PAGEPAGE1一、單選題1.同時(shí)有內(nèi)部、外部?jī)蓚€(gè)審計(jì)團(tuán)隊(duì)對(duì)高風(fēng)險(xiǎn)的業(yè)務(wù)進(jìn)行審計(jì)，應(yīng)該如何才能達(dá)到最有效率的安排審計(jì)模式A、內(nèi)部審計(jì)利用外部審計(jì)的結(jié)果進(jìn)行測(cè)試B、外部審計(jì)利用內(nèi)部審計(jì)的結(jié)果進(jìn)行測(cè)試C、兩者同時(shí)進(jìn)行測(cè)試答案：A2.什么影響DRP?(信息系統(tǒng)審計(jì)師檢查恢復(fù)策略的充分性主要檢查下列哪個(gè)因素?)A、BIAB、RTOC、RPO答案：A3.在災(zāi)難恢復(fù)審計(jì)過(guò)程中，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)沒有進(jìn)行業(yè)務(wù)影響分析，審計(jì)師需首先開展哪項(xiàng)工作？A、執(zhí)行額外的符合性測(cè)試B、評(píng)估對(duì)當(dāng)前災(zāi)難恢復(fù)能力的影響C、執(zhí)行業(yè)務(wù)影響分析D、向管理層提交報(bào)告答案：B4.公司用了軟件即服務(wù)(saas),在軟件供應(yīng)商不再提供服務(wù)的情況下怎樣能保證可用性?A、復(fù)制這個(gè)軟件(大概是意思)B、把數(shù)據(jù)定期備份C、在網(wǎng)絡(luò)連接上做一個(gè)冗余D、第三方托管答案：D5.A4-98下列哪一項(xiàng)有助于確保連接到數(shù)據(jù)的應(yīng)用程序的可移植性?A、驗(yàn)證數(shù)據(jù)庫(kù)導(dǎo)入導(dǎo)出流程B、使用結(jié)構(gòu)化查詢語(yǔ)言C、分析存儲(chǔ)過(guò)程/觸發(fā)器D、將實(shí)體關(guān)系模型與數(shù)據(jù)庫(kù)物理模型進(jìn)行同步答案：B6.A5-18組織發(fā)現(xiàn)首席財(cái)務(wù)官的計(jì)算機(jī)已感染惡意軟件，包括按鍵記錄器和惡意程序工具包(rookit)。首先采取的措施應(yīng)為：A、聯(lián)系相應(yīng)的執(zhí)法部門開始調(diào)查B、立即確保不會(huì)危害其他數(shù)據(jù)C、斷開P與網(wǎng)絡(luò)的連接D、更新P上的防病毒簽名，確保已檢測(cè)并刪除惡意軟件或病毒答案：C7.A4-46供應(yīng)商發(fā)布了修復(fù)軟件安全漏洞的修補(bǔ)程序。在這種情況下，信息系統(tǒng)審計(jì)師應(yīng)建議執(zhí)行以下哪種操作?A、在安裝修補(bǔ)程序前對(duì)其影響進(jìn)行評(píng)估B、請(qǐng)求供應(yīng)商包含提供所有修復(fù)程序的新軟件版本C、立即安裝安全修補(bǔ)程序D、以后不再與這些供應(yīng)商合作答案：A8.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，有長(zhǎng)達(dá)6個(gè)多月時(shí)間末在關(guān)鍵服務(wù)器上安裝要求的安全補(bǔ)丁程序。下一個(gè)行動(dòng)步驟應(yīng)該是：A、審查補(bǔ)丁管理程序。B、將審計(jì)發(fā)現(xiàn)通知高級(jí)管理層。C、請(qǐng)求盡快安裝補(bǔ)丁程序。D、確定延遲安裝補(bǔ)丁的根本原因。答案：D9.A2-84以下哪一項(xiàng)最有可能表明，客戶數(shù)據(jù)倉(cāng)庫(kù)應(yīng)保留在內(nèi)部而不是外包給海外公司?A、時(shí)區(qū)差異可能妨礙IT團(tuán)隊(duì)間的交流B、第一年的電信成本可能要高很多C、隱私法律可能禁止信息跨境傳輸D、軟件開發(fā)可能需要更詳細(xì)的規(guī)范答案：C10.以下哪一項(xiàng)最有助于信息系統(tǒng)審計(jì)師識(shí)別工資核算流程中的潛在超額給付情況?A、員工數(shù)量和供應(yīng)商賬號(hào)數(shù)量的比對(duì)B、指出與往期工資單有重大差異的報(bào)告C、對(duì)用于核查的員工和供應(yīng)商地址進(jìn)行審查D、薪資流程中有關(guān)最大筆工資的報(bào)告答案：B11.【重要題】信息系統(tǒng)的實(shí)施前審查以確定是否投產(chǎn)準(zhǔn)備就緒，IS審計(jì)師最需要關(guān)注什么?A、效益是否經(jīng)過(guò)證實(shí)。B、是否存在未解決的高風(fēng)險(xiǎn)項(xiàng)目C、用戶是否參與了Q測(cè)試D、項(xiàng)目是否符合預(yù)算和目標(biāo)日期答案：B12.在實(shí)施后審查時(shí)，以下哪一項(xiàng)最能證明用戶需求得到了滿足？A、操作員的錯(cuò)誤日志B、客戶服務(wù)事故支持請(qǐng)求的數(shù)量C、最終用戶使用文檔D、用戶驗(yàn)收測(cè)試已簽收答案：D13.檢測(cè)到服務(wù)器的實(shí)際使用量遠(yuǎn)遠(yuǎn)小于計(jì)劃，以下哪項(xiàng)措施可以改進(jìn)服務(wù)器的可用性A、系統(tǒng)的停機(jī)日志B、容量規(guī)劃C、服務(wù)器的配置D、執(zhí)行流量負(fù)載均衡答案：B14.在Web應(yīng)用中，包含以下哪一項(xiàng)可以保證最高的安全性A、SSLB、SFTPC、TelnetD、TLS答案：D15.測(cè)試程序和生產(chǎn)程序分離的主要目的在于?A、為變更管理控制提供基礎(chǔ)B、為變更實(shí)施控制C、信息系統(tǒng)人員和最終用戶之間實(shí)施職責(zé)分離D、限制IT人員對(duì)開發(fā)環(huán)境的訪問(wèn)權(quán)限答案：A16.IDS能檢測(cè)什么類型的攻擊?A、系統(tǒng)掃描B、垃圾郵箱C、欺騙D、邏輯炸彈答案：A17.A4-166信息系統(tǒng)審計(jì)師在核實(shí)某互聯(lián)網(wǎng)服務(wù)提供商(ISP)是否遵循外包電子通信服務(wù)可用性的企業(yè)服務(wù)水平協(xié)議時(shí)，A、由ISP生成的電信服務(wù)故障報(bào)告B、由企業(yè)生成的自動(dòng)故障轉(zhuǎn)移服務(wù)使用情況報(bào)告C、由ISP提供的寬帶使用情況報(bào)告D、由企業(yè)生成的電信服務(wù)故障報(bào)告答案：D18.公司請(qǐng)外部審計(jì)，對(duì)外部信息系統(tǒng)審計(jì)師的訪問(wèn)權(quán)限應(yīng)由以下哪項(xiàng)文件予以說(shuō)明和授予?A、審計(jì)章程B、經(jīng)批準(zhǔn)的工作說(shuō)明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計(jì)工作開展的需求請(qǐng)求書答案：A19.A1-48離場(chǎng)面談過(guò)程中，如果對(duì)于審計(jì)發(fā)現(xiàn)可能產(chǎn)生的影響存在分歧，信息系統(tǒng)審計(jì)師應(yīng)該：A、要求受審單位簽署豁免協(xié)議書并承擔(dān)全部法律責(zé)任B、詳細(xì)闡述審計(jì)發(fā)現(xiàn)的重要性以及不予糾正可能產(chǎn)生的風(fēng)險(xiǎn)C、將不同意見報(bào)告給審計(jì)委員會(huì)以尋求解決方案D、接受受審方觀點(diǎn)，因?yàn)樗麄儾攀橇鞒趟姓叽鸢福築20.下列哪種做法將最能確保具有永久重要性的歸檔電子資料，多年后還能隨時(shí)查詢？A、購(gòu)買類似舊版本軟件的應(yīng)用程序B、定期將數(shù)據(jù)轉(zhuǎn)移到采用當(dāng)前的技術(shù)的系統(tǒng)中C、定期備份歸檔數(shù)據(jù)D、對(duì)舊硬件執(zhí)行預(yù)防維護(hù)答案：B21.因?yàn)镮S審計(jì)團(tuán)隊(duì)資源限制，原批準(zhǔn)的審計(jì)計(jì)劃無(wú)法實(shí)施。假定己通過(guò)審計(jì)報(bào)告通報(bào)情況，最可接受的做法是哪一項(xiàng)？A、測(cè)試控制設(shè)計(jì)的充分性。B、測(cè)試控制的運(yùn)作效率。C、著重審計(jì)高風(fēng)險(xiǎn)領(lǐng)域。D、依靠管理層測(cè)試控制。答案：C22.A5-65以下哪項(xiàng)加密算法選項(xiàng)會(huì)增加開銷/成本?A、使用對(duì)稱加密，而不是非對(duì)稱加密B、使用加長(zhǎng)的非對(duì)稱式加密密鑰C、加密的是哈希而非消息D、使用密鑰答案：B23.A5-129某信息系統(tǒng)審計(jì)師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個(gè)領(lǐng)域值得關(guān)注。以下哪個(gè)領(lǐng)域最重要?A、緊急斷電按鈕蓋不見了B、未執(zhí)行預(yù)定的滅火系統(tǒng)日常維護(hù)C、數(shù)據(jù)中心沒有安全攝像頭D、緊急出口被阻塞答案：D24.某員工執(zhí)行計(jì)算機(jī)操作，并在必要時(shí)對(duì)程序加以修改，信息系統(tǒng)審計(jì)師應(yīng)建議什么？A、應(yīng)額外增加員工，以便進(jìn)行職責(zé)分離B、應(yīng)建立一套程序，以確保對(duì)計(jì)算機(jī)程序所作的更改得以識(shí)別和批準(zhǔn)C、自動(dòng)記錄對(duì)開發(fā)庫(kù)程序所作的修改D、訪問(wèn)控制應(yīng)禁止操作人員對(duì)程序加以修改答案：B25.在下列哪個(gè)過(guò)程中會(huì)使用到Hash：A、對(duì)稱加密B、數(shù)字簽名C、非對(duì)稱加密D、PKI答案：B26.A1-22在規(guī)劃信息系統(tǒng)審計(jì)時(shí)，最關(guān)鍵的步驟是確定：A、重大風(fēng)險(xiǎn)區(qū)域B、審計(jì)人員的技能組合C、審計(jì)中的測(cè)試步驟D、分配給審計(jì)的時(shí)間答案：A27.【重要題】某企業(yè)有兩個(gè)數(shù)據(jù)庫(kù)，為滿足管理層對(duì)數(shù)據(jù)庫(kù)高彈性的需求，應(yīng)該A、第二個(gè)數(shù)據(jù)庫(kù)設(shè)立熱站B、兩個(gè)數(shù)據(jù)庫(kù)都可以單獨(dú)實(shí)現(xiàn)磁盤備份恢復(fù)C、兩個(gè)數(shù)據(jù)庫(kù)相互備份D、兩個(gè)數(shù)據(jù)庫(kù)互為鏡相答案：D28.A4-123數(shù)據(jù)庫(kù)管理員檢測(cè)到某些表存在性能問(wèn)題，這些問(wèn)題可通過(guò)非規(guī)范化解決。這種情況將增加以下哪種風(fēng)險(xiǎn)?A、并發(fā)訪問(wèn)B、死鎖C、對(duì)數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn)D、失去數(shù)據(jù)完整性答案：D29.當(dāng)變更運(yùn)行環(huán)境中的程序時(shí)，最重要的應(yīng)得到誰(shuí)的批準(zhǔn)A、用戶管理部門B、項(xiàng)目經(jīng)理C、安全管理員D、IT管理層答案：A30.以下哪一項(xiàng)是實(shí)施分散式IT治理模型最主要的原因？A、實(shí)現(xiàn)標(biāo)準(zhǔn)化和規(guī)模經(jīng)濟(jì)B、實(shí)現(xiàn)各業(yè)務(wù)部門的統(tǒng)一性C、促進(jìn)各業(yè)務(wù)部門之間的IT協(xié)作D、有利于對(duì)業(yè)務(wù)需求有更快的響應(yīng)答案：D31.A4-52組織的災(zāi)難恢復(fù)計(jì)劃中包含互惠協(xié)議時(shí)，采用了以下哪種風(fēng)險(xiǎn)應(yīng)對(duì)方法?A、轉(zhuǎn)移B、緩解C、規(guī)避D、接受答案：B32.審計(jì)新應(yīng)用系統(tǒng)的持續(xù)運(yùn)行計(jì)劃的最佳時(shí)間是？A、交接給系統(tǒng)維護(hù)部門之前B、上線后立即進(jìn)行C、系統(tǒng)需求階段D、成功進(jìn)行用戶測(cè)試之后答案：C33.A2-72以下哪一項(xiàng)對(duì)戰(zhàn)略性IT舉措的決策流程最有價(jià)值?A、項(xiàng)目管理流程的成熟度B、監(jiān)管環(huán)境C、過(guò)去的審計(jì)結(jié)果D、IT項(xiàng)目組合分析答案：D34.A1-24在信息系統(tǒng)審計(jì)期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)以下哪個(gè)選項(xiàng)確定?A、關(guān)鍵和必需的信息的可用性B、審計(jì)師對(duì)環(huán)境的熟悉程度C、受審方查找相關(guān)證據(jù)的能力D、正在執(zhí)行的審計(jì)的目的和范圍答案：D35.A4-65某組織的財(cái)務(wù)系統(tǒng)的災(zāi)難恢復(fù)計(jì)劃規(guī)定，恢復(fù)點(diǎn)目標(biāo)為零，并且恢復(fù)時(shí)間目標(biāo)為72小時(shí)。