2017年isaca cisa考试真题预测卷

2017年ISACACISA考试预测一个金融服务组织正在开发和撰写业务连续性措施。以下各项是IT审计师觉得最可能RTOs并没有考虑IT恢复的限制，比如人员或系统在恢复期间的依赖性断应急措施是否足够时。RTOs是基于保证组织生存的所必须的业务，而不是基于IT的性IT审计师在评估组织的软件开发过程中注意到，质量保证部门向项目管理层进行汇报。以下哪项是IT审计师觉得最重要的？为了与软件相关的影响响应时间的原因，审计师应该进行并以图形描述答案：A解释：A正确,进行检查软件处理数据是否正确。图形描述可以检查软件的逻下列哪个领域经常微型计算机迅速发展所带来的风险1、2、答案：D解释：1.正确,备份和恢复操作需要使用介质，随着微型计算机的迅速发展，不断有新的能力更强的介质出现例如从五寸软盘到三寸软盘到可擦写光盘的设备被淘汰，容易导致以前备份的数据无法在新微机中使用；2.不正确,会降低成本；3.不正确,更容易；4.正确,随着微型计算机的迅速发展，可用来连成网络，共享信息资源，存在安全的风险5.确,随着微型计算机的迅速发展需要大量软件存在法的风险。非的来说是最安全的？实施只允许的MAC地址进行实施2是根据IEEE802.11iAES2支持EAP协议和PSK认证模型。实施WEP可以在几分钟内被攻破。因为WEP在态密钥，将会带来更大的脆弱性。使用基于MAC的方式不是一个有效的解决方法，因为MAC可以被者获得从而网络。禁用广播式的是不能控制的答案：D答案：D解释：一个设计良好的管理信息系统数据库，可将文件之间的数据重复降低到最A．为和投标准备的定义需求和提交要求的流程。答案：BB开发出性审计计划答案：B解释：审计师的第一步是理解公司的业务重点，如果不能理解公司的业务愿景，在检查意外事件报告中，IT审计师发现有一次，一份留在雇员桌上的重要的文件被外的清洁工丢弃进了桶。以下哪项是IT审计师应该向管理层建议一份留在雇员桌面上的重要文档被意外清理可能会对业务产生严重的影响。因此，IT审计D选项：风险不在于数据的丢失，而在于数据的。所有备份策略的实施无法解决信息下列哪项工作角色混合引起行为发生的可能性最小A.系统分析员和员。答案：D解释：A,B,CC.可以识别高风险区域以供以后详细的。答案：A解释：连续审计可以改善系统的安全。审计师发现控制存在小弱点例如弱口令或者报告比较差审计师最恰当的行动是向管理层立即报告此类弱点答案：DC．提供给管理层一个工具来来流程是否健康并潜在的问题点。答案：CKPI匹配政策目标到的结构化方法答案：CI．来自信任源的代码。II．打开审计日志。III．没必要的服务被关掉。IV．缺省被修改。V．系统管理员相对于其要做的工作来说没有任何多余的权限I,II,andIII,IV,andI,III,andI,II,and答案：C审计日志没必要打开，它仅在于要监视某个进程时有效。系统管理员有极高的权以下哪项有效的控制可以加强数据库用户敏感数据时的可审计性采取双因子使用视图表来敏感数据样可以生成并保存包含用户、时间、交易类型等相关信息的日志。B和C只是保证对数据库的但无法解决可审计性的问题。D可以帮助更好的进行控制的管理，下面哪一项是IS审计师在进行PBX评估时要检查的？I．确信外部免费拨入号码的被关掉。II．确信语音邮件系统不会被线。III．确信端口的代码的缺省值已改变。IV．确信外部免费号码如900被严格限制。V．确信超额的使用被标记并进行舞弊。I,II,III,andIVII,III,andIVII,III,IV,andVI,II,III,IV,and答案：C除了I寻找没有批准流程的答案：D解释：如果IS审计师观察到不存在项目批准流程，他应该向管理层建议采取正式IS审计师计划审计一个通过个人计算机使用局域网的系统与使用大型机相比，C．数据处理的硬件使用故障所的问题。答案：C21答案：C解释：审计痕迹和其它日志用于补偿缺乏恰当的职责分离，审计痕迹的主要目的下列哪项在评价信息系略时最重要确保信息系略最大化目前和未来资源的效率和利用确保在所有信息系统中考虑确保信息系略支持公司愿景和目标答案：C解释：信息系略必须支持组织的业务目标。