CISA题目

1-1 以下哪项概括了执行IS审计的整体权限范围？ A． 审计范围，包括目的和目标 B． 管理层对审计执行的要求 C． 经批准的审计章程 D． 经批准的审计日程表

1-2 在执行基于风险的审计时，下列哪项风险评估最初由IS审计师完成？ A． 检测风险评估 B． 控制风险评估 C． 固有风险评估 D． 舞弊风险评估

1-3 开发基于风险的审计方案时，IS审计师最可能关注下列哪项内容？ A． 业务流程 B． 关键IT应用 C． 运营控制 D． 业务策略

1-4 下列哪种审计风险表示所审查领域中缺少补偿控制？ A． 控制风险 B． 检测风险 C． 固有风险 D． 抽样风险

1-5 审查某应用程序控制的IS审计师发现系统软件中存在一个可能大大影响该应用程序的弱点。IS审计师应：

A． 忽视此类控制弱点，因为系统软件审查超过了此次审查的范围。 B． 进行详细的系统软件审查并报告控制薄弱环节。

C． 在报告中声明，本次审计仅限于审查应用程序控制。

D． 仅审查相关的系统软件控制并建议进行详细的系统软件审查。 1-6 下列哪项是定期审查审计计划的最重要原因？ A． 为可用审计资源的部署制定计划 B． 将风险环境的变化考虑其中

C． 为审计章程记录文档提供输入数据 D． 确定适合的IS审计标准

1-7 下列哪项对于在各业务部门范围内执行自我评估控制（CSA）最有效？ A． 非正式的同行评审 B． 引导型的专题讨论会 C． 流程描述 D． 数据流程图

1-8 计划审计的第一个步骤是： A． 定义审计的可交付成果

B． 最终确定审计范围和审计目标 C． 了解业务目标

D． 开发审计方法或审计策略

1-9 IS审计师计划IS审计范围时使用的方法基于： A． 风险 B． 重要性

C． 职业的怀疑态度 D． 审计证据的充分性

1-10 某公司执行关键数据和软件文件的日常备份，并将备份磁带存储在公司以外的位置。备份磁带可用于在文件受到破坏时恢复文件。这属于： A． 预防性控制 B． 管理控制 C． 改正性控制 D． 检测性控制

CCACD BBCAC

2-1 为使管理人员能够有效地监控工作流程和应用程序的一致性，下列哪种措施最为理想？ A． 中央文档库 B． 知识管理库 C． 仪表盘

D． 基准测试程序

2-2 下面哪项应包含在IS战略计划中？ A． 计划硬件采购的规范 B． 未来业务目标分析 C． 开发项目的目标日期 D． IS部门的年度预算目标

2-3 下面哪种表述能最恰当地描述IT部门的战略计划过程？

A． 根据组织层面上较大范围的计划和目标，IT部门既需要制定短期计划也需要制定长期计

划。

B． IT部门的战略计划应从时间和项目出发，但不必详细到可用于解决和帮助确定满足业务

需求优先级别的程度。

C． IT部门的长期计划应反映组织目标、技术优势和法规要求。

D． 无需将IT部门的短期计划纳入组织的短期计划，因为技术进步对IT部门计划变更的推

动速度要比组织计划快得多。

2-4 数据安全专员在组织中最重要的职责是： A． 对数据的安全政策提出建议并进行监控 B． 在组织内部推进安全意识 C． 确立IT安全政策流程 D． 管理物理和逻辑访问控制

2-5 一般认为下列因素中哪个对于成功实施信息安全（IS）程序最为关键？ A． 有效的企业风险管理（ERM）框架 B． 高级管理层的承诺 C． 适合的预算过程 D． 严谨的程序计划

2-6 IS审计师应确保IT治理绩效指标能够： A． 评估IT监管委员会的活动 B． 提供战略性IT推动因素 C． 符合规范报告标准和定义 D． 评估IT部门

2-7 下面哪项任务可以由控制良好的信息处理计算机中心中的同一名人员执行？ A． 安全管理和变更管理 B． 计算机操作和系统开发 C． 系统开发和变更管理 D． 系统开发和系统维护

2-8 下面各项数据库管理控制手段中哪一项最重要？ A． DBA活动审批 B． 职责划分

C． 审查访问日志和活动 D． 审查数据库工具的使用

2-9 当在线系统环境中无法实现完全的职责分离时，下面哪一项职能应与其他职能相分离？ A． 创建 B． 授权 C． 记录 D． 纠正

2-10 在职责分离难以实现的小型组织中，由一名职员兼任计算机操作员和应用程序编程人员的职能。IS审计师应推荐下面哪一项控制手段？ A． 自动记录对开发库的更改

B． 增加员工，从而可以进行职责分离

C． 确保只有经过审批的流程更改能得以实施的措施 D． 设立访问控制以防止操作员修改程序

CBCAB ADBBC

3-1 为了协助测试正在购置的核心银行系统，组织已将其现有生产系统中的敏感数据提供给供应商。IS审计师的主要关注点是数据应该是： A． 被清理过的 B． 完整的 C． 有代表性的 D． 目前的

