PAGEPAGE1一、單選題1.在實施后審查時，以下哪一項最能證明用戶需求得到了滿足?A、操作員的錯誤日志B、客戶服務(wù)事故支持請求的數(shù)量C、最終用戶使用文檔D、用戶驗收測試已簽收答案：D2.A2-53下面哪項應(yīng)包含在組織的信息安全政策中?A、需要保護的關(guān)鍵IT資源的清單B、訪問控制授權(quán)的基準(zhǔn)C、敏感安全資產(chǎn)的標(biāo)識D、相關(guān)軟件安全功能答案：B3.以下哪一種是檢測型控制?A、輸入格式驗證B、進(jìn)行恢復(fù)程序C、密碼控制D、散列驗證答案：D4.A4-44網(wǎng)絡(luò)性能監(jiān)控工具能夠最直接地影響以下哪一項?A、完整性B、可用性C、完成度D、機密性答案：B5.【重要題】在共享的處理環(huán)境中，最大的挑戰(zhàn)是：A、分離客戶數(shù)據(jù)B、分離客戶網(wǎng)絡(luò)C、合并結(jié)果D、保持一致的標(biāo)準(zhǔn)答案：A6.A5-203某公司決定實施基于公鑰基礎(chǔ)設(shè)施的電子簽名方案。用戶的私鑰會存儲在計算機硬盤中，并受密碼保護。此方法的最大風(fēng)險是：A、如果密碼泄露，該用戶的電子簽名將遭到其他人的利用B、使用其他用戶的私鑰對消息進(jìn)行電子簽名，從而實現(xiàn)偽造C、用其他人的公鑰來替代該用戶的公鑰，從而實現(xiàn)對某用戶的模仿D、在計算機中用其他人的私鑰進(jìn)行替代，從而實現(xiàn)偽造答案：A7.前端銷售人員把收入21.01美元輸錯成2101.00美元，組織沒有實施批平衡控制，并且所有的交易明細(xì)都會統(tǒng)一傳到財務(wù)部，為避免錯誤錄入，應(yīng)該?A、自動核對收入和交易的總和B、在生產(chǎn)前審批訂單C、在系統(tǒng)中記錄所有客戶訂單D、在訂單過程中使用hshtotl答案：A8.A5-18組織發(fā)現(xiàn)首席財務(wù)官的計算機已感染惡意軟件，包括按鍵記錄器和惡意程序工具包(rookit)。首先采取的措施應(yīng)為：A、聯(lián)系相應(yīng)的執(zhí)法部門開始調(diào)查B、立即確保不會危害其他數(shù)據(jù)C、斷開P與網(wǎng)絡(luò)的連接D、更新P上的防病毒簽名，確保已檢測并刪除惡意軟件或病毒答案：C9.對于抽樣而言，以下哪項是正確的？A、抽樣一般運用于與不成文或無形的控制相關(guān)聯(lián)的總體B、通過盡早停止審計測試，屬性抽樣有助于減少對某個屬性的過量抽樣C、變量抽樣是估計給定控制或相關(guān)控制集合發(fā)生率的技術(shù)D、如果內(nèi)部控制健全，置信系數(shù)可以取的較低答案：D10.【重要題】IT指導(dǎo)委員會應(yīng)該采取哪項措施來幫助董事會履行IT治理職責(zé)?A、制定IT政策和措施來跟蹤項目B、聚焦在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略答案：D11.某IS審計師正在審查某會計系統(tǒng)的訪問情況，并發(fā)現(xiàn)了職責(zé)分離問題；但業(yè)務(wù)規(guī)模小，沒有額外的工人可供使用。在這種情況下，以下哪一項是建議的最佳補償性控制？A、實施基于角色的訪問B、審查審計軌跡C、執(zhí)行定期訪問審查D、審查錯誤日志答案：B12.為了解決審計發(fā)現(xiàn)，以下哪一項是信息系統(tǒng)審計師的角色？A、解釋審計發(fā)現(xiàn)并提供一般建議B、提供整改方案并協(xié)助管理層實施C、設(shè)計信息系統(tǒng)架構(gòu)答案：A13.對預(yù)算有限的公司，解決內(nèi)部職責(zé)分離問題的最合適的措施是：A、定期實施輪崗B、招募臨時員工C、進(jìn)行獨立審計D、實施補償性控制答案：D14.執(zhí)行備份的做法反映了哪一種類型的內(nèi)部控制?A、預(yù)防B、檢測C、改正性D、補償答案：C15.信息系統(tǒng)審計師發(fā)現(xiàn)，許多離職員工尚未從應(yīng)付賬款系統(tǒng)中刪除。為了評估風(fēng)險，確定以下哪一項最重要?A、與應(yīng)付賬款系統(tǒng)相關(guān)的入侵嘗試的頻率B、管理層對用戶訪問權(quán)限進(jìn)行審查的頻率C、終止離職員工訪問的流程D、離職員工實際訪問系統(tǒng)的能力答案：D16.A5-137在審計數(shù)據(jù)中心的安全性時，信息系統(tǒng)審計師應(yīng)查明是否存在電壓調(diào)節(jié)器，以確保：A、防止硬件遭遇電涌B、在主電源中斷時保持?jǐn)?shù)據(jù)完整性C、在主電源中斷時立即供電D、防止硬件遭遇長期電源波動答案：A17.以下哪一項能夠提供證明防火墻配置與公司安全策略相一致的最佳審計證據(jù)A、審查規(guī)則定義庫B、執(zhí)行滲透測試C、分析配置更改是如何執(zhí)行的D、分析日志文件答案：A18.A5-256以下哪項是處理利用協(xié)議漏洞傳播網(wǎng)絡(luò)蠕蟲的最可靠而有效的解決方法?A、立即安裝最新供應(yīng)商安全修補程序B、在外圍防火墻中阻止協(xié)議通信C、阻止內(nèi)部網(wǎng)絡(luò)段間的協(xié)議通信D、停止協(xié)議使用的服務(wù)答案：D19.A5-258以下哪類防火墻可以最好地保護網(wǎng)絡(luò)免受互聯(lián)網(wǎng)攻擊?A、屏蔽子網(wǎng)防火墻B、應(yīng)用過濾網(wǎng)關(guān)C、數(shù)據(jù)包過濾路由器D、電路級網(wǎng)關(guān)答案：A20.A1-69信息系統(tǒng)審計師獲得充分恰當(dāng)?shù)膶徲嬜C據(jù)的最重要的目的是：A、遵守法規(guī)要求B、為得出合理結(jié)論提供依據(jù)C、確保審計覆蓋范圍完整D、根據(jù)定義的范圍執(zhí)行審計答案：B21.IT指導(dǎo)委員會應(yīng)該采取哪項措施來幫助董事會履行IT治理職責(zé)?A、制定IT政策和措施來跟蹤項目B、聚焦在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略答案：D22.IT審計師要審查IT目標(biāo)服務(wù)業(yè)務(wù)目標(biāo)的最好體現(xiàn)是：A、ΚΡΙB、業(yè)務(wù)案例C、ITBSC答案：C23.移動設(shè)備要丟棄，怎么保證安全?(下列哪像對于磁盤清理數(shù)據(jù)最有效?)A、多次復(fù)寫B(tài)、清除數(shù)據(jù)軟件數(shù)據(jù)（數(shù)據(jù)擦除）C、把移動設(shè)備放置在強磁場中D、格式化答案：C24.SDLC首先要做的測試A、單元測試B、集成測試C、回歸測試D、并行測試答案：A25.信息系統(tǒng)審計師正在評估一項基于Web的客戶服務(wù)應(yīng)用程序開發(fā)項目的進(jìn)度，以下哪一項對此評估最有幫助?A、關(guān)鍵路徑分析報告B、積壓消耗報告C、更改管理日志D、開發(fā)者狀態(tài)報告答案：B26.IT審計師正審查公司的商業(yè)智能基礎(chǔ)架構(gòu)，以下哪項是幫助公司實現(xiàn)合理水平的數(shù)據(jù)質(zhì)量的最好建議？A、根據(jù)預(yù)先定義的規(guī)格分析數(shù)據(jù)B、將數(shù)據(jù)清理外包給熟練的服務(wù)提供商C、將不同數(shù)據(jù)庫存儲的數(shù)據(jù)合并到數(shù)據(jù)倉儲D、根據(jù)數(shù)據(jù)分類標(biāo)準(zhǔn)審查數(shù)據(jù)答案：A27.以下哪項最可能影響數(shù)據(jù)庫備份的完整性?A、使用關(guān)聯(lián)數(shù)據(jù)庫模型B、在備份過程中打開數(shù)據(jù)庫文件C、記錄中包含零信息的字段D、將數(shù)據(jù)庫備份到光盤上答案：B28.在發(fā)生事故時，以下哪一項最有利于法律程序?A、根本原因分析(類似的描述，可排除)B、執(zhí)行電子取證的權(quán)利C、法律顧問的建議D、保持保管鏈答案：D29.A4-28在評估計算機預(yù)防性維護程序的有效性和充分性時，信息系統(tǒng)審計師會認(rèn)為以下哪項最有幫助?A、系統(tǒng)停機時間日志B、供應(yīng)商的可靠度數(shù)據(jù)C、定期安排的維護日志D、書面預(yù)防性維護日程表答案：A30.A1-29在IT流程的安全審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)沒有任何文檔記錄安全程序。信息系統(tǒng)審計師應(yīng)：A、根據(jù)實踐創(chuàng)建程序文檔B、提出對當(dāng)前狀態(tài)的看法，并結(jié)束審計C、對可用數(shù)據(jù)執(zhí)行符合性測試D、識別并評估現(xiàn)有實踐答案：D31.銀行的零售系統(tǒng)剛換了服務(wù)器，確保服務(wù)器能夠在滿意的響應(yīng)時間得到響應(yīng)的測試方法是：(也有考生回憶為：互聯(lián)網(wǎng)要求很大交易量，最需要進(jìn)行什么測試?)A、集成測試B、回歸測試C、系統(tǒng)測試D、基準(zhǔn)測試答案：D32.【重要題】以下哪一項提供了證明IT與業(yè)務(wù)之間保持一致的最佳證據(jù)?A、務(wù)目標(biāo)B、某企業(yè)已經(jīng)建立了一個正式流程，用C、于對IT項目進(jìn)行優(yōu)先排序以實現(xiàn)業(yè)D、N答案：A33.信息系統(tǒng)審計師發(fā)現(xiàn)，有長達(dá)6個多月時間末在關(guān)鍵服務(wù)器上安裝要求的安全補丁程序。下一個行動步驟應(yīng)該是：A、審查補丁管理程序。B、將審計發(fā)現(xiàn)通知高級管理層。C、請求盡快安裝補丁程序。D、確定延遲安裝補丁的根本原因。答案：D34.IDS能檢測什么類型的攻擊A、系統(tǒng)掃描B、垃圾郵箱C、欺騙D、邏輯炸彈答案：A35.在IT治理中，以下哪一項對有效的風(fēng)險管理來說事必要的？