PAGEPAGE1一、單選題1.IS審計師正在審查某組織的人力資源（HR)數(shù)據(jù)庫的實施情況。IS審計師發(fā)現(xiàn):為獲得高可用性而群集數(shù)據(jù)庫服務(wù)器,所有默認(rèn)數(shù)據(jù)庫帳戶己刪除，并且已保留數(shù)據(jù)庫審計日志并每周審查一次。為確保適當(dāng)保護(hù)數(shù)據(jù)庫的安全，IS審計師還應(yīng)檢查哪些其他領(lǐng)域？A、限制數(shù)據(jù)庫管理員訪問HR數(shù)據(jù)。B、數(shù)據(jù)庫日志經(jīng)過加密。C、數(shù)據(jù)庫存儲的程序經(jīng)過加密。D、數(shù)據(jù)庫初始化參數(shù)適當(dāng)。答案：D2.審計師通過以下哪項可以得出有效的證據(jù)，用于驗證操作人員的控制執(zhí)行的有效性。A、與管理層進(jìn)行面談B、觀察操作人員執(zhí)行流程C、測試用戶的訪問權(quán)限D(zhuǎn)、訪談操作人員答案：B3.網(wǎng)絡(luò)遭受病毒風(fēng)暴襲擊，已經(jīng)通知了事件響應(yīng)團(tuán)隊，下一步應(yīng)該如何處理?A、將事件記錄下來B、集中精力將損害限制在有限范圍內(nèi)C、刪除并修復(fù)受影響的系統(tǒng)D、檢查受損系統(tǒng)的功能是否完好答案：B4.審計師發(fā)現(xiàn)數(shù)據(jù)庫的數(shù)據(jù)與財務(wù)系統(tǒng)上顯示的財務(wù)數(shù)據(jù)并不一致，以下哪一項是最大的風(fēng)險A、可能根據(jù)錯誤的數(shù)據(jù)做出錯誤的決定B、可排除C、報告無法按時出具D、可能存在未被發(fā)現(xiàn)的欺詐行為答案：D5.A4-26信息系統(tǒng)審計師在評估可用性網(wǎng)絡(luò)的恢復(fù)力時，最應(yīng)該關(guān)注：A、是否在地理上分散安裝網(wǎng)絡(luò)B、服務(wù)器匯集在同一站點中C、熱備援中心是否已準(zhǔn)備好運(yùn)行D、該網(wǎng)絡(luò)是否實施了多路由選擇功能答案：B6.軟件使用可持續(xù)時間應(yīng)在哪個階段確定？A、設(shè)計階段B、用戶測試之后C、提供給運(yùn)維之前D、實施后答案：A7.以下哪項會通過將自身追加到文件中來防御病毒？A、行為攔截程序B、循環(huán)冗余校驗（CRC）C、免疫D、主動監(jiān)控程序答案：C8.A1-43當(dāng)評估組織的IT戰(zhàn)略時,信息系統(tǒng)審計師會認(rèn)為以下哪一選項最重要?A、已得到直線管理層的批準(zhǔn)B、與IT部門的初步預(yù)算相同C、符合采購流程D、支持組織的業(yè)務(wù)目標(biāo)答案：D9.在應(yīng)用程序軟件審查過程中，某IS審計師在超出審計范圍的相關(guān)數(shù)據(jù)庫環(huán)境中發(fā)現(xiàn)了細(xì)小的漏洞。最佳選項是：A、包括審查范圍內(nèi)的數(shù)據(jù)庫控制。B、記錄下來供日后審查。C、與數(shù)據(jù)庫管理員共同解決問題。D、如實報告漏洞。答案：D10.A5-11信息系統(tǒng)審計師正在審查某組織的人力資源(HR)數(shù)據(jù)庫的實施情況。信息系統(tǒng)審計師發(fā)現(xiàn)：為獲得高使用性而群集數(shù)據(jù)庫服務(wù)器，所有默認(rèn)數(shù)據(jù)庫賬戶已刪除，并且已保留數(shù)據(jù)庫審計日志，每周審查一次。為確保數(shù)據(jù)庫的安全，信息系統(tǒng)審計師還應(yīng)檢查哪些其他領(lǐng)域?A、限制數(shù)據(jù)庫管理員訪問HR數(shù)據(jù)。B、數(shù)據(jù)庫日志經(jīng)過加密C、數(shù)據(jù)庫存儲的程序經(jīng)過加密D、數(shù)據(jù)庫初始化參數(shù)適當(dāng)答案：D11.A4-211某信息系統(tǒng)審計師正在對某數(shù)據(jù)中心的災(zāi)難恢復(fù)程序進(jìn)行審查。表明該程序符合要求的最佳指標(biāo)是以下哪一項?A、記錄在案的程序經(jīng)過管理層批準(zhǔn)B、程序經(jīng)過審查，并與行業(yè)良好實踐進(jìn)行過比較C、用該程序進(jìn)行過桌面演練D、恢復(fù)團(tuán)隊及其職責(zé)已記錄在案答案：C12.為防止病毒引入網(wǎng)絡(luò)。下列哪一項措施最有效？A、定期更新補(bǔ)丁B、在網(wǎng)絡(luò)入口安裝防毒墻C、每日開機(jī)之前掃描所有文件D、在服務(wù)器上安裝病毒檢測程序答案：B13.一家企業(yè)遇到了由于默認(rèn)用戶帳戶未從其中一臺服務(wù)器中刪除而導(dǎo)致的域名系統(tǒng)(DNS)攻擊事故。以下哪一項合是緩解該DNS攻擊的風(fēng)險的最佳方式?A、遵循批準(zhǔn)的際準(zhǔn)配置來配置這些服務(wù)器B、讓第三方配置虛擬服務(wù)器C、配置入侵防御系統(tǒng)以識別NS攻擊D、要求所有員工參加安全配置管理的培訓(xùn)答案：A14.公司將其應(yīng)用程序遷移到私有云中的laaS平臺。誰將負(fù)責(zé)所部署應(yīng)用程序所在操作系統(tǒng)的安全配置?A、云提供商B、操作系統(tǒng)供貨商C、公司D、可排除答案：C15.A4-8一位信息系統(tǒng)審計師正在審查某組織的數(shù)據(jù)庫安全性。要強(qiáng)化數(shù)據(jù)庫，應(yīng)首先考慮以下哪一項?A、變更默認(rèn)配置B、使數(shù)據(jù)庫中的所有表非規(guī)范化C、對存儲過程和觸發(fā)器進(jìn)行加密D、變更數(shù)據(jù)庫服務(wù)器使用的服務(wù)端口答案：A16.可用性最好(容錯率最高)的網(wǎng)絡(luò)結(jié)構(gòu)是?(哪種網(wǎng)絡(luò)結(jié)構(gòu)最穩(wěn)定?)A、)環(huán)狀B、網(wǎng)狀C、星形D、總線答案：B17.提高數(shù)據(jù)中心的服務(wù)器密度時，下列哪項是最關(guān)注的?A、維護(hù)訪問B、電磁干擾C、溫度D、氣流控制答案：B18.當(dāng)某公司按照合同實施新軟件時，下面哪種方法對于控制因范圍蔓延導(dǎo)致成本增加是至關(guān)重要的？A、質(zhì)量管理B、問題管理C、風(fēng)險管理D、變更管理答案：D19.A5-175某信息系統(tǒng)審計師正在審查某家制造公司，并發(fā)現(xiàn)遠(yuǎn)程站點的主機(jī)用戶通過Telnet經(jīng)互聯(lián)網(wǎng)連接到總部的主機(jī)上。以下哪一項提供最強(qiáng)的安全性?A、使用點對點租用線路B、使用防火墻規(guī)則，只允許該遠(yuǎn)程站點的互聯(lián)網(wǎng)協(xié)議地址C、使用雙因素認(rèn)證D、使用Telnet非標(biāo)準(zhǔn)端口答案：A20.信息系統(tǒng)審計師使用端口掃描軟件來：A、建立通訊連接B、檢測入侵行為C、檢測開放服務(wù)D、確保所有端口在使用中答案：C21.A2-5評估IT治理實施的有效性時，以下哪一因素最關(guān)鍵?A、確保定義了保證目標(biāo)B、確保利益相關(guān)方的要求和參與C、確定相關(guān)風(fēng)險及相關(guān)機(jī)會D、確定相關(guān)驅(qū)動因素及其適用性答案：B22.以下哪一項能最有效地控制數(shù)字訂單號輸入的準(zhǔn)確性？A、哈?？傆婤、數(shù)字有效性檢查C、與歷史訂貨模式比較D、聯(lián)機(jī)檢查描述答案：B23.A2-65對服務(wù)提供商進(jìn)行審計時，信息系統(tǒng)審計師發(fā)現(xiàn)，該服務(wù)提供商已將部分工作外包給了其他提供商。由于此工作涉及機(jī)密信息，因此，信息系統(tǒng)審計師應(yīng)當(dāng)首先考慮：A、保護(hù)信息安全的要求可能受到影響B(tài)、合同可能因為外包商未獲得事先許可而被終止C、提供部分外包工作的其他服務(wù)商不需要接受審計D、外包商將直接與其他服務(wù)提供商進(jìn)行接觸，以便進(jìn)一步開展工作答案：A24.對于之前審計結(jié)果中提出的審計建議，管理層告知審計師審計建議中的糾正措施要比預(yù)期的晚實施，審計師應(yīng)該A、查看是否有臨時的補(bǔ)償性措施B、上報管理層C、更改審計跟蹤時間表D、與審計經(jīng)理商量探討答案：A25.在IS審計過程中，IS審計師評估IT部門內(nèi)部職責(zé)分工落實情況的最佳方法是什么？A、與IT經(jīng)理開展討論。B、審查IT職能部門的工作說明。C、搜索過去的IS審計報告。D、評估組織架構(gòu)。答案：A26.A5-17某職員收到一個禮物是數(shù)碼相框，他將相框連接到自己的工作PC上試圖傳輸數(shù)碼照片。這種情況可能引入的主要風(fēng)險是：A、可能利用相框存儲介質(zhì)竊取企業(yè)數(shù)據(jù)B、相框的驅(qū)動程序可能與用戶P不兼容并造成用戶P崩潰C、該職員可能把不適當(dāng)?shù)恼掌瑤нM(jìn)辦公室D、相框可能被惡意軟件感染答案：D27.匿名文件傳輸協(xié)議(FTP)服務(wù)器的主要特征是?A、加密通信鏈路B、未認(rèn)證的用戶對所有主機(jī)系統(tǒng)文件具有完全的訪問權(quán)限C、無法防止對敏感文件的訪問D、比HTTP協(xié)議性能差答案：C28.A4-41以下哪項被公認(rèn)為是網(wǎng)絡(luò)管理的關(guān)鍵要素之一?A、配置和變更管理B、拓?fù)溆成銫、監(jiān)控工具的應(yīng)用D、代理服務(wù)器故障排除答案：A29.A2-131有效設(shè)計信息安全政策最重要的因素是：A、威脅趨勢B、以前的安全事故C、新興技術(shù)D、企業(yè)風(fēng)險偏好答案：D30.