CISA 2008中文练习题

CISA 2008

Chapter 1 信息系统审计程序

? ISACA发布的信息系统审计标准”,准则,程序和职业道德规范 ? IS审计实务和技术

? 收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质) ? 证据的生命周期(证据的收集,保护和证据之间的关系) ? 与信息系统相关的控制目标和控制 ? 审计过程中的风险评估 ? 审计计划和管理技术

? 报告和沟通技术(推进,商谈,解决冲突) ? 控制自我评估

? 不间断审计技术(连续审计技术) Chapter 2 IT治理

? IT战略,政策,标准和程序对组织的意义,及其基本要素 ? IT治理框架

? 制定实施和恢复IT战略政策标准和程序的流程 ? 质量管理战略和政策

? 与IT使用和管理相关的组织结构,角色和职责 ? 公认的国际IT标准和准则

? 制定长期战略方向的企业所需的IT体系及其内容 ? 风险管理方法和工具 ? 控制框架(cobit)的使用 ? 成熟度和流程改进模型

? 签约战略,程序和合同管理实务 ? IT绩效的监督和报告实务

? 有关的法律规章问题(保密,隐私,知识产权) ? IT人力资源管理 ? 资源投资和配置实务 Chapter 3 系统和体系生命周期

? 收益管理实务 (可行性研究,业务案例)

? 项目治理机制,如:项目指导委员会,项目监督委员会 ? 项目管理实务,工具和控制框架 ? 用于项目管理上的风险管理实务 ? 项目成功的原则和风险

? 涉及开发,维护系统的配置,变更和版本管理

? 确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术 ? 关于数据,应用和技术的企业框架 ? 需求分析和管理实务 ? 采购和合同管理程序

? 系统开发方法和工具以及他们的优缺点 ? 质量保证方法 ? 测试流程的管理

? 数据转换工具技术和程序 ? 系统的处置程序

? 软件,硬件的认证和鉴证实务

? 实施后的检查目标和方法,如项目关闭,收益实现,绩效测定 ? 系统移植和体系开发实务 Chapter 4 IT服务和交付

? 服务等级和水平

? 运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护 ? 系统性能监控程序,工具和技术. ? 硬件和网络设备的功能 ? 数据库管理实务

? 操作系统工具软件和数据库管理系统 ? 生产能力计划和监控技术

? 对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务 ? 生产事件/问题管理实务 ? 软件许可证和清单管理实务 ? 系统缩放工具和技术 Chapter 5 信息资产保护

? 信息系统安全设计,实施和监控技术

? 用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制 ? 逻辑访问安全体系 ? 攻击方法和技术

? 对安全事件的预测和响应程序 ? 网络和internet安全设备

? 入侵检测系统和防火墙的配置 ? 加密算法/技术 ? 公共密钥机构组件 ? 病毒检测和控制技术

? 安全方案测试和评估技术:渗透技术,漏洞扫描 ? 生产环境保护实务和设备 ? 物理安全系统和实务 ? 数据分类技术 ? 语音通讯的安全

? 保密信息资产的采集.存储.使用.传输和处置程序和流程 ? 与使用便携式和无线设备

Chapter 6业务连续性与灾难恢复计划

? 数据备份,存储,维护,保留和恢复流程

? 业务连续性和灾难恢复有关的法律规章协议和保险问题 ? 业务影响分析(BIA)

? 开发和维护灾难恢复与业务持续计划

? 灾难恢复和业务连续性计划测试途径和方法 ? 与灾难恢复和业务连续性有关的人力资源管理 ? 启用灾难恢复和业务连续性计划的程序和流程

? 备用业务处理站点的类型,和监督有关协议合同的方法

CISA2008 练习题

Chapter1

1. 下列哪些形式的审计证据就被视为最可靠?

? 口头声明的审计

? 由审计人员进行测试的结果 ? 组织内部产生的计算机财务报告 ? 从外界收到的确认来信

2 当程序变化是，从下列哪种总体种抽样效果最好？

? 测试库清单 ? 源代码清单 ? 程序变更要求 ? 产品库清单

? 3在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：

? 系统程序员. ? 法律人员 ? 业务部门经理 ? 应用程序员.

