CISA考试练习(习题卷7)

试卷科目：CISA考试练习CISA考试练习(习题卷7)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.哪项控制措施是最好的检测入侵的措施A)用户身份和用户权限通过认证程序指派B)当计算机不活动超过一定时间，使用自动登出功能C)发生特定数量的失败尝试之后，自动登出系统启动D)登陆失败尝试，可以被安全管理员监测到答案:A解析:入侵是通过活动监测和对登陆失败的检查监测出来的。客户身份和客户的权限定义的是一个政策，不是一个控制措施。自动登出是用来防止访问不活动终端的一种方法，并不是检测控制。记录尝试登陆失败，是防止入侵的，而不是检测入侵的[单选题]2.信息系统审计师回顾组织的信息系统灾难恢复计划时应检验：A)每半年演练一次B)周期性回顾并更新C)经首席执行官(C、EO)认可D)与组织的所有部门负责人沟通答案:B解析:根据业务种类、系统和职员的变化情况，应在适当的时间间隔对计划进行回顾。否则，计划将会过期或不再适用。计划应该得到正规的测试，但下次测试期间应根据组织的种类和信息系统的相对重要性来决定。不同的环境适当的时间间隔是三个月或一年。虽然灾难恢复计划应该得到高级管理层的批准，但不必要由C、EO批准，可以由具有相等的或更恰当的其他执行官批准。和整个组织的商业连续性计划一样，信息系统灾难恢复计划是技术文档且仅与信息系统和通信人员有关。所以答案应为：B、[单选题]3.当信息系统审计师评估一个高可用性网络的恢复能力时，如发生下列情况应最为关解析：A)设备在地理位置上分散B)网络服务器位于同一地点C)热站就绪可以被激活D)网络执行了不同行程答案:B解析:网络服务器群集安装在同一个地点的设置，会导致整个网络的脆弱性，形成灾难或其他的破坏性的事件。在一个站点被损坏的时候，分布式的地理位置和分布的路由设置可以提供备份。在单点故障时，热战也是一个很好的替代性方案[单选题]4.以下哪项表示两家公司之间签订的灾难恢复互惠协议所带来的最大风险?A)开发系统可能会导致硬件和软件不兼容。B)必要时资源不可用。C)无法测试恢复计划。D)这两家公司的安全基础架构可能不同。答案:A解析:A.如果其中一家公司更新其硬件和软件配置，可能意味着该公司的系统与协议中另一方的系统不再兼容。也就是说，在发生灾难后，任何一家公司都无法使用另一家公司的设施来恢复其处理系统。B.必要时资源不可用是所有互惠协议中存在的固有风险，但这是合同问题而不是最大的风险。C.可通过纸上穿行对该计划进行测试，也可以通过公司之间的协议进行测试。D.安全基础架构不同虽然也是一种风险，但可以克服。[单选题]5.规划网络设置的计时，IS审计师应优先获得以下哪个网络文档?A)接线图和概要图B)用户列表和职责C)应用程序列表及其详细信息D)备份和恢复程序答案:A解析:A.网络的接线图和概要图对于执行网络审计来说必不可少。IS审计师需要知道网络中使用了什么设备、配置和导址规则，才能对网络设置进行审计。B.对网络设置进行审计时，用户列表没有价值。C.审计网络配置不需要应用程序列表。D.备份和恢复程序很重要，但不如了解网络布局重要。[单选题]6.组织在完成其所有关键运营的业务流程再造(BPR)后，IS审计师最有可能重点审査:A)BPR之前的流程图。B)BPR之后的流程图。C)BPR项目计划。D)持续改进和监察计划。答案:B解析:A.IS审计师必须按照当前(而不是过去)的情况查过程。B.IS审计师的任务是确认井确保关鍵控制已集成到重组过程中。C.业务流程重组(BPR)项目计划是BPR项目内的一步。D.持续改进和监察计划是BPR项目内步骤。[单选题]7.哈希和加密之间最大的区别在于哈希:A)．不可逆转B)．同原始数据的输出长度相同C)．同安全性和完整性相关D)．在发送和接收端是相同的答案:A解析:哈希的工作方式:通过哈希算法获得报文哈希/摘要（A、messA、gehA、sh/D、igest）。如果是通过同样的哈希算法获得的报文摘要，它将不会影响原始数据。因此，哈希是不可逆转的，而加密是可逆转的。这是哈希和加密之间最本质的区别。哈希产生的输出比原始数据小，加密产生的输出同原始数据长度相同。哈希用来验证信息的完整性并不解决安全性。同样的哈希算法被用于在发送和接收端产生和验证报文哈希/摘要。加密不需要用同样的算法在发送和接收端加密和解密。[单选题]8.在不熟悉领域从事审计时，IS审计师首先应该完成的任务是：A)为涉及到的每个系统或功能设计审计程序B)开发一套符合性测试和实质性测试C)收集与新审计项目相关的背景信息D)安排人力与经济资源答案:C解析:[单选题]9.一个入侵检测系统应该首先报告可疑的网络入侵给？A)信息安全人员B)网络管理员C)信息系统审计员D)监察员答案:A解析:信息安全员和他的团队的一个重要责任是监视网络。选项B是不正确的，因为网络管理员是管理网络的。信息系统审计员没有安全监视责任。监督员角色是确保企业运行是合法的和在指导方针下的。监督员通常是不被包括在IT问题处理中的，例如监视网络。[单选题]10.为保护语音lP(VoIP)基础设施免受拒绝服务(DoS)攻击，最重要的是保护:A)访问控制服务器。B)会话边界控制器。C)主干网关。D)入侵检测系统(IDS)。答案:B解析:会话边界控制器提高访问网络和核心部分的安全性。在访问网络中，该控制器隐藏用户的真实地址，并提供一个受管理的公共地址。可以对此公共地址进行监控，从而最大限度地减少扫描和DoS攻击的机会。会话边界控制器在维护防火墙效能时，允许对防火墙之后的客户端进行访问。在核心部分中，会话边界控制器保护用户和网络。该控制器隐藏网络拓扑和用户的真实地址，也可以监控带宽和服务质量。保护访问控制服务器、主干网关以及IDS不会有效防止DoS攻击。[单选题]11.什么类型的软件应用测试被认为是测试的最后阶段，并且通常包括开发团队之外的用户？A)Alpha测试（Alpha测试由用户在开发者的场所进行，并且在开发者对用户的?指导?下进行测试）B)白盒测试（白盒测试也称结构测试或逻辑驱动测试，它是按照程序内部的结构测试程序，通过测试来检测产品内部动作是否按照设计规格说明书的规定正常运行，检验程序中的每条通路是否都能按预定要求正确工作。这一方法是把测试对象看做一个打开的盒子，测试人员依据程序内部逻辑结构相关信息，设计或选择测试用例，对程序所有逻辑路径进行测试，通过在不同点检查程序的状态，确定实际的状态是否与预期的状态一致）C)回归测试（回归测试是指修改了旧代码后，重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误。