CISA考试练习(习题卷1)

试卷科目：CISA考试练习CISA考试练习(习题卷1)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.服务水平管理（SLM）的首要目标是：A)定义、批准、记录和管理要求的服务水平B)保证被管理的服务是最高水平C)将于每个服务相关的成本控制在最低水平D)监控和报告企业管理的不合法事项答案:A解析:服务水平管理(SLM)的目标是谈判、记录和管理（包括提供和管控）服务以满足客户需要的服务，不必非得确保以最高可用性（例如冗余和集群）水准提供服务。虽然最大限度地提高可用性是一些关键服务所必需的，但他不能被用作为一般经验法则。服务水平管理无法保证所有服务的成本将保持在一个最低水平或者最低水平上，因为服务成本直接反映客户需求。监控和报告企业管理的不合法事项不是服务水平管理的内容。[单选题]2.企业使用公共密钥基础结构(PKI)来确保电子邮件安全性,以下哪一项是确定电子邮件消息是否在传输过程中已被修改的最有效方法?A)邮件通过安全传输层(TLS)协议发送B)邮件使用发送者的私人密钥加密C)邮件使用对称算法加密D)邮件连同加密的散列(hash)消息-起发送答案:D解析:[单选题]3.一位负责重大项目的技术主管已从组织离职。项目经理报告在一台可供整个团队访问的服务器上存在可疑系统活动。进行取证调查期间发现以下哪项时最需要引起关注？A)没有为系统启用审计日志。B)仍然存在该技术主管的登录ID。C)系统中安装了间谍软件。D)系统中安装了木马程序。答案:A解析:审计日志对事件的调查至关重要，然而，未启用审计日志，将无法确认存在使用技术主管的登录ID及来宾帐户的情况。应在技术主管离开组织后立即删除其登录ID，但由于缺少审计日志，很难证实此ID是否使用。系统中安装的间谍软件确实需要关注，但该软件可能由任何用户安装，因此，如果没有日志，很难找出安装此软件的人员。同样，系统中安装的木马程序也需要关注，但由于整个团队都可以访问该系统，因此任何用户都能安装木马程序，如果没有日志，很难进行调查。[单选题]4.下列哪一种情况会损害计算机安全政策的有效性？A)发布安全政策时B)重新检查安全政策时C)测试安全政策时D)可以预测到违反安全政策的强制性措施时答案:D解析:[单选题]5.灾难恢复计划(DRP)可设法解决:A)业务连续性计划(BCP)的技术方。B)BCP的运营部分。C)BCP的功能方面。D)BCP的整体协调答案:A解析:A.灾难恢复计划(DRP)是业务连续性计划(BCP)的技术方面，以IT系统和运营为重点。B.业务恢复计划所针对的是BCP的运营部分。C.灾难恢复解决的是业务恢复的技术内容。D.BCP的整体协调是通过业务连续性管理和战略计划实现的。DRP解决的是BCP的技术方面。[单选题]6.要对访问敏感信息的数据库用户实施问责制，以下哪项控制措施最有效？A)实施日志管理流程。B)实施双因素身份认证。C)使用表视图访问敏感数据。D)将数据库服务器与应用程序服务器分开。答案:A解析:问责制是指了解各项工作由谁负责。使此原则得以施行的最佳方法是实施日志管理流程，从而便可以创建并存储包含用户名称、交易类型和小时数等相关信息的日志。选项B（实施双因素身份认证）和选项C（使用表视图访问敏感数据）属于只将数据库的访问权限授予经过授权的用户的控制，但解决不了问责制方面的问题。选项D可能有助于改善管理，甚至有助于实施访问控制，但还是不能解决问责制方面的问题。[单选题]7.签署包含创建唯一客户名称和密码的流程，然而，信息系统审计师发现很多案例中用户名字跟密码相同，能够减少这种风险的最好控制是:A)更改公司安全策略B)教育客户关于弱强度密码的风险C)建立一个确认过程防止俄这种事情在创建帐户和更改密码时发生D)需要定期的检查，确保用户名称和密码的检测和修正答案:C解析:密码方面的妥协是最高级别的风险，最好的控制就是当创建或者更改密码时通过确认来预防，更改公司安全策略和教育客户关于弱强度密码的风险，只能提供客户相关信息，但是几乎不能强化这种控制，要求定期的检查，确保用户名称和密码的检测和修正仅仅是检测措施[单选题]8.业务单元关注新实施的系统的表现。下面哪一项是审计师的建议：A)建立基线和监控系统的使用B)定义替代流程的程序C)准备维护手册D)实施用户建议的变更答案:A解析:信息系统审计师推荐性能基线的开发和监控系统的性能，对于基线，为修改系统所做的决策建立经验数据。替代流程程序和维护手册不会改变系统的性能。实施变更如果没有对性能不佳的原因的认知，可能不会对一个更有效的系统产生结果。[单选题]9.某公司既执行完整数据库备份，也执行增量数据库备份。当数据中心遭破坏后，以下哪一项能够提供最佳的完全恢复？A)每周将完全备份移至一个异地地点B)每日将增量备份存放到一个异地地点C)每日将所有备份循环存放到异地地点D)将完全备份和增量备份放在一个安全的服务器机房答案:C解析:[单选题]10.以下哪种为丢弃废旧磁带前的最佳处理方式？A)复写磁带B)初始化磁带卷标C)对磁带进行消磁D)删除磁带答案:C解析:处理废弃磁带的最佳方法是进行消磁。删除磁带上的数据还留下比少量磁信息，复写或删除磁带可以使磁记录改变，但不能完全清除数据。初始化磁带不能清除磁带卷标后的数据。所以答案应为：C、[单选题]11.信息系统审计师应经常检查下列那些报告一遍符合服务水平协议（SLA、）对运行时间的要求？A)使用报告B)硬件错误报告C)系统日志D)可用性报告答案:D解析:信息系统不可用，例如宕机，通过可用性报告体现。这些报告提供计算机可以被用户或进程调用的时间周期。利用报告记录使用计算机设备的时间，可以被用来管理并预报如何、哪里、何时有自愿的需求。硬件错误报告提供信息以援助硬件失败，并开始纠正措施。系统日志是系统活动的记录[单选题]12.数据库?孤立参照?表示违反下列：A)属性完整性Attributeintegrity。B)参照完整性指示完整性Referentialintegrity。C)关系完整性Relationalintegrity。D)界面完整性Interfaceintegrity。答案:B解析:数据库必须Referentialintegrity以避免?孤立参照?，关系完整性在记录层面。[单选题]13.当更新一个正在运行的在线订购系统时，更新都记录在一个交易磁带和交易日志副本。在一天业务结束后，订单文件备份在磁带上。在备份过程中，驱动器故障和订单文件丢失。以下哪项对于恢复文件是必须的？A)前一天的备份文件和当前的交易磁带B)前一天的交易文件和当前的交易磁带C)当前的交易磁带和当前的交易日志副本D)当前的交易日志副本和前一天的交易文件答案:A解析:前一天的备份文件将是该系统最当前活动的历史备份。当前的交易文件将包含所有的当天的活动。