試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷28)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.某個(gè)基于TCP/IP的環(huán)境暴露于互聯(lián)網(wǎng)中。以下哪項(xiàng)最能確保在傳輸信息時(shí)存在完整的加密和身份認(rèn)證協(xié)議來保護(hù)消息？A)在具有IP安全的隧道模式下，使用身份認(rèn)證頭（AH）和封裝安全負(fù)載（ESP）嵌套的服務(wù)來完成工作。B)采用RSA的數(shù)字簽名已實(shí)施C)使用采用RSA的數(shù)字認(rèn)證。D)在TCP服務(wù)中完成工作。答案:A解析:具有IP安全的隧道模式可為真?zhèn)€IP數(shù)據(jù)包提供加密和身份認(rèn)證。為達(dá)到此目的，AH和ESP服務(wù)可以使嵌套的。選項(xiàng)B和C提供身份認(rèn)證和完整性。TCP服務(wù)不提供機(jī)密和身份認(rèn)證。[單選題]2.作為業(yè)務(wù)連續(xù)性計(jì)劃(BCP)過程的一部分，在業(yè)務(wù)影響分析(BlA)中首先應(yīng)確定下列哪一項(xiàng)?A)單點(diǎn)故障和基礎(chǔ)架構(gòu)風(fēng)險(xiǎn)等風(fēng)險(xiǎn)B)各關(guān)鍵業(yè)務(wù)流程所面臨的威脅C)關(guān)鍵業(yè)務(wù)流程，以便確定恢復(fù)優(yōu)先級(jí)別D)業(yè)務(wù)恢復(fù)所需的資源答案:C解析:A.風(fēng)險(xiǎn)在識(shí)別關(guān)鍵業(yè)務(wù)流程之后確定。B.只有確定關(guān)鍵業(yè)務(wù)流程之后之后，可確定對(duì)關(guān)鍵業(yè)務(wù)流程的威脅C.應(yīng)首先確定關(guān)鍵業(yè)務(wù)流程，然后才能記錄恢復(fù)的優(yōu)先級(jí)和時(shí)間線。D.確定關(guān)鍵業(yè)務(wù)流程之后，才可確定業(yè)務(wù)恢復(fù)所需的資源。[單選題]3.以下哪個(gè)選項(xiàng)是實(shí)施限制IT員工兼職就業(yè)政策的主要原因?A)防止濫用公司資源B)防止出現(xiàn)利益沖突C)防止出現(xiàn)員工績效問題D)防止IT資產(chǎn)遭到竊取答案:B解析:A.用企業(yè)資源是一個(gè)必須解決的問題，但不一定與兼職有關(guān)。B.實(shí)施和強(qiáng)化兼職管理的政策主要是希望防止利益沖突。應(yīng)制定政策控制尋求兼職的IT員工泄露敏感信息或?yàn)楦?jìng)爭(zhēng)性公司工作。利益沖突可能會(huì)造成重大風(fēng)險(xiǎn)，例如欺詐、竊取知識(shí)產(chǎn)權(quán)或其他不當(dāng)行為。C.如果員工工作超量或休息時(shí)間不足，員工績效肯定會(huì)有問題，但這應(yīng)通過管理職能解決，而不是制定兼職政策的主要原因。D.竊取資產(chǎn)是一個(gè)問題，但不一定與兼職有關(guān)。[單選題]4.因?yàn)镮S審計(jì)團(tuán)隊(duì)資源限制，原批準(zhǔn)的審計(jì)計(jì)劃無法實(shí)施。假定已通過審計(jì)報(bào)告通報(bào)情況，最可接受的做法是哪一項(xiàng)?A)測(cè)試控制設(shè)計(jì)的充分性。B)測(cè)試控制的運(yùn)作效率C)著重審計(jì)高風(fēng)險(xiǎn)領(lǐng)域D)依靠管理層測(cè)試控制。答案:C解析:A.測(cè)試控制設(shè)計(jì)的充分性并非最佳做法，原因在于這并不能確?？刂瓢丛O(shè)計(jì)意圖有效運(yùn)作B.測(cè)試控制運(yùn)作效率無法確保審計(jì)計(jì)劃重點(diǎn)關(guān)注風(fēng)險(xiǎn)最高的領(lǐng)域。C.縮小范圍和著重審計(jì)高風(fēng)險(xiǎn)領(lǐng)域是最佳做法D.依靠管理層測(cè)試控制并不能帶來控制環(huán)境的客觀驗(yàn)證。[單選題]5.有幾種方法可用來確保電信連續(xù)性。通過分離的電纜或重復(fù)的電纜設(shè)施為流量進(jìn)行路由選擇的方法稱為A)備用路由。B)多路由選擇。C)長距離網(wǎng)絡(luò)多樣性。D)最后一英里電路保護(hù)。答案:B解析:A.備用路由是通過備用介質(zhì)(如銅質(zhì)電纜或光纖)對(duì)信息進(jìn)行路由選擇的方法。此方法涉及到在正常網(wǎng)絡(luò)不可用時(shí)使用其他網(wǎng)絡(luò)、電路或端點(diǎn)。B.多路由選擇是通過分離的電纜設(shè)施或重復(fù)的電纜設(shè)施為流量進(jìn)行路由選擇的。實(shí)施時(shí)可以使用不同的和/或重復(fù)的電纜護(hù)套。如果使用的是不同的電纜護(hù)套，則電纜可能位于同一導(dǎo)線管中，從而會(huì)受到與該電纜所后援的電纜相同的于擾。通信服務(wù)用戶可通過設(shè)置備用路徑來復(fù)制設(shè)施，但是連接客戶駐地的入口和出口可能仍是位于同一導(dǎo)線管中。用戶通過當(dāng)?shù)剡\(yùn)營商即可實(shí)現(xiàn)多路由選擇和備用路由選擇(包括雙入口設(shè)施)。這種訪問很耗費(fèi)時(shí)間，成本也高。C.長距離網(wǎng)絡(luò)多樣性是一種多樣化的長途網(wǎng)絡(luò)，其采用主要長途運(yùn)營商的不同的包交換電路。這可確保在任何一家運(yùn)營商出現(xiàn)網(wǎng)絡(luò)故障時(shí)，仍可正常進(jìn)行長途訪問。D.最后一英里電路保護(hù)是以冗余方式將當(dāng)?shù)剡\(yùn)營商T-1線路(歐洲為E-1)、微波和/或同軸電纜組合使用來訪問本地通信環(huán)路。這使得相應(yīng)設(shè)施能夠在發(fā)生本地運(yùn)營商通訊災(zāi)難期間繼續(xù)進(jìn)行訪問。此外，還可使用其他本地運(yùn)營商路由選擇。[單選題]6.以下哪一項(xiàng)是確保事故響應(yīng)活動(dòng)與業(yè)務(wù)連續(xù)性管理要求相一致的最佳方式?A)起草和發(fā)布企業(yè)級(jí)事故響應(yīng)的明確做法。B)建立跨部門的工作組以分享觀點(diǎn)C)開發(fā)情景并執(zhí)行結(jié)構(gòu)化的穿行測(cè)試D)制定用于端對(duì)端災(zāi)難恢復(fù)測(cè)試的項(xiàng)目計(jì)劃答案:C解析:A.發(fā)布企業(yè)級(jí)事故響應(yīng)計(jì)劃僅限在業(yè)務(wù)連續(xù)性管理自動(dòng)適應(yīng)事故響應(yīng)時(shí)才有效。事故響應(yīng)支持業(yè)務(wù)連續(xù)性管理，但不是反之亦然。B.分享觀點(diǎn)很重要，但工作組并不?定能夠確保計(jì)劃之間的接口切實(shí)可行。C.包含事故響應(yīng)與業(yè)務(wù)連續(xù)性管理人員的結(jié)構(gòu)化穿行測(cè)試為識(shí)別計(jì)劃之間的間隙或不一致之處提供最好的機(jī)會(huì)。D.專為災(zāi)難恢復(fù)而制訂的計(jì)劃并不一定能夠解決業(yè)務(wù)連續(xù)性管理或響應(yīng)中存在的缺乏。[單選題]7.一位信息系統(tǒng)審計(jì)師在檢查IT安全風(fēng)險(xiǎn)管理程序，安全風(fēng)險(xiǎn)的測(cè)量應(yīng)該:A)列舉所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B)對(duì)應(yīng)IT戰(zhàn)略計(jì)劃持續(xù)跟蹤C(jī))考慮整個(gè)IT環(huán)境D)識(shí)別對(duì)(信息系統(tǒng))的弱點(diǎn)的容忍度的結(jié)果答案:C解析:當(dāng)評(píng)估IT安全風(fēng)險(xiǎn)時(shí)，考慮整個(gè)IT環(huán)境是至關(guān)重要的。安全風(fēng)險(xiǎn)的測(cè)量應(yīng)該集中在最重要的方面從而使用盡可能少的成本來獲得最大的風(fēng)險(xiǎn)縮減。IT戰(zhàn)略計(jì)劃不夠細(xì)節(jié)，所以也不能提供對(duì)應(yīng)的應(yīng)對(duì)措施。應(yīng)該根據(jù)可測(cè)量的目標(biāo)來持續(xù)追蹤客觀的度量(參數(shù))，從而通過拿今天的結(jié)果比較上周、上個(gè)月、上個(gè)季度的結(jié)果，來不斷加強(qiáng)風(fēng)險(xiǎn)的管理。風(fēng)險(xiǎn)的測(cè)量勾勒出網(wǎng)絡(luò)中所有的資產(chǎn)從而客觀測(cè)量弱點(diǎn)對(duì)應(yīng)的風(fēng)險(xiǎn)，但是并不識(shí)別對(duì)(信息系統(tǒng))弱點(diǎn)的容忍程度。[單選題]8.金融機(jī)構(gòu)每天在中央通信處理器上為所有的ATM處理上百萬筆交易。下面哪一個(gè)對(duì)于通信處理器來說是最好的應(yīng)急計(jì)劃？A)與另一個(gè)組織的互惠協(xié)議B)同一個(gè)地點(diǎn)可替換處理器C)另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的可替換處理器D)安裝雙工通信線路答案:C解析:中央通信處理器不可用將導(dǎo)致無法訪問銀行網(wǎng)絡(luò)，這可能由設(shè)備、電源或通信設(shè)備故障引起的。互惠協(xié)議將使一個(gè)公司依賴于另一個(gè)公司，會(huì)引起保密、競(jìng)爭(zhēng)和監(jiān)管問題；在一個(gè)地點(diǎn)備有可替換處理器，可以解決設(shè)備問題，但對(duì)于由環(huán)境狀況（如電力中斷）引起的故障是無效的；安裝雙工通信線路僅僅在故障是由通訊連接造成是合適的。[單選題]9.信息系統(tǒng)的戰(zhàn)略規(guī)劃應(yīng)包括：A)審查部門年度預(yù)算。B)分析企業(yè)未來的需求。C)制定開發(fā)項(xiàng)目的目標(biāo)進(jìn)程。D)制定今后5年技術(shù)平臺(tái)的規(guī)格。答案:B解析:[單選題]10.缺乏足夠的控制表示以下哪一項(xiàng)?A)影響B(tài))漏洞C)資產(chǎn)D)威勵(lì)答案:B解析:A.影響用來衡量威脅事件的可能后果(包括財(cái)務(wù)損失、聲譽(yù)受損、失去客戶信任)。B.缺乏足夠的控制就表示存在漏洞，這將使敏感信息和數(shù)據(jù)暴露在風(fēng)險(xiǎn)中，易遭受黑客、員工失誤、環(huán)境威脅或設(shè)備故障的惡意破壞、攻擊或未經(jīng)授權(quán)的訪問。這可能導(dǎo)致丟失敏感信息、經(jīng)濟(jì)損失、法律懲罰或其他損失。C.