CISA考試練習(xí)(習(xí)題卷15)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷15)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.以下哪種控制方法最能有效地保證生產(chǎn)源代碼和目標(biāo)代碼是同步的？A)源代碼和目標(biāo)代碼比較報(bào)告B)嚴(yán)格控制源代碼改變的庫(kù)控制軟件C)嚴(yán)格限制訪問(wèn)源代碼和目標(biāo)代碼D)審查源代碼和目標(biāo)代碼的日期和時(shí)間戳答案:D解析:審查源代碼和目標(biāo)代碼的日期和時(shí)間戳將確保經(jīng)編譯的源代碼與目標(biāo)代碼一致，這是確保經(jīng)批準(zhǔn)的生產(chǎn)源代碼進(jìn)行編譯并被正在使用的最有效的方法。點(diǎn)評(píng)：需要用檢查控制，故比較日期和時(shí)間戳[單選題]2.信息系統(tǒng)審計(jì)員發(fā)現(xiàn)企業(yè)對(duì)USB存儲(chǔ)設(shè)備沒(méi)有使用約束，也沒(méi)有訪問(wèn)使用規(guī)定，對(duì)于系統(tǒng)審計(jì)員以下哪個(gè)選項(xiàng)是最好的推薦？A)使用安全軟件阻止USB端口的數(shù)據(jù)傳輸B)制定一個(gè)使用輕便移動(dòng)設(shè)備的策略C)在數(shù)據(jù)傳輸時(shí)使用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）以確保加密會(huì)話(huà)D)對(duì)所有機(jī)器禁止使用USB接口答案:A解析:最好的解決方式是通過(guò)使用硬件或者軟件方案阻止輕便移動(dòng)媒體的使用。因?yàn)榭赡芄芾砣藛T沒(méi)有考慮使用它們的風(fēng)險(xiǎn)，所以企業(yè)沒(méi)有策略去處理輕便移動(dòng)設(shè)備的使用。由于這些設(shè)備輕便移動(dòng)的屬性，它們是易于放在不合適的地方或丟失。選B不正確，因?yàn)閳?zhí)行一個(gè)策略不是一個(gè)足夠強(qiáng)健阻止使用的方法。如果這是管理人員可以接受的風(fēng)險(xiǎn)指標(biāo)，那么這是正確的答案。管理人員應(yīng)該首先懂得設(shè)備帶來(lái)的風(fēng)險(xiǎn)，并且做出一個(gè)如何控制風(fēng)險(xiǎn)的決定。選項(xiàng)C不正確，因?yàn)閂PN方案不能作用于使用輕便使用媒體上。VPN是被使用確保遠(yuǎn)程問(wèn)專(zhuān)用網(wǎng)絡(luò)的安全方法。選項(xiàng)D不正確，因?yàn)橛脩?hù)需要使用鼠標(biāo)、本地打印機(jī)或者其他合法的設(shè)備，所以禁止使用所有USB.端口不對(duì)。[單選題]3.以下哪項(xiàng)對(duì)成功實(shí)施和維護(hù)安全政策最重要?A)讓所有相關(guān)方熟悉書(shū)面安全政策的框架和目的B)管理人員支持并批準(zhǔn)安全政策的實(shí)施和維護(hù)C)通過(guò)對(duì)任何違反安全規(guī)則的行為實(shí)施處罰以執(zhí)行安全規(guī)則D)通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行、監(jiān)控和實(shí)施安全專(zhuān)員制定的規(guī)則答案:A解析:A.讓所有級(jí)別的管理人員和系統(tǒng)用戶(hù)熟悉書(shū)面安全政策框架和目的，對(duì)于成功實(shí)施和維護(hù)安全策至關(guān)重要。如果一項(xiàng)政策沒(méi)有落實(shí)到日常行為中，便不會(huì)有效。B.毫無(wú)疑問(wèn)，管理人員的支持和承諾很重要，但要成功實(shí)施和維護(hù)安全政策，最重要的是讓用戶(hù)了解安全的重要性。C.政策的執(zhí)行需要處罰措施，但處罰不是成功實(shí)行的關(guān)鍵。D.通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行、監(jiān)督和實(shí)施安全規(guī)則以及對(duì)違反安全規(guī)則的行為實(shí)施處罰很重要,但這仍依賴(lài)于管理人員和用戶(hù)的支持及對(duì)安全重要性的教育。[單選題]4.評(píng)估IT風(fēng)險(xiǎn)被很好的達(dá)到，可以通過(guò)：A)評(píng)估IT資產(chǎn)和IT項(xiàng)目總共的威脅B)用公司的以前的真的損失經(jīng)驗(yàn)來(lái)決定現(xiàn)在的弱點(diǎn)和威脅C)審查可比較的組織公開(kāi)的損失統(tǒng)計(jì)D)審查在審計(jì)報(bào)告中的可識(shí)別的IT控制缺陷答案:A解析:為評(píng)估IT的風(fēng)險(xiǎn)，需要使用的定性或定量風(fēng)險(xiǎn)評(píng)估方法來(lái)評(píng)估IT威脅和弱點(diǎn)。選擇B，C和D都可能是以風(fēng)險(xiǎn)評(píng)估過(guò)程的有用處大的投入，但本身還不夠?；趯?duì)過(guò)去損失的評(píng)估，將不能充分反映公司的IT資產(chǎn)、項(xiàng)目、控制和戰(zhàn)略環(huán)境的必然的變化。評(píng)估丟失的數(shù)據(jù)的范圍和質(zhì)量也可能存在問(wèn)題。不同的組織在他們的IT資產(chǎn)，控制環(huán)境和戰(zhàn)略情況中也存在不同。因此，他們的缺失記錄不能用來(lái)直接評(píng)估組織的IT風(fēng)險(xiǎn)?？刂迫毕菰趯徲?jì)評(píng)估威脅發(fā)生和進(jìn)一步分析評(píng)估威脅發(fā)生的概率中被識(shí)別。根據(jù)審計(jì)的覆蓋范圍，并非所有的關(guān)鍵的IT資產(chǎn)和項(xiàng)目將近期被審計(jì)，并且沒(méi)有對(duì)IT風(fēng)險(xiǎn)戰(zhàn)略進(jìn)行足夠的評(píng)估。[單選題]5.在信息系統(tǒng)審計(jì)期間，審計(jì)師發(fā)現(xiàn)，在向新員工授予計(jì)算機(jī)訪問(wèn)權(quán)限方面出現(xiàn)明顯延遲。應(yīng)首先審查下列哪一項(xiàng)來(lái)確定根本原因？A)現(xiàn)有訪問(wèn)權(quán)限B)關(guān)鍵績(jī)效指標(biāo)（KPIs）C)服務(wù)水平協(xié)議（SLAS）D)當(dāng)前工作流模型答案:D解析:[單選題]6.下列哪一種線路介質(zhì)將給電信網(wǎng)絡(luò)提供最佳安全性？A)寬帶網(wǎng)絡(luò)數(shù)字傳輸B)基帶網(wǎng)絡(luò)C)撥號(hào)D)專(zhuān)線答案:A解析:專(zhuān)線為了專(zhuān)門(mén)的用戶(hù)和組織被分開(kāi)設(shè)置。因?yàn)闆](méi)有線路共享或者中間接入點(diǎn)，電信信息的截取和中斷的風(fēng)險(xiǎn)比較低。[單選題]7.一家企業(yè)允許其員工使用個(gè)人移動(dòng)設(shè)備進(jìn)行工作,以下哪一項(xiàng)最能保持信息安全性而不影響員工隱私?A)在設(shè)備上安裝安全軟件B)防止用戶(hù)添加應(yīng)用程序C)將設(shè)備上的個(gè)人空間與工作環(huán)境分離D)在工作時(shí)間內(nèi)限制設(shè)備用于個(gè)人用途答案:C解析:[單選題]8.哪一個(gè)是IT性能測(cè)量程序的主要目標(biāo)？A)錯(cuò)誤最小化B)收集性能數(shù)據(jù)。C)建立性能基線。D)使性能最優(yōu)。答案:A解析:一它性能測(cè)量程序能用來(lái)將性能最佳化,測(cè)量和處理產(chǎn)品/服務(wù),保證有責(zé)任和預(yù)算決定。將錯(cuò)誤減到最少是性能的一個(gè)方面,但是不性能管理的主要目的。收集性能數(shù)據(jù)是IT測(cè)量處理的一個(gè)階段，而且會(huì)用來(lái)評(píng)估依靠先前確定性能基線的執(zhí)行。[單選題]9.要從網(wǎng)絡(luò)攻擊中恢復(fù)，以下哪項(xiàng)措施最重要？A)簡(jiǎn)歷事故應(yīng)對(duì)團(tuán)隊(duì)B)動(dòng)用網(wǎng)絡(luò)取證調(diào)查員C)執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃D)歸檔保險(xiǎn)理賠文件答案:C解析:從網(wǎng)絡(luò)攻擊中恢復(fù)的首要關(guān)鍵步驟是執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，以具有成本效益的方式快速回復(fù)關(guān)鍵系統(tǒng)、流程和數(shù)據(jù)。在發(fā)生網(wǎng)絡(luò)攻擊之前，事故應(yīng)對(duì)管對(duì)就應(yīng)存在。當(dāng)懷疑收到網(wǎng)絡(luò)攻擊時(shí)，應(yīng)動(dòng)用網(wǎng)絡(luò)取證調(diào)查員來(lái)簡(jiǎn)歷警報(bào)、抓獲網(wǎng)絡(luò)入侵者，并通過(guò)互聯(lián)網(wǎng)對(duì)其進(jìn)行追蹤和跟蹤。采取了上述步驟之后，還可能存在剩余風(fēng)險(xiǎn)，需要組織對(duì)傳統(tǒng)和電子暴露問(wèn)題進(jìn)行投保和理賠。[單選題]10.對(duì)所有的系統(tǒng)除了備份的考慮因素，下列哪一項(xiàng)在提供在線備份系統(tǒng)時(shí)是一個(gè)重要的考慮因素？A)保持系統(tǒng)軟件參數(shù)B)確保定期對(duì)交易日至的卸載C)確保祖父-父親-兒子備份檔案D),保持了重要的數(shù)據(jù)在現(xiàn)場(chǎng)的位置答案:A解析:及時(shí)保存歷史數(shù)據(jù)的一個(gè)安全方法是確保定期卸載交易日至。這種用于在線系統(tǒng)的活動(dòng)是使其他傳統(tǒng)的備份更不切合實(shí)際。[單選題]11.網(wǎng)站證書(shū)的主要目的是A)驗(yàn)證要瀏覽的網(wǎng)站。B)驗(yàn)證瀏覽站點(diǎn)的用戶(hù)。C)阻止黑客瀏覽網(wǎng)站。D)與數(shù)字證書(shū)的目的相同。答案:A解析:A.驗(yàn)證要瀏覽的站點(diǎn)是網(wǎng)站證書(shū)的主要目的。B.用戶(hù)身份認(rèn)證是通過(guò)密碼實(shí)現(xiàn)的，不使用網(wǎng)站證書(shū)。C.網(wǎng)站證書(shū)既不能阻止黑客活動(dòng)，也不會(huì)驗(yàn)證個(gè)人身份。D.網(wǎng)站證書(shū)可用于與數(shù)字證書(shū)相同的目的，但證書(shū)的目的是身份認(rèn)證。[單選題]12.檢查入侵監(jiān)測(cè)系統(tǒng)(IDS)時(shí),IS審計(jì)師最關(guān)注的內(nèi)容是:A)把正常通訊識(shí)別為危險(xiǎn)事件的數(shù)量(誤報(bào))B)系統(tǒng)沒(méi)有識(shí)別出的攻擊事件C)由自動(dòng)化工具生成的報(bào)告和日志D)被系統(tǒng)阻斷的正常通訊流答案:B解析:[單選題]13.