CISA考试练习(习题卷26)

试卷科目：CISA考试练习CISA考试练习(习题卷26)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.在部署风险管理程序的时候，下列哪一项应该被最先考虑到:A)组织的威胁，弱点和风险概貌的理解B)揭露风险的理解和妥协的潜在后果C)基于潜在结果的风险管理优先级的决心D)风险缓解战略足够使风险的结果保持在一个可以接受的水平上答案:A解析:实施风险管理，作为有效的信息安全治理的成果之一，第一步是要取得组织的威胁、脆弱性和风险概貌的整体认识。基于这一点，一个风险揭示和潜在妥协结果可能被决定。建立在潜在的后果基础上的风险管理优先项目然后可能得到发展；这将提供一个基础，为制定战略，减轻风险，足够地使后果同风险保持在一个在可接受的水平。[单选题]2.在某组织中对软件开发实务进行评估期间，IS审计师注意到质量保证(QA)职能部门向项目管理人员汇报。IS审计师最关心的问题是:A)QA职能的有效性，因为QA职能应是项目管理和用户管理间的桥梁。B)QA职能的效率，因为QA职能部门应与项目实施团队进行交互。C)项目经理的有效性，因为项目经理应与QA职能部门进行交互。D)项目经理的效率，因为该QA职能部门需要与项目实施团队进行沟通。答案:A解析:A.要有效工作，质量保证(QA)职能部门应该独立于项目管理人员来开展工作。否则，项目管理人员可能对QA职能部门施压以批准不合格的产品B.QA职能的效率不会因为与项目实施团队进行交互而受影响。QA团队在产品符合QA要求前不能发布产品用于实施C.项目经理会响应QA团队提出的问题。这不会影响项目经理的有效性。D.QA职能部门与项目实施团队的交互不应影响项目经理的效率。[单选题]3.在互联网协议安全中，以下哪项提供了首要的数据保护？A)语义网B)封装安全负载C)头验证（AH）D)数字签名答案:B解析:互联网协议安全工作是基于两个数据包ESP和AH。为了保护数据ESP加密数据并且存储他们在一个封装安全负载包组件中。AH管理验证过程，不是数据的安全。语义网是人工智能的一部分并且对数据保护没有帮助。数字签名不被使用在互联网协议安全中也不提供数据保护。[单选题]4.某IS审计师正在为某大型跨国公司审应用变更管理流程，他最担心发生以下哪种情况?A)测试系统的运行配置与生产系统不一样。B)变更管理记录为纸质记录。C)配置管理数据库未经维护。D)测试环境安装在生产服务器上。答案:C解析:A.尽管生产和测试系统最好采用相同的配置，但不这样做可能是有原因的。更重要的问题是，配置管理数据库是否得到维护。B.纸质变更管理记录难以进行大批量维护，并且不容易审查:但从控制的角度来说，只要得到适当和用心的维护，它们并不会带来问题。C.配置管理数据库(CMDB)用于跟踪配置项(C)及其相互之间的依赖关系。大型跨国公司中的CMDB如果过时，可能导致获得错误的批准，或在测试阶漏关键的依赖关系。D.尽管将测试环境安装在生产服务器上不太理想，但这种担心与控制无关只要测试环境和生产环境保持隔离，则可以安装在同一台的物理服务器上[单选题]5.以下哪一种环境控制可以保护计算机设备免受电力短期降低的影响?A)电源线调节器B)电涌保护设备C)备用电源D)间断电源答案:A解析:A.电源线调节器可用于弥补电力供应的高峰和低谷，并将电力流量的峰值小至机器所需的值。该设备中存储的电力可以消除谷值B.电涌保护设备用于防御高压脉冲C.备用电源的目的是用于较长时间的断电，通常与不间断电源(UPS)等其他设备一起补偿电力损失，直至供电恢复。D.无论何时发生电源故障，间断电源都会导致设备无法使用。[单选题]6.应该仔细监控打印服务器的离线打印缓存，以确保控制和预防对敏感信息的非授权访问。下列哪项是审计师最关注的？【已经理解】A)部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据B)部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据C)部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业D)部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、修改、查看打印作业的数据输出答案:A解析:题目重点在访问控制的机密性。打印机管理员的技术特权可以从打印缓存打印任务，及时用户没有打印输出的授权。其它是信息完整性、可用性的潜在风险暴露。[单选题]7.可以保护数据管理员遵守企业数据管理工作职务的有效预防控制是哪个？A)异常报告B)职责分离C)检查访问日志和活动D)管理监督答案:B解析:适当的责任隔离能够约束数据管理员在数据所有者的授权下进行活动。异常报告是侦测型控制，被使用指示数据库管理员什么时候执行了未被授权的活动侦测。检查访问日志是经常被使用侦测数据库管理员的活动表现。数据库管理员活动的管理批准是被使用侦测哪个活动未经授权。[单选题]8.信息系统审计员是被安全管理告知，病毒扫描程序是实时升级的。信息系统审计员确认了病毒扫描程序是被配置为自动升级。信息系统审计员下一步应该确认什么控制是有效的？A)与供应商确认最新版本的病毒定义模式B)检查日志并且确认病毒样本是被更新的C)与安全管理员确认最近一次升级的病毒样本D)信息系统审计员已经做了足够的工作不需要进一步的工作答案:A解析:信息系统审计员能使用额外提供的信息去确认最近一次供应商提供的病毒样本是被病毒扫描程序自动升级。检查日志并且确认病毒样本是被更新仅暗示了更新是被执行。病毒样本的最后版本应被及时装载。从安全管理员处确认最近一次升级的病毒样本，信息是由内部安全管理员提供的，它是没有外部来源可靠地。检查仅是指示出控制以被执行，不是有效的操作。[单选题]9.一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID（火警ID）。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项？A)审查访问控制特权授权过程B)实施身份管理系统（IMS）C)改进对敏感客户数据更改进行审计的流程D)仅将火警账户授予经理答案:A解析:在此题中，IS审计师应建议审查访问控制管理流程。应急系统管理级访问权限仅应根据需要授予，并且还应事先定义到期日期。具有临时特权的账户需要加强控制，以便对特权的使用寿命进行限制，并且这些账户的使用情况也应受到严密监控。选项B不正确。尽管实施IMS也许能够解决问题，但最划算的方法还是先审查访问特权。