資產(chǎn)是具有有形或無形價(jià)值的、值得保護(hù)的東西，包括人員、系統(tǒng)、基礎(chǔ)設(shè)施、財(cái)務(wù)和聲譽(yù)。D.威脅是有害事故的潛在原因。[單選題]11.IT資產(chǎn)管理層審查發(fā)現(xiàn)，路由器和交換機(jī)在處置前沒有經(jīng)過消毒。這種情況的最大擔(dān)憂是什么？A)配置文件可能會(huì)從設(shè)備中提取并危及網(wǎng)絡(luò)安全B)員工沒有遵守企業(yè)的消毒政策和程序C)機(jī)密數(shù)據(jù)文件可能會(huì)從設(shè)備中提取并導(dǎo)致隱私泄露D)消毒不是IT部門安全意識(shí)培訓(xùn)計(jì)劃的一部分答案:A解析:[單選題]12.審計(jì)業(yè)務(wù)連續(xù)性戰(zhàn)略時(shí)，信息系統(tǒng)審計(jì)師與組織中的關(guān)鍵的利益相關(guān)者面談來了解他們對(duì)自己(B、C、P中的)角色和職責(zé)的理解程度。信息系統(tǒng)審計(jì)師會(huì)評(píng)估以下哪一方面？A)業(yè)務(wù)連續(xù)性計(jì)劃的清晰度和簡(jiǎn)潔度。B)業(yè)務(wù)連續(xù)性計(jì)劃考慮的充分性。C)業(yè)務(wù)連續(xù)性計(jì)劃有效性。D)信息系統(tǒng)的能力及最終用戶在緊急情況下的響應(yīng)能力。答案:A解析:信息系統(tǒng)審計(jì)師通過與組織中的主要幾位關(guān)鍵的利益相關(guān)者面談來評(píng)估他們對(duì)自己(B、C、P中的)角色和職責(zé)的理解程度。當(dāng)所有利益相關(guān)者對(duì)自身在災(zāi)難事件中的角色和職責(zé)有很細(xì)致的了解時(shí)，信息系統(tǒng)審計(jì)師就能夠確信(該組織的)業(yè)務(wù)連續(xù)性計(jì)劃是清晰和簡(jiǎn)潔的。評(píng)估(業(yè)務(wù)連續(xù)性計(jì)劃)的充分性，信息系統(tǒng)審計(jì)師需要審核對(duì)應(yīng)的(業(yè)務(wù)連續(xù)性)計(jì)劃并與相關(guān)標(biāo)準(zhǔn)進(jìn)行比對(duì)。評(píng)估有效性，信息系統(tǒng)審計(jì)師需要審核之前(業(yè)務(wù)連續(xù)性計(jì)劃)演練的結(jié)果。這是最好的評(píng)估有效性的測(cè)量。當(dāng)然各個(gè)關(guān)鍵利益相關(guān)者對(duì)角色和職責(zé)的理解能夠有利于保證(業(yè)務(wù)連續(xù)性計(jì)劃)的有效性。評(píng)估(應(yīng)急)響應(yīng)的情況，信息系統(tǒng)審計(jì)師需要檢查演練情況，這將為信息系統(tǒng)審計(jì)師提供保證目標(biāo)和恢復(fù)時(shí)間是相符的。需要審核緊急流程和雇員培訓(xùn)，以確定組織執(zhí)行的計(jì)劃考慮了響應(yīng)效果。[單選題]13.以下哪項(xiàng)加密算法選項(xiàng)會(huì)增加開銷/成本？A)使用對(duì)稱加密，而不是非對(duì)稱加密B)使用加長的非對(duì)稱加密密鑰C)加密的是哈希而非消息D)使用密鑰答案:B解析:對(duì)于較長的非對(duì)稱加密密鑰，計(jì)算機(jī)的處理時(shí)間會(huì)增加，并且這種增長是不成比例的。例如，一個(gè)基準(zhǔn)測(cè)試顯示RSA密鑰的長度增加一倍（從512位增至1024位），會(huì)造成解密時(shí)間增加近6倍。相對(duì)于對(duì)稱算法，非對(duì)稱算法需要更多處理時(shí)間。哈希的長度短于原始消息，因此如果對(duì)哈希而非消息進(jìn)行加密，所需的開銷更少。作為對(duì)稱加密密鑰來使用的密鑰通常很小，并可用于加密用戶數(shù)據(jù)。[單選題]14.下列說法滿足信息系統(tǒng)安全官關(guān)于安全控制有效性的目標(biāo)：【待查書】A)基于風(fēng)險(xiǎn)分析的結(jié)果構(gòu)成完整的控制需求。B)控制已經(jīng)被測(cè)試。C)給予風(fēng)險(xiǎn)分析的結(jié)構(gòu)構(gòu)成安全控制的詳細(xì)要求。D)控制可重現(xiàn)地被測(cè)試。答案:D解析:安全控制的測(cè)試和評(píng)估應(yīng)該在系統(tǒng)開發(fā)時(shí)，系統(tǒng)運(yùn)行前，并且可重現(xiàn)地以合理的時(shí)間間隔進(jìn)行。[單選題]15.審計(jì)數(shù)據(jù)通訊系統(tǒng)的第一步是確定：A)網(wǎng)絡(luò)設(shè)備的物理安全性。B)流量和響應(yīng)時(shí)間標(biāo)準(zhǔn)。C)業(yè)務(wù)使用和要傳輸?shù)南㈩愋?。D)各種通訊路徑中的冗余度。答案:C解析:[單選題]16.IS審計(jì)師在核實(shí)互聯(lián)網(wǎng)服務(wù)商（ISP）是否遵守外包電信服務(wù)可用性的企業(yè)服務(wù)水平協(xié)議（SLA）時(shí)，以下哪個(gè)報(bào)告屬于最合適的信息來源？A)ISP提供的通訊服務(wù)故障報(bào)告B)企業(yè)生成的自動(dòng)故障切換服務(wù)應(yīng)用報(bào)告C)ISP提供的寬帶使用報(bào)告D)企業(yè)提供的通訊服務(wù)故障報(bào)告答案:D解析:企業(yè)應(yīng)使用內(nèi)部產(chǎn)生的故障報(bào)告來監(jiān)測(cè)ISP供應(yīng)商所提供的服務(wù)和可用性，如果ISP也提供了報(bào)告，可以比較兩個(gè)報(bào)告。ISP生成的故障報(bào)告是由被監(jiān)測(cè)實(shí)體產(chǎn)生的，因此，有必要審查這些報(bào)告可能存在與其它偏差和/或錯(cuò)誤。企業(yè)提供的故障自動(dòng)切換報(bào)告提供的信息間接地證明了備份通訊服務(wù)被應(yīng)用的程度。使用情況報(bào)告僅是用來測(cè)量帶寬的使用，不是正常的運(yùn)行時(shí)間。[單選題]17.下列那一項(xiàng)能保證發(fā)送者的真實(shí)性和e-mail的機(jī)密性？A)用發(fā)送者的私鑰加密消息散列(hash)，然后用接收者的公鑰加密消息散列(hash)B)發(fā)送者對(duì)消息進(jìn)行數(shù)字簽名然后用發(fā)送者的私鑰加密消息散列(hash)C)用發(fā)送者的私鑰加密消息散列(hash)，然后用接收者的公鑰加密消息。D)用發(fā)送者的私鑰加密消息，然后用接收者的公鑰加密消息散列(hash)答案:A解析:為了保證真實(shí)性與機(jī)密性，一條消息必須加密兩次：首先用發(fā)送者的私鑰，然后用接收者的公鑰。接收者可以解密消息，這樣就保證了機(jī)密性。然后，解密的消息可以用發(fā)送者的公鑰再解密，保證了消息的真實(shí)性。用發(fā)送者的私鑰加密的話，任何人都可以解密它。[單選題]18.如果數(shù)據(jù)中心發(fā)生災(zāi)難，下列那一項(xiàng)完整恢復(fù)一個(gè)關(guān)鍵數(shù)據(jù)庫的策略是最適合的?A)每日備份到磁帶并存儲(chǔ)到異地B)實(shí)時(shí)復(fù)制到異地C)硬盤鏡像到本地服務(wù)器D)實(shí)時(shí)數(shù)據(jù)備份到本地網(wǎng)格存儲(chǔ)答案:B解析:有了實(shí)施的遠(yuǎn)程地址復(fù)制功能，數(shù)據(jù)能在兩個(gè)單獨(dú)的區(qū)域同時(shí)更新，因此一個(gè)點(diǎn)的災(zāi)難將不會(huì)破壞遠(yuǎn)程站點(diǎn)上的信息。在這種條件下，兩個(gè)地點(diǎn)都不會(huì)受災(zāi)難影響。每天的磁帶備份恢復(fù)會(huì)丟失當(dāng)天的數(shù)據(jù)。選項(xiàng)C、和D、都是在同一個(gè)數(shù)據(jù)中心，會(huì)受同樣的災(zāi)難影響。[單選題]19.可以降低社交工程攻擊的潛在影響的是：A)遵從法規(guī)的要求B)提高道德水平C)安全意識(shí)計(jì)劃（如：促進(jìn)安全意識(shí)的教育）D)有效的績效激勵(lì)政策答案:C解析:[單選題]20.在審計(jì)自動(dòng)系統(tǒng)時(shí)未必能分清責(zé)任及報(bào)告行是因?yàn)椋篈)多樣化控制導(dǎo)致所有權(quán)不恰當(dāng)B)員工常規(guī)工作變動(dòng)頻率較高C)在資源被分享的地方，所有權(quán)很難被建立起來。D)在技術(shù)高速發(fā)展的今天，責(zé)任改變得太頻繁。答案:A解析:由于數(shù)據(jù)和應(yīng)用系統(tǒng)的多種固有原因，數(shù)據(jù)和應(yīng)用系統(tǒng)的實(shí)際所有者很難確定。[單選題]21.降低網(wǎng)絡(luò)釣魚相關(guān)風(fēng)險(xiǎn)的最有效控制是：A)集中監(jiān)控系統(tǒng)。B)在防病毒軟件中加入網(wǎng)絡(luò)釣魚的簽名。C)在內(nèi)聯(lián)網(wǎng)中發(fā)布反網(wǎng)絡(luò)釣魚的政策。D)為所有用戶提供安全培訓(xùn)。答案:D解析:網(wǎng)絡(luò)釣魚是一種電子郵件攻擊，試圖使用戶相信發(fā)起人的真實(shí)性來達(dá)到獲取信息的目的。網(wǎng)絡(luò)釣魚是社會(huì)工程攻擊的例證。任何一種社會(huì)工程攻擊都可通過安全意識(shí)培訓(xùn)得到最佳控制。[單選題]22.負(fù)責(zé)對(duì)訪問業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行授權(quán)的人員是?A)數(shù)據(jù)所有者。B)安全管理員。C)IT安全經(jīng)理。D)請(qǐng)求者的直屬上司答案:A解析:開發(fā)業(yè)務(wù)應(yīng)用程序時(shí)，最佳的做法是為應(yīng)用程序指派一個(gè)信息或數(shù)據(jù)所有者。由信息所有者負(fù)責(zé)對(duì)訪問應(yīng)用程序本身或訪問后端查詢數(shù)據(jù)庫進(jìn)行授權(quán)。選項(xiàng)B和C均不正確。因?yàn)榘踩芾韱T和安全經(jīng)理通常沒有對(duì)訪問業(yè)務(wù)應(yīng)用程序進(jìn)行授權(quán)的責(zé)任。請(qǐng)求者的直屬上級(jí)可能會(huì)承擔(dān)一部分審批用戶訪問業(yè)務(wù)應(yīng)用程序的責(zé)任。但是，最終責(zé)任應(yīng)由信息所有者承擔(dān)。[單選題]23.一個(gè)IS審計(jì)師發(fā)現(xiàn)一名數(shù)據(jù)庫管理員（DBA）有對(duì)生產(chǎn)數(shù)據(jù)（proDuCtionDAtA）讀和寫的訪問權(quán)，IS審計(jì)師應(yīng)該:A)．