A、IT風(fēng)險管理與公司風(fēng)險管理相分離B、審計委員會負(fù)責(zé)批準(zhǔn)風(fēng)險管理策略C、各地區(qū)經(jīng)理（localmanagers）只負(fù)責(zé)風(fēng)險評估D、在管理過程中對風(fēng)險進(jìn)行評估答案：D36.A1-141要確保維持有效的應(yīng)用控制，以下哪個選項最重要?A、異常報告B、管理人員監(jiān)督C、控制自我評估D、同行評審答案：C37.IS審計章程的主要目的是：A、建立審計部門的組織結(jié)構(gòu)。B、概述IS審計職能部門的職責(zé)和權(quán)限。C、詳細(xì)闡述1S審計部門執(zhí)行的審計流程和程序。D、闡述IS審計職能部門的報告責(zé)任。答案：B38.審計第三方供應(yīng)商的關(guān)鍵績效指標(biāo)KPI時，審計師最大的擔(dān)憂是?A、KPI沒有文檔記錄B、KPI指標(biāo)沒有明確定義C、KPI從從未更新D、KPI數(shù)據(jù)沒有加以分析答案：B39.【重要題】對于應(yīng)用程序開發(fā)驗收測試來說，以下哪項最重要?A、質(zhì)量保證(Q)小組負(fù)責(zé)測試過程B、用戶管理在啟動測試之前會審批測試設(shè)計C、所有數(shù)據(jù)文件在轉(zhuǎn)換之前均進(jìn)行了有效信息測試D、編程小組參與測試過程答案：B40.A4-49在評估軟件開發(fā)實踐時，一名信息系統(tǒng)審計師發(fā)現(xiàn)，開源軟件組件用在了為客戶設(shè)計的應(yīng)用程序中。關(guān)于開源軟件的使用，該審計師最關(guān)注什么?A、客戶不為開源軟件組件付費B、組織和客戶必須遵守開源軟件許可條款C、開源軟件具有安全漏洞D、開源軟件對商業(yè)用途不可靠答案：B41.【重要題】哪一項可以證明IT內(nèi)部控制環(huán)境的成熟度水平最高?A、控制的運作取決于員工的意識B、在管理層的要求下評估IT操作效率C、使用正式記錄的控制流程并定期實施評估D、充分記錄控制并及時發(fā)現(xiàn)控制異常答案：C42.信息系統(tǒng)審計師發(fā)現(xiàn)數(shù)據(jù)庫管理系統(tǒng)維護后未重新啟動審計日志，以下哪一項是最大的問題?A、將不能記錄數(shù)據(jù)庫管理員所作的更改操作B、將不能優(yōu)化數(shù)據(jù)庫的觸發(fā)器和指針C、將不能記錄應(yīng)用程序用戶所作的更改操作D、將妨礙數(shù)據(jù)庫優(yōu)化答案：A43.鏡像磁盤（mirroreddisks）的使用：A、減少對額外存儲的需求B、縮短系統(tǒng)響應(yīng)時間C、消除異地備份的需求D、需求定期異地備份答案：D44.A1-41某公司最近為整合電子數(shù)據(jù)交換()傳輸而對采購系統(tǒng)進(jìn)行了升級。要確保有效的數(shù)據(jù)映射，應(yīng)在EDI接口中實施以下哪種控制?A、密鑰驗證B、一對一檢查C、手動重新計算D、功能性確認(rèn)答案：D45.A2-72以下哪一項對戰(zhàn)略性IT舉措的決策流程最有價值?A、項目管理流程的成熟度B、監(jiān)管環(huán)境C、過去的審計結(jié)果D、IT項目組合分析答案：D46.A4-122在人力資源(HR)審計期間，信息系統(tǒng)審計師被告知，IT與HR部門之間就期望的IT服務(wù)水平達(dá)到一項口頭協(xié)議。在這種情況下，信息系統(tǒng)審計師首先應(yīng)該做什么?A、推遲審計，直至將協(xié)議記錄在案B、將存在未記錄的協(xié)議這一情況報告給高級管理層C、與兩個部門確認(rèn)協(xié)議的內(nèi)容D、為兩個部門起草一份服務(wù)水平協(xié)議答案：C47.A4-126評估業(yè)務(wù)連續(xù)性計劃效能的最佳方法是審查：A、計劃并將其與適當(dāng)標(biāo)準(zhǔn)進(jìn)行比較B、先前的測試結(jié)果C、應(yīng)急流程和員工培訓(xùn)D、異地儲存和環(huán)境控制答案：B48.敏捷開發(fā)跟瀑布式開發(fā)相比的最大優(yōu)點在于？A、敏捷注重開發(fā)的軟件工具而不是全面的文檔B、敏捷關(guān)注合同協(xié)議而非與客戶的協(xié)作C、敏捷重視對計劃的執(zhí)行而非響應(yīng)變化D、敏捷重視針對個體和交互的過程和工具答案：D49.A4-147如果未對重要文件服務(wù)器中的存儲增長進(jìn)行適當(dāng)管理，則以下哪一項是最大風(fēng)險?A、備份時間將會穩(wěn)步增加B、備份操作成本將會顯著增加C、存儲操作成本將會顯著增加D、服務(wù)器恢復(fù)工作不能滿足恢復(fù)時間目標(biāo)答案：D50.審查新成立的CallCenter內(nèi)的控制時，首先應(yīng)A、評估與風(fēng)險中心有關(guān)的操作風(fēng)險B、測試呼叫中心的技術(shù)基礎(chǔ)設(shè)施C、從客戶那里收集服務(wù)響應(yīng)時間和服務(wù)質(zhì)量的信息D、審查呼叫中心的人工和自動控制答案：A51.在應(yīng)用加密的備份磁帶時，最重大的關(guān)注應(yīng)是以下哪一項?A、丟失加密密鑰B、缺乏磁帶的物理安全性C、因加密過程造成數(shù)據(jù)不準(zhǔn)確D、與未來軟件版本不兼容答案：A52.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的?A、吸取的經(jīng)驗教訓(xùn)已記錄存檔并加以應(yīng)用B、業(yè)務(wù)和IT相關(guān)人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期(SL)中的一個正式階段答案：A53.非正規(guī)化（非規(guī)范化）對數(shù)據(jù)庫的最大影響是什么：A、影響完整性B、停滯不前的性能C、數(shù)據(jù)的準(zhǔn)確性D、數(shù)據(jù)的機密性答案：A54.以下哪一項最好地保證了醫(yī)療機構(gòu)正確處理了數(shù)據(jù)?A、遵守審計提出的問題進(jìn)行整改B、遵從行業(yè)標(biāo)準(zhǔn)和最佳實踐C、遵從企業(yè)的政策和程序D、遵從當(dāng)?shù)胤珊头ㄒ?guī)答案：D55.A1-3某信息系統(tǒng)審計師正在針對包含新系統(tǒng)的環(huán)境制訂一項審計計劃。組織的管理層級希望該信息系統(tǒng)審計師著重關(guān)注最新實施的系統(tǒng)。該信息系統(tǒng)審計師應(yīng)如何去做?A、按管理層的要求審計新系統(tǒng)B、審計去年審計范圍以外的系統(tǒng)C、確定風(fēng)險最高的系統(tǒng)，然后相應(yīng)地制定計劃D、審計去年審計范圍以外的系統(tǒng)和新系統(tǒng)答案：C56.RPO低的信息系統(tǒng)應(yīng)該采取如下哪項措施？A、Raid0B、每日備份C、熱站D、鏡像答案：D57.A1-48離場面談過程中，如果對于審計發(fā)現(xiàn)可能產(chǎn)生的影響存在分歧，信息系統(tǒng)審計師應(yīng)該：A、要求受審單位簽署豁免協(xié)議書并承擔(dān)全部法律責(zé)任B、詳細(xì)闡述審計發(fā)現(xiàn)的重要性以及不予糾正可能產(chǎn)生的風(fēng)險C、將不同意見報告給審計委員會以尋求解決方案D、接受受審方觀點，因為他們才是流程所有者答案：B58.當(dāng)確定審計日志的數(shù)據(jù)保留期時，下列哪一項是最基本的因素?A、控制風(fēng)險B、普遍接受的審計標(biāo)準(zhǔn)C、計算機取證原則D、法規(guī)要求答案：D59.A1-122在一項基于風(fēng)險的信息系統(tǒng)審計中，固有風(fēng)險和控制風(fēng)險均已被評定為高，信息系統(tǒng)審計師最有可能通過額外執(zhí)行以下哪一項來彌補這種情況?A、停止或繼續(xù)抽樣B、實質(zhì)性測試C、符合性測試D、發(fā)現(xiàn)抽樣答案：B60.A2-148企業(yè)的風(fēng)險偏好最好由以下哪項確定?A、首席法務(wù)官B、安全管理人員C、審計委員會D、督導(dǎo)委員會答案：D61.以下哪一項是減輕未經(jīng)授權(quán)的代碼跨環(huán)境移動相關(guān)風(fēng)險的最佳方式?A、質(zhì)量控制B、變更管理C、軟件備份管理D、版本控制答案：D62.確保從遠(yuǎn)程位置傳到生產(chǎn)倉庫的所有訂單都準(zhǔn)確和完整接收的最適當(dāng)控制是：A、發(fā)送并核對交易記錄數(shù)量和匯總交易總數(shù)。B、跟蹤并計算銷售訂單編號的連續(xù)性。C、驗證奇偶校驗是否仍然有效。D、將數(shù)據(jù)傳回發(fā)源地，然后進(jìn)行比對答案：A63.在開發(fā)階段添加新功能時，以下哪項是與沒有遵循項目更改管理流程相關(guān)的主要風(fēng)險A、新功能可能不符合要求B、尚未記錄添加的功能C、項目超出預(yù)算答案：A64.某個大型組織正在對下一年度的IT項目進(jìn)行優(yōu)先級排序。排序的依據(jù)應(yīng)該：A、根據(jù)項目的成本效益分析結(jié)果。B、根據(jù)組織下一年度的IT資源情況。C、根據(jù)項目的投資額大小。D、根據(jù)技術(shù)的先進(jìn)性答案：A65.【重要題】下列哪一項對信息安全管理系統(tǒng)的成功最為關(guān)鍵?A、信息安全與IT目標(biāo)的統(tǒng)一B、用戶對信息安全的責(zé)任確立C、管理部門對信息安全的承諾D、業(yè)務(wù)與信息安全的集成答案：C66.信息系統(tǒng)審計師在上線之前審查新系統(tǒng)的項目計劃時，注意到項目團隊尚未記錄恢復(fù)計劃。以下哪一項是這一情況下最佳的系統(tǒng)上線方法？A、均衡負(fù)載B、（明顯不對，可排除）C、立即切換D、并行切換答案：D67.【重要題】為了幫助董事會履行IT治理職責(zé)，IT指導(dǎo)委員會應(yīng)該：A、制定項目跟蹤的IT政策和措施B、將注意力集中在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略答案：D68.某企業(yè)使用云計算服務(wù)提供商，為在線計費系統(tǒng)提供服務(wù)，客戶始終可以訪問該網(wǎng)站。