答案：C解释：生产环境和开发环境角色不应该共享，网络管理员可以在系统设计初期提在审计支付系统时，下列哪种方法提供最好的保证信息被正确地处理D.主管答案：CD.ISP雇员的背景。答案：A解释：外包商的服务水平协议SLA户管理人员来管理。B不正确，系统程序员操作系统。C不正确，数据录入员从事数据控制对设备的ⅠⅡⅡⅢⅠⅡⅢ答案：D解释：正确。定期轮换操作员人员和强制休假可以使其他人员有机会会成这项工C.验证组织的和IT服务的匹配。答案：C解释：平衡计分卡被用于匹配组织的和IT服务审计师为了审计公司的计划，以下哪项第一个检查答案：D项目者审计师不应该参与公司控制自我评估项目，因为他这样做可能会引起利益。答案：B解释：在控制自我评估项目中，审计师应该成为推动者，推动项目的进展。一个公司在开发流程时要做的第一步是升级控制软件为生物/令牌系统批准公司政策要求信息系统审计师做综合开发标准答案：B解释：第一步是开发政策，文档化并经管理层批准C.ITD.审计答案：A答案：D解释：公司在计划中涉及3到5年的行动下列哪项说明了企业架构enterprisearchitecture(EA)的目的？A.确保内部和外部一致。匹配组织的IT架构并且确保IT架构的设计匹配组织的确保IT投资和业务一致答案：D解释：EA是最佳实践，IT资产的计划，管理和扩展可以和业务一致答案：D解释：安全控制的测试和评估应该在系统开发时，系统运行前，并且可重现地以答案：B答案：C解释：IT确保IT支持组织目标。由高级管理层参加的IT将业务和IT结合。为了确保公司遵守隐私权要求，审计师应该首先C.法律和要求。答案：C解释：先知法，首先需要遵守的法律和要求限制对计算机设备的物理在雇佣IT人员以前做背景答案：B解释：交易日志和应用日志是检查性控制答案：C解释：确保在变更实施前第2个人和批准变更审计师在审计员工离职控制，以下哪项在中最重要答案：B解释：前雇员对信息系统的应该被立刻终止离职员工必须被允许从其计算机中个人文件答案：C解释：在从公司离职时员工对公司信息系统的应该立刻被终止答案：C解释：IT平衡计分卡的4个关键角度:部分用户拥有技术从打印缓存打印数据即使该用户没有被查看数部分用户拥有技术从打印缓存修改数据即使该用户没有被修改数部分用户拥有技术从打印缓存删除作业即使该用户没有被删除作答案：A解释：题目重点在控制的性。管理员的技术可以从打印缓存在审核配置时，审计师认为下列哪项是最大的脆弱性配置使用基于源地址和目的地址协议用户认证的允许或对系统/网络的规则配置在规则中最后使用“”选项 答案：C解释：操作系统缺省配置是风险。审计师寻求确保被有效率地使用以支持组织愿景和目标，保障信息的性、网络系统人员答案：D解释：计算机资源应该被仔细地匹配利用率需求和恰当的资源能力水平。能答案：C解释：能力成熟模型第3答案：C解释：配置管理审计应该验证软件是使用数据库“孤立参照”表示下列属性完整性Attributeintegrity参照完整性指示完整性Referentialintegrity。C.关系完整性Relationalintegrity。D.界面完整性Interfaceintegrity动态实时告警系统做网络答案：C辑上分割和基于OSI的第2层MAC寻址创建域？答案：D解释：交换机最适合分割网络为多个域答案：A在公司信息系统的应用中，面向对象的技术变得越来越重要，因为具有以下潜力答案：A解释：面向对象的开发技术利用对象的继承、重用、重构等特征，可以更快更可为了降低通过通讯线路来传送数据时带来的安全风险，应该应用合法用户才能系统；C不正确，回叫程序是用来保证拨入的呼叫来自的位置。答案：B解释：BPR的目的通过减少不必要的不走或者实施改善的技术以改善效率。BPR主机应该对上载数据实施与联机输入数据时同样的编辑和检查答案：C解释：C正确，主机对上载数据实施与联机输入数据时同样的编辑和检查能答案：B解释：B正确,网络监测软件并不参与应用系统内部的控制；A不正确,重要的财务和会计系统，如交易所的系统，相对于记录员工培训和技能的系统而言，答案：B解释：审计师使用不恰当的测试步骤并且得出重要性错误不存在，属于审计师的批地打印出。