CISA考试练习(习题卷13)

试卷科目：CISA考试练习CISA考试练习(习题卷13)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.在末次会议上，如果对某项审计发现的影响存在分歧，信息系统审计师应该：A)要求被审计单位签署一份申明以授权全部的法律责任B)详细阐述审计发现的重要性和不纠正这种错误的风险C)将分歧报告给审计委员会以寻求解决D)接受被审计单位的立场因为他们是流程的所有者答案:B解析:如果被审计单位对于审计发现的问题持不同意见，由于被审计单位对风险的暴露程度和重要性可能缺乏充分的了解，对于信息系统审计师来说向其阐述和澄清风险及其暴露情况是很重要的。其目的是启发被审计单位或者揭示出信息系统审计师所没有意识到的新的信息。而任何可能威胁被审计单位的情况都将影响有效的沟通并造成一种对立的关系。同样的道理，信息系统审计师也不能因为被审计单位表述另一种观点而擅自同意。点评：充分表达审计观点，不激化矛盾[单选题]2.信息系统审计师从客户数据库中获得了数据。下一步可以通过以下哪项来确认所导出的数据是完整的？A)把导出数据的控制总数与原始数据的控制总数相比对B)把数据排序以验证是否与原始数据的顺序相一致C)检查原始数据的前100条打印输出的记录和导出数据的前100条记录D)按不同目录对数据进行过滤，并与原始数据比对答案:A解析:由于把导出数据的控制总数与原始数据的控制总数相比对可以验证导出数据的完整性，因此这应该是下一个适当的步骤。把导出数据进行排序是不能验证完整性的，因为原始数据可能不是已排序的顺序存放的。另外，排序也无法提供验证完整性所需的控制总数。检查原始数据的前100条打印输出的记录和导出数据的前100条记录只是物理验证和确认了这100条记录的准确性。按不同目录对数据进行过滤，并与原始数据相比对此方法仍需要生成控制总数来验证数据的完整性。点评：批控制和批平衡是对大批量数据完整性校验的有效机制[单选题]3.一个基于TC、P/IP的环境暴露给互联网。下列哪项措施最好的保证了信息传递过程中存在完全的加密及证明协议。A)相应工作在隧道模式里使用IP采用嵌套的认证头A、H和封装的安全净荷ESP完成B)实施了一个采用RSA、的数字签名C)采用了RSA、的数字证书D)相应工作在TC、P服务中完成答案:A解析:IP安全的隧道模式对于整个数据包提供了加密及证明协议。为实现这一点，A、H和ESP服务可以嵌套。选项B、和C、提供了证明和完整性。TC、P服务不提供加密和证明。[单选题]4.组织已和供应商签约，使用他们的电子征税系统（ETCS）解决方案。供应商在解决方案中包含了应用软件的所有权。合约应满足：A)备份服务器应可用最新数据来运行电子征税系统B)备份服务器保存所有相关软件和数据C)组织中使用该系统的员工应被培训后可处理任何事件D)电子征税系统应用的源代码应由第三方保存附带条件委付盖印的契约答案:D解析:当购买专用的应用软件时，合同中应规定源代码的协议。这将确保购买公司在供应商业务终止时拥有修改软件的机会。对当前的数据使用备份服务器和员工培训是关键的，但不确保源代码的可用性关键。点评：第三方软件托管的概念[单选题]5.下列哪一项可以帮助信息系统审计师审查移植到生产程序中的程序更改的完整性？A)数据库数据结构（databaseB)磁带管理系统C)配置管理系统（configurationmanagementsystem)D)操作系统日志数据答案:D解析:[单选题]6.在某银行的1S审计期间，IS审计师正在评估该企业是否合理管理职员对操作系统的访问.该审计师应确定该企业是否执行:A)用户活动日志的定期审查。B)系统级用户授权验证。C)数据通信访问活动日志的查。D)更改数据文件的定期审查。答案:A解析:A.一般的操作系统访问控制功能包括日志记录用户活动、事件等。审查这些日志可发现执行未经允许活动的用户。B.验证系统用户授权是数据库栏位级和应用程序级访问控制的功能,不适用干操作系统C.审查数据通信访问活动日志属于网络控制功能D.定期审查改据文件与变更控制流程有关[单选题]7.哪一个最能保证来自互联网internet的交易事务的保密性？A)数字签名B)数字加密标准（DES）C)虚拟专用网（VPN）D)公钥加密（PublicKeyencryption）答案:D解析:[单选题]8.下列哪一项是确定生产环境中各应用系统重要性的最佳方法?A)会见应用程序编程人员。B)执行差距分析。C)审查最近的应用程序审计工作。D)执行业务影响分析(BIA)答案:D解析:A.会见应用程序编程人员只能获得与系统重要性相关的有限信息。B.差距分析与系统开发和项目管理有关，但不能确定应用的重要性。C.审计中可能不包含所需信息，或者可能最近并未进行过审计。D.通过业务影响分析(BIA)可了解每个应用程序丢失后可能产生的影响。BIA是协同能够准确说明系统重要性及其对企业的重要性的企业代表一起执行。[单选题]9.在不能恰当进行权责分离的环境中，信息系统审计师应关注下列哪种控制？A)重叠控制B)边界控制C)访问控制D)补偿性控制答案:D解析:补偿性控制是内部控制的一种，当职责没有适当的分离时，可能会引起一些已存在或潜在控制的弱点，补偿性控制可以用来减少这些风险。重复控制是用两种控制手段达到一种控制目标，当主要控制不能实现或者职责没有恰当的分离的时候，实现重复控制是比较难的。边缘控制在计算机系统的可能性用户和计算机系统本身之间建立接口，是基于个人，而不是基于角色的控制。资源的访问控制是基于个人而不是基于角色的。[单选题]10.一名IS审计人员注意到一项数据库操作反映出当前的（数据）结构与原始设计（数据）结构不匹配，下面哪个将是其下一步的行动？A)分析结构变化的需要B)建议恢复到原始的数据结构C)建议控制进程随之变化D)检测该项（结构）更改是经授权的。答案:A解析:IS审计人员首先应该确认这项更改是经过适当授权的。选项A，B和C是IS审计人员在确认这项更改是经过批准后可能执行的后续步骤。[单选题]11.