下列哪一項(xiàng)是最具成本效益的解決方案?A、熱備援中心可在8小時(shí)內(nèi)投入使用，并對(duì)交易日志記錄進(jìn)行異步備份B、對(duì)多個(gè)位置處的分布式數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行異步更新C、對(duì)熱備援中心中的數(shù)據(jù)和備用系統(tǒng)進(jìn)行同步更新D、對(duì)于可在24小時(shí)內(nèi)投入使用的溫備援中心，以遠(yuǎn)程方式同步復(fù)制其中的數(shù)據(jù)答案：D36.可以駐留在WEB服務(wù)器上的功能?A、監(jiān)控的主機(jī)數(shù)量B、流量分析C、發(fā)送接受警合D、啟動(dòng)關(guān)閉服務(wù)器答案：B37.A5-219對(duì)IT系統(tǒng)實(shí)施滲透測(cè)試時(shí)，組織最應(yīng)關(guān)注以下哪項(xiàng)?A、報(bào)告的機(jī)密性B、找到系統(tǒng)中的所有漏洞C、將系統(tǒng)恢復(fù)為原始狀態(tài)D、記錄對(duì)生產(chǎn)系統(tǒng)進(jìn)行的更改答案：C38.A3-139在對(duì)人力資源和工資應(yīng)用程序進(jìn)行系統(tǒng)開發(fā)生命周期審計(jì)期間，信息系統(tǒng)審計(jì)師注意到用于用戶驗(yàn)收測(cè)試的數(shù)據(jù)已被屏蔽。屏蔽這些數(shù)據(jù)的目的是為了確保：A、數(shù)據(jù)的機(jī)密性B、數(shù)據(jù)的準(zhǔn)確性C、數(shù)據(jù)的完整性D、數(shù)據(jù)的可靠性答案：A39.A1-101信息系統(tǒng)審計(jì)師正在規(guī)劃如何評(píng)估與自動(dòng)化記賬流程相關(guān)的控制設(shè)計(jì)有效性。以下哪項(xiàng)是審計(jì)師可以采用的最有效的方法?A、面談B、問(wèn)詢C、重新執(zhí)行D、瀏覽審查答案：D40.以下哪一項(xiàng)IT服務(wù)管理活動(dòng)最有可能幫助確定反復(fù)出現(xiàn)的網(wǎng)絡(luò)延時(shí)的根本原因A、事故管理B、配置管理C、變更管理D、問(wèn)題管理答案：D41.A2-141以下哪項(xiàng)是確保組織政策符合法律要求的最佳方式?A、在每項(xiàng)政策中包含全面法律聲明B、由相關(guān)領(lǐng)域?qū)＜叶ㄆ趯彶镃、每年由高級(jí)管理人員簽字并認(rèn)可組織政策D、根據(jù)最嚴(yán)格的法規(guī)調(diào)整政策答案：B42.對(duì)新系統(tǒng)在投產(chǎn)和執(zhí)行實(shí)施后審查之間分配足夠的時(shí)間，主要是為了：A、獲得對(duì)實(shí)施后審查范圍的批準(zhǔn)。B、更新項(xiàng)目要求和設(shè)計(jì)文件。C、讓系統(tǒng)能在生產(chǎn)中穩(wěn)定。D、可排除答案：C43.A1-34審計(jì)完某個(gè)組織的災(zāi)難恢復(fù)計(jì)劃流程后，信息系統(tǒng)審計(jì)師請(qǐng)求與組織管理層開會(huì)討論審查結(jié)果。以下哪項(xiàng)最能描述此次會(huì)議的主要目標(biāo)?A、獲得管理層對(duì)糾正措施計(jì)劃的批準(zhǔn)B、確認(rèn)審查結(jié)果的事實(shí)準(zhǔn)確性C、協(xié)助管理層實(shí)施糾正措施D、確認(rèn)項(xiàng)目解決方案的優(yōu)先級(jí)答案：B44.A5-197某公司正打算安裝一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)新系統(tǒng)，用來(lái)保護(hù)其托管的網(wǎng)站。該設(shè)備應(yīng)當(dāng)安裝在哪里?A、在本地網(wǎng)絡(luò)上B、防火墻外C、在隔離區(qū)中D、在托管網(wǎng)站的服務(wù)器上答案：C45.哪一種類型的攻擊針對(duì)web應(yīng)用程序中的安全漏洞以獲得對(duì)數(shù)據(jù)集的訪問(wèn)權(quán)限?A、RootkitB、拒絕服務(wù)(DoS)C、SOL注入D、網(wǎng)絡(luò)釣魚（phishing）攻擊答案：C46.為防止在共享打印機(jī)上打印的保密文檔泄露，應(yīng)該采用以下哪種方法？A、加密用戶計(jì)算機(jī)和打印機(jī)之間的數(shù)據(jù)流B、使用已打印文檔的密級(jí)生成標(biāo)題頁(yè)C、要求授權(quán)用戶在將文檔發(fā)送到打印機(jī)之前提供密碼D、在打印結(jié)果輸出之前，要求現(xiàn)在打印機(jī)上輸入密碼答案：D47.A3-3一位信息系統(tǒng)審計(jì)師在審查一系列已完成的項(xiàng)目時(shí)發(fā)現(xiàn)，實(shí)現(xiàn)的功能常常超出需求，而且多數(shù)項(xiàng)目大幅超出預(yù)算。組織的項(xiàng)目管理流程中的哪個(gè)環(huán)節(jié)更有可能引發(fā)這一問(wèn)題?A、項(xiàng)目范圍管理B、項(xiàng)目時(shí)間管理C、項(xiàng)目風(fēng)險(xiǎn)管理D、項(xiàng)目采購(gòu)管理答案：A48.從Internet連接到企業(yè)的局域網(wǎng)時(shí)，防止未經(jīng)授權(quán)訪問(wèn)的最佳建議是利用A、代理服務(wù)器B、VPNC、加密D、虛擬化服務(wù)器答案：B49.審計(jì)師抽樣時(shí)，一個(gè)案例超過(guò)平均值5倍，下一步怎么做?A、增加總體100%抽樣B、報(bào)告高管C、詢問(wèn)被審計(jì)人員差異D、按原方法和抽樣標(biāo)準(zhǔn)實(shí)施答案：C50.【重要題】確保從遠(yuǎn)程位置傳到生產(chǎn)倉(cāng)庫(kù)的所有訂單都準(zhǔn)確和完整接收的最適當(dāng)控制是：A、發(fā)送并核對(duì)交易記錄數(shù)量和匯總交易總數(shù)。B、跟蹤并計(jì)算銷售訂單編號(hào)的連續(xù)性。C、驗(yàn)證奇偶校驗(yàn)是否仍然有效。D、將數(shù)據(jù)傳回發(fā)源地，然后進(jìn)行比對(duì)答案：A51.下面哪一項(xiàng)最可能包括在實(shí)施后審查中？A、項(xiàng)目測(cè)試數(shù)據(jù)集B、項(xiàng)目結(jié)果C、實(shí)時(shí)處理結(jié)果D、項(xiàng)目實(shí)施方法答案：B52.【重要題】下列哪項(xiàng)最能表明安全角色和責(zé)任在整個(gè)企業(yè)都得到有效落實(shí)?A、業(yè)務(wù)活動(dòng)符合策略的規(guī)定B、用戶簽署了保密協(xié)議C、安全策略的出臺(tái)和發(fā)布D、定期審查病毒更新策略答案：A53.回歸測(cè)試的概念：在更改系統(tǒng)中某個(gè)程序的功能之后，需要對(duì)系統(tǒng)進(jìn)行回歸測(cè)試，其目的是：A、所作的更改是否對(duì)系統(tǒng)產(chǎn)生了負(fù)面影響。B、更改后的程序是否按照新的程序設(shè)計(jì)運(yùn)行。C、更改后的程序是否按照用戶要求的更改來(lái)運(yùn)行。D、效率效能相關(guān)的選項(xiàng)（可排除）答案：A54.【重要題】實(shí)施后審查的主要目標(biāo)是驗(yàn)證系統(tǒng)：A、實(shí)現(xiàn)了設(shè)定的目標(biāo)B、與業(yè)務(wù)策略一致C、在生產(chǎn)環(huán)境中穩(wěn)定運(yùn)行。D、有用戶文檔支持。答案：A55.【重要題】以下哪個(gè)可用于確定恢復(fù)順序?A、IB、風(fēng)險(xiǎn)評(píng)估C、P測(cè)試結(jié)果D、RP測(cè)試結(jié)果答案：A56.分散式信息安全職能的優(yōu)勢(shì)在于:A、提高合規(guī)性。B、更一致。C、提高響應(yīng)能力。D、更客觀答案：C57.A1-109相比傳統(tǒng)審計(jì),進(jìn)行控制自我評(píng)估的主要優(yōu)勢(shì)是什么?A、它能夠更早地檢測(cè)到風(fēng)險(xiǎn)B、它能夠取代內(nèi)部審計(jì)職能C、它能夠減輕審計(jì)工作量D、它能夠減少審計(jì)資源需求答案：A58.IS審計(jì)師最有可能在什么地方看到應(yīng)用哈希函數(shù)?A、身份認(rèn)證B、標(biāo)識(shí)C、授權(quán)D、加密答案：A59.審查新成立的CallCenter內(nèi)的控制時(shí)，首先應(yīng)A、評(píng)估與風(fēng)險(xiǎn)中心有關(guān)的操作風(fēng)險(xiǎn)B、測(cè)試呼叫中心的技術(shù)基礎(chǔ)設(shè)施C、從客戶那里收集服務(wù)響應(yīng)時(shí)間和服務(wù)質(zhì)量的信息D、審查呼叫中心的人工和自動(dòng)控制答案：A60.什么能確保IT部門充分履行的他們的職能？A、審計(jì)章程B、確保IT策略在公司內(nèi)部被充分共享C、為業(yè)務(wù)構(gòu)建流程圖D、審計(jì)委員會(huì)會(huì)議記錄答案：C61.A4-238審計(jì)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)期間，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，盡管所有部門在同一建筑物中辦公，但是每個(gè)部門都有各自獨(dú)立的BCP。該信息系統(tǒng)審計(jì)師建議協(xié)調(diào)BCP。應(yīng)該首先協(xié)調(diào)以下哪一個(gè)領(lǐng)域?A、疏散計(jì)劃B、恢復(fù)優(yōu)先級(jí)C、備份存儲(chǔ)D、呼叫樹答案：A62.A5-124認(rèn)證機(jī)構(gòu)(CA)作為第三方的作用是：A、基于認(rèn)證提供安全的通信和網(wǎng)絡(luò)服務(wù)B、管理由該頒布并具有相應(yīng)公鑰和私鑰的證書庫(kù)C、擔(dān)當(dāng)兩個(gè)通信伙伴之間的受信任中介D、確認(rèn)擁有該所頒發(fā)證書的實(shí)體身份答案：D63.在制定數(shù)據(jù)保留政策(dataretentionpolicy)時(shí),應(yīng)首先考慮以下哪一項(xiàng)?A、識(shí)別法律和合同規(guī)定的數(shù)據(jù)保留期B、根據(jù)保留期確定備份周期C、確定數(shù)據(jù)的安全訪問(wèn)權(quán)限D(zhuǎn)、設(shè)計(jì)基礎(chǔ)設(shè)施存儲(chǔ)戰(zhàn)略答案：A64.A3-76在企業(yè)資源管理系統(tǒng)的實(shí)施后審查期間，信息系統(tǒng)審計(jì)師最可能：A、審查訪問(wèn)控制配置B、評(píng)估接口測(cè)試C、審查詳細(xì)的設(shè)計(jì)文檔D、評(píng)估系統(tǒng)測(cè)試答案：A65.如何充分驗(yàn)證定期備份的及時(shí)性與有效性？A、訪談關(guān)鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運(yùn)行的執(zhí)行情況答案：B66.A4-193信息系統(tǒng)審計(jì)師正在審查某企業(yè)資源規(guī)劃應(yīng)用程序的變更管理流程。以下哪項(xiàng)是測(cè)試程序變更的最佳方法?A、選擇變更憑單的樣本并審查其授權(quán)B、通過(guò)從始至終跟蹤程序變更，執(zhí)行瀏覽審查C、跟蹤已修改程序的樣本，以支持變更憑單D、使用查詢軟件分析所有變更憑單，看看是否有遺漏的字段答案：C67.A3-39以下哪種風(fēng)險(xiǎn)可能是由軟件項(xiàng)目的基準(zhǔn)指標(biāo)不充分引起的?A、簽字延遲B、違反軟件完整性C、范圍偏離D、控制不充分答案：C68.在小型組織中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)安全管理和系統(tǒng)分析功能由同一個(gè)員工執(zhí)行，這反映出以下哪個(gè)問(wèn)題?A、沒有更新安全政策來(lái)反映這種情況B、該員工沒有簽署安全政策C、沒有對(duì)該員工的活動(dòng)進(jìn)行獨(dú)立審查D、沒有工作說(shuō)明進(jìn)行更新以反應(yīng)當(dāng)前的現(xiàn)狀答案：C69.某公司已將服務(wù)器環(huán)境虛擬化，而沒有對(duì)網(wǎng)絡(luò)或安全基礎(chǔ)設(shè)施進(jìn)行其他任何更改。