試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷27)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.以下哪種系統(tǒng)或工具可以辨識(shí)信用卡被盜用？A)入侵檢測(cè)系統(tǒng)B)數(shù)據(jù)挖掘技術(shù)C)防火墻D)包過(guò)濾路由器答案:B解析:數(shù)據(jù)挖掘技術(shù)用于發(fā)現(xiàn)數(shù)據(jù)的趨勢(shì)或模式。如果信用卡用戶費(fèi)用發(fā)生改變，那么標(biāo)志交易有可能是由于信用卡被盜用。點(diǎn)評(píng)：有點(diǎn)腦筋急轉(zhuǎn)彎的感覺(jué)了[單選題]2.以下哪一項(xiàng)可以確保發(fā)送者的真實(shí)性和電子郵件的機(jī)密性？A)使用發(fā)送者的私鑰加密消息哈希，然后使用接受者的公鑰加密消息哈希B)發(fā)送者對(duì)消息進(jìn)行數(shù)字簽名，然后使用發(fā)送者的私鑰加密消息哈希C)使用發(fā)送者的私鑰加密消息哈希，然后使用接收者的公鑰加密消息D)使用發(fā)送者的私鑰加密消息，然后使用接收者的公鑰加密消息哈希答案:C解析:要確保消息的真實(shí)性和機(jī)密性，必須將其加密兩次：首先使用發(fā)送者的私鑰，然后使用接收者的公鑰。接收者可以對(duì)該消息進(jìn)行解密，以此確保消息的機(jī)密性。然后，解密的消息可以再用發(fā)送者的公鑰解密，以此確保消息的真實(shí)性。如果使用發(fā)送者的私鑰加密信息，任何人都能將其解密。[單選題]3.為組織政策開(kāi)展的自上而下的方法有助于確保？A)它們?cè)谡麄€(gè)組織中保持一致B)它們作為風(fēng)險(xiǎn)評(píng)估的一部分被實(shí)施C)遵守所有政策D)它們會(huì)被定期審查答案:A解析:由組織的政策推導(dǎo)出較低層次的政策（自上而下方法）有助于確保整個(gè)組織內(nèi)部以及與其他政策的一致性。自下而上業(yè)務(wù)政策發(fā)展方法可以得出風(fēng)險(xiǎn)評(píng)估的結(jié)果。自上而下的方法，對(duì)其本身并不能保證遵守而這個(gè)開(kāi)展也不確保政策被審查。點(diǎn)評(píng)：自下而上更貼切，自上而下更宏觀[單選題]4.私鑰體系的安全級(jí)別依賴(lài)于什么的數(shù)目？A)密鑰位B)發(fā)送的信息C)密鑰D)使用的信道答案:A解析:私鑰體系的安全級(jí)別依賴(lài)于密鑰的位數(shù)、位數(shù)越大,越難以破解或者說(shuō)運(yùn)算法則越復(fù)雜、信息安全依靠的是密鑰位數(shù)的使用、比密鑰本身更重要的是運(yùn)算規(guī)則,它的復(fù)雜性保證了信道的安全，保證了無(wú)顧慮或放心地發(fā)送信息．[單選題]5.在審查風(fēng)險(xiǎn)管理程序中，下列哪一項(xiàng)職貴最有可能對(duì)IS審計(jì)師的獨(dú)立性造成危害?A)參與風(fēng)險(xiǎn)管理框架的設(shè)計(jì)B)為不同的實(shí)施方法提供建議C)協(xié)助風(fēng)險(xiǎn)意識(shí)培訓(xùn)D)對(duì)風(fēng)險(xiǎn)管理流程執(zhí)行盡職審查答案:A解析:A參與風(fēng)險(xiǎn)管理框架的設(shè)計(jì)將涉及到設(shè)計(jì)控制，這會(huì)對(duì)審計(jì)風(fēng)險(xiǎn)管理流程的IS審計(jì)師的獨(dú)立性造成危害B.為不同的實(shí)施方法提供建議不會(huì)危害審計(jì)師的獨(dú)立性，因?yàn)镮S審計(jì)師不參與決策過(guò)程。C.協(xié)助風(fēng)險(xiǎn)意識(shí)培訓(xùn)不會(huì)妨礙IS審計(jì)師的獨(dú)立性，因?yàn)閷徲?jì)師不參與決策過(guò)程。D.盡職審查是通常與并購(gòu)相關(guān)的一種審計(jì)。[單選題]6.一位IS審計(jì)師在為某全球性組織執(zhí)行IS審計(jì)時(shí)發(fā)現(xiàn)，該組織將經(jīng)由互聯(lián)網(wǎng)的IP（VoIP）語(yǔ)音作為各辦事處之間語(yǔ)音連接的唯一手段。以下哪項(xiàng)是該組織VoIP基礎(chǔ)實(shí)施中存在的最大風(fēng)險(xiǎn)？A)網(wǎng)絡(luò)設(shè)備故障B)分布式拒絕服務(wù)（DDos）攻擊C)優(yōu)惠率欺騙（資費(fèi)欺騙）D)社會(huì)工程攻擊答案:B解析:網(wǎng)絡(luò)設(shè)備故障不會(huì)給VoIP的使用帶來(lái)任何特有風(fēng)險(xiǎn)，因此選項(xiàng)A不正確。DDoS攻擊有可能中斷該組織辦事處之間的通信，并帶來(lái)最大的影響。資費(fèi)欺騙是指有人破壞電話系統(tǒng)并進(jìn)行未經(jīng)授權(quán)的長(zhǎng)途呼叫。雖然資費(fèi)欺騙會(huì)花費(fèi)企業(yè)資金，但服務(wù)中斷是更嚴(yán)重的風(fēng)險(xiǎn)。社會(huì)工程通過(guò)收集敏感信息來(lái)發(fā)起攻擊，可以作用于任何類(lèi)型的電話通信。[單選題]7.審計(jì)電子資金轉(zhuǎn)賬(EFT)系統(tǒng)時(shí)，IS審計(jì)師最應(yīng)該關(guān)注以下哪種用戶配置文件?A)能夠獲取并驗(yàn)證他們自己信息的3個(gè)用戶B)能夠獲取并發(fā)送他們自己信息的5個(gè)用戶C)能夠驗(yàn)證其他用戶并發(fā)送他們自己信息的5個(gè)用戶D)能夠獲取并驗(yàn)證其他用戶的信息，并發(fā)送他們自己信息的3個(gè)用戶答案:A解析:A.單個(gè)用戶能夠同時(shí)獲取并驗(yàn)證信息表明職責(zé)分離不充分，這是因?yàn)樾畔?huì)被認(rèn)為是正確的并已經(jīng)通過(guò)驗(yàn)證。不應(yīng)允許發(fā)送信息的人驗(yàn)證信息。B.用戶可以發(fā)送信息，但不應(yīng)驗(yàn)證其自己的信息。C.這是職責(zé)分離的示例。一個(gè)人可發(fā)送自己的信息，但只能驗(yàn)證其他用戶的信息D.能夠獲取并驗(yàn)證其他用戶的信息，并只能發(fā)送他們自己的信息是可以接受的。[單選題]8.應(yīng)該首先審閱：A)IT基礎(chǔ)架構(gòu)B)企業(yè)的管理政策、標(biāo)準(zhǔn)和流程C)法律和法規(guī)的要求D)企業(yè)的管理政策、標(biāo)準(zhǔn)和流程是否得到有效的執(zhí)行答案:A解析:為了確保企業(yè)沒(méi)有違反保密協(xié)定，信息系統(tǒng)審計(jì)師首先應(yīng)識(shí)別法律和法規(guī)的要求。為符合法律和法規(guī)要求，組織需要建立合適的基礎(chǔ)架構(gòu)。在理解了法律和法規(guī)要求后，信息審計(jì)師需評(píng)估組織的政策、標(biāo)準(zhǔn)和流程是否充分識(shí)別了保密需求，然后審核特定的政策、標(biāo)準(zhǔn)和流程是否符合要求。[單選題]9.服務(wù)水平管理(SLM)的主要目標(biāo)是A)定義、商定、記錄并管理所需的服務(wù)級(jí)別。B)確保對(duì)服務(wù)進(jìn)行管理，以便實(shí)現(xiàn)可達(dá)到的最高可用水平。C)盡量降低與任何服務(wù)相關(guān)的成本。D)監(jiān)測(cè)并將任何違法行為報(bào)告給業(yè)務(wù)管理人員。答案:A解析:A服務(wù)水平管理(SLM)的目標(biāo)是按照客戶對(duì)服務(wù)的要求，針對(duì)服務(wù)進(jìn)行商議、記錄和管理(即提供服務(wù)和監(jiān)測(cè)服務(wù))B.SLM并不一定可以確保交付的服務(wù)能夠?qū)崿F(xiàn)可達(dá)到的最高可用水平(例如，冗余和群集).雖然有必要盡量增大某些關(guān)鍵服務(wù)的可用性，但這并不能作為一般經(jīng)驗(yàn)法則來(lái)應(yīng)用。C.SLM無(wú)法確保將所有服務(wù)的成本保持在較低或最低水平，因?yàn)榕c服務(wù)相關(guān)的成本會(huì)直接反映出客戶的需求。D.監(jiān)測(cè)和報(bào)告違法行為不屬于SLM的一部分。[單選題]10.以下哪項(xiàng)提供了設(shè)計(jì)和開(kāi)發(fā)邏輯訪問(wèn)控制的框架？A)信息系統(tǒng)安全政策B)訪問(wèn)控制列表C)密碼管理D)系統(tǒng)配置文件答案:A解析:有組織高級(jí)管理人員制定并批準(zhǔn)的信息系統(tǒng)安全政策是設(shè)計(jì)和開(kāi)發(fā)邏輯訪問(wèn)控制的基礎(chǔ)。訪問(wèn)控制列表、密碼管理和系統(tǒng)配置文件是用于實(shí)施訪問(wèn)控制的工具。點(diǎn)評(píng):策略為具體控制措施指明方向和目標(biāo)，是總體的控制框架[單選題]11.在審計(jì)師執(zhí)行一個(gè)審計(jì)時(shí)，下面哪一個(gè)被視為一個(gè)預(yù)防性控制？A)交易日志記錄B)事前和事后鏡像報(bào)告C)表格查詢(xún)（tablelookups）D)跟蹤和標(biāo)簽答案:C解析:表格查詢(xún)是預(yù)防性控制，數(shù)據(jù)被檢查以符合預(yù)先定義的表，可以預(yù)防任何未定義的數(shù)據(jù)被輸入。交易日志是一個(gè)檢測(cè)性控制，可以提供審計(jì)跟蹤。使用事前和事后圖像報(bào)告，可以去跟蹤計(jì)算機(jī)交易對(duì)記錄的影響，這是檢測(cè)性控制。跟蹤和標(biāo)簽被用于測(cè)試應(yīng)用系統(tǒng)和控制，但是它本身不是預(yù)防性控制。點(diǎn)評(píng)：輸入數(shù)據(jù)編輯檢查機(jī)制的概念[單選題]12.決定服務(wù)中斷事件（安全事件）等級(jí)主要標(biāo)準(zhǔn)：A)恢復(fù)成本B)社會(huì)負(fù)面影響C)地理位置D)停工時(shí)間答案:A解析:長(zhǎng)時(shí)間不能恢復(fù)服務(wù)是更為嚴(yán)重的事件，恢復(fù)成本與之相比影響要小得多。社會(huì)負(fù)面影響是中斷事件的表現(xiàn)，地理位置不是決定中斷事件的等級(jí)的因素。[單選題]13.以下哪項(xiàng)是業(yè)務(wù)持續(xù)計(jì)劃(BCP)流程的首要目標(biāo)?A)向利益相關(guān)者提供在發(fā)生災(zāi)難時(shí)業(yè)務(wù)繼續(xù)運(yùn)營(yíng)的保證B)為IT服務(wù)設(shè)立備用站點(diǎn)，以滿足預(yù)先定義的恢復(fù)時(shí)間目標(biāo)(RTO)C)管理風(fēng)險(xiǎn)，并能夠從對(duì)運(yùn)營(yíng)造成負(fù)面影響的事件中恢復(fù)D)在發(fā)生自然災(zāi)害時(shí)滿足監(jiān)管合規(guī)性要求答案:C解析:A.業(yè)務(wù)連續(xù)性計(jì)劃(BCP)本身不能保證運(yùn)營(yíng)不會(huì)中斷，但可以幫助組織對(duì)關(guān)鍵業(yè)務(wù)流程中斷進(jìn)行響應(yīng)。B.