CISA考试练习(习题卷4)

试卷科目：CISA考试练习CISA考试练习(习题卷4)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.某IS审计师检查了一个无窗机房，其中包括电话交换和联网设备以及文档夹。该机房配有两个手持灭火器-一个是CO2灭火器，另一个是卤化物气体灭火器。下列哪一项应在审计师的报告中具有最优先级？A)移走卤化物灭火器，因为卤化物会对大气臭氧层产生负面影响。B)在密闭机房中使用时，两种灭火系统都有导致窒息的危险。C)移走CO2灭火器，因为CO2对于涉及固体可然物（纸张）的火灾是无效的。D)将文档夹从设备机房中移走，从而降低潜在风险。答案:B解析:在灭火行动中，保护人员的生命安全应始终放在第一位。CO2和卤化物都会降低空气中的氧化比例，从而导致严重的人身危险。在许多国家/地区，安装或灌注卤化物灭火系统是不允许的。尽管CO2和卤化物适用于有效扑灭涉及合成可燃物和电气设备的火灾，但是它们对于固体可燃物（木材和纸张）几乎完全无效。尽管优先级略低，但是移走文档会降低一些风险。[单选题]2.IS审计部门正计划尽量减少对关键个人的依赖。有助于实现这一目标的活动包括记录流程、知共、交又培训，以及A)接任计划B)员工岗位评估。C)责任定义。D)员工奖励计划。答案:A解析:A.接任计划可确保发现和培养有潜力担任公司关键岗位的内部人员。B.岗位评估是指确定公司中各个岗位的相对价值以建立公平公正薪酬体系的过程。C.员工职责定义对角色和工作职责详加定义;但两者均不可最大限度地降低对关键个人的依赖程度。D.员工奖励计划可提供激励;但不能最大程度地减少对关键个人的依赖。[单选题]3.以下哪种形式的证据对审计员来讲更具可靠性？A)被审计人员的口头陈诉B)由IS审计师执行的测试结果C)一份内部导出的计算机财务账目报告D)从外部资源发来的确认信。答案:A解析:从外部单位获取的证据，比从组织内部获取的证据更可靠。从外部机构获取的确认信，比如那些用来验证应收账款的平衡关系，是最可靠的证据。审计人员的自己测试结果可能不是最可靠的，如果审计人员在检查中没有对测试技巧进行很好的理解。[单选题]4.为评估软件的可靠性，IS审计师应该采取哪一种步骤？A)检查不成功的登陆尝试次数B)累计指定执行周期内的程序出错数目C)测定不同请求的反应时间D)约见用户，以评估其需求所满足的范围答案:B解析:[单选题]5.在一个隔离的操作环境中，下面哪一个场景是期望看到的？A)对系统信息和启动问题负责的计算机操作员关注失败的事务。B)仅在应用程序员提醒有错误时变更控制库管理员对代码进行修改。C)磁带库管理员管理打印队列和为打印机装纸，同时还负责启动异地存储的磁带备份。D)操作员通过调整参数设置帮助系统程序员为操作系统排错，系统程序员在旁边观看结果。答案:A解析:BCD都涉及角色冲突。其中C在打印时有机会多打印重要文件。[单选题]6.以下哪种渗透测试能够最有效地评估组织的事故处理和响应能力？A)针对性测试B)外部测试C)内部测试D)双盲测试答案:D解析:在双盲测试中，管理员和安全人员对测试毫不知情，这样便可以评估组织中的事故处理和响应能力。而在针对性测试、外部测试和内部测试中，系统管理员和安全人员会在测试开始之前收到通知，因此知道要进行测试。[单选题]7.如果发生数据中心灾难，以下哪一项是能够完全恢复关键数据库的最适当策略?A)每天将数据备份到磁带并存储于远程站点中B)实时复制到远程站点C)硬盘镜像到本地服务器D)将数据实时备份到本地存储区域网络(SAN)答案:B解析:A.日常磁带备份恢复可能导致丢失一天的数据工作。B、通过实时复制到远程站点，将在两个单独的位置同时更新数据;因此，一个站点中的灾难不会损坏位于远程站点中的信息。这将假设这两个站点均未受同一灾难的影响。C.硬盘镜像到本地服务器发生在同一数据中心且可能受同一灾难的影响。D.将数据实时备份到本地存储区域网络(SAN)也是位于同一数据中心，也可能受同一灾难的影响。[单选题]8.以下哪种形式的证据对审计师来讲最具可靠性？A)被审计人员的口头陈述B)由外部IS审计师执行的测试结果C)内部生成的计算机财务报告D)从外部资源发来的确认函答案:B解析:由IS审计师独立完成的测试一直被认为是比来自第三方的确认函较高可靠性的证据来源。因为函件并不符合审计标准且是主观的。作为IS审计师的风险定义的审计应包括检查、观察和询问的组合。这提供了一种标准的方法和合理的保证，因此控制和测试结果要求正确无误。选项A和C也是审计证据，但不如选项B可靠。点评：其他审计师提供的证据最可靠[单选题]9.审与服务供应商签订的新外包合同时，缺少以下哪项最需要IS审计师给予关注?A)规定?审计权限?(针对服务供应商进行审计)的条款B)对绩效不佳的罚款进行定义的条款C)预先定义的服务级别报告模板D)有关供应商责任范围的条款答案:A解析:A.缺少?审计权限?条款或缺少其他供应商遵守特定标准的证明都可能会妨碍审计师对供应商在各方面进展的绩效进行调查，包括控制缺陷、绩效不佳和法律要求的遵守情况。这是IS审计师重点关注的地方，因为该组织将很难评估合适的控制是否已落实到位。B.虽然明确定义罚款条款是一种可取的方法，但并不是所有合同都需要规定对绩效不佳进行罚款，而且当需要对绩效进行处罚时，通常需要根据具体情况对这些处罚进行协商。因此，缺少该内容不如缺少审计权限重要。C.当合同里包含服务等级报告要求，预先定义服务等级报告模板的做法是可取的，但即便如此，缺少预定义报告模板并非需要重点关注的问题。D.缺少服务供应商责任范围条款理论上会导致供应商承当无限的责任。这对该外包公司是有利的，尽管1S审计师会强调缺少该条款，但这不是需要重点关注的问题。[单选题]10.认证中心C、A、可委托以下过程来代表:A)撤销和中止用户的证书B)产生并分发C、A、的公钥C)在请求实体和它的公钥间建立链接D)发布并分发用户的证书答案:C解析:在请求实体和它的公钥间建立链接是注册中心RA、的功能。这个功能可用或不用C、A、执行，因此，这个过程可委托。撤销和中止及发布、分发证书是证书生命周期管理的职能，必须是C、A、来执行。产生和分发C、A、的公钥是C、A、密钥生命周期管理流程的一部分，不能委托。[单选题]11.在灾难后恢复数据时，下列哪项指标最能说明备份和恢复程序的有效性?A)恢复组的成员能够进行工作B)达到恢复时间目标(RTO)。