zhí)行一個(gè)計(jì)算機(jī)司法調(diào)查時(shí)，關(guān)于收集到的證據(jù)，一個(gè)IS審計(jì)員應(yīng)當(dāng)最關(guān)注：A)分析B)評估C)保存D)泄露答案:A解析:為執(zhí)法和司法當(dāng)局的檢查保存和記錄證據(jù)，是執(zhí)行調(diào)查的第一位的關(guān)注。未能正確的保存證據(jù)可能危害在法律程序中證據(jù)的接受。分析、評估和泄露都很重要，但在司法調(diào)查中不是第一位重要的。[單選題]45.導(dǎo)致信息系統(tǒng)不能滿足用戶需求的最常見到原因是：A)用戶需求經(jīng)常改變B)不能正確預(yù)測用戶所需的增長C)現(xiàn)有的硬件系統(tǒng)限制了并發(fā)用戶的數(shù)量D)在系統(tǒng)需求定義階段用戶參與程度不夠答案:D解析:用戶參與的不夠，尤其是在系統(tǒng)需求階段，通常會(huì)導(dǎo)致無法完全或準(zhǔn)確的詮釋用戶需求，只有用戶自己才知道自己需求的是什么，由此才能得出系統(tǒng)應(yīng)該完成什么。點(diǎn)評：用戶在需求階段參與不足是需求不符的最常見原因[單選題]46.下列情況中的哪種將增加發(fā)生舞弊的可能性？A)應(yīng)用程序員正實(shí)施生產(chǎn)程序的變更B)應(yīng)用程序員正實(shí)施測試程序的變更C)操作支持人員正在運(yùn)行批變更日程表D)數(shù)據(jù)庫管理員正在變更數(shù)據(jù)結(jié)構(gòu)答案:A解析:生產(chǎn)程序用于處理企業(yè)數(shù)據(jù)，因此生產(chǎn)環(huán)境的程序變更十分重要。在這區(qū)域缺乏控制可能會(huì)導(dǎo)致應(yīng)用程序被修改以操縱數(shù)據(jù)，程序員需要實(shí)施變更測試程序。這些僅用于開發(fā)而不會(huì)直接影響實(shí)際的數(shù)據(jù)處理。操作支持人員正在運(yùn)行批變更日程表只影響日程表，不影響實(shí)際數(shù)據(jù)。數(shù)據(jù)庫管理員被要求實(shí)施變更數(shù)據(jù)結(jié)構(gòu)。這是數(shù)據(jù)庫重組的要求，允許增加、修改、或刪除數(shù)據(jù)庫的字段或表。點(diǎn)評：程序員動(dòng)生產(chǎn)環(huán)境是最大的問題[單選題]47.下列哪些手續(xù)可以增強(qiáng)信息系統(tǒng)操作部門的控制結(jié)構(gòu)？I．定期輪換操作人員。II．強(qiáng)制休假。III．控制對設(shè)備的訪問。IV．將負(fù)責(zé)控制輸入和輸出的人員進(jìn)行分離。A)ⅠⅡB)ⅡⅡⅢC)ⅢⅣD)ⅠⅡⅢⅣ答案:D解析:正確。定期輪換操作員人員和強(qiáng)制休假可以使其他人員有機(jī)會(huì)會(huì)成這項(xiàng)工作，從而減少做出非法行為的機(jī)會(huì)；控制對設(shè)備的訪問可保證設(shè)備及數(shù)據(jù)的安全；將負(fù)責(zé)控制輸入和輸出的人員分離，可確保職責(zé)明確，減少錯(cuò)誤及欺騙性操作。[單選題]48.確保審計(jì)資源在組織中發(fā)揮最大價(jià)值的首要步驟應(yīng)該是:A)規(guī)劃審計(jì)工作并監(jiān)控每項(xiàng)審計(jì)的時(shí)間花費(fèi)B)培訓(xùn)信息系統(tǒng)審計(jì)師掌握公司中使用的最新技術(shù)C)基于詳細(xì)的風(fēng)險(xiǎn)評估制定審計(jì)計(jì)劃D)監(jiān)控審計(jì)進(jìn)展并實(shí)施成本控制答案:C解析:[單選題]49.以下哪一項(xiàng)是某組織利用緊急變更控制流程對某個(gè)應(yīng)用程序?qū)嵤┚o急變更的最有可能的原因?A)應(yīng)用程序所有者請求新的功能。B)變更是用敏捷方法開發(fā)的C)對運(yùn)行造成重要影響的可能性很大D)操作系統(tǒng)(OS)提供商發(fā)布了一個(gè)安全補(bǔ)丁。答案:C解析:A.應(yīng)用程序所有者對新功能的請求通常遵循正常的變更控制程序，除非它們對業(yè)務(wù)功能有影響。B.敏捷系統(tǒng)開發(fā)方法將項(xiàng)目分成幾個(gè)短期送代。每一個(gè)送代針對預(yù)期的架構(gòu)，強(qiáng)調(diào)開發(fā)從用戶界面到數(shù)據(jù)存儲(chǔ)的端對端功能。然而，該發(fā)布并不需要遵循緊急發(fā)布程序，除非對運(yùn)行有重大影響。C.針對某個(gè)應(yīng)用程序的緊急發(fā)布是一些需要盡快實(shí)施、以防重大用戶停機(jī)的修復(fù)程序。在這種情況下，需遵循緊急發(fā)布程序D.操作系統(tǒng)(OS)安全補(bǔ)丁在測試之后應(yīng)用，因此無需緊急發(fā)布[單選題]50.