CISA考试练习(习题卷21)

试卷科目：CISA考试练习CISA考试练习(习题卷21)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.公钥的发送者将通过什么进行身份验证：A)证书机构B)数字签名C)数字证书D)注册机构答案:C解析:数字证书是一个电子文档，说明公钥拥有者是谁。该证书用来鉴别是谁发送的消息。证书机构发行数字证书，并分配、产生和管理公钥。数字签名用来确保消息的完整性，确定消息的发出方。注册机构执行证书机构的大部分管理工作，如登记用户的数字签名，并对放在数字证书中的信息（用户信息）进行鉴别。[单选题]2.某组织近期安装了一个安全补丁，但与产品服务器相冲突。为了把再次出现这种情况的可能性降到最低，IS审计师应该：A)按照补丁的发行说明实施补丁B)确保良好的变更管理流程在运行C)发送到生产环境之前全面测试这个补丁D)进行风险评估后核准这个补丁答案:A解析:信息系统审计师必须检查变更管理流程,包括补丁管理程序,同时核实流程有适当的控制并依此提出建议、其他选项是变更管理流程的一部分,但不是信息系统审计师的职责、[单选题]3.以下哪种方法有助于确保连接数据库的应用程序的可移植性？A)检查数据库导入和导出程序B)使用结构化查询语言（SQL）C)分析存储过程/触发器D)同步数据库物理模式与实体一关系模型答案:B解析:使用结构化查询语言（SQL）可以帮助移植。检查与其他系统之间的数据导入导出程序确保与其他系统有良好的接口，分析存储过程/触发器确保正确的访问/性能，检查实体一关系模型设计有点儿用处，但是没有一个有助于确保连接数据库的应用程序的可移植性。[单选题]4.审查灾难恢复计划（DRP）时，IS审计师应在发现缺乏以下那个选项时最为关注A)流程负责人的参与B)详细记录的测试程序C)备用的处理设施D)详细记录的数据分类方案答案:A解析:流程负责人的参与是业务影响分析（BIA）的重要组成部分，BIA用于创建DRP,如果IS审计师确定流程负责人并未参与，则会林人非常担忧。尽管详细记录的测试程序很重要，但除非流程负责人参与否则无法了解测试程序是否有效。可能需要备用处理设施来满足业务需求，但此类决策需求确是以BIA为基础的。数据分类方案对确保数据控制恰当非常重要，但是，仍然不及缺乏流程负责人的参与令人担忧。[单选题]5.企业里有个混合访问点不能升级其安全强度，而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点，下面哪一个选项支持IS审计师的建议的理由最为充分？A)新的访问点具有更高的安全强度B)老的访问点性能太差C)整个企业网路的安全强度，就是其最为薄弱之处的安全强度D)新的访问点易于管理答案:C解析:[单选题]6.对重要的第三方应用程序执行审查时，IS审计师在发现以下哪种情况时最为关注：A)不具备充分的流程，以确保系统存在足够的可移植性B)不具备足够的系统操作文档C)不具备恰当的备选服务提供商列表D)不具备恰当的软件第三方托管协议答案:D解析:在协议中纳入要求软件代码防御托管方的条款有助于确保在供应商停业的情况下，客户可以继续使用软件和/或得到技术支持。如果有确保系统得到开发以便可送至其他系统平台的流程，将有助于确保系统在基础设施发生变化时，仍能继续运行，而不会对业务流程造成影响。操作文档不适当带来的风险相对较小。尽管在供应商停业时可以选择备选服务提供商，但是能够通过软件第三方托管协议获得源代码更为重要。[单选题]7.数字签名包含消息摘要，以便:A)显示消息是否在传输后发生改变。B)定义加密算法。C)确定发起人的身份。D)以数字格式传输消息。答案:A解析:A.计算出的消息摘要包括在数字签名中，用于证明该消息未发生改变。随消息一起发送的消息摘要的值应与根据收到的消息重新计算的摘要相同。B.消息摘要不定义算法;其目的是保证完整性。C.消息摘要不能确认用户的身份;其目的是保证完整性。D.消息摘要不是要以数字格式传输消息;其目的是保证完整性。[单选题]8.在评估某家公司新建立的举报系统过程中，审计师发现了几个问题,以下哪一项应是信息系统审计师的最大顾虑?A)举报者的隐私权未加以保护B)系统不跟踪提交的时间和日期C)系统仅在工作时间内可用D)新员工对举报政策不知情答案:A解析:[单选题]9.安装网络后，组织实施了漏洞评估工具或安全扫描程序，用以确定潜在的漏洞。以下哪项是此类工具会带来的最严重风险?A)差异报告B)误报报告C)误漏报告D)粗略报告答案:C解析:A.此工具提供的差异报告功能比较一段时间内的扫描结果。B.误报是指系统报告了原本没有的漏洞。此时控制有效但却将被评估为薄弱环节，它表示要对控制进行重新检查。C.漏洞的误漏报告是指没有找出网络中的控制薄弱环节，因此不能对其进行处理，致使网络易受攻击。D.粗略报告表示需要更多的工具或分析来确定如否存在漏洞及其严重性。[单选题]10.信息系统审计员在一个政府研究设施执行通信审计时注意到部分网络连接使用到了光纤，其它网络使用常用的非屏蔽双绞线。如下哪个是使用双绞线带来的最大风险？A)带宽缺乏带来的性能问题B)入侵者可以接入电缆截取数据C)安装可能会被延期，因为光纤是最容易折断和安装复杂的D)由于干扰可能会导致信息泄露答案:B解析:光纤电缆的特征和数据传输的方法使得物理上接入电缆是十分困难的，提供了加强的安全性。与光纤相比双绞线所能承载的带宽有限，但是性能不是想接入一样是需要关心的重要安全风险。光纤电缆与双绞线相比更容易折断并且困难，需要更多的时间去安装。双绞线与光纤相比更容易受干扰。干扰可能会导致性能的下降和潜在的连通性降低，但是这些都不会导致任何安全问题。[单选题]11.一个公司在开发信息安全流程时要做的第一步是：A)升级访问控制软件为生物/令牌系统。B)批准公司信息安全政策。C)要求信息系统审计师做综合审查。D)开发信息安全标准。答案:B解析:第一步是开发信息安全政策，文档化并经管理层批准。[单选题]12.当评估控制有效性时,以下哪项对信息系统审计师最有帮助?A)与管理层面谈交流B)控制自我评估C)控制矩阵D)控制测试的结果答案:D解析:[单选题]13.下面哪一种测试手段审计是可以最有效地确定组织变更控制程序的一致性?A)审查软件迁移记录，并核实是否经过批准B)确认已经发生的变更，并核实是否经过批准C)审查变更控制文档，并核实是否经过批准D)确保只有适当人员可以将变更迁移到生产环境答案:B解析:最有效的方法是通过代码比较确定已经做了哪些修改，然后确定这些修改已经获得批准。