CISA 中文模拟题465题

./Chapter1下列哪些形式的审计证据就被视为最可靠?口头声明的审计由审计人员进行测试的结果组织部产生的计算机财务报告从外界收到的确认来信当程序变化是,从下列哪种总体种抽样效果最好？测试库清单源代码清单程序变更要求产品库列表在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试：系统程序员.法律人员业务部门经理应用程序员.进行符合性测试的时候,下面哪一种抽样方法最有效？属性抽样变数抽样平均单位分层抽样差别估算当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道：当数据流通过系统时,其作用的控制点。只和预防控制和检查控制有关.纠正控制只能算是补偿.分类有助于审计人员确定哪种控制失效审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作?计算机辅助开发工具〔casetool嵌入式〔embedded资料收集工具启发扫描工具〔heuristicscanningtools趋势/变化检测工具在应用程序开发项目的系统设计时间,审计人员的主要作用是：建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发排程下面哪一个目标控制自我评估<CSA>计划的目标?关注高风险领域替换审计责任完成控制问卷促进合作研讨会Collaborativefacilitativeworkshops利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的数据在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响：可以使用的CAATs管理层的述组织结构和岗位职责.存在部控制和运行控制对于组织成员使用控制自我评估<CSA>技术的主要好处是：可以确定高风险领域,以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish对控制的责任下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integratedtestfacility快照sanpshots审计钩Audithooks当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法？对于库控制进行实质性测试对于库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试在实施连续监控系统时,信息系统审计师第一步时确定：合理的开始〔thresholds指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序审计计划阶段,最重要的一步是确定：高风险领域审计人员的技能审计测试步骤审计时间审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：在应用系统开发过程中,实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员,但并没有经营责任为应用系统最佳实践提供咨询意见审计中发现的证据表明,有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。IS审计师可以推测的结论是：经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊为确保审计资源的价值分配给组织价值最大的部分,第一步将是：制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施审计师在评估一个公司的网络是否可能被员工渗透,其中下列哪一个发现是审计师应该最重视的？有一些外部调制解调器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户账号的密码是相同的信息系统审计师在控制自我评估<CSA>中的传统角色是：推动者〔facilitator经理伙伴股东下面哪一种审计技术为IS部门的职权分离提供了最好的证据：与管理层讨论审查组织结构图观察和面谈测试用户访问权限2IS审计师应该最关注下面哪一种情况？缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？可得到在线网络文文件支持终端访问远程主机处理在主机和部用户通信之间的文件传输执行管理,审计和控制审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是：固有的风险.控制风险检查危险审计风险审计章程应采取：是动态的和经常变化的,以便适应技术和和审计专业〔professional的改变清楚的说明审计目标和授权,维护和审核部控制文文件化达到计划审计目标的审计程序列出对审计功能的所有授权,围和责任审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的?应用程序所有者不知道IT部门对系统实施的一些应用应用数据每周只备份一次应用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护IS审计功能的一个主要目的是：确定每个人是否都按照工作说明使用IS资源确定信息系统的资产保护和保持数据的完整性对于计算机化的系统审查账册及有关证明文件确定该组织识别诈骗fraud的能力进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么？观察反应机制病毒清除网络立即通知有关人员确保删除病毒审计章程的的主要目标是：记录企业使用的审计流程审计部门行动计划的正式档记录审计师专业行为的行为准则说明审计部门的权力和责任。在对ＩＴ程序的安全性审计过程中,ＩＳ审计师发现没有文件记录安全程序,该审计员应该：建立程序文件终止审计进行一致性测试鉴定和评估现行做法在风险分析期间,IS审计师已经确定了威胁和潜在的影响,下一步ＩＳ审计师应该：确定并评估管制层使用的风险评估过程确定信息资产和受影响的系统发现对管理者的威胁和影响鉴定和评估现有控制.下面哪一项用于描述ＩＴＦ〔整体测试法最合适？这种方法使IS审计师能够测试计算机应用程序以核实正确处理利用硬件和或软件测试和审查计算机系统的功能这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程IS系统审计师用于测试的一种程序,可以用于处理tagging和扩展交易和主文档记录。IS审计师要判断是否严格控制被授权者对于程序文文件的访问,最有可能的做法是：评估在存储场所的档保存计划就当前正在进行的流程采访程序员对比实际使用的记录和操作表审查数据文件访问记录测试管理库的功能需要进一步收集哪些数据,IS审计师的决定取决于需要的重要信息的可用性审计师对于情况的熟悉程序审计人员〔auditee找到相关证据的能力进行审计的目的和围审查管理层的长期战略计划有助于审计师：了解一个组织的宗旨和目标测试企业的部控制评估组织队信息系统的依赖性确定审计所需的资源利用统计抽样程序可以减少：抽样风险检查风险固有风险控制风险IS审计师对软件使用和权限进行审计,发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为？个人擅自删除所有未授权软件拷贝通知被审计人员非授权软件的情况,并确认删除报告使用未经授权软件的情况,并需要管理层避免这种情况重复发生不采取任何行动,因为这是一个公认的惯例和做法,业务管理部门负责监督这种使用下面哪一项IS审计师可用来确定编辑和确认程序的有效性〔effectiveness?