接受DBA的訪問權(quán)，作為一種普遍的做法B)．評(píng)估與DBA職能相關(guān)的控制C)．建議立刻取消DBA對(duì)生產(chǎn)數(shù)據(jù)的訪問權(quán)D)．再檢查由DBA認(rèn)可的用戶授權(quán)答案:A解析:當(dāng)發(fā)現(xiàn)潛在的漏洞時(shí)，這是尋找最佳控制的好做法。盡管給予數(shù)據(jù)庫管理員（DBA）對(duì)與生產(chǎn)數(shù)據(jù)的訪問權(quán)是一種常用的做法，IS審計(jì)師仍應(yīng)該評(píng)估相關(guān)控制。該DBA需要在基于知所必需（neeD-to-know）和作必所需（neeD-to-Do）的基礎(chǔ)上有擁有訪問權(quán)，因此，撤消可以移除訪問需求。通常情況下，DBA會(huì)需要對(duì)一些生產(chǎn)數(shù)據(jù)的訪問權(quán)。給予用戶授權(quán)是數(shù)據(jù)所有人的責(zé)任不是DBA的。[單選題]24.當(dāng)檢查一個(gè)虛擬局域網(wǎng)（VPN）的實(shí)施時(shí)，信息系統(tǒng)審計(jì)師最關(guān)注以下哪一個(gè)？網(wǎng)絡(luò)上的電腦位于：A)公司內(nèi)部網(wǎng)B)后備站點(diǎn)C)雇員家里D)公司遠(yuǎn)程辦公室答案:A解析:在企業(yè)網(wǎng)絡(luò)愿意接受高風(fēng)險(xiǎn)時(shí)，虛擬私人網(wǎng)絡(luò)(VPN)風(fēng)險(xiǎn)是將出現(xiàn)。在虛擬的網(wǎng)絡(luò)之上所有機(jī)器應(yīng)該受制于相同的安全政策。家用計(jì)算機(jī)是受制于公司安全政策的最少,因此是高危險(xiǎn)計(jì)算機(jī)。一旦一部計(jì)算機(jī)被攻擊、?占有?，其他的網(wǎng)絡(luò)計(jì)算機(jī)很危險(xiǎn)。當(dāng)在網(wǎng)絡(luò)上的所有計(jì)算機(jī)是在企業(yè)內(nèi)的時(shí)候,對(duì)公司安全政策的落實(shí)比較容易。在一個(gè)企業(yè)的內(nèi)部網(wǎng)上,應(yīng)該有安全政策來發(fā)現(xiàn)和中止利用內(nèi)部機(jī)器作為平臺(tái)的外部攻擊。在備份站點(diǎn)的計(jì)算機(jī)受制于公司安全政策,因此不是高危險(xiǎn)計(jì)算機(jī)。在遠(yuǎn)程辦公室的計(jì)算機(jī),也許針對(duì)不同的信息系統(tǒng)，安全員有不同的安全策略，風(fēng)險(xiǎn)比A、和B、要大一些,但是明顯比家里的計(jì)算機(jī)風(fēng)險(xiǎn)小。[單選題]25.在最近的實(shí)施后分析期間，信息系統(tǒng)審計(jì)師注意到，幾個(gè)已經(jīng)實(shí)施的應(yīng)用程序沒有被業(yè)務(wù)部門使用。最為可能的原因是缺少：A)系統(tǒng)支持文檔。B)IT組合管理。C)IT資源管理。D)變更管理。答案:B解析:[單選題]26.一個(gè)組織有一個(gè)集成開發(fā)環(huán)境（IDE），程序庫在服務(wù)器上，但是修改/開發(fā)和測(cè)試是在PC工作站中進(jìn)行的，下列哪一項(xiàng)是IDE的一個(gè)優(yōu)勢(shì)？A)分散的多個(gè)程序版本控制B)擴(kuò)大編程資源和工具使用C)增加程序和處理的完整性D)防止有效的變更被其他變更覆蓋答案:B解析:使用IDE的優(yōu)勢(shì)之一是擴(kuò)大編程資源和工具的使用，維持服務(wù)器周圍環(huán)境所有開發(fā)工具可用。IDE自身不進(jìn)行版本控制，相反會(huì)導(dǎo)致多個(gè)程序版本的存在。IDE不影響完整性，也不管理程序變更。點(diǎn)評(píng)：IDE的概念[單選題]27.在對(duì)會(huì)計(jì)應(yīng)用的內(nèi)部數(shù)據(jù)完整性控制執(zhí)行審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)在支持會(huì)計(jì)應(yīng)用的變更管理軟件中存在嚴(yán)重的控制缺陷。此時(shí)，IS審計(jì)師最適合采取以下哪項(xiàng)操作:A)繼續(xù)測(cè)試會(huì)計(jì)應(yīng)用控制，并向T經(jīng)理告知缺陷，提出可能的解決方案。B)完成審計(jì)，但不報(bào)告控制缺陷，因?yàn)樗辉趯徲?jì)范圍之內(nèi)。C)維續(xù)測(cè)試會(huì)計(jì)應(yīng)用控制，并在最終報(bào)告中說明缺陷。D)停止所有審計(jì)活動(dòng)，直到缺陷得到解決。答案:C解析:A.IS審計(jì)師不應(yīng)認(rèn)為IT經(jīng)理會(huì)跟進(jìn)口頭通知而解決變更管理的控制缺陷，并且，也不宜針對(duì)審計(jì)過程中發(fā)現(xiàn)的問題提供咨詢服務(wù)。B.雖然技術(shù)上不屬于審計(jì)范圍，但是IS審計(jì)師有責(zé)任報(bào)告在審計(jì)過程中遇到的可能對(duì)控制的有效性造成重大影響的發(fā)現(xiàn)。C.IS審計(jì)師有貴任報(bào)告可能會(huì)對(duì)控制有效性造成重大影響的發(fā)現(xiàn)一無論是否屬于審計(jì)范圍D.要求在執(zhí)行或完成審計(jì)前完成IT工作并不是IS審計(jì)師的責(zé)任[單選題]28.異地安置小組的責(zé)任包括：A)獲取、打包、運(yùn)送介質(zhì)并記錄到恢復(fù)設(shè)施上，確定并監(jiān)督異地存儲(chǔ)安排B)如果還沒有預(yù)先確定的話，尋找一個(gè)回復(fù)地點(diǎn)，協(xié)調(diào)將公司員工運(yùn)送到恢復(fù)站點(diǎn)。C)管理重置項(xiàng)目，對(duì)設(shè)施和設(shè)備的損壞程度進(jìn)行更詳細(xì)的評(píng)估D)協(xié)調(diào)從熱站遷移到新站點(diǎn)或恢復(fù)好的原始站點(diǎn)的過程答案:D解析:選項(xiàng)A是異地存儲(chǔ)小組的責(zé)任，選項(xiàng)B是運(yùn)輸小組的責(zé)任，選項(xiàng)C是救援小組的責(zé)任。[單選題]29.使用成熟模型（CMM）來評(píng)估應(yīng)用程序開發(fā)項(xiàng)目的主要目的是A)確保開發(fā)了適當(dāng)?shù)南到y(tǒng)流程和程序B)驗(yàn)證是否開發(fā)了可靠的應(yīng)用程序C)確保系統(tǒng)安全要求合理恰當(dāng)D)驗(yàn)證程序員的工作是否高效答案:B解析:通過使用CMM評(píng)估組織的開發(fā)項(xiàng)目，IS審計(jì)師可以確定開發(fā)組織是否遵守了穩(wěn)定、可預(yù)測(cè)的流程。CMM不是用來開發(fā)流程和程序、設(shè)計(jì)系統(tǒng)安全要求或是測(cè)試程序員工作效率的。點(diǎn)評(píng)：CMM的主要目的還是為了保障開發(fā)出的產(chǎn)品質(zhì)量可靠[單選題]30.網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NDMP）技術(shù)應(yīng)該用于備份，如果：A)需要附加存儲(chǔ)應(yīng)用B)必須避免使用TCP/IP協(xié)議C)不能被傳統(tǒng)的備份系統(tǒng)處理的文件必須進(jìn)行備份D)必須確保幾個(gè)相關(guān)數(shù)據(jù)集的備份的一致性答案:A解析:網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議定義了三種服務(wù)：數(shù)據(jù)服務(wù)主要是與將要備份或恢復(fù)的主存儲(chǔ)接口，次貸服務(wù)主要是二級(jí)存儲(chǔ)（主要是磁帶設(shè)備）接口，翻譯服務(wù)主要是進(jìn)行翻譯，包括將多個(gè)數(shù)據(jù)流復(fù)用到一個(gè)數(shù)據(jù)流，反之亦然。網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議服務(wù)之間相互作用。這種相互作用的結(jié)果是建立一個(gè)NDMP控制會(huì)話。如果本次會(huì)話使用來實(shí)現(xiàn)備份或還原操作控制的。如果會(huì)話是用于傳輸實(shí)際的文件系統(tǒng)或卷的數(shù)據(jù)（包括元數(shù)據(jù)），這將導(dǎo)致NDMP數(shù)據(jù)會(huì)話，控制會(huì)話總是基于TCP/IP的，但數(shù)據(jù)流可以是基于TCP/IP或SAN的。NDMP或多或少的以NAS為中心，定義了一種從NAS等設(shè)備中備份和恢復(fù)數(shù)據(jù)的方法，在這類設(shè)備中很難安裝備份軟件代理。在沒有NDMP的情況下，這這些數(shù)據(jù)必須備份到局域網(wǎng)的共享驅(qū)動(dòng)器，可以通過局域網(wǎng)的共享驅(qū)動(dòng)器，可以通過網(wǎng)絡(luò)文件協(xié)議，如通用internet文件系統(tǒng)或網(wǎng)絡(luò)文件系統(tǒng)，訪問這些共享驅(qū)動(dòng)器，降低了備份性能。NDMP以塊的標(biāo)準(zhǔn)傳輸有效載荷數(shù)據(jù)（文件內(nèi)容），但元數(shù)據(jù)和傳統(tǒng)的文件系統(tǒng)信息需要由傳統(tǒng)的備份系統(tǒng)啟動(dòng)NDMP數(shù)據(jù)遷移來處理。NDMP既不了解也不關(guān)心相關(guān)卷的一致性問題（如存儲(chǔ)數(shù)據(jù)庫文件的卷，存儲(chǔ)應(yīng)用服務(wù)的卷，存儲(chǔ)數(shù)據(jù)WEB服務(wù)器數(shù)據(jù)的卷）。NDMP可以用來在這樣的環(huán)境（如SAP）下做備份，但必須將要求的邏輯操作放入專用的軟件或改編到傳統(tǒng)備份選件中。[單選題]31.以下各項(xiàng)中，對(duì)數(shù)據(jù)倉庫的數(shù)據(jù)質(zhì)量影響最大的是？A)數(shù)據(jù)準(zhǔn)確性B)數(shù)據(jù)可靠性C)數(shù)據(jù)抽取過程的準(zhǔn)確性D)數(shù)據(jù)轉(zhuǎn)換過程的準(zhǔn)確性答案:A解析:數(shù)據(jù)準(zhǔn)確性是數(shù)據(jù)倉庫數(shù)據(jù)質(zhì)量的先決條件。數(shù)據(jù)可靠性、數(shù)據(jù)抽取過程的準(zhǔn)確性和數(shù)據(jù)轉(zhuǎn)換過程的準(zhǔn)確性也很重要，但不會(huì)將不準(zhǔn)確的數(shù)據(jù)變成準(zhǔn)確的。[單選題]32.為保證主記錄中的關(guān)鍵詞段已被正確更新，最好采用下列哪一種辦法？