CISA中文習題710-副本

CISA2008

Chapter1信息系統審計程序

■ISACA發(fā)布的信息系統審計標準”，準則,程序和職業(yè)道德規(guī)范

■IS審計實務和技術

■收集信息和保存證據的技術（觀察，調查問卷，談話，計算機輔助審計技術，電子介質）

■證據的生命周期（證據的收集，保護和證據之間的關系）

■與信息系統相關的控制目標和控制

■審計過程中的風險評估

■審計計劃和管理技術

■報告和溝通技術（推進，商談，解決沖突）

■控制自我評估

■不間斷審計技術（連續(xù)審計技術）

Chapter2IT治理

■IT戰(zhàn)略，政策，標準和程序對組織的意義，及其基本要素

■IT治理框架

■制定實施和恢復IT戰(zhàn)略政策標準和程序的流程

■質量管理戰(zhàn)略和政策

■與IT使用和管理相關的組織結構，角色和職責

■公認的國際IT標準和準則

■制定長期戰(zhàn)略方向的企業(yè)所需的IT體系及其內容

■風險管理方法和工具

■控制框架（cobit）的使用

■成熟度和流程改進模型

■簽約戰(zhàn)略,程序和合同管理實務

■IT績效的監(jiān)督和報告實務

■有關的法律規(guī)章問題（保密，隱私，知識產權）

■IT人力資源管理

■資源投資和配置實務

Chapter3系統和體系生命周期

■收益管理實務（可行性研究，業(yè)務案例）

■項目治理機制,如:項目指導委員會，項目監(jiān)督委員會

■項目管理實務，工具和控制框架

■用于項目管理上的風險管理實務

■項目成功的原則和風險

■涉及開發(fā)，維護系統的配置，變更和版本管理

■確保IT系統應用的交易和數據的完整性,準確性，有效性和授權的控制目標和技術

■關于數據，應用和技術的企業(yè)框架

■需求分析和管理實務

■采購和合同管理程序

■系統開發(fā)方法和工具以及他們的優(yōu)缺點

■質量保證方法

■測試流程的管理

■數據轉換工具技術和程序

■系統的處置程序

■軟件，硬件的認證和鑒證實務

■實施后的檢查目標和方法，如項目關閉，收益實現，績效測定

■系統移植和體系開發(fā)實務

Chapter4IT服務和交付

■服務等級和水平

■運營管理的最佳實務:如工作負荷調度,網絡服務管理，預防性維護

■系統性能監(jiān)控程序,工具和技術.

■硬件和網絡設備的功能

■數據庫管理實務

■操作系統工具軟件和數據庫管理系統

■生產能力計劃和監(jiān)控技術

■對生產系統的應急變更和調度管理程序，包括變更配置版本發(fā)布和補丁管理實務

■生產事件/問題管理實務

■軟件許可證和清單管理實務

■系統縮放工具和技術

Chapters信息資產保護

■信息系統安全設計，實施和監(jiān)控技術

■用戶使用授權的功能和數據時，識別簽訂和約束等邏輯訪問控制

■邏輯訪問安全體系

■攻擊方法和技術

■對安全事件的預測和響應程序

■網絡和internet安全設備

■入侵檢測系統和防火墻的配置

■加密算法/技術

■公共密鑰機構組件

■病毒檢測和控制技術

■安全方案測試和評估技術:滲透技術，漏洞掃描

■生產環(huán)境保護實務和設備

■物理安全系統和實務

■數據分類技術

■語音通訊的安全

■保密信息資產的采集.存儲.使用.傳輸和處置程序和流程

■與使用便攜式和無線設備

Chapter6業(yè)務連續(xù)性與災難恢復計劃

■數據備份，存儲，維護，保留和恢復流程

■業(yè)務連續(xù)性和災難恢復有關的法律規(guī)章協議和保險問題

■業(yè)務影響分析(BIA)

■開發(fā)和維護災難恢復與業(yè)務持續(xù)計劃

■災難恢復和業(yè)務連續(xù)性計劃測試途徑和方法

■與災難恢復和業(yè)務連續(xù)性有關的人力資源管理

■啟用災難恢復和業(yè)務連續(xù)性計劃的程序和流程

■備用業(yè)務處理站點的類型,和監(jiān)督有關協議合同的方法

CISA2008練習題

Chapter1

i.下列哪些形式的審計證據就被視為最可靠？

□口頭聲明的審計

□由審計人員進行測試的結果

□組織內部產生的計算機財務報告

□從外界收到的確認來信

2當程序變化是，從下列哪種總體種抽樣效果最好？

□測試庫清單

□源代碼清單

□程序變更要求

□產品庫清單

■3在對定義IT服務水平的控制過程的審核中，審計人員最有可能面試：

□系統程序員.

□法律人員

□業(yè)務部門經理

□應用程序員.

■4進行符合性測試的時候，下面哪一種抽樣方法最有效？

□屬性抽樣

□變量抽樣

□平均單位分層抽樣

□差別估算

■5當評估一個過程的預防控制、檢察控制和糾正控制的整體效果時，審計人員應該知道：

□當數據流通過系統時，其作用的控制點。

□只和預防控制和檢查控制有關.

□糾正控制只能算是補償.