域完整性测试相关完整性测试参照完整性测试同位检查下面哪一种情况下,IS审计师应该用统计抽样而不是判断抽样<nonstatistical>：错误率必须被客观量化〔objectivelyquantified审计师希望避免抽样风险通用审计软件不实用〔unavailable容忍误差<tolerableerrorrate>不能确定证明税收计算系统精确性的最好的方法是：对于计算程序源代码详细目测审核和分析使用通用审计软件对每个月计算的总数进行重复的逻辑计算为处理流程准备模拟交易,并和预先确定的结果进行比较自动分析流程图和计算程序的源代码以下哪一个是使用测试数据的最大的挑战?确定测试的程序的版本和产品程序的版本一致制造测试数据报括所有可能的有效和无效的条件对于测试的应用系统,尽量减少附加交易的影响在审计师监督下处理测试数据电子系统已经成为一个有用的诉讼证据来源,下面哪一个是最有可能的原因？多重循环备份文件可供利用访问控制可以确定电子行为的责任对于通过电子交流的信息尽心过数据分类管理企业中,用于确保证据可得的清晰的使用电子的政策IS审计师对于应用程控进行审查,应该评价：应用程序对于业务流程的的效率发现的隐患exposures的影响应用程序服务的业务应用程序的优化.以下哪一个是最主要的优势,利用计算机司法软件进行调查：维护保管的一系列电子证据节约时间效率和效益寻求侵犯知识产权证据的能力以下哪一个是使用ITF综合测试法的优势?使用真实的或虚拟的主文档,IS审计师不需要审查交易的来源。定期检验过程并不需要单独分离测试过程证实应用程序并可测试正在进行的操作它无需准备测试资料.风险分析的一个关键因素是:审计计划.控制弱点.Vulnerabilities负债liabilitiesIS审计师的决策和行动最有可能影响下面哪种风险？固有风险检查分析控制风险业务风险在一台重要的服务器中,IS审计师发现了由已知病毒程序产生的木马程序,这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么？调查病毒的作者.分析操作系统日志确保恶意代码已被清除安装消除弱点vulnerability的补丁.组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：控制程序.控制目标纠正控制运行控制.IS审计师审计IT控制的效果,发现了一份以前的审计报告,但是没有工作记录workpapers,IS审计师应该怎么处理？暂停审计直至找到工作记录依靠以前的审计报告对于风险最高的区域重新测试控制通知审计管理层,重新测试控制IS审计师审查组织结构主要是为了：理解工作流程调查各种沟通管道理解个人的责任和权利调查员工之间不同的联系管道IS审计师审查对于应用程序的访问,以确定最近的10个"新用户"是否被争取的授权,这个例子是关于:变数抽芽实质性测试符合性测试停-走抽样.当需要审计轨迹的时候,以下哪一种审计工具最有用？综合测试法<ITF>持续间断模拟〔CIS审计钩〔audithook快照以下哪一个是实质性测试?检查例外报告清单确认对参数改变进行审批对于磁带库列表进行统计抽样审核密码历史记录对于特定威胁的整体经营风险的威胁,可以表示如下：一种产品的可能性和影响的重要性,如果威胁暴露了弱点影响的重要性应该是威胁来源暴露了弱点威胁来源暴露弱点的可能性风险评估小组的整体判断在审查客户主文档的时候,IS审计师发现很多客户的名字相同arisingfromvariationsincustomerfirstnames,为了进一步确定重复程度,IS设计师应该：测试数据以确认输入数据测试数据以确定系统排序能力用通用审计软件确定地址字段的重复情况用通用审计软件确定字段的重复情况通常,以下哪一种证据对IS审计师来说最可靠?收到的来自第三方的核实账户余额确认信一线经理确保应用程序如设计的方式工作从internet来源得到的数据趋势〔Trenddata由一线经理提供报告,IS审计师开发的比率分析〔Ratioanalysis成功的实施控制自我评估<CSA>需要高度依赖：一线管理人员承担部分监督管理责任安排人员负责建置管理,而不是监督、控制实施严格的控制策略,和规则驱动的控制监督实施和并对控制职责进行监督审计计划阶段,对于风险的评估用于提供：审计覆盖重大事项的合理保证明确保证重大事项在审计工作中被覆盖审计覆盖所有事项的合理保证充分保证所有事项在审计工作中被覆盖下面哪一项是使用基于风险方法的审计计划的好处？审计排程可以提前完成.预算更符合IS审计人员的需要人员可以使用不同的技术资源分配给高风险领域IS审计人员使用数据流程图是用来定义数据层次突出高级别数据定义.用图表化方式描述数据路径和存储描绘一步一步数据产生的详细数据在对数据中心进行安全审计时,通常审计师第一步要采取的是：评级物理访问控制测试的结果确定对于数据中心的风险/威胁审查业务持续程序测试对于可疑的物理访问的证据高层管理要求IS审计师帮助部门管理者实施必要的控制,IS审计师应该：拒绝这种安排,因为这不是审计人员的职责告诉管理层将来他的审计工作无法进行执行安排和将来的审计工作,处于职业谨慎在得到使用者部门批准的情况下,进行实施和后续工作在制定风险基础审计策略时,IS审计师需要进行风险评估审计,目的是保证：减轻风险的控制到位确定了脆弱性和威胁审计风险的考虑.Gap差距分析是合适的.当通知审计结果时,IS审计师应该牢记他们的最终责任是对：高级管理和/或审计委员会.被审计单位的经理.IS审计主管.法律部门legalauthorities对于抽样可以这样认为：当相关的总体不具体或者是控制没有文文件记录时intangibleorundocumentedcontrol,适用于统计抽样。如果审计师知道部控制是强有力的,可以降低置信系数属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。变量抽样是一种技术,用于评估某种控制或一系列相关控制的发生率。IS审计师评估系统变更的测试结果,这个系统用于处理缴纳结算paymentcomputation。审计师发现50%的计算结果不能和预先定义的总数匹配。IS审计师最有可能采取下面哪一步措施？对于出错的计算,设计进一步的测试确定可能导致测试结果错误的变量检查部分测试案例,以便确认结果记录结果,准备包括发现、结论和建议的报告在实施对于多用户分布式应用程序的审核时,IS审计师发现在三个方面存在小的弱点：初始参数设置不当,正在适用的弱密码,一些关键报告没有被很好的检查。当准备审计报告时,IS审计师应该：分别记录对于每个发现产生的相关影响。〔recordtheobservationsseparatelywiththeimpactofeachofthemmarkedagainsteachrespectivefinding.建议经理关于可能的风险不记录这些发现,因为控制弱点很小记录发现的结果和由于综合缺陷引发的风险报告部门领导重视每一个发现并在报告中适当的记录人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分,这种情况下最好使用下面哪一种审计技术？测试资料通用审计软件ITF综合测试法嵌入审计模块持续审计方法的主要优点是：当处理过程开始的时候,不要求审计师就系统的可靠性收集证据当所有信息收集完成后,需要审计师审查并立即采取行动可以提高系统的安全性,当使用分时环境处理大量的交易时不依靠组织的计算机系统的复杂性。在审计章程中记录的审计功能中的责任、权力和经营责任responsibility,authorityandaccountability,必须：必须经最高管理层批准经审计部门管理者批准经用户部门领导批准在每年IS审计师大会commencement之前修改IS审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整,是由：匹配输入数据的控制总数和原始数据的控制总数对数据进行排序以确认是否数据和原始数据的序号相同审查打印输出的前100条原始记录和输入数据的前100条记录按照不同的分类过滤数据,和原始数据检验在评估网络监测控制时,IS审计师第一步应该审核网络的拓朴图.