CISA考試練習(xí)(習(xí)題卷9)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.私鑰系統(tǒng)的安全級(jí)別取決于以下哪項(xiàng)的數(shù)量：A)密鑰的位數(shù)。B)已發(fā)送的消息。C)密鑰。D)已使用的通道。答案:A解析:私鑰系統(tǒng)的安全級(jí)別取決于密鑰位數(shù)。位數(shù)越大，了解或確定算法就越難。消息的安全性將取決于已使用的加密密鑰位。除密鑰本身外，算法及其復(fù)雜性使內(nèi)容更加安全。通道（可打開(kāi)或進(jìn)行保護(hù)）是發(fā)送消息的模式。[單選題]2.對(duì)IT服務(wù)臺(tái)實(shí)踐的審查中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)客戶服務(wù)部門(mén)人員花在為用戶重設(shè)密碼上的時(shí)間比花在解決關(guān)鍵事故上的時(shí)間長(zhǎng)，對(duì)IT管理部門(mén)提出以下哪一項(xiàng)建議最能解決該問(wèn)題？A)計(jì)算事故申請(qǐng)的持續(xù)時(shí)間，如超出服務(wù)水平協(xié)議（SLA）則向高級(jí)IT人員發(fā)送提醒。B)向最終用戶提供年度密碼管理培訓(xùn)以減少重設(shè)密碼申請(qǐng)的數(shù)量。C)實(shí)施自助服務(wù)解決方案，對(duì)于頻繁請(qǐng)求服務(wù)分流用戶使用自助平臺(tái)。D)如能在約定的服務(wù)水平內(nèi)關(guān)閉事故，則給予服務(wù)臺(tái)人員獎(jiǎng)勵(lì)。答案:C解析:[單選題]3.一個(gè)信息系統(tǒng)審計(jì)師小組參與將自動(dòng)審計(jì)工具包整合到現(xiàn)有的企業(yè)EPR系統(tǒng)的工作。由于性能方面的考慮，審計(jì)工具包無(wú)法上線。審計(jì)師應(yīng)該給出的最佳建議是什么？A)檢查所選整合控制的實(shí)施B)請(qǐng)求額外的IS審計(jì)資源C)請(qǐng)求廠商的支持以解決性能問(wèn)題D)在用戶驗(yàn)收測(cè)試（UAT）期間評(píng)估壓力測(cè)試結(jié)果答案:D解析:評(píng)估在UAT期間的壓力測(cè)試的結(jié)果是最好的建議。審核所選整合控制的實(shí)施可以驗(yàn)證技術(shù)設(shè)計(jì)和控制目標(biāo)，但對(duì)整合在整個(gè)交易表之上的控制會(huì)消耗大量的資源。應(yīng)該仔細(xì)研究去確定它們是強(qiáng)制性的還是僅僅可以被整個(gè)ERP應(yīng)用中的特定交易執(zhí)行和整合。檢查所選整合控制和它們的實(shí)施情況可能需要額外的資源。請(qǐng)求廠商的支持以解決性能問(wèn)題是一個(gè)好的選項(xiàng)，但不是最好的建議。點(diǎn)評(píng)：審計(jì)工具包會(huì)導(dǎo)致性能問(wèn)題，需進(jìn)行壓力測(cè)試驗(yàn)證[單選題]4.災(zāi)難恢復(fù)計(jì)劃的結(jié)構(gòu)化穿行測(cè)試包括：A)來(lái)自于每個(gè)職能領(lǐng)域的代表走到一起，來(lái)重溫計(jì)劃。B)所有參與日常操作的雇員走到一起來(lái)練習(xí)執(zhí)行計(jì)劃。C)遷移系統(tǒng)到替代的處理場(chǎng)所，完成處理操作。D)分發(fā)計(jì)劃的副本到各職能領(lǐng)域進(jìn)行審查。答案:A解析:災(zāi)難恢復(fù)計(jì)劃的結(jié)構(gòu)化穿行測(cè)試包括來(lái)自于每個(gè)職能領(lǐng)域的代表走到一起來(lái)審查計(jì)劃以確定關(guān)于各自領(lǐng)域的計(jì)劃是否是準(zhǔn)確和完整的，在需要時(shí)可以被執(zhí)行。選擇B、是模擬測(cè)試來(lái)準(zhǔn)備和培訓(xùn)那些必須應(yīng)對(duì)災(zāi)害和事故的人員。選擇C、是一種形式的平行測(cè)試，以確保關(guān)鍵系統(tǒng)在替代場(chǎng)所表現(xiàn)良好。選擇D、是檢查清單測(cè)試。[單選題]5.信息系統(tǒng)未能滿足用戶需求的最常見(jiàn)原因是A)用戶需求不斷變化。B)未能準(zhǔn)確預(yù)測(cè)用戶需求的增長(zhǎng)。C)硬件系統(tǒng)限制并發(fā)用戶數(shù)D)用戶參與定義系統(tǒng)要求的程度不夠。答案:D解析:A.雖然用戶需求不斷變化對(duì)許多項(xiàng)目的成敗有影響，但核心問(wèn)題般是在項(xiàng)目開(kāi)始時(shí)未能確定正確的初始要求。B.項(xiàng)目可能因用戶需求增加而失敗;但這可通過(guò)更好的變更控制流程得到緩解C.只要項(xiàng)目開(kāi)始時(shí)正確記錄了需求，硬件限制幾乎不會(huì)影響項(xiàng)目的可用性。D.缺少足夠的用戶參與(尤其在系統(tǒng)需求階段)，通常會(huì)導(dǎo)致系統(tǒng)無(wú)法完全或充分滿足用戶的需求。只有用戶才能定義其需求，進(jìn)而才可定義系統(tǒng)應(yīng)當(dāng)實(shí)現(xiàn)的功能。[單選題]6.以下哪項(xiàng)最能有效地控制USB、存儲(chǔ)設(shè)備的使用?A)發(fā)現(xiàn)設(shè)備時(shí)直接忽視命令的政策B)追蹤和管理USB、存儲(chǔ)設(shè)備的軟件C)行政上不允許使用USB、接口D)在入口處搜索使用USB、存儲(chǔ)設(shè)備的職員答案:A解析:為集中跟蹤和監(jiān)視的目的，允許每一個(gè)需要使用USB、的用戶使用,但是系統(tǒng)將實(shí)施監(jiān)控，并把異常情況報(bào)告給管理者。政策需要避免增加職員摩擦和不恰當(dāng)?shù)臉I(yè)務(wù)需求。禁用端口是復(fù)雜的管理，未考慮到新業(yè)務(wù)需要。在入口處搜索使用USB、存儲(chǔ)設(shè)備是不切實(shí)際的，因?yàn)樵O(shè)備很小并且容易隱藏。[單選題]7.一個(gè)組織具有的大量分支機(jī)構(gòu)且分布地理區(qū)域較廣。以確保各方面的災(zāi)難恢復(fù)計(jì)劃的評(píng)估，具有成本效益的方式，一個(gè)是信息系統(tǒng)審計(jì)師應(yīng)建議使用：A)，數(shù)據(jù)恢復(fù)測(cè)試。B)，充分的業(yè)務(wù)測(cè)試。C)前后測(cè)試。D)預(yù)案測(cè)試。答案:A解析:1預(yù)案測(cè)試應(yīng)該由每一個(gè)當(dāng)?shù)剞k事處/地區(qū)以足夠預(yù)案測(cè)試在發(fā)生災(zāi)害時(shí)的本地業(yè)務(wù)。這種測(cè)試應(yīng)該不斷地在該計(jì)劃的不同方面執(zhí)行，是一個(gè)能獲得該計(jì)劃足夠的證據(jù)的具有成本效益的方式。數(shù)據(jù)恢復(fù)測(cè)試是一個(gè)局部的試驗(yàn)，并不會(huì)確保各方面的評(píng)價(jià)。充分的業(yè)務(wù)測(cè)試是不是最符合成本效益的測(cè)試，在因應(yīng)地理上分散的分支機(jī)構(gòu)，前后測(cè)試是一個(gè)階段的測(cè)試執(zhí)行的過(guò)程。[單選題]8.在審查企業(yè)的IT管理標(biāo)準(zhǔn)和指南時(shí)，下面哪一項(xiàng)應(yīng)包括在信息系統(tǒng)開(kāi)發(fā)方法中?A)增值活動(dòng)分析B)訪問(wèn)控制規(guī)則C)事故管理技術(shù)D)風(fēng)險(xiǎn)管理技術(shù)答案:D解析:[單選題]9.在正常工作時(shí)間之后需要對(duì)數(shù)據(jù)庫(kù)進(jìn)行緊急變更的數(shù)據(jù)庫(kù)管理員(DBA)應(yīng):A)用其指定帳戶登錄進(jìn)行變更。B)用共享DBA帳戶登錄進(jìn)行變更。C)登錄到服務(wù)器管理帳戶進(jìn)行變更D)使用用戶的帳戶登錄進(jìn)行變更。答案:A解析:A.在使用數(shù)據(jù)庫(kù)管理員(DBA)帳戶前用指定的用戶帳戶登錄會(huì)提供進(jìn)行變更的人的責(zé)信息。B.DBA帳戶通常是一個(gè)共享的用戶帳戶。由于帳戶共享，系統(tǒng)很難建立執(zhí)行數(shù)據(jù)庫(kù)更新的支持戶的身份。C.服務(wù)器管理帳戶也是共享的，可能由多位支持用戶使用。此外，服務(wù)器特權(quán)帳戶可能無(wú)法方據(jù)庫(kù)更改。D.使用普通用戶帳戶沒(méi)有對(duì)數(shù)據(jù)庫(kù)進(jìn)行變更的充分權(quán)限[單選題]10.下面哪個(gè)選項(xiàng)對(duì)成功實(shí)施IT治理是最重要的因素A)實(shí)施IT評(píng)分卡B)確認(rèn)組織策略C)進(jìn)行風(fēng)險(xiǎn)評(píng)估D)創(chuàng)建正式的安全政策答案:A解析:一項(xiàng)IT治理規(guī)劃的關(guān)鍵目標(biāo)是支持業(yè)務(wù)，因此確定組織策略是必要的，它可以保證IT和公司治理之間的一致性。沒(méi)有組織策略的確認(rèn)，剩下的選項(xiàng)－即使是執(zhí)行了－也將是無(wú)效的。[單選題]11.下列哪一項(xiàng)最符合IS審計(jì)師與受審方就審計(jì)發(fā)現(xiàn)進(jìn)行討論的目的?A)向受審方傳達(dá)審計(jì)結(jié)果。B)為所提出的建議制定實(shí)施時(shí)間線。C)確認(rèn)審計(jì)發(fā)現(xiàn)并建議糾正措施的實(shí)施計(jì)劃。D)為已確定的風(fēng)險(xiǎn)確定補(bǔ)償控制措施。答案:C解析:A.確認(rèn)審計(jì)結(jié)果后，IS審計(jì)師將根據(jù)討論結(jié)果形成最終報(bào)告，并將報(bào)告遞交給相應(yīng)級(jí)別的高層管理人員。但是，這個(gè)討論應(yīng)制定審計(jì)發(fā)現(xiàn)糾正措施的時(shí)間表。B.本次討論將首先向管理層通報(bào)審計(jì)結(jié)果，根據(jù)討論結(jié)果，管理層可能同意根據(jù)建議制定實(shí)施計(jì)劃并確定時(shí)限。C.在將審計(jì)結(jié)果傳達(dá)給高層管理人員之前，IS審計(jì)師應(yīng)該與受審方討論審計(jì)發(fā)現(xiàn)。