CISA歷年真題回憶匯編

CISA2013歷年真題回憶匯編

2013年3月24日更新

說明：

（1）本習題集為我培訓班考生提供的2010—2012年共五次CISA考試部分真題回憶，習

題僅涵蓋真實考試的知識點與題目及相關(guān)選項描述。鑒于回憶的偏差性，真實考題

通常會有更長篇幅的背景及題干描述。

（2）由于官方從不公布歷年真題及答案，建議學員將此真題匯編在考前作為沖刺題使用，

僅學員評估知識體系掌握的完備性并進一步熟悉考試的難度。

（3）本習題集為歷年真題，參考答案僅為參考，涉及相關(guān)知識點請學員參考各章節(jié)知識

體系指南，以加深對考點的理解和掌握。

（4）CISA每次考試均為在全球范圍內(nèi)征集新題并更新題庫，切忌盲目背題.

對IT部門的戰(zhàn)略規(guī)劃流程/程序的最佳描述是：

選項：

A、依照組織大的規(guī)劃和目標，IT部門或都有短期計劃，或者有長期計劃

B、IT部門的戰(zhàn)略計劃必須是基于時間和基于項目的，但是不會詳細到能夠確定滿足業(yè)務(wù)要

求的優(yōu)先順序的程序

C、IT部門的長期規(guī)劃應(yīng)該認識到組織目標、技術(shù)優(yōu)勢和規(guī)章的要求

D、IT部門的短期規(guī)劃不必集成到組織的短計劃內(nèi)，因為技術(shù)的發(fā)展對IT部門的規(guī)劃的推動,

快于對組織計劃的推動

參考答案:C

用戶對應(yīng)用系統(tǒng)驗收測試之后，IS審計師實施檢查，他（或她）應(yīng)該關(guān)注的重點

選項：

A、確認測試目標是否成文

B、評估用戶是否記載了預期的測試結(jié)果

C、檢查測試問題日志是否完整

D、確認還有沒有尚未解決的問題

參考答案:D

某IS審計人員需要將其微機與某大型機系統(tǒng)相連，該大型機系統(tǒng)采用同步塊數(shù)據(jù)傳輸通訊,

而微機只支持異步ASCII字符數(shù)據(jù)通訊。為實現(xiàn)其連通目標，需為該IS審計人員的微機增加

以下哪一類功能？

選項：

A、緩沖器容量和并行端口

B、網(wǎng)絡(luò)控制器和緩沖器容量

C、并行端口和協(xié)議轉(zhuǎn)換

D、協(xié)議轉(zhuǎn)換和緩沖器容量

參考答案:D

在關(guān)于外部信息系統(tǒng)服務(wù)的合同的以下條款中，IS審計師最不關(guān)心的是哪項？

選項：

A、程序和文件的所有權(quán)

B、應(yīng)有的謹慎和保密聲明

C、災(zāi)難情況下外包人的持續(xù)服務(wù)

D、供貨商使用的計算機硬件的詳盡描述

參考答案:D

WEB服務(wù)器的逆向代理技術(shù)用于如下哪一種情況下？

選項：

A、HTTP服務(wù)器的地址必須隱藏

B、需要加速訪問所有發(fā)布的頁面

C、為容錯而要求緩存技術(shù)

D、限制用戶(指操作員的帶寬)

參考答案:A

以下哪一種圖像處理技術(shù)能夠讀入預定義格式的書寫體并將其轉(zhuǎn)換為電子格式？

選項：

A、磁墨字符識別(M1CR)

B、智能語音識別(IVR)

C、條形碼識別(BCR)

D、光學字符識別(OCR)

參考答案:D

能力計劃流程的關(guān)鍵目標是確保：

選項：

A、可用資源的完全使用

B、將新資源及時添加到新的應(yīng)用系統(tǒng)中

C、可用資源的充分和有效的利用

D、資源的利用率不低于85%

參考答案:C

在評估計算機預防性維護程序的有效性和充分性時，以下哪一項能為IS審計人員提供最大的

幫助？

選項：

A、系統(tǒng)故障時間日志

B、供應(yīng)商的可靠性描述

C、預定的定期維護日志

D、書面的預防性維護計劃表

參考答案:A

下面哪一句涉及包交換網(wǎng)絡(luò)的描述是正確的？

選項：

A、目的地相同的包穿過網(wǎng)絡(luò)的路徑(或稱為：路徑)相同

B、密碼/口令不能內(nèi)置于數(shù)據(jù)包里

C、包的長度不是固定的，但是每個包內(nèi)容納的信息數(shù)據(jù)是一樣的

D、數(shù)據(jù)包的傳輸成本取決于將傳輸?shù)臄?shù)據(jù)包本身，與傳輸距離和傳輸路徑無關(guān)

參考答案:D

分布式環(huán)境中，服務(wù)器失效帶來的影響最小的是：

選項：

A、冗余路由

B、集群

C、備用電話線

D、備用電源

參考答案:B

大學的IT部門和財務(wù)部（FSO,financialservicesoffice）之間簽有服務(wù)水平協(xié)議（SLA）,

要求每個月系統(tǒng)可用性超過98%。財務(wù)部后來分析系統(tǒng)的可用性，發(fā)現(xiàn)平均每個月的可用性

確實超過98%,但是月末結(jié)賬期的系統(tǒng)可用性只有93%。那么，財務(wù)部應(yīng)該采取的最佳行動

是：

選項：

A、就協(xié)議內(nèi)容和價格重新談判

B、通知IT部門協(xié)議規(guī)定的標準沒有達到

C、增購計算機設(shè)備等（資源）

D、將月底結(jié)賬處理順延

參考答案:A

在審查LAN的實施時IS審計人員應(yīng)首先檢查：

選項：

A、節(jié)點列表

B、驗收測試報告

C、網(wǎng)絡(luò)結(jié)構(gòu)圖

D、用戶列表

參考答案:C

數(shù)據(jù)庫規(guī)格化的主要好處是：

選項：

A、在滿足用戶需求的前提下，最大程度地減小表內(nèi)信息的冗余（即：重復）

B、滿足更多查詢的能力

C、山多張表實現(xiàn)，最大程度的數(shù)據(jù)庫完整性

D、通過更快地信息處理，減小反應(yīng)時間

參考答案:A

在審查一個大型數(shù)據(jù)中心期間，IS審計人員注意到其計算機操作員同時兼任備份磁帶管理員

和安全管理員。以下哪種情形應(yīng)在審計報告中視為最為危險的？

選項:

A、計算機操作員兼任備份磁帶庫管理員

B、計算機操作員兼任安全管理員

C、計算機操作員同時兼任備份磁帶庫管理管理員和安全管理員

D、沒有必要報告上述任何一種情形

參考答案:B

在數(shù)據(jù)庫應(yīng)用系統(tǒng)的需求定義階段，性能被列為優(yōu)先要求。訪問數(shù)據(jù)庫管理系統(tǒng)(DBMS)

文件時，推薦采用如下哪一種技術(shù)以獲得最佳的輸入、輸出(I/O)性能？

選項：

A、存儲區(qū)域網(wǎng)絡(luò)(SAN,Storageareanetwork)

B、網(wǎng)絡(luò)接入存儲(NAS,NetworkAttachedStorage)

C、網(wǎng)絡(luò)文件系統(tǒng)(NFSv2,Networkfilesystem)

D、通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS.CommonInternetFileSystem)

參考答案:A

以下哪一項有助于檢測入侵者對服務(wù)器系統(tǒng)日志的改動？

選項:

A、在另一臺服務(wù)器鏡像該系統(tǒng)日志

B、在一塊一次寫磁盤上同時復制該系統(tǒng)日志

C、將保存系統(tǒng)日志的目錄設(shè)為寫保護

D、異地保存該系統(tǒng)日志的備份

參考答案:B

對于防止系統(tǒng)的弱點或漏洞被利用(或攻擊)，下成哪一種是最好的方法？

選項：

A、日志檢查

B、防病毒措施

C、入侵監(jiān)測

D、補丁管理

參考答案:D

檢查外包計算機中心的服務(wù)等級協(xié)議(SLA)時，IS審計師應(yīng)該首先確定：

選項：

A、將獲得的服務(wù)價格在合理的范圍內(nèi)

B、協(xié)議中指定了安全機制

C、協(xié)議中確定的服務(wù)符合業(yè)務(wù)需求

D、協(xié)議中允許IS審計師審計對計算機中心的訪問

參考答案:C

以下哪一項可以在不同網(wǎng)絡(luò)之間e-mail格式，從而使e-mail可以在所有網(wǎng)絡(luò)上傳播？

選項：

A、網(wǎng)關(guān)

B、協(xié)議轉(zhuǎn)換器

C、前端通訊處理機

D、集中器/多路選擇器

參考答案:A

代碼簽名的目的是確保：

選項：

A、軟件沒有被后續(xù)修改

B、應(yīng)用程序可以與其他已簽名的應(yīng)用安全地對接使用

C、應(yīng)用（程序）的簽名人是受到信任的

D、簽名人的私鑰還沒有被泄露

參考答案:A

IS審計師分析數(shù)據(jù)庫管理系統(tǒng)（DBMS）的審計日志時，發(fā)現(xiàn)一些事務(wù)（transactions）只執(zhí)

行了?半就出錯了，但是沒有回滾整個事務(wù)。那么，這種情況違反了事務(wù)處理特性的哪一項？

選項：

A、一致性

B、獨立性

C、持續(xù)性

D、原子性

參考答案:D

以下哪?種網(wǎng)絡(luò)配置結(jié)構(gòu)能使任意兩臺主機之間均有直接連接？

選項：

A、總線

B、環(huán)型

C、星型

D、全連接（網(wǎng)狀）

參考答案:D

對以下哪項的分析最有可能使IS審計人員確定有未被核準的程序曾企圖訪問敏感數(shù)據(jù)？

選項：

A、異常作業(yè)終止報告

B、操作員問題報告

C、系統(tǒng)日志

D、操作員工作日程安排

參考答案:C

電子商務(wù)環(huán)境中降低通訊故障的最佳方式是：

選項:

A、使用壓縮軟件來縮短通訊傳輸耗時

B、使用功能或消息確認（機制）

C、利用包過濾防火墻，重新路由消息

D、租用異步傳輸模式（ATM）線路

參考答案:D

檢查用于互聯(lián)網(wǎng)Internet通訊的網(wǎng)絡(luò)時，IS審計應(yīng)該首先檢查、確定：

選項：

A、是否口令經(jīng)常修改

B、客戶/服務(wù)器應(yīng)用的框架

C、網(wǎng)絡(luò)框架和設(shè)計

D、防火墻保護和代理服務(wù)器

參考答案:C

以下哪一項是針對部件通訊故障/錯誤的控制？

選項：

A、限制操作員訪問和維護審計軌跡

B、監(jiān)視并評審系統(tǒng)工程活動

C、配備網(wǎng)絡(luò)冗余

D、建立接觸網(wǎng)絡(luò)傳輸數(shù)據(jù)的物理屏障

參考答案:C

規(guī)劃并監(jiān)控計算機資源，以確保其得到有效利用的是：

選項：

A、硬件監(jiān)控

B、能力管理

C、網(wǎng)絡(luò)管理

D、作業(yè)調(diào)度

參考答案:B

在檢查廣域網(wǎng)（WAN）的使用情況時，發(fā)現(xiàn)連接主服務(wù)器和備用數(shù)據(jù)庫服務(wù)器之間線路通

訊異常，流量峰值達到了這條線路容量的96%。IS審計師應(yīng)該決定后續(xù)的行動是：

選項：

A、實施分析，以確定該事件是否為暫時的服務(wù)實效所引起

B、由于廣域網(wǎng)（WAN）的通訊流量尚未飽和，96%的流量還在正常范圍內(nèi)，不必理會

C、這條線路應(yīng)該立即更換以提升其通訊容量，使通訊峰值不超過總?cè)萘康?5%

D、通知相關(guān)員工降低其通訊流量，或把網(wǎng)絡(luò)流量大的任務(wù)安排到下班后或清晨執(zhí)行，使

WAN的流量保持相對穩(wěn)定

參考答案:A

企業(yè)正在與廠商談判服務(wù)水平協(xié)議（SLA）,首要的工作是：

選項：

A、實施可行性研究

B、核實與公司政策的符合性

C、起草其中的罰則

D、起草服務(wù)水平要求

參考答案:D

將輸出結(jié)果及控制總計和輸入數(shù)據(jù)及控制總計進行匹配可以驗證輸出結(jié)果，以下哪項能起

上述作用？

選項：

A、批量頭格式

B、批量平衡

C、數(shù)據(jù)轉(zhuǎn)換差錯糾正

D、對打印池的訪問控制

參考答案:B

測試程序變更管理流程時，IS審計師使用的最有效的方法是：

選項：

A、由系統(tǒng)生成的信息跟蹤到變更管理文檔

B、檢查變更管理文檔中涉及的證據(jù)的精確性和正確性

C、由變更管理文檔跟蹤到生成審計軌跡的系統(tǒng)

D、檢查變更管理文檔中涉及的證據(jù)的完整性

參考答案:A

應(yīng)用控制的目的是保證當錯誤數(shù)據(jù)被輸入系統(tǒng)時，該數(shù)據(jù)能被：

選項:

A、接受和處理

B、接受但不處理

C、不接受也不處理

D、不接受但處理

參考答案:C

一旦組織已經(jīng)完成其所有關(guān)鍵業(yè)務(wù)的業(yè)務(wù)流程再造（BPR）,IS審計人員最有可能集中檢查:

選項：

A、BPR實施前的處理流程圖

B、BPR實施后的處理流程圖

C、BPR項目計戈ij

D、持續(xù)改進和監(jiān)控計劃

參考答案:B

以一哪項功能應(yīng)當山應(yīng)用所有者執(zhí)行，從而確保IS和最終用戶的充分的職責分工？

選項：

A、系統(tǒng)分析

B、數(shù)據(jù)訪問控制授權(quán)

C、應(yīng)用編程

D、數(shù)據(jù)管理

參考答案:B

IT治理確保組織的IT戰(zhàn)略符合于：

選項：

A、企業(yè)目標

B、IT目標

C、審計目標

D、控制目標

參考答案:A

在一個交易驅(qū)動的系統(tǒng)環(huán)境中，IS審計人員應(yīng)審查基原子性以確定：

選項：

A、數(shù)據(jù)庫是否能經(jīng)受失?。ㄓ布蜍浖?/p>

B、交易之間是否相互隔離

C、完整性條件是否得到保持

D、一個交易是否已完成或沒有進行或數(shù)據(jù)庫已經(jīng)修改或沒有修改

參考答案:D

如果以下哪項職能與系統(tǒng)一起執(zhí)行，會引起我們的關(guān)切？

選項：

A、訪問規(guī)則的維護

B、系統(tǒng)審計軌跡的審查

C、數(shù)據(jù)保管異口同聲

D、運行狀態(tài)監(jiān)視

參考答案:B

在審查組織的業(yè)務(wù)流程再造（BPR）的效果時，IS審計人員主要關(guān)注的是：

選項：

A、項目的成本超支

B、雇員對變革的抵觸

C、關(guān)鍵控制可能從業(yè)務(wù)流程中取消

D、新流程缺少文檔

參考答案:C

開發(fā)一個風險管理程序時進行的第一項活動是：

選項：

A、威脅評估

B、數(shù)據(jù)分類

C、資產(chǎn)盤點

D、并行模擬

參考答案:C

IS指導委員會應(yīng)當：

選項：

A、包括來自不同部門和員工級別的成員

B、確保IS安全政策和流程已經(jīng)被恰當?shù)貓?zhí)行了

C、有正式的引用條款和保管會議紀要

D、由供應(yīng)商在每次會議上簡單介紹新趨勢和產(chǎn)品

參考答案:C

在線（處理）系統(tǒng)環(huán)境下，難以做到完全的職責分工時，下面哪一個職責必須與其他分開?

選項：

A、數(shù)據(jù)采集和錄入

B、授權(quán)/批準

c^記錄

D、糾錯

參考答案:B

為降低成本、改善得到的服務(wù)，外包方應(yīng)該考慮增加哪一項合同條款？

選項：

A、操作系統(tǒng)和硬件更新周期

B、與承包方分享績效紅利

C、嚴厲的違例懲罰

D、為外包合同追加資金

參考答案:B

達到評價IT風險的目標最好是通過

選項：

A、評估與當前IT資產(chǎn)和IT項目相關(guān)的威脅

B、使用過去公司損失的實際經(jīng)驗來確定當前的風險

C、瀏覽公開報道的可比較組織的損失統(tǒng)計數(shù)據(jù)

D、瀏覽審計報告中涉及的IT控制薄弱點

參考答案:A

作為信息安全治理的成果，戰(zhàn)略方針提供了：

選項：

A、企業(yè)所需的安全要求

B、遵從最佳實務(wù)的安全基準

C、H常化、制度化的解決方案

D、風險暴露的理解

參考答案:A

在數(shù)據(jù)倉庫中，能保證數(shù)據(jù)質(zhì)量的是：

選項：

A、凈化

B、重構(gòu)

C、源數(shù)據(jù)的可信性

D、轉(zhuǎn)換

參考答案:C

應(yīng)用系統(tǒng)開發(fā)的責任下放到各業(yè)務(wù)基層，最有可能導致的后果是

選項：

A、大大減少所需數(shù)據(jù)通訊

B、控制水平較低

C、控制水平較高

D、改善了職責分工

參考答案:B

以下哪一項是業(yè)務(wù)流程再造項目的第一步？

選項：

A、界定檢查范圍

B、開發(fā)項目計劃

C、了解所檢查的流程

D、所檢查流程的重組和簡化

參考答案:A

企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當?shù)难a償性控制是:

選項：

A、限制物理訪問計算設(shè)備

B、檢查事務(wù)和應(yīng)用日志

C、雇用新1T員工之前進行背景調(diào)查

D、在雙休日鎖定用戶會話

參考答案:B

組織內(nèi)數(shù)據(jù)安全官的最為重要的職責是：

選項：

A、推薦并監(jiān)督數(shù)據(jù)安全政策

B、在組織內(nèi)推廣安全意識

C、制定IT安全政策下的安全程序/流程

D、管理物理和邏輯訪問控制

參考答案:A

執(zhí)行應(yīng)用控制審核的IS審計人員應(yīng)評價：

選項：

A、應(yīng)用滿足業(yè)務(wù)需求的效率

B、所有已發(fā)現(xiàn)的、暴露的影響

C、應(yīng)用所服務(wù)的業(yè)務(wù)流程

D、應(yīng)用的優(yōu)化

參考答案:B

質(zhì)量保證小組通常負責：

選項：

A、確保從系統(tǒng)處理收到的輸出是完整的

B、監(jiān)督計算機處理任務(wù)的執(zhí)行

C、確保程序、程序的更改以及存檔符合制定的標準

D、設(shè)計流程來保護數(shù)據(jù)，以免被意外泄露、更改或破壞

參考答案:C

山安全管理員負責的首選職責是：

選項：

A、批準安全政策

B、測試應(yīng)用軟件

C、確保數(shù)據(jù)的完整性

D、維護訪問規(guī)則

參考答案:D

多用戶網(wǎng)絡(luò)環(huán)境下實現(xiàn)數(shù)據(jù)共享的基礎(chǔ)在于程序間的通訊。以下哪一項使得程序間通訊特性

的實施和維護變得更加困難？

選項：

A、用戶隔離

B、受控的遠程訪問

C、透明的遠程訪問

D、網(wǎng)絡(luò)環(huán)境

參考答案:D

IS審計師在審計公司IS戰(zhàn)略時最不可能：

選項：

A、評估IS安全流程

B、審查短期和長期IS戰(zhàn)略

C、與適當?shù)墓竟芾砣藛T面談

D、確保外部環(huán)境被考慮了

參考答案:A

某零售企業(yè)的每個出口自動對銷售定單進行順序編號。小額定單直接在出口處理，而大額定

單則送往中心生產(chǎn)機構(gòu)。保證所有送往生產(chǎn)機構(gòu)的定單都被接收和處理的最適當?shù)目刂剖?

