cisa國際注冊信息系統(tǒng)審計師考前沖刺備考速記速練題（附答案）1.最大程度降低電子商務環(huán)境中通信故障風險的最好方法是A、網絡傳輸中的ACK確認機制B、數據包過濾防火墻來重新路由信息C、多重路由或者備選路由D、壓縮網絡包參考答案：C2.組織的QA人員最不應該從事：A、審查程序被修改B、改動應用程序的業(yè)務功能C、建立分析技術D、制定命名規(guī)范參考答案：B3.組織把一個重要的業(yè)務系統(tǒng)遷移到服務器-客戶機架構上，最大的風險是：A、組織的開發(fā)維護人員沒有服務器-客戶機的開發(fā)維護經驗B、某些項目變更未正式批準C、服務器-客戶機架構風險D、沒有遷移失敗的回退方案參考答案：D4.制定后續(xù)審計什么最重要：A、與被審計組織協(xié)調時間B、可用資源C、審計發(fā)現的風險暴露D、制定審計計劃參考答案：C5.直接把包含有生物信息數據的生產數據副本放入測試環(huán)境中，哪項最可以減輕隱私方面的影響?A、數據所有者的授權B、數據加密C、在測試環(huán)境中進行數據清理D、生物信息所有者的授權參考答案：B6.執(zhí)行備份的做法反映了哪一種類型的內部控制?A、預防B、檢測C、改正性D、補償參考答案：C7.支持安全評定認證需要執(zhí)行的保證任務，應在何時確定?A、完成必要的修改之后，B、用戶驗收階段。C、項目規(guī)劃階段。D、制定了Q計劃后。參考答案：C8.在制定在線業(yè)務架構和恢復策略時，以下哪一項是最重要的考慮事項?A、即時解決問題的能力B、供應商的網絡安全性C、單一故障點（singlepointoffilure）D、供應商的財務穩(wěn)定性參考答案：A9.在制定災難恢復與應急計劃時，下面哪一種情況不是正確的考慮？A、在多個站點的環(huán)境下，應當為每一個計算機中心制定一份單獨的恢復計劃B、所有相對不重要的工作沒有必要恢復C、在異地恢復站點恢復系統(tǒng)處理能力時要用到的所有資源與材料應當是可獲得的D、對應急計劃測試與維護應當是一個持續(xù)過程參考答案：B10.在制定業(yè)務持續(xù)性計劃（BCP）時，業(yè)務單位管理層參與以下哪項工作最重要?A、參與業(yè)務恢復程序的制定B、參與實施文檔庫C、參與業(yè)務影響分析D、參與IT風險評估參考答案：C11.在制定新的風險管理計劃時，一定要考慮以下哪種因素?A、資源利用率B、合規(guī)性措施C、風險緩解技術D、風險偏好參考答案：D12.在制定項目風險登記表時，以下哪項是最重要的行動?A、進行wlkthrough穿行測試B、為已識別的風險分配風險所有權C、確定風險評分標準D、制定風險行動計劃參考答案：B13.在制定數據保留政策（dataretentionpolicy）時，首要考慮的是：A、設計基礎設施存儲戰(zhàn)略B、識別法律和合同規(guī)定的數據保留期C、確定數據的安全訪問權限D、根據保留期確定備份周期參考答案：B14.在災難恢復審計過程中，某信息系統(tǒng)審計師發(fā)現沒有進行業(yè)務影響分析，審計師需首先開展哪項工作？A、執(zhí)行額外的符合性測試B、評估對當前災難恢復能力的影響C、執(zhí)行業(yè)務影響分析D、向管理層提交報告參考答案：B15.在應用加密的備份磁帶時，最重大的關注應是以下哪一項?A、丟失加密密鑰B、缺乏磁帶的物理安全性C、因加密過程造成數據不準確D、與未來軟件版本不兼容參考答案：A16.在應用程序軟件審查過程中，某IS審計師在超出審計范圍的相關數據庫環(huán)境中發(fā)現了細小的漏洞。最佳選項是：A、包括審查范圍內的數據庫控制。B、記錄下來供日后審查。C、與數據庫管理員共同解決問題。D、如實報告漏洞。參考答案：D17.在選擇和部署使用面部識別軟件的生物特征識別系統(tǒng)前，必須完成以下哪一項?A、圖像干擾審查B、錯誤的驗收測試C、隱私影響分析D、漏洞評估參考答案：C18.在宣布要進行收購的新聞稿之后，企業(yè)正遭受針對目標員工和高管的大量網絡釣魚攻擊。以下哪一項提供防御這些攻擊最好的保護?A、部署入侵檢測和防御系統(tǒng)B、進行全企業(yè)范圍的意識培訓C、在被收購的系統(tǒng)上安裝垃圾郵件過濾器D、要求簽署企業(yè)安全政策的確認書參考答案：B19.在信息系統(tǒng)開發(fā)方法中，以下哪一項應該被包括在內?A、風險管理技術B、事故管理技術C、訪問控制規(guī)則D、增值活動分析參考答案：A20.在小型組織中，信息系統(tǒng)審計師發(fā)現安全管理和系統(tǒng)分析功能由同一個員工執(zhí)行，下列哪一項是最明顯的問題?A、沒有更新此員工的正式工作說明B、此員工沒有簽署安全政策C、沒有獨立審查此員工的活動。D、沒有更新安全政策來反映這種情況，參考答案：C21.在下一年選擇進行哪些信息系統(tǒng)審計的主要依據是什么?A、上一年的審計發(fā)現結果B、高層管理層的要求C、組織風險評估D、以前的審計范圍參考答案：C22.在網絡漏洞的外部評估過程中，首先應該執(zhí)行下列哪項活動？A、監(jiān)控網絡B、審查章程C、實施IDSD、收集網絡信息參考答案：D23.在提交審計報告前，審計經理發(fā)現由于錯誤的收集了審計證據導致可能審計結論不正確，該風險屬于什么風險?A、固有風險B、操作風險C、審計風險D、控制風險參考答案：C24.在數據庫系統(tǒng)中，正規(guī)化的用途是?A、消除死鎖B、減少數據冗余。C、縮短數據訪問時間。D、使數據標準化。參考答案：B25.在實施后審查時，以下哪一項最能證明用戶需求得到了滿足？A、操作員的錯誤日志B、客戶服務事故支持請求的數量C、最終用戶使用文檔D、用戶驗收測試已簽收參考答案：D26.在生產運行環(huán)境中更改程序，最重要的是得到誰的批準？A、用戶部門負責人B、信息系統(tǒng)管理層C、安全管理員D、項目經理參考答案：A27.在升級關鍵在線應用程序之前，應該首先執(zhí)行以下哪項操作?A、更新災難恢復流程B、審查數據備份程序C、測試回滾流程D、更新業(yè)務影響分析參考答案：C28.在審計生命周期的哪個階段適合與客戶討論初步審計意見？A、執(zhí)行階段B、報告階段C、規(guī)劃階段D、跟蹤階段參考答案：B29.在審計射頻識別技術（RFID）時，最應該注意什么?A、可擴展性B、不可否認性C、隱私D、可維護性參考答案：C30.在審計企業(yè)的財務報告時，信息系統(tǒng)審計師發(fā)現IT一般控制存在瑕疵。信息系統(tǒng)審計師應該建議什么？A、增加應用控制的符合性測試B、更加依賴應用控制C、增加對財務余額的實質性測試D、可排除參考答案：A31.在審計期間，所有it團隊都同意審計發(fā)現，但是沒有一個團隊愿意承接整改的責任，審計師應該：A、上報IT管理層尋求解決方案；B、不指明整改責任的情況下發(fā)布審計發(fā)現C、讓所有團隊共同負責執(zhí)行D、選擇最適合的團隊并進行責任分配參考答案：A32.在審計IT管理時，審計師最擔心見到一下情況A、IT戰(zhàn)略計劃需要的經費沒有經過審批B、IT戰(zhàn)略計劃來源于互聯(lián)網最新趨勢C、上一年IT戰(zhàn)略計劃沒有實現D、It戰(zhàn)略計劃停留在技術架構層面。參考答案：B33.在審查用戶賬戶政策時，信息系統(tǒng)審計師的最大擔憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權限的相關政策B、當員工更改角色時，沒有任何政策可以撤銷以前的訪問權限C、沒有要求員工簽署保密協(xié)議（N）的相關政策D、沒有針對安全意識培訓的政策參考答案：B34.在審查企業(yè)業(yè)務連續(xù)性計劃（BCP）時，以下哪一項應是信息系統(tǒng)審計師的最大擔憂?A、BCP未包括疫情應對計劃B、BCP不受利益相關者的年度審查C、關鍵聯(lián)系人名單已超過一年未更新D、BCP已經超過兩年未進行測試參考答案：D35.在審查IT治理的時候，在以下選項中，審計師最關注的是?A、董事會所指定的政策策略的遵循情況B、管理部門所采用的控制框架C、審計委員會會議記錄中與信息系統(tǒng)有關的事項與控制內容D、業(yè)務流程責任人的職責在企業(yè)內部是否一致參考答案：C36.在評估項目風險管理流程的有效性時，以下哪一項應是信息系統(tǒng)審計師的最大擔憂?A、風險登記表中尚未確定風險響應措施B、發(fā)現風險登記表中的某些風險評級不正確C、每月對風險登記表進行一次審查D、風險登記表不受版本控制參考答案：D37.在評估企業(yè)的漏洞掃描計劃時，以下哪項是審計師的最大顧慮？A、漏洞掃描頻率低于漏洞掃描計劃要求B、結果沒有報告給有權確保解決相關漏洞的人C、未記錄針對已識別漏洞所采取的步驟D、結果沒有得到高級管理層批準參考答案：B38.在開始后續(xù)跟蹤審計時，審計師第一步應采取下面哪項工作？