試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷11)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.離場(chǎng)面談過程中，如果對(duì)于審計(jì)發(fā)現(xiàn)可能產(chǎn)生的影響存在分歧，IS審計(jì)師應(yīng)該A)要求受審單位簽署豁免協(xié)議書并承擔(dān)全部法律責(zé)任。B)詳細(xì)闡述結(jié)果的重要性以及不予以糾正可能產(chǎn)生的風(fēng)險(xiǎn)。C)將不同意見報(bào)告給審計(jì)委員會(huì)以尋求解決方案。D)接受受審方的觀點(diǎn)，因?yàn)樗麄儾攀橇鞒特?fù)責(zé)人。答案:B解析:A.管理層始終對(duì)風(fēng)險(xiǎn)負(fù)責(zé)，但是IS審計(jì)師的職責(zé)是告知管理層審計(jì)發(fā)現(xiàn)及與發(fā)現(xiàn)相關(guān)的風(fēng)險(xiǎn)B.如果受審方對(duì)審計(jì)結(jié)果的影響存在不同意見，那么IS審計(jì)師就有必要對(duì)風(fēng)險(xiǎn)和暴露進(jìn)行詳闡述和解釋，因?yàn)槭軐彿娇赡軟]有完全意識(shí)到風(fēng)險(xiǎn)的嚴(yán)重程度。目的是向受審方傳授知識(shí)或揭示IS審計(jì)師之前未曾意識(shí)到的新信息。如果向受審方傳達(dá)的事宜帶有威脅性色彩，則會(huì)妨得有效的溝通，從而使雙方之間的關(guān)系受到不利影響。同樣地，IS審計(jì)師也不應(yīng)該因?yàn)榕c受審方的意見相左而自動(dòng)同意受審方的觀點(diǎn)。C.審計(jì)報(bào)告將包含IS審計(jì)師的發(fā)現(xiàn)和管理層的反應(yīng)。接受風(fēng)險(xiǎn)并適當(dāng)?shù)鼐徑怙L(fēng)險(xiǎn)是管理層的責(zé)任。審計(jì)師的職責(zé)是清楚徹底地告知管理層，以做出最佳決策。D.IS審計(jì)師必須專業(yè)、勝任工作并獨(dú)立。他們務(wù)必不僅僅是接受管理層的解釋或論據(jù)，除非用于產(chǎn)生該發(fā)現(xiàn)的流程有缺陷。[單選題]2.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)根據(jù)信息系統(tǒng)策略，一個(gè)被終止用戶的ID應(yīng)在90天內(nèi)停用。IS應(yīng)：A)報(bào)告控制在有效運(yùn)行以來，所發(fā)生的停用時(shí)限是在信息系統(tǒng)策略規(guī)定的時(shí)間框架內(nèi)B)確認(rèn)已被授予應(yīng)有的訪問權(quán)限的用戶C)建議修訂信息系統(tǒng)策略，以確保用戶ID在終止時(shí)停用D)建議定期對(duì)已被終止的用戶的活動(dòng)日志，進(jìn)行審核答案:D解析:根據(jù)信息安全策略，應(yīng)跟蹤審核終止用戶的活動(dòng)日志，確認(rèn)策略得到有效執(zhí)行。點(diǎn)評(píng)：定期審核終止用戶的ID，已檢查ID停用策略的執(zhí)行[單選題]3.一家企業(yè)的設(shè)備管理小組利用密碼要求較弱的舊版應(yīng)用程序來管理關(guān)鍵流程,為管理泄露風(fēng)險(xiǎn)，系統(tǒng)管理員每周審查一次日志以確定是否發(fā)生了任何可疑活動(dòng),以下哪一種控制類型已實(shí)施?A)管理B)臨時(shí)C)預(yù)防D)補(bǔ)償答案:D解析:[單選題]4.下面那一個(gè)是評(píng)估一個(gè)組織的安全意識(shí)培訓(xùn)評(píng)估標(biāo)準(zhǔn)？A)高級(jí)管理層意識(shí)到關(guān)鍵信息資產(chǎn)，并發(fā)表了他們對(duì)足夠的保護(hù)的關(guān)注B)工作描述包含的信息安全責(zé)任制的聲明C)按照風(fēng)險(xiǎn)和業(yè)務(wù)影響度的規(guī)定，有足夠的資金用于安全D)沒有實(shí)際發(fā)生的事情以造成的損失或公共事件答案:B解析:安全責(zé)任的崗位描述中包括了一個(gè)安全培訓(xùn)的形式，并有助于確保工作人員和管理層在信息安全方面的認(rèn)識(shí)。其它三個(gè)選項(xiàng)都沒有安全意識(shí)的培訓(xùn)評(píng)估標(biāo)準(zhǔn)。意識(shí)是重要的評(píng)價(jià)標(biāo)準(zhǔn)，體現(xiàn)高級(jí)管理層對(duì)信息安全的重視。資金是評(píng)價(jià)安全漏洞是否被解決的輔助標(biāo)準(zhǔn)。對(duì)已發(fā)生的事件數(shù)量是評(píng)價(jià)風(fēng)險(xiǎn)管理計(jì)劃是否充足的標(biāo)準(zhǔn)。點(diǎn)評(píng)：責(zé)任落實(shí)是評(píng)估意識(shí)培養(yǎng)的一個(gè)標(biāo)準(zhǔn)[單選題]5.有效的IT治理將會(huì)確保IT計(jì)劃和下列企業(yè)組織的什么一致:A)業(yè)務(wù)規(guī)劃B)審計(jì)計(jì)劃C)安全計(jì)劃。D)投資計(jì)劃。答案:A解析:為體現(xiàn)IT治理效果，IT和業(yè)務(wù)應(yīng)該有著相同的目標(biāo)，這就要求IT計(jì)劃和業(yè)務(wù)計(jì)劃一致。審計(jì)計(jì)劃和投資計(jì)劃不應(yīng)作為IT計(jì)劃的一部分，而安全計(jì)劃應(yīng)該是在整個(gè)企業(yè)層面的高度。[單選題]6.下列哪一項(xiàng)措施是防止非授權(quán)登錄最可靠的方法?A)安裝自動(dòng)密碼生成器B)限制在下班后使用計(jì)算機(jī)C)加強(qiáng)現(xiàn)有的安全策略D)發(fā)行身份鑒別標(biāo)記答案:D解析:[單選題]7.以下哪項(xiàng)是一個(gè)IT績(jī)效測(cè)量過程的主要目標(biāo)？A)最小化錯(cuò)誤B)收集績(jī)效數(shù)據(jù)C)建立績(jī)效基線D)優(yōu)化績(jī)效答案:D解析:一個(gè)IT績(jī)效測(cè)量過程可用于優(yōu)化績(jī)效，測(cè)量和管理產(chǎn)品/服務(wù)，確保問責(zé)制，并作出預(yù)算決定，盡量減少錯(cuò)誤是績(jī)效的一方面，但不是績(jī)效管理的首要目標(biāo)。收集績(jī)效數(shù)據(jù)是IT衡量過程的一個(gè)階段，被用于評(píng)估以前建立績(jī)效基線。附：績(jī)效測(cè)量，關(guān)注確保所有IT資源向業(yè)務(wù)交付既定價(jià)值，也在早期識(shí)別風(fēng)險(xiǎn)。該流程是基于績(jī)效指標(biāo)的，他們?yōu)閮r(jià)值交付而設(shè)定，任何對(duì)其顯著地偏離將導(dǎo)致重大風(fēng)險(xiǎn)。點(diǎn)評(píng)：IT績(jī)效的主要目標(biāo)是優(yōu)化績(jī)效[單選題]8.主要應(yīng)用程序?qū)嵤﹥蓚€(gè)月之后，一位認(rèn)為項(xiàng)目運(yùn)行良好的管理層人員要求一位IS審計(jì)師對(duì)完工的項(xiàng)目進(jìn)行審查，這位IS審計(jì)師應(yīng)主要關(guān)注以下哪個(gè)方面？A)確定系統(tǒng)目標(biāo)是否實(shí)現(xiàn)B)評(píng)估是否衡量、分析和報(bào)告計(jì)劃的成本收益C)審查內(nèi)置于系統(tǒng)的控制，確保其運(yùn)行與設(shè)計(jì)構(gòu)思一致D)審查后續(xù)的項(xiàng)目更改要求答案:C解析:由于管理人員認(rèn)為實(shí)施運(yùn)行良好，所以IS審計(jì)師的主要關(guān)注點(diǎn)應(yīng)是測(cè)試應(yīng)用程序內(nèi)置的控制，一確保他們與設(shè)計(jì)的功能運(yùn)作一致。實(shí)現(xiàn)系統(tǒng)目標(biāo)非常重要；但是在兩個(gè)月后進(jìn)行這項(xiàng)評(píng)估，數(shù)據(jù)可能不夠充分。評(píng)估項(xiàng)目效力也很重要，但確保生產(chǎn)環(huán)境在實(shí)施后得到適當(dāng)控制卻是需要考慮到的首要問題。審查更改要求是個(gè)不錯(cuò)的想法，但是在發(fā)現(xiàn)應(yīng)用程序出現(xiàn)問題時(shí)，這樣做更加合適。點(diǎn)評(píng)：系統(tǒng)剛上線后的評(píng)審主要關(guān)注控制是否有效、是否符合用戶需求、項(xiàng)目管理過程等內(nèi)容[單選題]9.一個(gè)組組織外包其廣域網(wǎng)（WAN）給第三方服提供商。在這種情況下審計(jì)師應(yīng)該執(zhí)行業(yè)務(wù)連接性計(jì)劃（BCP）和災(zāi)難恢復(fù)計(jì)劃（DRP）審計(jì)，下列哪個(gè)是首要任務(wù)？A)檢查服務(wù)商的BCP與該組織的BCP和合同義務(wù)是否一致B)檢查服務(wù)水平協(xié)議（SLA）是否包含在出現(xiàn)故障時(shí)，以應(yīng)付發(fā)生災(zāi)難時(shí)的服務(wù)水平和處罰條款C)審查該組織在選擇服務(wù)供應(yīng)商時(shí)的方法D)審閱第三方服務(wù)提供商時(shí)的工作人員的認(rèn)可答案:A解析:檢查服務(wù)提供商的BCP過程是否與組織的BCP及合同義務(wù)相一致是正確答案，因?yàn)榉?wù)提供商業(yè)務(wù)受到的不利影響和干擾直接影響的組織及其客戶。依照發(fā)生災(zāi)難時(shí)的服務(wù)水平，檢查SLA是否包含失敗時(shí)的懲罰條款不是正確答案，因?yàn)榇嬖趹土P條款，盡管說SLA的組成要素，并不是首要考慮的。選擇C和D是可能的關(guān)注，但不太重要。[單選題]10.