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的?A、吸取的經(jīng)驗教訓(xùn)已記錄存檔并加以應(yīng)用B、業(yè)務(wù)和IT相關(guān)人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期(SL)中的一個正式階段答案：A31.A4-84一名信息系統(tǒng)審計師執(zhí)行應(yīng)用程序維護(hù)審計時，將審查程序變更日志，以便了解：A、程序變更的授權(quán)情況B、當(dāng)前目標(biāo)模塊的創(chuàng)建日期C、程序的實際改動量D、當(dāng)前源程序的創(chuàng)建日期答案：A32.A4-189以下哪項能夠最好地緩解因?qū)⒒セ輩f(xié)議已用作恢復(fù)備選方案而引發(fā)的風(fēng)險?A、每年進(jìn)行一次災(zāi)難恢復(fù)演練B、確保合作伙伴組織位于不同的地理位置C、定期執(zhí)行業(yè)務(wù)影響分析D、選擇具有類似系統(tǒng)的合作伙伴答案：B33.A4-72信息系統(tǒng)審計師應(yīng)當(dāng)審查以下哪一項，以確保服務(wù)器經(jīng)過最優(yōu)配置以支援處理要求?A、基準(zhǔn)指標(biāo)測試結(jié)果B、服務(wù)器日志C、故障報告D、服務(wù)器利用的數(shù)據(jù)答案：D34.A5-211用戶使用分配的安全令牌結(jié)合個人識別碼(PIN)來訪問公司的虛擬私有網(wǎng)絡(luò)。對于PIN，安全政策中應(yīng)包含哪項最重要的規(guī)則?A、用戶不應(yīng)將令牌置于容易被盜的地方B、用戶不得將令牌和便攜式計算機(jī)置于同一包中C、用戶應(yīng)選擇完全隨機(jī)且沒有重復(fù)數(shù)字的PIN。D、用戶不應(yīng)將PIN寫下來答案：D35.【重要題】在開發(fā)新的財務(wù)應(yīng)用程序時，信息系統(tǒng)審計師首先應(yīng)參與：A、控制設(shè)計。B、可行性研究。C、系統(tǒng)測試。D、應(yīng)用程序設(shè)計答案：B36.A2-139組織完成風(fēng)險評估的一部分的威脅和漏洞分析之后，最終的報告建議主要互聯(lián)網(wǎng)網(wǎng)關(guān)安裝入侵防御系統(tǒng)(IPS)，而且應(yīng)通過代理防火墻分離所有業(yè)務(wù)部門。以下哪項是確定是否應(yīng)采取控制措施的最佳方法?A、成本效益分析B、年化預(yù)期損失計算C、IPS和防火墻成本與業(yè)務(wù)系統(tǒng)成本的對比D、業(yè)務(wù)影響分析答案：A37.隨著時間的推移，下列哪項對保證服務(wù)器可用性有效A、手動輪詢服務(wù)器B、審查計劃內(nèi)的停機(jī)時間。C、分析服務(wù)器控制臺日志。D、用戶報告的停機(jī)時間。答案：C38.對于VoIP，信息系統(tǒng)審計師最關(guān)注什么？A、不可抵賴性B、服務(wù)的連續(xù)性C、網(wǎng)絡(luò)的統(tǒng)一性D、數(shù)據(jù)與語音網(wǎng)絡(luò)分離答案：B39.測試程序和生產(chǎn)程序分離的主要目的在于?A、為變更管理控制提供基礎(chǔ)B、為變更實施控制C、信息系統(tǒng)人員和最終用戶之間實施職責(zé)分離D、限制IT人員對開發(fā)環(huán)境的訪問權(quán)限答案：A40.【重要題】以下哪一項是用以確定執(zhí)行跟蹤審計過程時間表的最重要標(biāo)準(zhǔn)?A、審計發(fā)現(xiàn)結(jié)果的風(fēng)險暴露B、審計資源的可用性C、被審計方的時間允許D、下一次審計之間的協(xié)調(diào)答案：A41.某IS審計師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個領(lǐng)域值得關(guān)注。以下哪個領(lǐng)域最?A、緊急斷電按鈕蓋不見了。B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)。C、數(shù)據(jù)中心沒有安全攝像頭。D、緊急出口門被阻塞。答案：D42.對于持續(xù)的數(shù)據(jù)質(zhì)量問題，以下哪項最能幫助分析和確定相應(yīng)的收入損失A、實施數(shù)據(jù)有效性驗證控制的成本B、問題數(shù)量與平均停機(jī)時間的關(guān)系C、數(shù)據(jù)獲取成本與銷售損失的對比D、數(shù)據(jù)錯誤與交易價值損失的互相關(guān)系答案：D43.代理服務(wù)商反饋通過瘦客戶端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下哪項措施。A、申請?zhí)鎿Q為胖客戶端B、升級客戶端硬件配置C、升級客戶端程序以提供更詳細(xì)的錯誤信息D、安裝中間件用來增強(qiáng)客戶端和系統(tǒng)的通訊答案：D44.信息系統(tǒng)審計師應(yīng)該會在下列哪一個SDLC階段，發(fā)現(xiàn)控制措施已集成到系統(tǒng)規(guī)范中？A、實施B、設(shè)計C、開發(fā)D、可行性研究答案：B45.A1-73信息系統(tǒng)審計師應(yīng)使用下列哪項來檢測發(fā)票主文件中是否存在重復(fù)的發(fā)票記錄?A、屬性抽樣B、計算機(jī)輔助審計技術(shù)C、符合性測試D、集成測試設(shè)施答案：B46.A3-56專家系統(tǒng)使用問卷調(diào)查的方式引導(dǎo)用戶做出一系列選擇，直到得出結(jié)論。這個方法的知識基礎(chǔ)被稱為：A、規(guī)則B、決策樹C、語義網(wǎng)絡(luò)D、數(shù)據(jù)流圖答案：B47.在完成信息系統(tǒng)審計后，IS審計師應(yīng)向利益相關(guān)者說明以下哪種風(fēng)險?A、固有風(fēng)險B、審計風(fēng)險C、檢測風(fēng)險D、殘余風(fēng)險答案：D48.要求審計時，審計部有經(jīng)驗的審計員不足時，怎么辦?A、推遲審計B、外部服務(wù)(外包)C、繼續(xù)審計D、拒絕審計答案：B49.在計劃重要系統(tǒng)開發(fā)項目時，功能點分析有助于A、確定系統(tǒng)或程序承擔(dān)的業(yè)務(wù)功能B、估計系統(tǒng)開發(fā)任務(wù)量C、估計項目所需時間D、分析系統(tǒng)用戶來幫助重新設(shè)計工作的功能。答案：B50.A1-123與信息系統(tǒng)審計客戶召開審計啟動會議的主要目的是：A、討論審計的范圍B、確定審計資源需求C、選擇審計方法D、收集審計證據(jù)答案：A51.數(shù)據(jù)分類的第一步?A、盤點數(shù)據(jù)資產(chǎn)B、確定風(fēng)險偏好C、定義數(shù)據(jù)所有權(quán)D、確定敏感度水平答案：A52.A2-80如果IT支持人員和最終用戶之間存在職責(zé)分離問題，則以下哪一項適合作為補(bǔ)償性控制措施?A、限制對計算設(shè)備的物理訪問B、對交易和應(yīng)用程序日志進(jìn)行審查C、在聘用IT人員之前執(zhí)行背景調(diào)查D、在特定的一段時間無活動后，將用戶會話鎖定答案：B53.企業(yè)實施隱私政策是出于什么目的?A、為個人提供數(shù)據(jù)處理的選擇B、符合法律法規(guī)的要求C、防止機(jī)密數(shù)據(jù)的丟失D、識別傳輸中的數(shù)據(jù)以進(jìn)行數(shù)據(jù)加密答案：B54.以下哪項測試能最快確定Web應(yīng)用程序的接口錯誤A、回歸測試B、UAT測試C、單元測試D、集成測試E、自動測試答案：D55.基于風(fēng)險的審計方法其主要好處是A、識別關(guān)鍵控制措施B、縮小審計范圍C、確定審計資源的優(yōu)先級D、了解業(yè)務(wù)流程答案：C56.A5-5以下哪項最能保證服務(wù)器操作系統(tǒng)的完整性?A、在安全的位置放置服務(wù)器B、設(shè)置啟動密碼C、加固服務(wù)器配置D、實施活動日志答案：C57.項目上線后的審查中，應(yīng)審查以下哪一項來確定項目是否滿足用戶要求？A、用戶文檔的完整性B、并行測試的結(jié)果C、程序更改請求的類型。D、關(guān)鍵計算的完整性答案：B58.A5-33某信息系統(tǒng)審計師正在進(jìn)行某企業(yè)網(wǎng)絡(luò)的實施后審查。以下哪種結(jié)果最令人擔(dān)憂?A、無線移動設(shè)備沒有密碼保護(hù)B、安裝網(wǎng)絡(luò)設(shè)備時未變更默認(rèn)密碼C、不存在出站W(wǎng)e代理服務(wù)器D、并非所有通信線路均已加密答案：B59.以下哪一項最能體現(xiàn)信息安全計劃的有效性？A、安全團(tuán)隊知識豐富，使用最好的工具B、經(jīng)過意識培訓(xùn)后，報告和確認(rèn)的安全事故數(shù)量有所增加C、安全意識培訓(xùn)計劃是根據(jù)行業(yè)最佳實踐開發(fā)的D、安全團(tuán)隊執(zhí)行了風(fēng)險評估，以了解公司的風(fēng)險偏好答案：B60.A2-132由于盈利壓力,企業(yè)的高級管理層決定將信息安全投資保持在不太充分的水平。以下哪一項是信息系統(tǒng)審計師的最佳建議?A、使用云提供商提供低風(fēng)險運(yùn)營B、修改合規(guī)性實施流程C、要求高級管理層接受風(fēng)險D、推遲低優(yōu)先級安全程序答案：C61.企業(yè)所在地的監(jiān)管發(fā)布了最新的關(guān)于PII（個人可標(biāo)識信息）的跨境數(shù)據(jù)轉(zhuǎn)移新規(guī)定，以下哪一項有可能需要重新進(jìn)行評估?A、企業(yè)薪資系統(tǒng)托管給外部云服務(wù)供應(yīng)商B、聘請海外IT顧問C、購買海外的網(wǎng)絡(luò)保險D、存儲PII數(shù)據(jù)的數(shù)據(jù)庫的加密情況答案：A62.在審計過程中，IS審計師發(fā)現(xiàn)，人力資源(HR)部門用云應(yīng)用來管理員工記錄。HR部門越過正常的供應(yīng)商管理流程參與一份合同，并自行管理應(yīng)用。以下哪一項最值得關(guān)注？A、未在合同中定義最長的可接受停機(jī)時間指標(biāo)。B、IT部門不管理與云供應(yīng)商之間的關(guān)系。C、服務(wù)臺呼叫中心駐在不同的國家，需遵守不同的隱私要求。D、公司定義的安全政策不適用于云應(yīng)用。答案：D63.信息系統(tǒng)投資的業(yè)務(wù)案例應(yīng)可供審查，直到：A、信息系統(tǒng)壽命已盡，B、信息系統(tǒng)投資已退休。C、正式的投資決定獲得批準(zhǔn)。D、益處已得到充分實現(xiàn)。答案：D64.A3-44以下哪個選項是數(shù)據(jù)倉庫設(shè)計中最重要的因素?A、元數(shù)據(jù)的質(zhì)量B、交易速度C、數(shù)據(jù)的波動D、系統(tǒng)的漏洞答案：A65.實施新的應(yīng)用程序軟件包(或第三方應(yīng)用)，最大的風(fēng)險是?A、參數(shù)配置錯誤B、沒有審計軌跡C、交易量過大D、交易敏感度高答案：A66.