選項：

A、發(fā)送并對賬交易數(shù)及總計

B、將數(shù)據(jù)送回本地進行比較

C、利用奇偶檢查來比較數(shù)據(jù)

D、在生產(chǎn)機構(gòu)對銷售定單的編號順序進行追蹤和計算

參考答案:A

以下哪一項是集成測試設(shè)施（ITF）的優(yōu)勢？

選項：

A、它利用了實際的主文件，因此IS審計人員可以不審查源交易

B、定期測試不要求隔離測試過程

C、它驗證應(yīng)用系統(tǒng)并測試系統(tǒng)的持續(xù)運行

D、它不需要準備測試數(shù)據(jù)

參考答案:B

以下哪一項數(shù)據(jù)庫管理員行為不太可能被記錄在檢測性控制日志中？

選項：

A、刪除一個記錄

B、改變一個口令

C、泄露一個口令

D、改變訪問權(quán)限

參考答案:C

IS審計師應(yīng)當使用以下哪種報告來檢查遵守服務(wù)層次協(xié)議（SLA）有關(guān)可用時間的要求?

選項：

A、利用情況報告

B、硬件故障報告

C、系統(tǒng)日志

D、可用性報告

參考答案:D

對于數(shù)據(jù)庫管理而言，最重要的控制是：

選項：

A、批準數(shù)據(jù)庫管理員（DBA）的活動

B、職責分工

C、訪問日志和相關(guān)活動的檢查

D、檢查數(shù)據(jù)庫工具的使用

參考答案:B

為評估軟件的可靠性，IS審計師應(yīng)該采取哪一種步驟？

選項：

A、檢查不成功的登陸嘗試次數(shù)

B、累計指定執(zhí)行周期內(nèi)的程序出錯數(shù)目

C、測定不同請求的反應(yīng)時間

D、約見用戶，以評估其需求所滿足的范圍

參考答案:B

在審核組織的系統(tǒng)開發(fā)方法學時，IS審計人員通常首先執(zhí)行以下哪一項審計程序？

選項：

A、確定程序的充分性

B、分析程序的效率

C、評價符合程序的程度

D、比較既定程序和實際觀察到的程序

參考答案:D

在業(yè)務(wù)流程重組（BPR）的哪一個步驟，待測定的團隊應(yīng)訪問、參觀基準伙伴？

選項：

A、觀察

B、計劃

C、分析

D、調(diào)整

參考答案:A

企業(yè)最終決定直接采購商業(yè)化的軟件包，而不是開發(fā)。那么，傳統(tǒng)的軟件開發(fā)生產(chǎn)周期

（SDLC）中設(shè)計和開發(fā)階段，就被置換為：

選項:

A、挑選和配置階段

B、可行性研究和需求定義階段

C、實施和測試階段

D、（無，不需要置換）

參考答案:A

某IS審計人員參與了某應(yīng)用開發(fā)項目并被指定幫助進行數(shù)據(jù)安全方面的設(shè)計工作。當該應(yīng)用

即將投入運行時，以下哪一項可以為公司資產(chǎn)的保護提供最合理的保證？

選項：

A、由內(nèi)部審計人員進行一次審核

B、由指定的1S審計人員進行一次審查

C、由用戶規(guī)定審核的深度和內(nèi)容

D、由另一個同等資歷的IS審計人員進行一次獨立的審查

參考答案:D

如下，哪一項是時間盒管理的特征？

選項：

A、它不能與原型開發(fā)或快速應(yīng)用開發(fā)（RAD）配合使用

B、它回避了質(zhì)量管理程序（或流程）的要求

C、它能避免預算超支和工期延后

D、它分別進行系統(tǒng)測試和用戶驗收測試

參考答案:C

隨著應(yīng)用系統(tǒng)開發(fā)的進行孤明顯有數(shù)個設(shè)計目標已無法實現(xiàn)最有可能導致這一結(jié)果的原因

是：

選項：

A、用戶參與不足

B、項目此理早期撤職

C、不充分的質(zhì)量保證（QA）工具

D、沒有遵從既定的己批準功能

參考答案:A

在實施某應(yīng)用軟件包時，以下哪項風險最大？

選項：

A、多個未受控制的軟件版本

B、源程序和目標代碼不同步

C、參數(shù)設(shè)置錯誤

D、編程錯誤

參考答案:C

集線器（HUB）設(shè)備用來連接：

選項：

A、兩個采用不同協(xié)議的LANs

B、一個LAN和一個WAN

C、一個LAN和一個MAN（城域網(wǎng)）

D、一個LAN中的兩個網(wǎng)段

參考答案:D

IS管理層建立變更管理程序的目的是：

選項：

A、控制應(yīng)用從測試環(huán)境向生產(chǎn)環(huán)境的移動

B、控制因忽略了未解決的問題而導致的業(yè)務(wù)中斷

C、保證在災(zāi)難發(fā)生時'也務(wù)操作的不間斷

D、檢驗系統(tǒng)變更已得到適當?shù)臅娴挠涗?/p>

參考答案:A

以下哪一項啊有可能在系統(tǒng)開發(fā)項目處于編程的中間階段時進行？

選項：

A、單元測試

B、壓力測試

C、回歸測試

D、驗收測試

參考答案:A

在審計系統(tǒng)開發(fā)項目的需求階段時，IS審計人員應(yīng)：

選項：

A、評估審計足跡的充分性

B、標識并確定需求的關(guān)鍵程度

C、驗證成本理由和期望收益

D、確保控制規(guī)格已經(jīng)定義

參考答案:D

評估數(shù)據(jù)庫應(yīng)用的便捷性時，IS審計師應(yīng)該驗證:

選項：

A、能夠使用結(jié)構(gòu)化查詢語言(SQL)

B、與其他系統(tǒng)之間存在信息的導入、導出程序

C、系統(tǒng)中采用了索引(Index)

D、所有實體(entities)都有關(guān)鍵名、主鍵和外鍵

參考答案:A

軟件開發(fā)的瀑布模型，用于下面的哪一種情況時最為適當?shù)模?/p>

選項：

A、理解了需求，并且要求需求保持穩(wěn)定，尤其是開發(fā)的系統(tǒng)所運行的業(yè)務(wù)環(huán)境沒有變化或

變化很小

B、需求被充分地理解，項目又面臨工期壓力

C、項目要采用面向?qū)ο蟮脑O(shè)計和編程方法

D、項目要引用新技術(shù)

參考答案:A

IS審計師正在檢查開發(fā)完成的項目，以確定新的應(yīng)用是否滿足業(yè)務(wù)目標的要求。下面哪類報

告能夠提供最有價值的參考？

選項：

A、用戶驗收測試報告

B、性能測試報告

C、開發(fā)商與本企業(yè)互訪記錄(或社會交往報告)

D、穿透測試報告

參考答案:A

假設(shè)網(wǎng)絡(luò)中的一個設(shè)備發(fā)生故障，那么在下哪種局域網(wǎng)結(jié)構(gòu)更容易面臨全面癱瘓？

選項：

A、星型

B、總線

C、環(huán)型

D、全連接

參考答案:A

項目開發(fā)過程中用來檢測軟件錯誤的對等審查活動稱為：

選項：

A、仿真技術(shù)

B、結(jié)構(gòu)化走查

C、模塊化程序設(shè)計技術(shù)

D、自頂向下的程序構(gòu)造

參考答案:B

TCP/IP協(xié)議簇包含的面向連接的協(xié)議處于：

選項：

A、傳輸層

B、應(yīng)用層

C、物理層

D、網(wǎng)絡(luò)層

參考答案:A

當應(yīng)用開發(fā)人員希望利用昨日的生產(chǎn)交易文件的拷貝進行大量測試時，IS審計人員首先應(yīng)關(guān)

注的是：

選項：

A、用戶可能更愿意使用預先制作的測試數(shù)據(jù)

B、可能會導致對敏感數(shù)據(jù)的非授權(quán)訪問

C、錯誤處理可信性檢查可能得不到充分證實

D、沒有必要對新流程的全部功能進行測試

參考答案:B

以下哪一個群體應(yīng)作為系統(tǒng)開發(fā)項目及結(jié)果系統(tǒng)的擁有者？

選項：

A、用戶管理層

B、高級管理層

C、項目指導委員會

D、系統(tǒng)開發(fā)管理層

參考答案:A

以下哪一項根據(jù)系統(tǒng)輸入、輸出及文件的數(shù)量和復雜性來測算系統(tǒng)的規(guī)模？

選項：

A、程序評估審查技術(shù)（PERT）

B、快速應(yīng)用開發(fā)（RAD）

C、功能點分析（FPA）

D、關(guān)鍵路徑法（CPM）

參考答案:C

IS審計人員在應(yīng)用開發(fā)項目的系統(tǒng)設(shè)計階段的首要任務(wù)是：

選項：

A、商定明確詳盡的控制程序

B、確保設(shè)計準確地反映了需求

C、確保初始設(shè)計中包含了所有必要的控制

D、勸告開發(fā)經(jīng)理要遵守進度表

參考答案:C

對于測試新的、修改的或升級的系統(tǒng)而言，為測試其（處理）邏輯，創(chuàng)建測試數(shù)據(jù)時，最重

要的是：

選項：

A、為每項測試方案準備充足的數(shù)據(jù)