驗證企業(yè)的業(yè)務(wù)需求得到滿足的最佳方式是什么?A、監(jiān)控與供應(yīng)商的服務(wù)水平協(xié)議(SLA)B、要求供應(yīng)商報告超過五分鐘的中斷C、調(diào)用審計權(quán)條款D、與供應(yīng)商就定期的性能討論達(dá)成協(xié)議答案：A69.A4-47要確保生產(chǎn)源代碼和目標(biāo)代碼同步，以下哪種控制最有效?A、版本間的源代碼和目標(biāo)代碼比較報告B、用庫控制軟件限制對源代碼進(jìn)行的更改C、限制對源代碼和目標(biāo)代碼的訪問D、對源代碼和目標(biāo)代碼的日期和時間戳進(jìn)行審查答案：D70.IT經(jīng)理向高級管理層匯報潛在風(fēng)險情況，運行關(guān)鍵在線信用報告系統(tǒng)服務(wù)器的操作系統(tǒng)將不受支持，該風(fēng)險屬于哪種類型的風(fēng)險？A、符合性風(fēng)險B、技術(shù)風(fēng)險C、業(yè)務(wù)風(fēng)險D、聲譽風(fēng)險答案：B71.系統(tǒng)采用帳單每周自動傳輸?shù)狡髽I(yè)帳戶總帳，經(jīng)檢查發(fā)現(xiàn)缺少一周的帳單，應(yīng)檢查A、模塊訪問權(quán)限B、批處理控制C、變更D、年度對帳答案：B72.實施新的應(yīng)用程序軟件包（或第三方應(yīng)用），最大的風(fēng)險是A、參數(shù)配置錯誤B、沒有審計軌跡C、交易量過大D、交易敏感度高答案：A73.了解一個操作系統(tǒng)的安全配置的最佳方式是：A、學(xué)習(xí)供應(yīng)商的安裝手冊。B、檢查系統(tǒng)安全計劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動配置的參數(shù)。答案：D74.A5-55實施訪問控制時首先需要：A、分類信息系統(tǒng)資源B、標(biāo)記信息系統(tǒng)資源C、創(chuàng)建訪問控制列表D、創(chuàng)建信息系統(tǒng)資源清單答案：D75.從風(fēng)險管理的角度，部署龐大且復(fù)雜的IT基礎(chǔ)架構(gòu)，哪種方法最好：A、部署前仿真模擬新的架構(gòu)B、按次序階段性的部署計劃C、原型化和單階部署D、在概念論證之后，全面迅速的部署答案：B76.在審計IT管理時，審計師最擔(dān)心見到一下情況A、IT戰(zhàn)略計劃需要的經(jīng)費沒有經(jīng)過審批B、IT戰(zhàn)略計劃來源于互聯(lián)網(wǎng)最新趨勢C、上一年IT戰(zhàn)略計劃沒有實現(xiàn)D、IT戰(zhàn)略計劃停留在技術(shù)架構(gòu)層面。答案：B77.審查過去的審計結(jié)果時，審計師發(fā)現(xiàn)審計報告可能不正確，也不具備獨立性，審計師下一步怎么做?A、重新執(zhí)行審計B、報告審計委員會C、報告審計部門領(lǐng)導(dǎo)D、重新執(zhí)行控制測試答案：C78.A5-70以下哪項會導(dǎo)致拒絕服務(wù)攻擊?A、窮舉攻擊(暴力破解)B、死亡之PingC、跳步攻擊D、否定應(yīng)答攻擊答案：B79.開發(fā)人員對薪資系統(tǒng)中的數(shù)據(jù)字段做了未經(jīng)授權(quán)的變更。下列哪一種控制弱點最可能導(dǎo)致該問題?A、程序設(shè)計人員有權(quán)訪問生產(chǎn)程序。B、工資文件不受程序庫管理員控制。C、可排除D、程序設(shè)計人員沒有讓用戶參與測試。答案：A80.【重要題】信息系統(tǒng)投資的業(yè)務(wù)案例需要保留到什么時候?A、信息系統(tǒng)壽命已盡(系統(tǒng)廢止)B、投資信息系統(tǒng)已退休(投資退休)C、投資決策獲得批準(zhǔn)后D、投資收益已充分實現(xiàn)答案：A81.A1-130由于信息系統(tǒng)審計團隊意外的資源限制，無法完成最初批準(zhǔn)的審計計劃。假定已通過審計報告通報情況，最可接受的做法是哪一項?A、測試控制設(shè)計的充分性B、測試控制運作的有效性C、專注于高風(fēng)險區(qū)域的審計D、依靠管理層測試控制措施答案：C82..移動設(shè)備要丟棄，怎么保證安全?(下列哪像對于磁盤清理數(shù)據(jù)最有效?)A、多次復(fù)寫B(tài)、清除數(shù)據(jù)軟件數(shù)據(jù)(數(shù)據(jù)擦除)C、把移動設(shè)備放置在強磁場中D、格式化答案：C83.A5-233以下哪項可以為數(shù)據(jù)密碼加密提供最好的保證?A、安全哈希算法-256B、高級加密標(biāo)準(zhǔn)C、安全殼D、三重數(shù)據(jù)加密標(biāo)準(zhǔn)答案：B84.計算機犯罪調(diào)查時，首先應(yīng)該確保證據(jù)的：A、充分性B、可靠性C、xx性D、未經(jīng)篡改答案：D85.A5-167在網(wǎng)絡(luò)通信中使用用戶數(shù)據(jù)報協(xié)議的主要風(fēng)險是：A、數(shù)據(jù)包到達(dá)的順序錯亂B、增加通信延遲C、與數(shù)據(jù)包廣播不兼容D、糾錯可能減緩處理程序答案：A86.下哪一項最有可能確保災(zāi)難恢復(fù)（DR)工作取得成功？A、進(jìn)行桌面演練。B、完成數(shù)據(jù)恢復(fù)。C、批準(zhǔn)恢復(fù)程序。D、承諾適當(dāng)?shù)娜肆Y源。答案：B87.在web應(yīng)用中,包含以下哪一項可以保證最高的安全性?A、SSLB、SFTPC、TelnetD、TLS(trnsportlyersewwity)答案：D88.在把關(guān)鍵系統(tǒng)遷移到云服務(wù)提供商的過程中，企業(yè)對數(shù)據(jù)安全性的最大顧慮是：A、在法律查詢過程中可能要求來自不同客戶的數(shù)據(jù)B、不同客戶的數(shù)據(jù)應(yīng)遵守的政府法規(guī)可能各不相同C、不同客戶的數(shù)據(jù)可能受制于災(zāi)難恢復(fù)的不同服務(wù)水平協(xié)議(SL)D、不同客戶的數(shù)據(jù)之間可能沒有實施隔離答案：B89.對信息進(jìn)行實施后審計，下列哪項最可能削弱IS審計師的獨立性A、參與項目團隊，但不承擔(dān)運營開發(fā)的責(zé)任B、為最佳實踐提供建議C、設(shè)計了一個嵌入式的審計模塊D、在應(yīng)用程序開發(fā)過程中實施了特定的控制答案：D90.【重要題】以下哪一項是系統(tǒng)變更回滾計劃的主要目的?A、確保系統(tǒng)變更有效B、確保在實施變更之前存在備份C、確保在需要時可以重新執(zhí)行測試D、確保存在必要時刪除變更的步驟答案：D91.衡量災(zāi)難恢復(fù)計劃有效性中業(yè)務(wù)恢復(fù)的最佳途徑是A、定義恢復(fù)點目標(biāo)RPOB、業(yè)務(wù)影響分析BIAC、模擬災(zāi)難恢復(fù)D、評估與功能成熟度模型的差距答案：C92.A5-110將數(shù)字簽名應(yīng)用到網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)可提供：A、機密性和完整性B、安全性和不可否認(rèn)性C、完整性和不可否認(rèn)性D、機密性和不可否認(rèn)性答案：C93.審計師在設(shè)計階段應(yīng)該評估A、開發(fā)方法B、應(yīng)用功能C、兼容性D、是否有自動控制答案：D94.緊急情況下關(guān)閉電源的開關(guān)應(yīng)該：A、受保護B、不在計算機機房中C、無識別標(biāo)記D、會發(fā)亮答案：A95.為了幫助信息系統(tǒng)審計師從發(fā)現(xiàn)和結(jié)論中做出判斷，審計證據(jù)應(yīng)該：A、采集、經(jīng)過檢查并且受到保護B、符合法律和法規(guī)要求C、認(rèn)定為充分的、可靠的和相關(guān)的D、符合監(jiān)管鏈要求答案：C96.信息系統(tǒng)審計師發(fā)現(xiàn)，關(guān)鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計師下一步應(yīng)該?A、擴大審計范圍B、確定根本原因C、將觀察結(jié)果包含在報告中D、要求立即執(zhí)行備份答案：B97.控制總計能夠降低以下哪一項風(fēng)險？A、不當(dāng)授權(quán)B、備份錯誤C、處理不完整D、過帳到錯誤記錄答案：C98.A5-1Web應(yīng)用程序開發(fā)人員有時在網(wǎng)頁上使用隱藏字段來保護有關(guān)客戶會話信息。在某些情況下，這種技術(shù)用于存儲持續(xù)存在多個網(wǎng)頁的會話變量，例如，在零售網(wǎng)站應(yīng)用程序中保存購物車的內(nèi)容。此種做法最有可能導(dǎo)致的基于Web的攻擊是：A、/參數(shù)篡改B、跨站點腳本C、ookie篡改D、隱藏命令執(zhí)行答案：A99.系統(tǒng)目標(biāo)的決定者是誰？A、用戶B、流程所有者C、信息安全管理者D、IT管理者答案：B100.哪項是緩解勒索軟件攻擊影響的最佳方式?A、啟用災(zāi)難恢復(fù)許劃B、經(jīng)常備份數(shù)據(jù)C、要求管理賬戶更改密碼D、支付贖金答案：B101.A3-97一名信息系統(tǒng)審計師受指派審計某軟件開發(fā)項目，該項目完成了80%以上，但是已經(jīng)超時10%，超出成本25%。該信息系統(tǒng)審計師應(yīng)采取以下哪項行動?A、對組織未進(jìn)行有效的項目管理進(jìn)行報告B、建議更換項目經(jīng)理C、審查IT治理結(jié)構(gòu)D、審查業(yè)務(wù)案例和項目管理答案：D102.信息安全政策主要基準(zhǔn)是？（信息系統(tǒng)審計師在協(xié)助企業(yè)定義信息安全政策應(yīng)該考慮哪些因素）A、過去發(fā)生的安全事故B、行業(yè)最佳實踐C、風(fēng)險管理流程D、安全管理框架答案：D103.A1-70經(jīng)初步調(diào)查，信息系統(tǒng)審計師有理由相信可能存在舞弊行為，信息系統(tǒng)審計師應(yīng)：A、擴大工作范圍，判斷是否有必要開展調(diào)查B、將該事項報告給審計委員會C、向管理層報告舞弊的可能性D、與外部法律顧問進(jìn)行磋商，確定應(yīng)采取的行動方案答案：A104.