PAGEPAGE1一、單選題1.正在對(duì)開(kāi)始開(kāi)發(fā)的某應(yīng)用執(zhí)行風(fēng)險(xiǎn)評(píng)估。在建議安全控制之前，需要確定的最重要的內(nèi)容是什么？A、基于角色的訪問(wèn)控制(RBAC)B、當(dāng)前的隱私權(quán)法律C、數(shù)據(jù)分類D、數(shù)據(jù)托管位置答案：C2.ROI分析在IT決策過(guò)程中的一個(gè)好處是提供A、分配間接成本的基礎(chǔ)B、更換設(shè)備的成本C、分配財(cái)務(wù)資源的基礎(chǔ)D、估計(jì)所有權(quán)的成本答案：C3.從風(fēng)險(xiǎn)管理的角度，部署龐大且復(fù)雜的IT基礎(chǔ)架構(gòu)，哪種方法最好：A、部署前仿真模擬新的架構(gòu)B、按次序階段性的部署計(jì)劃C、原型化和單階部署D、在概念論證之后，全面迅速的部署答案：B4.以下哪一項(xiàng)能夠在實(shí)施之前最可以確定滿足業(yè)務(wù)需要A、可行性分析B、UATC、實(shí)施后審查D、實(shí)施計(jì)劃分析答案：B5.查看郵件的內(nèi)容是否被修改應(yīng)使用A、哈希B、數(shù)字簽名C、加密D、雙因素認(rèn)證答案：A6.企業(yè)信息系統(tǒng)目標(biāo)的最佳來(lái)源是什么？A、信息安全管理部門B、業(yè)務(wù)流程所有者C、IT管理部門D、最終用戶答案：B7.審查網(wǎng)絡(luò)打印機(jī)處置的時(shí)候，審計(jì)師應(yīng)該最擔(dān)心的是什么?A、沒(méi)有足夠的證據(jù)表明處置的打印機(jī)的硬盤徹底清除B、業(yè)務(wù)部門直接將打印機(jī)交給了授權(quán)的供應(yīng)商處置C、未按照政策和方案規(guī)定來(lái)處置D、打印機(jī)放在不安全的區(qū)域答案：A8.以下哪一項(xiàng)控制最能防止互聯(lián)網(wǎng)嗅探器（Internetsniffer）進(jìn)行重放攻擊（replayattack):A、數(shù)據(jù)包過(guò)濾路由器B、帶時(shí)間戳的數(shù)據(jù)加密技術(shù)C、正確配置的防火墻D、數(shù)字簽名技術(shù)答案：B9.企業(yè)所在地的監(jiān)管發(fā)布了最新的關(guān)于PII(個(gè)人可標(biāo)識(shí)信息)的跨境數(shù)據(jù)轉(zhuǎn)移新規(guī)定，以下哪一項(xiàng)有可能需要重新進(jìn)行評(píng)估?A、企業(yè)薪資系統(tǒng)托管給外部云服務(wù)供應(yīng)商B、聘請(qǐng)海外IT顧問(wèn)C、購(gòu)買海外的網(wǎng)絡(luò)保險(xiǎn)D、存儲(chǔ)PII數(shù)據(jù)的數(shù)據(jù)庫(kù)的加密情況答案：A10.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，公司管理層鼓勵(lì)員工為業(yè)務(wù)目的而使用社交網(wǎng)站。以下哪一項(xiàng)建議最有助于減少數(shù)據(jù)泄露風(fēng)險(xiǎn)?A、監(jiān)控員工對(duì)社交網(wǎng)站的使用B、對(duì)保密數(shù)據(jù)建立強(qiáng)大的訪問(wèn)控制C、為員工提供使用社交網(wǎng)站的培訓(xùn)和指南D、要求員工簽署政策確認(rèn)和保密協(xié)議答案：C11.A2-61制訂信息安全計(jì)劃的第一步是：A、制訂和實(shí)施信息安全標(biāo)準(zhǔn)手冊(cè)B、由信息系統(tǒng)審計(jì)師執(zhí)行全面的安全控制檢查C、采用公司信息安全政策聲明D、購(gòu)買安全訪問(wèn)控制軟件答案：C12..企業(yè)在考慮更換其電商平臺(tái)。以下哪一項(xiàng)是最好的啟動(dòng)方式?A、發(fā)布RFI信息請(qǐng)求書B(niǎo)、發(fā)布RFP建議書C、發(fā)布采購(gòu)訂單申請(qǐng)D、報(bào)價(jià)請(qǐng)求答案：B13.A4-141當(dāng)組織需要極小粒度的數(shù)據(jù)恢復(fù)點(diǎn)(在恢復(fù)點(diǎn)目標(biāo)中定義)時(shí)，以下哪種備份方法是適合的?A、虛擬磁帶庫(kù)B、基于磁盤的快照C、連續(xù)備份數(shù)據(jù)D、磁盤到磁帶備份答案：C14.A4-72信息系統(tǒng)審計(jì)師應(yīng)當(dāng)審查以下哪一項(xiàng)，以確保服務(wù)器經(jīng)過(guò)最優(yōu)配置以支援處理要求?A、基準(zhǔn)指標(biāo)測(cè)試結(jié)果B、服務(wù)器日志C、故障報(bào)告D、服務(wù)器利用的數(shù)據(jù)答案：D15.哪個(gè)對(duì)降低從企業(yè)內(nèi)向外發(fā)電子郵件導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)最有用?A、安裝軟件檢測(cè)電子郵件附件的數(shù)據(jù)分類B、執(zhí)行滲透測(cè)試和漏洞評(píng)估C、實(shí)施IDS和IPSDD、執(zhí)行自動(dòng)化內(nèi)容檢查和監(jiān)控答案：D16.以下哪個(gè)工具模型可以優(yōu)化改進(jìn)持續(xù)改良計(jì)劃?A、MMIB、平衡計(jì)分卡C、OITD、)ITIL答案：A17.對(duì)于確定項(xiàng)目可行性而言，以下哪一項(xiàng)最重要？A、IT指導(dǎo)委員會(huì)已批準(zhǔn)項(xiàng)目。B、被批準(zhǔn)的業(yè)務(wù)案例中分析了項(xiàng)目?jī)r(jià)值。C、項(xiàng)目管理方法已經(jīng)制定。D、公司的主要競(jìng)爭(zhēng)對(duì)手展開(kāi)了一個(gè)類似項(xiàng)目。答案：B18.ROI(returnoninvestment投資回報(bào)率)分析在IT決策過(guò)程中的一個(gè)好處是提供A、分配間接成本的基礎(chǔ)B、更換設(shè)備的成本C、分配財(cái)務(wù)資源的基礎(chǔ)D、估計(jì)所有權(quán)的成本答案：C19.以下哪一點(diǎn)可以最好地表明組織中實(shí)施了有效的IT治理？A、由董事會(huì)審查IT項(xiàng)目組合B、成立了IT戰(zhàn)略委員會(huì)C、由戰(zhàn)略委員會(huì)審查IT技術(shù)D、由董事會(huì)批準(zhǔn)IT戰(zhàn)略答案：B20.A1-126信息系統(tǒng)審計(jì)過(guò)程中,信息系統(tǒng)審計(jì)師評(píng)估IT部門內(nèi)部職責(zé)分離落實(shí)情況的最佳方法是什么?A、與IT經(jīng)理開(kāi)展討論B、審查IT工作說(shuō)明C、評(píng)估過(guò)去的IT審計(jì)報(bào)告D、評(píng)估組織架構(gòu)答案：A21.在一項(xiàng)it開(kāi)發(fā)項(xiàng)目中調(diào)整方案需要用到額外資金，這筆額外資金最適合由誰(shuí)獲得?(項(xiàng)目因?yàn)樾略鲂枨螅呀?jīng)確認(rèn)需要增加經(jīng)費(fèi)，誰(shuí)最應(yīng)該獲取該項(xiàng)費(fèi)用?)A、審計(jì)師B、項(xiàng)目發(fā)起人C、董事會(huì)D、項(xiàng)目經(jīng)理答案：D22.A4-217由于資源有限,某開(kāi)發(fā)人員需要生產(chǎn)數(shù)據(jù)的完全訪問(wèn)權(quán)限，以支持生產(chǎn)用戶報(bào)告的某些問(wèn)題。對(duì)于控制生產(chǎn)中未經(jīng)授權(quán)的變更，以下哪一項(xiàng)是好的補(bǔ)償性控制?A、提供單獨(dú)的開(kāi)發(fā)人員登錄I用于編程和生產(chǎn)支持并進(jìn)行監(jiān)控B、通過(guò)啟用詳細(xì)的審計(jì)軌跡來(lái)捕獲開(kāi)發(fā)人員在生產(chǎn)環(huán)境中的活動(dòng)C、在允許開(kāi)發(fā)人員進(jìn)行生產(chǎn)變更之前備份所有受到影響的記錄D、在實(shí)施變更前，確保所有變更都經(jīng)過(guò)變更管理人員批準(zhǔn)答案：A23.支持安全評(píng)定認(rèn)證需要執(zhí)行的保證任務(wù)，應(yīng)在何時(shí)確定?A、完成必要的修改之后，B、用戶驗(yàn)收階段。C、項(xiàng)目規(guī)劃階段。D、制定了Q計(jì)劃后。答案：C24.如下哪個(gè)是進(jìn)行業(yè)務(wù)影響分析的最好方法?A、對(duì)主要業(yè)務(wù)相關(guān)者發(fā)布調(diào)查問(wèn)卷B、和主要業(yè)務(wù)相關(guān)者進(jìn)行面談C、與IT管理人員進(jìn)行面談D、咨詢相關(guān)專家答案：B25.A5-68執(zhí)行計(jì)算機(jī)取證調(diào)查時(shí)，對(duì)于收集到的數(shù)據(jù)，信息系統(tǒng)審計(jì)師最應(yīng)關(guān)注的是：A、證據(jù)的分析B、證據(jù)的評(píng)估C、證據(jù)的保存D、證據(jù)的泄露答案：C26.評(píng)估一個(gè)子程序受另一個(gè)子程序更改后的影響，一般使用用什么類型的測(cè)試?A、)壓力測(cè)試B、回歸測(cè)試C、黑盒測(cè)試D、用戶驗(yàn)收測(cè)試答案：B27.A4-240以下哪項(xiàng)是業(yè)務(wù)連續(xù)性計(jì)劃流程的首要目標(biāo)?A、向利益相關(guān)者提供在發(fā)生災(zāi)難時(shí)業(yè)務(wù)繼續(xù)運(yùn)營(yíng)的保證B、向IT服務(wù)設(shè)立備用站點(diǎn)，以滿足預(yù)先定義的恢復(fù)時(shí)間目標(biāo)C、管理風(fēng)險(xiǎn)，并能夠從對(duì)運(yùn)營(yíng)造成負(fù)面影響的事件中恢復(fù)D、在發(fā)生自然災(zāi)難時(shí)滿足外部監(jiān)管合規(guī)性要求答案：C28.以下哪一項(xiàng)是實(shí)施分散式IT治理模型的原因?A、各業(yè)務(wù)部門的統(tǒng)一性B、標(biāo)準(zhǔn)化控制和規(guī)模經(jīng)濟(jì)C、對(duì)業(yè)務(wù)需求有更快的響應(yīng)D、各業(yè)務(wù)部門之間的IT協(xié)作答案：C29.審計(jì)報(bào)告指定了解決審計(jì)問(wèn)題的責(zé)任人，下列哪一項(xiàng)最進(jìn)一步增強(qiáng)審計(jì)報(bào)告的有效性?A、詳細(xì)的降低風(fēng)險(xiǎn)步驟B、監(jiān)督補(bǔ)救的審計(jì)人員C、補(bǔ)救的成本D、補(bǔ)救的目標(biāo)日期答案：D30.內(nèi)部審計(jì)的職責(zé)由以下哪一項(xiàng)明確A、審計(jì)計(jì)劃B、審計(jì)章程C、審計(jì)目標(biāo)D、審計(jì)范圍素答案：B31.A5-44某信息系統(tǒng)審計(jì)師在審查網(wǎng)絡(luò)日志時(shí)發(fā)現(xiàn)，某員工通過(guò)調(diào)用任務(wù)計(jì)劃程序啟動(dòng)受限的應(yīng)用，在其PC上運(yùn)行了高級(jí)命令。這是哪類攻擊的示例?A、競(jìng)態(tài)條件B、特權(quán)升級(jí)C、緩沖溢出D、模仿答案：B32.如何確保審計(jì)師在控制自我評(píng)估中的獨(dú)立性?A、設(shè)計(jì)CSA調(diào)查問(wèn)卷B、參與其中C、監(jiān)督并提供整改意見(jiàn)D、評(píng)估CSA調(diào)查問(wèn)卷答案：C33.在瘦客戶端環(huán)境下最有可能會(huì)面臨以下哪個(gè)問(wèn)題A、可用性B、完整性C、機(jī)密性D、可擴(kuò)展性答案：A34.IS審計(jì)師審查生產(chǎn)環(huán)境安裝補(bǔ)丁的管理流程，最應(yīng)關(guān)注：A、用戶管理部門批準(zhǔn)B、信息安全主管批準(zhǔn)C、董事會(huì)批準(zhǔn)D、系統(tǒng)安全員批準(zhǔn)答案：A35.A5-39在某銀行的信息系統(tǒng)審計(jì)期間，信息系統(tǒng)審計(jì)師正在評(píng)估該銀行是否合理管理職員對(duì)操作系統(tǒng)的訪問(wèn)。該信息系統(tǒng)審計(jì)師應(yīng)確定該銀行是否執(zhí)行：A、用戶活動(dòng)日志的定期審查B、系統(tǒng)級(jí)用戶授權(quán)驗(yàn)證C、數(shù)據(jù)通信訪問(wèn)活動(dòng)日志的審查D、更改數(shù)據(jù)文件的定期審查答案：A36.A5-279在審查網(wǎng)絡(luò)設(shè)備的配置時(shí)，信息系統(tǒng)審計(jì)師應(yīng)該首先確定：A、部署的網(wǎng)絡(luò)設(shè)備類型的良好實(shí)踐B、是否缺少網(wǎng)絡(luò)組件C、網(wǎng)絡(luò)設(shè)備在拓?fù)渲械闹匾訢、網(wǎng)絡(luò)子組件的使用是否適當(dāng)答案：C37.