PAGEPAGE1一、單選題1.一家擁有300家零售店鋪的公司正在部署分布式新系統(tǒng)，下面哪一種上線計劃比較合適？A、在某個典型店鋪實(shí)施上線B、300年店鋪全部并行上線C、挑選一些具有特點(diǎn)的店鋪并行上線D、分階段上線答案：C2.對預(yù)算有限的公司，解決內(nèi)部職責(zé)分離問題的最合適的措施是：A、定期實(shí)施輪崗B、招募臨時員工C、進(jìn)行獨(dú)立審計D、實(shí)施補(bǔ)償性控制答案：D3.A2-66開放式系統(tǒng)架構(gòu)的好處是：A、促進(jìn)不同系統(tǒng)內(nèi)的互操作性B、便于集成專有組件C、將成為設(shè)備供應(yīng)商提供批量折扣的基礎(chǔ)D、考慮了設(shè)備將要實(shí)現(xiàn)更大的規(guī)模經(jīng)濟(jì)答案：A4.A5-109以下哪項(xiàng)功能由虛擬私有網(wǎng)絡(luò)執(zhí)行?A、向網(wǎng)絡(luò)中的嗅探器隱藏信息B、強(qiáng)制實(shí)施安全政策C、檢測濫用或錯誤D、控制訪問答案：A5.A5-97用于確保虛擬私有網(wǎng)絡(luò)安全性的技術(shù)稱為：A、數(shù)據(jù)封裝B、數(shù)據(jù)包裝C、數(shù)據(jù)轉(zhuǎn)換D、數(shù)據(jù)哈希答案：A6.為評估整體IT性能.以下哪一項(xiàng)為新的信息系統(tǒng)審計師提供了最有用的信息?A、IT價值分析B、漏洞評估報告C、IT平衡計分卡D、之前的審計報告答案：C7.A5-149從長期看,以下哪項(xiàng)對改善安全事故響應(yīng)流程最具有潛力?A、對事故響應(yīng)流程執(zhí)行瀏覽審查B、由事故響應(yīng)團(tuán)隊(duì)執(zhí)行模擬演練C、不斷地對用戶進(jìn)行安全培訓(xùn)D、記錄對事故的響應(yīng)答案：B8.哪一項(xiàng)評估保護(hù)公司網(wǎng)絡(luò)中的信息安全所必需的安全級別A、訪問權(quán)限B、數(shù)據(jù)分類C、訪問控制列表D、商業(yè)智能答案：B9.A5-197某公司正打算安裝一個基于網(wǎng)絡(luò)的入侵檢測新系統(tǒng)，用來保護(hù)其托管的網(wǎng)站。該設(shè)備應(yīng)當(dāng)安裝在哪里?A、在本地網(wǎng)絡(luò)上B、防火墻外C、在隔離區(qū)中D、在托管網(wǎng)站的服務(wù)器上答案：C10.以下哪一項(xiàng)是最好地描述了IT戰(zhàn)略委員會的職能？A、業(yè)務(wù)部門的滿意度B、監(jiān)控KPI的結(jié)果C、IT戰(zhàn)略委員會章程D、IT戰(zhàn)略委員會會議紀(jì)要答案：C11.A5-135信息系統(tǒng)審計師可以采用什么方法來測試分支機(jī)構(gòu)所在位置的無線安全?A、戰(zhàn)爭撥號B、社會工程C、戰(zhàn)爭駕駛D、密碼破解答案：C12.信息系統(tǒng)審計師發(fā)現(xiàn)，許多離職員工尚未從財務(wù)系統(tǒng)中刪除。為了評估風(fēng)險，確定以下哪一項(xiàng)是最重要的?A、終止離職員工訪問的流程B、離職員工實(shí)際訪問系統(tǒng)的能力C、管理層對用戶訪問權(quán)限進(jìn)行審查的頻率D、與財務(wù)系統(tǒng)相關(guān)的入侵嘗試的頻率答案：B13.公司正打算利用由不同軟件供應(yīng)商提供的應(yīng)用程序組件，并且快速擴(kuò)大規(guī)模。以下哪個架構(gòu)最能確保企業(yè)能夠簡單地添加和重新使用組件來提供服務(wù)?A、三層體系架構(gòu)B、面向服務(wù)的體系結(jié)構(gòu)C、SaaSD、laaS答案：B14.軟件使用可持續(xù)時間應(yīng)在哪個階段確定?A、設(shè)計階段B、用戶測試之后C、提供給運(yùn)維之前D、實(shí)施后答案：A15.企業(yè)把開發(fā)環(huán)境和測試環(huán)境分開的主要原因是什么？A、可以排除B、在IT人員和最終用戶之間實(shí)現(xiàn)職責(zé)分離。C、使測試人員可以在穩(wěn)定的環(huán)境下進(jìn)行測試。D、保護(hù)開發(fā)中的程序不受未經(jīng)授權(quán)的測試。答案：C16.【重要題】在制定新的風(fēng)險管理計劃時，一定要考慮以下哪種因素?A、資源利用率B、合規(guī)性措施C、風(fēng)險緩解技術(shù)D、風(fēng)險偏好答案：D17.以下哪種措施最可以有效地確認(rèn)郵件在傳輸過程中未被修改A、使用對稱加密方法加密郵件B、使用發(fā)送者私鑰加密郵件C、對郵件內(nèi)容進(jìn)行強(qiáng)加密D、把郵件和強(qiáng)加密的單向哈希值一起發(fā)送答案：D18.【重要題】在制定業(yè)務(wù)持續(xù)性計劃時，業(yè)務(wù)單位管理層的參與在以下工作過程中最為重要?A、實(shí)施文檔庫B、進(jìn)行業(yè)務(wù)影響分析C、制定業(yè)務(wù)恢復(fù)程序D、執(zhí)行IT風(fēng)險評估答案：B19.【重要題】審計師發(fā)現(xiàn)數(shù)據(jù)庫配置管理系統(tǒng)有個安全漏洞，他接下里怎么做?A、報告高級管理層B、評估是否有補(bǔ)償性控制C、報告審計委員會D、嘗試?yán)寐┒创鸢福築20.為防止未授權(quán)的變更被移入生產(chǎn)環(huán)境，最有效方式是以下哪一項(xiàng)?A、徹底測算測試環(huán)境中的變更B、強(qiáng)制在開發(fā)人員和遷移者之間進(jìn)行職責(zé)分離C、需要業(yè)務(wù)流程所有者批準(zhǔn)變更D、定期審查變更請求，以確保所有變更文件記錄在附件中答案：B21.公司使用云平臺進(jìn)行IT管理，發(fā)生異常問題導(dǎo)致業(yè)務(wù)中止，應(yīng)該首先進(jìn)行：A、審計云服務(wù)商B、事故響應(yīng)計劃C、重新簽訂云服務(wù)合同D、追究云服務(wù)商責(zé)任答案：B22.公司將敏感數(shù)據(jù)處理外包給第三方云服務(wù)提供商。當(dāng)發(fā)生安全事件，首先應(yīng)執(zhí)行（）。A、終止與供應(yīng)商的合同B、執(zhí)行事件響應(yīng)程序C、調(diào)閱近期供應(yīng)商的審計結(jié)果D、對事件進(jìn)行獨(dú)立調(diào)查答案：B23.A4-52組織的災(zāi)難恢復(fù)計劃中包含互惠協(xié)議時，采用了以下哪種風(fēng)險應(yīng)對方法?A、轉(zhuǎn)移B、緩解C、規(guī)避D、接受答案：B24.如果跟蹤審計顯示尚未啟動某些管理行動計劃，信息系統(tǒng)審計師首先應(yīng)該怎么做?A、判斷所識別的風(fēng)險是否仍然有效B、將計劃未完成的情況上報給管理層C、向?qū)徲嬑瘑T會提供報告D、要求進(jìn)行額外的行動計劃審查，以確認(rèn)審計發(fā)現(xiàn)答案：A25.A4-221IT災(zāi)難恢復(fù)措施已經(jīng)實(shí)施到位并且進(jìn)行了多年定期此測試的一個中等規(guī)模組織剛剛制訂了一個正式的業(yè)務(wù)連續(xù)性計劃(BCP)，已經(jīng)成功進(jìn)行了基本的BCP桌面演練。要驗(yàn)證新BCP的充分性，信息系統(tǒng)審計師接下來應(yīng)建議進(jìn)行以下哪項(xiàng)測試?A、全面測試(將包括IT部門在內(nèi)的所有部門轉(zhuǎn)移到應(yīng)急站點(diǎn))B、對一系列預(yù)定義情景(涉及所有關(guān)鍵人員)進(jìn)行的瀏覽審查測試C、IT災(zāi)難恢復(fù)測試(業(yè)務(wù)部門參與測試關(guān)鍵應(yīng)用程序)D、情景功能測試(有限IT人員參與)答案：D26.對供應(yīng)鏈管理應(yīng)用程序執(zhí)行業(yè)務(wù)影響分析的最佳方法是？A、采納IT人員對業(yè)務(wù)問題的看法B、審查組織內(nèi)的策略和程序C、在關(guān)鍵的內(nèi)部利益關(guān)系方之間開展問卷調(diào)查D、與關(guān)鍵利益關(guān)系人面談答案：D27.A2-28確定可接受風(fēng)險的等級是誰的責(zé)任?A、質(zhì)量保證管理人員B、高級業(yè)務(wù)管理人員C、首席信息官D、首席安全官答案：B28.以下哪一項(xiàng)能夠提供證明防火墻配置與公司安全策略相一致的最佳審計證據(jù)A、審查規(guī)則定義庫B、執(zhí)行滲透測試C、分析配置更改是如何執(zhí)行的D、分析日志文件答案：A29.信息系統(tǒng)審計師發(fā)現(xiàn)組織存在一個漏洞，信息系統(tǒng)審計師應(yīng)該？A、要求盡快修復(fù)此項(xiàng)漏洞B、通知業(yè)務(wù)方C、調(diào)查漏洞引發(fā)威脅的概率D、記入審計報告答案：C30.A3-144某公司的開發(fā)團(tuán)隊(duì)未采用普遍接受的系統(tǒng)開發(fā)生命周期實(shí)踐。以下哪項(xiàng)最有可能導(dǎo)致軟件開發(fā)項(xiàng)目出現(xiàn)問題?A、由最終用戶負(fù)責(zé)原型的功能驗(yàn)證B、在用戶驗(yàn)收測試期間發(fā)現(xiàn)了一些小問題的情況下實(shí)施了項(xiàng)目C、在項(xiàng)目開始時未正確地確定項(xiàng)目責(zé)任D、項(xiàng)目記錄不充分答案：C31.A4-53以下哪項(xiàng)會動搖應(yīng)用程序?qū)徲嬡壽E的可靠性?A、在審計軌跡中記錄用戶I。B、安全管理員具有審計文件的只讀權(quán)限C、在執(zhí)行操作時記錄日期和時間戳D、更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄答案：D32.【重要題】具有明確定義的數(shù)據(jù)分類政策和程序的最大好處是：A、信息資產(chǎn)庫存更加準(zhǔn)確。B、減少控制成本。C、減小不適當(dāng)訪問系統(tǒng)的風(fēng)險。D、提高監(jiān)管合規(guī)性。答案：B33.信息系統(tǒng)審計師發(fā)現(xiàn)，為了提高性能將WEB應(yīng)用程序的驗(yàn)證控制機(jī)制從服務(wù)器下遷至客戶端，那么遭受以下哪一項(xiàng)攻擊的風(fēng)險最可能增加?A、暴力攻擊(還是釣魚攻擊，忘記了)B、SQL注入C、拒絕服務(wù)攻擊D、緩沖區(qū)溢出答案：B34.信息系統(tǒng)審計師發(fā)現(xiàn)組織變更可能會影響年度審計計劃，應(yīng)采取哪項(xiàng)行動？A、在發(fā)生變更后修改審計計劃B、將變更告知審計經(jīng)理C、評估變更對審計計劃的影響D、修改當(dāng)前的審計計劃答案：B35.以下哪項(xiàng)最能保證數(shù)據(jù)庫管理系統(tǒng)的最高性能？A、定期維護(hù)B、數(shù)據(jù)一致性C、數(shù)據(jù)庫正規(guī)化D、數(shù)據(jù)備份答案：B36.A3-107為減少軟件開發(fā)項(xiàng)目中出現(xiàn)的缺陷數(shù)目，下列哪項(xiàng)建議最具成本效益?A、增加分配給系統(tǒng)測試的時間B、實(shí)施正式的軟件檢查C、增加開發(fā)人員的數(shù)量D、要求交付所有項(xiàng)目成果時簽字答案：B37.A5-206某信息系統(tǒng)審計師要為滲透測試選擇一個服務(wù)器，并且該測試會由技術(shù)專業(yè)人員執(zhí)行。下面哪個選項(xiàng)最重要?A、用來進(jìn)行測試的工具B、信息系統(tǒng)審計師持有的認(rèn)證C、服務(wù)器數(shù)據(jù)所有者的批準(zhǔn)D、啟動了入侵檢測系統(tǒng)答案：C38.