CISA考试练习(习题卷9)

试卷科目：CISA考试练习CISA考试练习(习题卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共260题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.信息系统审计员在一个政府研究设施执行通信审计时注意到部分网络连接使用到了光纤，其它网络使用常用的非屏蔽双绞线。如下哪个是使用双绞线带来的最大风险？A)带宽缺乏带来的性能问题B)入侵者可以接入电缆截取数据C)安装可能会被延期，因为光纤是最容易折断和安装复杂的D)由于干扰可能会导致信息泄露[单选题]2.在計算可接受的關鍵業務流程恢復時間時，A)只需考慮停機時間的成本B)需要分析恢復操作的成本C)停機時間成本和恢復操作成本都需要考慮D)可以忽略間接的停機成本[单选题]3.确定某家企业关键流程的恢复点目标(RPO)时，以下哪一项最重要?A)可接受的停机时数B)恢复关键系统的总成本C)可接受的数据损失程度D)可接受的服务等级下降[单选题]4.需要在正常工作时间后对数据库作出紧急更改的数据库管理员（DBA）应登录A)自己的具名账户进行更改B)共享的DBA账户进行修改C)服务器管理账户进行更改D)用户账户进行变更[单选题]5.为对审计反馈的一部分，被审计单位对审计建议有顾虑，犹豫不决是否要实施。以下哪一项是信息系统审计师的最佳行动步骤？A)接受被审计单位的反馈，进行其他测试B)发布不包括被审计单位意见的最终报告C)与被审计单位进行进一步讨论制定缓解计划D)建议聘用第三方顾问来评估当前状态[单选题]6.下面哪项能在数据处理过程中最好地检测出错误？A)程序编辑检查B)精心设计的数据进输入审查C)职责分享D)哈希运算[单选题]7.采用自上而下的方法来制定运营政策有助于确保:A)这些政策在整个组织内保持一致。B)将这些政策作为风险评估的一部分来实施。C)遵守所有政策。D)定期对这些政策进行审查。[单选题]8.IS审计师审查在线电子资金转账(EFI对账流程时，应该确保涵盖:A)核单情况B)授权情况。C)更正工作。D)跟踪情况。[单选题]9.员工使用便携式介质（MP3播放器、闪存驱动器）时，IS审计师最应关注以下哪项？A)缺少管理便携式介质使用的政策B)将音频和视频文件复制到便携式介质C)便携式介质给组织带来的成本D)恶意代码在整个组织中传播[单选题]10.下列哪个信息安全意识项目的有效性最具有象征性？A)额外的信息安全事件被报告B)所有员工都签署了信息安全策略C)大多数员工都参加了信息宣传会议D)信息安全责任已列入工作说明[单选题]11.下列哪一项是对确定项目活动带优先级和确定项目的时间表最有帮助？A)甘特图（一种按照时间进度标出工作活动，常用项目管理的图表）B)挣值分析法（是一种项目跟踪、对项目状态评估的技术。其核心内容是将工作、工作进度量化为价值，工作计划-预算，实际工作进展-成本，使得我们可以客观的精确地计算共完成的百分比。它解决了在任务持续时间段内凭借主观估计该任务完成情况的问题）C)项目评审技术D)功能点分析法[单选题]12.由于IT的变化，一个大型组织的灾难恢复计划已改变。如果没有测试新计划，其中主要的风险是什么？A)灾难性服务中断B)资源的高消耗C)恢复总成本无法最小化D)当计划启动的时候，用户和恢复小组可能面临严重的困难[单选题]13.IS审计师检查日志文件中的失败登陆的尝试，那么，最关注的账号是：A)网路管理员B)系统管理员C)资料管理员D)资料库管理员[单选题]14.当检查一个ID、S系统时，IS审计员应当最关注下列哪一项：A)非威胁识别成威胁的事件的数量B)没有系统被识别出来攻击C)被自动化工具生成的报告/日志D)被系统阻止的合法流量[单选题]15.针对特定威胁的整体业务风险可以表示为：A)如果威胁成功利用漏洞，产生的可能性和影响程度B)威胁成功利用此漏洞的影响程度C)威胁对某一特定的漏洞利用的可能性的来源D)对风险评估小组的集体判断[单选题]16.为了获得一个组织的规划和IT资产投资的有效理解，一个信息系统审计师应该审查？A)企业数据模型B)IT平衡记分卡（BSC)C)IT组织结构D)历史财务报表[单选题]17.下列哪个选项能够为电子商务交易提供不可否认性服务？A)公钥基础构架（PKI）B)数据加密标准（DES）C)消息验证代码（MAC）D)个人标识码（PIN）[单选题]18.组织实施灾难恢复计划的目的之一是在灾难发生时可以减少恢复时间和恢复成本。灾难发生前后，灾难恢复计划将会增加运行成本，但是可以减少重新恢复到正常经营的时间，减少因灾难引起的成本（损失）。组织财务系统灾难恢复计划指出，恢复点目标（RPO）要没有数据损失和时间目标（RTO）是72小时，以下最符合成本效益的解决方案是：A)8小时内即可运行的热站，交易日志的异步备份B)异步更新位于多个地点的分布式数据库系统C)数据同步更新，在热站有备用系统D)数据同步远程拷贝到温站，并且温站可以在48小时内运行[单选题]19.以下哪一项是在开发在线应用程序的过程中嵌入审计模块的主要目的?A)在处理交易的过程中收集证据B)降低定期进行内部审计的要求C)识别和报告欺诈性交易D)提高审计功能的效率[单选题]20.以下哪项是处置含有机密信息的磁介质的最稳妥的方法？A)消磁B)碎片整理C)擦除D)破坏[单选题]21.试图去控制像用密钥卡或者锁的计算机房这样敏感区域的物理访问所带来的风险是A)未授权人员在控制门前等待授权人员打开门后尾随B)组织的偶然计划不能有效的检测控制访问实践C)控制卡，钥匙还有输密码的小键盘可以容易的被复制，这就允许了控制很容易被妥协D)移除不再有权限的人的访问权限很复杂[单选题]22.一个IT灾难恢复措施已经实施到位并且进行了多年定期测试的中等规模组织刚刚制定了一个正式的业务连续性计划(BCP)。已经成功进行了基本的BCP桌面演练。要验证新BCP的充分性IS审计师接下来应建议进行以下哪项测试?A)全面测试(将包括IT部门在内的所有部门转移到应急站点)B)对一系列预定义情景(涉及所有关键人员)进行的穿行测试C)IT灾难恢复测试(业务部门参与测试关键应用程序D)情景功能测试(有限IT人员参与)[单选题]23.无线局域网比有线局域网在哪方面具有更大的风险？A)伪装和修改/替换B)修改/替换和设备失窃C)窃听和伪装D)窃听和盗窃设备[单选题]24.下列哪种风险说明了与程序的陷门有关的风险：A)固有风险B)审计风险C)检查风险D)业务（商业）风险[单选题]25.审计师观察到不存在恰当的项目批准流程，他应该：A)提供详细流程建议实施。B)寻找没有书面批准流程的证据。C)确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志，建议项目管理培训作为补偿性控制D)向管理层建议采取恰当的项目批准流程并文档化。[单选题]26.小到中型组织，通过互联网连接到私有网络，下列哪种方法是最安全和经济的A)虚拟专用网B)专有线路C)租用专线D)综合服务数字网络[单选题]27.IS审计师需要获得充分和适当的审计证据的最重要原因是:A)遵从需求的调整B)是提供合理结论的基础C)确保完整的审计覆盖D)依据已定义的范围完成审计[单选题]28.评价一个组织安全意识培训的充分性，以下哪一项是最佳的衡量标准A)高管层意识到关键的信息资产并表明对他们进行适当的保护B)在作业描述中对信息安全的主要责任人进行了清晰的描述C)与风险和业务的影响等级保持一致，对安全成果有足够的资金保障D)没有泄露和其他公开事件的发生[单选题]29.在将软件开发外包给第三方时，企业在软件托管协议中包含以下哪一项最重要？A)托管代理存储库将接受企业的定期审计B)托管代理存储库将受到安全保护以防止供应商访问C)托管代理存储库将保存在企业自己的国家D)托管代理存储库将随着软件产品的发展而更新[单选题]30.在检查一个组织的逻辑访问安全时，下面哪个是IS审计员最关心的：A)密码没有共享B)密码文件没有加密C)多余的登录帐号被删除D)登录帐号分配受控制[单选题]31.