CISA考試練習(xí)(習(xí)題卷4)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷4)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.某IS審計師檢查了一個無窗機房，其中包括電話交換和聯(lián)網(wǎng)設(shè)備以及文檔夾。該機房配有兩個手持滅火器-一個是CO2滅火器，另一個是鹵化物氣體滅火器。下列哪一項應(yīng)在審計師的報告中具有最優(yōu)先級？A)移走鹵化物滅火器，因為鹵化物會對大氣臭氧層產(chǎn)生負面影響。B)在密閉機房中使用時，兩種滅火系統(tǒng)都有導(dǎo)致窒息的危險。C)移走CO2滅火器，因為CO2對于涉及固體可然物（紙張）的火災(zāi)是無效的。D)將文檔夾從設(shè)備機房中移走，從而降低潛在風(fēng)險。答案:B解析:在滅火行動中，保護人員的生命安全應(yīng)始終放在第一位。CO2和鹵化物都會降低空氣中的氧化比例，從而導(dǎo)致嚴重的人身危險。在許多國家/地區(qū)，安裝或灌注鹵化物滅火系統(tǒng)是不允許的。盡管CO2和鹵化物適用于有效撲滅涉及合成可燃物和電氣設(shè)備的火災(zāi)，但是它們對于固體可燃物（木材和紙張）幾乎完全無效。盡管優(yōu)先級略低，但是移走文檔會降低一些風(fēng)險。[單選題]2.IS審計部門正計劃盡量減少對關(guān)鍵個人的依賴。有助于實現(xiàn)這一目標的活動包括記錄流程、知共、交又培訓(xùn)，以及A)接任計劃B)員工崗位評估。C)責(zé)任定義。D)員工獎勵計劃。答案:A解析:A.接任計劃可確保發(fā)現(xiàn)和培養(yǎng)有潛力擔(dān)任公司關(guān)鍵崗位的內(nèi)部人員。B.崗位評估是指確定公司中各個崗位的相對價值以建立公平公正薪酬體系的過程。C.員工職責(zé)定義對角色和工作職責(zé)詳加定義;但兩者均不可最大限度地降低對關(guān)鍵個人的依賴程度。D.員工獎勵計劃可提供激勵;但不能最大程度地減少對關(guān)鍵個人的依賴。[單選題]3.以下哪種形式的證據(jù)對審計員來講更具可靠性？A)被審計人員的口頭陳訴B)由IS審計師執(zhí)行的測試結(jié)果C)一份內(nèi)部導(dǎo)出的計算機財務(wù)賬目報告D)從外部資源發(fā)來的確認信。答案:A解析:從外部單位獲取的證據(jù)，比從組織內(nèi)部獲取的證據(jù)更可靠。從外部機構(gòu)獲取的確認信，比如那些用來驗證應(yīng)收賬款的平衡關(guān)系，是最可靠的證據(jù)。審計人員的自己測試結(jié)果可能不是最可靠的，如果審計人員在檢查中沒有對測試技巧進行很好的理解。[單選題]4.為評估軟件的可靠性，IS審計師應(yīng)該采取哪一種步驟？A)檢查不成功的登陸嘗試次數(shù)B)累計指定執(zhí)行周期內(nèi)的程序出錯數(shù)目C)測定不同請求的反應(yīng)時間D)約見用戶，以評估其需求所滿足的范圍答案:B解析:[單選題]5.在一個隔離的操作環(huán)境中，下面哪一個場景是期望看到的？A)對系統(tǒng)信息和啟動問題負責(zé)的計算機操作員關(guān)注失敗的事務(wù)。B)僅在應(yīng)用程序員提醒有錯誤時變更控制庫管理員對代碼進行修改。C)磁帶庫管理員管理打印隊列和為打印機裝紙，同時還負責(zé)啟動異地存儲的磁帶備份。D)操作員通過調(diào)整參數(shù)設(shè)置幫助系統(tǒng)程序員為操作系統(tǒng)排錯，系統(tǒng)程序員在旁邊觀看結(jié)果。答案:A解析:BCD都涉及角色沖突。其中C在打印時有機會多打印重要文件。[單選題]6.以下哪種滲透測試能夠最有效地評估組織的事故處理和響應(yīng)能力？A)針對性測試B)外部測試C)內(nèi)部測試D)雙盲測試答案:D解析:在雙盲測試中，管理員和安全人員對測試毫不知情，這樣便可以評估組織中的事故處理和響應(yīng)能力。而在針對性測試、外部測試和內(nèi)部測試中，系統(tǒng)管理員和安全人員會在測試開始之前收到通知，因此知道要進行測試。[單選題]7.如果發(fā)生數(shù)據(jù)中心災(zāi)難，以下哪一項是能夠完全恢復(fù)關(guān)鍵數(shù)據(jù)庫的最適當策略?A)每天將數(shù)據(jù)備份到磁帶并存儲于遠程站點中B)實時復(fù)制到遠程站點C)硬盤鏡像到本地服務(wù)器D)將數(shù)據(jù)實時備份到本地存儲區(qū)域網(wǎng)絡(luò)(SAN)答案:B解析:A.日常磁帶備份恢復(fù)可能導(dǎo)致丟失一天的數(shù)據(jù)工作。B、通過實時復(fù)制到遠程站點，將在兩個單獨的位置同時更新數(shù)據(jù);因此，一個站點中的災(zāi)難不會損壞位于遠程站點中的信息。這將假設(shè)這兩個站點均未受同一災(zāi)難的影響。C.硬盤鏡像到本地服務(wù)器發(fā)生在同一數(shù)據(jù)中心且可能受同一災(zāi)難的影響。D.將數(shù)據(jù)實時備份到本地存儲區(qū)域網(wǎng)絡(luò)(SAN)也是位于同一數(shù)據(jù)中心，也可能受同一災(zāi)難的影響。[單選題]8.以下哪種形式的證據(jù)對審計師來講最具可靠性？A)被審計人員的口頭陳述B)由外部IS審計師執(zhí)行的測試結(jié)果C)內(nèi)部生成的計算機財務(wù)報告D)從外部資源發(fā)來的確認函答案:B解析:由IS審計師獨立完成的測試一直被認為是比來自第三方的確認函較高可靠性的證據(jù)來源。因為函件并不符合審計標準且是主觀的。作為IS審計師的風(fēng)險定義的審計應(yīng)包括檢查、觀察和詢問的組合。這提供了一種標準的方法和合理的保證，因此控制和測試結(jié)果要求正確無誤。選項A和C也是審計證據(jù)，但不如選項B可靠。點評：其他審計師提供的證據(jù)最可靠[單選題]9.審與服務(wù)供應(yīng)商簽訂的新外包合同時，缺少以下哪項最需要IS審計師給予關(guān)注?A)規(guī)定?審計權(quán)限?(針對服務(wù)供應(yīng)商進行審計)的條款B)對績效不佳的罰款進行定義的條款C)預(yù)先定義的服務(wù)級別報告模板D)有關(guān)供應(yīng)商責(zé)任范圍的條款答案:A解析:A.缺少?審計權(quán)限?條款或缺少其他供應(yīng)商遵守特定標準的證明都可能會妨礙審計師對供應(yīng)商在各方面進展的績效進行調(diào)查，包括控制缺陷、績效不佳和法律要求的遵守情況。這是IS審計師重點關(guān)注的地方，因為該組織將很難評估合適的控制是否已落實到位。B.雖然明確定義罰款條款是一種可取的方法，但并不是所有合同都需要規(guī)定對績效不佳進行罰款，而且當需要對績效進行處罰時，通常需要根據(jù)具體情況對這些處罰進行協(xié)商。因此，缺少該內(nèi)容不如缺少審計權(quán)限重要。C.當合同里包含服務(wù)等級報告要求，預(yù)先定義服務(wù)等級報告模板的做法是可取的，但即便如此，缺少預(yù)定義報告模板并非需要重點關(guān)注的問題。D.缺少服務(wù)供應(yīng)商責(zé)任范圍條款理論上會導(dǎo)致供應(yīng)商承當無限的責(zé)任。這對該外包公司是有利的，盡管1S審計師會強調(diào)缺少該條款，但這不是需要重點關(guān)注的問題。[單選題]10.認證中心C、A、可委托以下過程來代表:A)撤銷和中止用戶的證書B)產(chǎn)生并分發(fā)C、A、的公鑰C)在請求實體和它的公鑰間建立鏈接D)發(fā)布并分發(fā)用戶的證書答案:C解析:在請求實體和它的公鑰間建立鏈接是注冊中心RA、的功能。這個功能可用或不用C、A、執(zhí)行，因此，這個過程可委托。撤銷和中止及發(fā)布、分發(fā)證書是證書生命周期管理的職能，必須是C、A、來執(zhí)行。產(chǎn)生和分發(fā)C、A、的公鑰是C、A、密鑰生命周期管理流程的一部分，不能委托。[單選題]11.在災(zāi)難后恢復(fù)數(shù)據(jù)時，下列哪項指標最能說明備份和恢復(fù)程序的有效性?A)恢復(fù)組的成員能夠進行工作B)達到恢復(fù)時間目標(RTO)。C)備份磁帶庫存已得到妥善維護。D)備份磁帶在備用站點中完全恢復(fù)。答案:B解析:A.有關(guān)鍵人員并不能保證備份和恢復(fù)流程能夠有效工作B.恢復(fù)時間目標(RTO)的達成能夠在最大程度上確保備份和恢復(fù)程序的有效性，因為這里包括了在業(yè)務(wù)影響分析階段嚴格地定義的需求，所有業(yè)務(wù)流程負責(zé)人均提出了意見并參與其中。