下列哪一項(xiàng)是最重大的風(fēng)險(xiǎn)?A、虛擬化平臺(tái)的漏洞影響多臺(tái)主機(jī)B、系統(tǒng)文檔未更新以反映對(duì)環(huán)境的更改C、網(wǎng)絡(luò)IS無(wú)法監(jiān)控虛擬服務(wù)器到服務(wù)器的通信D、數(shù)據(jù)中心環(huán)境控制措施與新的配置不相一致答案：C70.A4-71在進(jìn)行災(zāi)難恢復(fù)審計(jì)時(shí)，信息系統(tǒng)審計(jì)師會(huì)認(rèn)為下列哪一項(xiàng)最需要進(jìn)行審查?A、簽訂某熱備援中心，并且該站點(diǎn)在需要時(shí)可用B、具有現(xiàn)行業(yè)務(wù)連續(xù)性手冊(cè)C、承保范圍得當(dāng)并且按時(shí)支付當(dāng)期保險(xiǎn)費(fèi)D、及時(shí)備份數(shù)據(jù)并實(shí)施異地存儲(chǔ)答案：D71.內(nèi)部審計(jì)部門最近建立了一個(gè)質(zhì)量保證(QA)計(jì)劃。質(zhì)量保證計(jì)劃要求包括以下哪一項(xiàng)最重要?A、從內(nèi)部審計(jì)員工獲得反饋B、分析各條業(yè)務(wù)線的用戶滿意度報(bào)告C、定期對(duì)計(jì)劃進(jìn)行外部評(píng)估D、對(duì)計(jì)劃進(jìn)行長(zhǎng)期內(nèi)部審計(jì)資源規(guī)劃答案：A72.A5-148以下哪個(gè)選項(xiàng)中的信息與積極主動(dòng)地加強(qiáng)安全設(shè)置最相關(guān)?A、防御主機(jī)B、入侵檢測(cè)系統(tǒng)C、蜜罐D(zhuǎn)、入侵防御系統(tǒng)答案：C73..移動(dòng)設(shè)備要丟棄，怎么保證安全?(下列哪像對(duì)于磁盤清理數(shù)據(jù)最有效?)A、多次復(fù)寫B(tài)、清除數(shù)據(jù)軟件數(shù)據(jù)(數(shù)據(jù)擦除)C、把移動(dòng)設(shè)備放置在強(qiáng)磁場(chǎng)中D、格式化答案：C74.A5-208為確保法庭采信日志信息，最需要以下哪一項(xiàng)衡量標(biāo)準(zhǔn)?確保數(shù)據(jù)：A、具有獨(dú)立的時(shí)間戳B、由多個(gè)記錄系統(tǒng)記錄C、經(jīng)過(guò)最安全的加密算法加密D、經(jīng)過(guò)驗(yàn)證，以確保日志的完整性答案：D75.雇員有意或無(wú)意將敏感信息通過(guò)郵件發(fā)送到外部，在實(shí)施郵件控制措施之前，首先最重要的是要做什么？A、安裝程序監(jiān)測(cè)郵件內(nèi)容和雇員活動(dòng)B、實(shí)施數(shù)據(jù)分類C、與雇員簽署保密協(xié)議D、對(duì)郵件服務(wù)器進(jìn)行加固答案：B76.A1-133在審計(jì)某第三方IT服務(wù)提供商時(shí)，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)未按合同要求進(jìn)行訪問(wèn)審查。信息系統(tǒng)審計(jì)師應(yīng)：A、向IT管理層報(bào)告該問(wèn)題B、與服務(wù)提供商討論該問(wèn)題C、執(zhí)行風(fēng)險(xiǎn)評(píng)估D、執(zhí)行訪問(wèn)審查答案：A77.下列哪一項(xiàng)是企業(yè)災(zāi)難冷備（互惠協(xié)議）的最大風(fēng)險(xiǎn)是？A、網(wǎng)絡(luò)基礎(chǔ)設(shè)施B、硬件組件的可用性C、電源連接D、適當(dāng)?shù)沫h(huán)境控制答案：B78.一名IS審計(jì)師正在審查某企業(yè)的系統(tǒng)開發(fā)測(cè)試政策。在以下有關(guān)使用生產(chǎn)數(shù)據(jù)進(jìn)行測(cè)試的陳述中，此IS審計(jì)師會(huì)認(rèn)為哪項(xiàng)最恰當(dāng)？A、必須經(jīng)高級(jí)IS和業(yè)務(wù)管理層批準(zhǔn)使用后，生產(chǎn)數(shù)據(jù)才能用于測(cè)試。B、只要將生產(chǎn)數(shù)據(jù)復(fù)制到安全的測(cè)試環(huán)境中，就可使用。C、決不能使用生產(chǎn)數(shù)據(jù)。必須基于書面的測(cè)試案例準(zhǔn)備所有測(cè)試數(shù)據(jù)D、如果簽署了保密協(xié)議，便可使用生產(chǎn)數(shù)據(jù)。答案：A79.懷疑一個(gè)用來(lái)處理數(shù)據(jù)的PC，被用于針對(duì)財(cái)務(wù)部門的舞弊，應(yīng)首先向誰(shuí)報(bào)告A、業(yè)務(wù)管理部門B、警察C、審計(jì)委員會(huì)D、審計(jì)管理部門答案：C80.ROI分析在IT決策過(guò)程中的一個(gè)好處是提供A、分配間接成本的基礎(chǔ)B、更換設(shè)備的成本C、分配財(cái)務(wù)資源的基礎(chǔ)D、估計(jì)所有權(quán)的成本答案：C81.計(jì)算機(jī)房中安裝了一套火警系統(tǒng)，火警控制面板的最有效放置是位于：A、距離UPS最近的機(jī)房中。B、系統(tǒng)管理員的辦公室中。C、距服務(wù)器最近的機(jī)房中。D、大廈保安人員值班室。答案：D82..以下哪一項(xiàng)是用于預(yù)估開發(fā)大型業(yè)務(wù)應(yīng)用程序復(fù)雜性的最佳方法?A、功能點(diǎn)分析B、關(guān)鍵路徑分析C、工作分解結(jié)構(gòu)D、軟件成本估算答案：A83.衡量災(zāi)難恢復(fù)計(jì)劃有效性中業(yè)務(wù)恢復(fù)的最佳途徑是A、定義恢復(fù)點(diǎn)目標(biāo)RPOB、業(yè)務(wù)影響分析BIAC、模擬災(zāi)難恢復(fù)D、評(píng)估與功能成熟度模型的差距答案：C84.A5-98在通信系統(tǒng)的審計(jì)期間,信息系統(tǒng)審計(jì)師發(fā)現(xiàn)傳送至/來(lái)自遠(yuǎn)程站點(diǎn)的數(shù)據(jù)被截獲的風(fēng)險(xiǎn)非常高。降低此風(fēng)險(xiǎn)最有效的控制為：A、加密B、回叫調(diào)制解調(diào)器C、消息驗(yàn)證D、專用租用線路答案：A85.對(duì)互聯(lián)網(wǎng)防火墻固有滑源的有效攻擊是什么?A、網(wǎng)絡(luò)釣魚B、大量數(shù)據(jù)(os)攻擊網(wǎng)站C、攔截?cái)?shù)據(jù)包并破獲密碼D、針對(duì)加密密碼的字典攻擊答案：A86.A5-118執(zhí)行詳細(xì)的網(wǎng)絡(luò)評(píng)估和訪問(wèn)控制審查時(shí)，信息系統(tǒng)審計(jì)師應(yīng)首先：A、確定網(wǎng)絡(luò)入口點(diǎn)B、評(píng)估用戶的訪問(wèn)授權(quán)C、評(píng)估用戶的身份認(rèn)證和授權(quán)D、評(píng)估域控制服務(wù)器的配置答案：A87.A5-86以下哪項(xiàng)對(duì)數(shù)字證書生命周期進(jìn)行管理，以確保與電子商務(wù)有關(guān)的數(shù)字簽名應(yīng)用程序中存在足夠的安全性和控制?A、注冊(cè)機(jī)構(gòu)B、認(rèn)證機(jī)構(gòu)C、證書撤銷清單(RL)D、認(rèn)證實(shí)施細(xì)則答案：B88.在評(píng)估企業(yè)資源規(guī)劃（ERP）實(shí)施供應(yīng)商時(shí)，信息系統(tǒng)審計(jì)師應(yīng)首先建議執(zhí)行A、調(diào)查供應(yīng)商的財(cái)務(wù)歷史B、檢查供應(yīng)商的客戶參考C、制定供應(yīng)商響應(yīng)計(jì)分卡D、審查供應(yīng)商過(guò)去的實(shí)施項(xiàng)目答案：D89.設(shè)計(jì)應(yīng)對(duì)潛在自然災(zāi)害的數(shù)據(jù)備份策略時(shí)，以下哪一項(xiàng)最有幫助？A、恢復(fù)點(diǎn)目標(biāo)（RPO)B、需要備份的數(shù)據(jù)量C、數(shù)據(jù)備份技術(shù)D、恢復(fù)時(shí)間目標(biāo)（RTO)答案：A90.未經(jīng)良好設(shè)計(jì)的數(shù)據(jù)中心可能遭受尾隨，最好的措施?A、雙因素認(rèn)B、雙重門認(rèn)證C、)生物識(shí)別D、安全教育答案：D91.應(yīng)用程序可以使用用戶賬號(hào)訪問(wèn)底層數(shù)據(jù)庫(kù)，審計(jì)師最擔(dān)心：(也有考生反饋題干描述為：底層用戶可以直接訪問(wèn)數(shù)據(jù)庫(kù)，哪項(xiàng)風(fēng)險(xiǎn)大?)(此題需進(jìn)一步確認(rèn)，請(qǐng)考生考試中特別留意)A、用戶可以繞過(guò)應(yīng)用程序訪問(wèn)數(shù)據(jù)庫(kù)B、用戶賬戶停用了，仍然可以訪問(wèn)C、應(yīng)用程序?qū)徲?jì)記錄不能包含全部信息D、底層數(shù)據(jù)庫(kù)完整性被破壞答案：A92.A2-74以下哪一項(xiàng)是IT績(jī)效衡量流程的主要目標(biāo)?A、將錯(cuò)誤減至最少B、收集績(jī)效數(shù)據(jù)C、建立績(jī)效基準(zhǔn)D、優(yōu)化績(jī)效答案：D93.在制定新的風(fēng)險(xiǎn)管理計(jì)劃時(shí)，一定要考慮以下哪種因素？(新題)A、風(fēng)險(xiǎn)偏好B、合規(guī)性措施C、風(fēng)險(xiǎn)緩解技術(shù)D、資源利用答案：A94.某企業(yè)IT部門嚴(yán)重依賴外包商來(lái)維護(hù)關(guān)鍵系統(tǒng)。為了解決收入下降的問(wèn)題，董事會(huì)已決定將整個(gè)企業(yè)的所有外包商的預(yù)算減少30%.以下哪一項(xiàng)是IT領(lǐng)域的最大風(fēng)險(xiǎn)?A、關(guān)鍵系統(tǒng)可能得不到適當(dāng)?shù)木S護(hù)B、最終用戶可能無(wú)法從其余IT員工那里獲得足夠的支持C、所需的軟件許可證預(yù)算可能不足D、外包商可能會(huì)在離開之前嘗試從關(guān)鍵系統(tǒng)中提取有價(jià)值的數(shù)據(jù)答案：D95.企業(yè)打算外包其信息安全之能，其中哪項(xiàng)不能外包只能留在企業(yè)內(nèi)？A、公司安全策略的責(zé)任B、制定公司安全策略C、實(shí)施公司安全策略D、制訂安全推進(jìn)和指導(dǎo)答案：A96.A4-61信息系統(tǒng)審計(jì)師正在對(duì)某金融機(jī)構(gòu)使用的災(zāi)難恢復(fù)熱備援中心執(zhí)行審查。以下哪一項(xiàng)是最值得關(guān)注的問(wèn)題?A、系統(tǒng)管理員使用在熱備援中心永不過(guò)期的共享賬戶B、未及時(shí)更新磁盤空間使用數(shù)據(jù)C、熱備援中心的物理安全控制不如主站點(diǎn)穩(wěn)固D、熱備援中心的服務(wù)器與主站點(diǎn)的服務(wù)器規(guī)格不同答案：B97.A5-210以下哪一種控制能最有效地減少欺詐性在線付款請(qǐng)求造成損失的風(fēng)險(xiǎn)?A、交易監(jiān)測(cè)B、用安全套接字層保護(hù)We會(huì)話C、強(qiáng)制執(zhí)行身份認(rèn)證的密碼復(fù)雜性D、在We表單上輸入驗(yàn)證檢查答案：A98.信息系統(tǒng)審計(jì)師正計(jì)劃對(duì)企業(yè)的風(fēng)險(xiǎn)管理實(shí)踐進(jìn)行審計(jì)。以下哪一項(xiàng)提供有關(guān)風(fēng)險(xiǎn)偏好的最有用信息？A、之前的審計(jì)報(bào)告B、風(fēng)險(xiǎn)政策C、風(fēng)險(xiǎn)評(píng)估D、管理層的主張答案：D99.提交了審計(jì)報(bào)告，部門未整改，應(yīng)該？A、報(bào)告管理層B、評(píng)估影響C、重新驗(yàn)證審計(jì)發(fā)現(xiàn)答案：A100.A5-175某信息系統(tǒng)審計(jì)師正在審查某家制造公司，并發(fā)現(xiàn)遠(yuǎn)程站點(diǎn)的主機(jī)用戶通過(guò)Telnet經(jīng)互聯(lián)網(wǎng)連接到總部的主機(jī)上。以下哪一項(xiàng)提供最強(qiáng)的安全性?A、使用點(diǎn)對(duì)點(diǎn)租用線路B、使用防火墻規(guī)則，只允許該遠(yuǎn)程站點(diǎn)的互聯(lián)網(wǎng)協(xié)議地址C、使用雙因素認(rèn)證D、使用Telnet非標(biāo)準(zhǔn)端口答案：A101.A5-281出現(xiàn)以下哪種情況時(shí),信息系統(tǒng)審計(jì)師最需要對(duì)第三方托管的云計(jì)算環(huán)境進(jìn)行審查?A、組織無(wú)權(quán)評(píng)估供應(yīng)商站點(diǎn)中的控制B、服務(wù)水平協(xié)議未規(guī)定出現(xiàn)安全漏洞時(shí)供應(yīng)商應(yīng)承擔(dān)的責(zé)任C、組織和供應(yīng)商所在國(guó)家/地區(qū)的法律和法規(guī)不同D、組織使用舊版瀏覽器存在某些類型的安全風(fēng)險(xiǎn)答案：B102.A5-3審計(jì)軌跡的主要目的是：A、改善用戶響應(yīng)時(shí)間B、確定已處理交易的問(wèn)責(zé)制度C、提高系統(tǒng)的操作效率D、為想要跟蹤交易的審計(jì)師提供信息答案：B103.