下列哪个选项是网络服务器最通常用的C、GI(普通网关接口)？A)传输数据到应用程序又返回到用户B)电影电视的电脑图像处理C)网络设计的用户图形界面D)访问个人网管域的接口答案:A解析:C、GI是一个网络服务器的标准方式，传递用户对应用程序和移动数据的需求，然后再传到用户。当该用户需要一个网页（例如，通过点击凸出字符或者输入一个网页地址），服务器就发送回被需要的网页。然而，当用户填出一个网页的格式并提交，它通常需要通过一个应用程序来进行处理。网络服务器传递该格式信息到一个小的应用程序，该应用程序处理数据并可能发回一个确认信息。这种在服务器和应用之间来回传递数据的方法或者协议被称作C、GI，它是网络HTTP协议的一部分。[单选题]12.虚拟专用网（VPN）提供以下哪一种功能？A)对网路嗅探器隐藏信息B)强制实施安全政策C)检测到网路错误和用户对网路资源的滥用D)制定访问规则答案:A解析:[单选题]13.通过以下哪种方式,一个组织可以保证他的雇员在收到邮件时鉴别出发件人的身份:A)对所有的电子邮件使用数字签名B)对所有电子邮件进行加密C)压缩所有电子邮件D)对所有电子邮件进行密码保护答案:A解析:对所有的电子邮件使用数字签名,接受者能够有效的鉴别发送者的身份。对所有电子邮件进行加密仅能防止有企图的接受者打开邮件；然而它不能鉴别发送者的身份。压缩所有电子邮件缩减邮件的大小，但不能鉴别身份。对所有电子邮件进行密码保护仅能保证密码的拥有者才能打开邮件，然而它也不能鉴别发送者的身份。[单选题]14.一个信息系统审计师被要求检查一项执行标准化IT基础设施的提议。下述哪个发现需要在审计师的报告中展现出来？A)提高IT服务交付与操作支持的成本效益B)增加IT服务交付与支持的复杂度C)减少在IT基础设施的投资水平D)减少未来应用程序变化的测试需求答案:A解析:基础设施的标准化将通过组织提供一个兼容的平台和操作系统集合。该标准化降低了管理和相异平台和操作系统所学的时间。另外，增强的操作支持工具的安装如密码管理工具、补丁管理工具和用户访问的自动配置工具等将会简单化。这些工具能够帮助组织降低IT服务交付和操作支持的费用。如上所述，限制基础设施在优先标准化技术集合中会简化IT服务交付，而不是让他更复杂。当标准化可以降低支持费用时，过渡到标准化工具可能就会计较昂贵，因此，IT基础设施投资的整体水平并不一定降低。一个标准化的基础设施可能简化对变化的测试，但不会降低对该测试的需求。点评：IT基础设施标准化有助于降低维护成本[单选题]15.对某一已实施的系统进行实施后分析（PIR）时发现，在未经项目委员会批准的情况下，定义的目标发生了数次变更。信息系统审计师首先应该做什么？A)要求重新开放该项目以进行进一步调查B)取得管理层的追溯批准C)通知项目管理办公室并发布发现的问题D)确定修订后的目标是否妥当答案:D解析:[单选题]16.以下哪一项措施可最有效地支持24/7可用性？A)日常备份B)异地存储C)镜像D)定期测试答案:C解析:[单选题]17.一家跨国销售组织正在制定新的计划，希望通过移动电话向客户提供信息服务。这家组织雇佣的IT经理的主要职责是：A)执行可行性分析B)评估技术实力C)准备业务案例D)寻找解决方案提供商答案:B解析:在这种场景下，IT经理应负责为此项计划评估技术实力。可行性分析、准备业务案例更可能由业务或流程负责人，而非IT经理执行。寻找解决方案提供商的任务由跨职能团队执行；这不是IT经理的主要职责。点评：技术经理关注技术实现的问题，而不是项目的意义和价值[单选题]18.审计过程中信息系统审计师发现，在很多情况下过多的权限都未从系统中清除。以下哪一项是审计师的最佳建议？A)IT安全部门应定期撤销过多的系统权限B)业务部门应定期审查并对访问权限修改进行申请。C)人力资源部门应删除已终止劳动关系的员工的访问权限。D)系统管理员应确保分配的权限的一致性。答案:B解析:[单选题]19.如下哪个方案为关键应用提供了最佳的可执行的灾难恢复计划？A)在公司外部存储每日数据备份，并且在主数据中心以外140公里设立一个热备援中心B)每日数据备份是被存储在公司内部的防火保险柜中C)在主数据中心和位于500米处的热站之间实施实时数据复制D)每日备份时被存储在主数据中心以外70公里以外的一个温站答案:A解析:在所有选项中，A是最合适的答案。灾难恢复计划包括了一个离主数据中心足够远的支持在灾难发生时恢复的热站。其它选项不能提供选项A一样的完整覆盖范围。选项C不正确的，是因为热站的位置与主设备的距离应该大于500米。[单选题]20.对称密钥加密的下列哪一方面因素会对非对称加密的发展起作用？A)处理能力B)数据量C)密钥分配D)算法的复杂度答案:C解析:对称密钥加密是需要分配密钥的。用户组越大，分配密钥就越困难。对称密钥加密系统通常复杂度较低，因此与非对称技术相比，使用较少的处理能力，从而适用于加密大量数据。对称密钥加密系统需要将密钥交给要与其交换数据的人员，在客户未知且实体不受信的电子商务环境中，这尤其是一个主要缺点。[单选题]21.IT安全政策审计的主要目标是为了确保：A)让所有员工都知晓并了解B)安区和控制政策能支持业务及IT目标C)有已经发布的组织机构图，在图中能了解所有的功能描述，即职位和职责D)确保职责分开答案:A解析:面向业务是实现安全控制的首要主题。因此，对IT安全控制的审计应当注重于IT和相关的安全控制以及控制政策是否支持业务和IT目标。审核政策是否被所有人员了解是一个目标，但政策发布到每个人，并不能保证会被很好执行。详细可用的组织机构图将包括在审核内容中，但这不是对安全控制政策审计的重点。[单选题]22.当使用USB、闪存盘传递保密的公司数据到一个离线位置时，一个有效的控制应该是：A)用便携保险箱携带闪盘B)向管理层担保不会丢失闪盘C)请求管理层用快递公司送闪盘D)用一个强密钥加密包含这些数据的目录答案:A解析:加密，使用强密钥，是保护闪盘中的信息的最安全的方式。用便携的保险箱携带闪盘不能够保证保险箱被盗或者丢失事件中的信息安全。无论你采取什么措施，丢失闪盘的机会始终存在。