一家組織通過(guò)安全的網(wǎng)站在線銷(xiāo)售書(shū)籍和音樂(lè)產(chǎn)品。每隔一小時(shí)都會(huì)轉(zhuǎn)移到會(huì)計(jì)和交付系統(tǒng)進(jìn)行處理。以下哪種控制最能保證在安全網(wǎng)站上處理的銷(xiāo)售業(yè)務(wù)能夠傳輸?shù)浇桓逗蜁?huì)計(jì)系統(tǒng)？A)在銷(xiāo)售系統(tǒng)中每日記錄交易的全部信息。每天都對(duì)銷(xiāo)售系統(tǒng)的全部信息進(jìn)行收集和匯總。B)自動(dòng)對(duì)交易進(jìn)行數(shù)字排序。對(duì)序列進(jìn)行檢查并對(duì)連續(xù)性中斷予以說(shuō)明。C)處理系統(tǒng)檢查重復(fù)的交易號(hào)。如果交易號(hào)出現(xiàn)重復(fù)（該編號(hào)已經(jīng)存在），將拒絕交易。D)使用中心時(shí)間服務(wù)器每隔一小時(shí)對(duì)系統(tǒng)時(shí)間進(jìn)行一次同步。給交易加上日期/時(shí)間戳。答案:B解析:時(shí)刻是說(shuō)明交易完整性的唯一選項(xiàng)，因?yàn)槿魏稳笔У慕灰拙赏ㄟ^(guò)連續(xù)性中斷得以發(fā)現(xiàn)。在銷(xiāo)售系統(tǒng)中匯總交易并沒(méi)有解決從在線系統(tǒng)的數(shù)據(jù)傳輸問(wèn)題，僅僅是涉及到了會(huì)計(jì)系統(tǒng)。檢查重復(fù)是很有效的控制方法；它能保證全部交易都得以記錄，但卻無(wú)法解決銷(xiāo)售交易處理是否完整的問(wèn)題。日期/時(shí)間戳對(duì)說(shuō)明因會(huì)計(jì)和交付部門(mén)而丟失或不完整的交易沒(méi)有幫助。點(diǎn)評(píng)：對(duì)交易編號(hào)排序能夠保障數(shù)據(jù)傳輸?shù)耐陚湫訹單選題]14.下面哪個(gè)選項(xiàng)是應(yīng)用系統(tǒng)控制有效性的最大風(fēng)險(xiǎn)？A)移除手工處理步驟B)不完整的流程手冊(cè)C)雇員間的勾結(jié)D)未解決的規(guī)章制度符合性問(wèn)題答案:A解析:相互勾結(jié)是一種有效的攻擊方式，它可以持續(xù)一段時(shí)間并且很難被識(shí)別，因?yàn)榧词故墙?jīng)過(guò)精心設(shè)計(jì)的應(yīng)用控制也可能被繞過(guò)。其他的選項(xiàng)對(duì)于設(shè)計(jì)很好的應(yīng)用控制不能造成影響。[單選題]15.在測(cè)試數(shù)據(jù)中使用清潔活動(dòng)交易的一個(gè)優(yōu)點(diǎn)是:A)數(shù)據(jù)事務(wù)類(lèi)型可以包括進(jìn)來(lái)B)每個(gè)錯(cuò)誤情況可能被測(cè)試C)沒(méi)有特殊過(guò)程被要求來(lái)訪問(wèn)這些結(jié)果D)測(cè)試事務(wù)是活動(dòng)過(guò)程的代表答案:A解析:測(cè)試數(shù)據(jù)可以代表活動(dòng)進(jìn)程，但是，不是所有事務(wù)類(lèi)別或者錯(cuò)誤條件通過(guò)此方法都可以檢驗(yàn)。[單選題]16.以下哪一項(xiàng)是有效實(shí)施適當(dāng)?shù)臄?shù)據(jù)分類(lèi)的主要益處？A)滿(mǎn)足業(yè)務(wù)需求的能力B)保證敏感數(shù)據(jù)加密C)提高敏感數(shù)據(jù)的準(zhǔn)確性D)管理敏感數(shù)據(jù)的商業(yè)風(fēng)險(xiǎn)答案:A解析:[單選題]17.以下哪一項(xiàng)最有可能確保災(zāi)難恢復(fù)(DR)工作取得成功?A)進(jìn)行桌面演練。B)完成數(shù)據(jù)恢復(fù)。C)批準(zhǔn)恢復(fù)程序。D)承諾適當(dāng)?shù)娜肆Y源。答案:B解析:A.進(jìn)行桌面演練極有幫助，但不能確?；謴?fù)流程工作正常。B.確定備份是否有效的最可靠方法是將其恢復(fù)到系統(tǒng)。應(yīng)當(dāng)至少每年一次進(jìn)行數(shù)據(jù)恢復(fù)測(cè)試，以驗(yàn)證該流程工作正常。C.恢復(fù)程序經(jīng)過(guò)批準(zhǔn)并不能保證能夠成功恢復(fù)數(shù)據(jù)D.盡管具有適當(dāng)?shù)娜肆Y源是合適的，但如果沒(méi)有數(shù)據(jù)，恢復(fù)不會(huì)成功。[單選題]18.以下哪項(xiàng)可以最好地描述在IS審計(jì)的規(guī)劃階段執(zhí)行評(píng)估的目的?A)確定適當(dāng)?shù)娜肆π枨?，以完成IS審計(jì)B)提供能夠涵蓋所有重要項(xiàng)目的合理保證C)確定執(zhí)行IS審計(jì)所需的技能D)制定審計(jì)程序和流程，以執(zhí)行IS審計(jì)答案:B解析:A.風(fēng)險(xiǎn)評(píng)估并不能直接影響人力需求。B.風(fēng)險(xiǎn)評(píng)估有助于使審計(jì)流程側(cè)重于審計(jì)范圍風(fēng)險(xiǎn)最高的領(lǐng)域。合理保證的概念同樣非常重要C.風(fēng)險(xiǎn)評(píng)估并不能確定執(zhí)行IS審計(jì)所需的技能。D.風(fēng)險(xiǎn)評(píng)估并不用于制定審計(jì)程序和流程。[單選題]19.為了確定哪些用戶(hù)有權(quán)進(jìn)入享有特權(quán)的監(jiān)控態(tài)，IS審計(jì)人員應(yīng)該檢查以下哪一項(xiàng)？A)系統(tǒng)訪問(wèn)日志文件B)被啟動(dòng)的訪問(wèn)控制軟件參數(shù)C)訪問(wèn)控制違犯日志D)系統(tǒng)配置文件中所使用的控制選項(xiàng)答案:D解析:[單選題]20.下列業(yè)務(wù)連續(xù)性計(jì)劃的哪一部分需要首先在業(yè)務(wù)影響分析中被識(shí)別。A)組織風(fēng)險(xiǎn)，如單點(diǎn)失效和基礎(chǔ)設(shè)施風(fēng)險(xiǎn)B)關(guān)鍵業(yè)務(wù)流程的威脅C)確定關(guān)鍵業(yè)務(wù)的恢復(fù)優(yōu)先級(jí)D)恢復(fù)業(yè)務(wù)的資源分析答案:C解析:關(guān)于業(yè)務(wù)的恢復(fù)優(yōu)先級(jí)是首先需要確認(rèn)的，組織風(fēng)險(xiǎn)應(yīng)該在關(guān)鍵業(yè)務(wù)威脅之后緊接著確認(rèn)，業(yè)務(wù)重新開(kāi)始的資源應(yīng)該在之后提及。[單選題]21.在審計(jì)過(guò)程中S車(chē)計(jì)師注意到某個(gè)中等規(guī)模組織的信息技術(shù)部門(mén)不具備單獨(dú)的鳳險(xiǎn)管理職能，并且該組織的運(yùn)營(yíng)風(fēng)險(xiǎn)文檔中僅包含幾類(lèi)泛泛而談的信息技術(shù)險(xiǎn)。在這種情況下，以下哪個(gè)選項(xiàng)是最適當(dāng)?shù)慕ㄗh?A)創(chuàng)建一個(gè)IT風(fēng)險(xiǎn)管理部門(mén)，并且在外部風(fēng)險(xiǎn)管理專(zhuān)家的幫助下建立一個(gè)風(fēng)險(xiǎn)框架。B)使用通用的行業(yè)標(biāo)準(zhǔn)輔助程序?qū)F(xiàn)有風(fēng)險(xiǎn)文檔分為多個(gè)單獨(dú)的風(fēng)險(xiǎn)類(lèi)型，以便更易于處理。C)無(wú)需任何建議，因?yàn)楫?dāng)前的方法適合于中等規(guī)模的組織。D)建立定期召開(kāi)IT風(fēng)險(xiǎn)管理會(huì)議的制度以識(shí)別和評(píng)估風(fēng)險(xiǎn)，并且創(chuàng)建一個(gè)緩解計(jì)劃以投入該組織的風(fēng)險(xiǎn)管理流程。答案:D解析:A.中等規(guī)模的組織通常不會(huì)設(shè)立單獨(dú)的信息技術(shù)風(fēng)險(xiǎn)管理部門(mén)。此外，這些風(fēng)險(xiǎn)通常是很容易處理的，因此無(wú)需外部幫助。B.行業(yè)標(biāo)準(zhǔn)僅適用于常見(jiàn)風(fēng)險(xiǎn)，因此不能解決某個(gè)組織在特定情況下的問(wèn)題。不在組織內(nèi)進(jìn)行詳細(xì)地評(píng)估，將不會(huì)發(fā)現(xiàn)具體的風(fēng)險(xiǎn)類(lèi)型。將一個(gè)風(fēng)險(xiǎn)狀況分為多個(gè)風(fēng)險(xiǎn)狀況不足以管理IT風(fēng)險(xiǎn)。C.審計(jì)師應(yīng)建議實(shí)行正式的IT風(fēng)險(xiǎn)管理，因?yàn)闆](méi)有負(fù)責(zé)任的風(fēng)險(xiǎn)管理是組織的一種隱患D.定期召開(kāi)信息技術(shù)風(fēng)險(xiǎn)管理會(huì)議是在中等規(guī)模的組織中確定和評(píng)估信息技術(shù)相關(guān)風(fēng)險(xiǎn)、解決相應(yīng)的管理責(zé)任問(wèn)題以及保持風(fēng)險(xiǎn)登記和緩解計(jì)劃處于最新?tīng)顟B(tài)的最佳方法。[單選題]22.在一個(gè)數(shù)據(jù)中心下面哪種方式抑制起火是最有效并合乎環(huán)境公益要求的方式？A)，哈龍氣體B)，濕管灑水器C)，干管灑水器D)，二氧化碳?xì)怏w答案:A解析:水灑水器，具有自動(dòng)電源堵系統(tǒng)，被接受為有效率的，因?yàn)樗麄兛梢栽O(shè)置為自動(dòng)釋放，沒(méi)有生命威脅，和水是環(huán)保。灑水滅火系統(tǒng)必須干管，以防止泄漏的危險(xiǎn)。哈龍是效率和有效的，因?yàn)樗粫?huì)威脅人的生命，因此，可以設(shè)置為自動(dòng)釋放，但它是對(duì)環(huán)境的破壞和非常昂貴。水是一個(gè)可以接受的中等，但管道應(yīng)該是空白的，以避免滲漏，因此，完整的系統(tǒng)是不是一個(gè)可行的選擇。二氧化碳是接受作為一個(gè)環(huán)境可以接受的氣體，但它是效率較低，因?yàn)樗荒茉O(shè)置為自動(dòng)釋放，在工作人員的網(wǎng)站，因?yàn)樗{到生命。[單選題]23.網(wǎng)站證書(shū)的主要目標(biāo)是：A)將被訪問(wèn)的網(wǎng)站的認(rèn)證B)要訪問(wèn)那個(gè)網(wǎng)站的用戶(hù)的認(rèn)證C)阻止網(wǎng)站被黑客訪問(wèn)D)與電子證書(shū)的目的相同答案:A解析:WEB、證書(shū)的主要目的是鑒別訪問(wèn)的網(wǎng)站。通過(guò)密碼而不是用WEB、網(wǎng)站證書(shū)鑒別用戶(hù)。網(wǎng)站證書(shū)不能阻止黑客也不能鑒別用戶(hù)。[單選題]24.下列哪一項(xiàng)能最有效降低社交工程的發(fā)生？A)安全意識(shí)教育B)增加物理安全措施C)E-mA、il監(jiān)控政策D)入侵檢測(cè)系統(tǒng)答案:A解析:社交工程揭示了人獲得信息和訪問(wèn)權(quán)限的本性和弱點(diǎn)。隨著員工對(duì)安全知識(shí)掌握的越來(lái)越多，減少社交工程發(fā)生成為可能。