某公司和外部咨询公司签约资金系统以替换现有的自行开发系统。在审核提交的开发途径时，下面那一项最值得关注？A)由用户来管理验收测试B)质量规划不是合同内容的一部分C)在初步实施新系统会导致部分业务不可用D)原型法被用于确保系统满足业务需求[单选题]32.安装完网络后，组织又安装了弱点评测工具和安全扫描仪来分辨可能存在的弱点。下面哪一个与这些工具相关的风险最严重：A)差异报告B)错误肯定报告C)错误否定报告D)简要报告[单选题]33.数字签名要求：A)签名者拥有公钥，接收者拥有私钥。B)签名者拥有私钥，接受者拥有公钥。C)签名者和接收者均拥有公钥。D)签名者和接收者均拥有私钥。[单选题]34.一位IS审计师了解到，一家小公司的新任人力资源经理曾是一位IT网络管理员，这位新任HR经理利用自己的IT技术，赋予自己权利阅读员工的电子邮件并监控他们的网络使用情况，这位IS审计师应该A)记录问题、验证有无违反公司策略B)请求立即取消HR经理的访问权限C)什么也不做，因为公司没有隐私权政策D)联络公司总裁，告知其这一问题[单选题]35.关键应用设定了低的恢复时间目标，信息系统审计员应该推荐使用如下哪个恢复策略：A)移动站点B)冗余站点C)热站D)互惠协议[单选题]36.当实施一个数据仓库时，哪一项是最大的风险？A)在生产系统上增加的响应时间B)在数据修改上不充分的访问控制C)数据重复D)过期或不正确的数据[单选题]37.信息系统审计师受雇于评估电子商务安全。信息系统审计师的首要任务检查每个存在的电子商务应用来寻找脆弱性。下一个任务是什么？A)马上向C、IO和C、EO汇报风险B)检查开发中的电子商务应用系统C)识别威胁和发生的可能性D)检查风险管理的可用预算[单选题]38.IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论：A)这种缺乏了解会导致不经意地泄露敏感信息B)信息安全不是对所有只能都是关键的C)IS审计应当为那些雇员提供培训D)该审计发现应当促使管理层对员工进行继续教育[单选题]39.在发现未知恶意攻击时，以下哪一项安全测试技术最有效？A)沙盒（sandboxing）B)渗透测试C)漏洞测试D)逆向工程（reverseengineering)[单选题]40.经过全面的应急操作测试后，IS审计师审查恢复步骤时，发现将技术环境和系统恢复到全面运行的时间超出了要求的关键恢复时间。审计师应该建议：A)进行恢复任务的整体审查B)扩大处理能力赢得恢复时间C)改进设备的使用结构D)增加恢复工作的人手[单选题]41.当审计一个非常重要的业务领域的灾难恢复计划时，某信息系统审计师发现其没有包含所有的系统。对这个审计员来说，下面哪个行动时最合适的？A)通知管理层，并评估其没有包含系统的影响度B)取消审计C)完成现存DRP涉及的系统审计D)推迟审计，直至所有系统都被包含到复原计划中[单选题]42.一位IS审计师在为某全球性组织执行IS审计时发现，该组织将经由互联网的IP（VoIP）语音作为各办事处之间语音连接的唯一手段。以下哪项是该组织VoIP基础实施中存在的最大风险？A)网络设备故障B)分布式拒绝服务（DDos）攻击C)优惠率欺骗（资费欺骗）D)社会工程攻击[单选题]43.信息系统审计师使用端口扫描软件来:A)检测开放服务B)确保所有端口都在使用之中C)检测入侵D)建立通讯链接[单选题]44.当评价一个覆盖公用WA、N的VoIP系统执行情况时，信息系统审计师最期望发现：A)一条综合服务数字网络（ISD、N）数据链路。B)流量工程学。C)对数据进行WEP加密。D)模拟电话终端。[单选题]45.以下哪一项最能表明执行强制的年度安全意识培训的有效性？A)社会工程测试结果趋势B)第三方渗透测试结果C)安全事故的数量D)由随机选取的员工完成的调查[单选题]46.在审查基于e的软件开发项目期间，某S审计师发现编码标准未得到贯彻执行而且代码审查也很少执行。此情况最有可能增加成功完成以下哪项攻击的可能性:A)缓冲区出B)穷举攻击。C)分布式拒绝服务(DoS)攻击。D)战争拨号攻击[单选题]47.下面哪种数据有效性编辑检查形式被用于确定某个区域包含数据，而不是零或空白？A)检验数位B)存在性检查C)完备性检查D)合理性检查[单选题]48.当评价一个计算机的预防维护程序的有效性和充分性时，下列哪一个被信息系统审计师认为最有帮助？A)系统停机日志B)供应商的可靠数字C)周期的排定维护日志D)一个书面的预防维护时间表[单选题]49.相对于不存在灾难恢复计划，和当前灾难恢复计划的成本对比，最接近的是：A)增加B)减少C)保持不变D)不可预知[单选题]50.要了解多个项目的管理控制是否有效，IS审计师应该审查下列哪项?A)项目数据库B)政策文档C)项目组合数据库D)项目群组织[单选题]51.为确定供应商满足关于某关键IT安全服务的服务等级协议(SLA)要求的能力，IS审计师最好参考以下哪一项?A)主协议合规性B)商定的关键性能指标C)业务连续性管理测试的结果D)独立审计报告的结果[单选题]52.下列哪一项代表缺乏充分的安全控制？A)威胁B)资产C)影响D)漏洞[单选题]53.一个开放式系统架构的优点是？A)促进互操作性B)有利于整合私有的组件C)将从设备供应商处得到折扣D)获得在设备上的更多经济成就[单选题]54.在审查一个活动的IT项目，IS审计员发现，由于预期的效益减少及成本的增加，业务模式不再有效。IS审计员应该建议：A)终止项目。B)首先识别业务模式的变更及可能的纠正措施C)项目应该让赞助者重新批准D)应先完成项目，之后更新业务模式[单选题]55.下面哪个选项有助于保证连接到数据库的应用的便携性？A)数据库导入/导出过程的核查B)SQL的使用C)存储流程/触发器的分析D)实体关系模型和数据库物理结构的同步[单选题]56.以下哪一项是两家公司使用互惠协议解决灾难恢复的最大风险？A)发展可能会导致硬件和软件的不兼容B)资源在需要的时候未必可得C)恢复计划无法测试D)每个公司的安全基础设施不同[单选题]57.以下哪项为PKI目录服务器的最佳描述？A)加密网络中传送的信息B)对其他用户身份进行认证并提交应用程序C)为执行密码策略提供便利D)保存认证撤回列表(C、RLs)[单选题]58.与使用检查点重起程序的相关的逻辑风险是:A)拒绝式服务B)异步进攻、C)搭线窃听D)停机[单选题]59.在评估某家公司新建立的举报系统过程中，审计师发现了几个问题,以下哪一项应是信息系统审计师的最大顾虑?A)举报者的隐私权未加以保护B)系统不跟踪提交的时间和日期C)系统仅在工作时间内可用D)新员工对举报政策不知情[单选题]60.以下哪一项能最大限度地保证信息的真实性？A)哈希码在传输的时候按照一定的数字逻辑进行数字化处理并传输B)哈希码用发送者的私钥进行加密C)哈希码和信息都用密钥进行加密D)信息发送者获得接受信息人的公共密钥，并通过认证授权验证数字证书的真实性。[单选题]61.下列哪一个报告应该被信息系统审计师用来检查是否符合计算机正常运行事件的服务水平协议？A)利用报告B)硬件错误报告C)系统报告D)可用性报告[单选题]62.要确保结构化灾难恢复，最重要的是业务连续性计划(BCP)和灾难恢复计划(DRP):A)存储在备用位置。B)已传达给所有用户。C)定期测试D)定期更新[单选题]63.企业的业务连续性计划的启动应基于以下哪方面的预定标准:A)中断的持续时间。B)中断的类型。C)中断的概率。D)中断的原因。[单选题]64.当一个组织外包客户信用审核系统给第三方，信息系统审计师考虑最重要的是下列供应商的哪一个？A)达到或超过行业安全标准B)同意受外部安全审查C)有经验的服务和良好的市场信誉D)符合该组织的安全策略[单选题]65.一家服务提供商参与了一个涉及保密信息的政府项目，在为其执行IS审计时，IS审计师注意到该服务提供商将部分IS工作委派给了一家子承包商。