A、審查上次審計的工作底稿B、與被審計單位討論補救進展情況C、收集補救證據，以此來執(zhí)行控制測試D、審查上次的審計結果和行動計劃參考答案：D39.在開發(fā)整個公司電子數據交換（EDI）項目的過程中，必須完成下列那一項？A、實施消息標準B、審查所有供應商的EDI應用程序C、實施加密技術D、安裝一個ISDN參考答案：A40.在開發(fā)信息安全政策過程中，以下哪一項能最好地確保滿足業(yè)務目標？A、政策與程序步驟之間的鏈接B、采用行業(yè)最佳做法C、使用平衡記分卡D、相應的利益相關人員的意見參考答案：C41.在開發(fā)階段添加新功能時，以下哪項是與沒有遵循項目更改管理流程相關的主要風險A、新功能可能不符合要求B、尚未記錄添加的功能C、項目超出預算參考答案：A42.在局域網絡（LAN）中安裝瘦客戶機（thinclient）體系結構的好處在于它可以：A、降低單點故障的風險B、便于更新軟件的版本C、在服務器停機時確保應用程序的可用性D、穩(wěn)定網絡寬帶的要求參考答案：B43.在共享的處理環(huán)境中，最大的挑戰(zhàn)是A、分離客戶數據B、分離客戶網絡C、合并結果D、保持一致的標準參考答案：A44.在公司實施了語音通信（VOIP），哪一項是存在的最大問題?A、不能在公司內網用VPNB、數字和語音不能互相轉換C、數字和語音傳輸的單一故障點D、由于網絡問題引起的丟包導致語音質量受影響參考答案：C45.在發(fā)現未知惡意攻擊時，以下哪一項安全測試技術最有效?A、沙箱B、滲透測試C、漏洞測試D、逆向工程虛擬小統(tǒng)程序參考答案：A46.在對用于控制物理訪問的生物特征識別系統(tǒng)的運行，信息系統(tǒng)審計師最擔心下列哪項？A、缺乏生物特征識別培訓B、用戶對生物特征識別的接受程度C、第一類錯誤D、第二類錯誤參考答案：D47.在對某公司的防火墻配置進行跟進審計時，信息系統(tǒng)審批時發(fā)現防火墻已集成到一個新系統(tǒng)中，該系統(tǒng)同時提供防火墻和入侵檢測功能。信息系統(tǒng)審計師應該：A、認為跟進審計不必要，因為不再使用防火墻。B、評估當前工作人員是否能夠支持新系統(tǒng)。C、審查新系統(tǒng)與現有網絡控制的兼容性。D、評估集成系統(tǒng)是否解決已識別的風險。參考答案：D48.在對供應商管理數據庫審計期間，信息系統(tǒng)審計師辨認出多個供應商重復記錄。信息系統(tǒng)審計師應向管理層建議：A、對關鍵字段的唯一數據值執(zhí)行系統(tǒng)驗證檢查B、向高級管理層申請查所有新供應商的詳細信息C、在供應商建檔流程中職責分離D、定期審核對完整的供應商列表，以識別重復內容參考答案：A49.在電子商務中使用的典型網絡體系結構中，負載平衡器通常位于下面哪兩個項目之間：A、數據庫和外部網關B、用戶和外部網關C、路由器和we服務器D、郵件服務器和郵件庫參考答案：C50.在安排跟蹤審計時，以下哪一項是最重要的考慮因素?A、與新審計師進行獨立驗證工作所需的努力B、被審計方同意與審計師合作花費的時間C、不采取整改措施會產生的影響D、與觀察結果有關的控制和檢測風險參考答案：C51.在Web應用中，包含以下哪一項可以保證最高的安全性A、SSLB、SFTPC、TelnetD、TLS參考答案：D52.在IT系統(tǒng)恢復過程中，保持業(yè)務功能運行的臨時解決方案，是以下哪項內容的核心組成部分?A、災難恢復計劃B、威脅和風險評估C、）業(yè)務影響分析D、業(yè)務持續(xù)運營計劃參考答案：D53.在IT審計后，管理層決定接受審計報告中強調的風險，以下哪項最能向信息系統(tǒng)審計師保證管理層充分平衡了業(yè)務需求與管理風險的需要?A、存在溝通計劃用于通知受風險影響的各方。B、潛在影響和可能性已充分記錄。C、向公司的風險委員會報告識別的風險。D、存在接受和批準風險的所定標準。參考答案：D54.災難恢復計劃屬于什么類型：A、預防性B、檢測性C、指導性D、整改性參考答案：D55.員工使用筆記本電腦辦公，如何保證兼顧安全和員工隱私A、硬盤加密B、個人信息和辦公環(huán)境分區(qū)C、不讓連網參考答案：B56.與在內部開發(fā)系統(tǒng)相比，購買商業(yè)軟件包意味著對最終用戶測試的需求會A、增加。B、不變。C、減少。參考答案：C57.有員工把系統(tǒng)管理員密碼發(fā)在了社交網站上，最先應該怎么做：A、修改密碼B、關閉系統(tǒng)C、走法律程序D、上報監(jiān)管參考答案：A58.郵件要求保密機制的那個題，我想起來選項了，說最擔心以下哪種A、公鑰基礎架構B、簽名C、對稱密鑰D、非對稱密鑰參考答案：B59.應用系統(tǒng)開發(fā)完畢后，進行測試，以下那種情況，審計師應該最關注：A、發(fā)現一些小的BugB、直接使用生產數據C、使用脫敏后的生產數據D、缺少相關的維護模塊參考答案：B60.應用程序可以使用用戶賬號訪問底層數據庫，審計師最擔心：（也有考生反饋題干描述為：底層用戶可以直接訪問數據庫，哪項風險大？）（此題需進一步確認，請考生考試中特別留意）A、用戶可以繞過應用程序訪問數據庫B、用戶賬戶停用了，仍然可以訪問C、應用程序審計記錄不能包含全部信息D、底層數據庫完整性被破壞參考答案：A61.引用其他審計師的工作報告時，信息系統(tǒng)審計師應做到：A、考慮該工作報告的適當性和充足性B、忘記了（可排除）C、較少依賴其他審計師的工作成果D、考慮該工作報告的時效性參考答案：A62.銀行的零售系統(tǒng)剛換了服務器，確保服務器能夠在滿意的響應時間得到響應的測試方法是（互聯(lián)網要求很大交易量，最需要進行什么測試）A、集成測試B、回歸測試C、系統(tǒng)測試D、基準測試參考答案：D63.因業(yè)務激增，某公司采購了大型主機系統(tǒng)，信息系統(tǒng)審計師應當主要考慮下面哪一個因素?A、RP是否評估和更新B、采購是否超過預算C、投標是否經過評估D、應用程序訪問控制是否充分參考答案：D64.以下哪種情況會增加欺詐行為的可能性？A、應用程序開發(fā)人員正在執(zhí)行對生產程序的變更。B、管理員正在對供應商提供的軟件實施供應商補丁，但沒有遵守變更控制流程。C、操作支持人員正在執(zhí)行對批量計劃的變更。D、數據庫管理員正在執(zhí)行對數據結構的變更。參考答案：A65.以下哪一種是檢測型控制?A、輸入格式驗證B、進行恢復程序C、密碼控制D、散列驗證參考答案：D66.以下哪一種方法能將可重復使用的存儲設備中的敏感數據有效刪除A、使用介質清除軟件B、覆蓋敏感數據C、格式化便攜式設備D、消磁（使設備暴露于磁場中）參考答案：B67.以下哪一種方法能將可重復使用的存儲設備中的敏感數據有效刪除?A、使用介質清除軟件B、覆蓋敏感數據C、格式化便攜式設備D、消磁（使設備暴露于磁場中）參考答案：B68.以下哪一種采樣方法最適用于即使是單個錯誤也不可接受的情況？A、判斷抽樣B、分層抽樣C、發(fā)現抽樣D、屬性抽樣參考答案：C69.以下哪一項最能體現信息安全計劃的有效性？A、安全團隊知識豐富，使用最好的工具B、經過意識培訓后，報告和確認的安全事故數量有所增加C、安全意識培訓計劃是根據行業(yè)最佳實踐開發(fā)的D、安全團隊執(zhí)行了風險評估，以了解公司的風險偏好參考答案：B70.以下哪一項最好地保證了醫(yī)療機構正確處理了數據?A、遵守審計提出的問題進行整改B、遵從行業(yè)標準和最佳實踐C、遵從企業(yè)的政策和程序D、遵從當地法律和法規(guī)參考答案：D71.以下哪一項是最好地描述了IT戰(zhàn)略委員會的職能？A、業(yè)務部門的滿意度B、監(jiān)控KPI的結果C、IT戰(zhàn)略委員會章程D、IT戰(zhàn)略委員會會議紀要參考答案：C72.以下哪一項是災難恢復計劃的步驟之一？A、評估和量化風險B、與災難計劃咨詢顧問協(xié)商合同C、獲得替代設備供應D、確定應用程序控制需求參考答案：A73.以下哪一項是用于預估開發(fā)大型業(yè)務應用程序復雜性的最佳方法A、功能點分析B、關鍵路徑分析C、工作分解結構D、軟件成本估算參考答案：A74.以下哪一項是用以確定執(zhí)行跟蹤審計過程時間表的最重要標準？A、審計發(fā)現結果的風險暴露B、審計資源的可用性C、被審計方的時間允許D、下一次審計之間的協(xié)調參考答案：A75.以下哪一項是使用能力成熟度模型的最大優(yōu)勢？A、績效改進相關的描述（可以排除）B、幫助企業(yè)開發(fā)一個向其期望的成熟度級別發(fā)展的路線圖C、提供了與類似企業(yè)的成熟度級別進行對標的方式D、幫助企業(yè)評估多久才能在每個領域達到最高的成熟度級別參考答案：B76.以下哪一項是使用秘密秘鑰型加密的優(yōu)勢？A、可用于數字簽名B、使用效率C、能在用戶間共享密鑰D、增強驗證功能參考答案：D77.