CISA中文習(xí)題710-副本

CISA2008

Chapter1信息系統(tǒng)審計(jì)程序

■ISACA發(fā)布的信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)”，準(zhǔn)則,程序和職業(yè)道德規(guī)范

■IS審計(jì)實(shí)務(wù)和技術(shù)

■收集信息和保存證據(jù)的技術(shù)（觀察，調(diào)查問(wèn)卷，談話，計(jì)算機(jī)輔助審計(jì)技術(shù)，電子介質(zhì)）

■證據(jù)的生命周期（證據(jù)的收集，保護(hù)和證據(jù)之間的關(guān)系）

■與信息系統(tǒng)相關(guān)的控制目標(biāo)和控制

■審計(jì)過(guò)程中的風(fēng)險(xiǎn)評(píng)估

■審計(jì)計(jì)劃和管理技術(shù)

■報(bào)告和溝通技術(shù)（推進(jìn)，商談，解決沖突）

■控制自我評(píng)估

■不間斷審計(jì)技術(shù)（連續(xù)審計(jì)技術(shù)）

Chapter2IT治理

■IT戰(zhàn)略，政策，標(biāo)準(zhǔn)和程序?qū)M織的意義，及其基本要素

■IT治理框架

■制定實(shí)施和恢復(fù)IT戰(zhàn)略政策標(biāo)準(zhǔn)和程序的流程

■質(zhì)量管理戰(zhàn)略和政策

■與IT使用和管理相關(guān)的組織結(jié)構(gòu)，角色和職責(zé)

■公認(rèn)的國(guó)際IT標(biāo)準(zhǔn)和準(zhǔn)則

■制定長(zhǎng)期戰(zhàn)略方向的企業(yè)所需的IT體系及其內(nèi)容

■風(fēng)險(xiǎn)管理方法和工具

■控制框架（cobit）的使用

■成熟度和流程改進(jìn)模型

■簽約戰(zhàn)略,程序和合同管理實(shí)務(wù)

■IT績(jī)效的監(jiān)督和報(bào)告實(shí)務(wù)

■有關(guān)的法律規(guī)章問(wèn)題（保密，隱私，知識(shí)產(chǎn)權(quán)）

■IT人力資源管理

■資源投資和配置實(shí)務(wù)

Chapter3系統(tǒng)和體系生命周期

■收益管理實(shí)務(wù)（可行性研究，業(yè)務(wù)案例）

■項(xiàng)目治理機(jī)制,如:項(xiàng)目指導(dǎo)委員會(huì)，項(xiàng)目監(jiān)督委員會(huì)

■項(xiàng)目管理實(shí)務(wù)，工具和控制框架

■用于項(xiàng)目管理上的風(fēng)險(xiǎn)管理實(shí)務(wù)

■項(xiàng)目成功的原則和風(fēng)險(xiǎn)

■涉及開發(fā)，維護(hù)系統(tǒng)的配置，變更和版本管理

■確保IT系統(tǒng)應(yīng)用的交易和數(shù)據(jù)的完整性,準(zhǔn)確性，有效性和授權(quán)的控制目標(biāo)和技術(shù)

■關(guān)于數(shù)據(jù)，應(yīng)用和技術(shù)的企業(yè)框架

■需求分析和管理實(shí)務(wù)

■采購(gòu)和合同管理程序

■系統(tǒng)開發(fā)方法和工具以及他們的優(yōu)缺點(diǎn)

■質(zhì)量保證方法

■測(cè)試流程的管理

■數(shù)據(jù)轉(zhuǎn)換工具技術(shù)和程序

■系統(tǒng)的處置程序

■軟件，硬件的認(rèn)證和鑒證實(shí)務(wù)

■實(shí)施后的檢查目標(biāo)和方法，如項(xiàng)目關(guān)閉，收益實(shí)現(xiàn)，績(jī)效測(cè)定

■系統(tǒng)移植和體系開發(fā)實(shí)務(wù)

Chapter4IT服務(wù)和交付

■服務(wù)等級(jí)和水平

■運(yùn)營(yíng)管理的最佳實(shí)務(wù):如工作負(fù)荷調(diào)度,網(wǎng)絡(luò)服務(wù)管理，預(yù)防性維護(hù)

■系統(tǒng)性能監(jiān)控程序,工具和技術(shù).

■硬件和網(wǎng)絡(luò)設(shè)備的功能

■數(shù)據(jù)庫(kù)管理實(shí)務(wù)

■操作系統(tǒng)工具軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)

■生產(chǎn)能力計(jì)劃和監(jiān)控技術(shù)

■對(duì)生產(chǎn)系統(tǒng)的應(yīng)急變更和調(diào)度管理程序，包括變更配置版本發(fā)布和補(bǔ)丁管理實(shí)務(wù)

■生產(chǎn)事件/問(wèn)題管理實(shí)務(wù)

■軟件許可證和清單管理實(shí)務(wù)

■系統(tǒng)縮放工具和技術(shù)

Chapters信息資產(chǎn)保護(hù)

■信息系統(tǒng)安全設(shè)計(jì)，實(shí)施和監(jiān)控技術(shù)

■用戶使用授權(quán)的功能和數(shù)據(jù)時(shí)，識(shí)別簽訂和約束等邏輯訪問(wèn)控制

■邏輯訪問(wèn)安全體系

■攻擊方法和技術(shù)

■對(duì)安全事件的預(yù)測(cè)和響應(yīng)程序

■網(wǎng)絡(luò)和internet安全設(shè)備

■入侵檢測(cè)系統(tǒng)和防火墻的配置

■加密算法/技術(shù)

■公共密鑰機(jī)構(gòu)組件

■病毒檢測(cè)和控制技術(shù)

■安全方案測(cè)試和評(píng)估技術(shù):滲透技術(shù)，漏洞掃描

■生產(chǎn)環(huán)境保護(hù)實(shí)務(wù)和設(shè)備

■物理安全系統(tǒng)和實(shí)務(wù)

■數(shù)據(jù)分類技術(shù)

■語(yǔ)音通訊的安全

■保密信息資產(chǎn)的采集.存儲(chǔ).使用.傳輸和處置程序和流程

■與使用便攜式和無(wú)線設(shè)備

Chapter6業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃

■數(shù)據(jù)備份，存儲(chǔ)，維護(hù)，保留和恢復(fù)流程

■業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)有關(guān)的法律規(guī)章協(xié)議和保險(xiǎn)問(wèn)題

■業(yè)務(wù)影響分析(BIA)

■開發(fā)和維護(hù)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃

■災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃測(cè)試途徑和方法

■與災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性有關(guān)的人力資源管理

■啟用災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃的程序和流程

■備用業(yè)務(wù)處理站點(diǎn)的類型,和監(jiān)督有關(guān)協(xié)議合同的方法

CISA2008練習(xí)題

Chapter1

i.下列哪些形式的審計(jì)證據(jù)就被視為最可靠？

□口頭聲明的審計(jì)

□由審計(jì)人員進(jìn)行測(cè)試的結(jié)果

□組織內(nèi)部產(chǎn)生的計(jì)算機(jī)財(cái)務(wù)報(bào)告

□從外界收到的確認(rèn)來(lái)信

2當(dāng)程序變化是，從下列哪種總體種抽樣效果最好？

□測(cè)試庫(kù)清單

□源代碼清單

□程序變更要求

□產(chǎn)品庫(kù)清單

■3在對(duì)定義IT服務(wù)水平的控制過(guò)程的審核中，審計(jì)人員最有可能面試：

□系統(tǒng)程序員.

□法律人員

□業(yè)務(wù)部門經(jīng)理

□應(yīng)用程序員.

■4進(jìn)行符合性測(cè)試的時(shí)候，下面哪一種抽樣方法最有效？

□屬性抽樣

□變量抽樣

□平均單位分層抽樣

□差別估算

■5當(dāng)評(píng)估一個(gè)過(guò)程的預(yù)防控制、檢察控制和糾正控制的整體效果時(shí)，審計(jì)人員應(yīng)該知道：

□當(dāng)數(shù)據(jù)流通過(guò)系統(tǒng)時(shí)，其作用的控制點(diǎn)。

□只和預(yù)防控制和檢查控制有關(guān).

□糾正控制只能算是補(bǔ)償.