訂單由于不同的交貨日期，所以一個訂單通常會收到多張發(fā)票，以下哪一項是檢測重復(fù)付款的最佳方法?A、在訂單交易文件中執(zhí)行通用審計軟件B、在開發(fā)環(huán)境中執(zhí)行測試數(shù)據(jù)C、在訂單交易程序中執(zhí)行測試數(shù)據(jù)D、在發(fā)票交易文件中執(zhí)行通用審計軟件答案：C67.A5-19信息系統(tǒng)審計師正在審查以前醫(yī)院信息系統(tǒng)審計發(fā)現(xiàn)的問題。其中一個問題指出醫(yī)院使用電子郵件來溝通敏感的患者問題。信息技術(shù)經(jīng)理指出，為了解決此問題，醫(yī)院已對所有電子郵件用戶實施了數(shù)字簽名。信息系統(tǒng)審計師的響應(yīng)是什么?A、數(shù)字簽名不足以保護(hù)機(jī)密性B、數(shù)字簽名足夠保護(hù)機(jī)密性C、信息系統(tǒng)審計師應(yīng)收集有關(guān)特定實施情況的更多信息D、信息系統(tǒng)審計師應(yīng)建議為安全電子郵件實施數(shù)字水印答案：A68.A5-138在規(guī)定了IT安全基準(zhǔn)的組織中，信息系統(tǒng)審計師首先應(yīng)確?；鶞?zhǔn)：A、正常實施B、合規(guī)性C、記錄在案D、充分性答案：D69.審查項目組合時，下列哪一項是管理層應(yīng)考慮的最有用的指標(biāo)？A、該組合的當(dāng)前凈值B、預(yù)期效益與總項目成本之比C、每個項目的總成本D、項目成本與總IT成本之比答案：B70.為防止在共享打印機(jī)上打印的保密文檔泄露，應(yīng)該采用以下哪種方法？A、加密用戶計算機(jī)和打印機(jī)之間的數(shù)據(jù)流B、使用已打印文檔的密級生成標(biāo)題頁C、要求授權(quán)用戶在將文檔發(fā)送到打印機(jī)之前提供密碼D、在打印結(jié)果輸出之前，要求現(xiàn)在打印機(jī)上輸入密碼答案：D71.【重要題】在系統(tǒng)開發(fā)周期SDLC的哪一個階段進(jìn)行風(fēng)險評估是最有幫助的?A、系統(tǒng)開發(fā)前B、業(yè)務(wù)案例開發(fā)期間C、系統(tǒng)部署前D、生命周期的每個階段答案：D72.公司要將保密數(shù)據(jù)給到下游應(yīng)用系統(tǒng)，最能保證安全性的是？（金融機(jī)構(gòu)需要向下屬分公司傳輸機(jī)密性的數(shù)據(jù)，最佳做法是？）A、SFTPB、帶時間截的文件頭C、SNMPD、SNTPE、安全外殼答案：A73.【重要題】當(dāng)確定審計日志的數(shù)據(jù)保留期時，最基本的因素是什么?A、計算機(jī)取證的原則B、普遍接受的審計標(biāo)準(zhǔn)C、風(fēng)險控制D、法規(guī)要求答案：D74.A5-134要從網(wǎng)絡(luò)攻擊中恢復(fù),以下哪項措施最重要?A、建立事故響應(yīng)團(tuán)隊B、雇用網(wǎng)絡(luò)取證調(diào)查員C、執(zhí)行業(yè)務(wù)連續(xù)性計劃D、保留證據(jù)答案：A75.A5-190某信息系統(tǒng)審計師已發(fā)現(xiàn)，員工們在通過電子郵件將敏感的公司信息發(fā)送到基于Web的公共電子郵件域。對信息系統(tǒng)師而言，以下哪一項是最佳補(bǔ)救措施?A、加密郵件賬戶B、培訓(xùn)和加強(qiáng)安全意識C、活動監(jiān)測D、數(shù)據(jù)丟失防護(hù)答案：D76.有員工把系統(tǒng)管理員密碼發(fā)在了社交網(wǎng)站上，最先應(yīng)該怎么做：A、修改密碼B、關(guān)閉系統(tǒng)C、走法律程序D、上報監(jiān)管答案：A77.A4-243某位職員在主文件中對貸款利率進(jìn)行了變更。輸入的利率超出了此類貸款的正常范圍。要合理保證該變更經(jīng)過授權(quán)，以下哪種控制最有效?A、該職員的經(jīng)理輸入批準(zhǔn)代碼確定變更前，系統(tǒng)不會處理此變更B、系統(tǒng)生成一個能夠列出所有利率異常的周報，并由該職員的經(jīng)理對報告進(jìn)行審查C、系統(tǒng)要求該職員輸入批準(zhǔn)代碼D、系統(tǒng)向該職員發(fā)出一個警告消息答案：A78.源代碼庫應(yīng)該設(shè)計用于：A、防止開發(fā)者訪問安全源代碼B、防止對代碼進(jìn)行變更。C、提供自動整合功能(具體不記得了，可排除)D、為現(xiàn)有代碼提供安全的版本管理和備份功能答案：D79.A5-64哈希和加密之間最主要的區(qū)別在于哈希：A、不可逆B、輸出消息與原始數(shù)據(jù)的長度相同C、涉及完整性和安全性D、發(fā)送端和接收端相同答案：A80.A5-195以下哪個選項是針對網(wǎng)絡(luò)的被動攻擊?A、消息修改B、偽裝C、拒絕服務(wù)D、流量分析答案：D81.對最近購買的系統(tǒng)進(jìn)行實施后檢查時，最重要的是信息系統(tǒng)審計師要確定A、供應(yīng)商產(chǎn)品是否已提供可行的解決方案B、項目利益相關(guān)者的預(yù)期是否已識別C、測試方案是否反映了運(yùn)營活動D、是否已滿足用戶需求控制答案：D82.A3-128新版企業(yè)資源規(guī)劃工資系統(tǒng)將替換現(xiàn)有的舊系統(tǒng)，為了便于成功進(jìn)行用戶測試和驗收，以下哪個選項屬于最佳方法?A、多重測試B、并行測試C、集成測試D、原型測試答案：B83.操作系統(tǒng)管理員未執(zhí)行年度財務(wù)報表的腳本，提什么建議A、執(zhí)行關(guān)閉清單losingheklistB、財務(wù)人員加入操作系統(tǒng)C、培訓(xùn)操作系統(tǒng)人員D、更新操作手冊答案：C84.為確定業(yè)務(wù)連續(xù)性計劃(BCP)的有效性，最具成本效益的方式是：A、實施后審查B、桌面推演C、全面運(yùn)行測試D、壓力測試答案：B85.【重要題】審計師發(fā)現(xiàn)，業(yè)務(wù)部門未經(jīng)商議就修改了之前已經(jīng)商議好的整改措施，審計師應(yīng)該()A、檢查是否有其他補(bǔ)償性措施B、遵循重新制定的整改措施C、重新實施審計D、匯報給管理層答案：A86.A3-51以下哪一項是原型設(shè)計的優(yōu)點?A、成品系統(tǒng)通常具有強(qiáng)大的內(nèi)部控制B、原型系統(tǒng)能夠顯著地節(jié)省時間和成本C、原型系統(tǒng)的變更控制通常較為簡單D、原型設(shè)計可確保功能或附加物不會被添加到指定系統(tǒng)答案：B87.A1-81在某小型組織中，發(fā)行經(jīng)理和應(yīng)用程序開發(fā)人員的職能由同一員工履行。在此場景中，以下哪一項是最佳補(bǔ)償性控制?A、雇用額外的員工以實現(xiàn)職責(zé)分離B、禁止發(fā)行經(jīng)理對程序進(jìn)行修改C、記錄對開發(fā)庫的更改D、驗證是否僅實施經(jīng)過批準(zhǔn)的程序變更答案：D88.【重要題】基于風(fēng)險的審計方法其主要好處是：A、識別關(guān)鍵控制措施B、縮小審計范圍C、確定審計資源的優(yōu)先級D、了解業(yè)務(wù)流程。答案：C89.了解一個操作系統(tǒng)的安全配置的最佳方式是：A、學(xué)習(xí)供應(yīng)商的安裝手冊。B、檢查系統(tǒng)安全計劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動配置的參數(shù)。答案：D90.下列哪一項是制定網(wǎng)絡(luò)服務(wù)的服務(wù)水平的協(xié)議（SLA）所面臨的挑戰(zhàn)？A、減少網(wǎng)絡(luò)入口(entrypoint)數(shù)量B、建立設(shè)計良好的網(wǎng)絡(luò)服務(wù)框架C、找到能夠正確衡量的性能指標(biāo)D、確保客戶未修改網(wǎng)絡(luò)組件答案：C91.A4-246某信息系統(tǒng)審計師在數(shù)據(jù)庫的某些表中發(fā)現(xiàn)了超出范圍的數(shù)據(jù)。為避免此類狀況發(fā)生，該信息系統(tǒng)審計師應(yīng)推薦采用以下哪種控制?A、記錄所有的表更新交易B、在數(shù)據(jù)庫中設(shè)定完整性約束C、使用前后圖像報告D、使用跟蹤和標(biāo)記答案：B92.在制定新的風(fēng)險管理計劃時，一定要考慮以下哪種因素？(新題)A、風(fēng)險偏好B、合規(guī)性措施C、風(fēng)險緩解技術(shù)D、資源利用答案：A93.IT指導(dǎo)委員會負(fù)責(zé)應(yīng)對以下哪一項負(fù)責(zé)A、把實施安全性與業(yè)務(wù)目標(biāo)集成在一起B(yǎng)、評估和報告戰(zhàn)略一致性程度C、審查并協(xié)助IT策略整合工作D、制定IT安全策略答案：C94.生物識別方法的有效性，最主要由以下哪個指標(biāo)決定?A、像素B、圖像尺寸C、交叉錯誤率D、錯誤拒絕率答案：C95.A5-208為確保法庭采信日志信息，最需要以下哪一項衡量標(biāo)準(zhǔn)?確保數(shù)據(jù)：A、具有獨立的時間戳B、由多個記錄系統(tǒng)記錄C、經(jīng)過最安全的加密算法加密D、經(jīng)過驗證，以確保日志的完整性答案：D96.信息系統(tǒng)審計師發(fā)現(xiàn)，關(guān)鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計師下一步應(yīng)該?A、擴(kuò)大審計范圍B、確定根本原因C、將觀察結(jié)果包含在報告中D、要求立即執(zhí)行備份答案：B97.數(shù)據(jù)中心環(huán)境控制審計可能包括以下哪一項審查?A、有權(quán)進(jìn)入數(shù)據(jù)中心的人員名單B、應(yīng)急出口的報警系統(tǒng)C、數(shù)據(jù)中心的訪問日志D、天花板上沒有濕管答案：D98.在安排跟蹤審計時，以下哪一項是最重要的考慮因素?A、與新審計師進(jìn)行獨立驗證工作所需的努力B、被審計方同意與審計師合作花費(fèi)的時間C、不采取整改措施會產(chǎn)生的影響D、與觀察結(jié)果有關(guān)的控制和檢測風(fēng)險答案：C99.【重要題】對于應(yīng)用程序開發(fā)驗收測試來說，以下哪項最重要?A、質(zhì)量保證(Q)小組負(fù)責(zé)測試過程B、用戶管理在啟動測試之前會審批測試設(shè)計C、所有數(shù)據(jù)文件在轉(zhuǎn)換之前均進(jìn)行了有效信息測試D、編程小組參與測試過程答案：B100.A4-141當(dāng)組織需要極小粒度的數(shù)據(jù)恢復(fù)點(在恢復(fù)點目標(biāo)中定義)時，以下哪種備份方法是適合的?A、虛擬磁帶庫B、基于磁盤的快照C、連續(xù)備份數(shù)據(jù)D、磁盤到磁帶備份答案：C101.