□分類有助于審計人員確定哪種控制失效

■6審計人員在對兒個關鍵服務進行審計的時候，想要通過分析審計軌跡的方法發(fā)現潛在的用戶或系統行為異常。

下列哪些工具最適合從事這項工作？

□計算機輔助開發(fā)工具(casetool)

□嵌入式(embedded)數據收集工具

□啟發(fā)掃描工具(heuristicscanningtools)

□趨勢/變化檢測工具

■7在應用程序開發(fā)項目的系統設計階段，審計人員的主要作用是：

□建議具體而詳細的控制程序

□保證設計準確地反映了需求

□確保在開始設計的時候包括了所有必要的控制

□開發(fā)經理嚴格遵守開發(fā)日程安排

■8下面哪一個目標控制自我評估(CSA)計劃的目標？

□關注高風險領域

□替換審計責任

□完成控制問卷

□促進合作研討會Collaborativefacilitativeworkshops

■9利用風險評估方法對信息安全管理的基準辦法進行評估的主要優(yōu)點時是保證：

□充分保護信息資產

□根據資產價值進行基本水平的保護

□對于信息資產進行合理水平的保護

□根據所有要保護的信息資產分配相應的資源

■10審計軌跡的主要目的是：

□改善用戶響應時間

□確定交易過程的責任和權利

□提高系統的運行效率

□為審計人員追蹤交易提供有用的資料

■11在基于風險為基礎的審計方法中，審計人員除了風險，還受到以下那種因素影響：

□可以使用的CAATs

□管理層的陳述

□組織結構和崗位職責.

□存在內部控制和運行控制

■12對于組織成員使用控制自我評估(CSA)技術的主要好處是：

□可以確定高風險領域，以便以后進行詳細的審查

□使審計人員可以獨立評估風險

□可以作來取代傳統的審計

□使管理層可以放棄relinquish對控制的責任

■13下列哪一種在線審計技術對于盡早發(fā)現錯誤或異常最有效？

□嵌入審計模塊

□綜合測試設備Integratedtestfacility

□快照sanpshots

□審計鉤Audithooks

■14當?個程序樣本被選中要確定源代碼和目標代碼的版本一致性的問題時，審計人員會用下面哪一種測試方

法？

□時于程序庫控制進行實質性測試

□對于程序庫控制進行復合性測試

□對■于程序編譯控制的符合性測試

□對于程序編譯控制的實質性測試

■15在實施連續(xù)監(jiān)控系統時，信息系統審計師第一步時確定：

□合理的開始(thresholds)指標值

□組織的高風險領域

□輸出文件的位置和格式

□最有最高回報潛力的應用程序

■16審計計劃階段，最重要的一步是確定：

□高風險領域

□審計人員的技能

□審計測試步驟

□審計時間

■17審計師被對一個應用系統進行實施后審計。下面哪種情況會損害信息系統審計師的獨立性？審計師：

□在應用系統開發(fā)過程中，實施了具體的控制

□設計并嵌入了專門審計這個應用系統的審計模塊

□作為應用系統的項目組成員，但并沒有經營責任

□為應用系統最佳實踐提供咨詢意見

■18審計中發(fā)現的證據表明，有一種欺詐舞弊行為與經理的帳號有關。經理把管理員分配給他的密碼寫在紙上后,

存放在書桌抽屜里。IS審計師可以推測的結論是：

□經理助理有舞弊行為

□不能肯定無疑是誰做的

□肯定是經理進行舞弊

□系統管理員進行舞弊

■19為確保審計資源的價值分配給組織價值最大的部分，第一步將是：

□制定審計日程表并監(jiān)督花在每一個審計項目上的時間

□培養(yǎng)審計人員使用目前公司正在使用的最新技術

□根據詳細的風險評估確定審計計劃

□監(jiān)督審計的進展并開始成本控制措施

■20審計師在評估一個公司的網絡是否可能被員工滲透，其中下列哪?個發(fā)現是審計師應該最重視的？

□有一些外部調制解調器連接網絡

□用戶可以在他們的計算機上安裝軟件

□網絡監(jiān)控是非常有限的

□許多用戶帳號的密碼是相同的

■21信息系統審計師在控制自我評估(CSA)中的傳統角色是：

□推動者(facilitator)

□經理

□伙伴

□股東

■22下面哪一種審計技術為IS部門的職權分離提供了最好的證據：

□與管理層討論

□審查組織結構圖

□觀察和面談

□測試用戶訪問權限

■23IS審計師應該最關注下面哪一種情況？

□缺少對成功攻擊網絡的報告

□缺少對于入侵企圖的通報政策

□缺少對于訪問權限的定期審查

□沒有通告公眾有關入侵的情況

■24審計人員審計網絡操作系統。下面哪一個是審計人員應該審計的用戶特征？

□可得到在線網絡文檔

□支持終端訪問遠程主機

□處理在主機和內部用戶通信之間的文件傳輸

□執(zhí)行管理，審計和控制

■25審計師使用不完整的測試過程得出不存在重大錯誤的結論，這種做法的風險實質上是：

□固有的風險.

□控制風險

□檢查危險

□審計風險

■26審計章程應采?。?/p>

□是動態(tài)的和經常變化的，以便適應技術和和審計專業(yè)(professional)的改變

□清楚的說明審計目標和授權，維護和審核內部控制

□文檔化達到計劃審計目標的審計程序

□列出對審計功能的所有授權，范圍和責任

■27審計師已經對一個金融應用的數據完整性進行了評估，下面哪一個發(fā)現是最重要的？

□應用程序所有者不知道IT部門對系統實施的一些應用

□應用數據每周只備份一次

□應用開發(fā)文檔不完整

□信息處理設施沒有受到適當的火災探測系統的保護

■281s審計功能的一個主要目的是：

□確定每個人是否都按照工作說明使用IS資源

□確定信息系統的資產保護和保持數據的完整性

□對于計算機化的系統審查帳冊及有關證明文件

□確定該組織識別詐騙fraud的能力

■29進行審計的時候，審計師發(fā)現存在病毒，IS審計師下一步應該做什么？

□觀察反應機制

□病毒清除網絡

□立即通知有關人員

□確保刪除病毒

■30審計章程的的主要目標是：

□A記錄企業(yè)使用的審計流程

□B審計部門行動計劃的正式文件

□C記錄審計師專業(yè)行為的行為準則

□D說明審計部門的權力和責任。

■31在對IT程序的安全性審計過程中，IS審計師發(fā)現沒有文件記錄安全程序，該審計員應該：

□建立程序文件

□終止審計

□進行一致性測試

□鑒定和評估現行做法

■32在風險分析期間，IS審計師已經確定了威脅和潛在的影響，下一步IS審計師應該：

□確定并評估管制層使用的風險評估過程

□確定信息資產和受影響的系統

□發(fā)現對管理者的威脅和影響

□鑒定和評估現有控制.