以下那个选项最能确保保护信息机密性的要求都得以满足?A)月度委员会会议中有子承包商方面的IS经理参加B)管理层每周审查子承包商提交的报告C)政府机构许可合同事项D)对子承包商的工作指派定期独立审计[单选题]66.以下哪一项管理了数字证书的整个生命周期，以确保电子商务数字签名系统具有充分的安全性和控制？A)注册权威机构(RA)(注册中心)B)认证权威机构(CA)(认证中心)C)证书撤销(废止)列表-CertifiCAtionRevoCA、tionList,CRLD)认证操作规范[单选题]67.某位曾参与过组织业务连续性计划(BCP)设计的IS审计师被指派审计该计划。IS审计师应A)拒绝接受任务。B)完成审计任务后通知管理人员可能存在利益冲突。C)开始执行任务前通知BCP团队可能存在利益冲突。D)开始执行任务前通知审计管理部门可能存在利益冲突。[单选题]68.以下哪项对于成功实施IT治理最为重要?A)实施IT记分卡B)确定组织战略C)执行风险评估D)制定正式的安全政策[单选题]69.以下哪项环境控制措施可以在发生短时电力减弱时提供保护？A)电路调节器B)防浪涌设备C)冗余电源D)不间断电源[单选题]70.在评估项目风险管理流程的有效性时，以下哪一项应是信息系统审计师的最大担忧？A)发现风险登记表中的某些风险评级不正确B)风险登记表不受版本控制C)风险登记表中尚未确定风险响应措施D)每月对风险登记表进行一次审查[单选题]71.测试程序的更改时,以下哪项是最适合作为总体来抽取样本?A)测试库清单B)原程序列表C)程序更改需求D)生产用链接库清单[单选题]72.以下哪一项是进行IT控制环境基准测试的主要目标？A)检测控制偏差B)确保IT安全战略和政策有效C)定义流程和控制所有权D)使IT战略与业务战略相一致[单选题]73.神经网络在检测欺骗入侵的时候是有效的，因为他们能够:A)发现新的趋势，缘于他们的内在联系B)能够解决在大量基础培训数据不可获得的时候产生的问题C)解决需要考虑大量不同的输入的问题D)对任何曲线关系的输出假设形态[单选题]74.为了减少成本，一个保险公司对关键应用程序正在使用云计算技术，如下哪个选项是信息系统审计人员最关心的？A)在主要技术事故场景中恢复服务没有的能力B)共享环境中的数据被其他公司访问C)服务提供上没有把对事件进行调查包括在内D)当供应商离开时，服务的长期稳定性[单选题]75.在设计一个新系统时设立一个中断或冻结点的原因是:A)避免对一个进行中的项目的更多的影响/变更。B)表明在该点设计将被完成。C)要求对该点进行成本－效益评估后变更。D)提供项目管理团队对该项目设计更多的控制。[单选题]76.当一个系统便用射频识别（RFID）时，信息系统审计师最应该关注以下哪一项内容？A)不可抵赖性B)隐私C)可维护性D)可扩展性[单选题]77.在使用公钥加密保护通过网络传输的数据安全时A)加密和解密都使用公钥B)加密使用私钥，解密使用公钥C)加密使用公钥，解密使用私钥D)加密和解密都使用私钥[单选题]78.一个遗留的工资支付应用系统被迁移到一个新的应用程序，下列相关人员哪个主要负责检查和签收迁移前的数据的正确性和完整性？A)信息系统审计师B)数据库管理员C)项目经理D)数据所有者[单选题]79.对公司内部网路实施渗透测试时，如下哪一种方法可以确保网路上的测试人始终不被发觉？A)使用现有的档服务器或域控制器的IP地址发起测试B)每扫描几分钟暂停一会儿，以避免达到或超过网路负载极限C)在没有人登陆的夜间实施扫描D)使多种扫描工具，多管齐下[单选题]80.当对某组织的台式计算机软件合规性进行审查时，安装的软件存在以下哪种情况吋最需要IS审计师给予关注:A)已安装，但没有记录到T部门记录中。B)由没有对其使用经过适当培训的用户使用。C)没有列于批准软件标准的文档中。D)许可证将在15天后到期[单选题]81.下列哪项是在审计计划中基于风险方法的好处？审计:A)提前数月完成审计时间计划B)IS审计员对预算有所掌握C)审计成员面对多种技术挑战D)把审计资源分配给高风险的审计事项。[单选题]82.以下哪一项能够最有效地确保用户能够不间断地访问关键的、任务繁重的web应用程序?A)磁盘镜像B)廉价磁盘冗余阵列(RAID)技术C)动态域名系统(DDNS)D)负载均衡[单选题]83.IS审计章程的主要目的是:A)建立审计部门的组织结构。B)阐述IS审计职能部门的报告责任。C)详细阐述IS审计部门执行的审计流程和程序。D)概述IS审计职能部门的职责和权限。[单选题]84.审计WEB服务器时，IS审计师应该关心个人通过哪个选项对保密信息进行未授权访问的风险？A)通过网关接口（CGI）的脚本。B)enterprisejavA.beans（EJB）C)小应用程序（Applet）D)WEB服务[单选题]85.某组织正在实施企业资源规划(ERP)应用程序。为确保项目按计划进行并取得预期结果，准应该对项目的监督工作负主要贵任?A)项目发起人B)系统开发项目团队(SDPT)C)项目督导委员会D)用户项目团队(UPT)[单选题]86.某公司的开发团队未采用普遍接受的系统开发生命周期(SDLC)实践。以下哪项最有可能导致软件开发项目出现问题?A)由最终用户负责原型的功能验证B)在用户验收测试(UAT发现了一些小问题的情况下实施了项目。C)在项目开始时未正式地确定项目责任。D)项目记录不充分。[单选题]87.在决策支持系统(DSS)的过程中,以下哪一项具有实施风险?A)管理控制B)半结构的决策结构维度C)无法确定目标和使用模式D)决策过程发生的变化[单选题]88.IS审计师正在审查一家大型公司的IT项目，并且想确定在指定年份实施的IT项目是否己被该企业指定为最高优先级的项目，以及是否会创造最大的商业价值。以下哪一项与之最紧密关联?A)能力成熟度模型(CMM)B)组合管理C)配置管理D)项目管理知识体系(PMBOK)[单选题]89.评估资料库应用的便捷性时，IS审计师应该验证：A)能够使用结构化查询语言（SQL）B)与其他系统之间存在信息的导入、导出程序C)系统中采用了索引（Index）D)所有实体（entities）都有关键名、主键和外键[单选题]90.在银行必须准确报告交易的情况下，IS审计师审计一个银行电汇系统的内容，下面哪项代表了审计目标的基本重点？A)数据可用性B)数据保密性C)数据可用性D)数据完整性[单选题]91.在具有参照完整性的关系数据库中，如果客户表中某行的客户编号与订单表上的有效订单存储在一起则以下哪种键可防止从客户表中删除该行?A)外键B)主键C)次键D)公钥[单选题]92.在什么情况下，热站会作为一个恢复策略被执行？A)低灾难容忍度B)高恢复点目标（RPO）C)高恢复时间目标（RTO）D)高灾难容忍度[单选题]93.对称密钥加密的下列哪一方面因素会对非对称加密的发展起作用？A)处理能力B)数据量C)密钥分配D)算法的复杂度[单选题]94.在小公司中职责分离可能不实际，一个雇员可能同时执行服务器操作员和应用程序员职责。信息系统审计师应该建议下列那个控制？【已经理解】A)对开发程序库变更自动日志。B)雇佣额外的技术人员实现职责分离。C)执行只有批准的程序变更才能被上线的流程。D)预防操作员登录ID做程序修改的自动控制。[单选题]95.以一哪项功能应当由应用所有者执行，从而确保IS和最终用户的充分的职责分工？A)系统分析B)资料访问控制授权C)应用编程D)资料管理[单选题]96.以下哪种为依据法规管理识别资产时的最佳信息来源？A)安全事件汇总B)供应商最佳实践C)认证中心D)重要合同[单选题]97.在审组织的人力资源政策和流程时，IS审计师应对以下哪项的缺失给予最大关注:A)定期岗位轮换要求。B)正式的离职面谈流程。C)要求离职时归还钥匙和公司财产并撤消所有访问权限的离职清单。D)要求新员工签订保密协议(ND[单选题]98.以下哪一项最有助确保识别偏离项目计划的情况?A)项目管理框架B)项目管理方法C)项目资源计划D)项目绩效衡量标准[单选题]99.以下一项是数据分类流程的最重要成果？