【重要題】哪項風(fēng)險對抽樣方法的選擇影響最大?A、固有風(fēng)險B、殘余風(fēng)險C、檢測風(fēng)險D、控制風(fēng)險答案：D102.【重要題】某企業(yè)有兩個數(shù)據(jù)庫，為滿足管理層對數(shù)據(jù)庫高彈性的需求，應(yīng)該A、第二個數(shù)據(jù)庫設(shè)立熱站B、兩個數(shù)據(jù)庫都可以單獨實現(xiàn)磁盤備份恢復(fù)C、兩個數(shù)據(jù)庫相互備份D、兩個數(shù)據(jù)庫互為鏡相答案：D103.在制定數(shù)據(jù)保留政策(dataretentionpolicy)時，首要考慮的是：A、設(shè)計基礎(chǔ)設(shè)施存儲戰(zhàn)略B、識別法律和合同規(guī)定的數(shù)據(jù)保留期C、確定數(shù)據(jù)的安全訪問權(quán)限D(zhuǎn)、根據(jù)保留期確定備份周期答案：B104.公司用了軟件即服務(wù)(saas),在軟件供應(yīng)商不再提供服務(wù)的情況下怎樣能保證可用性?A、復(fù)制這個軟件(大概是意思)B、把數(shù)據(jù)定期備份C、在網(wǎng)絡(luò)連接上做一個冗余D、第三方托管答案：D105.企業(yè)將某個系統(tǒng)部署到私有云的Issa，問誰為系統(tǒng)安全最終負(fù)責(zé)：A、企業(yè)B、企業(yè)和云供應(yīng)商C、操作系統(tǒng)供應(yīng)商D、云供應(yīng)商答案：A106.A5-147要使無線局域網(wǎng)中傳輸數(shù)據(jù)的機(jī)密性得到最佳保護(hù)，需要會話：A、僅限于預(yù)定義的介質(zhì)訪問控制地址B、使用靜態(tài)密鑰加密C、使用動態(tài)密鑰加密D、從具有加密存儲的設(shè)備啟動答案：C107.當(dāng)獲得高層管理人員對災(zāi)難恢復(fù)計劃的支持和制定計劃所需資源的授權(quán)后，選擇起草計劃的人應(yīng)當(dāng)具有以下哪一種能力：A、具有與信息系統(tǒng)相關(guān)的操作系統(tǒng)、數(shù)據(jù)庫和通訊的技術(shù)知識B、具有在相同行業(yè)中的客戶咨詢經(jīng)驗C、具有組織的全局觀點和認(rèn)識所有災(zāi)難后果的能力D、具有硬件和軟件供貨商咨詢背景答案：C108.A2-16在下列哪一種風(fēng)險管理方法中，分擔(dān)風(fēng)險是一個重要因素?A、轉(zhuǎn)移風(fēng)險B、容忍風(fēng)險C、)終止風(fēng)險D、處理風(fēng)險答案：A109.以下哪一項能夠在實施之前最可以確定滿足業(yè)務(wù)需要A、可行性分析B、UATC、實施后審查D、實施計劃分析答案：B110.A5-192某Web服務(wù)器收到攻擊后被攻破。組織政策規(guī)定，事故響應(yīng)應(yīng)在遏制攻擊和保留對攻擊者采取后續(xù)法律行動的自由之間取得平衡。在這種情況下，應(yīng)首先進(jìn)行以下哪一項?A、將易失性存儲器數(shù)據(jù)轉(zhuǎn)儲到磁盤上B、以故障切換模式運(yùn)行服務(wù)器C、斷開該We服務(wù)器與網(wǎng)絡(luò)的連接D、關(guān)閉該We服務(wù)器答案：C111.開發(fā)團(tuán)隊每天都將包含個人信息的數(shù)據(jù)同步到測試環(huán)境，需要獲得誰的授權(quán)A、數(shù)據(jù)所有者B、個人信息主體C、信息安全經(jīng)理D、系統(tǒng)管理員答案：A112.【重要題】代理服務(wù)商反饋通過瘦客服端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下那項措施?A、申請?zhí)鎿Q為胖客戶端B、升級客戶端硬件配置C、升級客戶端程序以提供更詳細(xì)的錯誤信息D、安裝中間件用來增強(qiáng)客戶端和系統(tǒng)的通信答案：D113.審計報告制定了解決審計問題的責(zé)任人，下列哪一項最進(jìn)一步增強(qiáng)審計報告的有效性A、詳細(xì)的降低風(fēng)險步驟B、監(jiān)督補(bǔ)救的審計人員C、補(bǔ)救的成本D、補(bǔ)救的目標(biāo)日期答案：D114.A3-76在企業(yè)資源管理系統(tǒng)的實施后審查期間，信息系統(tǒng)審計師最可能：A、審查訪問控制配置B、評估接口測試C、審查詳細(xì)的設(shè)計文檔D、評估系統(tǒng)測試答案：A115.以下哪一項最有助于信息系統(tǒng)審計師識別工資核算流程中的潛在給付情況？A、員工數(shù)量和供應(yīng)商賬號數(shù)量的比對B、指出與往期工資單有重大差異的報告C、對用于核查的員工和供應(yīng)商地址進(jìn)行審查D、薪資流程中有關(guān)最大筆工資的報告答案：B116.對IS審計師而言，如果下列用戶組具有生產(chǎn)數(shù)據(jù)庫的直接完全訪問權(quán)限，以下哪一組最值得關(guān)注？A、應(yīng)用測試員B、系統(tǒng)管理員C、數(shù)據(jù)庫所有者D、數(shù)據(jù)恢復(fù)團(tuán)隊答案：A117.包金敏感信息的EUC存在哪項最大的風(fēng)險A、數(shù)據(jù)未被保護(hù)B、系統(tǒng)未被包含進(jìn)庫存C、沒有審計日志D、安全授權(quán)不可用答案：A118.磁盤管理系統(tǒng)的主要功能在于：A、提供有關(guān)磁盤有效利用率的數(shù)據(jù)B、拒絕訪問磁盤駐留的數(shù)據(jù)文件C、見識磁盤訪問，以便進(jìn)行分析審查D、提供控制磁盤使用的方法答案：A119.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類型的檢查?A、有效性檢查B、完整性檢查C、存在性檢查D、可排除答案：A120.公司實施三單（訂單、貨物單和發(fā)票）自動匹配的目的是控制以下哪種風(fēng)險A、系統(tǒng)處理無效付款B、未給予客戶折扣C、訂單延遲處理D、多次支付一項合法交易答案：D121.在審計期間審計師發(fā)現(xiàn)，在向新員工授予邏輯訪問權(quán)限方面出現(xiàn)明顯延遲。應(yīng)該先審查8D哪一項來確定問題根本原因?A、關(guān)鍵績效指標(biāo)B、現(xiàn)有的訪問權(quán)限體系C、服務(wù)水平協(xié)議(SLs)D、目前的工作流模型答案：D122.A3-138以下哪項能夠最好地幫助信息系統(tǒng)審計師評估與未來維護(hù)能力有關(guān)的編程活動的質(zhì)量?A、編程語言B、開發(fā)環(huán)境C、版本開發(fā)D、系統(tǒng)程序編碼標(biāo)準(zhǔn)答案：D123.A4-59某信息系統(tǒng)審計師正在數(shù)據(jù)中心執(zhí)行審計，這時火警報警器突然響起。由于審計范圍包括災(zāi)難恢復(fù)，所以該審計師開始觀察數(shù)據(jù)中心員工對警報的響應(yīng)情況。此時對于數(shù)據(jù)中心的員工來說，以下哪項措施最重要?A、向當(dāng)?shù)叵啦块T通報火警情況B、準(zhǔn)備啟動消防系統(tǒng)C、確保數(shù)據(jù)中心的所有人員均撤離現(xiàn)場D、從數(shù)據(jù)中心轉(zhuǎn)移所有備份數(shù)據(jù)答案：C124.在進(jìn)行IT風(fēng)險評估時，應(yīng)首先執(zhí)行以下哪一個步驟A、評估現(xiàn)行控制B、評估漏洞C、識別潛在的威脅D、識別要保護(hù)的資產(chǎn)答案：D125.哪種控制在跨網(wǎng)絡(luò)傳輸中有效檢測數(shù)據(jù)意外損壞A、順序檢查B、對稱加密C、奇偶校驗D、校驗（數(shù)字）位答案：D126.公司正打算利用由不同軟件供應(yīng)商提供的應(yīng)用程序組件，并且快速擴(kuò)大規(guī)模。以下哪個架構(gòu)最能確保企業(yè)能夠簡單地添加和重新使用組件來提供服務(wù)?A、三層體系架構(gòu)B、面向服務(wù)的體系結(jié)構(gòu)C、SaaSD、laaS答案：B127.一家小公司要購買服務(wù)器用于訂單處理系統(tǒng)，但無法預(yù)計交易量，以下哪一項是公司最關(guān)注的？A、系統(tǒng)的可擴(kuò)展性B、系統(tǒng)的配置參數(shù)C、系統(tǒng)優(yōu)化D、系統(tǒng)的兼容性答案：A128.A1-17進(jìn)行符合性測試時，以下哪種抽樣方法最有用?A、屬性抽樣B、變量抽樣C、分層單位均值抽樣D、差異估計抽樣答案：A129.A1-99在規(guī)劃信息系統(tǒng)審計的范圍和目標(biāo)方面，以下哪項的效力應(yīng)具有最高的優(yōu)先級?A、適用的法規(guī)要求B、適用的企業(yè)標(biāo)準(zhǔn)C、適用的行業(yè)良好實踐D、組織政策和程序答案：A130.網(wǎng)上系統(tǒng)應(yīng)用在使用過程中由于數(shù)據(jù)量大導(dǎo)致延遲，系統(tǒng)響應(yīng)時間無法接受，哪一項可以提升應(yīng)用的性能？A、RAID5(數(shù)據(jù)復(fù)制技術(shù))B、磁盤鏡像C、負(fù)載均衡D、調(diào)整防火墻配置答案：C131.A3-27一項應(yīng)用程序開發(fā)工作外包給了一家離岸供應(yīng)商。以下哪項是信息系統(tǒng)審計師最應(yīng)關(guān)注的問題?A、合同中未包含審計權(quán)利條款B、未建立業(yè)務(wù)案例C、沒有源代碼第三方托管協(xié)議D、合同中沒有變更管理流程答案：B132.A5-220信息系統(tǒng)審計師正在審查一個新的基于Web的訂單輸入系統(tǒng)，該系統(tǒng)將于一周后上線。信息系統(tǒng)審計師發(fā)現(xiàn)，根據(jù)設(shè)計，在系統(tǒng)存儲客戶信用卡信息方面，可能缺少幾項重要的控制。該信息系統(tǒng)審計師應(yīng)該首先：A、確定系統(tǒng)開發(fā)人員在充分的安全措施方面是否經(jīng)過適當(dāng)?shù)呐嘤?xùn)B、確定系統(tǒng)管理員是否處于任何原因禁用了安全控制C、核實項目計劃是否對安全需求有適當(dāng)說明D、驗證安全控制要求是否已經(jīng)失效答案：C133.A4-180業(yè)務(wù)影響分析的主要目的是：A、定義恢復(fù)策略B、確定備用站點C、改善恢復(fù)測試D、計算年預(yù)期損失答案：A134.