試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷6)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.一個(gè)IS審計(jì)師邀請(qǐng)參與一個(gè)關(guān)鍵項(xiàng)目的啟動(dòng)會(huì)議，信息系統(tǒng)審計(jì)師主要關(guān)注的是：A)已分析過項(xiàng)目的復(fù)雜性和風(fēng)險(xiǎn)B)已判斷了貫穿整個(gè)項(xiàng)目所需的資源C)項(xiàng)目交付結(jié)果已確定D)外包方合同已簽約答案:A解析:理解項(xiàng)目的復(fù)雜性和風(fēng)險(xiǎn)并在項(xiàng)目中積極面對(duì)是項(xiàng)目取得成功的關(guān)鍵。其它選項(xiàng)，在項(xiàng)目過程中也是重要的，但是在項(xiàng)目的啟動(dòng)會(huì)議時(shí)不能完全確定，且往往取決于項(xiàng)目的風(fēng)險(xiǎn)和復(fù)雜度點(diǎn)評(píng)：審計(jì)師關(guān)注風(fēng)險(xiǎn)和控制[單選題]2.下列哪一項(xiàng)數(shù)據(jù)確認(rèn)校驗(yàn)，在檢查交換和復(fù)制錯(cuò)誤時(shí)，是有效的:A)范圍檢查B)校驗(yàn)位C)有效性檢查D)復(fù)制檢查答案:A解析:校驗(yàn)位是一種通過數(shù)學(xué)方法計(jì)算的一種數(shù)值，它附加在數(shù)據(jù)中確保數(shù)據(jù)沒有被更改，譬如一個(gè)不正確的，但是有效的，替代原始值的數(shù)據(jù)。這種控制在校驗(yàn)交換和復(fù)制錯(cuò)誤時(shí)是有效的。有效性校驗(yàn)是根據(jù)預(yù)先的標(biāo)準(zhǔn)程序校驗(yàn)數(shù)據(jù)的有效性。在復(fù)制校驗(yàn)時(shí)候，新的或者重生的記錄與前期輸入的對(duì)比以確認(rèn)原來系統(tǒng)中不存在[單選題]3.某組織請(qǐng)求IS審計(jì)師提出建議來幫助其提高IP語音（VoIP）系統(tǒng)及數(shù)據(jù)通信的安全性和可靠性。以下哪項(xiàng)措施能實(shí)現(xiàn)這一目標(biāo)？A)使用虛擬局域網(wǎng)（VLAN）對(duì)VoIP基礎(chǔ)設(shè)施進(jìn)行劃分B)在VoIP終端設(shè)置緩沖區(qū)。C)確保在VoIP系統(tǒng)中實(shí)現(xiàn)端到端加密。D)確保VoIP基礎(chǔ)設(shè)施中各部分均使用應(yīng)急備用電源。答案:A解析:使用VLAN對(duì)VoIP通信進(jìn)行劃分能有效保護(hù)VoIP基礎(chǔ)設(shè)施免受基于網(wǎng)絡(luò)的攻擊、潛在竊聽和網(wǎng)絡(luò)通信問題（有助于確保正常運(yùn)行時(shí)間）。選項(xiàng)B不掙錢，因?yàn)樵赩oIP終端使用數(shù)據(jù)包緩沖區(qū)是保持呼叫質(zhì)量的方法而不是安全的手段。選項(xiàng)C不正確的原因是，如果假設(shè)建筑的物理安全性以及以太網(wǎng)交換機(jī)和VLAN的安全性都足夠充分，則僅在使用互聯(lián)網(wǎng)（而不是本地LAN）傳送VoIP呼叫時(shí)才需要加密。選項(xiàng)D不是正確選項(xiàng)，因?yàn)榕c確保所有設(shè)備都受應(yīng)急電源保護(hù)相比，網(wǎng)絡(luò)設(shè)計(jì)和VLAN的正確實(shí)施更重要。[單選題]4.定期的測(cè)試異地備份設(shè)施最主要的目的是？A)保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的完整性B)消除開發(fā)詳細(xì)的緊急計(jì)劃的需要C)確保應(yīng)變?cè)O(shè)施持續(xù)的兼容性D)確保程序和系統(tǒng)文檔保持最新答案:C解析:異地備份硬件測(cè)試的主要目的是確保應(yīng)變?cè)O(shè)施持續(xù)性的兼容性。特定的軟件工具被用于確保數(shù)據(jù)庫持續(xù)性的完整性。應(yīng)變計(jì)劃不應(yīng)該被消除，程序和系統(tǒng)文檔應(yīng)該被不斷地檢查以確保是最新的。[單選題]5.對(duì)連接到因特網(wǎng)的外發(fā)數(shù)據(jù)，下面哪個(gè)執(zhí)行模型提供最大的安全：A)認(rèn)證頭協(xié)議（A、H）加封裝安全有效負(fù)載（ESP）的傳輸模式B)安全套接層協(xié)議（SSL）模式C)認(rèn)證頭協(xié)議加封裝安全有效負(fù)載的管道模式D)3D、ES數(shù)據(jù)加密模式答案:A解析:管道模式提供提供完整的IP包的保護(hù)。為了達(dá)到該保護(hù)，A、H和ESP服務(wù)可以被嵌套。傳輸模式通過延伸保護(hù)數(shù)據(jù)域（有效負(fù)載）為IP包提供主要的高層協(xié)議保護(hù)。SSL模式為更高的通訊層（傳輸層）提供安全。3D、ES數(shù)據(jù)加密模式是一個(gè)提供機(jī)密性的運(yùn)算法則。[單選題]6.達(dá)到評(píng)價(jià)IT風(fēng)險(xiǎn)的目標(biāo)最好是通過A)評(píng)估與當(dāng)前IT資產(chǎn)和IT項(xiàng)目相關(guān)的威脅B)使用過去公司損失的實(shí)際經(jīng)驗(yàn)來確定當(dāng)前的風(fēng)險(xiǎn)C)流覽公開報(bào)導(dǎo)的可比較組織的損失統(tǒng)計(jì)資料D)流覽審計(jì)報(bào)告中涉及的IT控制薄弱點(diǎn)答案:A解析:[單選題]7.在規(guī)劃IS審計(jì)的范圍和目標(biāo)方面，以下哪項(xiàng)的效力應(yīng)具有最高的優(yōu)先級(jí)?A)適用的法規(guī)要求B)適用的企業(yè)標(biāo)準(zhǔn)C)適用的行業(yè)良好實(shí)踐D)組織政策和程序答案:A解析:A.在規(guī)劃IS審計(jì)時(shí)，必須考慮適用的法規(guī)要求的效力。IS審計(jì)師在這一方面別無選擇因?yàn)樵诜ㄒ?guī)要求方面可能沒有范圍限制B.法規(guī)要求始終優(yōu)先于企業(yè)標(biāo)準(zhǔn)C.行業(yè)良好實(shí)踐有助于規(guī)劃審計(jì)，但良好實(shí)踐并不具有強(qiáng)制性，為了達(dá)到組織目標(biāo)，可以不采用良好實(shí)踐。D.組織政策和程序非常重要，但法規(guī)要求的優(yōu)先級(jí)始終最高。組織政策必須符合法規(guī)要求。[單選題]8.在災(zāi)難發(fā)生后，下面哪個(gè)災(zāi)難恢復(fù)/持續(xù)性計(jì)劃組件提供了最大保證的恢復(fù):A)在原來的信息處理設(shè)備恢復(fù)之前，替代的設(shè)備一直是可用的B)用戶管理者參與重要系統(tǒng)及相關(guān)恢復(fù)時(shí)間的確認(rèn)C)計(jì)劃副本保存于主要決策人員的家里D)提供反饋意見給管理層確保業(yè)務(wù)持續(xù)性計(jì)劃確實(shí)可用，并且流程是最新的答案:A解析:?在原來的站點(diǎn)恢復(fù)之前，替代的設(shè)施是可用的?提供了災(zāi)難恢復(fù)的最大保證。沒有這個(gè)保證，計(jì)劃將不會(huì)是成功的。所有其他選項(xiàng)確保了計(jì)劃的優(yōu)先級(jí)和執(zhí)行。[單選題]9.要確保維持有效的應(yīng)用控制，以下哪個(gè)選項(xiàng)最重要?A)異常報(bào)告B)管理者參與C)控制自我評(píng)估(CSA)D)同行評(píng)審答案:C解析:A.異常報(bào)告只關(guān)注錯(cuò)誤或問題，不會(huì)保證控制仍然在起作用。B.管理者的參與雖然重要，但與控制自我評(píng)估(CSA)相比，可能不是一個(gè)連續(xù)或定義明確的過程C.CSA指通過正式的書面協(xié)作流程對(duì)業(yè)務(wù)目標(biāo)和內(nèi)部控制進(jìn)行審查。它涉及到測(cè)試自動(dòng)應(yīng)用控制的設(shè)計(jì)。D.同行評(píng)審沒有審計(jì)專家和管理人員的直接參與。[單選題]10.當(dāng)IT平衡記分卡存在的時(shí)候，以下哪一項(xiàng)是IT治理成熟度模型的最低等級(jí)？A)可重復(fù)但是直觀B)已定義C)已管理并可測(cè)量D)已優(yōu)化答案:B解析:已定義（第三等級(jí)）是定義IT平衡記分卡的最低等級(jí)。[單選題]11.下面那個(gè)攻擊的目標(biāo)是SSL（安全套接層）？A)中間人攻擊（MITM攻擊）B)字典C)密碼嗅探D)網(wǎng)絡(luò)釣魚答案:A解析:攻擊者能設(shè)置一個(gè)假的安全套接層服務(wù)器，接受用戶的SSL流量并發(fā)送到真正的SSL服務(wù)器，因此敏感信息可能被發(fā)現(xiàn)。為發(fā)現(xiàn)密碼而發(fā)動(dòng)的字典式攻擊不能攻擊SSL，因?yàn)镾SL不依賴密碼。SSL流量被加密，因此對(duì)密碼的嗅探是不可能的。釣魚攻擊的目標(biāo)是用戶而不是SSL。釣魚攻擊通過偽裝成一個(gè)可信任的人或企業(yè)來試圖獲得用戶自行交出的隱私信息。[單選題]12.在評(píng)估項(xiàng)目風(fēng)險(xiǎn)管理流程的有效性時(shí)，以下哪一項(xiàng)應(yīng)是信息系統(tǒng)審計(jì)師的最大擔(dān)憂？A)發(fā)現(xiàn)風(fēng)險(xiǎn)登記表中的某些風(fēng)險(xiǎn)評(píng)級(jí)不正確B)風(fēng)險(xiǎn)登記表不受版本控制C)風(fēng)險(xiǎn)登記表中尚未確定風(fēng)險(xiǎn)響應(yīng)措施D)每月對(duì)風(fēng)險(xiǎn)登記表進(jìn)行一次審查答案:A解析:[單選題]13.組織的戰(zhàn)略計(jì)劃會(huì)有以下哪項(xiàng)目標(biāo)?A)測(cè)試新的會(huì)計(jì)軟件包B)對(duì)信息技術(shù)需求執(zhí)行評(píng)估。C)在緊接著的12個(gè)月內(nèi)實(shí)施新的項(xiàng)目計(jì)劃系統(tǒng)。