ISA新增中文模拟题答案

1、题号:1题型:单选题内容:以下哪一项属于所有指令均能被执行的操作系统模式？选项:A、问题B、中断C、监控D、标准处理标准答案:B题号:2题型:单选题内容:企业将其技术支持职能（helpdesk）外包出去，下面的哪一项指标纳入外包服务等级协议（SLA是最恰当的？选项:A、要支持用户数B、首次请求技术支持，即解决的（事件）百分比C、请求技术支持的总人次D、电话响应的次数标准答案:B题号:3题型:单选题内容:IS审计师检查组织的数据文件控制流程时，发现交易事务使用的是最新的文件，而重启动流程使用的是早期版本，那么，IS审计师应该建议：选项:A、检查源程序文档的保存情况B、检查数据文件的安全状况C、实

2、施版本使用控制D、进行一对一的核查标准答案:C题号:4题型:单选题内容:将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用？选项:A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制标准答案:B题号:5题型:单选题内容:审计客户/服务器数据库安全时，IS审计师应该最关注于哪一方面的可用性？选项:A、系统工具B、应用程序生成器C、系统安全文文件D、访问存储流程标准答案:A题号:6题型:单选题内容:测试程序变更管理流程时，IS审计师使用的最有效的方法是：选项:A、由系统生成的信息跟踪到变更管理文档B、检查变更管理文档中涉及的证据的精确性和正确性

3、C、由变更管理文档跟踪到生成审计轨迹的系统D、检查变更管理文档中涉及的证据的完整性标准答案:A题号:7题型:单选题内容:分布式环境中，服务器失效带来的影响最小的是：选项:A、冗余路由B、集群C、备用电话线D、备用电源标准答案:B题号:8题型:单选题内容:实施防火墙最容易发生的错误是：选项:A、访问列表配置不准确B、社会工程学会危及口令的安全C、把modem!至网络中的计算机D、不能充分保护网络和服务器使其免遭病毒侵袭标准答案:A题号:9题型:单选题内容:为确定异构环境下跨平台的数据访问方式，IS审计师应该首先检查：选项:A、业务软件B、系统平台工具C、应用服务D、系统开发工具标准答案:C题号:

4、10题型:单选题内容:数据库规格化的主要好处是：选项:A、在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复）B、满足更多查询的能力C、由多张表实现，最大程度的数据库完整性D、通过更快地信息处理，减小反应时间标准答案:A题号:11题型:单选题内容:以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？选项:A、磁墨字符识别（MICR）B、智能语音识别（IVR）C、条形码识别（BCR）D、光学字符识别（OCR）标准答案:D题号:12题型:单选题内容:代码签名的目的是确保：选项:A、软件没有被后续修改B、应用程序可以与其它已签名的应用安全地对接使用C、应用（程序）的签名

5、人是受到信任的D、签名人的私钥还没有被泄露标准答案:A题号:13题型:单选题内容:检查用于互联网Internet通讯的网络时，IS审计应该首先检查、确定：选项:A、是否口令经常修改B、客户/服务器应用的框架C、网络框架和设计D、防火墙保护和代理服务器标准答案:C题号:14题型:单选题内容:企业正在与厂商谈判服务水平协议（SLA，首要的工作是：选项:A、实施可行性研究B、核实与公司政策的符合性C、起草其中的罚则D、起草服务水平要求标准答案:D题号:15题型:单选题内容:电子商务环境中降低通讯故障的最佳方式是：选项:A、使用压缩软件来缩短通讯传输耗时B、使用功能或消息确认（机制）C、利用包过滤防火

6、墙，重新路由消息D、租用异步传输模式（ATM线路标准答案:D题号:16题型:单选题内容:以下哪一项措施可最有效地支持24/7可用性？选项:A、日常备份B、异地存储C、镜像D、定期测试标准答案:C题号:17题型:单选题内容:某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求？选项:A、建立一个与供货商相联的内部客户机用及服务器网络以提升效率B、将其外包给一家专业的自动化支付和账务收发处理公司C、与重要供货商建立采用标准格式的、计算机对计算机的电子业务文文件和交易处理用EDI系统D、重组现有流程并重新

7、设计现有系统标准答案:C题号:18题型:单选题内容:以下哪一项是图像处理的弱点？选项:A、验证签名B、改善服务C、相对较贵D、减少处理导致的变形标准答案:C题号:19题型:单选题内容:某IS审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯，而微机只支持异步ASCII字符数据通讯。为实现其连通目标，需为该IS审计人员的微机增加以下哪一类功能？选项:A、缓冲器容量和并行端口B、网络控制器和缓冲器容量C、并行端口和协议转换D、协议转换和缓冲器容量标准答案:D题号:20题型:单选题内容:为了确定哪些用户有权进入享有特权的监控态，IS审计人员应该检查以下哪一项？选项:A、系统访