C.備份磁帶庫存只是成功恢復(fù)的要素之一。D.備份磁帶的恢復(fù)是成功的關(guān)鍵，但要能夠在RTO設(shè)定的時間期限內(nèi)恢復(fù)。[單選題]12.以下哪一項能夠最有效地確保用戶能夠不間斷地訪問關(guān)鍵的、任務(wù)繁重的web應(yīng)用程序?A)磁盤鏡像B)廉價磁盤冗余陣列(RAID)技術(shù)C)動態(tài)域名系統(tǒng)(DDNS)D)負載均衡答案:D解析:A.磁盤鏡像提供實時磁盤驅(qū)動器復(fù)制，但如果出現(xiàn)服務(wù)器崩潰的情況，則無法保證系統(tǒng)可用性不受中斷。B.廉價磁盤冗余陣列(RAID)技術(shù)能夠提高恢復(fù)力，但無法針對網(wǎng)卡(NC)故障或中央處理器(CPU)故障提供保護。C.動態(tài)域名系統(tǒng)(DDNS)是用于向動態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址分配主機名稱的一種方法。這是一種有用的技術(shù)，但無助于確?？捎眯?。D.負載均衡通過在多臺服務(wù)器之間分配流量確保系統(tǒng)可用性不受中斷。負載均衡有肋確保web應(yīng)用程序的響應(yīng)時間最后一致。另外，如果Web服務(wù)器出現(xiàn)故障，負載均衡可確保流量導(dǎo)向不同的可用服務(wù)器。[單選題]13.執(zhí)行計算機犯罪證據(jù)調(diào)查時，對于數(shù)據(jù)收集，IS審計師應(yīng)該最關(guān)心的證據(jù)是：A)分析B)評估C)保存D)公開答案:C解析:根據(jù)法律實施和司法授權(quán)保存和存檔審評證據(jù)時最重要的事情，如果不能正確的保存證據(jù)可能會影響到法律訴訟時對證據(jù)的采納。分析、評估和公開證據(jù)都很重要但是不是證據(jù)調(diào)查時的首要事情。點評：證據(jù)的完整性是最重要的[單選題]14.下面哪個選項有助于保證連接到數(shù)據(jù)庫的應(yīng)用的便攜性？A)數(shù)據(jù)庫導(dǎo)入/導(dǎo)出過程的核查B)SQL的使用C)存儲流程/觸發(fā)器的分析D)實體關(guān)系模型和數(shù)據(jù)庫物理結(jié)構(gòu)的同步答案:A解析:SQL便捷的使用。核查與其他系統(tǒng)的導(dǎo)入/導(dǎo)出流程是確保與其他系統(tǒng)更好的接口連接。分析存儲流程/觸發(fā)器是確保適當?shù)脑L問/執(zhí)行，而且評價實體關(guān)系模型也是有用的，但是這些都不能有助于數(shù)據(jù)庫連接的應(yīng)用的便攜性。[單選題]15.下列那一項的開發(fā)時，高級管理層的參與是最重要的？A)戰(zhàn)略計劃B)信息系統(tǒng)策略C)信息系統(tǒng)程序D)標準和指南答案:A解析:戰(zhàn)略計劃為確保企業(yè)能夠達到預(yù)期目標和目標的基礎(chǔ)。高級管理人員的參與是關(guān)鍵，以確保該計劃充分滿足了既定的目標和目的。IS程序，標準和準則都是用以支持整體的戰(zhàn)略計劃的結(jié)果。點評：戰(zhàn)略制定是高層的責(zé)任[單選題]16.對于評估業(yè)務(wù)連續(xù)性計劃的有效性最好方法是審查：A)計劃并把他們作為適當?shù)臉藴蔅)預(yù)先的測試結(jié)果C)應(yīng)急程序和員工培訓(xùn)D)異地存儲和環(huán)境監(jiān)控答案:B解析:預(yù)先測試結(jié)果將提供業(yè)務(wù)連續(xù)性計劃的有效性證據(jù)。標準比較將提供一些保證，該計劃涉及的業(yè)務(wù)連續(xù)性計劃的重要方面，但是沒有透露任何有關(guān)其有效性。檢查應(yīng)急程序，異地存儲和環(huán)境控制將提供使該計劃某些方面的見解，但都低于提供該計劃的整體效益的保證。[單選題]17.在審計ERP財務(wù)系統(tǒng)的邏輯訪問控制時，信息系統(tǒng)審計師發(fā)現(xiàn)一些用戶帳戶被多人共享使用。用戶ID是基于角色而非人員本身設(shè)置的。這些帳戶允許進入ERP系統(tǒng)進行財務(wù)處理。下一步，信息系統(tǒng)審計師該怎么做？A)尋找補償性控制B)檢閱財務(wù)事務(wù)日志C)檢閱審計范圍D)叫管理員禁用這些帳號答案:A解析:最好的邏輯訪問控制實踐是創(chuàng)建用戶ID給每一個定義了責(zé)任的使用人。只有在建立ID和獨立使用人之間一個一對一關(guān)系時才有可能。盡管如此，如果用戶ID是基于角色創(chuàng)建的，信息系統(tǒng)審計師應(yīng)首先理解原因，然后評價補償控制有效性和效率。檢查處理日志對審計邏輯訪問控制是無關(guān)的，檢查審計相關(guān)的范圍也是無關(guān)的。在弄明白原因和評價補償性控制之前，不建議信息系統(tǒng)審計師請管理員對共享帳號停掉。這不是信息系統(tǒng)審計師的職責(zé)在審計期間讓停止使用帳號。+B2890[單選題]18.用戶使用分配的安全令牌結(jié)合個人識別碼(PIN)來訪問公司的虛擬私有網(wǎng)絡(luò)(VPN)。對于PIN，安全政策中應(yīng)包含哪項最重要的規(guī)則?A)用戶不應(yīng)將令牌置于容易被盜的地方。B)用戶不得將令牌與便攜式計算機置于同一包中C)用戶應(yīng)選擇完全隨機且沒有重復(fù)數(shù)字的PIN。D)用戶不應(yīng)將PIN寫下來。答案:D解析:A.如果沒有個人識別碼(PIN)，對令牌進行訪問毫無價值:二者缺一不可。B.如果沒有PIN，對令牌進行訪問毫無價值;二者缺一不可。C.只要PIN足夠機密，便不需要是隨機的。D.如果用戶將PIN記錄在紙條上，則能獲取到令牌、這張紙條以及計算機的任何人都可以訪問公司網(wǎng)絡(luò)。令牌和PIN是一種雙因素身份認證方法。[單選題]19.公司XZ已將生產(chǎn)支持外包給在另一個國家的服務(wù)提供商ABC。ABC服務(wù)提供商的工作人員通過互聯(lián)網(wǎng)遠程連接到Y(jié)Z的生產(chǎn)支持網(wǎng)絡(luò).以下哪一項能夠最有效地保證只有經(jīng)過授權(quán)的ABC用戶能夠通過互聯(lián)網(wǎng)連接為XYZ提供服務(wù)支持?A)單點登陸身份認證B)密碼復(fù)雜性要求C)雙因素身份認證D)互聯(lián)網(wǎng)協(xié)議(IP)地址限制答案:C解析:A.單點登陸身份認證提供系統(tǒng)資源的單一訪問點。它不是這種情況下的最佳答案。B.盡管密碼復(fù)雜性要求有助防止未經(jīng)授權(quán)的訪問，雙因素身份認證是這種情況下更有效的控制。C.雙因素身份認證是提供安全連接的最佳方法，原因在于它使用雙因素，通常是?您有什么?(例如生成一次性密碼的設(shè)備)、?您是誰?(例如生物特征)或?您知道什么?(例如個人識別號碼PIN或密碼)。只使用密碼而不使用上述1個或多個其他因素不是這種情況下的最佳答案。D.互聯(lián)網(wǎng)協(xié)議(IP)地址始終可以被更改或仿冒，因此不是上述情景的最佳身份認證方式。[單選題]20.當應(yīng)用程序開發(fā)人員想要使用前一天的生產(chǎn)交易文件副本來做容量測試時，IS審計師的主要擔(dān)優(yōu)是A)用戶可能更愿意在測試時使用編造的數(shù)據(jù)。B)可能導(dǎo)致敏感數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問。C)錯誤處理和可信度檢查可能得不到全面驗證。D)未必能測試新程序的全部功能。答案:B解析:A.生產(chǎn)數(shù)據(jù)更易于用戶在比較時使用。B.除非數(shù)據(jù)經(jīng)過清理，否則將有泄露敏感數(shù)據(jù)的風(fēng)險。C.存在之前的生產(chǎn)數(shù)據(jù)可能不會測試出所有的錯誤例程的風(fēng)險;但這沒有泄露敏感數(shù)據(jù)的風(fēng)大D.使用生產(chǎn)數(shù)據(jù)的副本可能測試不了全部功能，但這沒有泄露敏感數(shù)據(jù)的風(fēng)險大。[單選題]21.以下哪項是由于對數(shù)據(jù)和系統(tǒng)的所有權(quán)定義的不足產(chǎn)生最大的風(fēng)險？