數(shù)據(jù)中心在簽署熱備援中心(Hotsite)合同之前，最要確認(rèn)的是?A、多個(gè)公司發(fā)生災(zāi)難時(shí)，與中心員工協(xié)調(diào)(用戶同時(shí)出現(xiàn)故障用戶間互相協(xié)調(diào)能力)B、多個(gè)公司發(fā)生災(zāi)難時(shí)，數(shù)據(jù)中心是否可用(用戶同時(shí)出現(xiàn)故障的應(yīng)對(duì)處理能力)C、與其他組織簽互惠協(xié)議D、進(jìn)行全面測(cè)試答案：B38.IT災(zāi)難恢復(fù)是時(shí)間目標(biāo)（RTO）應(yīng)基于以下哪一項(xiàng)：A、最多可容許丟失的數(shù)據(jù)B、根據(jù)業(yè)務(wù)定義的系統(tǒng)關(guān)鍵性C、最多可容許的停機(jī)時(shí)間D、中斷的根本原因答案：C39.A3-99下列哪種系統(tǒng)和數(shù)據(jù)轉(zhuǎn)換策略能夠提供最大的冗余?A、直接切換B、試點(diǎn)研究C、分階段方法D、并行執(zhí)行答案：D40.A4-151針對(duì)IT系統(tǒng)恢復(fù)的雙方協(xié)議的現(xiàn)場(chǎng)測(cè)試已實(shí)施，包括業(yè)務(wù)部門4個(gè)小時(shí)的集約效用測(cè)試。測(cè)試已成功，但不完全確保：A、系統(tǒng)和IT操作團(tuán)隊(duì)可以在緊急環(huán)境中保持運(yùn)作B、資源和環(huán)境能夠支持交易加載C、與遠(yuǎn)程站點(diǎn)中應(yīng)用程序的連接性滿足響應(yīng)時(shí)間要求D、實(shí)際業(yè)務(wù)操作的工作流可以在發(fā)生災(zāi)難的情況下使用緊急系統(tǒng)答案：A41.為減輕API查詢公開(kāi)數(shù)據(jù)的風(fēng)險(xiǎn)，以下哪項(xiàng)考慮因素最重要A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化D、數(shù)據(jù)保留答案：C42.【重要題】以下哪一項(xiàng)是災(zāi)難恢復(fù)計(jì)劃的步驟之一?A、評(píng)估和量化風(fēng)險(xiǎn)B、與災(zāi)難計(jì)劃咨詢顧問(wèn)協(xié)商合同C、獲得替代設(shè)備供應(yīng)D、確定應(yīng)用程序控制需求答案：A43.A4-87某個(gè)組織把其服務(wù)臺(tái)職能外包了。下列哪項(xiàng)指標(biāo)最應(yīng)該包含在服務(wù)水平協(xié)議中?A、支持的用戶總數(shù)B、首次通話解決率C、報(bào)告至服務(wù)臺(tái)的事故數(shù)D、接線員的數(shù)量答案：B44.某IS審計(jì)師已發(fā)現(xiàn)，員工們?cè)谕ㄟ^(guò)電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域。對(duì)IS審計(jì)師而言，以下哪一項(xiàng)是建議的最佳補(bǔ)救措施？A、加密郵件帳戶B、培訓(xùn)和意識(shí)C、活動(dòng)監(jiān)測(cè)D、數(shù)據(jù)丟失防護(hù)（DLP)答案：D45.在提議的企業(yè)資源規(guī)劃(ERP)系統(tǒng)的需求定義階段，項(xiàng)目發(fā)起人要求鏈接采購(gòu)與應(yīng)付賬款模塊。最好執(zhí)行以下哪一種測(cè)試方法？A、單元測(cè)試B、集成測(cè)試C、社交性測(cè)試D、質(zhì)量保證(QAT)測(cè)試答案：B46.在跟蹤審計(jì)期同，被審計(jì)單位指出，對(duì)以前報(bào)告的發(fā)現(xiàn)結(jié)果應(yīng)采取的糾正措施需要比預(yù)期更長(zhǎng)的時(shí)間。以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師應(yīng)采取的最佳行動(dòng)A、將問(wèn)題上報(bào)給高級(jí)管理層，B、確定是否已采取補(bǔ)償性控制臨時(shí)性措施C、要求再說(shuō)商定的期限內(nèi)完成補(bǔ)救工作。D、停止審計(jì)工作并延遲跟蹤審計(jì)答案：B47.A2-143一家企業(yè)在內(nèi)部建立了數(shù)據(jù)中心，而將主要的財(cái)務(wù)應(yīng)用程序的管理外包給了一家服務(wù)提供商。下列哪一項(xiàng)控制措施能夠最有效地確保服務(wù)提供商的員工遵守安全政策?A、要求所有用戶在企業(yè)安全政策上簽字表示保證遵守B、將賠償條款加入與服務(wù)提供商簽訂的合同中C、對(duì)所有用戶強(qiáng)制實(shí)施安全意識(shí)培訓(xùn)D、應(yīng)該修改安全政策，以解決第三方用戶合規(guī)性問(wèn)題答案：B48.A3-58通常要在系統(tǒng)開(kāi)發(fā)中的以下哪個(gè)階段做好用戶驗(yàn)收測(cè)試計(jì)劃的準(zhǔn)備?A、可行性分析B、需求定義C、計(jì)劃實(shí)施D、實(shí)施后審查答案：B49.數(shù)據(jù)庫(kù)管理系統(tǒng)軟件包不可能提供下面哪一種訪問(wèn)控制功能？A、在程序級(jí)的身份驗(yàn)證B、在交易級(jí)的身份驗(yàn)證C、用戶在網(wǎng)絡(luò)層的登錄D、用戶對(duì)字段數(shù)的訪問(wèn)答案：C50.A3-133對(duì)業(yè)務(wù)流程自動(dòng)化項(xiàng)目進(jìn)行實(shí)施后審查的主要目標(biāo)是：A、確保項(xiàng)目滿足預(yù)期的業(yè)務(wù)要求B、評(píng)估控制的充分性C、確認(rèn)符合技術(shù)標(biāo)準(zhǔn)D、確認(rèn)符合法規(guī)要求答案：A51.對(duì)信息進(jìn)行實(shí)施后審計(jì)，下列哪項(xiàng)最可能削弱IS審計(jì)師的獨(dú)立性?A、參與項(xiàng)目團(tuán)隊(duì)，但不承擔(dān)運(yùn)營(yíng)開(kāi)發(fā)的責(zé)任B、為最佳實(shí)踐提供建議C、設(shè)計(jì)了一個(gè)嵌入式的審計(jì)模塊D、在應(yīng)用程序開(kāi)發(fā)過(guò)程中實(shí)施了特定的控制答案：D52.使用數(shù)字簽名的主要原因A、機(jī)密性B、完整性C、可用性D、實(shí)效性答案：B53.成熟的質(zhì)量管理系統(tǒng)QMS的指標(biāo)?A、項(xiàng)目顯示持續(xù)改進(jìn)B、設(shè)定了評(píng)估標(biāo)準(zhǔn)并集成到所有系統(tǒng)中強(qiáng)制執(zhí)行C、所有部門都提交了質(zhì)量報(bào)告D、運(yùn)行良好未發(fā)現(xiàn)問(wèn)題答案：A54..衡量災(zāi)難恢復(fù)計(jì)劃有效性中業(yè)務(wù)恢復(fù)的最佳途徑是?A、定義恢復(fù)點(diǎn)目標(biāo)RPOB、業(yè)務(wù)影響分析IC、模擬災(zāi)難恢復(fù)D、評(píng)估與功能成熟度模型的差距答案：C55.以下哪一項(xiàng)屬于漏洞？A、系統(tǒng)中斷B、公司聲譽(yù)C、未修補(bǔ)的系統(tǒng)D、惡意的內(nèi)部員工答案：C56.使用最終用戶計(jì)算產(chǎn)生報(bào)告的是以下哪種風(fēng)險(xiǎn)?A、報(bào)告無(wú)效B、報(bào)告不及時(shí)C、數(shù)據(jù)不準(zhǔn)確D、缺少可用的歷史數(shù)據(jù)答案：C57.A2-119將安全方案作為安全治理框架的一部分實(shí)施的主要好處在于：A、使IT活動(dòng)與IS審計(jì)建議保持一致B、實(shí)施安全風(fēng)險(xiǎn)管理C、實(shí)施首席信息安全官的建議D、降低IT風(fēng)險(xiǎn)的成本答案：B58.項(xiàng)目開(kāi)發(fā)階段，新增加了一個(gè)功能點(diǎn)，以下哪項(xiàng)影響最大A、未滿足用戶需求B、項(xiàng)目關(guān)鍵路徑改變C、超出預(yù)算D、項(xiàng)目延遲完成答案：A59.在完成信息系統(tǒng)審計(jì)后，IS審計(jì)師應(yīng)向利益相關(guān)者說(shuō)明以下哪種風(fēng)險(xiǎn)?A、固有風(fēng)險(xiǎn)B、審計(jì)風(fēng)險(xiǎn)C、檢測(cè)風(fēng)險(xiǎn)D、殘余風(fēng)險(xiǎn)答案：D60.【重要題】.審計(jì)第三方供應(yīng)商的關(guān)鍵績(jī)效指標(biāo)KPI時(shí)，審計(jì)師最大的擔(dān)憂是?A、KPI沒(méi)有文檔記錄B、KPI指標(biāo)沒(méi)有明確定義C、KPI從未更新D、KPI數(shù)據(jù)沒(méi)有加以分析答案：B61.哪一項(xiàng)提供IT在一家企業(yè)內(nèi)的作用的最全面描述A、IT工作說(shuō)明B、IT章程C、IT組織結(jié)構(gòu)圖D、可排除答案：B62.應(yīng)用程序可以使用用戶賬號(hào)訪問(wèn)底層數(shù)據(jù)庫(kù)，審計(jì)師最擔(dān)心：(也有考生反饋題干描述為：底層用戶可以直接訪問(wèn)數(shù)據(jù)庫(kù)，哪項(xiàng)風(fēng)險(xiǎn)大?)(此題需進(jìn)一步確認(rèn)，請(qǐng)考生考試中特別留意)A、用戶可以繞過(guò)應(yīng)用程序訪問(wèn)數(shù)據(jù)庫(kù)B、用戶賬戶停用了，仍然可以訪問(wèn)C、應(yīng)用程序?qū)徲?jì)記錄不能包含全部信息D、底層數(shù)據(jù)庫(kù)完整性被破壞答案：A63.下列哪一種訪問(wèn)控制組合能為服務(wù)器機(jī)房提供雙因素保護(hù)？A、用戶ID和PINB、PIN和智能卡C、磁卡和智能卡D、磁卡和共享PIN答案：B64..某公司將信息系統(tǒng)功能外包出去。要滿足災(zāi)難恢復(fù)的需要，該公司應(yīng)該：A、將災(zāi)難恢復(fù)的評(píng)估工作委托給內(nèi)部審計(jì)部門B、將災(zāi)難恢復(fù)的評(píng)估工作委托給第三方C、停止災(zāi)難恢復(fù)計(jì)劃的維護(hù)工作D、與外包供應(yīng)商協(xié)調(diào)災(zāi)難恢復(fù)管理措施答案：D65.A4-238審計(jì)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)期間，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，盡管所有部門在同一建筑物中辦公，但是每個(gè)部門都有各自獨(dú)立的BCP。該信息系統(tǒng)審計(jì)師建議協(xié)調(diào)BCP。應(yīng)該首先協(xié)調(diào)以下哪一個(gè)領(lǐng)域?A、疏散計(jì)劃B、恢復(fù)優(yōu)先級(jí)C、備份存儲(chǔ)D、呼叫樹(shù)答案：A66.對(duì)于無(wú)雙重門控制的機(jī)房，管理層應(yīng)該采取哪個(gè)行動(dòng)來(lái)防止跟隨進(jìn)入?(2023年3月真題)A、要求員工佩戴I卡B、雙因素驗(yàn)證C、生物識(shí)別技術(shù)D、安全意識(shí)培訓(xùn)答案：D67.A5-196對(duì)成功的社會(huì)工程攻擊的最貼近的解釋是：A、計(jì)算機(jī)錯(cuò)誤B、判斷錯(cuò)誤C、專業(yè)知識(shí)D、技術(shù)答案：B68.A2-149某金融企業(yè)設(shè)有一個(gè)小規(guī)模的IT部門，因而需要員工身兼數(shù)職。以下哪種做法帶來(lái)的問(wèn)題最大?A、開(kāi)發(fā)人員將代碼提交到生產(chǎn)環(huán)境中B、業(yè)務(wù)分析人員編寫相關(guān)需求并執(zhí)行功能性測(cè)試C、IT經(jīng)理同時(shí)執(zhí)行系統(tǒng)管理工作D、數(shù)據(jù)庫(kù)管理員也執(zhí)行數(shù)據(jù)備份答案：A69.A1-43當(dāng)評(píng)估組織的IT戰(zhàn)略時(shí),信息系統(tǒng)審計(jì)師會(huì)認(rèn)為以下哪一選項(xiàng)最重要?A、已得到直線管理層的批準(zhǔn)B、與IT部門的初步預(yù)算相同C、符合采購(gòu)流程D、支持組織的業(yè)務(wù)目標(biāo)答案：D70.在審查IT資源能力和性能的持續(xù)監(jiān)測(cè)流程時(shí)，IS審計(jì)師應(yīng)當(dāng)主要確保該流程重點(diǎn)關(guān)注：A、充分監(jiān)測(cè)IT資源和服務(wù)的服務(wù)等級(jí)。B、提供數(shù)據(jù)，以確保能夠及時(shí)規(guī)劃容量和性能要求。C、提供有關(guān)IT資源可用性的準(zhǔn)確反饋。D、正確預(yù)測(cè)IT資源的性能、能力和吞吐量。答案：C71.哪一項(xiàng)用于評(píng)估一個(gè)項(xiàng)目所需的時(shí)間用量時(shí)?A、勞動(dòng)力數(shù)量估算B、可排除C、)關(guān)鍵路徑分析D、甘特圖答案：D72.某IS審計(jì)師正在審查某會(huì)計(jì)系統(tǒng)的訪問(wèn)情況，并發(fā)現(xiàn)了職責(zé)分離問(wèn)題；但業(yè)務(wù)規(guī)模小，沒(méi)有額外的工人可供使用。在這種情況下，以下哪一項(xiàng)是建議的最佳補(bǔ)償性控制？A、實(shí)施基于角色的訪問(wèn)B、審查審計(jì)軌跡C、執(zhí)行定期訪問(wèn)審查D、審查錯(cuò)誤日志答案：B73.對(duì)網(wǎng)絡(luò)進(jìn)行審計(jì)，最重要的是A、審查物理環(huán)境B、審查冗余線路C、審查路由D、審查服務(wù)器數(shù)據(jù)包類型答案：C74.信息系統(tǒng)審計(jì)師在審查傳輸公開(kāi)可用信息的系統(tǒng)接口，哪一項(xiàng)最令人擔(dān)憂？A、什么界面跟蹤程序（可排除）B、下載的數(shù)據(jù)與原系統(tǒng)數(shù)據(jù)不同C、數(shù)據(jù)未加密D、數(shù)據(jù)在傳輸時(shí)被截獲答案：B75.