組織的大多數(shù)信息系統(tǒng)已經(jīng)外包，以下哪項(xiàng)能最能保持業(yè)務(wù)連續(xù)性?A、外包商管理層B、信息技術(shù)管理層C、業(yè)務(wù)管理層D、信息安全管理層答案：C39.信息系統(tǒng)審計師審查各種IT外包合同采購流程。確保中標(biāo)的承包商滿足以下哪項(xiàng)要求？A、維護(hù)了內(nèi)部審計功能。B、是按確定的業(yè)務(wù)標(biāo)準(zhǔn)選擇出來的。C、要求所有員工都簽署機(jī)密性協(xié)議。D、消除了外包風(fēng)險。答案：B40.在進(jìn)行IT風(fēng)險評估時，應(yīng)首先執(zhí)行以下哪一個步驟?A、評估現(xiàn)行控制B、評估漏洞C、識別潛在的威脅D、識別要保護(hù)的資產(chǎn)答案：D41.信息系統(tǒng)審計師正在審查內(nèi)部軟件開發(fā)解決方案的發(fā)布管理流程，在哪個環(huán)境中的軟件版本最有可能與生產(chǎn)環(huán)境相同。A、分階段B、開發(fā)C、測試D、集成答案：A42.在信息安全審計時，信息系統(tǒng)審計師得知由外部咨詢顧問執(zhí)行了一項(xiàng)安全審查，對審計師來說，下面哪項(xiàng)是最重要的?A、審查咨詢顧問提交的類似報告B、重新執(zhí)行安全審查C、評定咨詢顧問的客觀性和勝任能力D、接受咨詢顧問的發(fā)現(xiàn)和結(jié)論答案：C43.在確定IT政策是否很好地滿足業(yè)務(wù)需求時，以下哪一項(xiàng)是最佳關(guān)鍵表現(xiàn)指標(biāo)(KPI)?A、IT政策的查詢次數(shù)B、支持IT政策的總成本C、對IT政策例外批準(zhǔn)的數(shù)量D、違反IT政策所造成的總體損失答案：C44.下列哪一項(xiàng)是制定網(wǎng)絡(luò)服務(wù)的服務(wù)水平的協(xié)議（SLA）所面臨的挑戰(zhàn)？A、減少網(wǎng)絡(luò)入口(entrypoint)數(shù)量B、建立設(shè)計良好的網(wǎng)絡(luò)服務(wù)框架C、找到能夠正確衡量的性能指標(biāo)D、確?？蛻粑葱薷木W(wǎng)絡(luò)組件答案：C45.A3-97一名信息系統(tǒng)審計師受指派審計某軟件開發(fā)項(xiàng)目，該項(xiàng)目完成了80%以上，但是已經(jīng)超時10%，超出成本25%。該信息系統(tǒng)審計師應(yīng)采取以下哪項(xiàng)行動?A、對組織未進(jìn)行有效的項(xiàng)目管理進(jìn)行報告B、建議更換項(xiàng)目經(jīng)理C、審查IT治理結(jié)構(gòu)D、審查業(yè)務(wù)案例和項(xiàng)目管理答案：D46.程序員惡意修改生產(chǎn)代碼，然后恢復(fù)了原始代碼，怎么檢測這種惡意活動?A、查看系統(tǒng)日志文件B、比較源代碼C、目標(biāo)代碼參照D、檢查可執(zhí)行文件答案：A47.A2-94某信息系統(tǒng)審計師被指派對最近外包給各個供應(yīng)商的IT結(jié)構(gòu)和活動進(jìn)行審查。該信息系統(tǒng)審計師首先應(yīng)確定以下哪個選項(xiàng)?A、所有合同中均包含審計條款B、每份合同的服務(wù)水平協(xié)議均通過相應(yīng)的關(guān)鍵績效指標(biāo)進(jìn)行了證實(shí)C、提供商的合同擔(dān)保支持組織的業(yè)務(wù)需求D、在合同終止時，每位提供商均保證為新外包任務(wù)提供支持答案：C48.A4-207隔離高度敏感的數(shù)據(jù)庫會導(dǎo)致：A、減少暴露(風(fēng)險)B、減少威脅C、降低重要性D、降低敏感度答案：A49.A4-164信息技術(shù)管理層決定,在所有服務(wù)器上安裝1級廉價磁盤冗余陣列(RAID)系統(tǒng)，以彌補(bǔ)撤除異地備份的影響。信息系統(tǒng)審計師應(yīng)建議：A、升級到5級RIB、增加現(xiàn)場備份的頻率C、恢復(fù)異地備份D、在安全位置建立冷備援中心答案：C50.以下哪一個角色的支持對信息安全治理的影響最大A、信息安全指導(dǎo)委員會B、董事會C、首席信息安全官D、首席信息官答案：B51.數(shù)據(jù)包級防火墻最致命的安全漏洞是因?yàn)樗梢酝ㄟ^下列哪一項(xiàng)措施來規(guī)避：A、在收到的數(shù)據(jù)包上更改源地址B、截取明文發(fā)送的數(shù)據(jù)包并查看密碼C、解譯數(shù)據(jù)包中的簽名信息。D、使用加密密碼的字典式攻擊(itionryttk)。答案：A52.以下哪一項(xiàng)IT服務(wù)管理活動最有可能幫助確定反復(fù)出現(xiàn)的網(wǎng)絡(luò)延時的根本原因A、事故管理B、配置管理C、變更管理D、問題管理答案：D53.人員進(jìn)入高敏感的數(shù)據(jù)中心時以下最好的方式是什么?A、監(jiān)控B、陪同C、簽到D、雙重門答案：B54.哪項(xiàng)是緩解勒索軟件攻擊影響的最佳方式?A、啟用災(zāi)難恢復(fù)許劃B、經(jīng)常備份數(shù)據(jù)C、要求管理賬戶更改密碼D、支付贖金答案：B55.數(shù)據(jù)庫管理員發(fā)現(xiàn)一些表的性能問題可以通過反向規(guī)格化（denormalization）來解決。這種情況下會增加哪像風(fēng)險()?A、同時并行訪問B、死鎖C、非授權(quán)的數(shù)據(jù)訪問D、數(shù)據(jù)完整性的丟失答案：D56.RPO低的信息系統(tǒng)應(yīng)該采取如下哪項(xiàng)措施？A、Raid0B、每日備份C、熱站D、鏡像答案：D57.A4-190在審查內(nèi)部開發(fā)的應(yīng)用程序期間，信息系統(tǒng)審計師最應(yīng)關(guān)注的是：A、是否有用戶提出變更請求并在測試環(huán)境中對其進(jìn)行測試B、是否有編程人員在開發(fā)環(huán)境中編寫變更代碼并在測試環(huán)境中對其進(jìn)行測試C、是否有管理人員審批變更請求并在生產(chǎn)環(huán)境中對其進(jìn)行審查D、是否有管理人員提出變更請求并隨后對其進(jìn)行審批答案：D58.A4-60某信息系統(tǒng)審計師發(fā)現(xiàn)，某公司的災(zāi)難恢復(fù)計劃(DRP)不包含托管在云端的某關(guān)鍵應(yīng)用。管理層答復(fù)稱，由云供應(yīng)商負(fù)責(zé)災(zāi)難恢復(fù)(DR)和DR相關(guān)測試。信息系統(tǒng)審計師應(yīng)采取的下一步行動是什么?A、制訂云供應(yīng)商審計計劃B、審查供應(yīng)商合同，以確定其R能力C、審查獨(dú)立審計師關(guān)于云供應(yīng)商的報告D、從云供應(yīng)商處請求RP副本答案：B59.A1-62在程序變更控制的評估期間，信息系統(tǒng)審計師使用源代碼比較軟件的目的是：A、在不需要信息系統(tǒng)人員提供信息的情況下，檢查源程序的變更B、檢測源程序從獲得源的副本到比較運(yùn)行這段時間內(nèi)所經(jīng)歷的變更C、確定控制副本是當(dāng)前版本的生產(chǎn)程序D、確保當(dāng)前源副本中的所有變更已經(jīng)過測試答案：A60.測試企業(yè)數(shù)據(jù)中心物理安全控制措施的最佳方法是哪一項(xiàng)?A、對物理安全進(jìn)行現(xiàn)場檢查B、查看對數(shù)據(jù)中心的訪問日志C、與行業(yè)最佳實(shí)踐進(jìn)行比較D、檢查數(shù)據(jù)中心的監(jiān)控錄像答案：A61.A5-198一位信息系統(tǒng)審計師正在評估一個基于虛擬機(jī)(VM)的架構(gòu)，該架構(gòu)用于所有編程和測試環(huán)境。生產(chǎn)架構(gòu)時與一個三層物理架構(gòu)。以下哪項(xiàng)測試是為確保生產(chǎn)中Web應(yīng)用程序的可用性和機(jī)密性而進(jìn)行的最重要的IT控制?A、服務(wù)器配置已適當(dāng)增強(qiáng)B、分配的物理資源可用C、系統(tǒng)管理員接受培訓(xùn)以使用D、VM架構(gòu)VM服務(wù)器包含在災(zāi)難恢復(fù)計劃中答案：A62.當(dāng)審計資源有限時，以下哪一項(xiàng)是信息系統(tǒng)風(fēng)險審計的最大擔(dān)憂?A、進(jìn)行風(fēng)險評估可能減少可用于審計的時間B、某些業(yè)務(wù)流程可能未經(jīng)審計C、管理層審計請求的響應(yīng)可能會大大延遲D、審計時間表可能變得太可預(yù)測答案：B63.【重要題】項(xiàng)目開發(fā)階段，新增加了一個功能點(diǎn)，以下哪項(xiàng)影響最大?A、﹀未滿足用戶需求B、項(xiàng)目關(guān)鍵路徑改變C、超出預(yù)算D、項(xiàng)目延遲完成答案：A64.A5-7信息系統(tǒng)審計師發(fā)現(xiàn)組織的首席信息官(CIO)使用的是采用全球移動通信系統(tǒng)(GSM)技術(shù)的無線寬帶調(diào)制解調(diào)器。當(dāng)出差在外時，CIO使用此調(diào)制解調(diào)器連接自己的便攜式計算機(jī)和公司的虛擬私有網(wǎng)絡(luò)。信息系統(tǒng)審計師應(yīng)：A、什么也不做，因?yàn)镚SM技術(shù)固有的安全功能已經(jīng)足夠了。B、建議IO在啟用加密之前停止使用便攜式計算機(jī)。C、確保網(wǎng)絡(luò)上已啟用介質(zhì)訪問控制(M)過濾，從而未經(jīng)授權(quán)的無線用戶無法連接。D、建議使用雙因素認(rèn)證進(jìn)行無線連接，以防止未經(jīng)授權(quán)的通信。答案：A65.A2-132由于盈利壓力,企業(yè)的高級管理層決定將信息安全投資保持在不太充分的水平。以下哪一項(xiàng)是信息系統(tǒng)審計師的最佳建議?A、使用云提供商提供低風(fēng)險運(yùn)營B、修改合規(guī)性實(shí)施流程C、要求高級管理層接受風(fēng)險D、推遲低優(yōu)先級安全程序答案：C66.哪一項(xiàng)提供IT在一家企業(yè)內(nèi)的作用的最全面描述?A、IT工作說明B、IT章程C、IT組織結(jié)構(gòu)圖D、可排除答案：B67.審查數(shù)據(jù)中心的滅火系統(tǒng)應(yīng)考慮A、維護(hù)措施B、安裝手冊C、是否能夠現(xiàn)場更換D、承保范圍答案：A68.A4-216在進(jìn)行客戶關(guān)系管理系統(tǒng)應(yīng)用審計時，信息系統(tǒng)審計師發(fā)現(xiàn)，相比其他時段，用戶在高峰工作時段登錄系統(tǒng)需要很長時間。登錄后，系統(tǒng)的平均響應(yīng)時間在可接受的范圍之內(nèi)。該信息系統(tǒng)審計師應(yīng)當(dāng)建議以下哪一個選項(xiàng)?A、不應(yīng)采取任何措施，因?yàn)橄到y(tǒng)符合當(dāng)前的業(yè)務(wù)需求B、IT部門應(yīng)當(dāng)增加網(wǎng)絡(luò)寬帶，以提高性能C、應(yīng)當(dāng)向用戶提供詳細(xì)的手冊，以便正確使用系統(tǒng)D、為驗(yàn)證服務(wù)器制定性能衡量標(biāo)準(zhǔn)答案：D69.A5-213某數(shù)據(jù)中心有一個證章門禁系統(tǒng)。以下哪項(xiàng)對于保護(hù)該中心的計算資產(chǎn)最重要?A、在可察覺到破壞行為的位置安裝讀卡器B、經(jīng)常對控制證章系統(tǒng)的計算機(jī)進(jìn)行備份C、遵循立即停用已丟失或被盜證章的流程D、記錄所有證章進(jìn)入嘗試，無論是否成功答案：C70.信息系統(tǒng)業(yè)務(wù)目標(biāo)來源是A、業(yè)務(wù)流程所有者B、IT管理層C、執(zhí)行管理層D、最終用戶答案：A71.