CISA中文模拟题465题

1、精品文档Chapter 11.下列哪些形式的审计证据就被视为最可靠?口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信2. 当程序变化是，从下列哪种总体种抽样效果最好？测试库清单源代码清单程序变更要求产品库列表3. 在对定义 IT 服务水平的控制过程的审核中，审计人员最有可能面试：系统程序员 .法律人员业务部门经理应用程序员 .4. 进行符合性测试的时候，下面哪一种抽样方法最有效？属性抽样变数抽样平均单位分层抽样差别估算5. 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：当数据流通过系统时，其作用的控制点。只和预防控制和检查控制

2、有关.纠正控制只能算是补偿.分类有助于审计人员确定哪种控制失效6.审计人员在对几个关键服务进行审计的时候， 想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作 ?计算机辅助开发工具（case tool）嵌入式（ embedded）资料收集工具启发扫描工具（heuristic scanning tools）趋势 /变化检测工具7. 在应用程序开发项目的系统设计时间，审计人员的主要作用是：建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发排程8. 下面哪一个目标控制自我评估 (CSA) 计划的目标 ? 关

3、注高风险领域.精品文档替换审计责任完成控制问卷促进合作研讨会Collaborative facilitative workshops9. 利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源10. 审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的数据11. 在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：可以使用的 CAA Ts管理层的陈述组织结构和岗位职责 . 存在内部控制和运行控

4、制12. 对于组织成员使用控制自我评估 (CSA) 技术的主要好处是：可以确定高风险领域，以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃 relinquish 对控制的责任13. 下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integrated test facility快照 sanpshots审计钩 Audit hooks14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？对于链接库控制进行实质性测试对于链接库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制

5、的实质性测试15.在实施连续监控系统时，信息系统审计师第一步时确定：合理的开始（ thresholds）指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序16.审计计划阶段，最重要的一步是确定：高风险领域审计人员的技能审计测试步骤.精品文档审计时间17. 审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：在应用系统开发过程中，实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员，但并没有经营责任为应用系统最佳实践提供咨询意见18. 审计中发现的证据表明，有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他

6、的密码写在纸上后，存放在书桌抽屉里。 IS 审计师可以推测的结论是：经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊19. 为确保审计资源的价值分配给组织价值最大的部分，第一步将是：制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施20.审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发现是审计师应该最重视 的？有一些外部调制解调器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户账号的密码是相同的21. 信息系统审计师在控制自我评估 (C

7、SA) 中的传统角色是：推动者（ facilitator ）经理伙伴股东22. 下面哪一种审计技术为 IS 部门的职权分离提供了最好的证据：与管理层讨论审查组织结构图观察和面谈测试用户访问权限23. 2IS 审计师应该最关注下面哪一种情况？缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况24. 审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？可得到在线网络文文件支持终端访问远程主机处理在主机和内部用户通信之间的文件传输执行管理，审计和控制25. 审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：.

8、精品文档固有的风险 .控制风险检查危险审计风险26. 审计章程应采取：是动态的和经常变化的，以便适应技术和和审计专业（ professional）的改变清楚的说明审计目标和授权，维护和审核内部控制文文件化达到计划审计目标的审计程序列出对审计功能的所有授权，范围和责任27.审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?应用程序所有者不知道IT 部门对系统实施的一些应用应用数据每周只备份一次应用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护28. IS 审计功能的一个主要目的是：确定每个人是否都按照工作说明使用IS 资源确定信息系统的资产保护和保持数据的完整

9、性对于计算机化的系统审查账册及有关证明文件确定该组织识别诈骗 fraud 的能力29.进行审计的时候，审计师发现存在病毒，IS 审计师下一步应该做什么？观察反应机制病毒清除网络立即通知有关人员确保删除病毒30.审计章程的的主要目标是：记录企业使用的审计流程审计部门行动计划的正式档记录审计师专业行为的行为准则说明审计部门的权力和责任。31. 在对程序的安全性审计过程中，审计师发现没有文件记录安全程序，该审计员应该：建立程序文件终止审计进行一致性测试鉴定和评估现行做法32. 在风险分析期间， IS 审计师已经确定了威胁和潜在的影响，下一步审计师应该：确定并评估管制层使用的风险评估过程确定信息资产和