A)数据的访问控制矩阵B)全面的数据资产清单C)增强的数据访问日志D)确定的保护级别[单选题]100.为了自主访问控制有效，应该：A)在强制访问控制里使用B)独立于强制访问控制使用C)在必要的时候让用户可以绕过强制性访问控制D)通过安全策略来限定[单选题]101.为支持组织的目标，IT部门应具有A)低成本理念。B)长期和短期计划C)领先的技术。D)采购新硬件和软件的计划。[单选题]102.关于业务连续性战略，信息系统审计师在访谈组织中的关键利益相关者，以确定他们是否了解自己的角色和责任。信息系统审计师应该试图评价：A)清晰和简洁的业务连续性计划B)充分的业务连续性计划C)业务连续性计划的效益D)信息系统的能力和最终用户个人在紧急情况下有效的应对[单选题]103.在对IT流程的安全审计过程中，信息系统审计师发现没有关于安全程序的文档。该审计师应该：A)生成该程序的文档B)中止审计C)进行符合性测试D)识别并评估目前状况下的组织活动[单选题]104.某组织请求IS审计师提出建议来帮助其提高IP语音（VoIP）系统及数据通信的安全性和可靠性。以下哪项措施能实现这一目标？A)使用虚拟局域网（VLAN）对VoIP基础设施进行划分B)在VoIP终端设置缓冲区。C)确保在VoIP系统中实现端到端加密。D)确保VoIP基础设施中各部分均使用应急备用电源。[单选题]105.在业务持续计划中，下列哪一项具有最高优先级？A)恢复关键处理B)恢复敏感处理C)恢复现场D)迁移操作至另一个可替代站点[单选题]106.对于确保业务连续性，如下哪个选项是最重要的：A)关键雇员的联系信息B)数据备份C)为了短期需要的紧急资金D)另一个处理站点[单选题]107.部署某應用程序時，以下哪一項會帶來最大的風險？A)由於未對軟件版本加以控制，導致版本不一致B)源程序與目標代碼不一致C)參數設置錯誤D)編程錯誤[单选题]108.IT指导委员会应从根本上对信息系统进行评定：A)IT流程是否支持业务需求B)系统功能是否完善C)现有软件的稳定性D)现有技术的复杂度[单选题]109.要使自主访问控制发挥作用，必须：A)在强制访问控制的环境中运行B)单独运行强制访问控制C)使用户可以在必要时替代强制访问控制D)由安全政策特别允许[单选题]110.下列哪一项最符合IS审计师与受审方就审计发现进行讨论的目的?A)向受审方传达审计结果。B)为所提出的建议制定实施时间线。C)确认审计发现并建议纠正措施的实施计划。D)为已确定的风险确定补偿控制措施。[单选题]111.为确保双方间消息的完整性、机密性和不可否认性，最有效的方法是创建消息摘要，方法是将加密哈希算法应用到：A)整个消息，使用发送方的私钥将消息摘要加密，使用对称密钥将消息加密，以及通过使用接收方的公钥将密钥加密。B)消息的任何部分，使用发送方的私钥将消息摘要加密，使用对称密钥将消息加密，以及通过使用接收方的公钥将密钥加密。C)整个消息，使用发送方的私钥将消息摘要加密，使用对称密钥将消息加密，以及通过使用接收方的公钥将已加密消息和摘要加密。D)整个消息，使用发送方的私钥将消息摘要加密，以及通过使用接收方的公钥将消息加密。[单选题]112.在关键系统上执行证明和信赖过程的原因是确保：A)安全符合性已经在技术上评估B)数据已经被加密和存储C)系统已经在不同平台上测试D)系统已经遵照瀑布模型的阶段[单选题]113.下列哪个原因能够最佳地描述强制休假政策的目的?A)保证员工能够适当地获得多种职能的交叉培训B)提升员工士气C)识别业务过程中的潜在错误或不一致情况D)作为一种节省成本的方法[单选题]114.在正常工作时间之后需要对数据库进行紧急变更的数据库管理员(DBA)应:A)用其指定帐户登录进行变更。B)用共享DBA帐户登录进行变更。C)登录到服务器管理帐户进行变更D)使用用户的帐户登录进行变更。[单选题]115.网站证书的主要目标是：A)将被访问的网站的认证B)要访问那个网站的用户的认证C)阻止网站被黑客访问D)与电子证书的目的相同[单选题]116.在开发阶段添加新的系统功能时，以下哪一项是与没有遵循项目变更管理流程相关的主要风险?A)项目可能无法在规定期限完成B)项目可能超出预算C)尚未记录添加的功能D)新功能可能不符合要求[单选题]117.在通过安全套接字层（SSL）加密（在贸易伙伴的服务器上实现）来传输数据时，以下哪项是令人担忧的问题？A)组织没有对加密的控制权B)消息易被线路窃听C)数据可能未到达目标接收者D)通信可能不安全[单选题]118.下面哪一项持续计划测试使用真实资源模拟系统崩溃以证明计划的有效性，同时符合成本效益原则？A)桌面测试B)效果测验C)仿真测试D)穿行测试[单选题]119.风险分析的关键要素是:A)审计计划B)控制C)脆弱点D)责任[单选题]120.IS战略规划应包含：A)制定的硬件采购规格说明B)未来业务目标的分析C)项目开发的（启动和结束）日期D)IS部门的年度预算（目标）[单选题]121.下面那一个是评估一个组织的安全意识培训评估标准？A)高级管理层意识到关键信息资产，并发表了他们对足够的保护的关注B)工作描述包含的信息安全责任制的声明C)按照风险和业务影响度的规定，有足够的资金用于安全D)没有实际发生的事情以造成的损失或公共事件[单选题]122.在软件开发的测试阶段结束时，审计员观察一个中间软件错误没有被改正。没有任何解决这个错误的行为。审计员该：A)作为一个发现报告错误及让被审计对象的仲裁委员会进一步研讨这个错误B)尝试解决错误C)建议提升问题解决层次D)忽视错误，因为不能获得软件错误的客观证据[单选题]123.组织中的访问点既包含了不能被升级至更强安全性的访问点，也包含了具有高级无线网络安全性的新访问点。信息系统审计师建议更换不可升级的访问点。下列哪个选项是证明信息系统审计师建议的最佳依据？A)拥有更强安全性的新访问点是可以提供的。B)旧的访问点在性能方面很差。C)组织的安全性将会和其最脆弱的访问点一样。D)新的访问点更容易管理。[单选题]124.在审核防火墙配置时，审计师认为下列哪项是最大的脆弱性？A)配置使用基于源地址和目的地址，协议，用户认证的允许或拒绝对系统/网络访问的规则。B)配置在规则中最后使用?拒绝?选项。C)防火墙软件在安装时操作系统使用缺省配置。D)防火墙软件被配置为VPN作为点对点连接。[单选题]125.在审计系统开发项目的需求阶段时，IS审计人员应：A)评估审计足迹的充分性B)标识并确定需求的关键程度C)验证成本理由和期望收益D)确保控制规格已经定义[单选题]126.通过对广域网的检测发现，在连接两个节点的用于同步主从数据库的通信线路上的峰值数据流量达到了这条线路带宽的96%。一个信息系统审计师应该得出结论：A)需要分析来确定是否有数据表明存在短时间内的服务缺失B)广域网带宽是足够满足最大流量需求的，因为还未达到最大饱和状态C)应该马上用一条更大带宽的线路来取代现有线路，新的线路应该确保最大不超过85%的线路饱和D)应该指导用户减少对流量的需求或把流量需求平均分布在整个的工作时间内来使得对带宽的消耗平缓化[单选题]127.审计师在审查数据库时发现在正常的工作时间修改或者变更有一套标准的程序控制措施。但是，在不是标准工时的时候，变更只要很少的步骤。在这种情况下，那个是被考虑到的适当的补偿性控制：A)变更仅限于数据库管理员帐号B)一般用户账户得到允许后能够对数据库作出变更C)用数据库管理员帐号做变更，并记录变更以待审查D)用一般帐号做出变更，并记录以待日后审查[单选题]128.某组织在其安全的网站上在线销售书籍和音乐。交易每小时都会转移到会计和交付系统进行处理。以下哪种控制最能保证在安全网站上处理的销售业务能够传输到交付和会计系统?A)在销售系统中每日记录交易的总计。每天都对销售系统的总计进行收集和汇总。B)自动对交易进行数字排序。对序列进行检查并对连续性中断予以说明。C)处理系统检查重复的交易号。如果交易号出现重复(该编号已经存在)将拒绝交易D)使用中心时间服务器每小时对系统时间进行一次同步。