設(shè)立備用站點(diǎn)與災(zāi)難恢復(fù)的關(guān)系比與BCP的關(guān)系更密切。C.BCP流程主要側(cè)重于在發(fā)生影響運(yùn)營(yíng)的事件后，在恢復(fù)運(yùn)營(yíng)期間管理和緩解風(fēng)險(xiǎn)。D.監(jiān)管合規(guī)性要求可以幫助確定恢復(fù)時(shí)間目標(biāo)(RTO)要求[單選題]14.將數(shù)字簽名應(yīng)用到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)可提供：A)機(jī)密性和完整性B)安全性和不可否認(rèn)性C)完整性和不可否認(rèn)性D)機(jī)密性和不可否認(rèn)性答案:C解析:將數(shù)學(xué)算法應(yīng)用到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)并將此操作的結(jié)果和哈希數(shù)據(jù)放在一起的過(guò)程用于控制數(shù)據(jù)的完整性，因?yàn)閷?duì)數(shù)據(jù)的任何未授權(quán)修改都會(huì)產(chǎn)生不同的哈希值。應(yīng)用數(shù)字簽名可實(shí)現(xiàn)消息傳送的不可否認(rèn)性。安全性這一術(shù)語(yǔ)是一個(gè)廣義概念，而不是特定概念。除了哈希和數(shù)字簽名之外，存在加密過(guò)程時(shí)，機(jī)密性也適用。[單選題]15.一個(gè)制造公司希望自動(dòng)化它的發(fā)票付款系統(tǒng)。目標(biāo)明確為這個(gè)系統(tǒng)應(yīng)該需要相當(dāng)少的時(shí)間來(lái)評(píng)價(jià)、授權(quán)，而且系統(tǒng)應(yīng)該有能力識(shí)別那些需要跟蹤的錯(cuò)誤。下列哪個(gè)是最符合這些目標(biāo)？A)與供應(yīng)商建立一個(gè)內(nèi)部聯(lián)網(wǎng)的C、S系統(tǒng)以提升效率B)外包該功能給一家專(zhuān)門(mén)從事自動(dòng)付款和會(huì)計(jì)收支處理的公司C)與主供應(yīng)商建立一個(gè)電子商務(wù)文檔和交易的ED、I系統(tǒng)，計(jì)算機(jī)與計(jì)算機(jī)之間采用用標(biāo)準(zhǔn)格式直連D)重造現(xiàn)有流程并重新設(shè)計(jì)現(xiàn)有系統(tǒng)答案:A解析:ED、I是最佳答案。如果恰當(dāng)執(zhí)行的話（例如:與交易伙伴的交易標(biāo)準(zhǔn)保持一致，對(duì)相關(guān)應(yīng)用控制的網(wǎng)絡(luò)安全機(jī)制加以控制），在給予較少的檢查和授權(quán)機(jī)會(huì)的情況下，ED、I最后的適應(yīng)了鑒別和錯(cuò)誤的快速反應(yīng)機(jī)制。[單選題]16.為使業(yè)務(wù)和IT之間形成戰(zhàn)略一致性，下面哪一個(gè)是最好的促成因素？A)成熟度模型B)目標(biāo)和指標(biāo)C)控制目標(biāo)D)RACI（執(zhí)行人、責(zé)任人、咨詢(xún)?nèi)撕捅煌ㄖ耍┍砀翊鸢?B解析:目標(biāo)和指標(biāo)能確保IT目標(biāo)是基于業(yè)務(wù)目標(biāo)的，并且是戰(zhàn)略一致性最好的促成因素。成熟度模型能評(píng)估當(dāng)前的過(guò)程能力并能用于過(guò)程改進(jìn)，但他們不能直接的用于戰(zhàn)略一致性。根據(jù)業(yè)務(wù)需求，控制目標(biāo)能促進(jìn)相關(guān)流程的控制實(shí)現(xiàn)。RACI表格是用于給職業(yè)分配責(zé)任的，并不用于保證戰(zhàn)略一致性。點(diǎn)評(píng)：績(jī)效測(cè)量（BSC）相當(dāng)于IT與業(yè)務(wù)的SLA[單選題]17.下面哪一項(xiàng)審計(jì)技術(shù)可以為證明IS部門(mén)的職責(zé)分離提供最好的依據(jù)？A)和管理層討論B)審核組織結(jié)構(gòu)圖C)觀察與訪談D)測(cè)試用戶訪問(wèn)權(quán)限答案:A解析:通過(guò)觀察信息系統(tǒng)人員履行他們的任務(wù)，一個(gè)信息系統(tǒng)審計(jì)員可以識(shí)別他們是否履行任何不相容的業(yè)務(wù)，并通過(guò)訪談該信息技術(shù)人員，審計(jì)員可以得到他們執(zhí)行的任務(wù)的概況。在觀察和訪談基礎(chǔ)上，審計(jì)人員可以評(píng)估的職責(zé)分工情況。管理員可能不知道每名雇員在信息技術(shù)部的詳細(xì)的職責(zé);因此，就職責(zé)分離問(wèn)題與管理者討論將只可能提供有限的職責(zé)分離的信息。組織結(jié)構(gòu)圖將不會(huì)提供詳細(xì)的雇員的職責(zé)。測(cè)試用戶的權(quán)限，將提供有關(guān)他們?cè)趦?nèi)部系統(tǒng)的權(quán)限信息，但不會(huì)提供完整有關(guān)他們履行職責(zé)的信息。[單選題]18.以下哪種控制措施能最有效地保證源代碼和目標(biāo)代碼的一致性？A)每次程序分布後對(duì)源代碼和目標(biāo)代碼的比較分析報(bào)告B)通過(guò)程序庫(kù)管理軟件來(lái)限制源代碼的修改C)限制訪問(wèn)源代碼和目標(biāo)代碼的權(quán)限D(zhuǎn))審核源代碼和目標(biāo)代碼的日期和時(shí)間戳答案:A解析:對(duì)源代碼和目標(biāo)代碼的時(shí)間戳進(jìn)行審核，可以確定被編譯的源代碼和生產(chǎn)的目標(biāo)代碼相匹配。這是最有效的方法，以確保該被批準(zhǔn)的生產(chǎn)源代碼是被編譯，并且該代碼正是一個(gè)正在使用中的代碼。[單選題]19.將實(shí)質(zhì)性發(fā)現(xiàn)包括在審計(jì)報(bào)告里是最終決定應(yīng)該由誰(shuí)來(lái)做？A)審計(jì)委員會(huì)B)被審計(jì)單位的經(jīng)理C)IS審計(jì)師D)組織的CEO答案:C解析:IS審計(jì)師應(yīng)該做出關(guān)于在審計(jì)報(bào)告里包括和不包括什么的最終決定。其它選項(xiàng)都會(huì)限制審計(jì)員的審計(jì)獨(dú)立性。點(diǎn)評(píng)：審計(jì)團(tuán)隊(duì)的負(fù)責(zé)人[單選題]20.要在海外安裝一個(gè)新的數(shù)據(jù)庫(kù)，以便向公眾區(qū)提供信息并且提高獲取信息的速度。此海外的數(shù)據(jù)庫(kù)服務(wù)器將放在某IDC，并實(shí)施更新以便獲得本地所存儲(chǔ)信息的鏡像。下面哪一個(gè)方面的操作的風(fēng)險(xiǎn)最高？A)數(shù)據(jù)庫(kù)中存儲(chǔ)信息的機(jī)密性B)用于運(yùn)行數(shù)據(jù)庫(kù)應(yīng)用的硬件C)海外數(shù)據(jù)庫(kù)備份的信息備份D)遠(yuǎn)程訪問(wèn)備份數(shù)據(jù)庫(kù)答案:B解析:業(yè)務(wù)目標(biāo)是讓公眾及時(shí)獲得信息。當(dāng)數(shù)據(jù)庫(kù)服務(wù)器被放置到海外之后，不能修復(fù)的硬件損失會(huì)引發(fā)系統(tǒng)可用性的降低。信息主要為公眾使用，海外數(shù)據(jù)庫(kù)是一個(gè)本地?cái)?shù)據(jù)庫(kù)的鏡像。因此，在本地存在著一個(gè)備份的拷貝。遠(yuǎn)程訪問(wèn)備份服務(wù)器不影響可用性。點(diǎn)評(píng)：閱讀理解題，公眾信息，故保密性不重要，本地和海外有鏡像，備份不是問(wèn)題[單選題]21.IS審計(jì)師的決定和行動(dòng)最可能影響以下哪種風(fēng)險(xiǎn)?A)固有風(fēng)險(xiǎn)B)檢測(cè)風(fēng)險(xiǎn)C)控制風(fēng)險(xiǎn)D)業(yè)務(wù)風(fēng)險(xiǎn)答案:B解析:固有風(fēng)險(xiǎn)是假設(shè)在沒(méi)有有關(guān)的內(nèi)部控制來(lái)防止或檢測(cè)錯(cuò)誤的情況下，可能發(fā)生實(shí)質(zhì)性錯(cuò)誤的風(fēng)險(xiǎn)(請(qǐng)參見(jiàn)?控制風(fēng)險(xiǎn)?)。固有風(fēng)險(xiǎn)通常不受IS審計(jì)師影響。B.檢測(cè)風(fēng)險(xiǎn)直接受到IS審計(jì)師選擇的審計(jì)流程和技術(shù)的影響。檢測(cè)風(fēng)險(xiǎn)是審核不能發(fā)現(xiàn)或注意到實(shí)質(zhì)問(wèn)題的風(fēng)險(xiǎn)。C.控制風(fēng)險(xiǎn)是指無(wú)法通過(guò)內(nèi)部控制系統(tǒng)及時(shí)阻止或檢測(cè)到存在的實(shí)質(zhì)性錯(cuò)誤的風(fēng)險(xiǎn)。控制風(fēng)險(xiǎn)可通過(guò)公司管理層的行動(dòng)得到緩解。D.業(yè)務(wù)風(fēng)險(xiǎn)是損失(或收益)的頻率和程度都不確定的可能情形。業(yè)務(wù)風(fēng)險(xiǎn)通常不受IS審計(jì)師直接影響。[單選題]22.IS審計(jì)師在實(shí)施詳細(xì)的網(wǎng)絡(luò)評(píng)估和訪問(wèn)控制審核時(shí),他應(yīng)該首先做的是:A)確定系統(tǒng)進(jìn)入點(diǎn)B)評(píng)價(jià)用戶的訪問(wèn)授權(quán)C)評(píng)估用戶識(shí)別和授權(quán)D)評(píng)估域控制服務(wù)器的配置答案:A解析:在實(shí)施詳細(xì)的網(wǎng)絡(luò)評(píng)估和訪問(wèn)控制審核時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該首先確定系統(tǒng)的進(jìn)入點(diǎn)，并且審核是否采用合適的控制。評(píng)價(jià)用戶訪問(wèn)授權(quán)、用戶識(shí)別和授權(quán)以及對(duì)域控制服務(wù)器配置都是為系統(tǒng)進(jìn)入點(diǎn)提供控制的措施。[單選題]23.某制造類(lèi)公司欲建自動(dòng)化發(fā)票支付系統(tǒng)，要求該系統(tǒng)在復(fù)核和授權(quán)控制上花費(fèi)相當(dāng)少的時(shí)間，同時(shí)能識(shí)別出需要深入追究的錯(cuò)誤，以下哪一項(xiàng)措施能最好地滿足上述需求？A)建立一個(gè)與供貨商相聯(lián)的內(nèi)部客戶機(jī)用及服務(wù)器網(wǎng)路以提升效率B)將其外包給一家專(zhuān)業(yè)的自動(dòng)化支付和賬務(wù)收發(fā)處理公司C)與重要供貨商建立采用標(biāo)準(zhǔn)格式的、計(jì)算機(jī)對(duì)計(jì)算機(jī)的電子業(yè)務(wù)文文件和交易處理用EDI系統(tǒng)D)重組現(xiàn)有流程并重新設(shè)計(jì)現(xiàn)有系統(tǒng)答案:C解析:[單選題]24.IS審計(jì)師在審查組織的IT戰(zhàn)略計(jì)劃時(shí)應(yīng)首先審查:A)現(xiàn)有IT環(huán)境B)業(yè)務(wù)計(jì)劃。