1、2014年歷年真題回憶匯編一旦業(yè)務(wù)功能發(fā)生變化，已打印的表格和其他備用資源都可能要改變。下面哪一種情況構(gòu)成了對組織的主要風(fēng)險？A、在異地存儲的備用資源詳細(xì)目錄沒有及時更新B、在備份計算機(jī)和恢復(fù)設(shè)備上存儲的備用資源詳細(xì)目錄沒有及時更新G沒有對緊急情況下的供應(yīng)商或備選供應(yīng)商進(jìn)行評估，不知道供應(yīng)商是否還在正常營業(yè)D、過期的材料沒有從有用的資源中剔除下面哪一句涉及包交換網(wǎng)絡(luò)的描述是正確的？A、目的地相同的包穿過網(wǎng)絡(luò)的路徑（或稱為：路徑）相同B、密碼/口令不能內(nèi)置于數(shù)據(jù)包里G包的長度不是固定的，但是每個包內(nèi)容納的信息數(shù)據(jù)是一樣的D、數(shù)據(jù)包的傳輸成本取決于將傳輸?shù)臄?shù)據(jù)包本身，與傳輸距離和傳輸路徑無關(guān)IS指

2、導(dǎo)委員會應(yīng)當(dāng)：A、包括來自不同部門和員工級別的成員B、確保IS安全政策和流程已經(jīng)被恰當(dāng)?shù)貓?zhí)行了G有正式的引用條款和保管會議紀(jì)要D、由供應(yīng)商在每次會議上簡單介紹新趨勢和產(chǎn)品對IT部門的戰(zhàn)略規(guī)劃流程/程序的最佳描述是：A、依照組織大的規(guī)劃和目標(biāo)，IT部門或都有短期計劃，或者有長期計劃B、IT部門的戰(zhàn)略計劃必須是基于時間和基于項目的，但是不會詳細(xì)到能夠確定滿足業(yè)務(wù)1/12要求的優(yōu)先順序的程序GIT部門的長期規(guī)劃應(yīng)該認(rèn)識到組織目標(biāo)、技術(shù)優(yōu)勢和規(guī)章的要求D、IT部門的短期規(guī)劃不必集成到組織的短計劃內(nèi)，因為技術(shù)的發(fā)展對IT部門的規(guī)劃的推動，快于對組織計劃的推動在審核組織的系統(tǒng)開發(fā)方法學(xué)時，IS審計人員通常

3、首先執(zhí)行以下哪一項審計程序?A、確定程序的充分性B、分析程序的效率G評價符合程序的程度D、比較既定程序和實際觀察到的程序某IS審計人員參與了某應(yīng)用開發(fā)項目并被指定幫助進(jìn)行數(shù)據(jù)安全方面的設(shè)計工作。當(dāng)該應(yīng)用即將投入運(yùn)行時，以下哪一項可以為公司資產(chǎn)的保護(hù)提供最合理的保證？A、由內(nèi)部審計人員進(jìn)行一次審核B、由指定的IS審計人員進(jìn)行一次審查G由用戶規(guī)定審核的深度和內(nèi)容D、由另一個同等資歷的IS審計人員進(jìn)行一次獨(dú)立的審查用戶對應(yīng)用系統(tǒng)驗收測試之后，IS審計師實施檢查，他（或她）應(yīng)該關(guān)注的重點(diǎn)A確認(rèn)測試目標(biāo)是否成文B、評估用戶是否記載了預(yù)期的測試結(jié)果G檢查測試問題日志是否完整D、確認(rèn)還有沒有尚未解決的問題在

