（新版）CISA国际注册信息系统审计师认证备考试题库（600题）

PAGEPAGE1（新版）CISA国际注册信息系统审计师认证备考试题库（600题）一、单选题1.某一国际性企业准备发布一项全球的隐私政策，企业的信息系统审计师最大的担忧是什么？A、管理层不采纳该政策B、此政策与业务需求相沖突C、此政策与当地政策相沖突D、此政策与公司政策沖突答案：C2.信息系统审计师发现，为了提高性能将WEB应用程序的验证控制机制从服务器下迁至客户端，那么遭受以下哪一项攻击的风险最可能增加？A、暴力攻击（还是钓鱼攻击，忘记了）B、SQL注入C、拒绝服务攻击D、缓冲区溢出答案：B3.以下哪一项是公司转移IT风险的有效方式？A、购买保险（买保险是最常见的转移IT风险的手段）B、-C、-D、-答案：A4.电子链接异地备份能够降低以下哪一项风险？A、备份期问发生通讯故障B、运输过程中介质意外丢失C、存储介质容量不足D、备份不准确或不完整答案：B5.以下哪一项能够最大限度地减少长时问电源故障的影响？A、可排除B、冗余电源C、电源调控装置D、蓄电池组答案：B6.以下哪一种方法能将可重复使用的存储设备中的敏感数据有效删除？A、使用介质清除软件B、覆盖敏感数据C、格式化便携式设备D、消磁（使设备暴露于磁场中）答案：B7.评估与企业内点对点文件共享相关的风险时，以下哪一项应该是信息系统审计师最大的担忧？A、不是所有设备都运行了防病毒程序B、只有部分员工参加了安全意识培训C、企业没有有效的修补程序管理流程D、文件共享政策尚未进行过审查答案：B8.要有效地建立业IT结构体系，以下哪一项最为重要：A、仅在体系结构中包含关键系统B、企业支持标准化C、完善的数据转移政策D、与其他组织体系结构的对比答案：B9.下列哪项技术对项目管理有效？（项目管理有效性体现在）A、达到关键里程碑B、使计划与业务组合一致C、KPI绩效D、项目管理方法答案：C10.企业遭受了钓鱼攻击，某用户向攻击者泄露了自己账号的密码。以下哪一项措施能最有效地降低随后的攻击入侵的风险？A、教育用户B、反垃圾邮件筛选器C、加强密码D、定期进行渗透测试答案：D11.使用数字签名的主要原因A、机密性B、完整性C、可用性D、实效性答案：B12.企业正在将HR应用迁移到私有云中的基础设施即服务(laas)模型。谁主要负责所部警应程序操作系统的安全配置？A、云提供商B、操作系统供货商C、云提供商的外部审计师D、企业答案：D13.以下哪个可用于确定恢复顺序？A、BIAB、风险评估C、BCP测试结果D、DRP测试结果答案：A14.哪项是数字签名的特征：A、受接收方控制B、对消息而言是唯一的C、在数据变更后经过认证D、有可再生的哈希算法答案：B15.某IS审计师正在审查某会计系统的访问情況，并发现了职责分离问题；但业务规模小，没有额外的工人可供使用。在这种情况下，以下哪一项是建议的最佳补偿性控制？A、实施基于角色的访问B、审查审计轨迹C、执行定期访问审查D、审查错误日志答案：B16.与被审单位召开退出会议的主要目的？A、商讨下一步的整改措施B、就审计发现的问题与被审单位进行沟通了解C、确认还有哪些审计遗漏D、了解管理层对审计实施的过程评价答案：B17.在评估潜在的企业资源规划(ERP)实施供应商时，信息系统审计师应首先建议执行以下哪一项？A、调查供应商的财务历史B、检查供应商的客户参考C、制定供应商响应计分卡D、审查供应商过去的实施项目答案：D18.组织鼓励员工因为工作目的而使用社交平台，以下哪一项能最好防止数据泄露？A、员工签署政策要求确认和保密协议B、对敏感数据实施强有力的控制C、对员工使用社交网站的活动实施监控D、提供社交平合使用的相关培训和指导答案：B19.审计师提交了报告和整改建议后，大多数部门的负责人都没有进行整改，IS审计师应该：A、评估未进行整改的影响B、重新验证审计发现C、报告高级管理层答案：C20.回归测试的概念：在更改系统中某个程序的功能之后，需要对系统进行回归测试，其目的是：A、所作的更改是否对系统产生了负面影响。B、更改后的程序是否按照新的程序设计运行。C、更改后的程序是否按照用户要求的更改来运行。D、效率效能相关的选项（可排除）答案：A21.在对供应商管理数据库审计期间，信息系统审计师辨认出多个供应商重复记录。基此，信息系统审计师应向管理层建议：A、对关键字段的唯一数据值执行系统验证检查B、向高级管理层中请查所有新供应商的详细信息C、在供应商建档流程中职责分离D、定期审核对完整的供应商列表，以识别重复内容答案：A22.哪一项可确保新建设的数据仓库满足公司需求？A、通过其对公司影响的重要性程度来处理数据质量B、将数据需求整合到系统开发生命周期C、委派数据管理员实施数据洽理D、促进与管理层的有效沟通答案：B23.在制定业务持续性计划时，业务单位管理层的参与在以下工作过程中最为重要？A、制定业务恢复程序B、实施文档库C、进行业务影呴分析D、执行IT风险评估答案：C24.发生灾难时，什么是确保组织备份介质充分备份的最佳方案？A、定期在测试环境中恢复生产系统B、有计划的备份设备维护C、定期审查备份日志，以确保生产环境中的所有数据得到备份D、有计划的备份介质读取/写入测试答案：C25.公司实施三单（订单、货物单据和发票）自动匹配的目的是控制以下哪种风险？A、系统处理无效付款B、未给子客户折扣C、订单延迟处理D、多次支付一项合法交易答案：D26.引用其他审计师的工作报告时，信息系统审计师应做到A、考虑该工作报告的适当性和充足性B、忘记了（可排除）C、较少依赖其他审计师的工作成果D、考虑该工作报告的时效性答案：A27.信息系统审计师在中查装組织在各全少含地点之间传输敏感数据的方法。以下哪一项会引起审计师最大的担心？此方法完全依赖于使用：A、数字签名。B、非对称加密算法。C、对称加密算法。D、公共密钥基础结构。答案：A28.以下哪一项最使信息系统审计师向管理层表明实施后分析是有效的？A、吸取的经验教训已记录存档并加以应用B、业务和IT相关人员都参加到实施后分析中C、完成了后续审计，且没有发现任何问题D、实施后分析是系统开发生命周期（SDLC)中的一个正式阶段答案：A29.审计委员会已经完成审计日程表，审计师团队已经对项目进行部分审计，执行层提出对新项目进行审计，审计师团队没有足够的资源进行额外审计，可选择方式进行：A、申请修改审计日程B、拒绝C、申请把当前审计计划安排到下一期开展D、批准加班，把工作完成答案：A30.信息系统审计师使用端口扫描软件来：A、建立通讯连接B、检测入侵行为C、检测开放服务D、确保所有端口在使用中答案：C31.风险评估结果需要更新主要是由于（)？A、遵从政策的要求B、应对数据的变化C、应对IT环境的变化D、业务部门的需求答案：C32.在制定新的风险管理计划时，一定要考虑以下哪种因素？（新题）A、风险偏好B、合规性措施C、风险缓解技术D、资源利用答案：A33.在电子商务中使用的典型网络体系结构中，负载平衡器通常位于下面哪两个项目之间：A、数据库和外部网关B、用户和外部网关C、路由器和web服务器D、邮件服务器和邮件库答案：C34.对员工进行了安全培训教育，以下哪种方式证明了培训的有效性？A、安全事故的上报数量增加B、参加安全意识培训人员的百分比变多答案：A35.以下哪一项IT服务管理活动最有可能助确定恢复出现的网络延时的根本原因？A、事故管理B、配罝管理C、变更管理D、问题管理答案：D36.以下哪项用以管理供应商支持的软件状态为最新？A、版本管理B、变更管理C、软件资产管理D、补丁管理答案：D37.企业购买第三方开发的软件，哪一项最重要？A、知识产权B、审计权限C、第三方协议答案：A38.当确定审计日志的数据保留期时，最基本的因素是什么？A、计算机取证的原则B、审计标准C、风险控制要求D、法律法规要求答案：D39.对关键IT基础架构上进行漏洞扫描时，哪项最重要？A、在非高峰时间执行B、不会降低系统性能C、扫描后再进行渗透测试D、扫描成本效益答案：A40.存在欺诈嫌疑的员工被辞退/离职，信息安全人员最重要的应该做的是什么？