CISA考試練習(習題卷20)

試卷科目：CISA考試練習CISA考試練習(習題卷20)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.有人擔心在實施單點登錄(SSO)流程后，未經授權訪問的風險可能會增加。為了防止未經授權的訪問，最重要的措施是A)確保所有失敗的身份認證嘗試都得到監(jiān)控。B)定期審查日志文件。C)確保禁用所有無人使用的帳戶。D)強制采用強密碼政策。答案:D解析:A.確保所有失敗的身份認證嘗試都得到監(jiān)控是一種非常好的實踐，但強密碼政策是一種更好的預防性控制。B.審查日志文件可以增加檢出未經授權訪問的可能性，但在防止未經授權訪問方面可能沒有效。C.確保禁用所有無人使用的帳戶非常重要，但強密碼政策是一種更好的預防性控制。D.單點登陸(SSO)有助于大幅提升用戶和T組織的生產效率，因為用戶無需重復輸入用戶ID和密碼。SSO還能夠大幅少因密碼丟失撥打T客戶服務臺電話的數量。SSO或強密碼政策對于任何身份認證系統(tǒng)都非常重要。[單選題]2.要確定向供應商發(fā)出的采購訂單是否已根據授權矩陣取得授權，以下哪種抽樣方法最有效A)變量抽樣B)分層單位平均評估抽樣C)屬性抽樣D)不分層單位平均估計抽樣答案:C解析:屬性抽樣是合規(guī)性測試中使用的方法。在這種場景下，須對控制實務進行評估，因此應采用屬性抽樣來確定采購訂單是否已獲批準。實質性測試中則采用變量抽樣方法，它涉及交易定量方面（如資金價值）的測試。分層單位平均評估抽樣和不分層單位平均估計抽樣則是在變量抽樣中使用。點評：控制是否有效-符合性測試-屬性抽樣[單選題]3.IS審計師與薪資結算人員面談時，發(fā)現(xiàn)該人員的回答與其工作描述和記錄在案的工作流程不符。在此情況下，IS審計師應該:A)斷定控制不適當。B)擴大測試范圍，從而引入實質性測試。C)更多地依賴以往的審計結果。D)暫停審計。答案:B解析:A.僅僅根據與薪資結算人員面談的結果，IS審計師無法收集到足夠的證據以斷定現(xiàn)有的控制是否充分。B.如果針對IS審計師的問題所提供的答案無法從記錄在案的工作流程或工作描述中得到證實，那么IS審計師應擴大控制測試范圍，引入額外的實質性測試。C.更多地依賴以往的審計結果屬于不合適的行為，因為這不能提供證明現(xiàn)有的控制是否足夠的最新信息。D.暫停審計屬于不合適的行為，因為這不能提供證明現(xiàn)有的控制是否足夠的最新信息[單選題]4.在應用程序審計中，IS審計師發(fā)現(xiàn)有幾個問題是由于數據庫中篡改的數據造成的，IS審計師應當建議下面哪一項更正控制措施？A)實施數據備份和恢復B)制定標準并監(jiān)控該標準的遵守程度C)確保只有授權的用戶能更新數據庫D)建立控制機制以處理并行訪問帶來的問題答案:A解析:實施數據備份和恢復程序是糾正性控制措施，因為備份和恢復程序，可以用來回滾數據庫錯誤。定義或者建立標準，屬于預防性控制。監(jiān)控遵循程度屬于檢查性控制。保證只由經過授權的人員能更新數據庫是預防性控制。建立控制措施處理并行訪問問題也是一個預防性控制。[單選題]5.以下哪-項是信息系統(tǒng)審計師對備份程序有效性進行評估的最佳方法?A)審查備份時間表B)與數據所有者進行會談C)檢查備份日志D)評估最近的數據恢復答案:D解析:[單選題]6.網頁和郵件過濾器對一個組織是非常有價值的，因為：A)保護組織不受病毒和與業(yè)務無關的材料的侵襲B)加大員工的表現(xiàn)C)保護組織的聲譽D)保護組織預防法律問題及糾紛答案:A解析:投資于WeB、和電子郵件過濾工具的主要原因是他們顯著的降低了來自于病毒，垃圾郵件，郵件鏈，網上沖浪和娛樂郵件的風險。在某些情況下選擇B、也是正確的，（即，它需要和意識計劃一起實施，使雇員的表現(xiàn)可顯著改善）。然而，在這種情況下，它和選項A、沒有關系。選擇C、和D、是次要的或間接的好處。[單選題]7.基于互聯(lián)網且使用密碼嗅探的攻擊可以：A)使一方的行為看起來像另一方B)對某些交易的內容產生修改C)用于獲得包含專有信息系統(tǒng)的訪問權限D)導致賬單系統(tǒng)和交易處理協(xié)議出現(xiàn)重大問題答案:C解析:使用密碼探嗅攻擊可獲得存儲專有信息系統(tǒng)的訪問權限。使用欺騙攻擊可以使一方的行為看起來像另一方。使用數據修改某些交易的內容。拒付交易可造成賬單系統(tǒng)和交易處理協(xié)議出現(xiàn)重大問題。[單選題]8.下列哪一種方法是最佳實踐，應納入測試災難恢復程序計劃？A)邀請客戶參與B)涉及所有的技術人員C)輪換災難恢復經理D)安裝本地儲存?zhèn)浞荽鸢?C解析:輪換災難恢復經理能夠增加管理人員對災難恢復計劃的經驗。客戶并不需要在每一次都參加。并非所有技術人員都要參加每一次測試。遠程或異地備份是需要的。[單選題]9.以下哪項對應用程序系統(tǒng)的成功實施影響最大?A)原型設計應用程序開發(fā)方法B)符合適用的外部要求C)整體組織環(huán)境D)軟件再工程技術答案:C解析:A.通過用速度更快、允許用戶在短期內查看建議系統(tǒng)工作情況的高層次視圖的開發(fā)工具，原型設計應用程序開發(fā)技術可大幅縮短系統(tǒng)部署時間。任何一種開發(fā)方法對項目成功的影響都是有限的。B.遵守適用的外部要求對順利實施也有影響，但是不如組織的整體環(huán)境影響大。C.組織整體環(huán)境對應用程序系統(tǒng)的順利實施影響最大。它包括T與業(yè)務的一致性，開發(fā)流程的成熟度，和變更控制與其他項目管理工具的使用。D.軟件再工程技術是一個通過提取、重新使用設計和程序組件來更新現(xiàn)有系統(tǒng)的過程。在組織運營方式出現(xiàn)重大變化時，它能夠提供支持。相對于組織的整體環(huán)境，它對應用程序系統(tǒng)的順利實施影響較小。[單選題]10.以下哪一項是用于保護出站內容免遭篡改和竊聽的主要協(xié)議？A)點對點協(xié)議（PPP）B)互聯(lián)網密鑰交換（IKE）C)安全外殼（SSH)D)傳輸層安全（TLS）答案:D解析:[單選題]11.某人力資源（HR）公司在使用通用用戶ID和密碼進行身份認證后，為其客人提供免費公共無線互聯(lián)網訪問。通用ID和密碼可從接待處申請。以下哪些控制措施能最好地解決此問題？A)每周更改一次無線網絡的密碼B)在公共無線網絡和公司網絡之間使用狀態(tài)監(jiān)測防火墻C)將公共無線網絡與公司網絡物理隔開D)在無線網絡中部署入侵監(jiān)測系統(tǒng)（IDS）答案:C解析:更改無線網絡的密碼不能防止未經授權訪問公司網絡，特別是在每周一次的密碼更改間隔之前客人可隨時訪問無線局域網（WLAN）。狀態(tài)檢測防火墻將甄別從無線網路進入公司網絡的所有數據包；但需要審計防火墻的配置，還可能產生防火墻泄露（雖然不太可能）。將無線網絡與公司網絡物理隔離是保護公司網絡免受入侵的最佳方法。IDS將檢測入侵，但不阻止未經授權個人訪問網絡。[單選題]12.下面哪個是沒有單獨的預防控制的固有風險？