CISA 中文模拟题465题

1、Chapter 11. 下列哪些形式的审计证据就被视为最可靠? q 口头声明的审计 q 由审计人员进行测试的结果 q 组织内部产生的计算机财务报告 q 从外界收到的确认来信 2. 当程序变化是，从下列哪种总体种抽样效果最好？q 测试库清单q 源代码清单 q 程序变更要求 q 产品库列表3. 在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：q 系统程序员. q 法律人员 q 业务部门经理 q 应用程序员. 4. 进行符合性测试的时候，下面哪一种抽样方法最有效？q 属性抽样 q 变数抽样 q 平均单位分层抽样q 差别估算 5. 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时

2、，审计人员应该知道：q 当数据流通过系统时，其作用的控制点。 q 只和预防控制和检查控制有关. q 纠正控制只能算是补偿. q 分类有助于审计人员确定哪种控制失效6. 审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? q 计算机辅助开发工具（case tool） q 嵌入式（embedded）资料收集工具 q 启发扫描工具（heuristic scanning tools） q 趋势/变化检测工具 7. 在应用程序开发项目的系统设计时间，审计人员的主要作用是：q 建议具体而详细的控制程序 q 保证设计准确地反映了需

3、求 q 确保在开始设计的时候包括了所有必要的控制 q 开发经理严格遵守开发排程8. 下面哪一个目标控制自我评估(CSA)计划的目标? q 关注高风险领域q 替换审计责任 q 完成控制问卷 q 促进合作研讨会 Collaborative facilitative workshops9. 利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证： q 充分保护信息资产q 根据资产价值进行基本水平的保护q 对于信息资产进行合理水平的保护q 根据所有要保护的信息资产分配相应的资源10. 审计轨迹的主要目的是：q 改善用户响应时间q 确定交易过程的责任和权利q 提高系统的运行效率q 为审计人员

4、追踪交易提供有用的数据 11. 在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响： q 可以使用的CAATsq 管理层的陈述q 组织结构和岗位职责.q 存在内部控制和运行控制12. 对于组织成员使用控制自我评估(CSA)技术的主要好处是： q 可以确定高风险领域，以便以后进行详细的审查q 使审计人员可以独立评估风险q 可以作来取代传统的审计q 使管理层可以放弃relinquish对控制的责任13. 下列哪一种在线审计技术对于尽早发现错误或异常最有效?q 嵌入审计模块q 综合测试设备Integrated test facility q 快照sanpshotsq 审计钩Aud

5、it hooks14. 当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？q 对于链接库控制进行实质性测试q 对于链接库控制进行复合性测试q 对于程序编译控制的符合性测试 q 对于程序编译控制的实质性测试15. 在实施连续监控系统时，信息系统审计师第一步时确定：q 合理的开始（thresholds）指标值q 组织的高风险领域q 输出文件的位置和格式q 最有最高回报潜力的应用程序16. 审计计划阶段，最重要的一步是确定：q 高风险领域q 审计人员的技能q 审计测试步骤q 审计时间17. 审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统

6、审计师的独立性？审计师：q 在应用系统开发过程中，实施了具体的控制q 设计并嵌入了专门审计这个应用系统的审计模块q 作为应用系统的项目组成员，但并没有经营责任q 为应用系统最佳实践提供咨询意见18. 审计中发现的证据表明，有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是：q 经理助理有舞弊行为q 不能肯定无疑是谁做的q 肯定是经理进行舞弊q 系统管理员进行舞弊19. 为确保审计资源的价值分配给组织价值最大的部分，第一步将是：q 制定审计日程表并监督花在每一个审计项目上的时间q 培养审计人员使用目前公司正在使用的最新技术q 根

7、据详细的风险评估确定审计计划q 监督审计的进展并开始成本控制措施20. 审计师在评估一个公司的网络是否可能被员工渗透， 其中下列哪一个发现是审计师应该最重视的？q 有一些外部调制解调器连接网络q 用户可以在他们的计算机上安装软件q 网络监控是非常有限的q 许多用户账号的密码是相同的21. 信息系统审计师在控制自我评估(CSA)中的传统角色是：q 推动者（facilitator）q 经理q 伙伴q 股东 22. 下面哪一种审计技术为IS部门的职权分离提供了最好的证据：q 与管理层讨论q 审查组织结构图q 观察和面谈q 测试用户访问权限23. 2IS审计师应该最关注下面哪一种情况？q 缺少对成功攻

