PAGEPAGE1一、單選題1.非正規(guī)化（非規(guī)范化）對(duì)數(shù)據(jù)庫的最大影響是什么：A、影響完整性B、停滯不前的性能C、數(shù)據(jù)的準(zhǔn)確性D、數(shù)據(jù)的機(jī)密性答案：A2.A3-69信息系統(tǒng)審計(jì)師在審查建議的應(yīng)用軟件購置時(shí)應(yīng)當(dāng)確保：A、當(dāng)前使用的操作系統(tǒng)(OS)與現(xiàn)有硬件平臺(tái)兼容B、對(duì)計(jì)劃的OS更新安排要盡量減少對(duì)公司需求的負(fù)面影響C、OS具有最新版本和更新D、產(chǎn)品與當(dāng)前或計(jì)劃的操作系統(tǒng)兼容答案：D3.在跟蹤審計(jì)過程中發(fā)現(xiàn)之前的審計(jì)報(bào)告，存在問題，首選需要報(bào)告給：A、業(yè)務(wù)管理部門B、審計(jì)項(xiàng)目經(jīng)理C、項(xiàng)目經(jīng)理D、高級(jí)管理層答案：B4.A1-112以下哪一項(xiàng)是批準(zhǔn)更改審計(jì)章程的最佳職能機(jī)構(gòu)?A、董事會(huì)B、審計(jì)委員會(huì)C、執(zhí)行管理層D、內(nèi)部審計(jì)總監(jiān)答案：B5.某公司既執(zhí)行完整數(shù)據(jù)庫備份，也執(zhí)行增量數(shù)據(jù)庫備份。當(dāng)數(shù)據(jù)中心遭破壞后，以下哪一項(xiàng)能夠提供最佳的完全恢復(fù)？A、每周將完全備份移至一個(gè)異地地點(diǎn)B、每日將增量備份存放到一個(gè)異地地點(diǎn)C、將完全備份和增量備份放在一個(gè)安全的服務(wù)器機(jī)房D、每日將所有備份循環(huán)存放到異地地點(diǎn)答案：D6.在評(píng)估企業(yè)的漏洞掃描計(jì)劃的有效性時(shí)，以下哪一項(xiàng)應(yīng)該是信息系統(tǒng)審計(jì)師的最大顧慮?A、執(zhí)行漏洞掃描的頻率低于企業(yè)漏洞掃描計(jì)劃的要求B、未正式書面記錄針對(duì)已識(shí)別漏洞所采取的步驟C、結(jié)果沒有報(bào)告給有權(quán)確保解決相關(guān)漏洞的個(gè)人D、結(jié)果沒有得到高級(jí)管理層的批準(zhǔn)。答案：B7.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應(yīng)該做的是什么?A、禁止該員工的系統(tǒng)訪問權(quán)限B、審查之前該員工批準(zhǔn)的交易C、人員陪同下離開工作場(chǎng)所D、給員工電腦做備份答案：A8.執(zhí)行備份的做法反映了哪一種類型的內(nèi)部控制?A、預(yù)防B、檢測(cè)C、改正性D、補(bǔ)償答案：C9.以下哪一項(xiàng)最能體現(xiàn)信息安全計(jì)劃的有效性?A、安全團(tuán)隊(duì)知識(shí)豐富，使用最好的工具B、經(jīng)過意識(shí)培訓(xùn)后，報(bào)告和確認(rèn)的安全事故數(shù)量有所增加C、安全意識(shí)培訓(xùn)計(jì)劃是根據(jù)行業(yè)最佳實(shí)踐開發(fā)的D、安全團(tuán)隊(duì)執(zhí)行了風(fēng)險(xiǎn)評(píng)估，以了解公司的風(fēng)險(xiǎn)偏好答案：B10.A2-54以下哪一項(xiàng)是創(chuàng)建防火墻政策的第一步?A、對(duì)保護(hù)應(yīng)用程序的方法進(jìn)行成本效益分析B、確定可被外部訪問的網(wǎng)絡(luò)應(yīng)用程序C、確定與可被外部訪問的網(wǎng)絡(luò)應(yīng)用程序相關(guān)的漏洞D、創(chuàng)建應(yīng)用程序流量矩陣，說明保護(hù)方法答案：B11.某IS審計(jì)師正在為某大型跨國公司審查應(yīng)用變更管理流程，他最擔(dān)心發(fā)生以下哪種情況？A、測(cè)試系統(tǒng)的運(yùn)行配置與生產(chǎn)系統(tǒng)不一樣。B、變更管理記錄為紙質(zhì)記錄C、配置管理數(shù)據(jù)庫未經(jīng)維護(hù)D、測(cè)試環(huán)境安裝在生產(chǎn)服務(wù)器上答案：C12.信息系統(tǒng)審計(jì)師評(píng)估IT戰(zhàn)略委員會(huì)的有效性？A、業(yè)務(wù)和IT戰(zhàn)略一致性B、IT戰(zhàn)略委員會(huì)章程答案：A13.A4-120確定服務(wù)中斷事故嚴(yán)重程序的主要標(biāo)準(zhǔn)是：A、恢復(fù)成本B、負(fù)面輿論C、地理位置D、停機(jī)時(shí)間答案：D14.【重要題】企業(yè)使用IAAS(基礎(chǔ)設(shè)施及服務(wù))進(jìn)行IT管理，誰應(yīng)該負(fù)責(zé)操作系統(tǒng)安全A、企業(yè)B、云服務(wù)商C、操作系統(tǒng)提供商D、企業(yè)和云服務(wù)商答案：A15.【重要題】企業(yè)遭受了釣魚攻擊，某用戶向攻擊者泄露了自己賬號(hào)的密碼。以下哪一項(xiàng)措施能最有效地降低隨后的攻擊入侵的風(fēng)險(xiǎn)?A、教育用戶B、反垃圾郵件篩選器C、加強(qiáng)密碼D、定期進(jìn)行滲透測(cè)試答案：D16.下哪一項(xiàng)最能表明信息安全計(jì)劃的有效性?A、安全團(tuán)隊(duì)知識(shí)豐富，使用最好的可用工具B、安全意識(shí)培訓(xùn)計(jì)劃是根據(jù)行業(yè)最佳實(shí)踐開發(fā)的C、經(jīng)過意識(shí)培訓(xùn)后，報(bào)告和確認(rèn)的安全事故數(shù)量有所增加D、安全團(tuán)隊(duì)執(zhí)行了風(fēng)險(xiǎn)評(píng)估，以了解公司的風(fēng)險(xiǎn)偏好答案：C17.A5-230使用數(shù)字簽名時(shí),由誰計(jì)算消息摘要?A、僅發(fā)送者B、僅接收者C、發(fā)送者和接收者D、認(rèn)證機(jī)構(gòu)答案：C18.A1-68在審查敏感的電子版工作底稿時(shí)，信息系統(tǒng)審計(jì)師注意到它們沒有被加密。這可能危及：A、工作底稿版本管理的審計(jì)軌跡B、審計(jì)階段的批準(zhǔn)C、對(duì)工作底稿的訪問權(quán)限D(zhuǎn)、工作底稿的機(jī)密性答案：D19.數(shù)據(jù)中心審計(jì)時(shí)，審計(jì)師發(fā)現(xiàn)火災(zāi)風(fēng)險(xiǎn)非常高應(yīng)該推薦什么作為最有效的滅火措施?A、噴水式滅火系統(tǒng)B、手持式滅火器C、干劑滅火系統(tǒng)D、可排除答案：C20.公司已將信息系統(tǒng)外包出去發(fā)現(xiàn)簽訂的第三方服務(wù)協(xié)議的隱私條款不一致，信息系統(tǒng)審計(jì)師下一步進(jìn)行的工作是：A、暫停與第三方提供商的合同B、首先考慮修改合同C、簽訂保密協(xié)議D、在續(xù)約的時(shí)候考慮修改隱私條款答案：B21.【重要題】多個(gè)部門未在商定日期內(nèi)完成審計(jì)建議，以下哪一方應(yīng)該負(fù)責(zé)并跟進(jìn)這件事：A、高級(jí)管理層B、審計(jì)師C、部門經(jīng)理D、審計(jì)部門負(fù)責(zé)人答案：A22.A2-92為了應(yīng)對(duì)操作人員不執(zhí)行日常備份所帶來的風(fēng)險(xiǎn)，管理人員要求系統(tǒng)管理員簽字認(rèn)可日常備份。這是以下哪種風(fēng)險(xiǎn)處理方式的示例?A、規(guī)避B、轉(zhuǎn)移C、緩解D、接受答案：C23.A2-115制定正式的企業(yè)安全計(jì)劃時(shí)，最關(guān)鍵的成功因素是：A、建立審核委員會(huì)B、設(shè)立負(fù)責(zé)安全的單位C、來自執(zhí)行主管的有效支持D、安全流程所有者的選擇答案：C24.在審查計(jì)算機(jī)處置流程時(shí)，IS審計(jì)師最擔(dān)心以下哪項(xiàng)？A、硬盤在扇區(qū)級(jí)別進(jìn)行了多次覆寫，但在送出組織前沒有重新格式化。B、分別刪除硬盤上的所有文件及文件夾，并在送出組織前格式化硬盤。C、送出組織前在盤片的幾個(gè)指定位置打孔，使硬盤變得不可讀。D、由內(nèi)部安全人員將硬盤護(hù)送到附近的金屬回收公司，在此處注冊(cè)并隨即粉碎硬盤。答案：B25.A4-248在確定從一個(gè)數(shù)據(jù)庫遷移至另一個(gè)數(shù)據(jù)庫的個(gè)人賬戶余額是否正確時(shí)，以下哪個(gè)選項(xiàng)最有效?A、對(duì)比遷移前后的散列總計(jì)B、驗(yàn)證前后兩個(gè)數(shù)據(jù)庫的記錄數(shù)是否相同C、對(duì)遷移后的賬戶余額執(zhí)行抽樣測(cè)試D、對(duì)比所有交易的總數(shù)，核對(duì)結(jié)果答案：C26.進(jìn)行企業(yè)風(fēng)險(xiǎn)評(píng)估的第一步是確定?A、弱點(diǎn)B、資產(chǎn)C、威脅D、)影響答案：B27.在實(shí)施后審查時(shí)，以下哪一項(xiàng)最能證明用戶需求得到了滿足?A、操作員的錯(cuò)誤日志B、客戶服務(wù)事故支持請(qǐng)求的數(shù)量C、最終用戶使用文檔D、用戶驗(yàn)收測(cè)試已簽收答案：D28.以下哪一項(xiàng)將最有助于檢測(cè)網(wǎng)絡(luò)環(huán)境中IT部門購買和安裝的所有軟件的軟件許可問題?A、比較每個(gè)軟件安裝數(shù)量與軟件許可庫存清單B、將每臺(tái)計(jì)算機(jī)上的軟件與購買的軟件清單進(jìn)行比較C、審查每臺(tái)計(jì)算機(jī)上的軟件清單，以獲取未許可軟件的已知版本D、審查報(bào)告，表明計(jì)量軟件沒有被用于管理每個(gè)軟件答案：A29.以下哪項(xiàng)機(jī)制可以確保及時(shí)向高級(jí)管理層匯報(bào)IT運(yùn)行問題?A、esltion(問題升級(jí)流程)B、服務(wù)水平監(jiān)控C、定期狀態(tài)報(bào)告D、平衡積分卡答案：A30.【重要題】為了減少日志服務(wù)器不堪收集錯(cuò)誤攻擊日志的壓力，以下最佳建議是()A、微調(diào)IS的規(guī)則設(shè)置B、調(diào)整防火墻的訪問控制規(guī)則C、更換日志服務(wù)器D、調(diào)整網(wǎng)絡(luò)架構(gòu)答案：A31.【重要題】審計(jì)報(bào)告在交給項(xiàng)目指導(dǎo)委員會(huì)之前，首先由誰進(jìn)行評(píng)估?A、業(yè)務(wù)負(fù)責(zé)人B、IT審計(jì)經(jīng)理C、項(xiàng)目發(fā)起人/項(xiàng)目資助人D、審計(jì)委員會(huì)答案：B32.A4-49在評(píng)估軟件開發(fā)實(shí)踐時(shí)，一名信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，開源軟件組件用在了為客戶設(shè)計(jì)的應(yīng)用程序中。關(guān)于開源軟件的使用，該審計(jì)師最關(guān)注什么?A、客戶不為開源軟件組件付費(fèi)B、組織和客戶必須遵守開源軟件許可條款C、開源軟件具有安全漏洞D、開源軟件對(duì)商業(yè)用途不可靠答案：B33.審計(jì)師關(guān)注UAT測(cè)試的重點(diǎn)是？A、已完成應(yīng)用程序接口測(cè)試B、已完成系統(tǒng)集成測(cè)試C、業(yè)務(wù)流程所有者簽字確認(rèn)測(cè)試結(jié)果。答案：C34.某IS審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，發(fā)現(xiàn)以下哪個(gè)問題最值得關(guān)注?A、不記得了B、滅火系統(tǒng)C、安全攝像頭D、緊急出口答案：D35.在宣布要進(jìn)行收購的新聞稿之后，企業(yè)正遭受針對(duì)目標(biāo)員工和高管的大量網(wǎng)絡(luò)釣魚攻擊，以下哪一項(xiàng)提供防御這些攻擊最好的保護(hù)?A、部署入侵檢測(cè)和防御系統(tǒng)B、進(jìn)行全企業(yè)范圍的意識(shí)培訓(xùn)C、在被收購的系統(tǒng)上安裝垃圾郵件過濾器D、要求簽署企業(yè)安全政策的確認(rèn)書問題答案：B36.