变更控制记录和软件移植记录可能没有列出所有的变化。确保只有适当的人员可以将变更迁移到生产环境是一个关键的控制过程，但它本身不验证一致性。[单选题]14.内部审计小组对销售回报率的控制进行审计，并考察是否存在欺诈问题。以下那种抽样方法对审计师最有帮助A)停-走抽样法B)经典变量抽样法C)发现抽样法D)概率比例规模抽样法答案:C解析:审计师在尝试确定是否发生过某类事件时使用发现抽样法，因此，这种方法适合评估欺诈风险，确定其是否曾经发生过。停止或继续的抽样发则有助于限制样本大小，可让测试尽早停止。经典变量抽样发则与资金额有关。概率比例规模抽样法常与样本中有分组情况的整群抽样有关。该问题并不表示IS审计师在寻找欺诈的标准。点评：欺诈问题--发现抽样[单选题]15.电子数据交换(EDI)可以为组织带来重大利益，但前提是必须清除某些障碍。要想成功实施电子数据交换，应从以下哪一项开始？A)画出为实现组织目标所开展的经营活动的流程图B)为EDI系统购买新的硬件C)选择可靠的应用软件和通讯软件供应商D)将交易格式、数据标准化答案:A解析:A正确，实施EDI不能简单复制现有的作业流程，只有通过大力改进现有流程并与EDI相结合，才能获得显著效果。一个低效的处理流程在实施EDI后仍然是低效的，只是速度较快而已；B不正确，EDI获得成功的条件是对商业目标、处理过程的理解，以及与外部合作伙伴的合作。硬件的购置是以后要考虑的问题；C不正确，选择软件供应商应在确立系统目标后进行；D不正确，交易格式和数据的标准化应在确立系统目标后进行。[单选题]16.如果打算利用其他审计师的工作报告，信息系统审计师应做到：A)确定该工作报告是否是在上个月完成的。B)确保被审计单位同意这些工作报告中指出的主要问题。C)较少依赖其他审计师的工作成果。D)考虑该工作报告的适当性和充足性。答案:D解析:[单选题]17.控制自我估计（C、SA、）的成功高度依赖于:A)由基层管理人员承担部分控制监控职责B)分配给成员管理者建筑的职责，但没有监控和控制职责C)实施的严厉控制政策和规则驱动的控制D)实施监管和分配职责中控制点的监控答案:A解析:一个CSA、方法的主要目标是通过把一些控制监督的功能分散到职能部门的基层管理人员，以发挥内部控制的优势。控制自我评估（CSA）的成功依赖于基层管理人员承担控制责任的程度。选择B，C和D的特点是一个传统的审计方法，而不是CSA的方法。[单选题]18.某第三方应用作为多个外部系统的接口，在发现该软件存在安全漏洞后，大量的模块被打上了补丁。IS审计员应建议执行以下哪个测试A)Stress负载B)Blackbox黑盒C)Interface接口D)System系统答案:A解析:大量的模块被打上了补丁，且接口涉及多个系统，系统测试是最适当的。接口测试不充分，负载和黑盒测试在此情况下不适当。[单选题]19.要确定哪些用户能够访问特许监督状态，IS审计师应审查以下哪一项内容？A)系统访问日志文件B)所启用的访问控制软件参数C)访问控制违规行为日志D)所用控制选项的系统配置文件答案:D解析:对所用控制选项的系统配置文件进行审查，可显示出哪些用户能够访问特许监督状态。系统访问日志文件和访问违规行为日志在本质上都具有检测性。访问控制软件在操作系统环境下运行。[单选题]20.要了解组织在IT资产投资方面的计划和管理是否有效，IS审计师应当审查:A)企业数据模型。B)IT平衡计分卡(BSC)。C)IT组织结构。D)历史财务报表。答案:B解析:A.企业数据模型是一种对组织数据结构及数据关联方式进行说明的文档。虽然该模型很有用，但不提供IT资产投资方面的信息。B.平衡计分卡(BSC)在目标与业务目标之间充当桥梁作用，它通过对客户满意度、内部流程以及创新能力进行评估的措施对传统的财务评估进行补充。通过这种方式，审计师可衡量IT投资和战略是否成功。C.组织结构概述了IT实体内的职能关系和报告关系，但不能保证IT投资的有效性。D.历史财务报表不提供有关计划的信息，并且缺少足够的详细信息，无法使人们完全了解有关IT资产的管理活动。过去的成本不一定能体现价值，而数据等资产也不显示在帐簿上。[单选题]21.作为评估网络安全的一部分来执行的渗透测试的特性包括：A)可确保发现所有漏洞。B)应在不向组织管理人员发送警告的情况下执行。C)利用现有漏洞获得未经授权的访问权限D)在网络外围执行时不会损害信息资产。答案:C解析:渗透测试是识别信息处理环境所面临实时风险的有效方法。此类测试将尝试侵入真实站点以便获取未经授权的系统访问权限。由于渗透测试会模拟一位经验丰富的黑客攻击真实系统，因此可能损害信息资产或误用信息。另一方面，渗透测试基于有限的流程数量，因而无法确保现所有漏洞。管理人员应同意测试以避免向IT人员或执法部门发出错误警报。[单选题]22.一个有广阔地理分布的组织开发了一个灾难恢复计划。利用实际资源，以下哪一项是最考虑成本-效益的灾难恢复计划测试？A)完全的操作测试B)有准备地测试C)纸上测试D)回归测试答案:A解析:有准备的测试是每一个当地办公室/地点对灾难恢复计划中所涉及到的本地操作的适当性进行测试。纸上测试是对灾难恢复计划进行穿行测试且应该在有准备的测试之前完成。完全的操作测试是在纸上和有准备地测试之后进行。回归测试不是灾难恢复计划（D、RP）测试被用于软件维护。[单选题]23.组织将客户信贷审查系统外包给第三方服务提供商时，以下哪个选项是在IS审计中需要考虑的最重要事项?该提供商:A)称符合或超越行业安全标准。B)同意接受外部安全审查。C)在服务和经验方面具有良好的市场信誉。D)遵守该组织的安全政策。答案:B解析:A.符合安全标准是重要的，但在缺少独立审查的情况下无法验证或证明实际情况是否确实如此B.获得对于外包供应商进行独立的安全审查是至关重要的，因为客户信贷信息将保存在该供应商处C.虽然长期的业务经验和良好的信誉是评估服务质量的重要因素，但不能将业务外包给在安全控制方面很薄弱的提供商。D.遵守组织的安全政策很重要，但在缺少独立审査的情况下无法验证或证明实际情况是否确实如此。[单选题]24.