□分類有助于審計(jì)人員確定哪種控制失效

■6審計(jì)人員在對(duì)兒個(gè)關(guān)鍵服務(wù)進(jìn)行審計(jì)的時(shí)候，想要通過(guò)分析審計(jì)軌跡的方法發(fā)現(xiàn)潛在的用戶或系統(tǒng)行為異常。

下列哪些工具最適合從事這項(xiàng)工作？

□計(jì)算機(jī)輔助開發(fā)工具(casetool)

□嵌入式(embedded)數(shù)據(jù)收集工具

□啟發(fā)掃描工具(heuristicscanningtools)

□趨勢(shì)/變化檢測(cè)工具

■7在應(yīng)用程序開發(fā)項(xiàng)目的系統(tǒng)設(shè)計(jì)階段，審計(jì)人員的主要作用是：

□建議具體而詳細(xì)的控制程序

□保證設(shè)計(jì)準(zhǔn)確地反映了需求

□確保在開始設(shè)計(jì)的時(shí)候包括了所有必要的控制

□開發(fā)經(jīng)理嚴(yán)格遵守開發(fā)日程安排

■8下面哪一個(gè)目標(biāo)控制自我評(píng)估(CSA)計(jì)劃的目標(biāo)？

□關(guān)注高風(fēng)險(xiǎn)領(lǐng)域

□替換審計(jì)責(zé)任

□完成控制問(wèn)卷

□促進(jìn)合作研討會(huì)Collaborativefacilitativeworkshops

■9利用風(fēng)險(xiǎn)評(píng)估方法對(duì)信息安全管理的基準(zhǔn)辦法進(jìn)行評(píng)估的主要優(yōu)點(diǎn)時(shí)是保證：

□充分保護(hù)信息資產(chǎn)

□根據(jù)資產(chǎn)價(jià)值進(jìn)行基本水平的保護(hù)

□對(duì)于信息資產(chǎn)進(jìn)行合理水平的保護(hù)

□根據(jù)所有要保護(hù)的信息資產(chǎn)分配相應(yīng)的資源

■10審計(jì)軌跡的主要目的是：

□改善用戶響應(yīng)時(shí)間

□確定交易過(guò)程的責(zé)任和權(quán)利

□提高系統(tǒng)的運(yùn)行效率

□為審計(jì)人員追蹤交易提供有用的資料

■11在基于風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)方法中，審計(jì)人員除了風(fēng)險(xiǎn)，還受到以下那種因素影響：

□可以使用的CAATs

□管理層的陳述

□組織結(jié)構(gòu)和崗位職責(zé).

□存在內(nèi)部控制和運(yùn)行控制

■12對(duì)于組織成員使用控制自我評(píng)估(CSA)技術(shù)的主要好處是：

□可以確定高風(fēng)險(xiǎn)領(lǐng)域，以便以后進(jìn)行詳細(xì)的審查

□使審計(jì)人員可以獨(dú)立評(píng)估風(fēng)險(xiǎn)

□可以作來(lái)取代傳統(tǒng)的審計(jì)

□使管理層可以放棄relinquish對(duì)控制的責(zé)任

■13下列哪一種在線審計(jì)技術(shù)對(duì)于盡早發(fā)現(xiàn)錯(cuò)誤或異常最有效？

□嵌入審計(jì)模塊

□綜合測(cè)試設(shè)備Integratedtestfacility

□快照sanpshots

□審計(jì)鉤Audithooks

■14當(dāng)?個(gè)程序樣本被選中要確定源代碼和目標(biāo)代碼的版本一致性的問(wèn)題時(shí)，審計(jì)人員會(huì)用下面哪一種測(cè)試方

法？

□時(shí)于程序庫(kù)控制進(jìn)行實(shí)質(zhì)性測(cè)試

□對(duì)于程序庫(kù)控制進(jìn)行復(fù)合性測(cè)試

□對(duì)■于程序編譯控制的符合性測(cè)試

□對(duì)于程序編譯控制的實(shí)質(zhì)性測(cè)試

■15在實(shí)施連續(xù)監(jiān)控系統(tǒng)時(shí)，信息系統(tǒng)審計(jì)師第一步時(shí)確定：

□合理的開始(thresholds)指標(biāo)值

□組織的高風(fēng)險(xiǎn)領(lǐng)域

□輸出文件的位置和格式

□最有最高回報(bào)潛力的應(yīng)用程序

■16審計(jì)計(jì)劃階段，最重要的一步是確定：

□高風(fēng)險(xiǎn)領(lǐng)域

□審計(jì)人員的技能

□審計(jì)測(cè)試步驟

□審計(jì)時(shí)間

■17審計(jì)師被對(duì)一個(gè)應(yīng)用系統(tǒng)進(jìn)行實(shí)施后審計(jì)。下面哪種情況會(huì)損害信息系統(tǒng)審計(jì)師的獨(dú)立性？審計(jì)師：

□在應(yīng)用系統(tǒng)開發(fā)過(guò)程中，實(shí)施了具體的控制

□設(shè)計(jì)并嵌入了專門審計(jì)這個(gè)應(yīng)用系統(tǒng)的審計(jì)模塊

□作為應(yīng)用系統(tǒng)的項(xiàng)目組成員，但并沒有經(jīng)營(yíng)責(zé)任

□為應(yīng)用系統(tǒng)最佳實(shí)踐提供咨詢意見

■18審計(jì)中發(fā)現(xiàn)的證據(jù)表明，有一種欺詐舞弊行為與經(jīng)理的帳號(hào)有關(guān)。經(jīng)理把管理員分配給他的密碼寫在紙上后,

存放在書桌抽屜里。IS審計(jì)師可以推測(cè)的結(jié)論是：

□經(jīng)理助理有舞弊行為

□不能肯定無(wú)疑是誰(shuí)做的

□肯定是經(jīng)理進(jìn)行舞弊

□系統(tǒng)管理員進(jìn)行舞弊

■19為確保審計(jì)資源的價(jià)值分配給組織價(jià)值最大的部分，第一步將是：

□制定審計(jì)日程表并監(jiān)督花在每一個(gè)審計(jì)項(xiàng)目上的時(shí)間

□培養(yǎng)審計(jì)人員使用目前公司正在使用的最新技術(shù)

□根據(jù)詳細(xì)的風(fēng)險(xiǎn)評(píng)估確定審計(jì)計(jì)劃

□監(jiān)督審計(jì)的進(jìn)展并開始成本控制措施

■20審計(jì)師在評(píng)估一個(gè)公司的網(wǎng)絡(luò)是否可能被員工滲透，其中下列哪?個(gè)發(fā)現(xiàn)是審計(jì)師應(yīng)該最重視的？

□有一些外部調(diào)制解調(diào)器連接網(wǎng)絡(luò)

□用戶可以在他們的計(jì)算機(jī)上安裝軟件

□網(wǎng)絡(luò)監(jiān)控是非常有限的

□許多用戶帳號(hào)的密碼是相同的

■21信息系統(tǒng)審計(jì)師在控制自我評(píng)估(CSA)中的傳統(tǒng)角色是：

□推動(dòng)者(facilitator)

□經(jīng)理

□伙伴

□股東

■22下面哪一種審計(jì)技術(shù)為IS部門的職權(quán)分離提供了最好的證據(jù)：

□與管理層討論

□審查組織結(jié)構(gòu)圖

□觀察和面談

□測(cè)試用戶訪問(wèn)權(quán)限

■23IS審計(jì)師應(yīng)該最關(guān)注下面哪一種情況？

□缺少對(duì)成功攻擊網(wǎng)絡(luò)的報(bào)告

□缺少對(duì)于入侵企圖的通報(bào)政策

□缺少對(duì)于訪問(wèn)權(quán)限的定期審查

□沒有通告公眾有關(guān)入侵的情況

■24審計(jì)人員審計(jì)網(wǎng)絡(luò)操作系統(tǒng)。下面哪一個(gè)是審計(jì)人員應(yīng)該審計(jì)的用戶特征？

□可得到在線網(wǎng)絡(luò)文檔

□支持終端訪問(wèn)遠(yuǎn)程主機(jī)

□處理在主機(jī)和內(nèi)部用戶通信之間的文件傳輸

□執(zhí)行管理，審計(jì)和控制

■25審計(jì)師使用不完整的測(cè)試過(guò)程得出不存在重大錯(cuò)誤的結(jié)論，這種做法的風(fēng)險(xiǎn)實(shí)質(zhì)上是：

□固有的風(fēng)險(xiǎn).

□控制風(fēng)險(xiǎn)

□檢查危險(xiǎn)

□審計(jì)風(fēng)險(xiǎn)

■26審計(jì)章程應(yīng)采?。?/p>

□是動(dòng)態(tài)的和經(jīng)常變化的，以便適應(yīng)技術(shù)和和審計(jì)專業(yè)(professional)的改變

□清楚的說(shuō)明審計(jì)目標(biāo)和授權(quán)，維護(hù)和審核內(nèi)部控制

□文檔化達(dá)到計(jì)劃審計(jì)目標(biāo)的審計(jì)程序

□列出對(duì)審計(jì)功能的所有授權(quán)，范圍和責(zé)任

■27審計(jì)師已經(jīng)對(duì)一個(gè)金融應(yīng)用的數(shù)據(jù)完整性進(jìn)行了評(píng)估，下面哪一個(gè)發(fā)現(xiàn)是最重要的？

□應(yīng)用程序所有者不知道IT部門對(duì)系統(tǒng)實(shí)施的一些應(yīng)用

□應(yīng)用數(shù)據(jù)每周只備份一次

□應(yīng)用開發(fā)文檔不完整

□信息處理設(shè)施沒有受到適當(dāng)?shù)幕馂?zāi)探測(cè)系統(tǒng)的保護(hù)