所有交易都有一个日期/时间戳。[单选题]129.在审査输入控制时，某IS审计师发现根据企业政策，流程允许监督人员覆数据验证编辑。IS审计师应A)不予重视，因为可能存在其他补偿控制措施来减轻风险。B)确保覆盖操作被自动记录并可接受审查。C)验证是否所有此类覆盖操作均提交高级管理层审批。D)建议禁止覆盖操作。[单选题]130.服务水平管理（SLM）的首要目标是：A)定义、批准、记录和管理要求的服务水平B)保证被管理的服务是最高水平C)将于每个服务相关的成本控制在最低水平D)监控和报告企业管理的不合法事项[单选题]131.评估IT风险时，最好通过以下哪项来完成A)评估与现有IT资产和IT项目相关的威胁和漏洞。B)利用公司在以前积累的实际损失经验来确定目前的暴露风险C)对类似组织发布的有关损失的统计数据进行审查。D)对审计报告中确定的IT控制弱点进行审查。[单选题]132.以下哪项最能维持一个防火墙日志的完整性？A)只给管理员授予访问日志信息。B)在操作系统层捕捉日志事件。C)将日志记录在两个独立的存储介质。D)日志信息发送到一个专门的第三方日志服务器。[单选题]133.一个在多个地区拥有办事处的组织已经制定了一个灾难恢复计划，实际动用资源进行测试的话，下面哪个DRP是最有成本效率的？A)全盘测试B)预演测试C)纸面测试D)回归测试[单选题]134.以下哪一项可能阻止黑客攻击？A)入侵检测系统(IDS)B)蜜罐系统C)入侵防御系统(IPS)D)网络安全扫描程序[单选题]135.某批量交易作业在生产中操作失败;但在用户验收测试(UAT)中，同一作业却未出现问题。生产批量作业分析显示，它在UAT后经过修改。将来减小这种风险的最佳途径是以下哪一项?A)完善回归测试案例。B)针对发布后的有限时间段启用审计轨迹。C)执行应用用户访问审查。D)确保开发人员在测试后无访问权限进行编码。[单选题]136.在审计某个提供医疗转录服务的小型公司期间，IS审计师发现一些与备份和恢复流程有关的问题。以下哪项是IS审计师最应关注的问题?A)未对备份介质进行恢复测试，但所有数据恢复请求的处理都非常成功。B)业务所有者在过去三年中未对数据备份和保留政策进行审。C)公司使用第三方服务提供商异地存储转录备份磁带，而该第三方服务提供商每年对备份磁带进行一次盘点。D)在收到营销部门数据文件备份失败警报后，IT管理员未跟进或解决问题。[单选题]137.运用网络服务进行两系统间信息交换的最大优点是A)安全通信B)改良的性能C)有效的接口连接D)增强文件系统[单选题]138.公共密钥体系（PKI）的某一组成要素的主要功能是管理证书生命周期，包括证书目录维护，证书废止列表维护和证书发布这个要素是：A)证书机构（CA）B)数字签名C)证书实践声明D)注册机构（RA）[单选题]139.在拒绝服务（DoS）攻击中保护网络成为一个放大器的最好过滤规则是拒绝所有：A)使用IP源地址向网络发送数据。B)使用可辨别的源IP地址接受数据。C)使用IP选项设置接受数据。D),向关键主机接受数据。[单选题]140.为了使软件项目的开销最小，质量管理技术应该被应用A)尽可能与技术条文相一致B)主要在项目开始的时候，以保证项目的建立与组织的管理标准相一致C)在整个项目过程中持续进行，强调找出并解决缺陷，增大测试期间的缺陷发现率D)主要在项目结束的时候，以获得可以在将来的项目中吸取的教训[单选题]141.完成评审之前跟被审计单位开会的主要目的是：A)确认审计员没有忽略任何重要的议题B)获取对审计结果的一致意见C)接受关于审计规程充分性的反馈D)测试最终报告[单选题]142.网络数据管理协议（NDMP）技术应该用于备份，如果：A)需要附加存储应用B)必须避免使用TCP/IP协议C)不能被传统的备份系统处理的文件必须进行备份D)必须确保几个相关数据集的备份的一致性[单选题]143.测试业务连续性计划的主要目标是A)使员工熟悉业务连续性计划B)确保解决所有剩余风险。C)练习所有可能的灾难场景D)识别业务连续性计划的限制。[单选题]144.组织通过风险评估的完成威胁和脆弱性分析，最终报告建议主要互联网网关应部署入侵防御系统（IPS），此外所有的业务单位应通过代理防火墙隔离。为确保控制是否该实施，以下哪个是最好的方法？A)成本效益分析B)年率预期损失计算C)比较IPS、防火墙和业务系统成本D)业务影响分析（BIA）[单选题]145.为使业务和IT之间形成战略一致性，下面哪一个是最好的促成因素？A)成熟度模型B)目标和指标C)控制目标D)RACI（执行人、责任人、咨询人和被通知人）表格[单选题]146.可以保护数据管理员遵守企业数据管理工作职务的有效预防控制是哪个？A)异常报告B)职责分离C)检查访问日志和活动D)管理监督[单选题]147.以下哪一项能最有效地确保在数个国家拥有运营中心的组织不会发生业务中断?A)分发关键的程序文件B)业务合作伙伴之间的互惠协议C)强大的高层管理能力D)员工接受业务连续性计划(BCP培训[单选题]148.某IS审计组参与了利用现有企业资源规划(ERP)系统集成自动化审计工具包的工作。由于ERP性能方面的问题，此审计工具包不允许上线。该IS审计师应给出的最佳建议是什么?A)检查所选择的集成控制措施的实施。B)请求额外的IS审计资源C)请求供应商的技术支持以解决性能问题。D)审查用户进行验收测试(UAT)期间压力测试的结果。[单选题]149.在如下哪种情况时，IS审计师应该用统计抽样而不是非统计抽样：A)必须客观衡量错误概率B)审计员希望避免抽样风险C)不能使用同用审计软件D)允许的错误率不能确定[单选题]150.在审计新软件项目时，项目小组目前在定义用户需求，把建议的解决方案和用户需求匹配。目前处于SDLC的哪个阶段？A)可行性研究。B)需求。C)设计。D)开发。[单选题]151.为了帮助实现IT和业务相一致的管理，信息系统审计师应该建议使用：A)控制自我评估CSAB)业务影响分析BIAC)IT平衡记分卡BSCD)业务流程再造BRC[单选题]152.在跟进审计期间，信息系统审计师获悉，管理层已推迟实施先前同意的建议。审计师的职责是什么？A)监控决策可能给企业造成的任何风险的影响B)修改最终报告以反映推迟实施的决定C)向指导委员会报告推迟实施的决定D)获得管理层对实施建议的承诺[单选题]153.下列哪项是成功实施灾难恢复计划（DRP）演练所要的？A)所有识别出的资源的参与B)由管理层批准的演练场景C)提前通知所有受影响的员工D)由IT管理部门批准演练场景[单选题]154.作为评估网络安全的一部分来执行的渗透测试的特性包括：A)可确保发现所有漏洞。B)应在不向组织管理人员发送警告的情况下执行。C)利用现有漏洞获得未经授权的访问权限D)在网络外围执行时不会损害信息资产。[单选题]155.管理层要求IS审计师对可能存在的交易进行审查。IS审计师在评估交易时的首要关注点应为：A)评估交易时保持公正B)确保IS审计师始终保持独立性C)确保始终保持证据的完整性D)收集所有相关的交易证据[单选题]156.认证授权(C、A、)作为一个第三方在通讯过程中所起的作用是:A)基于证书(C、ertifiC、A、tes)来提供安全的通讯及网络服务。B)存储由C、A、发放的证书(包含对应的公钥和密钥)。C)在通讯双方之间扮演一位可信的仲裁者。D)确认某一拥有C、A、发放的证书的实体的身份。[单选题]157.对于应用系统控制的有效性，以下哪项措施带来的风险最大？A)去除手动处理步骤B)流程手册不充分C)员工之间互相勾结D)某些合规性问题无法解决[单选题]158.在生产环境中，以下哪一个是确定每一个应用系统关键程度的最好方法？A)访谈应用程序员B)差距分析C)审查最近的应用审计D)业务影响分析[单选题]159.当应用程序开发人员想要使用前一天的生产交易文件副本来做容量测试时，IS审计师的主要担优是A)用户可能更愿意在测试时使用编造的数据。B)可能导致敏感数据遭到未经授权的访问。C)错误处理和可信度检查可能得不到全面验证。