在大多數(shù)情況下，社交工程事件并不需要入侵者的出現(xiàn)。因此，日益增加的物理安全措施不能阻止入侵。郵件監(jiān)控策略通知用戶(hù)所有組織中的郵件都將被監(jiān)控：但不能從根本上保護(hù)用戶(hù)不受安全事件和入侵的危害。入侵檢測(cè)系統(tǒng)是用來(lái)檢測(cè)無(wú)規(guī)則的或者非正常的交易特征。[單選題]25.通過(guò)以下哪項(xiàng)技術(shù)，黑客能不使用電腦工具或程序得到密碼A)社交工程B)嗅探工具C)后門(mén)D)特洛伊木馬答案:A解析:社交工程通過(guò)對(duì)話(huà)、訪談等方式使用戶(hù)輕率的說(shuō)出他們或其他人的私人信息，從而導(dǎo)致隱私信息泄露。嗅探工具是一種監(jiān)測(cè)網(wǎng)絡(luò)交易的計(jì)算機(jī)工具。后門(mén)是黑客留下的能使用弱點(diǎn)攻擊的計(jì)算機(jī)程序。特洛伊木馬是一段計(jì)算機(jī)程序偽裝代替了實(shí)際的程序，然而，偽裝程序功能未得到授權(quán)，本質(zhì)上是一種惡意行為。[單選題]26.信息安全審計(jì)師檢查用戶(hù)生物身份驗(yàn)證系統(tǒng)時(shí)發(fā)現(xiàn)存在一個(gè)非認(rèn)證人員可以更新存儲(chǔ)生物身份認(rèn)證模板的數(shù)據(jù)庫(kù)服務(wù)器的弱點(diǎn)。以下哪項(xiàng)為控制此項(xiàng)風(fēng)險(xiǎn)的最佳方法？A)KerB、erosB)活體檢測(cè)C)復(fù)合生物識(shí)別方式D)進(jìn)出拍照記錄答案:A解析:KerB、eros是C、/S模式下嚴(yán)格限制的授權(quán)用戶(hù)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的網(wǎng)絡(luò)驗(yàn)證協(xié)議，選B、和C、錯(cuò)誤是因?yàn)榛铙w檢測(cè)和復(fù)合生物識(shí)別主要針對(duì)哄騙和模仿攻擊。數(shù)據(jù)庫(kù)事務(wù)的進(jìn)出拍照記錄是與KerB、eros相反的控制，是預(yù)防性控制。所以答案應(yīng)為：A、[單選題]27.組織通過(guò)外網(wǎng)提供信息給它的供應(yīng)鏈上的合作伙伴和客戶(hù)，下列哪一項(xiàng)是信息系統(tǒng)審計(jì)師在察看防火墻安全架構(gòu)時(shí)候最在意的:A)安全套接層協(xié)議已經(jīng)應(yīng)用在身份認(rèn)證和防火墻的遠(yuǎn)程管理B)防火墻策略是按照變更需求的基礎(chǔ)更新的C)傳入流量被屏蔽，除非這個(gè)傳送類(lèi)型和連接被專(zhuān)門(mén)許可D)防火墻是安置在所有操作系統(tǒng)所有安裝選項(xiàng)的最前端答案:D解析:當(dāng)在所有操作系統(tǒng)頂層布置防火墻的時(shí)候,最大的關(guān)注點(diǎn)就在于能夠破壞防火墻平臺(tái)自身的安全設(shè)置的潛在漏洞的存在、在大多數(shù)環(huán)境中,當(dāng)防火墻被破壞時(shí),這種破壞都是由于底層操作系統(tǒng)的漏洞導(dǎo)致的,而在系統(tǒng)上保持所有安裝選項(xiàng)可用又更增加了漏洞和自我開(kāi)發(fā)的風(fēng)險(xiǎn),對(duì)于防火墻管理使用安全套接字非常重要,因?yàn)榭蛻?hù)和供應(yīng)商的角色會(huì)經(jīng)常變化,因此,每天維護(hù)防火墻策略和屏蔽所有而只允許或許可的通訊輸入是合適的[單選題]28.在網(wǎng)絡(luò)通信中使用用戶(hù)數(shù)據(jù)協(xié)議（UDP）的主要風(fēng)險(xiǎn)是A)數(shù)據(jù)包到達(dá)順序混亂B)通信延遲增加C)與數(shù)據(jù)包廣播不兼容D)錯(cuò)誤更正可能會(huì)減緩處理速度答案:A解析:UDP使用簡(jiǎn)單傳輸模式，沒(méi)有隱式握手例程以提供可靠性、排序和數(shù)據(jù)完整性。所以，UDP提供的服務(wù)不可靠，數(shù)據(jù)包到達(dá)也可能混亂，出現(xiàn)重復(fù)和丟失的情況。但UDP的優(yōu)勢(shì)在于，沒(méi)有錯(cuò)誤檢查會(huì)使延遲時(shí)間減少。時(shí)間敏感型應(yīng)用程序（如在線視頻或音頻）通常使用UDP，因?yàn)樵搮f(xié)議的延遲較少。UDP與數(shù)據(jù)廣播（發(fā)送到本地網(wǎng)絡(luò)上的全部用戶(hù)）和多播（發(fā)送到全部用戶(hù)）兼容。UDP假定應(yīng)用程序中不需要錯(cuò)誤檢查和更正，因此也不會(huì)執(zhí)行，從而避免了網(wǎng)絡(luò)接口級(jí)的處理開(kāi)銷(xiāo)。[單選題]29.組織應(yīng)具有事故響應(yīng)計(jì)劃的主要原因是該計(jì)劃有助于:A)確保在發(fā)生系統(tǒng)中斷后能夠立即恢復(fù)。B)控制與維持災(zāi)難恢復(fù)計(jì)劃(DRP)能力有關(guān)的成本。C)確保在發(fā)生安全漏洞等問(wèn)題時(shí)客戶(hù)能夠立即得到通知。D)最大限度地降低負(fù)面事件的影響。答案:D解析:A.事故響應(yīng)計(jì)劃通常會(huì)涉及可能發(fā)生的眾多問(wèn)題，但并不能取代DRP或業(yè)務(wù)連續(xù)性計(jì)劃(BCP)。DRP(而非事故響應(yīng)計(jì)劃)的主要側(cè)重點(diǎn)是將T系統(tǒng)恢復(fù)到工作狀態(tài)。B.有效的事故響應(yīng)計(jì)劃可以最大限度地降低給組織造成的損失，進(jìn)而最大限度地降低成本，但事故響應(yīng)計(jì)劃的主要目的是最大限度地降低損失。可能的損失包括非財(cái)務(wù)損失，例如公司聲譽(yù)受損C.盡管事故響應(yīng)計(jì)劃包括何時(shí)以及如何就重大事故聯(lián)系客戶(hù)等要素，但該計(jì)劃的主要目的是最大限度地降低影響。D.事故響應(yīng)計(jì)劃有助于最大限度地降低事故的影響，因?yàn)樗峁┝藢?duì)事故的可控響應(yīng)。該計(jì)劃包括以下階段:規(guī)劃、檢測(cè)、評(píng)估、控制、根除、上報(bào)、響應(yīng)、恢復(fù)、報(bào)告、事后審查和經(jīng)驗(yàn)教訓(xùn)審查[單選題]30.在數(shù)據(jù)的機(jī)密性、可靠性和完整性方面，以下哪項(xiàng)可以對(duì)互聯(lián)網(wǎng)業(yè)務(wù)提供最全面的控制?A)安全套接字層(SSL)B)入侵檢測(cè)系統(tǒng)(IDS)C)公鑰基礎(chǔ)架構(gòu)(PKI)D)虛擬私有網(wǎng)絡(luò)(VPN)答案:A解析:A.安全套接字層(SSL)被許多電子商務(wù)應(yīng)用程序用來(lái)建立安全的通信通道，通過(guò)公鑰和對(duì)稱(chēng)加密的結(jié)合使用確保機(jī)密性，通過(guò)哈希消息驗(yàn)證碼(HMAC)確保完整性。B.入侵檢測(cè)系統(tǒng)(IDS)可記錄網(wǎng)絡(luò)活動(dòng)但不用于保護(hù)通過(guò)網(wǎng)絡(luò)的流量。C.公鑰基礎(chǔ)架構(gòu)(PKI)與SSL起使用來(lái)提供安全的通訊，如電子商務(wù)和電子郵件。D.虛擬私有網(wǎng)絡(luò)(VPN)是對(duì)提供機(jī)密性、完整性和身份認(rèn)證(可靠性)的通信通道的通用術(shù)語(yǔ)。VPN可工作在開(kāi)放系統(tǒng)互聯(lián)(OSI)堆棧的不同層上，不一定都是與加密一起使用。SSL可被稱(chēng)為一種VPN[單選題]31.幫助設(shè)計(jì)某個(gè)應(yīng)用程序的信息系統(tǒng)審計(jì)師在接到對(duì)該應(yīng)用程序進(jìn)行審查的任命時(shí),該審計(jì)師應(yīng)該:A)修改審計(jì)范圍B)利用此應(yīng)用程序的知識(shí)完成審計(jì)C)拒絕此次任命以避免任何利益沖突D)告知審計(jì)管理層關(guān)于自己早期參與的情況答案:D解析:[單選題]32.實(shí)施訪問(wèn)控制時(shí)首先需要：A)IS資源分類(lèi)。2B)IS資源標(biāo)記。3C)訪問(wèn)控制列表的創(chuàng)建。4D)IS資源的庫(kù)存。1答案:D解析:實(shí)施訪問(wèn)控制的第一步IS資源的庫(kù)存，這是分類(lèi)的基礎(chǔ)。只有先確定資源的分類(lèi)，才能完成資源的標(biāo)記。只有資源的分類(lèi)有意義，才能創(chuàng)建訪問(wèn)控制列表（ACL)。[單選題]33.機(jī)房中，以下哪項(xiàng)最能被活動(dòng)地板有效地保護(hù):A)計(jì)算機(jī)及服務(wù)器周邊的線纜損壞B)由靜電引起的斷電C)地震D)水災(zāi)答案:A解析:首要理由是有了活動(dòng)地板，電源線和數(shù)據(jù)線可以在地板下通過(guò)。靜電在機(jī)房里應(yīng)該被消除的?；顒?dòng)地板不能消除地震的沖擊。抵御地震是具有防震機(jī)構(gòu)的建筑物。計(jì)算機(jī)設(shè)備需要預(yù)防水災(zāi)。活動(dòng)地板無(wú)論如何不能預(yù)防塔頂管線的漏水。[單選題]34.在多個(gè)重要服務(wù)器的IS審計(jì)過(guò)程中，審計(jì)員想要分析審計(jì)痕跡去發(fā)現(xiàn)用戶(hù)或系統(tǒng)行為的異常。下面哪個(gè)工具是最適合的？A)C、A、SE工具B)嵌入式數(shù)據(jù)收集工具C)啟發(fā)式掃描工具D)趨勢(shì)/差異檢測(cè)工具答案:A解析:趨勢(shì)/差異檢測(cè)工具尋找用戶(hù)或者系統(tǒng)行為中的異常，如，確定重編號(hào)文檔的數(shù)量是否是聯(lián)系的或者是增加的。C、A、SE工具被用來(lái)幫助軟件開(kāi)發(fā)。嵌入（審計(jì)）數(shù)據(jù)收集軟件被用來(lái)取樣和提供產(chǎn)品統(tǒng)計(jì)表。啟發(fā)式掃描工具能被用來(lái)掃描病毒以顯示可能被感染的代碼。[單選題]35.下面哪種加密技術(shù)可以最好的保護(hù)無(wú)線網(wǎng)絡(luò)遭受中間人攻擊？A)128位有線等效協(xié)議B)基于MAC地址的預(yù)共享密鑰C)隨機(jī)生成的預(yù)共享密鑰D)字符型服務(wù)區(qū)標(biāo)識(shí)符答案:A解析:隨機(jī)生成的PSK強(qiáng)于基于Mac的PSK，因?yàn)橛?jì)算機(jī)的MAC地址是一個(gè)固定，而且往往容易被獲得的。WEP的已被證明是一個(gè)非常薄弱的加密技術(shù)，可以在幾分鐘內(nèi)破獲。在無(wú)線網(wǎng)絡(luò)上，SSID以純文本方式廣播。[單選題]36.在審計(jì)一個(gè)已獲得的軟件包時(shí)，IS審計(jì)師已經(jīng)知道這個(gè)軟件購(gòu)買(mǎi)是以互聯(lián)網(wǎng)獲得的信息為基礎(chǔ)，而不是從RFP得到的反饋。