A、禁止该员工的系统访问权限B、审查之前该员工批准的交易C、人员陪同下离开工作场所D、给员工电脑做备份答案：A41.企业在考虑更换其电商平台。以下哪一项是最好的启动方式？A、发布RRI信息请求书B、发布RFP建议书C、发布采购订单申请D、报价请求答案：B42.审计师发现系统存在很多多余生产系统权限没有及时清除，审计师应该建议？A、人力资源系统在员工离职后自动触发删除员工权限B、业务部门定期审阅并申请删除多余的访问权限C、系统管理员应确保权限分配的一致性D、IT安全部门管理员定期删除多余的权限答案：B43.在生产运行环境中更改程序，最重要的是得到谁的批准？A、用户部门负责人B、信息系统管理层C、安全管理员D、项目经理答案：A44.审计第三方供应商的关键绩效指标KPI时，审计师最大的担忧是？A、KPI没有文档记录B、KPI指标没有明确定义C、KPI从未更新D、KPI数据没有加以分析答案：B45.确定审计发现的改进时间表，根据什么确定：A、业务部门的整改时间B、管理层决定的时间C、监管部门的检查时间答案：A46.以下哪项使用回归测试：A、单元测试B、系统修改C、程序开发D、压力测试答案：B解析：uat测试数据可以用来做系统测试，不需要删除47.信息系统审计师在在制定审计计划时，应首先执行以下哪一项活动？A、确定风险优先顺序B、审查以前的审计报告C、确定审计范围D、分配审计资源答案：A48.数据库中的订单数量不断增多，审计师应建议：A、归档B、增加索引C、删除历史订单D、增加物理存储答案：B49.确定配置应用程序的内部安全控制是否符合组织安全标准的最佳测试是哪个？A、安全报告的可用性和频率B、业务应用程序的安全参数设置C、IDS的日志D、应用程序的用户账户和密码答案：B50.被审计方已告知信息系统审计师，资金没有按照审计报告中商定的建议进行安排，且没有预计的解决时间计划，审计师应对此情况应采取什么方法？A、在无法实施完整解决方案的情况下评估风险B、关闭该审计发现并记录被审计方的解释C、获得内部审计批准，并把审计发现从报告中删除D、建议增加预算答案：A51.在审计IT管理时，审计师最担心见到一下情况A、IT战略计划需要的经费没有经过审批B、IT战略计划来源于互联网最新趋势C、上一年IT战略计划没有实现D、IT战略计划停留在技术架构层面。答案：B52.下面哪一项是最佳的数据完整性检查？A、将数据追溯至源点B、计算每天处理的交易量C、准备和运行测试数据D、执行连续性检查答案：A53.为了解决电源长时间断电问题，最好的方法是A、电源调节器B、备用电池C、冗余电力D、UPS答案：C54.以下哪项能够体现企业采用了适当的控制A、发布相关政策B、发布IT战略C、定期风险分析并开会探讨D、可排除答案：C55.证明IT与业务时间保持一致的最佳证据是：A、IT项目由技术审查委员会正式审查是否符合IT标准B、企业的业务目标与行业标准保持一致C、IT企业每年都成功减少了IT运营支出D、建立了正式流程，用于对IT项目进行优先排序以实现业务目标答案：D56.在完成信息系统审计后，IS审计师应向利益相关者说明以下哪种风险？A、固有风险B、审计风险C、检测风险D、残余风险答案：D57.公司应该采取以下哪一项措施来估计灾难的影响？A、分析功能成熟度模型差距B、开展业务影响分析(BIA）C、模拟灾难恢复D、定义恢复点目标(RPO）答案：B58.在对应用程序进行实施后审查时，以下哪一项应测试的主要聚焦重点？A、确保将企业标准用作实施过程的一部B、确保已完成系统和集成测试，并取得系统所有者的签字确认C、确保验收测试符合利益相关者的同意和认可，并落实到实施计划D、确保应用程序在生产环境中处于活动状态，并且可以从最终用户设备访问到答案：A59.人在制定新的风险管理计划时，一定要考虑以下哪种因素？A、资源利用率B、合规性措施C、风险缓解技术D、风险偏好答案：D60.以下哪一项最能有效减少系统转换期间的停机时问？A、实验研究B、直接切换C、分阶段方法D、并行运行（平行运行）答案：D61.非诚信员工被公司解雇后，未收回手机最大的风险是什么A、访问公司网络B、泄露客户联系方式C、资产清单不完整D、财产损失答案：B62.数据中心在签署热备援中心(Hotsite)合同之前，最要确认的是？A、多个公司发生灾难时，与中心员工协调(用户同时出现故障用户间互相协调能力）B、多个公司发生灾难时，数据中心是否可用(用户同时出现故障的应对处理能力）C、与其他组织签互惠协议D、进行全面测试答案：B63.如何最大地降低清除交易的新进程对数据库完整性的不利影响？A、数据库结构B、实体entity关系图C、测试环境中的进程结果D、触发器设计答案：D64.在审计防火墙配置时，信息系统审计师发现防火墙已集成到一个新系统中，该系统同时提供防火墙和入侵检测功能。信息系统审计师应该：A、评估当前工作人员是否能够支持新系统。B、认为跟进审计不必要，因为不再使用防火墙。C、评估集成系统是否解决已识别的风险。D、审查新系统与现有网络控制的兼容性。答案：C65.供应商提供SLA服务中规定保护备份介质完整。在审查各份介质时，发现有一份备份介质丢失，下一步审计师应该建议执行什么：A、建议审查供应商合同B、建议评估丢失介质中的数据C、通知高级管理层D、将此问题发现纳入在审计报告中答案：B66.审计师发现数据库配置管理系统有个安全漏洞，他接下来怎么做？A、报告高级管理层B、评估是否有补偿性控制C、报告审计委员会D、尝试利用漏洞答案：B67.为防止未授权的变更被移入生产环境，最有效方式是以下哪一项？A、彻底测算测试环境中的变更B、强制在开发人员和迁移者之间进行职责分高C、需要业务流程所有者批准变更D、定期审查变更请求，以确保所有变更文件记录在附件中答案：B68.如下哪个是进行业务影响分析的最好方法？A、对主要业务相关者发布调查问卷B、和主要业务相关者进行面谈C、与IT管理人员进行面谈D、咨询相关专家答案：B69.以下哪项最能确保信息资产的机密性？A、按照“按需分配”的访问控制原则B、采用双因素身份认证控制C、人员安全意识培训D、为所有用户配置只读权限答案：A70.哪一项可以证明IT内部控制环境的成熟度水平最高？A、控制的运作取决于员工的意识B、在管理层的要求下评估IT操作效率C、使用正式记录的控制流程并定期实施评估D、充分记录控制并及时发现控制异常答案：C71.在审查数据防护时，信息系统审计师最应关注：A、分类结构未发布B、密码未定期更改C、分类数据未加密D、数据未正确分类答案：D72.在数据库系统中，正规化的用途是？A、消除死锁B、减少数据冗余。C、缩短数据访问时间。D、使数据标准化。答案：B73.某公司将信息系统功能外包出去。要满足灾难恢复的需要，该公司应该：A、将灾难恢复的评估工作委托给内部审计部门B、将灾难恢复的评估工作委托给第三方C、停止灾难恢复计划的维护工作D、与外包供应商协调灾难恢复管理措施答案：D74.审计师最应和组织中的什么角色来确认应用系统的业务需求和目标？A、用户管理部门B、高级管理层C、项目管理部门D、项目发起人答案：D75.审计师发现远于在,上班时间经常使用社交软件导致浪费了很多时间，审计师应该建议：A、实施在上班时间可用的社交软件的政策（制定政策限制社交网络的使用）B、实施主动监控在社交软件上发帖的控制C、制定防止数据泄漏的措施答案：A76.对预算有限的公司，解决内部职责分离问题的最合适的措施是：A、定期实施轮岗B、招募临时员工C、进行独立审计D、实施补偿性控制答案：D77.执行备份的做法反映了哪一种类型的内部控制？A、预防B、检测C、改正性D、补偿答案：C78.要审查IT目标服务业务目标的最好体现是：A、KPIB、业务案例C、ITBSC答案：C79.电子支票（改成EFT）相对于手写支票，最大的优势在手A、提高效率B、降低未授权的风险C、节约人工成本D、可以统一设定传输标准。答案：B80.以下哪个事项百分比很高就说明IT部分的工作做的好？A、事件发生立即解决的百分比B、用户对IT工作满意的百分比C、利益相关者对IT项目范围的满意度答案：B81.