A)騎肩跟入法B)病毒C)數據欺騙D)非授權的應用關閉答案:C解析:數據欺騙包括在數據進入計算機前被改變。這是最常見的一種弊端，因為僅需要有限的技術并在計算機安全防護數據之前就可以實現(xiàn)。對數據欺騙僅僅有補償控制。騎肩跟入法是跟蹤一個被授權人通過安全門和能被使用臨時門阻止進入的行為。邏輯的騎肩跟入法是一種根據有權利的某人獲得進入的嘗試，比如，給授權的電訊連接到中途截獲連接的電子附文。這種行為能被加密信息阻止。病毒是一種惡意程序代碼加入到另一個可執(zhí)行代碼上能自我復制和在計算機間通過共享計算機磁盤進行散播，傳遞通過電信線路或直接與以感染病毒的機器直接接觸。防病毒軟件能用來阻止病毒侵入計算機。+B2937應用的停止能被通過直連連接（在線）或非直接連接（撥號上線）到計算機的終端或微機初始執(zhí)行。僅有單個人知道最高級別進入系統(tǒng)的ID和密碼能初始停止程序，如果有正確的訪問控制就是有效的。[單選題]13.當傳輸一個支付的指令時，以下哪一項可用來幫助校驗該指令不是被復制的？A)使用密碼學的哈希算法B)加密信息摘要C)解密消息摘要D)（使用）序列號及時間戳答案:D解析:當傳輸數據時，將一個序列號及/或時間戳加入消息中來使其（該消息）變得具有唯一性，從而使得接受者能夠確定消息在傳輸工程中沒有被攔截和重放。這既是公認的重放預防（ReplayProtection），可以用來確認一個支付指令不是被復制的。使用密碼學的哈希算法來處理整個消息可以確保（傳輸過程中的）數據完整性。使用發(fā)送者的密鑰來加密消息摘要，即對（收到的）消息時，這保證了該消息只能來自于對應的發(fā)送者。這個對發(fā)送者進行認證的過程保證了不可抵賴性。點評：序列號和時間戳是抗重放攻擊的有效手段[單選題]14.以下哪項會影響質量保證小組的獨立性？A)確保開發(fā)方式的合規(guī)性B)檢驗測試用例C)在測試過程中糾正錯誤代碼D)檢查代碼，以確保其適當的文檔化答案:C解析:糾正錯誤代碼不應該是質量保證小組的職責，否則會破壞職責分離并影響團隊的獨立性。其他的選項是有效地質量保證小組的職能。質量保證人員通常執(zhí)行兩種不同的任務：質量保證（QA）-幫助IS部門確保確保其人員遵守規(guī)定的質量程序。例如:QA可以幫助程序和文檔遵守標準及命名規(guī)范。質量控制（QC）-負責執(zhí)行測試或審評，以驗證并確保軟件不存在缺陷并滿足用戶預期。他可以在應用系統(tǒng)開發(fā)的各個階段進行，但必須在程序被遷移到生產環(huán)境之前進行。[單選題]15.以下哪一項是用以確定執(zhí)行跟蹤審計過程時間表的最重要標準？A)與安排的下一次審計之間的協(xié)調B)來自發(fā)現(xiàn)結果的風險暴露C)被審計單位的時間許可D)審計資源的可用性答案:B解析:[單選題]16.一家組織在項目完成之前審查關鍵項目成果，并決定隨后對項目進行了一些重大更改。管理層發(fā)現(xiàn)這些改動會影響到最初設定目標的實現(xiàn)。為改進項目管理流程，IS審計師應建議采取以下哪一項控制？A)定期績效監(jiān)控B)流程框架標準化C)適度的活動分割D)高層管理人員審批答案:A解析:項目的定期績效監(jiān)控能夠確保與預算、時間和資源有關的錯誤或偏差在項目執(zhí)行階段得到盡早發(fā)現(xiàn)、及早作出更改。這樣要好過等到項目結束時才來應對（這時作出更改的成本會增加）。如同將采用的活動和模版自定義一樣，項目管理流程所用框架的標準化也有助于建立有效的項目控制，但它不能直接保證執(zhí)行了適當的績效監(jiān)控。將項目活動按照各個階段進行分割能夠簡化管理、計劃和控制工作。但是它本身無法保證對各階段的目標實現(xiàn)進行審查，及時防止組織更改延遲的情況。為保證獲得項目成功所需要的資源，在項目開始前需要得到高層管理人員的審批，但這不能保證項目得到適當監(jiān)控，其各個目標均能實現(xiàn)。點評：定期的評價交付成果有助于對項目偏離的管控[單選題]17.實施風險管理方案時，應首先考慮以下哪一項?A)了解組織中存在的威脅、漏洞及風險概況B)了解風險暴露和潛在的危害后果C)確定基于潛在后果的風險管理優(yōu)先級D)足以使風險所產生的后果保持在可接受水平的風險緩解策略答案:A解析:A.作為有效的信息安全治理的成果之一，實施風險管理首先需要全面了解組織中存在的威脅、漏洞及風險概況。B.只有在了解組織中的威脅、漏洞及風險概況之后，才能了解風險暴露和潛在的危害后果。C.只有在確定了組織中的威脅、漏洞及風險概況之后，才能制定基于潛在后果的風險管理優(yōu)先級。D.風險緩解優(yōu)先級是以風險概況、風險可接受水平和潛在緩解控制為基礎的。這些要素為制定足以使風險所產生的后果保持在可接受的水平的風險緩解策略提供了依據。[單選題]18.下列哪種情況最適于將實施數據鏡像作為恢復策略?A)容災能力很高。B)恢復時間目標(RTO)很高。C)恢復點目標(RPO)很低。D)RPO很高。答案:C解析:A.數據鏡像是一種數據恢復技術，而容災解決的是業(yè)務中斷的可允許時間。B.恢復時間目標(RTO)是一個容災指標。數據鏡像解決的是數據丟失，而非RTO。C.恢復點目標(RPO)指明了必須保證數據恢復可能得以進行的最近時間點。它決定了為使數據損失最小而必須備份數據的頻率。如果RPO低，則組織不希望丟失更多數據，而必須使用如數據鏡像這樣的流程來防止數據丟失。D.如果RPO很高，則可使用較為廉價的備份策略;而數據鏡像不應作為數據恢復策略予以實施[單選題]19.下列哪一種撲滅數據中心火災的方法是最有效和環(huán)保的？A)鹵化物氣體B)濕式滅火器C)干式滅火器D)二氧化碳氣體答案:C解析:一般認為具有自動斷電系統(tǒng)的噴水設備是很高效的，因為可將其設定為自動釋放而不會對生命造成威脅，而且水很環(huán)保。滅火器必須是干式的，以防止泄露危險。鹵化物氣體是有效且高效的滅火方法，因為它不會威脅人的生命安全，而且可以設定為自動釋放，但是它會破壞環(huán)境而且很昂貴。使用水是可以接受的方法，但為了防止泄露，管道應該是空的，所以選擇完整系統(tǒng)并不可行。二氧化碳被公認為符合環(huán)保要求的氣體，但因為它會威脅生命，所以在工作地點不能設定為自動釋放，從而導致效率偏低。[單選題]20.一個組織當前使用了企業(yè)資源管理（ERP）應用程序。以下哪項可成為有效的訪問控制？A)用戶級別權限訪問控制B)基于角色的訪問控制C)細化訪問控制D)自主訪問控制答案:B解析:基于角色的訪問通過為一級用戶定義角色來控制系統(tǒng)訪問權限。分配給用戶不同的角色，并基于用戶角色授予相應的訪問權限。ERP系統(tǒng)的用戶級別權限將產生大量管理費用。細化訪問控制難以在大型企業(yè)環(huán)境下實施和維護。自主訪問控制可由用戶或數據所有者進行配置或修改，因此可能使訪問控制管理流程出現(xiàn)不一致。[單選題]21.某企業(yè)的多個辦公室都位于一個區(qū)域內，并且用于恢復的預算很有限，以下哪種恢復策略最適合?A)由企業(yè)維護的熱備援中心B)商業(yè)冷備援中心C)在企業(yè)各辦公室之間實行互惠安排D)第三方熱備援中心答案:C解析:A.