C)备份磁带库存已得到妥善维护。D)备份磁带在备用站点中完全恢复。答案:B解析:A.有关键人员并不能保证备份和恢复流程能够有效工作B.恢复时间目标(RTO)的达成能够在最大程度上确保备份和恢复程序的有效性，因为这里包括了在业务影响分析阶段严格地定义的需求，所有业务流程负责人均提出了意见并参与其中。C.备份磁带库存只是成功恢复的要素之一。D.备份磁带的恢复是成功的关键，但要能够在RTO设定的时间期限内恢复。[单选题]12.以下哪一项能够最有效地确保用户能够不间断地访问关键的、任务繁重的web应用程序?A)磁盘镜像B)廉价磁盘冗余阵列(RAID)技术C)动态域名系统(DDNS)D)负载均衡答案:D解析:A.磁盘镜像提供实时磁盘驱动器复制，但如果出现服务器崩溃的情况，则无法保证系统可用性不受中断。B.廉价磁盘冗余阵列(RAID)技术能够提高恢复力，但无法针对网卡(NC)故障或中央处理器(CPU)故障提供保护。C.动态域名系统(DDNS)是用于向动态互联网协议(IP)地址分配主机名称的一种方法。这是一种有用的技术，但无助于确保可用性。D.负载均衡通过在多台服务器之间分配流量确保系统可用性不受中断。负載均衡有肋确保web应用程序的响应时间最后一致。另外，如果Web服务器出现故障，负载均衡可确保流量导向不同的可用服务器。[单选题]13.执行计算机犯罪证据调查时，对于数据收集，IS审计师应该最关心的证据是：A)分析B)评估C)保存D)公开答案:C解析:根据法律实施和司法授权保存和存档审评证据时最重要的事情，如果不能正确的保存证据可能会影响到法律诉讼时对证据的采纳。分析、评估和公开证据都很重要但是不是证据调查时的首要事情。点评：证据的完整性是最重要的[单选题]14.下面哪个选项有助于保证连接到数据库的应用的便携性？A)数据库导入/导出过程的核查B)SQL的使用C)存储流程/触发器的分析D)实体关系模型和数据库物理结构的同步答案:A解析:SQL便捷的使用。核查与其他系统的导入/导出流程是确保与其他系统更好的接口连接。分析存储流程/触发器是确保适当的访问/执行，而且评价实体关系模型也是有用的，但是这些都不能有助于数据库连接的应用的便携性。[单选题]15.下列那一项的开发时，高级管理层的参与是最重要的？A)战略计划B)信息系统策略C)信息系统程序D)标准和指南答案:A解析:战略计划为确保企业能够达到预期目标和目标的基础。高级管理人员的参与是关键，以确保该计划充分满足了既定的目标和目的。IS程序，标准和准则都是用以支持整体的战略计划的结果。点评：战略制定是高层的责任[单选题]16.对于评估业务连续性计划的有效性最好方法是审查：A)计划并把他们作为适当的标准B)预先的测试结果C)应急程序和员工培训D)异地存储和环境监控答案:B解析:预先测试结果将提供业务连续性计划的有效性证据。标准比较将提供一些保证，该计划涉及的业务连续性计划的重要方面，但是没有透露任何有关其有效性。检查应急程序，异地存储和环境控制将提供使该计划某些方面的见解，但都低于提供该计划的整体效益的保证。[单选题]17.在审计ERP财务系统的逻辑访问控制时，信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步，信息系统审计师该怎么做？A)寻找补偿性控制B)检阅财务事务日志C)检阅审计范围D)叫管理员禁用这些帐号答案:A解析:最好的逻辑访问控制实践是创建用户ID给每一个定义了责任的使用人。只有在建立ID和独立使用人之间一个一对一关系时才有可能。尽管如此，如果用户ID是基于角色创建的，信息系统审计师应首先理解原因，然后评价补偿控制有效性和效率。检查处理日志对审计逻辑访问控制是无关的，检查审计相关的范围也是无关的。在弄明白原因和评价补偿性控制之前，不建议信息系统审计师请管理员对共享帐号停掉。这不是信息系统审计师的职责在审计期间让停止使用帐号。+B2890[单选题]18.用户使用分配的安全令牌结合个人识别码(PIN)来访问公司的虚拟私有网络(VPN)。对于PIN，安全政策中应包含哪项最重要的规则?A)用户不应将令牌置于容易被盗的地方。B)用户不得将令牌与便携式计算机置于同一包中C)用户应选择完全随机且没有重复数字的PIN。D)用户不应将PIN写下来。答案:D解析:A.如果没有个人识别码(PIN)，对令牌进行访问毫无价值:二者缺一不可。B.如果没有PIN，对令牌进行访问毫无价值;二者缺一不可。C.只要PIN足够机密，便不需要是随机的。D.如果用户将PIN记录在纸条上，则能获取到令牌、这张纸条以及计算机的任何人都可以访问公司网络。令牌和PIN是一种双因素身份认证方法。[单选题]19.公司XZ已将生产支持外包给在另一个国家的服务提供商ABC。ABC服务提供商的工作人员通过互联网远程连接到YZ的生产支持网络.以下哪一项能够最有效地保证只有经过授权的ABC用户能够通过互联网连接为XYZ提供服务支持?A)单点登陆身份认证B)密码复杂性要求C)双因素身份认证D)互联网协议(IP)地址限制答案:C解析:A.单点登陆身份认证提供系统资源的单一访问点。它不是这种情况下的最佳答案。B.尽管密码复杂性要求有助防止未经授权的访问，双因素身份认证是这种情况下更有效的控制。C.双因素身份认证是提供安全连接的最佳方法，原因在于它使用双因素，通常是?您有什么?(例如生成一次性密码的设备)、?您是谁?(例如生物特征)或?您知道什么?(例如个人识别号码PIN或密码)。只使用密码而不使用上述1个或多个其他因素不是这种情况下的最佳答案。D.互联网协议(IP)地址始终可以被更改或仿冒，因此不是上述情景的最佳身份认证方式。[单选题]20.当应用程序开发人员想要使用前一天的生产交易文件副本来做容量测试时，IS审计师的主要担优是A)用户可能更愿意在测试时使用编造的数据。B)可能导致敏感数据遭到未经授权的访问。C)错误处理和可信度检查可能得不到全面验证。D)未必能测试新程序的全部功能。答案:B解析:A.生产数据更易于用户在比较时使用。B.除非数据经过清理，否则将有泄露敏感数据的风险。C.存在之前的生产数据可能不会测试出所有的错误例程的风险;但这没有泄露敏感数据的风大D.使用生产数据的副本可能测试不了全部功能，但这没有泄露敏感数据的风险大。[单选题]21.以下哪项是由于对数据和系统的所有权定义的不足产生最大的风险？