PAGEPAGE1一、單選題1.A5-19信息系統(tǒng)審計師正在審查以前醫(yī)院信息系統(tǒng)審計發(fā)現(xiàn)的問題。其中一個問題指出醫(yī)院使用電子郵件來溝通敏感的患者問題。信息技術(shù)經(jīng)理指出，為了解決此問題，醫(yī)院已對所有電子郵件用戶實施了數(shù)字簽名。信息系統(tǒng)審計師的響應(yīng)是什么?A、數(shù)字簽名不足以保護(hù)機(jī)密性B、數(shù)字簽名足夠保護(hù)機(jī)密性C、信息系統(tǒng)審計師應(yīng)收集有關(guān)特定實施情況的更多信息D、信息系統(tǒng)審計師應(yīng)建議為安全電子郵件實施數(shù)字水印答案：A2.A4-108在數(shù)據(jù)中心審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)磁帶管理系統(tǒng)中的一些參數(shù)設(shè)置會繞過或忽略磁帶頭記錄。以下哪項是對此漏洞最有效的補(bǔ)償性控制?A、暫存和作業(yè)設(shè)置B、監(jiān)督審查日志C、定期磁帶備份D、異地存儲磁帶答案：A3.A1-92以下哪一項最能成功地識別業(yè)務(wù)應(yīng)用程序系統(tǒng)中重疊的關(guān)鍵控制?A、審查附加到復(fù)雜業(yè)務(wù)流程的系統(tǒng)功能B、通過集成測試設(shè)施提交測試交易C、使用自動審計解決方案替代手動監(jiān)控D、對控制進(jìn)行測試以驗證控制是否有效答案：C4.A3-50在實施應(yīng)用程序軟件包時，以下哪一項會帶來最大的風(fēng)險?A、不受控制的多個軟件版本B、與目標(biāo)代碼不同步的源程序C、參數(shù)設(shè)置錯誤D、編程錯誤答案：C5.【重要題】代理服務(wù)商反饋通過瘦客服端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下那項措施?A、申請?zhí)鎿Q為胖客戶端B、升級客戶端硬件配置C、升級客戶端程序以提供更詳細(xì)的錯誤信息D、安裝中間件用來增強(qiáng)客戶端和系統(tǒng)的通信答案：D6.A4-172在災(zāi)難后恢復(fù)數(shù)據(jù)時,下列哪項指標(biāo)最能說明備份和恢復(fù)程序的有效性?A、恢復(fù)組的成員能夠進(jìn)行工作B、達(dá)到恢復(fù)時間目標(biāo)C、備份磁帶庫存已得到妥善維護(hù)D、備份磁帶在備用站點中完全恢復(fù)答案：B7.執(zhí)行備份的做法反映了哪一種類型的內(nèi)部控制?A、預(yù)防B、檢測C、改正性D、補(bǔ)償答案：C8.A3-84以下哪個選項將能最有效地確保業(yè)務(wù)應(yīng)用的離岸開發(fā)取得成功?A、執(zhí)行嚴(yán)格的合同管理實務(wù)B、詳細(xì)的并得到正確應(yīng)用的規(guī)范C、了解文化和政策上的差異D、實施后審查答案：B9.A5-58下列哪項在減少社會工程事故方面最有效果?A、安全意識培訓(xùn)B、增加物理安全控制C、制定電子郵件監(jiān)控政策D、設(shè)置入侵檢測系統(tǒng)答案：A10.A1-69信息系統(tǒng)審計師獲得充分恰當(dāng)?shù)膶徲嬜C據(jù)的最重要的目的是：A、遵守法規(guī)要求B、為得出合理結(jié)論提供依據(jù)C、確保審計覆蓋范圍完整D、根據(jù)定義的范圍執(zhí)行審計答案：B11.【重要題】發(fā)生災(zāi)難時，什么是確保組織備份介質(zhì)充分備份的最佳方案?A、定期在測試環(huán)境中恢復(fù)生產(chǎn)系統(tǒng)B、有計劃的備份設(shè)備維護(hù)C、定期審查備份日志，以確保生產(chǎn)環(huán)境中的所有數(shù)據(jù)得到備份D、有計劃的備份介質(zhì)讀取/寫入測試答案：C12.在制定業(yè)務(wù)持續(xù)性計劃(BCP)時，業(yè)務(wù)單位管理層參與以下哪項工作最重要?A、參與業(yè)務(wù)恢復(fù)程序的制定B、參與實施文檔庫C、參與業(yè)務(wù)影響分析D、參與IT風(fēng)險評估答案：C13.A1-128在應(yīng)用程序軟件審查過程中，某信息系統(tǒng)審計師在超出審計范圍的相關(guān)數(shù)據(jù)庫環(huán)境中發(fā)現(xiàn)了細(xì)小的漏洞。最佳選項是：A、在審查范圍內(nèi)包括審查數(shù)據(jù)庫控制B、記錄下來供日后審查C、與數(shù)據(jù)庫管理員共同解決問題D、如實報告該漏洞答案：D14.一個公司宣稱達(dá)到能力成熟度模型(CMM)的最高級，可以期望：A、持續(xù)的改進(jìn)B、已使用IT平衡記分卡C、所有程序皆已經(jīng)被遵循D、部分程序被遵循答案：A15.A3-93為了確?？梢员M快識別內(nèi)部應(yīng)用程序接口錯誤，下列哪種測試方法最合適?A、自下而上測試B、社交性測試C、自上而下測試D、系統(tǒng)測試答案：C16.A3-146以下哪一項是新開發(fā)系統(tǒng)將在投產(chǎn)后被使用的最佳指標(biāo)?A、回歸測試B、用戶驗收測試C、社交性測試D、并行測試答案：B17..評估新開發(fā)的應(yīng)用程序有效性的最佳方式是：A、執(zhí)行實施前的審查。B、分析負(fù)載測試的結(jié)果，C、執(zhí)行實施后的審查。D、審查驗收測試的結(jié)果。答案：D18.一個做采購和分銷業(yè)務(wù)的公司，計劃采用集中網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)，最可能是基于什么因素考慮：A、增加數(shù)據(jù)冗余度B、消除數(shù)據(jù)庫正規(guī)化限制C、保證數(shù)據(jù)庫完整性D、便于數(shù)據(jù)統(tǒng)計答案：C19.A5-178下面哪一項能夠最好地描述公鑰基礎(chǔ)設(shè)施中的目錄服務(wù)器的作用?A、對通過網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行加密B、向應(yīng)用程序提供其他用戶的證書C、方便密碼政策的實施D、存儲證書撤銷清單答案：B20.A4-194繞過正常變更流程的緊急變更在以下哪種情況下是最可以接受的?A、管理人員在變更發(fā)生后對變更進(jìn)行審查和審批B、變更在發(fā)生時由同行進(jìn)行審查C、變更由運(yùn)營部門記錄在變更控制系統(tǒng)中D、管理人員已預(yù)先批準(zhǔn)所有緊急變更答案：A21.采用云服務(wù)的企業(yè)應(yīng)注意什么A、第三方審計B、數(shù)據(jù)所有權(quán)問題C、確保云服務(wù)商滿足企業(yè)的安全政策答案：B22.【重要題】為防止在共享打印機(jī)上打印的保密文檔泄露，應(yīng)該采用以下哪種方法?A、加密用戶計算機(jī)和打印機(jī)之間的數(shù)據(jù)流B、文件標(biāo)題頁抬頭標(biāo)識密級C、要求授權(quán)用戶在將文檔發(fā)送到打印機(jī)之前提供密碼D、在打印結(jié)果輸出之前，要求先在打印機(jī)上輸入密碼答案：D23.A1-124信息系統(tǒng)審計章程的主要目的是：A、建立審計部門的組織結(jié)構(gòu)B、闡述信息系統(tǒng)審計職能部門的報告責(zé)任C、詳細(xì)說明審計職能部門所需的資源要求D、概述信息系統(tǒng)審計職能部門的職責(zé)和權(quán)限答案：D24.【重要題】一個有大量界面程序的應(yīng)用，為了盡早能在前期發(fā)現(xiàn)界面程序的錯誤，應(yīng)該采取哪種測試方法：A、社交測試B、自上而下C、自下而上D、邏輯路徑監(jiān)測答案：B25.IS審計師要評估預(yù)防性維護(hù)程序的有效性，最有幫助的是：A、維護(hù)日志B、維護(hù)計劃C、停機(jī)時間記錄D、供應(yīng)商是否可靠答案：C26.A2-49技術(shù)變化的速度增加了以下哪項重要性?A、外包IT職能B、實施和強(qiáng)制執(zhí)行合理的流程C、雇用合格人員D、滿足用戶要求答案：B27.銀行的零售系統(tǒng)剛換了服務(wù)器，確保服務(wù)器能夠在滿意的響應(yīng)時間得到響應(yīng)的測試方法是：(也有考生回憶為：互聯(lián)網(wǎng)要求很大交易量，最需要進(jìn)行什么測試?)A、集成測試B、回歸測試C、系統(tǒng)測試D、基準(zhǔn)測試答案：D28.A5-92以下哪項控制能夠最有效地檢測入侵?A、通過授權(quán)的程序來授予用戶I和用戶權(quán)限B、工作站在特定時間段內(nèi)不活動會自動退出登錄C、在失敗嘗試達(dá)到指定次數(shù)后，系統(tǒng)自動退出登錄D、由安全管理員監(jiān)視未成功的登錄答案：D29.A2-142某信息系統(tǒng)審計師正在審查風(fēng)險管理流程。以下哪項是審查期間最重要的考慮事項?A、根據(jù)成本效益分析實施控制B、風(fēng)險管理框架基于全球標(biāo)準(zhǔn)C、風(fēng)險響應(yīng)審批流程得到貫徹以D、業(yè)務(wù)術(shù)語說明IT風(fēng)險答案：D30.一個有大量界面程序的應(yīng)用，為了盡早能在前期發(fā)現(xiàn)界面程序的錯誤，應(yīng)該采取哪種測試方法：A、社交測試B、自上而下C、自下而上D、邏輯路徑監(jiān)測答案：B31.哪一項能最有效地防止舊硬盤的數(shù)據(jù)泄露？A、重復(fù)寫（覆寫）B、物理破壞C、低級格式化D、消磁答案：B32.以下哪一項措施最能夠確保輸入到稅款計算機(jī)程序中的固定稅率的準(zhǔn)確定？A、數(shù)據(jù)輸入范圍的程序化合理性檢查B、用來防止無數(shù)數(shù)據(jù)輸入的程序化編輯檢查C、對輸入的數(shù)據(jù)進(jìn)行目視檢查D、用戶獨(dú)立審核測試結(jié)果答案：A33.【重要題】對從數(shù)據(jù)倉庫生成的商業(yè)報告的質(zhì)量進(jìn)行審查時，最應(yīng)關(guān)注下面哪種情況?A、數(shù)據(jù)錯誤未經(jīng)過IT人員一致審查B、數(shù)據(jù)質(zhì)量報告無法提供對業(yè)務(wù)發(fā)展趨勢的洞見C、數(shù)據(jù)質(zhì)量報告每晚批量從數(shù)據(jù)倉庫中生成導(dǎo)出。D、報告中的數(shù)據(jù)錯誤在數(shù)據(jù)倉庫中已得到修正答案：A34.以下哪一項最能表明問題管理流程的有效性?A、立即將事故分配給工程師B、事故記錄在集中式系統(tǒng)中C、重復(fù)事故的數(shù)量減少了D、可排除答案：C35.A4-62信息系統(tǒng)審計師在審查系統(tǒng)參數(shù)時，應(yīng)該主要考慮：A、參數(shù)設(shè)置滿足安全性和性能要求B、變更已記錄到審計軌跡中并定期進(jìn)行了審查C、變更經(jīng)過授權(quán)，并取得了相應(yīng)文檔的支持D、限制對系統(tǒng)參數(shù)的訪問答案：A36.信息系統(tǒng)審計師在在制定審計計劃時，應(yīng)首先執(zhí)行以下哪一項活動?A、確定風(fēng)險優(yōu)先順序B、審查以前的審計報告C、確定審計范圍D、分配審計資源答案：A37.