一個(gè)公司對(duì)員工的商務(wù)智能手機(jī)實(shí)施收回并利用A、為新員工更換SIM卡和手機(jī)號(hào)B、銷毀商務(wù)智能手機(jī)C、安全的刪除手機(jī)數(shù)據(jù)D、更換智能手機(jī)內(nèi)存卡答案：C76.【重要題】信息系統(tǒng)審計(jì)師在上線之前審查新系統(tǒng)的項(xiàng)目計(jì)劃時(shí)，注意到項(xiàng)目團(tuán)隊(duì)尚未記錄恢復(fù)計(jì)劃。以下哪一項(xiàng)是這一情況下最佳的系統(tǒng)上線方法?A、均衡負(fù)載B、(明顯不對(duì)，可排除)C、立即切換D、并行切換答案：D77.A4-253信息系統(tǒng)審計(jì)師發(fā)現(xiàn)數(shù)據(jù)庫(kù)管理員(DBA)有生產(chǎn)數(shù)據(jù)的讀寫權(quán)限。信息系統(tǒng)審計(jì)師應(yīng)：A、接受訪問(wèn)為普遍做法B、評(píng)估與職能相關(guān)的控制C、建議立即撤銷對(duì)生產(chǎn)數(shù)據(jù)的訪問(wèn)權(quán)限D(zhuǎn)、審查批準(zhǔn)的用戶訪問(wèn)權(quán)限答案：B78.評(píng)估IT實(shí)際使用資源使用和計(jì)劃資源分配的一致性的技術(shù)是什么？A、掙得值分析EVAB、投資回報(bào)分析ROIC、甘特圖D、關(guān)鍵路徑分析CPA答案：A79.在制定在線業(yè)務(wù)架構(gòu)和恢復(fù)策略時(shí)，以下哪一項(xiàng)是最重要的考慮事項(xiàng)?A、即時(shí)解決問(wèn)題的能力B、供應(yīng)商的網(wǎng)絡(luò)安全性C、單一故障點(diǎn)(singlepointoffilure)D、供應(yīng)商的財(cái)務(wù)穩(wěn)定性答案：A80.組織鼓勵(lì)員工因?yàn)楣ぷ髂康亩褂蒙缃黄脚_(tái)，以下哪一項(xiàng)能最好防止數(shù)據(jù)泄露？A、員工簽署政策要求確認(rèn)和保密協(xié)議B、對(duì)敏感數(shù)據(jù)實(shí)施強(qiáng)有力的控制C、對(duì)員工使用社交網(wǎng)站的活動(dòng)實(shí)施監(jiān)控D、提供社交平臺(tái)使用的相關(guān)培訓(xùn)和指導(dǎo)答案：B81.以下哪一種是檢測(cè)型控制？A、輸入格式驗(yàn)證B、進(jìn)行恢復(fù)程序C、密碼控制D、散列驗(yàn)證答案：D82.兩個(gè)公司之間簽署災(zāi)難互惠協(xié)議時(shí)，IT審計(jì)師應(yīng)該最關(guān)注哪一項(xiàng)?A、系統(tǒng)互惠測(cè)試的頻率B、在信息系統(tǒng)政策和程序方面的差異C、發(fā)生災(zāi)難時(shí)如何分配資源D、維護(hù)硬件和軟件的兼容性答案：C83.A4-70將主要信息處理場(chǎng)所中的硬件進(jìn)行更換后，業(yè)務(wù)連續(xù)性經(jīng)理應(yīng)首先采取下列哪項(xiàng)行動(dòng)?A、檢驗(yàn)與熱備援中心的兼容性B、審查實(shí)施報(bào)告C、對(duì)災(zāi)難恢復(fù)計(jì)劃執(zhí)行瀏覽審查D、更新信息技術(shù)資產(chǎn)清單答案：D84.A3-63一位信息系統(tǒng)審計(jì)師發(fā)現(xiàn)開(kāi)發(fā)中的某個(gè)系統(tǒng)銜接了12個(gè)模塊，并且每個(gè)數(shù)據(jù)項(xiàng)可以承載最多10個(gè)可定義屬性字段。該系統(tǒng)每年可處理數(shù)百萬(wàn)次交易。信息系統(tǒng)審計(jì)師可以使用哪項(xiàng)技術(shù)估算開(kāi)發(fā)工作量?A、計(jì)劃評(píng)審技術(shù)B、功能點(diǎn)分析C、對(duì)源代碼行進(jìn)行計(jì)數(shù)D、白箱測(cè)試答案：B85.【重要題】審計(jì)師發(fā)現(xiàn)數(shù)據(jù)庫(kù)配置管理系統(tǒng)有個(gè)安全漏洞，他接下里怎么做?A、報(bào)告高級(jí)管理層B、評(píng)估是否有補(bǔ)償性控制C、報(bào)告審計(jì)委員會(huì)D、嘗試?yán)寐┒创鸢福築86.信息系統(tǒng)審計(jì)師評(píng)估IT戰(zhàn)略委員會(huì)的有效性？A、業(yè)務(wù)和IT戰(zhàn)略一致性B、IT戰(zhàn)略委員會(huì)章程答案：A87.審查項(xiàng)目組合時(shí)，下列哪一項(xiàng)是管理層應(yīng)考慮的最有用的指標(biāo)？A、該組合的當(dāng)前凈值B、預(yù)期效益與總項(xiàng)目成本之比C、每個(gè)項(xiàng)目的總成本D、項(xiàng)目成本與總IT成本之比答案：B88.IT經(jīng)理向高級(jí)管理層匯報(bào)潛在風(fēng)險(xiǎn)情況，運(yùn)行關(guān)鍵在線信用報(bào)告系統(tǒng)服務(wù)器的操作系統(tǒng)將不受支持，該風(fēng)險(xiǎn)屬于哪種類型的風(fēng)險(xiǎn)？A、符合性風(fēng)險(xiǎn)B、技術(shù)風(fēng)險(xiǎn)C、業(yè)務(wù)風(fēng)險(xiǎn)D、聲譽(yù)風(fēng)險(xiǎn)答案：B89.在制定業(yè)務(wù)持續(xù)性計(jì)劃時(shí)，業(yè)務(wù)單位管理層的參與在以下工作過(guò)程中最為重要?A、實(shí)施文檔庫(kù)B、進(jìn)行業(yè)務(wù)影響分析C、制定業(yè)務(wù)恢復(fù)程序D、執(zhí)行IT風(fēng)險(xiǎn)評(píng)估答案：B90.信息系統(tǒng)審計(jì)師在審查桌面軟件配置文件時(shí)注意到，一個(gè)用戶已下載并安裝了公司不批準(zhǔn)的游戲。以下哪一項(xiàng)是這一狀況可能產(chǎn)生的最大風(fēng)險(xiǎn)？A、潛在的惡意軟件B、未遵守可接受使用政策C、與公司軟件的互操作性問(wèn)題D、違反用戶的隱私答案：A91.A4-54一位信息系統(tǒng)審計(jì)師正在審查某組織的災(zāi)難恢復(fù)情況。在這次災(zāi)難中，并非恢復(fù)業(yè)務(wù)運(yùn)營(yíng)所需的所有關(guān)鍵數(shù)據(jù)都得到了保留。這是因?yàn)殄e(cuò)誤定義了以下哪個(gè)選項(xiàng)?A、中斷時(shí)間B、恢復(fù)時(shí)間目標(biāo)C、服務(wù)交付目標(biāo)D、恢復(fù)點(diǎn)目標(biāo)答案：D92.A2-38在實(shí)施IT平衡計(jì)分卡之前,組織必須：A、提供有效且高效的服務(wù)B、定義關(guān)鍵績(jī)效指標(biāo)C、為IT項(xiàng)目帶來(lái)商業(yè)價(jià)值D、控制IT費(fèi)用答案：B93.在典型的系統(tǒng)開(kāi)發(fā)生命周期中，下列哪個(gè)小組主要負(fù)責(zé)確認(rèn)是否符合需求?A、質(zhì)量保證B、內(nèi)部審計(jì)C、風(fēng)險(xiǎn)管理D、指導(dǎo)委員會(huì)答案：A94.A1-114某信息系統(tǒng)審計(jì)師正在核對(duì)生產(chǎn)中的設(shè)備與庫(kù)存記錄。這種測(cè)試屬于以下哪一項(xiàng)?A、實(shí)質(zhì)性測(cè)試B、符合性測(cè)試C、分析性測(cè)試D、控制測(cè)試答案：A95.審查變更控制文檔，有些補(bǔ)丁未經(jīng)測(cè)試就被安裝到了生產(chǎn)環(huán)境中，最大的風(fēng)險(xiǎn)是A、影響系統(tǒng)完整性B、開(kāi)發(fā)人員能夠接觸生產(chǎn)C、文檔過(guò)時(shí)D、沒(méi)有應(yīng)用系統(tǒng)支持答案：B96.以下哪一項(xiàng)是執(zhí)行風(fēng)險(xiǎn)評(píng)估的主要原因？A、符合監(jiān)管要求B、幫助分配預(yù)算用于風(fēng)險(xiǎn)緩解控制C、確保與業(yè)務(wù)影響分析BIA保持一致D、確定當(dāng)前的風(fēng)險(xiǎn)概況答案：D97.在發(fā)現(xiàn)未知惡意攻擊時(shí)，以下哪一項(xiàng)安全測(cè)試技術(shù)最有效A、沙箱B、滲透測(cè)試C、漏洞測(cè)試D、逆向工程答案：A98.哪一項(xiàng)能最有效地防止舊硬盤的數(shù)據(jù)泄露？A、重復(fù)寫（覆寫）B、物理破壞C、低級(jí)格式化D、消磁答案：B99.在開(kāi)發(fā)階段添加新功能時(shí)，以下哪項(xiàng)是與沒(méi)有遵循項(xiàng)目更改管理流程相關(guān)的主要風(fēng)險(xiǎn)A、新功能可能不符合要求B、尚未記錄添加的功能C、項(xiàng)目超出預(yù)算答案：A100.A4-50某信息系統(tǒng)審計(jì)師正在審查數(shù)據(jù)庫(kù)控制時(shí)發(fā)現(xiàn)，在正常工作時(shí)間內(nèi)對(duì)數(shù)據(jù)庫(kù)所做的變更是通過(guò)一套標(biāo)準(zhǔn)流程處理的。但是，在非正常工作時(shí)間，只須采取簡(jiǎn)單的幾步便可進(jìn)行變更。在這種情況下，可將以下哪項(xiàng)看作一套充分的補(bǔ)償性措施?A、只允許使用數(shù)據(jù)庫(kù)管理員()用戶賬戶進(jìn)行變更B、在授予了普通用戶賬戶的訪問(wèn)權(quán)限之后再對(duì)數(shù)據(jù)庫(kù)進(jìn)行變更C、使用用戶賬戶進(jìn)行變更，對(duì)變更進(jìn)行記錄并在第二天查閱變更日志D、使用普通用戶賬戶進(jìn)行變更，對(duì)變更進(jìn)行記錄并在第二天查閱變更日志答案：C101.A5-275下列哪項(xiàng)屬于一種面向?qū)ο蟮募夹g(shù)的特征，并且有助于提高數(shù)據(jù)安全程度?A、繼承B、動(dòng)態(tài)倉(cāng)儲(chǔ)C、封裝D、多態(tài)性答案：C102.企業(yè)的操作人員未執(zhí)行年末財(cái)務(wù)報(bào)表的自動(dòng)腳本，以下哪項(xiàng)措施可以起到很好的作用A、培訓(xùn)操作人員B、選擇有經(jīng)驗(yàn)的財(cái)務(wù)人員加入操作團(tuán)隊(duì)C、實(shí)施封閉檢查清單(losingheklist)D、更新操作手冊(cè)答案：C103.用戶測(cè)試數(shù)據(jù)最好是用A、隨機(jī)生成的數(shù)據(jù)B、測(cè)試生成器生成的參數(shù)C、模擬生產(chǎn)環(huán)境數(shù)據(jù)D、供應(yīng)商提供的數(shù)據(jù)答案：C104.信息系統(tǒng)審計(jì)師審查各種IT外包合同采購(gòu)流程。確保中標(biāo)的承包商滿足以下哪項(xiàng)要求？A、維護(hù)了內(nèi)部審計(jì)功能。B、是按確定的業(yè)務(wù)標(biāo)準(zhǔn)選擇出來(lái)的。C、要求所有員工都簽署機(jī)密性協(xié)議。D、消除了外包風(fēng)險(xiǎn)。答案：B105.組織的大多數(shù)信息系統(tǒng)已經(jīng)外包，以下哪項(xiàng)能最能保持業(yè)務(wù)連續(xù)性?A、外包商管理層B、信息技術(shù)管理層C、業(yè)務(wù)管理層D、信息安全管理層答案：C106.A1-29在IT流程的安全審計(jì)期間,信息系統(tǒng)審計(jì)師發(fā)現(xiàn)沒(méi)有任何文檔記錄安全程序。信息系統(tǒng)審計(jì)師應(yīng)：A、根據(jù)實(shí)踐創(chuàng)建程序文檔B、提出對(duì)當(dāng)前狀態(tài)的看法，并結(jié)束審計(jì)C、對(duì)可用數(shù)據(jù)執(zhí)行符合性測(cè)試D、識(shí)別并評(píng)估現(xiàn)有實(shí)踐答案：D107.雇員有意或無(wú)意將敏感信息通過(guò)郵件發(fā)送到外部，在實(shí)施郵件控制措施之前，首先最重的是要做什么?A、安裝程序監(jiān)測(cè)郵件內(nèi)容和雇員活動(dòng)B、實(shí)施數(shù)據(jù)分類C、與雇員簽署保密協(xié)議D、對(duì)郵件服務(wù)器進(jìn)行加固答案：B108.如何保證防火墻有效的策略。A、審查網(wǎng)絡(luò)日志B、做滲透測(cè)試C、審查入侵檢測(cè)報(bào)告D、檢查防火墻配置答案：D109.以下哪一項(xiàng)最能體現(xiàn)信息安全計(jì)劃的有效性?A、安全團(tuán)隊(duì)知識(shí)豐富，使用最好的工具B、經(jīng)過(guò)意識(shí)培訓(xùn)后，報(bào)告和確認(rèn)的安全事故數(shù)量有所增加C、安全意識(shí)培訓(xùn)計(jì)劃是根據(jù)行業(yè)最佳實(shí)踐開(kāi)發(fā)的D、安全團(tuán)隊(duì)執(zhí)行了風(fēng)險(xiǎn)評(píng)估，以了解公司的風(fēng)險(xiǎn)偏好答案：B110.審計(jì)師發(fā)現(xiàn)業(yè)務(wù)部門負(fù)責(zé)人創(chuàng)建了一個(gè)網(wǎng)頁(yè)，從而能訪問(wèn)生產(chǎn)數(shù)據(jù)，這違反了公司的安全政策，審計(jì)師應(yīng)該：A、評(píng)估是否有補(bǔ)償性控制B、關(guān)閉并停用該網(wǎng)頁(yè)C、評(píng)估生產(chǎn)數(shù)據(jù)的敏感性D、上報(bào)高級(jí)管理層答案：A111.