出現(xiàn)以下哪種情況，信息系統(tǒng)審計(jì)師最需要對(duì)第三方托管的云計(jì)算機(jī)進(jìn)行審查：A)組織無權(quán)評(píng)估供應(yīng)商網(wǎng)站的控制B)服務(wù)水平協(xié)議（SLA）沒有規(guī)定供應(yīng)商對(duì)于出現(xiàn)安全漏洞時(shí)的責(zé)任C)組織和供應(yīng)商所在國(guó)家應(yīng)用不同的法律和法規(guī)D)組織使用的瀏覽器舊版本存在安全風(fēng)險(xiǎn)答案:B解析:云計(jì)算機(jī)管理通過互聯(lián)網(wǎng)完成，并且多個(gè)實(shí)體參與其中。關(guān)注自己環(huán)境中的安全問題是云計(jì)算機(jī)環(huán)境中每一個(gè)合作伙伴的責(zé)任。當(dāng)存在安全漏洞，合作伙伴應(yīng)該識(shí)別出來并對(duì)其負(fù)相應(yīng)責(zé)任。如果服務(wù)水平協(xié)議沒有規(guī)定合作伙伴在安全漏洞方面的職責(zé)，便無法確定責(zé)任方。如果雙方合同沒有規(guī)定對(duì)其它供應(yīng)商站點(diǎn)的控制進(jìn)行評(píng)估，信息系統(tǒng)審計(jì)師就無法進(jìn)行評(píng)估工作。信息系統(tǒng)審計(jì)師不能解決組織和供應(yīng)商所在不同國(guó)家的法律和法規(guī)的差異性問題。信息系統(tǒng)審計(jì)人員可以向被審計(jì)單位建議使用適當(dāng)?shù)男扪a(bǔ)程序或切換到更安全的瀏覽器，并且審計(jì)師可以追蹤所采用的控制措施。[單選題]11.下列哪項(xiàng)是自上而下的軟件測(cè)試方法的優(yōu)點(diǎn)?A)及早發(fā)現(xiàn)接口錯(cuò)誤。B)可以在所有程序完成之前便開始測(cè)試。C)比其他測(cè)試方法更有效。D)可以很快檢測(cè)到關(guān)鍵模塊中的錯(cuò)誤。答案:A解析:A.自上而下方法的優(yōu)點(diǎn)是可以及早測(cè)試主要的功能，從而較早地檢測(cè)到接口錯(cuò)誤B.在所有程序完成之前可以開始測(cè)試是自下而上的系統(tǒng)測(cè)試方法的一個(gè)優(yōu)點(diǎn)C.哪種測(cè)試方法最有效取決于所測(cè)試的環(huán)境。D.可以很快檢測(cè)到關(guān)鍵模塊中的錯(cuò)誤是自下而上的系統(tǒng)測(cè)試方法的一個(gè)優(yōu)點(diǎn)[單選題]12.審計(jì)軟件購(gòu)置流程的IS審計(jì)師需要確保:A)合同在簽署前經(jīng)過法律顧問的審查及批準(zhǔn)。B)現(xiàn)有系統(tǒng)無法滿足需求。C)有關(guān)要求對(duì)業(yè)務(wù)至關(guān)重要。D)用戶充分參與購(gòu)置流程。答案:A解析:A.審查和批準(zhǔn)合同的過程是軟件購(gòu)置流程中最重要的步驟之一。IS審計(jì)師應(yīng)檢查管理層簽署合同之前法律顧問是否已審查且批準(zhǔn)了該合同。B.即使現(xiàn)有系統(tǒng)能夠滿足要求，但管理層也可能由于其他原因而選擇購(gòu)置軟件。C.并不是合同中的所有要求都需要支持關(guān)鍵業(yè)務(wù)需求，有些要求可能因?yàn)橐子谑褂没蚱渌康亩嬖贒.用戶沒有必要參與軟件購(gòu)置流程。但用戶最有可能參與需求定義和用戶驗(yàn)收測(cè)試(UAT)[單選題]13.使用企業(yè)內(nèi)的終端或工作臺(tái)會(huì)增加非授權(quán)訪問的可能，當(dāng):A)連接點(diǎn)可以使筆記本電腦連接到網(wǎng)絡(luò)B)用戶謹(jǐn)慎地保密他們的密碼C)放在不安全地方的終端有密碼保護(hù)D)在管理員的監(jiān)控下，終端放置小群集環(huán)境中答案:A解析:任何一個(gè)有不正當(dāng)企圖的人都可以將筆記本電腦連接到網(wǎng)絡(luò)。如果個(gè)別人知道有效的用戶ID、號(hào)和密碼，不安全的連接點(diǎn)將使得未授權(quán)的訪問成為可能。其他的選項(xiàng)是防止未授權(quán)的網(wǎng)絡(luò)訪問的控制措施。如果系統(tǒng)口令不容易被入侵者得到并運(yùn)用，他們必然會(huì)猜測(cè)，這引入一個(gè)附加的因素，需要時(shí)間。系統(tǒng)口令為不安全地點(diǎn)終端被未授權(quán)使用提供了保護(hù)。當(dāng)被用于監(jiān)控對(duì)小型運(yùn)行單元和生產(chǎn)資源的訪問時(shí)，監(jiān)督是一個(gè)非常有效的控制手段。[單選題]14.以下哪一個(gè)是并行性測(cè)試的最主要目的？A)衡量系統(tǒng)是否成本效益B)使用全面的單元和系統(tǒng)測(cè)試C)在程序接口處發(fā)現(xiàn)錯(cuò)誤D)確保新系統(tǒng)滿足用戶需求答案:D解析:并行性的目的是確保新系統(tǒng)的實(shí)施能滿足用戶要求。并行測(cè)試可能顯示出老系統(tǒng)事實(shí)上比新系統(tǒng)好，但是這不是主要的理由。單元和系統(tǒng)測(cè)試之前完成。在系統(tǒng)測(cè)試期間測(cè)試帶有文件的程序接口的錯(cuò)誤。點(diǎn)評(píng)：并行測(cè)試是用老系統(tǒng)驗(yàn)證新系統(tǒng)[單選題]15.降低垃圾搜尋風(fēng)險(xiǎn)的最佳方式是:A)提供安全意識(shí)培訓(xùn)。B)在復(fù)印室放置碎紙箱C)制定介質(zhì)處置政策。D)在單獨(dú)的辦公室放置碎紙機(jī)。答案:A解析:A.垃圾搜尋用于竊取被不當(dāng)丟棄的文檔或計(jì)算機(jī)介質(zhì);應(yīng)讓用戶了解草率丟棄敏感文檔或其他物品的風(fēng)險(xiǎn)。B.如果用戶不了解適當(dāng)?shù)陌踩夹g(shù)，則可能無法正確地使用碎紙箱。C.制定介質(zhì)處置政策確實(shí)是一個(gè)好主意，但如果用戶不了解該政策，則政策可能會(huì)失效D.如果用戶不了解適當(dāng)?shù)陌踩夹g(shù)，則可能無法正確地使用碎紙機(jī)。[單選題]16.在發(fā)現(xiàn)一個(gè)第三方應(yīng)用程序與數(shù)個(gè)外部系統(tǒng)接口的安全漏洞后，補(bǔ)丁程序被應(yīng)用到大量的模塊中。審計(jì)師應(yīng)該建議下列哪一個(gè)測(cè)試？A)壓力測(cè)試B)黑盒測(cè)試C)接口測(cè)試D)系統(tǒng)測(cè)試答案:D解析:鑒于補(bǔ)丁和外部系統(tǒng)接口的廣泛性，系統(tǒng)測(cè)試是最適當(dāng)?shù)摹＝涌跍y(cè)試是不夠的，壓力或黑盒測(cè)試在安全環(huán)境中是不充分的。點(diǎn)評(píng)：幾種測(cè)試類型的概念[單選題]17.審計(jì)師的決策和做法最可能影響下面哪種風(fēng)險(xiǎn):A)固有風(fēng)險(xiǎn)B)檢測(cè)風(fēng)險(xiǎn)C)控制風(fēng)險(xiǎn)D)業(yè)務(wù)風(fēng)險(xiǎn)答案:B解析:檢查風(fēng)險(xiǎn)直接受審計(jì)師對(duì)審計(jì)過程和技術(shù)選擇的影響。固有風(fēng)險(xiǎn)通常不為審計(jì)師影響。控制風(fēng)險(xiǎn)是由公司管理活動(dòng)控制。業(yè)務(wù)風(fēng)險(xiǎn)不受審計(jì)師影響。[單選題]18.IS審計(jì)師發(fā)現(xiàn)業(yè)務(wù)用戶的密碼控制的配置設(shè)置得比T開發(fā)人員更嚴(yán)格。IS審計(jì)師最應(yīng)采取以下哪項(xiàng)行動(dòng)?A)確定是否違反政策并進(jìn)行記錄。B)記錄觀察到的異常情況。C)建議全部使用相同的密碼配置設(shè)置。D)建議定期審查IT開發(fā)人員訪問日志。答案:A解析:A.如果政策記錄了不同流程的目的和審批，那么IS審計(jì)師只需要記錄關(guān)于觀察和測(cè)試是否遵守流程的信息B.如果流程根據(jù)批準(zhǔn)的政策得到遵守，則這種情況不算異常。C.采用不同設(shè)置具有充分的理由作為支撐;因此，在研究公司政策和流程之前，審計(jì)師通常不會(huì)建議做出變更。D.盡管審查日志可能會(huì)是不錯(cuò)的補(bǔ)償性控制，但確定政策是否得到遵守卻是更為重要的行動(dòng)步驟。[單選題]19.下面哪一種情況可以稱為?災(zāi)難恢復(fù)計(jì)劃＂的最后手段？A)與恢復(fù)中心的一份合同B)恢復(fù)中心的一份能力演示C)對(duì)恢復(fù)中心的走訪D)一份保險(xiǎn)單答案:D解析:[單選題]20.對(duì)已經(jīng)開發(fā)好的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行控制變更是復(fù)雜的，因?yàn)椋篈)迭代性質(zhì)的原型。B)快速的需求和設(shè)計(jì)的改變。C)重點(diǎn)在于報(bào)表和屏幕輸出。D),缺乏集成工具。答案:A解析:變化的需求和設(shè)計(jì)發(fā)生這么快，他們很少記載或核準(zhǔn)。選擇A，C和D、的特征原型，但他們并沒有對(duì)變更控制的不良影響。[單選題]21.在大型企業(yè)中審計(jì)IT組合管理流程時(shí)，應(yīng)該首先采取以下哪一項(xiàng)行動(dòng)？A)驗(yàn)證IT項(xiàng)目組合是否保持更新B)確認(rèn)遵循了IT組合管理的行業(yè)最佳實(shí)踐C)計(jì)算組合的投資回報(bào)率（ROI）D)與IT項(xiàng)目經(jīng)理舉行瀏覽審查會(huì)議答案:A解析:[單選題]22.在IS審計(jì)過程中，IS審計(jì)師評(píng)估T部門內(nèi)部職責(zé)分工落實(shí)情況的最佳方法是什么?A)與經(jīng)理開展討論。B)審査IT職能部門的工作說明。C)搜索過去的IS審計(jì)報(bào)告。D)評(píng)估組織架構(gòu)。答案:A解析:A.與IT經(jīng)理討論職責(zé)分工的落實(shí)情況，是確定部門內(nèi)部如何分配職責(zé)的最佳辦法。B.工作說明也許并非最佳信息來源，原因在于它們可能過時(shí)或者工作說明中記錄的內(nèi)容與執(zhí)行情況不盡相同。C.過去的IS審計(jì)報(bào)告也許并非最佳信息來源，原因在于它們可能并未如實(shí)說明IT職責(zé)的分配情況。D.