■281s審計(jì)功能的一個(gè)主要目的是：

□確定每個(gè)人是否都按照工作說(shuō)明使用IS資源

□確定信息系統(tǒng)的資產(chǎn)保護(hù)和保持?jǐn)?shù)據(jù)的完整性

□對(duì)于計(jì)算機(jī)化的系統(tǒng)審查帳冊(cè)及有關(guān)證明文件

□確定該組織識(shí)別詐騙fraud的能力

■29進(jìn)行審計(jì)的時(shí)候，審計(jì)師發(fā)現(xiàn)存在病毒，IS審計(jì)師下一步應(yīng)該做什么？

□觀察反應(yīng)機(jī)制

□病毒清除網(wǎng)絡(luò)

□立即通知有關(guān)人員

□確保刪除病毒

■30審計(jì)章程的的主要目標(biāo)是：

□A記錄企業(yè)使用的審計(jì)流程

□B審計(jì)部門行動(dòng)計(jì)劃的正式文件

□C記錄審計(jì)師專業(yè)行為的行為準(zhǔn)則

□D說(shuō)明審計(jì)部門的權(quán)力和責(zé)任。

■31在對(duì)IT程序的安全性審計(jì)過(guò)程中，IS審計(jì)師發(fā)現(xiàn)沒有文件記錄安全程序，該審計(jì)員應(yīng)該：

□建立程序文件

□終止審計(jì)

□進(jìn)行一致性測(cè)試

□鑒定和評(píng)估現(xiàn)行做法

■32在風(fēng)險(xiǎn)分析期間，IS審計(jì)師已經(jīng)確定了威脅和潛在的影響，下一步IS審計(jì)師應(yīng)該：

□確定并評(píng)估管制層使用的風(fēng)險(xiǎn)評(píng)估過(guò)程

□確定信息資產(chǎn)和受影響的系統(tǒng)

□發(fā)現(xiàn)對(duì)管理者的威脅和影響

□鑒定和評(píng)估現(xiàn)有控制.

■33下面哪一項(xiàng)用于描述ITF(整體測(cè)試法)最合適？

□這種方法使IS審計(jì)師能夠測(cè)試計(jì)算機(jī)應(yīng)用程序以核實(shí)正確處理

□利用硬件和或軟件測(cè)試和審查計(jì)算機(jī)系統(tǒng)的功能

□這種方法能夠使用特殊的程序選項(xiàng)打印出通過(guò)計(jì)算機(jī)系統(tǒng)執(zhí)行的特定交易的流程

□IS系統(tǒng)審計(jì)師用于測(cè)試的種程序，可以用于處理tagging和擴(kuò)展交易和主文件記錄。

■341s審計(jì)師要判斷是否嚴(yán)格控制被授權(quán)者對(duì)于程序文檔的訪問(wèn)，最有可能的做法是：

□評(píng)估在存儲(chǔ)場(chǎng)所的文件保存計(jì)劃

□就當(dāng)前正在進(jìn)行的流程采訪程序員

□對(duì)比實(shí)際使用的記錄和操作表

□審查數(shù)據(jù)文件訪問(wèn)記錄測(cè)試管理庫(kù)的功能

■35需要進(jìn)一步收集哪些數(shù)據(jù)，IS審計(jì)師的決定取決于

□需要的重要信息的可用性

□審計(jì)師對(duì)于情況的熟悉程序

□審計(jì)人員(auditee)找到相關(guān)證據(jù)的能力

□進(jìn)行審計(jì)的目的和范圍

■36審查管理層的長(zhǎng)期戰(zhàn)略計(jì)劃有助于審計(jì)師：

□了解一個(gè)組織的宗旨和目標(biāo)

□測(cè)試企業(yè)的內(nèi)部控制

□評(píng)估組織隊(duì)信息系統(tǒng)的依賴性

□確定審計(jì)所需的資源

■37利用統(tǒng)計(jì)抽樣程序可以減少：

□抽樣風(fēng)險(xiǎn)

□檢查風(fēng)險(xiǎn)

□固有風(fēng)險(xiǎn)

□控制風(fēng)險(xiǎn)

■38IS審計(jì)師對(duì)軟件使用和許可權(quán)進(jìn)行審計(jì)，發(fā)現(xiàn)大量的PC安裝了未授權(quán)的軟件。IS審計(jì)師應(yīng)該采取下面哪種

行為？

□個(gè)人擅自刪除所有未授權(quán)軟件拷貝

□通知被審計(jì)人員非授權(quán)軟件的情況，并確認(rèn)刪除

□報(bào)告使用未經(jīng)授權(quán)軟體的情況，并需要管理層避免這種情況重復(fù)發(fā)生

□不采取任何行動(dòng)，因?yàn)檫@是一個(gè)公認(rèn)的慣例和做法，業(yè)務(wù)管理部門負(fù)責(zé)監(jiān)督這種使用

■39下面哪一項(xiàng)IS審計(jì)師可用來(lái)確定編輯和確認(rèn)程序的有效性(effectiveness)?

□域完整性測(cè)試

□相關(guān)完整性測(cè)試

□參照完整性測(cè)試

□奇偶校驗(yàn)檢查

■40下面哪一種情況下，IS審計(jì)師應(yīng)該用統(tǒng)計(jì)抽樣而不是判斷抽樣(nonstatistical)：

□錯(cuò)誤率必須被客觀量化(objectivelyquantified)

□審計(jì)師希望避免抽樣風(fēng)險(xiǎn)

□通用審計(jì)軟件不實(shí)用(unavailable)

□容忍誤差(tolerableerrorrate)不能確定

■41證明稅收計(jì)算系統(tǒng)精確性的最好的方法是：

□對(duì)于計(jì)算程序源代碼詳細(xì)目測(cè)審核和分析

□使用通用審計(jì)軟件對(duì)每個(gè)月計(jì)算的總數(shù)進(jìn)行重復(fù)的邏輯計(jì)算

□為處理流程準(zhǔn)備模擬交易，并和預(yù)先確定的結(jié)果進(jìn)行比較

□自動(dòng)分析流程圖和計(jì)算程序的源代碼

■42以下哪一個(gè)是使用測(cè)試數(shù)據(jù)的最大的挑戰(zhàn)？

□確定測(cè)試的程序的版本和產(chǎn)品程序的版本一致

□制造測(cè)試數(shù)據(jù)包括所有可能的有效和無(wú)效的條件

□對(duì)于測(cè)試的應(yīng)用系統(tǒng)，盡量減少附加交易的影響

□在審計(jì)師監(jiān)督下處理測(cè)試數(shù)據(jù)

■43電子郵件系統(tǒng)已經(jīng)成為一個(gè)有用的訴訟證據(jù)來(lái)源，下面哪一個(gè)是最有可能的原因？

□多重循環(huán)備份檔案可供利用

□訪問(wèn)控制可以確定電子郵件行為的責(zé)任

□對(duì)于通過(guò)電子郵件交流的信息盡心過(guò)數(shù)據(jù)分類管理

□企業(yè)中，用于確保證據(jù)可得的清晰的使用電子郵件的政策

■441s審計(jì)師對(duì)于應(yīng)用程序控制進(jìn)行審查，應(yīng)該評(píng)價(jià)：

□應(yīng)用程序?qū)τ跇I(yè)務(wù)流程的的效率

□發(fā)現(xiàn)的隱患exposures的影響

□應(yīng)用程序服務(wù)的業(yè)務(wù)

□應(yīng)用程序的優(yōu)化.

■45以下哪一個(gè)是最主要的優(yōu)勢(shì)，利用計(jì)算機(jī)司法軟件進(jìn)行調(diào)查：

□維護(hù)保管的一系列電子證據(jù)

□節(jié)約時(shí)間

□效率和效益

□尋求侵犯知識(shí)產(chǎn)權(quán)證據(jù)的能力

■46以下哪一個(gè)是使用ITF綜合測(cè)試法的優(yōu)勢(shì)？

□使用真實(shí)的或虛擬的主文件，1S審計(jì)師不需要審查交易的來(lái)源。

□定期檢驗(yàn)過(guò)程并不需要單獨(dú)分離測(cè)試過(guò)程

□證實(shí)應(yīng)用程序并可測(cè)試正在進(jìn)行的操作

□它無(wú)需準(zhǔn)備測(cè)試數(shù)據(jù).

■47風(fēng)險(xiǎn)分析的一個(gè)關(guān)鍵因素是：

□審計(jì)計(jì)劃.

□控制

□弱點(diǎn).Vulnerabilities

□負(fù)債liabilities

■48IS審計(jì)師的決策和行動(dòng)最有可能影響下面哪種風(fēng)險(xiǎn)？

□固有風(fēng)險(xiǎn)

□檢查分析

□控制風(fēng)險(xiǎn)

□業(yè)務(wù)風(fēng)險(xiǎn)

■49在一臺(tái)重要的服務(wù)器中，IS審計(jì)師發(fā)現(xiàn)了由已知病毒程序產(chǎn)生的木馬程序，這個(gè)病毒可以利用操作系統(tǒng)的弱

點(diǎn)。IS審計(jì)師應(yīng)該首先做什么？

□調(diào)查病毒的作者.

