CISA考試練習(xí)(習(xí)題卷3)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷3)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共260題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.以下哪種為控制自我評(píng)價(jià)方法的屬性？A)廣泛的利益相關(guān)者的參與B)審計(jì)師為主控分析C)有限的雇員參與D)策略驅(qū)動(dòng)[單選題]2.當(dāng)訪問(wèn)多個(gè)系統(tǒng)和維護(hù)身份管理控制的完整性時(shí)，如下哪個(gè)選項(xiàng)將減少忘記密碼的概率？A)減少密碼長(zhǎng)度B)使用單點(diǎn)登錄C)使用雙因子D)容許使用以前的密碼[單選題]3.某第三方應(yīng)用作為多個(gè)外部系統(tǒng)的接口，在發(fā)現(xiàn)該軟件存在安全漏洞后，大量的模塊被打上了補(bǔ)丁。IS審計(jì)員應(yīng)建議執(zhí)行以下哪個(gè)測(cè)試A)Stress負(fù)載B)Blackbox黑盒C)Interface接口D)System系統(tǒng)[單選題]4.審計(jì)章程的主要目的是：A)把組織需要的審計(jì)流程記錄下來(lái)B)正式記錄審計(jì)部門(mén)的行動(dòng)計(jì)劃C)為審計(jì)師制定職業(yè)行為規(guī)范D)描述審計(jì)部門(mén)的權(quán)力與責(zé)任[單選題]5.跨國(guó)公司的IS管理部門(mén)考慮更新公司現(xiàn)有的虛擬專用網(wǎng)絡(luò)（VPN)，以通過(guò)隧道支持IP語(yǔ)音（VOLP)通信。應(yīng)首先考慮以下哪個(gè)注意事項(xiàng)？A)可靠性和服務(wù)質(zhì)量（QOS）B)身份認(rèn)證方法C)聲音傳輸?shù)碾[私性D)數(shù)據(jù)傳輸?shù)臋C(jī)密性[單選題]6.以下哪項(xiàng)對(duì)成功實(shí)施和維護(hù)安全政策最重要?A)讓所有相關(guān)方熟悉書(shū)面安全政策的框架和目的B)管理人員支持并批準(zhǔn)安全政策的實(shí)施和維護(hù)C)通過(guò)對(duì)任何違反安全規(guī)則的行為實(shí)施處罰以執(zhí)行安全規(guī)則D)通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行、監(jiān)控和實(shí)施安全專員制定的規(guī)則[單選題]7.下列哪一項(xiàng)將能最有效地盡量降低因網(wǎng)絡(luò)釣魚(yú)而發(fā)生未授權(quán)在線銀行業(yè)務(wù)客戶的風(fēng)險(xiǎn)?A)增強(qiáng)客戶意識(shí)和活動(dòng)B)清除審計(jì)記錄C)入侵防御系統(tǒng)D)強(qiáng)有力的身份認(rèn)證機(jī)制[單選題]8.嘗試控制敏感區(qū)域的物理訪問(wèn)時(shí)（例如，對(duì)機(jī)房使用卡密鑰或鎖），存在什么相關(guān)風(fēng)險(xiǎn)？A)未授權(quán)人員等待控制門(mén)打開(kāi)，然后跟隨已授權(quán)人員進(jìn)入。B)組織的應(yīng)急計(jì)劃不能有效測(cè)試受控的訪問(wèn)操作。C)門(mén)禁卡、鑰匙和控制板非常易于復(fù)制，從而使控制很容易受到破壞。D)刪除那些不再有權(quán)進(jìn)行訪問(wèn)的人員權(quán)限很復(fù)雜。[單選題]9.IS審計(jì)人員在應(yīng)用開(kāi)發(fā)項(xiàng)目的系統(tǒng)設(shè)計(jì)時(shí)間的首要任務(wù)是：A)商定明確詳盡的控制程序B)確保設(shè)計(jì)準(zhǔn)確地反映了需求C)確保初始設(shè)計(jì)中包含了所有必要的控制D)勸告開(kāi)發(fā)經(jīng)理要遵守進(jìn)度表[單選題]10.某審計(jì)師發(fā)現(xiàn)，組織最近采用的企業(yè)架構(gòu)(EA)具有充分的當(dāng)前狀態(tài)描述。但該組織又啟動(dòng)了個(gè)獨(dú)立的項(xiàng)目來(lái)確立未來(lái)狀態(tài)的描述。IS審計(jì)師應(yīng)A)建議盡快完成此獨(dú)立項(xiàng)目。B)將此問(wèn)題作為審計(jì)發(fā)現(xiàn)寫(xiě)入審計(jì)報(bào)告。C)建議采用Zachmann框架。D)調(diào)整審計(jì)范圍以將該獨(dú)立項(xiàng)目包括在當(dāng)前審計(jì)中。[單選題]11.為組織政策開(kāi)展的自上而下的方法有助于確保？A)它們?cè)谡麄€(gè)組織中保持一致B)它們作為風(fēng)險(xiǎn)評(píng)估的一部分被實(shí)施C)遵守所有政策D)它們會(huì)被定期審查[單選題]12.在審查組織的IT治理流程時(shí)，IS審計(jì)師發(fā)現(xiàn)公司最近實(shí)施了IT平衡記分卡(BSC)A)關(guān)鍵績(jī)效指標(biāo)(KPI)未報(bào)告給管理人員，因此管理人員無(wú)法確定BSC的有效性。B)IT項(xiàng)目可能受到成本超支的影響。C)可能將誤導(dǎo)性IT績(jī)效指標(biāo)提供給管理人員。D)IT服務(wù)等級(jí)協(xié)議(SLA)可能不準(zhǔn)確。[單選題]13.組織的IS審計(jì)章程應(yīng)指明:A)IS審計(jì)約定計(jì)劃。B)IS審計(jì)項(xiàng)目的目標(biāo)和范圍。C)針對(duì)IS審計(jì)人員的詳細(xì)培訓(xùn)計(jì)劃。D)IS審計(jì)職能部門(mén)的角色。[單選題]14.以下哪項(xiàng)會(huì)影響質(zhì)量保證小組的獨(dú)立性？A)確保開(kāi)發(fā)方式的合規(guī)性B)檢驗(yàn)測(cè)試用例C)在測(cè)試過(guò)程中糾正錯(cuò)誤代碼D)檢查代碼，以確保其適當(dāng)?shù)奈臋n化[單選題]15.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰(shuí)的責(zé)任：A)安全管理員B)系統(tǒng)管理員C)數(shù)據(jù)和系統(tǒng)所有者D)系統(tǒng)運(yùn)行組[單選題]16.災(zāi)難恢復(fù)計(jì)劃應(yīng)包括下列哪個(gè)步驟？A)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估和量化B)獲得替代設(shè)備供應(yīng)C)確定應(yīng)用程序控制需求D)與災(zāi)難計(jì)劃咨詢顧問(wèn)協(xié)商合同[單選題]17.在一個(gè)熱站、溫站或者冷站的合同中，合同規(guī)定應(yīng)該涵蓋以下那些主要考慮內(nèi)容？A)物理安全措施。B)用戶總數(shù)量。C)允許同時(shí)使用站點(diǎn)的用戶數(shù)。D)其他用戶的使用參考。[單選題]18.建立資料所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任?A)職能部門(mén)用戶B)內(nèi)部審計(jì)人員C)資料處理人員D)外部審計(jì)人員[單選題]19.綜合測(cè)試工具被認(rèn)為是有用的審計(jì)工具因?yàn)椋篈)它是評(píng)估應(yīng)用控制的有效工具B)它使得財(cái)務(wù)部和信息系統(tǒng)審計(jì)員集成他們的審計(jì)測(cè)試C)它可以進(jìn)行處理結(jié)果與獨(dú)立計(jì)算數(shù)據(jù)的對(duì)比D)他提供給信息系統(tǒng)審計(jì)員一個(gè)分析大量信息的工具[單選題]20.信息系統(tǒng)審計(jì)師得出結(jié)論，某公司已有高質(zhì)量的安全政策,以下哪一項(xiàng)是下一步應(yīng)確定的最重要的事項(xiàng)，政策必須:A)頻繁地更新B)由流程所有開(kāi)發(fā)C)基于行業(yè)標(biāo)準(zhǔn)D)所有員工都充分理解[單選題]21.管理網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的第一步是：A)評(píng)估弱點(diǎn)的影響B(tài))評(píng)估危險(xiǎn)的可能性C)確認(rèn)關(guān)鍵信息資產(chǎn)D)評(píng)估潛在的破壞[單選題]22.對(duì)于內(nèi)部組建還是外部購(gòu)買IT系統(tǒng)要做出明智的決定,以下哪一項(xiàng)可提供最有用的信息?A)業(yè)務(wù)戰(zhàn)略B)業(yè)務(wù)案例C)可行性分析D)需求請(qǐng)求書(shū)RFP.[單選題]23.在某小型企業(yè)的車計(jì)期間，IS計(jì)師注意到IS總監(jiān)具有超級(jí)用戶訪問(wèn)特權(quán)，這使得該總監(jiān)可以直接處理交更請(qǐng)求以更改應(yīng)用程序的訪問(wèn)角色(訪問(wèn)類型).該IS審計(jì)師應(yīng)建議以下哪個(gè)選項(xiàng)?A)針對(duì)應(yīng)用程序角色變更請(qǐng)求，實(shí)施適當(dāng)記錄的流程。B)雇傭額外的職員以實(shí)現(xiàn)應(yīng)用程序內(nèi)有職責(zé)分離(SoD)的角色變更C)實(shí)施自動(dòng)化流程來(lái)變更應(yīng)用程序角色。D)詳細(xì)記錄當(dāng)前程序，并在企業(yè)內(nèi)聯(lián)網(wǎng)中提供。[單選題]24.信息系統(tǒng)不能滿足用戶需求的最常見(jiàn)的原因是：A)用戶需求頻繁變動(dòng)B)對(duì)用戶需求增長(zhǎng)的預(yù)測(cè)不準(zhǔn)確C)硬件系統(tǒng)限制了并發(fā)用戶的數(shù)目D)定義系統(tǒng)時(shí)用戶參與不夠[單選題]25.對(duì)于信息系統(tǒng)部門(mén)的職責(zé)分離情況，以下哪項(xiàng)審計(jì)技術(shù)提供了最好的證據(jù)？A)與管理層進(jìn)行討論B)審查組織章程C)觀察和面談D)測(cè)試用戶訪問(wèn)權(quán)限[單選題]26.一個(gè)公司正在執(zhí)行動(dòng)態(tài)主機(jī)設(shè)置協(xié)議。鑒于下列境況存在，哪個(gè)是最擔(dān)心的？A)大多數(shù)雇員用便攜式電腦B)一個(gè)包過(guò)濾防火墻被使用C)IT地址空間少于電腦數(shù)量D)網(wǎng)絡(luò)端口的訪問(wèn)沒(méi)有被限制[單選題]27.下面哪一項(xiàng)是確定恢復(fù)時(shí)間目標(biāo)（RTO）的主要因素？A)異地備份的成本B)緊急行動(dòng)計(jì)劃的響應(yīng)時(shí)間C)災(zāi)難的停機(jī)成本D)測(cè)試業(yè)務(wù)持續(xù)運(yùn)營(yíng)計(jì)劃的成本[單選題]28.IS審計(jì)師想要審查是否對(duì)程序文檔的訪問(wèn)只被限制給授權(quán)的用戶，那么IS審計(jì)師最可能會(huì):A)．評(píng)估場(chǎng)外存儲(chǔ)保留計(jì)劃的記錄B)．詢問(wèn)程序員關(guān)于目前正在應(yīng)用的程序C)．比較使用記錄和操作目錄D)．審查數(shù)據(jù)文件訪問(wèn)記錄以檢測(cè)程序管理員的功能[單選題]29.在一個(gè)數(shù)據(jù)中心下面哪種方式抑制起火是最有效并合乎環(huán)境公益要求的方式？A)，哈龍氣體B)，濕管灑水器C)，干管灑水器D)，二氧化碳?xì)怏w[單選題]30.在在線交易處理系統(tǒng)中，維護(hù)數(shù)據(jù)完整性的方法是確保交易被完全執(zhí)行，或者完全未被執(zhí)行。這一數(shù)據(jù)完整性原則指:A)隔離性。B)一致性。C)原子性。D)持久性。[單選題]31.在對(duì)一家小型銀行進(jìn)行合規(guī)性審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)，IT職能和會(huì)計(jì)職能是由財(cái)務(wù)系統(tǒng)的同一個(gè)用戶執(zhí)行的。用戶監(jiān)督人員執(zhí)行的下列哪一項(xiàng)審查代表最佳的補(bǔ)償控制?A)顯示交易日期和時(shí)間的審計(jì)軌跡B)含有每筆交易總數(shù)量和總金額(美元)的每日?qǐng)?bào)表C)用戶帳戶管理D)顯示各項(xiàng)交易的計(jì)算機(jī)日志文件[單選題]32.計(jì)應(yīng)對(duì)潛在自然災(zāi)害的數(shù)據(jù)備份策略時(shí)，以下哪一項(xiàng)最有幫助?A)恢復(fù)點(diǎn)目標(biāo)(RPO)B)需要備份的數(shù)據(jù)量C)數(shù)據(jù)備份技術(shù)D)恢復(fù)時(shí)間目標(biāo)(RTO)[單選題]33.IS審計(jì)師正在審查存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）的實(shí)施情況。SAN管理員表示，記錄和監(jiān)控處于活動(dòng)狀態(tài)，硬分區(qū)用于將數(shù)據(jù)與不同的業(yè)務(wù)單元分隔開(kāi)來(lái)，并且所有未使用的SAN端口均被禁用。管理員實(shí)施系統(tǒng)，在實(shí)施期間執(zhí)行并記錄安全測(cè)試，并且確定其是唯一具有系統(tǒng)管理權(quán)限的用戶。IS審計(jì)師的初步裁定應(yīng)該是什么？A)SAN是安全的，不存在重大風(fēng)險(xiǎn)。B)SAN具有潛在風(fēng)險(xiǎn)，因?yàn)閼?yīng)該使用軟分區(qū)。