D)成為所提供產(chǎn)品的首選供應(yīng)商。答案:D解析:A.測(cè)試新的會(huì)計(jì)軟件包是一個(gè)戰(zhàn)術(shù)性或短期的目標(biāo)，不會(huì)出現(xiàn)在戰(zhàn)略計(jì)劃中。B.對(duì)信息技術(shù)需求執(zhí)行評(píng)估是確認(rèn)需求和衡量績(jī)效的一種方式，但不是戰(zhàn)略計(jì)劃中的目標(biāo)。C.在緊接著的12個(gè)月內(nèi)實(shí)施新的項(xiàng)目計(jì)劃系統(tǒng)是以項(xiàng)目為導(dǎo)向的實(shí)施目標(biāo)的方法，但其本身不是一項(xiàng)目標(biāo)D.成為所提供產(chǎn)品的首選供應(yīng)商是用于確定業(yè)務(wù)總體方向的戰(zhàn)略業(yè)務(wù)目標(biāo)，因此，可能是組戰(zhàn)略計(jì)劃的一部分。[單選題]14.在電訊系統(tǒng)的審計(jì)期間，S審計(jì)師發(fā)現(xiàn)傳送到/來自遠(yuǎn)程站點(diǎn)的數(shù)據(jù)被截獲的風(fēng)險(xiǎn)非常高。降低此風(fēng)險(xiǎn)最有效的控制為:A)加密。B)回叫調(diào)制解調(diào)器。C)消息驗(yàn)證。D)專用租用線路。答案:A解析:A.對(duì)數(shù)據(jù)加密是保護(hù)機(jī)密數(shù)據(jù)免于泄露的最安全的方法。B.回叫系統(tǒng)用于保證用戶只從一個(gè)已知的位置登錄。它不能有效地防止傳輸數(shù)據(jù)被截取。C.消息驗(yàn)證用于證明消息的完整性和來源，而非機(jī)密性。D.與共有網(wǎng)絡(luò)相比，截取專用租用線路中傳輸?shù)牧髁侩y度更大，但真正能保護(hù)數(shù)據(jù)機(jī)密性的唯一方法是加密。[單選題]15.安全套接字層(SSL)協(xié)議通過以下哪種方式來確保消息的機(jī)密性:A)對(duì)稱加密。B)消息驗(yàn)證代碼(MAC)。C)哈希函數(shù)。D)數(shù)字簽名證書。答案:A解析:A.安全套接字層(SSL)使用對(duì)稱密鑰來對(duì)消息進(jìn)行加密。B.消息驗(yàn)證代碼(MAC)用于確保數(shù)據(jù)完整性。C.哈希函數(shù)用于生成消息摘要以提供消息完整性;它不用于消息加密。D.數(shù)字簽名證書由SSL用于服務(wù)器驗(yàn)證。[單選題]16.組織實(shí)施災(zāi)難恢復(fù)計(jì)劃的目的之一是在災(zāi)難發(fā)生時(shí)可以減少恢復(fù)時(shí)間和恢復(fù)成本。災(zāi)難發(fā)生前后，災(zāi)難恢復(fù)計(jì)劃將會(huì)增加運(yùn)行成本，但是可以減少重新恢復(fù)到正常經(jīng)營(yíng)的時(shí)間，減少因?yàn)?zāi)難引起的成本（損失）。組織財(cái)務(wù)系統(tǒng)災(zāi)難恢復(fù)計(jì)劃指出，恢復(fù)點(diǎn)目標(biāo)（RPO）要沒有數(shù)據(jù)損失和時(shí)間目標(biāo)（RTO）是72小時(shí)，以下最符合成本效益的解決方案是：A)8小時(shí)內(nèi)即可運(yùn)行的熱站，交易日志的異步備份B)異步更新位于多個(gè)地點(diǎn)的分布式數(shù)據(jù)庫系統(tǒng)C)數(shù)據(jù)同步更新，在熱站有備用系統(tǒng)D)數(shù)據(jù)同步遠(yuǎn)程拷貝到溫站，并且溫站可以在48小時(shí)內(nèi)運(yùn)行答案:D解析:存儲(chǔ)同步復(fù)制可以滿足RPO目標(biāo)，溫站在48小時(shí)運(yùn)作符合RTO要求；異步更新分布在不同地方的數(shù)據(jù)庫不滿足于RPO要求；同步要求更新數(shù)據(jù)，并且在熱站有備用系統(tǒng)滿足RPO和RTO要求，但花費(fèi)要比溫站解決方案多。[單選題]17.當(dāng)評(píng)價(jià)一個(gè)覆蓋公用WA、N的VoIP系統(tǒng)執(zhí)行情況時(shí)，信息系統(tǒng)審計(jì)師最期望發(fā)現(xiàn)：A)一條綜合服務(wù)數(shù)字網(wǎng)絡(luò)（ISD、N）數(shù)據(jù)鏈路。B)流量工程學(xué)。C)對(duì)數(shù)據(jù)進(jìn)行WEP加密。D)模擬電話終端。答案:A解析:確定服務(wù)需求品質(zhì)是否達(dá)到,在廣域網(wǎng)（WA、N）上的語音IP(VoIP)服務(wù)應(yīng)該防止包損失，潛伏或跳動(dòng)等。為了要到達(dá)這個(gè)目的,網(wǎng)絡(luò)性能應(yīng)該能被管理，例如流量工程學(xué)的統(tǒng)計(jì)技術(shù)。綜合服務(wù)數(shù)字網(wǎng)絡(luò)(ISD、N)數(shù)據(jù)的標(biāo)準(zhǔn)帶寬連接不提供服務(wù)需求質(zhì)量給公司VoIP服務(wù)。WEP是與無線電網(wǎng)絡(luò)相關(guān)的一個(gè)密碼技術(shù)方案。VoIP電話通常被連接到一個(gè)公司局域網(wǎng)(LA、N)并且不是模擬信號(hào)。[單選題]18.審查硬件維護(hù)方案時(shí)，IS審計(jì)師應(yīng)評(píng)估:A)所有計(jì)劃外維護(hù)的時(shí)間表是否得到了維護(hù)。B)是否符合歷史趨勢(shì)。C)是否獲得了IS督導(dǎo)委員會(huì)的批準(zhǔn)。D)方案是否根據(jù)供應(yīng)商的規(guī)范進(jìn)行了校驗(yàn)答案:D解析:A.無法安排計(jì)劃外維護(hù)的日程。B.硬件維護(hù)方案不一定要符合歷史趨勢(shì)。C.維護(hù)日程安排通常不由督導(dǎo)委員會(huì)審批D.盡管維護(hù)要求因復(fù)雜性和性能負(fù)載而異，但硬件維護(hù)日程表仍應(yīng)該根據(jù)供應(yīng)商提供的規(guī)范進(jìn)行校驗(yàn)。[單選題]19.一個(gè)組織解雇了一名數(shù)據(jù)庫管理員（DBA）。該組織立即刪除了公司系統(tǒng)中該DBA的所有訪問權(quán)限。該DBA威脅，除非為他/她支付了一大筆錢，否則數(shù)據(jù)庫將在兩個(gè)月內(nèi)被刪除。前任DBA最有可能使用下列哪項(xiàng)刪除數(shù)據(jù)庫？A)病毒感染B)蠕蟲感染C)拒絕服務(wù)式攻擊（DoS）D)邏輯炸彈攻擊答案:D解析:邏輯炸彈是一段隱藏的代碼，如果某些特定的條件得到滿足將被激活，在這個(gè)例子中條件是經(jīng)過一段時(shí)間。病毒是另一種類型的惡意代碼，但它通常沒有操作的是時(shí)間延遲。蠕蟲也是另一種不使用一個(gè)時(shí)間延遲的惡意代碼類型，其目的是盡可能快地蔓延。DoS攻擊不會(huì)刪除數(shù)據(jù)庫，但可能使服務(wù)器不可用。[單選題]20.運(yùn)用網(wǎng)絡(luò)服務(wù)進(jìn)行兩系統(tǒng)間信息交換的最大優(yōu)點(diǎn)是A)安全通信B)改良的性能C)有效的接口連接D)增強(qiáng)文件系統(tǒng)答案:C解析:網(wǎng)絡(luò)服務(wù)幫助兩系統(tǒng)間信息交換，而不考慮操作系統(tǒng)和編程語言差異。在網(wǎng)絡(luò)服務(wù)中如果沒有文件系統(tǒng)的有力支持，通訊就不會(huì)變得更安全或更快速。[單選題]21.被聘用的信息系統(tǒng)審計(jì)師評(píng)審電子商務(wù)的安全性。信息系統(tǒng)審計(jì)師的首要任務(wù)是評(píng)審每個(gè)現(xiàn)有的電子商務(wù)應(yīng)用程序，尋找漏洞。那么接下來的任務(wù)是？A)立即向CIO和CEO報(bào)告風(fēng)險(xiǎn)B)檢查在開發(fā)中的電子商務(wù)應(yīng)用C)識(shí)別威脅和發(fā)生的可能性D)檢查風(fēng)險(xiǎn)管理的預(yù)算答案:C解析:一個(gè)信息系統(tǒng)審計(jì)師必須確定資產(chǎn)，漏洞，然后確定威脅和發(fā)生的可能性。選項(xiàng)ABD應(yīng)與CIO進(jìn)行討論，并將報(bào)告送交給CEO。該報(bào)告應(yīng)包括成本的優(yōu)先事項(xiàng)和結(jié)果。[單選題]22.要了解多個(gè)項(xiàng)目的管理控制是否有效，IS審計(jì)師應(yīng)該審查下列哪項(xiàng)?A)項(xiàng)目數(shù)據(jù)庫B)政策文檔C)項(xiàng)目組合數(shù)據(jù)庫D)項(xiàng)目群組織答案:C解析:A.項(xiàng)目數(shù)據(jù)庫中可能包含單個(gè)具體項(xiàng)目的控制有效性信息，還包含與該單個(gè)項(xiàng)目的當(dāng)前狀態(tài)有關(guān)的各種參數(shù)的更新B.項(xiàng)目管理的政策文檔為項(xiàng)目的設(shè)計(jì)、開發(fā)、實(shí)施和監(jiān)控指明了方向C.項(xiàng)目組合數(shù)據(jù)庫是項(xiàng)目組合管理的基礎(chǔ)。數(shù)據(jù)庫中含有負(fù)責(zé)人、日程、目標(biāo)、項(xiàng)目類型狀態(tài)和成本等相關(guān)項(xiàng)目數(shù)據(jù)。項(xiàng)目組合管理要求形成具體的項(xiàng)目組合報(bào)告D.項(xiàng)目群組織是實(shí)現(xiàn)項(xiàng)目交付目標(biāo)所需的團(tuán)隊(duì)(督導(dǎo)委員會(huì)、質(zhì)量保證人員、系統(tǒng)人員、分析人員、編程人員、硬件支持人員等)。[單選題]23.在下列那種情況下無線局域網(wǎng)中的數(shù)據(jù)傳輸機(jī)密性得到了最好的保護(hù):A)限于預(yù)先確定的MA、C、地址。B)使用靜態(tài)密鑰加密。C)使用動(dòng)態(tài)密鑰加密。D)從具有加密存儲(chǔ)的設(shè)備初始化。答案:C解析:當(dāng)使用動(dòng)態(tài)密鑰加密,密鑰變更頻繁，因此降低了密鑰妥協(xié)和信息被解密的風(fēng)險(xiǎn)。限制訪問網(wǎng)絡(luò)設(shè)備的數(shù)量不能解決這種加密情形。