8、问日志文件B、被启动的访问控制软件参数C、访问控制违犯日志D、系统配置文件中所使用的控制选项标准答案:D题号:21题型:单选题内容:在审查一个大型数据中心期间，IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的？选项:A、计算机操作员兼任备份磁带库管理员B、计算机操作员兼任安全管理员C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员D、没有必要报告上述任何一种情形标准答案:B题号:22题型:单选题内容:以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况？选项:A、神经网络B、数据库管理软件C、管理信息

9、系统D、计算机辅助审计技术标准答案:A题号:23题型:单选题内容:大学的IT部门和财务部（FSO，financialservicesoffice）之间签有服务水平协议（SLA，要求每个月系统可用性超过98%财务部后来分析系统的可用性，发现平均每个月的可用性确实超过98%，但是月末结账期的系统可用性只有93%。那么，财务部应该采取的最佳行动是：选项:A、就协议内容和价格重新谈判B、通知IT部门协议规定的标准没有达到C、增购计算机设备等（资源）D、将月底结账处理顺延标准答案:A题号:24题型:单选题内容:在检查广域网（WAN的使用情况时，发现连接主服务器和备用数据库服务器之间线路通讯异常，流量峰值

10、达到了这条线路容量的96%IS审计师应该决定后续的行动是：选项:A、实施分析，以确定该事件是否为暂时的服务实效所引起B、由于广域网（WAN的通讯流量尚未饱和，96%勺流量还在正常范围内，不必理会C、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的85%D、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使WAN勺流量保持相对稳定标准答案:A题号:25题型:单选题内容:以下哪一类设备可以延伸网络，具有存储数据帧的能力并作为存储转发设备工作？选项:A、路由器B、网桥C、中继器D、网关标准答案:B题号:26题型:单选题内容:在评估计算机预防性维护程序的有效性和充

11、分性时，以下哪一项能为IS审计人员提供最大的帮助？选项:A、系统故障时间日志B、供货商的可靠性描述C、预定的定期维护日志D、书面的预防性维护计划表标准答案:A题号:27题型:单选题内容:用于监听和记录网络信息的网络诊断工具是：选项:A、在线监视器B、故障时间报告C、帮助平台报告D、协议分析仪标准答案:D题号:28题型:单选题内容:对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据？选项:A、异常作业终止报告B、操作员问题报告C、系统日志D、操作员工作日程安排标准答案:C题号:29题型:单选题内容:有效的IT治理要求组织结构和程序确保选项:A、组织的战略和目标包括IT

12、战略B、业务战略来自于IT战略C、IT治理是独立的,与整体治理相区别D、IT战略扩大了组织的战略和目标标准答案:D题号:30题型:单选题内容:质量保证小组通常负责：选项:A、确保从系统处理收到的输出是完整的B、监督计算机处理任务的执行C、确保程序、程序的更改以及存盘符合制定的标准D、设计流程来保护数据，以免被意外泄露、更改或破坏标准答案:C题号:31题型:单选题内容:组织内数据安全官的最为重要的职责是：选项:A、推荐并监督资料安全政策B、在组织内推广安全意识C、制定IT安全政策下的安全程序/流程D、管理物理和逻辑访问控制标准答案:A题号:32题型:单选题内容:企业打算外包其信息安全职能,那么其

13、中的哪一项职能不能外包,只能保留在企业内?选项:A、公司安全策略的记账B、制订公司安全策略C、实施公司安全策略D、制订安全堆积和指导标准答案:A题号:33题型:单选题内容:在小型组织内，充分的职责分工有些不实际，有个员工兼职作计算机操作员和应用程序员，IS审计师应推荐如下哪一种控制，以降低这种兼职的潜在风险？选项:A、自动记录开发（程序/文文件）库的变更B、增员，避免兼职C、建立适当的流程/程序，以验证只能实施经过批准的变更，避免非授权的操作D、建立阻止计算机操作员更改程序的访问控制标准答案:C题号:34题型:单选题内容:一旦组织已经完成其所有关键业务的业务流程再造（BPR），IS审计人员最有

14、可能集中检查：选项:A、BPR实施前的处理流程图B、BPR实施后的处理流程图C、BPR项目计:划D、持续改进和监控计划标准答案:B题号:35题型:单选题内容:某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理，而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是：选项:A、发送并对账交易数及总计B、将数据送回本地进行比较C、利用奇偶检查来比较数据D、在生产机构对销售定单的编号顺序进行追踪和计算标准答案:A题号:36题型:单选题内容:以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中？选项:A、删除一个记录B、改变一个口令C、泄露一个