关于有效的信息系统审计风险评估，以下哪一项对公司来说是最大的益处?A)审计将对高风险领域B)可以消除低风险领域C)管理层的可信度得到提高D)未来审计的范围已确立答案:A解析:[单选题]25.对于恢复时间目标(RTO)较高的敏感系统，以下哪种恢复策略最适合?A)温备援中心B)热备援中心C)冷备援中心D)移动恢复站点答案:C解析:A.温备援中心也许是个不错的解决方案，但并不是最适合的，因为其费用要比冷备援中心高很多B.热备援中心则适合于恢复时间目标(RTO)较低的关键系统。C.RTO较高的敏感系统，可以在可承受的成本范围内通过手动方式执行，且执行时间可以延长。对于此类系统，冷备援中心是最具成本效益的解决方案。D.移动恢复站点的成本效益不及溶备援中心，因而不适合RTO较高的系统。[单选题]26.IS审计师发现时间紧张和需求扩大是最近在新商业智能项目中违反公司数据定义标准的根本原因，下面哪项是该IS审计师给出的最合适建议?A)通过增加用于项目的资源来获得标准的一致性。B)在项目完成后调整数据定义标准。C)延迟该项目，直到符合标准。D)通过对违反者采取惩罚性措施来强制实施标准合规性。答案:A解析:A.如果充分记录了数据结构、技术和操作要求，则可将标准一致性视为分配给新项目资源的特定工作包。B.使用非标准数据定义会降低新开发工作的效率，增加在关键业务决策中出错的风险。在项目结束后更改数据定义标准很危险，不是一种可行的解决方案。C.因为影响业务需求或可能对整个项目的盈利产生不利影响的原因，延迟项目的建议不合适。D.惩罚违反者可能超出了审计师的权限范围，且在确定违规原因之前这样做也是不合适的[单选题]27.下面哪个选项是最好的审计技术可以帮助审计师检查从最后授权程序更新后是不是还有非授权的程序更新？A)测试数据运行B)代码检查C)自动代码对比D)代码移植流程审核答案:C解析:自动代码对比是对比两个版本的程序来决定是否两段程序是一致的。这是一种高效的技术因为是自动的程序。测试数据运行准许审计师来验证预先选择的交易处理，但是不能对未训练部分程序提供证据。代码检查是对源程序代码清单的过程，决定是否代码含有潜在的错误或低效的表达。代码检查能用做代码对比的手段但效率较差。对代码移植程序的检查不能检测出程序的变化。[单选题]28.基于专家系统的知识，在得到结论达成共识之前它会采用问卷让用户经过一系列选择，称它为:A)．规则rulesB)．决策树DeCisiontreesC)．语义图semAntiCnetsD)．数据流图DAtA、flowDiAgrAms答案:A解析:决策树采用问卷指引用户经过一系列的选择直到得出的结论达成共识。规则涉及陈述性知识的表达，通过使用if-then关系。语义图由图表组成，其中节点代表物理的或者概念的实物﹑圆弧描述节点之间的关系。语义图类似于数据流图，并利用继承机制来防止数据的重复。[单选题]29.以下哪一项是保护企业便携式电脑上的数据安全的最佳方法?A)完整的硬盘加密B)禁用了USB端口C)基于生物特征技术的访问控制D)双因素认证答案:A解析:[单选题]30.恢复策略的选择应该最有可能取决于：A)基础设施和系统的修复费用B)恢复站点的可用性C)业务流程的关键性D)时间响应过程答案:C解析:选择恢复策略时，关键的业务流程是最重要的元素。在业务影响分析（BIA）时各项业务流程和支持应用程序的关键性和风险水平是被确定的。恢复基础设施的成本和系统的首要考虑不是用来确定恢复策略。但这并不意味着不关心成本，而在灾难情况下首先需要什么战略来保持业务运作。一个恢复站点的可用性不是一个因素，而是一个成果。在每一个组织中事件响应过程都是需要的，用以处理任何事件的类型。尽管如此，恢复策略的选择将不依赖于过程。[单选题]31.当火警开始响起的时候，一个信息系统审计师在数据中心执行审计。审计范围包括，灾难恢复，因此审计师需要观察数据中心新的工作人员对警报的反应，下列哪一项对数据中心的工作人员来说是最重要的活动?A)通知当地消防部门B)准备启动灭火系统C)确保在数据中心的所有人员被疏散D)从数据中心删除所有备份磁带答案:C解析:在紧急情况下生命安全永远是第一优先的，该设施的完整和有秩序的疏散员工将是最重要的活动。通知消防部门的报警通常不需要，以为大多数中心配置为自动想地方当局报警，报告所需的数据。灭火系统也被设计为自动操作，并和激活时，工作人员尚未撤离可能会造成系统混乱和恐慌，导致伤亡甚至死亡。手动触发系统在一定条件下是必须的，但只有当所有其他数据中心的工作人员都安全撤离后。从数据中心备份磁带删除是不前档的行为，因为它可能延缓人员疏散。大多数公司会在异地存储备份磁带副本，以减轻灾害对这种类型的数据丢失的风险。[单选题]32.一个组织中的计算机安全事故响应团队把最近发现的威胁详细的公布出去，审计师最大的关注点应该是用户可能A)使用这个信息来实施攻击B)转发安全警报C)部署各自的解决方案D)不明白这个威胁答案:A解析:一个组织的计算机安全事件响应团队可能发布最近的威胁，安全指引和安全升级以帮助用户明白错误和漏洞引起的安全风险。然而，发布这个风险可能使用户利用这些风险信息直接或间接地去发起攻击。审计师应确保该C、sirt是积极参与协助用户降低由安全失败所带来的风险，并且防止由这个相同的威胁而引起额外的安全事件。转发安全警报不会伤害到该组织。实施各自的解决办法是不可能以及用户不明白这个威胁也不是一个需要特别关心的问题。[单选题]33.下列哪个选项能够为电子商务交易提供不可否认性服务？A)公钥基础构架（PKI）B)数据加密标准（DES）C)消息验证代码（MAC）D)个人标识码（PIN）答案:A解析:PKI是数字认证和加密密钥对的管理构架。可接受的数字签名具有如下性质：对于其用户是唯一的；能够验证；仅售其用户控制；与数据之间的关联方式是，如果数据改变则数字签名无效。PKI可以满足这些需求。DES是最常见的私钥加密系统。DES不能解决不可否认性问题。MAC是整个消息在密码系统传递后计算得到的加密值。发送者在传输之前附上MAC，接收者随后从新计算MAC并将其与发送的MAC进行比较。如果两个MAC不相等，则说明消息在传输过程中被更改；这与不可否认性无关。PIN是一种密码（即分配给个人的私密号码），通过与一些其他识别手段结合使用来验证个人身份。[单选题]34.在检查一个企业的数据文件控制流程时，审计员发现事务处理涉及到的文件都是当前版本的，而重启流程则使用早期版本。