長(zhǎng)時(shí)間的使用靜態(tài)密鑰加密，密鑰存在妥協(xié)風(fēng)險(xiǎn)。連接設(shè)備（如膝上型電腦、個(gè)人數(shù)字助理等）的數(shù)據(jù)加密數(shù)據(jù)機(jī)密性定位在設(shè)備，而不是無線設(shè)備。[單選題]24.許多IT項(xiàng)目存在問題，因?yàn)殚_發(fā)的時(shí)間和/或所需的資源被低估。下列哪些技術(shù)對(duì)項(xiàng)目持續(xù)時(shí)間時(shí)間估算上提供最大的幫助？A)功能點(diǎn)分析B)PERT圖C)快速應(yīng)用系統(tǒng)開發(fā)D)面向?qū)ο蟮南到y(tǒng)開發(fā)答案:A解析:計(jì)劃評(píng)審技術(shù)有助于確定項(xiàng)目的持續(xù)時(shí)間，一旦所有活動(dòng)和工作包含這些已知的活動(dòng)。功能點(diǎn)分析是確定基于功能點(diǎn)數(shù)目的開發(fā)任務(wù)量的技術(shù)。功能點(diǎn)包含輸入、輸出，查詢和邏輯的內(nèi)部文件等因素。然而這有助于確定獨(dú)立活動(dòng)的數(shù)量，它對(duì)于確定項(xiàng)目持續(xù)時(shí)間沒有幫助，因?yàn)閾碛性S多并行的任務(wù)?？焖賾?yīng)用系統(tǒng)開發(fā)是一種使組織快速開發(fā)重要戰(zhàn)略意義系統(tǒng)的方法論同時(shí)降低開發(fā)成本和維護(hù)質(zhì)量。而面向?qū)ο蟮南到y(tǒng)開發(fā)是解決方案、規(guī)格說明和建模的流程。[單選題]25.以下哪一種控制能最有效地減小欺詐性在線付款請(qǐng)求造成損失的風(fēng)險(xiǎn)?A)交易監(jiān)測(cè)B)用安全套接字層(SSL)保護(hù)web會(huì)話C)強(qiáng)制執(zhí)行身份認(rèn)證的密碼復(fù)雜性D)在web表單上輸入驗(yàn)證檢査答案:A解析:A.電子付款系統(tǒng)可能是欺詐活動(dòng)的目標(biāo)。未經(jīng)授權(quán)的用戶可能輸入虛假的交易。通過監(jiān)測(cè)交易，付款處理器可以根據(jù)典型的使用模式、貨幣金額、購(gòu)買物理位置及交易流程的其他數(shù)據(jù)識(shí)別潛在的欺詐性交易。B.使用安全套接字層(SSL)有助確保安全傳輸出入用戶web瀏覽器的數(shù)據(jù)，并有助確保最終用戶到達(dá)正確的網(wǎng)站，但這并不能防止欺詐性交易C.在線交易不一定受密碼保護(hù);例如，信用卡交易不一定是受保護(hù)的。使用強(qiáng)身份認(rèn)證有助保護(hù)系統(tǒng)用戶免遭猜測(cè)密碼的攻擊者的欺詐，但交易監(jiān)測(cè)是更好的控制。D.在web表單上輸入驗(yàn)證檢查對(duì)確保攻擊者無法損壞網(wǎng)站很重要，但交易監(jiān)測(cè)是最好的控制[單選題]26.為滿足業(yè)務(wù)需求的變化，目前開發(fā)的IT解決方案項(xiàng)目需要額外的資金,誰最合適獲取這筆額外資金?A)項(xiàng)目發(fā)起人B)董事會(huì)C)IT戰(zhàn)略委員會(huì)D)項(xiàng)目經(jīng)理.答案:A解析:[單選題]27.不適當(dāng)編程和編碼的做法會(huì)導(dǎo)致下面哪種風(fēng)險(xiǎn)：A)網(wǎng)絡(luò)釣魚。B)緩沖區(qū)溢出利用。C)SYN淹沒。D)窮舉攻擊。答案:B解析:如果程序不對(duì)輸入程序的數(shù)據(jù)長(zhǎng)度進(jìn)行檢查，則可能發(fā)生緩沖區(qū)溢出利用。攻擊者能夠發(fā)送超過緩沖區(qū)長(zhǎng)度的數(shù)據(jù)，并用惡意代碼重寫程序的一部分。解決問題的對(duì)策是正確編程和良好的編碼習(xí)慣。網(wǎng)絡(luò)釣魚、SYN淹沒和窮舉攻擊的發(fā)生與編程和編碼實(shí)踐無關(guān)。SYN淹沒是拒絕服務(wù)攻擊的一種形式，攻擊者將向目標(biāo)系統(tǒng)發(fā)送一連串SYN請(qǐng)求。[單選題]28.某組織擁有許多臺(tái)式電腦,正在考慮轉(zhuǎn)移到瘦客戶端框架,以下哪一項(xiàng)是主要優(yōu)點(diǎn)?A)增強(qiáng)臺(tái)式電腦的安全性B)可以更好的管理系統(tǒng)C)可以為客戶機(jī)提供管理安全D)不再需要升級(jí)桌面應(yīng)用程序軟件答案:B解析:[單選題]29.一個(gè)全面和有效的電子郵件策略應(yīng)解決電子郵件的結(jié)構(gòu)，策略，執(zhí)行，監(jiān)測(cè)和什么的問題：A)恢復(fù)B)保留C)重建D)重用答案:B解析:除了是一個(gè)很好的做法，法律和法規(guī)規(guī)定也許會(huì)要求組織保存關(guān)于財(cái)務(wù)報(bào)表方面的信息。那些電子郵件通信是作為與經(jīng)典?紙?的形式相同，舉行正式常規(guī)訴訟，使得企業(yè)電子郵件的保存是必要的。在一個(gè)組織的硬件產(chǎn)生的所有電子郵件是該組織的財(cái)產(chǎn)，以及電子郵件策略應(yīng)保留郵件地址，同時(shí)考慮到已知的和不可預(yù)見的訴訟。該策略還應(yīng)該在指定時(shí)間保護(hù)自然和自身的消息后處理已受損的電子郵件。解決電子郵件的保留問題的策略將有利于郵件的恢復(fù)，重建和再利用。點(diǎn)評(píng)：閱讀理解題[單選題]30.在關(guān)鍵文件服務(wù)中，存儲(chǔ)增長(zhǎng)管理的不合理導(dǎo)致的風(fēng)險(xiǎn)中，以下哪項(xiàng)最大？A)備份時(shí)間不斷增加。B)備份操作成本會(huì)顯著增加。C)存儲(chǔ)操作成本會(huì)顯著增加。D)服務(wù)器恢復(fù)工作可能不能滿足恢復(fù)時(shí)間目標(biāo)（RTO）。答案:D解析:當(dāng)系統(tǒng)崩潰的時(shí)候，恢復(fù)一個(gè)有大量數(shù)據(jù)的服務(wù)需要大量的時(shí)間，如果恢復(fù)不能滿足恢復(fù)時(shí)間目標(biāo)（RTO），就需要一個(gè)差別化的IT戰(zhàn)略。最重要的是要確保服務(wù)器恢復(fù)能夠滿足恢復(fù)時(shí)間目標(biāo)。增量備份只采取每日差異備份，因此備份時(shí)間不斷增加是不準(zhǔn)確的。備份和存儲(chǔ)成本的增加沒有無法滿足恢復(fù)時(shí)間目標(biāo)的重要。[單選題]31.某Web服務(wù)器受到攻擊和損害。應(yīng)首先執(zhí)行以下哪項(xiàng)操作以處理該事件？A)將易失性存儲(chǔ)器數(shù)據(jù)轉(zhuǎn)儲(chǔ)到磁盤上。B)以故障，安全模式運(yùn)行服務(wù)器。C)斷開該Web服務(wù)器與網(wǎng)絡(luò)的連接。D)關(guān)閉該Web服務(wù)器。答案:C解析:首要措施是斷開該Web服務(wù)器與網(wǎng)絡(luò)的連接，從而對(duì)損害進(jìn)行控制并防止攻擊者采取更多行動(dòng)。在調(diào)查階段，可以將易失性存儲(chǔ)器數(shù)據(jù)轉(zhuǎn)儲(chǔ)到磁盤中，但此操作不會(huì)對(duì)進(jìn)行中的攻擊進(jìn)行控制。要以故障-安全模式運(yùn)行服務(wù)器，需要關(guān)閉服務(wù)器。關(guān)閉服務(wù)器可能清除司法調(diào)查（或制定策略以防止將來發(fā)生類似攻擊）需要的信息。[單選題]32.用雙門安全系統(tǒng)控制人員訪問計(jì)算機(jī)設(shè)備的主要目的是：A)防止跟隨。B)防止有毒氣體進(jìn)入數(shù)據(jù)中心。C)隔離氧氣以防火。D)防止過快進(jìn)入或離開設(shè)備。答案:A解析:用雙門安全系統(tǒng)控制人員訪問計(jì)算機(jī)設(shè)備的主要目的是防止跟隨。選項(xiàng)B和C可以通過單扇自動(dòng)關(guān)閉門來實(shí)現(xiàn)。選項(xiàng)D無效，因?yàn)樵谀承┣闆r下，快速離開可能是必須的，如起火時(shí)。[單選題]33.從長(zhǎng)期看，以下哪項(xiàng)對(duì)改善安全事故應(yīng)對(duì)流程最具潛力？A)對(duì)事故應(yīng)對(duì)流程執(zhí)行穿行性審查。B)由事故應(yīng)對(duì)團(tuán)隊(duì)執(zhí)行事件后審查。C)不斷地對(duì)用戶進(jìn)行安全培訓(xùn)。D)記錄對(duì)事件的響應(yīng)。答案:B解析:事件后審查用于查找實(shí)際事故應(yīng)對(duì)流程中的不足和缺點(diǎn)，有助于隨時(shí)間逐漸改善流程。選項(xiàng)A.C和D雖然是可取的行為，但事件后審查是改善安全事故應(yīng)對(duì)流程最可靠地機(jī)制。[單選題]34.在最近發(fā)生內(nèi)部數(shù)據(jù)泄露事件后，要求信息系統(tǒng)審計(jì)師對(duì)公司內(nèi)的信息安全實(shí)踐進(jìn)行評(píng)估。向高級(jí)管理層報(bào)告以下哪一項(xiàng)審計(jì)結(jié)果是最重要的？A)用戶缺乏與安全和數(shù)據(jù)保護(hù)相關(guān)的技術(shù)知識(shí)B)員工無需簽署競(jìng)業(yè)禁止協(xié)議C)桌面電腦密碼不需要特殊字符D)安全教育和意識(shí)研討會(huì)尚未完成答案:A解析:[單選題]35.使用非屏蔽雙絞線（UTP）電纜進(jìn)行數(shù)據(jù)通信相比于其他銅質(zhì)電纜的好處之一是，UTP電纜A)減少雙絞線之間的串?dāng)_B)提供線路竊聽防護(hù)C)可用于長(zhǎng)距離網(wǎng)路D)安裝簡(jiǎn)單答案:A解析:使用銅制UTP可以減少串?dāng)_可能，盡管介質(zhì)的雙絞線特質(zhì)會(huì)減少電磁干擾靈敏度，但非屏蔽銅質(zhì)電纜對(duì)線路竊聽沒有適當(dāng)?shù)姆雷o(hù)措施。如果銅質(zhì)雙絞線使用距離超過100米，則會(huì)開始出現(xiàn)衰減，這時(shí)需要使用中繼器。安裝UTP的工具和技術(shù)并不比其他銅質(zhì)電纜簡(jiǎn)單或容易。[單選題]36.