因此，结合这两个文件能够在故障点进行全面恢复。[单选题]14.以下哪一项是在系统开发项目中控制范围偏离的最佳方法?A)定义对变更要求的处罚B)确立软件基线C)采用矩阵式项目管理结构D)识别项目的关键路径答案:B解析:A.尽管定义对变更要求的处罚可能有助防止范围偏离，但确立软件基线是达到这一目标的更好的办法。B.确立软件基线，即设计阶段的載止点，发生在严格审查用户要求之后。此后的任何变更将需经过严格、正式的变更控制与审批程序。范围偏离是指项目内部因管理要求不当而导致的随意变更C.在矩阵式项目组织中，项目经理和部门负责人分享管理职权。采用矩阵式项目管理结构不能解决范围偏离的问题。D.尽管关键路径很重要，但它将随着时间的推移而发生变化，并且不能控制范围偏离。[单选题]15.在公钥基础架构(PKI)中，应根据下面哪一项证明在线交易是经特定客户授权的？A)不可否认性B)加密C)身份认证D)完整性答案:A解析:通过使用数字签名获得的不可否认性，可以防止声明的发送者否认曾生成并发送了消息。加密可以保护通过互联网传输的数据，但不能证明进行了交易。要建立各通讯方的身份证明，需要身份认证。完整性保证了交易的准确性，但不会提供客户的身份证明。[单选题]16.根据以下哪一项能最能有效地确定对组织数据进行分类的类别？A)因丢失或泄漏数据而对业务造成的影响B)由高级管理层处理的交易C)对个人身份数据更高的安全要求D)业务功能的关键性答案:A解析:[单选题]17.下列哪一项属于工资系统的分析审查过程？A)使用基准测试软件评估工资系统的性能B)测试工射单上报告的小时数C)通过将员工人数乘以平均工资来进行合理性测试D)执行工资系统的安全渗透尝试答案:C解析:[单选题]18.IS审计师要审查一台服务器操作系统的完整性，应该主要做到：A)验证用户程序不会援引特权程序或者服务调用；B)确定管理员用户是否有恰当的口令控制措施；C)确保配置文件的权限是正确的；D)验证服务器上运行的程序或服务来自于有效的源码。答案:A解析:如果用户级别的程序可以干预特权程序或服务，改变系统参数就会导致操作系统的完整性。一个有限授权权限的用户如果可以超越自己被赋予的权限就会出现权限提升攻击。例如，设想一个程序调度工具可以经常运行?系统级别?权限，并且允许用户运行自身权限配置文件所没有赋予执行权限的程序。操作系统的配置特性例如关键文件的权限设置一定要正确设置，以确保权限提升攻击不大可能发生。B选项不正确，因为尽管管理员账号的密码控制很重要，但确保程序在自身定义的安全权限内操作要更关键一些。选项C不正确，因为尽管文件权限的正确设置很重要，但这只是确保操作系统完整性的过程的一个步骤。选项D不正确，因为与软件被篡改或来源不明相比，特权程序和服务带来的风险要更严重些。[单选题]19.IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么，他/她该怎么做？A)无需做什么。因为只有处理能力低于正常的25%，才会严重影响企业的生存和备份能力48B)找出可以在备用设施使用的应用，其他业务处理采用手工操作，制订手工流程以备不测C)找出所有主要的应用，确保备用设施可以运行这些应用D)建议相关部门增加备用设施投入，使其能够处理75%的正常业务答案:C解析:[单选题]20.高级管理层对IT战略计划缺乏输入引起最可能的结果：A)缺乏在技术上的投资。B)缺乏系统开发的方法。C)技术目标和组织目标不一致。D)技术合同缺乏控制。答案:C解析:IT战略委员会确保IT战略支持组织目标。由高级管理层参加的IT战略委员会将业务战略和IT战略结合。[单选题]21.某项目按计划需要18个月的时间，其项目经理宣称项目的财务状况良好，因为六个月过去了，仅花费预算的六分之一。IS审计师应首先确定A)是否达到日程要求的进度。B)是否可以减少项目预算C)该项目是否能提前完成D)是否可以将预算结余用于扩大项目范围。答案:A解析:A.对项目成本绩效的评估不能脱离进度绩效。不能仅按照项目已耗时间对成本进行评估。B.要正确评估项目预算状况，需要了解该项目的实际进度，并据此预测将来的开支。可能是由于实际进度缓慢，而导致项目开支看起来很低。在根据日程完成项目分析之前，无法知道降低预算是否合理。如果该项目落后于日程，则不仅预算可能没有结余，而且可能还需要额外的开支来弥补延误。开支低实际上可能预示着项目可能无法按期交付，而不是预示着可能会提前交付C.如果在调整实际进度后发现项目超前于预算，这不一定是一个好结果，因为这说明原始预算的制定有问题;而且，如前所述，在执行进一步分析前，无法判断资金实际是否有结余D.如果项目落后于日程，则扩大项目范围可能是错误的做法。[单选题]22.审计师发现某企业将软件开发工作外包给一个刚成立的第三方公司。要么确保企业的软件投资得到保护，审计师应该提出哪一个建议？A)应对软件供应商实施尽职调查B)应对软件供应商设施实施季度审计C)应签署源代码第三方托管协议D)应在合同中包含一个高额的违约罚金条款答案:C解析:签署源代码第三方托管协议是一个能保护企业在软件中投资的主要建议，因为这样源代码由科信的第三方托管，即使此第三方倒闭或者软件公司倒闭的话，仍然可以收回源代码。审慎尽责、季度性的审查供应商的设施以及合同中包含赔偿条款都是好的实践，不过他们并不确保源代码的可用性。点评：第三方软件托管的概念[单选题]23.在人力资源(HR)审计期间，IS审计师被告知，IT与HR部门之间就期望的T服务级别达成一项口头协议。在这种情况下，IS审计师首先应该做什么A)推迟审计，直至将协议记录在案。B)将存在未记录的协议这一情况报告给高级管理层。C)与两个部门确认协议的内容。D)为两个部门起草一份服务等级协议(SLA)。答案:C解析:A.没有理由要推迟审计因为服务协议没有记录，除非此协议是审计的所有内容。可以在已确定存在协议后再进行记录。B.在审计的这一阶段向高级管理层报告没有必要，因为这不是一个严重的需要立即关注的漏洞。C.IS审计师在提出任何建议之前，都应该首先确认了解当前做法。其中的一部分工作是保证双方对协议条款达成一致。D.起草服务等级协议(SLA)不是IS审计师的职责。[单选题]24.在复核客户主文件时，信息系统审计师在客户名称变更中发现许多客户姓名副本。为了确定副本的范围，信息系统审计师应该使用：A)用于验证数据输入的测试数据。B)用于确定系统分类能力的测试数据。C)用于搜索地址域副本的通用审计软件。D)用于搜索账户域副本的通用审计软件。答案:C解析:因为名字是不同的（由于名字的多样化），发现副本的一种方法是比较其他共同的部分，例如地址。在这些地址中去发现共同的客户姓名是一种可实施的后续检查。搜索重复的帐户名称不仅仅是发现副本，因为很多用户都用不同的醒目那个去使用不同的帐户号码。