檢查信息系統(tǒng)安全策略的信息系統(tǒng)審計(jì)員應(yīng)該檢查信息安全管理職能和責(zé)任是否被傳達(dá)到如下哪個(gè)?A)專責(zé)主管B)組織的用戶C)信息系統(tǒng)指導(dǎo)委員會(huì)D)信息系統(tǒng)安全管理員答案:B解析:所有信息系統(tǒng)安全管理有關(guān)的角色和責(zé)任應(yīng)該被定義。文檔化的責(zé)任和職責(zé)必須被建立并且對所有企業(yè)用戶傳達(dá)。職責(zé)可以由職位被定義（基于組織的結(jié)構(gòu)），但是應(yīng)該包括所有企業(yè)用戶。傳達(dá)系統(tǒng)安全策略到其他選項(xiàng)中的任何一個(gè)都是不足的，因?yàn)椴呗耘c整個(gè)企業(yè)相關(guān)。[單選題]51.以下哪項(xiàng)為使用回呼設(shè)備的好處？A)提供審計(jì)蹤跡B)可以在總機(jī)環(huán)境中使用C)允許不受限制的用戶靈活性D)允許呼叫轉(zhuǎn)移答案:A解析:回呼是在訪問控制軟件中記錄授權(quán)和未授權(quán)的訪問，允許回檢潛在的攻擊。允許呼叫轉(zhuǎn)移（選D、）意味著潛在控制旁路。攻擊者從非授權(quán)電話撥號授權(quán)電話對計(jì)算機(jī)訪問，這個(gè)弱點(diǎn)能夠通過回呼系統(tǒng)有效控制。所以答案應(yīng)為：A、[單選題]52.由于重組，一個(gè)業(yè)務(wù)應(yīng)用程序系統(tǒng)將擴(kuò)展到其他部門。以下哪一項(xiàng)最令I(lǐng)S審計(jì)師關(guān)注?A)未確定流程負(fù)責(zé)人。B)未確定記賬成本分方法。C)應(yīng)用程序存在多個(gè)所有者。D)沒有培訓(xùn)計(jì)劃。答案:A解析:A.當(dāng)一個(gè)應(yīng)用程序擴(kuò)展到多個(gè)部門時(shí)，確保流程負(fù)責(zé)人和系統(tǒng)功能之間的對應(yīng)非常重要。如果沒有指定的流程負(fù)責(zé)人，在監(jiān)控或授權(quán)控制方面可能會(huì)有問題。B.應(yīng)用程序使用成本的分方法是次要問題。C.只要流程負(fù)責(zé)人確定，存在多個(gè)應(yīng)用程序所有者的情況也不是問題。D.沒有培訓(xùn)方案只是IS審計(jì)師要考慮的小問題。[單選題]53.邏輯訪問控制審查的主要目標(biāo)是：A)審查軟件提供的訪問控制。B)確保訪問權(quán)限由組織的權(quán)利機(jī)構(gòu)授予。C)穿行性測試并評估IT壞境下提供的訪問權(quán)限。D)保證對計(jì)算機(jī)硬件進(jìn)行適當(dāng)保護(hù)以防止濫用。答案:B解析:邏輯訪問控制審查的范圍主要是確定訪問權(quán)限是否由組織的權(quán)利機(jī)構(gòu)授予。選項(xiàng)A和選項(xiàng)C與邏輯訪問控制審查的流程有關(guān)，與其目標(biāo)無關(guān)。選項(xiàng)D與物理訪問控制審查有關(guān)。[單選題]54.起草災(zāi)難恢復(fù)計(jì)劃(DRP)時(shí)，以下哪項(xiàng)陳述是正確的?A)停機(jī)時(shí)間成本隨著恢復(fù)點(diǎn)目標(biāo)(RPO)增加而降低。B)停機(jī)時(shí)間成本隨時(shí)間的推移而增加。C)恢復(fù)成本與時(shí)間無關(guān)。D)恢復(fù)成本只能在短期內(nèi)控制。答案:B解析:A.停機(jī)時(shí)間成本與恢復(fù)點(diǎn)目標(biāo)(RPO)無關(guān)。RPO定義的是與恢復(fù)成本(而非停機(jī)時(shí)間成本有關(guān)的數(shù)據(jù)備份策略。B.停機(jī)時(shí)間成本一例如銷售損失、資源閑置、工資隨時(shí)間的推移而增加。因此，應(yīng)制訂災(zāi)難恢復(fù)計(jì)劃(DRP)來盡可能地降低停機(jī)時(shí)間成本。C.允許的恢復(fù)時(shí)間越長，恢復(fù)成本就越低。例如，在兩天內(nèi)恢復(fù)業(yè)務(wù)運(yùn)營的成本比在七天內(nèi)恢復(fù)的成本要高。有效DRP的本質(zhì)在于，最大限度降低不確定性并提高可預(yù)測性D.有了良好的規(guī)劃，恢復(fù)成本即可預(yù)測和保持在可控范圍之內(nèi)。[單選題]55.在評估某流程中的預(yù)防性、檢測性或糾正性控制措施的集體效果時(shí)，IS審計(jì)師應(yīng)意識(shí)到以下哪項(xiàng)?A)當(dāng)數(shù)據(jù)通過系統(tǒng)時(shí)，執(zhí)行控制的時(shí)刻B)只有預(yù)防性和檢測性控制是重要的C)改正性控制被視為補(bǔ)償性的D)IS審計(jì)師通過分類可確定缺少哪些控制答案:A解析:A.IS審計(jì)師應(yīng)關(guān)注當(dāng)數(shù)據(jù)通過計(jì)算機(jī)系統(tǒng)時(shí)，執(zhí)行控制的情況。B.