以下哪一項(xiàng)能夠最有效地發(fā)現(xiàn)某個員工向網(wǎng)絡(luò)中加載了非法軟件包?A、定期掃描硬盤B、網(wǎng)絡(luò)驅(qū)動器中的活動日志C、維護(hù)當(dāng)前的防病毒軟件D、采用無盤工作站答案：A72.信息系統(tǒng)審計師使用端口掃描軟件來：A、建立通訊連接B、檢測入侵行為C、檢測開放服務(wù)D、確保所有端口在使用中權(quán)答案：C73.A1-46內(nèi)部信息系統(tǒng)審計團(tuán)隊(duì)在審計對銷售退回的控制并關(guān)注欺詐風(fēng)險。以下哪種抽樣方法對信息系統(tǒng)審計師最有幫助?A、停———————走抽樣B、經(jīng)典的變量抽樣C、發(fā)現(xiàn)抽樣D、概率比例規(guī)模抽樣答案：C74.確定配置應(yīng)用程序的內(nèi)部安全控制是否符合組織安全標(biāo)準(zhǔn)的最佳測試是哪個？A、安全報告的可用性和頻率B、業(yè)務(wù)應(yīng)用程序的安全參數(shù)設(shè)置C、IDS的日志D、應(yīng)用程序的用戶賬戶和密碼答案：B75.A1-108以下哪項(xiàng)是信息系統(tǒng)審計師為了了解對審計的限制而應(yīng)掌握的最重要的技能?A、管理審計人員B、分配資源C、項(xiàng)目管理D、注重細(xì)節(jié)答案：C76.A5-65以下哪項(xiàng)加密算法選項(xiàng)會增加開銷/成本?A、使用對稱加密，而不是非對稱加密B、使用加長的非對稱式加密密鑰C、加密的是哈希而非消息D、使用密鑰答案：B77.A3-45理想情況下，壓力測試應(yīng)在以下哪個環(huán)境中執(zhí)行?A、采用測試數(shù)據(jù)的測試環(huán)境B、采用實(shí)時工作量的生產(chǎn)環(huán)境C、采用實(shí)時工作量的測試環(huán)境D、采用測試數(shù)據(jù)的生產(chǎn)環(huán)境答案：C78.審計報告指定了解決審計問題的責(zé)任人，下列哪一項(xiàng)最進(jìn)一步增強(qiáng)審計報告的有效性?A、詳細(xì)的降低風(fēng)險步驟B、監(jiān)督補(bǔ)救的審計人員C、補(bǔ)救的成本D、補(bǔ)救的目標(biāo)日期答案：D79.A2-107在審查與外部IT服務(wù)提供商的服務(wù)水平協(xié)議時，信息系統(tǒng)審計師最需要考慮的是：A、付款條款B、正常運(yùn)行時間保證C、賠償條款D、違約的解決辦法答案：B80.A4-94審計自動化系統(tǒng)時，不是每次都能夠確認(rèn)責(zé)任人和報告層級關(guān)系的，因?yàn)椋篈、多種多樣的控制能夠?qū)е滤袡?quán)不相關(guān)B、員工習(xí)慣于頻繁更換工作C、共享資源的領(lǐng)域很難確定所有權(quán)D、隨著技術(shù)的飛速發(fā)展，職務(wù)變動頻繁答案：C81.A4-33以下哪項(xiàng)是審查服務(wù)臺業(yè)務(wù)期間主要關(guān)注的問題?A、服務(wù)臺團(tuán)隊(duì)無法解答某些服務(wù)呼叫中心提出的問題B、未能為服務(wù)臺團(tuán)隊(duì)指定專用線路C、事故解決后未洽詢最終用戶即結(jié)案D、服務(wù)臺無法發(fā)送即時服務(wù)消息已超過6個月答案：C82.A4-255信息系統(tǒng)審計師應(yīng)建議采取以下哪一項(xiàng)措施來保護(hù)數(shù)據(jù)倉庫中存儲的特定敏感信息?A、實(shí)施列級和行級權(quán)限B、通過強(qiáng)密碼加強(qiáng)用戶身份認(rèn)證C、將數(shù)據(jù)倉庫組織成為特定主題的數(shù)據(jù)庫D、記錄用戶對數(shù)據(jù)倉庫的訪問答案：A83.某IS審計師發(fā)現(xiàn)，用戶偶爾地被授權(quán)作更改系統(tǒng)數(shù)據(jù)。這種系統(tǒng)訪問權(quán)限提升不符合公司政策，但對業(yè)務(wù)經(jīng)營的平穩(wěn)運(yùn)轉(zhuǎn)是有必要的。該IS審計師最有可能建議采取以下哪一種控制來長期解決這一問題？A、重新設(shè)計與數(shù)據(jù)授權(quán)有關(guān)的控制。B、實(shí)施額外的職責(zé)分離控制。C、對政策進(jìn)行審查，以查明正式的例外流程是否有必要。D、實(shí)施額外的日志記錄控制。答案：C84.A2-87在確定信息資產(chǎn)的適當(dāng)保護(hù)等級時，信息系統(tǒng)審計師應(yīng)當(dāng)主要關(guān)注以下哪一個因素?A、風(fēng)險評估的結(jié)果B、業(yè)務(wù)的相對價值C、漏洞評估的結(jié)果D、安全控制的成本答案：A85.【重要題】審查新成立的CallCenter內(nèi)的控制時，首先應(yīng)A、評估與風(fēng)險中心有關(guān)的操作風(fēng)險B、測試呼叫中心的技術(shù)基礎(chǔ)設(shè)施C、從客戶那里收集服務(wù)響應(yīng)時間和服務(wù)質(zhì)量的信息D、審查呼叫中心的人工和自動控制答案：A86.A3-20許多IT項(xiàng)目會由于開發(fā)時間/或資源需求評估不足而遇到問題。在估計項(xiàng)目持續(xù)時間時，以下哪項(xiàng)技術(shù)可提供給最大限度的協(xié)助?A、功能點(diǎn)分析B、計劃評審技術(shù)圖C、快速應(yīng)用開發(fā)D、面向?qū)ο蟮拈_發(fā)系統(tǒng)答案：B87.A5-99基于互聯(lián)網(wǎng)且使用密碼嗅探的攻擊可以：A、使一方的行為看起來像另一方B、對某些交易的內(nèi)容產(chǎn)生修改C、用于獲得包含專有信息系統(tǒng)的訪問權(quán)限D(zhuǎn)、導(dǎo)致賬單系統(tǒng)和交易處理協(xié)議出現(xiàn)重大問題答案：C88.營銷部門的三個員工使用共享賬戶維護(hù)公司社交媒體的新聞信息的發(fā)布，這一過程存在什么問題？A、發(fā)布未經(jīng)審批的信息B、并發(fā)登錄導(dǎo)致更新發(fā)生沖突C、賬戶被別人修改后無法登錄D、無法實(shí)現(xiàn)對信息更新的問責(zé)制答案：D89.電子支票（改成EFT)相對于手寫支票，最大的優(yōu)勢在于：A、提高效率B、降低未授權(quán)的風(fēng)險C、節(jié)約人工成本D、可以統(tǒng)一設(shè)定傳輸標(biāo)準(zhǔn)答案：B90.正在對開始開發(fā)的某應(yīng)用執(zhí)行風(fēng)險評估。在建議安全控制之前，需要確定的最重要的內(nèi)容是什么？A、基于角色的訪問控制(RBAC)B、當(dāng)前的隱私權(quán)法律C、數(shù)據(jù)分類D、數(shù)據(jù)托管位置答案：C91.A5-127某組織網(wǎng)絡(luò)電話包網(wǎng)絡(luò)中有大量的通信被重新路由。該組織認(rèn)為其已遭到竊聽。以下哪一項(xiàng)可能導(dǎo)致VoIP通信遭到竊聽?A、以太網(wǎng)交換機(jī)中的地址解析協(xié)議緩存損壞B、在虛擬電話交換機(jī)上使用默認(rèn)管理員密碼C、在未啟用加密的情況下部署虛擬局域網(wǎng)D、最終用戶有權(quán)訪問分組嗅探器應(yīng)用程序等軟件工具答案：A92.A4-150頻繁更新以下哪一項(xiàng)是災(zāi)難恢復(fù)計劃持續(xù)有效的關(guān)鍵?A、關(guān)鍵人員的聯(lián)系信息B、服務(wù)器清單記錄C、個人角色和職責(zé)D、宣告災(zāi)難的流程答案：A93.進(jìn)行數(shù)據(jù)通訊審計時，第一步是確定（)。A、業(yè)務(wù)使用和要傳輸?shù)南㈩愋?。B、網(wǎng)絡(luò)設(shè)備的物理安全性C、流量和響應(yīng)時間的標(biāo)準(zhǔn)D、通訊線路的冗余度答案：A94.當(dāng)規(guī)劃實(shí)施新系統(tǒng)時，公司選擇并行運(yùn)行的主要目的是？A、確保系統(tǒng)滿足所需的用戶響應(yīng)時間B、協(xié)助新員工的培訓(xùn)工作C、驗(yàn)證系統(tǒng)接口是否已實(shí)施D、確認(rèn)系統(tǒng)處理能力答案：D95.A5-172從控制角度來說,對信息資產(chǎn)進(jìn)行分類的主要目標(biāo)是：A、為應(yīng)分配的訪問控制等級建立準(zhǔn)則B、確保將訪問控制分配到所有信息資產(chǎn)上C、在風(fēng)險評估中為管理人員和審計師提供幫助D、識別需要根據(jù)損失進(jìn)行投保的資產(chǎn)答案：A96.防止同時使用軟件許可的最佳措施?A、用戶自律B、供應(yīng)商實(shí)施突擊審計C、系統(tǒng)管理員實(shí)施監(jiān)控D、計量軟件答案：D97.交易處理系統(tǒng)與總分類帳彼此交互，審計師發(fā)現(xiàn)某些交易在總賬中重復(fù)記錄，管理層聲明已實(shí)施了系統(tǒng)修復(fù)，IT審計師應(yīng)建議實(shí)施哪項(xiàng)來驗(yàn)證該接口將來是否正常工作?A、確保系統(tǒng)修復(fù)得到系統(tǒng)所有者的批準(zhǔn)B、進(jìn)行功能測試C、執(zhí)行定期對賬D、改進(jìn)UAT測試答案：C98.A5-98在通信系統(tǒng)的審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)傳送至/來自遠(yuǎn)程站點(diǎn)的數(shù)據(jù)被截獲的風(fēng)險非常高。降低此風(fēng)險最有效的控制為：A、加密B、回叫調(diào)制解調(diào)器C、消息驗(yàn)證D、專用租用線路答案：A99.審查項(xiàng)目可行性研究后，審計師最應(yīng)該做什么？A、審查需求設(shè)計是否包含自動化控制B、和項(xiàng)目經(jīng)理一起看預(yù)算和成本是否匹配C、幫助用戶設(shè)計用戶驗(yàn)收測試答案：A100.什么時候應(yīng)該進(jìn)行業(yè)務(wù)連續(xù)性計劃測試？A、在每次有新應(yīng)用程序的時候測試B、在滲透測試攻破防線的時候測試C、完成年度it風(fēng)險評估后測試D、根據(jù)人員和環(huán)境變化時測試答案：D101.公司請外部審計，對外部信息系統(tǒng)審計師的訪問權(quán)限應(yīng)由以下哪項(xiàng)文件予以說明和授予A、審計章程B、經(jīng)批準(zhǔn)的工作說明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計工作開展的需求請求書答案：A102.在準(zhǔn)備支持電子數(shù)據(jù)倉庫解決方案的業(yè)務(wù)案例時，以下哪一項(xiàng)在協(xié)助管理層進(jìn)行決策的流程中最重要？A、討論單一解決方案。B、考慮安全控制。C、證明可行性。D、咨詢審計部門。答案：C103.A5-227一位信息系統(tǒng)審計師正在審查基于軟件的防火墻配置。以下哪一項(xiàng)意味著出現(xiàn)最大漏洞?A、將隱式拒絕規(guī)則作為規(guī)則庫中的最后規(guī)則B、安裝在一個采用默認(rèn)設(shè)置配置的操作系統(tǒng)上C、規(guī)則允許或拒絕訪問系統(tǒng)或網(wǎng)絡(luò)D、配置為虛擬私有網(wǎng)絡(luò)終端答案：B104.A2-14軟件托管協(xié)議會涉及處理以下哪種情況?A、系統(tǒng)管理員要求訪問軟件以執(zhí)行災(zāi)難恢復(fù)B、用戶請求將軟件重新加載到備用硬盤C、定制軟件供應(yīng)商倒閉D、信息系統(tǒng)審計師要求訪問組織編寫的軟件代碼答案：C105.A5-1Web應(yīng)用程序開發(fā)人員有時在網(wǎng)頁上使用隱藏字段來保護(hù)有關(guān)客戶會話信息。