CISA 2014年历年真题回忆汇编

CISA 2014年历年真题回忆汇编

在一次审计中，IS 审计师注意到该组织的业务连续性计划（BCP）没有充分强调在恢复过程中的信息保密性。IS 审计师应该建议修改计划以包括： A．调用业务恢复程序时所要求的信息安全水平 B．危机管理结构中信息安全的角色和责任 C．信息安全资源要求

D．为影响业务连续性安排的信息安全变更管理流程

一个组织正计划采用无线网络替代目前的有线网络。以下哪个措施对保护无线网络防止非授权的访问来说是最安全的？ A. 实施WEP

B. 只允许授权的MAC 地址进行访问 C. 禁用广播式的SSID D. 实施WPA2

在审阅电脑处置流程时，以下哪条是信息系统审计师最应关注的问题？ A．硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。

B．硬盘上的文件和文件夹被分别删除，并且硬盘在离开组织之前被格式化。 C．硬盘在离开组织之前写保护应设定在特殊位置使硬盘处于不可读状态。

D．硬盘的运输应由内部安全职员负责护送至附近的金属制定回收公司，在那里硬盘将被 登记然后粉碎处理。

一旦业务功能发生变化，已打印的表格和其他备用资源都可能要改变。下面哪一种情况构成了对组织的主要风险？ A、在异地存储的备用资源详细目录没有及时更新

B、在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新

C、没有对紧急情况下的供应商或备选供应商进行评估，不知道供应商是否还在正常营业 D、过期的材料没有从有用的资源中剔除

当一个关键文件服务器的存储增长没有被合理管理时，以下哪项是最大的风险？ A. 备份时间会稳定增长 B. 备份成本会快速增长 C. 存储成本会快速增长

D. 服务器恢复工作不能满足恢复时间目标（RTO）的要求

下面哪一句涉及包交换网络的描述是正确的？

A、目的地相同的包穿过网络的路径（或称为：路径）相同 B、密码/口令不能内置于数据包里

C、包的长度不是固定的，但是每个包内容纳的信息数据是一样的

D、数据包的传输成本取决于将传输的数据包本身，与传输距离和传输路径无关

在审查一个大型数据中心期间，IS审计人员注意到其计算机操作员同时兼任备份磁带管理 员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的？ A、计算机操作员兼任备份磁带库管理员 B、计算机操作员兼任安全管理员

C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D、没有必要报告上述任何一种情形

IS审计师分析数据库管理系统（DBMS）的审计日志时，发现一些事务（transactions）只执行了一半就出错了，但是没有回滚整个事务。那么，这种情况违反了事务处理特性的哪一项？ A、一致性 B、独立性 C、持续性 D、原子性

在检查广域网（WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线路通 讯异常，流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是： A、实施分析，以确定该事件是否为暂时的服务实效所引起

B、由于广域网（WAN）的通讯流量尚未饱和，96%的流量还在正常范围内，不必理会 C、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的85%

D、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使WAN的流量保持相对稳定

IS指导委员会应当：

A、包括来自不同部门和员工级别的成员

B、确保IS安全政策和流程已经被恰当地执行了 C、有正式的引用条款和保管会议纪要

D、由供应商在每次会议上简单介绍新趋势和产品

对IT部门的战略规划流程/程序的最佳描述是：

A、依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划

B、IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务 要求的优先顺序的程序

C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求

D、IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推 动，快于对组织计划的推动

多用户网络环境下实现数据共享的基础在于程序间的通讯。以下哪一项使得程序间通讯特 性的实施和维护变得更加困难？ A、用户隔离

B、受控的远程访问 C、透明的远程访问 D、网络环境

某零售企业的每个出口自动对销售定单进行顺序编号。小额定单直接在出口处理，而大额 定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是： A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据

D、在生产机构对销售定单的编号顺序进行追踪和计算

在审核组织的系统开发方法学时，IS审计人员通常首先执行以下哪一项审计程序？ A、确定程序的充分性 B、分析程序的效率

C、评价符合程序的程度

D、比较既定程序和实际观察到的程序

某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应 用即将投入运行时，以下哪一项可以为公司资产的保护提供最合理的保证？ A、由内部审计人员进行一次审核 B、由指定的IS审计人员进行一次审查 C、由用户规定审核的深度和内容

D、由另一个同等资历的IS审计人员进行一次独立的审查

用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点 A、确认测试目标是否成文

B、评估用户是否记载了预期的测试结果 C、检查测试问题日志是否完整 D、确认还有没有尚未解决的问题

某IS审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯 ，而微机只支持异步ASCII字符数据通讯。为实现其连通目标，需为该IS审计人员的微机增 加以下哪一类功能？

A、缓冲器容量和并行端口 B、网络控制器和缓冲器容量 C、并行端口和协议转换 D、协议转换和缓冲器容量

在关于外部信息系统服务的合同的以下条款中，IS审计师最不关心的是哪项？ A、程序和文件的所有权 B、应有的谨慎和保密声明

C、灾难情况下外包人的持续服务

D、供货商使用的计算机硬件的详尽描述

WEB服务器的逆向代理技术用于如下哪一种情况下？ A、HTTP服务器的地址必须隐藏 B、需要加速访问所有发布的页面 C、为容错而要求缓存技术

D、限制用户（指操作员的带宽）

以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？ A、磁墨字符识别（MICR） B、智能语音识别（IVR） C、条形码识别（BCR） D、光学字符识别（OCR）

能力计划流程的关键目标是确保： A、可用资源的完全使用

B、将新资源及时添加到新的应用系统中 C、可用资源的充分和有效的利用 D、资源的利用率不低于85%

在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为IS审计人员提供最大的帮助？ A、系统故障时间日志 B、供应商的可靠性描述 C、预定的定期维护日志 D、书面的预防性维护计划表

下面哪一句涉及包交换网络的描述是正确的？

A、目的地相同的包穿过网络的路径（或称为：路径）相同 B、密码/口令不能内置于数据包里

C、包的长度不是固定的，但是每个包内容纳的信息数据是一样的

D、数据包的传输成本取决于将传输的数据包本身，与传输距离和传输路径无关

分布式环境中，服务器失效带来的影响最小的是： A、冗余路由 B、集群

C、备用电话线 D、备用电源

大学的IT部门和财务部（FSO，financial servicesoffice）之间签有服务水平协议（SLA），要求每个月系统可用性超过98%。财务部后来分析系统的可用性，发现平均每个月的可用性确实超过98%，但是月末结账期的系统可用性 只有93%。那么，财务部应该采取的最佳行动是： A、就协议内容和价格重新谈判

B、通知IT部门协议规定的标准没有达到 C、增购计算机设备等（资源） D、将月底结账处理顺延

在审查LAN的实施时IS审计人员应首先检查： A、节点列表

B、验收测试报告 C、网络结构图 D、用户列表

数据库规格化的主要好处是：

A、在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复） B、满足更多查询的能力

C、由多张表实现，最大程度的数据库完整性 D、通过更快地信息处理，减小反应时间

在审查一个大型数据中心期间，IS审计人员注意到其计算机操作员同时兼任备份磁带管理 员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的？ A、计算机操作员兼任备份磁带库管理员 B、计算机操作员兼任安全管理员

C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D、没有必要报告上述任何一种情形

在数据库应用系统的需求定义阶段，性能被列为优先要求。访问数据库管理系统（DBMS）文件时，推荐采用如下哪一种技术以获得最佳的输入、输出（I/O）性能？ A、存储区域网络（SAN，Storage area network） B、网络接入存储（NAS,Network Attached Storage） C、网络文件系统（NFS v2,Network file system）

D、通用互联网文件系统（CIFS，Common Internet File System）

以下哪一项有助于检测入侵者对服务器系统日志的改动？ A、在另一台服务器镜像该系统日志

B、在一块一次写磁盘上同时复制该系统日志 C、将保存系统日志的目录设为写保护 D、异地保存该系统日志的备份

对于防止系统的弱点或漏洞被利用（或攻击），下成哪一种是最好的方法？ A、日志检查 B、防病毒措施 C、入侵监测 D、补丁管理

检查外包计算机中心的服务等级协议（SLA）时，IS审计师应该首先确定： A、将获得的服务价格在合理的范围内 B、协议中指定了安全机制

C、协议中确定的服务符合业务需求

D、协议中允许IS审计师审计对计算机中心的访问

以下哪一项可以在不同网络之间e-mail格式，从而使e-mail可以在所有网络上传播？ A、网关

B、协议转换器

C、前端通讯处理机 D、集中器/多路选择器

代码签名的目的是确保： A、软件没有被后续修改

B、应用程序可以与其他已签名的应用安全地对接使用 C、应用（程序）的签名人是受到信任的 D、签名人的私钥还没有被泄露

以下哪一种网络配置结构能使任意两台主机之间均有直接连接？ A、总线 B、环型 C、星型

D、全连接（网状）

对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据？ A、异常作业终止报告 B、操作员问题报告 C、系统日志

D、操作员工作日程安排

电子商务环境中降低通讯故障的最佳方式是： A、使用压缩软件来缩短通讯传输耗时 B、使用功能或消息确认（机制）

C、利用包过滤防火墙，重新路由消息 D、租用异步传输模式（ATM）线路

检查用于互联网Internet通讯的网络时，IS审计应该首先检查、确定： A、是否口令经常修改

B、客户/服务器应用的框架 C、网络框架和设计

D、防火墙保护和代理服务器

以下哪一项是针对部件通讯故障/错误的控制？ A、限制操作员访问和维护审计轨迹 B、监视并评审系统工程活动 C、配备网络冗余

D、建立接触网络传输数据的物理屏障

规划并监控计算机资源，以确保其得到有效利用的是： A、硬件监控 B、能力管理 C、网络管理 D、作业调度

在检查广域网（WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线路通 讯异常，流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是： A、实施分析，以确定该事件是否为暂时的服务实效所引起

B、由于广域网（WAN）的通讯流量尚未饱和，96%的流量还在正常范围内，不必理会 C、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的85%

D、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使 WAN的流量保持相对稳定

企业正在与厂商谈判服务水平协议（SLA），首要的工作是： A、实施可行性研究

B、核实与公司政策的符合性 C、起草其中的罚则 D、起草服务水平要求

将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用？ A、批量头格式 B、批量平衡

C、数据转换差错纠正 D、对打印池的访问控制

测试程序变更管理流程时，IS审计师使用的最有效的方法是： A、由系统生成的信息跟踪到变更管理文档

B、检查变更管理文档中涉及的证据的精确性和正确性 C、由变更管理文档跟踪到生成审计轨迹的系统 D、检查变更管理文档中涉及的证据的完整性

应用控制的目的是保证当错误数据被输入系统时，该数据能被： A、接受和处理 B、接受但不处理 C、不接受也不处理 D、不接受但处理

一旦组织已经完成其所有关键业务的业务流程再造（BPR），IS审计人员最有可能集中检查： A、BPR实施前的处理流程图

B、_______BPR实施后的处理流程图 C、BPR项目计划

D、持续改进和监控计划

以一哪项功能应当由应用所有者执行，从而确保IS和最终用户的充分的职责分工？ A、系统分析

B、数据访问控制授权 C、应用编程 D、数据管理

IT治理确保组织的IT战略符合于： A、企业目标 B、IT目标 C、审计目标 D、控制目标

在一个交易驱动的系统环境中，IS审计人员应审查基原子性以确定： A、数据库是否能经受失败（硬件或软件） B、交易之间是否相互隔离 C、完整性条件是否得到保持

D、一个交易是否已完成或没有进行或数据库已经修改或没有修改

如果以下哪项职能与系统一起执行，会引起我们的关切？ A、访问规则的维护 B、系统审计轨迹的审查 C、数据保管异口同声 D、运行状态监视

在审查组织的业务流程再造（BPR）的效果时，IS审计人员主要关注的是： A、项目的成本超支 B、雇员对变革的抵触

C、关键控制可能从业务流程中取消 D、新流程缺少文档

开发一个风险管理程序时进行的第一项活动是： A、威胁评估 B、数据分类 C、资产盘点 D、并行模拟

IS指导委员会应当：

A、包括来自不同部门和员工级别的成员

B、确保IS安全政策和流程已经被恰当地执行了 C、有正式的引用条款和保管会议纪要

D、由供应商在每次会议上简单介绍新趋势和产品

在线（处理）系统环境下，难以做到完全的职责分工时，下面哪一个职责必须与其他 分开？

A、数据采集和录入 B、授权/批准 C、记录 D、纠错

为降低成本、改善得到的服务，外包方应该考虑增加哪一项合同条款？ A、操作系统和硬件更新周期 B、与承包方分享绩效红利 C、严厉的违例惩罚 D、为外包合同追加资金

达到评价IT风险的目标最好是通过

A、评估与当前IT资产和IT项目相关的威胁

B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的IT控制薄弱点

作为信息安全治理的成果,战略方针提供了: A、企业所需的安全要求 B、遵从最佳实务的安全基准 C、日常化、制度化的解决方案 D、_______风险暴露的理解

在数据仓库中，能保证数据质量的是： A、净化 B、重构

C、源数据的可信性 D、转换

应用系统开发的责任下放到各业务基层，最有可能导致的后果是 A、大大减少所需数据通讯 B、控制水平较低 C、控制水平较高 D、改善了职责分工

以下哪一项是业务流程再造项目的第一步？ A、界定检查范围 B、开发项目计划

C、了解所检查的流程

D、所检查流程的重组和简化

企业由于人力资源短缺，IT支持一直以来由一位最终用户兼职，最恰当的补偿性控制是： A、限制物理访问计算设备 B、检查事务和应用日志

C、雇用新IT员工之前进行背景调查 D、在双休日锁定用户会话

组织内数据安全官的最为重要的职责是： A、推荐并监督数据安全政策 B、在组织内推广安全意识

C、制定IT安全政策下的安全程序/流程 D、管理物理和逻辑访问控制

执行应用控制审核的IS审计人员应评价： A、应用满足业务需求的效率 B、所有已发现的、暴露的影响 C、应用所服务的业务流程 D、应用的优化

质量保证小组通常负责：

A、确保从系统处理收到的输出是完整的 B、监督计算机处理任务的执行

C、确保程序、程序的更改以及存档符合制定的标准 D、设计流程来保护数据，以免被意外泄露、更改或破坏

由安全管理员负责的首选职责是： A、批准安全政策 B、测试应用软件

C、确保数据的完整性 D、维护访问规则

多用户网络环境下实现数据共享的基础在于程序间的通讯。以下哪项使得程序间通讯特性的实施和维护变得更加困难？ A、用户隔离

B、受控的远程访问 C、透明的远程访问 D、网络环境

IS审计师在审计公司IS战略时最不可能： A、评估IS安全流程

B、审查短期和长期IS战略

C、与适当的公司管理人员面谈 D、确保外部环境被考虑了

某零售企业的每个出口自动对销售定单进行顺序编号。小额定单直接在出口处理，而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是： A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据