审计员建议实施：A)源文件保留B)数据文件安全C)版本使用控制D)一个一个检查答案:A解析:为保证处理是正确的，文档的正确版本使用是基本的。重启流程应使用早期的版本时，事务处理应适用于最新的数据库。源文档应在一个适当的时间周期内得到维护，以确保文档检索、重建或者数据查证，但是它不帮助确保正确的文档版本将被使用。数据文件安全控制防止被未被授权的能改变数据文档的用户访问，然而，它不确保使用的是正确的版本。有必要确保所有的文档已经被流程一个接一个的接受，然而，这不确保正确文件的使用。[单选题]35.某个电子邮件消息的发送者将数字签名应用到消息摘要中。此操作可保证：A)消息的日期和时间戳。B)发起计算机的标识。C)消息内容的机密性。D)发送者的真实性。答案:D解析:摘要中的签名可用于验证发送者。并不对日期和时间戳或发起计算机的标识提供保证。对电子邮件消息进行数字签名不会阻止对其内容的访问，因此不能保证机密性。[单选题]36.出现以下哪种情况时，IS审计师应使用统计抽样方法而非判断(非统计)抽样方法:A)必须客观量化错误的概率。B)审计师希望避免抽样风险。C)无法使用通用审计软件D)无法确定可容忍误差率。答案:A解析:A.在给定了预期错误率和置信水平的前提下，统计抽样才是一种客观的抽样方法，因为其有助于IS审计师确定样本量并量化错误的概率(置信系数)。B.抽样风险是指某样本无法代表样本总体的风险。判断抽样和统计抽样中都存在这种风险。C.统计抽样可使用通用审计软件，但不是必需的。D.对于判断抽样和统计抽样来说，可容忍误差率都必须预先确定。[单选题]37.下列哪项是对特洛伊木马软件侵入到组织内的最佳防御？A)一个击键记录应用程序B)一个病毒扫描应用程序C)一个状态监测防火墙D)一个跟踪调试应用程序答案:B解析:病毒扫描软件是针对特洛伊木马之类的恶意软件的最佳防御。一个击键记录应用程序不是一个防御工具，而更像是一种可以将机密信息发回给攻击者的恶意软件。状态检测防火墙不提供对恶意软件的防护，因为它涉及目标是为减轻基于网络的攻击，跟踪调试应用程序跟踪程序执行过程中的逻辑和数据值，并不能用于减轻与恶意软件相关的威胁。[单选题]38.项目督导委员会最终负责A)项目的日常管理和领导B)分配项目资金。C)项目成果交付、成本和时间表。D)确保系统控制到位。答案:C解析:A.项目的日常管理和领导是项目经理的职能B.为项目提供资金是项目主办方的职能。C.项目督导委员会提供总体指导;确保适当体现主要利益相关方于项目的成果中;和承担成果交付、成本和时间表的最终责任。D.确保系统控制到位是项目安全官的职能。[单选题]39.IS审计人员在应用开发项目的系统设计时间的首要任务是：A)商定明确详尽的控制程序B)确保设计准确地反映了需求C)确保初始设计中包含了所有必要的控制D)劝告开发经理要遵守进度表答案:C解析:[单选题]40.下面哪一个测试阶段的错误，会对新系统的实施产生最大的影响。A)系统测试B)接受测试C)集成测试D)单元测试答案:B解析:接受测试是软件安装和使用前的最终环节，在这个环节产生错误将导致延期或成本超支。系统测试是开发团队确定是否满足用户需求。集成测试则主要检查一个整体系统的单元/模块，而单元测试是检查单个单元或软件的组件。系统、集成和单元测试都是由开发者在开发各阶段完成；失败的影响比在接受测试阶段的失败相对要少。点评：UAT直接决定后续的实施工作[单选题]41.在提供备份计算机设备方面，下面哪一种情况是成本最低的？A)互助协议B)共享设备C)服务机构D)公司拥有的镜像设备答案:A解析:[单选题]42.绕过正常变更控制流程的紧急变更在以下哪种情况下是最可以接受的A)管理人员在变更发生后对变更进行审查和审批。B)变更在发生时由同事进行审查C)变更由运营部门记录在变更控制系统中D)管理人员已预先批准所有紧急变更。答案:A解析:A.由于在发生系统故障时管理人员并非始终有暇顾及，因此在发生变更后的合理时间段内对变更进行审查和审批的做法是可以接的。B.尽管同事审能够提供一定程度的问责制，但管理人员应审查并审批所有变更，即使审查和审批必须在事实发生之后进行。C.记录事件并不能取代要进行审查和审批流程。D.管理人员无视自己的职责未经审查即预先批准所有紧急变更的做法并不一种好的控制措施，因为这样一来，未经授权的变更可能会在管理人员不知情的情况下进行[单选题]43.以下哪项的经常更新对于灾难恢复计划的持续有效性是关键的？A)关键人员的联系信息B)服务器目的文件C)个人角色和职责D)宣布灾难的步骤答案:A解析:[单选题]44.一个审计章程应该：A)经常随着技术和审计专业的自然变动而动态的变更。B)清晰地陈述对于维护和审查内部控制的审计目标，委托和职权。C)记录为了达到预先计划的审计目标而设计的审计程序D)描述审计活动的全面的权力、范围和职责。答案:A解析:一个审计章程应该规定管理的目标，并将职责授权给信息系统审计人员。这个章程不应该随着时间而变更，应该得到最层管理着的核准。一个审计章程不是一个细则，因此不包括详细的审计目标或程序。[单选题]45.为开发一个成功的业务持续性计划，在下列哪个阶段，最终用户的参与是最关键的？A)业务恢复战略B)详细计划的开发C)业务影响分析D)测试和维护答案:C解析:在业务影响分析阶段，最终用户的参与是最关键的。在这个阶段，业务需求的当前运行被理解，并评估各种业务灾难的影响。最终用户应为这些任务提供相关信息，若这个阶段最终用户未充分参与，则会出现对业务优先级不适当的理解以及计划不满足组织需求。[单选题]46.一家公司将其工资系统由外包服务转换成了内部软件包，四明份,公司以并行方式进行工资处理，在新旧系统对此中，下列哪一项数据比较对确保系统转换后的数据完整性最有效?A)工资处理的周转周期B)抽样部分员工的工资详细信息C)员工人数和年初迄今为止的工资总额D)工资日记账中的员工数据主文件答案:D解析:[单选题]47.在对IT流程的安全审计过程中，信息系统审计师发现没有关于安全程序的文档。该审计师应该：A)生成该程序的文档B)中止审计C)进行符合性测试D)识别并评估目前状况下的组织活动答案:D解析:审计的一个主要目标是要识别潜在的风险，因此，最主动的方式是识别并评估目前状况下组织的安全活动。信息系统审计师不应该生成和准备这些文档，因为这会损害审计师的独立性。中止审计便无法实现识别潜在风险这一基本审计目标。