■33下面哪一項用于描述ITF(整體測試法)最合適？

□這種方法使IS審計師能夠測試計算機應用程序以核實正確處理

□利用硬件和或軟件測試和審查計算機系統的功能

□這種方法能夠使用特殊的程序選項打印出通過計算機系統執(zhí)行的特定交易的流程

□IS系統審計師用于測試的種程序，可以用于處理tagging和擴展交易和主文件記錄。

■341s審計師要判斷是否嚴格控制被授權者對于程序文檔的訪問，最有可能的做法是：

□評估在存儲場所的文件保存計劃

□就當前正在進行的流程采訪程序員

□對比實際使用的記錄和操作表

□審查數據文件訪問記錄測試管理庫的功能

■35需要進一步收集哪些數據，IS審計師的決定取決于

□需要的重要信息的可用性

□審計師對于情況的熟悉程序

□審計人員(auditee)找到相關證據的能力

□進行審計的目的和范圍

■36審查管理層的長期戰(zhàn)略計劃有助于審計師：

□了解一個組織的宗旨和目標

□測試企業(yè)的內部控制

□評估組織隊信息系統的依賴性

□確定審計所需的資源

■37利用統計抽樣程序可以減少：

□抽樣風險

□檢查風險

□固有風險

□控制風險

■38IS審計師對軟件使用和許可權進行審計，發(fā)現大量的PC安裝了未授權的軟件。IS審計師應該采取下面哪種

行為？

□個人擅自刪除所有未授權軟件拷貝

□通知被審計人員非授權軟件的情況，并確認刪除

□報告使用未經授權軟體的情況，并需要管理層避免這種情況重復發(fā)生

□不采取任何行動，因為這是一個公認的慣例和做法，業(yè)務管理部門負責監(jiān)督這種使用

■39下面哪一項IS審計師可用來確定編輯和確認程序的有效性(effectiveness)?

□域完整性測試

□相關完整性測試

□參照完整性測試

□奇偶校驗檢查

■40下面哪一種情況下，IS審計師應該用統計抽樣而不是判斷抽樣(nonstatistical)：

□錯誤率必須被客觀量化(objectivelyquantified)

□審計師希望避免抽樣風險

□通用審計軟件不實用(unavailable)

□容忍誤差(tolerableerrorrate)不能確定

■41證明稅收計算系統精確性的最好的方法是：

□對于計算程序源代碼詳細目測審核和分析

□使用通用審計軟件對每個月計算的總數進行重復的邏輯計算

□為處理流程準備模擬交易，并和預先確定的結果進行比較

□自動分析流程圖和計算程序的源代碼

■42以下哪一個是使用測試數據的最大的挑戰(zhàn)？

□確定測試的程序的版本和產品程序的版本一致

□制造測試數據包括所有可能的有效和無效的條件

□對于測試的應用系統，盡量減少附加交易的影響

□在審計師監(jiān)督下處理測試數據

■43電子郵件系統已經成為一個有用的訴訟證據來源，下面哪一個是最有可能的原因？

□多重循環(huán)備份檔案可供利用

□訪問控制可以確定電子郵件行為的責任

□對于通過電子郵件交流的信息盡心過數據分類管理

□企業(yè)中，用于確保證據可得的清晰的使用電子郵件的政策

■441s審計師對于應用程序控制進行審查，應該評價：

□應用程序對于業(yè)務流程的的效率

□發(fā)現的隱患exposures的影響

□應用程序服務的業(yè)務

□應用程序的優(yōu)化.

■45以下哪一個是最主要的優(yōu)勢，利用計算機司法軟件進行調查：

□維護保管的一系列電子證據

□節(jié)約時間

□效率和效益

□尋求侵犯知識產權證據的能力

■46以下哪一個是使用ITF綜合測試法的優(yōu)勢？

□使用真實的或虛擬的主文件，1S審計師不需要審查交易的來源。

□定期檢驗過程并不需要單獨分離測試過程

□證實應用程序并可測試正在進行的操作

□它無需準備測試數據.

■47風險分析的一個關鍵因素是：

□審計計劃.

□控制

□弱點.Vulnerabilities

□負債liabilities

■48IS審計師的決策和行動最有可能影響下面哪種風險？

□固有風險

□檢查分析

□控制風險

□業(yè)務風險

■49在一臺重要的服務器中，IS審計師發(fā)現了由已知病毒程序產生的木馬程序，這個病毒可以利用操作系統的弱

點。IS審計師應該首先做什么？

□調查病毒的作者.

□分析操作系統日志

□確保惡意代碼已被清除

□安裝消除弱點vulnerability的補丁.

■50組織的IS部門希望確保用于信息處理設備的計算機文件有足夠的備份以便能進行適當的恢復。這是一種：

□控制程序.

□控制目標

□糾正控制

□運行控制.