10、受影响的系统发现对管理者的威胁和影响鉴定和评估现有控制 .33. 下面哪一项用于描述（整体测试法）最合适？这种方法使 IS 审计师能够测试计算机应用程序以核实正确处理利用硬件和或软件测试和审查计算机系统的功能.精品文档这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程IS 系统审计师用于测试的一种程序，可以用于处理tagging 和扩展交易和主文档记录。34.IS 审计师要判断是否严格控制被授权者对于程序文文件的访问，最有可能的做法是：评估在存储场所的档保存计划就当前正在进行的流程采访程序员对比实际使用的记录和操作表审查数据文件访问记录测试管理库的功能35.需要进一步收集哪

11、些数据， IS 审计师的决定取决于需要的重要信息的可用性审计师对于情况的熟悉程序审计人员（ auditee）找到相关证据的能力进行审计的目的和范围36.审查管理层的长期战略计划有助于审计师：了解一个组织的宗旨和目标测试企业的内部控制评估组织队信息系统的依赖性确定审计所需的资源37.利用统计抽样程序可以减少：抽样风险检查风险固有风险控制风险38. IS 审计师对软件使用和权限进行审计，发现大量的 PC 安装了未授权的软件。 IS 审计师应该采取下面哪种行为？个人擅自删除所有未授权软件拷贝通知被审计人员非授权软件的情况，并确认删除报告使用未经授权软件的情况，并需要管理层避免这种情况重复发生不采取任

12、何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用39.下面哪一项 IS 审计师可用来确定编辑和确认程序的有效性（effectiveness） ?域完整性测试相关完整性测试参照完整性测试同位检查40.下面哪一种情况下， IS 审计师应该用统计抽样而不是判断抽样(nonstatistical) ：错误率必须被客观量化（objectively quantified ）审计师希望避免抽样风险通用审计软件不实用（unavailable）容忍误差 (tolerable error rate) 不能确定41. 证明税收计算系统精确性的最好的方法是：对于计算程序源代码详细目测审核和分析使用通

13、用审计软件对每个月计算的总数进行重复的逻辑计算为处理流程准备模拟交易，并和预先确定的结果进行比较自动分析流程图和计算程序的源代码.精品文档42.以下哪一个是使用测试数据的最大的挑战?确定测试的程序的版本和产品程序的版本一致制造测试数据报括所有可能的有效和无效的条件对于测试的应用系统，尽量减少附加交易的影响在审计师监督下处理测试数据43. 电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因？多重循环备份文件可供利用访问控制可以确定电子邮件行为的责任对于通过电子邮件交流的信息尽心过数据分类管理企业中，用于确保证据可得的清晰的使用电子邮件的政策44. IS 审计师对于应用程控进行

14、审查，应该评价：应用程序对于业务流程的的效率发现的隐患exposures的影响应用程序服务的业务应用程序的优化.45. 以下哪一个是最主要的优势，利用计算机司法软件进行调查：维护保管的一系列电子证据节约时间效率和效益寻求侵犯知识产权证据的能力46. 以下哪一个是使用 ITF 综合测试法的优势 ?使用真实的或虚拟的主文档，IS 审计师不需要审查交易的来源。定期检验过程并不需要单独分离测试过程证实应用程序并可测试正在进行的操作它无需准备测试资料.47. 风险分析的一个关键因素是 : 审计计划 .控制弱点 . Vulnerabilities负债 liabilities48. IS 审计师的决策和行动