订单系统没有连续分配请求订单，管理层做出更改，以下哪一项可以证明该措施实施了？A、获得管理层系统中的采购订单B、审查系统的订单连续性配置及相关日志C、管理层确认已经做出更改答案：B82.企业开展业务所在地区的隐私法变更后，信息系统审计师应采取生命行动？A、设计补偿控制以符合新的隐私法B、对企业的隐私程序提供更新建议C、使用当前的隐私程序执行差距分析D、将隐私法的变更传达给法律部门答案：C83.以下哪一种是检测型控制？A、输入格式验证B、进行恢复程序C、密码控制D、散列验证答案：D84.要实施IT治理框架，董事会需要做到？A、解决IT技术问题B、成立IT战略委员会C、审批IT战略D、了解所有IT项目发展答案：B85.以下哪一项控制最能防止互联网噢探器（Internetsniffer）进行重放攻击(replayattack):A、数据包过滤路由器B、带时间戳的数据加密技木C、正确配置的防火墙D、数字签名技木答案：B86.审计师最担心的是修补程序管理流程中出现什么情况？A、修补时间比原计划长B、某些系统的修补程序采用手动安装C、每三个月执行一次修补程序D、修补程序需要回滚答案：C87.以下哪项最能支持组织减少拒绝服务（DoS)，攻击对在线支付应用程序的影响？A、加固设备参数B、部署入侵检测系统（IDS)C、建立特定场景的灾难恢复程序D、对网络用户进行安全意识培训答案：C88.从Internet连接到企业的局域网时，防止未经授权访问的最佳建议是利用A、代理服务器B、VPNC、加密D、虚拟化服务器答案：B89.企业已经制定了成熟风险管理实践，审计师利用风险管理成熟度最有效的方式是什么？A、促进识别审计风险和评估研讨会B、整合风险登记表用于进行审计计划C、向管理层提供有关风险的保证D、实施风险响应流程答案：B90.跟进上一年审计报告的主要原因是确定：A、控制环境是否出现重大变化。B、是否解决了已确定的控制弱点问题。C、上一年推荐的行动方案是否变得毫无相关性。D、固有风险是否发生变化。答案：A91.以下哪一项是执行风险评估的主要原因？A、符合监管要求B、帮助分配预算用于风险缓解控制C、确保与业务影响分析(BIA)保持一致D、确定当前的风险概况答案：D92.以下哪项最能防止数据孤立A、表索引B、输入验证检查C、参考完整性D、表划分答案：C93.2022年4月题目为：审计师如何评估公司员工安全意识充分性？A、就安全职责访谈员工B、观察员工在安全方面的行为C、进行安全意识调查问卷D、确认公司的安全意识计划答案：B解析：（答案同样为B，观察比访谈更客观）94.容量管理的目标是确保：A、充分地利用可用资源。B、可排除。C、有效地使用组织的资源。D、将新资源分配给新应用程序。答案：A95.关于数据库锁定的记录的目的是什么？（DBMS的记录锁定Recordingoption能够？）A、数据管理员防止数据被删除B、防止记录的同时输入C、指定文件不让其他人员访问答案：B96.在进行IT风险评估时，应首先执行以下哪一个步聚？A、评估现行控制B、评估漏洞C、识别潜在的威胁D、识别要保护的资产答案：D97.以下哪项是检查性控制？A、输错了3次密码，就锁定该账户IDB、建立整个系统的灾难恢复计划C、审查特权用户的登陆日志D、要求用户通过电子邮件系统请求额外的访问答案：C98.源代码库应该设计用于：。A、提供自动整合并分发修改后的代码。B、防止对现有代码进行变更。C、为现有代码提供安全的版本管理和备份功能。D、防止开发者访问安全源代码。答案：C99.哪项风险对抽样方法的选择影响最大？A、固有风险B、残余风险C、检测风险D、控制风险答案：D100.抽样方法受以下哪种风险的影响？A、控制风险B、固有风险C、审计风险D、检测风险答案：A解析：lieaven说题：在确定固有风险后，审计师对控制风险进行评估，从而确定抽样方法和具体的测试方法。检测风险是指审计人员经过实质性测试仍未发现管理层认定中的重大失实陈述的风险，检测风险由抽样风险和非抽样风险组成。检测风险将直接响应审计风险。101.对于问题的整改，公司并未按先前商定的程序去按时跟进，且高级管理层已接受相关风险，如果审计师不同意管理层的决定，最佳的处理方式是？A、将问题报告给首席审计执行官，寻求解决方法B、在审计范围内重新执行审计，但仅涵盖具有可接受风险的领域C、既然高级管理层已经接受风险，不需要任何行动D、建议新的纠正行动以缓释可接受的风险答案：A102.以下哪一个角色的支持对信息安全洽理的影响最大？A、信息安全指导委员会B、董事会C、首席信息安全官D、首席信息官答案：B103.信息系统审计师应该会在下列哪一个SDLC阶段，发现控制措施已集成到系统规范中？A、实施B、设计C、开发D、可行性研究答案：B104.为使信息系统审计师更好地从发现和结论中做出判断，审计证据应符合以下哪些要求？A、采集、经过检查并且受到保护B、符合法律法规要求C、被认为是充分的人可靠的和相关的D、符合监管要求答案：C105.在提交审计报告前，审计经理发现由于错误的收集了审计证据导致可能审计结论不正确，该风险属于什么风险？A、固有风险B、操作风险C、审计风险D、控制风险答案：C106.哪一项是进行IT控制环境基准测试的主要目标？A、确保IT战略与业务战略的一致性B、确保IT安全战略和政策有效C、定义流程和控制所有权D、检测控制偏差答案：D107.在选择和部署使用面部识别软件的生物特征识别系统前，必须完成以下哪一项？A、图像干扰审查B、错误的验收测试C、隐私影响分析D、漏洞评估答案：C108.规划审计时。对重要性进行评估的作用是：A、可排除小错误的累计效应B、帮助审计集中在关键领域C、在审计测试完成时告知审计师D、集中于财务方面的项目答案：B109.新系统的实施是通过自行实施还是买用外包模式实施需要明知的决策，这应该实在哪个环节中考虑的？A、业务案例B、可行性分析答案：B110.在一个电压忽高忽低的场景下，需要哪种设备保护系统A、UPSB、冗余电力（发电机）C、稳压器D、电源线调节器答案：C111.质量保证团队正在测试新的电子票务应用程序，以下哪一项是最大的问题？A、项目经理希望推迟几天实施B、管理电子票务应用程序的用户管理流程还没完成设计C、税表不会上传到生产数据库中D、没有明确定义执行测试的用户验收标准答案：D112.审查公司IT战略与IT计划的一致性，信息系统审计师发现哪项最重要A、未分发业务战略会议纪要B、IT未参与业务战略的制定C、IT战略计划的文档不足D、根据业务制定的IT战略所导出的IT项目的成果物答案：B113.电力暂时增高减少的情况时应选择哪个设备？（选项中没有稳压器）A、冗余电力B、UPSC、备用发电机D、关闭电源紧急开关答案：B114.信息系统审计师怀疑公司拥有的计算机可能涉及参与非法交易活动，审计师应采取的最佳方式是什么？A、向审计管理部门上报其担忧B、隔离并保存备份C、通知执法部门D、在计算机上安装监控工具答案：A115.哪一项是审计师对于帮助企业提高资源效率的最佳建议？A、实时备份B、可排除C、硬件升级D、虚拟化答案：D116.什么影响DRP？(信息系统审计师检查恢复策略的充分性主要检查下列哪个因素？）A、BIAB、RTOC、RPO答案：A117.开发团队每天都将包含个人信息的数据同步到测试环境，需要获得谁的授权A、数据所有者B、个人信息主体C、信息安全经理D、系统管理员答案：A118.为驱动问责制以实现在IT项目利益实现计划中的预期结果，应采取以下哪项措施？A、确保项目经理拥有正式的权限来管理利益实现计划B、确保IT部门对收益实现计划各个方面的交付和跟踪负责C、记录该项目与同一计划中其他项目时间的相依性D、为计划中每个已识别的利益分配职责、措施和时间表答案：D119.针对web应用程序中的安全漏洞以获得对数据集的访问权限的攻击方式是：A、RootkitB、拒绝服务(DoS)C、SOL注入D、网络钓鱼(phishing)攻击答案：C120.提交了审计报告，部门未整改，应该？