以下哪一項是進行業(yè)務影響分析的第一步？A、確定影響運行連續(xù)性的事件B、創(chuàng)建數據分類方案C、分析過去的交易量D、確定關鍵信息資源參考答案：D78.以下哪一項是降低未授權訪問無人值守的最終用戶PC系統(tǒng)的最有效方法？A、強制使用密碼保護型屏幕保護程序B、實施以鄰近為基礎的身份認證系統(tǒng)C、按預定義間隔終止用戶會話D、調整電源管理設置，以保證顯示屏是空白的參考答案：A79.以下哪一項是計劃評審技術（PERT）相比其它方法的優(yōu)點？與其它方法相比：A、為計劃和控制項目考慮不同的情景B、允許使用者輸入程序和系統(tǒng)參數.C、測試系統(tǒng)維護加工的準確性D、估算系統(tǒng)項目成本.參考答案：A80.以下哪一項是保護公司隱私相關數據安全的最佳方式？A、對個人身份信息進行加密B、告訴數據所有者收集信息的目的C、將隱私相關數據歸類為機密信息D、頒布數據分類方案參考答案：D81.以下哪一項能保證供應商支持的軟件保持最新狀態(tài)?A、補丁程序管理B、版本管理C、軟件資產管理D、許可協(xié)議參考答案：A82.以下哪一項控制最能防止互聯(lián)網嗅探器（Internetsniffer）進行重放攻擊（replayattack）：A、數據包過濾路由器B、帶時間戳的數據加密技術C、正確配置的防火墻D、數字簽名技術參考答案：B83.以下哪一項控制措施能夠最有效地解決搭載/緊隨進入無雙門安全系統(tǒng)的受限區(qū)域的風險?A、）雙因素認證B、安全意識培訓C、生物識別門鎖D、要求佩戴I標識卡參考答案：B84.以下哪一項對戰(zhàn)略IT舉措決策流程最有價值？A、項目管理流程的成熟度B、監(jiān)管環(huán)境C、過去的審計結果D、IT項目組合分析參考答案：D85.以下哪一個是提高安全事故檢測有效性的最佳方法?A、培訓最終用戶關于識別可疑活動的知識B、與適當的法證鑒定服務提供商簽訂服務水平協(xié)議（SL）C、記錄根本原因分析流程D、根據事故類型確定抑制措施參考答案：A86.以下哪一個角色的支持對信息安全治理的影響最大?A、信息安全指導委員會B、董事會C、首席信息安全官D、首席信息官參考答案：B87.以下哪項最能證明供應商控制符合公司的要求A、SLA服務水平協(xié)議B、獨立的審計報告C、第三方供應商的信息安全政策D、監(jiān)管要求參考答案：B88.以下哪項最能保證審計部門的獨立性A、審計計劃B、審計章程C、審計報告D、審計方案參考答案：B89.以下哪項應該包含在審計章程中？（公司的審計章程因該）：A、定義審計師訪的信息訪問權限B、詳述審計目標C、包括信息系統(tǒng)審計計劃D、提出企業(yè)的IT戰(zhàn)略參考答案：A90.以下哪項是檢查性控制?A、備份程序B、對輸入數據執(zhí)行程序化檢查C、使用門禁卡訪問機房D、哈?？傆?散列總計驗證參考答案：D91.以下哪項表現了項目開展是經由高層次人員支持并符合組織目標的?A、項目計劃的批準B、可行性分析C、業(yè)務案例的批準參考答案：C92.以下哪個是確定組織信息安全目標的最佳建議（）A、和業(yè)務流程負責人面談B、和最終用戶面談C、與IT管理人員面談D、咨詢外部專家參考答案：A93.以下哪個可用于確定恢復順序?A、IB、風險評估C、P測試結果D、RP測試結果參考答案：A94.一名IS審計師正在審查某組織的物理安全措施。對于門禁卡系統(tǒng)IS審計師最應關注的是：A、將未經定制的門禁卡發(fā)放給清潔人員，他們只使用簽到單，不用出示身份證明。B、門禁卡未標識組織的名稱和地址，不方便歸還丟失的卡。C、門禁卡的發(fā)放以及權限管理由不同的部門執(zhí)行，從而導致新卡從準備到正式投入使用產生不必要的延遲。D、對卡進行編程的計算機系統(tǒng)只能在系統(tǒng)故障發(fā)生的三周后予以替換。參考答案：A95.一個有大量界面程序的應用，為了盡早能在前期發(fā)現界面程序的錯誤，應該采取哪種測試方法：A、社交測試B、自上而下C、自下而上D、邏輯路徑監(jiān)測參考答案：B96.一個安全公司合并一個服務公司，企業(yè)安全政策設置最應關注?A、評估兩個公司政策差距B、采用安全公司安全政策C、采用服務公司安全政策D、采用行業(yè)標準政策參考答案：A97.要求督導委員會監(jiān)督IT投資的主要好處是以下哪一項？A、進行可行性分析，以表明IT價值B、確保根據業(yè)務需求進行投資C、確保強制落實適當的安全控制措施D、確保實施標準的開發(fā)方法參考答案：B98.信息系統(tǒng)質量保證小組負責：A、監(jiān)視計算機處理任務的執(zhí)行情況B、確保程序變更符合制定的標準C、設計防止數據意外泄漏的程序D、確保從系統(tǒng)處理收到完整的輸出參考答案：B99.信息系統(tǒng)指導委員會的主要職責是?A、制定項目計劃B、明確項目的約束因素C、制定應用項目管理的框架技術D、實施質量管理制度參考答案：A100.信息系統(tǒng)審計師正在審查業(yè)務流程改進項目的成果。應該首先執(zhí)行以下哪一項?A、制定補償控制B、評估新舊流程之間的控制差異C、評估流程中控制薄弱環(huán)節(jié)的影響D、確保更改流程中汲取的經驗教訓已存檔參考答案：B101.信息系統(tǒng)審計師正在審查關于公司災難恢復測試的審計報告，他應特別審查下列哪一項，才能論證所得出的結論？A、此前對公司其他災難恢復所作的審計報告B、對所有突發(fā)事件測試的成功和弱點的詳細證據C、對所發(fā)現的明顯漏洞表明審計觀點的摘要備忘錄D、數據中心人員與審計師之間的會談紀要參考答案：B102.信息系統(tǒng)審計師在在制定審計計劃時，應首先執(zhí)行以下哪一項活動?A、確定風險優(yōu)先順序B、審查以前的審計報告C、確定審計范圍D、分配審計資源參考答案：A103.信息系統(tǒng)審計師在審查某應用程序是否符合信息隱私保護原則時，應該最關注以下哪項？A、完整性B、不可抵賴性C、可用性D、信息收集限制參考答案：D104.信息系統(tǒng)審計師在審查對公司無線網絡環(huán)境中的受限制信息的訪問控制時，應該考慮到，僅使用下列哪一種方式對用戶進行身份驗證最受關注?A、U盤B、一次性密碼C、可排除D、媒體訪問控制地址（MAC地址）參考答案：D105.信息系統(tǒng)審計師使用端口掃描軟件來：A、建立通訊連接B、檢測入侵行為C、檢測開放服務D、確保所有端口在使用中權參考答案：C106.信息系統(tǒng)審計師審計時發(fā)現有些員工離職后，賬號仍然能訪問系統(tǒng)，為了防止這種情況，最好的控制是什么?A、自動刪除一段時間沒有活動的員工賬號B、自動刪除入職一定時間的員工賬號C、不記得了，可排除D、用一個軟件與人力資源的系統(tǒng)建立自動化接口參考答案：D107.信息系統(tǒng)審計師發(fā)現，關鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計師下一步應該？A、擴大審計范圍B、確定根本原因C、將觀察結果包含在報告中D、要求立即執(zhí)行備份參考答案：B108.小型公司數據等級方案不正確，以下哪項是最佳措施A、數據所有者與it安全人員一對一解釋B、將數據分類政策發(fā)布發(fā)布到企業(yè)webC、進行數據等級研討會及培訓參考答案：A109.項目實施后一個月，審查中采用調查問卷的方式，哪項影響最大A、一個月之后才發(fā)問卷B、問卷沒有開放性回答C、沒有把結果報告管理層D、用戶對調查問卷參與不積極參考答案：C110.項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大?A、未滿足用戶需求B、項目關鍵路徑改變C、超出預算D、項目延遲完成參考答案：A111.下哪一項最能表明信息安全計劃的有效性?A、安全團隊知識豐富，使用最好的可用工具B、安全意識培訓計劃是根據行業(yè)最佳實踐開發(fā)的C、經過意識培訓后，報告和確認的安全事故數量有所增加D、安全團隊執(zhí)行了風險評估，以了解公司的風險偏好參考答案：C112.下哪一項是啟用數據庫審計軌跡的主要益處?A、可以實現問責制B、可以實現職責分離C、可以調查交易過程D、可以提高可用性參考答案：A113.下面哪一項最能表明信息安全計劃的有效性？A、安全團隊知識豐富，使用最好的可用工具B、安全意識培訓計劃是根據行業(yè)最佳實踐開發(fā)的C、經過意識培訓后，報告和確認的安全事故數量有所增加D、安全團隊執(zhí)行了風險評估，以了解公司的風險偏好參考答案：C114.下面哪一項最好的描述了審計的風險？A、公司正被無端指控B、財務報告可能含有未發(fā)現的重大錯誤C、主要人員已經兩年沒有休假D、員工已經挪用資金參考答案：B115.下面哪一項是最佳的數據完整性檢查？