A)用户管理协调不存在B)特定用户责任不能成立C)未经授权的用户可以访问，修改或删除数据D)审计的建议可能无法实现答案:C解析:如果没有一个明确的策略谁具备了授予访问特定系统的责任，就会增加风险，即某人可以获得系统的访问权当他们不应该得到授权时。通过分配授权访问到特定的用户，有一个更好的机会就是业务目标将得到适当的支持。[单选题]22.某公司和外部咨询公司签约实施商业金融系统以替换现存的自开发系统。在审核提交的开发文档时，下面哪一项最值得重视？A)由用户来控制验收测试B)质量控制计划不是合同的一部分C)在初步实施时不包括所有的商业功能D)原型法被用于确保系统符合商业需求答案:A解析:质量计划是所有项目的一项基本要素。这是至关重要的，该合同供应商须出示这样的一个计划。建议的开发合同的质量计划应当是全面的，涵盖了开发的各个阶段，并且包括哪些业务功能将被纳入以及何时（实现）。通常是由用户方面来接受，因为他们必须确信该新系统将满足他们的需求。如果系统是大型的，逐步使用系统的办法是一个合理的做法。原型是一个有效的方法，确保该系统将满足业务需求。[单选题]23.对生物识别系统的运行情况进行审查期间，IS审计师首先应审查的阶段是：A)注册。B)识别。C)验证。D)存储。答案:A解析:生物识别设备的用户必须首先在该设备上注册。该设备科获取人类的身体或动作图像，并识别独特的特征，然后使用算法将其转换成以模板形式存储的一串数字，以便用于匹配过程。[单选题]24.对服务提供商进行审计时，IS审计师发现，该服务提供商已将部分工作外包给了其他提供商。由于此工作涉及到机密信息，因此，IS审计师应当首先考虑:A)有关保护信息机密性的要求可能会受到损害。B)合同有可能被终止，因为事先未获得外包商许可。C)提供部分外包工作的其他服务提供商不需要接受审计。D)外包商将直接与其他服务提供商进行接触，以便进一步开展工作。答案:A解析:A.许多国家均制定了相关法规，用来保护本国维护的或与其他国家交换的信息的机密性。当服务提供商将部分服务外包给其他服务提供商时，有对信息的机密性造成危害的潜在风险。B.因违反合同条款而终止合同可能是个问题，但与确保信息的保密性无关。C.外包商不需要接受审计可能是个问题，但与保证信息的保密性无关。D.外包商直接与其他服务提供商进行接触以便进一步开展工作，这丝毫不是IS审计师需要关心的问题。[单选题]25.IS审计师获取充分和合适的审计证据的最重要的原因是：A)遵从法规的要求B)提供推导出合理结论的基础C)确认完整的审计内容D)根据定义的范围执行审计答案:B解析:IS审计的范围由目标来定义。它包括确定与审计范围相关的控制不足。获取充分和合适的证据有助于审计员确定、记录并控制不足之处。遵从法规要求、确认审计内容和执行审计都与审计有关但不是需要充分和相关证据的原因。点评：审计证据是用来得出审计结论的[单选题]26.流程所有权分配在系统开发项目中至关重要，原因是它:A)利于跟踪开发完成的百分比。B)优化用户验收测试(UAT)案例的设计成本。C)最大限度缩小需求与功能之间的差距。D)确保系统设计基于业务需求。答案:D解析:A.流程所有权分配不具备跟踪交付成果完成百分比的功能。B.是否优化测试案例的设计成本不取决于流程所有权的分配。它具有一定程度的帮助:但测试案例的设计涉及许多因素。C.为最大限度缩小差距，需部署和应用具体的需求分析框架;然而能够导致系统功能不满足需求的差距可能在设计和竣工的系统之间发现。这将在用户验收测试(UAT被识别。流程所有权本身并不具备度缩小需求差距的能力。D.流程所有者的参与将确保系统功能根据业务流程的要求来设计。流程所有者必须在设计上签字认可，然后才能开始开发。[单选题]27.对一个使用?系统开发生命周期?方法的项目而言，其阶段和提交件应该在下列哪个时候决定？A)在项目启动计划阶段B)在早期计划完成后，在实际工作开始之前C)整个工作过程中，基于风险和暴露问题的D)只有在所有风险和暴露问题被确认及信息系统审计员建议合适的控制后答案:A解析:在项目的最初阶段对项目进行适当的计划并确定特定的阶段和提交件是非常重要的。[单选题]28.在减少开发成本和确保项目的质量情况下，以下哪项管理技术可以使企业快速开发战略上的重要系统：A)功能点分析B)关键路径法C)快速应用程序开发D)项目评审技术答案:C解析:RAD是一种管理技术用于组织快速开发战略上的重要系统，在减少开发成本和确保项目的质量情况下。PERT和CPM是计划控制技术，而功能点分析师用于建立复杂的业务应用开发的一种控制技术，用于评估项目的复杂度。点评：开发战略性的项目--RAD[单选题]29.某保险公司对经常应用的数据进行断点打印拷贝，使有关人员可在主机文件中获取这些数据，经过授权的用户可以将数据子集下载进入电子数据表程序，这种提供数据存取途径方法的风险是：A)复制文件可能没有得到同步处理；B)数据片断可能缺乏完整性；C)数据处理的进行可能缺乏成熟；D)数据的普及性。答案:B解析:提供数据存取途径方法的风险：数据片断可能缺乏完整性。不缺乏普及性、成熟性；得到同步处理。[单选题]30.以下哪项对数字认证生命周期进行管理，以确保与电子商务有关的数字签名应用程序中存在足够的安全性和控制？A)注册机构B)认证颁发机构（CA）C)证书撤销清单（CRL）D)认证实施细则答案:B解析:CA维护数字认证的目录，以供认证的接收者参考。它管理认证的生命周期，包括认证目录的维护以及证书撤销清单的维护和发布。选项A不正确，因为注册机构是可选实体，负责与注册最终实体（CA颁发的认证的主体）相关的管理任务。选项C不正确，因为CRL是一种工具，用于检查CA负责的认证的持续有效性。选项D不正确，因为认证实施细则是一套管理认证颁发机构运营的详细规则。[单选题]31.检查用户的生物特征识别身份认证系统的IS审计师证明存在一种控制弱点，该弱点允许未授权用户更新服务器上用于存储生物特征识别样本的集中式数据库。在以下选项中，哪一项是针对此风险的最佳控制描施A)KerberosB)有效性检测C)多模式生物特征识别D)前/后图像记录答案:A解析:A.Kerberos是一种用于客户端服务器应用程序的网络身份认证协议，用于将数据库的访问权限限制为授权的用户。B.有效性检测会尽力保证提供生物特征识别的用户是?健在?的，而不仅仅是生物特征识别值的图像或照片。