A、报告管理层B、评估影响C、重新验证审计发现答案：A121.信息系统审计师在上线之前审查新系统的项目计划时，注意到项目团队尚未记录恢复计划。以下哪一项是这一情况下最佳的系统上线方法？A、均衡负载B、（明显不对，可排除）C、立即切换D、并行切换答案：D122.系统检查工作人员的信息代码是“退休”还是“在职”，这是哪种类型的检查？A、有效性检查B、完整性检查C、存在性检查D、可排除答案：A123.信息系统审计师发现数据库管理系统维护后未重新启动审计日志，以下哪一项是最大的问题？A、将不能记录数据库管理员所作的更改操作B、将不能优化数据库的触发器和指针C、将不能记录应用程序用户所作的更改操作D、将妨碍数据库优化答案：A124.以下哪项可以提供逻辑访问控制，以禁止更新或删除关系数据库(relationaldatabase)中的业务信息？A、触发器B、视图C、关联数据D、可排除答案：B125.下列哪项数据分布式系统中的检查性策略？A、审查特权用户日志B、输入密码错误三次后锁定C、对电子邮件申请额外的加密请求D、建立BCP答案：A126.公司要将保密数据给到下游应用系统，最能保证安全性的是？（金融机构需要向下属分公司传输机密性的数据，最佳做法是？）A、SFTP（安全文件传输协议）B、带时间截的文件头C、SNMP（简单网络管理协议）D、SNTP（简单网络数据协议）E、安全外壳SSH（远程登录和其他网络上用户层网络层协议）F、使用静态密钥双向加密答案：A127.在审计射频识别技术（RFID）时，最应该注意什么？A、可扩展性B、不可否认性C、隐私D、可维护性答案：C128.以下哪项是检测重复付款最有效的方法？A、加密和解密信息摘要B、评估付款历史的合理性和审批情况C、查看每个交易的序列号和时间戳D、使用加密哈希算法答案：C129.哪一项能最有效地防止旧硬盘的数据泄露？A、重复写（覆写）B、物理破坏C、低级格式化D、消磁答案：B130.在制定项目风险登记表时：以下哪项是最重要的行动？A、进行walkthrough穿行测试B、为已识别的风险分配风险所有权C、确定风险评分标准D、制定风险行动计划答案：B131.信息系统审计师正在审查外包客户服务部门的服务管理。以下哪一项最能表明服务提供商执行此职能的效能？A、有效通话次数B、客户满意度评级C、工单平均时长D、通话记录审查答案：B132.公司将其应用程序迁移到私有云中的IaaS平台。谁将负费所部署应用程序所在操作系统的安全配置？A、云提供商B、操作系统供货商C、公司D、可排除答案：C133.项目开发阶段，新增加了一个功能点，以下哪项影响最大？A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A134.以下哪一项是使用能力成熟度模型的最大优势？A、绩效改进相关的描述（可以排除）B、帮助企业开发一个向其期望的成熟度级别发展的路线图C、提供了与类似企业的成熟度级别进行对标的方式D、帮助企业评估多久才能在每个领域达到最高的成熟度级别答案：B135.在审查DRP时，最需要注意的事项是哪个？A、没有规定宣布灾难的职责B、CIO没有批准与签署DRP计划C、没有将DRP文件备份储存在异地安全的地方D、DRP恢复步骤不详细答案：A136.下列哪项会使IT战略与业务目标不一致：A、CIO没有参与董事会会议B、新的业务流程实施中IT预算不足C、CIO制定IT战略D、业务战略规划没有信息安全的参与答案：A137.企业开发系统有4个模块，最后一个涉及将数据更新至数据库中，信息系统审计师应检查什么A、实体关系图B、配置数据库管理C、变更管理D、数据流图答案：D138.IDS能检测什么类型的攻击？A、系统扫描B、垃圾邮箱C、欺骗D、逻辑炸弹答案：A139.信息系统审计师提交审计报告和整改建议后，公司更换了管理层，新上任的管理人员对之前的整改建议拒不执行，以下哪种是最佳执行选择：A、报告给审计经理B、报告给审计委员会主席C、重新进行测试D、终结审计问题答案：A140.审计师关注UAT测试的重点是？A、已完成应用程序接口测试B、已完成系统集成测试C、业务流程所有者签字确认测试结果。答案：C141.信息系统审计师提交审计报告和整改建议后，公司更换了管理层，新上任的管理人员对之前的整改建议拒不执行，以下哪种是最佳执行选择：A、报告给审计经理B、重新进行测试C、终结审计问题D、报告给审计委员会主席答案：A142.发生灾难时，什么是确保组织备份介质有效性的最佳方案？A、定期在测试环境中恢复生产系统B、有计划的备份设备维护C、定期审查备份日志，以确保生产环境中的所有数据得到备份D、有计划的备份介质读取/写入测试答案：D143.审计师作为开发小组成员，该小组正在采购软件。以下哪一项有损该审计独立性？A、鉴证供应商选择流程B、批准供应商选择方法C、验证每项选择标准的权重D、可排除答案：B144.项目实施后一个月，审查中采用调查问卷的方式，哪项影响最大A、一个月之后才发问卷B、问卷没有开放性回答C、没有把结果报告管理层D、用户对调查问卷参与不积极答案：C145.以下哪一项是系统交更回退计划的主要目的？A、确保系统变更有效B、确保在实施变更之前存在备份C、确保在需要时可以重新执行测试D、确保存在必要时刪除变更的步骤答案：D146.数据匿名化可以防止大数据环境中哪类攻击？A、相关性correlationB、拒绝服务DDOSC、中间人攻击D、欺骗答案：A147.当企业实施安全信息和事件管理(SIEM)系统时，建立了哪一种控制类型？A、检测性B、改正性C、指导性D、预防性答案：A解析：SIEM，全称为安全信息与事件管理，是一种企业级的安全管理解决方案。它通过收集和分析来自各种不同来源的安全事件数据，来识别、预防和响应网络安全威胁。在数据整合之后，SIEM系统会对数据进行分析，以便发现任何异常或可疑的模式。最后，如果SIEM系统检测到可能的安全威胁，它会发出警报，通知管理员进行进一步的调查和响应。148.以下哪项会通过将自身追加到文件中来防御病毒？A、行为拦截程序B、循环冗余校验(CRC)C、免疫程序D、主动监控程序答案：C149.客户可以通过internet直接访问一个web应用系统（客户关系管理系统）。以下哪一项是审计师最担心的？A、系统部署在企业内部网段中B、系统托管在第三方服务商的混合云平台中C、系统部署在公司网络的DMZ区中D、系统托管在第三方供应商的服务器上答案：B150.评估云环境下的应用程序的控制措施时，审计师最应关注以下那项？A、云环境下系统的可用性B、系统所支持的业务流程C、正在接受审计的业务领域的相关政策和程序D、系统结构和云环境答案：B151.基于风险的审计方法其主要好处是：A、识别关键控制措施B、缩小审计范围C、确定审计资源的优先级D、了解业务流程。答案：C152.可以驻留在WEB服务器上的功能？A、监控的主机数量B、流量分析C、发送接受警告D、启动关闭服务器答案：B153.为了解决审计发现，以下哪一项是信息系统审计师的角色？A、解释审计发现并提供一般建议B、提供整改方案并协助管理层实施C、设计信息系统架构答案：A154.审计师对团队进行特定项目通过特定控制进行审计时，对于出现频率较低的关键控制，以不哪种抽样方式能发现欺诈行为有所帮助？A、停走抽样B、发现抽样C、货币单位抽样D、随机抽样答案：B155.企业开发人员每日将PIT生产环境数据导入测试环境，关于数据隐私防护角度哪种最能降低风险？A、高级管理层同意并签字B、数据加密C、数据清洗D、数据所有者的签字授权答案：B解析：数据清洗是数据分祈领域的概念，为对数据进行整理（如删除异常值等），与数据脱敏是完全不同的概念。156.企业正在进行购买硬件以支持新web服务器的可行性研究，遗漏下列哪一项将带来最大影响？A、潜在供商的声誉B、潜在供应商的财务稳定性C、所需硬件的备选方案D、产品的成本效益分析答案：D157.下面哪一项措施是防止非授权登录最可靠的方法？A、加强现有的安全策略B、发放身份令牌C、限制在下班后使用计算机D、安全自动密码生成器答案：B158.