由企業(yè)維護的熱備援中心是高成本的解決方案，但可提供高置信度B.為多個辦公室租用多個冷備援中心的可用性差，非有效解決方案。C.對于多個辦公室均在一個區(qū)域內的企業(yè)，在其各辦公室之間實行互惠安排最為合適。每個辦公室均可作為其他某個辦公室的恢復站點。這種方法可以保持置信水平在可接受的程度，并且最為廉價。D.第三方恢復設施由傳統(tǒng)的熱備援中心提供。這種方法的成本也很高，也可提供高置信度。[單選題]22.通過HTTPS協(xié)議在互聯(lián)網中發(fā)送數據時，以下哪項最值得關注？A)某端存在間諜軟件B)使用了流量嗅探工具C)實施了RSA的解決方案D)使用對稱加密法進行數據傳輸答案:A解析:如果采用安全套按字層/傳輸層安全（SSL/TLS）隧道進行加密，便很難攔截傳輸中的數據，但如果某端用戶計算機中存在間諜軟件，則在加密開始前數據便會被截走。其他選項則涉及到對流量進行加密，但如果某端存在間諜軟件，剛在加密開始前數據便會被獲取。[單選題]23.某組織已與供應商就一套用于電子收費系統(tǒng)(ETCS)的即用型解決方案簽訂合同。供應商在解決方案中提供了其擁有的專有應用軟件。該合同應要求:A)存在能使用最新數據運行ETCS操作的備用服務器。B)存在裝載著所有相關軟件和數據的備用服務器。C)組織的系統(tǒng)人員接受處理各類事件的培訓。D)ETCS應用程序的源代碼交由第三方保管。答案:D解析:A.具有裝載著最新數據的備用服務器雖然很重要，但不如確保源代碼的可用性重要B.具有裝載著相關軟件的備用服務器雖然很重要，但不如確保源代碼的可用性重要。C.進行員工培訓雖然很重要，但不如確保源代碼的可用性重要。D.無論何時購買專有應用軟件，合同都應包含源代碼托管協(xié)議。這將確保采購方公司在供應商停業(yè)的情況下仍能修改該軟件。[單選題]24.以下哪項會動搖應用系統(tǒng)審計軌跡的可靠性：A)在審計軌跡中的記錄ID。B)安全管理員具有審計文件的只讀數據。C)在執(zhí)行操作時記錄日期和時間。D)更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄。答案:D解析:如果審計軌跡的詳細信息可以修改，則該審計軌跡無效。[單選題]25.一家組織提出要建立無線局域網（WLAN）管理層要求IS審計師為WLAN推薦安全控制措施。以下哪項最適合的建議A)保證無線接入點的物理安全，以防篡改B)使用能明確識別組織的服務集標識符（SSID）C)使用有線等效加密（WEP）機制加密流量D)實施簡單網絡管理協(xié)議（SNMP）以允許主動監(jiān)控答案:A解析:保證接入點的物理安全，如無線路由器，以防止盜竊，能夠降低惡意人員篡改設備設置的風險，如果可以在物理上接觸到接入點，那么要恢復弱式默認密碼和加密密鑰，或是從網絡完全取消身份認證和加密機制往往很容易。不應使用SSID，因為黑客會將WLAN與已知組織關聯(lián)起來，這會增加他們的攻擊動機?？赡苓€會給他們提供這樣的信息，原始的WEP安全機制已被證明有大量可被利用的弱點，最近開發(fā)的WI-Fi網絡安全存取協(xié)議（WPA）和Wi-Fi網絡安全存取協(xié)議2（WPA2）標準代表了更加安全的身份認證和加密方式，在無線接入點安裝SNMP實際上會增大安全漏洞。如果一定需要SNMP，那么應部署比起早期版本更強大的SNMPV3身份認證機制。[單選題]26.雖然管理層發(fā)表了聲明，但IS審計員仍然有理由相信組織使用了盜版軟件。在這種情況下，IS審計員應該:A)把管理層的陳訴包含到審計報告中B)認定組織實際使用了哪些軟件C)與管理層再次確認實際使用了哪些軟件D)與更高級別管理層討論:如果在審計報告中記錄這個問題可能會導致負面的影響。答案:A解析:當有跡象表明組織可能在使用未經注冊的軟件時，在他報告中反映之前，IT審計師應該獲得成分的證據。針對此事的管理層的申述不能影響審計師的獨立判斷。如果組織使用了未經認證的軟件，基于客觀性、獨立性IT審計師必須在報告中反映。[單選題]27.一位IS審計師正在執(zhí)行合規(guī)性測試，以確定控制是否支持管理政策和流程。測試在以下哪個方面對IS審計師有所幫助：A)獲得對控制目標的了解B)保證運行中的控制與設計要求一致C)確定數據控制的完整性D)確定財務報告控制的合理性答案:B解析:合規(guī)性測試可用于監(jiān)測已定義流程的存在性和有效性。了解合規(guī)性測試的目標非常重要。IS審計師希望其所依賴的控制之有效性具有合理的保障。了解控制目標是很關鍵，但這并非執(zhí)行合規(guī)性測試的原因。實質性測試（而非合規(guī)性測試）于數據完整性和財務報告相關。點評：符合性測試判斷控制的有無[單選題]28.IS審計師應該使用下列哪一項測試技術來確定尚未測試的具體程序邏輯?A)快照B)跟蹤和標記C)記錄D)映射答案:D解析:A快照可記錄流經程序內各邏輯路徑的指定交易。B.跟蹤和標記可用于顯示應用期間所執(zhí)行的指令軌跡。C.記錄是指記錄具體任務以供日后審查。D.通過映射可確定尚未測試的具體程序邏輯，還可在執(zhí)行期間分析程序以指出程序語句是否已執(zhí)行。[單選題]29.一家服務提供商參與了一個涉及保密信息的政府項目，在為其執(zhí)行IS審計時，IS審計師注意到該服務提供商將部分IS工作委派給了一家子承包商。以下那個選項最能確保保護信息機密性的要求都得以滿足?A)月度委員會會議中有子承包商方面的IS經理參加B)管理層每周審查子承包商提交的報告C)政府機構許可合同事項D)對子承包商的工作指派定期獨立審計答案:D解析:定期獨立審計能夠合理保證，對保護信息機密性的各項要求沒有被降低標準。委員會例行會議是監(jiān)控委派任務的不錯辦法；但是，獨立審查能夠提供更好的保證。管理層不應僅僅依賴承包商自己報告的信息。獲得政府機構的許可與確保信息機密性無關。點評：外包中的獨立審計條款能夠保障機密性[單選題]30.在對客戶關管理(CRM)系統(tǒng)遷移項目進行審計時，IS審計師最應關注以下哪項?A)技術遷移安排在長周末前的周五進行，時間窗口對于完成所有任務來說過短。B)對系統(tǒng)執(zhí)行試點測試的員工擔心新系統(tǒng)中的數據表示法與舊系統(tǒng)完全不同。C)計劃單一實施，直接棄用舊版系統(tǒng)。D)在目標日期前五周，新系統(tǒng)軟件的打印功能仍存在大量缺陷。答案:C解析:A.周末可用作時間緩沖，這樣新系統(tǒng)在周末后正常運行的概率會更大B.數據表示法不同并不意味著前端的數據表示法也不同。即使是這樣，此問題也可以通過充足的培訓和用戶支持來解決。C.重大系統(tǒng)遷移應包括一個井行運行的階段或階段切換，以降低實施風險。如果新系統(tǒng)無法正確運行，棄用或處置舊硬件會使回退策略變得復雜。D.打印功能通常是新系統(tǒng)中要測試的最后幾項功能之一，因為在任何業(yè)務事件中打印幾乎都是最后執(zhí)行的步驟因此，只有在軟件的所有其他部分均測試成功后，才能進行有意義的測試和相應的錯誤修復。