? 4进行符合性测试的时候，下面哪一种抽样方法最有效？

? 属性抽样 ? 变量抽样

? 平均单位分层抽样 ? 差别估算

? 5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：

? 当数据流通过系统时，其作用的控制点。 ? 只和预防控制和检查控制有关. ? 纠正控制只能算是补偿.

? 分类有助于审计人员确定哪种控制失效

? 6审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。

下列哪些工具最适合从事这项工作?

? 计算机辅助开发工具（case tool） ? 嵌入式（embedded）数据收集工具

? 启发扫描工具（heuristic scanning tools） ? 趋势/变化检测工具

? 7在应用程序开发项目的系统设计阶段，审计人员的主要作用是：

? 建议具体而详细的控制程序 ? 保证设计准确地反映了需求

? 确保在开始设计的时候包括了所有必要的控制 ? 开发经理严格遵守开发日程安排

? 8下面哪一个目标控制自我评估(CSA)计划的目标?

? 关注高风险领域 ? 替换审计责任 ? 完成控制问卷

? 促进合作研讨会 Collaborative facilitative workshops

? 9利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：

? 充分保护信息资产

? 根据资产价值进行基本水平的保护 ? 对于信息资产进行合理水平的保护

?

?

?

?

?

?

?

?

?

? 根据所有要保护的信息资产分配相应的资源 10 审计轨迹的主要目的是：

? 改善用户响应时间

? 确定交易过程的责任和权利 ? 提高系统的运行效率

? 为审计人员追踪交易提供有用的资料

11在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：

? 可以使用的CAATs ? 管理层的陈述

? 组织结构和岗位职责. ? 存在内部控制和运行控制

12对于组织成员使用控制自我评估(CSA)技术的主要好处是：

? 可以确定高风险领域，以便以后进行详细的审查 ? 使审计人员可以独立评估风险 ? 可以作来取代传统的审计

? 使管理层可以放弃relinquish对控制的责任

13下列哪一种在线审计技术对于尽早发现错误或异常最有效?

? 嵌入审计模块

? 综合测试设备Integrated test facility ? 快照sanpshots

? 审计钩Audit hooks

14当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？

? 对于程序库控制进行实质性测试 ? 对于程序库控制进行复合性测试 ? 对于程序编译控制的符合性测试 ? 对于程序编译控制的实质性测试

15在实施连续监控系统时，信息系统审计师第一步时确定：

? 合理的开始（thresholds）指标值 ? 组织的高风险领域 ? 输出文件的位置和格式

? 最有最高回报潜力的应用程序 16审计计划阶段，最重要的一步是确定：

? 高风险领域 ? 审计人员的技能 ? 审计测试步骤 ? 审计时间

17审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：

? 在应用系统开发过程中，实施了具体的控制 ? 设计并嵌入了专门审计这个应用系统的审计模块 ? 作为应用系统的项目组成员，但并没有经营责任 ? 为应用系统最佳实践提供咨询意见 18审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是：

? 经理助理有舞弊行为 ? 不能肯定无疑是谁做的 ? 肯定是经理进行舞弊 ? 系统管理员进行舞弊

? 19为确保审计资源的价值分配给组织价值最大的部分，第一步将是：

? 制定审计日程表并监督花在每一个审计项目上的时间 ? 培养审计人员使用目前公司正在使用的最新技术 ? 根据详细的风险评估确定审计计划 ? 监督审计的进展并开始成本控制措施