此時(shí)，IS審計(jì)師首先應(yīng)該：A)檢測(cè)軟件的完整性是否滿(mǎn)足當(dāng)前硬件的需求B)執(zhí)行漏洞分析C)審計(jì)版權(quán)政策D)確保流程已經(jīng)被批準(zhǔn)答案:D解析:相比規(guī)定流程的違規(guī)程度，IS審計(jì)師應(yīng)當(dāng)首先確保所需的軟件包含業(yè)務(wù)目標(biāo)并且被批準(zhǔn)。其他選項(xiàng)不是IS審計(jì)師首先考慮對(duì)象。它們是發(fā)生在確定用于獲得軟件的流程已被審批之后的步驟。點(diǎn)評(píng)：來(lái)著互聯(lián)網(wǎng)的信息是片面的、不可靠的，應(yīng)確保業(yè)務(wù)流程目標(biāo)被確認(rèn)和批準(zhǔn)[單選題]37.在正式結(jié)束審查前，與受審方舉行會(huì)議的主要目的是:A)確認(rèn)審計(jì)師沒(méi)有忽略任何重要問(wèn)題。B)就審計(jì)發(fā)現(xiàn)達(dá)成一致意見(jiàn)。C)就審計(jì)流程是否得當(dāng)聽(tīng)取反意見(jiàn)。D)測(cè)試最終陳述的結(jié)構(gòu)。答案:B解析:A.閉幕會(huì)議將確定審計(jì)中的任何誤解或錯(cuò)誤，但不會(huì)確定審計(jì)中忽略的任何重要問(wèn)題。B.在正式結(jié)東審查前，與受審方舉行會(huì)議的主要目的是就審計(jì)發(fā)現(xiàn)和管理層反饋達(dá)成一致意。C.閉幕會(huì)議可獲得管理層對(duì)審計(jì)實(shí)施的評(píng)價(jià)，但其目的并非正式審查審計(jì)程序的充分性。D.審計(jì)報(bào)告的結(jié)構(gòu)和陳述遵循公認(rèn)的標(biāo)準(zhǔn)和慣例。閉幕會(huì)議可能指出審計(jì)或陳述中的錯(cuò)誤，但目的不是測(cè)試陳述的結(jié)構(gòu)。[單選題]38.內(nèi)部開(kāi)發(fā)團(tuán)隊(duì)每天都會(huì)將包含個(gè)人識(shí)別信息的生產(chǎn)數(shù)據(jù)副本移至測(cè)試環(huán)境,以下哪一項(xiàng)是緩解所涉及隱私風(fēng)險(xiǎn)的最佳方式?A)獲得客戶(hù)選擇同意的授權(quán)B)在測(cè)試環(huán)境中清理數(shù)據(jù)C)加密數(shù)據(jù)文件D)要求數(shù)據(jù)進(jìn)行脫敏處理后才能投入測(cè)試答案:B解析:[單選題]39.以下哪一項(xiàng)能夠在實(shí)施之前最有效地確保滿(mǎn)足業(yè)務(wù)需求?A)可行性分析B)用戶(hù)驗(yàn)收測(cè)試(UAT)C)實(shí)施后審查D)實(shí)施計(jì)劃答案:B解析:A.可行性分析描述將滿(mǎn)足項(xiàng)目中業(yè)務(wù)和職能要求的關(guān)鍵做法選項(xiàng)，其包括技術(shù)和經(jīng)濟(jì)可行性評(píng)估。可行性分析在項(xiàng)目開(kāi)始時(shí)執(zhí)行。然而，最終的用戶(hù)驗(yàn)收測(cè)試(UAT)在可行性分析之后進(jìn)行，因此價(jià)值更高。B.UAT確保業(yè)務(wù)流程所有者和IT利益相關(guān)方評(píng)估測(cè)試結(jié)果，以保證滿(mǎn)足業(yè)務(wù)需求。C.實(shí)施后申在實(shí)施之后進(jìn)行。D.實(shí)施計(jì)劃正式定義預(yù)期和性能衡量指標(biāo)，以及實(shí)施失敗后的有效恢復(fù)。它并不確保滿(mǎn)足業(yè)務(wù)需求。[單選題]40.下列哪一項(xiàng)是成功貫徹和維護(hù)安全策略最關(guān)鍵的因素？A)所有適當(dāng)團(tuán)隊(duì)對(duì)安全框架和所制定的安全策略目的理解和吸收。B)管理層支持和贊同一個(gè)安全策略的貫徹和維護(hù)。C)有對(duì)任何違背安全規(guī)則進(jìn)行處罰的強(qiáng)制措施。D)安全官通過(guò)訪問(wèn)控制軟件嚴(yán)密執(zhí)行、監(jiān)控和強(qiáng)制規(guī)則的實(shí)施。答案:A解析:系統(tǒng)用戶(hù)對(duì)安全策略的目的和安全框架的理解和掌握是成功貫徹和維護(hù)安全策略的關(guān)鍵。雖然有一個(gè)好的口令管理系統(tǒng)，但是如果系統(tǒng)用戶(hù)把他們的口令寫(xiě)在工作臺(tái)上，口令就沒(méi)有什么價(jià)值了。管理層的支持和允諾無(wú)疑是重要的，但針對(duì)成功執(zhí)行和維護(hù)安全策略，對(duì)用戶(hù)進(jìn)行安全教育無(wú)疑是最重要的。安全官通過(guò)訪問(wèn)控制軟件嚴(yán)密執(zhí)行、監(jiān)控和強(qiáng)制規(guī)則的實(shí)施，對(duì)違反安全規(guī)則的行為進(jìn)行處罰也是需要的，同對(duì)用戶(hù)進(jìn)行安全教育和培訓(xùn)是一致的。[單選題]41.為了獲得一個(gè)組織的規(guī)劃和IT資產(chǎn)投資的有效理解，一個(gè)信息系統(tǒng)審計(jì)師應(yīng)該審查？A)企業(yè)數(shù)據(jù)模型B)IT平衡記分卡（BSC)C)IT組織結(jié)構(gòu)D)歷史財(cái)務(wù)報(bào)表答案:B解析:IT平衡計(jì)分卡是一種工具，通過(guò)傳統(tǒng)的財(cái)務(wù)評(píng)價(jià)補(bǔ)償措施提供了IT目標(biāo)和業(yè)務(wù)，目標(biāo)之間的橋梁，用以衡量客戶(hù)滿(mǎn)意程度，內(nèi)部流程和創(chuàng)新能力。企業(yè)數(shù)據(jù)模型是一個(gè)文件，它定義了一個(gè)組織的數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)如何相互關(guān)聯(lián)的。它是有用的，他并沒(méi)有提供投資信息，IT組織結(jié)構(gòu)提供了一個(gè)在IT實(shí)體的功能和報(bào)告關(guān)系的概述。歷史的財(cái)務(wù)報(bào)表不提供有關(guān)規(guī)劃信息，不夠詳細(xì)來(lái)使得一個(gè)人來(lái)完全讀懂IT資產(chǎn)方面的活動(dòng)。過(guò)去的成本并不一定反應(yīng)價(jià)值，例如資產(chǎn)的數(shù)據(jù)就沒(méi)有體現(xiàn)在賬目張。點(diǎn)評(píng)：BSC是IT與業(yè)務(wù)溝通的有效工具[單選題]42.一名IS審計(jì)師執(zhí)行應(yīng)用程序維護(hù)審計(jì)時(shí)，將審程序變更日志，以便了解:A)程序變更的權(quán)情況。B)當(dāng)前目標(biāo)模塊的創(chuàng)建日期。C)程序的實(shí)際改動(dòng)量。D)當(dāng)前源程序的創(chuàng)建日期。答案:A解析:A.審計(jì)師想保證只有經(jīng)過(guò)授權(quán)才可對(duì)應(yīng)用程序進(jìn)行變更。因此審計(jì)師會(huì)審查程序變更日志以驗(yàn)證所有變更都經(jīng)過(guò)了批準(zhǔn)B.當(dāng)前目標(biāo)模塊的創(chuàng)建日期不會(huì)顯示對(duì)應(yīng)用程序更早的變更。C.審計(jì)師會(huì)審查系統(tǒng)以發(fā)現(xiàn)程序的實(shí)際變更量，但然后需要驗(yàn)證是否所有變更都經(jīng)過(guò)授權(quán)。D.當(dāng)前源程序的創(chuàng)建日期不會(huì)顯示更早的變更。[單選題]43.一個(gè)組織正在考慮連接一臺(tái)基于PC的緊急系統(tǒng)到互聯(lián)網(wǎng)。下面哪一項(xiàng)能提供防止攻擊最大的保護(hù)？A)一個(gè)應(yīng)用層的網(wǎng)關(guān)。B)一個(gè)遠(yuǎn)程訪問(wèn)服務(wù)。C)一個(gè)代理服務(wù)。D)端口掃描。答案:A解析:一個(gè)應(yīng)用級(jí)水平網(wǎng)關(guān)是防止攻擊的最好方法，因?yàn)樗芏x描述使用者、連接的類(lèi)型細(xì)節(jié)規(guī)則、不被允許定義的規(guī)則。它詳細(xì)地分析每個(gè)包裹,不僅經(jīng)過(guò)OSI模型中的四層，而且也分層堆積五到七層,這就意味它評(píng)審每個(gè)比較高水平協(xié)議(HTTP，F(xiàn)TP,SNMP等)。對(duì)于一個(gè)遠(yuǎn)程訪問(wèn)服務(wù)，有一個(gè)在進(jìn)入網(wǎng)絡(luò)之前，需要輸入使用者名稱(chēng)和密碼的裝置(SERVER)。當(dāng)訪問(wèn)私人的網(wǎng)絡(luò)時(shí)這是很好的，但是它能被映射或掃描，從英特網(wǎng)創(chuàng)造安全暴露。代理服務(wù)器能提供基于IP住址和端口的保護(hù)。然而需要一個(gè)真正知道如何去做的人員,并且應(yīng)用軟件可以為程序的不同部分分配不同的端口、有一個(gè)非常特殊的任務(wù)要完成,就是端口掃描工作,但不是去控制INTERNET,或著所有可利用的端口需要控制、例如:PING端口應(yīng)該被鎖定,IP地址可以被應(yīng)用軟件利用和流覽,但不能響應(yīng)PING命令.[單選題]44.當(dāng)鑒別提前一個(gè)項(xiàng)目的完成時(shí)間，需要額外付費(fèi)的活動(dòng)，以下哪項(xiàng)為關(guān)注的：A)活動(dòng)時(shí)間最短B)零松弛時(shí)間（關(guān)鍵路徑）C)最長(zhǎng)完成時(shí)間D)松弛時(shí)間最短者答案:B解析:關(guān)鍵路徑的活動(dòng)時(shí)間比網(wǎng)絡(luò)其他路徑長(zhǎng)。該路徑非常重要，它的長(zhǎng)度是整個(gè)項(xiàng)目完成時(shí)間最短的。在關(guān)鍵路徑上的活動(dòng)具有零松弛時(shí)間，相反，零松弛時(shí)間的活動(dòng)都在關(guān)鍵路徑上。連續(xù)的通過(guò)調(diào)整對(duì)關(guān)鍵路徑上的活動(dòng)，曲線顯示項(xiàng)目總成本與時(shí)間的關(guān)系。點(diǎn)評(píng)：項(xiàng)目期限估算技術(shù)--CPM[單選題]45.某組織具有完善的風(fēng)險(xiǎn)管理流程。以下哪項(xiàng)風(fēng)險(xiǎn)管理實(shí)踐最有可能會(huì)使組織面臨最大的合規(guī)性風(fēng)險(xiǎn)?A)風(fēng)險(xiǎn)降低B)風(fēng)險(xiǎn)轉(zhuǎn)移C)風(fēng)險(xiǎn)避免D)風(fēng)險(xiǎn)緩解答案:B解析:A.風(fēng)險(xiǎn)降低與風(fēng)險(xiǎn)緩解具有相同的意思。風(fēng)險(xiǎn)降低旨在將風(fēng)險(xiǎn)降低到與組織的風(fēng)險(xiǎn)偏好相稱(chēng)的水平。風(fēng)險(xiǎn)降低會(huì)處理風(fēng)險(xiǎn)，而風(fēng)險(xiǎn)轉(zhuǎn)移不一定會(huì)處理合規(guī)性風(fēng)險(xiǎn)。B.風(fēng)險(xiǎn)轉(zhuǎn)移一般解決的是財(cái)務(wù)風(fēng)險(xiǎn)。