CISA 2024中文习题710(答案)

CISA2024

Chapter1信息系统审计程序

■ISACA发布的信息系统审计标准”，准则,程序和职业道德规范

■IS审计实务和技术

■收集信息和保存证据的技术（视察，调查问卷，谈话，计算机协助审计技术，电子介质）

■证据的生命周期（证据的收集，爱护和证据之间的关系）

■与信息系统相关的限制目标和限制

■审计过程中的风险评估

■审计支配和管理技术

■报告和沟通技术（推动，商谈，解决冲突）

■限制自我评估

■不间断审计技术（连续审计技术）

Chapter2IT治理

■IT战略，政策，标准和程序对组织的意义，及其基本要素

■IT治理框架

■制定实施和复原IT战略政策标准和程序的流程

■质量管理战略和政策

■与IT运用和管理相关的组织结构，角色和职责

■公认的国际IT标准和准则

■制定长期战略方向的企业所需的IT体系及其内容

■风险管理方法和工具

■限制框架（cobit）的运用

■成熟度和流程改进模型

■签约战略,程序和合同管理实务

■IT绩效的监督和报告实务

■有关的法律规章问题（保密，隐私，学问产权）

■IT人力资源管理

■资源投资和配置实务

Chapter3系统和体系生命周期

■收益管理实务（可行性探讨，业务案例）

■项目治理机制，如:项目指导委员会，项目监督委员会

■项目管理实务，工具和限制框架

■用于项目管理上的风险管理实务

■项目胜利的原则和风险

■涉及开发，维护系统的配置，变更和版本管理

■确保IT系统应用的交易和数据的完整性,精确性，有效性和授权的限制目标和技术

■关于数据，应用和技术的企业框架

■需求分析和管理实务

■选购和合同管理程序

■系统开发方法和工具以及他优的优缺点

■质量保证方法

■测试流程的管理

■数据转换工具技术和程序

■系统的处置程序

■软件，硬件的认证和鉴证明务

■实施后的检查目标和方法，如项目关闭，收益实现，绩效测定

■系统移植和体系开发实务

Chapter4IT服务和交付

■服务等级和水平

■运营管理的最佳实务:如工作负荷调度,网络服务管理，预防性维护

■系统性能监控程序,工具和技术.

■硬件和网络设备的功能

■数据库管理实务

■操作系统工具软件和数据库管理系统

■生产实力支配和监控技术

■对生产系统的应急变更和调度管理程序，包括变更配置版本发布和补丁管理实务

■生产事务/问题管理实务

■软件许可证和清单管理实务

■系统缩放工具和技术

Chapters信息资产爱护

■信息系统平安设计，实施和监控技术

■用户运用授权的功能和数据时，识别签订和约束等逻辑访问限制

■逻辑访问平安体系

■攻击方法和技术

■对平安事务的预料和响应程序

■网络和internet平安设备

■入侵检测系统和防火墙的配置

■加密算法/技术

■公共密钥机构组件

■病毒检测和限制技术

■平安方案测试和评估技术:渗透技术，漏洞扫描

■生产环境爱护实务和设备

■物理平安系统和实务

■数据分类技术

■语音通讯的平安

■保密信息资产的采集.存储.运用.传输和处置程序和流程

■与运用便携式和无线设备

Chapter6业务连续性与灾难复原支配

■数据备份，存储，维护，保留和复原流程

■业务连续性和灾难复原有关的法律规章协议和保险问题

■业务影响分析(BIA)

■开发和维护灾难复原与业务持续支配

■灾难复原和业务连续性支配测试途径和方法

■与灾难复原和业务连续性有关的人力资源管理

■启用灾难到原和业务连续性支配的程序和流程

■备用业务处理站点的类型,和监督有关协议合同的方法

CISA2024练习题

Chapter1

i.d下列哪些形式的审计证据就被视为最牢靠？

□口头声明的审计

□由审计人员进行测试的结果

□组织内部产生的计算机财务报告

□从外界收到的确认来信

2d当程序变更是，从下列哪种总体种抽样效果最好？

□测试库清单

□源代码清单

□程序变更要求

□产品库清单

■3c在对定义IT服务水平的限制过程的审核中，审计人员最有可能面试：

□系统程序员.

□法律人员

□业务部门经理

□应用程序员.

■4a进行符合性测试的时候，下面哪一种抽样方法最有效？

□属性抽样

□变量抽样

□平均单位分层抽样

□差别估算

■5a当评估一个过程的预防限制、检察限制和订正限制的整体效果时，审计人员应当知道：

□当数据流通过系统时，其作用的限制点。

□只和预防限制和检查限制有关.

□订正限制只能算是补偿.

