2017年isaca cisa考試真題預(yù)測卷

2017年ISACACISA考試預(yù)測一個(gè)金融服務(wù)組織正在開發(fā)和撰寫業(yè)務(wù)連續(xù)性措施。以下各項(xiàng)是IT審計(jì)師覺得最可能RTOs并沒有考慮IT恢復(fù)的限制，比如人員或系統(tǒng)在恢復(fù)期間的依賴性斷應(yīng)急措施是否足夠時(shí)。RTOs是基于保證組織生存的所必須的業(yè)務(wù)，而不是基于IT的性IT審計(jì)師在評估組織的軟件開發(fā)過程中注意到，質(zhì)量保證部門向項(xiàng)目管理層進(jìn)行匯報(bào)。以下哪項(xiàng)是IT審計(jì)師覺得最重要的？為了與軟件相關(guān)的影響響應(yīng)時(shí)間的原因，審計(jì)師應(yīng)該進(jìn)行并以圖形描述答案：A解釋：A正確,進(jìn)行檢查軟件處理數(shù)據(jù)是否正確。圖形描述可以檢查軟件的邏下列哪個(gè)領(lǐng)域經(jīng)常微型計(jì)算機(jī)迅速發(fā)展所帶來的風(fēng)險(xiǎn)1、2、答案：D解釋：1.正確,備份和恢復(fù)操作需要使用介質(zhì)，隨著微型計(jì)算機(jī)的迅速發(fā)展，不斷有新的能力更強(qiáng)的介質(zhì)出現(xiàn)例如從五寸軟盤到三寸軟盤到可擦寫光盤的設(shè)備被淘汰，容易導(dǎo)致以前備份的數(shù)據(jù)無法在新微機(jī)中使用；2.不正確,會降低成本；3.不正確,更容易；4.正確,隨著微型計(jì)算機(jī)的迅速發(fā)展，可用來連成網(wǎng)絡(luò)，共享信息資源，存在安全的風(fēng)險(xiǎn)5.確,隨著微型計(jì)算機(jī)的迅速發(fā)展需要大量軟件存在法的風(fēng)險(xiǎn)。非的來說是最安全的？實(shí)施只允許的MAC地址進(jìn)行實(shí)施2是根據(jù)IEEE802.11iAES2支持EAP協(xié)議和PSK認(rèn)證模型。實(shí)施WEP可以在幾分鐘內(nèi)被攻破。因?yàn)閃EP在態(tài)密鑰，將會帶來更大的脆弱性。使用基于MAC的方式不是一個(gè)有效的解決方法，因?yàn)镸AC可以被者獲得從而網(wǎng)絡(luò)。禁用廣播式的是不能控制的答案：D答案：D解釋：一個(gè)設(shè)計(jì)良好的管理信息系統(tǒng)數(shù)據(jù)庫，可將文件之間的數(shù)據(jù)重復(fù)降低到最A(yù)．為和投標(biāo)準(zhǔn)備的定義需求和提交要求的流程。答案：BB開發(fā)出性審計(jì)計(jì)劃答案：B解釋：審計(jì)師的第一步是理解公司的業(yè)務(wù)重點(diǎn)，如果不能理解公司的業(yè)務(wù)愿景，在檢查意外事件報(bào)告中，IT審計(jì)師發(fā)現(xiàn)有一次，一份留在雇員桌上的重要的文件被外的清潔工丟棄進(jìn)了桶。以下哪項(xiàng)是IT審計(jì)師應(yīng)該向管理層建議一份留在雇員桌面上的重要文檔被意外清理可能會對業(yè)務(wù)產(chǎn)生嚴(yán)重的影響。因此，IT審計(jì)D選項(xiàng)：風(fēng)險(xiǎn)不在于數(shù)據(jù)的丟失，而在于數(shù)據(jù)的。所有備份策略的實(shí)施無法解決信息下列哪項(xiàng)工作角色混合引起行為發(fā)生的可能性最小A.系統(tǒng)分析員和員。答案：D解釋：A,B,CC.可以識別高風(fēng)險(xiǎn)區(qū)域以供以后詳細(xì)的。答案：A解釋：連續(xù)審計(jì)可以改善系統(tǒng)的安全。審計(jì)師發(fā)現(xiàn)控制存在小弱點(diǎn)例如弱口令或者報(bào)告比較差審計(jì)師最恰當(dāng)?shù)男袆?dòng)是向管理層立即報(bào)告此類弱點(diǎn)答案：DC．提供給管理層一個(gè)工具來來流程是否健康并潛在的問題點(diǎn)。答案：CKPI匹配政策目標(biāo)到的結(jié)構(gòu)化方法答案：CI．來自信任源的代碼。II．打開審計(jì)日志。III．沒必要的服務(wù)被關(guān)掉。IV．缺省被修改。V．系統(tǒng)管理員相對于其要做的工作來說沒有任何多余的權(quán)限I,II,andIII,IV,andI,III,andI,II,and答案：C審計(jì)日志沒必要打開，它僅在于要監(jiān)視某個(gè)進(jìn)程時(shí)有效。系統(tǒng)管理員有極高的權(quán)以下哪項(xiàng)有效的控制可以加強(qiáng)數(shù)據(jù)庫用戶敏感數(shù)據(jù)時(shí)的可審計(jì)性采取雙因子使用視圖表來敏感數(shù)據(jù)樣可以生成并保存包含用戶、時(shí)間、交易類型等相關(guān)信息的日志。