15、口令D、改变访问权限标准答案:C题号:37题型:单选题内容:IS战略规划应包含：选项:A、制定的硬件采购规格说明B、未来业务目标的分析C、项目开发的（启动和结束）日期D、IS部门的年度预算（目标）标准答案:B题号:38题型:单选题内容:达到评价IT风险的目标最好是通过选项:A、评估与当前IT资产和IT项目相关的威胁B、使用过去公司损失的实际经验来确定当前的风险C、浏览公开报导的可比较组织的损失统计数据D、浏览审计报告中涉及的IT控制薄弱点标准答案:A题号:39题型:单选题内容:在确认是否符合组织的变更控制程序时，以下IS审计人员执行的测试中哪一项最有效？选项:A、审查软件迁移记录并核实审批情况

16、B、确定已发生的变更并核实审批情况C、审核变更控制文档并核实审批情况D、保证只有适当的人员才能将变更迁移至生产环境标准答案:B题号:40题型:单选题内容:以一哪项功能应当由应用所有者执行，从而确保IS和最终用户的充分的职责分工？选项:A、系统分析B、数据访问控制授权C、应用编程D、数据管理标准答案:B题号:41题型:单选题内容:在以下何种情况下应用系统审计踪迹的可靠性值得怀疑？选项:A、审计足迹记录了用户IDB、安全管理员对审计文件拥有只读权限C、日期时间戳记录了动作发生的时间D、用户在纠正系统错误时能够修正审计踪迹记录标准答案:D题号:42题型:单选题内容:对于数据库管理而言，最重要的控制是

17、：选项:A、批准数据库管理员（DBA的活动B、职责分工C、访问日志和相关活动的检查D、检查数据库工具的使用标准答案:B题号:43题型:单选题内容:IT治理的目标是保证IT战略符合以下哪一项的目标？选项:A、企业B、ITC、审计D、财务标准答案:A题号:44题型:单选题内容:数据编辑属于：选项:A、预防性控制B、检测性控制C、纠正性控制D、补偿控制标准答案:A题号:45题型:单选题内容:业务流程再造（BPR项目最有可能导致以下哪一项的发生？选项:A、更多的人使用技术B、通过降低信息技术的复杂性而大量节省开支C、较弱的组织结构和较少的责任D、增加的信息保护（IP）风险标准答案:A题号:46题型:单

18、选题内容:IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论：选项:A、这种缺乏了解会导致不经意地泄露敏感信息B、信息安全不是对所有只能都是关键的C、IS审计应当为那些雇员提供培训D、该审计发现应当促使管理层对员工进行继续教育标准答案:A题号:47题型:单选题内容:数据管理员负责：选项:A、维护数据库系统软件B、定义数据元素、数据名及其关系C、开发物理数据库结构D、开发数据字典系统软件标准答案:B题号:48题型:单选题内容:许多组织强制要求雇员休假一周或更长时间，以便：选项:A、确保雇员维持生产质量，从而生产力更高B、减少雇员从事不当或非法行为的机会C、为其它雇

19、员提供交叉培训D、消除当某个雇员一次休假一天造成的潜在的混乱标准答案:B题号:49题型:单选题内容:对IT部门的战略规划流程/程序的最佳描述是：选项:A、依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划B、IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要求的优先级的程序C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求D、IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推动，快于对组织计划的推动标准答案:C题号:50题型:单选题内容:开发一个风险管理程序时进行的第一项活动是：选项:A、威胁评估B、资料分类C、资

20、产盘点D、并行模拟标准答案:C题号:51题型:单选题内容:在审核某业务流程再造（BPR项目时，以下审计人员要评价的项目中哪一项最重要？选项:A、被撤销控制的影响B、新控制的成本C、BPR项目计:划D、持续改进和监控计划标准答案:A题号:52题型:单选题内容:数据库管理员负责：选项:A、维护计算机内部数据的访问安全B、实施数据库定义控制C、向用户授予访问权限D、定义系统的数据结构标准答案:B题号:53题型:单选题内容:IS审计师复核IT功能外包合同时，应当期望它定义：选项:A、硬件设置B、访问控制软件C、知识产权D、应用开发方法论标准答案:C题号:54题型:单选题内容:IS审计师发现被审计的企业

21、经常举办交叉培训，那么需要评估如下哪一种风险？选项:A、对某个技术骨干的过分依赖B、岗位接任计划不适当C、某个人知道全部系统的细节D、运营中断标准答案:C题号:55题型:单选题内容:应用系统开发的责任下放到各业务基层，最有可能导致的后果是选项:A、大大减少所需数据通讯B、控制水平较低C、控制水平较高D、改善了职责分工标准答案:B题号:56题型:单选题内容:可以降低社交工程攻击的潜在影响的是：选项:A、遵从法规的要求B、提高道德水平C、安全意识计划（如：促进安全意识的教育）D、有效的绩效激励政策标准答案:C题号:57题型:单选题内容:企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被

