CISA考试练习(习题卷1)

试卷科目：CISA考试练习CISA考试练习(习题卷1)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共260题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.在执行IT安全风险评估时，IS审计师己邀请首席信息安全官(CISO)与用户及业务部门代表一同参加风险识别专题研讨会。为了会议取得成功和将来不发生冲突，IS审计师应提出的最重要的建议是什么?A)确保IT安全风险评估具有明确界定的范围。B)要求CISO在与会期间审批各风险等级。C)建议CISO接受业务部门风险及评级。D)只选择提交等级最高的公认风险。[单选题]2.对于地点的第3A，1D3D图表显示集线器是开着的。假设这是事实，用什么控制减轻这一弱点？A)智能枢纽B)物理安全集线器C)物理安全和智能集线器D)没有控制是必要的，因为这不是一个弱点[单选题]3.处理计算机犯罪事件需要运用管理团队的方法，下面哪一个角色的职责是明确的？A)经理B)审计人员C)调查人员D)安全负责人[单选题]4.为了向用户提供更强大的查询功能，信息系统管理部门最近废除了数据库管理系统软件中的某些引用完整性控制，下列哪一种控制最能有效的弥补引用完整性的不足?A)定期检查表的连接B)并行访问控制C)更频繁的备份数据D)性能监视工具[单选题]5.认证颁发机构（CA）可委任外部机构处理的工作是：A)吊销及暂停用户的认证B)生成及分配CA公钥C)在申请实体及其公钥之间建立关联D)发布及分配用户认证[单选题]6.一家企业遇到了由于默认用户账户未从其中一台服务器中删除而导致的域名系统（DNS）攻击事故。以下哪一项会是缓解该DNS攻击的风险的最佳方式？A)让第三方配置虚拟服务器B)配置入侵防御系统以识别DNSC)要求所有员工参加安全配置管理的培训D)遵循批准的标准配置来配置这些服务器[单选题]7.以下哪一项技术最能保证随着时间的推移服务器的可用性?A)评估计划内的停机时间B)审查用户报告的停机时间C)分析服务器管理控制台中的日志D)每日手动轮询服务器[单选题]8.在数据库应用程序的需求定义阶段，性能被列为重中之重。为访问数据库管理系统(DBMS)文件，下面那一种技术被建议使用以达到最优的I/O性能？A)存储区域网络(SAN)B)网络附加存储（NAS）C)网络文件系统（NFSv2）D)通用英特网文件系统（CIFS）[单选题]9.通常，黑客使用如下哪一种攻击手段时，会引起对互联网站点的分布式拒绝服务攻击（DDos）?A)逻辑炸弹B)网路钓鱼C)间谍软件D)特洛伊木马[单选题]10.当下载软件时，一个哈希值被提供能够：A)确保软件来自于原有途径B)确保软件修订版本是正确的C)确保软件没有被修改D)为软件付费用户提供许可密码[单选题]11.某IS审计师应要求审查针对某数据中心服务候选供应商的合同。确定签署合同后，是否遵守合同条款的最佳途径是什么?A)要求供应商提供月度状况报告。B)与客户经理定期召开会议。C)对供应商进行定期审计检查。D)要求在合同中说明性能参数。[单选题]12.下列哪些可以防止数据库中的空挂元组？A)循环完整性B)域完整C)关系完整性D)引用完整性[单选题]13.消息在发送前，用发送者的私钥加密消息内容和它的哈希（hash,或译作：杂选、摘要）值，能够保证：A)消息的真实性和完整性B)消息的真实性和保密性C)消息的完整性和保密性D)保密性和防抵赖性[单选题]14.代码签名的目的是确保：A)软件没有被后续修改B)应用程序可以与其他已签名的应用安全地对接使用C)应用（程序）的签名人是受到信任的D)签名人的私钥还没有被泄露[单选题]15.大量系统故障发生在修正前一个错误后，重新进行测试请求，下列哪种测试最不适用于维护小组进行了测试？A)单元测试（单元测试是在软件开发过程中要进行的最低级别的测试活动，在单元测试活动中，软件的独立单元将在与程序的其他部分相隔离的情况下进行测试）B)集成测试（也叫组装测试或联合测试。在单元测试的基础上，将所有模块按照设计要求（如根据结构图）组装成为子系统或系统，进行集成测试。实践表明，一些模块虽然能够单独的工作，但不能保证链接起来也能正常的工作）C)设计预演（该方法首先要定义目标用户、代表性的测试任务、每个任务正确的行动顺序、用户界面，然后进行行动预演并不断的提出问题，包括用户能否建立达到任务目的，用户能否获得有效的行动计划，用户能否采用适当的操作步骤，用户能否根据系统的反馈信息评价是否完成任务，最后进行评论）D)配置管理（是通过技术或行政手段对软件产品及其开发过程和生命周期进行控制、规范的系列措施）[单选题]16.以下哪一个是测试特定的自动变更控制过程设计有效性的最有效方式？A)变更抽样测试B)实行端到端的穿行测试过程C)已授权的变更测试D)使用计算机辅助审计测试（CAAT）[单选题]17.一旦组织已经完成其所有关键业务的业务流程再造（BPR），IS审计人员最有可能集中检查：A)BPR实施前的处理流程图B)BPR实施后的处理流程图C)BPR项目计划D)持续改进和监控计划[单选题]18.为确保审计资源为组织创造最大价值，首先应该进行的操作是:A)制定审计计划并监控花费在每次审计上的时间。B)就公司使用的现有技术对IS审计人员进行培训。C)在进行过详细的风险评估后，制定审计计划。D)监控审计的进度并启用成本控制措施。[单选题]19.某IS审计师正在针对包含新系统的环境削订一项审计计划。公司管理层级希望该IS审计师着重关注最新实施的系统。该审计师应如何去做?A)按管理层的要求审计新系统。B)审计去年审计范围以外的系统。C)确定风险最高的系统，然后相应地制订计划D)审计去年市计范围以外的系统和新系统。[单选题]20.在提议的企业资源规划(ERP)系统的需求定义阶段，项目发起人要求链接采购与应付账款模块。执行以下哪一种测试方法?A)单元测试B)集成测试C)社交性测试D)质量保证(QAT)测试[单选题]21.IT督导委员会应该:A)成员包括来自不同部门的各级员工。B)确保信息安全政策和程序已正确执行。C)维护委员会的会议记录，并及时向董事会汇报。D)由供应商在每次会议上对新趋势和产品做简短介绍。[单选题]22.要求休假或岗位轮换的主要控制目的是A)允许进行交叉培训，实现个人发展B)有助于保持员工士气C)检查是否存在不恰当或违法的员工行为D)提供有竞争力的员工福利[单选题]23.系统开发过程中，线面哪个阶段将会准备用户接受性测试计划？A)可行性分析B)需求定义C)实现计划D)实现后期检查[单选题]24.为了解决运营人员未能执行日常备份的风险，管理层要求系统管理员在日常备份上签字，这是一个风险例子：A)避免B)转移C)减轻D)接受[单选题]25.一位IS审计师正在执行合规性测试，以确定控制是否支持管理政策和流程。测试在以下哪个方面对IS审计师有所帮助：A)获得对控制目标的了解B)保证运行中的控制与设计要求一致C)确定数据控制的完整性D)确定财务报告控制的合理性[单选题]26.审计变更管理流程的最重要原因在于应确定:A)用户是否完成对变更的验收测试B)实施的变更是否获得授权C)是否维持单独的变更测试环境D)开发人员是否可以访问生产环境[单选题]27.信息系统审计员判断安全意识和培训效果的最好方法是哪个？A)检查安全培训程序B)询问安全管理员C)与样本雇员面谈D)检查对雇员的安全提示[单选题]28.在审查某个进行中的项目时，S車计师注意到开发团队第一天在项目上花费了八个小时的话动,而预算时间为24个小时(三天)。完成剩余部分的项目活动预计需要20个小时。S审计师应报告该项目:A)落后于进度。B)比进度提前。C)在按进度进行。D)除非活动已完成，否则无法评估。[单选题]29.以下哪项物理访问控制能有效降低跟随进入的风险？A)生物识别门锁B)组合门锁C)双门安全系统D)螺栓门锁[单选题]30.业务持续管理需要重点考虑以下那个方面？