例如，保單通常用于轉(zhuǎn)移財(cái)務(wù)風(fēng)險(xiǎn)，而合規(guī)性風(fēng)險(xiǎn)會(huì)繼續(xù)存在。C.風(fēng)險(xiǎn)避免讓組織免于顯露給合規(guī)性風(fēng)險(xiǎn)，因?yàn)椴辉偈褂脮?huì)導(dǎo)致固有風(fēng)險(xiǎn)存在的業(yè)務(wù)做法。D.緩解風(fēng)險(xiǎn)仍會(huì)使組織面臨一定程度的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)緩解旨在將風(fēng)險(xiǎn)降低到與組織的風(fēng)險(xiǎn)偏好相稱(chēng)的水平。但風(fēng)險(xiǎn)轉(zhuǎn)移是最佳答案，因?yàn)轱L(fēng)險(xiǎn)緩解會(huì)處理風(fēng)險(xiǎn)，而風(fēng)險(xiǎn)轉(zhuǎn)移則不一定會(huì)處理合規(guī)性風(fēng)險(xiǎn)。[單選題]46.以下哪項(xiàng)可用于雙因素用戶(hù)身份認(rèn)證？A)虹膜加指紋掃描B)終端ID加全球定位系統(tǒng)（GPS）。C)需要用戶(hù)個(gè)人標(biāo)識(shí)號(hào)（PIN）才能使用的智能卡。D)用戶(hù)ID加密碼。答案:C解析:智能卡可標(biāo)明用戶(hù)擁有的東西。在使用時(shí)，通常還會(huì)測(cè)試用戶(hù)所知道的信息，如鍵盤(pán)密碼或個(gè)人標(biāo)識(shí)號(hào)（PIN）。證明用戶(hù)身份通常要求生物識(shí)別，如指紋、虹膜掃描和語(yǔ)音驗(yàn)證。這僅能證明用戶(hù)是誰(shuí)，不屬于雙因素用戶(hù)身份認(rèn)證。GPS接收器只能報(bào)告用戶(hù)的所在位置。使用（用戶(hù)所知道的）ID和密碼是單因素用戶(hù)身份認(rèn)證。[單選題]47.信息系統(tǒng)審計(jì)師在執(zhí)行應(yīng)用控制審查時(shí)應(yīng)當(dāng)評(píng)估：A)滿(mǎn)足業(yè)務(wù)流程的應(yīng)用效率B)發(fā)現(xiàn)的任何控制缺陷暴露的影響C)應(yīng)用支持的業(yè)務(wù)流程D)應(yīng)用的優(yōu)化答案:B解析:一個(gè)應(yīng)用控制的審查涉及應(yīng)用的自動(dòng)化控制的評(píng)價(jià)和對(duì)任何控制缺陷暴露所產(chǎn)生的風(fēng)險(xiǎn)的評(píng)估。其他選項(xiàng)可能是一個(gè)應(yīng)用審計(jì)項(xiàng)目的目標(biāo)，但不是以控制審查為目的的審計(jì)的一部分。點(diǎn)評(píng)：審計(jì)師關(guān)注控制及控制失效造成的風(fēng)險(xiǎn)[單選題]48.一位IS審計(jì)師正在審查某組織的的擴(kuò)展計(jì)劃，該組織要在距離現(xiàn)有設(shè)施約80米處開(kāi)設(shè)一間新辦公室。該計(jì)劃是在新設(shè)施內(nèi)實(shí)施光纖連接，已確定安裝100米長(zhǎng)的5類(lèi)（Cat5）無(wú)屏蔽雙絞線（UTP）電纜，以在兩座建筑物之間建立連接。對(duì)于此擴(kuò)展計(jì)劃，IS審計(jì)師應(yīng)確定的主要風(fēng)險(xiǎn)是什么？A)建筑物之間的鏈路可能無(wú)法滿(mǎn)足長(zhǎng)期業(yè)務(wù)要求。B)光纖電纜的安裝和維護(hù)成本高。C)實(shí)施計(jì)劃可能無(wú)法實(shí)現(xiàn)。D)新建筑物距離現(xiàn)有設(shè)施太近（一次災(zāi)難可能會(huì)破壞兩個(gè)站點(diǎn)）。答案:A解析:將5類(lèi)UTP電纜用于兩座建筑物之間的鏈路可能會(huì)滿(mǎn)足短期帶寬要求，但隨著時(shí)間的推移，額外的新要求可能會(huì)推動(dòng)對(duì)更多帶寬的需求，而UTP可能無(wú)法提供更多帶寬。5類(lèi)UTP電纜在100米范圍內(nèi)的有效帶寬100Mbs。光纖電纜將是該解決方案的最佳選擇。光纖電纜安裝困難且成本高昂；但是，與使用UTP電纜作為建筑物之間的鏈路相比，使用光纖電纜所產(chǎn)生的成本不會(huì)形成重大風(fēng)險(xiǎn)。根據(jù)所提供的情況，計(jì)劃能否實(shí)現(xiàn)并無(wú)問(wèn)題。新建筑物離舊建筑物非常近，一場(chǎng)災(zāi)難破壞兩座建筑物的風(fēng)險(xiǎn)確實(shí)存在，這可能是嚴(yán)重問(wèn)題，但不太可能發(fā)生。[單選題]49.將安全方案作為安全治理框架的一部分實(shí)施的主要好處在于:A)使IT活動(dòng)與IS審計(jì)建議保持一致。B)實(shí)施安全風(fēng)險(xiǎn)管理。C)實(shí)施首席信息安全專(zhuān)員(CISO)的建議。D)降低IT安全的成本答案:B解析:A.安全方案中通常包括IS審計(jì)師的建議、愿景與目標(biāo)，但這些并不是主要的好處。B.實(shí)施安全方案的主要好處是，管理部門(mén)可以對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估、將其降低至適當(dāng)級(jí)別，并對(duì)剩余風(fēng)險(xiǎn)進(jìn)行監(jiān)控C.安全方案中通常包括首席信息安全專(zhuān)員(CISO)的建議、愿景與目標(biāo)，但這些并不是主要收益。D.IT安全的成本可能會(huì)降低，也可能不會(huì)降低[單選題]50.投資顧問(wèn)用電子郵件將定期的新聞簡(jiǎn)報(bào)發(fā)送給客戶(hù)并希望合理保證無(wú)人修改此新聞簡(jiǎn)報(bào)。實(shí)現(xiàn)此目標(biāo)可以通過(guò)：A)使用顧問(wèn)的私鑰加密新聞簡(jiǎn)報(bào)的哈希。B)使用顧問(wèn)的公鑰加密新聞簡(jiǎn)報(bào)的哈希。C)使用顧問(wèn)的私鑰對(duì)文檔進(jìn)行數(shù)字簽名。D)使用顧問(wèn)的私鑰加密新聞簡(jiǎn)報(bào)。答案:A解析:投資顧問(wèn)的目的并不是維護(hù)新聞簡(jiǎn)報(bào)的保密性。目的是確保其到達(dá)接受時(shí)沒(méi)有收到任何修改（即，保持消息完整性）。選項(xiàng)A正確，因?yàn)楣Ｊ峭ㄟ^(guò)顧問(wèn)的私鑰進(jìn)行加密的。接受者可以打開(kāi)新聞簡(jiǎn)報(bào)，則新聞簡(jiǎn)報(bào)在傳輸中遭到更改。選B不可行，因?yàn)橹挥型顿Y顧問(wèn)的私鑰才能將其打開(kāi)。選項(xiàng)C雖然解決了發(fā)送者的身份認(rèn)證問(wèn)題，但未解決消息完整性的問(wèn)題。選項(xiàng)D雖然解決了保密性問(wèn)題，但未解決消息完整性問(wèn)題，因?yàn)槿魏稳硕伎梢垣@得投資顧問(wèn)的公鑰，解密業(yè)務(wù)通訊，將其修改后在發(fā)送給其他人。由于攔截者不能獲得投資顧問(wèn)的私鑰，因此也就不能使用它。任何使用攔截者的私鑰加密的內(nèi)容，僅可以由接受者使用攔截者的公鑰加密。[單選題]51.具有多個(gè)分支機(jī)構(gòu)的某金融機(jī)構(gòu)具有自動(dòng)化控制措施，它要求分支機(jī)構(gòu)經(jīng)理審批超過(guò)一定金額的交易。這種審計(jì)控制屬于哪種類(lèi)型?A)檢測(cè)性B)預(yù)防性C)改正性D)指令性答案:B解析:A.檢測(cè)性控制在事后識(shí)別事件。在本案例中，分支機(jī)構(gòu)經(jīng)理的行動(dòng)可以防止事件發(fā)生。B.讓經(jīng)理負(fù)責(zé)審批超過(guò)一定金額的交易被視為預(yù)防性控制。C.改正性控制用于彌補(bǔ)通過(guò)檢測(cè)性控制發(fā)現(xiàn)的問(wèn)題。在本案例中，分支機(jī)構(gòu)經(jīng)理的行動(dòng)屬于預(yù)防性控制。D.指令性控制是一種人工控制，通常包含指定需采取何種行動(dòng)的政策或程序。在本案例中，是種用于防止事件發(fā)生的自動(dòng)化控制措施。[單選題]52.業(yè)務(wù)持續(xù)計(jì)劃和災(zāi)難恢復(fù)計(jì)劃最主要的目標(biāo)是：A)保護(hù)關(guān)鍵的信息系統(tǒng)資產(chǎn)B)為業(yè)務(wù)的持續(xù)運(yùn)作提供保證C)把企業(yè)的損失降至最低D)保護(hù)人的生命安全答案:A解析:由于人的生命是寶貴的，任何業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃的主要的優(yōu)先事項(xiàng)應(yīng)該是要保護(hù)人。所有其他的優(yōu)先次序都是重要的，但是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃的次要目標(biāo)。[單選題]53.在維護(hù)關(guān)系數(shù)據(jù)庫(kù)時(shí)，關(guān)系數(shù)據(jù)庫(kù)的某個(gè)交易表中的多個(gè)外鍵值己損壞。后果是:A)相關(guān)交易的詳細(xì)信息可能不再與主數(shù)據(jù)關(guān)聯(lián)，導(dǎo)致在處理這些交易時(shí)出錯(cuò)。B)無(wú)法重建丟失信息，除非除懸浮元組，并重新輸入交易C)數(shù)據(jù)庫(kù)將立即停止執(zhí)行并丟失更多信息。D)數(shù)據(jù)庫(kù)將不再接受輸入數(shù)據(jù)。答案:A解析:A.如果交易的外鍵損壞或丟失，應(yīng)用系統(tǒng)通常無(wú)法直接將主數(shù)據(jù)與交易數(shù)據(jù)關(guān)聯(lián).這通常會(huì)導(dǎo)致系統(tǒng)執(zhí)行順序搜索并使處理速度減慢。如果涉及的文件很大，這種減慢將無(wú)法接受。這違反了參照完整性。B.系統(tǒng)可通過(guò)重建表的索引來(lái)恢復(fù)損壞的外鍵。C.外鍵損壞不會(huì)停止程序執(zhí)行。D.外鍵損壞不會(huì)影響數(shù)據(jù)庫(kù)輸入[單選題]54.授權(quán)訪問(wèn)應(yīng)用程序數(shù)據(jù)的責(zé)任的人應(yīng)該是:A)數(shù)據(jù)保管員B)數(shù)據(jù)庫(kù)管理員C)數(shù)據(jù)所有人D)安全主管答案:C解析:數(shù)據(jù)所有者應(yīng)當(dāng)具有對(duì)數(shù)據(jù)和應(yīng)用授權(quán)的權(quán)力和職責(zé)。數(shù)據(jù)保管員職責(zé)僅僅是數(shù)據(jù)的存儲(chǔ)和安全保護(hù)。數(shù)據(jù)庫(kù)管理員的職責(zé)是管理數(shù)據(jù)庫(kù)而安全管理員對(duì)執(zhí)行和維護(hù)信息系統(tǒng)的安全負(fù)責(zé)。數(shù)據(jù)所有者對(duì)數(shù)據(jù)的存在負(fù)有最終的職責(zé)。[單選題]55.一個(gè)IT安全策略的審計(jì)師的首要目標(biāo)是確保：A)他們分布并提供給所有工作人員B)安全和控制策略支持業(yè)務(wù)和IT目標(biāo)C)有一個(gè)功能描述組織結(jié)構(gòu)D)職責(zé)適當(dāng)分離答案:B解析:業(yè)務(wù)方向應(yīng)該是實(shí)現(xiàn)安全的主旋律。