对生产数据最好的方法是：人员每天回答客户有关订货的生产情况。D.把恰当的职责分离的情况记录在案答案：B答案：A解释：原型法根据用户的需求和评估设计和修改，减少了设计错误，可在不花费在IS审计中，以下那项是审计师考虑最不重要的答案：B解释：在审核IS时，流程的审核不是重要的的第了系统答案：C解释：C正确,专家系统要通过获取人类专家在某一限定的知识领域的专门知识和验证程序的移动请求是经过的要求对程序、系统和代码进行平试程序员只能对测试库进行答案：D解释：D正确,将源代码重新编译到生产库中，编成新的执行代码，可以比较新老确,这是进行程序、系统和代码转换的控制；C不正确,这是程序安全控制，限制路径。使用PERT（项目评价和复核技术）时，如果一个活动的乐观时间是A，悲观时间是B，答案：C解释：答案C正确，PERT用来帮助经理控制大型复杂项目。PERT分析包括用概率6来估计分布的均值。答案：B解释：BA不正确，电子数据交换(EDI)可以为组织带来重大利益，但前提是必须清除某些。要想成功答案：A解释：A正确，实施EDI不能简单现有的作业流程，只有通过大力改进现有流计算机和其他破坏导致的风险答案：D解释：D正确,生命周期开发的可行性研究包括：（1）制定新系统的目标和逻辑模以下哪种关于电子邮件安全性的说法是正确的？I.电子邮件不可能比它依赖的计算机系统更安全。II.的电子邮件信息应该于邮件服务器中时间和纸质文件相同。只有I只有I和II只有I和III只有II和III答案：C解释：I正确，如果电子邮件依赖的计算机系统不安全，就可以通过系统工具获得为了确保收到的商品与采购上的商品一致，计算机系统应该将采购的所选字收到的商品进行匹安装程序日志系来自终端的答案：C解释：C正确,限制物理和逻辑的可以保证库的安全，防止在本地和通过终端进行的A不正确,安装一个对程序的日志系统可以发现理。D不正确。所有的终端是低效率的，而且也不能防止对程序库的物理答案：B解释：EDI自动运行（lights-out）答案：B解释：自动运行（lights-out）运维的主要目的是减少人员风险和环境风险，通过答案：C应用视图，查询权限，字段，数据表以及报表和查询结果的都要通过评估数据C．为了了解数据分类，数据定义必须进行。D．数据流和数据范式化过程会使改变数据表大小和事务映射变得。答案：C在检查安全包时，下面哪一项不被考虑作为一个设计？B．安全更新和补丁如何在安全包中进行？D．对产品进行充分时需要哪种支持工作？而B是日常的工作，不能作为设计的标准。答案：B只有BC.答案：A下面哪一项是评估硬件过程控制最有效的方法现场观察硬件并评估当前是否以及设备保持完好跟进建议的任务和计划安排，确定过程的执行以及完成的记录和定期实际的工作记录的。从供应商信息中确认要求的程序，这些过程都遵循IS组织的流程。D．查看问题日志，验证过程是否确定与行业平均水平相比较的平均失效时间。答案：BA现场只能看到当时的，而没有历史的信息。确信建设图纸的修改是保存在图纸的复印件。B．确信支持员工有相关知识并能执行必要的任务。答案：A除了A跟客户无关之外，都对提高用户满意度有帮助。数据和系统保管者，例如网络管理员和管理答案：AD．服务器对内需求答案：CA．所有的路由都被安全认证的方式控制。答案：D第二层的VLAN在一个的操作环境中，下面哪一个场景是期望看到的？C．磁带库管理员管理打印队列和为装纸，同时还负责启动异地的磁带备份。答案：ABCD都涉及角色。其中C在打印时有机会多打印重要文件。D．绩效得到和提升是基于清晰定义的目标答案：BAC只是，D是管理行为，B才是审计要检查的风险控制使用测试数据验证交易处理的最大是创建测试数据以覆盖所有可能的正常的和的情景与高速事务处理相关的数据答案：B解释：测试用例的设计是最大的在介质管理系统检查时，IS审计师没必要关心系 是否正确反映了介质所在的物理位置介质是否只能被的人介质在异地的中被正确的识别。