CISA中文模擬題

1、2014年歷年真題回憶匯編 12 / 12一旦業(yè)務功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構成了對組織的主要風險？A、在異地存儲的備用資源詳細目錄沒有及時更新B、在備份計算機和恢復設備上存儲的備用資源詳細目錄沒有及時更新C、沒有對緊急情況下的供應商或備選供應商進行評估，不知道供應商是否還在正常營業(yè)D、過期的材料沒有從有用的資源中剔除下面哪一句涉及包交換網(wǎng)絡的描述是正確的？A、目的地相同的包穿過網(wǎng)絡的路徑（或稱為：路徑）相同B、密碼/口令不能內(nèi)置于數(shù)據(jù)包里C、包的長度不是固定的，但是每個包內(nèi)容納的信息數(shù)據(jù)是一樣的D、數(shù)據(jù)包的傳輸成本取決于將傳輸?shù)臄?shù)據(jù)包本身，與傳輸距離

2、和傳輸路徑無關IS指導委員會應當：A、包括來自不同部門和員工級別的成員B、確保IS安全政策和流程已經(jīng)被恰當?shù)貓?zhí)行了C、有正式的引用條款和保管會議紀要D、由供應商在每次會議上簡單介紹新趨勢和產(chǎn)品對IT部門的戰(zhàn)略規(guī)劃流程/程序的最佳描述是：A、依照組織大的規(guī)劃和目標，IT部門或都有短期計劃，或者有長期計劃B、IT部門的戰(zhàn)略計劃必須是基于時間和基于項目的，但是不會詳細到能夠確定滿足業(yè)務要求的優(yōu)先順序的程序C、IT部門的長期規(guī)劃應該認識到組織目標、技術優(yōu)勢和規(guī)章的要求D、IT部門的短期規(guī)劃不必集成到組織的短計劃內(nèi)，因為技術的發(fā)展對IT部門的規(guī)劃的推動，快于對組織計劃的推動在審核組織的系統(tǒng)開發(fā)方法學時，

3、IS審計人員通常首先執(zhí)行以下哪一項審計程序？A、確定程序的充分性B、分析程序的效率C、評價符合程序的程度D、比較既定程序和實際觀察到的程序某IS審計人員參與了某應用開發(fā)項目并被指定幫助進行數(shù)據(jù)安全方面的設計工作。當該應用即將投入運行時，以下哪一項可以為公司資產(chǎn)的保護提供最合理的保證？A、由內(nèi)部審計人員進行一次審核B、由指定的IS審計人員進行一次審查C、由用戶規(guī)定審核的深度和內(nèi)容D、由另一個同等資歷的IS審計人員進行一次獨立的審查用戶對應用系統(tǒng)驗收測試之后，IS審計師實施檢查，他（或她）應該關注的重點A、確認測試目標是否成文B、評估用戶是否記載了預期的測試結果C、檢查測試問題日志是否完整D、確認

4、還有沒有尚未解決的問題在評估計算機預防性維護程序的有效性和充分性時，以下哪一項能為IS審計人員提供最大的幫助？A、系統(tǒng)故障時間日志B、供應商的可靠性描述C、預定的定期維護日志D、書面的預防性維護計劃表企業(yè)正在與廠商談判服務水平協(xié)議（SLA），首要的工作是：A、實施可行性研究B、核實與公司政策的符合性C、起草其中的罰則D、起草服務水平要求將輸出結果及控制總計和輸入數(shù)據(jù)及控制總計進行匹配可以驗證輸出結果，以下哪一項能起上述作用？A、批量頭格式B、批量平衡C、數(shù)據(jù)轉換差錯糾正D、對打印池的訪問控制應用控制的目的是保證當錯誤數(shù)據(jù)被輸入系統(tǒng)時，該數(shù)據(jù)能被：A、接受和處理B、接受但不處理C、不接受也不處理

5、D、不接受但處理如果以下哪項職能與系統(tǒng)一起執(zhí)行，會引起我們的關切？A、訪問規(guī)則的維護B、系統(tǒng)審計軌跡的審查C、數(shù)據(jù)保管異口同聲D、運行狀態(tài)監(jiān)視應用系統(tǒng)開發(fā)的責任下放到各業(yè)務基層，最有可能導致的后果是A、大大減少所需數(shù)據(jù)通訊B、控制水平較低C、控制水平較高D、改善了職責分工以下哪一項是業(yè)務流程再造項目的第一步？A、界定檢查范圍B、開發(fā)項目計劃C、了解所檢查的流程D、所檢查流程的重組和簡化企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當?shù)难a償性控制是：A、限制物理訪問計算設備B、檢查事務和應用日志C、雇用新IT員工之前進行背景調(diào)查D、在雙休日鎖定用戶會話組織內(nèi)數(shù)據(jù)安全官的最為重要的