A)欄位檢查B)求和校驗(yàn)與控制C)合理性檢查D)審查事前和事后的維護(hù)報(bào)告答案:D解析:[單選題]33.接收EDI交易并通過通訊接口站（stage）傳遞通常要求：A)轉(zhuǎn)換和拆開交易B)選擇驗(yàn)證程序C)把資料傳遞給適當(dāng)?shù)膽?yīng)用系統(tǒng)D)建立一個(gè)記錄接收審計(jì)日志的點(diǎn)答案:B解析:[單選題]34.以下哪一項(xiàng)是啟動(dòng)數(shù)據(jù)分類程序的第一個(gè)步驟？A)盤點(diǎn)數(shù)據(jù)資產(chǎn)B)分配敏感性水平C)分配數(shù)據(jù)所有權(quán)D)評(píng)估風(fēng)險(xiǎn)偏好(riskappetite)答案:A解析:[單選題]35.對(duì)于生物識(shí)別控制設(shè)備的性能，最好的整體定量衡量法是？A)誤拒絕率（FRR）B)誤接受率（FAR）C)相等錯(cuò)誤率（EER）D)估計(jì)錯(cuò)誤率答案:C解析:低EER是低FRR和低FAR的綜合結(jié)果。以百分比表示的EER是對(duì)FRR和FAR相等次數(shù)的衡量。EER越低，說明生物識(shí)別控制設(shè)備有效。只有低FRR或只有低FAR不能衡量設(shè)備的效能。EER不存在，因此無需考慮。[單選題]36.當(dāng)評(píng)估一個(gè)組織的軟件開發(fā)實(shí)務(wù)時(shí)，信息系統(tǒng)審計(jì)師注意到質(zhì)量保證能直接報(bào)告給項(xiàng)目經(jīng)理，作為一個(gè)信息系統(tǒng)審計(jì)師最重要的關(guān)系是：A)質(zhì)量保證功能的有效性，因?yàn)轫?xiàng)目管理人員和用戶管理人員之間相互影響。B)質(zhì)量保證功能的效能，因?yàn)轫?xiàng)目實(shí)施小組的配合。C)項(xiàng)目經(jīng)理的效力，因?yàn)轫?xiàng)目經(jīng)理與質(zhì)量保證功能互相影響。D)項(xiàng)目經(jīng)理的效能，因?yàn)橘|(zhì)量保證功能需要與項(xiàng)目實(shí)施小組聯(lián)系。答案:A解析:有效的質(zhì)量保證功能應(yīng)該獨(dú)立于項(xiàng)目管理人員。質(zhì)量保證功能決不能與項(xiàng)目實(shí)施小組相關(guān)影響，因?yàn)檫@能影響有效性。項(xiàng)目經(jīng)理也不能與質(zhì)量保證功能相互影響，這也不影響項(xiàng)目經(jīng)理的效率。質(zhì)量保證功能也不能與項(xiàng)目實(shí)施小組相互影響，這也不影響項(xiàng)目經(jīng)理的效率。點(diǎn)評(píng)：QA不能向項(xiàng)目經(jīng)理報(bào)告，影響?yīng)毩⑿訹單選題]37.雙因素認(rèn)證，可規(guī)避下列哪些攻擊?A)拒絕服務(wù)B)中間人C)鍵盤記錄D)暴力破解答案:B解析:中間人攻擊類似于尾隨,攻擊者假裝是合法的訪問者，做授權(quán)用戶的交易。拒絕服務(wù)攻擊跟授權(quán)沒有關(guān)系。鍵盤記錄和暴力破解可以繞過正常的身份驗(yàn)證，但不是雙因素認(rèn)證。[單選題]38.在銀行必須準(zhǔn)確報(bào)告交易的情況下，IS審計(jì)師審計(jì)一個(gè)銀行電匯系統(tǒng)的內(nèi)容，下面哪項(xiàng)代表了審計(jì)目標(biāo)的基本重點(diǎn)？A)數(shù)據(jù)可用性B)數(shù)據(jù)保密性C)數(shù)據(jù)可用性D)數(shù)據(jù)完整性答案:D解析:完整性代表了數(shù)據(jù)的準(zhǔn)確性，保密性代表了數(shù)據(jù)只提供給客戶或者客戶指定的人。選項(xiàng)A.B.C都很重要，但不是準(zhǔn)確性方面的重點(diǎn)。點(diǎn)評(píng)：交易準(zhǔn)確--完整性[單選題]39.合適的信息資產(chǎn)存放的安全措施維護(hù)是誰的責(zé)任：A)安全管理員B)系統(tǒng)管理員C)數(shù)據(jù)和系統(tǒng)所有者D)系統(tǒng)運(yùn)行組答案:A解析:管理層應(yīng)確保所有的信息資產(chǎn)（數(shù)據(jù)和系統(tǒng)）有指定的擁有者，他能夠決定分類和訪問權(quán)限。系統(tǒng)的所有者通常委托系統(tǒng)交付/行動(dòng)小組進(jìn)行日常管理，將安全責(zé)任委托給安全管理員。但是，資產(chǎn)所有者仍然負(fù)責(zé)維持適當(dāng)?shù)陌踩胧單選題]40.為信息處理場(chǎng)所制定恢復(fù)流程的最佳依據(jù)是A)恢復(fù)時(shí)間目標(biāo)(RTO)。B)恢復(fù)點(diǎn)目標(biāo)(RPO)。C)可容忍的最長斷電時(shí)間(MTO)。D)信息安全政策。答案:A解析:A.恢復(fù)時(shí)間目標(biāo)(RTO)是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時(shí)間量;RTO是以可容忍的最長斷電時(shí)間(MTO)和可用的恢復(fù)選項(xiàng)為基礎(chǔ)的所希望的恢復(fù)時(shí)間。B.恢復(fù)點(diǎn)目標(biāo)(RPO)對(duì)給定數(shù)據(jù)的恢復(fù)策略影響最大。它是根據(jù)在發(fā)生運(yùn)營中斷時(shí)可接受的數(shù)據(jù)損失確定的。RPO能夠有效地量化在發(fā)生運(yùn)行中斷時(shí)允許的數(shù)據(jù)丟失量。C.MTO是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時(shí)間量;它代表組織面臨崩潰威脅前服務(wù)必須被恢復(fù)的時(shí)間。D.信息安全政策并不涉及恢復(fù)流程。[單選題]41.一名信息系統(tǒng)審計(jì)員被指派審閱最近外包給多個(gè)服務(wù)商的IT組織結(jié)構(gòu)和活動(dòng)。信息系統(tǒng)審計(jì)員應(yīng)該最先決定下面哪個(gè)選項(xiàng):A)在所有合同有相關(guān)的審計(jì)條款B)每個(gè)合同的服務(wù)水平協(xié)議都有適當(dāng)?shù)腒PI指標(biāo)C)服務(wù)商的合同保證支持企業(yè)的業(yè)務(wù)需求D)合同終止時(shí)，每個(gè)外包商會(huì)保證有新的外包商提供服務(wù)支持答案:A解析:與責(zé)任和擔(dān)保的復(fù)雜性和相互影響相匹配的IT組織結(jié)構(gòu)的復(fù)雜性可能影響和架空那些擔(dān)保的有效性以及業(yè)務(wù)需求得到滿足的合理保證。其他所有選項(xiàng)都是重要的，但不像外包商之間多樣和關(guān)鍵的合同責(zé)任相互影響方面具有潛在的威脅。[單選題]42.作為信息安全治理的結(jié)果，戰(zhàn)略一致性提供了:A)由企業(yè)需求驅(qū)動(dòng)的安全要求。B)符合良好實(shí)踐的基準(zhǔn)安全。C)制度化和商品化的解決方案。D)對(duì)風(fēng)險(xiǎn)暴露的了解。答案:A解析:A.信息安全治理如果得到了正確實(shí)施，應(yīng)該會(huì)提供以下四種基本成果:策略一致性、價(jià)值交付、風(fēng)險(xiǎn)管理以及績效衡量。戰(zhàn)略一致性為企業(yè)要求驅(qū)動(dòng)的安全要求提供了依據(jù)。B.戰(zhàn)略一致性保證安全與業(yè)務(wù)目標(biāo)相一致。提供一套標(biāo)準(zhǔn)的安全實(shí)踐(即，符合良好實(shí)踐的基線安全，或制度化和商品化解決方案)是價(jià)值交付的一部分。C.價(jià)值交付解決的是方案的有效性和效率問題，但不是戰(zhàn)略一致性的結(jié)果D.風(fēng)險(xiǎn)管理是治理的主要目標(biāo)，但戰(zhàn)略一致性關(guān)注的不是對(duì)風(fēng)險(xiǎn)暴露的了解[單選題]43.當(dāng)一個(gè)新的系統(tǒng)是要在很短的時(shí)間內(nèi)實(shí)現(xiàn)，最重要的是要：A)完成寫作用戶手冊(cè)B)執(zhí)行用戶驗(yàn)收測(cè)試。C)添加在最后一分鐘的增強(qiáng)功能。D)確保該代碼已被記錄和審閱。答案:A解析:最重要的是完成用戶驗(yàn)收測(cè)試，來保證系統(tǒng)能夠正確地工作。用戶手冊(cè)的完成類似執(zhí)行代碼審核。如果時(shí)間很緊，且有人想增強(qiáng)功能，必須對(duì)代碼封版并完成測(cè)試，然后再增加其他功能。確保代碼被記錄和審閱似乎合適，但是如果用戶驗(yàn)收測(cè)試不能完成，就得不到系統(tǒng)能夠正確運(yùn)行并滿足用戶需求的保證。[單選題]44.下面哪一項(xiàng)是恢復(fù)臨界系統(tǒng)的最合理方案?A)溫站B)移動(dòng)站C)熱站D)冷站答案:D解析:通常，冷站的成本比較低，它只提供最基本的環(huán)境。因此冷站的運(yùn)作需要更多時(shí)間，通常用于非臨界應(yīng)用。溫站是中等成本的，投入使用需要較少的時(shí)間，并適合敏感的行動(dòng)。移動(dòng)站點(diǎn)是一種特別設(shè)計(jì)的拖車式計(jì)算設(shè)備，它可以快速地轉(zhuǎn)移到業(yè)務(wù)部門或到恢復(fù)站點(diǎn)。熱站使業(yè)務(wù)系統(tǒng)在在較短的時(shí)間內(nèi)恢復(fù)運(yùn)行，在更高的成本，是適合恢復(fù)非常重要和關(guān)鍵的應(yīng)用、[單選題]45.以下哪一種系統(tǒng)性技術(shù)可被財(cái)務(wù)處理公司用來監(jiān)控開支的構(gòu)成模型并鑒別和報(bào)告異常情況？A)神經(jīng)網(wǎng)路B)資料庫管理軟件C)管理信息系統(tǒng)D)計(jì)算機(jī)輔助審計(jì)技術(shù)答案:A解析:[單選題]46.在拒絕服務(wù)（DoS）攻擊中保護(hù)網(wǎng)絡(luò)成為一個(gè)放大器的最好過濾規(guī)則是拒絕所有：A)使用IP源地址向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。B)使用可辨別的源IP地址接受數(shù)據(jù)。C)使用IP選項(xiàng)設(shè)置接受數(shù)據(jù)。D),向關(guān)鍵主機(jī)接受數(shù)據(jù)。答案:A解析:使用一個(gè)源地址作為流量的發(fā)送端不同于使用網(wǎng)絡(luò)中的一個(gè)段地址，它不是有效的。大多數(shù)情況，DoS攻擊源于一個(gè)內(nèi)部用戶或者一個(gè)內(nèi)部的危險(xiǎn)機(jī)器；這兩種情況都能用過濾器阻止。[單選題]47.某IS審計(jì)師正在審查某應(yīng)用程序的訪問權(quán)限，以確定最近添加的帳戶是否經(jīng)過適當(dāng)授權(quán)。