A)恢复站点是安全的，和主站点保持适当的距离B)恢复计划定期进行测试C)经过全面测试的备份硬件在恢复站点可用D)网络连接可以从多个服务提供商获取[单选题]31.使用闪存（比方说USB、可移动盘）最重要的安全考虑是：A)内容高度不稳定B)数据不能备份C)数据可以被拷贝D)设备可能与其他外设不兼容[单选题]32.为了确定谁可以有权限使用某个系统资源，审计员应该检查：A)活动列表B)访问控制列表C)登录ID、列表D)密码列表[单选题]33.对入侵检测系统（IDS）的实施进行审查的IS审计师应最关注以下哪个选项？A)IDS传感器置于防火墙之外。B)基于行为IDS引发许多误警报。C)基于签名的IDS不足以抵抗新型攻击。D)该IDS用来检测加密流量。[单选题]34.下列哪一选项是采用原型开发手段的优势：A)已完成的系统自身就有很强的内部控制B)原型系统能够带来明显的时间和成本节省C)原型系统中的变更控制通常没那么复杂D)原型法确保功能或额外的内容不附加到预期系统中[单选题]35.某金融服务企业设有一个小规模的IT部门，从而需要单个员工身兼数职。以下哪种做法带来的风险最大?A)开发人员将代码提升到生产环境中。B)业务分析人员编写相关需求并执行功能性测试。C)IT经理同时执行系统管理工作。D)数据库管理员(DBA)也执行数据备份。[单选题]36.某组织正考虑使用新的服务供应商。从审计角度来看，以下哪项是最需要审查的项目?A)该服务供应商的其他客户的推荐B)该服务供应商站点的物理安全性C)与该服务供应商草拟的服务等级协议(SLA)D)该服务供应商员工的背景调查[单选题]37.当审计公司的电子邮件归档，审计师应最重视？A)存在数据保留策略B)归档解决方案的存储容量C)用户使用电子邮件是认识水平D)解决制造商的支持和稳定性的归档方案[单选题]38.在2段式提交数据库事务中，回滚过程发生于：A)当客户端和服务器通讯协议不能达成一致时。B)在多层架构中需要拒绝代理请求时。C)当提交的事务不能被参与的服务器和客户端完全执行时。D)当会话的所有人不能得到确认和被提交时。[单选题]39.当审查灾难恢复计划时，信息系统审计师应检查:A)备份人员对计算机地点的访问B)异地数据文件存储C)不间断电源UPSD)灭火设备[单选题]40.IT灾难恢复时间目标(RTO)应基于以下哪一项?A)最多可容许丢失的数据B)根据业务定义的系统关键性C)最多可容许的停机时间D)中断的根本原因[单选题]41.IS审计师发现数据库管理员（DBA）有生产数据的读写权限。该IS审计师应该：A)接受DBA访问为普遍做法。B)评估与DBA功能相关的控制。C)建议立即撤销DBA对生产数据的访问权限。D)审查DBA批准的用户访问权限。[单选题]42.从计算机安全的角度看，下面哪一种情况是社交工程的一个直接的例子：A)计算机舞弊B)欺骗或胁迫C)计算机偷窃D)计算机破坏[单选题]43.下列哪种方法可以最有效地检测网络上的非法软件包？A)无盘工作站的使用B)周期性硬盘检查C)使用现有的反病毒软件D)如果违反即时解雇的政策[单选题]44.以下哪项加密算法选项会增加开销/成本？A)使用对称加密，而不是非对称加密B)使用加长的非对称加密密钥C)加密的是哈希而非消息D)使用密钥[单选题]45.在对业务流程再造(BPR)工作进行审查时，以下哪一项是主要关注的问题?A)BPR工作消除了一部分控制B)资源不足以支持BPR流程。C)审计部门不参与BPR工作。D)BPR工作纳入该流程领域知识有限的员工。[单选题]46.通过抽取和重用设计及程序组件的方法扩展一个已有的系统。这是:A)逆向工程B)原型法C)软件重用D)再造[单选题]47.作为辅助资产管理的最佳信息源，以下哪个是具有一定法律保障？A)安全事件摘要B)供应商的最佳实践C)CERT计算机网络应急技术处理协调中心D)重大合同[单选题]48.在对资料中心进行审计时,审计师应当检查电压调整器是否存在,以保证:A)保护硬设备免受浪涌损害B)如果主电力被中断,系统的完整性也可以得到维护C)如果主电力被中断,可以提供实时的电力供应D)保护硬设备不受长期电力波动的影响[单选题]49.使用统计抽样流程有助于最小化:A)抽样风险B)检测性风险C)固有风险D)控制风险[单选题]50.某IS审计师建议于信用卡交易获取应用程序中加入初始验证控制。该初始验证过程最有可能:A)检查并确保交易类型适用于信用卡类型。B)检查所输入数字的格式并在数据库中将其定位。C)确保输入的交易不超出持卡人的信用额度。D)确认信用卡未在主文件中显示为丢失或被盗。[单选题]51.组织需要一个备份确定的数据恢复点。就像恢复点目标（RPO）的定义。下列哪项是最适合的备份技术？A)虚拟磁带库。B)基于硬盘的快照。C)连续性数据备份。D)磁盘到磁带被备份。[单选题]52.一封来自于未知发件人的电子邮件被发送到一个组织的各个成员，要求他们为一个旨在舒缓最近的自然灾害慈善机构提供资金，这是一个什么类型的攻击例子？A)事件钓鱼B)混合钓鱼C)社交工程D)鱼叉式钓鱼[单选题]53.一个强大的技术背景和广泛的管理经验的长期信息系统员工申请一个空缺的信息系统审计部门的职位。确定是否雇佣这个人在这个位置应该考虑个人经验，并且考虑：A)服务期限，因为这将有助于确保技术能力B)年龄，进行审计技术的培训可能是不切实际的C)信息系统知识，因为这个会带来更大信任的审计职能D)作为审计师的能力，是否和现在的信息系统有独立性[单选题]54.检测未经授权的终端输入，下列哪项提供的信息为最佳：A)控制台日志打印输出。B)事务处理日志。C)自动化的不确定文件清单。D)用户错误报告。[单选题]55.在主机计算环境，通常由操作员来负责将软件和数据文件定期备份。在分布式和协作式的系统中，承担备份责任的应该是：A)用户管理人员。B)系统程序员。C)数据录入员。D)磁带库管理员。[单选题]56.以下哪种互联网安全威胁可损害完整性？A)从客户端窃取数据B)暴露网络配置消息C)感染特洛伊木马的浏览器D)网络窃听[单选题]57.在定义并实现系统交付成果以确保顺利完成和实施新的业务系统应用程序时，应由谁来负责审查和审批A)用户管理人员B)项目指导委员会C)高层管理人员D)质量保证人员[单选题]58.制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定:A)已经存在减免风险的控制B)找到了弱点和威胁C)已经考虑到审计风险D)实施差异分析是适当的[单选题]59.开始设计新应用程序系统的持续计划的最佳时间是什么时候？A)实施后立即进行B)在成功进行用户测试之后C)在设计阶段D)在移交给系统维护部门之前[单选题]60.发送付款指令时，下列哪项有助于核实该指令不重复?A)使用加密哈希算法B)将消息摘要加密C)计算交易的检验和D)使用序号和时间戳[单选题]61.执行实质性测试时，IS审计师应最关注：A)可确定控制运行是否符合设计的证据B)可确定风险评估的证据C)收集可评估数据有效性的证据D)要收集和审查数据的质量[单选题]62.为了确认一个产品运行所需数据文件的版本是否正确，信息系统审计师应该检查:A)操作员问题报告B)操作员工作时间表C)系统日志D)输出分布报告[单选题]63.信息系统审计师回顾组织的信息系统灾难恢复计划时应检验：A)每半年演练一次B)周期性回顾并更新C)经首席执行官(C、EO)认可D)与组织的所有部门负责人沟通[单选题]64.由于局域网响应时间较慢，程序员通常会把代码保留在自己的工作站而不是服务器上。因此，每天的服务器备份并不包括当前的源代码。监测响应时间的最好方法是：A)并行测试B)综合测试设备C)性能监控D)程序代码比较软件[单选题]65.一个组织在实施企业资源规划（ERP），以满足其业务目标。以下谁是最主要负责监督该项目，以确保它按照项目计划开展，交付预期的结果？A)项目发起人B)系统开发项目团队C)项目指导委员会D)用户项目组[单选题]66.