【重要題】企業(yè)打算外包其信息安全之能，其中哪項不能外包只能留在企業(yè)內(nèi)?A、公司安全策略的責(zé)任B、制定公司安全策略C、實施公司安全策略D、制訂安全推進(jìn)和指導(dǎo)答案：A38..信息系統(tǒng)審計師在審查傳輸公開可用信息的系統(tǒng)接口，哪一項最令人擔(dān)憂?A、什么界面跟蹤程序(可排除)B、下載的數(shù)據(jù)與原系統(tǒng)數(shù)據(jù)不同C、數(shù)據(jù)未加密D、數(shù)據(jù)在傳輸時被截獲答案：B39.在對最近部署的應(yīng)用執(zhí)行實施審查過程中，發(fā)現(xiàn)幾個事故被分配了錯誤的優(yōu)先級，并因此未能符合服務(wù)等級協(xié)議（SLA)的要求。以下哪一項最令人擔(dān)心？A、支持模型未經(jīng)高級管理層批準(zhǔn)。B、SLA中規(guī)定的事故解決時間不現(xiàn)實。C、沒有足夠的資源來支持應(yīng)用。D、未適當(dāng)開發(fā)和實施支持模型。答案：D40.在數(shù)據(jù)庫即服務(wù)的云環(huán)境下，組織應(yīng)保留哪項權(quán)利和責(zé)任呢A、數(shù)據(jù)庫的升級B、數(shù)據(jù)庫的備份和恢復(fù)C、數(shù)據(jù)庫的應(yīng)用系統(tǒng)訪問控制D、數(shù)據(jù)庫的日常維護(hù)答案：C41.信息系統(tǒng)審計師發(fā)現(xiàn)數(shù)據(jù)庫管理系統(tǒng)維護(hù)后未重新啟動審計日志，以下哪一項是最大的問題?A、將不能記錄數(shù)據(jù)庫管理員所作的更改操作B、將不能優(yōu)化數(shù)據(jù)庫的觸發(fā)器和指針C、將不能記錄應(yīng)用程序用戶所作的更改操作D、將妨礙數(shù)據(jù)庫優(yōu)化答案：A42.某公司既執(zhí)行完整數(shù)據(jù)庫備份，也執(zhí)行增量數(shù)據(jù)庫備份。當(dāng)數(shù)據(jù)中心遭破壞后，以下哪一項能夠提供最佳的完全恢復(fù)？A、每周將完全備份移至一個異地地點B、每日將增量備份存放到一個異地地點C、將完全備份和增量備份放在一個安全的服務(wù)器機(jī)房D、每日將所有備份循環(huán)存放到異地地點答案：D43.使用數(shù)字簽名的主要原因A、機(jī)密性B、完整性C、可用性D、實效性答案：B44.應(yīng)用程序可以使用用戶賬號訪問底層數(shù)據(jù)庫，審計師最擔(dān)心：(也有考生反饋題干描述為：底層用戶可以直接訪問數(shù)據(jù)庫，哪項風(fēng)險大?)(此題需進(jìn)一步確認(rèn)，請考生考試中特別留意)A、用戶可以繞過應(yīng)用程序訪問數(shù)據(jù)庫B、用戶賬戶停用了，仍然可以訪問C、應(yīng)用程序?qū)徲嬘涗洸荒馨啃畔、底層數(shù)據(jù)庫完整性被破壞答案：A45.在選擇和部署使用面積識別軟件的生物特診識別系統(tǒng)前，必須完成以下哪一項A、圖像干擾審查B、錯誤的驗收測試C、隱私影響分析D、漏洞評估答案：C46.A3-40某組織實施了一個分布式會計系統(tǒng)，信息系統(tǒng)審計師正在進(jìn)行實施后審查，以提供數(shù)據(jù)完整性控制的鑒證。該審計師應(yīng)當(dāng)首先執(zhí)行以下哪一項?A、審查用戶訪問B、評估變更請求流程C、評估對賬控制D、審查數(shù)據(jù)流程圖答案：D47.【重要題】下列哪一項能夠最有效地保護(hù)數(shù)據(jù)中心的信息資產(chǎn)不被供應(yīng)商竊取A、監(jiān)控并限制供應(yīng)商的活動B、給供應(yīng)商發(fā)放訪問卡C、隱藏數(shù)據(jù)設(shè)備和信息標(biāo)簽D、限制使用便捷式和無線設(shè)備答案：A48.企業(yè)要參換當(dāng)前的會計系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數(shù)據(jù)完整性?A、平行實施B、應(yīng)急回退計劃C、試點實施D、功能集成測試答案：A49.網(wǎng)絡(luò)遭受病毒風(fēng)暴襲擊，已經(jīng)通知了事件響應(yīng)團(tuán)隊，下一步應(yīng)該如何處理?A、將事件記錄下來B、集中精力將損害限制在有限范圍內(nèi)C、刪除并修復(fù)受影響的系統(tǒng)D、檢查受損系統(tǒng)的功能是否完好答案：B50.A5-115如果使用不當(dāng),以下哪項最有可能成為拒絕服務(wù)攻擊的幫兇?A、路由器配置和規(guī)則B、內(nèi)部網(wǎng)絡(luò)設(shè)計C、路由器系統(tǒng)軟件的更新D、審計測試和審查技術(shù)答案：A51.緊急情況下關(guān)閉電源的開關(guān)應(yīng)該：A、受保護(hù)B、不在計算機(jī)機(jī)房中C、無識別標(biāo)記D、會發(fā)亮答案：A52.A3-79某公司為采用一種客戶直銷的新方法而實施業(yè)務(wù)流程再造項目。對于新流程，信息系統(tǒng)審計師應(yīng)最關(guān)注以下哪一項?A、是否存在保護(hù)資產(chǎn)和信息資源得到關(guān)鍵控制B、系統(tǒng)是否符合公司客戶要求C、系統(tǒng)能夠滿足績效目標(biāo)D、新系統(tǒng)能否支持職責(zé)分離答案：A53.對預(yù)算有限的公司，解決內(nèi)部職責(zé)分離問題的最合適的措施是：A、定期實施輪崗B、招募臨時員工C、進(jìn)行獨(dú)立審計D、實施補(bǔ)償性控制答案：D54.A5-191以下哪一項可能防止黑客攻擊?A、入侵檢測系統(tǒng)B、蜜罐系統(tǒng)C、入侵防御系統(tǒng)D、網(wǎng)絡(luò)安全掃描程序答案：C55.A2-74以下哪一項是IT績效衡量流程的主要目標(biāo)?A、將錯誤減至最少B、收集績效數(shù)據(jù)C、建立績效基準(zhǔn)D、優(yōu)化績效答案：D56.業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃中的首要目的？A、保護(hù)人員的生命B、保護(hù)關(guān)鍵信息系統(tǒng)資產(chǎn)C、最小化組織的損失D、提供操作的連續(xù)性答案：A57.因為數(shù)據(jù)泄漏事件，公司開展審計，以下哪個審計結(jié)果最應(yīng)該報告給管理層?A、員工對相關(guān)的安全政策沒有意識和技能B、安全意識教育研討會未完成C、桌面密碼缺少特殊字符D、員工沒有簽署競業(yè)協(xié)議答案：B58.【重要題】以下哪一項可以提供最佳證據(jù)表明云提供商變更管理流程的有效性?A、供應(yīng)商提供的變更管理政策的副本B、供應(yīng)商提供的第三方審查結(jié)果C、供應(yīng)商EO和IO的書面保證D、與供應(yīng)商定期進(jìn)行變更管理會議的會議記錄答案：B59.以下誰最適合對信息資產(chǎn)進(jìn)行分類?A、數(shù)據(jù)所有者B、數(shù)據(jù)保管人C、信息安全經(jīng)理D、高級經(jīng)理答案：A60.為防止病毒引入網(wǎng)絡(luò)。下列哪一項措施最有效？A、定期更新補(bǔ)丁B、在網(wǎng)絡(luò)入口安裝防毒墻C、每日開機(jī)之前掃描所有文件D、在服務(wù)器上安裝病毒檢測程序答案：B61.A3-39以下哪種風(fēng)險可能是由軟件項目的基準(zhǔn)指標(biāo)不充分引起的?A、簽字延遲B、違反軟件完整性C、范圍偏離D、控制不充分答案：C62.A4-214某信息系統(tǒng)審計師正在審查某組織最新的災(zāi)難恢復(fù)計劃。在確定該計劃所需要的系統(tǒng)資源的可用性時，以下哪一項批準(zhǔn)最重要?A、執(zhí)行管理層B、IT管理人員C、董事會D、指導(dǎo)委員會答案：B63.A3-11某企業(yè)正在制定一項策略，已將其數(shù)據(jù)庫軟件升級到最新版本。信息系統(tǒng)審計師可以執(zhí)行下列哪一項任務(wù)而不會對信息系統(tǒng)審計功能的客觀性造成損害?A、對新數(shù)據(jù)庫軟件采用哪些應(yīng)用程序控制提供建議B、為項目團(tuán)隊將來所需的許可費(fèi)提供評估C、向項目經(jīng)理建議如何提高遷移效率D、在執(zhí)行驗收測試之前，審查驗收測試個案文檔答案：D64.A2-25某信息系統(tǒng)審計師正在審查某組織的治理模型。以下哪項是審計師最應(yīng)該關(guān)注的問題?A、高級管理層未對信息安全政策進(jìn)行定期審查B、未制定旨在確保系統(tǒng)及時安裝補(bǔ)丁的政策C、審計委員會未審查組織的使命宣言D、未制定與信息資產(chǎn)保護(hù)相關(guān)的組織政策答案：A65.A4-252授予應(yīng)用程序數(shù)據(jù)訪問權(quán)限是以下哪位的職責(zé)?A、數(shù)據(jù)保管員B、應(yīng)用程序管理員C、數(shù)據(jù)所有者D、安全管理員答案：C66.當(dāng)企業(yè)實施安全信息和事件管理（SIEM）系統(tǒng)時，建立了哪一種控制類型A、檢測性B、改正性C、指導(dǎo)性D、預(yù)防性答案：A67.A2-92為了應(yīng)對操作人員不執(zhí)行日常備份所帶來的風(fēng)險，管理人員要求系統(tǒng)管理員簽字認(rèn)可日常備份。這是以下哪種風(fēng)險處理方式的示例?A、規(guī)避B、轉(zhuǎn)移C、緩解D、接受答案：C68.在信息系統(tǒng)開發(fā)方法中，以下哪一項應(yīng)該被包括在內(nèi)?A、風(fēng)險管理技術(shù)B、事故管理技術(shù)C、訪問控制規(guī)則D、增值活動分析答案：A69.A4-50某信息系統(tǒng)審計師正在審查數(shù)據(jù)庫控制時發(fā)現(xiàn)，在正常工作時間內(nèi)對數(shù)據(jù)庫所做的變更是通過一套標(biāo)準(zhǔn)流程處理的。但是，在非正常工作時間，只須采取簡單的幾步便可進(jìn)行變更。在這種情況下，可將以下哪項看作一套充分的補(bǔ)償性措施?A、只允許使用數(shù)據(jù)庫管理員()用戶賬戶進(jìn)行變更B、在授予了普通用戶賬戶的訪問權(quán)限之后再對數(shù)據(jù)庫進(jìn)行變更C、使用用戶賬戶進(jìn)行變更，對變更進(jìn)行記錄并在第二天查閱變更日志D、使用普通用戶賬戶進(jìn)行變更，對變更進(jìn)行記錄并在第二天查閱變更日志答案：C70.A4-34定期測試異地災(zāi)難恢復(fù)設(shè)施的主要目的是：A、保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的完整性B、不必制訂詳細(xì)的應(yīng)急計劃C、確保應(yīng)急設(shè)施持續(xù)保持兼容性D、確保程序和系統(tǒng)文檔保持最新答案：C71.【重要題】項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大?A、﹀未滿足用戶需求B、項目關(guān)鍵路徑改變C、超出預(yù)算D、項目延遲完成答案：A72.在制定新的風(fēng)險管理計劃時，一定要考慮以下哪種因素?