在某些情況下，這種技術(shù)用于存儲持續(xù)存在多個網(wǎng)頁的會話變量，例如，在零售網(wǎng)站應(yīng)用程序中保存購物車的內(nèi)容。此種做法最有可能導(dǎo)致的基于Web的攻擊是：A、/參數(shù)篡改B、跨站點(diǎn)腳本C、ookie篡改D、隱藏命令執(zhí)行答案：A106.A1-55在信息系統(tǒng)審計的計劃階段，信息系統(tǒng)審計師的主要目標(biāo)是：A、達(dá)到審計目標(biāo)B、收集足夠的證據(jù)C、指定適當(dāng)?shù)臏y試D、盡可能少使用審計資源答案：A107.A1-101信息系統(tǒng)審計師正在規(guī)劃如何評估與自動化記賬流程相關(guān)的控制設(shè)計有效性。以下哪項(xiàng)是審計師可以采用的最有效的方法?A、面談B、問詢C、重新執(zhí)行D、瀏覽審查答案：D108.IT災(zāi)難恢復(fù)是時間目標(biāo)（RTO）應(yīng)基于以下哪一項(xiàng)：A、最多可容許丟失的數(shù)據(jù)B、根據(jù)業(yè)務(wù)定義的系統(tǒng)關(guān)鍵性C、最多可容許的停機(jī)時間D、中斷的根本原因答案：C109.A3-105下列哪項(xiàng)是自上而下的軟件測試方法的優(yōu)點(diǎn)?A、及早發(fā)現(xiàn)接口錯誤B、可以在所有程序完成之前便開始測試C、比其他測試方法更有效D、可以很快檢測到關(guān)鍵模塊中的錯誤答案：A110.企業(yè)將一批電腦處理給員工，首先應(yīng)該完成哪一項(xiàng)A、員工簽署保密協(xié)議B、覆寫磁盤C、執(zhí)行系統(tǒng)命令刪除文件D、應(yīng)用程序執(zhí)行刪除文件答案：B111.A3-125某企業(yè)正在開發(fā)一項(xiàng)新的采購系統(tǒng)，但進(jìn)度落后于預(yù)定計劃。因此，有人提議將測試階段的原定時間縮短。項(xiàng)目經(jīng)理向信息系統(tǒng)審計師詢問如何降低測試時間縮短可能帶來的風(fēng)險。以下哪種風(fēng)險緩解策略較為合適?A、測試并發(fā)布功能被簡化的試用系統(tǒng)B、針對最嚴(yán)重的功能性缺陷進(jìn)行修復(fù)及重新測試C、取消開發(fā)團(tuán)隊(duì)計劃進(jìn)行的測試，直接進(jìn)行驗(yàn)收測試D、使用一種測試工具自動進(jìn)行缺陷跟蹤答案：A112.審查公司IT戰(zhàn)略與IT計劃的一致性，信息系統(tǒng)審計師發(fā)現(xiàn)哪項(xiàng)最重要A、未分發(fā)業(yè)務(wù)戰(zhàn)略會議紀(jì)要B、IT未參與業(yè)務(wù)戰(zhàn)略的制定C、IT戰(zhàn)略計劃的文檔不足D、根據(jù)業(yè)務(wù)制定的IT戰(zhàn)略所導(dǎo)出的IT項(xiàng)目的成果物答案：B113.信息系統(tǒng)IS的戰(zhàn)略規(guī)劃應(yīng)涵蓋：A、分析公司未來需求B、制定開發(fā)項(xiàng)目的目標(biāo)進(jìn)程C、制定未來技術(shù)平臺的規(guī)范。D、審查年度預(yù)算答案：A114.A2-74以下哪一項(xiàng)是IT績效衡量流程的主要目標(biāo)?A、將錯誤減至最少B、收集績效數(shù)據(jù)C、建立績效基準(zhǔn)D、優(yōu)化績效答案：D115.非誠信員工被公司解雇后，未收回手機(jī)最大的風(fēng)險是什么A、訪問公司網(wǎng)絡(luò)B、泄露客戶聯(lián)系方式C、資產(chǎn)清單不完整D、財產(chǎn)損失答案：B116.A2-47以下哪項(xiàng)是針對數(shù)據(jù)和系統(tǒng)所有權(quán)的政策定義不當(dāng)所帶來的最大風(fēng)險?A、不存在用戶管理協(xié)調(diào)B、無法確定明確的用戶責(zé)任C、未授權(quán)用戶可能獲得修改數(shù)據(jù)的權(quán)限D(zhuǎn)、審計建議可能不被實(shí)施答案：C117.保護(hù)企業(yè)智能手機(jī)數(shù)據(jù)安全最好的方法是A、修改使用藍(lán)牙連接的默認(rèn)PINB、不適用公共無線網(wǎng)絡(luò)（禁用手機(jī)wifi）C、啟用數(shù)據(jù)遠(yuǎn)程清除D、加密答案：D118.哪種風(fēng)險類型決定是否進(jìn)行實(shí)質(zhì)性測試：A、固有風(fēng)險B、審計風(fēng)險C、檢測風(fēng)險D、控制風(fēng)險答案：D119.某公司已將服務(wù)器環(huán)境虛擬化，而沒有對網(wǎng)絡(luò)或安全基礎(chǔ)設(shè)施進(jìn)行其他任何更改。下列哪一項(xiàng)是最重大的風(fēng)險?A、虛擬化平臺的漏洞影響多臺主機(jī)B、系統(tǒng)文檔未更新以反映對環(huán)境的更改C、網(wǎng)絡(luò)IS無法監(jiān)控虛擬服務(wù)器到服務(wù)器的通信D、數(shù)據(jù)中心環(huán)境控制措施與新的配置不相一致答案：C120.組織鼓勵員工因?yàn)楣ぷ髂康亩褂蒙缃黄脚_，以下哪一項(xiàng)能最好防止數(shù)據(jù)泄露?A、員工簽署政策要求確認(rèn)和保密協(xié)議B、對敏感數(shù)據(jù)實(shí)施強(qiáng)有力的控制C、對員工使用社交網(wǎng)站的活動實(shí)施監(jiān)控D、提供社交平臺使用的相關(guān)培訓(xùn)和指導(dǎo)答案：B121.在審計生命周期流程的哪一個階段適合與客戶討論初步審計意見?分值5分A、報告階段B、規(guī)劃階段C、跟蹤階段D、執(zhí)行階段答案：A122.以下哪項(xiàng)最能證明供應(yīng)商控制符合公司的要求A、SLA服務(wù)水平協(xié)議B、獨(dú)立的審計報告C、第三方供應(yīng)商的信息安全政策D、監(jiān)管要求答案：B123.在公司實(shí)施了語音通信(VOIP)，哪一項(xiàng)是存在的最大問題?A、不能在公司內(nèi)網(wǎng)用VPNB、數(shù)字和語音不能互相轉(zhuǎn)換C、數(shù)字和語音傳輸?shù)膯我还收宵c(diǎn)D、由于網(wǎng)絡(luò)問題引起的丟包導(dǎo)致語音質(zhì)量受影響答案：C124.A1-115以下哪一項(xiàng)是缺乏足夠控制的表現(xiàn)?A、影響B(tài)、漏洞C、資產(chǎn)D、)威脅答案：B125.【重要題】在典型的系統(tǒng)開發(fā)生命周期中，下列哪個小組主要負(fù)責(zé)確認(rèn)是否符合需求?A、質(zhì)量保證B、內(nèi)部審計C、風(fēng)險管理D、指導(dǎo)委員會答案：A126.A5-68執(zhí)行計算機(jī)取證調(diào)查時，對于收集到的數(shù)據(jù)，信息系統(tǒng)審計師最應(yīng)關(guān)注的是：A、證據(jù)的分析B、證據(jù)的評估C、證據(jù)的保存D、證據(jù)的泄露答案：C127.審計新的應(yīng)用系統(tǒng)，審計師要最主要考慮：A、風(fēng)險分析B、成本效益分析C、項(xiàng)目可行性分析D、業(yè)務(wù)影響分析答案：A128.項(xiàng)目上線后的審查中，應(yīng)審查以下哪一項(xiàng)來確定項(xiàng)目是否滿足用戶要求？A、用戶文檔的完整性B、并行測試的結(jié)果C、程序更改請求的類型。D、關(guān)鍵計算的完整性答案：B129.A4-41以下哪項(xiàng)被公認(rèn)為是網(wǎng)絡(luò)管理的關(guān)鍵要素之一?A、配置和變更管理B、拓?fù)溆成銫、監(jiān)控工具的應(yīng)用D、代理服務(wù)器故障排除答案：A130.A1-68在審查敏感的電子版工作底稿時，信息系統(tǒng)審計師注意到它們沒有被加密。這可能危及：A、工作底稿版本管理的審計軌跡B、審計階段的批準(zhǔn)C、對工作底稿的訪問權(quán)限D(zhuǎn)、工作底稿的機(jī)密性答案：D131.A4-152定義恢復(fù)點(diǎn)目標(biāo)時,以下哪一項(xiàng)是最重要的考慮因素?A、最低操作要求B、可接受的數(shù)據(jù)丟失C、平均故障間隔時間D、可接受的恢復(fù)時間答案：B132.以下哪項(xiàng)確定關(guān)鍵功能的恢復(fù)順序A、BCPB、DRPC、BIA答案：C133.以下哪一項(xiàng)是用于確定企業(yè)是否已充分評估與潛在自然災(zāi)害相關(guān)風(fēng)險的最佳信息源?A、審計風(fēng)險評估B、業(yè)務(wù)連續(xù)性計劃(P)C、業(yè)務(wù)影響分析(I)D、災(zāi)難恢復(fù)計劃答案：B134.A3-52執(zhí)行事后審查的主要目的是提供機(jī)會：A、改進(jìn)內(nèi)部控制程序B、將網(wǎng)絡(luò)強(qiáng)化到行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)C、向管理層強(qiáng)調(diào)事故響應(yīng)管理的重要性D、提高員工對事故響應(yīng)過程的認(rèn)識程度答案：A135.【重要題】支持安全評定認(rèn)證需要執(zhí)行的保證任務(wù)，應(yīng)在何時確定?A、完成必要的修改之后，B、用戶驗(yàn)收階段。C、項(xiàng)目規(guī)劃階段。D、制定了Q計劃后。答案：C136.當(dāng)企業(yè)實(shí)施安全信息和事件管理(SIEM)系統(tǒng)時，建立了哪一種控制類型?A、檢測性B、改正性C、指導(dǎo)性D、預(yù)防性答案：A137.【重要題】以下哪一項(xiàng)能夠最大限度地減少長時間電源故障的影響?A、可排除B、冗余電源C、電源調(diào)控裝置D、蓄電池組答案：B138.采用面向服務(wù)的架構(gòu)將最有可能：A、禁止與原系統(tǒng)之間的集成B、使合伙人之間的連接更加便利C、危害應(yīng)用程序軟件的安全性D、簡化所有內(nèi)部流程答案：B139.A1-6以下哪項(xiàng)是控制自我評估的主要優(yōu)點(diǎn)?A、管理層在堅(jiān)持業(yè)務(wù)目標(biāo)的內(nèi)部控制方面的責(zé)任得到了強(qiáng)化B、如果評估結(jié)果是外部審計工作的輸入，審計費(fèi)用會降低C、舞弊偵測會有所改進(jìn)，因?yàn)槠髽I(yè)內(nèi)部人員參與了測試控制D、內(nèi)部審計可通過使用評估結(jié)果轉(zhuǎn)到咨詢式的方法答案：A140.【重要題】在下一年選擇進(jìn)行哪些信息系統(tǒng)審計的主要依據(jù)是什么?A、上一年的審計發(fā)現(xiàn)結(jié)果B、高層管理層的要求C、組織風(fēng)險評估D、以前的審計范圍答案：C141.當(dāng)數(shù)據(jù)所有者為數(shù)據(jù)分配錯誤的分類級分時，以下哪項(xiàng)應(yīng)是信息系統(tǒng)審計師的最大擔(dān)憂?A、競爭對手可能可以查看數(shù)據(jù)B、為保護(hù)數(shù)據(jù)而實(shí)施的控制可能不足C、控制的成本可能超過IT資產(chǎn)的內(nèi)在價值D、系統(tǒng)管理員可能未加密數(shù)據(jù)答案：B142.在評估企業(yè)資源規(guī)劃（ERP）實(shí)施供應(yīng)商時，信息系統(tǒng)審計師應(yīng)首先建議執(zhí)行A、調(diào)查供應(yīng)商的財務(wù)歷史B、檢查供應(yīng)商的客戶參考C、制定供應(yīng)商響應(yīng)計分卡D、審查供應(yīng)商過去的實(shí)施項(xiàng)目答案：D143.A4-178觀察業(yè)務(wù)連續(xù)性計劃的完整模擬時，信息系統(tǒng)審計師注意到組織設(shè)施內(nèi)的通知系統(tǒng)可能因?yàn)榛A(chǔ)設(shè)施損壞而受到嚴(yán)重影響。