C)SAN具有潛在風(fēng)險(xiǎn)，因?yàn)閷徲?jì)日志不會(huì)被及時(shí)審查。D)SAN具有潛在風(fēng)險(xiǎn)，因?yàn)橹挥幸粋€(gè)員工有訪問(wèn)權(quán)限。[單選題]34.以下哪一項(xiàng)IT治理審查的發(fā)現(xiàn)應(yīng)是最大的擔(dān)憂?A)IT價(jià)值分析尚未完成B)IT支持兩種不同的操作系統(tǒng)C)所有IT服務(wù)皆由第三方提供D)IT預(yù)算不受監(jiān)控[單選題]35.以下哪項(xiàng)技術(shù)可以確保通過(guò)光纖、微波以及同軸電纜連入本地通訊網(wǎng)時(shí)的通訊持續(xù)性A)最后一米線路保護(hù)技術(shù)B)長(zhǎng)距離網(wǎng)絡(luò)傳輸技術(shù)C)多變路由技術(shù)D)可選路由技術(shù)[單選題]36.當(dāng)兩個(gè)或多個(gè)系統(tǒng)集成在一起時(shí)，IS審計(jì)師必須在以下方面審查輸入/輸出控制措施A)接收其他系統(tǒng)輸出的系統(tǒng)。B)向其他系統(tǒng)發(fā)送輸出的系統(tǒng)。C)發(fā)送和接收數(shù)據(jù)的系統(tǒng)。D)兩個(gè)系統(tǒng)之間的接口。[單選題]37.一個(gè)入侵檢測(cè)系統(tǒng)應(yīng)該首先報(bào)告可疑的網(wǎng)絡(luò)入侵給？A)信息安全人員B)網(wǎng)絡(luò)管理員C)信息系統(tǒng)審計(jì)員D)監(jiān)察員[單選題]38.在評(píng)估企業(yè)IT項(xiàng)目組合的優(yōu)先級(jí)是否適當(dāng)時(shí)，什么應(yīng)是信息系統(tǒng)審計(jì)師的最重要考慮事項(xiàng)？A)成本效益分析結(jié)果B)企業(yè)的IT預(yù)算C)業(yè)務(wù)影響分析（BIA)D)企業(yè)的業(yè)務(wù)計(jì)劃[單選題]39.信息技術(shù)管理層決定，在所有服務(wù)器上安裝1級(jí)廉價(jià)磁盤(pán)冗余陣列(RAID)系統(tǒng)，以彌補(bǔ)撤除異地備份的影響。IS審計(jì)師應(yīng)建議:A)升級(jí)到5級(jí)RAIDB)增加現(xiàn)場(chǎng)備份的頻率。C)恢復(fù)異地備份。D)在安全位置建立冷備援中心。[單選題]40.在變更控制檢查期間緊急變更被識(shí)別時(shí)，IS審計(jì)師期望發(fā)現(xiàn)什么？A)一個(gè)控制弱點(diǎn)，由于這些行動(dòng)不該允許發(fā)生并且應(yīng)該報(bào)告。B)變更在必要時(shí)實(shí)施，相關(guān)的問(wèn)題被記錄。C)沒(méi)有經(jīng)過(guò)系統(tǒng)責(zé)任人批準(zhǔn)采取的激活變更的相關(guān)的規(guī)范活動(dòng)。D)通知系統(tǒng)變更責(zé)任人和其他所有相關(guān)采取行動(dòng)的解釋的流程。[單選題]41.以下哪種方式是處置廢舊磁帶前對(duì)其進(jìn)行處理的最佳方法？A)覆寫(xiě)磁帶B)初始化磁帶標(biāo)簽C)將磁帶消磁D)擦除磁帶內(nèi)容[單選題]42.在規(guī)劃IS審計(jì)時(shí)，最關(guān)鍵的步驟是確定:A)重大風(fēng)險(xiǎn)區(qū)域。B)審計(jì)人員的技能組合。C)審計(jì)中的測(cè)試步驟。D)分配給審計(jì)的時(shí)間。[單選題]43.作為信息安全管理的產(chǎn)物，戰(zhàn)略結(jié)盟提供了：A)安全需求受到企業(yè)需求的驅(qū)動(dòng)B)遵循最優(yōu)方法的基線安全C)制度化和常規(guī)化的解決方案D)理解風(fēng)險(xiǎn)揭示[單選題]44.使用非對(duì)稱加密算法對(duì)數(shù)據(jù)進(jìn)行加密解密的最佳的描述是哪個(gè)？A)使用接收者的私鑰解密使用公鑰加密數(shù)據(jù)B)使用發(fā)送者的私鑰解密數(shù)據(jù)C)使用接收者的公鑰解密數(shù)據(jù)，使用發(fā)送者的私密加密數(shù)據(jù)D)使用發(fā)送者的公鑰加密解密數(shù)據(jù)[單選題]45.為信息處理場(chǎng)所制定恢復(fù)流程的最佳依據(jù)是A)恢復(fù)時(shí)間目標(biāo)(RTO)。B)恢復(fù)點(diǎn)目標(biāo)(RPO)。C)可容忍的最長(zhǎng)斷電時(shí)間(MTO)。D)信息安全政策。[單選題]46.當(dāng)評(píng)估一個(gè)過(guò)程中的預(yù)防、檢測(cè)和糾正控制的組合效果時(shí)，IS審計(jì)員應(yīng)當(dāng)關(guān)注下列中的哪一項(xiàng)？A)某個(gè)點(diǎn)，在此處的控制被演練成數(shù)據(jù)流通過(guò)系統(tǒng)B)只有預(yù)防和檢測(cè)控制是相關(guān)的C)糾正性控制僅僅被認(rèn)為是補(bǔ)償D)分類讓IS審計(jì)員確定哪個(gè)控制是缺失的[單選題]47.下述哪一個(gè)是在沒(méi)有充分的計(jì)劃和準(zhǔn)備的情況下從采用傳統(tǒng)的審計(jì)方法切換到輔助控制自我評(píng)估（FCSA,Facilitatedcontrolself-assessment）研討組（workshop）的最主要的風(fēng)險(xiǎn)？A)FCSA研討組不能提供足夠的獨(dú)立性B)審計(jì)工作不能按時(shí)完成C)關(guān)鍵風(fēng)險(xiǎn)問(wèn)題不能被此流程所識(shí)別D)財(cái)務(wù)報(bào)告不能夠被發(fā)布到高級(jí)管理者手中[單選題]48.在審計(jì)ERP財(cái)務(wù)系統(tǒng)的邏輯訪問(wèn)控制時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)一些用戶帳戶被多人共享使用。用戶ID是基于角色而非人員本身設(shè)置的。這些帳戶允許進(jìn)入ERP系統(tǒng)進(jìn)行財(cái)務(wù)處理。下一步，信息系統(tǒng)審計(jì)師該怎么做？A)尋找補(bǔ)償性控制B)檢閱財(cái)務(wù)事務(wù)日志C)檢閱審計(jì)范圍D)叫管理員禁用這些帳號(hào)[單選題]49.對(duì)一次成功的社會(huì)工程攻擊的最有可能的解釋是：A)計(jì)算機(jī)邏輯出錯(cuò)。B)人員判斷出錯(cuò)。C)攻擊者的計(jì)算機(jī)知識(shí)。D)攻擊方法的技術(shù)復(fù)雜。[單選題]50.在審查注重質(zhì)量的項(xiàng)目時(shí)，IS審計(jì)師應(yīng)使用項(xiàng)目管理三角形來(lái)說(shuō)明A)即使減少資源分配也能提高質(zhì)量。B)只有增加資源分配才能提高質(zhì)量。C)即使減少資源分配也能縮短交付時(shí)間D)只有降低質(zhì)量才能縮短交付時(shí)間。[單選題]51.以下哪項(xiàng)技術(shù)可用于獲取網(wǎng)絡(luò)用戶密碼？A)機(jī)密B)嗅探C)欺騙D)數(shù)據(jù)破壞[單選題]52.對(duì)一項(xiàng)安全要求很高的應(yīng)用程序軟件開(kāi)發(fā)項(xiàng)目進(jìn)行實(shí)施后審查時(shí)，最重要的是要證實(shí):A)已執(zhí)行漏洞測(cè)試。B)項(xiàng)目已經(jīng)正式結(jié)束。C)符合項(xiàng)目日程計(jì)劃安排和預(yù)算D)滿足業(yè)務(wù)要求。[單選題]53.以下哪種風(fēng)險(xiǎn)可能是由軟件基準(zhǔn)不充分引起的?A)簽字延遲B)違反軟件完整性C)范圍偏離D)控制不充分[單選題]54.在規(guī)定了IT安全基準(zhǔn)的組織中，IS審計(jì)師首先應(yīng)確保A)正常實(shí)施。B)符合規(guī)定。C)記錄在案。D)充分性。[單選題]55.信息系統(tǒng)審計(jì)員在評(píng)估應(yīng)用系統(tǒng)維護(hù)的時(shí)候，會(huì)檢閱程序變更日志，因?yàn)椋篈)程序變更授權(quán)B)現(xiàn)在使用的對(duì)象模塊的創(chuàng)建日期C)程序變更的實(shí)際數(shù)量D)現(xiàn)在使用的源程序的創(chuàng)建日期[單選題]56.最近組織規(guī)?？s小,注意到這一點(diǎn),IT審計(jì)師決定對(duì)邏輯訪問(wèn)控制進(jìn)行測(cè)試,IT審計(jì)師首先應(yīng)關(guān)注哪一項(xiàng)?A)所有訪問(wèn)被授權(quán)并與個(gè)體的角色和職責(zé)相稱B)管理者對(duì)新雇傭的個(gè)體進(jìn)行了適當(dāng)?shù)脑L問(wèn)授權(quán)C)只有系統(tǒng)管理員對(duì)個(gè)體的訪問(wèn)權(quán)限進(jìn)行授予或更新D)訪問(wèn)權(quán)限表格被用于管理個(gè)體訪問(wèn)權(quán)限的授予和更新[單選題]57.下列說(shuō)法滿足信息系統(tǒng)安全官關(guān)于安全控制有效性的目標(biāo)：【待查書(shū)】A)基于風(fēng)險(xiǎn)分析的結(jié)果構(gòu)成完整的控制需求。B)控制已經(jīng)被測(cè)試。C)給予風(fēng)險(xiǎn)分析的結(jié)構(gòu)構(gòu)成安全控制的詳細(xì)要求。D)控制可重現(xiàn)地被測(cè)試。[單選題]58.根據(jù)以下哪一項(xiàng)能最能有效地確定對(duì)組織數(shù)據(jù)進(jìn)行分類的類別？A)因丟失或泄漏數(shù)據(jù)而對(duì)業(yè)務(wù)造成的影響B(tài))由高級(jí)管理層處理的交易C)對(duì)個(gè)人身份數(shù)據(jù)更高的安全要求D)業(yè)務(wù)功能的關(guān)鍵性[單選題]59.以下哪個(gè)選項(xiàng)將能最有效地確保業(yè)務(wù)應(yīng)用的離岸開(kāi)發(fā)取得成功?A)執(zhí)行嚴(yán)格的合同管理實(shí)務(wù)B)詳細(xì)的并得到正確應(yīng)用的規(guī)范C)了解文化和政策上的差異D)實(shí)施后審查[單選題]60.Web程序開(kāi)發(fā)者有時(shí)使用網(wǎng)頁(yè)上的隱藏區(qū)域保存客戶會(huì)話信息。這種技巧有時(shí)被用來(lái)保存會(huì)話參數(shù)以便能跨網(wǎng)頁(yè)訪問(wèn)，例如在零售網(wǎng)站應(yīng)用程序中保存購(gòu)物車內(nèi)的物品。因?yàn)檫@種實(shí)踐，下列最有可能基于Web的攻擊是：A)參數(shù)篡改B)跨網(wǎng)腳本C)Cookie中毒D)隱藏運(yùn)行命令[單選題]61.異地安置小組的責(zé)任包括：A)獲取、打包、運(yùn)送介質(zhì)并記錄到恢復(fù)設(shè)施上，確定并監(jiān)督異地存儲(chǔ)安排B)如果還沒(méi)有預(yù)先確定的話，尋找一個(gè)回復(fù)地點(diǎn)，協(xié)調(diào)將公司員工運(yùn)送到恢復(fù)站點(diǎn)。C)管理重置項(xiàng)目，對(duì)設(shè)施和設(shè)備的損壞程度進(jìn)行更詳細(xì)的評(píng)估D)協(xié)調(diào)從熱站遷移到新站點(diǎn)或恢復(fù)好的原始站點(diǎn)的過(guò)程[單選題]62.當(dāng)發(fā)送網(wǎng)上銀行交易數(shù)據(jù)至數(shù)據(jù)庫(kù)導(dǎo)致處理程序突然中斷。以下哪項(xiàng)可以最好的確保交易的完整性？A)數(shù)據(jù)庫(kù)完整性檢查。B)驗(yàn)證檢查。C)輸入控制。D)數(shù)據(jù)庫(kù)提交和回滾。[單選題]63.成功攻擊系統(tǒng)的第一步是：A)收集信息B)獲得訪問(wèn)權(quán)限C)拒絕服務(wù)D)避開(kāi)檢測(cè)[單選題]64.禁用下列哪一項(xiàng)會(huì)使無(wú)線局域網(wǎng)更安全免遭未經(jīng)授權(quán)的訪問(wèn)？A)MA、C、地址過(guò)濾B)WPA、協(xié)議C)LEA、P輕量級(jí)可擴(kuò)展認(rèn)證協(xié)議D)SSID、廣播[單選題]65.一個(gè)有效的災(zāi)難恢復(fù)計(jì)劃關(guān)鍵因素是下列哪一個(gè)？A)備份數(shù)據(jù)的存儲(chǔ)B)最新的關(guān)鍵災(zāi)難恢復(fù)聯(lián)系表C)更換的數(shù)據(jù)中心的有效性D)明確的定義恢復(fù)時(shí)間目標(biāo)[單選題]66.技術(shù)變化的速度增加，重要的是：A)外包的信息系統(tǒng)功能B)實(shí)施執(zhí)行正確的流程C)雇傭合格的人員D)滿足用戶要求[單選題]67.從控制角度來(lái)說(shuō)，對(duì)信息資產(chǎn)進(jìn)行分類的主要目標(biāo)是：A)為應(yīng)分配的訪問(wèn)控制等級(jí)建立準(zhǔn)則。B)確保將訪問(wèn)控制分配到所有信息資產(chǎn)。C)在風(fēng)險(xiǎn)評(píng)估中為管理人員和審計(jì)師提供幫助。D)識(shí)別需要根據(jù)損失進(jìn)行投保的資產(chǎn)。[單選題]68.信息系統(tǒng)審計(jì)師執(zhí)行下列哪項(xiàng)行為最可能損害其在應(yīng)用程序系統(tǒng)審計(jì)中的獨(dú)立性？A)執(zhí)行應(yīng)用程序的開(kāi)發(fā)審查。B)為應(yīng)用程序設(shè)計(jì)一個(gè)嵌入式審計(jì)模塊。C)審計(jì)師的上級(jí)負(fù)責(zé)此應(yīng)用程序的開(kāi)發(fā)。D)知道應(yīng)用程序包括審計(jì)師的個(gè)人交易。