□分类有助于审计人员确定哪种限制失效

■6D审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发觉潜在的用户或系统行为异

样。下列哪些工具最适合从事这项工作？

□计算机协助开发工具(casetool)

□嵌入式(embedded)数据收集工具

□启发扫描工具(heuristicscanningtools)

□趋势/变更检测工具

・7c在应用程序开发项目的系统设计阶段，审计人员的主要作用是：

□建议具体而具体的限制程序

□保证设计精确地反映了需求

□确保在起先设计的时候包括了全部必要的限制

□开发经理严格遵守开发日程支配

■8A下面哪一个目标限制自我评估(CSA)支配的目标？

□关注高风险领域

□替换审计责任

□完成限制问卷

□促进合作研讨会Collaborativefacilitativeworkshops

■9C利用风险评估方法对信息平安管理的基准方法进行评估的主要优点时是保证：

□充分爱护信息资产

□依据资产价值进行基本水平的爱护

□对于信息资产进行合理水平的爱护

□依据全部要爱护的信息资产安排相应的资源

■10B审计轨迹的主要目的是：

□改善用户响应时间

□确定交易过程的责任和权利

□提高系统的运行效率

□为审计人员追踪交易供应有用的资料

■11D在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：

□可以运用的CAATs

□管理层的陈述

□组织结构和岗位职责.

□存在内部限制和运行限制

■12A对于组织成员运用限制自我评估(CSA)技术的主耍好处是：

□可以确定高风险领域，以便以后进行具体的审查

□使审计人员可以独立评估风险

□可以作来取代传统的审计

□使管理层可以放弃relinquish对限制的责任

■13C下列哪一种在线审计技术对于尽早发觉错误或异样最有效？

□嵌入审计模块

□综合测试设备Integratedtestfacility

□快照sanpshots

□审计钩Audithooks

■14C当一个程序样本被选中要确定源代码和目标代码的版本一样性的问题时，审计人员会用下面哪一种测试方

法？

□对于程序库限制进行实质性测试

□对于程序库限制进行复合性测试

□对于程序编译限制的符合性测试

□对于程序编译限制的实质性测试

■15B在实施连续监控系统时，信息系统审计师第一步时确定：

□合理的起先(thresholds)指标值

□组织的高风险领域

□输出文件的位置和格式

□最有最高回报潜力的应用程序

■16B审计支配阶段，最重要的一步是确定：

□高风险领域

□审计人员的技能

□审计测试步骤

□审计时间

■17A审计师被对一个应用系统进行实施后审计。下面哪种状况会损害信息系统审计师的独立性？审计师：

□在应用系统开发过程中，实施了具体的限制

□设计并嵌入了特地审计这个应用系统的审计模块

□作为应用系统的项目组成员，但并没有经营责任

□为应用系统最佳实践供应询问看法

■18B审计中发觉的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员安排给他的密码写在纸上

后，存放在书桌抽屉里。IS审计师可以推想的结论是：

□经理助理有舞弊行为

□不能确定无疑是谁做的

□确定是经理进行舞弊

□系统管理员进行舞弊

■19c为确保审计资源的价值安排给组织价值最大的部分，第一步将是：

□制定审计口程表并监督花在每一个审计项目上的时间

□培育审计人员运用目前公司正在运用的最新技术

□依据具体的风险评估确定审计支配

□监督审计的进展并起先成本限制措施

■20D审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发觉是审计师应当最重视的？

□有一些外部调制解调器连接网络

□用户可以在他们的计算机上安装软件

□网络监控是特别有限的

□很多用户帐号的密码是相同的

■21A信息系统审计师在限制自我评估(CSA)中的传统角色是：

□推动者(facilitator)

□经理

□伙伴

□股东

■22C下面哪一种审计技术为IS部门的职权分别供应了最好的证据：

□与管理层探讨

□审查组织结构图

□视察和面谈

□测试用户访问权限

■23AIS审计师应当最关注下面哪一种状况？

□缺少对胜利攻击网络的报告

□缺少对于入侵企图的通报政策

□缺少对于访问权限的定期审查

□没有通告公众有关入侵的状况

■24A审计人员审计网络操作系统。下面哪一个是审计人员应当审计的用户特征？

□可得到在线网络文档

□支持终端访问远程主机

□处理在主机和内部用户通信之间的文件传输

□执行管理，审计和限制

■25c审计师运用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：

□固有的风险.

□限制风险

□检查危急

□审计风险

■26D审计章程应实行：

□是动态的和常常变更的，以便适应技术和和审计专业(professional)的变更

□清晰的说明审计目标和授权，维护和审核内部限制

□文档化达到支配审计目标的审计程序

□列出对审计功能的全部授权，范围和责任

■27A审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发觉是最重要的？

□应用程序全部者不知道IT部门对系统实施的一些应用

□应用数据每周只备份一次

□应用开发文档不完整

□信息处理设施没有受到适当的火灾探测系统的爱护

■28BIS审计功能的一个主要目的是：

□确定每个人是否都依据工作说明运用IS资源

□确定信息系统的资产爱护和保持数据的完整性

□对于计算机化的系统审查帐册及有关证明文件

□确定该组织识别诈骗fraud的实力

■29c进行审计的时候，审计师发觉存在病毒，1S审计师下一步应当做什么？

□视察反应机制

□病毒清除网络

□马上通知有关人员

□确保删除病毒

■30D审计章程的的主要目标是：

□A记录企业运用的审计流程

□B审计部门行动支配的正式文件

□C记录审计师专业行为的行为准则

□D说明审计部门的权力和责任。

■3ID在对1T程序的平安性审计过程中，1S审计师发觉没有文件记录平安程序，该审计员应当：

□建立程序文件

□终止审计

□进行一样性测试

□鉴定和评估现行做法

■32D在风险分析期间，IS审计师已经确定了威逼和潜在的影响，下一步IS审计师应当：

□确定并评估管制层运用的风险评估过程

□确定信息资产和受影响的系统

□发觉对管理者的威逼和影响

□鉴定和评估现有限制.