信息系統(tǒng)審計師可向組織提供的最佳建議是確保：A、對搶修團(tuán)隊(duì)進(jìn)行通知系統(tǒng)使用方面的培訓(xùn)B、通知系統(tǒng)具有備份恢復(fù)功能C、在通知系統(tǒng)中構(gòu)建冗余D、將通知系統(tǒng)存放在保險庫中答案：C144.防火墻配置開啟哪個協(xié)議最不安全A、SMTPB、SNMPC、FTPD、XML答案：C145.A2-82某信息系統(tǒng)審計師在審查一家采用交叉培訓(xùn)實(shí)務(wù)的組織時，應(yīng)評估以下哪種風(fēng)險?A、對某個人的依賴性B、接任計劃不充分C、某個人了解系統(tǒng)的所有組織部分D、運(yùn)營中斷答案：C146.A5-224發(fā)送付款指令時,下列哪項(xiàng)有助于合適該指令不重復(fù)?A、使用加密哈希算法B、將消息摘要加密C、計算交易的檢驗(yàn)和D、使用序號和時間戳答案：D147.在審計射頻識別技術(shù)(RFID)時，最應(yīng)該注意什么?A、可擴(kuò)展性B、不可否認(rèn)性C、隱私D、可維護(hù)性答案：C148.A3-31在以下哪個位置和時間執(zhí)行對遠(yuǎn)程站點(diǎn)中輸入的數(shù)據(jù)的邏輯/驗(yàn)證最有效?A、中央處理站點(diǎn)，運(yùn)行應(yīng)用系統(tǒng)后B、中央處理站點(diǎn)，應(yīng)用系統(tǒng)運(yùn)行期間C、遠(yuǎn)程處理站點(diǎn)，數(shù)據(jù)傳輸?shù)街醒胩幚碚军c(diǎn)后D、遠(yuǎn)程處理站點(diǎn)，數(shù)據(jù)傳輸?shù)街醒胩幚碚军c(diǎn)前答案：D149.某組織正在審查其與云計算提供商之間的合同。該組織想要從合同中刪除鎖定條款的原因是以下哪一項(xiàng)？A、可用性B、可迀移性C、敏捷性D、可擴(kuò)展性答案：B150.A3-47針對正在考慮購置的新應(yīng)用程序軟件包，信息系統(tǒng)審計師評估其控制規(guī)范的最佳時間是在：A、內(nèi)部實(shí)驗(yàn)室測試階段B、測試中和用戶接受之前C、需求收集期間D、實(shí)施階段答案：C151.哪一項(xiàng)用于評估一個項(xiàng)目所需的時間用量時?A、勞動力數(shù)量估算B、可排除C、)關(guān)鍵路徑分析D、甘特圖答案：D152.一個做采購和分銷業(yè)務(wù)的公司，計劃采用集中網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)，最可能是基于什么因素考慮：A、增加數(shù)據(jù)冗余度B、消除數(shù)據(jù)庫正規(guī)化限制C、保證數(shù)據(jù)庫完整性D、便于數(shù)據(jù)統(tǒng)計答案：C153.【重要題】從Internet連接到企業(yè)的局域網(wǎng)時，防止未經(jīng)授權(quán)訪問的最佳建議是利用A、代理服務(wù)器B、VPNC、加密D、虛擬化服務(wù)器答案：B154.審計師對公司的離職后系統(tǒng)用戶的刪除情況的及時性進(jìn)行審計，以下那些證據(jù)收集技能最能獲得有效證據(jù)A、將離職單與系統(tǒng)操作日志進(jìn)行比較B、將離職記錄與HR的離職表進(jìn)行比較C、與HR經(jīng)理進(jìn)行面談，確認(rèn)及時性答案：A155.在數(shù)據(jù)庫系統(tǒng)中，正規(guī)化的用途是?A、消除死鎖B、減少數(shù)據(jù)冗余。C、縮短數(shù)據(jù)訪問時間。D、使數(shù)據(jù)標(biāo)準(zhǔn)化。答案：B156.A5-85數(shù)字簽名包含消息摘要，以便：A、顯示消息是否在傳輸后發(fā)生改變B、定義加密算法C、確定發(fā)起人的身份D、以數(shù)字格式傳輸消息答案：A157.A4-29某組織使用軟件即服務(wù)(SaaS)操作模式實(shí)施了在線客戶服務(wù)臺應(yīng)用程序。當(dāng)涉及可用性時，信息系統(tǒng)審計師需要建議最佳的控制措施，以監(jiān)控與SaaS供應(yīng)商簽訂該的服務(wù)水平協(xié)議(SLA)。以下哪個選項(xiàng)是信息系統(tǒng)審計師可提供的最佳建議?A、要求SS供應(yīng)商就應(yīng)用程序正常運(yùn)行時間提供每周報告B、實(shí)施在線輪詢工具，以監(jiān)控應(yīng)用程序并記錄中斷C、記錄用戶報告的全部應(yīng)用程序中斷，并每周加總中斷時間D、與一家獨(dú)立的第三方簽約，為應(yīng)用程序正常運(yùn)行時間提供周報答案：B158.因業(yè)務(wù)激增，某公司采購了大型主機(jī)系統(tǒng)，信息系統(tǒng)審計師應(yīng)當(dāng)主要考慮下面哪一個因素?A、RP是否評估和更新B、采購是否超過預(yù)算C、投標(biāo)是否經(jīng)過評估D、應(yīng)用程序訪問控制是否充分答案：D159.IT管理員廢除了數(shù)據(jù)庫中的某些引用完整性控制，下列哪一種控制能偶最有效的彌補(bǔ)引用完整性控制的不足?A、性能監(jiān)視工具B、定期檢查表的鏈接C、更頻繁地備份數(shù)據(jù)D、并行訪問控制(cuntaccesscontrols)答案：B160.A5-139以下哪一種環(huán)境可以保護(hù)計算機(jī)設(shè)備免受電力短期降低的影響?A、電源線調(diào)節(jié)器B、電涌保護(hù)設(shè)備C、備用電源D、間斷電源答案：A161.營銷部門的三個員工使用共享賬戶維護(hù)公司社交媒體的新聞信息的發(fā)布，這一過程存在什么問題?A、無法實(shí)現(xiàn)對更新的問責(zé)制B、并發(fā)登錄導(dǎo)致更新發(fā)生沖突C、賬戶被別人修改后無法登錄D、發(fā)布未經(jīng)審批的信息答案：A162.審查數(shù)據(jù)中心環(huán)境控制中的滅火系統(tǒng)時，應(yīng)考慮A、維護(hù)措施B、安裝手冊C、是否能現(xiàn)場安裝D、承保范圍答案：A163.A3-19信息系統(tǒng)未能滿足用戶需求的最常見原因是：A、用戶需求不斷變化B、未能準(zhǔn)確預(yù)測系統(tǒng)需求的增長C、硬件系統(tǒng)限制并發(fā)數(shù)據(jù)量D、用戶參與定義系統(tǒng)要求的程度不夠答案：D164.A5-234對關(guān)鍵系統(tǒng)執(zhí)行認(rèn)證和鑒定過程的原因是為了確保：A、已對安全合規(guī)性進(jìn)行技術(shù)評估B、已對數(shù)據(jù)加密且該數(shù)據(jù)準(zhǔn)備就緒，可以存儲C、已經(jīng)測試系統(tǒng)可以在不同的平臺上運(yùn)行D、系統(tǒng)遵循瀑布模型的各階段答案：A165.A2-26高級管理層的參與對制定以下哪一項(xiàng)最重要?A、戰(zhàn)略計劃B、)IT政策C、IT流程D、標(biāo)準(zhǔn)和準(zhǔn)則答案：A166.A5-35在向供應(yīng)商授予臨時訪問權(quán)限時，以下哪項(xiàng)是最有效的控制措施?A、供應(yīng)商的訪問權(quán)限符合服務(wù)水平協(xié)議B、根據(jù)所提供的服務(wù)創(chuàng)建用戶賬戶并對其設(shè)置到期日期C、在有限的時間段內(nèi)提供管理員訪問權(quán)限D(zhuǎn)、在工作完成后刪除用戶I答案：B167.【重要題】企業(yè)使用IAAS(基礎(chǔ)設(shè)施及服務(wù))進(jìn)行IT管理，誰應(yīng)該負(fù)責(zé)操作系統(tǒng)安全A、企業(yè)B、云服務(wù)商C、操作系統(tǒng)提供商D、企業(yè)和云服務(wù)商答案：A168.A2-104在組織中實(shí)施IT治理框架時，最重要的目標(biāo)是：A、實(shí)施IT與業(yè)務(wù)的一致性B、實(shí)現(xiàn)問責(zé)制C、利用IT實(shí)現(xiàn)價值D、提高IT投資回報答案：A169.A5-152在電子郵件的軟件應(yīng)用程序中，已驗(yàn)證的數(shù)字簽名可以：A、幫助檢測垃圾郵件B、保證機(jī)密性C、增加網(wǎng)關(guān)服務(wù)器的工作量D、明顯減少可用帶寬答案：A170.客戶可以通過internet直接訪問一個Web應(yīng)用系統(tǒng)(客戶關(guān)系管理系統(tǒng))。以下哪一項(xiàng)是審計師最擔(dān)心的?A、系統(tǒng)部署在企業(yè)內(nèi)部網(wǎng)段中B、系統(tǒng)托管在第三方服務(wù)商的混合云平臺中C、系統(tǒng)部署在公司網(wǎng)絡(luò)的MZ區(qū)中D、系統(tǒng)托管在第三方供應(yīng)商的服務(wù)器上答案：B171.在一個無人的資料中心適合用什么消防器具？A、噴水滅火器B、七氟丙烷C、二氧化碳D、干管答案：C172.對于無雙重門控制的機(jī)房，管理層應(yīng)該采取哪個行動來防止跟隨進(jìn)入?(2023年3月真題)A、要求員工佩戴I卡B、雙因素驗(yàn)證C、生物識別技術(shù)D、安全意識培訓(xùn)答案：D173.A3-14通過對照能力成熟度模型來評估應(yīng)用開發(fā)項(xiàng)目，信息系統(tǒng)審計師應(yīng)可以確定：A、產(chǎn)品的可靠性是否得到保證B、編程人員的效率是否可以提高C、安全要求是否已經(jīng)制定D、可預(yù)測的軟件流程是否得到遵循答案：D174.公司請外部審計，對外部信息系統(tǒng)審計師的訪問權(quán)限應(yīng)由以下哪項(xiàng)文件予以說明和授予?A、審計章程B、經(jīng)批準(zhǔn)的工作說明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計工作開展的需求請求書答案：A175.【重要題】網(wǎng)上系統(tǒng)應(yīng)用在使用過程中由于數(shù)據(jù)量大導(dǎo)致延遲，系統(tǒng)響應(yīng)時間無法接受，哪一項(xiàng)可以提升應(yīng)用的性能?A、RI5(數(shù)據(jù)復(fù)制技術(shù))B、磁盤鏡像C、負(fù)載均衡D、調(diào)整防火墻配置答案：C176.A5-218一位信息系統(tǒng)審計師發(fā)現(xiàn)會議室內(nèi)有可使用的網(wǎng)絡(luò)端口。以下哪項(xiàng)會令信息系統(tǒng)審計師不關(guān)注此發(fā)現(xiàn)?A、公司網(wǎng)絡(luò)使用了入侵防御系統(tǒng)B、這部分網(wǎng)路與公司網(wǎng)絡(luò)進(jìn)行了隔離C、公司網(wǎng)絡(luò)中實(shí)施了單點(diǎn)登錄D、安裝了防病毒軟件來保護(hù)公司網(wǎng)絡(luò)答案：B177.A1-134以下哪一項(xiàng)是報告信息系統(tǒng)審計結(jié)果的主要要求?A、根據(jù)預(yù)先定義的標(biāo)準(zhǔn)模板進(jìn)行擬訂B、有充分和適當(dāng)?shù)膶徲嬜C據(jù)做支撐C、全面涵蓋企業(yè)流程D、由審計管理層負(fù)責(zé)審查和批準(zhǔn)答案：B178.信息系統(tǒng)投資的業(yè)務(wù)案例需要保留到什么時候?A、信息系統(tǒng)壽命已盡(系統(tǒng)廢止)B、投資信息系統(tǒng)已退休(投資退休)C、投資決策獲得批準(zhǔn)后D、投資收益已充分實(shí)現(xiàn)答案：A179.審計新的應(yīng)用系統(tǒng)，審計師要最主要考慮：A、風(fēng)險分析B、成本效益分析C、項(xiàng)目可行性分析D、業(yè)務(wù)影響分析答案：A180.審計師作為開發(fā)小組成員，該小組正在采購軟件。以下哪一項(xiàng)有損該審計獨(dú)立性?A、鑒證供應(yīng)商選擇流程B、批準(zhǔn)供應(yīng)商選擇方法C、驗(yàn)證每項(xiàng)選擇標(biāo)準(zhǔn)的權(quán)重D、可排除答案：B181.