B和C只是保證對數(shù)據(jù)庫的但無法解決可審計(jì)性的問題。D可以幫助更好的進(jìn)行控制的管理，下面哪一項(xiàng)是IS審計(jì)師在進(jìn)行PBX評估時(shí)要檢查的？I．確信外部免費(fèi)撥入號碼的被關(guān)掉。II．確信語音郵件系統(tǒng)不會被線。III．確信端口的代碼的缺省值已改變。IV．確信外部免費(fèi)號碼如900被嚴(yán)格限制。V．確信超額的使用被標(biāo)記并進(jìn)行舞弊。I,II,III,andIVII,III,andIVII,III,IV,andVI,II,III,IV,and答案：C除了I尋找沒有批準(zhǔn)流程的答案：D解釋：如果IS審計(jì)師觀察到不存在項(xiàng)目批準(zhǔn)流程，他應(yīng)該向管理層建議采取正式IS審計(jì)師計(jì)劃審計(jì)一個(gè)通過個(gè)人計(jì)算機(jī)使用局域網(wǎng)的系統(tǒng)與使用大型機(jī)相比，C．?dāng)?shù)據(jù)處理的硬件使用故障所的問題。答案：C21答案：C解釋：審計(jì)痕跡和其它日志用于補(bǔ)償缺乏恰當(dāng)?shù)穆氊?zé)分離，審計(jì)痕跡的主要目的下列哪項(xiàng)在評價(jià)信息系略時(shí)最重要確保信息系略最大化目前和未來資源的效率和利用確保在所有信息系統(tǒng)中考慮確保信息系略支持公司愿景和目標(biāo)答案：C解釋：信息系略必須支持組織的業(yè)務(wù)目標(biāo)。答案：C解釋：生產(chǎn)環(huán)境和開發(fā)環(huán)境角色不應(yīng)該共享，網(wǎng)絡(luò)管理員可以在系統(tǒng)設(shè)計(jì)初期提在審計(jì)支付系統(tǒng)時(shí)，下列哪種方法提供最好的保證信息被正確地處理D.主管答案：CD.ISP雇員的背景。答案：A解釋：外包商的服務(wù)水平協(xié)議SLA戶管理人員來管理。B不正確，系統(tǒng)程序員操作系統(tǒng)。C不正確，數(shù)據(jù)錄入員從事數(shù)據(jù)控制對設(shè)備的ⅠⅡⅡⅢⅠⅡⅢ答案：D解釋：正確。定期輪換操作員人員和強(qiáng)制休假可以使其他人員有機(jī)會會成這項(xiàng)工C.驗(yàn)證組織的和IT服務(wù)的匹配。答案：C解釋：平衡計(jì)分卡被用于匹配組織的和IT服務(wù)審計(jì)師為了審計(jì)公司的計(jì)劃，以下哪項(xiàng)第一個(gè)檢查答案：D項(xiàng)目者審計(jì)師不應(yīng)該參與公司控制自我評估項(xiàng)目，因?yàn)樗@樣做可能會引起利益。答案：B解釋：在控制自我評估項(xiàng)目中，審計(jì)師應(yīng)該成為推動(dòng)者，推動(dòng)項(xiàng)目的進(jìn)展。一個(gè)公司在開發(fā)流程時(shí)要做的第一步是升級控制軟件為生物/令牌系統(tǒng)批準(zhǔn)公司政策要求信息系統(tǒng)審計(jì)師做綜合開發(fā)標(biāo)準(zhǔn)答案：B解釋：第一步是開發(fā)政策，文檔化并經(jīng)管理層批準(zhǔn)C.ITD.審計(jì)答案：A答案：D解釋：公司在計(jì)劃中涉及3到5年的行動(dòng)下列哪項(xiàng)說明了企業(yè)架構(gòu)enterprisearchitecture(EA)的目的？A.確保內(nèi)部和外部一致。匹配組織的IT架構(gòu)并且確保IT架構(gòu)的設(shè)計(jì)匹配組織的確保IT投資和業(yè)務(wù)一致答案：D解釋：EA是最佳實(shí)踐，IT資產(chǎn)的計(jì)劃，管理和擴(kuò)展可以和業(yè)務(wù)一致答案：D解釋：安全控制的測試和評估應(yīng)該在系統(tǒng)開發(fā)時(shí)，系統(tǒng)運(yùn)行前，并且可重現(xiàn)地以答案：B答案：C解釋：IT確保IT支持組織目標(biāo)。由高級管理層參加的IT將業(yè)務(wù)和IT結(jié)合。為了確保公司遵守隱私權(quán)要求，審計(jì)師應(yīng)該首先C.法律和要求。答案：C解釋：先知法，首先需要遵守的法律和要求限制對計(jì)算機(jī)設(shè)備的物理在雇傭IT人員以前做背景答案：B解釋：交易日志和應(yīng)用日志是檢查性控制答案：C解釋：確保在變更實(shí)施前第2個(gè)人和批準(zhǔn)變更審計(jì)師在審計(jì)員工離職控制，以下哪項(xiàng)在中最重要答案：B解釋：前雇員對信息系統(tǒng)的應(yīng)該被立刻終止離職員工必須被允許從其計(jì)算機(jī)中個(gè)人文件答案：C解釋：在從公司離職時(shí)員工對公司信息系統(tǒng)的應(yīng)該立刻被終止答案：C解釋：IT平衡計(jì)分卡的4個(gè)關(guān)鍵角度:部分用戶擁有技術(shù)從打印緩存打印數(shù)據(jù)即使該用戶沒有被查看數(shù)部分用戶擁有技術(shù)從打印緩存修改數(shù)據(jù)即使該用戶沒有被修改數(shù)部分用戶擁有技術(shù)從打印緩存刪除作業(yè)即使該用戶沒有被刪除作答案：A解釋：題目重點(diǎn)在控制的性。