進(jìn)行這類討論的目標(biāo)是為了確定審計(jì)發(fā)現(xiàn)的準(zhǔn)確性，并建議或推薦糾正措施的實(shí)施計(jì)劃。D.在報(bào)告草案階段，IS審計(jì)師可推薦各種控制措施以緩解風(fēng)險(xiǎn)，但是會(huì)議的目的是與管理層證實(shí)審計(jì)發(fā)現(xiàn)。[單選題]12.在審計(jì)期間，審計(jì)師注意到一個(gè)中型的IT部門(mén)并沒(méi)有獨(dú)立風(fēng)險(xiǎn)管理功能，該組織的業(yè)務(wù)風(fēng)險(xiǎn)文檔只包含了一些大致IT風(fēng)險(xiǎn)描述。在這種情況下什么建議是適當(dāng)?shù)?？A)創(chuàng)建IT風(fēng)險(xiǎn)管理部門(mén)，建立IT風(fēng)險(xiǎn)與外部風(fēng)險(xiǎn)管理專家的援助框架B)使用通用的行業(yè)標(biāo)準(zhǔn)分為幾個(gè)單獨(dú)的風(fēng)險(xiǎn)，會(huì)更容易處理存在的風(fēng)險(xiǎn)C)沒(méi)有建立的必要，因?yàn)槟壳暗淖龇ㄊ且粋€(gè)中等規(guī)模的組織所適合的D)建立經(jīng)常性的IT風(fēng)險(xiǎn)管理會(huì)議，以確定和評(píng)估風(fēng)險(xiǎn)，并創(chuàng)建一個(gè)可能覆蓋通用的行業(yè)標(biāo)準(zhǔn)的該組織的風(fēng)險(xiǎn)答案:D解析:建立經(jīng)常性的IT風(fēng)險(xiǎn)管理會(huì)議，以確定和評(píng)估風(fēng)險(xiǎn)，并創(chuàng)建一個(gè)可能覆蓋通用的行業(yè)標(biāo)準(zhǔn)的該組織的風(fēng)險(xiǎn)，但他們不能處理一個(gè)組織的具體情況。如果沒(méi)有一個(gè)組織內(nèi)部的詳細(xì)評(píng)估，個(gè)別風(fēng)險(xiǎn)會(huì)不會(huì)被發(fā)現(xiàn)。分制成幾個(gè)風(fēng)險(xiǎn)狀況是不夠的。[單選題]13.分布式環(huán)境中，服務(wù)器失效帶來(lái)的影響最小的是：A)冗余路由B)集群C)備用電話線D)備用電源答案:B解析:[單選題]14.下列哪項(xiàng)是信息系統(tǒng)審計(jì)師需要考慮的和短期規(guī)劃最相關(guān)的？A)分配資源B)保持目前技術(shù)的先進(jìn)性C)開(kāi)展控制自我評(píng)估D)硬件需求評(píng)估答案:A解析:信息系統(tǒng)部門(mén)應(yīng)詳細(xì)的考慮到在短期內(nèi)在哪里分配那些資源的方式。投資在IT中需要與最高管理層的戰(zhàn)略相一致，而不是由于技術(shù)原因以技術(shù)為中心。開(kāi)展控制自我評(píng)估和評(píng)估硬件需求并不如在短期內(nèi)為信息系統(tǒng)部門(mén)分配資源來(lái)得關(guān)鍵。[單選題]15.在以下與用于離線打印敏感報(bào)告的假脫機(jī)相關(guān)聯(lián)的漏洞中，IS審計(jì)師應(yīng)認(rèn)為哪項(xiàng)最為嚴(yán)重？A)操作員可閱讀敏感數(shù)據(jù)。B)未經(jīng)授權(quán)便可修改數(shù)據(jù)。C)可以打印未經(jīng)授權(quán)的報(bào)告副本。D)發(fā)生系統(tǒng)故障時(shí)輸出會(huì)丟失。答案:C解析:除非受到控制，否則利用用于離線打印的假脫機(jī)可以打印其他副本。操作員不太可能在線閱讀打印文件。在未授權(quán)的情況下，要修改假脫機(jī)文件中的數(shù)據(jù)并不比任何其他文件更容易。發(fā)生系統(tǒng)故障時(shí)，通常未經(jīng)授權(quán)訪問(wèn)敏感報(bào)告的威脅要小。[單選題]16.在一個(gè)中斷和災(zāi)難事件中，以下哪一項(xiàng)提供了持續(xù)運(yùn)營(yíng)的技術(shù)手段？A)負(fù)載平衡B)硬件冗余C)分布式備份D)高可用性處理答案:A解析:硬件冗余是目前支持持續(xù)、不間斷服務(wù)的唯一的技術(shù)手段。負(fù)載平衡被用于以工作量為基礎(chǔ)的服務(wù)器間分流工作量以提高服務(wù)器的性能。高可用性（HA、）計(jì)算設(shè)備提供一個(gè)快速的但不是持續(xù)的恢復(fù)操作，而分布式備份需要很長(zhǎng)的恢復(fù)時(shí)間。[單選題]17.評(píng)估IT外包策略時(shí)，策略中包括以下哪一項(xiàng)時(shí)IS審計(jì)師最為關(guān)注A)法律合規(guī)性責(zé)任的轉(zhuǎn)移B)推動(dòng)簽訂長(zhǎng)期而非短期合同C)僅以子公司作為外包對(duì)象D)沒(méi)有成立跨職能合同管理團(tuán)隊(duì)答案:A解析:遵守所有適用法律法規(guī)的最終責(zé)任應(yīng)由進(jìn)行外包或通過(guò)合同獲得服務(wù)的公司，而非外部提供商承擔(dān)。因此，轉(zhuǎn)移此類責(zé)任既不可行，也與公司利益不符。盡管以上選項(xiàng)都成問(wèn)題，但是在通過(guò)策略轉(zhuǎn)移組織的法律合規(guī)性責(zé)任時(shí)，IS審計(jì)師最為擔(dān)憂。[單選題]18.企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃的啟動(dòng)應(yīng)基于以下哪方面的預(yù)定標(biāo)準(zhǔn):A)中斷的持續(xù)時(shí)間。B)中斷的類型。C)中斷的概率。D)中斷的原因。答案:A解析:A.業(yè)務(wù)連續(xù)性計(jì)劃(活動(dòng))的啟動(dòng)應(yīng)主要基于在組織目標(biāo)的實(shí)現(xiàn)受到業(yè)務(wù)功能中斷的威脅之前可容許中斷的最長(zhǎng)時(shí)間。B.對(duì)于啟動(dòng)計(jì)劃來(lái)說(shuō)，中斷類型不如中斷持續(xù)時(shí)間重要。C.中斷的概率與事故發(fā)生的頻率有關(guān)，與啟動(dòng)計(jì)劃的需要無(wú)關(guān)。計(jì)劃設(shè)計(jì)為在事件發(fā)生一定時(shí)長(zhǎng)后啟動(dòng)D.中斷的原因會(huì)影響需要啟動(dòng)的響應(yīng)計(jì)劃，但不影響啟動(dòng)計(jì)劃的決定。任何時(shí)候只要事件達(dá)到預(yù)定時(shí)長(zhǎng)，計(jì)劃就會(huì)被啟動(dòng)[單選題]19.某IS審計(jì)師在審查電子數(shù)據(jù)交換(EDD交易紀(jì)錄期間發(fā)現(xiàn)未授權(quán)的交易，該審計(jì)師很可能建議改進(jìn):A)EDI貿(mào)易伙伴協(xié)議。B)終端機(jī)的物理控制。C)發(fā)送和接收消息的身份認(rèn)證技術(shù)D)程序變更控制流程。答案:C解析:A.電子數(shù)據(jù)交換(ED)貿(mào)易伙伴協(xié)議會(huì)將法律問(wèn)題的風(fēng)險(xiǎn)降到最低，但不會(huì)解決未授權(quán)交易的問(wèn)題B.物理控制很重要，也能防止未經(jīng)授權(quán)的人訪問(wèn)系統(tǒng)，但不會(huì)防止獲授權(quán)人員的未獲授權(quán)交易C.要最大程度地少未授權(quán)交易的風(fēng)險(xiǎn)，發(fā)送和接收消息的身份認(rèn)證技術(shù)具有重要的作用。D.變更控制流程不能解決未授權(quán)交易的問(wèn)題。[單選題]20.組織要捐贈(zèng)一些本單位的舊計(jì)算機(jī)設(shè)備給希望小學(xué)，在運(yùn)輸這些捐贈(zèng)品之前應(yīng)該確保：A)計(jì)算機(jī)上不曾保存機(jī)密資料B)受捐的希望小學(xué)簽署保密協(xié)議C)資料存儲(chǔ)的介質(zhì)是徹底空白的D)所有資料已經(jīng)被刪除答案:C解析:[單選題]21.對(duì)于內(nèi)部組建還是外部購(gòu)買IT系統(tǒng)要做出明智的決定,以下哪一項(xiàng)可提供最有用的信息?A)業(yè)務(wù)戰(zhàn)略B)業(yè)務(wù)案例C)可行性分析D)需求請(qǐng)求書(shū)RFP.答案:C解析:[單選題]22.IS審計(jì)師在評(píng)審業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，下面哪一項(xiàng)是最值得關(guān)注的？A)災(zāi)難級(jí)別是基于受損功能的范圍上，而非基于災(zāi)難產(chǎn)生的時(shí)間影響持續(xù)上B)低等級(jí)災(zāi)難時(shí)間和軟件故障的區(qū)別不清C)全部的業(yè)務(wù)連續(xù)性計(jì)劃都被記錄下來(lái)，但是沒(méi)有詳細(xì)的步驟D)沒(méi)有明確宣告災(zāi)難的職責(zé)答案:D解析:如果沒(méi)有宣告災(zāi)難的來(lái)臨，響應(yīng)和原計(jì)劃將不會(huì)調(diào)用，所有其他的關(guān)注都被減弱。雖然疏于考慮災(zāi)難的持續(xù)性是一個(gè)問(wèn)題，但是他不如沒(méi)有考慮到災(zāi)難范圍那樣重要。事故和低等級(jí)災(zāi)難的差異總是不清晰。這個(gè)差異總是圍繞在恢復(fù)事故所需的時(shí)間上。詳細(xì)的復(fù)原步驟確實(shí)應(yīng)該被記錄下來(lái)，但實(shí)際上只要調(diào)用了業(yè)務(wù)持續(xù)性計(jì)劃，沒(méi)有記錄這些并不意味著不能完成該計(jì)劃。[單選題]23.當(dāng)確定審計(jì)日志的數(shù)據(jù)保留期時(shí)，下列哪一項(xiàng)是最基本的因素？A)控制風(fēng)險(xiǎn)B)法規(guī)要求C)普遍接受的審計(jì)標(biāo)準(zhǔn)D)計(jì)算機(jī)取證原則答案:B解析:[單選題]24.一位信息系統(tǒng)審計(jì)師為某家開(kāi)發(fā)商業(yè)用途軟件的公司工作,在對(duì)最近向客戶交付的一個(gè)系統(tǒng)執(zhí)行實(shí)施后審查時(shí),以下哪-項(xiàng)時(shí)是最重要的考慮事項(xiàng)?A)最終用戶提供了正面的反饋B)項(xiàng)目的交付達(dá)到了合同要求C)系統(tǒng)按項(xiàng)目工程師所設(shè)計(jì)的方式運(yùn)作D)項(xiàng)目在未來(lái)幾年內(nèi)會(huì)適用于該客戶答案:A解析:[單選題]25.