[單選題]69.一個(gè)企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)根據(jù)預(yù)定的標(biāo)準(zhǔn)激活，這解決了：A)中斷的持續(xù)時(shí)間B)中斷的類型C)中斷的概率D)中斷的原因[單選題]70.下列哪一項(xiàng)，是處置含有機(jī)密信息的磁性存儲(chǔ)介質(zhì)的最佳方法？A)消磁B)磁盤(pán)碎片整理C)刪除D)銷毀[單選題]71.一個(gè)組組織外包其廣域網(wǎng)（WAN）給第三方服提供商。在這種情況下審計(jì)師應(yīng)該執(zhí)行業(yè)務(wù)連接性計(jì)劃（BCP）和災(zāi)難恢復(fù)計(jì)劃（DRP）審計(jì)，下列哪個(gè)是首要任務(wù)？A)檢查服務(wù)商的BCP與該組織的BCP和合同義務(wù)是否一致B)檢查服務(wù)水平協(xié)議（SLA）是否包含在出現(xiàn)故障時(shí)，以應(yīng)付發(fā)生災(zāi)難時(shí)的服務(wù)水平和處罰條款C)審查該組織在選擇服務(wù)供應(yīng)商時(shí)的方法D)審閱第三方服務(wù)提供商時(shí)的工作人員的認(rèn)可[單選題]72.使用閃存存儲(chǔ)器（例如，USB可移動(dòng)磁盤(pán)）時(shí)最大的安全問(wèn)題是：A)內(nèi)容極易丟失。B)數(shù)據(jù)無(wú)法備份。C)數(shù)據(jù)可被復(fù)制。D)設(shè)備可能與其他外圍設(shè)備不兼容。[單選題]73.某公司用容量更大的新型存儲(chǔ)設(shè)備替換了主數(shù)據(jù)中心中的所有存儲(chǔ)設(shè)備,更換下來(lái)的設(shè)備已安裝在災(zāi)難恢復(fù)地點(diǎn)中，以取代更加陳舊的設(shè)備，信息系統(tǒng)審計(jì)師注意的主要問(wèn)題是:A)恢復(fù)地點(diǎn)設(shè)備是否能夠滿足存儲(chǔ)要求B)是否將這一遷移計(jì)劃通知了所有有關(guān)方面C)此次采購(gòu)是否符合公司的政策和程序D)是否為原有存儲(chǔ)設(shè)備和新的存儲(chǔ)設(shè)備都簽訂了硬件維護(hù)合同[單選題]74.下列哪項(xiàng)活動(dòng)不應(yīng)該由數(shù)據(jù)庫(kù)管理員(DBA)執(zhí)行?A)刪除數(shù)據(jù)庫(kù)活動(dòng)日志B)實(shí)施數(shù)據(jù)庫(kù)優(yōu)化工具C)監(jiān)控?cái)?shù)據(jù)庫(kù)使用情況D)制定備份和恢復(fù)流程[單選題]75.IT司法審計(jì)的主要目的是？A)參加與企業(yè)相關(guān)的調(diào)查B)系統(tǒng)的收集在系統(tǒng)故障后的數(shù)據(jù)C)評(píng)估組織財(cái)務(wù)申明是準(zhǔn)確性D)判斷是否有犯罪行為[單選題]76.審閱基于代理的防火墻時(shí)，信息系統(tǒng)審計(jì)員應(yīng)該:A)確認(rèn)防火墻沒(méi)有丟掉任何發(fā)出的包B)審閱地址解析協(xié)議表，確認(rèn)物理地址與IP地址之間的正確映射C)校驗(yàn)服務(wù)的過(guò)濾器是否有效，如HTTPD)測(cè)試是不是有路由信息通過(guò)防火墻發(fā)出[單選題]77.在跟蹤審計(jì)期間，被審計(jì)單位指出,對(duì)以前報(bào)告的發(fā)現(xiàn)結(jié)果應(yīng)采取的糾正措施需要比預(yù)期更長(zhǎng)的時(shí)間，以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師應(yīng)采取的最佳行動(dòng)?A)停止審計(jì)工作并推遲跟蹤審計(jì)B)將問(wèn)題上報(bào)給高級(jí)管理層C)確定是否已采取補(bǔ)償性控制的臨時(shí)措施D)要求在商定的期限內(nèi)完成補(bǔ)救工作[單選題]78.IT平衡記分卡是IT治理工具，用于監(jiān)測(cè)不同于:A)財(cái)務(wù)成果、B)客戶滿意、C)內(nèi)部過(guò)程改進(jìn)、D)創(chuàng)新能力、[單選題]79.建立一個(gè)信息安全體系的最初步驟是：A)開(kāi)發(fā)和實(shí)施信息安全標(biāo)準(zhǔn)手冊(cè)B)由信息安全審計(jì)師實(shí)施的全面的安全控制評(píng)審C)企業(yè)信息安全策略聲明D)購(gòu)買安全訪問(wèn)控制軟件[單選題]80.根據(jù)能力成熟度模型（CMM）評(píng)估某應(yīng)用開(kāi)發(fā)項(xiàng)目，IS審計(jì)師應(yīng)該能夠驗(yàn)證：A)保證了產(chǎn)品的可靠性B)提高了程序員的效率C)有設(shè)計(jì)安全需求D)遵循了預(yù)期的軟件開(kāi)發(fā)流程[單選題]81.災(zāi)難性恢復(fù)計(jì)劃(D、RP)基于:A)技術(shù)方面的業(yè)務(wù)連續(xù)性計(jì)劃、B)操作部分的業(yè)務(wù)連續(xù)性計(jì)劃、C)功能方面的業(yè)務(wù)連續(xù)性計(jì)劃、D)總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計(jì)劃、[單選題]82.從軟盤(pán)上拷貝文件時(shí)，某用戶帶入了一個(gè)病毒到網(wǎng)絡(luò)里。以下哪項(xiàng)能最有效檢測(cè)到這個(gè)病毒的存在？A)使用前掃描所有軟盤(pán)B)網(wǎng)絡(luò)文件服務(wù)器上的病毒檢測(cè)器C)每天對(duì)所有網(wǎng)絡(luò)驅(qū)動(dòng)器進(jìn)行掃描D)在用戶的個(gè)人電腦上的病毒檢測(cè)器[單選題]83.在審查一個(gè)基于web的軟件開(kāi)發(fā)項(xiàng)目的過(guò)程中，信息系統(tǒng)審計(jì)師意識(shí)到編程代碼標(biāo)準(zhǔn)不是強(qiáng)制性的，并且代碼的審查也很少執(zhí)行。這將會(huì)最可能增加下列哪個(gè)選項(xiàng)發(fā)生的可能性：A)緩沖區(qū)溢出B)暴力破解攻擊C)分布式拒絕服務(wù)攻擊D)戰(zhàn)爭(zhēng)撥號(hào)攻擊[單選題]84.控制自我評(píng)估(CSA)成功與否很大程度取決于:A)由生產(chǎn)管理人員承擔(dān)部分控制監(jiān)測(cè)責(zé)任。B)將控制構(gòu)建責(zé)任(而非監(jiān)測(cè)責(zé)任)分派給行政管理人員C)執(zhí)行嚴(yán)格的控制政策和規(guī)則導(dǎo)向控制。D)執(zhí)行監(jiān)督和職責(zé)分派控制監(jiān)測(cè)。[單選題]85.對(duì)IT服務(wù)臺(tái)實(shí)踐的審查中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)客戶服務(wù)部門(mén)人員花在為用戶重設(shè)密碼上的時(shí)間比花在解決關(guān)鍵事故上的時(shí)間長(zhǎng)，對(duì)IT管理部門(mén)提出以下哪一項(xiàng)建議最能解決該問(wèn)題？A)計(jì)算事故申請(qǐng)的持續(xù)時(shí)間，如超出服務(wù)水平協(xié)議（SLA）則向高級(jí)IT人員發(fā)送提醒。B)向最終用戶提供年度密碼管理培訓(xùn)以減少重設(shè)密碼申請(qǐng)的數(shù)量。C)實(shí)施自助服務(wù)解決方案，對(duì)于頻繁請(qǐng)求服務(wù)分流用戶使用自助平臺(tái)。D)如能在約定的服務(wù)水平內(nèi)關(guān)閉事故，則給予服務(wù)臺(tái)人員獎(jiǎng)勵(lì)。[單選題]86.使用POS機(jī)進(jìn)行電子資金轉(zhuǎn)賬（EFT）的大型連鎖店都有應(yīng)該中央通信處理器與銀行網(wǎng)絡(luò)進(jìn)行連接。對(duì)于通信處理器最好的災(zāi)難恢復(fù)計(jì)劃是：A)異地存儲(chǔ)的日常備份B)現(xiàn)場(chǎng)可替代的備用處理器C)安裝復(fù)用通信線路D)另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的可替代的備用處理器[單選題]87.業(yè)務(wù)持續(xù)計(jì)劃的測(cè)試的最主要的目的是:A)讓員工熟悉業(yè)務(wù)持續(xù)計(jì)劃B)確保所有的殘留風(fēng)險(xiǎn)都能夠被辨別出來(lái)C)實(shí)踐所有的災(zāi)難設(shè)想D)鑒別業(yè)務(wù)持續(xù)計(jì)劃的局限性[單選題]88.某組織具有完善的風(fēng)險(xiǎn)管理流程。以下哪項(xiàng)風(fēng)險(xiǎn)管理實(shí)踐最有可能會(huì)使組織面臨最大的合規(guī)性風(fēng)險(xiǎn)?A)風(fēng)險(xiǎn)降低B)風(fēng)險(xiǎn)轉(zhuǎn)移C)風(fēng)險(xiǎn)避免D)風(fēng)險(xiǎn)緩解[單選題]89.如下內(nèi)容中的哪些將是最安全的防火墻系統(tǒng)？A)屏蔽主機(jī)防火墻B)屏蔽子網(wǎng)式防火墻C)雙宿主防火墻D)狀態(tài)檢測(cè)防火墻[單選題]90.在一個(gè)商用的B-TO-B網(wǎng)絡(luò)應(yīng)用程序中，為了確保商業(yè)機(jī)密，如下哪個(gè)選項(xiàng)是最好的方法？A)使用單項(xiàng)哈希加密算法B)使用接收的公鑰加密交易數(shù)據(jù)C)在傳輸前數(shù)字化簽名所有交易D)使用發(fā)送者的私鑰簽名所有交易[單選題]91.一個(gè)團(tuán)隊(duì)在執(zhí)行風(fēng)險(xiǎn)分析時(shí)，難以預(yù)測(cè)某種風(fēng)險(xiǎn)可能造成的經(jīng)濟(jì)損失。要評(píng)估潛在的影響，該團(tuán)隊(duì)?wèi)?yīng)當(dāng):A)計(jì)算相關(guān)資產(chǎn)的攤銷。B)計(jì)算投資回報(bào)(ROI)。C)采用定性方法D)花費(fèi)相應(yīng)的時(shí)間來(lái)確定準(zhǔn)確的損失金額。[單選題]92.下列哪項(xiàng)是自上而下的軟件測(cè)試方法的優(yōu)點(diǎn)?A)及早發(fā)現(xiàn)接口錯(cuò)誤。B)可以在所有程序完成之前便開(kāi)始測(cè)試。C)比其他測(cè)試方法更有效。D)可以很快檢測(cè)到關(guān)鍵模塊中的錯(cuò)誤。[單選題]93.服務(wù)水平管理(SLM)的主要目標(biāo)是A)定義、商定、記錄并管理所需的服務(wù)級(jí)別。B)確保對(duì)服務(wù)進(jìn)行管理，以便實(shí)現(xiàn)可達(dá)到的最高可用水平。C)盡量降低與任何服務(wù)相關(guān)的成本。D)監(jiān)測(cè)并將任何違法行為報(bào)告給業(yè)務(wù)管理人員。[單選題]94.如果一臺(tái)便攜式計(jì)算機(jī)丟失或被盜，管理人員最關(guān)注的是機(jī)密信息是否會(huì)暴露。要保護(hù)存放在便攜式計(jì)算機(jī)上的敏感信息，下面哪一條措施是最有效的和最經(jīng)濟(jì)的？A)用戶填寫(xiě)情況簡(jiǎn)要介紹B)簽署確認(rèn)用戶簡(jiǎn)要介紹C)可移動(dòng)資料存儲(chǔ)介質(zhì)D)在存儲(chǔ)介質(zhì)上對(duì)資料檔案加密[單選題]95.成功實(shí)施和維護(hù)一個(gè)安全策略，最關(guān)鍵的是？A)由恰當(dāng)?shù)南嚓P(guān)方一起撰寫(xiě)框架B)管理層支持和批準(zhǔn)實(shí)施和維護(hù)安全策略C)任何違反安全規(guī)則的懲罰性行動(dòng)來(lái)強(qiáng)化信息安全規(guī)則D)通過(guò)訪問(wèn)控制軟件來(lái)嚴(yán)格執(zhí)行，檢測(cè)安全管理人員所執(zhí)行的規(guī)則[單選題]96.一家組織在業(yè)務(wù)連續(xù)性規(guī)劃中完成了業(yè)務(wù)影響分析(BIA)。流程中的下一步是制定A)業(yè)務(wù)連續(xù)性策略。B)測(cè)試和練習(xí)計(jì)劃。C)用戶培訓(xùn)計(jì)劃。D)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)。[單選題]97.在審查業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師注意到何種情況將宣布為危機(jī)還沒(méi)有做出定義。與此相關(guān)的重大風(fēng)險(xiǎn)是：A)對(duì)形勢(shì)的評(píng)估可能會(huì)推遲B)災(zāi)難恢復(fù)計(jì)劃的執(zhí)行將受到影響C)團(tuán)隊(duì)可能不會(huì)得到通知D)識(shí)別潛在的危機(jī)可能無(wú)效[單選題]98.一旦業(yè)務(wù)功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構(gòu)成了對(duì)組織的主要風(fēng)險(xiǎn)？A)在異地存儲(chǔ)的備用資源詳細(xì)目錄沒(méi)有及時(shí)更新B)在備份計(jì)算機(jī)和恢復(fù)設(shè)備上存儲(chǔ)的備用資源詳細(xì)目錄沒(méi)有及時(shí)更新C)沒(méi)有對(duì)緊急情況下的供貨商或備選供貨商進(jìn)行評(píng)估，不知道供貨商是否還在正常營(yíng)業(yè)D)過(guò)期的材料沒(méi)有從有用的資源中剔除[單選題]99.一個(gè)企業(yè)對(duì)于所有使用的數(shù)據(jù)通過(guò)協(xié)議正在采用由國(guó)外供應(yīng)商提供的云架構(gòu)。