一名S審計(jì)師正在為某組織評(píng)估網(wǎng)絡(luò)性能由于工作時(shí)間出現(xiàn)性能降級(jí)，該公司正在考慮增大其互聯(lián)網(wǎng)帶寬。以下哪一項(xiàng)最有可能是性能降級(jí)的原因?A)服務(wù)器上的惡意軟件B)防火墻配置不當(dāng)C)電子郵件服務(wù)器收到垃圾郵件的數(shù)量增加D)未經(jīng)授權(quán)的網(wǎng)絡(luò)活動(dòng)答案:D解析:A.該組織服務(wù)器上存在惡意軟件可能帶來網(wǎng)絡(luò)性能問題，但性能降級(jí)不大可能局限于工作時(shí)間。B.防火墻配置不當(dāng)可能帶來網(wǎng)絡(luò)性能問題，但性能降級(jí)不大可能局限于工作時(shí)間。C.該組織電子郵件服務(wù)器上存在垃圾郵件可能帶來網(wǎng)絡(luò)性能問題，但性能降級(jí)不大可能局限于工作時(shí)間D.未經(jīng)授權(quán)的網(wǎng)絡(luò)活動(dòng)一如員工使用文件或音樂共享網(wǎng)站、在線博或包含大文件或照片的個(gè)人電子郵件等一可能帶來網(wǎng)絡(luò)性能問題。由于IS審計(jì)師發(fā)現(xiàn)性能降級(jí)發(fā)生在工作時(shí)間，因此這是最有可能的原因。[單選題]37.一個(gè)信息系統(tǒng)審計(jì)師正在審查一個(gè)項(xiàng)目：銀行和支行支付系統(tǒng)時(shí)，信息系統(tǒng)審計(jì)師首先應(yīng)該驗(yàn)證：A)兩家之間的支付平臺(tái)的互操作性B)總行作為一個(gè)服務(wù)提供商的總權(quán)C)安全功能到位可以分割支行的交易D)支行可以加入并作為共同擁有該支付系統(tǒng)的人答案:B解析:即使是銀行與分行之間的關(guān)系，應(yīng)當(dāng)在合同約定的地方進(jìn)行共享服務(wù)。這對(duì)銀行監(jiān)管組織是重要的。除非被授予作為服務(wù)提供商，否則他可能不能合法的為銀行擴(kuò)展業(yè)務(wù)。技術(shù)方面應(yīng)該始終考慮，但這可能是在確認(rèn)總行可以作為一個(gè)服務(wù)提供者。安全方面的一個(gè)重要因素，但這應(yīng)該是在確認(rèn)總行可以作為服務(wù)提供方后。該支付系統(tǒng)的所有權(quán)對(duì)是否是法律授權(quán)經(jīng)營(yíng)的不重要。點(diǎn)評(píng)：考慮知識(shí)產(chǎn)權(quán)問題[單選題]38.為確保組織遵守隱私要求，IS審計(jì)師首先應(yīng)審查:A)基礎(chǔ)架構(gòu)。B)組織的政策、標(biāo)準(zhǔn)和流程。C)法規(guī)要求。D)對(duì)組織政策、標(biāo)準(zhǔn)和流程的遵守情況。答案:C解析:A.為遵守要求，IS審計(jì)必須首先知道有哪些要求。每個(gè)司法管轄區(qū)的要求都不相同。IT基礎(chǔ)架構(gòu)與要求的實(shí)施相關(guān)。B.組織的政策應(yīng)遵守法律要求，應(yīng)在核對(duì)法律要求后對(duì)其合規(guī)情況進(jìn)行檢查。C.為確保組織遵守隱私問題，IS審計(jì)師首先審查法律法規(guī)要求。要符合法律法規(guī)要求，組織必須采用合適的基礎(chǔ)架構(gòu)。了解法律法規(guī)要求后，IS審計(jì)師應(yīng)對(duì)組織的政策、標(biāo)準(zhǔn)和流程進(jìn)行評(píng)估，以確定其完全滿足隱私要求，然后再審查對(duì)這些具體政策、標(biāo)準(zhǔn)和流程的守情況D.IS審計(jì)師只有確信政策、標(biāo)準(zhǔn)和流程符合法律要求后，才可檢查其合規(guī)性。[單選題]39.在開發(fā)一個(gè)風(fēng)險(xiǎn)管理程序時(shí)，什么是首先完成的活動(dòng)？A)威脅評(píng)估B)數(shù)據(jù)分類C)資產(chǎn)目錄D)關(guān)鍵程度分析答案:C解析:在開發(fā)一個(gè)風(fēng)險(xiǎn)管理程序時(shí),識(shí)別需要保護(hù)的資產(chǎn)是第一步，一份影響到這些資產(chǎn)性能的威脅的清單和關(guān)鍵程度分析是這個(gè)程序中的后續(xù)步驟。數(shù)據(jù)分類是在定義存取控制和重要性分析中所需要的。[單選題]40.決策支持系統(tǒng)(DS用于幫助高級(jí)管理人員:A)解決高度結(jié)構(gòu)化問題。B)合并決策模型與預(yù)定標(biāo)準(zhǔn)的使用。C)根據(jù)數(shù)據(jù)分析和互動(dòng)模型做出決策。D)僅支持結(jié)構(gòu)化決策任務(wù)。答案:C解析:A.決策支持系統(tǒng)(DSS)的目的是解決結(jié)構(gòu)化程度較低的問題。B.DSS將模型和分析技術(shù)的使用與傳統(tǒng)的數(shù)據(jù)訪問和檢索功能相結(jié)合，但不受預(yù)定標(biāo)準(zhǔn)的限制C.DSS通過數(shù)據(jù)分析和使用交互模型(而非固定標(biāo)準(zhǔn))突出了管理人員決策方式的靈活性D.DSS支持半結(jié)構(gòu)化的決策任務(wù)。[單選題]41.以下哪種病毒防御技術(shù)可通過硬件實(shí)施：A)遠(yuǎn)程啟動(dòng)B)啟發(fā)式掃描程序C)行為攔截程序D)免疫程序答案:A解析:遠(yuǎn)程啟動(dòng)（如無盤工作站）是一種防御病毒的方法，可通過硬件實(shí)施。選項(xiàng)C是一種檢測(cè)技術(shù)，而非防御措施，盡管它也是基于硬件的。選項(xiàng)B和D并不基于硬件。[單選題]42.當(dāng)兩個(gè)或者多個(gè)系統(tǒng)整合時(shí)，審計(jì)師必須在哪里檢查輸入/輸出控制A)接收其他系統(tǒng)輸出的系統(tǒng)B)發(fā)送輸出到其它系統(tǒng)的系統(tǒng)C)輸入輸出數(shù)據(jù)的系統(tǒng)D)在兩個(gè)系統(tǒng)之間的分界處答案:A解析:兩個(gè)系統(tǒng)都必須檢查輸入/輸出。因?yàn)橐粋€(gè)系統(tǒng)的輸出就是另外一個(gè)系統(tǒng)的輸入[單選題]43.在審查入侵檢測(cè)日志時(shí),IS審計(jì)師發(fā)現(xiàn)了一些來自互聯(lián)網(wǎng)的通信,其IP地址顯示為公司工資服務(wù)器.以下哪項(xiàng)惡意活動(dòng)最可能導(dǎo)致這類結(jié)果?A)拒絕服務(wù)(Dos)攻擊B)冒充C)端口掃描D)中間人攻擊答案:B解析:冒充是一種模仿形式,指一臺(tái)計(jì)算機(jī)企圖使用另一臺(tái)計(jì)算機(jī)的身份.當(dāng)來自外部網(wǎng)絡(luò)的攻擊使用內(nèi)部網(wǎng)絡(luò)地址時(shí),攻擊者最有很能是通過偽裝(或冒充)工資服務(wù)器的內(nèi)部網(wǎng)絡(luò)地址來繞開防火墻和其他網(wǎng)絡(luò)安全控制的.攻擊者可通過偽裝成工資服務(wù)器來訪問敏感的內(nèi)部資源.Dos攻擊旨在限制資源的可用性,其特點(diǎn)是具有大量需要獲得資源(通常為網(wǎng)站)響應(yīng)的請(qǐng)求.這會(huì)使目標(biāo)花費(fèi)大量資源響應(yīng)攻擊請(qǐng)求,而無暇顧及合法請(qǐng)求.此種攻擊通常發(fā)起于受害計(jì)算機(jī)網(wǎng)絡(luò)(僵尸網(wǎng)絡(luò)),并可能從多臺(tái)計(jì)算機(jī)同襲擊.端口掃描是一種偵查技術(shù),可在發(fā)起更猛烈的攻擊之前,收集有關(guān)攻擊目標(biāo)的信息.端口掃描可用來確定工資服務(wù)器的內(nèi)部地址,但通常不會(huì)創(chuàng)建日志條目來指明來自內(nèi)部服務(wù)器的外部通信.中間人攻擊是一種主動(dòng)竊聽,其中攻擊者會(huì)攔截雙方計(jì)算機(jī)化的對(duì)話,然后向雙方轉(zhuǎn)播相應(yīng)的數(shù)據(jù)使對(duì)話繼續(xù),同事監(jiān)控經(jīng)過攻擊者通道的相同數(shù)據(jù).此類攻擊不會(huì)注冊(cè)為來自工資服務(wù)器的攻擊,但可能旨在劫持工作站和工資服務(wù)器之間的已授權(quán)鏈接.[單選題]44.下列哪一項(xiàng)通常是首席信息安全官(CISO)的責(zé)任?A)定期審查和評(píng)估安全政策B)執(zhí)行用戶應(yīng)用程序、軟件測(cè)試及評(píng)估C)授予和撤消對(duì)IT資源的用戶訪問權(quán)限D(zhuǎn))批準(zhǔn)對(duì)數(shù)據(jù)和應(yīng)用程序的訪問答案:A解析:A.首席信息安全官(CISO)的作用是確保公司的安全政策和控制足以防止在未經(jīng)授權(quán)的情況下訪問公司資產(chǎn)，如數(shù)據(jù)、程序和設(shè)備。B.用戶應(yīng)用程序和其他軟件的測(cè)試及評(píng)估通常是被分配進(jìn)行開發(fā)與維護(hù)工作的人員的責(zé)任。C.予和撤消對(duì)IT資源的訪問權(quán)限通常是系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)庫管理員的職能D.批準(zhǔn)對(duì)數(shù)據(jù)和應(yīng)用程序的訪問是數(shù)據(jù)或應(yīng)用程序所有者的責(zé)任。[單選題]45.通過抽取和重用設(shè)計(jì)及程序組件的方法擴(kuò)展一個(gè)已有的系統(tǒng)。這是:A)逆向工程B)原型法C)軟件重用D)再造答案:A解析:經(jīng)過修正、適應(yīng)性改造和功能增強(qiáng)性改造后的老的（傳統(tǒng)的）系統(tǒng)需要進(jìn)行業(yè)務(wù)流程再造，以保持它的可維護(hù)性。流程再造是將新技術(shù)融入到已有系統(tǒng)中的一項(xiàng)重建活動(dòng)。逆向工程使用程序語言表述，包括將程序的機(jī)器代碼轉(zhuǎn)換為源代碼，以便識(shí)別程序中的惡意內(nèi)容，比如病毒，或者將一個(gè)已經(jīng)寫好使用一個(gè)處理器的程序適應(yīng)于另一個(gè)不同設(shè)計(jì)的處理器。原型法是通過可控的反復(fù)試驗(yàn)來開發(fā)一個(gè)系統(tǒng)。