即使改进了对敏感客户数据更改进行审计的流程（选项C），也无法防止这些账户遭到滥用，并且应该在审查完过程后执行此操作。将火警账户仅授予经理（选项D）并不现实。[单选题]10.以下哪个数据校验编辑在检测移位和抄录错误时，是有效的：A)范围检查B)校验数字位C)有效性检查D)重复性检查答案:B解析:校验数字位是一种通过数学计算加载在数据后面的数值确保原始数据不被修改，范围检查检查数据是否在预先定义的范围中。有效性检查是通过程序检查数据是否符合预先设定的标准。重复性检查是确认没有重复输入。点评：校验数位用于解决换位错误和抄录错误[单选题]11.在审计风险管理程序中，下面那一项职责最有可能损害审计师的独立性？A)参加风险管理框架的设计B)为不同的实施方法提供建议C)协助风险意识的培训D)对风险管理程序进行尽职调查答案:A解析:参加设计风险管理框架将涉及控制设计，这将损害审计师审计风险管理程序的独立性。为不同的实施方法提供建议并不损害审计师的独立性，因为审计师并不参与决策过程。协助风险意识的培训不会损害审计师的独立性因为审计师不参与决策过程。尽职调查（duediligence,又做?谨慎性、合理尽责?之类的解释）是一种审计类型点评：动脑子的活最影响独立性[单选题]12.以下哪种加密技术最能保护无线网络免受中间人攻击？A)128位有线对等保密（WEP）B)基于介质访问控制（基于MAC）的预共享密钥（PSK）C)随机生成的预共享密钥（PSK）D)字母数字的服务集标识符（SSID）答案:C解析:随机生成的PSK强于基于MAC的PSK，因为计算机的MAC地址是固定的并且通常可以访问。WEP已经证明是非常弱的加密技术，几分钟内就可以被破解。SSID是无线网络上明文形式的广播。[单选题]13.在与多个外部系统连接的第三方应用程序中发现安全漏洞后，对大量模块应用了修补程序。IS审计师应建议执行以下哪项测试?A)压力测试B)黑盒测试C)接口测试D)系统测试答案:D解析:A.压力测试与容量和可用发生有关，不适用于本题的情形B.黑盒测试按单个模块进行，但因为多个模块发生了改变，需要对整个系统进行测试C.接口测试会测试与外部系统的交互操作，但不能验证改变后系统的性能。D.鉴于修补程序及其与外部系统的连接的广泛性，系统测试最为适合。系统测试会测试所有功能和模块间的接口。[单选题]14.审计师寻求确保信息技术被有效率地使用以支持组织愿景和目标，保障信息的机密性、完整性和可用性。下列哪种流程最好地支持这个目标？A)网络监控。B)系统监控。C)人员监控。D)能力计划和管理。答案:D解析:计算机资源应该被仔细地监控匹配利用率需求和恰当的资源能力水平。能力计划和管理依赖网络、系统、人员监控以确保满足组织愿景和目标和信息的机密性、完整性和可用性。[单选题]15.当制定风险管理方案，首先要执行的活动是什么？A)威胁评估B)分类数据C)资产清单D)紧急性分析答案:C解析:对所要保护的资产进行鉴定是风险管理计划的第一步，清单中的威胁是指会影响这些资产的效能以及危险性分析是这个流程的下一个步骤。要求数据分类是为了数据定义访问控制和威胁分析。[单选题]16.下面哪一项保护措施对于确保信息处理设施内的软件和数据安全是最重要的？A)安全意识B)翻阅安全策略C)安全委员会D)逻辑访问控制答案:D解析:保持一种竞争优势并且满足基本的企业需求，组织必须保证储存在他们的计算机系统中的信息的完整性，保护敏感数据的机密性，并且保证他们的信息系统的持续的可用性。为了满足这些目标，逻辑访问控制必须是适当的。意识（选择A）本身并没有保护免遭未经授权的访问或信息泄密。信息系统安全策略方面的知识（选择B），组织的雇员应该是已知的，这将有助于保护信息，但不会防止未经授权访问信息。安全委员会（选择C）对于保护信息资产是关键的，但会从一个更广泛的角度处理安全问题。[单选题]17.某内部审计职能部门正在审查为某个web应用程序内部开发的通用网关接口(CGI)脚本程序.IS审计师发现，该脚本程序未经质量控制职能部门审查和测试，以下哪种风险最值得关注?A)系统不可用B)恶意软件暴露C)未经授权的访问D)系统完整性答案:C解析:A.尽管通用网关接口(CGI)未经测试可能导致最终用户web应用程序受损，但不可能致使其他用户无法使用系统。B.未经测试的CGI脚本程序并不一定会导致暴露给恶意软件。C.未经测试的CGI可能具有安全弱点，由于CGI通常在面向公众开放的互联网服务器上执行，因此可能允许对专用系统的未授权访问。D.尽管CGI未经测试可能导致最终用户web应用程序受损，但不可能严重影响系统完整性。[单选题]18.柜员改变贷款主文件上的利率。在贷出业务中输入利率在正常范围以外，下面的控制是最有效地提供合理的保证该改变被授权？A)系统在得到经理批准并输入一个批准代码前不处理改变的数据。B)系统生成周报告列出了所有的异常率和报告，由经理审阅C)系统要求柜员输入批准的编码D)系统显示警告信息答案:A解析:选择A可以防止或发现未经授权的利率的使用。选择B是事后检查，未授权的汇率可能已经发生。选择C和D也不能阻止柜员使用未经授权的利率调整。点评：预防性控制更有效[单选题]19.一个中等大小的组织，其IT灾难恢复已实施多年，并定期检测，并刚刚开发了一个正式的业务连续性计划（BCP）。一个基本的桌面BCP工作已经顺利完成。接下来信息系统审计师应建议实施哪项策略？A)安全测试所有部门的应急站点（BCP）是否适当B)涉及的所有关键人员的一系列的预定义的场景穿行测试C)对业务部门的IT灾难恢复，进行测试关键应用D)有限IT投入情形下的业务功能测试答案:D解析:桌面工作已经完成后，下一步输功能测试，其中包括工作人员恢复的行政和组织功能。由于IT恢复的一部分已经测试多年，在他会更有效的验证和优化之前，实际上涉及一个全面测试BCP。完全测试在审查进程之前，每年定期测试计划进入最后一步。全面的测试中所描述的可能会失败，因为这是第一次，该计划实际是运行的情况，资源（包括IT）数目及时间的内容，而不是验证其是否充分。应用恢复应始终验证和经批准，而不是纯粹的IT驱动。灾难恢复测试无助于验证BCP当中和IT无关的行政的和组织性的部分。[单选题]20.IS审计师建议将一个初始确认控制编程到贷记卡交易套息应用程序中，初始确认处理最可能为：A)检查保证贷记卡类型对应的交易类型有效。B)验证输入号码的格式属数据库中确定的范围.C)确保输入的交易额在持卡人的信用额度内D)在主文件中验证该贷记卡没有丢失或被盗答案:B解析:初始验证应确认是否卡是有效的。这种既定的有效性是通过卡号和用户个人识别码的输入建立。在此基础上初步审定，所有其他验证将继续进行。验证控制用以数据采集将确保输入的数据是有效的(即，它可以被系统处理)。