在這個(gè)項(xiàng)目中什么是審計(jì)人員最應(yīng)該關(guān)注的？A)A私有數(shù)據(jù)可能被未被授權(quán)的用戶訪問(wèn)。B)訪問(wèn)云主機(jī)是通過(guò)遠(yuǎn)程訪問(wèn)方式完成的。C)主機(jī)結(jié)構(gòu)和設(shè)置是由供應(yīng)商完成的。D)單機(jī)驗(yàn)證被使用。[單選題]100.IS審計(jì)師被IS管理人員告知，組織最近己達(dá)到軟件能力成熟度模型(CMM)的最高級(jí)別,則該組織最近添加的軟件質(zhì)量過(guò)程為A)持續(xù)改進(jìn)。B)定量質(zhì)量目標(biāo)。C)記錄流程。D)為特定項(xiàng)目制定的流程。[單選題]101.以下哪項(xiàng)是中小型組織中通過(guò)互聯(lián)網(wǎng)連接專用網(wǎng)絡(luò)的最安全經(jīng)濟(jì)的方法？A)虛擬專用網(wǎng)絡(luò)（VPN）B)專用線路C)租用線路D)綜合業(yè)務(wù)數(shù)字網(wǎng)[單選題]102.在審核某業(yè)務(wù)流程再造（BPR）項(xiàng)目時(shí)，以下審計(jì)人員要評(píng)價(jià)的項(xiàng)目中哪一項(xiàng)最重要？A)被撤銷控制的影響B(tài))新控制的成本C)BPR項(xiàng)目計(jì)劃D)持續(xù)改進(jìn)和監(jiān)控計(jì)劃[單選題]103.在審查IT基礎(chǔ)設(shè)施時(shí)，IS審計(jì)師注意到存儲(chǔ)資源不斷增多。IS審計(jì)師應(yīng):A)建議使用磁盤(pán)鏡像。B)審查異地存儲(chǔ)的充分性。C)審查容量管理流程。D)建議使用壓縮算法。[單選題]104.某保險(xiǎn)公司對(duì)經(jīng)常應(yīng)用的數(shù)據(jù)進(jìn)行斷點(diǎn)打印拷貝，使有關(guān)人員可在主機(jī)文件中獲取這些數(shù)據(jù)，經(jīng)過(guò)授權(quán)的用戶可以將數(shù)據(jù)子集下載進(jìn)入電子數(shù)據(jù)表程序，這種提供數(shù)據(jù)存取途徑方法的風(fēng)險(xiǎn)是：A)復(fù)制文件可能沒(méi)有得到同步處理；B)數(shù)據(jù)片斷可能缺乏完整性；C)數(shù)據(jù)處理的進(jìn)行可能缺乏成熟；D)數(shù)據(jù)的普及性。[單選題]105.在審查IT災(zāi)難恢復(fù)測(cè)試的時(shí)候，下列哪項(xiàng)是IS審計(jì)師最應(yīng)該關(guān)注的？A)由于有限的測(cè)試時(shí)間窗，只有最重要的系統(tǒng)被測(cè)試了。其他系統(tǒng)在當(dāng)年余下的時(shí)間分開(kāi)測(cè)試。B)在測(cè)試的過(guò)程中，注意到有些備份系統(tǒng)有缺陷揮著不正常工作，導(dǎo)致測(cè)試失敗。C)在啟動(dòng)備份站點(diǎn)之前，關(guān)閉程序和原始產(chǎn)生站點(diǎn)的安全所需的時(shí)間比計(jì)劃的要長(zhǎng)。D)每年都由相同的員工進(jìn)行測(cè)試。由于恢復(fù)的每一步都被參與者熟知，就不使用恢復(fù)計(jì)劃文檔。[單選題]106.一個(gè)團(tuán)隊(duì)進(jìn)行威脅分析，從風(fēng)險(xiǎn)角度預(yù)測(cè)可能造成的經(jīng)濟(jì)損失是很困難的，為了評(píng)估潛在的損失，團(tuán)隊(duì)?wèi)?yīng)該？A)設(shè)計(jì)出相關(guān)資產(chǎn)攤銷B)計(jì)算投資回報(bào)C)使用定性方法D)花費(fèi)時(shí)間確定損失的確定金額[單選題]107.下面哪一項(xiàng)測(cè)試最可能檢測(cè)到某個(gè)子程序中由于另一個(gè)子程序的最近更改導(dǎo)致的錯(cuò)誤?A)回歸測(cè)試B)黑盒測(cè)試C)壓力測(cè)試D)用戶驗(yàn)收測(cè)試[單選題]108.在軟件測(cè)試中使用自下而上方式的優(yōu)勢(shì)：A)盡早檢測(cè)到接口B)能較早完成系統(tǒng)開(kāi)發(fā)C)更早地檢測(cè)到關(guān)鍵模塊的錯(cuò)誤D)更早地測(cè)試主要功能和過(guò)程[單選題]109.以下哪一個(gè)是面向?qū)ο蟮募夹g(shù)特性，可以增強(qiáng)數(shù)據(jù)更高安全性的特點(diǎn)？A)繼承：繼承可以參考數(shù)據(jù)庫(kù)結(jié)構(gòu)的嚴(yán)格層次型結(jié)構(gòu)（不具多重繼承）.如果繼承初始化與類的層次無(wú)關(guān)的其他對(duì)象，這樣就不具對(duì)象的嚴(yán)格層次性。B)動(dòng)態(tài)庫(kù)。C)封裝性：利用分層協(xié)議的技術(shù)，較下層的接受較高層的信息成為內(nèi)部框架中的一部分。D)多態(tài)性：就像數(shù)據(jù)結(jié)構(gòu)，傳送同一命令給不同的子對(duì)象，但根據(jù)他們所屬的層次型的樹(shù)狀結(jié)構(gòu)，會(huì)產(chǎn)生不同的結(jié)果。[單選題]110.某IS審計(jì)師在審查電子數(shù)據(jù)交換(EDD交易紀(jì)錄期間發(fā)現(xiàn)未授權(quán)的交易，該審計(jì)師很可能建議改進(jìn):A)EDI貿(mào)易伙伴協(xié)議。B)終端機(jī)的物理控制。C)發(fā)送和接收消息的身份認(rèn)證技術(shù)D)程序變更控制流程。[單選題]111.在IS審計(jì)的計(jì)劃階段，IS審計(jì)師的主要目標(biāo)是A)達(dá)到審計(jì)目標(biāo)。B)收集足夠的證據(jù)。C)指定適當(dāng)?shù)臏y(cè)試。D)盡可能少使用審計(jì)資源。[單選題]112.以下哪種風(fēng)險(xiǎn)是在軟件即服務(wù)(SaS)環(huán)境下最可能遇到的?A)沒(méi)有遵守軟件許可協(xié)議B)因互聯(lián)網(wǎng)交付方法而導(dǎo)致性能問(wèn)題C)因軟件許可要求而導(dǎo)致成本增加D)因需要升級(jí)到兼容硬件而導(dǎo)致成本增加[單選題]113.銷售商為了從事故障維護(hù)工作需要遠(yuǎn)程訪問(wèn)關(guān)鍵的網(wǎng)絡(luò)。以下選項(xiàng)中，最安全和最有效的方法是為該銷售商建立：A)安全外殼(SSH-2)隧道B)雙重認(rèn)證C)撥號(hào)接入D)虛擬專用網(wǎng)[單選題]114.在確定信息資產(chǎn)的適當(dāng)保護(hù)等級(jí)時(shí)，IS審計(jì)師應(yīng)當(dāng)主要關(guān)注以下哪一個(gè)因素?A)風(fēng)險(xiǎn)評(píng)估的結(jié)果B)對(duì)業(yè)務(wù)的相對(duì)價(jià)值C)漏洞評(píng)估的結(jié)果D)安全控制的成本[單選題]115.以下哪項(xiàng)表示兩家公司之間簽訂的災(zāi)難恢復(fù)互惠協(xié)議所帶來(lái)的最大風(fēng)險(xiǎn)?A)開(kāi)發(fā)系統(tǒng)可能會(huì)導(dǎo)致硬件和軟件不兼容。B)必要時(shí)資源不可用。C)無(wú)法測(cè)試恢復(fù)計(jì)劃。D)這兩家公司的安全基礎(chǔ)架構(gòu)可能不同。[單選題]116.分布式拒絕服務(wù)攻擊互聯(lián)網(wǎng)網(wǎng)站是由于黑客使用如下哪一種典型手段引起的:A)邏輯炸彈B)釣魚(yú)網(wǎng)站C)間諜軟件D)特洛伊木馬[單選題]117.當(dāng)決定是否可使用第三方來(lái)解決疑似安全泄露事故時(shí)，以下哪一項(xiàng)應(yīng)是IT管理部門(mén)最重要的考慮事項(xiàng)？A)使用第三方的成本B)事故優(yōu)先等級(jí)C)審計(jì)的批準(zhǔn)D)數(shù)據(jù)的敏感性[單選題]118.以下哪一種是入侵檢測(cè)系統(tǒng)監(jiān)控網(wǎng)絡(luò)中流量和活動(dòng)的常用方式，并建立一個(gè)數(shù)據(jù)庫(kù)？A)基于簽名的B)基于神經(jīng)網(wǎng)絡(luò)的C)基于統(tǒng)計(jì)(信息)的D)基于主機(jī)的[單選題]119.一個(gè)組織解雇了一名數(shù)據(jù)庫(kù)管理員（DBA）。該組織立即刪除了公司系統(tǒng)中該DBA的所有訪問(wèn)權(quán)限。該DBA威脅，除非為他/她支付了一大筆錢(qián)，否則數(shù)據(jù)庫(kù)將在兩個(gè)月內(nèi)被刪除。前任DBA最有可能使用下列哪項(xiàng)刪除數(shù)據(jù)庫(kù)？A)病毒感染B)蠕蟲(chóng)感染C)拒絕服務(wù)式攻擊（DoS）D)邏輯炸彈攻擊[單選題]120.IS審計(jì)師正在測(cè)試一個(gè)大型財(cái)務(wù)系統(tǒng)的員工訪問(wèn)權(quán)限。IS審計(jì)師從受審方提供的當(dāng)前員工名單中選擇一個(gè)樣本。下面哪一個(gè)證據(jù)能夠最可靠的支持該項(xiàng)測(cè)試？A)系統(tǒng)管理員提供的一個(gè)電子表格B)員工管理人員所簽署的HR文檔C)系統(tǒng)生成的包含訪問(wèn)級(jí)別的賬戶列表D)在系統(tǒng)管理員在場(chǎng)的情況下進(jìn)行的現(xiàn)場(chǎng)觀察[單選題]121.為了降低通過(guò)通訊線路來(lái)傳送專用數(shù)據(jù)時(shí)帶來(lái)的安全風(fēng)險(xiǎn)，應(yīng)該應(yīng)用：A)異步調(diào)制解調(diào)器B)鑒別技術(shù)C)回叫程序D)加密設(shè)備[單選題]122.在最初的調(diào)查之后，IS審計(jì)員找到了理由相信欺騙可能存在。該IS審計(jì)員應(yīng)當(dāng)：A)擴(kuò)大行動(dòng)以決定是否授權(quán)進(jìn)行一個(gè)調(diào)查。B)向?qū)徲?jì)委員會(huì)報(bào)告問(wèn)題。C)向最高管理層報(bào)告欺騙的可能性并詢問(wèn)他們希望如何處理。D)與外部法律顧問(wèn)協(xié)商以決定將采取的行動(dòng)方針[單選題]123.IT服務(wù)的可用性和可持續(xù)性的最佳實(shí)踐應(yīng)該是:A)使費(fèi)用減到最小與災(zāi)難恢復(fù)相結(jié)合B)提供足夠的能力滿足業(yè)務(wù)需求C)提供合理的擔(dān)保滿足對(duì)客戶的責(zé)任D)及時(shí)地生成性能報(bào)告[單選題]124.下面哪一種測(cè)試手段審計(jì)是可以最有效地確定組織變更控制程序的一致性?A)審查軟件遷移記錄，并核實(shí)是否經(jīng)過(guò)批準(zhǔn)B)確認(rèn)已經(jīng)發(fā)生的變更，并核實(shí)是否經(jīng)過(guò)批準(zhǔn)C)審查變更控制文檔，并核實(shí)是否經(jīng)過(guò)批準(zhǔn)D)確保只有適當(dāng)人員可以將變更遷移到生產(chǎn)環(huán)境[單選題]125.以下哪一項(xiàng)專門(mén)針對(duì)的是如何檢測(cè)對(duì)組織IT系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊以及如何從攻擊中恢復(fù)?A)事故應(yīng)對(duì)計(jì)劃(IRP)B)IT應(yīng)急計(jì)劃C)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)D)運(yùn)營(yíng)連續(xù)性計(jì)劃(COOP)[單選題]126.下面哪個(gè)是沒(méi)有單獨(dú)的預(yù)防控制的固有風(fēng)險(xiǎn)？A)騎肩跟入法B)病毒C)數(shù)據(jù)欺騙D)非授權(quán)的應(yīng)用關(guān)閉[單選題]127.在非屏蔽雙絞線（UTP）網(wǎng)絡(luò)中鋪設(shè)的以太電纜長(zhǎng)度超過(guò)100米。以下哪種情況可能是電纜長(zhǎng)度引起的？A)電磁干擾（EMI）B)串?dāng)_C)離散D)衰減[單選題]128.某家安全要求極高的組織正在評(píng)估生物識(shí)別系統(tǒng)的有效性。以下哪一項(xiàng)性能指標(biāo)最重要？A)誤接受率（FAR）B)相等錯(cuò)誤率（EER）C)誤拒絕率（FRR）D)誤判率（FIR）[單選題]129.下列哪一項(xiàng)數(shù)據(jù)確認(rèn)校驗(yàn)，在檢查交換和復(fù)制錯(cuò)誤時(shí)，是有效的:A)范圍檢查B)校驗(yàn)位C)有效性檢查D)復(fù)制檢查[單選題]130.認(rèn)證中心C、A、可委托以下過(guò)程來(lái)代表:A)撤銷和中止用戶的證書(shū)B(niǎo))產(chǎn)生并分發(fā)C、A、的公鑰C)在請(qǐng)求實(shí)體和它的公鑰間建立鏈接D)發(fā)布并分發(fā)用戶的證書(shū)[單選題]131.組織的應(yīng)用系統(tǒng)使用開(kāi)源軟件，但是沒(méi)有一個(gè)認(rèn)可的開(kāi)發(fā)者開(kāi)發(fā)補(bǔ)丁。以下哪項(xiàng)是最安全的更新開(kāi)放源碼軟件的方法？A)重新編寫(xiě)補(bǔ)丁并且運(yùn)用。B)審查代碼和可用的補(bǔ)丁程序。C)開(kāi)發(fā)內(nèi)部補(bǔ)丁。D)在運(yùn)用之前，確認(rèn)和測(cè)試合適的補(bǔ)丁。[單選題]132.以下哪種方式最能保證電子郵件消息的真實(shí)性和機(jī)密性：A)使用發(fā)送者私鑰簽署消息，使用接收者公鑰加密消息B)使用發(fā)送者公鑰簽署消息，使用接收者私鑰加密消息C)使用接收者私鑰簽署消息，使用發(fā)送者公鑰加密消息D)使用接收者公鑰簽署消息，使用發(fā)送者私鑰加密消息[單選題]133.