A)用戶管理協(xié)調(diào)不存在B)特定用戶責(zé)任不能成立C)未經(jīng)授權(quán)的用戶可以訪問，修改或刪除數(shù)據(jù)D)審計的建議可能無法實現(xiàn)答案:C解析:如果沒有一個明確的策略誰具備了授予訪問特定系統(tǒng)的責(zé)任，就會增加風(fēng)險，即某人可以獲得系統(tǒng)的訪問權(quán)當他們不應(yīng)該得到授權(quán)時。通過分配授權(quán)訪問到特定的用戶，有一個更好的機會就是業(yè)務(wù)目標將得到適當?shù)闹С?。[單選題]22.某公司和外部咨詢公司簽約實施商業(yè)金融系統(tǒng)以替換現(xiàn)存的自開發(fā)系統(tǒng)。在審核提交的開發(fā)文檔時，下面哪一項最值得重視？A)由用戶來控制驗收測試B)質(zhì)量控制計劃不是合同的一部分C)在初步實施時不包括所有的商業(yè)功能D)原型法被用于確保系統(tǒng)符合商業(yè)需求答案:A解析:質(zhì)量計劃是所有項目的一項基本要素。這是至關(guān)重要的，該合同供應(yīng)商須出示這樣的一個計劃。建議的開發(fā)合同的質(zhì)量計劃應(yīng)當是全面的，涵蓋了開發(fā)的各個階段，并且包括哪些業(yè)務(wù)功能將被納入以及何時（實現(xiàn)）。通常是由用戶方面來接受，因為他們必須確信該新系統(tǒng)將滿足他們的需求。如果系統(tǒng)是大型的，逐步使用系統(tǒng)的辦法是一個合理的做法。原型是一個有效的方法，確保該系統(tǒng)將滿足業(yè)務(wù)需求。[單選題]23.對生物識別系統(tǒng)的運行情況進行審查期間，IS審計師首先應(yīng)審查的階段是：A)注冊。B)識別。C)驗證。D)存儲。答案:A解析:生物識別設(shè)備的用戶必須首先在該設(shè)備上注冊。該設(shè)備科獲取人類的身體或動作圖像，并識別獨特的特征，然后使用算法將其轉(zhuǎn)換成以模板形式存儲的一串數(shù)字，以便用于匹配過程。[單選題]24.對服務(wù)提供商進行審計時，IS審計師發(fā)現(xiàn)，該服務(wù)提供商已將部分工作外包給了其他提供商。由于此工作涉及到機密信息，因此，IS審計師應(yīng)當首先考慮:A)有關(guān)保護信息機密性的要求可能會受到損害。B)合同有可能被終止，因為事先未獲得外包商許可。C)提供部分外包工作的其他服務(wù)提供商不需要接受審計。D)外包商將直接與其他服務(wù)提供商進行接觸，以便進一步開展工作。答案:A解析:A.許多國家均制定了相關(guān)法規(guī)，用來保護本國維護的或與其他國家交換的信息的機密性。當服務(wù)提供商將部分服務(wù)外包給其他服務(wù)提供商時，有對信息的機密性造成危害的潛在風(fēng)險。B.因違反合同條款而終止合同可能是個問題，但與確保信息的保密性無關(guān)。C.外包商不需要接受審計可能是個問題，但與保證信息的保密性無關(guān)。D.外包商直接與其他服務(wù)提供商進行接觸以便進一步開展工作，這絲毫不是IS審計師需要關(guān)心的問題。[單選題]25.IS審計師獲取充分和合適的審計證據(jù)的最重要的原因是：A)遵從法規(guī)的要求B)提供推導(dǎo)出合理結(jié)論的基礎(chǔ)C)確認完整的審計內(nèi)容D)根據(jù)定義的范圍執(zhí)行審計答案:B解析:IS審計的范圍由目標來定義。它包括確定與審計范圍相關(guān)的控制不足。獲取充分和合適的證據(jù)有助于審計員確定、記錄并控制不足之處。遵從法規(guī)要求、確認審計內(nèi)容和執(zhí)行審計都與審計有關(guān)但不是需要充分和相關(guān)證據(jù)的原因。點評：審計證據(jù)是用來得出審計結(jié)論的[單選題]26.流程所有權(quán)分配在系統(tǒng)開發(fā)項目中至關(guān)重要，原因是它:A)利于跟蹤開發(fā)完成的百分比。B)優(yōu)化用戶驗收測試(UAT)案例的設(shè)計成本。C)最大限度縮小需求與功能之間的差距。D)確保系統(tǒng)設(shè)計基于業(yè)務(wù)需求。答案:D解析:A.流程所有權(quán)分配不具備跟蹤交付成果完成百分比的功能。B.是否優(yōu)化測試案例的設(shè)計成本不取決于流程所有權(quán)的分配。它具有一定程度的幫助:但測試案例的設(shè)計涉及許多因素。C.為最大限度縮小差距，需部署和應(yīng)用具體的需求分析框架;然而能夠?qū)е孪到y(tǒng)功能不滿足需求的差距可能在設(shè)計和竣工的系統(tǒng)之間發(fā)現(xiàn)。這將在用戶驗收測試(UAT被識別。流程所有權(quán)本身并不具備度縮小需求差距的能力。D.流程所有者的參與將確保系統(tǒng)功能根據(jù)業(yè)務(wù)流程的要求來設(shè)計。流程所有者必須在設(shè)計上簽字認可，然后才能開始開發(fā)。[單選題]27.對一個使用?系統(tǒng)開發(fā)生命周期?方法的項目而言，其階段和提交件應(yīng)該在下列哪個時候決定？A)在項目啟動計劃階段B)在早期計劃完成后，在實際工作開始之前C)整個工作過程中，基于風(fēng)險和暴露問題的D)只有在所有風(fēng)險和暴露問題被確認及信息系統(tǒng)審計員建議合適的控制后答案:A解析:在項目的最初階段對項目進行適當?shù)挠媱澆⒋_定特定的階段和提交件是非常重要的。[單選題]28.在減少開發(fā)成本和確保項目的質(zhì)量情況下，以下哪項管理技術(shù)可以使企業(yè)快速開發(fā)戰(zhàn)略上的重要系統(tǒng)：A)功能點分析B)關(guān)鍵路徑法C)快速應(yīng)用程序開發(fā)D)項目評審技術(shù)答案:C解析:RAD是一種管理技術(shù)用于組織快速開發(fā)戰(zhàn)略上的重要系統(tǒng)，在減少開發(fā)成本和確保項目的質(zhì)量情況下。PERT和CPM是計劃控制技術(shù)，而功能點分析師用于建立復(fù)雜的業(yè)務(wù)應(yīng)用開發(fā)的一種控制技術(shù)，用于評估項目的復(fù)雜度。點評：開發(fā)戰(zhàn)略性的項目--RAD[單選題]29.某保險公司對經(jīng)常應(yīng)用的數(shù)據(jù)進行斷點打印拷貝，使有關(guān)人員可在主機文件中獲取這些數(shù)據(jù)，經(jīng)過授權(quán)的用戶可以將數(shù)據(jù)子集下載進入電子數(shù)據(jù)表程序，這種提供數(shù)據(jù)存取途徑方法的風(fēng)險是：A)復(fù)制文件可能沒有得到同步處理；B)數(shù)據(jù)片斷可能缺乏完整性；C)數(shù)據(jù)處理的進行可能缺乏成熟；D)數(shù)據(jù)的普及性。答案:B解析:提供數(shù)據(jù)存取途徑方法的風(fēng)險：數(shù)據(jù)片斷可能缺乏完整性。不缺乏普及性、成熟性；得到同步處理。[單選題]30.以下哪項對數(shù)字認證生命周期進行管理，以確保與電子商務(wù)有關(guān)的數(shù)字簽名應(yīng)用程序中存在足夠的安全性和控制？A)注冊機構(gòu)B)認證頒發(fā)機構(gòu)（CA）C)證書撤銷清單（CRL）D)認證實施細則答案:B解析:CA維護數(shù)字認證的目錄，以供認證的接收者參考。它管理認證的生命周期，包括認證目錄的維護以及證書撤銷清單的維護和發(fā)布。選項A不正確，因為注冊機構(gòu)是可選實體，負責(zé)與注冊最終實體（CA頒發(fā)的認證的主體）相關(guān)的管理任務(wù)。選項C不正確，因為CRL是一種工具，用于檢查CA負責(zé)的認證的持續(xù)有效性。選項D不正確，因為認證實施細則是一套管理認證頒發(fā)機構(gòu)運營的詳細規(guī)則。[單選題]31.檢查用戶的生物特征識別身份認證系統(tǒng)的IS審計師證明存在一種控制弱點，該弱點允許未授權(quán)用戶更新服務(wù)器上用于存儲生物特征識別樣本的集中式數(shù)據(jù)庫。在以下選項中，哪一項是針對此風(fēng)險的最佳控制描施A)KerberosB)有效性檢測C)多模式生物特征識別D)前/后圖像記錄答案:A解析:A.Kerberos是一種用于客戶端服務(wù)器應(yīng)用程序的網(wǎng)絡(luò)身份認證協(xié)議，用于將數(shù)據(jù)庫的訪問權(quán)限限制為授權(quán)的用戶。B.有效性檢測會盡力保證提供生物特征識別的用戶是?健在?的，而不僅僅是生物特征識別值的圖像或照片。C.多模式生物特征識別綜合使用多種生物特征識別方法來驗證用戶的身份。