■511s審計師審計1T控制的效果，發(fā)現了一份以前的審計報告，但是沒有工作記錄workpapers,IS審計師應該

怎么處理？

□暫停審計直至找到工作記錄

□依靠以前的審計報告

□對于風險最高的區(qū)域重新測試控制

□通知審計管理層，重新測試控制

■521s審計師審查組織圖主要是為了：

□理解工作流程

□調查各種溝通渠道

□理解個人的責任和權利

□調查員工之間不同的聯系渠道

■531s審計師審查對于應用程序的訪問，以確定最近的10個“新用戶”是否被爭取的授權，這個例子是關于：

□變量抽芽

□實質性測試

□符合性測試

□停-走抽樣.

■54當需要審計軌跡的時候，以下哪一種審計工具最有用？

□綜合測試法(ITF)

□持續(xù)間斷模擬(CIS)

□審計鉤(audithook)

□快照

■55當需要審計軌跡的時候，以下哪一種審計工具最有用？

□綜合測試法(ITF)

□持續(xù)間斷模擬(CIS)

□審計鉤(audithook)

□快照

■56以下哪一個是實質性測試？

□檢查例外報告清單

□確認對參數改變進行審批

□對于磁帶庫清單進行統計抽樣

□審核密碼歷史記錄

■57對于特定威脅的整體經營風險的威脅，可以表示如下：

□一種產品的可能性和影響的重要性，如果威脅暴露了弱點

□影響的重要性應該是威脅來源暴露了弱點

□威脅來源暴露弱點的可能性

□風險評估小組的整體判斷

■58在審查客戶主文件的時候，IS審計師發(fā)現很多客戶的名字相同arisingfromvariationsincustomerfirstnames,

為了進一步確定重復程度，IS設計師應該：

□測試數據以確認輸入數據

□測試數據以確定系統排序能力

□用通用審計軟件確定地址字段的重復情況

□用通用審計軟件確定帳戶字段的重復情況

■59通常，以下哪一種證據對IS審計師來說最可靠？

□收到的來自第三方的核實帳戶余額確認信

□一線經理確保應用程序如設計的方式工作

□從internet來源得到的數據趨勢(Trenddata)

□由一線經理提供報告，IS審計師開發(fā)的比率分析(Ratioanalysis)

■60成功的實施控制自我評估(CSA)需要高度依賴：

□一線管理人員承擔部分監(jiān)督管理責任

□安排人員負責建設build管理,而不是監(jiān)督、控制

□實施嚴格的控制策略，和規(guī)則驅動的控制

□監(jiān)督實施和并對控制職責進行監(jiān)督monitoring

■61審計計劃階段，對于風險的評估用于提供：

□審計覆蓋重大事項的合理保證

□明確保證重大事項在審計工作中被覆蓋

□審計覆蓋所有事項的合理保證

□充分保證所有事項在審計工作中被覆蓋

■62下面哪一項是使用基于風險方法的審計計劃的好處？審計

□日程安排可以提前完成.

□預算更符合IS審計人員的需要

□人員可以使用不同的技術

□資源分配給高風險領域

■63IS審計人員使用數據流程圖是用來

□定義數據層次

□突出高級別數據定義.

□用圖表化方式描述數據路徑和存儲

□描繪一步一步數據產生的詳細資料

■64在對數據中心進行安全審計時，通常審計師第一步要采取的是：

□評級物理訪問控制測試的結果

□確定對于數據中心站點的風險/威脅

□審查業(yè)務持續(xù)程序

□測試對于可疑站點的物理訪問的證據

■65高層管理要求IS審計師幫助部門管理者實施必要的控制，IS審計師應該：

□拒絕這種安排，因為這不是審計人員的職責

□告訴管理層將來他的審計工作無法進行

□執(zhí)行安排和將來的審計工作，處于職業(yè)謹慎

□在得到用戶部門批準的情況下，進行實施和后續(xù)工作

■66在制定風險基礎審計策略時，IS審計師需要進行風險評估審計，目的是保證：

□減輕風險的控制到位

□確定了脆弱性和威脅

□審計風險的考慮.

□Gap差距分析是合適的.

■67當通知審計結果時，IS審計師應該牢記他們的最終責任是對：

□高級管理和/或審計委員會.

□被審計單位的經理.

□IS審計主管.

□法律部門legalauthorities

■68對于抽樣可以這樣認為：

□當相關的總體不具體或者是控制沒有文檔記錄時intangibleorundocumentedcontrol,適用于統計抽樣。

□如果審計師知道內部控制是強有力的，可以降低置信系數

□屬性抽樣通過在盡可能早的階段停止抽樣可以避免過度抽樣。

□變量抽樣是一種技術，用于評估某種控制或一系列相關控制的發(fā)生率。

■691s審計師評估系統變更的測試結果，這個系統用于處理繳納結算paymentcomputation。審計師發(fā)現50%的

計算結果不能和預先定義的總數匹配。IS審計師最有可能采取下面哪一步措施？

□對于出錯的計算，設計進一步的測試

□確定可能導致測試結果錯誤的變量

□檢查部分測試案例，以便確認結果

□記錄結果，準備包括發(fā)現、結論和建議的報告

■70在實施對于多用戶分布式應用程序的審核時，IS審計師發(fā)現在三個方面存在小的弱點：初始參數設置不當，

正在適用的弱密碼，一些關鍵報告沒有被很好的檢查。當準備審計報告時，IS審計師應該：

□分別記錄對于每個發(fā)現產生的相關影響。(recordtheobservationsseparatelywiththeimpactofeachof

themmarkedagainsteachrespectivefinding.)