C)目前的IT預(yù)算D)當(dāng)今技術(shù)的發(fā)展趨勢(shì)。答案:B解析:A.組織的戰(zhàn)略計(jì)劃驅(qū)動(dòng)著IT戰(zhàn)略計(jì)劃，而IT戰(zhàn)略計(jì)劃則驅(qū)動(dòng)著IT環(huán)境。計(jì)劃指出的是我們的目標(biāo)，而不是我們的現(xiàn)狀。B.制定IT戰(zhàn)略計(jì)劃是為了支持組織的業(yè)務(wù)計(jì)劃。要評(píng)估IT戰(zhàn)略計(jì)劃，IS審計(jì)師首先需要悉業(yè)務(wù)計(jì)劃C.預(yù)算由計(jì)劃授權(quán)。首先需要審查IT計(jì)劃與組織目標(biāo)的一致性一然后再保證計(jì)劃的適當(dāng)性。D.當(dāng)前趨勢(shì)需要監(jiān)控，而且可能影響戰(zhàn)略決策，但與確保戰(zhàn)略與新興趨勢(shì)一致相比，更重要的是保戰(zhàn)略與業(yè)務(wù)一致[單選題]25.以下哪個(gè)選項(xiàng)最有助于檢測(cè)數(shù)據(jù)處理中的錯(cuò)誤?A)程序化的編輯檢查B)設(shè)計(jì)優(yōu)良的數(shù)據(jù)錄入篩選C)職責(zé)分離D)散列總計(jì)答案:D解析:A.程序化的編輯檢查等自動(dòng)控制屬于預(yù)防性控制。B.設(shè)計(jì)優(yōu)良的數(shù)據(jù)錄入篩選等自動(dòng)控制屬于預(yù)防性控制。C.實(shí)行職責(zé)分離主要可以確保單個(gè)人不同時(shí)擁有創(chuàng)建事務(wù)和批準(zhǔn)事務(wù)的權(quán)利:這不屬于檢測(cè)錯(cuò)誤的方法，而是幫助預(yù)防錯(cuò)誤的方法。D.使用散列總計(jì)是在數(shù)據(jù)處理中可靠地錯(cuò)誤檢測(cè)的有效方法。散列總計(jì)會(huì)顯示數(shù)據(jù)完整性錯(cuò)誤。[單選題]26.下列哪個(gè)是整合性測(cè)試（ITF）的優(yōu)點(diǎn)？A)ITF使用實(shí)際主文件或者替代文件，從而可以使信息系統(tǒng)審計(jì)師不用審閱交易的來(lái)源B)周期性的測(cè)試不需要獨(dú)立的測(cè)試過(guò)程C)ITF可以驗(yàn)證應(yīng)用系統(tǒng)的有效性并且對(duì)運(yùn)行中的操作系統(tǒng)進(jìn)行測(cè)試D)ITF省去了準(zhǔn)備測(cè)試數(shù)據(jù)的麻煩答案:B解析:整體測(cè)試法（ITF）通過(guò)在數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)虛擬的實(shí)體，并通過(guò)數(shù)據(jù)的實(shí)時(shí)錄入用來(lái)處理交易測(cè)試。它的優(yōu)勢(shì)在于周期性的測(cè)試不需要獨(dú)立的測(cè)試過(guò)程。然后，仔細(xì)的計(jì)劃也是必要的，而且測(cè)試數(shù)據(jù)必須與產(chǎn)生的數(shù)據(jù)相隔離。點(diǎn)評(píng)：ITF的概念[單選題]27.信息系統(tǒng)審計(jì)員判斷安全意識(shí)和培訓(xùn)效果的最好方法是哪個(gè)？A)檢查安全培訓(xùn)程序B)詢(xún)問(wèn)安全管理員C)與樣本雇員面談D)檢查對(duì)雇員的安全提示答案:C解析:與樣本雇員面談是判斷安全意識(shí)和培訓(xùn)效果的最好方法。因?yàn)樗械囊庾R(shí)可以被判斷并且有效的安全是依賴(lài)于人的。檢查安全培訓(xùn)程序不是意識(shí)培訓(xùn)的有效指標(biāo)。全培訓(xùn)程序可以被設(shè)計(jì)的很好，但是培訓(xùn)的效果取決于員工的意識(shí)。詢(xún)問(wèn)安全管理員無(wú)法顯示出安全意識(shí)和培訓(xùn)效果，因?yàn)槌绦虻哪繕?biāo)不只是管理員。檢查對(duì)雇員的安全提示不是發(fā)現(xiàn)意識(shí)培訓(xùn)有效性的最好方法，因?yàn)樘崾編缀醪荒塬@得實(shí)際意識(shí)的效果。[單選題]28.在對(duì)組織的災(zāi)難恢復(fù)計(jì)劃進(jìn)行審查后，信息系統(tǒng)審計(jì)師要求與公司管理層召開(kāi)會(huì)議以討論審計(jì)發(fā)現(xiàn)。以下哪一項(xiàng)是對(duì)此次會(huì)議的主要目標(biāo)的最佳描述？A)取得管理層對(duì)整改行動(dòng)的批準(zhǔn)B)驗(yàn)證審計(jì)發(fā)現(xiàn)的準(zhǔn)確性C)幫助管理層實(shí)施整改行動(dòng)D)向管理層說(shuō)明審計(jì)的范圍和所受到的限制答案:B解析:會(huì)議的目的是為了驗(yàn)證審計(jì)發(fā)現(xiàn)的準(zhǔn)確性，并給管理層一個(gè)就整改行動(dòng)達(dá)成一致意見(jiàn)的機(jī)會(huì)。會(huì)議并不需要管理層對(duì)整改行動(dòng)進(jìn)行批準(zhǔn)，因?yàn)檫@不屬于審計(jì)師的職責(zé)。只有在確認(rèn)了審計(jì)發(fā)現(xiàn)之后，才進(jìn)行進(jìn)一步的整改措施的實(shí)施，然后整改措施的實(shí)施同樣不應(yīng)該分配給審計(jì)師否則將影響審計(jì)師的獨(dú)立性。向管理層說(shuō)明審計(jì)的范圍和所受到的限制應(yīng)該在啟動(dòng)會(huì)議上進(jìn)行，而不應(yīng)該在退出會(huì)議上。點(diǎn)評(píng)：討論審計(jì)發(fā)現(xiàn)首要目的是確認(rèn)，而不是整改[單選題]29.以下哪種電子郵件政策最有可能降低與收集電子證據(jù)相關(guān)的風(fēng)險(xiǎn):A)破壞政策。B)安全政策。C)存檔政策。D)審計(jì)政策。答案:C解析:A.電子郵件保留政策包括對(duì)電子郵件的破壞或刪除。這必須符合保留電子郵件的法律要求。B.安全政策的層次過(guò)高，不能解決沒(méi)有充分保留電子郵件或在需要時(shí)不能訪問(wèn)電子郵件的風(fēng)險(xiǎn)C.借助對(duì)電子郵件記錄進(jìn)行精心存檔的政策，可以依據(jù)法律要求對(duì)特定的電子郵件記錄進(jìn)行訪問(wèn)或檢索。D.審計(jì)政策不會(huì)滿足提供電子郵件作為電子證據(jù)的法律要求。[單選題]30.在實(shí)施前審查期間，信息系統(tǒng)審計(jì)師注意到某些場(chǎng)景尚未經(jīng)過(guò)測(cè)試。管理層表示該項(xiàng)目至關(guān)重要，不能推遲。以下哪一項(xiàng)是審計(jì)師的最佳行動(dòng)步驟A)確定測(cè)試場(chǎng)景是否覆蓋了最重要的項(xiàng)目風(fēng)險(xiǎn)B)建議推遲項(xiàng)目實(shí)施，直到所有場(chǎng)景都經(jīng)過(guò)測(cè)試C)幫助管理層在實(shí)施前完成剩余場(chǎng)景測(cè)試D)實(shí)施后在生產(chǎn)環(huán)境中執(zhí)行剩余的場(chǎng)景測(cè)試答案:A解析:[單選題]31.在檢查一個(gè)組織的邏輯訪問(wèn)安全時(shí)，下面哪個(gè)是IS審計(jì)員最關(guān)心的：A)密碼沒(méi)有共享B)密碼文件沒(méi)有加密C)多余的登錄帳號(hào)被刪除D)登錄帳號(hào)分配受控制答案:A解析:當(dāng)評(píng)價(jià)邏輯安全的技術(shù)狀況時(shí)，未加密的文件顯現(xiàn)最大風(fēng)險(xiǎn)。密碼共享、檢查多余的登錄帳號(hào)和適當(dāng)?shù)牡卿泿ぬ?hào)程序是基本的，但是它們比確保文件是加密的重要性更弱一些。[單選題]32.對(duì)信息系統(tǒng)審計(jì)師來(lái)說(shuō)，以下哪項(xiàng)通常是最為可靠的證據(jù)？A)從第三方收到的確認(rèn)信函來(lái)驗(yàn)證賬戶的余額B)從職能經(jīng)理那里得到應(yīng)用系統(tǒng)設(shè)計(jì)的運(yùn)行保證C)從互聯(lián)網(wǎng)上得到的趨勢(shì)數(shù)據(jù)D)審計(jì)師依據(jù)經(jīng)理提供的報(bào)表所進(jìn)行的比率分析答案:A解析:從獨(dú)立的第三方獲得的證據(jù)被認(rèn)為是最可靠的。所以BCD相對(duì)而言沒(méi)有選項(xiàng)A的證據(jù)可靠。同時(shí)BD相對(duì)于來(lái)源于組織內(nèi)部。直線經(jīng)理（LineManager，也稱(chēng)?職能經(jīng)理?）是指財(cái)務(wù)、生產(chǎn)、銷(xiāo)售運(yùn)營(yíng)等職能部門(mén)的經(jīng)理，是企業(yè)管理的中間力量，上對(duì)企業(yè)的戰(zhàn)略負(fù)責(zé)，下對(duì)員工的發(fā)展負(fù)責(zé)，不僅要與同級(jí)的部門(mén)合作，而且要整合和協(xié)調(diào)內(nèi)部、外部的資源，其重要性非同一般，肩負(fù)著完成本部門(mén)目標(biāo)和對(duì)部門(mén)進(jìn)行管理的職責(zé)。因此直線經(jīng)理是企業(yè)管理任務(wù)中最為繁重的一個(gè)群體。點(diǎn)評(píng)：外部數(shù)據(jù)的客觀性?xún)?yōu)于內(nèi)部獲得的[單選題]33.某個(gè)組織已經(jīng)把其服務(wù)臺(tái)職能外包了。下列哪項(xiàng)指標(biāo)最應(yīng)該包含在服務(wù)等級(jí)協(xié)議(SLA)中?A)支持的用戶總數(shù)B)首次呼叫解決的事故所占的百分比C)報(bào)告至服務(wù)臺(tái)的事故數(shù)D)接線員的數(shù)量答案:B解析:A.合同價(jià)格一般以支持的用戶數(shù)量為基礎(chǔ)，但績(jī)效指標(biāo)卻以能夠提供有效支持和快速解決用戶問(wèn)題為基礎(chǔ)。B.因?yàn)樯婕暗椒?wù)級(jí)別(表現(xiàn))指標(biāo)，首次呼叫解決事故所占的百分比是衡量支持組織有效性的一個(gè)好辦法。C.報(bào)告至服務(wù)臺(tái)的事故數(shù)不由外包供應(yīng)商控制，因此不是種有效的測(cè)量方法。D.接線員的效率和有效性和能夠快速解決問(wèn)題比接線員的數(shù)量更重要。[單選題]34.IS審計(jì)師可以采用什么方法來(lái)測(cè)試分支機(jī)構(gòu)所在位置的無(wú)線安全？A)戰(zhàn)爭(zhēng)撥號(hào)B)社會(huì)工程C)戰(zhàn)爭(zhēng)駕駛D)密碼破解答案:C解析:戰(zhàn)爭(zhēng)駕駛技術(shù)是指通過(guò)攜帶具有無(wú)線配備的計(jì)算機(jī)在建筑周?chē){駛或步行來(lái)定位和訪問(wèn)無(wú)線網(wǎng)絡(luò)。戰(zhàn)爭(zhēng)撥號(hào)技術(shù)是指通過(guò)撥打定義范圍內(nèi)的電話號(hào)碼，以期收到調(diào)制解調(diào)器的應(yīng)答來(lái)訪問(wèn)計(jì)算機(jī)或網(wǎng)絡(luò)。