测试数据对于发现数据特征的范围没有用，但是可以简单的判定数据处理的过程。[单选题]25.某组织正在审查其与云计算提供商之间的合同。该组织想要从合同中删除锁定条款的原因是以下哪一项?A)可用性B)可迁移性C)敏捷性D)可扩展性答案:B解析:A.删除客户锁定条款并不能保证存储在云计算环境中的系统资源的可用性。B.与服务提供商定合同时，理想的做法是删除客户锁定条款。对客户而言，保证其系统资产的可迁移性(即从某个供应商转移到另一家供应商的权利)可能很重要。C.敏捷性是指让组织能够更快地响应业务需求的解决方案效率。这是云计算的良好品质。D.可扩展性是云计算的一种优势，它可以根据不断变化的业务环境调节服务等级。因此，这不是最佳选项。[单选题]26.为支持组织的目标，IT部门应具有A)低成本理念。B)长期和短期计划C)领先的技术。D)采购新硬件和软件的计划。答案:B解析:A.低成本理念虽然也是一个目标，但更重要的是成本一效益和IT投资成本与企业战略之间的关系。B.要推动组织总体目标的实现，IS部门应具有短期计划和长期计划，这些计划要与组织层面上较大范围的战略性计划相一致以便实现组织的目标C.领先的技术也是一个目标，但应有IT计划以保证这些计划与组织目标的一致性。D.采购新硬件和软件的计划可以是整体计划的一部分，但仅当实现组织目标需要硬件或软件时才需要。[单选题]27.对IS审计师而言，如果下列用户组具有生产数据库的直接完全访问权限，以下哪一组最值得关注?A)应用测试员B)系统管理员C)数据库所有者D)数据恢复团队答案:A解析:A.应用测试员应当限制在非生产环境，如果他们具有生产数据库的完全访问权限，数据的保密性和完整性将成为问题。B.系统管理员可能需要完全的生产访问权限，以履行其管理职责;但应当对其进行监控，以防未经授权的活动。C.数据库所有者具有生产数据库的完全访问权限，因为他们是所有者，并且对数据库负责。D.数据恢复团队将需要完全访问权限，以确保可以恢复整个数据库。[单选题]28.下列哪一项应该被包括在组织的IS安全政策中？A)需要被保护的关键IT资源清单B)访问授权的基本策略C)敏感的安全特性的标识D)相关软件安全特性答案:A解析:安全政策提供了安全的宽泛框架，被高级管理者制定并核准。它包括访问授权政策和访问授权的基本策略。选择A、C、D、是应该包括在一个更加细化的安全政策中。[单选题]29.审计师正在检查一个最近完成的一项新的企业资源计划（ERP）系统的迁移。作为迁移流程的最后阶段，该组织在新系统运行前，让新老系统共同运行30天，什么是该组织应用此策略最显著的优势？A)与其他测试结果相比有效的成本节约B)确保新的硬件与新的系统兼容C)确保新的系统能够满足功能需求D)增加运行处理的弹性时间答案:C解析:设计并行运行视为新系统满足功能需求提供保障。这是最安全的系统迁移测试形式。新的系统失败旧的可以立即使用。另外这种形式的测试允许应用开发者管理员同时在两个系统运行业务以确保移除旧的系统钱新的系统达到可靠程度。并行运行是系统测试最昂贵的形式。需要花费更多的时间和金钱，因此选项A不正确。硬件兼容性应该在迁移项目更早的时候确定，并不是并行运行的一个优势。兼容性通常基于应用系统发布的规范和实验环境内测试来定。并行运行被设计用来测试运行的有效性和应用数据的完整性，而不是硬件的兼容性。因此选项B是不正确的。并行处理增加的弹性是此情形下合理的结果，但是它提供的优势是临时的和微小的，所以选项D是不正确的。点评：并行切换的概念[单选题]30.以下哪种情况是通过互联网发起的被动攻击示例？A)流量分析B)伪装C)拒绝服务D)电子邮件欺骗答案:A解析:互联网安全威胁/漏洞可分为被动攻击和主动攻击。被动攻击的示例有：网络分析、窃听和流量分析。主动攻击包括穷举攻击、伪装、数据包重放、消息修改、通过互联网或基于Web的服务进行未经授权访问、拒绝服务攻击、拨号渗透攻击、电子邮件炸弹和垃圾邮件，以及电子邮件欺骗。[单选题]31.在审查计算机处置流程时，IS审计师最应该担心以下哪项？A)硬盘在扇区级别进行了多次覆写，但在送出组织前没有重新格式化。B)分别删除硬盘上的所有文件及文件夹，并在送出组织前格式化硬盘。C)进出组织前在盘片的几个指定位置打孔，使硬盘变得不可读。D)由内部安全人员将硬盘护送到附近的金属回收公司，在此处注册并随即粉碎硬盘。答案:B解析:删除和格式化操作无法将数据完全擦除，仅会将从前包含文件的扇区标记为具有空闲空间。在互联网上便能够找到可用于重建大部分硬盘内容的工具。在扇区级别覆写硬盘可将数据、目录、索引和主文件表完全擦除。由于所有内容均已破坏，因此不必进行重新格式化。通过分析盘片表面特殊的磁性特点，某些取证措施能够重建新近覆写过的扇区在覆写之前的内容，但经过多次覆写之后这些措施便无能为力了。虽然打孔并不会删除文件内容，但硬盘也便无法继续使用了，特别是在磁头驻留区和零轨道信息受到破坏时。由于所有的分析必须在清洁的房间环境下执行，所以此时重建数据会极为昂贵，而且必须在短时间内或在盘片表面受到腐蚀前进行。事实上不可能对已粉碎的硬盘进行数据重建，特别是当碎与写其他金属成分混杂在一起时。如果盘片运输由专门人员保驾护航，并且事实证明盘片如选项中所述进行了破坏，则可以认为处理方法有效。[单选题]32.IS审计师推荐使用库控制软件以便提供合理保证：A)程序变更得到授权B)只有经过彻底测试的程序才能被发布C)被修改的程序自动转移到生产库D)源代码和可执行代码的完整性得以保持答案:A解析:库控制软件被用来分离在大型机和/或客户服务器环境里的测试库和生产库。库控制软件的主要目的是保证程序变更得到授权。库控制软件关注已授权的程序变更，不会自动将装修过的程序移动到生产库，也不能确定程序是否已经经过彻底的测试。库控制软件提供合理的保证，保证当源代码被移动到生产库时，源代码和可执行代码是一致的。然而，随后发生的事件例如硬件故障可能导致源代码和可执行代码缺乏一致性。点评：库管软件功能见上面解释，保证测试库向生产库迁移是授权后进行的[单选题]33.信息系统审计师在对软件使用及许可方面进行审计时发现，大量的PC设备中含有非授权的软件。信息系统审计师随即应该采取以下哪个行动？A)删除非授权软件的所有拷贝B)通知被审计机构有关非授权软件的情况，并进行跟踪确保软件的删除C)向被审计机构管理层报告使用非授权软件的情况，以及告知管理层有必要防止该情况的再次发生D)警告终端用户有关使用非法软件的风险答案:C解析:组织应该禁止使用非授权或非法软件。软件盗版会产生内在的风险并导致严重的后果。信息系统审计师必须告知用户和管理层相关的风险和消除风险的必要性。信息系统审计师不必承担强迫管理层的角色，也不涉及删除非授权软件的相关责任。点评：发现控制缺陷-深入调研-风险评估-报告[单选题]34.审计师正在进行一个企业网络投产后的评价审计。