如果在初始验证中采集的数据没有效，(如果卡码或个人识别码与数据库不匹配),那这张卡片将被拒绝或在适当监管地方被收缴。一旦初始验证完成后，那卡和持卡人的其他验证将被执行。[单选题]21.内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:A)导致对其审计独立性的质疑B)报告较多业务细节和相关发现C)加强了审计建议的执行D)在建议中采取更对有效行动答案:A解析:[单选题]22.如果一个数据库采用前映像转存储数据，在中断发生后程序应该从哪开始（恢复）？A)最后一次交易之前。B)最后一次交易之后。C)最后一次检查点后的第一次交易。D)最后一次检查点后的最后一次交易。答案:A解析:如果使用前映像存储技术，在转存中断之前转储的最后交易不会更新到数据库。最后的交易也不会更新到数据库且需重新处理。程序检查点与这种情况不相关。[单选题]23.IT治理确保组织的IT战略符合于：A)企业目标B)IT目标C)审计目标D)控制目标答案:A解析:[单选题]24.信息系统审计师审核的是一个组织的IT战略计划，首先应该评审：A)现有的IT环境B)商业计划C)目前的IT预算D)目前的技术趋势答案:B解析:IT战略计划的存在是为了支持该组织的业务计划。评估的IT战略规划，信息系统审计师首要做的。点评：业务战略决定IT战略[单选题]25.以下哪个选项是时间段管理的特征?A)不适用于原型设计或快速应用开发(RAD)B)消除对质量过程的需求C)防止成本超支和交付延迟D)分离系统和用户验收测试答案:C解析:A.时间段管理非常适合原型设计和快速应用开发(RAD)。B.时间段管理不排除对质量过程的需求C.就本质而言，时间段管理可以设置特定时间和成本范围。在确保每个项目部分都被分为小的可控时间段的情况下，可以有效控制成本和交付时间。D.时间段管理综合了系统和用户验收测试。[单选题]26.以下哪项对于成功实施IT治理最为重要?A)实施IT记分卡B)确定组织战略C)执行风险评估D)制定正式的安全政策答案:B解析:A.记分卡是在良好治理基础上实施计划的一个优秀工具，但实施治理的最重要因素是与组织战的一致性。B.IT治理方案的主要目标是对业务提供支持，因而，确定组织战略对于确保IT与公司治理保持一致极为必要。如果不确定组织战略，即使实施其余选项，也不会起作用。C.风险评估对于确保安全计划关注最高风险领域很重要，但风险评估必须以组织战略为基础。D.政策是实施安全计划的关键内容，但政策却必须以组织战略为基础。[单选题]27.在开发阶段添加新的系统功能时，以下哪一项是与没有遵循项目变更管理流程相关的主要风险?A)项目可能无法在规定期限完成B)项目可能超出预算C)尚未记录添加的功能D)新功能可能不符合要求答案:D解析:[单选题]28.为了向用户提供更强大的查询功能，信息系统管理部门最近废除了数据库管理系统软件中的某些引用完整性控制，下列哪一种控制最能有效的弥补引用完整性的不足?A)定期检查表的连接B)并行访问控制C)更频繁的备份数据D)性能监视工具答案:A解析:[单选题]29.一家组织使用软件即服务（SaaS）操作模式实施了在线客户服务台应用程序，当涉及到可用性时，IS审计师需要建议最佳的控制措施，以监控与SaaS供应商签订的服务级别协议（SLA）以下那个选项是IS审计师可提供的最佳建议A)要求SaaS供应商就应用程序正常运行时间提供每周报告B)实时在线轮询工具，以监控应用程序并记录中断C)记录用户报告的全部应用程序中断，并每周加总中断时间D)雇佣独立的第三方，就应用程序正常运行时间提供每周报告答案:B解析:实施在线轮询工具来监控、记录应用程序中断是组织监控应用程序可能性的最佳选择。比较内部报告与供应商的SLA报告可确保供应商SLA监控的准确性，且所有冲突得到妥善解决。应用程序可用性的每周报告很有用，但这些报告只能代表供应商的观点。监控这些报告时，组织可以提出自己对不准确的担忧；但是由于缺乏内部监控，此类担忧无法得到证实。记录用户报告的中断时间很有帮助，但是无法提供在线应用程序全部中断的真实情况，尤其在中断时间间歇发生的情况下，某些中断可能没有报告。雇佣第三方实施可用性监控的方法性价比不高，此外，这种做法还会导致监控视线从SaaS供应商转向第三方。[单选题]30.下列哪一项是信息系统审计师在审查软件许可证管理时主要考虑的问题？A)缺少软件第三方托管协议B)没有备用许可证供将来使用C)没有当前的软件清单D)不使用站点许可证答案:C解析:[单选题]31.在即将实施前对项目进行评估时，下列哪一项可提供表明系统具备所需功能的最佳证据？A)质量保证结果B)用户验收测试结果C)高级管理人员的签核D)集成测试结果答案:B解析:[单选题]32.一个IS审计师发现，在一天的某段时间，数据仓库的查询性能显著降低。下列哪个控制与IS审计师的检查相关？A)提交表空间分配。B)提交和回滚控制。C)用户池和数据库限制控制。D)读/写访问日志控制。答案:C解析:用户池限制了可供用户查询的空间，这可以防止消耗过多系统资源的不良查询和影响一般查询的性能。在用户自己的数据库中限制他们的可用空间可以防止他们建立过大的数据表。这有助于控制空间的利用，本身也可以帮助保持存储数据的实际物理设备的数量的容量缓冲性能。此外，它可以防止在建立专项表时消耗过多的资源（为了达到优化性能的目的，违背预计生产负荷，经常在夜间进行）。在数据仓库，因为你没有运行的网上交易，提交和回滚性能没有影响。其他的选项不是这个性能问题的根本原因。[单选题]33.实施下面的哪个流程，可以帮助确保经电子资料交换（EDI）的入站交易事务的完整性？A)资料片断计数内建到交易事务集的尾部B)记录收到的消息编号，定期与交易发送方验证C)为记账和跟踪而设的电子审计轨迹D)已收到的确认的交易事务与发送的EDI消息日志比较、匹配答案:A解析:[单选题]34.以下哪项能够最好地缓解因将互惠协议用作恢复备选方案而引发的风险?A)每年进行一次灾难恢复演练。B)确保合作伙伴组织位于不同的地理位置。C)定期执行业务影响分析(BLA)。D)选择具有类似系统的合作伙伴组织。答案:B解析:A.灾难恢复演练虽然重要，但难以在互惠协议中执行，更大的风险是地理位置上的靠近。B.如果两个合作伙伴组织的地理位置非常接近，可能会导致双方受相同环境灾难(例如地震)的影响。C.业务影响分析(BLA)可帮助两个组织明确关键的应用程序，但签订互惠协议时，分离性是更重要的考虑。D.选择具有类似系统的合作伙伴组织的主意很好，但签订互惠协议时，分离性是更重要的考虑。[单选题]35.在对一个内部开发的网上采购审批应用程序进行审计期间，IS审计师发现，所有的业务用户共享同一访问配置文件。