因此，一個(gè)IT安全策略的審計(jì)師應(yīng)主要集中在IT以及相關(guān)的安全和控制策略，是否支持業(yè)務(wù)和IT目標(biāo)。評(píng)審策略是否適用于所有客觀存在業(yè)務(wù)，但分布不確保遵守。具有職位和職責(zé)的描述和職責(zé)分離的結(jié)構(gòu)圖的可能性也許被包括在審評(píng)中，但不是一個(gè)安全策略審計(jì)主要目標(biāo)。點(diǎn)評(píng)：符合業(yè)務(wù)要求是策略制度的基礎(chǔ)[單選題]56.一個(gè)審計(jì)員執(zhí)行了一個(gè)防火墻升級(jí)項(xiàng)目的檢查，發(fā)現(xiàn)幾個(gè)端口不是為了業(yè)務(wù)目的開(kāi)放的。其發(fā)現(xiàn)是為了測(cè)試服務(wù)器而開(kāi)放的，并且不會(huì)被在使用。針對(duì)這個(gè)情形，什么是最佳推薦的控制？A)防火墻規(guī)則的改變應(yīng)該在適當(dāng)文檔被改變后進(jìn)行B)測(cè)試服務(wù)器永遠(yuǎn)不要通過(guò)產(chǎn)品墻連接C)信息管理人員應(yīng)該雇傭第三方檢查防火墻規(guī)則并實(shí)施季度入侵測(cè)試D)安全管理員應(yīng)該執(zhí)行定期檢查去校驗(yàn)防火墻規(guī)則答案:D解析:對(duì)于企業(yè)最好最有效的校驗(yàn)防火墻規(guī)則是否正確的方法是執(zhí)行定期自我檢查。雖然文檔化防火墻規(guī)則的改變時(shí)重要的，但是僅有測(cè)試結(jié)果能證明這些防火墻控制規(guī)則是發(fā)揮了適當(dāng)作用的。只要測(cè)試應(yīng)用程序有適當(dāng)?shù)陌踩刂疲诋a(chǎn)品防火墻上執(zhí)行Web應(yīng)用程序測(cè)試的風(fēng)險(xiǎn)是不重要的。雖然第三方檢查能提供防火墻規(guī)則正確的高等級(jí)的保證，但是成本和協(xié)調(diào)問(wèn)題使得這個(gè)方法成為可行程度較低的選項(xiàng)。[單選題]57.以下哪一項(xiàng)是批準(zhǔn)變更審計(jì)章程的最佳職能機(jī)構(gòu)?A)董事會(huì)B)審計(jì)委員會(huì)C)執(zhí)行管理部門(mén)D)內(nèi)部審計(jì)總監(jiān)答案:B解析:A.董事會(huì)不需要批準(zhǔn)審計(jì)章程;最好呈送審計(jì)委員會(huì)批準(zhǔn)。B.審計(jì)委員會(huì)是董事會(huì)的下屬機(jī)構(gòu)。審計(jì)部門(mén)應(yīng)當(dāng)對(duì)審計(jì)委員會(huì)負(fù)責(zé)，井且審計(jì)章程應(yīng)當(dāng)由該委員會(huì)批準(zhǔn)。C.執(zhí)行管理部門(mén)不必批準(zhǔn)審計(jì)章程。審計(jì)委員會(huì)是批準(zhǔn)該章程的最佳職能機(jī)構(gòu)。D.盡管內(nèi)部審計(jì)總監(jiān)可以起草該章程和進(jìn)行修改，但審計(jì)委員會(huì)應(yīng)當(dāng)對(duì)該章程具有最終審批權(quán)[單選題]58.當(dāng)對(duì)一個(gè)組織的內(nèi)部網(wǎng)絡(luò)進(jìn)行滲透測(cè)試時(shí),下列哪些方法最好,使測(cè)試的進(jìn)行在網(wǎng)絡(luò)中未被發(fā)現(xiàn)?A)使用現(xiàn)有的文件服務(wù)器或域控制器的IP地址B)每隔幾分鐘，暫停掃描，讓閾值重置、C)在夜間，當(dāng)沒(méi)有人登錄時(shí)進(jìn)行掃描D)使用多個(gè)掃描工具，因?yàn)槊總€(gè)工具都有不同的特色、答案:A解析:每隔幾分鐘暫停掃描，避免網(wǎng)絡(luò)超負(fù)荷，超過(guò)閾值可能會(huì)向網(wǎng)絡(luò)管理員發(fā)報(bào)警信息。使用服務(wù)器的IP地址，IP地址的沖突會(huì)引注意。進(jìn)行掃描數(shù)小時(shí)后，將增加被發(fā)現(xiàn)的概率。使用不同的工具可以增加的可能性，其中一人會(huì)發(fā)現(xiàn)一個(gè)入侵檢測(cè)系統(tǒng)。[單選題]59.下列哪一個(gè)最能確保服務(wù)器操作系統(tǒng)完整性？A)將服務(wù)器放在安全的位置B)設(shè)置啟動(dòng)密碼C)加固服務(wù)器配置D)執(zhí)行活動(dòng)日志答案:C解析:加固一個(gè)系統(tǒng)的方式是以最安全的方式配置它（安裝最新的安全補(bǔ)丁，恰當(dāng)定義用戶(hù)和管理員的訪問(wèn)授權(quán)，取消不安全的選項(xiàng)和不安裝不用的服務(wù)），來(lái)組織未授權(quán)用戶(hù)獲得執(zhí)行特權(quán)指令，并以此方式控制整個(gè)機(jī)器，損害操作系統(tǒng)的完整。將服務(wù)器放在安全的位置和設(shè)置啟動(dòng)密碼是好的措施，但并不能確保用戶(hù)設(shè)法利用邏輯漏洞和損害操作系統(tǒng)。在這種情況下，活動(dòng)日志只有兩個(gè)弱點(diǎn)，它是偵測(cè)性控制（不是預(yù)防性控制），并且，攻擊者已經(jīng)獲得訪問(wèn)權(quán)，能夠修改日志或使他們無(wú)效。點(diǎn)評(píng)：確保操作系統(tǒng)完整性的方式叫做服務(wù)器加固[單選題]60.IT審計(jì)師評(píng)價(jià)一個(gè)無(wú)線網(wǎng)絡(luò),其最應(yīng)關(guān)注以下哪一項(xiàng)A)使用128-B、it靜態(tài)WEP加密B)使用SSID、廣播C)所有無(wú)線客戶(hù)機(jī)安裝了防病毒軟件D)配置MA、C、訪問(wèn)過(guò)濾控制答案:A解析:SSID、廣播允許使用者收尋可用的無(wú)線網(wǎng)絡(luò)，并無(wú)需授權(quán)即可訪問(wèn)它們。選項(xiàng)AC和D被使用在一個(gè)增強(qiáng)的無(wú)線網(wǎng)絡(luò)中。[單選題]61.使用PERT（項(xiàng)目評(píng)價(jià)和復(fù)核技術(shù)）時(shí)，如果一個(gè)活動(dòng)的樂(lè)觀時(shí)間是A，悲觀時(shí)間是B，最可能時(shí)間是m，期望時(shí)間由下面哪一個(gè)公式表示：A)(b-a)/2B)（a+b）/2C)（a+4m+b）/6D)（4abm）/6答案:C解析:答案C正確，PERT用來(lái)幫助經(jīng)理控制大型復(fù)雜項(xiàng)目。PERT分析包括用概率方法估計(jì)活動(dòng)完成時(shí)間。有三種時(shí)間估計(jì)：樂(lè)觀時(shí)間，最可能的時(shí)間和悲觀時(shí)間。假設(shè)活動(dòng)的時(shí)間服從貝塔概率分布。PERT通過(guò)將樂(lè)觀時(shí)間、悲觀時(shí)間和4倍的最可能的時(shí)間之和除以6來(lái)估計(jì)貝塔分布的均值。[單選題]62.IS審計(jì)師檢查操作系統(tǒng)的配置來(lái)驗(yàn)證控制，應(yīng)查看下列哪個(gè)：A)交易日志B)授權(quán)表C)參數(shù)設(shè)置D)路由表答案:C解析:參數(shù)是軟件在設(shè)備環(huán)境中的定制標(biāo)準(zhǔn)，它是重要的，能夠決定系統(tǒng)如何運(yùn)行。參數(shù)設(shè)置要適合組織的工作量和控制環(huán)境。不恰當(dāng)?shù)貓?zhí)行和/或監(jiān)視操作系統(tǒng)將導(dǎo)致未檢測(cè)到的錯(cuò)誤和損壞正在處理的數(shù)據(jù)，也可能出現(xiàn)非授權(quán)的訪問(wèn)和錯(cuò)誤的系統(tǒng)應(yīng)用日志。交易日志是用來(lái)分析主文件和/或交易文件的交易的。授權(quán)表是用來(lái)驗(yàn)證邏輯訪問(wèn)控制的執(zhí)行，對(duì)審查操作系統(tǒng)的控制幫助不大。路由表不包括操作系統(tǒng)的信息，因此不提供有助于評(píng)估控制的信息。[單選題]63.一家公司采用動(dòng)態(tài)主機(jī)配置協(xié)議。假設(shè)下列情形存在，哪項(xiàng)最值得關(guān)注？A)大多數(shù)員工使用便攜式電腦.B)一個(gè)包過(guò)濾防火墻被使用.C)IP地址范圍小于PC的數(shù)量D)對(duì)網(wǎng)絡(luò)端口的訪問(wèn)沒(méi)有限制答案:A解析:沒(méi)有限制的端口，使任何人都可以連接到內(nèi)部網(wǎng)絡(luò)。其他的選項(xiàng)則不提供公開(kāi)的端口.DHCP向筆記本用戶(hù)提供方便（優(yōu)勢(shì)）。共享的IP地址和防火墻的存在，是一項(xiàng)安全措施。[單選題]64.下列哪項(xiàng)是信息系統(tǒng)指導(dǎo)委員會(huì)的功能？A)監(jiān)控供應(yīng)商的變更控制和測(cè)試B)確保信息處理環(huán)境的職責(zé)分離C)審批和監(jiān)管重大項(xiàng)目，信息系統(tǒng)計(jì)劃和預(yù)算D)聯(lián)系信息系統(tǒng)部門(mén)和最終用戶(hù)答案:C解析:該指導(dǎo)委員會(huì)通常是作為一般評(píng)審委員會(huì)為IS工程提供服務(wù)，而不應(yīng)該為常規(guī)行動(dòng)的，因此，他的職能之一是批準(zhǔn)和監(jiān)督的重大項(xiàng)目，計(jì)劃和預(yù)算的地位。賣(mài)方變更控制是一個(gè)外包的問(wèn)題，并應(yīng)由IT管理來(lái)監(jiān)督。確保信息加工環(huán)境的職責(zé)分離是管理層的責(zé)任。信息系統(tǒng)部門(mén)和最終用戶(hù)之間進(jìn)行聯(lián)絡(luò)是一個(gè)正常的功能，而不是個(gè)別的委員會(huì)。點(diǎn)評(píng)：審批IT項(xiàng)目計(jì)劃和預(yù)算是指導(dǎo)委員會(huì)的典型責(zé)任[單選題]65.對(duì)每個(gè)字符和每一幀都傳輸冗余信息，可以實(shí)現(xiàn)對(duì)錯(cuò)誤的檢測(cè)和校正，這種方法稱(chēng)為：A)回饋錯(cuò)誤控制B)塊求和校驗(yàn)C)轉(zhuǎn)發(fā)錯(cuò)誤控制D)循環(huán)冗余校驗(yàn)答案:C解析:[單選題]66.下列哪種情況會(huì)消弱參與軟件開(kāi)發(fā)項(xiàng)目的信息系統(tǒng)審計(jì)師的獨(dú)立性?A)確定實(shí)施的控制措施的性質(zhì)B)設(shè)計(jì)嵌入審計(jì)模塊程序C)定義最終用戶(hù)需求D)作為項(xiàng)目發(fā)起人的咨詢(xún)專(zhuān)家答案:B解析:[單選題]67.在軟件開(kāi)發(fā)項(xiàng)目中，下面哪個(gè)是對(duì)減少缺陷暴露數(shù)量最有成本效益的建議:A)增加系統(tǒng)測(cè)試的時(shí)間B)實(shí)施正規(guī)的軟件檢查C)增加開(kāi)發(fā)人員D)要求對(duì)所有可交付的項(xiàng)目進(jìn)行簽名確認(rèn)答案:A解析:源代碼和設(shè)計(jì)的檢查是一項(xiàng)經(jīng)過(guò)證實(shí)的軟件質(zhì)量技術(shù)。