(新題)A、風(fēng)險偏好B、合規(guī)性措施C、風(fēng)險緩解技術(shù)D、資源利用答案：A73.某外部單位向?qū)徲嫀熕饕獙徲媹蟾?，審計師?yīng)該怎么做?A、征得審計管理部門和被審單位同意后，提供審計報告B、征得審計管理部門同意后，提供審計報告C、征得被審單位同意后，提供審計報告D、直接提供審計報告答案：A74.【重要題】對于應(yīng)用程序開發(fā)驗收測試來說，以下哪項最重要?A、質(zhì)量保證(Q)小組負(fù)責(zé)測試過程B、用戶管理在啟動測試之前會審批測試設(shè)計C、所有數(shù)據(jù)文件在轉(zhuǎn)換之前均進(jìn)行了有效信息測試D、編程小組參與測試過程答案：B75.【重要題】在跟蹤審計過程中發(fā)現(xiàn)之前的審計報告，存在問題，首選需要報告給：A、業(yè)務(wù)管理部門B、審計項目經(jīng)理C、項目經(jīng)理D、高級管理層答案：B76.為使信息系統(tǒng)審計師更好地從發(fā)現(xiàn)和結(jié)論中做出判斷，審計證據(jù)應(yīng)符合以下哪些要求?A、采集、經(jīng)過檢查并且受到保護(hù)B、符合法律法規(guī)要求C、被認(rèn)為是充分的、可靠的和相關(guān)的D、符合監(jiān)管要求答案：C77.A4-74為某航空公司的訂票系統(tǒng)設(shè)計業(yè)務(wù)連續(xù)性計劃(BCP)時，最適用于異地數(shù)據(jù)轉(zhuǎn)移/備份的方法是：A、影子文件處理B、電子遠(yuǎn)程磁帶保存C、硬盤鏡像D、熱備援中心配置答案：A78.以下哪一項是實施分散式IT治理模型最主要的原因?A、實現(xiàn)標(biāo)準(zhǔn)化和規(guī)模經(jīng)濟(jì)B、實現(xiàn)各業(yè)務(wù)部門的統(tǒng)一性C、促進(jìn)各業(yè)務(wù)部門之間的IT協(xié)作D、有利于對業(yè)務(wù)需求有更快的響應(yīng)答案：D79.A5-146在公鑰基礎(chǔ)設(shè)施中,注冊機(jī)構(gòu)負(fù)責(zé)：A、驗證證書申請對象所提供的信息B、在核實所需屬性并生成密鑰之后頒布認(rèn)證C、對消息進(jìn)行數(shù)字簽名，以實現(xiàn)簽名消息的不可否認(rèn)性D、登記簽名信息，以保證其日后不遭到否認(rèn)答案：A80.A5-47終端設(shè)備發(fā)出的電磁輻射會造成風(fēng)險，因為這些電磁輻射可能：A、損壞或擦除附近的存儲介質(zhì)B、干擾處理器某些功能的正常運(yùn)行C、損害個人健康D、可被檢測到并顯示出來答案：D81.計算機(jī)房中安裝了一套火警系統(tǒng)，火警控制面板的最有效放置是位于：A、距離UPS最近的機(jī)房中。B、系統(tǒng)管理員的辦公室中。C、距服務(wù)器最近的機(jī)房中。D、大廈保安人員值班室。答案：D82.【重要題】以下哪項是上線準(zhǔn)備前最有效的保障?A、已經(jīng)實施了兩遍桌面測試B、已經(jīng)測試并批準(zhǔn)了小范圍的模擬測試C、成功地在處理周期完成了平行測試D、已成功執(zhí)行回滾測試答案：C83.某組織實施了一個分布式會計系統(tǒng)，IS審計師正在進(jìn)行實施后審查，以提供數(shù)據(jù)完整性控制的鑒證。該審計師應(yīng)當(dāng)首先執(zhí)行以下哪一項？A、審查用戶訪問。B、評估變更請求流程。C、評估對賬控制。D、審查數(shù)據(jù)流程圖。答案：D84.銀行的零售系統(tǒng)剛換了服務(wù)器，確保服務(wù)器能夠在滿意的響應(yīng)時間得到響應(yīng)的測試方法是（互聯(lián)網(wǎng)要求很大交易量，最需要進(jìn)行什么測試）A、集成測試B、回歸測試C、系統(tǒng)測試D、基準(zhǔn)測試答案：D85.以下哪項正確描述審計風(fēng)險A、員工挪用了資金B(yǎng)、公司被無端指控C、財務(wù)報告可能未發(fā)現(xiàn)重大錯誤D、主要人員2年末休假答案：C86.事故管理流程中，哪個環(huán)節(jié)最重要?(2023年4月題干描述為：審計事故管理有效性中，審計師最擔(dān)憂的()是無效的?)A、事故檢測B、事故分類C、事故優(yōu)先級排序D、事故事后審查答案：A87.【重要題】當(dāng)審計資源有限時，以下哪一項是信息系統(tǒng)風(fēng)險審計的最大擔(dān)憂?A、進(jìn)行風(fēng)險評估可能減少可用于審計的時間B、某些業(yè)務(wù)流程可能未經(jīng)審計C、管理層審計請求的響應(yīng)可能會大大延遲D、審計時間表可能變得太可預(yù)測答案：B88.某項目在申請國際質(zhì)量保證認(rèn)證，哪一項可以證明達(dá)到了質(zhì)量保證標(biāo)準(zhǔn)A、可衡量的流程B、組織的風(fēng)險減小C、增強(qiáng)了法律和合規(guī)性D、質(zhì)量保證文檔答案：A89.高級管理層缺乏哪項決策會造成最大的數(shù)據(jù)泄露風(fēng)險？A、沒有對桌面電腦加密B、沒有實施員工安全意識培訓(xùn)C、員工可以遠(yuǎn)程辦公D、安全政策有一年沒有進(jìn)行更新答案：B90.以下哪一項是評估企業(yè)的安全意識充分性的最佳方法?A、觀察員工在安全方面的行為B、確認(rèn)安全意識計劃的存在C、執(zhí)行安全調(diào)查問卷D、就安全職責(zé)與員工進(jìn)行訪談答案：A91.哪一項是審計師對于幫助企業(yè)提高資源效率的最佳建議?A、實時備份B、可排除C、硬件升級D、虛擬化答案：D92.IT審計師正在審查公司的事故管理流程，哪一項最讓審計師擔(dān)憂A、無效的事故分類B、無效的事故優(yōu)先排序C、無效的事故檢測D、無效的事故后審查答案：C93.一名IS審計師正在審查某組織的物理安全措施。對于門禁卡系統(tǒng)IS審計師最應(yīng)關(guān)注的是：A、將未經(jīng)定制的門禁卡發(fā)放給清潔人員，他們只使用簽到單，不用出示身份證明。B、門禁卡未標(biāo)識組織的名稱和地址，不方便歸還丟失的卡。C、門禁卡的發(fā)放以及權(quán)限管理由不同的部門執(zhí)行，從而導(dǎo)致新卡從準(zhǔn)備到正式投入使用產(chǎn)生不必要的延遲。D、對卡進(jìn)行編程的計算機(jī)系統(tǒng)只能在系統(tǒng)故障發(fā)生的三周后予以替換。答案：A94.A5-140某信息系統(tǒng)審計師檢查了一個無窗機(jī)房，機(jī)房中有電話交換機(jī)和聯(lián)網(wǎng)設(shè)備以及文檔夾。該機(jī)房配有兩個手持滅火器———————一個是二氧化碳滅火器，另一個是鹵徑滅火器。下列哪一項應(yīng)在信息系統(tǒng)審計師的報告中具有最高優(yōu)先級?A、移走鹵徑滅火器，因為鹵化物會對大氣臭氧層產(chǎn)生負(fù)面影響B(tài)、在密閉機(jī)房中使用時，兩種滅火器都有導(dǎo)致窒息的危險C、移走二氧化碳滅火器，因為二氧化碳對于固體可燃物(紙張)的滅火是無效的D、將文檔夾從設(shè)備機(jī)房中移走，從而降低潛在風(fēng)險答案：B95.ERP系統(tǒng)中的三項匹配機(jī)制，審計師應(yīng)審查以下哪一項？A、銀行方（記不清，可排除）B、交貨通知C、采購訂單D、采購申請單答案：C96.【重要題】以下哪一項能保護(hù)在電子郵件中信息的機(jī)密性?A、加密B、安全哈希算法1(SH-1)C、數(shù)字證書D、數(shù)字簽名答案：A97.【重要題】下列哪一項能夠更好地完善流程改良(優(yōu)化)計劃?A、基于模型的設(shè)計表示法B、項目管理方法論C、能力成熟度模型D、平衡記分卡答案：C98.定義一個標(biāo)準(zhǔn)程序，來對比源代碼和目標(biāo)代碼的區(qū)別，屬于：A、程序庫的符合性測試B、程序庫的實質(zhì)性測試C、程序編輯器的符合性測試D、程序編輯器的實質(zhì)性測試答案：B99.面向服務(wù)架構(gòu)最可能A、危害應(yīng)用程序軟件安全性B、簡化所有內(nèi)部流程C、使合伙人之間更便利D、禁止與舊有系統(tǒng)之間集成答案：C100.內(nèi)部審計部門最近建立了一個質(zhì)量保證（QA）計劃。質(zhì)量保證計劃要求包括以下哪一項最重要？A、從內(nèi)部審計員工獲得反饋B、分析各條業(yè)務(wù)線的用戶滿意度報告C、定期對計劃進(jìn)行外部評估D、對計劃進(jìn)行長期內(nèi)部審計資源規(guī)劃答案：A101.在EFT系統(tǒng)實施時，審計師最關(guān)注？A、項目是否滿足了業(yè)務(wù)目標(biāo)B、用戶是否積極參與系統(tǒng)的獲取過程C、系統(tǒng)供應(yīng)商的資質(zhì)D、通信線路的加密答案：A102.有道題說機(jī)房里，什么探測應(yīng)該放在地板下面A、水探測B、煙感探測C、氣壓探測D、溫度探測答案：A103.【重要題】高級審計師正在審查初級審計師的審計底稿，發(fā)現(xiàn)一個問題在被審計方已整改后被刪除了。高級審計師下一步該：A、批準(zhǔn)該審計底稿B、要求被審計方重新測試C、將該問題報告給審計經(jīng)理或主管D、復(fù)原該審計發(fā)現(xiàn)答案：C104.在把關(guān)鍵系統(tǒng)遷移到云服務(wù)提供商的過程中，企業(yè)對數(shù)據(jù)安全性的最大顧慮是：A、在法律查詢過程中可能要求來自不同客戶的數(shù)據(jù)B、不同客戶的數(shù)據(jù)應(yīng)遵守的政府法規(guī)可能各不相同C、不同客戶的數(shù)據(jù)可能受制于災(zāi)難恢復(fù)的不同服務(wù)水平協(xié)議(SL)D、不同客戶的數(shù)據(jù)之間可能沒有實施隔離答案：B105.A5-250信息系統(tǒng)審計師在審查一家組織的身份認(rèn)證控制時最應(yīng)關(guān)注的是：A、是否有用戶賬戶在5次嘗試失敗后未被鎖定B、員工是否可以在定義的時間范圍內(nèi)重復(fù)使用密碼C、系統(tǒng)管理員是否使用共享登錄憑證D、密碼是否不會自動過期答案：C106.組織的大多數(shù)信息系統(tǒng)已經(jīng)外包，以下哪項能最能保持業(yè)務(wù)連續(xù)性?A、外包商管理層B、信息技術(shù)管理層C、業(yè)務(wù)管理層D、信息安全管理層答案：C107.A1-44審查應(yīng)用程序控制的信息系統(tǒng)審計師將評估：A、應(yīng)用程序的效率是否滿足業(yè)務(wù)流程B、任何已發(fā)現(xiàn)的風(fēng)險敞口的影響C、應(yīng)用程序所服務(wù)的業(yè)務(wù)流程D、應(yīng)用程序的優(yōu)化答案：A108.A3-54當(dāng)應(yīng)用程序開發(fā)人員想要使用前一天的生產(chǎn)交易文件副本來做容量測試時，信息系統(tǒng)審計師的主要擔(dān)憂是：A、用戶可能更愿意在測試時使用編造的數(shù)據(jù)B、可能導(dǎo)致敏感數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問C、錯誤處理和可信度檢查可能得不到全面驗證D、未必能測試新程序的全部功能答案：B109.A3-127某信息系統(tǒng)審計組參與了將某自動化審計工具包集成到現(xiàn)有企業(yè)資源規(guī)劃系統(tǒng)中的工作。