□分析操作系統(tǒng)日志

□確保惡意代碼已被清除

□安裝消除弱點(diǎn)vulnerability的補(bǔ)丁.

■50組織的IS部門希望確保用于信息處理設(shè)備的計(jì)算機(jī)文件有足夠的備份以便能進(jìn)行適當(dāng)?shù)幕謴?fù)。這是一種：

□控制程序.

□控制目標(biāo)

□糾正控制

□運(yùn)行控制.

■511s審計(jì)師審計(jì)1T控制的效果，發(fā)現(xiàn)了一份以前的審計(jì)報(bào)告，但是沒有工作記錄workpapers,IS審計(jì)師應(yīng)該

怎么處理？

□暫停審計(jì)直至找到工作記錄

□依靠以前的審計(jì)報(bào)告

□對(duì)于風(fēng)險(xiǎn)最高的區(qū)域重新測(cè)試控制

□通知審計(jì)管理層，重新測(cè)試控制

■521s審計(jì)師審查組織圖主要是為了：

□理解工作流程

□調(diào)查各種溝通渠道

□理解個(gè)人的責(zé)任和權(quán)利

□調(diào)查員工之間不同的聯(lián)系渠道

■531s審計(jì)師審查對(duì)于應(yīng)用程序的訪問(wèn)，以確定最近的10個(gè)“新用戶”是否被爭(zhēng)取的授權(quán)，這個(gè)例子是關(guān)于：

□變量抽芽

□實(shí)質(zhì)性測(cè)試

□符合性測(cè)試

□停-走抽樣.

■54當(dāng)需要審計(jì)軌跡的時(shí)候，以下哪一種審計(jì)工具最有用？

□綜合測(cè)試法(ITF)

□持續(xù)間斷模擬(CIS)

□審計(jì)鉤(audithook)

□快照

■55當(dāng)需要審計(jì)軌跡的時(shí)候，以下哪一種審計(jì)工具最有用？

□綜合測(cè)試法(ITF)

□持續(xù)間斷模擬(CIS)

□審計(jì)鉤(audithook)

□快照

■56以下哪一個(gè)是實(shí)質(zhì)性測(cè)試？

□檢查例外報(bào)告清單

□確認(rèn)對(duì)參數(shù)改變進(jìn)行審批

□對(duì)于磁帶庫(kù)清單進(jìn)行統(tǒng)計(jì)抽樣

□審核密碼歷史記錄

■57對(duì)于特定威脅的整體經(jīng)營(yíng)風(fēng)險(xiǎn)的威脅，可以表示如下：

□一種產(chǎn)品的可能性和影響的重要性，如果威脅暴露了弱點(diǎn)

□影響的重要性應(yīng)該是威脅來(lái)源暴露了弱點(diǎn)

□威脅來(lái)源暴露弱點(diǎn)的可能性

□風(fēng)險(xiǎn)評(píng)估小組的整體判斷

■58在審查客戶主文件的時(shí)候，IS審計(jì)師發(fā)現(xiàn)很多客戶的名字相同arisingfromvariationsincustomerfirstnames,

為了進(jìn)一步確定重復(fù)程度，IS設(shè)計(jì)師應(yīng)該：

□測(cè)試數(shù)據(jù)以確認(rèn)輸入數(shù)據(jù)

□測(cè)試數(shù)據(jù)以確定系統(tǒng)排序能力

□用通用審計(jì)軟件確定地址字段的重復(fù)情況

□用通用審計(jì)軟件確定帳戶字段的重復(fù)情況

■59通常，以下哪一種證據(jù)對(duì)IS審計(jì)師來(lái)說(shuō)最可靠？

□收到的來(lái)自第三方的核實(shí)帳戶余額確認(rèn)信

□一線經(jīng)理確保應(yīng)用程序如設(shè)計(jì)的方式工作

□從internet來(lái)源得到的數(shù)據(jù)趨勢(shì)(Trenddata)

□由一線經(jīng)理提供報(bào)告，IS審計(jì)師開發(fā)的比率分析(Ratioanalysis)

■60成功的實(shí)施控制自我評(píng)估(CSA)需要高度依賴：

□一線管理人員承擔(dān)部分監(jiān)督管理責(zé)任

□安排人員負(fù)責(zé)建設(shè)build管理,而不是監(jiān)督、控制

□實(shí)施嚴(yán)格的控制策略，和規(guī)則驅(qū)動(dòng)的控制

□監(jiān)督實(shí)施和并對(duì)控制職責(zé)進(jìn)行監(jiān)督monitoring

■61審計(jì)計(jì)劃階段，對(duì)于風(fēng)險(xiǎn)的評(píng)估用于提供：

□審計(jì)覆蓋重大事項(xiàng)的合理保證

□明確保證重大事項(xiàng)在審計(jì)工作中被覆蓋

□審計(jì)覆蓋所有事項(xiàng)的合理保證

□充分保證所有事項(xiàng)在審計(jì)工作中被覆蓋

■62下面哪一項(xiàng)是使用基于風(fēng)險(xiǎn)方法的審計(jì)計(jì)劃的好處？審計(jì)

□日程安排可以提前完成.

□預(yù)算更符合IS審計(jì)人員的需要

□人員可以使用不同的技術(shù)

□資源分配給高風(fēng)險(xiǎn)領(lǐng)域

■63IS審計(jì)人員使用數(shù)據(jù)流程圖是用來(lái)

□定義數(shù)據(jù)層次

□突出高級(jí)別數(shù)據(jù)定義.

□用圖表化方式描述數(shù)據(jù)路徑和存儲(chǔ)

□描繪一步一步數(shù)據(jù)產(chǎn)生的詳細(xì)資料

■64在對(duì)數(shù)據(jù)中心進(jìn)行安全審計(jì)時(shí)，通常審計(jì)師第一步要采取的是：

□評(píng)級(jí)物理訪問(wèn)控制測(cè)試的結(jié)果

□確定對(duì)于數(shù)據(jù)中心站點(diǎn)的風(fēng)險(xiǎn)/威脅

□審查業(yè)務(wù)持續(xù)程序

□測(cè)試對(duì)于可疑站點(diǎn)的物理訪問(wèn)的證據(jù)

■65高層管理要求IS審計(jì)師幫助部門管理者實(shí)施必要的控制，IS審計(jì)師應(yīng)該：

□拒絕這種安排，因?yàn)檫@不是審計(jì)人員的職責(zé)

□告訴管理層將來(lái)他的審計(jì)工作無(wú)法進(jìn)行

□執(zhí)行安排和將來(lái)的審計(jì)工作，處于職業(yè)謹(jǐn)慎

□在得到用戶部門批準(zhǔn)的情況下，進(jìn)行實(shí)施和后續(xù)工作

■66在制定風(fēng)險(xiǎn)基礎(chǔ)審計(jì)策略時(shí)，IS審計(jì)師需要進(jìn)行風(fēng)險(xiǎn)評(píng)估審計(jì)，目的是保證：

□減輕風(fēng)險(xiǎn)的控制到位

□確定了脆弱性和威脅

□審計(jì)風(fēng)險(xiǎn)的考慮.

□Gap差距分析是合適的.

■67當(dāng)通知審計(jì)結(jié)果時(shí)，IS審計(jì)師應(yīng)該牢記他們的最終責(zé)任是對(duì)：

□高級(jí)管理和/或?qū)徲?jì)委員會(huì).

□被審計(jì)單位的經(jīng)理.

□IS審計(jì)主管.

□法律部門legalauthorities

■68對(duì)于抽樣可以這樣認(rèn)為：

□當(dāng)相關(guān)的總體不具體或者是控制沒有文檔記錄時(shí)intangibleorundocumentedcontrol,適用于統(tǒng)計(jì)抽樣。

□如果審計(jì)師知道內(nèi)部控制是強(qiáng)有力的，可以降低置信系數(shù)

□屬性抽樣通過(guò)在盡可能早的階段停止抽樣可以避免過(guò)度抽樣。

□變量抽樣是一種技術(shù)，用于評(píng)估某種控制或一系列相關(guān)控制的發(fā)生率。

■691s審計(jì)師評(píng)估系統(tǒng)變更的測(cè)試結(jié)果，這個(gè)系統(tǒng)用于處理繳納結(jié)算paymentcomputation。審計(jì)師發(fā)現(xiàn)50%的

計(jì)算結(jié)果不能和預(yù)先定義的總數(shù)匹配。IS審計(jì)師最有可能采取下面哪一步措施？

□對(duì)于出錯(cuò)的計(jì)算，設(shè)計(jì)進(jìn)一步的測(cè)試

□確定可能導(dǎo)致測(cè)試結(jié)果錯(cuò)誤的變量

□檢查部分測(cè)試案例，以便確認(rèn)結(jié)果

□記錄結(jié)果，準(zhǔn)備包括發(fā)現(xiàn)、結(jié)論和建議的報(bào)告

■70在實(shí)施對(duì)于多用戶分布式應(yīng)用程序的審核時(shí)，IS審計(jì)師發(fā)現(xiàn)在三個(gè)方面存在小的弱點(diǎn)：初始參數(shù)設(shè)置不當(dāng)，

正在適用的弱密碼，一些關(guān)鍵報(bào)告沒有被很好的檢查。當(dāng)準(zhǔn)備審計(jì)報(bào)告時(shí)，IS審計(jì)師應(yīng)該：

□分別記錄對(duì)于每個(gè)發(fā)現(xiàn)產(chǎn)生的相關(guān)影響。(recordtheobservationsseparatelywiththeimpactofeachof

themmarkedagainsteachrespectivefinding.)