自动回归测试将大幅降低系统测试、维护升级等阶段的成本）D)Beta测试（贝塔测试）答案:D解析:Beta测试时测试的最后阶段，通常包括开发领域之外的用户。Beta测试是用户接受测试的一种形式（UAT测试），且通常包括有限外部开发工作用户。Alpha测试是Bata测试之前的一个测试阶段，通常由程序员和业务分析师完成，而不是用户。Alpha测试用来识别bug或者故障，这些bug和故障可以在外部用户开始beta测试之前被修正。白盒测试被用来评估软件程序逻辑的有效性，测试数据被用来确定被测试的程序的程序正确性。换句话说，这只是程序操作的想象方法，不在功能级别上。白盒测试通常不包括外部用户。回归测试是重新运行一部分测试场景已确定修改或修正没有引入其他错误的过程。换句话说，多次成功的程序修改后运行相同的测试数据以确保一个问题的?补丁?没有破坏程序的其他部分。回归测试不是测试的最后阶段，通常也不包括外部用户。点评：几种测试类型的概念[单选题]12.下列哪一项是采用原形化的好处A)已完成的系统自身就有很强的内部控制B)原型系统能够明显地节省时间和费用C)原型系统中的变更控制经常没那么复杂D)这样能确保功能性的或者额外的东西不会被加入到已经定型的系统中答案:B解析:原型系统能够提供明显的时间和花费节约，然而，还有很多不足，经常没有足够的内部控制，变更控制变得非常复杂，经常导致功能或者额外的东西被加入到尚未开始定型的系统中[单选题]13.某个组织刚刚完成了年度风险评估。关于业务连续性计划，IS审计师应该建议以下哪个选项作为该组织的下一步骤?A)审查并评估业务连续性计划的充分性B)完全模拟业务连续性计划C)对员工进行与业务连续性计划相关的培训和教育D)通知业务连续性计划中的关键联系人答案:A解析:A.每当为该组织完成一次风险评估后，都应该审查业务连续性计划。B.业务连续性计划被认为适合该组织后，才应该进行模拟。C.业务连续性计划被认为已经适合该组织后，再进行员工培训。D.此时无需通知业务连续性计划的联系人。[单选题]14.在有完整性索引的关系型数据库中，以下哪一个KEY可以防止在用户表中删除一行，只要该行的用户数在顺序表中有一个特定的顺序A)外键B)主键C)次键D)公钥答案:A解析:在一个具有完整性关联的关系型数据库中，使用外键可以防止例如主键改变和记录被删除，在数据库中所导致的孤儿事件的发生。当客户行号被存储在顺序表中时，记录行在客户表中不可能被删除。主键工作在一张表中，因此本身并不能提供完整性关联关系。次键不是外键不能用于完整性关系检查。公钥涉及加密技术，不能用于完整性连接。[单选题]15.信息系统审计员发现在很多例案中用户名和密码是相同的，这是违反政策的。最佳的建议是？A)修改企业安全策略B)教育用户关于弱秘密的风险C)为了发现和修正，需要定期检查用户ID.和密码的匹配D)系统改变配置为使用强密码答案:D解析:最好的控制是在密码建立或改变时进行确认的预防性控制。修改企业安全策略和教育用户关于弱秘密的风险仅提供信息给用户，但是没有做任何强制性控制。为了发现和确保修正需要定期检查用户ID和密码的匹配是一个侦测控制。[单选题]16.在规划审计时，信息系统审计师在以下情况下依赖第三方提供商有关服务水平管理的外部审计报告被认为是可接受的?A)服务提供商经过独立认证和认可B)报告确认并没有违反服务水平C)范围和方法符合审计要求D)报告是在过去12个月内发布的答案:A解析:[单选题]17.IS审计师应最关注已授权蜜罐（honeypot）的哪个方面？A)有关攻击方法的数据收集B)提供给蜜罐上外部人员的信息C)蜜罐被用来对组织的基础架构发起进一步攻击的风险D)蜜罐遭受分布式拒绝服务攻击的风险答案:C解析:选项C所述的组织风险是指蜜罐可能被用作接入点对企业系统发起进一步攻击。选项A和B是部署蜜罐的目的，不是需要注意的问题。选项D中蜜罐可能遭受分布式拒绝服务（DDOS）攻击的说法并不贴切，因为蜜罐不是提供服务的关键设备。[单选题]18.信息系统审计师注意到多个应用程序运行在同一台服务器上。服务器的恢复时间目标（RTO）将是：A)基于应用程序中最长的RTOB)基于应用程序中最短的RTOC)基于各应用程序的RTO的平均值D)基于应用程序的关键性，与RTO无关答案:B解析:当多个应用程序运行在一个服务器上，服务器的RTO必须采用最关键的应用程序所需的RTO而决定，即最短的RTO。最长的RTO将被非关键的应用程序决定，即将不会帮助符合目标要求。平均值将会比关键应用程序的RTO高。关键应用程序通常拥有最短的RTO。[单选题]19.在审计企业资源规划(ERP)系统时，信息系统审计师发现一个应用程序的修补程序已应用至生产环境，对于信息系统审计师来说，最为重要的是核实:A)系统管理员的批准B)项目经理的批准C)信息安全负责人的批准D)信息资产所有者的批准答案:D解析:[单选题]20.在信息系统审计时，对于需要收集的数据的程序是基于以下哪项而决定的？A)重要信息及需求信息的可用性B)审计师对环境的熟悉程度C)被审计机构找到相关证据的能力D)审计项目的目的和范围答案:D解析:在信息系统审计时，对于需要收集的数据的程序是与审计项目的目的和范围直接相关的。一项目标和范围较窄的审计项目比起目标和范围较广的审计项目，通常需要收集相对较少的数据。审计范围一般不会受到信息获取的难易程度和审计师对环境的熟悉程度的限制。收集所需的证据是信息系统审计的必要步骤，审计范围同样不应受到审计机构查找相关证据的能力的限制。点评：审计的目标和范围决定证据收集的内容[单选题]21.专家系统的知识库使用问卷调查的方式引导用户做出一系列选择，直到得出结论，这样的方法被称为A)规则。B)决策树。C)语义网络。D)数据流图。答案:B解析:A.规则是指通过使用?若则?关系来表达陈述性知识。B.决策树使用问卷调查的方式引导用户做出一系列选择，直到得出结论。C.语义网络由一张以节点代表实体或概念对象并以弧来描述节点间关系的图形组成D.数据流图用于映射通过系统的数据进展，并进行检查逻辑、错误处理和数据管理。[单选题]22.以下哪个选项将能最有效地确保业务应用的离岸开发取得成功?A)执行严格的合同管理实务B)详细的并得到正确应用的规范C)了解文化和政策上的差异D)实施后审查答案:B解析:A.合同管理实务尽管很重要，但如果规范错误，则不能保证开发取得成功。