這是以下哪一項(xiàng)的示例?A)變量抽樣。B)實(shí)質(zhì)性測(cè)試。C)符合性測(cè)試。D)停-走抽樣。答案:C解析:A.變量抽樣用于評(píng)估數(shù)值，例如美元價(jià)值。B.實(shí)質(zhì)性測(cè)試用于證實(shí)實(shí)際處理流程(例如財(cái)務(wù)報(bào)表結(jié)余)的完整性。實(shí)質(zhì)性測(cè)試的進(jìn)行通常取決于合規(guī)性測(cè)試的結(jié)果。如果合規(guī)性測(cè)試指出存在充分的內(nèi)部控制，則可以盡量減少實(shí)質(zhì)性測(cè)試。C.符合性測(cè)試可確定控制措施是否是按照政策來執(zhí)行的。這包括用于確定新帳戶是否經(jīng)過適當(dāng)授權(quán)的測(cè)試。D.停-走抽樣會(huì)使測(cè)試盡早停止，不適合檢查是否已遵循流程。[單選題]48.當(dāng)使用一個(gè)防火墻時(shí)，最容易犯的錯(cuò)誤是什么:A)錯(cuò)誤的配置訪問列表B)基于社會(huì)工程學(xué)的原因危及密碼的安全C)使用調(diào)制解調(diào)器連接網(wǎng)絡(luò)里的計(jì)算機(jī)D)對(duì)于網(wǎng)絡(luò)和服務(wù)器免遭病毒侵襲的保護(hù)不恰當(dāng)答案:A解析:一個(gè)更新的沒有缺陷的訪問列表是非常關(guān)鍵的，在初始安裝防火墻期間訪問列表出錯(cuò)的可能性最大?？诹畈粫?huì)應(yīng)用于防火墻，調(diào)制解調(diào)器繞過防火墻以及病毒的攻擊與防火墻無關(guān)。[單選題]49.安全管理流程需要具有其只讀訪問權(quán)限的是：A)訪問控制表。B)安全日志文件。C)日志選項(xiàng)。D)用戶配置文件。答案:B解析:安全管理流程需要具有安全日志文件的只讀訪問權(quán)限，以確保這些日志在生成后不會(huì)被修改。日志可提供證據(jù)并跟蹤可疑的交易和活動(dòng)。安全管理流程需要具有訪問控制表的寫入訪問權(quán)限，以便根據(jù)授權(quán)的業(yè)務(wù)要求來管理并更新權(quán)限。還需要具有日志選項(xiàng)的寫入訪問權(quán)限，以便管理員可以對(duì)交易和用戶活動(dòng)進(jìn)行監(jiān)控、獲取、存儲(chǔ)、處理和報(bào)告的方式進(jìn)行更新。[單選題]50.在執(zhí)行IT安全風(fēng)險(xiǎn)評(píng)估時(shí)，IS審計(jì)師己邀請(qǐng)首席信息安全官(CISO)與用戶及業(yè)務(wù)部門代表一同參加風(fēng)險(xiǎn)識(shí)別專題研討會(huì)。為了會(huì)議取得成功和將來不發(fā)生沖突，IS審計(jì)師應(yīng)提出的最重要的建議是什么?A)確保IT安全風(fēng)險(xiǎn)評(píng)估具有明確界定的范圍。B)要求CISO在與會(huì)期間審批各風(fēng)險(xiǎn)等級(jí)。C)建議CISO接受業(yè)務(wù)部門風(fēng)險(xiǎn)及評(píng)級(jí)。D)只選擇提交等級(jí)最高的公認(rèn)風(fēng)險(xiǎn)。答案:A解析:A.IT風(fēng)險(xiǎn)評(píng)估在具有明確界定的范圍時(shí)才高效并達(dá)到風(fēng)險(xiǎn)識(shí)別目標(biāo)。如適用，信息技術(shù)風(fēng)險(xiǎn)評(píng)估應(yīng)包括與其他領(lǐng)域風(fēng)險(xiǎn)評(píng)估的關(guān)系。B.其中最可能的情況是，首席信息安全官(CISO)沒有權(quán)力審批風(fēng)險(xiǎn)等級(jí)，而且研討會(huì)的結(jié)果在會(huì)后可能需要整理和分析，使在研討會(huì)期間審批不可能進(jìn)行。C.研討會(huì)的發(fā)起人應(yīng)鼓勵(lì)各方發(fā)言，而不會(huì)造成窘迫或威脅。但首席信息安全官(CISO)預(yù)計(jì)不會(huì)接受此風(fēng)險(xiǎn)一那是高級(jí)管理人員的職能。D.研討會(huì)的目的是集思廣益和聽取各方的意見，而不僅僅是解決公認(rèn)的風(fēng)險(xiǎn)。[單選題]51.審查銷售終端（POS）系統(tǒng)時(shí)，以下哪項(xiàng)審計(jì)發(fā)現(xiàn)最重要？A)將POS系統(tǒng)中記錄的發(fā)票手動(dòng)輸入到會(huì)計(jì)應(yīng)用程序中B)生成銷售發(fā)票時(shí)未使用光學(xué)掃描器讀取條形碼C)經(jīng)常發(fā)生斷電，致使需要手動(dòng)準(zhǔn)備發(fā)票D)客戶的信用卡信息存儲(chǔ)在本地POS系統(tǒng)中且未經(jīng)加密答案:D解析:IS審計(jì)師必須確定是否有任何信用卡信息存儲(chǔ)在本地POS系統(tǒng)中。任何此類信息，應(yīng)通過其他方式對(duì)其進(jìn)行加密或保護(hù)，以避免潛在的未授權(quán)泄露。手動(dòng)將銷售發(fā)票輸入到會(huì)計(jì)應(yīng)用程式中屬于操作問題。如果將POS系統(tǒng)與財(cái)務(wù)會(huì)計(jì)應(yīng)用程式連接，總體效率會(huì)有所提高。不能使用光學(xué)掃描器讀取產(chǎn)品條形碼以及斷電均屬于操作問題。[單選題]52.以下哪一項(xiàng)是兩家公司使用互惠協(xié)議解決災(zāi)難恢復(fù)的最大風(fēng)險(xiǎn)？A)發(fā)展可能會(huì)導(dǎo)致硬件和軟件的不兼容B)資源在需要的時(shí)候未必可得C)恢復(fù)計(jì)劃無法測(cè)試D)每個(gè)公司的安全基礎(chǔ)設(shè)施不同答案:A解析:如果一個(gè)組織更新了它的硬件和軟件配置，這意味著它不再與協(xié)議中的另一方系統(tǒng)兼容，也意味著每家公司無法使用其他公司的設(shè)施恢復(fù)災(zāi)難后的工作;資源在需要的時(shí)候不可用是互惠協(xié)議的固有風(fēng)險(xiǎn)，是一個(gè)合同的問題，不是最大的風(fēng)險(xiǎn)；可能的話，根據(jù)公司間的約定，計(jì)劃可以通過桌面穿行測(cè)試進(jìn)行測(cè)試；安全基礎(chǔ)設(shè)施不同，作為風(fēng)險(xiǎn)，是不能克服的。[單選題]53.一個(gè)企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)根據(jù)預(yù)定的標(biāo)準(zhǔn)激活，這解決了：A)中斷的持續(xù)時(shí)間B)中斷的類型C)中斷的概率D)中斷的原因答案:A解析:一個(gè)業(yè)務(wù)連續(xù)性計(jì)劃的啟動(dòng)，主要根據(jù)業(yè)務(wù)功能中斷威脅到組織目標(biāo)的實(shí)現(xiàn)的最長期限來確定。[單選題]54.信息系統(tǒng)審計(jì)師回顧組織的風(fēng)險(xiǎn)估價(jià)流程時(shí)應(yīng)首先：A)鑒別對(duì)于信息資產(chǎn)威脅的合理性B)分析技術(shù)和組織弱點(diǎn)C)鑒別并對(duì)信息資產(chǎn)進(jìn)行分級(jí)D)對(duì)潛在的安全漏洞效果進(jìn)行評(píng)價(jià)答案:C解析:鑒別和區(qū)分信息資產(chǎn)：如數(shù)據(jù)危險(xiǎn)程度、資產(chǎn)位置，將建立評(píng)估組織資產(chǎn)價(jià)值風(fēng)險(xiǎn)的氣氛或機(jī)會(huì)。其次組織面臨的威脅應(yīng)該按照組織價(jià)值進(jìn)行分析。第三，弱點(diǎn)應(yīng)該進(jìn)行識(shí)別，以便評(píng)估控制能否減輕弱點(diǎn)。第四，分析在缺少控制時(shí)這些弱點(diǎn)對(duì)組織信息資產(chǎn)的影響。[單選題]55.以下哪種風(fēng)險(xiǎn)是在軟件即服務(wù)(SaS)環(huán)境下最可能遇到的?A)沒有遵守軟件許可協(xié)議B)因互聯(lián)網(wǎng)交付方法而導(dǎo)致性能問題C)因軟件許可要求而導(dǎo)致成本增加D)因需要升級(jí)到兼容硬件而導(dǎo)致成本增加答案:B解析:A.軟件即服務(wù)(Sa)是按使用量提供的，而用戶數(shù)量由SaS提供商監(jiān)控;因此應(yīng)當(dāng)不存在不遵守軟件許可協(xié)議的風(fēng)險(xiǎn)。B.SaS環(huán)境中最有可能遇到的風(fēng)險(xiǎn)是速度和可用性問題，因?yàn)镾aaS依賴互聯(lián)網(wǎng)的連接性。C.作為服務(wù)合同的一部分，Sa方案的成本應(yīng)是固定的，應(yīng)在提交管理層以批準(zhǔn)方案的業(yè)務(wù)案例D.多數(shù)Sa因開放式設(shè)計(jì)和互聯(lián)網(wǎng)連接性而能夠運(yùn)行在幾乎任何類型的硬件上。[單選題]56.軟件托管協(xié)議會(huì)涉及處理以下哪種情況?A)系統(tǒng)管理員要求訪問軟件以執(zhí)行災(zāi)難恢復(fù)B)用戶請(qǐng)求將軟件重新加載到備用硬盤。C)定制軟件供應(yīng)商倒閉。D)IS審計(jì)師要求訪問組織編寫的軟件代碼。答案:C解析:A.對(duì)軟件的訪問應(yīng)由內(nèi)部管理的軟件庫來管理。托管是指將軟件存放在第三方-而非內(nèi)部庫。B.向用戶提供軟件的備份拷貝不是托管。托管要求將拷貝存放在受信任的第三方。C.軟件托管是軟件供應(yīng)商與客戶之間的法律協(xié)議，用于擔(dān)保對(duì)源代碼的訪問權(quán)限。根據(jù)合同規(guī)定，應(yīng)用程序源代碼由受信任的第三方持有。當(dāng)出現(xiàn)以下情況時(shí)需要用到此協(xié)議:軟件供應(yīng)商倒閉，與客戶發(fā)生合同糾紛，或軟件供應(yīng)商未按照軟件許可協(xié)議中的承諾維持軟件更新D.軟件托管用于保護(hù)由一個(gè)組織開發(fā)并出售給另一組織的軟件的知識(shí)產(chǎn)權(quán)。它不適用于審計(jì)師正在審查的、由其所在的組織編寫的軟件。[單選題]57.以下哪一項(xiàng)是制定審計(jì)目標(biāo)的最主要依據(jù)?A)商業(yè)策略B)之前審計(jì)的評(píng)估C)審計(jì)風(fēng)險(xiǎn)D)風(fēng)險(xiǎn)考慮答案:D解析:[單選題]58.高級(jí)審計(jì)師正在審查初級(jí)審計(jì)師準(zhǔn)備的工作文稿，發(fā)現(xiàn)一個(gè)審計(jì)發(fā)現(xiàn)在被審計(jì)方表示已整改后被移除了。以下哪一項(xiàng)是高級(jí)審計(jì)師最恰當(dāng)?shù)男袆?dòng)步驟？