銀行的一位IS審計(jì)師正在執(zhí)行合規(guī)性測(cè)試他發(fā)現(xiàn)有一個(gè)分行六個(gè)月沒(méi)有更新過(guò)病毒特征碼。在這種情況下，IS審計(jì)師應(yīng)建議A)加強(qiáng)安全意識(shí)和有關(guān)更新防病毒軟件重要性的教育工作B)使用自動(dòng)化方式，從總行啟動(dòng)各個(gè)分行的防病毒軟件更新C)重新配置防火墻，設(shè)置約束最嚴(yán)的政策，并實(shí)施入侵防御系統(tǒng)（IPS）D)分行在安裝更新后重新驗(yàn)證機(jī)器狀況[單選題]134.實(shí)施防火墻最容易發(fā)生的錯(cuò)誤是：A)訪問(wèn)列表配置不準(zhǔn)確B)社會(huì)工程學(xué)會(huì)危及口令的安全C)把modem連至網(wǎng)路中的計(jì)算機(jī)D)不能充分保護(hù)網(wǎng)路和服務(wù)器使其免遭病毒侵襲[單選題]135.供應(yīng)商為他們的軟件分發(fā)了修復(fù)安全漏洞的補(bǔ)丁。哪一項(xiàng)應(yīng)該是審計(jì)師在這種情況下舉薦的A)在補(bǔ)丁部署之前評(píng)估影響B(tài))要求供應(yīng)商提供帶有所有補(bǔ)丁的軟件的新的版本C)立刻安裝所有補(bǔ)丁D)以后拒絕和這些供應(yīng)商合作[單選題]136.下面哪項(xiàng)是自上而下的軟件測(cè)試的優(yōu)勢(shì)：A)接口錯(cuò)誤可以盡早識(shí)別B)測(cè)試需在所有程序編寫(xiě)完成前進(jìn)行C)它比其他的方法更有效率D)關(guān)鍵模塊中的錯(cuò)誤可以盡早的檢測(cè)出來(lái)[單選題]137.關(guān)于IT服務(wù)的可用性和可持續(xù)性的IT最佳實(shí)踐是:A)最小化與災(zāi)難彈性組件相關(guān)的成本B)提供足夠的能力以滿足商定的業(yè)務(wù)需求C)提供合理的保證以滿足商定的客戶能承擔(dān)的責(zé)任D)及時(shí)生成性能度量報(bào)告[單選題]138.在評(píng)估對(duì)密碼管理的程序控制時(shí)，下面那一個(gè)是審計(jì)師最有可能參照的？A)長(zhǎng)度檢查B)散列總計(jì)C)有效性檢查D)字段檢查[單選題]139.某IS審計(jì)師要為滲透測(cè)試選擇一個(gè)服務(wù)器，并且該測(cè)試會(huì)由技術(shù)專業(yè)人員執(zhí)行。下面哪個(gè)選項(xiàng)最重要？A)用來(lái)進(jìn)行測(cè)試的工具B)IS審計(jì)師持有的認(rèn)證C)服務(wù)器數(shù)據(jù)所有者的批準(zhǔn)D)啟用了入侵檢測(cè)系統(tǒng)（IDS）[單選題]140.要從網(wǎng)絡(luò)攻擊中恢復(fù)，以下哪項(xiàng)措施最重要？A)簡(jiǎn)歷事故應(yīng)對(duì)團(tuán)隊(duì)B)動(dòng)用網(wǎng)絡(luò)取證調(diào)查員C)執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃D)歸檔保險(xiǎn)理賠文件[單選題]141.信息系統(tǒng)審計(jì)師應(yīng)該通過(guò)檢查以下哪項(xiàng)內(nèi)容來(lái)了解更多項(xiàng)目管理控制的效果？A)項(xiàng)目數(shù)據(jù)庫(kù)B)政策文件C)項(xiàng)目組合數(shù)據(jù)庫(kù)D)程序組織[單選題]142.當(dāng)收到敏感的電子工作底稿時(shí)，IS審計(jì)師發(fā)現(xiàn)它們沒(méi)有被加密，那么這將影響以下哪項(xiàng)A)工作底稿的版本審計(jì)日志B)工作底稿的審批C)工作底稿的訪問(wèn)權(quán)限D(zhuǎn))工作底稿的保密性[單選題]143.公司的web服務(wù)器上安裝了防火墻,防火墻可以防止下列哪個(gè)問(wèn)題的發(fā)生?A)內(nèi)部用戶未經(jīng)授權(quán)修改信息B)外界獲取信息C)信息可用性D)連接internet[單選題]144.審計(jì)員在評(píng)估網(wǎng)絡(luò)監(jiān)測(cè)控制設(shè)計(jì)時(shí)，首先應(yīng)該評(píng)審網(wǎng)絡(luò)的？A)拓?fù)鋱DB)寬帶利用情況C)流量分析報(bào)告D)瓶頸位置[單選題]145.一位IS審計(jì)師發(fā)現(xiàn)，有些用戶在他們的個(gè)人電腦上安裝了個(gè)人軟件。安全政策并沒(méi)有明令禁止這種行為。IS審計(jì)師的最佳方案應(yīng)該是建議A)IS部門(mén)實(shí)施控制機(jī)制，以阻止未經(jīng)授權(quán)的軟件安裝B)安全政策進(jìn)行更新，以將未授權(quán)軟件的特定語(yǔ)言包括在內(nèi)C)IS部門(mén)禁止下載未經(jīng)授權(quán)的軟件D)在安裝非標(biāo)準(zhǔn)軟件之前用戶應(yīng)取得IS經(jīng)理的批準(zhǔn)[單選題]146.以下哪一項(xiàng)是啟動(dòng)數(shù)據(jù)分類程序的第一個(gè)步驟?A)評(píng)估風(fēng)險(xiǎn)偏好B)分配數(shù)據(jù)所有權(quán)C)分配敏感性水平D)盤(pán)點(diǎn)數(shù)據(jù)資產(chǎn)[單選題]147.通過(guò)傳輸每個(gè)字符或數(shù)據(jù)幀的冗余信息來(lái)檢測(cè)或糾正(傳輸)錯(cuò)誤被稱作為:A)反饋差錯(cuò)控制B)(數(shù)據(jù))塊和數(shù)校驗(yàn)C)前向差錯(cuò)控制D)循環(huán)冗余校驗(yàn)[單選題]148.局域網(wǎng)(LAN)管理員通常不應(yīng)承擔(dān)以下哪項(xiàng)責(zé)任:A)承擔(dān)最終用戶責(zé)任。B)向最終用戶經(jīng)理報(bào)告工作C)承擔(dān)編程責(zé)任。D)負(fù)責(zé)LAN安全管理。[單選題]149.以下哪一項(xiàng)可以提供邏輯訪問(wèn)控制，以禁止更新或刪除關(guān)系數(shù)據(jù)庫(kù)（relationaldatabase）中的業(yè)務(wù)信息？A)觸發(fā)器（trigger）B)關(guān)聯(lián)數(shù)據(jù)（primaryC)視圖（view）D)合并（join）[單選題]150.一位IS審計(jì)師在審查一家采用交叉培訓(xùn)實(shí)務(wù)的組織時(shí)，應(yīng)評(píng)估以下哪種風(fēng)險(xiǎn):A)對(duì)某個(gè)人的依賴性。B)接任計(jì)劃不充分。C)某個(gè)人了解系統(tǒng)的所有組成部分。D)運(yùn)營(yíng)中斷。[單選題]151.在審計(jì)企業(yè)資源規(guī)劃(ERP)系統(tǒng)時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)一個(gè)應(yīng)用程序的修補(bǔ)程序已應(yīng)用至生產(chǎn)環(huán)境，對(duì)于信息系統(tǒng)審計(jì)師來(lái)說(shuō)，最為重要的是核實(shí):A)系統(tǒng)管理員的批準(zhǔn)B)項(xiàng)目經(jīng)理的批準(zhǔn)C)信息安全負(fù)責(zé)人的批準(zhǔn)D)信息資產(chǎn)所有者的批準(zhǔn)[單選題]152.哪一個(gè)是IT性能測(cè)量程序的主要目標(biāo)？A)錯(cuò)誤最小化B)收集性能數(shù)據(jù)。C)建立性能基線。D)使性能最優(yōu)。[單選題]153.對(duì)于通過(guò)因特網(wǎng)從一個(gè)主機(jī)連接另一主機(jī)，通道技術(shù)可通過(guò)下列哪一項(xiàng)提供額外的安全性?A)提供端對(duì)端加密B)啟用更強(qiáng)大的加密密鑰C)防止密碼破解和重放攻擊D)便于基于公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的證書(shū)交換[單選題]154.一家技術(shù)服務(wù)企業(yè)最近收購(gòu)了一家新子公司,考慮到其他對(duì)IT審計(jì)計(jì)劃發(fā)展的影響時(shí)，信息系統(tǒng)審計(jì)師的下一個(gè)行動(dòng)步驟應(yīng)該是什么?A)繼續(xù)執(zhí)行當(dāng)前的審計(jì)計(jì)劃B)審查經(jīng)修改的業(yè)務(wù)影響分析BIAC)進(jìn)行風(fēng)險(xiǎn)評(píng)估D)將新系統(tǒng)納入審計(jì)計(jì)劃[單選題]155.業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的哪個(gè)部分，是企業(yè)IS部門(mén)的主要責(zé)任？A)制定業(yè)務(wù)連續(xù)性計(jì)劃B)選定、批準(zhǔn)業(yè)務(wù)連續(xù)性計(jì)劃的相關(guān)戰(zhàn)略C)遇災(zāi)報(bào)警D)災(zāi)后恢復(fù)IS系統(tǒng)和資料[單選題]156.在管理從舊版應(yīng)用程序轉(zhuǎn)換到新版應(yīng)用程序時(shí)的故障時(shí)，以下哪項(xiàng)的風(fēng)險(xiǎn)最低?A)分階段轉(zhuǎn)換B)一次性轉(zhuǎn)換C)回退流程D)并行轉(zhuǎn)換[單選題]157.系統(tǒng)開(kāi)發(fā)項(xiàng)目完成后，項(xiàng)目實(shí)施后審查工作中應(yīng)該囊括以下哪一項(xiàng)?A)評(píng)估可能在產(chǎn)品發(fā)布之后導(dǎo)致停機(jī)的風(fēng)險(xiǎn)B)總結(jié)可應(yīng)用到未來(lái)項(xiàng)目中的經(jīng)驗(yàn)教訓(xùn)C)檢驗(yàn)所交付系統(tǒng)中的控制是否正常運(yùn)D)確保已刪除測(cè)試數(shù)據(jù)[單選題]158.在計(jì)劃審計(jì)的時(shí)候應(yīng)該進(jìn)行一次風(fēng)險(xiǎn)評(píng)估以提供:A)合理的保證審計(jì)將涵蓋實(shí)質(zhì)性項(xiàng)目B)絕對(duì)的保證實(shí)質(zhì)性項(xiàng)目在審計(jì)工作過(guò)程中會(huì)被涵蓋C)合理的保證所有的項(xiàng)目都會(huì)被涵蓋在審計(jì)中D)足夠的保證所有項(xiàng)目在這次審計(jì)工作中都會(huì)被涵蓋[單選題]159.下面哪個(gè)是建立防火墻策略的初始步驟？A)成本效益應(yīng)用系統(tǒng)安全的分析方法B)識(shí)別外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用C)識(shí)別外部訪問(wèn)網(wǎng)絡(luò)應(yīng)用的漏洞D)建立一個(gè)應(yīng)用流量矩陣顯示保護(hù)方法[單選題]160.具有多個(gè)分支機(jī)構(gòu)的某金融機(jī)構(gòu)具有自動(dòng)化控制措施，它要求分支機(jī)構(gòu)經(jīng)理審批超過(guò)一定金額的交易。這種審計(jì)控制屬于哪種類型?A)檢測(cè)性B)預(yù)防性C)改正性D)指令性[單選題]161.發(fā)送消息和用發(fā)送方私鑰加密哈希加密信息將確保：A)真實(shí)性和完整性B)真實(shí)性和隱私C)完整性和隱私D)隱私和不可否認(rèn)性[單選題]162.理想情況下，壓力測(cè)試應(yīng)在以下哪個(gè)環(huán)境中執(zhí)行:A)采用測(cè)試數(shù)據(jù)的測(cè)試環(huán)境。B)采用實(shí)時(shí)工作量的生產(chǎn)環(huán)境。C)采用實(shí)時(shí)工作量的測(cè)試環(huán)境。D)采用測(cè)試數(shù)據(jù)的生產(chǎn)環(huán)境。[單選題]163.有效的IT治理將會(huì)確保IT計(jì)劃和下列企業(yè)組織的什么一致:A)業(yè)務(wù)規(guī)劃B)審計(jì)計(jì)劃C)安全計(jì)劃。D)投資計(jì)劃。[單選題]164.一個(gè)電子郵件的發(fā)送者對(duì)數(shù)字摘要應(yīng)用了數(shù)字簽名。這個(gè)行動(dòng)能確保：A)信息的數(shù)據(jù)和時(shí)間戳B)識(shí)別發(fā)信的計(jì)算機(jī)C)對(duì)信息內(nèi)容進(jìn)行加密D)對(duì)發(fā)送者的身份進(jìn)行識(shí)別[單選題]165.選擇使用快速應(yīng)用開(kāi)發(fā)（RAD）方法來(lái)實(shí)現(xiàn)一個(gè)ERP系統(tǒng)。因?yàn)閮?nèi)部員工無(wú)法滿足需求，所有的項(xiàng)目活動(dòng)都被分配給承包的咨詢公司。審計(jì)師首先要做什么？A)評(píng)估項(xiàng)目的計(jì)劃和方案B)要求供應(yīng)商提供額外的外部員工C)建議公司雇傭更多的員工D)暫停項(xiàng)目，直到人員到位[單選題]166.為保護(hù)異地存儲(chǔ)備份的介質(zhì)，存儲(chǔ)站點(diǎn)應(yīng)該做到：A)設(shè)置在建筑物的不同樓層。B)任何人都容易獲得的。C)清晰的標(biāo)簽以便應(yīng)急使用。D)防止未授權(quán)的訪問(wèn)。[單選題]167.實(shí)施安全計(jì)劃作為安全管理框架的一部分，其主要優(yōu)點(diǎn)是？A)校對(duì)有信息系統(tǒng)審計(jì)建議的IT活動(dòng)B)強(qiáng)制安全風(fēng)險(xiǎn)管理C)實(shí)施首席信息安全官CISO的建議D)降低IT安全的成本[單選題]168.