信息系統(tǒng)審計師正在審查外包客戶服務(wù)部門的服務(wù)管理。以下哪一項(xiàng)最能表明服務(wù)提供商執(zhí)行此職能的效能？A、有效通話次數(shù)B、客戶滿意度評級C、工單平均時長D、通話記錄審查答案：B182.某IS審計師正在審查某組織最新的災(zāi)難恢復(fù)計劃（DRP)。確定該計劃所需要的系統(tǒng)資源的可用性時，以下哪一項(xiàng)批準(zhǔn)最重要？A、執(zhí)行管理層B、IT管理層C、董事會D、督導(dǎo)委員會答案：B183.A5-48安全管理流程需要對以下哪項(xiàng)具有只讀訪問權(quán)限?A、訪問控制表B、安全日志文件C、日志選項(xiàng)D、用戶配置文件答案：B184.為確保及時向高級管理層匯報重要IT運(yùn)行問題，以下哪一項(xiàng)是最有效的機(jī)制?A、服務(wù)水平監(jiān)控B、定期狀態(tài)報告C、常規(guī)會議D、問題升級流程答案：C185.【重要題】IT經(jīng)理向高級管理層匯報潛在風(fēng)險情況，運(yùn)行關(guān)鍵在線信用報告系統(tǒng)服務(wù)器的操作系統(tǒng)將不受支持，該風(fēng)險屬于哪種類型的風(fēng)險?A、符合性風(fēng)險B、技術(shù)風(fēng)險C、業(yè)務(wù)風(fēng)險D、)聲譽(yù)風(fēng)險答案：B186.在審查數(shù)據(jù)防護(hù)時，信息系統(tǒng)審計師最應(yīng)該關(guān)注A、分類結(jié)構(gòu)未發(fā)布B、密碼未定期更改C、分類數(shù)據(jù)未加密D、數(shù)據(jù)未正確分類答案：D187.A5-93以下哪種方法是對分配給供應(yīng)商員工的無線ID的最佳控制?A、分配一個每日過期的可更新用戶IB、采用一次性寫入日志來監(jiān)控供應(yīng)商的系統(tǒng)活動C、使用類似于員工使用的用戶I格式D、確保無線網(wǎng)絡(luò)加密得到正確配置答案：A188.一名IS審計師正在審查某企業(yè)的系統(tǒng)開發(fā)測試政策。在以下有關(guān)使用生產(chǎn)數(shù)據(jù)進(jìn)行測試的陳述中，此IS審計師會認(rèn)為哪項(xiàng)最恰當(dāng)?A、必須經(jīng)高級IS和業(yè)務(wù)管理層批準(zhǔn)使用后，生產(chǎn)數(shù)據(jù)才能用于測試。B、只要將生產(chǎn)數(shù)據(jù)復(fù)制到安全的測試環(huán)境中，就可使用。C、決不能使用生產(chǎn)數(shù)據(jù)。必須基于書面的測試案例準(zhǔn)備所有測試數(shù)據(jù)。D、如果簽署了保密協(xié)議，便可使用生產(chǎn)數(shù)據(jù)。答案：A189.A5-12信息系統(tǒng)審計師被管理層要求審查一項(xiàng)可能是欺詐的交易。信息系統(tǒng)審計師在評估交易時首要關(guān)注點(diǎn)應(yīng)為：A、在評估交易時，保證公正客觀B、確保信息系統(tǒng)審計師的獨(dú)立性C、保證數(shù)據(jù)的完整性D、評估交易的所有相關(guān)證據(jù)答案：C190.A1-28人力資源副總裁要求進(jìn)行信息系統(tǒng)審計，以確定上一年多付的工資額。在這種情況下，最佳的審計技術(shù)是什么?A、生成樣本測試數(shù)據(jù)B、通用審計軟件C、集成測試設(shè)施D、嵌入式審計模塊答案：B191.A5-95在對財務(wù)系統(tǒng)執(zhí)行審計時，信息系統(tǒng)審計師懷疑發(fā)生了事故。信息系統(tǒng)審計師首先應(yīng)該做什么?A、要求關(guān)閉系統(tǒng)以保留證據(jù)B、向管理層報告事故C、要求立即暫?？梢少~戶D、調(diào)查事故的來源和性質(zhì)答案：B192.A5-104組織應(yīng)具有事故響應(yīng)計劃的主要原因是該計劃有助于：A、確保及時與相關(guān)管理層溝通不良事件B、控制與維護(hù)災(zāi)難恢復(fù)計劃能力有關(guān)的成本C、確保在發(fā)生安全漏洞等問題時客戶能夠立即得到通知D、最大限度地減少系統(tǒng)中斷和安全事故的持續(xù)時間和影響答案：D193.A4-160以下哪一項(xiàng)災(zāi)難恢復(fù)測試技術(shù)是確定計劃有效性的最有效方式?A、準(zhǔn)備情況測試B、紙上測試C、全面運(yùn)行測試D、實(shí)際服務(wù)中斷答案：A194.A1-93執(zhí)行風(fēng)險分析時，信息系統(tǒng)審計師應(yīng)首先：A、審查數(shù)據(jù)分類計劃B、確定組織的信息資產(chǎn)C、確認(rèn)系統(tǒng)的固有風(fēng)險D、對控制執(zhí)行成本效益分析答案：B195.企業(yè)的操作人員未執(zhí)行年末財務(wù)報表的自動腳本，以下哪項(xiàng)措施可以起到很好的作用A、培訓(xùn)操作人員B、選擇有經(jīng)驗(yàn)的財務(wù)人員加入操作團(tuán)隊(duì)C、實(shí)施封閉檢查清單(Closingchecklist)D、更新操作手冊答案：C196.內(nèi)部審計的職責(zé)由以下哪一項(xiàng)明確A、審計計劃B、審計章程C、審計目標(biāo)D、審計范圍素答案：B197.以下那個指標(biāo)最適合的衡量數(shù)據(jù)恢復(fù)策略：A、RPOB、RTOC、SDOD、最大中斷窗口答案：A198.A4-254以下哪項(xiàng)是處置含有機(jī)密信息的磁介質(zhì)最有效方法?A、消磁B、碎片整理C、擦除D、破壞答案：D199.A2-147某信息系統(tǒng)審計師了解到某企業(yè)將軟件開發(fā)工作外包給了一家初創(chuàng)的第三方公司，要確保該企業(yè)在軟件方面的投資受到保護(hù)，此信息系統(tǒng)審計師應(yīng)提出以下哪種建議?A、應(yīng)對軟件供應(yīng)商進(jìn)行盡職調(diào)查B、應(yīng)對供應(yīng)商設(shè)施進(jìn)行季度審計C、應(yīng)簽署源代碼第三方托管協(xié)議D、應(yīng)在合同中包含較高的違約罰金條款答案：C200.對于問題的整改，公司并未按先前商定的程序去按時跟進(jìn)，且高級管理層已接受相關(guān)風(fēng)險，如果審計師不同意管理層的決定，最佳的處理方式是?A、將問題報告給首席審計執(zhí)行官，尋求解決方法B、在審計范圍內(nèi)重新執(zhí)行審計，但僅涵蓋具有可接受風(fēng)險的領(lǐng)域C、既然高級管理層已經(jīng)接受風(fēng)險，不需要任何行動D、建議新的糾正行動以緩釋可接受的風(fēng)險答案：A201.面向服務(wù)架構(gòu)(SOA)最可能A、危害應(yīng)用程序軟件安全性B、簡化所有內(nèi)部流程C、便于合伙人之間的合作D、禁止與舊系統(tǒng)之間集成答案：C202.A3-51以下哪一項(xiàng)是原型設(shè)計的優(yōu)點(diǎn)?A、成品系統(tǒng)通常具有強(qiáng)大的內(nèi)部控制B、原型系統(tǒng)能夠顯著地節(jié)省時間和成本C、原型系統(tǒng)的變更控制通常較為簡單D、原型設(shè)計可確保功能或附加物不會被添加到指定系統(tǒng)答案：B203.企業(yè)開展業(yè)務(wù)所在地區(qū)的隱私法變更后，信息系統(tǒng)審計師應(yīng)采取什么行動?A、設(shè)計補(bǔ)償控制以符合新的隱私法B、對企業(yè)的隱私程序提供更新建議C、使用當(dāng)前的隱私程序執(zhí)行差距分析D、將隱私法的變更傳達(dá)給法律部門答案：C204.A1-121審計銀行電匯系統(tǒng)時,以下哪一項(xiàng)技術(shù)最適合檢測是否存在雙重控制?A、交易日志分析B、重新執(zhí)行C、觀察D、約談工作人員答案：C205.A5-106某組織正在考慮將基于PC的關(guān)鍵系統(tǒng)連接到互聯(lián)網(wǎng)。以下哪項(xiàng)最能防止黑客攻擊?A、應(yīng)用程序級網(wǎng)關(guān)B、遠(yuǎn)程訪問服務(wù)器C、代理服務(wù)器D、端口掃描答案：A206.A5-77以下哪一項(xiàng)是被動網(wǎng)絡(luò)安全攻擊的示例?A、流量分析B、偽裝C、拒絕服務(wù)D、電子郵件欺騙答案：A207.A1-30在風(fēng)險分析期間，信息系統(tǒng)審計師已確定威脅和潛在影響。接下來，該信息系統(tǒng)審計師應(yīng)該：A、確保風(fēng)險評估與管理層的風(fēng)險評估流程相一致B、確定信息資產(chǎn)和底層系統(tǒng)C、對管理層披露威脅和影響D、確定并評估現(xiàn)有控制答案：D208.A4-107檢查操作系統(tǒng)安全配置的信息系統(tǒng)審計師應(yīng)該審查：A、交易日志記錄B、授權(quán)表C、參數(shù)設(shè)置D、路由表答案：C209.信息系統(tǒng)審計師發(fā)現(xiàn)安全運(yùn)營團(tuán)隊(duì)在與員工的通信中包含了最近攻擊的詳細(xì)報告。以下哪一項(xiàng)是這一情況的最大擔(dān)憂?A、員工可能會濫用或傳播報告中的信息B、沒有采用書面化的方式來傳達(dá)報告C、沒有技術(shù)專業(yè)背景的員工不理解該報告D、員工可能未能了解威脅的嚴(yán)重性答案：A210.IT治理審查中，哪一項(xiàng)信息系統(tǒng)審計師是最擔(dān)憂的?A、公司允許兩套操作系統(tǒng)B、未監(jiān)控預(yù)算C、IT價值分析未完成D、公司的全部IT技術(shù)都是由第三方提供的。答案：C211.數(shù)據(jù)分類的好處：A、減少對敏感信息的保護(hù)成本B、業(yè)務(wù)風(fēng)險與敏感信息相匹配C、提升企業(yè)人員的安全意識D、監(jiān)管要求，必須實(shí)施答案：A212.在審計生命周期的哪個階段適合與客戶討論初步審計意見A、執(zhí)行階段B、報告階段C、規(guī)劃階段D、跟蹤階段答案：B213.在制定業(yè)務(wù)連續(xù)性計劃（BCP）時，應(yīng)首先完成以下哪一項(xiàng)A、執(zhí)行漏洞分析B、進(jìn)行BIA分析C、審查環(huán)境控制措施D、執(zhí)行業(yè)務(wù)威脅評估答案：B214.A1-47制訂基于風(fēng)險的審計策略時，信息系統(tǒng)審計師應(yīng)執(zhí)行風(fēng)險評估，以確保：A、降低風(fēng)險所需的控制已就位B、識別出漏洞和威脅C、將審計風(fēng)險考慮在內(nèi)D、差距分析得當(dāng)答案：B215.防黑客能力最強(qiáng)的防火墻類型是A、應(yīng)用網(wǎng)關(guān)B、屏蔽路由器(屏蔽主機(jī)防火墻)C、數(shù)據(jù)包過濾D、電路網(wǎng)關(guān)答案：A216.某IS審計師正在為某大型跨國公司審查應(yīng)用變更管理流程，他最擔(dān)心發(fā)生以下哪種情況？A、測試系統(tǒng)的運(yùn)行配置與生產(chǎn)系統(tǒng)不一樣。B、變更管理記錄為紙質(zhì)記錄C、配置管理數(shù)據(jù)庫未經(jīng)維護(hù)D、測試環(huán)境安裝在生產(chǎn)服務(wù)器上答案：C217.A5-163公司XYZ已將生產(chǎn)支持外包給在另一個國家的服務(wù)提供商ABC。ABC服務(wù)提供商的工作人員通過互聯(lián)網(wǎng)連接到XYZ的生產(chǎn)支持網(wǎng)絡(luò)。以下哪一項(xiàng)能夠最有效保證只有經(jīng)過授權(quán)的ABC用戶能夠通過互聯(lián)網(wǎng)連接為XYZ提供給服務(wù)支持?A、單點(diǎn)登錄身份認(rèn)證B、密碼復(fù)雜性規(guī)則C、雙因素認(rèn)證D、互聯(lián)網(wǎng)協(xié)議地址限制答案：C218.