C.多模式生物特征识别综合使用多种生物特征识别方法来验证用户的身份。如果攻击者能够访问生物特征识别模板，使用多个模板也不是一种有效的控制。D.数据库交易的前/后图像记录是检测性控制，与Kerberos这种预防性控制刚好相反。[单选题]32.以下哪个流程能够最有效地检测到将非法软件包加载到网络上的这一行为?A)使用无盘工作站B)定期检硬盘C)使用最新的防病毒软件D)违反规定便立即解雇的政策答案:B解析:A.无盘工作站作为预防性控制，在防止用户通过网络访问非法软件方面完全无效。B.定期检查硬盘对于发现加載到网络上的非法软件包最为有效。C.防病毒软件不一定能发现非法软件，除非该软件包含病毒。D.政策中是提出有关加载软件规则的预防控制，但无法检测实际发生情况。[单选题]33.以下哪些选项是CSO的日常职责？A)定期审查和评估安全策略B)执行用户应用程序和对软件的测试和评估C)对用户访问IT资源进行授权和撤销权限D)授权访问数据库和应用程序答案:A解析:一位首席安全官职能是确保企业安全策略和控制足以防止对企业财产未授权的访问，包括数据，程序以及设备。用户应用程序和其他软件的测试与评估通常是开发和维护职员的责任，对用户访问权限的授权和撤销通常是网管或数据管理员的职能。数据库和应用程序的访问授权是数据所有者的职责。[单选题]34.某金融服务企业设有一个小规模的IT部门，从而需要单个员工身兼数职。以下哪种做法带来的风险最大?A)开发人员将代码提升到生产环境中。B)业务分析人员编写相关需求并执行功能性测试。C)IT经理同时执行系统管理工作。D)数据库管理员(DBA)也执行数据备份。答案:A解析:A.如果开发人员能进入生产环境，则存在将未经测试的代码提升至生产环境中的风险。B.安全管理小组主要关注的是安全状况的管理，无法决定安全状况。C.在小规模的团队中，只要IT经理不同时参与代码开发，便允许其执行系统管理工作。D.执行数据备份可以是数据库管理员的部分职责[单选题]35.下面哪一种方式，能够最有效的约束雇员只能履行其分内的工作？A)应用级访问控制B)数据加密C)卸掉雇员计算机上的软盘和光盘驱动器D)使用网络监控设备答案:A解析:[单选题]36.在对异地备份存储库的备份和恢复进行审计时，下面哪个发现是信息系统审计员最关心的A)3个人拥有进入库房的钥匙B)纸质文档也保存于异地存储库C)保存于异地库的数据文件是同步的D)异地库位于单独的设施中。答案:A解析:选项A、是不正确的，因为超过1个人拥有到库房的钥匙可以保证负责异地备份库的人员可以休假和轮班。选项B、不正确，因为一名信息系统审计师不应该关注纸质文档是否存储在异地库。事实上，像程序性文档和应急计划副本这些纸质文档更应该存放在异地库。库房的所在地很重要，但没有数据文件的同步那么重要。[单选题]37.以下哪种情况最适合实施数据镜像作为恢复策略？A)灾难容忍度高B)恢复时间目标高C)恢复点目标低D)恢复点目标高答案:C解析:所谓恢复点目标指的是恢复数据可接受的最近状态。如果恢复点目标很低，那么数据镜像将被用作数据恢复策略；所谓恢复时间目标就是再难容忍度的一个指标，回复时间目标越低灾难容忍度也就越低。[单选题]38.下面哪一项攻击技术会因互联网防火墙的固有安全漏洞成功?A)对网站发送过量数据包B)网络钓鱼C)针对加密密码的字典攻击D)拦截数据包并查看密码答案:A解析:[单选题]39.数据库管理员（DBA）建议通过非规范化一些数据库（DB英文全称datA.base，数据库）来提高性能，这将导致：A)保密性丢失B)增加冗余C)非授权访问D)应用故障答案:B解析:在关系数据库中使用和设计一个规范化流程可以减少冗余，因此，非规范化就会增加了冗余。冗余在资源可用方面通常被认为能起到积极的作用，但在数据库环境下却被认为有着负面的影响，因为它需要进行额外的不必要的数据处理工作。非规范化由于一些功能原因有时是可以被推荐使用的，但它不应该引起保密性丢失、非授权访问或者应用故障。[单选题]40.支持安全评定／认证需要执行的保证任务，应在何时确定：A)在完成必要的修改之后。B)在用户验收阶段。C)在项目规划阶段。D)在制定了质量保证计划之后。答案:C解析:[单选题]41.要从网络攻击中恢复，以下哪项措施最重要?A)建立事故响应团队B)雇佣网络取证调查员C)执行业务连续性计划(BCP)D)保留证据答案:A解析:A.最好是在网络攻击之前就建立事故响应团队和流程。第一步是启动事故响应团队，遏制事故并保持业务的运转。B.当怀疑受到网络攻击时，应动用网络取证调查员来建立警报、抓获网络入侵者，并通过互联网对其进行追踪和跟踪。只有在确认事故后才可动用网络取证专家。C.从网络攻击中恢复时，最重要的目标是保持业务的运转，但大多数攻击不要求启动或使用业务连续性计划(BCP)。D.企业的主要目标是保持业务运行。在非刑事调查中，这甚至可能导致证据丢失[单选题]42.对于灾难恢复计划(DRP)，管理层考虑了两种方案:方案A:两个月内完全恢复方案B:八个月内完全恢复。两种计划的恢复点目标相同。可以预计，计划B具有更高的:A)停机时间成本B)继续运营成本C)恢复成本。D)穿行性测试成本。答案:A解析:A.由于管理层在方案B中考虑了较长的恢复时限，因此该方案中包含的停机时间成本可能较高。B.由于方案B的恢复时间较长，因此，继续运营成本成本应该会较低。C.由于方案B的恢复时间较长，因此，恢复成本应该会较低。D.穿行性测试成本不属于灾难恢复的一部分。[单选题]43.以下哪种为控制自我评价方法的属性？A)广泛的利益相关者的参与B)审计师为主控分析C)有限的雇员参与D)策略驱动答案:A解析:控制自我评价（C、SA、）方法强调管理和问责制为发展和监督组织的业务流程。C、SA、的属性包括雇员授权、持续改进、广泛的员工参与管理和培训，所有这些都代表了广泛的利益相关者的参与。选B、C、D、是传统审计方法的属性。[单选题]44.如下哪个是社交工程攻击？A)逻辑炸弹B)木马C)包重放D)网络钓鱼答案:D解析:网络钓鱼是通过用户是电子邮件或者文本信息欺骗他们暴露个人信息的一类社交攻击。逻辑炸弹和木马是恶意代码的变种不是社交攻击。包重放是在网络上的主动攻击，不是社交攻击。[单选题]45.从控制角度来说，对信息资产进行分类的主要目标是：A)为应分配的访问控制等级建立准则。B)确保将访问控制分配到所有信息资产。