PAGEPAGE1一、單選題1.對(duì)于審計(jì)發(fā)現(xiàn)，審計(jì)師需要首先做什么：A、與被審計(jì)單位管理層溝通B、與被審計(jì)業(yè)務(wù)人員溝通C、提交審計(jì)報(bào)告D、與審計(jì)團(tuán)隊(duì)其他人員溝通答案：B2.開(kāi)發(fā)人員對(duì)薪資系統(tǒng)中的數(shù)據(jù)字段做了未經(jīng)授權(quán)的變更，下列哪一種控制弱點(diǎn)最可能導(dǎo)致該問(wèn)題？A、程序設(shè)計(jì)人員有權(quán)訪問(wèn)生產(chǎn)程序。B、工資文件不受程序庫(kù)管理員控制C、可排除D、程序設(shè)計(jì)人員沒(méi)有讓用戶參與測(cè)試答案：A3.數(shù)據(jù)包級(jí)防火墻最致命的安全漏洞是因?yàn)樗梢酝ㄟ^(guò)下列哪一項(xiàng)措施來(lái)規(guī)避：A、在收到的數(shù)據(jù)包上更改源地址B、截取明文發(fā)送的數(shù)據(jù)包并查看密碼C、解譯數(shù)據(jù)包中的簽名信息。D、使用加密密碼的字典式攻擊(itionryttk)。答案：A4.在局域網(wǎng)絡(luò)（LAN）中安裝瘦客戶機(jī)（thinclient）體系結(jié)構(gòu)的好處在于它可以：A、降低單點(diǎn)故障的風(fēng)險(xiǎn)B、便于更新軟件的版本C、在服務(wù)器停機(jī)時(shí)確保應(yīng)用程序的可用性D、穩(wěn)定網(wǎng)絡(luò)寬帶的要求答案：B5.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類(lèi)型的檢查A、有效性檢查B、完整性檢查C、存在性檢查D、可排除答案：A6.防止員工內(nèi)部惡意滲透，最有效的是A、安裝DLP并定時(shí)更新B、USB接口封鎖C、不能連入外網(wǎng)D、安全教育答案：A7.A4-143在對(duì)最近部署的應(yīng)用執(zhí)行實(shí)施審查過(guò)程中，發(fā)現(xiàn)幾個(gè)事故被分配了錯(cuò)誤的優(yōu)先級(jí)，并因此未能符合業(yè)務(wù)服務(wù)水平協(xié)議(SLA)的要求，以下哪一項(xiàng)最令人擔(dān)心?A、支持模型未經(jīng)高級(jí)管理層批準(zhǔn)B、SL中規(guī)定的事故解決時(shí)間不現(xiàn)實(shí)C、沒(méi)有足夠的資源來(lái)支持應(yīng)用D、支持模型未適當(dāng)開(kāi)發(fā)和實(shí)施答案：D8.在對(duì)供應(yīng)商管理數(shù)據(jù)庫(kù)審計(jì)期間，信息系統(tǒng)審計(jì)師辨認(rèn)出多個(gè)供應(yīng)商重復(fù)記錄。信息系統(tǒng)審計(jì)師應(yīng)向管理層建議：A、對(duì)關(guān)鍵字段的唯一數(shù)據(jù)值執(zhí)行系統(tǒng)驗(yàn)證檢查B、向高級(jí)管理層申請(qǐng)查所有新供應(yīng)商的詳細(xì)信息C、在供應(yīng)商建檔流程中職責(zé)分離D、定期審核對(duì)完整的供應(yīng)商列表，以識(shí)別重復(fù)內(nèi)容答案：A9.以下哪一項(xiàng)是進(jìn)行業(yè)務(wù)影響分析的第一步？A、確定影響運(yùn)行連續(xù)性的事件B、創(chuàng)建數(shù)據(jù)分類(lèi)方案C、分析過(guò)去的交易量D、確定關(guān)鍵信息資源答案：D10.A3-47針對(duì)正在考慮購(gòu)置的新應(yīng)用程序軟件包，信息系統(tǒng)審計(jì)師評(píng)估其控制規(guī)范的最佳時(shí)間是在：A、內(nèi)部實(shí)驗(yàn)室測(cè)試階段B、測(cè)試中和用戶接受之前C、需求收集期間D、實(shí)施階段答案：C11.下面哪一項(xiàng)最好的描述了審計(jì)的風(fēng)險(xiǎn)？A、公司正被無(wú)端指控B、財(cái)務(wù)報(bào)告可能含有未發(fā)現(xiàn)的重大錯(cuò)誤C、主要人員已經(jīng)兩年沒(méi)有休假D、員工已經(jīng)挪用資金答案：B12.A3-6某信息系統(tǒng)審計(jì)師正在審查最近完成的向新企業(yè)資源規(guī)劃系統(tǒng)轉(zhuǎn)換的項(xiàng)目。在轉(zhuǎn)換過(guò)程的最后階段，最初30天舊系統(tǒng)和新系統(tǒng)同時(shí)運(yùn)行，然后才獨(dú)立運(yùn)行新系統(tǒng)。使用這種策略的最大優(yōu)點(diǎn)是什么?A、比其他測(cè)試方法節(jié)省更多成本B、確保運(yùn)行速度更快的新硬件與新系統(tǒng)兼容C、確保新系統(tǒng)滿足功能要求D、提高并行處理時(shí)間的彈性答案：C13.以下哪一個(gè)是提高安全事故檢測(cè)有效性的最佳方法?A、培訓(xùn)最終用戶關(guān)于識(shí)別可疑活動(dòng)的知識(shí)B、與適當(dāng)?shù)姆ㄗC鑒定服務(wù)提供商簽訂服務(wù)水平協(xié)議(SL)C、記錄根本原因分析流程D、根據(jù)事故類(lèi)型確定抑制措施答案：A14.審計(jì)規(guī)劃期間要考慮的最重要的活動(dòng)是?A、審計(jì)委員會(huì)對(duì)風(fēng)險(xiǎn)排序達(dá)成一致的意見(jiàn)B、將審計(jì)資源分配到高風(fēng)險(xiǎn)領(lǐng)域C、根據(jù)審計(jì)人員技能規(guī)劃審計(jì)項(xiàng)目D、審查以往的審計(jì)結(jié)果答案：B15.【重要題】以下哪一種采樣方法最適用于即使是單個(gè)錯(cuò)誤也不可接受的情況?A、判斷抽樣B、分層抽樣C、發(fā)現(xiàn)抽樣D、屬性抽樣答案：C16.A5-278要求組織內(nèi)所有計(jì)算機(jī)時(shí)鐘均同步的主要原因是為了：A、防止交易遺漏或重復(fù)B、確保數(shù)據(jù)從客戶計(jì)算機(jī)平穩(wěn)轉(zhuǎn)移到服務(wù)器C、確保電子郵件消息有精準(zhǔn)的時(shí)間戳D、支持事故調(diào)查過(guò)程答案：D17.在審查企業(yè)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)時(shí)，以下哪一項(xiàng)應(yīng)是信息系統(tǒng)審計(jì)師的最大擔(dān)憂?A、BCP未包括疫情應(yīng)對(duì)計(jì)劃B、BCP不受利益相關(guān)者的年度審查C、關(guān)鍵聯(lián)系人名單已超過(guò)一年未更新D、BCP已經(jīng)超過(guò)兩年未進(jìn)行測(cè)試答案：D18.【重要題】使用加密的備份磁帶時(shí)，最應(yīng)關(guān)注?A、加密密鑰丟失B、備份磁帶的物理安全性C、與將來(lái)軟件版本不兼容D、加密過(guò)程造成數(shù)據(jù)不準(zhǔn)確答案：A19.A5-68執(zhí)行計(jì)算機(jī)取證調(diào)查時(shí)，對(duì)于收集到的數(shù)據(jù)，信息系統(tǒng)審計(jì)師最應(yīng)關(guān)注的是：A、證據(jù)的分析B、證據(jù)的評(píng)估C、證據(jù)的保存D、證據(jù)的泄露答案：C20.IT治理的最主要目的是？A、價(jià)值實(shí)現(xiàn)B、績(jī)效衡量C、戰(zhàn)略規(guī)劃D、資源分配與管理答案：A21.某IS審計(jì)師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留。對(duì)該IS審計(jì)師而言，以下哪一項(xiàng)最值得關(guān)注？A、最終用戶不知曉事故報(bào)告程序。B、日志服務(wù)器不在單獨(dú)的網(wǎng)絡(luò)上。C、未堅(jiān)持進(jìn)行備份。D、無(wú)監(jiān)管鏈政策。答案：D22.引用其他審計(jì)師的工作報(bào)告時(shí)，信息系統(tǒng)審計(jì)師應(yīng)做到：A、考慮該工作報(bào)告的適當(dāng)性和充足性B、忘記了(可排除)C、較少依賴其他審計(jì)師的工作成果D、考慮該工作報(bào)告的時(shí)效性答案：A23.【重要題】以下哪一種方法能將可重復(fù)使用的存儲(chǔ)設(shè)備中的敏感數(shù)據(jù)有效刪除?A、使用介質(zhì)清除軟件B、覆蓋敏感數(shù)據(jù)C、格式化便攜式設(shè)備D、消磁(使設(shè)備暴露于磁場(chǎng)中)答案：B24.A5-230使用數(shù)字簽名時(shí),由誰(shuí)計(jì)算消息摘要?A、僅發(fā)送者B、僅接收者C、發(fā)送者和接收者D、認(rèn)證機(jī)構(gòu)答案：C25.A2-16在下列哪一種風(fēng)險(xiǎn)管理方法中，分擔(dān)風(fēng)險(xiǎn)是一個(gè)重要因素?A、轉(zhuǎn)移風(fēng)險(xiǎn)B、容忍風(fēng)險(xiǎn)C、)終止風(fēng)險(xiǎn)D、處理風(fēng)險(xiǎn)答案：A26.審計(jì)師在跟蹤審計(jì)時(shí)發(fā)現(xiàn)，公司實(shí)施了自動(dòng)流程而不是按原來(lái)制定的整改措施進(jìn)行手工控制，審計(jì)師應(yīng)該：A、報(bào)告未采納原先的建議B、報(bào)告建議措施已實(shí)施C、驗(yàn)證新流程是否滿足控制目標(biāo)D、對(duì)新流程執(zhí)行成本收益分析答案：C27.A4-130某個(gè)組織剛剛完成了年度風(fēng)險(xiǎn)評(píng)估。關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃，信息系統(tǒng)審計(jì)師應(yīng)該建議以下哪個(gè)作為該組織的下一步驟?A、審查并評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃的充分性B、完全模擬業(yè)務(wù)連續(xù)性計(jì)劃C、對(duì)員工進(jìn)行與業(yè)務(wù)連續(xù)性計(jì)劃相關(guān)的培訓(xùn)和教育D、通知業(yè)務(wù)連續(xù)性計(jì)劃中的關(guān)鍵聯(lián)系人答案：A28.【重要題】為了減少日志服務(wù)器不堪收集錯(cuò)誤攻擊日志的壓力，以下最佳建議是()A、微調(diào)IS的規(guī)則設(shè)置B、調(diào)整防火墻的訪問(wèn)控制規(guī)則C、更換日志服務(wù)器D、調(diào)整網(wǎng)絡(luò)架構(gòu)答案：A29.A2-130審計(jì)期間,對(duì)于將信息系統(tǒng)流程大量外包給專(zhuān)用網(wǎng)絡(luò)的組織而言，以下哪一項(xiàng)最令人擔(dān)憂?A、合同未包含對(duì)第三方的審計(jì)權(quán)條款B、信息安全主題專(zhuān)家未能在合同簽署前進(jìn)行審查C、信息系統(tǒng)外包指南未經(jīng)董事會(huì)批準(zhǔn)D、缺少明確定義的信息系統(tǒng)績(jī)效評(píng)估程序答案：A30.項(xiàng)目開(kāi)發(fā)階段，新增加了一個(gè)功能點(diǎn)，以下哪項(xiàng)影響最大?A、未滿足用戶需求B、項(xiàng)目關(guān)鍵路徑改變C、超出預(yù)算D、項(xiàng)目延遲完成答案：A31.A5-166如果某個(gè)小型組織的應(yīng)用程序編程人員有權(quán)將程序移入生產(chǎn)環(huán)境，應(yīng)實(shí)施以下哪項(xiàng)控制來(lái)降低內(nèi)部欺詐風(fēng)險(xiǎn)?A、實(shí)施后功能測(cè)試B、登記和審查變更C、驗(yàn)證用戶要求D、用戶驗(yàn)收測(cè)試答案：B32.A4-72信息系統(tǒng)審計(jì)師應(yīng)當(dāng)審查以下哪一項(xiàng)，以確保服務(wù)器經(jīng)過(guò)最優(yōu)配置以支援處理要求?A、基準(zhǔn)指標(biāo)測(cè)試結(jié)果B、服務(wù)器日志C、故障報(bào)告D、服務(wù)器利用的數(shù)據(jù)答案：D33.審查項(xiàng)目可行性研究后，審計(jì)師最應(yīng)該做什么？A、審查需求設(shè)計(jì)是否包含自動(dòng)化控制B、和項(xiàng)目經(jīng)理一起看預(yù)算和成本是否匹配C、幫助用戶設(shè)計(jì)用戶驗(yàn)收測(cè)試答案：A34.電子支票（改成EFT)相對(duì)于手寫(xiě)支票，最大的優(yōu)勢(shì)在于：A、提高效率B、降低未授權(quán)的風(fēng)險(xiǎn)C、節(jié)約人工成本D、可以統(tǒng)一設(shè)定傳輸標(biāo)準(zhǔn)答案：B35.IS審計(jì)師在審計(jì)電子商務(wù)環(huán)境時(shí)，最重要的是要理解以下哪一項(xiàng)？A、電子商務(wù)環(huán)境的技術(shù)架構(gòu)B、構(gòu)成內(nèi)部控制環(huán)境的政策、程序和實(shí)務(wù)C、應(yīng)用系統(tǒng)所支持的業(yè)務(wù)流程的性質(zhì)和重要性D、系統(tǒng)可用性和可靠性控制措施的持續(xù)監(jiān)測(cè)答案：C36.A5-134要從網(wǎng)絡(luò)攻擊中恢復(fù),以下哪項(xiàng)措施最重要?A、建立事故響應(yīng)團(tuán)隊(duì)B、雇用網(wǎng)絡(luò)取證調(diào)查員C、執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃D、保留證據(jù)答案：A37.企業(yè)正在將HR應(yīng)用遷移到私有云中的基礎(chǔ)設(shè)施即服務(wù)(laaS)模型。