带宽使用.阻塞分析报告瓶颈确定IS审计师评估信息系统的管理风险。IS审计师应该最先审查：已经实施的控制已经实施控制的有效性资产的风险监督机制资产的脆弱性和威胁在有异议的情况下,离开审计面谈中,考虑到结果的影响,IS审计师应该：要求被审计人员以签名的形式接受所有法律责任阐述调查的意义和不纠正的风险向审计委员会报告有异议的情况接收被审计方的意见,因为他们有处理的所有权确定商品库存的价值已超过八周,IS审计师最有可能是用：测试资料.统计抽样综合测试法ITF通用审计软件下列哪一个是风险评估过程的描述?风险评估是:主观.客观.数学方法统计综合测试法ITF被认为是一个有用的工具,因为它：对于审计应用控制来说,是一种具有成本效益的方式允许财务和ＩＳ审计师整合他们的测试将处理的输出结果与单独计算的数据进行比较。为ＩＳ审计师提供分析大量信息的工具在审计报告确认发现的结果finding后,被审计方迅速采取了纠正行动。审计师应该：在最后报告中包括发现的结果,因为ＩＳ师要负责正确的审计报告包括所有的发现结果。在最后的调查报告中不包括发现结果,因为审计报告仅仅包括未解决的发现结果在最后的调查报告中不包括发现结果,因为在审计师审计期间,纠正行动已经被确认。包括结果,仅仅在闭幕会议上讨论调查之用。以风险为基础的审计方法,ＩＳ审计师应该首先完成：固有的风险评估.控制风险评估.控制测试评估.实质性测试评估.第一章答案01-10：ddcaadcacb11-20：daccbbabcd21-30：acaacdabcd31-40：ddabdabcaa41-50：cbababcbcb51-60：dcbbcacaaa61-70：dcbbbabccb71-81：caaadbdacaaChapter2下面哪一种IT治理是提高战略联盟〔alignment的最佳做法？供货商和合作伙伴的风险管理.基于客户、产品、市场、流程的知识库实施到位.提供有利于于建立和共享商业信息的组织结构.高层之间对于业务和技术责任的协调建立可接受的风险水平的责任属于：质量保证经理.高级业务管理.CIO首席信息主管.首席安全主管作为信息安全治理成果,战略联盟提供：企业需求驱动的安全要求.按照最佳实践制定的安全基线.专门的或客户定制的解决方案.了解风险.如果缺乏高层管理人员对于战略计划的许诺〔commitment,最可能的后果是:缺乏技术投资.缺乏系统开发的方法.技术与组织目标不一致.缺乏对于技术合同的控制.用自下而上的方法来开发组织政策的优势在于这样开发的政策:为组织整体而指定.更可能来自于风险评估的结果.与企业整体政策不会冲突.确保整个组织的一致性IS审计师发现并不是所有的员工都知道企业的信息安全政策.IS审计师可以得出的结论是：这种无知有可能导致意外泄漏敏感数据信息安全并非对所有功能都是关键的.IS审计师应该为员工提供安全培训.审计结果应该使管理者为员工提供持续的培训有效的IT治理应该确保IT计划符合组织的:业务计划.审计计划.安全计划.投资计划.当通信分析人员进行下面哪一项的时候,IS审计师应该给予重点关注？监测系统性能,追踪程序变动导致的问题根据当前和未来的交易量,审查网络负载需求评价终端响应时间和网络数据传输率对于网络负载的影响网络负载平衡措施和改进建议下面哪一项最可能暗示,客户数据仓库应该由部开发而不是外包给海外运营？时差不同有可能影响IT团队的沟通通信费在第一年非常高有关隐私权的法律可能会阻碍信息跨国界传输软件开发需要更详细的说明当一名员工被解雇时,需要采取的最重要的行动是:交出全部职工的档案给指定的另一名雇员.完成员工工作的备份.通知其他员工关于该员工的解雇通知.解除该员工的逻辑访问权限.在处理可疑入侵时,一个合理的信息安全策略最有可能包括下列哪一项？反应纠错检测监控IS审计师在审查使用交叉培训做法的组织时,应该评估哪一种风险？对于单个员工的依赖性连续性计划不够充分一个员工了解系统的所有部分错误操作.IS审计师在审查IT设备的外包合同的时候,希望合同确定的是：硬件配置.访问控制软件.知识产权的所有权.开发应用方法.设计信息安全政策时,最重要的一点是所有的信息安全政策应该:非现场存储.由IS经理签署writtenbyISmanagement分发并传播给用户.经常更新.当评价组织的IS战略时候,下面哪一项IS审计师认为是最重要的？获得一线管理人员linemanagement的支持不能与IS部门初步预算有差异遵守采购程序支持该组织的业务目标缺乏足够的安全控制是一个:威胁.资产.影响.脆弱性.对于IT安全策略的审计的主要目的是保证策略向所有员工分发,并且每个员工都知道安全和控制策略支持业务和IT目标有公开发行的组织结构表和功能描述适当的职责分离.制订风险管理计划时,首先进行的活动是：风险评估.资料分类.资产清单.关键性分析.制订风险管理计划时,首先进行的活动是：风险评估.资料分类.资产清单.关键性分析.风险分析小组很难预测由可能会由风险造成的经济损失,要评估潜在的损失,小组需要：计算有关资产的折旧.计算投资回报率<ROI>.采用定性的方法.花费必要的时间精确计算损失金额以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险？管理协调用户不存在.无法明确特定用户责任未授权用户可以产生,修改和删除数据审计建议无法实施要支持组织的目标,信息部门应该具有：低成本理念.长期和短期计划.领先的技术.购买新的硬件和软件的计划.为降低成本并提高外包的服务水平,外包应该包括以下哪些合同条款？操作系统和软硬件更新的周期共同分享由于提高绩效获得的收益Gain-sharingperformancebonuses违规处罚费用和可变成本Chargestiedtovariablecostmetrics以下哪一项提供了管理机制使IS管理层能够确定是否该组织活动的计划偏离了计划或预期的水平?质量管理Is评估方法管理原则行业标准/基准IS控制目标对于IS审计师的用途体现在它们提供了基础,以便于理解：实现特定控制程序的预期结果和目标对于特定实体的最佳IT安全控制措施信息安全的技术.安全策略对于公司的IS审计师来说,考虑外包IT过程并审查每一个供货商的业务持续计划的副本是合适的的么？是合适的,因为IS审计师会评估服务商计划的充分性,并帮助公司实施补充计划是合适的,因为根据计划,IS审计师要评估服务方的财务稳定性和履行合同的能力不合适,因为提供的备份在合同中应该是具体充分的不合适,因为服务方的业务持续计划是私有的信息当服务被外包的时候,以下哪一个是IS管理者最重要的职能？确保支付给服务商发票作为参加者参与系统设计重新和服务商关于费用进行谈判监督外包商的业绩当IT支持部门和终端使用者之间的责权分离问题很重要时,应该采取下面哪种补偿控制？限制物理访问计算机设备审查交易和应用日志在雇用IT部门人员时进行背景调查一段时间不活动后,锁定使用者进程对于组织来说外包其数据处理业务的可能的优势是:能够获得所需要的外部的专家经验可以对处理行使更大的控制可以实施和部确定处理的优先权沟通使用者需求时,需要更多的使用者参与IS指导委员会应该：包括来自各个部门和各个层次的员工确保IS安全政策和程序被适当的执行有正式的定期召开例会,并保留每一次会议记录在每一次供货商召集的会议上,记录新的趋势和产品某个长期雇员是具有强大的技术背景和广泛的管理经验,申请IS审计部门的一个空缺职位。确定是否在此岗位上是否聘用此人需要考虑个人经验和：服务时间,因为这将有助于确保技术水准.年龄,因为培训审计技术可能不切实际.IS知识,因为这会带来提高审计工作的可信度.能力,因为作为IS审计师,与现有的IS关系是独立的许多组织要求雇员强制性休假一周以上是为了：确保员工保持良好的生活质量,这将带来更大的生产率.减少雇员从事非法或不当行为的机会.为其他雇用提供适当的交叉培训.消除员工休假一次一天的潜在的干扰在实施平衡计分卡之前,该组织必须:提供切实有效的服务.确定关键性能指针.提供该项目的商业价值.控制IT支出.在企业资源计划〔ERP系统中总账的设置功能允许设置会计期间。