[單選題]31.信息系統(tǒng)審計師檢查一個IT設備的外包合同時，會期望合同定義了：A)硬件配置B)訪問控制軟件C)知識產權的所有者D)應用開發(fā)方法論答案:A解析:選擇硬件和訪問控制軟件通常是不恰當的，只要合同中的功能性、有效性和安全性已經約定，同樣地，開發(fā)方法應該是不被關注的。合同中必須指明誰擁有財產權力(如,正被處理的數據,應用程序)。所有權將導致昂貴的開銷，因此應該重點審計在外包合同中的定義。[單選題]32.業(yè)務流程重組（BPR)的業(yè)務目的主要是：【已經理解】A)減少工作崗位。B)減少步驟以改善業(yè)務效率。C)變更管理層方向。D)增加利益相關者（股東，客戶，供應商，銀行）價值。答案:B解析:BPR的目的通過減少不必要的不走或者實施改善的技術以改善效率。BPR可以用于減少運營成本或者合規(guī)。[單選題]33.如果預算有限的情況下，且一個區(qū)域內有多個辦公場所，下列那一項是最適合的恢復策略?A)商業(yè)熱站維護B)民用冷站C)辦公室之間互惠協(xié)議D)第三方熱站答案:C解析:對于在一個區(qū)域有很多間辦公室的公司，互惠式的排列將是最合適的。每間辦公室都能設計成其他辦公室的恢復地點。這是提供可接受信賴水平的最經濟的辦法。商業(yè)熱站維護是相對昂貴的解決方案，但是提供更高的可信賴水平。多個辦公室租用多個冷站也是昂貴但高信賴水平的辦法。第三方恢復設備由傳統(tǒng)的熱站提供，也將是昂貴但高信賴水平的辦法。[單選題]34.在決策支持系統(tǒng)(DSS)的過程中,以下哪一項具有實施風險?A)管理控制B)半結構的決策結構維度C)無法確定目標和使用模式D)決策過程發(fā)生的變化答案:C解析:無法確定目標和使用模式是一個風險，開發(fā)者在實施決策系統(tǒng)時不能事先說明目的或使用的模式，選項A,B,D不是風險，而是決策支持系統(tǒng)的特征。點評：無法確定目標將導致DSS系統(tǒng)無法實現(xiàn)業(yè)務價值[單選題]35.要降低尾隨風險，最有效地控制是？A)配有接待員的單一進入點。B)使用智能卡。C)生物識別門鎖。D)雙門安全系統(tǒng)。答案:D解析:雙門安全系統(tǒng)是使用一對（兩個）門的系統(tǒng)。要操作第二扇門，必須先關閉并鎖好第一扇入口門，同時只允許一個人位于等候區(qū)中。這樣可以減少未授權人呢跟隨授權人員進入受保護入口的風險（尾隨）。其他選項都是對進入安全區(qū)域的物理控制，但都不特別針對尾隨風險。[單選題]36.為與組織目標一致，IT部門應：A)廉價觀念B)長期和短期計劃C)超前技術D)計劃獲取新的硬件和軟件答案:A解析:為確保支持組織全面目標的實現(xiàn)，IT部門應制定短期和長期計劃，為實現(xiàn)IT目標需與組織的主要目標保持一致。選項A、和C、是目標，但計劃描述了各個目標將如何實現(xiàn)。選項D、是全面計劃的一部分，但僅僅是實現(xiàn)組織目標所需的硬件和軟件。[單選題]37.一個開發(fā)團隊開發(fā)并維護著一個面向客戶的網絡應用程序，相對于中央數據中心，這個應用是放在其區(qū)域辦事處的。在這種情況下最大的風險是：A)網站的帶來的附加流量會減慢域辦事處的因特網訪問。B)開發(fā)團隊可能缺乏管理和維護一個托管應用環(huán)境的專業(yè)知識和人員。C)區(qū)域辦事處可能沒有火災探測和消防等主數據中心相同的環(huán)境水平。D)區(qū)域辦事處可能沒有保證Web服務器安全的防火墻或網絡。答案:B解析:選項B是正確的，因為一個關鍵的Web應用程序需要不斷的監(jiān)測和維護，通常由數據中心操作人員執(zhí)行的，而不是由開發(fā)團隊執(zhí)行，雖然系統(tǒng)開發(fā)人員也可能具有執(zhí)行操作任務的能力，但他們通常不會象系統(tǒng)操作團隊那樣能做到24X7在現(xiàn)場。選項A不正確，因為網絡流量水平可被預測并且預置更多的帶寬。選項C和D不正確，因為在托管一個Web服務器可能會是基礎設施和網絡安全方面的一個挑戰(zhàn)，最關鍵的問題是需要具有專業(yè)知識和人員監(jiān)控和維護這個關鍵的網站。[單選題]38.數據庫管理員(DBA)提議，可通過對某些表進行逆正規(guī)化來提高數據庫效率。這將導致:A)機密性丟失。B)冗余度增加。C)未經授權的訪問。D)應用程序出現(xiàn)故障。答案:B解析:A.即使涉及機密信息，逆正規(guī)化也不會導致機密性丟失。數據庫管理員(DBA)應保證數據庫的訪問控制一直保持有效。B.正規(guī)化是指使關系數據庫最大限度減少冗余度的設計或優(yōu)化流程;因此，逆正規(guī)化將增加冗余度。涉及到資源可用性時，冗余通常被看作積極因素，而在數據庫環(huán)境中，它是消極因素，因為存在元余時，需要處理原本不必要的額外數據出于功能考慮，有時建議進行逆正規(guī)化C.逆正規(guī)化與數據庫結構有關，與訪問控制無關。逆正規(guī)化不會導致未授權訪問。D.逆正規(guī)化會要求數據庫與應用程序之間的調用變化，但不會導致應用程序故障。[單選題]39.分布式拒絕服務攻擊互聯(lián)網網站是由于黑客使用如下哪一種典型手段引起的:A)邏輯炸彈B)釣魚網站C)間諜軟件D)特洛伊木馬答案:A解析:特洛伊木馬是一種隱藏在一個已經授權的計算機程序中惡意的或者破壞性的代碼。黑客們使用特洛伊通過影響能同時訪問同一個網站的計算機來策劃分布式拒絕服務攻擊，導致網站服務器過載以至于不再能夠處理合理的請求。邏輯炸彈是一種程序，設計用來在未來特定時間破壞或者更改數據。釣魚網站是一種攻擊，通常通過電子郵件假裝成一個授權的人或者組織要求信息。間諜軟件是從pC、驅動器上一種通過復制內容的拷貝能分揀信息的程序[單選題]40.信息系統(tǒng)審計師被委任去執(zhí)行對一個應用系統(tǒng)進行實施后維護的檢查過程。以下哪種情形將減弱信息系統(tǒng)審計師的獨立性。審計師：A)在應用系統(tǒng)的開發(fā)過程中實施了詳細控制B)專門設計了一個嵌入審計模塊用來審計此應用系統(tǒng)C)作為一個成員參與了此應用系統(tǒng)項目團隊，但沒有操作職責D)就應用系統(tǒng)最佳實務提供了咨詢意見答案:A解析:獨立性可能被減弱如果審計師正在或已經叁與應用系統(tǒng)的開發(fā)、獲取和執(zhí)行。選擇B和C是不減弱審計師的獨立性。選擇D是不正確的，因為審計師不會因為提供好的建議而減弱審計師的獨立性。[單選題]41.審計痕跡的主要目的：A)更好的評估和審計由于審計師沒有檢查出的控制失效引起的審計風險。B)建立完成的審計工作按年代順序排列的事件鏈。C)建立交付處理的業(yè)務交易的責任（可追溯責任）。D)職責分離缺乏的補償。答案:C解析:審計痕跡和其它日志用于補償缺乏恰當的職責分離，審計痕跡的主要目的是建立交付處理的業(yè)務交易的職責（可追溯責任）。[單選題]42.