下面哪一个将是最令人担忧？A)无线PDA设备没有设置密码保护B)安装网络设备之后，没有修改默认的密码C)没有出站的WEB代理服务器D)并非所有的通信链路都使用加密答案:B解析:在这个例子中，最显著的风险就是在安装完关键的网络设备之后没有改变其出厂密码。一个无线设备未使用密码保护是一个风险，但作为不安全的设备而言，它不是最显著的。类似的，使用一个WEB代理服务器是一个好的实践，但是也许根据企业的不同，这不是必须的。加密对数据安全而言是一个好的控制，但由于成本和复杂性，对所有的通信链路而言，并不合适。点评：网络设备没有改默认密码最严重[单选题]35.在缺乏有效的信息安全治理的背景下，价值传递的主要目标是：A)支持业务目标优化安全投资B)实施一套标准安全实践C)建立一个基于标准的缓解方案D)实施一个持续改进的文化答案:A解析:在缺乏有效的信息安全治理的背景下，价值传递的实施是为了确保支持业务目标优化安全投资。实施价值传递的工具和技术包括考虑到安全性的一套标准的安全做法，基于标准的制度化的解决方案，以及实现持续改进的文化的实施。而不是一个单独的事件。点评：业务目标优化是治理的主要目标[单选题]36.集线器（HUB）设备用来连接：A)两个采用不同协议的LANsB)一个LAN和一个WANC)一个LAN和一个MAN（城域网）D)一个LAN中的两个网段答案:D解析:[单选题]37.通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS审计师应该能够验证：A)可靠的产品是有保证的B)程序员的效率得到了提高C)安全需求得到了规划、设计D)预期的软件程序（或流程）得到了遵循答案:D解析:[单选题]38.一位S审计师正在审查某组织的信息安全政策，该政策要求对所有保存在通用串行总线(USB)驱动器上的数据进行加密。政策还要求使用一种特定的加密算法。以下哪种算法可以为USB驱动器上的数据在防止未经授权的数据泄漏方面提供最安全的保障?A)数据加密标准B)消息摘要5(MD5)C)高级加密标准(AES)D)安全壳(SS答案:C解析:A.数据加密标准(DES)容易受到穷举攻击并被公开破解过，因此使用DES加密数据不能保证数据免遭未经授权的泄漏。B.消息摘要5(MD5)这一算法可用于生成数据的单向哈希(某一固定长度值来测试和验证数据的完整性。MD5不能对数据进行加密，而是会使数据历经一个不可逆转的数学过程。因此MD5不能用来加密通用串行总线(USB)驱动器上的数据C.高级加密标准(AES)的加密最强，并能为数据提供最好的保护。通常认为，恢复被AES加密的数据在计算上是不可行的，因此AES是加密敏感数据的最佳选择D.安全売(SSH)协议可用来建立安全、加密的命令行売会话，通常用于远程登录。尽管SSH可以加密会话期间传输的数据，但不能加密静态数据，包括USB驱动器上的数据。因此SSH不适于此种情况。[单选题]39.在对最近部署的应用执行实施审查过程中，发现几个事故被分配了错误的优先级，并因此未能符合服务等级协议(SLA)的要求。以下哪一项最令人担心?A)支持模型未经高级管理层批准。B)SLA中规定的事故解决时间不现实。C)没有足够的资源来支持应用D)未适当开发和实施支持模型答案:D解析:A.尽管高级管理层的参与很重要，但更关键的问题是，是否适当开发和实施了支持模型。B.尽管服务等级协议(SLA)中指定的事故解决时间并不一定总是可以实现;但更关键的问题是，是否适当开发和实施了支持模型。C.尽管足够的支持资源很重要，但更关键的问题是，是否适当开发和实施了支持模型。D.IS审计师最担心的是未正确开发和实施用于防止或应对潜在中断的支持模型。事故可能给企业带来大量财务损失，并且应当同目实旋支持模型这应当是系统开发生命周期(SDLC)和程序中的一个步骤，并且如果在某个项目中缺失，则可能是流程中发生全面崩溃的症状。[单选题]40.信息系統審計師在審核一家金融機構的災難恢復計劃時發現了以下情況：現有的災難恢復計劃由企業IT部門的系統分析師制定，計劃中涉及的業務流程描述由相關的業務部門提供該計劃已經提交給企業的行政副總裁審批，但至今仍沒有結果雖然通過訪談得知一旦災難發生，相關人員都知道其相應的職責和應該采取的行動，但該企業從來沒有更新和測試該計劃，也沒有把計劃下發給主要的管理人員和職員。信息審計師的報告中應該建議：A)行政副總裁要對其沒有批准該計劃負責B)組織各部門的高級管理者審核該計劃C)批准該計劃並將其下發至所有關鍵的管理者和員工D)在一個限定的時間內，由一位管理者組織創建新的計劃，或修訂現有計劃答案:A解析:最主要的关注点应该是建立一套可行的灾难恢复计划，以保护组织免于任何中断故障。追究行政副總裁的责任达不到该目的，而且一般也超出了信息审计师需要给出建议的范围；组织审核一个过期两年的计划，可能有助于计划更新，但不是最迅速的解决方法；在确定计划的可行性之前，批准和发布该灾难恢复计划是不恰当的；在短时间内完成制定灾难恢复计划的最好办法是，在一个限定的时间内，由一位富有经验的管理者负责将其他管理者的知识整理到一套正规的文件中。[单选题]41.在公共密钥加密系统中，注册中心（RA，RegistrationAuthority）负责：A)验证证书请求相关的信息B)验证所必需的属性，并生成密钥（指密钥对）之后发放证书C)对消息进行数位签名，以实现防抵赖的特性D)登记签名的消息，保护它避免抵赖答案:A解析:[单选题]42.组织使用的应用系统为无任何经过认证的开发人员研发补丁的开源系统。以下哪种为最安全的开源软件更新方法？A)重写补丁并应用B)检查源码并应用可用补丁C)开发内部补丁D)在应用前检查并测试对应补丁答案:A解析:相应的补丁从现有的开发商中选择，并在应用前进行测试。重写补丁并应用不是正确的答案，因为重写补丁需要技术资源和时间来。源码检查是合理的，但在应用补丁前需要执行测试。由于系统是被组织以外开发的，IT部门没有必需的技术和资源去开发补丁。[单选题]43.以下哪项是采用X509数字证书的企业公钥基础架构(PKI)和证书颁发机构(CA)的最重要职能?A)向电子邮件和文件空间使用的加密和签名服务提供公钥/私钥组。B)将数字证书及其公钥与单个用户的身份进行绑定。C)提供员工身份和个人详细信息的权威来源。D)提供对象访问的权威身份认证来源。答案:B解析:A.虽然有些电子邮件应用依靠公共密钥基础结构(PKD发行的证书来实现不可否认性，但PKI的目的是提供个人身份认证和建立个人与其私钥的关联性。证书颁发机构(CA)一般不创建用户的私钥B.PKI主要用于确保受保护的数据或服务的来源合法。通过链接到数字证书/公钥来保证用户身份的有效性是十分严谨的。C.个人详细信息并不存储在PKI的组件中，也不由其提供。D.