改正性控制也是有意義的，因?yàn)樗鼈冊试S改正錯(cuò)誤或問題。C.糾正性控制措施會(huì)消除或減少錯(cuò)誤或違規(guī)行為的影響，不應(yīng)僅被視為一種補(bǔ)償性控制措施。D.控制的存在和功能很重要，而不是分類。[單選題]56.以下哪項(xiàng)為PKI目錄服務(wù)器的最佳描述？A)加密網(wǎng)絡(luò)中傳送的信息B)對其他用戶身份進(jìn)行認(rèn)證并提交應(yīng)用程序C)為執(zhí)行密碼策略提供便利D)保存認(rèn)證撤回列表(C、RLs)答案:A解析:目錄服務(wù)器對其他用戶身份進(jìn)行認(rèn)證并提交應(yīng)用程序。加密網(wǎng)絡(luò)中傳送的信息和保存認(rèn)證撤回列表(C、RLs)是安全服務(wù)器履行的任務(wù)。為執(zhí)行密碼策略提供便利和PKI無關(guān)。[單選題]57.在測試變更控制流程的設(shè)計(jì)有效性方面，以下哪種方式最有效?A)測試變更請求的樣本總體B)測試已授權(quán)變更的樣本C)約談變更控制流程的負(fù)責(zé)人D)對流程執(zhí)行端到端的穿行測試答案:D解析:A.測試變更的樣本總體是對符合度和運(yùn)作有效性進(jìn)行測試，旨在確保用戶提交正確的記錄/請求。它并不測試設(shè)計(jì)的有效性。B.測試已授權(quán)的變更可能不能充分保證整個(gè)流程的有效性，因?yàn)樗⒉粶y試與授權(quán)相關(guān)的流程要素或檢測繞過控制的變更。C.約談變更控制流程負(fù)責(zé)人不如對變更控制流程執(zhí)行穿行測試有效，因?yàn)橹涝摿鞒痰娜瞬灰欢ㄗ袷亓鞒?。D.觀察是測試變更的最佳且最有效的方法，可以確保流程設(shè)計(jì)的有效性[單選題]58.IS審計(jì)師觀察到數(shù)據(jù)中心磁帶管理系統(tǒng)存在弱點(diǎn)，設(shè)置一些以避開或忽略磁帶頭記錄。下面哪個(gè)選項(xiàng)作為補(bǔ)償性控制最有效：A)籌劃（檢查磁帶頭）并組織開展工作B)監(jiān)督審查日志C)定期備份磁帶D)異地保存磁帶答案:A解析:如果IS審計(jì)師發(fā)現(xiàn)籌劃（檢查磁帶頭）并組織開展工作流程，這可以作為一個(gè)補(bǔ)償性控制。選項(xiàng)B是檢查性控制，選項(xiàng)C和D是糾正性控制，他們都不能被認(rèn)為是一個(gè)好的補(bǔ)償性控制。[單選題]59.一個(gè)決策支持系統(tǒng)（DSS）：A)是為了解決高度結(jié)構(gòu)化得問題B)結(jié)合了使用模型和非傳統(tǒng)數(shù)據(jù)的訪問及存取功能C)強(qiáng)調(diào)用戶的決策方法的靈活性D)只支持結(jié)構(gòu)化的決策任務(wù)答案:C解析:DSS強(qiáng)調(diào)用戶在制作決策時(shí)的靈活性，針對簡單的結(jié)構(gòu)化問題，結(jié)合模型和分析技術(shù)與傳統(tǒng)的數(shù)據(jù)接入和取回功能，并且支持半結(jié)構(gòu)化指定決策。點(diǎn)評：DSS支持半結(jié)構(gòu)化的數(shù)據(jù)分析，強(qiáng)調(diào)決策方法的靈活性[單選題]60.黑客無需使用計(jì)算機(jī)工具或程序就可以獲得密碼的技術(shù)是：A)社會(huì)工程。B)嗅探器。C)后門。D)特洛伊木馬。答案:A解析:社會(huì)工程以通過對話、拜訪和詢問等方式透露私人信息為基礎(chǔ)，用戶可能會(huì)在此過程中草率地泄露他們自己或他人的個(gè)人的數(shù)據(jù)。嗅探器是用于監(jiān)控網(wǎng)絡(luò)流量的計(jì)算機(jī)工具。后門是黑客留在電腦內(nèi)尋覓系統(tǒng)漏洞的計(jì)算機(jī)程序。特洛伊木馬是偽裝成正常程序的計(jì)算機(jī)程序；因此，該程序的功能未經(jīng)授權(quán)，而且通常是惡意程序。[單選題]61.公司考慮在所有訪問關(guān)鍵數(shù)據(jù)的PC上使用生物識(shí)別質(zhì)問身份認(rèn)證。這要求：A)對所有任課的PC用戶執(zhí)行注冊過程。B)完全消除誤接受的風(fēng)險(xiǎn)C)通過單獨(dú)的密碼訪問才可以使用質(zhì)問讀取器。D)確保無法對關(guān)鍵數(shù)據(jù)進(jìn)行未授權(quán)訪問。答案:A解析:在用戶通過屏蔽的PC來操作系統(tǒng)前，需要讀取、識(shí)別并記錄任課用戶的質(zhì)問，即注冊。選項(xiàng)B不正確，因?yàn)樯镒R(shí)別設(shè)備的誤接受風(fēng)險(xiǎn)雖然可以消除，但是無法完全消除（因?yàn)檫@暗含著不能接受誤拒絕的高風(fēng)險(xiǎn)）。選項(xiàng)C不正確，因?yàn)橹讣y識(shí)別設(shè)備讀物令牌（用戶的指紋），本身并不需要由密碼保護(hù)。選項(xiàng)D不正確，因?yàn)樵赑C上使用生物識(shí)別保護(hù)，不能保證系統(tǒng)中的其他潛在安全弱點(diǎn)不會(huì)被利用來訪問保護(hù)的數(shù)據(jù)。