在確認是否符合組織的變更控制程序時，以下IS審計人員執(zhí)行的測試中哪一項最有效？A)審查軟件遷移記錄并核實審批情況B)確定已發(fā)生的變更并核實審批情況C)審核變更控制文檔并核實審批情況D)保證只有適當的人員才能將變更遷移至生產環(huán)境答案:B解析:[單選題]43.IS管理層決定要安裝第1級冗余陣列磁盤系統(tǒng)在所有服務器上，以補償異地備份的缺失，IS審計師應建議:A)．升級到第5級的RAID、B)．增加現(xiàn)場備份的頻率C)．恢復異地備份D)．在安全的位置建立一個冷站答案:C解析:在一個RAID、系統(tǒng)，在任何級別，都無法防范自然災害。這個問題將不會緩解，如果沒有異地備份。頻繁的現(xiàn)場備份，甚至建立一個冷站，選擇A，B和D都不能補償缺失異地備份。[單選題]44.業(yè)務連續(xù)性計劃和災難恢復計劃的主要目標是:A)保護關鍵的IS資產B)為連續(xù)運營做好準備。C)盡量減少組織損失D)保護人身安全。答案:D解析:A.保護關鍵的IS資產是業(yè)務連續(xù)性計劃和災難恢復計劃的次要目標。生命安全始終處于第優(yōu)先級。B.連續(xù)運營是業(yè)務連續(xù)性計劃和災難恢復計劃的次要目標。生命安全始終處于第一優(yōu)先級。C.盡量減少組織損失是業(yè)務連續(xù)性計劃和災難恢復計劃的次要目標。生命安全始終處于第一優(yōu)先級。D.生命無價，因此任何業(yè)務連續(xù)性計劃和災難恢復計劃都應該將保護人身安全放在第一位。[單選題]45.從一份與IT相關的投資業(yè)務中所獲得的直接利益是個什么例子？A)提高聲譽B)提高員工士氣C)新技術的使用D)市場占有率的提高答案:D解析:綜合業(yè)務在對于任何與IT相關的投資業(yè)務提議的情況下，應該由明確的商業(yè)利益。用以計算出預期收入，這些利益通常分為兩類：直接和間接的。直接利益通常包括，新系統(tǒng)預計將可量化的經濟利益。而增強信譽，提高員工士氣的潛在利益是難以量化的，但應盡可能地量化。投資IT不應只是為了為了新技術的緣故，而是應以可量化的業(yè)務需求。點評：業(yè)務收益，故選D[單選題]46.在退出會談期間，如果存在對一個審計發(fā)現(xiàn)的爭論，IT審計師將：A)要求被審者簽署一個聲明承擔全部法律責任B)詳細說明發(fā)現(xiàn)的重要性和不糾正的風險C)向審計委員會報告爭議,并由審計委員會決定D)接受被審方立場因為他們是流程制定者答案:A解析:如果被審者對審計發(fā)現(xiàn)存在不同意見，當被審者可能不會完全認同審計發(fā)現(xiàn)時，IT審計師對此進行詳細闡述并揭露風險是重要的。目的是提醒被審對象或揭示審計師未發(fā)現(xiàn)的新的風險。出現(xiàn)的任何威脅被審對象的事情都會降低溝通的效果，并使雙方關系對立。出于同樣原因，IT審計師也不應對被審對象的觀點進行妥協(xié)。[單選題]47.以下哪項是減輕針對互聯(lián)網銀行應用程序的域欺騙攻擊的最佳控制?A)用戶登記和密碼政策B)用戶安全意識C)使用入侵檢測系統(tǒng)/入侵防御系統(tǒng)(IDS/IPS)D)域名系統(tǒng)(DNS)服務器安全強化答案:D解析:A.用戶登記和密碼政策不能緩解域欺騙攻擊，因為不能防止對域名系統(tǒng)(DNS)記錄的操控。B.用戶安全意識不能緩解域欺騙攻擊，因為不能防止對域名系統(tǒng)DNS)記錄的操控。C.使用入侵檢測系統(tǒng)/入侵防御系統(tǒng)(IDS/PS)不能緩解域欺騙攻擊，因為不能防止對域名系統(tǒng)(DNS)記錄的操控。D.域欺騙攻擊是利用DNS服務器的漏洞將流量重定向到未授權網站。為了避免這種攻擊，需要消除可能會造成DNS中毒的所有已知滿洞。DNS的舊軟件版本易受此類攻擊，應進行補丁處理[單選題]48.如果IS審計師是IT委員會的成員，那么信息系統(tǒng)審計師對IT組織進行審核時最關心什么？A)負責項目審批，設定優(yōu)先級B)負責制定長期的IT計劃C)向董事會建議IT的相關發(fā)展項D)確定業(yè)務目標答案:D解析:確定企業(yè)目標是高級管理人員的責任，IT指導委員會沒有責任。其他的選項是IT指導委員會適當的責任。點評：IT指導委員會不能確定?業(yè)務?目標[單選題]49.在發(fā)出災難聲明后，溫恢復站點的介質創(chuàng)建日期基于:A)恢復點目標(RPO)。B)恢復時間目標(RTO)C)服務交付目標(SDO)。D)可容忍的最長停機時間(MTO)。答案:A解析:A.恢復點目標(RPO)是運轉中斷時可接受的數據失確定。它指明可以接受的恢復數據的最早時間點。RPO能夠有效地量化在發(fā)生運行中斷時允許的數據丟失量。介質創(chuàng)建日期將反映數據要恢復到的時間點或RPO。B.恢復時間目標(RTO)是在發(fā)生災難后，恢復業(yè)務功能或資源所允許的時間量C.服務交付目標(SDO)與業(yè)務需求直接相關，是恢復正常狀況之前在備用流程模式期間要達到的服務水平D.可容忍的最長停機時間(MTO)是組織可以支持在備用模式下處理業(yè)務的最長時間。[單選題]50.安全套接層協(xié)議通過什么實現(xiàn)保密性？A)對稱加密B)消息驗證碼C)哈希函數D)數字簽名驗證答案:A解析:SSL（安全套接層協(xié)議）是用對稱密鑰對信息加密。一個保密驗證碼是用語確認數字的完整性。HA、sh作用是用語產生一個信息摘要；它不用于公鑰加密信息．數字簽名驗證是被SSL用于服務器驗證、[單選題]51.某組織的網絡已成為多次入侵攻擊的受害者。以下哪種措施可早期檢測到此類事件？A)防病毒軟件。B)強化服務器。C)屏蔽路由器。D)蜜罐（Honeypot）。答案:D解析:蜜罐可收集攻擊前兆的相關數據。由于不提供業(yè)務功能，蜜罐是只有蜜罐管理員而沒有任何其他授權用戶的主機。所有針對蜜罐主機的活動都被認為是可疑的。攻擊者會掃描并攻擊蜜罐，這為管理員提供了有關新趨勢和攻擊工具（尤其是惡意代碼）的數據。但是，蜜罐是正確保護網絡、系統(tǒng)和應用誠信安全的補充，而不是替代品。如果組織要使用蜜罐，應該由合格的事故處理人員和入侵檢測分析人員對其進行管理。其他選項不會提供潛在攻擊的跡象。[單選題]52.某公司已開始使用社交媒體與現(xiàn)有客戶和潛在客戶進行通信。以下哪一項是審計師最應該關注的？A)使用社交媒體的員工工作效率降低B)缺乏對社交媒體適當使用和監(jiān)控的指導C)使用第三方提供商來托管和管理內容D)客戶的負面帖子影響公司的形象答案:B解析:[單選題]53.在有全球供應商的大公司的網絡里，網絡堵塞可能持續(xù)增加。在這樣環(huán)境里，設備組件必須是可升級的。下面哪種防火墻架構限制了將來的升級？A)設備B)基于操作系統(tǒng)的C)基于主機的D)非軍事化的答案:A解析:設備的軟件植入到了機器的芯片。硬件基礎的防火墻產品不能被移植到更高容量的服務器。融入操作系統(tǒng)的防火墻軟件往往能得到升級，因為它可以提升服務器的性能?；谥鳈C的防火墻在服務器操作系統(tǒng)之上運行，是可以升級的。