■33A下面哪一项用于描述ITF(整体测试法)最合适？

□这种方法使1S审计师能够测试计算机应用程序以核实正确处理

□利用硬件和或软件测试和审查计算机系统的功能

□这种方法能够运用特殊的程序选项打印出通过计算机系统执行的特定交易的流程

□IS系统审计师用于测试的一种程序，可以用于处理lagging和扩展交易和主文件记录。

■34BIS审计师要推断是否严格限制被授权者对于程序文档的访问，最有可能的做法是：

□评估在存储场所的文件保存支配

□就当前正在进行的流程采访程序员

□对比实际运用的记录和操作表

□审查数据文件访问记录测试管理库的功能

■35D须要进•步收集哪些数据，IS审计师的确定取决于

□须要的重要信息的可用性

□审计师对于状况的熟识程序

□审计人员(auditee)找到相关证据的实力

□进行审计的目的和范围

■36A审查管理层的长期战略支配有助于审计师：

□了解一个组织的宗旨和目标

□测试企业的内部限制

□评估组织队信息系统的依靠性

□确定审计所需的资源

■37B利用统计抽样程序可以削减：

□抽样风险

□检查风险

□固有风险

□限制风险

■38cls审计师对软件运用和许可权进行审计，发觉大量的PC安装了未授权的软件.IS审计师应当实行下面哪

种行为？

□个人擅自删除全部未授权软件拷贝

□通知被审计人员非授权软件的状况，并确认删除

□报告运用未经授权软体的状况，并须要管理层避开这种状况重复发生

□不实行任何行动，囚为这是一个公认的惯例和做法，业务管理部门负责监督这种运用

■39A下面哪一项1S审计师可用来确定编辑和确认程序的有效性(effectiveness)?

□域完整性测试

□相关完整性测试

□参照完整性测试

□奇偶校验检查

■40A下面哪一种状况下，IS审计师应当用统计抽样而不是推断抽样(nonstatistical)：

□错误率必需被客观量化(objectivelyquantified)

□审计师希望避开抽样风险

□通用审计软件不好用(unavailable)

□容忍误差(tolerableerrorrate)不能确定

■41c证明税收计算系统精确性的最好的方法是：

□对于计算程序源代码具体目测审核和分析

□运用通用审计软件对每个月计算的总数进行重复的逻辑计算

□为处理流程准备模拟交易，并和预先确定的结果进行比较

□自动分析流程图和计算程序的源代码

■42B以下哪一个是运用测试数据的最大的挑战？

□确定测试的程序的版本和产品程序的版本一样

□制造测试数据包括全部可能的有效和无效的条件

□对于测试的应用系统，尽量削减附加交易的影响

□在审计师监督下处理测试数据

■43A电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的缘由？

□多重循环备份档案可供利用

□访问限制可以确定电子邮件行为的责任

□对于通过电子邮件沟通的信息尽心过数据分类管理

□企业中，用于确保证据可得的清晰的运用电子邮件的政策

■44BIS审计师对于应用程序限制进行审查，应当评价：

□应用程序对于业务流程的的效率

□发觉的隐患exposures的影响

□应用程序服务的业务

□应用程序的优化.

■45A以下哪一个是最主要的优势，利用计算机司法软件进行调查：

□维护保管的一系列电子证据

□节约时间

□效率和效益

□寻求侵扰学问产权证据的实力

■46B以下哪一个是运用ITF综合测试法的优势？

□运用真实的或虚拟的主文件，IS审计师不须要审查交易的来源。

□定期检验过程并不须要单独分别测试过程

□证明应用程序并可测试正在进行的操作

□它无需准备测试数据.

■47c风险分析的一个关键因素是：

□审计支配.

□限制

□弱点.Vulnerabilities

□负债liabilities

■48BIS审计师的决策和行动最有可能影响下面哪种风险？

□固有风险

□检查分析

□限制风险

□业务风险

■49c在一台重要的服务器中，IS审计师发觉了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的

弱点。IS审计师应当首先做什么？

□调查病毒的作者.

□分析操作系统日志

□确保恶意代码已被清除

□安装消退弱点vulnerability的补丁.

・50B组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的复原。这是一种:

□限制程序.

□限制目标

□订正限制

□运行限制.

■51DIS审计师审计IT限制的效果，发觉了一份以前的审计报告，但是没有工作记录workpapers,IS审计师应

当怎么处理？

□暂停审计直至找到工作记录

□依靠以前的审计报告

□对于风险最高的区域重新测试限制

□通知审计管理层，重新测试限制

■52cls审计师审查组织图主耍是为了：

□理解工作流程

□调查各种沟通渠道

□理解个人的责任和权利

□调查员工之间不同的联系渠道

■53BIS审计师审查对于应用程序的访问，以确定最近的10个“新用户”是否被争取的授权，这个例子是关于：

□变量抽芽

□实质性测试

□符合性测试

□停-走抽样.