那種能夠最有效地對(duì)物理訪問(wèn)提供最可靠的身份驗(yàn)證?A、智能卡和保衛(wèi)B、感應(yīng)卡C、視網(wǎng)膜D、數(shù)字鍵盤和監(jiān)控?cái)z像機(jī)答案：C112.哪一項(xiàng)網(wǎng)絡(luò)安全審查結(jié)果對(duì)企業(yè)構(gòu)成最大風(fēng)險(xiǎn)？A、IDS在上周有待更新B、非軍事區(qū)中的Internet服務(wù)器托管測(cè)試網(wǎng)頁(yè)C、面向Internet的路由器上有共享的管理員帳戶D、上周發(fā)布的操作系統(tǒng)補(bǔ)丁尚未應(yīng)用答案：C113.A5-67某個(gè)組織允許使用通用串行總線驅(qū)動(dòng)器(USB設(shè)備)在辦公室之間傳輸運(yùn)營(yíng)數(shù)據(jù)。以下哪項(xiàng)是與使用這些設(shè)備有關(guān)的最大風(fēng)險(xiǎn)?A、文件未備份B、設(shè)備被盜C、將設(shè)備用于個(gè)人用途D、將惡意軟件引入內(nèi)部網(wǎng)絡(luò)答案：B114.為了幫助董事會(huì)履行IT治理職責(zé)，IT指導(dǎo)委員會(huì)應(yīng)該：A、制定項(xiàng)目跟蹤的IT政策和措施B、將注意力集中在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項(xiàng)目和IT資源的分配情況D、實(shí)施IT戰(zhàn)略答案：D115.A4-185確定服務(wù)交付目標(biāo)的主要依據(jù)應(yīng)該是：A、可接受的最低運(yùn)營(yíng)能力B、恢復(fù)流程的成本效益C、達(dá)到恢復(fù)時(shí)間目標(biāo)D、允許的運(yùn)營(yíng)中斷時(shí)限答案：A116.A3-37以下哪種數(shù)據(jù)驗(yàn)證編輯能有效檢測(cè)轉(zhuǎn)位和轉(zhuǎn)錄錯(cuò)誤?A、范圍檢查B、校驗(yàn)數(shù)字位C、有效性檢查D、重復(fù)檢查答案：B117.【重要題】以下哪一項(xiàng)控制措施能夠最有效地解決搭載/緊隨進(jìn)入無(wú)雙門安全系統(tǒng)的受限區(qū)域的風(fēng)險(xiǎn)?A、)B、安全意識(shí)培訓(xùn)C、生物識(shí)別門鎖D、要求佩戴I標(biāo)識(shí)卡答案：B118.A1-47制訂基于風(fēng)險(xiǎn)的審計(jì)策略時(shí)，信息系統(tǒng)審計(jì)師應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估，以確保：A、降低風(fēng)險(xiǎn)所需的控制已就位B、識(shí)別出漏洞和威脅C、將審計(jì)風(fēng)險(xiǎn)考慮在內(nèi)D、差距分析得當(dāng)答案：B119.在IT系統(tǒng)恢復(fù)過(guò)程中，保持業(yè)務(wù)功能運(yùn)行的臨時(shí)解決方案，是以下哪項(xiàng)內(nèi)容的核心組成部分?A、災(zāi)難恢復(fù)計(jì)劃B、威脅和風(fēng)險(xiǎn)評(píng)估C、)業(yè)務(wù)影響分析D、業(yè)務(wù)持續(xù)運(yùn)營(yíng)計(jì)劃答案：D120.A4-128在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃期間，業(yè)務(wù)影響分析確定關(guān)鍵流程和支持業(yè)務(wù)的應(yīng)用程序。這將主要影響：A、維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的責(zé)任B、選擇恢復(fù)站點(diǎn)提供商的標(biāo)準(zhǔn)C、恢復(fù)策略D、關(guān)鍵人員的責(zé)任答案：C121.A5-262降低垃圾搜尋風(fēng)險(xiǎn)的最佳方式是：A、提供安全意識(shí)培訓(xùn)B、在復(fù)印室放置碎紙箱C、制定介質(zhì)處置政策D、在單獨(dú)的辦公室放置碎紙機(jī)答案：A122.【重要題】有效防范sql注入攻擊的最佳控制是?A、SSL加密B、數(shù)字簽名C、輸入驗(yàn)證D、unioe轉(zhuǎn)換答案：C123.在后續(xù)審計(jì)中，被審計(jì)方提出，審計(jì)問(wèn)題應(yīng)采取的糾正措施需要比預(yù)期更長(zhǎng)的時(shí)間，審計(jì)師應(yīng)該A、要求在商定的期限內(nèi)完成整改B、將此問(wèn)題向高級(jí)管理層匯報(bào)C、停止審計(jì)工作并推遲跟蹤審計(jì)D、確認(rèn)是否有補(bǔ)償性控制的臨時(shí)措施答案：D124.某IS審計(jì)師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留，對(duì)該IS審計(jì)師而言，以下哪一項(xiàng)最值得關(guān)注?A、最終用戶不知曉事故報(bào)告程序。B、日志服務(wù)器不在單獨(dú)的網(wǎng)絡(luò)上。C、未堅(jiān)持進(jìn)行備份。D、無(wú)監(jiān)管鏈政策。答案：D125.項(xiàng)目收尾的目的是要確定：A、影響項(xiàng)目交付質(zhì)量的潛在風(fēng)險(xiǎn)B、項(xiàng)目經(jīng)理在專業(yè)特長(zhǎng)C、供未來(lái)項(xiàng)目使用的經(jīng)驗(yàn)教訓(xùn)D、項(xiàng)目可行性要求答案：C126.在取證數(shù)據(jù)采集和保存流程中以下哪項(xiàng)最重要？A、保持?jǐn)?shù)據(jù)完整性B、確保設(shè)備的物理安全C、維持保管鏈D、決定要使用的工答案：C127.A5-230使用數(shù)字簽名時(shí),由誰(shuí)計(jì)算消息摘要?A、僅發(fā)送者B、僅接收者C、發(fā)送者和接收者D、認(rèn)證機(jī)構(gòu)答案：C128.A5-268以下哪一種控制可以最有效地檢測(cè)網(wǎng)絡(luò)傳輸中的錯(cuò)誤群?A、奇偶校驗(yàn)B、回送檢查C、塊總和檢驗(yàn)D、循環(huán)冗余檢測(cè)答案：D129.A4-159除所有信息系統(tǒng)的備份注意事項(xiàng)外，為在線系統(tǒng)提供備份時(shí)以下哪一項(xiàng)是最重要的注意事項(xiàng)?A、保留系統(tǒng)軟件參數(shù)B、確保交易日志記錄定期轉(zhuǎn)儲(chǔ)C、確保祖一父一子文件備份D、在非現(xiàn)場(chǎng)位置保存重要數(shù)據(jù)答案：B130.A5-154為了適應(yīng)組織內(nèi)部不斷增多的移動(dòng)設(shè)備，信息系統(tǒng)管理部門最近用無(wú)線基礎(chǔ)架構(gòu)替換了現(xiàn)有的有限局域網(wǎng)。這將增加以下哪種攻擊風(fēng)險(xiǎn)?A、)端口掃描B、后門C、中間人攻擊D、戰(zhàn)爭(zhēng)駕駛答案：D131.某企業(yè)正在開(kāi)發(fā)一種新的采購(gòu)系統(tǒng)，但進(jìn)度落后于預(yù)定計(jì)劃。因此，有人提議將原定的測(cè)試階段時(shí)間縮短。項(xiàng)目經(jīng)理向IS審計(jì)師詢問(wèn)如何降低測(cè)試時(shí)間縮短可能帶來(lái)的風(fēng)險(xiǎn)。以下哪種風(fēng)險(xiǎn)緩解策略較為合適？A、測(cè)試并發(fā)布功能被簡(jiǎn)化的試用系統(tǒng)。B、針對(duì)最嚴(yán)重的功能性缺陷進(jìn)行修復(fù)及重新測(cè)試。C、取消開(kāi)發(fā)團(tuán)隊(duì)計(jì)劃進(jìn)行的測(cè)試,直接進(jìn)行驗(yàn)收測(cè)試。D、使用一種測(cè)試工具自動(dòng)進(jìn)行缺陷跟蹤。答案：A132.下面哪一項(xiàng)是最佳的數(shù)據(jù)完整性檢查?A、將數(shù)據(jù)追溯至源點(diǎn)B、計(jì)算每天處理的交易量C、準(zhǔn)備和運(yùn)行測(cè)試數(shù)據(jù)D、執(zhí)行連續(xù)性檢查答案：A133.被審計(jì)方已告知信息系統(tǒng)審計(jì)師，資金沒(méi)有按照審計(jì)報(bào)告中商定的建議進(jìn)行安排，且沒(méi)有預(yù)計(jì)的解決時(shí)間計(jì)劃，審計(jì)師應(yīng)對(duì)此情況應(yīng)采取什么方法?A、在無(wú)法實(shí)施完整解決方案的情況下評(píng)估風(fēng)險(xiǎn)B、關(guān)閉該審計(jì)發(fā)現(xiàn)并記錄被審計(jì)方的解釋C、獲得內(nèi)部審計(jì)批準(zhǔn)，并把審計(jì)發(fā)現(xiàn)從報(bào)告中刪除D、建議增加預(yù)算答案：A134.A3-97一名信息系統(tǒng)審計(jì)師受指派審計(jì)某軟件開(kāi)發(fā)項(xiàng)目，該項(xiàng)目完成了80%以上，但是已經(jīng)超時(shí)10%，超出成本25%。該信息系統(tǒng)審計(jì)師應(yīng)采取以下哪項(xiàng)行動(dòng)?A、對(duì)組織未進(jìn)行有效的項(xiàng)目管理進(jìn)行報(bào)告B、建議更換項(xiàng)目經(jīng)理C、審查IT治理結(jié)構(gòu)D、審查業(yè)務(wù)案例和項(xiàng)目管理答案：D135.A2-101審計(jì)電子資金轉(zhuǎn)賬系統(tǒng)時(shí)，信息系統(tǒng)審計(jì)師是最應(yīng)該關(guān)注以下哪種用戶配置文件?A、能夠獲取并驗(yàn)證他們自己信息的3個(gè)用戶B、能夠獲取并發(fā)送他們自己信息的5個(gè)用戶C、能夠驗(yàn)證其他用戶并發(fā)送他們自己信息的5個(gè)用戶D、能夠獲取并驗(yàn)證其他用戶的信息，并發(fā)送他們自己信息的3個(gè)用戶答案：A136.【重要題】在審查安全政策的開(kāi)發(fā)過(guò)程時(shí)，以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師要驗(yàn)證的最重要的內(nèi)容?A、管理層批準(zhǔn)的證據(jù)B、關(guān)鍵利益相關(guān)人員積極參與的證據(jù)C、企業(yè)風(fēng)險(xiǎn)管理系統(tǒng)的輸出D、控制框架的確認(rèn)答案：B137.【重要題】在下一年選擇進(jìn)行哪些信息系統(tǒng)審計(jì)的主要依據(jù)是什么?A、上一年的審計(jì)發(fā)現(xiàn)結(jié)果B、高層管理層的要求C、組織風(fēng)險(xiǎn)評(píng)估D、以前的審計(jì)范圍答案：C138.以下哪項(xiàng)應(yīng)該包含在審計(jì)章程中？（公司的審計(jì)章程因該）：A、定義審計(jì)師訪的信息訪問(wèn)權(quán)限B、詳述審計(jì)目標(biāo)C、包括信息系統(tǒng)審計(jì)計(jì)劃D、提出企業(yè)的IT戰(zhàn)略答案：A139.A2-60信息系統(tǒng)控制目標(biāo)對(duì)于信息系統(tǒng)審計(jì)師來(lái)說(shuō)非常有用。它們?yōu)閷徲?jì)師了解以下哪個(gè)方面奠定了基礎(chǔ)?A、實(shí)施特定控制流程的預(yù)期結(jié)果或目的B、與特定實(shí)體相關(guān)的最佳信息系統(tǒng)安全控制實(shí)務(wù)C、保證信息安全的技術(shù)D、安全政策答案：A140.A2-71某信息系統(tǒng)審計(jì)師應(yīng)要求審查針對(duì)某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后是否遵守合同條款的最佳途徑是什么?A、要求供應(yīng)商提供月度狀況報(bào)告B、與客戶IT經(jīng)理定期召開(kāi)會(huì)議C、對(duì)供應(yīng)商進(jìn)行定期審計(jì)檢查D、要求在合同中明確性能參數(shù)答案：C141.【重要題】以下哪一項(xiàng)可以提供最佳證據(jù)表明云提供商變更管理流程的有效性?A、供應(yīng)商提供的變更管理政策的副本B、供應(yīng)商提供的第三方審查結(jié)果C、供應(yīng)商EO和IO的書面保證D、與供應(yīng)商定期進(jìn)行變更管理會(huì)議的會(huì)議記錄答案：B142.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應(yīng)該做的是什么?A、禁止該員工的系統(tǒng)訪問(wèn)權(quán)限B、審查之前該員工批準(zhǔn)的交易C、人員陪同下離開(kāi)工作場(chǎng)所D、給員工電腦做備份答案：A143.數(shù)據(jù)分類的第一步?A、盤點(diǎn)數(shù)據(jù)資產(chǎn)B、確定風(fēng)險(xiǎn)偏好C、定義數(shù)據(jù)所有權(quán)D、確定敏感度水平答案：A144.以下哪一項(xiàng)是實(shí)施分散式IT治理模型最主要的原因?A、實(shí)現(xiàn)標(biāo)準(zhǔn)化和規(guī)模經(jīng)濟(jì)B、實(shí)現(xiàn)各業(yè)務(wù)部門的統(tǒng)一性C、促進(jìn)各業(yè)務(wù)部門之間的IT協(xié)作D、有利于對(duì)業(yè)務(wù)需求有更快的響應(yīng)答案：D145.A4-67以下哪個(gè)選項(xiàng)能夠最好地證明組織災(zāi)難恢復(fù)能力就緒情況?A、有災(zāi)難恢復(fù)計(jì)劃B、有備用站點(diǎn)提供商的客戶參考C、有維持RP的流程D、有測(cè)試及練習(xí)結(jié)果答案：D146.