與其他銅基線材相比，使用非屏蔽雙絞線(UTP)的一個(gè)優(yōu)點(diǎn)是UTP線:A)減少線纜之間的串?dāng)_。B)提供竊聽(tīng)保護(hù)。C)可用于長(zhǎng)距離網(wǎng)絡(luò)。D)容易安裝。答案:A解析:A.使用銅質(zhì)非屏蔽雙絞線(UTP)可減少串?dāng)_的可能性。B.盡管介質(zhì)的雙絞線特質(zhì)會(huì)減少電磁干擾靈敏度，但非屏蔽銅質(zhì)電纜對(duì)線路竊聽(tīng)沒(méi)有適當(dāng)?shù)姆雷o(hù)措施。C.如果銅質(zhì)雙絞線使用距離超過(guò)100米，則會(huì)開(kāi)始出現(xiàn)衰減，這時(shí)需要使用中繼器。D.安裝UTP的工具和技術(shù)并不比其他銅質(zhì)電纜簡(jiǎn)單或容易。[單選題]26.在軟件開(kāi)發(fā)的測(cè)試階段結(jié)束時(shí)，審計(jì)員觀察一個(gè)中間軟件錯(cuò)誤沒(méi)有被改正。沒(méi)有任何解決這個(gè)錯(cuò)誤的行為。審計(jì)員該：A)作為一個(gè)發(fā)現(xiàn)報(bào)告錯(cuò)誤及讓被審計(jì)對(duì)象的仲裁委員會(huì)進(jìn)一步研討這個(gè)錯(cuò)誤B)嘗試解決錯(cuò)誤C)建議提升問(wèn)題解決層次D)忽視錯(cuò)誤，因?yàn)椴荒塬@得軟件錯(cuò)誤的客觀證據(jù)答案:A解析:當(dāng)IS審計(jì)員觀察這樣的一個(gè)情況時(shí)，最好充分的通知仲裁委員會(huì)并且建議努力進(jìn)一步解決這個(gè)問(wèn)題。作為一個(gè)發(fā)現(xiàn)問(wèn)題進(jìn)行記錄并且把它留給仲裁委員會(huì)是不適當(dāng)?shù)?。忽視這個(gè)錯(cuò)誤將預(yù)示審計(jì)員沒(méi)有進(jìn)一步的探查這個(gè)問(wèn)題至它得到合理的解決。[單選題]27.IS審計(jì)師應(yīng)該確保網(wǎng)上電子資金交易（EFT）的審核，對(duì)賬程序應(yīng)包括：A)核單B)授權(quán)C)更正D)追蹤答案:D解析:追蹤包括從原始交易源跟蹤到最終目的地的交易，在EFT交易中，追蹤方向可能從顧客打印的收據(jù)單、復(fù)印件、檢查系統(tǒng)審計(jì)痕跡和日志，最后檢查每日交易的主文件記錄。核單通常通過(guò)人工或批量處理系統(tǒng)來(lái)完成。在這種情形下，資金通過(guò)電子手段轉(zhuǎn)移而不人工處理。在線處理過(guò)程中，授權(quán)通常有系統(tǒng)自動(dòng)處理。更正記錄通常由個(gè)人而不是被委托對(duì)賬的人來(lái)做。點(diǎn)評(píng)：見(jiàn)上面解釋[單選題]28.軟件編程人員經(jīng)常會(huì)生成一個(gè)直接進(jìn)入程序的入口，其目的是進(jìn)行調(diào)試和（或）日后插入新的程序代碼。這些入口點(diǎn)被稱為：A)邏輯炸彈B)蠕蟲(chóng)C)陷門(mén)D)特洛依木馬答案:C解析:[單選題]29.信息系統(tǒng)審計(jì)師得出結(jié)論，某公司已有高質(zhì)量的安全政策,以下哪一項(xiàng)是下一步應(yīng)確定的最重要的事項(xiàng)，政策必須:A)頻繁地更新B)由流程所有開(kāi)發(fā)C)基于行業(yè)標(biāo)準(zhǔn)D)所有員工都充分理解答案:D解析:[單選題]30.一個(gè)組織正在使用兩個(gè)數(shù)據(jù)中心，下列哪一項(xiàng)能最好地滿足組織對(duì)高彈性的需求?A)數(shù)據(jù)中心之間進(jìn)行數(shù)據(jù)復(fù)制B)每個(gè)數(shù)據(jù)中心都可以通過(guò)磁帶備份進(jìn)行恢復(fù)C)對(duì)第二個(gè)站點(diǎn)使用熱戰(zhàn)D)數(shù)據(jù)中心相互用作鏡像站點(diǎn)答案:D解析:[單選題]31.以下哪-項(xiàng)可以最有效地阻止從筆記本電腦中竊取公司信息?A)安裝生物特征訪問(wèn)控制B)使用密碼保護(hù)重要文件C)加密文件分配表(FAT)D)加密硬盤(pán)上的所有數(shù)據(jù)答案:C解析:[單選題]32.基于傳輸控制協(xié)議互聯(lián)網(wǎng)協(xié)議(TCP/IP)的環(huán)境暴露于互聯(lián)網(wǎng)。以下哪項(xiàng)最能確保在傳輸信息時(shí)存在完整的加密和身份認(rèn)證協(xié)議來(lái)保護(hù)信息?A)在具有IP安全的隧道模式下，使用身份認(rèn)證頭(AH)和封裝安全負(fù)載(ESP)嵌套的服務(wù)來(lái)完成工作B)采用RSA的數(shù)字簽名已實(shí)施。C)使用采用RSA的數(shù)字證書(shū)。D)在TCP服務(wù)中完成工作答案:A解析:A.具有IP協(xié)議安全的隧道模式可為整個(gè)P數(shù)據(jù)包提供加密和身份認(rèn)證。要實(shí)現(xiàn)這一目的，可以嵌套身份驗(yàn)證頭(AH)和封裝安全負(fù)載(ESP)服務(wù)。這被稱為IP安全協(xié)議(IPSec)B.采用RSA的數(shù)字簽名可提供身份認(rèn)證和完整性，但不能提供機(jī)密性。C.采用RSA的數(shù)字證書(shū)可提供身份認(rèn)證和完整性，但不能提供加密D.傳輸控制協(xié)議(TCP)服務(wù)不提供加密和身份認(rèn)證[單選題]33.證書(shū)頒發(fā)機(jī)構(gòu)(CA)作為第三方的作用是:A)基于認(rèn)證提供安全的通信和網(wǎng)絡(luò)服務(wù)。B)管理由該CA頒發(fā)并具有相應(yīng)公鑰和私鑰的證書(shū)庫(kù)。C)擔(dān)當(dāng)兩個(gè)通信伙伴之間的受信任中介。D)確認(rèn)擁有該CA所頒發(fā)證書(shū)的實(shí)體身份。答案:D解析:A.提供通信基礎(chǔ)架枃不是證書(shū)頒發(fā)機(jī)構(gòu)(CA)的活動(dòng)B.用于認(rèn)證的密鑰不會(huì)在CA存檔。C.CA有助于通信伙伴之間的相互身份認(rèn)證，但CA本身不會(huì)參與通信活動(dòng)。D.CA的主要活動(dòng)是頒發(fā)證書(shū)。CA的主要作用是檢查擁有證書(shū)的實(shí)體身份和確認(rèn)所頒發(fā)證書(shū)的完整性。[單選題]34.從控制的角度看，在職務(wù)說(shuō)明中最關(guān)鍵的因素是？A)提供如何做這份工作的指導(dǎo)B)最新的記錄并隨時(shí)提供給雇員C)表明管理層在工作表現(xiàn)上的期望D)員工的行為承擔(dān)的責(zé)任和義務(wù)答案:D解析:從控制是角度，工作的描述應(yīng)建立責(zé)任制和問(wèn)責(zé)制。這將有助于確保用戶根據(jù)定義的職責(zé)崗位進(jìn)入所給的系統(tǒng)。其他的選項(xiàng)是沒(méi)有直接關(guān)系的控制。對(duì)于如何做好這項(xiàng)工作提供指導(dǎo)并并且定義管理和程序方面的職責(zé)。當(dāng)前的工作描述是很重要的，記錄并隨時(shí)提供給雇員的，但這本身不是一個(gè)控制。對(duì)于工作績(jī)效的溝通管理具體期望概述了性能標(biāo)準(zhǔn)，也不會(huì)包括控制。點(diǎn)評(píng)：崗位責(zé)任說(shuō)明明確了責(zé)任和義務(wù)[單選題]35.確認(rèn)系統(tǒng)稅務(wù)計(jì)算準(zhǔn)確性的最佳方法是A)審并分析計(jì)算稅務(wù)程序的源代碼。B)使用通用審計(jì)軟件重新創(chuàng)建程序邏輯以計(jì)算每月總和C)準(zhǔn)備模擬交易，以處理結(jié)果并與預(yù)期結(jié)果進(jìn)行比較。D)對(duì)計(jì)算程序的源代碼繪制自動(dòng)流程圖并進(jìn)行分析。答案:C解析:A.源代碼審查不是確保正確計(jì)算的有效方法。B.重新創(chuàng)建程序邏輯可能導(dǎo)致錯(cuò)誤，而每月總和的精確程度不足以確認(rèn)正確計(jì)算。C.準(zhǔn)備模擬交易，以處理結(jié)果井與預(yù)期結(jié)果進(jìn)行比較，這是確認(rèn)稅務(wù)計(jì)算準(zhǔn)確性的最佳方法。D.對(duì)源代碼繪制流程圖和分析并不是解決個(gè)人稅務(wù)計(jì)算的準(zhǔn)確性問(wèn)題的有效方法。[單選題]36.評(píng)估商業(yè)連續(xù)計(jì)劃效果最好的方法是：A)使用適當(dāng)?shù)臉?biāo)準(zhǔn)進(jìn)行規(guī)劃和比較B)之前的測(cè)試結(jié)果C)緊急預(yù)案和員工培訓(xùn)D)環(huán)境控制和存儲(chǔ)站點(diǎn)答案:A解析:之前的測(cè)試結(jié)果將提供業(yè)務(wù)持續(xù)性計(jì)劃的有效證明。與標(biāo)準(zhǔn)做比較，對(duì)該計(jì)劃涉及的關(guān)鍵方面的業(yè)務(wù)連續(xù)性計(jì)劃將給予一些保證，但對(duì)其有效性不會(huì)有任何揭示。評(píng)審緊急預(yù)案，存儲(chǔ)站點(diǎn)和環(huán)境控制將提供深入了解計(jì)劃的某些方面，但可能不能提供該計(jì)劃的整體成效的保證。[單選題]37.組織在使用兩個(gè)業(yè)務(wù)部門(mén)之間簽訂的災(zāi)難恢復(fù)互惠協(xié)議時(shí)，所面臨的最大風(fēng)險(xiǎn)是什么?A)文檔包含法律缺陷。B)雙方容易受到相同事故的影響。C)IT系統(tǒng)不相同。D)一方比另一方出現(xiàn)運(yùn)營(yíng)中斷的頻率高。答案:B解析:A.雙方之間的協(xié)議存在不足確實(shí)是一項(xiàng)風(fēng)險(xiǎn)，但通常不及雙方同時(shí)遭受相同災(zāi)難嚴(yán)重。B.使用互惠災(zāi)難恢復(fù)基于雙方可能不會(huì)同時(shí)遭受相同災(zāi)難。C.IT系統(tǒng)不兼容可能會(huì)帶來(lái)一些問(wèn)題，但風(fēng)險(xiǎn)程度通常不及雙方同時(shí)遭受相同災(zāi)難嚴(yán)重。D.雖然一方可使用另一方的資源，但這可以通過(guò)合同條款來(lái)解決，并不是一個(gè)主要風(fēng)險(xiǎn)。[單選題]38.