当把质量控制作为检查一个项目的重要关注点时，IS审计师应该使用项目管理三角形理论（质量-成本-时间）来解释：A)即使资源减少，质量控制目标也能提升B)质量控制目标只能在资源增加的情况下提升C)即使资源减少，也能加快成果交付D)加快成果交付只能在降低质量控制要求的情况下才能事件[单选题]67.拥有电子资金转帐销售点设备的大型连锁商场，有中央通信处理器连接银行网络，对于通信处理机，下面哪一项是最好的灾难恢复计划。A)每日备份离线存储B)选择在线备份程序C)安装双通讯设备D)在另外的网络节点选择备份程序[单选题]68.网络性能监控工具能够最直接地影响以下哪一项?A)完整性B)可用性C)完整性D)机密性[单选题]69.制订业务连续性计划时，下面哪一类工具可以用于了解各企业的业务流程?A)业务连续性自我审计B)资源恢复分析C)风险评估D)差异分析[单选题]70.检查IT战略规划过程时，IS审计师应该确保这个规划：A)符合技术水平现状B)匹配所需的操作控制C)明晰IT的任务与远景目标D)详细说明项目管理实务[单选题]71.组织已和供应商签约，使用他们的电子征税系统（ETCS）解决方案。供应商在解决方案中包含了应用软件的所有权。合约应满足：A)备份服务器应可用最新数据来运行电子征税系统B)备份服务器保存所有相关软件和数据C)组织中使用该系统的员工应被培训后可处理任何事件D)电子征税系统应用的源代码应由第三方保存附带条件委付盖印的契约[单选题]72.在审计一个已获得的软件包时，信息系统审计员已经知道这个软件购买是以互联网上获得的信息为基础的，而不是从RFP得到的反馈。此时，IS审计员首先应该:A)检测软件与当前硬件的兼容性B)执行漏洞分析C)审计版权政策D)确保流程已经被批准[单选题]73.企业的安全意识计划可以最有效地解决以下哪一种攻击类型？A)中间人攻击（man-in-the-middle）B)结构化查询语言（SQL）注入C)网络钓鱼（phishing）D)分布式拒绝服务（DDoS）[单选题]74.在审计期间，客户了解到信息系统审计师最近为竞争对手完成了类似的安全审查。客户询问竞争对手的审计结果。审计师处理这个问题的最佳方式是什么？A)将问题上报给审计经理以采取进一步行动B)获得竞争对手的许可，将审计结果用作给未来客户参考的示例。C)讨论审计结果，省略与名称和产品相关的具体细节D)说明讨论其他审计客户的结果是不恰当的[单选题]75.下列哪些因素是最合理的需要增加额外的信息安全责任分配给用户？A)由最终用户分发的更大量的数据B)业务流程更加依赖于IT流程C)近年来安全技术取得了很大进展D)IT组织中一般有一个精干的工作人员[单选题]76.在评估某公司的信息安全政策是否适当时，以下哪一项是信息系统审计师最重要的考虑事项?A)IT指导委员会的纪要B)业务目标C)是否符合行业最佳做法D)与IT战术规划一致[单选题]77.以下哪项是一个IT绩效测量过程的主要目标？A)最小化错误B)收集绩效数据C)建立绩效基线D)优化绩效[单选题]78.IS审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP），但是没有整个企业的BCP。那么，IS审计师应该采取的最佳行动是：A)各业务部门都有适当的BCP就够了，无需其他B)建议增加、制订全企业的、综合的BCPC)确定各部门的BCP是否一致，没有冲突D)建议合并所有BCP为一个单独的全企业的BCP[单选题]79.一个公司最近加固所购买的系统加入到ED、I交换系统。在ED、I提供有效数据映射的界面，下面那一项控制应该被执行：A)关键字校对B)一对一的检查C)手工重算D)操作回执[单选题]80.一个决策支持系统（DSS）：A)是为了解决高度结构化得问题B)结合了使用模型和非传统数据的访问及存取功能C)强调用户的决策方法的灵活性D)只支持结构化的决策任务[单选题]81.以下哪一项在实施风险管理时应首先考虑？A)对组织的威胁，脆弱性和风险状况的了解B)对接受的风险和潜在的后果的理解C)基于潜在的后果确定的风险管理重点D)一个风险后果保持在可接受的水平的风险缓解策略[单选题]82.自动运行（lights-out）数据中心的主要目的是：【已经理解】A)节省电力。B)减少风险。C)改善安全。D)减少人员费用。[单选题]83.某组织的网络已成为多次入侵攻击的受害者。以下哪种措施可早期检测到此类事件？A)防病毒软件。B)强化服务器。C)屏蔽路由器。D)蜜罐（Honeypot）。[单选题]84.在制定业务连续性计划(BCP)时，应该使用下列哪种工具来了解组织的业务流程?A)业务连续性自我审计B)资源恢复分析C)风险评估D)差距分析[单选题]85.隔离高度敏感的数据库导致:A)减少暴露(风险)。B)减少威胁。C)降低重要性。D)降低敏感度。[单选题]86.下面哪一个是网络性能监测工具带来的最直接的好处A)完整性B)可用性C)完全性D)机密性[单选题]87.一个组织正在用商用ERP的相关子系统替代内部开发的工资支付程序，下述哪个将代表最高的潜在风险？A)某些项目变更未正式批准B)历史数据从旧系统迁移到新系统有错C)ERP子系统标准功能测试不完整D)现有工资系统权限在新ERP子系统上发生重复[单选题]88.在制定控制前，管理层首先应该保证控制：A)满足控制一个风险问题的要求B)不减少生产力C)基于成本效益的分析D)检测行或改正性的[单选题]89.在入侵检测系统（IDS）的运行中，最常见的问题是？A)误报检测B)接收陷阱消息C)误拒绝率D)拒绝服务攻击[单选题]90.如下那个加密机制是在开放系统互联模型的应用层被执行？A)A安全套接层（SSL）：传输层B)IP安全（IPSec）：网络层C)安全外壳（SSH）：传输层D)安全/超文本传输协议（S/HTTP）：应用层[单选题]91.以下哪个数据库管理员的操作应由另外一个人来执行？A)删除数据库操作日志B)执行数据库优化工具C)监控数据库的使用情况D)定义备份及恢复流程[单选题]92.在规划IS审计的范围和目标方面，以下哪项的效力应具有最高的优先级?A)适用的法规要求B)适用的企业标准C)适用的行业良好实践D)组织政策和程序[单选题]93.当实施IT治理时，决定实施对象的优先级时,下列哪一项是最重要的考虑因素？A)过程成熟度B)绩效指标C)业务风险D)保证报告[单选题]94.组织实施了灾难恢复计划，下面要进行哪一步？A)获得高级管理层支持B)识别业务需求C)进行桌面测试D)进行系统恢复测试[单选题]95.在一项重大应用实施后两个月，管理层认为项目进展得很好，便要求IS审计师对已完成的项目进行复核。这位IS审计师应主要关注以下哪个方面:A)确定用户对系统的反馈是否进行了文档记录。B)评估是否正对计划的成本收益进行测量、分析和报告。C)审查系统的内置控制，确保其运行符合设计要求。D)审查后续的程序变更请求。[单选题]96.从风险管理的角度看，实施庞大而复杂的IT基础架构时最好的方法是:A)概念验证后进行大规模部署B)原型设计和单阶段部署C)根据已排好顺序的各阶段执行部署计划。D)部署前对新基础架构进行模拟。[单选题]97.一个公司正在考虑在所有可以访问重要数据的PC、上使用指纹识别。这个要求：A)为所有认可的PC、用户执行一个注册过B)全面减少错误接受的风险C)用单独的密码去访问指纹识别器D)确保不可能获得对重要数据的非授权访问[单选题]98.下面哪一个是测试软件模块的动态分析工具A)黑盒测试B)桌面检测C)结构化穿行测试D)设计图和代码[单选题]99.在实施后评审中，应该执行下面哪个测试？A)用户验收测试B)投资收益分析C)审计痕迹的激活D)更新未来企业构架图的状态[单选题]100.组织将客户信贷审查系统外包给第三方服务提供商时，以下哪个选项是在IS审计中需要考虑的最重要事项?该提供商:A)称符合或超越行业安全标准。B)同意接受外部安全审查。C)在服务和经验方面具有良好的市场信誉。D)遵守该组织的安全政策。[单选题]101.某组织从旧系统迁移到企业资源规划(ERP)系统。审查该数据迁移活动时，IS审计师最关心的问题是确定A)迁移的数据在两个系统间是否存在语义特性方面的关联。