因为连正式成文的程序文档都不存在，因此实施符合性测试是没有依据的。点评：发现控制缺陷-深入调研-风险评估-报告[单选题]48.在软件测试中使用自下而上方式的优势：A)尽早检测到接口B)能较早完成系统开发C)更早地检测到关键模块的错误D)更早地测试主要功能和过程答案:C解析:自下而上软件测试的方法从最小的单元开始测试。比如程序和模块，自上工作直到全部系统测试完成。自下而上软件测试的优点是不需要模组和驱动并且关键模块的错误能够较早发现。其他选项在这个问题中描述的是从上之下的方式的优点，是按照相反的路径，不是深度优先查找方式就是广度优先查找方式。点评：下向上测试最先发现具体功能的问题[单选题]49.信息系统审计师建议管理人员先测试新系统,然后才在生产模式下使用该系统，管理人员在制定测试计划时的最佳方法是使用:A)由测试生成器随机选择的处理参数B)由用户随机选择的处理参数C)由应用程序供应商提供的处理参数D)由生产团体和客户模拟的处理参数答案:D解析:[单选题]50.在EDI应用中，为确保收到订单的真实性，合适的控制是：A)用确认消息告知电子订单的收到B)在安排订单之前在数量上实施合理性检查C)验证发件人的身份，并确定订单是否与合同条款相一致。D)加密电子订单。答案:C解析:电子数据交换（EDI）系统不仅是电脑系统的常规风险，也在贸易伙伴和第三方服务供应商方面所带来的控制的潜在失效，使用户和信息的认证成为主要的安全关注。用确认消息告知电子订单收到是好的做法，但不会验证订单来自客户。在安排订单之前在数量上实施合理性检查，是确保公司的订单正确性的控制，而不是客户订单的真实性。对敏感信息加密是恰当的步骤，但并不适合用于消息接收。点评：阅读理解吧[单选题]51.每感染一个档就变体一次的恶意代码称为：A)逻辑炸弹B)隐秘型病毒C)特洛伊木马D)多态性病毒答案:D解析:[单选题]52.下列哪个控制可以最有效地发现网络传输错误？A)奇偶校验B)同送检查C)块总数校验D)循环冗余码校验答案:D解析:循环冗余码校验能够检查整块传输数据。发送站点产生CRC并和数据一起发送，接收站点也计算CRC，并和接收到的CRC进行比较，如果相同则表明数据无误。通常，CRC可以检测出所有单位数和多位数错误。奇偶校验（被认为是冗余检验）是在传输中向每个字符增加一位（被称为奇偶位），当大量突发性错误（如在高速传输过程中的脉冲噪音）时，它只有大约50%的可靠性，越高的传输速率，这个局限性就越重要。会送校查技术是将传输数据回送给发送设备并和原始发送数据进行比较，可以检测出线性错误。[单选题]53.来自互联网的电子邮件通信经由防火墙1路由到邮件网关。邮件再从邮件网关经由防火墙2路由到内部网络中的收件人。不允许进行其他通信。例如，防火墙将不允许从互联网到内部网络的直接通信。入侵检测系统(DS)发现内部网络通信并未从邮件网关开始。该IDS首先触发的操作应是A)向相应人员报警B)在日志中创建一条记录C)关闭防火墙2D)关闭防火墙1。答案:B解析:A.入侵检测系统(DS)首先采取的措施是创建一条日志记录，然后向适当人员报警。B.在日志中创建一条记录是网络IDS首先采取的措施。IDS还可配置为向管理员发送一次警报，向防火墙发送一条备注，甚至配置为记录可疑的数据包。C.内部网络通信未从邮件网关开始说明防火墙1没有正常运作。这可能是由黑客攻击造成的。IDS在记录可疑流量后，可向防火墙2发送关闭的信号，以防止对内部网络的破坏。关闭防火墙2之后，可以对防火墙1进行故障调查。防火墙2的关闭应由IDS自动触发。或通过手动干预来实现。在IDS检测到异常和系统管理员响应之间可能丧失宝贵的时间，黑客在此期间还可攻破防火墙2。D.IDS一般只关闭防火墙2来保护内部网络，而不会关闭面向外部的防火墙1[单选题]54.有效的IT治理需要组织结构和流程来确保：A)组织策略和目标扩充了IT策略B)从IT策略中获得业务策略C)IT治理不同于全部治理，与全部治理相分割D)IT策略扩充了组织策略和目标答案:A解析:有效的IT治理需要董事会和执行管理层扩展对IT的治理，并提供领导力、组织结构和流程来确保组织IT的持续以及扩充组织策略和目标，并保证IT策略与业务目标一致。A、选项是不正确的，因为是IT策略扩充了组织策略和目标，而不是相反的。IT治理不是孤立的原则：它必须成为企业整体治理的一部分。[单选题]55.一个组织外包了帮助平台。一个信息系统审计师在审查合同和相关服务协议（SLA服务级别协议）和供应商之间的组织的规定时，最关心的应为：A)工作人员背景调查的文件B)独立审计报告或安全审计调查C)报告每年增量成本减低D)报告人员更替，发展或培训答案:B解析:当一个部门的职能被外包，一个信息系统审计师应确保经费用于独立的涵盖所有重要领域的审计报告，或是外包商的访问取得了全面审计。尽管人员的背景调查文件进行检查是必要的，但这不是重要的审计。财政措施有一个服务水平协议，例如增量成本的降低是可取的，但降低成本都不如独立审计报告或提供完整的审计调查重要。一个SLA可能包括诸如资源规划，员工流失率，发展或人才培训相关措施，但这不如独立报告，也没有外包机构准入条件的全面审核重要。点评：对外包商需要进行独立全面的审核[单选题]56.以下哪一项是防止未经授权使用数据的最有效的方法？A)自动的文件入口B)磁带库C)访问控制软件D)数据库锁定答案:C解析:访问控制软件是针对未授权访问数据的最有效的设计。[单选题]57.信息资产足够的安全措施的责任属于：【已经理解】A)数据和系统所有者，例如公司管理层B)数据和系统保管者，例如网络管理员和防火墙管理员C)数据和系统用户，例如财务部D)数据和系统经理答案:A解析:最终的管理责任属于高级管理层。[单选题]58.下列哪-项是信息系统审计师在审查软件许可证管理时主要考虑的问题:A)不使用站点许可证B)没有备用许可证供将来使用C)缺少软件第三方托管协议D)没有当前的软件清单答案:D解析:[单选题]59.局域网环境下与大型计算机环境下的本地备份方式有什么主要区别？A)主要结构B)容错能力C)网路拓扑D)局域网协定答案:B解析:[单选题]60.下列哪一项最能确保组织的广域网络的连续性？A)，内置变更路由B)，每日完成完全的系统备份C)，维保合同与服务提供商D)，每台服务器的做双机答案:A解析:如果一个的服务器失效或难以链接，替代路由能确保网络的连续性并使信息自动的重新路由。