通過組織架構(gòu)評(píng)估發(fā)現(xiàn)的職責(zé)分配情況可能有限。職責(zé)可能隨著時(shí)間的推移而發(fā)生變化[單選題]23.開放式系統(tǒng)架構(gòu)的優(yōu)點(diǎn)是其:A)便于互操作B)便于集成專有組件C)是設(shè)備供應(yīng)商提供批量折扣的基礎(chǔ)D)考慮了設(shè)備將要實(shí)現(xiàn)更大的規(guī)模經(jīng)濟(jì)答案:A解析:A.在開放式系統(tǒng)的供應(yīng)商所提供的組件中，組件接口是由公共標(biāo)準(zhǔn)定義的，因此便于在不同供應(yīng)商制造的系統(tǒng)之間實(shí)現(xiàn)互操作性。B.封閉式系統(tǒng)組件是基于專有標(biāo)準(zhǔn)構(gòu)建的，因此，其他供應(yīng)商的系統(tǒng)無法或不會(huì)與現(xiàn)有系統(tǒng)進(jìn)行連接C.批量折扣是通過大宗購(gòu)買或主要供應(yīng)商取得，而不是通過開放式系統(tǒng)架構(gòu)取得。D.根據(jù)供應(yīng)商的情況，開放式系統(tǒng)的價(jià)格可能低于專有系統(tǒng)但開放式系統(tǒng)的主要好處是不同供應(yīng)商系統(tǒng)之間的互操作性。[單選題]24.一位IS審計(jì)師發(fā)現(xiàn)，IT經(jīng)理最近為削減成本而更換了負(fù)責(zé)對(duì)關(guān)鍵計(jì)算機(jī)系統(tǒng)執(zhí)行維護(hù)工作的供應(yīng)商，盡管新的供應(yīng)商要價(jià)便宜，但新的維護(hù)合同指定的事故解決時(shí)間與原始供應(yīng)商指定的時(shí)間有所不同，以下哪個(gè)選項(xiàng)最令I(lǐng)S審計(jì)師關(guān)注A)災(zāi)難恢復(fù)計(jì)劃（DRP）可能無效，需要進(jìn)行修訂B)交易業(yè)務(wù)數(shù)據(jù)可能會(huì)在發(fā)生系統(tǒng)故障時(shí)丟失C)新維護(hù)供應(yīng)商不熟悉組織的政策D)未通知應(yīng)用程序所有者這一變化答案:D解析:關(guān)鍵系統(tǒng)的維護(hù)工作發(fā)生的最大風(fēng)險(xiǎn)是，變化對(duì)關(guān)鍵業(yè)務(wù)流程可能會(huì)有負(fù)面影響。盡管選擇報(bào)價(jià)較低的維護(hù)供應(yīng)商有好處，但解決時(shí)間必須根據(jù)業(yè)務(wù)需求進(jìn)行調(diào)整。DRP必須支持業(yè)務(wù)需求，但更大的風(fēng)險(xiǎn)是，應(yīng)用程序所有者沒有意識(shí)到解決時(shí)間發(fā)生變化，交易業(yè)務(wù)數(shù)據(jù)丟失是由數(shù)據(jù)備份頻率也就是備份計(jì)劃決定的，維護(hù)解決時(shí)間不會(huì)造成數(shù)據(jù)丟失。這是一個(gè)問題但不是最大的風(fēng)險(xiǎn)。[單選題]25.信息系統(tǒng)不能滿足用戶需求的最常見的原因是：A)用戶需求頻繁變動(dòng)B)對(duì)用戶需求增長(zhǎng)的預(yù)測(cè)不準(zhǔn)確C)硬件系統(tǒng)限制了并發(fā)用戶的數(shù)目D)定義系統(tǒng)時(shí)用戶參與不夠答案:D解析:[單選題]26.以下哪點(diǎn)是設(shè)施完整性測(cè)試（ITF）的優(yōu)點(diǎn)A)使用了測(cè)試數(shù)據(jù)以至于信息系統(tǒng)審計(jì)師無需檢查交易來源B)定期測(cè)試無需分離測(cè)試流程C)測(cè)試了應(yīng)用系統(tǒng)的有效性以及正在運(yùn)行的數(shù)據(jù)D)需要?jiǎng)h除測(cè)試數(shù)據(jù)答案:A解析:設(shè)施完整性測(cè)試在測(cè)試過程中在數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)虛擬文件，用測(cè)試數(shù)據(jù)和實(shí)際產(chǎn)品數(shù)據(jù)同時(shí)處理事務(wù)。他的優(yōu)點(diǎn)是定期測(cè)試無需分離測(cè)試流程。缺點(diǎn)是需要詳細(xì)的測(cè)試計(jì)劃，測(cè)試數(shù)據(jù)必須和實(shí)際數(shù)據(jù)隔離。[單選題]27.審計(jì)師要在關(guān)鍵的服務(wù)器上分析審計(jì)日志，以檢查潛在的用戶或者系統(tǒng)的異常行為。為執(zhí)行這個(gè)任務(wù)，下面哪一個(gè)是最恰當(dāng)?shù)?？A)計(jì)算機(jī)輔助軟件工程（CASE）工具B)嵌入式數(shù)據(jù)收集工具C)趨勢(shì)/差異掃描工具D)啟發(fā)式掃描工具答案:C解析:趨勢(shì)/差異掃描工具是用于查找用戶或者系統(tǒng)的異常情況，比如發(fā)票號(hào)碼不斷增大的發(fā)票。CASE工具是用于協(xié)助軟件開發(fā)的。嵌入式數(shù)據(jù)收集軟件，比如SCARF(系統(tǒng)控制審計(jì)復(fù)核文件)或者SARF(系統(tǒng)審計(jì)復(fù)核文件)，用于提供抽樣和生產(chǎn)數(shù)據(jù)統(tǒng)計(jì)，但是并不用于審計(jì)日志的分析。啟發(fā)式掃描工具是一種病毒掃描技術(shù)，用于發(fā)現(xiàn)可能的被感染的代碼。點(diǎn)評(píng)：趨勢(shì)/差異掃描工具是用來發(fā)現(xiàn)?異常?的[單選題]28.一個(gè)小型組織有一個(gè)數(shù)據(jù)庫(kù)管理員（DBA）。DBA具有UNIX服務(wù)器的根訪問權(quán)限，它承載著數(shù)據(jù)庫(kù)應(yīng)用程序。在這種情況下應(yīng)如何強(qiáng)制執(zhí)行職責(zé)分離？A)雇傭第二個(gè)DBA在兩者之間實(shí)現(xiàn)職責(zé)分離；B)在所有UNIX服務(wù)器上刪除DBA的根訪問權(quán)限；C)確保DAB的所有活動(dòng)都被日志記錄并且所有的日志都備份在磁盤上；D)確保數(shù)據(jù)庫(kù)日志都轉(zhuǎn)發(fā)到一臺(tái)DBA不具有根權(quán)限的UNIX服務(wù)器上。答案:D解析:通過創(chuàng)建DBA不能清除或修改的日志，可以讓職責(zé)分離得到實(shí)施。選擇A可以解決這個(gè)問題，但增加聘任員工是一個(gè)確保職責(zé)分離的昂貴的方式。選項(xiàng)B不會(huì)是最好的答案，因?yàn)镈BA都需要數(shù)據(jù)庫(kù)服務(wù)器的根訪問權(quán)限，以便升級(jí)或安裝補(bǔ)丁。選項(xiàng)C是不正確的，因?yàn)楣芾韱T可以在磁盤備份之前修改或刪除記錄。[單選題]29.IS審計(jì)師在審計(jì)電子商務(wù)環(huán)境時(shí)，最重要的是要理解以下哪一項(xiàng)?A)電子商務(wù)環(huán)境的技術(shù)架構(gòu)B)構(gòu)成內(nèi)部控制環(huán)境的政策、程序和實(shí)務(wù)C)應(yīng)用系統(tǒng)所支持的業(yè)務(wù)流程的性質(zhì)和重要性D)系統(tǒng)可用性和可靠性控制措施的持續(xù)監(jiān)答案:C解析:A.理解電子商務(wù)環(huán)境的技術(shù)架構(gòu)很重要，但關(guān)鍵是要充分理解電子商務(wù)應(yīng)用系統(tǒng)所支持的業(yè)務(wù)流程的性質(zhì)和重要性。B.盡管構(gòu)成內(nèi)部控制環(huán)境的政策、程序和實(shí)務(wù)需要與電子商務(wù)環(huán)境相一致，但這并非IS審計(jì)師需要理解的最重要因素C.電子商務(wù)應(yīng)用系統(tǒng)促成業(yè)務(wù)交易的執(zhí)行。因此，務(wù)必理解電子商務(wù)應(yīng)用系統(tǒng)所支持的業(yè)務(wù)流程的性質(zhì)和重要性，以確定需要審查的具體控制措施。D.電子商務(wù)環(huán)境的可用性很重要，但這只是需要考慮的有關(guān)電子商務(wù)應(yīng)用系統(tǒng)所支持的業(yè)務(wù)流程的一個(gè)方面[單選題]30.以下一項(xiàng)是數(shù)據(jù)分類流程的最重要成果？A)數(shù)據(jù)的訪問控制矩陣B)全面的數(shù)據(jù)資產(chǎn)清單C)增強(qiáng)的數(shù)據(jù)訪問日志D)確定的保護(hù)級(jí)別答案:D解析:[單選題]31.若要在短時(shí)間內(nèi)實(shí)施新系統(tǒng)，最重要的是A)完成用戶手冊(cè)的編寫。B)執(zhí)行用戶驗(yàn)收測(cè)試C)將最新的功能強(qiáng)添加到功能中。D)確保代碼已存檔并已審核。答案:B解析:A.完成用戶手冊(cè)沒有充分測(cè)試系統(tǒng)重要。B.完成用戶驗(yàn)收測(cè)試以確保要實(shí)施的系統(tǒng)能夠正常工作，這一點(diǎn)是最為重要的。C.如果時(shí)間緊急，則最后要做的是添加其他增強(qiáng)功能，因?yàn)樾枰獌鼋Y(jié)代碼并完成測(cè)試之后再做其他變更以作為將來的增強(qiáng)功能。D.存檔和審核代碼是恰當(dāng)?shù)?，但僅在完成驗(yàn)收測(cè)試后才能保證系統(tǒng)能夠正確工作并滿足用戶要求[單選題]32.IS審計(jì)師應(yīng)使用以下哪種報(bào)告來檢查以確定遵守了服務(wù)等級(jí)協(xié)議(SLA)對(duì)正常運(yùn)行時(shí)間的要來?A)使用情況報(bào)告B)硬件錯(cuò)誤報(bào)告C)系統(tǒng)日志。D)可用性報(bào)告答案:D解析:A.使用情況報(bào)告將記錄計(jì)算機(jī)設(shè)備的使用情況，可以供管理層預(yù)測(cè)資源的需求情況B.硬件錯(cuò)誤報(bào)告提供的信息有助于檢測(cè)硬件故障和采取糾正措施。這些錯(cuò)誤報(bào)告不一定反映了實(shí)際的系統(tǒng)正常運(yùn)行時(shí)間。C.系統(tǒng)日志用于記錄系統(tǒng)的活動(dòng)。不一定反映可用性。D.