B)迁移的数据在两个系统间是否存在算术特性方面的关联。C)进程在两个系统间是否存在功能特性方面的关联。D)进程在两个系统间是否存在相对效率。[单选题]102.组织实施一个新的系统以替代遗留的系统。下面哪个转换方法产生了最大的风险？A)试点B)并行C)直接转换D)逐步实施[单选题]103.金融机构最近开发并安装了新的保证金制度，与他们的客户网站和其自动柜员机（ATM）接口，开发团队和连续性业务团队维护良好的沟通，来更新包括新系统的连续性业务计划（BCP）。下列什么是在这个时间点上合适的BCP测试？A)用实际资源来模拟系统崩溃B)详细的贯穿整个计划的测试C)网站接口应用程序渗透测试D)在备份站点实施一次故障转移[单选题]104.决策支持系统(DS用于帮助高级管理人员:A)解决高度结构化问题。B)合并决策模型与预定标准的使用。C)根据数据分析和互动模型做出决策。D)仅支持结构化决策任务。[单选题]105.进行事后检查的主要目的是，它提供了一个机会去：A)改善内部控制程序B)为实现企业最佳实务强化网络C)突出事件响应管理的重要性D)提高员工对事件响应的意识[单选题]106.遵照良好实践，开发实施新信息系统的正式计划应在下面的哪个阶段:A)开发阶段B)设计阶段C)测试阶段D)部署阶段[单选题]107.某组织正在计划部署外包的云应用程序，用于为人力资源(HR)部门追踪应聘者数据。IS审计师最应关注以下哪个选项?A)服务等级协议(SLA)确保了对正常运行时间和性能的严格限制B)云服务提供商不会同意将不受限制的审计权利加入SLA。C)SLA在云服务提供商的灾难恢复计划(DRP)能力方面没有明确规定。D)云提供商的数据中心位于多个城市和国家[单选题]108.某公司实施了一套新的客户端服务器企业资源规划(ERP)系统。各地方分支机构会将客户订单传送到中央生产设备。以下哪一项能够最有效地确保准确处理这些订单并生产相应的产品?A)对照客户订单验证生产B)将所有客户订单记入ERP系统C)在订单传送过程中使用散列总计D)在生产之前审批(由生产监督人员)订单[单选题]109.下面哪一个选项最能有效地确定在业务应用系统中重叠的关键控制？A)审计附加到复杂业务流程的系统功能B)通过ITF（集成测试设施）提交测试交易C)用自动化审计解决方案替换手工监测D)对控制进行测试以验证测试是否有效[单选题]110.在应用开发过程中，结合了质量保证测试和用户接受测试。IS审计师在检测开发项目时最主要关注：A)增加维护B)测试没有适当的文档记录C)不适当的功能性测试D)延迟问题解决[单选题]111.防止网络被用作拒绝服务(DOS)攻击中的放大器的最佳过滤规则是拒绝所有：A)IP源地址在网络外部的传出通信。B)被辨认出使用伪造IP源地址的传入通信。C)带IP选项集的输入通信。D)以关键主机为目的的传人通信。[单选题]112.下列哪一项是无线网络中Wi-Fi保护访问(WPA)的一个特征?A)会话密钥是动态的B)私人对称密钥的使用C)密钥是静态的和共享的D)源地址是未加密或认证的[单选题]113.关于冷站的计算机设备的组成，下面哪一种说法不正确？A)加热系统，湿度控制和空调设备B)CPU和其他计算机设备C)电源连接D)通讯连接[单选题]114.一个组织正在考虑用一个新的IT服务提供商，从审计的观点，下列哪个是最重要的检查项目？A)服务提供商的其他客户的参考B)服务供应商位置的物理安全C)服务供应商的服务水平协议草案D)服务供应商的员工的背景检查[单选题]115.以下哪一项能够最有效地支持全天候可用性?A)日常备份B)异地存储C)镜像D)定期测试[单选题]116.在电子邮件的软件应用程序中，已验证的数字签名可以？A)帮助检测垃圾邮件。B)保证机密性。C)增加网关服务器的工作量。D)明显减少可用宽带。[单选题]117.在一个审计过程中，IS审计师注意到组织的业务持续计划（BCP）没有充分考虑到恢复过程的信息机密性。IS审计师应该建议修改计划，包括以下哪项？A)业务恢复时需要的信息安全水平。B)信息安全的作用和危机管理架构的职责。C)信息安全资源的需求。D)信息安全变更管理程序可能会影响业务持续准备工作。[单选题]118.下列哪个是最可靠的单因素的个人识别？A)智能卡B)口令C)有照片的身份证明D)虹膜扫描[单选题]119.防止未经授权的访问被盗或丢失的笔记本电脑上的机密信息，以下哪种控制措施最有效?A)磁盘加密B)远程删除功能C)对文件进行密码保护D)提高用户警惕性[单选题]120.针对正在考虑购置的新应用程序软件包，IS审计师评估其控制规范的最佳时间是在A)内部实施测试阶段B)测试和用户接受之前C)需求收集期间D)可行性研究阶段[单选题]121.以下种控制有助于在数据输入时防止凭证重复输入?A)范围检查B)置换和替代C)顺序检查D)循环冗余校验(CR[单选题]122.信息系统审计师了解到，业务部]负责人创建的一个网页可访问生产数据,从而违反了公司的安全政策，审计师的下一个步骤应当是:A)评估生产数据的敏感性B)确定是否存在足够的访问控制C)上报给高级管理层D)关闭网页[单选题]123.软件开发项目中纳入全面质量管理（TQM，totalqualitymanagemnet）的主要好处是：A)齐全的文档B)按时交付C)成本控制D)最终用户的满意[单选题]124.数据库管理员(DBA)提议，可通过对某些表进行逆正规化来提高数据库效率。这将导致:A)机密性丢失。B)冗余度增加。C)未经授权的访问。D)应用程序出现故障。[单选题]125.从微机上载到主机的数据可能有错误，以下哪种方法能最好地解决此问题？A)主机应该定期备份。B)上传数据时应有双人同时在场微机操作。C)主机应该对上载数据实施与联机输入数据时同样的编辑和合法性检查。D)要求用户检查已处理数据的随机抽样样本。[单选题]126.在对业务连续性计划进行审计时，信息系统审计师发现尽管所有的部门都在同一座大楼中(办公)，但各个部门有各自独立的B、C、P(业务连续性计划)。信息系统审计师建议整合所有的B、C、P。以下哪一项应该首先被整合？A)撤离计划B)恢复优先级C)备份存储D)通信树(联系表)[单选题]127.下列哪项代表了对于IT人员预防控制方面的例子？A)审查数据中心的访客日志B)一个跟踪用户IP地址登录的日志服务器C)IT设施中进入系统的证章制度的执行情况D)一个可以追踪员工电话的记账本[单选题]128.一个项目开发团队正在考虑在测试过程中使用生产数据。在将数据载入测试环境之前，该团队将其中的敏感数据元素清除。对于这种做法，IS审计师应额外关注下列哪一项？A)将不会测试全部功能B)生产数据被引入测试环境C)需要专门的培训D)项目可能会超出预算[单选题]129.软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾的？A)员工的教育和培训B)远距离工作（Telecommuting）与禁止员工携带工作软件回家C)自动日志和审计软件D)政策的发布与政策的强制执行[单选题]130.有效防范SQL注入攻击的最佳控制是:A)SSL加密B)数字签名C)输入验证D)unicode转换[单选题]131.在线交易系统中，数据的完整性是指确保交易完成或一点都未完成情况。这个数据完整性的原理被称为：A)孤立性B)连贯性C)原子性D)持久性[单选题]132.为确保重复信息处理设施的可用性，下列哪一项必须成立?A)站点靠近主站点以确保快速而高效地实现恢复。B)站点中包含最先进的可用硬件。C)监测主站点的工作量以确保充足的备份可用。D)安装硬件时对其进行测试以确保硬件可以正常工作。[单选题]133.哪一类风险对于抽样方法的选择影响最大?A)残留风险B)固有风险C)检测风险D)控制风险[单选题]134.连续审计方法的主要优点是：A)在处理过程中无需信息系统审计师进行系统可靠性证据搜集B)需要信息系统审计师检查并立刻跟进所有搜集的信息C)可以提高大事务量分时环境的系统安全D)与组织的计算机系统复杂性无关[单选题]135.