A)將該問題提交給審計(jì)主管B)批準(zhǔn)所寫的工作文稿C)復(fù)原該審計(jì)發(fā)現(xiàn)D)要求被審計(jì)方重新測(cè)試答案:C解析:[單選題]59.在提議的企業(yè)資源規(guī)劃(ERP)系統(tǒng)的需求定義階段，項(xiàng)目發(fā)起人要求鏈接采購與應(yīng)付賬款模塊。執(zhí)行以下哪一種測(cè)試方法?A)單元測(cè)試B)集成測(cè)試C)社交性測(cè)試D)質(zhì)量保證(QAT)測(cè)試答案:B解析:A.單元測(cè)試是用于測(cè)試特定程序或模塊內(nèi)部程序邏輯的一種技術(shù)，不能具體解決軟件模塊之間的鏈接問題。集成測(cè)試是最佳答案。B.集成測(cè)試是一種硬件或軟件測(cè)試，用于評(píng)估將信息從一個(gè)區(qū)域傳遞到另一個(gè)區(qū)域的兩個(gè)或多個(gè)組件之間的連接情況。其目標(biāo)是采用經(jīng)過單元測(cè)試的模塊從而構(gòu)建滿足設(shè)計(jì)要求的集成結(jié)構(gòu)C.社交性測(cè)試確認(rèn)新系統(tǒng)或修改后的系統(tǒng)可在其目標(biāo)環(huán)境中操作，而不會(huì)對(duì)現(xiàn)有系統(tǒng)造成不良影響，不具體解決軟件模塊之間鏈接問題。集成測(cè)試是最佳答案。D.質(zhì)量保證(QA)測(cè)試主要用于確保應(yīng)用的邏輯正確，不能具體解決軟件模塊之間鏈接問題，集成測(cè)試是最佳答案。[單選題]60.以下哪種滲透測(cè)試可以模擬真實(shí)攻擊并可用于測(cè)試目標(biāo)的事故處理和響應(yīng)能力？A)盲測(cè)。B)針對(duì)性測(cè)試。C)雙盲測(cè)試。D)外部測(cè)試答案:C解析:雙盲測(cè)試也稱為零知識(shí)測(cè)試。指測(cè)試中不向滲透測(cè)試人員透漏任何信息，也不向目標(biāo)組織發(fā)出任何警告一雙方都對(duì)測(cè)試?一無所知?。這是測(cè)試相應(yīng)能力的最佳方案，因?yàn)槟繕?biāo)會(huì)像真實(shí)攻擊一樣的做出反應(yīng)。盲測(cè)也稱黑盒測(cè)試。指測(cè)試中不向滲透測(cè)試人員透漏任何信息，并迫使其依靠公開信息。此測(cè)試將模擬真實(shí)攻擊，但目標(biāo)組織知道這是在進(jìn)行測(cè)試。針對(duì)性測(cè)試也稱為白盒測(cè)試。指測(cè)試中向滲透測(cè)試者提供信息，并且目標(biāo)組織也知道在進(jìn)行測(cè)試活動(dòng)。在某些情況下，還會(huì)向測(cè)試人員提供一個(gè)權(quán)力受限的賬戶作為操作起點(diǎn)。外部測(cè)試指滲透測(cè)試人員嘗試從目標(biāo)網(wǎng)絡(luò)外部（通常是互聯(lián)網(wǎng)）向目標(biāo)的網(wǎng)絡(luò)外圍發(fā)起攻擊。[單選題]61.了解一個(gè)操作系統(tǒng)的安全配置的最佳方式是：【已經(jīng)理解】【該題有待進(jìn)一步確認(rèn)】A)學(xué)習(xí)供應(yīng)商的安裝手冊(cè)。B)檢查系統(tǒng)安全計(jì)劃。C)跟安裝軟件的系統(tǒng)程序員面談。D)查看系統(tǒng)自動(dòng)配置的參數(shù)。答案:D解析:CB僅提供安裝信息，但補(bǔ)丁和修改信息則沒有，A只解釋每個(gè)設(shè)置項(xiàng)的意義，但不會(huì)涉及實(shí)際的安裝。[單選題]62.在現(xiàn)場(chǎng)檢查期間，IS審計(jì)師發(fā)現(xiàn)了因安全修補(bǔ)程序安裝而導(dǎo)致的系統(tǒng)崩潰問題。為提供該事故不再發(fā)生的合理保障，信息系統(tǒng)審計(jì)師應(yīng)確保A)只有系統(tǒng)管理員才可執(zhí)行補(bǔ)丁程序。B)客戶的變更管理流程的充分性。C)在生產(chǎn)中使用并行測(cè)試來對(duì)補(bǔ)丁進(jìn)行驗(yàn)證。D)制定補(bǔ)丁的包括風(fēng)險(xiǎn)評(píng)估在內(nèi)的批準(zhǔn)流程。答案:B解析:A.雖然一般由系統(tǒng)管理員來安裝補(bǔ)丁，但更重要的是變更需要經(jīng)過正式流程，包括在非生產(chǎn)期間對(duì)變更的測(cè)試和實(shí)施。B.變更管理流程包括在生產(chǎn)期間實(shí)施變更的流程，有助于保證該類事件不再發(fā)生。IS審計(jì)師應(yīng)審查包括修補(bǔ)程序管理流程在內(nèi)的變更管理流程，以便驗(yàn)證流程是否具備適當(dāng)?shù)目刂?，并根?jù)情況提出建議。C.雖然一般都會(huì)對(duì)補(bǔ)丁進(jìn)行測(cè)試但通常不可能對(duì)所有補(bǔ)丁都進(jìn)行詳盡的測(cè)試。更重要的是變更要在非生產(chǎn)期間進(jìn)行;在出現(xiàn)問題時(shí)有回退計(jì)劃。D.單靠批準(zhǔn)流程不能直接防止這類事故的發(fā)生。應(yīng)有一個(gè)包括測(cè)試、日程安排和批準(zhǔn)在內(nèi)的完整的變更管理流程。[單選題]63.為保護(hù)異地存儲(chǔ)備份的介質(zhì)，存儲(chǔ)站點(diǎn)應(yīng)該做到：A)設(shè)置在建筑物的不同樓層。B)任何人都容易獲得的。C)清晰的標(biāo)簽以便應(yīng)急使用。D)防止未授權(quán)的訪問。答案:D解析:異地存儲(chǔ)站點(diǎn)應(yīng)一直得到保護(hù)，防止未授權(quán)的訪問，并且至少與主站點(diǎn)具有形同的安全要求。選項(xiàng)A不正確，如果備份在同一個(gè)建筑物內(nèi)，它就會(huì)受到同一個(gè)事件的影響并且很可能會(huì)不可訪問。選項(xiàng)B和C增加了未經(jīng)授權(quán)的訪問的風(fēng)險(xiǎn)。[單選題]64.下列哪種測(cè)試方法適用于業(yè)務(wù)連續(xù)性計(jì)劃(BCP)?A)試點(diǎn)測(cè)試B)紙上測(cè)試C)單元測(cè)試D)系統(tǒng)測(cè)試答案:B解析:A.試點(diǎn)測(cè)試用于實(shí)施新流程或技術(shù)不適合業(yè)務(wù)連續(xù)性計(jì)劃(BCP)B.紙上測(cè)試(有時(shí)被稱為桌上檢查)適合測(cè)試BCP。整個(gè)或部分BCP將得到初查，會(huì)涉及到BCP執(zhí)行過程中可推斷出特定災(zāi)難中可能發(fā)生什么情況的主要參與者C.單元測(cè)試用于測(cè)試新軟件組件，不適合BCP。D.系統(tǒng)測(cè)試是一種用于測(cè)試新IT系統(tǒng)的綜合測(cè)試，但不適合BCP。[單選題]65.IT系統(tǒng)恢復(fù)互惠協(xié)定的現(xiàn)場(chǎng)測(cè)試已經(jīng)進(jìn)行，其中包括重點(diǎn)使用的業(yè)務(wù)單元的四小時(shí)測(cè)試。測(cè)試已經(jīng)成功，但只對(duì)以下那部分提供了保障：A)系統(tǒng)和IT操作團(tuán)隊(duì)在緊急環(huán)境下可持續(xù)的操作。B)資源和環(huán)境可以承受事務(wù)負(fù)載。C)連接到遠(yuǎn)程站點(diǎn)的應(yīng)用程序滿足響應(yīng)時(shí)間的要求。D)在發(fā)生災(zāi)難情況下，實(shí)際業(yè)務(wù)操作流程可以使用緊急系統(tǒng)。答案:A解析:應(yīng)用已經(jīng)被深入操作了。因?yàn)檫x項(xiàng)B，C和D已經(jīng)實(shí)際測(cè)試了，但是系統(tǒng)和IT操作團(tuán)隊(duì)持續(xù)能力和支持的業(yè)務(wù)環(huán)境（輔助操作，批量關(guān)閉，錯(cuò)誤修正，輸出分布等）只被部分測(cè)試了。[單選題]66.以下哪項(xiàng)可以最有效確保數(shù)據(jù)被錄入到遠(yuǎn)程站點(diǎn)A)中央處理流程在應(yīng)用程序執(zhí)行之后進(jìn)行B)中央處理流程在應(yīng)用程序執(zhí)行時(shí)進(jìn)行C)數(shù)據(jù)傳輸至中央站點(diǎn)優(yōu)先與遠(yuǎn)程站點(diǎn)D)數(shù)據(jù)傳輸至遠(yuǎn)程站點(diǎn)優(yōu)先于中央站點(diǎn)答案:A解析:遠(yuǎn)端的數(shù)據(jù)輸入和驗(yàn)證在數(shù)據(jù)進(jìn)入中央站點(diǎn)之前是很重要的。[單選題]67.為了處理組織災(zāi)難恢復(fù)的要求，備份時(shí)間間隔不應(yīng)該超過？A)服務(wù)水平目標(biāo)（SLO）B)恢復(fù)時(shí)間目標(biāo)（RTO）C)恢復(fù)點(diǎn)目標(biāo)（RPO）D)最大可接受中斷（MAO）答案:C解析:RPO定義了災(zāi)難發(fā)生后數(shù)據(jù)恢復(fù)必須達(dá)到的時(shí)間點(diǎn)以便恢復(fù)交易事務(wù)處理。應(yīng)該在不超過這個(gè)最大時(shí)間范圍內(nèi)進(jìn)行備份（備份時(shí)間點(diǎn)不超過RPO）。如果服務(wù)水平協(xié)議沒有達(dá)到，通常的后果是罰款，但不停止業(yè)務(wù)。組織會(huì)嘗試建立SLO來達(dá)到預(yù)訂目標(biāo)。SLA的反應(yīng)時(shí)間通常要比RPO長。RTO定義了災(zāi)難發(fā)生后需要恢復(fù)正常業(yè)務(wù)功能的時(shí)間期間。MAO是系統(tǒng)能忍受的最大停機(jī)時(shí)間。他可以被用作RTO的代名詞。然而，RTO指目標(biāo)，MAO闡述了組織能夠生存下來的最低要求。（RTO是希望達(dá)到的結(jié)果，MAO是確保組織生存的底線）。[單選題]68.某IS審計(jì)師在對(duì)新安裝的互聯(lián)網(wǎng)語音協(xié)議(VoIP)系統(tǒng)進(jìn)行審計(jì)時(shí)，檢查了每層樓的配線柜。以下哪一項(xiàng)最令人擔(dān)心?A)局域網(wǎng)(LAN)交換機(jī)未連接不斷電源(UPS)單元。B)網(wǎng)絡(luò)布線雜亂，并且未適當(dāng)粘貼標(biāo)簽C)電話和LAN連接使用相同的電線。D)配線柜中還包含電源線和斷路器面板。答案:A解析:A.互聯(lián)網(wǎng)語音協(xié)議(voIP)電話系統(tǒng)使用標(biāo)準(zhǔn)網(wǎng)絡(luò)布線，并且每部電話通常都通過從安裝網(wǎng)絡(luò)交換機(jī)的配線柜引出的網(wǎng)絡(luò)電纜供電(以太網(wǎng)供電POE)。如果局域網(wǎng)LAN交換機(jī)沒有備份電源，一旦發(fā)生電力中斷，電話將斷電，并可能無法進(jìn)行緊急呼叫。B.盡管布線不適當(dāng)可能帶來可靠性問題，但在本案例中，更嚴(yán)重的問題是缺乏電源保護(hù)C.VoIP電話系統(tǒng)的優(yōu)勢(shì)是，它們和標(biāo)準(zhǔn)PC連接使用相同類型的電纜，甚至相同的網(wǎng)絡(luò)交換機(jī)。