如下哪一類風(fēng)險(xiǎn)是假設(shè)被檢查的方面缺乏補(bǔ)償控制:A)控制風(fēng)險(xiǎn)B)檢查風(fēng)險(xiǎn)C)固有風(fēng)險(xiǎn)D)抽樣風(fēng)險(xiǎn)[單選題]169.數(shù)據(jù)庫(kù)管理員檢測(cè)到某些表存在性能問(wèn)題，這些問(wèn)題可通過(guò)逆正規(guī)化解決。這種情況洛增加以下哪種風(fēng)險(xiǎn)A)并發(fā)訪問(wèn)。B)死鎖。C)對(duì)數(shù)據(jù)的未授權(quán)訪問(wèn)。D)失去數(shù)據(jù)完整性。[單選題]170.IS審計(jì)師推薦使用庫(kù)控制軟件以便提供合理保證：A)程序變更得到授權(quán)B)只有經(jīng)過(guò)徹底測(cè)試的程序才能被發(fā)布C)被修改的程序自動(dòng)轉(zhuǎn)移到生產(chǎn)庫(kù)D)源代碼和可執(zhí)行代碼的完整性得以保持[單選題]171.將輸出結(jié)果及控制總計(jì)和輸入資料及控制總計(jì)進(jìn)行匹配可以驗(yàn)證輸出結(jié)果，以下哪一項(xiàng)能起上述作用？A)批量頭格式B)批量平衡C)資料轉(zhuǎn)換差錯(cuò)糾正D)對(duì)打印池的訪問(wèn)控制[單選題]172.以下哪種關(guān)于電子郵件安全性的說(shuō)法是正確的？I.電子郵件不可能比它依賴的計(jì)算機(jī)系統(tǒng)更安全。II.機(jī)密的電子郵件信息應(yīng)該儲(chǔ)存于郵件服務(wù)器中，儲(chǔ)存時(shí)間和紙質(zhì)文件相同。III.在大型組織中，可能有若干個(gè)不同安全級(jí)別的郵件管理員和地點(diǎn)。A)只有I對(duì)的。B)只有I和II是對(duì)的。C)只有I和III是對(duì)的D)只有II和III是對(duì)的。[單選題]173.為了完全理解組織對(duì)計(jì)劃和管理IT資產(chǎn)投資的有效性，信息系統(tǒng)審計(jì)員應(yīng)該審計(jì)以下哪方面：A)企業(yè)數(shù)據(jù)模版B)IT平衡記分卡（BSC）C)IT組織架構(gòu)D)歷史的財(cái)務(wù)聲明[單選題]174.在復(fù)核客戶服務(wù)器環(huán)境的安全性時(shí)，信息系統(tǒng)審計(jì)師應(yīng)最關(guān)注下列哪個(gè)事項(xiàng)？A)用加密技術(shù)保護(hù)數(shù)據(jù)B)使用無(wú)盤(pán)工作站防止未經(jīng)授權(quán)的訪問(wèn)C)用戶直接訪問(wèn)及修改數(shù)據(jù)庫(kù)的能力D)使用戶機(jī)軟驅(qū)無(wú)效[單選題]175.當(dāng)組織根據(jù)定義好的恢復(fù)點(diǎn)目標(biāo)（RPO）要求非常細(xì)小的數(shù)據(jù)恢復(fù)點(diǎn)時(shí)，下面哪個(gè)備份技術(shù)是最適當(dāng)?shù)模緼)虛擬磁帶庫(kù)B)基于磁盤(pán)的快照C)持續(xù)數(shù)據(jù)備份D)磁盤(pán)到磁帶的備份[單選題]176.以下哪項(xiàng)是實(shí)現(xiàn)雙因素用戶身份認(rèn)證的最佳途徑？A)需要用戶個(gè)人標(biāo)識(shí)號(hào)(Pn)才能使用的智能卡B)用戶ID加密碼C)虹膜加指紋掃描D)需要用戶PIN才能使用的磁卡[單選題]177.為確定系統(tǒng)變更控制流程的適當(dāng)性和有效性。以下那個(gè)選項(xiàng)是IS審計(jì)師可以采用的最佳方案A)觀察接受審計(jì)的IS員工所進(jìn)行的系統(tǒng)變更流程B)從受審計(jì)系統(tǒng)對(duì)源代碼庫(kù)的更改進(jìn)行取樣C)與用戶面談詢問(wèn)其對(duì)更改是否滿意D)審查系統(tǒng)文檔，確認(rèn)文檔完整且及時(shí)更新[單選題]178.下列哪一項(xiàng)信息系統(tǒng)功能職責(zé)可以由同一個(gè)小組或個(gè)人來(lái)執(zhí)行，同時(shí)又能保證適當(dāng)?shù)穆氊?zé)分離?A)安全管理和應(yīng)用程序設(shè)計(jì)B)計(jì)算機(jī)操作和應(yīng)用程序設(shè)計(jì)C)應(yīng)用程序編程和系統(tǒng)分析D)數(shù)據(jù)庫(kù)管理和計(jì)算機(jī)操作[單選題]179.制訂業(yè)務(wù)連續(xù)性計(jì)劃的第一步，也是必不可少的一步是：A)根據(jù)風(fēng)險(xiǎn)將應(yīng)用系統(tǒng)分類B)羅列出所有資產(chǎn)的清單C)完整地記錄所有災(zāi)難D)軟件和硬件的可用性[單選題]180.為了協(xié)助正在規(guī)劃IT投資的組織，信息系統(tǒng)審計(jì)師應(yīng)該推薦使用：A)項(xiàng)目管理工具B)面向?qū)ο蟮募軜?gòu)C)戰(zhàn)術(shù)規(guī)劃D)企業(yè)架構(gòu)（EA）[單選題]181.定期進(jìn)行安全代碼審查工作屬于哪一種類型的控制？A)整改B)補(bǔ)償C)檢測(cè)D)預(yù)防[單選題]182.使用熱站作為備份的優(yōu)點(diǎn)是：A)熱站的費(fèi)用低B)熱站能夠延長(zhǎng)使用時(shí)間C)熱站在短時(shí)間內(nèi)可運(yùn)作D)熱站不需要和主站點(diǎn)兼容的設(shè)備和系統(tǒng)軟件[單選題]183.信息系統(tǒng)審計(jì)員發(fā)現(xiàn)企業(yè)對(duì)USB存儲(chǔ)設(shè)備沒(méi)有使用約束，也沒(méi)有訪問(wèn)使用規(guī)定，對(duì)于系統(tǒng)審計(jì)員以下哪個(gè)選項(xiàng)是最好的推薦？A)使用安全軟件阻止USB端口的數(shù)據(jù)傳輸B)制定一個(gè)使用輕便移動(dòng)設(shè)備的策略C)在數(shù)據(jù)傳輸時(shí)使用虛擬專用網(wǎng)絡(luò)（VPN）以確保加密會(huì)話D)對(duì)所有機(jī)器禁止使用USB接口[單選題]184.對(duì)于生物識(shí)別控制設(shè)備的性能，最好的整體定量衡量法是？A)誤拒絕率（FRR）B)誤接受率（FAR）C)相等錯(cuò)誤率（EER）D)估計(jì)錯(cuò)誤率[單選題]185.以下哪一種控制可以最有效地檢測(cè)網(wǎng)絡(luò)傳輸中的錯(cuò)誤群?A)奇偶校驗(yàn)B)回送檢驗(yàn)C)塊總和檢驗(yàn)D)循環(huán)冗余校驗(yàn)(CR[單選題]186.對(duì)于信息系統(tǒng)審計(jì)師來(lái)說(shuō)，評(píng)估被選定參與審計(jì)工作的專家顧問(wèn)是否適任的最佳方式是什么?A)了解專家的相關(guān)經(jīng)驗(yàn)B)審查專家顧問(wèn)公司的行業(yè)聲譽(yù)C)確認(rèn)委托書(shū)是否概述了專家的職責(zé)D)審查專家的獨(dú)立性和客觀性[單選題]187.一個(gè)WEB、服務(wù)器受到攻擊和泄露。下列哪一項(xiàng)在處理事件時(shí)首先被執(zhí)行？A)轉(zhuǎn)儲(chǔ)不穩(wěn)定的存儲(chǔ)數(shù)據(jù)到一個(gè)磁盤(pán)B)用喪失安全模式運(yùn)行服務(wù)器C)將ＷEB服務(wù)器從網(wǎng)絡(luò)中斷開(kāi)D)關(guān)閉ＷEB服務(wù)器[單選題]188.用于確保虛擬專用網(wǎng)絡(luò)（VPN）安全性技術(shù)為：A)封裝B)包裝C)裝換D)加密[單選題]189.在審計(jì)訪問(wèn)權(quán)限時(shí)，以下哪項(xiàng)權(quán)限被分配給計(jì)算機(jī)操作員會(huì)使IS審計(jì)師感到可疑？A)對(duì)數(shù)據(jù)的讀取訪問(wèn)。B)對(duì)交易數(shù)據(jù)文件的刪除訪問(wèn)。C)對(duì)程序的記錄讀取/執(zhí)行訪問(wèn)D)對(duì)作業(yè)控制語(yǔ)言（JCL）/腳本文件的更新訪問(wèn)。[單選題]190.對(duì)以下哪項(xiàng)的頻繁更新是使一個(gè)災(zāi)難恢復(fù)計(jì)劃持續(xù)有效的關(guān)鍵？A)關(guān)鍵人員的聯(lián)系信息B)服務(wù)器詳細(xì)目錄文檔C)個(gè)人角色和職責(zé)D)闡述災(zāi)難的程序[單選題]191.如果某犯罪者企圖獲得訪問(wèn)網(wǎng)絡(luò)中所傳輸加密數(shù)據(jù)的權(quán)限，從而收集到與其相關(guān)的信息，則可能會(huì)通過(guò)以下哪種方式：A)竊聽(tīng)。B)冒充。C)流量分析D)偽裝。[單選題]192.以下哪一項(xiàng)軟件測(cè)試方法能夠提供有關(guān)軟件在現(xiàn)場(chǎng)環(huán)境中的性能最佳反饋?A)Alpha測(cè)試B)回歸測(cè)試C)Beta測(cè)試D)白盒測(cè)試[單選題]193.數(shù)據(jù)庫(kù)系統(tǒng)中并發(fā)控制的目標(biāo)是：A)限制授權(quán)用戶更新數(shù)據(jù)庫(kù)B)防止完整性問(wèn)題，當(dāng)兩個(gè)進(jìn)程試圖同時(shí)更新相同數(shù)據(jù)時(shí)C)防止意外或未經(jīng)授權(quán)泄露數(shù)據(jù)庫(kù)數(shù)據(jù)D)確保數(shù)據(jù)的準(zhǔn)確性、完整性和一致性[單選題]194.因?yàn)檎{(diào)整的需要必須要保留很長(zhǎng)一段時(shí)間的敏感數(shù)據(jù)備份解決方案，哪項(xiàng)是最重要的評(píng)估標(biāo)準(zhǔn):A)全備份窗口B)介質(zhì)的成本C)恢復(fù)窗口D)介質(zhì)的可靠性[單選題]195.在審計(jì)一家專注于電子商務(wù)的企業(yè)時(shí)，信息系統(tǒng)經(jīng)理表明當(dāng)從客戶獲取信息時(shí)使用了數(shù)字簽名。要證實(shí)此說(shuō)法，信息系統(tǒng)審計(jì)師應(yīng)證實(shí)以下哪項(xiàng)被應(yīng)用？A)使用生物，數(shù)字，加密參數(shù)的客戶公鑰B)使用客戶私鑰加密并傳輸?shù)墓Ｖ礐)使用客戶公鑰加密并傳輸?shù)墓Ｖ礑)掃描的用戶簽名已使用客戶公鑰加密[單選題]196.以下哪項(xiàng)會(huì)削弱質(zhì)量保證團(tuán)隊(duì)的獨(dú)立性?A)確保遵循開(kāi)發(fā)方法B)檢查測(cè)試假設(shè)C)修正測(cè)試過(guò)程中出現(xiàn)的編碼錯(cuò)誤D)檢查代碼以確保正確記錄[單選題]197.目標(biāo)導(dǎo)向在設(shè)計(jì)和開(kāi)發(fā)技術(shù)中的應(yīng)用最可能：A)使模塊具有重用性B)改進(jìn)系統(tǒng)的性能C)提高操縱有效性D)加快系統(tǒng)開(kāi)發(fā)的生命周期[單選題]198.通過(guò)以下哪一項(xiàng)，可以最佳的實(shí)現(xiàn)最小化未經(jīng)授權(quán)編輯生產(chǎn)程序，作業(yè)控制語(yǔ)言以及操作系統(tǒng)軟件的可能性？A)數(shù)據(jù)庫(kù)訪問(wèn)檢查B)合規(guī)性檢查C)良好的變更控制程序D)有效的網(wǎng)絡(luò)安全軟件[單選題]199.在對(duì)一個(gè)使用公開(kāi)密鑰的組織進(jìn)行審計(jì)時(shí)，基層組織用數(shù)字證書(shū)通過(guò)互聯(lián)網(wǎng)進(jìn)行交易。下列哪一個(gè)是IS審計(jì)師要考慮的弱點(diǎn)：A)廣泛分發(fā)證書(shū)給客戶，但證書(shū)沒(méi)有授權(quán)。B)客戶可以從任何一臺(tái)計(jì)算機(jī)或移動(dòng)設(shè)備進(jìn)行交易。C)認(rèn)證授權(quán)有幾個(gè)數(shù)據(jù)處理子中心。D)組織是認(rèn)證授權(quán)的所有者。[單選題]200.審計(jì)師進(jìn)行業(yè)務(wù)連續(xù)性審計(jì)時(shí)下列哪個(gè)是最重要的？A)數(shù)據(jù)備份及時(shí)進(jìn)行B)恢復(fù)網(wǎng)站簽訂協(xié)議及可根據(jù)需要使用C)人員安全程序到位D)保險(xiǎn)范圍是足夠的和保費(fèi)是已交的，保單有效[單選題]201.以下哪一項(xiàng)是原型設(shè)計(jì)的優(yōu)點(diǎn)?A)成品系統(tǒng)通常具有強(qiáng)大的內(nèi)部控制。B)原型系統(tǒng)能夠顯著地節(jié)省時(shí)間和成本。C)原型系統(tǒng)的變更控制通常較為簡(jiǎn)單。D)原型設(shè)計(jì)可確保功能或附加物不會(huì)被添加到指定系統(tǒng)。[單選題]202.負(fù)責(zé)對(duì)訪問(wèn)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行授權(quán)的人員是?A)數(shù)據(jù)所有者。B)安全管理員。C)IT安全經(jīng)理。D)請(qǐng)求者的直屬上司[單選題]203.以下關(guān)于備份站點(diǎn)的說(shuō)法哪項(xiàng)是正確的A)應(yīng)與原業(yè)務(wù)系統(tǒng)具有同樣的物理訪問(wèn)控制措施B)應(yīng)容易被找到以便于在災(zāi)難發(fā)生時(shí)以備緊急情況的需要C)應(yīng)部署在離原業(yè)務(wù)系統(tǒng)所在地較近的地方D)不需要具有和原業(yè)務(wù)系統(tǒng)相同的環(huán)境監(jiān)控等級(jí)[單選題]204.下面那種發(fā)送者鑒定方法是最值得信賴的？