下面哪一项程序最好地确定是否存在充分的恢复/重启程序？A)检查程序代码B)检查操作文档C)先关闭UPS电源，再关闭电源D)检查程序文档[单选题]136.下列哪项的执行将最有效地防止未经授权的访问系统管理账户？A)主机入侵检测软件；B)自动密码过期策略；C)密码复杂性规则；D)双因素认证[单选题]137.为保证生产环境程序库的安全，以下哪种方法最好？A)安装程序访问日志系统B)监视对程序库介质的物理访问C)限制物理的和逻辑的访问D)拒绝来自远程终端的访问[单选题]138.下列哪一项是对访客访问数据中心最有效的控制？A)陪同访问者。B)要求访问者佩戴证件。C)访问者签字后进入。D)操作人员对访问者进行抽查。[单选题]139.IS审计师使用计算机辅助审计技术(CAAT收集并分析数据。使用CAAT对以下哪项证据属性的影响最大?A)实用性B)可靠性C)关联性D)充分性[单选题]140.如下哪个是社交工程攻击？A)逻辑炸弹B)木马C)包重放D)网络钓鱼[单选题]141.为了确保收到的商品与采购发票上的商品一致，计算机系统应该：A)将采购发票的所选字段同收到的商品进行匹配B)保留存货价值的控制总数C)计算每批输入的批总数D)在账户号中使用校验数位[单选题]142.在持续在线的情况下，什么过程使用测试数据作为程序控制全面测试中的一部分？A)模拟测试B)标准案例系统评估C)整合性测试设施D)并行仿真[单选题]143.IT安全风险进行评估时，审计师要求IT安全人员参与跟用户和业务单位的代表进行风险识别的研讨会。审计师要取得成果和避免今后的冲突，什么是最重要的建议？A)确保IT安全风险评估有明确定义的范围B)IT安全人员要求每个研讨会期间的讨论风险评级得到批准C)IT安全人员确定风险等级D)只选择普遍接受且以提交最高评价的风险[单选题]144.在信息系统审计时，对于需要收集的数据的程序是基于以下哪项而决定的？A)重要信息及需求信息的可用性B)审计师对环境的熟悉程度C)被审计机构找到相关证据的能力D)审计项目的目的和范围[单选题]145.在检查一个企业的数据文件控制流程时，审计员发现事务处理涉及到的文件都是当前版本的，而重启流程则使用早期版本。审计员建议实施：A)源文件保留B)数据文件安全C)版本使用控制D)一个一个检查[单选题]146.以下哪项为数据仓库设计时最为重要的考虑因素？A)元数据的质量B)交易处理的速度C)数据的易变性D)系统的弱点[单选题]147.签署包含创建唯一客户名称和密码的流程，然而，信息系统审计师发现很多案例中用户名字跟密码相同，能够减少这种风险的最好控制是:A)更改公司安全策略B)教育客户关于弱强度密码的风险C)建立一个确认过程防止俄这种事情在创建帐户和更改密码时发生D)需要定期的检查，确保用户名称和密码的检测和修正[单选题]148.IS审计师在执行一项独立系统分类审计时，应该把系统可以在可接受成本范围内进行长期手动运行的系统分类为？A)关键的B)重要的C)敏感的D)不关键的[单选题]149.以下哪类防火墙能最有效的抵御来自互联网的攻击A)屏蔽子网防火墙B)应用级防火墙C)包过滤防火墙D)电路级防火墙[单选题]150.一名IS审计师执行应用程序维护审计时，将审程序变更日志，以便了解:A)程序变更的权情况。B)当前目标模块的创建日期。C)程序的实际改动量。D)当前源程序的创建日期。[单选题]151.通过使用面向对象的设计和开发技术将最有可能A)促进重复使用模块的能力。B)改善系统性能。C)提高控制效能。D)缩短系统开发生命周期(SDLC)[单选题]152.哪项控制通过附加在每一个数据段结尾一个可计算位来校验传输错误A)合理性校验B)奇偶校验C)冗余校验D)校验位[单选题]153.在制订业务持计划(BCP)方面，以下哪一个利益相关方最重要?A)流程所有者B)应用所有者C)董事会D)IT管理层[单选题]154.审查信息安全政策的制定时，IS审计师的主要关注点应放在确保这些政策A)针对全球普遍接受的行业最佳做法进行了调查B)得到了董事会和高层管理人员的批准C)在业务和安全要求之间取得了平衡D)对执行安全程序提供了指导[单选题]155.SSL协议通过以下哪种方式来确保消息的机密性？A)对称加密B)消息验证代码C)哈希函数D)数字签名认证[单选题]156.以下哪项最能保持防火墙日志的完整性?A)仅将对日志信息的访问权限授予管理员B)在操作系统层获取日志事件C)将双日志写入单独的存储介质D)将日志信息发送到专用的第三方日志服务器[单选题]157.IS审计师在执行对远程管理的服务器备份的审计。IS审计师评审了一天内的日志发现一个案例：登录服务器失败，结果备份任务是否重启不能确定。审计员应该？A)发布审计发现B)从IS管理层那里寻求解释C)评审服务器数据的分析D)增加日志评审的取样范围[单选题]158.当检查硬件维护程序时，IS审计师应该评估是否A)所有未计划的维护都按照时间表维护了B)和历史趋势相一致C)已经被信息系统委员会同意D)程序与供应商说明书一致[单选题]159.在哪种情况下，web服务器的反代理技术应该被使用:A)http服务器地址必须被隐藏.B)对所有公开网页的加速访问是必需的C)故障忍耐的高速缓存是需要的.D)用户带宽是有限的.[单选题]160.某组织的计算机安全事故应对团队（CSIRT）针对最近出现的威胁公布了详细的说明。IS审计师最担心用户可能会：A)使用此信息发动攻击。B)转发安全警报。C)实施各自的解决方案。D)无法真正地了解威胁。[单选题]161.在软件开发项目的需求定义阶段，软件测试应该制定哪些方面：A)测试数据，涵盖关键应用。B)详细的测试计划。C)质量保证测试规范。D)用户验收测试规范。[单选题]162.一个公司在开发信息安全流程时要做的第一步是：A)升级访问控制软件为生物/令牌系统。B)批准公司信息安全政策。C)要求信息系统审计师做综合审查。D)开发信息安全标准。[单选题]163.信息安全审计师检查用户生物身份验证系统时发现存在一个非认证人员可以更新存储生物身份认证模板的数据库服务器的弱点。以下哪项为控制此项风险的最佳方法？A)KerB、erosB)活体检测C)复合生物识别方式D)进出拍照记录[单选题]164.下面的哪项可能包含在电子数据交换（EDＩ）项目的可行性研究中？A)加密算法格式B)详细的内部控制程序C)必要的通讯协议D)建议的受信任的第三方的协议[单选题]165.一项基于互联网的密码嗅探工具攻击能够：A)能够使一方伪装成另一方B)导致某些交易内容的修改C)用于获得包含所有权信息在内的系统访问权D)导致帐户管理系统和交易程序的一致性产生问题[单选题]166.对于交易量庞大的零售企业而言，以下哪项审计技术最适合主动解决新出现的风险?A)使用通用审计软件（GAS）B)控制自我评估C)对交易日志抽样D)持续性审计[单选题]167.一名IS审计人员注意到一项数据库操作反映出当前的（数据）结构与原始设计（数据）结构不匹配，下面哪个将是其下一步的行动？A)分析结构变化的需要B)建议恢复到原始的数据结构C)建议控制进程随之变化D)检测该项（结构）更改是经授权的。[单选题]168.对于一个支持在线销售系统的大型数据库，最好的备份策略是？A)每周全备份和每天增量备份。B)每天全备份。C)集群服务器。D)硬盘镜像。[单选题]169.对IT战略计划流程进行审查时，IS审计师应当确保该计划A)融入了最新的技术。B)解决了所需的运营控制问题。C)明确表述了IT使命和愿景。D)说明了项目管理实务。[单选题]170.公司的呼叫中心IT政策要求为所有用户指定独一无二的用户帐户。如果发现并非所有当前的用户符合此要求，最适当的建议是什么?A)让营运管理人员审批当前配置。B)确保现有的所有帐户都有审计轨迹。C)为所有员工实施独立的用户帐户。D)修改IT政策以允许使用共享帐户。[单选题]171.为了确保某组织审计资源发挥最大价值，首先第一步应该是：A)确定审计时间表并监控每一个审计项的时间花费。B)培养信息系统审计人员使用公司的当前技术。