要實施IT治理框架，董事會需要做到?A、解決IT技術(shù)問題B、成立IT戰(zhàn)略委員會C、審批IT戰(zhàn)略D、了解所有IT項目發(fā)展答案：B135.【重要題】IT審計師正審查公司的商業(yè)智能基礎(chǔ)架構(gòu)，以下哪項是幫助公司實現(xiàn)合理水平的數(shù)據(jù)質(zhì)量的最好建議?A、根據(jù)預(yù)先定義的規(guī)格分析數(shù)據(jù)B、將數(shù)據(jù)清理外包給熟練的服務(wù)提供商C、將不同數(shù)據(jù)庫存儲的數(shù)據(jù)合并到數(shù)據(jù)倉儲D、根據(jù)數(shù)據(jù)分類標(biāo)準(zhǔn)審查數(shù)據(jù)答案：A136.以下哪一項是降低未授權(quán)訪問無人值守的最終用戶PC系統(tǒng)的最有效方法？A、強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序B、實施以鄰近為基礎(chǔ)的身份認(rèn)證系統(tǒng)C、按預(yù)定義間隔終止用戶會話D、調(diào)整電源管理設(shè)置，以保證顯示屏是空白的答案：A137.以下哪一項是最好地描述了IT戰(zhàn)略委員會的職能？A、業(yè)務(wù)部門的滿意度B、監(jiān)控KPI的結(jié)果C、IT戰(zhàn)略委員會章程D、IT戰(zhàn)略委員會會議紀(jì)要答案：C138.企業(yè)指派了由三名營銷部門員工組成的小組使用共享的營銷部門帳戶，對公司的社交媒體網(wǎng)頁進(jìn)行每日更新。最重大的風(fēng)險是：A、發(fā)布未經(jīng)批準(zhǔn)的企業(yè)信息B、并發(fā)登錄造成對網(wǎng)頁的更新沖突C、缺乏協(xié)調(diào)導(dǎo)致冗余更新D、缺乏對更新的問責(zé)制答案：D139.A3-93為了確?？梢员M快識別內(nèi)部應(yīng)用程序接口錯誤，下列哪種測試方法最合適?A、自下而上測試B、社交性測試C、自上而下測試D、系統(tǒng)測試答案：C140.A5-45某信息系統(tǒng)審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留。對該信息系統(tǒng)審計師而言，以下哪一項最值得關(guān)注?A、最終用戶不了解事故報告程序B、日志服務(wù)器不在單獨的網(wǎng)絡(luò)上C、未堅持進(jìn)行備份D、無監(jiān)管鏈政策答案：D141.審計師發(fā)現(xiàn)業(yè)務(wù)部門負(fù)責(zé)人創(chuàng)建了一個網(wǎng)頁，從而能訪問生產(chǎn)數(shù)據(jù)，這違反了公司的安全政策，審計師應(yīng)該：A、評估是否有補(bǔ)償性控制B、關(guān)閉并停用該網(wǎng)頁C、評估生產(chǎn)數(shù)據(jù)的敏感性D、上報高級管理層答案：A142.A1-102以下哪項是在信息系統(tǒng)審計的計劃階段進(jìn)行風(fēng)險評估的主要原因?A、確保管理層的顧慮得到解決B、合理保證覆蓋重要的項目C、確保審計團(tuán)隊在預(yù)算范圍內(nèi)進(jìn)行審計D、制定執(zhí)行審計所需的審計程序和流程答案：B143.信息系統(tǒng)審計師在審查桌面軟件配置文件時注意到，一個用戶已下載并安裝了公司不批準(zhǔn)的游戲。以下哪一項是這一狀況可能產(chǎn)生的最大風(fēng)險？A、潛在的惡意軟件B、未遵守可接受使用政策C、與公司軟件的互操作性問題D、違反用戶的隱私答案：A144.企業(yè)開發(fā)人員每日將P11生產(chǎn)環(huán)境數(shù)據(jù)導(dǎo)入測試環(huán)境，關(guān)于數(shù)據(jù)隱私防護(hù)角度哪種最能降低風(fēng)險?A、高級管理層同意并簽字B、數(shù)據(jù)加密C、數(shù)據(jù)清洗D、數(shù)據(jù)所有者的簽字授權(quán)答案：B145.【重要題】.審計第三方供應(yīng)商的關(guān)鍵績效指標(biāo)KPI時，審計師最大的擔(dān)憂是?A、KPI沒有文檔記錄B、KPI指標(biāo)沒有明確定義C、KPI從未更新D、KPI數(shù)據(jù)沒有加以分析答案：B146.哪項風(fēng)險對抽樣方法的選擇影響最大？A、固有風(fēng)險B、殘余風(fēng)險C、檢測風(fēng)險D、控制風(fēng)險答案：D147.以下哪一項對防止未經(jīng)授權(quán)訪問最有效？A、數(shù)據(jù)中心必須配備鑰匙卡系統(tǒng)B、數(shù)據(jù)中心區(qū)域必須處于連續(xù)的監(jiān)控之下C、必須在所有數(shù)據(jù)中心附近放置警告標(biāo)志和標(biāo)牌D、防撞門必須放置在數(shù)據(jù)中心之外答案：A148.A1-103在結(jié)束會議期間與高級管理層溝通審計發(fā)現(xiàn)之前，確保以下哪項最重要?A、風(fēng)險聲明，包括對業(yè)務(wù)影響的說明B、審計發(fā)現(xiàn)可以明確追溯到證據(jù)C、解決審計發(fā)現(xiàn)根本原因的建議D、由責(zé)任方提供補(bǔ)救計劃答案：B149.哪一項是確保數(shù)據(jù)分析項目使用的個人數(shù)據(jù)無法識別的最佳方式?A、重新識別)B、匿名化C、標(biāo)記化D、隨機(jī)化答案：B150.客戶可以通過internet直接訪問一個Web應(yīng)用系統(tǒng)(客戶關(guān)系管理系統(tǒng))。以下哪一項是審計師最擔(dān)心的?A、系統(tǒng)部署在企業(yè)內(nèi)部網(wǎng)段中B、系統(tǒng)托管在第三方服務(wù)商的混合云平臺中C、系統(tǒng)部署在公司網(wǎng)絡(luò)的MZ區(qū)中D、系統(tǒng)托管在第三方供應(yīng)商的服務(wù)器上答案：B151.企業(yè)將員工薪酬系統(tǒng)的外包業(yè)務(wù)轉(zhuǎn)為內(nèi)部軟件，4月份并行實施后進(jìn)行新舊系統(tǒng)對比，哪項能更好的說明數(shù)據(jù)的完整性。A、抽樣部分員工的薪酬數(shù)據(jù)B、對比員工總?cè)藬?shù)和今年的薪資總數(shù)C、對比工資日記賬中的員工的主數(shù)據(jù)答案：C152.A4-53以下哪項會動搖應(yīng)用程序?qū)徲嬡壽E的可靠性?A、在審計軌跡中記錄用戶I。B、安全管理員具有審計文件的只讀權(quán)限C、在執(zhí)行操作時記錄日期和時間戳D、更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄答案：D153.如何最有效地檢測組織內(nèi)部人員發(fā)送機(jī)密文件A、培訓(xùn)B、記錄所有加有文件頭的文件C、加強(qiáng)防火墻設(shè)置D、加密所有文件答案：C154.當(dāng)確定審計日志的數(shù)據(jù)保留期時，下列哪一項是最基本的因素?A、控制風(fēng)險B、普遍接受的審計標(biāo)準(zhǔn)C、計算機(jī)取證原則D、法規(guī)要求答案：D155.哪一項物理控制措施能夠最有效地防止違反計算機(jī)房的安全性A、刷卡B、照片IDC、數(shù)字鍵盤D、CCTV答案：A156.A1-114某信息系統(tǒng)審計師正在核對生產(chǎn)中的設(shè)備與庫存記錄。這種測試屬于以下哪一項?A、實質(zhì)性測試B、符合性測試C、分析性測試D、控制測試答案：A157.在支持投資的業(yè)務(wù)案例中包含以下哪一項最重要？A、業(yè)務(wù)影響分析BIAB、安全要求C、成本效益分析D、風(fēng)險評估答案：C158.信息系統(tǒng)審計師正在分析應(yīng)用程序的系統(tǒng)日志中記錄的訪問采樣。如果發(fā)現(xiàn)異常，就會啟動深入調(diào)查，適合使用哪種抽樣方法呢?A、發(fā)現(xiàn)抽樣B、判定抽樣C、變量抽樣D、分層抽樣答案：A159.一個公司宣稱達(dá)到能力成熟度模型(CMM)的最高級，可以期望：A、持續(xù)的改進(jìn)B、已使用IT平衡記分卡C、所有程序皆已經(jīng)被遵循D、部分程序被遵循答案：A160.A4-52黑客無須使用計算機(jī)工具或程序就可以獲得密碼的技術(shù)是：A、社會工程B、嗅探器C、后門D、特洛伊木馬答案：A161.以下哪項最能確保信息資產(chǎn)的機(jī)密性？A、按照“按需分配”的訪問控制原則B、采用雙因素身份認(rèn)證控制C、人員安全意識培訓(xùn)D、為所有用戶配置只讀權(quán)限答案：A162.應(yīng)用程序可以使用用戶賬號訪問底層數(shù)據(jù)庫，審計師最擔(dān)心：（也有考生反饋題干描述為：底層用戶可以直接訪問數(shù)據(jù)庫，哪項風(fēng)險大？）（此題需進(jìn)一步確認(rèn)，請考生考試中特別留意）A、用戶可以繞過應(yīng)用程序訪問數(shù)據(jù)庫B、用戶賬戶停用了，仍然可以訪問C、應(yīng)用程序?qū)徲嬘涗洸荒馨啃畔、底層數(shù)據(jù)庫完整性被破壞答案：A163.以下哪一項能夠提供證明防火墻配置與公司安全策略相一致的最佳審計證據(jù)A、審查規(guī)則定義庫B、執(zhí)行滲透測試C、分析配置更改是如何執(zhí)行的D、分析日志文件答案：A164.哪一項可確保新建設(shè)的數(shù)據(jù)倉庫滿足公司需求？A、通過其對公司影響的重要性程度來處理數(shù)據(jù)質(zhì)量B、將數(shù)據(jù)需求整合到系統(tǒng)開發(fā)生命周期C、委派數(shù)據(jù)管理員實施數(shù)據(jù)治理D、促進(jìn)與管理層的有效溝通答案：B165.A1-24在信息系統(tǒng)審計期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)以下哪個選項確定?A、關(guān)鍵和必需的信息的可用性B、審計師對環(huán)境的熟悉程度C、受審方查找相關(guān)證據(jù)的能力D、正在執(zhí)行的審計的目的和范圍答案：D166.哪種風(fēng)險類型決定是否進(jìn)行實質(zhì)性測試：A、固有風(fēng)險B、審計風(fēng)險C、檢測風(fēng)險D、控制風(fēng)險答案：D167.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的？A、吸取的經(jīng)驗教訓(xùn)已記錄存檔并加以應(yīng)用B、業(yè)務(wù)和IT相關(guān)人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期SDLC中的一個正式階段答案：A168.