白箱測(cè)試方法適用于以下哪項(xiàng)測(cè)試程序？A、并行測(cè)試B、社交測(cè)試C、用戶驗(yàn)收測(cè)試D、集成測(cè)試答案：D104.信息系統(tǒng)審計(jì)師應(yīng)該會(huì)在下列哪一個(gè)SDLC階段，發(fā)現(xiàn)控制措施已集成到系統(tǒng)規(guī)范中?A、實(shí)施B、設(shè)計(jì)C、開發(fā)D、可行性研究答案：B105.在典型的系統(tǒng)開發(fā)生命周期中，下列哪個(gè)小組主要負(fù)責(zé)確認(rèn)是否符合需求?A、質(zhì)量保證B、內(nèi)部審計(jì)C、風(fēng)險(xiǎn)管理D、指導(dǎo)委員會(huì)答案：A106.數(shù)據(jù)庫(kù)重組的目的是？A、縮短同時(shí)更新時(shí)間和索引驗(yàn)證B、減少反問(wèn)恢復(fù)和恢復(fù)次數(shù)C、消除重復(fù)內(nèi)容并進(jìn)行數(shù)據(jù)備份D、改進(jìn)數(shù)據(jù)訪問(wèn)和檢索次數(shù)答案：D107.在審查用戶賬戶政策時(shí)，信息系統(tǒng)審計(jì)師的最大擔(dān)憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問(wèn)權(quán)限的相關(guān)政策B、當(dāng)員工更改角色時(shí)，沒有任何政策可以撤銷以前的訪問(wèn)權(quán)限C、沒有要求員工簽署保密協(xié)議NDA的相關(guān)政策D、沒有針對(duì)安全意識(shí)培訓(xùn)的政策答案：B108.使用數(shù)字簽名的主要原因A、機(jī)密性B、完整性C、可用性D、實(shí)效性答案：B109.規(guī)劃審計(jì)時(shí)，對(duì)重要性進(jìn)行評(píng)估的作用是A、可排除小錯(cuò)誤的累計(jì)效應(yīng)B、幫助審計(jì)集中在關(guān)鍵領(lǐng)域C、在審計(jì)測(cè)試完成時(shí)告知審計(jì)師D、集中于財(cái)務(wù)方面的項(xiàng)目答案：B110.審查網(wǎng)絡(luò)安全，以下哪項(xiàng)最值得關(guān)注A、硬件未全部記錄到清單中B、防火墻政策未被安全官審批C、防火墻政策未記錄D、什么政策未記錄，記不清了答案：B111.公司采購(gòu)項(xiàng)目，以下哪項(xiàng)是信息系統(tǒng)委員會(huì)的職責(zé)?A、項(xiàng)目計(jì)劃B、實(shí)施項(xiàng)目質(zhì)量管理制度C、風(fēng)險(xiǎn)管理D、問(wèn)題管理答案：C112.數(shù)據(jù)中心環(huán)境控制審計(jì)可能包括以下哪一項(xiàng)審查?A、有權(quán)進(jìn)入數(shù)據(jù)中心的人員名單B、應(yīng)急出口的報(bào)警系統(tǒng)C、數(shù)據(jù)中心的訪問(wèn)日志D、天花板上沒有濕管答案：D113.A4-21信息系統(tǒng)審計(jì)師審查服務(wù)水平協(xié)議(SLA)時(shí)，應(yīng)對(duì)以下哪個(gè)問(wèn)題最關(guān)注?A、異常報(bào)告導(dǎo)致的服務(wù)調(diào)整需要一天的實(shí)施時(shí)間B、用于服務(wù)監(jiān)控的應(yīng)用程序日志過(guò)于復(fù)雜，導(dǎo)致審查非常困難C、服務(wù)衡量方式未包括在SL中D、文檔每年更新一次答案：C114.A4-172在災(zāi)難后恢復(fù)數(shù)據(jù)時(shí),下列哪項(xiàng)指標(biāo)最能說(shuō)明備份和恢復(fù)程序的有效性?A、恢復(fù)組的成員能夠進(jìn)行工作B、達(dá)到恢復(fù)時(shí)間目標(biāo)C、備份磁帶庫(kù)存已得到妥善維護(hù)D、備份磁帶在備用站點(diǎn)中完全恢復(fù)答案：B115.【重要題】在數(shù)據(jù)庫(kù)系統(tǒng)中，正規(guī)化的用途是?A、消除死鎖B、減少數(shù)據(jù)冗余。C、縮短數(shù)據(jù)訪問(wèn)時(shí)間。D、使數(shù)據(jù)標(biāo)準(zhǔn)化。答案：B116.A2-142某信息系統(tǒng)審計(jì)師正在審查風(fēng)險(xiǎn)管理流程。以下哪項(xiàng)是審查期間最重要的考慮事項(xiàng)?A、根據(jù)成本效益分析實(shí)施控制B、風(fēng)險(xiǎn)管理框架基于全球標(biāo)準(zhǔn)C、風(fēng)險(xiǎn)響應(yīng)審批流程得到貫徹以D、業(yè)務(wù)術(shù)語(yǔ)說(shuō)明IT風(fēng)險(xiǎn)答案：D117.了解一個(gè)操作系統(tǒng)的安全配置的最佳方式是：A、學(xué)習(xí)供應(yīng)商的安裝手冊(cè)。B、檢查系統(tǒng)安全計(jì)劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動(dòng)配置的參數(shù)。答案：D118.A4-128在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃期間，業(yè)務(wù)影響分析確定關(guān)鍵流程和支持業(yè)務(wù)的應(yīng)用程序。這將主要影響：A、維護(hù)業(yè)務(wù)連續(xù)性計(jì)劃的責(zé)任B、選擇恢復(fù)站點(diǎn)提供商的標(biāo)準(zhǔn)C、恢復(fù)策略D、關(guān)鍵人員的責(zé)任答案：C119.ROI(returnoninvestment投資回報(bào)率)分析在IT決策過(guò)程中的一個(gè)好處是提供A、分配間接成本的基礎(chǔ)B、更換設(shè)備的成本C、分配財(cái)務(wù)資源的基礎(chǔ)D、估計(jì)所有權(quán)的成本答案：C120.企業(yè)使用IASS（基礎(chǔ)設(shè)施及服務(wù)）進(jìn)行IT管理，誰(shuí)應(yīng)該負(fù)責(zé)操作系統(tǒng)安全A、企業(yè)B、云服務(wù)商C、操作系統(tǒng)提供商D、企業(yè)和云服務(wù)商答案：A121.A1-146某信息系統(tǒng)審計(jì)師想要確定管理用戶進(jìn)出服務(wù)器機(jī)房的有效性。以下哪項(xiàng)能夠提供最佳的有效性證據(jù)?A、查看日志中記錄的事件B、審查流程手冊(cè)C、約談管理人員D、約談安全人員答案：A122.為防止未授權(quán)的變更被移入生產(chǎn)環(huán)境，最有效方式是以下哪一項(xiàng)?A、徹底測(cè)算測(cè)試環(huán)境中的變更B、強(qiáng)制在開發(fā)人員和遷移者之間進(jìn)行職責(zé)分離C、需要業(yè)務(wù)流程所有者批準(zhǔn)變更D、定期審查變更請(qǐng)求，以確保所有變更文件記錄在附件中答案：B123.【重要題】為減輕API查詢公開數(shù)據(jù)的風(fēng)險(xiǎn)，以下哪項(xiàng)考慮因素最重要?A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化D、數(shù)據(jù)保留答案：C124.【重要題】在評(píng)估企業(yè)的漏洞掃描計(jì)劃時(shí)，以下哪項(xiàng)是審計(jì)師的最大顧慮?A、漏洞掃描頻率低于漏洞掃描計(jì)劃要求B、結(jié)果沒有報(bào)告給有權(quán)確保解決相關(guān)漏洞的人C、未記錄針對(duì)已識(shí)別漏洞所采取的步驟D、結(jié)果沒有得到高級(jí)管理層批準(zhǔn)答案：B125.A3-52執(zhí)行事后審查的主要目的是提供機(jī)會(huì)：A、改進(jìn)內(nèi)部控制程序B、將網(wǎng)絡(luò)強(qiáng)化到行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)C、向管理層強(qiáng)調(diào)事故響應(yīng)管理的重要性D、提高員工對(duì)事故響應(yīng)過(guò)程的認(rèn)識(shí)程度答案：A126.企業(yè)將某個(gè)系統(tǒng)部署到私有云的Issa，問(wèn)誰(shuí)為系統(tǒng)安全最終負(fù)責(zé)：A、企業(yè)B、企業(yè)和云供應(yīng)商C、操作系統(tǒng)供應(yīng)商D、云供應(yīng)商答案：A127.【重要題】在信息系統(tǒng)開發(fā)方法中，以下哪一項(xiàng)應(yīng)該被包括在內(nèi)?A、風(fēng)險(xiǎn)管理技術(shù)B、事故管理技術(shù)C、訪問(wèn)控制規(guī)則D、增值活動(dòng)分析答案：A128.A1-26發(fā)現(xiàn)共享用戶賬戶時(shí)，信息系統(tǒng)審計(jì)師要采取的最適當(dāng)措施是：A、向?qū)徲?jì)委員會(huì)告知潛在的問(wèn)題B、審查有問(wèn)題I的審計(jì)日志C、記錄發(fā)現(xiàn)并說(shuō)明使用共享I的風(fēng)險(xiǎn)D、要求從系統(tǒng)中刪除這些I答案：C129.【重要題】某公司實(shí)施了虛擬化，但是對(duì)網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施沒有變動(dòng)，最容易造成哪種風(fēng)險(xiǎn)?A、IS檢測(cè)不了虛擬化到服務(wù)器的流量B、虛擬平臺(tái)的漏洞會(huì)影響多臺(tái)主機(jī)C、系統(tǒng)文檔未更新以反映環(huán)境的變更D、新的虛擬環(huán)境與原環(huán)境配置不同答案：B130.信息系統(tǒng)審計(jì)師在審查某應(yīng)用程序是否符合信息隱私保護(hù)原則時(shí)，應(yīng)該最關(guān)注以下哪項(xiàng)？A、完整性B、不可抵賴性C、可用性D、信息收集限制答案：D131.A1-73信息系統(tǒng)審計(jì)師應(yīng)使用下列哪項(xiàng)來(lái)檢測(cè)發(fā)票主文件中是否存在重復(fù)的發(fā)票記錄?A、屬性抽樣B、計(jì)算機(jī)輔助審計(jì)技術(shù)C、符合性測(cè)試D、集成測(cè)試設(shè)施答案：B132.A5-282以下哪個(gè)選項(xiàng)可用于自動(dòng)確保在處理過(guò)程中使用適當(dāng)?shù)臄?shù)據(jù)文件?A、文件標(biāo)題記錄B、使用版本號(hào)C、奇偶校驗(yàn)D、文件安全控制答案：A133.為了給客戶提供更快的查詢，數(shù)據(jù)庫(kù)管理員刪除了引用完整性，以下哪項(xiàng)能夠彌補(bǔ)刪除引用完整性所帶來(lái)的問(wèn)題？A、定期檢查表的鏈接B、更加頻繁的備份數(shù)據(jù)C、對(duì)數(shù)據(jù)庫(kù)實(shí)施性能監(jiān)控答案：A134.制訂業(yè)務(wù)連續(xù)性計(jì)劃的第一步，也是必不可少的一步是：A、軟件和硬件的可用性B、羅列出所有資產(chǎn)的清單C、完整地記錄所有災(zāi)難D、根據(jù)風(fēng)險(xiǎn)將應(yīng)用系統(tǒng)分類答案：B135.信息系統(tǒng)審計(jì)師在審核與新數(shù)據(jù)丟失防護(hù)工具相關(guān)的控制設(shè)計(jì)時(shí)，發(fā)現(xiàn)將配置該工具在大型文件通過(guò)電子郵件發(fā)送至公司外部時(shí)，系統(tǒng)會(huì)向IT管理人員發(fā)出警報(bào)。以下什么類型的控制將會(huì)被測(cè)試?A、糾正B、指示C、檢測(cè)D、預(yù)防答案：C136.以下哪項(xiàng)最能保證審計(jì)部門的獨(dú)立性A、審計(jì)計(jì)劃B、審計(jì)章程C、審計(jì)報(bào)告D、審計(jì)方案答案：B137.A2-55以下那個(gè)選項(xiàng)是決策支持系統(tǒng)過(guò)程中的實(shí)施風(fēng)險(xiǎn)?A、管理控制B、半結(jié)構(gòu)化維度C、無(wú)法明確目標(biāo)和使用模式D、決策過(guò)程中的變化答案：C138.