[單選題]62.在一個(gè)熱站、溫站或者冷站的合同中，合同規(guī)定應(yīng)該涵蓋以下那些主要考慮內(nèi)容？A)物理安全措施。B)用戶總數(shù)量。C)允許同時(shí)使用站點(diǎn)的用戶數(shù)。D)其他用戶的使用參考。答案:C解析:合同應(yīng)該指定在同一時(shí)刻允許使用站點(diǎn)的用戶數(shù)。物理安全措施通常不是合同的一部分，盡管它們也是在選擇第三方站點(diǎn)時(shí)重點(diǎn)考慮的內(nèi)容，用戶總數(shù)量不是一個(gè)考慮內(nèi)容，但不是合同的規(guī)定部分。[單選題]63.IT指導(dǎo)委員會(huì)評審信息系統(tǒng)主要是為了評估？A)IT流程是否支持業(yè)務(wù)需求B)系統(tǒng)功能是否充足C)現(xiàn)有軟件的穩(wěn)定D)以安裝的技術(shù)的復(fù)雜性答案:A解析:IT指導(dǎo)委員會(huì)的作用是確保信息系統(tǒng)部門與與組織的使命和目標(biāo)的和諧。為了確保這一點(diǎn)，委員會(huì)必須確定是否支持業(yè)務(wù)流程的需求。評估擬議的額外功能，并評估軟件的穩(wěn)定性和技術(shù)復(fù)雜性的范疇過于狹窄，以確保其過程實(shí)際上是支持該組織的目標(biāo)的。點(diǎn)評：IT指導(dǎo)委員會(huì)關(guān)注業(yè)務(wù)一致性問題[單選題]64.某組織最近部署了內(nèi)部開發(fā)的一個(gè)客戶關(guān)系管理(CRM)應(yīng)用系統(tǒng)。確保應(yīng)用操作與設(shè)計(jì)意圖一致的最佳選擇是以下哪一項(xiàng)?A)用戶驗(yàn)收測試(UAT)B)項(xiàng)目風(fēng)險(xiǎn)評估C)實(shí)施后審查D)管理層審批系統(tǒng)答案:C解析:A.用戶驗(yàn)收測試(UAT)驗(yàn)證系統(tǒng)功能是否被系統(tǒng)最終用戶視為可以接受;但UAT審查不證實(shí)系統(tǒng)是否按設(shè)計(jì)意圖執(zhí)行，原因在于UAT可能是對系統(tǒng)功能子集執(zhí)行測試。UAT審查是實(shí)施后審查的組成部分。B.盡管風(fēng)險(xiǎn)評估突出系統(tǒng)風(fēng)險(xiǎn)，但它不包含驗(yàn)證系統(tǒng)是否按設(shè)計(jì)意圖執(zhí)行的分析。C.實(shí)施后審查的目的是評估項(xiàng)目結(jié)果在多大程度上符合最初的目標(biāo)、目的和可交付成果。實(shí)施后審查同時(shí)還評估項(xiàng)目管理實(shí)踐在多大程度上有效確保項(xiàng)目正常運(yùn)作D.管理層對系統(tǒng)的批準(zhǔn)可能基于簡化的功能，但并不驗(yàn)證系統(tǒng)是否按設(shè)計(jì)意圖操作。管理層批準(zhǔn)審查是實(shí)施后審查的組成部分。[單選題]65.一家大型連鎖店在銷售終端設(shè)備上安裝了電子資金轉(zhuǎn)賬(EFD系統(tǒng)，并且配備了一個(gè)用于連接到銀行網(wǎng)絡(luò)的中央通信處理器。對于該通信處理器，以下哪種災(zāi)難恢復(fù)計(jì)劃是最佳方案?A)異地存儲(chǔ)日常備份數(shù)據(jù)B)現(xiàn)場安裝備用處理器C)安裝雙工通信線路D)在其他網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器答案:D解析:A.異地存儲(chǔ)備份數(shù)據(jù)起不到任何幫助作用，因?yàn)殡娮淤Y金轉(zhuǎn)移(EFT)往往是在線過程，而異地存儲(chǔ)解決不了處理器功能異常問題。B.如果設(shè)備出現(xiàn)問題，則在現(xiàn)場安裝備用處理器將是一種很好的解決方案，但在斷電的情況下就起不到幫助作用，且可能需要技術(shù)專家切換到備用設(shè)備上。C.如果僅僅是通信線路發(fā)生故障，則安裝雙工通信線路是最合適的解決方案。D.在其他網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器是最佳解決方案。中央通信處理器不可用時(shí)，對銀行網(wǎng)絡(luò)的所有訪問都將中斷，從而導(dǎo)致所有商店的運(yùn)營中斷。這可由設(shè)備、電源或通信故障引起。[單選題]66.以下哪一項(xiàng)應(yīng)包括在組織的系統(tǒng)安全策略中？A)一個(gè)關(guān)鍵的需要安全保護(hù)的IT資源清單B)用于訪問控制授權(quán)的基礎(chǔ)C)具有敏感安全特性的個(gè)體D)相關(guān)軟件的安全特性答案:B解析:安全策略提供了廣泛的安全框架規(guī)定，并由高級管理層批準(zhǔn)。它包括授權(quán)訪問和授予訪問權(quán)限的基礎(chǔ)。