A、將數據追溯至源點B、計算每天處理的交易量C、準備和運行測試數據D、執(zhí)行連續(xù)性檢查參考答案：A116.下面哪一項能咋發(fā)生磁盤故障后幫助組織以最快的速度恢復處理能力A、鏡像B、復制（replication）C、服務器負載均衡D、備份服務器的開放式數據庫連接性（ODBC）參考答案：A117.下面哪一項措施是防止非授權登錄最可靠的方法?A、加強現有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計算機D、安全自動密碼生成器參考答案：B118.下列哪一項能夠最有效地防止病毒進入局域網中A、禁止訪問互聯(lián)網B、定期掃描硬盤C、禁用下載D、在網絡服務器上安裝病毒掃描程序參考答案：D119.下列哪一項能夠最有效地保護數據中心的信息資產不被供應商竊取A、監(jiān)控并限制供應商的活動B、給供應商發(fā)放訪問卡C、隱藏數據設備和信息標簽D、限制使用便捷式和無線設備參考答案：A120.下列哪一項可用于評估IT運營效率?A、總體擁有成本B、平衡記分卡C、凈現值D、內部收益率參考答案：B121.下列哪一項對信息安全管理系統(tǒng)的成功最為關鍵?A、信息安全與IT目標的統(tǒng)一B、用戶對信息安全的責任確立C、管理部門對信息安全的承諾D、業(yè)務與信息安全的集成參考答案：C122.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類型的檢查A、有效性檢查B、完整性檢查C、存在性檢查D、可排除參考答案：A123.為確定業(yè)務連續(xù)性計劃（BCP）的有效性，最具成本效益的方式是：A、實施后審查B、桌面推演C、全面運行測試D、壓力測試參考答案：B124.為確保訪問人力資源管理系統(tǒng)（HRMS）以及HRMS接口應用中的敏感數據的應用用戶問責制，以下哪一項是應當實施的最有效的控制？A、雙因素身份認證B、數字認證C、審計軌跡D、單點登陸身份認證參考答案：C125.為了實施數據保護控制，信息系統(tǒng)審計師的最佳建議是什么？A、對照行業(yè)最佳實踐對軟件和開發(fā)生命周期進行基準分析B、映射公司的業(yè)務流程以識別個人身份信息（PI）C、在解決方案開發(fā)生命周期內包括隱私檢查D、任命計劃經理來監(jiān)督隱私計劃的改進參考答案：A126.為了解決審計發(fā)現，以下哪一項是信息系統(tǒng)審計師的角色？A、解釋審計發(fā)現并提供一般建議B、提供整改方案并協(xié)助管理層實施C、設計信息系統(tǒng)架構參考答案：A127.為了解決電源長時間斷電問題，最好的方法是A、電源調節(jié)器B、備用電池C、冗余電力D、UPS參考答案：C128.為了節(jié)省成本，公司使用控制較弱的應用程序來管理非關鍵流程，但是管理層每周審查日志以發(fā)現潛在的可疑活動，這是屬于什么類型的控制?A、預防性控制B、補償性控制C、檢測性控制D、糾正性控制參考答案：B129.為了減少日志服務器不堪收集錯誤攻擊日志的壓力，以下最佳建議是（）A、微調IS的規(guī)則設置B、調整防火墻的訪問控制規(guī)則C、更換日志服務器D、調整網絡架構參考答案：A130.為了幫助董事會履行IT治理職責，IT指導委員會應該：A、監(jiān)管重大項目和IT資源的分配情況。B、實施IT戰(zhàn)略。C、將注意力集中在IT服務和產品的供應上D、制定項目跟蹤的IT政策和措施。參考答案：A131.為解決企業(yè)對需求請求書（RFP）回復的可靠性的擔憂，IS審計師應建議：A、在合同中注明關鍵事項B、調查供應商在行業(yè)的信譽C、與供應商一起驗證RFP的回復D、聯(lián)系供應商，共同制定RFP的回復參考答案：A132.為減輕API（ApplicationProgramminginterface，應用程序編程接口）查詢公開數據的風險，以下哪項考慮因素最重要?A、數據完整性B、數據質量C、數據最小化應用程序編程接口D、數據保留參考答案：C133.為防止在共享打印機上打印的保密文檔泄露，應該采用以下哪種方法？A、加密用戶計算機和打印機之間的數據流B、使用已打印文檔的密級生成標題頁C、要求授權用戶在將文檔發(fā)送到打印機之前提供密碼D、在打印結果輸出之前，要求現在打印機上輸入密碼參考答案：D134.為防止未授權的變更被移入生產環(huán)境，最有效方式是以下哪一項?A、徹底測算測試環(huán)境中的變更B、強制在開發(fā)人員和遷移者之間進行職責分離C、需要業(yè)務流程所有者批準變更D、定期審查變更請求，以確保所有變更文件記錄在附件中參考答案：B135.網上系統(tǒng)應用在使用過程中由于數據量大導致延遲，系統(tǒng)響應時間無法接受，哪一項可以提升應用的性能？A、RAID5（數據復制技術）B、磁盤鏡像C、負載均衡D、調整防火墻配置參考答案：C136.外包給第三方處理，處理之前審計師要必刷關注啥?A、看第三方的刀能切多厚的介質B、安全刪除數據C、第三方沒有資質的認證D、第三方有沒有出過事故參考答案：B137.同時有內部、外部兩個審計團隊對高風險的業(yè)務進行審計，應該如何才能達到最有效率的安排審計模式A、內部審計利用外部審計的結果進行測試B、外部審計利用內部審計的結果進行測試C、兩者同時進行測試參考答案：A138.提高數據中心的服務器密度時，下列哪項是最關注的？A、維護訪問B、電磁干擾C、溫度D、氣流控制參考答案：B139.說去一個公司執(zhí)行審計，想了解這個公司業(yè)務流程方面的執(zhí)行情況，問應該怎么做A、跟高級業(yè)務管理員面談B、外部的審計報告C、公；司最近的內部審計報告D、自己觀察啥的參考答案：A140.數據中心審計時，審計師發(fā)現火災風險非常高應該推薦什么作為最有效的滅火措施?A、噴水式滅火系統(tǒng)B、手持式滅火器C、干劑滅火系統(tǒng)D、可排除參考答案：C141.數據包級防火墻最致命的安全漏洞是因為它可以通過下列哪一項措施來規(guī)避：A、在收到的數據包上更改源地址B、截取明文發(fā)送的數據包并查看密碼C、解譯數據包中的簽名信息。D、使用加密密碼的字典式攻擊（itionryttk）。參考答案：A142.使用數字簽名的主要原因A、機密性B、完整性C、可用性D、實效性參考答案：B143.使用加密的備份磁帶時，最應關注?A、加密密鑰丟失B、備份磁帶的物理安全性C、與將來軟件版本不兼容D、加密過程造成數據不準確參考答案：A144.實施新的應用程序軟件包（或第三方應用），最大的風險是?A、參數配置錯誤B、沒有審計軌跡C、交易量過大D、交易敏感度高參考答案：A145.審計師作為開發(fā)小組成員，該小組正在采購軟件。以下哪一項有損該審計獨立性?A、鑒證供應商選擇流程B、批準供應商選擇方法C、驗證每項選擇標準的權重D、可排除參考答案：B146.審計師最關注事故處理流程哪項無效。A、事故經驗總結B、事故優(yōu)先級排序C、忘了D、事故檢測參考答案：D147.審計師在設計階段應該評估?A、開發(fā)方法B、應用功能C、兼容性D、是否有自動控制參考答案：D148.審計師在跟蹤審計時發(fā)現，公司實施了自動流程而不是按原來制定的整改措施進行手工控制，審計師應該：A、報告未采納原先的建議B、報告建議措施已實施C、驗證新流程是否滿足控制目標D、對新流程執(zhí)行成本收益分析參考答案：C149.審計師檢查后發(fā)現應用系統(tǒng)存在漏洞，審計師建議A、檢查系統(tǒng)日志B、安裝IDSC、加固系統(tǒng)，安裝防火墻參考答案：A150.審計師發(fā)現一名前員工仍舊可以訪同應用程序。原來審計發(fā)現，有60名前員工可以訪問多個應用程序，并且不包括在這次審計發(fā)現的這個員工。以下哪一項是最何時報告?A、報告刪除離職員工訪問權限的過程無效B、報告先前的發(fā)現已解決，但發(fā)現了新的問題C、報告離職員工有權訪問應用程序D、報告先前的審計發(fā)現已得到補救參考答案：A151.審計師發(fā)現業(yè)務部門負責人創(chuàng)建了一個網頁，從而能訪問生產數據，這違反了公司的安全政策，審計師應該：A、評估是否有補償性控制B、關閉并停用該網頁C、評估生產數據的敏感性D、上報高級管理層參考答案：A152.審計師發(fā)現系統(tǒng)存在很多多余生產系統(tǒng)權限沒有及時清除，審計師應該建議?A、人力資源系統(tǒng)在員工離職后自動觸發(fā)刪除員工權限B、業(yè)務部門定期審閱并申請刪除多余的訪問權限C、系統(tǒng)管理員應確保權限分配的一致性D、IT安全部門管理員定期刪除多余的權限參考答案：B153.審計師發(fā)現數據庫配置管理系統(tǒng)有個安全漏洞，他接下里怎么做?A、報告高級管理層B、評估是否有補償性控制C、報告審計委員會D、嘗試利用漏洞參考答案：B154.