非軍事化區(qū)是防火墻安裝的一種形式，而不是一種防火墻的架構。[單選題]54.處理計算機犯罪事件需要運用管理團隊的方法，下面哪一個角色的職責是明確的？A)經理B)審計人員C)調查人員D)安全負責人答案:A解析:[單選題]55.在C、/S環(huán)境下，IS審計員檢查的訪問控制時首先應：A)評估加密技術B)確認網絡訪問點C)檢查認證管理系統(tǒng)D)檢查應用層面的訪問控制答案:A解析:一個C、/S環(huán)境典型的包含數個訪問點、利用分布式技術及增加未被授權的對數據和過程訪問。為了評估終端服務環(huán)境的安全性，所有的網絡訪問點應得到確認。評估加密技術，檢查認證管理系統(tǒng)和應用層面的訪問控制應該在作為下一個檢查步驟得到實施。[單選題]56.在對大型主機應用程序進行訪問控制審查期間，IS審計師發(fā)現(xiàn)用戶安全組沒有指定所有者。以下哪一項是IS審計師關注的主要原因?沒有所有者就沒有人負責:A)更新組的元數據。B)審查現(xiàn)有用戶訪問C)用戶訪問的審批。D)撤銷離職用戶的訪問權限。答案:C解析:A.相對于未經授權的訪問，更新組的相關數據不是最令人擔憂的狀況。B.盡管定期檢查用戶帳戶是不錯的做法，但這是一種檢測性控制，不如提前阻止未授權訪問更加可靠C.如果沒有所有者對組的用戶訪問進行批準，則未授權的個人有可能在組的權限內訪問任何敏感數據D.撤銷離職用戶的訪問權限是對正常終止流程的補償性控制，也是一種檢測性控制。[單選題]57.登錄流程包括創(chuàng)建唯一的用戶ID和密碼。然而，IS審計師發(fā)現(xiàn)，在大多數情況下，用戶名和密碼是相同的。降低這一風險的最好控制是：A)改變公司的安全政策。B)告知用戶使用弱密碼的風險C)建立驗證，防止在創(chuàng)建用戶和更改密碼時出現(xiàn)此情況。D)要求定期審查的用戶ID和密碼，以進行檢測和更改答案:C解析:密碼泄漏是最高的風險。最佳控制是在創(chuàng)建或更改密碼時通過驗證進行預防性控制。通過身份管理系統(tǒng)強制執(zhí)行控制自動化該任務。更改公司的安全政策以及告知用戶使用弱密碼的風險只能對用戶起到提示作用，對強制執(zhí)行此控制的作用不大。要求定期審查匹配的用戶ID和密碼以進行檢測并確保進行更正，這種方法屬于檢測性控制。[單選題]58.某組織制定了一條政策，定義了禁止用戶訪問的網站類型。要使此政策付諸實施，最有效的技術是什么？A)狀態(tài)檢測防火墻B)Web內容過濾器C)Web緩存服務器D)代理服務器答案:B解析:Web內容過濾器可根據配置的規(guī)則接受或拒絕Web通信。為幫助管理員正確配置此工具，組織和供應商提供了幾百萬個網站的URL黑名單和分類。狀態(tài)檢測防火墻對過濾Web流量沒什么幫助，因為它無法用于審查網站的內容，也不會將站點分類考慮在內。Web緩存服務器旨在提高檢索最常見或最近訪問的網頁的速度。代理服務器也不正確。因為代理服務器是一種通過將客戶端請求轉發(fā)給其他服務器來回應該請求的服務器。許多人將代理服務器誤認為是Web代理服務器的同義詞，但也不是所有的Web代理服務器都具有內容過濾功能。[單選題]59.IT經理監(jiān)控技術能力的主要好處在于A)發(fā)現(xiàn)采購新硬件和存儲的需求B)根據使用情況確定未來的容量需要C)確保滿足服務級別協(xié)議（SLA）的要求D)確保系統(tǒng)在最佳生產能力條件下運行答案:C解析:容量監(jiān)控具有多個目標，但其主要目標是確保遵守業(yè)務與IT之間的內部SLA。它還有助于根據使用模式，達到預期的未來容量。此外，容量監(jiān)控也有助于根據當前的使用情況和預期的未來容量啟動采購工作。[單選題]60.為了保護VoIP設備免于拒絕服務攻擊，最重要的是確保什么的安全？A)訪問控制服務器B)會話邊界控制C)骨干網關D)入侵檢測系統(tǒng)答案:A解析:會話邊界控制提高了網絡訪問的安全。在網絡訪問中，他們隱藏了用戶的真實地址，而提供被控制的公共地址。公共地址能夠被監(jiān)控，極小機會被拒絕服務攻擊。會話邊界控制允許訪問防火墻后面的客戶在保持防火墻的效力。在核心，會話邊界控制保護了網絡的使用者。他們隱藏了網絡拓撲和使用者真實的地址。他們也能夠管理帶寬和服務質量。訪問控制服務器、骨干網關、入侵檢測系統(tǒng)不能有效防御拒絕服務攻擊。[單選題]61.以下哪一項對戰(zhàn)略IT舉措決策流程最有價值?A)項目管理流程的成熟度B)監(jiān)管環(huán)境C)過去的審計結果D)IT項目組合分析答案:D解析:A.相比執(zhí)行戰(zhàn)略規(guī)劃，項目管理流程的成熟度在管理的日常運營方面更為重要。B.監(jiān)管要求可推動某些技術和舉措方面的投資;但必須符合監(jiān)管要求通常不是IT和業(yè)務戰(zhàn)略的主要關注點。C.過去的審計結果可推動某些技術和舉措方面的投資;但必須針對過去的審計結果采取補救措通常不是IT和業(yè)務戰(zhàn)略的主要關注點。D.組合分析為戰(zhàn)略IT舉措規(guī)劃的相關決策流程提供最有價值的信息。組合分析提供有關已劃的舉措、項目和正在進行的IT服務的可比信息，有助IT戰(zhàn)略與業(yè)務戰(zhàn)略保持一致。[單選題]62.在審查一份業(yè)務持續(xù)性計劃時，信息系統(tǒng)審計師注意到什么情況被宣布為一個危機沒有被定義。這一點關系到的主要風險是：A)對這種情況的評估可能會延遲B)災難恢復計劃的執(zhí)行可能會被影響C)團隊通知可能不會發(fā)生D)對潛在危機的識別可能會無效答案:A解析:如果組織不知道什么時候應該宣告危機發(fā)生，將會影響業(yè)務持續(xù)性計劃的執(zhí)行。選項A、,C、,D、是評估是否危機產生的步驟。問題和嚴重性的評價將為判定災難提供重要信息。當潛在的危機被識別后，負責危機處理的團隊會被通知。如果這一步驟被耽誤，直到災難被宣告，響應團隊的作用也將被抹殺。潛在危機的識別是災難響應的第一步。[單選題]63.推薦的交易處理應用程序將有許多數據獲取資源以及書面和電子形式的輸出。為了確保交易不在處理過程中丟失，IS審計師應建議執(zhí)行:A)驗證控制B)內部可信度檢査C)員工控制流程。D)自動系統(tǒng)均衡。答案:D解析:A.輸入和輸出驗證控制當然是有效的控制，但不會檢測和報告丟失的交易。B.內部可信度檢查是檢測處理過程中錯誤的有效控制，但不能檢測和報告丟失的交易。C.雖然員工控制流程可用于總結和比較輸入和輸出，但執(zhí)行自動化流程更不易出錯。D.自動系均衡是確保交易不會丟失的最佳方法，因為任何輸入總量與輸出總量之同的不均衡情況都會被報告，以供調查和更正。[單選題]64.以下哪項是處理利用協(xié)議漏洞傳播網絡蠕蟲的最有效的解決方法?A)安裝供應商針對漏洞的安全修補程序。B)在外圍防火墻中阻止協(xié)議通信。C)阻止內部網絡段間的協(xié)議通信。D)在安裝合適的安全修補程序前停止服務。答案:D解析:A.如果不停止服務，那么安裝修補程序也不是最有效的方法，因為蟲在修補程序生效前將繼續(xù)傳播。