選項(xiàng)AC和D比在策略中需要提供的更詳細(xì)。點(diǎn)評：ACD的粒度更細(xì)，應(yīng)放置到操作規(guī)程中[單選題]67.大學(xué)的IT部門和財(cái)務(wù)部（FSO，financialservicesoffice）之間簽有服務(wù)水平協(xié)議（SLA），要求每個(gè)月系統(tǒng)可用性超過98%。財(cái)務(wù)部后來分析系統(tǒng)的可用性，發(fā)現(xiàn)平均每個(gè)月的可用性確實(shí)超過98%，但是月末結(jié)賬期的系統(tǒng)可用性只有93%。那么，財(cái)務(wù)部應(yīng)該采取的最佳行動(dòng)是：A)就協(xié)議內(nèi)容和價(jià)格重新談判B)通知IT部門協(xié)議規(guī)定的標(biāo)準(zhǔn)沒有達(dá)到C)增購計(jì)算機(jī)設(shè)備等（資源）D)將月底結(jié)賬處理順延答案:A解析:[單選題]68.Web程序開發(fā)者有時(shí)使用網(wǎng)頁上的隱藏區(qū)域保存客戶會(huì)話信息。這種技巧有時(shí)被用來保存會(huì)話參數(shù)以便能跨網(wǎng)頁訪問，例如在零售網(wǎng)站應(yīng)用程序中保存購物車內(nèi)的物品。因?yàn)檫@種實(shí)踐，下列最有可能基于Web的攻擊是：A)參數(shù)篡改B)跨網(wǎng)腳本C)Cookie中毒D)隱藏運(yùn)行命令答案:A解析:Web程序開發(fā)者有時(shí)運(yùn)用隱藏區(qū)域保存客戶端會(huì)話信息，或提交隱藏參數(shù)，如終端用戶的代碼給應(yīng)用程序。由于隱藏形式的區(qū)域不在瀏覽器里顯示，開發(fā)者可能覺得傳送未驗(yàn)證數(shù)據(jù)是安全的（以后驗(yàn)證）。這種做法不安全是因?yàn)楣粽呖梢詳r截、修改且提交能發(fā)現(xiàn)信息或web開發(fā)者從未注意到的執(zhí)行功能的請求。網(wǎng)絡(luò)應(yīng)用程序參數(shù)的惡意更改被稱作參數(shù)篡改?？缇W(wǎng)腳本攻擊包括已被入侵的網(wǎng)頁重定向用戶到入侵者的網(wǎng)站內(nèi)容。使用隱藏區(qū)域不會(huì)影響跨網(wǎng)腳本攻擊發(fā)生的可能性，因?yàn)檫@些區(qū)域都是靜態(tài)的內(nèi)容，一般不能被更改而造成這種類型的攻擊。Web應(yīng)用程序使用Cookies在客戶端機(jī)器上保存會(huì)話信息，所以用戶不需要每瀏覽一個(gè)網(wǎng)頁就登入一次。Cookie中毒是指為了冒充用戶或者竊取登陸證明而攔截和更改會(huì)話Cookies。隱藏區(qū)域的使用和Cookies中毒沒有關(guān)系。隱藏運(yùn)行命令是通過安裝未授權(quán)代碼的web服務(wù)器劫持。當(dāng)使用隱藏形式可能會(huì)增加服務(wù)器被入侵的危險(xiǎn)，最常見的服務(wù)器漏洞包括服務(wù)器操作系統(tǒng)或網(wǎng)絡(luò)服務(wù)器的脆弱性。點(diǎn)評：web攻擊的方式[單選題]69.相對于傳統(tǒng)系統(tǒng)開發(fā)生命周期，快速應(yīng)用開發(fā)的最大優(yōu)勢是A)促進(jìn)用戶的參與B)允許早起技術(shù)特征測試C)推進(jìn)向新系統(tǒng)的轉(zhuǎn)化D)縮短開發(fā)的時(shí)間周期答案:D解析:采用RAD最大的優(yōu)勢是系統(tǒng)開發(fā)過程中縮短開發(fā)的時(shí)間周期。選項(xiàng)AB都是對的，但他們是傳統(tǒng)系統(tǒng)開發(fā)的生命周期，選項(xiàng)C不一定在那個(gè)是對的。點(diǎn)評：RAD的最大優(yōu)勢在于快速[單選題]70.一個(gè)大型的、復(fù)雜的組織設(shè)計(jì)了一個(gè)新的業(yè)務(wù)應(yīng)用程序，業(yè)務(wù)擁有者要求在?需要知道?的基礎(chǔ)上查閱各種報(bào)告。下面的哪種訪問控制方法是實(shí)現(xiàn)這一要求的最好方法？A)強(qiáng)制性B)基于角色C)自行分配D)單點(diǎn)登錄（SSO）答案:B解析:基于角色的訪問控制是在?需要知道?基礎(chǔ)上允許用戶查閱報(bào)告最好的方法。其他的選項(xiàng)可以達(dá)到同樣的目的，但很可能更加難以實(shí)現(xiàn)和維護(hù)。SSO是一種技術(shù)，而不是一個(gè)訪問控制方法。[單選題]71.一個(gè)團(tuán)隊(duì)進(jìn)行威脅分析，從風(fēng)險(xiǎn)角度預(yù)測可能造成的經(jīng)濟(jì)損失是很困難的，為了評估潛在的損失，團(tuán)隊(duì)?wèi)?yīng)該？