由于ERP性能方面的問題，此審計工具包不允許上線。該信息系統(tǒng)審計師應(yīng)給出的最佳建議是什么?A、檢查所選的整合控制的實施B、請求獲得額外的信息系統(tǒng)審計資源C、請求供應(yīng)商的技術(shù)支持以解決性能問題D、在用戶進(jìn)行驗收測試期間評估壓力測試的結(jié)果答案：D110.A4-86在審查災(zāi)難恢復(fù)計劃時，信息系統(tǒng)審計師最關(guān)注的是缺少：A、流程所有者的參與B、記錄良好的測試程序C、備用處理設(shè)施D、記錄良好的數(shù)據(jù)分類方案答案：A111.在應(yīng)用程序軟件審查過程中，某IS審計師在超出審計范圍的相關(guān)數(shù)據(jù)庫環(huán)境中發(fā)現(xiàn)了細(xì)小的漏洞。最佳選項是：A、包括審查范圍內(nèi)的數(shù)據(jù)庫控制。B、記錄下來供日后審查。C、與數(shù)據(jù)庫管理員共同解決問題。D、如實報告漏洞。答案：D112.在制定新的風(fēng)險管理計劃時，一定要考慮以下哪種因素？(新題)A、風(fēng)險偏好B、合規(guī)性措施C、風(fēng)險緩解技術(shù)D、資源利用答案：A113.A2-34許多組織都強(qiáng)制要求員工休假(度假)一周或更久，其目的在于：A、確保員工保持良好的生活質(zhì)量，從而提高生產(chǎn)效率B、減少員工發(fā)生不當(dāng)操作或非法操作的機(jī)會C、為另一名員工提供合適的交叉培訓(xùn)D、消除某位員工一次性休一天假而可能引起的中斷答案：B114.審查公司IT戰(zhàn)略與IT計劃的一致性，信息系統(tǒng)審計師發(fā)現(xiàn)哪項最重要A、未分發(fā)業(yè)務(wù)戰(zhàn)略會議紀(jì)要B、IT未參與業(yè)務(wù)戰(zhàn)略的制定C、IT戰(zhàn)略計劃的文檔不足D、根據(jù)業(yè)務(wù)制定的IT戰(zhàn)略所導(dǎo)出的IT項目的成果物答案：B115.信息系統(tǒng)審計師認(rèn)為LAN訪問安全性令人滿意，審計經(jīng)理在復(fù)查此項工作時需要？A、驗證既定審計計劃的步驟是否都已經(jīng)執(zhí)行B、重新執(zhí)行某些審計步驟，以驗證工作質(zhì)量。C、評估審計師是否具有執(zhí)行此工作的相應(yīng)技能。D、驗證用戶管理部門是否同意審計發(fā)現(xiàn)答案：A116.審查項目組合時，下列哪一項是管理層應(yīng)考慮的最有用的指標(biāo)？A、該組合的當(dāng)前凈值B、預(yù)期效益與總項目成本之比C、每個項目的總成本D、項目成本與總IT成本之比答案：B117.【重要題】在開發(fā)新的財務(wù)應(yīng)用程序時，信息系統(tǒng)審計師首先應(yīng)參與：A、控制設(shè)計。B、可行性研究。C、系統(tǒng)測試。D、應(yīng)用程序設(shè)計答案：B118.【重要題】哪種控制在跨網(wǎng)絡(luò)傳輸中有效檢測數(shù)據(jù)意外損壞A、順序檢查B、對稱加密C、奇偶校驗D、校驗(數(shù)字)位答案：D119.【重要題】在評估企業(yè)的漏洞掃描計劃時，以下哪項是審計師的最大顧慮?A、漏洞掃描頻率低于漏洞掃描計劃要求B、結(jié)果沒有報告給有權(quán)確保解決相關(guān)漏洞的人C、未記錄針對已識別漏洞所采取的步驟D、結(jié)果沒有得到高級管理層批準(zhǔn)答案：B120.以下哪一項能保護(hù)在電子郵件中信息的機(jī)密性？A、加密B、安全哈希算法1(SHA-1)C、數(shù)字證書D、數(shù)字簽名答案：A121.A5-153在傳輸模式中,使用封裝安全負(fù)載協(xié)議要優(yōu)于使用身份認(rèn)證頭協(xié)議，這是因為前者提供了：A、無連接完整性B、數(shù)據(jù)源身份認(rèn)證C、反重傳認(rèn)證D、機(jī)密性答案：D122.A5-152在電子郵件的軟件應(yīng)用程序中，已驗證的數(shù)字簽名可以：A、幫助檢測垃圾郵件B、保證機(jī)密性C、增加網(wǎng)關(guān)服務(wù)器的工作量D、明顯減少可用帶寬答案：A123..以下哪一項是用于預(yù)估開發(fā)大型業(yè)務(wù)應(yīng)用程序復(fù)雜性的最佳方法?A、功能點分析B、關(guān)鍵路徑分析C、工作分解結(jié)構(gòu)D、軟件成本估算答案：A124.A2-33某業(yè)務(wù)單位已選用新的會計應(yīng)用，但并未選擇流程中提前咨詢IT部門。主要風(fēng)險是：A、該應(yīng)用的安全控制可能不符合要求B、該應(yīng)用可能不符合業(yè)務(wù)用戶的需求C、該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)不一致D、該應(yīng)用可能給IT部門帶來不可預(yù)見的支持問題答案：C125.A4-216在進(jìn)行客戶關(guān)系管理系統(tǒng)應(yīng)用審計時，信息系統(tǒng)審計師發(fā)現(xiàn)，相比其他時段，用戶在高峰工作時段登錄系統(tǒng)需要很長時間。登錄后，系統(tǒng)的平均響應(yīng)時間在可接受的范圍之內(nèi)。該信息系統(tǒng)審計師應(yīng)當(dāng)建議以下哪一個選項?A、不應(yīng)采取任何措施，因為系統(tǒng)符合當(dāng)前的業(yè)務(wù)需求B、IT部門應(yīng)當(dāng)增加網(wǎng)絡(luò)寬帶，以提高性能C、應(yīng)當(dāng)向用戶提供詳細(xì)的手冊，以便正確使用系統(tǒng)D、為驗證服務(wù)器制定性能衡量標(biāo)準(zhǔn)答案：D126.對互聯(lián)網(wǎng)防火墻固有滑源的有效攻擊是什么?A、網(wǎng)絡(luò)釣魚B、大量數(shù)據(jù)(os)攻擊網(wǎng)站C、攔截數(shù)據(jù)包并破獲密碼D、針對加密密碼的字典攻擊答案：A127.為了減少日志服務(wù)器不堪收集錯誤攻擊日志的壓力，以下最佳建議是A、微調(diào)IDS的規(guī)則設(shè)置B、調(diào)整防火墻的訪問控制規(guī)則C、更換日志服務(wù)器D、調(diào)整網(wǎng)絡(luò)架構(gòu)答案：A128.A5-60為確保輸入的密碼符合由字母和數(shù)字組成這一安全政策要求，信息系統(tǒng)審計師應(yīng)建議：A、更改公司政策B、定期更新密碼C、使用自動化密碼管理工具D、進(jìn)行安全意識培訓(xùn)答案：C129.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應(yīng)該做的是什么?A、禁止該員工的系統(tǒng)訪問權(quán)限B、審查之前該員工批準(zhǔn)的交易C、人員陪同下離開工作場所D、給員工電腦做備份答案：A130.企業(yè)把開發(fā)環(huán)境和測試環(huán)境分開的主要原因是什么？A、可以排除B、在IT人員和最終用戶之間實現(xiàn)職責(zé)分離。C、使測試人員可以在穩(wěn)定的環(huán)境下進(jìn)行測試。D、保護(hù)開發(fā)中的程序不受未經(jīng)授權(quán)的測試。答案：C131.以下哪項應(yīng)該包含在審計章程中?(公司的審計章程因該A、定義審計師訪的信息訪問權(quán)限B、詳述審計目標(biāo)C、包括信息系統(tǒng)審計計劃D、提出企業(yè)的IT戰(zhàn)略答案：A132.A5-129某信息系統(tǒng)審計師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個領(lǐng)域值得關(guān)注。以下哪個領(lǐng)域最重要?A、緊急斷電按鈕蓋不見了B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)C、數(shù)據(jù)中心沒有安全攝像頭D、緊急出口被阻塞答案：D133.A4-32一位信息系統(tǒng)審計師需要審查可將軟件應(yīng)用程序的狀態(tài)恢復(fù)到更新前狀態(tài)的流程。因此，該審計師需要評估：A、問題管理流程B、軟件開發(fā)流程C、逆向恢復(fù)流程D、事故管理流程答案：C134.A2-116審查組織的IT戰(zhàn)略計劃時,信息系統(tǒng)審計師預(yù)期應(yīng)該發(fā)現(xiàn)：A、評估組織的應(yīng)用程序組合與業(yè)務(wù)目標(biāo)的匹配程度B、降低硬件采購成本的措施C、已批準(zhǔn)的IT合同資源的供應(yīng)商列表D、該組織網(wǎng)絡(luò)邊界安全的技術(shù)體系架構(gòu)說明答案：A135.A3-101系統(tǒng)開發(fā)項目完成后,項目實施后審查工作中應(yīng)該囊括以下哪一項?A、評估可能在產(chǎn)品發(fā)布之后導(dǎo)致停機(jī)的風(fēng)險B、總結(jié)可應(yīng)用到未來項目中的經(jīng)驗教訓(xùn)C、檢驗所交付系統(tǒng)中的控制是否正常運(yùn)轉(zhuǎn)D、確保已刪除測試數(shù)據(jù)答案：B136.A1-136以下哪個選項是與IT人員相關(guān)的預(yù)防性控制的示例?A、站在服務(wù)器機(jī)房門口的保安人員B、入侵檢測系統(tǒng)C、對IT設(shè)施實施證章門禁系統(tǒng)D、服務(wù)器機(jī)房的滅火系統(tǒng)答案：C137.A4-250一名信息系統(tǒng)審計師正在用審計軟件審查每月應(yīng)付賬款交易登記。審計師為何有興趣使用校驗數(shù)字位?A、為了檢測數(shù)據(jù)轉(zhuǎn)位錯誤B、為了確保交易不超過預(yù)定數(shù)額C、為了確保輸入的數(shù)據(jù)在合理的限制之內(nèi)D、為了確保輸入的數(shù)據(jù)在預(yù)定的價值范圍之內(nèi)答案：A138.A5-262降低垃圾搜尋風(fēng)險的最佳方式是：A、提供安全意識培訓(xùn)B、在復(fù)印室放置碎紙箱C、制定介質(zhì)處置政策D、在單獨(dú)的辦公室放置碎紙機(jī)答案：A139.A5-121在審查對應(yīng)用程序的邏輯訪問時，以下哪項發(fā)現(xiàn)最令信息系統(tǒng)審計師關(guān)注?A、有些開發(fā)人員擁有更新生產(chǎn)數(shù)據(jù)的訪問權(quán)限B、儲存應(yīng)用程序I密碼的文件在生產(chǎn)代碼中采用明文形式C、變更控制團(tuán)隊指導(dǎo)應(yīng)用程序I密碼D、應(yīng)用程序沒有強(qiáng)制要求使用強(qiáng)密碼答案：B140.軟件使用可持續(xù)時間應(yīng)在哪個階段確定?A、設(shè)計階段B、用戶測試之后C、提供給運(yùn)維之前D、實施后答案：A141.在對應(yīng)用程序進(jìn)行實施后審查時，以下哪一項應(yīng)測試的主要聚焦必刷?A、確保將企業(yè)標(biāo)準(zhǔn)用作實施過程的一部分B、確保已完成系統(tǒng)和集成測試，并取得系統(tǒng)所有者的簽字確認(rèn)C、確保驗收測試符合利益相關(guān)者的同意和認(rèn)可，并落實到實施計劃D、確保應(yīng)用程序在生產(chǎn)環(huán)境中處于活動狀態(tài)，并且可以從最終用戶設(shè)備訪問到答案：A142.