可用性報(bào)告針對(duì)的是停機(jī)時(shí)間等IS無活動(dòng)情況。這些報(bào)告提供了計(jì)算機(jī)可供用戶或其他選程使用的時(shí)間段[單選題]33.下列網(wǎng)絡(luò)元件哪個(gè)主要安全措施建立了阻止在不同的網(wǎng)段間未經(jīng)授權(quán)的通信發(fā)生？A)防火墻B)路由器C)二層交換機(jī)D)虛擬局域網(wǎng)答案:A解析:防火墻系統(tǒng)是使一個(gè)組織能夠防止在網(wǎng)絡(luò)之間的未經(jīng)授權(quán)訪問的主要工具。一個(gè)組織可以選擇部署起防火墻作用的一個(gè)或更多系統(tǒng)。路由器可過濾包為基礎(chǔ)的參數(shù)，例如源地址，但不是一個(gè)主要安全工具?；诿浇榇嫒】刂?MAC)地址，二層交換機(jī)在一個(gè)端口將通信分割，作成不同的線端并且無法判定通信是否被授權(quán)或未被授權(quán)。一個(gè)虛擬局域網(wǎng)(VLAN)具有許多交換功能，允許他們?cè)诓煌丝谥g交換通信，好象他們?cè)谙嗤木钟蚓W(wǎng)內(nèi)。不過，他們不處理被授權(quán)的與未被授權(quán)的通信。[單選題]34.某審計(jì)部門考慮為某跨國(guó)零售企業(yè)實(shí)施持續(xù)審計(jì)技術(shù)，該企業(yè)對(duì)其關(guān)鍵系統(tǒng)的可用性要求很高。持續(xù)審計(jì)的主要優(yōu)勢(shì)是A)強(qiáng)制實(shí)施有效的預(yù)防性控制。B)系統(tǒng)完整性有保證C)可及時(shí)糾正錯(cuò)誤。D)能夠更快地探測(cè)到欺詐行為。答案:D解析:A.持續(xù)監(jiān)測(cè)本質(zhì)上是探測(cè)性的，因此不一定要協(xié)助S審計(jì)師監(jiān)測(cè)預(yù)防性控制。該方法將探測(cè)和監(jiān)視已經(jīng)出現(xiàn)的錯(cuò)誤。此外，持續(xù)監(jiān)測(cè)將減少對(duì)審計(jì)資源的使用并及時(shí)報(bào)告錯(cuò)誤和矛盾，從而有利于內(nèi)部審計(jì)職能。B.系統(tǒng)完整性通常與輸入控制和質(zhì)量保證審査之類的預(yù)防性控制有關(guān)。這些控制通常不能給實(shí)施持續(xù)監(jiān)測(cè)的內(nèi)部審計(jì)職能帶來好處。持續(xù)監(jiān)測(cè)之所以有利于內(nèi)部審計(jì)職能，是因?yàn)樗軠p少對(duì)審計(jì)資源的使用。C.持續(xù)審計(jì)會(huì)檢測(cè)出錯(cuò)誤，但不能糾正錯(cuò)誤。糾正錯(cuò)誤是組織的管理層而不是內(nèi)部審計(jì)職能部門的職能。持續(xù)監(jiān)測(cè)之所以有利于內(nèi)部審計(jì)職能，是因?yàn)樗軌驕p少對(duì)審計(jì)資源的使用，讓車計(jì)職能變得更加有效。D.持續(xù)審計(jì)技術(shù)通過持續(xù)收集證據(jù)幫助審計(jì)職能戒少對(duì)審計(jì)資源的使用。這種方法有助IS審計(jì)師及時(shí)識(shí)別欺詐行為，并允許審計(jì)師集中關(guān)注相關(guān)數(shù)據(jù)。[單選題]35.當(dāng)決定是否可使用第三方來解決疑似安全泄露事故時(shí)，以下哪一項(xiàng)應(yīng)是IT管理部門最重要的考慮事項(xiàng)？A)使用第三方的成本B)事故優(yōu)先等級(jí)C)審計(jì)的批準(zhǔn)D)數(shù)據(jù)的敏感性答案:D解析:[單選題]36.在審查基于e的軟件開發(fā)項(xiàng)目期間，某S審計(jì)師發(fā)現(xiàn)編碼標(biāo)準(zhǔn)未得到貫徹執(zhí)行而且代碼審查也很少執(zhí)行。此情況最有可能增加成功完成以下哪項(xiàng)攻擊的可能性:A)緩沖區(qū)出B)窮舉攻擊。C)分布式拒絕服務(wù)(DoS)攻擊。D)戰(zhàn)爭(zhēng)撥號(hào)攻擊答案:A解析:A.編寫不良的代碼通常會(huì)到使用緩沖區(qū)出技術(shù)的黑客利用，尤其在基于Web的應(yīng)用程序中更是如此。B.窮舉攻擊用于破解密碼，但這與編碼標(biāo)準(zhǔn)無關(guān)C.分布式拒絕服務(wù)(DDoS)攻擊會(huì)用大量數(shù)據(jù)包將目標(biāo)淹沒，以阻止其對(duì)合法請(qǐng)求作出響應(yīng)。這與編碼標(biāo)準(zhǔn)無關(guān)。D.戰(zhàn)爭(zhēng)撥號(hào)使用調(diào)制解調(diào)器掃描工具來破解專用交換機(jī)(PBX)或其他通訊服務(wù)。[單選題]37.下列哪一項(xiàng)是一個(gè)網(wǎng)絡(luò)診斷工具來監(jiān)測(cè)和記錄網(wǎng)絡(luò)信息？A)在線監(jiān)控B)停機(jī)報(bào)告C)服務(wù)臺(tái)報(bào)告D)協(xié)議分析儀答案:A解析:協(xié)議分析是網(wǎng)絡(luò)診斷工具，監(jiān)測(cè)和記錄網(wǎng)絡(luò)信息從包發(fā)送到鏈接附加的分析儀。在線監(jiān)測(cè)（選擇A）措施，電訊傳輸，并決定是否傳輸被準(zhǔn)確和完整。停機(jī)報(bào)告（選擇B）追蹤電訊線路及電路的可用性。幫助臺(tái)報(bào)告（選擇C）幫助臺(tái)準(zhǔn)備的，在信息系統(tǒng)運(yùn)行期間，由信息系統(tǒng)技術(shù)支持人員訓(xùn)練的人員來處理出現(xiàn)的問題。[單選題]38.在審查業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師注意到何種情況將宣布為危機(jī)還沒有做出定義。與此相關(guān)的重大風(fēng)險(xiǎn)是：A)對(duì)形勢(shì)的評(píng)估可能會(huì)推遲B)災(zāi)難恢復(fù)計(jì)劃的執(zhí)行將受到影響C)團(tuán)隊(duì)可能不會(huì)得到通知D)識(shí)別潛在的危機(jī)可能無效答案:B解析:災(zāi)難恢復(fù)計(jì)劃的執(zhí)行將受到影響，如果該組織不知道什么時(shí)候宣布危機(jī)。選項(xiàng)AC和D必須執(zhí)行才知道是否宣布危機(jī)的步驟。問題和嚴(yán)重程度的評(píng)估，提供信息，宣布必要的災(zāi)難。一旦潛在的危機(jī)是公認(rèn)的，負(fù)責(zé)危機(jī)管理團(tuán)隊(duì)需要通知。延緩這一步，直到災(zāi)難已經(jīng)宣布將否定影響小組的作用。潛在的危機(jī)識(shí)別是在應(yīng)對(duì)災(zāi)難的第一步。[單選題]39.IS審計(jì)師注意到，對(duì)核心財(cái)務(wù)系統(tǒng)的失敗登錄嘗試會(huì)被自動(dòng)記錄并由該組織保留一年。IS審計(jì)師對(duì)此得出的結(jié)論應(yīng)該是A)這是一種有效的預(yù)防性控制。B)這是一種有效的檢測(cè)性控制。C)這不是一種充分的控制。D)這是一種改正性控制。答案:C解析:A.生成活動(dòng)日志不是一種預(yù)防性控制，因?yàn)樗荒芊乐共划?dāng)?shù)脑L問。B.生成活動(dòng)日志不是一種檢測(cè)性控制，因?yàn)樗荒軒椭鷻z測(cè)不當(dāng)?shù)脑L問，除非經(jīng)過適當(dāng)人員審查。C.生成活動(dòng)日志本身并不是一種控制，對(duì)此類日志進(jìn)行審查使得該活動(dòng)成為一項(xiàng)控制(即生成日志加審查等于控制)。D.生成活動(dòng)日志不是一種改正性控制，因?yàn)樗荒芨恼划?dāng)訪問帶來的影響。[單選題]40.實(shí)施IT平衡記分卡（BSC），一個(gè)組織必須：A)提供有效和高效的服務(wù)B)定義關(guān)鍵績(jī)效指標(biāo)C)提供商業(yè)價(jià)值的IT項(xiàng)目D)控制IT開支答案:B解析:一個(gè)關(guān)鍵績(jī)效指標(biāo)的定義之前，需要實(shí)施一個(gè)IT平衡記分卡選項(xiàng)ACD是目標(biāo)。點(diǎn)評(píng)：BSC最終要落實(shí)到具體的KPI上[單選題]41.是否將一項(xiàng)重大發(fā)現(xiàn)寫入審計(jì)報(bào)告的最終決定，應(yīng)由誰作出:A)審計(jì)委員會(huì)。B)受審方的經(jīng)理。C)IS審計(jì)師。D)組織的首席執(zhí)行官(CEO)。答案:C解析:A.審計(jì)委員會(huì)不應(yīng)通過影響審計(jì)報(bào)告應(yīng)包括哪些內(nèi)容而傷害IS審計(jì)師的獨(dú)立性、專業(yè)性和客觀性。B.IS審計(jì)師的經(jīng)理可建議在審計(jì)報(bào)告中包括或不包括哪些內(nèi)容，但受審方的經(jīng)理不應(yīng)影響報(bào)告的內(nèi)容。C.應(yīng)由IS審計(jì)師最終決定審計(jì)報(bào)告中應(yīng)該包括或排除哪些內(nèi)容。D.組織的首席執(zhí)行官不應(yīng)影響審計(jì)報(bào)告的內(nèi)容，因?yàn)檫@會(huì)破壞審計(jì)部門的獨(dú)立性。[單選題]42.以下保護(hù)措施哪項(xiàng)最佳防范互聯(lián)網(wǎng)上計(jì)算機(jī)的黑客入侵。A)遠(yuǎn)程訪問服務(wù)B)代理服務(wù)C)個(gè)人防火墻D)生成口令令牌答案:C解析:個(gè)人防火墻是防止黑客入侵最好的方式，因?yàn)樗梢郧逦缍ㄓ脩舻念愋突蚴欠裨试S連線的規(guī)則。遠(yuǎn)程訪問服務(wù)從互聯(lián)網(wǎng)上能夠被映射或掃描，產(chǎn)生安全風(fēng)險(xiǎn)。代理服務(wù)能提供基于IP地址和端口的保護(hù)；不過，個(gè)人必須對(duì)此有深入的了解，應(yīng)用程序可以為不同的部門使用不同的端口。生成口令令牌可能有助于加密會(huì)議，但不保護(hù)計(jì)算機(jī)免受黑客入侵。[單選題]43.下列哪項(xiàng)在減少社會(huì)工程事故方面最有效果?A)安全意識(shí)培訓(xùn)B)增加物理安全措施C)電子郵件監(jiān)控政策D)入侵檢測(cè)系統(tǒng)答案:A解析:A.