□建議經理關于可能的風險不記錄這些發(fā)現，因為控制弱點很小

□記錄發(fā)現的結果和由于綜合缺陷引發(fā)的風險

□報告部門領導重視每一個發(fā)現并在報告中適當的記錄

■71人力資源的副總裁要求審計確定上一年度工資發(fā)放中多付報酬的部分，這種情況下最好使用下面哪一種審計

技術？

□測試數據

□通用審計軟件

□ITF綜合測試法

□嵌入審計模塊

■72持續(xù)審計方法的主要優(yōu)點是：

□當處理過程開始的時候，不要求審計師就系統的可靠性收集證據

□當所有信息收集完成后，需要審計師審查并立即采取行動

□可以提高系統的安全性，當使用分時環(huán)境處理大量的交易時

□不依靠組織的計算機系統的復雜性。

■73在審計章程中記錄的審計功能中的責任、權力和經營責任responsibility,authorityandaccountability,必須：

□必須經最高管理層批準

□經審計部門管理者批準

□經用戶部門領導批準

□在每年IS審計師大會commencement之前修改

■74IS審計師從一個客戶的數據庫引入數據。下一步需要確認輸入數據是否完整，是由：

□匹配輸入數據的控制總數和原始數據的控制總數

□對數據進行排序以確認是否數據和原始數據的序號相同

□審查打印輸出的前100條原始記錄和輸入數據的前100條記錄

□按照不同的分類過濾數據，和原始數據核對

■75在評估網絡監(jiān)測控制時，IS審計師第一步應該審核網絡的

□A拓樸圖.

□帶寬使用.

□阻塞分析報告

□瓶頸確定

■76IS審計師評估信息系統的管理風險。IS審計師應該最先審查：

□已經實施的控制

□已經實施控制的有效性

□資產的風險監(jiān)督機制

□資產的脆弱性和威脅

■77在有異議的情況下，離開審計面談中xitinterview,考慮到結果的影響，IS審計師應該：

□要求被審計人員以簽名的形式接受所有法律責任

□闡述調查的意義和不糾正的風險

□向審計委員會報告有異議的情況

□接收被審計方的意見，因為他們有處理的所有權

■78確定商品庫存的價值己超過八周，IS審計師最有可能是用：

□測試數據.

□統計抽樣

□綜合測試法ITF

□通用審計軟件

■79下列哪一個是風險評估過程的描述？風險評估是：

□主觀.

□客觀.

□數學方法

□統計

■80綜合測試法ITF被認為是一個有用的工具，因為它：

□對于審計應用控制來說，是一種具有成本效益的方式

□允許財務和IS審計師整合他們的測試

□將處理的輸出結果與單獨計算的數據進行比較。

口為IS審計師提供分析大量信息的工具

■81在審計報告確認發(fā)現的結果finding后，被審計方迅速采取了糾正行動。審計師應該：

□在最后報告中包括發(fā)現的結果，因為IS師要負責正確的審計報告包括所有的發(fā)現結果。

□在最后的調查報告中不包括發(fā)現結果，因為審計報告僅僅包括未解決的發(fā)現結果

□在最后的調查報告中不包括發(fā)現結果，因為在審計師審計期間，糾正行動已經被確認。

□包括結果，僅僅在閉幕會議上討論調查之用。

■82以風險為基礎的審計方法，IS審計師應該首先完成：

□固有的風險評估.

□控制風險評估.

□控制測試評估.

□實質性測試評估.

Chapter2

1.下面哪一種IT治理是提高戰(zhàn)略聯盟（alignment）的最佳做法？

a）供應商和合作伙伴的風險管理.

b）基于客戶、產品、市場、流程的知識庫實施到位.

c）提供有利于于建立和共享商業(yè)信息的組織結構.

d）高層之間對于業(yè)務和技術責任的協調

2.建立可接受的風險水平的責任屬于：

a）質量保證經理.

b）高級業(yè)務管理.

c）CIO首席信息主管.

d）首席安全主管

3.作為信息安全治理成果，戰(zhàn)略聯盟提供：

a）企業(yè)需求驅動的安全要求.

b）按照最佳實踐制定的安全基線.

c）專門的或客戶定制的解決方案.

d）了解風險.

4.如果缺乏高層管理人員對于戰(zhàn)略計劃的許諾（commitment）,最可能的后果是：

a）缺乏技術投資.

b）缺乏系統開發(fā)的方法.

c）技術與組織目標不一致.

d）缺乏對于技術合同的控制.

5.用自下而上的方法來開發(fā)組織政策的優(yōu)勢在于這樣開發(fā)的政策：

a）為組織整體而指定.

b）更可能來自于風險評估的結果.

c）與企業(yè)整體政策不會沖突.

d）確保整個組織的一致性

6.IS審計師發(fā)現并不是所有的員工都知道企業(yè)的信息安全政策.IS審計師可以得出的結論是:

a）這種無知有可能導致意外泄漏敏感資料

b）信息安全并非對所有功能都是關鍵的.

c）IS審計師應該為員工提供安全培訓.

d）D審計結果應該使管理者為員工提供持續(xù)的培訓

7.有效的IT治理應該確保IT計劃符合組織的：

a）業(yè)務計劃.

b）審計計劃.

c）安全計劃.

d）投資計劃.

8.當通信分析人員進行下面哪一項的時候，1S審計師應該給予重點關注？

a）監(jiān)測系統性能，追蹤程序變動導致的問題

b）根據當前和未來的交易量，審查網絡負載需求

c）評價終端響應時間和網絡數據傳輸率對于網絡負載的影響

d）網絡負載平衡措施和改進建議

9.下面哪一項最可能喑示，客戶數據倉庫應該山內部開發(fā)而不是外包給海外運營？

a）時差不同有可能影響IT團隊的溝通

b）通信費在第一年非常高

c）有關隱私權的法律可能會阻礙信息跨國界傳輸

d）軟件開發(fā)需要更詳細的說明

10.當一名員工被解雇時?，需要采取的最重要的行動是：

a）交出全部職工的檔案給指定的另一名雇員.

b）完成員工工作的備份.

c）通知其他員工關于該員工的解雇通知.

d）解除該員工的邏輯訪問權限.