如何最大地降低清除交易的新進(jìn)程對數(shù)據(jù)庫完整性的不利影響?A、數(shù)據(jù)庫結(jié)構(gòu)B、實體entity關(guān)系圖C、測試環(huán)境中的進(jìn)程結(jié)果D、觸發(fā)器設(shè)計答案：D105.在開發(fā)新的財務(wù)應(yīng)用程序時，信息系統(tǒng)審計師首先應(yīng)參與A、控制設(shè)計B、可行性研究C、系統(tǒng)測試D、應(yīng)用程序設(shè)計答案：B106.【重要題】在審查用戶賬戶政策時，信息系統(tǒng)審計師的最大擔(dān)憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權(quán)限的相關(guān)政策B、當(dāng)員工更改角色時，沒有任何政策可以撤銷以前的訪問權(quán)限C、沒有要求員工簽署保密協(xié)議(N)的相關(guān)政策D、沒有針對安全意識培訓(xùn)的政策答案：B107.A4-258在審計某電子商務(wù)架構(gòu)時，信息系統(tǒng)審計師注意到，客戶主數(shù)據(jù)在交易日期后保存在Web服務(wù)器6個月，之后會因無活動而被清除。以下哪項是信息系統(tǒng)審計師最關(guān)注的問題?A、客戶數(shù)據(jù)的可用性B、客戶數(shù)據(jù)的完整性C、客戶數(shù)據(jù)的機密性D、客戶存儲性能答案：C108.ROI分析在IT決策過程中的一個好處是提供A、分配間接成本的基礎(chǔ)B、更換設(shè)備的成本C、分配財務(wù)資源的基礎(chǔ)D、估計所有權(quán)的成本答案：C109.【重要題】高級管理層缺乏哪項決策會造成最大的數(shù)據(jù)泄露風(fēng)險?A、沒有對桌面電腦加密B、沒有實施員工安全意識培訓(xùn)C、員工可以遠(yuǎn)程辦公D、安全政策有一年沒有進(jìn)行更新答案：B110.IT風(fēng)險評估應(yīng)包括識別以下哪項？A、補償控制措施B、弱點C、業(yè)務(wù)流程所有者D、業(yè)務(wù)要求答案：B111.A5-237以下哪種生物特征識別控制系統(tǒng)最有效?A、相等錯誤率最高B、相等錯誤率最低C、錯誤拒絕率等于接受率D、錯誤拒絕率等于拒登率答案：B112.A1-134以下哪一項是報告信息系統(tǒng)審計結(jié)果的主要要求?A、根據(jù)預(yù)先定義的標(biāo)準(zhǔn)模板進(jìn)行擬訂B、有充分和適當(dāng)?shù)膶徲嬜C據(jù)做支撐C、全面涵蓋企業(yè)流程D、由審計管理層負(fù)責(zé)審查和批準(zhǔn)答案：B113.A4-6某企業(yè)的多個辦公室都位于一個區(qū)域內(nèi)，并且用于恢復(fù)的預(yù)算很有限。以下哪種恢復(fù)策略最合適?A、由企業(yè)維護的熱備援中心B、租用商業(yè)冷備援中心C、在企業(yè)各辦公室之間實行互惠安排D、采用第三方熱備援中心答案：C114.審查過去的審計結(jié)果時，審計師發(fā)現(xiàn)審計報告可能不正確，也不具備獨立性，審計師下一步怎么做？A、重新執(zhí)行審計B、報告審計委員會C、報告審計部門領(lǐng)導(dǎo)D、重新執(zhí)行控制測試答案：C115.A公司計劃實施的系統(tǒng)所采用的技術(shù)不符合公司IT策略。以下哪一項是最佳理由？A、雖然導(dǎo)致成本增加，但可以增加企業(yè)效益B、員工非常熟悉此技術(shù)C、該系統(tǒng)采用最先進(jìn)的技術(shù)D、該系統(tǒng)的持有成本較低答案：A116.A5-134要從網(wǎng)絡(luò)攻擊中恢復(fù),以下哪項措施最重要?A、建立事故響應(yīng)團隊B、雇用網(wǎng)絡(luò)取證調(diào)查員C、執(zhí)行業(yè)務(wù)連續(xù)性計劃D、保留證據(jù)答案：A117.A5-162組織可以通過以下哪種方式來確保其員工電子郵件的收件人可以對發(fā)件人的身份進(jìn)行驗證?A、對所有電子郵件消息進(jìn)行數(shù)字簽名B、對所有電子郵件消息進(jìn)行加密C、對所有電子郵件消息進(jìn)行壓縮D、對所有電子郵件消息進(jìn)行密碼保護答案：A118.以下哪項確定關(guān)鍵功能的恢復(fù)順序A、BCPB、DRPC、BIA答案：C119.下列哪一項最有可能影響數(shù)據(jù)庫備份的完整性?A、在備份過程中打開數(shù)據(jù)庫文件B、將數(shù)據(jù)庫備份到光盤上C、使用關(guān)系數(shù)據(jù)庫模型D、記錄包含零信息的字段答案：A120.企業(yè)要替換當(dāng)前的會計系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數(shù)據(jù)完整性A、平行實施B、應(yīng)急回退計劃C、試點實施D、功能集成測試答案：A121.A4-53以下哪項會動搖應(yīng)用程序?qū)徲嬡壽E的可靠性?A、在審計軌跡中記錄用戶I。B、安全管理員具有審計文件的只讀權(quán)限C、在執(zhí)行操作時記錄日期和時間戳D、更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄答案：D122.信息系統(tǒng)審計師在審查傳輸公開可用信息的系統(tǒng)接口，哪一項最令人擔(dān)憂？A、什么界面跟蹤程序（可排除）B、下載的數(shù)據(jù)與原系統(tǒng)數(shù)據(jù)不同C、數(shù)據(jù)未加密D、數(shù)據(jù)在傳輸時被截獲答案：B123.某衛(wèi)生保健組織的IS審計師正在檢討考慮由其托管患者健康信息（PHI)的第三方云提供商的合同條款和條件。以下哪一項合同條款將成為客戶組織面臨的最大風(fēng)險？A、數(shù)據(jù)所有權(quán)歸屬客戶組織。B、第三方保留訪問數(shù)據(jù)以執(zhí)行某些操作的權(quán)利。C、未定義批量數(shù)據(jù)撤回機制。D、客戶組織負(fù)責(zé)備份、歸檔和恢復(fù)。答案：B124.A5-194某關(guān)鍵的IT系統(tǒng)開發(fā)人員突然從某企業(yè)辭職。以下哪個選項是最重要的措施?A、安排他與人力資源部門的離職面談B、啟動交接流程以確保項目的連續(xù)性C、終止此開發(fā)人員對IT資源的邏輯訪問D、確保管理部門辦好離職手續(xù)答案：C125.哪個可以最降低暴力攻擊的成功可能?A、帳戶鎖定政策B、最小密碼長度C、帳戶活動超時機制D、增加密碼更換的頻率答案：A126.A3-25一個項目開發(fā)團隊正在考慮在測試程序中使用生產(chǎn)數(shù)據(jù)。在將數(shù)據(jù)載入測試環(huán)境之前，該團隊將其中的敏感數(shù)據(jù)脫敏。對于這種做法，信息系統(tǒng)審計師應(yīng)額外關(guān)注以下哪一項?A、將不會測試全部功能B、生產(chǎn)數(shù)據(jù)將引入測試環(huán)境C、需要專門的培訓(xùn)D、項目可能超出預(yù)算答案：A127.【重要題】以下哪一項最能表明企業(yè)的安全意識計劃有效性得到了改善?A、減少惡意軟件爆發(fā)數(shù)量B、員工報告的網(wǎng)絡(luò)釣魚電子郵件數(shù)量增加C、完成意識培訓(xùn)的人員數(shù)量增加D、信息安全審計發(fā)現(xiàn)數(shù)量減少答案：B128.審查來自供應(yīng)商的服務(wù)級別報告能最有效地協(xié)助審計師確定？A、供應(yīng)商是否提供了必要的安全保障B、供應(yīng)商是否遵循所有的適用的法律法規(guī)C、與供應(yīng)商合同到期后是否可以續(xù)約D、供應(yīng)商是否在實現(xiàn)預(yù)期目標(biāo)答案：D129.A1-22在規(guī)劃信息系統(tǒng)審計時，最關(guān)鍵的步驟是確定：A、重大風(fēng)險區(qū)域B、審計人員的技能組合C、審計中的測試步驟D、分配給審計的時間答案：A130.項目實施后一個月，審查中采用調(diào)查問卷的方式，哪項影響最大A、一個月之后才發(fā)問卷B、問卷沒有開放性回答C、沒有把結(jié)果報告管理層D、用戶對調(diào)查問卷參與不積極答案：C131.A5-270為確定防火墻配置是否遵守組織安全政策，以下哪項是最佳審計流程?A、審查參數(shù)設(shè)置B、與防火墻管理員面談C、審查實際流程D、審查設(shè)備日志文件看近期的攻擊答案：A132.在審查IT治理的時候，在以下選項中，審計師最關(guān)注的是?A、董事會所指定的政策策略的遵循情況B、管理部門所采用的控制框架C、審計委員會會議記錄中與信息系統(tǒng)有關(guān)的事項與控制內(nèi)容D、業(yè)務(wù)流程責(zé)任人的職責(zé)在企業(yè)內(nèi)部是否一致答案：C133.檢查點是在以下哪項之后應(yīng)用的A、增量數(shù)據(jù)備份B、數(shù)據(jù)中心停電C、執(zhí)行了不正確的程序版本D、出現(xiàn)臨時硬件故障答案：A134.A5-225在無線通信中,以下哪一項控制允許接收設(shè)備驗證所接收的通信未在傳輸過程中發(fā)生更改?A、設(shè)備身份認(rèn)證和數(shù)據(jù)源身份認(rèn)證B、無線入侵檢測和入侵防御系統(tǒng)C、使用加密哈希D、數(shù)據(jù)包頭和數(shù)據(jù)包尾答案：C135.A1-78某位參與過組織業(yè)務(wù)連續(xù)性計劃(BCP)設(shè)計的信息系統(tǒng)審計師被指派審計該計劃。信息系統(tǒng)審計師應(yīng)：A、拒絕接收任務(wù)B、完成審計任務(wù)后通知管理人員可能存在利益沖突C、開始執(zhí)行任務(wù)前通知P團隊可能存在利益沖突D、開始執(zhí)行任務(wù)前通知審計管理部門可能存在利益沖突答案：D136.管理層向各利益部門相關(guān)方發(fā)送IT控制措施的目的：A、關(guān)注IT治理B、IT控制成本透明化C、優(yōu)化項目組合管理D、優(yōu)化IT控制答案：D137.A5-264一家組織提出要建立無線局域網(wǎng)(WLAN)。管理層要求信息系統(tǒng)審計師為WLAN推薦安全控制措施。