8、击网络的报告q 缺少对于入侵企图的通报政策q 缺少对于访问权限的定期审查q 没有通告公众有关入侵的情况24. 审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？q 可得到在线网络文文件q 支持终端访问远程主机q 处理在主机和内部用户通信之间的文件传输q 执行管理，审计和控制25. 审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：q 固有的风险.q 控制风险q 检查危险q 审计风险26. 审计章程应采取：q 是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变q 清楚的说明审计目标和授权，维护和审核内部控制q 文文件化达到计

9、划审计目标的审计程序q 列出对审计功能的所有授权，范围和责任27. 审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?q 应用程序所有者不知道IT部门对系统实施的一些应用q 应用数据每周只备份一次q 应用开发文档不完整q 信息处理设施没有受到适当的火灾探测系统的保护28. IS审计功能的一个主要目的是：q 确定每个人是否都按照工作说明使用IS资源q 确定信息系统的资产保护和保持数据的完整性q 对于计算机化的系统审查账册及有关证明文件q 确定该组织识别诈骗fraud的能力29. 进行审计的时候，审计师发现存在病毒，IS审计师下一步应该做什么？q 观察反应机制 q 病毒清除

10、网络q 立即通知有关人员 q 确保删除病毒 30. 审计章程的的主要目标是： q 记录企业使用的审计流程q 审计部门行动计划的正式档 q 记录审计师专业行为的行为准则q 说明审计部门的权力和责任。31. 在对程序的安全性审计过程中，审计师发现没有文件记录安全程序，该审计员应该：q 建立程序文件 q 终止审计q 进行一致性测试q 鉴定和评估现行做法 32. 在风险分析期间，IS审计师已经确定了威胁和潜在的影响，下一步审计师应该：q 确定并评估管制层使用的风险评估过程 q 确定信息资产和受影响的系统q 发现对管理者的威胁和影响 q 鉴定和评估现有控制. 33. 下面哪一项用于描述（整体测试法）最合

11、适？q 这种方法使IS审计师能够测试计算机应用程序以核实正确处理 q 利用硬件和或软件测试和审查计算机系统的功能 q 这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程 q IS系统审计师用于测试的一种程序，可以用于处理tagging和扩展交易和主文档记录。34. IS审计师要判断是否严格控制被授权者对于程序文文件的访问，最有可能的做法是 ：q 评估在存储场所的档保存计划 q 就当前正在进行的流程采访程序员 q 对比实际使用的记录和操作表 q 审查数据文件访问记录测试管理库的功能35. 需要进一步收集哪些数据，IS审计师的决定取决于q 需要的重要信息的可用性 q 审计师对于

12、情况的熟悉程序 q 审计人员（auditee）找到相关证据的能力 q 进行审计的目的和范围36. 审查管理层的长期战略计划有助于审计师：q 了解一个组织的宗旨和目标 q 测试企业的内部控制 q 评估组织队信息系统的依赖性 q 确定审计所需的资源 37. 利用统计抽样程序可以减少：q 抽样风险 q 检查风险 q 固有风险 q 控制风险38. IS审计师对软件使用和权限进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为？q 个人擅自删除所有未授权软件拷贝 q 通知被审计人员非授权软件的情况，并确认删除 q 报告使用未经授权软件的情况，并需要管理层避免这种情况重复发生 q 不

13、采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用39. 下面哪一项IS审计师可用来确定编辑和确认程序的有效性（effectiveness）?q 域完整性测试 q 相关完整性测试 q 参照完整性测试 q 同位检查 40. 下面哪一种情况下，IS审计师应该用统计抽样而不是判断抽样(nonstatistical)：q 错误率必须被客观量化（objectively quantified） q 审计师希望避免抽样风险 q 通用审计软件不实用（unavailable） q 容忍误差(tolerable error rate)不能确定41. 证明税收计算系统精确性的最好的方法是：q

14、对于计算程序源代码详细目测审核和分析q 使用通用审计软件对每个月计算的总数进行重复的逻辑计算q 为处理流程准备模拟交易，并和预先确定的结果进行比较 q 自动分析流程图和计算程序的源代码42. 以下哪一个是使用测试数据的最大的挑战?q 确定测试的程序的版本和产品程序的版本一致q 制造测试数据报括所有可能的有效和无效的条件 q 对于测试的应用系统，尽量减少附加交易的影响q 在审计师监督下处理测试数据43. 电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因？q 多重循环备份文件可供利用 q 访问控制可以确定电子邮件行为的责任q 对于通过电子邮件交流的信息尽心过数据分类管理q 企