管理員的技術(shù)可以從打印緩存在審核配置時(shí)，審計(jì)師認(rèn)為下列哪項(xiàng)是最大的脆弱性配置使用基于源地址和目的地址協(xié)議用戶認(rèn)證的允許或?qū)ο到y(tǒng)/網(wǎng)絡(luò)的規(guī)則配置在規(guī)則中最后使用“”選項(xiàng) 答案：C解釋：操作系統(tǒng)缺省配置是風(fēng)險(xiǎn)。審計(jì)師尋求確保被有效率地使用以支持組織愿景和目標(biāo)，保障信息的性、網(wǎng)絡(luò)系統(tǒng)人員答案：D解釋：計(jì)算機(jī)資源應(yīng)該被仔細(xì)地匹配利用率需求和恰當(dāng)?shù)馁Y源能力水平。能答案：C解釋：能力成熟模型第3答案：C解釋：配置管理審計(jì)應(yīng)該驗(yàn)證軟件是使用數(shù)據(jù)庫“孤立參照”表示下列屬性完整性Attributeintegrity參照完整性指示完整性Referentialintegrity。C.關(guān)系完整性Relationalintegrity。D.界面完整性Interfaceintegrity動(dòng)態(tài)實(shí)時(shí)告警系統(tǒng)做網(wǎng)絡(luò)答案：C輯上分割和基于OSI的第2層MAC尋址創(chuàng)建域？答案：D解釋：交換機(jī)最適合分割網(wǎng)絡(luò)為多個(gè)域答案：A在公司信息系統(tǒng)的應(yīng)用中，面向?qū)ο蟮募夹g(shù)變得越來越重要，因?yàn)榫哂幸韵聺摿Υ鸢福篈解釋：面向?qū)ο蟮拈_發(fā)技術(shù)利用對象的繼承、重用、重構(gòu)等特征，可以更快更可為了降低通過通訊線路來傳送數(shù)據(jù)時(shí)帶來的安全風(fēng)險(xiǎn)，應(yīng)該應(yīng)用合法用戶才能系統(tǒng)；C不正確，回叫程序是用來保證撥入的呼叫來自的位置。答案：B解釋：BPR的目的通過減少不必要的不走或者實(shí)施改善的技術(shù)以改善效率。BPR主機(jī)應(yīng)該對上載數(shù)據(jù)實(shí)施與聯(lián)機(jī)輸入數(shù)據(jù)時(shí)同樣的編輯和檢查答案：C解釋：C正確，主機(jī)對上載數(shù)據(jù)實(shí)施與聯(lián)機(jī)輸入數(shù)據(jù)時(shí)同樣的編輯和檢查能答案：B解釋：B正確,網(wǎng)絡(luò)監(jiān)測軟件并不參與應(yīng)用系統(tǒng)內(nèi)部的控制；A不正確,重要的財(cái)務(wù)和會計(jì)系統(tǒng)，如交易所的系統(tǒng)，相對于記錄員工培訓(xùn)和技能的系統(tǒng)而言，答案：B解釋：審計(jì)師使用不恰當(dāng)?shù)臏y試步驟并且得出重要性錯(cuò)誤不存在，屬于審計(jì)師的批地打印出。對生產(chǎn)數(shù)據(jù)最好的方法是：人員每天回答客戶有關(guān)訂貨的生產(chǎn)情況。D.把恰當(dāng)?shù)穆氊?zé)分離的情況記錄在案答案：B答案：A解釋：原型法根據(jù)用戶的需求和評估設(shè)計(jì)和修改，減少了設(shè)計(jì)錯(cuò)誤，可在不花費(fèi)在IS審計(jì)中，以下那項(xiàng)是審計(jì)師考慮最不重要的答案：B解釋：在審核IS時(shí)，流程的審核不是重要的的第了系統(tǒng)答案：C解釋：C正確,專家系統(tǒng)要通過獲取人類專家在某一限定的知識領(lǐng)域的專門知識和驗(yàn)證程序的移動(dòng)請求是經(jīng)過的要求對程序、系統(tǒng)和代碼進(jìn)行平試程序員只能對測試庫進(jìn)行答案：D解釋：D正確,將源代碼重新編譯到生產(chǎn)庫中，編成新的執(zhí)行代碼，可以比較新老確,這是進(jìn)行程序、系統(tǒng)和代碼轉(zhuǎn)換的控制；C不正確,這是程序安全控制，限制路徑。使用PERT（項(xiàng)目評價(jià)和復(fù)核技術(shù)）時(shí)，如果一個(gè)活動(dòng)的樂觀時(shí)間是A，悲觀時(shí)間是B，答案：C解釋：答案C正確，PERT用來幫助經(jīng)理控制大型復(fù)雜項(xiàng)目。PERT分析包括用概率6來估計(jì)分布的均值。答案：B解釋：BA不正確，電子數(shù)據(jù)交換(EDI)可以為組織帶來重大利益，但前提是必須清除某些。