D．系统是否适当的淘汰介质并以安全的方式提供回收。答案：B这是管理中最重要的概念。B．变更通过自动化工具来管理，防止人为。C．一旦变更失败，生产的备份被。答案：AA是变更控制的重点所在。B是可选的，CD是日常管理答案：D下列哪个问题管理系统的特征是ISI．所有的问题都被跟进直到产生结论。II．所有问题自动启动，这样确保正确的数据捉。III．上报流程确保问题不停留在不能解决的地方。IV．所有相关的IS操作区域有系统被检查来识别问题的来源。V．统计数据能被系统收集来辅助IS问题的分析。I,II,III,IV,andI,III,IV,andVII,III,IV,andVI,III,andV答案：BII答案：D服务提供者如何对待其他客户不是要审核的SLA在审计第服务提供商时，审计师应该关注程序和文件的所谨慎和在事件中提供连续性服务的能力答案：D解释：审计师应该关注A,B,CA．并试C．性能答案：C性能室对运行结果系统化的度量和评估。ABD处理的都不是响应时间公司用于侦察的电子数据交换EDI信息的控制是B．只允许的员工传送设备。答案：ABD无法侦察信息，C消除了EDI带来的好处。在使用电子结转（EFT）系统时，以下哪项风险较高的和活动。D．不适当的备份和恢复程序。答案：BACD是常见风险。答案：CHelpDesk非的数据察看使作业无法绕过处理答案：B遗漏处理会使磁带很容易数据库检D．有效的软件使用生物系统为操作系统设计表答案：CC一个项目经理在目标期限内无法实施所有的审计建议。IT通过在一个严格控制并限制对服务器进行的虚拟环境中执行程序，来检查该程序的程序具体逻辑路径的条件。A指的是联合测试（Sociabilitytesting）。B指的是黑盒测试。D则是沙盒测试的定义（Sandboxtesting）。在发起者和接收者之间使用使用PDF同时并行非的数据化不会引起死锁。对数据的是由用户权限定义和控制的。在IT恢复测试时，下列问题中哪个最应引起IS审计师的关A．支持业务目标的内部控制的所管理（managementownership）被强化过程中的信息性。IS审计师应该建议修改计划以包括调用业务恢复程序时所要求的水管理结构中的角色和责D．为影响业务连续性安排的变更管理流程当组织把客户信用审核系统外包给第服务供应商时，下列哪一项是IS审计师最B．同意接受外部安全建立一个审核部门（review建立一个安全单位（securityIS审计师正在审阅一个使用敏捷（Agile）软件开发方法的项目，以下那一项是IS审使用基于过程的成熟度模型如能力成熟度模型为优化组织的业务持续计划（BCP），IS审计师需要建议执行业务影响分析（BIA）为保证与组织业务相一致，业务流程恢复的优先级和顺在中能保证组织幸存而必须恢复的业务流下列哪项数据库控制能够在交易处理系统的数据库中保证交易的完整性鉴定控制读写日志控委托和反转控制（Commitmentandrollback?）在保护组织的IT系统时当网络被突破后以下哪项是系统防护的下一道防线个人C．侵入监测系统（Intrusiondetectionsystem(IDS)）（Harddisksarerenderedunreadablebyhole-punchingthroughtheplattersatspecificpositionsbeforeleavingtheorganization）B．限制开发者在特定时间范围内能生产环境数据所有者（dataowner）IT需求提出者的直接上级（requestor’simmediatesupervisor）以下哪条最好的支持了新ITIS审计师正在审阅一个基于软件的的配置。下列哪一项的设置最脆弱？该防火配置隐性否定规则（implicitdenyrule）作为虚拟网（）的端点实施检测系统（IPS）不当所带来的最大风险是由于IPS在IT组织内需要依赖特定的专家当一个关键文件服务器的增长没有被合理管理时，以下哪项是最大的风险服务器恢复工作不能满足恢复时间目标（RTO）为了在一个新的ERP项目实施中识别职责分离（SOD）不当的问题，以下哪项审计技审阅对象的复杂开发程序以识别中的IS审计师（IS(Database(Project(DataISC．