6、職責是：A、推薦并監(jiān)督數(shù)據(jù)安全政策B、在組織內(nèi)推廣安全意識C、制定IT安全政策下的安全程序/流程D、管理物理和邏輯訪問控制執(zhí)行應用控制審核的IS審計人員應評價：A、應用滿足業(yè)務需求的效率B、所有已發(fā)現(xiàn)的、暴露的影響C、應用所服務的業(yè)務流程D、應用的優(yōu)化IS審計師在審計公司IS戰(zhàn)略時最不可能：A、評估IS安全流程B、審查短期和長期IS戰(zhàn)略C、與適當?shù)墓竟芾砣藛T面談D、確保外部環(huán)境被考慮了一個項目經(jīng)理在目標期限內(nèi)無法實施所有的審計建議。IT 審計師應該怎么做？A. 建議項目暫時停止直至問題得到解決；B. 建議采取補償控制；C. 對未解決的問題進行風險評估；D. 建議項目經(jīng)理進行資源的再分配來解決

7、該問題。為評估軟件的可靠性，IS審計師應該采取哪一種步驟？A、檢查不成功的登陸嘗試次數(shù)B、累計指定執(zhí)行周期內(nèi)的程序出錯數(shù)目C、測定不同請求的反應時間D、約見用戶，以評估其需求所滿足的范圍在業(yè)務流程重組(BPR)的哪一個步驟,待測定的團隊應訪問、參觀基準伙伴？A、觀察B、計劃C、分析D、調(diào)整IS管理層建立變更管理程序的目的是：A、控制應用從測試環(huán)境向生產(chǎn)環(huán)境的移動B、控制因忽略了未解決的問題而導致的業(yè)務中斷C、保證在災難發(fā)生時業(yè)務操作的不間斷D、檢驗系統(tǒng)變更已得到適當?shù)臅娴挠涗浽趯徲嬒到y(tǒng)開發(fā)項目的需求階段時，IS審計人員應：A、評估審計足跡的充分性B、標識并確定需求的關鍵程度C、驗證成本理由和

8、期望收益D、確?？刂埔?guī)格已經(jīng)定義IS審計師正在檢查開發(fā)完成的項目以確定新的應用是否滿足業(yè)務目標的要求。下面哪類報告能夠提供最有價值的參考？A、用戶驗收測試報告B、性能測試報告C、開發(fā)商與本企業(yè)互訪記錄（或社會交往報告）D、穿透測試報告項目開發(fā)過程中用來檢測軟件錯誤的對等審查活動稱為：A、仿真技術B、結構化走查C、模塊化程序設計技術D、自頂向下的程序構造IS審計人員應在系統(tǒng)開發(fā)流程的哪一個階段首次提出應用控制的問題？A、構造B、系統(tǒng)設計C、驗收測試D、功能說明在因特網(wǎng)應用中使用小應用程序（applets）的最有可能的解釋是：A、它是從服務器跨網(wǎng)絡發(fā)送B、服務器不能運行程序且輸出不能跨網(wǎng)絡發(fā)送C、

9、它可同時改進WEB服務器和網(wǎng)絡的性能D、它是一種通過WEB瀏覽器下載并在客戶機的WEB服務器上運行的JAVA程序信息系統(tǒng)審計師檢查IT控制的效力時,發(fā)現(xiàn)以前的審計報告,沒有相應的工作底稿,他(她)該怎么辦?A、暫停審核工作,直到找到這些審計底稿B、信息并直接采納以前的審計報告C、重新測試好些處于高風險內(nèi)的控制D、通知審計經(jīng)理,并建議重新測試這些控制下面哪個在線審計技術對于早期發(fā)現(xiàn)錯誤或誤報有效A、嵌入式審計模塊B、綜合測試工具C、快照D、審計鉤以下哪項應是IS審計師最為關注的:A、沒有報告網(wǎng)絡被攻陷的事件B、未能就企業(yè)闖入事件通知執(zhí)法人員C、缺少對操作權限的定期檢查D、沒有就闖入事件告之公眾為