□建議經(jīng)理關(guān)于可能的風(fēng)險(xiǎn)不記錄這些發(fā)現(xiàn)，因?yàn)榭刂迫觞c(diǎn)很小

□記錄發(fā)現(xiàn)的結(jié)果和由于綜合缺陷引發(fā)的風(fēng)險(xiǎn)

□報(bào)告部門領(lǐng)導(dǎo)重視每一個(gè)發(fā)現(xiàn)并在報(bào)告中適當(dāng)?shù)挠涗?/p>

■71人力資源的副總裁要求審計(jì)確定上一年度工資發(fā)放中多付報(bào)酬的部分，這種情況下最好使用下面哪一種審計(jì)

技術(shù)？

□測(cè)試數(shù)據(jù)

□通用審計(jì)軟件

□ITF綜合測(cè)試法

□嵌入審計(jì)模塊

■72持續(xù)審計(jì)方法的主要優(yōu)點(diǎn)是：

□當(dāng)處理過(guò)程開始的時(shí)候，不要求審計(jì)師就系統(tǒng)的可靠性收集證據(jù)

□當(dāng)所有信息收集完成后，需要審計(jì)師審查并立即采取行動(dòng)

□可以提高系統(tǒng)的安全性，當(dāng)使用分時(shí)環(huán)境處理大量的交易時(shí)

□不依靠組織的計(jì)算機(jī)系統(tǒng)的復(fù)雜性。

■73在審計(jì)章程中記錄的審計(jì)功能中的責(zé)任、權(quán)力和經(jīng)營(yíng)責(zé)任responsibility,authorityandaccountability,必須：

□必須經(jīng)最高管理層批準(zhǔn)

□經(jīng)審計(jì)部門管理者批準(zhǔn)

□經(jīng)用戶部門領(lǐng)導(dǎo)批準(zhǔn)

□在每年IS審計(jì)師大會(huì)commencement之前修改

■74IS審計(jì)師從一個(gè)客戶的數(shù)據(jù)庫(kù)引入數(shù)據(jù)。下一步需要確認(rèn)輸入數(shù)據(jù)是否完整，是由：

□匹配輸入數(shù)據(jù)的控制總數(shù)和原始數(shù)據(jù)的控制總數(shù)

□對(duì)數(shù)據(jù)進(jìn)行排序以確認(rèn)是否數(shù)據(jù)和原始數(shù)據(jù)的序號(hào)相同

□審查打印輸出的前100條原始記錄和輸入數(shù)據(jù)的前100條記錄

□按照不同的分類過(guò)濾數(shù)據(jù)，和原始數(shù)據(jù)核對(duì)

■75在評(píng)估網(wǎng)絡(luò)監(jiān)測(cè)控制時(shí)，IS審計(jì)師第一步應(yīng)該審核網(wǎng)絡(luò)的

□A拓樸圖.

□帶寬使用.

□阻塞分析報(bào)告

□瓶頸確定

■76IS審計(jì)師評(píng)估信息系統(tǒng)的管理風(fēng)險(xiǎn)。IS審計(jì)師應(yīng)該最先審查：

□已經(jīng)實(shí)施的控制

□已經(jīng)實(shí)施控制的有效性

□資產(chǎn)的風(fēng)險(xiǎn)監(jiān)督機(jī)制

□資產(chǎn)的脆弱性和威脅

■77在有異議的情況下，離開審計(jì)面談中xitinterview,考慮到結(jié)果的影響，IS審計(jì)師應(yīng)該：

□要求被審計(jì)人員以簽名的形式接受所有法律責(zé)任

□闡述調(diào)查的意義和不糾正的風(fēng)險(xiǎn)

□向?qū)徲?jì)委員會(huì)報(bào)告有異議的情況

□接收被審計(jì)方的意見，因?yàn)樗麄冇刑幚淼乃袡?quán)

■78確定商品庫(kù)存的價(jià)值己超過(guò)八周，IS審計(jì)師最有可能是用：

□測(cè)試數(shù)據(jù).

□統(tǒng)計(jì)抽樣

□綜合測(cè)試法ITF

□通用審計(jì)軟件

■79下列哪一個(gè)是風(fēng)險(xiǎn)評(píng)估過(guò)程的描述？風(fēng)險(xiǎn)評(píng)估是：

□主觀.

□客觀.

□數(shù)學(xué)方法

□統(tǒng)計(jì)

■80綜合測(cè)試法ITF被認(rèn)為是一個(gè)有用的工具，因?yàn)樗?/p>

□對(duì)于審計(jì)應(yīng)用控制來(lái)說(shuō)，是一種具有成本效益的方式

□允許財(cái)務(wù)和IS審計(jì)師整合他們的測(cè)試

□將處理的輸出結(jié)果與單獨(dú)計(jì)算的數(shù)據(jù)進(jìn)行比較。

口為IS審計(jì)師提供分析大量信息的工具

■81在審計(jì)報(bào)告確認(rèn)發(fā)現(xiàn)的結(jié)果finding后，被審計(jì)方迅速采取了糾正行動(dòng)。審計(jì)師應(yīng)該：

□在最后報(bào)告中包括發(fā)現(xiàn)的結(jié)果，因?yàn)镮S師要負(fù)責(zé)正確的審計(jì)報(bào)告包括所有的發(fā)現(xiàn)結(jié)果。

□在最后的調(diào)查報(bào)告中不包括發(fā)現(xiàn)結(jié)果，因?yàn)閷徲?jì)報(bào)告僅僅包括未解決的發(fā)現(xiàn)結(jié)果

□在最后的調(diào)查報(bào)告中不包括發(fā)現(xiàn)結(jié)果，因?yàn)樵趯徲?jì)師審計(jì)期間，糾正行動(dòng)已經(jīng)被確認(rèn)。

□包括結(jié)果，僅僅在閉幕會(huì)議上討論調(diào)查之用。

■82以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)方法，IS審計(jì)師應(yīng)該首先完成：

□固有的風(fēng)險(xiǎn)評(píng)估.

□控制風(fēng)險(xiǎn)評(píng)估.

□控制測(cè)試評(píng)估.

□實(shí)質(zhì)性測(cè)試評(píng)估.

Chapter2

1.下面哪一種IT治理是提高戰(zhàn)略聯(lián)盟（alignment）的最佳做法？

a）供應(yīng)商和合作伙伴的風(fēng)險(xiǎn)管理.

b）基于客戶、產(chǎn)品、市場(chǎng)、流程的知識(shí)庫(kù)實(shí)施到位.

c）提供有利于于建立和共享商業(yè)信息的組織結(jié)構(gòu).

d）高層之間對(duì)于業(yè)務(wù)和技術(shù)責(zé)任的協(xié)調(diào)

2.建立可接受的風(fēng)險(xiǎn)水平的責(zé)任屬于：

a）質(zhì)量保證經(jīng)理.

b）高級(jí)業(yè)務(wù)管理.

c）CIO首席信息主管.

d）首席安全主管

3.作為信息安全治理成果，戰(zhàn)略聯(lián)盟提供：

a）企業(yè)需求驅(qū)動(dòng)的安全要求.

b）按照最佳實(shí)踐制定的安全基線.

c）專門的或客戶定制的解決方案.

d）了解風(fēng)險(xiǎn).

4.如果缺乏高層管理人員對(duì)于戰(zhàn)略計(jì)劃的許諾（commitment）,最可能的后果是：

a）缺乏技術(shù)投資.

b）缺乏系統(tǒng)開發(fā)的方法.

c）技術(shù)與組織目標(biāo)不一致.

d）缺乏對(duì)于技術(shù)合同的控制.

5.用自下而上的方法來(lái)開發(fā)組織政策的優(yōu)勢(shì)在于這樣開發(fā)的政策：

a）為組織整體而指定.

b）更可能來(lái)自于風(fēng)險(xiǎn)評(píng)估的結(jié)果.

c）與企業(yè)整體政策不會(huì)沖突.

d）確保整個(gè)組織的一致性

6.IS審計(jì)師發(fā)現(xiàn)并不是所有的員工都知道企業(yè)的信息安全政策.IS審計(jì)師可以得出的結(jié)論是:

a）這種無(wú)知有可能導(dǎo)致意外泄漏敏感資料

b）信息安全并非對(duì)所有功能都是關(guān)鍵的.

c）IS審計(jì)師應(yīng)該為員工提供安全培訓(xùn).

d）D審計(jì)結(jié)果應(yīng)該使管理者為員工提供持續(xù)的培訓(xùn)

7.有效的IT治理應(yīng)該確保IT計(jì)劃符合組織的：

a）業(yè)務(wù)計(jì)劃.

b）審計(jì)計(jì)劃.

c）安全計(jì)劃.

d）投資計(jì)劃.