B、實際處理中期望的數(shù)據(jù)表現(xiàn)形式

C、按照計劃完成測試

D、對實際數(shù)據(jù)進行隨機抽樣

參考答案:B

在契約性協(xié)議包含源代碼第三方保存契約(escrow)的目的是：

選項：

A、保證在供應(yīng)商不存在時源代碼仍然有效

B、允許定制軟件以滿足特定的業(yè)務(wù)需求

C、審核源代碼以保證控制的充分性

D、保證供應(yīng)商己遵從法律要求

參考答案:A

IS審計人員應(yīng)在系統(tǒng)開發(fā)流程的哪一個階段首次提出應(yīng)用控制的問題？

選項：

A、構(gòu)造

B、系統(tǒng)設(shè)計

C、驗收測試

D、功能說明

參考答案:D

為趕項目工期，而增加人手時，首先應(yīng)該重新核定下面的哪一項？

選項：

A、項目預算

B、項目的關(guān)鍵路徑

C、剩余任務(wù)的(耗時)長短

D、指派新增的人手支做其工作

參考答案:B

以下哪一項是數(shù)據(jù)倉庫設(shè)計中最重要的因素？

選項：

A、元數(shù)據(jù)的質(zhì)量

B、處理的速度

C、數(shù)據(jù)的變動性

D、系統(tǒng)弱點

參考答案:A

在檢查基于WEB的軟件開發(fā)項目時，IS審計師發(fā)現(xiàn)其編程沒遵循適當?shù)木幊虡藴?，也沒有

認真檢查這些源程序。這將增加如下哪一類攻擊得手的可能性？

選項：

A、緩沖器溢出

B、暴力攻擊

C、分布式拒絕服務(wù)攻擊

D、戰(zhàn)爭撥號攻擊

參考答案:A

在因特網(wǎng)應(yīng)用中使用小應(yīng)用程序（applets）的最有可能的解釋是：

選項：

A、它是從服務(wù)器跨網(wǎng)絡(luò)發(fā)送

B、服務(wù)器不能運行程序且輸出不能跨網(wǎng)絡(luò)發(fā)送

C、它可同時改進WEB服務(wù)器和網(wǎng)絡(luò)的性能

D、它是一種通過WEB瀏覽器下我并在客戶機的WEB服務(wù)器上運行的JAVA程序

參考答案:C

如果已決定買進軟件而不是內(nèi)部自行開發(fā)，那么這一決定通常發(fā)生于：

選項：

A、項目需求定義階段

B、項目可行性研究階段

C、項目詳細設(shè)計階段

D、項目編程階段

參考答案:B

以下哪一項是程序評估審查技術(shù)（PERT）相對于其它技術(shù)的優(yōu)勢？PERT：

選項：

A、為規(guī)劃和控制項目而考慮了不同的情景

B、允許用戶輸入程序和系統(tǒng)參數(shù)

C、準確地測試系統(tǒng)維護流程

D、估計系統(tǒng)項目的成本

參考答案:A

對各業(yè)務(wù)部門實施控制自我評估最為有效的是：

選項：

A、非正式的個人自我檢查

B、引導式研討會

C、業(yè)務(wù)流描述

D、數(shù)據(jù)流程圖

參考答案:B

信息系統(tǒng)審計師在什么情況下應(yīng)該使用統(tǒng)計抽樣，而不是判斷抽樣（非統(tǒng)計抽樣）？

選項：

A、錯誤概率必須是客觀量化的

B、審計師希望避免抽樣風險

C、通用審計軟件不可用

D、可容忍誤差率不能確定

參考答案:A

信息系統(tǒng)審計師檢查IT控制的效力時，發(fā)現(xiàn)以前的審計報告,沒有相應(yīng)的工作底稿，他（她）該怎

么辦？

選項：

A、暫停審核工作，直到找到這些審計底稿

B、信息并直接采納以前的審計報告

C、重新測試好些處于高風險內(nèi)的控制

D、通知審計經(jīng)理，并建議重新測試這些控制

參考答案:D

確保審計資源在組織中發(fā)揮最大價值的首要步驟應(yīng)該是:

選項：

A、規(guī)劃審計工作并監(jiān)控每項審計的時間花費

B、培訓信息系統(tǒng)審計師掌握公司中使用的最新技術(shù)

C、基于詳細的風險評估制定審計計劃

D、監(jiān)控審計進展并實施成本控制

參考答案:C

卜面哪個在線審計技術(shù)對于早期發(fā)現(xiàn)錯誤或誤報有效

選項：

A、嵌入式審計模塊

B、綜合測試工具

C、快照

D、審計鉤

參考答案:D

控制自我評估的成功高度依賴于

選項:

A、讓直線經(jīng)理承擔一部分控制監(jiān)控責任

B、分配構(gòu)建控制的責任，但沒有監(jiān)控責任

C、實施嚴格的控制政策并按規(guī)則進行控制

D、對已分配的責任實施監(jiān)督和監(jiān)控

參考答案:A

使用統(tǒng)計抽樣流程有助于最小化：

選項：

A、抽樣風險

B、檢測性風險

C、固有風險

D、控制風險

參考答案:B

內(nèi)部審計部門，從組織結(jié)構(gòu)上向財務(wù)總監(jiān)而不是審計委員會報告，最有可能：

選項：

A、導致對其審計獨立性的質(zhì)疑

B、報告較多業(yè)務(wù)細節(jié)和相關(guān)發(fā)現(xiàn)

C、加強了審計建議的執(zhí)行

D、在建議中采取更對有效行動

參考答案:A

實施基于風險的審計過程中，完全由IS審計師啟動的風險評估是：

選項：

A、檢查風險的評估

B、控制風險的評估

C、固有風險的評估

D、舞弊風險的評估

參考答案:C

以下哪項應(yīng)是IS審計師最為關(guān)注的：

選項：

A、沒有報告網(wǎng)絡(luò)被攻陷的事件

B、未能就企業(yè)闖入事件通知執(zhí)法人員

C、缺少對操作權(quán)限的定期檢查

D、沒有就闖入事件告之公眾

參考答案:A

為滿足預定義的標準，下面哪一種連續(xù)審計技術(shù)，對于查找要審計的事務(wù)是最佳的工具？

選項：

A、系統(tǒng)控制審計檢查文件和嵌入式審計模塊(SCARF/EAM)

B、持續(xù)和間歇性模擬(CIS)

C、整體測試(ITF)

D、審計鉤(Audithooks)

參考答案:B

在不熟悉領(lǐng)域從事審計時，IS審計師首先應(yīng)該完成的任務(wù)是：

選項：

A、為涉及到的每個系統(tǒng)或功能設(shè)計審計程序

B、開發(fā)一套符合性測試和實質(zhì)性測試

C、收集與新審計項目相關(guān)的背景信息

D、安排人力與經(jīng)濟資源

參考答案:C

在審查定義IT服務(wù)水平的過程控制時.，信息系統(tǒng)審計師最有可能先與下列哪種人面談:

選項：

A、系統(tǒng)編程人員

B、法律顧問

C、業(yè)務(wù)單位經(jīng)理人員

D、應(yīng)用編程人員

參考答案:C

IS審計期間，對收集數(shù)據(jù)范圍的決定應(yīng)基于：

選項：

A、關(guān)鍵和必要信息的可獲得性

B、審計師對相關(guān)環(huán)境的了解程度

C、從被審事項中找到證據(jù)的可能性

D、審計的目的和范圍

參考答案:D

如下哪一類風險是假設(shè)被檢查的方面缺乏補償控制：

選項:

A、控制風險

B、檢查風險

C^固有風險

D、抽樣風險

參考答案:C

以下哪項是CSA的目標：

選項：

A、專注于高風險領(lǐng)域

B、代替審計責任

C、完善控制問卷

D、協(xié)助推進交流

參考答案:A

對新的應(yīng)收帳模塊實施實質(zhì)性審計測試時,IS審計師的日程安排非常緊,而且對計算機知識知

之不多.那么，下面哪一項審計技術(shù)是最佳選擇？

選項：

A、測試數(shù)據(jù)

B、平行模擬(Parallelsimulation)

C、集成測試系統(tǒng)(ITF)

D、嵌放式審計模塊(EAM)

參考答案:A

在評價網(wǎng)絡(luò)監(jiān)控的設(shè)計時,信息系統(tǒng)審計師首先要檢查網(wǎng)絡(luò)的

選項：

A、拓撲圖

B、帶寬的使用

C、流量分析報告

D、瓶頸位置

參考答案:A

審計章程的主要目的是：

選項:

A、把組織需要的審計流程記錄下來

B、正式記錄審計部門的行動計劃

C、為審計師制定職業(yè)行為規(guī)范

D、描述審計部門的權(quán)力與責任

參考答案:D

制訂基于風險的審計程序時,1S審計師最可能關(guān)注的是：

選項：

A、業(yè)務(wù)程序/流程

B、關(guān)鍵的IT應(yīng)用

C、運營控制

D、業(yè)務(wù)戰(zhàn)略

參考答案:A

防止對數(shù)據(jù)文件非授權(quán)使用的最有效的方法是什么？

選項：

A、自動文件記帳

B、磁帶保管員

C、訪問控制軟件

D、加鎖的程序庫

參考答案:C

IS審計師檢查無線網(wǎng)絡(luò)安全時，發(fā)現(xiàn)它沒有啟用動態(tài)主機配置協(xié)議（DHCP）。這樣的設(shè)置

將：

選項：

A、降低未經(jīng)授權(quán)即訪問網(wǎng)絡(luò)資源的風險

B、不適用于小型網(wǎng)絡(luò)

C、能自動分配IP地址

D、增加無線加密協(xié)議（WEP）相關(guān)的風險

參考答案:A

利用殘留在現(xiàn)場的指紋等人體生物特征偵破非授權(quán)的訪問（如：竊賊入室），屬于哪一類攻

擊？

選項：

A、重用、重放、重演（replay）

B、暴力攻擊

C、解密

D、假裝、模仿

參考答案:A

拒絕服務(wù)攻擊損害了卜列哪一種信息安全的特性?