要想成功答案：A解釋：A正確，實(shí)施EDI不能簡單現(xiàn)有的作業(yè)流程，只有通過大力改進(jìn)現(xiàn)有流計(jì)算機(jī)和其他破壞導(dǎo)致的風(fēng)險(xiǎn)答案：D解釋：D正確,生命周期開發(fā)的可行性研究包括：（1）制定新系統(tǒng)的目標(biāo)和邏輯模以下哪種關(guān)于電子郵件安全性的說法是正確的？I.電子郵件不可能比它依賴的計(jì)算機(jī)系統(tǒng)更安全。II.的電子郵件信息應(yīng)該于郵件服務(wù)器中時(shí)間和紙質(zhì)文件相同。只有I只有I和II只有I和III只有II和III答案：C解釋：I正確，如果電子郵件依賴的計(jì)算機(jī)系統(tǒng)不安全，就可以通過系統(tǒng)工具獲得為了確保收到的商品與采購上的商品一致，計(jì)算機(jī)系統(tǒng)應(yīng)該將采購的所選字收到的商品進(jìn)行匹安裝程序日志系來自終端的答案：C解釋：C正確,限制物理和邏輯的可以保證庫的安全，防止在本地和通過終端進(jìn)行的A不正確,安裝一個(gè)對程序的日志系統(tǒng)可以發(fā)現(xiàn)理。D不正確。所有的終端是低效率的，而且也不能防止對程序庫的物理答案：B解釋：EDI自動(dòng)運(yùn)行（lights-out）答案：B解釋：自動(dòng)運(yùn)行（lights-out）運(yùn)維的主要目的是減少人員風(fēng)險(xiǎn)和環(huán)境風(fēng)險(xiǎn)，通過答案：C應(yīng)用視圖，查詢權(quán)限，字段，數(shù)據(jù)表以及報(bào)表和查詢結(jié)果的都要通過評估數(shù)據(jù)C．為了了解數(shù)據(jù)分類，數(shù)據(jù)定義必須進(jìn)行。D．?dāng)?shù)據(jù)流和數(shù)據(jù)范式化過程會使改變數(shù)據(jù)表大小和事務(wù)映射變得。答案：C在檢查安全包時(shí)，下面哪一項(xiàng)不被考慮作為一個(gè)設(shè)計(jì)？B．安全更新和補(bǔ)丁如何在安全包中進(jìn)行？D．對產(chǎn)品進(jìn)行充分時(shí)需要哪種支持工作？而B是日常的工作，不能作為設(shè)計(jì)的標(biāo)準(zhǔn)。答案：B只有BC.答案：A下面哪一項(xiàng)是評估硬件過程控制最有效的方法現(xiàn)場觀察硬件并評估當(dāng)前是否以及設(shè)備保持完好跟進(jìn)建議的任務(wù)和計(jì)劃安排，確定過程的執(zhí)行以及完成的記錄和定期實(shí)際的工作記錄的。從供應(yīng)商信息中確認(rèn)要求的程序，這些過程都遵循IS組織的流程。D．查看問題日志，驗(yàn)證過程是否確定與行業(yè)平均水平相比較的平均失效時(shí)間。答案：BA現(xiàn)場只能看到當(dāng)時(shí)的，而沒有歷史的信息。確信建設(shè)圖紙的修改是保存在圖紙的復(fù)印件。B．確信支持員工有相關(guān)知識并能執(zhí)行必要的任務(wù)。答案：A除了A跟客戶無關(guān)之外，都對提高用戶滿意度有幫助。數(shù)據(jù)和系統(tǒng)保管者，例如網(wǎng)絡(luò)管理員和管理答案：AD．服務(wù)器對內(nèi)需求答案：CA．所有的路由都被安全認(rèn)證的方式控制。答案：D第二層的VLAN在一個(gè)的操作環(huán)境中，下面哪一個(gè)場景是期望看到的？C．磁帶庫管理員管理打印隊(duì)列和為裝紙，同時(shí)還負(fù)責(zé)啟動(dòng)異地的磁帶備份。答案：ABCD都涉及角色。其中C在打印時(shí)有機(jī)會多打印重要文件。D．績效得到和提升是基于清晰定義的目標(biāo)答案：BAC只是，D是管理行為，B才是審計(jì)要檢查的風(fēng)險(xiǎn)控制使用測試數(shù)據(jù)驗(yàn)證交易處理的最大是創(chuàng)建測試數(shù)據(jù)以覆蓋所有可能的正常的和的情景與高速事務(wù)處理相關(guān)的數(shù)據(jù)答案：B解釋：測試用例的設(shè)計(jì)是最大的在介質(zhì)管理系統(tǒng)檢查時(shí)，IS審計(jì)師沒必要關(guān)心系 是否正確反映了介質(zhì)所在的物理位置介質(zhì)是否只能被的人介質(zhì)在異地的中被正確的識別。D．系統(tǒng)是否適當(dāng)?shù)奶蕴橘|(zhì)并以安全的方式提供回收。答案：B這是管理中最重要的概念。B．變更通過自動(dòng)化工具來管理，防止人為。C．一旦變更失敗，生產(chǎn)的備份被。答案：AA是變更控制的重點(diǎn)所在。B是可選的，CD是日常管理答案：D下列哪個(gè)問題管理系統(tǒng)的特征是ISI．