以下哪項是最適合的建議?A、保證無線接入點的物理安全，以防被篡改B、使用能明確識別組織的服務(wù)集標(biāo)識符C、使用有限等效加密機制加密流量D、實施簡單網(wǎng)絡(luò)管理協(xié)議，以便主動監(jiān)控答案：A138.A2-81采用自上而下的方法來制定運營政策有助于確保：A、這些政策在整個組織內(nèi)保持一致B、將這些政策作為風(fēng)險評估的一部分來實施C、遵守這些政策D、定期對這些政策進(jìn)行審查答案：A139.ROI分析在IT決策過程中的一個好處是提供A、分配間接成本的基礎(chǔ)B、更換設(shè)備的成本C、分配財務(wù)資源的基礎(chǔ)D、估計所有權(quán)的成本答案：C140.銀行的自動柜員機（ATM）是一種專門用于銷售點的終端，它可以：A、必須包括高層的邏輯和物理安全B、一般放置在入口稠密的場所以威懾盜竊與破壞C、只能用于支付現(xiàn)金和存款服務(wù)D、利用保護的通訊線進(jìn)行數(shù)據(jù)傳輸答案：A141.哪一項是確定RTO的主要因素?A、災(zāi)難的停機成本B、測試業(yè)務(wù)持續(xù)運營計劃的成本C、異地備份成本D、緊急應(yīng)對的響應(yīng)時間答案：A142.A3-111舊版工資應(yīng)用程序被遷移到了新的應(yīng)用程序中。以下哪個利益相關(guān)方應(yīng)在上線之前對數(shù)據(jù)的準(zhǔn)確性和完整性的審查和簽字負(fù)主要責(zé)任?A、信息系統(tǒng)審計師B、數(shù)據(jù)庫管理員C、項目經(jīng)理D、數(shù)據(jù)所有者答案：D143.IS審計師分析日志訪問的樣本。如果發(fā)現(xiàn)異常，將進(jìn)一步調(diào)查，將使用：A、發(fā)現(xiàn)抽樣B、判定抽樣C、變量抽樣D、分層抽樣答案：A144.A5-202在審查基于外部提供商的軟件即服務(wù)(SaaS)模式的云計算策略時，以下哪個選項是信息系統(tǒng)審計師應(yīng)關(guān)注的?A、必須執(zhí)行工作站升級B、軟件的長期購置成本偏高C、與提供商簽訂的合同中不包括現(xiàn)場技術(shù)支持D、提供商的事故處理流程定義不清答案：D145.A2-110在有效的信息安全治理的情況下，價值交付的主要目標(biāo)是：A、優(yōu)化安全方面的投資，以支持業(yè)務(wù)目標(biāo)的實現(xiàn)B、實施一套標(biāo)準(zhǔn)的安全實踐C、制定基于標(biāo)準(zhǔn)的解決方案D、建立一種持續(xù)改進(jìn)的文化氛圍答案：A146.IT災(zāi)難恢復(fù)是時間目標(biāo)（RTO）應(yīng)基于以下哪一項：A、最多可容許丟失的數(shù)據(jù)B、根據(jù)業(yè)務(wù)定義的系統(tǒng)關(guān)鍵性C、最多可容許的停機時間D、中斷的根本原因答案：C147.A3-110某組織正在實施企業(yè)資源規(guī)劃應(yīng)用程序。為確保項目按計劃進(jìn)行并取得預(yù)期結(jié)果，誰應(yīng)該對項目的監(jiān)督工作負(fù)主要責(zé)任?A、項目發(fā)起人系統(tǒng)B、開發(fā)項目團隊C、項目指導(dǎo)委員會D、用戶項目團隊答案：C148.審計師在抽樣中設(shè)定了較高的預(yù)期差錯率，這將導(dǎo)致A、更多的樣本B、更低的標(biāo)準(zhǔn)偏差答案：A149.下列哪一項能夠最有效地防止病毒進(jìn)入局域網(wǎng)中A、禁止用戶訪問互聯(lián)網(wǎng)B、定期掃描網(wǎng)絡(luò)上的硬盤C、禁用下載可執(zhí)行文件的能力D、在網(wǎng)絡(luò)服務(wù)器上安裝內(nèi)存駐留病毒掃描程序答案：D150.A5-65以下哪項加密算法選項會增加開銷/成本?A、使用對稱加密，而不是非對稱加密B、使用加長的非對稱式加密密鑰C、加密的是哈希而非消息D、使用密鑰答案：B151.內(nèi)部應(yīng)用程序開發(fā)與定制的最大風(fēng)險是以下哪一項?A、缺乏測試環(huán)境B、缺乏已開發(fā)程序的相關(guān)文檔C、缺乏質(zhì)量保證功能D、缺乏安全編碼專家的參與答案：C152.要實施IT治理框架，董事會需要做到?A、解決IT技術(shù)問題B、成立IT戰(zhàn)略委員會C、審批IT戰(zhàn)略D、了解所有IT項目發(fā)展答案：B153.計算機房中安裝了一套火警系統(tǒng)，火警控制面板的最有效放置是位于：A、距離UPS最近的機房中。B、系統(tǒng)管理員的辦公室中。C、距服務(wù)器最近的機房中。D、大廈保安人員值班室。答案：D154.A3-108受邀參加項目開發(fā)會議的信息系統(tǒng)審計師發(fā)現(xiàn)沒有對任何項目風(fēng)險進(jìn)行存檔記錄。當(dāng)該信息系統(tǒng)審計師提出這一問題時，項目經(jīng)理回答說，現(xiàn)在確定風(fēng)險尚早，而且如果風(fēng)險確實開始影響到項目，將會聘用一名風(fēng)險經(jīng)理。該信息系統(tǒng)審計師應(yīng)如何做出合適的回應(yīng)?A、強調(diào)在項目的此階段花費時間來考慮和記錄風(fēng)險，以及制訂應(yīng)急計劃的重要性B、接受項目經(jīng)理的觀點，因為項目經(jīng)理才是項目成果的負(fù)責(zé)人C、任命風(fēng)險經(jīng)理后主動提出與之合作D、通知項目經(jīng)理，信息系統(tǒng)審計師會在項目的需求定義階段技術(shù)后進(jìn)行風(fēng)險審查答案：A155.A4-230完成業(yè)務(wù)影響分析后,業(yè)務(wù)連續(xù)性計劃過程中的下一步是什么?A、測試和維護計劃B、制訂具體計劃C、制定恢復(fù)策略D、實施計劃答案：C156.A2-99對IT戰(zhàn)略計劃流程進(jìn)行審查時，信息系統(tǒng)審計師應(yīng)當(dāng)確保該計劃：A、融入了最新的技術(shù)B、解決了所需的運營控制問題C、明確表述了IT使命和愿景D、說明了項目管理實務(wù)答案：C157.審計師對團隊進(jìn)行特定項目通過特定控制進(jìn)行審計時，對于出現(xiàn)頻率較低的關(guān)鍵控制，以下哪種抽樣方式能發(fā)現(xiàn)欺詐行為有所幫助?A、停走抽樣B、發(fā)現(xiàn)抽樣C、貨幣單位抽樣D、隨機抽樣答案：B158.瘦客戶機的缺點：A、并發(fā)性B、可移植C、機密性D、可用性答案：A159.A4-4當(dāng)對某組織的桌面軟件合規(guī)性進(jìn)行審查時，安裝的軟件存在以下哪種情況時最需要信息系統(tǒng)審計師給予關(guān)注?A、已安裝，但沒有記錄到IT部門記錄中B、由沒有對其使用經(jīng)過適當(dāng)培訓(xùn)的用戶使用C、沒有列入批準(zhǔn)軟件標(biāo)準(zhǔn)的文檔中D、許可證將在15天后到期答案：C160.A2-106IT治理的最終目的是:A、促使IT得到最佳利用B、降低IT成本C、分散整個組織內(nèi)的IT資源D、集中控制IT答案：A161.A1-56選擇審計程序時，信息系統(tǒng)審計師運用自己的專業(yè)性判斷，以確保：A、收集充分的證據(jù)B、重大缺陷在合理期限內(nèi)得到糾正C、識別出所有嚴(yán)重缺漏D、將審計成本控制在最低水平答案：A162.A5-45某信息系統(tǒng)審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留。對該信息系統(tǒng)審計師而言，以下哪一項最值得關(guān)注?A、最終用戶不了解事故報告程序B、日志服務(wù)器不在單獨的網(wǎng)絡(luò)上C、未堅持進(jìn)行備份D、無監(jiān)管鏈政策答案：D163.A5-95在對財務(wù)系統(tǒng)執(zhí)行審計時，信息系統(tǒng)審計師懷疑發(fā)生了事故。信息系統(tǒng)審計師首先應(yīng)該做什么?A、要求關(guān)閉系統(tǒng)以保留證據(jù)B、向管理層報告事故C、要求立即暫?？梢少~戶D、調(diào)查事故的來源和性質(zhì)答案：B164.A1-150以下哪項是基于風(fēng)險的審計的主要目的?A、首先解決影響較大的領(lǐng)域B、有效分配審計資源C、首先解決實質(zhì)性領(lǐng)域D、優(yōu)先解決管理問題答案：C165.【重要題】某公司實施了虛擬化，但是對網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施沒有變動，最容易造成哪種風(fēng)險?A、IS檢測不了虛擬化到服務(wù)器的流量B、虛擬平臺的漏洞會影響多臺主機C、系統(tǒng)文檔未更新以反映環(huán)境的變更D、新的虛擬環(huán)境與原環(huán)境配置不同答案：B166.公司將敏感數(shù)據(jù)處理外包給第三方云服務(wù)提供商。當(dāng)發(fā)生安全事件，首先應(yīng)執(zhí)行（）。A、終止與供應(yīng)商的合同B、執(zhí)行事件響應(yīng)程序C、調(diào)閱近期供應(yīng)商的審計結(jié)果D、對事件進(jìn)行獨立調(diào)查答案：B167.決策支持系統(tǒng)(DSS)用于幫助高級管理人員：A、解決高度結(jié)構(gòu)化問題。B、合并決策模型與預(yù)定標(biāo)準(zhǔn)的使用。C、根據(jù)數(shù)據(jù)分析和互動模型做出決策。D、僅支持結(jié)構(gòu)化決策任務(wù)。答案：C168.A1-65編制審計報告時，信息系統(tǒng)審計師應(yīng)確保審計結(jié)果得到下列哪項支持?A、信息系統(tǒng)管理層的聲明B、其他審計師的工作底稿C、組織控制自我評估充分D、恰當(dāng)?shù)膶徲嬜C據(jù)答案：D169.在一項it開發(fā)項目中調(diào)整方案需要用到額外資金，這筆額外資金最適合由誰獲得?