軟件重用是一個(gè)計(jì)劃、分析、使用以前開發(fā)好的軟件組件的過程。重用的組件被系統(tǒng)地集成到現(xiàn)有的軟件產(chǎn)品中。[單選題]46.下列哪一項(xiàng)最好地支持了24/7可用性？A)日常備份B)離線存儲(chǔ)C)鏡像D)定期測(cè)試答案:A解析:關(guān)鍵組件的鏡象是促進(jìn)快速恢復(fù)的工具。日常備份應(yīng)用使合理的恢復(fù)在數(shù)小時(shí)內(nèi)發(fā)生而不是立即發(fā)生。離線存儲(chǔ)和系統(tǒng)的定期測(cè)試不支持它們自身的持續(xù)可用性。[單選題]47.在確定信息資產(chǎn)的適當(dāng)保護(hù)等級(jí)時(shí)，IS審計(jì)師應(yīng)當(dāng)主要關(guān)注以下哪一個(gè)因素?A)風(fēng)險(xiǎn)評(píng)估的結(jié)果B)對(duì)業(yè)務(wù)的相對(duì)價(jià)值C)漏洞評(píng)估的結(jié)果D)安全控制的成本答案:A解析:A.適當(dāng)?shù)燃?jí)的資產(chǎn)保護(hù)依據(jù)資產(chǎn)相關(guān)風(fēng)險(xiǎn)確定。因此，風(fēng)險(xiǎn)評(píng)估的結(jié)果是IS審計(jì)師應(yīng)當(dāng)審查的主要信息。B.對(duì)業(yè)務(wù)的相對(duì)價(jià)值是風(fēng)險(xiǎn)評(píng)估的考慮因素之一，單憑此項(xiàng)并不能確定需要的保護(hù)等級(jí)。C.漏洞評(píng)估的結(jié)果有助于創(chuàng)建風(fēng)險(xiǎn)評(píng)估;但這并非主要關(guān)注點(diǎn)D.安全控制的成本并非主要考慮因素，原因在于，這些控制措施的開支取決于受保護(hù)的信息資產(chǎn)的價(jià)值。[單選題]48.在金融交易的電子數(shù)據(jù)交換(EDI)通信過程中，對(duì)金額字段計(jì)算校驗(yàn)和是為確保:A)完整性B)真實(shí)性C)授權(quán)D)不可否認(rèn)性答案:A解析:A.校驗(yàn)和根據(jù)金額字段計(jì)算并包含在電子數(shù)據(jù)交換(EDD通信中，可用于識(shí)別未授權(quán)修改。B.真實(shí)性無法通過校驗(yàn)和單獨(dú)確定，還需要其他控制。C.權(quán)無法通過校驗(yàn)和單獨(dú)確定，還需要其他控制。D.通過使用數(shù)字簽名可確保不可否認(rèn)性。[單選題]49.在信息處理設(shè)施（IPF）的硬件更換之后，業(yè)務(wù)連續(xù)性流程經(jīng)理首先應(yīng)該實(shí)施下列哪項(xiàng)活動(dòng)？A)驗(yàn)證與熱門站點(diǎn)的兼容性B)檢查實(shí)施報(bào)告C)進(jìn)行災(zāi)難恢復(fù)計(jì)劃的演練D)更新信息資產(chǎn)清單答案:A解析:信息資產(chǎn)清單是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃的基礎(chǔ)，同時(shí)災(zāi)備計(jì)劃必須反映最新的信息系統(tǒng)架構(gòu)。其他選項(xiàng)是在更新必須的資產(chǎn)清單后更新災(zāi)難恢復(fù)計(jì)劃的程序要求。[單選題]50.風(fēng)險(xiǎn)管理過程的輸出是為什么作為輸入的？A)業(yè)務(wù)計(jì)劃B)、審計(jì)章程。C)、安全政策決定。D)軟件設(shè)計(jì)的決定。答案:C解析:風(fēng)險(xiǎn)管理過程是為作出特定的安全相關(guān)的決策，比如可接受的風(fēng)險(xiǎn)水平。選擇A、B和D不是風(fēng)險(xiǎn)管理過程的的最終目的。[單選題]51.管理層已決定接受風(fēng)險(xiǎn)以回應(yīng)審計(jì)建議草案。以下哪一項(xiàng)應(yīng)是信息系統(tǒng)審計(jì)師的下一個(gè)行動(dòng)步驟？A)將接受風(fēng)險(xiǎn)的決定上報(bào)給董事會(huì)B)確保跟進(jìn)審計(jì)納入明年的審計(jì)計(jì)劃C)將接受風(fēng)險(xiǎn)的決定上報(bào)給審計(jì)委員會(huì)D)在審計(jì)報(bào)告中記錄管理層接受風(fēng)險(xiǎn)的決定答案:A解析:[單選題]52.下列哪項(xiàng)是在一個(gè)組織中防止未經(jīng)授權(quán)的個(gè)人刪除審計(jì)日志記錄的最佳控制？A)在另一個(gè)日志文件中對(duì)日志文件的動(dòng)作進(jìn)行追蹤。B)關(guān)閉對(duì)審計(jì)日志的寫權(quán)限。C)只有指定人才能有查看和刪除審計(jì)日志的權(quán)限。D)定期進(jìn)行審計(jì)日志的備份。答案:C解析:僅賦予系統(tǒng)管理員和安全管理員訪問審計(jì)日志的權(quán)力將減少這些文件被刪除的可能性。選項(xiàng)A不正確，因?yàn)橛蓄~外的日志文件的副本并不會(huì)阻止原來的日志文件被刪除。選項(xiàng)B不正確，因?yàn)闉榱朔?wù)器的應(yīng)用能夠正常運(yùn)行，不能禁止寫權(quán)限。選項(xiàng)D不正確，因?yàn)轭l繁的備份審計(jì)日志并不會(huì)阻止日志被刪除。[單選題]53.防止網(wǎng)絡(luò)被用作拒絕服務(wù)(DOS)攻擊中的放大器的最佳過濾規(guī)則是拒絕所有：A)IP源地址在網(wǎng)絡(luò)外部的傳出通信。B)被辨認(rèn)出使用偽造IP源地址的傳入通信。C)帶IP選項(xiàng)集的輸入通信。D)以關(guān)鍵主機(jī)為目的的傳人通信。答案:A解析:IP源地址與不屬于網(wǎng)絡(luò)中的IP范圍的傳出通信是無效的。在大多數(shù)情況中，這表示DOS攻擊由內(nèi)部用戶或之前已受到侵害的內(nèi)部機(jī)器發(fā)起；在這個(gè)兩種情況中，應(yīng)用此過濾器將其攻擊停止。[單選題]54.公鑰基礎(chǔ)設(shè)施(PKI)的有效應(yīng)用是加密:A)全部信息B)私鑰C)公鑰D)對(duì)稱會(huì)話密鑰答案:D解析:公鑰（不對(duì)稱）加密需要較大的鍵值（1024位），資源開銷很大。相比之下對(duì)稱得加密比較快，但是要依賴密鑰交換過程的安全性。綜合二者的優(yōu)點(diǎn)，對(duì)稱會(huì)話密鑰使用公鑰加密方法交換，之后作為密鑰在信息雙方加密或者解密信息。[單選題]55.下列哪一項(xiàng)信息系統(tǒng)功能職責(zé)可以由同一個(gè)小組或個(gè)人來執(zhí)行，同時(shí)又能保證適當(dāng)?shù)穆氊?zé)分離?A)安全管理和應(yīng)用程序設(shè)計(jì)B)計(jì)算機(jī)操作和應(yīng)用程序設(shè)計(jì)C)應(yīng)用程序編程和系統(tǒng)分析D)數(shù)據(jù)庫管理和計(jì)算機(jī)操作答案:C解析:[單選題]56.某公司通過銀行處理每周的薪資支付。工時(shí)表和薪資調(diào)整表(例如，時(shí)薪變更、離職)會(huì)在完成后提交到銀行，從而為分配支票和報(bào)表作準(zhǔn)備。以下哪種做法能夠最有效地確保薪金數(shù)據(jù)的準(zhǔn)確性A)將薪資報(bào)表與輸入表進(jìn)行對(duì)比。B)以手動(dòng)方式重新計(jì)算薪資總額C)將支票與輸入表進(jìn)行對(duì)比。D)使支票與輸出報(bào)表保持一致。答案:A解析:A.當(dāng)輸入由公司提供而輸出由銀行生成時(shí)，確保數(shù)據(jù)準(zhǔn)確性的最佳方法是使用薪資報(bào)表的結(jié)果來驗(yàn)證數(shù)據(jù)輸入(輸入表)。因此，比較薪資報(bào)表和輸入表是驗(yàn)證數(shù)據(jù)準(zhǔn)確性的最佳做法。B.以手動(dòng)方式重新計(jì)算薪資總額只能驗(yàn)證處理是否正確，不能驗(yàn)證數(shù)據(jù)輸入的準(zhǔn)確性。C.由于支票包含的是處理后的信息，而輸入表包含的是輸入數(shù)據(jù)，所以對(duì)比支票和輸入表的做法并不合理D.使支票與輸出報(bào)表保持一致只能確保支票按輸出報(bào)表分發(fā)。[單選題]57.定義恢復(fù)點(diǎn)目標(biāo)(RPO)時(shí)，以下哪一項(xiàng)是最重要的考慮因素?A)最低操作要求B)可接受的數(shù)據(jù)丟失C)平均故障間隔時(shí)間D)可接受的恢復(fù)時(shí)間答案:B解析:A.最低操作要求有助于制定恢復(fù)策略B.恢復(fù)點(diǎn)目標(biāo)(RPO)是一個(gè)組織愿意接受的數(shù)據(jù)塤失/返工的級(jí)別。C.平均故障間隔時(shí)間有助于確定系統(tǒng)故障的可能性。D.恢復(fù)時(shí)間目標(biāo)(RTO)是可接受的業(yè)務(wù)操作可用性的時(shí)間延遲。[單選題]58.一名IS審計(jì)師按要求檢查過去的項(xiàng)目，以確保將來的項(xiàng)目將如何更好地滿足業(yè)務(wù)需求。該審計(jì)師最有可能與以下哪個(gè)人進(jìn)行討論?A)項(xiàng)目發(fā)起人B)項(xiàng)目經(jīng)理C)最終用戶團(tuán)體D)業(yè)務(wù)分析員答案:A解析:A.項(xiàng)目發(fā)起人是項(xiàng)目的所有者，因此是討論是否滿足被定義為項(xiàng)目目標(biāo)的一部分的業(yè)務(wù)要求的最適合人選。B.項(xiàng)目經(jīng)理負(fù)責(zé)組織和確保項(xiàng)目的方向與總體方向相一致、遵守標(biāo)準(zhǔn)和監(jiān)測(cè)項(xiàng)目里程碑。最好由發(fā)起人確定是否滿足要求，并且IS審計(jì)師最有可能與他進(jìn)行討論C.最終用戶團(tuán)體可能是有用的資源;但項(xiàng)目發(fā)起人擁有管理授權(quán)并參與了戰(zhàn)略規(guī)劃，因此是更好的答案。D.盡管業(yè)務(wù)分析師詳細(xì)了解業(yè)務(wù)需求，但項(xiàng)目發(fā)起人更準(zhǔn)確地了解過去的項(xiàng)目績(jī)效。[單選題]59.IS審計(jì)師參與了組織業(yè)務(wù)連續(xù)性計(jì)劃的制定，而又被指派去審計(jì)這個(gè)計(jì)劃。