15、最有可能影响下面哪种风险？固有风险检查分析控制风险业务风险49.在一台重要的服务器中， IS 审计师发现了由已知病毒程序产生的木马程序， 这个病毒可以利用操作系统的弱点。 IS 审计师应该首先做什么？调查病毒的作者.分析操作系统日志确保恶意代码已被清除安装消除弱点vulnerability 的补丁 .50.组织的 IS 部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：.精品文档控制程序 .控制目标纠正控制运行控制 .51.IS 审计师审计 IT 控制的效果，发现了一份以前的审计报告，但是没有工作记录 workpapers， IS 审计师应该怎么处理？暂停审计

16、直至找到工作记录依靠以前的审计报告对于风险最高的区域重新测试控制通知审计管理层，重新测试控制52. IS 审计师审查组织结构主要是为了：理解工作流程调查各种沟通管道理解个人的责任和权利调查员工之间不同的联系管道53.IS 审计师审查对于应用程序的访问，以确定最近的10 个 新用户 是否被争取的授权，这个例子是关于:变数抽芽实质性测试符合性测试停 -走抽样 .54. 当需要审计轨迹的时候，以下哪一种审计工具最有用？综合测试法 (ITF)持续间断模拟（ CIS）审计钩（ audit hook）快照55. 以下哪一个是实质性测试 ?检查例外报告清单确认对参数改变进行审批对于磁带库列表进行统计抽样审核

17、密码历史记录56. 对于特定威胁的整体经营风险的威胁，可以表示如下：一种产品的可能性和影响的重要性，如果威胁暴露了弱点影响的重要性应该是威胁来源暴露了弱点威胁来源暴露弱点的可能性风险评估小组的整体判断57.在审查客户主文档的时候，IS 审计师发现很多客户的名字相同arising from variations in customer firstnames，为了进一步确定重复程度，IS 设计师应该：测试数据以确认输入数据.精品文档测试数据以确定系统排序能力用通用审计软件确定地址字段的重复情况用通用审计软件确定帐户字段的重复情况58. 通常 ,以下哪一种证据对 IS 审计师来说最可靠 ? 收到的来

18、自第三方的核实账户余额确认信一线经理确保应用程序如设计的方式工作从 internet 来源得到的数据趋势（ Trend data）由一线经理提供报告， IS 审计师开发的比率分析（ Ratio analysis）59. 成功的实施控制自我评估 (CSA) 需要高度依赖：一线管理人员承担部分监督管理责任安排人员负责建置管理 ,而不是监督、控制实施严格的控制策略，和规则驱动的控制监督实施和并对控制职责进行监督60. 审计计划阶段，对于风险的评估用于提供：审计覆盖重大事项的合理保证明确保证重大事项在审计工作中被覆盖审计覆盖所有事项的合理保证充分保证所有事项在审计工作中被覆盖61. 下面哪一项是使用基

19、于风险方法的审计计划的好处？审计排程可以提前完成 .预算更符合 IS 审计人员的需要人员可以使用不同的技术资源分配给高风险领域62. IS 审计人员使用数据流程图是用来定义数据层次突出高级别数据定义.用图表化方式描述数据路径和存储描绘一步一步数据产生的详细数据63.在对数据中心进行安全审计时，通常审计师第一步 要采取的是：评级物理访问控制测试的结果确定对于数据中心网站的风险 /威胁审查业务持续程序测试对于可疑网站的物理访问的证据64.高层管理要求 IS 审计师帮助部门管理者实施必要的控制，IS 审计师应该：拒绝这种安排，因为这不是审计人员的职责告诉管理层将来他的审计工作无法进行执行安排和将来的

20、审计工作，处于职业谨慎在得到使用者部门批准的情况下，进行实施和后续工作65. 在制定风险基础审计策略时， IS 审计师需要进行风险评估审计，目的是保证：减轻风险的控制到位确定了脆弱性和威胁审计风险的考虑 .Gap 差距分析是合适的 .精品文档66. 当通知审计结果时， IS 审计师应该牢记他们的最终责任是对：高级管理和 /或审计委员会 .被审计单位的经理 . IS 审计主管 .法律部门 legal authorities67. 对于抽样可以这样认为：当相关的总体不具体或者是控制没有文文件记录时intangible or undocumented control ，适用于统计抽样。如果审计师知道