操作系统和应用程序内的身份认证服务可能基于PK发布的证书，但PKI并不提供用于对象访问的身份认证服务。[单选题]44.在准备审计报告的时候，信息系统审计员应该确保结果由下列哪个选项支持:A)信息系统管理层的意见B)其他审计员的工作底稿C)一个组织的自我控制评估D)足够的，适当的审计证据答案:A解析:ISA、C、A、的?报告?标准要求信息系统审计师有足够和适当的审计证据来支持报告结论。信息系统管理层的意见提供了在经验性证据不能证实的问题上进行合作的基础。即使是审计师可能接触到其他审计人员的工作底稿，报告也应该建立在检查过程中收集的证据基础之上。组织的自我控制评估结果可以作为审计发现的补充。选项A、，B、和C、可以作为审计过程中的参考，但它们本身并不能作为发布报告的充分的基础。[单选题]45.下列哪项控制是信息系统审计师在面对职责不能被适当的分离的环境时所寻找到的？A)重叠控制B)边界控制C)访问控制D)补偿控制答案:D解析:补偿控制是一种内部控制，旨在减少现有的或潜在的控制漏洞的风险可能出现的职责不能适当的分离时。重叠控制两个控制同时控制目标或风险。由于不可能实现主要的控制时，职责不能分开，这时难以使用重叠控制。边界控制是在用户的计算机系统与计算机自身系统之间建立接口，并以个人为基础，而不是基于角色的控制。访问控制的资源是根据个人而不是角色。点评：职责分离未遂，求补偿控制[单选题]46.保护组织的系统时，以下哪项通常会成为网络防火墙损坏后的下一道防线?A)个人防火墙B)防病毒程序C)入侵检测系统(IDS)D)拟局域网(VLAN)配置答案:C解析:A.个人防火在防御策略中的位置更靠后，位于终端上。B.防病毒程序会安装在终端和网络上，但防火墙之后的下一道防御是入侵检测系统/入侵防御系统(IDS/IPS)C.IDS将成为防火墙之后的下一道防线。该系统可以检测网络/服务器活动中的异常情况，并尝试检测犯罪者。D.虚拟局域网(VLA配置的目的不是接替被攻破的防火墙，而是架构上的良好实践。[单选题]47.尽管管理人员已作出说明，但IS审计师仍有理由相信组织使用的是没有许可的软件。在这种情况下，IS审计师应该首先:A)将管理层的说明写入审计报告。B)通过测试证实软件在用。C)将该事项写入审计报告。D)与高级管理层讨论该问题，因为它可能对组织产生负面影响。答案:B解析:A.管理人员的声明可能包含在审计报告中，但审计师应独立地验证管理人员的声明，以确保完整性和准确性。B.如果有迹象表明组织使用的软件未经许可，IS审计师应在将其写入报告前获得充分的证据。C.关于此类问题，管理人员给出的说法无法得到独立验证。D.如果组织使用未经许可的软件，为了保持客观性和独立性，IS审计师必须将这一点写入报告，但是IS审计师在向高层管理呈交之前应验证情况属实。[单选题]48.下列哪个问题管理系统的特征是IS审计师检查时最重要的？【已经理解】I．所有的问题都被跟进直到产生结论。II．所有问题自动启动，这样确保正确的数据被捕捉。III．上报流程确保问题不停留在不能解决的地方。IV．所有相关的IS操作区域有访问系统被检查来识别问题的来源。V．统计数据能被系统收集来辅助IS问题的分析。A)I,II,III,IV,andVB)I,III,IV,andVonlyC)II,III,IV,andVonlyD)I,III,andVonly答案:B解析:II是一种可选项。[单选题]49.信息系统不能满足用户的需求而失败，绝大多数的原因是:A)用户的需求频繁变更B)对用户需求的增长预测是错误的C)硬件系统限制了用户并发数D)用户参与需求的定义不充分答案:A解析:缺乏足够的用户的参与，尤其是在系统需求阶段，通常会导致不能完整和充分的定义用户的需求。仅仅用户才能够定义他们想要的什么，和系统将要实现什么。所以答案应为:D、[单选题]50.下面哪一项测试最可能检测到某个子程序中由于另一个子程序的最近更改导致的错误?A)回归测试B)黑盒测试C)压力测试D)用户验收测试答案:A解析:[单选题]51.当对某组织的台式计算机软件合规性进行审查时，安装的软件存在以下哪种情况吋最需要IS审计师给予关注:A)已安装，但没有记录到T部门记录中。B)由没有对其使用经过适当培训的用户使用。C)没有列于批准软件标准的文档中。D)许可证将在15天后到期答案:C解析:A.所有软件，包括许可，都应在部门记录但这没有安装未经批准的软件严重B.发现用户没有经过使用软件产品的正式培训很常见，这虽然不理想，但大多数软件都有帮助文件和其他提示，可以帮助学习如何有效地使用软件。C.安装不为政策允许的软件是一种严重违规，会让组织面临安全、法律和财务风险。任何允许使用的软件都应已列于标准软件列表中。这是要审查的第一件事，因为这也指出是否政策的遵循性D.如果存在软件许可续期的流程，许可即将到期不构成风险。[单选题]52.IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论：A)这种缺乏了解会导致不经意地泄露敏感信息B)信息安全不是对所有只能都是关键的C)IS审计应当为那些雇员提供培训D)该审计发现应当促使管理层对员工进行继续教育答案:A解析:[单选题]53.下列哪一种行为是互联网上常见的攻击形式？A)查找软件设计错误B)猜测基于个人信息的口令C)突破门禁系统闯入安全场地D)种值特洛伊木马答案:D解析:[单选题]54.以下哪个选项可被执行审计的IS审计师评估为预防性控制?A)交易日志。B)前后图像报告C)表格查找D)跟踪和标记答案:C解析:A.交易日志记录属于检测性控制，可提供审计轨迹。B.前后图像报告可用于跟踪各交易对计算机记录的影响。这也属于检测性控制。C.表格查找是指根据预定义的表检查输入数据，属于预防性控制，可以防止输入尚未定义的数据D.跟踪和标记虽然可用于测试应用程序系统和控制，但其本身不属于预防性控制。[单选题]55.技术变化的速度增加，重要的是：A)外包的信息系统功能B)实施执行正确的流程C)雇佣合格的人员D)满足用户要求答案:B解析:技术变化要求实施和执行良好的变动管理流程。外包的信息系统功能没有直接关系到技术变革的速率。个人在典型的IS部门都是高素质和受过教育的，通常他们并不觉得自己的工作受到威胁，并准备频繁的跳槽。虽然满足用户的需求是重要的，但是他不直接关系到IS环境技术变革的速率。点评：建立良好的策略，以不变应万变[单选题]56.供应商发布补丁程序修补软件中的安全漏洞，IS审计师在这种情况下应该如何建议？A)在安装前评估补丁的影响B)要求供应商提供了一个包括所有补丁的新的技术C)立即安装安全补丁D)在以后减少与这些供应商的交易答案:A解析:立即对安装补丁的影响程度进行评估，并以评估结果作为基础决定是否安装；安装补丁却不知道补丁的影响程度会容易产生问题；包括所有补丁的新的软件版本一般是没有的，并且完全安装会很耗时；减少与供应商的交易无异于维护漏洞。