对于这项功能允许财务,仓库和订单输入部门的用户都可以使用这项功能。这种广泛的访问权的最可能的原因是：需要定期更改会计期间一个会计期间结束后,需要追加记账缺少适当的政策和程序进行职责分工需要建立和修改关于账目和分配的图表在IS部门中,下面哪一项IS审计师认为是和IS部门的短期计划最相关的？资源分配保持技术的领先水平进行评估自我控制硬件需求评估评估IT风险的最佳办法是:评估与现有IT资产和IT项目相关的威胁利用公司以往的实际经验,确定当前风险损失.审查同类公司公布的损失统计资料审查IS审计报告中指出的控制弱点以下哪一个是IT绩效衡量过程的主要目的?最小化错误收集绩效资料.建立绩效基准.绩效优化.让业务单位担任开发应用业务的责任,很可能会导致:数据通信的需求大幅度减少.行使较低水平的控制.实行更高层次的控制.改善职责分工.IS审计师受雇审查电子商务安全。IS审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。下一步工作是什么？立即向CIO或CEO报告风险检查开发中的电子商务应用.确定威胁和发生的可能性.核对风险管理的可行预算.以下哪一项是创建防火墙策略的第一步?对于安全应用的成本效益分析方法识别外部访问的网络应用识别外部访问的网络应用的脆弱性设立应用控制矩阵,显示保障办法确保组织遵守隐私的要求,IS审计师应该首先审查:IT基础设施.组织的政策、标准和程序.法律和规章的规定.组织政策、标准和程序的附件.组织的管理层决定建立一个安全通告awareness程序。下面哪一项可能是程序的一部分？利用入侵检测系统报告事件授权使用密码访问所有软件安装高效的用户日志系统,以追踪记录每个用户的行为定期培训所有当前员工和新进员工以下哪一项是减轻职责划分不当引发风险的补偿控制？序列检验核对数字源文件保存批控制ReconciliationsIT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指针而不是财务状况.客户满意度部过程的效率.创新能力由上而下的方式建立的业务政策将有助于保证:政策在整个组织的围一致.政策作为风险评估的一部分实施遵守所有政策.政策被定期检讨.以下哪一项是IT指导委员会的职能：监测供货商对于变更控制的控制和测试保证信息处理环境中的职责分离审批和监管重大项目,IS计划和预算的情况IS部门和终端使用者之间的联系其中哪一项应包括在组织的信息安全政策中？要保护的关键IT资源列表访问授权的基本原则确定敏感安全特征相关的软件安全特征在一个组织,IT安全的责任被清楚的定义和强化,并始终如一地执行IT安全的风险和影响分析。这表示的是信息安全治理成熟度模型的哪一级？优化.管理定义重复IS审计师在审查信息系统短期〔战术计划时应确定是否：在项目中,IS人员和业务人员进行了整合有明确的目标和任务信息技术计划战略方法在发挥作用将业务目标和IS目标进行关联的计划局域网<LAN>管理员通常受限制于〔不能：具有终端使用者权限向终端使用者经理报告具有程序设计权限负责局域网安全管理一个组织收购其他企业,并继续使用其遗留的电子数据交换系统,和三个独立的增值网供货商。没有书面的增值网合同。IS审计师应该建议管理者：获取第三方服务提供商的独立保证设置程序监督第三方交付的服务确保正式合同发挥作用考虑和第三方服务提供商共同开发业务持续计划对于成功实施和维护安全政策来说,以下哪一项是最重要的？各方的书面安全策略的结构和目的都一致。管理层支持并批准实施和维护安全政策通过对任何违反安全规则的行为进行惩罚来强调安全规测安全管理人员通过访问控制软件严格执行,监督和强调安全规则下列哪一项减少了潜在的社会工程攻击的影响：遵守规定要求提高道德意识安全意识awareness程序有效的业绩激励以下是一种机制可以减轻风险.安全和控制措施财产责任保险审计和鉴证合同服务水平协议<SLA>电子取证的风险可能会减少的原因是通过电子的:破坏政策.安全政策.存档政策审计政策IS审计师审查组织的IS战略计划,首先要审查：现有的IT环境业务计划目前的IT预算.目前的技术趋势技术变革的速度增加了下面哪一项的重要性:外包IS功能.实施和强化良好流程员工在组织中的建立事业的愿望满足用户要求将会在组织的战略计划中发现下面哪一个目标？测试新的账户包Testanewaccountingpackage进行信息技术需求评估在接下来的12个月中实施新的项目计划成为某种产品的供货商制定一个安全政策是哪一个部门的最终责任:IS部门.安全委员会.安全管理员.董事会IT治理是哪一项的主要责任:首席执行官.董事会IT指导委员会.审计委员会.IS审计师对于与员工相关的IS管理实践审计进行一般控制审计,应该特别关注的是：强制休假政策和遵守情况.人员分类和公平的补偿政策.员工培训.分配给员工的职责从控制角度而言,工作的描述的关键要素在于他们:提供如何工作的说明和明确的授权对于员工来说是更新的,文档化,并且容易得到沟通管理者的具体工作业绩预期.确立员工行为的责任和义务下列哪些证据提供了具有合适的安全意识程序的最好证据？股东的数量Thenumberofstakeholders,包括受到培训各级员工整个企业围培训覆盖的围不同供货商的安全设施落实情况定期审查并与最佳实践比较在制定以下哪一项时,包括高层管理人员参与是最重要的？战略计划.IS政策IS程序.标准和指南.在审查IS战略时,IS审计师最能衡量IS策略是否支持组织的业务目标的做法是确定是否：有需要的所有人员和装备.计划与管理策略一致.使用设备和人员的效率和效益.有足够的能力,以适应不断变化的方向.在职责分离不合适的环境中,IS审计师要寻找下面哪一种控制？重迭控制边界控制访问控制补偿性控制当IS从独立的服务提供商处采购时,审计师应该期望在招标书requestforproposal<RFP>中包括下面哪一项？从其他客户参考服务水平协议<SLA>本维护协议转换计划风险管理的产出结果是下面哪一项的输入？业务计划.审计章程.安全政策策略.软件设计策略.IT指导委员会审查信息系统主要是为了评估:IT处理是否支持业务需求.提出的系统的功能是否足够.现有软件的稳定性.安装技术的复杂性.建立了信息安全程序的第一步是:制定和实施信息安全标准手册.IS审计师执行对于安全控全面的审查采用公司的信息安全政策报告购买安全访问控制软件在审查电子资金转账系统<EFT>的结构时,ＩＳ审计师注意到技术架构基于集中处理方式,并且外包给国外处理。由于这些信息,下面哪一个结论是ＩＳ审计师最关注的？可能会有与司法权限围有关的问题由于有国外的供货商可能会导致未来审计费用超支由于距离,审计过程可能会很困难可能有不同的审计标准组织外包其软件开发,以下哪一项是该组织IT管理的责任?支付服务提供商作为参加者参加系统设计控制外包商遵守服务合同与供养商谈判合同有效的IT治理要求组织的结构和流程能够确保：组织的战略和目标延伸到IT战略.业务战略来自于IT战略IT治理独立于并不同于全面治理IT战略扩大了组织的战略和目标全面有效的电子政策应明确电子结构、执行策略、监控和:恢复.保存.重建再用下面哪一项最能保证新员工的正直性?背景检查参考数据人际关系<bonding>简历中的资格第二章答案01-10：dbacdaaacd11-20：acccddbccc21-30：cbbbaadbac31-40：dbbcaadbcb41-50：cddaacbbbc51-60：cacacbbddb61-70：dddabdacac71-75：acdbaChapter3一个组织有一个集成开发环境,库在服务器上,但是修改/开发和测试在工作站上完成,以下哪一项是集成开发环境〔IDE的强项？控制程序多个版本的扩散扩展程序资源和可得到的辅助工具增加程序和加工的整体性防止有效的变更被其他修改程序重写以下哪一项是计划评审技术<PERT>相比其他方法的优点？与其他方法相比:为计划和控制项目考虑不同的情景允许用户输入程序和系统参数.测试系统维护加工的准确性估算系统项目成本.下列哪些是使用原型法进行开发的优点？