在制定業(yè)務(wù)連續(xù)性計劃（BCP）方面，以下哪一個利益方最重要？A、流程所有者B、應(yīng)用所有者C、董事會D、IT管理層答案：A143.郵件要求保密機(jī)制的那個題，我想起來選項了，說最擔(dān)心以下哪種A、公鑰基礎(chǔ)架構(gòu)B、簽名C、對稱密鑰D、非對稱密鑰答案：B144.審計經(jīng)理在復(fù)核審計報告時發(fā)現(xiàn)，因?qū)徲嫀煹氖韬?，一個關(guān)鍵證據(jù)被遺漏了，這很可能影響審計結(jié)論。這種疏忽屬于什么風(fēng)險?A、控制風(fēng)險B、審計風(fēng)險C、管理風(fēng)險D、剩余風(fēng)險答案：B145.企業(yè)實施隱私政策是出于什么目的?A、為個人提供數(shù)據(jù)處理的選擇B、符合法律法規(guī)的要求C、防止機(jī)密數(shù)據(jù)的丟失D、識別傳輸中的數(shù)據(jù)以進(jìn)行數(shù)據(jù)加密答案：B146.哪項是數(shù)字簽名的特征A、受接收方控制B、在數(shù)據(jù)變更后經(jīng)過認(rèn)證C、對消息而言是唯一的D、有可再生的哈希算法計師應(yīng)該答案：C147.在發(fā)生事故時，以下哪一項最有利于法律程序?A、根本原因分析(類似的描述，可排除)B、執(zhí)行電子取證的權(quán)利C、法律顧問的建議D、保持保管鏈答案：D148.有關(guān)CCTV的事項哪個是信息系統(tǒng)審計師最關(guān)注的A、沒有定期分析CCTVB、CCTV錄像不連續(xù)，沒有全天候的CCTVC、CCTV保存一年就刪了D、會議室沒有安裝CCTV答案：B149.信息系統(tǒng)審計師在進(jìn)行取證分析時，首先要確保證據(jù)：A、未經(jīng)篡改B、是相關(guān)的C、是充分的D、是有用的答案：A150.防止同時使用軟件許可的最佳措施?A、用戶自律B、供應(yīng)商實施突擊審計C、系統(tǒng)管理員實施監(jiān)控D、計量軟件答案：D151.多個部門未在商定日期內(nèi)完成審計建議，以下哪一方應(yīng)該負(fù)責(zé)并跟進(jìn)這件事A、高級管理層B、審計師C、部門經(jīng)理D、審計部門負(fù)責(zé)人答案：A152.因業(yè)務(wù)激增，某公司采購了大型主機(jī)系統(tǒng)，信息系統(tǒng)審計師應(yīng)當(dāng)主要考慮下面哪一個因素?A、RP是否評估和更新B、采購是否超過預(yù)算C、投標(biāo)是否經(jīng)過評估D、應(yīng)用程序訪問控制是否充分答案：D153.對于執(zhí)行重大系統(tǒng)升級的實施后分析，以下哪一項應(yīng)該是信息系統(tǒng)審計師的最大擔(dān)憂A、開發(fā)小組將變更部署到生產(chǎn)環(huán)境中B、開發(fā)人員可以訪問測試環(huán)境C、變更批準(zhǔn)未被正式記錄D、開發(fā)小組可以訪問對象代碼答案：A154.A3-78在在線交易處理系統(tǒng)中，維護(hù)數(shù)據(jù)完整性的方法是確保交易被完全執(zhí)行，或完全未被執(zhí)行。這一數(shù)據(jù)完整性原則指：A、隔離性B、一致性C、原子性D、持久性答案：C155.某衛(wèi)生保健組織的IS審計師正在檢討考慮由其托管患者健康信息（PHI)的第三方云提供商的合同條款和條件。以下哪一項合同條款將成為客戶組織面臨的最大風(fēng)險？A、數(shù)據(jù)所有權(quán)歸屬客戶組織。B、第三方保留訪問數(shù)據(jù)以執(zhí)行某些操作的權(quán)利。C、未定義批量數(shù)據(jù)撤回機(jī)制。D、客戶組織負(fù)責(zé)備份、歸檔和恢復(fù)。答案：B156.在審計生命周期的哪個階段適合與客戶討論初步審計意見？A、執(zhí)行階段B、報告階段C、規(guī)劃階段D、跟蹤階段答案：B157.A3-71以下哪種測試能夠確定新系統(tǒng)或修改后的系統(tǒng)能夠在其目標(biāo)環(huán)境中運(yùn)行，并且不會對其他現(xiàn)有系統(tǒng)產(chǎn)生不利影響?A、并行測試B、試點測試C、接口/集成測試D、社交性測試答案：D158.A4-241以下哪個選項最有助于檢查數(shù)據(jù)處理中的錯誤?A、程序化的編輯檢查B、設(shè)計優(yōu)良的數(shù)據(jù)錄入篩選C、職責(zé)分離D、散列總計答案：D159.系統(tǒng)采用帳單每周自動傳輸?shù)狡髽I(yè)帳戶總帳，經(jīng)檢查發(fā)現(xiàn)缺少一周的帳單，應(yīng)檢查A、模塊訪問權(quán)限B、批處理控制C、變更D、年度對帳答案：B160.審計第三方供應(yīng)商的關(guān)鍵績效指標(biāo)KPI時，審計師最大的擔(dān)憂是?A、KPI沒有文檔記錄B、KPI指標(biāo)沒有明確定義C、KPI從未更新D、KPI數(shù)據(jù)沒有加以分析答案：B161.A3-113通常情況下,在項目啟動階段，下面哪一利益相關(guān)者必須參與?A、系統(tǒng)所有者B、系統(tǒng)用戶C、系統(tǒng)設(shè)計者D、系統(tǒng)構(gòu)建者答案：A162.A4-43以下哪項表示兩家公司之間簽訂的災(zāi)難恢復(fù)互惠協(xié)議所帶來的最大風(fēng)險?A、開發(fā)系統(tǒng)可能導(dǎo)致硬件和軟件不兼容B、必要時資源不可用C、無法現(xiàn)場測試恢復(fù)計劃D、這兩家公司的安全基礎(chǔ)架構(gòu)可能不同答案：A163.A4-35一家大型連鎖店在銷售終端設(shè)備上安裝了電子資金轉(zhuǎn)賬系統(tǒng)，并且配備了一個用于連接到銀行網(wǎng)絡(luò)的中央通信處理器。對于該通信處理器，以下哪種災(zāi)難恢復(fù)計劃是最佳方案?A、異地存儲日常備份數(shù)據(jù)B、現(xiàn)場安裝備用處理器C、安裝雙工通信線路D、在其他網(wǎng)絡(luò)節(jié)點安裝備用處理器答案：D164.防火墻配置開啟哪個協(xié)議最不安全A、SMTPB、SNMPC、FTPD、XML答案：C165.公司請外部審計，對外部信息系統(tǒng)審計師的訪問權(quán)限應(yīng)由以下哪項文件予以說明和授予A、審計章程B、經(jīng)批準(zhǔn)的工作說明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計工作開展的需求請求書答案：A166.有員工把系統(tǒng)管理員密碼發(fā)在了社交網(wǎng)站上，最先應(yīng)該怎么做：A、修改密碼B、關(guān)閉系統(tǒng)C、走法律程序D、上報監(jiān)管答案：A167.A5-232某組織已建立了一個用于訪客訪問的訪客網(wǎng)絡(luò)。以下哪項是信息系統(tǒng)審計師最應(yīng)該關(guān)注的問題?A、不向訪問用戶登錄屏幕B、訪客網(wǎng)絡(luò)未與生產(chǎn)網(wǎng)絡(luò)分離開來C、已登錄的訪問用戶未相互隔離開來D、采用單因素身份認(rèn)證技術(shù)來授予訪問權(quán)限答案：B168.A5-166如果某個小型組織的應(yīng)用程序編程人員有權(quán)將程序移入生產(chǎn)環(huán)境，應(yīng)實施以下哪項控制來降低內(nèi)部欺詐風(fēng)險?A、實施后功能測試B、登記和審查變更C、驗證用戶要求D、用戶驗收測試答案：B169.根據(jù)以下哪一項能最能有效地確定數(shù)據(jù)分類類別？A、對個人身份數(shù)據(jù)不同的安全要求B、根據(jù)業(yè)務(wù)功能的關(guān)鍵性C、高級管理層處理的交易D、因丟失或泄漏數(shù)據(jù)對企業(yè)造成的影響答案：D170.A2-119將安全方案作為安全治理框架的一部分實施的主要好處在于：A、使IT活動與IS審計建議保持一致B、實施安全風(fēng)險管理C、實施首席信息安全官的建議D、降低IT風(fēng)險的成本答案：B171.A1-120為何即使信息系統(tǒng)審計師有多年工作經(jīng)驗，審計經(jīng)理也要審查該工作人員的審計報告?A、內(nèi)部質(zhì)量要求B、審計準(zhǔn)則C、審計方法D、專業(yè)標(biāo)準(zhǔn)答案：D172..以下哪一項管理層決策會帶來與數(shù)據(jù)泄漏相關(guān)的最大風(fēng)險?A、安全政策在過去一年沒有更新B、允許員工可以遠(yuǎn)程工作C、不為員工提供安全意識培訓(xùn)D、不要求對桌面電腦進(jìn)行加密答案：C173.A1-106信息系統(tǒng)審計師使用計算機(jī)輔助審計技術(shù)(CAAT)收集并分析數(shù)據(jù)。使用CAAT對以下哪項證據(jù)的影響最大?A、實用性B、可靠性C、關(guān)聯(lián)性D、充分性答案：B174.A5-66在計劃黑箱滲透測試時，最重要的成功因素是：A、對測試程序做好計劃B、真實評估環(huán)境架構(gòu)以確定范圍C、讓客戶組織的管理人員了解D、安排并確定測試的時長答案：C175.A2-137企業(yè)希望從一個高度成熟的云服務(wù)商那里獲得云托管服務(wù)。審計師想要確保與安全要求持續(xù)保持一致，以下哪一項最重要?A、供應(yīng)商提供最新的第三方審計報告以供驗證B、供應(yīng)商提供最新的內(nèi)部審計報告以供驗證C、供應(yīng)商同意實施與企業(yè)保持一致的控制D、供應(yīng)商在合同中同意提供年度外部審計報告答案：D176.若要開發(fā)一個應(yīng)用于整個公司的系統(tǒng)，最適合總體負(fù)責(zé)該項目的角色是：A、IS主管B、項目經(jīng)理C、企業(yè)高管D、業(yè)務(wù)分析員答案：C177.實施以下哪一種方案能夠最好地解決有關(guān)IT系統(tǒng)老化的問題?A、應(yīng)用程序組合管理B、新版本發(fā)布管理C、配置管理D、IT項目管理答案：B178.A5-204在計算機(jī)機(jī)房中,活動地板最能夠預(yù)防以下哪種情況的發(fā)生?A、計算機(jī)和服務(wù)器周圍電線的損壞B、靜電現(xiàn)象導(dǎo)致停電C、地震產(chǎn)生的沖擊D、水災(zāi)的侵害答案：A179.A4-236在制訂業(yè)務(wù)連續(xù)性計劃時，應(yīng)該使用下列哪種工具來了解組織的業(yè)務(wù)流程?A、業(yè)務(wù)連續(xù)性自我審計B、資源恢復(fù)分析C、風(fēng)險評估D、差距分析答案：C180.評估IT實際使用資源使用和計劃資源分配的一致性的技術(shù)是什么？A、掙得值分析EVAB、投資回報分析ROIC、甘特圖D、關(guān)鍵路徑分析CPA答案：A181.IS審計師最有可能在什么地方看到應(yīng)用哈希函數(shù)?A、身份認(rèn)證B、標(biāo)識C、授權(quán)D、加密答案：A182.