D)未必能测试新程序的全部功能。[单选题]160.下列哪一种线路介质将给电信网络提供最佳安全性？A)宽带网络数字传输B)基带网络C)拨号D)专线[单选题]161.一家公司将其工资系统由外包服务转换成了内部软件包，四明份,公司以并行方式进行工资处理，在新旧系统对此中，下列哪一项数据比较对确保系统转换后的数据完整性最有效?A)工资处理的周转周期B)抽样部分员工的工资详细信息C)员工人数和年初迄今为止的工资总额D)工资日记账中的员工数据主文件[单选题]162.以下哪种消息服务能够最有力地证明特定行为的发生？A)交付证明B)不可否认性C)提交证明D)消息源验证[单选题]163.下列哪个选项最能促使形成有效的业务连续性计划?A)文件分发给所有相关方。B)所有用户部门均参与计划过程。C)计划得到高级管理层的批准。D)审计由外部IS审计师执行。[单选题]164.尽管管理人员已作出说明，但IS审计师仍有理由相信组织使用的是没有许可的软件。在这种情况下，IS审计师应该首先:A)将管理层的说明写入审计报告。B)通过测试证实软件在用。C)将该事项写入审计报告。D)与高级管理层讨论该问题，因为它可能对组织产生负面影响。[单选题]165.人力资源副总裁要求进行审计，以确定上一年多付的工资额。在这种情况下，最佳的审计技术是什么?A)生成样本测试数据B)通用审计软件C)集成测试设施D)嵌入式审计模块[单选题]166.检验一个税务系统计算准确性的最佳方法是:A)详细观察并分析计算程序的源代码B)用通用审计软件模拟程序逻辑以计算月度总数C)准备模拟交易以处理和比较结果和预决结果D)使用自动化流程图并分析计算程序源代码[单选题]167.以下哪项为信息指导委员会的职能？A)监控供应商变更管理和测试的管理B)确保信息处理环境中责任分离C)审核和监控主要项目，信息规划和预算的状况D)在信息系统部门和最终用户之间保持联系[单选题]168.一个公司由于目前合同到期在考虑采用新的ISP（Internet接入服务商）。从审计的角度以下哪项最需要检查？A)服务水平协议。B)ISP的物理安全。C)ISP的其它客户的推荐。D)ISP雇员的背景调查。[单选题]169.使用数字签名的主要原因是确保数据：A)保密性B)完整性C)可用性D)时效性[单选题]170.当系统需要一天24小时在线接收销售订单时，以下哪一项是备份大量关键性任务数据的最有效策略?A)实施容错的磁盘到磁盘备份解决方案B)每周一次磁带完整备份，每晚一次增量备份C)建立双重存储区域网络(SAN)，并将数据复制到第二个SAND)在一个热备援中心建立相同的服务器和存储基础设施[单选题]171.以下哪项应是IS审计师最为关注的:A)没有报告网路被攻陷的事件B)未能就企业闯入事件通知执法人员C)缺少对操作权限的定期检查D)没有就闯入事件告之公众[单选题]172.项目小组寻求购买一套新应用系统,在需求请求书得到回复后，确定一些合适的供应商，这时，该项目小组应:A)对建议的系统针对条件进行评估排名B)联系供应产品的当前用户C)审查应用程序控制的设计D)要求在合同条款中包含审计条款[单选题]173.以下哪一项是用于保护出站内容免遭篡改和窃听的主要协议？A)点对点协议（PPP）B)互联网密钥交换（IKE）C)安全外壳（SSH)D)传输层安全（TLS）[单选题]174.进行灾难恢复测试时，IS审计师注意到灾难恢复站点的服务器性能较慢。要找到根本原因，IS审计师应首先审查:A)在灾难恢复站点生成的事件错误日志。B)灾难恢复测试计划。C)灾难恢复计划(DRP)D)主要站点和灾难恢复站点的配置和一致性。[单选题]175.随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是：A)用户参与不足B)项目此理早期撤职C)不充分的质量保证（QA）工具D)没有遵从既定的已批准功能[单选题]176.确定服务中断事件的严重程度的主要标准是：A)恢复成本。B)负面舆论。C)地理位置。D)停机时间。[单选题]177.从一份与IT相关的投资业务中所获得的直接利益是个什么例子？A)提高声誉B)提高员工士气C)新技术的使用D)市场占有率的提高[单选题]178.IT审计师注意到数据中心磁带管理系统中的一个脆弱性，部分参数被154、设置成绕过或忽略磁带头记录，以下哪一项是针对该脆弱性的最有效的补偿性控制？A)分段传输和建立作业B)对日志进行监督和评估C)有序的磁带备份D)磁带的异地存储[单选题]179.数字签名的特征是确保发送者过后不能否认产生和发送了信息叫：A)数据完整性B)识别C)不可抵赖D)重演保护[单选题]180.密码应该满足：A)安全管理员赋予首次登录B)由用户每隔30天进行更改C)经常复用以确保用户不会遗忘D)在屏幕上回显以确保用户输入正确[单选题]181.在审计的计划中，最关键的一步为识别:A)高风险的区域B)审计人员的技能安排。C)审计的测试步骤。D)审计时间安排[单选题]182.某个组织已经把其服务台职能外包了。下列哪项指标最应该包含在服务等级协议(SLA)中?A)支持的用户总数B)首次呼叫解决的事故所占的百分比C)报告至服务台的事故数D)接线员的数量[单选题]183.当评估一个组织的IS战略时，下列哪一项应被IS审计员认为是最重要的：A)已被条线管理部门批准。B)没有与IS部门初步预算区分开来。C)遵守采购规程。D)支持组织的业务目标。[单选题]184.对于一家医疗保健组织，以下哪个理由最能说明患者的福利数据仓库应留在组织内部，而不能外包出去进行离岸运营A)存在有关数据隐私方面的法规B)会员服务代表培训的成本过于高昂C)监控远程数据库的难度较大D)时区差异会对客户服务造成影响[单选题]185.长远来看，最有可能改善安全事件反应程序的选项是：选项:A)通盘检查事件反应程序和流程B)事件反应小组的事后检查、回顾C)对用户不断地安全培训D)记录对事件的反应过程[单选题]186.网页和邮件过滤器对一个组织是非常有价值的，因为：A)保护组织不受病毒和与业务无关的材料的侵袭B)加大员工的表现C)保护组织的声誉D)保护组织预防法律问题及纠纷[单选题]187.下列哪一种扑灭数据中心火灾的方法是最有效和环保的？A)卤化物气体B)湿式灭火器C)干式灭火器D)二氧化碳气体[单选题]188.在调查期间确定一名员工在公共社交媒体网站上泄露了公司系统的管理账户密码,信息系统审计师的首要建议是什么?A)更改管理员账号密码B)起诉该员工C)开始法政调查D)启动系统关机[单选题]189.数据库管理员（DBA）建议通过非规范化一些数据库（DB英文全称datA.base，数据库）来提高性能，这将导致：A)保密性丢失B)增加冗余C)非授权访问D)应用故障[单选题]190.哪种审计技术可提供IT部门中职责分离的最佳证据?A)与管理层进行讨论B)审查组织架构图C)观察和面谈D)测试用户访问权限[单选题]191.专家系统的知识库使用问卷调查的方式引导用户做出一系列选择，直到得出结论，这样的方法被称为A)规则。B)决策树。C)语义网络。D)数据流图。[单选题]192.IS审计师在对组织的IT项目组合进行审时，应主要考虑以下哪个方面A)IT预算B)现有IT环境C)业务计划D)投资计划[单选题]193.如果一个组织在一个地区有多个办事处和有限的恢复预算，下列哪个是最恰当的恢复策略？A)被组织维护的热站B)商业冷站C)组织办事处之间的互相协议D)第三方热站[单选题]194.许多组织强制要求雇员休假一周或更长时间，以便：A)确保雇员维持生产质量，从而生产力更高B)减少雇员从事不当或非法行为的机会C)为其他雇员提供交叉培训D)消除当某个雇员一次休假一天造成的潜在的混乱[单选题]195.某公司决定基于公钥基础架构（PKI)来实施电子签名方案。用户的私钥会存储在计算机硬盘中，并受密码保护。此方法的最大风险是：A)如果密码泄露，该用户的电子签名将遭到其他人的利用。B)使用其他用户的私钥对消息进行电子签名，从而实现伪造。C)用其他人的公钥来替代该用户的公钥，从而实现对某用户的模仿。