21、内部控制是强有力的，可以降低置信系数属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。变量抽样是一种技术，用于评估某种控制或一系列相关控制的发生率。68.IS 审计师评估系统变更的测试结果，这个系统用于处理缴纳结算payment computation 。审计师发现50%的计算结果不能和预先定义的总数匹配。IS 审计师最有可能采取下面哪一步措施？对于出错的计算，设计进一步的测试确定可能导致测试结果错误的变量检查部分测试案例，以便确认结果记录结果，准备包括发现、结论和建议的报告69.在实施对于多用户分布式应用程序的审核时，IS 审计师发现在三个方面存在小的弱点：初始参数设置不当，正在适用的弱

22、密码，一些关键报告没有被很好的检查。当准备审计报告时，IS 审计师应该：分别记录对于每个发现产生的相关影响。（ record the observations separately with the impact of each ofthem marked against each respective finding.）建议经理关于可能的风险不记录这些发现，因为控制弱点很小记录发现的结果和由于综合缺陷引发的风险报告部门领导重视每一个发现并在报告中适当的记录70.人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分，这种情况下最好使用下面哪一种审计技术？测试资料通用审计软件ITF 综合

23、测试法嵌入审计模块71.持续审计方法的主要优点是：当处理过程开始的时候，不要求审计师就系统的可靠性收集证据当所有信息收集完成后，需要审计师审查并立即采取行动可以提高系统的安全性，当使用分时环境处理大量的交易时不依靠组织的计算机系统的复杂性。72.在审计章程中记录的审计功能中的责任、权力和经营责任responsibility, authority and accountability ，必须：必须经最高管理层批准经审计部门管理者批准经用户部门领导批准在每年 IS 审计师大会 commencement 之前修改.精品文档73.IS 审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整，

24、是由：匹配输入数据的控制总数和原始数据的控制总数对数据进行排序以确认是否数据和原始数据的序号相同审查打印输出的前100 条原始记录和输入数据的前100 条记录按照不同的分类过滤数据，和原始数据检验74. 在评估网络监测控制时， IS 审计师第一步应该审核网络的拓朴图 .带宽使用 .阻塞分析报告瓶颈确定75.IS 审计师评估信息系统的管理风险。IS 审计师应该最先审查：已经实施的控制已经实施控制的有效性资产的风险监督机制资产的脆弱性和威胁76.在有异议的情况下，离开审计面谈中，考虑到结果的影响，IS 审计师应该：要求被审计人员以签名的形式接受所有法律责任阐述调查的意义和不纠正的风险向审计委员会报

25、告有异议的情况接收被审计方的意见，因为他们有处理的所有权77.确定商品库存的价值已超过八周，IS 审计师最有可能是用：测试资料 .统计抽样综合测试法 ITF通用审计软件78.下列哪一个是风险评估过程的描述? 风险评估是 :主观 .客观 .数学方法统计79. 综合测试法 ITF 被认为是一个有用的工具，因为它：对于审计应用控制来说，是一种具有成本效益的方式允许财务和审计师整合他们的测试将处理的输出结果与单独计算的数据进行比较。为审计师提供分析大量信息的工具80. 在审计报告确认发现的结果 finding 后，被审计方迅速采取了纠正行动。审计师应该：在最后报告中包括发现的结果，因为师要负责正确的审

26、计报告包括所有的发现结果。在最后的调查报告中不包括发现结果，因为审计报告仅仅包括未解决的发现结果在最后的调查报告中不包括发现结果， 因为在审计师审计期间，纠正行动已经被确认。包括结果，仅仅在闭幕会议上讨论调查之用。81. 以风险为基础的审计方法，审计师应该首先完成：固有的风险评估.控制风险评估 .精品文档控制测试评估 .实质性测试评估.第一章答案01-10 ： ddcaa dcacb11-20 ：daccb babcd21-30 ：acaac dabcd31-40 ： ddabd abcaa41-50 ：cbaba bcbcb51-60 ： dcbbc acaaa61-70 ： dcbbb a