在信息系統(tǒng)開發(fā)方法中，以下哪一項(xiàng)應(yīng)該被包括在內(nèi)?A、風(fēng)險(xiǎn)管理技術(shù)B、事故管理技術(shù)C、訪問控制規(guī)則D、增值活動(dòng)分析答案：A37.A2-149某金融企業(yè)設(shè)有一個(gè)小規(guī)模的IT部門，因而需要員工身兼數(shù)職。以下哪種做法帶來的問題最大?A、開發(fā)人員將代碼提交到生產(chǎn)環(huán)境中B、業(yè)務(wù)分析人員編寫相關(guān)需求并執(zhí)行功能性測(cè)試C、IT經(jīng)理同時(shí)執(zhí)行系統(tǒng)管理工作D、數(shù)據(jù)庫管理員也執(zhí)行數(shù)據(jù)備份答案：A38.A1-22在規(guī)劃信息系統(tǒng)審計(jì)時(shí)，最關(guān)鍵的步驟是確定：A、重大風(fēng)險(xiǎn)區(qū)域B、審計(jì)人員的技能組合C、審計(jì)中的測(cè)試步驟D、分配給審計(jì)的時(shí)間答案：A39.防尾隨的物理安全控制，對(duì)于無雙門設(shè)置的數(shù)據(jù)中心，以下哪項(xiàng)是最好的措施A、雙因素認(rèn)證B、安全意識(shí)培訓(xùn)C、生物識(shí)別門鎖D、要求佩戴ID標(biāo)識(shí)卡答案：B40.某業(yè)務(wù)單位已選用新的會(huì)計(jì)應(yīng)用，但并未在選擇流程中提前咨詢IT部門。主要風(fēng)險(xiǎn)是：A、該應(yīng)用的安全控制可能不符合要求。B、該應(yīng)用可能不符合業(yè)務(wù)用戶的需求。C、該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)(EA)不一致。D、該應(yīng)用可能給IT部門帶來不可預(yù)見的支持問題。答案：C41.軟件使用可持續(xù)時(shí)間應(yīng)在哪個(gè)階段確定?A、設(shè)計(jì)階段B、用戶測(cè)試之后C、提供給運(yùn)維之前D、實(shí)施后答案：A42.A2-131有效設(shè)計(jì)信息安全政策最重要的因素是：A、威脅趨勢(shì)B、以前的安全事故C、新興技術(shù)D、企業(yè)風(fēng)險(xiǎn)偏好答案：D43.A4-109在審查IT基礎(chǔ)設(shè)施時(shí),信息系統(tǒng)審計(jì)師注意到存儲(chǔ)資源不斷增多。信息系統(tǒng)審計(jì)師應(yīng)：A、建議使用磁盤鏡像B、審查異地存儲(chǔ)的充分性C、審查容量管理流程D、建議使用壓縮算法答案：C44.以下那種情況可以認(rèn)為系統(tǒng)遭受了攻擊？A、下班時(shí)間對(duì)系統(tǒng)訪問量增加B、清晨和傍晚的訪問量增加C、一天中某個(gè)時(shí)段或每周的某段固定時(shí)間訪問量增加D、公司的什么自動(dòng)登錄內(nèi)部網(wǎng)絡(luò)的系統(tǒng)已經(jīng)關(guān)閉答案：B45.以下哪一項(xiàng)是有助于確保公司存儲(chǔ)的隱私相關(guān)數(shù)據(jù)安全的最佳方式?A、發(fā)布數(shù)據(jù)分類方案B、通知數(shù)據(jù)所有者收集信息的目的C、加密個(gè)人身份信息D、將隱私相關(guān)數(shù)據(jù)歸類為機(jī)密信息答案：D46.A5-238以下哪項(xiàng)是雙因素用戶身份認(rèn)證的形式?A、智能卡和個(gè)人識(shí)別碼B、唯一的用戶I和復(fù)雜的非字典密碼C、虹膜掃描和指紋掃描D、磁條卡和感應(yīng)證章答案：A47.A2-135以下哪一項(xiàng)是審查信息資產(chǎn)的分類等級(jí)時(shí)最重要的?A、潛在損失B、財(cái)務(wù)成本C、潛在威脅D、保險(xiǎn)成本答案：A48.因業(yè)務(wù)激增，某公司采購了大型主機(jī)系統(tǒng)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要考慮下面哪一個(gè)因素?A、RP是否評(píng)估和更新B、采購是否超過預(yù)算C、投標(biāo)是否經(jīng)過評(píng)估D、應(yīng)用程序訪問控制是否充分答案：D49..在取證數(shù)據(jù)采集和保存流程中以下哪項(xiàng)最重要?A、保持?jǐn)?shù)據(jù)完整性B、確保設(shè)備的物理安全C、維持保管鏈D、決定要使用的工答案：A50.什么時(shí)候應(yīng)該進(jìn)行業(yè)務(wù)連續(xù)性計(jì)劃測(cè)試?A、在每次有新應(yīng)用程序的時(shí)候測(cè)試B、在滲透測(cè)試攻破防線的時(shí)候測(cè)試C、完成年度it風(fēng)險(xiǎn)評(píng)估后測(cè)試D、/根據(jù)人員和環(huán)境變化時(shí)測(cè)試答案：D51.【重要題】以下哪一項(xiàng)是數(shù)據(jù)分類流程的最重要成果?A、確定的保護(hù)級(jí)別B、全面的數(shù)據(jù)資產(chǎn)清單C、數(shù)據(jù)的訪問控制矩陣D、增強(qiáng)的數(shù)據(jù)訪問日志答案：B52.A4-35一家大型連鎖店在銷售終端設(shè)備上安裝了電子資金轉(zhuǎn)賬系統(tǒng)，并且配備了一個(gè)用于連接到銀行網(wǎng)絡(luò)的中央通信處理器。對(duì)于該通信處理器，以下哪種災(zāi)難恢復(fù)計(jì)劃是最佳方案?A、異地存儲(chǔ)日常備份數(shù)據(jù)B、現(xiàn)場(chǎng)安裝備用處理器C、安裝雙工通信線路D、在其他網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器答案：D53.A1-118某信息系統(tǒng)審計(jì)師正在審查銀行電匯系統(tǒng)的風(fēng)險(xiǎn)和控制。為確保正確應(yīng)對(duì)銀行的財(cái)務(wù)風(fēng)險(xiǎn)，該信息系統(tǒng)審計(jì)師最可能審查以下哪一項(xiàng)?A、對(duì)電匯系統(tǒng)的特權(quán)訪問B、電匯程序C、欺詐檢測(cè)控制D、員工背景核查答案：B54.【重要題】信息系統(tǒng)的實(shí)施前審查以確定是否投產(chǎn)準(zhǔn)備就緒，IS審計(jì)師最需要關(guān)注什么?A、效益是否經(jīng)過證實(shí)。B、是否存在未解決的高風(fēng)險(xiǎn)項(xiàng)目C、用戶是否參與了Q測(cè)試D、項(xiàng)目是否符合預(yù)算和目標(biāo)日期答案：B55.企業(yè)規(guī)定，雇員發(fā)現(xiàn)漏洞，應(yīng)該怎么做?A、評(píng)估漏洞被利用的風(fēng)險(xiǎn)B、上報(bào)經(jīng)理C、上報(bào)信息安全審計(jì)部門經(jīng)理D、解決漏洞答案：B56.在把關(guān)鍵系統(tǒng)遷移到云服務(wù)提供商的過程中，企業(yè)對(duì)數(shù)據(jù)安全性的最大顧慮是：A、在法律查詢過程中可能要求來自不同客戶的數(shù)據(jù)B、不同客戶的數(shù)據(jù)應(yīng)遵守的政府法規(guī)可能各不相同C、不同客戶的數(shù)據(jù)可能受制于災(zāi)難恢復(fù)的不同服務(wù)水平協(xié)議SLA。D、不同客戶的數(shù)據(jù)之間可能沒有實(shí)施隔離答案：B57.A5-219對(duì)IT系統(tǒng)實(shí)施滲透測(cè)試時(shí)，組織最應(yīng)關(guān)注以下哪項(xiàng)?A、報(bào)告的機(jī)密性B、找到系統(tǒng)中的所有漏洞C、將系統(tǒng)恢復(fù)為原始狀態(tài)D、記錄對(duì)生產(chǎn)系統(tǒng)進(jìn)行的更改答案：C58.A2-99對(duì)IT戰(zhàn)略計(jì)劃流程進(jìn)行審查時(shí)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)確保該計(jì)劃：A、融入了最新的技術(shù)B、解決了所需的運(yùn)營控制問題C、明確表述了IT使命和愿景D、說明了項(xiàng)目管理實(shí)務(wù)答案：C59.A3-6某信息系統(tǒng)審計(jì)師正在審查最近完成的向新企業(yè)資源規(guī)劃系統(tǒng)轉(zhuǎn)換的項(xiàng)目。在轉(zhuǎn)換過程的最后階段，最初30天舊系統(tǒng)和新系統(tǒng)同時(shí)運(yùn)行，然后才獨(dú)立運(yùn)行新系統(tǒng)。使用這種策略的最大優(yōu)點(diǎn)是什么?A、比其他測(cè)試方法節(jié)省更多成本B、確保運(yùn)行速度更快的新硬件與新系統(tǒng)兼容C、確保新系統(tǒng)滿足功能要求D、提高并行處理時(shí)間的彈性答案：C60.A2-11某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，組織最近采用的企業(yè)架構(gòu)具有充分的當(dāng)前狀態(tài)描述，但該組織又啟動(dòng)了一個(gè)獨(dú)立了的項(xiàng)目來確定未來狀態(tài)的描述。信息系統(tǒng)審計(jì)師應(yīng)：A、建議盡快完成此獨(dú)立項(xiàng)目B、將此問題作為審計(jì)發(fā)現(xiàn)寫進(jìn)審計(jì)報(bào)告C、建議采用Zhmnn框架D、調(diào)整審計(jì)范圍以將該獨(dú)立項(xiàng)目包括在當(dāng)前審計(jì)中答案：B61.A5-129某信息系統(tǒng)審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個(gè)領(lǐng)域值得關(guān)注。以下哪個(gè)領(lǐng)域最重要?A、緊急斷電按鈕蓋不見了B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)C、數(shù)據(jù)中心沒有安全攝像頭D、緊急出口被阻塞答案：D62.A1-92以下哪一項(xiàng)最能成功地識(shí)別業(yè)務(wù)應(yīng)用程序系統(tǒng)中重疊的關(guān)鍵控制?A、審查附加到復(fù)雜業(yè)務(wù)流程的系統(tǒng)功能B、通過集成測(cè)試設(shè)施提交測(cè)試交易C、使用自動(dòng)審計(jì)解決方案替代手動(dòng)監(jiān)控D、對(duì)控制進(jìn)行測(cè)試以驗(yàn)證控制是否有效答案：C63.A2-133以下哪種保險(xiǎn)類型針對(duì)因員工欺詐行為造成的損失?A、業(yè)務(wù)中斷B、忠誠保險(xiǎn)C、錯(cuò)誤和遺漏D、額外支出答案：B64.數(shù)據(jù)中心外包了，以下哪項(xiàng)保證了數(shù)據(jù)中心的可用性?A、SLB、基準(zhǔn)指標(biāo)報(bào)告C、績(jī)效指標(biāo)D、故障率答案：A65.審計(jì)師檢查后發(fā)現(xiàn)應(yīng)用系統(tǒng)存在漏洞，審計(jì)師建議A、檢查系統(tǒng)日志B、安裝IDSC、加固系統(tǒng)，安裝防火墻答案：A66.項(xiàng)目經(jīng)理可以通過識(shí)別和記錄項(xiàng)目風(fēng)險(xiǎn)來：A、優(yōu)先處理任務(wù)B、界定范圍C、按時(shí)完成項(xiàng)目D、跟蹤可交付成果答案：A67.以下哪項(xiàng)是云服務(wù)提供商實(shí)施了安全政策程序的最佳證據(jù)？A、對(duì)網(wǎng)絡(luò)安全配置參數(shù)的審查B、第三方提供的審計(jì)報(bào)告C、其他客戶對(duì)服務(wù)商的評(píng)價(jià)D、服務(wù)提供商安全管理層提供的安全策略答案：B68.哪一項(xiàng)是審計(jì)師對(duì)于幫助企業(yè)提高資源效率的最佳建議A、實(shí)時(shí)備份B、可排除C、硬件升級(jí)D、虛擬化答案：D69.系統(tǒng)內(nèi)并發(fā)輸入數(shù)據(jù)，如果系統(tǒng)控制不佳，將影響數(shù)據(jù)的()?A、可用性B、保密性C、完整性D、不可否認(rèn)性答案：C70.A1-16某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，少量用戶訪問請(qǐng)求未通過正常的預(yù)定工作流程步驟和上報(bào)規(guī)則獲得經(jīng)理授權(quán)。信息系統(tǒng)審計(jì)師應(yīng)：A、執(zhí)行額外分析B、將問題報(bào)告給審計(jì)委員會(huì)C、執(zhí)行安全風(fēng)險(xiǎn)評(píng)估D、建議身份管理系統(tǒng)負(fù)責(zé)人解決工作流程問題答案：A71.