[单选题]57.一位IT审计师在审查某组织的信息安全政策，该政策要求对所有保存在通用串行总线(USB)驱动器上的数据进行加密。政策还要求使用一种特定的加密算法。以下那种算法可以为USB驱动器上的数据提供安全的保障，以防止未经授权的数据泄漏?A)数据加密标准(DES)B)消息摘要5(MD5)C)高级加密标准(AES)D)安全壳(SSH)答案:C解析:在所列选中，AES的加密最强,并能为数据提供最好的保护。通常认为,恢复被AES加密的数据在计算机上是不可能的，因此AES是加密最敏感数据的最佳选择，DES容易受到穷举攻击并被公开破解过,因此试用DES加密数据不能保证数据免遭未经授权的泄漏。MD5不能对数据进行加密，而是会使数据经历一个不可逆转的数学过程。因此MD5不能用来加密USB驱动器上的数据。SSH协议可用来建立安全、加密的命令行壳会话，通常用于远程登录。尽管SSH可以加密会话期间传输的数据，但不能加密静态数据，包括USB驱动器上的数据。因此SSH不适于此种情况。[单选题]58.在审查一个进行中的项目时，IS审计师注意到由于预期收益有所减少且成本有所增加，因此业务案例不再有效。IS审计师应建议A)中断项目。B)更新业务案例并采取可行的纠正措施。C)将项目退回项目发起人进行重新审批。D)继续完成项目，日后再更新业务案例。答案:B解析:A.在重检更新后的业务案例之前，IS审计师不应该建议中断或继续完成项目B.IS审计师应该建议业务案例在整个项目中保持最新状态，因为在任何项目的整个生命周期中，业务案例都是制定决策的关键因素。C.业务案例更新前，项目不能退回项目发起人。D.在审查更新后的业务案例并确保项目发起人批准之前，IS审计师不应建议完成项目。[单选题]59.从风险管理的角度，部署庞大且复杂的IT基础架构，哪种方法最好：A)在概念论证之后，全面迅速的部署B)原型化和单阶部署C)按次序阶段性的部署计划D)部署前仿真模拟新的架构答案:C解析:部署庞大复杂的IT基础架构时，最佳实践就是按次序阶段性的方法，可以一起适用于整个系统。这将会提供很大程度上的对部署质量结果的保证。其他的选择都是危险方法。点评：分阶段部署实施是最可靠的[单选题]60.初步调查之后，审计员发现有理由相信欺骗的存在。IS审计员应该：A)展开行动确定调查是否合理B)将事情报告至审计委员会C)将欺骗可能性报告给高层，高层管理询问是否继续D)咨询外部法律顾问以决定采取什么及如何行动答案:A解析:IS审计师在检测欺骗方面的责任包括评估欺骗迹象并决定是否有必要采取额外的行动或应该建议调查。IS审计师只有当确定欺骗证据确凿而建议调查时才会通知组织内适当的权威。通常，IS审计师在审计中没有权利咨询外部法律顾问。点评：发现控制缺陷-深入调研-风险评估-报告[单选题]61.由于局域网响应时间较慢，程序员通常会把代码保留在自己的工作站而不是服务器上。因此，每天的服务器备份并不包括当前的源代码。监测响应时间的最好方法是：A)并行测试B)综合测试设备C)性能监控D)程序代码比较软件答案:C解析:性能监控室对运行结果系统化的度量和评估。ABD处理的都不是响应时间。[单选题]62.某卫生保健组织的IS审计师正在检讨考虑由其托管患者健康信息(PH)的第三方云提供商的合同条款和条件。以下哪一项合同条款将成为客户组织面临的最大风险?A)数据所有权归属客户组织。B)第三方保留访问数据以执行某些操作的权利。C)未定义批量数据撤回机制。D)客户组织负责备份、归档和恢复。答案:B解析:A.客户组织想要保留数据所有权，因此这不是一种风险。B.某些服务提供商保留访问客户信息以执行某些交易和提供某些服务的权利(第三方访问权)。对于受保护的健康信息(PH），条例可能限制某些访问权。组织必须审查云提供商运营所在的监管环境，因为它可能有自己的要求或限制。组织随后必须确定云提供商是否提供适当的控制，以确保数据有适当的安全保障。C.组织可能最终想要终止其第三方云提供商的服务。组织随后相要从系统中删除其数据，并确保服务提供商清除其在系统中的数据(包括任何备份)。有些提供商不提供组织需要用来移植其数据的自动化或批量数据撤回机制。这些方面应当在使用第三方提供商之前阐明。D.如果服务提供商不提供数据恢复流程和程序，或组织对服务提供商的流程存有疑虑，组织可能需要规划其自己的数据恢复流程和程序。只有客户组织无法自行完成这些活动时，这才会是一种风险。[单选题]63.在使用电子资金结转（EFT）系统时，以下哪项风险较高？A)不适当的变更控制程序。B)未经授权的访问和活动。C)不充分的联机编辑校验。D)不适当的备份和灾难恢复程序。答案:B解析:ACD是常见风险。[单选题]64.许多IT项目会由于开发时间和/或资源需求估计不足而遇到问题。在估计项目持续时间时，以下哪项技术可提供最大程度的协助?A)功能点分析(FPA)B)计划评审技术(PERT)图C)快速应用开发D)面向对象的系统开发答案:B解析:A.功能点分析(FPA)是根据功能点数确定开发任务规模的技术。功能点包括输入、输出、查、内部逻辑文件等因素。虽然这有助于确定个人活动的规模，但对确定项目持续时间没有帮助，因为有许多重叠的任务。B.在所有活动以及与这些活动相关的工作已知后，计划评审技术(PERT)图将有助于确定项目持续时间。C.快速应用开发这种方法，可以使组织在减少开发成本和保证质量的同时更快地开发具有战略重要性的系统。D.面向对象的系统开发是方案规范和建模的过程，但对计算项目持续时间没有帮助。[单选题]65.某组织从旧系统迁移到企业资源规划(ERP)系统。审查该数据迁移活动时，IS审计师最关心的问题是确定A)迁移的数据在两个系统间是否存在语义特性方面的关联。B)迁移的数据在两个系统间是否存在算术特性方面的关联。C)进程在两个系统间是否存在功能特性方面的关联。D)进程在两个系统间是否存在相对效率。答案:A解析:A.由于两个系统可以采用不同的数据表示形式(包括数据库模式)，因此IS审计师应侧重于检查新旧系统中的数据(结构)表示形式是否相同B.算术特征表示数据库中数据结构和内部定义的各个方面，因此，重要性低于语义特性C.审查两个系统的功能特性关联性对于数据迁移审查无意义。D.审查两个系统的进程相对效率对于数据迁移审查无意义[单选题]66.以下哪个是组织最好的程序类型，执行集合，关联和存储不同日志和事件，且每周每月出具报告给IS审计师？A)安全事件信息管理产品（SIEM）B)开源关联引擎。C)日志管理工具。D)摘录，转换，导入系统（ETL）答案:C解析:日志管理工具，旨在从多个日志文件（具有鲜明的格式和不同的来源）聚集事件，把它们存储在脱机状态下，用来出具相关的许多报告，（例如，异常报告显示异常和可疑的活动，包括不同的统计），并回答基于时间的查询（例如，在过去的三个星期中有多少用户在早上2点-4点间进入系统）。