成品系统有足够的控制.系统将有足够的安全/审计轨迹.减少部署deployment时间很容易实现变更控制软件开发方法中生命周期法中的瀑布模型最适合用于：需求完全理解并可望保持稳定,如同系统运行的业务环境一样需求完全理解并且项目受时间压力影响项目需要使用面向对象的设计和程序设计方法项目需要使用新技术以下哪种人员要为软件开发团队提供需求说明书负责？组长项目发起人系统分析员指导委员会.在处理决策支持系统时,以下哪一项是实施风险？管理控制结构化层次无法确定用途和使用方式决策过程的变化审计师审查重组织流程的时候,首先要审查：现有控制图消除的控制处理流程图补偿性控制.IS审计师进行应用程序维护审计时,审查程序变更日志是为了：授权程序变动创建当前对象模块的日期程序变化实际产生发生的数量源程序创建日期组织与供货商签订了成套的电子收费系统<ETCS>解决方案的合同,供货商提供专用的软件作为解决方案的一部分,合同中应该规定：运行ETCS业务和最新资料的备份服务器.装有所有相关软件和数据的备份服务器.对系统的工作人员进行培训,以便处理任何事件.ETCS应用的源代码放在第三方代管inescrow.在考虑增加人员到受实施时间限制的项目时,应该先考虑以下哪一步？项目预算项目的关键路径剩余任务的时间长度员工分配的其他任务对于新的或者现有改进的业务应用系统的审查的目的是：确定是否测试数据覆盖了所有的情况进行认证和证明过程.评估项目是否收到预期效益.设计审计报告.在设计软件基线时,下面哪一个阶段是最合适的阶段？测试设计需求分析开发在评估数据库应用系统的可移植性时,IS审计师应该审查结构化语言<SQL>使用.其他系统的信息输入和输出处理过程使用索引.所有实体都有有意义的名称和明确的主键字和外部关键词.系统测试的主要目的是:测试设计产生的控制总数.testthegenerationofthedesignedcontroltotals判断系统的文文件是否准确评估系统功能.确保系统操作熟悉新制度.becomefamiliarwiththenewsystem实施EDI处理的项目的可行性报告中应包括以下哪一项？加密算法的格式详细的部控制程序必需的通信协议建议的可信的第三方协议在客户机服务器环境下实施一个购买的系统时,下面哪一项测试能够确定windows注册表的修改不会影响到桌面环境？兼容性测试平行测试白盒测试验证测试.下列哪种情况有可能会增加舞弊？.应用程序员对产品程序进行修改应用程序员对测试程序进行修改运行支持人员对批次安排进行修改数据库管理员对数据库结构进行修改用回归测试方法测试程序的目的是为了确定是否：新的代码中包含错误.功能说明和实际表现中存在差异新的要求已得到满足.改变的部分给未变化的代码引入了错误在设计数据仓库下面哪个要素是最重要的因素?元数据品质交易速度数据的多变性系统的弱点下面哪一项整体测试检查数据的准确性、完整性、一致性和授权?数据关系领域参考主要在于SDLC开发方法的哪个阶段防止程序的蔓延扩大？开发实施设计可行性在审查基于WEB的软件开发项目时,IS审计师发现没有强调编码规则,并且没有进行代码审核。这有可能增加以下哪种成功的可能性？缓冲溢出.强力攻击.分布式拒绝服务攻击战争拨号攻击.一家公司最近将其销售系统提升为综合的EDI传输系统.为提供有效的数据map,应该在EDI接口实施下列哪一项控制？关键词验证一对一地检测手工重算功能确认程序员在工资发放应用程序中包括了查找自己工资的例行程序,作为结果,如果自己的工作没有找到,这个例行程序将产生随机数并替换掉所有的薪水金额。这种程序被称作：清理scavenging.资料泄露尾随特洛伊木马在软件开发项目中,整体全面质量管理<TQM>的基本要点在于：全面檔.准时交货.成本控制.用户满意.以下哪一项有助于程序维护？聚合性强,藕合性松散松聚合,松藕合强聚合,强藕合松聚合,强藕合利用自下而上的方法与由上而下的方法相比,在进行软件测试时优点在于：尽早发现界面错误.更早达到对系统的信心.尽早发现关键模块的错误.尽早测试主要的功能和处理采用面向对象的设计和开发技术最有可能：便于模块重复使用系统性能改进.加强控制效能.加快系统开发周期下列哪些风险可能会造成软件基线baselining不足?围蔓延签署延误软件完整性受损不足控制银行系统使用下面哪一种数据确认编辑,可以确保分配给客户的银行账号数字的正确性,从而避免传输和交易错误？序列检验有效性检查检查位数存在性检查应用CMM能力成熟度模型评估应用开发项目,IS审计师应该能够确认：保证产品可靠.程序员程序设计的效率提高.安全需求被设计.可以预测后续的软件过程IS审计师建议将初始化确认控制编入信用卡交易捕获应用程序中,初始化确认程序很可能：检查,以确保交易类型对于卡片类型来说是合法的确认输入并存放在本地数据库的数字的格式确认交易在持卡人的信贷限额确保丢失或被窃的的卡不显示在主文档中以下哪一项用于确保批量数据完整准确地在两个系统中传输？控制总数核对数字检查汇总控制账户几个税收计算程序保持了几百种不同的税率,确保输入程序的税率准确性的最好的控制是：对于交易列表的独立审查.程序防止编辑输入无效数据.程序检查20%以上的数据输入围的合理性.处理部门直观核实数据输入.以下哪一个数据编辑验证对于检查数据传输和变换是有效的？围检查核对数字有效性检查重复检验测试软件模块时,以下哪一个是动态的分析工具？黑盒测试部件检验Deskchecking结构化穿行测试设计和代码IS审计师审查零售公司的EFT运营,确认在资金转移前对客户信贷限额进行了验证,需要审查系统接口.转换设备.个人生成程序.业务备份处理分离开发和测设环境的主要原因是：对测试中的系统限制访问.分离用户和开发人员控制测试环境的稳定性在开发时安全访问系统公司实行了新的客户机-服务器模式的企业资源规划系统<ERP>,当地分支机构传递客户订单到中央制造厂。以下哪种措施确保订单准确地进入并且生产出相应的产品？根据客户订单核实产品在ERP系统中记录所有客户订单在订单传输处理中使用哈希hash总数hashtotal在生产前审批订单在项目启动阶段审查系统开发项目,IS审计师发现项目小组遵守组织的质量手册。项目组要在截止期限快速追踪验证和取证处理,这需要在预交付之前开始一些措施。在这种情况下,IS审计师最有可能？作为关键发现报告给高级管理层接受适合于不同项目的不同的质量处理报告IS管理层,小组无法遵守质量程序向项目指导委员会报告快速追踪的风险审查获取的软件包,IS发现购买软件的信息是从互联网上获得的,而不是来自于对需求建议requestforproposal<RFP>的反应,IS审计师第一步要：测试软件与现有硬件的兼容性进行差距分析审查许可证确保获得批准程序以下哪一项最有可能发生在系统开发项目编码阶段的中期？单元测试压力测试回归测试验收测试在审查会计系统的转换过程时,IS审计师应该首先确认存在：控制总数检查确认检查完整性检查限制检查在人工智能系统中,应该严格控制访问下面哪种组件？推论引擎模式解释知识库数据接口.利用测试数据,作为以连续在线方式全面测试程控的一部分,被称为：试验数据/Deck.基于案例的系统评估base-casesystemevaluation综合测试法<ITF>.并行模拟.以下哪一个是timebox管理的特征?不适合于原型法或快速开发方法无需质量处理.防止成本超支和交付延迟.单独的系统和用户测试IS审计师审查交易驱动系统环境中的数据的完整性,需要审查原子性atomicity以确定是否：数据库存在故障<硬件或软件>.每个交易与其他交易分离.保持完整的条件.交易完成或数据库更新.采用第四代语言<4gls>相比使用传统语言应该更加慎重,因为第四代语言有可能：缺少对数据进行深入操作的底层必需的细节命令不能在主机系统和微型计算机上都执行包括复杂的必需由有经验用户使用的语言子集不能访问数据库记录并产生复杂的在线结果检查终端的非授权输入信息最好是通过：控制面板日志打印输出事务历史记录自动暂停的档列表使用者错误报告当两个或两个以上系统整合时,ＩＳ审计师必需审查的输入／输出控制是：系统接受其他系统输出的部分系统发送给其他系统地结果系统发送和接收的数据两个系统的接口使用电子资金转账<EFT>,一名员工输入了总数,另一名雇员在资金传输前重复输入了reenters相同数据的金额。