C)在风险评估中为管理人员和审计师提供帮助。D)识别需要根据损失进行投保的资产。答案:A解析:信息在满足业务目标方面具有不同程度的敏感性和重要性。通过将敏感性和重要性的类别或等级分配给信息资源，管理人员可以为应分配的访问控制等级建立准则。最终用户管理人员和安全管理员将在各自的风险评估过程中使用这些分类，据此为每份资产分配一个给定的类别。[单选题]46.要确保数据库管理员(DBA)遵守企业数据管理的职务要求，以下哪项是有效的预防性控制?A)例外报告B)职责分离(SoD)C)审查访问日志和活动D)管理部门监督答案:B解析:A.例外报告属于检测性控制，用于指示何时在无授权的情况下执行数据库管理员(DBA)活动。B.适当的职责分离(SoD)可以将DBA的活动限制为由数据拥有者授权的活动。SoD可通过要求一个以上的人参与完成任务，以限制DBA所能进行的活动C.审查访问日志是为了检测DBA进行的活动。D.管理部门监督DBA活动是为了检测哪些DBA活动未获得授权。[单选题]47.以下哪个选项是针对网络的被动攻击?A)消息修改B)伪装C)拒绝服务(DoS)D)流量分析答案:D解析:A.消息修改包括获取消息、执行未授权的更改或删除、更改顺序或延迟已获取消息的传输。修改数据的攻击是主动攻击。B.伪装是一种主动攻击，这种情况下入侵者使用的身份并非其原始身份。C.拒绝服务(DoS)仅在连接到互联网的计算机被必须处理的数据和/或请求淹没时才会发生。它是一种主动攻击D.入侵者可通过确定特定主机之间的流量性质(流量分析)，推测出通信的类型[单选题]48.在评估企业IT项目组合的优先级是否适当时，什么应是信息系统审计师的最重要考虑事项？A)成本效益分析结果B)企业的IT预算C)业务影响分析（BIA)D)企业的业务计划答案:D解析:[单选题]49.在审查敏感的电子版工作底稿，IS审计师注意到它们没有被加密。这可能会危及到A)工作底稿版本管理的审计轨迹。B)审计阶段的批准。C)对工作底稿的访问权限。D)工作底稿的机密性。答案:D解析:A.审计轨迹自身不会影响机密性，却是要求加密的部分原因。B.审计阶段的批准自身不会影响工作底稿的机密性，但是是要求加密的部分原因。C.对工作底稿的访问权限应仅限于工作需要的人员，但是没有加密会破坏工作底稿的机密性，而不是对工作底稿的访问权限。D.通过加密的方式可保证电子版工作底稿的机密性。[单选题]50.在以下哪个系统开发阶段准备用户接受性测试计划？A)可行分析B)需求定义C)实施计划D)实施后检查答案:B解析:在需求定义期间，项目小组将会与用户定义他们准备的目标和功能性需求。此时用户应当与项目小组合作、考虑系统功能确保满足他们的需要并且整理在案。可行性分析对于用户的充分参与过早，实施计划和实施后检查阶段相对过晚。IS审计师应当知道计划的用户测试点以确保最有效果和效率的。点评：需求阶段准备UAT计划，v型模型[单选题]51.以下哪一项发现应是在审计IT治理和管理的过程中的最大担忧？A)该企业的做法不符合国际IT控制标准B)业务战略委员会会议上无IT代表人员参加C)未记录IT战略开发流程D)未设首席信息安全官（CISO）职位答案:B解析:[单选题]52.整合性测试（ITF）被认为是一种有效的审计工具，这是因为？A)在应用控制审计中是一种成本有效的方法B)使用财务和信息系统审计师集成他们的审计测试C)将处理输出结果和独立计算出的数据相比对D)向信息系统审计师提供了一种分析大量信息的工具答案:C解析:整合性测试之所以被认为是一种有效的审计工具是因为它可以使用相同的程序来比较处理输出结果和独立计算出的数据。这包含了在应用系统中建立虚拟实体，并依靠该实体来处理测试数据和生产数据以验证处理的准确性。点评：ITF的概念[单选题]53.在对资料中心进行审计时,审计师应当检查电压调整器是否存在,以保证:A)保护硬设备免受浪涌损害B)如果主电力被中断,系统的完整性也可以得到维护C)如果主电力被中断,可以提供实时的电力供应D)保护硬设备不受长期电力波动的影响答案:A解析:[单选题]54.某小型公司无法隔离开发流程与变更控制职能之间的职贵。确保经过测试的代码与转入生产的代码完全一样的最佳途径是什么?A)发布管理软件B)手动代码比对C)生产前回归测试D)管理层批准变更答案:A解析:A.自动化发布管理软件可以通过无需任何手动干预将代码转入生产，防止未经授权的变更B.手动代码比对可以检测是否已将错误的代码转入生产;但代码比对无法防止移植代码，这种控制不如使用发布管理软件。此外，手动代码比对并非总是有效，并且需要高技能人才C.回归测试确保变更不破坏当前的系统功能，或无意间覆盖先前的变更。回归测试无法防止将未经测试的代码转入生产。D.尽管管理层应当审批每一项生产变更，但批准无法防止将未经测试的代码移植到生产环境之中。[单选题]55.下面哪项能最好地保护连接到互联网的计算机免受黑客攻击？A)远程访问服务器B)代理服务器C)个人防火墙D)密码生成令牌答案:C解析:个人防火墙是防止黑客攻击的最好方法，因为可通过规则对防火墙进行定义，这些规则描述了允许或不允许的用户或连接类型。可以通过互联网对远程访问服务器进行映射或扫描，这会产生安全漏洞。代理服务器能基于互联网协议(IP)地址和端口提供保护：然而，要做到这一点，个人需要很深的专业知识．并且应用程序能够将不同端口用于其程序的不同部分。密码生成令牌可帮助加密会话，但不能保护计算机免受黑客攻击。[单选题]56.生物测量系统的精确度指标是:A)系统响应时间B)注册时间C)输入文件的大小D)误接受率答案:D解析:对于生物测量解决方案有3个主要的精确度指标:错误拒绝率(FRR)，交叉错误率(C、ER,又称等同错误率EER)及错误接受率(FAR)。错误拒绝率是指合法用户被错误拒绝的频率。错误接受率是指非法用户被错误接受的频率。交叉错误率是指当FRR与FAR相等时的频率。A、和B、选项都是效率指标。[单选题]57.对有明确项目结東时间以及固定的测试执行时间的项目，以下哪一项是确保实现了充分的测试覆盖的最佳方法?A)根据重要性和使用频率对需求进行测试。B)测试覆盖率应限制在功能性需求之内。C)使用脚本执行自动测试。D)只重测缺陷修复，以减少所需的测试数量。答案:A解析:A.其思路是，通过专注于系统最重要的方面，并专注于用户可接受的由于缺陷所引发最大风险的领域，来使测试效用最大化。