27、bccb71-81 ：caaad bdacaaChapter 21. 下面哪一种 IT 治理是提高战略联盟（ alignment）的最佳做法？供货商和合作伙伴的风险管理.基于客户、产品、市场、流程的知识库实施到位.提供有利于于建立和共享商业信息的组织结构.高层之间对于业务和技术责任的协调2. 建立可接受的风险水平的责任属于：质量保证经理 .高级业务管理 .CIO 首席信息主管 .首席安全主管3. 作为信息安全治理成果，战略联盟提供：企业需求驱动的安全要求 .按照最佳实践制定的安全基线 . 专门的或客户定制的解决方案 . 了解风险 .精品文档4. 如果缺乏高层管理人员对于战略计划的许诺（comm

28、itment ），最可能的后果是 : 缺乏技术投资 .缺乏系统开发的方法 . 技术与组织目标不一致 . 缺乏对于技术合同的控制 .5. 用自下而上的方法来开发组织政策的优势在于这样开发的政策:为组织整体而指定.更可能来自于风险评估的结果.与企业整体政策不会冲突.确保整个组织的一致性6.IS 审计师发现并不是所有的员工都知道企业的信息安全政策. IS 审计师可以得出的结论是：这种无知有可能导致意外泄漏敏感数据信息安全并非对所有功能都是关键的 .IS 审计师应该为员工提供安全培训 .审计结果应该使管理者为员工提供持续的培训7.有效的 IT 治理应该确保 IT 计划符合组织的 :业务计划 .审计计划

29、 .安全计划 .投资计划 .8.当通信分析人员进行下面哪一项的时候，IS 审计师应该给予重点关注？监测系统性能，追踪程序变动导致的问题根据当前和未来的交易量，审查网络负载需求评价终端响应时间和网络数据传输率对于网络负载的影响网络负载平衡措施和改进建议9. 下面哪一项最可能暗示，客户数据仓库应该由内部开发而不是外包给海外运营？时差不同有可能影响IT 团队的沟通通信费在第一年非常高有关隐私权的法律可能会阻碍信息跨国界传输软件开发需要更详细的说明10. 当一名员工被解雇时，需要采取的最重要的行动是:交出全部职工的档案给指定的另一名雇员.完成员工工作的备份.通知其他员工关于该员工的解雇通知.解除该员工

30、的逻辑访问权限.11. 在处理可疑入侵时，一个合理的信息安全策略最有可能包括下列哪一项？反应纠错检测监控12. IS 审计师在审查使用交叉培训做法的组织时，应该评估哪一种风险？.精品文档对于单个员工的依赖性连续性计划不够充分一个员工了解系统的所有部分错误操作 .13. IS 审计师在审查 IT 设备的外包合同的时候，希望合同确定的是：硬件配置 .访问控制软件 .知识产权的所有权 . 开发应用方法 .14. 设计信息安全政策时，最重要的一点是所有的信息安全政策应该: 非现场存储 .由 IS 经理签署 written by IS management分发并传播给用户 .经常更新 .15. 当评价组

31、织的 IS 战略时候，下面哪一项 IS 审计师认为是最重要的？获得一线管理人员 line management 的支持不能与 IS 部门初步预算有差异遵守采购程序支持该组织的业务目标16. 缺乏足够的安全控制是一个 :威胁 .资产 .影响 .脆弱性 .17. 对于 IT 安全策略的审计的主要目的是保证策略向所有员工分发，并且每个员工都知道安全和控制策略支持业务和 IT 目标有公开发行的组织结构表和功能描述适当的职责分离.18. 制订风险管理计划时，首先进行的活动是：风险评估 .资料分类 . 资产清单 . 关键性分析 .19. 制订风险管理计划时，首先进行的活动是：风险评估 .资料分类 . 资产