誰(shuí)主要負(fù)責(zé)所部署應(yīng)用程序操作系統(tǒng)的安全配置？A、云提供商B、操作系統(tǒng)供貨商C、云提供商的外部審計(jì)師D、企業(yè)答案：D38.為了節(jié)省成本，公司使用控制較弱的應(yīng)用程序來(lái)管理非關(guān)鍵流程，但是管理層每周審查日志以發(fā)現(xiàn)潛在的可疑活動(dòng)，這是屬于什么類(lèi)型的控制?A、預(yù)防性控制B、補(bǔ)償性控制C、檢測(cè)性控制D、糾正性控制答案：B39.A2-133以下哪種保險(xiǎn)類(lèi)型針對(duì)因員工欺詐行為造成的損失?A、業(yè)務(wù)中斷B、忠誠(chéng)保險(xiǎn)C、錯(cuò)誤和遺漏D、額外支出答案：B40.A2-132由于盈利壓力,企業(yè)的高級(jí)管理層決定將信息安全投資保持在不太充分的水平。以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師的最佳建議?A、使用云提供商提供低風(fēng)險(xiǎn)運(yùn)營(yíng)B、修改合規(guī)性實(shí)施流程C、要求高級(jí)管理層接受風(fēng)險(xiǎn)D、推遲低優(yōu)先級(jí)安全程序答案：C41.A3-113通常情況下,在項(xiàng)目啟動(dòng)階段，下面哪一利益相關(guān)者必須參與?A、系統(tǒng)所有者B、系統(tǒng)用戶C、系統(tǒng)設(shè)計(jì)者D、系統(tǒng)構(gòu)建者答案：A42.A4-236在制訂業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，應(yīng)該使用下列哪種工具來(lái)了解組織的業(yè)務(wù)流程?A、業(yè)務(wù)連續(xù)性自我審計(jì)B、資源恢復(fù)分析C、風(fēng)險(xiǎn)評(píng)估D、差距分析答案：C43.關(guān)于RFID射頻技術(shù),IS審計(jì)師最關(guān)注的是A、隱私B、可擴(kuò)展性C、不可抵賴性D、機(jī)密性答案：A44.A5-109以下哪項(xiàng)功能由虛擬私有網(wǎng)絡(luò)執(zhí)行?A、向網(wǎng)絡(luò)中的嗅探器隱藏信息B、強(qiáng)制實(shí)施安全政策C、檢測(cè)濫用或錯(cuò)誤D、控制訪問(wèn)答案：A45.IT指導(dǎo)委員會(huì)負(fù)責(zé)應(yīng)對(duì)以下哪一項(xiàng)負(fù)責(zé)A、把實(shí)施安全性與業(yè)務(wù)目標(biāo)集成在一起B(yǎng)、評(píng)估和報(bào)告戰(zhàn)略一致性程度C、審查并協(xié)助IT策略整合工作D、制定IT安全策略答案：C46.A1-142控制自我評(píng)估成功與否很大程度取決于：A、直線經(jīng)理承擔(dān)部分控制監(jiān)測(cè)責(zé)任B、將控制構(gòu)建責(zé)任分派給行政管理人員C、執(zhí)行嚴(yán)格的控制政策和規(guī)則導(dǎo)向控制D、執(zhí)行職責(zé)分派控制的監(jiān)督和監(jiān)測(cè)答案：A47.支持安全評(píng)定認(rèn)證需要執(zhí)行的保證任務(wù)，應(yīng)在何時(shí)確定?A、完成必要的修改之后，B、用戶驗(yàn)收階段。C、項(xiàng)目規(guī)劃階段。D、制定了Q計(jì)劃后。答案：C48.對(duì)在線安全教育的效果，最關(guān)注的應(yīng)該是?A、只對(duì)新員工B、沒(méi)有時(shí)間安排C、沒(méi)有結(jié)果反饋的指標(biāo)D、沒(méi)有立即執(zhí)行答案：C49.A5-213某數(shù)據(jù)中心有一個(gè)證章門(mén)禁系統(tǒng)。以下哪項(xiàng)對(duì)于保護(hù)該中心的計(jì)算資產(chǎn)最重要?A、在可察覺(jué)到破壞行為的位置安裝讀卡器B、經(jīng)常對(duì)控制證章系統(tǒng)的計(jì)算機(jī)進(jìn)行備份C、遵循立即停用已丟失或被盜證章的流程D、記錄所有證章進(jìn)入嘗試，無(wú)論是否成功答案：C50.某業(yè)務(wù)單位已選用新的會(huì)計(jì)應(yīng)用，但并未在選擇流程中提前咨詢IT部門(mén)。主要風(fēng)險(xiǎn)是：A、該應(yīng)用的安全控制可能不符合要求。B、該應(yīng)用可能不符合業(yè)務(wù)用戶的需求。C、該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)(EA)不一致。D、該應(yīng)用可能給IT部門(mén)帶來(lái)不可預(yù)見(jiàn)的支持問(wèn)題。答案：C51.A5-264一家組織提出要建立無(wú)線局域網(wǎng)(WLAN)。管理層要求信息系統(tǒng)審計(jì)師為WLAN推薦安全控制措施。以下哪項(xiàng)是最適合的建議?A、保證無(wú)線接入點(diǎn)的物理安全，以防被篡改B、使用能明確識(shí)別組織的服務(wù)集標(biāo)識(shí)符C、使用有限等效加密機(jī)制加密流量D、實(shí)施簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，以便主動(dòng)監(jiān)控答案：A52.A5-216成功攻擊系統(tǒng)的第一步是：A、收集信息B、獲得訪問(wèn)權(quán)限C、拒絕服務(wù)D、避開(kāi)檢測(cè)答案：A53.【重要題】.在審計(jì)IT資源管理實(shí)踐時(shí)，審計(jì)師最擔(dān)心的發(fā)生什么情況?A、目前IT管理員空缺B、員工缺乏最夠且有效的培訓(xùn)C、IT管理人員沒(méi)簽署保密協(xié)議D、書(shū)面記錄的IT戰(zhàn)略缺失答案：D54.A2-15信息系統(tǒng)審計(jì)師審查組織架構(gòu)圖的主要目的是：A、理解組織架構(gòu)的復(fù)雜性B、調(diào)查各個(gè)溝通渠道C、了解個(gè)人的職責(zé)和權(quán)限D(zhuǎn)、調(diào)查連接不同員工的網(wǎng)絡(luò)答案：C55.A4-203以下哪一項(xiàng)是某組織利用緊急變更控制流程對(duì)某個(gè)應(yīng)用程序?qū)嵤┚o急變更的最有可能的原因?A、應(yīng)用程序所有者請(qǐng)求新的功能B、變更是用敏捷方法開(kāi)發(fā)的C、對(duì)運(yùn)行造成重大影響的可能性很大D、操作系統(tǒng)提供商發(fā)布了一個(gè)安全修補(bǔ)程序答案：C56.直接把包含有生物信息數(shù)據(jù)的生產(chǎn)數(shù)據(jù)副本放入測(cè)試環(huán)境中，哪項(xiàng)最可以減輕隱私方面的影響?A、數(shù)據(jù)所有者的授權(quán)B、數(shù)據(jù)加密C、在測(cè)試環(huán)境中進(jìn)行數(shù)據(jù)清理D、生物信息所有者的授權(quán)答案：B57.A5-144對(duì)于生物特征識(shí)別控制設(shè)備的性能，最好的整體定量衡量法是：A、錯(cuò)誤拒絕率B、錯(cuò)誤接受率C、相等錯(cuò)誤率D、估計(jì)錯(cuò)誤率答案：C58.A1-69信息系統(tǒng)審計(jì)師獲得充分恰當(dāng)?shù)膶徲?jì)證據(jù)的最重要的目的是：A、遵守法規(guī)要求B、為得出合理結(jié)論提供依據(jù)C、確保審計(jì)覆蓋范圍完整D、根據(jù)定義的范圍執(zhí)行審計(jì)答案：B59.A1-147作為審計(jì)計(jì)劃的一部分,信息系統(tǒng)審計(jì)師正在設(shè)計(jì)各種數(shù)據(jù)驗(yàn)證測(cè)試，以有效地檢測(cè)轉(zhuǎn)位和轉(zhuǎn)錄錯(cuò)誤。以下哪項(xiàng)最有助于檢測(cè)這些錯(cuò)誤?A、范圍檢查B、有效性檢查C、重復(fù)檢查D、校驗(yàn)數(shù)字位答案：D60.項(xiàng)目開(kāi)發(fā)階段，新增加了一個(gè)功能點(diǎn)，以下哪項(xiàng)影響最大A、未滿足用戶需求B、項(xiàng)目關(guān)鍵路徑改變C、超出預(yù)算D、項(xiàng)目延遲完成答案：A61.信息系統(tǒng)審計(jì)師在審查對(duì)公司無(wú)線網(wǎng)絡(luò)環(huán)境中的受限制信息的訪問(wèn)控制時(shí)，應(yīng)該考慮到，僅使用下列哪一種方式對(duì)用戶進(jìn)行身份驗(yàn)證最受關(guān)注?A、U盤(pán)B、一次性密碼C、可排除D、媒體訪問(wèn)控制地址(MAC地址)答案：D62.A5-15某公司正實(shí)施動(dòng)態(tài)主機(jī)配置協(xié)議。出現(xiàn)以下哪種情況時(shí)更需要給予關(guān)注?A、大多數(shù)員工使用便攜式計(jì)算機(jī)。B、使用數(shù)據(jù)庫(kù)包過(guò)濾防火墻C、IP地址空間小于P數(shù)量D、未對(duì)訪問(wèn)網(wǎng)絡(luò)端口的操作進(jìn)行限制答案：D63.A5-203某公司決定實(shí)施基于公鑰基礎(chǔ)設(shè)施的電子簽名方案。用戶的私鑰會(huì)存儲(chǔ)在計(jì)算機(jī)硬盤(pán)中，并受密碼保護(hù)。此方法的最大風(fēng)險(xiǎn)是：A、如果密碼泄露，該用戶的電子簽名將遭到其他人的利用B、使用其他用戶的私鑰對(duì)消息進(jìn)行電子簽名，從而實(shí)現(xiàn)偽造C、用其他人的公鑰來(lái)替代該用戶的公鑰，從而實(shí)現(xiàn)對(duì)某用戶的模仿D、在計(jì)算機(jī)中用其他人的私鑰進(jìn)行替代，從而實(shí)現(xiàn)偽造答案：A64.單點(diǎn)登入（SSO）的主要風(fēng)險(xiǎn)：A、單一系統(tǒng)故障會(huì)影響所有系統(tǒng)B、不能有效的留下訪問(wèn)軌跡C、一次登入所有系統(tǒng)D、系統(tǒng)整合困難答案：A65.A5-129某信息系統(tǒng)審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個(gè)領(lǐng)域值得關(guān)注。以下哪個(gè)領(lǐng)域最重要?A、緊急斷電按鈕蓋不見(jiàn)了B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)C、數(shù)據(jù)中心沒(méi)有安全攝像頭D、緊急出口被阻塞答案：D66.【重要題】評(píng)估應(yīng)用程序與應(yīng)用程序之間如何交換數(shù)據(jù)，應(yīng)該審查：A、對(duì)應(yīng)用程序的風(fēng)險(xiǎn)評(píng)估結(jié)果B、ER實(shí)體關(guān)系圖C、服務(wù)器及其應(yīng)用程序列表D、配置管理數(shù)據(jù)庫(kù)答案：B67.A3-133對(duì)業(yè)務(wù)流程自動(dòng)化項(xiàng)目進(jìn)行實(shí)施后審查的主要目標(biāo)是：A、確保項(xiàng)目滿足預(yù)期的業(yè)務(wù)要求B、評(píng)估控制的充分性C、確認(rèn)符合技術(shù)標(biāo)準(zhǔn)D、確認(rèn)符合法規(guī)要求答案：A68.【重要題】.IT指導(dǎo)委員會(huì)應(yīng)該采取哪項(xiàng)措施來(lái)幫助董事會(huì)履行IT治理職責(zé)?A、制定IT政策和措施來(lái)跟蹤項(xiàng)目B、聚焦在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項(xiàng)目和IT資源的分配情況D、實(shí)施IT戰(zhàn)略答案：D69.A5-71與RSA加密相比,以下哪項(xiàng)是橢圓曲線加密的優(yōu)點(diǎn)?A、計(jì)算速度B、能夠支持?jǐn)?shù)字簽名C、更簡(jiǎn)便的密鑰分配D、消息完整性控制答案：A70.在審計(jì)生命周期的哪個(gè)階段適合與客戶討論初步審計(jì)意見(jiàn)？A、執(zhí)行階段B、報(bào)告階段C、規(guī)劃階段D、跟蹤階段答案：B71.風(fēng)險(xiǎn)評(píng)估結(jié)果需要更新主要是由于()?A、遵從政策的要求B、應(yīng)對(duì)數(shù)據(jù)的變化C、應(yīng)對(duì)IT環(huán)境的變化D、業(yè)務(wù)部門(mén)的需求答案：C72.A1-34審計(jì)完某個(gè)組織的災(zāi)難恢復(fù)計(jì)劃流程后，信息系統(tǒng)審計(jì)師請(qǐng)求與組織管理層開(kāi)會(huì)討論審查結(jié)果。以下哪項(xiàng)最能描述此次會(huì)議的主要目標(biāo)?A、獲得管理層對(duì)糾正措施計(jì)劃的批準(zhǔn)B、確認(rèn)審查結(jié)果的事實(shí)準(zhǔn)確性C、協(xié)助管理層實(shí)施糾正措施D、確認(rèn)項(xiàng)目解決方案的優(yōu)先級(jí)答案：B73.以下哪一種采樣方法最適用于即使是單個(gè)錯(cuò)誤也不可接受的情況？A、判斷抽樣B、分層抽樣C、發(fā)現(xiàn)抽樣D、屬性抽樣答案：C74.信息系統(tǒng)審計(jì)師正在審查關(guān)于公司災(zāi)難恢復(fù)測(cè)試的審計(jì)報(bào)告，他應(yīng)特別審查下列哪一項(xiàng)，才能論證所得出的結(jié)論？A、此前對(duì)公司其他災(zāi)難恢復(fù)所作的審計(jì)報(bào)告B、對(duì)所有突發(fā)事件測(cè)試的成功和弱點(diǎn)的詳細(xì)證據(jù)C、對(duì)所發(fā)現(xiàn)的明顯漏洞表明審計(jì)觀點(diǎn)的摘要備忘錄D、數(shù)據(jù)中心人員與審計(jì)師之間的會(huì)談紀(jì)要答案：B75.