被審計(jì)單位跟蹤之前審計(jì)發(fā)現(xiàn)只進(jìn)行了部分審計(jì)整改措施，審計(jì)師首先應(yīng)該()A、匯報(bào)管理層B、評(píng)估剩余未解決問(wèn)題風(fēng)險(xiǎn)C、審查是否有補(bǔ)償性控制臨時(shí)解決問(wèn)題D、確保為解決問(wèn)題仍記錄在審計(jì)保告中答案：C147.A3-123信息系統(tǒng)審計(jì)師需驗(yàn)證應(yīng)用發(fā)布后是否有完成實(shí)施后審查流程的主要原因是什么?A、確保用戶經(jīng)過(guò)適當(dāng)培訓(xùn)B、驗(yàn)證項(xiàng)目在預(yù)算范圍之內(nèi)C、核實(shí)項(xiàng)目達(dá)到預(yù)期D、確定是否已實(shí)施適當(dāng)?shù)目刂拼胧┐鸢福篊148.加密磁帶備份最怕什么？(如果題干改為：加密備份資料最怕什么?則選A)A、密鑰丟失B、消磁C、備份發(fā)生錯(cuò)誤答案：B149.A1-122在一項(xiàng)基于風(fēng)險(xiǎn)的信息系統(tǒng)審計(jì)中，固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)均已被評(píng)定為高，信息系統(tǒng)審計(jì)師最有可能通過(guò)額外執(zhí)行以下哪一項(xiàng)來(lái)彌補(bǔ)這種情況?A、停止或繼續(xù)抽樣B、實(shí)質(zhì)性測(cè)試C、符合性測(cè)試D、發(fā)現(xiàn)抽樣答案：B150.A3-80某公司實(shí)施了一套新的客戶端/服務(wù)器型企業(yè)資源規(guī)劃(ERP)系統(tǒng)。各地分支機(jī)構(gòu)會(huì)將客戶訂單傳動(dòng)到中央生產(chǎn)設(shè)備。以下哪一項(xiàng)能夠最有效地確保準(zhǔn)確處理這些訂單并生產(chǎn)相應(yīng)的產(chǎn)品?A、對(duì)照客戶訂單驗(yàn)證生產(chǎn)B、將所有客戶訂單計(jì)入ERP系統(tǒng)C、在訂單傳送過(guò)程中使用散列總計(jì)D、在生產(chǎn)之前審批(由生產(chǎn)監(jiān)督人員)訂單答案：A151.A1-129中央防病毒系統(tǒng)在允許個(gè)人電腦接入網(wǎng)絡(luò)之前，確定每臺(tái)PC是否具有最新的病毒定義文件，并安裝最新的病毒定義文件。本示例屬于以下哪一項(xiàng)?A、指令性控制B、改正性控制C、補(bǔ)償性控制D、檢測(cè)性控制答案：B152.在Web應(yīng)用中，包含以下哪一項(xiàng)可以保證最高的安全性A、SSLB、SFTPC、TelnetD、TLS答案：D153.A1-80某信息系統(tǒng)審計(jì)師審查某遠(yuǎn)程管理服務(wù)器某天的日志時(shí)，發(fā)現(xiàn)了日志記錄失敗且無(wú)法確認(rèn)備份重啟的情況。該信息系統(tǒng)審計(jì)師應(yīng)該怎樣做?A、發(fā)布審計(jì)發(fā)現(xiàn)B、向IS管理人員尋求解釋C、審查服務(wù)器上的數(shù)據(jù)分類D、擴(kuò)大審計(jì)的日志樣本范圍答案：D154.A4-215設(shè)計(jì)應(yīng)對(duì)潛在自然災(zāi)害的數(shù)據(jù)備份策略時(shí)，以下哪一項(xiàng)最有幫助?A、恢復(fù)點(diǎn)目標(biāo)B、需要備份的數(shù)據(jù)量C、可用的數(shù)據(jù)備份技術(shù)D、恢復(fù)時(shí)間目標(biāo)答案：A155.A3-57與自上而下測(cè)試法相比，使用自下而上軟件測(cè)試法的優(yōu)點(diǎn)是：A、能夠提早發(fā)現(xiàn)接口錯(cuò)誤B、能夠提早樹(shù)立對(duì)系統(tǒng)的信心C、能夠提早檢測(cè)出關(guān)鍵模塊中的錯(cuò)誤D、能夠提早測(cè)試主要功能和處理答案：C156.業(yè)務(wù)流程再造(BPR)過(guò)程中,IT可協(xié)助A、職責(zé)分離B、總擁有成本C、集中于增值任務(wù)D、使任務(wù)流程化答案：D157.A4-73以下哪項(xiàng)連續(xù)性計(jì)劃測(cè)試可模擬系統(tǒng)崩潰并使用實(shí)際資源，以便經(jīng)濟(jì)高效地獲取有關(guān)計(jì)劃有效性的證據(jù)?A、紙上測(cè)試B、事后測(cè)試C、準(zhǔn)備情況測(cè)試D、瀏覽審查答案：C158.A2-8在對(duì)業(yè)務(wù)流程再造(BPR)工作進(jìn)行審查時(shí)，以下哪一項(xiàng)是主要關(guān)注的問(wèn)題?A、簡(jiǎn)化PR工作消除了控制B、資源不足以支持PR流程C、審計(jì)部門在PR中沒(méi)有咨詢職責(zé)D、PR工作納入了該流程領(lǐng)域知識(shí)有限的員工。答案：A159.在審查用戶賬戶政策時(shí)，信息系統(tǒng)審計(jì)師的最大擔(dān)憂是什么?A、員工辭職后，沒(méi)有撤銷其系統(tǒng)訪問(wèn)權(quán)限的相關(guān)政策B、當(dāng)員工更改角色時(shí)，沒(méi)有任何政策可以撤銷以前的訪問(wèn)權(quán)限C、沒(méi)有要求員工簽署保密協(xié)議NDA的相關(guān)政策D、沒(méi)有針對(duì)安全意識(shí)培訓(xùn)的政策答案：B160.防止同時(shí)使用軟件許可的最佳措施?A、用戶自律B、供應(yīng)商實(shí)施突擊審計(jì)C、系統(tǒng)管理員實(shí)施監(jiān)控D、計(jì)量軟件答案：D161.A5-117網(wǎng)站證書的主要目的是:A、驗(yàn)證要瀏覽的網(wǎng)站B、驗(yàn)證瀏覽站點(diǎn)的用戶C、阻止黑客瀏覽網(wǎng)站D、與數(shù)字證書的目的相同答案：A162.A5-89確保發(fā)送者在以后無(wú)法否認(rèn)生成和發(fā)送消息的數(shù)字簽名特征稱為：A、數(shù)據(jù)完整性B、身份認(rèn)證C、不可否認(rèn)性D、重放保護(hù)答案：C163.管理層向各利益部門相關(guān)方發(fā)送IT控制措施的目的：A、關(guān)注IT治理B、IT控制成本透明化C、優(yōu)化項(xiàng)目組合管理D、優(yōu)化IT控制答案：D164.A3-52執(zhí)行事后審查的主要目的是提供機(jī)會(huì)：A、改進(jìn)內(nèi)部控制程序B、將網(wǎng)絡(luò)強(qiáng)化到行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)C、向管理層強(qiáng)調(diào)事故響應(yīng)管理的重要性D、提高員工對(duì)事故響應(yīng)過(guò)程的認(rèn)識(shí)程度答案：A165..以下哪一項(xiàng)最能保護(hù)在多個(gè)辦公地點(diǎn)之間傳輸?shù)拿舾袛?shù)據(jù)機(jī)密性?A、PKIB、數(shù)字簽名C、哈希D、Kereros答案：A166.信息系統(tǒng)IS的戰(zhàn)略規(guī)劃應(yīng)涵蓋：A、分析公司未來(lái)需求B、制定開(kāi)發(fā)項(xiàng)目的目標(biāo)進(jìn)程C、制定未來(lái)技術(shù)平臺(tái)的規(guī)范。D、審查年度預(yù)算答案：A167.A5-129某信息系統(tǒng)審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個(gè)領(lǐng)域值得關(guān)注。以下哪個(gè)領(lǐng)域最重要?A、緊急斷電按鈕蓋不見(jiàn)了B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)C、數(shù)據(jù)中心沒(méi)有安全攝像頭D、緊急出口被阻塞答案：D168.要實(shí)施IT治理框架，董事會(huì)需要做到？A、解決IT技術(shù)問(wèn)題B、成立IT戰(zhàn)略委員會(huì)C、審計(jì)IT戰(zhàn)略D、了解所有IT項(xiàng)目發(fā)展答案：B169.規(guī)劃審計(jì)時(shí)，對(duì)重要性進(jìn)行評(píng)估的作用是：A、可排除小錯(cuò)誤的累計(jì)效應(yīng)B、幫助審計(jì)集中在關(guān)鍵領(lǐng)域C、在審計(jì)測(cè)試完成時(shí)告知審計(jì)師D、集中于財(cái)務(wù)方面的項(xiàng)目答案：B170.哪項(xiàng)是解決互聯(lián)網(wǎng)數(shù)據(jù)安全的選項(xiàng)：A、telnet(遠(yuǎn)程登錄)B、SSL(SeureSoketsLyer安全套層)C、SFTP(SHHfilethnsferD、protol/seretfiletrnferprotool)答案：B171.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類型的檢查A、有效性檢查B、完整性檢查C、存在性檢查D、可排除答案：A172.以下哪種情況會(huì)增加欺詐行為的可能性？A、應(yīng)用程序開(kāi)發(fā)人員正在執(zhí)行對(duì)生產(chǎn)程序的變更。B、管理員正在對(duì)供應(yīng)商提供的軟件實(shí)施供應(yīng)商補(bǔ)丁，但沒(méi)有遵守變更控制流程。C、操作支持人員正在執(zhí)行對(duì)批量計(jì)劃的變更。D、數(shù)據(jù)庫(kù)管理員正在執(zhí)行對(duì)數(shù)據(jù)結(jié)構(gòu)的變更。答案：A173.如何確認(rèn)批量作業(yè)（batchjobupdate）成功完成？A、驗(yàn)證作業(yè)日志的時(shí)間戳B、抽樣檢查部分作業(yè)是否完成C、查看作業(yè)配置D、檢查工作日程表答案：A174.A4-94審計(jì)自動(dòng)化系統(tǒng)時(shí)，不是每次都能夠確認(rèn)責(zé)任人和報(bào)告層級(jí)關(guān)系的，因?yàn)椋篈、多種多樣的控制能夠?qū)е滤袡?quán)不相關(guān)B、員工習(xí)慣于頻繁更換工作C、共享資源的領(lǐng)域很難確定所有權(quán)D、隨著技術(shù)的飛速發(fā)展，職務(wù)變動(dòng)頻繁答案：C175.【重要題】.被審計(jì)單位跟蹤之前審計(jì)發(fā)現(xiàn)只進(jìn)行了部分審計(jì)整改措施，審計(jì)師首先應(yīng)該()A、匯報(bào)管理層B、評(píng)估剩余未解決問(wèn)題風(fēng)險(xiǎn)C、審查是否有補(bǔ)償性控制臨時(shí)解決問(wèn)題D、確保為解決問(wèn)題仍記錄在審計(jì)保告中答案：C176.當(dāng)確定審計(jì)日志的數(shù)據(jù)保留期時(shí)，最基礎(chǔ)的因素是什么A、計(jì)算機(jī)取證的原則B、審計(jì)標(biāo)準(zhǔn)C、風(fēng)險(xiǎn)控制D、法規(guī)要求答案：D177.以下哪一項(xiàng)是數(shù)據(jù)分類流程的最重要成果？A、確定的保護(hù)級(jí)別B、全面的數(shù)據(jù)資產(chǎn)清單C、數(shù)據(jù)的訪問(wèn)控制矩陣D、增強(qiáng)的數(shù)據(jù)訪問(wèn)日志答案：C178.A4-78下列哪種情況最適于將實(shí)施數(shù)據(jù)鏡像作為恢復(fù)策略?A、容災(zāi)能力很高B、恢復(fù)時(shí)間目標(biāo)很高C、恢復(fù)點(diǎn)目標(biāo)很低D、恢復(fù)點(diǎn)目標(biāo)很高答案：C179.【重要題】信息系統(tǒng)審計(jì)師發(fā)現(xiàn)在某安全的位置有一箱早該物理銷毀的硬盤驅(qū)動(dòng)器，負(fù)責(zé)此項(xiàng)任務(wù)的供應(yīng)商從來(lái)沒(méi)有意識(shí)到這些硬盤。以下哪項(xiàng)是解決這個(gè)問(wèn)題的最A(yù)、佳行動(dòng)?B、檢查工作流程以確定資產(chǎn)處理責(zé)任中C、的漏洞D、N答案：A180.A5-127某組織網(wǎng)絡(luò)電話包網(wǎng)絡(luò)中有大量的通信被重新路由。該組織認(rèn)為其已遭到竊聽(tīng)。以下哪一項(xiàng)可能導(dǎo)致VoIP通信遭到竊聽(tīng)?A、以太網(wǎng)交換機(jī)中的地址解析協(xié)議緩存損壞B、在虛擬電話交換機(jī)上使用默認(rèn)管理員密碼C、在未啟用加密的情況下部署虛擬局域網(wǎng)D、最終用戶有權(quán)訪問(wèn)分組嗅探器應(yīng)用程序等軟件工具答案：A181.實(shí)施新的應(yīng)用程序軟件包(或第三方應(yīng)用)，最大的風(fēng)險(xiǎn)是?A、參數(shù)配置錯(cuò)誤B、沒(méi)有審計(jì)軌跡C、交易量過(guò)大D、交易敏感度高答案：A182.A5-166如果某個(gè)小型組織的應(yīng)用程序編程人員有權(quán)將程序移入生產(chǎn)環(huán)境，應(yīng)實(shí)施以下哪項(xiàng)控制來(lái)降低內(nèi)部欺詐風(fēng)險(xiǎn)?A、實(shí)施后功能測(cè)試B、登記和審查變更C、驗(yàn)證用戶要求D、用戶驗(yàn)收測(cè)試答案：B183.A3-140以下哪項(xiàng)可以幫助信息系統(tǒng)審計(jì)師評(píng)估已開(kāi)發(fā)并實(shí)施的新軟件的質(zhì)量?A、報(bào)告故障的平均間隔時(shí)間B、修復(fù)故障的總體平均時(shí)間C、首次報(bào)告的故障平均間隔時(shí)間D、修復(fù)故障的總體響應(yīng)時(shí)間答案：C184.某小型公司無(wú)法隔離開(kāi)發(fā)流程與變更控制職能之間的職責(zé)。確保經(jīng)過(guò)測(cè)試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么？