该方法的进一步扩展是，同时考虑需求的技术复杂程度，因为复杂程度会大缺陷的可能性。B.仅测试功能要求的问题在于，可用性和安全性等对系统整体质量非常重要的非功能性需求领域遭到忽略。C.通过执行自动化测试来提高测试效率是一个不错的想法。但是，就这种方法本身来说，它无法保证测试覆盖率的适当目标，因此不是一个有效的替代方案。D.仅重测缺陷修复会带来相当大的风险，因为这样将不会检测缺陷修复可能导致系统回归的实例(即在之前工作正常的系统的某些部分引入了错误)。因此，良好实践是在缺陷修复实施之后执行正式的回归测试[单选题]58.某审计师受邀参加一个关键项目的项目启动会议。该IS审计师的主要关注点应该是A)是否已分析项目的复杂性和风险B)是否已确定整个项目所需的资C)是否已确定技术交付成果D)是否已制定好外部各方参与项目所需的合同答案:A解析:A.要取得项目的成功，了解项目的复杂性和风险在整个项目中积极地对其进行管理至关重要。B需要的资源取决于项目的复杂C.此时确定技术交付成果太早D.不是所有的项目要与外部各方签订合同[单选题]59.对公司的最终用户计算系统EUC进行审计时，以下哪一项发现会是最大的关切?A)无法监控EUC审计日志和活动B)公司的IT系统安全性降低C)遵循的补丁流程不一致D)将错误引入财务报表答案:D解析:[单选题]60.一个数据库管理员检测到某些表有一个性能问题，这个问题可以通过非正规化来解决。这种情况会增加以下哪项风险？A)并发访问。B)死锁。C)非授权访问数据。D)数据完整性丢失。答案:D解析:规范化可以把数据结构中冗余的数据元素移除。关系数据库中禁用规范化将造成数据冗余和数据不一致及随之而生的数据完整性丢失的风险。死锁不会因为不规范化而产生。对数据库的访问由用户权限定义来控制的，而不受非规范化的影响。[单选题]61.组织在制定灾难恢复计划时，应该最先针对以下哪点制定A)所有信息系统流程B)所有应用系统流程C)信息系统经理指派的路程D)业务经理定义的流程优先级答案:A解析:业务经理应当在灾难前需要知道那些系统是关键的。业务经理的职责要求定义和维护一个计划。一旦灾难发生将没有足够的时间可用。信息系统和应用系统流程是用来服务于组织和帮助一般用户顺利完成他们的工作。[单选题]62.关于EDI下列说法哪个最正确？A)EDI对内部控制或外部控制没有影响。B)EDI减少内部控制。C)EDI加强内部控制。D)EDI对内部控制没有影响。答案:B解析:EDI对内部控制的影响是审核和批准的较少。[单选题]63.以下哪种方法是对分配给供应商员工的访客无线ID的最佳控制?A)分配一个每日过期的可更新用户IDB)采用一次性写入日志来监控供应商的系统活动C)使用类似于员工使用的用户ID格式D)确保无线网络加密得到正确配置答案:A解析:A.每日过期的可更新用户D是良好的控制方式，因为它能确保无线访问每天自动终止并且不会在未经授权的情况下被使用。B.尽管建议在供应商员工进行系统工作时监控供应商活动，但这是一种检测性控制，因而不如预防性控制强大。C.用户ID格式不会改变无线连接的总体安全。D.与无线网络加密相关的控制固然重要;但网络访问问题更加关键。[单选题]64.要确保生产源代码和目标代码同步，以下哪种控制最有效?A)版本间的源代码和目标代码比较报告B)用库控制软件限制对源代码进行的更改C)限制对源代码和目标代码的访问D)对源代码和目标代码的日期和时间戳进行审查答案:D解析:A.使用版本控制软件和比较源代码与目标代码是一个好的做法，但当源代码与目标代码是不同版本时，可能不会发现问题。B.所有的生产库都应通过访问控制加以保护，这样可保证源代码算改。但这不能保证源代码和目标代码是基于同一版本的。C.保护所有源代码和目标代码(即使在开发中)是一种良好实践。但这不能保证源代码和目标代码的同步。D.如果对源代码和目标代码的日期和时间戳进行审查，则可确保经过编译的源代码与生产的目标代码相匹配。这种方法能够最有效地确保已批准的生产源代码经过编译并且是正在使用的代码。[单选题]65.当发生灾难时，以下哪一项能保证业务交易的有效性A)从当前区域外的地方持续每小时1次地传送交易磁带B)从当前区域外的地方持续每天1次地传送交易磁带C)抓取交易以整合存储设备D)从当前区域外的地方实时传送交易磁带答案:A解析:保证所有交易的有效性的唯一办法就是实时传送交易到当前区域外的设备。选A或B不是实时的，所以不能包含全部交易。选C在外部区域不能保证有效性。[单选题]66.对涉及保密信息的政府项目的服务提供商进行IS审计时，IS审计师发现，该服务提供商已将部分IS工作外包给了其他分包商。以下哪个选项最能确保保护信息机密性的要求都得以满足?A)分包商的经理参加月度委员会会议B)管理层每周审查来自分包商的报告C)取得政府机构对外包合同的准许D)对外包给分包商的工作进行定期独立审计答案:D解析:A.委员会例行会议是监控委派任务的不错办法;但是，独立审查能够提供更好的保证B.管理层不应仅仅依赖分包商自己报告的信息C.取得政府机构的准许与保证信息的保密性没有关系。D.定期独立审计可合理保证没有违反信息保密性的要求。[单选题]67.如果一台便携式计算机丢失或被盗，管理人员最关注的是机密信息是否会暴露。要保护存放在便携式计算机上的敏感信息，下面哪一条措施是最有效的和最经济的？A)用户填写情况简要介绍B)签署确认用户简要介绍C)可移动资料存储介质D)在存储介质上对资料档案加密答案:C解析:[单选题]68.以下哪项确保了灾难事件中所有交易的可用性？A)每小时向异地站点提供交易数据磁带。B)每天向异地站点提供交易数据磁带。C)转存交易到多个存储装备。D)实时传输交易到异地站点。答案:D解析:确保所有交易的有效性的唯一途径是将交易信息实时传输到一个异地设备。选项A和B都不是实时的，不可能包括所有交易信息。选项C不能确保异地站点的可用性。[单选题]69.在应用开发过程中，结合了质量保证测试和用户接受测试。IS审计师在检测开发项目时最主要关注：A)增加维护B)测试没有适当的文档记录C)不适当的功能性测试D)延迟问题解决答案:C解析:质量保障测试和用户接受度测试结合的主要风险是功能测试可能不够恰当，选项ABD不如C重要。点评：功能性问题相较而言最为重要[单选题]70.某项审计需要使用总账(GL)数据。IS审计师被授予直接访问数据的权限，无需请求IT部门提据。