C)以详细的风险评估为基础制定审计计划。D)监控审计的发展，开始成本控制测量。[单选题]172.下面哪一项是IS审计师在进行PBX评估时要检查的？I．确信外部免费拨入号码的访问被关掉。II．确信语音邮件系统不会被电话线窃听。III．确信维护端口的访问代码的缺省值已改变。IV．确信外部免费号码如900被严格限制。V．确信超额的电话使用被红旗标记并进行舞弊调查。A)I,II,III,andIVonlyB)II,III,andIVonlyC)II,III,IV,andVonlyD)I,II,III,IV,andV[单选题]173.某IS审计师正在数据中心执行审计，这时火警报警器突然响起来。由于审计范围包括灾难恢复，所以该审计师开始观察数据中心员工对警报的响应情况。此时对于数据中心的员工来说，以下哪指最重要?A)向当地消防部门通报火警情况。B)准备启动消防系统。C)确保数据中心的所有人员均撤离现场。D)从数据中心转移所有备份磁带。[单选题]174.一个审计员执行了一个防火墙升级项目的检查，发现几个端口不是为了业务目的开放的。其发现是为了测试服务器而开放的，并且不会被在使用。针对这个情形，什么是最佳推荐的控制？A)防火墙规则的改变应该在适当文档被改变后进行B)测试服务器永远不要通过产品墙连接C)信息管理人员应该雇佣第三方检查防火墙规则并实施季度入侵测试D)安全管理员应该执行定期检查去校验防火墙规则[单选题]175.一个信息系统审计员发现一些被企业处理的硬盘是没有确保数据是不能被恢复的。此外企业没有相应的数据清理策略。信息系统审计员首先要：A)起草一个审计报告并且与负责的审计人员讨论B)判断硬盘上的敏感信息C)与IT主管讨论数据销毁的最佳做法D)为企业开发一个适当的数据销毁策略[单选题]176.以下哪一项是系统变更回滚计划的主要目的？A)确保存在必要时删除变更的步骤B)确保在实施变更之前存在备份C)确保系统变更有效D)确保在需要时可以重新执行测试[单选题]177.功能确认的作用是：A)作为EDI数据交换的审计痕迹B)IS部门就其功能作用描述C)文档记录用户角色和职责D)作为应用软件的功能的描述[单选题]178.一家企业试图在整个信息生命周期中控制与存储介质相关的成本，同时仍然满足业务和法规要求。以下哪一项是达成这一目标的最佳方式？A)实施数据保留政策B)将备份流式传输到云端C)执行定期磁带备份D)利用固态内存[单选题]179.以下哪种情形下最适合使用数据镜像来作为恢复策略？A)高的灾难容忍度B)高的恢复时间目标(RTO)C)低的恢复点目标(RPO)D)高的恢复点目标(RPO)[单选题]180.以下哪项会通过将自身追加到文件中来防御病毒？A)行为拦截程序B)循环冗余校验（CRC）C)免疫程序D)主动监控程序[单选题]181.IS审计师在对为大型购物中心(电信公司无线用户)提供互联网服务的电信公司进行网络安全检查，公司利用无线传输层安全（WTLS）和安全套接层（SSL）技术保护客户的支付信息。如果是一个黑客，IS审计师最关心的是：A)无线应用协议（WA、P）网关的泄漏B)在服务器前安装监测程序C)窃取客户的PD、A、设备D)监听无线数据传输[单选题]182.某IS审计师发现，某公司的灾难恢复计划(DRP)不包含托管在云端的某关键应用。管理层答复称，由云供应商负责灾难恢复(DR)和DR相关测试。IS审计师应采取的下一步行动是什么?A)制订云供应商审计计划。B)审查供应商合同，以确定其灾难恢复能力。C)审查独立审计师的云供应商报告。D)向云提供商索要一份DRP副本。[单选题]183.在审计组织的IT治理框架和IT风险管理实务时，IS审计师发现一些与IT管理和治理角色相关的职责不明确。以下哪项建议最适用?A)审查IT与企业战略的一致性。B)在组织内实行问责制度。C)确保定期执行独立的信息系统审计。D)在组织中设立首席风险官CRO)职位[单选题]184.处理突然停止时正在将网上银行交易存储到数据库。通过以下哪一种方法最能确保交易处理的完整性:A)数据库完整性检B)有效性检查。C)输入控制。D)数据库提交和回滚。[单选题]185.某IS审计师发现，用户偶尔地被授权作更改系统数据。这种系统访问权限提升不符合公司政策，但对业务经营的平稳运转是有必要的。该IS审计师最有可能建议采取以下哪一种控制来长期解决这一问题?A)重新设计与数据授权有关的控制。B)实施额外的职责分离控制。C)对政策进行审查，以查明正式的例外流程是否有必要D)实施额外的日志记录控制。[单选题]186.一个信息系统审计师小组参与将自动审计工具包整合到现有的企业EPR系统的工作。由于性能方面的考虑，审计工具包无法上线。审计师应该给出的最佳建议是什么？A)检查所选整合控制的实施B)请求额外的IS审计资源C)请求厂商的支持以解决性能问题D)在用户验收测试（UAT）期间评估压力测试结果[单选题]187.IS审计师正在审查最近完成的向新企业资源规划(ERP)系统的转换的项目。作为转换过程的最后阶段，最初30天旧系统和新系统同时运行，然后才独立运行新系统。使用这种策略的最大优点是什么？A)比其他测试方法节省更多成本B)确保运行速度更快的新硬件与新系统兼容C)确保新系统满足功能要求D)提高并行处理时间的弹性[单选题]188.在复核客户主文件时，信息系统审计师在客户名称变更中发现许多客户姓名副本。为了确定副本的范围，信息系统审计师应该使用：A)用于验证数据输入的测试数据。B)用于确定系统分类能力的测试数据。C)用于搜索地址域副本的通用审计软件。D)用于搜索账户域副本的通用审计软件。[单选题]189.向用户发放问卷调查来进行实施后审查,以下哪一项应是信息系统审计师的最大担忧?A)问卷调查问题未确定业务案例范围B)问卷调查模板不允许提供额外反馈C)问卷调查在实施后一个月发放给员工D)没有向管理层提供详细的问卷调查结果[单选题]190.一位IS审计师正在审查一个新的WEB式订单输入系统，该系统将于一周后正式启用。审计师发现根据设计，有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该？A)确定系统开发人员在适当系统安全措施方面是否接受过正规培训B)确定系统管理员是否因某种原因禁用了安全控制C)验证项目计划是否已对安全要求做出了正确规定D)验证安全控制是否基于已经无效的要求[单选题]191.由于重组，一个业务应用程序系统将扩展到其他部门。以下哪一项最令IS审计师关注?A)未确定流程负责人。B)未确定记账成本分方法。C)应用程序存在多个所有者。D)没有培训计划。[单选题]192.某IS审计师发现，少量用户访问请求未通过正常的预定工作流程步骤和上报规则获得经理授权。IS审计师应:A)执行额外分析B)将问题报告给审计委员会。C)执行安全风险评估。D)建议身份管理(IDM)系统负责人解决工作流程问题。[单选题]193.由于最近的一次经济滑坡，某IT组织已同几名管理员解约并将其所有的IT管理工作都合并到了中央总部进行。审计师在一次IT审计中发现，该组织在实施到各个站点的远程管理连接时，使用了低成本数字用户线路（DSL）连接，还使用了基于简单网络管理协议（SNMP）的自动化监控系统。以下哪项最令人担心？A)用于远程管理的身份认证方法可能不足以实现认证的目的。B)各远程站点的物理安全保障可能不足。C)已解约的员工可能仍留有访问远程站点中系统的权限。D)连接到各远程站点时，没有通过虚拟专用网络（VPN）来实现连通性。[单选题]194.基本的计算机安全需求不包括下列哪一条：A)安全政策和标识B)绝对的保证和持续的保护C)身份鉴别和落实责任D)合理的保证和连续的保护[单选题]195.对于计划采用公有云计算模型的企业,以下哪一项最有帮助?A)管理证明报告B)独立控制评估C)由服务提供商准备的审计报告D)服务水平协议(SLA)绩效衡量指标[单选题]196.信息系統審計師在分析數據庫管理系統的審計日志時發現部分事務由於錯誤而沒有完全執行，而且出錯後沒有回滾操作。根據以上描述，這些事務違反了以下哪種事務特性？