以下哪一項(xiàng)控制措施能夠最有效地解決搭載/緊隨進(jìn)入無(wú)雙門(mén)安全系統(tǒng)的受限區(qū)域的風(fēng)險(xiǎn)?A、)雙因素認(rèn)證B、安全意識(shí)培訓(xùn)C、生物識(shí)別門(mén)鎖D、要求佩戴I標(biāo)識(shí)卡答案：B76.A3-137在審查某個(gè)進(jìn)行中的項(xiàng)目時(shí)，信息系統(tǒng)審計(jì)師注意到開(kāi)發(fā)團(tuán)隊(duì)第一天在項(xiàng)目上花費(fèi)了8小時(shí)的活動(dòng)，而預(yù)算時(shí)間為24小時(shí)(3天。完成剩余部分的項(xiàng)目活動(dòng)預(yù)計(jì)需要20小時(shí)。信息系統(tǒng)審計(jì)師應(yīng)報(bào)告該項(xiàng)目：A、滯后于進(jìn)度B、比進(jìn)度提前C、在按進(jìn)度進(jìn)行D、除非活動(dòng)已完成，否則無(wú)法評(píng)估答案：A77.以下哪一項(xiàng)能保證供應(yīng)商支持的軟件保持最新?tīng)顟B(tài)?A、補(bǔ)丁程序管理B、版本管理C、軟件資產(chǎn)管理D、許可協(xié)議答案：A78.【重要題】發(fā)票上的帳單總金額每周自動(dòng)傳輸?shù)狡髽I(yè)的帳戶總帳上。審計(jì)師發(fā)現(xiàn)總帳上缺少一周的帳單時(shí)，應(yīng)該首先檢查以下哪一個(gè)領(lǐng)域?A、年度對(duì)帳B、變更管理C、批處理控制D、模塊訪問(wèn)權(quán)限答案：C79.A1-9對(duì)于一家交易量巨大的零售企業(yè)來(lái)說(shuō)，下面哪項(xiàng)最適合應(yīng)對(duì)新出現(xiàn)的風(fēng)險(xiǎn)的審計(jì)技術(shù)?A、使用計(jì)算機(jī)輔助審計(jì)技術(shù)B、季度風(fēng)險(xiǎn)評(píng)估C、交易日志抽樣D、持續(xù)性審計(jì)答案：D80.安裝數(shù)據(jù)泄漏防護(hù)（DLP)軟件的主要目的是控制以下哪一項(xiàng)？A、服務(wù)器上存儲(chǔ)的保密文件的訪問(wèn)特權(quán)B、意圖破壞內(nèi)部網(wǎng)絡(luò)中的重要數(shù)據(jù)C、哪些外部系統(tǒng)可以訪問(wèn)內(nèi)部資源D、保密文件流出內(nèi)部網(wǎng)絡(luò)答案：D81.在審查IT治理的時(shí)候，在以下選項(xiàng)中，審計(jì)師最關(guān)注的是?A、董事會(huì)所指定的政策策略的遵循情況B、管理部門(mén)所采用的控制框架C、審計(jì)委員會(huì)會(huì)議記錄中與信息系統(tǒng)有關(guān)的事項(xiàng)與控制內(nèi)容D、業(yè)務(wù)流程責(zé)任人的職責(zé)在企業(yè)內(nèi)部是否一致答案：C82.在生產(chǎn)運(yùn)行環(huán)境中更改程序，最重要的是得到誰(shuí)的批準(zhǔn)？A、用戶部門(mén)負(fù)責(zé)人B、信息系統(tǒng)管理層C、安全管理員D、項(xiàng)目經(jīng)理答案：A83.在災(zāi)難恢復(fù)審計(jì)過(guò)程中，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)沒(méi)有進(jìn)行業(yè)務(wù)影響分析，審計(jì)師需首先開(kāi)展哪項(xiàng)工作？A、執(zhí)行額外的符合性測(cè)試B、評(píng)估對(duì)當(dāng)前災(zāi)難恢復(fù)能力的影響C、執(zhí)行業(yè)務(wù)影響分析D、向管理層提交報(bào)告答案：B84.A3-92在審查基于Web的軟件開(kāi)發(fā)項(xiàng)目期間，某信息系統(tǒng)審計(jì)師意識(shí)到編碼標(biāo)準(zhǔn)未得到貫徹執(zhí)行。代碼審查也很少執(zhí)行，此情況最有可能增加以下哪項(xiàng)攻擊的可能性?A、緩沖溢出B、窮舉攻擊C、分步式拒絕服務(wù)攻擊D、戰(zhàn)爭(zhēng)撥號(hào)攻擊答案：A85.A5-138在規(guī)定了IT安全基準(zhǔn)的組織中，信息系統(tǒng)審計(jì)師首先應(yīng)確?；鶞?zhǔn)：A、正常實(shí)施B、合規(guī)性C、記錄在案D、充分性答案：D86.A1-114某信息系統(tǒng)審計(jì)師正在核對(duì)生產(chǎn)中的設(shè)備與庫(kù)存記錄。這種測(cè)試屬于以下哪一項(xiàng)?A、實(shí)質(zhì)性測(cè)試B、符合性測(cè)試C、分析性測(cè)試D、控制測(cè)試答案：A87.公司要將保密數(shù)據(jù)給到下游應(yīng)用系統(tǒng)，最能保證安全性的是？（金融機(jī)構(gòu)需要向下屬分公司傳輸機(jī)密性的數(shù)據(jù)，最佳做法是？）A、SFTPB、帶時(shí)間截的文件頭C、SNMPD、SNTPE、安全外殼答案：A88.在開(kāi)發(fā)整個(gè)公司電子數(shù)據(jù)交換（EDI）項(xiàng)目的過(guò)程中，必須完成下列那一項(xiàng)？A、實(shí)施消息標(biāo)準(zhǔn)B、審查所有供應(yīng)商的EDI應(yīng)用程序C、實(shí)施加密技術(shù)D、安裝一個(gè)ISDN答案：A89.某IS審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個(gè)領(lǐng)域值得關(guān)注。以下哪個(gè)領(lǐng)域最?A、緊急斷電按鈕蓋不見(jiàn)了。B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)。C、數(shù)據(jù)中心沒(méi)有安全攝像頭。D、緊急出口門(mén)被阻塞。答案：D90.測(cè)試程序和生產(chǎn)程序分離的主要目的在于?A、為變更管理控制提供基礎(chǔ)B、為變更實(shí)施控制C、信息系統(tǒng)人員和最終用戶之間實(shí)施職責(zé)分離D、限制IT人員對(duì)開(kāi)發(fā)環(huán)境的訪問(wèn)權(quán)限答案：A91.A3-15某信息系統(tǒng)審計(jì)師正在對(duì)某組織的系統(tǒng)進(jìn)行實(shí)施后審查，并識(shí)別出會(huì)計(jì)應(yīng)用內(nèi)部的輸出錯(cuò)誤。該信息系統(tǒng)審計(jì)師判定這是由輸入錯(cuò)誤造成的。該信息系統(tǒng)審計(jì)師應(yīng)當(dāng)向管理層建議采取以下哪一項(xiàng)控制措施?A、重新計(jì)算B、極限檢查C、分步合計(jì)D、對(duì)賬答案：B92.某IS審計(jì)師正在審查某會(huì)計(jì)系統(tǒng)的訪問(wèn)情況，并發(fā)現(xiàn)了職責(zé)分離問(wèn)題；但業(yè)務(wù)規(guī)模小，沒(méi)有額外的工人可供使用。在這種情況下，以下哪一項(xiàng)是建議的最佳補(bǔ)償性控制？A、實(shí)施基于角色的訪問(wèn)B、審查審計(jì)軌跡C、執(zhí)行定期訪問(wèn)審查D、審查錯(cuò)誤日志答案：B93.A5-3審計(jì)軌跡的主要目的是：A、改善用戶響應(yīng)時(shí)間B、確定已處理交易的問(wèn)責(zé)制度C、提高系統(tǒng)的操作效率D、為想要跟蹤交易的審計(jì)師提供信息答案：B94.A4-245在開(kāi)發(fā)最終用戶計(jì)算應(yīng)用程序時(shí)，下列哪項(xiàng)屬于普遍存在的風(fēng)險(xiǎn)?A、應(yīng)用程序可能無(wú)法進(jìn)行測(cè)試和一般IT控制B、開(kāi)發(fā)和維護(hù)成本會(huì)增加C、應(yīng)用程序開(kāi)發(fā)時(shí)間會(huì)延長(zhǎng)D、由于響應(yīng)信息請(qǐng)求的能力降低，決策受到影響答案：A95.內(nèi)部審計(jì)的職責(zé)由以下哪一項(xiàng)明確A、審計(jì)計(jì)劃B、審計(jì)章程C、審計(jì)目標(biāo)D、審計(jì)范圍素答案：B96.操作系統(tǒng)管理員未執(zhí)行年度財(cái)務(wù)報(bào)表的腳本，提什么建議A、執(zhí)行關(guān)閉清單losingheklistB、財(cái)務(wù)人員加入操作系統(tǒng)C、培訓(xùn)操作系統(tǒng)人員D、更新操作手冊(cè)答案：C97.A2-79評(píng)估IT風(fēng)險(xiǎn)時(shí),最好通過(guò)以下哪項(xiàng)來(lái)完成?A、評(píng)估現(xiàn)有IT資產(chǎn)和IT項(xiàng)目相關(guān)的威脅和漏洞B、利用組織以前積累的實(shí)際損失經(jīng)驗(yàn)來(lái)確定目前的風(fēng)險(xiǎn)敞口C、審查類(lèi)似組織發(fā)布的損失統(tǒng)計(jì)數(shù)據(jù)D、審核審計(jì)報(bào)告中確定的IT控制弱點(diǎn)答案：A98.A5-31在組織中，以下哪一項(xiàng)能最有效地限制訪問(wèn)未授權(quán)的互聯(lián)網(wǎng)站點(diǎn)?A、通過(guò)內(nèi)容過(guò)濾代理服務(wù)器路由出站互聯(lián)網(wǎng)流量B、通過(guò)反向代理服務(wù)器路由入站互聯(lián)網(wǎng)流量C、實(shí)施具有合適訪問(wèn)規(guī)則的防火墻D、部署客戶端軟件實(shí)用工具，阻止不當(dāng)內(nèi)容答案：A99.A5-196對(duì)成功的社會(huì)工程攻擊的最貼近的解釋是：A、計(jì)算機(jī)錯(cuò)誤B、判斷錯(cuò)誤C、專(zhuān)業(yè)知識(shí)D、技術(shù)答案：B100.A4-82某批量交易作業(yè)在生產(chǎn)中操作失敗，但在用戶驗(yàn)收測(cè)試(UAT)中卻未出現(xiàn)問(wèn)題。生產(chǎn)批量作業(yè)分析顯示，它在UAT后經(jīng)過(guò)修改。將來(lái)減少這種風(fēng)險(xiǎn)的最佳途徑是以下哪一個(gè)?A、完善回歸測(cè)試案例B、針對(duì)發(fā)布后的有限時(shí)間段啟用審計(jì)軌跡C、執(zhí)行應(yīng)用用戶訪問(wèn)審查D、確保開(kāi)發(fā)人員在測(cè)試后無(wú)訪問(wèn)權(quán)限進(jìn)行編碼答案：D101.IS審計(jì)師被IS管理人員告知，組織最近己達(dá)到軟件能力成熟度模型(CMM)的最高級(jí)別。則該組織最近添加的軟件質(zhì)量過(guò)程為：A、持續(xù)改進(jìn)。B、定量質(zhì)量目標(biāo)。C、記錄流程。D、為特定項(xiàng)目制定的流程。答案：A102.信息系統(tǒng)審計(jì)師在審查某應(yīng)用程序是否符合信息隱私保護(hù)原則時(shí)，應(yīng)該最關(guān)注以下哪項(xiàng)？A、完整性B、不可抵賴性C、可用性D、信息收集限制答案：D103.郵件要求保密機(jī)制的那個(gè)題，我想起來(lái)選項(xiàng)了，說(shuō)最擔(dān)心以下哪種A、公鑰基礎(chǔ)架構(gòu)B、簽名C、對(duì)稱密鑰D、非對(duì)稱密鑰答案：B104.基于風(fēng)險(xiǎn)的審計(jì)方法其主要好處是A、識(shí)別關(guān)鍵控制措施B、縮小審計(jì)范圍C、確定審計(jì)資源的優(yōu)先級(jí)D、了解業(yè)務(wù)流程答案：C105.審查EUC終端用戶用戶有關(guān)的制度和流程時(shí)，審計(jì)師是要評(píng)估哪種類(lèi)型的控制A、改正性措施B、檢查性措施C、預(yù)防性措施答案：C106.A3-31在以下哪個(gè)位置和時(shí)間執(zhí)行對(duì)遠(yuǎn)程站點(diǎn)中輸入的數(shù)據(jù)的邏輯/驗(yàn)證最有效?A、中央處理站點(diǎn)，運(yùn)行應(yīng)用系統(tǒng)后B、中央處理站點(diǎn)，應(yīng)用系統(tǒng)運(yùn)行期間C、遠(yuǎn)程處理站點(diǎn)，數(shù)據(jù)傳輸?shù)街醒胩幚碚军c(diǎn)后D、遠(yuǎn)程處理站點(diǎn)，數(shù)據(jù)傳輸?shù)街醒胩幚碚军c(diǎn)前答案：D107.A4-26信息系統(tǒng)審計(jì)師在評(píng)估可用性網(wǎng)絡(luò)的恢復(fù)力時(shí)，最應(yīng)該關(guān)注：A、是否在地理上分散安裝網(wǎng)絡(luò)B、服務(wù)器匯集在同一站點(diǎn)中C、熱備援中心是否已準(zhǔn)備好運(yùn)行D、該網(wǎng)絡(luò)是否實(shí)施了多路由選擇功能答案：B108.A3-66功能性是與整個(gè)軟件產(chǎn)品生命周期內(nèi)的質(zhì)量評(píng)估相關(guān)的特征，將其描述為與以下哪項(xiàng)有關(guān)的一組屬性最為恰當(dāng)?A、存在一系列功能及其特定屬性B、軟件從一個(gè)環(huán)境遷移到另一個(gè)環(huán)境的能力C、軟件在規(guī)定條件下維持其性能水平的能力D、軟件性能與所用資源量之間的關(guān)系答案：A109.從風(fēng)險(xiǎn)管理的角度，部署龐大且復(fù)雜的IT基礎(chǔ)架構(gòu)，哪種方法最好：A、部署前仿真模擬新的架構(gòu)B、按次序階段性的部署計(jì)劃C、原型化和單階部署D、在概念論證之后，全面迅速的部署答案：B110.熱備源中心什么的，is審計(jì)師最關(guān)注A、物理訪問(wèn)性B、邏輯訪問(wèn)性C、互惠協(xié)議D、數(shù)據(jù)恢復(fù)性答案：D111.A5-246以下哪一項(xiàng)是判斷計(jì)算機(jī)安全事故響應(yīng)團(tuán)隊(duì)是否起作用的指標(biāo)?A、每次安全事故對(duì)財(cái)務(wù)方面的影響B(tài)、已修補(bǔ)安全漏洞的數(shù)量C、受保護(hù)的業(yè)務(wù)應(yīng)用程序所占的百分比D、滲透測(cè)試成功的數(shù)量答案：A112.