■54B当须要审计轨迹的时候，以下哪一种审计工具最有用？

□综合测试法(ITF)

□持续间断模拟(CIS)

□审计钩(audithook)

□快照

■55B当须要审计轨迹的时候，以下哪一种审计工具最有用？

□综合测试法(ITF)

□持续间断模拟(CIS)

□审计钩(audilhook)

□快照

■56C以下哪一个是实质性测试？

□检查例外报告清单

□确认对参数变更进行审批

□对于磁带库清单进行统计抽样

□审核密码历史记录

■57A对于特定威逼的整体经营风险的威逼，可以表示如下：

□一种产品的可能性和影响的重要性，假如威逼暴露了弱点

□影响的重要性应当是威逼来源暴露了弱点

□威逼来源暴露弱点的可能性

□风险评估小组的整体推断

■58C在审查客户主文件的时候，IS审订师发觉很多客户的名字相同arisingfromvariationsincustomerfirst

names,为了进一步确定重复程度，IS设计师应当：

□测试数据以确认输入数据

□测试数据以确定系统排序实力

□用通用审计软件确定地址字段的重复状况

□用通用审计软件确定帐户字段的重复状况

■59A通常，以F哪一种证据对IS审计师来说最牢靠？

□收到的来自第三方的核实帐户余额确认信

□一线经理确保应用程序如设计的方式工作

□从iniernet来源得到的数据趋势(Trenddata)

□由一线经理供应报告，IS审计师开发的比率分析(Ratioanalysis)

■60A胜利的实施限制自我评估(CSA)须要高度依靠：

□一线管理人员担当部分监督管理责任

□支配人员负责建设buhd管理,而不是监督、限制

□实施严格的限制策略，和规则驱动的限制

□监督实施和并对限制职责进行监督monitoring

■61A审计支配阶段，对于风险的评估用于供应：

□审计覆盖重大事项的合理保证

□明确保证重大事项在审计工作中被覆盖

□审计覆盖全部事项的合理保证

□充分保证全部事项在审计工作中被覆盖

■62D下面哪一项是运用基于风险方法的审计支配的好处？审计

□日程支配可以提前完成.

□预算更符合IS审计人员的须要

□人员可以运用不同的技术

□资源安排给高风险领域

■63cls审计人员运用数据流程图是用来

□定义数据层次

□突出高级别数据定义.

□用图表化方式描述数据路径和存储

□描绘一步一步数据产生的具体资料

・64B在对数据中心进行平安审计时，通常审计师第一步要实行的是：

□评级物理访问限制测试的结果

□确定对于数据中心站点的风险/威逼

□审查业务持续程序

□测试对于可疑站点的物理访问的证据

■65B高层管理要求IS审计师楮助部门管理者实施必要的限制，IS审计师应当：

□拒绝这种支配，因为这不是审计人员的职责

□告知管理层将来他的审计工作无法进行

□执行支配和将来的审计工作，处于职业谨慎

□在得到用户部门批准的状况下，进行实施和后续工作

■66B在制定风险基础审计策略时，IS审计师须要进行风险评估审计，目的是保证：

□减轻风险的限制到位

□确定了脆弱性和威逼

□审计风险的考虑.

□Gap差距分析是合适的.

■67A当通知审计结果时，IS审计师应当牢记他们的最终责任是对：

□高级管理和/或审计委员会.

□被审计单位的经理.

□IS审订主管.

□法律部门legalauthorities

■68B对于抽样可以这样认为：

□当相关的总体不具体或者是限制没有文档记录时intangibleorundocumentedcontrol,适用于统计抽样。

□假如审计师知道内部限制是强有力的，可以降低置信系数

□属性抽样通过在尽可能早的阶段停止抽样可以避开过度抽样。

□变量抽样是一种技术，用于评估某种限制或一系列相关限制的发生率。

■69cls审计师评估系统变更的测试结果，这个系统用于处理缴纳结算paymemcomputalion。审计师发觉50%

的计算结果不能和预先定义的总数匹配。IS审计师最有可能实行下面哪一步措施？

□对于出错的计算，设计进一步的测试

□确定可能导致测试结果错误的变量

□检查部分测试案例，以便确认结果

□记录结果，准备包括发觉、结论和建议的报告

■70C在实施对于多用户分布式应用程序的审核时，IS审计师发觉在三个方面存在小的弱点：初始参数设置不当，

正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应当：

□分别记录对于每个发觉产生的相关影响。(recordtheobservationsseparatelywiththeimpactofeachof

theinmarkedagainsteachrespectivefinding.)