A)設(shè)計(jì)出相關(guān)資產(chǎn)攤銷B)計(jì)算投資回報(bào)C)使用定性方法D)花費(fèi)時(shí)間確定損失的確定金額答案:C解析:當(dāng)難以計(jì)算的經(jīng)濟(jì)損失時(shí)，一般的做法，是采取定性方法，其中受風(fēng)險(xiǎn)影響是經(jīng)理定義經(jīng)濟(jì)損失成為是加權(quán)因素(如，?1?對于業(yè)務(wù)是一個(gè)非常低的影響，?5?則是一個(gè)非常高的影響)?？梢杂?jì)算出投資回報(bào)率，當(dāng)可以預(yù)計(jì)的節(jié)省或者收入即這些實(shí)際收入可以所需要的投資進(jìn)行比較時(shí)。攤銷是用在損益表中，而不是在計(jì)算潛在的損失。所花費(fèi)的時(shí)間來準(zhǔn)確定義支出總額，通常是一個(gè)錯(cuò)誤的算法。如果他已經(jīng)很難估計(jì)潛在損失（例如，音黑客攻擊使得公眾形象受損導(dǎo)致的損失），在真一天結(jié)束時(shí)，這種情況都不可能改變結(jié)果將不能給出一個(gè)充分支持評價(jià)。[單選題]72.定期進(jìn)行安全代碼審查工作屬于哪一種類型的控制？A)整改B)補(bǔ)償C)檢測D)預(yù)防答案:C解析:[單選題]73.在選擇生物特征識(shí)別設(shè)備時(shí)，下列哪一項(xiàng)指標(biāo)最重要？A)錯(cuò)誤拒絕率B)交叉錯(cuò)誤率C)系統(tǒng)響應(yīng)時(shí)間D)圖像尺寸答案:B解析:[單選題]74.某公司決定基于公鑰基礎(chǔ)架構(gòu)（PKI)來實(shí)施電子簽名方案。用戶的私鑰會(huì)存儲(chǔ)在計(jì)算機(jī)硬盤中，并受密碼保護(hù)。此方法的最大風(fēng)險(xiǎn)是：A)如果密碼泄露，該用戶的電子簽名將遭到其他人的利用。B)使用其他用戶的私鑰對消息進(jìn)行電子簽名，從而實(shí)現(xiàn)偽造。C)用其他人的公鑰來替代該用戶的公鑰，從而實(shí)現(xiàn)對某用戶的模仿。D)在計(jì)算機(jī)中用其他人的私鑰進(jìn)行替代，從而實(shí)現(xiàn)偽造。答案:A解析:該用戶的數(shù)字簽名僅受密碼保護(hù)，一旦密碼泄露，簽名便會(huì)遭人利用。這是最嚴(yán)重的風(fēng)險(xiǎn)。選項(xiàng)C需要破壞公鑰基礎(chǔ)架構(gòu)機(jī)制才能實(shí)現(xiàn)，因此非常困難，也不太可能發(fā)生。選項(xiàng)B要求消息應(yīng)該看上去來自他人，因此真實(shí)用戶的憑證不會(huì)被偽造。選項(xiàng)D與選項(xiàng)B的結(jié)果相同。[單選題]75.如果使用不當(dāng)，以下哪項(xiàng)最有可能成為拒絕服務(wù)器攻擊的幫兇？A)路由器配置和規(guī)則B)內(nèi)部網(wǎng)絡(luò)的設(shè)計(jì)C)路由器系統(tǒng)軟件的更新D)審計(jì)測試和審查技術(shù)答案:A解析:路由器配置和規(guī)則不當(dāng)會(huì)產(chǎn)生受到拒絕服務(wù)器攻擊的風(fēng)險(xiǎn)。選項(xiàng)B和C的作用較小。選項(xiàng)D不正確，因?yàn)閷徲?jì)測試和審查技術(shù)在事后應(yīng)用。[單選題]76.以下哪一項(xiàng)提供了設(shè)計(jì)和開發(fā)邏輯訪問控制的架構(gòu)？A)信息系統(tǒng)安全方針B)訪問控制列表C)口令管理D)系統(tǒng)配置文件答案:A解析:由組織機(jī)構(gòu)的最高管理層開發(fā)并核準(zhǔn)的信息系統(tǒng)安全方針是邏輯訪問控制設(shè)計(jì)和開發(fā)的基礎(chǔ)。訪問控制列表，口令管理和系統(tǒng)配置文件都是實(shí)施訪問控制的工具/手段。[單選題]77.在更改系統(tǒng)中某個(gè)程序的功能之后，有必要對系統(tǒng)進(jìn)行回歸測試（regressiontest），以檢查：A)所作的更改是否對系統(tǒng)產(chǎn)生了負(fù)面影響。B)更改后的程序是否按照用戶要求的更改來運(yùn)行。C)更改后程序的運(yùn)行效果和效率是否很好。D)更改后的程序是否按照新的程序設(shè)計(jì)運(yùn)行。答案:A解析:[單選題]78.檢查用戶的身份識(shí)別和認(rèn)證系統(tǒng)的IS審計(jì)師證明存在一種控制弱點(diǎn)，該弱點(diǎn)允許未授權(quán)用戶更新服務(wù)器用于存儲(chǔ)身份識(shí)別樣本的集中數(shù)據(jù)庫。在以下選項(xiàng)中，哪一項(xiàng)是針對此風(fēng)險(xiǎn)的最佳控制措施？A)kerberosB)有效性檢測C)多模式生物識(shí)別D)前/后圖像記錄答案:A解析:Kerberos是一種用于客戶服務(wù)器端用程序的網(wǎng)絡(luò)身份認(rèn)證協(xié)議，用于將數(shù)據(jù)庫的訪問權(quán)限限制為授權(quán)的用戶。選項(xiàng)B和C不正確，因?yàn)橛行詸z測和多模式生物識(shí)別是針對欺騙和模擬攻擊的控制措施。