審計師對團隊進行特定項目通過特定控制進行審計時，對于出現頻率較低的關鍵控制，以下哪種抽樣方式能發(fā)現欺詐行為有所幫助？A、停走抽樣B、發(fā)現抽樣C、貨幣單位抽樣D、隨機抽樣參考答案：B155.審計師對公司的離職后系統(tǒng)用戶的刪除情況的及時性進行審計，以下那些證據收集技能最能獲得有效證據A、將離職單與系統(tǒng)操作日志進行比較B、將離職記錄與HR的離職表進行比較C、與HR經理進行面談，確認及時性參考答案：A156.審計師不能直接審查第三方供應商隱私方面的控制，應該審查：A、供應商提供的獨立審計報告B、主服務協(xié)議MLSC、服務商內部審計部門的測試結果D、服務商控制自我審查參考答案：A157.審計規(guī)劃期間要考慮的最重要的活動是?A、審計委員會對風險排序達成一致的意見B、將審計資源分配到高風險領域C、根據審計人員技能規(guī)劃審計項目D、審查以往的審計結果參考答案：B158.審計第三方供應商的關鍵績效指標KPI時，審計師最大的擔憂是?A、KPI沒有文檔記錄B、KPI指標沒有明確定義C、KPI從未更新D、KPI數據沒有加以分析參考答案：B159.審計的時候，審計師發(fā)現存在病毒，下一步應該做什么?A、通知有關人員B、清理病毒C、斷開網絡D、觀察反應機制參考答案：A160.審查業(yè)務連續(xù)性計劃（BCP）測試結果時，最重要的是信息系統(tǒng)審計師要確定以下哪一項?A、是否跟進了上次測試以來發(fā)生的所有活動B、驗證是否恢復了關鍵業(yè)務的運營能力C、是否評估了保護關鍵業(yè)務記錄的能力D、是否考慮到系統(tǒng)環(huán)境的變更參考答案：B161.審查項目可行性研究后，審計師最應該做什么？A、審查需求設計是否包含自動化控制B、和項目經理一起看預算和成本是否匹配C、幫助用戶設計用戶驗收測試參考答案：A162.審查數據中心的滅火系統(tǒng)應考慮A、維護措施B、安裝手冊C、是否能夠現場更換D、承保范圍參考答案：A163.審查過去的審計結果時，審計師發(fā)現審計報告可能不正確，也不具備獨立性，審計師下一步怎么做?A、重新執(zhí)行審計B、報告審計委員會C、報告審計部門領導D、重新執(zhí)行控制測試參考答案：C164.審查EUC終端用戶用戶有關的制度和流程時，審計師是要評估哪種類型的控制A、改正性措施B、檢查性措施C、預防性措施參考答案：C165.什么能確保IT部門充分履行的他們的職能?A、審計章程B、確保IT策略在公司內部被充分共享C、為業(yè)務構建流程圖D、審計委員會會議記錄參考答案：C166.設計應對潛在自然災害的數據備份策略時，以下哪一項最有幫助？A、恢復點目標（RPO）B、需要備份的數據量C、數據備份技術D、恢復時間目標（RTO）參考答案：A167.若要開發(fā)一個應用于整個公司的系統(tǒng)，最適合總體負責該項目的角色是：A、IS主管B、項目經理C、企業(yè)高管D、業(yè)務分析員參考答案：C168.入侵檢測系統(tǒng)（IDS）可以起到哪些作用？A、代替防火墻B、調查網絡內部攻擊C、彌補身份驗證機制的不足D、提供增強安全基礎設施的保障信息參考答案：D169.如下哪個是進行業(yè)務影響分析的最好方法?A、對主要業(yè)務相關者發(fā)布調查問卷B、和主要業(yè)務相關者進行面談C、與IT管理人員進行面談D、咨詢相關專家參考答案：B170.如何有效檢測到將非法軟件包加載到網絡上這一行為？A、使用無盤工作站B、定期掃描硬盤C、網絡驅動器中的活動日志分析D、維護防病毒軟件參考答案：C171.如何確認批量作業(yè)（batchjobupdate）成功完成?A、驗證作業(yè)日志的時間戳B、抽樣檢查部分作業(yè)是否完成C、查看作業(yè)配置D、檢查工作日程表參考答案：A172.如何確保審計師在控制自我評估中的獨立性?A、設計S調查問卷B、參與其中C、監(jiān)督并提供整改意見D、評估S調查問卷參考答案：C173.如何可以檢測到員工通過電子郵件向外發(fā)送未經授權的機密文檔?A、要求用戶在發(fā)送郵件前進行加密B、在網絡上安裝防火墻加以控制C、根據事先定義的標準監(jiān)控所有發(fā)送的電子郵件D、自動報告所有標記為機密的外發(fā)電子郵件參考答案：C174.如何保證防火墻有效的策略。A、審查網絡日志B、做滲透測試C、審查入侵檢測報告D、檢查防火墻配置參考答案：D175.如果跟蹤審計顯示尚未啟動某些管理行動計劃，信息系統(tǒng)審計師首先應該怎么做?A、判斷所識別的風險是否仍然有效B、將計劃未完成的情況上報給管理層C、向審計委員會提供報告D、要求進行額外的行動計劃審查，以確認審計發(fā)現參考答案：A176.熱備源中心什么的，is審計師最關注A、物理訪問性B、邏輯訪問性C、互惠協(xié)議D、數據恢復性參考答案：D177.確定審計發(fā)現的改進時間表，根據什么確定：A、業(yè)務部門的整改時間B、管理層決定的時間C、監(jiān)管部門的檢查時間參考答案：A178.企業(yè)正在進行購買硬件以支持新Web服務器的可行性研究，遺漏下列哪一項將帶來最大影響?A、潛在供應商的聲譽B、潛在供應商的財務穩(wěn)定性C、所需硬件的備選方案D、產品的成本效益分析參考答案：D179.企業(yè)正在將HR應用遷移到私有云中的基礎設施即服務（laaS）模型。誰主要負責所部署應用程序操作系統(tǒng)的安全配置？A、云提供商B、操作系統(tǒng)供貨商C、云提供商的外部審計師D、企業(yè)參考答案：D180.企業(yè)要參換當前的會計系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數據完整性?A、平行實施B、應急回退計劃C、試點實施D、功能集成測試參考答案：A181.企業(yè)使用IAAS（基礎設施及服務）進行IT管理，誰應該負責操作系統(tǒng)安全A、企業(yè)B、云服務商C、操作系統(tǒng)提供商D、企業(yè)和云服務商參考答案：A182.企業(yè)開發(fā)系統(tǒng)有4個模塊，最后一個涉及將數據更新至數據庫中，信息系統(tǒng)審計師應檢查什么A、實體關系圖B、配置數據庫管理C、變更管理D、數據流圖參考答案：D183.企業(yè)將一批電腦處理給員工，首先應該完成哪一項A、員工簽署保密協(xié)議B、覆寫磁盤C、執(zhí)行系統(tǒng)命令刪除文件D、應用程序執(zhí)行刪除文件參考答案：B184.企業(yè)架構（EA）舉措的主要好處是：A、使組織的投資能夠用于于最合適的技術中。B、確保在關鍵平臺上實施安全控制。C、允許開發(fā)團隊更快地響應業(yè)務要求。D、賦予業(yè)務單位更大的自主權，以選擇符合其需求的IT解決方案。參考答案：A185.企業(yè)購置了新的大容量存儲設備，將目前使用的替換下來，并且替換下來的用做恢復站點的存儲設備，以下審計師最擔心的是?A、未更新BCP和DRPB、恢復站點的存儲能力能否足夠C、新設備和替換設備是否簽訂維護合同D、采購是否符合企業(yè)的策略和規(guī)定參考答案：B186.企業(yè)打算外包其信息安全之能，其中哪項不能外包只能留在企業(yè)內?A、公司安全策略的責任B、制定公司安全策略C、實施公司安全策略D、制訂安全推進和指導參考答案：A187.企業(yè)把開發(fā)環(huán)境和測試環(huán)境分開的主要原因是什么？A、可以排除B、在IT人員和最終用戶之間實現職責分離。C、使測試人員可以在穩(wěn)定的環(huán)境下進行測試。D、保護開發(fā)中的程序不受未經授權的測試。參考答案：C188.評估應用程序與應用程序之間如何交換數據，應該審查：A、對應用程序的風險評估結果B、ER實體關系圖C、服務器及其應用程序列表D、配置管理數據庫參考答案：B189.排列恢復系統(tǒng)的優(yōu)先級順序時，不確定該如何進行排序，應該使用以下哪一項為標準進行排序?（也有考生反饋題干為：外審發(fā)現企業(yè)的系統(tǒng)重要性排序不正確，以下哪一項決定系統(tǒng)重要性的排序？）A、績效指標B、RPOC、殘余風險D、RTO參考答案：D190.能保證應用系統(tǒng)運行良好的是什么A、接口測試B、集成測試C、系統(tǒng)測試D、單元測試參考答案：C191.內部審計的職責由以下哪一項明確A、審計計劃B、審計章程C、審計目標D、審計范圍素參考答案：B192.哪種突發(fā)事件規(guī)定可使業(yè)務操作在降級模式下繼續(xù)執(zhí)行A、冗余電源B、網絡更新配置C、還原過程D、容錯硬件參考答案：D193.哪種控制在跨網絡傳輸中有效檢測數據意外損壞A、順序檢查B、對稱加密C、奇偶校驗D、校驗（數字）位參考答案：D194.哪種風險類型決定是否進行實質性測試：A、固有風險B、審計風險C、檢測風險D、控制風險參考答案：D195.哪一項是確保數據分析項目使用的個人數據無法識別的最佳方式?A、重新識別）B、匿名化C、標記化D、隨機化參考答案：B196.