□建议经理关于可能的风险不记录这些发觉，因为限制弱点很小

□记录发觉的结果和由F综合缺陷引发的风险

□报告部门领导重视每一个发觉并在报告中适当的记录

■71b人力资源的副总裁要求审计确定上一年度工资发放中多付酬劳的部分，这种状况下最好运用下面哪一种审

计技术？

□测试数据

□通用审计软件

□ITF综合测试法

□嵌入审计模块

■72c持续审计方法的主要优点是：

□当处理过程起先的时候，不要求审计师就系统的牢靠性收集证据

□当全部信息收集完成后，须要审计师审查并马上实行行动

□可以提高系统的平安性，当运用分时环境处理大量的交易时

□不依靠组织的计算机系统的困难性。

■73A在审计章程中记录的审计功能中的责任、权力和经营责任responsibility,authorityandaccountability,必需：

□必需经最高管理层批准

□经审计部门管理者批准

□经用户部门领导批准

□在每年IS审计师大会commencemeni之前修改

■74Als审计师从一个客户的数据库引入数据。下一步须要确认输入数据是否完整，是由：

□匹配输入数据的限制总数和原始数据的限制总数

□对数据进行排序以确认是否数据和原始数据的序号相同

□审查打印输出的前100条原始记录和输入数据的前100条记录

□依据不同的分类过滤数据，和原始数据核对

■75A在评估网络监测限制时，IS审计师笫一步应当审核网络的

□A拓朴图.

□带宽运用.

□堵塞分析报告

□瓶颈确定

■76DIS审计师评估信息系统的管理风险。IS审计师应当最先审查：

□已经实施的限制

□己经实施限制的有效性

□资产的风险监督机制

□资产的脆弱性和威逼

■77B在有异议的状况下，离开审计面谈中xitinterview,考虑到结果的影响，IS审计师应当：

□要求被审计人员以签名的形式接受全部法律费任

□阐述调查的意义和不订正的风险

□向审计委员会报告有异议的状况

□接收被审计方的看法，因为他们有处理的全部权

■78D确定商品库存的价值已超过八周，IS审计师最有可能是用：

□测试数据.

□统计抽样

□综合测试法ITF

□通用审计软件

■79A下列哪一个是风险评估过程的描述？风险评估是：

□主观.

□客观.

□数学方法

□统计

■80c综合测试法ITF被认为是一个有用的工具，因为它：

□对于审计应用限制来说，是一种具有成本效益的方式

□允许财务和IS审计师整合他们的测试

□将处理的输出结果与单独计算的数据进行比较.

□为IS审计师供应分析大量信息的工具

■81A在审计报告确认发觉的结果finding后，被审计方快速实行了订正行动。审计师应当：

□在最终报告中包括发觉的结果，因为IS师要负责正确的审计报告包括全部的发觉结果。

□在最终的调查报告中不包括发觉结果，因为审计报告仅仅包括未解决的发觉结果

□在最终的调查报告中不包括发觉结果，因为在审计师审计期间，订正行动已经被确认。

□包括结果，仅仅在闭幕会议上探讨调杳之用。

■82A以风险为基础的审计方法，IS审计师应当首先完成：

□固有的风险评估.

□限制风险评估.

□限制测试评估.

□实质性测试评估.

Chapter2

1.b下面哪一种IT治理是提高战略联盟（alignmeni）的最佳做法？

a）供应商和合作伙伴的风险管理.

b）基于客户、产品、市场、流程的学问库实施到位.

c）供应有利于于建立和共享商业信息的组织结构.

d）高层之间对于业务和技术责任的协调

2.d建立可接受的风险水平的责任属于：

a）质量保证经理.

b）高级业务管理.

c）CIO首席信息主管.

d）首席平安主管

3.a作为信息平安治理成果，战略联盟供应：

a）企业需求驱动的平安要求.

b）依据最佳实践制定的平安基线.

c）特地的或客户定制的解决方案.

d）了解风险.

4.c假如缺乏高层管理人员对于战略支配的许诺（commitment）,最可能的后果是：

a）缺乏技术投资.

b）缺乏系统开发的方法.

c）技术与组织目标不一样.

d）缺乏对于技术合同的限制.

5.d用自下而上的方法来开发组织政策的优势在于这样开发的政策：

a）为组织整体而指定.

b）更可能来自于风险评估的结果.

c）与企业整体政策不会冲突.

d）确保整个组织的一样性

6.aIS审计师发觉并不是全部的员工都知道企业的信息平安政策.【S审计师可以得出的结论是:

a）这种无知有可能导致意外泄漏敏感资料

b）信息平安并非对全部功能都是关键的.

c）IS审计师应当为员工供应平安培训.

d）D审计结果应当使管理者为员工供应持续的培训

7.a有效的IT治理应当确保IT支配符合组织的：

a）业务支配.

b）审计支配.

c）平安支配.

d）投资支配.

8.a当通信分析人员进行下面哪一项的时候，IS审计师应当赐予重点关注？

a）监测系统性能，追踪程序变动导致的问题

b）依据当前和将来的交易量，审查网络负载需求

c）评价终端响应时间和网络数据传输率对于网络负载的影响

d）网络负载平衡措施和改进建议

9.c下面哪一项最可能示意，客户数据仓库应当由内部开发而不是外包给海外运营？

a）时差不同有可能影响IT团队的沟通

b）通信费在第一年特别高

c）有关防私权的法律可能会阻碍信息跨国界传输

d）软件开发须要更具体的说明

10.d当一名员工被解雇时，须要实行的最重要的行动是：

a）交出全部职工的档案给指定的另一名雇员.

b）完成员工工作的备份.

c）通知其他员工关于该员工的解雇通知.

d）解除该员工的逻辑访问权限.