數(shù)據(jù)庫交易的前/后圖像記錄是堅(jiān)持性控制，與Kerberos這種預(yù)防性控制剛好相反。[單選題]79.下面哪一項(xiàng)措施對成功建立企業(yè)IT體系結(jié)構(gòu)至關(guān)重要？A)體系結(jié)構(gòu)中僅包含關(guān)鍵系統(tǒng)B)與其他組織的體系結(jié)構(gòu)進(jìn)行比較C)企業(yè)對標(biāo)準(zhǔn)化的支持D)完善的數(shù)據(jù)轉(zhuǎn)移政策答案:C解析:[單選題]80.區(qū)別脆弱性評估和滲透測試是脆弱性評估：A)，檢查基礎(chǔ)設(shè)施并探測脆弱性，然而穿透性測試目的在于通過脆弱性檢測其可能帶來的損失。B)，和滲透測試為不同的名稱但是同一活動(dòng)。C)，是通過自動(dòng)化工具執(zhí)行，而滲透測試是一種完全的手動(dòng)過程。D),是通過商業(yè)工具執(zhí)行，而滲透測試是執(zhí)行公共進(jìn)程。答案:A解析:脆弱性評估的目的是找到計(jì)算機(jī)的安全解決方法；他的目的不是去毀壞基礎(chǔ)設(shè)施。滲透測試的目的是模仿黑客的活動(dòng)，并測定他們可以進(jìn)入該網(wǎng)絡(luò)還有多遠(yuǎn)。他們是不一樣的，他們有不同的態(tài)度。脆弱性評估和滲透測試可以被工具或程序自動(dòng)或手動(dòng)執(zhí)行，并且可以用商業(yè)性的或是使用免費(fèi)工具的。[單選題]81.一個(gè)組織里面已經(jīng)定義了IT安全基線，信息系統(tǒng)審計(jì)師應(yīng)首先確保：A)實(shí)施B)遵守C)文檔化D)充分性答案:D解析:一個(gè)信息系統(tǒng)審計(jì)師應(yīng)先評估，確保充分的控制最低基準(zhǔn)水平的定義。文檔化，執(zhí)行和遵守是進(jìn)一步的步驟。點(diǎn)評：安全基線要考慮完備性[單選題]82.下列哪一種生物測定有最高的可靠性和最低的誤接受率:A)掌紋掃描B)臉型識(shí)別C)視網(wǎng)膜掃描D)手形答案:C解析:視網(wǎng)膜掃描通過使用光學(xué)技術(shù)來成像眼球視網(wǎng)膜的毛細(xì)血管的圖案，在生物測定方法中這是最高可靠性和最小的錯(cuò)誤接受率的方式。使用掌紋掃描需要把手放置在一個(gè)可以捕獲手掌的物理性能的掃描器上。手形，是一種通過三維透視使用者的手和手指的物理性能的最古老的測定方法。手掌和手形生物測定技術(shù)在幾何數(shù)據(jù)方面都缺乏獨(dú)特性。在臉型生物測定學(xué)方面，閱讀器分析所采集一般面部特征的圖象，雖然考慮是自然和最友好的方法，臉型識(shí)別最不利的是缺乏唯一性，臉型相同的人會(huì)使設(shè)備誤判。[單選題]83.以下哪一項(xiàng)在實(shí)施風(fēng)險(xiǎn)管理時(shí)應(yīng)首先考慮？A)對組織的威脅，脆弱性和風(fēng)險(xiǎn)狀況的了解B)對接受的風(fēng)險(xiǎn)和潛在的后果的理解C)基于潛在的后果確定的風(fēng)險(xiǎn)管理重點(diǎn)D)一個(gè)風(fēng)險(xiǎn)后果保持在可接受的水平的風(fēng)險(xiǎn)緩解策略答案:A解析:實(shí)施風(fēng)險(xiǎn)管理，作為有效的信息安全治理成果之一，第一步需要對組織的威脅，脆弱性和風(fēng)險(xiǎn)狀況有全面的了解。在此基礎(chǔ)上，才能確定了解風(fēng)險(xiǎn)暴露和接受的潛在影響。之后，重點(diǎn)基于潛在后果的風(fēng)險(xiǎn)管理便可以得到發(fā)展。這將提供一個(gè)能保持風(fēng)險(xiǎn)后果與可接受水平的基于風(fēng)險(xiǎn)緩解的戰(zhàn)略依據(jù)。點(diǎn)評：風(fēng)險(xiǎn)評估過程[單選題]84.哪一類風(fēng)險(xiǎn)對于抽樣方法的選擇影響最大?A)殘留風(fēng)險(xiǎn)B)固有風(fēng)險(xiǎn)C)檢測風(fēng)險(xiǎn)D)控制風(fēng)險(xiǎn)答案:D解析:[單選題]85.一位正在審查大型軟件開發(fā)項(xiàng)目的IS審計(jì)師發(fā)現(xiàn)，項(xiàng)目正在按計(jì)劃進(jìn)行，且未超出預(yù)算，但是軟件開發(fā)人員方面卻出現(xiàn)了計(jì)劃外的加班。這位IS審計(jì)師應(yīng)該：A)既然可以如期完成，所以做出項(xiàng)目正在按計(jì)劃進(jìn)行的結(jié)論B)進(jìn)一步詢問項(xiàng)目經(jīng)理，確認(rèn)加班成本是否得到準(zhǔn)確追蹤C(jī))做出程序員為賺取加班費(fèi)用而有意工作遲緩的結(jié)論D)進(jìn)一步調(diào)查，確定項(xiàng)目計(jì)劃是否準(zhǔn)確答案:D解析:盡管重要項(xiàng)目如期完成非常重要，但是如果需要相當(dāng)多的計(jì)劃外加班才能準(zhǔn)時(shí)交付，則項(xiàng)目計(jì)劃可能存在問題。