如果攻擊者能夠訪問生物特征識別模板，使用多個模板也不是一種有效的控制。D.數(shù)據(jù)庫交易的前/后圖像記錄是檢測性控制，與Kerberos這種預(yù)防性控制剛好相反。[單選題]32.以下哪個流程能夠最有效地檢測到將非法軟件包加載到網(wǎng)絡(luò)上的這一行為?A)使用無盤工作站B)定期檢硬盤C)使用最新的防病毒軟件D)違反規(guī)定便立即解雇的政策答案:B解析:A.無盤工作站作為預(yù)防性控制，在防止用戶通過網(wǎng)絡(luò)訪問非法軟件方面完全無效。B.定期檢查硬盤對于發(fā)現(xiàn)加載到網(wǎng)絡(luò)上的非法軟件包最為有效。C.防病毒軟件不一定能發(fā)現(xiàn)非法軟件，除非該軟件包含病毒。D.政策中是提出有關(guān)加載軟件規(guī)則的預(yù)防控制，但無法檢測實際發(fā)生情況。[單選題]33.以下哪些選項是CSO的日常職責(zé)？A)定期審查和評估安全策略B)執(zhí)行用戶應(yīng)用程序和對軟件的測試和評估C)對用戶訪問IT資源進行授權(quán)和撤銷權(quán)限D(zhuǎn))授權(quán)訪問數(shù)據(jù)庫和應(yīng)用程序答案:A解析:一位首席安全官職能是確保企業(yè)安全策略和控制足以防止對企業(yè)財產(chǎn)未授權(quán)的訪問，包括數(shù)據(jù)，程序以及設(shè)備。用戶應(yīng)用程序和其他軟件的測試與評估通常是開發(fā)和維護職員的責(zé)任，對用戶訪問權(quán)限的授權(quán)和撤銷通常是網(wǎng)管或數(shù)據(jù)管理員的職能。數(shù)據(jù)庫和應(yīng)用程序的訪問授權(quán)是數(shù)據(jù)所有者的職責(zé)。[單選題]34.某金融服務(wù)企業(yè)設(shè)有一個小規(guī)模的IT部門，從而需要單個員工身兼數(shù)職。以下哪種做法帶來的風(fēng)險最大?A)開發(fā)人員將代碼提升到生產(chǎn)環(huán)境中。B)業(yè)務(wù)分析人員編寫相關(guān)需求并執(zhí)行功能性測試。C)IT經(jīng)理同時執(zhí)行系統(tǒng)管理工作。D)數(shù)據(jù)庫管理員(DBA)也執(zhí)行數(shù)據(jù)備份。答案:A解析:A.如果開發(fā)人員能進入生產(chǎn)環(huán)境，則存在將未經(jīng)測試的代碼提升至生產(chǎn)環(huán)境中的風(fēng)險。B.安全管理小組主要關(guān)注的是安全狀況的管理，無法決定安全狀況。C.在小規(guī)模的團隊中，只要IT經(jīng)理不同時參與代碼開發(fā)，便允許其執(zhí)行系統(tǒng)管理工作。D.執(zhí)行數(shù)據(jù)備份可以是數(shù)據(jù)庫管理員的部分職責(zé)[單選題]35.下面哪一種方式，能夠最有效的約束雇員只能履行其分內(nèi)的工作？A)應(yīng)用級訪問控制B)數(shù)據(jù)加密C)卸掉雇員計算機上的軟盤和光盤驅(qū)動器D)使用網(wǎng)絡(luò)監(jiān)控設(shè)備答案:A解析:[單選題]36.在對異地備份存儲庫的備份和恢復(fù)進行審計時，下面哪個發(fā)現(xiàn)是信息系統(tǒng)審計員最關(guān)心的A)3個人擁有進入庫房的鑰匙B)紙質(zhì)文檔也保存于異地存儲庫C)保存于異地庫的數(shù)據(jù)文件是同步的D)異地庫位于單獨的設(shè)施中。答案:A解析:選項A、是不正確的，因為超過1個人擁有到庫房的鑰匙可以保證負責(zé)異地備份庫的人員可以休假和輪班。選項B、不正確，因為一名信息系統(tǒng)審計師不應(yīng)該關(guān)注紙質(zhì)文檔是否存儲在異地庫。事實上，像程序性文檔和應(yīng)急計劃副本這些紙質(zhì)文檔更應(yīng)該存放在異地庫。庫房的所在地很重要，但沒有數(shù)據(jù)文件的同步那么重要。[單選題]37.以下哪種情況最適合實施數(shù)據(jù)鏡像作為恢復(fù)策略？A)災(zāi)難容忍度高B)恢復(fù)時間目標高C)恢復(fù)點目標低D)恢復(fù)點目標高答案:C解析:所謂恢復(fù)點目標指的是恢復(fù)數(shù)據(jù)可接受的最近狀態(tài)。如果恢復(fù)點目標很低，那么數(shù)據(jù)鏡像將被用作數(shù)據(jù)恢復(fù)策略；所謂恢復(fù)時間目標就是再難容忍度的一個指標，回復(fù)時間目標越低災(zāi)難容忍度也就越低。[單選題]38.下面哪一項攻擊技術(shù)會因互聯(lián)網(wǎng)防火墻的固有安全漏洞成功?A)對網(wǎng)站發(fā)送過量數(shù)據(jù)包B)網(wǎng)絡(luò)釣魚C)針對加密密碼的字典攻擊D)攔截數(shù)據(jù)包并查看密碼答案:A解析:[單選題]39.數(shù)據(jù)庫管理員（DBA）建議通過非規(guī)范化一些數(shù)據(jù)庫（DB英文全稱datA.base，數(shù)據(jù)庫）來提高性能，這將導(dǎo)致：A)保密性丟失B)增加冗余C)非授權(quán)訪問D)應(yīng)用故障答案:B解析:在關(guān)系數(shù)據(jù)庫中使用和設(shè)計一個規(guī)范化流程可以減少冗余，因此，非規(guī)范化就會增加了冗余。冗余在資源可用方面通常被認為能起到積極的作用，但在數(shù)據(jù)庫環(huán)境下卻被認為有著負面的影響，因為它需要進行額外的不必要的數(shù)據(jù)處理工作。非規(guī)范化由于一些功能原因有時是可以被推薦使用的，但它不應(yīng)該引起保密性丟失、非授權(quán)訪問或者應(yīng)用故障。[單選題]40.支持安全評定／認證需要執(zhí)行的保證任務(wù)，應(yīng)在何時確定：A)在完成必要的修改之后。B)在用戶驗收階段。C)在項目規(guī)劃階段。D)在制定了質(zhì)量保證計劃之后。答案:C解析:[單選題]41.要從網(wǎng)絡(luò)攻擊中恢復(fù)，以下哪項措施最重要?A)建立事故響應(yīng)團隊B)雇傭網(wǎng)絡(luò)取證調(diào)查員C)執(zhí)行業(yè)務(wù)連續(xù)性計劃(BCP)D)保留證據(jù)答案:A解析:A.最好是在網(wǎng)絡(luò)攻擊之前就建立事故響應(yīng)團隊和流程。第一步是啟動事故響應(yīng)團隊，遏制事故并保持業(yè)務(wù)的運轉(zhuǎn)。B.當懷疑受到網(wǎng)絡(luò)攻擊時，應(yīng)動用網(wǎng)絡(luò)取證調(diào)查員來建立警報、抓獲網(wǎng)絡(luò)入侵者，并通過互聯(lián)網(wǎng)對其進行追蹤和跟蹤。只有在確認事故后才可動用網(wǎng)絡(luò)取證專家。C.從網(wǎng)絡(luò)攻擊中恢復(fù)時，最重要的目標是保持業(yè)務(wù)的運轉(zhuǎn)，但大多數(shù)攻擊不要求啟動或使用業(yè)務(wù)連續(xù)性計劃(BCP)。D.企業(yè)的主要目標是保持業(yè)務(wù)運行。在非刑事調(diào)查中，這甚至可能導(dǎo)致證據(jù)丟失[單選題]42.對于災(zāi)難恢復(fù)計劃(DRP)，管理層考慮了兩種方案:方案A:兩個月內(nèi)完全恢復(fù)方案B:八個月內(nèi)完全恢復(fù)。兩種計劃的恢復(fù)點目標相同?？梢灶A(yù)計，計劃B具有更高的:A)停機時間成本B)繼續(xù)運營成本C)恢復(fù)成本。D)穿行性測試成本。答案:A解析:A.由于管理層在方案B中考慮了較長的恢復(fù)時限，因此該方案中包含的停機時間成本可能較高。B.由于方案B的恢復(fù)時間較長，因此，繼續(xù)運營成本成本應(yīng)該會較低。C.由于方案B的恢復(fù)時間較長，因此，恢復(fù)成本應(yīng)該會較低。D.穿行性測試成本不屬于災(zāi)難恢復(fù)的一部分。[單選題]43.以下哪種為控制自我評價方法的屬性？A)廣泛的利益相關(guān)者的參與B)審計師為主控分析C)有限的雇員參與D)策略驅(qū)動答案:A解析:控制自我評價（C、SA、）方法強調(diào)管理和問責(zé)制為發(fā)展和監(jiān)督組織的業(yè)務(wù)流程。C、SA、的屬性包括雇員授權(quán)、持續(xù)改進、廣泛的員工參與管理和培訓(xùn)，所有這些都代表了廣泛的利益相關(guān)者的參與。選B、C、D、是傳統(tǒng)審計方法的屬性。[單選題]44.