22、授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为：选项:A、经常性地修改会计期间的需要B、需要向关闭的会计期间过入分录C、缺乏适当的职责分工政策和步骤D、需要创建和修改科目表及其分配标准答案:C题号:58题型:单选题内容:IT治理确保组织的IT战略符合于：选项:A、企业目标B、IT目标C、审计目标D、控制目标标准答案:A题号:59题型:单选题内容:以下哪一项最好地描述了企业生产重组（ERP软件的安装所需要的文档？选项:A、仅对特定的开发B、仅对业务需求C、安装的所有阶段必须进行书面记录D、没有开发客户特定文档的需要标准答案:C题号:60题型:单选题内容:实施下面的哪个流程，可以

23、帮助确保经电子数据交换（EDI）的入站交易事务的完整性？选项:A、数据片断计数内建到交易事务集的尾部B、记录收到的消息编号，定期与交易发送方验证C、为记账和跟踪而设的电子审计轨迹D、已收到的确认的交易事务与发送的EDI消息日志比较、匹配标准答案:A题号:61题型:单选题内容:评估数据库应用的便捷性时，IS审计师应该验证：选项:A、能够使用结构化查询语言（SQL）B、与其它系统之间存在信息的导入、导出程序C、系统中采用了索引（Index）D、所有实体（entities）都有关键名、主键和外键标准答案:A题号:62题型:单选题内容:以下哪一项有利于程序维护？选项:A、强内聚/松藕合的程序B、弱内聚

24、/松藕合的程序C、强内聚/紧藕合的程序D、弱内聚/紧藕合的程序标准答案:A题号:63题型:单选题内容:软件开发项目中纳入全面质量管理（TQM，totalqualitymanagemnet）的主要好处是：选项:A、齐全的文档B、按时交付C、成本控制D、最终用户的满意标准答案:D题号:64题型:单选题内容:随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是：选项:A、用户参与不足B、项目此理早期撤职C、不充分的质量保证（QA工具D、没有遵从既定的已批准功能标准答案:A题号:65题型:单选题内容:一个通用串行总线（USB端口：选项:A、可连接网络而无需网卡B、用以太网

25、适配器连接网络C、可代替所有现存的连接D、连接监视器标准答案:B题号:66题型:单选题内容:集线器（HUB设备用来连接：选项:A、两个采用不同协议的LANsB、一个LAN和一个WANC、一个LAN和一个MAN（城域网）D、一个LAN中的两个网段标准答案:D题号:67题型:单选题内容:对于确保非现场的业务应用开发的成功，下面哪一个是最佳选择？选项:A、严格的合同管理实务B、详尽、正确的应用需求规格说明C、认识到文化和政治上差异D、注重现场实施后的检查标准答案:B题号:68题型:单选题内容:审计软件采购的需求阶段时，IS审计师应该：选项:A、评估项目时间表的可行性B、评估厂商建议的质量程序C、确保

26、采购到最好的软件包D、检查需求规格的完整性标准答案:D题号:69题型:单选题内容:为评估软件的可靠性，IS审计师应该采取哪一种步骤？选项:A、检查不成功的登陆尝试次数B、累计指定执行周期内的程序出错数目C、测定不同请求的反应时间D、约见用户，以评估其需求所满足的范围标准答案:B题号:70题型:单选题内容:IS审计人员在应用开发项目的系统设计阶段的首要任务是：选项:A、商定明确详尽的控制程序B、确保设计准确地反映了需求C、确保初始设计中包含了所有必要的控制D、劝告开发经理要遵守进度表标准答案:C题号:71题型:单选题内容:企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周

27、期（SDLC中设计和开发阶段，就被置换为：选项:A、挑选和配置阶段B、可行性研究和需求定义阶段C、实施和测试阶段D、（无，不需要置换）标准答案:A题号:72题型:单选题内容:在审核组织的系统开发方法学时，IS审计人员通常首先执行以下哪一项审计程序？选项:A、确定程序的充分性B、分析程序的效率C、评价符合程序的程度D、比较既定程序和实际观察到的程序标准答案:D题号:73题型:单选题内容:用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点选项:A、确认测试目标是否成文B、评估用户是否记载了预期的测试结果C、检查测试问题日志是否完整D、确认还有没有尚未解决的问题标准答案:D题号

28、:74题型:单选题内容:IS审计师正在检查开发完成的项目，以确定新的应用是否满足业务目标的要求。下面哪类报告能够提供最有价值的参考？选项:A、用户验收测试报告B、性能测试报告C、开发商与本企业互访记录（或社会交往报告）D、穿透测试报告标准答案:A题号:75题型:单选题内容:TCP/IP协议簇包含的面向连接的协议处于：选项:A、传输层B、应用层C、物理层D、网络层标准答案:A题号:76题型:单选题内容:如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于：选项:A、项目需求定义阶段B、项目可行性研究阶段C、项目详细设计阶段D、项目编程阶段标准答案:B题号:77题型:单选题内容:接收EDI