【重要題】哪一項(xiàng)提供IT在一家企業(yè)內(nèi)的作用的最全面描述?A、IT工作說明B、IT章程C、IT組織結(jié)構(gòu)圖D、可排除答案：B219.A1-11信息系統(tǒng)審計師的決定和行動最可能影響以下哪種風(fēng)險?A、固有風(fēng)險B、檢測風(fēng)險C、控制風(fēng)險D、業(yè)務(wù)風(fēng)險答案：B220.A2-34許多組織都強(qiáng)制要求員工休假(度假)一周或更久，其目的在于：A、確保員工保持良好的生活質(zhì)量，從而提高生產(chǎn)效率B、減少員工發(fā)生不當(dāng)操作或非法操作的機(jī)會C、為另一名員工提供合適的交叉培訓(xùn)D、消除某位員工一次性休一天假而可能引起的中斷答案：B221.A4-44網(wǎng)絡(luò)性能監(jiān)控工具能夠最直接地影響以下哪一項(xiàng)?A、完整性B、可用性C、完成度D、機(jī)密性答案：B222.在審查用戶賬戶政策時，信息系統(tǒng)審計師的最大擔(dān)憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權(quán)限的相關(guān)政策B、當(dāng)員工更改角色時，沒有任何政策可以撤銷以前的訪問權(quán)限C、沒有要求員工簽署保密協(xié)議NDA的相關(guān)政策D、沒有針對安全意識培訓(xùn)的政策答案：B223.高級審計師正在審查初級審計師的審計底稿，發(fā)現(xiàn)一個問題在被審計方已整改后被刪除了。高級審計師下一步該：A、批準(zhǔn)該審計底稿B、要求被審計方重新測試C、將該問題報告給審計經(jīng)理或主管D、復(fù)原該審計發(fā)現(xiàn)答案：C224.信息系統(tǒng)審計師發(fā)現(xiàn)，許多離職員工尚未從財務(wù)系統(tǒng)中刪除，為了評估風(fēng)險以下哪一項(xiàng)是最重要的?A、終止離職員工訪問的流程B、離職員工實(shí)際訪問系統(tǒng)的能力C、管理層對用戶訪問權(quán)限進(jìn)行審查的頻率D、與財務(wù)系統(tǒng)相關(guān)的入侵嘗試的頻率答案：B225.以下哪項(xiàng)最能確保信息資產(chǎn)的機(jī)密性?A、按照“按需分配”的訪問控制原則B、采用雙因素身份認(rèn)證控制C、人員安全意識培訓(xùn)D、為所有用戶配置只讀權(quán)限答案：A226.A4-3審查與服務(wù)供應(yīng)商簽訂的新外包合同時，缺少以下哪項(xiàng)最需要信息系統(tǒng)審計師給予關(guān)注?A、規(guī)定“審計權(quán)限”(針對服務(wù)供應(yīng)商進(jìn)行審計)的條款B、對績效不佳的罰款進(jìn)行定義的條款C、預(yù)先定義的服務(wù)水平報告模板D、有關(guān)供應(yīng)商責(zé)任范圍的條款答案：A227.A4-21信息系統(tǒng)審計師審查服務(wù)水平協(xié)議(SLA)時，應(yīng)對以下哪個問題最關(guān)注?A、異常報告導(dǎo)致的服務(wù)調(diào)整需要一天的實(shí)施時間B、用于服務(wù)監(jiān)控的應(yīng)用程序日志過于復(fù)雜，導(dǎo)致審查非常困難C、服務(wù)衡量方式未包括在SL中D、文檔每年更新一次答案：C228.【重要題】在后續(xù)審計中，被審計方提出，審計問題應(yīng)采取的糾正措施需要比預(yù)期更長的時間，審計師應(yīng)該：A、要求在商定的期限內(nèi)完成整改B、將此問題向高級管理層匯報C、停止審計工作并推遲跟蹤審計D、確認(rèn)是否有補(bǔ)償性控制的臨時措施答案：D229.安裝數(shù)據(jù)泄漏防護(hù)（DLP)軟件的主要目的是控制以下哪一項(xiàng)？A、服務(wù)器上存儲的保密文件的訪問特權(quán)B、意圖破壞內(nèi)部網(wǎng)絡(luò)中的重要數(shù)據(jù)C、哪些外部系統(tǒng)可以訪問內(nèi)部資源D、保密文件流出內(nèi)部網(wǎng)絡(luò)答案：D230.有員工把系統(tǒng)管理員密碼發(fā)在了社交網(wǎng)站上，最先應(yīng)該怎么做：A、修改密碼B、關(guān)閉系統(tǒng)C、走法律程序D、上報監(jiān)管答案：A231.A4-231下列哪種測試方法適用于業(yè)務(wù)連續(xù)性計劃?A、試點(diǎn)測試B、紙上測試C、單元測試D、系統(tǒng)測試答案：B232.A5-196對成功的社會工程攻擊的最貼近的解釋是：A、計算機(jī)錯誤B、判斷錯誤C、專業(yè)知識D、技術(shù)答案：B233.最能確定公司網(wǎng)絡(luò)整體安全性的方式是()?A、實(shí)施滲透測試B、審查網(wǎng)絡(luò)安全文檔C、審查安全程序D、審查網(wǎng)絡(luò)配置答案：A234.信息系統(tǒng)審計師發(fā)現(xiàn)，為了提高性能已經(jīng)WEB應(yīng)用程序的驗(yàn)證控制從服務(wù)器遷移到客戶端，那么遭受以下哪一項(xiàng)攻擊的風(fēng)險最可能增加？A、PHISHINGB、SQL注入C、DOSD、緩沖區(qū)溢出答案：B235.移動設(shè)備要丟棄，怎么保證安全?(下列哪像對于磁盤清理數(shù)據(jù)最有效?)A、多次復(fù)寫B(tài)、清除數(shù)據(jù)軟件數(shù)據(jù)（數(shù)據(jù)擦除）C、把移動設(shè)備放置在強(qiáng)磁場中D、格式化答案：C236.審計師發(fā)現(xiàn)系統(tǒng)存在很多多余生產(chǎn)系統(tǒng)權(quán)限沒有及時清除，審計師應(yīng)該建議?A、人力資源系統(tǒng)在員工離職后自動觸發(fā)刪除員工權(quán)限B、業(yè)務(wù)部門定期審閱并申請刪除多余的訪問權(quán)限C、系統(tǒng)管理員應(yīng)確保權(quán)限分配的一致性D、IT安全部門管理員定期刪除多余的權(quán)限答案：B237.什么是制定戰(zhàn)略過程中面臨的最大風(fēng)險?A、可排除B、IT戰(zhàn)略的制定基于以前的執(zhí)行情況C、IT戰(zhàn)略在業(yè)務(wù)戰(zhàn)略和計劃之前制定D、IT戰(zhàn)略未包含信息安全答案：C238.分散式信息安全職能的優(yōu)勢在于:A、提高合規(guī)性。B、更一致。C、提高響應(yīng)能力。D、更客觀答案：C239.新系統(tǒng)的實(shí)施是通過自行實(shí)施還是采用外包模式實(shí)施需要明知的決策，這應(yīng)該實(shí)在哪個環(huán)節(jié)中考慮的？A、業(yè)務(wù)案例B、可行性分析答案：B240.為確保企業(yè)信息不被獲取，以下哪一項(xiàng)是清理硬盤供再次使用的最佳方式?A、數(shù)據(jù)擦除B、消磁C、格式化D、重新分區(qū)答案：A241.確定配置應(yīng)用程序的內(nèi)部安全控制是否符合組織安全標(biāo)準(zhǔn)的最佳測試是哪個?A、安全報告的可用性和頻率B、業(yè)務(wù)應(yīng)用程序的安全參數(shù)設(shè)置C、TS的日志D、應(yīng)用程序的用戶賬戶和密碼答案：B242.A1-27信息系統(tǒng)審計師正在進(jìn)行符合性測試，以確定控制措施是否支持管理政策和程序。測試將有助信息系統(tǒng)審計師確定：A、控制是否有效執(zhí)行B、控制是否在按設(shè)計預(yù)期運(yùn)行C、數(shù)據(jù)控制的完整性D、財務(wù)報告控制的合理性答案：B243.A2-38在實(shí)施IT平衡計分卡之前,組織必須：A、提供有效且高效的服務(wù)B、定義關(guān)鍵績效指標(biāo)C、為IT項(xiàng)目帶來商業(yè)價值D、控制IT費(fèi)用答案：B244.信息系統(tǒng)審計師在審查對公司無線網(wǎng)絡(luò)環(huán)境中的受限制信息的訪問控制時，應(yīng)該考慮到，僅使用下列哪一種方式對用戶進(jìn)行身份驗(yàn)證最受關(guān)注?A、U盤B、一次性密碼C、可排除D、媒體訪問控制地址(MAC地址)答案：D245.A3-4某信息系統(tǒng)審計師正在審查某個組織的軟件開發(fā)流程。下列哪項(xiàng)職能適合由最終用戶執(zhí)行?A、程序輸出測試B、系統(tǒng)配置C、程序邏輯說明D、性能調(diào)整答案：A246.A5-146在公鑰基礎(chǔ)設(shè)施中,注冊機(jī)構(gòu)負(fù)責(zé)：A、驗(yàn)證證書申請對象所提供的信息B、在核實(shí)所需屬性并生成密鑰之后頒布認(rèn)證C、對消息進(jìn)行數(shù)字簽名，以實(shí)現(xiàn)簽名消息的不可否認(rèn)性D、登記簽名信息，以保證其日后不遭到否認(rèn)答案：A247.企業(yè)架構(gòu)(EA)舉措的主要好處是：A、使組織的投資能夠用于于最合適的技術(shù)中。B、確保在關(guān)鍵平臺上實(shí)施安全控制。C、允許開發(fā)團(tuán)隊(duì)更快地響應(yīng)業(yè)務(wù)要求。D、賦予業(yè)務(wù)單位更大的自主權(quán)，以選擇符合其需求的IT解決方案。答案：A248.存儲機(jī)密信息的電子介質(zhì)要送到異地，怎樣才能確保最大程度的安全性？A、找經(jīng)過認(rèn)證和有擔(dān)保的信使(運(yùn)送服務(wù)商)B、對機(jī)密信息文件進(jìn)行數(shù)字簽名C、用安全鎖物理加固介質(zhì)D、加密介質(zhì)答案：D249.公司要將保密數(shù)據(jù)給到下游應(yīng)用系統(tǒng)，最能保證安全性的是？（金融機(jī)構(gòu)需要向下屬分公司傳輸機(jī)密性的數(shù)據(jù)，最佳做法是？）A、SFTPB、帶時間截的文件頭C、SNMPD、SNTPE、安全外殼答案：A250.對于評估業(yè)務(wù)連續(xù)性計劃的有效性最好方法是審查：A、預(yù)先的測試結(jié)果B、異地存儲和環(huán)境監(jiān)控C、計劃并把他們作為適當(dāng)?shù)臉?biāo)準(zhǔn)D、應(yīng)急程序和員工培訓(xùn)答案：A251.問題管理的目的不是：A、迅速恢復(fù)事件B、降低事故發(fā)生的次數(shù)和嚴(yán)重性C、通過對重大事故進(jìn)行調(diào)查和深入的分析后解決問題D、不斷提高IS部門的服務(wù)質(zhì)量答案：A252.A2-108實(shí)施公司治理的主要目標(biāo)是：A、指明戰(zhàn)略方向B、控制業(yè)務(wù)運(yùn)營C、使IT與業(yè)務(wù)保持一致D、實(shí)施良好的實(shí)踐答案：A253.發(fā)現(xiàn)網(wǎng)站服務(wù)停止響應(yīng)，很多用戶報告說連不上系統(tǒng)，最有可能遭到什么攻擊？A、惡意代碼B、中間人C、中斷攻擊D、DOS答案：D254.下面哪一項(xiàng)是最佳的數(shù)據(jù)完整性檢查?A、將數(shù)據(jù)追溯至源點(diǎn)B、計算每天處理的交易量C、準(zhǔn)備和運(yùn)行測試數(shù)據(jù)D、執(zhí)行連續(xù)性檢查答案：A255.A2-119將安全方案作為安全治理框架的一部分實(shí)施的主要好處在于：A、使IT活動與IS審計建議保持一致B、實(shí)施安全風(fēng)險管理C、實(shí)施首席信息安全官的建議D、降低IT風(fēng)險的成本答案：B256.向客戶支付的應(yīng)用系統(tǒng)完成后，實(shí)施項(xiàng)目后評估的重點(diǎn)在于A、滿足合同約定B、實(shí)現(xiàn)系統(tǒng)設(shè)計的要求C、按照軟件工程師設(shè)計意圖開發(fā)答案：B257.