D、在生产机构对销售定单的编号顺序进行追踪和计算

一个项目经理在目标期限内无法实施所有的审计建议。IT 审计师应该怎么做？ A. 建议项目暂时停止直至问题得到解决； B. 建议采取补偿控制；

C. 对未解决的问题进行风险评估；

D. 建议项目经理进行资源的再分配来解决该问题。

在审查IT 灾难恢复测试时，下列问题中哪个最应引起IS 审计师的关注

A．由于有限的测试时间窗，仅仅测试了最必须的系统。其他系统在今年的剩余时间里陆续单独测试 B．在测试过程中，注意到有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败 C．在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D．每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档

以下哪一项是集成测试设施（ITF）的优势？

A、它利用了实际的主文件，因此IS审计人员可以不审查源交易 B、定期测试不要求隔离测试过程

C、它验证应用系统并测试系统的持续运行 D、它不需要准备测试数据

以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中？ A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限

IS审计师应当使用以下哪种报告来检查遵守服务层次协议（SLA）有关可用时间的要求？ A、利用情况报告 B、硬件故障报告 C、系统日志 D、可用性报告

对于数据库管理而言，最重要的控制是： A、批准数据库管理员（DBA）的活动 B、职责分工

C、访问日志和相关活动的检查 D、检查数据库工具的使用

为评估软件的可靠性，IS审计师应该采取哪一种步骤？ A、检查不成功的登陆尝试次数

B、累计指定执行周期内的程序出错数目 C、测定不同请求的反应时间

D、约见用户，以评估其需求所满足的范围

在审核组织的系统开发方法学时，IS审计人员通常首先执行以下哪一项审计程序？ A、确定程序的充分性 B、分析程序的效率

C、评价符合程序的程度

D、比较既定程序和实际观察到的程序

在业务流程重组(BPR)的哪一个步骤,待测定的团队应访问、参观基准伙伴？ A、观察 B、计划 C、分析 D、调整

企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周期（SDLC）中设计和开发阶段，就被置换为：

A、挑选和配置阶段

B、可行性研究和需求定义阶段 C、实施和测试阶段 D、（无，不需要置换）

如下，哪一项是时间盒管理的特征？

A、它不能与原型开发或快速应用开发（RAD）配合使用 B、它回避了质量管理程序（或流程）的要求 C、它能避免预算超支和工期延后

D、它分别进行系统测试和用户验收测试

随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是： A、用户参与不足 B、项目此理早期撤职

C、不充分的质量保证（QA）工具 D、没有遵从既定的已批准功能

在实施某应用软件包时，以下哪一项风险最大？ A、多个未受控制的软件版本 B、源程序和目标代码不同步 C、参数设置错误 D、编程错误

集线器（HUB）设备用来连接： A、两个采用不同协议的LANs B、一个LAN和一个WAN

C、一个LAN和一个MAN（城域网） D、一个LAN中的两个网段

IS管理层建立变更管理程序的目的是： A、控制应用从测试环境向生产环境的移动

B、控制因忽略了未解决的问题而导致的业务中断 C、保证在灾难发生时业务操作的不间断 D、检验系统变更已得到适当的书面的记录

以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行？ A、单元测试 B、压力测试 C、回归测试 D、验收测试

在审计系统开发项目的需求阶段时，IS审计人员应： A、评估审计足迹的充分性 B、标识并确定需求的关键程度 C、验证成本理由和期望收益 D、确保控制规格已经定义

评估数据库应用的便捷性时，IS审计师应该验证： A、能够使用结构化查询语言（SQL）

B、与其他系统之间存在信息的导入、导出程序 C、系统中采用了索引（Index）

D、所有实体（entities）都有关键名、主键和外键

软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？

A、理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有变化 或变化很小

B、需求被充分地理解，项目又面临工期压力 C、项目要采用面向对象的设计和编程方法 D、项目要引用新技术

IS审计师正在检查开发完成的项目以确定新的应用是否满足业务目标的要求。下面哪类报告能够提供最有价值的参考？ A、用户验收测试报告 B、性能测试报告

C、开发商与本企业互访记录（或社会交往报告） D、穿透测试报告

假设网络中的一个设备发生故障，那么在下哪一种局域网结构更容易面临全面瘫痪？ A、星型 B、总线 C、环型 D、全连接

项目开发过程中用来检测软件错误的对等审查活动称为： A、仿真技术 B、结构化走查

C、模块化程序设计技术 D、自顶向下的程序构造

TCP/IP协议簇包含的面向连接的协议处于： A、传输层 B、应用层 C、物理层 D、网络层

当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时，IS审计人员首先应关注的是： A、用户可能更愿意使用预先制作的测试数据 B、可能会导致对敏感数据的非授权访问

C、错误处理可信性检查可能得不到充分证实 D、没有必要对新流程的全部功能进行测试

以下哪一个群体应作为系统开发项目及结果系统的拥有者？ A、用户管理层 B、高级管理层

C、项目指导委员会 D、系统开发管理层

以下哪一项根据系统输入、输出及文件的数量和复杂性来测算系统的规模？ A、程序评估审查技术（PERT） B、快速应用开发（RAD） C、功能点分析（FPA） D、关键路径法（CPM）

IS审计人员在应用开发项目的系统设计阶段的首要任务是： A、商定明确详尽的控制程序 B、确保设计准确地反映了需求

C、确保初始设计中包含了所有必要的控制 D、劝告开发经理要遵守进度表

对于测试新的、修改的或升级的系统而言，为测试其（处理）逻辑，创建测试数据时，最重要的是： A、为每项测试方案准备充足的数据 B、实际处理中期望的数据表现形式 C、按照计划完成测试

D、对实际数据进行随机抽样

在契约性协议包含源代码第三方保存契约(escrow)的目的是： A、保证在供应商不存在时源代码仍然有效 B、允许定制软件以满足特定的业务需求 C、审核源代码以保证控制的充分性 D、保证供应商已遵从法律要求

IS审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题？ A、构造

B、系统设计 C、验收测试 D、功能说明

为赶项目工期，而增加人手时，首先应该重新核定下面的哪一项？ A、项目预算

B、项目的关键路径

C、剩余任务的（耗时）长短 D、指派新增的人手支做其工作

以下哪一项是数据仓库设计中最重要的因素？ A、元数据的质量 B、处理的速度 C、数据的变动性 D、系统弱点

在检查基于WEB的软件开发项目时，IS审计师发现其编程没遵循适当的编程标准，也没有 认真检查这些源程序。这将增加如下哪一类攻击得手的可能性？ A、缓冲器溢出 B、暴力攻击

C、分布式拒绝服务攻击 D、战争拨号攻击

在因特网应用中使用小应用程序（applets）的最有可能的解释是： A、它是从服务器跨网络发送

B、服务器不能运行程序且输出不能跨网络发送 C、它可同时改进WEB服务器和网络的性能

D、它是一种通过WEB浏览器下载并在客户机的WEB服务器上运行的JAVA程序

如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于： A、项目需求定义阶段 B、项目可行性研究阶段 C、项目详细设计阶段 D、项目编程阶段

以下哪一项是程序评估审查技术（PERT）相对于其它技术的优势？PERT： A、为规划和控制项目而考虑了不同的情景 B、允许用户输入程序和系统参数 C、准确地测试系统维护流程 D、估计系统项目的成本

对各业务部门实施控制自我评估最为有效的是: A、非正式的个人自我检查 B、引导式研讨会 C、业务流描述 D、数据流程图

信息系统审计师在什么情况下应该使用统计抽样,而不是判断抽样(非统计抽样)? A、错误概率必须是客观量化的 B、审计师希望避免抽样风险 C、通用审计软件不可用 D、可容忍误差率不能确定

信息系统审计师检查IT控制的效力时,发现以前的审计报告,没有相应的工作底稿,他(她)该怎么办? A、暂停审核工作,直到找到这些审计底稿 B、信息并直接采纳以前的审计报告 C、重新测试好些处于高风险内的控制

D、通知审计经理,并建议重新测试这些控制

确保审计资源在组织中发挥最大价值的首要步骤应该是: A、规划审计工作并监控每项审计的时间花费

B、培训信息系统审计师掌握公司中使用的最新技术 C、基于详细的风险评估制定审计计划 D、监控审计进展并实施成本控制

下面哪个在线审计技术对于早期发现错误或误报有效 A、嵌入式审计模块 B、综合测试工具 C、快照 D、审计钩

控制自我评估的成功高度依赖于

A、让直线经理承担一部分控制监控责任 B、分配构建控制的责任,但没有监控责任 C、实施严格的控制政策并按规则进行控制 D、对已分配的责任实施监督和监控

使用统计抽样流程有助于最小化: A、抽样风险 B、检测性风险 C、固有风险 D、控制风险

内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能: A、导致对其审计独立性的质疑 B、报告较多业务细节和相关发现 C、加强了审计建议的执行 D、在建议中采取更对有效行动

实施基于风险的审计过程中,完全由IS审计师启动的风险评估是: A、检查风险的评估 B、控制风险的评估 C、固有风险的评估 D、舞弊风险的评估

以下哪项应是IS审计师最为关注的: A、没有报告网络被攻陷的事件

B、未能就企业闯入事件通知执法人员 C、缺少对操作权限的定期检查 D、没有就闯入事件告之公众

为满足预定义的标准,下面哪一种连续审计技术,对于查找要审计的事务是最佳的工具? A、系统控制审计检查文件和嵌入式审计模块(SCARF/EAM) B、持续和间歇性模拟(CIS) C、整体测试(ITF)

D、审计钩(Audit hooks)

在不熟悉领域从事审计时，IS审计师首先应该完成的任务是： A、为涉及到的每个系统或功能设计审计程序 B、开发一套符合性测试和实质性测试 C、收集与新审计项目相关的背景信息 D、安排人力与经济资源

在审查定义IT服务水平的过程控制时，信息系统审计师最有可能先与下列哪种人面谈： A、系统编程人员 B、法律顾问

C、业务单位经理人员 D、应用编程人员

IS审计期间,对收集数据范围的决定应基于: A、关键和必要信息的可获得性 B、审计师对相关环境的了解程度 C、从被审事项中找到证据的可能性 D、审计的目的和范围

如下哪一类风险是假设被检查的方面缺乏补偿控制: A、控制风险 B、检查风险 C、固有风险 D、抽样风险

以下哪项是CSA的目标: A、专注于高风险领域 B、代替审计责任 C、完善控制问卷 D、协助推进交流

对新的应收帐模块实施实质性审计测试时,IS审计师的日程安排非常紧,而且对计算机知识知之不多.那么,下面哪一项审计技术是最佳选择? A、测试数据

B、平行模拟(Parallel simulation) C、集成测试系统(ITF) D、嵌放式审计模块(EAM)

在评价网络监控的设计时,信息系统审计师首先要检查网络的 A、拓扑图 B、带宽的使用 C、流量分析报告 D、瓶颈位置

审计章程的主要目的是：

A、把组织需要的审计流程记录下来 B、正式记录审计部门的行动计划 C、为审计师制定职业行为规范 D、描述审计部门的权力与责任

制订基于风险的审计程序时,IS审计师最可能关注的是: A、业务程序/流程 B、关键的IT应用 C、运营控制 D、业务战略

防止对数据文件非授权使用的最有效的方法是什么？ A、自动文件记帐 B、磁带保管员 C、访问控制软件 D、加锁的程序库

IS审计师检查无线网络安全时，发现它没有启用动态主机配置协议（DHCP）。这样的设置将： A、降低未经授权即访问网络资源的风险 B、不适用于小型网络 C、能自动分配IP地址