分配和废止用户对IT资源的D．对数据和应用系统的C．每的资源的分配都是低效的，它们更适应合并前公司的系统D．包头(packetheaders)和追踪132、为了达到组织恢复的要求，备份时间间隔过A.服务水平目标B.C.D.A.B.C.D.对多种开发环境的支持。134、在审核网络设备的配置时，ITA.B.C.D.网络的子构件的使用是否适当。公司的IS政策相符。IT审计师应当：A.B.验证用户权限的设置是基于最小权限原则（need-to-have）C.建议修改公司的ISD.建议定期审阅被禁账号的活动日志。136、为降低网络(phishing)所带来的风险，最有效的控制为A.集中式系统B.在反软件中为网络添加数字签名C.公布在以太网中网络的政策D.对所有用户进行培训。信息系统审计师应该提出以下何种建议来保护在数据仓库的特殊敏感信息实施列等级与行等级通过强增强用户认将数据仓库构架成为subjectmatter-specific日志记录用户对数据仓库的在一次人力资源审计过程中，信息系统审计师发现在HR与IT部门之间就IT服务的信息系统管理部门目前正在考虑实施一个VoIP，并在关键之处升级的性创建一个单独的物理网络来处理VoIP重新定向所有的VoIP的传输以允许认证信息的明文记录信息系统审计师正在一个项目，该项目是在银行母公司与子公司之间实施一个支银行母公司作为服务提供信息系统审计师注意到某组织中使用的操作系统的补丁被IT部门如供应商所建议的一样部署，在此实践中信息系统审计师最重大的担心是IT没有注意到：拥有最高相等错误率的错误率（FRR）等于错误接受率错误率等于拒登率（FER即建档的比率）参与与公司相关的确定有活动发生某项目计划用18个月完成，此项目经理宣布项目处于一个健康的财务状态，因为在6在检查数字认证程序中，以下的哪个发现出了最严重的风险没有中心汇报密钥泄B废止列表不是数字中包含一个用于加密信息和鉴别数字签名的公从管理层那里寻找解148.审计师发现，对于产品收益，一个企业组织的财务部和市场部分别给出了不在所有报告发布到生产前使用Useracceptance对于告要求管理层签字一个审计师可以通过审核以下哪个来验证一个企业的业务持续性continuityplanBCP）最好业务情况下的BCP由人员和终端用户执行的业务持续性BCP相关活动的年财务成本和BCP计划实施后的预期收益对比系统拥有者(system系统使用者(system系统设计者(system系统建立者（systembuilders）犯规的根源。下列哪个是审计师应该最为合适的建议？收到原始签名的数字后，用户将使用来自下列哪里的公钥数字认证中库已建立IT恢复方案并定期执行的某中等规模企业，制定了一个业务持续计划。重新安排所有部门，包括IT对一系列预定义的涉及所有关键职员的场景进行穿对关键业务系统进行包括业务部门参与的IT恢复测对一个IT有限参与的场景进行功能测试下列哪一项最适合用来提高IT项目组合与企业优先级的一致性作为信息系统审计师，审阅IT规划时，应当关注已批准的IT企业在允许外部机构物理其信息处理设施(IPFs)前应该做什么？A．外部机构的操作应当由独立的IS审计师审计C．任何外部机构的应当被限制在区(DMZ)在（demilitarizedzone）服务器上运行FTP内部用户可以发送文件给未用FTP协议可以允许一个用户从未资源处文可以用FTP协议穿过FTP协议可以显著减少（demilitarizedzone）服务器的绩效。159需要将一个关键的系统时间恢复目标设置为0并且恢复点目标设置为1分钟。B.系统处理可以中断一分钟，但是受任何数据丢C.D.数据丢失和系统中断可以超过1分钟一个信息系统审计师应该认为把生产环境和系统的控制的给予使用数字签名的时候，电要应该有谁计算把它的帮助台活动外包了，一个信息系统审计师在审阅组织和开发商之间的合同和相关的服务水平协议（A）最应该关心的是：员工背景的文下面哪一项将最有效地提高-应答认证机制（challenge-responsebasedauthenticationsystem）的安全性？