快递公司丢失闪盘或者闪盘被偷都是可能的。[单选题]23.检查用于互联网Internet通讯的网路时，IS审计应该首先检查、确定：A)是否口令经常修改B)客户/服务器应用的框架C)网路框架和设计D)防火墙保护和代理服务器答案:C解析:[单选题]24.某公司决定建立一套基于KPI(公钥基础设施)的电子签名系统。用户的密钥将会被存储在个人计算机的硬盘中，并由口令保护。这一方法最重大的风险是:A)通过替换一位用户的公钥方式来冒名。B)通过另一用户的私钥进行数字签名来伪造。C)如果口令泄密，用户的数字签名将被其他人使用。D)通过替换另一个用户的私钥来冒名。答案:A解析:用户的数字签名仅由口令保护，获得口令即获得了该数字签名的访问权限，这是这一方案最重大的风险。B、选项要求颠覆整个PKI体系，这个相当困难从而可能性很低。C、选项使得对应的消息看上去是由另外的人员发送的，而不是真正的作者，所以真正作者的并没有被伪造。D、和C、的逻辑相同。[单选题]25.终端设备发出的电磁辐射会造成风险，因为这些电磁辐射可以：A)影响噪声污染。B)干扰处理器某些功能的正常运行。C)产生危险级别的电流。D)可被检测到并显示出来。答案:D解析:辐射可以被精密的设备检测到并显示出来，这样未经授权的人员就会访问到数据。它们不会对CPU造成干扰也不会对噪声污染带来影响。TEMPEST是指对无意中携带敏感信息的信号的泄露发射进行调查和研究方面的术语，如果截取和分析该信号，就会造成信息泄露。[单选题]26.某组织正在计划部署外包的云应用程序，用于为人力资源(HR)部门追踪应聘者数据。IS审计师最应关注以下哪个选项?A)服务等级协议(SLA)确保了对正常运行时间和性能的严格限制B)云服务提供商不会同意将不受限制的审计权利加入SLA。C)SLA在云服务提供商的灾难恢复计划(DRP)能力方面没有明确规定。D)云提供商的数据中心位于多个城市和国家答案:D解析:A.尽管这一应用可能对可用性有严格的要求，但人们认为服务等级协议(SLA)将包含这些相同的要素;因此，这不是问题B.拥有审计权条款固然很好，但对云服务提供商如何解读这一要求方面存在限制。在跨国云服务提供商处审查和评估所有控制是否到位，这一任务可能极为昂贵耗时;因此，这类要求可能价值有限。C.因为SLA一般会指定正常运行时间要求，达到这些目标(包括提供商的具体灾难恢复计划[DRP]能力)的方法一般没有由客户深度审査，一般也没有在SLA中明确。D.在多个国家设有数据中心最受关注，因为人力资源(HR)包含个人可识别信息(PII)。如果这些数据存储在数据隐私方面法律规定不同的国家，则可能引发合规性问题。尽管组织会受到所在地隐私法的约束，但如果数据泄漏发生在相同法律不适用的管辖地，则该组织可能会没有合法的追索权。[单选题]27.信息系统审计经理临时负责主管监督-名被指派做企业薪酬应用程序升级项目的项目经理。回到审计部后，审计经理被要求进行审计以验证薪酬应用程序的实际情况，审计经理是审计部门唯一具有IT项目管理经验的经理。最佳行动步骤是什么?A)管理审计,因为没有其他人具有适当的经验B)尽管缺乏IT项目管理经验,但仍将审计任务转移给另一审计经理C)推迟审计，直到有独立性的合格资源出现D)让一名高级信息系统审计师管理项目,由信息系统审计经理进行最终审查答案:C解析:[单选题]28.在对一个全球性企业做灾难恢复计划的信息系统审计期间，审计师发现一些远程办公室有一些非常有限的当地IT资源。下列哪一项发现被信息系统审计师认为是最严重的？A)当从一个灾难或事件中恢复时，确保当地资源保持安全和质量标准的测试没有做。B)公司业务持续计划没有被准确的记录远程办公室存在的系统C)公司安全措施没包含在测试计划中D)确保远程办公室的磁带备份可用性的测试没有做。答案:A解析:不管当地的IT资源的容量，最大的风险是缺乏测试。它将识别恢复中的质量问题。其他的选项将影响计划在评估恢复能力和紧急时间运行的可靠性，但更关键的问题是否在远程办公室该计划被测试。[单选题]29.公司应该采取以下哪一项措施来估计灾难的影响？A)开展业务影响分析（BIA)B)定义恢复点目标（RPO）C)分析功能成熟度模型差距D)模拟灾难恢复答案:A解析:[单选题]30.能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是：A)将每次访问记入个人信息（即：作日志）B)对敏感的交易事务使用单独的密码/口令C)使用软件来约束授权用户的访问D)限制只有营业时间内才允许系统访问答案:C解析:[单选题]31.某组织购买了一款第三方应用程序并对其进行了大量的修改。在审计这一面向客户的关键应用程序的开发流程时，S审计师注意到供应商开展业务的时间只有一年。以下哪项有助于持续支援应用程序有关的风险?A)对供应商进行生存能力研究B)签署软件第三方托管协议C)对供应商进行财务评估D)签署未来增强方面的合同协议答案:B解析:A.尽管对供应商进行生存能力研究在一定程度上能够保证供应商为该组织提供服务的长期可用性，但在这种情况下，公司拥有源代码的相关权利更为重要。B.考虑到供应商开展业务的时间仅有一年，最大的问题是供应商的财务稳定性或生存能力以及供应商倒闭的风险。应对这一风险的最佳方式是针对应用程序的源代码签署软件第三方托管议，以便该组织可以在供应商倒闭时访问源代码。C.考虑到供应商开展业务的时间仅有一年，对供应商进行财务评估没有多大价值，并且不能保征供应商可为该组织提供长期的服务。在这种情况下，公司拥有源代码的相关权利更为重要。D.合同协议虽然具有约束力，但在供应商倒闭后将无法执行或仅有有限的价值。[单选题]32.为IS备份文件的异地存储设备选择位置时，以下哪一项是最重要的标准?异地设备必须是:A)与数据中心物理上分离，且不受同一风险的影响。B)给定与计算机数据中心相同的保护级别。C)外包给可靠的第三方。D)配备了监视功能。答案:A解析:A.信息系统文件要在异地存储并且该位置位于不易遭受与主要数据中心相同的风险,这一点非常重要。B.