開發(fā)人員對(duì)薪資系統(tǒng)中的數(shù)據(jù)字段做了未經(jīng)授權(quán)的變更，下列哪一種控制弱點(diǎn)最可能導(dǎo)致該問題？A、程序設(shè)計(jì)人員有權(quán)訪問生產(chǎn)程序。B、工資文件不受程序庫管理員控制C、可排除D、程序設(shè)計(jì)人員沒有讓用戶參與測(cè)試答案：A72.A3-58通常要在系統(tǒng)開發(fā)中的以下哪個(gè)階段做好用戶驗(yàn)收測(cè)試計(jì)劃的準(zhǔn)備?A、可行性分析B、需求定義C、計(jì)劃實(shí)施D、實(shí)施后審查答案：B73.A1-140對(duì)于超過預(yù)定閾值的交易,以下哪種是最有效的監(jiān)控工具?A、通用審計(jì)軟件B、集成測(cè)試設(shè)施C、回歸測(cè)試D、交易快照答案：A74.A5-84以下哪項(xiàng)是采用X.509數(shù)字證書的企業(yè)公鑰基礎(chǔ)設(shè)施和認(rèn)證機(jī)構(gòu)的最重要職能?A、向電子郵件和文件空間使用的加密和簽名服務(wù)提供公鑰/私鑰組B、將數(shù)字證書及其公鑰與單個(gè)用戶的身份進(jìn)行綁定C、提供員工身份和個(gè)人詳細(xì)信息的權(quán)威來源D、提供對(duì)象訪問的權(quán)威身份認(rèn)證來源答案：B75.A4-188以下哪種情況最適合實(shí)施增量備份方案?A、關(guān)鍵數(shù)據(jù)的恢復(fù)時(shí)間有限B、傾向于使用基于磁盤的在線介質(zhì)C、介質(zhì)容量有限D(zhuǎn)、需要隨機(jī)選擇備份集答案：C76.A5-110將數(shù)字簽名應(yīng)用到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)可提供：A、機(jī)密性和完整性B、安全性和不可否認(rèn)性C、完整性和不可否認(rèn)性D、機(jī)密性和不可否認(rèn)性答案：C77.A5-58下列哪項(xiàng)在減少社會(huì)工程事故方面最有效果?A、安全意識(shí)培訓(xùn)B、增加物理安全控制C、制定電子郵件監(jiān)控政策D、設(shè)置入侵檢測(cè)系統(tǒng)答案：A78.A3-65在準(zhǔn)備業(yè)務(wù)案例以支持電子數(shù)據(jù)倉庫解決方案的需求時(shí)，以下哪一項(xiàng)對(duì)在決策流程中協(xié)助管理層最重要?A、討論單一解決方案B、考慮安全控制C、論證可行性D、咨詢審計(jì)部門答案：C79.A4-106測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃的主要目標(biāo)是：A、使員工熟悉業(yè)務(wù)連續(xù)性計(jì)劃B、確保解決所有殘余風(fēng)險(xiǎn)C、練習(xí)所有可能的災(zāi)難場(chǎng)景D、識(shí)別業(yè)務(wù)連續(xù)性計(jì)劃的限制答案：D80.A5-42在對(duì)醫(yī)療組織的受保護(hù)醫(yī)療信息(PHI)進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)，信息系統(tǒng)審計(jì)師與信息系統(tǒng)管理人員進(jìn)行了面談。此次面談中的哪項(xiàng)發(fā)現(xiàn)最令信息系統(tǒng)審計(jì)師關(guān)注?A、組織沒有對(duì)所有外發(fā)的電子郵件進(jìn)行加密B、員工必須在電子郵件的主題欄鍵入“【PHI】”才能進(jìn)行加密C、個(gè)別工作人員的計(jì)算機(jī)屏幕保護(hù)功能被禁用D、服務(wù)器配置要求用戶每年更改一次密碼答案：B81.A4-52組織的災(zāi)難恢復(fù)計(jì)劃中包含互惠協(xié)議時(shí)，采用了以下哪種風(fēng)險(xiǎn)應(yīng)對(duì)方法?A、轉(zhuǎn)移B、緩解C、規(guī)避D、接受答案：B82.數(shù)據(jù)包級(jí)防火墻最致命的安全漏洞是因?yàn)樗梢酝ㄟ^下列哪一項(xiàng)措施來規(guī)避：A、在收到的數(shù)據(jù)包上更改源地址B、截取明文發(fā)送的數(shù)據(jù)包并查看密碼C、解譯數(shù)據(jù)包中的簽名信息。D、使用加密密碼的字典式攻擊(itionryttk)。答案：A83.匿名文件傳輸協(xié)議(FTP)服務(wù)器的主要特征是?A、加密通信鏈路B、未認(rèn)證的用戶對(duì)所有主機(jī)系統(tǒng)文件具有完全的訪問權(quán)限C、無法防止對(duì)敏感文件的訪問D、比HTTP協(xié)議性能差答案：C84.以下哪一項(xiàng)是資產(chǎn)分類對(duì)信息安全項(xiàng)目至關(guān)重要的主要原因？A、確保為信息安全分配足夠的資源B、確保風(fēng)險(xiǎn)緩解措施充分C、確保適當(dāng)?shù)馁Y產(chǎn)保護(hù)水平D、確保資產(chǎn)保護(hù)工作符合行業(yè)標(biāo)準(zhǔn)答案：C85.在對(duì)某公司的數(shù)據(jù)分類流程進(jìn)行評(píng)估時(shí)，信息系統(tǒng)審計(jì)師的主要關(guān)注哪些方面?A、數(shù)據(jù)字典是否得到維護(hù)B、是否對(duì)數(shù)據(jù)正確分類C、數(shù)據(jù)保留要求是否明確定義D、數(shù)據(jù)分類是否自主化答案：C86.A3-102某信息系統(tǒng)審計(jì)師受邀參加一個(gè)關(guān)鍵項(xiàng)目的啟動(dòng)會(huì)議。該信息系統(tǒng)審計(jì)師的主要關(guān)注點(diǎn)應(yīng)該是：A、是否已分析項(xiàng)目的復(fù)雜性和風(fēng)險(xiǎn)B、是否已確定整個(gè)項(xiàng)目所需的資源C、是否已確定技術(shù)交付成果D、是否已制定好外部各方參與項(xiàng)目所需的合同答案：A87.組織想要評(píng)估IT系統(tǒng)之后，來實(shí)施財(cái)務(wù)審計(jì)(意思就是財(cái)務(wù)數(shù)據(jù)依賴于系統(tǒng)),那么IT審計(jì)師的實(shí)施流程是什么？A、先測(cè)試it一般控制(itgc),再測(cè)試主要itac(應(yīng)用控制)B、先測(cè)試主要itac(應(yīng)用控制),再測(cè)試it一般控制(itgc)C、先測(cè)試主要的財(cái)務(wù)應(yīng)用程序，再測(cè)試IT治理流程D、先測(cè)試明細(xì)賬，再測(cè)試總賬答案：A88.在項(xiàng)目的問題（issues）管理過程中，將出現(xiàn)下面哪類工作？A、配置管理B、突發(fā)事件處理計(jì)劃C、客戶服務(wù)管理D、影響評(píng)估答案：D89.A4-183企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃的啟動(dòng)應(yīng)基于以下哪方面的預(yù)定標(biāo)準(zhǔn)?A、中斷的持續(xù)時(shí)間B、中斷的類型C、中斷的概率D、中斷的原因答案：A90.面向?qū)ο蟮囊粋€(gè)優(yōu)點(diǎn)是：A、將系統(tǒng)分區(qū)為客戶機(jī)服務(wù)器體系結(jié)構(gòu)B、比過程語言更易編程C、適合具有復(fù)雜關(guān)系的數(shù)據(jù)D、和文檔相關(guān)，可排除。答案：B91.懷疑一個(gè)用來處理數(shù)據(jù)的PC，被用于針對(duì)財(cái)務(wù)部門的舞弊，應(yīng)首先向誰報(bào)告A、業(yè)務(wù)管理部門B、警察C、審計(jì)委員會(huì)D、審計(jì)管理部門答案：C92.A2-105某信息系統(tǒng)審計(jì)師正在審查IT安全風(fēng)險(xiǎn)管理方案。解決安全風(fēng)險(xiǎn)的措施應(yīng)該是：A、解決所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)B、依照IT戰(zhàn)略計(jì)劃進(jìn)行持續(xù)跟蹤C(jī)、考慮整個(gè)IT環(huán)境D、確定對(duì)漏洞的容忍程序答案：C93.針對(duì)web服務(wù)器的操作系統(tǒng)，防火墻開啟下列哪項(xiàng)協(xié)議是較為安全的：A、)SSHB、XMLC、HTTPSD、SNTP答案：C94..被審計(jì)方已告知信息系統(tǒng)審計(jì)師，其資金不是以實(shí)施審計(jì)報(bào)告中商定的建議，且沒有預(yù)計(jì)的解決時(shí)間計(jì)劃，審計(jì)師應(yīng)對(duì)此情況采取的最佳方式是什么?A、在無法實(shí)施完整解決方案的情況下評(píng)估風(fēng)險(xiǎn)B、關(guān)閉該發(fā)現(xiàn)并記錄被審計(jì)方的解釋C、獲得內(nèi)部審計(jì)批準(zhǔn)，以將發(fā)現(xiàn)從報(bào)告中刪除D、提出建議增加IT預(yù)算答案：A95.信息系統(tǒng)審計(jì)師審查各種IT外包合同采購流程。確保中標(biāo)的承包商滿足以下哪項(xiàng)要求？A、維護(hù)了內(nèi)部審計(jì)功能。B、是按確定的業(yè)務(wù)標(biāo)準(zhǔn)選擇出來的。C、要求所有員工都簽署機(jī)密性協(xié)議。D、消除了外包風(fēng)險(xiǎn)。答案：B96.規(guī)劃審計(jì)時(shí)，對(duì)重要性進(jìn)行評(píng)估的作用是A、可排除小錯(cuò)誤的累計(jì)效應(yīng)B、幫助審計(jì)集中在關(guān)鍵領(lǐng)域C、在審計(jì)測(cè)試完成時(shí)告知審計(jì)師D、集中于財(cái)務(wù)方面的項(xiàng)目答案：B97.A3-103從風(fēng)險(xiǎn)管理角度看,實(shí)施龐大而復(fù)雜的IT基礎(chǔ)設(shè)施時(shí)最好的方法是：A、概念驗(yàn)證后進(jìn)行大規(guī)模部署B(yǎng)、原型設(shè)計(jì)和單階段部署C、根據(jù)已排好順序的各階段執(zhí)行部署計(jì)劃D、部署前對(duì)新基礎(chǔ)架構(gòu)進(jìn)行模擬答案：C98.【重要題】哪項(xiàng)風(fēng)險(xiǎn)對(duì)抽樣方法的選擇影響最大?A、固有風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)C、檢測(cè)風(fēng)險(xiǎn)D、控制風(fēng)險(xiǎn)答案：D99.A2-88從IT治理的角度來說,董事會(huì)的主要職責(zé)是什么?確保IT戰(zhàn)略：A、具有成本效益B、面向未來和具有創(chuàng)新性C、與業(yè)務(wù)戰(zhàn)略相一致D、有適當(dāng)?shù)膬?yōu)先級(jí)答案：C100.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應(yīng)該做的是什么?A、禁止該員工的系統(tǒng)訪問權(quán)限B、審查之前該員工批準(zhǔn)的交易C、人員陪同下離開工作場(chǎng)所D、給員工電腦做備份答案：A101.【重要題】電子鏈接異地備份能夠降低以下哪一項(xiàng)風(fēng)險(xiǎn)?A、備份期間發(fā)生通訊故障B、運(yùn)輸過程中介質(zhì)意外丟失C、存儲(chǔ)介質(zhì)容量不足D、備份不準(zhǔn)確或不完整答案：B102.A2-10某信息系統(tǒng)審計(jì)師正在審查組織的軟件質(zhì)量管理流程。第一步應(yīng)該做的是：A、核查組織對(duì)標(biāo)準(zhǔn)的遵守情況B、確定并報(bào)告現(xiàn)有控制C、審查質(zhì)量評(píng)估指標(biāo)D、要求獲取組織采用的所有標(biāo)準(zhǔn)答案：D103.哪一項(xiàng)是審計(jì)師對(duì)于幫助企業(yè)提高資源效率的最佳建議?A、實(shí)時(shí)備份B、可排除C、硬件升級(jí)D、虛擬化答案：D104.在計(jì)劃滲透測(cè)試時(shí)，應(yīng)首先執(zhí)行哪一項(xiàng)？A、確定漏洞的報(bào)告要求B、執(zhí)行保密協(xié)議C、定義測(cè)試范圍D、取得管理層的審批答案：C105.