? 20审计师在评估一个公司的网络是否可能被员工渗透， 其中下列哪一个发现是审计师应该最重视的？

? 有一些外部调制解调器连接网络 ? 用户可以在他们的计算机上安装软件 ? 网络监控是非常有限的

? 许多用户帐号的密码是相同的

? 21信息系统审计师在控制自我评估(CSA)中的传统角色是：

? 推动者（facilitator） ? 经理 ? 伙伴 ? 股东

? 22下面哪一种审计技术为IS部门的职权分离提供了最好的证据：

? 与管理层讨论 ? 审查组织结构图 ? 观察和面谈

? 测试用户访问权限

? 23 IS审计师应该最关注下面哪一种情况？

? 缺少对成功攻击网络的报告 ? 缺少对于入侵企图的通报政策 ? 缺少对于访问权限的定期审查 ? 没有通告公众有关入侵的情况

? 24审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？

? 可得到在线网络文档 ? 支持终端访问远程主机

? 处理在主机和内部用户通信之间的文件传输 ? 执行管理，审计和控制

? 25审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：

? 固有的风险. ? 控制风险 ? 检查危险 ? 审计风险

? 26审计章程应采取：

? 是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变 ? 清楚的说明审计目标和授权，维护和审核内部控制 ? 文档化达到计划审计目标的审计程序 ? 列出对审计功能的所有授权，范围和责任

? 27审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?

? 应用程序所有者不知道IT部门对系统实施的一些应用 ? 应用数据每周只备份一次 ? 应用开发文档不完整

? 信息处理设施没有受到适当的火灾探测系统的保护

? 28IS审计功能的一个主要目的是：

? 确定每个人是否都按照工作说明使用IS资源 ? 确定信息系统的资产保护和保持数据的完整性 ? 对于计算机化的系统审查帐册及有关证明文件

? 38. 让业务单位担任开发应用业务的责任，很可能会导致:

? :数据通信的需求大幅度减少. ? 行使较低水平的控制 . ? 实行更高层次的控制. ? 改善职责分工.

? 39. IS审计师受雇审查电子商务安全。IS审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。

下一步工作是什么？

? 立即向CIO或CEO报告风险 ? 检查开发中的电子商务应用. ? 确定威胁和发生的可能性. ? 核对风险管理的可行预算.

? 40. 以下哪一项是创建防火墙策略的第一步?

? 对于安全应用的成本效益分析方法 ? 识别外部访问的网络应用

? 识别外部访问的网络应用的脆弱性 ? 设立应用控制矩阵，显示保障办法

? 41. 确保组织遵守隐私的要求，IS审计师应该首先审查:

? IT基础设施.

? 组织的政策、标准和程序. ? 法律和规章的规定.

? 组织政策、标准和程序的附件.

? 42. 组织的管理层决定建立一个安全通告awareness程序。下面哪一项可能是程序的一部分？

? 利用入侵侦测系统报告事件 ? 授权使用密码访问所有软件

? 安装高效的用户日志系统，以追踪记录每个用户的行为 ? 定期培训所有当前员工和新进员工

? 43. 以下哪一项是减轻职责划分不当引发风险的补偿控制？

? 序列检验 ? 核对数字 ? 源文件保存

? 批控制Reconciliations

? 44. IT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指标而不是

? 财务状况. ? 客户满意度

? 内部过程的效率. ? 创新能力

? 45. 由上而下的方式建立的业务政策将有助于保证:

? 政策在整个组织的范围内一致. ? 政策作为风险评估的一部分实施 ? 遵守所有政策. ? 政策被定期检讨.

? 46. 以下哪一项是IT指导委员会的职能：

? 监测供应商对于变更控制的控制和测试 ? 保证信息处理环境中的职责分离

? 审批和监管重大项目，IS计划和预算的情况 ? IS部门和终端用户之间的联系

? 47. 其中哪一项应包括在组织的信息安全政策中？

? 要保护的关键IT资源列表 ? 访问授权的基本原则

?

?

?

?

?

?

?

?

?