社會(huì)工程利用人性的弱點(diǎn)來獲取信息和訪問權(quán)限。通過增強(qiáng)員工的安全意識(shí)，可能會(huì)減少社會(huì)工程事故的數(shù)量B.在大多數(shù)情況下，社會(huì)工程事故并不需要入侵者親自出現(xiàn)。因此，增加物理安全措施無法防止入侵C.電子郵件監(jiān)控政策會(huì)告知用戶組織中的所有電子郵件都受到監(jiān)控;但這并不能保護(hù)用戶不受到潛在的安全事故和入侵的影響D.入侵檢測(cè)系統(tǒng)用于檢測(cè)不規(guī)范的或異常的流量模式。[單選題]44.在審查過去定期年度審查的結(jié)果時(shí)，信息系統(tǒng)審計(jì)師注意到發(fā)現(xiàn)結(jié)果可能未報(bào)告,也未保持獨(dú)立性，以下哪一項(xiàng)時(shí)審計(jì)師最佳行動(dòng)步驟:A)告知審計(jì)管理部門B)重新執(zhí)行過去的審計(jì)以確保獨(dú)立性C)重新評(píng)估內(nèi)部控制D)告知高級(jí)管理層答案:A解析:[單選題]45.測(cè)試程序的更改時(shí),以下哪項(xiàng)是最適合作為總體來抽取樣本?A)測(cè)試庫(kù)清單B)原程序列表C)程序更改需求D)生產(chǎn)用鏈接庫(kù)清單答案:D解析:[單選題]46.下列哪一種傳送媒介對(duì)于防止未經(jīng)授權(quán)的訪問最為安全？A)銅線B)雙絞線C)光纜D)同軸電纜答案:C解析:光纖電纜已被證明是比其他媒介更安全的。衛(wèi)星傳輸和銅線可以受到廉價(jià)設(shè)備的侵犯。同軸電纜更容易比其他傳輸介質(zhì)受到侵犯。[單選題]47.在評(píng)審信息系統(tǒng)戰(zhàn)略時(shí)，信息系統(tǒng)審計(jì)師能最好的評(píng)估信息系統(tǒng)策略是否支持組織的業(yè)務(wù)目標(biāo)通過決定IS是否：A)擁有所有的人員和設(shè)備的需求B)計(jì)劃與經(jīng)營(yíng)戰(zhàn)略相一致C)是他的設(shè)備和人員的效率有效D)有充足的能力，以應(yīng)對(duì)不斷變化的方向答案:B解析:確定IS計(jì)劃與管理策略有關(guān)的IS/IT規(guī)劃以業(yè)務(wù)計(jì)劃是否一致，選項(xiàng)ACD是對(duì)于確定IS計(jì)劃與業(yè)務(wù)目標(biāo)和成本組織戰(zhàn)略計(jì)劃相一致的有效方法。點(diǎn)評(píng)：業(yè)務(wù)戰(zhàn)略決定IT戰(zhàn)略[單選題]48.數(shù)據(jù)機(jī)密性是公司新WEB服務(wù)的一項(xiàng)要求,以下哪一項(xiàng)將提供最好的保護(hù)?A)遠(yuǎn)程登錄telnetB)傳輸層安全TLSC)安全文件傳輸協(xié)議SFTPD)安全套接字層SSL答案:B解析:[單選題]49.當(dāng)進(jìn)行業(yè)務(wù)持續(xù)審計(jì)時(shí)，下面哪一項(xiàng)IS審計(jì)師認(rèn)為是最重要的?A)熱站是可以承包的，并且在需要的時(shí)候可用B)業(yè)務(wù)持續(xù)手冊(cè)可以使用并是最新的C)保險(xiǎn)范圍足夠并且保險(xiǎn)費(fèi)可以接受D)定期進(jìn)行介質(zhì)備份并存儲(chǔ)到異地站點(diǎn)答案:D解析:如果沒有數(shù)據(jù)備份，其他任何恢復(fù)努力都是徒勞的。即使沒有恢復(fù)計(jì)劃，如果沒有數(shù)據(jù)作支持，任何類型的恢復(fù)都是不切實(shí)際的。[單選題]50.完成業(yè)務(wù)影響性分析（BIA）后，應(yīng)該處理下面的哪個(gè)步驟：A)測(cè)試和維護(hù)計(jì)劃B)制定準(zhǔn)備計(jì)劃C)制定恢復(fù)策略D)落實(shí)計(jì)劃答案:C解析:制定連續(xù)性計(jì)劃的下一步是識(shí)別不同的恢復(fù)策略，并選擇最恰當(dāng)?shù)臑?zāi)難恢復(fù)戰(zhàn)略，選定后需要開發(fā)。測(cè)試以及部署特定的BCP計(jì)劃。[單選題]51.用戶對(duì)應(yīng)用系統(tǒng)驗(yàn)收測(cè)試之后，IS審計(jì)師實(shí)施檢查，他（或她）應(yīng)該關(guān)注的重點(diǎn)A)確認(rèn)測(cè)試目標(biāo)是否成文B)評(píng)估用戶是否記載了預(yù)期的測(cè)試結(jié)果C)檢查測(cè)試問題日志是否完整D)確認(rèn)還有沒有尚未解決的問題答案:D解析:[單選題]52.當(dāng)發(fā)送網(wǎng)上銀行交易數(shù)據(jù)至數(shù)據(jù)庫(kù)導(dǎo)致處理程序突然中斷。以下哪項(xiàng)可以最好的確保交易的完整性？A)數(shù)據(jù)庫(kù)完整性檢查。B)驗(yàn)證檢查。C)輸入控制。D)數(shù)據(jù)庫(kù)提交和回滾。答案:D解析:數(shù)據(jù)提交確保數(shù)據(jù)在交易處理進(jìn)行或完成時(shí)保存到磁盤中?；貪L技術(shù)確保在交易處理失敗的情況下，已經(jīng)完成的處理逆向返回且已處理的數(shù)據(jù)不保存到磁盤。當(dāng)處理正在進(jìn)行時(shí)其他選項(xiàng)都無法確保數(shù)據(jù)的完整性。點(diǎn)評(píng)：事務(wù)的回滾[單選題]53.在評(píng)估一個(gè)組織的信息系統(tǒng)策略時(shí)，信息系統(tǒng)審計(jì)師認(rèn)為下列哪項(xiàng)是最重要的？A)已被一線經(jīng)理批準(zhǔn)B)不會(huì)因信息系統(tǒng)部門的初步預(yù)算而改變C)符合采購(gòu)程序D)支持該組織的業(yè)務(wù)目標(biāo)答案:D解析:戰(zhàn)略規(guī)劃設(shè)置企業(yè)或部門目標(biāo)為行動(dòng)。長(zhǎng)期和短期的戰(zhàn)略規(guī)劃應(yīng)當(dāng)與組織更廣泛的計(jì)劃和可實(shí)現(xiàn)的商業(yè)目標(biāo)相一致。選項(xiàng)A是不正確的，因?yàn)榍熬€管理者已經(jīng)編制了計(jì)劃。點(diǎn)評(píng)：在制定策略時(shí)，業(yè)務(wù)是決定性的要素[單選題]54.在進(jìn)行邏輯訪問控制審查時(shí)，某IS審計(jì)師發(fā)現(xiàn)用戶帳戶是共享的。此種情況帶來的最大風(fēng)險(xiǎn)是：A)未經(jīng)授權(quán)的用戶使用此ID來獲取訪問權(quán)B)用戶訪問管理非常費(fèi)時(shí)。C)密碼很容易被猜出。D)無法建立用戶問責(zé)制度。答案:D解析:當(dāng)單一用戶ID被多個(gè)個(gè)體使用時(shí)，無法判斷是誰通過這個(gè)ID訪問了系統(tǒng)。因此也幾乎不可能向任何人追究責(zé)任。所有用戶ID（不僅僅是共享ID）都有可能被未經(jīng)授權(quán)的人員使用。對(duì)共享ID的訪問管理不會(huì)有任何不同，而且共享ID的密碼也不一定很容易被猜出。[單選題]55.在計(jì)劃審計(jì)的時(shí)候應(yīng)該進(jìn)行一次風(fēng)險(xiǎn)評(píng)估以提供:A)合理的保證審計(jì)將涵蓋實(shí)質(zhì)性項(xiàng)目B)絕對(duì)的保證實(shí)質(zhì)性項(xiàng)目在審計(jì)工作過程中會(huì)被涵蓋C)合理的保證所有的項(xiàng)目都會(huì)被涵蓋在審計(jì)中D)足夠的保證所有項(xiàng)目在這次審計(jì)工作中都會(huì)被涵蓋答案:A解析:ISA、C、A、IS審計(jì)指引第15條關(guān)于計(jì)劃IS審計(jì)的聲明中:?做風(fēng)險(xiǎn)評(píng)估以提供合理的保證，實(shí)質(zhì)性項(xiàng)目能在審計(jì)工作過程中被足夠的涵蓋。?絕對(duì)保證在審計(jì)工作過程中實(shí)質(zhì)性項(xiàng)目被覆蓋是不切實(shí)際的觀點(diǎn)。合理保證所有項(xiàng)目在審計(jì)工作過程中被覆蓋不是正確的答案，因?yàn)槭菍?shí)質(zhì)性項(xiàng)目需要被覆蓋，而不是全部。[單選題]56.在對(duì)一家小型企業(yè)進(jìn)行審計(jì)時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)一些開發(fā)人員有權(quán)限將變更遷移到生產(chǎn)環(huán)境中。審計(jì)師接下來應(yīng)該采取以下哪一項(xiàng)行動(dòng)？A)建議立即移除開發(fā)人員對(duì)生產(chǎn)環(huán)境的訪問權(quán)限B)審查職責(zé)分離相關(guān)的變更日志C)檢驗(yàn)是否存在補(bǔ)償控制措施D)審查信息安全政策答案:C解析:[單選題]57.磁帶管理系統(tǒng)中的一項(xiàng)控制特征是其具備以下哪種能力？A)限制接觸生產(chǎn)庫(kù)。B)禁止非授權(quán)的數(shù)據(jù)察看。C)使作業(yè)無法繞過標(biāo)簽處理。D)控制接觸有特別權(quán)力的工具程序。答案:B解析:遺漏標(biāo)簽處理會(huì)使磁帶很容易未經(jīng)授權(quán)訪問。[單選題]58.圖中2C、區(qū)域，由3個(gè)集線器相互連接，意味存在何種潛在風(fēng)險(xiǎn)？A)病毒攻擊B)性能降級(jí)C)不良的管理控制D)受外部黑客攻擊的脆弱性答案:B解析:集線器是通常沒有直接外在連通性的內(nèi)部設(shè)備，因而不是易受的黑客。也沒有特定的對(duì)集線器攻擊的已知病毒，而這種情況也許表明管理控制不善。選項(xiàng)B、是最接近的，堆疊似的集線器，將產(chǎn)生更多終端連接被使用。[單選題]59.在針對(duì)外包T處理的可行性研究過程中，下列哪一項(xiàng)關(guān)系到IS審計(jì)師對(duì)供應(yīng)商的業(yè)務(wù)持續(xù)計(jì)劃(BCP)進(jìn)行的審查:A)評(píng)估供應(yīng)商可在突發(fā)情況下提供的服務(wù)級(jí)別是否充分B)評(píng)估服務(wù)單位的財(cái)務(wù)穩(wěn)定性及其履行合同的能力。