32、清单 . 关键性分析 .20. 风险分析小组很难预测由可能会由风险造成的经济损失，要评估潜在的损失，小组需要：计算有关资产的折旧 .计算投资回报率 (ROI).Charges tied to variable cost metrics精品文档采用定性的方法.花费必要的时间精确计算损失金额21. 以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险？管理协调用户不存在.无法明确特定用户责任未授权用户可以产生，修改和删除数据审计建议无法实施22. 要支持组织的目标，信息部门应该具有：低成本理念 .长期和短期计划.领先的技术 .购买新的硬件和软件的计划.23. 为降低成本并提高外包的服务

33、水平，外包应该包括以下哪些合同条款？操作系统和软硬件更新的周期共同分享由于提高绩效获得的收益Gain-sharing performance bonuses违规处罚费用和可变成本24. 以下哪一项提供了管理机制使IS 管理层能够确定是否该组织活动的计划偏离了计划或预期的水平?质量管理Is 评估方法管理原则行业标准 /基准25. IS 控制目标对于 IS 审计师的用途体现在它们提供了基础，以便于理解：实现特定控制程序的预期结果和目标对于特定实体的最佳IT 安全控制措施信息安全的技术.安全策略26. 对于公司的 IS 审计师来说，考虑外包 IT 过程并审查每一个供货商的业务持续计划的副本是合适的的

34、么？是合适的，因为 IS 审计师会评估服务商计划的充分性，并帮助公司实施补充计划是合适的，因为根据计划， IS 审计师要评估服务方的财务稳定性和履行合同的能力不合适，因为提供的备份在合同中应该是具体充分的不合适，因为服务方的业务持续计划是私有的信息27. 当服务被外包的时候，以下哪一个是IS 管理者最重要的职能？确保支付给服务商发票作为参加者参与系统设计重新和服务商关于费用进行谈判监督外包商的业绩28. 当 IT 支持部门和终端使用者之间的责权分离问题很重要时，应该采取下面哪种补偿控制？限制物理访问计算机设备审查交易和应用日志在雇用 IT 部门人员时进行背景调查一段时间不活动后，锁定使用者进程

35、.精品文档29. 对于组织来说外包其数据处理业务的可能的优势是:能够获得所需要的外部的专家经验可以对处理行使更大的控制可以实施和内部确定处理的优先权沟通使用者需求时，需要更多的使用者参与30. IS 指导委员会应该：包括来自各个部门和各个层次的员工确保 IS 安全政策和程序被适当的执行有正式的定期召开例会，并保留每一次会议记录在每一次供货商召集的会议上，记录新的趋势和产品31.某个长期雇员是具有强大的技术背景和广泛的管理经验，申请IS 审计部门的一个空缺职位。确定是否在此岗位上是否聘用此人需要考虑个人经验和：服务时间，因为这将有助于确保技术水准.年龄，因为培训审计技术可能不切实际.IS 知识，

36、因为这会带来提高审计工作的可信度.能力，因为作为 IS 审计师，与现有的 IS 关系是独立的32.许多组织要求雇员强制性休假一周以上是为了：确保员工保持良好的生活质量，这将带来更大的生产率.减少雇员从事非法或不当行为的机会 .为其他雇用提供适当的交叉培训 .消除员工休假一次一天的潜在的干扰33.在实施平衡计分卡之前，该组织必须 :提供切实有效的服务 .确定关键性能指针.提供该项目的商业价值.控制 IT 支出.34. 在企业资源计划 （ERP）系统中总账的设置功能允许设置会计期间。 对于这项功能允许财务， 仓库和订单输入部门的用户都可以使用这项功能。这种广泛的访问权的最可能的原因是：需要定期更改

