cisa國際注冊信息系統(tǒng)審計師通關(guān)必做題（附答案）1.作為信息安全治理的結(jié)果，戰(zhàn)略一致性提供了：A、由企業(yè)需求驅(qū)動的安全要求B、遵循良好實踐的基準安全線C、制度化和商品化的解決方案D、對風險敞口的了解參考答案：A2.組織要求員工每年進行強制性休假主要是想確保：A、在各職能部門之間進行充分的交叉培訓B、通過提高士氣，建立有效的內(nèi)部控制環(huán)境C、通過臨時替換發(fā)現(xiàn)潛在的違規(guī)處理D、降低發(fā)生處理失誤的風險參考答案：C3.組織完成風險評估的一部分的威脅和漏洞分析之后，最終的報告建議主要互聯(lián)網(wǎng)網(wǎng)關(guān)安裝入侵防御系統(tǒng)（IPS），而且應通過代理防火墻分離所有業(yè)務部門。以下哪項是確定是否應采取控制措施的最佳方法?A、成本效益分析B、年化預期損失計算C、IPS和防火墻成本與業(yè)務系統(tǒng)成本的對比D、業(yè)務影響分析參考答案：A4.組織將重要包含重要客戶信息的信息系統(tǒng)外包給國外的云服務商，最主要需要注意以下哪一點?A、審查服務商將在哪些國家和地區(qū)提供服務。B、法律法規(guī)的合規(guī)性C、確保數(shù)據(jù)存放在合同規(guī)定的所在國的所在地點。D、確保服務商遵守組織的安全策略。參考答案：B5.組織發(fā)現(xiàn)首席財務官的計算機已感染惡意軟件，包括按鍵記錄器和惡意程序工具包（rookit）。首先采取的措施應為：A、聯(lián)系相應的執(zhí)法部門開始調(diào)查B、立即確保不會危害其他數(shù)據(jù)C、斷開P與網(wǎng)絡的連接D、更新P上的防病毒簽名，確保已檢測并刪除惡意軟件或病毒參考答案：C6.組織的災難恢復計劃中包含互惠協(xié)議時，采用了以下哪種風險應對方法?A、轉(zhuǎn)移B、緩解C、規(guī)避D、接受參考答案：B7.專家系統(tǒng)使用問卷調(diào)查的方式引導用戶做出一系列選擇，直到得出結(jié)論。這個方法的知識基礎(chǔ)被稱為：A、規(guī)則B、決策樹C、語義網(wǎng)絡D、數(shù)據(jù)流圖參考答案：B8.質(zhì)量保證（QA）人員最不應該從事哪項工作？A、建立分析技術(shù)B、改動程序業(yè)務功能C、審查程序被修改D、制定命名規(guī)范參考答案：B9.制訂業(yè)務連續(xù)性計劃的第一步，也是必不可少的一步是：A、軟件和硬件的可用性B、羅列出所有資產(chǎn)的清單C、完整地記錄所有災難D、根據(jù)風險將應用系統(tǒng)分類參考答案：B10.執(zhí)行詳細的網(wǎng)絡評估和訪問控制審查時，信息系統(tǒng)審計師應首先：A、確定網(wǎng)絡入口點B、評估用戶的訪問授權(quán)C、評估用戶的身份認證和授權(quán)D、評估域控制服務器的配置參考答案：A11.執(zhí)行事后審查的主要目的是提供機會：A、改進內(nèi)部控制程序B、將網(wǎng)絡強化到行業(yè)最佳實踐標準C、向管理層強調(diào)事故響應管理的重要性D、提高員工對事故響應過程的認識程度參考答案：A12.執(zhí)行備份的做法反映了哪一種類型的內(nèi)部控制?A、預防B、檢測C、改正性D、補償參考答案：C13.正在使用原型設計開發(fā)的業(yè)務應用系統(tǒng)的變更控制會因以下哪個因素而變得復雜?A、原型設計的迭代性質(zhì)B、快節(jié)奏的需求和設計修改C、對報告和屏幕的強調(diào)D、缺乏集成工具參考答案：B14.在制定業(yè)務持續(xù)性計劃（BCP）時，業(yè)務單位管理層參與以下哪項工作最重要?A、參與業(yè)務恢復程序的制定B、參與實施文檔庫C、參與業(yè)務影響分析D、參與IT風險評估參考答案：C15.