使用EXCEL計算項目成本時，將每個成本類別的總計錄入到工作成本表時，下列哪一種方法能最好地確保數(shù)據(jù)輸入的準(zhǔn)確性？A、輸入后“回放”項目的詳細(xì)信息B、有效性檢查，防止輸入字符數(shù)據(jù)C、核對項目的總金額D、就每個成本類別檢查其合理性答案：C169.評價事件管理的最佳指標(biāo)A、事件的數(shù)量B、事件的平均解決時間C、事件的報告時間D、事件的平均間隔時間答案：B170.賬戶并行更新交易如處理不當(dāng)，會影響A、)可用性B、完整性C、機(jī)密性D、責(zé)任歸屬(不可否認(rèn)性)答案：B171.A5-233以下哪項可以為數(shù)據(jù)密碼加密提供最好的保證?A、安全哈希算法-256B、高級加密標(biāo)準(zhǔn)C、安全殼D、三重數(shù)據(jù)加密標(biāo)準(zhǔn)答案：B172.A1-74制訂風(fēng)險管理方案時，應(yīng)首先執(zhí)行以下哪項活動?A、評估威脅B、對數(shù)據(jù)進(jìn)行分類C、清點資產(chǎn)D、分析重要性答案：C173.A4-132信息系統(tǒng)審計師發(fā)現(xiàn)在一天的某些時段數(shù)據(jù)倉庫的查詢性能會明顯降低。以下哪項控制措施與其最相關(guān)，需要信息系統(tǒng)審計師進(jìn)行審查?A、永久性表空間分配B、提交和回滾控制C、用戶假脫機(jī)和數(shù)據(jù)庫限制控制D、日志的讀寫訪問權(quán)限控制答案：C174.A3-107為減少軟件開發(fā)項目中出現(xiàn)的缺陷數(shù)目，下列哪項建議最具成本效益?A、增加分配給系統(tǒng)測試的時間B、實施正式的軟件檢查C、增加開發(fā)人員的數(shù)量D、要求交付所有項目成果時簽字答案：B175.企業(yè)開發(fā)系統(tǒng)有4個模塊，最后一個涉及將數(shù)據(jù)更新至數(shù)據(jù)庫中，信息系統(tǒng)審計師應(yīng)檢查什么A、實體關(guān)系圖B、配置數(shù)據(jù)庫管理C、變更管理D、數(shù)據(jù)流圖答案：D176.A4-174在信息處理設(shè)備發(fā)生重要事故后，事故響應(yīng)團(tuán)隊?wèi)?yīng)首先處理以下哪個問題?A、在設(shè)施上執(zhí)行恢復(fù)B、記錄設(shè)施信息C、設(shè)施隔離D、設(shè)施監(jiān)控答案：C177.衡量災(zāi)難恢復(fù)計劃有效性中業(yè)務(wù)恢復(fù)的最佳途徑是A、定義恢復(fù)點目標(biāo)RPOB、業(yè)務(wù)影響分析BIAC、模擬災(zāi)難恢復(fù)D、評估與功能成熟度模型的差距答案：C178.A4-86在審查災(zāi)難恢復(fù)計劃時，信息系統(tǒng)審計師最關(guān)注的是缺少：A、流程所有者的參與B、記錄良好的測試程序C、備用處理設(shè)施D、記錄良好的數(shù)據(jù)分類方案答案：A179.為了解決審計發(fā)現(xiàn)，以下哪一項是信息系統(tǒng)審計師的角色？A、解釋審計發(fā)現(xiàn)并提供一般建議B、提供整改方案并協(xié)助管理層實施C、設(shè)計信息系統(tǒng)架構(gòu)答案：A180.IS審計師最有可能在什么地方看到應(yīng)用哈希函數(shù)?A、身份認(rèn)證B、標(biāo)識C、授權(quán)D、加密答案：A181.A2-149某金融企業(yè)設(shè)有一個小規(guī)模的IT部門，因而需要員工身兼數(shù)職。以下哪種做法帶來的問題最大?A、開發(fā)人員將代碼提交到生產(chǎn)環(huán)境中B、業(yè)務(wù)分析人員編寫相關(guān)需求并執(zhí)行功能性測試C、IT經(jīng)理同時執(zhí)行系統(tǒng)管理工作D、數(shù)據(jù)庫管理員也執(zhí)行數(shù)據(jù)備份答案：A182.信息系統(tǒng)審計師在信息分類流程的角色是以下哪種？A、定義信息安全級別B、分類信息資產(chǎn)C、確保信息分類符合監(jiān)管及政策要求D、確保數(shù)據(jù)得到足夠保護(hù)答案：C183.某企業(yè)IT部門嚴(yán)重依賴外包商來維護(hù)關(guān)鍵系統(tǒng)。為了解決收入下降的問題，董事會已決定將整個企業(yè)的所有外包商的預(yù)算減少30%.以下哪一項是IT領(lǐng)域的最大風(fēng)險?A、關(guān)鍵系統(tǒng)可能得不到適當(dāng)?shù)木S護(hù)B、最終用戶可能無法從其余IT員工那里獲得足夠的支持C、所需的軟件許可證預(yù)算可能不足D、外包商可能會在離開之前嘗試從關(guān)鍵系統(tǒng)中提取有價值的數(shù)據(jù)答案：D184.A4-119從某個供應(yīng)商購買了某個新應(yīng)用，并且即將實施。實施應(yīng)用時，以下哪一項是關(guān)鍵考慮因素?A、防止在實施流程中損壞源代碼B、確保已禁用供應(yīng)商的默認(rèn)賬戶和密碼C、從托管中刪除程序的舊副本，以免混淆D、核實供應(yīng)商在履行支持和維護(hù)協(xié)議答案：B185.審查公司IT戰(zhàn)略與IT計劃的一致性，信息系統(tǒng)審計師發(fā)現(xiàn)哪項最重要A、未分發(fā)業(yè)務(wù)戰(zhàn)略會議紀(jì)要B、IT未參與業(yè)務(wù)戰(zhàn)略的制定C、IT戰(zhàn)略計劃的文檔不足D、根據(jù)業(yè)務(wù)制定的IT戰(zhàn)略所導(dǎo)出的IT項目的成果物答案：B186.如何可以檢測到員工通過電子郵件向外發(fā)送未經(jīng)授權(quán)的機(jī)密文檔?A、要求用戶在發(fā)送郵件前進(jìn)行加密B、在網(wǎng)絡(luò)上安裝防火墻加以控制C、根據(jù)事先定義的標(biāo)準(zhǔn)監(jiān)控所有發(fā)送的電子郵件D、自動報告所有標(biāo)記為機(jī)密的外發(fā)電子郵件答案：C187.公司已將部分業(yè)務(wù)外包出去，現(xiàn)在打算對外包服務(wù)商審計，要確定審計范圍，內(nèi)部審計師首先要（）？A、與外包服務(wù)商商定審計目標(biāo)B、審查外包合同C、審查外包商的內(nèi)部控制答案：B188.數(shù)據(jù)庫重組的目的是？A、縮短同時更新時間和索引驗證B、減少反問恢復(fù)和恢復(fù)次數(shù)C、消除重復(fù)內(nèi)容并進(jìn)行數(shù)據(jù)備份D、改進(jìn)數(shù)據(jù)訪問和檢索次數(shù)答案：D189.緊急情況下關(guān)閉電源的開關(guān)應(yīng)該A、受保護(hù)。B、受到雙重控制，C、無識別標(biāo)記。D、可遠(yuǎn)程訪間。答案：B190.分散機(jī)構(gòu)的多個LAN組成了組織的WAN，如何最有效的確保系統(tǒng)的連通性：A、備份服務(wù)器B、永久備份路由C、)硬件冗余D、服務(wù)器集群答案：B191.A3-127某信息系統(tǒng)審計組參與了將某自動化審計工具包集成到現(xiàn)有企業(yè)資源規(guī)劃系統(tǒng)中的工作。由于ERP性能方面的問題，此審計工具包不允許上線。該信息系統(tǒng)審計師應(yīng)給出的最佳建議是什么?A、檢查所選的整合控制的實施B、請求獲得額外的信息系統(tǒng)審計資源C、請求供應(yīng)商的技術(shù)支持以解決性能問題D、在用戶進(jìn)行驗收測試期間評估壓力測試的結(jié)果答案：D192.A3-113通常情況下,在項目啟動階段，下面哪一利益相關(guān)者必須參與?A、系統(tǒng)所有者B、系統(tǒng)用戶C、系統(tǒng)設(shè)計者D、系統(tǒng)構(gòu)建者答案：A193.在開始后續(xù)跟蹤審計時，審計師第一步應(yīng)采取下面哪項工作？A、審查上次審計的工作底稿B、與被審計單位討論補(bǔ)救進(jìn)展情況C、收集補(bǔ)救證據(jù)，以此來執(zhí)行控制測試D、審查上次的審計結(jié)果和行動計劃答案：D194.審計師檢查后發(fā)現(xiàn)應(yīng)用系統(tǒng)存在漏洞，審計師建議A、檢查系統(tǒng)日志B、安裝IDSC、加固系統(tǒng)，安裝防火墻答案：A195.審計師對外包業(yè)務(wù)進(jìn)行審查，最先查?A、合同是否支持業(yè)務(wù)需求B、合同中有沒有審計條款C、合同中包含終止后提供支持D、合同是否符合行業(yè)最佳實踐答案：A196.A1-118某信息系統(tǒng)審計師正在審查銀行電匯系統(tǒng)的風(fēng)險和控制。為確保正確應(yīng)對銀行的財務(wù)風(fēng)險，該信息系統(tǒng)審計師最可能審查以下哪一項?A、對電匯系統(tǒng)的特權(quán)訪問B、電匯程序C、欺詐檢測控制D、員工背景核查答案：B197.數(shù)據(jù)中心審計時，審計師發(fā)現(xiàn)火災(zāi)風(fēng)險非常高應(yīng)該推薦什么作為最有效的滅火措施?A、噴水式滅火系統(tǒng)B、手持式滅火器C、干劑滅火系統(tǒng)D、可排除答案：C198.信息系統(tǒng)審計師發(fā)現(xiàn)，許多離職員工尚未從應(yīng)付賬款系統(tǒng)中刪除。為了評估風(fēng)險，確定以下哪一項最重要?A、與應(yīng)付賬款系統(tǒng)相關(guān)的入侵嘗試的頻率B、管理層對用戶訪問權(quán)限進(jìn)行審查的頻率C、終止離職員工訪問的流程D、離職員工實際訪問系統(tǒng)的能力答案：D199.信息系統(tǒng)審計師發(fā)現(xiàn)組織變更可能會影響年度審計計劃，應(yīng)采取哪項行動？A、在發(fā)生變更后修改審計計劃B、將變更告知審計經(jīng)理C、評估變更對審計計劃的影響D、修改當(dāng)前的審計計劃答案：B200.A3-133對業(yè)務(wù)流程自動化項目進(jìn)行實施后審查的主要目標(biāo)是：A、確保項目滿足預(yù)期的業(yè)務(wù)要求B、評估控制的充分性C、確認(rèn)符合技術(shù)標(biāo)準(zhǔn)D、確認(rèn)符合法規(guī)要求答案：A201.原型法作為一種系統(tǒng)軟件開發(fā)方法其主要好處是什么？A、增加用戶滿意度的可能性B、減少對測試的需求C、消除對文檔的需要D、最大限度地減少信息系統(tǒng)審計師系統(tǒng)所需要的時間答案：A202.審查過去的審計結(jié)果時，審計師發(fā)現(xiàn)審計報告可能不正確，也不具備獨立性，審計師下一步怎么做？