异地位置可能与其他公司共享，因此其保护级别高于主数据中心。C.异地位置可由第三方或组织自己所有。D.物理保护很重要，但不如不受同一危机影响重要。[单选题]33.出现以下哪种情况时，审计师最需要对第三方托管的云计算环境进行审查A)该组织无权评估参与供应商网站中的控制。B)服务等级协议(SLA)未规定出现安全漏洞时供应商应承担的C)组织和供应商所在国家/地区的法律和法规不同。D)组织使用的旧版浏览器存在某些类型的安全风险。答案:B解析:A.如果双方的合同中未规定对供应商站点中的控制进行评估，IS审计师就无法进行评估工作。B.云计算的管理需要通过Internet完成，会有多个实体参与其中。云计算环境中的每个合伙伴均有责任处理好各自环境中的安全问题。如果存在安全漏洞，则该漏洞的责任方应予识别并对此漏洞负责。如果服务等级协议(SLA)中未规定各合作伙伴在出现安全漏洞时的责任划分，便无法确定责任方。C.IS审计师应保证合同中解决组织和供应商所在国家/地区的不同法律和法规的问题，但不同法律和法规本身不是问题。D.审计师可以建议被审计实体使用适合的修补程序或改为使用较安全的浏览器，并且审计师可对措施的执行情况进行跟踪。[单选题]34.下面哪种数据有效性编辑检查形式被用于确定某个区域包含数据，而不是零或空白？A)检验数位B)存在性检查C)完备性检查D)合理性检查答案:A解析:完备性检查被用于确定某个区域包含数据，而不是零或空白。检查数位是通过对数位进行数学运算确保最初的数据未被改变。存在性检查也是检查输入的数据是否符合预先确定的标准。合理性检查是检查输入的数据是否符合预先确定的合理的限制条件和发生频率。[单选题]35.要检测防火墙无法识别的攻击尝试，IS审计师应建议将网络入侵检测系统（IDS）安置在：A)防火墙和组织网络之间B)互联网和防火墙之间C)互联网和Web服务器之间D)Web服务器和防火墙之间答案:A解析:如果在防火墙和组织网络之间布置一个基于网络的IDS，就可以检测出防火墙无法识别的攻击尝试。位于互联网和防火墙之间的基于网络的IDS会检测所有的攻击尝试，无论这些攻击是否进入防火墙。[单选题]36.一封来自于未知发件人的电子邮件被发送到一个组织的各个成员，要求他们为一个旨在舒缓最近的自然灾害慈善机构提供资金，这是一个什么类型的攻击例子？A)事件钓鱼B)混合钓鱼C)社交工程D)鱼叉式钓鱼答案:A解析:选项A是正确答案。事件钓鱼是有针对性的钓鱼攻击，以最近发生的事件为基准。通常混合钓鱼用和伪造的电子邮件一起还使用了跨站点的脚本。社交工程是一种操作别人执行动作或者泄露信息的方法。鱼叉式钓鱼是发送虚假电子邮件给对一个组织的具体个人，但通常不是与特定的事件相关。[单选题]37.维护灾难恢复计划的运营开销与没有灾难恢复计划的运营开销相比，下列描述最接近的是：A)增加B)减少C)相同D)无法预知答案:A解析:由于灾难恢复计划的措施需要额外的费用，在一个灾难恢复计划实施后对于任何组织来说费用通常都是增加的，非灾难周期的正常操作的开销要比没有灾难恢复计划时的大。[单选题]38.因未正确实施入侵防御系统(IPS)而面临的最大风险是:A)系统管理员需要验证过多的警报。B)因IPS流量而降低网络性能。C)因误触发而阻断关键系统或服务。D)需要依赖IT组织内的专业技能。答案:C解析:A.很多误报可能增加管理员的工作量，但这种风险相对较小B.入侵防御系统(IPS)不会产生任何影响网络性能的流量。C.IPS将根据其自身的特定事故反应设置方式来阻止连接或服务。如果IPS根据定义错误的或非标准行为来触发，则有可能会阻止重要的内部系统的服务或连接。D.配置IPS需要数月时间来学习哪些是可接受的行为，哪些不是，但这不需要有特殊的技能。[单选题]39.在对财务系统执行审计时，IS审计师怀疑发生了事故。IS审计师首先应该做什么?A)要求关闭系统以保留证据。B)向管理层报告事故。C)要求立即暂停可疑帐户。D)调查事故的来源和性质。答案:B解析:A.IS审计师应循组织的事故响应流程。审计师无权关闭系统。B.向管理层报告可疑事故有助于启动事故响应流程，这是最恰当的行为。管理层负责策以采取适当的应对。在审计过程中，IS审计师不负责对事故做出应对。C.IS审计师无权开始调或暂停可疑帐户。IS审计师应向管理层报告事故D.管理层负责制定并遵循事故管理计划，这不是IS审计师的责任。[单选题]40.有效的IT治理要求组织结构和程序确保A)组织的战略和目标包括IT战略B)业务战略来自于IT战略C)IT治理是独立的,与整体治理相区别D)IT战略扩大了组织的战略和目标答案:D解析:[单选题]41.自下而上的方法来开发组织的策略的优势是策略能够：A)把组织作为一个整体开发出来B)更能是来源于风险评估的结果C)不会和整体组织的策略产生冲突D)确保整个组织的一致性答案:B解析:通过定义业务级别的要求和策略从自下而上的方法开始，这是由于风险评估被衍生和实施的结果。企业级别政策是以一个现有的综合经营政策为基础制定的。选项AC和D是通过自上而下方法是发展组织策略的优点。这种方法确保这些策略将不会与整体公司策略冲突，并确保整个组织的一致性。点评：自下而上更贴切，自上而下更宏观[单选题]42.哪个测试方法是最适当的，确保内部的应用程序接口错误被尽快识别？A)自底向下B)交叉测试C)自顶向下D)系统测试答案:A解析:自顶向下的方法测试确保接口错误尽早被发现，主要功能的测试被尽早执行。自底向上的方法测试首先从单元测试开始，例如程序和模块，向上工作直到整个系统测试完成。交叉测试和系统测试在开发过程的后期进行。[单选题]43.以下哪一项应该是内部审计职能在管理已识别的业务风险方面的主要角色?A)建立风险管理框架B)建立风险偏好C)验证企业风险管理D)运作风险管理框架答案:C解析:[单选题]44.对于信息系统审计师来说，评估被选定参与审计工作的专家顾问是否适任的最佳方式是什么?A)了解专家的相关经验B)审查专家顾问公司的行业声誉C)确认委托书是否概述了专家的职责D)审查专家的独立性和客观性答案:D解析:[单选题]45.