在制定新的風險管理計劃時，一定要考慮以下哪種因素？（新題）A、風險偏好B、合規(guī)性措施C、風險緩解技術(shù)D、資源利用參考答案：A16.在制定數(shù)據(jù)保留政策（dataretentionpolicy）時,應首先考慮以下哪一項?A、識別法律和合同規(guī)定的數(shù)據(jù)保留期B、根據(jù)保留期確定備份周期C、確定數(shù)據(jù)的安全訪問權(quán)限D(zhuǎn)、設計基礎(chǔ)設施存儲戰(zhàn)略參考答案：A17.在支持投資的業(yè)務案例中包含以下哪一項最重要?A、業(yè)務影響分析（I）B、安全要求C、成本效益分析D、風險評估參考答案：C18.在正常工作時間之后需要對數(shù)據(jù)庫進行緊急變更的數(shù)據(jù)庫管理員（DBA）應：A、用其指定賬戶登錄進行變更B、用共享賬戶登錄進行變更C、登錄到服務器管理賬戶進行變更D、使用用戶的賬戶登錄進行變更參考答案：A19.在災難恢復審計過程中，某信息系統(tǒng)審計師發(fā)現(xiàn)沒有進行業(yè)務影響分析，審計師需首先開展哪項工作？A、執(zhí)行額外的符合性測試B、評估對當前災難恢復能力的影響C、執(zhí)行業(yè)務影響分析D、向管理層提交報告參考答案：B20.在災難后恢復數(shù)據(jù)時,下列哪項指標最能說明備份和恢復程序的有效性?A、恢復組的成員能夠進行工作B、達到恢復時間目標C、備份磁帶庫存已得到妥善維護D、備份磁帶在備用站點中完全恢復參考答案：B21.在應用程序開發(fā)項目的系統(tǒng)測試階段，信息系統(tǒng)審計師應該審查：A、概念設計規(guī)范B、供應商合同C、錯誤報告D、程序變更請求參考答案：C22.在應付賬款系統(tǒng)中控制供應商主文件更新的最佳方式是什么?A、使用事先編號并授權(quán)的申請表格B、將更新與授權(quán)相比較C、可排除D、定期審查整個供應商主文件參考答案：B23.在信息系統(tǒng)審計期間，所收集數(shù)據(jù)的范圍應根據(jù)以下哪個選項確定?A、關(guān)鍵和必需的信息的可用性B、審計師對環(huán)境的熟悉程度C、受審方查找相關(guān)證據(jù)的能力D、正在執(zhí)行的審計的目的和范圍參考答案：D24.在信息系統(tǒng)開發(fā)方法中，以下哪一項應該被包括在內(nèi)?A、風險管理技術(shù)B、事故管理技術(shù)C、訪問控制規(guī)則D、增值活動分析參考答案：A25.在小型組織中，信息系統(tǒng)審計師發(fā)現(xiàn)安全管理和系統(tǒng)分析功能由同一個員工執(zhí)行，這反映出以下哪個問題?A、沒有更新安全政策來反映這種情況B、該員工沒有簽署安全政策C、沒有對該員工的活動進行獨立審查D、沒有工作說明進行更新以反應當前的現(xiàn)狀參考答案：C26.在向供應商授予臨時訪問權(quán)限時，以下哪項是最有效的控制措施?A、供應商的訪問權(quán)限符合服務水平協(xié)議B、根據(jù)所提供的服務創(chuàng)建用戶賬戶并對其設置到期日期C、在有限的時間段內(nèi)提供管理員訪問權(quán)限D(zhuǎn)、在工作完成后刪除用戶I參考答案：B27.在下一年選擇進行哪些信息系統(tǒng)審計的主要依據(jù)是什么?A、上一年的審計發(fā)現(xiàn)結(jié)果B、高層管理層的要求C、組織風險評估D、以前的審計范圍參考答案：C28.在下列哪個過程中會使用到Hash：A、對稱加密B、數(shù)字簽名C、非對稱加密D、PKI參考答案：B29.在通信系統(tǒng)的審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)傳送至/來自遠程站點的數(shù)據(jù)被截獲的風險非常高。