所有的問題都被跟進(jìn)直到產(chǎn)生結(jié)論。II．所有問題自動(dòng)啟動(dòng)，這樣確保正確的數(shù)據(jù)捉。III．上報(bào)流程確保問題不停留在不能解決的地方。IV．所有相關(guān)的IS操作區(qū)域有系統(tǒng)被檢查來識別問題的來源。V．統(tǒng)計(jì)數(shù)據(jù)能被系統(tǒng)收集來輔助IS問題的分析。I,II,III,IV,andI,III,IV,andVII,III,IV,andVI,III,andV答案：BII答案：D服務(wù)提供者如何對待其他客戶不是要審核的SLA在審計(jì)第服務(wù)提供商時(shí)，審計(jì)師應(yīng)該關(guān)注程序和文件的所謹(jǐn)慎和在事件中提供連續(xù)性服務(wù)的能力答案：D解釋：審計(jì)師應(yīng)該關(guān)注A,B,CA．并試C．性能答案：C性能室對運(yùn)行結(jié)果系統(tǒng)化的度量和評估。ABD處理的都不是響應(yīng)時(shí)間公司用于偵察的電子數(shù)據(jù)交換EDI信息的控制是B．只允許的員工傳送設(shè)備。答案：ABD無法偵察信息，C消除了EDI帶來的好處。在使用電子結(jié)轉(zhuǎn)（EFT）系統(tǒng)時(shí)，以下哪項(xiàng)風(fēng)險(xiǎn)較高的和活動(dòng)。D．不適當(dāng)?shù)膫浞莺突謴?fù)程序。答案：BACD是常見風(fēng)險(xiǎn)。答案：CHelpDesk非的數(shù)據(jù)察看使作業(yè)無法繞過處理答案：B遺漏處理會使磁帶很容易數(shù)據(jù)庫檢D．有效的軟件使用生物系統(tǒng)為操作系統(tǒng)設(shè)計(jì)表答案：CC一個(gè)項(xiàng)目經(jīng)理在目標(biāo)期限內(nèi)無法實(shí)施所有的審計(jì)建議。IT通過在一個(gè)嚴(yán)格控制并限制對服務(wù)器進(jìn)行的虛擬環(huán)境中執(zhí)行程序，來檢查該程序的程序具體邏輯路徑的條件。A指的是聯(lián)合測試（Sociabilitytesting）。B指的是黑盒測試。D則是沙盒測試的定義（Sandboxtesting）。在發(fā)起者和接收者之間使用使用PDF同時(shí)并行非的數(shù)據(jù)化不會引起死鎖。對數(shù)據(jù)的是由用戶權(quán)限定義和控制的。在IT恢復(fù)測試時(shí)，下列問題中哪個(gè)最應(yīng)引起IS審計(jì)師的關(guān)A．支持業(yè)務(wù)目標(biāo)的內(nèi)部控制的所管理（managementownership）被強(qiáng)化過程中的信息性。IS審計(jì)師應(yīng)該建議修改計(jì)劃以包括調(diào)用業(yè)務(wù)恢復(fù)程序時(shí)所要求的水管理結(jié)構(gòu)中的角色和責(zé)D．為影響業(yè)務(wù)連續(xù)性安排的變更管理流程當(dāng)組織把客戶信用審核系統(tǒng)外包給第服務(wù)供應(yīng)商時(shí)，下列哪一項(xiàng)是IS審計(jì)師最B．同意接受外部安全建立一個(gè)審核部門（review建立一個(gè)安全單位（securityIS審計(jì)師正在審閱一個(gè)使用敏捷（Agile）軟件開發(fā)方法的項(xiàng)目，以下那一項(xiàng)是IS審使用基于過程的成熟度模型如能力成熟度模型為優(yōu)化組織的業(yè)務(wù)持續(xù)計(jì)劃（BCP），IS審計(jì)師需要建議執(zhí)行業(yè)務(wù)影響分析（BIA）為保證與組織業(yè)務(wù)相一致，業(yè)務(wù)流程恢復(fù)的優(yōu)先級和順在中能保證組織幸存而必須恢復(fù)的業(yè)務(wù)流下列哪項(xiàng)數(shù)據(jù)庫控制能夠在交易處理系統(tǒng)的數(shù)據(jù)庫中保證交易的完整性鑒定控制讀寫日志控委托和反轉(zhuǎn)控制（Commitmentandrollback?）在保護(hù)組織的IT系統(tǒng)時(shí)當(dāng)網(wǎng)絡(luò)被突破后以下哪項(xiàng)是系統(tǒng)防護(hù)的下一道防線個(gè)人C．侵入監(jiān)測系統(tǒng)（Intrusiondetectionsystem(IDS)）（Harddisksarerenderedunreadablebyhole-punchingthroughtheplattersatspecificpositionsbeforeleavingtheorganization）B．