一個(gè)每天處理百萬(wàn)交易的金融機(jī)構(gòu),會(huì)有一個(gè)中央通信處理器,用于連接自動(dòng)柜員機(jī),下面哪些是為通信處理的最好的應(yīng)變計(jì)劃、A)與另一個(gè)組織簽訂互助協(xié)議、B)在同一地點(diǎn)設(shè)立候補(bǔ)處理器C)候補(bǔ)處理器在另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)D)安裝全雙工的通訊聯(lián)系答案:A解析:無(wú)效的中央通訊處理器會(huì)破壞所有進(jìn)入銀行網(wǎng)絡(luò)的通道。這可能造成設(shè)備，電源或通信失敗?；セ輩f(xié)議，使一個(gè)組織依賴于其他組織，不利于隱私權(quán)，競(jìng)爭(zhēng)及規(guī)管事宜。一個(gè)候補(bǔ)處理器在同一地點(diǎn)只解決設(shè)備問(wèn)題，如果是環(huán)境原因引起的失?。ㄈ?，電力中斷）就不起效果、。僅當(dāng)失敗限于通信鏈路時(shí)建立雙方通信鏈路才適當(dāng)、[單選題]39.下述最佳實(shí)踐，在新信息系統(tǒng)正式開(kāi)發(fā)計(jì)劃在哪個(gè)期間：A)開(kāi)發(fā)階段B)設(shè)計(jì)階段C)測(cè)試階段D)部署階段答案:B解析:實(shí)施計(jì)劃應(yīng)該在實(shí)際實(shí)施數(shù)據(jù)之前。一個(gè)正式的實(shí)施計(jì)劃應(yīng)該在設(shè)計(jì)階段被構(gòu)建，在開(kāi)發(fā)階段被改進(jìn)。點(diǎn)評(píng)：正式開(kāi)發(fā)計(jì)劃是在設(shè)計(jì)階段完成的[單選題]40.一家零售商店引進(jìn)了射頻識(shí)別（RFID）標(biāo)簽技術(shù)，以便為所有產(chǎn)品創(chuàng)建唯一的序列號(hào)。以下哪一項(xiàng)是與此項(xiàng)舉措相關(guān)的主要關(guān)注點(diǎn)？A)隱私問(wèn)題B)波長(zhǎng)可被人體吸收C)RFID標(biāo)簽可能無(wú)法移除D)RFID無(wú)需進(jìn)行瞄準(zhǔn)線讀取答案:A解析:物品的購(gòu)買者不一定會(huì)意識(shí)到標(biāo)簽的存在。如果用信用卡支付帶有標(biāo)簽的物品，該物品的唯一ID便可能與購(gòu)買者的身份信息綁定在一起。違反隱私權(quán)的行為是最重要的關(guān)注點(diǎn)，因?yàn)镽FID可帶有唯一的標(biāo)示符編號(hào)。如果某公司愿意，便能夠跟蹤購(gòu)買了包含RFID的商品的個(gè)人。選項(xiàng)B和C重要性較低。而選項(xiàng)D則完全不屬于關(guān)注點(diǎn)。[單選題]41.某IS審計(jì)師正在為公司審查安全事故管理程序。以下哪一項(xiàng)是最重要的考慮因素?A)電子證據(jù)監(jiān)管鏈B)系統(tǒng)違規(guī)通知程序C)向外部機(jī)構(gòu)的升級(jí)程序D)丟失數(shù)據(jù)恢復(fù)程序答案:A解析:A.關(guān)于安全事故管理，證據(jù)的保留是最重要的考慮因素。如果數(shù)據(jù)和證據(jù)收集不適當(dāng)，則可能丟失寶貴的信息，并且如果公司決定提起訴訟，法庭將不予采信。B.系統(tǒng)違規(guī)通知是個(gè)重要方面，并且在許多情況下，甚至需按法律和法規(guī)要求提供:但安全事故不一定是一種違規(guī)，并且通知程序可能不適用C.向當(dāng)?shù)鼐交蛱幚砭W(wǎng)絡(luò)犯罪的專門(mén)機(jī)構(gòu)等外部機(jī)構(gòu)的升級(jí)程序很重要。但如果沒(méi)有適當(dāng)?shù)谋O(jiān)管鏈程序，則可能丟失重要的證據(jù)，并且如果公司決定提起訴訟，法庭將不予采信。D.盡管具有恢復(fù)丟失數(shù)據(jù)的程序很重要，但關(guān)鍵是要確保證據(jù)得到保護(hù)，以確保跟進(jìn)和調(diào)查。[單選題]42.在審查定義IT服務(wù)水平的過(guò)程控制時(shí)，信息系統(tǒng)審計(jì)師最有可能先與下列哪種人面談：A)系統(tǒng)編程人員B)法律顧問(wèn)C)業(yè)務(wù)單位經(jīng)理人員D)應(yīng)用編程人員答案:C解析:[單選題]43.如果某組織將公鑰基礎(chǔ)設(shè)施與數(shù)字認(rèn)證配合用于其互聯(lián)網(wǎng)上的企業(yè)對(duì)消費(fèi)者交易，IS審計(jì)師在對(duì)其執(zhí)行審計(jì)時(shí)會(huì)認(rèn)為以下哪項(xiàng)是一個(gè)弱點(diǎn)？A)客戶在地理位置上分散廣泛，但認(rèn)證頒發(fā)機(jī)構(gòu)不是這樣B)客戶可通過(guò)任何計(jì)算機(jī)或移動(dòng)設(shè)備進(jìn)行交易C)認(rèn)證頒發(fā)機(jī)構(gòu)具有多個(gè)數(shù)據(jù)處理分中心來(lái)管理認(rèn)證D)該組織是認(rèn)證頒發(fā)機(jī)構(gòu)的所有者答案:D解析:如果認(rèn)證頒發(fā)機(jī)構(gòu)屬于同一組織，這會(huì)產(chǎn)生利益沖突。即，如果客戶想要拒絕交易，他們可能會(huì)聲稱生成認(rèn)證的各方之間存在的協(xié)議非法，因?yàn)榇嬖诠餐妗Ｈ绻蛻粝胍芙^交易，他們可能會(huì)聲稱聲稱認(rèn)證的各方之間存在賄賂行為，因?yàn)榇嬖诠餐妗Ｆ渌x項(xiàng)都不是弱點(diǎn)。[單選題]44.查組織批準(zhǔn)的軟件產(chǎn)品列表時(shí)，以下哪一個(gè)是所要驗(yàn)證的最重要事項(xiàng)?A)對(duì)與產(chǎn)品使用相關(guān)的風(fēng)險(xiǎn)進(jìn)行定期評(píng)估。B)為每個(gè)產(chǎn)品列出最新的軟件版本。C)由于許可問(wèn)題，列表不包含開(kāi)源軟件。D)提供營(yíng)業(yè)時(shí)間之后的支持。答案:A解析:A.由于供應(yīng)商周圍的業(yè)務(wù)條件可能會(huì)發(fā)生變化，因此組織對(duì)供應(yīng)商軟件列表進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估十分重要。最好將其納入信息技術(shù)風(fēng)險(xiǎn)管理流程。B.組織可能沒(méi)有使用產(chǎn)品的最新版本。C.視業(yè)務(wù)需求和相關(guān)風(fēng)險(xiǎn)的情況，列表可能包含開(kāi)源軟件。D.支持可由內(nèi)部或外部提供，技術(shù)支持的安排應(yīng)視軟件的重要性而定。[單選題]45.從測(cè)試環(huán)境移植一個(gè)應(yīng)用程序到生產(chǎn)環(huán)境，最佳的控制是：A)應(yīng)用程序員復(fù)制源程序，編譯對(duì)象模塊到產(chǎn)品庫(kù)B)應(yīng)用程序員復(fù)制源程序到生產(chǎn)庫(kù)，由生產(chǎn)控制組編制程序C)生產(chǎn)控制組在測(cè)試環(huán)境用源程序編譯對(duì)象模塊到生產(chǎn)庫(kù)D)生產(chǎn)控制組復(fù)制源程序到生產(chǎn)庫(kù)，然后編譯該程序答案:A解析:最好的控制是由生產(chǎn)控制組復(fù)制源程序到生產(chǎn)庫(kù)，然后編譯程序。[單選題]46.以下哪個(gè)選項(xiàng)對(duì)應(yīng)用程序系統(tǒng)的順利實(shí)施影響最大A)原型設(shè)計(jì)應(yīng)用程序開(kāi)發(fā)方法B)遵守適用的外部要求C)組織整體環(huán)境D)軟件再工程技術(shù)答案:C解析:應(yīng)用程序的系統(tǒng)開(kāi)發(fā)管理流程是整個(gè)IT流程管理的一部分。組織整體環(huán)境對(duì)應(yīng)用程序系統(tǒng)的順利實(shí)施影響最大。部署的方法自身對(duì)應(yīng)用程序系統(tǒng)的順利實(shí)施不會(huì)有太大影響。速度更快的開(kāi)發(fā)工具（如第四代語(yǔ)言（4GL）技術(shù)）允許用戶在短期內(nèi)查看建設(shè)系統(tǒng)工作情況的高層次視圖。通過(guò)采用此類工具，原型設(shè)計(jì)應(yīng)用程序開(kāi)發(fā)技術(shù)可大幅縮短系統(tǒng)部署時(shí)間。遵守適用的外部要求對(duì)順利實(shí)施也有影響，但是不如組織的整體環(huán)境影響大。軟件再工程技術(shù)是一個(gè)通過(guò)提取、重新使用設(shè)計(jì)和程序組件來(lái)更新現(xiàn)有系統(tǒng)的過(guò)程。在組織運(yùn)營(yíng)方式出現(xiàn)重大變化時(shí)，其能夠提供支持。相對(duì)于組織的整體環(huán)境，其對(duì)應(yīng)用系統(tǒng)的順利實(shí)施影響較小。點(diǎn)評(píng)：用戶對(duì)系統(tǒng)的接受程度對(duì)軟件實(shí)施影響最大[單選題]47.全面有效的電子郵件政策可解決的問(wèn)題應(yīng)該包括電子郵件結(jié)構(gòu)、政策實(shí)施、監(jiān)控和:A)恢復(fù)。B)保留。C)重建。D)重復(fù)使用。答案:B解析:A.郵件政策應(yīng)解決郵件保留的業(yè)務(wù)和法律要求問(wèn)題。在電子郵件政策中解決保留問(wèn)題可為其恢復(fù)提供方便。B.除了作為良好實(shí)踐，法規(guī)可能要求組織保留對(duì)財(cái)務(wù)報(bào)表有影響的信息。由于電子郵件通信常常在訴訟中被視為與傳統(tǒng)的?紙質(zhì)?正式信件具有同樣的效力，因此企業(yè)必須保留電子郵件。在組織的硬件上生成的所有電子郵件都?xì)w組織所有，電子郵件政策應(yīng)解決消息保留的問(wèn)題，這要考慮已知的和不可預(yù)見(jiàn)的訴訟。該政策還應(yīng)解決在指定時(shí)間后銷毀電子郵件的問(wèn)題，以保護(hù)消息本身的特性和機(jī)密性。C.郵件政策應(yīng)解決郵件保留的業(yè)務(wù)和法律要求問(wèn)題。解決電子郵件的保留問(wèn)題可為其修復(fù)提供方便。D.郵件政策應(yīng)解決郵件保留的業(yè)務(wù)和法律要求問(wèn)題。郵件的重復(fù)使用不是政策問(wèn)題。[單選題]48.在收集司法證據(jù)的過(guò)程中，下列哪項(xiàng)行為最有可能導(dǎo)致受威脅的系統(tǒng)中的證據(jù)遭到破壞或損壞?A)將內(nèi)存內(nèi)容轉(zhuǎn)儲(chǔ)至一個(gè)文件B)生成受威脅的系統(tǒng)的磁盤(pán)鏡像C)重新啟動(dòng)系統(tǒng)D)從網(wǎng)絡(luò)中移除系統(tǒng)答案:C解析:A.在可能時(shí)拷貝內(nèi)存內(nèi)容是正常的取證程序。如果謹(jǐn)慎，拷貝內(nèi)存內(nèi)容不會(huì)損壞證據(jù)。B.適當(dāng)?shù)娜∽C程序要求創(chuàng)建兩份系統(tǒng)鏡像用于分析。哈希值可確保這兩份都是正確的。C.重新啟動(dòng)系統(tǒng)可能導(dǎo)致系統(tǒng)狀態(tài)的改變，并可能導(dǎo)致存儲(chǔ)在內(nèi)存中的文件和重要證據(jù)丟失。D.在調(diào)查系統(tǒng)時(shí)，建議將其與網(wǎng)絡(luò)斷開(kāi)以最大程度地減少外部病毒感染或訪問(wèn)[單選題]49.對(duì)服務(wù)器中可疑活動(dòng)進(jìn)行觀察后，經(jīng)理要求進(jìn)行取證分析。以下哪種結(jié)果最能引起該調(diào)查者的關(guān)注？A)該服務(wù)器是工作中的一員，而不屬于服務(wù)器域的一部分。B)某來(lái)賓帳戶在該服務(wù)器中得以啟用C)近期，該服務(wù)器中創(chuàng)建了100個(gè)用戶。D)該服務(wù)器沒(méi)有啟用審計(jì)日志。答案:D解析:審計(jì)日志能夠提供繼續(xù)進(jìn)行調(diào)查所需的證據(jù)，因此不應(yīng)禁用。為滿足業(yè)務(wù)需求，服務(wù)器可以是工作組中的一員，因此這并不需要擔(dān)心。如果系統(tǒng)中啟用了來(lái)賓帳戶，可能會(huì)影響安全性，但這并不是司法調(diào)查方面的關(guān)注點(diǎn)。該服務(wù)器中近期創(chuàng)建了100個(gè)用戶，可能是出于滿足業(yè)務(wù)需求的需要，因此也不需要擔(dān)心。[單選題]50.以下哪項(xiàng)能夠最有效地控制通用串行總線（USB）存儲(chǔ)設(shè)備的使用？A)要求在發(fā)現(xiàn)持有此類設(shè)備時(shí)立即解雇的政策B)用于跟蹤和管理USB存儲(chǔ)設(shè)備的軟件C)在管理層面禁用USB端口D)在設(shè)施的入口處搜查相關(guān)人員以確定是否帶有USB存儲(chǔ)設(shè)備答案:B解析:使用集中跟蹤和監(jiān)視的軟件，USB使用政策便可以根據(jù)不斷變化的業(yè)務(wù)需求，應(yīng)用到每一個(gè)用戶，還可以監(jiān)視是否存在異常并會(huì)將異常報(bào)告給管理人員。如果政策規(guī)定一經(jīng)發(fā)現(xiàn)便立即解雇，則可能導(dǎo)致員工流失量增加，并且業(yè)務(wù)需求也無(wú)法得到充分的滿足。如果禁用端口，則管理起來(lái)會(huì)非常復(fù)雜，并且新的業(yè)務(wù)需求可能也無(wú)法得到滿足。在設(shè)施的入口處搜查相關(guān)人員以確定是否帶有USB存儲(chǔ)設(shè)備并不現(xiàn)實(shí)，因?yàn)檫@些設(shè)備非常小，易于藏匿。[單選題]51.下列哪個(gè)選項(xiàng)，你期望在組織的戰(zhàn)略計(jì)劃中找到？A)測(cè)試一個(gè)新的賬戶包B)評(píng)估信息技術(shù)需要C)在接下的一年中實(shí)行一個(gè)新項(xiàng)目計(jì)劃系統(tǒng)D)成為產(chǎn)品供應(yīng)商答案:D解析:戰(zhàn)略規(guī)劃納入了公司或部門(mén)的目標(biāo)。全面規(guī)劃有助于組織的效率和效果。戰(zhàn)略規(guī)劃是以時(shí)間和項(xiàng)目為導(dǎo)向，但是也要依據(jù)業(yè)務(wù)需求進(jìn)行優(yōu)先級(jí)排序。長(zhǎng)期和短期計(jì)劃應(yīng)該和組織的目標(biāo)是一致的。選擇D、代表了業(yè)務(wù)目標(biāo)，該業(yè)務(wù)目標(biāo)是打算集中的整個(gè)業(yè)務(wù)方向，因此它是組織戰(zhàn)略計(jì)劃的一部分。其他的選擇是面向項(xiàng)目的,和業(yè)務(wù)目標(biāo)沒(méi)有聯(lián)系。[單選題]52.要求督導(dǎo)委員會(huì)監(jiān)督IT投資的主要好處是以下哪一項(xiàng)?A)進(jìn)行可行性分析，以表明IT價(jià)值B)確保根據(jù)業(yè)務(wù)需求進(jìn)行投資C)確保強(qiáng)制落實(shí)適當(dāng)?shù)陌踩刂拼胧〥)確保實(shí)施標(biāo)準(zhǔn)的開(kāi)發(fā)方法答案:B解析:A.督導(dǎo)委員會(huì)可能在審查中使用可行性分析;但它并不負(fù)責(zé)執(zhí)行/進(jìn)行該分析研究。B.督導(dǎo)委員會(huì)由來(lái)自業(yè)務(wù)和IT部門(mén)的代表組成，負(fù)責(zé)確保根據(jù)業(yè)務(wù)目標(biāo)而不是IT優(yōu)先級(jí)作出IT投資。C.督導(dǎo)委員會(huì)不負(fù)責(zé)強(qiáng)制落實(shí)安全控制措施。D.督導(dǎo)委員會(huì)不負(fù)實(shí)施開(kāi)發(fā)方法。[單選題]53.網(wǎng)絡(luò)性能監(jiān)控工具能夠最直接地影響以下哪一項(xiàng)?A)完整性B)可用性C)完整性D)機(jī)密性答案:B解析:A.網(wǎng)絡(luò)監(jiān)控工具可用于檢測(cè)通過(guò)網(wǎng)絡(luò)擴(kuò)散的錯(cuò)誤，但其主要目的在于可靠性，以便網(wǎng)絡(luò)在需要時(shí)可用。B.網(wǎng)絡(luò)監(jiān)控工具可觀察網(wǎng)絡(luò)性能和問(wèn)題。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)問(wèn)題時(shí)，它讓管理員能夠采取糾正措施。因此，受網(wǎng)絡(luò)監(jiān)控直接影響最大的特性就是可用性。C.網(wǎng)絡(luò)監(jiān)控工具不會(huì)監(jiān)控通信完整性。完整性由通信中的終點(diǎn)監(jiān)控。D.網(wǎng)絡(luò)監(jiān)控工具可讓網(wǎng)絡(luò)管理看到未加密的流量，從而違反保密性。這要求對(duì)網(wǎng)絡(luò)監(jiān)控工具的使用有仔細(xì)的保護(hù)和政策。[單選題]54.在互聯(lián)網(wǎng)上用cookie從事下列哪一項(xiàng)活動(dòng)時(shí)，會(huì)構(gòu)成最嚴(yán)重的安全威脅?A)從主機(jī)服務(wù)器下載文件B)傳發(fā)電子郵件和網(wǎng)際協(xié)議IP地址C)使用用戶名和密碼來(lái)鑒別身份D)從認(rèn)證機(jī)構(gòu)CA取得公共秘鑰答案:C解析:[單選題]55.企業(yè)的風(fēng)險(xiǎn)偏好最好由以下哪項(xiàng)確定:A)首席法務(wù)官。B)安全管理人員C)審計(jì)委員會(huì)。D)督導(dǎo)委員會(huì)。答案:D解析:A.雖然首席法務(wù)官能夠?yàn)檎咛峁┓煞矫娴闹笇?dǎo)，但仍無(wú)法決定公司的風(fēng)險(xiǎn)偏好。B.安全管理小組主要關(guān)注的是安全狀況的管理，無(wú)法決定安全狀況。C.審計(jì)委員會(huì)不負(fù)責(zé)設(shè)定企業(yè)的風(fēng)險(xiǎn)承受能力或偏好。D.企業(yè)的風(fēng)險(xiǎn)偏好最好由督導(dǎo)委員會(huì)決定，因?yàn)榇宋瘑T會(huì)的成員均為高層管理人員。[單選題]56.在審查信息安全政策的制定時(shí)，IS審計(jì)師的主要關(guān)注點(diǎn)是保證這些政策:A)與全球接受的行業(yè)良好實(shí)踐一致。B)經(jīng)過(guò)董事會(huì)和高級(jí)管理層的批準(zhǔn)。C)在業(yè)務(wù)與安全要求之間取得平衡。D)為實(shí)施安全程序提供指引。答案:C解析:A.組織不要求以行業(yè)良好實(shí)踐作為其IT政策的基礎(chǔ)。政策必須以組織的文化和業(yè)務(wù)要求為基礎(chǔ)。B.政策獲得批準(zhǔn)是必要的;但這不是政策制定期間的主要關(guān)注點(diǎn)C.信息安全政策首先必須根據(jù)組織的業(yè)務(wù)和安全目標(biāo)進(jìn)行調(diào)整。D.政策如果與業(yè)務(wù)要求不一致，則不能提供指引。[單選題]57.在一個(gè)組織中信息技術(shù)安全的基線已經(jīng)被定義了，那么信息系統(tǒng)審計(jì)師應(yīng)該首先確認(rèn)它的：A)實(shí)施B)遵守C)文件D)足夠（充分）答案:A解析:信息系統(tǒng)審計(jì)師首先要通過(guò)確?？刂频某浞中詠?lái)評(píng)估最小基線水平的定義。文件、實(shí)施和遵守是后面的步驟。[單選題]58.進(jìn)行防災(zāi)規(guī)劃時(shí)，以下哪一項(xiàng)最有助于按優(yōu)先順序安排IT資產(chǎn)?A)事故響應(yīng)計(jì)劃B)業(yè)務(wù)影響分析(BIA)C)威脅與風(fēng)險(xiǎn)分析D)恢復(fù)時(shí)間目標(biāo)(RTO)答案:B解析:A.事故響應(yīng)計(jì)劃是指一種條理清晰的用于解決和管理安全漏洞或攻擊的方法。該計(jì)劃定義哪些構(gòu)成事故，以及發(fā)生事故后該遵循哪種流程。它并不優(yōu)先排序發(fā)生災(zāi)難時(shí)的恢復(fù)B.將業(yè)務(wù)影響分析(BIA)納入T災(zāi)難復(fù)規(guī)劃流程至關(guān)考慮，這樣才能確保按優(yōu)先順序安排IT資產(chǎn)，以便與業(yè)務(wù)保持一致C.識(shí)別威脅和分析對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)是防災(zāi)規(guī)劃的重要組成部分，但它并不確定恢復(fù)的優(yōu)先權(quán)D.恢復(fù)時(shí)間目標(biāo)(RTO)是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時(shí)間量。它是BIA的組成部分，用于說(shuō)明恢復(fù)的優(yōu)先順序。[單選題]59.IS審計(jì)師在對(duì)系統(tǒng)分級(jí)時(shí)，如果某系統(tǒng)允許在較長(zhǎng)的時(shí)間段內(nèi)以可接受的成本進(jìn)行人工操作，該系統(tǒng)應(yīng)被定義為A)關(guān)鍵級(jí)B)重要級(jí)C)敏感級(jí)D)非關(guān)鍵級(jí)答案:A解析:敏感的功能是為那些在一個(gè)可容忍的成本和在較長(zhǎng)一段時(shí)間內(nèi)可以人工操作的最好描述。關(guān)鍵功能是指無(wú)法完成的那些功能，并且不能被手工方式所替代的，除非他們被相同能力的所代替。重要的功能是指那些在一個(gè)短暫時(shí)間內(nèi)可以手動(dòng)執(zhí)行的功能，如果重要功能的中斷的話，相關(guān)的代價(jià)比關(guān)鍵職能少些。非關(guān)鍵功能在較長(zhǎng)一段時(shí)間內(nèi)的中斷，會(huì)有很少損失或沒(méi)有沒(méi)有損失，并要求最少的時(shí)間或成本進(jìn)行恢復(fù)。[單選題]60.企業(yè)最終決定直接采購(gòu)商業(yè)化的軟件包，而不是開(kāi)發(fā)。那么，傳統(tǒng)的軟件開(kāi)發(fā)生產(chǎn)周期（SDLC）中設(shè)計(jì)和開(kāi)發(fā)階段，就被置換為：A)挑選和配置階段B)可行性研究和需求定義階段C)實(shí)施和測(cè)試階段D)（無(wú)，不需要置換）答案:A解析:[單選題]61.在數(shù)據(jù)的機(jī)密性、可靠性和完整性方面，以下哪項(xiàng)可以對(duì)互聯(lián)網(wǎng)業(yè)務(wù)提供最全面的控制？A)安全套接字層（SSL）B)入侵檢測(cè)系統(tǒng)（IDS）C)公鑰基礎(chǔ)架構(gòu)（PKI）D)虛擬專用網(wǎng)絡(luò)（VPN）答案:C解析:PKI是最全面的技術(shù)，因?yàn)槠浼用芩惴ㄡ槍?duì)機(jī)密性和可靠性提供了加密、數(shù)字簽名和不可否認(rèn)性控制。SSL能夠?qū)崿F(xiàn)機(jī)密性。IDS是一種檢測(cè)性控制。VPN可實(shí)現(xiàn)機(jī)密性和身份認(rèn)證（可靠性）。[單選題]62.為了確保組織遵守隱私要求，一個(gè)信息系統(tǒng)審計(jì)師應(yīng)首先評(píng)審：A)IT基礎(chǔ)設(shè)施B)組織策略，標(biāo)準(zhǔn)和程序C)法律和法規(guī)的要求D)組織的策略，標(biāo)準(zhǔn)和程序答案:C解析:為了確保該組織遵守關(guān)于隱私問(wèn)題，一個(gè)信息系統(tǒng)審計(jì)師首先應(yīng)解決法律和監(jiān)管的要求。為了遵守法律法規(guī)和監(jiān)管要求，組織需要采取適當(dāng)?shù)幕A(chǔ)設(shè)施。在了解法律和監(jiān)管的要求，審計(jì)師應(yīng)該評(píng)估組織的策略，標(biāo)準(zhǔn)和程序，以確定它們是否充分解決隱私要求，然后復(fù)查遵守這些具體的策略，標(biāo)準(zhǔn)和程序。[單選題]63.當(dāng)下載軟件時(shí)，一個(gè)哈希值被提供能夠：A)確保軟件來(lái)自于原有途徑B)確保軟件修訂版本是正確的C)確保軟件沒(méi)有被修改D)為軟件付費(fèi)用戶提供許可密碼答案:C解析:哈希值被使用意味著確保軟件文件的完整性。對(duì)于一個(gè)文件即使只有一個(gè)比特在文件中被修改被計(jì)算的哈希值將是不同的。哈希值的通常用法是放在軟件發(fā)布者的網(wǎng)站上，以至于那些下載的能夠被確認(rèn)軟件沒(méi)有被修改過(guò)。選擇A不正確，因?yàn)橐粋€(gè)文件的哈希值是相同的不管它是復(fù)制還是來(lái)源于原有途徑。軟件下載站點(diǎn)經(jīng)常是被第三方鏡像將產(chǎn)生很大的風(fēng)險(xiǎn)，代碼可能被修改，因?yàn)檫@些站點(diǎn)不是被軟件發(fā)布者所控制的。選擇B不正確，因?yàn)楣Ｖ蹬c軟件的修訂版本號(hào)即沒(méi)有任何關(guān)系，也不是用于這個(gè)目的。哈希值能夠使用軟件工具校驗(yàn)，它能夠比較下載和顯示在網(wǎng)站上的值。如果兩個(gè)值匹配，那么下載的軟件是完整是，因?yàn)楣Ｖ挡荒鼙皇褂米鳛橐粋€(gè)可與密鑰。[單選題]64.某IS審計(jì)師正在評(píng)估一份針對(duì)新的云會(huì)計(jì)服務(wù)的第三方服務(wù)協(xié)議。關(guān)于會(huì)計(jì)數(shù)據(jù)的保密問(wèn)題，以下哪一項(xiàng)考慮因素最重要?A)數(shù)據(jù)保留、備份和恢復(fù)B)信息的退還或銷毀C)網(wǎng)絡(luò)和入侵檢測(cè)D)修補(bǔ)程序管理流程答案:B解析:A.數(shù)據(jù)保留、備份和恢復(fù)是重要的控制措施;但它們并不能保證數(shù)據(jù)保密。B.審查第三方協(xié)議時(shí)，關(guān)于數(shù)據(jù)保密問(wèn)題，最重要的考慮因素是有關(guān)在合同結(jié)束時(shí)退還或善銷毀信息的條款。C.網(wǎng)絡(luò)和入侵檢測(cè)有助于保護(hù)數(shù)據(jù)，但其本身并不能保證由第三方提供商存儲(chǔ)的數(shù)據(jù)的保密性D.補(bǔ)丁管理流程有助加固服務(wù)器，并可禁止未經(jīng)授權(quán)的數(shù)據(jù)披露;但它并不影響數(shù)據(jù)的保密性。[單選題]65.某供應(yīng)商過(guò)去幾個(gè)月發(fā)布了多個(gè)重要的安全修補(bǔ)程序，因此對(duì)管理員及時(shí)測(cè)試和部署修補(bǔ)程序的能帶來(lái)壓力。管理員已詢問(wèn)能否減少對(duì)修補(bǔ)程序的測(cè)試。該組織應(yīng)當(dāng)采取哪種措施?A)繼續(xù)堅(jiān)持當(dāng)前測(cè)試和應(yīng)用修補(bǔ)程序的流程。B)減少測(cè)試并確保制訂充分的逆向恢復(fù)計(jì)劃。C)推遲安裝修補(bǔ)程序，直到測(cè)試資源可用D)依靠供應(yīng)商測(cè)試修補(bǔ)程序。答案:A解析:A.立即應(yīng)用安全軟件修補(bǔ)程序?qū)Υ_保服務(wù)器安全至關(guān)重要;此外，由于修補(bǔ)程序可能影響其他系統(tǒng)和業(yè)務(wù)經(jīng)營(yíng)，因此測(cè)試修補(bǔ)程序很重要。由于供應(yīng)商最近在短時(shí)間內(nèi)發(fā)布了多個(gè)重要的修補(bǔ)程序，因此可能是個(gè)暫時(shí)的問(wèn)題，不需要修訂政策或程序。B.減少測(cè)試會(huì)加大修補(bǔ)程序有故障或不兼容導(dǎo)致業(yè)務(wù)經(jīng)營(yíng)中斷的風(fēng)險(xiǎn)。盡管逆向恢復(fù)計(jì)劃有助減少這種風(fēng)險(xiǎn)，預(yù)先進(jìn)行全面測(cè)試是更恰當(dāng)?shù)倪x項(xiàng)。C.立即應(yīng)用安全軟件修補(bǔ)程序?qū)Υ_保服務(wù)器的安全至關(guān)重要。推遲安裝修補(bǔ)程序會(huì)因?yàn)橄到y(tǒng)漏洞而加大安全違規(guī)的風(fēng)險(xiǎn)。D.由供應(yīng)商完成測(cè)試可能不適用于需要部署修補(bǔ)程序的組織的系統(tǒng)和環(huán)境。[單選題]66.信息系統(tǒng)審計(jì)師在分析數(shù)據(jù)庫(kù)管理系統(tǒng)的審計(jì)日志時(shí)發(fā)現(xiàn)部分事務(wù)由於錯(cuò)誤而沒(méi)有完全執(zhí)行，而且出錯(cuò)後沒(méi)有回滾操作。根據(jù)以上描述，這些事務(wù)違反了以下哪種事務(wù)特性？A)一致性B)獨(dú)立性C)持久性D)原子性答案:A解析:原子性是保證要么是整個(gè)事務(wù)被處理或任何一個(gè)都不被處理。一致性確保該數(shù)據(jù)庫(kù)在事務(wù)開(kāi)始和結(jié)束期間都是在一個(gè)邏輯狀態(tài)。獨(dú)立性是指在一種中間狀態(tài)時(shí)，事務(wù)數(shù)據(jù)對(duì)外部操作者是不可見(jiàn)的。持久性是保證一個(gè)成功的事務(wù)將會(huì)持續(xù)，并且不可被復(fù)原。[單選題]67.某銀行在其所有的重要信息系統(tǒng)項(xiàng)目中都采用系統(tǒng)開(kāi)發(fā)命周期的概念。目前該行正準(zhǔn)備開(kāi)始一個(gè)房貸業(yè)務(wù)系統(tǒng)的可行性研究?？尚行匝芯康闹饕獌?nèi)容應(yīng)該包括：A)可能的投標(biāo)商和商譽(yù)。B)計(jì)算機(jī)病毒和其他破壞導(dǎo)致的風(fēng)險(xiǎn)。C)切換系統(tǒng)實(shí)施方法如平行法。D)技術(shù)和相關(guān)成本。答案:D解析:D正確,生命周期開(kāi)發(fā)的可行性研究包括：（1）制定新系統(tǒng)的目標(biāo)和邏輯模型；（2）備選設(shè)計(jì)方案的初步分析，包括各方案的技術(shù)和經(jīng)濟(jì)可行性；（3）確定系統(tǒng)設(shè)計(jì)的推薦方案，包括項(xiàng)目進(jìn)度和預(yù)期成本。[單選題]68.審計(jì)師在評(píng)審企業(yè)的系統(tǒng)開(kāi)發(fā)測(cè)試策略。關(guān)于在測(cè)試過(guò)程中使用生產(chǎn)數(shù)據(jù)的陳述中，審計(jì)師會(huì)認(rèn)為下面哪種陳述是最恰當(dāng)?shù)?？A)在生產(chǎn)數(shù)據(jù)被用于測(cè)試以前，高級(jí)IS和業(yè)務(wù)經(jīng)理必須批準(zhǔn)該行為。B)只要將生產(chǎn)數(shù)據(jù)復(fù)制到一個(gè)安全的測(cè)試環(huán)境中，才可以被使用。C)生產(chǎn)數(shù)據(jù)絕不能被使用。必須基于書(shū)面的測(cè)試用例文檔來(lái)準(zhǔn)備所有的測(cè)試數(shù)據(jù)。D)簽署了保密協(xié)議就可使用生產(chǎn)數(shù)據(jù)。答案:A解析:為了測(cè)試而使用生產(chǎn)數(shù)據(jù)有一些風(fēng)險(xiǎn)存在，這包含危害客戶和員工的隱私（也可能觸犯法律）和破壞生產(chǎn)數(shù)據(jù)。另外，有效的測(cè)試需要特別設(shè)計(jì)的數(shù)據(jù)。