哪項會損害審計人員的獨立性：A、參與項目組，但不參與操作B、提供咨詢意見C、設計并嵌入了專門審計用的審計模塊D、在開發(fā)過程中，實施了具體的控制參考答案：D197.哪個對降低從企業(yè)內向外發(fā)電子郵件導致數據泄露風險最有用?A、安裝軟件檢測電子郵件附件的數據分類B、執(zhí)行滲透測試和漏洞評估C、實施IS和IPSD、執(zhí)行自動化內容檢查和監(jiān)控參考答案：D198.某組織實施了一個分布式會計系統(tǒng)，IS審計師正在進行實施后審查，以提供數據完整性控制的鑒證。該審計師應當首先執(zhí)行以下哪一項？A、審查用戶訪問。B、評估變更請求流程。C、評估對賬控制。D、審查數據流程圖。參考答案：D199.某員工執(zhí)行計算機操作，并在必要時對程序加以修改，信息系統(tǒng)審計師應建議什么？A、應額外增加員工，以便進行職責分離B、應建立一套程序，以確保對計算機程序所作的更改得以識別和批準C、自動記錄對開發(fā)庫程序所作的修改D、訪問控制應禁止操作人員對程序加以修改參考答案：B200.某業(yè)務單位已選用新的會計應用，但并未在選擇流程中提前咨詢IT部門。主要風險是：A、該應用的安全控制可能不符合要求。B、該應用可能不符合業(yè)務用戶的需求。C、該應用的技術可能與企業(yè)架構（EA）不一致。D、該應用可能給IT部門帶來不可預見的支持問題。參考答案：C201.某小型公司無法隔離開發(fā)流程與變更控制職能之間的職責。確保經過測試的代碼與轉入生產的代碼完全一樣的最佳途徑是什么？A、發(fā)布管理軟件B、手動代碼比對C、生產前回歸測試D、管理層批準變更參考答案：A202.某企業(yè)IT部門嚴重依賴外包商來維護關鍵系統(tǒng)。為了解決收入下降的問題，董事會已決定將整個企業(yè)的所有外包商的預算減少30%.以下哪一項是IT領域的最大風險?A、關鍵系統(tǒng)可能得不到適當的維護B、最終用戶可能無法從其余IT員工那里獲得足夠的支持C、所需的軟件許可證預算可能不足D、外包商可能會在離開之前嘗試從關鍵系統(tǒng)中提取有價值的數據參考答案：D203.某批量交易作業(yè)在生產中操作失??；但在用戶驗收測試（UAT）中，同一作業(yè)卻未出現問題。生產批量作業(yè)分析顯示，它在UAT后經過修改。將來減小這種風險的最佳途徑是以下哪一項？A、完善回歸測試案例。B、針對發(fā)布后的有限時間段啟用審計軌跡。C、執(zhí)行應用用戶訪問審查。D、確保開發(fā)人員在測試后無訪問權限進行編碼。參考答案：D204.某公司實施了虛擬化，但是對網絡和安全基礎設施沒有變動，最容易造成哪種風險A、IDS檢測不了虛擬化到服務器的流量B、虛擬平臺的漏洞會影響多臺主機C、系統(tǒng)文檔未更新以反映環(huán)境的變更D、新的虛擬環(huán)境與原環(huán)境配置不同參考答案：B205.某公司確定其網站遭到損壞，在托管應用的服務器上被安裝了rootkit惡意軟件。以下哪一項最有可能防止事故？A、基于主機的入侵防御系統(tǒng)（IPS）B、基于網絡的入侵檢測系統(tǒng)（IDS）C、防火墻D、安裝操作系統(tǒng)（OS）修補程序參考答案：A206.某公司既執(zhí)行完整數據庫備份和增量數據庫備份。當數據中心遭破壞后，以下哪一項能夠提供最佳的完全恢復？A、每周將完全備份移至異地站點B、每日將增量備份存放到異地站點C、將完全備份和增量備份放在安全的服務器機房里面D、每日將所有備份循環(huán)存放到異地站點參考答案：D207.某個組織同時做完整備份和增量備份，怎么保證數據最完整A、每日將增量備份數據送至異地B、每周將完整備份數據送至異地C、每日將所有備份數據送至異地D、將數據存到一個數據中心參考答案：C208.某個大型組織正在對下一年度的IT項目進行優(yōu)先級排序。排序的依據應該：A、根據項目的成本效益分析結果。B、根據組織下一年度的IT資源情況。C、根據項目的投資額大小。D、根據技術的先進性參考答案：A209.某IS審計師正在審查已采納敏捷開發(fā)方法的某組織的軟件開發(fā)能力。該IS審計師最關注的是：A、某些項目迭代產生包括概念驗證的交付成果和未完成代碼。B、應用特征和開發(fā)過程未廣泛記錄在案。C、軟件開發(fā)團隊不斷重新規(guī)劃其重大項目的每一步。D、項目經理不管理其項目資源，而將其交由項目團隊成員負責。參考答案：A210.某IS審計師正在審查某組織最新的災難恢復計劃（DRP）。確定該計劃所需要的系統(tǒng)資源的可用性時，以下哪一項批準最重要？A、執(zhí)行管理層B、IT管理層C、董事會D、督導委員會參考答案：B211.某IS審計師正在審查某組織，以確保與數據違規(guī)情形有關的證據得到保留。對該IS審計師而言，以下哪一項最值得關注？A、最終用戶不知曉事故報告程序。B、日志服務器不在單獨的網絡上。C、未堅持進行備份。D、無監(jiān)管鏈政策。參考答案：D212.某IS審計師正在審查某數據中心的物理安全控制，并發(fā)現有幾個領域值得關注。以下哪個領域最?A、緊急斷電按鈕蓋不見了。B、未執(zhí)行預定的滅火系統(tǒng)日常維護。C、數據中心沒有安全攝像頭。D、緊急出口門被阻塞。參考答案：D213.某IS審計師正在審查某會計系統(tǒng)的訪問情況，并發(fā)現了職責分離問題；但業(yè)務規(guī)模小，沒有額外的工人可供使用。在這種情況下，以下哪一項是建議的最佳補償性控制？A、實施基于角色的訪問B、審查審計軌跡C、執(zhí)行定期訪問審查D、審查錯誤日志參考答案：B214.某IS審計師在數據庫的某些表中發(fā)現了超出范圍的數據。為避免此類狀況發(fā)生，該IS審計師應推薦采用以下哪種控制？A、記錄所有的表更新交易。B、在數據庫中設定完整性約束。C、使用前后圖像報告。D、使用跟蹤和標記。參考答案：B215.某IS審計師已發(fā)現，員工們在通過電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域。對IS審計師而言，以下哪一項是建議的最佳補救措施？A、加密郵件帳戶B、培訓和意識C、活動監(jiān)測D、數據丟失防護（DLP）參考答案：D216.某IS審計師發(fā)現，實施了未經督導委員會批準的多個基于lT的項目。該IS審計師最需要關注什么？A、IT項目資金不足。B、IT項目不遵循系統(tǒng)開發(fā)生命周期（SDLC〕流程。C、IT項目未必一直得到正式的批準。D、IT部門未朝著共同的目標而努力。參考答案：D217.流程所有權分配在系統(tǒng)開發(fā)項目中至關重要，原因是它：A、利于跟蹤開發(fā)完成的百分比。B、優(yōu)化用戶驗收測試（UAT）案例的設計成本。C、最大限度縮小需求與功能之間的差距。D、確保系統(tǒng)設計基于業(yè)務需求。參考答案：D218.了解一個操作系統(tǒng)的安全配置的最佳方式是：A、學習供應商的安裝手冊。B、檢查系統(tǒng)安全計劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動配置的參數。參考答案：D219.客戶可以通過internet直接訪問一個Web應用系統(tǒng)（客戶關系管理系統(tǒng)）。以下哪一項是審計師最擔心的？A、系統(tǒng)部署在企業(yè)內部網段中B、系統(tǒng)托管在第三方服務商的混合云平臺中C、系統(tǒng)部署在公司網絡的DMZ區(qū)中D、系統(tǒng)托管在第三方供應商的服務器上參考答案：B220.可用性最好（容錯率最高）的網絡結構是：A、環(huán)狀B、總線C、星行D、網狀參考答案：D221.開展實施后審查的主要目的是檢查A、已充分考慮了用戶訪問控制B、已正確執(zhí)行了UAT測試C、已符合企業(yè)體系結構D、已滿足用戶需求參考答案：D222.開發(fā)人員對薪資系統(tǒng)中的數據字段做了未經授權的變更，下列哪一種控制弱點最可能導致該問題？A、程序設計人員有權訪問生產程序。B、工資文件不受程序庫管理員控制C、可排除D、程序設計人員沒有讓用戶參與測試參考答案：A223.鏡像磁盤（mirroreddisks）的使用：A、減少對額外存儲的需求B、縮短系統(tǒng)響應時間C、消除異地備份的需求D、需求定期異地備份參考答案：D224.進行安全代碼審查工作屬于哪一種類型的控制措施A、改正B、預防C、檢測D、補償參考答案：B225.將測試程序與生產環(huán)境分離開來的主要原因在于：A、提供有效系統(tǒng)改善管理的基礎B、對程序更改加以控制C、限制信息系統(tǒng)員工對開發(fā)環(huán)境的訪問權限D、在信息系統(tǒng)人員和最終用戶之間實現職責分離參考答案：D226.