選項：

A、完整性

B、可用性

C、機密性

D、可靠性

參考答案:B

每感染一個文件就變體?次的惡意代碼稱為：

選項：

A、邏輯炸彈

B、隱秘型病毒

C、特洛伊木馬

D、多態(tài)性病毒

參考答案:D

下面哪一種控制是內(nèi)聯(lián)網(wǎng)的一種有效安全控制？

選項：

A、電話回叫

B、固定的口令

C、防火墻

D、動態(tài)口令

參考答案:C

下面哪一種環(huán)境控制措施可以保護計算機不受短期停電影響？

選項：

A、電力線路調(diào)節(jié)器

B、電力浪涌保護設(shè)備

C、備用的電力供應(yīng)

D、可中斷的電力供應(yīng)

參考答案:D

下面的哪一種加密技術(shù)可以最大程度地保護無線網(wǎng)絡(luò)免受中間人攻擊？

選項：

A、128位有線等效加密(WEP)

B、基于MAC地址的預共享密鑰(PSK)

C、隨機生成的預共享密鑰(PSK)

D、字母和數(shù)字組成的服集標識符(SSID)

參考答案:C

為方便使用公司內(nèi)不斷增加的移動設(shè)備(如：筆記本電腦、PDA和有收發(fā)電子郵件功能的手

機)，IS部門經(jīng)理剛剛施工完成無線局域網(wǎng)(WirelessLAN)改造，以替換掉以前的雙絞線

LANo這種技術(shù)改造將會增加哪一種攻擊風險？

選項：

A、端口掃描

B、后|]

C、中間人

D、戰(zhàn)爭駕駛(Wardriving)

參考答案:D

公共密鑰體系(PKI)的某一組成要素的主要功能是管理證書生命周期，包括證書目錄維護，

證書廢止列表維護和證書發(fā)布這個要素是：

選項：

A、證書機構(gòu)(CA)

B、數(shù)字簽名

C、證書實踐聲明

D、注冊機構(gòu)(RA)

參考答案:D

網(wǎng)絡(luò)上數(shù)據(jù)傳輸時，如何保證數(shù)據(jù)的保密性？

選項：

A、數(shù)據(jù)在傳輸前經(jīng)加密處理

B、所有消息附加它哈希值

C、網(wǎng)絡(luò)設(shè)備所在的區(qū)域加強安全警戒

D、電纜作安全保護

參考答案:A

跨國公司的IS經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN,virtualpriavtenetwork)升級，采用通

道技術(shù)使其支持語音IP電話(VOIP,voice-overIP)服務(wù)，那么，需要首要關(guān)注的是：

選項：

A、服務(wù)的可靠性和質(zhì)量(Qos,qualityofservice)

B、身份的驗證方式

C、語音傳輸?shù)谋Ｃ?/p>

D、數(shù)據(jù)傳輸?shù)谋Ｃ?/p>

參考答案:A

在公鑰加密系統(tǒng)(PKI)中，處理私鑰安全的詳細說明的是：

選項：

A、撤銷的證書列表(CRL,Certificaterevocationlist)

B、證書實務(wù)說明(CPS,Certificationpracticestatement)

C、證書政策(CP,Certificatepolicy)

D、PKI披露條款(PDS,PKJdisclosurestatement)

參考答案:B

為保證正常運行的計算機系統(tǒng)能被連續(xù)使用，用戶支持服務(wù)是很重要的，下面哪一種情況與

用戶支持服務(wù)比較接近？

選項：

A、事件處理能力

B、配置管理

C、存儲介質(zhì)控制

D、系統(tǒng)備份

參考答案:A

IS審計師檢查日志文件中的失敗登陸的嘗試，那么，最關(guān)注的賬號是：

選項：

A、網(wǎng)絡(luò)管理員

B、系統(tǒng)管理員

C、數(shù)據(jù)管理員

D、數(shù)據(jù)庫管理員

參考答案:B

許多計算機系統(tǒng)為診斷和服務(wù)支持的目的提供一些“維護賬號''給系統(tǒng)帶來的脆弱性，下面哪

一種安全技術(shù)最不被優(yōu)先考慮使用：

選項：

A、回叫確認

B、通訊加密

C、智能令牌卡

D、口令與用戶名

參考答案:D

某公司計劃升級現(xiàn)有的所有PC機，使其用戶可以使用指紋識別登陸系統(tǒng)，訪問關(guān)鍵的數(shù)據(jù)。

實施時需要：

選項：

A、所有受信的PC機用戶履行的登記、注冊手續(xù)（或稱為：初始化手續(xù)）

B、完全避免失誤接受的風險（即：把非授權(quán)者錯誤識別為授權(quán)者的風險）

C、在指紋識別的基礎(chǔ)上增加口令保護

D、保護非授權(quán)用戶不可能訪問到關(guān)鍵數(shù)據(jù)

參考答案:A

內(nèi)聯(lián)網(wǎng)（Intranet）可以建立在一個組織的內(nèi)部網(wǎng)絡(luò)上，也可以建互聯(lián)網(wǎng)（internet）上，上

面哪?條針對內(nèi)聯(lián)網(wǎng)的控制在安全上是最弱的？

選項：

A、用加密的通道傳輸數(shù)據(jù)

B、安裝加密路山器

C、安裝加密防火墻

D、對私有WWW服務(wù)器實現(xiàn)口令控制

參考答案:D

虛擬專用網(wǎng)（VPN）的數(shù)據(jù)保密性，是通過什么實現(xiàn)的？

選項：

A、安全接口層（SSL,SecureSocketsLayer）

B、網(wǎng)絡(luò)隧道技術(shù)（Tunnelling）

C、數(shù)字簽名

D、網(wǎng)絡(luò)釣魚

參考答案:B

處理計算機犯罪事件需要運用管理團隊的方法，下面哪一個角色的職責是明確的？

選項：

A、經(jīng)理

B、審計人員

C、調(diào)查人員

D、安全負責人

參考答案:A

安全事件應(yīng)急響應(yīng)系統(tǒng)的最終目標是：

選項：

A、對安全事件做出的反應(yīng)不足

B、檢測安全事件

C、對安全事件做出過度反應(yīng)

D、實施提高安全的保護措施

參考答案:D

主動式射頻識別卡（RFID）存在哪一種弱點？

選項：

A、會話被劫持

B、被竊聽

C、存在惡意代碼

D、被網(wǎng)絡(luò)釣魚攻擊

參考答案:B

會話以以下哪?種方式處理，才能最大程度保護無線局域網(wǎng)（WLAN）上傳輸?shù)臋C密信息？

選項：

A、會話被限定在預定的網(wǎng)卡物理地址（MACaddress）上

B、使用固定的密鑰加密

C、使用動態(tài)的密鑰加密

D、由有加密存儲功能的設(shè)備發(fā)起會話

參考答案:C

下面哪一條措施不能防止數(shù)據(jù)泄漏？

選項：

A、數(shù)據(jù)冗余

B、數(shù)據(jù)加密

C、訪問控制

D、密碼系統(tǒng)

參考答案:A

IS審計師檢查企業(yè)的生產(chǎn)環(huán)境中的主機和客戶/服務(wù)器體系之后。發(fā)現(xiàn)的哪一種漏洞或威脅

需要特別關(guān)注？

選項：

A、安全官兼職數(shù)據(jù)庫管理員

B、客戶/服務(wù)器系統(tǒng)沒有適當?shù)墓芾砜诹?密碼控制

C、主機系統(tǒng)上運行的非關(guān)鍵應(yīng)用沒有納入業(yè)務(wù)持續(xù)性計劃的考慮

D、大多數(shù)局域網(wǎng)上的文件服務(wù)器沒有執(zhí)行定期地硬盤備份

參考答案:B

對下列費用舞弊行為按照發(fā)生的頻度以降序進行排序：1、針對電話卡的舞弊2、員工濫用3、

針對專用分組交換機（PBX）的舞弊4、針對移動電話的舞弊

選項：

A、1,2,3,4

B、3,4,1,2

C、2,3,4,1

D、4,1,2,3

參考答案:B

下面哪?種安全技術(shù)是鑒別用戶身份的最好的方法？

選項：

A、智能卡

B、生物測量技術(shù)

C、挑戰(zhàn)-響應(yīng)令牌

D、用戶身份識別碼和口令

參考答案:B

在一個分布式計算環(huán)境中，系統(tǒng)安全特別重要。分布式計算環(huán)境中的網(wǎng)絡(luò)攻擊存在兩種主要

的類型：被動攻擊和主動攻擊。下面哪一種是屬于被動攻擊？

選項：

A、企圖登錄到別人的帳號上

B、在網(wǎng)絡(luò)電纜上安裝偵聽設(shè)備，并產(chǎn)生錯誤消息

C、拒絕為合法用戶提供服務(wù)

D、當用戶鍵入系統(tǒng)口令時，進行竊聽

參考答案:D

IS審計師發(fā)現(xiàn)IDS日志中與入口相關(guān)的端口掃描沒有被分析，這樣將最可能增加哪一類攻擊

成攻的風險？

選項：

A、拒絕服務(wù)攻擊

B、包重放

C、社交工程

D、緩存溢出

參考答案:A

哪一個最能保證來自互聯(lián)網(wǎng)internet的交易事務(wù)的保密性？

選項：

A、數(shù)字簽名

B、數(shù)字加密標準(DES)

C、虛擬專用網(wǎng)(VPN)

D、公鑰加密(PublicKeyencryption)

參考答案:D

下面哪一種的方式會消耗掉有價值的網(wǎng)絡(luò)帶寬？

選項：

A、特洛伊木馬

B、陷井門

C、蠕蟲

D、疫苗

參考答案:C

可以用下列哪一種既經(jīng)濟又方便的方式來防止互聯(lián)網(wǎng)的WWW服務(wù)信息被竊聽？

選項：

A、對連接和文件進行加密

B、對Socket層和HTTP進行力口密

C、對連接和Socket進行加密

D、對文檔和HTTP進行加密

參考答案:B

檢查入侵監(jiān)測系統(tǒng)(IDS)時,IS審計師最關(guān)注的內(nèi)容是：

選項:

A、把正常通訊識別為危險事件的數(shù)量(誤報)

B、系統(tǒng)沒有識別出的攻擊事件

C、由自動化工具生成的報告和日志

D、被系統(tǒng)阻斷的正常通訊流

參考答案:B

在對數(shù)據(jù)中心進行審計時，審計師應(yīng)當檢查電壓調(diào)整器是否存在，以保證：

選項：

A、保護硬件設(shè)備免受浪涌損害

B、如果主電力被中斷，系統(tǒng)的完整性也可以得到維護

C、如果主電力被中斷，可以提供即時的電力供應(yīng)

D、保護硬件設(shè)備不受長期電力波動的影響

參考答案:A

實施安全政策時，落實責任控制是很重要的一方面，在控制系統(tǒng)用戶的責任時下面哪一種情況

有效性是最弱的？

選項：

A、審計要求

B、口令

C、識別控制

D、驗證控制

參考答案:B

大型公司的供應(yīng)商遍布在全球各地，因此其網(wǎng)絡(luò)流量會持續(xù)上升。在這種環(huán)境下的信息基礎(chǔ)