以下哪一项是IS审计师应在报告中提出的最重要的建议?A)确保记录了所有的用户活动，且活动日志由管理层进行检查。B)在应用程序中制定额外的访问配置文件，根据工作职责限制用户访问权限。C)确保存在相应的政策来控制用户在应用程序中能够执行的活动。D)确保实施虚拟私有网络(VPN)让用户安全地登录到该应用程序。答案:B解析:A.日志是一种检测性控制，一般是在因为技术问题或成本原因不能实施预防性控制的情况下，退而求其次的建议。B.最强的控制是在整个系统内的自动化的预防性控制。编制额外的访问配置文件能够保证系统根据其工作职责来限制用户特权，并且可以对用户操作进行审计追踪。C.尽管执行相应的政策也是一种预防性控制措施，但它不如逻辑控制的功能强大，因为其应用和延续取决于人的行为。D.可以通过虚拟专用网(VPN)访问实现对应用程序的安全访问。实施VPN可能不必要;但目前主要的问题是用户共享同一用户配置文件。[单选题]36.哪三件事情是在检查操作系统安全时认为是最重要的安全控制？I．来自信任源的代码。II．打开审计日志。III．没必要的服务被关掉。IV．缺省密码被修改。V．系统管理员相对于其要做的工作来说没有任何多余的访问权限A)I,II,andIIIB)III,IV,andVC)I,III,andIVD)I,II,andIV答案:C解析:审计日志没必要打开，它仅在于要监视某个进程时有效。系统管理员有极高的权限（跟root帐号一样的权限），想对其权限进行控制是费力不讨好的事情。[单选题]37.如果IS审计师与部门经理对审计结果存在争议，争议期间审计师应首先采取以下哪项行动A)对控制进行重新测试，以验证审计结果B)邀请第三方对审计结果进行验证C)将审计结果记入报告，同时注明部门经理的意见D)对支持审计结果的证据进行重新验证答案:D解析:IS审计师得出的结论应有充分的证据支持，同时也要考虑部门经理提出的补偿性控制或纠正措施。因此，首先要做的应该是对审计结果的证据进行重新验证。对控制进行重新测试通常排在重新验证证据之后。尽管有时也需要第三方执行特定的审计程序，但IS审计师还是应该首先验证支持证据，已确定是否需要第三方的参与。再重新验证和重新测试之后，如果仍有争议，应将这些问题纳入报告。点评：职业审慎，存在争议时，先自省，而后升级问题[单选题]38.当数据采用HTTPS协议进行传输时，以下哪点最令人担心A)传输双方的PC、中存在间谍软件B)嗅探软件的使用C)RSA、加密算法的使用D)数据传输中使用对称加密算法答案:A解析:SSL和TLS的加密技术应用将使在传输过程中的数据截取很困难，但是当双方计算机中有间谍软件存在时，信息将在被加密之前被搜集。其他的选项涉及了加密算法，但间谍软件的存在将使信息在被加密之前被搜集。[单选题]39.为了帮助用户成功测试和验收一个企业资源规划（ERP）薪资管理系统，以替换现存旧版系统，下面哪种方法是最好的？A)多重测试B)并行测试C)集成测试D)原型测试答案:B解析:对于测试数据结果和系统行为，并行测试是一个最好的方法，因为它允许用户对比新旧系统的结果。并行测试有助于用户接受新系统。多重测试不能比较来自新老系统的结果。集成测试是测试这个系统如何与其他系统交互，但这不是最终用户要执行的。原型测试并不比较新老系统的结果。点评：并行测试是用老系统验证新系统[单选题]40.在审计组织的IT治理框架和IT风险管理实务时，IS审计师发现一些与IT管理和治理角色相关的职责不明确。以下哪项建议最适用?A)审查IT与企业战略的一致性。B)在组织内实行问责制度。C)确保定期执行独立的信息系统审计。D)在组织中设立首席风险官CRO)职位答案:B解析:A.虽然IT与企业的战略一致性很重要，但其与本例所述情况并无直接关系。B.IT风险的管理方法是将问责制度引入企业。IS审计师应建议实行问责制度，以确保明确组织内的所有责任。请注意，本题问的是最佳建议一而不是审计发现本身。C.如果不明确定义和实行问责制度，即使更频繁地执行IS审计也不会有帮助。D.如果不明确定义和实行问责制度，即使建议设立新职位(首席风险官)也不会有帮助。[单选题]41.某组织最近安装的一个安全修补程序导致生产服务器崩溃。为将此类事故再次发生的概率降至最低，IS审计师应该:A)按照修补程序的发布说明应用修补程序。B)确保具有完善的变更管理流程。C)将修补程序发给生产部门前对其进行全面测试。D)完成风险评估后批准使用修补程序答案:B解析:A.IS审计师不可应用该补丁。这是管理员的责任。B.IS审计师必须审查变更管理流程(包括修补程序管理程序)，应验证该过程是否具有充分的控制并相应提出建议。C.测试补丁是开发或生产支持团队、而不是审计师的责任。D.IS审计师没有批准补丁的授权。这是督导委员会的责任。[单选题]42.信息安全方针描述了?密码显示必须用暗文或者禁止?，这一点防范了下列哪种攻击方法A)尾随B)在废弃信息中挖掘机密信息C)肩窥D)假冒答案:C解析:如果密码在屏幕上显示，附近的任何人都可以肩窥到密码。尾随是指的未授权人物理或逻辑方式跟踪授权人到被限定的区域。密码的屏蔽也不能防止一些人尾随授权人。这个策略只涉及?密码的显示?，如果策略涉及?密码的显示和打印?则可能引来肩窥和垃圾数据探究（从组织的垃圾数据中获取有价值的信息）。冒名是指一些人充当雇员的身份去试图得到想要的信息。[单选题]43.以下哪种方式是处置废旧磁带前对其进行处理的最佳方法？A)覆写磁带B)初始化磁带标签C)将磁带消磁D)擦除磁带内容答案:C解析:处理废旧磁带的最佳方法是将其消磁。此措施只会留下极少的磁感应残留物，可基本擦除磁带的内容。覆写或擦除磁带内容可能会引发磁性错误，因而无法完全移除数据。初始化磁带标签无法移除标签之后的数据。[单选题]44.检查操作系统安全配置的IS审计师应该审查:A)交易日志B)授权表C)参数设置D)路由表答案:C解析:A.交易日志用于跟踪和分析与应用或系统接口相关的交易，但这不是操作系统审计中审计证据的主要来源B.投权表用于验证逻辑访问控制的实施，在审查操作系统的控制功能时没有多大帮助。C.使用配置参数可自定义标准版软件，使其适用于不同环境，这对于确定系统的运行方式非常重要。参数设置应符合组织的工作量和控制环境。操作系统的实施和/或监视不当可导致正在处理的数据出现检测不到的错误和损坏，还可造成未经授权的访问和系统使用情况记录错误。D.路由表不包含操作系统的相关信息，因此在控制的评估过程中不会提供任何有帮助的信息。[单选题]45.局域网（LA、N）管理员通常会受到限制，从:A)行使最终用户的责任、B)报告最终用户经理、C)行使编程的权利D)负责局域网安全管理、答案:C解析:1个局域网管理员不应该有编程的权限，但可能有最终用户的权限,局域网管理员可能会报告最终用户经理。