15、业中，用于确保证据可得的清晰的使用电子邮件的政策44. IS审计师对于应用程控进行审查，应该评价：q 应用程序对于业务流程的的效率q 发现的隐患exposures的影响q 应用程序服务的业务q 应用程序的优化. 45. 以下哪一个是最主要的优势，利用计算机司法软件进行调查：q 维护保管的一系列电子证据 q 节约时间 q 效率和效益q 寻求侵犯知识产权证据的能力46. 以下哪一个是使用ITF综合测试法的优势?q 使用真实的或虚拟的主文档，IS审计师不需要审查交易的来源。q 定期检验过程并不需要单独分离测试过程q 证实应用程序并可测试正在进行的操作q 它无需准备测试资料. 47. 风险分析的一个关

16、键因素是:q 审计计划.q 控制q 弱点. Vulnerabilitiesq 负债liabilities48. IS审计师的决策和行动最有可能影响下面哪种风险？q 固有风险q 检查分析q 控制风险q 业务风险49. 在一台重要的服务器中，IS审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么？q 调查病毒的作者. q 分析操作系统日志q 确保恶意代码已被清除q 安装消除弱点vulnerability的补丁. 50. 组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：q 控制程序.q 控制目标q 纠正控制

17、q 运行控制. 51. IS审计师审计IT控制的效果，发现了一份以前的审计报告，但是没有工作记录workpapers，IS审计师应该怎么处理？q 暂停审计直至找到工作记录q 依靠以前的审计报告q 对于风险最高的区域重新测试控制q 通知审计管理层，重新测试控制52. IS审计师审查组织结构主要是为了：q 理解工作流程q 调查各种沟通管道q 理解个人的责任和权利 q 调查员工之间不同的联系管道53. IS审计师审查对于应用程序的访问，以确定最近的10个新用户是否被争取的授权，这个例子是关于:q 变数抽芽q 实质性测试 q 符合性测试q 停-走抽样.54. 当需要审计轨迹的时候，以下哪一种审计工具最

18、有用？q 综合测试法(ITF) q 持续间断模拟（CIS）q 审计钩（audit hook）q 快照55. 以下哪一个是实质性测试? q 检查例外报告清单q 确认对参数改变进行审批q 对于磁带库列表进行统计抽样q 审核密码历史记录56. 对于特定威胁的整体经营风险的威胁，可以表示如下：q 一种产品的可能性和影响的重要性，如果威胁暴露了弱点q 影响的重要性应该是威胁来源暴露了弱点q 威胁来源暴露弱点的可能性q 风险评估小组的整体判断57. 在审查客户主文档的时候，IS审计师发现很多客户的名字相同arising from variations in customer first names，为了进

19、一步确定重复程度，IS设计师应该：q 测试数据以确认输入数据q 测试数据以确定系统排序能力q 用通用审计软件确定地址字段的重复情况 q 用通用审计软件确定帐户字段的重复情况58. 通常,以下哪一种证据对IS审计师来说最可靠?q 收到的来自第三方的核实账户余额确认信q 一线经理确保应用程序如设计的方式工作q 从internet来源得到的数据趋势（Trend data）q 由一线经理提供报告，IS审计师开发的比率分析（Ratio analysis）59. 成功的实施控制自我评估(CSA)需要高度依赖：q 一线管理人员承担部分监督管理责任q 安排人员负责建置管理,而不是监督、控制q 实施严格的控制策

20、略，和规则驱动的控制q 监督实施和并对控制职责进行监督60. 审计计划阶段，对于风险的评估用于提供：q 审计覆盖重大事项的合理保证q 明确保证重大事项在审计工作中被覆盖q 审计覆盖所有事项的合理保证q 充分保证所有事项在审计工作中被覆盖61. 下面哪一项是使用基于风险方法的审计计划的好处？审计q 排程可以提前完成.q 预算更符合IS审计人员的需要q 人员可以使用不同的技术q 资源分配给高风险领域62. IS审计人员使用数据流程图是用来q 定义数据层次q 突出高级别数据定义.q 用图表化方式描述数据路径和存储q 描绘一步一步数据产生的详细数据63. 在对数据中心进行安全审计时，通常审计师第一步要

21、采取的是：q 评级物理访问控制测试的结果q 确定对于数据中心网站的风险/威胁q 审查业务持续程序q 测试对于可疑网站的物理访问的证据64. 高层管理要求IS审计师帮助部门管理者实施必要的控制，IS审计师应该：q 拒绝这种安排，因为这不是审计人员的职责q 告诉管理层将来他的审计工作无法进行q 执行安排和将来的审计工作，处于职业谨慎q 在得到使用者部门批准的情况下，进行实施和后续工作 65. 在制定风险基础审计策略时，IS审计师需要进行风险评估审计，目的是保证：q 减轻风险的控制到位q 确定了脆弱性和威胁q 审计风险的考虑. q Gap差距分析是合适的. 66. 当通知审计结果时，IS审计师应该牢