? 确定敏感安全特征 ? 相关的软件安全特征

48. 在一个组织内，IT安全的责任被清楚的定义和强化，并始终如一地执行IT安全的风险和影响分析。这表示的是信息安全治理成熟度模型的哪一级？

? 优化. ? 管理 ? 定义 ? 重复

49. IS审计师在审查信息系统短期（战术）计划时应确定是否：

? 在项目中，IS人员和业务人员进行了整合 ? 有明确的目标和任务

? 信息技术计划战略方法在发挥作用 ? 将业务目标和IS目标进行关联的计划 50. 局域网(LAN)管理员通常受限制于（不能）：

? 具有终端用户权限 ? 向终端用户经理报告 ? 具有编程权限

? 负责局域网安全管理

51. 一个组织收购其他企业，并继续使用其遗留的电子数据交换系统，和三个独立的增值网供应商。没有书面的增值网合同。IS审计师应该建议管理者：

? 获取第三方服务提供商的独立保证 ? 设置程序监督第三方交付的服务 ? 确保正式合同发挥作用

? 考虑和第三方服务提供商共同开发业务持续计划

52. 对于成功实施和维护安全政策来说，以下哪一项是最重要的？

? 各方的书面安全策略的结构和目的都一致。Assimilation of the framework and intent of a written security

policy by all appropriate parties

? 管理层支持并批准实施和维护安全政策

? 通过对任何违反安全规则的行为进行惩罚来强调安全规测

? 安全管理人员通过访问控制软件严格执行，监督和强调安全规则 53. 下列哪一项减少了潜在的社会工程攻击的影响：

? 遵守规定要求 ? 提高道德意识

? 安全意识awareness程序 ? 有效的业绩激励

54. 以下是一种机制可以减轻风险.

? 安全和控制措施 ? 财产责任保险 ? 审计和鉴证

? 合同服务水平协议(SLA)

55. 电子取证的风险可能会减少的原因是通过电子邮件的:

? 破坏政策. ? 安全政策. ? 存档政策 ? 审计政策

56. IS审计师审查组织的IS战略计划，首先要审查：

? 现有的IT环境 ? 业务计划

? 目前的IT预算.

?

?

?

?

?

?

?

?

?

?

? 目前的技术趋势 ?

57. 技术变革的速度增加了下面哪一项的重要性:

? 外包IS功能.

? 实施和强化良好流程

? 员工在组织中的建立事业的愿望 ? 满足用户要求

58．将会在组织的战略计划中发现下面哪一个目标？

? 测试新的帐户包Test a new accounting package ? 进行信息技术需求评估

? 在接下来的12个月中实施新的项目计划 ? 成为某种产品的供应商

59. 制定一个安全政策是哪一个部门的最终责任:

? IS部门. ? 安全委员会. ? 安全管理员. ? 董事会

60. IT治理是哪一项的主要责任:

? 首席执行官. ? 董事会

? IT指导委员会. ? 审计委员会.

61. IS审计师对于与员工相关的IS管理实践审计进行一般控制审计，应该特别关注的是：

? 强制休假政策和遵守情况.

? 人员分类和公平的补偿政策. ? 员工培训.

? 分配给员工的职责.

62. 从控制角度而言，工作的描述的关键要素在于他们:

? 提供如何工作的说明和明确的授权

? 对于员工来说是更新的，文档化，并且容易得到 ? 沟通管理者的具体工作业绩预期. ? 确立员工行为的责任和义务

63. 下列哪些证据提供了具有合适的安全意识程序的最好证据？

? 股东的数量The number of stakeholders，包括受到培训各级员工 ? 整个企业范围内培训覆盖的范围 ? 不同供应商的安全设施落实情况 ? 定期审查并与最佳实践比较

64. 在制定以下哪一项时，包括高层管理人员参与是最重要的？

? 战略计划. ? IS政策 ? IS程序.

? 标准和指南.

65. 在审查IS战略时，IS审计师最能衡量IS策略是否支持组织的业务目标的做法是确定是否：

? 有需要的所有人员和装备. ? 计划与管理策略一致.

? 使用设备和人员的效率和效益.

? 有足够的能力,以适应不断变化的方向.

66. 在职责分离不合适的环境中，IS审计师要寻找下面哪一种控制？

? 重叠控制

?

?

?

?

?

?

?

?

?