SIEM产品有一些类似的功能。它从日志文件关联相关的事件，但它是在线的，通常不存储许多个星期的历史记录并以此出具审计报告。一个关联引擎是一个SIEM产品的一部分。它倾向于发掘联网的关联事件。一个ETL是一个商务智能系统的一部分，专门用于提取或生产经营数据，转换或加载数据到一个中央储存库（数据仓库或数据集市），ETL不关联数据和出具生产报告，通常它没有读取日志文件格式的提取方式。[单选题]67.做下面哪一项在峰值使用时间回导致以外掉线？A)进行数据迁移或磁带备份B)进行电子系统预防性维护C)将应用从开发环境提升到生产系统D)替换数据中的主要路由器的供电配件答案:B解析:选择A和C是对影响性能但不导致掉线的事件的处理。企业级的路由器有多余的热备的电源，所以更换一个失效的电源不是问题。预防性维护事件应该计划进行在一天中的非峰值使用时间，并且更适宜在维护窗时间段进行。由维护带来的灾祸或事件人员会导致非计划性掉线。A)读数据权限B)删除传输数据文件的权限C)读日志/执行访问程序D)更新存取作业务控制语句/脚本文件正确答案B删除交易数据文件是应用程序支持小组的的职责而不是运行人员的职责。通常是计算机操作员有访问生产数据的权限，访问程序和访问作业控制语句（JC、L）来控制工作运行是被写入日志的。[单选题]68.组织的计算机帮助台HelpDesk功能通常由下列哪个部门负责？A)应用程序开发部门。B)系统编程部门。C)计算机支持部门。D)用户部门答案:C解析:HelpDesk是用户技术支持部门的职责。[单选题]69.下面哪一种数据有效性编辑检查被用来确定字段是否包含数据，是非0或空的A)校验数字B)存在性检查C)完整性测试D)合理性检查答案:C解析:完整性检查用于确定一个字段是否包含数据和非0或空的。检验数字是数字计算算法确保原始数据不被修改。存在性检查输入数据与预先确定的标准是否一致。合理性检查输入到语言合理的限定或出现的比例表是否匹配。点评：完整性校验的概念[单选题]70.在审查组织批准的软件产品列表时，下列哪项是验证的最重要的事？A)对于产品使用有关的风险进行定期评估，B)每个产品的最新的软件版本列表。C)由于版本问题，列表不包含开放源码软件D)提供业余支持。答案:A解析:由于供应商的商业环境可能改变，在IT风险管理中，对组织供应商软件列表进行定期的风险评估是最重要的。选择B.C.D是可能的，但不是最重要的。[单选题]71.IT管理人员希望把各个部门]的绩效与其他类似企业相同部门]的绩效进行持续的比较,信息系统审计师应当推荐以下哪一种做法?A)制定一套基准指标对比计划B)使用绩效衡量软件C)向硬件/软件供应商咨询D)定期进行客户满意度调查答案:A解析:[单选题]72.在一个应用审计期间，一个信息系统审计师被要求提供数据库参照完整性保证，下列哪个应该被检查？A)域定义B)主表定义C)混合键D)外键构造答案:D解析:在一个关系数据库中的参照完整性涉及关联表间的一致性。参照完整性通常被实时通过一个主键或者选键（备用键）和一个外键的组合。为了保持参照完整性，一个表的任何域被宣告给一个外键，它应该被包含唯一的值并来自一个附表的主键或候选键。域定义，主表定义和混合键是数据的元素，并不直接与参数完整性相关。[单选题]73.在数据库应用的需求定义阶段，性能被列为第一重要，下面哪个技术在访问D、B、MS文件时候，应该被建议采用来实现最佳输入输出性能A)存储区域网络（SA、N）B)网络附属存储（NA、S）C)网络文件系统（NFSv2）D)通用网际文件系统（C、IFS）答案:A解析:相对于其他的选项，在一个SA、N组成的计算机中，光纤交换机或路由器和存储设备，只有特定的文件系统，能被用于远程访问。获取存储于SA、N架构存储设备上的信息能够媲美于直接附属存储，这意味着每一个磁盘上的数据块能被直接寻址，因此存储设备的卷能被处理好像他们是本地的一样，因此提供了最佳的性能。其他选项描述了使一部电脑（或设备）同其他系统共享它的数据的技术。要获取信息，不得不阅读完整的文件（性能下降）。[单选题]74.在对专门从事电子商务的企业进行审计期间，IS经理表示在接收客户通信时会使用数字签名。要证实这一点，IS审计师必须证明使用了以下哪项?A)使用客户公钥进行生物识别、数字化和加密的参数B)使用客户私钥加密并传输的数据哈希值C)使用客户公钥加密并传输的数据哈希值D)使用客户公钥加密的客户扫描签名答案:B解析:A.生物识别不用于数字签名或公钥加密。B.计算所传输数据的哈希值或摘要或者对其进行加密需要客户端(发送者)的私钥，称为消息签名或数字签名。接收者对接收到的消息计算哈希值，再用发送者的公钥对数字签名解密后，将计算出的哈希值与接收到的哈希进行比较。如果哈希值相同，则说明所收到的数据是完整的，其来源得到验证。使用发送者的私钥加密哈希值这一概念提供了不可否认性，因为只能使用发送者的公钥解密哈希值，而接收者并不知道发送者的私钥。简言之，在使用密钥对的情况下，可通过发送者的公钥进行解密的任何数据必然经过其私钥加密，这样可确认发送者(即不可否签名认性)。C.用客户公钥对哈希进行加密是不正确的，因为这样的话接收者需要客户的私钥才能对数字签名解密。D.扫描客户的答名称为数字化签名，而非数字签名，而在本例的情景中几乎或完全没有价值[单选题]75.IT治理的最终目的是？A)推动优化利用ITB)降低IT成本C)在整个组织中分散IT控制D)集中的IT控制答案:A解析:IT治理是为了指定对企业最好的决策权和责任组合。这是每个企业的不同。降低IT成本可能不是一个企业的最佳IT治理的成果。分散IT组织资源并不总是需要，但他可能是在权利下放环境中所需。集中的IT控制并非总是需要的。点评：IT治理是为了更有效的利用IT为组织战略服务[单选题]76.IS审计师正在审査一个新的基于web的订单输入系统，该系统将于一周后上线。IS审计师发现，根据设计，在系统存储客户信用卡信息方面，可能缺少几项重要的控制。该IS审计师应该首先A)确定系统开发人员在充分的安全措施方面是否经过适当的培训。B)确定系统管理员是否出于任何原因禁用了安全控制C)核实项目计划是否对安全需求有适当说明。D)验证安全控制要求是否已经无效。答案:C解析:A.尽管程序员了解安全问题非常重要，但是在项目计划中对安全需求做出适当说明更为重要B.系统管理员可能已对控制作出变更，但审计师应该会在实施前一周按照设计执行系统审查，所以管理员还没有对系统进行过配置。C.如果IS审计师发现重大安全问题，首先需要弄清楚的问题就是项目计划中的安全需求是否正确。计划中是否包含相关要求会影响审计师的建议。D.随着时间的推移安全需求可能会根据新的威胁或漏洞而变更，但如果缺少关键控制，则表明设计是有缺陷的，因为其所依据的要求不完整。