29、交易并通过通讯接口站（stage）传递通常要求：选项:A、转换和拆开交易B、选择验证程序C、把数据传递给适当的应用系统D、建立一个记录接收审计日志的点标准答案:B题号:78题型:单选题内容:假设网络中的一个设备发生故障，那么在下哪一种局域网结构更容易面临全面瘫痪？选项:A、星型B、总线C、环型D、全连接标准答案:A题号:79题型:单选题内容:通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证：选项:A、可靠的产品是有保证的B、程序员的效率得到了提高C、安全需求得到了规划、设计D、预期的软件程序（或流程）得到了遵循标准答案:D题号:80题型:单选题内容:组织要捐赠一

30、些本单位的旧计算机设备给希望小学，在运输这些捐赠品之前应该确保：选项:A、计算机上不曾保存机密数据B、受捐的希望小学签署保密协议C、资料存储的介质是彻底空白的D、所有数据已经被删除标准答案:C题号:81题型:单选题内容:在契约性协议包含源代码第三方保存契约（escrow）的目的是：选项:A、保证在供货商不存在时源代码仍然有效B、允许定制软件以满足特定的业务需求C、审核源代码以保证控制的充分性D、保证供货商已遵从法律要求标准答案:A题号:82题型:单选题内容:项目开发过程中用来检测软件错误的对等审查活动称为：选项:A、仿真技术B、结构化走查C、模块化程序设计技术D、自顶向下的程序构造标准答案:B

31、题号:83题型:单选题内容:对于测试新的、修改的或升级的系统而言，为测试其（处理）逻辑，创建测试数据时，最重要的是：选项:A、为每项测试方案准备充足的资料B、实际处理中期望的数据表现形式C、按照计划完成测试D、对实际数据进行随机抽样标准答案:B题号:84题型:单选题内容:在审计系统开发项目的需求阶段时，IS审计人员应：选项:A、评估审计足迹的充分性B、标识并确定需求的关键程度C、验证成本理由和期望收益D、确保控制规格已经定义标准答案:D题号:85题型:单选题内容:以下哪一项面向对象的技术特征可以提高数据的安全级别？选项:A、继承B、动态仓库C、封装D、多态性标准答案:C题号:86题型:单选题内

32、容:软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？选项:A、理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有变化或变化很小B、需求被充分地理解，项目又面临工期压力C、项目要采用面向对象的设计和编程方法D、项目要引用新技术标准答案:A题号:87题型:单选题内容:获得优质软件的最佳途径是：选项:A、通过彻底的测试B、发现并快速纠正编程错误C、根据可用时间和预算决定测试的数量D、在整个项目过程中应用定义良好的流程和结构化的审核标准答案:D题号:88题型:单选题内容:信息系统不能满足用户需求的最常见的原因是：选项:A、用户需求频繁变动B、对用户需求增长的预测不准确C、硬件

33、系统限制了并发用户的数目D、定义系统时用户参与不够标准答案:D题号:89题型:单选题内容:用于IT开发项目的业务模式（或业务案例）文档应该被保留，直到：选项:A、系统的生命周期结束B、项目获得批准C、用户验收了系统D、系统被投入生产标准答案:A题号:90题型:单选题内容:以下哪一项是采用原型法作为系统开发方法学的主要缺点？选项:A、用户对项目进度的期望可能过于乐观B、有效的变更控制和管理不可能实施C、用户参与日常项目管理可能过于广泛D、用户通常不具备足够的知识来帮助系统开发标准答案:A题号:91题型:单选题内容:制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定:选项:A、已经存在减

34、免风险的控制B、找到了弱点和威胁C、已经考虑到审计风险D、实施差异分析是适当的标准答案:B题号:92题型:单选题内容:使用统计抽样流程有助于最小化:选项:A、抽样风险B、检测性风险C、固有风险D、控制风险标准答案:B题号:93题型:单选题内容:以下哪种抽样方法对符合性测试最有用？选项:A、属性抽样B、变数抽样C、分层单位平均估算法D、差值估计法标准答案:A题号:94题型:单选题内容:通用审计软件(GAS)的主要用途是：选项:A、测试程序中内嵌的控制B、测试对数据的非授权访问C、为审计数据精选数据D、降低对(交易)事务判断的需要标准答案:C题号：95题型：单选题内容:测试程序的更改时,以下哪项是

35、最适合作为总体来抽取样本?选项:A、测试库清单B、原程序清单C、程序更改需求D、生产用链接库清单标准答案:D题号:96题型:单选题内容:在审查定义IT服务水平的过程控制时，信息系统审计师最有可能先与下列哪种人面谈：选项:A、系统编程人员B、法律顾问C、业务单位经理人员D、应用编程人员标准答案:C题号:97题型:单选题内容:以下哪项应是IS审计师最为关注的:选项:A、没有报告网络被攻陷的事件B、未能就企业闯入事件通知执法人员C、缺少对操作权限的定期检查D、没有就闯入事件告之公众标准答案:A题号:98题型:单选题内容:使用集成测试系统（ITF,或译为:整体测试）的最主要的缺点是需要:选项:A、将测