基于風險的審計方法其主要好處是A、識別關鍵控制措施B、縮小審計范圍C、確定審計資源的優(yōu)先級D、了解業(yè)務流程參考答案：C227.回歸測試的概念：在更改系統(tǒng)中某個程序的功能之后，需要對系統(tǒng)進行回歸測試，其目的是：A、所作的更改是否對系統(tǒng)產生了負面影響。B、更改后的程序是否按照新的程序設計運行。C、更改后的程序是否按照用戶要求的更改來運行。D、效率效能相關的選項（可排除）參考答案：A228.規(guī)劃審計時，對重要性進行評估的作用是A、可排除小錯誤的累計效應B、幫助審計集中在關鍵領域C、在審計測試完成時告知審計師D、集中于財務方面的項目參考答案：B229.關于RFID射頻技術，IS審計師最關注的是A、隱私B、可擴展性C、不可抵賴性D、機密性參考答案：A230.固有風險評級通過對威脅或漏洞的影響及可能性評估，威脅或漏洞發(fā)生A、考慮采取內部控制措施之前B、考慮內部控制措施之后C、應用了補償控制措施后D、確立風險偏好之前參考答案：A231.公司準備把ERP管理軟件開發(fā)工作外包，已經通過高層審批，并確定了幾家供應商，接下應該：A、聯(lián)系供應商對應的客戶B、審計供應商SL能力C、確認ERP功能和對應的控制措施，并進行排序D、簽訂供應商合同參考答案：C232.公司用了軟件即服務（saas），在軟件供應商不再提供服務的情況下怎樣能保證可用性?A、復制這個軟件（大概是意思）B、把數據定期備份C、在網絡連接上做一個冗余D、第三方托管參考答案：D233.公司應該采取以下哪一項措施來估計災難的影響?A、分析功能成熟度模型差距B、開展業(yè)務影響分析（I）C、模擬災難恢復D、定義恢復點目標（RPO）參考答案：B234.公司已將部分業(yè)務外包出去，現在打算對外包服務商審計，要確定審計范圍，內部審計師首先要（）？A、與外包服務商商定審計目標B、審查外包合同C、審查外包商的內部控制參考答案：B235.公司要將保密數據給到下游應用系統(tǒng)，最能保證安全性的是？（金融機構需要向下屬分公司傳輸機密性的數據，最佳做法是？）A、SFTPB、帶時間截的文件頭C、SNMPD、SNTPE、安全外殼參考答案：A236.公司外包服務給第三方，符合確定第三方提供的服務水平管理的外部審計報告是可被接受的A、審計報告是最近12個月內實施的B、第三方服務商經過獨立認證和認可C、審計范圍和方法符合審計要求D、報告確定并沒有違反服務水平參考答案：C237.公司實施三單（訂單、貨物單和發(fā)票）自動匹配的目的是控制以下哪種風險A、系統(tǒng)處理無效付款B、未給予客戶折扣C、訂單延遲處理D、多次支付一項合法交易參考答案：D238.公司請外部審計人員來審計，內部審計人員發(fā)現外部審計人員的一些證據文件與內審報告結論有差異，內部審計人員應該怎么做？A、向高級管理層報告B、請專家重新檢查確認審計結論（請外部專家進行額外的測試）C、在報告中說明范圍限制D、對外披露參考答案：B239.公司請外部審計，對外部信息系統(tǒng)審計師的訪問權限應由以下哪項文件予以說明和授予A、審計章程B、經批準的工作說明C、給所有相關方的內部備忘錄D、有關審計工作開展的需求請求書參考答案：A240.公司將敏感數據處理外包給第三方云服務提供商。當發(fā)生安全事件，首先應執(zhí)行（）。A、終止與供應商的合同B、執(zhí)行事件響應程序C、調閱近期供應商的審計結果D、對事件進行獨立調查參考答案：B241.公司發(fā)現企業(yè)的數據安全存在重大漏洞，CEO要求對網絡安全進行審計，但因公司重組問題，目前只有幾個審計師，且能力一般，這種情況下，最合適的解決方案是：A、尋找外部第三方審計B、列入下個年度進行審計C、找目前審計師中最資深的人員開展審計D、延遲項目，先實施審計技能培訓，然后再執(zhí)行審計參考答案：A242.公司的財務部門實行了系統(tǒng)新技術新流程，信息系統(tǒng)審計師應該對此情況做什么審計?A、財務審計B、網絡審計C、集成審計D、績效審計參考答案：C243.服務臺對于大多數問題都有已知解決方案，但發(fā)現重復反應相同問題的現象，審計師應該建議：A、升級事件系統(tǒng)B、服務臺外包C、加強用戶培訓D、增加支持人員參考答案：C244.風險評估結果需要更新主要是由于（）?A、遵從政策的要求B、應對數據的變化C、應對IT環(huán)境的變化D、業(yè)務部門的需求參考答案：C245.非正規(guī)化（非規(guī)范化）對數據庫的最大影響是什么：A、影響完整性B、停滯不前的性能C、數據的準確性D、數據的機密性參考答案：A246.防止員工內部惡意滲透，最有效的是A、安裝DLP并定時更新B、USB接口封鎖C、不能連入外網D、安全教育參考答案：A247.防止同時使用軟件許可的最佳措施?A、用戶自律B、供應商實施突擊審計C、系統(tǒng)管理員實施監(jiān)控D、計量軟件參考答案：D248.防黑客能力最強的防火墻類型是A、應用網關B、屏蔽路由器（屏蔽主機防火墻）C、數據包過濾D、電路網關參考答案：A249.發(fā)票上的帳單總金額每周自動傳輸到企業(yè)的帳戶總帳上。審計師發(fā)現總帳上缺少一周的帳單時，應該首先檢查以下哪一個領域?A、年度對帳B、變更管理C、批處理控制D、模塊訪問權限參考答案：C250.多個部門未在商定日期內完成審計建議，以下哪一方應該負責并跟進這件事：A、高級管理層B、審計師C、部門經理D、審計部門負責人參考答案：A251.對最近購買的系統(tǒng)進行實施后檢查時，最重要的是信息系統(tǒng)審計師要確定：A、供應商產品是否已提供可行的解決方案B、項目利益相關者的預期是否已識別。C、測試方案是否反映了運營活動D、是否已滿足用戶需求參考答案：D252.對在線安全教育的效果，最關注的應該是?A、只對新員工B、沒有時間安排C、沒有結果反饋的指標D、沒有立即執(zhí)行參考答案：C253.對員工進行了安全培訓教育，以下哪種方式證明了培訓的有效性？A、安全事故的上報數量增加B、參加安全意識培訓人員的百分比變多參考答案：A254.對于應用程序開發(fā)驗收測試來說，以下哪項最重要?A、質量保證OA小組負責測試過程B、用戶管理在啟動測試之前會審批測試設計C、所有數據文件在轉換之前均進行了有效信息測試D、編程小組參與測試過程參考答案：B255.對于移動計算，哪一種保護數據免受盜竊、競爭對手、非授權用戶使用的最佳方法A、身份驗證B、數字簽名C、文件加密D、訪問控制參考答案：C256.對于無雙重門控制的機房，管理層應該采取哪個行動來防止跟隨進入?（2023年3月真題）A、要求員工佩戴I卡B、雙因素驗證C、生物識別技術D、安全意識培訓參考答案：D257.對于審計發(fā)現，審計師需要首先做什么：A、與被審計單位管理層溝通B、與被審計業(yè)務人員溝通C、提交審計報告D、與審計團隊其他人員溝通參考答案：B258.對于持續(xù)的數據質量問題，以下哪項最能幫助分析和確定相應的收入損失A、實施數據有效性驗證控制的成本B、問題數量與平均停機時間的關系C、數據獲取成本與銷售損失的對比D、數據錯誤與交易價值損失的互相關系參考答案：D259.對于VoIP，信息系統(tǒng)審計師最關注什么?A、不可抵賴性B、服務的連續(xù)性C、網絡的統(tǒng)一性D、數據與語音網絡分離參考答案：B260.對信息進行實施后審計，下列哪項最可能削弱IS審計師的獨立性?A、參與項目團隊，但不承擔運營開發(fā)的責任B、為最佳實踐提供建議C、設計了一個嵌入式的審計模塊D、在應用程序開發(fā)過程中實施了特定的控制參考答案：D261.對信號進行接收并放大是哪個網絡組件A、網關B、網橋C、路由器D、中繼器參考答案：D262.對數據庫管理系統(tǒng)審計發(fā)現，系統(tǒng)維護后未重新啟動審計日志，以下哪一項是信息系統(tǒng)審計師的最大顧慮？A、將不能記錄應用程序用戶所作的更改操作B、將不能優(yōu)化數據庫的觸發(fā)器和指針C、將不能記錄數據庫管理員所作的更改操作D、將危害數據庫優(yōu)化參考答案：C263.對關鍵IT基礎架構上進行漏洞掃描時，哪項最重要?A、在非高峰時間執(zhí)行B、不會降低系統(tǒng)性能C、掃描后再進行滲透測試D、掃描成本效益參考答案：A264.對從數據倉庫生成的商業(yè)報告的質量進行審查時，最應關注下面哪種情況?A、數據錯誤未經過IT人員一致審查B、數據質量報告無法提供對業(yè)務發(fā)展趨勢的洞見C、數據質量報告每晚批量從數據倉庫中生成導出。D、報告中的數據錯誤在數據倉庫中已得到修正參考答案：A265.電子支票（改成EFT）相對于手寫支票，最大的優(yōu)勢在于：A、提高效率B、降低未授權的風險C、節(jié)約人工成本D、可以統(tǒng)一設定傳輸標準參考答案：B266.電子數據交換EDI主要優(yōu)勢是?A、可以同時在不同地方使用同一個文件B、減少數據轉錄（trnsription）C、數據有效性驗證由服務供應商提供D、簡化和供應商的合同參考答案：B267.