系统备份将没有能力即时保护。维修合同是不如作为永久的替代路由有效。如果一个链接有问题，备用服务器将不会提供连续性。[单选题]61.下列哪项导致了拒绝服务攻击？A)．暴力破解（BruteforCeAttACk）B)．死亡之ping（PingofDeAth）C)．跳步攻击（LeApfrogAttACk）D)．无预防攻击（NegAtiveACknowleDgement(NAK)AttACk）答案:A解析:用大于65KB、和没有报文报头的数据包的ping会引起拒绝服务攻击。暴力破解是典型的试尽所有可能的密码组合文本攻击。跳步攻击，远程登陆行为是通过一个或多个主机来预防跟踪，利用从一台主机非法获得的用户ID、和密码信息来威胁另一台主机的安全。无预防攻击是一种渗透技术，此技术充分利用操作系统中的潜在弱点同时不能适当的处理异步中断，在这种中断中使系统处于未受保护的状态。[单选题]62.以下哪一项降低了社会工程学攻击的潜在影响?A)符合法规要求B)提升道德C)安全意识计划D)有效地绩效激励机制答案:C解析:因为社会工程学是以用户的欺骗为基础，最好的对策或防御是安全意识教育。其他的选项都不是以用户为中心。点评：社工--意识[单选题]63.审查数字版权管理（DRM）应用程序的IS审计师预计应发现下列哪项技术被广泛使用：A)数字签名B)哈希C)解析D)隐写术答案:D解析:隐写术是一种用于隐藏消息或信息内容的技术。一种日渐普遍的重要隐写术就是数字水印技术，即在数据中隐藏数据，例如，将版权信息以编码方式加入图像或音乐文件中而不影响图像或音乐的视听质量。数字签名与数字版权管理无关。哈希可创建消息哈希或摘要，用于确保消息的完整性；哈希通常被视为加密算法的一部分。是出于分析的目的分割连续字符流的过程，广泛应用于编程语言设计或数据条目编辑。[单选题]64.对于IS审计师来说，执行以下哪项测试能够最有效地确定对组织变更控制流程的遵守情况?A)审查软件迁移记录，并对审批进行核查。B)识别所做的变更，并对审批进行核查。C)审查变更控制记录，并对审批进行核查。D)确保只有相关员工才能将变更迁移到生产中。答案:B解析:A.软件迁移记录可能没有列出全部变更一可能有已经作出的变更没有包括在迁移记录中。B.最有的效方法是确定做了哪些变更(检查日志和修改日期)，然后验证这些变更是否得到了批准。C.变更控制记录可能没有列出全部变更。D.确保只有相关员工才能将变更迁移到生产中，这是关键的控制程序，但其本身并不会验证合规性。[单选题]65.一位IS审计师注意到，在安装安全修补程序之后，现场工作的第一天就发生了系统崩溃事故。为提供该事故不再发生的合理保障，IS审计师应确认A)只有系统管理员可执行修补程序流程B)客户的变更管理流程具有适当性控制C)在生产中使用并行测试验证修补程序D)开发包括风险评估在内的修补程序审批流程答案:B解析:包括生产期间变更实施程序在内的变更管理流程有助于确保此类事件不再发生，IS审计师应审查包括修补程序管理程序在内的变更管理流程，以便验证流程是否具备适当的控制，并根据情况提出建议。尽管系统管理员通常会安装修补程序，且修补程序通常都要进行测试，但在非生产期间进行变更更为重要；此外，并行测试不适合安全修补程序，因为有些服务器可能仍然易受攻击，审批流程无法直接防止此类事故的发生。[单选题]66.在数据库应用程序的需求定义阶段，性能被列为重中之重。为访问数据库管理系统(DBMS)文件，下面那一种技术被建议使用以达到最优的I/O性能？A)存储区域网络(SAN)B)网络附加存储（NAS）C)网络文件系统（NFSv2）D)通用英特网文件系统（CIFS）答案:A解析:相比其他选项，在一个有计算机、FC交换机或路由器、存储设备组成的存储区域网络（SAN）中，除了特殊的文件系统，没有为远程访问宿主或输出文件系统的计算机系统。在SAN访问存储在存储设备上的信息相当于直接附加储存，这意味着磁盘上的每个数据块都可以直接处理，因为可以象本地设备一样处理存储设备上的文件，从而提供最佳的性能。其它选项描述了在一台计算机（或应用）和其他系统共享信息的技术。为了访问资料，英爱读取完整的文件。I/O是input/output的缩写，即输入输出端口。每个设备都会有一个专用的I/O地址，用来处理自己的输入输出信息。[单选题]67.哈希和加密之间最主要的区别在于哈希：A)不可逆B)输出消息与原始消息的长度相同C)涉及完整性和安全性D)发送端和接收端相同答案:A解析:哈希以单向方式工作一通过将哈希算法应用到消息，创建消息哈希/摘要。如果将相同的哈希算法应用到消息摘要，并不会生成原始消息。就这一点而言，哈希是不可逆的，而加密是可逆的。这就是哈希与加密之间的基本区别。哈希创建的输出比原始消息小，而加密创建的输出与原始消息具有相同的长度。哈希可用于验证消息的完整性，但并不解决安全问题。可在发送端和接收端使用相同的哈希算法，以生成并验证消息的哈希/摘要。而加密不一定在发送端和接收端使用相同的算法来进行加密和解密。[单选题]68.以下哪种风险可能是由软件基准不充分引起的?A)签字延迟B)违反软件完整性C)范围偏离D)控制不充分答案:C解析:A.签字延迟可能是由软件基准不充分造成的，但最有可能是由范围偏离造成的。B.违反软件完整性可能是由硬件或软件故障、恶意入侵或用户错误造成的。软件基准并不能帮助预防违反软件完整性。C.软件基准是系统设计和开发中的分界点。超过该点后，对范围的额外要求或修改必须根据业务成本效益分析经过正式、严格的审批流程。如果未能通过基准来适当地管理系统，可能会导致在项目范围内发生无法控制的变更，井可能导致超出时间和预算。D.控制不足最有可能出现在从系统开发之初便未适当考虑信息安全的情况下，通过软件基准并不能充分解这些风险[单选题]69.某企业使用特权帐户处理关键任务应用程序的配置变更。此时，以下哪个选项属于限制风险的最佳且恰当的控制?A)确保审计轨迹正确具体B)确保人员经过足够的培训。C)确保已对关键人员进行人员背景调查。D)确保管理层已对关键变更进行审批和审查。答案:D解析:A.审计轨迹属于检测性控制，并且在许多情况下可被具有访问特权的用户改动。B.员工能力很重要，良好的培训也能起到一定的约作用，但管理层的审批和审查才是最佳选择.C.进行背景调査是一项非常基本的控制，不能有效地防止或检测错误或不正当操作。D.