這種方法的一個(gè)優(yōu)點(diǎn)是:在開(kāi)發(fā)生命周期中傳播之前，缺陷就被識(shí)別出來(lái)。這減少了糾正的成本，因?yàn)閹缀鯖](méi)有什么重復(fù)性的工作。允許更長(zhǎng)時(shí)間的測(cè)試可以發(fā)現(xiàn)更多的缺陷；盡管如此，關(guān)于質(zhì)量問(wèn)題為什么會(huì)發(fā)生以及額外測(cè)試的成本方面卻很少揭示。矯正缺陷的成本將高于它們?cè)陂_(kāi)發(fā)過(guò)程中較早被發(fā)現(xiàn)的成本。開(kāi)發(fā)員工的能力將影響到軟件的質(zhì)量；可是，替換員工是昂貴的、有破壞性的，在缺少有效的質(zhì)量管理流程的情況下，有能力員工的存在并不能保證質(zhì)量。如果簽名者在檢查交付內(nèi)容方面是勤勉的話(huà)，交付簽名可以幫助檢測(cè)缺陷；可是，這很難得到強(qiáng)制執(zhí)行。交付檢查一般不能延伸到與軟件檢查相同的細(xì)節(jié)層次。[單選題]68.下面有幾項(xiàng)保證通信線路連續(xù)性的方法，其中通過(guò)拆分或復(fù)制電纜設(shè)備來(lái)實(shí)現(xiàn)路由網(wǎng)絡(luò)流量的方法稱(chēng)為？A)替換式通訊線路B)分集式通訊線路C)分集式長(zhǎng)途網(wǎng)絡(luò)連接D)最后一公里的電路保護(hù)答案:B解析:分集式通訊線路通過(guò)拆分或復(fù)制電纜設(shè)施實(shí)現(xiàn)路由網(wǎng)絡(luò)流量。這能夠完成不同的和/或復(fù)制電纜護(hù)套。如果使用不同的電纜護(hù)套，電纜可能安裝在同一個(gè)管道中。因此，遭受到同樣的中斷時(shí)，電纜能互為備份。電信運(yùn)營(yíng)商能夠通過(guò)替換式通訊線路復(fù)制設(shè)施，雖然到達(dá)客戶(hù)場(chǎng)所的進(jìn)出電纜可能安裝在同一管道。申請(qǐng)者可以從本地運(yùn)營(yíng)商處獲得分集式通訊線路和替換式通訊線路，包括多重端口的設(shè)施。這類(lèi)租用是費(fèi)時(shí)和昂貴的。替換式通訊線路通過(guò)一個(gè)替換線路來(lái)傳送信息的方法，例如，如銅芯電纜或光纖，正常使用的網(wǎng)絡(luò)不可用后，這涉及到使用不同的網(wǎng)絡(luò)，電路和終端節(jié)點(diǎn)。分集式長(zhǎng)途網(wǎng)絡(luò)連接利用T1線路在多個(gè)長(zhǎng)途運(yùn)營(yíng)商之間建立分集式長(zhǎng)途網(wǎng)絡(luò)連接。以保障某一電信運(yùn)營(yíng)商線路故障后，長(zhǎng)途網(wǎng)絡(luò)暢通。最后一公里的電路保護(hù)采用T1線路、微波和同軸電纜建立多余冗余連接接入到當(dāng)?shù)氐耐ㄐ呕芈?，這使本地通信商發(fā)生災(zāi)難期間，替換本地運(yùn)營(yíng)商的路由設(shè)施，線路還是暢通的。[單選題]69.數(shù)據(jù)分類(lèi)的第一步是:A)確立所有權(quán)B)執(zhí)行重要性分析C)定義訪問(wèn)規(guī)則。D)創(chuàng)建數(shù)據(jù)字典。答案:A解析:A.數(shù)據(jù)分類(lèi)是根據(jù)按執(zhí)行和按需知密原則來(lái)定訪問(wèn)規(guī)則時(shí)的必備步驟。數(shù)據(jù)所有者負(fù)責(zé)定義訪問(wèn)規(guī)則;因此，確立所有權(quán)是數(shù)據(jù)分類(lèi)的第一步。B.重要性分析需要根據(jù)數(shù)據(jù)分類(lèi)，決定數(shù)據(jù)保護(hù)的適當(dāng)?shù)燃?jí)。C.訪問(wèn)規(guī)則是依據(jù)數(shù)據(jù)分類(lèi)制定的。D.數(shù)據(jù)字典的輸入來(lái)自數(shù)據(jù)分類(lèi)流程的結(jié)果。[單選題]70.測(cè)試程序變更管理流程時(shí)，IS審計(jì)師使用的最有效的方法是：A)由系統(tǒng)生成的信息跟蹤到變更管理文檔B)檢查變更管理文檔中涉及的證據(jù)的精確性和正確性C)由變更管理文檔跟蹤到生成審計(jì)軌跡的系統(tǒng)D)檢查變更管理文檔中涉及的證據(jù)的完整性答案:A解析:[單選題]71.要確定有權(quán)使用特定系統(tǒng)資源的人員，IS審計(jì)師應(yīng)審查：A)活動(dòng)列表B)訪問(wèn)控制列表C)登錄ID列表D)密碼列表答案:B解析:訪問(wèn)控制列表是一種授權(quán)表，其中記錄了有權(quán)使用特定系統(tǒng)資源的用戶(hù)及其獲得的訪問(wèn)權(quán)限類(lèi)型。其他選項(xiàng)不會(huì)記錄有權(quán)使用（訪問(wèn)）特定系統(tǒng)資源的用戶(hù)。[單選題]72.交易審計(jì)線索的主要目的是？A)減少存儲(chǔ)介質(zhì)的使用B)確定處理交易責(zé)任和職務(wù)C)有助IS審計(jì)師追蹤交易D)為能力規(guī)劃提供有益的信息答案:B解析:啟用審計(jì)線索有助于建立針對(duì)交易的稽核和責(zé)任追查，啟用審計(jì)線索要占用磁盤(pán)空間，因?yàn)橐杏涗?，交易日志文件要增加，但是不能用于判斷可追加溯性和?zé)任，能力規(guī)劃的目的是有效使用IT資源包含CPU占有率\寬帶\用戶(hù)數(shù)目等。點(diǎn)評(píng)：審計(jì)日志的作用在于追責(zé)[單選題]73.一個(gè)IS審計(jì)員從客戶(hù)的數(shù)據(jù)庫(kù)中導(dǎo)入了數(shù)據(jù)。為確認(rèn)數(shù)據(jù)的完整性，下一步操作應(yīng)該是:A)匹配導(dǎo)入數(shù)據(jù)和原始數(shù)據(jù)的控制總數(shù)B)排序數(shù)據(jù)以確認(rèn)數(shù)據(jù)是否與原始數(shù)據(jù)有相同順序C)比對(duì)打印出的原始數(shù)據(jù)和導(dǎo)入前100條記錄D)用不同的分類(lèi)方式過(guò)濾數(shù)據(jù)并與原始數(shù)據(jù)匹配答案:A解析:下一個(gè)合理的步驟是檢查導(dǎo)入數(shù)據(jù)和源數(shù)據(jù)的總量一致性，因?yàn)檫@樣可以保證導(dǎo)出數(shù)據(jù)的完整性。對(duì)導(dǎo)出數(shù)據(jù)進(jìn)行排序無(wú)法確認(rèn)數(shù)據(jù)的完整性，因?yàn)樵磾?shù)據(jù)未必已進(jìn)行排序類(lèi)。進(jìn)一步說(shuō)，排序不能實(shí)現(xiàn)全量數(shù)據(jù)的完整性檢查。評(píng)價(jià)打印出來(lái)的前100條紀(jì)錄僅僅是檢查這100條紀(jì)錄正確性的過(guò)程。不同分類(lèi)下的數(shù)據(jù)過(guò)濾以及和源數(shù)據(jù)的比對(duì)同樣要建立在導(dǎo)入數(shù)據(jù)與原始數(shù)據(jù)總量比對(duì)的基礎(chǔ)上的。[單選題]74.使用通用串行總線（usb)閃存驅(qū)動(dòng)器將公司機(jī)密數(shù)據(jù)傳輸?shù)疆惖匚恢脮r(shí)，有效的控制是：A)用手提保險(xiǎn)箱運(yùn)送閃存驅(qū)動(dòng)器。B)向管理層保證不會(huì)丟失閃存驅(qū)動(dòng)器。C)要求管理層通過(guò)快遞送交閃存驅(qū)動(dòng)器。D)使用強(qiáng)密含有數(shù)據(jù)的文件夾。答案:D解析:要保護(hù)閃存驅(qū)動(dòng)器上的信息，使用強(qiáng)密匙加密是最安全的方法。如果用手提保險(xiǎn)箱運(yùn)送閃存驅(qū)動(dòng)器，當(dāng)保險(xiǎn)箱被盜或丟失時(shí)，無(wú)法保證信息的安全性。無(wú)論采取什么措施，閃存驅(qū)動(dòng)器丟失的幾率都存在。快遞公司可能會(huì)丟失閃存驅(qū)動(dòng)器，閃存驅(qū)動(dòng)器也有可能被盜。[單選題]75.企業(yè)首席信息官（CIO）擔(dān)心，在軟件項(xiàng)目進(jìn)入到測(cè)試階段后，發(fā)現(xiàn)大量的缺陷使得項(xiàng)目延遲。下列哪個(gè)選項(xiàng)最適合解決這種情況？A)要求所有的測(cè)試任務(wù)都由一個(gè)專(zhuān)門(mén)團(tuán)隊(duì)來(lái)執(zhí)行B)構(gòu)建系統(tǒng)時(shí)以較小、較短的增量進(jìn)行C)采用一個(gè)順序的開(kāi)發(fā)技術(shù)，把測(cè)試類(lèi)型和開(kāi)發(fā)階段綁定起來(lái)D)要求交付所有項(xiàng)目成果時(shí)正式簽字答案:B解析:建立一個(gè)更小更短的增量工作軟件系統(tǒng)作為每一個(gè)增量輸出，能夠在項(xiàng)目的整個(gè)生命周期的早期暴露質(zhì)量問(wèn)題。安排專(zhuān)業(yè)的測(cè)試人員有助于增加測(cè)試效果并可能有力的、較早的暴露嚴(yán)重的缺陷。無(wú)論怎樣，在開(kāi)始測(cè)試以前的項(xiàng)目早期階段，這個(gè)選項(xiàng)并不解決缺陷的基礎(chǔ)性問(wèn)題。一個(gè)順序的開(kāi)發(fā)技術(shù)，比如?V型?模型，是一個(gè)順序的軟件開(kāi)發(fā)方法，比如，項(xiàng)目被視為一個(gè)?需求定義、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試?的順序階段，但是，它不能在測(cè)試開(kāi)始之前的項(xiàng)目早期階段直接定位缺陷所在。正式簽字并不確保簽署者充分理解文檔以及此文檔是否完整。點(diǎn)評(píng)：小版本迭代有助于控制項(xiàng)目的質(zhì)量和進(jìn)度[單選題]76.IS審計(jì)師審查組織的IS災(zāi)難恢復(fù)計(jì)劃，應(yīng)該確認(rèn)計(jì)劃：A)每六個(gè)月進(jìn)行測(cè)試B)定期審查與更新C)通過(guò)CEO審批D)與組織各部門(mén)的領(lǐng)導(dǎo)溝通過(guò)答案:B解析:該計(jì)劃應(yīng)該被在一定時(shí)間間隔內(nèi)進(jìn)行檢查，時(shí)間間隔的多少取決于業(yè)務(wù)的性質(zhì)以及系統(tǒng)和人員的變動(dòng)情況，否則，該計(jì)劃將過(guò)時(shí)并不再有效。計(jì)劃應(yīng)該得到定期測(cè)試，測(cè)試間隔時(shí)間還是要依賴(lài)于企業(yè)性質(zhì)和IS系統(tǒng)的相對(duì)重要性。在不同的情況下，每三個(gè)月或者每一年進(jìn)行測(cè)試都是可能是合適的。盡管災(zāi)難恢復(fù)計(jì)劃需要得到高級(jí)管理層的同意，但是如果其他管理人員有同等權(quán)限或更合適的話(huà)。并不一定非得CEO簽發(fā)該計(jì)劃。