安装完网络后，组织又安装了弱点评测工具和安全扫描仪来分辨可能存在的弱点。下面哪一个与这些工具相关的风险最严重：A)差异报告B)错误肯定报告C)错误否定报告D)简要报告答案:A解析:错误否定报告中的弱点是指在不确定的网络中的控制弱点，因此可能不会被编址，离开网络容易受到攻击。错误肯定报告是一个适当的控制，但评价为弱，这应促使对控制的复查。简要报告和差异报告功能提供了超过一段时间的扫描结果的比较工具。[单选题]46.以下哪一项是由不合适的软件基线（softwarebaselining）导致的风险？A)范围蔓延B)交付延迟C)软件完整性违规D)不合适的控制答案:A解析:软件基线是系统的设计和开发阶段的调整点，在此之前如果没有经过业务成本分析及正式严格的审批步骤，都不应该对设计部分作出额外要求或修改。没有通过软件基线管理系统需求将会导致一系列的风险，其中最大的风险就是范围蔓延。选项BCD都不一定会发生，但A是不可避免的。点评：变更、范围、基线[单选题]47.要使无线局域网（LAN）中传输数据的机密性得到最佳保护，需要会话？A)仅限于预定义的介质访问控制（MAC）地址。B)使用静态密钥加密。C)使用动态密钥加密。D)从具有加密存储的设备启动答案:C解析:在使用动态密钥时，加密密钥会经常改变，因此可以降低密钥被破解和消息解密的风险。限制可访问网络的设备数量并不能解决会话的加密问题。静态密钥加密是指在长时间内使用相同的密码，这会导致密钥被破解的风险。连接设备（便携式计算机、个人数字助理[PDA]等）上的数据加密针对的是设备数据的机密性，而不是无线会话。[单选题]48.业务持续管理需要重点考虑以下那个方面？A)恢复站点是安全的，和主站点保持适当的距离B)恢复计划定期进行测试C)经过全面测试的备份硬件在恢复站点可用D)网络连接可以从多个服务提供商获取答案:B解析:定期对恢复计划的测试是至关重要的，以确保所有已规划和记录是可行的。其他的选项更多的是次要的需求对于进行测试战术上的考虑。如果发生火灾，选项A.C.D将更加重要。[单选题]49.认证颁发机构（CA）可委任外部机构处理的工作是：A)吊销及暂停用户的认证B)生成及分配CA公钥C)在申请实体及其公钥之间建立关联D)发布及分配用户认证答案:C解析:在申请实体及其公钥之间建立关联是注册机构的职能。该职能不一定要由CA履行；因此可以将该职能授权给其他机构。吊销和暂停以及发布和分配用户认证是用户认证生命周期管理流程中的职能，必须由CA执行。生成及分配CA公钥是CA密钥生命周期管理流程的一部分，因此无法授权。[单选题]50.某位职员在主文件中对款利率进行了变更。输入的利率超出了此类款的正常范围。要合理保证该变更经过授权，下列哪种控制最有效?A)该职员的经理输入批准代码确认变更前，系统不会处理此变更。B)系统生成一个能够列出所有利率异常的周报，并由该职员的经理对该报告进行审查。C)系统要求该职员输入批准代码。D)系统向该职员发出一个警告消息。答案:A解析:A.要求经理输入批准代码可防止或检测到使用了未经授权的利率。周报在做出变更后通知经理，因此在管理人员审查之前，便可能使用未经授权的利率进行交易C.要求职员输入批准代码不能实行职责分离，也不能防止职员输入未经授权的利率变更D.警告消息在变更出错时可以警告职员，但不能防止职员输入未经授权的利率变更[单选题]51.在审查对应用程序的逻辑访问时，以下哪项发现最令IS审计师关注?A)有些开发人员拥有更新生产数据的访问权限。B)存储应用程序ID密码的文件在生产代码中采用明文形式。C)变更控制团队知道应用程序ID密码。D)应用程序没有强制要求使用强密码答案:B解析:A.开发人员可能为执行工作而需要具备有限的生产数据更新访问权限，当这种访问权限经过管理层的批准和审查后，即使确实有风险，但也是可以接受的。B.应用程序ID密码的安全隐患可能会导致生产数据发生不可追踪的无授权更改;明文形式存储密码带来的风险最大。尽管可以通过禁止更新的访问权限来保护生产代码，但开发团队可以进行查看。C.如果在变更控制和开发活动之间有适当的职责分离，变更控制团队知道应用程序ID密码就不会引起关注。变更控制团队在生产环境下需要使用应用程序ID时，可能会出现这种情况。D.尽管缺少强密码政策和配置可能会导致帐户不安全，但在应用程序ID密码存在安全隐患时风险还是比较低的，因为应用程序ID密码不可追溯。[单选题]52.IS审计师应去审查下列哪一个，以便了解项目的进度，预算和支付，及早发现可能超支和预计完成的评估？A)功能点分析B)净值分析C)成本预算D)项目评估和审查技术答案:B解析:净值分析（EVA）是一个行业标准方法，对于测量项目的进度，可在任何时间点，预测其完成日期和最终成本，分析进度中、成本、预算的差异。通过比较计划工作量与实际完成的工作量，判断成本，时间，工作的完成与计划一致。如果存在一个良好的工作分解结构的话，EVA将会更有效。功能点分析法是一个间接的测量软件规模和复杂性，不能用来做时间和预算的。成本预算不能解决时间问题。PERT在时间和交付管理上有帮助，但缺少对项目预计完成和整体财务管理的功能。点评：项目进度评估工具--EVA[单选题]53.一个组织采用控制自我评估（C、SA、）技术的首要受益是:A)可以识别那些稍后可能需要一个详细的检查的高风险地区。B)允许IS审计师独立的评估风险。C)可被用来替代传统审计。D)使管理层放弃控制的责任。答案:A解析:CSA基于对高风险地区的检查，需要立即注意或稍后进行更彻底的审查。选择B、不正确，因为CSA需要审计师的参与和基线管理。会发生的是内部审计职能使一些控制监测责任转变到职能领域。选择C不正确，因为CSA、不是传统审计的替代,而是加强它。选择D不正确，因为CSA不容许管理层放弃其控制的责任。[单选题]54.以下哪项是针对数据和系统所有权的政策定义不当所带来的最大风险?A)不存在用户管理协调B)无法确定明确的用户责任C)未授权用户可能获得创建、修改或除数据的权限。D)审计建议可能不会实施。答案:C解析:A.最大的风险是未获授权的用户可以修改数据。