降低通過商業(yè)情報(bào)系統(tǒng)傳播不準(zhǔn)確或誤導(dǎo)性數(shù)據(jù)風(fēng)險(xiǎn)的最佳方式是什么?A、建立將數(shù)據(jù)從一種格式轉(zhuǎn)換為另一種格式的規(guī)則B、實(shí)施一致的數(shù)據(jù)庫索引策略C、為新的和現(xiàn)有的應(yīng)用程序?qū)嵤?shù)據(jù)輸入控制D、開發(fā)元數(shù)據(jù)存儲(chǔ)庫以存儲(chǔ)和訪問元數(shù)據(jù)答案：C106.代理服務(wù)商反饋通過瘦客戶端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下哪項(xiàng)措施。A、申請(qǐng)?zhí)鎿Q為胖客戶端B、升級(jí)客戶端硬件配置C、升級(jí)客戶端程序以提供更詳細(xì)的錯(cuò)誤信息D、安裝中間件用來增強(qiáng)客戶端和系統(tǒng)的通訊答案：D107.公司準(zhǔn)備把ERP管理軟件開發(fā)工作外包，已經(jīng)通過高層審批，并確定了幾家供應(yīng)商，接下應(yīng)該：A、聯(lián)系供應(yīng)商對(duì)應(yīng)的客戶B、審計(jì)供應(yīng)商SL能力C、確認(rèn)ERP功能和對(duì)應(yīng)的控制措施，并進(jìn)行排序D、簽訂供應(yīng)商合同答案：C108.在審查用戶賬戶政策時(shí)，信息系統(tǒng)審計(jì)師的最大擔(dān)憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權(quán)限的相關(guān)政策B、當(dāng)員工更改角色時(shí)，沒有任何政策可以撤銷以前的訪問權(quán)限C、沒有要求員工簽署保密協(xié)議(N)的相關(guān)政策D、沒有針對(duì)安全意識(shí)培訓(xùn)的政策答案：B109.業(yè)務(wù)流程再造(BPR)過程中,IT可協(xié)助A、職責(zé)分離B、總擁有成本C、集中于增值任務(wù)D、使任務(wù)流程化答案：D110.電力暫時(shí)增高減少的情況時(shí)應(yīng)選擇哪種設(shè)備?(選項(xiàng)中沒有穩(wěn)壓器)A、冗余電力B、UPSC、備用發(fā)電機(jī)D、關(guān)閉電源緊急開關(guān)答案：B111.A5-267Java小程序和ActiveX空間是在客戶端Web瀏覽器后臺(tái)執(zhí)行的分布式程序。在下列哪種情況時(shí)，認(rèn)為此實(shí)務(wù)合理?A、存在防火墻B、使用安全We連接C、可執(zhí)行文件的來源是確定的D、主機(jī)網(wǎng)站是組織的一部分答案：C112.某公司正打算安裝一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(IDS)，用來保護(hù)其托管的網(wǎng)站。該設(shè)備應(yīng)當(dāng)安裝在哪里？A、在本地網(wǎng)絡(luò)上B、在防火墻之外C、在隔離區(qū)（DMZ)中D、在托管網(wǎng)站的服務(wù)器上答案：C113.A4-53編程人員為了改變數(shù)據(jù)而惡意修改了生產(chǎn)程序，隨后又重新恢復(fù)為原始代碼。下列哪一項(xiàng)能夠最有效地檢測(cè)此惡意行為?A、比較源代碼B、審查系統(tǒng)日志文件C、比較目標(biāo)代碼D、審查可執(zhí)行代碼和源代碼的完整性答案：B114.中央防病毒系統(tǒng)負(fù)責(zé)在允許個(gè)人電腦接入網(wǎng)絡(luò)之前，確定每臺(tái)PC機(jī)是否具有最新的病毒定義文件，并安裝最新的病毒定義文件。A、指令性控制。B、改正性控制。C、補(bǔ)償性控制。D、檢測(cè)性控制。答案：B115.項(xiàng)目發(fā)生變化，但對(duì)應(yīng)的業(yè)務(wù)案例沒有變化，最大的風(fēng)險(xiǎn)是：A、影響業(yè)務(wù)實(shí)施B、影響IT實(shí)施C、超出預(yù)算D、沒有人支持項(xiàng)目答案：A116.A1-18對(duì)遠(yuǎn)程系統(tǒng)的程序變更請(qǐng)求進(jìn)行測(cè)試時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)可用于抽樣的變更數(shù)量無法提供合理水平的鑒證。信息系統(tǒng)審計(jì)師最好地采取以下哪項(xiàng)措施?A、制定替代的測(cè)試程序B、向管理層報(bào)告發(fā)現(xiàn)的問題C、對(duì)變更管理流程執(zhí)行瀏覽審查D、創(chuàng)建額外的樣本數(shù)據(jù)，以測(cè)試額外的變更答案：A117.A2-85審查組織批準(zhǔn)的軟件產(chǎn)品列表時(shí)，以下哪一個(gè)是需要驗(yàn)證的最重要事項(xiàng)?A、對(duì)與產(chǎn)品使用相關(guān)的風(fēng)險(xiǎn)進(jìn)行定期評(píng)估B、為每個(gè)產(chǎn)品列出最新的軟件版本C、由于許可問題，列表不包含開源軟件D、提供營業(yè)時(shí)間之后的支持答案：A118.A2-28確定可接受風(fēng)險(xiǎn)的等級(jí)是誰的責(zé)任?A、質(zhì)量保證管理人員B、高級(jí)業(yè)務(wù)管理人員C、首席信息官D、首席安全官答案：B119.A4-190在審查內(nèi)部開發(fā)的應(yīng)用程序期間，信息系統(tǒng)審計(jì)師最應(yīng)關(guān)注的是：A、是否有用戶提出變更請(qǐng)求并在測(cè)試環(huán)境中對(duì)其進(jìn)行測(cè)試B、是否有編程人員在開發(fā)環(huán)境中編寫變更代碼并在測(cè)試環(huán)境中對(duì)其進(jìn)行測(cè)試C、是否有管理人員審批變更請(qǐng)求并在生產(chǎn)環(huán)境中對(duì)其進(jìn)行審查D、是否有管理人員提出變更請(qǐng)求并隨后對(duì)其進(jìn)行審批答案：D120.如何確保IT戰(zhàn)略的執(zhí)行?A、使IT戰(zhàn)略與企業(yè)戰(zhàn)略/目標(biāo)協(xié)調(diào)一致B、在企業(yè)中落實(shí)問責(zé)制C、提供積極的投資回報(bào)率(ROI)D、確立企業(yè)風(fēng)險(xiǎn)管理流程答案：A121.使用RSA加密法創(chuàng)建的數(shù)字簽名所提供的控制，最有可能受到下面哪種攻擊？A、通過摘要來反推哈希函數(shù)B、泄露的私鑰C、泄露的摘要D、泄露的公鑰答案：B122.以下哪一項(xiàng)是降低未授權(quán)訪問無人值守的最終用戶PC系統(tǒng)的最有效方法？A、強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序B、實(shí)施以鄰近為基礎(chǔ)的身份認(rèn)證系統(tǒng)C、按預(yù)定義間隔終止用戶會(huì)話D、調(diào)整電源管理設(shè)置，以保證顯示屏是空白的答案：A123.【重要題】在一個(gè)電壓忽高忽低的場(chǎng)景下，需要哪種設(shè)備保護(hù)系統(tǒng)A、UPSB、冗余電力(發(fā)電機(jī))C、穩(wěn)壓器D、電源線調(diào)節(jié)器答案：C124.某IS審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個(gè)領(lǐng)域值得關(guān)注。以下哪個(gè)領(lǐng)域最?A、緊急斷電按鈕蓋不見了。B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)。C、數(shù)據(jù)中心沒有安全攝像頭。D、緊急出口門被阻塞。答案：D125.固有風(fēng)險(xiǎn)評(píng)級(jí)通過對(duì)威脅或漏洞的影響及可能性評(píng)估，威脅或漏洞發(fā)生A、考慮采取內(nèi)部控制措施之前B、考慮內(nèi)部控制措施之后C、應(yīng)用了補(bǔ)償控制措施后D、確立風(fēng)險(xiǎn)偏好之前答案：A126.A2-79評(píng)估IT風(fēng)險(xiǎn)時(shí),最好通過以下哪項(xiàng)來完成?A、評(píng)估現(xiàn)有IT資產(chǎn)和IT項(xiàng)目相關(guān)的威脅和漏洞B、利用組織以前積累的實(shí)際損失經(jīng)驗(yàn)來確定目前的風(fēng)險(xiǎn)敞口C、審查類似組織發(fā)布的損失統(tǒng)計(jì)數(shù)據(jù)D、審核審計(jì)報(bào)告中確定的IT控制弱點(diǎn)答案：A127.A2-13企業(yè)架構(gòu)舉措的主要好處是?A、使企業(yè)的投資能夠用于最合適的技術(shù)B、確保在關(guān)鍵平臺(tái)上實(shí)施安全控制C、允許開發(fā)團(tuán)隊(duì)更快地響應(yīng)業(yè)務(wù)要求D、賦予業(yè)務(wù)單位更大的自主權(quán)，以選擇符合其需求的IT解決方案答案：A128.A5-242某組織制定了一條政策,定義了禁止用戶訪問的網(wǎng)站類型。要使此政策付諸實(shí)施，最有效的技術(shù)是什么?A、狀態(tài)檢測(cè)防火墻B、We內(nèi)容過濾器C、We緩存服務(wù)器D、代理服務(wù)器答案：B129.審計(jì)師發(fā)現(xiàn)一名前員工仍舊可以訪同應(yīng)用程序。原來審計(jì)發(fā)現(xiàn)，有60名前員工可以訪問多個(gè)應(yīng)用程序，并且不包括在這次審計(jì)發(fā)現(xiàn)的這個(gè)員工。以下哪一項(xiàng)是最何時(shí)報(bào)告?A、報(bào)告刪除離職員工訪問權(quán)限的過程無效B、報(bào)告先前的發(fā)現(xiàn)已解決，但發(fā)現(xiàn)了新的問題C、報(bào)告離職員工有權(quán)訪問應(yīng)用程序D、報(bào)告先前的審計(jì)發(fā)現(xiàn)已得到補(bǔ)救答案：A130.在對(duì)某公司的防火墻配置進(jìn)行跟進(jìn)審計(jì)時(shí)，信息系統(tǒng)審批時(shí)發(fā)現(xiàn)防火墻已集成到一個(gè)新系統(tǒng)中，該系統(tǒng)同時(shí)提供防火墻和入侵檢測(cè)功能。信息系統(tǒng)審計(jì)師應(yīng)該：A、認(rèn)為跟進(jìn)審計(jì)不必要，因?yàn)椴辉偈褂梅阑饓?。B、評(píng)估當(dāng)前工作人員是否能夠支持新系統(tǒng)。C、審查新系統(tǒng)與現(xiàn)有網(wǎng)絡(luò)控制的兼容性。D、評(píng)估集成系統(tǒng)是否解決已識(shí)別的風(fēng)險(xiǎn)。答案：D131.以下哪一項(xiàng)能保證供應(yīng)商支持的軟件保持最新狀態(tài)?A、補(bǔ)丁程序管理B、版本管理C、軟件資產(chǎn)管理D、許可協(xié)議答案：A132.A5-74以下哪種病毒軟件實(shí)施策略在互連的公司網(wǎng)絡(luò)中最有效?A、基于服務(wù)器的防病毒軟件B、基于企業(yè)的防病毒軟件C、基于工作站的防病毒軟件D、基于外圍的防病毒軟件答案：B133.為了達(dá)到恢復(fù)的目的，備份時(shí)間間隔不超過：A、SLAB、RPOC、RTO答案：B134.如何處理應(yīng)用系統(tǒng)老化問題?A、應(yīng)用程序組合B、IT項(xiàng)目管理C、新版本變更管理D、配置管理答案：D135.A5-166如果某個(gè)小型組織的應(yīng)用程序編程人員有權(quán)將程序移入生產(chǎn)環(huán)境，應(yīng)實(shí)施以下哪項(xiàng)控制來降低內(nèi)部欺詐風(fēng)險(xiǎn)?A、實(shí)施后功能測(cè)試B、登記和審查變更C、驗(yàn)證用戶要求D、用戶驗(yàn)收測(cè)試答案：B136.信息安全政策主要基準(zhǔn)是？（信息系統(tǒng)審計(jì)師在協(xié)助企業(yè)定義信息安全政策應(yīng)該考慮哪些因素）A、過去發(fā)生的安全事故B、行業(yè)最佳實(shí)踐C、風(fēng)險(xiǎn)管理流程D、安全管理框架答案：D137.一個(gè)公司對(duì)員工的商務(wù)智能手機(jī)實(shí)施收回并利用A、為新員工更換SIM卡和手機(jī)號(hào)B、銷毀商務(wù)智能手機(jī)C、安全的刪除手機(jī)數(shù)據(jù)D、更換智能手機(jī)內(nèi)存卡答案：C138.A4-141當(dāng)組織需要極小粒度的數(shù)據(jù)恢復(fù)點(diǎn)(在恢復(fù)點(diǎn)目標(biāo)中定義)時(shí)，以下哪種備份方法是適合的?A、虛擬磁帶庫B、基于磁盤的快照C、連續(xù)備份數(shù)據(jù)D、磁盤到磁帶備份答案：C139.A4-20某供應(yīng)商過去幾個(gè)月發(fā)布了多個(gè)重要的安全修補(bǔ)程序，因此對(duì)管理員及時(shí)測(cè)試和部署修訂程序的能力帶來壓力。