22、记他们的最终责任是对：q 高级管理和/或审计委员会.q 被审计单位的经理. q IS审计主管.q 法律部门legal authorities 67. 对于抽样可以这样认为：q 当相关的总体不具体或者是控制没有文文件记录时intangible or undocumented control，适用于统计抽样。q 如果审计师知道内部控制是强有力的，可以降低置信系数q 属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。q 变量抽样是一种技术，用于评估某种控制或一系列相关控制的发生率。68. IS审计师评估系统变更的测试结果，这个系统用于处理缴纳结算payment computation 。审计师发

23、现50%的计算结果不能和预先定义的总数匹配。IS审计师最有可能采取下面哪一步措施？q 对于出错的计算，设计进一步的测试q 确定可能导致测试结果错误的变量q 检查部分测试案例，以便确认结果q 记录结果，准备包括发现、结论和建议的报告69. 在实施对于多用户分布式应用程序的审核时，IS审计师发现在三个方面存在小的弱点：初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应该：q 分别记录对于每个发现产生的相关影响。（record the observations separately with the impact of each of them mark

24、ed against each respective finding.）q 建议经理关于可能的风险不记录这些发现，因为控制弱点很小q 记录发现的结果和由于综合缺陷引发的风险q 报告部门领导重视每一个发现并在报告中适当的记录 70. 人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分，这种情况下最好使用下面哪一种审计技术？q 测试资料q 通用审计软件q ITF综合测试法q 嵌入审计模块71. 持续审计方法的主要优点是：q 当处理过程开始的时候，不要求审计师就系统的可靠性收集证据q 当所有信息收集完成后，需要审计师审查并立即采取行动q 可以提高系统的安全性，当使用分时环境处理大量的交易时

25、q 不依靠组织的计算机系统的复杂性。 72. 在审计章程中记录的审计功能中的责任、权力和经营责任responsibility, authority and accountability，必须：q 必须经最高管理层批准q 经审计部门管理者批准q 经用户部门领导批准q 在每年IS审计师大会commencement之前修改73. IS审计师从一个客户的数据库引入数据。 下一步需要确认输入数据是否完整，是由：q 匹配输入数据的控制总数和原始数据的控制总数q 对数据进行排序以确认是否数据和原始数据的序号相同q 审查打印输出的前100条原始记录和输入数据的前100条记录q 按照不同的分类过滤数据，和原始数

26、据检验74. 在评估网络监测控制时，IS审计师第一步应该审核网络的q 拓朴图. q 带宽使用.q 阻塞分析报告q 瓶颈确定75. IS审计师评估信息系统的管理风险。IS审计师应该最先审查：q 已经实施的控制q 已经实施控制的有效性q 资产的风险监督机制q 资产的脆弱性和威胁76. 在有异议的情况下，离开审计面谈中，考虑到结果的影响，IS审计师应该：q 要求被审计人员以签名的形式接受所有法律责任q 阐述调查的意义和不纠正的风险q 向审计委员会报告有异议的情况q 接收被审计方的意见，因为他们有处理的所有权77. 确定商品库存的价值已超过八周，IS审计师最有可能是用：q 测试资料.q 统计抽样q 综

27、合测试法ITFq 通用审计软件78. 下列哪一个是风险评估过程的描述? 风险评估是: q 主观.q 客观.q 数学方法q 统计 79. 综合测试法ITF被认为是一个有用的工具，因为它：q 对于审计应用控制来说，是一种具有成本效益的方式q 允许财务和审计师整合他们的测试q 将处理的输出结果与单独计算的数据进行比较。q 为审计师提供分析大量信息的工具80. 在审计报告确认发现的结果finding后，被审计方迅速采取了纠正行动。审计师应该：q 在最后报告中包括发现的结果，因为师要负责正确的审计报告包括所有的发现结果。q 在最后的调查报告中不包括发现结果，因为审计报告仅仅包括未解决的发现结果q 在最后

28、的调查报告中不包括发现结果，因为在审计师审计期间，纠正行动已经被确认。q 包括结果，仅仅在闭幕会议上讨论调查之用。81. 以风险为基础的审计方法，审计师应该首先完成：q 固有的风险评估. q 控制风险评估. q 控制测试评估. q 实质性测试评估. 第一章答案01-10：ddcaa dcacb 11-20：daccb babcd 21-30：acaac dabcd 31-40：ddabd abcaa 41-50：cbaba bcbcb 51-60：dcbbc acaaa 61-70：dcbbb abccb 71-81：caaad bdacaa Chapter 21. 下面哪一种IT治理是提高战