11.在處理可疑入侵時，一個合理的信息安全策略最有可能包括下列哪一項?

a）反應

b）糾錯

c）檢測

d）監(jiān)控

12.1S審計師在審查使用交叉培訓做法的組織時，應該評估哪一種風險？

a）對于單個員工的依賴性

b）連續(xù)性計劃不夠充分

c）一個員工了解系統的所有部分

d）錯誤操作.

13.1S審計師在審查IT設備的外包合同的時候，希望合同確定的是：

a）硬件配置.

b）訪問控制軟件.

c）知識產權的所有權.

d）開發(fā)應用方法.

14.設計信息安全政策時，最重要的一點是所有的信息安全政策應該：

a）非現場存儲.

b）由IS經理簽署writtenbyISmanagement

c）分發(fā)并傳播給用戶.

d）經常更新.

15.當評價組織的IS戰(zhàn)略時候，下面哪一項IS審計師認為是最重要的？

a）獲得一線管理人員linemanagement的支持

b）不能與IS部門初步預算有差異

c）遵守采購程序

d）支持該組織的業(yè)務目標

16.缺乏足夠的安全控制是一個：

a）威脅.

b）資產.

c）影響.

d）脆弱性.

17.對于IT安全策略的審計的主要目的是保證

a）策略向所有員工分發(fā)，并且每個員工都知道

b）安全和控制策略支持業(yè)務和IT目標

c）有公開發(fā)行的組織圖表和功能描述

d）適當的職責分離.

18.制訂風險管理計劃時，首先進行的活動是：

a）風險評估.

b）數據分類.

c）資產清單.

d）關鍵性分析.

19.制訂風險管理計劃時，首先進行的活動是：

a）風險評估.

b）數據分類.

c）資產清單.

d）關鍵性分析.

20.風險分析小組很難預測由可能會由風險造成的經濟損失，要評估潛在的損失，小組需要：

a）計算有關資產的折舊.

b）計算投資回報率（ROI）.

c）采用定性的方法.

d）花費必要的時間精確計算損失金額

21.以下哪一項是由于對于數據和系統的所有權定義不充分導致的最大的風險？

a）管理協調用戶不存在.

b）無法明確特定用戶責任

c）未授權用戶可以產生，修改和刪除數據

d）審計建議無法實施

22.要支持組織的目標，信息部門應該具有：

a）低成本理念.

b）長期和短期計劃.

c）領先的技術.

d）購買新的硬件和軟件的計劃.

23.為降低成本并提高外包的服務水平，外包應該包括以下哪些合同條款？

a）操作系統和軟硬件更新的周期

b）共同分享由于提高績效獲得的收益Gain-sharingperformancebonuses

c）違規(guī)處罰

d）費用和可變成本Chargestiedtovariablecostmetrics

24.24.以下哪一項提供了管理機制使IS管理層能夠確定是否該組織活動的計劃偏離了計劃或預期的水平？

a）質量管理

b）Is評估方法

c）管理原則

d）行業(yè)標準/基準

25.25.IS控制目標對于IS審計師的用途體現在它們提供了基礎，以便于理解：

a）實現特定控制程序的預期結果和目標

b）對于特定實體的最佳IT安全控制措施

c）信息安全的技術.

d）安全策略

26.對于公司的IS審計師來說，考慮外包IT過程并審查每一個供應商的業(yè)務持續(xù)計劃的副本是合適的的么？

□是合適的，因為IS審計師會評估服務商計劃的充分性，并幫助公司實施補充計劃

□是合適的，因為根據計?劃，IS審計師要評估服務方的財務穩(wěn)定性和履行合同的能力

□不合適，因為提供的備份在合同中應該是具體充分的

□不合適，因為服務方的業(yè)務持續(xù)計劃是私有的信息

27.當服務被外包的時候，以下哪一個是IS管理者最重要的職能？

□:確保支付給服務商發(fā)票

□作為參加者參與系統設計

□重新和服務商關于費用進行談判

□監(jiān)督外包商的業(yè)績

■28.當IT支持部門和終端用戶之間的責權分離問題很重要時，應該采取下面哪種補償控制？

□限制物理訪問計算機設備

□審查交易和應用II志

□在雇用IT部門人員時進行背景調查

□一段時間不活動后，鎖定用戶進程

■29.對于組織來說外包其數據處理業(yè)務的可能的優(yōu)勢是：

□能夠獲得所需要的外部的專家經驗

□可以對處理行使更大的控制

□可以實施和內部確定處理的優(yōu)先權

□溝通用戶需求時，需要更多的用戶參與

■30.IS指導委員會應該：

□包括來自各個部門和各個層次的員工

□確保IS安全政策和程序被適當的執(zhí)行

□有正式的定期召開例會，并保留每一次會議記錄

□在每一次供應商召集的會議上，記錄新的趨勢和產品

■31.某個長期雇員是具有強大的技術背景和廣泛的管理經驗，申請1S審計部門的一個空缺職位。確定是否在此

崗位上是否聘用此人需要考慮個人經驗和：

□服務時間，因為這將有助于確保技術水平.

□年齡，因為培訓審計技術可能不切實際.

□1S知識，因為這會帶來提高審計工作的可信度.

□能力，因為作為IS審計師，與現有的IS關系是獨立的

■32.許多組織要求雇員強制性休假一周以上是為了：

□確保員工保持良好的生活品質，這將帶來更大的生產率.