社會(huì)工程技術(shù)用于收集可幫助攻擊者對(duì)數(shù)據(jù)或資源進(jìn)行邏輯或物理訪問(wèn)的信息。社會(huì)工程利用的是人性的弱點(diǎn)。面膜破解工具指通過(guò)嘗試各種組合和詞典單詞來(lái)猜測(cè)用戶密碼的工具。[單選題]35.某IS審計(jì)師在分析數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)的審計(jì)日志時(shí)發(fā)現(xiàn)，由于存在某個(gè)錯(cuò)誤有些交易被部分執(zhí)行，并且沒(méi)有進(jìn)行回滾。這違反了下面哪項(xiàng)交易處理特性?A)一致性B)隔離性C)持久性D)原子性答案:D解析:A.一致性保證數(shù)據(jù)庫(kù)在交易開(kāi)始和結(jié)時(shí)處于正常狀態(tài)，且交易沒(méi)有違反完整性規(guī)則。B.隔離性是指在中間狀態(tài)時(shí)，交易數(shù)據(jù)對(duì)于外部操作不可見(jiàn)。它可防止兩個(gè)交易在同一時(shí)間訪問(wèn)同一數(shù)據(jù)C.持久性是指確保交易一旦處理成功便保持不變，無(wú)法撤消。D.原子性是指保證整個(gè)交易被處理或完全不被處理。[單選題]36.已要求信息系統(tǒng)審計(jì)師審查總賬系統(tǒng)中的數(shù)據(jù)質(zhì)量。以下哪一項(xiàng)將為審計(jì)師提供最有意義的結(jié)果？A)與系統(tǒng)所有者和操作員面談B)根據(jù)源文檔進(jìn)行完整性檢查C)系統(tǒng)漏洞評(píng)估D)與企業(yè)主討論最大賬戶價(jià)值答案:A解析:[單選題]37.下列哪一項(xiàng)是創(chuàng)建防火墻策略的第一步：A)成本效益分析的以方法確保應(yīng)用程序B)需要識(shí)別在外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用C)需要識(shí)別在外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用的脆弱性D)創(chuàng)建一個(gè)應(yīng)用程序的流量矩陣現(xiàn)實(shí)保護(hù)方式答案:B解析:應(yīng)用程序的識(shí)別需要整個(gè)網(wǎng)絡(luò)應(yīng)當(dāng)先確定的。經(jīng)鑒定，依賴(lài)于在網(wǎng)絡(luò)和網(wǎng)絡(luò)模型中，這些應(yīng)用物理位置的不同，該負(fù)責(zé)人將能夠理解的需要和可能的方法，控制訪問(wèn)這些應(yīng)用程序。識(shí)別方法來(lái)對(duì)已知的漏洞和保護(hù)他們的相對(duì)成本效益分析是第三步。在確定了應(yīng)用程序，下一步是要找出與網(wǎng)絡(luò)應(yīng)用程序有關(guān)的漏洞（弱點(diǎn)）。下一步是分析應(yīng)用程序流量，并展示了如何創(chuàng)建一個(gè)矩形的每個(gè)類(lèi)型的流量將受到保護(hù)。[單選題]38.在對(duì)一個(gè)大型組織的身份管理系統(tǒng)（IDM）中的供應(yīng)流程進(jìn)行審計(jì)時(shí)，信息系統(tǒng)審計(jì)師很快發(fā)現(xiàn)有少數(shù)通過(guò)正常預(yù)定義的工作流程的訪問(wèn)情況沒(méi)有得到管理者的授權(quán)。信息系統(tǒng)審計(jì)師應(yīng)該？A)實(shí)施進(jìn)一步的分析B)向?qū)徲?jì)委員會(huì)報(bào)告該問(wèn)題C)實(shí)施風(fēng)險(xiǎn)評(píng)估D)建議IDM系統(tǒng)的所有者解決這個(gè)工作流成中的問(wèn)題答案:A解析:信息系統(tǒng)審計(jì)師需要進(jìn)行大量的測(cè)試和進(jìn)一步的分析來(lái)確定授權(quán)和工作流程沒(méi)有按預(yù)定方式運(yùn)作是原因。在做出任何建議前，審計(jì)師應(yīng)該很好的理解掌握問(wèn)題的范圍和問(wèn)題的原因。信息系統(tǒng)審計(jì)師應(yīng)該確認(rèn)問(wèn)題是由管理人員沒(méi)有按預(yù)定流程執(zhí)行所引起的，還是自動(dòng)化系統(tǒng)本身的工作流程而引起的，還是兩種因素都存在。其它選項(xiàng)不正確，是因?yàn)閷徲?jì)師沒(méi)有充分的信息進(jìn)行下一步的匯報(bào)、風(fēng)險(xiǎn)評(píng)估和提出解決該問(wèn)題的建議。點(diǎn)評(píng)：發(fā)現(xiàn)控制缺陷-深入調(diào)研-風(fēng)險(xiǎn)評(píng)估-報(bào)告[單選題]39.管理網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的第一步是：A)評(píng)估弱點(diǎn)的影響B(tài))評(píng)估危險(xiǎn)的可能性C)確認(rèn)關(guān)鍵信息資產(chǎn)D)評(píng)估潛在的破壞答案:C解析:風(fēng)險(xiǎn)管理的第一步是識(shí)別和分類(lèi)出關(guān)鍵信息資源（資產(chǎn)）。一旦識(shí)別出關(guān)鍵信息資產(chǎn)，我們就要去識(shí)別威脅和脆弱性，預(yù)測(cè)潛在的損失。[單選題]40.以下哪個(gè)選項(xiàng)最令I(lǐng)S審計(jì)是擔(dān)心？A)沒(méi)有對(duì)成功攻擊網(wǎng)絡(luò)的行為進(jìn)行報(bào)告B)未能將入侵企圖通知警方C)沒(méi)有對(duì)訪問(wèn)權(quán)限進(jìn)行定期檢查D)沒(méi)有通知公眾存在入侵行為答案:A解析:不對(duì)入侵行為進(jìn)行報(bào)告等于隱瞞惡意入侵行為，這屬于一種專(zhuān)業(yè)失職。盡管可能有必要通知警方，并且沒(méi)有對(duì)訪問(wèn)權(quán)限進(jìn)行定期檢查也是需要關(guān)注的問(wèn)題，但都不如未能對(duì)攻擊行為進(jìn)行報(bào)告嚴(yán)重。向公眾報(bào)告不是必要條件，這取決于組織是否愿意向公眾公布入侵行為。[單選題]41.一個(gè)IS審計(jì)師應(yīng)希望下列哪項(xiàng)將被包含在請(qǐng)求建議書(shū)中，當(dāng)IS部門(mén)決定采購(gòu)?fù)獠刻峁┥烫峁┑姆?wù)時(shí)？A)．參考其它用戶B)．服務(wù)水平協(xié)議C)．維護(hù)協(xié)議D)．轉(zhuǎn)換協(xié)議答案:A解析:IS審計(jì)師應(yīng)尋求一個(gè)獨(dú)立的證實(shí)來(lái)說(shuō)明互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）可以執(zhí)行任務(wù)承包。參考其他客戶將提供一個(gè)獨(dú)立的外部審查和核實(shí)ISP采用的程序和過(guò)程，這將是IS審計(jì)師所關(guān)注的。參考其它用戶是一種對(duì)供應(yīng)商可以執(zhí)行其所承諾服務(wù)的審查方法。維護(hù)協(xié)議，相對(duì)于服務(wù)來(lái)說(shuō)更涉及設(shè)備。轉(zhuǎn)換計(jì)劃，其重要性不在于核查ISP可以提供所承諾的服務(wù)。[單選題]42.當(dāng)審計(jì)師進(jìn)行DRP審計(jì)時(shí)，下列哪項(xiàng)是一個(gè)信息系統(tǒng)審計(jì)師最應(yīng)該關(guān)心的？A)DRP尚未經(jīng)過(guò)測(cè)試B)新的團(tuán)隊(duì)成員都沒(méi)有看到過(guò)DRPC)經(jīng)理負(fù)責(zé)對(duì)DRP的最近的推出D)DRP的手冊(cè)不是定時(shí)更新答案:A解析:如果沒(méi)有經(jīng)過(guò)測(cè)試的DRP，那么很可能該計(jì)劃是不完整或不充分的。這種情況將會(huì)是一個(gè)信息系統(tǒng)審計(jì)師最關(guān)注的。因?yàn)樵摻M織將沒(méi)有辦法準(zhǔn)確地評(píng)估該計(jì)劃是否可行。如果團(tuán)隊(duì)的成員都對(duì)該計(jì)劃不熟悉，那么目前的成員將會(huì)幫到他們，所以這不會(huì)是一個(gè)重要的問(wèn)題。而由經(jīng)驗(yàn)豐富的人員造成的損失會(huì)引起一些問(wèn)題，如果i該計(jì)劃被證明是適當(dāng)?shù)?。而?jīng)驗(yàn)不足的人員將也許能在發(fā)生災(zāi)難時(shí)執(zhí)行所需要的工作職能。一個(gè)DRP的手冊(cè)，定期更新，是不是次要關(guān)注的有一個(gè)沒(méi)有經(jīng)過(guò)測(cè)試的DRP。[單選題]43.對(duì)于確保業(yè)務(wù)連續(xù)性，如下哪個(gè)選項(xiàng)是最重要的：A)關(guān)鍵雇員的聯(lián)系信息B)數(shù)據(jù)備份C)為了短期需要的緊急資金D)另一個(gè)處理站點(diǎn)答案:B解析:在所有選項(xiàng)中數(shù)據(jù)是最重要的，沒(méi)有數(shù)據(jù)，業(yè)務(wù)是不能恢復(fù)的。作為進(jìn)一步，聯(lián)系方式是重要的，但是不能確保業(yè)務(wù)的連續(xù)性。為了短期需要的緊急資金是重要的并且在特殊時(shí)期滿足恢復(fù)組的需求是必須的，但是沒(méi)有什么和數(shù)據(jù)備份一樣關(guān)鍵。沒(méi)有數(shù)據(jù)備份，另一個(gè)處理站點(diǎn)的價(jià)值是有限的。[單選題]44.從治理的角度來(lái)說(shuō)，董事會(huì)的主要職責(zé)是什么?確保戰(zhàn)略A)具有成本效益。B)面向未來(lái)和具有創(chuàng)新性。C)與業(yè)務(wù)戰(zhàn)略相一致。D)分配有適當(dāng)?shù)膬?yōu)先級(jí)。答案:C解析:A.戰(zhàn)略應(yīng)當(dāng)具有成本效益，但必須與業(yè)務(wù)戰(zhàn)略相一致才能有效。B.IT戰(zhàn)略應(yīng)當(dāng)具有前瞻思維和創(chuàng)新性，但必須與業(yè)務(wù)戰(zhàn)略相一致才能有效。C.董事會(huì)負(fù)責(zé)確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略相一致。D.IT戰(zhàn)略應(yīng)當(dāng)?shù)玫竭m當(dāng)優(yōu)先考慮;但它首先必須與業(yè)務(wù)戰(zhàn)略相一致，然后才能得到優(yōu)先考慮。[單選題]45.下面那一項(xiàng)最有效地降低了分布式環(huán)境服務(wù)器故障引發(fā)的影響？A)冗余路徑（當(dāng)正常路由無(wú)法使用時(shí)，路由器分配給信息包的第二條路徑）B)集群C)備用拔號(hào)線路D)備用電源答案:B解析:集群就是允許兩個(gè)或者多個(gè)服務(wù)器作為一個(gè)整體進(jìn)行工作，這樣當(dāng)其中一個(gè)服務(wù)器故障時(shí)，另一個(gè)服務(wù)器就接替其工作。