以下哪一項(xiàng)是實(shí)施分散式IT治理模型最主要的原因?A、實(shí)現(xiàn)標(biāo)準(zhǔn)化和規(guī)模經(jīng)濟(jì)B、實(shí)現(xiàn)各業(yè)務(wù)部門的統(tǒng)一性C、促進(jìn)各業(yè)務(wù)部門之間的IT協(xié)作D、有利于對(duì)業(yè)務(wù)需求有更快的響應(yīng)答案：D139.A3-1已定義和完成的系統(tǒng)交付成果是新業(yè)務(wù)系統(tǒng)應(yīng)用能夠成功完成和實(shí)施的保證，該交付成果應(yīng)由誰(shuí)審查和批準(zhǔn)?A、用戶管理人員B、項(xiàng)目督導(dǎo)委員會(huì)C、高級(jí)管理員D、質(zhì)量保證人員答案：A140.A4-222為了進(jìn)行適當(dāng)協(xié)調(diào),以下哪項(xiàng)業(yè)務(wù)連續(xù)性計(jì)劃測(cè)試需要危機(jī)管理/響應(yīng)團(tuán)隊(duì)的相關(guān)成員的參與?A、桌面測(cè)試B、功能測(cè)試C、全面測(cè)試D、桌上檢查答案：A141.未經(jīng)良好設(shè)計(jì)的數(shù)據(jù)中心可能遭受尾隨，最好的措施是A、雙因素認(rèn)B、雙重門認(rèn)證C、生物識(shí)別D、安全教育答案：D142.IT指導(dǎo)委員會(huì)應(yīng)該采取哪項(xiàng)措施來(lái)幫助董事會(huì)履行IT治理職責(zé)?A、制定IT政策和措施來(lái)跟蹤項(xiàng)目B、聚焦在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項(xiàng)目和IT資源的分配情況D、實(shí)施IT戰(zhàn)略答案：D143.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)安全運(yùn)營(yíng)團(tuán)隊(duì)在與員工的通信中包含了最近攻擊的詳細(xì)報(bào)告。以下哪一項(xiàng)是這一情況的最大擔(dān)憂?A、員工可能會(huì)濫用或傳播報(bào)告中的信息B、沒有采用書面化的方式來(lái)傳達(dá)報(bào)告C、沒有技術(shù)專業(yè)背景的員工不理解該報(bào)告D、員工可能未能了解威脅的嚴(yán)重性答案：A144.如何確保審計(jì)師在控制自我評(píng)估中的獨(dú)立性?A、設(shè)計(jì)CSA調(diào)查問(wèn)卷B、參與其中C、監(jiān)督并提供整改意見D、評(píng)估CSA調(diào)查問(wèn)卷答案：C145.A5-250信息系統(tǒng)審計(jì)師在審查一家組織的身份認(rèn)證控制時(shí)最應(yīng)關(guān)注的是：A、是否有用戶賬戶在5次嘗試失敗后未被鎖定B、員工是否可以在定義的時(shí)間范圍內(nèi)重復(fù)使用密碼C、系統(tǒng)管理員是否使用共享登錄憑證D、密碼是否不會(huì)自動(dòng)過(guò)期答案：C146.A4-82某批量交易作業(yè)在生產(chǎn)中操作失敗，但在用戶驗(yàn)收測(cè)試(UAT)中卻未出現(xiàn)問(wèn)題。生產(chǎn)批量作業(yè)分析顯示，它在UAT后經(jīng)過(guò)修改。將來(lái)減少這種風(fēng)險(xiǎn)的最佳途徑是以下哪一個(gè)?A、完善回歸測(cè)試案例B、針對(duì)發(fā)布后的有限時(shí)間段啟用審計(jì)軌跡C、執(zhí)行應(yīng)用用戶訪問(wèn)審查D、確保開發(fā)人員在測(cè)試后無(wú)訪問(wèn)權(quán)限進(jìn)行編碼答案：D147.某外部單位向?qū)徲?jì)師索要審計(jì)報(bào)告，審計(jì)師應(yīng)該怎么做?A、征得審計(jì)管理部門和被審單位同意后，提供審計(jì)報(bào)告B、征得審計(jì)管理部門同意后，提供審計(jì)報(bào)告C、征得被審單位同意后，提供審計(jì)報(bào)告D、直接提供審計(jì)報(bào)告答案：A148.某IS審計(jì)師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留，對(duì)該IS審計(jì)師而言，以下哪一項(xiàng)最值得關(guān)注?A、最終用戶不知曉事故報(bào)告程序。B、日志服務(wù)器不在單獨(dú)的網(wǎng)絡(luò)上。C、未堅(jiān)持進(jìn)行備份。D、無(wú)監(jiān)管鏈政策。答案：D149.在生產(chǎn)數(shù)據(jù)庫(kù)中直接更新數(shù)據(jù)時(shí)，以下哪一項(xiàng)能最有效地確保問(wèn)責(zé)制？A、之前和之后的屏幕截圖B、經(jīng)過(guò)批準(zhǔn)的實(shí)施計(jì)劃C、經(jīng)過(guò)批準(zhǔn)的驗(yàn)證計(jì)劃D、數(shù)據(jù)文件安全性答案：A150.A5-224發(fā)送付款指令時(shí),下列哪項(xiàng)有助于合適該指令不重復(fù)?A、使用加密哈希算法B、將消息摘要加密C、計(jì)算交易的檢驗(yàn)和D、使用序號(hào)和時(shí)間戳答案：D151.在審查數(shù)據(jù)中心運(yùn)行的有效性時(shí)，信息系統(tǒng)審計(jì)師需首先確定系統(tǒng)性能，用于以下哪項(xiàng)工作？A、按照事先約定的服務(wù)等級(jí)進(jìn)行監(jiān)控和報(bào)告B、滿足制造商規(guī)定的預(yù)期目標(biāo)C、在該系統(tǒng)的公認(rèn)可靠性等級(jí)之內(nèi)D、能夠反映在實(shí)施時(shí)確立的預(yù)期使用水平答案：D152.規(guī)劃審計(jì)時(shí)，對(duì)重要性進(jìn)行評(píng)估的作用是：A、可排除小錯(cuò)誤的累計(jì)效應(yīng)B、幫助審計(jì)集中在關(guān)鍵領(lǐng)域C、在審計(jì)測(cè)試完成時(shí)告知審計(jì)師D、集中于財(cái)務(wù)方面的項(xiàng)目答案：B153.在取證數(shù)據(jù)采集和保存流程中以下哪項(xiàng)最重要？A、保持?jǐn)?shù)據(jù)完整性B、確保設(shè)備的物理安全C、維持保管鏈D、決定要使用的工答案：C154.A3-56專家系統(tǒng)使用問(wèn)卷調(diào)查的方式引導(dǎo)用戶做出一系列選擇，直到得出結(jié)論。這個(gè)方法的知識(shí)基礎(chǔ)被稱為：A、規(guī)則B、決策樹C、語(yǔ)義網(wǎng)絡(luò)D、數(shù)據(jù)流圖答案：B155.【重要題】在支持投資的業(yè)務(wù)案例中包含以下哪一項(xiàng)最重要?A、業(yè)務(wù)影響分析(I)B、安全要求C、成本效益分析D、風(fēng)險(xiǎn)評(píng)估答案：C156.考想到有一個(gè)重大的數(shù)服安金器網(wǎng)，通席執(zhí)行育(CEO)要計(jì)對(duì)網(wǎng)絡(luò)安全功械進(jìn)行件的電計(jì)，但是，最近的組織經(jīng)組使得信息系統(tǒng)審計(jì)部門儀制下了經(jīng)驗(yàn)有限的幾名成員，信息系統(tǒng)市計(jì)經(jīng)理股該采取的最佳做法是：A、聯(lián)系外部相憑來(lái)進(jìn)行審計(jì)，B、接受這項(xiàng)市計(jì)任務(wù)，得是推延到進(jìn)行了網(wǎng)絡(luò)知識(shí)培訓(xùn)后再進(jìn)行。C、將這項(xiàng)市計(jì)工作以絕對(duì)優(yōu)先級(jí)列入下一年度的市計(jì)計(jì)劃中。D、將最資深的信息系統(tǒng)審計(jì)員委派到網(wǎng)絡(luò)安全審計(jì)中。答案：A157.A4-36數(shù)據(jù)庫(kù)管理員提議，可通過(guò)使某些表非規(guī)范化來(lái)提高數(shù)據(jù)庫(kù)效率。這將導(dǎo)致：A、機(jī)密性丟失B、冗余度增加C、未經(jīng)授權(quán)的訪問(wèn)D、應(yīng)用程序出現(xiàn)故障答案：B158.為了節(jié)省成本，公司使用控制較弱的應(yīng)用程序來(lái)管理非關(guān)鍵流程，但是管理層每周審查日志以發(fā)現(xiàn)潛在的可疑活動(dòng)，這是屬于什么類型的控制?A、預(yù)防性控制B、補(bǔ)償性控制C、檢測(cè)性控制D、糾正性控制答案：B159.入侵檢測(cè)系統(tǒng)(IDS)可以起到哪些作用?A、代替防火墻B、調(diào)查網(wǎng)絡(luò)內(nèi)部攻擊C、彌補(bǔ)身份驗(yàn)證機(jī)制的不足D、提供增強(qiáng)安全基礎(chǔ)設(shè)施的保障信息答案：D160.企業(yè)部署了數(shù)據(jù)存儲(chǔ)硬件，IS審計(jì)師應(yīng)審查哪一項(xiàng)以評(píng)估IT是否最大限度地利用了存儲(chǔ)和網(wǎng)絡(luò)?A、質(zhì)量管理系統(tǒng)B、日常和非日常作業(yè)時(shí)間表C、停機(jī)時(shí)間統(tǒng)計(jì)D、容量管理計(jì)劃答案：D161.下列哪一項(xiàng)是制定網(wǎng)絡(luò)服務(wù)的服務(wù)水平的協(xié)議（SLA）所面臨的挑戰(zhàn)？A、減少網(wǎng)絡(luò)入口(entrypoint)數(shù)量B、建立設(shè)計(jì)良好的網(wǎng)絡(luò)服務(wù)框架C、找到能夠正確衡量的性能指標(biāo)D、確?？蛻粑葱薷木W(wǎng)絡(luò)組件答案：C162.審計(jì)新的應(yīng)用系統(tǒng)，審計(jì)師要最主要考慮：A、風(fēng)險(xiǎn)分析B、成本效益分析C、項(xiàng)目可行性分析D、業(yè)務(wù)影響分析答案：A163.A5-171某組織通過(guò)安全的有限網(wǎng)絡(luò)存儲(chǔ)和傳輸敏感的客戶信息。該組織另外亦已經(jīng)實(shí)施了一個(gè)無(wú)線局域網(wǎng)(WLAN)，以解決一般目的的員工計(jì)算需要。少數(shù)具有WLAN訪問(wèn)權(quán)限的員工也有訪問(wèn)信息的合理業(yè)務(wù)理由。以下哪項(xiàng)是保證二網(wǎng)分離的最佳控制?A、建立兩個(gè)物理上分離的網(wǎng)絡(luò)B、實(shí)施虛擬局域網(wǎng)分區(qū)C、在兩個(gè)網(wǎng)絡(luò)之間安裝專用的路由器D、在兩個(gè)網(wǎng)絡(luò)之間安裝防火墻答案：D164.A1-23在判斷運(yùn)作有效性控制是否適當(dāng)?shù)貞?yīng)用到交易處理時(shí)，以下哪項(xiàng)審計(jì)實(shí)踐最有效?A、控制設(shè)計(jì)測(cè)試B、進(jìn)行實(shí)質(zhì)性測(cè)試C、檢查相關(guān)文檔D、實(shí)施關(guān)于風(fēng)險(xiǎn)防范的測(cè)試答案：B165.哪種控制在跨網(wǎng)絡(luò)傳輸中有效檢測(cè)數(shù)據(jù)意外損壞A、順序檢查B、對(duì)稱加密C、奇偶校驗(yàn)D、校驗(yàn)（數(shù)字）位答案：D166.項(xiàng)目開發(fā)階段，新增加了一個(gè)功能點(diǎn)，以下哪項(xiàng)影響最大?A、未滿足用戶需求B、項(xiàng)目關(guān)鍵路徑改變C、超出預(yù)算D、項(xiàng)目延遲完成答案：A167.【重要題】下列哪一項(xiàng)能夠最有效地保護(hù)數(shù)據(jù)中心的信息資產(chǎn)不被供應(yīng)商竊取A、監(jiān)控并限制供應(yīng)商的活動(dòng)B、給供應(yīng)商發(fā)放訪問(wèn)卡C、隱藏?cái)?shù)據(jù)設(shè)備和信息標(biāo)簽D、限制使用便捷式和無(wú)線設(shè)備答案：A168.【重要題】查看郵件的內(nèi)容是否被修改，應(yīng)使用?A、哈希B、數(shù)字簽名C、加密D、雙因素認(rèn)證答案：A169.為減輕API查詢公開數(shù)據(jù)的風(fēng)險(xiǎn)，以下哪項(xiàng)考慮因素最重要A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化D、數(shù)據(jù)保留答案：C170.當(dāng)企業(yè)實(shí)施安全信息和事件管理（SIEM）系統(tǒng)時(shí)，建立了哪一種控制類型A、檢測(cè)性B、改正性C、指導(dǎo)性D、預(yù)防性答案：A171.信息系統(tǒng)審計(jì)師正在審查外包客戶服務(wù)部門的服務(wù)管理，以下哪一項(xiàng)最能表明服務(wù)提供商執(zhí)行此職能的效能?A、客戶滿意度評(píng)級(jí)B、有效通話次C、工單平均時(shí)長(zhǎng)D、通話記錄審查答案：A172.A5-215數(shù)字簽名的使用:A、需要使用一次性密碼生成器B、可對(duì)消息進(jìn)行加密C、可驗(yàn)證消息的來(lái)源D、可確保消息的機(jī)密性答案：C173.管理層通過(guò)員工調(diào)查問(wèn)卷結(jié)果判斷關(guān)鍵控制失效，審計(jì)師應(yīng)該A、建議增加相關(guān)員工B、建議增加控制C、檢查是否有補(bǔ)償控制答案：C174.