4、評估計算機(jī)預(yù)防性維護(hù)程序的有效性和充分性時，以下哪一項能為IS審計人員提供最大的幫助？2/12A、系統(tǒng)故障時間日志B、供應(yīng)商的可靠性描述G預(yù)定的定期維護(hù)日志D、書面的預(yù)防性維護(hù)計劃表企業(yè)正在與廠商談判服務(wù)水平協(xié)議（SLA,首要的工作是:A、實施可行性研究B、核實與公司政策的符合性G起草其中的罰則D、起草服務(wù)水平要求將輸出結(jié)果及控制總計和輸入數(shù)據(jù)及控制總計進(jìn)行匹配可以驗證輸出結(jié)果，以下哪一項能起上述作用？A、批量頭格式B、批量平衡G數(shù)據(jù)轉(zhuǎn)換差錯糾正D、對打印池的訪問控制應(yīng)用控制的目的是保證當(dāng)錯誤數(shù)據(jù)被輸入系統(tǒng)時，該數(shù)據(jù)能被:A、接受和處理B、接受但不處理G不接受也不處理D、不接受但處理如果以下哪

5、項職能與系統(tǒng)一起執(zhí)行，會引起我們的關(guān)切？3/12A、訪問規(guī)則的維護(hù)B、系統(tǒng)審計軌跡的審查G數(shù)據(jù)保管異口同聲D、運(yùn)行狀態(tài)監(jiān)視應(yīng)用系統(tǒng)開發(fā)的責(zé)任下放到各業(yè)務(wù)基層，最有可能導(dǎo)致的后果是A大大減少所需數(shù)據(jù)通訊B、控制水平較低G控制水平較高D、改善了職責(zé)分工以下哪一項是業(yè)務(wù)流程再造項目的第一步？A界定檢查范圍B、開發(fā)項目計劃G了解所檢查的流程D、所檢查流程的重組和簡化企業(yè)由于人力資源短缺，IT支持一直以來由一位最終用戶兼職，最恰當(dāng)?shù)难a(bǔ)償性控制是:A、限制物理訪問計算設(shè)備B、檢查事務(wù)和應(yīng)用日志G雇用新IT員工之前進(jìn)行背景調(diào)查D、在雙休日鎖定用戶會話組織內(nèi)數(shù)據(jù)安全官的最為重要的職責(zé)是：4/12A、推薦并監(jiān)督

6、數(shù)據(jù)安全政策B、在組織內(nèi)推廣安全意識G制定IT安全政策下的安全程序/流程D、管理物理和邏輯訪問控制執(zhí)行應(yīng)用控制審核的IS審計人員應(yīng)評價：A應(yīng)用滿足業(yè)務(wù)需求的效率B、所有已發(fā)現(xiàn)的、暴露的影響G應(yīng)用所服務(wù)的業(yè)務(wù)流程D、應(yīng)用的優(yōu)化IS審計師在審計公司IS戰(zhàn)略時最不可能：A、評估IS安全流程B、審查短期和長期IS戰(zhàn)略G與適當(dāng)?shù)墓竟芾砣藛T面談D、確保外部環(huán)境被考慮了IT審計師應(yīng)該怎么做?一個項目經(jīng)理在目標(biāo)期限內(nèi)無法實施所有的審計建議A.建議項目暫時停止直至問題得到解決；B.建議采取補(bǔ)償控制；C.對未解決的問題進(jìn)行風(fēng)險評估；D.建議項目經(jīng)理進(jìn)行資源的再分配來解決該問題。為評估軟件的可靠性，IS審計師應(yīng)該

7、采取哪一種步驟?A、檢查不成功的登陸嘗試次數(shù)5/12B、累計指定執(zhí)行周期內(nèi)的程序出錯數(shù)目G測定不同請求的反應(yīng)時間D、約見用戶，以評估其需求所滿足的范圍在業(yè)務(wù)流程重組（BPR）勺哪一個步驟待測定的團(tuán)隊?wèi)?yīng)訪問、參觀基準(zhǔn)伙伴？A、觀察B、計劃G分析D、調(diào)整IS管理層建立變更管理程序的目的是：A控制應(yīng)用從測試環(huán)境向生產(chǎn)環(huán)境的移動B、控制因忽略了未解決的問題而導(dǎo)致的業(yè)務(wù)中斷G保證在災(zāi)難發(fā)生時業(yè)務(wù)操作的不間斷D、檢驗系統(tǒng)變更已得到適當(dāng)?shù)臅娴挠涗浽趯徲嬒到y(tǒng)開發(fā)項目的需求階段時，IS審計人員應(yīng)：A評估審計足跡的充分性B、標(biāo)識并確定需求的關(guān)鍵程度G驗證成本理由和期望收益D、確?？刂埔?guī)格已經(jīng)定義IS審計師正在檢