A、發(fā)布管理軟件B、手動(dòng)代碼比對(duì)C、生產(chǎn)前回歸測(cè)試D、管理層批準(zhǔn)變更答案：A185.A2-152IT督導(dǎo)委員會(huì)應(yīng)該:A、成員包括不同部門的各級(jí)員工B、確保信息安全政策和程序已正確執(zhí)行C、維護(hù)委員會(huì)的會(huì)議紀(jì)要，并及時(shí)向董事會(huì)匯報(bào)D、由供應(yīng)商在每次會(huì)議上對(duì)新趨勢(shì)和產(chǎn)品做簡(jiǎn)短介紹答案：C186.貨幣單位抽樣法的優(yōu)點(diǎn)之一是：A、當(dāng)計(jì)算機(jī)資源不可用時(shí)，可以輕松地手動(dòng)應(yīng)用B、可排除C、增加從總體選擇實(shí)質(zhì)的項(xiàng)目的可能性D、隔離并單獨(dú)審計(jì)高價(jià)值總體項(xiàng)目答案：D187.數(shù)據(jù)庫(kù)管理員發(fā)現(xiàn)一些表的性能問(wèn)題可以通過(guò)反向規(guī)格化（denormalization）來(lái)解決。這種情況下會(huì)增加哪像風(fēng)險(xiǎn)()?A、同時(shí)并行訪問(wèn)B、死鎖C、非授權(quán)的數(shù)據(jù)訪問(wèn)D、數(shù)據(jù)完整性的丟失答案：D188.銀行對(duì)計(jì)算利息的計(jì)算機(jī)程序做了很小的改動(dòng)，哪一項(xiàng)能最好的確定利息計(jì)算是否正確A、審查源代碼B、使用審計(jì)軟件進(jìn)行并行模擬C、手動(dòng)驗(yàn)證結(jié)果樣本D、審查QA測(cè)試結(jié)果答案：B189.在開(kāi)始后續(xù)的跟蹤審計(jì)時(shí)，審計(jì)師應(yīng)該先（如沒(méi)有D選項(xiàng)，則選E）A、審查上次審計(jì)的工作底稿B、與被審計(jì)單位討論補(bǔ)救進(jìn)展情況C、收集補(bǔ)救證據(jù)，以此來(lái)執(zhí)行控制測(cè)試D、審查上次的審計(jì)結(jié)果和行動(dòng)計(jì)劃E、評(píng)估上次審計(jì)的殘余風(fēng)險(xiǎn)答案：D190.A3-61若要在短期內(nèi)實(shí)施新系統(tǒng)，最重要的是：A、完成用戶手冊(cè)的編寫B(tài)、執(zhí)行用戶驗(yàn)收測(cè)試C、將最新的增強(qiáng)功能添加到功能中D、確保代碼已存檔并已審核答案：B191.A4-84一名信息系統(tǒng)審計(jì)師執(zhí)行應(yīng)用程序維護(hù)審計(jì)時(shí)，將審查程序變更日志，以便了解：A、程序變更的授權(quán)情況B、當(dāng)前目標(biāo)模塊的創(chuàng)建日期C、程序的實(shí)際改動(dòng)量D、當(dāng)前源程序的創(chuàng)建日期答案：A192.在某醫(yī)院中，醫(yī)務(wù)人員攜帶存有病人健康狀況數(shù)據(jù)的手持式電腦。這些手持式電腦與可從醫(yī)院數(shù)據(jù)庫(kù)傳輸數(shù)據(jù)的PC同步。以下哪項(xiàng)措施最重要？A、手持式電腦得到了妥善保護(hù)，可在發(fā)生盜竊或丟失時(shí)仍能保證數(shù)據(jù)的機(jī)密性。B、在使用后刪除本地PC中臨時(shí)文件的員工具有維護(hù)PC的權(quán)限。C、通過(guò)制定政策和流程來(lái)確保同步能夠及時(shí)進(jìn)行。D、手持式電腦的使用得到醫(yī)院政策的允許。答案：A193.以下哪一項(xiàng)是表明高級(jí)管理層審查了IT表現(xiàn)的最佳證據(jù)？A、執(zhí)行管理委員會(huì)會(huì)議紀(jì)要B、IT戰(zhàn)術(shù)規(guī)劃C、平衡積分卡D、關(guān)鍵性IT表現(xiàn)指標(biāo)答案：C194.在審計(jì)生命周期的哪個(gè)階段適合與客戶討論初步審計(jì)意見(jiàn)A、執(zhí)行階段B、報(bào)告階段C、規(guī)劃階段D、跟蹤階段答案：B195.以下哪項(xiàng)最能確保信息資產(chǎn)的機(jī)密性？A、按照“按需分配”的訪問(wèn)控制原則B、采用雙因素身份認(rèn)證控制C、人員安全意識(shí)培訓(xùn)D、為所有用戶配置只讀權(quán)限答案：A196.作為企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的一部分，在將新業(yè)務(wù)應(yīng)用程序部署到已托管遺留應(yīng)用程序的服務(wù)器后，服務(wù)器的高可用性戰(zhàn)略得到加強(qiáng)。以下哪一項(xiàng)是這一變更最可能的原因?A、更短的RPOB、更短的RTOC、更長(zhǎng)的RTOD、更長(zhǎng)的RPO答案：B197.A3-43以下哪項(xiàng)最有可能是實(shí)施標(biāo)準(zhǔn)化基礎(chǔ)設(shè)施的好處?A、提高IT服務(wù)交付和運(yùn)作支持的成本效益B、提高IT服務(wù)交付中心的安全性C、降低在IT基礎(chǔ)設(shè)施方面的投資D、減少未來(lái)對(duì)應(yīng)用程序變更進(jìn)行測(cè)試的需要答案：A198.A5-260以下哪項(xiàng)是對(duì)移動(dòng)設(shè)備進(jìn)行加密的最佳方法?A、橢圓曲線加密算法B、數(shù)據(jù)加密標(biāo)準(zhǔn)C、高級(jí)加密標(biāo)準(zhǔn)D、lowfish算法答案：A199.A5-173審查客戶端/服務(wù)器環(huán)境的訪問(wèn)控制的信息系統(tǒng)審計(jì)師應(yīng)該首先：A、評(píng)估加密技術(shù)B、識(shí)別網(wǎng)絡(luò)接入點(diǎn)C、審查身份管理系統(tǒng)D、審查應(yīng)用程序級(jí)訪問(wèn)控制答案：B200.A1-62在程序變更控制的評(píng)估期間，信息系統(tǒng)審計(jì)師使用源代碼比較軟件的目的是：A、在不需要信息系統(tǒng)人員提供信息的情況下，檢查源程序的變更B、檢測(cè)源程序從獲得源的副本到比較運(yùn)行這段時(shí)間內(nèi)所經(jīng)歷的變更C、確定控制副本是當(dāng)前版本的生產(chǎn)程序D、確保當(dāng)前源副本中的所有變更已經(jīng)過(guò)測(cè)試答案：A201.審計(jì)師對(duì)外包業(yè)務(wù)進(jìn)行審查，最先查?A、合同是否支持業(yè)務(wù)需求B、合同中有沒(méi)有審計(jì)條款C、合同中包含終止后提供支持D、合同是否符合行業(yè)最佳實(shí)踐答案：A202.A5-277以下哪項(xiàng)能夠在最大限度上限制分布環(huán)境中服務(wù)器故障的影響?A、冗余路徑B、群集C、撥號(hào)備份線路D、備用電源答案：B203..當(dāng)信息系統(tǒng)審計(jì)師期望零偏差或很少偏差時(shí)，使用以下哪種抽樣技術(shù)最適合?A、發(fā)現(xiàn)抽樣B、隨機(jī)抽樣C、停走抽樣D、貨幣單位抽樣答案：A204.信息系統(tǒng)審計(jì)師應(yīng)該會(huì)在下列哪一個(gè)SDLC階段，發(fā)現(xiàn)控制措施已集成到系統(tǒng)規(guī)范中？A、實(shí)施B、設(shè)計(jì)C、開(kāi)發(fā)D、可行性研究答案：B205.在評(píng)估企業(yè)的漏洞掃描計(jì)劃時(shí)，以下哪項(xiàng)是審計(jì)師的最大顧慮？A、漏洞掃描頻率低于漏洞掃描計(jì)劃要求B、結(jié)果沒(méi)有報(bào)告給有權(quán)確保解決相關(guān)漏洞的人C、未記錄針對(duì)已識(shí)別漏洞所采取的步驟D、結(jié)果沒(méi)有得到高級(jí)管理層批準(zhǔn)答案：B206.A1-56選擇審計(jì)程序時(shí)，信息系統(tǒng)審計(jì)師運(yùn)用自己的專業(yè)性判斷，以確保：A、收集充分的證據(jù)B、重大缺陷在合理期限內(nèi)得到糾正C、識(shí)別出所有嚴(yán)重缺漏D、將審計(jì)成本控制在最低水平答案：A207.IT審計(jì)師在審查第三方供應(yīng)商報(bào)告的KPI。以下哪項(xiàng)是審計(jì)師的最大擔(dān)憂?A、KPI數(shù)據(jù)未加以分析B、KPI從未進(jìn)行更新C、文檔相關(guān)的，可排除D、KPI沒(méi)有明確定義答案：D208.以下哪一項(xiàng)最好地保證了醫(yī)療機(jī)構(gòu)正確處理了數(shù)據(jù)?A、遵守審計(jì)提出的問(wèn)題進(jìn)行整改B、遵從行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐C、遵從企業(yè)的政策和程序D、遵從當(dāng)?shù)胤珊头ㄒ?guī)答案：D209.【重要題】哪項(xiàng)風(fēng)險(xiǎn)對(duì)抽樣方法的選擇影響最大?A、固有風(fēng)險(xiǎn)B、殘余風(fēng)險(xiǎn)C、檢測(cè)風(fēng)險(xiǎn)D、控制風(fēng)險(xiǎn)答案：D210.下列哪些病毒防護(hù)技術(shù)能夠通過(guò)硬件實(shí)施A、遠(yuǎn)程啟動(dòng)B、啟發(fā)式掃描C、行為阻斷D、免疫答案：A211.A2-6以下哪個(gè)選項(xiàng)是實(shí)施政策對(duì)IT員工兼職就業(yè)設(shè)置條件原因?A、防止濫用公司資源B、防止出現(xiàn)利益沖突C、防止出現(xiàn)員工績(jī)效問(wèn)題D、防止IT資產(chǎn)遭到盜竊答案：B212.【重要題】.IT指導(dǎo)委員會(huì)應(yīng)該采取哪項(xiàng)措施來(lái)幫助董事會(huì)履行IT治理職責(zé)?A、制定IT政策和措施來(lái)跟蹤項(xiàng)目B、聚焦在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項(xiàng)目和IT資源的分配情況D、實(shí)施IT戰(zhàn)略答案：D213.企業(yè)的操作人員未執(zhí)行年末財(cái)務(wù)報(bào)表的自動(dòng)腳本，以下哪項(xiàng)措施可以起到很好的作用A、培訓(xùn)操作人員B、選擇有經(jīng)驗(yàn)的財(cái)務(wù)人員加入操作團(tuán)隊(duì)C、實(shí)施封閉檢查清單(Closingchecklist)D、更新操作手冊(cè)答案：C214.某個(gè)大型組織正在對(duì)下一年度的IT項(xiàng)目進(jìn)行優(yōu)先級(jí)排序。排序的依據(jù)應(yīng)該：A、根據(jù)項(xiàng)目的成本效益分析結(jié)果。B、根據(jù)組織下一年度的IT資源情況。C、根據(jù)項(xiàng)目的投資額大小。D、根據(jù)技術(shù)的先進(jìn)性答案：A215.以下哪一項(xiàng)是用以確定執(zhí)行跟蹤審計(jì)過(guò)程時(shí)間表的最重要標(biāo)準(zhǔn)？A、審計(jì)發(fā)現(xiàn)結(jié)果的風(fēng)險(xiǎn)暴露B、審計(jì)資源的可用性C、被審計(jì)方的時(shí)間允許D、下一次審計(jì)之間的協(xié)調(diào)答案：A216.A1-55在信息系統(tǒng)審計(jì)的計(jì)劃階段，信息系統(tǒng)審計(jì)師的主要目標(biāo)是：A、達(dá)到審計(jì)目標(biāo)B、收集足夠的證據(jù)C、指定適當(dāng)?shù)臏y(cè)試D、盡可能少使用審計(jì)資源答案：A217.保護(hù)信息資產(chǎn)的機(jī)密性時(shí)，最有效的控制措施是：分值5分A、采用雙因素身份驗(yàn)證機(jī)制。B、開(kāi)展有關(guān)法規(guī)要求的人員意識(shí)培訓(xùn)。C、執(zhí)行按需分配制訪問(wèn)控制理念D、為全部用戶配置只讀權(quán)限答案：C218.通過(guò)哪種方式，信息系統(tǒng)審計(jì)師可以有效評(píng)估整體IT性能A、IT價(jià)值分析B、以往審計(jì)報(bào)告C、IT平衡積分卡D、漏洞評(píng)估報(bào)告答案：C219.A5-1Web應(yīng)用程序開(kāi)發(fā)人員有時(shí)在網(wǎng)頁(yè)上使用隱藏字段來(lái)保護(hù)有關(guān)客戶會(huì)話信息。在某些情況下，這種技術(shù)用于存儲(chǔ)持續(xù)存在多個(gè)網(wǎng)頁(yè)的會(huì)話變量，例如，在零售網(wǎng)站應(yīng)用程序中保存購(gòu)物車的內(nèi)容。此種做法最有可能導(dǎo)致的基于Web的攻擊是：A、/參數(shù)篡改B、跨站點(diǎn)腳本C、ookie篡改D、隱藏命令執(zhí)行答案：A220.在開(kāi)發(fā)新的財(cái)務(wù)應(yīng)用程序時(shí)，信息系統(tǒng)審計(jì)師首先應(yīng)參與A、控制設(shè)計(jì)B、可行性研究C、系統(tǒng)測(cè)試D、應(yīng)用程序設(shè)計(jì)答案：B221.A3-71以下哪種測(cè)試能夠確定新系統(tǒng)或修改后的系統(tǒng)能夠在其目標(biāo)環(huán)境中運(yùn)行，并且不會(huì)對(duì)其他現(xiàn)有系統(tǒng)產(chǎn)生不利影響?A、并行測(cè)試B、試點(diǎn)測(cè)試C、接口/集成測(cè)試D、社交性測(cè)試答案：D222..以下哪一項(xiàng)管理層決策會(huì)帶來(lái)與數(shù)據(jù)泄漏相關(guān)的最大風(fēng)險(xiǎn)?A、安全政策在過(guò)去一年沒(méi)有更新B、允許員工可以遠(yuǎn)程工作C、不為員工提供安全意識(shí)培訓(xùn)D、不要求對(duì)桌面電腦進(jìn)行加密答案：C223.