A)數(shù)字簽名B)不對(duì)稱加密C)數(shù)字證書(shū)D)消息鑒定碼[單選題]205.如果不阻止數(shù)據(jù)中心員工上網(wǎng)，以下哪個(gè)選項(xiàng)是面臨的最大風(fēng)險(xiǎn)A)可能會(huì)感染來(lái)自未經(jīng)授權(quán)網(wǎng)站的惡意軟件，進(jìn)而感染整個(gè)網(wǎng)絡(luò)B)操作人員可能會(huì)分心，導(dǎo)致無(wú)法為關(guān)鍵的業(yè)務(wù)只能提供技術(shù)支持C)操作人員可能會(huì)分心，導(dǎo)致無(wú)法及時(shí)發(fā)現(xiàn)錯(cuò)誤或警報(bào)D)在線活動(dòng)會(huì)占用過(guò)多寬帶，影響其他數(shù)據(jù)中心系統(tǒng)[單選題]206.當(dāng)發(fā)生災(zāi)難時(shí)，以下哪一項(xiàng)能保證業(yè)務(wù)交易的有效性A)從當(dāng)前區(qū)域外的地方持續(xù)每小時(shí)1次地傳送交易磁帶B)從當(dāng)前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C)抓取交易以整合存儲(chǔ)設(shè)備D)從當(dāng)前區(qū)域外的地方實(shí)時(shí)傳送交易磁帶[單選題]207.在審查過(guò)去定期年度審查的結(jié)果時(shí)，信息系統(tǒng)審計(jì)師注意到發(fā)現(xiàn)結(jié)果可能未報(bào)告,也未保持獨(dú)立性，以下哪一項(xiàng)時(shí)審計(jì)師最佳行動(dòng)步驟:A)告知審計(jì)管理部門(mén)B)重新執(zhí)行過(guò)去的審計(jì)以確保獨(dú)立性C)重新評(píng)估內(nèi)部控制D)告知高級(jí)管理層[單選題]208.某IS審計(jì)師正在審查某應(yīng)用程序的訪問(wèn)權(quán)限，以確定最近添加的帳戶是否經(jīng)過(guò)適當(dāng)授權(quán)。這是以下哪一項(xiàng)的示例?A)變量抽樣。B)實(shí)質(zhì)性測(cè)試。C)符合性測(cè)試。D)停-走抽樣。[單選題]209.在收集司法證據(jù)時(shí)，以下哪個(gè)行動(dòng)最有可能導(dǎo)致破壞或損失在被入侵的系統(tǒng)里發(fā)現(xiàn)的證據(jù)？A)轉(zhuǎn)儲(chǔ)內(nèi)存到文件里B)創(chuàng)建被入侵系統(tǒng)的磁盤(pán)鏡像C)重啟系統(tǒng)D)從網(wǎng)絡(luò)里移除系統(tǒng)[單選題]210.IS審計(jì)師應(yīng)使用下列哪項(xiàng)來(lái)檢測(cè)發(fā)票主文件中是否存在重復(fù)的發(fā)票記錄?A)屬性抽樣B)計(jì)算機(jī)輔助審計(jì)技術(shù)C)符合性測(cè)試D)集成測(cè)試設(shè)施(IT[單選題]211.應(yīng)該首先審閱：A)IT基礎(chǔ)架構(gòu)B)企業(yè)的管理政策、標(biāo)準(zhǔn)和流程C)法律和法規(guī)的要求D)企業(yè)的管理政策、標(biāo)準(zhǔn)和流程是否得到有效的執(zhí)行[單選題]212.制定風(fēng)險(xiǎn)管理方案時(shí)，首先執(zhí)行以下哪項(xiàng)活動(dòng)?A)評(píng)估威脅B)對(duì)數(shù)據(jù)進(jìn)行分類C)清點(diǎn)資產(chǎn)D)分析重要性[單選題]213.對(duì)業(yè)務(wù)流程自動(dòng)化項(xiàng)目進(jìn)行實(shí)施后審查的主要目標(biāo)是:A)確保項(xiàng)目滿足預(yù)期的業(yè)務(wù)要求。B)評(píng)估控制的充分性。C)確認(rèn)符合技術(shù)標(biāo)準(zhǔn)。D)確認(rèn)符合法規(guī)要求。[單選題]214.IS審計(jì)師在審查虛擬專用網(wǎng)絡(luò)（VPN）實(shí)施情況時(shí)，以下哪種情況最令其擔(dān)憂？網(wǎng)絡(luò)中的計(jì)算機(jī)位于：A)企業(yè)的內(nèi)部網(wǎng)絡(luò)。B)備用站點(diǎn)。C)員工家里。D)企業(yè)的遠(yuǎn)程辦公室。[單選題]215.數(shù)據(jù)機(jī)密性是公司新Web服務(wù)的一項(xiàng)要求。以下哪一項(xiàng)將提供最好的保護(hù)？A)安全套接字層（SSL）B)安全文件傳輸協(xié)議（SFTP）C)遠(yuǎn)程登錄（Telnet）D)傳輸層安全（TLS）[單選題]216.以下哪一類設(shè)備可以延伸網(wǎng)路，具有存儲(chǔ)資料幀的能力并作為存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備工作？A)路由器B)網(wǎng)橋C)中繼器D)網(wǎng)關(guān)[單選題]217.一個(gè)組織的IT主管已批準(zhǔn)為一個(gè)顧問(wèn)小組在會(huì)議室通過(guò)他們自己的筆記本接入互聯(lián)網(wǎng)而安裝一個(gè)無(wú)線局域網(wǎng)（WLAN）。防止未經(jīng)授權(quán)的訪問(wèn)公司服務(wù)器的最好的控制措施是確保：A)接入點(diǎn)上的加密已啟用；B)會(huì)議室網(wǎng)絡(luò)是建立在一個(gè)分開(kāi)的虛擬局域網(wǎng)（VLAN）上；C)在顧問(wèn)小組的筆記本電腦上應(yīng)用了防病毒簽名和最新補(bǔ)丁版本；D)禁止了默認(rèn)的用戶ID并且在公司服務(wù)器上設(shè)置了強(qiáng)力的密碼。[單選題]218.為了保證兩方之間的消息完整性，保密性和抗否認(rèn)性，最有效的方法是生成一個(gè)消息摘要，生成摘要的方法是將加密散列(hA、sh)算法應(yīng)用在：A)整個(gè)消息上，用發(fā)送者的私鑰加密消息摘要，用對(duì)稱密鑰加密消息，用接收者的公鑰加密（對(duì)稱）密鑰。B)消息的任何部分上，用發(fā)送者的私鑰加密消息摘要，用對(duì)稱密鑰加密消息，用接收者的公鑰加密（對(duì)稱）密鑰。C)整個(gè)消息，用發(fā)送者的私鑰加密消息摘要，用對(duì)稱密鑰加密消息，用接收者的公鑰加密密文和摘要。D)整個(gè)消息，用發(fā)送者的私鑰加密消息摘要，用接收者的公鑰加密消息。[單選題]219.采購(gòu)部門(mén)使用的會(huì)議室有網(wǎng)絡(luò)端口，可連接到公司網(wǎng)絡(luò)。有時(shí)允許供應(yīng)商公司的銷售代表將便攜式計(jì)算機(jī)連接此端口，以進(jìn)行基于Web的演示。與此操作相關(guān)的最可能的風(fēng)險(xiǎn)是銷售人可能：A)危害電子郵件服務(wù)器，盜取電子郵件列表以用作銷售線索B)安裝轉(zhuǎn)換軟件來(lái)監(jiān)視關(guān)鍵決策人員的通信。C)其PC上帶有病毒，感染網(wǎng)絡(luò)上的主機(jī)。D)在其PC安裝路由器，中斷網(wǎng)絡(luò)通信。[單選題]220.以下哪可作為誘餌來(lái)檢測(cè)主動(dòng)互聯(lián)網(wǎng)攻擊？A)蜜罐（Honeypot）B)防火墻C)陷阱門(mén)D)流量分析[單選題]221.IS審計(jì)師獲取充分和合適的審計(jì)證據(jù)的最重要的原因是：A)遵從法規(guī)的要求B)提供推導(dǎo)出合理結(jié)論的基礎(chǔ)C)確認(rèn)完整的審計(jì)內(nèi)容D)根據(jù)定義的范圍執(zhí)行審計(jì)[單選題]222.資料編輯屬于：A)預(yù)防性控制B)檢測(cè)性控制C)糾正性控制D)補(bǔ)償控制[單選題]223.IT控制目標(biāo)對(duì)審計(jì)師來(lái)說(shuō)很有用，因?yàn)樗麄兲峁┝死斫庀旅媸裁吹幕A(chǔ):A)實(shí)施了特殊控制過(guò)程之后的期望結(jié)果或者目標(biāo)B)與特定實(shí)體相關(guān)的最佳IT安全控制實(shí)踐C)信息安全技術(shù)D)安全策略[單選題]224.供應(yīng)商發(fā)布補(bǔ)丁程序修補(bǔ)軟件中的安全漏洞，IS審計(jì)師在這種情況下應(yīng)該如何建議？A)在安裝前評(píng)估補(bǔ)丁的影響B(tài))要求供應(yīng)商提供了一個(gè)包括所有補(bǔ)丁的新的技術(shù)C)立即安裝安全補(bǔ)丁D)在以后減少與這些供應(yīng)商的交易[單選題]225.要優(yōu)化企業(yè)的業(yè)務(wù)連續(xù)計(jì)劃（BCP）。審計(jì)師應(yīng)建議業(yè)務(wù)影響分析（BIA），以確定：A)業(yè)務(wù)流程為組織創(chuàng)造最大的經(jīng)濟(jì)價(jià)值，因此，首先必須恢復(fù)B)優(yōu)先事項(xiàng)和恢復(fù)秩序以確保和本組織的業(yè)務(wù)戰(zhàn)略保持一致C)企業(yè)關(guān)鍵業(yè)務(wù)必須在災(zāi)難后恢復(fù)，以確保組織生存D)優(yōu)先事項(xiàng)和恢復(fù)秩序?qū)⒃诙唐趦?nèi)盡可能多的恢復(fù)[單選題]226.IS審計(jì)師正在審使用敏捷軟件開(kāi)發(fā)方法的項(xiàng)目。該IS審計(jì)師會(huì)希望看到以下哪種情況?A)能力成熟度模型(CMM)的使用B)根據(jù)日程定期監(jiān)控任務(wù)進(jìn)度C)廣泛使用軟件開(kāi)發(fā)工具以最大限度提高團(tuán)隊(duì)生產(chǎn)力D)執(zhí)行送代后審查，總結(jié)可應(yīng)用到未來(lái)項(xiàng)目中的經(jīng)驗(yàn)教訓(xùn)[單選題]227.電子數(shù)據(jù)交換(EDI)可以為組織帶來(lái)重大利益，但前提是必須清除某些障礙。要想成功實(shí)施電子數(shù)據(jù)交換，應(yīng)從以下哪一項(xiàng)開(kāi)始？A)畫(huà)出為實(shí)現(xiàn)組織目標(biāo)所開(kāi)展的經(jīng)營(yíng)活動(dòng)的流程圖B)為EDI系統(tǒng)購(gòu)買新的硬件C)選擇可靠的應(yīng)用軟件和通訊軟件供應(yīng)商D)將交易格式、數(shù)據(jù)標(biāo)準(zhǔn)化[單選題]228.減輕網(wǎng)絡(luò)釣魚(yú)攻擊風(fēng)險(xiǎn)的最好方法是什么？A)實(shí)施入侵檢測(cè)系統(tǒng)（IDS)B)評(píng)估網(wǎng)站安全性C)強(qiáng)身份認(rèn)證D)用戶教育[單選題]229.在應(yīng)用程序開(kāi)發(fā)項(xiàng)目的系統(tǒng)測(cè)試階段，IS審計(jì)師應(yīng)當(dāng)審查：A)概要設(shè)計(jì)文檔B)開(kāi)發(fā)商合同C)錯(cuò)誤報(bào)告D)程序變更請(qǐng)求[單選題]230.一項(xiàng)應(yīng)用程序開(kāi)發(fā)工作外包給了離岸供應(yīng)商。以下哪個(gè)選項(xiàng)最令I(lǐng)S審計(jì)師關(guān)注A)合同中未包括審計(jì)權(quán)力條款B)未建立業(yè)務(wù)案例C)沒(méi)有源代碼第三方托管協(xié)議D)合同中沒(méi)有包括變更管理流程[單選題]231.IS審計(jì)師審查數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)時(shí)，發(fā)現(xiàn)當(dāng)前配置不符合原來(lái)的結(jié)構(gòu)設(shè)計(jì)。審計(jì)師下一步將采取什么行動(dòng)？A)分析結(jié)構(gòu)變化的必要性B)建議恢復(fù)原來(lái)的結(jié)構(gòu)設(shè)計(jì)C)建議實(shí)施變更控制過(guò)程D)確定是否修改得到批準(zhǔn)[單選題]232.組織中的多個(gè)部門(mén)到商定的目標(biāo)日期為止，尚未實(shí)施審計(jì)建議事項(xiàng)，誰(shuí)應(yīng)該解決這種情況?A)外部審計(jì)師B)高級(jí)管理層C)部門(mén)經(jīng)理D)內(nèi)部審計(jì)負(fù)責(zé)人[單選題]233.一個(gè)制造商正在開(kāi)發(fā)一個(gè)新的數(shù)據(jù)庫(kù)系統(tǒng)，該系統(tǒng)用來(lái)處理批量訂單所生產(chǎn)的產(chǎn)品的有關(guān)數(shù)據(jù)。工作人員每天要回答客戶提出的有關(guān)訂貨的生產(chǎn)情況。完工的訂貨在每天晚上要成批地打印出發(fā)票。對(duì)生產(chǎn)數(shù)據(jù)最好的訪問(wèn)方法是：A)索引順序的。B)直接的。C)雜亂無(wú)章的。D)順序的。[單選題]234.IS審計(jì)師應(yīng)當(dāng)審查以下哪一項(xiàng)，以確保服務(wù)器經(jīng)過(guò)最優(yōu)配置以支援處理要求?A)基準(zhǔn)指標(biāo)測(cè)試結(jié)果B)服務(wù)器日志C)故障報(bào)告D)服務(wù)器利用的數(shù)據(jù)[單選題]235.某數(shù)據(jù)中心有一個(gè)證章進(jìn)入系統(tǒng)。以下哪項(xiàng)對(duì)于保護(hù)該中心的計(jì)算資產(chǎn)來(lái)說(shuō)最重要？A)在可察覺(jué)到篡改的位置安裝證章閱讀器B)經(jīng)常對(duì)控制證章系統(tǒng)的計(jì)算機(jī)進(jìn)行備份C)存在立即停用已丟失或被盜證章的流程D)記錄所有證章進(jìn)入嘗試[單選題]236.白盒測(cè)試的具體優(yōu)點(diǎn)是A)能夠檢查程序是否可與系統(tǒng)的其他部分一起正常運(yùn)行。