29、略联盟（alignment）的最佳做法？ q 供货商和合作伙伴的风险管理. q 基于客户、产品、市场、流程的知识库实施到位. q 提供有利于于建立和共享商业信息的组织结构. q 高层之间对于业务和技术责任的协调 2. 建立可接受的风险水平的责任属于： q 质量保证经理. q 高级业务管理. q CIO首席信息主管. q 首席安全主管3. 作为信息安全治理成果，战略联盟提供：q 企业需求驱动的安全要求. q 按照最佳实践制定的安全基线. q 专门的或客户定制的解决方案. q 了解风险. 4. 如果缺乏高层管理人员对于战略计划的许诺（commitment），最可能的后果是:q 缺乏技术投资. q

30、缺乏系统开发的方法. q 技术与组织目标不一致. q 缺乏对于技术合同的控制. 5. 用自下而上的方法来开发组织政策的优势在于这样开发的政策:q 为组织整体而指定. q 更可能来自于风险评估的结果. q 与企业整体政策不会冲突. q 确保整个组织的一致性6. IS审计师发现并不是所有的员工都知道企业的信息安全政策. IS审计师可以得出的结论是：q 这种无知有可能导致意外泄漏敏感数据 q 信息安全并非对所有功能都是关键的. q IS审计师应该为员工提供安全培训. q 审计结果应该使管理者为员工提供持续的培训7. 有效的IT治理应该确保IT计划符合组织的:q 业务计划. q 审计计划. q 安全计

31、划. q 投资计划. 8. 当通信分析人员进行下面哪一项的时候，IS审计师应该给予重点关注？q 监测系统性能，追踪程序变动导致的问题 q 根据当前和未来的交易量，审查网络负载需求q 评价终端响应时间和网络数据传输率对于网络负载的影响q 网络负载平衡措施和改进建议9. 下面哪一项最可能暗示，客户数据仓库应该由内部开发而不是外包给海外运营？q 时差不同有可能影响IT团队的沟通q 通信费在第一年非常高q 有关隐私权的法律可能会阻碍信息跨国界传输q 软件开发需要更详细的说明10. 当一名员工被解雇时，需要采取的最重要的行动是:q 交出全部职工的档案给指定的另一名雇员. q 完成员工工作的备份.q 通知

32、其他员工关于该员工的解雇通知. q 解除该员工的逻辑访问权限. 11. 在处理可疑入侵时，一个合理的信息安全策略最有可能包括下列哪一项？q 反应 q 纠错q 检测q 监控12. IS审计师在审查使用交叉培训做法的组织时，应该评估哪一种风险？q 对于单个员工的依赖性q 连续性计划不够充分q 一个员工了解系统的所有部分q 错误操作. 13. IS审计师在审查IT设备的外包合同的时候，希望合同确定的是：q 硬件配置.q 访问控制软件.q 知识产权的所有权.q 开发应用方法. 14. 设计信息安全政策时，最重要的一点是所有的信息安全政策应该:q 非现场存储. q 由IS经理签署written by I

33、S managementq 分发并传播给用户. q 经常更新. 15. 当评价组织的IS 战略时候，下面哪一项IS审计师认为是最重要的？q 获得一线管理人员line management的支持q 不能与IS部门初步预算有差异q 遵守采购程序q 支持该组织的业务目标 16. 缺乏足够的安全控制是一个: q 威胁. q 资产.q 影响.q 脆弱性. 17. 对于IT安全策略的审计的主要目的是保证q 策略向所有员工分发，并且每个员工都知道q 安全和控制策略支持业务和IT目标q 有公开发行的组织结构表和功能描述q 适当的职责分离. 18. 制订风险管理计划时，首先进行的活动是：q 风险评估. q 资料

34、分类.q 资产清单. q 关键性分析. 19. 制订风险管理计划时，首先进行的活动是：q 风险评估. q 资料分类.q 资产清单. q 关键性分析. 20. 风险分析小组很难预测由可能会由风险造成的经济损失，要评估潜在的损失，小组需要：q 计算有关资产的折旧. q 计算投资回报率(ROI).q 采用定性的方法. q 花费必要的时间精确计算损失金额 21. 以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险？q 管理协调用户不存在. q 无法明确特定用户责任q 未授权用户可以产生，修改和删除数据q 审计建议无法实施22. 要支持组织的目标，信息部门应该具有：q 低成本理念. q 长