A、重新執(zhí)行審計B、報告審計委員會C、報告審計部門領(lǐng)導(dǎo)D、重新執(zhí)行控制測試答案：C203.【重要題】下列哪一項對信息安全管理系統(tǒng)的成功最為關(guān)鍵?A、信息安全與IT目標(biāo)的統(tǒng)一B、用戶對信息安全的責(zé)任確立C、管理部門對信息安全的承諾D、業(yè)務(wù)與信息安全的集成答案：C204.【重要題】采用面向服務(wù)的架構(gòu)將最有可能：A、禁止與舊有系統(tǒng)之間的集成。B、使合伙人之間的連接更加便利。C、危害應(yīng)用程序軟件的安全性。D、簡化所有內(nèi)部流程。答案：B205.把信用卡號傳輸?shù)较乱患壊僮鲿r，如何保護(hù)安全性?(在信用卡消費(fèi)中，對于商家暫時存儲在本地的信用卡號碼，以下哪種處理最安全?)A、隱藏信用卡號信息B、使用強(qiáng)加密手段C、截斷信用卡卡號D、使用加密的單向哈希答案：C206.在災(zāi)難恢復(fù)審計過程中，某信息系統(tǒng)審計師發(fā)現(xiàn)沒有進(jìn)行業(yè)務(wù)影響分析，審計師需首先開展哪項工作？A、執(zhí)行額外的符合性測試B、評估對當(dāng)前災(zāi)難恢復(fù)能力的影響C、執(zhí)行業(yè)務(wù)影響分析D、向管理層提交報告答案：B207.A5-136以下哪種入侵檢測系統(tǒng)最有可能對正常的網(wǎng)絡(luò)活動產(chǎn)生錯誤警報?A、基于統(tǒng)計的入侵檢測系統(tǒng)B、基于簽名的入侵檢測系統(tǒng)C、神經(jīng)網(wǎng)絡(luò)D、基于主機(jī)的入侵檢測系統(tǒng)答案：A208.【重要題】企業(yè)使用IAAS(基礎(chǔ)設(shè)施及服務(wù))進(jìn)行IT管理，誰應(yīng)該負(fù)責(zé)操作系統(tǒng)安全A、企業(yè)B、云服務(wù)商C、操作系統(tǒng)提供商D、企業(yè)和云服務(wù)商答案：A209.防火墻配置開啟哪個協(xié)議最不安全A、SMTPB、SNMPC、FTPD、XML答案：C210.【重要題】企業(yè)已經(jīng)制定了成熟風(fēng)險管理實踐，審計師利用風(fēng)險管理成熟度最有效的方式是什么?A、促進(jìn)識別審計風(fēng)險和評估研討會B、整合風(fēng)險登記表用于進(jìn)行審計計劃C、向管理層提供有關(guān)風(fēng)險的保證D、實施風(fēng)險響應(yīng)流程答案：B211.【重要題】在審查安全政策的開發(fā)過程時，以下哪一項是信息系統(tǒng)審計師要驗證的最重要的內(nèi)容?A、管理層批準(zhǔn)的證據(jù)B、關(guān)鍵利益相關(guān)人員積極參與的證據(jù)C、企業(yè)風(fēng)險管理系統(tǒng)的輸出D、控制框架的確認(rèn)答案：B212.【重要題】在計劃滲透測試時，應(yīng)首先執(zhí)行哪一項?A、確定漏洞的報告要求B、執(zhí)行保密協(xié)議C、定義測試范圍D、取得管理層的審批答案：C213.信息系統(tǒng)審計師懷疑公司擁有的計算機(jī)可能涉及參與非法交易活動，審計師應(yīng)采取的最佳方式是什么?A、向?qū)徲嫻芾聿块T上報其擔(dān)憂B、隔離并保存?zhèn)浞軨、通知執(zhí)法部門D、在計算機(jī)上安裝監(jiān)控工具答案：A214.某企業(yè)發(fā)現(xiàn)重大數(shù)據(jù)安全漏洞，CEO要求詳細(xì)審計網(wǎng)絡(luò)安全，但由于近期企業(yè)架構(gòu)重組，審計部門只剩下幾位經(jīng)驗有限的審計師，信息系統(tǒng)審計經(jīng)理應(yīng)該：A、將審計任務(wù)以最高優(yōu)先級列入下一年度的審計計劃B、聯(lián)系外部組織來實施審計C、派最資深的信息系統(tǒng)審計師完成審計任務(wù)D、接受審計任務(wù)，但推遲到進(jìn)行了網(wǎng)絡(luò)安全技能培訓(xùn)后再實施答案：B215.IDS發(fā)現(xiàn)探測攻擊后，首先應(yīng)該：A、丟棄數(shù)據(jù)包B、斷開連接C、拒絕數(shù)據(jù)包D、向管理員發(fā)出警報答案：D216.為了防止網(wǎng)上銀行未經(jīng)授權(quán)的交易，應(yīng)該：A、進(jìn)行數(shù)據(jù)加密B、配備IS入侵檢測系統(tǒng)C、實行強(qiáng)有力的身份認(rèn)證D、避免在網(wǎng)上銀行提供高風(fēng)險交易答案：C217.信息系統(tǒng)審計師已被要求審查企業(yè)的IT資源管理實踐。以下哪一項審計發(fā)現(xiàn)應(yīng)是最大的擔(dān)憂?A、IT管理員目前空缺B、IT培訓(xùn)不足C、IT管理人員未簽署保密協(xié)議D、無書面記錄的IT戰(zhàn)略答案：A218.A4-47要確保生產(chǎn)源代碼和目標(biāo)代碼同步，以下哪種控制最有效?A、版本間的源代碼和目標(biāo)代碼比較報告B、用庫控制軟件限制對源代碼進(jìn)行的更改C、限制對源代碼和目標(biāo)代碼的訪問D、對源代碼和目標(biāo)代碼的日期和時間戳進(jìn)行審查答案：D219.A2-148企業(yè)的風(fēng)險偏好最好由以下哪項確定?A、首席法務(wù)官B、安全管理人員C、審計委員會D、督導(dǎo)委員會答案：D220.以下哪一項在企業(yè)的合同管理流程中提供最有效的安全成果?A、在需求建議書階段執(zhí)行供應(yīng)商安全基準(zhǔn)分析B、擴(kuò)展安全評估以涵蓋合同終止時的資產(chǎn)處智C、確保在需求建議書階段明確安全要求D、擴(kuò)展安全評估以包括隨機(jī)滲透測試答案：C221.在對某公司的數(shù)據(jù)分類流程進(jìn)行評估時，信息系統(tǒng)審計師的主要關(guān)注哪些方面?A、數(shù)據(jù)字典是否得到維護(hù)B、是否對數(shù)據(jù)正確分類C、數(shù)據(jù)保留要求是否明確定義D、數(shù)據(jù)分類是否自主化答案：C222.A4-101以下哪項是信息系統(tǒng)審計師在審查業(yè)務(wù)連續(xù)性計劃時主要關(guān)注的問題?A、計劃的審批者是首席信息官B、計劃聯(lián)系人名單未更新C、測試結(jié)果未適當(dāng)記錄D、未包含針對恢復(fù)人員的培訓(xùn)時間表答案：C223.事件管理的主要目標(biāo)是：A、測試事件發(fā)生時能否及時響應(yīng)B、讓外部計算機(jī)安全事件影團(tuán)隊?wèi)?yīng)來評估損害情況。C、響應(yīng)事件，以便業(yè)務(wù)能夠連續(xù)開展D、允許事件繼續(xù)進(jìn)行并沿著線索追溯到事件開始。答案：C224.審查過去的審計結(jié)果時，審計師發(fā)現(xiàn)審計報告可能不正確，也不具備獨立性，審計師下一步怎么做?A、重新執(zhí)行審計B、報告審計委員會C、報告審計部門領(lǐng)導(dǎo)D、重新執(zhí)行控制測試答案：C225.在制定新的風(fēng)險管理計劃時，一定要考慮以下哪種因素?(新題)A、風(fēng)險偏好B、合規(guī)性措施C、風(fēng)險緩解技術(shù)D、資源利用答案：A226.A5-125以下哪種滲透測試可以有效地評估系統(tǒng)管理員的事故處理和響應(yīng)能力?A、針對性測試B、內(nèi)部測試C、雙盲測試D、外部測試答案：C227.【重要題】評估IT實際使用資源使用和計劃資源分配的一致性的技術(shù)是什么?A、掙得值分析(EV)B、投資回報分析(ROI)C、甘特圖D、關(guān)鍵路徑分析(P)答案：A228.企業(yè)把開發(fā)環(huán)境和測試環(huán)境分開的主要原因是什么？A、可以排除B、在IT人員和最終用戶之間實現(xiàn)職責(zé)分離。C、使測試人員可以在穩(wěn)定的環(huán)境下進(jìn)行測試。D、保護(hù)開發(fā)中的程序不受未經(jīng)授權(quán)的測試。答案：C229.從某個供應(yīng)商購買了某個新應(yīng)用并且即將實施。實施應(yīng)用時以下哪一項是關(guān)鍵考慮因素？A、防止在實施流程中損壞源代碼B、確保已禁用供應(yīng)商的默認(rèn)賬戶和密碼C、從托管中刪除程序的舊副本，以免混淆D、核實供應(yīng)商在履行支持和維護(hù)協(xié)議答案：B230.A2-8在對業(yè)務(wù)流程再造(BPR)工作進(jìn)行審查時，以下哪一項是主要關(guān)注的問題?A、簡化PR工作消除了控制B、資源不足以支持PR流程C、審計部門在PR中沒有咨詢職責(zé)D、PR工作納入了該流程領(lǐng)域知識有限的員工。答案：A231.公司外包服務(wù)給第三方，符合確定第三方提供的服務(wù)水平管理的外部審計報告是可被接受的A、審計報告是最近12個月內(nèi)實施的B、第三方服務(wù)商經(jīng)過獨立認(rèn)證和認(rèn)可C、審計范圍和方法符合審計要求D、報告確定并沒有違反服務(wù)水平答案：C232.A2-19某信息系統(tǒng)審計師發(fā)現(xiàn)，實施了未經(jīng)督導(dǎo)委員會批準(zhǔn)的多個基于IT的項目。該信息系統(tǒng)審計師最需要關(guān)注什么?A、IT部門的項目資金不足B、IT部門未遵循系統(tǒng)開發(fā)生命周期流程C、IT項目未必一直得到正式的批準(zhǔn)D、IT部門未朝著共同的目標(biāo)而努力答案：D233.A5-56以下哪項屬于縱深防御安全原則的示例?A、使用兩道防火墻不間斷檢查入站網(wǎng)絡(luò)流量B、在主機(jī)上使用防火墻和邏輯訪問控制來控制入站網(wǎng)絡(luò)流量C、在計算機(jī)中心建筑外沒有任何標(biāo)識D、并行使用兩道防火墻檢查不同類型的入站流量答案：B234.哪一項網(wǎng)絡(luò)安全審查結(jié)果對企業(yè)構(gòu)成最大風(fēng)險？A、IDS在上周有待更新B、非軍事區(qū)中的Internet服務(wù)器托管測試網(wǎng)頁C、面向Internet的路由器上有共享的管理員帳戶D、上周發(fā)布的操作系統(tǒng)補(bǔ)丁尚未應(yīng)用答案：C235.企業(yè)購買第三方開發(fā)的軟件，哪一項最重要A、知識產(chǎn)權(quán)B、審計權(quán)限C、第三方協(xié)議答案：A236.A1-83一位信息系統(tǒng)審計師發(fā)現(xiàn)連接到網(wǎng)絡(luò)的設(shè)備并沒有包含在用于確定審計范圍的網(wǎng)絡(luò)圖中。