在这种情况下组织采用的合适的控制是：序列检查.关键词核查.检查数字.完整性检查.购买应用系统的招标采购<招标>需求,最有可能通过下面哪一项批准？项目指导委员会.项目发起人.项目经理.用户项目组.经营单位关注最近实施系统的绩效。ＩＳ应该做出何种建议？建立基线和监测系统使用.确定候补处理程序准备维护手册.落实用户的修改建议.一项检查传输错误的控制需要在传输的每一段数据后面增加计算位,被称为：合理检查.同位冗余校验核对数字.在应用软件的执行时,下面哪一项是最大风险?未经控制的多种软件版本源程序与目标代码不同步不正确的参数设置程序设计错误一旦一个组织完成了业务流程重组<ＢＰＲ>的所有重要操作后,ＩＳ审计师的审计重点最可能会是：ＢＰＲ之前的处理流程图ＢＰＲ之后的处理流程图ＢＲＰ项目计划连续改进和监控计划在审计购买新的计算机系统建议时,ＩＳ审计师首先要确定：明确的业务案例被管理层批准符合公司安全标准用户将参与计划的实施.新系统将满足所有功能用户的需要.以下哪一项是平行测试法的主要目的？确定系统的成本效益允许全面的单元和系统测试发现程序与文件接口处的错误确保新系统满足用户要求在ＩＳ项目的计划阶段的假设包括高度的风险,因为这些假设：是根据已知的限制.是基于过去的客观数据是缺乏信息的结果.做假设的人往往是不合格的.公司使用银行办理每周的薪水发放。时间表和薪水调整窗体完成并送交银行,银行准备现金或支票并分发报告。最好的确保分发工资数据准确性的方法是：工资报告应该与输入窗体进行比较手工计算发放工资总数现金或支票与输入窗体比较现金/指标应符合产生的报告IS审计师被IS告知组织已经达到了CMM最高级别,组织的的软件质量过程最近能够被定义为：持续改进.数量和质量目标.文档化的过程对于具体项目的详细处理为减少在处理时数据损失的可能性,首先应该实施控制总数的是：在资料准备阶段进入计算机时.在计算机之间运行时在返回给用户部门数据数据时.当纠正以往的删除错误重新进行接受测试时,一些系统故障正在发生。这表明维护小组可能没有充分进行以下哪一种测试？单元测试整体测试设计穿行测试配置管理IS审计师在审查应用软件获取申请,应该确保：正在使用的操作系统符合现有的硬件平台.计划的操作系统更新已经排定,并尽可能减少对公司需求的负面影响。操作系统是最新的版本并经过升级产品与当前或计划中的操作系统是符合的在用户完成了验收程序后,IS审计师正在对应用系统进行审计,下面哪一项是IS审计师最关注的？判断是否测试目标被文文件记录评估是否用户记录了预计的测试结果Assessingwhetherusersdocumentedexpectedtestresults审查是否已完成测试问题记录审查是否存在尚未解决的问题在选择软件时,,以下哪一个要考虑的商业和技术问题是最重要的？卖方声誉组织的需求成本因素安装的基础aninstallbase实施专家系统的最大的好处是：在组织中保留个人的知识和经验在集中的知识库共享知识提高工作人员的生产力表现.降低关键部门的员工流动率.许多IT项目的经验问题是因为对开发时间和/或所需的资源估计不足。以下哪一种技术是制定项目时间评估的最好辅助工具？功能点分析PERT图快速应用开发面向对象的系统开发实施后审查阶段,下面哪一种工具IS审计师可以用来得到存中容的映像,在程序执行的不同阶段？Memorydump存dump逻辑路径监控追踪工具输出分析下列哪个团体拥有系统开发项目和结果系统？用户管理层高级管理层项目指导委员会系统开发管理层在软件开发过程中,以下哪一个最有可能确保业务需求得到满足？适当的培训程序员理解业务流程业务规则文件关键用户尽早介入第四代语言的一个突出特点是可移植性,这意味着：环境独立Workbenchconcepts工作台概念设计屏幕格式和图形化输出的能力能够运行在线操作以下哪一项是进行业务流程重组的第一步？定义要审查的围开发项目计划理解审查的流程重组和梳理要审查的流程IS审计师参加了软件开发项目的测试过程确认单个模块表现正确。IS审计师应该：推断多个单独模块成组运行时也应该是正确的记录测试作为系统能够产生预期结果的正面证据通知管理层并建议整体测试提供增加的测试数据数据仓库是:面向对象的.面向主题的.具体部门的可变的数据库白盒测试与黑盒测试的不同在于白盒测试：IS审计师参与由独立的程序小组完成检查程序的部逻辑结构使用自下而上的开发方法在下面哪一个阶段,将开始准备用户接受测试计划？可行性研究需求定义实施计划实施后审计在数据仓库中,数据质量的保证是通过：清洗.重组源数据的可信性转换IS审计师发现正在开发的系统有12个相互联系的模块,每个模块的数据涉及到10多个领域。系统每年处理几百万个交易。IS审计师用下面哪种技术评价开发的规模？计划评审技术<PERT>Countingsourcelinesofcode<SLOC>功能点分析白盒测试专家系统的知识库,使用一组问题引导用户进行一系列选择到达最终结论,被称为：规则.判定树语义网络数据流程图一个组织打算购买软件包,向IS审计师征求风险评估的意见。以下哪一个是其中的主要风险?得不到源代码没有制造商的品质认证缺乏供货商/客户参考供货商对于软件包的经验很少系统开发生命周期项目的阶段和交付应该被确定在：在项目的初步规划阶段.在初步规划完成后,在工作开始前整个会话,基于风险与暴露exposures..仅仅在风险被确定,并且IS审计师提出了合适的控制后以下哪一项是企业管理技术,使组织开发重要的战略系统能够更快,减少开发成本,同时保证质量？功能点分析关键路线方法快速应用开发计划评价审查技术数据确认编辑匹配输入数据的发生率的数据是：限制检查.合理性检查.围检查.正确性检查.测试连接两个或两个以上的系统的组件,信息从一个区域到另一个区域被称为：引导测试.平行测试接口测试回归测试如果应用程序被修改,并且适当的系统维护程序发挥作用,下面哪一项将要被测试？数据库完整性.对应用程序的访问控制完整的程序,包括任何接口系统包括修改的代码的程序段功能确认被用于：作为EDI交易的审计轨迹IS部门的功能描述记录用户作用和责任应用软件的功能描述当实施数据仓库时,下面哪一个是最大的风险？生产系统反应时间增加防止修改数据的访问控制不足数据重复数据没有更新或没有最新资料应该用什么数据进行回归测试?与用于上一次测试不同的资料最近的生产资料以前测试用过的资料测试数据发生器产生的数据快速应用开发相比传统系统开发生命周期的最大优势是：有利于用户参与.允许提前测试技术特征.便于转换到新的系统.缩短开发时间.组织实施新的系统取代遗产系统。下面哪一种转换做法将造成最大的风险？引导计划<Pilot>平行直接切换分阶段在控制应用程序维护时,下面哪一项最有效？通知使用者变化的情况确定程序变化的优先权关于程序变更获得用户批准要求记录用户关于变化的说明业务流程重组项目期望：业务优先顺便保持稳定信息技术不会改变流程将提高成品、服务和赢利能力.客户端和顾客的输入不再是必要的.在审查IS部门的开发质量时,IS审计师发现没有使用任何正式的,记录的方法和标准。IS可能采取的行动是：在完成审计并报告结果调查并建议适当的正式标准.记录非正式的标准并进行符合性测试退出并建议当标准确定后进行深入审计下列哪一种方法强调依靠用户原型,并能够不断更新以适应用户和业务需求的变化?面向数据的系统开发方法面向对象的系统开发方法业务流程重组快速应用开发公司与外部咨询公司签署合同实施商业的金融系统以取代现有的部开发的系统。在审查提出的开发目标时,应该最关注的是下面哪一项？由用户管理验收测试.质量计划不是合同交付的一部分并非所有业务功能都将在初步实施时实现.使用原型法保证系统满足业务需要下面哪一个测试的错误将会为实施新的应用软件带来最大的风险？系统测试验收测试整合测试单元测试同行peer审查要发现软件开发活动中的错误被称为:模拟技术.结构穿行测试.模块程序技术从上到下程序结构一个调试工具,按顺序报告程序执行的步骤,被称为：输出分析.