審計(jì)師在設(shè)計(jì)階段應(yīng)該評(píng)估A、開發(fā)方法B、應(yīng)用功能C、兼容性D、是否有自動(dòng)控制答案：D175.在電子商務(wù)中使用的典型網(wǎng)絡(luò)體系結(jié)構(gòu)中，負(fù)載平衡器通常位于下面哪兩個(gè)項(xiàng)目之間：A、數(shù)據(jù)庫(kù)和外部網(wǎng)關(guān)B、用戶和外部網(wǎng)關(guān)C、路由器和web服務(wù)器D、郵件服務(wù)器和郵件庫(kù)答案：C176.企業(yè)購(gòu)置了新的大容量存儲(chǔ)設(shè)備，將目前使用的替換下來(lái)，并且替換下來(lái)的用做恢復(fù)，以下審計(jì)師最擔(dān)心的是?A、未更新P和RPB、恢復(fù)站點(diǎn)的存儲(chǔ)能力能否足夠C、新設(shè)備和替換設(shè)備是否簽訂維護(hù)合同D、采購(gòu)是否符合企業(yè)的策略和規(guī)定答案：B177.A1-30在風(fēng)險(xiǎn)分析期間，信息系統(tǒng)審計(jì)師已確定威脅和潛在影響。接下來(lái)，該信息系統(tǒng)審計(jì)師應(yīng)該：A、確保風(fēng)險(xiǎn)評(píng)估與管理層的風(fēng)險(xiǎn)評(píng)估流程相一致B、確定信息資產(chǎn)和底層系統(tǒng)C、對(duì)管理層披露威脅和影響D、確定并評(píng)估現(xiàn)有控制答案：D178.某企業(yè)使用云計(jì)算服務(wù)提供商，為在線計(jì)費(fèi)系統(tǒng)提供服務(wù)，客戶始終可以訪問(wèn)該網(wǎng)站。驗(yàn)證企業(yè)的業(yè)務(wù)需求得到滿足的最佳方式是什么?A、監(jiān)控與供應(yīng)商的服務(wù)水平協(xié)議(SLA)B、要求供應(yīng)商報(bào)告超過(guò)五分鐘的中斷C、調(diào)用審計(jì)權(quán)條款D、與供應(yīng)商就定期的性能討論達(dá)成協(xié)議答案：A179.A5-140某信息系統(tǒng)審計(jì)師檢查了一個(gè)無(wú)窗機(jī)房，機(jī)房中有電話交換機(jī)和聯(lián)網(wǎng)設(shè)備以及文檔夾。該機(jī)房配有兩個(gè)手持滅火器———————一個(gè)是二氧化碳滅火器，另一個(gè)是鹵徑滅火器。下列哪一項(xiàng)應(yīng)在信息系統(tǒng)審計(jì)師的報(bào)告中具有最高優(yōu)先級(jí)?A、移走鹵徑滅火器，因?yàn)辂u化物會(huì)對(duì)大氣臭氧層產(chǎn)生負(fù)面影響B(tài)、在密閉機(jī)房中使用時(shí)，兩種滅火器都有導(dǎo)致窒息的危險(xiǎn)C、移走二氧化碳滅火器，因?yàn)槎趸紝?duì)于固體可燃物(紙張)的滅火是無(wú)效的D、將文檔夾從設(shè)備機(jī)房中移走，從而降低潛在風(fēng)險(xiǎn)答案：B180.A4-48在正常工作時(shí)間之后需要對(duì)數(shù)據(jù)庫(kù)進(jìn)行緊急變更的數(shù)據(jù)庫(kù)管理員(DBA)應(yīng)：A、用其指定賬戶登錄進(jìn)行變更B、用共享賬戶登錄進(jìn)行變更C、登錄到服務(wù)器管理賬戶進(jìn)行變更D、使用用戶的賬戶登錄進(jìn)行變更答案：A181.A5-96當(dāng)使用公鑰加密來(lái)保護(hù)在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)時(shí)：A、用于加密和解密數(shù)據(jù)的兩個(gè)密鑰均為公鑰B、用于加密數(shù)據(jù)的密鑰為私鑰，但用于解密數(shù)據(jù)的密鑰為公鑰C、用于加密數(shù)據(jù)的密鑰為公鑰，但用于解密數(shù)據(jù)的私鑰為私鑰D、用于加密和解密數(shù)據(jù)的兩個(gè)密鑰均為私鑰答案：C182.由于資源有限，某開發(fā)人員需要生產(chǎn)數(shù)據(jù)的完全訪問(wèn)權(quán)限，以支持生產(chǎn)用戶報(bào)告的某些問(wèn)題。對(duì)于控制生產(chǎn)中未經(jīng)授權(quán)的變更，以下哪一項(xiàng)是好的補(bǔ)償性控制？A、向開發(fā)人員提供用于編程和生產(chǎn)支持的單獨(dú)ID并進(jìn)行監(jiān)控。B、通過(guò)啟用審計(jì)軌跡來(lái)捕獲開發(fā)人員在生產(chǎn)環(huán)境中的活動(dòng)。C、在允許開發(fā)人員進(jìn)行生產(chǎn)變更之前備份所有受到影響的記錄。D、確保所有變更都經(jīng)過(guò)變更管理人員批準(zhǔn)。答案：A183.A3-106在應(yīng)用程序開發(fā)項(xiàng)目的系統(tǒng)測(cè)試階段，信息系統(tǒng)審計(jì)師應(yīng)該審查：A、概念設(shè)計(jì)規(guī)范B、供應(yīng)商合同C、錯(cuò)誤報(bào)告D、程序變更請(qǐng)求答案：C184.信息系統(tǒng)審計(jì)師在實(shí)施后審查時(shí)應(yīng)該最關(guān)心以下哪一項(xiàng)？A、系統(tǒng)開發(fā)延遲了兩個(gè)星期。B、系統(tǒng)沒有維護(hù)計(jì)劃。C、系統(tǒng)包含三個(gè)輕微的缺陷。D、系統(tǒng)超出了預(yù)算25%。答案：B185.A4-167將業(yè)務(wù)連續(xù)性計(jì)劃整合到信息技術(shù)項(xiàng)目管理中有助于：A、測(cè)試業(yè)務(wù)連續(xù)性要求B、開發(fā)更全面的要求C、制定交易流程圖D、確保應(yīng)用程序滿足用戶需求答案：B186.董事會(huì)要求審計(jì)部門衡量是否將低風(fēng)險(xiǎn)等級(jí)納入審計(jì)計(jì)劃，內(nèi)部審計(jì)師怎么確定是否審計(jì)？A、挑戰(zhàn)(無(wú)視)審計(jì)等級(jí)，審計(jì)全部?jī)?nèi)容B、請(qǐng)外部審計(jì)師審計(jì)低風(fēng)險(xiǎn)領(lǐng)域C、利用專業(yè)判斷評(píng)估低風(fēng)險(xiǎn)領(lǐng)域，審計(jì)低風(fēng)險(xiǎn)中的部分領(lǐng)域答案：C187.評(píng)估IT實(shí)際使用資源使用和計(jì)劃資源分配的一致性的技術(shù)是什么?A、掙得值分析(EV)B、投資回報(bào)分析(ROI)C、甘特圖D、關(guān)鍵路徑分析(P)答案：A188.A2-132由于盈利壓力,企業(yè)的高級(jí)管理層決定將信息安全投資保持在不太充分的水平。以下哪一項(xiàng)是信息系統(tǒng)審計(jì)師的最佳建議?A、使用云提供商提供低風(fēng)險(xiǎn)運(yùn)營(yíng)B、修改合規(guī)性實(shí)施流程C、要求高級(jí)管理層接受風(fēng)險(xiǎn)D、推遲低優(yōu)先級(jí)安全程序答案：C189.以下哪一種方法能將可重復(fù)使用的存儲(chǔ)設(shè)備中的敏感數(shù)據(jù)有效刪除A、使用介質(zhì)清除軟件B、覆蓋敏感數(shù)據(jù)C、格式化便攜式設(shè)備D、消磁(使設(shè)備暴露于磁場(chǎng)中)答案：B190.A5-200防止網(wǎng)絡(luò)被用作拒絕服務(wù)攻擊中的放大器的最佳過(guò)濾規(guī)則是拒絕所有：A、源地址在網(wǎng)絡(luò)外部的傳輸出流量B、被辨認(rèn)出使用偽造IP源地址的傳入通信C、包含互聯(lián)網(wǎng)協(xié)議中所設(shè)置選項(xiàng)的傳入流量D、目標(biāo)地址屬于關(guān)鍵主機(jī)的傳入流量答案：A191.A2-90為了幫助管理人員實(shí)現(xiàn)IT與業(yè)務(wù)保持一致性的目標(biāo)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)建議使用：A、控制自我評(píng)估B、業(yè)務(wù)影響分析C、IT平衡計(jì)分卡D、業(yè)務(wù)流程再造答案：C192.開發(fā)人員對(duì)薪資系統(tǒng)中的數(shù)據(jù)字段做了未經(jīng)授權(quán)的變更。下列哪一種控制弱點(diǎn)最可能導(dǎo)致該問(wèn)題?A、程序設(shè)計(jì)人員有權(quán)訪問(wèn)生產(chǎn)程序。B、工資文件不受程序庫(kù)管理員控制。C、可排除D、程序設(shè)計(jì)人員沒有讓用戶參與測(cè)試。答案：A193.高級(jí)管理層決定接受審計(jì)結(jié)果中識(shí)別的風(fēng)險(xiǎn)，以下哪一項(xiàng)能證明管理層充分平衡了業(yè)務(wù)需求和管理風(fēng)險(xiǎn)的需要A、有風(fēng)險(xiǎn)接受和處理的既定標(biāo)準(zhǔn)B、潛在影響和可能性已經(jīng)充分記錄C、向風(fēng)險(xiǎn)管理委員會(huì)報(bào)告識(shí)別的風(fēng)險(xiǎn)D、存在溝通計(jì)劃，向可能受風(fēng)險(xiǎn)影響的相關(guān)方進(jìn)行了告知答案：A194.A1-144以下哪一項(xiàng)是在開發(fā)在線應(yīng)用程序系統(tǒng)的過(guò)程中嵌入審計(jì)模塊的主要目的?A、在處理交易的過(guò)程中收集證據(jù)B、降低定期進(jìn)行內(nèi)部審計(jì)的要求C、識(shí)別和報(bào)告欺詐性交易D、提高審計(jì)職能的效率答案：A195.為了提升大型企業(yè)的信息安全培訓(xùn)意識(shí)，以下哪項(xiàng)是最好的措施?A、確保制定培訓(xùn)計(jì)劃B、培訓(xùn)需要安排考試C、所有員工使用同一份課程進(jìn)行培訓(xùn)D、分角色等級(jí)分別設(shè)計(jì)課程答案：D196.EFT電子資金轉(zhuǎn)賬相對(duì)于手寫支票，最大的優(yōu)勢(shì)在于A、提高效率B、降低未授權(quán)的風(fēng)險(xiǎn)C、節(jié)約人工成本D、可以統(tǒng)一設(shè)定傳輸標(biāo)準(zhǔn)答案：A197.【重要題】以下哪一項(xiàng)最能支持企業(yè)努力減少勒索軟件攻擊的影響?A、確保付款方式可用B、開發(fā)強(qiáng)大的備份和恢復(fù)程序C、定期進(jìn)行內(nèi)部和外部滲透測(cè)試D、對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)答案：B198.審計(jì)師發(fā)現(xiàn)開發(fā)項(xiàng)目的范圍被顯著縮減，下列哪一項(xiàng)是審計(jì)師此時(shí)應(yīng)采取的最重要行動(dòng)？A、確認(rèn)相關(guān)部門和管理層范圍縮小的事實(shí)B、確認(rèn)IT成本是否已降低C、是否已經(jīng)采用了管理成熟度等級(jí)D、是否對(duì)關(guān)鍵控制的影響答案：A199.信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，公司管理層鼓勵(lì)員工為業(yè)務(wù)目的而使用社交網(wǎng)站。以下哪一項(xiàng)建議最有助于減少數(shù)據(jù)泄露風(fēng)險(xiǎn)?A、監(jiān)控員工對(duì)社交網(wǎng)站的使用B、對(duì)保密數(shù)據(jù)建立強(qiáng)大的訪問(wèn)控制C、為員工提供使用社交網(wǎng)站的培訓(xùn)和指南D、要求員工簽署政策確認(rèn)和保密協(xié)議答案：C200..以下哪一項(xiàng)最能保護(hù)在多個(gè)辦公地點(diǎn)之間傳輸?shù)拿舾袛?shù)據(jù)機(jī)密性?A、PKIB、數(shù)字簽名C、哈希D、Kereros答案：A201.A3-131以下哪種控制有助于在數(shù)據(jù)輸入時(shí)防止憑證重復(fù)錄入?A、范圍檢查B、置換和替代C、順序檢查D、循環(huán)冗余檢測(cè)答案：C202.A1-9對(duì)于一家交易量巨大的零售企業(yè)來(lái)說(shuō)，下面哪項(xiàng)最適合應(yīng)對(duì)新出現(xiàn)的風(fēng)險(xiǎn)的審計(jì)技術(shù)?A、使用計(jì)算機(jī)輔助審計(jì)技術(shù)B、季度風(fēng)險(xiǎn)評(píng)估C、交易日志抽樣D、持續(xù)性審計(jì)答案：D203.【重要題】從Internet連接到企業(yè)的局域網(wǎng)時(shí)，防止未經(jīng)授權(quán)訪問(wèn)的最佳建議是利用A、代理服務(wù)器B、VPNC、加密D、虛擬化服務(wù)器答案：B204.A3-23正在使用原型設(shè)計(jì)開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)的變更控制會(huì)因以下哪個(gè)因素而變得復(fù)雜?A、原型設(shè)計(jì)的迭代性質(zhì)B、快節(jié)奏的需求和設(shè)計(jì)修改C、對(duì)報(bào)告和屏幕的強(qiáng)調(diào)D、缺乏集成工具答案：B205.