審計委員會已經(jīng)完成審計日程表，審計師團(tuán)隊已經(jīng)對項目進(jìn)行部分審計，執(zhí)行層提出對新項目進(jìn)行審計，審計師團(tuán)隊沒有足夠的資源進(jìn)行額外審計，可選擇方式進(jìn)行：A、申請修改審計日程B、拒絕C、申請把當(dāng)前審計計劃安排到下一期開展D、批準(zhǔn)加班，把工作完成答案：A183.固有風(fēng)險評級通過對威脅或漏洞的影響及可能性評估，威脅或漏洞發(fā)生A、考慮采取內(nèi)部控制措施之前B、考慮內(nèi)部控制措施之后C、應(yīng)用了補(bǔ)償控制措施后D、確立風(fēng)險偏好之前答案：A184.A4-219某信息系統(tǒng)審計師正在審計某IT災(zāi)難恢復(fù)計劃。該信息系統(tǒng)審計師應(yīng)當(dāng)主要確保該計劃涵蓋：A、恢復(fù)能力強(qiáng)的IT基礎(chǔ)設(shè)施B、備用站點信息C、記錄在案的災(zāi)難恢復(fù)測試結(jié)果D、業(yè)務(wù)功能的分析與優(yōu)先級分配答案：D185.質(zhì)量保證團(tuán)隊正在測試新的電子票務(wù)應(yīng)用程序，以下哪一項是最大的問題?A、項目經(jīng)理希望推遲幾天實施B、管理電子票務(wù)應(yīng)用程序的用戶管理流程還沒完成設(shè)計C、稅表不會上傳到生產(chǎn)數(shù)據(jù)庫中D、沒有明確定義執(zhí)行測試的用戶驗收標(biāo)準(zhǔn)答案：D186.【重要題】信息系統(tǒng)審計師發(fā)現(xiàn)，為了提高性能將WEB應(yīng)用程序的驗證控制機(jī)制從服務(wù)器下遷至客戶端，那么遭受以下哪一項攻擊的風(fēng)險最可能增加?A、暴力攻擊(還是釣魚攻擊，忘記了)B、SQL注入C、拒絕服務(wù)攻擊D、緩沖區(qū)溢出答案：B187.營銷部門的三個員工使用共享賬戶維護(hù)公司社交媒體的新聞信息的發(fā)布，這一過程存在什么問題？A、發(fā)布未經(jīng)審批的信息B、并發(fā)登錄導(dǎo)致更新發(fā)生沖突C、賬戶被別人修改后無法登錄D、無法實現(xiàn)對信息更新的問責(zé)制答案：D188.以下哪一項是有助于確保公司存儲的隱私相關(guān)數(shù)據(jù)安全的最佳方式?A、發(fā)布數(shù)據(jù)分類方案B、通知數(shù)據(jù)所有者收集信息的目的C、加密個人身份信息D、將隱私相關(guān)數(shù)據(jù)歸類為機(jī)密信息答案：D189.在信息安全審計時，信息系統(tǒng)審計師得知由外部咨詢顧問執(zhí)行了一項安全審查，對審計師來說，下面哪項是最重要的?A、審查咨詢顧問提交的類似報告B、重新執(zhí)行安全審查C、評定咨詢顧問的客觀性和勝任能力D、接受咨詢顧問的發(fā)現(xiàn)和結(jié)論答案：C190.企業(yè)建立了開發(fā)、測試及生產(chǎn)三種IT處理環(huán)境。將開發(fā)環(huán)境和測試環(huán)境分開的主要原因是：A、將用戶的訪問權(quán)限限制在測試環(huán)境以內(nèi)B、在IT人員和最終用戶之間實現(xiàn)職責(zé)分離C、在穩(wěn)定的環(huán)境下進(jìn)行測試D、保護(hù)開發(fā)中的程序不受未經(jīng)授權(quán)的測試答案：C191.A5-28在審查入侵檢測日志時，信息系統(tǒng)審計師發(fā)現(xiàn)了一些來自互聯(lián)網(wǎng)的通信，其IP地址顯示為公司工資服務(wù)器。以下哪項惡意活動更可能導(dǎo)致這類結(jié)果?A、拒絕服務(wù)攻擊B、冒充C、端口掃描D、中間人攻擊答案：B192.A5-98在通信系統(tǒng)的審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)傳送至/來自遠(yuǎn)程站點的數(shù)據(jù)被截獲的風(fēng)險非常高。降低此風(fēng)險最有效的控制為：A、加密B、回叫調(diào)制解調(diào)器C、消息驗證D、專用租用線路答案：A193.審計自動生成的數(shù)據(jù)分析報告時，哪一項最值得關(guān)注？A、報告中指出的數(shù)據(jù)錯誤，在數(shù)據(jù)倉庫中已整改完成B、報告結(jié)論未能得到相關(guān)負(fù)責(zé)人認(rèn)可C、報告指出了一個具體的錯誤，不是很嚴(yán)重。答案：B194.A1-100某外部信息系統(tǒng)審計師發(fā)現(xiàn)審計范圍內(nèi)的系統(tǒng)是由某個同事實施的。在這種情況下，IS審計管理人員應(yīng)：A、讓這位信息系統(tǒng)審計師退出審計項目B、取消審計項目C、向客戶披露這一問題D、采取措施恢復(fù)這位信息系統(tǒng)審計師的獨(dú)立性答案：C195.能夠最佳地提供本地服務(wù)器上的將處理的工資資料的訪問控制的是：A、使用軟件來約束授權(quán)用戶的訪問B、將每次訪問記入個人信息(即：作日志)C、對敏感的交易事務(wù)使用單獨(dú)的密碼/口令D、限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問答案：A196.【重要題】有關(guān)CCTV的事項哪個是信息系統(tǒng)審計師最關(guān)注的?A、沒有定期分析TVB、TV錄像不連續(xù)，沒有全天候的TVC、TV保存一年就刪了D、會議室沒有安裝TV答案：B197.A4-73以下哪項連續(xù)性計劃測試可模擬系統(tǒng)崩潰并使用實際資源，以便經(jīng)濟(jì)高效地獲取有關(guān)計劃有效性的證據(jù)?A、紙上測試B、事后測試C、準(zhǔn)備情況測試D、瀏覽審查答案：C198.A3-102某信息系統(tǒng)審計師受邀參加一個關(guān)鍵項目的啟動會議。該信息系統(tǒng)審計師的主要關(guān)注點應(yīng)該是：A、是否已分析項目的復(fù)雜性和風(fēng)險B、是否已確定整個項目所需的資源C、是否已確定技術(shù)交付成果D、是否已制定好外部各方參與項目所需的合同答案：A199.信息系統(tǒng)審計師在審查桌面軟件配置文件時注意到，一個用戶已下載并安裝了公司不批準(zhǔn)的游戲。以下哪一項是這一狀況可能產(chǎn)生的最大風(fēng)險？A、潛在的惡意軟件B、未遵守可接受使用政策C、與公司軟件的互操作性問題D、違反用戶的隱私答案：A200.A5-154為了適應(yīng)組織內(nèi)部不斷增多的移動設(shè)備，信息系統(tǒng)管理部門最近用無線基礎(chǔ)架構(gòu)替換了現(xiàn)有的有限局域網(wǎng)。這將增加以下哪種攻擊風(fēng)險?A、)端口掃描B、后門C、中間人攻擊D、戰(zhàn)爭駕駛答案：D201.A1-89如果在審計程序的初始階段沒有建立審計目標(biāo)，那么以下哪一項最令人擔(dān)憂?A、未能正確識別關(guān)鍵利益相關(guān)方B、控制成本將超出計劃的預(yù)算C、重要業(yè)務(wù)風(fēng)險可能被忽視D、以前審計過的領(lǐng)域可能被無意識中包括在內(nèi)答案：C202.IT指導(dǎo)委員會負(fù)責(zé)應(yīng)對以下哪一項負(fù)責(zé)A、把實施安全性與業(yè)務(wù)目標(biāo)集成在一起B(yǎng)、評估和報告戰(zhàn)略一致性程度C、審查并協(xié)助IT策略整合工作D、制定IT安全策略答案：C203.以下哪一項是實施分散式IT治理模型的原因?A、各業(yè)務(wù)部門的統(tǒng)一性B、標(biāo)準(zhǔn)化控制和規(guī)模經(jīng)濟(jì)C、對業(yè)務(wù)需求有更快的響應(yīng)D、各業(yè)務(wù)部門之間的IT協(xié)作答案：C204.A2-58某組織正考慮給出大筆投資進(jìn)行技術(shù)升級。以下哪一項是需要考慮的最重要因素?A、成本分析B、當(dāng)前技術(shù)的安全風(fēng)險C、與現(xiàn)有系統(tǒng)的兼容性D、風(fēng)險分析答案：D205.IT治理的最主要目的是?A、價值實現(xiàn)B、績效衡量C、戰(zhàn)略規(guī)劃D、資源分配與管理答案：A206.A4-33以下哪項是審查服務(wù)臺業(yè)務(wù)期間主要關(guān)注的問題?A、服務(wù)臺團(tuán)隊無法解答某些服務(wù)呼叫中心提出的問題B、未能為服務(wù)臺團(tuán)隊指定專用線路C、事故解決后未洽詢最終用戶即結(jié)案D、服務(wù)臺無法發(fā)送即時服務(wù)消息已超過6個月答案：C207.A5-120某信息系統(tǒng)審計師在執(zhí)行審計時確定，開發(fā)人員已被授予虛擬機(jī)管理控制臺的管理員訪問權(quán)限，以管理其自己用于軟件開發(fā)和測試的服務(wù)器。對該信息系統(tǒng)審計師而言，以下哪一項最值得關(guān)注?A、開發(fā)人員具備創(chuàng)建或撤銷服務(wù)器的能力B、開發(fā)人員已獲得訪問生產(chǎn)服務(wù)器的高級權(quán)限C、開發(fā)人員可用其應(yīng)用影響生產(chǎn)服務(wù)器的性能D、開發(fā)人員可將未經(jīng)批準(zhǔn)的應(yīng)用安裝到任何服務(wù)器上答案：A208.以下那個指標(biāo)最適合的衡量數(shù)據(jù)恢復(fù)策略：A、RPOB、RTOC、SDOD、最大中斷窗口答案：A209.對在線系統(tǒng)實施BCP計劃中下列哪一項最重要？A、供應(yīng)商的網(wǎng)絡(luò)安全B、單一故障點C、供應(yīng)商的解決問題的能力D、供應(yīng)商的財務(wù)穩(wěn)定性答案：B210.一塊有缺陷的硬盤需要返回廠家進(jìn)行維修，以下哪項是最好的處理方式A、消磁B、覆寫C、刪除D、格式化答案：D211.某IS審計師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個領(lǐng)域值得關(guān)注。以下哪個領(lǐng)域最?A、緊急斷電按鈕蓋不見了。B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)。C、數(shù)據(jù)中心沒有安全攝像頭。D、緊急出口門被阻塞。答案：D212.【重要題】審計師在設(shè)計階段應(yīng)該評估?A、開發(fā)方法B、應(yīng)用功能C、兼容性D、是否有自動控制答案：D213.引用其他審計師的工作報告時，信息系統(tǒng)審計師應(yīng)做到：A、考慮該工作報告的適當(dāng)性和充足性B、忘記了（可排除）C、較少依賴其他審計師的工作成果D、考慮該工作報告的時效性答案：A214.下面哪一項是最佳的數(shù)據(jù)完整性檢查？A、將數(shù)據(jù)追溯至源點B、計算每天處理的交易量C、準(zhǔn)備和運(yùn)行測試數(shù)據(jù)D、執(zhí)行連續(xù)性檢查答案：A215.A4-75下列哪一項是確定生產(chǎn)環(huán)境中各應(yīng)用系統(tǒng)重要性的最佳方法?A、會見應(yīng)用程序編程人員B、執(zhí)行差距分析C、審查最近的應(yīng)用程序?qū)徲嫻ぷ鱀、執(zhí)行業(yè)務(wù)影響分析答案：D216.高管層獲得與IT有關(guān)的成本和性能指標(biāo)的最可靠信息來源是什么?A、風(fēng)險登記表B、IT管理儀表板C、持續(xù)的審計報告D、IT服務(wù)管理計劃答案：B217.