以下哪一項(xiàng)是使用秘密秘鑰型加密的優(yōu)勢(shì)？A、可用于數(shù)字簽名B、使用效率C、能在用戶間共享密鑰D、增強(qiáng)驗(yàn)證功能答案：D113.A1-42組織的戰(zhàn)略計(jì)劃預(yù)期會(huì)有以下哪項(xiàng)目標(biāo)?A、新軟件測(cè)試的結(jié)果B、對(duì)信息技術(shù)需求執(zhí)行評(píng)估C、新規(guī)劃系統(tǒng)的短期項(xiàng)目計(jì)劃D、組織提供經(jīng)批準(zhǔn)的產(chǎn)品供應(yīng)商答案：D114.A5-209以下哪項(xiàng)屬于最可靠的單因素個(gè)人識(shí)別方式?A、智能卡B、密碼C、照片識(shí)別D、虹膜掃描答案：D115.以下哪項(xiàng)表現(xiàn)了項(xiàng)目開(kāi)展是經(jīng)由高層次人員支持并符合組織目標(biāo)的?A、項(xiàng)目計(jì)劃的批準(zhǔn)B、可行性分析C、業(yè)務(wù)案例的批準(zhǔn)答案：C116.要求督導(dǎo)委員會(huì)監(jiān)督IT投資的主要好處是以下哪一項(xiàng)？A、進(jìn)行可行性分析，以表明IT價(jià)值B、確保根據(jù)業(yè)務(wù)需求進(jìn)行投資C、確保強(qiáng)制落實(shí)適當(dāng)?shù)陌踩刂拼胧〥、確保實(shí)施標(biāo)準(zhǔn)的開(kāi)發(fā)方法答案：B117.A4-77在什么情況下，可將實(shí)施熱備援中心作為恢復(fù)策略?A、停機(jī)容災(zāi)能力很低B、恢復(fù)點(diǎn)目標(biāo)很高C、恢復(fù)時(shí)間目標(biāo)很高D、可容忍的最長(zhǎng)停機(jī)時(shí)間很長(zhǎng)答案：A118.【重要題】.ERP系統(tǒng)中的三項(xiàng)匹配機(jī)制，審計(jì)師應(yīng)審查以下哪一項(xiàng)?A、銀行方(記不清，可排除)B、交貨通知C、采購(gòu)訂單D、采購(gòu)申請(qǐng)單答案：C119.A4-33以下哪項(xiàng)是審查服務(wù)臺(tái)業(yè)務(wù)期間主要關(guān)注的問(wèn)題?A、服務(wù)臺(tái)團(tuán)隊(duì)無(wú)法解答某些服務(wù)呼叫中心提出的問(wèn)題B、未能為服務(wù)臺(tái)團(tuán)隊(duì)指定專(zhuān)用線路C、事故解決后未洽詢最終用戶即結(jié)案D、服務(wù)臺(tái)無(wú)法發(fā)送即時(shí)服務(wù)消息已超過(guò)6個(gè)月答案：C120.在審計(jì)射頻識(shí)別技術(shù)(RFID)時(shí),最應(yīng)該注意什么?A、可擴(kuò)展性B、不可否認(rèn)性C、隱私D、可維護(hù)性答案：C121.制定后續(xù)審計(jì)什么最重要：A、與被審計(jì)組織協(xié)調(diào)時(shí)間B、可用資源C、審計(jì)發(fā)現(xiàn)的風(fēng)險(xiǎn)暴露D、制定審計(jì)計(jì)劃答案：C122.當(dāng)規(guī)劃實(shí)施新系統(tǒng)時(shí)，公司選擇并行運(yùn)行的主要目的是？A、確保系統(tǒng)滿足所需的用戶響應(yīng)時(shí)間B、協(xié)助新員工的培訓(xùn)工作C、驗(yàn)證系統(tǒng)接口是否已實(shí)施D、確認(rèn)系統(tǒng)處理能力答案：D123.在IT審計(jì)后，管理層決定接受審計(jì)報(bào)告中強(qiáng)調(diào)的風(fēng)險(xiǎn)，以下哪項(xiàng)最能向信息系統(tǒng)審計(jì)師保證管理層充分平衡了業(yè)務(wù)需求與管理風(fēng)險(xiǎn)的需要?A、存在溝通計(jì)劃用于通知受風(fēng)險(xiǎn)影響的各方。B、潛在影響和可能性已充分記錄。C、向公司的風(fēng)險(xiǎn)委員會(huì)報(bào)告識(shí)別的風(fēng)險(xiǎn)。D、存在接受和批準(zhǔn)風(fēng)險(xiǎn)的所定標(biāo)準(zhǔn)。答案：D124.流程所有權(quán)分配在系統(tǒng)開(kāi)發(fā)項(xiàng)目中至關(guān)重要，原因是它：A、利于跟蹤開(kāi)發(fā)完成的百分比。B、優(yōu)化用戶驗(yàn)收測(cè)試(UAT)案例的設(shè)計(jì)成本。C、最大限度縮小需求與功能之間的差距。D、確保系統(tǒng)設(shè)計(jì)基于業(yè)務(wù)需求。答案：D125.A5-223以下哪項(xiàng)能夠最有效地增強(qiáng)基于質(zhì)詢應(yīng)答的身份認(rèn)證系統(tǒng)的安全性?A、選擇更可靠的算法來(lái)生成詢問(wèn)字符串B、采取各種措施防止會(huì)話劫持攻擊C、增加更改相關(guān)密碼的頻率D、增加身份認(rèn)證字符串的長(zhǎng)度答案：B126.A1-95采用控制自我評(píng)估技術(shù)的組織可獲得的一個(gè)主要好處是：A、可確定以后可能需要詳細(xì)審查的高風(fēng)險(xiǎn)區(qū)域B、允許信息系統(tǒng)審計(jì)師獨(dú)立評(píng)估風(fēng)險(xiǎn)C、可取代傳統(tǒng)審計(jì)D、允許管理層放手控制職責(zé)答案：A127.當(dāng)確定在多個(gè)國(guó)家都有分支機(jī)構(gòu)的全球性企業(yè)的數(shù)據(jù)保留政策時(shí)，下列哪一項(xiàng)是最重要的考慮因素：A、政策與公司政策與慣例的一致性B、政策與當(dāng)?shù)胤煞ㄒ?guī)的一致性C、政策與全球最佳實(shí)踐的一致性D、政策與業(yè)務(wù)目標(biāo)的一致性答案：B128.A3-54當(dāng)應(yīng)用程序開(kāi)發(fā)人員想要使用前一天的生產(chǎn)交易文件副本來(lái)做容量測(cè)試時(shí)，信息系統(tǒng)審計(jì)師的主要擔(dān)憂是：A、用戶可能更愿意在測(cè)試時(shí)使用編造的數(shù)據(jù)B、可能導(dǎo)致敏感數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問(wèn)C、錯(cuò)誤處理和可信度檢查可能得不到全面驗(yàn)證D、未必能測(cè)試新程序的全部功能答案：B129.為解決企業(yè)對(duì)需求請(qǐng)求書(shū)(RFP)回復(fù)的可靠性的擔(dān)憂，IS審計(jì)師應(yīng)建議：A、在合同中注明關(guān)鍵事項(xiàng)B、調(diào)查供應(yīng)商在行業(yè)的信譽(yù)C、與供應(yīng)商一起驗(yàn)證RFP的回復(fù)D、聯(lián)系供應(yīng)商，共同制定RFP的回復(fù)答案：A130.A4-162以下哪項(xiàng)安全措施最能保證數(shù)據(jù)倉(cāng)庫(kù)所存儲(chǔ)信息的完整性?A、經(jīng)過(guò)驗(yàn)證的每日備份B、變更管理流程C、數(shù)據(jù)字典維護(hù)D、只讀限制答案：D131.A2-144公司的呼叫中心IT政策要求為所有用戶指定獨(dú)立無(wú)二的用戶賬戶。如果發(fā)現(xiàn)并非所有當(dāng)前用戶均符合此要求，最適當(dāng)?shù)慕ㄗh是什么?A、讓營(yíng)運(yùn)管理人員審批當(dāng)前配置B、確保現(xiàn)有的所有賬戶都有審計(jì)軌跡C、為所有員工實(shí)施獨(dú)立的用戶賬戶D、修改IT政策以允許使用共享賬戶答案：C132.信息系統(tǒng)審計(jì)師使用端口掃描軟件來(lái)：A、建立通訊連接B、檢測(cè)入侵行為C、檢測(cè)開(kāi)放服務(wù)D、確保所有端口在使用中權(quán)答案：C133.為減輕API(ApplicationProgramminginterface,應(yīng)用程序編程接口)查詢公開(kāi)數(shù)據(jù)的風(fēng)險(xiǎn)，以下哪項(xiàng)考慮因素最重要?A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化應(yīng)用程序編程接口D、數(shù)據(jù)保留答案：C134.在公司實(shí)施了語(yǔ)音通信(VOIP),哪一項(xiàng)是存在的最大問(wèn)題?A、不能在公司內(nèi)網(wǎng)用VPNB、數(shù)字和語(yǔ)音不能互相轉(zhuǎn)換C、數(shù)字和語(yǔ)音傳輸?shù)膯我还收宵c(diǎn)D、由于網(wǎng)絡(luò)問(wèn)題引起的丟包導(dǎo)致語(yǔ)音質(zhì)量受影響答案：C135.【重要題】下面哪一項(xiàng)措施是防止非授權(quán)登錄最可靠的方法?A、加強(qiáng)現(xiàn)有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計(jì)算機(jī)D、安全自動(dòng)密碼生成器答案：B136.若要開(kāi)發(fā)一個(gè)應(yīng)用于整個(gè)公司的系統(tǒng)，最適合總體負(fù)責(zé)該項(xiàng)目的角色是：A、IS主管B、項(xiàng)目經(jīng)理C、企業(yè)高管D、業(yè)務(wù)分析員答案：C137.以下哪一項(xiàng)是災(zāi)難恢復(fù)計(jì)劃的步驟之一？A、評(píng)估和量化風(fēng)險(xiǎn)B、與災(zāi)難計(jì)劃咨詢顧問(wèn)協(xié)商合同C、獲得替代設(shè)備供應(yīng)D、確定應(yīng)用程序控制需求答案：A138.在下一年選擇進(jìn)行哪些信息系統(tǒng)審計(jì)的主要依據(jù)是什么?A、上一年的審計(jì)發(fā)現(xiàn)結(jié)果B、高層管理層的要求C、組織風(fēng)險(xiǎn)評(píng)估D、以前的審計(jì)范圍答案：C139.A1-50如果信息系統(tǒng)審計(jì)師與部門(mén)經(jīng)理對(duì)審計(jì)結(jié)果存在爭(zhēng)議，爭(zhēng)議期間審計(jì)師應(yīng)首先采取以下哪項(xiàng)行動(dòng)?A、對(duì)控制重新進(jìn)行測(cè)試，以驗(yàn)證審計(jì)結(jié)果B、邀請(qǐng)第三方對(duì)審計(jì)結(jié)果進(jìn)行驗(yàn)證C、將審計(jì)結(jié)果記入報(bào)告，同時(shí)注明部門(mén)經(jīng)理的意見(jiàn)D、對(duì)支持審計(jì)結(jié)果的證據(jù)進(jìn)行重新驗(yàn)證答案：D140.公司用了軟件即服務(wù)(saas),在軟件供應(yīng)商不再提供服務(wù)的情況下怎樣能保證可用性?A、復(fù)制這個(gè)軟件(大概是意思)B、把數(shù)據(jù)定期備份C、在網(wǎng)絡(luò)連接上做一個(gè)冗余D、第三方托管答案：D141.以下哪一項(xiàng)是降低未授權(quán)訪問(wèn)無(wú)人值守的最終用戶PC系統(tǒng)的最有效方法？A、強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序B、實(shí)施以鄰近為基礎(chǔ)的身份認(rèn)證系統(tǒng)C、按預(yù)定義間隔終止用戶會(huì)話D、調(diào)整電源管理設(shè)置，以保證顯示屏是空白的答案：A142.A4-35一家大型連鎖店在銷(xiāo)售終端設(shè)備上安裝了電子資金轉(zhuǎn)賬系統(tǒng)，并且配備了一個(gè)用于連接到銀行網(wǎng)絡(luò)的中央通信處理器。對(duì)于該通信處理器，以下哪種災(zāi)難恢復(fù)計(jì)劃是最佳方案?A、異地存儲(chǔ)日常備份數(shù)據(jù)B、現(xiàn)場(chǎng)安裝備用處理器C、安裝雙工通信線路D、在其他網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器答案：D143.以下哪一項(xiàng)是計(jì)劃評(píng)審技術(shù)(PERT)相比其它方法的優(yōu)點(diǎn)？與其它方法相比:A、為計(jì)劃和控制項(xiàng)目考慮不同的情景B、允許使用者輸入程序和系統(tǒng)參數(shù).C、測(cè)試系統(tǒng)維護(hù)加工的準(zhǔn)確性D、估算系統(tǒng)項(xiàng)目成本.答案：A144.防止同時(shí)使用軟件許可的最佳措施?A、用戶自律B、供應(yīng)商實(shí)施突擊審計(jì)C、系統(tǒng)管理員實(shí)施監(jiān)控D、計(jì)量軟件答案：D145.在制定項(xiàng)目風(fēng)險(xiǎn)登記表時(shí)，以下哪項(xiàng)是最重要的行動(dòng)?A、進(jìn)行wlkthrough穿行測(cè)試B、為已識(shí)別的風(fēng)險(xiǎn)分配風(fēng)險(xiǎn)所有權(quán)C、確定風(fēng)險(xiǎn)評(píng)分標(biāo)準(zhǔn)D、制定風(fēng)險(xiǎn)行動(dòng)計(jì)劃答案：B146.A4-34定期測(cè)試異地災(zāi)難恢復(fù)設(shè)施的主要目的是：A、保護(hù)數(shù)據(jù)庫(kù)中數(shù)據(jù)的完整性B、不必制訂詳細(xì)的應(yīng)急計(jì)劃C、確保應(yīng)急設(shè)施持續(xù)保持兼容性D、確保程序和系統(tǒng)文檔保持最新答案：C147.A5-259神經(jīng)網(wǎng)絡(luò)可有效地檢測(cè)欺詐，因?yàn)樯窠?jīng)網(wǎng)絡(luò)可以：A、發(fā)現(xiàn)新的趨勢(shì)，因?yàn)槠浔旧硎蔷€性的B、解決不能獲得大量常規(guī)培訓(xùn)數(shù)據(jù)組的問(wèn)題C、解決需要考慮大量輸入變量的問(wèn)題D、假設(shè)任何曲線的形象是根據(jù)變量和輸出之間的關(guān)系繪制的答案：C148.A1-38以下哪種形式的證據(jù)會(huì)被信息系統(tǒng)審計(jì)師認(rèn)為最可靠的?A、受審方的口頭陳述B、外部信息系統(tǒng)審計(jì)師執(zhí)行的測(cè)試的結(jié)果C、內(nèi)部生成的計(jì)算機(jī)會(huì)計(jì)報(bào)告D、從外部來(lái)源收到的確認(rèn)函答案：B149.