D、增加无线加密协议（WEP）相关的风险

利用残留在现场的指纹等人体生物特征侦破非授权的访问（如：窃贼入室），属于哪一类攻击？ A、重用、重放、重演（replay） B、暴力攻击 C、解密

D、假装、模仿

拒绝服务攻击损害了下列哪一种信息安全的特性? A、完整性 B、可用性 C、机密性 D、可靠性

每感染一个文件就变体一次的恶意代码称为： A、逻辑炸弹 B、隐秘型病毒 C、特洛伊木马 D、多态性病毒

下面哪一种控制是内联网的一种有效安全控制？ A、电话回叫 B、固定的口令 C、防火墙 D、动态口令

下面哪一种环境控制措施可以保护计算机不受短期停电影响？ A、电力线路调节器 B、电力浪涌保护设备 C、备用的电力供应 D、可中断的电力供应

下面的哪一种加密技术可以最大程度地保护无线网络免受中间人攻击？ A、128位有线等效加密（WEP）

B、基于MAC地址的预共享密钥（PSK） C、随机生成的预共享密钥（PSK）

D、字母和数字组成的服集标识符（SSID）

为方便使用公司内不断增加的移动设备（如：笔记本电脑、PDA和有收发电子邮件功能的手机），IS部门经理刚刚施工完成无线局域网（Wireless

LAN）改造，以替换掉以前的双绞线LAN。这种技术改造将会增加哪一种攻击风险？ A、端口扫描 B、后门 C、中间人

D、战争驾驶（War driving）

公共密钥体系（PKI）的某一组成要素的主要功能是管理证书生命周期，包括证书目录维 护，证书废止列表维护和证书发布这个要素是： A、证书机构（CA） B、数字签名

C、证书实践声明 D、注册机构（RA）

网络上数据传输时，如何保证数据的保密性？ A、数据在传输前经加密处理 B、所有消息附加它哈希值

C、网络设备所在的区域加强安全警戒 D、电缆作安全保护

跨国公司的IS经理打算把现有的虚拟专用网（VPN，virtual priavte

network）升级，采用通道技术使其支持语音IP电话（VOIP，voice-over IP）服务，那么，需要首要关注的是：

A、服务的可靠性和质量（Qos,quality of service） B、身份的验证方式 C、语音传输的保密 D、数据传输的保密

在公钥加密系统（PKI）中，处理私钥安全的详细说明的是： A、撤销的证书列表（CRL，Certificate revocation list） B、证书实务说明（CPS，Certification practice statement） C、证书政策（CP，Certificate policy）

D、PKI披露条款（PDS，PKI disclosure statement）

为保证正常运行的计算机系统能被连续使用，用户支持服务是很重要的，下面哪一种情况 与用户支持服务比较接近？ A、事件处理能力 B、配置管理

C、存储介质控制 D、系统备份

IS审计师检查日志文件中的失败登陆的尝试，那么，最关注的账号是： A、网络管理员 B、系统管理员 C、数据管理员 D、数据库管理员

许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性，下面哪一种安全技术最不被优先考虑使用： A、回叫确认 B、通讯加密 C、智能令牌卡 D、口令与用户名

某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登陆系统，访问关键的数据。实施时需要： A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续） B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险） C、在指纹识别的基础上增加口令保护 D、保护非授权用户不可能访问到关键数据

内联网（Intranet）可以建立在一个组织的内部网络上，也可以建互联网（internet）上，上面哪一条针对内联网的控制在安全上是最弱的？

A、用加密的通道传输数据 B、安装加密路由器 C、安装加密防火墙

D、对私有WWW服务器实现口令控制

虚拟专用网（VPN）的数据保密性，是通过什么实现的？ A、安全接口层（SSL，Secure Sockets Layer） B、网络隧道技术（Tunnelling） C、数字签名 D、网络钓鱼

处理计算机犯罪事件需要运用管理团队的方法，下面哪一个角色的职责是明确的？ A、经理

B、审计人员 C、调查人员 D、安全负责人

安全事件应急响应系统的最终目标是： A、对安全事件做出的反应不足 B、检测安全事件

C、对安全事件做出过度反应 D、实施提高安全的保护措施

主动式射频识别卡（RFID）存在哪一种弱点？ A、会话被劫持 B、被窃听

C、存在恶意代码 D、被网络钓鱼攻击

会话以以下哪一种方式处理，才能最大程度保护无线局域网（WLAN）上传输的机密信息？ A、会话被限定在预定的网卡物理地址（MAC address）上 B、使用固定的密钥加密 C、使用动态的密钥加密

D、由有加密存储功能的设备发起会话

下面哪一条措施不能防止数据泄漏？ A、数据冗余 B、数据加密 C、访问控制 D、密码系统

IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注？ A、安全官兼职数据库管理员

B、客户/服务器系统没有适当的管理口令/密码控制

C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D、大多数局域网上的文件服务器没有执行定期地硬盘备份

对下列费用舞弊行为按照发生的频度以降序进行排序： 1、针对电话卡的舞弊 2、员工滥用 3、针对专用分组交换机（PBX）的舞弊 4、针对移动电话的舞弊 A、1,2,3,4 B、3,4,1,2 C、2,3,4,1 D、4,1,2,3

下面哪一种安全技术是鉴别用户身份的最好的方法？ A、智能卡

B、生物测量技术 C、挑战--响应令牌

D、用户身份识别码和口令

在一个分布式计算环境中，系统安全特别重要。分布式计算环境中的网络攻击存在两种主 要的类型：被动攻击和主动攻击。下面哪一种是属于被动攻击？ A、企图登录到别人的帐号上

B、在网络电缆上安装侦听设备，并产生错误消息 C、拒绝为合法用户提供服务

D、当用户键入系统口令时，进行窃听

IS审计师发现IDS日志中与入口相关的端口扫描没有被分析，这样将最可能增加哪一类攻击成攻的风险？ A、拒绝服务攻击 B、包重放 C、社交工程 D、缓存溢出

哪一个最能保证来自互联网internet的交易事务的保密性？ A、数字签名

B、数字加密标准（DES） C、虚拟专用网（VPN）

D、公钥加密（Public Key encryption）

下面哪一种的方式会消耗掉有价值的网络带宽？ A、特洛伊木马 B、陷井门 C、蠕虫 D、疫苗

可以用下列哪一种既经济又方便的方式来防止互联网的WWW服务信息被窃听？ A、对连接和文件进行加密

B、对Socket层和HTTP进行加密 C、对连接和Socket进行加密 D、对文档和HTTP进行加密

检查入侵监测系统(IDS)时,IS审计师最关注的内容是: A、把正常通讯识别为危险事件的数量(误报) B、系统没有识别出的攻击事件

C、由自动化工具生成的报告和日志 D、被系统阻断的正常通讯流

在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证: A、保护硬件设备免受浪涌损害

B、如果主电力被中断,系统的完整性也可以得到维护 C、如果主电力被中断,可以提供即时的电力供应 D、保护硬件设备不受长期电力波动的影响

实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的? A、审计要求 B、口令

C、识别控制 D、验证控制

大型公司的供应商遍布在全球各地，因此其网络流量会持续上升。在这种环境下的信息基础设备及各种组件应当是可缩放的，下列哪一种防火墙的结构限制了其未来的缩放性？ A、固定单元的防火墙 B、基于操作系统的防火墙 C、基于主机的防火墙 D、非军事化区（DMZ）

计算机舞弊行为可以被以下哪一条措施所遏制？ A、准备起诉

B、排斥揭发腐败内幕的雇员 C、忽略了司法系统的低效率

D、准备接收系统缺乏完整性所带来的风险

一种基于信任而产生的并且很难防范的主要风险是： A、正确使用的授权访问 B、被滥用的授权访问 C、不成功的非授权访问 D、成功的非授权访问

你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源。在评估这样一个软件产品时最重要的标准是什么？

A、要保护什么样的信息？ B、有多少信息要保护？

C、为保护这些重要信息你准备有多大的投入？ D、不保护这些重要信息，你将付出多大的代价？

一家投资顾问商定期向客户发送有关财经新闻的电子邮件，如何保证客户收到的资料没有被修改？ A、电子邮件发送前，用投资顾问商的私钥加密邮件的哈席值 B、电子邮件发送前，用投资顾问商的公钥加密邮件的哈席值 C、电子邮件发送前，用投资顾问商的私钥数字签名邮件 D、电子邮件发送前，用投资顾问商的私钥加密邮件

计算机安全应急响应能力CSIRC需要为其日常使用操作以及对系统有效性和责任性检查提供大量信息，下面哪一种日志能最好地反映系统每天的活动过程？ A、联系日志 B、活动日志 C、事件日志 D、审计日志

建立数据所有权关系的任务应当是下列哪一种人的责任? A、职能部门用户 B、内部审计人员 C、数据处理人员 D、外部审计人员

安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略？ A、基于角色的策略 B、基于身份的策略 C、用户向导的策略 D、强制性访问控制策略

下列哪一种情况会损害计算机安全政策的有效性？ A、发布安全政策时 B、重新检查安全政策时 C、测试安全政策时

D、可以预测到违反安全政策的强制性措施时

下面哪一种安全特征可以由结构化查询评议（SQL）标准来定义？ A、身份鉴别与验证 B、事务管理 C、审计 D、容错

下面哪一种日志文件有助于评估计算机安全事例的危害程度？ A、联络日志 B、活动日志 C、事件日志 D、审计日志

下面哪一种属于网络上的被动攻击？ A、消息篡改 B、伪装

C、拒绝服务 D、流量分析

数字签名可以有效对付哪一类电子信息安全的风险？ A、非授权地阅读 B、盗窃

C、非授权地复制 D、篡改

通常，操作系统可以提供哪一种访问控制功能？ A、创建数据库用户账号（profile） B、字段级验证用户身份 C、为每个人建立登陆账号

D、为监督访问违例，日志记录数据库访问活动

组织的安全政策可以是广义的，也可以是狭义的，下面哪一条是属于广义的安全政策？ A、应急计划 B、远程办法

C、计算机安全程序 D、电子邮件个人隐私

从计算机安全的角度看，下面哪一种情况是社交工程的一个直接的例子： A、计算机舞弊 B、欺骗或胁迫 C、计算机偷窃 D、计算机破坏

下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的? A、完整性控制的需求是基于风险分析的结果 B、控制已经过了测试

C、安全控制规范是基于风险分析的结果 D、控制是在可重复的基础上被测试的

下面哪一种拒绝服务攻击在网络上不常见？ A、服务过载

B、对消息的洪水攻击 C、连接阻塞 D、信号接地

下面哪一种功能不是防火墙的主要功能？ A、协议过滤 B、应用网关

C、扩展的日志记录能力 D、包交换

对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为： A、反馈错误控制 B、块求和校验 C、转发错误控制 D、循环冗余校验

下列哪一种行为是互联网上常见的攻击形式？ A、查找软件设计错误

B、猜测基于个人信息的口令 C、突破门禁系统闯入安全场地 D、种值特洛伊木马

在一个单机运行的微型计算机或网络服务器环境下，防止程序被盗窃和使系统免受病毒威 胁的有效预防性措施不包括以下哪一条？

A、提醒员工不要在非授权的情况下拷贝任何存放在计算机硬盘上受保护的可执行程序 B、禁止任何人从一张软盘拷贝可执行程序到另一张软盘 C、不允许有任何从软件拷贝可执行程序到硬盘的企图 D、禁止任何人从“外来的”软盘上执行任何程序

能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是： A、将每次访问记入个人信息（即：作日志） B、对敏感的交易事务使用单独的密码/口令 C、使用软件来约束授权用户的访问 D、限制只有营业时间内才允许系统访问

公司打算安装单点登陆（SSO）控制软件，以访问企业的所有系统。安装前，公司领导应该知道： A、一旦口令外泄，有可能出现严重的非授权访问 B、用户访问权限应该由附加的安全配置加以限制 C、安全管理员的工作负担会加重 D、用户的访问权限会增加

软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾的？ A、员工的教育和培训

B、远距离工作（Telecommuting）与禁止员工携带工作软件回家 C、自动日志和审计软件

D、政策的发布与政策的强制执行

网上资金传输信息的安全性是一个严重的问题，下面哪一种安全控制措施在防止对资金传 输信息的舞弊和滥用方面是最有效的？ A、唯一的口令

B、唯一的用户名和口令 C、加密

D、唯一的用户名、口令和个人身份识别码

IS审计师检查指纹识别系统时，发现一个控制漏洞---1个非授权用户可以更新保存指纹模板的中心数据库。下面的哪一种控制能够根除这个风险？ A、Kerberos B、活性检查

C、多种生物特征并用

D、生物特征数字化前后均作记录

在评估异地备份供应商时，下列哪一条标准最不重要？ A、存储介质管理和环境因素 B、员工人数

C、信誉和站点安全 D、运输能力

业务连续性计划（BCP）的哪个部分，是企业IS部门的主要责任？ A、制定业务连续性计划

B、选定、批准业务连续性计划的相关战略 C、遇灾报警

D、灾后恢复IS系统和数据

一旦业务功能发生变化，已打印的表格和其他备用资源都可能要改变。下面哪一种情况构成了对组织的主要风险？ A、在异地存储的备用资源详细目录没有及时更新

B、在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新

C、没有对紧急情况下的供应商或备选供应商进行评估，不知道供应商是否还在正常营业 D、过期的材料没有从有用的资源中剔除

在检查通讯备份计划时，对信息系统审计师来说，网络组件的可用性是信息系统审计师主要考虑的问题。下面哪一条可以满足网络组件的可用性。

A、前导时间（从设计到实际使用的时间） B、可靠性 C、灵活性 D、兼容性

应急计划能应对下列哪一种威胁？ A、物理威胁和软件威胁 B、软件威胁和环境威胁 C、物理威胁和环境威胁 D、软件威胁和硬件威胁

IS审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP），但是没有整个企业的BCP。那么，IS审计师应该采取的最佳行动是：