D)在计算机中用其他人的私钥进行替代，从而实现伪造。[单选题]196.在评估电子数据交换(EDI)应用程序的控制时，IS审计师应该主要关注以下哪种风险A)交易周转时间过长。B)应用程序接口故障。C)交易授权不当D)批量处理总数未经验证。[单选题]197.信息系统审计员正在评估一个企业的网络是否存在雇员的渗透。下面哪个发现是信息系统审计员最关心的A)多个外接调制解调器连接到网络B)用户可以在自己的桌面上安装软件C)有限的网络监控D)多个用户帐号有一样的密码[单选题]198.在组织中，IT安全的职责被明确分配和执行，以及IT安全风险和影响分析被贯彻执行，这些可以代表已经达到信息安全治理成熟度模型的那种水平？A)已优化B)已管理C)已定义D)可重复[单选题]199.在应用审计阶段，IS审计师发现了几个问题与数据库中错误的数据有关，下面哪一个是IS审计师应该建议的纠正性控制？A)实施数据备份和恢复程序B)定义标准和相应的符合性检查（预防性控制）C)确保只有授权人员能够更新数据库D)建议控制以处理同时发生的访问问题（预防性控制）[单选题]200.在一个应用审计期间，一个信息系统审计师被要求提供数据库参照完整性保证，下列哪个应该被检查？A)域定义B)主表定义C)混合键D)外键构造[单选题]201.管理C、yB、er攻击的第一步是：A)评估攻击影响B)估计可能的威胁C)鉴别重要的资产信息D)估计潜在的损失[单选题]202.下列那一项的开发时，高级管理层的参与是最重要的？A)战略计划B)信息系统策略C)信息系统程序D)标准和指南[单选题]203.某业务程序应用系统对某个公司的数据库进行访问，使用的是嵌入在某程序镇南关的单一ID和密码。实施以下哪种措施，可对该组织的数据进行有效的访问控制？A)引入二级身份认证技术，如刷卡。B)在应用系统中应用基于角色的授权。C)针对每个数据库交易，都让用户输入ID和密码。D)为嵌入在程序中的数据库密码设定失效期限。[单选题]204.在某组织中对软件开发实务进行评估期间，IS审计师注意到质量保证(QA)职能部门向项目管理人员汇报。IS审计师最关心的问题是:A)QA职能的有效性，因为QA职能应是项目管理和用户管理间的桥梁。B)QA职能的效率，因为QA职能部门应与项目实施团队进行交互。C)项目经理的有效性，因为项目经理应与QA职能部门进行交互。D)项目经理的效率，因为该QA职能部门需要与项目实施团队进行沟通。[单选题]205.一个决策支持系统（D、D、S）：A)主要是正对解决高层组织的问题。B)联合使用非传统数据访问和恢复功能。C)强调使用者决策制定方法的适宜性。D)只支持组织决策制定任务。[单选题]206.一名具有强大技术背景且管理经验丰富的长期IT员工申请了IS审计部门的空缺职位。除个人经验外，还最应该根据以下哪项来确定该职位是否雇佣这个人A)工龄，因为这有助于确保技术能力。B)年龄，因为进行审计技术培训可能不实际。C)IT知识因为这将增强审计职能的可信度。D)作为IS审计师，可独立于现有T关系。[单选题]207.为了帮助管理人员实现IT与业务保持一致性的目标，IS审计师应当建议使用:A)控制自我评估(CSA)。B)业务影响分析(BIA)。C)IT平衡计分卡(BSC)。D)业务流程再造(BPR)。[单选题]208.下列哪种系统和数据转换策略能够提供最大的冗余?A)直接切换B)试点研究C)分阶段方法D)并行运行[单选题]209.以下哪种数据验证编辑能有效检测易位和抄写错误?A)范围检B)校验数字位C)有效性检查D)重复检[单选题]210.当一个组织在选择异地备份供货商时，对信息系统审计师来说，下列哪一种情况是最少考虑的？A)供货商保密存储介质的责任B)供货商的保险范围及对员工的担保C)要求同一个人一直保管存储介质D)请求和接收货物的程序和紧急情况下的处理方式[单选题]211.拒绝服务攻击损害了下列哪一种信息安全的特性?A)完整性B)可用性C)机密性D)可靠性[单选题]212.在应用程序软件审查过程中，某IS审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是:A)包括审查范围内的数据库控制B)记录下来供日后审查。C)与数据库管理员共同解决问题。D)如实报告漏洞。[单选题]213.什么类型的软件应用测试被认为是测试的最后阶段，并且通常包括开发团队之外的用户？A)Alpha测试（Alpha测试由用户在开发者的场所进行，并且在开发者对用户的?指导?下进行测试）B)白盒测试（白盒测试也称结构测试或逻辑驱动测试，它是按照程序内部的结构测试程序，通过测试来检测产品内部动作是否按照设计规格说明书的规定正常运行，检验程序中的每条通路是否都能按预定要求正确工作。这一方法是把测试对象看做一个打开的盒子，测试人员依据程序内部逻辑结构相关信息，设计或选择测试用例，对程序所有逻辑路径进行测试，通过在不同点检查程序的状态，确定实际的状态是否与预期的状态一致）C)回归测试（回归测试是指修改了旧代码后，重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误。自动回归测试将大幅降低系统测试、维护升级等阶段的成本）D)Beta测试（贝塔测试）[单选题]214.当获得高层管理人员对灾难恢复计划的支持和制定计划所需资源的授权后，选择起草计划的人应当具有以下哪一种能力：A)具有与信息系统相关的操作系统、资料库和通讯的技术知识B)具有硬件和软件供货商咨询背景C)具有在相同行业中的客户咨询经验D)具有组织的全局观点和认识所有灾难后果的能力[单选题]215.在十二月份将来自应付账款应用程序的数据与从供应商处收到的发票进行比较的最佳表述是A)实质性测试。B)合规性测试。C)定性分析D)判断抽样[单选题]216.在人力资源策略和组织内部的程序进行评审时，以下哪项的缺失，将会是信息系统审计师最关注的？A)要求岗位定期轮换B)正式的离职面谈过程C)返还钥匙和公司财务，撤销所有访问权限的离职检查列表D)对员工要求签署一份表格，表示其以阅读本组织的策略[单选题]217.当审计师进行DRP审计时，下列哪项是一个信息系统审计师最应该关心的？A)DRP尚未经过测试B)新的团队成员都没有看到过DRPC)经理负责对DRP的最近的推出D)DRP的手册不是定时更新[单选题]218.以下哪种风险是在SaaS（软件及服务）环境下最可能遇到的？A)不遵守软件许可协议B)互联网交付方法引发性能问题C)软件许可要求造成成本偏高D)兼容硬件更新需求造成成本偏高[单选题]219.当一个组织使用VPN通道访问其网络时，最普遍的安全风险是：A)恶意代码在网络中扩散B)VPN欺诈登录C)通信被截取并被获知D)危及VPN网关[单选题]220.使用Web服务在两个系统之间进行信息交换的最大优点是:A)通信安全。B)性能得到改善。C)连接效率高。D)存档记录功能得到加强。[单选题]221.為了防止網絡蠕蟲利用某種網絡協議的弱點進行傳播，以下選項中最有效的處理方法是：A)安裝銷售商提供的安全補丁來修正相關弱點B)阻止該協議的流量通過邊界防火牆C)阻止該協議的流量在不同的網段中流通D)停止該服務，直到安裝了適當的安全補丁為止[单选题]222.在下列哪一种风险管理方法中，分担风险是一个重要因素?A)转移风险B)容忍风险C)终止风险D)处理风险[单选题]223.在与多个外部系统连接的第三方应用程序中发现安全漏洞后，对大量模块应用了修补程序。IS审计师应建议执行以下哪项测试?A)压力测试B)黑盒测试C)接口测试D)系统测试[单选题]224.IS审计师正在审査一个重大软件开发项目，发现即使软件开发非计划的加班时间很多。项目仍然按进度和预算进行。IS审计师应A)得出项目按计划进行的结论，因为它满足期限要求。B)进一步询问项目经理，以确认加班成本是否得到了准确跟踪。C)得出编程人员故意工作缓慢以挣取额外的加班工资D)进一步调查，以确定项目计划是否不准确。[单选题]225.信息系统审计师从客户数据库中获得了数据。