管理員已詢問能夠減少對(duì)修補(bǔ)程序的測(cè)試，該組織應(yīng)當(dāng)采取哪種措施?A、繼續(xù)堅(jiān)持當(dāng)前測(cè)試和應(yīng)用修補(bǔ)程序的流程B、減少測(cè)試并確保制訂充分的逆向恢復(fù)計(jì)劃C、推遲安裝修補(bǔ)程序，直至測(cè)試資源可用D、依靠供應(yīng)商測(cè)試修補(bǔ)程序答案：A140.A1-86系統(tǒng)開發(fā)人員轉(zhuǎn)崗到審計(jì)部門擔(dān)任信息系統(tǒng)審計(jì)師。當(dāng)生產(chǎn)系統(tǒng)由該員工進(jìn)行審查時(shí)，以下哪項(xiàng)將成為最重要的關(guān)注點(diǎn)?A、該工作可能被視為自我審計(jì)B、審計(jì)點(diǎn)可能在很大程序上偏向技術(shù)方面C、該員工可能沒有足夠的控制評(píng)估技能D、該員工對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的了解可能有限答案：A141.審查數(shù)據(jù)中心環(huán)境控制中的滅火系統(tǒng)時(shí)，應(yīng)考慮A、維護(hù)措施B、安裝手冊(cè)C、是否能現(xiàn)場(chǎng)安裝D、承保范圍答案：A142.A4-67以下哪個(gè)選項(xiàng)能夠最好地證明組織災(zāi)難恢復(fù)能力就緒情況?A、有災(zāi)難恢復(fù)計(jì)劃B、有備用站點(diǎn)提供商的客戶參考C、有維持RP的流程D、有測(cè)試及練習(xí)結(jié)果答案：D143.A5-86以下哪項(xiàng)對(duì)數(shù)字證書生命周期進(jìn)行管理，以確保與電子商務(wù)有關(guān)的數(shù)字簽名應(yīng)用程序中存在足夠的安全性和控制?A、注冊(cè)機(jī)構(gòu)B、認(rèn)證機(jī)構(gòu)C、證書撤銷清單(RL)D、認(rèn)證實(shí)施細(xì)則答案：B144.災(zāi)難恢復(fù)計(jì)劃應(yīng)包括下列哪個(gè)步驟?A、對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估和量化B、獲得替代設(shè)備供應(yīng)C、與災(zāi)難計(jì)劃咨詢顧問協(xié)商合同D、確定應(yīng)用程序控制需求。答案：B145.如何確認(rèn)批量作業(yè)（batchjobupdate）成功完成？A、驗(yàn)證作業(yè)日志的時(shí)間戳B、抽樣檢查部分作業(yè)是否完成C、查看作業(yè)配置D、檢查工作日程表答案：A146.A5-35在向供應(yīng)商授予臨時(shí)訪問權(quán)限時(shí)，以下哪項(xiàng)是最有效的控制措施?A、供應(yīng)商的訪問權(quán)限符合服務(wù)水平協(xié)議B、根據(jù)所提供的服務(wù)創(chuàng)建用戶賬戶并對(duì)其設(shè)置到期日期C、在有限的時(shí)間段內(nèi)提供管理員訪問權(quán)限D(zhuǎn)、在工作完成后刪除用戶I答案：B147.A4-219某信息系統(tǒng)審計(jì)師正在審計(jì)某IT災(zāi)難恢復(fù)計(jì)劃。該信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要確保該計(jì)劃涵蓋：A、恢復(fù)能力強(qiáng)的IT基礎(chǔ)設(shè)施B、備用站點(diǎn)信息C、記錄在案的災(zāi)難恢復(fù)測(cè)試結(jié)果D、業(yè)務(wù)功能的分析與優(yōu)先級(jí)分配答案：D148.A4-28在評(píng)估計(jì)算機(jī)預(yù)防性維護(hù)程序的有效性和充分性時(shí)，信息系統(tǒng)審計(jì)師會(huì)認(rèn)為以下哪項(xiàng)最有幫助?A、系統(tǒng)停機(jī)時(shí)間日志B、供應(yīng)商的可靠度數(shù)據(jù)C、定期安排的維護(hù)日志D、書面預(yù)防性維護(hù)日程表答案：A149.以下哪一項(xiàng)是公司轉(zhuǎn)移IT風(fēng)險(xiǎn)的有效方式？A、購買保險(xiǎn)（買保險(xiǎn)是最常見的轉(zhuǎn)移IT風(fēng)險(xiǎn)的手段）B、湊數(shù)的選項(xiàng)答案：A150.一個(gè)IT審計(jì)經(jīng)理參加并擔(dān)任了監(jiān)督某個(gè)項(xiàng)目中的項(xiàng)目經(jīng)理?；氐綄徲?jì)部門后，他被安排參加對(duì)上述項(xiàng)目的審計(jì)，該審計(jì)經(jīng)理是審計(jì)部門中唯一具有項(xiàng)目管理知識(shí)的人員。最佳做法是：A、由該審計(jì)經(jīng)理參加審計(jì)，因?yàn)橹挥兴邆漤?xiàng)目管理知識(shí)。B、不考慮是否具備項(xiàng)目管理知識(shí)，指派另外一個(gè)審計(jì)師參加審計(jì)。C、指派一個(gè)高級(jí)審計(jì)師參加審計(jì)，并由該審計(jì)經(jīng)理對(duì)審計(jì)結(jié)果進(jìn)行復(fù)核。D、推遲審計(jì)，直到合適的審計(jì)資源出現(xiàn)。答案：C151.A4-23信息系統(tǒng)審計(jì)師應(yīng)使用以下哪種報(bào)告來執(zhí)行檢查，以確定遵守了服務(wù)水平協(xié)議對(duì)正常運(yùn)行時(shí)間的要求?A、使用情況報(bào)告B、硬件錯(cuò)誤報(bào)告C、系統(tǒng)日志D、可用性報(bào)告答案：D152.下列哪一項(xiàng)是由拒絕服務(wù)攻擊（denial-of-serviceattacks）導(dǎo)致的最大風(fēng)險(xiǎn)？A、未經(jīng)授權(quán)訪問系統(tǒng)B、敗壞商譽(yù)、丟失業(yè)務(wù)C、泄露機(jī)密信息D、數(shù)據(jù)庫缺乏完整性，遭到破壞答案：B153.以下哪項(xiàng)是檢測(cè)重復(fù)付款最有效的方法?A、加密和解密信息摘要B、評(píng)估付款歷史的合理性和審批情況C、查看每個(gè)交易的序列號(hào)和時(shí)間戳D、使用加密哈希算法答案：C154.A4-180業(yè)務(wù)影響分析的主要目的是：A、定義恢復(fù)策略B、確定備用站點(diǎn)C、改善恢復(fù)測(cè)試D、計(jì)算年預(yù)期損失答案：A155.以下哪一項(xiàng)最能保護(hù)在多個(gè)辦公地點(diǎn)之間傳輸?shù)拿舾袛?shù)據(jù)機(jī)密性?A、PKIB、數(shù)字簽名C、哈希D、Kerberos答案：A156.如何最大地降低清除交易的新進(jìn)程對(duì)數(shù)據(jù)庫完整性的不利影響?A、數(shù)據(jù)庫結(jié)構(gòu)B、實(shí)體entity關(guān)系圖C、測(cè)試環(huán)境中的進(jìn)程結(jié)果D、觸發(fā)器設(shè)計(jì)答案：D157.A4-4當(dāng)對(duì)某組織的桌面軟件合規(guī)性進(jìn)行審查時(shí)，安裝的軟件存在以下哪種情況時(shí)最需要信息系統(tǒng)審計(jì)師給予關(guān)注?A、已安裝，但沒有記錄到IT部門記錄中B、由沒有對(duì)其使用經(jīng)過適當(dāng)培訓(xùn)的用戶使用C、沒有列入批準(zhǔn)軟件標(biāo)準(zhǔn)的文檔中D、許可證將在15天后到期答案：C158.未經(jīng)良好設(shè)計(jì)的數(shù)據(jù)中心可能遭受尾隨，最好的措施是A、雙因素認(rèn)B、雙重門認(rèn)證C、生物識(shí)別D、安全教育答案：D159.在確定信息資產(chǎn)的適當(dāng)保護(hù)等級(jí)時(shí)，IS審計(jì)師應(yīng)當(dāng)主要關(guān)注以下哪一個(gè)因素A、風(fēng)險(xiǎn)評(píng)估的結(jié)果B、對(duì)業(yè)務(wù)的相對(duì)價(jià)值C、漏洞評(píng)估的結(jié)果D、安全控制的成本答案：A160.A3-75在提議的企業(yè)資源規(guī)劃系統(tǒng)的需求定義階段，項(xiàng)目發(fā)起人要求鏈接采購與應(yīng)付款模塊。最好執(zhí)行以下哪一種測(cè)試方法?A、單元測(cè)試B、集成測(cè)試C、社交性測(cè)試D、質(zhì)量保證測(cè)試答案：B161.公司的財(cái)務(wù)部門實(shí)行了系統(tǒng)新技術(shù)新流程，信息系統(tǒng)審計(jì)師應(yīng)該對(duì)此情況做什么審計(jì)?A、財(cái)務(wù)審計(jì)B、網(wǎng)絡(luò)審計(jì)C、集成審計(jì)D、績(jī)效審計(jì)答案：C162.A4-228與沒有災(zāi)難恢復(fù)計(jì)劃(DRP)相比，有DRP是持續(xù)運(yùn)作的成本足有可能?A、增加B、降低C、保持不變D、無法預(yù)測(cè)答案：A163.某小型公司無法隔離開發(fā)流程與變更控制職能之間的職責(zé)。確保經(jīng)過測(cè)試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么？A、發(fā)布管理軟件B、手動(dòng)代碼比對(duì)C、生產(chǎn)前回歸測(cè)試D、管理層批準(zhǔn)變更答案：A164.【重要題】在宣布要進(jìn)行收購的新聞稿之后，企業(yè)正遭受針對(duì)目標(biāo)員工和高管的大量網(wǎng)絡(luò)釣魚攻擊。以下哪一項(xiàng)提供防御這些攻擊最好的保護(hù)?A、部署入侵檢測(cè)和防御系統(tǒng)B、進(jìn)行全企業(yè)范圍的意識(shí)培訓(xùn)C、在被收購的系統(tǒng)上安裝垃圾郵件過濾器D、要求簽署企業(yè)安全政策的確認(rèn)書答案：B165.A1-60一名外部信息系統(tǒng)審計(jì)師提交了一份審計(jì)報(bào)告，指出邊界網(wǎng)絡(luò)網(wǎng)關(guān)缺乏防火墻保護(hù)功能，并推薦了一款特定的供應(yīng)商產(chǎn)品來消除這一漏洞。信息系統(tǒng)審計(jì)師未能發(fā)揮：A、專業(yè)獨(dú)立性B、組織獨(dú)立性C、技術(shù)能力D、專業(yè)能力答案：A166.防尾隨的物理安全控制，對(duì)于無雙門設(shè)置的數(shù)據(jù)中心，以下哪項(xiàng)是最好的措施A、雙因素認(rèn)證B、安全意識(shí)培訓(xùn)C、生物識(shí)別門鎖D、要求佩戴I標(biāo)識(shí)卡答案：B167.【重要題】.審計(jì)第三方供應(yīng)商的關(guān)鍵績(jī)效指標(biāo)KPI時(shí)，審計(jì)師最大的擔(dān)憂是?A、KPI沒有文檔記錄B、KPI指標(biāo)沒有明確定義C、KPI從未更新D、KPI數(shù)據(jù)沒有加以分析答案：B168.了解一個(gè)操作系統(tǒng)的安全配置的最佳方式是：A、學(xué)習(xí)供應(yīng)商的安裝手冊(cè)。B、檢查系統(tǒng)安全計(jì)劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動(dòng)配置的參數(shù)。答案：D169.營銷部門的三個(gè)員工使用共享賬戶維護(hù)公司社交媒體的新聞信息的發(fā)布，這一過程存在什么問題?A、無法實(shí)現(xiàn)對(duì)更新的問責(zé)制B、并發(fā)登錄導(dǎo)致更新發(fā)生沖突C、賬戶被別人修改后無法登錄D、發(fā)布未經(jīng)審批的信息答案：A170.A2-12某信息系統(tǒng)審計(jì)師正在評(píng)估管理層對(duì)信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估。該信息系統(tǒng)審計(jì)師應(yīng)當(dāng)首先審查：A、現(xiàn)有控制B、控制的有效性C、風(fēng)險(xiǎn)監(jiān)控機(jī)制D、影響資產(chǎn)的威脅/漏洞答案：D171.以下哪一項(xiàng)是計(jì)劃評(píng)審技術(shù)(PERT)相比其它方法的優(yōu)點(diǎn)？與其它方法相比:A、為計(jì)劃和控制項(xiàng)目考慮不同的情景B、允許使用者輸入程序和系統(tǒng)參數(shù).C、測(cè)試系統(tǒng)維護(hù)加工的準(zhǔn)確性D、估算系統(tǒng)項(xiàng)目成本.