如下哪個是社交工程攻擊？A)邏輯炸彈B)木馬C)包重放D)網(wǎng)絡(luò)釣魚答案:D解析:網(wǎng)絡(luò)釣魚是通過用戶是電子郵件或者文本信息欺騙他們暴露個人信息的一類社交攻擊。邏輯炸彈和木馬是惡意代碼的變種不是社交攻擊。包重放是在網(wǎng)絡(luò)上的主動攻擊，不是社交攻擊。[單選題]45.從控制角度來說，對信息資產(chǎn)進行分類的主要目標是：A)為應(yīng)分配的訪問控制等級建立準則。B)確保將訪問控制分配到所有信息資產(chǎn)。C)在風(fēng)險評估中為管理人員和審計師提供幫助。D)識別需要根據(jù)損失進行投保的資產(chǎn)。答案:A解析:信息在滿足業(yè)務(wù)目標方面具有不同程度的敏感性和重要性。通過將敏感性和重要性的類別或等級分配給信息資源，管理人員可以為應(yīng)分配的訪問控制等級建立準則。最終用戶管理人員和安全管理員將在各自的風(fēng)險評估過程中使用這些分類，據(jù)此為每份資產(chǎn)分配一個給定的類別。[單選題]46.要確保數(shù)據(jù)庫管理員(DBA)遵守企業(yè)數(shù)據(jù)管理的職務(wù)要求，以下哪項是有效的預(yù)防性控制?A)例外報告B)職責(zé)分離(SoD)C)審查訪問日志和活動D)管理部門監(jiān)督答案:B解析:A.例外報告屬于檢測性控制，用于指示何時在無授權(quán)的情況下執(zhí)行數(shù)據(jù)庫管理員(DBA)活動。B.適當?shù)穆氊?zé)分離(SoD)可以將DBA的活動限制為由數(shù)據(jù)擁有者授權(quán)的活動。SoD可通過要求一個以上的人參與完成任務(wù)，以限制DBA所能進行的活動C.審查訪問日志是為了檢測DBA進行的活動。D.管理部門監(jiān)督DBA活動是為了檢測哪些DBA活動未獲得授權(quán)。[單選題]47.以下哪個選項是針對網(wǎng)絡(luò)的被動攻擊?A)消息修改B)偽裝C)拒絕服務(wù)(DoS)D)流量分析答案:D解析:A.消息修改包括獲取消息、執(zhí)行未授權(quán)的更改或刪除、更改順序或延遲已獲取消息的傳輸。修改數(shù)據(jù)的攻擊是主動攻擊。B.偽裝是一種主動攻擊，這種情況下入侵者使用的身份并非其原始身份。C.拒絕服務(wù)(DoS)僅在連接到互聯(lián)網(wǎng)的計算機被必須處理的數(shù)據(jù)和/或請求淹沒時才會發(fā)生。它是一種主動攻擊D.入侵者可通過確定特定主機之間的流量性質(zhì)(流量分析)，推測出通信的類型[單選題]48.在評估企業(yè)IT項目組合的優(yōu)先級是否適當時，什么應(yīng)是信息系統(tǒng)審計師的最重要考慮事項？A)成本效益分析結(jié)果B)企業(yè)的IT預(yù)算C)業(yè)務(wù)影響分析（BIA)D)企業(yè)的業(yè)務(wù)計劃答案:D解析:[單選題]49.在審查敏感的電子版工作底稿，IS審計師注意到它們沒有被加密。這可能會危及到A)工作底稿版本管理的審計軌跡。B)審計階段的批準。C)對工作底稿的訪問權(quán)限。D)工作底稿的機密性。答案:D解析:A.審計軌跡自身不會影響機密性，卻是要求加密的部分原因。B.審計階段的批準自身不會影響工作底稿的機密性，但是是要求加密的部分原因。C.對工作底稿的訪問權(quán)限應(yīng)僅限于工作需要的人員，但是沒有加密會破壞工作底稿的機密性，而不是對工作底稿的訪問權(quán)限。D.通過加密的方式可保證電子版工作底稿的機密性。[單選題]50.在以下哪個系統(tǒng)開發(fā)階段準備用戶接受性測試計劃？A)可行分析B)需求定義C)實施計劃D)實施后檢查答案:B解析:在需求定義期間，項目小組將會與用戶定義他們準備的目標和功能性需求。此時用戶應(yīng)當與項目小組合作、考慮系統(tǒng)功能確保滿足他們的需要并且整理在案?？尚行苑治鰧τ谟脩舻某浞謪⑴c過早，實施計劃和實施后檢查階段相對過晚。IS審計師應(yīng)當知道計劃的用戶測試點以確保最有效果和效率的。點評：需求階段準備UAT計劃，v型模型[單選題]51.以下哪一項發(fā)現(xiàn)應(yīng)是在審計IT治理和管理的過程中的最大擔(dān)憂？A)該企業(yè)的做法不符合國際IT控制標準B)業(yè)務(wù)戰(zhàn)略委員會會議上無IT代表人員參加C)未記錄IT戰(zhàn)略開發(fā)流程D)未設(shè)首席信息安全官（CISO）職位答案:B解析:[單選題]52.整合性測試（ITF）被認為是一種有效的審計工具，這是因為？A)在應(yīng)用控制審計中是一種成本有效的方法B)使用財務(wù)和信息系統(tǒng)審計師集成他們的審計測試C)將處理輸出結(jié)果和獨立計算出的數(shù)據(jù)相比對D)向信息系統(tǒng)審計師提供了一種分析大量信息的工具答案:C解析:整合性測試之所以被認為是一種有效的審計工具是因為它可以使用相同的程序來比較處理輸出結(jié)果和獨立計算出的數(shù)據(jù)。這包含了在應(yīng)用系統(tǒng)中建立虛擬實體，并依靠該實體來處理測試數(shù)據(jù)和生產(chǎn)數(shù)據(jù)以驗證處理的準確性。點評：ITF的概念[單選題]53.在對資料中心進行審計時,審計師應(yīng)當檢查電壓調(diào)整器是否存在,以保證:A)保護硬設(shè)備免受浪涌損害B)如果主電力被中斷,系統(tǒng)的完整性也可以得到維護C)如果主電力被中斷,可以提供實時的電力供應(yīng)D)保護硬設(shè)備不受長期電力波動的影響答案:A解析:[單選題]54.某小型公司無法隔離開發(fā)流程與變更控制職能之間的職貴。確保經(jīng)過測試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么?A)發(fā)布管理軟件B)手動代碼比對C)生產(chǎn)前回歸測試D)管理層批準變更答案:A解析:A.自動化發(fā)布管理軟件可以通過無需任何手動干預(yù)將代碼轉(zhuǎn)入生產(chǎn)，防止未經(jīng)授權(quán)的變更B.手動代碼比對可以檢測是否已將錯誤的代碼轉(zhuǎn)入生產(chǎn);但代碼比對無法防止移植代碼，這種控制不如使用發(fā)布管理軟件。此外，手動代碼比對并非總是有效，并且需要高技能人才C.回歸測試確保變更不破壞當前的系統(tǒng)功能，或無意間覆蓋先前的變更?；貧w測試無法防止將未經(jīng)測試的代碼轉(zhuǎn)入生產(chǎn)。D.盡管管理層應(yīng)當審批每一項生產(chǎn)變更，但批準無法防止將未經(jīng)測試的代碼移植到生產(chǎn)環(huán)境之中。[單選題]55.下面哪項能最好地保護連接到互聯(lián)網(wǎng)的計算機免受黑客攻擊？A)遠程訪問服務(wù)器B)代理服務(wù)器C)個人防火墻D)密碼生成令牌答案:C解析:個人防火墻是防止黑客攻擊的最好方法，因為可通過規(guī)則對防火墻進行定義，這些規(guī)則描述了允許或不允許的用戶或連接類型?？梢酝ㄟ^互聯(lián)網(wǎng)對遠程訪問服務(wù)器進行映射或掃描，這會產(chǎn)生安全漏洞。代理服務(wù)器能基于互聯(lián)網(wǎng)協(xié)議(IP)地址和端口提供保護：然而，要做到這一點，個人需要很深的專業(yè)知識．并且應(yīng)用程序能夠?qū)⒉煌丝谟糜谄涑绦虻牟煌糠?。密碼生成令牌可幫助加密會話，但不能保護計算機免受黑客攻擊。[單選題]56.生物測量系統(tǒng)的精確度指標是:A)系統(tǒng)響應(yīng)時間B)注冊時間C)輸入文件的大小D)誤接受率答案:D解析:對于生物測量解決方案有3個主要的精確度指標:錯誤拒絕率(FRR)，交叉錯誤率(C、ER,又稱等同錯誤率EER)及錯誤接受率(FAR)。錯誤拒絕率是指合法用戶被錯誤拒絕的頻率。錯誤接受率是指非法用戶被錯誤接受的頻率。交叉錯誤率是指當FRR與FAR相等時的頻率。A、和B、選項都是效率指標。[單選題]57.對有明確項目結(jié)東時間以及固定的測試執(zhí)行時間的項目，以下哪一項是確保實現(xiàn)了充分的測試覆蓋的最佳方法?A)根據(jù)重要性和使用頻率對需求進行測試。B)測試覆蓋率應(yīng)限制在功能性需求之內(nèi)。C)使用腳本執(zhí)行自動測試。D)只重測缺陷修復(fù)，以減少所需的測試數(shù)量。答案:A解析:A.其思路是，通過專注于系統(tǒng)最重要的方面，并專注于用戶可接受的由于缺陷所引發(fā)最大風(fēng)險的領(lǐng)域，來使測試效用最大化。