大部分案例中，要求程序員大量加班顯然不是最佳做法。盡管加班成本可能是計(jì)劃有問題的一個(gè)指標(biāo)，但在許多組織中，編程人員可能會(huì)因此得到報(bào)酬，而加班成本可能不會(huì)直接記錄。程序員有可能鉆工時(shí)系統(tǒng)的空子，但是如果不付加班費(fèi)，他們不會(huì)心甘情愿的加班。點(diǎn)評：出現(xiàn)加班意味著成本的增加，需判斷計(jì)劃是否準(zhǔn)確[單選題]86.在判斷交易處理的控制是否適當(dāng)?shù)氐玫接行?zhí)行，以下哪項(xiàng)審計(jì)實(shí)踐最為有效?A)控制設(shè)計(jì)測試。B)實(shí)質(zhì)性測試。C)檢査相關(guān)文檔。D)實(shí)施關(guān)于風(fēng)險(xiǎn)防范的測試。答案:B解析:A.控制設(shè)計(jì)測試旨在評估控制是不是根據(jù)具體控制目標(biāo)制定的，無法確定控制是否有效執(zhí)行。B.在文檔審查、穿行測試等其他方法中，控制測試是評估控制能否準(zhǔn)確地為運(yùn)作有效性提供支持的最有效流程。C.控制文檔可能并不能始終準(zhǔn)確地描述實(shí)際流程。因此，依賴文檔審的審計(jì)師并不能十分肯定控制的運(yùn)作符合預(yù)期。D.實(shí)施關(guān)于風(fēng)險(xiǎn)防范的測試被視為符合性測試。這種測試用于確定是否遵守政策。[單選題]87.一個(gè)備份站點(diǎn)包括電線、空調(diào)和地板，但不包括計(jì)算機(jī)和通訊設(shè)備，那么它屬于A)冷站B)溫站C)直線站點(diǎn)D)鏡像站點(diǎn)答案:A解析:冷站只提供支持信息處理設(shè)備運(yùn)行的基本環(huán)境。溫站提供像備份恢復(fù)設(shè)備、UPS等一些外部設(shè)備和網(wǎng)絡(luò)連接等。鏡像站點(diǎn)是專門的能夠備份關(guān)鍵應(yīng)用的站點(diǎn)。[單選題]88.要求體假或崗位輪換的主要控制目的是:A)通過交又培訓(xùn)培養(yǎng)員工B)幫助保持員工士氣。C)發(fā)現(xiàn)員工的不當(dāng)或非法行為。D)提供竟?fàn)幮詥T工福利。答案:C解析:A.盡管交又培訓(xùn)也是保持業(yè)務(wù)持續(xù)性的有益做法，但它不是通過強(qiáng)制休假實(shí)現(xiàn)的。B.它是保持員工士氣高昂的良好實(shí)踐，但這不是制訂強(qiáng)制休假政策的主要理由。C.讓其他人來執(zhí)行工作職能是發(fā)現(xiàn)可能的違規(guī)行為或欺詐的一種控制方法。D.休假是一項(xiàng)很有競爭力的福利，但這不是控制手段。[單選題]89.以下哪一項(xiàng)能為確定信息系統(tǒng)審計(jì)的范圍和計(jì)劃提供最有用的信息?A)行業(yè)最佳實(shí)踐B)風(fēng)險(xiǎn)評估結(jié)果C)控制自我評估結(jié)果D)可用的審計(jì)資源答案:B解析:[單選題]90.以下哪種軟件應(yīng)用程序測試被視為測試的最終階段，并且通常包括開發(fā)團(tuán)隊(duì)以外的用戶參與?A)Alpha測試B)白盒測試C)回歸測試D)Beta測試答案:D解析:A.Alpha測試是Be測試的前一測試階段。Alpha測試通常由編程人員和業(yè)務(wù)分析人員執(zhí)行而不是由用戶來執(zhí)行。Alpha測試用于識(shí)別可以在由外部用戶參與的Bea測試開始前修復(fù)的缺陷或故障。B.白盒測試在軟件開發(fā)生命周期中比Alpha或Beta測試執(zhí)行得更早。白盒測試用于評估件程序邏輯的有效性，其中測試數(shù)據(jù)用于確定被測程序的程序準(zhǔn)確性。換句話說，就是測試程序在功能級別是否按預(yù)期方式運(yùn)行。白盒測試通常不涉及外部用戶。C.回婦測試是重新運(yùn)行部分測試情景的過程，用于確保變更或修正不會(huì)引入更多錯(cuò)誤。換句話說在多次連續(xù)程序變更后運(yùn)行相同測試以確保對某個(gè)問題的?修復(fù)?不會(huì)?破壞?程序的其他部分?；貧w測試不是測試的最后階段，通常不涉及外部用戶。D.Beta測試是測試的最終階段，并且通常包括開發(fā)團(tuán)隊(duì)以外的用戶。Beta測試是一種用戶驗(yàn)收測試(UAT)，通常涉及有限數(shù)量的開發(fā)工作以外的用戶。[單選題]91.IS管理層建立的變更管理程序是用來？A)控制應(yīng)用程序從測試環(huán)境遷移到生產(chǎn)環(huán)境B)控制由于缺乏對經(jīng)營活動(dòng)中待解決問題的關(guān)注而導(dǎo)致的經(jīng)營活動(dòng)中斷C)確保受災(zāi)時(shí)經(jīng)營活動(dòng)的不間斷運(yùn)行D)驗(yàn)證變更活動(dòng)被正確的記錄。答案:A解析: