CISA考試練習(xí)(習(xí)題卷29)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷29)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.員工使用便攜式介質(zhì)（MP3播放器、閃存驅(qū)動(dòng)器）時(shí)，IS審計(jì)師最應(yīng)關(guān)注以下哪項(xiàng)？A)缺少管理便攜式介質(zhì)使用的政策B)將音頻和視頻文件復(fù)制到便攜式介質(zhì)C)便攜式介質(zhì)給組織帶來的成本D)惡意代碼在整個(gè)組織中傳播答案:A解析:鑒于MP3播放器和閃存驅(qū)動(dòng)器主要關(guān)系到數(shù)據(jù)（尤其是敏感信息）的泄漏，因此IS審計(jì)師最關(guān)注的是缺少管理此類便攜式介質(zhì)使用的政策。將音頻和視頻文件復(fù)制到便攜式介質(zhì)的風(fēng)險(xiǎn)包括版權(quán)侵犯，但與沒有管理便攜式介質(zhì)使用的政策相比，這種風(fēng)險(xiǎn)并不那么重要。選項(xiàng)C幾乎不是問題，因?yàn)閱T工通常自己出資購買便攜式介質(zhì)。選項(xiàng)D是一個(gè)潛在風(fēng)險(xiǎn)，但不像缺少政策那樣重要，可通過其他控制降低此風(fēng)險(xiǎn)。[單選題]2.信息系統(tǒng)審計(jì)師使用端口掃描軟件來:A)檢測開放服務(wù)B)確保所有端口都在使用之中C)檢測入侵D)建立通訊鏈接答案:A解析:[單選題]3.SSL協(xié)議通過以下哪種方式來確保消息的機(jī)密性？A)對(duì)稱加密B)消息驗(yàn)證代碼C)哈希函數(shù)D)數(shù)字簽名認(rèn)證答案:A解析:SSL使用對(duì)稱密鑰來對(duì)消息進(jìn)行加密。消息驗(yàn)證代碼用于確保數(shù)據(jù)完整性。哈希函數(shù)用于生成消息摘要，不使用公鑰加密方法來對(duì)消息進(jìn)行加密。數(shù)字簽名認(rèn)證由SSL用于服務(wù)器驗(yàn)證。[單選題]4.有效的IT治理需要組織的架構(gòu)和流程，確保：A)該組織的戰(zhàn)略和目標(biāo)擴(kuò)充IT戰(zhàn)略B)經(jīng)營戰(zhàn)略是來自IT戰(zhàn)略C)IT治理是獨(dú)立和有別于整體的治理D)IT戰(zhàn)略支持了組織的戰(zhàn)略目標(biāo)答案:D解析:有效的IT治理需要董事會(huì)和執(zhí)行的管理層擴(kuò)大對(duì)IT的治理，并提供領(lǐng)導(dǎo)，組織架構(gòu)和流程確保該組織的IT維護(hù)并支持本組織的戰(zhàn)略和目標(biāo)，而這個(gè)戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。選項(xiàng)A.不正確，因?yàn)樗怯山M織目標(biāo)擴(kuò)展的IT戰(zhàn)略，并非相反的。IT治理不是單獨(dú)的紀(jì)律，他必須成為整個(gè)企業(yè)管理的組成部分。點(diǎn)評(píng)：戰(zhàn)略一致性是指IT與業(yè)務(wù)保持一致[單選題]5.以下哪一項(xiàng)是IS審計(jì)師應(yīng)該建議用于幫助記錄軟件發(fā)布版本基線？A)變更管理。B)備份和恢復(fù)。C)事件管理。D)配置管理。答案:D解析:配置管理過程可以包括一個(gè)用來提供自動(dòng)記錄軟件版本基線的工具。如果新版本失敗，基線將提供一個(gè)還原點(diǎn)來恢復(fù)。其他的選項(xiàng)不提供建立軟件發(fā)布版本基線處理的必要性，且與軟件發(fā)布版本基線無關(guān)。[單選題]6.某個(gè)組織已經(jīng)外包了其IT客戶服務(wù)活動(dòng)。IS審計(jì)師在審查該組織與供應(yīng)商之間的合同及相關(guān)服務(wù)等級(jí)協(xié)議(SLA)時(shí)，最應(yīng)關(guān)注的是以下哪個(gè)選項(xiàng)的規(guī)定:A)關(guān)于員工背景調(diào)查的文檔。B)獨(dú)立審計(jì)報(bào)告或完全的審計(jì)訪問權(quán)限C)報(bào)告逐年遞增的成本降低D)報(bào)告員工流失、發(fā)展或培訓(xùn)答案:B解析:A.雖然必需記錄員工背景調(diào)查已經(jīng)執(zhí)行的事實(shí)，但這只是應(yīng)有的審計(jì)條款之一B.當(dāng)部門的職能被外包時(shí)，IS審計(jì)師應(yīng)確保為涵蓋所有必要領(lǐng)域或外包方具有完全審計(jì)訪問權(quán)限的獨(dú)立審計(jì)報(bào)告制定相關(guān)條款。C.財(cái)務(wù)措施(例如逐年遞增的成本降低)在某個(gè)服務(wù)等級(jí)協(xié)議(SLA)中是可取的:但是，成本降低與獨(dú)立審計(jì)報(bào)告或完全審計(jì)訪問權(quán)限的可用性相比是次要的。D.SLA可以包括人際關(guān)系措施(如資源規(guī)劃、員工流失、發(fā)展或培訓(xùn))但是與獨(dú)立審計(jì)報(bào)告或外包組織的完全審計(jì)訪問權(quán)限的需要相比，這是次要的。[單選題]7.以下哪一線路介質(zhì)可為電信網(wǎng)絡(luò)提供最佳安全性?A)數(shù)字傳輸寬帶網(wǎng)絡(luò)B)基帶網(wǎng)絡(luò)C)撥號(hào)D)專用線路答案:D解析:A.寬帶通信的安全使用取決于該網(wǎng)絡(luò)是否與其他人共享、數(shù)據(jù)是否加密和網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)。B.基帶網(wǎng)絡(luò)是一種通常與許多其他用戶共享并要求流量加密的網(wǎng)絡(luò)，但攻擊者仍然可以進(jìn)行某些流量分析。C.撥號(hào)線路因?yàn)槭撬接羞B接，所以相當(dāng)安全，但因太慢而不會(huì)被當(dāng)今的大多數(shù)商業(yè)應(yīng)用考慮D.專用線路供特殊用戶或組織使用。由于沒有共享線路或中間進(jìn)入點(diǎn)，所以攔截或中斷電信消息的風(fēng)險(xiǎn)相對(duì)較低[單選題]8.證書頒發(fā)機(jī)構(gòu)(CA)可委任外部機(jī)構(gòu)處理的工作是A)吊銷及暫停用戶的證書B)生成及分配CA公鑰C)在申請實(shí)體及其公鑰之間建立關(guān)聯(lián)D)發(fā)布及分配用戶證書。答案:C解析:A.吊銷和暫停以及發(fā)布和分配用戶證書是用戶證書生命周期管理流程中的職能，必須由證書頒發(fā)機(jī)構(gòu)(CA)執(zhí)行。B.生成及分配CA公鑰是CA密鑰生命周期管理流程的一部分，因此無法對(duì)外授權(quán)。C.在申請實(shí)體及其公鑰之間建立關(guān)聯(lián)是注冊機(jī)構(gòu)的職能。該職能不一定要由CA履行;因此可以將該職能授權(quán)給其他機(jī)構(gòu)D.發(fā)布和分配用戶證書是用戶證書生命周期管理流程中的職能必須由CA執(zhí)行。[單選題]9.當(dāng)審核一個(gè)重點(diǎn)關(guān)注質(zhì)量的項(xiàng)目時(shí)，IS審計(jì)師應(yīng)該使用項(xiàng)目管理三角形理論(質(zhì)量-成本-時(shí)間)來解釋:A)即使資源減少,質(zhì)量目標(biāo)也能提升B)質(zhì)量目標(biāo)只能在資源減少的情況下提升C)即使資源減少,交付時(shí)間也能減少D)交付時(shí)間只能在質(zhì)量目標(biāo)下降的情況下減少答案:A解析:項(xiàng)目的三個(gè)主要維度由提交物、分配的資源和提交時(shí)間決定。這三個(gè)邊構(gòu)成的項(xiàng)目管理三角形的面積是固定的。由于角度是自由的，所以一個(gè)邊的變化可以由其他邊跟著變化來補(bǔ)償。因此，即時(shí)資源減少了，只要時(shí)間延長，質(zhì)量也可以提升；三角形面積總是固定不變的。[單選題]10.在審計(jì)某第三方IT服務(wù)提供商時(shí)，某IS審計(jì)師發(fā)現(xiàn)未按合同要求進(jìn)行訪問審查。該IS審計(jì)師應(yīng):A)向IT管理層報(bào)告該問題。B)與服務(wù)提供商討論該問題。C)執(zhí)行風(fēng)險(xiǎn)評(píng)估。D)執(zhí)行訪問審查。答案:A解析:A.在審計(jì)過程中，若存在值得關(guān)注的重大問題，應(yīng)立即報(bào)告。B.IS審計(jì)師可以和服務(wù)提供商進(jìn)行討論以澄清問題;但正確的答案是向IT管理層報(bào)告問題。C.此問題可以作為日后風(fēng)險(xiǎn)評(píng)估的一個(gè)信息來源，但無論IS是否認(rèn)為存在顯著風(fēng)險(xiǎn)，均應(yīng)向管理層報(bào)告違規(guī)問題。D.IS審計(jì)師不得代表第三方IT服務(wù)提供商執(zhí)行訪問審查?？芍匦聢?zhí)行控制，以確定缺乏審查導(dǎo)致的任何實(shí)際違規(guī)行為。[單選題]11.有效的IT治理將確保IT計(jì)劃與組織的什么相一致？A)商業(yè)計(jì)劃B)審計(jì)計(jì)劃C)安全計(jì)劃D)投資計(jì)劃答案:A解析:為了有效地IT治理，IT和業(yè)務(wù)應(yīng)朝同一方向進(jìn)行，要求的IT計(jì)劃與組織的業(yè)務(wù)計(jì)劃相一致。審計(jì)和投資計(jì)劃不是IT計(jì)劃的一部分，而安全計(jì)劃應(yīng)在同一層面。點(diǎn)評(píng)：IT計(jì)劃與業(yè)務(wù)保持一致[單選題]12.下列哪一個(gè)網(wǎng)絡(luò)部件安裝，主要作為一個(gè)措施來阻止不同網(wǎng)段間的未授權(quán)訪問？A)防火墻B)路由器C)二層交換機(jī)D)虛擬局域網(wǎng)答案:A解析:加固一個(gè)系統(tǒng)的方式是以最安全的方式配置它（安裝最新的安全補(bǔ)丁，恰當(dāng)定義用戶和管理員的訪問授權(quán)，取消不安全的選項(xiàng)和不安裝不用的服務(wù)），來組織未授權(quán)用戶獲得執(zhí)行特權(quán)指令，并以此方式控制整個(gè)機(jī)器，損害操作系統(tǒng)的完整。將服務(wù)器放在安全的位置和設(shè)置啟動(dòng)密碼是好的措施，但并不能確保用戶設(shè)法利用邏輯漏洞和損害操作系統(tǒng)。在這種情況下，活動(dòng)日志只有兩個(gè)弱點(diǎn)，它是偵測性控制（不是預(yù)防性控制），并且，攻擊者已經(jīng)獲得訪問權(quán)，能夠修改日志或使他們無效。點(diǎn)評(píng)：防火墻的概念[單選題]13.局域網(wǎng)(LAN)管理員通常不應(yīng)承擔(dān)以下哪項(xiàng)責(zé)任:A)承擔(dān)最終用戶責(zé)任。B)向最終用戶經(jīng)理報(bào)告工作C)承擔(dān)編程責(zé)任。D)負(fù)責(zé)LAN安全管理。答案:C解析:A.雖然不是理想情況，但局域網(wǎng)(LAN)管理員可承擔(dān)最終用戶責(zé)任。B.LAN管理員可以向信息處理場所(IPF)總監(jiān)報(bào)告，或在分散運(yùn)營的模式下向最終用戶經(jīng)理報(bào)告C.LAN管理員不應(yīng)承擔(dān)編程責(zé)任，因?yàn)檫@樣意味著允許修改生產(chǎn)程序，而沒有正確的職責(zé)分離，但局域網(wǎng)(LAN)管理員可承擔(dān)最終用戶責(zé)任。D.在小型組織中，LAN管理員還可能會(huì)負(fù)責(zé)LAN的安全管理。[單選題]14.IT審計(jì)師對(duì)無線網(wǎng)絡(luò)進(jìn)行評(píng)估，在所有無線訪問點(diǎn)都關(guān)閉了自動(dòng)尋址協(xié)議。這個(gè)實(shí)踐解析：A)降低未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的風(fēng)險(xiǎn)B)對(duì)小型網(wǎng)絡(luò)不適用C)能自動(dòng)防止IP地址被其他人使用D)增加了無線網(wǎng)封裝協(xié)議的風(fēng)險(xiǎn)答案:A解析:自動(dòng)尋址協(xié)議自動(dòng)分配IP地址給任何一個(gè)連接網(wǎng)絡(luò)的人員。關(guān)閉D、HC、P，靜態(tài)IP地址須被使用以降低潛在的未經(jīng)授權(quán)的設(shè)施對(duì)網(wǎng)絡(luò)中存在設(shè)施的地址爭奪。選項(xiàng)B、是不正確的，因?yàn)镈、HC、P不適用于一個(gè)小型網(wǎng)絡(luò)。選項(xiàng)C、是不正確的，因?yàn)镈、HC、P關(guān)閉時(shí)不能提供IP地址。選項(xiàng)D、是不正確的，因?yàn)殛P(guān)閉D、HC、P，增加了在WEP中使用眾所周知弱點(diǎn)的難度。[單選題]15.在對(duì)一個(gè)小型銀行的合規(guī)審計(jì)中，IS審計(jì)師發(fā)現(xiàn)-IT職能和會(huì)計(jì)功能是由財(cái)務(wù)系統(tǒng)的同一個(gè)用戶來執(zhí)行的。監(jiān)管人員實(shí)施的下面哪一項(xiàng)審查代表著最佳的補(bǔ)償性控制？A)顯示交易日期和時(shí)間的審計(jì)軌跡B)含有每筆交易的總數(shù)量和總金額的每日總報(bào)表C)用戶賬戶管理D)顯示財(cái)務(wù)系統(tǒng)中每一筆交易的計(jì)算機(jī)日志文件答案:D解析:每個(gè)用戶在訪問計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)文件的時(shí)候，計(jì)算機(jī)日志將記錄他們的活動(dòng)，而且會(huì)記錄所有異常的活動(dòng)，比如編輯或者刪除財(cái)務(wù)數(shù)據(jù)。僅僅記錄交易日期和時(shí)間的審計(jì)軌跡，不足以補(bǔ)償被同一用戶執(zhí)行的多種職能之后的風(fēng)險(xiǎn)。審核財(cái)務(wù)的摘要報(bào)告不能補(bǔ)償職責(zé)分離的義。監(jiān)管者對(duì)用戶賬戶管理進(jìn)行審查是一個(gè)好的控制，然而，它可能無法發(fā)現(xiàn)不當(dāng)活動(dòng)。點(diǎn)評(píng)：找最詳細(xì)的日志記錄[單選題]16.實(shí)施安全政策時(shí),落實(shí)責(zé)任控制是很重要的一方面,在控制系統(tǒng)用戶的責(zé)任時(shí)下面哪一種情況有效性是最弱的?A)審計(jì)要求B)口令C)識(shí)別控制D)驗(yàn)證控制答案:B解析:[單選題]17.在審查公司的信息安全政策時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該驗(yàn)證定義安全政策的主要基準(zhǔn)是:A)信息安全框架B)過去的信息安全事故C)風(fēng)險(xiǎn)管理流程D)行業(yè)最佳實(shí)踐答案:A解析:[單選題]18.災(zāi)難恢復(fù)后的計(jì)劃部署后，組織的災(zāi)難前和災(zāi)難后的成本將：A)減少B)維持不變C)增加D)增加或減少，由業(yè)務(wù)性質(zhì)而定答案:C解析:所有活動(dòng)都有成本，災(zāi)難恢復(fù)計(jì)劃DRP也不例外。災(zāi)難恢復(fù)計(jì)劃DRP肯定有成本，但是部署DRP的話會(huì)導(dǎo)致未知的成本發(fā)生。[單選題]19.制定基于風(fēng)險(xiǎn)的審計(jì)戰(zhàn)略時(shí)，IS審計(jì)師應(yīng)該風(fēng)險(xiǎn)評(píng)估，以確定：A)已經(jīng)存在減免風(fēng)險(xiǎn)的控制B)找到了弱點(diǎn)和威脅C)已經(jīng)考慮到了審計(jì)風(fēng)險(xiǎn)D)實(shí)施差異分析是恰當(dāng)?shù)拇鸢?A解析:基于風(fēng)險(xiǎn)的審計(jì)戰(zhàn)略，風(fēng)險(xiǎn)和脆弱性被發(fā)現(xiàn)很關(guān)鍵。這將會(huì)決定審計(jì)領(lǐng)域和覆蓋范圍。審計(jì)的目的是使用適當(dāng)?shù)目刂苼頊p少風(fēng)險(xiǎn)。是否適當(dāng)?shù)目刂票匦璧逆?zhèn)靜危險(xiǎn)是在地方中是稽核的合量效果。審計(jì)風(fēng)險(xiǎn)是固有審計(jì)方面的風(fēng)險(xiǎn),直接關(guān)系到審計(jì)程序，與審計(jì)環(huán)境風(fēng)險(xiǎn)分析無關(guān)。差異分析是比較當(dāng)前狀態(tài)和期望狀態(tài)的差異。[單選題]20.下面哪項(xiàng)將會(huì)幫助檢測到入侵者在服務(wù)器系統(tǒng)日志里做過改動(dòng):A)在另外一臺(tái)服務(wù)器上鏡像系統(tǒng)系統(tǒng)日志B)在不可重復(fù)擦寫磁盤里實(shí)時(shí)復(fù)制系統(tǒng)日志C)對(duì)包含系統(tǒng)日志的目錄寫保護(hù)D)離岸備份系統(tǒng)日志答案:B解析:不可重復(fù)擦寫磁盤不能夠被改寫，因此，系統(tǒng)日志備份在磁盤上能夠同原始的日志進(jìn)行比較而檢測出不同，從而認(rèn)定是入侵者進(jìn)行改動(dòng)的結(jié)果。寫保護(hù)系統(tǒng)日志不能夠防止刪除和修改，因?yàn)槌?jí)用戶能夠繞過寫保護(hù)。備份和鏡像會(huì)覆蓋較早的文件而不是當(dāng)前的。[單選題]21.如果恢復(fù)時(shí)間目標(biāo)增加，則:A)災(zāi)難容忍度增加B)恢復(fù)成本增加C)不能使用冷備援計(jì)算機(jī)中心D)數(shù)據(jù)備份頻率增加答案:A解析:恢復(fù)時(shí)間目標(biāo)（RTO）越長，災(zāi)難的容忍度就越高，恢復(fù)成本就越低。它不能得出這樣的結(jié)論：不能使用冷備援計(jì)算機(jī)中心，或數(shù)據(jù)備份頻率增加。[單選題]22.信息系統(tǒng)審計(jì)師在評(píng)估邏輯訪問控制時(shí)，應(yīng)該首先做什么？A)把應(yīng)用在潛在訪問路徑上的控制項(xiàng)記錄下來B)在訪問路徑上測試控制來檢測是否他們具功能化C)按照寫明的策略和實(shí)踐評(píng)估安全環(huán)境D)對(duì)信息流程的安全風(fēng)險(xiǎn)進(jìn)行了解答案:A解析:在評(píng)估邏輯訪問控制時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該首先通過瀏覽相關(guān)文檔，通過調(diào)查，通過風(fēng)險(xiǎn)評(píng)估，對(duì)信息流程的安全風(fēng)險(xiǎn)進(jìn)行了解，在評(píng)估有足夠效率和效力的情況下，記錄和評(píng)估是第二步，從而鑒別不足或者是多余控制。第三步是測試訪問途經(jīng)-為了檢測控制是否實(shí)現(xiàn)其功能，最后，信息系統(tǒng)審計(jì)師通過檢查政策、觀察實(shí)踐并與適當(dāng)?shù)陌踩罴褜?shí)踐的對(duì)比等方式評(píng)估安全環(huán)境會(huì)來評(píng)定它的合適性。[單選題]23.某外部IS審計(jì)師發(fā)現(xiàn)審計(jì)范圍內(nèi)的系統(tǒng)是由某個(gè)同事實(shí)施的。在這種情況下，IS審計(jì)管理人員應(yīng)A)讓這位IS審計(jì)師退出審計(jì)項(xiàng)目。B)取消審計(jì)項(xiàng)目。C)向客戶披露這一問題。D)采取措施恢復(fù)這位IS審計(jì)師的獨(dú)立性。答案:C解析:A.除非像在某些國家那樣存在法規(guī)限制，否則沒必要讓IS審計(jì)師退出審計(jì)項(xiàng)目。B.如果經(jīng)過適當(dāng)披露且被接受，則不需取消審計(jì)項(xiàng)目。C.如果IS審計(jì)師在其獨(dú)立性受到損害的情況下繼續(xù)參與審計(jì)，應(yīng)在報(bào)告中并向相關(guān)的管理人員披露與IS審計(jì)師的獨(dú)立性問題有關(guān)的事實(shí)D.這不是一個(gè)可行的解決方案。在IS審計(jì)師繼續(xù)參與審計(jì)的情況下，其獨(dú)立性無法恢復(fù)[單選題]24.以下哪項(xiàng)可以幫助IS審計(jì)師評(píng)估已開發(fā)并實(shí)施的新軟件的質(zhì)量?A)報(bào)告故障的平均間隔時(shí)間B)修復(fù)故障的總體平均時(shí)間C)首次報(bào)告的故障平均間隔時(shí)間D)修復(fù)故障的總體響應(yīng)時(shí)間答案:C解析:A.報(bào)告重復(fù)性故障的平均間隔時(shí)間反映了在修復(fù)首次報(bào)告的故障方面效率低下，并反映了響應(yīng)團(tuán)隊(duì)或客戶服務(wù)部門團(tuán)隊(duì)在處理報(bào)告問題時(shí)的情況。B.平均修復(fù)時(shí)間反映了響應(yīng)團(tuán)隊(duì)或客戶服務(wù)部門團(tuán)隊(duì)在處理報(bào)告問題時(shí)的情況。C.首次報(bào)告的故障平均間隔時(shí)間反映了生產(chǎn)環(huán)境中用戶報(bào)告的軟件缺陷。此信息可幫助IS審計(jì)師評(píng)估已開發(fā)并實(shí)施的軟件的質(zhì)量。D.響應(yīng)時(shí)間反映了響應(yīng)團(tuán)隊(duì)或客戶服務(wù)部門團(tuán)隊(duì)在處理報(bào)告問題已開發(fā)并實(shí)施的靈活性。[單選題]25.在信息系統(tǒng)審計(jì)中，信息信息系統(tǒng)審計(jì)員發(fā)現(xiàn)企業(yè)總部使用了一個(gè)無線網(wǎng)絡(luò)。什么是審計(jì)人員首要應(yīng)該檢查的事情？A)建筑外信號(hào)的強(qiáng)度B)配置設(shè)置或參數(shù)設(shè)置C)連接的客戶數(shù)量D)IP地址分配機(jī)制答案:B解析:信息系統(tǒng)審計(jì)師應(yīng)首先檢查當(dāng)前的網(wǎng)絡(luò)布局和連接的配置，決定是否滿足安全需求。如果進(jìn)行了適當(dāng)?shù)募用芎桶踩O(shè)置，建筑外信號(hào)強(qiáng)度將不用被關(guān)注。從安全角度看，連接的客戶數(shù)量不是被主要關(guān)注的。IP地址分配機(jī)制不是一個(gè)安全風(fēng)險(xiǎn)。[單選題]26.當(dāng)企業(yè)完成所有關(guān)鍵業(yè)務(wù)的業(yè)務(wù)流程重建(BPR)後，信息系統(tǒng)審計(jì)師最可能關(guān)注以下哪一項(xiàng)的審核？A)業(yè)務(wù)流程重建前有關(guān)的業(yè)務(wù)流程圖B)業(yè)務(wù)流程重建後有關(guān)的業(yè)務(wù)流程圖C)業(yè)務(wù)流程重建項(xiàng)目計(jì)劃D)持續(xù)改進(jìn)和監(jiān)控計(jì)劃答案:A解析:信息審計(jì)師的職責(zé)是識(shí)別和保證關(guān)鍵的控制都已經(jīng)加入到重建的流程中。選A不正確，因?yàn)樾畔徲?jì)師必須審核的是流程現(xiàn)在的情況而不是過去的狀態(tài)。選C或D不正確，因?yàn)樗鼈兪菢I(yè)務(wù)流程重建的一個(gè)步驟。[單選題]27.當(dāng)把質(zhì)量控制作為檢查一個(gè)項(xiàng)目的重要關(guān)注點(diǎn)時(shí)，IS審計(jì)師應(yīng)該使用項(xiàng)目管理三角形理論（質(zhì)量-成本-時(shí)間）來解釋：A)即使資源減少，質(zhì)量控制目標(biāo)也能提升B)質(zhì)量控制目標(biāo)只能在資源增加的情況下提升C)即使資源減少，也能加快成果交付D)加快成果交付只能在降低質(zhì)量控制要求的情況下才能事件答案:A解析:項(xiàng)目的交付由三個(gè)主要方面來確定，所分配的資源和交付時(shí)間。三角形的面積由三邊組成，面積是固定的。改變一條邊長，可能是通過改變另一邊或兩邊來補(bǔ)償。因此，如果資源分配減少，如果在延長交付時(shí)間的情況下，提高質(zhì)量是可以實(shí)現(xiàn)的，三角形的面積始終保持不變。點(diǎn)評(píng)：項(xiàng)目三要素：成本、工期、交付物[單選題]28.以下哪項(xiàng)可衡量生物識(shí)別系統(tǒng)的準(zhǔn)確性：A)系統(tǒng)響應(yīng)時(shí)間。B)注冊時(shí)間。C)輸入文件大小。D)誤接受率（FAR）。答案:D解析:共有三種主要的準(zhǔn)確性衡量手段可用于生物識(shí)別解決方案：誤拒絕率（FRR）、交叉錯(cuò)誤率（CER）和FAR。FAR用于衡量接受有效用戶的次數(shù)。FAR用于衡量接受無效員工的次數(shù)。CER用于衡量誤拒絕率等于誤接受率的次數(shù)。選項(xiàng)A和B是績效測量。[單選題]29.下面的哪一項(xiàng)在賦予供應(yīng)商臨時(shí)訪問權(quán)限時(shí)，最有效的控制？A)供應(yīng)商訪問符合服務(wù)水平協(xié)議（ＳＬA）B)用戶帳戶創(chuàng)建的截止日期是根據(jù)所提供的服務(wù)的日期。C)管理員權(quán)限提供了一個(gè)有限的期限D(zhuǎn))當(dāng)工作完成時(shí)，用戶ID、被刪除答案:A解析:最有效的控制是確保臨時(shí)訪問基于提供的服務(wù)，和關(guān)于每個(gè)ＩD（希望是自動(dòng)的）的截至日期。服務(wù)水平協(xié)議擁有對(duì)于提供的訪問的機(jī)遇，但是不是控制；它僅僅定義了訪問的要求。供應(yīng)商要求的訪問在服務(wù)的時(shí)間是有限制的。然而，確保訪問在期間被監(jiān)控是非常重要的。在工作完成后刪除用戶ＩD是必須的，但是如果不是自動(dòng)的，刪除可能被忽略。[單選題]30.一個(gè)組織的IT主管已批準(zhǔn)為一個(gè)顧問小組在會(huì)議室通過他們自己的筆記本接入互聯(lián)網(wǎng)而安裝一個(gè)無線局域網(wǎng)（WLAN）。防止未經(jīng)授權(quán)的訪問公司服務(wù)器的最好的控制措施是確保：A)接入點(diǎn)上的加密已啟用；B)會(huì)議室網(wǎng)絡(luò)是建立在一個(gè)分開的虛擬局域網(wǎng)（VLAN）上；C)在顧問小組的筆記本電腦上應(yīng)用了防病毒簽名和最新補(bǔ)丁版本；D)禁止了默認(rèn)的用戶ID并且在公司服務(wù)器上設(shè)置了強(qiáng)力的密碼。答案:B解析:無線網(wǎng)絡(luò)設(shè)備的安裝給企業(yè)的服務(wù)器帶來授權(quán)用戶的未經(jīng)授權(quán)的用戶兩方面的風(fēng)險(xiǎn)。啟用加密在防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問量是一個(gè)好主意，但可能會(huì)造成顧問小組無法訪問網(wǎng)絡(luò)。一個(gè)單獨(dú)的VLAN是最好的解決方案，因?yàn)樗_保授權(quán)用戶的因特網(wǎng)訪問的同時(shí)又阻止了授權(quán)和未經(jīng)授權(quán)的用戶通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫服務(wù)器。防病毒簽名和補(bǔ)丁水平是良好做法，但不象按照企業(yè)服務(wù)器訪問控制要求阻止網(wǎng)絡(luò)訪問那樣關(guān)鍵。選項(xiàng)C和D是重要的，但不是最重要的。[單選題]31.以下哪種生物識(shí)別控制系統(tǒng)最有效？A)相等錯(cuò)誤率(EER)最高。B)EER最低。C)誤拒絕率(FRR)等于誤接受率(FAR)D)FRR等于拒登率(FER)。答案:B解析:生物識(shí)別系統(tǒng)的EER表示FAR等于FRR的情況所占的百分比。EER最低的生物識(shí)別系統(tǒng)最有效.EER最高的生物識(shí)別系統(tǒng)最無效。對(duì)于任何生物識(shí)別系統(tǒng)來說，都存在一種量度標(biāo)準(zhǔn)為FRR等于FAR的情況，這就是EER。FER是FRR的綜合衡量。[單選題]32.下面哪一種小程序（Applet）入侵類型會(huì)使組織面臨系統(tǒng)運(yùn)行中斷的最大威脅？A)在客戶機(jī)上放置病毒程序B)能記錄用戶擊鍵行為，收集口令的小程序C)從網(wǎng)下載的能讀硬盤文件的代碼D)可以從客機(jī)建立網(wǎng)路連接的小程序答案:D解析:[單選題]33.在審質(zhì)量管理系統(tǒng)(QMS)時(shí)，IS審計(jì)師應(yīng)當(dāng)主要注重收集證據(jù)，以表明:A)質(zhì)量管理系統(tǒng)(QMS)遵循良好實(shí)踐。B)正在監(jiān)測持續(xù)改進(jìn)目標(biāo)。C)每年更新IT標(biāo)準(zhǔn)操作程序。D)定義了關(guān)鍵績效指標(biāo)(KPI)答案:B解析:A.良好實(shí)踐通常根據(jù)業(yè)務(wù)求采納，因此逆循良好實(shí)踐不一定是業(yè)務(wù)要求。B.對(duì)質(zhì)量管理系統(tǒng)(QMS)而言，持續(xù)和可測量的質(zhì)量改進(jìn)是實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的主要要求。C.更新操作程序是實(shí)施QMS的一部分;但它必須是變更管理的一部分，而不是年度活動(dòng)。D.關(guān)鍵績效指標(biāo)(KPI)可在QMS中定義，但若不加以監(jiān)測，則它們沒有多大價(jià)值。[單選題]34.以下哪種情況會(huì)增加欺詐行為的可能性?A)應(yīng)用程序開發(fā)人員正在執(zhí)行對(duì)生產(chǎn)程序的變更。B)管理員正在對(duì)供應(yīng)商提供的軟件實(shí)施供應(yīng)商補(bǔ)丁，但沒有遵守變更控制流程。C)操作支持人員正在執(zhí)行對(duì)批量計(jì)劃的變更D)數(shù)據(jù)庫管理員正在執(zhí)行對(duì)數(shù)據(jù)結(jié)構(gòu)的變更。答案:A解析:A.生產(chǎn)程序用于處理企業(yè)的數(shù)據(jù)。對(duì)生產(chǎn)程序變更的控制必須十分嚴(yán)格。缺乏此方面的控制會(huì)導(dǎo)致應(yīng)用程序被修改，進(jìn)而使數(shù)據(jù)遭到算改。B.缺少變更控制是一種重大風(fēng)險(xiǎn)一但如果變更的只是對(duì)供應(yīng)商軟件安裝供應(yīng)商提供的補(bǔ)丁，則風(fēng)險(xiǎn)很小。C.操作支持人員對(duì)批量計(jì)劃執(zhí)行的變更只會(huì)影響批量的安排，除非工作運(yùn)行順序錯(cuò)誤，否則不會(huì)影響實(shí)時(shí)數(shù)據(jù)。D.數(shù)據(jù)庫管理員需要對(duì)數(shù)據(jù)結(jié)構(gòu)執(zhí)行變更。這是重組數(shù)據(jù)庫所需的操作，以便添加、修改或刪除數(shù)據(jù)庫中的字段或表格。[單選題]35.以下哪一項(xiàng)是識(shí)別敏感信息遭到惡意內(nèi)部人員滲透的最有效方式?A)實(shí)施數(shù)據(jù)丟失防護(hù)(DLP)軟件B)審查周界防火墻日志C)建立行為分析監(jiān)控D)提供持續(xù)的信息安全意識(shí)培訓(xùn)答案:C解析:[單選題]36.通常要在系統(tǒng)開發(fā)中的以下哪個(gè)階段做好用戶驗(yàn)收測試計(jì)劃的準(zhǔn)備?A)可行性分析B)需求定義C)計(jì)劃實(shí)施D)實(shí)施后審查答案:B解析:A.可行性分析對(duì)于如此深入的用戶參與為時(shí)太早。B.在需求定義階段，項(xiàng)目團(tuán)隊(duì)將與用戶合作，一起定義其確切的目標(biāo)及功能需求。此時(shí)，用戶應(yīng)與團(tuán)隊(duì)共同考慮并記錄測試系統(tǒng)功能的方式，以確保其能夠滿足用戶指定的需求，IS審計(jì)師需了解應(yīng)在何時(shí)計(jì)劃用戶測試，方可確保其效率和效能。C.實(shí)施計(jì)劃階段是進(jìn)行測試之時(shí)。此時(shí)在流程中制定測試計(jì)劃太晚。D.用戶驗(yàn)收測試應(yīng)在實(shí)施前完成。[單選題]37.由于資源有限，企業(yè)的兩名開發(fā)人員還為生產(chǎn)維護(hù)和變更實(shí)施提供支持。以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師解決職責(zé)分離沖突的最佳建議？A)實(shí)施變更控制流程B)接受風(fēng)險(xiǎn)C)雇用額外的員工D)外包變更實(shí)施工作答案:A解析:[單選題]38.建立一個(gè)信息安全體系的最初步驟是：A)開發(fā)和實(shí)施信息安全標(biāo)準(zhǔn)手冊B)由信息安全審計(jì)師實(shí)施的全面的安全控制評(píng)審C)企業(yè)信息安全策略聲明D)購買安全訪問控制軟件答案:C解析:一個(gè)策略聲明，反映了目的和執(zhí)行適當(dāng)?shù)陌踩芾硭峁┑闹С?，并建立了發(fā)展安全計(jì)劃的出發(fā)點(diǎn)。點(diǎn)評(píng)：先要明確組織的信息安全方針和責(zé)任擔(dān)當(dāng)[單選題]39.IT治理的責(zé)任在于:A)IT戰(zhàn)略委員會(huì)。B)首席信息官(CIO)。C)審計(jì)委員會(huì)。D)董事會(huì)答案:D解析:A.IT戰(zhàn)略委員會(huì)對(duì)于成功實(shí)施企業(yè)內(nèi)部IT治理起著重要作用，但最終責(zé)任在于董事會(huì)。B.首席信息官(CIO)對(duì)于成功實(shí)施企業(yè)內(nèi)部IT治理起著重要作用，但最終責(zé)任在于董事會(huì)C.審計(jì)委員會(huì)對(duì)于監(jiān)督企業(yè)內(nèi)部IT治理的成功實(shí)施起著重要作用，但最終責(zé)任在于董事會(huì)D.公司治理是指事會(huì)和執(zhí)行管理層肩負(fù)的一系列責(zé)任和實(shí)踐，旨在指明戰(zhàn)略方向，確保實(shí)現(xiàn)目標(biāo)，確定妥善管理風(fēng)險(xiǎn)以及驗(yàn)證企業(yè)的資源是否被合理使用。[單選題]40.下面哪一項(xiàng)是確定在生產(chǎn)環(huán)境下各個(gè)應(yīng)用系統(tǒng)的危險(xiǎn)程度的最好方法？A)和應(yīng)用程序員面談B)實(shí)施差異分析C)復(fù)核最近的應(yīng)用程序?qū)徲?jì)文檔D)實(shí)施商業(yè)影響分析答案:A解析:一個(gè)商業(yè)影響分析將給出每個(gè)應(yīng)用系統(tǒng)的影響。和應(yīng)用程序員面談會(huì)提供有限的和系統(tǒng)危險(xiǎn)程度有關(guān)的信息。差異分析僅僅是和系統(tǒng)開發(fā)、項(xiàng)目管理有關(guān)。審計(jì)文檔不能提供想要的信息，或者不能提供最近活動(dòng)的信息。[單選題]41.以下哪個(gè)選項(xiàng)能夠最佳地支持新IT項(xiàng)目的優(yōu)先性A)內(nèi)部控制自我評(píng)估(CSA)B)信息系統(tǒng)審計(jì)C)投資組合分析D)業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估答案:C解析:A.內(nèi)部控制自我評(píng)估(CSA)可以強(qiáng)調(diào)違反當(dāng)前政策之處，但未必是用于推動(dòng)IT項(xiàng)目優(yōu)先化的最佳方法B.與內(nèi)部CSA相似，IS審計(jì)很大程度上是一種檢測性控制，僅能實(shí)現(xiàn)IT項(xiàng)目優(yōu)先化進(jìn)程的一部分。C.最可取的方法是進(jìn)行投資組合分析，該分析不僅清楚地顯示投資戰(zhàn)略的關(guān)注點(diǎn)，并且還將為終止不良IT項(xiàng)目提供論據(jù)。D.業(yè)務(wù)風(fēng)險(xiǎn)分析是投資組合分析中的一部分，但是，其本身并非是確定IT項(xiàng)目優(yōu)先順序的最佳方法。[單選題]42.IS計(jì)師可以通過審查以下哪項(xiàng)來驗(yàn)證組織業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的有效性A)BCP是否與行業(yè)良好實(shí)踐相一致。B)由IS和最終用戶員工執(zhí)行的業(yè)務(wù)連續(xù)性測試的結(jié)果。C)異地設(shè)施及其內(nèi)容、安全性和環(huán)境控制。D)BCP活動(dòng)的年度財(cái)務(wù)成本與計(jì)劃實(shí)施的預(yù)期收益的對(duì)比。答案:B解析:A.業(yè)務(wù)連續(xù)性計(jì)劃(BCP)與行業(yè)良好實(shí)踐相一致不能保證BCP的有效性。B.評(píng)估BCP有效性的最佳方法是審查以往的業(yè)務(wù)連續(xù)性測試結(jié)果，以了解實(shí)現(xiàn)測試所指定目標(biāo)的完全性和準(zhǔn)確性。C.異地設(shè)施及其內(nèi)容、安全性和環(huán)境控制不能保證BCP的有效性。只有測試才能準(zhǔn)確評(píng)估BCP的有效性。D.BCP活動(dòng)的年度財(cái)務(wù)成本與計(jì)劃實(shí)施的預(yù)期收益的對(duì)比不能保證BCP的有效性。只有測試才能準(zhǔn)確評(píng)估BCP的有效性。[單選題]43.在組織內(nèi)實(shí)施IT治理框架時(shí)，最重要的目標(biāo)是A)IT與業(yè)務(wù)目標(biāo)相一致B)可說明性C)IT價(jià)值實(shí)現(xiàn)D)增加IT投資回報(bào)答案:A解析:IT治理的目標(biāo)是增強(qiáng)IT執(zhí)行力,給予最適宜的商業(yè)價(jià)值和保證調(diào)整與業(yè)務(wù)的一致、最重要的目標(biāo)是IT與業(yè)務(wù)目標(biāo)相一致(選擇A、)、其他選項(xiàng)是指業(yè)務(wù)實(shí)踐和策略、[單選題]44.在審査業(yè)務(wù)持續(xù)計(jì)劃(BCP)時(shí)，IS審計(jì)師應(yīng)最關(guān)注以下哪一項(xiàng)?A)災(zāi)難級(jí)別的確定以受損職能的涉及范圍為基礎(chǔ)，而不以持續(xù)時(shí)間為基礎(chǔ)。B)低級(jí)別災(zāi)難和軟件事故之間的區(qū)別不明確。C)雖然記錄了整體BCP，但并沒有具體說明詳細(xì)的恢復(fù)步驟。D)沒有確定由誰負(fù)責(zé)宣布災(zāi)難的發(fā)生。答案:D解析:A.災(zāi)難級(jí)別的確定以受損職能的涉及范圍為基礎(chǔ)，而不以持續(xù)時(shí)間為基礎(chǔ)。B.事故和低級(jí)別災(zāi)難之間的區(qū)別始終是不明確的，而且這一區(qū)別通常由糾正損害所需的時(shí)間決定。C.缺少詳細(xì)步驟這一情況應(yīng)當(dāng)存檔記錄，但是如果實(shí)際上有人啟動(dòng)了BCP，缺少詳細(xì)步驟這一情況并不意味著缺少恢復(fù)。D.如果沒有人宣布災(zāi)難的發(fā)生，BCP就不會(huì)啟動(dòng)，這比其他問題都更嚴(yán)重。[單選題]45.功能性在軟件生命周期是來評(píng)估軟件產(chǎn)品的一個(gè)特點(diǎn)，最好的描述在于：A)已有的功能性清單和它們得具體內(nèi)容B)軟件從一個(gè)環(huán)境轉(zhuǎn)移到另外一個(gè)環(huán)境的能力C)軟件在聲明條件下保持性能等級(jí)的能力D)軟件的性能和大量使用資源之間的關(guān)系答案:A解析:功能性是基于現(xiàn)有功能屬性和他們的特定屬性的屬性設(shè)置。功能性是安全說明或隱含的需求。選項(xiàng)B提供了可移植性，選項(xiàng)C提供了可靠性，選項(xiàng)D提供有效性。點(diǎn)評(píng)：軟件功能性的概念[單選題]46.完成審查某個(gè)組織的災(zāi)難恢復(fù)計(jì)劃(DRP)流程后，IS審計(jì)師請求與公司管理層開會(huì)討論審查結(jié)果。以下哪項(xiàng)最能描述此次會(huì)議的主要目標(biāo)?A)獲得管理層對(duì)糾正措施計(jì)劃的批準(zhǔn)B)確認(rèn)審查結(jié)果的事實(shí)準(zhǔn)確性C)協(xié)助管理層實(shí)施糾正措施D)確定項(xiàng)目解決方案的優(yōu)先級(jí)答案:B解析:A.無需管理層批準(zhǔn)糾正措施計(jì)劃。管理層可以選擇實(shí)施其他糾正措施計(jì)劃來應(yīng)對(duì)風(fēng)險(xiǎn)。B.會(huì)議的目標(biāo)是確認(rèn)審計(jì)發(fā)現(xiàn)的事實(shí)準(zhǔn)確性，并為管理層提供機(jī)會(huì)，就糾正措施的建議達(dá)成認(rèn)同或做出回應(yīng)。C.糾正措施的實(shí)施應(yīng)該在確定審計(jì)結(jié)果的事實(shí)準(zhǔn)確性后進(jìn)行，但實(shí)施工作通常不會(huì)分配給IS審計(jì)師，因?yàn)檫@會(huì)損害審計(jì)師的獨(dú)立性D.對(duì)審計(jì)結(jié)果進(jìn)行排序可以向管理層提供首先為高風(fēng)險(xiǎn)問題分配資源的指導(dǎo)。[單選題]47.在服務(wù)器觀察到可疑的活動(dòng)之后，管理層要求法庭分析。下面哪一個(gè)發(fā)現(xiàn)是與調(diào)查最相關(guān)的？A)服務(wù)器是工作組的成員和不是服務(wù)其域的一部分B)服務(wù)器上的GＵEＳＴ賬戶可用C)近來，在服務(wù)器上創(chuàng)建的１００個(gè)用戶D)服務(wù)器上審計(jì)日志不可用答案:A解析:審計(jì)日志能提供證據(jù)，證明這是需要進(jìn)行調(diào)查，不應(yīng)該被禁用。為了業(yè)務(wù)需求，服務(wù)器可以是一個(gè)工作組的成員，因此，不是一個(gè)關(guān)注的問題。有g(shù)uest帳戶上啟用的系統(tǒng)是一個(gè)較差的安全實(shí)踐，而不是法庭調(diào)查關(guān)注的問題。在該服務(wù)器最近創(chuàng)建100名用戶可能被要求以滿足業(yè)務(wù)需要和不應(yīng)該成為關(guān)注的問題。[單選題]48.如果恢復(fù)時(shí)間目標(biāo)（RTO）的上升會(huì)導(dǎo)致以下那個(gè)結(jié)果？A)災(zāi)難承受力上升B)恢復(fù)成本增加C)冷站無法使用D)數(shù)據(jù)備份的頻率增加答案:A解析:RTO的時(shí)間越長，災(zāi)難承受力越高和恢復(fù)成本越低。不能推斷出冷站是合適的或數(shù)據(jù)備份頻率會(huì)增加。[單選題]49.綜合測試工具被認(rèn)為是有用的審計(jì)工具因?yàn)椋篈)它是評(píng)估應(yīng)用控制的有效工具B)它使得財(cái)務(wù)部和信息系統(tǒng)審計(jì)員集成他們的審計(jì)測試C)它可以進(jìn)行處理結(jié)果與獨(dú)立計(jì)算數(shù)據(jù)的對(duì)比D)他提供給信息系統(tǒng)審計(jì)員一個(gè)分析大量信息的工具答案:C解析:綜合測試工具被認(rèn)為是有用的審計(jì)工具因?yàn)槭褂锚?dú)立計(jì)算數(shù)據(jù)比較處理用同一程序。這使得設(shè)置應(yīng)用系統(tǒng)和處理測試或生產(chǎn)數(shù)據(jù)的虛擬入口而非入口做為校驗(yàn)處理準(zhǔn)確性的方式。[單選題]50.受審方在確定可報(bào)告的審計(jì)發(fā)現(xiàn)后立即采取了糾正措施。IS審計(jì)師應(yīng):A)將審計(jì)發(fā)現(xiàn)包含在最終報(bào)告中，因?yàn)镮S審計(jì)師負(fù)責(zé)出具包括所有發(fā)現(xiàn)的準(zhǔn)確報(bào)告B)在最終報(bào)告中不寫入這些審計(jì)發(fā)現(xiàn)，因?yàn)楣芾韺右呀鉀Q了問題。C)不將審計(jì)發(fā)現(xiàn)包含在最終報(bào)告中，因?yàn)镮審計(jì)師可在審計(jì)期間驗(yàn)證糾正措施。D)將審計(jì)發(fā)現(xiàn)包含在結(jié)束會(huì)議中，僅用于討論。答案:A解析:A.將審計(jì)發(fā)現(xiàn)包含在最終報(bào)告中是普遍認(rèn)可的審計(jì)行為。如果受審方在審計(jì)開始之后結(jié)束之前采取某項(xiàng)措施，審計(jì)報(bào)告應(yīng)標(biāo)識(shí)審計(jì)發(fā)現(xiàn)并描述其所采取的糾正措施。審計(jì)報(bào)告應(yīng)反映該種情況，因?yàn)槠湓趯徲?jì)開始時(shí)便存在。受審方采取的所有糾正措施都應(yīng)以書面方式報(bào)告。B.審計(jì)報(bào)告應(yīng)包含所有相關(guān)發(fā)現(xiàn)和管理層的反應(yīng)，即使發(fā)現(xiàn)的問題己經(jīng)解決。這意味著后續(xù)審計(jì)可能測試控制的持續(xù)的解決措施。C.審計(jì)報(bào)告應(yīng)包含該發(fā)現(xiàn)，以記錄該發(fā)現(xiàn)而控制若在審計(jì)后移除也會(huì)被注意到。D.審計(jì)報(bào)告應(yīng)包含該發(fā)現(xiàn)和解決措施，這一點(diǎn)可在最終會(huì)議上提及。審計(jì)報(bào)告應(yīng)列出所有相關(guān)發(fā)現(xiàn)及管理層的反應(yīng)。[單選題]51.某IS審計(jì)師注意到，并未按規(guī)定落實(shí)每日對(duì)賬檢查訪客門禁卡的制度。測試中，該IS審計(jì)師未發(fā)現(xiàn)丟失門禁卡的情況。在這種情況下，IS審計(jì)師應(yīng)當(dāng):A)不報(bào)告忽視對(duì)賬的情況，原因是并未發(fā)現(xiàn)差異。B)建議進(jìn)行定期實(shí)物盤存，而不必進(jìn)行每日對(duì)賬。C)將缺乏每日對(duì)賬作為一種異常情況進(jìn)行上報(bào)。D)建議實(shí)施更可靠的門禁系統(tǒng)。答案:C解析:A.實(shí)物數(shù)量不存在差異只能證實(shí)未造成任何影響，但不能成為忽視控制運(yùn)轉(zhuǎn)失敗的理由。應(yīng)當(dāng)報(bào)告這個(gè)問題，原因在于未遵循控制。B.盡管IS審計(jì)師可以在某些情況下建議改變程序，但其主要目的是進(jìn)行觀察，并在當(dāng)前流程存在缺陷時(shí)進(jìn)行報(bào)告。C.IS審計(jì)師應(yīng)當(dāng)將缺乏每日對(duì)賬作為一種異常情況進(jìn)行上報(bào)，原因在于實(shí)物盤存只能提供某個(gè)時(shí)間點(diǎn)的鑒證，而現(xiàn)行的做法不符合管理層規(guī)定的活動(dòng)。D.盡管IS審計(jì)師可以在某些情況下推薦更可靠的解決方案，但其主要目的是進(jìn)行觀寮并在當(dāng)前流程存在缺陷時(shí)進(jìn)行報(bào)告。[單選題]52.對(duì)使用原型法開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)變更控制比較難，是因?yàn)椋篈)原型開發(fā)的迭代特征B)需求和設(shè)計(jì)的快速修改C)強(qiáng)調(diào)結(jié)果和目標(biāo)D)缺少集成工具答案:B解析:需求和設(shè)計(jì)變化的如此之快，以至于它們難得歸檔或經(jīng)過驗(yàn)證。選項(xiàng)AC或D是原型法的特點(diǎn)，但是他們對(duì)變更控制沒有什么不利的效果。點(diǎn)評(píng)：原型法開發(fā)對(duì)需求快速變化，更難以進(jìn)行版本控制[單選題]53.在對(duì)一家小型銀行進(jìn)行合規(guī)性審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)，IT職能和會(huì)計(jì)職能是由財(cái)務(wù)系統(tǒng)的同一個(gè)用戶執(zhí)行的。用戶監(jiān)督人員執(zhí)行的下列哪一項(xiàng)審查代表最佳的補(bǔ)償控制?A)顯示交易日期和時(shí)間的審計(jì)軌跡B)含有每筆交易總數(shù)量和總金額(美元)的每日報(bào)表C)用戶帳戶管理D)顯示各項(xiàng)交易的計(jì)算機(jī)日志文件答案:D解析:A.只記錄交易日期和時(shí)間的審計(jì)軌跡不足以補(bǔ)償由同一用戶執(zhí)行多種職能的風(fēng)險(xiǎn)。B.對(duì)財(cái)務(wù)摘要報(bào)告的審查無法補(bǔ)償職責(zé)分離的問題。C.監(jiān)督人對(duì)用戶帳戶管理進(jìn)行審查可以起到良好的控制作用然而，這種審查無法發(fā)現(xiàn)一人執(zhí)行D.計(jì)算機(jī)日志會(huì)記錄各用戶在訪問計(jì)算機(jī)系統(tǒng)或數(shù)據(jù)文件時(shí)的活動(dòng)，而且會(huì)記錄所有異?；顒?dòng)，多種職能時(shí)的不當(dāng)活動(dòng)。如財(cái)務(wù)數(shù)據(jù)的修改或刪除。[單選題]54.在什么情況下，熱站會(huì)作為一個(gè)恢復(fù)策略被執(zhí)行？A)低災(zāi)難容忍度B)高恢復(fù)點(diǎn)目標(biāo)（RPO）C)高恢復(fù)時(shí)間目標(biāo)（RTO）D)高災(zāi)難容忍度答案:A解析:災(zāi)難容忍度是指業(yè)務(wù)能承諾不使用IT設(shè)備的時(shí)間間隔。如果時(shí)間間隔低，就能在短期內(nèi)執(zhí)行恢復(fù)策略，比如需要使用熱站。RPO是指可接受的恢復(fù)數(shù)據(jù)的最接近的點(diǎn)。高RPO表示這個(gè)操作可等待較長時(shí)間，在這種情況下，其他的恢復(fù)策略，如溫站、冷戰(zhàn)就應(yīng)該被考慮。高RTO表示恢復(fù)策略可利用額外的時(shí)間，從而執(zhí)行其他的可供選擇的恢復(fù)方案，如:溫站或冷站等可行的替代方案。[單選題]55.特定威脅的總體業(yè)務(wù)風(fēng)險(xiǎn)可定量地表示為:A)影響的可能性和影響大小的乘積(如果威脅成功利用漏洞)。B)影響的大小(如果威脅源成功利用漏洞)C)特定威脅源利用特定漏洞的可能性D)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的集體判斷。答案:A解析:A.總體業(yè)務(wù)風(fēng)險(xiǎn)在威脅利用漏洞時(shí)要考慮影響的可能性和大小，因此為資產(chǎn)風(fēng)險(xiǎn)提供了最佳的衡量方法B.風(fēng)險(xiǎn)的計(jì)算必須考慮利用了漏洞的威脅(不是威脅源)的影響和可能性。C.只考慮利用漏洞的可能性而不考慮所造成的影響或損害，不足以確定總體風(fēng)險(xiǎn)。D.風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)的集體判斷是定性風(fēng)險(xiǎn)評(píng)估的一部分，但必須結(jié)合對(duì)業(yè)務(wù)影響的計(jì)算以確定總體風(fēng)險(xiǎn)。[單選題]56.下列哪一個(gè)是成功的實(shí)施IT治理的最重要的組成部分？A)實(shí)施一個(gè)IT記分卡B)確保組織戰(zhàn)略C)執(zhí)行風(fēng)險(xiǎn)評(píng)估D)創(chuàng)建一個(gè)正式的安全策略答案:B解析:IT治理方案的主要目標(biāo)是支持業(yè)務(wù)，從而確定了組織的戰(zhàn)略是必要的，以確保IT與公司治理保持一致。如果沒有確定組織戰(zhàn)略，剩下的選項(xiàng)即使被實(shí)施也將是無效的。點(diǎn)評(píng)：IT治理最重要的一點(diǎn)就是戰(zhàn)略一致性[單選題]57.IS審計(jì)師在執(zhí)行一項(xiàng)獨(dú)立系統(tǒng)分類審計(jì)時(shí)，應(yīng)該把系統(tǒng)可以在可接受成本范圍內(nèi)進(jìn)行長期手動(dòng)運(yùn)行的系統(tǒng)分類為？A)關(guān)鍵的B)重要的C)敏感的D)不關(guān)鍵的答案:C解析:敏感系統(tǒng)是最符合在可接受的成本范圍內(nèi)長時(shí)間手動(dòng)操作要求的。關(guān)鍵的動(dòng)能除非被相同的功能替代，否則他們不能被手動(dòng)。重要的功能指那些可以被手動(dòng)操作但不僅限于短時(shí)間內(nèi)的。這是因?yàn)楹完P(guān)鍵功能相比，它中斷成本更低。不關(guān)鍵的功能被長時(shí)間中斷也可能只對(duì)企業(yè)造成很小的損失或沒有損失。因此需要很少時(shí)間或成本來重新運(yùn)營。[單選題]58.確定程序設(shè)計(jì)人員是否有權(quán)更改生產(chǎn)環(huán)境中數(shù)據(jù)的最佳方法是審查下面哪一項(xiàng)內(nèi)容:A)最新的系統(tǒng)更改是如何實(shí)現(xiàn)的B)訪問控制系統(tǒng)的配置C)已經(jīng)授予的訪問權(quán)限D(zhuǎn))訪問控制系統(tǒng)的日志設(shè)置答案:C解析:[單選題]59.下列哪一項(xiàng)是無線網(wǎng)絡(luò)中Wi-Fi保護(hù)訪問(WPA)的一個(gè)特征?A)會(huì)話密鑰是動(dòng)態(tài)的B)私人對(duì)稱密鑰的使用C)密鑰是靜態(tài)的和共享的D)源地址是未加密或認(rèn)證的答案:A解析:WPA、的使用動(dòng)態(tài)會(huì)話密鑰，比無線加密達(dá)到更強(qiáng)的保密效果（WEP）,（WEP）使用靜態(tài)鑰匙(無線網(wǎng)絡(luò)中每個(gè)人都使用同樣的鑰匙),其他選項(xiàng)都是WEP的弱點(diǎn)[單選題]60.從風(fēng)險(xiǎn)角度對(duì)數(shù)據(jù)庫進(jìn)行評(píng)估是很復(fù)雜的，因?yàn)椋篈)應(yīng)用視圖，查詢權(quán)限，字段，數(shù)據(jù)表訪問以及報(bào)表和查詢結(jié)果的訪問都要通過評(píng)估數(shù)據(jù)的安全性來檢查。B)它們可能有通過很多鍵連接起來的復(fù)雜的數(shù)據(jù)結(jié)構(gòu)。C)為了了解數(shù)據(jù)分類，數(shù)據(jù)定義必須進(jìn)行維護(hù)。D)數(shù)據(jù)流和數(shù)據(jù)范式化過程會(huì)使改變數(shù)據(jù)表大小和事務(wù)映射變得困難。答案:A解析:[單選題]61.某組織正在考慮將基于PC的關(guān)鍵系統(tǒng)連接到互聯(lián)網(wǎng)。一下哪項(xiàng)最能防止黑客攻擊？A)應(yīng)用程序級(jí)網(wǎng)關(guān)B)遠(yuǎn)程訪問服務(wù)器C)代理服務(wù)器D)端口掃描答案:A解析:應(yīng)用程序級(jí)網(wǎng)管是防止黑客攻擊的最好方法，因?yàn)榭梢詾槠涠x詳細(xì)規(guī)則，這些規(guī)則描述了允許或不允許的用戶或連接的類型。該網(wǎng)關(guān)將對(duì)開放系統(tǒng)互連（OSI）模型的一到七層中的每個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析，這意味著每個(gè)高級(jí)協(xié)議（超文本傳輸協(xié)議[FTP]、簡單網(wǎng)絡(luò)管理協(xié)議[SNMP]等）的命令都會(huì)被審查。對(duì)于遠(yuǎn)程訪問服務(wù)器，在進(jìn)入網(wǎng)絡(luò)前，會(huì)有一個(gè)設(shè)備（服務(wù)器）要求輸入用戶名和密碼，這在訪問專用網(wǎng)絡(luò)時(shí)很有用，單該設(shè)備可從互聯(lián)網(wǎng)映射和掃描到，而產(chǎn)生安全風(fēng)險(xiǎn)。代理服務(wù)器可給予IP地址和端口提供保護(hù)。但是，需要確實(shí)了解如何使用代理服務(wù)器的人員，而且應(yīng)用程序會(huì)針對(duì)程序的不同部分使用不同的端口。當(dāng)存在非常具體的任務(wù)要完成時(shí)，端口掃描很有用，但在嘗試控制來自互聯(lián)網(wǎng)的內(nèi)容或需要控制所有可用端口時(shí)并不適用。例如，用于回應(yīng)Ping(回應(yīng)請求）的端口可能被阻擋，因此IP地址可用于應(yīng)用程序和瀏覽，但不會(huì)對(duì)Ping做出相應(yīng)。[單選題]62.審計(jì)WEB服務(wù)器時(shí)，IS審計(jì)師應(yīng)該關(guān)心個(gè)人通過哪個(gè)選項(xiàng)對(duì)保密信息進(jìn)行未授權(quán)訪問的風(fēng)險(xiǎn)？A)通過網(wǎng)關(guān)接口（CGI）的腳本。B)enterprisejavA.beans（EJB）C)小應(yīng)用程序（Applet）D)WEB服務(wù)答案:A解析:CGI腳本是服務(wù)器上可執(zhí)行的獨(dú)立于計(jì)算機(jī)的軟件程序，可以由WEB服務(wù)器頁面調(diào)用和執(zhí)行。CGI執(zhí)行特定的任務(wù)，如處理從客戶端收到的輸入。由于CGI腳本在服務(wù)器中運(yùn)行時(shí)，其中的缺陷可使用戶對(duì)服務(wù)器進(jìn)行未授權(quán)訪問，并從該處訪問組織網(wǎng)絡(luò)，因?yàn)樾枰獙?duì)所使用的CGI腳本進(jìn)行評(píng)估。小應(yīng)用程序是從WEB服務(wù)器下載的程序，在客戶端計(jì)算機(jī)的WEB瀏覽器上執(zhí)行，以運(yùn)行任意基于WEB的應(yīng)用程序，EJB和WEB服務(wù)都必須由WEB服務(wù)器管理員部署，并由應(yīng)用程序服務(wù)器控制。執(zhí)行這兩項(xiàng)均需要了解參數(shù)和與預(yù)期的返回值。[單選題]63.在評(píng)估企業(yè)的信息安全治理的有效性時(shí)，以下哪一項(xiàng)應(yīng)是信息系統(tǒng)審計(jì)師的最大擔(dān)憂？A)沒有衡量信息安全績效的過程B)沒有定期進(jìn)行信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估C)沒有由執(zhí)行管理層審查信息安全政策D)信息安全政策沒有擴(kuò)展到服務(wù)提供商答案:C解析:[單選題]64.在計(jì)劃對(duì)企業(yè)的跨境數(shù)據(jù)傳輸進(jìn)行信息系統(tǒng)審計(jì)時(shí)，審查以下哪一項(xiàng)最重要?A)適當(dāng)?shù)谋O(jiān)管要求B)之前的外部審計(jì)報(bào)告C)海外供貨商風(fēng)險(xiǎn)評(píng)估D)信息系統(tǒng)長期戰(zhàn)略答案:A解析:[單選題]65.IS審計(jì)師會(huì)認(rèn)為以下哪項(xiàng)工作與IT部門短期計(jì)劃的關(guān)聯(lián)性最大?A)資源分配B)與技術(shù)發(fā)展保持同步C)開展控制自我評(píng)估D)評(píng)估硬件需求答案:A解析:A.IT部門應(yīng)具體考慮在短期內(nèi)分配資源的方式。IS審計(jì)師要保證資源得到恰當(dāng)管理。B.IT投資需要與高層管理戰(zhàn)略一致而非與短期計(jì)劃相關(guān)，并由于技術(shù)的緣故側(cè)重于技術(shù)。C.開展控制自我評(píng)估不如IT部門在短期計(jì)劃中分配資源那樣重要。D.評(píng)估硬件需求不如IT部門在短期計(jì)劃中分配資源那樣重要。[單選題]66.以下哪些會(huì)導(dǎo)致拒絕服務(wù)攻擊？A)窮舉攻擊B)死亡之PingC)跳步攻擊D)否定應(yīng)答(NAK)攻擊答案:B解析:使用Ping命令發(fā)送大小操過65KB的數(shù)據(jù)包且沒有加入分段標(biāo)志會(huì)造成拒絕服務(wù)。窮舉攻擊是典型的文本攻擊，其窮舉所有可能的鍵組合。跳步攻擊是指在一臺(tái)或多臺(tái)主機(jī)中使用遠(yuǎn)程網(wǎng)絡(luò)技術(shù)以逃避攻擊源地址被跟蹤的行為，其使用通過非法手段從某主機(jī)中取得的用戶ID和密碼信息對(duì)另一臺(tái)主機(jī)進(jìn)行攻擊。NAK是一種滲透技術(shù)，它利用了操作系統(tǒng)不能適當(dāng)處理異步中斷的潛在脆弱性，使在這類中斷發(fā)生時(shí)該系統(tǒng)處于無保護(hù)狀態(tài)。[單選題]67.在什么時(shí)候?qū)τ谪?cái)務(wù)會(huì)計(jì)應(yīng)用系統(tǒng)的授權(quán)邏輯訪問過程中的錯(cuò)誤最有可能被識(shí)別？A)A信息系統(tǒng)審計(jì)期間B)在執(zhí)行身份管理方案之后C)在會(huì)計(jì)對(duì)賬過程中D)在由業(yè)務(wù)所有者的定期訪問檢查中答案:D解析:由業(yè)務(wù)所有者定期檢查訪問控制列表可以判斷是否在授權(quán)訪問中有錯(cuò)誤會(huì)發(fā)生。雖然信息審計(jì)系統(tǒng)審計(jì)員可以確定不適當(dāng)?shù)脑L問實(shí)例，但是業(yè)務(wù)所有者的確認(rèn)是第一位的。身份認(rèn)證管理應(yīng)用的存在不是執(zhí)行檢查訪問列表的先決條件。會(huì)計(jì)對(duì)賬評(píng)估的是在一個(gè)特定的時(shí)點(diǎn)的有效性、正確性或者賬戶余額恰當(dāng)性，不能檢查用戶訪問權(quán)。[單選題]68.針對(duì)正在考慮購置的新應(yīng)用程序軟件包，IS審計(jì)師評(píng)估其控制規(guī)范的最佳時(shí)間是在A)內(nèi)部實(shí)施測試階段B)測試和用戶接受之前C)需求收集期間D)可行性研究階段答案:C解析:IS審計(jì)師的最佳參與時(shí)間是在應(yīng)用軟件開發(fā)或購置的需求定義開始之時(shí)。這是審查供應(yīng)商及其產(chǎn)品的最好機(jī)會(huì)。后期參與（如在測試或接受階段）會(huì)導(dǎo)致資源限制，妨礙完整評(píng)估。IS審計(jì)師的早期參與也會(huì)最大程度地減少對(duì)給定解決方案的業(yè)務(wù)承諾需求，其隨著流程的持續(xù)可能會(huì)難以克服。但是，在可行性分析階段評(píng)估控制可能還為時(shí)過早。點(diǎn)評(píng)：安全控制接入的越早越好，最早出現(xiàn)在需求階段[單選題]69.為保證傳輸信息的機(jī)密性和完整性，發(fā)送方需對(duì)傳輸信息的HA、SH摘要進(jìn)行加密，應(yīng)使用發(fā)送方的：A)公鑰然后使用接收方的私鑰加密信息B)私鑰然后使用接收方的公鑰加密信息C)公鑰然后使用接收方的公鑰加密信息D)私鑰然后使用接收方的私鑰加密信息答案:A解析:HA、SH算法保證信息的完整性；發(fā)送方使用私鑰加密發(fā)送信息的HA、SH摘要保證原始信息的真實(shí)性，使用接收方公鑰加密信息保證信息的機(jī)密性。其他選項(xiàng)不正確。[單選題]70.為了將其業(yè)務(wù)連續(xù)計(jì)劃bcp和災(zāi)難恢復(fù)計(jì)劃與核心業(yè)務(wù)需求保持一致，組織可部署的最佳方法是:A)發(fā)生重要業(yè)務(wù)變更后，更新業(yè)務(wù)影響分析BIAB)將BCP和災(zāi)難恢復(fù)計(jì)劃的維護(hù)外包給第三方C)定期執(zhí)行計(jì)劃虛擬演練D)包含BCP和災(zāi)難恢復(fù)計(jì)劃責(zé)任,作為員工培訓(xùn)的一部分答案:A解析:[單選題]71.根據(jù)組織的業(yè)務(wù)持續(xù)性計(jì)劃的復(fù)雜性，該計(jì)劃可能會(huì)發(fā)展成為一個(gè)以上或多個(gè)計(jì)劃，以解決業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的不同方面的要求，在這種情況下，至關(guān)重要的是：A)每個(gè)計(jì)劃彼此一致B)所有計(jì)劃都集成到一個(gè)單一的計(jì)劃C)每個(gè)計(jì)劃都需要相互依存D)對(duì)所有計(jì)劃實(shí)施排序答案:A解析:對(duì)于組織業(yè)務(wù)連續(xù)計(jì)劃的復(fù)雜性，可以有一個(gè)或一個(gè)以上的計(jì)劃，來解決業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的各個(gè)方面；并不需要將這些整合到一個(gè)單一的計(jì)劃中。然而每個(gè)計(jì)劃必須與其他計(jì)劃相符并且與業(yè)務(wù)連續(xù)性策略相一致，對(duì)所有計(jì)劃進(jìn)行排序是不妥的，因?yàn)檫@些計(jì)劃依賴于災(zāi)難的性質(zhì)，危險(xiǎn)和恢復(fù)時(shí)間而定。[單選題]72.災(zāi)難恢復(fù)計(jì)劃解決的是以下哪方面的需求？A)業(yè)務(wù)連續(xù)性計(jì)劃的技術(shù)層面B)業(yè)務(wù)連續(xù)性計(jì)劃的運(yùn)行部門C)業(yè)務(wù)連續(xù)性計(jì)劃的功能方面D)業(yè)務(wù)連續(xù)性計(jì)劃的所有協(xié)調(diào)工作答案:A解析:災(zāi)難恢復(fù)計(jì)劃（DRP）是技術(shù)方面的業(yè)務(wù)連續(xù)性計(jì)劃，業(yè)務(wù)恢復(fù)計(jì)劃解決的是BCP的運(yùn)行層面。[單選題]73.以下哪一項(xiàng)最適當(dāng)?shù)拿枋隽薎S審計(jì)師和被審計(jì)單位就審計(jì)發(fā)現(xiàn)進(jìn)行討論的目的？A)把審計(jì)結(jié)果告知高層管理人員B)為所提的建議制定出實(shí)施時(shí)間表C)確認(rèn)審計(jì)發(fā)現(xiàn)，并制定糾正措施的實(shí)施計(jì)劃D)為識(shí)別的風(fēng)險(xiǎn)確定補(bǔ)償控制答案:C解析:在把審計(jì)結(jié)果傳達(dá)給最高管理層之前，IS審計(jì)師要和被審計(jì)單位討論審計(jì)發(fā)現(xiàn)。討論的目的是為了確認(rèn)審計(jì)發(fā)現(xiàn)的準(zhǔn)確性，并制定一個(gè)糾正措施的實(shí)施計(jì)劃?；谶@個(gè)討論，審計(jì)師最終完成審計(jì)報(bào)告并提交給相應(yīng)級(jí)別的高級(jí)管理層。在和高級(jí)管理層人員和被審計(jì)單位的討論的基礎(chǔ)上，審計(jì)師可同意針對(duì)所提建議制定一個(gè)實(shí)施計(jì)劃和時(shí)間表。在報(bào)告起草階段，很少與受審方討論來確定補(bǔ)償性控制。點(diǎn)評(píng)：與被審人員討論審計(jì)發(fā)現(xiàn)的目的：1、認(rèn)賬；2、開藥[單選題]74.缺少適當(dāng)?shù)陌踩刂拼硪韵履囊豁?xiàng)?A)威脅B)資產(chǎn)C)影響D)漏洞答案:D解析:A.威脅是能夠?qū)Y產(chǎn)造成傷害的任何事物(例如物體、物質(zhì)、人)。無論是存在或缺少控制，威脅始終存在B.資產(chǎn)是具有有形價(jià)值或無形價(jià)值的、值得保護(hù)的東西，包括人員、信息、基礎(chǔ)設(shè)施、財(cái)務(wù)和聲譽(yù)。缺少控制不影響資產(chǎn)價(jià)值。C.影響表示某種威脅利用漏洞后所產(chǎn)生的結(jié)果或后果。缺少控制的影響可能更大，但缺少控制的定義是漏洞而非影響。D.缺少適當(dāng)?shù)陌踩刂凭捅硎敬嬖诼┒矗@將使敏感信息和數(shù)據(jù)暴露在風(fēng)險(xiǎn)中，而遭受黑客惡意破壞、攻擊或未經(jīng)授權(quán)的訪問。這會(huì)造成敏感信息丟失、組織喪失信譽(yù)。國際標(biāo)準(zhǔn)化組織(ISO)出版的《安全管理準(zhǔn)則》中對(duì)風(fēng)險(xiǎn)進(jìn)行了簡要定義:?特定威脅利用某資產(chǎn)或一組資產(chǎn)的漏洞，對(duì)資產(chǎn)造成損失或破壞的可能性。?該定義中的各種要素包括:漏洞、威脅、資產(chǎn)和影響。在這種情況下，缺乏適當(dāng)?shù)陌踩δ芫捅硎敬嬖诼┒?。[單選題]75.IS審計(jì)師在對(duì)為大型購物中心(電信公司無線用戶)提供互聯(lián)網(wǎng)服務(wù)的電信公司進(jìn)行網(wǎng)絡(luò)安全檢查，公司利用無線傳輸層安全（WTLS）和安全套接層（SSL）技術(shù)保護(hù)客戶的支付信息。如果是一個(gè)黑客，IS審計(jì)師最關(guān)心的是：A)無線應(yīng)用協(xié)議（WA、P）網(wǎng)關(guān)的泄漏B)在服務(wù)器前安裝監(jiān)測程序C)竊取客戶的PD、A、設(shè)備D)監(jiān)聽無線數(shù)據(jù)傳輸答案:A解析:在WA、P網(wǎng)關(guān)中，客戶的加密信息必須被解密在互聯(lián)網(wǎng)上傳輸，反之亦然。因此，如果網(wǎng)關(guān)弱化，全部信息就會(huì)暴露。SSL在互聯(lián)網(wǎng)上通過探測來保護(hù)信息，限制客戶信息被公開。WTLS提供認(rèn)證，機(jī)密性、完整性，阻止信息被偷聽。[單選題]76.服務(wù)質(zhì)量（QOS）的好處之一是：A)整個(gè)網(wǎng)絡(luò)的可用性和性能被極大的提高B)電信公司將提供給公司準(zhǔn)確的服務(wù)級(jí)別兼容性的報(bào)告C)用到的程序?qū)?huì)得到帶寬保證D)提高安全控制的通信鏈接一執(zhí)行安全在線服務(wù)答案:C解析:服務(wù)質(zhì)量的主要功能是通過分配部分專用帶寬給特定流量，以達(dá)到分配優(yōu)先級(jí)給業(yè)務(wù)程序和終端用戶的目的，從而優(yōu)化網(wǎng)絡(luò)性能。選項(xiàng)A是不正確的，因?yàn)橥ㄐ疟旧聿粫?huì)改善，然而特定應(yīng)用的數(shù)據(jù)交換速度可能更快，可用性就提高了。許多公司提供的服務(wù)質(zhì)量工具不提供服務(wù)級(jí)別的報(bào)告，但是有一些能產(chǎn)生報(bào)告。即使服務(wù)質(zhì)量被集成到防火墻、VPN、加密工具及其他，工具本身并不提供安全控制。[單選題]77.一家企業(yè)遇到了由于默認(rèn)用戶賬戶未從其中一臺(tái)服務(wù)器中刪除而導(dǎo)致的域名系統(tǒng)（DNS）攻擊事故。以下哪一項(xiàng)會(huì)是緩解該DNS攻擊的風(fēng)險(xiǎn)的最佳方式？A)讓第三方配置虛擬服務(wù)器B)配置入侵防御系統(tǒng)以識(shí)別DNSC)要求所有員工參加安全配置管理的培訓(xùn)D)遵循批準(zhǔn)的標(biāo)準(zhǔn)配置來配置這些服務(wù)器答案:D解析:[單選題]78.使用閃存（比方說USB、可移動(dòng)盤）最重要的安全考慮是：A)內(nèi)容高度不穩(wěn)定B)數(shù)據(jù)不能備份C)數(shù)據(jù)可以被拷貝D)設(shè)備可能與其他外設(shè)不兼容答案:A解析:閃存可以提供拷貝任何內(nèi)容的捷徑，除非通過完全的控制。閃存里存儲(chǔ)的內(nèi)容不是易丟失的。備份閃存中的數(shù)據(jù)不是控制關(guān)注點(diǎn)，數(shù)據(jù)有時(shí)作為備份存儲(chǔ)。閃存能通過PC、存取，而不是其他外圍設(shè)備，因此，兼容性不是問題。[單選題]79.Web和電子郵件過濾工具是組織最寶貴的資產(chǎn)，因?yàn)檫@些工具：A)保護(hù)組織免受病毒和非業(yè)務(wù)材料的侵?jǐn)_。B)最大化員工績效。C)保護(hù)組織形象。D)幫助組織預(yù)防法律問題。答案:A解析:投資于Web和電子郵件過濾工具的主要原因是這些工具可顯著降低與病毒、垃圾郵件、郵件鏈、娛樂性上網(wǎng)和娛樂性電子郵件相關(guān)的風(fēng)險(xiǎn)。選項(xiàng)B在某種情況下可能是正確的（即，需要與意識(shí)計(jì)劃一同實(shí)施，以便可顯著提高員工績效）。但是，在這種情況下，其相關(guān)性不如選項(xiàng)A。