答案：A172.某IS審計(jì)師正在對(duì)某組織的系統(tǒng)進(jìn)行實(shí)施后審查，并發(fā)現(xiàn)了會(huì)計(jì)應(yīng)用內(nèi)部的輸出錯(cuò)誤。該IS審計(jì)師確定這是由輸入錯(cuò)誤造成的。該IS審計(jì)師應(yīng)當(dāng)向管理層建議以下哪一項(xiàng)控制？A、重新計(jì)算B、極限檢查C、運(yùn)行到運(yùn)行的匯總D、對(duì)賬答案：B173.為減輕API(ApplicationProgramminginterface,應(yīng)用程序編程接口)查詢公開數(shù)據(jù)的風(fēng)險(xiǎn)，以下哪項(xiàng)考慮因素最重要?A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化應(yīng)用程序編程接口D、數(shù)據(jù)保留答案：C174.A3-133對(duì)業(yè)務(wù)流程自動(dòng)化項(xiàng)目進(jìn)行實(shí)施后審查的主要目標(biāo)是：A、確保項(xiàng)目滿足預(yù)期的業(yè)務(wù)要求B、評(píng)估控制的充分性C、確認(rèn)符合技術(shù)標(biāo)準(zhǔn)D、確認(rèn)符合法規(guī)要求答案：A175.A5-161可以通過以下哪種攻擊繞過雙因素認(rèn)證?A、拒絕服務(wù)B、中間人攻擊C、擊鍵記錄D、窮舉答案：B176.A4-111在確定可接受的關(guān)鍵業(yè)務(wù)流程恢復(fù)時(shí)間時(shí)：A、只須考慮停機(jī)時(shí)間成本B、應(yīng)分析恢復(fù)操作C、需要評(píng)估停機(jī)時(shí)間成本和恢復(fù)成本D、應(yīng)該忽略間接的停機(jī)時(shí)間成本答案：C177.A4-91信息系統(tǒng)審計(jì)師發(fā)現(xiàn)有些用戶在其PC上安裝了個(gè)人軟件。安全政策對(duì)此沒有明確禁止。以下哪項(xiàng)是信息系統(tǒng)審計(jì)師可以建議的最佳方法：A、IT部門實(shí)施監(jiān)控機(jī)制以防止安裝未經(jīng)授權(quán)的軟件B、更新安全政策，納入有關(guān)未經(jīng)授權(quán)軟件的具體規(guī)定C、IT部門禁止下載未經(jīng)授權(quán)的軟件D、用戶在安裝非標(biāo)準(zhǔn)軟件前取得信息系統(tǒng)經(jīng)理的批準(zhǔn)答案：B178.A2-23如果高級(jí)管理層未針對(duì)IT戰(zhàn)略計(jì)劃做出承諾，最有可能產(chǎn)生的影響是：A、缺少技術(shù)投資B、缺少系統(tǒng)開發(fā)方法C、技術(shù)和組織目標(biāo)不一致D、缺少技術(shù)合同控制答案：C179.數(shù)據(jù)分類的第一步?A、盤點(diǎn)數(shù)據(jù)資產(chǎn)B、確定風(fēng)險(xiǎn)偏好C、定義數(shù)據(jù)所有權(quán)D、確定敏感度水平答案：A180.IT治理的最主要目的是？A、價(jià)值實(shí)現(xiàn)B、績(jī)效衡量C、戰(zhàn)略規(guī)劃D、資源分配與管理答案：A181.為了幫助董事會(huì)履行IT治理職責(zé)，IT指導(dǎo)委員會(huì)應(yīng)該：A、制定項(xiàng)目跟蹤的IT政策和措施B、將注意力集中在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項(xiàng)目和IT資源的分配情況D、實(shí)施IT戰(zhàn)略答案：D182.某IS審計(jì)師在數(shù)據(jù)庫的某些表中發(fā)現(xiàn)了超出范圍的數(shù)據(jù)。為避免此類狀況發(fā)生，該IS審計(jì)師應(yīng)推薦采用以下哪種控制？A、記錄所有的表更新交易。B、在數(shù)據(jù)庫中設(shè)定完整性約束。C、使用前后圖像報(bào)告。D、使用跟蹤和標(biāo)記。答案：B183.下面哪一項(xiàng)措施是防止非授權(quán)登錄最可靠的方法？A、加強(qiáng)現(xiàn)有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計(jì)算機(jī)D、安全自動(dòng)密碼生成器答案：B184.審計(jì)師對(duì)公司的離職后系統(tǒng)用戶的刪除情況的及時(shí)性進(jìn)行審計(jì)，以下那些證據(jù)收集技能最能獲得有效證據(jù)A、將離職單與系統(tǒng)操作日志進(jìn)行比較B、將離職記錄與HR的離職表進(jìn)行比較C、與HR經(jīng)理進(jìn)行面談，確認(rèn)及時(shí)性答案：A185.評(píng)估應(yīng)用程序與應(yīng)用程序之間如何交換數(shù)據(jù)，應(yīng)該審查：A、對(duì)應(yīng)用程序的風(fēng)險(xiǎn)評(píng)估結(jié)果B、ER實(shí)體關(guān)系圖C、服務(wù)器及其應(yīng)用程序列表D、配置管理數(shù)據(jù)庫答案：B186.對(duì)互聯(lián)網(wǎng)流量數(shù)據(jù)傳入傳出進(jìn)行最佳控制的是()?A、SIEM(seurity,informtion,neventmngement)B、WF(wepplitionfirewll,防御針對(duì)網(wǎng)絡(luò)應(yīng)用層的攻擊)C、IS(intrusionetetionsystem入侵檢測(cè)系統(tǒng))D、MZ隔離區(qū)(emilitrizeZone內(nèi)外網(wǎng)防火墻之間的區(qū)域)答案：B187.【重要題】哪個(gè)對(duì)降低從企業(yè)內(nèi)向外發(fā)電子郵件導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)最有用?A、安裝軟件檢測(cè)電子郵件附件的數(shù)據(jù)分類B、執(zhí)行滲透測(cè)試和漏洞評(píng)估C、實(shí)施IS和IPSD、執(zhí)行自動(dòng)化內(nèi)容檢查和監(jiān)控答案：D188.企業(yè)將員工薪酬系統(tǒng)的外包業(yè)務(wù)轉(zhuǎn)為內(nèi)部軟件，4月份并行實(shí)施后進(jìn)行新舊系統(tǒng)對(duì)比，哪項(xiàng)能更好的說明數(shù)據(jù)的完整性。A、抽樣部分員工的薪酬數(shù)據(jù)B、對(duì)比員工總?cè)藬?shù)和今年的薪資總數(shù)C、對(duì)比工資日記賬中的員工的主數(shù)據(jù)答案：C189.A4-72信息系統(tǒng)審計(jì)師應(yīng)當(dāng)審查以下哪一項(xiàng)，以確保服務(wù)器經(jīng)過最優(yōu)配置以支援處理要求?A、基準(zhǔn)指標(biāo)測(cè)試結(jié)果B、服務(wù)器日志C、故障報(bào)告D、服務(wù)器利用的數(shù)據(jù)答案：D190.可用性最好(容錯(cuò)率最高)的網(wǎng)絡(luò)結(jié)構(gòu)是：A、環(huán)狀B、總線C、星行D、網(wǎng)狀答案：D191.IT指導(dǎo)委員會(huì)負(fù)責(zé)應(yīng)對(duì)以下哪一項(xiàng)負(fù)責(zé)?A、把實(shí)施安全性與業(yè)務(wù)目標(biāo)集成在一起B(yǎng)、評(píng)估和報(bào)告戰(zhàn)略一致性程度C、審查并協(xié)助IT策略整合工作D、制定IT安全策略答案：C192.以下哪一項(xiàng)是用于預(yù)估開發(fā)大型業(yè)務(wù)應(yīng)用程序復(fù)雜性的最佳方法A、功能點(diǎn)分析B、關(guān)鍵路徑分析C、工作分解結(jié)構(gòu)D、軟件成本估算答案：A193.通過非對(duì)稱技術(shù)來確保保密性，將使用下列哪一項(xiàng)對(duì)消息進(jìn)行加密?A、接收者的私鑰B、發(fā)送者的私鑰C、發(fā)送者的公鑰D、接收者的公鑰答案：D194.一個(gè)公司宣稱達(dá)到能力成熟度模型(CMM)的最高級(jí)，可以期望：A、持續(xù)的改進(jìn)B、已使用IT平衡記分卡C、所有程序皆已經(jīng)被遵循D、部分程序被遵循答案：A195.A4-54一位信息系統(tǒng)審計(jì)師正在審查某組織的災(zāi)難恢復(fù)情況。在這次災(zāi)難中，并非恢復(fù)業(yè)務(wù)運(yùn)營所需的所有關(guān)鍵數(shù)據(jù)都得到了保留。這是因?yàn)殄e(cuò)誤定義了以下哪個(gè)選項(xiàng)?A、中斷時(shí)間B、恢復(fù)時(shí)間目標(biāo)C、服務(wù)交付目標(biāo)D、恢復(fù)點(diǎn)目標(biāo)答案：D196.企業(yè)正在進(jìn)行購買硬件以支持新Web服務(wù)器的可行性研究，遺漏下列哪一項(xiàng)將帶來最大影響?A、潛在供應(yīng)商的聲譽(yù)B、潛在供應(yīng)商的財(cái)務(wù)穩(wěn)定性C、所需硬件的備選方案D、產(chǎn)品的成本效益分析答案：D197.對(duì)于評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃的有效性最好方法是審查：A、預(yù)先的測(cè)試結(jié)果B、異地存儲(chǔ)和環(huán)境監(jiān)控C、計(jì)劃并把他們作為適當(dāng)?shù)臉?biāo)準(zhǔn)D、應(yīng)急程序和員工培訓(xùn)答案：A198.A2-33某業(yè)務(wù)單位已選用新的會(huì)計(jì)應(yīng)用，但并未選擇流程中提前咨詢IT部門。主要風(fēng)險(xiǎn)是：A、該應(yīng)用的安全控制可能不符合要求B、該應(yīng)用可能不符合業(yè)務(wù)用戶的需求C、該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)不一致D、該應(yīng)用可能給IT部門帶來不可預(yù)見的支持問題答案：C199.A2-110在有效的信息安全治理的情況下，價(jià)值交付的主要目標(biāo)是：A、優(yōu)化安全方面的投資，以支持業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)B、實(shí)施一套標(biāo)準(zhǔn)的安全實(shí)踐C、制定基于標(biāo)準(zhǔn)的解決方案D、建立一種持續(xù)改進(jìn)的文化氛圍答案：A200.信息系統(tǒng)審計(jì)師在信息分類流程的角色是以下哪種？A、定義信息安全級(jí)別B、分類信息資產(chǎn)C、確保信息分類符合監(jiān)管及政策要求D、確保數(shù)據(jù)得到足夠保護(hù)答案：C201.公司用了軟件即服務(wù)(saas),在軟件供應(yīng)商不再提供服務(wù)的情況下怎樣能保證可用性?A、復(fù)制這個(gè)軟件(大概是意思)B、把數(shù)據(jù)定期備份C、在網(wǎng)絡(luò)連接上做一個(gè)冗余D、第三方托管答案：D202.被審計(jì)單位跟蹤之前審計(jì)發(fā)現(xiàn)只進(jìn)行了部分審計(jì)整改措施，審計(jì)師首先應(yīng)該A、匯報(bào)管理層B、評(píng)估剩余未解決問題風(fēng)險(xiǎn)C、審查是否有補(bǔ)償性控制臨時(shí)解決問題D、確保為解決問題仍記錄在審計(jì)報(bào)告中答案：C203.A4-205以下哪一項(xiàng)對(duì)確定企業(yè)關(guān)鍵流程的恢復(fù)點(diǎn)目標(biāo)最重要?A、可接受的停機(jī)時(shí)數(shù)B、恢復(fù)關(guān)鍵系統(tǒng)的總成本C、可接受的數(shù)據(jù)損失程度D、可接受的服務(wù)等級(jí)下降答案：C204.【重要題】如下哪個(gè)是進(jìn)行業(yè)務(wù)影響分析的最好方法?A、對(duì)主要業(yè)務(wù)相關(guān)者發(fā)布調(diào)查問卷B、和主要業(yè)務(wù)相關(guān)者進(jìn)行面談C、與IT管理人員進(jìn)行面談D、咨詢相關(guān)專家答案：B205.A4-230完成業(yè)務(wù)影響分析后,業(yè)務(wù)連續(xù)性計(jì)劃過程中的下一步是什么?A、測(cè)試和維護(hù)計(jì)劃B、制訂具體計(jì)劃C、制定恢復(fù)策略D、實(shí)施計(jì)劃答案：C206.A4-197以下哪一項(xiàng)能最有效地確保在數(shù)個(gè)國家擁有IT運(yùn)營中心的組織不會(huì)發(fā)生業(yè)務(wù)中斷?A、分發(fā)關(guān)鍵的程序文件B、業(yè)務(wù)合伙伙伴之間有互惠協(xié)議C、高層管理能力強(qiáng)大D、員工接受業(yè)務(wù)連續(xù)性計(jì)劃培訓(xùn)答案：D207.