选用更健壮的算法生成字符串（challenge加强相关变更频增加认证字符串（authenticationstrings）的长度下面哪一项物理控制能有效减小骑肩行为（piggybacking）的风险生物门锁（Biometricdoor组合门锁（combinationdoor双道门（Deadman抽薹门锁（Boltingdoorlocks）增加不同部门的系统之间数据的频率，以确保及时更更改申请结构，以便把共同的数据于面向所有部门的共享数据库下面哪一项技术能最好地帮助IS每个产品的版本已被列由于证问题，列表不包括开源软提供非工作时间支持（Afterhourssupport）对控制方法进行详细描试图对互联网上的加密数据获得并收集信息的者会使用以下哪种IS审计师在主文件（ masterfile）中是否存在重复记录时，应该IS审计师发现，某天一个特定的时段，数据仓库的查询功能的（queryperformance）性能大幅下降，IS审计师应一下哪种相关控制？永久性表空间的分配（Permanenttable-space用户离线假脱机（UserSpool）日志的读写权限控制在一个售货终端系统（POS）时，以下哪项审计发现是最严重的POS系统中的记录为手工输入到会计应用程序没有使用光扫描仪扫读用来生成销售的条形在本地POS系统中的客户信息是未加密保存数据传输使用虚拟网络 ）隧审计网络的控记录列表的所有变化在进行IT系统的渗透性测试时，最应该关注下列哪种渗透性测试对有效的评估事件处理和响应的能力在收集的过程中，以下哪种行为（）最容易造成妥协(compromised)系统上的(compromised)一名曾参与过设计组织业务连续性计划的IT审计师被指派对这份BCP计划进行审计。这名IT审计师应该（）？在审计项目开始前，告知BCP团队可能存在的利益在审计项目开始前，告知管理层可能存在的利益作中，IT审计师最为关心是判断（）由于前后两个系统可能具有不同的数据库结构和字段定义，因此IT审计师主要关心的应该IT审计师发现，由于开发人员实施补丁更新，对一个新系统的用户验收测试正在反复的中断。那么IT审计师应该最好的建议是（）只对重要的版本补丁进试在对一个生产系统进行变更控制的审计中，IT审计师发现变更管理流程没有进行正常的文档记录，以及一些迁移程序出错。IT审计师下一步应该怎么做（）？通过对问题根源进行分析以获得确信的审计发经常性的更新以下哪部分内容对恢复计划DRP的有效性是至关重要的重要人员的服务器文组织的审计章程中，应该明确ITIT对ITIT审计功能的角色IT准。IT审计业务短期和长期的计划是审计管理层的职责。每个IT审计业务的目标和范围应主站点和恢复站点的配置和校正(configurationsand以下哪个用于衡量一个IT修补的安全的数最重要指标是每次安全事件带来的经济影响。B/C/D是对安全部门工作效能的衡量。但不公司制定了关于用户的类型的制度，以下那种是执行这一制度最有效的状态检测（Statefulinspection把它的广域网外包给了第服务商。在这种情况下，在对组织的BCPDRP进行审计时以下哪项任务是IT审计师主要要做的检查服务提供商的BCP流程是否与组织的BCP检查在SLA服务水平协议中是否包含赔偿协议，以防在发生时无法实现服务水检查组织在选择第服务商的方法和流检查第服务商员工的资质和背景以下哪项是最好的双因子用户方式需要用户PIN用户ID和虹膜和识需要用户PIN口令的业务部门对IT系统恢复性的协议进行了一次现场测试，测试中包括对一次四小时的压系统和IT在灾备地点能满足响应时间需求的应用连接使用应急系统的实际业务运行工作流以防止IS 任何明C．门卡的和权限管理由多个部门负责，导致不必要的新卡领用时间确保e-mail用于事故。一家医院中，医疗人员携带包含有健康数据的便携式电脑。这些便携电脑与从医院数据库传输数据过来的PC终端保持数据同步。以下哪项是最重要的？合理保护便携