IS審計(jì)師應(yīng)該？A)拒絕這個(gè)審計(jì)任務(wù)的指派。B)提醒管理層關(guān)于自己完成審計(jì)任務(wù)后利益沖突的可能。C)提醒業(yè)務(wù)連續(xù)性計(jì)劃組關(guān)于自己在開始審計(jì)任務(wù)前可能的利益沖突。D)在開始審計(jì)任務(wù)之前與管理層溝通關(guān)于利益沖突的可能性。答案:D解析:開始審計(jì)任務(wù)之前與管理層溝通關(guān)于利益沖突的可能性是正確的選擇。可能的利益沖突，非常會(huì)影響審計(jì)員的獨(dú)立性，應(yīng)該在開始審計(jì)任務(wù)之前引起管理層的注意。拒絕審計(jì)任務(wù)是不正確的選項(xiàng)因?yàn)榉峙涞娜蝿?wù)在獲得管理層的同意后是可以接受的。在完成審計(jì)任務(wù)之后提醒管理層可能的利益沖突是不正確的因?yàn)閼?yīng)該先獲得許可而不是之后。在開始審計(jì)任務(wù)之前提醒業(yè)務(wù)連續(xù)性計(jì)劃小組關(guān)于可能的利益沖突也是不正確的，因?yàn)闃I(yè)務(wù)連續(xù)性小組沒有授權(quán)此事的權(quán)限。點(diǎn)評(píng)：職業(yè)獨(dú)立性[單選題]60.審查IT組織的IS審計(jì)師最關(guān)心的是IT督導(dǎo)委員會(huì)是否:A)負(fù)責(zé)項(xiàng)目審批以及優(yōu)先級(jí)的確定。B)負(fù)責(zé)開發(fā)長(zhǎng)期的IT計(jì)劃。C)將IT項(xiàng)目狀況向董事會(huì)報(bào)告。D)負(fù)責(zé)確定業(yè)務(wù)目標(biāo)。答案:D解析:A.IT督導(dǎo)委員會(huì)負(fù)責(zé)項(xiàng)目審批以及優(yōu)先級(jí)的確定。B.IT督導(dǎo)委員會(huì)負(fù)責(zé)監(jiān)督長(zhǎng)期IT計(jì)劃的制定。C.IT督導(dǎo)委員會(huì)就IT發(fā)展?fàn)顩r向董事會(huì)提供建議。D.負(fù)責(zé)確定業(yè)務(wù)目標(biāo)的是高級(jí)管理人員，而不是IT督導(dǎo)委員會(huì)。IT應(yīng)支持業(yè)務(wù)目標(biāo)并受業(yè)務(wù)的驅(qū)動(dòng)一而不是相反。[單選題]61.在實(shí)施應(yīng)用程序軟件包時(shí)，以下哪一項(xiàng)會(huì)帶來最大的風(fēng)險(xiǎn)?A)不受控制的多個(gè)軟件版本B)與目標(biāo)代碼不同步的源程序C)參數(shù)設(shè)置錯(cuò)誤D)編程錯(cuò)誤答案:C解析:A.有多個(gè)版本是一個(gè)問題，但只要實(shí)施的是正確的版本，實(shí)施過程中最大的風(fēng)險(xiǎn)是程序參數(shù)設(shè)置錯(cuò)誤B.源代碼與目標(biāo)代碼之間的不同步是后期維護(hù)編譯后的程序時(shí)的重大風(fēng)險(xiǎn)，但這不會(huì)影響其他類型的程序，也不是實(shí)施時(shí)的最大風(fēng)險(xiǎn)。C.實(shí)施應(yīng)用程序軟件包時(shí)，錯(cuò)誤的參數(shù)設(shè)置最令人擔(dān)憂。參數(shù)設(shè)置錯(cuò)誤是可能導(dǎo)致系統(tǒng)出錯(cuò)、故障或違規(guī)的迫切問題。D.編程錯(cuò)誤應(yīng)在測(cè)試期間發(fā)現(xiàn)，而不是實(shí)施之時(shí)。[單選題]62.神經(jīng)網(wǎng)絡(luò)可有效地檢測(cè)欺詐，因?yàn)樯窠?jīng)網(wǎng)絡(luò)可以：A)發(fā)現(xiàn)新的趨勢(shì)，因?yàn)槠浔旧硎蔷€性的B)解決不能獲得大量常規(guī)培訓(xùn)數(shù)據(jù)組的問題。C)解決需要考慮大量輸入變量的問題。D)假設(shè)任何曲線的形狀是根據(jù)變量和輸出之間的關(guān)系繪制的。答案:C解析:神經(jīng)網(wǎng)絡(luò)可用于解決需要考慮大量輸入變量的問題。神經(jīng)網(wǎng)絡(luò)能捕捉到經(jīng)常被其他統(tǒng)計(jì)方法漏掉的關(guān)系和模式，但其不能發(fā)現(xiàn)新趨勢(shì)。神經(jīng)網(wǎng)絡(luò)本身是非線性的，并且不假設(shè)任何曲線的形狀是根據(jù)變量和輸出之間的關(guān)系繪制的。神經(jīng)網(wǎng)絡(luò)不適合解決不能獲得大量常規(guī)培訓(xùn)數(shù)據(jù)組的問題。[單選題]63.IS審計(jì)師審查服務(wù)等級(jí)協(xié)議(SLA)時(shí)，應(yīng)對(duì)以下哪個(gè)問題最為重視?A)異常報(bào)告導(dǎo)致的服務(wù)調(diào)整需要一天的實(shí)施時(shí)間。B)用于服務(wù)監(jiān)控的應(yīng)用程序日志過于復(fù)雜，導(dǎo)致審查非常困難。C)績(jī)效檢測(cè)方法未包括在SLA中。D)文檔每年更新一次。答案:C解析:A.解決與異常報(bào)告相關(guān)的問題屬于操作性問題，應(yīng)在服務(wù)等級(jí)協(xié)議(SLA)中解決，但根據(jù)SLA的條款，一天的響應(yīng)時(shí)間可能是可以接受的B.應(yīng)用日志的復(fù)雜性是一個(gè)操作性問題，與SLA無關(guān)。C.缺少績(jī)效檢測(cè)方法會(huì)遭成難以衡量所提供的T服務(wù)的效率和有效性。D.雖然文檔記錄根據(jù)協(xié)議條款保持更新很重要，但文檔變更的頻率沒有必要短于一年[單選題]64.某IS審計(jì)師正在評(píng)估某組織新制訂的一項(xiàng)IT政策。該IS審計(jì)師認(rèn)為以下哪一項(xiàng)因素對(duì)促進(jìn)政策實(shí)施后的合規(guī)性最重要?A)促成合規(guī)性的現(xiàn)有IT機(jī)制B)政策與業(yè)務(wù)戰(zhàn)略相一致C)當(dāng)前和將來的技術(shù)措施D)政策中定義的監(jiān)管合規(guī)性目標(biāo)答案:A解析:A.組織應(yīng)當(dāng)能夠在實(shí)施后遵守政策。評(píng)估新政策時(shí)，最重要的考慮因素應(yīng)當(dāng)是促使組織及其員工遵守政策的現(xiàn)行機(jī)制。B.政策應(yīng)當(dāng)與業(yè)務(wù)戰(zhàn)略相一致，但這不影響組織在實(shí)施后遵守政策的能力。C.當(dāng)前和未來的技術(shù)措施應(yīng)當(dāng)以業(yè)務(wù)需求為動(dòng)力，并且不影響組織遵守政策的能力。D.監(jiān)管合規(guī)性目標(biāo)可在IT政策中定義，但這不會(huì)促進(jìn)政策合規(guī)性。定義目標(biāo)只會(huì)導(dǎo)致組織知道所要的狀況，但無助實(shí)現(xiàn)合規(guī)性。[單選題]65.某IS審計(jì)師了解到，某企業(yè)將軟件開發(fā)工作外包給了一個(gè)剛起步的第三方公司。要確保該企業(yè)在軟件方面的投資受到保護(hù)，此IS審計(jì)師應(yīng)提出以下哪種建議?A)應(yīng)對(duì)軟件供應(yīng)商進(jìn)行盡職調(diào)查。B)應(yīng)對(duì)供應(yīng)商設(shè)施進(jìn)行季度審計(jì)。C)應(yīng)簽署源代碼第三方托管協(xié)議。D)應(yīng)在合同中包含較高的違約罰金條款答案:C解析:A.雖然盡職調(diào)查是良好實(shí)踐，但不能保證供應(yīng)商破產(chǎn)時(shí)源代碼的可用性。B.雖然對(duì)供應(yīng)商設(shè)施進(jìn)行季度審計(jì)是良好實(shí)踐，但不能保證初創(chuàng)供應(yīng)商倒閉時(shí)源代碼的可用性C.要保護(hù)企業(yè)在軟件方面的投資，優(yōu)先推薦簽署源代碼第三方托管協(xié)議，因?yàn)檫@樣微可使源代碼經(jīng)由可靠的第三方提供，并且即使這一剛起步的公司倒閉，仍可回收該源代碼。D.雖然處罰條款是良好實(shí)踐，但在供應(yīng)商破產(chǎn)時(shí)不能提供保護(hù)或保證源代碼的可用性。[單選題]66.在設(shè)計(jì)航空預(yù)定系統(tǒng)的業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，遠(yuǎn)程數(shù)據(jù)傳輸/備份的最好方法是：A)shA、D、ow文件進(jìn)程B)電子鏈接C)磁盤鏡像D)熱站答案:A解析:在shA、D、ow文件進(jìn)程中，能夠持續(xù)準(zhǔn)確地復(fù)制同站點(diǎn)或遠(yuǎn)程站點(diǎn)的文件,并且兩個(gè)文件是同時(shí)處理。這種方法主要用在關(guān)鍵數(shù)據(jù)文件，如航空預(yù)訂系統(tǒng)。電子鏈接采用電子方式將數(shù)據(jù)傳輸?shù)街苯釉L問的存儲(chǔ)設(shè)備、光盤或其他存儲(chǔ)介質(zhì)，銀行曾使用這種方法。硬盤鏡像提供冗余以防主硬盤失敗，所有的交易和操作在同一個(gè)服務(wù)器上的兩個(gè)硬盤上。熱站是準(zhǔn)備在業(yè)務(wù)中斷的幾個(gè)小時(shí)內(nèi)接管業(yè)務(wù)的候補(bǔ)站點(diǎn)，不是備份數(shù)據(jù)的方法。[單選題]67.以下哪種情況可能削弱IS審計(jì)師的獨(dú)立性?IS審計(jì)師A)在應(yīng)用開發(fā)過程中實(shí)施了特定功能。B)為審計(jì)應(yīng)用設(shè)計(jì)了一個(gè)嵌入式審計(jì)模塊。C)以應(yīng)用項(xiàng)目團(tuán)隊(duì)成員的身份參與，并且沒有操作職責(zé)。D)提供了應(yīng)用最佳實(shí)踐方面的咨詢建議答案:A解析:A.如果IS審計(jì)師正在或曾經(jīng)積極參與了應(yīng)用系統(tǒng)的開發(fā)、購(gòu)置和實(shí)施，則獨(dú)立性可能會(huì)被削弱。B.設(shè)計(jì)一個(gè)嵌入式審計(jì)模塊不會(huì)削弱IS審計(jì)師的獨(dú)立性。