用户管理很重要，但不是最大的风险。B.用户责任很重要，但不如未经授权用户的行为风险大。C.如果没有政策来定义负责授予具体系统的访问权限的责任人，则未经授权的人员获得(被授予)系统访问权限的风险将增加。未授权用户可以修改数据的风险大于授权用户帐户控制不当的风险。D.没有执行审计建议是一个管理问题，但不如未经授权用户可以修改数据的问题严重。[单选题]55.如下哪一种情况下，网路资料管理协议（NDMP）可用于备份？A)需要使用网路附加存储设备（NAS）时B)不能使用TCP/IP的环境中C)需要备份旧的备份系统不能处理的档许可时D)要保证跨多个资料卷的备份连续、一致时答案:A解析:[单选题]56.当执行数据库检查时，信息系统审计师注意到数据库里的有些表没有规格化。信息系统审计师接下来应该：A)推荐配置数据规格B)检查数据概念模型C)检查存储过程D)检查说明文件答案:A解析:如果数据库不被规范化,那是审计师应该检查说明书，在某些情形下是由于维护的原因而采用的非规范化。审计师不应该推荐使数据库规范化，除非有进一步的调查必要。概念数据模型或存储过程不提供规范化的信息。[单选题]57.某企业正在制定一个策略，以更新数据库软件版本。审计师可以执行下面哪一个任务而又不会危害IS审计的客观性？A)建议对新数据库软件采用哪些应用程序控制B)为项目团队将来所需的许可证费用提供评估C)在项目规划会议上就如何改善迁移效率提供建议D)在执行验收之前，审核验收测试用例文档答案:D解析:上面的选项中，只有仅仅审核测试用例会提高客观性。如果审计师建议采用一个具体的应用程序控制，可能会损害其独立性。如果审计师对将来需经管理层批准的项目费用估算进行审计，也可能损害其独立性。就如何提高迁移效率向项目经理提供建议也会损害其独立性。点评：承担检查性的工作对独立性影响最小[单选题]58.以下哪项是处置含有机密信息的磁介质的最稳妥的方法？A)消磁B)碎片整理C)擦除D)破坏答案:D解析:破坏磁盘介质是确保机密信息无法被恢复的唯一方法。消磁或退磁不能完全从磁介质中擦除信息。碎片整理的目的是消除文件系统中的碎片，而不会删除信息，擦除或删除磁介质不会删除信息，此方法只会更改文件的索引信息。[单选题]59.某酒店在大厅中放置了一台计算机，以便宾客访问互联网。以下哪项是会导致身份盗用的最大风险?A)不自动删除Web浏览器CookieB)计算机配置不当。C)未对计算机进行系统更新。D)未启用会话超时。答案:D解析:A.如果不自动删除Web浏览器Cookie，则可以确定用户访问过的网站。但如果会话不会超时，更容易发生身份盗用。B.如果PC未适当配置并且未安装防病毒软件，则可能会出现感染病毒或恶意软件的风险。这可能会导致身份盗用。但如果会话不会超时，更容易发生身份盗用C.如果未进行系统更新，出现感染病毒或恶意软件的风险可能会更高。这可能会导致身份盗用。但如果会话不会超时，更容易发生身份盗用。D.如果经过身份认证的会话处于不活动状态井且无人值守，则可能会到攻击并被用于非法目的。这可能很难确定入侵者，因为使用的是合法会话[单选题]60.审计数据库服务器时，以下哪项会被认为是最大风险?A)管理员帐户的密码不过期。B)数据库的默认全局安全设置保持不变。C)旧数据未被清除。D)数据库活动未被完整记录。答案:B解析:A.无有效期的密码是一种风险和暴露，但不如弱口令或持续使用默认设置严重。B.数据库的认安全设置可能会产生用户密码是空的或密码与用户名相同等诸如此类的问题。C.未能清数据可能会带来性能问题，但不是最重要的安全问题。D.记录所有数据库活动是一种潜在风险，但不如默认设置严重。[单选题]61.作为信息安全管理的产物，战略结盟提供了：A)安全需求受到企业需求的驱动B)遵循最优方法的基线安全C)制度化和常规化的解决方案D)理解风险揭示答案:A解析:适当执行信息安全管理提供4个基本成果：战略结盟、价值交付、风险管理、性能检测。战略结盟为企业需求驱动安全需求提供输入。价值交付提供安全实践的标准集，也就是最优方法、规则和解决方案的基线安全。风险管理提供对风险揭示的理解。[单选题]62.下列哪些可以防止数据库中的空挂元组？A)循环完整性B)域完整C)关系完整性D)引用完整性答案:D解析:引用完整性可以确保一个表中的外键等于空值或者其他表的主键值。对于一个表中每个有参照/外键的元组，应该在另一个表中有一个相应的元组，也就是所有外键存在于原始表中。如果这种情况得不到满足，将会导致空挂元组。循环检查是一种控制技术，就是定期对授权源文件数据进行检查，不存在循环完整性测试的说法。域完整性测试确保数据项在正确的范围内或集合内合理赋值。关系完整性是在记录级进行的，主要是通过对特定字段进行计算和验证来进行保证的。[单选题]63.某IS审计师在数据库的某些表中发现了超出范围的数据。为避免此类状况发生，该IS审计师应推荐采用以下哪种控制?A)记录所有的表更新交易。B)使用前后图像报告。C)使用跟踪和标记D)在数据库中设定完整性约。答案:D解析:A.记录所有的表更新交易属于检测性控制，并不能防止无效数据录入。B.使用前后图像报告属于检测性控制，并不能避免此类状况的发生C.踪和标记可用于测试应用系统和控制，并且无法防止出现超范围数据。D.在数据库中设定完整性约束于预防性控制，因为会根据预定义的表或规则对数据进行检查，从而可以防止输入任何尚未定义的数据。[单选题]64.以下哪个选项是对网络的被动攻击？A)消息修改B)伪装C)拒绝服务D)流量分析答案:D解析:入侵者通过对系统进行监视，利用统计分析方法对诸如会话长度、会话视频、信息流向、通信总量的变化等参数进行研究，从而发现有价值的信息和规律（流量分析），并可以推测出所发生通信的类型。消息修改包括获取消息、执行未授权的更改或删除、更改顺序或延迟已获取消息的传输。为装饰一种主动攻击，这种情况下入侵者使用的身份并非其原始身份。拒绝服务仅在连接到互联网的计算机遭受必须处理的数据和/或请求淹没时才会发生。[单选题]65.在软件开发项目的需求定义阶段，软件测试应该制定哪些方面：A)测试数据，涵盖关键应用。