限制開發(fā)者在特定時(shí)間范圍內(nèi)能生產(chǎn)環(huán)境數(shù)據(jù)所有者（dataowner）IT需求提出者的直接上級（requestor’simmediatesupervisor）以下哪條最好的支持了新ITIS審計(jì)師正在審閱一個(gè)基于軟件的的配置。下列哪一項(xiàng)的設(shè)置最脆弱？該防火配置隱性否定規(guī)則（implicitdenyrule）作為虛擬網(wǎng)（）的端點(diǎn)實(shí)施檢測系統(tǒng)（IPS）不當(dāng)所帶來的最大風(fēng)險(xiǎn)是由于IPS在IT組織內(nèi)需要依賴特定的專家當(dāng)一個(gè)關(guān)鍵文件服務(wù)器的增長沒有被合理管理時(shí)，以下哪項(xiàng)是最大的風(fēng)險(xiǎn)服務(wù)器恢復(fù)工作不能滿足恢復(fù)時(shí)間目標(biāo)（RTO）為了在一個(gè)新的ERP項(xiàng)目實(shí)施中識別職責(zé)分離（SOD）不當(dāng)?shù)膯栴}，以下哪項(xiàng)審計(jì)技審閱對象的復(fù)雜開發(fā)程序以識別中的IS審計(jì)師（IS(Database(Project(DataISC．分配和廢止用戶對IT資源的D．對數(shù)據(jù)和應(yīng)用系統(tǒng)的C．每的資源的分配都是低效的，它們更適應(yīng)合并前公司的系統(tǒng)D．包頭(packetheaders)和追蹤132、為了達(dá)到組織恢復(fù)的要求，備份時(shí)間間隔過A.服務(wù)水平目標(biāo)B.C.D.A.B.C.D.對多種開發(fā)環(huán)境的支持。134、在審核網(wǎng)絡(luò)設(shè)備的配置時(shí)，ITA.B.C.D.網(wǎng)絡(luò)的子構(gòu)件的使用是否適當(dāng)。公司的IS政策相符。IT審計(jì)師應(yīng)當(dāng)：A.B.驗(yàn)證用戶權(quán)限的設(shè)置是基于最小權(quán)限原則（need-to-have）C.建議修改公司的ISD.建議定期審閱被禁賬號的活動(dòng)日志。136、為降低網(wǎng)絡(luò)(phishing)所帶來的風(fēng)險(xiǎn)，最有效的控制為A.集中式系統(tǒng)B.在反軟件中為網(wǎng)絡(luò)添加數(shù)字簽名C.公布在以太網(wǎng)中網(wǎng)絡(luò)的政策D.對所有用戶進(jìn)行培訓(xùn)。信息系統(tǒng)審計(jì)師應(yīng)該提出以下何種建議來保護(hù)在數(shù)據(jù)倉庫的特殊敏感信息實(shí)施列等級與行等級通過強(qiáng)增強(qiáng)用戶認(rèn)將數(shù)據(jù)倉庫構(gòu)架成為subjectmatter-specific日志記錄用戶對數(shù)據(jù)倉庫的在一次人力資源審計(jì)過程中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)在HR與IT部門之間就IT服務(wù)的信息系統(tǒng)管理部門目前正在考慮實(shí)施一個(gè)VoIP，并在關(guān)鍵之處升級的性創(chuàng)建一個(gè)單獨(dú)的物理網(wǎng)絡(luò)來處理VoIP重新定向所有的VoIP的傳輸以允許認(rèn)證信息的明文記錄信息系統(tǒng)審計(jì)師正在一個(gè)項(xiàng)目，該項(xiàng)目是在銀行母公司與子公司之間實(shí)施一個(gè)支銀行母公司作為服務(wù)提供信息系統(tǒng)審計(jì)師注意到某組織中使用的操作系統(tǒng)的補(bǔ)丁被IT部門如供應(yīng)商所建議的一樣部署，在此實(shí)踐中信息系統(tǒng)審計(jì)師最重大的擔(dān)心是IT沒有注意到：擁有最高相等錯(cuò)誤率的錯(cuò)誤率（FRR）等于錯(cuò)誤接受率錯(cuò)誤率等于拒登率（FER即建檔的比率）參與與公司相關(guān)的確定有活動(dòng)發(fā)生某項(xiàng)目計(jì)劃用18個(gè)月完成，此項(xiàng)目經(jīng)理宣布項(xiàng)目處于一個(gè)健康的財(cái)務(wù)狀態(tài)，因?yàn)樵?在檢查數(shù)字認(rèn)證程序中，以下的哪個(gè)發(fā)現(xiàn)出了最嚴(yán)重的風(fēng)險(xiǎn)沒有中心匯報(bào)密鑰泄B廢止列表不是數(shù)字中包含一個(gè)用于加密信息和鑒別數(shù)字簽名的公從管理層那里尋找解148.