選項(xiàng)A和C的目的是減少信息通道通訊故障影響程度，而不是服務(wù)器故障。選項(xiàng)D在電源故障時(shí)提供一個(gè)可替代電源。[單選題]46.軟件開(kāi)發(fā)中的瀑布生命周期模型最適合用于的環(huán)境是？A)在系統(tǒng)擬運(yùn)行的商業(yè)環(huán)境中，需求能被很好的理解并預(yù)期能保持穩(wěn)定B)需求能被很好的理解同時(shí)項(xiàng)目時(shí)間緊C)項(xiàng)目打算應(yīng)用面向?qū)ο蟮脑O(shè)計(jì)和開(kāi)發(fā)技術(shù)D)項(xiàng)目將使用新技術(shù)答案:A解析:從歷史經(jīng)驗(yàn)上看，瀑布模型最適合在選擇A穩(wěn)定的條件下，當(dāng)系統(tǒng)的交付及條件的不確定性的增加，采用瀑布模型沒(méi)有取得成功。在這種情況下，打破整個(gè)系統(tǒng)范圍采用迭代開(kāi)發(fā)方法更具有優(yōu)勢(shì)。更早的交付可運(yùn)行軟件減少不確定性，更早的實(shí)現(xiàn)收益。設(shè)計(jì)和編程方法的選擇不是軟件開(kāi)發(fā)生命周期類(lèi)型適當(dāng)?shù)臎Q定因素。新技術(shù)的引進(jìn)是項(xiàng)目風(fēng)險(xiǎn)的重要因素。迭代方法，特別是敏捷方法，聚焦在可運(yùn)行軟件的開(kāi)發(fā)，可能更好的管理這種不確定性。點(diǎn)評(píng)：瀑布模型的局限性[單選題]47.以下哪一項(xiàng)是與控制自我評(píng)估相關(guān)的最大顧慮？A)控制可能并沒(méi)有得到客觀評(píng)估B)運(yùn)營(yíng)管理層和高級(jí)管理層之間溝通可能不是很有效C)員工對(duì)于控制的認(rèn)知不夠D)評(píng)估可能不會(huì)為利益相關(guān)方提供充分的鑒證答案:A解析:[單選題]48.各業(yè)務(wù)部門(mén)對(duì)新應(yīng)用系統(tǒng)的性能表示擔(dān)心。IS審計(jì)師應(yīng)提出以下哪種建議?A)制定一個(gè)基準(zhǔn)并監(jiān)測(cè)系統(tǒng)的使用情況。B)定義備用處理流程。C)編制維護(hù)手冊(cè)。D)實(shí)施用戶建議的更改。答案:A解析:A.IS審計(jì)師應(yīng)建議制定性能基準(zhǔn)，并建議根據(jù)該基準(zhǔn)監(jiān)測(cè)系統(tǒng)的性能，以便制定出可用于系統(tǒng)修改方面決策的經(jīng)驗(yàn)數(shù)據(jù)。B.備用處理流程不會(huì)改變系統(tǒng)的性能，而且在報(bào)告的問(wèn)題經(jīng)過(guò)詳細(xì)檢查之前不會(huì)做出任何變更。C.維護(hù)手冊(cè)不會(huì)改變系統(tǒng)的性能或解決用戶擔(dān)心的問(wèn)題。D.如果不了解造成性能低下的原因便實(shí)施變更，并不一定會(huì)提高系統(tǒng)效率。[單選題]49.通過(guò)對(duì)照能力成熟度模型(CMM)來(lái)評(píng)估應(yīng)用開(kāi)發(fā)項(xiàng)目，IS審計(jì)師應(yīng)可以確定A)產(chǎn)品的可靠性是否得到保證。B)編程人員的效率是否得到提高。C)安全要求是否已經(jīng)制定。D)可預(yù)測(cè)的軟件流程是否得到遵守。答案:D解析:A.盡管軟件流程的成熟度越接近最優(yōu)水平，成功機(jī)率就越高，但成熟的流程并不能保證可靠的產(chǎn)品。B.能力成熟度模型(CMM)不能評(píng)估技術(shù)流程，例如編程效率。C.CMM不能評(píng)估安全要求或其他應(yīng)用控制。D.通過(guò)對(duì)照CMM評(píng)估組織的開(kāi)發(fā)項(xiàng)目，IS審計(jì)師可以確定該開(kāi)發(fā)組織是否守了穩(wěn)定且可測(cè)的軟件開(kāi)發(fā)流程。[單選題]50.在公鑰基礎(chǔ)架構(gòu)（PKI）中，注冊(cè)機(jī)構(gòu)負(fù)責(zé)？A)驗(yàn)證認(rèn)證申請(qǐng)對(duì)象所提供的信息。B)在核實(shí)所需屬性并生成密鑰之后頒發(fā)認(rèn)證。C)對(duì)消息進(jìn)行數(shù)字簽名以實(shí)現(xiàn)簽名消息的不可否認(rèn)性。D)登記簽名消息以確保其日后不遭到否認(rèn)。答案:A解析:注冊(cè)機(jī)構(gòu)負(fù)責(zé)驗(yàn)證認(rèn)證申請(qǐng)對(duì)象鎖提供的信息，并核實(shí)申請(qǐng)者申請(qǐng)認(rèn)證屬性的權(quán)力，以及申請(qǐng)者是否實(shí)際擁有與所發(fā)送公鑰相對(duì)應(yīng)的私鑰。完成信息驗(yàn)證后，實(shí)際頒發(fā)認(rèn)證的是認(rèn)證頒發(fā)機(jī)構(gòu)不是注冊(cè)機(jī)構(gòu)；因此選項(xiàng)B不正確。另外，消息簽名由控制其私鑰的發(fā)送者進(jìn)行，不是注冊(cè)機(jī)構(gòu)。注冊(cè)簽名消息也不是注冊(cè)機(jī)構(gòu)負(fù)責(zé)執(zhí)行的任務(wù)。[單選題]51.保護(hù)組織的IT系統(tǒng)時(shí)，以下哪項(xiàng)通常會(huì)成為網(wǎng)絡(luò)防火墻損壞后的下一道防線？A)個(gè)人防火墻B)防病毒程序C)入侵檢測(cè)系統(tǒng)（IDS）D)虛擬局域網(wǎng)（VLAN）配置答案:C解析:IDS將成為防火墻之后的下一道防線。該系統(tǒng)可以檢測(cè)網(wǎng)絡(luò)/服務(wù)器活動(dòng)中的異常情況，并嘗試檢測(cè)犯罪者。防病毒程序、個(gè)人防火墻和VLAN配置是更加靠后的防線。[單選題]52.某IS審計(jì)師發(fā)現(xiàn)，少量用戶訪問(wèn)請(qǐng)求未通過(guò)正常的預(yù)定工作流程步驟和上報(bào)規(guī)則獲得經(jīng)理授權(quán)。IS審計(jì)師應(yīng):A)執(zhí)行額外分析B)將問(wèn)題報(bào)告給審計(jì)委員會(huì)。C)執(zhí)行安全風(fēng)險(xiǎn)評(píng)估。D)建議身份管理(IDM)系統(tǒng)負(fù)責(zé)人解決工作流程問(wèn)題。答案:A解析:A.IS審計(jì)師需要執(zhí)行實(shí)質(zhì)性測(cè)試以及額外分析，以確定審批和工作流程沒(méi)有按預(yù)期生效的原因。在做出任何建議之前，IS審計(jì)師應(yīng)充分了解問(wèn)題范圍以及引起該事件的因素。IS審計(jì)師應(yīng)確定問(wèn)題是由于經(jīng)理未遵守程序而產(chǎn)生，還是由于自動(dòng)化系統(tǒng)工作流程的問(wèn)題而導(dǎo)致，或者兩者兼有。B.IS審計(jì)師此時(shí)還沒(méi)有足夠的信息報(bào)告問(wèn)題。C.改變IS審計(jì)的范圍或進(jìn)行安全風(fēng)險(xiǎn)評(píng)估需要關(guān)于被審流程和違規(guī)的更詳細(xì)的信息D.IS審計(jì)師必須首先確定問(wèn)題的根本原因和影響，此時(shí)還沒(méi)有足夠的信息建議修正工作流程問(wèn)題。[單選題]53.對(duì)于交易量龐大的零售企業(yè)而言，以下哪項(xiàng)審計(jì)技術(shù)最適合主動(dòng)解決新出現(xiàn)的風(fēng)險(xiǎn)?A)使用通用審計(jì)軟件（GAS）B)控制自我評(píng)估C)對(duì)交易日志抽樣D)持續(xù)性審計(jì)答案:D解析:執(zhí)行持續(xù)性審計(jì)可以通過(guò)自動(dòng)化報(bào)告流程向管理層實(shí)施提供信息，讓管理層以更快的速度執(zhí)行糾正措施。使用GAS等軟件工具分析交易數(shù)據(jù)的做法可以提供對(duì)趨勢(shì)和潛在風(fēng)險(xiǎn)的詳細(xì)分析，但效率不及持續(xù)性審計(jì)，這是因?yàn)樵趫?zhí)行軟件和分析結(jié)果之間可能會(huì)有時(shí)間差?？刂谱晕以u(píng)估可幫助流程負(fù)責(zé)人評(píng)估控制環(huán)境，并教其學(xué)會(huì)控制和監(jiān)控。對(duì)交易日志抽樣是一種有效的審計(jì)技術(shù)；但是，可能無(wú)法從交易日志中捕捉到可能存在的風(fēng)險(xiǎn)，且分析中可能會(huì)有時(shí)間滯后。點(diǎn)評(píng)：持續(xù)審計(jì)，主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)[單選題]54.以下哪個(gè)選項(xiàng)是數(shù)據(jù)倉(cāng)庫(kù)設(shè)計(jì)中最重要的因素?A)元數(shù)據(jù)的質(zhì)量B)交易的速度C)數(shù)據(jù)的波動(dòng)D)系統(tǒng)的漏洞答案:A解析:A.元數(shù)據(jù)的質(zhì)量是數(shù)據(jù)倉(cāng)庫(kù)設(shè)計(jì)中最重要的因素。數(shù)據(jù)倉(cāng)庫(kù)是針對(duì)查詢(xún)和分析而進(jìn)行結(jié)構(gòu)化的交易數(shù)據(jù)副本。元數(shù)據(jù)是對(duì)數(shù)據(jù)倉(cāng)庫(kù)中數(shù)據(jù)的描述，目標(biāo)是提供存儲(chǔ)信息的目錄。已建立數(shù)據(jù)倉(cāng)庫(kù)的公司一致認(rèn)為元數(shù)據(jù)是數(shù)據(jù)倉(cāng)庫(kù)最重要的組成部分B.數(shù)據(jù)倉(cāng)庫(kù)用于分析和研究，而非生產(chǎn)操作，因此交易速度是不相關(guān)的。C.數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)常常來(lái)自許多來(lái)源，每小時(shí)或每天都會(huì)收到大量的信息。除非為了確保充分的存儲(chǔ)能力，否則這不是設(shè)計(jì)師主要關(guān)心的問(wèn)題。D.數(shù)據(jù)倉(cāng)庫(kù)可能含有敏感信息，或可被用于分析敏感信息，因此數(shù)據(jù)倉(cāng)庫(kù)的安全很重要。但這不是設(shè)計(jì)師主要關(guān)心的問(wèn)題。[單選題]55.以下哪項(xiàng)是業(yè)務(wù)影響分析(BIA)和風(fēng)險(xiǎn)評(píng)估的區(qū)別?A)關(guān)鍵資產(chǎn)盤(pán)點(diǎn)B)發(fā)現(xiàn)漏洞C)制定威脅列表D)確定可接受的停機(jī)時(shí)間答案:D解析:A.在風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析(BIA)中均進(jìn)行關(guān)鍵資產(chǎn)盤(pán)B.風(fēng)險(xiǎn)評(píng)估和BIA中都會(huì)涉及到發(fā)現(xiàn)漏洞。C.風(fēng)險(xiǎn)評(píng)估和BIA中都會(huì)渉及到制定威脅列表D.確定可接受的停機(jī)時(shí)間只在BIA中進(jìn)行。[單選題]56.