8.當(dāng)通信分析人員進(jìn)行下面哪一項(xiàng)的時(shí)候，1S審計(jì)師應(yīng)該給予重點(diǎn)關(guān)注？

a）監(jiān)測(cè)系統(tǒng)性能，追蹤程序變動(dòng)導(dǎo)致的問(wèn)題

b）根據(jù)當(dāng)前和未來(lái)的交易量，審查網(wǎng)絡(luò)負(fù)載需求

c）評(píng)價(jià)終端響應(yīng)時(shí)間和網(wǎng)絡(luò)數(shù)據(jù)傳輸率對(duì)于網(wǎng)絡(luò)負(fù)載的影響

d）網(wǎng)絡(luò)負(fù)載平衡措施和改進(jìn)建議

9.下面哪一項(xiàng)最可能喑示，客戶數(shù)據(jù)倉(cāng)庫(kù)應(yīng)該山內(nèi)部開發(fā)而不是外包給海外運(yùn)營(yíng)？

a）時(shí)差不同有可能影響IT團(tuán)隊(duì)的溝通

b）通信費(fèi)在第一年非常高

c）有關(guān)隱私權(quán)的法律可能會(huì)阻礙信息跨國(guó)界傳輸

d）軟件開發(fā)需要更詳細(xì)的說(shuō)明

10.當(dāng)一名員工被解雇時(shí)?，需要采取的最重要的行動(dòng)是：

a）交出全部職工的檔案給指定的另一名雇員.

b）完成員工工作的備份.

c）通知其他員工關(guān)于該員工的解雇通知.

d）解除該員工的邏輯訪問(wèn)權(quán)限.

11.在處理可疑入侵時(shí)，一個(gè)合理的信息安全策略最有可能包括下列哪一項(xiàng)?

a）反應(yīng)

b）糾錯(cuò)

c）檢測(cè)

d）監(jiān)控

12.1S審計(jì)師在審查使用交叉培訓(xùn)做法的組織時(shí)，應(yīng)該評(píng)估哪一種風(fēng)險(xiǎn)？

a）對(duì)于單個(gè)員工的依賴性

b）連續(xù)性計(jì)劃不夠充分

c）一個(gè)員工了解系統(tǒng)的所有部分

d）錯(cuò)誤操作.

13.1S審計(jì)師在審查IT設(shè)備的外包合同的時(shí)候，希望合同確定的是：

a）硬件配置.

b）訪問(wèn)控制軟件.

c）知識(shí)產(chǎn)權(quán)的所有權(quán).

d）開發(fā)應(yīng)用方法.

14.設(shè)計(jì)信息安全政策時(shí)，最重要的一點(diǎn)是所有的信息安全政策應(yīng)該：

a）非現(xiàn)場(chǎng)存儲(chǔ).

b）由IS經(jīng)理簽署writtenbyISmanagement

c）分發(fā)并傳播給用戶.

d）經(jīng)常更新.

15.當(dāng)評(píng)價(jià)組織的IS戰(zhàn)略時(shí)候，下面哪一項(xiàng)IS審計(jì)師認(rèn)為是最重要的？

a）獲得一線管理人員linemanagement的支持

b）不能與IS部門初步預(yù)算有差異

c）遵守采購(gòu)程序

d）支持該組織的業(yè)務(wù)目標(biāo)

16.缺乏足夠的安全控制是一個(gè)：

a）威脅.

b）資產(chǎn).

c）影響.

d）脆弱性.

17.對(duì)于IT安全策略的審計(jì)的主要目的是保證

a）策略向所有員工分發(fā)，并且每個(gè)員工都知道

b）安全和控制策略支持業(yè)務(wù)和IT目標(biāo)

c）有公開發(fā)行的組織圖表和功能描述

d）適當(dāng)?shù)穆氊?zé)分離.

18.制訂風(fēng)險(xiǎn)管理計(jì)劃時(shí)，首先進(jìn)行的活動(dòng)是：

a）風(fēng)險(xiǎn)評(píng)估.

b）數(shù)據(jù)分類.

c）資產(chǎn)清單.

d）關(guān)鍵性分析.

19.制訂風(fēng)險(xiǎn)管理計(jì)劃時(shí)，首先進(jìn)行的活動(dòng)是：

a）風(fēng)險(xiǎn)評(píng)估.

b）數(shù)據(jù)分類.

c）資產(chǎn)清單.

d）關(guān)鍵性分析.

20.風(fēng)險(xiǎn)分析小組很難預(yù)測(cè)由可能會(huì)由風(fēng)險(xiǎn)造成的經(jīng)濟(jì)損失，要評(píng)估潛在的損失，小組需要：

a）計(jì)算有關(guān)資產(chǎn)的折舊.

b）計(jì)算投資回報(bào)率（ROI）.

c）采用定性的方法.

d）花費(fèi)必要的時(shí)間精確計(jì)算損失金額

21.以下哪一項(xiàng)是由于對(duì)于數(shù)據(jù)和系統(tǒng)的所有權(quán)定義不充分導(dǎo)致的最大的風(fēng)險(xiǎn)？

a）管理協(xié)調(diào)用戶不存在.

b）無(wú)法明確特定用戶責(zé)任

c）未授權(quán)用戶可以產(chǎn)生，修改和刪除數(shù)據(jù)

d）審計(jì)建議無(wú)法實(shí)施

22.要支持組織的目標(biāo)，信息部門應(yīng)該具有：

a）低成本理念.

b）長(zhǎng)期和短期計(jì)劃.

c）領(lǐng)先的技術(shù).

d）購(gòu)買新的硬件和軟件的計(jì)劃.

23.為降低成本并提高外包的服務(wù)水平，外包應(yīng)該包括以下哪些合同條款？

a）操作系統(tǒng)和軟硬件更新的周期

b）共同分享由于提高績(jī)效獲得的收益Gain-sharingperformancebonuses

c）違規(guī)處罰

d）費(fèi)用和可變成本Chargestiedtovariablecostmetrics

24.24.以下哪一項(xiàng)提供了管理機(jī)制使IS管理層能夠確定是否該組織活動(dòng)的計(jì)劃偏離了計(jì)劃或預(yù)期的水平？

a）質(zhì)量管理

b）Is評(píng)估方法

c）管理原則

d）行業(yè)標(biāo)準(zhǔn)/基準(zhǔn)

25.25.IS控制目標(biāo)對(duì)于IS審計(jì)師的用途體現(xiàn)在它們提供了基礎(chǔ)，以便于理解：

a）實(shí)現(xiàn)特定控制程序的預(yù)期結(jié)果和目標(biāo)

b）對(duì)于特定實(shí)體的最佳IT安全控制措施

c）信息安全的技術(shù).

d）安全策略

26.對(duì)于公司的IS審計(jì)師來(lái)說(shuō)，考慮外包IT過(guò)程并審查每一個(gè)供應(yīng)商的業(yè)務(wù)持續(xù)計(jì)劃的副本是合適的的么？

□是合適的，因?yàn)镮S審計(jì)師會(huì)評(píng)估服務(wù)商計(jì)劃的充分性，并幫助公司實(shí)施補(bǔ)充計(jì)劃

□是合適的，因?yàn)楦鶕?jù)計(jì)?劃，IS審計(jì)師要評(píng)估服務(wù)方的財(cái)務(wù)穩(wěn)定性和履行合同的能力

□不合適，因?yàn)樘峁┑膫浞菰诤贤袘?yīng)該是具體充分的

□不合適，因?yàn)榉?wù)方的業(yè)務(wù)持續(xù)計(jì)劃是私有的信息

27.當(dāng)服務(wù)被外包的時(shí)候，以下哪一個(gè)是IS管理者最重要的職能？

□:確保支付給服務(wù)商發(fā)票

□作為參加者參與系統(tǒng)設(shè)計(jì)

□重新和服務(wù)商關(guān)于費(fèi)用進(jìn)行談判

□監(jiān)督外包商的業(yè)績(jī)

■28.當(dāng)IT支持部門和終端用戶之間的責(zé)權(quán)分離問(wèn)題很重要時(shí)，應(yīng)該采取下面哪種補(bǔ)償控制？

□限制物理訪問(wèn)計(jì)算機(jī)設(shè)備

□審查交易和應(yīng)用II志

□在雇用IT部門人員時(shí)進(jìn)行背景調(diào)查

□一段時(shí)間不活動(dòng)后，鎖定用戶進(jìn)程

■29.對(duì)于組織來(lái)說(shuō)外包其數(shù)據(jù)處理業(yè)務(wù)的可能的優(yōu)勢(shì)是：

□能夠獲得所需要的外部的專家經(jīng)驗(yàn)

□可以對(duì)處理行使更大的控制

□可以實(shí)施和內(nèi)部確定處理的優(yōu)先權(quán)

□溝通用戶需求時(shí)，需要更多的用戶參與

■30.IS指導(dǎo)委員會(huì)應(yīng)該：

□包括來(lái)自各個(gè)部門和各個(gè)層次的員工

□確保IS安全政策和程序被適當(dāng)?shù)膱?zhí)行

□有正式的定期召開例會(huì)，并保留每一次會(huì)議記錄

□在每一次供應(yīng)商召集的會(huì)議上，記錄新的趨勢(shì)和產(chǎn)品

■31.某個(gè)長(zhǎng)期雇員是具有強(qiáng)大的技術(shù)背景和廣泛的管理經(jīng)驗(yàn)，申請(qǐng)1S審計(jì)部門的一個(gè)空缺職位。確定是否在此

崗位上是否聘用此人需要考慮個(gè)人經(jīng)驗(yàn)和：

□服務(wù)時(shí)間，因?yàn)檫@將有助于確保技術(shù)水平.