37、会计期间一个会计期间结束后，需要追加记账缺少适当的政策和程序进行职责分工需要建立和修改关于账目和分配的图表35. 在 IS 部门中，下面哪一项IS 审计师认为是和IS 部门的短期计划最相关的？资源分配保持技术的领先水平进行评估自我控制硬件需求评估36. 评估 IT 风险的最佳办法是 :评估与现有IT 资产和 IT 项目相关的威胁利用公司以往的实际经验，确定当前风险损失.审查同类公司公布的损失统计资料审查 IS 审计报告中指出的控制弱点37. 以下哪一个是IT 绩效衡量过程的主要目的?.精品文档最小化错误收集绩效资料 .建立绩效基准 .绩效优化 .38. 让业务单位担任开发应用业务的责任，很可能

38、会导致:数据通信的需求大幅度减少.行使较低水平的控制.实行更高层次的控制.改善职责分工 .39. IS 审计师受雇审查电子商务安全。 IS 审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。下一步工作是什么？立即向 CIO 或 CEO 报告风险检查开发中的电子商务应用.确定威胁和发生的可能性.核对风险管理的可行预算.40. 以下哪一项是创建防火墙策略的第一步?对于安全应用的成本效益分析方法识别外部访问的网络应用识别外部访问的网络应用的脆弱性设立应用控制矩阵，显示保障办法41. 确保组织遵守隐私的要求， IS 审计师应该首先审查 :IT 基础设施 .组织的政策、标准和程序.法律和规章

39、的规定.组织政策、标准和程序的附件.42. 组织的管理层决定建立一个安全通告awareness程序。下面哪一项可能是程序的一部分？利用入侵检测系统报告事件授权使用密码访问所有软件安装高效的用户日志系统，以追踪记录每个用户的行为定期培训所有当前员工和新进员工43. 以下哪一项是减轻职责划分不当引发风险的补偿控制？序列检验核对数字源文件保存批控制 Reconciliations44. IT 平衡记分卡是一种业务的监督管理工具目的是为了监督IT 性能评价指针而不是财务状况 .客户满意度.精品文档内部过程的效率.创新能力45. 由上而下的方式建立的业务政策将有助于保证:政策在整个组织的范围内一致.政策

40、作为风险评估的一部分实施遵守所有政策 .政策被定期检讨.46. 以下哪一项是 IT 指导委员会的职能：监测供货商对于变更控制的控制和测试保证信息处理环境中的职责分离审批和监管重大项目，IS 计划和预算的情况IS 部门和终端使用者之间的联系47. 其中哪一项应包括在组织的信息安全政策中？要保护的关键 IT 资源列表访问授权的基本原则确定敏感安全特征相关的软件安全特征48.在一个组织内， IT 安全的责任被清楚的定义和强化，并始终如一地执行IT 安全的风险和影响分析。这表示的是信息安全治理成熟度模型的哪一级？优化 .管理定义重复49.IS 审计师在审查信息系统短期（战术）计划时应确定是否：在项目中

41、， IS 人员和业务人员进行了整合有明确的目标和任务信息技术计划战略方法在发挥作用将业务目标和 IS 目标进行关联的计划50.局域网 (LAN) 管理员通常受限制于（不能） ：具有终端使用者权限向终端使用者经理报告具有程序设计权限负责局域网安全管理51. 一个组织收购其他企业，并继续使用其遗留的电子数据交换系统，和三个独立的增值网供货商。没有书面的增值网合同。 IS 审计师应该建议管理者：获取第三方服务提供商的独立保证设置程序监督第三方交付的服务确保正式合同发挥作用考虑和第三方服务提供商共同开发业务持续计划52. 对于成功实施和维护安全政策来说，以下哪一项是最重要的？各方的书面安全策略的结构和