在小组织，局域网管理员也可能是负责局域网的安全管理、[单选题]46.组织的恢复时间（RTO）几乎等于零，关键系统的恢复点目标（RPO）要求接近（崩溃前）一分钟的。这意味着系统可以承受？A)长达一分钟的数据丢失，但是处理必须是连续的。B)一分钟的处理中断，但是不能承受丢失任何数据丢失。C)一分钟以上的中断处理。D)数据丢失和中断处理都可以超过一分钟。答案:A解析:RTO衡量组织对中断的承受能力，RPO衡量多少数据丢失可以被接受。选项B.C.D不正确，因为他们超过了RTO的规定限制范围。[单选题]47.一个验证磁带库库存记录准确性的实质性测试是：A)确定是否安装了扫描枪的读头B)确定磁带的移动是否被授权C)清点磁带库存数量D)检查接收和发布磁带是否被准确记录答案:C解析:实质性测试包括收集证据来评估单笔交易、数据或其它信息的准确性。清点磁带库的库存数目属于实质性测试。选项A.B.D都是合规性测试。点评：实质性测试-变量抽样-查账-金额、数量的偏离程度[单选题]48.IS审计师被IS管理人员告知，组织最近己达到软件能力成熟度模型(CMM)的最高级别,则该组织最近添加的软件质量过程为A)持续改进。B)定量质量目标。C)记录流程。D)为特定项目制定的流程。答案:A解析:A.组织可以达到的成熟度模型(CMM)最高级别是5级，优化。B.定量质量目标可以在4级及以下达到C.文档记录流程在3级及以下执行。D.针对具体项目定制的流程可在2级或以下达到[单选题]49.自动运行（lights-out）数据中心的主要目的是：【已经理解】A)节省电力。B)减少风险。C)改善安全。D)减少人员费用。答案:B解析:自动运行（lights-out）运维的主要目的是减少人员风险和环境风险，通过隔离设备和IT支持人员可以减少差错。液体、食物的减少也环境风险。[单选题]50.在对新的或者更改过的应用程序系统进行逻辑测试时，下列哪项是最关健的A)对每一种测试场景都有足量的数据B)数据能代表实际处理过程的情况C)按日程表完成测试D)实际数据的随机抽样答案:B解析:选择合适类型的数据是测试的关健。测试数据不仅应包括有效和无效数据，更应具有实际处理数据的代表性，质量比数量更重要。足够的测试数据要比如期完成测试更重要。随机抽样的实际数据不可能涵盖所有的测试条件，具有合理的代表性。点评：使用贴近真实业务的数据进行最为重要[单选题]51.在审计分配的初级阶段，IS审计师执行功能性巡视的首要原因是：A)理解业务流程B)遵从审计标准C)识别控制不足D)计划实质性测试答案:A解析:理解业务流程是IS审计师要做的第一步。标准不要求IS审计师执行流程巡视。识别控制不足不是巡视的主要原因并且常发生在审计的后期阶段。实质性测试计划也是在审计后期工作。点评：审计计划：了解业务-法律法规-风险评估-审计目标[单选题]52.执行计算机取证调查时，对于收集到的证据，IS审计师最应关注的是A)证据的分析。B)证据的评估。C)证据的保存。D)证据的泄漏。答案:C解析:A.证据的分析很重要，但不是与取证调查中的证据相关的首要关注点。B.评估很重要，但不是与取证调中的证据相关的首要关注点。C.供执法人员和司法当局审查的证据的保存和存档，是执行调查时的首要关注点。未能妥善保存证据将影响到法律诉讼中证据能否被接受D.泄露很重要，但不是IS审计师在取证调查中的首要关注点。[单选题]53.两个组织合并后，多个由它们自主研发的遗留应用系统，都由一个新的共同平台所取代。下列哪项将是最大的风险？A)项目管理和进度报告合并于一个由外部顾问驱动的项目管理办公室B)更换那些没有将资源分配整合到项目组合管理办法的独立的项目C)熟悉对方公司遗留系统的时候，组织的资源分配是缺乏效率的D)新平台将使这两个组织在业务领域改变他们的工程流程，这将产生广泛的培训需求答案:B解析:应努力确保合并后组织整体策略保持一致。如果资源分配不集中，单独内部开发的旧应用程序项目，获取关键资源的风险比较高。在兼并后采取整合方案，是项目管理办公室里常见的形式。为了确保规划的标准化水平、信息和报告结构，对集中项目成果或资源的依赖，外部顾问的经验可以是有价值的，因为项目管理并不要求深入的系统的知识。这可以免费得到功能任务的资源，这是一个好办法，首先要熟悉的旧系统，明白需要在迁移中完成什么，来评估技术决策的影响。在大多情况下，合并导致应用程序的变化和各种组织流程发生变化，利用合并的协同效应达到预期的需求。[单选题]54.试图去控制像用密钥卡或者锁的计算机房这样敏感区域的物理访问所带来的风险是A)未授权人员在控制门前等待授权人员打开门后尾随B)组织的偶然计划不能有效的检测控制访问实践C)控制卡，钥匙还有输密码的小键盘可以容易的被复制，这就允许了控制很容易被妥协D)移除不再有权限的人的访问权限很复杂答案:A解析:尾随法的解决是建立物理控制。选项B、极少关注灾难恢复的环境，选项C、不容易复制，至于选项D、，随着技术不断在更新，带有密钥的卡已经存在一段时间了，在可预见的将来将是切实可行的选择[单选题]55.对入侵检测系统（IDS）的实施进行审查的IS审计师应最关注以下哪个选项？A)IDS传感器置于防火墙之外。B)基于行为IDS引发许多误警报。C)基于签名的IDS不足以抵抗新型攻击。D)该IDS用来检测加密流量。答案:D解析:IDS不能检测加密流量中的攻击，如果某人受到误导并且认为IDS能够检测加密流量中的攻击，则应引起关注。组织可以将传感器置于防火墙之外以检测攻击。将这些传感器置于高敏感区域和外联网中。对于基于行为的IDS不足以抵抗新型攻击同样在预料之内，因为其只能识别先前已经确定的攻击。[单选题]56.IS审计人员在进行一项电讯访问控制的检查时，下列哪一项首先要得到关注：A)不同系统资源使用的访问日志的保持.B)优先获准访问系统资源的用户的授权和验证.C)通过加密或其他方法形成的对服务器上存储数据的充分保护.D)责任系统，以及鉴别任何一个访问系统资源的终端的能力.答案:A解析:在电信的访问控制检查时，授权和认证的用户是最重要的方面，因为它是一项预防控制。如这方面处于较弱控制的水平，则会影响到所有其他方面。维护系统资源的访问日志是检查控制。通过加密或其他方法形成的对服务器上存储数据的充分保护，是一种信息保护方式，而不是接入的问题。责任系统，以及鉴别任何一个访问系统资源的终端的能力，是对能力的一种鉴定。[单选题]57.以下哪项可确保通过互联网发送的信息的机密性？A)数字签名B)数字认证C)联机认证状态协议(OCSP)D)私钥加密系统答案:D解析:私钥加密系统可保证机密性。数字签名保证数据完整性、身份认证和不可否认性，但并不保证机密性。