審計(jì)師發(fā)現(xiàn)，對于產(chǎn)品收益，一個(gè)企業(yè)組織的財(cái)務(wù)部和市場部分別給出了不在所有報(bào)告發(fā)布到生產(chǎn)前使用Useracceptance對于告要求管理層簽字一個(gè)審計(jì)師可以通過審核以下哪個(gè)來驗(yàn)證一個(gè)企業(yè)的業(yè)務(wù)持續(xù)性continuityplanBCP）最好業(yè)務(wù)情況下的BCP由人員和終端用戶執(zhí)行的業(yè)務(wù)持續(xù)性BCP相關(guān)活動(dòng)的年財(cái)務(wù)成本和BCP計(jì)劃實(shí)施后的預(yù)期收益對比系統(tǒng)擁有者(system系統(tǒng)使用者(system系統(tǒng)設(shè)計(jì)者(system系統(tǒng)建立者（systembuilders）犯規(guī)的根源。下列哪個(gè)是審計(jì)師應(yīng)該最為合適的建議？收到原始簽名的數(shù)字后，用戶將使用來自下列哪里的公鑰數(shù)字認(rèn)證中庫已建立IT恢復(fù)方案并定期執(zhí)行的某中等規(guī)模企業(yè)，制定了一個(gè)業(yè)務(wù)持續(xù)計(jì)劃。重新安排所有部門，包括IT對一系列預(yù)定義的涉及所有關(guān)鍵職員的場景進(jìn)行穿對關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行包括業(yè)務(wù)部門參與的IT恢復(fù)測對一個(gè)IT有限參與的場景進(jìn)行功能測試下列哪一項(xiàng)最適合用來提高IT項(xiàng)目組合與企業(yè)優(yōu)先級的一致性作為信息系統(tǒng)審計(jì)師，審閱IT規(guī)劃時(shí)，應(yīng)當(dāng)關(guān)注已批準(zhǔn)的IT企業(yè)在允許外部機(jī)構(gòu)物理其信息處理設(shè)施(IPFs)前應(yīng)該做什么？A．外部機(jī)構(gòu)的操作應(yīng)當(dāng)由獨(dú)立的IS審計(jì)師審計(jì)C．任何外部機(jī)構(gòu)的應(yīng)當(dāng)被限制在區(qū)(DMZ)在（demilitarizedzone）服務(wù)器上運(yùn)行FTP內(nèi)部用戶可以發(fā)送文件給未用FTP協(xié)議可以允許一個(gè)用戶從未資源處文可以用FTP協(xié)議穿過FTP協(xié)議可以顯著減少（demilitarizedzone）服務(wù)器的績效。159需要將一個(gè)關(guān)鍵的系統(tǒng)時(shí)間恢復(fù)目標(biāo)設(shè)置為0并且恢復(fù)點(diǎn)目標(biāo)設(shè)置為1分鐘。B.系統(tǒng)處理可以中斷一分鐘，但是受任何數(shù)據(jù)丟C.D.數(shù)據(jù)丟失和系統(tǒng)中斷可以超過1分鐘一個(gè)信息系統(tǒng)審計(jì)師應(yīng)該認(rèn)為把生產(chǎn)環(huán)境和系統(tǒng)的控制的給予使用數(shù)字簽名的時(shí)候，電要應(yīng)該有誰計(jì)算把它的幫助臺活動(dòng)外包了，一個(gè)信息系統(tǒng)審計(jì)師在審閱組織和開發(fā)商之間的合同和相關(guān)的服務(wù)水平協(xié)議（A）最應(yīng)該關(guān)心的是：員工背景的文下面哪一項(xiàng)將最有效地提高-應(yīng)答認(rèn)證機(jī)制（challenge-responsebasedauthenticationsystem）的安全性？選用更健壯的算法生成字符串（challenge加強(qiáng)相關(guān)變更頻增加認(rèn)證字符串（authenticationstrings）的長度下面哪一項(xiàng)物理控制能有效減小騎肩行為（piggybacking）的風(fēng)險(xiǎn)生物門鎖（Biometricdoor組合門鎖（combinationdoor雙道門（Deadman抽薹門鎖（Boltingdoorlocks）增加不同部門的系統(tǒng)之間數(shù)據(jù)的頻率，以確保及時(shí)更更改申請結(jié)構(gòu)，以便把共同的數(shù)據(jù)于面向所有部門的共享數(shù)據(jù)庫下面哪一項(xiàng)技術(shù)能最好地幫助IS每個(gè)產(chǎn)品的版本已被列由于證問題，列表不包括開源軟提供非工作時(shí)間支持（Afterhourssupport）對控制方法進(jìn)行詳細(xì)描試圖對互聯(lián)網(wǎng)上的加密數(shù)據(jù)獲得并收集信息的者會使用以下哪種IS審計(jì)師在主文件（ masterfile）中是否存在重復(fù)記錄時(shí)，應(yīng)該IS審計(jì)師發(fā)現(xiàn)，某天一個(gè)特定的時(shí)段，數(shù)據(jù)倉庫的查詢功能的（queryperformance）性能大幅下降，IS審計(jì)師應(yīng)一下哪種相關(guān)控制？