在應(yīng)付賬款系統(tǒng)中控制供應(yīng)商主文件更新的最佳方式是什么?A、使用事先編號(hào)并授權(quán)的申請(qǐng)表格B、將更新與授權(quán)相比較C、可排除D、定期審查整個(gè)供應(yīng)商主文件答案：B206.審計(jì)師關(guān)注UAT測(cè)試的重點(diǎn)是？A、已完成應(yīng)用程序接口測(cè)試B、已完成系統(tǒng)集成測(cè)試C、業(yè)務(wù)流程所有者簽字確認(rèn)測(cè)試結(jié)果。答案：C207.A2-87在確定信息資產(chǎn)的適當(dāng)保護(hù)等級(jí)時(shí)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要關(guān)注以下哪一個(gè)因素?A、風(fēng)險(xiǎn)評(píng)估的結(jié)果B、業(yè)務(wù)的相對(duì)價(jià)值C、漏洞評(píng)估的結(jié)果D、安全控制的成本答案：A208.評(píng)估與企業(yè)內(nèi)點(diǎn)對(duì)點(diǎn)文件共享相關(guān)的風(fēng)險(xiǎn)時(shí)，以下哪一項(xiàng)應(yīng)該是信息系統(tǒng)審計(jì)師最大的擔(dān)憂?A、不是所有設(shè)備都運(yùn)行了防病毒程序B、只有部分員工參加了安全意識(shí)培訓(xùn)C、企業(yè)沒有有效的修補(bǔ)程序管理流程D、文件共享政策尚未進(jìn)行過(guò)審查答案：B209.A5-199信息系統(tǒng)審計(jì)師最有可能以什么身份查看應(yīng)用哈希函數(shù)?A、﹀身份認(rèn)證B、識(shí)別C、授權(quán)D、加密答案：A210.當(dāng)信息系統(tǒng)審計(jì)師期望零偏差或很少偏差時(shí)，使用以下哪種抽樣技術(shù)最合適A、發(fā)現(xiàn)抽樣B、隨機(jī)抽樣C、停走抽樣D、貨幣單位抽樣答案：A211.審計(jì)師發(fā)現(xiàn)一名前員工仍舊可以訪同應(yīng)用程序。原來(lái)審計(jì)發(fā)現(xiàn)，有60名前員工可以訪問(wèn)多個(gè)應(yīng)用程序，并且不包括在這次審計(jì)發(fā)現(xiàn)的這個(gè)員工。以下哪一項(xiàng)是最何時(shí)報(bào)告?A、報(bào)告刪除離職員工訪問(wèn)權(quán)限的過(guò)程無(wú)效B、報(bào)告先前的發(fā)現(xiàn)已解決，但發(fā)現(xiàn)了新的問(wèn)題C、報(bào)告離職員工有權(quán)訪問(wèn)應(yīng)用程序D、報(bào)告先前的審計(jì)發(fā)現(xiàn)已得到補(bǔ)救答案：A212.【重要題】以下哪一種方法能將可重復(fù)使用的存儲(chǔ)設(shè)備中的敏感數(shù)據(jù)有效刪除?A、使用介質(zhì)清除軟件B、覆蓋敏感數(shù)據(jù)C、格式化便攜式設(shè)備D、消磁(使設(shè)備暴露于磁場(chǎng)中)答案：B213.對(duì)最近購(gòu)買的系統(tǒng)進(jìn)行實(shí)施后檢查時(shí)，最重要的是信息系統(tǒng)審計(jì)師要確定A、供應(yīng)商產(chǎn)品是否已提供可行的解決方案B、項(xiàng)目利益相關(guān)者的預(yù)期是否已識(shí)別C、測(cè)試方案是否反映了運(yùn)營(yíng)活動(dòng)D、是否已滿足用戶需求控制答案：D214.【重要題】在制定業(yè)務(wù)持續(xù)性計(jì)劃(BCP)時(shí)，業(yè)務(wù)單位管理層參與以下哪項(xiàng)工作最重要?A、參與業(yè)務(wù)恢復(fù)程序的制定B、參與實(shí)施文檔庫(kù)C、參與業(yè)務(wù)影響分析D、參與IT風(fēng)險(xiǎn)評(píng)估答案：C215..IT審計(jì)師在審查第三方供應(yīng)商報(bào)告的KPI。以下哪項(xiàng)是審計(jì)師的最大擔(dān)憂?A、KPI數(shù)據(jù)未加以分析B、KPI從未進(jìn)行更新C、文檔相關(guān)的，可排除D、KPI沒有明確定義答案：D216.確定配置應(yīng)用程序的內(nèi)部安全控制是否符合組織安全標(biāo)準(zhǔn)的最佳測(cè)試是哪個(gè)？A、安全報(bào)告的可用性和頻率B、業(yè)務(wù)應(yīng)用程序的安全參數(shù)設(shè)置C、IDS的日志D、應(yīng)用程序的用戶賬戶和密碼答案：B217.A2-14軟件托管協(xié)議會(huì)涉及處理以下哪種情況?A、系統(tǒng)管理員要求訪問(wèn)軟件以執(zhí)行災(zāi)難恢復(fù)B、用戶請(qǐng)求將軟件重新加載到備用硬盤C、定制軟件供應(yīng)商倒閉D、信息系統(tǒng)審計(jì)師要求訪問(wèn)組織編寫的軟件代碼答案：C218.A4-144對(duì)于包含在線銷售數(shù)據(jù)的大型數(shù)據(jù)庫(kù)，以下哪一項(xiàng)是最佳備份策略?A、具有每日增量備份的每周完整備份B、每日完整備份C、群集服務(wù)器D、鏡像硬盤答案：D219.A4-175信息系統(tǒng)審計(jì)師發(fā)現(xiàn)某企業(yè)對(duì)一些廢棄的硬盤驅(qū)動(dòng)器未使用能合理確保數(shù)據(jù)無(wú)法恢復(fù)的方式進(jìn)行清理。另外，該企業(yè)沒有關(guān)于數(shù)據(jù)處理的書面政策。該信息系統(tǒng)審計(jì)師應(yīng)該首先：A、起草一份審計(jì)結(jié)果，并與主管審計(jì)師討論B、判斷硬盤驅(qū)動(dòng)器上信息的敏感性C、與IT經(jīng)理討論有關(guān)數(shù)據(jù)廢棄的良好實(shí)踐D、為該企業(yè)制定相應(yīng)的數(shù)據(jù)廢棄政策答案：B220.執(zhí)行備份的做法反映了哪一種類型的內(nèi)部控制?A、預(yù)防B、檢測(cè)C、改正性D、補(bǔ)償答案：C221.發(fā)生災(zāi)難時(shí)，什么是確保組織備份介質(zhì)充分備份的最佳方案？A、定期在測(cè)試環(huán)境中恢復(fù)生產(chǎn)系統(tǒng)B、有計(jì)劃的備份設(shè)備維護(hù)C、定期審查備份日志，以確保生產(chǎn)環(huán)境中的所有數(shù)據(jù)得到備份D、有計(jì)劃的備份介質(zhì)讀取/寫入測(cè)試（說(shuō)明：D測(cè)試的是介質(zhì)的有效性，題干問(wèn)的是介質(zhì)充分備份）答案：C222.A1-18對(duì)遠(yuǎn)程系統(tǒng)的程序變更請(qǐng)求進(jìn)行測(cè)試時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)可用于抽樣的變更數(shù)量無(wú)法提供合理水平的鑒證。信息系統(tǒng)審計(jì)師最好地采取以下哪項(xiàng)措施?A、制定替代的測(cè)試程序B、向管理層報(bào)告發(fā)現(xiàn)的問(wèn)題C、對(duì)變更管理流程執(zhí)行瀏覽審查D、創(chuàng)建額外的樣本數(shù)據(jù)，以測(cè)試額外的變更答案：A223.企業(yè)開發(fā)系統(tǒng)有4個(gè)模塊，最后一個(gè)涉及將數(shù)據(jù)更新至數(shù)據(jù)庫(kù)中，信息系統(tǒng)審計(jì)師應(yīng)檢查什么A、實(shí)體關(guān)系圖B、配置數(shù)據(jù)庫(kù)管理C、變更管理D、數(shù)據(jù)流圖答案：D224.入侵檢測(cè)系統(tǒng)（IDS）可以起到哪些作用？A、代替防火墻B、調(diào)查網(wǎng)絡(luò)內(nèi)部攻擊C、彌補(bǔ)身份驗(yàn)證機(jī)制的不足D、提供增強(qiáng)安全基礎(chǔ)設(shè)施的保障信息答案：D225.A2-40在審查IT短期(戰(zhàn)術(shù))計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師應(yīng)確定是否：A、IT和業(yè)務(wù)人員都參與項(xiàng)目B、明確定義IT使命和愿景C、采用戰(zhàn)略信息技術(shù)計(jì)劃計(jì)分卡D、該計(jì)劃使業(yè)務(wù)目標(biāo)與IT目的和目標(biāo)相關(guān)聯(lián)答案：A226.組織將重要包含重要客戶信息的信息系統(tǒng)外包給國(guó)外的云服務(wù)商，最主要需要注意以下哪一點(diǎn)?A、審查服務(wù)商將在哪些國(guó)家和地區(qū)提供服務(wù)。B、法律法規(guī)的合規(guī)性C、確保數(shù)據(jù)存放在合同規(guī)定的所在國(guó)的所在地點(diǎn)。D、確保服務(wù)商遵守組織的安全策略。答案：B227.IT管理員廢除了數(shù)據(jù)庫(kù)中的某些引用完整性控制。下列哪一種控制能夠最有效地彌補(bǔ)引用完整性控制的不足?A、性能監(jiān)視工具B、定期檢查表的鏈接C、更頻繁地備份數(shù)據(jù)D、并行訪問(wèn)控制(untessontrols)答案：B228.從某個(gè)供應(yīng)商購(gòu)買了某個(gè)新應(yīng)用并且即將實(shí)施。實(shí)施應(yīng)用時(shí)以下哪一項(xiàng)是關(guān)鍵考慮因素？A、防止在實(shí)施流程中損壞源代碼B、確保已禁用供應(yīng)商的默認(rèn)賬戶和密碼C、從托管中刪除程序的舊副本，以免混淆D、核實(shí)供應(yīng)商在履行支持和維護(hù)協(xié)議答案：B229.【重要題】在審計(jì)期間，所有it團(tuán)隊(duì)都同意審計(jì)發(fā)現(xiàn)，但是沒有一個(gè)團(tuán)隊(duì)愿意承接整改的責(zé)任，審計(jì)師應(yīng)該：A、上報(bào)IT管理層尋求解決方案；B、不指明整改責(zé)任的情況下發(fā)布審計(jì)發(fā)現(xiàn)C、讓所有團(tuán)隊(duì)共同負(fù)責(zé)執(zhí)行D、選擇最適合的團(tuán)隊(duì)并進(jìn)行責(zé)任分配答案：A230.對(duì)于應(yīng)用程序開發(fā)驗(yàn)收測(cè)試來(lái)說(shuō)，以下哪項(xiàng)最重要?A、質(zhì)量保證(Q)小組負(fù)責(zé)測(cè)試過(guò)程B、用戶管理在啟動(dòng)測(cè)試之前會(huì)審批測(cè)試設(shè)計(jì)C、所有數(shù)據(jù)文件在轉(zhuǎn)換之前均進(jìn)行了有效信息測(cè)試D、編程小組參與測(cè)試過(guò)程進(jìn)行測(cè)試，要先設(shè)計(jì)測(cè)試。答案：B231.A2-133以下哪種保險(xiǎn)類型針對(duì)因員工欺詐行為造成的損失?A、業(yè)務(wù)中斷B、忠誠(chéng)保險(xiǎn)C、錯(cuò)誤和遺漏D、額外支出答案：B232.【重要題】下面哪一項(xiàng)措施是防止非授權(quán)登錄最可靠的方法?A、加強(qiáng)現(xiàn)有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計(jì)算機(jī)D、安全自動(dòng)密碼生成器答案：B233.IDS的作用是A、替代防火墻B、補(bǔ)償身份驗(yàn)證C、為增強(qiáng)基礎(chǔ)信息設(shè)施安全提供信息答案：C234.以下哪項(xiàng)可以最好的證明控制的有效性?A、控制矩陣B、控制測(cè)試的結(jié)果C、和管理層的面談交流D、控制自我評(píng)估S答案：B235.企業(yè)信息系統(tǒng)目標(biāo)的最佳來(lái)源是什么?A、信息安全管理部門B、業(yè)務(wù)流程所有者C、IT管理部門D、最終用戶答案：B236.【重要題】下列哪一項(xiàng)對(duì)信息安全管理系統(tǒng)的成功最為關(guān)鍵?A、信息安全與IT目標(biāo)的統(tǒng)一B、用戶對(duì)信息安全的責(zé)任確立C、管理部門對(duì)信息安全的承諾D、業(yè)務(wù)與信息安全的集成答案：C237.數(shù)據(jù)遷移計(jì)劃的第一步是？A、創(chuàng)建數(shù)據(jù)轉(zhuǎn)換腳本B、審查業(yè)務(wù)流程的決策C、對(duì)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)清洗D、了解新系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)答案：D238.