(項目因為新增需求，已經(jīng)確認(rèn)需要增加經(jīng)費，誰最應(yīng)該獲取該項費用?)A、審計師B、項目發(fā)起人C、董事會D、項目經(jīng)理答案：D170.A3-151以下哪一項是在系統(tǒng)開發(fā)項目中控制范圍偏離的最佳方法??A、定義對變更要求的處罰B、確立軟件基準(zhǔn)指標(biāo)C、采用矩陣式項目管理結(jié)構(gòu)D、識別項目的關(guān)鍵路徑答案：B171.A1-10某信息系統(tǒng)審計師正在審查某應(yīng)用程序的訪問權(quán)限，以確定最近添加的賬戶是否經(jīng)過適當(dāng)授權(quán)。這是以下哪一項的示例?A、變量抽樣B、實質(zhì)性測試C、符合性測試D、?！叱闃哟鸢福篊172.A3-129公司選擇使用快速應(yīng)用方法來實施新版企業(yè)資源規(guī)劃系統(tǒng)。因為內(nèi)部員工無法滿足需求，全部項目活動均已分配給承包的咨詢公司。為彌補資源的不足，信息系統(tǒng)審計師首先需要做什么?A、評估項目計劃和方法B、要求供應(yīng)商提供額外的外部員工C、建議此公司雇用更多的員工D、所有人力資源到位前暫停項目答案：A173.服務(wù)臺對于大多數(shù)問題都有已知解決方案，但發(fā)現(xiàn)重復(fù)反應(yīng)相同問題的現(xiàn)象，審計師應(yīng)該建議：A、升級事件系統(tǒng)B、服務(wù)臺外包C、加強用戶培訓(xùn)D、增加支持人員答案：C174.信息系統(tǒng)審計師認(rèn)為LAN訪問安全性令人滿意，審計經(jīng)理在復(fù)查此項工作時需要？A、驗證既定審計計劃的步驟是否都已經(jīng)執(zhí)行B、重新執(zhí)行某些審計步驟，以驗證工作質(zhì)量。C、評估審計師是否具有執(zhí)行此工作的相應(yīng)技能。D、驗證用戶管理部門是否同意審計發(fā)現(xiàn)答案：A175.信息系統(tǒng)審計師在審查某組織在各個辦公地點之間傳輸敏感數(shù)據(jù)的方法。以下哪一項會引起審計師最大的擔(dān)心？此方法完全依賴于使用：A、數(shù)字簽名。B、非對稱加密算法。C、對稱加密算法D、公共密鑰基礎(chǔ)結(jié)構(gòu)答案：A176.IS審計師需驗證應(yīng)用發(fā)布后是否有完成實施后審查流程的主要原因是什么？A、確保用戶經(jīng)過適當(dāng)培訓(xùn)B、驗證項目在預(yù)算范圍之內(nèi)C、核實項目達(dá)到預(yù)期D、確定是否已實施適當(dāng)?shù)目刂拼胧┐鸢福篊177.【重要題】評估應(yīng)用程序與應(yīng)用程序之間如何交換數(shù)據(jù)，應(yīng)該審查：A、對應(yīng)用程序的風(fēng)險評估結(jié)果B、ER實體關(guān)系圖C、服務(wù)器及其應(yīng)用程序列表D、配置管理數(shù)據(jù)庫答案：B178.A1-85在對一家小型銀行進(jìn)行合規(guī)性審計時，信息系統(tǒng)審計師發(fā)現(xiàn)，IT職能和會計職能是由財務(wù)系統(tǒng)的同一個用戶執(zhí)行的。此用戶的主管執(zhí)行的以下哪一項審查代表最佳的補償性控制?A、顯示交易時間和時間的審計軌跡B、含有每筆交易總數(shù)量和總金額(美元)的每日報表C、用戶賬戶管理D、顯示各項交易的計算機日志文件答案：D179.軟件使用可持續(xù)時間應(yīng)在哪個階段確定？A、設(shè)計階段B、用戶測試之后C、提供給運維之前D、實施后答案：A180.A3-7以下哪種軟件應(yīng)用程序測試被視為測試的最終階段，并且通常包括開發(fā)團隊以外的用戶參與?A、lph測試B、白箱測試C、回歸測試D、et測試答案：D181.以下哪一項是用于確定企業(yè)是否已充分評估與潛在自然災(zāi)害相關(guān)風(fēng)險的最佳信息源?A、審計風(fēng)險評估B、業(yè)務(wù)連續(xù)性計劃(P)C、業(yè)務(wù)影響分析(I)D、災(zāi)難恢復(fù)計劃答案：B182.在審計防火墻配置時，信息系統(tǒng)審計師發(fā)現(xiàn)防火墻已集成到一個新系統(tǒng)中，該系統(tǒng)同時提供防火墻和入侵檢測功能。信息系統(tǒng)審計師應(yīng)該：A、評估當(dāng)前工作人員是否能夠支持新系統(tǒng)。B、認(rèn)為跟進(jìn)審計不必要，因為不再使用防火墻。C、評估集成系統(tǒng)是否解決已識別的風(fēng)險。D、審查新系統(tǒng)與現(xiàn)有網(wǎng)絡(luò)控制的兼容性。答案：C183.A4-176在某家運營政府項目的全國性公司進(jìn)行信息系統(tǒng)合規(guī)性審計期間，信息系統(tǒng)審計師正在評估其互聯(lián)網(wǎng)服務(wù)提供商(ISP)所提供的服務(wù)。下面哪個選項最重要?A、審查需求建議書B、審查ISP生成的月度績效報告C、審查服務(wù)水平協(xié)議D、調(diào)查該ISP的其他客戶答案：C184.【重要題】評估IT實際使用資源使用和計劃資源分配的一致性的技術(shù)是什么?A、掙得值分析(EV)B、投資回報分析(ROI)C、甘特圖D、關(guān)鍵路徑分析(P)答案：A185.A4-55IT經(jīng)理對技術(shù)能力進(jìn)行監(jiān)控的主要好處是：A、識別新硬件和存儲購置的需要B、根據(jù)使用量確定未來的能力需求C、保證服務(wù)水平要求得到滿足D、保證系統(tǒng)以最佳能力運行答案：C186.A1-47制訂基于風(fēng)險的審計策略時，信息系統(tǒng)審計師應(yīng)執(zhí)行風(fēng)險評估，以確保：A、降低風(fēng)險所需的控制已就位B、識別出漏洞和威脅C、將審計風(fēng)險考慮在內(nèi)D、差距分析得當(dāng)答案：B187.A1-128在應(yīng)用程序軟件審查過程中，某信息系統(tǒng)審計師在超出審計范圍的相關(guān)數(shù)據(jù)庫環(huán)境中發(fā)現(xiàn)了細(xì)小的漏洞。最佳選項是：A、在審查范圍內(nèi)包括審查數(shù)據(jù)庫控制B、記錄下來供日后審查C、與數(shù)據(jù)庫管理員共同解決問題D、如實報告該漏洞答案：D188.A1-30在風(fēng)險分析期間，信息系統(tǒng)審計師已確定威脅和潛在影響。接下來，該信息系統(tǒng)審計師應(yīng)該：A、確保風(fēng)險評估與管理層的風(fēng)險評估流程相一致B、確定信息資產(chǎn)和底層系統(tǒng)C、對管理層披露威脅和影響D、確定并評估現(xiàn)有控制答案：D189.在擬定基于風(fēng)險的審計計劃時，以下哪一項是最好的信息來源？A、流程所有者識別關(guān)鍵控制。B、系統(tǒng)監(jiān)管人識別漏洞。C、審計團隊成員了解以前的審計結(jié)果。D、高級管理層識別關(guān)鍵業(yè)務(wù)流程。答案：D190.以下哪項是檢測重復(fù)付款最有效的方法?A、加密和解密信息摘要B、評估付款歷史的合理性和審批情況C、查看每個交易的序列號和時間戳D、使用加密哈希算法求和管理風(fēng)險的需要？答案：C191.A4-29某組織使用軟件即服務(wù)(SaaS)操作模式實施了在線客戶服務(wù)臺應(yīng)用程序。當(dāng)涉及可用性時，信息系統(tǒng)審計師需要建議最佳的控制措施，以監(jiān)控與SaaS供應(yīng)商簽訂該的服務(wù)水平協(xié)議(SLA)。以下哪個選項是信息系統(tǒng)審計師可提供的最佳建議?A、要求SS供應(yīng)商就應(yīng)用程序正常運行時間提供每周報告B、實施在線輪詢工具，以監(jiān)控應(yīng)用程序并記錄中斷C、記錄用戶報告的全部應(yīng)用程序中斷，并每周加總中斷時間D、與一家獨立的第三方簽約，為應(yīng)用程序正常運行時間提供周報答案：B192.A3-12在實施后審查期間，應(yīng)執(zhí)行以下哪項活動?A、用戶驗收測試B、投資回報率分析C、激活審計軌跡D、更新企業(yè)架構(gòu)圖的狀態(tài)答案：B193.A4-124為協(xié)助記錄軟件發(fā)布的基準(zhǔn)指標(biāo)，信息系統(tǒng)審計師應(yīng)建議執(zhí)行以下哪個流程?A、變更管理B、備份和恢復(fù)C、事故管理D、配置管理答案：D194.A5-73以下哪一項預(yù)防性控制最有助于確保Web應(yīng)用程序安全?A、密碼掩碼B、培訓(xùn)開發(fā)人員C、使用加密D、漏洞測試答案：B195.A2-24以下哪個選項是IT督導(dǎo)委員會的職能?A、監(jiān)控由供應(yīng)商控制的變更控制和測試B、確保信息處理環(huán)境中的職責(zé)分離C、審批和監(jiān)控IT計劃狀態(tài)及預(yù)算D、在IT部門與最終用戶之間協(xié)調(diào)溝通答案：C196.A4-58為信息處理場所制定恢復(fù)流程的最佳依據(jù)是：A、恢復(fù)時間目標(biāo)B、恢復(fù)點目標(biāo)C、最大可容許的運行中斷D、信息安全政策答案：A197.A5-23審查局域網(wǎng)的實施時，信息系統(tǒng)審計師應(yīng)首先審查：A、節(jié)點列表B、驗收測試報告C、網(wǎng)絡(luò)圖D、用戶列表答案：C198.A5-213某數(shù)據(jù)中心有一個證章門禁系統(tǒng)。以下哪項對于保護該中心的計算資產(chǎn)最重要?A、在可察覺到破壞行為的位置安裝讀卡器B、經(jīng)常對控制證章系統(tǒng)的計算機進(jìn)行備份C、遵循立即停用已丟失或被盜證章的流程D、記錄所有證章進(jìn)入嘗試，無論是否成功答案：C199.移動磁介質(zhì)設(shè)備要丟棄，怎么保證安全?A、多次覆寫B(tài)、清除數(shù)據(jù)軟件清除數(shù)據(jù)C、磁化該移動設(shè)備D、格式化E、（沒說磁介質(zhì)則選A)答案：C200.當(dāng)獲得高層管理人員對災(zāi)難恢復(fù)計劃的支持和制定計劃所需資源的授權(quán)后，選擇起草計劃的人應(yīng)當(dāng)具有以下哪一種能力：A、具有與信息系統(tǒng)相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫和通訊的技術(shù)知識B、具有在相同行業(yè)中的客戶咨詢經(jīng)驗C、具有組織的全局觀點和認(rèn)識所有災(zāi)難后果的能力D、具有硬件和軟件供貨商咨詢背景答案：C201.如何充分驗證定期備份的及時性與有效性？