11.d在处理可疑入侵时，一个合理的信息平安策略最有可能包括下列哪一项？

a）反应

b）纠错

c）检测

d）监控

12.cIS审计师在审查运用交叉培训做法的组织时，应当评估哪一种风险？

a）对于单个员_L的依靠性

b）连续性支配不够充分

c）一个员工了解系统的全部部分

d）错误操作.

13.blS审计师在审查IT设备的外包合同的时候，希望合同确定的是：

a）硬件配置.

b）访问限制软件.

c）学问产权的全部权.

d）开发应用方法.

14.c设计信息平安政策时，最重要的一点是全部的信息平安政策应当：

a）非现场存储.

b）由IS经理签署writtenbyISmanagement

c）分发并传播给用户.

d）常常更新.

15.d当评价组织的IS战略时候，下面哪一项IS审计师认为是最重要的？

a）获得一线管理人员linemanagement的支持

b）不能与IS部门初步预算有差异

c）遵守选购程序

d）支持该组织的业务目标

16.缺乏足够的平安限制是一个：

a）威逼.

b）资产.

c）影响.

d）脆弱性.

17.对于IT平安策略的审计的主要目的是保证

a）策略向全部员工分发，并且每个员工都知道

b）平安和限制策略支持业务和IT目标

c）有公开发行的组织图表和功能描述

d）适当的职责分别.

18.制订风险管理支配时，首先进行的活动是：

a）风险评估.

b）数据分类.

c）资产清单.

d）关键性分析.

19.制订风险管理支配时，首先进行的活动是：

a）风险评估.

b）数据分类.

c）资产清单.

d）关键性分析.

20.风险分析小组很难预料由可能会由风险造成的经济损失，要评估潜在的损失，小组须要：

a）il算有关资产的折旧.

b）计算投资回报率（ROI）.

c）采纳定性的方法.

d）花费必要的时间精确计算损失金额

21.以下哪一项是由于对于数据和系统的全部权定义不充分导致的最大的风险？

a）管理协调用户不存在.

b）无法明确特定用户责任

O未授权用户可以产生，修改和删除数据

d）审计建议无法实施

22.耍支持组织的目标，信息部门应当具有：

a）低成本理念.

b）长期和短期支配.

c）领先的技术.

d）购买新的硬件和软件的支配.

23.为降低成本并提高外包的服务水匕外包应当包括以下哪些合同条款？

a）操作系统和软硬件更新的周期

h）共同共享由于提高绩效获得的收益Gain-sharingperformancebonuses

c）违规惩罚

d）费用和可变成本Chargestiedtovariablecostmetrics

24.24.以下哪一项供应了管理机制使IS管理层能够确定是否该组织活动的支配偏离了支配或预期的水平？

a）质量管理

b）Is评估方法

c）管理原则

d）行业标准/基准

25.25.IS限制目标对于IS审计师的用途体现在它们供应了基础，以便于理解：

a）实现特定限制程序的预期结果和目标

b）对于特定实体的最佳IT平安限制措施

c）信息平安的技术.

d）平安策略

26.对于公司的IS审计师来说，考虑外包IT过程并审查每一个供应商的业务持续支配的副本是合适的的么？

□是合适的，因为IS审计师会评估服务商支配的充分性，并帮助公司实施补充支配

□是合适的，因为依据支配，IS审计师要评估服务方的财务稳定性和履行合同的实力

□不合适，因为供应的备份在合同中应当是具体充分的

□不合适，因为服务方的业务持续支配是私有的信息

27.当服务被外包的时候，以下哪一个是IS管理者最重要的职能？

□:确保支付给服务商发票

□作为参与者参与系统设计

□重新和服务商关于费用进行谈判

□监督外包商的业绩

■28.当IT支持部门和终端用户之间的责权分别问题很重要时，应当实行下面哪种补偿限制？

□限制物理访问计算机设备

□审查交易和应用日志

□在雇用IT部门人员时进行背景调查

□一段时间不活动后，锁定用户进程

■29.对于组织来说外包其数据处理业务的可能的优势是：

□能够获得所须要的外部的专家阅历

□可以对处理行使更大的限制

□可以实施和内部确定处理的优先权

□沟通用户需求时，须要更多的用户参与

■30.IS指导委员会应当：

□包括来自各个部门和各个层次的员工

□确保IS平安政策和程序被适当的执行

□有正式的定期召开例会，并保留每一次会议记录

□在每一次供应商召集的会议上，记录新的趋势和产品

■31.某个长期雇员是具有强大的技术背景和广泛的管理阅历，申请IS审计部门的一个空缺职位。确定是否在此

岗位上是否聘用此人须要考虑个人阅历和：

□服务时间，因为这将有助于确保技术水平.