□年齡，因?yàn)榕嘤?xùn)審計(jì)技術(shù)可能不切實(shí)際.

□1S知識(shí)，因?yàn)檫@會(huì)帶來(lái)提高審計(jì)工作的可信度.

□能力，因?yàn)樽鳛镮S審計(jì)師，與現(xiàn)有的IS關(guān)系是獨(dú)立的

■32.許多組織要求雇員強(qiáng)制性休假一周以上是為了：

□確保員工保持良好的生活品質(zhì)，這將帶來(lái)更大的生產(chǎn)率.

□減少雇員從事非法或不當(dāng)行為的機(jī)會(huì).

□為其他雇用提供適當(dāng)?shù)慕徊媾嘤?xùn).

□消除員工休假一次一天的潛在的干擾

■33.在實(shí)施平衡計(jì)分卡之前，該組織必須：

□提供切實(shí)有效的服務(wù).

□確定關(guān)鍵性能指標(biāo).

□提供該項(xiàng)目的商業(yè)價(jià)值.

□控制IT支出.

■34.在企業(yè)資源計(jì)劃(ERP)系統(tǒng)中總帳的設(shè)置功能允許設(shè)置會(huì)計(jì)期間。對(duì)于這項(xiàng)功能允許財(cái)務(wù)，倉(cāng)庫(kù)和訂單

輸入部門的用戶都可以使用這項(xiàng)功能。這種廣泛的訪問(wèn)權(quán)的最可能的原因是：

□需要定期更改會(huì)計(jì)期間

□一個(gè)會(huì)計(jì)期間結(jié)束后，需要追加記帳

□缺少適當(dāng)?shù)恼吆统绦蜻M(jìn)行職責(zé)分工

□需要建立和修改關(guān)于賬目和分配的圖表

■35.在IS部門中，下面哪一項(xiàng)IS審計(jì)師認(rèn)為是和IS部門的短期計(jì)劃最相關(guān)的？

□資源分配

□保持技術(shù)的領(lǐng)先水平

□進(jìn)行評(píng)估自我控制

□硬件需求評(píng)估

■36.評(píng)估1T風(fēng)險(xiǎn)的最佳辦法是：

□評(píng)估與現(xiàn)有IT資產(chǎn)和IT項(xiàng)目相關(guān)的威脅

□利用公司以往的實(shí)際經(jīng)驗(yàn)，確定當(dāng)前風(fēng)險(xiǎn)損失.

□審查同類公司公布的損失統(tǒng)計(jì)數(shù)據(jù)

□審查IS審計(jì)報(bào)告中指出的控制弱點(diǎn)

■37.以下哪一個(gè)是IT績(jī)效衡量過(guò)程的主要目的？

□最小化錯(cuò)誤

□收集績(jī)效數(shù)據(jù).

□建立績(jī)效基準(zhǔn).

□績(jī)效優(yōu)化.

■38.讓業(yè)務(wù)單位擔(dān)任開發(fā)應(yīng)用業(yè)務(wù)的責(zé)任，很可能會(huì)導(dǎo)致：

□:數(shù)據(jù)通信的需求大幅度減少.

□行使較低水平的控制.

□實(shí)行更高層次的控制.

□改善職責(zé)分工.

■39.IS審計(jì)師受雇審查電子商務(wù)安全。IS審計(jì)師的第一個(gè)任務(wù)是檢查每一個(gè)現(xiàn)有的電子商務(wù)應(yīng)用以查找脆弱性。

下一步工作是什么？

□立即向CIO或CEO報(bào)告風(fēng)險(xiǎn)

□檢查開發(fā)中的電子商務(wù)應(yīng)用.

□確定威脅和發(fā)生的可能性.

□核對(duì)風(fēng)險(xiǎn)管理的可行預(yù)算.

■40.以下哪一項(xiàng)是創(chuàng)建防火墻策略的第一步？

□對(duì)于安全應(yīng)用的成本效益分析方法

□識(shí)別外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用

□識(shí)別外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用的脆弱性

□設(shè)立應(yīng)用控制矩陣，顯示保障辦法

■41.確保組織遵守隱私的要求，IS審計(jì)師應(yīng)該首先審查：

□IT基礎(chǔ)設(shè)施.

□組織的政策、標(biāo)準(zhǔn)和程序.

□法律和規(guī)章的規(guī)定.

□組織政策、標(biāo)準(zhǔn)和程序的附件.

■42.組織的管理層決定建立一個(gè)安全通告awareness程序。下面哪一項(xiàng)可能是程序的一部分？

□利用入侵偵測(cè)系統(tǒng)報(bào)告事件

□授權(quán)使用密碼訪問(wèn)所有軟件

□安裝高效的用戶II志系統(tǒng)，以追蹤記錄每個(gè)用戶的行為

□定期培訓(xùn)所有當(dāng)前員工和新進(jìn)員工

■43.以下哪一項(xiàng)是減輕職責(zé)劃分不當(dāng)引發(fā)風(fēng)險(xiǎn)的補(bǔ)償控制？

□序列檢驗(yàn)

□核對(duì)數(shù)字

□源文件保存

□批控制Reconciliations

■44.IT平衡記分卡是一種業(yè)務(wù)的監(jiān)督管理工具目的是為了監(jiān)督IT性能評(píng)價(jià)指標(biāo)而不是

□財(cái)務(wù)狀況.

□客戶滿意度

□內(nèi)部過(guò)程的效率.

□創(chuàng)新能力

■45.由上而下的方式建立的業(yè)務(wù)政策將有助于保證：

□政策在整個(gè)組織的范圍內(nèi)一致.

□政策作為風(fēng)險(xiǎn)評(píng)估的一部分實(shí)施

□遵守所有政策.

□政策被定期檢討.

■46.以下哪一項(xiàng)是IT指導(dǎo)委員會(huì)的職能：

□監(jiān)測(cè)供應(yīng)商對(duì)于變更控制的控制和測(cè)試

□保證信息處理環(huán)境中的職責(zé)分離

□審批和監(jiān)管重大項(xiàng)目，IS計(jì)劃和預(yù)算的情況

□IS部門和終端用戶之間的聯(lián)系

■47.其中哪一項(xiàng)應(yīng)包括在組織的信息安全政策中？

□要保護(hù)的關(guān)健IT資源列表

□訪問(wèn)授權(quán)的基本原則

□確定敏感安全特征

□相關(guān)的軟件安全特征

■48.在一個(gè)組織內(nèi)，IT安全的責(zé)任被清楚的定義和強(qiáng)化，并始終如一地執(zhí)行IT安全的風(fēng)險(xiǎn)和影響分析。這表示

的是信息安全治理成熟度模型的哪一級(jí)？

□優(yōu)化.

□管理

□定義

□重復(fù)

■49.IS審計(jì)師在審查信息系統(tǒng)短期(戰(zhàn)術(shù))計(jì)劃時(shí)應(yīng)確定是否：

□在項(xiàng)目中，IS人員和業(yè)務(wù)人員進(jìn)行了整合

□有明確的目標(biāo)和任務(wù)

□信息技術(shù)計(jì)劃戰(zhàn)略方法在發(fā)揮作用

□將業(yè)務(wù)目標(biāo)和IS目標(biāo)進(jìn)行關(guān)聯(lián)的計(jì)劃

■50.局域網(wǎng)(LAN)管理員通常受限制于(不能)：

□具有終端用戶權(quán)限

□向終端用戶經(jīng)理報(bào)告

□具有編程權(quán)限

□負(fù)責(zé)局域網(wǎng)安全管理

■51.一個(gè)組織收購(gòu)其他企業(yè)，并繼續(xù)使用其遺留的電子數(shù)據(jù)交換系統(tǒng)，和三個(gè)獨(dú)立的增值網(wǎng)供應(yīng)商。沒有書面

的增值網(wǎng)合同。IS審計(jì)師應(yīng)該建議管理者：

□獲取第三方服務(wù)提供商的獨(dú)立保證

□設(shè)置程序監(jiān)督第三方交付的服務(wù)

□確保正式合同發(fā)揮作用

□考慮和第三方服務(wù)提供商共同開發(fā)業(yè)務(wù)持續(xù)計(jì)劃

■52.對(duì)于成功實(shí)施和維護(hù)安全政策來(lái)說(shuō)，以下哪一項(xiàng)是最重要的？

□各方的書面安全策略的結(jié)構(gòu)和目的都?致。Assimilationoftheframeworkandintentofawrittensecurity

policybyallappropriateparties

□管理層支持并批準(zhǔn)實(shí)施和維護(hù)安全政策

□通過(guò)對(duì)任何違反安全規(guī)則的行為進(jìn)行懲罰來(lái)強(qiáng)調(diào)安全規(guī)測(cè)

□安全管理人員通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行，監(jiān)督和強(qiáng)調(diào)安全規(guī)則

■53.下列哪一項(xiàng)減少了潛在的社會(huì)工程攻擊的影響：

□遵守規(guī)定要求

□提高道德意識(shí)

□安全意識(shí)awareness程序

□有效的業(yè)績(jī)激勵(lì)

■54.以F是一種機(jī)制可以減輕風(fēng)險(xiǎn).

