CISA中文模拟题

1、2014年历年真题回忆汇编 12 / 12一旦业务功能发生变化，已打印的表格和其他备用资源都可能要改变。下面哪一种情况构成了对组织的主要风险？A、在异地存储的备用资源详细目录没有及时更新B、在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新C、没有对紧急情况下的供应商或备选供应商进行评估，不知道供应商是否还在正常营业D、过期的材料没有从有用的资源中剔除下面哪一句涉及包交换网络的描述是正确的？A、目的地相同的包穿过网络的路径（或称为：路径）相同B、密码/口令不能内置于数据包里C、包的长度不是固定的，但是每个包内容纳的信息数据是一样的D、数据包的传输成本取决于将传输的数据包本身，与传输距离

2、和传输路径无关IS指导委员会应当：A、包括来自不同部门和员工级别的成员B、确保IS安全政策和流程已经被恰当地执行了C、有正式的引用条款和保管会议纪要D、由供应商在每次会议上简单介绍新趋势和产品对IT部门的战略规划流程/程序的最佳描述是：A、依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划B、IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要求的优先顺序的程序C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求D、IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推动，快于对组织计划的推动在审核组织的系统开发方法学时，

3、IS审计人员通常首先执行以下哪一项审计程序？A、确定程序的充分性B、分析程序的效率C、评价符合程序的程度D、比较既定程序和实际观察到的程序某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应用即将投入运行时，以下哪一项可以为公司资产的保护提供最合理的保证？A、由内部审计人员进行一次审核B、由指定的IS审计人员进行一次审查C、由用户规定审核的深度和内容D、由另一个同等资历的IS审计人员进行一次独立的审查用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点A、确认测试目标是否成文B、评估用户是否记载了预期的测试结果C、检查测试问题日志是否完整D、确认

4、还有没有尚未解决的问题在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为IS审计人员提供最大的帮助？A、系统故障时间日志B、供应商的可靠性描述C、预定的定期维护日志D、书面的预防性维护计划表企业正在与厂商谈判服务水平协议（SLA），首要的工作是：A、实施可行性研究B、核实与公司政策的符合性C、起草其中的罚则D、起草服务水平要求将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用？A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制应用控制的目的是保证当错误数据被输入系统时，该数据能被：A、接受和处理B、接受但不处理C、不接受也不处理

5、D、不接受但处理如果以下哪项职能与系统一起执行，会引起我们的关切？A、访问规则的维护B、系统审计轨迹的审查C、数据保管异口同声D、运行状态监视应用系统开发的责任下放到各业务基层，最有可能导致的后果是A、大大减少所需数据通讯B、控制水平较低C、控制水平较高D、改善了职责分工以下哪一项是业务流程再造项目的第一步？A、界定检查范围B、开发项目计划C、了解所检查的流程D、所检查流程的重组和简化企业由于人力资源短缺，IT支持一直以来由一位最终用户兼职，最恰当的补偿性控制是：A、限制物理访问计算设备B、检查事务和应用日志C、雇用新IT员工之前进行背景调查D、在双休日锁定用户会话组织内数据安全官的最为重要的

6、职责是：A、推荐并监督数据安全政策B、在组织内推广安全意识C、制定IT安全政策下的安全程序/流程D、管理物理和逻辑访问控制执行应用控制审核的IS审计人员应评价：A、应用满足业务需求的效率B、所有已发现的、暴露的影响C、应用所服务的业务流程D、应用的优化IS审计师在审计公司IS战略时最不可能：A、评估IS安全流程B、审查短期和长期IS战略C、与适当的公司管理人员面谈D、确保外部环境被考虑了一个项目经理在目标期限内无法实施所有的审计建议。IT 审计师应该怎么做？A. 建议项目暂时停止直至问题得到解决；B. 建议采取补偿控制；C. 对未解决的问题进行风险评估；D. 建议项目经理进行资源的再分配来解决

7、该问题。为评估软件的可靠性，IS审计师应该采取哪一种步骤？A、检查不成功的登陆尝试次数B、累计指定执行周期内的程序出错数目C、测定不同请求的反应时间D、约见用户，以评估其需求所满足的范围在业务流程重组(BPR)的哪一个步骤,待测定的团队应访问、参观基准伙伴？A、观察B、计划C、分析D、调整IS管理层建立变更管理程序的目的是：A、控制应用从测试环境向生产环境的移动B、控制因忽略了未解决的问题而导致的业务中断C、保证在灾难发生时业务操作的不间断D、检验系统变更已得到适当的书面的记录在审计系统开发项目的需求阶段时，IS审计人员应：A、评估审计足迹的充分性B、标识并确定需求的关键程度C、验证成本理由和