雇员有意或无意将敏感信息通过邮件发送到外部，在实施邮件控制措施之前，首先最重要的是要做什么？A、安装程序监测邮件内容和雇员活动B、实施数据分类C、与雇员签署保密协议D、对邮件服务器进行加固答案：B159.白箱测试方法适用于以下哪项测试程序？A、并行测试B、社交测试C、用户验收测试D、集成测试答案：D160.在信息安全审计时，信息系统审计师得由外部咨询顾问执行了一项安全审查，对审计师来说，下面哪项是最重要的？A、审查咨询顾问提交的类似报告B、重新执行安全审查C、评定咨询顾问的客观性和胜任能力D、接受咨询顾问的发现和结论答案：C161.为减轻API查询公开数据的风险，以下哪项考虑因素最重要？A、数据完整性B、数据质量C、数据最小化D、数据保留答案：C162.在制定数据保留政策(dataretentionpolicy)时，首要考虑的是：A、设计基础设施存储战略B、识别法律和合同规定的数据保留期C、确定数据的安全访问权限D、根据保留期确定备份周期答案：B163.包含敏感信息的EUC存在哪项最大的风险A、数据未被保护B、系统未被包含进库存C、没有审计日志D、安全授权不可用答案：A164.IT审计师审查了为系统实施所做的审计工作，并确定导致重大问题的弱点不在审计范围内。这很有可能是在审计计划时哪一种类型的审计风险最可能被忽略？A、抽样风险B、检测风险C、固有风险D、控制凤险答案：C165.以下哪一项对防止未经授权访问最有效？A、数据中心必配备钥匙卡系統B、数据中心区域必须处于连续的监控之下C、必须在所有数据中心附近放置警告标志和标牌D、防撞门必须放置在数据中心之外答案：A166.因为数据泄漏事件，公司开展审计，以下哪个审计结果最应该报告给管理层？A、员工对相关的安全政策没有意识和技能B、安全意识教育研讨会未完成C、桌面密码缺少特殊Z字符D、员工没有签署竞业协议答案：B167.企业将某个系统部署到私有云的issa，问谁为系统安全最终负责：A、企业B、企业和云供应商C、操作系统供应商D、云供应商答案：A168.公司使用云平台进行IT管理，发生异常问题导致业务中止，应该首先进行：A、审计云服务商B、事故响应计划C、重新签订云服务合同D、追究云服务商责任答案：B169.CMMI成熟度模型的作用最主要是什么？A、有助于建立组织能力B、将绩效与同行进行对标C、为企业提供标准的评估工具D、促进与监管的沟通答案：C170.IS信息系统SJ审计师审计时发现有些员工离职后，账号仍然能访问系统，为了防止这种情況，最好的控制是什么？A、自动删除一段时间没有活动的员工账号B、自动删除入职一定时间的员工账号C、不记得了，可排除D、用一个软件与人力资源的系统建立自动化接口答案：D171.以下哪种措施最可以有效地确认邮件在传输过程中未被修改A、使用对称加密方法加密邮件B、使用发送者私钥加密邮件C、对邮件内容进行强加密D、把邮件和强加密的单向哈希值一起发送答案：D172.因业务激增，某公司来购了大型主机系统，信息系统审计师应当主要考虑下面哪一个因素？A、DRP是否评估和更新B、采购是否超过预算C、投标是否经过评估D、应用程序访问控制是否充分答案：D173.以下哪一项是保护公司隐私相关数据安全的最佳方式？A、对个人身份信息进行加密B、告诉数据所有者收集信息的目的C、将隐私相关数据归类为机密信息D、颁布数据分类方案答案：D174.用户测试数据最好是用A、随机生成的数据B、测试生成器生成的参数C、模拟生产环境数据D、供应商提供的数据答案：C175.实施新的应用程序软件包（或第三方应用），最大的风险是A、参数配置错误B、没有审计轨迹C、交易量过大D、交易敏感度高答案：A176.什么能确保IT部门充分履行的他们的职能？A、审计章程B、确保IT策略在公司内部被充分共享C、为业务构建流程图D、审计委员会会议记录答案：C177.对于VoIP，信息系统审计师最关注什么？A、不可抵赖性B、服务的连续性C、网络的统一性D、数据与语音网络分离答案：B178.以下哪项数据具有最高的敏感性，应受到最严格的保护？A、渗透测试结果B、安全事故数据C、系统错误报告D、系统访问列表答案：A179.被审计跟踪之前审计发现只进行了部分审计整政措施，审计师首先应该A、汇报管理层B、评估剩余未解决问题风险C、审查是否有补偿性控制临时解决问题D、确保为解决问题仍记录在审计报告中答案：C180.信息安全政策主要基准是？另一题为：信息系统审计师在协助企业定义信息安全政策应该考虑哪些因素？A、过去发生的安全事故B、行业最佳实践C、风险管理流程D、安全管理框架答案：D181.对最近购买的系统进行实施后检查时，最重要的是信息系统审计师要确定：A、供应商产品是否已提供可行的解决方案B、项目利益相关者的预期是否己识别。C、测试方案是否反映了运营活动D、是否已满足用户需求答案：D182.某公司实施了虚拟化，但是对网络和安全基础设施没有变动，最容易造成哪种风险？A、IDS检测不了虛拟化到服务器的流量B、虚拟平台的漏洞会影响多合主机C、系统文档未更新以反映环境的变更D、新的虛拟环境与原环境配置不同答案：B183.下列哪项最能表明安全角色和责任在整个企业都得到有效落实？A、业务活动符合策略的规定B、用户签署了保密协议C、安全策略的出台和发布D、定期审查病毒更新策略答案：A184.采用面向服务的架构将最有可能：A、禁止与旧有系统时间的集成。B、使合伙人时间的连接更加便利。C、危害应用程序软件的安全性。D、简化所有内部流程。答案：B185.存储机密信息的电子介质要送到异地，怎样才能确保最大程度的安全性？A、找经过认证和有担保的信使(运送服务商)B、对机密信息文件进行数字签名C、用安全锁物理加固介质D、加密介质答案：D186.公司已将部分业务外包出去，现在打算对外包服务商审计，要确定审计范围，内部审计师首先要（）A、与外包服务商商定审计目标B、审查外包合同C、审查外包商的内部控制答案：B187.对在线系统实施BCP计划中下列哪一项最重要？A、供应商的网络安全B、单一故障点C、供应商的解决问题的能力D、供应商的财务稳定性答案：B188.—个有大量桌面程序的应用，为了尽早能在前期发现界面程序的错误，应该采取哪种测试方法：A、社交测试B、自上而下C、自下而上D、逻辑路径监测答案：B189.哪一项是确定最近安装的入侵检测系统(IDS)的有效性的最佳方式？（已发布）A、实施访问控制B、进行攻击模拟C、审查审计日志D、检查IDS配置答案：D190.在共享的处理环境中，最大的挑战是：A、分离客户数据B、分离客户网络C、合并结果D、保持一致的标准答案：A191.执行跟踪审计期间，管理层告知1S审计师没有足够资源和时间完成所有的审计建议和整改，下一步应该？A、建议对未整改项实施补偿性控制B、评估未整改项导致的残余风险C、停止跟踪审计，因为问题尚未解决D、确保在审计报告中保留未整改项答案：B192.在开发阶段添加新功能时，以下哪项是与没有遵循项目更改管理流程相关的主要风险A、新功能可能不符合要求B、尚未记录添加的功能C、项目超出预算答案：A193.以下哪项是检测型控制（又称发现型控制A、物理访问时的证章B、输入时的编辑检查效C、哈希值验证D、恢复程序（或者备份流程）答案：C194.对从数据仓库生成的商业报告的质量进行审查时，最应关注下面哪种情况？A、数据错误未经过IT人员一致审查B、数据质量报告无法提供对业务发展趋势的洞见C、数据质量报告每晚批量从数据仓库中生成导出D、报告中的数据错误在数据仓库中已得到修正答案：A195.某公司既执行完整数据库备份和增量数据库备份。当数据中心遭破坏后，以下哪一项能够提供最佳的完全恢复？A、每周将完全备份移至异地站点B、每日将增量备份存放到异地站点C、将完全备份和增量备份放在安全的服务器机房里面D、每日将所有备份循环存放到异地站点答案：D196.以下哪项最能保证数据库管理系统的最高性能？A、定期维护B、数据一致性C、数据库正规化D、数据备份答案：B197.