永久性表空間的分配（Permanenttable-space用戶離線假脫機(jī)（UserSpool）日志的讀寫權(quán)限控制在一個(gè)售貨終端系統(tǒng)（POS）時(shí)，以下哪項(xiàng)審計(jì)發(fā)現(xiàn)是最嚴(yán)重的POS系統(tǒng)中的記錄為手工輸入到會計(jì)應(yīng)用程序沒有使用光掃描儀掃讀用來生成銷售的條形在本地POS系統(tǒng)中的客戶信息是未加密保存數(shù)據(jù)傳輸使用虛擬網(wǎng)絡(luò) ）隧審計(jì)網(wǎng)絡(luò)的控記錄列表的所有變化在進(jìn)行IT系統(tǒng)的滲透性測試時(shí)，最應(yīng)該關(guān)注下列哪種滲透性測試對有效的評估事件處理和響應(yīng)的能力在收集的過程中，以下哪種行為（）最容易造成妥協(xié)(compromised)系統(tǒng)上的(compromised)一名曾參與過設(shè)計(jì)組織業(yè)務(wù)連續(xù)性計(jì)劃的IT審計(jì)師被指派對這份BCP計(jì)劃進(jìn)行審計(jì)。這名IT審計(jì)師應(yīng)該（）？在審計(jì)項(xiàng)目開始前，告知BCP團(tuán)隊(duì)可能存在的利益在審計(jì)項(xiàng)目開始前，告知管理層可能存在的利益作中，IT審計(jì)師最為關(guān)心是判斷（）由于前后兩個(gè)系統(tǒng)可能具有不同的數(shù)據(jù)庫結(jié)構(gòu)和字段定義，因此IT審計(jì)師主要關(guān)心的應(yīng)該IT審計(jì)師發(fā)現(xiàn)，由于開發(fā)人員實(shí)施補(bǔ)丁更新，對一個(gè)新系統(tǒng)的用戶驗(yàn)收測試正在反復(fù)的中斷。那么IT審計(jì)師應(yīng)該最好的建議是（）只對重要的版本補(bǔ)丁進(jìn)試在對一個(gè)生產(chǎn)系統(tǒng)進(jìn)行變更控制的審計(jì)中，IT審計(jì)師發(fā)現(xiàn)變更管理流程沒有進(jìn)行正常的文檔記錄，以及一些遷移程序出錯(cuò)。IT審計(jì)師下一步應(yīng)該怎么做（）？通過對問題根源進(jìn)行分析以獲得確信的審計(jì)發(fā)經(jīng)常性的更新以下哪部分內(nèi)容對恢復(fù)計(jì)劃DRP的有效性是至關(guān)重要的重要人員的服務(wù)器文組織的審計(jì)章程中，應(yīng)該明確ITIT對ITIT審計(jì)功能的角色I(xiàn)T準(zhǔn)。IT審計(jì)業(yè)務(wù)短期和長期的計(jì)劃是審計(jì)管理層的職責(zé)。每個(gè)IT審計(jì)業(yè)務(wù)的目標(biāo)和范圍應(yīng)主站點(diǎn)和恢復(fù)站點(diǎn)的配置和校正(configurationsand以下哪個(gè)用于衡量一個(gè)IT修補(bǔ)的安全的數(shù)最重要指標(biāo)是每次安全事件帶來的經(jīng)濟(jì)影響。B/C/D是對安全部門工作效能的衡量。但不公司制定了關(guān)于用戶的類型的制度，以下那種是執(zhí)行這一制度最有效的狀態(tài)檢測（Statefulinspection把它的廣域網(wǎng)外包給了第服務(wù)商。在這種情況下，在對組織的BCPDRP進(jìn)行審計(jì)時(shí)以下哪項(xiàng)任務(wù)是IT審計(jì)師主要要做的檢查服務(wù)提供商的BCP流程是否與組織的BCP檢查在SLA服務(wù)水平協(xié)議中是否包含賠償協(xié)議，以防在發(fā)生時(shí)無法實(shí)現(xiàn)服務(wù)水檢查組織在選擇第服務(wù)商的方法和流檢查第服務(wù)商員工的資質(zhì)和背景以下哪項(xiàng)是最好的雙因子用戶方式需要用戶PIN用戶ID和虹膜和識需要用戶PIN口令的業(yè)務(wù)部門對IT系統(tǒng)恢復(fù)性的協(xié)議進(jìn)行了一次現(xiàn)場測試，測試中包括對一次四小時(shí)的壓系統(tǒng)和IT在災(zāi)備地點(diǎn)能滿足響應(yīng)時(shí)間需求的應(yīng)用連接使用應(yīng)急系統(tǒng)的實(shí)際業(yè)務(wù)運(yùn)行工作流以防止IS 任何明C．門卡的和權(quán)限管理由多個(gè)部門負(fù)責(zé)，導(dǎo)致不必要的新卡領(lǐng)用時(shí)間確保e-mail用于事故。一家醫(yī)院中，醫(yī)療人員攜帶包含有健康數(shù)據(jù)的便攜式電腦。這些便攜電腦與從醫(yī)院數(shù)據(jù)庫傳輸數(shù)據(jù)過來的PC終端保持?jǐn)?shù)據(jù)同步。以下哪項(xiàng)是最重要的？合理保護(hù)便攜