對(duì)于一個(gè)純粹IS計(jì)劃，負(fù)責(zé)技術(shù)的主管領(lǐng)導(dǎo)就可以批準(zhǔn)該計(jì)劃；同樣地，雖然業(yè)務(wù)連續(xù)性計(jì)劃很可能需要在整個(gè)組織內(nèi)分發(fā)，但I(xiàn)S災(zāi)難恢復(fù)計(jì)劃通常是個(gè)技術(shù)文檔，僅僅于IS人員和通訊人員有關(guān)系。[單選題]77.評(píng)估為新會(huì)計(jì)應(yīng)用進(jìn)行采購(gòu)的業(yè)務(wù)案例時(shí)，以下哪一項(xiàng)考慮因素最重要?A)應(yīng)用的總擁有成本(TCO)B)實(shí)施應(yīng)用所需要的資源C)對(duì)公司的投資回報(bào)率(ROI)D)安全需求的成本和復(fù)雜度答案:C解析:A.應(yīng)用的總擁有成本(TCO)對(duì)了解短期和長(zhǎng)期資源和預(yù)算需求很重要;但決策應(yīng)當(dāng)依據(jù)此項(xiàng)投資所實(shí)現(xiàn)的效益。因此，投資回報(bào)率(ROI)是最重要的考慮因素。B.實(shí)施應(yīng)用所需要的資源很重要;但決策應(yīng)當(dāng)依據(jù)此項(xiàng)投資所實(shí)現(xiàn)的效益。因此，應(yīng)當(dāng)慎重考投資回報(bào)率(ROI)。C.業(yè)務(wù)案例最重要的方面是建議的投資回報(bào)收益和投資目標(biāo)或指標(biāo)可測(cè)量。在審查業(yè)務(wù)案過(guò)程中，達(dá)成的建議投資回報(bào)率應(yīng)當(dāng)可驗(yàn)證，未作不合理的假設(shè)，并且其實(shí)現(xiàn)可測(cè)量。效益實(shí)現(xiàn)應(yīng)當(dāng)關(guān)注比項(xiàng)目周期更長(zhǎng)遠(yuǎn)的新系統(tǒng)整個(gè)生命周期的總收益和總成本。D.安全系統(tǒng)的成本和復(fù)雜度是重要的考慮因素，但它們需要同時(shí)衡量應(yīng)用的建議收益。因此，ROI更加重要[單選題]78.電子證據(jù)收集風(fēng)險(xiǎn)將最可能被電子郵件的哪種政策所減少？A)銷(xiāo)毀政策B)安全政策C)存檔政策D)審計(jì)政策答案:A解析:隨著一個(gè)好的文檔化電子郵件的政策,訪問(wèn)或檢索不帶機(jī)密的特定電子郵件記錄是可能的。安全及審計(jì)政策不登記記錄查詢(xún)效率,破壞電子郵件可能是一種違法行為。[單選題]79.IT安全風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，審計(jì)師要求IT安全人員參與跟用戶(hù)和業(yè)務(wù)單位的代表進(jìn)行風(fēng)險(xiǎn)識(shí)別的研討會(huì)。審計(jì)師要取得成果和避免今后的沖突，什么是最重要的建議？A)確保IT安全風(fēng)險(xiǎn)評(píng)估有明確定義的范圍B)IT安全人員要求每個(gè)研討會(huì)期間的討論風(fēng)險(xiǎn)評(píng)級(jí)得到批準(zhǔn)C)IT安全人員確定風(fēng)險(xiǎn)等級(jí)D)只選擇普遍接受且以提交最高評(píng)價(jià)的風(fēng)險(xiǎn)答案:A解析:在IT風(fēng)險(xiǎn)評(píng)估應(yīng)該有一個(gè)明確的范圍，以有效地滿(mǎn)足風(fēng)險(xiǎn)是別的目標(biāo)。如果IT風(fēng)險(xiǎn)評(píng)估合理的話(huà)，那么IT風(fēng)險(xiǎn)評(píng)估應(yīng)該包括其他領(lǐng)取的風(fēng)險(xiǎn)評(píng)估。其他的選項(xiàng)涉及風(fēng)險(xiǎn)是如何排名和評(píng)級(jí)，但整個(gè)評(píng)估過(guò)程的成功因素依賴(lài)于確保范圍廣泛性，這個(gè)范圍足以包括一切可實(shí)行的重大風(fēng)險(xiǎn)。如果范圍太廣，風(fēng)險(xiǎn)評(píng)估過(guò)程會(huì)很困難，這可能會(huì)導(dǎo)致將來(lái)的沖突。[單選題]80.在發(fā)現(xiàn)未知惡意攻擊時(shí)，以下哪一項(xiàng)安全測(cè)試技術(shù)最有效？A)沙盒（sandboxing）B)滲透測(cè)試C)漏洞測(cè)試D)逆向工程（reverseengineering)答案:A解析:[單選題]81.作為業(yè)務(wù)持續(xù)計(jì)劃的一部分，一家組織完成了一項(xiàng)業(yè)務(wù)影響分析（BIA）。流程中的下一步是制定：A)業(yè)務(wù)持續(xù)性策略B)測(cè)試與演練計(jì)劃C)用戶(hù)培訓(xùn)方案D)業(yè)務(wù)持續(xù)性計(jì)劃答案:A解析:業(yè)務(wù)持續(xù)性策略是下一階段的工作，因?yàn)樗軌蜃R(shí)別最佳的恢復(fù)方式。在這一階段，業(yè)務(wù)流程的關(guān)鍵性、成本、恢復(fù)需要的時(shí)間以及安全性都需要考慮?；謴?fù)策略和計(jì)劃制定后才是測(cè)試計(jì)劃。只有完成BCP之后，才能制定培訓(xùn)方案。必須在制定BCP之前確定一個(gè)策略。[單選題]82.在一個(gè)商用的B-TO-B網(wǎng)絡(luò)應(yīng)用程序中，為了確保商業(yè)機(jī)密，如下哪個(gè)選項(xiàng)是最好的方法？A)使用單項(xiàng)哈希加密算法B)使用接收的公鑰加密交易數(shù)據(jù)C)在傳輸前數(shù)字化簽名所有交易D)使用發(fā)送者的私鑰簽名所有交易答案:B解析:使用接受者的公鑰加密交易數(shù)據(jù)可以通過(guò)使用非對(duì)稱(chēng)加密提供保密性。接收方使用個(gè)人私鑰解密。單項(xiàng)哈希解密算法提供了完整性，但是不能提供保密性。在傳輸前數(shù)字化簽名所有交易可以提供不可抵賴(lài)性并且證明發(fā)送者，但是不能提供保密性。使用發(fā)送者的私鑰簽名將提供不可抵賴(lài)性并且證明發(fā)送者，但是不能提供保密性。[單選題]83.一套合理有效的信息安全策略最有可能包含以下哪一類(lèi)(控制)程序來(lái)處理可疑的入侵？A)響應(yīng)的B)糾正的C)偵測(cè)的D)監(jiān)控的答案:A解析:一套合理有效的信息安全策略最有可能包含響應(yīng)的(控制)程序來(lái)處理可疑的入侵。糾正的，偵測(cè)的及監(jiān)控的(控制)程序均為信息安全（控制措施）的各個(gè)方面，但是通常不會(huì)被陳述在信息安全策略中。[單選題]84.為信息系統(tǒng)備份文件的異地儲(chǔ)存設(shè)備選擇一個(gè)場(chǎng)所，哪項(xiàng)是最重要的標(biāo)準(zhǔn)？這個(gè)異地設(shè)備必須:A)與數(shù)據(jù)中心物理隔離，以免遭到同樣的風(fēng)險(xiǎn)。B)與計(jì)算機(jī)數(shù)據(jù)中心相同級(jí)別的保護(hù)C)向可靠的第三方外購(gòu)D)配備監(jiān)視設(shè)備答案:A解析:異地存儲(chǔ)場(chǎng)所對(duì)信息系統(tǒng)文件來(lái)說(shuō)是很重要的，而在同一個(gè)場(chǎng)所就不能避免與原始數(shù)據(jù)中心相同的風(fēng)險(xiǎn)。其他的選項(xiàng)都是建立異地場(chǎng)所必需考慮的論點(diǎn)，但它們都不能和場(chǎng)所的選擇一樣關(guān)鍵。[單選題]85.在線交易系統(tǒng)中，數(shù)據(jù)的完整性是指確保交易完成或一點(diǎn)都未完成情況。這個(gè)數(shù)據(jù)完整性的原理被稱(chēng)為：A)孤立性B)連貫性C)原子性D)持久性答案:C解析:原子性的原理是指交易完整完成或交易一點(diǎn)都未完成。如果錯(cuò)誤或中斷出現(xiàn)，所有改變將從這點(diǎn)回退。連貫性確保每個(gè)交易在數(shù)據(jù)庫(kù)的所有完整性。孤立性確保每個(gè)交易孤立與其它交易；而每個(gè)交易僅訪問(wèn)連貫性數(shù)據(jù)庫(kù)的部分內(nèi)容。持久性確保已報(bào)告用戶(hù)的已完成交易，其結(jié)果不因后續(xù)的軟硬件故障而變化。[單選題]86.供應(yīng)商為他們的軟件分發(fā)了修復(fù)安全漏洞的補(bǔ)丁。哪一項(xiàng)應(yīng)該是審計(jì)師在這種情況下舉薦的A)在補(bǔ)丁部署之前評(píng)估影響B(tài))要求供應(yīng)商提供帶有所有補(bǔ)丁的軟件的新的版本C)立刻安裝所有補(bǔ)丁D)以后拒絕和這些供應(yīng)商合作答案:A解析:安裝不定的影響應(yīng)該立刻被評(píng)估而且安裝應(yīng)該基于評(píng)估結(jié)果的基礎(chǔ)上進(jìn)行。不知道會(huì)影響什么就安裝不定會(huì)很容易產(chǎn)生問(wèn)題。帶有所有補(bǔ)丁的新版本的軟件并不總是可用的并且完全安裝可能會(huì)花費(fèi)很多時(shí)間。拒絕跟供應(yīng)商未來(lái)的合作不能解決漏洞問(wèn)題[單選題]87.以下哪項(xiàng)是IS審計(jì)師在審查客戶(hù)端-服務(wù)器環(huán)境中的安全性時(shí)應(yīng)關(guān)注的？A)使用加密技術(shù)保護(hù)數(shù)據(jù)B)使用無(wú)盤(pán)工作站防止未授權(quán)訪問(wèn)。C)允許用戶(hù)直接訪問(wèn)和修改數(shù)據(jù)庫(kù)D)禁用用戶(hù)計(jì)算機(jī)上的軟盤(pán)驅(qū)動(dòng)器。答案:C解析:為了確?？蛻?hù)端-服務(wù)器環(huán)境中的數(shù)據(jù)安全，IS審計(jì)師應(yīng)關(guān)注用戶(hù)直接訪問(wèn)和修改數(shù)據(jù)庫(kù)的能力。這會(huì)影響數(shù)據(jù)庫(kù)中數(shù)據(jù)的完整性。通過(guò)加密來(lái)保護(hù)數(shù)據(jù)有助于數(shù)據(jù)安全性。無(wú)盤(pán)工作站可防止將數(shù)據(jù)復(fù)制到本地磁盤(pán)，一次有助于保持?jǐn)?shù)據(jù)的完整性和機(jī)密性。禁用軟盤(pán)驅(qū)動(dòng)器是一種物理訪問(wèn)控制，可防止將數(shù)據(jù)復(fù)制到磁盤(pán)上，從而有助于保持?jǐn)?shù)據(jù)的機(jī)密性。[單選題]88.某組織正考慮作出大筆投資進(jìn)行技術(shù)升級(jí)。以下哪一項(xiàng)是需要考慮的最重要因素?A)成本分析B)當(dāng)前技術(shù)的安全風(fēng)險(xiǎn)C)與現(xiàn)有系統(tǒng)的兼容性D)風(fēng)險(xiǎn)分析答案:D解析:A.信息系統(tǒng)解決方案應(yīng)當(dāng)具有高的性?xún)r(jià)比，但這不是最重要的方面。B.當(dāng)前技術(shù)的安全風(fēng)險(xiǎn)是風(fēng)險(xiǎn)分析的一部分，其本身并非最重要的因素。C.與現(xiàn)有系統(tǒng)的兼容性是考慮因素之一但新系統(tǒng)可能是不兼容現(xiàn)有系統(tǒng)的一種重大升級(jí)，因此并非最重要的考慮因素。D.在實(shí)施新技術(shù)之前，組織應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，然后將其提交