公司发现企业的数据安全存在重大漏洞，CE0要求对网络安全进行审计，但因公司重组问题，目前只有几个审计师，且能力一般，这种情况下，最合适的解决方案是：A、寻找外部第三方审计B、列入下个年度进行审计C、找目前审计师中最资深的人员开展审计D、延迟项目，先实施审计技能培训，然后再执行审计答案：A198.以下那种情况可以认为系统遭受了攻击？A、下班时间对系统访问量增加B、清晨和傍晚的访问量增加C、一天中某个时段或每周的某段固定时间访问量增加D、公司的什么自动登录内部网络(四个字母英文缩写)的系统已经关闭答案：B199.IS抽样时，审计师重点审查账户金额超过200,000美金的客户账户，应使用那种抽样方法？A、判断抽样B、分层抽样C、发现抽样D、随机抽样答案：B200.开发人员对薪资系统中的数据字段做了未经授权的变更。下列哪一种控制弱点最可能导致该问题？A、程序设计人员有权访问生产程序。B、工资文件不受程序库管理员控制。C、可排除D、程序设计人员没有让用户参与测试。答案：A201.在制定业务连续性计划(BCP)，时，应首先完成以下哪一项？A、执行漏洞分析B、进行BIA分析C、审查环境控制措施D、执行业务威胁评估答案：B202.IT治理审查中，哪一项信,息系统审计师是最担忧的？A、公司允许两套操作系统B、未监控预算C、IT价值分析未完成D、公司的全部IT技术都是由第三方提供的。答案：C203.企业建立了开发、测试及生产三种IT处理环境。将开发环境和测试环境分开的主要原因是：A、将用户的访问权限限制在测试环境以内。B、在IT人员和最终用户之间实现职责分离C、在稳定的环境下进行测试。D、保护开发中的程序不受未经授权的测试。答案：C204.对互联网防火墙固有漏洞的有效攻击是A、网络钓鱼B、大量数据（Dos）攻击网站C、拦截数据包并破获密码D、针对加密密码的字典攻击答案：A205.高级管理层缺乏哪项决策会造成最大的数据泄露风险？A、没有对桌面电脑加密B、没有实施员工安全意识培训C、员工可以远程办公D、安全政策有一年没有进行更新答案：B206.对电子取证调查各个方面进行记录的最重要原因是该记录文件？A、确保在未来的调查中可以重复该流程（留下依据）B、符合IT审计文件要求与标准C、为第三方的独立调查提供可追溯性D、确保遵守企业事故响应政策答案：C207.以下哪一项是灾难恢复计划的步骤之-A、评估和量化风险B、与灾难计划咨询顾问协商合同C、获得替代设备供应D、确定应用程序控制需求答案：A208.信息系统审计师评估web应用项目的进度，最适合调阅哪份材料？A、积压消耗报告B、开发者状态报告C、关键路径分析报告D、更改管理报告答案：C209.企业部署了数据存储硬件，IS审计师应审查哪一项以评估IT是否最大限度地利用了存储和网络？A、质量管理系统B、日常和非日常作业时间表C、停机时间统计D、容量管理计划答案：D210.审查网络打印机处置的时候，审计师应该最担心的是什么？A、没有足够的证据表明处置的打印机的硬盘彻底清除B、业务部门直接将打印机交给了授权的供应商处置C、未按照政策和方案规定来处置D、打印机放在不安全的区域答案：A211.银行对计算利息的计算机程序做了很小的改动。哪一项能最好地确定利息计算是否正确？A、审查源代码B、使用审计软件进行并行模拟C、手动验证结果样本D、审查QA测试结果答案：B212.加密磁带备份最怕什么？A、密钥丢失B、消磁C、备份发生错误答案：B213.企业信息系统目标的最佳来源是什么？A、信息安全管理部门B、业务流程所有者C、IT管理部门D、最终用户答案：B214.新系统开发延期，耽误了关键的实施期限，以下哪一项最重要？A、确保代码经过审查B、执行用户验收测试C、记录系统最新改进D、执行实施前审计答案：B215.对供应链管理应用程序执行业务影响分析(BIA)的最佳方法是？A、审查组织内的政策和程序B、在关键的内部利益关系方时间开展问卷调查C、参考IT人员对业务问题的看法D、与关键利益干系人进行沟通讨论答案：D216.审计报告提交给被审方前，审计报告应该由谁检查A、审计经理B、高层管理者C、项目经理D、系统管理员答案：A217.衡量灾难恢复计划有效性中业务恢复的最佳途径是？A、定义恢复点目标RPOB、业务影响分析BIAC、模拟灾难恢复D、评估与功能成熟度模型的差距答案：C218.控制总计能够降低以下哪一项风险？A、不当授权B、备份错误C、处理不完整D、过帐到错误记录答案：C219.非正规化（非规范化）对数据库库的最大影响是什么：A、影响完整性B、停滞不前的性能C、数据的准确性D、数据的机密性答案：A220.网上系统应用在使用过程中由于数据量大导致延迟，系统响应时间无法接受，哪一项可以提升应用的性能？A、RAID5（数据复制技木）B、磁盘镜像C、负载均衡D、调整防火墙配置答案：C221.在评估企业资源规划(ERP)实施供应商时，信息系统审计师应首先建议执行：A、调查供应商的财务历史B、检查供应商的客户参考C、制定供应商响应计分卡D、审查供应商过去的实施项目答案：D222.应用程序可以使用用户账号访问底层数据库，审计师最担心：(也有考生反馈题干描达为：底层用户可以直接访问数据库，哪项风险大？)A、用户可以绕过应用程序访问数据库B、用户账户停用了，仍然可以访问C、应用程序审计记录不能包含全部信息D、底层数据库完整性被破坏答案：A解析：底层数据库为表链接提供223.在审查企业的生物特征识别访问系统时，以下哪一项应是最大的担忧？A、未加密的生物识别信息保存在读取器设备上B、生物识别系统用于验证但不用于识别C、肯定可排除D、错误拒绝率高答案：A224.公司请外部审计人员来审计，内部审计人员发现外部审计人员的一些证据文件与内审报告结论有差异，内部审计人员应该怎么做？A、向高级管理层报告B、请专家重新检查确认审计结论（请外部专家进行额外的测试）C、在报告中说明范围限制D、対外披露答案：B225.以下哪项应包含在组织的信总安全政策中：A、身份验证要求B、安全配置的设置C、安全编码流程D、资产的生命周期答案：A226.确保从远程位置传到生产仓库的断有订单都准确和完整校收的最适当控制是：A、发送并核对交易记录数量和汇总交易总数。B、跟踪并计算销售订单编号的连续性。C、验证奇偶校验是否仍然有效。D、将数据传回发源地，然后进行比对答案：A227.IT部门的资源不足，项目无法按时完成。下一年度要计划招聘IT人员，以下哪项为IT人员编制计划提供最佳指南？A、人力资源编制战略B、以往项目的实际花费时间记录C、下一年的年度预算D、同行业的预算参考基准答案：B228.数据分类的第一步？A、盘点数据资产B、确定风险偏好C、定义数据所有权D、确定敏感度水平答案：A229.企业灾难发生后，业务中断，恢复后丢失了大量数据，因为错误定义了哪项？A、RPOB、RTOC、DRPD、BIA答案：A解析：RecoveryPointObjective(RPO)，指的是最多可能丢失的数据的时长。RecoveryTimeObjective(RTO)，指的是从灾难发生到整个系统恢复正常所需要的最大时长。简单区分的话，RPO是灾难发生之前的时间，RTO是灾难发生之后的时间。230.在审计生命周期的哪个阶段适合与客户讨论初步审计意见？A、执行阶段B、报告阶段C、规划阶段D、跟踪阶段答案：B231.哪种能够最有效地对物理访问提供最可靠的身份验证？A、智能卡和保卫B、感应卡C、视网膜D、数字键盘和监控摄像机答案：C232.如何充分验证定期备份的及时性与有效性？A、访谈关键人员B、审查备份日志样本C、查看备份的策略与程序D、观察备份运行的执行情况答案：B233.审计师发现防火墙已过时，并且供应商已不提供支持。下列哪一项任务最恰当地描述了最佳的下一行动方案？A、报告风险缓解控制情况B、确定不更换防火墙的风险C、确定防火墙的价值D、报告组织的安全状况答案：B234.以下哪一个是提高安全事故检测有效性的最佳方法？A、培训最终用户关于识别可疑活动的知识B、与适当的法证鉴定服务提供商签订服务水平协议(SLA)C、记录根本原因分析流程D、根据事故类型确定抑制措施答案：A235.移动设备要丢弃，怎么保证安全？