35、期和短期计划.q 领先的技术.q 购买新的硬件和软件的计划. 23. 为降低成本并提高外包的服务水平，外包应该包括以下哪些合同条款？q 操作系统和软硬件更新的周期q 共同分享由于提高绩效获得的收益 Gain-sharing performance bonusesq 违规处罚 q 费用和可变成本 Charges tied to variable cost metrics 24. 以下哪一项提供了管理机制使IS管理层能够确定是否该组织活动的计划偏离了计划或预期的水平? q 质量管理 q Is评估方法q 管理原则 q 行业标准/基准 25. IS控制目标对于IS审计师的用途体现在它们提供了基础，以便

36、于理解：q 实现特定控制程序的预期结果和目标q 对于特定实体的最佳IT安全控制措施q 信息安全的技术.q 安全策略26. 对于公司的IS审计师来说，考虑外包IT过程并审查每一个供货商的业务持续计划的副本是合适的的么？q 是合适的，因为IS审计师会评估服务商计划的充分性，并帮助公司实施补充计划q 是合适的，因为根据计划，IS审计师要评估服务方的财务稳定性和履行合同的能力q 不合适，因为提供的备份在合同中应该是具体充分的q 不合适，因为服务方的业务持续计划是私有的信息27. 当服务被外包的时候，以下哪一个是IS管理者最重要的职能？q 确保支付给服务商发票q 作为参加者参与系统设计 q 重新和服务商

37、关于费用进行谈判q 监督外包商的业绩 28. 当IT支持部门和终端使用者之间的责权分离问题很重要时，应该采取下面哪种补偿控制？q 限制物理访问计算机设备q 审查交易和应用日志q 在雇用IT部门人员时进行背景调查q 一段时间不活动后，锁定使用者进程29. 对于组织来说外包其数据处理业务的可能的优势是:q 能够获得所需要的外部的专家经验q 可以对处理行使更大的控制q 可以实施和内部确定处理的优先权q 沟通使用者需求时，需要更多的使用者参与30. IS指导委员会应该：q 包括来自各个部门和各个层次的员工q 确保IS安全政策和程序被适当的执行q 有正式的定期召开例会，并保留每一次会议记录q 在每一次供

38、货商召集的会议上，记录新的趋势和产品31. 某个长期雇员是具有强大的技术背景和广泛的管理经验，申请IS审计部门的一个空缺职位。确定是否在此岗位上是否聘用此人需要考虑个人经验和：q 服务时间，因为这将有助于确保技术水准.q 年龄，因为培训审计技术可能不切实际.q IS知识，因为这会带来提高审计工作的可信度. q 能力，因为作为IS审计师，与现有的IS关系是独立的32. 许多组织要求雇员强制性休假一周以上是为了：q 确保员工保持良好的生活质量，这将带来更大的生产率.q 减少雇员从事非法或不当行为的机会.q 为其他雇用提供适当的交叉培训.q 消除员工休假一次一天的潜在的干扰33. 在实施平衡计分卡之

39、前，该组织必须:q 提供切实有效的服务. q 确定关键性能指针.q 提供该项目的商业价值. q 控制IT支出. 34. 在企业资源计划（ERP）系统中总账的设置功能允许设置会计期间。对于这项功能允许财务，仓库和订单输入部门的用户都可以使用这项功能。这种广泛的访问权的最可能的原因是：q 需要定期更改会计期间q 一个会计期间结束后，需要追加记账q 缺少适当的政策和程序进行职责分工q 需要建立和修改关于账目和分配的图表35. 在IS部门中，下面哪一项IS审计师认为是和IS部门的短期计划最相关的？q 资源分配 q 保持技术的领先水平q 进行评估自我控制 q 硬件需求评估 36. 评估IT风险的最佳办法

40、是: q 评估与现有IT资产和IT项目相关的威胁q 利用公司以往的实际经验，确定当前风险损失. q 审查同类公司公布的损失统计资料q 审查IS审计报告中指出的控制弱点37. 以下哪一个是IT绩效衡量过程的主要目的?q 最小化错误q 收集绩效资料.q 建立绩效基准.q 绩效优化. 38. 让业务单位担任开发应用业务的责任，很可能会导致: q 数据通信的需求大幅度减少. q 行使较低水平的控制 .q 实行更高层次的控制. q 改善职责分工. 39. IS审计师受雇审查电子商务安全。IS审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。下一步工作是什么？q 立即向CIO或CEO报告风险q