C)審査供應(yīng)商員工的經(jīng)驗(yàn)。D)測(cè)試BCP。答案:A解析:A.在成功的外包環(huán)境中，一個(gè)關(guān)鍵因素是供應(yīng)商面對(duì)突發(fā)情況和繼續(xù)支持組織處理要求的能力。B.財(cái)務(wù)穩(wěn)定性與供應(yīng)商的業(yè)務(wù)持續(xù)計(jì)劃(BCP)無關(guān)。C.供應(yīng)商員工的經(jīng)驗(yàn)與其BCP無關(guān)。D.在可行性研究期間審查供應(yīng)商的BCP不是測(cè)試供應(yīng)商的BCP的方法。[單選題]60.信息系統(tǒng)審計(jì)師通過互聯(lián)網(wǎng)進(jìn)行滲透測(cè)試時(shí)應(yīng)：A)評(píng)價(jià)配置B)檢查安全設(shè)置C)確保病毒掃描軟件在工作D)使用黑客工具和技術(shù)答案:A解析:滲透測(cè)試是一種模仿一個(gè)有經(jīng)驗(yàn)的黑客使用有效的工具和技術(shù)攻擊一個(gè)活動(dòng)網(wǎng)站所使用的技術(shù)。別的選項(xiàng)信息系統(tǒng)審計(jì)師在互聯(lián)網(wǎng)連接審計(jì)時(shí)應(yīng)考慮的保證規(guī)程，但不是滲透測(cè)試技術(shù)的特征。[單選題]61.下面哪一項(xiàng)是使用電子數(shù)據(jù)交換的優(yōu)勢(shì)?A)同一文件可以在不同地點(diǎn)進(jìn)行輸入B)與供應(yīng)商之間的合同簡(jiǎn)化了C)信息的轉(zhuǎn)錄減少了D)數(shù)據(jù)的有效性驗(yàn)證由服務(wù)供應(yīng)商提供答案:C解析:[單選題]62.當(dāng)審計(jì)一個(gè)非常重要的業(yè)務(wù)領(lǐng)域的災(zāi)難恢復(fù)計(jì)劃時(shí)，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)其沒有包含所有的系統(tǒng)。對(duì)這個(gè)審計(jì)員來說，下面哪個(gè)行動(dòng)時(shí)最合適的？A)通知管理層，并評(píng)估其沒有包含系統(tǒng)的影響度B)取消審計(jì)C)完成現(xiàn)存DRP涉及的系統(tǒng)審計(jì)D)推遲審計(jì)，直至所有系統(tǒng)都被包含到復(fù)原計(jì)劃中答案:A解析:信息系統(tǒng)審計(jì)師應(yīng)該讓管理層知道災(zāi)難恢復(fù)計(jì)劃中漏掉了哪些系統(tǒng)。信息系統(tǒng)審計(jì)師應(yīng)該繼續(xù)審計(jì)且需要評(píng)估沒有包含系統(tǒng)的影響度。其他選項(xiàng)都是不恰當(dāng)?shù)男袨?。[單選題]63.當(dāng)檢查硬件維護(hù)程序時(shí)，IS審計(jì)師應(yīng)該評(píng)估是否A)所有未計(jì)劃的維護(hù)都按照時(shí)間表維護(hù)了B)和歷史趨勢(shì)相一致C)已經(jīng)被信息系統(tǒng)委員會(huì)同意D)程序與供應(yīng)商說明書一致答案:D解析:雖然基于復(fù)雜性和負(fù)載性能的不同維護(hù)要求也有所不同，硬件維護(hù)程序計(jì)劃應(yīng)該與供應(yīng)商的說明書一致。由于業(yè)務(wù)原因，組織可能選擇比供應(yīng)商提供的程序更有效的維護(hù)方案。維護(hù)程序包括歷史維護(hù)情況、維護(hù)計(jì)劃、計(jì)劃外維護(hù)、已執(zhí)行的維護(hù)或者例外。計(jì)劃外的維護(hù)無法安排。硬件維護(hù)程序沒有必要和歷史趨勢(shì)相一致，維護(hù)程序通常不需要信息系統(tǒng)委員會(huì)同意。[單選題]64.一個(gè)組織使用新系統(tǒng)取代一個(gè)遺留系統(tǒng)時(shí)，下面哪項(xiàng)做法具有最大風(fēng)險(xiǎn)？A)實(shí)驗(yàn)性的B)并行測(cè)試C)快速切換D)分階段切換答案:C解析:快速切換意味著立即切換到新系統(tǒng)，當(dāng)系統(tǒng)萬一有問題，常常無法恢復(fù)。其他選項(xiàng)都是逐步替換，具有更好的恢復(fù)性，因而風(fēng)險(xiǎn)小。并行測(cè)試：指同時(shí)向修改的系統(tǒng)和另一個(gè)系統(tǒng)（如原系統(tǒng)）輸入測(cè)試數(shù)據(jù)，比較兩個(gè)系統(tǒng)的測(cè)試結(jié)果。點(diǎn)評(píng)：3種上線轉(zhuǎn)換的方式[單選題]65.IS審計(jì)師正在檢查一系列完成的項(xiàng)目，發(fā)現(xiàn)完成的功能超過了需求，并且絕大多數(shù)項(xiàng)目顯著超過預(yù)算。該組織的項(xiàng)目管理流程的哪個(gè)方面最有可能造成這個(gè)問題的原因？A)項(xiàng)目范圍管理B)項(xiàng)目時(shí)間管理C)項(xiàng)目風(fēng)險(xiǎn)管理D)項(xiàng)目采購(gòu)管理答案:A解析:由于完成的功能大于需求功能，最可能的預(yù)算超支問題的原因是沒有有效的管理項(xiàng)目范圍。項(xiàng)目范圍管理被定義為確保項(xiàng)目包含為完成項(xiàng)目所需的工作并且只有需要的工作所需的流程。選項(xiàng)B是不正確的，因?yàn)轫?xiàng)目時(shí)間管理被定義為確保項(xiàng)目按時(shí)完成所需要的流程，上面出現(xiàn)的問題沒有提到項(xiàng)目是否按時(shí)完成，因此這不是最可能的原因。選項(xiàng)C是不正確的，因?yàn)轫?xiàng)目風(fēng)險(xiǎn)管理被定義為與識(shí)別、分析和對(duì)項(xiàng)目風(fēng)險(xiǎn)的反應(yīng)相關(guān)的過程。盡管上面提到的預(yù)算超支代表了項(xiàng)目風(fēng)險(xiǎn)的一種形式，他們似乎是由完成太多功能造成的，這與項(xiàng)目范圍直接相關(guān)，選項(xiàng)D是不正確的，因?yàn)轫?xiàng)目采購(gòu)管理被定義為被審計(jì)的組織外部獲得的商品和服務(wù)所需的過程。盡管采購(gòu)過于昂貴的商品和服務(wù)造成預(yù)算超支，在當(dāng)前情況下造成該問題最主要的原因是完成的功能遠(yuǎn)大于需求，這更有可能與項(xiàng)目范圍有關(guān)。點(diǎn)評(píng)：范圍管理的概念[單選題]66.某個(gè)具有遍布于廣大地域的多個(gè)辦事處的組織制定了一個(gè)災(zāi)難恢復(fù)計(jì)劃。使用實(shí)際資源時(shí)，以下哪項(xiàng)是最具有成本效益的災(zāi)難恢復(fù)計(jì)劃測(cè)試?A)全面運(yùn)行測(cè)試。B)準(zhǔn)備情況測(cè)試C)紙上測(cè)試D)回歸測(cè)試答案:B解析:A.全面運(yùn)行測(cè)試在紙上測(cè)試和準(zhǔn)備情況測(cè)試之后進(jìn)行，而且成本十分高昂。B準(zhǔn)備情況測(cè)試由各當(dāng)?shù)剞k事處/區(qū)域執(zhí)行，目的是測(cè)試當(dāng)?shù)剡\(yùn)營(yíng)機(jī)構(gòu)是否為災(zāi)難恢復(fù)做好了充分準(zhǔn)備。C.紙上測(cè)試是一種結(jié)構(gòu)化的災(zāi)難恢復(fù)計(jì)劃穿行測(cè)試，在準(zhǔn)備情況測(cè)試之前進(jìn)行，但紙上測(cè)試不足以測(cè)試計(jì)劃的可行性。D.回歸測(cè)試用于軟件開發(fā)和維護(hù)，不是災(zāi)難恢復(fù)計(jì)劃測(cè)試。[單選題]67.下列哪一個(gè)網(wǎng)絡(luò)診斷工具能監(jiān)聽和記錄網(wǎng)絡(luò)信息？A)在線監(jiān)視器B)停機(jī)時(shí)間報(bào)告C)服務(wù)臺(tái)報(bào)告D)協(xié)議分析儀答案:D解析:協(xié)議分析儀是網(wǎng)絡(luò)診斷工具用來監(jiān)聽和記錄通過分析儀的包的網(wǎng)絡(luò)信息。在線監(jiān)視器（A選項(xiàng)）記錄通訊傳輸和確定是否傳輸是正確的和完整的。停機(jī)時(shí)間報(bào)告（選項(xiàng)B）跟蹤通訊線路和電路的可用性。服務(wù)臺(tái)報(bào)告（選項(xiàng)C）被服務(wù)臺(tái)準(zhǔn)備，被信息技術(shù)人員通過幫助個(gè)人培訓(xùn)去處理發(fā)生的問題。[單選題]68.某用戶在從軟盤復(fù)制文件夾時(shí)將病毒引入網(wǎng)絡(luò)。下列哪一項(xiàng)可以最有效的檢測(cè)（監(jiān)測(cè)？）到病毒？A)在使用前掃描所有軟盤B)在網(wǎng)絡(luò)文件服務(wù)器上安裝病毒監(jiān)測(cè)程序C)安排每日掃描所有網(wǎng)絡(luò)驅(qū)動(dòng)器D)在用戶的個(gè)人計(jì)算機(jī)上安裝病毒監(jiān)測(cè)程序答案:D解析:?監(jiān)測(cè)?一詞的含義是防病毒程序主動(dòng)查找病毒。將文件從?軟?盤倒入計(jì)算機(jī)系統(tǒng)時(shí)，目前的大多數(shù)防病毒系統(tǒng)都會(huì)執(zhí)行實(shí)時(shí)監(jiān)測(cè)。?發(fā)現(xiàn)?病毒最有效的方法就是在用戶計(jì)算機(jī)上執(zhí)行實(shí)時(shí)的防病毒監(jiān)測(cè)。這可以在病毒被傳送到系統(tǒng)、網(wǎng)絡(luò)之前檢測(cè)到病毒。大多數(shù)防病毒系統(tǒng)都會(huì)提示用戶是要繼續(xù)傳送還是消除病毒。因此，?監(jiān)測(cè)?功能與答案中隱含的?預(yù)防?控制是相互分離的。另外，當(dāng)信息從軟盤傳送到本地PC時(shí)，同多數(shù)情況一樣，安排每日掃描?網(wǎng)絡(luò)?驅(qū)動(dòng)器將不會(huì)檢測(cè)到病毒，因?yàn)閭€(gè)人驅(qū)動(dòng)器（選項(xiàng)C）不會(huì)備份到網(wǎng)絡(luò)驅(qū)動(dòng)器。