某組織實(shí)施了一個(gè)分布式會(huì)計(jì)系統(tǒng)，IS審計(jì)師正在進(jìn)行實(shí)施后審查，以提供數(shù)據(jù)完整性控制的鑒證。該審計(jì)師應(yīng)當(dāng)首先執(zhí)行以下哪一項(xiàng)？A、審查用戶訪問(wèn)。B、評(píng)估變更請(qǐng)求流程。C、評(píng)估對(duì)賬控制。D、審查數(shù)據(jù)流程圖。答案：D150.A1-55在信息系統(tǒng)審計(jì)的計(jì)劃階段，信息系統(tǒng)審計(jì)師的主要目標(biāo)是：A、達(dá)到審計(jì)目標(biāo)B、收集足夠的證據(jù)C、指定適當(dāng)?shù)臏y(cè)試D、盡可能少使用審計(jì)資源答案：A151.審計(jì)師不能直接審查第三方供應(yīng)商隱私方面的控制，應(yīng)該審查：A、供應(yīng)商提供的獨(dú)立審計(jì)報(bào)告B、主服務(wù)協(xié)議MLSC、服務(wù)商內(nèi)部審計(jì)部門(mén)的測(cè)試結(jié)果D、服務(wù)商控制自我審查答案：A152.某個(gè)大型組織正在對(duì)下一年度的IT項(xiàng)目進(jìn)行優(yōu)先級(jí)排序。排序的依據(jù)應(yīng)該：A、根據(jù)項(xiàng)目的成本效益分析結(jié)果。B、根據(jù)組織下一年度的IT資源情況。C、根據(jù)項(xiàng)目的投資額大小。D、根據(jù)技術(shù)的先進(jìn)性答案：A153.成熟的質(zhì)量管理系統(tǒng)QMS的指標(biāo)?A、項(xiàng)目顯示持續(xù)改進(jìn)B、設(shè)定了評(píng)估標(biāo)準(zhǔn)并集成到所有系統(tǒng)中強(qiáng)制執(zhí)行C、所有部門(mén)都提交了質(zhì)量報(bào)告D、運(yùn)行良好未發(fā)現(xiàn)問(wèn)題答案：A154.在應(yīng)用加密的備份磁帶時(shí)，最重大的關(guān)注應(yīng)是以下哪一項(xiàng)?A、丟失加密密鑰B、缺乏磁帶的物理安全性C、因加密過(guò)程造成數(shù)據(jù)不準(zhǔn)確D、與未來(lái)軟件版本不兼容答案：A155.在審計(jì)企業(yè)的財(cái)務(wù)報(bào)告時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)IT一般控制存在瑕疵。信息系統(tǒng)審計(jì)師應(yīng)該建議什么？A、增加應(yīng)用控制的符合性測(cè)試B、更加依賴應(yīng)用控制C、增加對(duì)財(cái)務(wù)余額的實(shí)質(zhì)性測(cè)試D、可排除答案：A156.在制定業(yè)務(wù)持續(xù)性計(jì)劃(BCP)時(shí)，業(yè)務(wù)單位管理層參與以下哪項(xiàng)工作最重要?A、參與業(yè)務(wù)恢復(fù)程序的制定B、參與實(shí)施文檔庫(kù)C、參與業(yè)務(wù)影響分析D、參與IT風(fēng)險(xiǎn)評(píng)估答案：C157.A5-256以下哪項(xiàng)是處理利用協(xié)議漏洞傳播網(wǎng)絡(luò)蠕蟲(chóng)的最可靠而有效的解決方法?A、立即安裝最新供應(yīng)商安全修補(bǔ)程序B、在外圍防火墻中阻止協(xié)議通信C、阻止內(nèi)部網(wǎng)絡(luò)段間的協(xié)議通信D、停止協(xié)議使用的服務(wù)答案：D158.網(wǎng)上系統(tǒng)應(yīng)用在使用過(guò)程中由于數(shù)據(jù)量大導(dǎo)致延遲，系統(tǒng)響應(yīng)時(shí)間無(wú)法接受，哪一項(xiàng)可以提升應(yīng)用的性能？A、RAID5(數(shù)據(jù)復(fù)制技術(shù))B、磁盤(pán)鏡像C、負(fù)載均衡D、調(diào)整防火墻配置答案：C159.包含敏感信息的EUC存在哪項(xiàng)最大的風(fēng)險(xiǎn)A、數(shù)據(jù)未被保護(hù)B、系統(tǒng)未被包含進(jìn)庫(kù)存C、沒(méi)有審計(jì)日志D、安全授權(quán)不可用答案：A160.災(zāi)難恢復(fù)計(jì)劃屬于什么類(lèi)型：A、預(yù)防性B、檢測(cè)性C、指導(dǎo)性D、整改性答案：D161.數(shù)據(jù)中心審計(jì)時(shí)，審計(jì)師發(fā)現(xiàn)火災(zāi)風(fēng)險(xiǎn)非常高應(yīng)該推薦什么作為最有效的滅火措施?A、噴水式滅火系統(tǒng)B、手持式滅火器C、干劑滅火系統(tǒng)D、可排除答案：C162.A4-215設(shè)計(jì)應(yīng)對(duì)潛在自然災(zāi)害的數(shù)據(jù)備份策略時(shí)，以下哪一項(xiàng)最有幫助?A、恢復(fù)點(diǎn)目標(biāo)B、需要備份的數(shù)據(jù)量C、可用的數(shù)據(jù)備份技術(shù)D、恢復(fù)時(shí)間目標(biāo)答案：A163.A5-8以下哪一項(xiàng)是盡量降低未經(jīng)授權(quán)訪問(wèn)無(wú)人值守的最終用戶PC系統(tǒng)的最有效方法?A、強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序B、實(shí)施以接近感應(yīng)為基礎(chǔ)的身份認(rèn)證系統(tǒng)C、按預(yù)定義間隔終止用戶會(huì)話D、調(diào)整電源管理設(shè)置，以保護(hù)顯示屏是空白的答案：A164.A5-135信息系統(tǒng)審計(jì)師可以采用什么方法來(lái)測(cè)試分支機(jī)構(gòu)所在位置的無(wú)線安全?A、戰(zhàn)爭(zhēng)撥號(hào)B、社會(huì)工程C、戰(zhàn)爭(zhēng)駕駛D、密碼破解答案：C165.A2-33某業(yè)務(wù)單位已選用新的會(huì)計(jì)應(yīng)用，但并未選擇流程中提前咨詢IT部門(mén)。主要風(fēng)險(xiǎn)是：A、該應(yīng)用的安全控制可能不符合要求B、該應(yīng)用可能不符合業(yè)務(wù)用戶的需求C、該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)不一致D、該應(yīng)用可能給IT部門(mén)帶來(lái)不可預(yù)見(jiàn)的支持問(wèn)題答案：C166.A4-64為組織優(yōu)化的災(zāi)難恢復(fù)計(jì)劃應(yīng)該：A、縮短恢復(fù)時(shí)間，降低恢復(fù)成本B、延長(zhǎng)恢復(fù)時(shí)間，提高恢復(fù)成本C、縮短恢復(fù)的持續(xù)時(shí)間，提高恢復(fù)成本D、不影響恢復(fù)時(shí)間和成本答案：A167.說(shuō)去一個(gè)公司執(zhí)行審計(jì)，想了解這個(gè)公司業(yè)務(wù)流程方面的執(zhí)行情況，問(wèn)應(yīng)該怎么做A、跟高級(jí)業(yè)務(wù)管理員面談B、外部的審計(jì)報(bào)告C、公；司最近的內(nèi)部審計(jì)報(bào)告D、自己觀察啥的答案：A168.信息系統(tǒng)審計(jì)師審計(jì)時(shí)發(fā)現(xiàn)有些員工離職后，賬號(hào)仍然能訪問(wèn)系統(tǒng)，為了防止這種情況，最好的控制是什么?A、自動(dòng)刪除一段時(shí)間沒(méi)有活動(dòng)的員工賬號(hào)B、自動(dòng)刪除入職一定時(shí)間的員工賬號(hào)C、不記得了，可排除D、用一個(gè)軟件與人力資源的系統(tǒng)建立自動(dòng)化接口答案：D169.某IS審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，發(fā)現(xiàn)以下哪個(gè)問(wèn)題最值得關(guān)注?A、不記得了B、滅火系統(tǒng)C、安全攝像頭D、緊急出口答案：D170.應(yīng)用程序可以使用用戶賬號(hào)訪問(wèn)底層數(shù)據(jù)庫(kù)，審計(jì)師最擔(dān)心：（也有考生反饋題干描述為：底層用戶可以直接訪問(wèn)數(shù)據(jù)庫(kù)，哪項(xiàng)風(fēng)險(xiǎn)大？）（此題需進(jìn)一步確認(rèn)，請(qǐng)考生考試中特別留意）A、用戶可以繞過(guò)應(yīng)用程序訪問(wèn)數(shù)據(jù)庫(kù)B、用戶賬戶停用了，仍然可以訪問(wèn)C、應(yīng)用程序?qū)徲?jì)記錄不能包含全部信息D、底層數(shù)據(jù)庫(kù)完整性被破壞答案：A171.A2-38在實(shí)施IT平衡計(jì)分卡之前,組織必須：A、提供有效且高效的服務(wù)B、定義關(guān)鍵績(jī)效指標(biāo)C、為IT項(xiàng)目帶來(lái)商業(yè)價(jià)值D、控制IT費(fèi)用答案：B172.在應(yīng)用程序軟件審查過(guò)程中，某IS審計(jì)師在超出審計(jì)范圍的相關(guān)數(shù)據(jù)庫(kù)環(huán)境中發(fā)現(xiàn)了細(xì)小的漏洞。最佳選項(xiàng)是：A、包括審查范圍內(nèi)的數(shù)據(jù)庫(kù)控制。B、記錄下來(lái)供日后審查。C、與數(shù)據(jù)庫(kù)管理員共同解決問(wèn)題。D、如實(shí)報(bào)告漏洞。答案：D173.某IS審計(jì)師已發(fā)現(xiàn)，員工們?cè)谕ㄟ^(guò)電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域。對(duì)IS審計(jì)師而言，以下哪一項(xiàng)是建議的最佳補(bǔ)救措施?A、數(shù)據(jù)丟失防護(hù)(LP)(tloseprevention)B、培訓(xùn)和意識(shí)C、活動(dòng)監(jiān)測(cè)D、加密郵件賬戶答案：A174.A1-124信息系統(tǒng)審計(jì)章程的主要目的是：A、建立審計(jì)部門(mén)的組織結(jié)構(gòu)B、闡述信息系統(tǒng)審計(jì)職能部門(mén)的報(bào)告責(zé)任C、詳細(xì)說(shuō)明審計(jì)職能部門(mén)所需的資源要求D、概述信息系統(tǒng)審計(jì)職能部門(mén)的職責(zé)和權(quán)限答案：D175.以下哪一項(xiàng)是用于預(yù)估開(kāi)發(fā)大型業(yè)務(wù)應(yīng)用程序復(fù)雜性的最佳方法A、功能點(diǎn)分析B、關(guān)鍵路徑分析C、工作分解結(jié)構(gòu)D、軟件成本估算答案：A176.A5-6以下哪一網(wǎng)絡(luò)組件主要用作一種安全措施，防止在不同網(wǎng)段間進(jìn)行未授權(quán)的通信?A、防火墻B、路由器C、第2層交換機(jī)D、虛擬局域網(wǎng)答案：A177.A4-211某信息系統(tǒng)審計(jì)師正在對(duì)某數(shù)據(jù)中心的災(zāi)難恢復(fù)程序進(jìn)行審查。表明該程序符合要求的最佳指標(biāo)是以下哪一項(xiàng)?A、記錄在案的程序經(jīng)過(guò)管理層批準(zhǔn)B、程序經(jīng)過(guò)審查，并與行業(yè)良好實(shí)踐進(jìn)行過(guò)比較C、用該程序進(jìn)行過(guò)桌面演練D、恢復(fù)團(tuán)隊(duì)及其職責(zé)已記錄在案答案：C178.在電子商務(wù)中使用的典型網(wǎng)絡(luò)體系結(jié)構(gòu)中，負(fù)載平衡器通常位于下面哪兩個(gè)項(xiàng)目之間：A、數(shù)據(jù)庫(kù)和外部網(wǎng)關(guān)B、用戶和外部網(wǎng)關(guān)C、路由器和we服務(wù)器D、郵件服務(wù)器和郵件庫(kù)答案：C179.審計(jì)的時(shí)候，審計(jì)師發(fā)現(xiàn)存在病毒，下一步應(yīng)該做什么?A、通知有關(guān)人員B、清理病毒C、斷開(kāi)網(wǎng)絡(luò)D、觀察反應(yīng)機(jī)制答案：A180.A1-41某公司最近為整合電子數(shù)據(jù)交換()傳輸而對(duì)采購(gòu)系統(tǒng)進(jìn)行了升級(jí)。要確保有效的數(shù)據(jù)映射，應(yīng)在EDI接口中實(shí)施以下哪種控制?A、密鑰驗(yàn)證B、一對(duì)一檢查C、手動(dòng)重新計(jì)算D、功能性確認(rèn)答案：D181.A5-148以下哪個(gè)選項(xiàng)中的信息與積極主動(dòng)地加強(qiáng)安全設(shè)置最相關(guān)?A、防御主機(jī)B、入侵檢測(cè)系統(tǒng)C、蜜罐D(zhuǎn)、入侵防御系統(tǒng)答案：C182.公司準(zhǔn)備把ERP管理軟件開(kāi)發(fā)工作外包，已經(jīng)通過(guò)高層審批，并確定了幾家供應(yīng)商，接下應(yīng)該：A、聯(lián)系供應(yīng)商對(duì)應(yīng)的客戶B、審計(jì)供應(yīng)商SL能力C、確認(rèn)ERP功能和對(duì)應(yīng)的控制措施，并進(jìn)行排序D、簽訂供應(yīng)商合同答案：C183.