檢測(cè)到服務(wù)器的實(shí)際使用量遠(yuǎn)遠(yuǎn)小于計(jì)劃，以下哪項(xiàng)措施可以改進(jìn)服務(wù)器的可用性?A、系統(tǒng)的停機(jī)日志B、容量規(guī)劃C、服務(wù)器的配置D、執(zhí)行流量負(fù)載均衡答案：B239.A4-186某信息系統(tǒng)審計(jì)師正在為某大型跨國(guó)公司審查應(yīng)用變更管理流程，他最擔(dān)心發(fā)生以下哪種情況?A、測(cè)試系統(tǒng)的運(yùn)行配置與生產(chǎn)系統(tǒng)不一樣B、變更管理記錄為紙質(zhì)記錄C、配置管理數(shù)據(jù)庫(kù)未經(jīng)維護(hù)D、測(cè)試環(huán)境安裝在生產(chǎn)服務(wù)器上答案：C240.【重要題】為防止在共享打印機(jī)上打印的保密文檔泄露，應(yīng)該采用以下哪種方法?A、加密用戶計(jì)算機(jī)和打印機(jī)之間的數(shù)據(jù)流B、文件標(biāo)題頁(yè)抬頭標(biāo)識(shí)密級(jí)C、要求授權(quán)用戶在將文檔發(fā)送到打印機(jī)之前提供密碼D、在打印結(jié)果輸出之前，要求先在打印機(jī)上輸入密碼答案：D241.如何充分驗(yàn)證定期備份的及時(shí)性與有效性?A、訪談關(guān)鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運(yùn)行的執(zhí)行情況答案：B242.以下哪一項(xiàng)最有助于檢測(cè)零day攻擊?A、IDSB、IPSC、反惡意軟件D、用戶行為分析答案：D243.信息系統(tǒng)審計(jì)師正在分析應(yīng)用程序的系統(tǒng)日志中記錄的訪問(wèn)采樣。如果發(fā)現(xiàn)異常，就會(huì)啟動(dòng)深入調(diào)查，適合使用哪種抽樣方法呢?A、發(fā)現(xiàn)抽樣B、判定抽樣C、變量抽樣D、分層抽樣答案：A244.防止服務(wù)器收到強(qiáng)力攻擊的最有效方法是：A、對(duì)服務(wù)器進(jìn)行加固B、連續(xù)輸入三次錯(cuò)誤鎖定C、更加復(fù)雜的密碼D、實(shí)施連續(xù)監(jiān)控答案：B245.A5-117網(wǎng)站證書的主要目的是:A、驗(yàn)證要瀏覽的網(wǎng)站B、驗(yàn)證瀏覽站點(diǎn)的用戶C、阻止黑客瀏覽網(wǎng)站D、與數(shù)字證書的目的相同答案：A246.在確定IT政策是否很好的適應(yīng)業(yè)務(wù)需求時(shí)，以下哪一項(xiàng)是最關(guān)鍵的證據(jù)？A、支持IT策略的總成本B、IT策略的例外數(shù)量C、IT策略的查詢次數(shù)D、違反IT策略所造成的總體損失答案：B247.A1-149以下哪一項(xiàng)可批準(zhǔn)審計(jì)章程?A、首席財(cái)務(wù)官B、首席執(zhí)行官C、審計(jì)督導(dǎo)委員會(huì)D、審計(jì)委員會(huì)答案：D248.以下哪項(xiàng)最能保證數(shù)據(jù)庫(kù)管理系統(tǒng)的最高性能?A、定期維護(hù)B、數(shù)據(jù)一致性C、數(shù)據(jù)庫(kù)正規(guī)化D、數(shù)據(jù)備份答案：B249.在對(duì)某公司的數(shù)據(jù)分類流程進(jìn)行評(píng)估時(shí)，信息系統(tǒng)審計(jì)師的主要關(guān)注哪些方面A、數(shù)據(jù)字典是否得到維護(hù)B、是否對(duì)數(shù)據(jù)正確分類C、數(shù)據(jù)保留要求是否明確定義D、數(shù)據(jù)分類是否自主化答案：C250.A2-1組織要求員工每年進(jìn)行強(qiáng)制性休假主要是想確保：A、在各職能部門之間進(jìn)行充分的交叉培訓(xùn)B、通過(guò)提高士氣，建立有效的內(nèi)部控制環(huán)境C、通過(guò)臨時(shí)替換發(fā)現(xiàn)潛在的違規(guī)處理D、降低發(fā)生處理失誤的風(fēng)險(xiǎn)答案：C251.以下哪項(xiàng)是檢查性控制?A、備份程序B、對(duì)輸入數(shù)據(jù)執(zhí)行程序化檢查C、使用門禁卡訪問(wèn)機(jī)房D、哈?？傆?jì)/散列總計(jì)驗(yàn)證答案：D252.A1-130由于信息系統(tǒng)審計(jì)團(tuán)隊(duì)意外的資源限制，無(wú)法完成最初批準(zhǔn)的審計(jì)計(jì)劃。假定已通過(guò)審計(jì)報(bào)告通報(bào)情況，最可接受的做法是哪一項(xiàng)?A、測(cè)試控制設(shè)計(jì)的充分性B、測(cè)試控制運(yùn)作的有效性C、專注于高風(fēng)險(xiǎn)區(qū)域的審計(jì)D、依靠管理層測(cè)試控制措施答案：C253.生物訪問(wèn)控制的錯(cuò)誤拒絕率最高A、虹膜識(shí)別B、指紋C、面部識(shí)別D、視網(wǎng)膜識(shí)別答案：C254.業(yè)務(wù)流程再造(BPR)過(guò)程中IT可協(xié)助A、職責(zé)分離B、總擁有成本C、集中于增值任務(wù)D、使任務(wù)流程化答案：D255.A2-75作為信息安全治理的結(jié)果，戰(zhàn)略一致性提供了：A、由企業(yè)需求驅(qū)動(dòng)的安全要求B、遵循良好實(shí)踐的基準(zhǔn)安全線C、制度化和商品化的解決方案D、對(duì)風(fēng)險(xiǎn)敞口的了解答案：A256.以下哪一項(xiàng)最能實(shí)時(shí)檢測(cè)到DDoS攻擊?A、自動(dòng)監(jiān)控日志B、服務(wù)器崩潰C、滲透測(cè)試D、可排除答案：A257.【重要題】為了幫助董事會(huì)履行IT治理職責(zé)，IT指導(dǎo)委員會(huì)應(yīng)該：A、制定項(xiàng)目跟蹤的IT政策和措施B、將注意力集中在IT服務(wù)和產(chǎn)品的供應(yīng)上C、監(jiān)督重大項(xiàng)目和IT資源的分配情況D、實(shí)施IT戰(zhàn)略答案：D258.發(fā)票上的賬單總金額每周自動(dòng)傳輸?shù)狡髽I(yè)的賬戶總賬上，審計(jì)師發(fā)現(xiàn)總賬上缺少一周的賬單時(shí)，應(yīng)該首先檢查以下哪一個(gè)領(lǐng)域A、年度對(duì)帳B、變更管理C、批處理控制D、模塊訪問(wèn)權(quán)限答案：C259.A5-169審查無(wú)線網(wǎng)絡(luò)安全性的信息系統(tǒng)審計(jì)師確定所有無(wú)線訪問(wèn)點(diǎn)上都禁用了動(dòng)態(tài)主機(jī)配置協(xié)議。這種做法：A、減少網(wǎng)絡(luò)的未授權(quán)的訪問(wèn)風(fēng)險(xiǎn)B、不適用小型網(wǎng)絡(luò)C、自動(dòng)向任何人提供IP地址D、增加與無(wú)線加密協(xié)議(WEP)相關(guān)的風(fēng)險(xiǎn)答案：A260.A3-80某公司實(shí)施了一套新的客戶端/服務(wù)器型企業(yè)資源規(guī)劃(ERP)系統(tǒng)。各地分支機(jī)構(gòu)會(huì)將客戶訂單傳動(dòng)到中央生產(chǎn)設(shè)備。以下哪一項(xiàng)能夠最有效地確保準(zhǔn)確處理這些訂單并生產(chǎn)相應(yīng)的產(chǎn)品?A、對(duì)照客戶訂單驗(yàn)證生產(chǎn)B、將所有客戶訂單計(jì)入ERP系統(tǒng)C、在訂單傳送過(guò)程中使用散列總計(jì)D、在生產(chǎn)之前審批(由生產(chǎn)監(jiān)督人員)訂單答案：A261.A4-143在對(duì)最近部署的應(yīng)用執(zhí)行實(shí)施審查過(guò)程中，發(fā)現(xiàn)幾個(gè)事故被分配了錯(cuò)誤的優(yōu)先級(jí)，并因此未能符合業(yè)務(wù)服務(wù)水平協(xié)議(SLA)的要求，以下哪一項(xiàng)最令人擔(dān)心?A、支持模型未經(jīng)高級(jí)管理層批準(zhǔn)B、SL中規(guī)定的事故解決時(shí)間不現(xiàn)實(shí)C、沒有足夠的資源來(lái)支持應(yīng)用D、支持模型未適當(dāng)開發(fā)和實(shí)施答案：D262.A2-139組織完成風(fēng)險(xiǎn)評(píng)估的一部分的威脅和漏洞分析之后，最終的報(bào)告建議主要互聯(lián)網(wǎng)網(wǎng)關(guān)安裝入侵防御系統(tǒng)(IPS)，而且應(yīng)通過(guò)代理防火墻分離所有業(yè)務(wù)部門。以下哪項(xiàng)是確定是否應(yīng)采取控制措施的最佳方法?A、成本效益分析B、年化預(yù)期損失計(jì)算C、IPS和防火墻成本與業(yè)務(wù)系統(tǒng)成本的對(duì)比D、業(yè)務(wù)影響分析答案：A263.A1-137以下哪項(xiàng)是控制自我評(píng)估方法的屬性?A、廣泛的利益相關(guān)方參與度B、審計(jì)師是主要的控制分析人員C、有限的員工參與度D、政策驅(qū)動(dòng)答案：A264.A4-257要對(duì)訪問(wèn)敏感信息的數(shù)據(jù)庫(kù)用戶實(shí)施問(wèn)責(zé)制，以下哪項(xiàng)控制措施最有效?A、實(shí)施日志管理流程B、實(shí)施雙因素認(rèn)證C、使用表視圖訪問(wèn)敏感數(shù)據(jù)D、將數(shù)據(jù)庫(kù)服務(wù)器與應(yīng)用程序服務(wù)器分開答案：A265.A4-196當(dāng)系統(tǒng)需要一天24小時(shí)在線接收銷售訂單時(shí)，以下哪一項(xiàng)是備份大量關(guān)鍵性任務(wù)數(shù)據(jù)的最有效策略?A、實(shí)施容錯(cuò)的磁盤到磁盤備份解決方案B、每周一次磁帶完整備份，每晚一次增量備份C、建立雙重存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SN)，并將數(shù)據(jù)復(fù)制到第二個(gè)SND、在一個(gè)熱備援中心建立相同的服務(wù)器和存儲(chǔ)基礎(chǔ)設(shè)施答案：A266.審計(jì)委員會(huì)已經(jīng)完成審計(jì)日程表，審計(jì)師團(tuán)隊(duì)已經(jīng)對(duì)項(xiàng)目進(jìn)行部分審計(jì)，執(zhí)行層提出對(duì)新項(xiàng)目進(jìn)行審計(jì)，審計(jì)師團(tuán)隊(duì)沒有足夠的資源進(jìn)行額外審計(jì)，可選擇方式進(jìn)行：A、申請(qǐng)修改審計(jì)日程B、拒絕C、申請(qǐng)把當(dāng)前審計(jì)計(jì)劃安排到下一期開展D、批準(zhǔn)加班，把工作完成答案：A267.因業(yè)務(wù)激增，某公司采購(gòu)了大型主機(jī)系統(tǒng)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要考慮下面哪一個(gè)因素A、DRP是否評(píng)估和更新B、采購(gòu)是否超過(guò)預(yù)算C、投標(biāo)是否經(jīng)過(guò)評(píng)估D、應(yīng)用程序訪問(wèn)控制是否充分答案：D268.以下哪一項(xiàng)在企業(yè)的合同管理流程中提供最有效的安全成果?A、在需求建議書階段執(zhí)行供應(yīng)商安全基準(zhǔn)分析B、擴(kuò)展安全評(píng)估以涵蓋合同終止時(shí)的資產(chǎn)處智C、確保在需求建議書階段明確安全要求D、擴(kuò)展安全評(píng)估以包括隨機(jī)滲透測(cè)試答案：C269.在計(jì)劃滲透測(cè)試時(shí)，應(yīng)首先執(zhí)行哪一項(xiàng)？A、確定漏洞的報(bào)告要求B、執(zhí)行保密協(xié)議C、定義測(cè)試范圍D、取得管理層的審批答案：C270.A5-5以下哪項(xiàng)最能保證服務(wù)器操作系統(tǒng)的完整性?A、在安全的位置放置服務(wù)器B、設(shè)置啟動(dòng)密碼C、加固服務(wù)器配置D、實(shí)施活動(dòng)日志答案：C271.質(zhì)量保證（QA）人員最不應(yīng)該從事哪項(xiàng)工作？A、建立分析技術(shù)B、改動(dòng)程序業(yè)務(wù)功能C、審查程序被修改D、制定命名規(guī)范答案：B272.以下哪一項(xiàng)最能體現(xiàn)信息安全計(jì)劃的有效性?A、安全團(tuán)隊(duì)知識(shí)豐富，使用最好的工具B、經(jīng)過(guò)意識(shí)培訓(xùn)后，報(bào)告和確認(rèn)的安全事故數(shù)量有所增加C、安全意識(shí)培訓(xùn)計(jì)劃是根據(jù)行業(yè)最佳實(shí)踐開發(fā)的D、安全團(tuán)隊(duì)執(zhí)行了風(fēng)險(xiǎn)評(píng)估，以了解公司的風(fēng)險(xiǎn)偏好答案：B273.【重要題】IT指導(dǎo)委員會(huì)應(yīng)該采取哪項(xiàng)措施來(lái)幫助董事會(huì)履行IT治理職責(zé)?A、制定I