A、各业务部门都有适当的BCP就够了，无需其他 B、建议增加、制订全企业的、综合的BCP C、确定各部门的BCP是否一致，没有冲突

D、建议合并所有BCP为一个单独的全企业的BCP

IS审计师应该参与：

A、参观灾难恢复计划的测试和演练 B、制定灾难恢复计划 C、维护灾难恢复计划

D、检查灾难恢复需求有交的供应商合同

微型计算机上的软件和数据是否要保存到异地备份站点主要取决于： A、访问的简便性 B、风险评估 C、完备的标签 D、完备的文档

热站在何时作为恢复战略实施？ A、灾难的容忍程度低时

B、恢复点目标（RPO）高时 C、恢复时间目标（RTO）高时 D、灾难的容忍程序高时

关于灾难恢复计划多长时间测试一次，一直就有争论。测试灾害恢复计划的频度应当基于： A、审计师的建议 B、数据处理的要求 C、预算额度

D、管理者的意见

根据组织业务连续性计划的复杂程度，可以建立多个计划来满足业务连续和灾难恢复的各方面。在这种环境下有必要： A、每个计划都与其他计划相协调 B、所有计划都整合到一个计划中 C、每个计划都独立于其他计划 D、指定所有计划实施的顺序

审计BCP时，IS审计师发现尽管所有部门都位于同一栋大楼里，各部门还是制定了本部门的BCP。IS审计师建议将各BCP协调统一起来，那么，首先要统一的是： A、疏散和撤离计划 B、恢复的优先顺序

C、备份存储（Backup storages） D、电话表（Call tree）

审计企业的业务不间断计划时，IS审计师发现业务不间断计划（BCP）中只涵盖了关键的业务，那么IS审计师： A、应该建议该计划扩大，以涵盖全部业务

B、评估部分业务没有纳入该计划所带来的影响 C、向IT经理汇报这个问题 D、重新定义、划定关键业务

IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么他/她该怎么做？ A、无需做什么。因为只有处理能力低于正常的25%，才会严重影响企业的生存和备份能力 B、找出可以在备用设施使用的应用，其它业务处理采用手工操作，制订手工流程以备不测 C、找出所有主要的应用，确保备用设施可以运行这些应用

D、建议相关部门增加备用设施投入，使其能够处理75%的正常业务

文件备份的频度主要依靠下面哪一条？ A、应用系统功能的重要性 B、应用系统规则的重要性 C、应用系统文档的重要性 D、应用系统编排方式的重要性

检查BCP时，IS审计师最为关注的是：

A、灾难程度只考虑到受到威胁的业务职能的范围大小，而没有考虑持续时间的长短 B、没有区分较小的灾难与软件事故

C、整体的BCP是成文的，而具体的恢复步骤没有细化（或预先制定） D、没有指定报告发生灾难事件的负责人

局域网环境下与大型计算机环境下的本地备份方式有什么主要区别？ A、主要结构 B、容错能力 C、网络拓扑 D、局域网协议

一声火灾蔓延到一个组织的机房场地，这个组织损失了所有的计算机系统。从前，这个组织最应该做的是： A、为冷站备份方式作战计划

B、为互助协议作计划--与其他相同的组织协商互为备份 C、为热站备份方式作计划--使一切设备与数据准备就绪 D、为异地存储设备作每日备份

下面哪一条能证明组织在发生各种灾难的情况下，具有能提供及时、可靠、准确的信息的能力？ A、一个综合的、书面的灾难恢复计划

B、一个具有结构清晰的内容和易于使用的索引的书面计划 C、得到高层管理人员和审计师批准的书面计划 D、操练与演习

关于冷站的计算机设备的组成，下面哪一种说法不正确？ A、加热系统，湿度控制和空调设备 B、CPU和其他计算机设备 C、电源连接 D、通讯连接

生产环境中，确定每个应用系统的重要程序的最佳方法是： A、约见、面谈开发应用的程序员 B、实施差异分析

C、检查最近的应用审计 D、实施业务影响分析

在提供备份计算机设备方面，下面哪一种情况是成本最低的？ A、互助协议 B、共享设备 C、服务机构

D、公司拥有的镜像设备

准备业务连续性计划时，确定恢复点目标（RPO）需要知道： A、一旦运营中断，可接受的数据丢失程度 B、一旦运营中断，可接受的停机时间

C、可用的非现场备份设施类型（是冷站、温站，还是热站） D、支持关键业务功能的IT平台类型

审计业务连续性计划时，下面哪个审计发现需要特别关注？ A、今年新购置的设备、资产没有购买相应的保险 B、BCP手册没有经常更新 C、不经常实施备份数据的测试 D、维护访问系统的记录不知去向

如下哪一种情况下，网络数据管理协议（NDMP）可用于备份？ A、需要使用网络附加存储设备（NAS）时 B、不能使用TCP/IP的环境中

C、需要备份旧的备份系统不能处理的文件许可时 D、要保证跨多个数据卷的备份连续、一致时

一家大型银行实施IT审计的过程中，IS审计师发现许多业务应用没有执行正规的风险评估，也没有确定其重要性和恢复时间上的要求。那么，这些暴露的银行风险是：

A、业务连续性计划（BCP）可能没有与银行各应用被破坏的风险相对应

B、业务连续计划（BCP）可能没有包含所有相关应用，因此，在范围上不完整 C、领导或许没有正确认识灾难对业务的影响

D、业务连续性计划（BCP）或许缺少有效的业务所有者关系

确定热站供应商在资源共享区域内的业务操作的完整性与优先级的最有效的方式是： A、检查与热站供应商签署的所有租赁合同

B、在热站供应商所在地观察一起实际的灾难过程 C、要求供应商提供一份外部审计报告 D、要求供应商提供书面的承诺

公司实施灾难恢复计划之后，下一步该做什么？ A、获得高层领导层的支持 B、识别必需的业务 C、实施书面测试 D、作系统恢复测试

检查用于互聯网通讯的网路时，IT审计师应该首先检查 A. 是否口令经常修改

B. 客户/服务器应用的框架 C. 网路框架设计

D. 防火墙保护和代理服务器

制定基于风险的审计战略时，IS审计师应该实施风险评估，以确定 A. 已经存在减免风险的控制 B. 找到了弱点和威胁 C. 已经考虑到审计风险 D. 实施差異分析是适当的

软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？

A.理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有变化或变化很小 B. 需求被充分地理解，项目又面临工期压力 C. 项目要采用面向对象的设计和编程方法 D. 项目要引用新技术

信息系统不能满足用户需求的最常见的原因是： A. 用户需求频繁变动

B. 对用户需求增长的预测不准确 C. 硬件系统限制了并发用户的数目 D. 定义系统时用户参与不够

以下哪项应是IS审计师最为关注的: A. 没有报告网络被攻陷的事件

B. 未能就企业闯入事件通知执法人员 C. 缺少对操作权限的定期检查 D. 没有就闯入事件告之公众

在收集法庭证据的过程中，以下哪种行为最容易造成目标系统上的证据毁坏？ A. 将内存内容转存至文件中 B. 生成目标系统的磁盘映像 C. 重启目标系统

D. 将目标系统移出网络

有效的IT治理要求组织结构和程序确保 A. 组织的战略和目标包括IT战略 B. 业务战略来自于IT战略

C. IT治理是独立的,与整体治理相区别 D. IT战略扩大了组织的战略和目标

质量保证小组通常负责：

A. 确保从系统处理收到的输出是完整的 B. 监督计算机处理任务的执行

C. 确保程序、程序的更改以及存盘符合制定的标准 D. 设计流程来保护数据，以免被意外泄露、更改或破坏

组织内数据安全官的最为重要的职责是： A. 推荐并监督资料安全政策 B. 在组织内推广安全意识

C. 制定IT安全政策下的安全程序/流程 D. 管理物理和逻辑访问控制

以下哪条最好的支持了新IT项目的优先化？ A．内部控制自我评价（CSA） B．信息系统审计 C．投资组合分析 D．商业风险评估

企业在允许外部机构物理访问其信息处理设施(IPFs)前应该做什么？ A．外部机构的操作应当由独立的IS审计师审计 B．外部机构的工作人员应当培训企业的安全流程 C．任何外部机构的访问应当被限制在隔离区(DMZ) D．企业应当组织风险评估，并设计、执行适当的控制

信息系统审计师正在审查一个项目,是在银行母公司与子公司之间实施一个支付系统。信息系统审计师应该首先确认： A. 两个公司的技术平台具有互操作性 B. 银行母公司被授权作为服务提供商 C. 采取安全措施分离子公司的交易

D. 子公司可以成为这个系统的共同拥有者

在执行灾难恢复测试时，信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢，为了找到根本原因，信息系统审计师应该首先检查：

A. 灾难恢复站点的错误事件报告 B. 灾难恢复测试计划 C. 灾难恢复计划(DRP)

D. 主站点和灾难恢复站点的配置和一致性(configurations and alignment)

在审查IT灾难恢复测试时，下列问题中哪个最应引起IS审计师的关注:

A．由于有限的测试时间窗，仅仅测试了最必须的系统。其它系统在今年的剩余时间里陆续单独测试 B．在测试过程中，注意到有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败 C．在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D．每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档

IS审计师正在审查某个组织的物理安全措施。关于门卡（accesscard）系统，IS审计师最应关注：

A．未标明名字的（nonpersonalized）门卡给授予清洁工，清洁工使用签到表，但没有出示任何身份证明 B．门卡上没有表明组织的名字和地址以方便丢失后及时归还

C．门卡的发行和权限管理由多个部门负责，导致不必要的新卡领用时间 D．制作门卡的计算机系统在系统失败后在三周后才能恢复

下列哪一项是自我评估控制（CSA）的关键好处？

A．支持业务目标的内部控制的所有权管理（management ownership）被强化 B．当评估结果被外部审计使用时，可以减少审计费用

C．由于内部业务的员工参与控制测试，提高舞弊察觉能力 D．利用评估结果，内部审计师能够转换为一项咨询方案

在一次审计中，IS审计师注意到该组织的业务连续性计划（BCP）没有充分强调在恢复过程中的信息保密性。IS审计师应该建议修改计划以包括：

A．启动业务恢复程序时的信息安全要求和级别 B．危机管理架构中信息安全的角色和责任 C．信息安全资源要求

D．为影响业务连续性安排的信息安全变更管理流程

当组织把客户信用审核系统外包给第三方服务供应商时，下列哪一项是IS审计师最重要的考虑？供应商应该 A．符合或超过行业安全标准 B．同意接受外部安全审查

C．在服务和经验方面有良好的市场声誉 D．遵守组织的安全政策

公司制定了关于用户禁止访问的网站类型的制度，以下那种是执行这一制度最有效的技术？ A. 状态检测防火墙（Stateful inspectionfirewall） B. 网站内容过滤器 C. 网站缓存服务器 D. 代理服务器

当开发一个正式的公司安全项目时，最关键的成功因素（CSF）是： A. 建立一个审核部门（review board?） B. 建立一个安全单位（security unit?） C. 对执行发起人的有效支持 D. 选择安全过程的拥有者

IS审计师正在审阅一个使用敏捷（Agile）软件开发方法的项目，以下那一项是IS审计师希望发现的？ A. 使用基于过程的成熟度模型如能力成熟度模型（CMM） B. 定期针对计划对任务层面的进程进行监控

C. 广泛使用软件开发工具来最大化团队的生产力

D. 不断的审阅，及时发现教训，从而为本项目后续工作服务

为优化组织的业务持续计划（BCP），IS审计师需要建议执行业务影响分析（BIA）来决定： A. 能为组织产生最大财务价值，因而需要最先恢复的业务流程 B. 为保证与组织业务战略相一致，业务流程恢复的优先级和顺序 C. 在灾难中能保证组织幸存而必须恢复的业务流程

D. 能够在最短的时间内恢复最多数量的系统的业务流程恢复的优先级和顺序

下列哪项数据库控制能够在在线交易处理系统的数据库中保证交易的完整性？ A. 鉴定控制（Authentication） B. 数据标准化控制 C. 读写访问日志控制 D. 事务提交与滚回操作

在保护组织的IT系统时，当网络防火墙被突破后，以下哪项一般是系统防护的下一道防线？ A．个人防火墙 B．反病毒程序 C．入侵监测系统 D．虚拟局域网配置

在审阅电脑处置流程时，以下哪条是信息系统审计师最应关注的问题？ A．硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。