以下哪一項(xiàng)是最好地描述了IT戰(zhàn)略委員會(huì)的職能？A、業(yè)務(wù)部門的滿意度B、監(jiān)控KPI的結(jié)果C、IT戰(zhàn)略委員會(huì)章程D、IT戰(zhàn)略委員會(huì)會(huì)議紀(jì)要答案：C208.【重要題】當(dāng)審計(jì)資源有限時(shí)，以下哪一項(xiàng)是信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)的最大擔(dān)憂?A、進(jìn)行風(fēng)險(xiǎn)評(píng)估可能減少可用于審計(jì)的時(shí)間B、某些業(yè)務(wù)流程可能未經(jīng)審計(jì)C、管理層審計(jì)請(qǐng)求的響應(yīng)可能會(huì)大大延遲D、審計(jì)時(shí)間表可能變得太可預(yù)測(cè)答案：B209.客戶可以通過internet直接訪問一個(gè)Web應(yīng)用系統(tǒng)(客戶關(guān)系管理系統(tǒng))。以下哪一項(xiàng)是審計(jì)師最擔(dān)心的？A、系統(tǒng)部署在企業(yè)內(nèi)部網(wǎng)段中B、系統(tǒng)托管在第三方服務(wù)商的混合云平臺(tái)中C、系統(tǒng)部署在公司網(wǎng)絡(luò)的DMZ區(qū)中D、系統(tǒng)托管在第三方供應(yīng)商的服務(wù)器上答案：B210.A5-118執(zhí)行詳細(xì)的網(wǎng)絡(luò)評(píng)估和訪問控制審查時(shí)，信息系統(tǒng)審計(jì)師應(yīng)首先：A、確定網(wǎng)絡(luò)入口點(diǎn)B、評(píng)估用戶的訪問授權(quán)C、評(píng)估用戶的身份認(rèn)證和授權(quán)D、評(píng)估域控制服務(wù)器的配置答案：A211.可以駐留在WEB服務(wù)器上的功能?A、監(jiān)控的主機(jī)數(shù)量B、流量分析C、發(fā)送接受警合D、啟動(dòng)關(guān)閉服務(wù)器答案：B212.如何充分驗(yàn)證定期備份的及時(shí)性與有效性？A、訪談關(guān)鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運(yùn)行的執(zhí)行情況答案：B213.對(duì)在線系統(tǒng)實(shí)施BCP計(jì)劃中下列哪一項(xiàng)最重要？A、供應(yīng)商的網(wǎng)絡(luò)安全B、單一故障點(diǎn)C、供應(yīng)商的解決問題的能力D、供應(yīng)商的財(cái)務(wù)穩(wěn)定性答案：B214.在審查IT治理的時(shí)候，在以下選項(xiàng)中，審計(jì)師最關(guān)注的是?A、董事會(huì)所指定的政策策略的遵循情況B、管理部門所采用的控制框架C、審計(jì)委員會(huì)會(huì)議記錄中與信息系統(tǒng)有關(guān)的事項(xiàng)與控制內(nèi)容D、業(yè)務(wù)流程責(zé)任人的職責(zé)在企業(yè)內(nèi)部是否一致答案：C215.多個(gè)遠(yuǎn)程用戶無法與安全的HTTP服務(wù)器通信，最可能的原因是：A、黑客模擬了此服務(wù)器B、使用密碼破解軟件C、偷聽者重播攻擊D、黑客使用探查器答案：A216.以下哪項(xiàng)是檢查性控制?A、輸錯(cuò)了3次密碼，就鎖定該賬戶IB、建立整個(gè)系統(tǒng)的災(zāi)難恢復(fù)計(jì)劃C、審查特權(quán)用戶的登陸日志D、要求用戶通過電子郵件系統(tǒng)請(qǐng)求額外的訪問預(yù)健防性強(qiáng)防性補(bǔ)償性答案：C217.在制定新的風(fēng)險(xiǎn)管理計(jì)劃時(shí)，一定要考慮以下哪種因素A、資源利用率B、合規(guī)性措施C、風(fēng)險(xiǎn)緩解技術(shù)D、風(fēng)險(xiǎn)偏好答案：D218.在小型組織中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)安全管理和系統(tǒng)分析功能由同一個(gè)員工執(zhí)行，這反映出以下哪個(gè)問題？A、沒有更新安全政策來反映這種情況B、該員工沒有簽署安全政策C、沒有對(duì)該員工的活動(dòng)進(jìn)行獨(dú)立審查D、沒有工作說明進(jìn)行更新以反應(yīng)當(dāng)前的現(xiàn)狀答案：C219.在對(duì)應(yīng)用程序進(jìn)行實(shí)施后審查時(shí)，以下哪一項(xiàng)應(yīng)測(cè)試的主要聚焦必刷?A、確保將企業(yè)標(biāo)準(zhǔn)用作實(shí)施過程的一部分B、確保已完成系統(tǒng)和集成測(cè)試，并取得系統(tǒng)所有者的簽字確認(rèn)C、確保驗(yàn)收測(cè)試符合利益相關(guān)者的同意和認(rèn)可，并落實(shí)到實(shí)施計(jì)劃D、確保應(yīng)用程序在生產(chǎn)環(huán)境中處于活動(dòng)狀態(tài)，并且可以從最終用戶設(shè)備訪問到答案：A220.A3-15某信息系統(tǒng)審計(jì)師正在對(duì)某組織的系統(tǒng)進(jìn)行實(shí)施后審查，并識(shí)別出會(huì)計(jì)應(yīng)用內(nèi)部的輸出錯(cuò)誤。該信息系統(tǒng)審計(jì)師判定這是由輸入錯(cuò)誤造成的。該信息系統(tǒng)審計(jì)師應(yīng)當(dāng)向管理層建議采取以下哪一項(xiàng)控制措施?A、重新計(jì)算B、極限檢查C、分步合計(jì)D、對(duì)賬答案：B221.A5-162組織可以通過以下哪種方式來確保其員工電子郵件的收件人可以對(duì)發(fā)件人的身份進(jìn)行驗(yàn)證?A、對(duì)所有電子郵件消息進(jìn)行數(shù)字簽名B、對(duì)所有電子郵件消息進(jìn)行加密C、對(duì)所有電子郵件消息進(jìn)行壓縮D、對(duì)所有電子郵件消息進(jìn)行密碼保護(hù)答案：A222.在信息安全審計(jì)時(shí)，信息系統(tǒng)審計(jì)師得知由外部咨詢顧問執(zhí)行了一項(xiàng)安全審查，對(duì)審計(jì)師來說，下面哪項(xiàng)是最重要的?A、審查咨詢顧問提交的類似報(bào)告B、重新執(zhí)行安全審查C、評(píng)定咨詢顧問的客觀性和勝任能力D、接受咨詢顧問的發(fā)現(xiàn)和結(jié)論答案：C223.某企業(yè)的數(shù)據(jù)處置策略強(qiáng)調(diào)要對(duì)介質(zhì)進(jìn)行重復(fù)利用。信息系統(tǒng)審計(jì)應(yīng)給出哪項(xiàng)建議？A、識(shí)別標(biāo)簽已去除B、介質(zhì)退回給供應(yīng)商以換取價(jià)值C、介質(zhì)供企業(yè)內(nèi)部的其他組重復(fù)使用D、任何現(xiàn)有的數(shù)據(jù)在處置前都已刪除答案：D224.從某個(gè)供應(yīng)商購買了某個(gè)新應(yīng)用并且即將實(shí)施。實(shí)施應(yīng)用時(shí)以下哪一項(xiàng)是關(guān)鍵考慮因素？A、防止在實(shí)施流程中損壞源代碼B、確保已禁用供應(yīng)商的默認(rèn)賬戶和密碼C、從托管中刪除程序的舊副本，以免混淆D、核實(shí)供應(yīng)商在履行支持和維護(hù)協(xié)議答案：B225.問題管理的目的不是：A、迅速恢復(fù)事件B、降低事故發(fā)生的次數(shù)和嚴(yán)重性C、通過對(duì)重大事故進(jìn)行調(diào)查和深入的分析后解決問題D、不斷提高IS部門的服務(wù)質(zhì)量答案：A226.起草災(zāi)難恢復(fù)計(jì)劃（DRP)時(shí)，以下哪項(xiàng)陳述是正確的？A、停機(jī)時(shí)間成本隨著恢復(fù)點(diǎn)目標(biāo)(RPO)增加而降低。B、停機(jī)時(shí)間成本隨時(shí)間的推移而增加。C、恢復(fù)成本與時(shí)間無關(guān)。D、恢復(fù)成本只能在短期內(nèi)控制。答案：B227.哪項(xiàng)技術(shù)便于了解和實(shí)行實(shí)際操作A、與流程所有者面談B、觀測(cè)實(shí)際流程C、審核實(shí)際操作與政策是否一致答案：B228.A5-169審查無線網(wǎng)絡(luò)安全性的信息系統(tǒng)審計(jì)師確定所有無線訪問點(diǎn)上都禁用了動(dòng)態(tài)主機(jī)配置協(xié)議。這種做法：A、減少網(wǎng)絡(luò)的未授權(quán)的訪問風(fēng)險(xiǎn)B、不適用小型網(wǎng)絡(luò)C、自動(dòng)向任何人提供IP地址D、增加與無線加密協(xié)議(WEP)相關(guān)的風(fēng)險(xiǎn)答案：A229.設(shè)備銷毀應(yīng)最注意什么：A、原設(shè)備上的數(shù)據(jù)B、負(fù)責(zé)數(shù)據(jù)銷毀的第三方的資質(zhì)C、銷毀成本D、運(yùn)送過程安全答案：A230.在數(shù)據(jù)庫即服務(wù)的云環(huán)境下，組織應(yīng)保留哪項(xiàng)權(quán)利和責(zé)任呢A、數(shù)據(jù)庫的升級(jí)B、數(shù)據(jù)庫的備份和恢復(fù)C、數(shù)據(jù)庫的應(yīng)用系統(tǒng)訪問控制D、數(shù)據(jù)庫的日常維護(hù)答案：C231.A4-48在正常工作時(shí)間之后需要對(duì)數(shù)據(jù)庫進(jìn)行緊急變更的數(shù)據(jù)庫管理員(DBA)應(yīng)：A、用其指定賬戶登錄進(jìn)行變更B、用共享賬戶登錄進(jìn)行變更C、登錄到服務(wù)器管理賬戶進(jìn)行變更D、使用用戶的賬戶登錄進(jìn)行變更答案：A232.【重要題】在系統(tǒng)開發(fā)周期SDLC的哪一個(gè)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估是最有幫助的?A、系統(tǒng)開發(fā)前B、業(yè)務(wù)案例開發(fā)期間C、系統(tǒng)部署前D、生命周期的每個(gè)階段答案：D233.使用數(shù)字簽名的主要原因A、機(jī)密性B、完整性C、可用性D、實(shí)效性答案：B234.公司要把子業(yè)務(wù)系統(tǒng)外包給供應(yīng)商，項(xiàng)目小組已經(jīng)將需求申請(qǐng)?zhí)峤还芾韺訉徟?，并有了些備選供應(yīng)商，下一步項(xiàng)目小組應(yīng)A、對(duì)供應(yīng)商進(jìn)行優(yōu)先級(jí)評(píng)估B、審查系統(tǒng)應(yīng)嵌入的控制C、評(píng)估外包系統(tǒng)的重要性排序D、合同中增加審計(jì)條款答案：A235.【重要題】哪一項(xiàng)是確保數(shù)據(jù)分析項(xiàng)目使用的個(gè)人數(shù)據(jù)無法識(shí)別的最佳方式?A、重新識(shí)別B、匿名化C、標(biāo)記化D、隨機(jī)化答案：B236.哪項(xiàng)對(duì)于安全意識(shí)培訓(xùn)計(jì)劃的有效性最關(guān)鍵？A、定期更新培訓(xùn)材料B、實(shí)施并跟蹤培訓(xùn)計(jì)劃的相關(guān)指標(biāo)C、高級(jí)管理層的支持答案：C237.在開發(fā)整個(gè)公司電子數(shù)據(jù)交換（EDI）項(xiàng)目的過程中，必須完成下列那一項(xiàng)？A、實(shí)施消息標(biāo)準(zhǔn)B、審查所有供應(yīng)商的EDI應(yīng)用程序C、實(shí)施加密技術(shù)D、安裝一個(gè)ISDN答案：A238.A1-111某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)一項(xiàng)潛在的重要結(jié)論。最佳行動(dòng)步驟是：A、向業(yè)務(wù)管理層報(bào)告該潛在的結(jié)論B、與審計(jì)委員會(huì)討論該潛在的結(jié)論C、擴(kuò)大審計(jì)的范圍D、進(jìn)行額外的測(cè)試答案：D239.