41、 检查开发中的电子商务应用.q 确定威胁和发生的可能性. q 核对风险管理的可行预算.40. 以下哪一项是创建防火墙策略的第一步?q 对于安全应用的成本效益分析方法q 识别外部访问的网络应用 q 识别外部访问的网络应用的脆弱性q 设立应用控制矩阵，显示保障办法 41. 确保组织遵守隐私的要求，IS审计师应该首先审查:q IT基础设施.q 组织的政策、标准和程序. q 法律和规章的规定. q 组织政策、标准和程序的附件. 42. 组织的管理层决定建立一个安全通告awareness程序。下面哪一项可能是程序的一部分？q 利用入侵检测系统报告事件q 授权使用密码访问所有软件q 安装高效的用户日志系统

42、，以追踪记录每个用户的行为q 定期培训所有当前员工和新进员工 43. 以下哪一项是减轻职责划分不当引发风险的补偿控制？q 序列检验 q 核对数字 q 源文件保存 q 批控制Reconciliations 44. IT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指针而不是q 财务状况. q 客户满意度q 内部过程的效率. q 创新能力45. 由上而下的方式建立的业务政策将有助于保证: q 政策在整个组织的范围内一致.q 政策作为风险评估的一部分实施q 遵守所有政策.q 政策被定期检讨. 46. 以下哪一项是IT指导委员会的职能：q 监测供货商对于变更控制的控制和测试q 保证信息处

43、理环境中的职责分离q 审批和监管重大项目，IS计划和预算的情况q IS部门和终端使用者之间的联系47. 其中哪一项应包括在组织的信息安全政策中？q 要保护的关键IT资源列表q 访问授权的基本原则q 确定敏感安全特征q 相关的软件安全特征48. 在一个组织内，IT安全的责任被清楚的定义和强化，并始终如一地执行IT安全的风险和影响分析。这表示的是信息安全治理成熟度模型的哪一级？q 优化.q 管理q 定义q 重复49. IS审计师在审查信息系统短期（战术）计划时应确定是否： q 在项目中，IS人员和业务人员进行了整合q 有明确的目标和任务q 信息技术计划战略方法在发挥作用q 将业务目标和IS目标进行

44、关联的计划50. 局域网(LAN)管理员通常受限制于（不能）：q 具有终端使用者权限q 向终端使用者经理报告q 具有程序设计权限q 负责局域网安全管理51. 一个组织收购其他企业，并继续使用其遗留的电子数据交换系统，和三个独立的增值网供货商。没有书面的增值网合同。IS审计师应该建议管理者：q 获取第三方服务提供商的独立保证q 设置程序监督第三方交付的服务q 确保正式合同发挥作用q 考虑和第三方服务提供商共同开发业务持续计划52. 对于成功实施和维护安全政策来说，以下哪一项是最重要的？q 各方的书面安全策略的结构和目的都一致。q 管理层支持并批准实施和维护安全政策 q 通过对任何违反安全规则的行

45、为进行惩罚来强调安全规测q 安全管理人员通过访问控制软件严格执行，监督和强调安全规则53. 下列哪一项减少了潜在的社会工程攻击的影响：q 遵守规定要求q 提高道德意识q 安全意识awareness程序q 有效的业绩激励54. 以下是一种机制可以减轻风险. q 安全和控制措施 q 财产责任保险 q 审计和鉴证q 合同服务水平协议(SLA) 55. 电子取证的风险可能会减少的原因是通过电子邮件的:q 破坏政策. q 安全政策. q 存档政策q 审计政策56. IS审计师审查组织的IS战略计划，首先要审查：q 现有的IT环境q 业务计划q 目前的IT预算.q 目前的技术趋势57. 技术变革的速度增加

46、了下面哪一项的重要性:q 外包IS功能.q 实施和强化良好流程q 员工在组织中的建立事业的愿望q 满足用户要求58. 将会在组织的战略计划中发现下面哪一个目标？q 测试新的账户包Test a new accounting packageq 进行信息技术需求评估q 在接下来的12个月中实施新的项目计划q 成为某种产品的供货商59. 制定一个安全政策是哪一个部门的最终责任: q IS部门. q 安全委员会.q 安全管理员.q 董事会60. IT治理是哪一项的主要责任:q 首席执行官. q 董事会 q IT指导委员会. q 审计委员会. 61. IS审计师对于与员工相关的IS管理实践审计进行一般控制

47、审计，应该特别关注的是：q 强制休假政策和遵守情况.q 人员分类和公平的补偿政策. q 员工培训.q 分配给员工的职责62. 从控制角度而言，工作的描述的关键要素在于他们:q 提供如何工作的说明和明确的授权q 对于员工来说是更新的，文档化，并且容易得到q 沟通管理者的具体工作业绩预期. q 确立员工行为的责任和义务63. 下列哪些证据提供了具有合适的安全意识程序的最好证据？q 股东的数量The number of stakeholders，包括受到培训各级员工q 整个企业范围内培训覆盖的范围q 不同供货商的安全设施落实情况q 定期审查并与最佳实践比较64. 在制定以下哪一项时，包括高层管理人员