B.如果蠕蟲已經通過通用串行總線(USB)或便攜介質進入內部網絡，則在外圍阻止協(xié)議并不能阻止其傳播。C.阻止協(xié)議有助于減緩傳播，但這也會阻止利用此協(xié)議的所有軟件在網絡段間工作。D.停止服務并安裝安全修補程序是防止蟲病毒傳播的最安全的辦法。[單選題]65.一個電子郵件的發(fā)送者對數字摘要應用了數字簽名。這個行動能確保：A)信息的數據和時間戳B)識別發(fā)信的計算機C)對信息內容進行加密D)對發(fā)送者的身份進行識別答案:A解析:對摘要的簽名被用于對發(fā)送者的身份進行識別。它不能提供對發(fā)送數據的時間戳或所發(fā)送的計算機的識別。對電子郵件數字簽名不能防止對它內容的訪問，因此，不能確保機密性。[單選題]66.消息在發(fā)送前，用發(fā)送者的私鑰加密消息內容和它的哈希（hash,或譯作：雜選、摘要）值，能夠保證：A)消息的真實性和完整性B)消息的真實性和保密性C)消息的完整性和保密性D)保密性和防抵賴性答案:A解析:[單選題]67.在評估ED、I應用控制時，IS審計員應該主要關注的風險是：A)額外的交易響應時間B)應用接口錯誤C)不恰當的交易授權D)無效的分批總數答案:A解析:涉及ED、I的最重要風險始不恰當的交易授權。因為當事人的交易是電子的，沒有固有的認證。其他選擇盡管也是風險，但不是重要的。[單選題]68.在確定恢復點目標（RPO）的時候，以下哪項是最需要考慮的？A)最低的操作要求B)可接受的數據丟失C)平均故障間隔時間D)可接受的恢復時間答案:B解析:RTO提供業(yè)務操作可接受的緩沖時間，而RPO是組織可接受數據丟失和重新運營的程度。平均故障間隔時間和最低操作要求有助于確定恢復策略。[單選題]69.下列情況適用于軟件托管協(xié)議？A)系統(tǒng)管理員需要訪問軟件，以便從災難中恢復B)用戶請求重新在一塊換過的硬盤上加載軟件C)定制化編寫的軟件供應商停業(yè)D)IT審計師需要訪問由組織編寫的軟件代碼答案:C解析:托管是一個軟件供應商和客戶之間的軟件，以保證訪問源代碼的法律協(xié)議。應用的程序源代碼是一個信任的按合同辦事的第三方提供。這項協(xié)議在軟件供應商倒閉的事件中是必需的，與客戶或軟件供應商有合同糾紛而且沒有作為一個軟件許可協(xié)議中承諾的維持軟件更新。其它選項是不正確的，因為訪問的其他情形的軟件應該由一個內部管理的軟件庫提供的。點評：第三方軟件托管的概念[單選題]70.當多功能打印機設備送往異地進行維護時，以下哪-項會使信息系統(tǒng)審計師的最大顧慮?A)維護期間對業(yè)務的影響B(tài))打印件必須重新定向到另一個部門C)維護成本超出設備的價值D)內存不能自動清除答案:D解析:[單選題]71.由公認的組織認證企業(yè)的公鑰是必要的，因為？A)向公眾提供的密鑰可能已經被取消B)每個人都可以訪問企業(yè)的公鑰C)企業(yè)的私鑰是不公開的D)企業(yè)公鑰可能不與被使用的私鑰關聯(lián)答案:A解析:從發(fā)行者那了解公鑰的核心目的不僅是確認真實性而且確認公鑰的流通性。所有相關利益團體訪問公鑰不能改變一個事實，即保證公鑰的流通性的必要目標。選項C.與獲取公鑰認證是無關的，公鑰和私鑰必須是相關聯(lián)的。[單選題]72.以下哪項是最佳的訪問控制步驟？A)數據所有者正式授權訪問，然后由管理員實施用戶授權。B)授權的員工實施用戶授權表，然后由數據所有者批準這些表。C)數據所有者和IS經理共同創(chuàng)建并更新用戶授權表。D)數據所有者創(chuàng)建更新用戶授權表。答案:A解析:數據所有者擁有正式建立訪問權限的權利和責任。然后應由IS管理員實施或更新用戶授權表。選項B顛倒了合理的順序。選項C不是授權訪問的正式過程。[單選題]73.檢測來自用戶工作站的未授權輸入的信息最好通過哪種方式A)控制臺日志打印輸出。B)交易日志。C)自動暫記文件列表。D)用戶錯誤報告。答案:B解析:A.控制臺日志打印輸出不是最佳方法，因為其不會記錄來自特定終端的活動。B.交易日志會記錄所有交易活動，然后可將交易日志與經授權的源文檔進行比較，以識別任何未授權輸入。C.自動暫記文件列表只列出有編輯錯誤的交易活動。D.用戶錯誤報告只列出導致編輯錯誤的輸入，不會記錄錯誤的用戶輸入[單選題]74.實施安全計劃作為安全管理框架的一部分，其主要優(yōu)點是？A)校對有信息系統(tǒng)審計建議的IT活動B)強制安全風險管理C)實施首席信息安全官CISO的建議D)降低IT安全的成本答案:B解析:實施安全計劃的主要優(yōu)點是管理層的風險評估和風險減少到適當水平，和剩余風險的監(jiān)測。理想的信息系統(tǒng)審計師的目標和CISO通常是包含在一個安全的計劃之內，但他們不會是主要的benefit。IT安全成本可能會或可能不會減少。[單選題]75.被審計的業(yè)務部門的經理擔憂，外部信息系統(tǒng)審計師提出的詢問超出審計范圍。以下哪一項資源最有助于確定擔憂是否有根據？A)風險評估結果B)審計章程C)審計測試計劃D)工作說明答案:D解析:[單選題]76.在審核某業(yè)務流程再造（BPR）項目時，以下審計人員要評價的項目中哪一項最重要？A)被撤銷控制的影響B(tài))新控制的成本C)BPR項目計劃D)持續(xù)改進和監(jiān)控計劃答案:A解析:[單選題]77.已就網絡子網中爆發(fā)病毒通知事件響應團隊。以下哪一項應是下一個步驟？A)刪除并系統(tǒng)恢復受到影響的系統(tǒng)B)把事故記錄下來C)集中精力將損害限制在有限范圍內D)檢驗受到損害的系統(tǒng)功能是否完好答案:C解析:[單選題]78.以下哪一項能最好地證明IT戰(zhàn)略委員會的有效性?A)IT戰(zhàn)略委員會章程B)IT戰(zhàn)略委員會會議紀要C)IT活動與企業(yè)目標相符D)業(yè)務部門滿意度調查結果答案:C解析:[單選題]79.一個公司正在執(zhí)行動態(tài)主機設置協(xié)議。鑒于下列境況存在，哪個是最擔心的？A)大多數雇員用便攜式電腦B)一個包過濾防火墻被使用C)IT地址空間少于電腦數量D)網絡端口的訪問沒有被限制答案:D解析:給予一個物理地址訪問端口，任何人都能直接連接內網，其他的選項不能暴漏訪問一個端口的風險。動態(tài)主機配置協(xié)議能方便便攜式用戶使用。共享IT地址和防火墻的存在時安全措施。點評：網絡端口的訪問沒有限制，使用DHCP協(xié)議，任何人都可以接入內部網絡，風險最大[單選題]80.在計劃黑箱滲透測試時，最重要的成功因素是:A)已計劃的測試程序的文檔。B)真實評環(huán)境架構以確定范圍。C)為客戶組織的管理人員所了解。D)安排并確定測試的時長。答案:C解析:A.滲透測試應仔細計劃和執(zhí)行，但最重要的是得到適當的批準。B.在黑箱滲透測試中，進行測試的組織不了解測試環(huán)境。C.黑箱滲透試假定事先對待測試的基礎架構并不了解。測試人員模擬不熟悉系統(tǒng)的人員發(fā)起的攻擊。