B)详细的测试计划。C)质量保证测试规范。D)用户验收测试规范。答案:D解析:任何软件开发项目的一个关键目标是确保所开发的软件将满足业务目标和用户的要求。用户应参与项目的需求定义，用户验收测试规范应在要求定义阶段制定。其他选项在系统测试阶段。点评：需求阶段制定UAT标准，v型模型[单选题]66.通过提取和重用程序组件来增强现有系统，这种方式叫做：A)逆向工程B)原型法C)软件复用D)再造工程答案:D解析:再造系统是对原有系统的有效性，适应性和扩展性需要进行再造以便维持运行，再造工程是应用程序语言动态整合新功能到现有系统。逆向工程设计机器码得到源程序。原型法是系统开发方法。软件重用是计划过程，分析和使用以前开发的软件组件，重用组件是有规划的集成到当前软件产品中。点评：软件重用、再造工程的概念[单选题]67.在某家运营政府项目的全国性公司进行IS合规性审计期间，IS审计师正在评估其Intemet服务提供商(ISP)所提供的服务。下面哪个选项最重要?A)审查要求建议书(RFP)。B)审查ISP生成的月度绩效报告C)审查服务等级协议(SLA)。D)调查该ISP的其他客户。答案:C解析:A.因为要求建议书(RFP)不是约定的协议内容，因此审查SLA条款更合适。B.来自Internet服务提供商(SP)的报告属于间接证据，可能需要进一步审查以保证准确性和完整性。C.服务等级协议(SLA)为充分评估提供商对于议定服务级别的达标程度提供依据。D.ISP向其他客户提供的服务与IS审计师无关。[单选题]68.某企业每天将备份介质快递到一个异地位置,以下哪-项是证明介质传输方法可靠的最佳证据?A)由异地经理签名的接受记录B)记录备份介质传输过程C)快递公司的认证D)备份介质的交付日程表答案:A解析:[单选题]69.下面哪一条措施不能防止资料泄漏？A)数据冗余B)数据加密C)访问控制D)密码系统答案:A解析:[单选题]70.当评价一个计算机的预防维护程序的有效性和充分性时，下列哪一个被信息系统审计师认为最有帮助？A)系统停机日志B)供应商的可靠数字C)周期的排定维护日志D)一个书面的预防维护时间表答案:A解析:一个系统停机日志能提供有关计算机预防维护程序有效性和充分性的信息。[单选题]71.IT管理人员希望把各个部门的绩效与其他类似企业相同部门的绩效进行持续的比较。信息系统审计师应当推荐以下哪一种做法？A)制定一套基准指标对比计划B)使用绩效衡量软件C)定期进行客户满意度调查D)向硬件／软件供应商咨询答案:A解析:[单选题]72.一个公司进行了业务流程再造（BPR的）项目，以支持一个新的、接近客户的营销业务。对于新流程，下列哪一个是审计师的主要关心的？A)关键控制是否已经部署，以保护资产和信息资源B)系统是否满足合作客户的需求C)、系统是否能满足性能目标（时间和资源)D)所有者是否确定了谁负责流程答案:A解析:审计团队必须强调关键控制的内涵，执行新流程前，核实控制是否适当。选择BCD是BPR将达到的目标，它们不是审计师的主要关注点。[单选题]73.当一项服务被外包后，下列哪项功能对信息系统管理是最重要的？A)确保发票支付给供应商B)参与到和供应商一起的系统设计中C)重新谈判供应商的费用D)监控外包商的绩效答案:D解析:在一个外包环境，公司视服务供应商的表现而定。因此，关键是对外包供应商的表现进行监测，以确保交付给公司的服务符合要求。付款发票是一种融资功能，这将是每个合同都要求完成的。系统设计参与是一种监测外包供应商的业绩的副产品，而重新谈判的费用通常是一次性的活动。点评：监控外包商的绩效是最靠谱的[单选题]74.以下哪一项最能向信息系统审计师表明管理层的实施后分析是有效的?A)实施后分析是系统开发生命周期(SDLC)中的一个正式阶段B)完成了内部后续审计，且没有发现任何情况C)吸取的经验教训已记录存档并加以应用D)业务和IT相关人员参与了实施后分析答案:C解析:[单选题]75.安装防火墙时最可能发生的错误是：A)访问列表配置不正确B)由于社会工程破坏了密码C)连接了调制解调器到网络上的计算机D)不足以保护网络和服务器免受病毒攻击答案:A解析:在初次安装方法防火墙时，由于访问控制列表需要更新或者达到完美无瑕，这是一个挑战，因此，出现错误的机会很大。防火墙不需要密码，调制解调器可以避开防火墙，病毒攻击不是安装防火墙时所考虑的因素。[单选题]76.下列哪一项具体解决如何侦测组织IT系统的网络攻击和如何在攻击后恢复？A)事件响应计划B)IT意外事件计划C)业务持续性计划D)运行持续性计划答案:A解析:事件响应计划确定事件的信息安全响应，例如系统或网络上的攻击。这个计划建立使安全人员去识别，消除和从恶意计算机事件中恢复的步骤，例如系统或数据的未授权访问，拒绝服务，或系统硬件或软件的未授权更改。IT意外事件计划解决IT系统崩溃和建立从主要应用或普通支持系统恢复的步骤。意外事件计划涉及从偶然错误中恢复方法，但不是它能解决识别或预防网络攻击。当从一个重大崩溃事件中恢复时，业务持续性计划提供业务过程和持续的业务运营。而一个网络攻击足够满足使业务持续性计划。事件响应程序被用来去阻止攻击，也能在攻击发生后恢复正常运行。运行持续性计划是组织任务的子集，被认为是最关键的，包括支撑短期可更换站点功能的程序。[单选题]77.以下哪项是对移动设备进行加密的最佳方法?A)椭圆曲线加密法(ECC)B)数据加密标准(DES)C)高级加密标准(AES)D)Blowfish算法答案:A解析:A.椭圆曲线加密法(ECC)仅需有限的带宽资源适用于对移动设备进行加密。B.与高级加密标准(AES)相比，数据加密标准(DES)消耗较少的处理能力，但ECC更适用于对移动设备进行加密。C.AES采用的是对称算法，存在密钥管理和分发的问题。ECC是一种非对称算法，更适合移动环境D.使用Blowfish算法会消耗过多的处理能力。[单选题]78.为了确定谁可以有权限使用某个系统资源，审计员应该检查：A)活动列表B)访问控制列表C)登录ID、列表D)密码列表答案:A解析:访问控制列表就是授权列表，授权列表被用来记录被允许的用户使用特定的系统资源和被同意访问的类型。