下一步可以通过以下哪项来确认所导出的数据是完整的？A)把导出数据的控制总数与原始数据的控制总数相比对B)把数据排序以验证是否与原始数据的顺序相一致C)检查原始数据的前100条打印输出的记录和导出数据的前100条记录D)按不同目录对数据进行过滤，并与原始数据比对[单选题]226.恢复策略的选择应该最有可能取决于：A)基础设施和系统的修复费用B)恢复站点的可用性C)业务流程的关键性D)时间响应过程[单选题]227.当审核一个重点关注质量的项目时，IS审计师应该使用项目管理三角形理论(质量-成本-时间)来解释:A)即使资源减少,质量目标也能提升B)质量目标只能在资源减少的情况下提升C)即使资源减少,交付时间也能减少D)交付时间只能在质量目标下降的情况下减少[单选题]228.被审计的业务部门的经理担忧，外部信息系统审计师提出的询问超出审计范围。以下哪一项资源最有助于确定担忧是否有根据？A)风险评估结果B)审计章程C)审计测试计划D)工作说明[单选题]229.最小密码长度和密码复杂性验证是以下哪项示例：A)检测控制。B)控制目标。C)审计目标。D)控制程序。[单选题]230.某组织的IP语音（VoIP）包网络对大量通信进行了重新路由。该组织认为其已遭到窃听。以下哪一项可能导致VoIP通信遭到窃听？A)以太网交换机中的地址解析协议（ARP）缓存损坏B)在虚拟电话交换机上使用默认管理员密码C)在未启用加密的情况下部署虚拟局域网（VLAN）D)最终用户有权访问包嗅探器应用程序等软件工具[单选题]231.对有明确项目结東时间以及固定的测试执行时间的项目，以下哪一项是确保实现了充分的测试覆盖的最佳方法?A)根据重要性和使用频率对需求进行测试。B)测试覆盖率应限制在功能性需求之内。C)使用脚本执行自动测试。D)只重测缺陷修复，以减少所需的测试数量。[单选题]232.在审计数据库环境中，如果数据库管理员履行下列哪项职责，信息系统审计师认为最担心？A)根据管理程序履行数据库改变B)安装补丁或升级操作系统C)设置表空间大小和配置表的联系D)履行备份和恢复程序[单选题]233.在存储介质管理系统检查时，IS审计师没必要关心：【已经理解】A)系统目录是否正确反映了存储介质所在的物理位置。B)储存介质是否只能被授权的人访问。C)存储介质在异地存储的运输中被正确的识别。D)系统是否适当的淘汰存储介质并以安全的方式提供回收。[单选题]234.IS审计人员在进行一项电讯访问控制的检查时，下列哪一项首先要得到关注：A)不同系统资源使用的访问日志的保持.B)优先获准访问系统资源的用户的授权和验证.C)通过加密或其他方法形成的对服务器上存储数据的充分保护.D)责任系统，以及鉴别任何一个访问系统资源的终端的能力.[单选题]235.以下哪项与IS审计师评估项目经理对项目进度的监控关系最密切?A)关键路径图B)计划评审技术(PERT)图C)功能点分析(FPA)D)甘特图[单选题]236.IS审计师正在评估在将来IS审计中所用的数据挖掘和审计软件。什么是IS审计师在软件工具中寻找的最主要的能力？该软件工具应该：A)与多种企业资源计划（ERP）软件和数据库的接口B)保存数据完整性C)将审计引入组织的财务系统以支持连续审计D)可以配置并支持定制编程以帮助调查分析[单选题]237.以下哪一项确立内部审计职能的角色?A)审计项目计划B)审计日志C)审计章程.D)审计治理[单选题]238.为满足业务需求的变化，目前开发的IT解决方案项目需要额外的资金,谁最合适获取这笔额外资金?A)项目发起人B)董事会C)IT战略委员会D)项目经理.[单选题]239.下列哪个选项是交叉(跨职位)培训的风险？A)增加可依赖的职员B),在连续计划中不互相协助C),一位职员可能知道一个系统的所有部分D),在完成操作的连续性方面没有帮助[单选题]240.哪个过程使用测试数据作为连续在线方式中程序控制的全面测试的部分？A)测试数据/层面B)基础方案系统评估C)完整性测试D)平行模拟[单选题]241.某银行在其所有的重要信息系统项目中都采用系统开发命周期的概念。目前该行正准备开始一个房贷业务系统的可行性研究。可行性研究的主要内容应该包括：A)可能的投标商和商誉。B)计算机病毒和其他破坏导致的风险。C)切换系统实施方法如平行法。D)技术和相关成本。[单选题]242.在网络传输中应用数字签名技术可以保证:A)．机密性和完整性B)．安全性和不可否认性C)．完整性和不可否认性D)．机密性和不可否认性[单选题]243.企业资源规划中的总账设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为：A)经常性地修改会计期间的需要B)需要向关闭的会计期间过入分录C)缺乏适当的职责分工政策和步骤D)需要创建和修改科目表及其分配[单选题]244.有效的IT治理将确保IT计划与组织的什么相一致？A)商业计划B)审计计划C)安全计划D)投资计划[单选题]245.一个金融服务机构正在制定和记录业务连续性的措施。在下列情况下信息系统审计师最可能提出的一个问题是？A)组织使用的做法并不是使用准则和依赖外部顾问的最佳实践B)业务连续性计划是围绕着精心挑选的场景，某个可能发生的事件来进行的C)恢复时间目标（RTO）没有考虑灾难恢复的限制，如：恢复时段的人员或系统依赖性D)该组织计划租一个共享的紧急备用站点的工作场所、只具备为正常的工作人员一半使用的空间[单选题]246.在授予系统开发新成员访问权限时，以下哪一项风险最大?A)对开发数据库的写入权限B)对生产程序库的执行权限C)对开发程序库的执行权限D)对生产程序库的写入权限[单选题]247.在做IT流程安全审计的时候，信息系统审计员发现没有任何安全流程的相关文档。审计员该：A)创建流程文档B)结束审计C)进行符合性测试D)确认及评估现存的实例[单选题]248.管理层已决定接受风险以回应审计建议草案。以下哪一项应是信息系统审计师的下一个行动步骤？A)将接受风险的决定上报給董事会B)确保跟进审计纳入明年的审计计划C)将接受风险的决定上报给审计委员会D)在审计报告中记录管理层接受风险的决定[单选题]249.规定?必须屏蔽或禁止密码显示?的信息安全案政策可应对以下哪种攻击方法？A)尾随B)垃圾搜寻C)肩窥D)模拟[单选题]250.在缺乏有效的信息安全治理的背景下，价值传递的主要目标是：A)支持业务目标优化安全投资B)实施一套标准安全实践C)建立一个基于标准的缓解方案D)实施一个持续改进的文化[单选题]251.渗透测试作为网络安全评估的一部分:A)提供保证所有弱点都被发现B)在不需要警告所有组织的管理层的情况下执行C)找到存在的能够获得未授权访问的漏洞D)在网络边界上执行不会破坏信息资产[单选题]252.以下哪一项提供了外包提供商服务管理得当的最佳证据?A)针对不遵守服务级别协议SLA采取了适当的行动B)供应商提供详细数据支持其绩效统计数据C)服务级别协议SLA包括了表现不佳的处罚条款D)内部绩效标准与企业策略保持一致[单选题]253.评估B、C、P时，下列哪一项对于一名IS审计员应当最被关注：A)灾难等级基于受损功能的范围，而不是持续时间。B)低级别灾难和软件事件之间的区别不清晰。C)总体B、C、P被文档化，但详细恢复步骤没有规定。D)宣布灾难的职责没有被识别。[单选题]254.安装防火墙时最可能发生的错误是：A)访问列表配置不正确B)由于社会工程破坏了密码C)连接了调制解调器到网络上的计算机D)不足以保护网络和服务器免受病毒攻击[单选题]255.下列哪项ＩＴ治理最佳实践改进了战略方针A)供应商和合作者风险管理B)有基于客户，产品，市场和流程的知识库C)有能够提供创建和分享业务信息的组织结构D)领导层在业务需求和技术部门之间的协调[单选题]256.IT控制目标对信息系统审计师是有用的，因为他们提供了对于下列哪项的基础：A)实施具体的控制程序的期望结果B)对特定实体最好的IT安全控制措施C)安全信息技术D)安全策略[单选题]257.一个组织正在迁移遗弃的系统企业资源计划系统。当检查数据迁移活动时