□減少雇員從事非法或不當行為的機會.

□為其他雇用提供適當的交叉培訓.

□消除員工休假一次一天的潛在的干擾

■33.在實施平衡計分卡之前，該組織必須：

□提供切實有效的服務.

□確定關鍵性能指標.

□提供該項目的商業(yè)價值.

□控制IT支出.

■34.在企業(yè)資源計劃(ERP)系統中總帳的設置功能允許設置會計期間。對于這項功能允許財務，倉庫和訂單

輸入部門的用戶都可以使用這項功能。這種廣泛的訪問權的最可能的原因是：

□需要定期更改會計期間

□一個會計期間結束后，需要追加記帳

□缺少適當的政策和程序進行職責分工

□需要建立和修改關于賬目和分配的圖表

■35.在IS部門中，下面哪一項IS審計師認為是和IS部門的短期計劃最相關的？

□資源分配

□保持技術的領先水平

□進行評估自我控制

□硬件需求評估

■36.評估1T風險的最佳辦法是：

□評估與現有IT資產和IT項目相關的威脅

□利用公司以往的實際經驗，確定當前風險損失.

□審查同類公司公布的損失統計數據

□審查IS審計報告中指出的控制弱點

■37.以下哪一個是IT績效衡量過程的主要目的？

□最小化錯誤

□收集績效數據.

□建立績效基準.

□績效優(yōu)化.

■38.讓業(yè)務單位擔任開發(fā)應用業(yè)務的責任，很可能會導致：

□:數據通信的需求大幅度減少.

□行使較低水平的控制.

□實行更高層次的控制.

□改善職責分工.

■39.IS審計師受雇審查電子商務安全。IS審計師的第一個任務是檢查每一個現有的電子商務應用以查找脆弱性。

下一步工作是什么？

□立即向CIO或CEO報告風險

□檢查開發(fā)中的電子商務應用.

□確定威脅和發(fā)生的可能性.

□核對風險管理的可行預算.

■40.以下哪一項是創(chuàng)建防火墻策略的第一步？

□對于安全應用的成本效益分析方法

□識別外部訪問的網絡應用

□識別外部訪問的網絡應用的脆弱性

□設立應用控制矩陣，顯示保障辦法

■41.確保組織遵守隱私的要求，IS審計師應該首先審查：

□IT基礎設施.

□組織的政策、標準和程序.

□法律和規(guī)章的規(guī)定.

□組織政策、標準和程序的附件.

■42.組織的管理層決定建立一個安全通告awareness程序。下面哪一項可能是程序的一部分？

□利用入侵偵測系統報告事件

□授權使用密碼訪問所有軟件

□安裝高效的用戶II志系統，以追蹤記錄每個用戶的行為

□定期培訓所有當前員工和新進員工

■43.以下哪一項是減輕職責劃分不當引發(fā)風險的補償控制？

□序列檢驗

□核對數字

□源文件保存

□批控制Reconciliations

■44.IT平衡記分卡是一種業(yè)務的監(jiān)督管理工具目的是為了監(jiān)督IT性能評價指標而不是

□財務狀況.

□客戶滿意度

□內部過程的效率.

□創(chuàng)新能力

■45.由上而下的方式建立的業(yè)務政策將有助于保證：

□政策在整個組織的范圍內一致.

□政策作為風險評估的一部分實施

□遵守所有政策.

□政策被定期檢討.

■46.以下哪一項是IT指導委員會的職能：

□監(jiān)測供應商對于變更控制的控制和測試

□保證信息處理環(huán)境中的職責分離

□審批和監(jiān)管重大項目，IS計劃和預算的情況

□IS部門和終端用戶之間的聯系

■47.其中哪一項應包括在組織的信息安全政策中？

□要保護的關健IT資源列表

□訪問授權的基本原則

□確定敏感安全特征

□相關的軟件安全特征

■48.在一個組織內，IT安全的責任被清楚的定義和強化，并始終如一地執(zhí)行IT安全的風險和影響分析。這表示

的是信息安全治理成熟度模型的哪一級？

□優(yōu)化.

□管理

□定義

□重復

■49.IS審計師在審查信息系統短期(戰(zhàn)術)計劃時應確定是否：

□在項目中，IS人員和業(yè)務人員進行了整合

□有明確的目標和任務

□信息技術計劃戰(zhàn)略方法在發(fā)揮作用

□將業(yè)務目標和IS目標進行關聯的計劃

■50.局域網(LAN)管理員通常受限制于(不能)：

□具有終端用戶權限

□向終端用戶經理報告

□具有編程權限

□負責局域網安全管理

■51.一個組織收購其他企業(yè)，并繼續(xù)使用其遺留的電子數據交換系統，和三個獨立的增值網供應商。沒有書面

的增值網合同。IS審計師應該建議管理者：

□獲取第三方服務提供商的獨立保證

□設置程序監(jiān)督第三方交付的服務

□確保正式合同發(fā)揮作用

□考慮和第三方服務提供商共同開發(fā)業(yè)務持續(xù)計劃

■52.對于成功實施和維護安全政策來說，以下哪一項是最重要的？

□各方的書面安全策略的結構和目的都?致。Assimilationoftheframeworkandintentofawrittensecurity

policybyallappropriateparties

□管理層支持并批準實施和維護安全政策

□通過對任何違反安全規(guī)則的行為進行懲罰來強調安全規(guī)測

□安全管理人員通過訪問控制軟件嚴格執(zhí)行，監(jiān)督和強調安全規(guī)則

■53.下列哪一項減少了潛在的社會工程攻擊的影響：

□遵守規(guī)定要求

□提高道德意識

□安全意識awareness程序

□有效的業(yè)績激勵

■54.以F是一種機制可以減輕風險.