B．硬盘上的文件和文件夹被分别删除，并且硬盘在离开组织之前被格式化。 C．硬盘在离开组织之前在盘片特殊位置打孔，使硬盘不可读。

D．硬盘的运输应由内部安全职员负责护送至附近的金属制定回收公司，在那里硬盘将被登记然后粉碎处理。

在小型组织中，开发者能直接将紧急变更发布到生产环境中。以下哪项能最好地控制上述情况所产生的风险？ A．在第二个工作日批准并记录此次变更

B．限制开发者在特定时间范围内能访问生产环境

C．将变更发布到生产环境中之前取得次要（secondary）的批准 D．禁用生产机器中的编译器选项

对一个业务应用系统访问授权的职责归属于？ A．数据所有者（data owner） B．安全管理员 C．IT安全经理

D．需求提出者的直接上级（requestor’s immediate supervisor）

在安全治理框架中实施安全规划最主要的好处是： A. 实现IT活动与信息系统审计建议的匹配 B. 加强安全风险管理

C. 实施首席信息安全官(CISO)的建议 D. 减少IT安全的成本

IS审计师正在审阅一个基于软件的防火墙的配置。下列哪一项的设置最脆弱？该防火墙软件： A. 将否定规则（implicit deny rule）作为规则库的最后规则 B. 安装在默认配置的操作系统上

C. 配置了允许或拒绝访问系统/网络的规则 D. 作为虚拟专用网（VPN）的端点

实施IPS不当所带来的最大风险是： A. 将有太多警报需要系统管理员确认。 B. 由于IPS流量而影响网络性能

C. 由于错误的触发而阻拦了关键的系统或服务 D. 在IT组织内需要依赖特定的专家

当一个关键文件服务器的存储增长没有被合理管理时，以下哪项是最大的风险？ A. 备份时间会稳定增长 B. 备份成本会快速增长 C. 存储成本会快速增长

D. 服务器恢复工作不能满足恢复时间目标（RTO）的要求

为了在一个新的ERP项目实施中识别职责分离（SOD）不当的问题，以下哪项审计技术最有效？ A. 审阅系统安全权限的报告 B. 审阅授权对象的复杂性

C. 开发程序以识别授权中的冲突

D. 检查最近发生的违反访问权限的事件

一个遗留工资系统被迁移到一个新的应用系统。下列哪位将主要负责在新系统正式使用前对数据准确性和完整性进行审阅并签字？

A. IS审计师（IS auditor）

B. 数据库管理员(Database administrator) C. 项目经理(Project manager) D. 数据所有人(Data owner)

IS审计师完成了网络审计工作。以下哪项是最重大的逻辑安全发现？ A．终端工作站在长时间无操作时，不能自动进入禁用状态 B．布线室未锁

C．网络操作手册和文档没有被适当保护 D．网络构架未配置不间断电源

以下哪一项通常是首席安全师(CSO)的责任？ A．定期审阅和评估安全政策

B．执行用户应用系统以及软件的测试和评估 C．分配和废止用户对IT资源的访问 D．审批对数据和应用系统的访问

在两个公司合并后，来自两个公司的异构、分别开发的应用软件被一个新的通用平台取代。以下哪项是最重要的风险？ A．项目管理和进程报告由外来的咨询公司整合

B．替换由独立的项目组成，没有将资源分配整合为一个项目组管理方法 C．每一个组织的资源的分配都是低效的，它们更适应合并前公司的系统

D．新平台将会促使两个公司的业务领域转向新的工作流程，导致更广泛的培训需要

在无线通信中，以下哪项控制允许设备接收信息以验证信息未在传输中被修改？ A．设备认证和数据源认证

B．无线入侵检测系统(IDS)和入侵防御系统(IPS) C．使用哈希加密

D．报文头(packet headers)和追踪(trailers)

在执行客户关系管理系统(CRM)迁移项目的审计时，以下哪一项最值得审计师关注： A. 技术迁移计划于长假前的周五进行，但时间过短无法完成全部任务 B. 执行测试的员工担心新系统中的数据与老系统中的完全不同

C. 计划执行单独实施(a single implementationis planned)，实施后立即停止老系统 D. 离预定日期还有五周，但是新系统软件的打印功能仍存在大量缺陷

为了达到组织灾难恢复的要求，备份时间间隔不能超过： A. 服务水平目标(SLO). B. 恢复时间目标(RTO). C. 恢复点目标(RPO).

D. 停用的最大可接受程度(MAO).

基于构件的软件开发方法的最大优点是： A. 管理不受限数据类型的能力。 B. 提供复杂关系的建模。

C. 满足环境变化需求的能力。 D. 对多种开发环境的支持。

在审核网络设备的配置时，IT审计师应首先识别： A. 网络设备部署的最佳实践。 B. 是否缺少某些网络组件。

C. 网络设备在网络拓扑中的重要性。 D. 网络的子组件的使用是否适当。

IT审计师发现，被禁用户在其被禁日起90天内其账号将被停用，这与公司的IS政策相符。IT审计师应当： A. 报告控制被有效地执行，因为账号在公司政策所规定的时间内被停用。 B. 验证用户访问权限的设置是基于最小权限原则（need-to-have）。 C. 建议修改公司的IS政策，以确保在用户被禁用时及时停用其账号。 D. 建议定期审阅被禁账号的活动日志。

为降低网络钓鱼(phishing)所带来的风险，最有效的控制为： A. 集中式监控系统。

B. 在反病毒软件中为网络钓鱼添加数字签名。 C. 公布在以太网中禁止网络钓鱼的政策。 D. 对所有用户进行网络安全培训。

信息系统审计师应该提出以下何种建议来保护存储在数据仓库的特殊敏感信息？ A. 实施列等级与行等级许可 B. 通过强密码增强用户身份认证

C. 将数据仓库构架成为subject matter-specific数据库 D. 日志记录用户对数据仓库的访问

在一次人力资源审计过程中，信息系统审计师发现在HR与IT部门之间就IT服务的期望水平达成了口头协议，在这种情况下，信息系统审计师应该首先采取什么行动？ A. 延迟审计直到协议明文记载

B. 将非明文记载的协议情况上报高级管理层 C. 同双方部门确认协议的内容

D. 为双方部门草拟一份服务水平协议

信息系统管理部门目前正在考虑实施一个VoIP网络，以此来缩减通讯和管理的成本，并请信息系统审计师评估安全控制的适当性。下面哪一个安全措施是最合适的？ A. 审查，并在关键之处升级防火墙的性能 B. 安装调制解调器允许远程维护支持访问

C. 创建一个单独的物理网络来处理VoIP的传输

D. 重新定向所有的VoIP的传输以允许认证信息的明文记录

下面哪一个过程信息系统审计师应该建议用其辅助软件发布版本的基线记录？ A. 变更管理 B. 备份与恢复 C. 事件管理 D. 配置管理

以下哪一项能够有效验证交易的发起者： A. 在发起者和接收者之间使用密码 B. 使用接收者的公钥加密交易 C. 使用PDF格式封装交易内容

D. 使用发起者的私钥对交易进行数字签名

信息系统审计师注意到某组织中使用的操作系统的补丁被IT部门如供应商所建议的一样部 署，在此实践中信息系统审计师最重大的担心是IT没有注意到： A 在应用了补丁后对用户的培训需求 B 补丁对操作系统的有益影响

C 推迟部署直到测试了补丁的影响 D 通知终端用户新补丁的必须性

最有效的生物统计控制系统是： A 拥有最高相等错误率的（EER） B 拥有最低相等错误率的

C 误拒率（FRR）等于误受率（FAR）

D 误拒率等于拒登率（FER即拒绝建档的比率）

IT法庭审计的首要目的是： A 参与与公司欺诈相关的调查

B 在系统不规则之后系统地收集证据 C 评估某组织财务报表的正确性 D 确定有犯罪活动发生

某项目计划用18个月完成，此项目经理宣布项目处于一个健康的财务状态，因为在6个月后 只使用了六分之一的预算。信息系统审计师应当首先确定： A 与计划相比，有多少的步骤已经完成 B 项目预算是否能被削减

C 项目是否能比计划提前完成

D 节省下来的预算是否能被用于扩大项目范围

在检查数字证书认证程序中，以下的哪个发现暴露出了最严重的风险？ A 没有注册中心（RA）用于报告密钥作废 B 证书废止列表不是最新的

C 数字证书中包含一个用于加密信息和鉴别数字签名的公钥 D 订购者将密钥作废向认证中心汇报

信息安全审计师正在对远程管理的服务器备份进行审计工作。审计师审核了某一天的日志 ，发现出现了登陆服务器失败后，备份重启无法确认的情况。此时审计师应该如何做？ A．发表一个审计发现

B. 从信息安全管理层那里寻找解释 C. 审核服务器上的数据分类 D. 扩大审核的日志样本量

信息系统审计师发现，对于产品收益，一个企业组织的财务部和市场部分别给出了不同的 报告结果。深入的调查表明两个部门所使用的产品定义是不同的。审计师应该提出怎样的 建议？

A.在所有报告发布到生产前使用User acceptance testing(UAT) B. 实施有组织的数据管理方法 C.使用标准的软件工具来出报告 D. 对于新报告要求管理层签字

一个信息安全审计师可以通过审核以下哪个来验证一个企业的业务持续性计划是有效的： A. 最好业务情况下的BCP基准

B.由信息安全人员和终端用户执行的业务持续性测试结果 C.异地设备，它的容量，安全和环境控制。

D. BCP相关活动的年财务成本和BCP计划实施后的预期收益对比

通常，在一个项目的启动初期下列哪类利益相关者（stakeholders）的加入是必不可少的？ A.系统拥有者(system owners) B. 系统使用者(system users) C. 系统设计者(system designers) D. 系统建立者（system builders）

审计师发现在一个新的商业智能项目中，时间限制和扩大的需求,是企业数据定义标准违规 的根源。下列哪个是审计师应该提出的最为合适的建议？ A. 通过增加投入项目的资源来达到标准基线。 B. 在项目完成后核准数据定义标准 C. 推延项目直到达标

D.通过对犯规者采用惩罚性方法来强制达标

收到原始签名的数字证书后，用户将使用谁的公钥解密证书： A. 注册中心RA

B. 数字证书认证中心CA C. 证书库 D. 接收者

已建立IT灾难恢复方案并定期执行的某中等规模企业，制定了一个业务持续计划。此计划 的纸上推演已成功完成。作为信息系统审计师，为了验证此计划的完备性，接下来应采用 下列哪种测试？

A. 重新安排所有部门，包括IT部门，对事故点进行全面测试 B. 对一系列预定义的涉及所有关键职员的场景进行穿行测试 C. 对关键业务系统进行包括业务部门参与的IT灾难恢复测试 D. 对一个IT有限参与的场景进行功能测试

下列哪一项最适合用来提高IT项目组合与企业战略优先级的一致性？ A. 用平衡记分卡来评价绩效

B. 考虑关键绩效指标的用户满意度 C. 按照业务回报与风险选择项目

D. 对每年定义项目组合的流程进行修改

作为信息系统审计师，审阅IT战略规划时，应当关注： A. 对应用系统组合是否符合业务目标的评估 B. 为了降低硬件采购成本采取的措施 C. 已批准的IT供应商列表

D. 对关于网络边界安全的技术架构的描述

数据中心最适合使用哪种灭火系统？ A. 湿式喷水系统 B. 干式喷水系统

C. FM-200(七氟丙烷)灭火系统 D. 二氧化碳型灭火器

在DMZ服务器上运行FTP协议的时候，哪种是显着的风险： A. 内部用户可以发送文件给未授权用户

B. FTP协议可以允许一个用户从未授权资源处下载文件 C. 黑客可以用FTP协议穿过防火墙

D. FTP协议可以显着降低DMZ服务器的性能。

一个组织需要将一个关键的系统时间恢复目标设置为0并且恢复点目标设置为1分钟。这将 意味着这个系统能忍受：

A．数据丢失最多只能有一分钟，但是系统处理必须是连续的 B. 系统处理可以中断一分钟，但是不能忍受任何数据丢失 C. 系统处理终端可以在一分钟及以上 D. 数据丢失和系统中断可以超过1分钟

一个信息系统审计师应该认为把生产环境和系统的访问控制的授权给予：

A. 程序管理员 B. 系统管理员 C. 安全管理员 D. 数据所有者

使用数字签名的时候，报文摘要应该由谁计算： A. 仅被发送者 B. 仅被接受者 C. 以上两者

D. 由授权中心（CA）

一个组织把它的帮助台活动外包，一个信息系统审计师在审阅组织和开发商之间的合同和 相关的服务水平协议（SLA）最应该关心的是： A. 员工背景的审查文件

B. 独立的审计报告或者完整的审计评估 C. 各年度间增量成本的减少 D. 员工的工作调动，发展，培训

下面哪一项将最有效地提高挑战-应答认证机制的安全性？ A. 选用更健壮的算法生成挑战字符串（challenge strings） B. 建立措施防止会话劫持攻击 C. 加强相关密码变更频率

D. 增加认证字符串（authentication strings）的长度

下面哪一项物理访问控制能有效减小尾随行为（piggybacking）的风险？ A. 生物门锁（Biometric door locks） B. 组合门锁（combination door locks） C. 双道门（Deadman doors） D. 抽薹门锁（Bolting door locks）

信息系统审计师发现，来自于不同独立部门的请求被处理多次，各个部门的请求数据库每周同步一次。最好的建议是？ A. 增加不同部门的系统之间数据复制的频率，以确保及时更新 B. 在一个部门集中处理所有请求，以避免对同一请求的并行处理