降低此風險最有效的控制為：A、加密B、回叫調(diào)制解調(diào)器C、消息驗證D、專用租用線路參考答案：A30.在數(shù)據(jù)庫系統(tǒng)中，正規(guī)化的用途是?A、消除死鎖B、減少數(shù)據(jù)冗余。C、縮短數(shù)據(jù)訪問時間。D、使數(shù)據(jù)標準化。參考答案：B31.在實施后審查時，以下哪一項最能證明用戶需求得到了滿足？A、操作員的錯誤日志B、客戶服務事故支持請求的數(shù)量C、最終用戶使用文檔D、用戶驗收測試已簽收參考答案：D32.在生產(chǎn)數(shù)據(jù)庫中直接更新數(shù)據(jù)時，以下哪一項能最有效地確保問責制？A、之前和之后的屏幕截圖B、經(jīng)過批準的實施計劃C、經(jīng)過批準的驗證計劃D、數(shù)據(jù)文件安全性參考答案：A33.在審計期間，所有it團隊都同意審計發(fā)現(xiàn)，但是沒有一個團隊愿意承接整改的責任，審計師應該：A、上報IT管理層尋求解決方案；B、不指明整改責任的情況下發(fā)布審計發(fā)現(xiàn)C、讓所有團隊共同負責執(zhí)行D、選擇最適合的團隊并進行責任分配參考答案：A34.在審計某第三方IT服務提供商時，某信息系統(tǒng)審計師發(fā)現(xiàn)未按合同要求進行訪問審查。信息系統(tǒng)審計師應：A、向IT管理層報告該問題B、與服務提供商討論該問題C、執(zhí)行風險評估D、執(zhí)行訪問審查參考答案：A35.在審查用戶賬戶政策時，信息系統(tǒng)審計師的最大擔憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權(quán)限的相關(guān)政策B、當員工更改角色時，沒有任何政策可以撤銷以前的訪問權(quán)限C、沒有要求員工簽署保密協(xié)議NDA的相關(guān)政策D、沒有針對安全意識培訓的政策參考答案：B36.在審查數(shù)據(jù)中心運行的有效性時，信息系統(tǒng)審計師需首先確定系統(tǒng)性能，用于以下哪項工作？A、按照事先約定的服務等級進行監(jiān)控和報告B、滿足制造商規(guī)定的預期目標C、在該系統(tǒng)的公認可靠性等級之內(nèi)D、能夠反映在實施時確立的預期使用水平參考答案：D37.在審查內(nèi)部開發(fā)的應用程序期間，信息系統(tǒng)審計師最應關(guān)注的是：A、是否有用戶提出變更請求并在測試環(huán)境中對其進行測試B、是否有編程人員在開發(fā)環(huán)境中編寫變更代碼并在測試環(huán)境中對其進行測試C、是否有管理人員審批變更請求并在生產(chǎn)環(huán)境中對其進行審查D、是否有管理人員提出變更請求并隨后對其進行審批參考答案：D38.在審查IT短期（戰(zhàn)術(shù)）計劃時，信息系統(tǒng)審計師應確定是否：A、IT和業(yè)務人員都參與項目B、明確定義IT使命和愿景C、采用戰(zhàn)略信息技術(shù)計劃計分卡D、該計劃使業(yè)務目標與IT目的和目標相關(guān)聯(lián)參考答案：A39.在設計業(yè)務連續(xù)性計劃期間，業(yè)務影響分析確定關(guān)鍵流程和支持業(yè)務的應用程序。這將主要影響：A、維護業(yè)務連續(xù)性計劃的責任B、選擇恢復站點提供商的標準C、恢復策略D、關(guān)鍵人員的責任參考答案：C40.在確定信息資產(chǎn)的適當保護等級時，信息系統(tǒng)審計師應當主要關(guān)注以下哪一個因素?A、風險評估的結(jié)果B、業(yè)務的相對價值C、漏洞評估的結(jié)果D、安全控制的成本參考答案：A41.在確定IT政策是否很好的適應業(yè)務需求時，以下哪一項是最關(guān)鍵的證據(jù)？A、支持IT策略的總成本B、IT策略的例外數(shù)量C、IT策略的查詢次數(shù)D、違反IT策略所造成的總體損失參考答案：B42.