電力暫時增高減少的情況時應選擇哪種設備?（選項中沒有穩(wěn)壓器）A、冗余電力B、UPSC、備用發(fā)電機D、關閉電源緊急開關參考答案：B268.當審計資源有限時，以下哪一項是信息系統(tǒng)風險審計的最大擔憂?A、進行風險評估可能減少可用于審計的時間B、某些業(yè)務流程可能未經審計C、管理層審計請求的響應可能會大大延遲D、審計時間表可能變得太可預測參考答案：B269.當確定在多個國家都有分支機構的全球性企業(yè)的數據保留政策時，下列哪一項是最重要的考慮因素：A、政策與公司政策與慣例的一致性B、政策與當地法律法規(guī)的一致性C、政策與全球最佳實踐的一致性D、政策與業(yè)務目標的一致性參考答案：B270.當確定審計日志的數據保留期時，最基礎的因素是什么A、計算機取證的原則B、審計標準C、風險控制D、法規(guī)要求參考答案：D271.當確定審計日志的數據保留期時，下列哪一項是最基本的因素?A、控制風險B、普遍接受的審計標準C、計算機取證原則D、法規(guī)要求參考答案：D272.當規(guī)劃實施新系統(tǒng)時，公司選擇并行運行的主要目的是？A、確保系統(tǒng)滿足所需的用戶響應時間B、協(xié)助新員工的培訓工作C、驗證系統(tǒng)接口是否已實施D、確認系統(tǒng)處理能力參考答案：D273.單點登入（SSO）的主要風險：A、單一系統(tǒng)故障會影響所有系統(tǒng)B、不能有效的留下訪問軌跡C、一次登入所有系統(tǒng)D、系統(tǒng)整合困難參考答案：A274.代碼在生產發(fā)布時被錯誤地移除，其后繞過正常的變更程序，被轉入生產環(huán)境。對執(zhí)行實施后審查的IS審計師而言，以下哪一項最值得關注？A、代碼在初步實施時被遺漏。B、變更未經管理層批準。C、錯誤在實施后審查過程中被發(fā)現。D、發(fā)布團隊使用了相N的變更順序號。參考答案：B275.代理服務商反饋通過瘦客服端下載數據，延遲比較大，應該進行以下那項措施?A、申請?zhí)鎿Q為胖客戶端B、升級客戶端硬件配置C、升級客戶端程序以提供更詳細的錯誤信息D、安裝中間件用來增強客戶端和系統(tǒng)的通信參考答案：D276.從風險管理的角度，部署龐大且復雜的IT基礎架構，哪種方法最好：A、部署前仿真模擬新的架構B、按次序階段性的部署計劃C、原型化和單階部署D、在概念論證之后，全面迅速的部署參考答案：B277.從Internet連接到企業(yè)的局域網時，防止未經授權訪問的最佳建議是利用A、代理服務器B、VPNC、加密D、虛擬化服務器參考答案：B278.磁盤管理系統(tǒng)的主要功能在于：A、提供有關磁盤有效利用率的數據B、拒絕訪問磁盤駐留的數據文件C、見識磁盤訪問，以便進行分析審查D、提供控制磁盤使用的方法參考答案：A279.抽樣方法受以下哪種風險的影響?A、控制風險B、固有風險C、審計風險D、檢測風險參考答案：A280.成熟的質量管理系統(tǒng)QMS的指標?A、項目顯示持續(xù)改進B、設定了評估標準并集成到所有系統(tǒng)中強制執(zhí)行C、所有部門都提交了質量報告D、運行良好未發(fā)現問題參考答案：A281.測試程序和生產程序分離的主要目的在于？A、為變更管理控制提供基礎B、為變更實施控制C、信息系統(tǒng)人員和最終用戶之間實施職責分離D、限制IT人員對開發(fā)環(huán)境的訪問權限參考答案：A282.操作系統(tǒng)管理員未執(zhí)行年度財務報表的腳本，提什么建議A、執(zhí)行關閉清單losingheklistB、財務人員加入操作系統(tǒng)C、培訓操作系統(tǒng)人員D、更新操作手冊參考答案：C283.采用云服務的企業(yè)應注意什么A、第三方審計B、數據所有權問題C、確保云服務商滿足企業(yè)的安全政策參考答案：B284.包含敏感信息的EUC存在哪項最大的風險A、數據未被保護B、系統(tǒng)未被包含進庫存C、沒有審計日志D、安全授權不可用參考答案：A285.把信用卡號傳輸到下一級操作時，如何保護安全性?（在信用卡消費中，對于商家暫時存儲在本地的信用卡號碼，以下哪種處理最安全?）A、隱藏信用卡號信息B、使用強加密手段C、截斷信用卡卡號D、使用加密的單向哈希參考答案：C286.安裝數據泄漏防護（DLP）軟件的主要目的是控制以下哪一項？A、服務器上存儲的保密文件的訪問特權B、意圖破壞內部網絡中的重要數據C、哪些外部系統(tǒng)可以訪問內部資源D、保密文件流出內部網絡參考答案：D287.IT治理的最主要目的是？A、價值實現B、績效衡量C、戰(zhàn)略規(guī)劃D、資源分配與管理參考答案：A288.IT指導委員會負責應對以下哪一項負責A、把實施安全性與業(yè)務目標集成在一起B(yǎng)、評估和報告戰(zhàn)略一致性程度C、審查并協(xié)助IT策略整合工作D、制定IT安全策略參考答案：C289.IT審計師在審查第三方供應商報告的KPI。以下哪項是審計師的最大擔憂?A、KPI數據未加以分析B、KPI從未進行更新C、文檔相關的，可排除D、KPI沒有明確定義參考答案：D290.IT經理向高級管理層匯報潛在風險情況，運行關鍵在線信用報告系統(tǒng)服務器的操作系統(tǒng)將不受支持，該風險屬于哪種類型的風險？A、符合性風險B、技術風險C、業(yè)務風險D、聲譽風險參考答案：B291.IT部門的資源不足，項目無法按時完成。下一年度要計劃招聘IT人員，以下哪項為IT人員編制計劃提供最佳指南？A、人力資源編制戰(zhàn)略B、以往項目的實際花費時間記錄C、下一年的年度預算D、同行業(yè)的預算參考基準參考答案：B292.IS審計師在審計電子商務環(huán)境時，最重要的是要理解以下哪一項？A、電子商務環(huán)境的技術架構B、構成內部控制環(huán)境的政策、程序和實務C、應用系統(tǒng)所支持的業(yè)務流程的性質和重要性D、系統(tǒng)可用性和可靠性控制措施的持續(xù)監(jiān)測參考答案：C293.IS審計師發(fā)現被審計的企業(yè)，各部門均制訂了充分的業(yè)務連續(xù)性計劃（BCP），但是沒有整個企業(yè)的BCP。那么，IS審計師應該采取的最佳行動是：A、建議增加、制訂全企業(yè)的、綜合的BCPB、建議合并所有BCP為一個單獨的全企業(yè)的BCPC、確定各部門的BCP是否一致，沒有沖突D、各業(yè)務部門都有適當的BCP就夠了，無需其它參考答案：C294.IS審計師被IS管理人員告知，組織最近己達到軟件能力成熟度模型（CMM）的最高級別。則該組織最近添加的軟件質量過程為：A、持續(xù)改進。B、定量質量目標。C、記錄流程。D、為特定項目制定的流程。參考答案：A295.EFT電子資金轉賬相對于手寫支票，最大的優(yōu)勢在于A、提高效率B、降低未授權的風險C、節(jié)約人工成本D、可以統(tǒng)一設定傳輸標準參考答案：A296.A5-9實施以下哪一項可以最有效地防止未經授權訪問Web服務器系統(tǒng)管理賬戶?A、在服務器上安裝主機入侵檢測軟件B、密碼到期和鎖定策略C、密碼復雜性規(guī)則D、雙因素認證參考答案：D297.A5-95在對財務系統(tǒng)執(zhí)行審計時，信息系統(tǒng)審計師懷疑發(fā)生了事故。信息系統(tǒng)審計師首先應該做什么?A、要求關閉系統(tǒng)以保留證據B、向管理層報告事故C、要求立即暫?？梢少~戶D、調查事故的來源和性質參考答案：B298.A5-8以下哪一項是盡量降低未經授權訪問無人值守的最終用戶PC系統(tǒng)的最有效方法?A、強制使用密碼保護型屏幕保護程序B、實施以接近感應為基礎的身份認證系統(tǒng)C、按預定義間隔終止用戶會話D、調整電源管理設置，以保護顯示屏是空白的參考答案：A299.A5-71與RSA加密相比，以下哪項是橢圓曲線加密的優(yōu)點?A、計算速度B、能夠支持數字簽名C、更簡便的密鑰分配D、消息完整性控制參考答案：A300.A5-6以下哪一網絡組件主要用作一種安全措施，防止在不同網段間進行未授權的通信?A、防火墻B、路由器C、第2層交換機D、虛擬局域網參考答案：A301.A5-69認證機構（CA）可委任外部機構處理的工作是：A、吊銷及暫停用戶的證書B、生產及分配公鑰C、在申請實體與其公鑰之間建立關聯(lián)D、發(fā)布及分配用戶證書參考答案：C302.A5-68執(zhí)行計算機取證調查時，對于收集到的數據，信息系統(tǒng)審計師最應關注的是：A、證據的分析B、證據的評估C、證據的保存D、證據的泄露參考答案：C303.A5-43以下哪一項是信息資產所有者的責任?A、在應用程序內實施信息安全B、為數據指定重要性級別C、對數據和程序實施訪問規(guī)則D、為數據提供物理和邏輯安全參考答案：B304.A5-3審