B.涉及到离岸运作时，制定详细的规范是必不可少的。语言差异以及开发人员与地理位置较远的最终用户之间缺乏交流可能会造成沟通不足，导致无法充分传达相关的设想和修改意见。规范错误不容易改正C.文化和政策差异尽管很重要，但不会影响良好产品的交付。D.实施后审查尽管很重要，但在流程中对于保证项目的成功交付来说太晚，对确保项目成功的作用较小。[单选题]23.以下哪项采用X.509数字认证的企业公钥基础构架（PKI）和认证颁发机构（CA）的最重要职能？A)向电子邮件和文件空间使用的加密和签名服务提供公钥/私钥组。B)将数字认证及其公钥与单个用户的身份进行绑定。C)提供员工身份和个人详细的权威来源。D)提供对象访问的权威身份认证来源。答案:B解析:PKI主要用于确保受保护的数据或服务的来源合法。通过链接到数字认证/公钥来保证用户身份的有效性是十分严谨的。选A的错误原因是，虽然部分电子邮件应用程序依赖于PKI发布的认证来保证其不可否认性，但PKI并不向应用程序提供加密服务，CA通常也不创建用户私钥。选C的错误原因是，个人详细信息并不存储在PKI的组件中，也不由其提供。选D的错误在于，操作系统和应用程序内的身份认证服务可能基于PKI发布的认证，但PKI并不提供用于对象访问的身份认证服务。[单选题]24.交易处理系统与总分类账彼此交互。数据分析发现某些交易在总账中记录了两次。在管理层声明已实施系统修复后，信息系统审计师应建议什么以验证该接口将来是否正常工作？A)改进用户验收测试（UAT）B)执行定期对账C)进行功能测试D)确保系统所有者批准系统修复答案:B解析:[单选题]25.当终端用户在系统级别上（而不是通过应用程序）访问数据库时，最大的风险是用户可以：A)在没有审计轨迹的情况下直接对数据库进行未经授权的更改。B)利用系统查询语言（SQL）来访问信息C)远程访问数据库D)在未经身份认证的情况下更新数据。答案:A解析:拥有数据库的访问权限便可访问数据库实用程序，此时可在没有审计轨迹和不使用应用程序的情况下更新数据库。通过使用SQL只能对信息进行只读访问。在网络环境下，远程访问数据库不会造成任何影响。重要的是通过这次访问可能发生什么情况或执行哪些操作。在访问数据库时，通过用户ID来验证用户身份是非常必要的。[单选题]26.在处理过程中如下哪个选项能自动保证使用的数据文件是恰当的？A)包含文件头记录的内部标签B)惯用版本C)奇偶校验D)文件安全控制答案:A解析:文件头记录中的内部标签（包含文件头记录的内部标签）是正确答案，因为他为适当的数据文件是被使用并且容许自动检查提供了保证。惯用版本不是正确的，因为对于自动检查它不是必须的。它仅能帮助确保是正确的文件和版本。奇偶校验不正确，因为他是数据完整性校验方法，通常被使用在数据传输程序上。然而奇偶校验检查可以帮助确认数据和程序文件是被成功转移的。它不能帮助确认使用了适当的数据和程序文件。文件安全控制不正确，因为他们不能被使用确保适当的数据文件被使用并不容许自动检查。他们只能用于提供保证，未被授权的用户不能非法访问应用程序或者读取、更改数据。点评：见上面解释[单选题]27.以接收者的公钥加密可确保A)发送者的不可否认性B)发送者的真实性C)接受着的不可否认性D)消息只能由接收者读取答案:D解析:以接收者的公钥加密消息可以保证消息仅有接收者读取，接收者以其私钥解密。发送者的不可否认性通过发送者以其私钥对信息加密来实现。通过发送者以其私钥标记来实现真实性。不可否认性与发送者而非接收者相关。[单选题]28.从终端发出的电磁辐射意味着泄漏，因为他们:A)噪音污染的影响B)中断处理器功能C)产生电流危害D)能够被检测和显示答案:D解析:辐射能够被高级设备检测和显示出来，从而使未授权人员访问数据，它们不会导致C、PU中断或影响噪音污染。[单选题]29.灾难恢复重置团队的职责包括:A)获取，打包并发送介质和记录到恢复设备，同时建立并监视异地存储安排B)如果没有提前决定，安排一个恢复地点，协调运送公司职员到恢复点C)管理重置项目并执行一个设备损坏的详细评估D)协调从热点搬迁到新的地点或者原地点的工作答案:D解析:选项A、描述了一个异地存储团队，选项B、定义了一个运输团队，选项C、定义了一个抢救团队。[单选题]30.下列哪一项最有助于安排各项目活动的优先顺序和确定项目的时间线?A)甘特图B)挣值分析(EVA)C)计划评审技术(PERT)D)功能点分析(FPA)答案:C解析:A.甘特图是一种简单的项目管理工具，也有助于安排优先顺序，但是没有计划评审技术(PERT）有效B.挣值分析(EVA)是一种跟踪项目成本与项目交付成果之间关系的技术，但是对于安排任务的优先顺序却没有帮助。C.PERT方法的原则是，根据三种可能情况(最坏、最好、一般)下的项目事件划分出项目时间线。时间线是通过预先定义的公式进行计算得出的，用于确定关鍵路径，以确定必须优先执行的关键活动。D.功能指数分析(FPA)可用于衡量输入和输出的复杂程度，对安排项目活动的优先顺序没有帮助。[单选题]31.以下哪一项是创建防火墙政策的第一步?A)对保护应用程序的方法进行成本效益分析B)确定可被外部访问的网络应用程序C)确定与可被外部访问的网络应用程序相关的漏洞D)创建应用程序流量矩阵来说明保护方法答案:B解析:A.确定用于保护已发现漏洞的方法及其对比成本效益分析是第三步。B.应首先确定整个网络中需要的应用程序。确定完之后，根据这些应用程序在网络和网络的物理位置，负责人即可了解控制对这些应用程序的访问的需求和可行方法。C.确定可被外部访问的应用程序后，下一步是确定与网络应用程序相关的漏洞(弱点)。D.第四步是分析应用程序流量并创建矩阵说明如何保护各类流量。[单选题]32.IS指导委员会应该:A)包含来自不同部门和阶层中的混合的成员B)确保信息系统安全策略和流程已经恰当的被执行了C)有正式定期的会议，并且保持会议记录D)供应商在每次会议上简要介绍关于新的趋势和产品答案:A解析:保留详细记载信息系统指导委员会的决定和活动的会议记录是重要的，并且董事会应该会被及时的通知这些决定。选A、不正确，因为只有高层管理人员或高级别工作人员由于它的战略任务才能位于这个委员会中。选项B、不是这个委员会的职责，而是安全管理员的职责。D、选项是不对的，因为供应商只有在适当的时候才能被邀请参加会议。[单选题]33.在审核一个财务系统的时候，IS审计师怀疑发生了一个事故（攻击）。审计师首先应该做什么？