要求由企业中的责任经理对关键变更进行审批和审查，以避免和检测任何未经授权的变更。除授权外，监督还需要执行职责分离，以防止个别员工产生任何未经授权的企图[单选题]70.在安全专员的帮助下，由谁来负责授予数据的访问权限A)数据所有者。B)编程人员。C)系统分析员。D)库管理员。答案:A解析:数据所有者负责数据的使用。用户获得计算机化信息访问权限的书面授权应该由数据所有者出具。经所有者批准的安全管理人员可设置访问规则，规定有权访问数据或文件的用户组及其权限级别（例如读取或更新）。[单选题]71.一名审查T项目管理流程的S审计师正在审一项关键项目的可行性分析，以创建一个新的数据中心。该S审计师最关注以下哪一个事实:A)尚未确定该项目如何才能适合整体项目组合。B)尚未评估项目对组织的影响。C)并非所有IT利益相关方都有机会提出反馈意见。D)尚未评估数据中心对环境的影响答案:B解析:A.尽管必须给项目分配优先级并作为一个组合加以管理，但这很有可能在进行可行性分析、确定项目可行之后进行。B.可行性分析确定项目的战略效益。因此，可行性分析的结果确定对组织的影响一一成本。效益和风险的比较报告等。项目组合是评估组织策略的一部分。C.可行性分析通常由具备决策知识的人员进行，因为不需要整个IT组织的参加。D.尽管数据中心建设之类的IT项目可能需要环境影响分析，但这是在确定对组织的影响之后进行。[单选题]72.审查信息安全政策的制定时，IS审计师的主要关注点应放在确保这些政策A)针对全球普遍接受的行业最佳做法进行了调查B)得到了董事会和高层管理人员的批准C)在业务和安全要求之间取得了平衡D)对执行安全程序提供了指导答案:C解析:信息安全政策首先必须根据组织的目标进行调整。公司应根据自己的业务目标采用最佳做法。政策获得批准时必要条件；但这不是政策制定期间的主要关注点。如果没有根据业务要求进行调整，政策就无法提供指导。点评：在制定策略时，业务是决定性的要素[单选题]73.当审计师使用不充分的测试步骤导致没能发现存在的重要性错误，导致以下哪种风险：A)业务（商业）风险。B)检查风险。C)审计风险。D)固有风险。答案:B解析:审计师使用不恰当的测试步骤并且得出重要性错误不存在，属于审计师的检查风险。[单选题]74.当审计组织的IT治理和IT风险管理框架实践，信息系统审计师发现一些未经定义的IT管理和治理的职责。以下哪条建议是最合适的？A)审评IT与业务战略的一致性B)在组织内实施责任的规则C)确保独立的定期进行的IT审计D)建立首席风险官（CRO）在组织中的职责答案:B解析:IT风险的管理是内嵌到企业的责任。信息系统审计师应当建议问责制实施细则。以确保所有的责任是组织内定义的。虽然IT和企业的策略一致性很重要，但在这种情况下它不直接关系到定义这个差距。同样，如果问责规则都没有明确规定和实施，过于频繁的执行审计或推荐创建一个新的角色（CRO）是没有帮助的。点评：先把IT治理和管理的责任落实下来最重要[单选题]75.以下种消息服务能够最有力地证明特定行为的发生?A)交付证明B)不可否认性C)提交证明D)消息源验证答案:B解析:A.交付证明可被接收者操纵，不是可信的证明形式。B.不可否认性服务可以证明特定行为的发生。不可否认性服务类似于作用较弱的证明服务(即提交证明、交付证明和消息源验证)。但不可否认性所提供的证据更有力，因为可以向第三方展示相关证明。数字签名可用来提供不可否认性服务C.提交证明是一种较弱的证明形式，没有不可否认性可信D.消息源验证只能确定消息的来源，并不能证明特定行为的发生[单选题]76.以下哪项是最有效的防病毒软件类型？A)扫描程序B)主动监控程序C)完整性检查程序D)疫苗答案:C解析:完整性检查程序会对已知的无病毒程序计算出一个二进制数，然后将其存储在数据库文件中。该数字称为循环冗余校验（CRC）。调用该程序以执行时，检查程序将计算要执行的程序的CRC，并将其与数据库中的数字进行比较。匹配意味着没有感染；不匹配意味着程序已被更改。程序的更改可能意味着有病毒。扫描程序会查找称为签名的位序列，这是病毒程序的典型特征。扫描程序将检查内存、磁盘引导扇区、可执行文件和命令文件来查找与已知病毒匹配的位模式。因此，扫描程序需要定期更新以保持有效性。主动监控程序对磁盘操作系统（DOS）和只读存储器（ROM）基本输入输出系统（BIOS）的调用进行解译，以查找类似病毒的操作。主动监控程序可能有误报，因为其不能区分用户请求和程序或病毒请求。因此，对于格式化磁盘或者删除一个活一组文件之类的操作，需要用户进行确认。疫苗是已知的效果很好的防病毒软件。但是，需要定期更新疫苗来保持其有效性。[单选题]77.管理人员发现在多阶段实施之初，就有落后计划和超出预算的情况。在进行下一阶段之前，IS审计师针对后实施阶段工作重点的首要建议应是A)评估是否衡量、分析和报告计划的成本利益B)审查控制平衡，验证系统能否正确处理数据C)审查第一阶段的后续项目更改要求D)确定系统目标是否实现答案:C解析:既然管理人员意识到项目存在问题，那么审查后续修复将会提供关于项目问题的类型和可能原因方面的见解。这将有助于确定IT是否已为解决后续阶段中的这些问题而做好充分的计划。尽管所有选项都对，但后实施阶段工作重点和主要目标应保证最初阶段的问题得以解决。点评：前一个阶段出现延迟，后一阶段启动时需对详细计划、成本、交付物进行变更[单选题]78.下面哪一项是对于网络的被动式攻击？A)消息修改B)伪装C)拒绝服务D)流量分析答案:A解析:入侵者确定已定义的主机之间流量（流量分析）的状态后，就可以猜测发生通讯的形式。消息修改包括俘获消息并进行未授权的改变和删除，改变被俘获消息的顺序或延迟传输。伪装是一种主动式攻击，入侵者呈现出与原始身份不同的身份。当连接到互联网的计算机被必须处理的数据和（或）请求充满时，即发生了拒绝服务攻击。[单选题]79.一家企业的业务连续性计划(BCP)中没有定义关键流程，以下哪一项最可能发现这个差距?A)审查业务影响分析B)测试事故响应计划C)更新风险登记表D)审查业务连续性战略答案:A解析:[单选题]80.当开发一个安全架构时，以下步骤首先应该执行的是：A)开发安全程序B)定义安全政策C)指定一个访问控制方法D)定义角色和职责答案:B解析:定义信息及关联技术安全政策是建立一个安全架构的第一步。安全政策传达了一个连贯的安全标准对于用户，管理和技术人员。