C. 更改申请结构，以便把共同的数据存储于面向所有部门的共享数据库中 D. 实施核对控制，以便在系统处理订单前检查重复（请求）

下面哪一项技术能最好地帮助IS审计师，保证项目能按时完成？

A. 基于进度报告中的已完工的百分比和尚需完工的估计时间，估计实际结束日期 B. 通过访谈参与完成项目交付物的有经验的经理和员工，确认目标日期 C. 基于已完工的工作包和现有资源推断整体完工日期 D. 基于现有资源和剩余可用的项目预算计算期望完工日期

当审核组织已获批准的软件产品列表时，下面哪一项是最需要被验证的？ A. 与产品使用相关的风险被周期性评估 B. 每个产品的最新版本已被列出

C. 由于许可证问题，列表不包括开源软件

D. 提供非工作时间支持（After hours support）

在开发一个安全架构时，一下哪步应该被最早执行： A. 开发系统程序 B. 定义系统政策

C. 对访问控制方法进行详细描述 D. 定义角色和责任制

试图对互联网上传播的加密数据获得访问并收集信息的入侵者会使用以下哪种手段？ A. 窃听 B. 欺诈

C. 流量分析 D. 伪装

IS审计师在审查发票主文件（invoice masterfile）中是否存在重复发票记录时，应该使用以下哪种方法？ A. 属性抽样

B. 通用审计软件（GAS） C. 测试数据

D. 综合测试法（ITF）

IS审计师发现，某天一个特定的时段，数据仓库的查询性能大幅下降，IS审计师应审查一下哪种相关控制？ A. 永久性表空间的分配（Permanent table space allocation） B. 提交和回滚控制

C. 用户离线假脱机（User Spool） 和数据库限制控制 D. 日志访问的读写权限控制

在审查一个售货终端系统（POS）时，以下哪项审计发现是最严重的？ A. POS系统中的发票记录为手工输入到会计应用程序中 B. 没有使用光扫描仪扫读用来生成销售发票的条形码 C. 经常发生断电，导致手工填写准备发票

D. 在本地POS系统中的客户信用卡信息是未加密保存的

当电子商务应用程序在LAN上运行，处理电子交易（EFT）时，保护数据完整性和私密性的最佳方法是（） A. 数据传输使用虚拟专用网络（VPN）隧道 B. 在应用程序里启用数据加密 C. 审计网络的访问控制 D. 记录访问列表的所有变化

在进行IT系统的渗透性测试时，一个组织最应该关注（） A. 报告的私密性

B. 找出系统的所有弱点

C. 将所有系统恢复到初始状态 D. 记录生产系统发生过的所有变化

在关键系统上进行确认和授权的动机，是确保（） A. 安全合规性已在技术层面上得到评估 B. 数据被加密且准备储存

C. 系统已被测试，为了在不同的平台上运行 D. 系统已按照瀑布模型的阶段

下列哪种渗透性测试，可以有效的评估一个组织事件处理和响应的能力？ A. 目标测试 B. 外部测试 C. 内部测试 D. 双盲测试

下列哪一项能够最好的保证防火墙日志的完整性？ A. 只授予管理员访问日志信息的权限 B. 在操作系统层获取日志事件

C. 在不同的存储介质中写入两套日志

D. 将日志信息传送到专门的第三方日志服务器

公司实行了新的客户机-服务器模式的企业资源规划系统(ERP)，当地分支机构传递客户订单到中央制造厂。 以下哪种措施确保订单准确地进入并且生产出相应的产品？ A. 根据客户订单核实产品

B. 在ERP系统中记录所有客户订单

C. 在订单传输处理中使用杂凑hash总数 hash total D. 在生产前审批订单

在实施对于多用户分布式应用程序的审核时，IS审计师发现在三个方面存在小的弱点：初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应该： A. 分别记录对于每个发现产生的相关影响。

B. 建议经理关于可能的风险不记录这些发现，因为控制弱点很小 C. 记录发现的结果和由于综合缺陷引发的风险

D. 报告部门领导重视每一个发现并在报告中适当的记录

下列哪些形式的审计证据就被视为最可靠? A. 口头声明的审计

B. 由审计人员进行测试的结果

C. 组织内部产生的计算机财务报告 D. 从外界收到的确认来信

在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试： A. 系统程序员 B. 法律人员

C. 业务部门经理 D. 应用程序员

当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道： A. 当数据流通过系统时，其作用的控制点 B. 只和预防控制和检查控制有关 C. 纠正控制只能算是补偿

D. 分类有助于审计人员确定哪种控制失效

审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用 户或系统行为异常。下列哪些工具最适合从事这项工作? A. 计算机辅助开发工具（case tool） B. 嵌入式（embedded）数据收集工具

C. 启发扫描工具（heuristic scanning tools） D. 趋势/变化检测工具

在应用程序开发项目的系统设计阶段，审计人员的主要作用是： A. 建议具体而详细的控制程序 B. 保证设计准确地反映了需求

C. 确保在开始设计的时候包括了所有必要的控制 D. 开发经理严格遵守开发日程安排

下面哪一个目标控制自我评估(CSA)计划的目标? A. 关注高风险领域 B. 替换审计责任 C. 完成控制问卷

D. 促进合作研讨会 Collaborative facilitative workshops

利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证： A. 充分保护信息资产

B. 根据资产价值进行基本水平的保护 C. 对于信息资产进行合理水平的保护

D. 根据所有要保护的信息资产分配相应的资源

审计轨迹的主要目的是： A. 改善用户响应时间

B. 确定交易过程的责任和权利 C. 提高系统的运行效率

D. 为审计人员追踪交易提供有用的资料

对于组织成员使用控制自我评估(CSA)技术的主要好处是： A. 可以确定高风险领域，以便以后进行详细的审查 B. 使审计人员可以独立评估风险 C. 可以作来取代传统的审计

D. 使管理层可以放弃relinquish对控制的责任

下列哪一种在线审计技术对于尽早发现错误或异常最有效? A. 嵌入审计模块

B. 综合测试设备Integrated test facility C. 快照sanpshots D. 审计钩Audit hooks

审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师： A. 在应用系统开发过程中，实施了具体的控制 B. 设计并嵌入了专门审计这个应用系统的审计模块 C. 作为应用系统的项目组成员，但并没有经营责任 D. 为应用系统最佳实践提供咨询意见

审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是： A. 经理助理有舞弊行为 B. 不能肯定无疑是谁做的 C. 肯定是经理进行舞弊 D. 系统管理员进行舞弊

为确保审计资源的价值分配给组织价值最大的部分，第一步将是：

A. 制定审计日程表并监督花在每一个审计项目上的时间 B. 培养审计人员使用目前公司正在使用的最新技术 C. 根据详细的风险评估确定审计计划 D. 监督审计的进展并开始成本控制措施

审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发现是审计师应该最重视的？ A. 有一些外部调制解调器连接网络 B. 用户可以在他们的计算机上安装软件 C. 网络监控是非常有限的

D. 许多用户帐号的密码是相同的

下列哪一项能够最好的保证防火墙日志的完整性？ A. 只授予管理员访问日志信息的权限 B. 在操作系统层获取日志事件

C. 在不同的存储介质中写入两套日志

D. 将日志信息传送到专门的第三方日志服务器

在安全治理框架中实施安全规划最主要的好处是： A. 实 IT 活动与信息系统审计建议的匹配 B. 加强安全风险管理

C. 实施首席信息安全官(CISO)的建议 D. 减少IT 安全的成本

在执行客户关系管理系统(CRM)迁移项目的审计时，以下哪一项最值得审计师关注： A. 技术迁移计划于长假前的周五进行，但时间过短无法完成全部任务 B. 执行测试的员工担心新系统中的数据与老系统中的完全不同

C. 计划执行单独实施(a single implementation is planned) ，实施后立即停止老系统 D. 离预定日期还有五周，但是新系统软件的打印功能仍存在大量缺陷

以下哪一项能够有效验证交易的发起者： A. 在发起者和接收者之间使用密码 B. 使用接收者的公钥加密交易 C. 使用PDF 格式封装交易内容

D. 使用发起者的私钥对交易进行数字签名

在执行灾难恢复测试时，信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢，为了找到根本原因，信息系统审计师应该首先检查：

A. 灾难恢复站点的错误事件报告 B. 灾难恢复测试计划 C. 灾难恢复计划(DRP)

D. 主站点和灾难恢复站点的配置和校正(configurations and alignment)

在审查IT 灾难恢复测试时，下列问题中哪个最应引起IS 审计师的关注

A.由于有限的测试时间窗，仅仅测试了最必须的系统。其它系统在今年的剩余时间里陆续单独测试 B.在测试过程中，注意到有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败 C. 在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档

IS 审计师正在审查 个组织的物理安全措施。关于门卡 （访问卡） access card系统，IS审计师最应关注： A. 未标明名字的nonpersonalized门卡给授予清洁工，清洁工使用签到表，但没有出示任何身份证明 B. 门卡上没有表明组织的名字和地址以方便丢失后及时归还

C. 门卡的发放和权限管理由多个部门负责，导致不必要的新卡领用时间 D. 制作门卡的计算机系统在系统失败后在三周后才能恢复

下列哪一项是自我评估控制 CSA的关键好处？

A. 支持业务目标的内部控制的所有权管理 management ownership被强化 B. 当评估结果被外部审计使用时，可以减少审计费用

C. 由于内部业务的员工参与控制测试，提高舞弊察觉能力 D. 利用评估结果，内部审计师能够转换为一项咨询方案

在一次审计中，IS 审计师注意到该组织的业务连续性计划BCP没有充分强调在恢复过程中的信息保密性。 IS 审计师应该建议修改计划以包括：

A. 调用业务恢复程序时所要求的信息安全水平 B. 危机管理结构中信息安全的角色和责任 C. 信息安全资源要求

D. 为影响业务连续性安排的信息安全变更管理流程

当组织把客户信用审核系统外包给第三方服务供应商时，下列哪一项是IS审计师最重要的考虑？供应商应该 A. 符合或超过行业安全标准 B. 同意接受外部安全审查

C. 在服务和经验方面有 好的市场声誉 D. 遵守组织的安全政策

公司制定了关于用户禁止访问的网站类型的制度，以下那种是执行这一制度最有效的技术？ A. 状态检测防火墙 Stateful inspection firewall B. 网站内容过滤器 C. 网站缓存服务器 D. 代理服务器

IS 审计师正在审阅一个使用敏捷 Agile软件开发方法的项目，以下那一项是IS审计师希望发 的？ A. 使用基于过程的成熟度模型如能力成熟度模型 CMM B. 定期针对计划对任务层面的进程进行监控

C. 广泛使用软件开发工具来最大化团队的生产力

D. 反复 Postieration的审阅以识别可以为未来项目使用的经验

在审阅电脑处置流程时，以下哪条是信息系统审计师最应关注的问题？ A. 硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。

B. 硬盘上的文件和文件夹被分别删除，并且硬盘在离开组织之前被格式化。 C. 硬盘在离开组织之前写保护应设定在特殊位置使硬盘处于不可读状态。

D. 硬盘的运输应由内部安全职员负责护送至附近的金属制定 收司，在那里硬盘将被登记然后粉碎处理。

IS审计师正在审阅一个基于软件的防火墙的配置。下列哪一项的设置最脆弱？该防火墙软件： A. 配置隐性否定规则作为规则库的最后规则 B. 安装在默认配置的操作系统上

C. 配置了允许或拒绝访问系统/ 网络的规则 D. 作为虚拟专用网的端点

IS 审计师完成了网络审计工作。以下哪项是最重大的逻辑安全发 ？ A. 网络工作站在不工作一段时间后不能自动关闭 B. 布线室未锁

C. 网络操作手册和文档没有被适当保护 D. 网络构架未配置不间断电源

以下哪一项通常是首席安全师(CSO)的责任？ A. 定期审阅和评估安全政策

B. 执行用户应用系统以及软件的测试和评估 C. 分配和废止用户对IT 资源的访问 D. 审批对数据和应用系统的访问

在两个公司合并后，来自两个公司的多元化自主发展的应用软件被一个新的通用平台取代。以下哪项是最重要的风险？ A. 项目管理和进程报告由外来的咨询公司整合

B. 替换由独立的项目组成，没有将资源分配整合为一个项目组管理方法 C. 每一个组织的资源的分配都是低效的，它们更适应合并前公司的系统

D. 新平台将会促使两个公司的业务领域转向新的工作流程，导致更广泛的培训需要

IT 审计师发现被禁用户在其被禁日起90 天内其账号将被停用，这与公司的IS 政策相符。IT审计师应当： A. 报告控制被有效地执行，因为账号在 司政策所规定的时间内被停用。 B. 验证用户访问权限的设置是基于最小权限原则

C. 建议修改 司的IS 政策，以确保在用户被禁用时及时停用其账号。 D. 建议定期审阅被禁账号的活动日志。

为降低网络钓鱼(phishing)所带来的风险，最有效的控制为： A. 集中式监控系统。

B. 在反病毒软件中为网络钓鱼添加数字签名。 C. 布在以太网中禁止网络钓鱼的政策。 D. 对所有用户进行网络安全培训。

信息系统审计师应该提出以下何种建议来保护存储在数据仓库的特殊敏感信息？ A. 实施列等级与行等级许可 B. 通过强密码增强用户身份认证

C. 将数据仓库构架成为subject matter-specific 数据库 D. 日志记录用户对数据仓库的访问

在一次人力资源审计过程中，信息系统审计师发 在HR 与IT 部门之间就IT服务的期望水平达成了口头协议，在这种情况下，信息系统审计师应该首先采取什么行动？ A. 延迟审计直到协议明文记载