10、滿足預定義的標準,下面哪一種連續(xù)審計技術,對于查找要審計的事務是最佳的工具?A、系統(tǒng)控制審計檢查文件和嵌入式審計模塊(SCARF/EAM)B、持續(xù)和間歇性模擬(CIS)C、整體測試(ITF)D、審計鉤(Audit hooks)在審查定義IT服務水平的過程控制時，信息系統(tǒng)審計師最有可能先與下列哪種人面談：A、系統(tǒng)編程人員B、法律顧問C、業(yè)務單位經(jīng)理人員D、應用編程人員如下哪一類風險是假設被檢查的方面缺乏補償控制:A、控制風險B、檢查風險C、固有風險D、抽樣風險對新的應收帳模塊實施實質性審計測試時,IS審計師的日程安排非常緊,而且對計算機知識知之不多.那么,下面哪一項審計技術是最佳選擇?A、測試數(shù)

11、據(jù)B、平行模擬(Parallel simulation)C、集成測試系統(tǒng)(ITF)D、嵌放式審計模塊(EAM)制訂基于風險的審計程序時,IS審計師最可能關注的是:A、業(yè)務程序/流程B、關鍵的IT應用C、運營控制D、業(yè)務戰(zhàn)略下面的哪一種加密技術可以最大程度地保護無線網(wǎng)絡免受中間人攻擊？A、128位有線等效加密（WEP）B、基于MAC地址的預共享密鑰（PSK）C、隨機生成的預共享密鑰（PSK）D、字母和數(shù)字組成的服集標識符（SSID處理計算機犯罪事件需要運用管理團隊的方法，下面哪一個角色的職責是明確的？A、經(jīng)理B、審計人員C、調(diào)查人員D、安全負責人安全事件應急響應系統(tǒng)的最終目標是：A、對安全事件做

12、出的反應不足B、檢測安全事件C、對安全事件做出過度反應D、實施提高安全的保護措施在對數(shù)據(jù)中心進行審計時,審計師應當檢查電壓調(diào)整器是否存在,以保證:A、保護硬件設備免受浪涌損害B、如果主電力被中斷,系統(tǒng)的完整性也可以得到維護C、如果主電力被中斷,可以提供即時的電力供應D、保護硬件設備不受長期電力波動的影響建立數(shù)據(jù)所有權關系的任務應當是下列哪一種人的責任?A、職能部門用戶B、內(nèi)部審計人員C、數(shù)據(jù)處理人員D、外部審計人員下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進行安全控制的目的?A、完整性控制的需求是基于風險分析的結果B、控制已經(jīng)過了測試C、安全控制規(guī)范是基于風險分析的結果D、控制是在可重復的基

13、礎上被測試的下面哪一種拒絕服務攻擊在網(wǎng)絡上不常見？A、服務過載B、對消息的洪水攻擊C、連接阻塞D、信號接地對每個字符和每一幀都傳輸冗余信息，可以實現(xiàn)對錯誤的檢測和校正，這種方法稱為：A、反饋錯誤控制B、塊求和校驗C、轉發(fā)錯誤控制D、循環(huán)冗余校驗下列哪一種行為是互聯(lián)網(wǎng)上常見的攻擊形式？A、查找軟件設計錯誤B、猜測基于個人信息的口令C、突破門禁系統(tǒng)闖入安全場地D、種值特洛伊木馬在一個單機運行的微型計算機或網(wǎng)絡服務器環(huán)境下，防止程序被盜竊和使系統(tǒng)免受病毒威脅的有效預防性措施不包括以下哪一條？A、提醒員工不要在非授權的情況下拷貝任何存放在計算機硬盤上受保護的可執(zhí)行程序B、禁止任何人從一張軟盤拷貝可執(zhí)行程序到另一張軟盤C、不允許有任何從軟件拷貝可執(zhí)行程序到硬盤的企圖D、禁止任何人從“外來的”軟盤上執(zhí)行任何程序IS審計師應該參與：A、參觀災難恢復計劃的測試和演練B、制定災難恢復計劃C、維護災難恢復計劃D、檢查災難恢復需求有交的供應商合同IS審計師發(fā)現(xiàn)企業(yè)的業(yè)務連續(xù)性計劃中選定的備用處理設施的處理能力只能達到現(xiàn)有系統(tǒng)的一半。那么他/她該怎么做？A、無需做什么。因為只有處理能力低于正常的25%，才會嚴重影響企業(yè)的生存和備份能力B、找出可以在備用設施使用的應用，其它業(yè)務處理采用手工操作，制訂手工流程以備不測C