36、试数据孤立于生产数据之外B、通知用户,让他们调整输出C、隔离特定的主文件记录D、用单独的文件收集事务和主文件记录标准答案:A题号:99题型:单选题内容:在建立连续在线监控系统时，IS审计师首先应该识别：选项:A、合理的目标下限B、组织中高风险领域C、输出文件的位置和格式D、带来最大潜在回报的应用程序标准答案:B题号:100题型:单选题内容:审计章程应该:选项:A、是动态的并且经常修订以适应技术和审计职业的变化B、消除表述经管理当局授权以复核并维护内控制度的审计目标C、明文规定设计好的审计程序,以达成预定审计目标D、概述审计职能的权力、范围和责任标准答案:D题号:101题型:单选题内容:IS审计

37、师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.选项:A、对系统开发进行了复核B、对控制和系统的其它改进提出了建议C、对完成后的系统进行了独立评价D、积极参与了系统的设计和完成标准答案:D题号:102题型:单选题内容:IS审计师应该能识别并评估各种风险及潜在影响。以下哪项风险与绕过授权程序（后门）有关？选项:A、固有风险B、检测性风险C、审计风险D、错误风险标准答案:A题号:103题型:单选题内容:制订基于风险的审计程序时,IS审计师最可能关注的是:选项:A、业务程序/流程B、关键的IT应用C、运营控制D、业务战略标准答案:A题号:104题型:单选题内容:在不熟悉领域从事审计时，IS

38、审计师首先应该完成的任务是：选项:A、为涉及到的每个系统或功能设计审计程序B、开发一套符合性测试和实质性测试C、收集与新审计项目相关的背景信息D、安排人力与经济资源标准答案:C题号:105题型:单选题内容:,最有可能:内部审计部门,从组织结构上向财务总监而不是审计委员会报告选项:A、导致对其审计独立性的质疑B、报告较多业务细节和相关发现C、加强了审计建议的执行D、在建议中采取更对有效行动标准答案:A题号:106题型:单选题内容:审计章程的主要目的是：选项:A、把组织需要的审计流程记录下来B、正式记录审计部门的行动计划C、为审计师制定职业行为规范D、描述审计部门的权力与责任标准答案:D题号:10

39、7题型:单选题内容:确保审计资源在组织中发挥最大价值的首要步骤应该是:选项:A、规划审计工作并监控每项审计的时间花费B、培训信息系统审计师掌握公司中使用的最新技术C、基于详细的风险评估制定审计计划D、监控审计进展并实施成本控制标准答案:C题号:108题型:单选题内容:如下哪一类风险是假设被检查的方面缺乏补偿控制:选项:A、控制风险B、检查风险C、固有风险D、抽样风险标准答案:C题号:109题型:单选题内容:风险分析的关键要素是:选项:A、审计计划B、控制C、脆弱点D、责任标准答案:C题号:110题型:单选题内容:对于抽样而言,以下哪项是正确的?选项:A、抽样一般运用于与不成文或无形的控制相关联

40、的总体B、如果内部控制健全,置信系统可以取的较低C、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样D、变量抽样是估计给定控制或相关控制集合发生率的技术标准答案:B题号:111题型:单选题内容:数据库管理系统软件包不可能提供下面哪一种访问控制功能?选项:A、用户对字段数的访问B、用户在网络层的登录C、在程序级的身份验证D、在交易级的身份验证标准答案:B题号:112题型:单选题内容:计算机舞弊行为可以被以下哪一条措施所遏制？选项:A、准备起诉B、排斥揭发腐败内幕的雇员C、忽略了司法系统的低效率D、准备接收系统缺乏完整性所带来的风险标准答案:A题号:113题型:单选题内容:IS审计师检

41、查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注？选项:A、安全官兼职数据库管理员B、客户/服务器系统没有适当的管理口令/密码控制C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑D、大多数局域网上的档服务器没有执行定期地硬盘备份标准答案:B题号:114题型:单选题内容:数字签名可以有效对付哪一类电子信息安全的风险？选项:A、非授权地阅读B、盗窃C、非授权地复制D、篡改标准答案:D题号:115题型:单选题内容:能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是：选项:A、将每次访问记入个人信息（即：作日志）B、对敏感的交易事务使用单独的密码/口

42、令C、使用软件来约束授权用户的访问D、限制只有营业时间内才允许系统访问标准答案:C题号:116题型:单选题内容:E-MAIL软件应用中验证数字签名可以：选项:A、帮助检查垃圾邮件（spamB、实现保密性C、加重网关服务器的负载D、严重降低可用的网络带宽标准答案:A题号:117题型:单选题内容:下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的选项:A、完整性控制的需求是基于风险分析的结果B、控制已经过了测试C、安全控制规范是基于风险分析的结果D、控制是在可重复的基础上被测试的标准答案:D题号:118题型:单选题内容:每感染一个档就变体一次的恶意代码称为：选项:A、逻辑炸弹B、隐秘型