該方法的進一步擴展是，同時考慮需求的技術(shù)復(fù)雜程度，因為復(fù)雜程度會大缺陷的可能性。B.僅測試功能要求的問題在于，可用性和安全性等對系統(tǒng)整體質(zhì)量非常重要的非功能性需求領(lǐng)域遭到忽略。C.通過執(zhí)行自動化測試來提高測試效率是一個不錯的想法。但是，就這種方法本身來說，它無法保證測試覆蓋率的適當目標，因此不是一個有效的替代方案。D.僅重測缺陷修復(fù)會帶來相當大的風(fēng)險，因為這樣將不會檢測缺陷修復(fù)可能導(dǎo)致系統(tǒng)回歸的實例(即在之前工作正常的系統(tǒng)的某些部分引入了錯誤)。因此，良好實踐是在缺陷修復(fù)實施之后執(zhí)行正式的回歸測試[單選題]58.某審計師受邀參加一個關(guān)鍵項目的項目啟動會議。該IS審計師的主要關(guān)注點應(yīng)該是A)是否已分析項目的復(fù)雜性和風(fēng)險B)是否已確定整個項目所需的資C)是否已確定技術(shù)交付成果D)是否已制定好外部各方參與項目所需的合同答案:A解析:A.要取得項目的成功，了解項目的復(fù)雜性和風(fēng)險在整個項目中積極地對其進行管理至關(guān)重要。B需要的資源取決于項目的復(fù)雜C.此時確定技術(shù)交付成果太早D.不是所有的項目要與外部各方簽訂合同[單選題]59.對公司的最終用戶計算系統(tǒng)EUC進行審計時，以下哪一項發(fā)現(xiàn)會是最大的關(guān)切?A)無法監(jiān)控EUC審計日志和活動B)公司的IT系統(tǒng)安全性降低C)遵循的補丁流程不一致D)將錯誤引入財務(wù)報表答案:D解析:[單選題]60.一個數(shù)據(jù)庫管理員檢測到某些表有一個性能問題，這個問題可以通過非正規(guī)化來解決。這種情況會增加以下哪項風(fēng)險？A)并發(fā)訪問。B)死鎖。C)非授權(quán)訪問數(shù)據(jù)。D)數(shù)據(jù)完整性丟失。答案:D解析:規(guī)范化可以把數(shù)據(jù)結(jié)構(gòu)中冗余的數(shù)據(jù)元素移除。關(guān)系數(shù)據(jù)庫中禁用規(guī)范化將造成數(shù)據(jù)冗余和數(shù)據(jù)不一致及隨之而生的數(shù)據(jù)完整性丟失的風(fēng)險。死鎖不會因為不規(guī)范化而產(chǎn)生。對數(shù)據(jù)庫的訪問由用戶權(quán)限定義來控制的，而不受非規(guī)范化的影響。[單選題]61.組織在制定災(zāi)難恢復(fù)計劃時，應(yīng)該最先針對以下哪點制定A)所有信息系統(tǒng)流程B)所有應(yīng)用系統(tǒng)流程C)信息系統(tǒng)經(jīng)理指派的路程D)業(yè)務(wù)經(jīng)理定義的流程優(yōu)先級答案:A解析:業(yè)務(wù)經(jīng)理應(yīng)當在災(zāi)難前需要知道那些系統(tǒng)是關(guān)鍵的。業(yè)務(wù)經(jīng)理的職責(zé)要求定義和維護一個計劃。一旦災(zāi)難發(fā)生將沒有足夠的時間可用。信息系統(tǒng)和應(yīng)用系統(tǒng)流程是用來服務(wù)于組織和幫助一般用戶順利完成他們的工作。[單選題]62.關(guān)于EDI下列說法哪個最正確？A)EDI對內(nèi)部控制或外部控制沒有影響。B)EDI減少內(nèi)部控制。C)EDI加強內(nèi)部控制。D)EDI對內(nèi)部控制沒有影響。答案:B解析:EDI對內(nèi)部控制的影響是審核和批準的較少。[單選題]63.以下哪種方法是對分配給供應(yīng)商員工的訪客無線ID的最佳控制?A)分配一個每日過期的可更新用戶IDB)采用一次性寫入日志來監(jiān)控供應(yīng)商的系統(tǒng)活動C)使用類似于員工使用的用戶ID格式D)確保無線網(wǎng)絡(luò)加密得到正確配置答案:A解析:A.每日過期的可更新用戶D是良好的控制方式，因為它能確保無線訪問每天自動終止并且不會在未經(jīng)授權(quán)的情況下被使用。B.盡管建議在供應(yīng)商員工進行系統(tǒng)工作時監(jiān)控供應(yīng)商活動，但這是一種檢測性控制，因而不如預(yù)防性控制強大。C.用戶ID格式不會改變無線連接的總體安全。D.與無線網(wǎng)絡(luò)加密相關(guān)的控制固然重要;但網(wǎng)絡(luò)訪問問題更加關(guān)鍵。[單選題]64.要確保生產(chǎn)源代碼和目標代碼同步，以下哪種控制最有效?A)版本間的源代碼和目標代碼比較報告B)用庫控制軟件限制對源代碼進行的更改C)限制對源代碼和目標代碼的訪問D)對源代碼和目標代碼的日期和時間戳進行審查答案:D解析:A.使用版本控制軟件和比較源代碼與目標代碼是一個好的做法，但當源代碼與目標代碼是不同版本時，可能不會發(fā)現(xiàn)問題。B.所有的生產(chǎn)庫都應(yīng)通過訪問控制加以保護，這樣可保證源代碼算改。但這不能保證源代碼和目標代碼是基于同一版本的。C.保護所有源代碼和目標代碼(即使在開發(fā)中)是一種良好實踐。但這不能保證源代碼和目標代碼的同步。D.如果對源代碼和目標代碼的日期和時間戳進行審查，則可確保經(jīng)過編譯的源代碼與生產(chǎn)的目標代碼相匹配。這種方法能夠最有效地確保已批準的生產(chǎn)源代碼經(jīng)過編譯并且是正在使用的代碼。[單選題]65.當發(fā)生災(zāi)難時，以下哪一項能保證業(yè)務(wù)交易的有效性A)從當前區(qū)域外的地方持續(xù)每小時1次地傳送交易磁帶B)從當前區(qū)域外的地方持續(xù)每天1次地傳送交易磁帶C)抓取交易以整合存儲設(shè)備D)從當前區(qū)域外的地方實時傳送交易磁帶答案:A解析:保證所有交易的有效性的唯一辦法就是實時傳送交易到當前區(qū)域外的設(shè)備。選A或B不是實時的，所以不能包含全部交易。選C在外部區(qū)域不能保證有效性。[單選題]66.對涉及保密信息的政府項目的服務(wù)提供商進行IS審計時，IS審計師發(fā)現(xiàn)，該服務(wù)提供商已將部分IS工作外包給了其他分包商。以下哪個選項最能確保保護信息機密性的要求都得以滿足?A)分包商的經(jīng)理參加月度委員會會議B)管理層每周審查來自分包商的報告C)取得政府機構(gòu)對外包合同的準許D)對外包給分包商的工作進行定期獨立審計答案:D解析:A.委員會例行會議是監(jiān)控委派任務(wù)的不錯辦法;但是，獨立審查能夠提供更好的保證B.管理層不應(yīng)僅僅依賴分包商自己報告的信息C.取得政府機構(gòu)的準許與保證信息的保密性沒有關(guān)系。D.定期獨立審計可合理保證沒有違反信息保密性的要求。[單選題]67.如果一臺便攜式計算機丟失或被盜，管理人員最關(guān)注的是機密信息是否會暴露。要保護存放在便攜式計算機上的敏感信息，下面哪一條措施是最有效的和最經(jīng)濟的？A)用戶填寫情況簡要介紹B)簽署確認用戶簡要介紹C)可移動資料存儲介質(zhì)D)在存儲介質(zhì)上對資料檔案加密答案:C解析:[單選題]68.以下哪項確保了災(zāi)難事件中所有交易的可用性？A)每小時向異地站點提供交易數(shù)據(jù)磁帶。B)每天向異地站點提供交易數(shù)據(jù)磁帶。C)轉(zhuǎn)存交易到多個存儲裝備。D)實時傳輸交易到異地站點。答案:D解析:確保所有交易的有效性的唯一途徑是將交易信息實時傳輸?shù)揭粋€異地設(shè)備。選項A和B都不是實時的，不可能包括所有交易信息。選項C不能確保異地站點的可用性。[單選題]69.在應(yīng)用開發(fā)過程中，結(jié)合了質(zhì)量保證測試和用戶接受測試。IS審計師在檢測開發(fā)項目時最主要關(guān)注：A)增加維護B)測試沒有適當?shù)奈臋n記錄C)不適當?shù)墓δ苄詼y試D)延遲問題解決答案:C解析:質(zhì)量保障測試和用戶接受度測試結(jié)合的主要風(fēng)險是功能測試可能不夠恰當，選項ABD不如C重要。點評：功能性問題相較而言最為重要[單選題]70.某項審計需要使用總賬(GL)數(shù)據(jù)。IS審計師被授予直接訪問數(shù)據(jù)的權(quán)限，無需請求IT部門提據(jù)。這種方式的主要好處是什么?A)減少為審計提供支持的IT人工工時B)降低在提取過程中出錯的可能性C)讓審計部門擁有更大的靈活性D)更好地保證數(shù)據(jù)的有效性答案:D解析:A.盡管由IS審計師直接提取數(shù)據(jù)可以減少IT人員在支持審計方的工作量，但這種好處不及提高數(shù)據(jù)的有效性重要。