数字认证是一种使用数字签名将公钥与身份绑定在一起的认证；因此，并不保证机密性。OCSP是用来获取数字认证吊销状态的互联网协议。[单选题]58.一个IS审计师被请求去为一个基于Web的关键订单系统做完全监控检查，且此时距该订单系统预定的正式上线日期只有很短的时间，该审计师进行了一项渗透测试，产生了不确定的结果，而在授权给审计的完成时间内无法进行另外的测试。下述哪个是该审计师最好的选择？A)基于可用的信息公布一个报告，突出强调潜在的安全弱点以及对后续审计测试的需求。B)公布一个报告，忽略来自测试的证据不足的领域。C)请求推迟正式上线时间直到完成附加的安全测试并获得正式测试的证据。D)通知管理层审计工作不能在规定的时间窗内完成，并建议审计推迟。答案:A解析:如果IS审计师在授权时间窗内不能获得关键系统充分的确认，该事实应该在审计报告中突出强调，并且今后某个时间的后续测试应该被预定。此时管理层可以决定识别的潜在弱点中是否有任何一个重要到需要推迟系统正式上线时间的程度。审计师由于在授权的审计时间窗内无法获得充分的证据而忽略具有潜在弱点的领域是不可接受的。如果这些领域在审计报告中被忽略，这将违背ISACA审计标准。为审计扩展审计时间窗和推迟正式上线时间在该场景下不大可能被接受，因为涉及的系统是关键交易系统。在任何情况下，推迟正式上线时间都必须是企业管理者的决定，而不是IS审计师的决定。在该场景中，IS审计师应该在授权时间前向管理者展示所有可用信息。审计聘约阶段没有获得充分的证据并不意味着需要取消或者推迟审计，这将违背审计准则中关于尽职审查和专业职责条款。点评：发现问题后报告出来，让owner做决定[单选题]59.一家组织的云计算策略为采用外部提供商的软件即服务（SaaS）模式，在审计其云计算策略时，以下那个选项是最令IS审计师关注的？A)必须执行工作站升级B)软件的长期购置成本偏高C)与提供商签订的合同中不包括现场技术支持D)没有全面确定提供商的事故处理流程答案:D解析:SaaS提供商通常不会为组织提供现场支持。因此，组织及其提供商之间的事故处理流程对于事故的检测、沟通和解决非常重要，包括有效的沟通渠道和上报流程。除非组织的工作站被废弃，否则升级不会成为SaaS模式的一个问题，这是因为大多数作为SaaS运行程序采用了通常的技术，允许用户在不同的设备上运行软件。软件购置费用的降低是SaaS带来的众多好处之一。点评：Saas模式的概念[单选题]60.在判断是否有未授权的对生产程序的修改时，IS审计师可以使用以下哪一项？A)系统日志分析B)合规性测试C)司法分析D)分析审评答案:B解析:判断对生产系统的修改都经过了授权需要评审变更管理流程来评估记录证据的痕迹。合规性测试应该有助于验证是否一贯遵守变更管理流程。系统日志分子不太可能提供关于程序变更的信息。司法分析是一项专业犯罪调查的技术。分析评审评估常规组织的环境控制。点评：授权-控制有效性-符合性测试-属性抽样[单选题]61.执行详细的网络评估和访问控制审查时，IS审计师应该首先？A)确定入口点B)评估用户的访问授权C)评估用户的身份认证和授权D)评估域控制服务器的配置答案:A解析:在执行详细的网络评估和访问控制审查时，IS审计师应该首先确定系统的入口点，并相应的审查入口点是否存在适当的控制。评估用户访问授权、评估用户身份认证和授权以及评估域控制服务器的配置都是为入口点实施适当控制的问题。[单选题]62.在电子邮件的软件应用程序中，已验证的数字签名可以？A)帮助检测垃圾邮件。B)保证机密性。C)增加网关服务器的工作量。D)明显减少可用宽带。答案:A解析:已验证的电子签名基于认证颁发机构（CA）创建的资格认证，使用的技术标准要求确保密钥在合理时间内不被强行使用或复制。这种认证只能在通过身份证明后，经由注册机构（RA）获取。在电子邮件通信中使用强签名，可以确保不可否认性的追踪发送者。接收者可以配置自己的电子邮件服务器或客户端，使其自动删除特定发送人的电子邮件。对于保密性问题，虽然加密和签名这两种方法都是基于资格认证的，但用户必须使用前者。如果未直接在邮件网关服务器上使用过滤器将比使用防病毒软件产生更少的开销。数字签名只有几个字节大小，不会大幅削减带宽。即使网关服务器要检查证书撤销清单（CRL），开销也是非常小的。[单选题]63.Java小应用程序和ActiveX控件是在WEB上分发的并在客户端浏览器后台执行的程序。这种分发和执行活动在下面哪种情形下被认为是可行的？A)存在防火墙的时候B)使用安全WEB连接时C)可执行的文件来源可靠时D)主机网站属于组织的一部分时答案:C解析:接受这些机制基于已建立的信任。控制是知道来源且允许接受小应用程序为条件。恶意的小应用程序可以从任何地方收到。此时在这一层级去过滤实际上是不可能的。一个安全的WEB连接或考虑过外部防御的防火墙。防火墙去查找并过滤来自一个信任信源的特定文件是更难的。安全的WEB连接提供机密性。安全的WEB连接和防火墙都不能鉴别一个可执行文件的友善。当主机网站作为组织的一部分是不现实的时，接受Java小应用程序和/或ActiveX控件可能成为一项无可选择建议。如果参数要求这样做，客户将接受程序。[单选题]64.信息系统审计师鉴定分别由财务和市场部门作出的产品盈利能力分析报告，得出不同的结论。进一步的调查结果显示，该产品的定义在这两个部门是不同的。审计师应该建议？A)投入生产前为各种报告而做出的用户验收测试（UAT）B)组织数据治理实践是否到位C)用于报表开发的标准软件工具D)管理层签署的关于新报告的要求答案:B解析:这一选择直接解决了问题，一个组织内部的方法需要达到的数据资产的有效管理、这包括数据元素执行，这是一个数据治理计划一部分的标准定义、其他的选项，都不是解决问题的根本原因。点评：由于企业内部数据标准定义不准确，导致不同口径数据得出了不同的结论[单选题]65.如果不适当，下列哪个将最可能引起拒绝服务攻击呢？A)路由配置和规则B)设计内部网络C)升级路由器系统软件D)审计测试和审查技术答案:A解析:不恰当的路由配置和规则将导致拒绝服务攻击。选项B、和C、不如A、。选项D、是不正确的，因为审计测试和审查技术是事后应用。[单选题]66.下面哪项是自上而下的软件测试的优势：A)接口错误可以尽早识别B)测试需在所有程序编写完成前进行C)它比其他的方法更有效率D)关键模块中的错误可以尽早的检测出来答案:A解析:测试采用自上而下方法的优点是，主要功能的测试是先进行的，能更早的发现的接口错误。最有效的测试方法是依赖于被测试环境。B和D都是自上而下的方法的优势。点评：上向下测试能尽早发现接口的错误[单选题]67.在应用审计阶段，IS审计师发现了几个问题与数据库中错误的数据有关，下面哪一个是IS审计师应该建议的纠正性控制？