A、多次覆写B、清除数据软件清除数据C、磁化该移动设备D、格式化答案：C236.审查新成立的CallCenter内的控制时，首先应A、评估与风险中心有关的操作风险B、测试呼叫中心的技术基础设施C、从客户那里收集服务响应时间和服务质量的信息D、审查呼叫中心的人工和自动控制答案：A237.对新员工进行系统访问权限的授权出现较大的延迟，从下面哪方面可以找到根本原因：A、已有的访问权限B、现有的工作流程模型C、SLA服务水平协议答案：B238.审计新的应用系统，审计师要最主要考虑：A、风险分析B、成本效益分析C、项目可行性分析D、业务影响分析答案：A239.数据分类的好处：A、减少对敏感信息的保护成本B、业务风险与敏感信息相匹配C、提升企业人员的安全意识D、监管要求，必须实施答案：A240.在评估企业的漏洞扫描计划的有效性时，以下哪项是信息系统审计师的最大顾虑？A、执行漏洞扫描的频率低于企业漏洞扫描计划的要求B、结果没有报告给有权确保解决相关漏洞的干系人C、未正式书面记录针对已识别漏洞所采取的步骤D、结果没有得到高级管理层的批准答案：B241.在跟踪审计过程中发现之前的审计报告，存在问题，首选需要报告给A、业务管理部门B、审计项目经理C、项目经理D、高级管理层答案：B242.要从外部聘请审计专家，审查哪方面可确定专家可胜任？A、审查专家专业知识是否充足B、审查专家的独立性和客观性C、了解专家的审计经验D、打听专家的业界声誉答案：B243.小型公司数据等级方案不正确，以下哪项是最佳措施A、数据所有者与it安全人员一对一解释B、将数据分类政策发布到企业webC、进行数据等级研讨会及培训答案：A244.下列哪一项能够更好地完善流程改良（优化）计划？A、基于模型的设计表示法B、项目管理方法论C、能力成熟度模型D、平衡记分卡答案：C245.审计师对外包业务进行审查，最先查？A、合同是否支持业务需求B、合同中有没有审计条款C、合同中包含终止后提供支持D、合同是否符合行业最佳实践答案：A246.有效防范sql注入攻击的最佳控制是？A、SSL加密B、数字签名C、输入验证D、unicode转换答案：C247.在安排跟踪审计时，以下哪一项是最重要的考虑因素？A、与新审计师进行独立验证工作所需的努力B、被审计方同意与审计师合作花费的时间C、不采取整改措施会产生的影响D、与观察结果有关的控制和检测风险答案：C248.某企业IT部门严重依赖外包商来维护关能系统。为了解决收入下降的问题，董事会已决定将整个企业的所有外包商的预算减少30%。以下哪一项是IT领域的最大风险？A、关键系统可能得不到适当的维护B、最终用户可能无法从其余IT员工那里获得足够的支持C、所需的软件许可证预算可能不足D、外包商可能会在离开之前尝试从关键系统中提取有价值的数据答案：D249.公司外包服务给第三方，如何确定第三方提供的服务水平管理的外部审计报告是可被接受的？A、审计报告是最近12个月内实施的B、第三方服务商经过独立认证和认可C、审计范围和方法符合审计要求D、报告确定并没有违反服务水乎答案：C250.对于持续的数据质量问题，以下哪项最能帮助分析和确定相应的收入损失？A、实施数据有效性验证控制的成本B、问题数量与平均停机时间的关系C、数据获取成本与销售损失的对比D、数据错误与交易价值损失的互相关系答案：D251.一名IS审计师正在审查某企业的系统开发测试政策。在以下有关使用生产数据进行测试的陈述中，此IS审计师会认为哪项最恰当？A、必须经高级IS和业务管理层批准使用后，生产数据才能用于测试。B、只要将生产数据复制到安全的测试环境中，就可使用。C、决不能使用生产数据。必须基于书面的测试案例准备所有测试数据。D、如果签署了保密协议，便可使用生产数据。答案：A252.被审计方已告知信息系统审计师，其资金不是以实施审计报告中商定的建议，且没有预计的解决时间计划，审计师应对此情况采取的最佳方式是什么？A、在无法实施完整解决方案的情况下评估风险B、关闭该发现并记录被审计方的解释C、获得内部审计批准，以将发现从报告中删除D、提出建议增加IT预算答案：A253.IDS的作用是A、替代防火墙B、补偿身份验证C、为增强基础信息设施安全提供信息答案：C254.检测到服务器的实际使用量远远小于计划，以下哪项措施可以改进服务器的可用性？A、系统的停机日志B、容量规划C、服务器的配置D、执行流量负载均衡答案：B255.开展实施后审查的主要目的是检验：A、己充分考虑了用户访问控制B、已正确执行了UAT测试C、已符合企业体系结构D、已满足用户需求。答案：D256.如何保证防火墙有效的策略。A、审查网络日志B、做渗透测试C、审查入侵检测报告D、检查防火墙配置答案：D257.账户并行更新交易如处理不当，会影响A、可用性B、完整性C、机密性D、责任归属（不可否认性）答案：B258.下列哪一项可用于评估IT运营效率？A、总体拥有成本B、平衡记分卡C、净现值D、内部收益率答案：B259.企业使用IAAS(基础设施及服务）进行IT管理，谁应该负责操作系统安全A、企业B、云服务商C、操作系統提供商D、企业和云服务商答案：A260.影响UAT测试的有效性？A、测试数据是生产数据的精确复制B、不是最终用户的业务参与测试C、在一个开发和用户都可以进入的环境答案：B261.ROI分析在IT决策过程中的一个好处是提供A、分配间接成本的基础B、更换设备的成本C、分配财务资源的基础D、估计所有权的成本答案：C262.审计师在抽样中设定了较高的预期差错率，这将导致？A、更多的样本B、更低的标准偏差答案：A263.审查项目可行性研究后，审计师最应该做什么？A、审查需求设计是否包含自动化控制B、和项日经理一起看预算和成本是否匹配C、帮助用户设计用户验收测试答案：A264.在取证数据采集和保存流程中以下哪项最重要？A、保持数据完整性B、确保设备的物理安全C、维持保管链D、决定要使用的工具答案：C265.审计师抽样时，一个案例超过平均值5倍，下一步怎么做？A、増加点体100%抽祥B、报告高管C、询问被审计人员差异D、按原方法和抽样标准实施答案：C266.信息系统审计师评估IT战略委员会的有效性？A、业务和IT战略一致性B、IT战略委员会章程答案：A267.以下哪项是上线准备前最有效的保障？A、已经实施了两遍桌面测试B、已经测试并批准了小范围的模拟测试C、成功地在处理周期完成了平行测试D、己成功执行回滚测试答案：C268.审计的时候，审计师发现存在病毒，下一步应该做什么？A、通知有关人员B、清理病毒C、断开网络D、观察反应机制答案：A269.在系统SDLC开发生命周期中，哪一项测试是最先执行的？A、单元测试B、回归测试C、接口测试D、集成测试答案：A270.IT管理员废除了数据库中的某些引用完整性控制。下列哪一种控制能够最有效地弥补引用完整性控制的不足？A、性能监视工具B、定期检查表的链接C、更频繁地备份数据D、并行访问控制(cuntaccesscontrols)答案：B271.审计经理在复核审计报告时发现，因审计师的疏忽，一个关键证据被遗漏了，这很可能影响审计结论。这种疏忽属于什么风险？A、控制风险B、审计风险C、管理风险D、剩余风险答案：B272.通过非对称技术来确保保密性，将使用下列哪一项对消息进行加密？A、接收者的私钥B、发送者的私钥C、发送者的公钥D、接收者的公钥答案：D273.哪一种类型的攻击针对web应用程序中的安全漏洞以获得对数据集的访问权限？A、RootkitB、拒绝服务(Dos)C、SQL注入D、网络钓鱼(phishing）攻击答案：C274.以下哪一项最有助于信息系统审计师识别工资核算流程中的潜在超额给付情况？A、员工数量和供应商账号数量的比对B、指出与往期工资单有重大差异的报告C、对用于核查的员工和供应商地址进行审查D、薪资流程中有关最大笔工资的报告答案：B275.IT审计师正在审查公司的事故管理流程，哪一项最让审计师担忧？A、无效的事故分类B、无效的事故优先排序。C、无效的事故检测。D、无效的事故后审查。答案：C276.在评估项目风险管理流程的有效性时，以下哪一项应是信息系统审计师的最大担忧？