首席信息官解釋說該圖正在進(jìn)行變更并等待最終的審批。該信息系統(tǒng)審計師應(yīng)該首先：A、擴(kuò)大IS審計范圍以包括網(wǎng)絡(luò)圖中沒有的設(shè)備B、評估此未記錄設(shè)備對審計范圍的影響C、將其記錄為控制缺陷，因為網(wǎng)絡(luò)圖尚未經(jīng)過批準(zhǔn)D、針對未記錄的設(shè)備計劃后續(xù)的審計工作答案：B237.A4-183企業(yè)的業(yè)務(wù)連續(xù)性計劃的啟動應(yīng)基于以下哪方面的預(yù)定標(biāo)準(zhǔn)?A、中斷的持續(xù)時間B、中斷的類型C、中斷的概率D、中斷的原因答案：A238.為了解決電源長時間斷電問題，最好的方法是A、電源調(diào)節(jié)器B、備用電池C、冗余電力D、UPS答案：C239.A5-139以下哪一種環(huán)境可以保護(hù)計算機(jī)設(shè)備免受電力短期降低的影響?A、電源線調(diào)節(jié)器B、電涌保護(hù)設(shè)備C、備用電源D、間斷電源答案：A240.A3-149一名信息系統(tǒng)審計師正在審查一項實施任務(wù)關(guān)鍵型系統(tǒng)的項目，并注意到該團(tuán)隊不進(jìn)行并行實施，而是選擇立即切換到新系統(tǒng)。以下哪一項最值得關(guān)注?A、該項目的實施階段沒有逆向恢復(fù)計劃B、未正確記錄用戶驗收測試C、完成了軟件功能測試，但未執(zhí)行壓力測試D、上線日期安排在周末休假，此時關(guān)鍵員工正在度假答案：A241.在下列哪個過程中會使用到Hash：A、對稱加密B、數(shù)字簽名C、非對稱加密D、PKI答案：B242.A1-54在電子數(shù)據(jù)交換()環(huán)境中，以下哪一項的潛在風(fēng)險最大?A、缺乏交易授權(quán)B、EI傳輸丟失或重復(fù)C、傳輸延遲在建立應(yīng)用控制前后D、刪除或修改交易答案：A243.【重要題】在審計完成后立即正式傳達(dá)審計結(jié)果的主要原因是確保：A、報告中指出的風(fēng)險立即得到緩解B、報告是相關(guān)且有用的。C、審計師遵守標(biāo)準(zhǔn)審計實踐D、滿足最后期限和部門目標(biāo)答案：B244.財務(wù)人員已經(jīng)禁用了對交易的審計日志，因此信息系統(tǒng)審計師建議財務(wù)人員不再有更改審計日志設(shè)置的權(quán)限。在跟蹤審計期間最重要的是驗證：A、審查了交易審計日志B、記錄了配置變更C、財務(wù)人員接受了安全意識培訓(xùn)D、實施了最低特權(quán)訪問答案：B245.A4-155以下哪一項能夠最有效地支持全天候可用性?A、日常備份B、異地存儲C、鏡像D、定期測試答案：C246.執(zhí)行跟蹤審計期間，管理層告知IS審計師沒有足夠資源和時間完成所有的審計建議和整改，下一步應(yīng)該?A、建議對未整改項實施補(bǔ)償性控制B、評估未整改項導(dǎo)致的殘余風(fēng)險C、停止跟蹤審計，因為問題尚未解決D、確保在審計報告中保留未整改項答案：B247.A4-151針對IT系統(tǒng)恢復(fù)的雙方協(xié)議的現(xiàn)場測試已實施，包括業(yè)務(wù)部門4個小時的集約效用測試。測試已成功，但不完全確保：A、系統(tǒng)和IT操作團(tuán)隊可以在緊急環(huán)境中保持運(yùn)作B、資源和環(huán)境能夠支持交易加載C、與遠(yuǎn)程站點中應(yīng)用程序的連接性滿足響應(yīng)時間要求D、實際業(yè)務(wù)操作的工作流可以在發(fā)生災(zāi)難的情況下使用緊急系統(tǒng)答案：A248.A4-135信息系統(tǒng)審計師發(fā)現(xiàn)IT經(jīng)理最近更換了負(fù)責(zé)為關(guān)鍵計算機(jī)系統(tǒng)進(jìn)行維護(hù)的供應(yīng)商，以節(jié)省成本。盡管新的供應(yīng)商要價便宜，但新維護(hù)合同指定的事故解決時間與原始供應(yīng)商指定的時間有所不同。以下哪個選項最令信息系統(tǒng)審計師關(guān)注?A、災(zāi)難恢復(fù)計劃可能無效，需要進(jìn)行修訂B、交易業(yè)務(wù)數(shù)據(jù)可能在發(fā)生系統(tǒng)故障時丟失C、新維護(hù)供應(yīng)商不熟悉組織的政策D、沒有將該變動通知應(yīng)用程序負(fù)責(zé)人答案：D249.規(guī)劃審計時，對重要性進(jìn)行評估的作用是：A、可排除小錯誤的累計效應(yīng)B、幫助審計集中在關(guān)鍵領(lǐng)域C、在審計測試完成時告知審計師D、集中于財務(wù)方面的項目答案：B250.下面哪一項是最佳的數(shù)據(jù)完整性檢查?A、將數(shù)據(jù)追溯至源點B、計算每天處理的交易量C、準(zhǔn)備和運(yùn)行測試數(shù)據(jù)D、執(zhí)行連續(xù)性檢查答案：A251.關(guān)于RFID射頻技術(shù),IS審計師最關(guān)注的是A、隱私B、可擴(kuò)展性C、不可抵賴性D、機(jī)密性答案：A252.在下一年選擇進(jìn)行哪些信息系統(tǒng)審計的主要依據(jù)是什么?A、上一年的審計發(fā)現(xiàn)結(jié)果B、高層管理層的要求C、組織風(fēng)險評估D、以前的審計范圍答案：C253.企業(yè)災(zāi)難發(fā)生后，業(yè)務(wù)中斷，恢復(fù)后丟失了大量數(shù)據(jù)，因為錯誤定義了哪項?A、RPO(ReoveryPointOjet)B、RTOC、RPD、I答案：A254.A4-133在較小的組織架構(gòu)中,開發(fā)人員可能將緊急變更直接發(fā)布到生產(chǎn)。在這種情況下，以下哪一項能夠最好地控制風(fēng)險?A、在下一個營業(yè)日審批和記錄變更B、將開發(fā)人員對生產(chǎn)的訪問權(quán)限限制在特定時間范圍內(nèi)C、在發(fā)布到生產(chǎn)之前獲得第二次審核D、禁用生產(chǎn)計算機(jī)中的編譯器選項答案：A255.【重要題】進(jìn)行安全代碼審查工作屬于哪一種類型的控制措施?(2023新題)A、改正B、預(yù)防C、檢測D、補(bǔ)償答案：C256.A5-48安全管理流程需要對以下哪項具有只讀訪問權(quán)限?A、訪問控制表B、安全日志文件C、日志選項D、用戶配置文件答案：B257.A4-240以下哪項是業(yè)務(wù)連續(xù)性計劃流程的首要目標(biāo)?A、向利益相關(guān)者提供在發(fā)生災(zāi)難時業(yè)務(wù)繼續(xù)運(yùn)營的保證B、向IT服務(wù)設(shè)立備用站點，以滿足預(yù)先定義的恢復(fù)時間目標(biāo)C、管理風(fēng)險，并能夠從對運(yùn)營造成負(fù)面影響的事件中恢復(fù)D、在發(fā)生自然災(zāi)難時滿足外部監(jiān)管合規(guī)性要求答案：C258.A1-27信息系統(tǒng)審計師正在進(jìn)行符合性測試，以確定控制措施是否支持管理政策和程序。測試將有助信息系統(tǒng)審計師確定：A、控制是否有效執(zhí)行B、控制是否在按設(shè)計預(yù)期運(yùn)行C、數(shù)據(jù)控制的完整性D、財務(wù)報告控制的合理性答案：B259.如何處理應(yīng)用系統(tǒng)老化問題?A、應(yīng)用程序組合B、IT項目管理C、新版本變更管理D、配置管理答案：D260.【重要題】在審查DRP時，最需要注意的事項是哪個?A、沒有規(guī)定宣布災(zāi)難的職責(zé)B、IO沒有批準(zhǔn)與簽署RP計劃C、沒有將RP文件備份儲存在異地安全的地方D、RP恢復(fù)步驟不詳細(xì)答案：A261.A5-210以下哪一種控制能最有效地減少欺詐性在線付款請求造成損失的風(fēng)險?A、交易監(jiān)測B、用安全套接字層保護(hù)We會話C、強(qiáng)制執(zhí)行身份認(rèn)證的密碼復(fù)雜性D、在We表單上輸入驗證檢查答案：A262.以下哪一項表示與特定業(yè)務(wù)流程相關(guān)的控制風(fēng)險A、低估重要性限制B、職責(zé)分離不恰當(dāng)C、處理的交易比較復(fù)雜D、依賴手動流程答案：B263.A4-19一名信息系統(tǒng)審計師正在審查某組織災(zāi)難恢復(fù)計劃(DRP)的實施情況。該項目按時完成，并且沒有超出預(yù)算。審查期間，該審計師發(fā)現(xiàn)了幾個值得關(guān)注的地方。下列哪項帶來的風(fēng)險最大?A、沒有測試RPB、災(zāi)難恢復(fù)策略中沒有指定使用熱備援中心C、執(zhí)行了業(yè)務(wù)影響分析，但是沒有使用其結(jié)果D、負(fù)責(zé)實施計劃的災(zāi)難恢復(fù)項目經(jīng)理最近離開了組織答案：C264.【重要題】信息系統(tǒng)審計師在上線之前審查新系統(tǒng)的項目計劃時，注意到項目團(tuán)隊尚未記錄恢復(fù)計劃。以下哪一項是這一情況下最佳的系統(tǒng)上線方法?A、均衡負(fù)載B、(明顯不對，可排除)C、立即切換D、并行切換答案：D265.A5-8以下哪一項是盡量降低未經(jīng)授權(quán)訪問無人值守的最終用戶PC系統(tǒng)的最有效方法?A、強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序B、實施以接近感應(yīng)為基礎(chǔ)的身份認(rèn)證系統(tǒng)C、按預(yù)定義間隔終止用戶會話D、調(diào)整電源管理設(shè)置，以保護(hù)顯示屏是空白的答案：A266.審查數(shù)據(jù)中心的滅火系統(tǒng)應(yīng)考慮A、維護(hù)措施B、安裝手冊C、是否能夠現(xiàn)場更換D、承保范圍答案：A267.測試BCP的主要原因在于確保：A、能夠恢復(fù)關(guān)鍵數(shù)據(jù)。B、熟悉恢復(fù)程序，盡可能減少實際實施中的緊張情緒。C、樹立自身災(zāi)難期間的信心。D、確保災(zāi)難恢復(fù)小組成員得到培訓(xùn)。答案：A268.在一項it開發(fā)項目中調(diào)整方案需要用到額外資金，這筆額外資金最適合由誰獲得?(項目因為新增需求，已經(jīng)確認(rèn)需要增加經(jīng)費(fèi)，誰最應(yīng)該獲取該項費(fèi)用?)A、審計師B、項目發(fā)起人C、董事會D、項目經(jīng)理答案：D269.某IS審計師正在審查某組織的網(wǎng)絡(luò)操作中心（NOC)。以下哪一項最受關(guān)注？采用：A、基于濕管的滅火系統(tǒng)。B、租借的NOC機(jī)架空間。C、基于二氧化碳的滅火系統(tǒng)