A)要求关闭系统以保留证据B)向管理者报告事故C)要求立即暂停可疑的账户D)立即调查事故的来源和性质答案:B解析:向管理层报告可疑事故将有助于启动事件响应过程，这是最合适的行为。管理层有责任作出决策以采取合适的响应。在审计过程中，审计师不应对事件做出响应。其他的选项在事件响应中应由管理层指导所采取的行动。点评：审计师不能?要求?，?事故?作为紧急情况，应立刻上报[单选题]34.下列哪个原因能够最佳地描述强制休假政策的目的?A)保证员工能够适当地获得多种职能的交叉培训B)提升员工士气C)识别业务过程中的潜在错误或不一致情况D)作为一种节省成本的方法答案:C解析:A.保证员工能够适当地获得多种职能的交叉培训能够提高员工技能，有利于接任计划,但不是强制休假的主要目的。B.提升员工士气有利于缓解员工疲劳，但不是强制体假的主要原因。C.强制休假有助于发现潜在的舞弊或不一致情况。确保接触到内部敏感控制或流程的人员每年进行一次强制休假一般是监管的要求，最重要的是一种发现欺诈的良好方式。D.强制休假不一定是节省成本的方法，这要视企业的具体情况而定。[单选题]35.以下哪种抽样方法在符合性测试时最有用？A)属性抽样B)变量抽样C)分层单位平均估计抽样D)差额估计抽样答案:A解析:属性抽样是符合性测试的主要抽样方法、属性抽样是用于评估在一个群体中一种属性出现的比率和用于符合性测试确定属性是否存在的一种抽样方法。其他选项是用于实质性测试，涉及详细或数量测试。[单选题]36.下列哪种计划包括了大约3年的远景？【已经理解】A)日常计划。B)长期计划。C)运营计划。D)战略计划。答案:D解析:公司在战略计划中涉及3到5年的行动。[单选题]37.下列数据库管理员（DBA）进行的活动中，应该由不同的人执行？A)删除数据库活动日志B)数据库优化工具的使用C)检测数据库的使用D)备份和恢复定义的使用答案:A解析:由于数据库活动日志由数据库管理员（DBA)进行记录，删除它们应该由DBA以外的人员执行。这是一个补偿控制，有助于确保适当的职责分离，并与DBA的职责相关联。一个DBA应该把履行其他活动作为正常操作的一部分。点评：DBA不能动日志[单选题]38.以下哪种数据验证编辑能有效检测易位和抄写错误?A)范围检B)校验数字位C)有效性检查D)重复检答案:B解析:A.范围检查可检查数据是否符合预定的允许值范围。B.校验位是一个经过算术计算的数值，可将其附加到相应数据以确保原始数据不被更改(例如被不正确但有效的值替换)。此项控制在检测易位和抄写错误时非常有效C.有效性检查是根据预定标准检数据有效性的程序校验。D.在重复检查过程中，应将新交易与先前输入的交易进行匹配，以确保系统中不是已经包含这些交易。[单选题]39.一个工作于重要项目的技术领导离开了公司。项目经理报告了一台服务器上可疑的系统行为，该服务器全组可访问。如果这在一次司法调查中被发现，什么是最重点关注的？A)系统审计日志没有启用B)该技术领导的登录ID、仍然存在C)系统中安装了间谍软件D)系统中安装了一个木马答案:A解析:审计日志对于事件的调查是关键性的；然而，如果没有应用日志，技术领导的登录ID、和客户账户的滥用就不能被确定。技术领导的登录ID、应该在雇员离职时立即被删除，但是没有审计日志，该ID、的滥用很难被证实。安装在系统里的间谍软件应该被关注但是可能被任何用户安装，此外，没有日志，找到谁安装了该间谍软件也很困难。安装在系统里的木马应该被关注，但是它可能是任何用户所为因为所有组员都能够访问，并且，没有日志，调查将会很困难。[单选题]40.当审查组织业务持续计划时，IS审计师观察到组织的数据和软件文件被定期备份。这表明的是一个有效的计划的哪个特征？A)防御B)缓解C)恢复D)反应答案:B解析:有效的业务持续计划包括采取措施去缓解灾难所造成的影响。文档必须及时保存以保证备分计划有效。一个防御的例子是假话中包括了为信息系统安装防火墙，一个恢复的例子是计划中包括了组织的热站以恢复正常业务运转。[单选题]41.如果未对重要文件服务器中的存储增长进行适当管理，则以下哪一项是最大风险?A)备份时间将会稳步增加。B)备份操作成本将会显著增加。C)存储操作成本将会显著增加。D)服务器恢复工作不能满足恢复时间目标(RTO)。答案:D解析:A.备份时间可能会增加，但这是可以管理的。最重要的问题是恢复数据所需的时间。B.备份成本问题没有满足恢复时间目标(RTO)重要。C.备份和存储成本问题不像满足RTO那样重要。D.如果发生崩溃，则通过大量数据恢复服务器可能需要大量的时间。如果恢复不能满足RTO,则IT策略中将存在偏差。确保服务器恢复能够满足RTO十分重要。[单选题]42.以下哪一项是系统变更回滚计划的主要目的？A)确保存在必要时删除变更的步骤B)确保在实施变更之前存在备份C)确保系统变更有效D)确保在需要时可以重新执行测试答案:A解析:[单选题]43.在计划渗透测试时最重要的成功因素是：A)计划测试过程的文档B)计划和决定测试的时间长度C)客户组织管理层的参与D)参与测试的人员的资格和经验答案:C解析:客户组织管理层的参与是任何渗入试验最重要的规划部分。在许多司法管辖区，未经审批的渗透测试可以被视为非法的间谍活动。[单选题]44.某金融服务公司有一个小规模的IT部门，其员工身兼多职。下面哪一个行为带来的风险最大？A)开发者在生产环境中升级代码B)业务分析员编写相关需求并执行了功能测试C)IT经理同时兼任系统管理员D)DBA同时执行数据备份答案:A解析:如果开发人员能访问生产环境，则存在未经测试的代码会应用到生产环境中去的风险。在没有测试组的情况下，业务分析员经常做测试工作，是因为通过编写相关需求可以了解系统运行方面的详细信息。在一个小规模的团队当中，IT经理兼系统管理员是可以接受的，只要他不开发程序代码。选项D是不正确的，因为做备份是DBA的义务。[单选题]45.以下哪一项是对提供给供应商员工的访客无线ID的最佳控制A)分配每日过期的可更新用户IDB)采用一次性写入日志来监控供应商的系统活动C)使用类似于员工使用的ID格式D)确保无线网络加密得到正确配置答案:A解析:每日过期的可更新用户ID是最佳控制方式，因为它能确保无线访问不会再未授权的情况下使用。尽管建议在供应商员工进行系统工作时监控供应商活动，但这是一种检测性控制，因而不如预防性控制强大。用户ID格式不会影响任一中链接的整体安全性，因此不是正确答案。与无线网络加密相关的控制固然重要；但网络访问问题更加关键。[单选题]46.在IS战略审计中，以下那项是审计师考虑最不重要的？