存dump编译程序逻辑路径监视器IS审计师执行对于IS部门的审计工作,发现不存在正式项目审批程序。如果没有这些程序,项目经理可以擅自批准项目,这些项目能在很短的时间完成。比较而言,更复杂的项目需要更高级别的管理人员批准。IS审计师建议采取的第一步行动是:用户参与审查和审批程序.使用正式审批程序并记录.项目交付适当的管理层审批.IS经理的工作描述需要修改以包括审批权价格在收费标准的基础上随着改变量增加而变化,任何例外必须通过人工批准。下面哪一种是最有效的自动控制帮助确定所有的价格例外都被审批？所有款项必须回显在在输入人员,由他们直观检查超过正常围的价格要输入两次,以便精确确认数据。当输入例外价格并且打印时,系统发出蜂鸣声。在价格例外处理时,必须输入二级密码在原型法的初始阶段,下面哪一种测试方法最有效？系统平行总量volume从上到下一个决策支持系统目标是解决高度结构化的问题整合使用的数据模型与非传统的数据访问和恢复功能强调用户在制定决策方法中的灵活性只支持结构化的决策制定任务通过提取和重新使用设计和程序组件,现有的系统得到了扩和强化。这是：逆向工程原型法软件重用业务流程再设计金融机构利用专家系统管理授信额度.IS审计师审查系统最应关注的是:确认系统的数据输入知识库中不同层次的经验和技巧访问控制设置实施处理控制在测试中使用清洁真实的事务数据的优点在于：可以包括所有交易类型每种错误情况都可能测试到评估结果不需要特定的程序测试交易代表实际处理理想的压力测试应该在：使用测试数据的测试环境使用真实数据的生产环境.使用真实工作量liveworkloads的测试环境使用测试数据的生产环境.最常见的信息系统失败的原因对于用户的需:用户需求不断变化.用户需求的增长无法准确预测.硬件系统限制了同时使用的用户的数量.用户对于系统需求的定义参与不够以下哪一项对于选择和购买正确的操作系统软件是重要的？竞争性招标用户部门批准硬件配置分析采购部核准软件能力成熟程度模型<CMM>标准中,第一次包括软件开发过程的是哪一级?初次<第1级>重复<第2级>定义<第3级>优化<第5级>在金融交易的EDI系统中,汇总字段的检查汇总位的目的是确保：完整性.真实性授权抗抵赖提出申请的事务处理应用程序有很多数据捕获源,以电子和书面的输出形式确保事务处理过程中不会丢失。.IS审计师需要建议的结论是：验证控制.部信用检查员工控制程序.自动化系统平衡.制造企业想要使用支付账单自动化系统。要达到的目标有：系统用很少的时间进行审查和授权,系统能够确认错误并根据需要跟进。下面哪一项最符合要求？与供货商建立跨系统的客户机服务器模式的网络系统,提高效率把自动化支付和帐务收支处理程序外包给第三方专业公司处理对电子业务文文件和交易建立EDI系统,EDI系统与关键供货商共建,使用标准格式,从计算机到计算机。重整现有流程,重新设计现有系统当新系统将在短期实施时,最重要的是：完成用户手册的写作.用户进行验收测试.不断加强系统功能addlast-minuteenhancementstofunctionalities保证了代码被记录并进行了审查.下面那一个控制弱点有可能会危及系统更换项目？项目启动文档没有更新,以便在整个系统围反映变化比较所选方案和原始规的差异分析显示了关于功能的一些显著变化项目已经受到了具体需求变化的影响.组织决定不需要项目指导委员会.下列哪些团体/个人应承担系统开发项目的总体方向和时间成本责任？用户管理项目指导委员会高级管理层系统开发经理下列哪种能力成熟程度模型的层次确保实现基本项目管理控制？重复<2级>定义<3级>管理<4级>优化<5级>以下哪一个代表EDI环境中潜在的最大风险？交易授权遗失或重复EDI传输传输延迟在确定应用控制之前删除或操纵交易当应用开发人员希望使用一个过去的产品交易文件的拷贝进行流量测试时,IS审计师最关注的是：用户可以选择使用好的数据进行测试.擅自访问敏感数据结果.错误处理和可靠性检验可能未能完全证明.新系统的全部功能可能不必测试组织捐赠使用过的计算机应该确保:计算机没有用于存储敏感信息签署不泄漏协定数据存储媒介被清洗sanitized所有数据被删除.Gantt图表可以使于：辅助安排项目任务确定项目检查点确保文献标准进行实施后审查销售订单按照自动编号顺序在零售商的多个出口输出,小订单直接在出口处理,大的订单送到中央大型生产厂。确保所有生产订单都被接收的最合适的控制是：发送并匹配交易总量和总数传送的数据返回本地进行比较比较数据传输协议并进行同位在生产工厂追踪并记录销售订单的序列数字功能性是评估软件产品质量整个生命周期的一个特征,最好的描述作为一系列特征：存在一系列功能和特殊属性软件能力能够从一种环境转换到另一个软件能力在一定的条件下能够维持一定的性能在软件性能和所用资源的数量之间的关系开发业务应用系统的变更控制,使用原型法有可能会复杂由于：反复性原型.需求和设计的快速变化强调报告和显示缺乏综合性工具.IS审计师审查项目,主要是质量问题,应该用项目管理的三角解释：提高质量是可以实现的,即使是资源分配减少只有资源分配增加才能提高质量即使资源分配减少,也可以减少交付时间只有质量降低,才能达到减少交付时间的目标在网上事务处理系统中,保持数据的完整性是通过确保交易或者完全执行或者完全不执行。数据完整性的这一原则被称为：孤立.一致性原子性.耐久性ＩＳ审计师审查ＣＡＳＥ环境时最关心的问题是使用ＣＡＳＥ不能自动的：正确捕获需求.保证需要的应用控制已经被实施产生经济的和用户友好的接口产生高效代码ＩＳ审计师在一些数据库的表中发现了越界数据。ＩＳ审计师将建议以下哪种控制避免这种情况？记录更新所有交易日志.实施执行前与执行后报告.安装和使用追踪.实施数据库的完整性约束在传输付款指令时,下面哪一项有助于确认命令不是复制的？使用加密ｈａｓｈｉｎｇ算法加密信息摘要解密信息摘要序列数字和时间戳ＩＳ审计师在审查ＥＤＩ交易时发现了未经授权的交易,有可能建议改进：EDI贸易伙伴协议.对于终端的物理控制发送和接收信息的认证技术程序变更控制处理以下哪一个是原型法的优势?完成的系统通常有很强的部控制原型系统可以节省大量的时间和费用.使用原型系统的变更控制不复杂首先要保证不增加额外功能.以下哪一个是对完整性的检查<管理>？检查位奇偶校验位一对一检测预先录入调试程序的目的是：用于产生在实施之前测试程序的随机数保证有效变更,防止被其他变更程序重写定义程序开发和维护费用列入可行性研究确保异常中断和编码错误被检查和纠正在应用审计阶段,ＩＳ审计师发现几个问题与数据库错误有关。下面哪一个是ＩＳ审计师应该建议的纠正控制？实施数据备份和恢复程序.定义标准和相应的复合性监督确保只有授权人员能够更新数据库.确认控制处理当前的访问问题EDI对部控制的影响是:审查和批准较少存在.固有认证.由第三方拥有的适当分配的EDI交易IPF管理将会增加对于数据中心控制的责任下面哪一种测试可以确定当新的或变更的系统在目标环境中运行时并不影响其他现有系统？平行测试Pilot测试整体/接口测试Sociabilitytesting适应性测试企业成立指导委员会以监督电子商务系统。指导委员会很可能会涉及到：记录需求escalationofprojectissues.计划升级问题设计接口控制具体报告.在电子转账系统<EFT>中,下面哪一种控制有助于发现重复信息?信息认证码数字签名授权序列码授权分离第三方应用系统中发现有安全弱点,此系统有与外部系统的接口,在很多模块上应用了补丁。IS审计师将建议作何种测试？压力黑盒界面系统IS审计师将采取下面何种行动评估软件的可靠性？审查错误登陆尝试的数量在给定的运行时间记录程序错误次数测试不同请求的响应时间与用户面谈评价需求满足的程度零售公司最近在不同的地点安装了数据仓库的客户端软件,由于这些的时差不同,升级数据仓库不同步。下列哪一项受影响最大?资料可用性数据的完整性数据冗余数据不准确其中哪一项保证数据计算的完整性和准确性？加工控制程序数据文件控制程序输出控制应用控制最优质的软件实现:通过全面测试.