[单选题]77.组织发现首席财务官(CFO)的PC已感染按键记录器和恶意程序工具包(rootkit)恶意软件。首先采取的措施应为:A)联系相应的执法部门开始调。B)立即确保不会危害其他数据。C)断开PC与网络的连接。D)更新PC上的防病毒签名，确保已检测到并删除恶意软件或病毒。答案:C解析:A.虽然可能需要联系执法部门，但第一步应通过断开PC与网络的连接停止数据流动B.第一步是断开与网络的连接，然后使用适当的取证技术获取存放在临时文件、网络连接信息、加载到内存的程序的信息和电脑上的其他信息。C.最重要的任务是防止进一步的数据危害和保留证据。通过断开PC与网络的连接，减轻进一步数据危害的风险。D.将电脑保持在最佳取证状态，除了将其断开网络连接外不要做任何变更。否则切断PC电源或更新PC上的软件会销毁证据。存储于临时文件中的信息、网络连接信息、加载到内存中的程序以及其他信息可能丢失。[单选题]78.信息系统管理师在评估新成立的呼叫中心内的控制时，首先应:A)测试呼叫中心的技术基础设施B)从客户那里收集有关服务响应时间和服务质量的信息C)评估与呼叫中心有关的操作风险D)审查该呼叫中心的人工和自动控制答案:B解析:[单选题]79.交易审计痕迹的主要目的是?:A)减少使用存储媒介、B)为处理交易确定问责制和责任制、C)帮助系统审计师进行细微审查、D)为能力规划提供有益的信息、答案:B解析:通过信息系统，审计线索在处理交易确定问责制和责任制中起作用。使用审计线索增加了磁盘的使用空间。交易日志文件将被用于纪录交易痕迹，在确定问责制和责任方面不会有帮助。能力计划的目标是有效率的和有效的使用IT资源和需要的信息，如CPU使用率，带宽，用户数目等、[单选题]80.IS审计师在在一些数据库的表现中发现了越界数据，IS审计师将建议以下那种控制以避免这种情况？A)记录所有的表更新事务日志B)实施执行与执行后镜像报告C)使用追踪和标签技术D)实施数据库完整性约束答案:D解析:实施数据库完整性约束是预防性控制，因为会根据预定义的表或规则检查数据以防止输入任何不确定的数据。记录所有的表更新事务日志和实施执行前与执行后镜像报告是检测性控制，是不能避免这种情况的。追踪和标签技术用于测试应用系统和控制，不能防止越界数据。[单选题]81.为了降低通过通讯线路来传送专用数据时带来的安全风险，应该应用：A)异步调制解调器B)鉴别技术C)回叫程序D)加密设备答案:D解析:D正确,题干关注数据，加密设备对通讯线路上传送的数据进行保护；A不正确，异步调制解调器将数据流从外部设备输送到中心处理机；B不正确，鉴别技术确定只有合法用户才能访问系统；C不正确，回叫程序是用来保证拨入的呼叫来自授权的位置。[单选题]82.在审查公司新进实施的在线安全意识培训计划时，以下哪一项发现将是信息系统审计师的最大顾虑?A)只要求新员工参加培训B)员工立即收到结果知C)尚未确定计划更新的时间安排D)尚未建立评估培训结果的指标答案:D解析:[单选题]83.在审计一个会计应用系统的内部数据完整性控制时，IS审计师发现支持该会计系统的变更管理软件中存在重大不足。审计师应采取的最合适的行为是：A)继续测试会计应用系统控制，口头通知IT经理有关变更管理软件中的控制缺陷以及就可能的解决方案提供咨询。B)完成应用程序控制的审核，但是并不报告变更管理软件中的控制缺陷，因为它不属于审核范围。C)继续完成会计应用系统的测试，并且在最终的报告中加入变更软件中的控制缺陷。D)停止所有的审计活动，一直到变更控制软件中的控制缺陷被解决为止。答案:C解析:报告所发现的、可能会对有效控制造成中的影响的资料是审计师的责任，不管这些（内容）是否在审计范围内。审计师并不假定IT经理会跟进解决变更管理控制缺陷，并且在审计过程中就发现的问题提供咨询服务是不恰当的。虽然技术上不属于审计范围之内，审计师有责任汇报在审计期间发现可能对控制的有效性造成重大影响的发现。要求在执行或者完成一个审计之前，完成IT工作不是审计师的责任。点评：在完成本职工作的前提下，将额外的?收获?写入报告[单选题]84.连续审计方法的主要优点是:A)不需要IS审计师在系统进行处理时收集有关系统可靠性的证据。B)允许IS审计师及时地审查和跟进审计问题。C)使安全部门，而非审计承担实施和监控控制的责任D)简化了从多个复杂系统的数据抽取和关联。答案:B解析:A.连续审计方法确实经常需要IS审计师在系统进行处理时收集有关系统可靠性的证据。B.连续审计能够实现及时审计并响应审计问题，因为审计结果几乎是实时收集的。C.实施和监控控制的责任主要是管理层的责任。D.连续审计的使用不以受监控的系统的复杂性和数量为依据。[单选题]85.下面哪项控制措施能够最有效地确保从销售部门发送的订单能够准确、完整地传输到生产仓库？A)应检查所有销售订单中数值顺序的连续性。B)所有数据传输均应包括奇偶校验。C)数据应传回发源地（originatingsite),并与发送到生产仓库的数据进行比较。D)在处理交易之前，应发送并对账交易总量和记录数量答案:D解析:[单选题]86.审计购置的软件包时，IS审计师发现该软件的采购依据是获取自互联网的信息，而不是要求建议书(RFP)的回应。该IS审计师应该首先A)测试该软件与现有硬件的兼容性B)执行差距分析。C)审查许可政策D)确保该流程已通过审批。答案:D解析:A.因为软件包已经采购，非常可能已经在用，所以与现有硬件兼容。而IS审计师的首要责任是确保采购程序经过了审批。B.因为没有要求建议书(RFP)，可能没有产品预期的文档记录，所以无法执行差距分析。IS审计师的首要责任是确保采购程序经过了审批。C.应审查许可政策以确保已得到适当的许可，但只能在检查采购程序后进行。D.在与预定流程存在偏差的情况下，IS审计师应首先确保购置软件的流程与业务目标保持一致，并已通过相关机构审批。[单选题]87.一名IS审计师正在审查一份项目风险评估，并发现由于机密性要求，整体风险水平较高。以下哪种风险通常会因为项目可能影响的用户和业务领域数量而变高?A)控制风险B)合规风险C)固有风险D)残余风险答案:C解析:A.控制风险可能较高，但其原因是未识别、评估或测试内部控制，而不是受影响的用户或业务领域的数量。B.合规风险是不遵守法律法规对当前或将来收益带来的后果，不会受到受影响用户和业务领域数量的影响。C.固有风险通常会因为可能受影响的用户和业务领域的数量而变高。固有风险是一种不考虑管理层已经或可能采取的措施的风险水平或风险暴露。D.残余风险是在管理层实施风险应对措施之后残余的风险，它不基于受影响的用户或业务领域的数量。[单选题]88.以下哪个是缺乏适当的安全控制的表现：A)威胁B)资产C)影响D)脆弱性答案:A解析:：缺乏适当的安全控制将受到黑客