設(shè)備及各種組件應(yīng)當是可縮放的，下列哪?種防火墻的結(jié)構(gòu)限制了其未來的縮放性？

選項：

A、固定單元的防火墻

B、基于操作系統(tǒng)的防火墻

C、基于主機的防火墻

D、非軍事化區(qū)（DMZ）

參考答案:A

計算機舞弊行為可以被以下哪一條措施所遏制？

選項：

A、準備起訴

B、排斥揭發(fā)腐敗內(nèi)幕的雇員

C、忽略了司法系統(tǒng)的低效率

D、準備接收系統(tǒng)缺乏完整性所帶來的風險

參考答案:A

一種基于信任而產(chǎn)生的并且很難防范的主要風險是：

選項：

A、正確使用的授權(quán)訪問

B、被濫用的授權(quán)訪問

C、不成功的非授權(quán)訪問

D、成功的非授權(quán)訪問

參考答案:B

你所在的組織正在計劃購置?套適合多種系統(tǒng)的訪問控制軟件包來保護關(guān)鍵信息資源。在評

估這樣一個軟件產(chǎn)品時最重要的標準是什么？

選項：

A、要保護什么樣的信息？

B、有多少信息要保護？

C、為保護這些重要信息你準備有多大的投入？

D、不保護這些重要信息，你將付出多大的代價？

參考答案:D

一家投資顧問商定期向客戶發(fā)送有關(guān)財經(jīng)新聞的電子郵件,如何保證客戶收到的資料沒有被

修改？

選項：

A、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件的哈席值

B、電子郵件發(fā)送前，用投資顧問商的公鑰加密郵件的哈席值

C、電子郵件發(fā)送前，用投資顧問商的私鑰數(shù)字簽名郵件

D、電子郵件發(fā)送前，用投資顧問商的私鑰加密郵件

參考答案:A

計算機安全應(yīng)急響應(yīng)能力CSIRC需要為其日常使用操作以及對系統(tǒng)有效性和責任性檢查提

供大量信息，下面哪一種日志能最好地反映系統(tǒng)每天的活動過程？

選項：

A、聯(lián)系日志

B、活動日志

C、事件日志

D、審計日志

參考答案:B

建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當是下列哪一種人的責任？

選項:

A、職能部門用戶

B、內(nèi)部審計人員

C、數(shù)據(jù)處理人員

D、外部審計人員

參考答案:A

安全標簽是一種訪問控制機制，它適用于下列哪一種訪問控制策略？

選項：

A、基于角色的策略

B、基于身份的策略

C、用戶向?qū)У牟呗?/p>

D、強制性訪問控制策略

參考答案:D

下列哪一種情況會損害計算機安全政策的有效性？

選項：

A、發(fā)布安全政策時

B、重新檢查安全政策時

C、測試安全政策時

D、可以預測到違反安全政策的強制性措施時

參考答案:D

下面哪一種安全特征可以由結(jié)構(gòu)化查詢評議（SQL）標準來定義？

選項：

A、身份鑒別與驗證

B、事務(wù)管理

C、審計

D、容錯

參考答案:B

下面哪一種日志文件有助于評估計算機安全事例的危害程度？

選項：

A、聯(lián)絡(luò)日志

B、活動日志

C、事件日志

D、審計日志

參考答案:C

下面哪一種屬于網(wǎng)絡(luò)上的被動攻擊？

選項：

A、消息篡改

B、偽裝

C、拒絕服務(wù)

D、流量分析

參考答案:D

數(shù)字簽名可以有效對付哪一類電子信息安全的風險？

選項：

A、非授權(quán)地閱讀

B、盜竊

C、非授權(quán)地復制

D、篡改

參考答案:D

通常，操作系統(tǒng)可以提供哪一種訪問控制功能？

選項：

A、創(chuàng)建數(shù)據(jù)庫用戶賬號(profile)

B、字段級驗證用戶身份

C、為每個人建立登陸賬號

D、為監(jiān)督訪問違例，日志記錄數(shù)據(jù)庫訪問活動

參考答案:C

組織的安全政策可以是廣義的，也可以是狹義的，下面哪一條是屬于廣義的安全政策？

選項：

A、應(yīng)急計劃

B、遠程辦法

C、計算機安全程序

D、電子郵件個人隱私

參考答案:C

從計算機安全的角度看，下面哪一種情況是社交工程的一個直接的例子：

選項：

A、計算機舞弊

B、欺騙或脅迫

C、計算機偷竊

D、計算機破壞

參考答案:B

下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進行安全控制的目的？

選項：

A、完整性控制的需求是基于風險分析的結(jié)果

B、控制已經(jīng)過了測試

C、安全控制規(guī)范是基于風險分析的結(jié)果

D、控制是在可重復的基礎(chǔ)上被測試的

參考答案:D

下面哪一種拒絕服務(wù)攻擊在網(wǎng)絡(luò)上不常見？

選項:

A、服務(wù)過載

B、對消息的洪水攻擊

C、連接阻塞

D、信號接地

參考答案:C

下面哪一種功能不是防火墻的主要功能？

選項：

A、協(xié)議過濾

B、應(yīng)用網(wǎng)關(guān)

C、擴展的日志記錄能力

D、包交換

參考答案:D

對每個字符和每一幀都傳輸冗余信息，可以實現(xiàn)對錯誤的檢測和校正，這種方法稱為:

選項：

A、反饋錯誤控制

B、塊求和校驗

C、轉(zhuǎn)發(fā)錯誤控制

D、循環(huán)冗余校驗

參考答案:C

下列哪一種行為是互聯(lián)網(wǎng)上常見的攻擊形式？

選項：

A、查找軟件設(shè)計錯誤

B、猜測基于個人信息的口令

C、突破門禁系統(tǒng)闖入安全場地

D、種值特洛伊木馬

參考答案:D

在一個單機運行的微型計算機或網(wǎng)絡(luò)服務(wù)器環(huán)境下，防止程序被盜竊和使系統(tǒng)免受病毒威脅

的有效預防性措施不包括以下哪?條？

選項:

A、提醒員工不要在非授權(quán)的情況下拷貝任何存放在計算機硬盤上受保護的可執(zhí)行程序

B、禁止任何人從一張軟盤拷貝可執(zhí)行程序到另一張軟盤

C、不允許有任何從軟件拷貝可執(zhí)行程序到硬盤的企圖

D、禁止任何人從“外來的”軟盤上執(zhí)行任何程序

參考答案:A

能夠最佳地提供本地服務(wù)器上的將處理的工資數(shù)據(jù)的訪問控制的是：

選項：

A、將每次訪問記入個人信息（即：作日志）

B、對敏感的交易事務(wù)使用單獨的密碼/口令

C、使用軟件來約束授權(quán)用戶的訪問

D、限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問

參考答案:C

公司打算安裝單點登陸（SSO）控制軟件，以訪問企業(yè)的所有系統(tǒng)。安裝前，公司領(lǐng)導應(yīng)該

知道：

選項：

A、一旦口令外泄，有可能出現(xiàn)嚴重的非授權(quán)訪問

B、用戶訪問權(quán)限應(yīng)該由附加的安全配置加以限制

C、安全管理員的工作負擔會加重

D、用戶的訪問權(quán)限會增加

參考答案:A

軟件的盜版是一個嚴重的問題。在下面哪?種說法中反盜版的政策和實際行為是矛盾的？

選項：

A、員工的教育和培訓

B、遠距離工作（Telecommuting）與禁止員工攜帶工作軟件回家

C、自動日志和審計軟件

D、政策的發(fā)布與政策的強制執(zhí)行

參考答案:B

網(wǎng)上資金傳輸信息的安全性是一個嚴重的問題,下面哪一種安全控制措施在防止對資金傳輸

信息的舞弊和濫用方面是最有效的？

選項：

A、唯?的口令

B、唯一的用戶名和口令

C、加密

D、唯一的用戶名、口令和個人身份識別碼

參考答案:C

IS審計師檢查指紋識別系統(tǒng)時，發(fā)現(xiàn)?個控制漏洞--1個非授權(quán)用戶可以更新保存指紋模板

的中心數(shù)據(jù)庫。下面的哪一種控制能夠根除這個風險？

選項：

A、Kerberos

B、活性檢查

C、多種生物特征并用

D、生物特征數(shù)字化前后均作記錄

參考答案:A

在評估異地備份供應(yīng)商時，下列哪一條標準最不重要？

選項：

A、存儲介質(zhì)管理和環(huán)境因素

B、員工人數(shù)

C、信譽和站點安全

D、運輸能力

參考答案:B

業(yè)務(wù)連續(xù)性計劃（BCP）的哪個部分，是企業(yè)IS部門的主要責任？

選項：

A、制定業(yè)務(wù)連續(xù)性計劃

B、選定、批準業(yè)務(wù)連續(xù)性計劃的相關(guān)戰(zhàn)略

C、遇災(zāi)報警

D、災(zāi)后恢復IS系統(tǒng)和數(shù)據(jù)

參考答案:D

一旦業(yè)務(wù)功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構(gòu)成

了對組織的主要風險？

選項：

A、在異地存儲的備用資源詳細目錄沒有及時更新

B、在備份計算機和恢復設(shè)備上存儲的備用資源詳細目錄沒有及時更新

C、沒有對緊急情況下的供應(yīng)商或備選供應(yīng)商進行評估，不知道供應(yīng)商是否還在正常營業(yè)

D、過期的材料沒有從有用的資源中剔除

參考答案:C

在檢查通訊備份計劃時，對信息系統(tǒng)審計師來說，網(wǎng)絡(luò)組件的可用性是信息系統(tǒng)審計師主要

考慮的問題。下面哪一條可以滿足網(wǎng)絡(luò)組件的可用性。

選項：

A、前導時間（從設(shè)計到實際使用的時間）

B、可靠性

C、靈活性

D、兼容性

參考答案:A

應(yīng)急計劃能應(yīng)對下列哪一種威脅？

選項：

A、物理威脅和軟件威脅

B、軟件威脅和環(huán)境威脅

C、物理威脅和環(huán)境威脅

D、軟件威脅和硬件威脅

參考答案:C

IS審計師發(fā)現(xiàn)被審計的企業(yè)，各部門均制訂了充分的業(yè)務(wù)連續(xù)性計劃（BCP）,但是沒有整

個企業(yè)的BCP。那么，IS審計師應(yīng)該采取的最佳行動是：

選項：

A、各業(yè)務(wù)部門都有適當?shù)腂CP就夠了，無需其他

B、建議增加、制訂全企業(yè)的、綜合的BCP

C、確定各部門的BCP是否一致，沒有沖突

D、建議合并所有BCP為一個單獨的全企業(yè)的BCP

參考答案:C

IS審計師應(yīng)該參與：

選項：

A、參觀災(zāi)難恢復計劃的測試和演練

B、制定災(zāi)難恢復計劃

C、維護災(zāi)難恢復計劃

D、檢查災(zāi)難恢復需求有交的供應(yīng)商合同

參考答案:A

微型計算機上的軟件和數(shù)據(jù)是否要保存到異地備份站點主要取決于：

選項：

A、訪問的簡便性

B、風險評估

C、完備的標簽

D、完備的文檔

參考答案:B

熱站在何時作為恢復戰(zhàn)略實施？

選項：

A、災(zāi)難的容忍程度低時

B、恢復點目標（RPO）高時

C、恢復時間目標（RTO）高時

D、災(zāi)難的容忍程序高時

參考答案:A

關(guān)于災(zāi)難恢復計劃多長時間測試一次，一直就有爭論。測試災(zāi)害恢復計劃的頻度應(yīng)當基于：

選項：

A、審計師的建議

B、數(shù)據(jù)處理的要求

C、預算額度

D、管理者的意見

參考答案:B

根據(jù)組織業(yè)務(wù)連續(xù)性計劃的復雜程度，可以建立多個計劃來滿足業(yè)務(wù)連續(xù)和災(zāi)難恢復的各方

面。在這種環(huán)境下，有必要：

選項：

A、每個計劃都與其他計劃相協(xié)調(diào)