A、风险登记表中尚未确定风险响应措施B、发现风险登记表中的某些风险评级不正确C、每月对风险登记表进行一次审查D、风险登记表不受版本控制答案：D277.IT指导委员会负责应对以下哪一项负责？A、把实施安全性与业务目标集成在一起B、评估和报告战略一致性程度C、审查并协助IT策略整合工作D、制定IT安全策略答案：C278.公司请外部审计，对外部信息系统审计师的访问效验应由以下哪项文件予以说明和授子？A、审计章程B、经批准的工作说明C、给所有相关方的内部备忘录D、有关审计工作开展的需求请求书答案：A279.当确定在多个国家都有分支机构的全球性企业的数据保留政策时，下列哪一项是最重要的考虑因素：A、政策与公司政策与惯例的一致性B、政策与当地法律法规的一致性C、政策与全球最佳实践的一致性D、政策与业务目标的一致性答案：B280.查看邮件的内容是否被修改，应使用？A、哈希B、数字签名C、加密D、双因素认证答案：A281.在web应用中，包含以下哪一项可以保证最高的安全性？A、SSLB、SFTPC、TelnetD、TLS答案：D282.在一项it开发项目中调整方案需要用到额外资金，这笔额外资金最适合由谁获得？（项目因为新增需求，已经确认需要增加经费，谁最应该获取该项费用？）A、审计师B、项目发起人C、董事会D、项目经理答案：D283.2、还有一题真题为：人员进入高敏感的数据中心时以下最好的方式是什么？A、监控B、陪同C、签到D、双重门答案：B284.根据以下哪一项能最能有效地确定数据分类类别？A、对个人身份数据不同的安全要求B、根据业务功能的关键性C、高级管理层处理的交易D、因丢失或泄漏数据对企业造成的影响答案：D285.审计师发现系统存在很多乡余生产系统权限没有及时清除，审计师应该建议？A、人力资源系统在员工离职后自动触发删除员工权限B、业务部门定期审阅并申请删除多余的访问权限C、系统管理员应确保权限分配的一致性D、IT安全部门管理员定期刷除多余的权限答案：B286.移动设备要丢弃，怎么保证安全？（下列对于磁盘清理数据最有效？）A、多次复写B、清除数据软件数据（数据擦除）C、把移动设备放置在强磁场中D、格式化答案：C287.使用加密的备份磁带时，最应关注？A、加密密钥丢失B、备份磁带的物理安全性C、与将来软件版本不兼容D、加密过程造成数据不准确答案：A288.在审计完成后立即正式传达审计结果的主要原因是确保：A、报告中指出的风险立即得到缓解B、报告是相关且有用的。C、审计师遵守标准审计实践D、满足最后期限和部门目标答案：B289.五百多个用户都可以访问客户信息表，对什么影响最大？A、完整性B、机密性C、可用性答案：B290.对数据中心机房审查的中发现哪项最应引起重视？A、在主要入口安装了视频监控B、在机房入口处放置防静电垫子C、紧急出口内侧有泥脚印D、设施围栏高度2米答案：C291.对信号进行接收并放大是哪个网络组件A、网关B、网桥C、路由器D、中继器答案：D292.发票上的帐单总金额每周自动传输到企业的帐户总帐上。审计师发现总帐上缺少一周的帐单时，应该首先检查以下哪一个领域？A、年度对帐B、变更管理C、批处理控制D、模块访问权限答案：C293.IS审计师已发现，员工们在通过电子邮件将敏感的公司信息发送到基于web的公共电子邮件域：对IS审计师而言，以下哪一须是建议的最佳补救措施？A、数据丢失防护（DLP）B、培训和意识C、活动监测D、加密邮件帐户答案：A294.网络遭受病毒风暴袭击，已经通知了事件响应团队，下一步应该如何处理？A、将事件记录下来B、集中精力将损害限制在有限范围内C、删除并修复受影响的系统D、检查受损系统的功能是否完好答案：B295.实施后审查的主要目标是验证系统：A、实现了设定的目标B、与业务策略一致C、在生产环境中稳定运行。D、有用户文档支持。答案：A296.采用面向服务的架构将最有可能：A、禁止与原系统之间的集成B、使合伙人时间的连接更加便利C、危害应用程序软件的安全性D、简化所有内部流程答案：B297.下列哪一种方法最适用于确保IT策略符合业务策略？A、业务影响分析B、收支平衡点分析C、关键路径分析D、IT价值分析答案：D298.入侵检测系统（IDS）可以起到哪些作用？A、代替防火墙B、调查网络内部攻击C、弥补身份验证机制的不足D、提供增强安全基础设施的保障信息答案：D299.以下哪项机制可以确保及时向高级管理层汇报IT运行问题？A、escalation（问题升级流程）B、服务水平监控C、定期状态报告D、平衡积分卡答案：A300.信息系统审计师正在审查内部软件开发解决方案的发布管理流程，在哪个环境中的软件版本最有可能与生产环境相同？A、分阶段B、开发C、测试D、集成答案：A301.数据迁移计划的第一步是？A、创建数据转换脚本B、审查业务流程的决策C、对数据库进行数据清洗D、了解新系统的数据结构答案：D302.以下哪项最能说明员工安全意识培训有效？A、信息安全攻击数量减少B、社会工程攻击的成功率下降C、安全事故上报数量减少D、用于维护信息安全的项目成本降低答案：B303.在制定业务持续性计划（BCP）时，业务单位管理层参与以下哪项工作最重要？A、参与业务恢复程序的制定B、参与实施文档库C、参与业务影响分析D、参与IT风险评估答案：C304.信息系统审计师在检查API的设计时，担心企业开发自己的认证方式，应该建议A、TLS安全传输协议B、双因子认证C、静态密钥双向认证D、数字签名答案：A305.在审计完成后立即正式传达审计结果的主要原因是确保A、报告中指出的风险立即得到缓解B、报告是相关且有用的。C、审计师遵守标准审计实践D、满足最后期限和部门目标答案：B306.对于执行重大系统升级的实施后分析，以下哪一项应该是信息系统审计师的最大担忧？A、开发小组将变更部署到生产环境中B、开发人员可以访问测试环境C、变更批准未被正式记录D、开发小组可以访问对象代码答案：A307.为了减少日志服务器不堪收集错误攻击日志的压力，以下最佳建议是（）A、微调IDS的规则设置B、调整防火墙的访问控制规则C、更换日志服务器D、调整网络架构答案：A308.对于审计证据，审计师的主要角色和职责是？A、确保证据可充分支持审计结论B、确保获得的证据是经过审批的C、确保证据没有经未授权篡改答案：A309.内部审计的职责由以下哪一项明确？A、审计计划B、审计章程C、审计目标D、审计范围答案：B310.公司的财务部门实习了系统新技术新流程，信息审计师应该对此情况做什么审计A、财务审计B、网络审计C、集成审计D、绩效审计答案：C311.哪一项是确定RTO的主要因素？A、灾难的停机成本B、测试业务持续运营计划的成本C、异地备份成本D、紧急应对的响应时间答案：A312.一名信息系统审计师正在审查公司的软件开发流程，哪项适合最终用户执行：A、程序输出测试B、系统配置C、程序逻辑说明D、性能调整答案：A313.为了帮助董事会履行IT治理职责，IT指导委员会应该：A、制定项目跟踪的IT政策和措施B、将注意力集中在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D314.对数据库管理系统的审计发现，系统维护后未重新启动审计日志。以下哪一项是信息系统审计师的最大顾虑？A、将不能记录应用程序用户所作的更改操作B、将不能优化数据库的触发器和指针C、将不能记录数据库管理员所作的更改操作D、将危害数据库优化答案：C315.下列哪一项能够最有效地保护数据中心的信息资产不被供应商窃取A、监控并限制供应商的活动B、给供应商发放访问卡C、隐藏数据设备和信息标签D、限制使用便捷式和无线设备答案：A316.在审计IT资源管理实践时，审计师最担心的发生什么情况？A、目前IT管理员空缺B、员工缺乏足够且有效的培训C、IT管理人员没签署保密协议D、书面记录的IT战略缺失答案：D317.排列恢复系统的优先级顺序时，不确定该如何进行排序，应该使用以下哪一项为标准进行排序？（也有考生反馈题干为：外审发现企业的系统重要性排序不正确，以下哪