【重要題】審查網(wǎng)絡(luò)打印機(jī)處置的時候，審計師應(yīng)該最擔(dān)心的是什么?A、沒有足夠的證據(jù)表明處置的打印機(jī)的硬盤徹底清除B、業(yè)務(wù)部門直接將打印機(jī)交給了授權(quán)的供應(yīng)商處置C、未按照政策和方案規(guī)定來處置D、打印機(jī)放在不安全的區(qū)域答案：A258.A1-131以下哪一項(xiàng)最能有效地確保會計系統(tǒng)利用計算相關(guān)控制的有效性?A、重新執(zhí)行B、流程瀏覽審查C、觀察D、文檔審查答案：A259.【重要題】為減輕API查詢公開數(shù)據(jù)的風(fēng)險，以下哪項(xiàng)考慮因素最重要?A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化D、數(shù)據(jù)保留答案：C260.某IS審計師正在審查某數(shù)據(jù)中心的物理安全控制，發(fā)現(xiàn)以下哪個問題最值得關(guān)注?A、不記得了B、滅火系統(tǒng)C、安全攝像頭D、緊急出口答案：D261.IS審計師發(fā)現(xiàn)被審計的企業(yè)，各部門均制訂了充分的業(yè)務(wù)連續(xù)性計劃（BCP），但是沒有整個企業(yè)的BCP。那么，IS審計師應(yīng)該采取的最佳行動是：A、建議增加、制訂全企業(yè)的、綜合的BCPB、建議合并所有BCP為一個單獨(dú)的全企業(yè)的BCPC、確定各部門的BCP是否一致，沒有沖突D、各業(yè)務(wù)部門都有適當(dāng)?shù)腂CP就夠了，無需其它答案：C262.以下哪一項(xiàng)控制措施能夠最有效地確保董事會收到有關(guān)IT的足夠信息？A、CIO應(yīng)要求向董事會個別成員作簡短陳述。B、CIO及時報告績效和糾正措施。C、董事會成員熟悉IT并就IT問題咨詢CIO。D、董事會、CIO及技術(shù)委員會之間召開會議。答案：D263.信息系統(tǒng)審計師執(zhí)行下列哪項(xiàng)行為最可能損害其在應(yīng)用程序系統(tǒng)審計中的獨(dú)立性?A、為應(yīng)用程序設(shè)計一個嵌入式審計模塊。B、執(zhí)行應(yīng)用程序的開發(fā)審查C、審計師的上級負(fù)責(zé)此應(yīng)用程序的開發(fā)。D、知道應(yīng)用程序包括審計師的個人交易。答案：C264.A5-14以下哪一項(xiàng)是防止組織中未經(jīng)授權(quán)人員刪除審計日志的最佳控制手段?A、應(yīng)當(dāng)在單獨(dú)的日志中跟蹤對日志文件執(zhí)行的操作B、禁用對審計日志的寫訪問權(quán)限C、只有指定人員有權(quán)查看或刪除審計日志D、定期執(zhí)行審計日志備份答案：C265.敏捷項(xiàng)目能識別和緩解風(fēng)險得辦法：A、項(xiàng)目成員參與風(fēng)險討論B、像業(yè)務(wù)負(fù)責(zé)報告風(fēng)險C、項(xiàng)目成員專注于高風(fēng)險領(lǐng)域D、請專家進(jìn)行風(fēng)險評估答案：A266.A5-259神經(jīng)網(wǎng)絡(luò)可有效地檢測欺詐，因?yàn)樯窠?jīng)網(wǎng)絡(luò)可以：A、發(fā)現(xiàn)新的趨勢，因?yàn)槠浔旧硎蔷€性的B、解決不能獲得大量常規(guī)培訓(xùn)數(shù)據(jù)組的問題C、解決需要考慮大量輸入變量的問題D、假設(shè)任何曲線的形象是根據(jù)變量和輸出之間的關(guān)系繪制的答案：C267.對一個新開發(fā)的系統(tǒng)，審計師應(yīng)在哪個階段確定軟件連續(xù)計劃流程A、需求分析B、系統(tǒng)設(shè)計C、UAT完成后D、實(shí)施后審查答案：A268.IS審計師在審計電子商務(wù)環(huán)境時，最重要的是要理解以下哪一項(xiàng)？A、電子商務(wù)環(huán)境的技術(shù)架構(gòu)B、構(gòu)成內(nèi)部控制環(huán)境的政策、程序和實(shí)務(wù)C、應(yīng)用系統(tǒng)所支持的業(yè)務(wù)流程的性質(zhì)和重要性D、系統(tǒng)可用性和可靠性控制措施的持續(xù)監(jiān)測答案：C269.【重要題】什么是制定戰(zhàn)略過程中面臨的最大風(fēng)險?A、可排除B、IT戰(zhàn)略的制定基于以前的執(zhí)行情況C、IT戰(zhàn)略在業(yè)務(wù)戰(zhàn)略和計劃之前制定D、IT戰(zhàn)略未包含信息安全答案：C270.以下哪一項(xiàng)是實(shí)施分散式IT治理模型最主要的原因?A、實(shí)現(xiàn)標(biāo)準(zhǔn)化和規(guī)模經(jīng)濟(jì)B、實(shí)現(xiàn)各業(yè)務(wù)部門的統(tǒng)一性C、促進(jìn)各業(yè)務(wù)部門之間的IT協(xié)作D、有利于對業(yè)務(wù)需求有更快的響應(yīng)答案：D271.以下哪一項(xiàng)控制最能防止互聯(lián)網(wǎng)嗅探器(Internetsniffer)進(jìn)行重放攻擊(replayAttack):A、數(shù)據(jù)包過濾路由器B、帶時間戳的數(shù)據(jù)加密技術(shù)C、正確配置的防火墻D、數(shù)字簽名技術(shù)答案：B272.匿名文件傳輸協(xié)議(FTP)服務(wù)器的主要特征是?A、加密通信鏈路B、未認(rèn)證的用戶對所有主機(jī)系統(tǒng)文件具有完全的訪問權(quán)限C、無法防止對敏感文件的訪問D、比HTTP協(xié)議性能差答案：C273.A1-56選擇審計程序時，信息系統(tǒng)審計師運(yùn)用自己的專業(yè)性判斷，以確保：A、收集充分的證據(jù)B、重大缺陷在合理期限內(nèi)得到糾正C、識別出所有嚴(yán)重缺漏D、將審計成本控制在最低水平答案：A274.SDLC首先要做的測試A、單元測試B、集成測試C、回歸測試D、并行測試答案：A275.A4-6某企業(yè)的多個辦公室都位于一個區(qū)域內(nèi)，并且用于恢復(fù)的預(yù)算很有限。以下哪種恢復(fù)策略最合適?A、由企業(yè)維護(hù)的熱備援中心B、租用商業(yè)冷備援中心C、在企業(yè)各辦公室之間實(shí)行互惠安排D、采用第三方熱備援中心答案：C276.哪項(xiàng)技術(shù)便于了解和實(shí)行實(shí)際操作A、與流程所有者面談B、觀測實(shí)際流程C、審核實(shí)際操作與政策是否一致答案：B277.能夠最佳地提供本地服務(wù)器上的將處理的工資資料的訪問控制的是：A、使用軟件來約束授權(quán)用戶的訪問B、將每次訪問記入個人信息（即：作日志）C、對敏感的交易事務(wù)使用單獨(dú)的密碼/口令D、限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問答案：A278.審計報告在交給項(xiàng)目指導(dǎo)委員會之前，首先由誰進(jìn)行評估？A、業(yè)務(wù)負(fù)責(zé)人B、IT審計經(jīng)理C、項(xiàng)目發(fā)起人/項(xiàng)目資助人D、審計委員會答案：B279.數(shù)據(jù)中心環(huán)境控制審計可能包括以下哪一項(xiàng)審查?A、有權(quán)進(jìn)入數(shù)據(jù)中心的人員名單B、應(yīng)急出口的報警系統(tǒng)C、數(shù)據(jù)中心的訪問日志D、天花板上沒有濕管答案：D280.A5-143對信息系統(tǒng)審計師而言,如果下列用戶組具有生產(chǎn)數(shù)據(jù)庫的完全訪問權(quán)限，以下哪一組最值得關(guān)注?A、應(yīng)用程序開發(fā)人員B、系統(tǒng)管理員C、業(yè)務(wù)用戶D、信息安全團(tuán)隊(duì)答案：A281.在進(jìn)行客戶關(guān)系管理系統(tǒng)（CRM)應(yīng)用審計時，IS審計師發(fā)現(xiàn)，相比其他時段，用戶在高峰工作時段登錄系統(tǒng)需要很長時間。登錄后，系統(tǒng)的平均響應(yīng)時間在可接受的范圍之內(nèi)。該IS審計師應(yīng)當(dāng)建議以下哪一個選項(xiàng)？A、IS審計師不提出任何建議，因?yàn)橄到y(tǒng)符合當(dāng)前的業(yè)務(wù)需求。B、IT部門應(yīng)當(dāng)增加網(wǎng)絡(luò)帶寬，以提高性能。C、應(yīng)當(dāng)向用戶提供詳細(xì)的手冊，以正確使用系統(tǒng)。D、IS審計師應(yīng)當(dāng)建議為驗(yàn)證服務(wù)器制定性能衡量標(biāo)準(zhǔn)。答案：D282.【重要題】在審查安全政策的開發(fā)過程時，以下哪一項(xiàng)是信息系統(tǒng)審計師要驗(yàn)證的最重要的內(nèi)容?A、管理層批準(zhǔn)的證據(jù)B、關(guān)鍵利益相關(guān)人員積極參與的證據(jù)C、企業(yè)風(fēng)險管理系統(tǒng)的輸出D、控制框架的確認(rèn)答案：B283.防止員工內(nèi)部惡意滲透，最有效的是A、安裝DLP并定時更新B、USB接口封鎖C、不能連入外網(wǎng)D、安全教育答案：A284.哪種控制在跨網(wǎng)絡(luò)傳輸中有效監(jiān)測數(shù)據(jù)意外損壞A、順序檢查B、對稱加密C、奇偶校驗(yàn)D、校驗(yàn)（數(shù)字）位答案：D285.以下哪一項(xiàng)對戰(zhàn)略IT舉措決策流程最有價值？A、項(xiàng)目管理流程的成熟度B、監(jiān)管環(huán)境C、過去的審計結(jié)果D、IT項(xiàng)目組合分析答案：D286.A3-117遵照良好實(shí)踐,實(shí)施新信息系統(tǒng)的開發(fā)計劃應(yīng)在下面的哪個階段制訂?A、開發(fā)階段B、設(shè)計階段C、測試階段D、部署階段答案：B287.A2-120某組織具有完善的風(fēng)險管理流程。以下哪項(xiàng)風(fēng)險管理實(shí)踐最有可能使組織面臨最大的合規(guī)性風(fēng)險?A、風(fēng)險降低B、風(fēng)險轉(zhuǎn)移C、風(fēng)險規(guī)避D、風(fēng)險緩解答案：B288.某組織正考慮作出大筆投資進(jìn)行技術(shù)升級。以下哪一項(xiàng)是需要考慮的最重要因素？A、成本分析B、當(dāng)前技術(shù)的安全風(fēng)險C、與現(xiàn)有系統(tǒng)的兼容性D、風(fēng)險分析答案：D289.在項(xiàng)目的問題（issues）管理過程中，將出現(xiàn)下面哪類工作？A、配置管理B、突發(fā)事件處理計劃C、客戶服務(wù)管理D、影響評估答案：D290.在計劃重要系統(tǒng)開發(fā)項(xiàng)目時，功能點(diǎn)分析有助于A、確定系統(tǒng)或程序承擔(dān)的業(yè)務(wù)功能B、估計系統(tǒng)開發(fā)任務(wù)量C、估計項(xiàng)目所需時間D、分析系統(tǒng)用戶來幫助重新設(shè)計工作的功能。答案：B291.【重要題】在提交審計報告前，審計經(jīng)理發(fā)現(xiàn)由于錯誤的收集了審計證據(jù)導(dǎo)致可能審計結(jié)論不正確，該風(fēng)險屬于什么風(fēng)險?A、固有風(fēng)險B、操作風(fēng)險C、審計風(fēng)險D、控制風(fēng)險答案：C292.A1-8一名具有強(qiáng)大技術(shù)背景和豐富管理經(jīng)驗(yàn)的長期IT員工申請了信息系統(tǒng)審計部門的空缺職位。除了個人經(jīng)驗(yàn)，還最應(yīng)該根據(jù)以下哪項(xiàng)來確定該職位是否雇傭這個人?A、工齡，因?yàn)檫@有助于確保技術(shù)能力B、年齡，因?yàn)檫M(jìn)行審計技術(shù)培訓(xùn)可能不實(shí)際