選項(xiàng)C和D是次要或間接好處。[單選題]80.在開發(fā)最終用戶計(jì)算(EUC)應(yīng)用程序時(shí)，下列哪項(xiàng)屬于普遍存在的風(fēng)險(xiǎn)A)應(yīng)用程序可能無法進(jìn)行測試和一般IT控制。B)開發(fā)和維護(hù)成本會(huì)增加。C)應(yīng)用程序開發(fā)時(shí)間會(huì)延長。D)由于響應(yīng)信息請求的能力降低，決策受到影響。答案:A解析:A.最終用戶計(jì)算(EUC)是指最終用戶利用計(jì)算機(jī)軟件產(chǎn)品來設(shè)計(jì)并實(shí)施自的信息系統(tǒng)的能力。最終用戶開發(fā)的應(yīng)用程序可能無法由系統(tǒng)分析人員執(zhí)行獨(dú)立的外部審查，而且通常也不是采用正規(guī)的開發(fā)方法進(jìn)行創(chuàng)建。此類應(yīng)用程序可能不具備相應(yīng)的標(biāo)準(zhǔn)、控制、質(zhì)量保證流程和文檔。與對(duì)傳統(tǒng)的應(yīng)用程序一樣，管理對(duì)這些程序的依賴程度也很高，這是最終用戶應(yīng)用程序B.EUC系統(tǒng)一般會(huì)導(dǎo)致應(yīng)用開發(fā)和維護(hù)成本降低。C.EUC系統(tǒng)一般會(huì)導(dǎo)致開發(fā)周期時(shí)間縮短。D.EUC系統(tǒng)一般會(huì)提高靈活性和對(duì)管理層信息請求的響應(yīng)能力，因?yàn)橄到y(tǒng)是由用戶社區(qū)直接開發(fā)的[單選題]81.在將系統(tǒng)部署到生產(chǎn)環(huán)境后不久，發(fā)現(xiàn)在用戶驗(yàn)收測試（UAT）期間未測試某些關(guān)鍵場景。以下哪一項(xiàng)是這一情況的最大擔(dān)憂？A)完成測試可能需要額外的資金B(yǎng))可能尚未評(píng)估重大安全風(fēng)險(xiǎn)C)系統(tǒng)功能可能達(dá)不到業(yè)務(wù)要求D)該系統(tǒng)可能已投入生產(chǎn)，但存在缺陷答案:B解析:[單選題]82.IS審計(jì)師參與應(yīng)用系統(tǒng)開發(fā),他們從事以下哪項(xiàng)可以導(dǎo)致獨(dú)立性的減弱.A)對(duì)系統(tǒng)開發(fā)進(jìn)行了復(fù)核B)對(duì)控制和系統(tǒng)的其他改進(jìn)提出了建議C)對(duì)完成后的系統(tǒng)進(jìn)行了獨(dú)立評(píng)價(jià)D)積極參與了系統(tǒng)的設(shè)計(jì)和完成答案:D解析:[單選題]83.在應(yīng)用系統(tǒng)開發(fā)過程中，以下哪一項(xiàng)是控制范圍偏離（scopecreep）的最佳方法？A)制定關(guān)鍵績效指標(biāo)。B)實(shí)施項(xiàng)目指導(dǎo)委員會(huì)審查。C)實(shí)施質(zhì)量管理系統(tǒng)。D)讓關(guān)鍵利益相關(guān)者參與其中。答案:D解析:[單選題]84.某關(guān)鍵的IT系統(tǒng)開發(fā)人員突然從某企業(yè)辭職。以下哪個(gè)選項(xiàng)是最重要的措施?A)安排與人力資源部門(HR)的離職面談。B)啟動(dòng)交接流程以確保項(xiàng)目的連續(xù)性。C)終止此開發(fā)人員對(duì)IT資源的邏輯訪問。D)確保管理部門辦好離職手續(xù)。答案:C解析:A.在最后一個(gè)雇傭日之前安排與人力資源部門(HR)面談也很必要，但這與取消開發(fā)人員的系統(tǒng)訪問權(quán)相比處于次要地位。B.只要與指定員工的交接流程能夠最遲在最后一個(gè)雇傭日完成，便不存在任何問題。C.為保護(hù)IT資產(chǎn)，管理部門確認(rèn)此員工離職的明確意圖后，首先應(yīng)終止其對(duì)IT資源的邏輯訪問，這也是最重要的措施。D.確保管理部門辦好離職手續(xù)固然重要，但終止IT系統(tǒng)的訪問更關(guān)鍵。[單選題]85.哪項(xiàng)為事先加強(qiáng)安全設(shè)定提供了最相關(guān)的信息A)堡壘主機(jī)B)入侵監(jiān)測系統(tǒng)C)蜜罐D(zhuǎn))入侵預(yù)防系統(tǒng)答案:C解析:蜜罐的設(shè)計(jì)是為了引誘黑客，按照黑客的方法和策略提供資源以定位攻擊。堡壘主機(jī)不提供關(guān)于攻擊的信息。入侵檢測系統(tǒng)和入侵預(yù)防系統(tǒng)是設(shè)計(jì)用于檢測和定位并盡快阻止攻擊的。蜜罐允許攻擊得以繼續(xù)以獲得關(guān)于黑客的策略和方法的相關(guān)信息。[單選題]86.在一個(gè)長的期限內(nèi)，下面哪個(gè)選項(xiàng)對(duì)于改善安全事件響應(yīng)流程具有最大的潛力？A)穿行審閱事件響應(yīng)流程B)事件響應(yīng)團(tuán)隊(duì)的事后檢查C)用戶的持續(xù)安全培訓(xùn)D)記錄事件的響應(yīng)答案:A解析:在實(shí)際的事件響應(yīng)流程中，隨著時(shí)間的推移，事后的檢查以發(fā)現(xiàn)差距和缺點(diǎn)可以幫助改善流程。選項(xiàng)A、C、和D、是值得期待的行動(dòng)，但事后檢查是改善安全事件響應(yīng)流程最可靠的機(jī)制。[單選題]87.在數(shù)據(jù)庫管理系統(tǒng)（DBMS）中，正規(guī)化（normalization）被用來：A)消除處理死鎖（processingdeadlock)B)縮短訪問時(shí)間C)減少數(shù)據(jù)冗余。D)使數(shù)據(jù)名稱標(biāo)準(zhǔn)化。答案:C解析:[單選題]88.在對(duì)系統(tǒng)管理功能的現(xiàn)場觀察期間，IS審計(jì)師發(fā)現(xiàn)相比在正常工作時(shí)間作出的更改，在正常工作時(shí)間以外對(duì)數(shù)據(jù)作出的更改僅需要精簡的幾個(gè)步驟。以下哪個(gè)選項(xiàng)可作為一套適當(dāng)?shù)难a(bǔ)償性控制措施A)使用特權(quán)管理賬戶記錄更改并在第二天審查更改日志。B)使用普通用戶賬戶進(jìn)行更改，記錄更改并在第二天審查更改日志。C)僅在向普通用戶賬戶授予訪問權(quán)限后允許其作出更改，并在第二天審查更改日志。D)使用數(shù)據(jù)庫管理員（DBA）用戶賬戶作出更改，記錄更改并在第二天審查更改日志。答案:D解析:使用DBA用戶賬戶通常設(shè)定用于記錄作出的所有更改，對(duì)于在正常工作時(shí)間以外對(duì)數(shù)據(jù)作出的更改是最合適的，使用日至即可審查更改。特權(quán)賬戶可由多為用戶使用，使用沒有權(quán)限的普通用戶賬戶對(duì)數(shù)據(jù)庫的更改則不受限制，一旦獲得賬戶訪問權(quán)限，使用不進(jìn)行日志記錄的DBA用戶賬戶即可對(duì)數(shù)據(jù)執(zhí)行不受限制的更改。[單選題]89.某IS審計(jì)師應(yīng)要求審查針對(duì)某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后，是否遵守合同條款的最佳途徑是什么?A)要求供應(yīng)商提供月度狀況報(bào)告。B)與客戶經(jīng)理定期召開會(huì)議。C)對(duì)供應(yīng)商進(jìn)行定期審計(jì)檢查。D)要求在合同中說明性能參數(shù)。答案:C解析:A.盡管提供月度狀況報(bào)告也許能夠表明供應(yīng)商遵守合同條款，但若不進(jìn)行獨(dú)立驗(yàn)證，這些數(shù)據(jù)也許并不可靠。B.與客戶IT經(jīng)理定期召開會(huì)議有助了解目前與供應(yīng)商之間的關(guān)系，但會(huì)議可能不包含定期審計(jì)檢查需考慮的供應(yīng)商審計(jì)報(bào)告、狀況報(bào)告和其他信息C.定期審查供應(yīng)商可確保其令人滿意地履行合同中的協(xié)議。若在簽署合同后不進(jìn)行日后的審計(jì)檢查，供應(yīng)商可能不太看重服務(wù)等級(jí)協(xié)議(SLA)以及客戶的安全控制要求，并且效果可能打折。定期審計(jì)檢查允許客戶檢查供應(yīng)商目前的狀況，以確保該供應(yīng)商是其希望繼續(xù)合作的人選D.要求在合同中說明性能參數(shù)很重要，但只有進(jìn)行定期審才能確保達(dá)到性能參數(shù)。[單選題]90.對(duì)以下哪項(xiàng)的頻繁更新是使一個(gè)災(zāi)難恢復(fù)計(jì)劃持續(xù)有效的關(guān)鍵？A)關(guān)鍵人員的聯(lián)系信息B)服務(wù)器詳細(xì)目錄文檔C)個(gè)人角色和職責(zé)D)闡述災(zāi)難的程序答案:A解析:如果發(fā)生了災(zāi)難，最重要的是有一份最新的災(zāi)難恢復(fù)計(jì)劃關(guān)鍵人員名單信息表。選項(xiàng)B,C和D更適合長期保持系統(tǒng)穩(wěn)定。[單選題]91.下列加密系統(tǒng)哪個(gè)最適用于大量數(shù)據(jù)加密和小型設(shè)備（如智能卡）？A)DESB)AESC)TripleDESD)RSA、答案:A解析:高級(jí)加密標(biāo)準(zhǔn)(AES),是一個(gè)支持128到256位鑰匙公共加密算法,不但有很好的安全性能,而且速度快，能跨不同平臺(tái)。AES能夠在大型計(jì)算機(jī)上、桌面電腦、甚至小型設(shè)備（如智能卡）安全有效地運(yùn)行。桌面計(jì)算機(jī)和平坦的小裝置。DES被認(rèn)為不強(qiáng)壯，因?yàn)樗拿荑€能被大型機(jī)在短時(shí)間內(nèi)破解。在加密和解密時(shí)TripleDES比DES多花費(fèi)3倍的時(shí)間。RSA鑰匙很長，適合于短消息的加密，例如：數(shù)字簽名。[單選題]92.某IS審計(jì)師在審查網(wǎng)絡(luò)日志時(shí)發(fā)現(xiàn)，某員工通過調(diào)用任務(wù)計(jì)劃程序啟動(dòng)受限的應(yīng)用，在其PC機(jī)上運(yùn)行了高級(jí)命令。這是哪類攻擊的示例?A)競態(tài)條件B)特權(quán)升級(jí)C)緩沖溢出D)模擬答案:B解析:A.競態(tài)條件入侵涉及兩個(gè)事件的時(shí)序和導(dǎo)致某個(gè)事件發(fā)生時(shí)間晚于預(yù)期的操作。給