[單選題]69.信息系統(tǒng)審計(jì)師正在審查對(duì)應(yīng)用的訪問控制，以確定10個(gè)最新的用戶賬號(hào)是否被適當(dāng)?shù)氖跈?quán)。這是一個(gè)屬于以下哪個(gè)方面的例子？A)變量抽樣B)實(shí)質(zhì)性測(cè)試C)符合性測(cè)試D)停走抽樣答案:C解析:符合性測(cè)試是用來判斷在政策程序的符合性上，控制是否被有效的執(zhí)行。這包括判斷新賬戶是否被適當(dāng)授權(quán)的測(cè)試。變量抽樣被用于估計(jì)量化的值（如美元金額）。實(shí)質(zhì)性測(cè)試用于證實(shí)實(shí)際處理流程的完整性（如財(cái)務(wù)、資產(chǎn)平衡表）。實(shí)質(zhì)性測(cè)試的開展總是基于符合性測(cè)試的結(jié)果。如果符合性測(cè)試標(biāo)明內(nèi)部控制措施是足夠的，那么可以相應(yīng)減少實(shí)質(zhì)性測(cè)試。停走抽樣可以最可能早的停止抽樣測(cè)試，所以在檢查程序控制是否被完全遵循方面是不合適的。點(diǎn)評(píng)：授權(quán)-控制有效性-符合性測(cè)試-屬性抽樣[單選題]70.管理層為業(yè)務(wù)持續(xù)性計(jì)劃考慮兩個(gè)方案:計(jì)劃A、用2個(gè)月時(shí)間恢復(fù)，計(jì)劃B、用8個(gè)月時(shí)間恢復(fù)。兩個(gè)計(jì)劃里的恢復(fù)目標(biāo)是相同的。可以預(yù)料計(jì)劃B、會(huì)帶來更高的:A)宕機(jī)成本B)接續(xù)成本C)恢復(fù)成本D)排查成本答案:A解析:鑒于計(jì)劃B、的恢復(fù)時(shí)間較長(zhǎng)，恢復(fù)的成本可以進(jìn)一步降低。排查成本不是災(zāi)難恢復(fù)的一部分。由于選項(xiàng)B、的處理方式考慮到了更高的恢復(fù)窗口，B、計(jì)劃中宕機(jī)成本也很可能會(huì)比較高。[單選題]71.許多組織要求雇員強(qiáng)制性休假一周或者更多，目的是:A)確保雇員保持好的生活質(zhì)量，從而提供更高的生產(chǎn)力B)減少雇員做不恰當(dāng)或不合法事情的機(jī)會(huì)C)為另一名雇員提供適當(dāng)?shù)臋M向培訓(xùn)D)消除因?yàn)楣蛦T一次休假一天所導(dǎo)致的潛在破壞答案:A解析:對(duì)于處于敏感職位的雇員來說，被要求持續(xù)一周或更多地休假通常是強(qiáng)制性的，這不同于普通雇員履行工作職責(zé)，因?yàn)檫@減少了干不適當(dāng)和非法事情的機(jī)會(huì)。在這段時(shí)間，可能發(fā)現(xiàn)正在發(fā)生的任何欺詐行為。選項(xiàng)A、C、和D、應(yīng)該都是組織從強(qiáng)制休假政策獲得的好處，而不是制定政策的原因。[單選題]72.下列哪一個(gè)是信息系統(tǒng)審計(jì)師應(yīng)該參考來制定最佳執(zhí)行路線和組織戰(zhàn)略優(yōu)先次序的IT項(xiàng)目組合？A)為衡量業(yè)績(jī)定義平衡記分卡（BSC）B)考慮有關(guān)鍵性性能指標(biāo)（KPI）的用戶滿意度C)按商業(yè)利益和風(fēng)險(xiǎn)選擇項(xiàng)目D)應(yīng)該定義項(xiàng)目組合的年度進(jìn)程答案:C解析:給他們帶來預(yù)期收入的基礎(chǔ)效益業(yè)務(wù)，以及相關(guān)風(fēng)險(xiǎn)的優(yōu)先次序，是項(xiàng)目組合實(shí)現(xiàn)組織戰(zhàn)略的最好措施。修改的項(xiàng)目組合的定義過程可能會(huì)逐年提高，但只有在組合定義的過程中，目前的定義不依賴于對(duì)企業(yè)戰(zhàn)略的意義，但因?yàn)槔щy是在如何維持一致，并不設(shè)置它的最初。BSC和KPI的措施是有益的，但是他們并不保證這些項(xiàng)目與業(yè)務(wù)戰(zhàn)略保持一致。點(diǎn)評(píng)：項(xiàng)目組合管理是優(yōu)化IT投資的手段，應(yīng)符合業(yè)務(wù)戰(zhàn)略[單選題]73.信息系統(tǒng)審計(jì)師檢查操作系統(tǒng)的配置來驗(yàn)證控制,應(yīng)查看下列哪個(gè)：A)交易日志B)授權(quán)表C)參數(shù)設(shè)置D)路由表答案:C解析:參數(shù)是軟件在不同環(huán)境中的定制標(biāo)準(zhǔn)，其重要性在于它決定系統(tǒng)如何運(yùn)行。故參數(shù)設(shè)置要恰當(dāng)，不恰當(dāng)?shù)貓?zhí)行和/或監(jiān)視操作系統(tǒng)將導(dǎo)致未遇料的錯(cuò)誤，處理的數(shù)據(jù)混亂，以及出現(xiàn)非授權(quán)的訪問、系統(tǒng)的使用日志不準(zhǔn)確。交易日志用來分析交易員和/或交易文件。授權(quán)表是用來驗(yàn)證邏輯訪問控制，對(duì)審查操作系統(tǒng)的控制幫助不大。路由表不包括操作系統(tǒng)的信息,因此不能為評(píng)估控制提供任何信息。[單選題]74.如果小型組織允許應(yīng)用程序程序員將程序移入其生產(chǎn)環(huán)境，可以執(zhí)行以下哪項(xiàng)控制A)獨(dú)立的實(shí)施后測(cè)試B)獨(dú)立的訪問控制審查C)獨(dú)立的用戶要求審查D)獨(dú)立的用戶接受審查答案:B解析:獨(dú)立的訪問控制審查更可能檢測(cè)到職責(zé)分離沖突情況。審計(jì)師應(yīng)考慮應(yīng)用程序訪問問題。例如，如果程序員將應(yīng)用程序移到生產(chǎn)環(huán)境中，程序員不應(yīng)具有將交易記錄到總賬中的權(quán)限。獨(dú)立的實(shí)施后測(cè)試在這種情況下無效，因?yàn)樵跈z測(cè)不出未記錄功能的情況下，系統(tǒng)仍然可能被最終端用戶所接受。獨(dú)立的用戶要求審查也沒有效果，因?yàn)橄到y(tǒng)可能滿足了用戶的要求。但仍然包括未記錄的功能。獨(dú)立的用戶接受審查也無效，因?yàn)橄到y(tǒng)可以會(huì)被最終端用戶接受，而仍然不會(huì)檢測(cè)到未記錄的功能。點(diǎn)評(píng)：職責(zé)不能分離的補(bǔ)償控制是授權(quán)和審計(jì)[單選題]75.開發(fā)一個(gè)風(fēng)險(xiǎn)管理程序時(shí)進(jìn)行的第一項(xiàng)活動(dòng)是：A)威脅評(píng)估B)資料分類C)資產(chǎn)盤點(diǎn)D)并行模擬答案:C解析:[單選題]76.測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃的主要目標(biāo)是A)使員工熟悉業(yè)務(wù)連續(xù)性計(jì)劃B)確保解決所有剩余風(fēng)險(xiǎn)。C)練習(xí)所有可能的災(zāi)難場(chǎng)景D)識(shí)別業(yè)務(wù)連續(xù)性計(jì)劃的限制。答案:D解析:A.使員工熟悉業(yè)務(wù)連續(xù)性計(jì)劃是測(cè)試的次要好處。B.在計(jì)劃連續(xù)性計(jì)劃中解決所有的剩余風(fēng)險(xiǎn)成本太高。C.對(duì)所有可能的災(zāi)難場(chǎng)景進(jìn)行測(cè)試是不切實(shí)際的。D.測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃為可能存在的任何限制提供了最佳證據(jù)。[單選題]77.一家咨詢公司建立了一個(gè)用于接收財(cái)務(wù)數(shù)據(jù)的FTP站點(diǎn)，并通告一封獨(dú)立的電子郵件消息將站點(diǎn)地址、用戶ID和密碼通知給了金融服務(wù)公司。公司要求在手動(dòng)加密數(shù)據(jù)后將其傳送到FTP站點(diǎn)。對(duì)此種操作流程，IS審計(jì)師最關(guān)注的是A)數(shù)據(jù)傳輸時(shí)，F(xiàn)TP名稱和憑證以明文形式傳送B)站點(diǎn)憑證通過電子郵件發(fā)送到金融服務(wù)公司C)咨詢公司的工作人員可以訪問敏感數(shù)據(jù)D)使用共享用戶ID訪問FTP站點(diǎn)無法實(shí)現(xiàn)用戶問責(zé)答案:A解析:以明文形式傳送的憑證也被容易被通過數(shù)據(jù)包嗅探器或其他方式攻擊，一旦站點(diǎn)憑證泄漏，未經(jīng)授權(quán)的外部人即可下載公司的敏感信息，即使數(shù)據(jù)經(jīng)過加密也有可能出現(xiàn)問題，因?yàn)閿?shù)據(jù)加密過程是手動(dòng)執(zhí)行的，用戶可能會(huì)忘記在傳輸前對(duì)敏感數(shù)據(jù)進(jìn)行加密，此外，一旦數(shù)據(jù)被未經(jīng)授權(quán)的外部人得到,他可能有時(shí)間從容破譯。盡管通過電子郵件傳送憑證不是最佳選擇，但可以將站點(diǎn)地址、用戶ID和密碼通過單獨(dú)的郵件發(fā)送，三封郵件都被截獲的幾率很低。使用FTP的整體風(fēng)險(xiǎn)大于通過電子郵件發(fā)送密碼被破獲的風(fēng)險(xiǎn)，咨詢公司的工作人員需要根據(jù)公司的請(qǐng)求來訪問這些數(shù)據(jù)，因此這并不是風(fēng)險(xiǎn)所在。相比敏感信息的泄露，追蹤問責(zé)情況則很少考慮。[單選題]78.對(duì)于IS審計(jì)師而言，要確定安全意識(shí)和培訓(xùn)計(jì)劃的效果，以下哪種方法最適合?A)審査安全培訓(xùn)項(xiàng)目。B)詢問安全管理員。C)與一部分受過培訓(xùn)的員工面談D)審查對(duì)員工的安全提醒。答案:C解析:A.安全培訓(xùn)項(xiàng)目可能是經(jīng)過精心設(shè)計(jì)的，但項(xiàng)目的實(shí)施結(jié)果取決于員工意識(shí)。B.詢問安全管理員并不能體現(xiàn)安全意識(shí)和培訓(xùn)計(jì)劃的效果，因?yàn)榇祟愑?jì)劃的目標(biāo)對(duì)象不僅僅是管理員。C.與一部分受過培訓(xùn)的員工面談是確定安全意識(shí)和培訓(xùn)計(jì)劃效果的最佳方法，因?yàn)楸仨毚_定全局意識(shí)，并且安全性是否有效取決于個(gè)人。