B. 将非明文记载的协议情况上报高级管理层 C. 同双方部门确认协议的内容

D. 为双方部门草拟一份服务水平协议

信息系统管理部门目前正在考虑实施一个VoIP网络，以此来缩减通讯和管理的成本，并请信息系统审计师评估安全控制的适当性。下面哪一个安全措施是最合适的？ A. 审查，并在关键之处升级防火墙的性能 B. 安装调制解调器允许远程维护支持访问

C. 创建一个单独的物理网络来处理VoIP 的传输

D. 重新定向所有的VoIP 的传输以允许认证信息的明文记录

项目计划用18 个月完成，此项目经理宣布项目处于一个健康的财务状态，因为在6个月后只使用了六分之一的预算。信息系统审计师应当首先确定：

A. 与计划相比，有多少的步骤已经完成 B. 项目预算是否能被削减

C. 项目是否能比计划提前完成

D. 节省下来的预算是否能被用于扩大项目范围

在检查数字证书认证程序中，以下的哪个发 暴露出了最严重的风险？ A. 没有注册中心汇报密钥泄漏 B. 证书废止列表不是最新的

C. 数字证书中包含一个用于加密信息和鉴别数字签名的公钥 D. 订购者向认证中心汇报密钥泄漏

信息安全审计师正在对远程管理的服务器备份进行审计工作。审计师审核了一天的日志，发出了登陆服务器失败后备份重启无法确认的情况。此时审计师应该如何做？ A. 发表一个审计发

B. 从信息安全管理层那里寻找解释 C. 审核服务器上的数据分类 D. 扩大审核的日志样本量

信息安全审计师发，对于产品收益，一个企业组织的财务部和市场部分别给出了不同的报告结果。深入的调查表明两个部门所使用的产品定义是不同的。审计师应该提出怎样的建议？ A. 在所有报告发布到生产前使用 (UAT) B. 实施有组织的数据管理方法 C. 使用标准的软件工具来出报告 D. 对于新报告要求管理层签字

一个信息安全审计师可以通过审核以下哪个来验证一个企业的业务持续性（BCP）计划是有效的： A. 最好业务情况下的BCP 基准

B. 由信息安全人员和终端用户执行的业务持续性测试结果 C. 异地设备，它的容量，安全和环境控制。

D. BCP 相关活动的年财务成本和BCP 计划实施后的预期收益对比

通常，在一个项目的启动初期下列哪类利益相关者 stakeholders的加入是必不可少的？ A. 系统拥有者 B. 系统使用者 C. 系统设计者 D. 系统建立者

审计师发在一个新的业务智能项目中，时间限制和扩大的需求是企业数据定义标准犯规的根源。下列哪个是审计师应该提出的最为合适的建议？

A. 通过增加投入项目的资源来达到标准基线。 B. 在项目完成后核准数据定义标准 C. 推延项目直到达标

D. 通过对犯规者采用惩罚性方法来强制达标

已建立IT 灾难恢复方案并定期执行的中等规模企业，制定了一个业务持续计划。此计划的纸上推演已成功完成。作为信息系统审计师，为了验证此计划的完备性，接下来应采用下列哪种测试？ A. 重新安排所有部门，包括IT 部门，对事故点进行全面测试 B. 对一系列预定义的涉及所有关键职员的场景进行穿行测试 C. 对关键业务系统进行包括业务部门参与的IT 灾难恢复测试 D. 对一个IT 有限参与的场景进行功能测试

下列哪一项最适合用来提高IT 项目组合与企业战略优先级的一致性？ A. 用平衡记分卡来评价绩效

B. 考虑关键绩效指标的用户满意度 C. 按照业务 报与风险选择项目

D. 对每年定义项目组合的流程进行修改

作为信息系统审计师，审阅IT 战略规划时，应当关注： A. 对应用系统组合是否符合业务目标的评估 B. 为了降低硬件采购成本采取的措施 C. 已批准的IT 供应商列表

D. 对关于网络边界安全的技术架构的概述

在 demilitarized zone服务器上运行FTP 协议的时候，哪种是显着的风险： A. 内部用户可以发送文件给未授权用户

B. FTP 协议可以允许一个用户从未授权资源处下载文件 C. 黑客可以用FTP 协议穿过防火墙

D. FTP 协议可以显着减少 demilitarized zone服务器的绩效。

一个组织需要将一个关键的系统时间恢复目标设置为0 并且恢复点目标设置为1 分钟。这将意味着这个系统能忍受：

A. 数据丢失最多只能有一分钟，但是系统处理必须是连续的 B. 系统处理可以中断一分钟，但是不能忍受任何数据丢失 C. 系统处理终端可以在一分钟及以上 D. 数据丢失和系统中断可以超过1 分钟

一个信息系统审计师应该认为把生产环境和系统的访问控制的授权给予： A. 程序管理员 B. 系统管理员 C. 安全管理员 D. 数据所有者

使用数字签名的时候，电文摘要应该有谁计算： A. 仅被发送者 B. 仅被接受者 C. 以上两者

D. 由授权中心 CA

一个组织把它的帮助台活动外包了，一个信息系统审计师在审阅组织和开发商之间的合同和相关的服务水平协议 SLA 最应该关心的是：

A. 员工背景的审查文件

B. 独立的审计报告或者完整的审计评估 C. 年复一年的增量成本的减少报告 D. 员工的工作调动，发展，培训

下面哪一项将最有效地提高挑战-应答认证机制（challenge-response basedauthenticationsystem）的安全性？ A. 选用更健壮的算法生成挑战字符串 B. 建立措施防止会话劫持攻击 C. 加强相关密码变更频率

D. 增加认证字符串 authentication strings的长度

下面哪一项物理访问控制能有效减小骑肩行为 piggybacking的风险？ A. 生物门锁 B. 组合门锁 C. 双道门 D. 抽薹门锁

信息系统审计师发，来自于不同独立部门的请求被处理多次，各个部门的请求数据库每周同步一次。最好的建议是？ A. 增加不同部门的系统之间数据复制的频率，以确保及时更新 B. 在一个部门集中处理所有请求，以避免对同一请求的并行处理

C. 更改申请结构，以便把共同的数据存储于面向所有部门的共享数据库中 D. 实施核对控制，以便在系统处理订单前检查重复（请求）

下面哪一项技术能最好地帮助IS 审计师，获取项目能实项目日期目标的合理保证？ A. 基于进度报告中的已完工的百分比和尚需完工的估计时间，估计实际结束日期 B. 通过访谈参与完成项目交付物的有经验的经理和员工，确认目标日期

C. 基于已完工的工作包和现有资源推断整体完工日期 D. 基于现有资源和剩余可用的项目预算计算期望完工日期

当审核组织已获批准的软件产品列表时，下面哪一项是最需要被验证的？ A. 与产品使用相关的风险被周期性评估 B. 每个产品的最新版本已被列出

C. 由于许可证问题，列表不包括开源软件 D. 提供非工作时间支持 After hours support

IS 审计师在审查发票主文件 invoice masterfile中是否存在重复发票记录时，应该使用以下哪种方法？ A. 属性抽样

B. 通用审计软件 GAS C. 测试数据

D. 综合测试法 ITF

IS 审计师发 ， 天一个特定的时段，数据仓库的查询功能的（queryperformance）性能大幅下降，IS 审计师应审查一下哪种相关控制？

A. 永久性表空间的分配 Permanent table-space allocation B. 提交和会滚控制

C. 用户离线假脱机 User Spool和数据库限制控制 D. 日志访问的读写权限控制

在审查一个售货终端系统 POS时，以下哪项审计发是最严重的？ A. POS 系统中的发票记录为手工输入到会计应用程序中 B. 没有使用光扫描仪扫读用来生成销售发票的条形码 C. 经常发生断电，导致手工填写准备发票

D. 在本地POS 系统中的客户信用卡信息是未加密保存的

在电子商务应用程序在LAN上运行，处理电子交易事项时，保护数据完整性和私密性的最佳方法是 A. 数据传输使用虚拟专用网络 VPN隧道 B. 在应用程序里启用数据加密 C. 审计网络的访问控制 D. 记录访问列表的所有变化

在关键系统上进行认证过程的理由是确保 A. 安全合规性已在技术层面上得到评估 B. 数据被加密且准备储存

C. 系统已被测试，为了在不同的平台上运行 D. 系统已按照瀑布模型的阶段

在收集法庭证据的过程中，以下哪种行为最容易造成妥协(compromised)系统上的证据毁坏？ A. 将内存内容转存至文件中

B. 在妥协(compromised) 系统中生成磁盘映像 C. 重启系统

D. 在网络中将系统移除

一个参与了组织业务连续性计划（BCP）设计的IS审计人员又被指派去审计这个计划。那么这个IS 审计人员应该： A. 谢绝这个指派

B. 在完成该审计任务后，通知管理层可能由此产生的利益冲突

C. 在开始审计任务前，通知业务连续性计划小组可能由此产生的利益冲突 D. 在开始审计任务前，与管理层交流产生利益冲突的可能性

一个组织正在从一个遗留系统迁移到一个新的ERP系统，当检查这些数据迁移活动时，IS审计师考虑的最重要的因素是决定是否存在：

A. 数据在两个系统中迁移时语义的正确性

B. 数据在两个系统中迁移时计算方面的正确性 C. 两个系统中各个程序中实现功能的正确性 D. 两个系统中程序的效率是相似的一个IS

审计师发现开发人员把用户在新系统中实施接受测试时不断的被打断作为一个缺陷被修补好。IS审计师最好做下面哪项建议？

A. 考虑建立一个单独的用户接受测试环境的可行性 B. 计划安排用户测试在每天的一个特定的时间段 C. 实施一个源代码版本控制工具 D. 只重新测试高优先级的缺陷

在一个生产系统的变更控制审计中，一个IS审计师发现变更管理流程没有被正式的文档记录下来以及一些迁移程序没有成功。IS 审计师下一步应该怎么做？ A. 要求重新设计变更管理流程

B. 通过根源分析来获取更多的证据来确保安全 C. 要求项目迁移停止直到变更流程被记录下来 D. 记录所发现的问题并上报给管理层

一个组织的IS审计章程应该描叙下面哪一项： A. IS审计业务的短期和长期计划 B. IS审计业务的目标和范围 C. IS审计人员的详细培训计划 D. IS审计功能的角色

定义恢复点目标（RPOs）是最关键的考虑是？ A. 最小化操作请求 B. 可接受的数据丢失 C. 所有失败的平均时间 D. 可接受的恢复时间

下面哪项是计算机安全事件响应小组有效性的指标？ A. 每件安全事件发生对财务的影响 B. 安全脆弱性被修补的数量 C. 业务应用被保护的百分比 D. 成功进行渗透测试的次数

一个组织准备用无线网络代替有线网络，下面哪项为无线网络的非授权访问提供了最大的保护？ A. 应用WEP协议

B. 只允许通过授权的MAC 地址访问 C. 使SSID 失效 D. 应用WAP2

一个组织已经将它的WAN服务外包给第三方的服务提供商。在这种情形下，当IS审计师去开展组织BCP及DRP 审计时首要的任务是？

A. 查看服务供应商提供的BCP 策略是否与组织的BCP策略一致；

B. 检查服务水平协议是否包含了当不能满足灾难恢复要求时相关的处罚条例； C. 查看是选择服务供应商的方法是否与组织相适应； D. 检查第三方服务供应商员工的诚信度；

下面哪种组合是最好的双因素认证？ A. 需要用户PIN 码的智能卡； B. 绑定密码的用户ID; C. 虹膜加指纹扫描组合； D. 需要用户PIN 码的磁卡；

组织正在进行一项包含业务单元长达4小时的高强度作业的信息系统灾难恢复的互惠协议的测试，测试很成功，但是这项测试智能确保？

A. 系统和IT 操作人员能够持续作业在紧急的环境下； B. 资源和环境能够支持交易的正常完成； C. 远程响应的站点能够及时响应；

D. 当灾难发生时，实际业务操作可以保证在紧急系统下正常运行；

信息系统审计师在检查意外事件报告时发现，一份很重要的文件被遗忘在员工办工桌上，并且被外包的清洁工人丢到了垃圾桶里面。下面哪项控制审计师应该建议管理层增加？ A. 组织和清洁机构都应该遵守严格的控制；