□安全和控制措施

□財產責任保險

□審計和鑒證

□合同服務水平協議(SLA)

■55.電子取證的風險可能會減少的原因是通過電子郵件的：

□破壞政策.

□安全政策.

□存檔政策

□審計政策

■56.IS審計師審查組織的IS戰(zhàn)略計劃，首先要審查：

□現有的IT環(huán)境

□業(yè)務計劃

□目前的IT預算.

□目前的技術趨勢

□

■57.技術變革的速度增加了下面哪一項的重要性：

□外包IS功能.

□實施和強化良好流程

□員工在組織中的建立事業(yè)的愿望

□滿足用戶要求

■58.將會在組織的戰(zhàn)略計劃中發(fā)現下面哪?個目標？

□測試新的帳戶包Testanewaccountingpackage

□進行信息技術需求評估

□在接下來的12個月中實施新的項目計劃

□成為某種產品的供應商

■59.制定一個安全政策是哪一個部門的最終責任：

□IS部門.

□安全委員會.

□安全管理員.

□董事會

■60.IT治理是哪一項的主要責任：

□首席執(zhí)行官.

□董事會

口IT指導委員會.

□審計委員會.

■61.IS審計師對于與員工相關的IS管理實踐審計進行?般控制審計，應該特別關注的是：

□強制休假政策和遵守情況.

□人員分類和公平的補償政策.

□員工培訓.

□分配給員工的職責.

■62.從控制角度而言，工作的描述的關鍵要素在于他們：

□提供如何工作的說明和明確的授權

□對于員工來說是更新的，文檔化，并且容易得到

□溝通管理者的具體工作業(yè)績預期.

□確立員工行為的責任和義務

■63.下列哪些證據提供了具有合適的安全意識程序的最好證據？

□股東的數量Thenumberofstakeholders,包括受到培訓各級員工

□整個企業(yè)范圍內培訓覆蓋的范圍

□不同供應商的安全設施落實情況

□定期審查并與最佳實踐比較

■64.在制定以下哪一項時，包括高層管理人員參與是最重要的？

□戰(zhàn)略計劃.

□IS政策

□IS程序.

□標準和指南.

■65.在審查IS戰(zhàn)略時，IS審計師最能衡量IS策略是否支持組織的業(yè)務百標的做法是確定是否:

□有需要的所有人員和裝備.

□計劃與管理策略一致.

□使用設備和人員的效率和效益.

□有足夠的能力，以適應不斷變化的方向.

■66.在職責分離不合適的環(huán)境中，IS審計師要尋找下面哪一種控制？

□重疊控制

□邊界控制

□訪問控制

□補償性控制

■67.當IS從獨立的服務提供商處采購時，審計師應該期望在招標書requestforproposal(RFP)中包括下面哪一

項？

□從其他客戶參考

□服務水平協議(SLA)模板

□維護協議

□轉換計劃

■68.風險管理的產出結果是下面哪一項的輸入？

□業(yè)務計劃.

□審計章程.

□安全政策策略.

□軟件設計策略.

■69.IT指導委員會審查信息系統主要是為了評估：

□IT處理是否支持業(yè)務需求.

□提出的系統的功能是否足夠.

□現有軟件的穩(wěn)定性.

□安裝技術的復雜性.

■70.建立了信息安全程序的第一步是：

□制定和實施信息安全標準手冊.

□IS審計師執(zhí)行對于安全控制理解的審查performanceofacomprehensivesecuritycontrolreviewbytheIS

auditor.

□采用公司的信息安全政策報告

□購買安全訪問控制軟件

■71.在審查電子資金轉帳系統(EFT)的結構時，IS審計師注意到技術架構基于集中處理方式，并且外包給國外

處理。山于這些信息，下面哪一個結論是IS審計師最關注的？

□可能會有與司法權限范圍有關的問題

□由于有國外的供應商可能會導致未來審計費用超支

□由于距離，審計過程可能會很困難

□可能有不同的審計標準

■72組織外包其軟件開發(fā)，以下哪一項是該組織IT管理的責任？

□支付服務提供商

□作為參加者參加系統設計

□控制外包商遵守服務合同

□與供養(yǎng)商談判合同

■74.有效的IT治理要求組織的結構和流程能夠確保：

□組織的戰(zhàn)略和目標延伸到IT戰(zhàn)略.

□業(yè)務戰(zhàn)略來自于IT戰(zhàn)略

□IT治理獨立于并不同于全面治理

□IT戰(zhàn)略擴大了組織的戰(zhàn)略和目標

■75.全面有效的電子郵件政策應明確電子郵件結構、執(zhí)行策略、監(jiān)控和：

□恢復.

□保存.

□重建

□再用

■76.下面哪一項最能保證新員工的正直性？

□背景檢查

□參考資料

□bonding

□簡歷中的資格

Chapter3

□i.一個組織有一個集成開發(fā)環(huán)境，程序庫在服務器上，但是修改/開發(fā)和測試在工作站上完成，以下哪一項是

集成開發(fā)環(huán)境(IDE)的強項？

■控制程序多個版本的擴散

■擴展程序資源和可得到的輔助工具

■增加程序和加工的整體性

■防止有效的變更被其他修改程序重寫

□2.以下哪一項是計劃評審技術(PERT)相比其他方法的優(yōu)點？與其他方法相比：

■為計劃和控制項目考慮不同的情景

■允許用戶輸入程序和系統參數.

■測試系統維護加工的準確性

■估算系統項目成本.

□3.下列哪些是使用原型法進行開發(fā)的優(yōu)點？

■成品系統有足夠的控制.

■系統將有足夠的安全/審計軌跡.

■減少部署deployment