8、查開發(fā)完成的項目以確定新的應(yīng)用是否滿足業(yè)務(wù)目標(biāo)的要求。下面哪類報告能夠提供最有價值的參考？A用戶驗收測試報告B、性能測試報告6/12G開發(fā)商與本企業(yè)互訪記錄（或社會交往報告）D、穿透測試報告項目開發(fā)過程中用來檢測軟件錯誤的對等審查活動稱為:A、仿真技術(shù)B、結(jié)構(gòu)化走查G模塊化程序設(shè)計技術(shù)D、自頂向下的程序構(gòu)造IS審計人員應(yīng)在系統(tǒng)開發(fā)流程的哪一個階段首次提出應(yīng)用控制的問題？A、構(gòu)造B、系統(tǒng)設(shè)計G驗收測試D、功能說明在因特網(wǎng)應(yīng)用中使用小應(yīng)用程序（applets）的最有可能的解釋是：A它是從服務(wù)器跨網(wǎng)絡(luò)發(fā)送B、服務(wù)器不能運(yùn)行程序且輸出不能跨網(wǎng)絡(luò)發(fā)送G它可同時改進(jìn)WEB服務(wù)器和網(wǎng)絡(luò)的性能D、它是一種通過

9、WEB瀏覽器下載并在客戶機(jī)的WEB服務(wù)器上運(yùn)行的JAVA程序信息系統(tǒng)審計師檢查IT控制的效力時，發(fā)現(xiàn)以前的審計報告，沒有相應(yīng)的工作底稿，他（她）該怎么辦？A、暫停審核工作，直到找到這些審計底稿B、信息并直接采納以前的審計報告G重新測試好些處于高風(fēng)險內(nèi)的控制7/12D、通知審計經(jīng)理，并建議重新測試這些控制下面哪個在線審計技術(shù)對于早期發(fā)現(xiàn)錯誤或誤報有效A、嵌入式審計模塊B、綜合測試工具G快照D、審計鉤以下哪項應(yīng)是IS審計師最為關(guān)注的：A沒有報告網(wǎng)絡(luò)被攻陷的事件B、未能就企業(yè)闖入事件通知執(zhí)法人員G缺少對操作權(quán)限的定期檢查D、沒有就闖入事件告之公眾為滿足預(yù)定義的標(biāo)準(zhǔn)，下面哪一種連續(xù)審計技術(shù)，對于查找要

10、審計的事務(wù)是最佳的工具？A、系統(tǒng)控制審計檢查文彳和嵌入式審計模塊(SCARF/EAM)B、持續(xù)和間歇性模擬(CIS)C整體測試(ITF)D、審計鉤(Audithooks)在審查定義IT服務(wù)水平的過程控制時，信息系統(tǒng)審計師最有可能先與下列哪種人面談：A、系統(tǒng)編程人員B、法律顧問G業(yè)務(wù)單位經(jīng)理人員D、應(yīng)用編程人員如下哪一類風(fēng)險是假設(shè)被檢查的方面缺乏補(bǔ)償控制：A、控制風(fēng)險8/12B、檢查風(fēng)險G固有風(fēng)險D、抽樣風(fēng)險對新的應(yīng)收帳模塊實施實質(zhì)性審計測試時，IS審計師的日程安排非常緊，而且對計算機(jī)知識知之不多.那么，下面哪一項審計技術(shù)是最佳選擇？A、測試數(shù)據(jù)B、平行模擬（Parallelsimulation