以下哪項是緊急修補(bǔ)程序的最大風(fēng)險：A、變更前沒有書面審批B、利用臨時管理員賬號進(jìn)行修補(bǔ)C、沒有進(jìn)行風(fēng)險評估D、沒有經(jīng)過測試答案：C218.某IS審計師在審查網(wǎng)絡(luò)日志時發(fā)現(xiàn)，某員工通過調(diào)用任務(wù)計劃程序啟動受限的應(yīng)用，在其PC機(jī)上運(yùn)行了高級命令。這是哪類攻擊的示例？A、競態(tài)條件B、特權(quán)升級C、緩沖溢出D、模擬答案：B219.企業(yè)購置了新的大容量存儲設(shè)備，將目前使用的替換下來，并且替換下來的用做恢復(fù)站點的存儲設(shè)備，以下審計師最擔(dān)心的是?A、未更新BCP和DRPB、恢復(fù)站點的存儲能力能否足夠C、新設(shè)備和替換設(shè)備是否簽訂維護(hù)合同D、采購是否符合企業(yè)的策略和規(guī)定答案：B220.【重要題】什么是制定戰(zhàn)略過程中面臨的最大風(fēng)險?A、可排除B、IT戰(zhàn)略的制定基于以前的執(zhí)行情況C、IT戰(zhàn)略在業(yè)務(wù)戰(zhàn)略和計劃之前制定D、IT戰(zhàn)略未包含信息安全答案：C221.A4-26信息系統(tǒng)審計師在評估可用性網(wǎng)絡(luò)的恢復(fù)力時，最應(yīng)該關(guān)注：A、是否在地理上分散安裝網(wǎng)絡(luò)B、服務(wù)器匯集在同一站點中C、熱備援中心是否已準(zhǔn)備好運(yùn)行D、該網(wǎng)絡(luò)是否實施了多路由選擇功能答案：B222.【重要題】在審查DRP時，最需要注意的事項是哪個?A、沒有規(guī)定宣布災(zāi)難的職責(zé)B、IO沒有批準(zhǔn)與簽署RP計劃C、沒有將RP文件備份儲存在異地安全的地方D、RP恢復(fù)步驟不詳細(xì)答案：A223.以下哪項測試能最快確定Web應(yīng)用程序的接口錯誤A、回歸測試B、UAT測試C、單元測試D、集成測試E、自動測試答案：D224.為幫助確保在新服務(wù)中實施相關(guān)的數(shù)據(jù)保護(hù)控制，信息系統(tǒng)審計師的最佳建議是什么?A、映射公司的業(yè)務(wù)流程以識別個人身份信息(PI)B、任命計劃經(jīng)理來監(jiān)督隱私計劃的改進(jìn)C、在解決方案開發(fā)生命周期內(nèi)包括隱私檢查D、對照行業(yè)最佳實踐對軟件和開發(fā)生命周期進(jìn)行基準(zhǔn)分析答案：C225.信息系統(tǒng)審計師正在分析應(yīng)用程序的系統(tǒng)日志中記錄的訪問采樣。如果發(fā)現(xiàn)異常，就會啟動深入調(diào)查，適合使用哪種抽樣方法呢?A、發(fā)現(xiàn)抽樣B、判定抽樣C、變量抽樣D、分層抽樣答案：A226.A5-278要求組織內(nèi)所有計算機(jī)時鐘均同步的主要原因是為了：A、防止交易遺漏或重復(fù)B、確保數(shù)據(jù)從客戶計算機(jī)平穩(wěn)轉(zhuǎn)移到服務(wù)器C、確保電子郵件消息有精準(zhǔn)的時間戳D、支持事故調(diào)查過程答案：D227.以下哪項最能確保信息資產(chǎn)的機(jī)密性？A、按照“按需分配”的訪問控制原則B、采用雙因素身份認(rèn)證控制C、人員安全意識培訓(xùn)D、為所有用戶配置只讀權(quán)限答案：A228.A3-133對業(yè)務(wù)流程自動化項目進(jìn)行實施后審查的主要目標(biāo)是：A、確保項目滿足預(yù)期的業(yè)務(wù)要求B、評估控制的充分性C、確認(rèn)符合技術(shù)標(biāo)準(zhǔn)D、確認(rèn)符合法規(guī)要求答案：A229.對于應(yīng)用程序開發(fā)驗收測試來說，以下哪項最重要?A、質(zhì)量保證OA小組負(fù)責(zé)測試過程B、用戶管理在啟動測試之前會審批測試設(shè)計C、所有數(shù)據(jù)文件在轉(zhuǎn)換之前均進(jìn)行了有效信息測試D、編程小組參與測試過程答案：B230.以下哪一項能夠最有效地發(fā)現(xiàn)某個員工向網(wǎng)絡(luò)中加載了非法軟件包?A、定期掃描硬盤B、網(wǎng)絡(luò)驅(qū)動器中的活動日志C、維護(hù)當(dāng)前的防病毒軟件D、采用無盤工作站答案：A231.審查公司IT戰(zhàn)略與IT計劃的一致性，信息系統(tǒng)審計師發(fā)現(xiàn)哪項最重要A、未分發(fā)業(yè)務(wù)戰(zhàn)略會議紀(jì)要B、IT未參與業(yè)務(wù)戰(zhàn)略的制定C、IT戰(zhàn)略計劃的文檔不足D、根據(jù)業(yè)務(wù)制定的IT戰(zhàn)略所導(dǎo)出的IT項目的成果物答案：B232.審計師作為開發(fā)小組成員，該小組正在采購軟件。以下哪一項有損該審計獨(dú)立性?A、鑒證供應(yīng)商選擇流程B、批準(zhǔn)供應(yīng)商選擇方法C、驗證每項選擇標(biāo)準(zhǔn)的權(quán)重D、可排除答案：B233.信息系統(tǒng)審計師發(fā)現(xiàn)，關(guān)鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計師下一步應(yīng)該？A、擴(kuò)大審計范圍B、確定根本原因C、將觀察結(jié)果包含在報告中D、要求立即執(zhí)行備份答案：B234.數(shù)據(jù)匿名化可以防止大數(shù)據(jù)環(huán)境中哪類攻擊？A、相關(guān)性correlationB、拒絕服務(wù)DDOSC、中間人攻擊D、欺騙答案：A235.信息系統(tǒng)審計師使用端口掃描軟件來：A、建立通訊連接B、檢測入侵行為C、檢測開放服務(wù)D、確保所有端口在使用中答案：C236.A2-87在確定信息資產(chǎn)的適當(dāng)保護(hù)等級時，信息系統(tǒng)審計師應(yīng)當(dāng)主要關(guān)注以下哪一個因素?A、風(fēng)險評估的結(jié)果B、業(yè)務(wù)的相對價值C、漏洞評估的結(jié)果D、安全控制的成本答案：A237.在后續(xù)審計中，被審計方提出，審計問題應(yīng)采取的糾正措施需要比預(yù)期更長的時間，審計師應(yīng)該A、要求在商定的期限內(nèi)完成整改B、將此問題向高級管理層匯報C、停止審計工作并推遲跟蹤審計D、確認(rèn)是否有補(bǔ)償性控制的臨時措施答案：D238.以下哪項機(jī)制可以確保及時向高級管理層匯報IT運(yùn)行問題？A、escalation(問題升級流程)B、服務(wù)水平監(jiān)控C、定期狀態(tài)報告D、平衡積分卡答案：A239.由于持續(xù)的數(shù)據(jù)質(zhì)量問題，信息系統(tǒng)審計師正在審查公司的銷售和采購系統(tǒng)。對以下哪一項進(jìn)行分析能提供最有用的信息幫助確定相應(yīng)收入損失?A、問題數(shù)量與平均停機(jī)時間的相互關(guān)系B、數(shù)據(jù)獲取成本與銷售收入損失的對比C、在系統(tǒng)內(nèi)實施數(shù)據(jù)有效性驗證控制的成本D、數(shù)據(jù)錯誤與交易價值損失的相互關(guān)系答案：D240.對于確定項目可行性而言，以下哪一項最重要？A、IT指導(dǎo)委員會已批準(zhǔn)項目。B、被批準(zhǔn)的業(yè)務(wù)案例中分析了項目價值。C、項目管理方法已經(jīng)制定。D、公司的主要競爭對手展開了一個類似項目。答案：B241.流程所有權(quán)分配在系統(tǒng)開發(fā)項目中至關(guān)重要，是因為A、利于跟蹤開發(fā)完成的百分比B、優(yōu)化用戶驗收案例的設(shè)計成本C、最大限度縮小需求與功能之間的差距D、確保系統(tǒng)設(shè)計基于業(yè)務(wù)需求答案：D242.下列哪一種滅火系統(tǒng)需要與自動開關(guān)組合，才能在警報激活時切斷電源？A、二氧化碳B、七氟丙烷C、滅火鹵化物D、干管滅火答案：D243.一家小公司要購買服務(wù)器用于訂單處理系統(tǒng)，但無法預(yù)計交易量，以下哪一項是公司最關(guān)注的？A、系統(tǒng)的可擴(kuò)展性B、系統(tǒng)的配置參數(shù)C、系統(tǒng)優(yōu)化D、系統(tǒng)的兼容性答案：A244.以下哪一項最能實時檢測到DDoS攻擊？A、自動監(jiān)控日志B、服務(wù)器崩潰C、滲透測試D、可排除答案：A245.A4-175信息系統(tǒng)審計師發(fā)現(xiàn)某企業(yè)對一些廢棄的硬盤驅(qū)動器未使用能合理確保數(shù)據(jù)無法恢復(fù)的方式進(jìn)行清理。另外，該企業(yè)沒有關(guān)于數(shù)據(jù)處理的書面政策。該信息系統(tǒng)審計師應(yīng)該首先：A、起草一份審計結(jié)果，并與主管審計師討論B、判斷硬盤驅(qū)動器上信息的敏感性C、與IT經(jīng)理討論有關(guān)數(shù)據(jù)廢棄的良好實踐D、為該企業(yè)制定相應(yīng)的數(shù)據(jù)廢棄政策答案：B246.信息系統(tǒng)審計師發(fā)現(xiàn)安全運(yùn)營團(tuán)隊在與員工的通信中包含了最近攻擊的詳細(xì)報告。以下哪一項是這一情況的最大擔(dān)憂?A、員工可能會濫用或傳播報告中的信息B、沒有采用書面化的方式來傳達(dá)報告C、沒有技術(shù)專業(yè)背景的員工不理解該報告D、員工可能未能了解威脅的嚴(yán)重性答案：A247.下列哪一項能夠最有效地防止病毒進(jìn)入局域網(wǎng)中A、禁止訪問互聯(lián)網(wǎng)B、定期掃描硬盤C、禁用下載D、在網(wǎng)絡(luò)服務(wù)器上安裝病毒掃描程序答案：D248.A5-68執(zhí)行計算機(jī)取證調(diào)查時，對于收集到的數(shù)據(jù)，信息系統(tǒng)審計師最應(yīng)關(guān)注的是：A、證據(jù)的分析B、證據(jù)的評估C、證據(jù)的保存D、證據(jù)的泄露答案：C249.A1-24在信息系統(tǒng)審計期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)以下哪個選項確定?A、關(guān)鍵和必需的信息的可用性B、審計師對環(huán)境的熟悉程度C、受審方查找相關(guān)證據(jù)的能力D、正在執(zhí)行的審計的目的和范圍答案：D250.A1-3某信息系統(tǒng)審計師正在針對包含新系統(tǒng)的環(huán)境制訂一項審計計劃。組織的管理層級希望該信息系統(tǒng)審計師著重關(guān)注最新實施的系統(tǒng)。該信息系統(tǒng)審計師應(yīng)如何去做?A、按管理層的要求審計新系統(tǒng)B、審計去年審計范圍以外的系統(tǒng)C、確定風(fēng)險最高的系統(tǒng)，然后相應(yīng)地制定計劃D、審計去年審計范圍以外的系統(tǒng)和新系統(tǒng)答案：C251.A1-9對于一家交易量巨大的零售企業(yè)來說，下面哪項最適合應(yīng)對新出現(xiàn)的風(fēng)險的審計技術(shù)?A、使用計算機(jī)輔助審計技術(shù)B、季度風(fēng)險評估C、交易日志抽樣D、持續(xù)性審計答案：D252.A4-59某信息系統(tǒng)審計師正在數(shù)據(jù)中心執(zhí)行審計，這時火警報警器突然響起。