在取證數(shù)據(jù)采集和保存流程中以下哪項最重要？A、保持數(shù)據(jù)完整性B、確保設備的物理安全C、維持保管鏈D、決定要使用的工參考答案：C43.在企業(yè)資源管理系統(tǒng)的實施后審查期間，信息系統(tǒng)審計師最可能：A、審查訪問控制配置B、評估接口測試C、審查詳細的設計文檔D、評估系統(tǒng)測試參考答案：A44.在評估企業(yè)資源規(guī)劃（ERP）實施供應商時，信息系統(tǒng)審計師應首先建議執(zhí)行A、調(diào)查供應商的財務歷史B、檢查供應商的客戶參考C、制定供應商響應計分卡D、審查供應商過去的實施項目參考答案：D45.在評估企業(yè)的漏洞掃描計劃時，以下哪項是審計師的最大顧慮?A、漏洞掃描頻率低于漏洞掃描計劃要求B、結(jié)果沒有報告給有權(quán)確保解決相關(guān)漏洞的人C、未記錄針對已識別漏洞所采取的步驟D、結(jié)果沒有得到高級管理層批準參考答案：B46.在判斷運作有效性控制是否適當?shù)貞玫浇灰滋幚頃r，以下哪項審計實踐最有效?A、控制設計測試B、進行實質(zhì)性測試C、檢查相關(guān)文檔D、實施關(guān)于風險防范的測試參考答案：B47.在開發(fā)新的財務應用程序時，信息系統(tǒng)審計師首先應參與A、控制設計B、可行性研究C、系統(tǒng)測試D、應用程序設計參考答案：B48.在進行災難恢復審計時，信息系統(tǒng)審計師會認為下列哪一項最需要進行審查?A、簽訂某熱備援中心，并且該站點在需要時可用B、具有現(xiàn)行業(yè)務連續(xù)性手冊C、承保范圍得當并且按時支付當期保險費D、及時備份數(shù)據(jù)并實施異地存儲參考答案：D49.在計劃滲透測試時，應首先執(zhí)行哪一項？A、確定漏洞的報告要求B、執(zhí)行保密協(xié)議C、定義測試范圍D、取得管理層的審批參考答案：C50.在規(guī)劃信息系統(tǒng)審計時，最關(guān)鍵的步驟是確定：A、重大風險區(qū)域B、審計人員的技能組合C、審計中的測試步驟D、分配給審計的時間參考答案：A51.在風險分析期間，信息系統(tǒng)審計師已確定威脅和潛在影響。接下來，該信息系統(tǒng)審計師應該：A、確保風險評估與管理層的風險評估流程相一致B、確定信息資產(chǎn)和底層系統(tǒng)C、對管理層披露威脅和影響D、確定并評估現(xiàn)有控制參考答案：D52.在對最近部署的應用執(zhí)行實施審查過程中，發(fā)現(xiàn)幾個事故被分配了錯誤的優(yōu)先級，并因此未能符合業(yè)務服務水平協(xié)議（SLA）的要求，以下哪一項最令人擔心?A、支持模型未經(jīng)高級管理層批準B、SL中規(guī)定的事故解決時間不現(xiàn)實C、沒有足夠的資源來支持應用D、支持模型未適當開發(fā)和實施參考答案：D53.在對應用程序進行實施后審查時，以下哪一項應測試的主要聚焦必刷?A、確保將企業(yè)標準用作實施過程的一部分B、確保已完成系統(tǒng)和集成測試，并取得系統(tǒng)所有者的簽字確認C、確保驗收測試符合利益相關(guān)者的同意和認可，并落實到實施計劃D、確保應用程序在生產(chǎn)環(huán)境中處于活動狀態(tài)，并且可以從最終用戶設備訪問到參考答案：A54.在對人力資源和工資應用程序進行系統(tǒng)開發(fā)生命周期審計期間，信息系統(tǒng)審計師注意到用于用戶驗收測試的數(shù)據(jù)已被屏蔽。屏蔽這些數(shù)據(jù)的目的是為了確保：A、數(shù)據(jù)的機密性B、數(shù)據(jù)的準確性C、數(shù)據(jù)的完整性D、數(shù)據(jù)的可靠性參考答案：A55.