8、期望收益D、确保控制规格已经定义IS审计师正在检查开发完成的项目以确定新的应用是否满足业务目标的要求。下面哪类报告能够提供最有价值的参考？A、用户验收测试报告B、性能测试报告C、开发商与本企业互访记录（或社会交往报告）D、穿透测试报告项目开发过程中用来检测软件错误的对等审查活动称为：A、仿真技术B、结构化走查C、模块化程序设计技术D、自顶向下的程序构造IS审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题？A、构造B、系统设计C、验收测试D、功能说明在因特网应用中使用小应用程序（applets）的最有可能的解释是：A、它是从服务器跨网络发送B、服务器不能运行程序且输出不能跨网络发送C、

9、它可同时改进WEB服务器和网络的性能D、它是一种通过WEB浏览器下载并在客户机的WEB服务器上运行的JAVA程序信息系统审计师检查IT控制的效力时,发现以前的审计报告,没有相应的工作底稿,他(她)该怎么办?A、暂停审核工作,直到找到这些审计底稿B、信息并直接采纳以前的审计报告C、重新测试好些处于高风险内的控制D、通知审计经理,并建议重新测试这些控制下面哪个在线审计技术对于早期发现错误或误报有效A、嵌入式审计模块B、综合测试工具C、快照D、审计钩以下哪项应是IS审计师最为关注的:A、没有报告网络被攻陷的事件B、未能就企业闯入事件通知执法人员C、缺少对操作权限的定期检查D、没有就闯入事件告之公众为

10、满足预定义的标准,下面哪一种连续审计技术,对于查找要审计的事务是最佳的工具?A、系统控制审计检查文件和嵌入式审计模块(SCARF/EAM)B、持续和间歇性模拟(CIS)C、整体测试(ITF)D、审计钩(Audit hooks)在审查定义IT服务水平的过程控制时，信息系统审计师最有可能先与下列哪种人面谈：A、系统编程人员B、法律顾问C、业务单位经理人员D、应用编程人员如下哪一类风险是假设被检查的方面缺乏补偿控制:A、控制风险B、检查风险C、固有风险D、抽样风险对新的应收帐模块实施实质性审计测试时,IS审计师的日程安排非常紧,而且对计算机知识知之不多.那么,下面哪一项审计技术是最佳选择?A、测试数

11、据B、平行模拟(Parallel simulation)C、集成测试系统(ITF)D、嵌放式审计模块(EAM)制订基于风险的审计程序时,IS审计师最可能关注的是:A、业务程序/流程B、关键的IT应用C、运营控制D、业务战略下面的哪一种加密技术可以最大程度地保护无线网络免受中间人攻击？A、128位有线等效加密（WEP）B、基于MAC地址的预共享密钥（PSK）C、随机生成的预共享密钥（PSK）D、字母和数字组成的服集标识符（SSID处理计算机犯罪事件需要运用管理团队的方法，下面哪一个角色的职责是明确的？A、经理B、审计人员C、调查人员D、安全负责人安全事件应急响应系统的最终目标是：A、对安全事件做

12、出的反应不足B、检测安全事件C、对安全事件做出过度反应D、实施提高安全的保护措施在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证:A、保护硬件设备免受浪涌损害B、如果主电力被中断,系统的完整性也可以得到维护C、如果主电力被中断,可以提供即时的电力供应D、保护硬件设备不受长期电力波动的影响建立数据所有权关系的任务应当是下列哪一种人的责任?A、职能部门用户B、内部审计人员C、数据处理人员D、外部审计人员下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?A、完整性控制的需求是基于风险分析的结果B、控制已经过了测试C、安全控制规范是基于风险分析的结果D、控制是在可重复的基

13、础上被测试的下面哪一种拒绝服务攻击在网络上不常见？A、服务过载B、对消息的洪水攻击C、连接阻塞D、信号接地对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为：A、反馈错误控制B、块求和校验C、转发错误控制D、循环冗余校验下列哪一种行为是互联网上常见的攻击形式？A、查找软件设计错误B、猜测基于个人信息的口令C、突破门禁系统闯入安全场地D、种值特洛伊木马在一个单机运行的微型计算机或网络服务器环境下，防止程序被盗窃和使系统免受病毒威胁的有效预防性措施不包括以下哪一条？A、提醒员工不要在非授权的情况下拷贝任何存放在计算机硬盘上受保护的可执行程序B、禁止任何人从一张软盘拷贝可执行程序到另一张软盘C、不允许有任何从软件拷贝可执行程序到硬盘的企图D、禁止任何人从“外来的”软盘上执行任何程序IS审计师应该参与：A、参观灾难恢复计划的测试和演练B、制定灾难恢复计划C、维护灾难恢复计划D、检查灾难恢复需求有交的供应商合同IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么他/她该怎么做？A、无需做什么。因为只有处理能力低于正常的25%，才会严重影响企业的生存和备份能力B、找出可以在备用设施使用的应用，其它业务处理采用手工操作，制订手工流程以备不测C