如果要新部署防火墻。以下哪項(xiàng)是確保成功部署的最重要因素？A)經(jīng)常審查日志B)測(cè)試并驗(yàn)證規(guī)則C)在新位置培訓(xùn)本地管理員D)共享防火墻管理職責(zé)答案:B解析:規(guī)則集錯(cuò)誤可致使防火墻不安全。因此，測(cè)試并驗(yàn)證規(guī)則是確保成功部署的最重要因素。日志文件的定期審查在完成部署之后才開(kāi)始。如果通過(guò)中央位置管理防火墻，則不必培訓(xùn)本地管理員。擁有多個(gè)管理員雖然是一個(gè)好主意，但這并不是最重要因素。[單選題]57.哪項(xiàng)控制通過(guò)附加在每一個(gè)數(shù)據(jù)段結(jié)尾一個(gè)可計(jì)算位來(lái)校驗(yàn)傳輸錯(cuò)誤A)合理性校驗(yàn)B)奇偶校驗(yàn)C)冗余校驗(yàn)D)校驗(yàn)位答案:A解析:冗余校驗(yàn)通過(guò)在每個(gè)數(shù)據(jù)段結(jié)尾附加一個(gè)可計(jì)算位來(lái)檢測(cè)傳輸錯(cuò)誤。合理性校驗(yàn)是與預(yù)先定義的對(duì)于數(shù)據(jù)的合理性極限或者發(fā)生率的對(duì)比數(shù)據(jù)來(lái)檢測(cè)。奇偶校驗(yàn)是一種硬件控制，這種控制可以在當(dāng)數(shù)據(jù)在一臺(tái)計(jì)算機(jī)上被另外一臺(tái)計(jì)算機(jī)或者從內(nèi)存或者著在傳輸過(guò)程中讀取的時(shí)候檢測(cè)。校驗(yàn)位檢測(cè)檢測(cè)的是交換或者復(fù)制錯(cuò)誤[單選題]58.為了應(yīng)對(duì)日益增長(zhǎng)的業(yè)務(wù)需求,公司購(gòu)買(mǎi)了用于替換的大型主機(jī)系統(tǒng)。信息系統(tǒng)審計(jì)師應(yīng)該最主要考慮以下哪一項(xiàng)?A)是否執(zhí)行了適當(dāng)?shù)耐稑?biāo)評(píng)估過(guò)程B)采購(gòu)是否超出本年度的計(jì)劃預(yù)算C)應(yīng)用程序訪問(wèn)控制是否充分D)災(zāi)難恢復(fù)計(jì)劃是否被審查和更新答案:A解析:[單選題]59.一個(gè)組織在實(shí)施企業(yè)資源規(guī)劃（ERP），以滿足其業(yè)務(wù)目標(biāo)。以下誰(shuí)是最主要負(fù)責(zé)監(jiān)督該項(xiàng)目，以確保它按照項(xiàng)目計(jì)劃開(kāi)展，交付預(yù)期的結(jié)果？A)項(xiàng)目發(fā)起人B)系統(tǒng)開(kāi)發(fā)項(xiàng)目團(tuán)隊(duì)C)項(xiàng)目指導(dǎo)委員會(huì)D)用戶項(xiàng)目組答案:C解析:項(xiàng)目指導(dǎo)委員會(huì)，提供一個(gè)ERP實(shí)施項(xiàng)目的總體方向，負(fù)責(zé)審查項(xiàng)目的進(jìn)展，以確保實(shí)現(xiàn)預(yù)期的結(jié)果的負(fù)責(zé)。項(xiàng)目的發(fā)起人通常是負(fù)責(zé)被應(yīng)用支持的主要業(yè)務(wù)單位的管理者。發(fā)起人為項(xiàng)目提供資金，并與項(xiàng)目經(jīng)理監(jiān)督關(guān)鍵成功因素和標(biāo)準(zhǔn)。發(fā)起人不負(fù)責(zé)審查項(xiàng)目的進(jìn)度。SDPT與用戶組有效的溝通完成項(xiàng)目經(jīng)理分配的任務(wù)。SDPT不負(fù)責(zé)審查項(xiàng)目的進(jìn)度。UPT與開(kāi)發(fā)組有效的溝通完成項(xiàng)目經(jīng)理分配的任務(wù)。UPT不負(fù)責(zé)審查項(xiàng)目的進(jìn)度。點(diǎn)評(píng)：項(xiàng)目指導(dǎo)委員會(huì)的概念[單選題]60.為了適應(yīng)組織內(nèi)部不斷增多的移動(dòng)設(shè)備，IS管理部門(mén)最近用無(wú)線基礎(chǔ)構(gòu)架替換了現(xiàn)有的有線局域網(wǎng)（LAN）。這將增加以下哪種攻擊風(fēng)險(xiǎn)？A)端口掃描B)后門(mén)C)中間人D)戰(zhàn)爭(zhēng)駕駛答案:D解析:戰(zhàn)爭(zhēng)駕駛適應(yīng)無(wú)線以太網(wǎng)（設(shè)置為混雜模式）和大功率天線，從外部滲透進(jìn)無(wú)線系統(tǒng)。端口掃描一般以組織的外部防火墻為目標(biāo)。后門(mén)是軟件中留下的接入口，攻擊者可以利用這個(gè)接入口在不被發(fā)覺(jué)的情況下進(jìn)入系統(tǒng)。中間人攻擊截取一條消息后會(huì)將其替換或修改。[單選題]61.長(zhǎng)遠(yuǎn)來(lái)看，最有可能改善安全事件反應(yīng)程序的選項(xiàng)是：選項(xiàng):A)通盤(pán)檢查事件反應(yīng)程序和流程B)事件反應(yīng)小組的事后檢查、回顧C(jī))對(duì)用戶不斷地安全培訓(xùn)D)記錄對(duì)事件的反應(yīng)過(guò)程答案:B解析:[單選題]62.一位IS審計(jì)師被指派審查某組織的信息安全政策。以下哪個(gè)問(wèn)題表現(xiàn)出的潛在風(fēng)險(xiǎn)最高?A)政策已超過(guò)一年未更新。B)政策不含任何修改記錄。C)政策由安全管理員審批。D)公司未設(shè)立信息安全政策委員會(huì)。答案:C解析:A.信息安全政策是應(yīng)當(dāng)定期更新，但具體時(shí)間視組織情況而定。雖然每年都進(jìn)行政策審查是一種良好實(shí)踐，但更新政策的頻率可以略低，這并不影響其相關(guān)性和有效性。較舊的政策仍可以實(shí)行，但未經(jīng)合理審批的政策卻決不能實(shí)行。B.沒(méi)有與IS政策文檔相關(guān)的修改記錄是一個(gè)問(wèn)題，但不如獲得管理人員的批準(zhǔn)重要。例如，項(xiàng)新政策可能就沒(méi)有任何修訂記錄。C.信息安全政策應(yīng)具有一名負(fù)責(zé)人，由其來(lái)管理安全政策的制定、審查、批準(zhǔn)和評(píng)估。安全管理員通常是員工級(jí)(非管理級(jí))崗位，因此無(wú)權(quán)審批政策。在未經(jīng)管理人員合理審批的情況下，強(qiáng)制實(shí)行政策可能造成諸多麻煩，導(dǎo)致合規(guī)或安全問(wèn)題。D.雖然政策委員會(huì)最好是由公司人選組成，以便制定出更好的政策，但好政策也可以由一人制定，不設(shè)委員會(huì)本身并不是問(wèn)題。[單選題]63.一家私營(yíng)企業(yè)有一個(gè)修改財(cái)務(wù)會(huì)計(jì)系統(tǒng)以與稅法的重大變化相適應(yīng)的項(xiàng)目。在上線以前，財(cái)務(wù)經(jīng)理，也是應(yīng)用的所有者，請(qǐng)了緊急事假，無(wú)法完成變更部分的功能測(cè)試。開(kāi)發(fā)團(tuán)隊(duì)領(lǐng)導(dǎo)認(rèn)為，這個(gè)變更可以不經(jīng)過(guò)業(yè)務(wù)流程負(fù)責(zé)人的批準(zhǔn)而執(zhí)行。下列哪一個(gè)的表述是正確的？A)如果經(jīng)過(guò)合適的測(cè)試并且企業(yè)主批準(zhǔn)了這個(gè)變更，那這個(gè)變更可以不經(jīng)過(guò)業(yè)務(wù)負(fù)責(zé)人的批準(zhǔn)而移到生產(chǎn)環(huán)境中去。B)沒(méi)有應(yīng)用程序所有者的批準(zhǔn)，這個(gè)變更不能被應(yīng)用到生產(chǎn)環(huán)境中去。如果有緊急情況需要去實(shí)施變更，則應(yīng)由代班財(cái)務(wù)經(jīng)理去評(píng)審測(cè)試并批準(zhǔn)它。C)這個(gè)變更可以被移到生產(chǎn)環(huán)境中去，因?yàn)檫@個(gè)應(yīng)用已經(jīng)被穩(wěn)定的使用了五年。開(kāi)發(fā)團(tuán)隊(duì)領(lǐng)導(dǎo)能作為財(cái)務(wù)經(jīng)理的備份（即授權(quán)人）批準(zhǔn)這個(gè)變更。D)這個(gè)變更可以在沒(méi)有業(yè)務(wù)流程負(fù)責(zé)人的批準(zhǔn)而應(yīng)用到生產(chǎn)環(huán)境，因?yàn)殚_(kāi)發(fā)團(tuán)隊(duì)領(lǐng)導(dǎo)有足夠的會(huì)計(jì)知識(shí)，并且一直參與該變更的開(kāi)發(fā)過(guò)程。答案:A解析:業(yè)務(wù)流程負(fù)責(zé)人指導(dǎo)應(yīng)用中的任何變更，在私人企業(yè)中，由最終的業(yè)務(wù)負(fù)責(zé)人負(fù)責(zé)，包括企業(yè)所有者。在任何應(yīng)用程序變更實(shí)施以前，必須提交應(yīng)用的所有者批準(zhǔn)。但也存在特殊處理情況，未經(jīng)應(yīng)用主人的正式批準(zhǔn)就允許應(yīng)用到生產(chǎn)環(huán)境中去。應(yīng)用的變更總是需要前置獨(dú)立的測(cè)試以減少來(lái)自變更所產(chǎn)生的不合適的結(jié)果對(duì)于評(píng)估是否已經(jīng)準(zhǔn)備好將變更引入生產(chǎn)環(huán)境中，應(yīng)用的壽命和穩(wěn)定性并不是關(guān)鍵性的因素。改變關(guān)鍵應(yīng)用總是需要獨(dú)立的測(cè)試來(lái)減輕程序的風(fēng)險(xiǎn)或者邏輯錯(cuò)誤。由于開(kāi)發(fā)部負(fù)責(zé)人涉及變更的開(kāi)發(fā)，由同一個(gè)人批準(zhǔn)將產(chǎn)生一個(gè)職責(zé)分離的問(wèn)題。點(diǎn)評(píng)：企業(yè)主批準(zhǔn)這個(gè)變更可以替代只能主管[單選題]64.下面那一個(gè)原因最好的描述了強(qiáng)制休假策略的目的？A)確保員工能在多個(gè)職能中得到合適的交叉培訓(xùn)B)提高員工的士氣C)在業(yè)務(wù)流程中識(shí)別潛在的錯(cuò)誤和矛盾D)作為成本節(jié)約的方法答案:C解析:強(qiáng)制休假將幫助發(fā)現(xiàn)潛在的欺詐和不一致。為確保誰(shuí)能訪問(wèn)敏感的內(nèi)部控制或者流程而采取強(qiáng)制性的年度休假是最重要的。確保員工能在多個(gè)職能中得到合適的交叉培訓(xùn)可以提升員工的技能。提升員工的士氣將幫助降低員工的倦怠。強(qiáng)制休假不一定是成本節(jié)約方法，要看企業(yè)的具體情況。[單選題]65.在管理從舊版應(yīng)用程序轉(zhuǎn)換到新版應(yīng)用程序時(shí)的故障時(shí)，以下哪項(xiàng)的風(fēng)險(xiǎn)最低?A)分階段轉(zhuǎn)換B)一次性轉(zhuǎn)換C)回退流程D)并行轉(zhuǎn)換答案:D解析:A.分階段轉(zhuǎn)換涉及到分階段地從舊系統(tǒng)轉(zhuǎn)換到新系統(tǒng)。因此，在任何時(shí)間舊系統(tǒng)和新系統(tǒng)都不能作為一個(gè)整合的系統(tǒng)全面運(yùn)作。B.