A)审核短期计划（1年）和长期计划（3到5年）。B)审核信息系统流程。C)访谈恰当的公司管理人员。D)确保考虑外部环境。答案:B解析:在审核IS战略时，流程的审核不是重要的。[单选题]47.当安装一个入侵检测系统时，以下哪一项最重要？A)安装于网络的适当位置B)防止拒绝服务攻击C)确定需要被隔离的信息D)拒绝错误最小化答案:A解析:入侵检测系统安装期间在网络中正确的定位是非常重要的结果。入侵检测系统不正确的安装将使网络关键区域失去保护。选项B、C、和D、涉及ID、S的配置，但如果ID、S未被安装正确，三个选项没有一个是充分的结果。[单选题]48.以下哪项技术可用于获取网络用户密码？A)机密B)嗅探C)欺骗D)数据破坏答案:B解析:嗅探是可用来获取流经网络的敏感信息（例如密码）的攻击。加密是将信息打乱的方法，用于防止未经授权的个人获取传输内容。欺骗是指伪造一个地址并将其插入到数据包中来伪造通信来源。数据破坏是指擦除信息或将其从原始位置删除。[单选题]49.某组织正通过实施新系统来替换旧系统。以下哪种转换方式可能带来最大的风险?A)试点B)并行C)直接切换D)分阶段答案:C解析:A.所有其余选项都是循序渐进式的，因此恢复能力更强，风险也就更低。试点实施是在单一地点或地区实施系统，然后在应用和实施计划被证明在试点地点运行正常后将系统推广到组织的其余部分B.并行测试要求新旧系统同时并行运行一段时间。这样可以发现新旧系统之间的任何问题或不ー致。C.直接切换指立即转换到新系统，在发生问题时通常不具备恢复到系统的能力。这是风险最大的方式，且可能对组织造成重大影响。D.分阶段的方式是按阶段或部分来实施系统ー因为一次只影响一部分，从而降低了整体的风险。[单选题]50.信息系统审计师受雇于评估电子商务安全。信息系统审计师的首要任务检查每个存在的电子商务应用来寻找脆弱性。下一个任务是什么？A)马上向C、IO和C、EO汇报风险B)检查开发中的电子商务应用系统C)识别威胁和发生的可能性D)检查风险管理的可用预算答案:A解析:信息系统审计师必须识别资产，寻找脆弱性，然后识别威胁和发生的可能性。选择A、B、和D、将与C、IO讨论，报告将发送给C、EO。报告将包括随着优先级和成本的审计发现。[单选题]51.IS审计师在核实某互联网服务提供商(ISP)是否遵循外包电信服务可用性的企业服务等级协议(SLA)时，以下哪种报告属于最合适的信息来源?A)由ISP生成的电信服务故障报告B)由企业生成的自动故障转移服务使用情况报告C)由ISP提供的带宽使用情况报告D)由企业生成的电信服务故障报告答案:D解析:A.由于被监督者和生成故障报告的信息服务提供商是同一主体。因此，有必要对比其他数据审查这些报告中是否存在偏差和/或错误。B.这些报告中的所述信息还可以间接表明后备电信服务的使用程度。在故障转移系统被使用过的情况下，还可说明对服务等级协议(SLA)的遵守情况。C.使用情况报告仅可用于测量带宽的利用率，而非正常运行时间D.企业应通过内部生成的故障报告来监测ISP提供的服务;如果ISP也提供了报告，还可将两个报告进行对比。[单选题]52.组织将报废许多笔记本电脑，下列哪项数据清理方法最有效?A)在所有硬盘上运行低水平的数据擦除程序B)删除全部数据文件目录C)格式全部硬盘D)物理破坏硬盘答案:D解析:最有效的方法是物理破坏。运行低水平数据擦除程序会留下一些残留的可恢复的数据，删除数据目录或格式化硬盘都能被轻易的恢复，这样所有的数据会暴露给未授权人。[单选题]53.当实施IT治理时，决定实施对象的优先级时,下列哪一项是最重要的考虑因素？A)过程成熟度B)绩效指标C)业务风险D)保证报告答案:C解析:应优先考虑代表企业风险的领域，过程成熟度、绩效指标及审计报告将纳入决策过程，业务高风险的领域应给予优先考虑。[单选题]54.信息系统审计人员在信息系统合规性审计中评估由互联网供应商运行的一个全国范围公司官方的程序服务时。如下哪个是最重要的？A)检查建议书B)检查ISP生成的月度执行报告C)检查服务水平协议D)研究ISP的其他用户答案:C解析:一个服务等级协议提供了充足的对提供商是否满足等级服务评估的基础。选项AB和D不是独立评估服务的基础。[单选题]55.如果高级管理层未针对IT战略计划承担相关义务，最有可能产生的影响是:A)缺少技术投资。B)缺少系统开发方法。C)技术与组织目标不一致。D)缺少技术合同控制。答案:C解析:A.缺少管理层的支持几乎肯定会影响投资，但主要损失是IT战略与企业战略缺乏协调。B.系统开发方法是一种与流程相关的职能，不是管理层主要关注的问题。C.应设立督导委员会来确保IT战略支持组织目标。没有信息技术委员会或由高级管理层组成的委员会，说明高级管理层未承担起相关义务。这种情况会增加IT与组织战略不一致的风险。D.合同审批是一种业务流程，可通过财务流程控制措施进行控制。合同控制在此不适用。[单选题]56.在审计通讯系统时，IS审计师发现远程站点间数据传输被拦截的风险非常高。能够降低这种风险的最有效控制是:A)加密B)回拨调制解调器C)消息的身份验证D)租用专用线路答案:A解析:数据加密是最安全的方法。其他方法安全性较低，专用通道可能是最不安全的方法。、[单选题]57.系统资源的命名规则对于访问控制非常重要，是因为它:A)确保系统资源名称不模糊B)减少资源保护必要规则的数量C)确保用户访问资源的权限能够明确且唯一识别D)确保国际认定命名规则用于保护资源答案:B解析:系统资源的命名规则对于安全控制的有效管理是非常重要的。要构造好命名规则，以便于那些用相同的高级限定词开头的资源能够用更多的通用的法则来管理。这将减少资源保护必要规则的数量，转而促进安全管理和维护工作。资源保护必要规则数量的减少考虑了对资源和文档按应用分组，这种方式使访问更容易。确保系统资源名称不模糊不能通过命名规则实现。确保用户访问资源的权限能够明确且唯一识别是通过访问控制法则而不是命名规则来实现。国际公认的命名不是资源的访问控制中必须的。命名规则主要关注每个组织如何标识自己的资源。[单选题]58.IS审计师正在审查一家大型公司的IT项目，并且想确定在指定年份实施的IT项目是否己被该企业指定为最高优先级的项目，以及是否会创造最大的商业价值。以下哪一项与之最紧密关联?A)能力成熟度模型(CMM)B)组合管理C)配置管理D)项目管理知识体系(PMBOK)答案:B解析:A.