B)在不考慮程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C)能夠確定程序準(zhǔn)確性或某程序的特定邏輯路徑的狀態(tài)D)通過(guò)在限制訪問(wèn)主機(jī)系統(tǒng)的嚴(yán)格受控或虛擬環(huán)境中執(zhí)行程序功能性而對(duì)其進(jìn)行檢查。[單選題]237.一個(gè)雇員收到一個(gè)數(shù)碼相框的禮物，并把它連接到他/她的工作電腦傳輸數(shù)碼相片。這個(gè)情況的主要風(fēng)險(xiǎn)是：A)相框的存儲(chǔ)介質(zhì)可以用來(lái)竊取公司數(shù)據(jù)。B)相框驅(qū)動(dòng)程序可能和用戶的電腦部兼容從而造成系統(tǒng)崩潰。C)雇員可能將不雅的照片帶進(jìn)辦公室。D)相框有可能感染了惡意軟件。[單選題]238.為減輕來(lái)自內(nèi)部人員攻擊對(duì)企業(yè)數(shù)據(jù)安全的威脅，下面那一個(gè)選項(xiàng)是最好的？A)正式確定企業(yè)的信息安全策略B)為員工提供安全培訓(xùn)C)為關(guān)鍵崗位提供有競(jìng)爭(zhēng)力的薪酬D)對(duì)潛在的員工實(shí)施充分的背景審查[單選題]239.信息系統(tǒng)審計(jì)師在進(jìn)行審計(jì)時(shí)發(fā)現(xiàn)存在病毒，后續(xù)步驟應(yīng)為？A)觀察反應(yīng)機(jī)制B)從網(wǎng)絡(luò)上清除病毒C)立刻通知相關(guān)人員D)確保病毒被清除[單選題]240.下列哪項(xiàng)是用于降低風(fēng)險(xiǎn)的機(jī)制？A)安全和控制實(shí)踐B)財(cái)產(chǎn)和責(zé)任保險(xiǎn)C)審計(jì)與認(rèn)證D)合同和服務(wù)水平協(xié)議[單選題]241.以下哪項(xiàng)可以幫助IS審計(jì)師評(píng)估已開(kāi)發(fā)并實(shí)施的新軟件的質(zhì)量?A)報(bào)告故障的平均間隔時(shí)間B)修復(fù)故障的總體平均時(shí)間C)首次報(bào)告的故障平均間隔時(shí)間D)修復(fù)故障的總體響應(yīng)時(shí)間[單選題]242.在C、/S環(huán)境下，IS審計(jì)員檢查的訪問(wèn)控制時(shí)首先應(yīng)：A)評(píng)估加密技術(shù)B)確認(rèn)網(wǎng)絡(luò)訪問(wèn)點(diǎn)C)檢查認(rèn)證管理系統(tǒng)D)檢查應(yīng)用層面的訪問(wèn)控制[單選題]243.企業(yè)的風(fēng)險(xiǎn)偏好最好由以下哪項(xiàng)確定:A)首席法務(wù)官。B)安全管理人員C)審計(jì)委員會(huì)。D)督導(dǎo)委員會(huì)。[單選題]244.以下哪一項(xiàng)是有效的IT投資管理的最佳指標(biāo)?A)為每個(gè)需要IT投資的業(yè)務(wù)定義關(guān)鍵績(jī)效指標(biāo)KPIB)IT投資已映射到特定的業(yè)務(wù)目標(biāo)C)根據(jù)系統(tǒng)開(kāi)發(fā)生命周期實(shí)施和監(jiān)控IT投資D)IT投資預(yù)算大大低于行業(yè)基準(zhǔn)[單選題]245.IT資產(chǎn)管理層審查發(fā)現(xiàn)，路由器和交換機(jī)在處置前沒(méi)有經(jīng)過(guò)消毒。這種情況的最大擔(dān)憂是什么？A)配置文件可能會(huì)從設(shè)備中提取并危及網(wǎng)絡(luò)安全B)員工沒(méi)有遵守企業(yè)的消毒政策和程序C)機(jī)密數(shù)據(jù)文件可能會(huì)從設(shè)備中提取并導(dǎo)致隱私泄露D)消毒不是IT部門(mén)安全意識(shí)培訓(xùn)計(jì)劃的一部分[單選題]246.對(duì)一個(gè)使用?系統(tǒng)開(kāi)發(fā)生命周期?方法的項(xiàng)目而言，其階段和提交件應(yīng)該在下列哪個(gè)時(shí)候決定？A)在項(xiàng)目啟動(dòng)計(jì)劃階段B)在早期計(jì)劃完成后，在實(shí)際工作開(kāi)始之前C)整個(gè)工作過(guò)程中，基于風(fēng)險(xiǎn)和暴露問(wèn)題的D)只有在所有風(fēng)險(xiǎn)和暴露問(wèn)題被確認(rèn)及信息系統(tǒng)審計(jì)員建議合適的控制后[單選題]247.在互聯(lián)網(wǎng)上用cookie從事下列哪一項(xiàng)活動(dòng)時(shí)，會(huì)構(gòu)成最嚴(yán)重的安全威脅?A)從主機(jī)服務(wù)器下載文件B)傳發(fā)電子郵件和網(wǎng)際協(xié)議IP地址C)使用用戶名和密碼來(lái)鑒別身份D)從認(rèn)證機(jī)構(gòu)CA取得公共秘鑰[單選題]248.當(dāng)實(shí)施在一個(gè)貿(mào)易伙伴的服務(wù)器上的數(shù)據(jù)通過(guò)安全套接層（SSL）加密時(shí)，以下哪個(gè)會(huì)受到關(guān)注？A)組織沒(méi)有控制加密B)消息受制于搭線竊聽(tīng)C)數(shù)據(jù)可能不能到達(dá)目的接受者D)通信可能不安全[單選題]249.IS管理人員告訴IS審計(jì)師，組織最近達(dá)到了軟件能力成熟度模型的最高水平，那么最近組織增加的軟件質(zhì)量流程是：A)持續(xù)改進(jìn)B)量化的質(zhì)量目標(biāo)C)文檔化流程D)為某一特殊項(xiàng)目定制的流程[單選題]250.以下哪一項(xiàng)最能向信息系統(tǒng)審計(jì)師表明管理層的實(shí)施后分析是有效的?A)實(shí)施后分析是系統(tǒng)開(kāi)發(fā)生命周期(SDLC)中的一個(gè)正式階段B)完成了內(nèi)部后續(xù)審計(jì)，且沒(méi)有發(fā)現(xiàn)任何情況C)吸取的經(jīng)驗(yàn)教訓(xùn)已記錄存檔并加以應(yīng)用D)業(yè)務(wù)和IT相關(guān)人員參與了實(shí)施后分析[單選題]251.下列哪一項(xiàng)最能確保組織的廣域網(wǎng)絡(luò)的連續(xù)性？A)，內(nèi)置變更路由B)，每日完成完全的系統(tǒng)備份C)，維保合同與服務(wù)提供商D)，每臺(tái)服務(wù)器的做雙機(jī)[單選題]252.當(dāng)接收到EDI交易並將其傳送到通信接口後，通常會(huì)：A)對(duì)相關(guān)的交易進(jìn)行轉(zhuǎn)譯和解除綁定操作B)進(jìn)行路由校驗(yàn)C)把有關(guān)數(shù)據(jù)傳送到適當(dāng)?shù)膽?yīng)用系統(tǒng)D)創(chuàng)建對(duì)應(yīng)的接收審計(jì)記錄[單選題]253.災(zāi)難恢復(fù)計(jì)劃解決的是以下哪方面的需求？A)業(yè)務(wù)連續(xù)性計(jì)劃的技術(shù)層面B)業(yè)務(wù)連續(xù)性計(jì)劃的運(yùn)行部門(mén)C)業(yè)務(wù)連續(xù)性計(jì)劃的功能方面D)業(yè)務(wù)連續(xù)性計(jì)劃的所有協(xié)調(diào)工作[單選題]254.編制審計(jì)報(bào)告時(shí)，IS審計(jì)師應(yīng)確保審計(jì)結(jié)果得到下列哪項(xiàng)支持:A)IS管理人員的聲明。B)其他審計(jì)師的工作底稿。C)組織控制自我評(píng)估。D)充分恰當(dāng)?shù)膶徲?jì)證據(jù)。[單選題]255.一家大型銀行實(shí)施IT審計(jì)的過(guò)程中，IS審計(jì)師發(fā)現(xiàn)許多業(yè)務(wù)應(yīng)用沒(méi)有執(zhí)行正規(guī)的風(fēng)險(xiǎn)評(píng)估，也沒(méi)有確定其重要性和恢復(fù)時(shí)間上的要求。那么，這些暴露的銀行風(fēng)險(xiǎn)是：A)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）可能沒(méi)有與銀行各應(yīng)用被破壞的風(fēng)險(xiǎn)相對(duì)應(yīng)B)業(yè)務(wù)連續(xù)計(jì)劃（BCP）可能沒(méi)有包含所有相關(guān)應(yīng)用，因此，在范圍上不完整C)領(lǐng)導(dǎo)或許沒(méi)有正確認(rèn)識(shí)災(zāi)難對(duì)業(yè)務(wù)的影響D)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）或許缺少有效的業(yè)務(wù)所有者關(guān)系[單選題]256.一個(gè)IS審計(jì)師審計(jì)一個(gè)金融組織的災(zāi)難恢復(fù)計(jì)劃（DRP）過(guò)程中發(fā)現(xiàn)了以下內(nèi)容：現(xiàn)有的災(zāi)難恢復(fù)計(jì)劃是兩年前的，由組織IT部門(mén)的系統(tǒng)分析師使用業(yè)務(wù)部的交易流量預(yù)測(cè)的。該計(jì)劃交給了行政總裁副批準(zhǔn)，待正式發(fā)布，但仍然在等待他的審批。該計(jì)劃一直沒(méi)有得到更新，測(cè)試或并交給管理和工作人員，雖然訪談表明，當(dāng)災(zāi)難發(fā)生時(shí)每個(gè)人都知道采取什么樣的行動(dòng)。IS審計(jì)師得報(bào)告中應(yīng)該有怎樣的建議：A)副總裁應(yīng)該為沒(méi)有批準(zhǔn)計(jì)劃而被問(wèn)責(zé)B)應(yīng)該成立高級(jí)管理層位于委員會(huì)審查現(xiàn)有的計(jì)劃C)現(xiàn)有的計(jì)劃應(yīng)該批準(zhǔn)并在所有的關(guān)鍵管理者和員工之間傳閱D)需要一個(gè)協(xié)調(diào)者，在規(guī)定的時(shí)間內(nèi)，新建一個(gè)計(jì)劃或者修訂原有DRP計(jì)劃[單選題]257.能涵蓋損失的最好的保險(xiǎn)單類型是：A)基本保險(xiǎn)單B)擴(kuò)展保險(xiǎn)單C)特殊的涵蓋所有風(fēng)險(xiǎn)的保險(xiǎn)單D)與風(fēng)險(xiǎn)類型相稱的保險(xiǎn)[單選題]258.下列哪一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的容錯(cuò)性能最高:A)總線結(jié)構(gòu)B)環(huán)形結(jié)構(gòu)C)星形結(jié)構(gòu)D)網(wǎng)狀結(jié)構(gòu)[單選題]259.在網(wǎng)上銀行應(yīng)用程序中，以下哪項(xiàng)最能防止身份盜用？A)加密個(gè)人密碼B)限制用戶使用特定終端C)雙因素身份認(rèn)證D)定期審查訪問(wèn)日志[單選題]260.以下哪一種生物識(shí)別方法具有最高可靠性和最低誤受率（FAR）A)手掌掃描B)面部識(shí)別C)視網(wǎng)膜掃描D)手部幾何1.答案:A解析:控制自我評(píng)價(jià)（C、SA、）方法強(qiáng)調(diào)管理和問(wèn)責(zé)制為發(fā)展和監(jiān)督組織的業(yè)務(wù)流程。C、SA、的屬性包括雇員授權(quán)、持續(xù)改進(jìn)、廣泛的員工參與管理和培訓(xùn)，所有這些都代表了廣泛的利益相關(guān)者的參與。選B、C、D、是傳統(tǒng)審計(jì)方法的屬性。2.答案:B解析:單擊登錄包括多個(gè)應(yīng)用程序使用相同密碼，當(dāng)訪問(wèn)多個(gè)應(yīng)用系統(tǒng)時(shí)這將非常效的降低遺忘密碼的概率。減少密碼長(zhǎng)度將增加密碼被破解的風(fēng)險(xiǎn)。兩個(gè)驗(yàn)證因子不是不是被期望解決密碼問(wèn)題的應(yīng)用。容許使用以前的密碼可能危害密碼安全。3.答案:A解析:大量的模塊被打上了補(bǔ)丁，且接口涉及多個(gè)系統(tǒng)，系統(tǒng)測(cè)試是最適當(dāng)?shù)?。接口測(cè)試不充分，負(fù)載和黑盒測(cè)試在此情況下不適當(dāng)。4.答案:D解析:5.答案:A解析:該公司當(dāng)前具有VPN；身份認(rèn)證和機(jī)密性等問(wèn)題已通過(guò)VPN隧道得以實(shí)施。聲音傳輸?shù)碾[私性由VPN協(xié)議保證。因此，可靠性和QOS是要首先考慮的注意事項(xiàng)。6.答案:A解析:A.讓所有級(jí)別的管理人員和系統(tǒng)用戶熟悉書(shū)面安全政策框架和目的，對(duì)于成功實(shí)施和維護(hù)安全策至關(guān)重要。如果一項(xiàng)政策沒(méi)有落實(shí)到日常行為中，便不會(huì)有效。B.毫無(wú)疑問(wèn)，管理人員的支持和承諾很重要，但要成功實(shí)施和維護(hù)安全政策，最重要的是讓用戶了解安全的重要性。C.政策的執(zhí)行需要處罰措施，但處罰不是成功實(shí)行的關(guān)鍵。D.通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行、監(jiān)督和實(shí)施安全規(guī)則以及對(duì)違反安全規(guī)則的行為實(shí)施處罰很重要,但這仍依賴于管理人員和用戶的支持及對(duì)安全重要性的教育。7.答案:A解析:8.答案:A解析:尾隨這一概念對(duì)所有建立的物理控制都有危害作用。選項(xiàng)B在災(zāi)難恢復(fù)環(huán)境中無(wú)需多作注意。選項(xiàng)C中的物品并不容易復(fù)制。對(duì)于選項(xiàng)D，盡管技術(shù)在不斷發(fā)展變化，但是卡密鑰已經(jīng)存在一段時(shí)間，而且在可預(yù)見(jiàn)的將來(lái)它仍是一個(gè)可行的選擇。9.答案:C解析:10.答案:B解析:IS審計(jì)師通常不會(huì)在項(xiàng)目進(jìn)度方面提出建議，而是會(huì)