□安全和控制措施

□財(cái)產(chǎn)責(zé)任保險(xiǎn)

□審計(jì)和鑒證

□合同服務(wù)水平協(xié)議(SLA)

■55.電子取證的風(fēng)險(xiǎn)可能會(huì)減少的原因是通過(guò)電子郵件的：

□破壞政策.

□安全政策.

□存檔政策

□審計(jì)政策

■56.IS審計(jì)師審查組織的IS戰(zhàn)略計(jì)劃，首先要審查：

□現(xiàn)有的IT環(huán)境

□業(yè)務(wù)計(jì)劃

□目前的IT預(yù)算.

□目前的技術(shù)趨勢(shì)

□

■57.技術(shù)變革的速度增加了下面哪一項(xiàng)的重要性：

□外包IS功能.

□實(shí)施和強(qiáng)化良好流程

□員工在組織中的建立事業(yè)的愿望

□滿足用戶要求

■58.將會(huì)在組織的戰(zhàn)略計(jì)劃中發(fā)現(xiàn)下面哪?個(gè)目標(biāo)？

□測(cè)試新的帳戶包Testanewaccountingpackage

□進(jìn)行信息技術(shù)需求評(píng)估

□在接下來(lái)的12個(gè)月中實(shí)施新的項(xiàng)目計(jì)劃

□成為某種產(chǎn)品的供應(yīng)商

■59.制定一個(gè)安全政策是哪一個(gè)部門的最終責(zé)任：

□IS部門.

□安全委員會(huì).

□安全管理員.

□董事會(huì)

■60.IT治理是哪一項(xiàng)的主要責(zé)任：

□首席執(zhí)行官.

□董事會(huì)

口IT指導(dǎo)委員會(huì).

□審計(jì)委員會(huì).

■61.IS審計(jì)師對(duì)于與員工相關(guān)的IS管理實(shí)踐審計(jì)進(jìn)行?般控制審計(jì)，應(yīng)該特別關(guān)注的是：

□強(qiáng)制休假政策和遵守情況.

□人員分類和公平的補(bǔ)償政策.

□員工培訓(xùn).

□分配給員工的職責(zé).

■62.從控制角度而言，工作的描述的關(guān)鍵要素在于他們：

□提供如何工作的說(shuō)明和明確的授權(quán)

□對(duì)于員工來(lái)說(shuō)是更新的，文檔化，并且容易得到

□溝通管理者的具體工作業(yè)績(jī)預(yù)期.

□確立員工行為的責(zé)任和義務(wù)

■63.下列哪些證據(jù)提供了具有合適的安全意識(shí)程序的最好證據(jù)？

□股東的數(shù)量Thenumberofstakeholders,包括受到培訓(xùn)各級(jí)員工

□整個(gè)企業(yè)范圍內(nèi)培訓(xùn)覆蓋的范圍

□不同供應(yīng)商的安全設(shè)施落實(shí)情況

□定期審查并與最佳實(shí)踐比較

■64.在制定以下哪一項(xiàng)時(shí)，包括高層管理人員參與是最重要的？

□戰(zhàn)略計(jì)劃.

□IS政策

□IS程序.

□標(biāo)準(zhǔn)和指南.

■65.在審查IS戰(zhàn)略時(shí)，IS審計(jì)師最能衡量IS策略是否支持組織的業(yè)務(wù)百標(biāo)的做法是確定是否:

□有需要的所有人員和裝備.

□計(jì)劃與管理策略一致.

□使用設(shè)備和人員的效率和效益.

□有足夠的能力，以適應(yīng)不斷變化的方向.

■66.在職責(zé)分離不合適的環(huán)境中，IS審計(jì)師要尋找下面哪一種控制？

□重疊控制

□邊界控制

□訪問(wèn)控制

□補(bǔ)償性控制

■67.當(dāng)IS從獨(dú)立的服務(wù)提供商處采購(gòu)時(shí)，審計(jì)師應(yīng)該期望在招標(biāo)書requestforproposal(RFP)中包括下面哪一

項(xiàng)？

□從其他客戶參考

□服務(wù)水平協(xié)議(SLA)模板

□維護(hù)協(xié)議

□轉(zhuǎn)換計(jì)劃

■68.風(fēng)險(xiǎn)管理的產(chǎn)出結(jié)果是下面哪一項(xiàng)的輸入？

□業(yè)務(wù)計(jì)劃.

□審計(jì)章程.

□安全政策策略.

□軟件設(shè)計(jì)策略.

■69.IT指導(dǎo)委員會(huì)審查信息系統(tǒng)主要是為了評(píng)估：

□IT處理是否支持業(yè)務(wù)需求.

□提出的系統(tǒng)的功能是否足夠.

□現(xiàn)有軟件的穩(wěn)定性.

□安裝技術(shù)的復(fù)雜性.

■70.建立了信息安全程序的第一步是：

□制定和實(shí)施信息安全標(biāo)準(zhǔn)手冊(cè).

□IS審計(jì)師執(zhí)行對(duì)于安全控制理解的審查performanceofacomprehensivesecuritycontrolreviewbytheIS

auditor.

□采用公司的信息安全政策報(bào)告

□購(gòu)買安全訪問(wèn)控制軟件

■71.在審查電子資金轉(zhuǎn)帳系統(tǒng)(EFT)的結(jié)構(gòu)時(shí)，IS審計(jì)師注意到技術(shù)架構(gòu)基于集中處理方式，并且外包給國(guó)外

處理。山于這些信息，下面哪一個(gè)結(jié)論是IS審計(jì)師最關(guān)注的？

□可能會(huì)有與司法權(quán)限范圍有關(guān)的問(wèn)題

□由于有國(guó)外的供應(yīng)商可能會(huì)導(dǎo)致未來(lái)審計(jì)費(fèi)用超支

□由于距離，審計(jì)過(guò)程可能會(huì)很困難

□可能有不同的審計(jì)標(biāo)準(zhǔn)

■72組織外包其軟件開發(fā)，以下哪一項(xiàng)是該組織IT管理的責(zé)任？

□支付服務(wù)提供商

□作為參加者參加系統(tǒng)設(shè)計(jì)

□控制外包商遵守服務(wù)合同

□與供養(yǎng)商談判合同

■74.有效的IT治理要求組織的結(jié)構(gòu)和流程能夠確保：

□組織的戰(zhàn)略和目標(biāo)延伸到IT戰(zhàn)略.

□業(yè)務(wù)戰(zhàn)略來(lái)自于IT戰(zhàn)略

□IT治理獨(dú)立于并不同于全面治理

□IT戰(zhàn)略擴(kuò)大了組織的戰(zhàn)略和目標(biāo)

■75.全面有效的電子郵件政策應(yīng)明確電子郵件結(jié)構(gòu)、執(zhí)行策略、監(jiān)控和：

□恢復(fù).

□保存.

□重建

□再用

■76.下面哪一項(xiàng)最能保證新員工的正直性？

□背景檢查

□參考資料

□bonding

□簡(jiǎn)歷中的資格

Chapter3

□i.一個(gè)組織有一個(gè)集成開發(fā)環(huán)境，程序庫(kù)在服務(wù)器上，但是修改/開發(fā)和測(cè)試在工作站上完成，以下哪一項(xiàng)是

集成開發(fā)環(huán)境(IDE)的強(qiáng)項(xiàng)？

■控制程序多個(gè)版本的擴(kuò)散

■擴(kuò)展程序資源和可得到的輔助工具

■增加程序和加工的整體性

■防止有效的變更被其他修改程序重寫

□2.以下哪一項(xiàng)是計(jì)劃評(píng)審技術(shù)(PERT)相比其他方法的優(yōu)點(diǎn)？與其他方法相比：

■為計(jì)劃和控制項(xiàng)目考慮不同的情景

■允許用戶輸入程序和系統(tǒng)參數(shù).

■測(cè)試系統(tǒng)維護(hù)加工的準(zhǔn)確性

■估算系統(tǒng)項(xiàng)目成本.

□3.下列哪些是使用原型法進(jìn)行開發(fā)的優(yōu)點(diǎn)？

■成品系統(tǒng)有足夠的控制.

■系統(tǒng)將有足夠的安全/審計(jì)軌跡.

■減少部署deployment