C.IS審計(jì)師不應(yīng)計(jì)自己的作品，但只是以應(yīng)用系統(tǒng)項(xiàng)目團(tuán)隊(duì)成員的身份參與不會(huì)削弱IS審計(jì)師的獨(dú)立性。D.IS審計(jì)師提供有關(guān)已知最佳實(shí)踐的建議并不會(huì)削弱其獨(dú)立性[單選題]68.審計(jì)師正在審計(jì)一個(gè)軟件采購(gòu)流程，他需要確保：A)在合同簽署之前先經(jīng)過法律顧問的評(píng)審和批準(zhǔn)B)現(xiàn)有的系統(tǒng)無法滿足需求C)有關(guān)需求對(duì)業(yè)務(wù)至關(guān)重要D)用戶充分參與購(gòu)置流程答案:A解析:審查和批準(zhǔn)合同的過程是軟件采購(gòu)流程中的非常重要的步驟之一。審計(jì)師要檢查法律顧問已經(jīng)在管理層簽署之前評(píng)審和批準(zhǔn)過合同。選項(xiàng)B不是正確的答案，因?yàn)橐呀?jīng)存在的系統(tǒng)可能是符合需求的，但是管理層可能出于其他的原因而采購(gòu)軟件。選項(xiàng)C是不正確的，因?yàn)樾枨蟛⒉槐仨氁ブС株P(guān)鍵的業(yè)務(wù)需要。選項(xiàng)D是不正確的，因?yàn)樵谲浖牟少?gòu)過程中，用戶的參與并不是必須的。用戶最有可能參與的是在需求定義和用戶驗(yàn)收測(cè)試（UAT）。點(diǎn)評(píng)：合同經(jīng)過法務(wù)的批準(zhǔn)是重要的[單選題]69.如果一個(gè)組織在一個(gè)地區(qū)有多個(gè)辦事處和有限的恢復(fù)預(yù)算，下列哪個(gè)是最恰當(dāng)?shù)幕謴?fù)策略？A)被組織維護(hù)的熱站B)商業(yè)冷站C)組織辦事處之間的互相協(xié)議D)第三方熱站答案:C解析:對(duì)于一個(gè)在一個(gè)地區(qū)有多個(gè)辦事處的組織，在組織辦事處之間的互相協(xié)議將是最恰當(dāng)?shù)幕謴?fù)策略。每個(gè)辦事處將被指定作為某些其他辦事處的一個(gè)恢復(fù)站點(diǎn)。這將是提供可接受信任水平最小花費(fèi)的方法。一個(gè)被組織維護(hù)的熱站是最昂貴的解決方案，但將提供一個(gè)高的信任度。多個(gè)辦事處的多冷站租用是一個(gè)能提供高信任度的昂貴的解決方案。一個(gè)第三方恢復(fù)設(shè)施被提供作為傳統(tǒng)的熱站，這將是一個(gè)提供高信任度的昂貴的方法。[單選題]70.關(guān)鍵應(yīng)用設(shè)定了低的恢復(fù)時(shí)間目標(biāo)，信息系統(tǒng)審計(jì)員應(yīng)該推薦使用如下哪個(gè)恢復(fù)策略：A)移動(dòng)站點(diǎn)B)冗余站點(diǎn)C)熱站D)互惠協(xié)議答案:B解析:冗余站點(diǎn)包含了實(shí)時(shí)在線的設(shè)備的鏡像復(fù)制或者減少了容量的計(jì)算設(shè)備，它可以處理可接收服務(wù)送達(dá)目標(biāo)的需求。數(shù)據(jù)文件是實(shí)時(shí)沒有耽擱的被儲(chǔ)存。這個(gè)站點(diǎn)可以在幾秒或幾分鐘內(nèi)全面運(yùn)行并進(jìn)行業(yè)務(wù)處理。移動(dòng)站點(diǎn)通常被配置為拖車所以它等同于一個(gè)熱站或者暖站的級(jí)別，這意味著恢復(fù)時(shí)間是在幾天或者幾個(gè)小時(shí)之內(nèi)。一個(gè)熱站除了離線和不被使用其它與冗余站非常相似。在系統(tǒng)在線前，數(shù)據(jù)文件通常是在幾個(gè)小時(shí)內(nèi)被從磁帶機(jī)中裝載?；セ輩f(xié)議通常是不能可行和不切實(shí)際的，即使有可能恢復(fù)的時(shí)間也不會(huì)很快。[單選題]71.在資金交易通訊中對(duì)電子數(shù)據(jù)交換（EDI）里進(jìn)行總數(shù)據(jù)校驗(yàn)的目的是確保A)完整性B)真實(shí)性C)授權(quán)D)不可否認(rèn)性答案:A解析:總數(shù)校驗(yàn)計(jì)算字段總數(shù)且包括在電子數(shù)據(jù)交換（EDI）通信里用來識(shí)別未授權(quán)地修改。真實(shí)性和已授權(quán)不能單獨(dú)由總數(shù)校驗(yàn)來確定，而需要其他的控制。數(shù)字簽名保證的是不可否認(rèn)性。點(diǎn)評(píng)：總數(shù)據(jù)校驗(yàn)是為了保證完整性[單選題]72.數(shù)字簽名的使用：A)需要使用一次性密碼生成器B)可對(duì)消息進(jìn)行加密C)可驗(yàn)證消息的來源D)可確保消息的機(jī)密性答案:C解析:使用數(shù)字簽名可以驗(yàn)證發(fā)送者的身份，但不會(huì)對(duì)整個(gè)消息進(jìn)行加密，因而不足以確保機(jī)密性。一次性密碼生成器是使用數(shù)字簽名的一個(gè)可選方案，但并不強(qiáng)制使用。[單選題]73.以下哪一項(xiàng)能保護(hù)在電子郵件消息中發(fā)送的信息的機(jī)密性？A)數(shù)字簽名B)加密C)數(shù)字證書D)安全哈希算法1（SHA-1）答案:B解析:[單選題]74.審計(jì)軟件采購(gòu)的需求階段時(shí)，IS審計(jì)師應(yīng)該：A)評(píng)估項(xiàng)目時(shí)間表的可行性B)評(píng)估廠商建議的質(zhì)量程序C)確保采購(gòu)到最好的軟件包D)檢查需求規(guī)格的完整性答案:D解析:[單選題]75.在什么情況下，可將實(shí)施熱備援中心作為恢復(fù)策略:A)容災(zāi)能力很低。B)恢復(fù)點(diǎn)目標(biāo)(RPO)很高。?C)恢復(fù)時(shí)間目標(biāo)(RTO)很高。D)可容忍的最長(zhǎng)停機(jī)時(shí)間(MTD)很長(zhǎng)答案:A解析:A.容災(zāi)指的是IT設(shè)備無法使用時(shí)業(yè)務(wù)能夠得以維持的時(shí)間間隔。如果這一時(shí)間間隔很短，應(yīng)使用能在短時(shí)期內(nèi)實(shí)施的恢復(fù)策略，例如熱備援中心。B.恢復(fù)點(diǎn)目標(biāo)(RPO)指的是數(shù)據(jù)恢復(fù)能夠進(jìn)行的最早時(shí)間點(diǎn)?；謴?fù)點(diǎn)目標(biāo)(RPO)很高意味著該流程會(huì)導(dǎo)致更大的數(shù)據(jù)損失。C.恢復(fù)時(shí)間目標(biāo)(RTO)較高表示實(shí)施恢復(fù)策略時(shí)可用額外的時(shí)間，因此可以采用其他可行的備選恢復(fù)方案，例如溫備援中心或冷備援中心。D.如果可容忍的最長(zhǎng)停機(jī)時(shí)間(MTD)很長(zhǎng)，則溫或冷備援中心是更有成本效率的方案。[單選題]76.業(yè)務(wù)應(yīng)用系統(tǒng)訪問公司的數(shù)據(jù)庫采用的方法是在程序中使用單一的ID、和密碼。下列哪一項(xiàng)對(duì)組織的數(shù)據(jù)將提供有效的訪問控制？A)引入一個(gè)輔助的認(rèn)證方法，如刷智能卡B)在應(yīng)用系統(tǒng)中使用基于角色的權(quán)限訪問C)在每個(gè)數(shù)據(jù)庫交易時(shí)用戶輸入ID、和密碼D)在程序中設(shè)置數(shù)據(jù)庫密碼的有效期答案:B解析:當(dāng)在程序中使用單一的ID、和密碼時(shí)，最好的補(bǔ)償控制是在應(yīng)用層采用恰當(dāng)?shù)卦L問控制－－基于角色的訪問。這里關(guān)注的是用戶權(quán)限，而不是認(rèn)證，因此增加更強(qiáng)的認(rèn)證也不能改善這種情況。用戶輸入的ID、和密碼訪問可以提供一個(gè)較好的控制，因?yàn)閿?shù)據(jù)庫日志可確定行為的發(fā)起者。然而，這樣并不是高效的，因?yàn)槊抗P交易都需要一個(gè)單獨(dú)的身份驗(yàn)證過程。較好的方法是，給密碼設(shè)一個(gè)有效期。但是，在程序中給每個(gè)ID、自動(dòng)記錄有些不實(shí)際。因此，大部分這類的密碼設(shè)置是不過期。[單選題]77.軟件開發(fā)項(xiàng)目中納入全面質(zhì)量管理（TQM，totalqualitymanagemnet）的主要好處是：A)齊全的文檔B)按時(shí)交付C)成本控制D)最終用戶的滿意答案:D解析:[單選題]78.跨國(guó)公司的IS經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)（VPN，virtualpriavtenetwork）升級(jí)，采用信道技術(shù)使其支持語音IP電話（VOIP，voice-overIP）服務(wù)，那么，需要首要關(guān)注的是：A)服務(wù)的可靠性和質(zhì)量（Qos,qualityofservice）B)身份的驗(yàn)證方式C)語音傳輸?shù)谋Ｃ蹹)資料傳輸?shù)谋Ｃ艽鸢?A解析:[單選題]79.當(dāng)IS審計(jì)員實(shí)施一個(gè)電子資金轉(zhuǎn)賬系統(tǒng)（EFI）審計(jì)時(shí)，下列哪一項(xiàng)用戶情形是其最關(guān)心的A)三個(gè)用戶有權(quán)截獲和檢驗(yàn)他們自己的消息B)五個(gè)用戶有權(quán)截獲和發(fā)送他們自己的消息C)五個(gè)用戶有權(quán)檢驗(yàn)其他用戶和發(fā)送他們自己的消息D)三個(gè)用戶有權(quán)截獲和檢驗(yàn)其他用戶的消息，也有權(quán)發(fā)送他們自己的消息答案:A解析:一個(gè)人擁有截獲和檢驗(yàn)消息的能力表明分離不充分，消息可能被認(rèn)為是正確的和好象他們已經(jīng)被證實(shí)了。[單選題]80.在程序變更控制的評(píng)估期間，IS審計(jì)師使用源代碼比較軟件的目的是A)在不需要IS人員提供信息的情況下，檢査源程序的變更。B)檢測(cè)源程序從獲得源的副本到比較運(yùn)行這段時(shí)間內(nèi)所經(jīng)歷的變更。C)確認(rèn)控制副本是當(dāng)前版本的生產(chǎn)程序D)確保檢測(cè)到當(dāng)前源副本中的所有變更。答案:A解析:A.如果IS審計(jì)師在不需要IS人員提供信息的情況下，通過源代碼比較來檢查源程序的變更，便可客觀、獨(dú)立且相對(duì)完整地了解程序的變更情況，因?yàn)橥ㄟ^源代碼比較可識(shí)別出變更。