采用一次性轉(zhuǎn)換時(shí)，舊系統(tǒng)到新系統(tǒng)的轉(zhuǎn)換在截止日期和時(shí)間進(jìn)行，并且轉(zhuǎn)換到新系統(tǒng)后，舊系統(tǒng)即停止運(yùn)作。因此，如果在實(shí)施新系統(tǒng)后出現(xiàn)問(wèn)題，舊系統(tǒng)將不能用作備份系統(tǒng)。C回退流程涉及將所有系統(tǒng)恢復(fù)到以前的工作狀態(tài)，但并行轉(zhuǎn)換是更好的策略。D.并行轉(zhuǎn)換涉及先運(yùn)行系統(tǒng)，然后并行運(yùn)行新舊兩套系統(tǒng)，最后在對(duì)新系統(tǒng)的功能有信心后完全轉(zhuǎn)換到新系統(tǒng)。[單選題]66.在一個(gè)小型組織內(nèi)，某個(gè)雇員執(zhí)行計(jì)算機(jī)運(yùn)行工作，并在需要的時(shí)候修改程序。IS審計(jì)師應(yīng)該建議以下哪項(xiàng)？A)對(duì)開(kāi)發(fā)庫(kù)的變更自動(dòng)記錄并形成日志B)聘用額外的員工來(lái)滿足職責(zé)分離的要求C)建立控制流程，以保證只有經(jīng)過(guò)批準(zhǔn)的程序變更才能被實(shí)施D)防止操作員修改程序的訪問(wèn)控制答案:C解析:就像選項(xiàng)B建議的那樣，最好遵守嚴(yán)格的職責(zé)分離并雇傭額外的員工，但是在小型組織內(nèi)通常是不可能的。IS審計(jì)師必須注意其他可選方法。所有選項(xiàng)中，C是唯一可行有影響的辦法。IS審計(jì)師應(yīng)當(dāng)推薦發(fā)現(xiàn)生產(chǎn)源代碼和目標(biāo)代碼之間有變化的控制流程，如代碼比對(duì)，使得變更可以由第三方定期審查。這是一種補(bǔ)充控制處理。選項(xiàng)A，把對(duì)開(kāi)發(fā)庫(kù)的變更通過(guò)日志記錄下來(lái)，并不能發(fā)現(xiàn)對(duì)生產(chǎn)庫(kù)的修改。選項(xiàng)D實(shí)際上是要引入第三方來(lái)做變更事宜，在小型組織中并不是一定可行。[單選題]67.由于重組，一個(gè)企業(yè)應(yīng)用程序系統(tǒng)將會(huì)擴(kuò)展至其他部門(mén)。以下哪一項(xiàng)最令I(lǐng)S審計(jì)師關(guān)注？A)未確定流程的負(fù)責(zé)人B)未確定記賬成本分?jǐn)偡椒–)應(yīng)用流程存在多個(gè)所有者D)沒(méi)有培訓(xùn)方案答案:A解析:在一個(gè)應(yīng)用程序擴(kuò)展到多個(gè)部門(mén)時(shí)，確保流程負(fù)責(zé)人和系統(tǒng)功能之間的對(duì)應(yīng)非常重要。如果沒(méi)有指定的流程負(fù)責(zé)人，在監(jiān)控或授權(quán)控制方面可能會(huì)有問(wèn)題。應(yīng)用程序使用成本的分?jǐn)偡椒ㄊ谴我獑?wèn)題。只要流程負(fù)責(zé)人確定，存在多個(gè)應(yīng)用程序所有者的情況也不是問(wèn)題。是否制定培訓(xùn)方案則不是IS審計(jì)師要考慮的問(wèn)題。點(diǎn)評(píng)：缺少流程負(fù)責(zé)人就無(wú)法實(shí)現(xiàn)流程的推廣與管理，系統(tǒng)無(wú)法落實(shí)和應(yīng)用[單選題]68.下面哪一個(gè)選項(xiàng)最能有效地確定在業(yè)務(wù)應(yīng)用系統(tǒng)中重疊的關(guān)鍵控制？A)審計(jì)附加到復(fù)雜業(yè)務(wù)流程的系統(tǒng)功能B)通過(guò)ITF（集成測(cè)試設(shè)施）提交測(cè)試交易C)用自動(dòng)化審計(jì)解決方案替換手工監(jiān)測(cè)D)對(duì)控制進(jìn)行測(cè)試以驗(yàn)證測(cè)試是否有效答案:C解析:作為盡力實(shí)現(xiàn)連續(xù)審計(jì)管理（CAM）的過(guò)程中，很多情況下都會(huì)引進(jìn)一個(gè)自動(dòng)化監(jiān)控和審計(jì)解決方案。所有的關(guān)鍵控制都必須要明確才能完成系統(tǒng)性實(shí)施；因此，分析人員有可能會(huì)在系統(tǒng)中遇到不必要的或者有重疊的關(guān)鍵控制。通常，高度復(fù)雜的業(yè)務(wù)流程要比低復(fù)雜度的業(yè)務(wù)流程有更多的關(guān)鍵控制，然而，在一個(gè)復(fù)雜的系統(tǒng)中，并不總是會(huì)找到不必要的控制。如果一開(kāi)始就建立了成熟的關(guān)鍵控制架構(gòu)，就不會(huì)出現(xiàn)控制方面的重疊和問(wèn)題。ITF集成測(cè)試設(shè)施是一個(gè)審計(jì)技術(shù)，用于在一個(gè)應(yīng)用系統(tǒng)中測(cè)試流程的準(zhǔn)確性。它可能可以發(fā)現(xiàn)應(yīng)用系統(tǒng)中的控制缺陷，但是它很難發(fā)現(xiàn)關(guān)鍵控制的重疊。通過(guò)控制進(jìn)行測(cè)試來(lái)驗(yàn)證它們是否有效，審計(jì)師能發(fā)現(xiàn)是否存在重疊控制。然而，實(shí)施自動(dòng)化的審計(jì)解決方案將更有助于確定重疊控制。點(diǎn)評(píng)：見(jiàn)上面解釋[單選題]69.安裝入侵檢測(cè)系統(tǒng)(IDS)時(shí)，以下哪項(xiàng)最重要？A)在網(wǎng)絡(luò)架構(gòu)中對(duì)其進(jìn)行正確定位B)預(yù)防拒絕服務(wù)(DoS)攻擊C)識(shí)別需要隔離的消息D)最大限度地減少拒絕錯(cuò)誤答案:A解析:在安裝期間,網(wǎng)絡(luò)中IDS的正確位置是最重要的決策。位置不當(dāng)?shù)腎DS可能使網(wǎng)絡(luò)的關(guān)鍵區(qū)域得不到保護(hù)。選項(xiàng)B.C和D是在IDS配置階段需要關(guān)注的問(wèn)題，但如果沒(méi)有正確放置IDS，則不能適當(dāng)解決這些問(wèn)題。[單選題]70.有極高安全需求的組織正在對(duì)生物特征系統(tǒng)的有效性進(jìn)行評(píng)價(jià)，以下哪一項(xiàng)性能指標(biāo)最重要A)錯(cuò)誤接受率B)平均錯(cuò)誤率C)錯(cuò)誤拒絕率D)錯(cuò)誤遺漏率答案:A解析:錯(cuò)誤接受率是將未被授權(quán)人當(dāng)成授權(quán)人接受的頻率，即應(yīng)被拒絕時(shí)允許訪問(wèn)。在一個(gè)高安全要求的組織內(nèi)，用戶惱怒高的錯(cuò)誤拒絕率是次要的，個(gè)人的一個(gè)授權(quán)訪問(wèn)拒絕相比個(gè)人的一個(gè)未經(jīng)授權(quán)訪問(wèn)的接受要好得多。平均錯(cuò)誤率是錯(cuò)誤接受率和錯(cuò)誤拒絕率的交點(diǎn)。因此，它不是最小的錯(cuò)誤接受率。錯(cuò)誤遺漏率是一個(gè)經(jīng)授權(quán)的用戶被分配了錯(cuò)誤的ID、，被識(shí)別的概率。[單選題]71.在進(jìn)行業(yè)務(wù)持續(xù)審計(jì)的時(shí)候，審計(jì)師發(fā)現(xiàn)業(yè)務(wù)持續(xù)計(jì)劃僅僅覆蓋到了關(guān)鍵流程，那么審計(jì)師應(yīng)該:A)建議業(yè)務(wù)持續(xù)計(jì)劃涵蓋所有業(yè)務(wù)流程B)評(píng)估未包含業(yè)務(wù)流程的影響C)將發(fā)現(xiàn)報(bào)告給IT經(jīng)理D)重新定義關(guān)鍵流程答案:B解析:業(yè)務(wù)影響分析（B、IA、）需要更新或重訪，用來(lái)評(píng)估計(jì)劃中未能覆蓋所有流程所帶來(lái)的風(fēng)險(xiǎn)。有可能包括所有流程所帶來(lái)的投入要比流程本身價(jià)值高，這樣，這些流程不必都覆蓋。信息系統(tǒng)審計(jì)師需要通過(guò)分析風(fēng)險(xiǎn)來(lái)證實(shí)。[單選題]72.IS審計(jì)師復(fù)核IT功能外包合同時(shí)，應(yīng)當(dāng)期望它定義：A)硬件設(shè)置B)訪問(wèn)控制軟件C)知識(shí)產(chǎn)權(quán)D)應(yīng)用開(kāi)發(fā)方法論答案:C解析:[單選題]73.下面那個(gè)是保證訪問(wèn)權(quán)限仍然有效的最佳實(shí)踐？A)信息所有者提供給用戶訪問(wèn)權(quán)限B)確認(rèn)管理與人力資源流程集成在一起C)信息所有者定期檢查訪問(wèn)控制D)用權(quán)限列表來(lái)建立訪問(wèn)有效性答案:A解析:人員和部門(mén)變更能導(dǎo)致授權(quán)延續(xù)并能影響訪問(wèn)控制的有效性。很多時(shí)候，當(dāng)人員離開(kāi)一個(gè)機(jī)構(gòu)，或者雇員得到晉升、調(diào)離或降級(jí)，他們的系統(tǒng)訪問(wèn)沒(méi)有充分刪除，這增加未被授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。確保訪問(wèn)授權(quán)仍然有效的最好的實(shí)踐是整合確認(rèn)管理和人力資源流程。當(dāng)雇員調(diào)到一個(gè)不同的職能，訪問(wèn)權(quán)限在同一時(shí)間被調(diào)整。[單選題]74.在基于風(fēng)險(xiǎn)的審計(jì)方法中，IS審計(jì)師必須考慮固有風(fēng)險(xiǎn)外，也考慮？A)如何通過(guò)應(yīng)用控制消除風(fēng)險(xiǎn)B)潛在損失VS執(zhí)行控制的成本之間的平衡C)該風(fēng)險(xiǎn)是否重要，而不管管理者對(duì)風(fēng)險(xiǎn)的容忍度D)殘余風(fēng)險(xiǎn)是否剩余是否高于所購(gòu)買(mǎi)的風(fēng)險(xiǎn)答案:B解析:確定潛在損失與執(zhí)行控制成本之間的平衡是一個(gè)有效的緩解風(fēng)險(xiǎn)戰(zhàn)略的重要措施，最好的內(nèi)部控制是執(zhí)行該控制的收益至少與其成本相匹配。消除風(fēng)險(xiǎn)難以達(dá)到，往往不能實(shí)現(xiàn)，因此，審計(jì)師不應(yīng)該建議風(fēng)險(xiǎn)被消除，因?yàn)檫@對(duì)組織來(lái)說(shuō)可能不劃算。風(fēng)險(xiǎn)是否重要不是正確答案，因?yàn)楣芾韺拥娘L(fēng)險(xiǎn)容忍度決定了哪個(gè)風(fēng)險(xiǎn)是重要的。保險(xiǎn)范圍并不一定是考慮降低參與風(fēng)險(xiǎn)時(shí)的唯一控制。點(diǎn)評(píng)：控制措施選用的原則[單選題]75.在一次邏輯訪問(wèn)控制檢查中，信息系統(tǒng)審計(jì)師觀察到存在共享用戶賬戶的現(xiàn)象，這種現(xiàn)象產(chǎn)生的最大風(fēng)險(xiǎn)是：A)未授權(quán)用戶能夠通過(guò)共享賬戶訪問(wèn)系統(tǒng)。B)用戶訪問(wèn)管理耗費(fèi)大量時(shí)間。C)密碼容易被猜測(cè)。D)未制訂用戶責(zé)任。答案:A解析:除了真正使用用戶iD、的使用者之外，還有其他人通過(guò)該iD、對(duì)系統(tǒng)進(jìn)行訪問(wèn)。