B.出錯的風(fēng)險將會增加，因為IS審計師對內(nèi)部數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)庫方面的技術(shù)知識通常了解得都比較廣泛，但不是特別詳細。C.IS審計師在調(diào)整數(shù)據(jù)調(diào)取以滿足各種審計要求時可能會有更大的靈活性;但這不是主要的好處D.如果由IS審計師提取數(shù)據(jù)，可以更好地保證提取標準不會妨礙所的完整性，從而收集到所需的所有數(shù)據(jù)。請求T部門提取數(shù)據(jù)可能會面臨審計師應(yīng)看到的異常情況被除掉的風(fēng)險。此外，如果由IS審計師收集數(shù)據(jù)，則可以了解與各種數(shù)據(jù)表/要素相關(guān)聯(lián)的所有內(nèi)部參考,而這有助于揭示對確保整個審計活動的完整性和準確性至關(guān)重要的要素[單選題]71.下列哪項措施能夠最有效地減少一個設(shè)備捕獲其他設(shè)備信息包的能力？A)過濾器B)交換機C)路由器D)防火墻答案:B解析:交換機是最低級別的網(wǎng)絡(luò)安全設(shè)備，向特定設(shè)備發(fā)送數(shù)據(jù)包，這將減少一個設(shè)備捕獲其他設(shè)備信息包的能力；過濾器根據(jù)目標地址初步簡單分離網(wǎng)絡(luò)流量；路由器根據(jù)發(fā)送者地址、接受者地址和數(shù)據(jù)包類型，允許數(shù)據(jù)包可以或拒絕被訪問；防火墻是計算機和網(wǎng)絡(luò)設(shè)備的集合，用于限制信息流入或流出組織的一種設(shè)備。[單選題]72.以下哪一項可以提供最可靠的證據(jù)來表明離職員工對系統(tǒng)的訪問權(quán)限已被及時終止?A)將離職表格與HR系統(tǒng)中的日期進行比較B)審查硬件資產(chǎn)返回表C)與主管面談證實員工的數(shù)據(jù)得以立即更新D)將離職表格與系統(tǒng)操作日志記錄進行比較答案:D解析:[單選題]73.IS審計師計劃審計一個通過個人計算機使用局域網(wǎng)的客戶信息系統(tǒng)。與使用大型機相比，使用局域網(wǎng)和個人計算機所增加的風(fēng)險，不包括哪一項？A)缺乏程序文件以確保完全捕捉數(shù)據(jù)。B)駐留在個人計算機上的數(shù)據(jù)安全性較差。C)數(shù)據(jù)處理的硬件使用故障所引發(fā)的問題。D)不完整的數(shù)據(jù)傳輸。答案:C解析:個人計算機有與主機相似的硬件組成。[單選題]74.對于為什么要將災(zāi)難恢復(fù)計劃(DRP)中的非關(guān)鍵系統(tǒng)和業(yè)務(wù)持續(xù)計劃(BCP)的測試集成在一起,以下哪項是最好的理由?A)確保DRP與業(yè)務(wù)影響分析(BIA)一致B)基礎(chǔ)設(shè)施恢復(fù)人員可以得到業(yè)務(wù)問題專家的幫助。C)BCP可以假設(shè)存在DRP中并不存在的能力。D)為企業(yè)高級管理人員提供災(zāi)難恢復(fù)能力方面的知識。答案:C解析:A.災(zāi)難恢復(fù)計劃(DRP)應(yīng)與業(yè)務(wù)影響分析(BIA)保持一致，但這對為什么要將DRP中的非關(guān)鍵系統(tǒng)和業(yè)務(wù)持續(xù)計劃(BCP)的測試集成在一起沒有影響。B.基礎(chǔ)設(shè)施恢復(fù)人員將側(cè)重于恢復(fù)構(gòu)成基礎(chǔ)設(shè)施的各種平臺，沒必要讓業(yè)務(wù)問題專家參與其中。C.BCP可以假設(shè)存在DRP中并不存在的能力，例如允許員工在發(fā)生災(zāi)難期間在家辦公。但IT可能無法為這些能力提供足夠的支持(例如，他們不能為大量在家辦公的員工提供支持)。盡管非關(guān)鍵系統(tǒng)非常重要，但DRP中可以沒有這些系統(tǒng)。例如，組織可能使用與內(nèi)部系統(tǒng)之間沒有接口的在線系統(tǒng)。如果使用該系統(tǒng)的業(yè)務(wù)功能屬于關(guān)鍵流程，則應(yīng)對該系統(tǒng)進行測試，但它可以不是DRP的一部分。因此，應(yīng)將DRP和BCP測試集成在一起。D.盡管企業(yè)高級管理人員可能會對災(zāi)難恢復(fù)的好處感興趣，但測試并不是完成這一任務(wù)的最佳方式。[單選題]75.對于有高恢復(fù)時間（RTO）要求的敏感系統(tǒng)，如下哪個恢復(fù)策略是最合適的？A)暖站B)熱站C)冷站D)移動恢復(fù)站答案:C解析:對于容許有較長恢復(fù)期的高回復(fù)時間目標的敏感系統(tǒng)在可接受的成本上可以通過人工方式執(zhí)行恢復(fù)。對于這樣的系統(tǒng)冷站提供了成本效益最佳的解決方案。雖然一個暖站可以提供較好地解決方案，但它不是更適當?shù)?，因為與冷站相比更昂貴。熱站通常使用在低恢復(fù)時間目標的關(guān)鍵應(yīng)用系統(tǒng)上。移動恢復(fù)站不能提供冷站一樣的成本效益并且它是不適用于高恢復(fù)時間目標的系統(tǒng)上。[單選題]76.當企業(yè)完成所有關(guān)鍵業(yè)務(wù)的業(yè)務(wù)流程重建（BPR）后，IS審計師最可能關(guān)注以下哪一項？A)業(yè)務(wù)流程重建前的業(yè)務(wù)流程圖B)業(yè)務(wù)流程重建后的業(yè)務(wù)流程圖C)業(yè)務(wù)流程重建計劃D)持續(xù)改進和監(jiān)控計劃答案:B解析:IS審計師的任務(wù)是識別和確認關(guān)鍵控制被納入到重建流程。選項A是不正確，因為IS審計師必須檢查現(xiàn)在的流程而不是過去的流程。選項C和D也是不正確的，因為他們是業(yè)務(wù)流程重建的一個步驟。點評：BPR之后的結(jié)果是審計師最關(guān)注的[單選題]77.在某大型且復(fù)雜的組織中設(shè)計了一個新業(yè)務(wù)應(yīng)用程序，并且業(yè)務(wù)主管要求基于?按需知密?原則查看各種報告。在以下訪問控制方法中，哪項是實現(xiàn)該要求的最佳方法?A)強制訪問控制B)基于角色的訪問控制C)自主訪問控制D)單點登陸(SSO)答案:B解析:A.基于強制訪問控制(MAC)的訪問控制系統(tǒng)很昂貴，且在大型復(fù)雜的組織中難以實施和維護。B.基于角色的訪問控制根據(jù)崗位角色和職責(zé)限制訪問，是只讓被授權(quán)用戶按需查看報告的最佳方法。C.自主訪問控制(DAC)是由資源的所有人來決定誰可以訪問其資源。多數(shù)訪問控制系統(tǒng)都是DAC。該答案對于本情景不太具體。D.單點登陸(SSO)是用于管理對多個系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序的一種訪問控制技術(shù)。該答案對于本題目不太具體。[單選題]78.以下哪一項資料庫管理員行為不太可能被記錄在檢測性控制日志中？A)刪除一個記錄B)改變一個口令C)泄露一個口令D)改變訪問權(quán)限答案:C解析:[單選題]79.以一哪項功能應(yīng)當由應(yīng)用所有者執(zhí)行，從而確保IS和最終用戶的充分的職責(zé)分工？A)系統(tǒng)分析B)資料訪問控制授權(quán)C)應(yīng)用編程D)資料管理答案:B解析:[單選題]80.在小型組織內(nèi)，充分的職責(zé)分工有些不實際，有個員工兼職作計算機操作員和應(yīng)用程序員，IS審計師應(yīng)推薦如下哪一種控制，以降低這種兼職的潛在風(fēng)險？A)自動記錄開發(fā)（程序/文文件）庫的變更B)增員，避免兼職C)建立適當?shù)牧鞒?程序，以驗證只能實施經(jīng)過批準的變更，避免非授權(quán)的操作D)建立阻止計算機操作員更改程序的訪問控制答案:C解析:[單選題]81.一項應(yīng)用程序開發(fā)工作外包給了離岸供應(yīng)商。以下哪個選項最令I(lǐng)S審計師關(guān)注A)合同中未包括審計權(quán)力條款B)未建立業(yè)務(wù)案例C)沒有源代碼第三方托管協(xié)議D)合同中沒有包括變更管理流程答案:B解析:由于未建立業(yè)務(wù)案例，所以應(yīng)用程序開發(fā)外包的業(yè)務(wù)理由、風(fēng)險和風(fēng)險管理緩解策略可能都無法得到高層管理人員的全面評估和正式批準。這種情況給組織帶來的風(fēng)險最大。