其他的选择不能记录谁已经被允许去使用（访问）特定的系统资源。[单选题]79.下列哪种做法将最能确保具有永久重要性的归档电子信息随着时间推移，仍然能随时访问？A)定期将数据转移到采用当前技术的系统中B)定期备份归档数据C)购买仿效旧软件的应用程序D)对旧硬件执行预防性维护答案:A解析:[单选题]80.实施开源软件（OSS）时，以下那个选项带来的好处最大A)减少总拥有成本（TCO）B)降低自定义程序源代码的难度C)缓解过于依赖单一软件提供商的风险D)减少执行系统升级的工作量答案:C解析:从策略观点来看如果组织决定不要依赖单一供应商提供软件解决方案，则其可能会决定接受OSS策略。此外，OSS提供商不止一家，许多OSS应用程序可以免费使用，但转换到OSS可能会需要相关费用。尽管技术支持服务会产生一些费用，但OSS的整体TCO仍比使用专属软件要低。能够自定义源代码也是引入OSS的好处之一。尽管执行系统升级的方法类似，但使用OSS时的工作量并无显著下降。使用OSS可能会频繁升级，但是由组织决定升级是否需要。[单选题]81.进行事件发生后检查的主要目的是,它提供了一个机会去:A)改善内部控制程序、B)为实现企业最佳业务强化网络C)管理突出时间响应管理的重要性、D)提高员工对时间响应的认识、答案:A解析:事件发生后检讨，审查了事件发生的原因和对事件响应。吸取的经验教训，可被用来改善内部控制。[单选题]82.IT审计师审查一个组织架构，首先应：A)了解工作流程B)调查了解各类通信信道C)了解每个人的职责和权限D)调查了解不同雇员的网络连接答案:A解析:组织架构信息包含个人在组织中的职责和权限。可帮助IT审计师获知职责是否进行了正确的分离。工作流程表可以提供不同雇员的工作任务。网络图表提供了各类通信信道的使用信息和显示用户的网络连接。[单选题]83.组织最近缩小了规模。鉴于这种情况，IS审计师决定测试逻辑访问控制。该IS审计师的主要关注点应该是：A)是否所有系统访问都经过授权，并且适合于个人的角色和职责。B)管理人员是否已对所有新录用人员都授予了适当的访问权限。C)是否只有系统管理员具有授予或修改个人访问权限的权利。D)是否使用访问授权书来授予或修改个人访问权限。答案:A解析:组织缩小规模表示在一段相对较短的时间内有大量的人事行动。员工在保留部分或所有之前职责的同时，可能分配到新的职责。大量员工可能被解雇。IS审计师应该关心是否保持了适当的职责分离、访问权限是否限制为员工角色和职责所要求的内容，以及是否撤销了离职人员的访问权限。选项B.C和D虽然都是IS审计师的潜在关注点，但是考虑到与组织缩小规模相关的特定风险，它们不应是主要的关注点。[单选题]84.下面哪一个是测试软件模块的动态分析工具A)黑盒测试B)桌面检测C)结构化穿行测试D)设计图和代码答案:A解析:黑盒测试是一个测试软件模块的动态测试软件模块的工具。在测试软件模块期间，黑盒测试首先以内聚的方式有一个或多个模块组成一个单元/实体，第二步用户数据经过软件模块时，在某些情况下甚至驱动软件行为。选项BCD是软件过程中保持静态时，主观检查错误，没有实际上的软件活动。因此，这些不能被提为动态分析工具。点评：黑盒测试是软件测试的方法和工具，其他的都不是[单选题]85.一位IS审计师在审查一家采用交叉培训实务的组织时，应评估以下哪种风险:A)对某个人的依赖性。B)接任计划不充分。C)某个人了解系统的所有组成部分。D)运营中断。答案:C解析:A.交叉培训有助于降低对单个人的依赖。B.交叉培训有助于接任计划。C.交叉培训是指对多个人员进行培训，以使其执行具体工作或流程的过程。然而，使用这种方法时需谨慎，应首先评估目标人员了解系统所有部分将会带来的风险，以及可能面临的与特权滥用相关的暴露风险。D.当有人员缺勤时，交又培训可以提供替补人员，从而保证运营不间断[单选题]86.以下哪项能够最好地帮助IS审计师评估与未来维护能力有关的编程活动的质量?A)编程语言B)开发环境C)版本控制系统D)程序编码标准答案:D解析:A.编程语言如果不是常用语言，则这一项可能是一个需要关注的问题，但程序编码标准更为重要。B.开发环境可能与评估程序开发流程的有效性有关，但与程序的未来维护无关。C.版本控制系统用于帮助管理软件代码版本，但并不能确保始终如一地应用编码标准。D.程序编码标准是实现高效程序维护和修改的必要条件。要提高编程活动的质量和未来维护能力，需要应用程序编码标准。要想清晰明了地编写、阅读和理解代码并且无需重新参阅设计规格，程序编码标准至关重要。[单选题]87.数据分类第一步应做的是A)建立数据拥有者B)风险分析C)定义访问规则D)创建数据字典答案:A解析:数据分类是定义基于?neeD、-to-D、o?和?neeD、-to-know?的访问规则所必须的。数据所有者负责定义访问规则，因此，建立数据所有者是数据分类的第一步。其他选择是不正确的。风险分析是为了减少要求保护的分类的数据。数据分类以后才能创建数据字典和定义访问规则。[单选题]88.下面哪一项措施对成功建立企业IT体系结构至关重要?A)企业对标准化的支持B)体系结构中仅包含关键系统C)完善的数据转移政策D)与其他组织的体系结构进行比较答案:A解析:[单选题]89.在设计业务连续性计划时，企业影响分析可以用来识别关键业务流程和相应的支持程序，它主要会影响到下面哪一项内容的制定？A)维护商业连续性计划的职责B)选择站点恢复供应商的条件C)恢复策略D)关键人士的职责答案:A解析:最适当的策略的选定是建立在相对的风险水平和在企业影响分析（bia.）中已识别的危险程度的基础上。其他的选择是在这个策略的选择或适当的恢复策略的设计后才作出的。[单选题]90.以下哪种保险类型可在发生员工欺诈时降低损失？A)业务中断B)忠实覆盖C)错误和疏忽D)额外费用答案:B解析:诚实保险是为了补偿因为员工的不诚实和欺诈行为产生的损失。商业中断保险是当专业人员犯罪造成客户经济损失时提供法律债务保护。