因此，讓每一個(gè)使用者都負(fù)責(zé)任是不可能的。所有的用戶iD、，不僅僅是共享的iD、，都可以被未經(jīng)授權(quán)的個(gè)體使用。訪問(wèn)管理和共享iD、沒(méi)有不同之處，共享iD、沒(méi)有必要設(shè)置簡(jiǎn)單的、易被猜測(cè)的密碼。[單選題]76.一家B2C電子商務(wù)網(wǎng)站的信息安全程序要求能夠監(jiān)測(cè)和預(yù)防黑客的活動(dòng)，一時(shí)有可疑行為即警示系統(tǒng)管理員。下面的哪個(gè)系統(tǒng)組件可以實(shí)現(xiàn)這個(gè)目標(biāo)？A)入侵監(jiān)測(cè)系統(tǒng)（IDS）B)防火墻C)路由器D)不對(duì)稱(chēng)加密答案:A解析:[單選題]77.除所有系統(tǒng)的備份注意事項(xiàng)之外，為在線系統(tǒng)提供備份時(shí)以下哪一項(xiàng)是重要的注意事項(xiàng)?A)保留系統(tǒng)軟件參數(shù)B)確保交易日志記錄的定期轉(zhuǎn)儲(chǔ)C)確保祖-父-子文件備份D)在非現(xiàn)場(chǎng)位置保存重要數(shù)據(jù)答案:B解析:A.保留系統(tǒng)軟件參數(shù)對(duì)所有系統(tǒng)都很重要，不單是在線系統(tǒng)。B.確保交易日志記錄的定期轉(zhuǎn)儲(chǔ)是及時(shí)保留歷史數(shù)據(jù)的唯一安全方法。因?yàn)樵诰€系統(tǒng)沒(méi)有可用于重建數(shù)據(jù)的紙上記錄，維護(hù)交易日志對(duì)保護(hù)數(shù)據(jù)丟失極其重要.通常與在線系統(tǒng)相關(guān)聯(lián)的活動(dòng)量可能會(huì)使其他較傳統(tǒng)的備份方法變得不切實(shí)際。C.對(duì)于所有系統(tǒng)而言，保留數(shù)代備份是良好實(shí)踐。D.所有備份都應(yīng)考慮在可訪問(wèn)但同時(shí)不大可能受同一災(zāi)難影響的位置進(jìn)行異地存儲(chǔ)。[單選題]78.執(zhí)行數(shù)據(jù)庫(kù)審時(shí)，IS審計(jì)師注意到數(shù)據(jù)庫(kù)中的某些表未被正規(guī)化。該IS審計(jì)師接下來(lái)應(yīng)該:A)建議對(duì)數(shù)據(jù)庫(kù)進(jìn)行正規(guī)化B)審查概念數(shù)據(jù)模型C)審查存儲(chǔ)過(guò)程D)審查理由。答案:D解析:A.在進(jìn)行進(jìn)一步調(diào)查之前，IS審計(jì)師不應(yīng)建議對(duì)數(shù)據(jù)庫(kù)進(jìn)行正規(guī)化。B.審查概念數(shù)據(jù)模型不能提供關(guān)于正規(guī)化的信息或證明正規(guī)化的水平C.審存儲(chǔ)過(guò)程不能提供關(guān)于正規(guī)化的信息。D.如果數(shù)據(jù)庫(kù)未被正規(guī)化，IS審計(jì)師應(yīng)審查理由，因?yàn)樵谀承┣闆r下，由于性能原因而建議進(jìn)行逆正規(guī)化[單選題]79.審計(jì)師觀察到不存在恰當(dāng)?shù)捻?xiàng)目批準(zhǔn)流程，他應(yīng)該：A)提供詳細(xì)流程建議實(shí)施。B)尋找沒(méi)有書(shū)面批準(zhǔn)流程的證據(jù)。C)確認(rèn)缺乏恰當(dāng)?shù)捻?xiàng)目批準(zhǔn)流程是不足的項(xiàng)目管理技能的風(fēng)險(xiǎn)標(biāo)志，建議項(xiàng)目管理培訓(xùn)作為補(bǔ)償性控制D)向管理層建議采取恰當(dāng)?shù)捻?xiàng)目批準(zhǔn)流程并文檔化。答案:D解析:如果IS審計(jì)師觀察到不存在項(xiàng)目批準(zhǔn)流程，他應(yīng)該向管理層建議采取正式的批準(zhǔn)流程并且文檔化。[單選題]80.要確定是否對(duì)生產(chǎn)代碼進(jìn)行了未經(jīng)授權(quán)的更改，最佳審計(jì)程序是:A)檢査變更控制系統(tǒng)記錄，然后進(jìn)一步追蹤至目標(biāo)代碼文件。B)審查生產(chǎn)程序庫(kù)內(nèi)運(yùn)作的訪問(wèn)控制權(quán)限。C)檢查目標(biāo)代碼以找到變更實(shí)例，并追蹤相關(guān)變更控制記錄。D)審查變更控制系統(tǒng)中確立的變更審批指示。答案:C解析:A.檢查變更控制系統(tǒng)記錄不能發(fā)現(xiàn)未在控制系統(tǒng)中記錄的變更。B.審查訪問(wèn)控制權(quán)限不能發(fā)現(xiàn)之前進(jìn)行的未經(jīng)授權(quán)的變更。C.檢查目標(biāo)代碼文件來(lái)建立代碼變更實(shí)例以及回湖追蹤這些代碼變更至變更控制記錄的流程是一項(xiàng)實(shí)質(zhì)性測(cè)試，可直接解決未授權(quán)代碼變更的風(fēng)險(xiǎn)問(wèn)題。D.審査變更審批指示不能發(fā)現(xiàn)未經(jīng)授權(quán)的變更。[單選題]81.審計(jì)客戶/服務(wù)器資料庫(kù)安全時(shí)，IS審計(jì)師應(yīng)該最關(guān)注于哪一方面的可用性？A)系統(tǒng)工具B)應(yīng)用程序生成器C)系統(tǒng)安全文文件D)訪問(wèn)存儲(chǔ)流程答案:A解析:[單選題]82.下列哪一項(xiàng)在網(wǎng)絡(luò)管理中是被廣泛接受的關(guān)鍵部件？A)配置管理B)拓?fù)溆成銫)，應(yīng)用監(jiān)測(cè)工具D)，代理服務(wù)器疑難解答答案:A解析:在任何網(wǎng)絡(luò)中配置管理是被廣泛接受的一個(gè)重要組件，因?yàn)樗_立了網(wǎng)絡(luò)在內(nèi)部和外部如何起作用。它還涉及配置管理和性能監(jiān)測(cè)。拓?fù)溆成涮峁┝司W(wǎng)絡(luò)組件及其連通的輪廓。應(yīng)用監(jiān)測(cè)不是最基本的，代理服務(wù)器排除故障用于故障排除的目的。[單選題]83.當(dāng)檢查一個(gè)組織桌面的符合性時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該最關(guān)注，如果被軟件：A)被安裝，但沒(méi)有在IT部門(mén)備案B)被安裝，許可證已到期C)沒(méi)有在被批準(zhǔn)軟件標(biāo)準(zhǔn)文件中D)許可證將在15天后到期答案:C解析:選項(xiàng)C暗示該軟件沒(méi)有被政策允許。任何被許可的軟件應(yīng)該在標(biāo)準(zhǔn)軟件列表中。這是首先要檢查的是符合政策。不符合將導(dǎo)致IT和法律上的風(fēng)險(xiǎn)。其他的選項(xiàng)是重要問(wèn)題，但是沒(méi)有在電腦上安裝未被批準(zhǔn)的軟件關(guān)鍵。[單選題]84.含有機(jī)密數(shù)據(jù)的硬盤(pán)已損壞，并且無(wú)法修復(fù)。要防止對(duì)該硬盤(pán)上的數(shù)據(jù)進(jìn)行訪問(wèn)，應(yīng)對(duì)該硬盤(pán)采取哪項(xiàng)操作？A)用隨機(jī)的O和1對(duì)該硬盤(pán)進(jìn)行重寫(xiě)。B)低級(jí)格式化該硬盤(pán)。C)消磁該硬盤(pán)。D)對(duì)該硬盤(pán)進(jìn)行物理破壞。答案:D解析:對(duì)該硬盤(pán)進(jìn)行物理破壞是確保數(shù)據(jù)不能恢復(fù)的最經(jīng)濟(jì)實(shí)用的方式。重寫(xiě)數(shù)據(jù)和低級(jí)別格式化是不現(xiàn)實(shí)的，因?yàn)橛脖P(pán)已損壞。消磁是個(gè)低效過(guò)程，因?yàn)橄胍浞钟行В枰獙?zhuān)業(yè)和昂貴的設(shè)備。[單選題]85.下列哪種網(wǎng)絡(luò)配置最好的支持可用性？A)網(wǎng)狀B)環(huán)C)星D)總線答案:A解析:盡管物理上實(shí)施上不實(shí)用，網(wǎng)狀提供網(wǎng)絡(luò)通訊路徑最大的冗余。[單選題]86.下面那一項(xiàng)最可能指出客戶數(shù)據(jù)庫(kù)應(yīng)該保留在內(nèi)部而不是外包到境外運(yùn)作？A)時(shí)區(qū)差異可能會(huì)造成IT部門(mén)之間溝通受阻B)第一年的通信費(fèi)用可能會(huì)非常高C)保密法可能會(huì)阻止跨界傳送信息D)軟件開(kāi)發(fā)可以要求更具體的規(guī)格答案:A解析:保密法律禁止個(gè)人識(shí)別信息的跨國(guó)流動(dòng)，這可能使將包含客戶信息的數(shù)據(jù)庫(kù)放置到其他國(guó)家變得不可能。時(shí)區(qū)差異和高額的通信成本是可管理的。當(dāng)處理境外操作時(shí)，軟件開(kāi)發(fā)通常要求更高的規(guī)格。[單選題]87.當(dāng)一個(gè)應(yīng)用開(kāi)發(fā)商想要用昨天生產(chǎn)交易文件的副本用來(lái)測(cè)試時(shí)，IS審計(jì)師的最主要的關(guān)注是：A)用戶更愿意使用人為的數(shù)據(jù)來(lái)測(cè)試B)會(huì)導(dǎo)致未授權(quán)地訪問(wèn)敏感數(shù)據(jù)C)錯(cuò)誤掛起和不能充分證明的可信檢查D)對(duì)于新處理的所有功能可能不都需要被測(cè)試答案:B解析:除非數(shù)據(jù)篩選，否則有敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。點(diǎn)評(píng)：生產(chǎn)數(shù)據(jù)進(jìn)行測(cè)試考慮敏感性問(wèn)題[單選題]88.與自上而下測(cè)試法相比，使用自下而上軟件測(cè)試法的優(yōu)點(diǎn)是A)能夠提早發(fā)現(xiàn)接口錯(cuò)誤。B)能夠提早樹(shù)立對(duì)系統(tǒng)的信心。C)能夠提早檢測(cè)出關(guān)鍵模塊中的錯(cuò)誤。D)能夠提早測(cè)試主要功能和處理。答案:C解析:A.接口錯(cuò)誤在測(cè)試流程的后期才可作為集成或系統(tǒng)測(cè)試結(jié)果被發(fā)現(xiàn)。B.對(duì)系統(tǒng)的信心只有在測(cè)試完成后才能獲得。C.自下而上軟件測(cè)試法先從程序或模塊等基元單元開(kāi)始測(cè)試，然后由下而上直到完成整個(gè)系統(tǒng)測(cè)試。事實(shí)上，使用自下而上軟件測(cè)試法的優(yōu)點(diǎn)是，能夠提早發(fā)現(xiàn)關(guān)鍵模塊中的錯(cuò)誤。D.自下而上的測(cè)試方法測(cè)試的是單個(gè)組件，主要功能和處理在系統(tǒng)和集成測(cè)試完成前不能得到充分的測(cè)試。[單選題]89.由誰(shuí)負(fù)授權(quán)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn):A)數(shù)據(jù)所有者。B)安全管理員。C)IT安全經(jīng)理。D)請(qǐng)求者的直屬上司。答案:A解析:A.開(kāi)發(fā)業(yè)務(wù)應(yīng)用時(shí)，良好