能力成熟度模型(CMM)对于确定最佳的资本项目组合没有帮助，因为它是用于评估组织内IT流程的相对成度的一种方法:从级别0(不完整-未实施流程或流程未达到目标)到级别5(优化一对指标进行了定义和衡量，并且具备持续的改进技术)。B.组合管理用于在对给定组织中的一组项目进行定义、确定优先级、批准和运行时提供帮助这些工具可用来获取数据、规划工作流和方案，这有助于从一整套构想来确定一组可在给定算内实施的最佳项目。C.配置管理数据库(用于存储组织系统的详细配置信息)是IT服务交付，特别是变更管理的重要工具。该数据库可以提供对项目优先级产生影响的信息，但并不用于此目的。D.PMBOK是一种对项目进行管理和交付的方法，不会在优化项目组合方面提供特定的指导或帮助。[单选题]59.在哪种情况下，web服务器的反代理技术应该被使用:A)http服务器地址必须被隐藏.B)对所有公开网页的加速访问是必需的C)故障忍耐的高速缓存是需要的.D)用户带宽是有限的.答案:A解析:反向代理的主要目的是隐藏内部的物理和逻辑结构以免被外部访问获得。这样完整的URL或URIs能够部分或完全的开放，却没有透露内部或DMZ服务器所提供的数据。这一技术可以使安全、性能和成本达到所要求的平衡。代理服务器缓存了一些数据，但通常无法缓存所有需发布的网页，因为这取决于WEB服务器所提供的信息类型。存取能力依赖于后端服务器的速度，如缓存。因此，如果没有其他条件，获取信息的速度无法保证，但虚拟化和隐藏内部结构的目的可以达到。如果速度是关键，不能使用反向代理（避免通过防火墙增加额外的延误，包括更多的服务器等）。由于有限的缓存限制，反向代理不合适较高容错能力的要求。反向代理服务器处理用户需求所使用的带宽与用户直接请求Hosts所用的带宽完全相同。[单选题]60.以下哪一项软件测试方法能够提供有关软件在现场环境中的性能最佳反馈?A)Alpha测试B)回归测试C)Beta测试D)白盒测试答案:C解析:A.Alpha测试通常只由软件开发组织内部的用户执行。Alpha测试通常涉及不包含最终产品的全部功能的软件版本，并且可能是一项模拟测试。B.回归测试用于确定系统变更是否向现有的功能引入新的错误C.Beta测试紧跟alpha测试，需要在外部用户的参加下接触现实世界。Beta测试是测试的最后阶段，需要将产品的Beta版本发送到独立的Beta测试点或免费提供给感兴趣的用户D.白盒测试用于评估程序逻辑的有效性。[单选题]61.在文件服务器中实施1级廉价磁盘冗余阵列(RAID)的主要目的是:A)实现性能提高。B)提供用户身份认证。C)确保数据的可用性。D)确保数据的机密性。答案:C解析:A.1级廉价磁盘冗余阵列(RAID)不能提高性能。它是向两个独立的磁盘写入数据。B.1级RAD与身份认证无关。C.1级RAD可提供磁盘镜像。写入一个磁盘的数据也会写入另一个磁盘。网络中的用户将访问第一个磁盘中的数据;如果第一个磁盘失败，第二个磁盘将会接管。该冗余可确保数据的可用性。D.1级RAD不能提供数据机密性。[单选题]62.什么是变更控制系统中最重要的部分？A)所有的变更都必须文档化和被批准。B)变更通过自动化工具来管理，防止人为访问。C)一旦变更失败，生产的备份被维护。D)通过测试和批准来确保质量。答案:A解析:A是变更控制的重点所在。B是可选的，CD是日常管理维护。[单选题]63.以下哪项是进行实施后审查的主要目的?A)确保项目资源得到优化B)对照项目的预计成本,计算其实际成本C)确保项目交付物得以按时交付D)确定项目是否实现了预期效益答案:D解析:[单选题]64.企业将其技术支持职能（helpdesk）外包出去，下面的哪一项指标纳入外包服务等级协议（SLA）是最恰当的？A)要支持用户数B)首次请求技术支持，即解决的（事件）百分比C)请求技术支持的总人次D)电话响应的次数答案:B解析:[单选题]65.检查硬件维护程序。审计师应该评估是否:A)所有未计划的维护都按照时间表维护了B)和历史趋势相一致C)已经被信息系统委员会同意D)与供应商陈述的程序是否一致答案:D解析:尽管维护需求随复杂性及工作负荷的不同而不同，硬件维护计划与符合厂商提供的说明书一致。因业务原因，组织可以选择多于厂家的维护程序。维护程序应当包括维护历史、计划的、未计划的，执行的、例外的。未计划的维护不可能被列入计划表。硬件维护程序不需要与历史趋势吻合。维护计划通常也不是被信息系统委员会批准。[单选题]66.以下哪项操作在作业高峰时期会导致意外停机？A)执行数据迁移或磁带备份。B)执行电气系统的预防性维护。C)把应用从开发环境推广到分期生产环境。D)更换数据中心的核心路由器上的故障电力电源。答案:B解析:选择A和C是有可能影响性能的事件，但不会导致停机，企业级路由器有冗余热插拔电源，所有更换故障的电源模块应该不成问题，预防性维修活动应安排在白天高峰期时段，最好在维护时间段内，维修工人造成的意外事件有可能导致意外停机事件。[单选题]67.以下哪一项最有助确保识别偏离项目计划的情况?A)项目管理框架B)项目管理方法C)项目资源计划D)项目绩效衡量标准答案:D解析:A.设立项目管理框架可在启动项目时，识别项目管理的范围和边界以及待应用的一致方法，但不定义用于衡量项目成功与否的标准。B.项目管理方法定义项目管理流程的成果交付的准则，但不定义用于衡量项目成功与否的标准。C.项目资源计划定义项目团队成员的责任、关系、职权和绩效衡量标准，但不定义用于衡量项目成功与否的标准D.为识别偏离项目计划的情况，必须确立项目绩效标准作为基准。成功完成项目计划表示项目成功。[单选题]68.与使用检查点重起程序的相关的逻辑风险是:A)拒绝式服务B)异步进攻、C)搭线窃听D)停机答案:B解析:异步攻击是基于操作系统的攻击。检查点重启是指在特定的中间点停止程序，然后依次的重启而在检查点不丢失数据。操作系统保存了当前状态下的计算机程序和数据备份，也保存了中断时点描述模式和安全级别的系统参数备份。异步攻击能使个人访问检查点重启系统参数备份，并能修改参数，这样，在重启程序后能在更高安全级别水平下运行。[单选题]69.IS审计师发现，关键任务型系统的最新安全相关软件补丁两个月前就发布了，但IT人员却尚未安装该补丁。IS计师应:A)审查修补程序管理政策，并确定与这种情况有关的风险。B)建议IT系统人员立即测试并安装补C)建议每月安装一次补丁。D)不采取任何措施，因为与修补程序管理有关的IT流程似乎足够了答案:A解析:A.通过审查修补程序管理政策并确定IT部门是否遵守政策，可以发现政策是否恰当以及与目前做法相关的风险。B.