42、目的都一致。管理层支持并批准实施和维护安全政策通过对任何违反安全规则的行为进行惩罚来强调安全规测.精品文档安全管理人员通过访问控制软件严格执行，监督和强调安全规则53. 下列哪一项减少了潜在的社会工程攻击的影响：遵守规定要求提高道德意识安全意识 awareness程序有效的业绩激励54. 以下是一种机制可以减轻风险 .安全和控制措施财产责任保险审计和鉴证合同服务水平协议(SLA)55. 电子取证的风险可能会减少的原因是通过电子邮件的:破坏政策 .安全政策 .存档政策审计政策56. IS 审计师审查组织的 IS 战略计划，首先要审查：现有的 IT 环境业务计划目前的 IT 预算 .目前的技术趋势

43、57. 技术变革的速度增加了下面哪一项的重要性:外包 IS功能.实施和强化良好流程员工在组织中的建立事业的愿望满足用户要求58. 将会在组织的战略计划中发现下面哪一个目标？测试新的账户包 Test a new accounting package进行信息技术需求评估在接下来的 12 个月中实施新的项目计划成为某种产品的供货商59. 制定一个安全政策是哪一个部门的最终责任:IS 部门.安全委员会 .安全管理员 .董事会60. IT 治理是哪一项的主要责任 : 首席执行官 .董事会.精品文档IT 指导委员会 .审计委员会 .61. IS 审计师对于与员工相关的 IS 管理实践审计进行一般控制审计，

44、应该特别关注的是：强制休假政策和遵守情况.人员分类和公平的补偿政策.员工培训 .分配给员工的职责62. 从控制角度而言，工作的描述的关键要素在于他们:提供如何工作的说明和明确的授权对于员工来说是更新的，文档化，并且容易得到沟通管理者的具体工作业绩预期.确立员工行为的责任和义务63. 下列哪些证据提供了具有合适的安全意识程序的最好证据？股东的数量 The number of stakeholders，包括受到培训各级员工整个企业范围内培训覆盖的范围不同供货商的安全设施落实情况定期审查并与最佳实践比较64. 在制定以下哪一项时，包括高层管理人员参与是最重要的？战略计划 .IS 政策IS 程序.标准

45、和指南 .65. 在审查 IS 战略时， IS 审计师最能衡量 IS 策略是否支持组织的业务目标的做法是确定是否：有需要的所有人员和装备 .计划与管理策略一致.使用设备和人员的效率和效益.有足够的能力 ,以适应不断变化的方向.66. 在职责分离不合适的环境中， IS 审计师要寻找下面哪一种控制？重迭控制边界控制访问控制补偿性控制67.当 IS 从独立的服务提供商处采购时，审计师应该期望在招标书request for proposal (RFP)中包括下面哪一项？从其他客户参考服务水平协议 (SLA) 范本维护协议转换计划68.风险管理的产出结果是下面哪一项的输入？业务计划 .审计章程 .安全政

46、策策略 .精品文档软件设计策略 .69. IT 指导委员会审查信息系统主要是为了评估:IT 处理是否支持业务需求.提出的系统的功能是否足够.现有软件的稳定性.安装技术的复杂性.70. 建立了信息安全程序的第一步是 : 制定和实施信息安全标准手册 .IS 审计师执行对于安全控全面的审查采用公司的信息安全政策报告购买安全访问控制软件71. 在审查电子资金转账系统 (EFT) 的结构时，审计师注意到技术架构基于集中处理方式，并且外包给国外处理。由于这些信息，下面哪一个结论是审计师最关注的？可能会有与司法权限范围有关的问题由于有国外的供货商可能会导致未来审计费用超支由于距离，审计过程可能会很困难可能有不同的审计标准72. 组织外包其软件开发， 以下哪一项是该组织 IT 管理的责任 ? 支付服务提供商作为参加者参加系统设计控制外包商遵守服务合同与供养商谈判合同73. 有效的 IT 治理要求组织的结构和流程能够确保：组织的战略和目标延伸到 IT 战略 .业务战略来自于 IT 战略IT 治理独立于并不同于全面治理IT 战略扩大了组织的战略和目标74.全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和:恢复 .保存 .重