【重要題】什么是制定戰(zhàn)略過程中面臨的最大風(fēng)險(xiǎn)?A、可排除B、IT戰(zhàn)略的制定基于以前的執(zhí)行情況C、IT戰(zhàn)略在業(yè)務(wù)戰(zhàn)略和計(jì)劃之前制定D、IT戰(zhàn)略未包含信息安全答案：C240.A3-153實(shí)施后審查的結(jié)果表明,只有75%的用戶能夠同時(shí)登錄應(yīng)用系統(tǒng)。以下哪一項(xiàng)最有可能發(fā)現(xiàn)以上確定的該應(yīng)用程序的弱點(diǎn)?A、負(fù)載測(cè)試B、壓力測(cè)試C、恢復(fù)測(cè)試D、容量測(cè)試答案：A241.A5-185以下哪項(xiàng)公鑰基礎(chǔ)設(shè)施的功能與證明在線交易是經(jīng)特定客戶授權(quán)的最密切且相關(guān)?A、不可否認(rèn)性B、加密C、身份認(rèn)證D、完整性答案：A242.如何最好地保證網(wǎng)上商店系統(tǒng)的可用性?A、異地鏡像站點(diǎn)副本B、聯(lián)網(wǎng)備份C、集群結(jié)構(gòu)D、RI5存儲(chǔ)設(shè)備答案：A243.信息系統(tǒng)審計(jì)師審計(jì)時(shí)發(fā)現(xiàn)有些員工離職后，賬號(hào)仍然能訪問系統(tǒng)，為了防止這種情況，最好的控制是什么?A、自動(dòng)刪除一段時(shí)間沒有活動(dòng)的員工賬號(hào)B、自動(dòng)刪除入職一定時(shí)間的員工賬號(hào)C、不記得了，可排除D、用一個(gè)軟件與人力資源的系統(tǒng)建立自動(dòng)化接口答案：D244.A5-128要檢測(cè)防火墻無法識(shí)別的攻擊嘗試，信息系統(tǒng)審計(jì)將建議將網(wǎng)絡(luò)入侵系統(tǒng)安置在：A、防火墻和組織網(wǎng)絡(luò)之間B、互聯(lián)網(wǎng)和防火墻之間C、互聯(lián)網(wǎng)和We服務(wù)器之間D、We服務(wù)器和防火墻之間答案：A245.A5-234對(duì)關(guān)鍵系統(tǒng)執(zhí)行認(rèn)證和鑒定過程的原因是為了確保：A、已對(duì)安全合規(guī)性進(jìn)行技術(shù)評(píng)估B、已對(duì)數(shù)據(jù)加密且該數(shù)據(jù)準(zhǔn)備就緒，可以存儲(chǔ)C、已經(jīng)測(cè)試系統(tǒng)可以在不同的平臺(tái)上運(yùn)行D、系統(tǒng)遵循瀑布模型的各階段答案：A246.以下哪一項(xiàng)是評(píng)估企業(yè)的安全意識(shí)充分性的最佳方法?A、觀察員工在安全方面的行為B、確認(rèn)安全意識(shí)計(jì)劃的存在C、執(zhí)行安全調(diào)查問卷D、就安全職責(zé)與員工進(jìn)行訪談答案：A247.將以下哪一項(xiàng)包含在企業(yè)的用戶驗(yàn)收測(cè)試(UAT)策略中最重要?A、測(cè)試場(chǎng)景基準(zhǔn)指標(biāo)B、回歸測(cè)試結(jié)果C、編程瀏覽審查(progrmmingwlk-throughs)D、風(fēng)險(xiǎn)和偶然事件答案：A248..當(dāng)信息系統(tǒng)審計(jì)師期望零偏差或很少偏差時(shí)，使用以下哪種抽樣技術(shù)最適合?A、發(fā)現(xiàn)抽樣B、隨機(jī)抽樣C、停走抽樣D、貨幣單位抽樣答案：A249.事故管理流程中，哪個(gè)環(huán)節(jié)最重要?(2022年4月題干描述為：審計(jì)事故管理有效性中，審計(jì)師最擔(dān)憂的()是無效的？)A、事故檢測(cè)B、事故分類C、事故優(yōu)先級(jí)排序D、事故事后審查答案：A250..信息系統(tǒng)IS的戰(zhàn)略規(guī)劃應(yīng)涵蓋：A、分析公司未來需求B、制定開發(fā)項(xiàng)目的目標(biāo)進(jìn)程C、制定未來幾年的技術(shù)平臺(tái)的規(guī)范。D、審查年度預(yù)算答案：A251.某企業(yè)發(fā)現(xiàn)重大數(shù)據(jù)安全漏洞，CEO要求詳細(xì)審計(jì)網(wǎng)絡(luò)安全，但由于近期企業(yè)架構(gòu)重組，審計(jì)部門只剩下幾位經(jīng)驗(yàn)有限的審計(jì)師，信息系統(tǒng)審計(jì)經(jīng)理應(yīng)該：A、將審計(jì)任務(wù)以最高優(yōu)先級(jí)列入下一年度的審計(jì)計(jì)劃B、聯(lián)系外部組織來實(shí)施審計(jì)C、派最資深的信息系統(tǒng)審計(jì)師完成審計(jì)任務(wù)D、接受審計(jì)任務(wù)，但推遲到進(jìn)行了網(wǎng)絡(luò)安全技能培訓(xùn)后再實(shí)施答案：B252.以下哪一項(xiàng)控制最能防止互聯(lián)網(wǎng)嗅探器（Internetsniffer）進(jìn)行重放攻擊（replayattack):A、數(shù)據(jù)包過濾路由器B、帶時(shí)間戳的數(shù)據(jù)加密技術(shù)C、正確配置的防火墻D、數(shù)字簽名技術(shù)答案：B253.流程所有權(quán)分配在系統(tǒng)開發(fā)項(xiàng)目中至關(guān)重要，是因?yàn)锳、利于跟蹤開發(fā)完成的百分比B、優(yōu)化用戶驗(yàn)收案例的設(shè)計(jì)成本什是因C、最大限度縮小需求與功能之間的差距D、確保系統(tǒng)設(shè)計(jì)基于業(yè)務(wù)需求答案：D254.提高數(shù)據(jù)中心的服務(wù)器密度時(shí)，下列哪項(xiàng)是最關(guān)注的？A、維護(hù)訪問B、電磁干擾C、溫度D、氣流控制答案：B255.A5-143對(duì)信息系統(tǒng)審計(jì)師而言,如果下列用戶組具有生產(chǎn)數(shù)據(jù)庫的完全訪問權(quán)限，以下哪一組最值得關(guān)注?A、應(yīng)用程序開發(fā)人員B、系統(tǒng)管理員C、業(yè)務(wù)用戶D、信息安全團(tuán)隊(duì)答案：A256.A3-21信息系統(tǒng)審計(jì)師正在審查一家大型公司的IT項(xiàng)目，并且想確定在指定年份實(shí)施的IT項(xiàng)目是否已被該公司指定為最高優(yōu)先級(jí)的項(xiàng)目，以及是否會(huì)創(chuàng)造最大的商業(yè)價(jià)值。以下哪一項(xiàng)最相關(guān)?A、能力成熟度模型B、組合管理C、配置管理D、項(xiàng)目管理知識(shí)體系答案：B257.A5-15某公司正實(shí)施動(dòng)態(tài)主機(jī)配置協(xié)議。出現(xiàn)以下哪種情況時(shí)更需要給予關(guān)注?A、大多數(shù)員工使用便攜式計(jì)算機(jī)。B、使用數(shù)據(jù)庫包過濾防火墻C、IP地址空間小于P數(shù)量D、未對(duì)訪問網(wǎng)絡(luò)端口的操作進(jìn)行限制答案：D258.在發(fā)現(xiàn)未知惡意攻擊時(shí)，以下哪一項(xiàng)安全測(cè)試技術(shù)最有效A、沙箱B、滲透測(cè)試C、漏洞測(cè)試D、逆向工程答案：A259.A1-133在審計(jì)某第三方IT服務(wù)提供商時(shí)，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)未按合同要求進(jìn)行訪問審查。信息系統(tǒng)審計(jì)師應(yīng)：A、向IT管理層報(bào)告該問題B、與服務(wù)提供商討論該問題C、執(zhí)行風(fēng)險(xiǎn)評(píng)估D、執(zhí)行訪問審查答案：A260.【重要題】在審計(jì)期間，所有it團(tuán)隊(duì)都同意審計(jì)發(fā)現(xiàn)，但是沒有一個(gè)團(tuán)隊(duì)愿意承接整改的責(zé)任，審計(jì)師應(yīng)該：A、上報(bào)IT管理層尋求解決方案；B、不指明整改責(zé)任的情況下發(fā)布審計(jì)發(fā)現(xiàn)C、讓所有團(tuán)隊(duì)共同負(fù)責(zé)執(zhí)行D、選擇最適合的團(tuán)隊(duì)并進(jìn)行責(zé)任分配答案：A261.A5-75信息系統(tǒng)審計(jì)師在審查虛擬私有網(wǎng)絡(luò)實(shí)施情況時(shí)，以下哪種情況最令其擔(dān)憂?網(wǎng)絡(luò)中計(jì)算機(jī)位于：A、企業(yè)的內(nèi)部網(wǎng)絡(luò)B、備用站點(diǎn)C、員工家里D、企業(yè)的遠(yuǎn)程辦公室答案：C262.在審查數(shù)據(jù)中心運(yùn)行的有效性時(shí)，信息系統(tǒng)審計(jì)師需首先確定系統(tǒng)性能，用于以下哪項(xiàng)工作？A、按照事先約定的服務(wù)等級(jí)進(jìn)行監(jiān)控和報(bào)告B、滿足制造商規(guī)定的預(yù)期目標(biāo)C、在該系統(tǒng)的公認(rèn)可靠性等級(jí)之內(nèi)D、能夠反映在實(shí)施時(shí)確立的預(yù)期使用水平答案：D263.A1-124信息系統(tǒng)審計(jì)章程的主要目的是：A、建立審計(jì)部門的組織結(jié)構(gòu)B、闡述信息系統(tǒng)審計(jì)職能部門的報(bào)告責(zé)任C、詳細(xì)說明審計(jì)職能部門所需的資源要求D、概述信息系統(tǒng)審計(jì)職能部門的職責(zé)和權(quán)限答案：D264.A2-100某小型組織只有一個(gè)數(shù)據(jù)庫管理員()和一個(gè)系統(tǒng)管理員。DBA對(duì)運(yùn)行數(shù)據(jù)庫應(yīng)用程序的UNIX服務(wù)器擁有根訪問權(quán)限。在這種情況下如何實(shí)現(xiàn)職責(zé)分離?A、雇用第二個(gè)，并在兩個(gè)人之間分離職責(zé)B、撤回對(duì)所有UNIX服務(wù)器的根訪問權(quán)限C、確保的所有操作都記錄在案以及所有日志都磁帶備份D、確保將數(shù)據(jù)庫日志轉(zhuǎn)發(fā)到?jīng)]有根訪問權(quán)限的UNIX服務(wù)器上答案：D265.哪項(xiàng)是數(shù)字簽名的特征A、受接收方控制B、在數(shù)據(jù)變更后經(jīng)過認(rèn)證C、對(duì)消息而言是唯一的D、有可再生的哈希算法計(jì)師應(yīng)該答案：C266.A5-71與RSA加密相比,以下哪項(xiàng)是橢圓曲線加密的優(yōu)點(diǎn)?A、計(jì)算速度B、能夠支持?jǐn)?shù)字簽名C、更簡(jiǎn)便的密鑰分配D、消息完整性控制答案：A267.【重要題】在審查安全政策的開發(fā)過程時(shí)，以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師要驗(yàn)證的最重要的內(nèi)容?A、管理層批準(zhǔn)的證據(jù)B、關(guān)鍵利益相關(guān)人員積極參與的證據(jù)C、企業(yè)風(fēng)險(xiǎn)管理系統(tǒng)的輸出D、控制框架的確認(rèn)答案：B268.若要開發(fā)一個(gè)應(yīng)用于整個(gè)公司的系統(tǒng)，最適合總體負(fù)責(zé)該項(xiàng)目的角色是：A、IS主管B、項(xiàng)目經(jīng)理C、企業(yè)高管D、業(yè)務(wù)分析員答案：C269.A4-189以下哪項(xiàng)能夠最好地緩解因?qū)⒒セ輩f(xié)議已用作恢復(fù)備選方案而引發(fā)的風(fēng)險(xiǎn)?A、每年進(jìn)行一次災(zāi)難恢復(fù)演練B、確保合作伙伴組織位于不同的地理位置C、定期執(zhí)行業(yè)務(wù)影響分析D、選擇具有類似系統(tǒng)的合作伙伴答案：B270.A2-40在審查IT短期(戰(zhàn)術(shù))計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師應(yīng)確定是否：A、IT和業(yè)務(wù)人員都參與項(xiàng)目B、明確定義IT使命和愿景C、采用戰(zhàn)略信息技術(shù)計(jì)劃計(jì)分卡D、該計(jì)劃使業(yè)務(wù)目標(biāo)與IT目的和目標(biāo)相關(guān)聯(lián)答案：A271.A5-73以下哪一項(xiàng)預(yù)防性控制最有助于確保Web應(yīng)用程序安全?A、密碼掩碼B、培訓(xùn)開發(fā)人員C、使用加密D、漏洞測(cè)試答案：B272.磁盤管理系統(tǒng)的主要功能在于：A