而某些情況下，就如大量生產(chǎn)的測(cè)試數(shù)據(jù)是很難或者不可能得到的，從而使生產(chǎn)測(cè)試數(shù)據(jù)的有效性降低。一個(gè)例子就是測(cè)試?yán)舷到y(tǒng)的接口。實(shí)踐中，文檔和組織留存的、關(guān)于老系統(tǒng)發(fā)揮功效的說(shuō)明是不完整的。測(cè)試數(shù)據(jù)轉(zhuǎn)換程序是另一個(gè)例子。像增強(qiáng)型測(cè)試訪問(wèn)?真實(shí)?數(shù)據(jù)時(shí)，管理信息系統(tǒng)是又一個(gè)的例子。使用生產(chǎn)數(shù)據(jù)時(shí)的某些靈活性可能是最好的選項(xiàng)。除了獲得高級(jí)管理層的批準(zhǔn)，某些減輕與使用生產(chǎn)數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)的條件都要被考慮，比如遮蓋住名字和受保護(hù)的隱私數(shù)據(jù)的字段。其他的選項(xiàng)都是不正確的，因?yàn)樯a(chǎn)環(huán)境的安全性要求非常嚴(yán)格。選項(xiàng)B和D是不錯(cuò)的做法，但它們不能在數(shù)據(jù)所有者不在場(chǎng)的情況下使用。選項(xiàng)C有時(shí)可能不切實(shí)際的。點(diǎn)評(píng)：使用生產(chǎn)數(shù)據(jù)需包括兩點(diǎn)：授權(quán)和脫敏[單選題]69.局域網(wǎng)（LAN）管理員通常會(huì)受到以下什么限制？A)對(duì)最終用戶有責(zé)任B)對(duì)最終用戶經(jīng)理報(bào)告C)有編程的職責(zé)D)為區(qū)域網(wǎng)的安全管理工作負(fù)責(zé)答案:C解析:局域網(wǎng)管理員不應(yīng)該有規(guī)劃的責(zé)任，但可能對(duì)最終用戶的責(zé)任。LAN管理員也許向信息處理設(shè)施（低通濾波器）董事長(zhǎng)，或者，在一個(gè)分散經(jīng)營(yíng)里對(duì)最終用戶管理者報(bào)告。在小型組織中，局域網(wǎng)管理員也可以負(fù)責(zé)包括LAN的安全管理工作。點(diǎn)評(píng)：程序員不得與任何運(yùn)維崗位兼職[單選題]70.IS審計(jì)師應(yīng)該使用以下哪一項(xiàng)來(lái)檢測(cè)在發(fā)票主要文件里的重復(fù)發(fā)票記錄？A)屬性取樣B)通用審計(jì)工具C)測(cè)試數(shù)據(jù)D)集成測(cè)試工具答案:B解析:通用審計(jì)軟件使審計(jì)員能夠評(píng)審?fù)暾陌l(fā)票文件夾來(lái)發(fā)現(xiàn)那些滿足選定標(biāo)準(zhǔn)的條目。屬性取樣在確定滿足特定條件的記錄會(huì)有所幫助，但是它不能比較不同記錄以發(fā)現(xiàn)重復(fù)條目。為了檢查重復(fù)的發(fā)票記錄IS審計(jì)師應(yīng)該檢查所有符合標(biāo)準(zhǔn)的而不僅是取樣的條目。測(cè)試數(shù)據(jù)被用來(lái)驗(yàn)證數(shù)據(jù)程序處理流程，但是不能發(fā)現(xiàn)重復(fù)記錄。點(diǎn)評(píng)：GAS工具用來(lái)進(jìn)行對(duì)賬用的[單選題]71.內(nèi)部IS審計(jì)職能部門(mén)正在規(guī)劃某項(xiàng)常規(guī)IS審計(jì)。以下哪項(xiàng)活動(dòng)是規(guī)劃階段的第一步?A)制定審計(jì)程序B)審查審計(jì)章程C)確定關(guān)鍵信息所有者D)進(jìn)行風(fēng)險(xiǎn)評(píng)估答案:D解析:A.風(fēng)險(xiǎn)評(píng)估的結(jié)果將用作審計(jì)程序的輸入。B.審計(jì)章程在審計(jì)部門(mén)成立時(shí)制定，或根據(jù)需要進(jìn)行更新。制定審計(jì)章程與審計(jì)規(guī)劃階段無(wú)關(guān)因?yàn)樗莾?nèi)部審計(jì)治理結(jié)構(gòu)的一部分，旨在確保職能部門(mén)的獨(dú)立性。C.風(fēng)險(xiǎn)評(píng)估必須在確定關(guān)鍵信息所有者之前進(jìn)行。在審計(jì)規(guī)劃階段，通常并不會(huì)直接涉及到關(guān)鍵信息所有者。D.應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估以確定如何分配內(nèi)部審計(jì)資源，以保證解決所有重要事項(xiàng)。[單選題]72.在識(shí)別出一個(gè)應(yīng)當(dāng)報(bào)告的發(fā)現(xiàn)之后，被審計(jì)機(jī)構(gòu)立即采取了糾正措施。審計(jì)師應(yīng)當(dāng):A)這一發(fā)現(xiàn)應(yīng)當(dāng)記錄在最終報(bào)告中，因?yàn)閷徲?jì)師負(fù)責(zé)對(duì)所有調(diào)查結(jié)果的準(zhǔn)確報(bào)告。B)不在最終報(bào)告中記錄，因?yàn)閷徲?jì)報(bào)告只包括尚未糾正的發(fā)現(xiàn)。C)不在最終報(bào)告中記錄，因?yàn)樵趯徲?jì)過(guò)程中，審計(jì)師可以驗(yàn)證糾正措施。D)在離場(chǎng)會(huì)議上，將發(fā)現(xiàn)的情況僅作討論目的。答案:A解析:在最終報(bào)告中記錄審計(jì)發(fā)現(xiàn)是一個(gè)普遍接受的審計(jì)實(shí)踐。如果一項(xiàng)審計(jì)措施在審計(jì)開(kāi)始之后，在審計(jì)結(jié)束之前實(shí)施，審計(jì)報(bào)告應(yīng)當(dāng)確認(rèn)和描述所采取的措施。審計(jì)報(bào)告應(yīng)該記錄這些情況，因?yàn)槠浯嬖谟趯徲?jì)過(guò)程中。被審計(jì)單位所采取的所有糾正措施都應(yīng)當(dāng)予以記錄。點(diǎn)評(píng)：獨(dú)立性，改了的問(wèn)題也要報(bào)告[單選題]73.以下哪類防火墻能最有效的抵御來(lái)自互聯(lián)網(wǎng)的攻擊A)屏蔽子網(wǎng)防火墻B)應(yīng)用級(jí)防火墻C)包過(guò)濾防火墻D)電路級(jí)防火墻答案:A解析:屏蔽子網(wǎng)防火墻將能提供做好的保護(hù)，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)，避免內(nèi)部網(wǎng)絡(luò)被直接訪問(wèn)。應(yīng)用級(jí)防火墻通過(guò)一系列的代理來(lái)實(shí)現(xiàn)數(shù)據(jù)傳遞，工作在應(yīng)用層而不僅僅是數(shù)據(jù)包級(jí)別的。屏蔽控制是在數(shù)據(jù)包級(jí)，地址和端口，但不能看到數(shù)據(jù)包的內(nèi)容。包過(guò)濾防火墻只檢查每一個(gè)數(shù)據(jù)包的包頭或者他們之間的組合來(lái)確定是否允許數(shù)據(jù)通過(guò)。[單選題]74.組織中的無(wú)線網(wǎng)絡(luò)訪問(wèn)點(diǎn)由不能更新到更高安全性的舊訪問(wèn)點(diǎn)和較新具有高級(jí)無(wú)線安全性的訪問(wèn)點(diǎn)混合組成。IS審計(jì)師建議替換掉無(wú)法更新的舊訪問(wèn)點(diǎn)。以下哪個(gè)選項(xiàng)最能夠證明IS審計(jì)師的建議是正確的？A)可以承擔(dān)得起具有更高安全性的訪問(wèn)點(diǎn)。B)舊訪問(wèn)點(diǎn)在性能方面較差。C)組織安全性的強(qiáng)弱取決于最弱的點(diǎn)。D)新訪問(wèn)點(diǎn)更易于管理答案:C解析:應(yīng)廢棄舊的訪問(wèn)點(diǎn)并具有更高安全性的產(chǎn)品代替；否則舊的訪問(wèn)點(diǎn)將為攻擊者敞開(kāi)安全漏洞，從而整個(gè)網(wǎng)絡(luò)的強(qiáng)度成為與其在同一薄弱水平，可承擔(dān)性不是IS審計(jì)師主要關(guān)心的內(nèi)容。在這種情況下，性能不如安全性重要。產(chǎn)品的可管理性不是IS審計(jì)師關(guān)心的內(nèi)容。[單選題]75.在中斷或者災(zāi)難事件中，下列哪項(xiàng)技術(shù)提供了連續(xù)性操作A)負(fù)載均衡。B)容錯(cuò)硬件。C)分布式備份。D)高可用性（HA）計(jì)算設(shè)備。答案:B解析:容錯(cuò)硬件是目前唯一能夠支持連續(xù)不間斷服務(wù)的技術(shù)。負(fù)載均衡是通過(guò)分割多個(gè)服務(wù)器之間的工作負(fù)載來(lái)改善服務(wù)器的性能。高可用性的電腦設(shè)備能夠提供快速的而事實(shí)連續(xù)性的恢復(fù)，而分布式備份需要更長(zhǎng)的恢復(fù)時(shí)間。[單選題]76.以下哪種互聯(lián)網(wǎng)安全威脅可損害完整性？A)從客戶端竊取數(shù)據(jù)B)暴露網(wǎng)絡(luò)配置消息C)感染特洛伊木馬的瀏覽器D)網(wǎng)絡(luò)竊聽(tīng)答案:C解析:可損害完整性的互聯(lián)網(wǎng)安全威脅、漏洞包括特洛伊木馬，其可修改在客戶端-瀏覽器軟件中找到的用戶數(shù)據(jù)、存儲(chǔ)器和消息。其他選項(xiàng)可損害機(jī)密性。[單選題]77.IS審計(jì)章程的主要目的是:A)建立審計(jì)部門(mén)的組織結(jié)構(gòu)。B)闡述IS審計(jì)職能部門(mén)的報(bào)告責(zé)任。C)詳細(xì)闡述IS審計(jì)部門(mén)執(zhí)行的審計(jì)流程和程序。D)概述IS審計(jì)職能部門(mén)的職責(zé)和權(quán)限。答案:D解析:A.IS審計(jì)章程不闡述IS審計(jì)部門(mén)的組織結(jié)構(gòu)。章程是創(chuàng)建IS審計(jì)職能部門(mén)的指導(dǎo)性文件。B.IS審計(jì)章程不規(guī)定IS審計(jì)部門(mén)的報(bào)告要求。章程闡述信息系統(tǒng)審計(jì)職能部門(mén)的目的、職責(zé)、權(quán)限和義務(wù)C.IS審計(jì)流程和程序不在IS審計(jì)章程中詳述。程序是IS審計(jì)計(jì)劃的組成部分，而流程是由審計(jì)管理層確定的。D.IS審計(jì)章程的主要目的是闡述IS審計(jì)職能部門(mén)的目的、職責(zé)、權(quán)限和義務(wù)。章程文件代表董事會(huì)和公司利益相關(guān)方授予審計(jì)職能部門(mén)權(quán)限。