A)一致性B)獨立性C)持久性D)原子性[单选题]197.在审查IT项目与项目管理的优先次序和协调事宜时，对IS审计师而言，主要考虑因素是什么?A)项目与组织战略相一致。B)识别的项目风险得到监控和缓解。C)与项目规划和预算编制相关的控制措施是适当的。D)准确报告IT项目指标。[单选题]198.在审查内部开发的应用程序期间，IS审计师最应关注的是:A)是否有用户提出变更请求并在测试环境中对其进行测试。B)是否有编程人员在开发环境中编写变更代码并在测试环境中对其进行测试。C)是否有管理人员审批变更请求并在生产环境中对其进行审查。D)是否有管理人员提出变更请求并随后对其进行审批。[单选题]199.针对Internet商务期望的数据机密性、有效性和完整性，以下哪一项是最佳的综合控制？A)安全套接层协议B)入侵检测系统C)公钥基础设施D)虚拟私有网络[单选题]200.网站认证的主要目的是？A)验证要浏览的网站B)验证浏览站点的用户C)阻止黑客浏览网站D)与数字认证的目的相同[单选题]201.某组织使用软件即服务(SaaS)操作模式实施了在线客户服务台应用。当涉及到可用性时，IS审计师需要建议最佳的控制措施，以监控与SaaS供应商签订的服务等级协议(SLA)。以下哪个选项是IS审计师可提供的最佳建议?A)要求SaaS供应商就应用程序正常运行时间提供每周报告。B)实施在线轮询工具，以监控应用程序并记录中断。C)记录用户报告的全部应用程序中断，并每周加总中断时间。D)与一家独立的第三方签，为应用程序正常运行时间提供周报。[单选题]202.当审查入侵检测系统（IDS）时，IS审计师应最关注以下哪个选项？A)识别具有威胁性的非威胁性事件数B)系统尚未识别的攻击C)由自动化工具生成的报告/日志D)系统阻挡的合法流量[单选题]203.为便于成功进行对即将替换现有旧版系统的新版企业资源规划(ERP)薪资管理系统的用户测试和验收，以下哪个选项属于最佳方法?A)多重测试B)并行测试C)集成测试D)原型测试[单选题]204.在数据的机密性、可靠性和完整性方面，以下哪项可以对互联网业务提供最全面的控制？A)安全套接字层（SSL）B)入侵检测系统（IDS）C)公钥基础架构（PKI）D)虚拟专用网络（VPN）[单选题]205.要求体假或岗位轮换的主要控制目的是:A)通过交又培训培养员工B)帮助保持员工士气。C)发现员工的不当或非法行为。D)提供竟争性员工福利。[单选题]206.当传输一个支付的指令时，以下哪一项可用来帮助校验该指令不是被复制的？A)使用密码学的哈希算法B)加密信息摘要C)解密消息摘要D)（使用）序列号及时间戳[单选题]207.一个公司正在实施控制自我评估项目，审计师应该作为什么角色参与：A)监督者。B)推动者。C)项目领导者。D)审计师不应该参与公司控制自我评估项目，因为他这样做可能会引起利益冲突。[单选题]208.以下哪个选项可用于自动确保在处理过程中使用适当的数据文件?A)文件标题记录B)版本使用C)奇偶校验D)文件安全控制[单选题]209.以下哪项代表了在电子数据交换环境最大的潜在危险？A)交易授权B)损失或重复的电子数据交换传输C)传输延迟D)交易的删除或操作在应用控制的创立以后之前[单选题]210.要使无线局域网（LAN）中传输数据的机密性得到最佳保护，需要会话？A)仅限于预定义的介质访问控制（MAC）地址。B)使用静态密钥加密。C)使用动态密钥加密。D)从具有加密存储的设备启动[单选题]211.下列哪一项属于工资系统的分析审查过程？A)使用基准测试软件评估工资系统的性能B)测试工射单上报告的小时数C)通过将员工人数乘以平均工资来进行合理性测试D)执行工资系统的安全渗透尝试[单选题]212.在审查与网络监控相关的控制设计时，以下哪一项是信息系统审计师最重要的审查内容?A)事件监控日志B)网络拓扑结构图C)网络流量分析报告D)互联网服务提供商ISP服务水平协议[单选题]213.在基于风险的审计方法中，IS审计师必须考虑固有风险外，也考虑？A)如何通过应用控制消除风险B)潜在损失VS执行控制的成本之间的平衡C)该风险是否重要，而不管管理者对风险的容忍度D)残余风险是否剩余是否高于所购买的风险[单选题]214.下列哪-项是信息系统审计师在审查软件许可证管理时主要考虑的问题:A)不使用站点许可证B)没有备用许可证供将来使用C)缺少软件第三方托管协议D)没有当前的软件清单[单选题]215.当一个新的系统是要在很短的时间内实现，最重要的是要：A)完成写作用户手册B)执行用户验收测试。C)添加在最后一分钟的增强功能。D)确保该代码已被记录和审阅。[单选题]216.使用通用串行总线（usb)闪存驱动器将公司机密数据传输到异地位置时，有效的控制是：A)用手提保险箱运送闪存驱动器。B)向管理层保证不会丢失闪存驱动器。C)要求管理层通过快递送交闪存驱动器。D)使用强密含有数据的文件夹。[单选题]217.对公司信息系统做审计时，审计师的第一步工作应该是：A)开发出战略性审计计划。B)对公司的业务重点获得理解。C)做初步的风险评估为基于风险的审计打下基础。D)确定和定义审计范围和重要性。[单选题]218.组织内资料安全官的最为重要的职责是：A)推荐并监督资料安全政策B)在组织内推广安全意识C)制定IT安全政策下的安全程序/流程D)管理物理和逻辑访问控制[单选题]219.以下哪一项可确保发生灾难时交易的可用性?A)每隔一小时将含有交易的磁带发送到异地B)每天将含有交易的磁带发送到异地。C)将交易保存到多个存储设备。D)将交易实时传输到异地。[单选题]220.在审计分配的初级阶段，IS审计师执行功能性巡视的首要原因是：A)理解业务流程B)遵从审计标准C)识别控制不足D)计划实质性测试[单选题]221.最有效的防病毒控制是:A)在邮件服务器上扫描e-Mail附件B)使用无毒的、清洁的、正版的光盘恢复系统C)卸掉软盘驱动器D)附有每日更新病毒库功能的在线病毒扫描程序[单选题]222.以下哪项是最可靠的发送者身份认证方法A)数字签名B)非对称加密C)数字认证D)消息验证代码[单选题]223.要解决组织的灾难恢复要求，备份间隔不得超过:A)服务水平目标(SLO)。B)恢复时间目标(RTO)。C)恢复点目标(RPO)。D)最大可接受中断(MAO)。[单选题]224.制定灾难恢复计划(DRP)时应首先执行下列哪一项任务?A)制定恢复策略B)执行业务影响分析(BIA)C)绘制软件系统、硬件和网络组件图D)指派人员、角色和汇报层次明确的恢复小组[单选题]225.信息系统审计师审计了一份业务持续计划，下列发现中哪一项是最重要的？A)不可用的交互PB、X系统B)骨干网备份的缺失C)用户PC、机缺乏备份机制D)门禁系统的失效[单选题]226.要使大型处理设施在灾难后恢复服务,应该首先执行以下哪一项任务?A)联系设备供应商B)启动互惠协议C)通知保险公司代理D)启动应急行动小组[单选题]227.在审计期间，审计师注意到一个中型的IT部门并没有独立风险管理功能，该组织的业务风险文档只包含了一些大致IT风险描述。在这种情况下什么建议是适当的？A)创建IT风险管理部门，建立IT风险与外部风险管理专家的援助框架B)使用通用的行业标准分为几个单独的风险，会更容易处理存在的风险C)没有建立的必要，因为目前的做法是一个中等规模的组织所适合的D)建立经常性的IT风险管理会议，以确定和评估风险，并创建一个可能覆盖通用的行业标准的该组织的风险[单选题]228.下列哪一项是实质性测试?A)检查例外报告清单B)确认参数修改得到批准C)对磁带库存货进行统计抽样D)检查口令历史报告[单选题]229.由于资料档案的损坏，存储在异地备份设备上的信息经常要恢复到本地站点（主计算机）上去，能快速简易地从备份站点传送所需备份信息到本地主计算机设备上去的机制称为：A)特殊急件信差B)常规急件信差C)电子保险库D)特殊信使[单选题]230.某组织正在使用对称加密.下面哪一项是转移到非对称加密的有效原因？对称加密：A)提供真实性。