发现并快速纠正程序设计错误通过用可用的时间和预算确定测试数量通过使用定义明确的流程和对整个项目的结构审查公司进行业务流程重组,以支持对客户新的直接的营销方法。关于这个新过程IS审计师最关注什么？保护资产和信息资源的关键控制发挥作用公司是否满足顾客的需求?系统是否满足性能要求用户确定谁将为流程负责当审计自动化系统时,责任和报告途径无法确定,因为：分散的控制使所有权无关diversifiedcontrolmakesownershipirrelevant.传统的员工工作变动更加频繁由于资源共享很难确定所有权在快速开发技术影响下,责任变化迅速在实施控制前,管理者首先要保证控制：满足处理风险问题的需要不降低工作效率.基于成本效益分析.被检查或纠正以下哪一项是于敏捷开发相关的风险？缺乏文檔缺乏测试需求定义差项目管理差以下哪一项是对于程序员访问应付帐款生产数据的补偿控制？围检验和逻辑编辑的处理控制通过数据输入审查应付帐款输出报告审查系统生成的报告,对于固定数量的现金或支票应付帐款管理员核定所有现金和批准的发票编辑/确认在远程输入的数据的程序,运行最有效的位置是：中心处理在运行应用程序后中心矗立在运行应用程序期间传输数据到中心处理器以后的远程远程,在传输数据到中心处理器之前在单元测试中,测试策略的运用是：黑盒白盒自下而上.自上而下.下列哪些类型的资料编辑检查校验可以确定一个字段是否包括资料,而不是零或空白？检查位数存在检查完整性检查合理性检查以下是最关键,也是对于保证数据仓库中数据质量最有用的？原始资料的准确性数据源的可信度提取过程的准确性数据转换的准确性下列哪些类型的控制的设计目的是为了提供核实整个应用处理中的数据和记录？围检查运行到运行检查计算总量的限制检查例外报告审计师应该审计以下哪一项,以便理解管理多个项目的控制的有效性？项目数据库政策檔项目投资数据库程序组织在设计新系统时确定停止或冻结点的原因是：防止对运行中项目的进一步修改说明在什么时候可以完成设计.要求在这一点改变后评估成本效益为项目管理团队系统对于项目设计提供更多的控制质量保证组一般负责:确保从其他系统接受的结果处理已经完成监督计算机处理任务的执行确保程序,程序变更和文文件与制定的标准一致设计流程保护数据防止意外泄漏,修改和破坏以下哪一个是面向对象技术可以实现更高安全性的特点？继承性动态库封装多态性用于IT开发项目的关于业务案例的档应该保留到：整个系统的生命周期结束.项目被核准.用户接受系统.系统正常生产.一个数字签字设备用于金融机构贷款给客户的账户。金融机构接到3次指示,对账户支付三次。下面哪一种控制子最适合防止多次支付信用卡credit？对付款指令进行HASH加密,用金融机构的公钥对指令增加时间戳,用于检查重复支付对付款指令进行HASH加密,用金融机构的私钥在金融机构对摘要签名前,对指令增加时间戳下列哪一个最好的描述了按照标准系统开发方法的目标？确保分配合适人员,并提供方法进行成本控制和进度安排提供方法进行成本控制和进度安排,以确保用户,IS审计师,管理者和IS个人的沟通提供方法控制时间和进度,以便有效的控制审计项目开发确保用户、IS审计师、管理人员之间的沟通,以确保安排合适的人员以下哪种方法有助于确保连接数据库的应用程序的可移植性？确保数据库导入和导出处理使用结构化查询语言<SQL>.分析存储处理/Triggers.数据库物理模式与实体联系模型同步以下哪一种代表了典型的交互式应用？屏幕和处理程序屏幕、交互式编辑和抽样报告交互式编辑、处理程序和抽样报告屏幕、交互式的编辑、处理程序及抽样报告下列哪些工具或系统可以确认信用卡交易很可能是由被窃取的信用卡而不是真正的持卡人？入侵检测系统数据挖掘技术防火墙包过滤路由器在计划软件开发项目时,以下哪一项最难以确定？项目延迟时间项目的关键路线个人任务需要的时间和资源不包括动态活动的,在其他结束之前的关系雇员负责更新金融应用程序每天的资金运用利率,包括例外客户的特定利率。下面哪一个是确保例外利率审批的最好控制？在额外利率确认前,超级用户必须输入口令超过正常围的利率必须要更高级管理层的批准当输入例外利率时,系统发出警告所有利率必须记录并确认每30天负责制定、执行和维护部控制制度的责任在于:IS审计员.管理层.外部审计师.程序开发人员.在发现了计算机系统中的特洛伊木马程序后,IS审计是要做的第一件事是什么？调查作俑者消除潜在威胁.确定补偿控制.移除非法代码在企业资源管理系统的实施后审计中,IS审计师很可能:审查访问控制配置.接口测试评估.详细设计档审查.系统测试评估.在互联网应用上使用applets的最好的解释是:从服务器经过网络传送.服务器不运行程序,输出不经过网络改善网络服务器和网络的性能.是通过网页服务器下载的JAVA程序,由客户机上的网页服务器程序执行下面哪一个任务在benchmarkingprocess的研究阶段发生？确定关键工序.基准伙伴访问.结果转化为核心的原则.认定基准伙伴.下列哪些因素能够最好的确保业务应用在海外成功开发？严格的合同管理办法详细正确的实施说明政治和文化差异的认识实施后审查postimplementation在开发应用程序时,质量保证测试和用户验收测试被和并在一起。IS审计师在审计时最关心的是：加强维修.测试档不当.性能测试不足.拖延解决问题.软件开发开发测试阶段的尾声,IS审计师发现软件交互错误没有纠正。没有采取任何行动解决这个错误。该审计员应：报告发现的错误,并让被审计人员进一步解释.尽力解决错误建议问题解决增加escalated.忽略错误,因为对于软件错误不可能得到客观事实以下是其中最关键的,当创建数据测试新系统或修改后的系统的逻辑时,以下哪一个是最关键的？对每个案例有足够数量的测试数据数据表示的情况在实际中可能会出现按时完成测试随机抽样实际数据第三章答案1-5:BACAB6-10:CCADB11-15:CBACC16-20:AADAA21-25:CADDD26-30:ACAAC31-35:DBAAB36-40:AACAD41-45:DAACB46-50:CDABC51-55:BAACC56-60:BADCA61-65:AABDD66-70:BABCA71-75:DAACD78-80:CCB81:-85:AACBC86-90:CABCD91-95:CCCCD96-100:DBBDB101-105:DDCDB106-110:DCDCC111-115:ADCBD116-120:BAABC121-125:AAABC126-130:CADDC131-135:BBDAA136-140:DBBDB141-145:CADAC146-150:AADDB151-155:CADCC156-160:CCABB161-165:BBBCB166-170:BDACD171-174:BCCBChapter41以下哪一个是操作系统的访问控制功能？记录用户活动记录数据通信访问活动在记录层次确定用户的授权改变数据文件2代码签名的目的是为保证:该软件后来并未改变.应用程序可以和其他被签署的应用安全交互对应用程序的签名者是被信任的签名者的私钥没有被破坏3下列哪些类型防火墙可以最好的防从互联网络的攻击?屏蔽子网防火墙应用过滤网关包过滤路由器电路级网关4重新调整下面哪种防火墙的类型可以防止通过FTP在部下载文件？电路级网关应用网关包过滤筛选路由器5审查广域网<WAN>的使用中发现在连接两个的通信线路中,连接主文档和数据库的线路峰值可以达到信道容量的96%,IS设计师可以得出结论：需要分析以便确定是否突发模式导致短期的服务中断广域网的通信能力足以满足最大流量因为没有达到峰值应该立刻更换线路,使通信线路的容量占用率控制在大约85%应该通知使用者减少通信流量,或分配其服务时间以便平均使用带宽6下列哪些操作系统机制检查主体请求访问和使用的客体〔文件、设备、程序等,以确保请求与安全策略一致？地址解析协议访问控制分析参照监控实时监测7当评估IT服务交付时,下面哪一项是其中最重要的？记录和分析事件工具所有相关方签署的服务水平协议管理手段的能力问题管理8利用审计软件比较两个程序的目标代码是一种审计技术用于测试：逻辑变化效率.计算.