A、訪談關(guān)鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運行的執(zhí)行情況答案：B202.一家擁有300家零售店鋪的公司正在部署分布式新系統(tǒng)，下面哪一種上線計劃比較合適？A、在某個典型店鋪實施上線B、300年店鋪全部并行上線C、挑選一些具有特點的店鋪并行上線D、分階段上線答案：C203.A1-84某信息系統(tǒng)審計師正在測試某大型財務(wù)系統(tǒng)的員工訪問權(quán)限，并且該信息系統(tǒng)審計師從受審方提供的當(dāng)前員工名單中選擇了一份樣本。以下哪項證據(jù)最可靠地支持該項測試?A、系統(tǒng)管理員提供的電子表格B、員工的經(jīng)理簽署的人力資源訪問授權(quán)文檔C、系統(tǒng)生成的包含訪問級別的賬戶列表D、有系統(tǒng)管理員在場的情況下進(jìn)行的現(xiàn)場觀察答案：C204.對預(yù)算有限的公司，解決內(nèi)部職責(zé)分離問題的最合適的措施是：A、定期實施輪崗B、招募臨時員工C、進(jìn)行獨立審計D、實施補償性控制答案：D205.某公司已做好準(zhǔn)備實施一個新的包括多個模塊的IT解決方案。最后一個模塊用于將處理后的數(shù)據(jù)更新到數(shù)據(jù)庫內(nèi)。以下哪一項發(fā)現(xiàn)將是審計師的最大顧慮?A、沒有正式的變更審批流程B、使用弱加密C、缺乏數(shù)據(jù)字典D、缺乏輸入驗證答案：D206.A3-133對業(yè)務(wù)流程自動化項目進(jìn)行實施后審查的主要目標(biāo)是：A、確保項目滿足預(yù)期的業(yè)務(wù)要求B、評估控制的充分性C、確認(rèn)符合技術(shù)標(biāo)準(zhǔn)D、確認(rèn)符合法規(guī)要求答案：A207.下面哪一項措施是防止非授權(quán)登錄最可靠的方法？A、加強現(xiàn)有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計算機D、安全自動密碼生成器答案：B208.A4-257要對訪問敏感信息的數(shù)據(jù)庫用戶實施問責(zé)制，以下哪項控制措施最有效?A、實施日志管理流程B、實施雙因素認(rèn)證C、使用表視圖訪問敏感數(shù)據(jù)D、將數(shù)據(jù)庫服務(wù)器與應(yīng)用程序服務(wù)器分開答案：A209.A5-9實施以下哪一項可以最有效地防止未經(jīng)授權(quán)訪問Web服務(wù)器系統(tǒng)管理賬戶?A、在服務(wù)器上安裝主機入侵檢測軟件B、密碼到期和鎖定策略C、密碼復(fù)雜性規(guī)則D、雙因素認(rèn)證答案：D210.A5-279在審查網(wǎng)絡(luò)設(shè)備的配置時，信息系統(tǒng)審計師應(yīng)該首先確定：A、部署的網(wǎng)絡(luò)設(shè)備類型的良好實踐B、是否缺少網(wǎng)絡(luò)組件C、網(wǎng)絡(luò)設(shè)備在拓?fù)渲械闹匾訢、網(wǎng)絡(luò)子組件的使用是否適當(dāng)答案：C211.A2-39為了支持組織的目標(biāo),IT部門應(yīng)具有：A、低成本理念B、長期和短期計劃C、領(lǐng)先的技術(shù)D、采購新硬件和軟件的計劃答案：B212.數(shù)據(jù)庫管理員發(fā)現(xiàn)一些表的性能問題可以通過反向規(guī)格化（denormalization）來解決。這種情況下會增加哪像風(fēng)險()?A、同時并行訪問B、死鎖C、非授權(quán)的數(shù)據(jù)訪問D、數(shù)據(jù)完整性的丟失答案：D213.在跟蹤審計過程中發(fā)現(xiàn)之前的審計報告，存在問題，首選需要報告給：A、業(yè)務(wù)管理部門B、審計項目經(jīng)理C、項目經(jīng)理D、高級管理層答案：B214.【重要題】代理服務(wù)商反饋通過瘦客服端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下那項措施?A、申請?zhí)鎿Q為胖客戶端B、升級客戶端硬件配置C、升級客戶端程序以提供更詳細(xì)的錯誤信息D、安裝中間件用來增強客戶端和系統(tǒng)的通信答案：D215.ERP系統(tǒng)中的三項匹配機制，審計師應(yīng)審查以下哪一項？A、銀行方（記不清，可排除）B、交貨通知C、采購訂單D、采購申請單答案：C216.以下哪一項是表明高級管理層審查了IT表現(xiàn)的最佳證據(jù)？A、執(zhí)行管理委員會會議紀(jì)要B、IT戰(zhàn)術(shù)規(guī)劃C、平衡積分卡D、關(guān)鍵性IT表現(xiàn)指標(biāo)答案：C217.防止同時使用軟件許可的最佳措施A、用戶自律B、供應(yīng)商實施突擊審計C、系統(tǒng)管理員實施監(jiān)控D、計量軟件答案：D218.A4-192以下哪項能夠最好地緩解含有不可替代信息的備份介質(zhì)在運輸途中丟失或被盜的風(fēng)險?A、確保介質(zhì)加密B、保留副本C、維護監(jiān)管鏈D、確保相關(guān)人員受到約束答案：B219.【重要題】以下哪項是云服務(wù)提供商實施了安全政策程序的最佳證據(jù)?A、對網(wǎng)絡(luò)安全配置參數(shù)的審查B、第三方提供的審計報告C、其他客戶對服務(wù)商的評價D、服務(wù)提供商安全管理層提供的安全策略答案：B220.【重要題】在下一年選擇進(jìn)行哪些信息系統(tǒng)審計的主要依據(jù)是什么?A、上一年的審計發(fā)現(xiàn)結(jié)果B、高層管理層的要求C、組織風(fēng)險評估D、以前的審計范圍答案：C221.A3-34推薦的交易處理應(yīng)用程序?qū)⒂性S多數(shù)據(jù)捕獲來源以及書面和電子形式的輸出。為了確保交易不在處理過程中丟失，信息系統(tǒng)審計師應(yīng)建議執(zhí)行：A、驗證控制B、內(nèi)部可信度檢查C、員工控制流程D、自動系統(tǒng)均衡答案：D222.A4-244使用Web服務(wù)在兩個系統(tǒng)之間進(jìn)行信息交換的最大優(yōu)點是：A、通信安全B、性能得到改善C、連接效率高D、存檔記錄功能得到加強答案：C223.對在線安全教育的效果，最關(guān)注的應(yīng)該時A、只對新員工B、沒有時間安排C、沒有結(jié)果反饋的指標(biāo)D、沒有立即執(zhí)行答案：C224.A4-234業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃的主要目標(biāo)是：A、保護關(guān)鍵的信息系統(tǒng)資產(chǎn)B、為連續(xù)運營做好準(zhǔn)備C、盡量減少組織損失D、保護人身安全答案：D225.A4-20某供應(yīng)商過去幾個月發(fā)布了多個重要的安全修補程序，因此對管理員及時測試和部署修訂程序的能力帶來壓力。管理員已詢問能夠減少對修補程序的測試，該組織應(yīng)當(dāng)采取哪種措施?A、繼續(xù)堅持當(dāng)前測試和應(yīng)用修補程序的流程B、減少測試并確保制訂充分的逆向恢復(fù)計劃C、推遲安裝修補程序，直至測試資源可用D、依靠供應(yīng)商測試修補程序答案：A226.某IS審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留。對該IS審計師而言，以下哪一項最值得關(guān)注？A、最終用戶不知曉事故報告程序。B、日志服務(wù)器不在單獨的網(wǎng)絡(luò)上。C、未堅持進(jìn)行備份。D、無監(jiān)管鏈政策。答案：D227.A1-26發(fā)現(xiàn)共享用戶賬戶時，信息系統(tǒng)審計師要采取的最適當(dāng)措施是：A、向?qū)徲嬑瘑T會告知潛在的問題B、審查有問題I的審計日志C、記錄發(fā)現(xiàn)并說明使用共享I的風(fēng)險D、要求從系統(tǒng)中刪除這些I答案：C228.A5-98在通信系統(tǒng)的審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)傳送至/來自遠(yuǎn)程站點的數(shù)據(jù)被截獲的風(fēng)險非常高。降低此風(fēng)險最有效的控制為：A、加密B、回叫調(diào)制解調(diào)器C、消息驗證D、專用租用線路答案：A229.在評估企業(yè)的漏洞掃描計劃的有效性時，以下哪項是信息系統(tǒng)審計師的最大顧慮？A、執(zhí)行漏洞掃描的頻率低于企業(yè)漏洞掃描計劃的要求B、結(jié)果沒有報告給有權(quán)確保解決相關(guān)漏洞的關(guān)系人C、未正式書面記錄針對已識別漏洞所采取的步驟D、結(jié)果沒有得到高級管理層的批準(zhǔn)答案：B230.抽樣方法受以下哪種風(fēng)險的影響?A、控制風(fēng)險B、固有風(fēng)險C、審計風(fēng)險D、檢測風(fēng)險答案：A231.在數(shù)據(jù)庫系統(tǒng)中，正規(guī)化的用途是?A、消除死鎖B、減少數(shù)據(jù)冗余。C、縮短數(shù)據(jù)訪問時間。D、使數(shù)據(jù)標(biāo)準(zhǔn)化。答案：B232.企業(yè)指派了由三名營銷部門員工組成的小組使用共享的營銷部門帳戶，對公司的社交媒體網(wǎng)頁進(jìn)行每日更新。最重大的風(fēng)險是：A、發(fā)布未經(jīng)批準(zhǔn)的企業(yè)信息B、并發(fā)登錄造成對網(wǎng)頁的更新沖突C、缺乏協(xié)調(diào)導(dǎo)致冗余更新D、缺乏對更新的問責(zé)制答案：D233.某項目在申請國際質(zhì)量保證認(rèn)證，哪一項可以證明達(dá)到了質(zhì)量保證標(biāo)準(zhǔn)A、可衡量的流程B、組織的風(fēng)險減小C、增強了法律和合規(guī)性D、質(zhì)量保證文檔答案：A234.如何確保審計師在控制自我評估中的獨立性?A、設(shè)計CSA調(diào)查問卷B、參與其中C、監(jiān)督并提供整改意見D、評估CSA調(diào)查問卷答案：C235.信息系統(tǒng)審計師正計劃對企業(yè)的風(fēng)險管理實踐進(jìn)行審計。