48、参与是最重要的？q 战略计划.q IS政策q IS程序.q 标准和指南. 65. 在审查IS战略时，IS审计师最能衡量IS策略是否支持组织的业务目标的做法是确定是否：q 有需要的所有人员和装备. q 计划与管理策略一致.q 使用设备和人员的效率和效益. q 有足够的能力,以适应不断变化的方向. 66. 在职责分离不合适的环境中，IS审计师要寻找下面哪一种控制？q 重迭控制 q 边界控制q 访问控制q 补偿性控制67. 当IS从独立的服务提供商处采购时，审计师应该期望在招标书request for proposal (RFP)中包括下面哪一项？q 从其他客户参考 q 服务水平协议(SLA)范本

49、q 维护协议 q 转换计划 68. 风险管理的产出结果是下面哪一项的输入？q 业务计划. q 审计章程.q 安全政策策略.q 软件设计策略. 69. IT指导委员会审查信息系统主要是为了评估:q IT处理是否支持业务需求.q 提出的系统的功能是否足够.q 现有软件的稳定性.q 安装技术的复杂性. 70. 建立了信息安全程序的第一步是: q 制定和实施信息安全标准手册.q IS审计师执行对于安全控全面的审查q 采用公司的信息安全政策报告q 购买安全访问控制软件71. 在审查电子资金转账系统(EFT)的结构时，审计师注意到技术架构基于集中处理方式，并且外包给国外处理。由于这些信息，下面哪一个结论是

50、审计师最关注的？q 可能会有与司法权限范围有关的问题q 由于有国外的供货商可能会导致未来审计费用超支q 由于距离，审计过程可能会很困难q 可能有不同的审计标准72. 组织外包其软件开发， 以下哪一项是该组织IT管理的责任? q 支付服务提供商 q 作为参加者参加系统设计 q 控制外包商遵守服务合同q 与供养商谈判合同 73. 有效的IT治理要求组织的结构和流程能够确保：q 组织的战略和目标延伸到IT战略.q 业务战略来自于IT 战略q IT治理独立于并不同于全面治理q IT战略扩大了组织的战略和目标74. 全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和: q 恢复. q 保存.q

51、重建q 再用75. 下面哪一项最能保证新员工的正直性? q 背景检查 q 参考数据 q 人际关系(bonding)q 简历中的资格第二章答案01-10：dbacd aaacd 11-20：acccd dbccc21-30：cbbba adbac 31-40：dbbca adbcb41-50：cddaa cbbbc 51-60：cacac bbddb61-70：dddab dacac 71-75：acdbaChapter 31. 一个组织有一个集成开发环境，链接库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是集成开发环境（IDE）的强项？q 控制程序多个版本的扩散q 扩展程序资源和

52、可得到的辅助工具q 增加程序和加工的整体性q 防止有效的变更被其他修改程序重写2. 以下哪一项是计划评审技术(PERT)相比其他方法的优点？与其他方法相比: q 为计划和控制项目考虑不同的情景q 允许用户输入程序和系统参数. q 测试系统维护加工的准确性q 估算系统项目成本.3. 下列哪些是使用原型法进行开发的优点？q 成品系统有足够的控制. q 系统将有足够的安全/审计轨迹. q 减少部署deployment时间q 很容易实现变更控制4. 软件开发方法中生命周期法中的瀑布模型最适合用于：q 需求完全理解并可望保持稳定，如同系统运行的业务环境一样q 需求完全理解并且项目受时间压力影响q 项目需

53、要使用面向对象的设计和程序设计方法q 项目需要使用新技术5. 以下哪种人员要为软件开发团队提供需求说明书负责？q 组长q 项目发起人q 系统分析员q 指导委员会. 6. 在处理决策支持系统时，以下哪一项是实施风险？q 管理控制q 结构化层次q 无法确定用途和使用方式 q 决策过程的变化7. 审计师审查重组织流程的时候，首先要审查：q 现有控制图q 消除的控制q 处理流程图q 补偿性控制. 8. IS审计师进行应用程序维护审计时，审查程序变更日志是为了：q 授权程序变动q 创建当前对象模块的日期q 程序变化实际产生发生的数量q 源程序创建日期9. 组织与供货商签订了成套的电子收费系统(ETCS)解决方案的合同，供货商提供专用的软件作为解决方案的一部分，合同中应该规定：q 运行ETCS业务和最新资料的备份服务器.q 装有所有相关软件和数据的备份服务器.q 对系统的工作人员进行培训，以