尽管在有些情况下，补丁是针对严重安全问题的紧急修补程序，但IT部门可能认定，系统稳定性面临的风险大于发布补丁的软件提供商识别的风险。因此，IT部门选择的时限也许是适当的，但并非正确答案。C.尽管适当安装关键系统的补丁有助确保系统安全，如果补丁在实施之前未经适当测试。安装系统补丁的精确时间表要求可能带来其他问题。这不是正确答案。D.即使IS审计师断定修补程序管理流程已经足够了，也应当报告发现迟迟不安装补丁的情况。[单选题]70.以下哪项能够最好地帮助IS审计师评估和衡量新实施的系统的价值?A)审查业务要求B)系统认证C)实施后审查D)系统鉴定答案:C解析:A.尽管审查业务要求非常重要，但只有实施后审查才能提供项目符合业务要求的证据。B.系统认证涉及根据信息系统中的管理、运作和技术控制标准执行综合评估，以检查其在满足某些要求(如标准、政策、流程、程序、工作守则和指南等方面的合规程度C.实施后审查的一个关键目标是评估预计的成本一收益或投资回报率(ROI)估算值。D.系统鉴定是指官方管理人员根据一组议定要求和安全控制的实施情况，决定是否批准信息系统的运作，以及是否明确接受组织在运营、资产或人员方面的风险。[单选题]71.IS审计师需要获得充分和适当的审计证据的最重要原因是:A)遵从需求的调整B)是提供合理结论的基础C)确保完整的审计覆盖D)依据已定义的范围完成审计答案:B解析:信息系统审计范围由信息系统审计目标决定，审计范围决定了要识别与审计范围相关的控制弱点。获取充分和适当的审计证据可以使审计师不仅识别而且证明和确认控制弱点。A、C、D、是与审计相关的，但是不是获取充分和相关审计证据的原因。[单选题]72.在开始后续跟踪审计时，下面哪一项是审计师应采取的第一步A)收集补救证据，以此来执行控制测试B)审查上次的审计结果和行动计划C)与被审计单位讨论补救进展D)审查上次审计工作的底稿答案:B解析:[单选题]73.具有明确定义的数据分类政策和程序的最大好处是:A)信息资产库存更加准确。B)减少控制成本。C)减小不适当访问系统的风险。D)提高监管合规性。答案:B解析:A.更加准确的信息资产库存是一种优势，但并非所列选择的最大好处。B.明确定义的数据分类流程的一个重要好处是，确保根据数据的敏感性应用适当的控制，从而降低保护数据的成本。如果没有适当的分类框架，有些安全控制也许会比根据数据分类所需要的更强，并因此提高成本。C.数据分类也许有助减小不适当访问系统的风险，但这并非最大的好处。D.提高监管合规性是一种好处;但实现成本降低的好处更大。[单选题]74.IS审计师正在测试一个大型财务系统的员工访问权限。IS审计师从受审方提供的当前员工名单中选择一个样本。下面哪一个证据能够最可靠的支持该项测试？A)系统管理员提供的一个电子表格B)员工管理人员所签署的HR文档C)系统生成的包含访问级别的账户列表D)在系统管理员在场的情况下进行的现场观察答案:C解析:由系统生成的访问列表是最可靠的，因为在和所选择样本比较时，它是最客观的证据。说它客观是因为它是由系统生成而不是由个人所为。对于实质性测试来说，口头陈述本身并不是一个合适的证据。在大多数情况下，应该搜集书面证明来支持被审计单位的口头陈述。管理人员签署的HR文档是很好的证据。然而，这些文档不如系统生成的访问列表客观。观察结果是了解内部控制结构的好的证据。然而，如果用户数量巨大那么观察并不是很有效。对实质性测试而言，观察不够客观。点评：证据客观性：其他审计师>外部/系统>被审人员提供的[单选题]75.以下哪一项若其百分比较高,就能向管理部门提供质量管理系统QMS是有效的最大保证?A)利益关系方对IT的质量感到满意B)事故立即得到解决C)IT员工参加质量培训D)经质量保证部门审查的IT流程答案:A解析:[单选题]76.以下哪个选项能够最好地证明组织随时可从灾难中恢复?A)灾难恢复计划(DRP)。B)备用站点提供商的客户参考C)维持DRP的流程D)测试及练习结果答案:D解析:A.有计划很重要，但计划只能经过测试才能认为有效。B.客户参考在选择替代的站点提供商时可提供帮助，但不能保证计划的有效性。C.灾难恢复计划(DR)必须通过定期维护和复核日程表保持更新，但这不如测试重要。D.只有测试和练习才能说明计划的适当性，为组织的灾难恢复准备就绪情况提供合理保证。[单选题]77.在将审计报告发给项目指导委员会之前，谁应当首先对其进行评估？A)信息系统审计经理。B)业务负责人。C)项目资助人。D)审计委员会。答案:C解析:[单选题]78.当实施一个数据仓库时，哪一项是最大的风险？A)在生产系统上增加的响应时间B)在数据修改上不充分的访问控制C)数据重复D)过期或不正确的数据答案:A解析:一旦数据被放在数据仓库中,就不应该被修改,同时在该处应该有预防数据被修改的访问控制、在生产系统上增加的响应时间不是风险,因为一个数据仓库不会对生产系统的数据产生影响、基于数据被复制的情况,重复数据是数据仓库中固有的、数据的更新是通过操作系统对数据仓库的事先变更、[单选题]79.IS计师确定T经理最近更换了负责为关键计算机系统进行维护的供应商，以节省成本。尽管新的供应商要价便宜，但新维护合同指定的事故解决时间与原始供应商指定的时间有所不同。以下哪个选项最令IS审计师关注?A)灾难恢复计划(DRP)可能无效，需要进行修订。B)交易业务数据可能会在发生系统故障时丢失。C)新维护供应商不熟悉组织的政策。D)没有将该变动通知应用程序负责人。答案:D解析:A.灾难恢复计划(DR必须支持业务需求，但更大的风险是，应用程序所有者没有意识到解决时间B.交易业务数据丢失是由数据备份频率，也就是备份计划决定的。C.供应商必须遵守合同条款，其中包括遵守组织的隐私政策，但没有应用程序负责人的参与是最受关注的问题。D.关键系统的维护工作发生变化的最大风险是，变化对关键业务流程可能会有负面影响。尽管选择报价较低的维护供应商有好处，但解决时间必须根据业务需求进行调整。[单选题]80.在审查IT资产处置流程时,信息系统审计师最应该担心哪一项?A)销毁证明B)数据迁移到新资产C)存储在资产上的数据D)资产的货币价值答案:C解析:[单选题]81.信息技术管理层决定，在所有服务器上安装1级廉价磁盘冗余阵列(RAID)系统，以弥补撤除异地备份的影响。IS审计师应建议:A)升级到5级RAIDB)增加现场备份的频率。C)恢复异地备份。D)在安全位置建立冷备援中心。答案:C解析:A.升级到5级廉价磁盘冗余阵列(RAID)不能解决存有数据的数据中心的灾难性故障问题。B.