A)实施数据备份和恢复程序B)定义标准和相应的符合性检查（预防性控制）C)确保只有授权人员能够更新数据库D)建议控制以处理同时发生的访问问题（预防性控制）答案:A解析:实时数据备份和和恢复程序是纠正性控制，因为备份和恢复程序可以用于回滚数据库错误：定义或者建立标准是预防性控制，符合性检查是检测性控制：确保只有授权人能够更新数据库是预防性控制：建议控制以处理同时发生的访问问题是预防性控制。[单选题]68.在灾难后恢复数据，如下哪个是最好的有效备份和恢复流程指标？A)恢复组成员是可供使用B)恢复时间目标（RTO）是契合的C)备份磁带库是最恰当维护的D)备份磁带是被完整的恢复到一个轮替站点答案:B解析:有效的备份和恢复流程是确保符合恢复时间目标，因为这些需求是在业务影响分析阶段与所有业务流程处理人一起精确定义的。[单选题]69.功能确认用于：A)作为ED、I交易的审计踪迹B)功能性地描述IS部门C)证明用户角色和职责D)作为应用软件的功能描述答案:A解析:功能确认是标准的ED、I交易，它告诉贸易伙伴他们的电子文档被接收。不同类型的功能确认提供不同级别的细节，因此可以作为ED、I交易的审计轨迹。其他的选择描述功能确认是不恰当的。[单选题]70.发现IS项目范围发生变化而未执行影响分析时，最令IS审计师关注的是以下哪一项A)变化带来的时间和成本影响B)回归测试失败的风险C)用户不同意更改D)项目团队不具备作出必要更改的技能答案:A解析:任何的范围变化都会对项目周期和成本造成影响；这就是执行影响分析、告知客户变化对计划和成本方面的可能影响的原因。范围变化不一定会影响回归测试失败的风险，用户也不一定会拒绝更改，项目团队也不见得缺乏做出改变的技能。点评：项目三要素的概念[单选题]71.在下面哪一个管理风险的方法中，分担风险是一个关键的因素？A)转移风险B)容忍风险C)终止风险D)降低风险答案:A解析:转移风险（比如：购买保险）是一个转移和分担风险的方法。容忍风险意味着风险被接受，但是不能被转移。终止（消除）风险不太涉及分担风险，因此某些风险仍将存在。处理或者控制风险可能涉及分担风险，但它并不是一个关键的因素。点评：风险处置的4种方法[单选题]72.下列哪一个灾难恢复或连续性计划在灾难发生后提供了最大的恢复保证：A)使用备用设施直到原来信息处理设施恢复B)用户管理层来识别关键系统以及关键系统相关的关键时间点C)计划的恢复时间取决于主要决策人员D)对管理者题反馈，确认业务连续性计划的当前的规程是实际的、可运行的答案:A解析:灾难发生后备用设施应该可用，直到保证恢复在灾难发生之前。如果没有这个保证，计划将不会成功，所有其他的选项都是优先保证这个计划的执行。[单选题]73.电子邮件的什么策略最有可能降低收集相关电子证据的风险：A)销毁策略B)安全策略C)归档策略D)审计策略答案:C解析:在不透露其他机密电子邮件记录的情况下，凭借良好的归档电子邮件记录，访问或检索特定电子邮件记录的策略是有可能的安全性和/或审核策略不会解决记录检索的效率，并且摧毁电子邮件，可能是一种非法行为。[单选题]74.在审查灾难恢复计划(DRP)时，IS审计师最关注的是缺少:A)流程责任人的参与。B)记录良好的测试程序。C)备用处理设施。D)记录良好的数据分类方案。答案:A解析:A.流程责任人的参与是业务连续性计划(BIA)的一个关键部分，而创建灾难恢复计划(DRP)需要用到BIA。如果IS审计师确定流程负责人并未参与，则会令人非常担忧B.尽管详细记录的测试程序很重要，但除非流程负责人参与，否则无法了解计划的优先级和关键元素是否有效。C.可能需要备用处理设施来满足业务需求，但此类决策需求却是以BIA为基础的。D.数据分类方案对于确保数据控制恰当非常重要;但是，仍然不及缺乏流程负责人的参与令人担忧。[单选题]75.以下哪个选项是与IT人员相关的预防性控制的示例?A)审查数据中心的访问者日志B)用于跟踪用户登录IP地址的日志服务器C)对IT设施实施证章门禁系统D)用于对员工的电话呼叫进行跟踪的计费系统答案:C解析:A.审查访问者日志在大多数情况下是一种检测性控制B.审查日志服务器在大多数情况下是一种检测性控制。C.预防性控制用于降低发生不良事件的可能性。证章门禁系统将会阻止未经授权的人员进入设施。D.审电话呼叫计费系统在大多数情况下是一种检测性控制。[单选题]76.数据库管理系统DBMS的记录锁定选项能够:A)允许用户锁定其文件,使其他用户无法进入B)消除对某一记录并行更新的风险C)允许数据库管理员记录用户的活动D)禁止用户更改记录中的某些值答案:B解析:[单选题]77.下列哪一项在检查操作控制台系统实施时通常不会考虑？A)是否通过供应商提供的系统实施的专门技术来进行培训，让内部员工学习新系统。B)实施计划的范围和目标是否符合成本有效性和时间性原则。C)用来管理业务的KPI是否通过实施过程得到改进。D)理解控制台如何同其他操作组件进行接口以及兼容性如何。答案:B解析:只有B是跟业务相关，而跟系统实施无关。[单选题]78.企业架构(EA)举措的主要好处是A)使组织的投资能够用于于最合适的技术中。B)确保在关键平台上实施安全控制。C)允许开发团队更快地响应业务要求。D)赋予业务单位更大的自主权，以选择符合其需求的IT解决方案。答案:A解析:A.企业架构(EA)的主要关注点是确保技术投资与IT组织的平台、数据和开发标准相一致;因此，EA的目标是帮助组织实施最有效的技术B.确保在关键平台上实施安全控制很重要，但这不是EA的功能。EA可能关注安全控制的设计;但EA无助于确保实施安全控制。EA的主要关注点是确保技术投资与IT组织的平台、数据和开发标准相一致。C.尽管EA流程可能促使开发团队变得更加高效，因为他们是在基于使用标准编程语言和方法的标准平台上创建解决方案，但EA更重要的好处是为所有类型的投资提供指导，其涵盖的内容远不止软件开发。D.EA的主要关注点是定义标准平台、数据库和界面。进行技术投资的业务单位需要选择符合其业务要求，并且兼容企业EA的IT解决方案。可能存在这样一种情况，即建议的解决方案更符合某个业务单位，但不兼容企业EA，因此需要折中处理，以确保该应用得到IT部门的支持。大体上，在企业单位想要实施的潜在IT系统方面，EA对其能力有所限制。在本案例中，支持要求不受影响。[单选题]79.在某小型企业的車计期间，IS计师注意到IS总监具有超级用户访问特权，这使得该总监可以直接处理交更请求以更改应用程序的访问角色(访问类型).该IS审计师应建议以下哪个选项?A)针对应用程序角色变更请求，实施适当记录的流程。B)雇佣额外的职员以实现应用程序内有职责分离(SoD)的角色变更C)实施自动化流程来变更应用程序角色。