當(dāng)企業(yè)實(shí)施安全信息和事件管理（SIEM）系統(tǒng)時(shí)，建立了哪一種控制類型A、檢測(cè)性B、改正性C、指導(dǎo)性D、預(yù)防性答案：A224.A5-285在一家小型組織中,某位員工負(fù)責(zé)計(jì)算機(jī)操作，并在必要情況下，還負(fù)責(zé)修改程序。該信息系統(tǒng)審計(jì)師應(yīng)建議以下哪個(gè)選項(xiàng)?A、自動(dòng)記錄對(duì)開(kāi)發(fā)庫(kù)的更改B、增加員工，從而可以分離職責(zé)C、確保只有經(jīng)過(guò)審批的流程的更改能得以實(shí)施D、設(shè)立訪問(wèn)控制以防止操作員修改程序答案：C225.A5-222以下哪項(xiàng)是減輕針對(duì)互聯(lián)網(wǎng)銀行應(yīng)用程序的域欺騙攻擊的最佳控制?A、用戶登記和密碼政策B、用戶安全意識(shí)C、使用入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)D、域名服務(wù)器安全強(qiáng)化答案：D226.【重要題】以下哪一項(xiàng)最使信息系統(tǒng)審計(jì)師向管理層表明實(shí)施后分析是有效的?A、吸取的經(jīng)驗(yàn)教訓(xùn)已記錄存檔并加以應(yīng)用B、業(yè)務(wù)和IT相關(guān)人員都參加到實(shí)施后分析中C、完成了后續(xù)審計(jì)，且沒(méi)有發(fā)現(xiàn)任何問(wèn)題D、實(shí)施后分析是系統(tǒng)開(kāi)發(fā)生命周期(SL)中的一個(gè)正式階段答案：A227.A4-62信息系統(tǒng)審計(jì)師在審查系統(tǒng)參數(shù)時(shí)，應(yīng)該主要考慮：A、參數(shù)設(shè)置滿足安全性和性能要求B、變更已記錄到審計(jì)軌跡中并定期進(jìn)行了審查C、變更經(jīng)過(guò)授權(quán)，并取得了相應(yīng)文檔的支持D、限制對(duì)系統(tǒng)參數(shù)的訪問(wèn)答案：A228.評(píng)估云環(huán)境下的應(yīng)用程序的控制措施時(shí)，審計(jì)師最應(yīng)關(guān)注以下那項(xiàng)？A、云環(huán)境下系統(tǒng)的可用性B、系統(tǒng)所支持的業(yè)務(wù)流程C、正在接受審計(jì)的業(yè)務(wù)領(lǐng)域的相關(guān)政策和程序D、系統(tǒng)結(jié)構(gòu)和云環(huán)境答案：B229.IS審計(jì)師要評(píng)估預(yù)防性維護(hù)程序的有效性，最有幫助的是：A、維護(hù)日志B、維護(hù)計(jì)劃C、停機(jī)時(shí)間記錄D、供應(yīng)商是否可靠答案：C230.A4-168某企業(yè)使用特權(quán)賬戶處理關(guān)鍵任務(wù)應(yīng)用程序的配置變更。此時(shí)，以下哪個(gè)選項(xiàng)屬于限制風(fēng)險(xiǎn)的最佳且恰當(dāng)?shù)目刂?A、確保審計(jì)軌跡正確具體B、確保人員經(jīng)過(guò)足夠的培訓(xùn)C、確保已對(duì)關(guān)鍵人員進(jìn)行人員背景調(diào)查D、確保管理層已對(duì)關(guān)鍵變更進(jìn)行審批和審查答案：D231.項(xiàng)目開(kāi)發(fā)階段，新增加了一個(gè)功能點(diǎn)，以下哪項(xiàng)影響最大?A、未滿足用戶需求B、項(xiàng)目關(guān)鍵路徑改變C、超出預(yù)算D、項(xiàng)目延遲完成答案：A232.在發(fā)生事故時(shí)，以下哪一項(xiàng)最有利于法律程序?A、根本原因分析(類似的描述，可排除)B、執(zhí)行電子取證的權(quán)利C、法律顧問(wèn)的建議D、保持保管鏈答案：D233.【重要題】要有效地建立企業(yè)IT結(jié)構(gòu)體系，以下哪一項(xiàng)最為重要：A、僅在體系結(jié)構(gòu)中包含關(guān)鍵系統(tǒng)B、企業(yè)支持標(biāo)準(zhǔn)化C、完善的數(shù)據(jù)轉(zhuǎn)移政策D、與其他組織體系結(jié)構(gòu)的對(duì)比答案：B234.組織想要評(píng)估IT系統(tǒng)之后，來(lái)實(shí)施財(cái)務(wù)審計(jì)(意思就是財(cái)務(wù)數(shù)據(jù)依賴于系統(tǒng)),那么IT審計(jì)師的實(shí)施流程是什么？A、先測(cè)試it一般控制(itgc),再測(cè)試主要itac(應(yīng)用控制)B、先測(cè)試主要itac(應(yīng)用控制),再測(cè)試it一般控制(itgc)C、先測(cè)試主要的財(cái)務(wù)應(yīng)用程序，再測(cè)試IT治理流程D、先測(cè)試明細(xì)賬，再測(cè)試總賬答案：A235.A5-219對(duì)IT系統(tǒng)實(shí)施滲透測(cè)試時(shí)，組織最應(yīng)關(guān)注以下哪項(xiàng)?A、報(bào)告的機(jī)密性B、找到系統(tǒng)中的所有漏洞C、將系統(tǒng)恢復(fù)為原始狀態(tài)D、記錄對(duì)生產(chǎn)系統(tǒng)進(jìn)行的更改答案：C236.哪種風(fēng)險(xiǎn)類型決定是否進(jìn)行實(shí)質(zhì)性測(cè)試：A、固有風(fēng)險(xiǎn)B、審計(jì)風(fēng)險(xiǎn)C、檢測(cè)風(fēng)險(xiǎn)D、控制風(fēng)險(xiǎn)答案：D237.A4-126評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃效能的最佳方法是審查：A、計(jì)劃并將其與適當(dāng)標(biāo)準(zhǔn)進(jìn)行比較B、先前的測(cè)試結(jié)果C、應(yīng)急流程和員工培訓(xùn)D、異地儲(chǔ)存和環(huán)境控制答案：B238.【重要題】可用性最好(容錯(cuò)率最高)的網(wǎng)絡(luò)結(jié)構(gòu)是：?(哪種網(wǎng)絡(luò)結(jié)構(gòu)最穩(wěn)定?)A、環(huán)狀B、網(wǎng)狀C、星形D、總線答案：B239.A4-136如果發(fā)生數(shù)據(jù)中心災(zāi)難,以下哪一項(xiàng)是能夠完全恢復(fù)關(guān)鍵數(shù)據(jù)庫(kù)的最適當(dāng)策略?A、每天將數(shù)據(jù)備份到磁帶并存儲(chǔ)于遠(yuǎn)程站點(diǎn)中B、實(shí)時(shí)復(fù)制到遠(yuǎn)程站點(diǎn)C、硬盤鏡像到本地服務(wù)器D、將數(shù)據(jù)實(shí)時(shí)備份到本次存儲(chǔ)區(qū)域網(wǎng)絡(luò)答案：B240.IS審計(jì)師正在審查某組織的人力資源（HR)數(shù)據(jù)庫(kù)的實(shí)施情況。IS審計(jì)師發(fā)現(xiàn):為獲得高可用性而群集數(shù)據(jù)庫(kù)服務(wù)器,所有默認(rèn)數(shù)據(jù)庫(kù)帳戶己刪除，并且已保留數(shù)據(jù)庫(kù)審計(jì)日志并每周審查一次。為確保適當(dāng)保護(hù)數(shù)據(jù)庫(kù)的安全，IS審計(jì)師還應(yīng)檢查哪些其他領(lǐng)域？A、限制數(shù)據(jù)庫(kù)管理員訪問(wèn)HR數(shù)據(jù)。B、數(shù)據(jù)庫(kù)日志經(jīng)過(guò)加密。C、數(shù)據(jù)庫(kù)存儲(chǔ)的程序經(jīng)過(guò)加密。D、數(shù)據(jù)庫(kù)初始化參數(shù)適當(dāng)。答案：D241.流程所有權(quán)分配在系統(tǒng)開(kāi)發(fā)項(xiàng)目中至關(guān)重要，原因是它：A、利于跟蹤開(kāi)發(fā)完成的百分比。B、優(yōu)化用戶驗(yàn)收測(cè)試(UAT)案例的設(shè)計(jì)成本。C、最大限度縮小需求與功能之間的差距。D、確保系統(tǒng)設(shè)計(jì)基于業(yè)務(wù)需求。答案：D242.以下哪一項(xiàng)控制最能防止互聯(lián)網(wǎng)嗅探器（Internetsniffer）進(jìn)行重放攻擊：A、數(shù)據(jù)包過(guò)濾路由器B、數(shù)字簽名C、正確配置的防火墻D、待時(shí)間戳的數(shù)據(jù)加密答案：D243.對(duì)從數(shù)據(jù)倉(cāng)庫(kù)生成的商業(yè)報(bào)告的質(zhì)量進(jìn)行審查時(shí)，最應(yīng)關(guān)注下面哪種情況?A、數(shù)據(jù)錯(cuò)誤未經(jīng)過(guò)IT人員一致審查B、數(shù)據(jù)質(zhì)量報(bào)告無(wú)法提供對(duì)業(yè)務(wù)發(fā)展趨勢(shì)的洞見(jiàn)C、數(shù)據(jù)質(zhì)量報(bào)告每晚批量從數(shù)據(jù)倉(cāng)庫(kù)中生成導(dǎo)出。D、報(bào)告中的數(shù)據(jù)錯(cuò)誤在數(shù)據(jù)倉(cāng)庫(kù)中已得到修正答案：A244.A5-200防止網(wǎng)絡(luò)被用作拒絕服務(wù)攻擊中的放大器的最佳過(guò)濾規(guī)則是拒絕所有：A、源地址在網(wǎng)絡(luò)外部的傳輸出流量B、被辨認(rèn)出使用偽造IP源地址的傳入通信C、包含互聯(lián)網(wǎng)協(xié)議中所設(shè)置選項(xiàng)的傳入流量D、目標(biāo)地址屬于關(guān)鍵主機(jī)的傳入流量答案：A245.哪一項(xiàng)是確保數(shù)據(jù)分析項(xiàng)目使用的個(gè)人數(shù)據(jù)無(wú)法識(shí)別的最佳方式A、重新識(shí)別B、匿名化C、標(biāo)記化D、隨機(jī)化答案：B246.一名員工遺失了包含企業(yè)敏感數(shù)據(jù)的移動(dòng)設(shè)備，以下哪一項(xiàng)可最有效的防止數(shù)據(jù)泄露？A、員工立即報(bào)告丟失的設(shè)備B、對(duì)設(shè)備上的數(shù)據(jù)進(jìn)行備份C、加密設(shè)備上的數(shù)據(jù)答案：C247.審計(jì)新應(yīng)用系統(tǒng)的持續(xù)運(yùn)行計(jì)劃的最佳時(shí)間是？A、交接給系統(tǒng)維護(hù)部門之前B、上線后立即進(jìn)行C、系統(tǒng)需求階段D、成功進(jìn)行用戶測(cè)試之后答案：C248.A5-164公司XYZ已將生產(chǎn)支持外包給在另一個(gè)國(guó)家的服務(wù)提供商ABC。ABC服務(wù)提供商的工作人員通過(guò)互聯(lián)網(wǎng)連接到XYZ的生產(chǎn)支持網(wǎng)絡(luò)。以下哪一項(xiàng)能最有效地保證在ABC的生產(chǎn)支持團(tuán)隊(duì)向XYZ提供支持時(shí)，信息傳輸是安全的?A、密鑰加密B、動(dòng)態(tài)互聯(lián)網(wǎng)地址和端口C、哈希函數(shù)D、虛擬私有網(wǎng)絡(luò)隧道答案：D249..被審計(jì)方已告知信息系統(tǒng)審計(jì)師，其資金不是以實(shí)施審計(jì)報(bào)告中商定的建議，且沒(méi)有預(yù)計(jì)的解決時(shí)間計(jì)劃，審計(jì)師應(yīng)對(duì)此情況采取的最佳方式是什么?A、在無(wú)法實(shí)施完整解決方案的情況下評(píng)估風(fēng)險(xiǎn)B、關(guān)閉該發(fā)現(xiàn)并記錄被審計(jì)方的解釋C、獲得內(nèi)部審計(jì)批準(zhǔn)，以將發(fā)現(xiàn)從報(bào)告中刪除D、提出建議增加IT預(yù)算答案：A250.鏡像磁盤（mirroreddisks）的使用：A、減少對(duì)額外存儲(chǔ)的需求B、縮短系統(tǒng)響應(yīng)時(shí)間C、消除異地備份的需求D、需求定期異地備份答案：D251.A2-54以下哪一項(xiàng)是創(chuàng)建防火墻政策的第一步?A、對(duì)保護(hù)應(yīng)用程序的方法進(jìn)行成本效益分析B、確定可被外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用程序C、確定與可被外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用程序相關(guān)的漏洞D、創(chuàng)建應(yīng)用程序流量矩陣，說(shuō)明保護(hù)方法答案：B252.進(jìn)行企業(yè)風(fēng)險(xiǎn)評(píng)估的第一步是確定?A、弱點(diǎn)B、資產(chǎn)C、威脅D、)影響答案：B253.為了實(shí)施數(shù)據(jù)保護(hù)控制，信息系統(tǒng)審計(jì)師的最佳建議是什么？A、對(duì)照行業(yè)最佳實(shí)踐對(duì)軟件和開(kāi)發(fā)生命周期進(jìn)行基準(zhǔn)分析B、映射公司的業(yè)務(wù)流程以識(shí)別個(gè)人身份信息(PI)C、在解決方案開(kāi)發(fā)生命周期內(nèi)包括隱私檢查D、任命計(jì)劃經(jīng)理來(lái)監(jiān)督隱私計(jì)劃的改進(jìn)答案：A254.公司請(qǐng)外部審計(jì)，對(duì)外部信息系統(tǒng)審計(jì)師的訪問(wèn)權(quán)限應(yīng)由以下哪項(xiàng)文件予以說(shuō)明和授予?A、審計(jì)章程B、經(jīng)批準(zhǔn)的工作說(shuō)明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計(jì)工作開(kāi)展的需求請(qǐng)求書答案：A255.