管理人員知道測試流程非常重要，以便在監(jiān)控系統(tǒng)識別出該測試時，可快速確定操作的合法性。D.測試的安排必須使影響重要操作的風險減到最小;但這是與組織的管理層合作的內容。[單選題]81.以下哪項環(huán)境控制措施可以在發(fā)生短時電力減弱時提供保護？A)電路調節(jié)器B)防浪涌設備C)冗余電源D)不間斷電源答案:A解析:電路調節(jié)器是用來補償供電峰谷和降低機器所需的峰值，在設備中存儲的電源能去除電源谷值。浪涌保護設備保護受到突然的高電壓的沖擊。冗余電源、UPS不間斷電源當交流電源不能供電時是為設備運行較長時間的提供電源補償。電源故障產生電源中斷將導致設備宕機。[單選題]82.一個IS審計師正為一個老客戶制定審計計劃。該審計師檢查了一上午的審計計劃，并發(fā)現(xiàn)之前的被用來檢查該該公司網絡和電子郵件系統(tǒng)是上一年新使用的，但是該計劃并沒有包括對電子商務web服務器的檢查。公司的IT經理暗示今年該公司偏向集中審計新應用的企業(yè)資源計劃（ERP）系統(tǒng)，該IS審計系統(tǒng)應當如何反應？A)如IT經理所請求的，審計新ERP應用B)審計電子商務服務器，因為它去年沒有被審計C)確定風險最高的系統(tǒng)，并基于該結果制定審計計劃D)既審計電子商務服務器也審計ERP應用答案:C解析:最好的行動方案是進行一項風險評估，并修訂審計計劃以涵蓋高風險的領域，ISACA審計標準S11（在審計計劃中應用風險評估），子標準S03規(guī)定：?在制定整體IS審計計劃以及為有效分配IS審計資源而確定優(yōu)先級時，IS審計師應該采用適當的風險評估技術或方法?。審計師不能依賴上一年的審計計劃因為它可能沒有被設計來反應基于風險的方法（最新的系統(tǒng)并不一定是具有最高風險的系統(tǒng)）。審計師的ERP應該沒有反應基于風險的方法因此不是正確答案。盡管ERP系統(tǒng)典型的包含敏感數據并可能出現(xiàn)數據丟失或泄漏的風險，沒有風險評估，則審計ERP系統(tǒng)的決定即不急于風險的決定。由于其前一年沒有被審計而審計電子商務服務器沒有反應基于風險的方法，因此不是正確答案。另外IT經理可能清楚電子商務服務器的問題并可能故意試圖將審計員從更脆弱的領域引開。盡管盡管乍一看電子商務服務器可能是風險最高的領域，也必須進行風險評估而不能依賴于審計師或IT經理的判斷。審計電子商務服務器又審計ERP應用并沒反應基于風險的方法，因此這并不是正確答案。點評：基于風險來確定審計的目標和范圍[單選題]83.某零售企業(yè)的每個出口自動到銷售定單進行順序編號。小額定單直接在出口處理，而大額定單則送往中心生產機構。保證所有送往生產機構的定單都被接收和處理的最適當的控制是：A)發(fā)送并對賬交易數及總計B)將資料送回本地進行比較C)利用奇偶檢查來比較資料D)在生產機構對銷售定單的編號順序進行追蹤和計算答案:A解析:[單選題]84.公司的web服務器上安裝了防火墻,防火墻可以防止下列哪個問題的發(fā)生?A)內部用戶未經授權修改信息B)外界獲取信息C)信息可用性D)連接internet答案:B解析:[單選題]85.以下哪一項是原型設計的優(yōu)點?A)成品系統(tǒng)通常具有強大的內部控制。B)原型系統(tǒng)能夠顯著地節(jié)省時間和成本。C)原型系統(tǒng)的變更控制通常較為簡單。D)原型設計可確保功能或附加物不會被添加到指定系統(tǒng)。答案:B解析:A.原型設計的內部控制一般較弱，因為其重點主要是功能性而非安全性。B.原型系統(tǒng)通過更好的用戶交互和快速適應不斷變化的需要的能力，能夠顯著地節(jié)省時間和成本;但也有幾個不足，包括失去總體安全重點、項目監(jiān)督和尚未準備好生產的原型實施。C.原型設計的變更控制要復雜得多。D.原型設計通常導致原本沒有打算添加的功能或附加物被添加到系統(tǒng)中[單選題]86.在電子商務環(huán)境中，能夠最大限度減少通訊故障風險的最佳方法是：A)使用數據包過濾防火墻來轉送消息。B)使用壓縮軟件縮短傳輸時間。C)功能或消息確認。D)使用更替路由或多重路由。答案:D解析:[單選題]87.IS審計師發(fā)現(xiàn)系統(tǒng)開發(fā)模式下，有12個鏈接塊且每條記錄帶有10個可定義屬性的字段。系統(tǒng)一年處理幾百萬條事務，IS審計師可以使用以下哪種技術來評價開發(fā)工作的大??？A)項目評審技術B)源代碼系統(tǒng)C)功能點分析D)白盒測試答案:C解析:功能點分析是一種通過考慮輸入，輸出和文件的數目和復雜性間接測量應用程序大小的方法。它用于評估復雜的項目。項目評審技術是管理技術有助于項目規(guī)劃和控制。源代碼統(tǒng)計給予一個程序大小的直接測量，但不允許產生有重復的鏈接模塊的和各種各樣的輸入和輸出地復雜度。白盒測試包括詳細的程序代碼行為檢查，也是適合于簡單應用程序設計和開發(fā)建立階段的質量保證技術。點評：項目規(guī)模估算技術--FPA、SLOC[單選題]88.循環(huán)冗余檢查(CRC)通常用于確定:A)數據輸入的準確性。B)所下載程序的完整性。C)加密的充分性。D)數據傳輸的有效性。答案:D解析:A.數據輸入的準確性可以通過數據驗證控制(例如選擇列表、交叉檢查、合理性檢查、總數核對控制、允許的字符檢查等)來實現(xiàn)。B.校驗或數字簽名是通常用于驗證所下載程序或其他所傳輸數據的完整性。C.加密的充分性取決于要保護數據的敏感度以及決定用多長時間才能破解特定加密方法的算法。D.數據傳輸塊(例如從硬盤傳輸的數據)的準確性由循環(huán)冗余檢查(CRC)驗證。[單選題]89.某位曾參與過組織業(yè)務連續(xù)性計劃(BCP)設計的IS審計師被指派審計該計劃。IS審計師應A)拒絕接受任務。B)完成審計任務后通知管理人員可能存在利益沖突。C)開始執(zhí)行任務前通知BCP團隊可能存在利益沖突。D)開始執(zhí)行任務前通知審計管理部門可能存在利益沖突。答案:D解析:A.只有經過管理層批準，或向管理部門、計管理部門或其他利益相關方披露之后，才可以拒絕接受任務。B.應在開始執(zhí)行任務前獲得批準，而不是在完成任務后。C.開始執(zhí)行任務前通知BCP團隊可能存在利益沖突不正確，原因是BCP團隊無權決定此類事宜。D.潛在利益沖突有可能影響IS審計師的獨立性，應在開始執(zhí)行任務之前就提請管理人員注意。[單選題]90.下列哪些組件，在入侵檢測系統(tǒng)（ID、S）中負責收集數據？A)分析器B)管理控制臺C)用戶界面D)傳感器答案:A解析:傳感器負責收集數據。分析儀接收來自傳感器的輸入，并確定活動的侵擾。一個管理控制臺和用戶界面是ID、S的組成部分。[單選題]91.某IS審計師建議于信用卡交易獲取應用程序中加入初始驗證控制。該初始驗證過程最有可能:A)檢查并確保交易類型適用于信用卡類型。B)檢查所輸入數字的格式并在數據庫中將其定位。C)確保輸入的交易不超出持卡人的信用額度。D)確認信用卡未在主文件中顯示為丟失或被盜。答案:B解析:A.初始驗證不會被用于檢查交易類型只會檢查卡號的有效性。B.