以下哪一項提供有關(guān)風(fēng)險偏好的最有用信息？A、之前的審計報告B、風(fēng)險政策C、風(fēng)險評估D、管理層的主張答案：D236.A4-42在評估對密碼管理的程序控制時，信息系統(tǒng)審計師最有可能參考下列哪一項?A、尺寸檢查B、散列總計C、有效性檢查D、字段檢查答案：C237.A2-74以下哪一項是IT績效衡量流程的主要目標(biāo)?A、將錯誤減至最少B、收集績效數(shù)據(jù)C、建立績效基準(zhǔn)D、優(yōu)化績效答案：D238.A5-76使用數(shù)字簽名的主要原因是確保數(shù)據(jù)的：A、機密性B、完整性C、可用性D、正確性答案：B239.A3-29用于檢測來自用戶工作站的未授權(quán)輸入的信息最好通過哪種方式提供?A、控制臺日志打印輸出B、交易日志C、自動暫記文件列表D、用戶錯誤報告答案：B240.A5-260以下哪項是對移動設(shè)備進(jìn)行加密的最佳方法?A、橢圓曲線加密算法B、數(shù)據(jù)加密標(biāo)準(zhǔn)C、高級加密標(biāo)準(zhǔn)D、lowfish算法答案：A241.以下哪項是檢測重復(fù)付款最有效的方法?A、加密和解密信息摘要B、評估付款歷史的合理性和審批情況C、查看每個交易的序列號和時間戳D、使用加密哈希算法答案：C242.入侵檢測系統(tǒng)(IDS)可以起到哪些作用?A、代替防火墻B、調(diào)查網(wǎng)絡(luò)內(nèi)部攻擊C、彌補身份驗證機制的不足D、提供增強安全基礎(chǔ)設(shè)施的保障信息答案：D243.以下哪一項控制措施能夠最有效地確保董事會收到有關(guān)IT的足夠信息？A、CIO應(yīng)要求向董事會個別成員作簡短陳述。B、CIO及時報告績效和糾正措施。C、董事會成員熟悉IT并就IT問題咨詢CIO。D、董事會、CIO及技術(shù)委員會之間召開會議。答案：D244.哪一項可以證明IT內(nèi)部控制環(huán)境的成熟度水平最高A、控制的運作取決于員工的意識B、在管理層的要求下評估IT操作效率C、使用正式記錄的控制流程并定期實施評估D、充分記錄控制并及時發(fā)現(xiàn)控制異常答案：C245.一個做采購和分銷業(yè)務(wù)的公司，計劃采用集中網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)，最可能是基于什么因素考慮：A、增加數(shù)據(jù)冗余度B、消除數(shù)據(jù)庫正規(guī)化限制C、保證數(shù)據(jù)庫完整性D、便于數(shù)據(jù)統(tǒng)計答案：C246.企業(yè)要參換當(dāng)前的會計系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數(shù)據(jù)完整性?A、平行實施B、應(yīng)急回退計劃C、試點實施D、功能集成測試答案：A247.以下哪項最能確保信息資產(chǎn)的機密性？A、按照“按需分配”的訪問控制原則B、采用雙因素身份認(rèn)證控制C、人員安全意識培訓(xùn)D、為所有用戶配置只讀權(quán)限答案：A248.A5-188為保護網(wǎng)絡(luò)電話基礎(chǔ)設(shè)施免受拒絕服務(wù)攻擊，最重要的是保護：A、訪問控制服務(wù)器B、會話邊界控制器C、主干網(wǎng)關(guān)D、入侵檢測系統(tǒng)答案：B249.某組織實施了一個分布式會計系統(tǒng)，IS審計師正在進(jìn)行實施后審查，以提供數(shù)據(jù)完整性控制的鑒證。該審計師應(yīng)當(dāng)首先執(zhí)行以下哪一項？A、審查用戶訪問。B、評估變更請求流程。C、評估對賬控制。D、審查數(shù)據(jù)流程圖。答案：D250.哪一項提供IT在一家企業(yè)內(nèi)的作用的最全面描述A、IT工作說明B、IT章程C、IT組織結(jié)構(gòu)圖D、可排除答案：B251.【重要題】下哪一項是啟用數(shù)據(jù)庫審計軌跡的主要益處?A、可以實現(xiàn)問責(zé)制B、可以實現(xiàn)職責(zé)分離C、可以調(diào)查交易過程D、可以提高可用性答案：A252.A5-24信息系統(tǒng)審計師發(fā)現(xiàn)業(yè)務(wù)用戶的密碼控制配置得比IT開發(fā)人員更嚴(yán)格。信息系統(tǒng)審計師最應(yīng)采取以下哪項行動?A、確定是否違反政策并進(jìn)行記錄B、記錄觀察到的異常情況C、建議全部使用相同的密碼配置設(shè)置D、建議定期審查IT開發(fā)人員訪問日志答案：A253.哪項是數(shù)字簽名的特征A、受接收方控制B、在數(shù)據(jù)變更后經(jīng)過認(rèn)證C、對消息而言是唯一的D、有可再生的哈希算法計師應(yīng)該答案：C254.把信用卡號傳輸?shù)较乱患壊僮鲿r，如何保護安全性A、隱藏信用卡號信息B、使用強加密手段C、截斷信用卡卡號D、使用加密的單向哈希答案：C255.A4-26信息系統(tǒng)審計師在評估可用性網(wǎng)絡(luò)的恢復(fù)力時，最應(yīng)該關(guān)注：A、是否在地理上分散安裝網(wǎng)絡(luò)B、服務(wù)器匯集在同一站點中C、熱備援中心是否已準(zhǔn)備好運行D、該網(wǎng)絡(luò)是否實施了多路由選擇功能答案：B256.對于執(zhí)行重大系統(tǒng)升級的實施后分析，以下哪一項應(yīng)該是信息系統(tǒng)審計師的最大擔(dān)憂A、開發(fā)小組將變更部署到生產(chǎn)環(huán)境中B、開發(fā)人員可以訪問測試環(huán)境C、變更批準(zhǔn)未被正式記錄D、開發(fā)小組可以訪問對象代碼答案：A257.A1-98信息系統(tǒng)審計師已確定要審計的業(yè)務(wù)流程。信息系統(tǒng)審計師接下來應(yīng)確定：A、最寶貴的信息資產(chǎn)B、要部署的信息系統(tǒng)審計資源C、要約談的受審方人員D、控制目標(biāo)和活動答案：D258.A4-242以下哪個選項對于保證數(shù)據(jù)倉庫中的數(shù)據(jù)質(zhì)量最關(guān)鍵?A、源數(shù)據(jù)的準(zhǔn)確性B、數(shù)據(jù)源的可信度C、提取過程的準(zhǔn)確性D、數(shù)據(jù)轉(zhuǎn)換的準(zhǔn)確性答案：A259.A3-39以下哪種風(fēng)險可能是由軟件項目的基準(zhǔn)指標(biāo)不充分引起的?A、簽字延遲B、違反軟件完整性C、范圍偏離D、控制不充分答案：C260.A1-94確定審計發(fā)現(xiàn)后，信息系統(tǒng)審計師應(yīng)首先：A、就審計發(fā)現(xiàn)達(dá)成一致意見B、確定審計發(fā)現(xiàn)的緩解措施C、通知高級管理層審計發(fā)現(xiàn)D、獲得補救措施截止日期以結(jié)束審計發(fā)現(xiàn)答案：A261.A2-117開發(fā)安全架構(gòu)時，首先應(yīng)該執(zhí)行下列步驟中的哪個步驟?A、制定安全流程B、制定安全政策C、明確訪問控制方法D、定義角色和責(zé)任答案：B262.企業(yè)的事故管理程序應(yīng)包括事故后審查的主要原因是?A、在未遵循程序時采取適當(dāng)行動B、從發(fā)現(xiàn)的弱點中吸取經(jīng)驗教訓(xùn)以改進(jìn)程序C、為可能的訴訟收集證據(jù)D、實現(xiàn)對高管和審計委員會更有效的報告答案：B263.某IS審計師正在評估某組織新制訂的一項IT政策。該IS審計師認(rèn)為以下哪一項因素對促進(jìn)政策實施后的合規(guī)性最重要？A、促成合規(guī)性的現(xiàn)有IT機制B、政策與業(yè)務(wù)戰(zhàn)略相一致C、當(dāng)前和將來的技術(shù)措施D、政策中定義的監(jiān)管合規(guī)性目標(biāo)答案：A264.A3-146以下哪一項是新開發(fā)系統(tǒng)將在投產(chǎn)后被使用的最佳指標(biāo)?A、回歸測試B、用戶驗收測試C、社交性測試D、并行測試答案：B265.A4-202進(jìn)行防災(zāi)規(guī)劃時,以下哪一項最有助于按優(yōu)先順序安排IT資產(chǎn)的恢復(fù)?A、事故響應(yīng)計劃B、業(yè)務(wù)影響分析C、威脅與分析分析D、恢復(fù)時間目標(biāo)答案：B266.【重要題】最大程度降低電子商務(wù)環(huán)境中通信故障風(fēng)險的最好方法是：A、網(wǎng)絡(luò)傳輸中的K確認(rèn)機制B、數(shù)據(jù)包過濾防火墻來重新路由信息C、多重路由或者備選路由D、壓縮網(wǎng)絡(luò)包答案：C267.測試BCP的主要原因在于確保：A、能夠恢復(fù)關(guān)鍵數(shù)據(jù)。B、熟悉恢復(fù)程序，盡可能減少實際實施中的緊張情緒。C、樹立自身災(zāi)難期間的信心。D、確保災(zāi)難恢復(fù)小組成員得到培訓(xùn)。答案：A268.A5-183安裝入侵檢測系統(tǒng)時,以下哪項最重要?A、在網(wǎng)絡(luò)架構(gòu)中對其進(jìn)行正確擺位B、防止拒絕服務(wù)攻擊C、識別需要隔離的消息D、最大限度地減少拒絕錯誤答案：A269.為了提升大型企業(yè)的信息安全培訓(xùn)意識，以下哪項是最好的措施?A、確保制定培訓(xùn)計劃B、培訓(xùn)需要安排考試C、所有員工使用同一份課程進(jìn)行培訓(xùn)D、分角色等級分別設(shè)計課程答案：D270.A4-142較低的恢復(fù)時間目標(biāo)會導(dǎo)致?A、較高的容災(zāi)能力B、較高的成本C、更廣泛的中斷時限D(zhuǎn)、更多的容許的數(shù)據(jù)丟失答案：B271.以下哪一項能夠在實施之前最可以確定滿足業(yè)務(wù)需要?A、可行性分析B、UTC、實施后審查)D、實施計劃分析答案：B272.組織使用生產(chǎn)系統(tǒng)的交易信息，最大的風(fēng)險是：A、對信息未進(jìn)行脫敏處理B、對生產(chǎn)系統(tǒng)的交易信息修改進(jìn)行測試C、不能測試全部功能D、交易信息中有大量相似數(shù)據(jù)答案：A273.交易處理系統(tǒng)與總分類帳彼此交互，審計師發(fā)現(xiàn)某些交易在總賬中重復(fù)記錄，管理層聲明