3-2 以下哪一项是执行并行测试的主要目的？ A． 确定系统是否具有成本效益 B． 实现综合单元及系统测试

C． 找出含文件的程序接口中的错误 D． 确保新系统满足用户要求

3-3 在执行业务流程再造的审查时，IS审计师发现一项重要的预防性控制已被取消。在这种情况下，IS审计师应该：

A． 将该发现告知管理人员并确定管理人员是否愿意接受取消此预防性控制所带来的潜在

重大风险。

B． 确定过程期间该预防性控制是否已由某检测性控制替代，如果还未被替代，则报告预防

性控制的取消情况。

C． 建议将该预防性控制以及流程重组之前就已存在的所有控制流程都包括在新的流程中。 D． 制定连续的审计方法来监控因取消该预防性控制而产生的影响。 3-4 以下哪种数据验证编辑能有效检测易位和抄写错误？

A． 范围检查 B． 检验数字位 C． 有效性检查 D． 重复检查

3-5 在银行使用的ERP软件中，以下哪项将被视为最严重的薄弱环节？ A． 没有审查访问控制 B． 可用的文件有限

C． 没有更换已使用两年的备份磁带 D． 每天执行一次数据库备份

3-6 在审计软件购置过程的要求阶段时，IS审计师应该： A． 评估项目时间表的可行性 B． 评估供应商推荐的质量过程 C． 确保采购到的是最好的的软件包 D． 审查规范的完整性

3-7 组织决定购买而非开发一个软件包。在这样的情况下，传统的软件开发生命周期（SDLC）的设计和开发阶段将会被下列哪个选项取代： A． 选择和配置阶段 B． 可行性和需求阶段 C． 实施和测试阶段 D． 没有；不需要替换

3-8 通过使用传统SDLC方法未能满足某项目的用户规范。IS审计师应调查下列哪个方面来查找原因？ A． 质量保证 B． 需求 C． 开发 D． 用户培训

3-9 在引进简易的客户端架构时，以下哪项与服务器相关的风险会显著增加？ A． 完整性 B． 并发 C． 机密性 D． 可用性

3-10 应该实施下列哪些程序以帮助确保通过电子数据交换（EDI）实现的导入交易的完整性？ A． 构建交易追踪的段数

B． 与交易发起人定期核对信息接收数目的日志 C． 对问责性和跟踪的电子审计轨迹

D． 将收到的确认交易与发送的EDI消息的日志相配

ADABA DACDA

4-1 在相似的信息处理场所环境下，确定性能水平的最佳方法是下列哪一项？ A． 用户满意度 B． 目标完成情况 C． 基准检测

D． 容量和成长规划

4-2 对于中断容忍度低且恢复成本巨大的关键任务系统，IS审计师原则上应该推荐使用以下哪种恢复选项？ A． 移动站点 B． 温备援中心 C． 热备援中心 D． 冷备援中心

4-3 某大学的IT部门和金融服务办公室（FSO）存在一个服务级别协议（SLA），该协议要求每个月的可用性要达到98%，FSO分析了可用性并注意到最近的12个月中每个月都可以达到98%，但是在接近月末时只能平均到93%，下列哪个选项最好地反映了FSO应该采取的行动？

A． 重新谈判协议

B． 通知IT部门，协议没有达到要求的可用性标准 C． 采购额外的计算资源 D． 将接近月末的流程合理化

4-4 对于IS审计师来说，下列哪一项是用来测试程序变更管理流程最有效的方法？ A． 从系统生成的信息追踪到变更管理文件 B． 检查变更管理文件以找到证据证明准确性 C． 从变更管理文件追踪到系统生成的审计轨迹 D． 检查变更管理文件以找到完整性的证据 4-5 容量规划流程的主要目标是确保： A． 充分使用可利用资源

B． 新资源将被及时添加到新的应用程序中 C． 快速有效地使用可利用资源 D． 资源的利用率不低于85% 4-6 数据库正规化的主要好处：

A． 尽量减少所需表中信息的冗余度以满足用户需求 B． 满足更多查询的能力

C． 通过在多个表中提供信息而最大程度地实现数据库的完整性 D． 通过更快的信息处理最大程度地缩短回应时间

4-7 下列哪一项可以允许公司将其内联网通过互联网延伸至其业务伙伴？ A． 虚拟专用网络 B． 客户端服务器 C． 拨号访问

D． 网络服务供应商

4-8 根据软件应用（它是IS业务连续性计划的一部分）的关键性进行的分类由以下哪项确定？

A． 业务性质及应用程序对业务的价值 B． 应用程序的更换版本

C． 供应商可为此应用程序提供的支持 D． 应用程序的相关威胁和漏洞

4-9 当执行客户端服务器数据库安全审计时，IS审计师最应该关注下列哪一项的可用性: A． 系统工具

B． 应用程序生成器 C． 系统安全文件

本文来源：https://www.bwwdw.com/article/od2t.html