因此，這不值得關(guān)注。D.只要電源和電話設(shè)備相互分離，這就不是重大風(fēng)險(xiǎn)。[單選題]69.以下哪項(xiàng)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）測(cè)試涉及危機(jī)管理/響應(yīng)小組密切相關(guān)成員的參與，以實(shí)踐妥善的協(xié)作？A)桌面測(cè)試B)功能測(cè)試C)全面演習(xí)D)穿行測(cè)試答案:A解析:桌面測(cè)試主要目的是進(jìn)行協(xié)作演習(xí)，因?yàn)樗婕暗轿C(jī)處理小組的所有或部分成員，并專注于協(xié)調(diào)和溝通問題，而不是技術(shù)過程中更多的細(xì)節(jié)問題。功能測(cè)試強(qiáng)調(diào)在各種不同的地點(diǎn)，動(dòng)員工作人員和資源。全面演習(xí)涉及整個(gè)企業(yè)以及外部組織的參與。穿行測(cè)試是指通過使用最少的資源對(duì)各個(gè)領(lǐng)域的關(guān)鍵人員推廣BCP。[單選題]70.為了確保公司遵守隱私權(quán)要求，審計(jì)師應(yīng)該首先審查：A)IT架構(gòu)。B)公司的政策，標(biāo)準(zhǔn)和流程步驟。C)法律和法規(guī)要求。D)對(duì)公司的政策，標(biāo)準(zhǔn)和流程步驟的遵守。答案:C解析:守法先知法，首先審查需要遵守的法律和法規(guī)要求。[單選題]71.在進(jìn)行客戶關(guān)系管理系統(tǒng)(CRM)應(yīng)用審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)，相比其他時(shí)段，用戶在高峰工作時(shí)段登錄系統(tǒng)需要很長時(shí)間。登錄后，系統(tǒng)的平均響應(yīng)時(shí)間在可接受的范圍之內(nèi)。該IS審計(jì)師應(yīng)當(dāng)建議以下哪一個(gè)選項(xiàng)?A)IS審計(jì)師不提出任何建議，因?yàn)橄到y(tǒng)符合當(dāng)前的業(yè)務(wù)需求。B)IT部門應(yīng)當(dāng)增加網(wǎng)絡(luò)帶寬，以提高性能。C)應(yīng)當(dāng)向用戶提供詳細(xì)的手冊(cè)，以正確使用系統(tǒng)。D)IS審計(jì)師應(yīng)當(dāng)建議為驗(yàn)證服務(wù)器制定性能衡量標(biāo)準(zhǔn)。答案:D解析:A.IS審計(jì)師不提出任何建議不是正確的選擇，因?yàn)榈卿涍^程遲緩對(duì)員工生產(chǎn)效率具有負(fù)面影響。B.網(wǎng)絡(luò)帶寬不一定是此問題的根本原因。性能衡量標(biāo)準(zhǔn)可能有助確定原因，然后采取補(bǔ)救措施。C.由于該問題與登錄而不是處理有關(guān)，對(duì)用戶進(jìn)行額外培訓(xùn)在本案例中不起作用。D.驗(yàn)證服務(wù)器的性能衡量標(biāo)準(zhǔn)有助量化系統(tǒng)性能的可接受閥值，這是可以測(cè)量和加以彌補(bǔ)的。[單選題]72.企業(yè)資源規(guī)劃中的總賬設(shè)置功能允許設(shè)定會(huì)計(jì)期間。對(duì)此功能的訪問被授予財(cái)務(wù)、倉庫和訂單錄入部門的用戶。這種廣泛的訪問最有可能是因?yàn)椋篈)經(jīng)常性地修改會(huì)計(jì)期間的需要B)需要向關(guān)閉的會(huì)計(jì)期間過入分錄C)缺乏適當(dāng)?shù)穆氊?zé)分工政策和步驟D)需要?jiǎng)?chuàng)建和修改科目表及其分配答案:C解析:[單選題]73.某組織通過安全的有線網(wǎng)絡(luò)存儲(chǔ)和傳輸敏感的客戶信息。該組織另外亦已經(jīng)實(shí)施了一個(gè)無線局域網(wǎng)(WLAN)，以解決一般目的的員工計(jì)算需要。少數(shù)具有WLAN訪問權(quán)限的員工也有訪問客戶信息的合理業(yè)務(wù)理由。以下哪項(xiàng)是保證二網(wǎng)分離的最佳控制?A)建立兩個(gè)物理上分離的網(wǎng)絡(luò)。B)實(shí)施虛擬局域網(wǎng)(VLAN)分區(qū)C)在兩個(gè)網(wǎng)絡(luò)之間安裝專用的路由器。D)在兩個(gè)網(wǎng)絡(luò)之間安裝防火墻。答案:D解析:A盡管兩個(gè)網(wǎng)絡(luò)的物理分離能夠保證客戶數(shù)據(jù)的安全，但這讓授權(quán)的無線用戶也不能訪問數(shù)據(jù)了。B.盡管VLAN可以實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)的分離，但只要攻擊者具備一定的知識(shí)，也能從另一個(gè)網(wǎng)絡(luò)獲得對(duì)其中一個(gè)VLAN的訪問權(quán)限。C.在兩個(gè)網(wǎng)絡(luò)之間安裝專用的路由器可以將兩個(gè)網(wǎng)絡(luò)分離;但沒有安裝防火墻安全。D.對(duì)于這種情況，防火墻可用作允許無線網(wǎng)絡(luò)上的授權(quán)用戶訪問有線網(wǎng)絡(luò)的強(qiáng)式控制措施。[單選題]74.業(yè)務(wù)連續(xù)性計(jì)劃（BCP）的哪個(gè)部分，是企業(yè)IS部門的主要責(zé)任？A)制定業(yè)務(wù)連續(xù)性計(jì)劃B)選定、批準(zhǔn)業(yè)務(wù)連續(xù)性計(jì)劃的相關(guān)戰(zhàn)略C)遇災(zāi)報(bào)警D)災(zāi)后恢復(fù)IS系統(tǒng)和資料答案:D解析:[單選題]75.以下哪種為開發(fā)客戶端應(yīng)用程序時(shí)的普遍風(fēng)險(xiǎn)？A)應(yīng)用程序可能不會(huì)被測(cè)試和IT一般控制B)增加開發(fā)和維護(hù)成本C)增加應(yīng)用程序開發(fā)時(shí)間D)決策可能由于當(dāng)請(qǐng)求信息時(shí)響應(yīng)效率的降低而受到削弱答案:A解析:終端用戶開發(fā)的應(yīng)用程序可能無法受到系統(tǒng)分析員獨(dú)立的外部審查，而且通常不是在正式的開發(fā)方法環(huán)境中建立。這些應(yīng)用程序可能缺乏適當(dāng)?shù)臉?biāo)準(zhǔn)，控制，質(zhì)量保證程序，以及文檔。終端用戶應(yīng)用程序的一個(gè)風(fēng)險(xiǎn)是管理層象依靠傳統(tǒng)應(yīng)用程序一樣依靠他們。終端用戶處理系統(tǒng)通常導(dǎo)致減少應(yīng)用開發(fā)和維護(hù)成本，并縮短開發(fā)周期時(shí)間。終端用戶處理系統(tǒng)通常增加對(duì)管理層信息要求的靈活性和反應(yīng)能力。[單選題]76.銀行的一位IS審計(jì)師正在執(zhí)行合規(guī)性測(cè)試他發(fā)現(xiàn)有一個(gè)分行六個(gè)月沒有更新過病毒特征碼。在這種情況下，IS審計(jì)師應(yīng)建議A)加強(qiáng)安全意識(shí)和有關(guān)更新防病毒軟件重要性的教育工作B)使用自動(dòng)化方式，從總行啟動(dòng)各個(gè)分行的防病毒軟件更新C)重新配置防火墻，設(shè)置約束最嚴(yán)的政策，并實(shí)施入侵防御系統(tǒng)（IPS）D)分行在安裝更新后重新驗(yàn)證機(jī)器狀況答案:B解析:自動(dòng)化流程是一個(gè)跨分行的整體解決方案。盡管安全意識(shí)和教育很重要，但他們無法解決病毒特征碼過期問題。重新配置防火墻和實(shí)施IPS都是不錯(cuò)的安全措施；但是，他們與找到過期的病毒特征碼無關(guān)。首先重新驗(yàn)證分行機(jī)器的過期病毒特征碼非常正確，但這不是一個(gè)整體解決方案。[單選題]77.一名IS審計(jì)師受聘請(qǐng)對(duì)電子商務(wù)的安全性進(jìn)行審查。IS審計(jì)師首先執(zhí)行的任務(wù)是檢查現(xiàn)有的每個(gè)電子商務(wù)應(yīng)用程序，從而確定是否存在漏洞。那么，接下來應(yīng)該執(zhí)行哪項(xiàng)任務(wù)?A)立即向首席信息官(CIO)和首席執(zhí)行官(CEO)報(bào)告風(fēng)險(xiǎn)。B)檢查正在開發(fā)的電子商務(wù)應(yīng)用程序。C)確定威脅和發(fā)生概率。D)檢查可用于風(fēng)險(xiǎn)管理的預(yù)算。答案:C解析:A.只有在記錄所有威脅、發(fā)生概率和漏洞后才可確定風(fēng)險(xiǎn)。B.第一步是確定現(xiàn)有應(yīng)用程序的風(fēng)險(xiǎn)水平，然后將其應(yīng)用于開發(fā)中的應(yīng)用程序。只有在威脅和發(fā)生概率確定之后才能認(rèn)定風(fēng)險(xiǎn)。C.為確定與電子商務(wù)相關(guān)的風(fēng)險(xiǎn)，IS審計(jì)師必須先識(shí)別資產(chǎn)、確定是否存在漏洞，然后再確定威脅和發(fā)生概率。D.可用于風(fēng)險(xiǎn)管理的預(yù)算在此時(shí)不相關(guān)，因?yàn)轱L(fēng)險(xiǎn)尚未確定。[單選題]78.安全管理流程需要對(duì)下列哪個(gè)選項(xiàng)需要只讀權(quán)限：A)訪問控制表B)安全日志文件C)日志設(shè)定選項(xiàng)D)用戶配置文件答案:A解析:安全管理程序需要對(duì)安全日志文件進(jìn)行只讀以確保一旦日志產(chǎn)生就不能被修改。日志提供了對(duì)存在懷疑的事物處理的痕跡和證據(jù)。安全管理程序需要對(duì)根據(jù)授權(quán)業(yè)務(wù)需求的權(quán)限進(jìn)行管理和更新的訪問控制表進(jìn)行可寫性訪問。登陸選項(xiàng)需要對(duì)允許管理員更新交易或用戶活動(dòng)被監(jiān)控、捕獲、存儲(chǔ)、處理和報(bào)告的方式進(jìn)行寫訪問。[單選題]79.IS審計(jì)師檢查外部IT服務(wù)供應(yīng)商管理時(shí)，以下哪項(xiàng)為IS審計(jì)師的首要關(guān)注點(diǎn)?A)提供的服務(wù)成本最小B)禁止供應(yīng)商轉(zhuǎn)包服務(wù)C)評(píng)估資料移交給IT部門的過程D)確定是否按照合同規(guī)定提供服務(wù)答案:D解析:以IS審計(jì)師的觀點(diǎn)看，檢查服務(wù)供應(yīng)商管理的首要目標(biāo)是確定所需服務(wù)是否能夠得到滿足，并且與合同內(nèi)容相符。即使能夠達(dá)到成本最小化（依賴于客戶的需求），成本最小化傳統(tǒng)意義上也不是IS審計(jì)師工作的一部分，這主要由IT部門的生產(chǎn)線管理職責(zé)來實(shí)現(xiàn)。