企業(yè)目前磁帶備份，每周一次全備份、每日一次增量備份的策略。最近，企業(yè)領(lǐng)導(dǎo)把磁帶備份流程中增加了向磁盤備份的步驟。這種做法之所以恰當(dāng)，是因?yàn)椋篈、向磁盤備份的速度遠(yuǎn)快于向磁帶備份B、數(shù)據(jù)保存在磁盤上，其可靠性高于磁帶存儲(chǔ)C、它支持非現(xiàn)場(chǎng)存儲(chǔ)的快速合成備份D、隨著技術(shù)的進(jìn)步，不再需要磁帶庫(kù)答案：A256.A5-69認(rèn)證機(jī)構(gòu)(CA)可委任外部機(jī)構(gòu)處理的工作是：A、吊銷及暫停用戶的證書B(niǎo)、生產(chǎn)及分配公鑰C、在申請(qǐng)實(shí)體與其公鑰之間建立關(guān)聯(lián)D、發(fā)布及分配用戶證書答案：C257.A4-117審計(jì)數(shù)據(jù)庫(kù)服務(wù)器時(shí),以下哪項(xiàng)會(huì)被認(rèn)為是最大風(fēng)險(xiǎn)?A、管理員賬戶的密碼不過(guò)期B、數(shù)據(jù)庫(kù)的默認(rèn)全局安全設(shè)置保持不變C、舊數(shù)據(jù)未被清除D、數(shù)據(jù)庫(kù)活動(dòng)未被完整記錄答案：B258.IDS能檢測(cè)什么類型的攻擊A、系統(tǒng)掃描B、垃圾郵箱C、欺騙D、邏輯炸彈答案：A259.以下哪種報(bào)告最能夠有效分析系統(tǒng)的性能？A、控制臺(tái)日志B、同步報(bào)告C、數(shù)據(jù)庫(kù)使用日志D、使用情況報(bào)告答案：D260.以下哪項(xiàng)用以管理供應(yīng)商支持的軟件狀態(tài)為最新?A、版本管理B、變更管理C、軟件資產(chǎn)管理D、補(bǔ)丁管理答案：D261.以下哪一項(xiàng)是公司轉(zhuǎn)移IT風(fēng)險(xiǎn)的有效方式？A、購(gòu)買保險(xiǎn)（買保險(xiǎn)是最常見(jiàn)的轉(zhuǎn)移IT風(fēng)險(xiǎn)的手段）B、湊數(shù)的選項(xiàng)答案：A262.五百多個(gè)用戶都可以訪問(wèn)客戶信息表，對(duì)什么影響最大A、完整性B、機(jī)密性C、可用性答案：B263.A2-76審查信息安全政策時(shí)，信息系統(tǒng)審計(jì)師應(yīng)最關(guān)注以下哪個(gè)選項(xiàng)?該政策：A、由IT部門的目標(biāo)驅(qū)動(dòng)B、已經(jīng)公布，但沒(méi)有要求用戶閱讀C、沒(méi)有包含信息安全流程D、政策已經(jīng)一年多未更新答案：A264.A2-110在有效的信息安全治理的情況下，價(jià)值交付的主要目標(biāo)是：A、優(yōu)化安全方面的投資，以支持業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)B、實(shí)施一套標(biāo)準(zhǔn)的安全實(shí)踐C、制定基于標(biāo)準(zhǔn)的解決方案D、建立一種持續(xù)改進(jìn)的文化氛圍答案：A265.測(cè)試BCP的主要原因在于確保：A、能夠恢復(fù)關(guān)鍵數(shù)據(jù)。B、熟悉恢復(fù)程序，盡可能減少實(shí)際實(shí)施中的緊張情緒。C、樹(shù)立自身災(zāi)難期間的信心。D、確保災(zāi)難恢復(fù)小組成員得到培訓(xùn)。答案：A266.信息系統(tǒng)指導(dǎo)委員會(huì)的主要職責(zé)是？A、制定項(xiàng)目計(jì)劃B、明確項(xiàng)目的約束因素C、制定應(yīng)用項(xiàng)目管理的框架技術(shù)D、實(shí)施質(zhì)量管理制度答案：A267.A2-115制定正式的企業(yè)安全計(jì)劃時(shí)，最關(guān)鍵的成功因素是：A、建立審核委員會(huì)B、設(shè)立負(fù)責(zé)安全的單位C、來(lái)自執(zhí)行主管的有效支持D、安全流程所有者的選擇答案：C268.A4-127審查業(yè)務(wù)連續(xù)性策略時(shí),信息系統(tǒng)審計(jì)師與組織中的關(guān)鍵利益相關(guān)方面談，確定他們是否理解各自的角色和責(zé)任。信息系統(tǒng)審計(jì)師將嘗試評(píng)估：A、業(yè)務(wù)連續(xù)性計(jì)劃的明確性和簡(jiǎn)潔性B、業(yè)務(wù)連續(xù)性計(jì)劃的充分性C、業(yè)務(wù)連續(xù)性計(jì)劃的有效性D、信息系統(tǒng)和最終用戶員工在緊急情況下的響應(yīng)能力答案：A269.【重要題】為了減少日志服務(wù)器不堪收集錯(cuò)誤攻擊日志的壓力，以下最佳建議是()A、微調(diào)IS的規(guī)則設(shè)置B、調(diào)整防火墻的訪問(wèn)控制規(guī)則C、更換日志服務(wù)器D、調(diào)整網(wǎng)絡(luò)架構(gòu)答案：A270.什么影響DRP?(信息系統(tǒng)審計(jì)師檢查恢復(fù)策略的充分性主要檢查下列哪個(gè)因素?)A、BIAB、RTOC、RPO答案：A271.A3-148以下哪一項(xiàng)最有助于確保識(shí)別偏離項(xiàng)目計(jì)劃的情況?A、項(xiàng)目管理框架B、項(xiàng)目管理方法C、項(xiàng)目資源計(jì)劃D、項(xiàng)目績(jī)效衡量標(biāo)準(zhǔn)答案：D272.項(xiàng)目上線后的審查中，應(yīng)審查以下哪一項(xiàng)來(lái)確定項(xiàng)目是否滿足用戶要求？A、用戶文檔的完整性B、并行測(cè)試的結(jié)果C、程序更改請(qǐng)求的類型。D、關(guān)鍵計(jì)算的完整性答案：B273.一個(gè)IT審計(jì)經(jīng)理參加并擔(dān)任了監(jiān)督某個(gè)項(xiàng)目中的項(xiàng)目經(jīng)理。回到審計(jì)部門后，他被安排參加對(duì)上述項(xiàng)目的審計(jì)，該審計(jì)經(jīng)理是審計(jì)部門中唯一具有項(xiàng)目管理知識(shí)的人員。最佳做法是：A、由該審計(jì)經(jīng)理參加審計(jì)，因?yàn)橹挥兴邆漤?xiàng)目管理知識(shí)。B、不考慮是否具備項(xiàng)目管理知識(shí)，指派另外一個(gè)審計(jì)師參加審計(jì)。C、指派一個(gè)高級(jí)審計(jì)師參加審計(jì)，并由該審計(jì)經(jīng)理對(duì)審計(jì)結(jié)果進(jìn)行復(fù)核。D、推遲審計(jì)，直到合適的審計(jì)資源出現(xiàn)。答案：C274.A5-223以下哪項(xiàng)能夠最有效地增強(qiáng)基于質(zhì)詢應(yīng)答的身份認(rèn)證系統(tǒng)的安全性?A、選擇更可靠的算法來(lái)生成詢問(wèn)字符串B、采取各種措施防止會(huì)話劫持攻擊C、增加更改相關(guān)密碼的頻率D、增加身份認(rèn)證字符串的長(zhǎng)度答案：B275.【重要題】什么是制定戰(zhàn)略過(guò)程中面臨的最大風(fēng)險(xiǎn)?A、可排除B、IT戰(zhàn)略的制定基于以前的執(zhí)行情況C、IT戰(zhàn)略在業(yè)務(wù)戰(zhàn)略和計(jì)劃之前制定D、IT戰(zhàn)略未包含信息安全答案：C276.A5-122組織的管理人員決定制訂安全意識(shí)計(jì)劃。以下哪項(xiàng)最可能是該計(jì)劃的一部分?A、利用入侵檢測(cè)系統(tǒng)報(bào)告事故B、強(qiáng)制使用密碼訪問(wèn)所有軟件C、安裝有效得到用戶日志系統(tǒng)來(lái)跟蹤每個(gè)用戶的操作D、對(duì)所有新老員工定期提供培訓(xùn)答案：D277.【重要題】查看郵件的內(nèi)容是否被修改，應(yīng)使用?A、哈希B、數(shù)字簽名C、加密D、雙因素認(rèn)證答案：A278.A5-7信息系統(tǒng)審計(jì)師發(fā)現(xiàn)組織的首席信息官(CIO)使用的是采用全球移動(dòng)通信系統(tǒng)(GSM)技術(shù)的無(wú)線寬帶調(diào)制解調(diào)器。當(dāng)出差在外時(shí)，CIO使用此調(diào)制解調(diào)器連接自己的便攜式計(jì)算機(jī)和公司的虛擬私有網(wǎng)絡(luò)。信息系統(tǒng)審計(jì)師應(yīng)：A、什么也不做，因?yàn)镚SM技術(shù)固有的安全功能已經(jīng)足夠了。B、建議IO在啟用加密之前停止使用便攜式計(jì)算機(jī)。C、確保網(wǎng)絡(luò)上已啟用介質(zhì)訪問(wèn)控制(M)過(guò)濾，從而未經(jīng)授權(quán)的無(wú)線用戶無(wú)法連接。D、建議使用雙因素認(rèn)證進(jìn)行無(wú)線連接，以防止未經(jīng)授權(quán)的通信。答案：A279.能夠最佳地提供本地服務(wù)器上的將處理的工資資料的訪問(wèn)控制的是：A、使用軟件來(lái)約束授權(quán)用戶的訪問(wèn)B、將每次訪問(wèn)記入個(gè)人信息(即：作日志)C、對(duì)敏感的交易事務(wù)使用單獨(dú)的密碼/口令D、限制只有營(yíng)業(yè)時(shí)間內(nèi)才允許系統(tǒng)訪問(wèn)答案：A280.哪種有助于確保批文件轉(zhuǎn)移的完整性A、散列總計(jì)B、自檢數(shù)字C、奇偶校驗(yàn)D、輸入控制答案：A281.以下哪個(gè)工具模型可以優(yōu)化改進(jìn)持續(xù)改良計(jì)劃(或者題干為：以下哪個(gè)工具模型可以處理流程改善）？A、CMMIB、平衡積分卡C、CobitD、ITIL答案：A282.在系統(tǒng)開(kāi)發(fā)周期SDLC的哪一個(gè)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估是最有幫助的？A、系統(tǒng)開(kāi)發(fā)前B、業(yè)務(wù)案例開(kāi)發(fā)期間C、系統(tǒng)部署前D、生命周期的每個(gè)階段答案：D283.一家企業(yè)遇到了由于默認(rèn)用戶帳戶未從其中一臺(tái)服務(wù)器中刪除而導(dǎo)致的域名系統(tǒng)(DNS)攻擊事故。以下哪一項(xiàng)合是緩解該DNS攻擊的風(fēng)險(xiǎn)的最佳方式?A、遵循批準(zhǔn)的際準(zhǔn)配置來(lái)配置這些服務(wù)器B、讓第三方配置虛擬服務(wù)器C、配置入侵防御系統(tǒng)以識(shí)別NS攻擊D、要求所有員工參加安全配置管理的培訓(xùn)答案：A284.數(shù)據(jù)中心審計(jì)時(shí)，審計(jì)師發(fā)現(xiàn)火災(zāi)風(fēng)險(xiǎn)非常高應(yīng)該推薦什么作為最有效的滅火措施?A、噴水式滅火系統(tǒng)B、手持式滅火器C、干劑滅火系統(tǒng)D、可排除答案：C285.項(xiàng)目經(jīng)理可以通過(guò)識(shí)別和記錄項(xiàng)目風(fēng)險(xiǎn)來(lái)：A、優(yōu)先處理任務(wù)B、界定范圍C、按時(shí)完成項(xiàng)目D、跟蹤可交付成果答案：A286.下哪一項(xiàng)最能表明信息安全計(jì)劃的有效性?A、安全團(tuán)隊(duì)知識(shí)豐富，使用最好的可用工具B、安全意識(shí)培訓(xùn)計(jì)劃是根據(jù)行業(yè)最佳實(shí)踐開(kāi)發(fā)的C、經(jīng)過(guò)意識(shí)培訓(xùn)后，報(bào)告和確認(rèn)的安全事故數(shù)量有所增加D、安全團(tuán)隊(duì)執(zhí)行了風(fēng)險(xiǎn)評(píng)估，以了解公司的風(fēng)險(xiǎn)偏好答案：C287.程序員惡意修改生產(chǎn)代碼，然后恢復(fù)了原始代碼，怎么檢測(cè)這種惡意活動(dòng)?A、查看系統(tǒng)日志文件B、比較源代碼C、目標(biāo)代碼參照D、檢查可執(zhí)行文件答案：A288.A5-147要使無(wú)線局域網(wǎng)中傳輸數(shù)據(jù)的機(jī)密性得到最佳保護(hù)，需要會(huì)話：A、僅限于預(yù)定義的介質(zhì)訪問(wèn)控制地址B、使用靜態(tài)密鑰加密C、使用動(dòng)態(tài)密鑰加密D、從具有加密存儲(chǔ)的設(shè)備啟動(dòng)答案：C289.審計(jì)師發(fā)現(xiàn)，業(yè)務(wù)部門未經(jīng)商議就修改了之前已經(jīng)商議好的整改措施，審計(jì)師應(yīng)該()A、檢查是否有其他補(bǔ)償性措施B、遵循重新制定的整改措施C、重新實(shí)施審計(jì)D、匯報(bào)給管理層答案：A290.在進(jìn)行客戶關(guān)系管理系統(tǒng)（CRM)應(yīng)用審計(jì)時(shí)，IS審計(jì)師發(fā)現(xiàn)，相比其他時(shí)段，用戶在高峰工作時(shí)段登錄系統(tǒng)需要很長(zhǎng)時(shí)間。登錄后，系統(tǒng)的平均響應(yīng)時(shí)間在可接受的范圍之內(nèi)。該IS審計(jì)師應(yīng)當(dāng)建議以下哪一個(gè)選項(xiàng)？A、IS審計(jì)師不提出任何建議，因?yàn)橄到y(tǒng)符合當(dāng)前的業(yè)務(wù)需求。B、IT部門應(yīng)當(dāng)增加網(wǎng)絡(luò)帶寬，以提高性能。C、應(yīng)當(dāng)向用戶提供詳細(xì)的手冊(cè)，以正確使用系統(tǒng)。D、IS審計(jì)師應(yīng)當(dāng)建議為驗(yàn)證服務(wù)器制定性能衡量標(biāo)準(zhǔn)。答案