能保證應(yīng)用系統(tǒng)運(yùn)行良好的是什么A、接口測(cè)試B、集成測(cè)試C、系統(tǒng)測(cè)試D、單元測(cè)試答案：C184.以下哪項(xiàng)最能保證審計(jì)部門(mén)的獨(dú)立性A、審計(jì)計(jì)劃B、審計(jì)章程C、審計(jì)報(bào)告D、審計(jì)方案答案：B185.以下哪項(xiàng)應(yīng)該包含在審計(jì)章程中？（公司的審計(jì)章程因該）：A、定義審計(jì)師訪的信息訪問(wèn)權(quán)限B、詳述審計(jì)目標(biāo)C、包括信息系統(tǒng)審計(jì)計(jì)劃D、提出企業(yè)的IT戰(zhàn)略答案：A186.某企業(yè)IT部門(mén)嚴(yán)重依賴外包商來(lái)維護(hù)關(guān)鍵系統(tǒng)。為了解決收入下降的問(wèn)題，董事會(huì)已決定將整個(gè)企業(yè)的所有外包商的預(yù)算減少30%.以下哪一項(xiàng)是IT領(lǐng)域的最大風(fēng)險(xiǎn)?A、關(guān)鍵系統(tǒng)可能得不到適當(dāng)?shù)木S護(hù)B、最終用戶可能無(wú)法從其余IT員工那里獲得足夠的支持C、所需的軟件許可證預(yù)算可能不足D、外包商可能會(huì)在離開(kāi)之前嘗試從關(guān)鍵系統(tǒng)中提取有價(jià)值的數(shù)據(jù)答案：D187.公司請(qǐng)外部審計(jì)人員來(lái)審計(jì)，內(nèi)部審計(jì)人員發(fā)現(xiàn)外部審計(jì)人員的一些證據(jù)文件與內(nèi)審報(bào)告結(jié)論有差異，內(nèi)部審計(jì)人員應(yīng)該怎么做？A、向高級(jí)管理層報(bào)告B、請(qǐng)專(zhuān)家重新檢查確認(rèn)審計(jì)結(jié)論（請(qǐng)外部專(zhuān)家進(jìn)行額外的測(cè)試）C、在報(bào)告中說(shuō)明范圍限制D、對(duì)外披露答案：B188.項(xiàng)目實(shí)施后一個(gè)月，審查中采用調(diào)查問(wèn)卷的方式，哪項(xiàng)影響最大A、一個(gè)月之后才發(fā)問(wèn)卷B、問(wèn)卷沒(méi)有開(kāi)放性回答C、沒(méi)有把結(jié)果報(bào)告管理層D、用戶對(duì)調(diào)查問(wèn)卷參與不積極答案：C189.【重要題】以下哪個(gè)可用于確定恢復(fù)順序?A、IB、風(fēng)險(xiǎn)評(píng)估C、P測(cè)試結(jié)果D、RP測(cè)試結(jié)果答案：A190.如何確認(rèn)批量作業(yè)(batchjobupdate)成功完成?A、驗(yàn)證作業(yè)日志的時(shí)間戳B、抽樣檢查部分作業(yè)是否完成C、查看作業(yè)配置D、檢查工作日程表答案：A191.A3-52執(zhí)行事后審查的主要目的是提供機(jī)會(huì)：A、改進(jìn)內(nèi)部控制程序B、將網(wǎng)絡(luò)強(qiáng)化到行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)C、向管理層強(qiáng)調(diào)事故響應(yīng)管理的重要性D、提高員工對(duì)事故響應(yīng)過(guò)程的認(rèn)識(shí)程度答案：A192.A3-80某公司實(shí)施了一套新的客戶端/服務(wù)器型企業(yè)資源規(guī)劃(ERP)系統(tǒng)。各地分支機(jī)構(gòu)會(huì)將客戶訂單傳動(dòng)到中央生產(chǎn)設(shè)備。以下哪一項(xiàng)能夠最有效地確保準(zhǔn)確處理這些訂單并生產(chǎn)相應(yīng)的產(chǎn)品?A、對(duì)照客戶訂單驗(yàn)證生產(chǎn)B、將所有客戶訂單計(jì)入ERP系統(tǒng)C、在訂單傳送過(guò)程中使用散列總計(jì)D、在生產(chǎn)之前審批(由生產(chǎn)監(jiān)督人員)訂單答案：A193.對(duì)于無(wú)雙重門(mén)控制的機(jī)房，管理層應(yīng)該采取哪個(gè)行動(dòng)來(lái)防止跟隨進(jìn)入?(2023年3月真題)A、要求員工佩戴I卡B、雙因素驗(yàn)證C、生物識(shí)別技術(shù)D、安全意識(shí)培訓(xùn)答案：D194.在共享的處理環(huán)境中，最大的挑戰(zhàn)是A、分離客戶數(shù)據(jù)B、分離客戶網(wǎng)絡(luò)C、合并結(jié)果D、保持一致的標(biāo)準(zhǔn)答案：A195.A5-28在審查入侵檢測(cè)日志時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)了一些來(lái)自互聯(lián)網(wǎng)的通信，其IP地址顯示為公司工資服務(wù)器。以下哪項(xiàng)惡意活動(dòng)更可能導(dǎo)致這類(lèi)結(jié)果?A、拒絕服務(wù)攻擊B、冒充C、端口掃描D、中間人攻擊答案：B196.開(kāi)展實(shí)施后審查的主要目的是檢查A、已充分考慮了用戶訪問(wèn)控制B、已正確執(zhí)行了UAT測(cè)試C、已符合企業(yè)體系結(jié)構(gòu)D、已滿足用戶需求答案：D197.【重要題】下哪一項(xiàng)是啟用數(shù)據(jù)庫(kù)審計(jì)軌跡的主要益處?A、可以實(shí)現(xiàn)問(wèn)責(zé)制B、可以實(shí)現(xiàn)職責(zé)分離C、可以調(diào)查交易過(guò)程D、可以提高可用性答案：A198.A5-169審查無(wú)線網(wǎng)絡(luò)安全性的信息系統(tǒng)審計(jì)師確定所有無(wú)線訪問(wèn)點(diǎn)上都禁用了動(dòng)態(tài)主機(jī)配置協(xié)議。這種做法：A、減少網(wǎng)絡(luò)的未授權(quán)的訪問(wèn)風(fēng)險(xiǎn)B、不適用小型網(wǎng)絡(luò)C、自動(dòng)向任何人提供IP地址D、增加與無(wú)線加密協(xié)議(WEP)相關(guān)的風(fēng)險(xiǎn)答案：A199.為確定業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的有效性，最具成本效益的方式是：A、實(shí)施后審查B、桌面推演C、全面運(yùn)行測(cè)試D、壓力測(cè)試答案：B200.下列哪一項(xiàng)可用于評(píng)估IT運(yùn)營(yíng)效率?A、總體擁有成本B、平衡記分卡C、凈現(xiàn)值D、內(nèi)部收益率答案：B201.A5-155以下哪項(xiàng)是與使用點(diǎn)對(duì)點(diǎn)計(jì)算有關(guān)的最大問(wèn)題?A、病毒感染B、數(shù)據(jù)泄露C、網(wǎng)絡(luò)性能問(wèn)題D、未經(jīng)授權(quán)使用軟件答案：B202.A1-113某信息系統(tǒng)審計(jì)師正在審查日志監(jiān)控的流程，想要評(píng)估組織的手動(dòng)審查流程。為達(dá)到這一目的，該審計(jì)師最有可能采取以下哪種審計(jì)技術(shù)?A、檢查B、問(wèn)詢C、瀏覽審查D、重新執(zhí)行答案：C203.A5-227一位信息系統(tǒng)審計(jì)師正在審查基于軟件的防火墻配置。以下哪一項(xiàng)意味著出現(xiàn)最大漏洞?A、將隱式拒絕規(guī)則作為規(guī)則庫(kù)中的最后規(guī)則B、安裝在一個(gè)采用默認(rèn)設(shè)置配置的操作系統(tǒng)上C、規(guī)則允許或拒絕訪問(wèn)系統(tǒng)或網(wǎng)絡(luò)D、配置為虛擬私有網(wǎng)絡(luò)終端答案：B204.【重要題】以下哪一項(xiàng)是災(zāi)難恢復(fù)計(jì)劃的步驟之一?A、評(píng)估和量化風(fēng)險(xiǎn)B、與災(zāi)難計(jì)劃咨詢顧問(wèn)協(xié)商合同C、獲得替代設(shè)備供應(yīng)D、確定應(yīng)用程序控制需求答案：A205.A1-121審計(jì)銀行電匯系統(tǒng)時(shí),以下哪一項(xiàng)技術(shù)最適合檢測(cè)是否存在雙重控制?A、交易日志分析B、重新執(zhí)行C、觀察D、約談工作人員答案：C206.【重要題】在宣布要進(jìn)行收購(gòu)的新聞稿之后，企業(yè)正遭受針對(duì)目標(biāo)員工和高管的大量網(wǎng)絡(luò)釣魚(yú)攻擊。以下哪一項(xiàng)提供防御這些攻擊最好的保護(hù)?A、部署入侵檢測(cè)和防御系統(tǒng)B、進(jìn)行全企業(yè)范圍的意識(shí)培訓(xùn)C、在被收購(gòu)的系統(tǒng)上安裝垃圾郵件過(guò)濾器D、要求簽署企業(yè)安全政策的確認(rèn)書(shū)答案：B207.【重要題】當(dāng)審計(jì)資源有限時(shí)，以下哪一項(xiàng)是信息系統(tǒng)風(fēng)險(xiǎn)審計(jì)的最大擔(dān)憂?A、進(jìn)行風(fēng)險(xiǎn)評(píng)估可能減少可用于審計(jì)的時(shí)間B、某些業(yè)務(wù)流程可能未經(jīng)審計(jì)C、管理層審計(jì)請(qǐng)求的響應(yīng)可能會(huì)大大延遲D、審計(jì)時(shí)間表可能變得太可預(yù)測(cè)答案：B208.與在內(nèi)部開(kāi)發(fā)系統(tǒng)相比，購(gòu)買(mǎi)商業(yè)軟件包意味著對(duì)最終用戶測(cè)試的需求會(huì)A、增加。B、不變。C、減少。答案：C209.以下哪項(xiàng)最能證明供應(yīng)商控制符合公司的要求A、SLA服務(wù)水平協(xié)議B、獨(dú)立的審計(jì)報(bào)告C、第三方供應(yīng)商的信息安全政策D、監(jiān)管要求答案：B210.在開(kāi)發(fā)階段添加新功能時(shí)，以下哪項(xiàng)是與沒(méi)有遵循項(xiàng)目更改管理流程相關(guān)的主要風(fēng)險(xiǎn)A、新功能可能不符合要求B、尚未記錄添加的功能C、項(xiàng)目超出預(yù)算答案：A211.某IS審計(jì)師在數(shù)據(jù)庫(kù)的某些表中發(fā)現(xiàn)了超出范圍的數(shù)據(jù)。為避免此類(lèi)狀況發(fā)生，該IS審計(jì)師應(yīng)推薦采用以下哪種控制？A、記錄所有的表更新交易。B、在數(shù)據(jù)庫(kù)中設(shè)定完整性約束。C、使用前后圖像報(bào)告。D、使用跟蹤和標(biāo)記。答案：B212.A4-53編程人員為了改變數(shù)據(jù)而惡意修改了生產(chǎn)程序，隨后又重新恢復(fù)為原始代碼。下列哪一項(xiàng)能夠最有效地檢測(cè)此惡意行為?A、比較源代碼B、審查系統(tǒng)日志文件C、比較目標(biāo)代碼D、審查可執(zhí)行代碼和源代碼的完整性答案：B213.測(cè)試程序和生產(chǎn)程序分離的主要目的在于？A、為變更管理控制提供基礎(chǔ)B、為變更實(shí)施控制C、信息系統(tǒng)人員和最終用戶之間實(shí)施職責(zé)分離D、限制IT人員對(duì)開(kāi)發(fā)環(huán)境的訪問(wèn)權(quán)限答案：A214.信息系統(tǒng)審計(jì)師在在制定審計(jì)計(jì)劃時(shí)，應(yīng)首先執(zhí)行以下哪一項(xiàng)活動(dòng)?A、確定風(fēng)險(xiǎn)優(yōu)先順序B、審查以前的審計(jì)報(bào)告C、確定審計(jì)范圍D、分配審計(jì)資源答案：A215.下列哪一項(xiàng)能夠最有效地保護(hù)數(shù)據(jù)中心的信息資產(chǎn)不被供應(yīng)商竊取A、監(jiān)控并限制供應(yīng)商的活動(dòng)B、給供應(yīng)商發(fā)放訪問(wèn)卡C、隱藏?cái)?shù)據(jù)設(shè)備和信息標(biāo)簽D、限制使用便捷式和無(wú)線設(shè)備答案：A216.A4-255信息系統(tǒng)審計(jì)師應(yīng)建議采取以下哪一項(xiàng)措施來(lái)保護(hù)數(shù)據(jù)倉(cāng)庫(kù)中存儲(chǔ)的特定敏感信息?A、實(shí)施列級(jí)和行級(jí)權(quán)限B、通過(guò)強(qiáng)密碼加強(qiáng)用戶身份認(rèn)證C、將數(shù)據(jù)倉(cāng)庫(kù)組織成為特定主題的數(shù)據(jù)庫(kù)D、記錄用戶對(duì)數(shù)據(jù)倉(cāng)庫(kù)的訪問(wèn)答案：A217.審計(jì)師發(fā)現(xiàn)系統(tǒng)存在很多多余生產(chǎn)系統(tǒng)權(quán)限沒(méi)有及時(shí)清除，審計(jì)師應(yīng)該建議?A、人力資源系統(tǒng)在員工離職后自動(dòng)觸發(fā)刪除員工權(quán)限B、業(yè)務(wù)部門(mén)定期審閱并申請(qǐng)刪除多余的訪問(wèn)權(quán)限C、系統(tǒng)管理員應(yīng)確保權(quán)限分配的一致性D、IT安全部門(mén)管理員定期刪除多余的權(quán)限答案：B218.服務(wù)臺(tái)對(duì)于大多數(shù)問(wèn)題都有已知解決方案，但發(fā)現(xiàn)重復(fù)反應(yīng)相同問(wèn)題的現(xiàn)象，審計(jì)師應(yīng)該建議：A、升級(jí)事件系統(tǒng)B、服務(wù)臺(tái)外包C、加強(qiáng)用戶培訓(xùn)D、增加支持人員答案：C219.組織的QA人員最不應(yīng)該從事：A、審查程序被修改B、改動(dòng)應(yīng)用程序的業(yè)務(wù)功能C、建立分析技術(shù)D、制定命名規(guī)范答案：B220.