B.源代碼比較發(fā)現(xiàn)的是兩個(gè)版本的軟件之間的不同。這不會(huì)發(fā)現(xiàn)軟件副本獲得后做出的變更。C.這是庫管理的功能，不是源代碼比較的功能。IS審計(jì)師必須另行確定此項(xiàng)。D.源代碼比較會(huì)發(fā)現(xiàn)原程序和變更過的程序之間的所有變更，但這不能確保充分地測(cè)試變更[單選題]81.IT災(zāi)難恢復(fù)時(shí)間目標(biāo)(RTO)應(yīng)基于以下哪一項(xiàng)?A)最多可容許丟失的數(shù)據(jù)B)根據(jù)業(yè)務(wù)定義的系統(tǒng)關(guān)鍵性C)最多可容許的停機(jī)時(shí)間D)中斷的根本原因答案:C解析:[單選題]82.在對(duì)一個(gè)使用公開密鑰的組織進(jìn)行審計(jì)時(shí)，基層組織用數(shù)字證書通過互聯(lián)網(wǎng)進(jìn)行交易。下列哪一個(gè)是IS審計(jì)師要考慮的弱點(diǎn)：A)廣泛分發(fā)證書給客戶，但證書沒有授權(quán)。B)客戶可以從任何一臺(tái)計(jì)算機(jī)或移動(dòng)設(shè)備進(jìn)行交易。C)認(rèn)證授權(quán)有幾個(gè)數(shù)據(jù)處理子中心。D)組織是認(rèn)證授權(quán)的所有者。答案:A解析:如果認(rèn)證授權(quán)屬于同一組織，將產(chǎn)生利益沖突。就是說，如果客戶要拒絕交易，他們可能宣稱因?yàn)楣蚕砝妫诋a(chǎn)生證書的機(jī)構(gòu)中存在非法協(xié)議。如果客戶要拒絕交易，他們可能爭(zhēng)辯，因?yàn)榇嬖诶婀蚕?，在產(chǎn)生證書的機(jī)構(gòu)中存在產(chǎn)生證書的行賄。其他的選項(xiàng)不是弱點(diǎn)。[單選題]83.當(dāng)開發(fā)一個(gè)業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，應(yīng)該用下列哪種形式來獲得對(duì)組織業(yè)務(wù)流程的理解？A)業(yè)務(wù)連續(xù)性自我審計(jì)B)資源恢復(fù)分析C)風(fēng)險(xiǎn)評(píng)估D)差距分析答案:C解析:風(fēng)險(xiǎn)評(píng)估RA和業(yè)務(wù)影響評(píng)估BIA是理解業(yè)務(wù)連續(xù)性的工具。業(yè)務(wù)連續(xù)性自我評(píng)價(jià)審計(jì)是評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃是否得當(dāng)?shù)墓ぞ摺ＹY源恢復(fù)分析是確認(rèn)業(yè)務(wù)恢復(fù)策略的工具。雖然差距分析可以找出業(yè)務(wù)連續(xù)性中不足之處，但不可以用來對(duì)業(yè)務(wù)流程的理解。[單選題]84.一位IS審計(jì)師需要審查可將軟件應(yīng)用程序的狀態(tài)恢復(fù)到更新前狀態(tài)的流程。因此，該審計(jì)師需要評(píng)估:A)問題管理流程。B)軟件開發(fā)流程。C)回退流程。D)事故管理流程。答案:C解析:A.問題管理流程用于跟蹤用戶反和與應(yīng)用操作相關(guān)的問題，以便于趨勢(shì)分析和問題解決。B.如軟件開發(fā)生命周期(SDLC)一類的軟件開發(fā)流程用于管理購(gòu)置或開發(fā)新軟件或修改后的軟件。C.回退流程用于使系統(tǒng)恢復(fù)到先前狀態(tài)，而且是變更控制過程的重要元素。其他選項(xiàng)與變更控制流程不相關(guān)此流程指明升級(jí)軟件時(shí)升級(jí)失敗而需要回退到其之前的狀態(tài)時(shí)應(yīng)遵守哪些流程D.事故管理流程用于管理系統(tǒng)操作的錯(cuò)誤和問題。一般用于服務(wù)臺(tái)。如何遵守回退計(jì)劃是事故管理流程之一[單選題]85.在評(píng)估程序變更控制的過程中，IS審計(jì)師會(huì)用源代碼比較軟件來：A)檢查IS人員不知悉的源程序變更B)檢測(cè)發(fā)生在獲取的源程序副本和比較運(yùn)行的源程序的變更C)確認(rèn)控制副本是產(chǎn)品程序的當(dāng)前版本D)確保發(fā)生在當(dāng)前源副本中的變更被檢測(cè)出來答案:A解析:IS審計(jì)師客觀和獨(dú)立的相對(duì)完全的確認(rèn)程序發(fā)生了變更是因?yàn)樵创a的比較會(huì)識(shí)別出變更。選項(xiàng)B是不正確的是因?yàn)樽垣@取副本以后放生的變更不會(huì)包含在軟件副本里。選項(xiàng)C是不正確的是因?yàn)镮S審計(jì)師必須得到單獨(dú)的關(guān)于控制副本當(dāng)前版本的確認(rèn)。選項(xiàng)D不正確是因?yàn)槿魏伟l(fā)生在獲取控制副本和源代碼比較時(shí)間段內(nèi)的變更不能被檢測(cè)出來。點(diǎn)評(píng)：比較源代碼可以發(fā)現(xiàn)變更情況[單選題]86.在一份熱站、溫站或冷站協(xié)議中，協(xié)議條款應(yīng)包含以下哪一項(xiàng)需考慮的事項(xiàng)A)具體的保證設(shè)施B)訂戶的總數(shù)C)同時(shí)允許使用設(shè)施的訂戶數(shù)量D)涉及的其他用戶答案:A解析:合同應(yīng)詳細(xì)說明在同一時(shí)間允許使用站點(diǎn)的訂戶數(shù)。具體保護(hù)措施不是合同的一部分，當(dāng)選擇一個(gè)第三方設(shè)施時(shí)，雖然這些是一個(gè)重要的需考慮事項(xiàng)。訂戶總數(shù)量不是一個(gè)需考慮的事項(xiàng)：重要的是合同是否限制訂戶在建筑物或特定區(qū)域的數(shù)量。在簽署協(xié)議之前應(yīng)關(guān)注有哪些用戶已涉及場(chǎng)地資源。[單選題]87.在實(shí)用集成測(cè)試工具ITF時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該確保：A)利用生產(chǎn)數(shù)據(jù)進(jìn)行測(cè)試B)測(cè)試數(shù)據(jù)要與生產(chǎn)數(shù)據(jù)分離C)使用測(cè)試數(shù)據(jù)生成程序D)使用測(cè)試數(shù)據(jù)後要更新主文件答案:A解析:集成測(cè)試工具在數(shù)據(jù)庫中創(chuàng)建一個(gè)虛擬文件，并允許測(cè)試交易和實(shí)時(shí)數(shù)據(jù)被同步處理。而這將確保定期測(cè)試并不需要一個(gè)單獨(dú)的測(cè)試過程，有必要從生產(chǎn)數(shù)據(jù)中將測(cè)試數(shù)據(jù)隔離出來。一個(gè)信息審計(jì)師是不需要使用生產(chǎn)數(shù)據(jù)或測(cè)試數(shù)據(jù)生成程序的。生產(chǎn)的主文件不需要用測(cè)試數(shù)據(jù)來更新的。[單選題]88.如果某犯罪者企圖獲得訪問網(wǎng)絡(luò)中所傳輸加密數(shù)據(jù)的權(quán)限，從而收集到與其相關(guān)的信息，則可能會(huì)通過以下哪種方式：A)竊聽。B)冒充。C)流量分析D)偽裝。答案:C解析:通過流量分析這種被動(dòng)攻擊，入侵者可判斷出目標(biāo)主機(jī)間流量的性質(zhì)，并且通過會(huì)話長(zhǎng)度、頻率和消息長(zhǎng)度的分析，入侵者能夠猜測(cè)出所發(fā)生通信的類型。如果消息被加密并且竊聽不到任何有意義的結(jié)果，則通常會(huì)采用該技術(shù)。竊聽同樣也屬于被動(dòng)攻擊，通過這種方法入侵者能夠收集到流經(jīng)網(wǎng)絡(luò)的信息，進(jìn)而獲取并發(fā)布消息內(nèi)容以供個(gè)人分析或供第三方使用。欺騙和偽裝屬于主動(dòng)攻擊。欺騙是指用戶接收的電子郵件看似來自一個(gè)源，但實(shí)際上來自另一個(gè)源。偽裝是指入侵者使用的身份并非其原始身份。[單選題]89.IS審計(jì)師進(jìn)行應(yīng)用維護(hù)審計(jì)，檢查程序變更日志是為了（驗(yàn)證）：A)程序變更經(jīng)過授權(quán)B)當(dāng)前目標(biāo)程序產(chǎn)生的數(shù)據(jù)C)實(shí)際程序變更的數(shù)量D)當(dāng)前源程序產(chǎn)生的數(shù)據(jù)答案:A解析:手工日志很可能包含關(guān)于授權(quán)變更程序的信息。蓄意的、未經(jīng)授權(quán)的變更不會(huì)被責(zé)任方記錄，經(jīng)常能在庫管理產(chǎn)品中發(fā)現(xiàn)的自動(dòng)日志，而不是變更日志，很可能包含源程序和可執(zhí)行程序的數(shù)據(jù)信息。[單選題]90.信息系統(tǒng)審計(jì)師出具審計(jì)報(bào)告指出邊界網(wǎng)關(guān)缺少防火墻保護(hù)，并推薦了一個(gè)外部產(chǎn)品來解決這一缺陷。信息系統(tǒng)審計(jì)師違反了：A)專業(yè)獨(dú)立性B)組織獨(dú)立性C)技術(shù)能力D)專業(yè)能力答案:A解析:信息系統(tǒng)審計(jì)師推薦一特定的供應(yīng)商，降低了其職業(yè)獨(dú)立性。組織獨(dú)立性與審計(jì)報(bào)告內(nèi)容不相關(guān),而在接受約定的時(shí)候顯現(xiàn)。技術(shù)和職業(yè)勝任能力與對(duì)立性的需求不相關(guān)。[單選題]91.在人力資源策略和組織內(nèi)部的程序進(jìn)行評(píng)審時(shí)，以下哪項(xiàng)的缺失，將會(huì)是信息系統(tǒng)審計(jì)師最關(guān)注的？A)要求崗位定期輪換B)正式的離職面談過程C)返還鑰匙和公司財(cái)務(wù)，撤銷所有訪問權(quán)限的離職檢查列表D)對(duì)員工要求簽署一份表格，表示其以閱讀本組織的策略答案:C解析:離職檢查清單是至關(guān)重要的，確保了企業(yè)的邏輯和物理安全。除了防止發(fā)放的公司財(cái)產(chǎn)的損失，防止未經(jīng)授權(quán)的訪問，知識(shí)產(chǎn)權(quán)盜竊的風(fēng)險(xiǎn)，防止了一個(gè)