这种方式的主要好处是什么?A)减少为审计提供支持的IT人工工时B)降低在提取过程中出错的可能性C)让审计部门拥有更大的灵活性D)更好地保证数据的有效性答案:D解析:A.尽管由IS审计师直接提取数据可以减少IT人员在支持审计方的工作量，但这种好处不及提高数据的有效性重要。B.出错的风险将会增加，因为IS审计师对内部数据结构和数据库方面的技术知识通常了解得都比较广泛，但不是特别详细。C.IS审计师在调整数据调取以满足各种审计要求时可能会有更大的灵活性;但这不是主要的好处D.如果由IS审计师提取数据，可以更好地保证提取标准不会妨碍所的完整性，从而收集到所需的所有数据。请求T部门提取数据可能会面临审计师应看到的异常情况被除掉的风险。此外，如果由IS审计师收集数据，则可以了解与各种数据表/要素相关联的所有内部参考,而这有助于揭示对确保整个审计活动的完整性和准确性至关重要的要素[单选题]71.下列哪项措施能够最有效地减少一个设备捕获其他设备信息包的能力？A)过滤器B)交换机C)路由器D)防火墙答案:B解析:交换机是最低级别的网络安全设备，向特定设备发送数据包，这将减少一个设备捕获其他设备信息包的能力；过滤器根据目标地址初步简单分离网络流量；路由器根据发送者地址、接受者地址和数据包类型，允许数据包可以或拒绝被访问；防火墙是计算机和网络设备的集合，用于限制信息流入或流出组织的一种设备。[单选题]72.以下哪一项可以提供最可靠的证据来表明离职员工对系统的访问权限已被及时终止?A)将离职表格与HR系统中的日期进行比较B)审查硬件资产返回表C)与主管面谈证实员工的数据得以立即更新D)将离职表格与系统操作日志记录进行比较答案:D解析:[单选题]73.IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统。与使用大型机相比，使用局域网和个人计算机所增加的风险，不包括哪一项？A)缺乏程序文件以确保完全捕捉数据。B)驻留在个人计算机上的数据安全性较差。C)数据处理的硬件使用故障所引发的问题。D)不完整的数据传输。答案:C解析:个人计算机有与主机相似的硬件组成。[单选题]74.对于为什么要将灾难恢复计划(DRP)中的非关键系统和业务持续计划(BCP)的测试集成在一起,以下哪项是最好的理由?A)确保DRP与业务影响分析(BIA)一致B)基础设施恢复人员可以得到业务问题专家的帮助。C)BCP可以假设存在DRP中并不存在的能力。D)为企业高级管理人员提供灾难恢复能力方面的知识。答案:C解析:A.灾难恢复计划(DRP)应与业务影响分析(BIA)保持一致，但这对为什么要将DRP中的非关键系统和业务持续计划(BCP)的测试集成在一起没有影响。B.基础设施恢复人员将侧重于恢复构成基础设施的各种平台，没必要让业务问题专家参与其中。C.BCP可以假设存在DRP中并不存在的能力，例如允许员工在发生灾难期间在家办公。但IT可能无法为这些能力提供足够的支持(例如，他们不能为大量在家办公的员工提供支持)。尽管非关键系统非常重要，但DRP中可以没有这些系统。例如，组织可能使用与内部系统之间没有接口的在线系统。如果使用该系统的业务功能属于关键流程，则应对该系统进行测试，但它可以不是DRP的一部分。因此，应将DRP和BCP测试集成在一起。D.尽管企业高级管理人员可能会对灾难恢复的好处感兴趣，但测试并不是完成这一任务的最佳方式。[单选题]75.对于有高恢复时间（RTO）要求的敏感系统，如下哪个恢复策略是最合适的？A)暖站B)热站C)冷站D)移动恢复站答案:C解析:对于容许有较长恢复期的高回复时间目标的敏感系统在可接受的成本上可以通过人工方式执行恢复。对于这样的系统冷站提供了成本效益最佳的解决方案。虽然一个暖站可以提供较好地解决方案，但它不是更适当的，因为与冷站相比更昂贵。热站通常使用在低恢复时间目标的关键应用系统上。移动恢复站不能提供冷站一样的成本效益并且它是不适用于高恢复时间目标的系统上。[单选题]76.当企业完成所有关键业务的业务流程重建（BPR）后，IS审计师最可能关注以下哪一项？A)业务流程重建前的业务流程图B)业务流程重建后的业务流程图C)业务流程重建计划D)持续改进和监控计划答案:B解析:IS审计师的任务是识别和确认关键控制被纳入到重建流程。选项A是不正确，因为IS审计师必须检查现在的流程而不是过去的流程。选项C和D也是不正确的，因为他们是业务流程重建的一个步骤。点评：BPR之后的结果是审计师最关注的[单选题]77.在某大型且复杂的组织中设计了一个新业务应用程序，并且业务主管要求基于?按需知密?原则查看各种报告。在以下访问控制方法中，哪项是实现该要求的最佳方法?A)强制访问控制B)基于角色的访问控制C)自主访问控制D)单点登陆(SSO)答案:B解析:A.基于强制访问控制(MAC)的访问控制系统很昂贵，且在大型复杂的组织中难以实施和维护。B.基于角色的访问控制根据岗位角色和职责限制访问，是只让被授权用户按需查看报告的最佳方法。C.自主访问控制(DAC)是由资源的所有人来决定谁可以访问其资源。多数访问控制系统都是DAC。该答案对于本情景不太具体。D.单点登陆(SSO)是用于管理对多个系统、网络和应用程序的一种访问控制技术。该答案对于本题目不太具体。[单选题]78.以下哪一项资料库管理员行为不太可能被记录在检测性控制日志中？A)删除一个记录B)改变一个口令C)泄露一个口令D)改变访问权限答案:C解析:[单选题]79.以一哪项功能应当由应用所有者执行，从而确保IS和最终用户的充分的职责分工？A)系统分析B)资料访问控制授权C)应用编程D)资料管理答案:B解析:[单选题]80.在小型组织内，充分的职责分工有些不实际，有个员工兼职作计算机操作员和应用程序员，IS审计师应推荐如下哪一种控制，以降低这种兼职的潜在风险？A)自动记录开发（程序/文文件）库的变更B)增员，避免兼职C)建立适当的流程/程序，以验证只能实施经过批准的变更，避免非授权的操作D)建立阻止计算机操作员更改程序的访问控制答案:C解析:[单选题]81.一项应用程序开发工作外包给了离岸供应商。以下哪个选项最令IS审计师关注A)合同中未包括审计权力条款B)未建立业务案例C)没有源代码第三方托管协议D)合同中没有包括变更管理流程答案:B解析:由于未建立业务案例，所以应用程序开发外包的业务理由、风险和风险管理缓解策略可能都无法得到高层管理人员的全面评估和正式批准。