11、）G集成測試系統(tǒng)（ITF）D、嵌放式審計模塊（EAM）制訂基于風(fēng)險的審計程序時，IS審計師最可能關(guān)注的是：A、業(yè)務(wù)程序/流程B、關(guān)鍵的IT應(yīng)用G運(yùn)營控制D、業(yè)務(wù)戰(zhàn)略下面的哪一種加密技術(shù)可以最大程度地保護(hù)無線網(wǎng)絡(luò)免受中間人攻擊?A、128位有線等效加密（WEP）B、基于MAC地址的預(yù)共享密鑰（PSKG隨機(jī)生成的預(yù)共享密鑰（PSKD、字母和數(shù)字組成的服集標(biāo)識符（SSID處理計算機(jī)犯罪事件需要運(yùn)用管理團(tuán)隊的方法，下面哪一個角色的職責(zé)是明確的?A、經(jīng)理B、審計人員G調(diào)查人員9/12D、安全負(fù)責(zé)人安全事件應(yīng)急響應(yīng)系統(tǒng)的最終目標(biāo)是：A、對安全事件做出的反應(yīng)不足B、檢測安全事件G對安全事件做出過度反應(yīng)D、實

12、施提高安全的保護(hù)措施在對數(shù)據(jù)中心進(jìn)行審計時，審計師應(yīng)當(dāng)檢查電壓調(diào)整器是否存在，以保證:A保護(hù)硬件設(shè)備免受浪涌損害B、如果主電力被中斷，系統(tǒng)的完整性也可以得到維護(hù)G如果主電力被中斷，可以提供即時的電力供應(yīng)D、保護(hù)硬件設(shè)備不受長期電力波動的影響建立數(shù)據(jù)所有權(quán)關(guān)系的任務(wù)應(yīng)當(dāng)是下列哪一種人的責(zé)任？A職能部門用戶B、內(nèi)部審計人員G數(shù)據(jù)處理人員D、外部審計人員下面哪一種情況可以使信息系統(tǒng)安全官員實現(xiàn)有效進(jìn)行安全控制的目的A完整性控制的需求是基于風(fēng)險分析的結(jié)果B、控制已經(jīng)過了測試G安全控制規(guī)范是基于風(fēng)險分析的結(jié)果D、控制是在可重復(fù)的基礎(chǔ)上被測試的10/12下面哪一種拒絕服務(wù)攻擊在網(wǎng)絡(luò)上不常見？A、服務(wù)過載B

13、、對消息的洪水攻擊G連接阻塞D、信號接地對每個字符和每一幀都傳輸冗余信息，可以實現(xiàn)對錯誤的檢測和校正，這種方法稱為：A反饋錯誤控制B、塊求和校驗G轉(zhuǎn)發(fā)錯誤控制D、循環(huán)冗余校驗下列哪一種行為是互聯(lián)網(wǎng)上常見的攻擊形式？A、查找軟件設(shè)計錯誤B、猜測基于個人信息的口令G突破門禁系統(tǒng)闖入安全場地D、種佰特洛伊木馬在一個單機(jī)運(yùn)行的微型計算機(jī)或網(wǎng)絡(luò)服務(wù)器環(huán)境下，防止程序被盜竊和使系統(tǒng)免受病毒威脅的有效預(yù)防性措施不包括以下哪一條？A、提醒員工不要在非授權(quán)的情況下拷貝任何存放在計算機(jī)硬盤上受保護(hù)的可執(zhí)行程序B、禁止任何人從一張軟盤拷貝可執(zhí)行程序到另一張軟盤G不允許有任何從軟件拷貝可執(zhí)行程序到硬盤的企圖D、禁止任何人從外來的”軟盤上執(zhí)行任何程序IS審計師應(yīng)該參與：A、參觀災(zāi)難恢復(fù)計劃的測試和演練11/12B、制定災(zāi)難恢復(fù)計劃G維護(hù)災(zāi)難恢復(fù)計劃D、檢查災(zāi)難恢復(fù)需求有交的供應(yīng)商合同IS審計師發(fā)現(xiàn)企業(yè)的業(yè)務(wù)連續(xù)性計劃中選定的備用處理設(shè)施的處理能力只能達(dá)到現(xiàn)有系統(tǒng)的一半。那么他/她該怎么做？A、無需做什么。因為只有處理能力低于正常的25%,才會嚴(yán)重影響企業(yè)的生存和備份能力B、找出可以在備用設(shè)施使用的應(yīng)用，其它業(yè)務(wù)處理采用手工操作，制訂手工流程以備不測G找出所