審查安全培訓(xùn)項(xiàng)目不是確定意識(shí)培訓(xùn)效果的最終指標(biāo)。D.審查對(duì)員工的安全提醒也不是了解培訓(xùn)意識(shí)效果的最佳方法，因?yàn)榘l(fā)送提醒可能對(duì)實(shí)際意識(shí)不起什么作用[單選題]79.在審計(jì)一個(gè)已獲得的軟件包時(shí)，信息系統(tǒng)審計(jì)員已經(jīng)知道這個(gè)軟件購(gòu)買是以互聯(lián)網(wǎng)上獲得的信息為基礎(chǔ)的，而不是從RFP得到的反饋。此時(shí)，IS審計(jì)員首先應(yīng)該:A)檢測(cè)軟件與當(dāng)前硬件的兼容性B)執(zhí)行漏洞分析C)審計(jì)版權(quán)政策D)確保流程已經(jīng)被批準(zhǔn)答案:A解析:在背離預(yù)定過程情況下，審計(jì)師首先應(yīng)該確定程序的獲取與其商業(yè)目標(biāo)一致，并經(jīng)主管當(dāng)局核準(zhǔn)。其它的選項(xiàng)不是審計(jì)師的首要活動(dòng)。[單選題]80.為了最好地實(shí)現(xiàn)IT項(xiàng)目組合與戰(zhàn)略性的組織優(yōu)先級(jí)的一致性，IS審計(jì)師應(yīng)建議下列哪個(gè)選項(xiàng)A)為測(cè)量績(jī)效定義一個(gè)平衡記分卡(BSC)B)考慮關(guān)鍵績(jī)效指標(biāo)(KPI)中的用戶滿意度C)根據(jù)業(yè)務(wù)效益和風(fēng)險(xiǎn)選擇項(xiàng)目。D)修改用于定義項(xiàng)目組合的年度流程答案:C解析:A.平衡記分卡(BSC)之類的措施很有用但這些措施不能保證項(xiàng)目與業(yè)務(wù)戰(zhàn)略一致B.關(guān)鍵績(jī)效指標(biāo)(KP有助于監(jiān)控和測(cè)量IT績(jī)效，但不能保證項(xiàng)目與業(yè)務(wù)戰(zhàn)略一致C.根據(jù)項(xiàng)目對(duì)企業(yè)的預(yù)期效益和相關(guān)風(fēng)險(xiǎn)來確定項(xiàng)目的優(yōu)先順序，是使項(xiàng)目組合與組織的戰(zhàn)略性優(yōu)先級(jí)保持一致的最佳措施。D.修改用于定義項(xiàng)目組合的年度流程會(huì)改善情況，但只有在組合定義流程與組織戰(zhàn)略密切相關(guān)時(shí)才如此。[單選題]81.在準(zhǔn)備支持電子數(shù)據(jù)倉(cāng)庫(kù)解決方案的業(yè)務(wù)案例時(shí)，以下哪一項(xiàng)在協(xié)助管理層進(jìn)行決策的流程中最重要?A)討論單一解決方案。B)考慮安全控制。C)證明可行性D)咨詢審計(jì)部門答案:C解析:A.業(yè)務(wù)案例應(yīng)當(dāng)討論某個(gè)特定問題的所有可能的解決方案，這樣才能讓管理層選擇最佳方案。其中包括不實(shí)施項(xiàng)目的選項(xiàng)。B.如果安全性對(duì)解決方案非常重要并解決問題，在業(yè)務(wù)案例中包含安全考慮因素也許很重要，但無論哪種問題，可行性都更加重要并且是必須的。C.業(yè)務(wù)案例應(yīng)當(dāng)證明對(duì)任何潛在項(xiàng)目的可行性。管理層可通過在業(yè)務(wù)案例中包含的可行性分析以及成本效益分析作出明智的D.盡管準(zhǔn)備業(yè)務(wù)案例的人員可咨詢組織的審計(jì)部門，但這需視情而定，并且不必納入業(yè)務(wù)案例之中。[單選題]82.假設(shè)網(wǎng)路中的一個(gè)設(shè)備發(fā)生故障，那么在下哪一種局域網(wǎng)結(jié)構(gòu)更容易面臨全面癱瘓？A)星型B)匯流排C)環(huán)型D)全連接答案:A解析:[單選題]83.下列哪一個(gè)控制在確保和保持系統(tǒng)的連續(xù)可用性方面最有效？A)對(duì)系統(tǒng)變更的適當(dāng)授權(quán)B)基于按需授權(quán)的用戶訪問原則C)適當(dāng)?shù)挠涗涀兏麯)實(shí)時(shí)監(jiān)控答案:A解析:對(duì)所有變更進(jìn)行授權(quán)，能有效防止可能影響系統(tǒng)的有效性的變更。授權(quán)通常以成功的測(cè)試為前提，并且在投入生產(chǎn)環(huán)境之前要接受最終用戶的驗(yàn)收合格。用戶訪問要建立在最小授權(quán)原則的基礎(chǔ)之上是最好的預(yù)防性控制，但是無法防止未經(jīng)授權(quán)的應(yīng)用系統(tǒng)的變更而影響系統(tǒng)的可用性。適當(dāng)?shù)挠涗涀兏刂瞥绦蚴潜煌扑]的，但并不能防止可用性。監(jiān)測(cè)是檢測(cè)性控制，并不能影響可用性。[單選題]84.通過以下哪種方式，虛擬專用網(wǎng)絡(luò)(vpn)提供了數(shù)據(jù)保密性：A)安全套接字層（SSL）B)隧道傳輸C)數(shù)字簽名D)網(wǎng)絡(luò)釣魚答案:B解析:VPN通過封裝式通信（成為隧道傳輸?shù)倪^程）保證數(shù)據(jù)在傳出中的安全。SSL是服務(wù)器和瀏覽器間一種對(duì)稱的加密方法。數(shù)字簽名簿在VPN過程中使用，而網(wǎng)絡(luò)釣魚是一種社會(huì)工程攻擊。[單選題]85.軟件的盜版是一個(gè)嚴(yán)重的問題。在下面哪一種說法中反盜版的政策和實(shí)際行為是矛盾的？A)員工的教育和培訓(xùn)B)遠(yuǎn)距離工作（Telecommuting）與禁止員工攜帶工作軟件回家C)自動(dòng)日志和審計(jì)軟件D)政策的發(fā)布與政策的強(qiáng)制執(zhí)行答案:B解析:[單選題]86.交易處理程序需要進(jìn)行大量數(shù)據(jù)捕捉並把結(jié)果輸出到紙質(zhì)單據(jù)和電子單據(jù)。為了確保處理過程中沒有丟失交易記錄，信息系統(tǒng)審計(jì)師應(yīng)建議在該交易處理程序中引入以下那種控制？A)確認(rèn)控制B)內(nèi)部可信性檢查C)文件控制程序D)自動(dòng)系統(tǒng)平衡性檢查答案:A解析:自動(dòng)系統(tǒng)平衡性檢查是保證沒有交易丟失的最好方法，因?yàn)槿魏屋斎牒嫌?jì)與輸出合計(jì)的不平衡都會(huì)被報(bào)告，并得到調(diào)查和更正。確認(rèn)控制和內(nèi)部有效性檢查是有效的控制，但不能發(fā)現(xiàn)交易丟失。另外，雖然文件控制程序可以用來合計(jì)和比較輸入、輸出，但全部自動(dòng)化的處理過程可能對(duì)差錯(cuò)并不敏感。[單選題]87.采用自底向上的方法來制訂部門政策的優(yōu)點(diǎn)是這一政策：A)是依據(jù)組織整體來制訂的B)更可能是基于風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)之上C)將不會(huì)和整體公司政策相沖突D)確保組織內(nèi)部的一致性答案:B解析:自底向上的方法定義了操作層面的需求和政策,風(fēng)險(xiǎn)評(píng)估的結(jié)果將被提交執(zhí)行。企業(yè)層面政策發(fā)展基于存在的操作層面的政策。選擇A，C和D是開發(fā)組織政策由上而下的方式。這種方式確保政策將不與公司全部政策發(fā)生沖突，確保整個(gè)組織的一致性。[單選題]88.IT督導(dǎo)委員會(huì)應(yīng)該:A)成員包括來自不同部門的各級(jí)員工。B)確保信息安全政策和程序已正確執(zhí)行。C)維護(hù)委員會(huì)的會(huì)議記錄，并及時(shí)向董事會(huì)匯報(bào)。D)由供應(yīng)商在每次會(huì)議上對(duì)新趨勢(shì)和產(chǎn)品做簡(jiǎn)短介紹。答案:C解析:A.根據(jù)其戰(zhàn)略使命，此委員會(huì)只可由高級(jí)管理層或高級(jí)職員組成B.確保信息安全政策和程序的正確執(zhí)行不是IT督導(dǎo)委員會(huì)的責(zé)任，是IT管理人員和安全管理員的責(zé)任C.應(yīng)保存詳細(xì)的IT督導(dǎo)委員會(huì)會(huì)議記錄，以記錄其決策及活動(dòng)，并且應(yīng)及時(shí)向董事會(huì)報(bào)告這些決策。D.只有在適當(dāng)?shù)臅r(shí)候才可邀請(qǐng)供應(yīng)商參加會(huì)議[單選題]89.在入侵檢測(cè)系統(tǒng)（IDS）的運(yùn)行中，最常見的問題是？A)誤報(bào)檢測(cè)B)接收陷阱消息C)誤拒絕率D)拒絕服務(wù)攻擊答案:A解析:由于IDS技術(shù)的配置和運(yùn)行方式，運(yùn)行IDS的主要問題是對(duì)那些實(shí)際上不是安全事故的事件的識(shí)別（檢測(cè)）-即誤報(bào)，相當(dāng)于錯(cuò)誤警報(bào)。IS審計(jì)師需要注意這一點(diǎn)，并應(yīng)檢查相關(guān)控制（如IDS調(diào)整）的實(shí)施情況和事故處理流程（如篩選過程），以查明事件到底是安全事故還是誤報(bào)。陷阱消息在發(fā)生重要事件時(shí)由簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP)代理生成，但它與安全或IDS之間并無特殊聯(lián)系。誤拒絕率與生物識(shí)別技術(shù)有關(guān)，與IDS無關(guān)。拒絕服務(wù)是一種攻擊類型，不是IDS運(yùn)行的問題。[單選題]90.企業(yè)當(dāng)前正在替換其會(huì)計(jì)系統(tǒng)，以下哪一項(xiàng)策略能最有效地將升級(jí)中丟失數(shù)據(jù)完整性的風(fēng)險(xiǎn)降至最低?A)試點(diǎn)實(shí)施B)還原應(yīng)急處理C)平行實(shí)施D)功能集成測(cè)試答案:B解析:[單選題]91.執(zhí)行電訊訪問控制審查的IS審計(jì)師應(yīng)主要關(guān)注:A)對(duì)各種系統(tǒng)資源使用情況訪問日志的維護(hù)。B)在授予對(duì)系統(tǒng)資源的訪問權(quán)限之前對(duì)用戶的授權(quán)和身份認(rèn)證。C)通過加密或其他