D)详细记录当前程序，并在企业内联网中提供。答案:A解析:A.IS审计师应建议实施可防止或发现主应用程序的角色发生不合理变更的流程。应启动应用程序角色变更请求的流程并获得业务所有者的批准;然后，IS总监才能对应用程序作出变更。B.尽管遵照严格的职责分离(SoD)和聘用额外职员的做法更好，但对于小型企业来说，此举不一定可行。IS审计师必须仔细考虑建议的备选流程C.管理应用程序角色的自动化流程可能无法有效防止信息系统总监作出不合理的变更，该总监同样具有访问应用程序的最高权限。D.在企业内联网中提供当前程序对保护系统没有任何价值[单选题]80.某KS计师正在为公司审查启用安全套接字层(SSD)的网站。以下哪一项风险最高?A)过期的数字证书B)自签名的数字证书C)为多个网站使用相同的数字证书D)使用56位数字证书答案:B解析:A.证书过期会导致阻止访问网站，造成不必要的停机。但不会丢失数据。因此相对风险较低。B.自签名的数字证书未经证书颁发机构(CA)签名，任何人都可以创建。因此，攻击者可用它们来冒充网站，进而可能导致数据失窃或进行中间人攻击。C.使用相同的数字证书不是一种重大风险。可为多个子域网站使用通配符数字证书。D.56位数字证书可能需要用来连接旧版操作系统(OS)或浏览器。尽管其强度不如128位或256位数字证书，但自签名证书的相对风险更高。[单选题]81.下面哪项应包含在组织的信息安全政策中?A)需要保护的关键IT资源的清单B)访问控制授权的基准C)敏感安全资产的标识D)相关软件安全功能答案:B解析:A.需要保护的关键IT资源的清单相比政策内容过于详细B.安全政策提供由高级管理层制定和批准的广泛性安全框架。安全政策包括定义被授权授予访问权限的人员和授予访问权限的依据。C.敏感安全资产的标识相比政策内容过于详细。D.相关软件安全功能列表相比政策内容过于详细。[单选题]82.漏洞评估与渗透测试之间的区别是？A)漏洞评估通过研究和检查基础构架来检测漏洞，二渗透测试则利用漏洞来探查可能由漏洞引起的损害B)漏洞评估和渗透测试是一种活动的不同名称C)漏洞评估由自动化工具执行，而渗透测试完全是手动执行D)漏洞评估由商业工具执行，而渗透测试由公共流程执行答案:A解析:漏洞评估的目标是在分析的计算机和组成部分中找到安全漏洞，而不是要破坏基础架构。渗透测试旨在模仿黑客活动并确定其可以进入网络的程度。二者互不相同，使用的方法也不一样。漏洞评估和渗透测试既可以由自动或手动工具或流程来执行，也可以由商业或免费工具来执行。[单选题]83.某IS审计师参与了旨在优化IT基础设施的软件再开发工程。以下哪个选项最适合用于识别需要解决的问题A)自我评估B)反向工程C)原型设计D)差距分析答案:D解析:A.自我评估是开始时的可行选项之一;但其结果只能说明当前的状况，而非理想状态，而且带有主观倾向。B.反向工程是一种用于分析一个设备或程序是如何工作的技术在此不适合。C.原型设计用于保证进入全面开发流程前使用户需求得到满足。D差距分析是用于识别软件再开发工程过程中需要解决的问题的最佳方法。通过差距分析可明确当前流程中哪部分属于良好实践(理想状态)，哪部分不属于[单选题]84.以下哪像计算机辅助审计技术（CAAT）能够对应付帐系统中的员工和供应商地址进行最佳比较A)快照B)通用审计软件（GAS）C)嵌入式审计数据收集工具D)交易选择工具答案:B解析:GAS可用于执行数据合并、数据比较等数据分析工作，从而得出有关应付帐款交易的结论。快照可以用于比较数据，但是比较大量数据（如员工地址）时可能不够灵活。嵌入式审计数据收集工具和交易选择工具可用于选择交易，而非比较数据和得出结论。点评：GAS，对账工具[单选题]85.为了帮助实现IT和业务相一致的管理，信息系统审计师应该建议使用：A)控制自我评估CSAB)业务影响分析BIAC)IT平衡记分卡BSCD)业务流程再造BRC答案:C解析:IT平衡记分卡提供了一个IT目标和业务目标之间的桥梁，通过补充传统财务评价的措施来衡量客户满意度，内部流程和创新实力。控制自我评估，经营影响分析和业务流程重组是不足以IT跟组织的目标相一致，在这个题目中知识点?CSA,BIA,BSC,BRC?代表了什么我们必须熟记。点评：BSC是IT与业务沟通的有效工具[单选题]86.当评估一个过程中的预防、检测和纠正控制的组合效果时，IS审计员应当关注下列中的哪一项？A)某个点，在此处的控制被演练成数据流通过系统B)只有预防和检测控制是相关的C)纠正性控制仅仅被认为是补偿D)分类让IS审计员确定哪个控制是缺失的答案:A解析:IS审计员应该关注于当数据流通过计算机系统时控制的实践效果。选B、是不对的，因为纠正控制也是有关的。选C、是不对的，因为纠正控制能消除或减少错误或违规行为的影响不能仅被视作补偿性控制。选D、是不对和无关的，因为控制的存在和功能是重要的，而不是分类。[单选题]87.这个问题是指下列图:防火墙是无法识别检测攻击企图的,如果审计师应建议放置一个网络入侵检测系统（IDS）在?之间A)防火墙和组织的网络、B)互联网和防火墙C)互联网和WeB、服务器、D)WeB、服务器和防火墙、答案:A解析:如果一个基于网络的入侵检测系统是放在之间的防火墙和组织的网络之间，防火墙无法检测到攻击的企图。基于网络的入侵检测系统放在互联网和防火墙将检测到他们是否攻击防火墙、[单选题]88.经初步调查，IS审计师有理由相信可能存在舞弊行为。IS审计师应:A)扩大工作范围，判断是否有必要开展调查。B)将该事件报告给审计委员会。C)向管理层报告欺诈的可能性。D)与外部法律顾问进行磋商，确定应采取的行动方案。答案:A解析:A.对于检测舞弊行为，IS审计师的职责包括评估舞弊迹象、决定是否有必要采取额外措施或是否应该建议展开调查。B.只有在判断出舞弊迹象足以建议展开调查时，IS审计师才应该通知组织内的相关机构C.只有在证据足以展开调查时，.审计师才应该将舞弊的可能性报告给高级管理层这可能受高级管理层是否可能涉入舞弊的影响D.IS审计师通常无权与外部法律顾问进行磋商。[单选题]89.当审查入侵检测系统（IDS）时，IS审计师应最关注以下哪个选项？A)识别具有威胁性的非威胁性事件数B)系统尚未识别的攻击C)由自动化工具生成的报告/日志D)系统阻挡的合法流量答案:B解析:由于不清楚系统未识别的攻击，不能对其采取任何行为，因而带来的风险更高。虽然误报数是严重问题，但可以辨别该问题并予以纠正。通常，IDS报告首先由自动化工具进行分析以消除已知的误报，一般而言不是个问题。IDS不会阻挡任何流量。[单选题]90.控制进入计算机设施的双道门,其主要的目的是用于:A)防止尾随B)阻止有毒气体进入数