安全策略通常会定出在什么阶段的工具，程序是组织需要的。其他的选项应该在定义一个安全策略后被执行。点评：先定策略，在具体定角色职责、程序、方法[单选题]81.通过传输每个字符或数据帧的冗余信息来检测或纠正(传输)错误被称作为:A)反馈差错控制B)(数据)块和数校验C)前向差错控制D)循环冗余校验答案:C解析:前向差错控制包含了传输每个字符或数据帧的额外冗余信息来检测或纠正(传输)错误。在反馈差错控制中仅仅传输足够使得接收者检测到差错发生的额外信息。B及D均为差错检测方法，不是差错纠正方法。(数据)块和数校验是奇偶校验的扩展，即针对字符块计算一系列校验位。循环冗余校验是针对每一数据帧的内容生成一组校验位的技术。[单选题]82.下列哪项是用于降低风险的机制？A)安全和控制实践B)财产和责任保险C)审计与认证D)合同和服务水平协议答案:A解析:风险被应用适当的安全和控制实践降低。保险是传递风险的机制。审计和认证是风险保证机制，而合同和服务水平协议是风险分配机制。[单选题]83.审计师进行业务连续性审计时下列哪个是最重要的？A)数据备份及时进行B)恢复网站签订协议及可根据需要使用C)人员安全程序到位D)保险范围是足够的和保费是已交的，保单有效答案:C解析:在任何业务连续过程中最重要的因素是保护人的生命。这在该计划的所有其他方面里优先。[单选题]84.下面哪项能在数据处理过程中最好地检测出错误？A)程序编辑检查B)精心设计的数据进输入审查C)职责分享D)哈希运算答案:D解析:哈希运算是检测数据处理进程错误的有效手段。自动化的控制例如编辑检查或精心设计的数据输入审查是预防性质的控制。职责分享主要是确保一个人不能同时有创建和批准的权限，这不是检测错误的一种方法，而是一种预防错误的方法。点评：哈希检查完整性错误[单选题]85.为便于成功进行对即将替换现有旧版系统的新版企业资源规划(ERP)薪资管理系统的用户测试和验收，以下哪个选项属于最佳方法?A)多重测试B)并行测试C)集成测试D)原型测试答案:B解析:A.采用多重测试无法对比旧版系统和新版系统中的测试结果。B.并行测试是测试数据结果以及系统运行情况的最佳方法，因为此方法允许用户在废弃旧版系统前对比来自这两个系统的结果。此外，并行测试还有助于用户更好地接受新版系统。C.集成测试用于了解系统与其他系统之间的交互情况，且不是由最终用户执行。D.原型测试用于设计和开发期间，以保证收到用户输入;但这种方法不用于购置的系统或用户验收测试期间[单选题]86.相对于不存在灾难恢复计划，和当前灾难恢复计划的成本对比，最接近的是：A)增加B)减少C)保持不变D)不可预知答案:A解析:因为灾难恢复计划措施的额外费用，组织的正常运行费用在执行灾难恢复计划后将增加，比如，没有灾难期间的正常运行费用将高于没有灾难恢复计划的运行费用。[单选题]87.与RSA加密相比，以下哪项是椭圆曲线加密的优点？A)计算速度B)能够支持数字签名C)更简便的密钥分配D)给定密钥长度的强度更大答案:A解析:与RSA加密相比，椭圆曲线加密的主要优点是其计算速度。此方法由Diffie和MartinE.Hellman发明，公钥加密的概念也是首先由他们提出的。这两种加密方法均支持数字签名，可用于公钥加密和分配，且强度相似。[单选题]88.为了调查与软件相关的影响响应时间的原因，审计师应该：【已经理解】A)进行跟踪并以图形描述。B)开发一个集成测试工具。C)使用嵌入的审计数据。D)进行平行模拟。答案:A解析:A正确,进行跟踪检查软件处理数据是否正确。图形描述可以检查软件的逻辑结构是否合理。从而发现与软件相关的影响响应时间的原因；B不正确,是一种综合性测试。C不正确,主要用于测试数据处理的正确性；D不正确，使用平行模拟法，审计师必须首先证明模拟程序是正确，而且模拟复杂的应用程序成本高。主要用于检查欺诈性程序。[单选题]89.一个决策支持系统（D、D、S）：A)主要是正对解决高层组织的问题。B)联合使用非传统数据访问和恢复功能。C)强调使用者决策制定方法的适宜性。D)只支持组织决策制定任务。答案:A解析:DSS在使用者的决策方式中强调适应性。它被针对解决比较少量组织问题，结合模型和分析技术的使用，利用传统的数据访问和补充功能，而且支援？下决策执行工作。[单选题]90.在审查某个进行中的项目时，S車计师注意到开发团队第一天在项目上花费了八个小时的话动,而预算时间为24个小时(三天)。完成剩余部分的项目活动预计需要20个小时。S审计师应报告该项目:A)落后于进度。B)比进度提前。C)在按进度进行。D)除非活动已完成，否则无法评估。答案:A解析:A.挣值分析(EVA)的前提是如果项目任务被指定用24个小时来完成，则在该时间段内完成项目是合理的。根据EVA，该项目落后于进度。考虑到仍有20个小时的工作量尚未完成，因此在八个小时内仅完成了四个小时的工作量。B.项目没有比进度提前，因为剩下的工作超过了分配的时间。C.项目没有技进度进行，因为只剩下16小时来完成需要20小时的工作。D.剩余工作量估计为20小时，而项目剩余时间为16小时，因此审计师可以评估项目的当前状况[单选题]91.在逻辑访问控制审查中，一位IS审计师发现用户账户被共享。这种情况带来的最大风险是A)未经授权的用户可能会使用这一ID进行访问B)用户访问管理非常耗时C)无法建立用户问责机制D)密码容易猜出答案:C解析:多人使用一个用户ID无法知道事实上是谁在使用ID访问系统；因此很难实现个人问责。未经授权的用户使用共享ID访问系统的风险不一定比未经授权的用户使用唯一用户ID访问系统的风险大。对共享ID的访问管理没有什么不同，共享用户ID的密码也不一定更好猜。[单选题]92.在信息系统审计中，关于所收集数据的广度的决定应该基于:A)关键及需要的信息的可用性B)审计师对（审计）情况的熟悉程度C)被审计对象找到相关证据的能力D)此次审计的目标和范围答案:A解析:所收集数据的广度与审计的目标和范围直接相关，目标与范围较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。审计范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程度限制。收集所需的所有证据是审计的必要要素，审计范围也不应受限于被审计对象找到相关证据的能力。[单选题]9