B)比非对称加密更快。C)可造成密钥管理困难。D)需要相对简单的算法。[单选题]231.审计涵盖关键业务领域的灾难恢复计划时，IS审计师发现该计划没有包括全部系统。那么，IS审计师最为恰当的处理方式是：A)推迟审计，直到把全部系统纳入DRPB)知会领导，并评估不包含所有系统所带来的影响C)中止审计D)按照现有的计划所涵盖的系统和范围继续审计，直到全部完成[单选题]232.对于一家交易量巨大的零售企业来说，下面哪项是最适合应对突发风险的审计技术?A)使用计算机辅助审计技术(CAAT)B)季度风险评估C)交易日志抽样D)持续性审计[单选题]233.各业务部门对新应用系统的性能表示担心。IS审计师应提出以下哪种建议?A)制定一个基准并监测系统的使用情况。B)定义备用处理流程。C)编制维护手册。D)实施用户建议的更改。[单选题]234.某组织正考虑作出大笔投资进行技术升级。以下哪一项是需要考虑的最重要因素?A)成本分析B)当前技术的安全风险C)与现有系统的兼容性D)风险分析[单选题]235.审计数据通讯系统的第一步是确定：A)网络设备的物理安全性。B)流量和响应时间标准。C)业务使用和要传输的消息类型。D)各种通讯路径中的冗余度。[单选题]236.对特别威胁的综合业务风险可以表达为：A)一个影响概率及震级的产物，如果威胁成功地变成一个弱点B)影响的震级，如果威胁成功地变成一个弱点C)威胁成功地变成一个弱点的可能性D)风险评估团队的整体判断[单选题]237.IS管理者建立变更管理程序的目的是为了：A)控制应用程序从测试环境转移到生产环境B)控制因忽视未解决的问题而引起的业务操作中断C)确保业务在遇到灾难时候不中断D)确保系统变更被合适的记录[单选题]238.测试程序变更管理流程时，IS审计师使用的最有效的方法是：A)由系统生成的信息跟踪到变更管理文档B)检查变更管理文档中涉及的证据的精确性和正确性C)由变更管理文档跟踪到生成审计轨迹的系统D)检查变更管理文档中涉及的证据的完整性[单选题]239.下列哪一种方法是最佳实践，应纳入测试灾难恢复程序计划？A)邀请客户参与B)涉及所有的技术人员C)轮换灾难恢复经理D)安装本地储存备份[单选题]240.在准备支持电子数据仓库解决方案的业务案例时，以下哪一项在协助管理层进行决策的流程中最重要?A)讨论单一解决方案。B)考虑安全控制。C)证明可行性D)咨询审计部门[单选题]241.下面哪个选项可以减少社交工程攻击的潜在影响？A)遵循规章要求B)提高伦理道德水平C)安全意识程序D)有效的绩效激励[单选题]242.信息系統審計師在審核一家金融機構的災難恢復計劃時發現了以下情況：現有的災難恢復計劃由企業IT部門的系統分析師制定，計劃中涉及的業務流程描述由相關的業務部門提供該計劃已經提交給企業的行政副總裁審批，但至今仍沒有結果雖然通過訪談得知一旦災難發生，相關人員都知道其相應的職責和應該采取的行動，但該企業從來沒有更新和測試該計劃，也沒有把計劃下發給主要的管理人員和職員。信息審計師的報告中應該建議：A)行政副總裁要對其沒有批准該計劃負責B)組織各部門的高級管理者審核該計劃C)批准該計劃並將其下發至所有關鍵的管理者和員工D)在一個限定的時間內，由一位管理者組織創建新的計劃，或修訂現有計劃[单选题]243.评估IT风险的最佳途径是？A)结合现有的IT资产和IT项目评估相关的威胁B)使用该公司过去实际的损失经验，已确定目前风险。C)从类似组织中总结得出损失统计D)从审计报告中查看已确定的IT控制漏洞[单选题]244.本题参照了下述图表。emA、il从internet上通过防火墙第一层到达邮件网关。邮件通过邮件网关进入第二层防火墙，到达内部网的邮件接收者。其他的路线都是不允许的。例如，防火墙不允许外网到内网的直接传输。ID、S系统对内网中不从邮件网关发起的传输进行检测。ID、S系统发起的第一个动作是：A)警告适当的团队B)在日志中创建入口C)关闭第二层防火墙D)关闭第一层防火墙[单选题]245.一位IS审计师被指派审查某组织的信息安全政策。以下哪个问题表现出的潜在风险最高?A)政策已超过一年未更新。B)政策不含任何修改记录。C)政策由安全管理员审批。D)公司未设立信息安全政策委员会。[单选题]246.使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要:A)将测试资料孤立于生产资料之外B)通知用户,让他们调整输出C)隔离特定的主文档记录D)用单独的文件收集事务和主文档记录[单选题]247.当系统突然宕机时，在线电子银行交易正被发送给数据库，那么以下哪项可以最好的确保交易的完整性A)数据库完整性检查B)有效性检查C)输入控制D)数据库应答和回拨程序[单选题]248.以下哪个选项最有助于检测数据处理中的错误?A)程序化的编辑检查B)设计优良的数据录入筛选C)职责分离D)散列总计[单选题]249.一个组织的财务系统的灾难恢复计划声明恢复点目标（RPO）是没有数据损失，恢复时间目标（RTO）是72小时。下列哪个是最好的成本－效率方案？A)一个可以在8小时内用异步备份交易日志运行起来的热站B)多区域异步更新的分布式数据库系统C)一个热站里的同步更新数据和双机热备D)一个同步远程备份数据、可以在48小时内运行起来的温站[单选题]250.在不能恰当进行权责分离的环境中，信息系统审计师应关注下列哪种控制？A)重叠控制B)边界控制C)访问控制D)补偿性控制[单选题]251.对已经开发好的业务应用系统进行控制变更是复杂的，因为：A)迭代性质的原型。B)快速的需求和设计的改变。C)重点在于报表和屏幕输出。D),缺乏集成工具。[单选题]252.当选择审计规程时，信息系统审计师应使用专业判断来确保：A)充足的证据将被收集B)确定的所有重大缺陷将在合理的周期被更正C)所有材料缺陷将被鉴别D)审计成本将被保持在最低水平[单选题]253.IS审计师发现时间紧张和需求扩大是最近在新商业智能项目中违反公司数据定义标准的根本原因，下面哪项是该IS审计师给出的最合适建议?A)通过增加用于项目的资源来获得标准的一致性。B)在项目完成后调整数据定义标准。C)延迟该项目，直到符合标准。D)通过对违反者采取惩罚性措施来强制实施标准合规性。[单选题]254.以下哪种措施对避免网站应用遭受结构化查询语言（SQL）注入攻击最有帮助？A)在应用中内置输入校验措施；B)避免从网页应用直接查询数据库；C)避免在编程查询中使用动态SQL；D)由数据库管理员（DBA）审查所有数据库查询请求。[单选题]255.信息系统不能满足用户的需求而失败，绝大多数的原因是:A)用户的需求频繁变更B)对用户需求的增长预测是错误的C)硬件系统限制了用户并发数D)用户参与需求的定义不充分[单选题]256.在审查数据文件变更管理控制期间，下面哪一个选项有助于减少调查异常所需要的研究时间？A)一对一的检查B)数据文件安全性C)交易日志记录D)文件更新和维护授权[单选题]257.哪种控制可以侦测传输错误通过在每个数据段的末端加上计算位？A)合理性校验B)奇偶校验C)冗余校验D)顺序校验[单选题]258.在关键文件服务中，存储增长管理的不合理导致的风险中，以下哪项最大？A)备份时间不断增加。B)备份操作成本会显著增加。C)存储操作成本会显著增加。D)服务器恢复工作可能不能满足恢复时间目标（RTO）。[单选题]259.IS审计师与薪资结算人员面谈时，发现该人员的回答与其工作描述和记录在案的工作流程不符。在此情况下，IS审计师应该:A)断定控制不适当。B)扩大测试范围，从而引入实质性测试。C)更多地依赖以往的审计结果。D)暂停审计。[单选题]260.备份除了考虑所有的系统外，下面哪项在对在线系统备份需要重点考虑的？A)维护系统软件参数。B)确保定期卸载交易日志。C)确保文件周期备份。D)在异地站点维护重要数据。1.答案:A解析:A.IT风险评估在具有明确界定的范围时才高效并达到风险识别目标。如适用，信息技术风险评估应包括与其他领域风险评估的关系。B.其中最可能的情况