? 边界控制 ? 访问控制 ? 补偿性控制

67. 当IS从独立的服务提供商处采购时，审计师应该期望在招标书request for proposal (RFP)中包括下面哪一项？

? 从其他客户参考

? 服务水平协议(SLA)模板 ? 维护协议 ? 转换计划

68. 风险管理的产出结果是下面哪一项的输入？

? 业务计划. ? 审计章程. ? 安全政策策略. ? 软件设计策略.

69. IT指导委员会审查信息系统主要是为了评估:

? IT处理是否支持业务需求. ? 提出的系统的功能是否足够. ? 现有软件的稳定性. ? 安装技术的复杂性.

70. 建立了信息安全程序的第一步是:

? 制定和实施信息安全标准手册.

? IS审计师执行对于安全控制理解的审查performance of a comprehensive security control review by the IS

auditor.

? 采用公司的信息安全政策报告 ? 购买安全访问控制软件

71. 在审查电子资金转帐系统(EFT)的结构时，ＩＳ审计师注意到技术架构基于集中处理方式，并且外包给国外处理。由于这些信息，下面哪一个结论是ＩＳ审计师最关注的？

? 可能会有与司法权限范围有关的问题

? 由于有国外的供应商可能会导致未来审计费用超支 ? 由于距离，审计过程可能会很困难 ? 可能有不同的审计标准

72 组织外包其软件开发， 以下哪一项是该组织IT管理的责任?

? 支付服务提供商

? 作为参加者参加系统设计 ? 控制外包商遵守服务合同 ? 与供养商谈判合同

74. 有效的IT治理要求组织的结构和流程能够确保：

? 组织的战略和目标延伸到IT战略. ? 业务战略来自于IT 战略

? IT治理独立于并不同于全面治理 ? IT战略扩大了组织的战略和目标

75. 全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和:

? 恢复. ? 保存. ? 重建 ? 再用

76. 下面哪一项最能保证新员工的正直性?

? 背景检查 ? 参考资料

? ｂｏｎｄｉｎｇ ? 简历中的资格

Chapter 3

? 1. 一个组织有一个集成开发环境，程序库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是

集成开发环境（IDE）的强项？

? 控制程序多个版本的扩散

? 扩展程序资源和可得到的辅助工具 ? 增加程序和加工的整体性

? 防止有效的变更被其他修改程序重写

? 2. 以下哪一项是计划评审技术(PERT)相比其他方法的优点？与其他方法相比:

? 为计划和控制项目考虑不同的情景 ? 允许用户输入程序和系统参数. ? 测试系统维护加工的准确性 ? 估算系统项目成本.

? 3. 下列哪些是使用原型法进行开发的优点？

? 成品系统有足够的控制.

? 系统将有足够的安全/审计轨迹. ? 减少部署deployment时间 ? 很容易实现变更控制

? 4. 软件开发方法中生命周期法中的瀑布模型最适合用于：

? 需求完全理解并可望保持稳定，如同系统运行的业务环境一样 ? 需求完全理解并且项目受时间压力影响 ? 项目需要使用面向对象的设计和编程方法 ? 项目需要使用新技术

? 5. 以下哪种人员要为软件开发团队提供需求说明书负责？

? 组长

? 项目发起人 ? 系统分析员 ? 指导委员会.

? 6. 在处理决策支持系统时，以下哪一项是实施风险？

? 管理控制 ? 结构化层次

? 无法确定用途和使用方式 ? 决策过程的变化

? 7. 审计师审查重组织流程的时候，首先要审查：

? 现有控制图 ? 消除的控制 ? 处理流程图 ? 补偿性控制.

? 8. IS审计师进行应用程序维护审计时，审查程序变更日志是为了：

? 授权程序变动

? 创建当前对象模块的日期 ? 程序变化实际产生发生的数量 ? 源程序创建日期

? 9. 组织与供应商签订了成套的电子收费系统(ETCS)解决方案的合同，供应商提供专用的软件作为解决方案的

一部分，合同中应该规定：

? 运行ETCS业务和最新数据的备份服务器. ? 装有所有相关软件和数据的备份服务器.

本文来源：https://www.bwwdw.com/article/npov.html