B. 不必采取任何建议因为这种事情之前从来没有发生过； C. 应该实施一个桌面清理策略并且要被组织严格执行； D. 一项好的针对所有重要文件的备份策略应该被组织实施；

一个金融服务组织正在开发和制定组织业务持续性计划。下面哪个问题审计师最应该反应出来？

A.组织使用适合自己的最佳实践而不是使用行业最佳实践并且依赖外部专家顾问来确保组织有充分的技术支持； B. 业务持续性计划能力应该仔细描述许多有可能发生的场景；

C. 恢复时间点目标没有将IT 灾难恢复所依赖的人和系统考虑在内；

D.组织计划租用一个只够容纳一半数目的员工的共享站点作为工作站，用来应对紧急情况；

将组织内所有的计算机时钟保持同步的主要原因是？ A. 防止重复交易；

B. 确保交易数据从客户机传到服务器时钟的一致性； C. 确保E-mail有精确的时间戳； D. 确保支持突发事件的调查过程；

在一家医院，医护人员使用包含有病人健康数据的手持移动设备，这个设备是和医院的数据中心实时通信的。下面哪一项是最重要的？

A. 手持移动设备应该能够很好的保护数据的机密性，万一设备被窃取； B. 员工被授权后才能从本地计算机上删除临时的文件； C. 应当用政策和程序确保实时性；

D. 手持移动设备的使用应当符合医院的政策；

在审计过程中，审计师注意到IT部门没有独立的风险管理职能并且组织的日常操作风险文档仅包含了主要的IT风险。下面哪项审计师在此时最应该提出来？

A. 建立IT风险管理部门并且在有关外部风险管理专家的帮助下建立一个IT风险管理框架； B. 使用行业标准实践将现有的风险文档拆分成几个独立的便于处理的风险点； C. 对于一个中小型组织来说现行的做法就很适合，没什么提建议的必要；

D. 建立一个能够识别，评估，及创建了风险转移计划的规范化的IT风险管理策略。

下面哪项是IS审计人员用来决定产品编程是否存在非授权的更改？ A. 系统日志分析 B. 符合性测试 C. 司法取证分析 D. 分析性检查

当评估一个组织的软件开发实务，IS审计人员注意到质量保证（QA）功能被报告给项目管理层。IS 审计人员最关注？ A. QA功能的有效性，因为它应该被项目管理层和用户管理层相互作用 B. QA功能的效率性，因为它应该被项目实施团队影响

C. 项目管理者的有效性，因为项目管理者应该被QA功能影响 D. 项目管理者的效率性，因为QA功能应该要与项目实施团队交流

哪个是最有效的控制去加强用户访问敏感信息的责任？ A. 实施日志管理程序 B. 实施双因素授权

C. 用列表视图去访问敏感数据 D. 分离数据库和应用服务器

用白盒测试的典型的优点是：

A. 确认一个程序在与系统的其它部分共同工作时能成功运行 B. 确保一个程序的功能操作的有效而不用关注系统的内部结构 C. 确定程序运行正确或者了解一个程序的逻辑结构

D.检查一个程序的功能性通过它在一个紧紧控制的或者虚构的环境中并严格控制访问主系统的状态下运行

一个项目的管理者不能在目标日期前实施全部的审计要求。IS 审计师应该： A. 要求项目暂直到问题被解决 B. 要求实施补偿性控制

C. 评估该问题未被解决的风险

D. 要求项目管理者重新准备测试资源区解决这个问题

测试程序变更管理流程时，IS审计师使用的最有效的方法是： A. 由系统生成的信息跟踪到变更管理文档

B. 检查变更管理文档中涉及的证据的精确性和正确性 C. 由变更管理文档跟踪到生成审计轨迹的系统 D. 检查变更管理文档中涉及的证据的完整性

实施防火墙最容易发生的错误是： A. 访问列表配置不准确

B. 社会工程学会危及口令的安全 C. 把modem连至网络中的计算机

D. 不能充分保护网络和服务器使其免遭病毒侵袭

数据库规格化的主要好处是：

A. 在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复） B. 满足更多查询的能力

C. 由多张表实现，最大程度的数据库完整性 D. 通过更快地信息处理，减小反应时间

以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？ A. 磁墨字符识别（MICR） B. 智能语音识别（IVR） C. 条形码识别（BCR） D. 光学字符识别（OCR）

企业正在与厂商谈判服务水平协议（SLA），首要的工作是： A. 实施可行性研究

B. 核实与公司政策的符合性 C. 起草其中的罚则 D. 起草服务水平要求

某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求？

A. 建立一个与供货商相联的内部客户机用及服务器网络以提升效率 B. 将其外包给一家专业的自动化支付和账务收发处理公司

C.与重要供货商建立采用标准格式的、计算机对计算机的电子业务文文件和交易处理用EDI系统 D. 重组现有流程并重新设计现有系统

某IS审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯，而微机只支持异步ASCII字符数据通讯。为实现其连通目标，需为该IS审计人员的微机增加以下哪一类功能？ A. 缓冲器容量和并行端口 B. 网络控制器和缓冲器容量 C. 并行端口和协议转换 D. 协议转换和缓冲器容量

为了确定哪些用户有权进入享有特权的监控态，IS审计人员应该检查以下哪一项？ A. 系统访问日志文件

B. 被启动的访问控制软件参数 C. 访问控制违犯日志

D. 系统配置文件中所使用的控制

在审查一个大型数据中心期间，IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的？ A. 计算机操作员兼任备份磁带库管理员 B. 计算机操作员兼任安全管理员

C. 计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D. 没有必要报告上述任何一种情形

大学的IT部门和财务部（FSO，financial servicesoffice之间签有服务水平协议（SLA），要求每个月系统可用性超过98%。财务部后来分析系统的可用性，发现平均每个月的可用性确实超过98%，但是月末结账期的系统可用性只 有93%。那么，财务部应该采取的最佳行动是： A. 就协议内容和价格重新谈判

B. 通知IT部门协议规定的标准没有达到 C. 增购计算机设备等（资源） D. 将月底结账处理顺延

在检查广域网（WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线路通讯异常，流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是： A. 实施分析，以确定该事件是否为暂时的服务实效所引起

B. 由于广域网（WAN）的通讯流量尚未饱和，96%的流量还在正常范围内，不必理会 C. 这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的85%

D.通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使WAN的流量保持相对稳定

在小型组织内，充分的职责分工有些不实际，有个员工兼职作计算机操作员和应用程序员，IS 审计师应推荐如下哪一种控制，以降低这种兼职的潜在风险？ A. 自动记录开发（程序/文文件）库的变更 B. 增员，避免兼职

C. 建立适当的流程/程序，以验证只能实施经过批准的变更，避免非授权的操作 D. 建立阻止计算机操作员更改程序的访问控制

达到评价IT风险的目标最好是通过

A. 评估与当前IT资产和IT项目相关的威胁

B. 使用过去公司损失的实际经验来确定当前的风险 C. 浏览公开报导的可比较组织的损失统计数据 D. 浏览审计报告中涉及的IT控制薄弱点

在确认是否符合组织的变更控制程序时，以下IS审计人员执行的测试中哪一项最有效？ A. 审查软件迁移记录并核实审批情况 B. 确定已发生的变更并核实审批情况 C. 审核变更控制文档并核实审批情况

D. 保证只有适当的人员才能将变更迁移至生产环境

业务流程再造（BPR）项目最有可能导致以下哪一项的发生？ A. 更多的人使用技术

B. 通过降低信息技术的复杂性而大量节省开支 C. 较弱的组织结构和较少的责任 D. 增加的信息保护（IP）风险

IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论： A. 这种缺乏了解会导致不经意地泄露敏感信息 B. 信息安全不是对所有只能都是关键的 C. IS审计应当为那些雇员提供培训

D. 该审计发现应当促使管理层对员工进行继续教育

数据管理员负责：

A. 维护数据库系统软件

B. 定义数据元素、数据名及其关系 C. 开发物理数据库结构 D. 开发数据字典系统软件

对IT部门的战略规划流程/程序的最佳描述是：

A. 依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划

B. IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要求的优先级的程序 C. IT部门的长期规划应该认识到组织目标、技术优势和规章的要求

D.IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推动，快于对组织计划的推动

数据库管理员负责：

A. 维护计算机内部数据的访问安全 B. 实施数据库定义控制 C. 向用户授予访问权限 D. 定义系统的数据结构

实施下面的哪个流程，可以帮助确保经电子数据交换（EDI）的入站交易事务的完整性？ A. 数据片断计数内建到交易事务集的尾部

B. 记录收到的消息编号，定期与交易发送方验证 C. 为记账和跟踪而设的电子审计轨迹

D. 已收到的确认的交易事务与发送的EDI消息日志比较、匹配

随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是： A. 用户参与不足

B. 项目此理早期撤职

C. 不充分的质量保证（QA）工具 D. ????

为评估软件的可靠性，IS审计师应该采取哪一种步骤？ A. 检查不成功的登陆尝试次数

B. 累计指定执行周期内的程序出错数目 C. 测定不同请求的反应时间

D. 约见用户，以评估其需求所满足的范围

IS审计人员在应用开发项目的系统设计阶段的首要任务是： A. 商定明确详尽的控制程序 B. 确保设计准确地反映了需求

C. 确保初始设计中包含了所有必要的控制 D. 劝告开发经理要遵守进度表

企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周期（SDLC）中设计和开发阶段，就被置换为：

A. 挑选和配置阶段

B. 可行性研究和需求定义阶段 C. 实施和测试阶段 D. 无，不需要置换

在审核组织的系统开发方法学时，IS审计人员通常首先执行以下哪一项审计程序？ A. 确定程序的充分性 B. 分析程序的效率

C. 评价符合程序的程度

D. 比较既定程序和实际观察到的程序

用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点 A. 确认测试目标是否成文

B. 评估用户是否记载了预期的测试结果 C. 检查测试问题日志是否完整 D. 确认还有没有尚未解决的问题

使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要: A. 将测试数据孤立于生产数据之外 B. 通知用户,让他们调整输出 C. 隔离特定的主文件记录

D. 用单独的文件收集事务和主文件记录

在建立连续在线监控系统时，IS审计师首先应该识别： A. 合理的目标下限 B. 组织中高风险领域

C. 输出文件的位置和格式

D. 带来最大潜在回报的应用程序

审计章程应该:

A. 是动态的并且经常修订以适应技术和审计职业的变化

B. 消除表述经管理当局授权以复核并维护内控制度的审计目标 C. 明文规定设计好的审计程序,以达成预定审计目标 D. 概述审计职能的权力、范围和责任

IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱. A. 对系统开发进行了复核

B. 对控制和系统的其它改进提出了建议 C. 对完成后的系统进行了独立评价 D. 积极参与了系统的设计和完成

在不熟悉领域从事审计时，IS审计师首先应该完成的任务是： A. 为涉及到的每个系统或功能设计审计程序 B. 开发一套符合性测试和实质性测试 C. 收集与新审计项目相关的背景信息 D. 安排人力与经济资源

内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能: A. 导致对其审计独立性的质疑 B. 报告较多业务细节和相关发现 C. 加强了审计建议的执行 D. 在建议中采取更对有效行动

确保审计资源在组织中发挥最大价值的首要步骤应该是: A. 规划审计工作并监控每项审计的时间花费

B. 培训信息系统审计师掌握公司中使用的最新技术 C. 基于详细的风险评估制定审计计划 D. 监控审计进展并实施成本控制

对于抽样而言,以下哪项是正确的?

A. 抽样一般运用于与不成文或无形的控制相关联的总体 B. 如果内部控制健全,置信系统可以取的较低

C. 通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 D. 变量抽样是估计给定控制或相关控制集合发生率的技术

数据库管理系统软件包不可能提供下面哪一种访问控制功能? A. 用户对字段数的访问 B. 用户在网络层的登录 C. 在程序级的身份验证 D. 在交易级的身份验证

IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注？ A. 安全官兼职数据库管理员

B. 客户/服务器系统没有适当的管理口令/密码控制

C. 主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D. 大多数局域网上的档服务器没有执行定期地硬盘备份

能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是： A. 将每次访问记入个人信息（即：作日志） B. 对敏感的交易事务使用单独的密码/口令 C. 使用软件来约束授权用户的访问 D. 限制只有营业时间内才允许系统访问

E-MAIL软件应用中验证数字签名可以： A. 帮助检查垃圾邮件（spam） B. 实现保密性

C. 加重网关服务器的负载 D. 严重降低可用的网络带宽

下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的? A. 完整性控制的需求是基于风险分析的结果 B. 控制已经过了测试

C. 安全控制规范是基于风险分析的结果 D. 控制是在可重复的基础上被测试的

企业里有个混合访问点不能升级其安全强度，而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点，下面哪一个支持IS审计师的建议的理由最为充分？ A. 新的访问点具有更高的安全强度 B. 老的访问点性能太差

C. 整个企业网络的安全强度，就是其最为薄弱之处的安全强度 D. 新的访问点易于管理

检查入侵监测系统(IDS)时,IS审计师最关注的内容是: A. 把正常通讯识别为危险事件的数量(误报) B. 系统没有识别出的攻击事件

C. 由自动化工具生成的报告和日志 D. 被系统阻断的正常通讯流

银行的自动柜员机（ATM）是一种专门用于销售点的终端，它可以： A. 只能用于支付现金和存款服务

B. 一般放置在入口稠密的场所以威慑盗窃与破坏 C. 利用保护的通讯线进行数据传输 D. 必须包括高层的逻辑和物理安全

下列哪一种行为是互联网上常见的攻击形式？ A. 查找软件设计错误

B. 猜测基于个人信息的口令 C. 突破门禁系统闯入安全场地 D. 种值特洛伊木马

下列哪一种情况会损害计算机安全政策的有效性？ A. 发布安全政策时 B. 重新检查安全政策时 C. 测试安全政策时

D. 可以预测到违反安全政策的强制性措施时

在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证: A. 保护硬设备免受浪涌损害

B. 如果主电力被中断,系统的完整性也可以得到维护 C. 如果主电力被中断,可以提供实时的电力供应 D. 保护硬设备不受长期电力波动的影响

本文来源：https://www.bwwdw.com/article/b92g.html