此外，在審計(jì)之間，減少對(duì)現(xiàn)有服務(wù)商費(fèi)用為時(shí)已晚。分包商是值得去關(guān)注，但不是主要關(guān)注目標(biāo)。在一定情況下，將資料移交給內(nèi)部IT部門是值得關(guān)注的，但不是IS審計(jì)師在審計(jì)IT服務(wù)供應(yīng)商及其服務(wù)時(shí)主要首要關(guān)注的內(nèi)容。[單選題]80.獲得優(yōu)質(zhì)軟件的最佳途徑是：A)通過徹底的測(cè)試B)發(fā)現(xiàn)并快速糾正編程錯(cuò)誤C)根據(jù)可用時(shí)間和預(yù)算決定測(cè)試的數(shù)量D)在整個(gè)項(xiàng)目過程中應(yīng)用定義良好的流程和結(jié)構(gòu)化的審核答案:D解析:[單選題]81.白盒測(cè)試特有的優(yōu)勢(shì)是：A)驗(yàn)證程序能夠與系統(tǒng)的其他部分運(yùn)行成功B)確保程序的功能運(yùn)行有效，不考慮程序內(nèi)部架構(gòu)C)確定一個(gè)程序的詳細(xì)邏輯路徑的程序上的正確性和環(huán)境D)通過執(zhí)行在一個(gè)受限的或者虛擬的環(huán)境下受限訪問主系統(tǒng)來檢查程序的功能性答案:C解析:白盒測(cè)試核定軟件程序邏輯的有效性。具體的，測(cè)試數(shù)據(jù)被用來決定程序上的正確性或程序邏輯路徑的環(huán)境。驗(yàn)證程序能夠與系統(tǒng)的其他部分運(yùn)行成功是社交性測(cè)試。測(cè)試程序的成功性，不考慮語言的內(nèi)部結(jié)果是黑盒測(cè)試。控制程序的測(cè)試在受限的環(huán)境，或逐漸的大量的控制，或通過監(jiān)視在虛擬機(jī)上，是砂箱測(cè)試。點(diǎn)評(píng)：白盒測(cè)試能夠看清程序的內(nèi)部邏輯[單選題]82.一位IS審計(jì)師發(fā)現(xiàn)，有些用戶在他們的個(gè)人電腦上安裝了個(gè)人軟件。安全政策并沒有明令禁止這種行為。IS審計(jì)師的最佳方案應(yīng)該是建議A)IS部門實(shí)施控制機(jī)制，以阻止未經(jīng)授權(quán)的軟件安裝B)安全政策進(jìn)行更新，以將未授權(quán)軟件的特定語言包括在內(nèi)C)IS部門禁止下載未經(jīng)授權(quán)的軟件D)在安裝非標(biāo)準(zhǔn)軟件之前用戶應(yīng)取得IS經(jīng)理的批準(zhǔn)答案:A解析:IS審計(jì)師的職責(zé)是報(bào)告發(fā)現(xiàn)的情況并提出最佳建議，此處就是實(shí)施預(yù)防性控制措施，禁止未經(jīng)授權(quán)的軟件安裝?？山邮苁褂谜咧腥狈山鉀Q未經(jīng)授權(quán)軟件問題的特定語言是管理控制措施中的不足。加強(qiáng)管理控制措施是有益的；但是不如實(shí)施預(yù)防性控制機(jī)制來得有效。組織下在未經(jīng)授權(quán)的軟件這一解決辦法不夠全面。未經(jīng)授權(quán)的軟件還可以通過CD和USB引入，在安裝費(fèi)標(biāo)準(zhǔn)軟件之前取得IS經(jīng)理的批準(zhǔn)是一種里外處理控制手段。除非首先制訂了阻止用戶安裝未經(jīng)授權(quán)軟件的預(yù)防性控制措施，否則此手段不會(huì)有效。[單選題]83.使IT成本、價(jià)值和風(fēng)險(xiǎn)保持透明有助于推動(dòng)IT治理，這主要通過以下哪一項(xiàng)來實(shí)現(xiàn):A)績效衡量B)策略的一致性C)價(jià)值交付D)資源管理答案:A解析:A.績效衡量包括對(duì)以下內(nèi)容的可衡量目標(biāo)進(jìn)行設(shè)置和監(jiān)控:流程需要交付的內(nèi)容流程結(jié)果)以及交付方式(流程能力和績效)。透明化主要通過績效衡量來實(shí)現(xiàn)因?yàn)楹笳呖蔀槔嫦嚓P(guān)者提供有關(guān)與目標(biāo)比較的企業(yè)表現(xiàn)情況的信息。B.戰(zhàn)略一致性主要側(cè)重于確保業(yè)務(wù)與IT計(jì)劃的關(guān)聯(lián)而非透明度。C.價(jià)值交付涉及到在整個(gè)交付周期內(nèi)執(zhí)行價(jià)值定位。價(jià)值交付確保IT投資交付所承諾的價(jià)值，但不確保投資的透明性。D.資源管理涉及到關(guān)鍵IT資源的最佳投資和恰當(dāng)管理，但不確保IT投資的透明性[單選題]84.以下除哪一項(xiàng)外都是SLA的檢查標(biāo)準(zhǔn)？A)業(yè)務(wù)需求的年審和重新認(rèn)可。B)確信預(yù)期的服務(wù)被清晰的定義。C)確信準(zhǔn)備了監(jiān)測(cè)和上報(bào)流程。D)確信服務(wù)提供者給所有同級(jí)的客戶提供服務(wù)。答案:D解析:服務(wù)提供者如何對(duì)待其他客戶不是要審核的SLA協(xié)議的內(nèi)容。[單選題]85.在審計(jì)一家專注于電子商務(wù)的企業(yè)時(shí)，信息系統(tǒng)經(jīng)理表明當(dāng)從客戶獲取信息時(shí)使用了數(shù)字簽名。要證實(shí)此說法，信息系統(tǒng)審計(jì)師應(yīng)證實(shí)以下哪項(xiàng)被應(yīng)用？A)使用生物，數(shù)字，加密參數(shù)的客戶公鑰B)使用客戶私鑰加密并傳輸?shù)墓Ｖ礐)使用客戶公鑰加密并傳輸?shù)墓Ｖ礑)掃描的用戶簽名已使用客戶公鑰加密答案:B解析:通過哈希計(jì)算、哈希摘要和數(shù)據(jù)加密形成數(shù)字簽名，需要接受方使用公鈅解密。接受方完成同樣的計(jì)算過程得到的哈希摘要與收到的哈希摘要進(jìn)行比較，如果一樣，則接受的數(shù)據(jù)可以鑒定為完整的和發(fā)送方發(fā)送的。發(fā)送方私鈅加密的哈希數(shù)據(jù)得到確認(rèn)，只能用公鈅解密，私鈅不會(huì)被接受方知道，任何用私鈅加密數(shù)據(jù)均能用發(fā)送方的公鑰解密。選C、是錯(cuò)誤的，如果這樣，接受方就不能進(jìn)行解密，認(rèn)證就沒什么益處并且數(shù)據(jù)不能證實(shí)是否得到截取和修改。數(shù)字簽名是用私鈅加密生成的，任何人都只能用自己私鈅生成數(shù)字簽名，否則每人就能用任何公鑰產(chǎn)生簽名，因此用客戶私鈅生成的的簽名可以用公鑰得到認(rèn)證。選B、是正確答案，客戶用私鈅進(jìn)行哈希數(shù)據(jù)簽名。所以答案應(yīng)為：B、[單選題]86.以下哪項(xiàng)技術(shù)可以確保通過光纖、微波以及同軸電纜連入本地通訊網(wǎng)時(shí)的通訊持續(xù)性A)最后一米線路保護(hù)技術(shù)B)長距離網(wǎng)絡(luò)傳輸技術(shù)C)多變路由技術(shù)D)可選路由技術(shù)答案:A解析:確保通訊持續(xù)性的方法通過利用許多保護(hù)技術(shù)，通過用T1線路、微波或同軸電纜建立多條冗余連接來保護(hù)通訊連續(xù)性，稱為最后一公里線路保護(hù)技術(shù)。利用T1線路長距離的實(shí)現(xiàn)網(wǎng)絡(luò)通訊稱為長距離網(wǎng)絡(luò)傳輸技術(shù)。路由傳輸使用分離電纜或多重電纜的傳輸技術(shù)稱為多變路由技術(shù)。可選路由技術(shù)是指?jìng)鬏斀橘|(zhì)可選如銅質(zhì)電纜或光纖。[單選題]87.如果發(fā)生下列情況，應(yīng)用系統(tǒng)審計(jì)痕跡的可靠性是值得懷疑的。A)用戶ID、被記錄在審計(jì)痕跡中。B)安全管理人員對(duì)審計(jì)文件擁有只讀權(quán)限。C)發(fā)生某一行動(dòng)時(shí)記錄了日期和時(shí)間戳。D)在修改系統(tǒng)錯(cuò)誤時(shí)用戶可以修改審計(jì)痕跡記錄。答案:D解析:如果審計(jì)足跡的詳細(xì)內(nèi)容可以被更改，那么該審計(jì)軌跡無效。[單選題]88.某企業(yè)正在開發(fā)一個(gè)新的采購系統(tǒng)，但有些任務(wù)進(jìn)度已經(jīng)落后于預(yù)定計(jì)劃。由此，有人建議將原定的測(cè)試階段縮短。項(xiàng)目經(jīng)理向信息系統(tǒng)審計(jì)人員咨詢?nèi)绾螠p輕縮短測(cè)試時(shí)間可能帶來的相關(guān)風(fēng)險(xiǎn)。下列哪一項(xiàng)是適當(dāng)?shù)娘L(fēng)險(xiǎn)緩解策略？A)測(cè)試并發(fā)布一個(gè)精簡(jiǎn)功能的版本B)修復(fù)并且重新測(cè)試最為嚴(yán)重的功能性缺陷C)取消開發(fā)團(tuán)隊(duì)已計(jì)劃的測(cè)試，直接進(jìn)入驗(yàn)收測(cè)試D)部署一個(gè)測(cè)試工具去做自動(dòng)化的缺陷跟蹤答案:A解析:選項(xiàng)A能在很多途徑上降低風(fēng)險(xiǎn)。降低功能要求會(huì)導(dǎo)致運(yùn)行較少的整體測(cè)試用例和缺陷修復(fù)，以及更少的回歸測(cè)試。對(duì)被選擇的一組用戶而言，一個(gè)試用系統(tǒng)發(fā)布是可用的，能降低與完全實(shí)施相關(guān)的風(fēng)險(xiǎn)。針對(duì)所有用戶發(fā)布系統(tǒng)不能實(shí)現(xiàn)所有的優(yōu)點(diǎn)，但是某些優(yōu)點(diǎn)將開始實(shí)現(xiàn)。另外，可以獲得來自真實(shí)用戶的有用的建議來在完全發(fā)布中引導(dǎo)額外的功能和其他的一些需求上的提升。選項(xiàng)B不正確，當(dāng)測(cè)試開始后，一個(gè)指標(biāo)性意義的缺陷是非?？赡艽嬖诘?。僅僅聚焦在風(fēng)險(xiǎn)的高位功能性缺陷上面，會(huì)忽略一些其他的重要場(chǎng)景，比如可用性問題和性能以及安全方面的非功能性的需求。系統(tǒng)能上線，但是用戶可能難于使用旨在實(shí)現(xiàn)業(yè)務(wù)利益的系統(tǒng)。選項(xiàng)C是最常見的很糟糕的想法，在系統(tǒng)的驗(yàn)收測(cè)試開始之前，某些前置的測(cè)試要進(jìn)行并發(fā)布系統(tǒng)已經(jīng)準(zhǔn)備好進(jìn)入驗(yàn)收評(píng)估的階段。如果有開發(fā)團(tuán)隊(duì)進(jìn)行的前置測(cè)試沒有發(fā)生，有相當(dāng)大的風(fēng)險(xiǎn)就是大量的低級(jí)別的缺陷存在，比如交易引發(fā)的系統(tǒng)當(dāng)即和難以理解的錯(cuò)誤信息，對(duì)用戶或測(cè)試者的驗(yàn)收測(cè)試而言，最終導(dǎo)致整體測(cè)試時(shí)間的增加而不是減少。選項(xiàng)D能夠幫助提升測(cè)試效果，但是他不能處理由于在一個(gè)質(zhì)量得不到保證的系統(tǒng)中減少測(cè)試的努力所帶來的基礎(chǔ)風(fēng)險(xiǎn)。根據(jù)