□年龄，因为培训审计技术可能不切实际.

□IS学问，因为这会带来提高审计工作的可信度.

□实力，因为作为1S审计师，与现有的IS关系是独立的

■32.很多组织要求雇员强制性休假一周以上是为了：

□确保员工保持良好的生活品质，这将带来更大的生产率.

□削减雇员从事非法或不当行为的机会.

□为其他雇用供应适当的交叉培训.

□消退员工休假一次一天的潜在的干扰

■33.在实施平衡计分卡之前，该组织必需：

□供应切实有效的服务.

□确定关键性能指标.

□供应当项目的商业价值.

□限制IT支出.

■34.在企业资源支配（ERP）系统中总帐的设置功能允许设置会计期间。对于这项功能允许财务，仓库和订单

输入部门的用户都可以运用这项功能。这种广泛的访问权的最可能的缘由是：

□须要定期更改会计期间

□一个会计期间结束后，须要追加记帐

□缺少适当的政策和程序进行职责分工

□须要建立和修改关于账目和安排的图表

■35.在IS部门中，下面哪一项IS审计师认为是和IS部门的短期支配最相关的？

□资源安排

□保持技术的领先水平

□进行评估自我限制

□硬件需求评估

■36.评估IT风险的最佳方法是：

□评估与现有IT资产和IT项目相关的威逼

□利用公司以往的实际阅历，确定当前风险损失.

□审查同类公司公布的损失统计数据

□审查IS审计报告中指出的限制弱点

■37.以下哪一个是IT绩效衡量过程的主要目的？

□最小化错误

□收集绩效数据.

□建立绩效基准.

□绩效优化.

・38.让业务单位担当开发应用业务的责任，很可能会导致：

□:数据通信的需求大幅度削减.

□行使较低水平的限制.

□实行更高层次的限制.

□改善职责分工.

■39.IS审计师受雇审查电子商务平安。IS审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。

下一步工作是什么？

□马上向CIO或CEO报告风险

□检杳开发中的电子商务应用.

□确定威逼和发生的可能性.

□核对风险管理的可行预算.

■40.以卜哪一项是创建防火墙策略的第一步？

□对于平安应用的成本效益分析方法

□识别外部访问的网络应用

□识别外部访问的网络应用的脆弱性

□设立应用限制矩阵，显示保障方法

■41.确保组织遵守隐私的要求，IS审计师应当首先审查：

□IT基础设施.

□组织的政策、标准和程序.

□法律和规章的规定.

□组织政策、标准和程序的附件.

■42.组织的管理层确定建立一个平安通告awareness程序。下面哪一项可能是程序的一部分？

□利用入侵侦测系统报告事务

□授权运用密码访问全部软件

□安装高效的用户日志系统，以追踪记录每个用户的行为

□定期培训全部当前员工和新进员工

■43.以下哪一项是减轻职责划分不当引发风险的补偿限制？

□序列检验

□核对数字

□源文件保存

□批限制Reconciliations

■44.IT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指标而不是

□财务状况.

□客户满足度

□内部过程的效率.

□创新实力

■45.由上而下的方式建立的业务政策将有助于保证：

□政策在整个组织的范围内一样.

□政策作为风险评估的一部分实施

□遵守全部政策.

□政策被定期检讨.

■46.以下哪一项是IT指导委员会的职能：

□监测供应商对于变更限制的限制和测试

□保证信息处理环境中的职责分别

□审批和监管重大项目，IS支配和预算的状况

□IS部门和终端用户之间的联系

■47.其中哪一项应包括在组织的信息平安政策中？

□要爱护的关键IT资源列表

□访问授权的基本原则

□确定敏感平安特征

□相关的软件平安特征

■48.在一个组织内，IT平安的贡任被清晰的定义和强化，并始终如一地执行IT平安的风险和影响分析。这表示

的是信息平安治理成熟度模型的哪一级？

□优化.

□管理

□定义

□重复

■49.IS审计师在审查信息系统短期(战术)支配时应确定是否：

□在项目中，IS人员和业务人员进行了整合

□有明确的目标和任务

□信息技术支配战略方法在发挥作用

□将业务目标和IS目标进行关联的支配

■50.局域网(LAN)管理员通常受限制于(不能)：

□具有终端用户权限

□向终端用户经理报告

□具有编程权限

□负责局域网平安管理

■51.一个组织收购其他企业，并接着运用其遗留的电子数据交换系统，和三个独立的增值网供应商。没有书面

的增值网合同。IS审计师应当建议管理者：

□获得第三方服务供应商的独立保证

□设置程序监督第三方交付的服务

□确保正式合同发挥作用

□考虑和第三方服务供应商共同开发业务持续支配

■52.对于胜利实施和维护平安政策来说，以下哪一项是最重要的？

□各方的书面平安策略的结构和目的都一样。Assimilationoftheframeworkandintentofawrillensecurity

policybyallappropriateparties

□管理层支持并批准实施和维护平安政策

□通过对任何违反平安规则的行为进行惩处来强调平安规测

□平安管理人员通过访问限制软件严格执行，监督和强调平安规则

■53.下列哪一项削减了潜在的社会工程攻击的影响：

□遵守规定要求

□提高道德意识

□平安意识awareness程序

□有效的业绩激励

■54.以下是一种机制可以减轻风险.