公司發(fā)現(xiàn)企業(yè)的數(shù)據(jù)安全存在重大漏洞，CEO要求對(duì)網(wǎng)絡(luò)安全進(jìn)行審計(jì)，但因公司重組問(wèn)題，目前只有幾個(gè)審計(jì)師，且能力一般，這種情況下，最合適的解決方案是：A、尋找外部第三方審計(jì)B、列入下個(gè)年度進(jìn)行審計(jì)C、找目前審計(jì)師中最資深的人員開(kāi)展審計(jì)D、延遲項(xiàng)目，先實(shí)施審計(jì)技能培訓(xùn)，然后再執(zhí)行審計(jì)答案：A221.企業(yè)開(kāi)發(fā)系統(tǒng)有4個(gè)模塊，最后一個(gè)涉及將數(shù)據(jù)更新至數(shù)據(jù)庫(kù)中，信息系統(tǒng)審計(jì)師應(yīng)檢查什么A、實(shí)體關(guān)系圖B、配置數(shù)據(jù)庫(kù)管理C、變更管理D、數(shù)據(jù)流圖答案：D222.以下哪種情況會(huì)增加欺詐行為的可能性？A、應(yīng)用程序開(kāi)發(fā)人員正在執(zhí)行對(duì)生產(chǎn)程序的變更。B、管理員正在對(duì)供應(yīng)商提供的軟件實(shí)施供應(yīng)商補(bǔ)丁，但沒(méi)有遵守變更控制流程。C、操作支持人員正在執(zhí)行對(duì)批量計(jì)劃的變更。D、數(shù)據(jù)庫(kù)管理員正在執(zhí)行對(duì)數(shù)據(jù)結(jié)構(gòu)的變更。答案：A223.A5-150當(dāng)審查入侵檢測(cè)系統(tǒng)時(shí),信息系統(tǒng)審計(jì)師應(yīng)最關(guān)注以下哪個(gè)選項(xiàng)?A、有大量誤報(bào)B、網(wǎng)絡(luò)流量覆蓋率低C、網(wǎng)絡(luò)性能下降D、默認(rèn)檢測(cè)設(shè)置答案：B224.非正規(guī)化(非規(guī)范化)對(duì)數(shù)據(jù)庫(kù)的最大影響是什么：A、影響完整性B、停滯不前的性能C、數(shù)據(jù)的準(zhǔn)確性D、數(shù)據(jù)的機(jī)密性答案：A225.企業(yè)要替換當(dāng)前的會(huì)計(jì)系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數(shù)據(jù)完整性A、平行實(shí)施B、應(yīng)急回退計(jì)劃C、試點(diǎn)實(shí)施D、功能集成測(cè)試答案：A226.公司已將部分業(yè)務(wù)外包出去，現(xiàn)在打算對(duì)外包服務(wù)商審計(jì)，要確定審計(jì)范圍，內(nèi)部審計(jì)師首先要（）？A、與外包服務(wù)商商定審計(jì)目標(biāo)B、審查外包合同C、審查外包商的內(nèi)部控制答案：B227.為防止在共享打印機(jī)上打印的保密文檔泄露，應(yīng)該采用以下哪種方法？A、加密用戶計(jì)算機(jī)和打印機(jī)之間的數(shù)據(jù)流B、使用已打印文檔的密級(jí)生成標(biāo)題頁(yè)C、要求授權(quán)用戶在將文檔發(fā)送到打印機(jī)之前提供密碼D、在打印結(jié)果輸出之前，要求現(xiàn)在打印機(jī)上輸入密碼答案：D228.A2-103某企業(yè)選擇供應(yīng)商來(lái)開(kāi)發(fā)和實(shí)施新軟件系統(tǒng)。要確保該企業(yè)在軟件方面的投資受到保護(hù)，以下哪一項(xiàng)是主服務(wù)協(xié)議中應(yīng)包含的最重要的安全條款?A、責(zé)任范圍B、服務(wù)等級(jí)要求C、軟件托管D、版本控制答案：C229.A4-119從某個(gè)供應(yīng)商購(gòu)買(mǎi)了某個(gè)新應(yīng)用，并且即將實(shí)施。實(shí)施應(yīng)用時(shí)，以下哪一項(xiàng)是關(guān)鍵考慮因素?A、防止在實(shí)施流程中損壞源代碼B、確保已禁用供應(yīng)商的默認(rèn)賬戶和密碼C、從托管中刪除程序的舊副本，以免混淆D、核實(shí)供應(yīng)商在履行支持和維護(hù)協(xié)議答案：B230.在小型組織中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)安全管理和系統(tǒng)分析功能由同一個(gè)員工執(zhí)行，下列哪一項(xiàng)是最明顯的問(wèn)題?A、沒(méi)有更新此員工的正式工作說(shuō)明B、此員工沒(méi)有簽署安全政策C、沒(méi)有獨(dú)立審查此員工的活動(dòng)。D、沒(méi)有更新安全政策來(lái)反映這種情況，答案：C231.下列哪一項(xiàng)能夠最有效地防止病毒進(jìn)入局域網(wǎng)中A、禁止訪問(wèn)互聯(lián)網(wǎng)B、定期掃描硬盤(pán)C、禁用下載D、在網(wǎng)絡(luò)服務(wù)器上安裝病毒掃描程序答案：D232.磁盤(pán)管理系統(tǒng)的主要功能在于：A、提供有關(guān)磁盤(pán)有效利用率的數(shù)據(jù)B、拒絕訪問(wèn)磁盤(pán)駐留的數(shù)據(jù)文件C、見(jiàn)識(shí)磁盤(pán)訪問(wèn)，以便進(jìn)行分析審查D、提供控制磁盤(pán)使用的方法答案：A233.【重要題】多個(gè)部門(mén)未在商定日期內(nèi)完成審計(jì)建議，以下哪一方應(yīng)該負(fù)責(zé)并跟進(jìn)這件事：A、高級(jí)管理層B、審計(jì)師C、部門(mén)經(jīng)理D、審計(jì)部門(mén)負(fù)責(zé)人答案：A234.A3-130審計(jì)軟件購(gòu)置流程的信息系統(tǒng)審計(jì)師需要確保：A、合同在簽署前經(jīng)過(guò)法律顧問(wèn)的審查及批準(zhǔn)B、現(xiàn)有系統(tǒng)無(wú)法滿足需求C、有關(guān)要求對(duì)業(yè)務(wù)至關(guān)重要D、用戶充分參與購(gòu)置流程答案：A235.如果跟蹤審計(jì)顯示尚未啟動(dòng)某些管理行動(dòng)計(jì)劃，信息系統(tǒng)審計(jì)師首先應(yīng)該怎么做?A、判斷所識(shí)別的風(fēng)險(xiǎn)是否仍然有效B、將計(jì)劃未完成的情況上報(bào)給管理層C、向?qū)徲?jì)委員會(huì)提供報(bào)告D、要求進(jìn)行額外的行動(dòng)計(jì)劃審查，以確認(rèn)審計(jì)發(fā)現(xiàn)答案：A236.A3-11某企業(yè)正在制定一項(xiàng)策略，已將其數(shù)據(jù)庫(kù)軟件升級(jí)到最新版本。信息系統(tǒng)審計(jì)師可以執(zhí)行下列哪一項(xiàng)任務(wù)而不會(huì)對(duì)信息系統(tǒng)審計(jì)功能的客觀性造成損害?A、對(duì)新數(shù)據(jù)庫(kù)軟件采用哪些應(yīng)用程序控制提供建議B、為項(xiàng)目團(tuán)隊(duì)將來(lái)所需的許可費(fèi)提供評(píng)估C、向項(xiàng)目經(jīng)理建議如何提高遷移效率D、在執(zhí)行驗(yàn)收測(cè)試之前，審查驗(yàn)收測(cè)試個(gè)案文檔答案：D237.A4-135信息系統(tǒng)審計(jì)師發(fā)現(xiàn)IT經(jīng)理最近更換了負(fù)責(zé)為關(guān)鍵計(jì)算機(jī)系統(tǒng)進(jìn)行維護(hù)的供應(yīng)商，以節(jié)省成本。盡管新的供應(yīng)商要價(jià)便宜，但新維護(hù)合同指定的事故解決時(shí)間與原始供應(yīng)商指定的時(shí)間有所不同。以下哪個(gè)選項(xiàng)最令信息系統(tǒng)審計(jì)師關(guān)注?A、災(zāi)難恢復(fù)計(jì)劃可能無(wú)效，需要進(jìn)行修訂B、交易業(yè)務(wù)數(shù)據(jù)可能在發(fā)生系統(tǒng)故障時(shí)丟失C、新維護(hù)供應(yīng)商不熟悉組織的政策D、沒(méi)有將該變動(dòng)通知應(yīng)用程序負(fù)責(zé)人答案：D238.A2-83信息系統(tǒng)審計(jì)師在審查外部IT服務(wù)提供商的管理時(shí)，應(yīng)主要關(guān)注以下哪一項(xiàng)?A、將所提供服務(wù)的成本降至最低B、禁止服務(wù)商轉(zhuǎn)包服務(wù)C、評(píng)估向IT部門(mén)轉(zhuǎn)移知識(shí)的流程D、確認(rèn)是否按合同提供服務(wù)答案：D239.在安排跟蹤審計(jì)時(shí)，以下哪一項(xiàng)是最重要的考慮因素?A、與新審計(jì)師進(jìn)行獨(dú)立驗(yàn)證工作所需的努力B、被審計(jì)方同意與審計(jì)師合作花費(fèi)的時(shí)間C、不采取整改措施會(huì)產(chǎn)生的影響D、與觀察結(jié)果有關(guān)的控制和檢測(cè)風(fēng)險(xiǎn)答案：C240.【重要題】在升級(jí)關(guān)鍵在線應(yīng)用程序之前，應(yīng)該首先執(zhí)行以下哪項(xiàng)操作?A、更新災(zāi)難恢復(fù)流程B、審查數(shù)據(jù)備份程序C、測(cè)試回滾流程D、更新業(yè)務(wù)影響分析答案：C241.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，關(guān)鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計(jì)師下一步應(yīng)該？A、擴(kuò)大審計(jì)范圍B、確定根本原因C、將觀察結(jié)果包含在報(bào)告中D、要求立即執(zhí)行備份答案：B242.A4-49在評(píng)估軟件開(kāi)發(fā)實(shí)踐時(shí)，一名信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，開(kāi)源軟件組件用在了為客戶設(shè)計(jì)的應(yīng)用程序中。關(guān)于開(kāi)源軟件的使用，該審計(jì)師最關(guān)注什么?A、客戶不為開(kāi)源軟件組件付費(fèi)B、組織和客戶必須遵守開(kāi)源軟件許可條款C、開(kāi)源軟件具有安全漏洞D、開(kāi)源軟件對(duì)商業(yè)用途不可靠答案：B243.A3-55以下哪一項(xiàng)是執(zhí)行并行測(cè)試的主要目的?A、確定系統(tǒng)是否具有成本效益B、實(shí)現(xiàn)綜合單元及系統(tǒng)測(cè)試C、找出含文件的程序接口中的錯(cuò)誤D、確保新系統(tǒng)滿足用戶要求答案：D244.哪項(xiàng)會(huì)損害審計(jì)人員的獨(dú)立性：A、參與項(xiàng)目組，但不參與操作B、提供咨詢意見(jiàn)C、設(shè)計(jì)并嵌入了專(zhuān)門(mén)審計(jì)用的審計(jì)模塊D、在開(kāi)發(fā)過(guò)程中，實(shí)施了具體的控制答案：D245.A3-143某大型組織正在評(píng)估是購(gòu)買(mǎi)定制解決方案還是內(nèi)部開(kāi)發(fā)系統(tǒng)，以取代過(guò)時(shí)的舊版系統(tǒng)。以下哪項(xiàng)最可能影響該組織的決策?A、組織內(nèi)與采購(gòu)和軟件開(kāi)發(fā)有關(guān)的技能和知識(shí)B、應(yīng)用程序所處理數(shù)據(jù)的隱私要求C、要更換的舊版系統(tǒng)是否是由內(nèi)部開(kāi)發(fā)的D、用戶不能投入合理的時(shí)間來(lái)確定解決方案的功能答案：A246.設(shè)計(jì)應(yīng)對(duì)潛在自然災(zāi)害的數(shù)據(jù)備份策略時(shí)，以下哪一項(xiàng)最有幫助？A、恢復(fù)點(diǎn)目標(biāo)（RPO)B、需要備份的數(shù)據(jù)量C、數(shù)據(jù)備份技術(shù)D、恢復(fù)時(shí)間目標(biāo)（RTO)答案：A247.防止同時(shí)使用軟件許可的最佳措施A、用戶自律B、供應(yīng)商實(shí)施突擊審計(jì)C、系統(tǒng)管理員實(shí)施監(jiān)控D、計(jì)量軟件答案：D248.企業(yè)把開(kāi)發(fā)環(huán)境和測(cè)試環(huán)境分開(kāi)的主要原因是什么？A、可以排除B、在IT人員和最終用戶之間實(shí)現(xiàn)職責(zé)分離。C、使測(cè)試人員可以在穩(wěn)定的環(huán)境下進(jìn)行測(cè)試。D、保護(hù)開(kāi)發(fā)中的程序不受未經(jīng)授權(quán)的測(cè)試。答案：C249.對(duì)員工進(jìn)行了安全培訓(xùn)教育，以下哪種方式證明了培訓(xùn)的有效性？A、安全事故的上報(bào)數(shù)量增加B、參加安全意識(shí)培訓(xùn)人員的百分比變多答案：A250.A1-68在審查敏感的電子版工作底稿時(shí)，信息系統(tǒng)審計(jì)師注意到它們沒(méi)有被加密。這可能危及：A、工作底稿版本管理的審計(jì)軌跡B、審計(jì)階段的批準(zhǔn)C、對(duì)工作底稿的訪問(wèn)權(quán)限D(zhuǎn)、工作底稿的機(jī)密性答案：D251.A5-131在對(duì)一個(gè)內(nèi)部開(kāi)發(fā)的Web應(yīng)用程序進(jìn)行審計(jì)期間，信息系統(tǒng)審計(jì)師確認(rèn)，所有的業(yè)務(wù)用戶共享同一訪問(wèn)配置文件。以下哪項(xiàng)建議對(duì)于預(yù)防未授權(quán)數(shù)據(jù)修改風(fēng)險(xiǎn)最有用?A、對(duì)用戶操作進(jìn)行詳細(xì)的日志記錄B、根據(jù)工作職責(zé)自定義用戶訪問(wèn)配置文件C、對(duì)所有賬戶強(qiáng)制實(shí)施強(qiáng)密碼政策D、實(shí)施定期訪問(wèn)權(quán)限審查答案：B252.A4-225組織的災(zāi)難恢復(fù)計(jì)劃應(yīng)盡早解決以下哪項(xiàng)恢復(fù)?A、所有信息系統(tǒng)流程B、所有財(cái)務(wù)處理應(yīng)用程序C、只須恢復(fù)信息系統(tǒng)經(jīng)理指定的應(yīng)用程序D、按照業(yè)務(wù)管理人員制定的優(yōu)先級(jí)順序處理答案：D253.