[單選題]78.以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師對(duì)于幫助企業(yè)提高計(jì)算資源效率的最佳建議？A)虛擬化B)CPUC)硬件升級(jí)D)實(shí)時(shí)備份答案:A解析:[單選題]79.下面哪種協(xié)議可用來(lái)實(shí)施路由器和互聯(lián)設(shè)備監(jiān)控系統(tǒng)？A)SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)B)FTP(文件傳輸協(xié)議)C)SMTP(簡(jiǎn)單郵件傳輸協(xié)議)D)Telnet協(xié)議答案:A解析:SNMP提供一種管理和控制網(wǎng)絡(luò)設(shè)備的方法，并且管理配置和實(shí)施。FTP從一臺(tái)互聯(lián)網(wǎng)中計(jì)算機(jī)傳輸文件到指定用戶的計(jì)算機(jī)，并且不具有設(shè)計(jì)監(jiān)控網(wǎng)絡(luò)設(shè)備的功能。SMTP是一個(gè)發(fā)送和接收郵件信息的寫(xiě)實(shí)，不提供監(jiān)控或管理網(wǎng)絡(luò)設(shè)備。Telnet是一個(gè)標(biāo)準(zhǔn)終端仿真協(xié)議，用與遠(yuǎn)程中終端的連接，使用戶在連接到本地系統(tǒng)的情況下可以登錄遠(yuǎn)程系統(tǒng)及使用資源，它不提供任何網(wǎng)絡(luò)設(shè)備的監(jiān)控或者管理。[單選題]80.在審查網(wǎng)絡(luò)設(shè)備配置時(shí)，一個(gè)IS審計(jì)師最先應(yīng)該確認(rèn)？A)網(wǎng)絡(luò)設(shè)備部署類型的最佳實(shí)踐。B)網(wǎng)絡(luò)組件是否缺少。C)拓?fù)渲芯W(wǎng)絡(luò)設(shè)備的重要性。D)網(wǎng)絡(luò)子組件是否使用恰當(dāng)。答案:C解析:第一步是了解網(wǎng)絡(luò)設(shè)備在組織拓?fù)渚W(wǎng)絡(luò)中的重要性和作用。在了解了網(wǎng)絡(luò)中的設(shè)備后，應(yīng)對(duì)使用該設(shè)備的最佳實(shí)踐加以審查，以確保在配置中有沒(méi)有異常。只有在審查和了解了拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備部署的最佳實(shí)踐后，才能識(shí)別哪個(gè)組件或子組件是否缺少或不正常使用。[單選題]81.在評(píng)審敏感電子報(bào)告時(shí)，IS審計(jì)師注意到?jīng)]有加密。以上可能違背：A)關(guān)于工作報(bào)告版本的審計(jì)跟蹤B)審計(jì)階段的批準(zhǔn)C)工作報(bào)告的訪問(wèn)權(quán)限D(zhuǎn))工作報(bào)告的保密性答案:D解析:對(duì)電子工作報(bào)告加密提供保密性。審計(jì)跟蹤，審計(jì)階段的批準(zhǔn)和工作工作報(bào)告的訪問(wèn)控制他們本身都不能影響保密性但卻是加密需求的部分原因是。點(diǎn)評(píng)：閱讀理解性的題目[單選題]82.以下哪一項(xiàng)是執(zhí)行并行測(cè)試的主要目的?A)確定系統(tǒng)是否具有成本效益B)實(shí)現(xiàn)綜合單元及系統(tǒng)測(cè)試C)找出含文件的程序接口中的錯(cuò)誤D)確保新系統(tǒng)滿足用戶要求答案:D解析:A.通過(guò)并行測(cè)試可能會(huì)發(fā)現(xiàn)舊系統(tǒng)實(shí)際上比新系統(tǒng)成本更低，但這并不是執(zhí)行該測(cè)試的主要目的B.單元及系統(tǒng)測(cè)試是在并行測(cè)試之前完成的。C.對(duì)含文件的程序接口的錯(cuò)誤測(cè)試是在系統(tǒng)測(cè)試期間進(jìn)行的。D.并行測(cè)試的目的是，通過(guò)比較舊系統(tǒng)與新系統(tǒng)的結(jié)果以保證正確處理，從而保證新系統(tǒng)的實(shí)施滿足用戶要求。[單選題]83.某IS審計(jì)師正在核對(duì)生產(chǎn)設(shè)備與庫(kù)存記錄。這種測(cè)試屬于以下哪一項(xiàng):A)實(shí)質(zhì)性測(cè)試B)符合性測(cè)試。C)分析性測(cè)試D)控制測(cè)試。答案:A解析:A.實(shí)質(zhì)性測(cè)試在審計(jì)期間獲取有關(guān)活動(dòng)或交易的完整性、準(zhǔn)確性或存在性的審計(jì)證據(jù)。B.合規(guī)性測(cè)試是為檢驗(yàn)企業(yè)是否遵循控制流程而進(jìn)行的證據(jù)搜集。這與實(shí)質(zhì)性測(cè)試不同，實(shí)質(zhì)性測(cè)試中搜集的證據(jù)用于評(píng)估單個(gè)交易、數(shù)據(jù)或其他信息的完整C.分析測(cè)試評(píng)估兩組數(shù)據(jù)之間的關(guān)系，并辨別該關(guān)系之中的不一致之處D.控制測(cè)試與合規(guī)性測(cè)試是一樣的。[單選題]84.一家大型銀行實(shí)施IT審計(jì)的過(guò)程中，IS審計(jì)師發(fā)現(xiàn)許多業(yè)務(wù)應(yīng)用沒(méi)有執(zhí)行正規(guī)的風(fēng)險(xiǎn)評(píng)估，也沒(méi)有確定其重要性和恢復(fù)時(shí)間上的要求。那么，這些暴露的銀行風(fēng)險(xiǎn)是：A)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）可能沒(méi)有與銀行各應(yīng)用被破壞的風(fēng)險(xiǎn)相對(duì)應(yīng)B)業(yè)務(wù)連續(xù)計(jì)劃（BCP）可能沒(méi)有包含所有相關(guān)應(yīng)用，因此，在范圍上不完整C)領(lǐng)導(dǎo)或許沒(méi)有正確認(rèn)識(shí)災(zāi)難對(duì)業(yè)務(wù)的影響D)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）或許缺少有效的業(yè)務(wù)所有者關(guān)系答案:A解析:[單選題]85.在為IT治理確定優(yōu)先領(lǐng)域時(shí)，應(yīng)主要考慮以下哪個(gè)因素?A)流程成熟度B)績(jī)效指標(biāo)C)業(yè)務(wù)風(fēng)險(xiǎn)D)鑒證報(bào)告答案:C解析:A.流程成熟水平會(huì)隨著IT治理計(jì)劃的實(shí)施而提高，并進(jìn)入決策流程。應(yīng)該優(yōu)先治理那些代表企業(yè)所面臨的真實(shí)風(fēng)險(xiǎn)的領(lǐng)域。B.流程的績(jī)效水平會(huì)反映計(jì)劃的有效性，但不是確定治理優(yōu)先級(jí)的方法。C.應(yīng)該優(yōu)先治理那些代表企業(yè)運(yùn)營(yíng)所面臨的已知風(fēng)險(xiǎn)的領(lǐng)域。D.審計(jì)報(bào)告會(huì)為治理實(shí)施的有效性提供鑒證，但不能決定計(jì)劃的優(yōu)先級(jí)。應(yīng)該優(yōu)先治理那些代表企業(yè)所面臨的真實(shí)風(fēng)險(xiǎn)的領(lǐng)域[單選題]86.在將軟件開(kāi)發(fā)外包給第三方時(shí)，企業(yè)在軟件托管協(xié)議中包含以下哪一項(xiàng)最重要？A)托管代理存儲(chǔ)庫(kù)將接受企業(yè)的定期審計(jì)B)托管代理存儲(chǔ)庫(kù)將受到安全保護(hù)以防止供應(yīng)商訪問(wèn)C)托管代理存儲(chǔ)庫(kù)將保存在企業(yè)自己的國(guó)家D)托管代理存儲(chǔ)庫(kù)將隨著軟件產(chǎn)品的發(fā)展而更新答案:D解析:[單選題]87.某組織正在開(kāi)發(fā)基于Web的新應(yīng)用程序來(lái)處理客戶訂單。應(yīng)實(shí)施一下哪項(xiàng)安全措施來(lái)保護(hù)此應(yīng)用程序不受黑客攻擊？A)確保在防火墻處封鎖端口80和441。B)檢查所有服務(wù)器上的文件和訪問(wèn)權(quán)限，以確保所有文件都具有只讀訪問(wèn)權(quán)限。C)執(zhí)行Web應(yīng)用程序安全審查。D)確保僅現(xiàn)有客戶的IP地址能夠通過(guò)防火墻.答案:C解析:執(zhí)行Web應(yīng)用程序安全審查發(fā)現(xiàn)可能被黑客利用的安全漏洞。選項(xiàng)A不正確,因?yàn)閃eb應(yīng)用程序必須在端口80打開(kāi)的情況下運(yùn)行，而安全超文本傳輸協(xié)議（HTTPS）只有在端口443打開(kāi)時(shí)才會(huì)起作用。選項(xiàng)B不正確的原因是，為了存放客戶訂單，必須在服務(wù)器中保存一些數(shù)據(jù)。而只讀服務(wù)器上無(wú)法存放客戶訂單。選項(xiàng)D可能適用于某些類型的Web應(yīng)用程序，但并不是最佳解決方案，因?yàn)榘凑誅的做法，新客戶只有在防火墻改變規(guī)則允許其進(jìn)行連接時(shí)才能下單。[單選題]88.如下哪一類風(fēng)險(xiǎn)是假設(shè)被檢查的方面缺乏補(bǔ)償控制:A)控制風(fēng)險(xiǎn)B)檢查風(fēng)險(xiǎn)C)固有風(fēng)險(xiǎn)D)抽樣風(fēng)險(xiǎn)答案:C解析:[單選題]89.在IS審計(jì)期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)以下哪個(gè)選項(xiàng)確定:A)關(guān)鍵和必需的信息的可用性B)審計(jì)師對(duì)環(huán)境的熟悉程度。C)受審方查找相關(guān)證據(jù)的能力。D)正在執(zhí)行的審計(jì)的目的和范圍。答案:D解析:A.在信息系統(tǒng)審計(jì)期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)審計(jì)的范圍、目的和要求決定，而不受獲取信息的容易性或IS審計(jì)師對(duì)所審計(jì)區(qū)域的熟悉程度的限制。B.IS審計(jì)師必須客觀和徹底，不因根據(jù)對(duì)所審計(jì)區(qū)域的熟悉做出先入為主的結(jié)果而遭受審計(jì)風(fēng)險(xiǎn)的影響。C.收集所有所需證據(jù)是I