B、所有計劃都整合到一個計劃中

C、每個計劃都獨立于其他計劃

D、指定所有計劃實施的順序

參考答案:A

審計BCP時，IS審計師發(fā)現(xiàn)盡管所有部門都位于同一棟大樓里，各部門還是制定了本部門的

BCP。IS審計師建議將各BCP協(xié)調(diào)統(tǒng)一起來，那么，首先要統(tǒng)一的是：

選項:

A、疏散和撤離計劃

B、恢復的優(yōu)先順序

C、備份存儲(Backupstorages)

D、電話表(Calltree)

參考答案:A

審計企業(yè)的業(yè)務(wù)不間斷計劃忖，IS審計師發(fā)現(xiàn)、業(yè)務(wù)不間斷計劃(BCP)中只涵蓋了關(guān)鍵的業(yè)

務(wù)，那么IS審計師：

選項：

A、應(yīng)該建議該計劃擴大，以涵蓋全部業(yè)務(wù)

B、評估部分業(yè)務(wù)沒有納入該計劃所帶來的影響

C、向IT經(jīng)理匯報這個問題

D、重新定義、劃定關(guān)鍵業(yè)務(wù)

參考答案:B

IS審計師發(fā)現(xiàn)企業(yè)的業(yè)務(wù)連續(xù)性計劃中選定的備用處理設(shè)施的處理能力只能達到現(xiàn)有系統(tǒng)

的一半。那么，他/她該怎么做？

選項：

A、無需做什么。因為只有處理能力低于正常的25%,才會嚴重影響企業(yè)的生存和備份能力

B、找出可以在備用設(shè)施使用的應(yīng)用，其它業(yè)務(wù)處理采用手工操作，制訂手工流程以備不測

C、找出所有主要的應(yīng)用，確保備用設(shè)施可以運行這些應(yīng)用

D、建議相關(guān)部門增加備用設(shè)施投入，使其能夠處理75%的正常業(yè)務(wù)

參考答案:C

文件備份的頻度主要依靠下面哪一條？

選項:

A、應(yīng)用系統(tǒng)功能的重要性

B、應(yīng)用系統(tǒng)規(guī)則的重要性

C、應(yīng)用系統(tǒng)文檔的重要性

D、應(yīng)用系統(tǒng)編排方式的重要性

參考答案:A

檢查BCP時，IS審計師最為關(guān)注的是：

選項:

A、災(zāi)難程度只考慮到受到威脅的業(yè)務(wù)職能的范圍大小，而沒有考慮持續(xù)時間的長短

B、沒有區(qū)分較小的災(zāi)難與軟件事故

C、整體的BCP是成文的，而具體的恢復步驟沒有細化（或預先制定）

D、沒有指定報告發(fā)生災(zāi)難事件的負責人

參考答案:D

局域網(wǎng)環(huán)境下與大型計算機環(huán)境下的本地備份方式有什么主要區(qū)別？

選項：

A、主要結(jié)構(gòu)

B、容錯能力

C、網(wǎng)絡(luò)拓撲

D、局域網(wǎng)協(xié)議

參考答案:B

一聲火災(zāi)蔓延到一個組織的機房場地，這個組織損失了所有的計算機系統(tǒng)。從前，這個組織

最應(yīng)該做的是：

選項：

A、為冷站備份方式作戰(zhàn)計劃

B、為互助協(xié)議作計劃-與其他相同的組織協(xié)商互為備份

C、為熱站備份方式作計?劃--使一切設(shè)備與數(shù)據(jù)準備就緒

D、為異地存儲設(shè)備作每日備份

參考答案:D

下面哪一條能證明組織在發(fā)生各種災(zāi)難的情況下，具有能提供及時、可靠、準確的信息的能

力？

選項：

A、一個綜合的、書面的災(zāi)難恢復計劃

B、一個具有結(jié)構(gòu)清晰的內(nèi)容和易于使用的索引的書面計劃

C、得到高層管理人員和審計師批準的書面計劃

D、操練與演習

參考答案:D

關(guān)于冷站的計算機設(shè)備的組成，下面哪一種說法不正確？

選項：

A、加熱系統(tǒng)，濕度控制和空調(diào)設(shè)備

B、CPU和其他計算機設(shè)備

C、電源連接

D、通訊連接

參考答案:B

生產(chǎn)環(huán)境中，確定每個應(yīng)用系統(tǒng)的重要程序的最佳方法是：

選項：

A、約見、面談開發(fā)應(yīng)用的程序員

B、實施差異分析

C、檢查最近的應(yīng)用審計

D、實施業(yè)務(wù)影響分析

參考答案:D

在提供備份計算機設(shè)備方面，下面哪一種情況是成本最低的？

選項：

A、互助協(xié)議

B、共享設(shè)備

C、服務(wù)機構(gòu)

D、公司擁有的鏡像設(shè)備

參考答案:A

準備業(yè)務(wù)連續(xù)性計劃時，確定恢復點目標（RPO）需要知道：

選項：

A、一旦運營中斷，可接受的數(shù)據(jù)丟失程度

B、一旦運營中斷，可接受的停機時間

C、可用的非現(xiàn)場備份設(shè)施類型（是冷站、溫站，還是熱站）

D、支持關(guān)鍵業(yè)務(wù)功能的IT平臺類型

參考答案:A

審計業(yè)務(wù)連續(xù)性計劃時，卜面哪個審計發(fā)現(xiàn)需要特別關(guān)注？

選項：

A、今年新購置的設(shè)備、資產(chǎn)沒有購買相應(yīng)的保險

B、BCP手冊沒有經(jīng)常更新

C、不經(jīng)常實施備份數(shù)據(jù)的測試

D、維護訪問系統(tǒng)的記錄不知去向

參考答案:C

如下哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）可用于備份？

選項：

A、需要使用網(wǎng)絡(luò)附加存儲設(shè)備（NAS）時

B、不能使用TCP/IP的環(huán)境中

C、需要備份舊的備份系統(tǒng)不能處理的文件許可時

D、要保證跨多個數(shù)據(jù)卷的備份連續(xù)、一致時

參考答案:A

一家大型銀行實施IT審計的過程中，IS審計師發(fā)現(xiàn)許多業(yè)務(wù)應(yīng)用沒有執(zhí)行正規(guī)的風險評估,

也沒有確定其重要性和恢復時間上的要求。那么，這些暴露的銀行風險是：

選項：

A、業(yè)務(wù)連續(xù)性計劃（BCP）可能沒有與銀行各應(yīng)用被破壞的風險相對應(yīng)

B、業(yè)務(wù)連續(xù)計劃（BCP）可能沒有包含所有相關(guān)應(yīng)用，因此，在范圍上不完整

C、領(lǐng)導或許沒有正確認識災(zāi)難對業(yè)務(wù)的影響

D、業(yè)務(wù)連續(xù)性計劃（BCP）或許缺少有效的業(yè)務(wù)所有者關(guān)系

參考答案:A

確定熱站供應(yīng)商在資源共享區(qū)域內(nèi)的業(yè)務(wù)操作的完整性與優(yōu)先級的最有效的方式是：

選項：

A、檢查與熱站供應(yīng)商簽署的所有租賃合同

B、在熱站供應(yīng)商所在地觀察一起實際的災(zāi)難過程

C、要求供應(yīng)商提供一份外部審計報告

D、要求供應(yīng)商提供書面的承諾

參考答案:C

公司實施災(zāi)難恢復計劃之后，下一步該做什么？

選項：

A、獲得高層領(lǐng)導層的支持

B、識別必需的業(yè)務(wù)

C、實施書面測試

D、作系統(tǒng)恢復測試

參考答案:C

檢查用于互聊網(wǎng)通訊的網(wǎng)路時，IT審計師應(yīng)該首先檢查

A.是否口令經(jīng)常修改

B.客戶/服務(wù)器應(yīng)用的框架

C.網(wǎng)路框架設(shè)計

D.防火墻保護和代理服務(wù)器

制定基于風險的審計戰(zhàn)略時，IS審計師應(yīng)該實施風險評估，以確定

A.已經(jīng)存在減免風險的控制

B.找到了弱點和威脅

C.已經(jīng)考慮到審計風險

D.實施差累分析是適當?shù)?/p>

軟件開發(fā)的瀑布模型，用于下面的哪一種情況時最為適當?shù)模?/p>

A.理解了需求，并且要求需求保持穩(wěn)定，尤其是開發(fā)的系統(tǒng)所運行的業(yè)務(wù)環(huán)境沒有變化或

變化很小

B.需求被充分地理解，項目又面臨工期壓力

C.項目要采用面向?qū)ο蟮脑O(shè)計和編程方法

D.項目要引用新技術(shù)