□平安和限制措施

□财产责任保险

□审计和鉴证

□合同服务水平协议(SLA)

■55.电子取证的风险可能会削减的缘由是通过电子邮件的：

□破坏政策.

□平安政策.

□存档政策

□审计政策

■56.1S审计师审查组织的IS战略支配，首先要审查：

□现有的IT环境

□业务支配

□目前的IT预算.

□目前的技术趋势

□

■57.技术变革的速度增加了下面哪一项的重要性：

□外包IS功能.

□实施和强化良好流程

□员工在组织中的建立事业的愿望

□满足用户要求

■58.将会在组织的战略支配中发觉下面哪一个目标？

□测试新的帐户包Testanewaccountingpackage

□进行信息技术需求评估

□在接下来的12个月中实施新的项目支配

□成为杲种产品的供应商

■59.制定一个平安政策是哪一个部门的最终责任：

□IS部门.

□平安委员会.

□平安管理员.

□董事会

■60.IT治理是哪一项的主要责任：

□首席执行官.

□董事会

□IT指导委员会.

□审计委员会.

■61.1S审计师对于与员工相关的IS管理实践审计进行一般限制审计，应当特殊关注的是：

□强制休假政策和遵守状况.

□人员分类和公允的补偿政策.

□员工培训.

□安排给员工的职责.

■62.从限制角度而言，T.作的描述的关键要素在于他们：

□供应如何工作的说明和明确的授权

□对于员工来说是更新的，文档化，并且简洁得到

□沟通管理者的具体工作业绩预期.

□确立员工行为的责任和义务

■63.下列哪些证据供应了具有合适的平安意识程序的最好证据？

□股东的数量Thenumberofstakeholders,包括受到培训各级员工

□整个企业范围内培训覆盖的范围

□不同供应商的平安设施落实状况

□定期审查并与最佳实践比较

■64.在制定以下哪一项时，包括高层管理人员参与是最重要的？

□战略支配.

□IS政策

□IS程序.

□标准和指南.

■65.在审查IS战略时，IS审计师最能衡量IS策略是否支持组织的业务目标的做法是确定是否:

□有须要的全部人员和装备.

□支配与管理策略一样.

□运用设备和人员的效率和效益.

□有足够的实力，以适应不断变更的方向.

■66.在职责分别不合适的环境中，IS审计师要找寻下面哪一种限制？

□重叠限制

□边界限制

□访问限制

□补偿性限制

■67.当IS从独立的服务供应商处选购时，审计师应当期望在招标书requestforproposal(RFP)中包括下面哪一

项？

□从其他客户参考

□服务水平协议(SLA)模板

□维护协议

□转换支配

■68.风险管理的产出结果是下面哪一项的输入？

□业务支配.

□审计章程.

□平安政策策略.

□软件设计策略.

■69.IT指导委员会审查信息系统主要是为了评估：

□IT处理是否支持业务需求.

□提出的系统的功能是否足够.

□现有软件的稳定性.

□安装技术的困难性.

■70.建立了信息平安程序的第一步是：

□制定和实施信息平安标准手册.

□IS审计师执行对于平安限制理解的审查performanceofacomprehensivesecuritycontrolreviewby(heIS

auditor.

□采纳公司的信息平安政策报告

□购买平安访问限制软件

■71.在审查电子资金转帐系统［EFT)的结构时，IS审计师留意到技术架构基于集中处理方式，并且外包给国外

处理。由于这些信息，下面哪一个结论是1S审计师最关注的？

□可能会有与司法权限范围有关的问题

□由于有国外的供应商可能会导致将来审计费用超支

□由于距离，审计过程可能会很困难

□可能有不同的审计标注

■72组织外包其软件开发，以下哪一项是该组织IT管理的责任？

□支付服务供应商

□作为参与者参与系统设计

□限制外包商遵守服务合同

□与供给商谈判合同

■74.有效的1T治理要求组织的结构和流程能够确保：

□组织的战略和目标延长到IT战略.

□业务战略来自于IT战略

□IT治理独立于并不同于全面治理

□IT战略扩大了组织的战略和目标

■75.全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和：

□复原.

□保存.

□重建

□再用

■76.下面哪一项最能保证新员工的正直性？

□背景检查

□参考资料

□bonding

□简历中的资格

Chapter3

□i.一个组织有一个集成开发环境，程序库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是

集成开发环境(IDE)的强项？

■限制程序多个版本的扩散

■扩展程序资源和可得到的协助工具

■增加程序和加工的整体性

■防止有效的变更被其他修改程序重写

□2.以下哪一项是支配评审技术(PERT)相比其他方法的优点？与其他方法相比：

■为支配和限制项目考虑不同的情景

■允许用户输入程序和系统参数.

■测试系统维护加工的精确性

■估算系统项目成本.

□3.下列哪些是运用原型法进行开发的优