由于審計范圍包括災(zāi)難恢復(fù)，所以該審計師開始觀察數(shù)據(jù)中心員工對警報的響應(yīng)情況。此時對于數(shù)據(jù)中心的員工來說，以下哪項措施最重要?A、向當(dāng)?shù)叵啦块T通報火警情況B、準(zhǔn)備啟動消防系統(tǒng)C、確保數(shù)據(jù)中心的所有人員均撤離現(xiàn)場D、從數(shù)據(jù)中心轉(zhuǎn)移所有備份數(shù)據(jù)答案：C253.A2-101審計電子資金轉(zhuǎn)賬系統(tǒng)時，信息系統(tǒng)審計師是最應(yīng)該關(guān)注以下哪種用戶配置文件?A、能夠獲取并驗證他們自己信息的3個用戶B、能夠獲取并發(fā)送他們自己信息的5個用戶C、能夠驗證其他用戶并發(fā)送他們自己信息的5個用戶D、能夠獲取并驗證其他用戶的信息，并發(fā)送他們自己信息的3個用戶答案：A254.以下哪種報告最能夠有效分析系統(tǒng)的性能？A、控制臺日志B、同步報告C、數(shù)據(jù)庫使用日志D、使用情況報告答案：D255.A1-54在電子數(shù)據(jù)交換()環(huán)境中，以下哪一項的潛在風(fēng)險最大?A、缺乏交易授權(quán)B、EI傳輸丟失或重復(fù)C、傳輸延遲在建立應(yīng)用控制前后D、刪除或修改交易答案：A256.A1-57檢驗磁帶庫存記錄是否準(zhǔn)確的實質(zhì)性測試是指：A、確定是否安裝了條形碼讀取器B、確定磁帶的調(diào)動是否經(jīng)過授權(quán)C、對磁帶庫存進(jìn)行盤點D、檢查磁帶的收發(fā)情況是否已準(zhǔn)確記錄答案：C257.在災(zāi)難恢復(fù)審計過程中，某信息系統(tǒng)審計師發(fā)現(xiàn)沒有進(jìn)行業(yè)務(wù)影響分析，審計師需首先開展哪項工作？A、執(zhí)行額外的符合性測試B、評估對當(dāng)前災(zāi)難恢復(fù)能力的影響C、執(zhí)行業(yè)務(wù)影響分析D、向管理層提交報告答案：B258.信息系統(tǒng)審計師正在審查公司的事故管理流程和步要。以下哪一項觀測結(jié)果應(yīng)該是審計師的最大顧慮是以下哪個無效?A、事故分類。B、事故后審查C、事故優(yōu)先排序D、事故檢測答案：D259.A1-55在信息系統(tǒng)審計的計劃階段，信息系統(tǒng)審計師的主要目標(biāo)是：A、達(dá)到審計目標(biāo)B、收集足夠的證據(jù)C、指定適當(dāng)?shù)臏y試D、盡可能少使用審計資源答案：A260.信息系統(tǒng)審計師發(fā)現(xiàn)，有長達(dá)6個多月時間末在關(guān)鍵服務(wù)器上安裝要求的安全補(bǔ)丁程序。下一個行動步驟應(yīng)該是：A、審查補(bǔ)丁管理程序。B、將審計發(fā)現(xiàn)通知高級管理層。C、請求盡快安裝補(bǔ)丁程序。D、確定延遲安裝補(bǔ)丁的根本原因。答案：D261.以下哪一種是檢測型控制?A、輸入格式驗證B、進(jìn)行恢復(fù)程序C、密碼控制D、散列驗證答案：D262.某IS審計師正在為公司審査安全事故管理程序。以下哪一項是最重要的考慮因素?A、電子證據(jù)監(jiān)管鏈B、系統(tǒng)違規(guī)通知程序C、向外部機(jī)構(gòu)的升級程序D、丟失數(shù)據(jù)恢復(fù)程序答案：A263.銀行的自動柜員機(jī)（ATM）是一種專門用于銷售點的終端，它可以：A、必須包括高層的邏輯和物理安全B、一般放置在入口稠密的場所以威懾盜竊與破壞C、只能用于支付現(xiàn)金和存款服務(wù)D、利用保護(hù)的通訊線進(jìn)行數(shù)據(jù)傳輸答案：A264.數(shù)字簽名最可能阻止A、末授權(quán)更改B、抵賴行為C、泄露D、數(shù)據(jù)損壞答案：B265.下列哪一項可用于評估IT運(yùn)營效率?A、總體擁有成本B、平衡記分卡C、凈現(xiàn)值D、內(nèi)部收益率答案：B266.公司采購項目，以下哪項是信息系統(tǒng)委員會的職責(zé)?A、項目計劃B、實施項目質(zhì)量管理制度C、風(fēng)險管理D、問題管理答案：C267.A3-138以下哪項能夠最好地幫助信息系統(tǒng)審計師評估與未來維護(hù)能力有關(guān)的編程活動的質(zhì)量?A、編程語言B、開發(fā)環(huán)境C、版本開發(fā)D、系統(tǒng)程序編碼標(biāo)準(zhǔn)答案：D268.事故管理流程中，哪個環(huán)節(jié)最重要?(2022年4月題干描述為：審計事故管理有效性中，審計師最擔(dān)憂的()是無效的？)A、事故檢測B、事故分類C、事故優(yōu)先級排序D、事故事后審查答案：A269.A3-88以下哪種情況最適合使用軟件開發(fā)的瀑布生命周期模型?A、相關(guān)要求及要運(yùn)行系統(tǒng)的業(yè)務(wù)環(huán)境已得到充分了解并將保持穩(wěn)定B、相關(guān)要求已得到充分了解，項目時間緊迫C、項目計劃采用面向?qū)ο蟮脑O(shè)計和編程方法D、項目將涉及新技術(shù)的使用答案：A270.A5-222以下哪項是減輕針對互聯(lián)網(wǎng)銀行應(yīng)用程序的域欺騙攻擊的最佳控制?A、用戶登記和密碼政策B、用戶安全意識C、使用入侵檢測系統(tǒng)/入侵防御系統(tǒng)D、域名服務(wù)器安全強(qiáng)化答案：D271.如何保證防火墻有效的策略。A、審查網(wǎng)絡(luò)日志B、做滲透測試C、審查入侵檢測報告D、檢查防火墻配置答案：D272.要求審計時，審計部有經(jīng)驗的審計員不足時，怎么辦?A、推遲審計B、外部服務(wù)(外包)C、繼續(xù)審計D、拒絕審計答案：B273.【重要題】什么能確保IT部門充分履行的他們的職能?A、審計章程B、確保IT策略在公司內(nèi)部被充分共享C、為業(yè)務(wù)構(gòu)建流程圖D、審計委員會會議記錄答案：C274.數(shù)據(jù)包級防火墻最致命的安全漏洞是因為它可以通過下列哪一項措施來規(guī)避：A、在收到的數(shù)據(jù)包上更改源地址B、截取明文發(fā)送的數(shù)據(jù)包并查看密碼C、解譯數(shù)據(jù)包中的簽名信息。D、使用加密密碼的字典式攻擊(itionryttk)。答案：A275.公司將其應(yīng)用程序遷移到私有云中的laas平臺，誰將負(fù)責(zé)所部署應(yīng)用程序所在操作系統(tǒng)的安全配置A、云提供商B、操作系統(tǒng)供應(yīng)商C、公司D、可排除答案：C276.企業(yè)開展業(yè)務(wù)所在地區(qū)已經(jīng)宣布了隱私法的變更。信息系統(tǒng)審計師應(yīng)首先為變更做以下哪一項準(zhǔn)備?A、對企業(yè)的隱私程序提供更新建議B、使用當(dāng)前的隱私程序執(zhí)行差距分析C、設(shè)計補(bǔ)償控制以符合新的隱私法D、將隱私法的變更傳達(dá)給法律部門答案：B277.在審計射頻識別技術(shù)(RFID)時，最應(yīng)該注意什么?A、可擴(kuò)展性B、不可否認(rèn)性C、隱私D、可維護(hù)性答案：C278.公司要將保密數(shù)據(jù)給到下游應(yīng)用系統(tǒng)，最能保證安全性的是？（金融機(jī)構(gòu)需要向下屬分公司傳輸機(jī)密性的數(shù)據(jù)，最佳做法是？）A、SFTPB、帶時間截的文件頭C、SNMPD、SNTPE、安全外殼答案：A279.對IS審計師而言，驗證關(guān)鍵生產(chǎn)服務(wù)器是否在運(yùn)行供應(yīng)商發(fā)布的最新安全更新的最佳途徑是以下哪一項？A、確保在關(guān)鍵生產(chǎn)服務(wù)器上啟用自動更新。B、在生產(chǎn)服務(wù)器樣機(jī)上手動驗證已應(yīng)用修補(bǔ)程序。C、審查關(guān)鍵生產(chǎn)服務(wù)器的變更管理日志。D、在生產(chǎn)服務(wù)器上運(yùn)行自動化工具，以驗證安全修補(bǔ)程序。答案：D280.一個有大量界面程序的應(yīng)用，為了盡早能在前期發(fā)現(xiàn)界面程序的錯位，應(yīng)該采取哪種測試方法A、社交測試B、自上而下C、自下而上D、邏輯路徑監(jiān)測答案：B281.A5-1Web應(yīng)用程序開發(fā)人員有時在網(wǎng)頁上使用隱藏字段來保護(hù)有關(guān)客戶會話信息。在某些情況下，這種技術(shù)用于存儲持續(xù)存在多個網(wǎng)頁的會話變量，例如，在零售網(wǎng)站應(yīng)用程序中保存購物車的內(nèi)容。此種做法最有可能導(dǎo)致的基于Web的攻擊是：A、/參數(shù)篡改B、跨站點腳本C、ookie篡改D、隱藏命令執(zhí)行答案：A282.在項目的問題(issues)管理過程中，將出現(xiàn)：A、配置管理B、突發(fā)事件處理計劃C、客戶服務(wù)管理D、影響評估答案：D283.IS審計師審查生產(chǎn)環(huán)境安裝補(bǔ)丁的管理流程，最應(yīng)關(guān)注：A、用戶管理部門批準(zhǔn)B、信息安全主管批準(zhǔn)C、董事會批準(zhǔn)D、系統(tǒng)安全員批準(zhǔn)答案：A284.企業(yè)開發(fā)人員每日將P11生產(chǎn)環(huán)境數(shù)據(jù)導(dǎo)入測試環(huán)境，關(guān)于數(shù)據(jù)隱私防護(hù)角度哪種最能降低風(fēng)險?A、高級管理層同意并簽字B、數(shù)據(jù)加密C、數(shù)據(jù)清洗D、數(shù)據(jù)所有者的簽字授權(quán)答案：B285.A2-4在審查組織的人力資源政策和流程時，信息系統(tǒng)審計師應(yīng)對以下哪項的缺失給予最大的關(guān)注?A、要求定期崗位輪換B、正式的離職面談流程C、離職檢查清單D、要求新員工簽訂保密協(xié)議答案：C286.對于正確審查、批準(zhǔn)和包含所需的項目基線修改，以下哪一項措施最有效？A、變更控制B、質(zhì)量控制C、項目預(yù)算審查D、時間影響審查答案：A287.以下哪一項最能表明執(zhí)行強(qiáng)制的年度安全意識培訓(xùn)的有效性?A、社會工程測試結(jié)果趨勢B、由隨機(jī)選取的員工完成的調(diào)查C、安全事故的數(shù)量D、第三方滲透測試結(jié)果答案：A288.A2-5評估IT治理實施的有效性時，以下哪一因素最關(guān)鍵?A、確保定義了保證目標(biāo)B、確保利益相關(guān)方的要求和參與C、確定相關(guān)風(fēng)險及相關(guān)機(jī)會D、確定相關(guān)驅(qū)動因素及其適用性答案：B289.對于審計發(fā)現(xiàn)，審計師需要首先做什么：A、與被審計單位管理層溝通B、與被審計業(yè)務(wù)人員溝通C、提交審計報告D、與審計團(tuán)隊其他人員溝通答案：B290.項目實施后一個月，審查中采用調(diào)查問卷的方式，哪項影響最大A、一個月之后才發(fā)問卷B、問卷沒有開放性回答C、沒有把結(jié)