43、病毒C、特洛伊木马D、多态性病毒标准答案:D题号:119题型:单选题内容:通常，黑客使用如下哪一种攻击手段时，会引起对互联网站点的分布式拒绝服务攻击（DDos）?选项:A、逻辑炸弹B、网络钓鱼C、间谍软件D、特洛伊木马标准答案:D题号:120题型:单选题内容:为保证主记录中的关键词段已被正确更新，最好采用下列哪一种办法？选项:A、字段检查B、求和校验与控制C、合理性检查D、审查事前和事后的维护报告标准答案:D题号:121题型:单选题内容:下列哪一组高层系统服务可以提供对网络的访问控制选项:A、访问控制列表和访问特权B、身份识别和验证C、认证和鉴定D、鉴定和保证标准答案:B题号:122题型:单选

44、题内容:企业里有个混合访问点不能升级其安全强度，而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点，下面哪一个选项支持IS审计师的建议的理由最为充分？选项:A、新的访问点具有更高的安全强度B、老的访问点性能太差C、整个企业网络的安全强度，就是其最为薄弱之处的安全强度D、新的访问点易于管理标准答案:C题号:123题型:单选题内容:检查入侵监测系统（IDS）时,IS审计师最关注的内容是:选项:A、把正常通讯识别为危险事件的数量（误报）B、系统没有识别出的攻击事件C、由自动化工具生成的报告和日志D、被系统阻断的正常通讯流标准答案:B题号:124题型:单选题内容:银行的自动

45、柜员机（ATM是一种专门用于销售点的终端，它可以:选项:A、只能用于支付现金和存款服务B、一般放置在入口稠密的场所以威慑盗窃与破坏C、利用保护的通讯线进行数据传输D、必须包括高层的逻辑和物理安全标准答案:D题号:125题型:单选题内容:下面哪一种日志文件有助于评估计算机安全事例的危害程度？选项:A、联络日志B、活动日志C、事件日志D、审计日志标准答案:C题号:126题型:单选题内容:下面哪一种说法的顺序正确？选项:A、脆弱性导致了威胁，然后威胁导致了风险B、风险导致了威胁，然后威胁导致了脆弱性C、脆弱性导致了风险，然后风险导致了威胁D、威胁导致了脆弱性，然后脆弱性导致了风险标准答案:A题号:1

46、27题型:单选题内容:下列哪一种行为是互联网上常见的攻击形式？选项:A、查找软件设计错误B、猜测基于个人信息的口令C、突破门禁系统闯入安全场地D、种值特洛伊木马标准答案:D题号:128题型:单选题内容:内联网(Intranet)可以建立在一个组织的内部网络上，也可以建互联网(internet)上，上面哪一条针对内联网的控制在安全上是最弱的？选项:A、用加密的信道传输数据B、安装加密路由器C、安装加密防火墙D、对私有WW服务器实现口令控制标准答案:D题号:129题型:单选题内容:在一个无线局域网环境下，能用来保证有效数据安全的技术是哪一种？选项:A、消息鉴定码和无线变频收发仪B、在不同的信道传输

47、数据和消息鉴定码C、在不同的信道传输数据和加密D、加密和无线变频收发仪标准答案:C题号:130题型:单选题内容:下面哪一种类型的反病毒软件是最有效的？选项:A、扫描B、活动监测C、完整性检查D、种植疫苗标准答案:C题号:131题型:单选题内容:消息在发送前，用发送者的私钥加密消息内容和它的哈希(hash,或译作：杂选、摘要)值，能够保证：选项:A、消息的真实性和完整性B、消息的真实性和保密性C、消息的完整性和保密性D、保密性和防抵赖性标准答案:A题号:132题型:单选题内容:对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为：选项:A、回馈错误控制B、块求和校验C、转发

48、错误控制D、循环冗余校验标准答案:C题号:133题型:单选题内容:实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的?选项:A、审计要求B、口令C、识别控制D、验证控制标准答案:B题号:134题型:单选题内容:最有效的防病毒控制是:选项:A、在邮件服务器上扫描e-Mail附件B、使用无毒的、清洁的、正版的光盘恢复系统C、卸掉软盘驱动器D、附有每日更新病毒库功能的在线病毒扫描程序标准答案:D题号:135题型:单选题内容:拒绝服务攻击损害了下列哪一种信息安全的特性?选项:A、完整性B、可用性C、机密性D、可靠性标准答案:B题号:136题型:单选题内容:

49、下列哪一种情况会损害计算机安全政策的有效性？选项:A、发布安全政策时B、重新检查安全政策时C、测试安全政策时D、可以预测到违反安全政策的强制性措施时标准答案:D题号:137题型:单选题内容:组织的安全政策可以是广义的，也可以是狭义的，下面哪一条是属于广义的安全政策？选项:A、应急计划B、远程办法C、计算机安全程序D、电子邮件个人隐私标准答案:C题号:138题型:单选题内容:在传输模式中，使用封装的安全载荷（ESP,EncapsulatingSecurityPayload）协议比认证头（AH协议更有优势，原因是ESP选项:A、提供了无连接的完整性B、能验证资料来源C、带有防重放服务D、具备保密性

50、标准答案:D题号:139题型:单选题内容:在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证:选项:A、保护硬设备免受浪涌损害B、如果主电力被中断,系统的完整性也可以得到维护C、如果主电力被中断,可以提供实时的电力供应D、保护硬设备不受长期电力波动的影响标准答案:A题号:140题型:单选题内容:下面哪一种小程序（Applet）入侵类型会使组织面临系统运行中断的最大威胁？选项:A、在客户机上放置病毒程序B、能记录用户击键行为，收集口令的小程序C、从网下载的能读硬盘文件的代码D、可以从客机建立网络连接的小程序标准答案:D题号:141题型:单选题内容:虚拟专用网（VPN提供以下哪一种功

51、能？选项:A、对网络嗅探器隐藏信息B、强制实施安全政策C、检测到网络错误和用户对网络资源的滥用D、制定访问规则标准答案:A题号:142题型:单选题内容:基本的计算机安全需求不包括下列哪一条：选项:A、安全政策和标识B、绝对的保证和持续的保护C、身份鉴别和落实责任D、合理的保证和连续的保护标准答案:B题号:143题型:单选题内容:公共密钥体系（PKI）的某一组成要素的主要功能是管理证书生命周期，包括证书目录维护，证书废止列表维护和证书发布这个要素是：选项:A、证书机构（CAB、数字签名C、证书实践声明D、注册机构（RA）标准答案:D题号:144题型:单选题内容:非授权用户或外部人员（例如黑客）可

52、以通过公共电话拨入网络，不断地尝试系统代码、用户身份识别码和口令来获得对网络的访问权限。这种“暴力破解”的方法一般在什么情况下有效？选项:A、非授权用户在尝试一定数量的口令猜测后，会被系统自动断开B、使用常用字符和个人相关信息作为口令C、用户身份识别码和口令有各种大量的可能性组合D、所有登录企图被记录下来，并妥善保护标准答案:B题号:145题型:单选题内容:下面哪一种方法在保护系统免受非授权人员的访问时可以提供最高级安全？选项:A、加密B、电话回叫或拨号回叫系统C、含有个人身份识别码的磁卡D、用户身份别码和口令标准答案:A题号:146题型:单选题内容:为保证正常运行的计算机系统能被连续使用，用

53、户支持服务是很重要的，下面哪一种情况与用户支持服务比较接近？选项:A、事件处理能力B、配置管理C、存储介质控制D、系统备份标准答案:A题号:147题型:单选题内容:无线局域网比有线局域网在哪方面具有更大的风险？选项:A、伪装和修改/替换B、修改/替换和设备失窃C、窃听和伪装D、窃听和盗窃设备标准答案:B题号:148题型:单选题内容:对于一个独立的小型商业计算环境而言，下列哪一种安全控制措施是最有效的？选项:A、对计算机使用的监督B、对故障日志的每日检查C、计算机存储介质存话加锁的柜中D、应用系统设计的独立性检查标准答案:A题号:149题型:单选题内容:软件编程人员经常会生成一个直接进入程序的入

54、口，其目的是进行调试和（或）日后插入新的程序代码。这些入口点被称为：选项:A、逻辑炸弹B、蠕虫C、陷门D、特洛依木马标准答案:C题号:150题型:单选题内容:下面哪一种安全技术是鉴别用户身份的最好的方法？选项:A、智能卡B、生物测量技术C、挑战-响应令牌D、用户身份识别码和口令标准答案:B题号:151题型:单选题内容:对公司内部网络实施渗透测试时，如下哪一种方法可以确保网络上的测试人始终不被发觉？选项:A、使用现有的档服务器或域控制器的IP地址发起测试B、每扫描几分钟暂停一会儿，以避免达到或超过网络负载极限C、在没有人登陆的夜间实施扫描D、使多种扫描工具，多管齐下标准答案:B题号:152题型:单选题内容:哪一个最能保证来自互联网internet的交易事务的保密性？选项:A、数字签名B、数字加密标准(DES)C、虚拟专用网(VPN)D、公钥加密(PublicKeyencryption)标准答案:D题号:153题型:单选题内容:虚拟专用网(VPN的资料保密性，是通过什么实现的？选项:A、安全接口层(SSL，SecureSocketsLayer)B、网络隧道技术