这种情况给组织带来的风险最大。没有审计条款、源代码托管或变更管理流程，这每一项都代表了对组织的风险；但它们都不像缺少业务案例的风险那样巨大。点评：业务案例需指明项目意义、成本、风险等信息，是项目方向的总体指导[单选题]82.信息系统审计师在检查一个软件报告时发现一个实例中，一个放在雇员办公桌的重要文件被外包的清洁员扔进了垃圾桶。以下哪项是审计员要建议的？A)应对组织和保洁机构实施更严格的控制B)不需要采取任何行动，因为这些事件并没有在过去发生过C)一个清洁办公桌策略应该被实施并严格强制在组织实施D)一个良好的对所有办公文件备案的策略应该得到实施答案:A解析:一个员工离开，其办公桌上有重要文件。清洁人员清除它可能会导致对业务造成严重影响。因此，审计师应建议严格控制本组织和外包机构。这类事件没有发生在过去，并不能减少其影响的严重性。实施和检测一个清洁桌面策略只是这个问题的一部分，与清洁机构签订保密协议，同时确保清洁人员在清洁过程中该做的和不该做的注意事项的教育，同时也应实行相应的管制。这里的风险不是数据流失，认识未授权数据源的数据泄露。备份策略并没有解决，未授权的信息泄露问题。点评：应该加强外包的信息安全管理[单选题]83.在下列哪一种风险管理方法中，分担风险是一个重要因素?A)转移风险B)容忍风险C)终止风险D)处理风险答案:A解析:A转移风险(例如购买保险)是一种分担风险的方式B.容忍风险是指接受风险，但不是分担风险。C.终止风险不涉及分担风险，因为组织已经决定终止与风险相关的流程。D.有几种处理或控制风险的方法，它们可能涉及降低或分担风险，但作为答案，这不如转移风险准确。[单选题]84.开发一个信息系统安全策略最终是谁的责任：A)信息系统部门B)安全委员会C)安全管理员D)董事会答案:D解析:通常情况下，设计信息系统安全策略是高层管理人员或董事会的责任。信息系统部门负责策略的执行，因为他们没有制订策略的权力。安全委员会在广泛的由董事会拟定的安全策略中也有职能。安全管理员负责实施，监督和执行的安全管理，建立和授权规则。点评：最终责任--董事会[单选题]85.某开发团队开发了一个面向客户的web应用程序，并且目前正在对其进行维护，该程序托管在其区办事处而不是中央数据中心。此方案中的最大风险是A)网站的附加流量将降低区域办事处的互联网访问速度。B)开发团队可能缺乏管理和维护被托管应用程序环境所需的专业知识和人员编制。C)区域办事处的火患检测及消防可能达不到主数据中心的水平。D)区域办事处可能没有充分保障web服务器安全的防火墙或网络答案:B解析:A.区域办事处互联网访问的风险没有web应用的不当配置和维护严重。B.维护重要的Web应用程序要求连续监视和维护，这通常由数据中心操作人员来执行，而不是由开发团队来执行。虽然系统开发人员能够执行计算机操作任务，但通常不能如计算机操作人员一样全天候在现场C.区域办事处数据中心的物理安全应足以保护其系统其中许多系统比We应用程序更加重要D.区域办事处可能确实没有适合托管、web应用程序的网络架构和基础设施但这只是开发团队尝试操作web应用程序相关的风险之一。[单选题]86.组织中的多个部门到商定的目标日期为止，尚未实施审计建议事项，谁应该解决这种情况?A)外部审计师B)高级管理层C)部门经理D)内部审计负责人答案:B解析:[单选题]87.以下哪一项面向对象的技术特征可以提高资料的安全级别？A)继承B)动态仓库C)封装D)多态性答案:C解析:[单选题]88.人力资源的副总要求审计师对去年工资单中的超额支付问题进行审查。以下哪项是适用于此情形下的最好的审计技术？A)测试数据B)通用审计软件C)整合性测试设施（ITF）D)嵌入式审计模块答案:B解析:通用审计软件的特点包括：算数量化计算、分层、统计分析、序列检查、重复性检查和验算。通过使用通用审计软件，审计师可以设计合适的测试方法来验算工资单，从而判断出是否存在超额支付的问题以及对哪些人进行了超额支付。测试数据可以对防止超额支付的控制的存在性进行测试，但通常不会发现以前的具体的错误计算。集成测试法和嵌入式审计模块也无法发现过去时间段中存在的错误。点评：GAS工具是用来进行数据对账的[单选题]89.审计章程应该是：A)动态且经常变更，与技术和审计专业的变化本质保持同步和一致B)清晰地说明审计目标、审计的委托关系，以及维护和审查内部控制中的授权职责C)为了取得计划的审计目标而制定的审计程序的文件D)对审计工作的整体授权、范围、职责的描述答案:D解析:审计章程应该说明管理层对于信息系统审计的委托授权及目标定位情况。审计章程应该获得最高管理层的审批，切不应该不停地改变。审计章程不应该过于细致，通常通常不包含详细具体的审计目标或审计程序。点评：审计章程（D）、审计委托书（B）的概念[单选题]90.IT战略计划如果缺少高级管理层的认定，最可能带来的影响是:A)缺少技术投资B)缺少系统开发的方法C)技术实施与组织目标不一致D)缺少技术合同控制答案:C解析:组织需要一个管理委员会来确保IT战略是支持组织目标的。如果缺少信息技术委员会或委员会不是由高管层组成，暗示着缺少最高管理层的认可。这种情况会增加IT战略和组织战略不一致的风险。[单选题]91.对于实施安全政策可问责（可追溯责任）非常重要。对于系统用户以下哪种控制在准确的可问责上最没有效果？A)可审计的要求。B)口令。C)识别控制。D)认证控制。答案:B解析:口令存在很多问题，容易被猜测，容易被哄骗，容易被窃取，容易被共享。最有效的准则可闻责控制包括：政策，授权机制，识别和认证控制，审计痕迹，审计。[单选题]92.在未受保护的通信线路上传输数据和使用弱口令是一种？A)弱点B)威胁C)可能性D)影响答案:A解析:弱点代表可能被威胁所利用的信息资源的特点。威胁是指造成损害信息资源的潜在的情况或事件。可能性代表的发生威胁的可能性，而影响代表结果，或是威胁利用弱点的结果。[单选题]93.在审查组织的IT治理流程时，IS审计师发现公司最近实施了IT平衡记分卡(BSC)A)关键绩效指标(KPI)未报告给管理人员，因此管理人员无法确定BSC的有效性。B)IT项目可能受到成本超支的影响。C)可能将误导性IT绩效指标提供给管理人员。D)IT服务等级协议(SLA)可能不准确。答案:C解析:A.如果绩效指标不可客观衡量，则最大的风险是将误导性绩效结