沒有審計條款、源代碼托管或變更管理流程，這每一項都代表了對組織的風(fēng)險；但它們都不像缺少業(yè)務(wù)案例的風(fēng)險那樣巨大。點評：業(yè)務(wù)案例需指明項目意義、成本、風(fēng)險等信息，是項目方向的總體指導(dǎo)[單選題]82.信息系統(tǒng)審計師在檢查一個軟件報告時發(fā)現(xiàn)一個實例中，一個放在雇員辦公桌的重要文件被外包的清潔員扔進了垃圾桶。以下哪項是審計員要建議的？A)應(yīng)對組織和保潔機構(gòu)實施更嚴格的控制B)不需要采取任何行動，因為這些事件并沒有在過去發(fā)生過C)一個清潔辦公桌策略應(yīng)該被實施并嚴格強制在組織實施D)一個良好的對所有辦公文件備案的策略應(yīng)該得到實施答案:A解析:一個員工離開，其辦公桌上有重要文件。清潔人員清除它可能會導(dǎo)致對業(yè)務(wù)造成嚴重影響。因此，審計師應(yīng)建議嚴格控制本組織和外包機構(gòu)。這類事件沒有發(fā)生在過去，并不能減少其影響的嚴重性。實施和檢測一個清潔桌面策略只是這個問題的一部分，與清潔機構(gòu)簽訂保密協(xié)議，同時確保清潔人員在清潔過程中該做的和不該做的注意事項的教育，同時也應(yīng)實行相應(yīng)的管制。這里的風(fēng)險不是數(shù)據(jù)流失，認識未授權(quán)數(shù)據(jù)源的數(shù)據(jù)泄露。備份策略并沒有解決，未授權(quán)的信息泄露問題。點評：應(yīng)該加強外包的信息安全管理[單選題]83.在下列哪一種風(fēng)險管理方法中，分擔(dān)風(fēng)險是一個重要因素?A)轉(zhuǎn)移風(fēng)險B)容忍風(fēng)險C)終止風(fēng)險D)處理風(fēng)險答案:A解析:A轉(zhuǎn)移風(fēng)險(例如購買保險)是一種分擔(dān)風(fēng)險的方式B.容忍風(fēng)險是指接受風(fēng)險，但不是分擔(dān)風(fēng)險。C.終止風(fēng)險不涉及分擔(dān)風(fēng)險，因為組織已經(jīng)決定終止與風(fēng)險相關(guān)的流程。D.有幾種處理或控制風(fēng)險的方法，它們可能涉及降低或分擔(dān)風(fēng)險，但作為答案，這不如轉(zhuǎn)移風(fēng)險準確。[單選題]84.開發(fā)一個信息系統(tǒng)安全策略最終是誰的責(zé)任：A)信息系統(tǒng)部門B)安全委員會C)安全管理員D)董事會答案:D解析:通常情況下，設(shè)計信息系統(tǒng)安全策略是高層管理人員或董事會的責(zé)任。信息系統(tǒng)部門負責(zé)策略的執(zhí)行，因為他們沒有制訂策略的權(quán)力。安全委員會在廣泛的由董事會擬定的安全策略中也有職能。安全管理員負責(zé)實施，監(jiān)督和執(zhí)行的安全管理，建立和授權(quán)規(guī)則。點評：最終責(zé)任--董事會[單選題]85.某開發(fā)團隊開發(fā)了一個面向客戶的web應(yīng)用程序，并且目前正在對其進行維護，該程序托管在其區(qū)辦事處而不是中央數(shù)據(jù)中心。此方案中的最大風(fēng)險是A)網(wǎng)站的附加流量將降低區(qū)域辦事處的互聯(lián)網(wǎng)訪問速度。B)開發(fā)團隊可能缺乏管理和維護被托管應(yīng)用程序環(huán)境所需的專業(yè)知識和人員編制。C)區(qū)域辦事處的火患檢測及消防可能達不到主數(shù)據(jù)中心的水平。D)區(qū)域辦事處可能沒有充分保障web服務(wù)器安全的防火墻或網(wǎng)絡(luò)答案:B解析:A.區(qū)域辦事處互聯(lián)網(wǎng)訪問的風(fēng)險沒有web應(yīng)用的不當配置和維護嚴重。B.維護重要的Web應(yīng)用程序要求連續(xù)監(jiān)視和維護，這通常由數(shù)據(jù)中心操作人員來執(zhí)行，而不是由開發(fā)團隊來執(zhí)行。雖然系統(tǒng)開發(fā)人員能夠執(zhí)行計算機操作任務(wù)，但通常不能如計算機操作人員一樣全天候在現(xiàn)場C.區(qū)域辦事處數(shù)據(jù)中心的物理安全應(yīng)足以保護其系統(tǒng)其中許多系統(tǒng)比We應(yīng)用程序更加重要D.區(qū)域辦事處可能確實沒有適合托管、web應(yīng)用程序的網(wǎng)絡(luò)架構(gòu)和基礎(chǔ)設(shè)施但這只是開發(fā)團隊嘗試操作web應(yīng)用程序相關(guān)的風(fēng)險之一。[單選題]86.組織中的多個部門到商定的目標日期為止，尚未實施審計建議事項，誰應(yīng)該解決這種情況?A)外部審計師B)高級管理層C)部門經(jīng)理D)內(nèi)部審計負責(zé)人答案:B解析:[單選題]87.以下哪一項面向?qū)ο蟮募夹g(shù)特征可以提高資料的安全級別？A)繼承B)動態(tài)倉庫C)封裝D)多態(tài)性答案:C解析:[單選題]88.人力資源的副總要求審計師對去年工資單中的超額支付問題進行審查。以下哪項是適用于此情形下的最好的審計技術(shù)？A)測試數(shù)據(jù)B)通用審計軟件C)整合性測試設(shè)施（ITF）D)嵌入式審計模塊答案:B解析:通用審計軟件的特點包括：算數(shù)量化計算、分層、統(tǒng)計分析、序列檢查、重復(fù)性檢查和驗算。通過使用通用審計軟件，審計師可以設(shè)計合適的測試方法來驗算工資單，從而判斷出是否存在超額支付的問題以及對哪些人進行了超額支付。測試數(shù)據(jù)可以對防止超額支付的控制的存在性進行測試，但通常不會發(fā)現(xiàn)以前的具體的錯誤計算。集成測試法和嵌入式審計模塊也無法發(fā)現(xiàn)過去時間段中存在的錯誤。點評：GAS工具是用來進行數(shù)據(jù)對賬的[單選題]89.審計章程應(yīng)該是：A)動態(tài)且經(jīng)常變更，與技術(shù)和審計專業(yè)的變化本質(zhì)保持同步和一致B)清晰地說明審計目標、審計的委托關(guān)系，以及維護和審查內(nèi)部控制中的授權(quán)職責(zé)C)為了取得計劃的審計目標而制定的審計程序的文件D)對審計工作的整體授權(quán)、范圍、職責(zé)的描述答案:D解析:審計章程應(yīng)該說明管理層對于信息系統(tǒng)審計的委托授權(quán)及目標定位情況。審計章程應(yīng)該獲得最高管理層的審批，切不應(yīng)該不停地改變。審計章程不應(yīng)該過于細致，通常通常不包含詳細具體的審計目標或?qū)徲嫵绦颉｜c評：審計章程（D）、審計委托書（B）的概念[單選題]90.IT戰(zhàn)略計劃如果缺少高級管理層的認定，最可能帶來的影響是:A)缺少技術(shù)投資B)缺少系統(tǒng)開發(fā)的方法C)技術(shù)實施與組織目標不一致D)缺少技術(shù)合同控制答案:C解析:組織需要一個管理委員會來確保IT戰(zhàn)略是支持組織目標的。如果缺少信息技術(shù)委員會或委員會不是由高管層組成，暗示著缺少最高管理層的認可。這種情況會增加IT戰(zhàn)略和組織戰(zhàn)略不一致的風(fēng)險。[單選題]91.對于實施安全政策可問責(zé)（可追溯責(zé)任）非常重要。對于系統(tǒng)用戶以下哪種控制在準確的可問責(zé)上最沒有效果？A)可審計的要求。B)口令。C)識別控制。D)認證控制。答案:B解析:口令存在很多問題，容易被猜測，容易被哄騙，容易被竊取，容易被共享。最有效的準則可聞責(zé)控制包括：政策，授權(quán)機制，識別和認證控制，審計痕跡，審計。[單選題]92.在未受保護的通信線路上傳輸數(shù)據(jù)和使用弱口令是一種？A)弱點B)威脅C)可能性D)影響答案:A解析:弱點代表可能被威脅所利用的信息資源的特點。威脅是指造成損害信息資源的潛在的情況或事件?？赡苄源淼陌l(fā)生威脅的可能性，而影響代表結(jié)果，或是威脅利用弱點的結(jié)果。[單選題]93.在審查組織的IT治理流程時，IS審計師發(fā)現(xiàn)公司最近實施了IT平衡記分卡(BSC)A)關(guān)鍵績效指標(KPI)未報告給管理人員，因此管理人員無法確定BSC的有效性。B)IT項目可能受到成本超支的影響。C)可能將誤導(dǎo)性IT績效指標提供給管理人員。D)IT服務(wù)等級協(xié)議(SLA)可能不準確。答案:C解析:A.如果績效指標不可客觀衡量，則最大的風(fēng)險是將誤導(dǎo)性績效結(jié)