在對(duì)用于控制物理訪問(wèn)的生物特征識(shí)別系統(tǒng)的運(yùn)行，信息系統(tǒng)審計(jì)師最擔(dān)心下列哪項(xiàng)？A、缺乏生物特征識(shí)別培訓(xùn)B、用戶對(duì)生物特征識(shí)別的接受程度C、第一類(lèi)錯(cuò)誤D、第二類(lèi)錯(cuò)誤答案：D254.為確保訪問(wèn)人力資源管理系統(tǒng)（HRMS)以及HRMS接口應(yīng)用中的敏感數(shù)據(jù)的應(yīng)用用戶問(wèn)責(zé)制，以下哪一項(xiàng)是應(yīng)當(dāng)實(shí)施的最有效的控制？A、雙因素身份認(rèn)證B、數(shù)字認(rèn)證C、審計(jì)軌跡D、單點(diǎn)登陸身份認(rèn)證答案：C255.A3-112某組織從舊系統(tǒng)遷移到企業(yè)資源規(guī)劃系統(tǒng)。審查該系統(tǒng)遷移活動(dòng)時(shí)，信息系統(tǒng)審計(jì)師最關(guān)心的問(wèn)題是確定：A、遷移的數(shù)據(jù)在兩個(gè)系統(tǒng)間是否存在語(yǔ)義特性方面的關(guān)聯(lián)B、遷移在數(shù)據(jù)在兩個(gè)系統(tǒng)間是否存在算術(shù)特征方面的關(guān)聯(lián)C、進(jìn)程在兩個(gè)系統(tǒng)間是否存在功能特征方面的關(guān)聯(lián)D、進(jìn)程在兩個(gè)系統(tǒng)間是否存在相對(duì)效率答案：A256.某IS審計(jì)師正在審查某組織最新的災(zāi)難恢復(fù)計(jì)劃（DRP)。確定該計(jì)劃所需要的系統(tǒng)資源的可用性時(shí)，以下哪一項(xiàng)批準(zhǔn)最重要？A、執(zhí)行管理層B、IT管理層C、董事會(huì)D、督導(dǎo)委員會(huì)答案：B257.A1-120為何即使信息系統(tǒng)審計(jì)師有多年工作經(jīng)驗(yàn)，審計(jì)經(jīng)理也要審查該工作人員的審計(jì)報(bào)告?A、內(nèi)部質(zhì)量要求B、審計(jì)準(zhǔn)則C、審計(jì)方法D、專(zhuān)業(yè)標(biāo)準(zhǔn)答案：D258.為了幫助董事會(huì)履行IT治理職責(zé)，IT指導(dǎo)委員會(huì)應(yīng)該：A、監(jiān)管重大項(xiàng)目和IT資源的分配情況。B、實(shí)施IT戰(zhàn)略。C、將注意力集中在IT服務(wù)和產(chǎn)品的供應(yīng)上D、制定項(xiàng)目跟蹤的IT政策和措施。答案：A259.A5-100以下哪項(xiàng)是具有多個(gè)不同子系統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)中最全面的控制?A、代理服務(wù)器B、安裝防火墻C、隔離區(qū)D、虛擬私有網(wǎng)絡(luò)答案：D260.對(duì)于VoIP，信息系統(tǒng)審計(jì)師最關(guān)注什么？A、不可抵賴性B、服務(wù)的連續(xù)性C、網(wǎng)絡(luò)的統(tǒng)一性D、數(shù)據(jù)與語(yǔ)音網(wǎng)絡(luò)分離答案：B261.A5-267Java小程序和ActiveX空間是在客戶端Web瀏覽器后臺(tái)執(zhí)行的分布式程序。在下列哪種情況時(shí)，認(rèn)為此實(shí)務(wù)合理?A、存在防火墻B、使用安全We連接C、可執(zhí)行文件的來(lái)源是確定的D、主機(jī)網(wǎng)站是組織的一部分答案：C262.電子數(shù)據(jù)交換EDI主要優(yōu)勢(shì)是?A、可以同時(shí)在不同地方使用同一個(gè)文件B、減少數(shù)據(jù)轉(zhuǎn)錄(trnsription)C、數(shù)據(jù)有效性驗(yàn)證由服務(wù)供應(yīng)商提供D、簡(jiǎn)化和供應(yīng)商的合同答案：B263.審計(jì)師作為開(kāi)發(fā)小組成員，該小組正在采購(gòu)軟件。以下哪一項(xiàng)有損該審計(jì)獨(dú)立性?A、鑒證供應(yīng)商選擇流程B、批準(zhǔn)供應(yīng)商選擇方法C、驗(yàn)證每項(xiàng)選擇標(biāo)準(zhǔn)的權(quán)重D、可排除答案：B264.某IS審計(jì)師正在審查已采納敏捷開(kāi)發(fā)方法的某組織的軟件開(kāi)發(fā)能力。該IS審計(jì)師最關(guān)注的是:A、某些項(xiàng)目迭代產(chǎn)生包括概念驗(yàn)證的交付成果和未完成代碼。B、應(yīng)用特征和開(kāi)發(fā)過(guò)程未廣泛記錄在案。C、軟件開(kāi)發(fā)團(tuán)隊(duì)不斷重新規(guī)劃其重大項(xiàng)目的每一步。D、項(xiàng)目經(jīng)理不管理其項(xiàng)目資源，而將其交由項(xiàng)目團(tuán)隊(duì)成員負(fù)責(zé)。答案：A265.A2-4在審查組織的人力資源政策和流程時(shí)，信息系統(tǒng)審計(jì)師應(yīng)對(duì)以下哪項(xiàng)的缺失給予最大的關(guān)注?A、要求定期崗位輪換B、正式的離職面談流程C、離職檢查清單D、要求新員工簽訂保密協(xié)議答案：C266.代碼在生產(chǎn)發(fā)布時(shí)被錯(cuò)誤地移除，其后繞過(guò)正常的變更程序，被轉(zhuǎn)入生產(chǎn)環(huán)境。對(duì)執(zhí)行實(shí)施后審查的IS審計(jì)師而言，以下哪一項(xiàng)最值得關(guān)注？A、代碼在初步實(shí)施時(shí)被遺漏。B、變更未經(jīng)管理層批準(zhǔn)。C、錯(cuò)誤在實(shí)施后審查過(guò)程中被發(fā)現(xiàn)。D、發(fā)布團(tuán)隊(duì)使用了相N的變更順序號(hào)。答案：B267.某公司既執(zhí)行完整數(shù)據(jù)庫(kù)備份和增量數(shù)據(jù)庫(kù)備份。當(dāng)數(shù)據(jù)中心遭破壞后，以下哪一項(xiàng)能夠提供最佳的完全恢復(fù)？A、每周將完全備份移至異地站點(diǎn)B、每日將增量備份存放到異地站點(diǎn)C、將完全備份和增量備份放在安全的服務(wù)器機(jī)房里面D、每日將所有備份循環(huán)存放到異地站點(diǎn)答案：D268.某小型公司無(wú)法隔離開(kāi)發(fā)流程與變更控制職能之間的職責(zé)。確保經(jīng)過(guò)測(cè)試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么？A、發(fā)布管理軟件B、手動(dòng)代碼比對(duì)C、生產(chǎn)前回歸測(cè)試D、管理層批準(zhǔn)變更答案：A269.如何保證防火墻有效的策略。A、審查網(wǎng)絡(luò)日志B、做滲透測(cè)試C、審查入侵檢測(cè)報(bào)告D、檢查防火墻配置答案：D270.A4-54一位信息系統(tǒng)審計(jì)師正在審查某組織的災(zāi)難恢復(fù)情況。在這次災(zāi)難中，并非恢復(fù)業(yè)務(wù)運(yùn)營(yíng)所需的所有關(guān)鍵數(shù)據(jù)都得到了保留。這是因?yàn)殄e(cuò)誤定義了以下哪個(gè)選項(xiàng)?A、中斷時(shí)間B、恢復(fù)時(shí)間目標(biāo)C、服務(wù)交付目標(biāo)D、恢復(fù)點(diǎn)目標(biāo)答案：D271.固有風(fēng)險(xiǎn)評(píng)級(jí)通過(guò)對(duì)威脅或漏洞的影響及可能性評(píng)估，威脅或漏洞發(fā)生A、考慮采取內(nèi)部控制措施之前B、考慮內(nèi)部控制措施之后C、應(yīng)用了補(bǔ)償控制措施后D、確立風(fēng)險(xiǎn)偏好之前答案：A272.在制定數(shù)據(jù)保留政策(dataretentionpolicy)時(shí)，首要考慮的是：A、設(shè)計(jì)基礎(chǔ)設(shè)施存儲(chǔ)戰(zhàn)略B、識(shí)別法律和合同規(guī)定的數(shù)據(jù)保留期C、確定數(shù)據(jù)的安全訪問(wèn)權(quán)限D(zhuǎn)、根據(jù)保留期確定備份周期答案：B273.在開(kāi)發(fā)信息安全政策過(guò)程中，以下哪一項(xiàng)能最好地確保滿足業(yè)務(wù)目標(biāo)？A、政策與程序步驟之間的鏈接B、采用行業(yè)最佳做法C、使用平衡記分卡D、相應(yīng)的利益相關(guān)人員的意見(jiàn)答案：C274.某IS審計(jì)師發(fā)現(xiàn)，實(shí)施了未經(jīng)督導(dǎo)委員會(huì)批準(zhǔn)的多個(gè)基于lT的項(xiàng)目。該IS審計(jì)師最需要關(guān)注什么？A、IT項(xiàng)目資金不足。B、IT項(xiàng)目不遵循系統(tǒng)開(kāi)發(fā)生命周期（SDLC〕流程。C、IT項(xiàng)目未必一直得到正式的批準(zhǔn)。D、IT部門(mén)未朝著共同的目標(biāo)而努力。答案：D275.A1-43確認(rèn)系統(tǒng)稅務(wù)計(jì)算準(zhǔn)確性的最佳方法是：A、審查并分析計(jì)算稅務(wù)程序的源代碼B、使用通用審計(jì)軟件重新創(chuàng)建程序邏輯以計(jì)算每月總和C、準(zhǔn)備模擬交易，以處理結(jié)果并與預(yù)期結(jié)果進(jìn)行比較D、對(duì)計(jì)算程序的源代碼繪制流程圖并進(jìn)行分析答案：C276.信息系統(tǒng)審計(jì)師正在審查業(yè)務(wù)流程改進(jìn)項(xiàng)目的成果。應(yīng)該首先執(zhí)行以下哪一項(xiàng)?A、制定補(bǔ)償控制B、評(píng)估新舊流程之間的控制差異C、評(píng)估流程中控制薄弱環(huán)節(jié)的影響D、確保更改流程中汲取的經(jīng)驗(yàn)教訓(xùn)已存檔答案：B277.審查業(yè)務(wù)連續(xù)性計(jì)劃(BCP)測(cè)試結(jié)果時(shí)，最重要的是信息系統(tǒng)審計(jì)師要確定以下哪一項(xiàng)?A、是否跟進(jìn)了上次測(cè)試以來(lái)發(fā)生的所有活動(dòng)B、驗(yàn)證是否恢復(fù)了關(guān)鍵業(yè)務(wù)的運(yùn)營(yíng)能力C、是否評(píng)估了保護(hù)關(guān)鍵業(yè)務(wù)記錄的能力D、是否考慮到系統(tǒng)環(huán)境的變更答案：B278.A4-196當(dāng)系統(tǒng)需要一天24小時(shí)在線接收銷(xiāo)售訂單時(shí)，以下哪一項(xiàng)是備份大量關(guān)鍵性任務(wù)數(shù)據(jù)的最有效策略?A、實(shí)施容錯(cuò)的磁盤(pán)到磁盤(pán)備份解決方案B、每周一次磁帶完整備份，每晚一次增量備份C、建立雙重存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SN)，并將數(shù)據(jù)復(fù)制到第二個(gè)SND、在一個(gè)熱備援中心建立相同的服務(wù)器和存儲(chǔ)基礎(chǔ)設(shè)施答案：A279.A1-33哪種審計(jì)技術(shù)可以提供IT部門(mén)中已實(shí)施職責(zé)分離的最佳證據(jù)?A、與管理層進(jìn)行討論B、審查組織架構(gòu)圖C、觀察和面談D、測(cè)試用戶訪問(wèn)權(quán)限答案：C280.實(shí)施新的應(yīng)用程序軟件包(或第三方應(yīng)用)，最大的風(fēng)險(xiǎn)是?A、參數(shù)配置錯(cuò)誤B、沒(méi)有審計(jì)軌跡C、交易量過(guò)大D、交易敏感度高答案：A281.在發(fā)現(xiàn)未知惡意攻擊時(shí)，以下哪一項(xiàng)安全測(cè)試技術(shù)最有效?A、沙箱B、滲透測(cè)試C、漏洞測(cè)試D、逆向工程虛擬小統(tǒng)程序答案：A282.當(dāng)確定審計(jì)日志的數(shù)據(jù)保留期時(shí)，最基礎(chǔ)的因素是什么A、計(jì)算機(jī)取證的原則B、審計(jì)標(biāo)準(zhǔn)C、風(fēng)險(xiǎn)控制D、法規(guī)要求答案：D283.某IS審計(jì)師已發(fā)現(xiàn)，員工們?cè)谕ㄟ^(guò)電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域。對(duì)IS審計(jì)師而言，以下哪一項(xiàng)是建議的最佳補(bǔ)救措施？A、加密郵件帳戶B、培訓(xùn)和意識(shí)C、活動(dòng)監(jiān)測(cè)D、數(shù)據(jù)丟失防護(hù)（DLP)答案：D284.A5-9實(shí)施以下哪一項(xiàng)可以最有效地防止未經(jīng)授權(quán)訪問(wèn)Web服務(wù)器系統(tǒng)管理賬戶?A、在服務(wù)器上安裝主機(jī)入侵檢測(cè)軟件B、密碼到期和鎖定策略C、密碼復(fù)雜性規(guī)則D、雙因素認(rèn)證答案：D285.A5-95在對(duì)財(cái)務(wù)系統(tǒng)執(zhí)行審計(jì)時(shí)，信息系統(tǒng)審計(jì)師懷疑發(fā)生了事故。信息系統(tǒng)審計(jì)師首先應(yīng)該做什么?A、要求關(guān)閉系統(tǒng)以保留證據(jù)B、向管理層報(bào)告事故C、要求立即暫?？梢少~戶D、調(diào)查事故的來(lái)源和性質(zhì)答案：B286.【重要題】公司將敏感數(shù)據(jù)處理外包給第三方云服務(wù)提供商。