增加现场备份的频率与RAID1无关，因为所有的数据都正在被镜像。C.任何级别的RAD系统都不能避免遭受自然灾害。没有异地备份不可解决此问題D.冷备援中心是异地恢复站点，但不能提供数据恢复，因为冷备援中心没有存储数[单选题]82.在事后审查一个企业资源管理系统时，IS审计师最可能：A)审查访问控制配置B)评价接口测试C)审查详细的设计文档D)评论系统测试答案:A解析:审查访问控制配置是最首要完成的工作，以判断系统是否符合安全要求。由于事后审查是在用户验收测试和实际开发过程完成之后，它将不会致力于进行接口测试或审查详细的设计文档。执行接口测试是系统开发进程中的一部分。审查详细设计文档一般不涉及企业资源管理系统，因为这些通常是供应提供的用户手册。系统测试应该在用户验收之前执行。点评：系统的访问控制是审计师最为关注的[单选题]83.持续审计方法的一个主要优势是：A)不需要信息系统审计师对系统的可靠性收集数据B)需要信息系统审计师对所有收集的信息立刻进行审查和采取跟进措施C)当在时间共享环境中处理大量交易时，可以提高系统的安全性D)不依赖组织计算机系统的复杂性答案:C解析:当在时间共享环境中处理大量交易时使用持续审计技术的使用可以提高系统的安全性，但缺乏足够的文档记录。选项A不正确是因为持续审计技术需要审计师对系统的可靠性收集证据选项B不正确是因为信息系统审计师只有当发现重要的缺陷或错误后才需要进行审查和采取后续行动，选项D不正确是因为使用持续审计技术依赖于组织计算机系统的复杂性。点评：持续审计技术能够在大规模交易中主动发现问题[单选题]84.IT服务的可用性和可持续性的最佳实践应该是:A)使费用减到最小与灾难恢复相结合B)提供足够的能力满足业务需求C)提供合理的担保满足对客户的责任D)及时地生成性能报告答案:A解析:能一直履行经协议和达成的约定（如:服务水平协议）是很重要的，如果达不到的话，IT就不应该同意这些需求，因为加入这样的承诺会误导业务走入歧途。?总是?在这个条款里直接与协议过的义务相关，不意味着服务不得不百分之百可用。费用就是可用性和服务可持续性管理的结果，而可能只能部分地是可控制的。这些费用会直接影响协议的义务，容量管理是必要但不是充分可用性的条件。尽管有缺乏容量可能会导致可用性问题的可能性，但是对于无缝服务操作提供必要的容量会被做在容量管理里面，不是可用性管理里面。或许生成报告可能是可用性和服务可持续性的任务，但是对于其他方面兴趣也是一样真实存在的（比如事件，问题，容量和变更管理）[单选题]85.以下哪一种生物识别方法具有最高可靠性和最低误受率（FAR）A)手掌扫描B)面部识别C)视网膜扫描D)手部几何答案:C解析:视网膜扫描使用光学技术来绘制眼睛中视网膜的毛细血管图案。在目前的生物识别方法中，该方法具有较高的可靠性且FAR最低。使用手掌扫描时，需要将手放在获取手掌物理特征的扫描仪上。手部几何是最古老的技术之一，多三维角度对用户手和手指的物理特征进行测量。手掌和手部生物识别技术缺乏几何数据中的唯一性。进行面部生物识别时，读取设备对获取的图像进行分析，以得到一般的面部特征。尽管面部识别被认为是一种自然和友好的生物识别方法，但其主要缺少唯一性，这意味着设备可能识别不出长的很像的人。[单选题]86.审查无线网络安全性的IS审计师确定所有无线访问点上都禁用了动态主机配置协议（DHCP）。这种做法：A)减少网络的未授权访问风险。B)不适用于小型网络。C)自动向任何人提供IP地址。D)增加与无线加密协议（WEP）相关的风险。答案:A解析:DHCP自动将IP地址分配任何介入网络的人。在禁用DHCP的情况下，必须使用静态IP地址，并且由于未授权设备和网络上现有设备间存在潜在的资质争用而会进一步降低风险。选项B不正确，因为DHCP适用于小型网络。选项C不正确，因为DHCP在禁用时不提供IP地址。选项D不正确，因为禁用DHCP会更难利用WEP中众所周知的弱点。[单选题]87.由于监管需要一些敏感数据必须要长期保存，下列哪项是评估这些敏感数据备份方案的最重要的衡量标准?A)全部备份窗口B)介质成本C)恢复窗口D)介质的可靠性答案:D解析:为了满足管理需要，介质应具有足够的可靠性以保证不管有什么原因引起的故障，组织都能从介质中恢复数据。介质成本是应该要考虑的，但没有可靠性重要。选项A和C都没有可靠性关键。[单选题]88.以下哪种保险类型针对因员工欺诈行为造成的损失?A)业务中断B)忠诚保险C)错误和遗漏D)额外支出答案:B解析:A.业务中断保险针对组织运营中断导致的利润损失。B.忠诚保险针对因员工不诚实或欺诈行为造成的损失。C.错误和遗漏保险在由于专业从业人员的不当行为而给客户造成经济损失时提供法律责任保护。D.额外支出保险旨在覆盖组织中发生灾难/中断后继续运营的额外成本[单选题]89.银行的自动柜员机（ATM）是一种专门用于销售点的终端，它可以：A)只能用于支付现金和存款服务B)一般放置在入口稠密的场所以威慑盗窃与破坏C)利用保护的通讯线进行资料传输D)必须包括高层的逻辑和物理安全答案:D解析:[单选题]90.在計算可接受的關鍵業務流程恢復時間時，A)只需考慮停機時間的成本B)需要分析恢復操作的成本C)停機時間成本和恢復操作成本都需要考慮D)可以忽略間接的停機成本答案:A解析:在确定恢复关键业务流程可接受的时间时，停机成本和回收成本都需要进行评估。对业务影响分析（bia）的结果应该是一个代表了最佳的平衡的恢复策略。停机时间成本是不能被孤立地看待的。信息资产越快被恢复和业务处理越快被重建，停机成本就越小。不过，需要有多余的能力的恢复信息资源的开支可能被用于不重要的业务流程。恢复操作不能确定恢复关键业务流程的可接受的时间，由于业务中断，除了直接现金流出的费用，间接的停机成本也应被考虑。一个严重中断的正常商业活动的间接损失，例如，客户的损失、供应商声誉和市场份额的损失，实际上，随着时间的推移，可能是比直接损失更重要，从而达到威胁业务生存能力的地步。[单选题]91.IT开发项目的业务方案文档应该保留到：A)系统生命周期结束B)该项目获得批准C)用户已接受系统D)系统投入使用中答案:A解析:在产品的整个生命周期中可以且应该使用商业案例。它能帮助新（管理）员工理解关键点，为预期与实际情况分析提供有价值的信息。类似的问题：?为什么我们这样做?，?最初的目标是什么?和?我们如何执行这项计划?都可以回答，也有助于开发为了的商业案例。在项目的开发阶段，应始终确认商业案例，是一个很好的管理工具。项目完成后，投入生产，商业案