信息系統(tǒng)不能滿足用戶需求的最常見的原因是：

A.用戶需求頻繁變動

B,對用戶需求增長的預測不準確

C.硬件系統(tǒng)限制了并發(fā)用戶的數(shù)目

D.定義系統(tǒng)時用戶參與不夠

以下哪項應(yīng)是IS審計師最為關(guān)注的：

A.沒有報告網(wǎng)絡(luò)被攻陷的事件

B.未能就企業(yè)闖入事件通知執(zhí)法人員

C.缺少對操作權(quán)限的定期檢查

D.沒有就闖入事件告之公眾

在收集法庭證據(jù)的過程中，以下哪種行為最容易造成目標系統(tǒng)上的證據(jù)毀壞？

A.將內(nèi)存內(nèi)容轉(zhuǎn)存至文件中

B.生成目標系統(tǒng)的磁盤映像

C.重啟目標系統(tǒng)

D.將目標系統(tǒng)移出網(wǎng)絡(luò)

有效的IT治理要求組織結(jié)構(gòu)和程序確保

A.組織的戰(zhàn)略和目標包括IT戰(zhàn)略

B.業(yè)務(wù)戰(zhàn)略來自于IT戰(zhàn)略

C.IT治理是獨立的，與整體治理相區(qū)別

D.IT戰(zhàn)略擴大了組織的戰(zhàn)略和目標

質(zhì)量保證小組通常負責：

A.確保從系統(tǒng)處理收到的輸出是完整的

B.監(jiān)督計算機處理任務(wù)的執(zhí)行

C.確保程序、程序的更改以及存盤符合制定的標準

D.設(shè)計流程來保護數(shù)據(jù)，以免被意外泄露、更改或破壞

組織內(nèi)數(shù)據(jù)安全官的最為重要的職責是：

A.推薦并監(jiān)督資料安全政策

B.在組織內(nèi)推廣安全意識

C.制定IT安全政策下的安全程序/流程

D.管理物理和邏輯訪問控制

以下哪條最好的支持了新IT項目的優(yōu)先化？

A.內(nèi)部控制自我評價(CSA)

B.信息系統(tǒng)審計

C.投資組合分析

D.商業(yè)風險評估

企業(yè)在允許外部機構(gòu)物理訪問其信息處理設(shè)施(IPFs)前應(yīng)該做什么？

A.外部機構(gòu)的操作應(yīng)當由獨立的IS審計師審計

B.外部機構(gòu)的工作人員應(yīng)當培訓企業(yè)的安全流程

C.任何外部機構(gòu)的訪問應(yīng)當被限制在隔離區(qū)(DMZ)

D.企業(yè)應(yīng)當組織風險評估，并設(shè)計、執(zhí)行適當?shù)目刂?/p>

信息系統(tǒng)審計師正在審查一個項目，該項目是在銀行母公司與子公司之間實施一個支付系統(tǒng)。

信息系統(tǒng)審計師應(yīng)該首先確認：

A.兩個公司的技術(shù)平臺具有互操作性

B.銀行母公司被授權(quán)作為服務(wù)提供商

C.采取安全措施分離子公司的交易

D.子公司可以成為這個系統(tǒng)的共同擁有者

在執(zhí)行災(zāi)難恢復測試時，信息系統(tǒng)審計師注意到災(zāi)難恢復站點服務(wù)器的運行速度緩慢，為了

找到根本原因，信息系統(tǒng)審計師應(yīng)該首先檢查：

A.災(zāi)難恢復站點的錯誤事件報告

B.災(zāi)難恢復測試計劃

C.災(zāi)難恢復計劃(DRP)

D.主站點和災(zāi)難恢復站點的配置和一■致性(configurationsandalignment)

在審查IT災(zāi)難恢復測試時，下列問題中哪個最應(yīng)引起IS審計師的關(guān)注：

A.由于有限的測試時間窗，僅僅測試了最必須的系統(tǒng)。其它系統(tǒng)在今年的剩余時間里陸

續(xù)單獨測試

B.在測試過程中，注意到有些備份系統(tǒng)有缺陷或者不能正常工作，從而導致這些系統(tǒng)的

測試失敗

C.在開啟備份站點之前關(guān)閉和保護原生產(chǎn)站點的過程比計劃需要多得多的時間

D.每年都是由相同的員工執(zhí)行此測試。由于所有的參與者很熟悉每??步因而沒有使用恢

復計劃文檔

IS審計師正在審查某個組織的物理安全措施。關(guān)于門卡(accesscard)系統(tǒng)，IS審計師最應(yīng)

關(guān)注：

A.未標明名字的(nonpersonalized)門卡給授予清潔工，清潔工使用簽到表，但沒有出示

任何身份證明

B.門卡上沒有表明組織的名字和地址以方便丟失后及時歸還

C.門卡的發(fā)行和權(quán)限管理由多個部門負責，導致不必要的新卡領(lǐng)用時間

D.制作門卡的計算機系統(tǒng)在系統(tǒng)失敗后在三周后才能恢復

下列哪一項是自我評估控制(CSA)的關(guān)鍵好處？

A.支持業(yè)務(wù)目標的內(nèi)部控制的所有權(quán)管理(managementownership)被強化

B.當評估結(jié)果被外部審計使用時，可以減少審計費用

C.由于內(nèi)部業(yè)務(wù)的員工參與控制測試，提高舞弊察覺能力

D.利用評估結(jié)果，內(nèi)部審計師能夠轉(zhuǎn)換為一項咨詢方案

在一次審計中，IS審計師注意到該組織的業(yè)務(wù)連續(xù)性計劃(BCP)沒有充分強調(diào)在恢復過程

中的信息保密性。IS審計師應(yīng)該建議修改計劃以包括：

A.啟動業(yè)務(wù)恢復程序時的信息安全要求和級別

B.危機管理架構(gòu)中信息安全的角色和責任

C.信息安全資源要求

D.為影響業(yè)務(wù)連續(xù)性安排的信息安全變更管理流程

當組織把客戶信用審核系統(tǒng)外包給第三方服務(wù)供應(yīng)商時，下列哪?項是IS審計師最重要的

考慮？供應(yīng)商應(yīng)該

A.符合或超過行業(yè)安全標準

B.同意接受外部安全審查

C.在服務(wù)和經(jīng)驗方面有良好的市場聲譽

D.遵守組織的安全政策

公司制定了關(guān)于用戶禁止訪問的網(wǎng)站類型的制度，以下那種是執(zhí)行這一制度最有效的技術(shù)？

A.狀態(tài)檢測防火墻(Statefulinspectionfirewall)

B.網(wǎng)站內(nèi)容過濾器

C.網(wǎng)站緩存服務(wù)器

D.代理服務(wù)器

當開發(fā)一個正式的公司安全項目時，最關(guān)鍵的成功因素(CSF)是：

A.建立一個審核部門(reviewboard?)

B.建立-,個安全單位(securityunit?)

C.對執(zhí)行發(fā)起人的有效支持

D.選擇安全過程的擁有者

IS審計師正在審閱一個使用敏捷(Agile)軟件開發(fā)方法的項目，以下那一項是IS審計師希

望發(fā)現(xiàn)的？

A.使用基于過程的成熟度模型如能力成熟度模型(CMM)

B.定期針對計劃對任務(wù)層面的進程進行監(jiān)控

C.廣泛使用軟件開發(fā)工具來最大化團隊的生產(chǎn)力

D.不斷的審閱，及時發(fā)現(xiàn)教訓，從而為本項目后續(xù)工作服務(wù)

為優(yōu)化組織的業(yè)務(wù)持續(xù)計劃(BCP),IS審計師需要建議執(zhí)行業(yè)務(wù)影響分析(BIA)來決定：

A.能為組織產(chǎn)生最大財務(wù)價值，因而需要最先恢復的業(yè)務(wù)流程

B.為保證與組織業(yè)務(wù)戰(zhàn)略相一致，業(yè)務(wù)流程恢復的優(yōu)先級和順序

C.在災(zāi)難中能保證組織幸存而必須恢復的業(yè)務(wù)流程

D.能夠在最短的時間內(nèi)恢復最多數(shù)量的系統(tǒng)的業(yè)務(wù)流程恢復的優(yōu)先級和順序

下列哪項數(shù)據(jù)庫控制能夠在在線交易處理系統(tǒng)的數(shù)據(jù)庫中保證交易的完整性？

A.鑒定控制(Authentication)

B.數(shù)據(jù)標準化控制

C.讀寫訪問日志控制

D.事務(wù)提交與滾回操作

在保護組織的IT系統(tǒng)時，當網(wǎng)絡(luò)防火墻被突破后，以下哪項?般是系統(tǒng)防護的下一道防線？

A.個人防火墻

B.反病毒程序

C.入侵監(jiān)測系統(tǒng)

D.虛擬局域網(wǎng)配置

在審閱電腦處置流程時，以下哪條是信息系統(tǒng)審計師最應(yīng)關(guān)注的問題？

A.硬盤扇區(qū)被多次重寫覆蓋但在離開組織時沒有被重新格式化。

B.硬盤上的文件和文件夾被分別刪除，并且硬盤在離開組織之前被格式化。

C.硬盤在離開組織之前在盤片特殊位置打孔，使硬盤不可讀。

D.硬盤的運輸應(yīng)由內(nèi)部安全職員負責護送至附近的金屬制定回收公司，在那里硬盤將被

登記然后粉碎處理。

在小型組織中，開發(fā)者能直接將緊急變更發(fā)布到生產(chǎn)環(huán)境中。以下哪項能最好地控制上述情

況所產(chǎn)生的風險？

A.在第二個工作II批準并記錄此次變更

B.限制開發(fā)者在特定時間范圍內(nèi)能訪問生產(chǎn)環(huán)境

C.將變更發(fā)布到生產(chǎn)環(huán)境中之前取得次要(secondary)的批準

D.禁用生產(chǎn)機器中的編譯器選項

對一個業(yè)務(wù)應(yīng)用系統(tǒng)訪問授權(quán)的職責歸屬于？

A.數(shù)據(jù)所有者(dataowner)

B.安全管理員

C.IT安全經(jīng)理

D.需求提出者的直接上級(requestor'simmediatesupervisor)

在安全治理框架中實施安全規(guī)劃最主要的好處是：

A.實現(xiàn)IT活動與信息系統(tǒng)審計建議的匹配

B.加強安全風險管理

C.實施首席信息安全官(CISO)的建議

D.減少1T安全的成本

IS審計師正在審閱?個基于軟件的防火墻的配置。下列哪一項的設(shè)置最脆弱？該防火墻軟

件：

A,將否定規(guī)則(implicitdenyrule)作為規(guī)則庫的最后規(guī)則

B.安