在對某公司的數(shù)據(jù)分類流程進行評估時，信息系統(tǒng)審計師的主要關(guān)注哪些方面A、數(shù)據(jù)字典是否得到維護B、是否對數(shù)據(jù)正確分類C、數(shù)據(jù)保留要求是否明確定義D、數(shù)據(jù)分類是否自主化參考答案：C56.在電子商務中使用的典型網(wǎng)絡體系結(jié)構(gòu)中，負載平衡器通常位于下面哪兩個項目之間：A、數(shù)據(jù)庫和外部網(wǎng)關(guān)B、用戶和外部網(wǎng)關(guān)C、路由器和web服務器D、郵件服務器和郵件庫參考答案：C57.在典型的系統(tǒng)開發(fā)生命周期中，下列哪個小組主要負責確認是否符合需求?A、質(zhì)量保證B、內(nèi)部審計C、風險管理D、指導委員會參考答案：A58.在Web應用中，包含以下哪一項可以保證最高的安全性A、SSLB、SFTPC、TelnetD、TLS參考答案：D59.原型法作為一種系統(tǒng)軟件開發(fā)方法其主要好處是什么？A、增加用戶滿意度的可能性B、減少對測試的需求C、消除對文檔的需要D、最大限度地減少信息系統(tǒng)審計師系統(tǒng)所需要的時間參考答案：A60.由于資源有限，某開發(fā)人員需要生產(chǎn)數(shù)據(jù)的完全訪問權(quán)限，以支持生產(chǎn)用戶報告的某些問題。對于控制生產(chǎn)中未經(jīng)授權(quán)的變更，以下哪一項是好的補償性控制？A、向開發(fā)人員提供用于編程和生產(chǎn)支持的單獨ID并進行監(jiān)控。B、通過啟用審計軌跡來捕獲開發(fā)人員在生產(chǎn)環(huán)境中的活動。C、在允許開發(fā)人員進行生產(chǎn)變更之前備份所有受到影響的記錄。D、確保所有變更都經(jīng)過變更管理人員批準。參考答案：A61.由于盈利壓力,企業(yè)的高級管理層決定將信息安全投資保持在不太充分的水平。以下哪一項是信息系統(tǒng)審計師的最佳建議?A、使用云提供商提供低風險運營B、修改合規(guī)性實施流程C、要求高級管理層接受風險D、推遲低優(yōu)先級安全程序參考答案：C62.由于信息系統(tǒng)審計團隊意外的資源限制，無法完成最初批準的審計計劃。假定已通過審計報告通報情況，最可接受的做法是哪一項?A、測試控制設計的充分性B、測試控制運作的有效性C、專注于高風險區(qū)域的審計D、依靠管理層測試控制措施參考答案：C63.應用程序可以使用用戶賬號訪問底層數(shù)據(jù)庫，審計師最擔心：（也有考生反饋題干描述為：底層用戶可以直接訪問數(shù)據(jù)庫，哪項風險大?）（此題需進一步確認，請考生考試中特別留意）A、用戶可以繞過應用程序訪問數(shù)據(jù)庫B、用戶賬戶停用了，仍然可以訪問C、應用程序?qū)徲嬘涗洸荒馨啃畔、底層數(shù)據(jù)庫完整性被破壞參考答案：A64.因業(yè)務激增，某公司采購了大型主機系統(tǒng)，信息系統(tǒng)審計師應當主要考慮下面哪一個因素A、DRP是否評估和更新B、采購是否超過預算C、投標是否經(jīng)過評估D、應用程序訪問控制是否充分參考答案：D65.因為IS審計團隊資源限制，原批準的審計計劃無法實施。假定己通過審計報告通報情況，最可接受的做法是哪一項？A、測試控制設計的充分性。B、測試控制的運作效率。C、著重審計高風險領(lǐng)域。D、依靠管理層測試控制。參考答案：C66.以下那個選項是決策支持系統(tǒng)過程中的實施風險?A、管理控制B、半結(jié)構(gòu)化維度C、無法明確目標和使用模式D、決策過程中的變化參考答案：C67.以下哪種控制有助于在數(shù)據(jù)輸入時防止憑證重復錄入?A、范圍檢查B、置換和替代C、順序檢查D、循環(huán)冗余檢測參考答案：C68.以下哪種風險可能是由軟件項目的基準指標不充分引起的?A、簽字延遲B、違反軟件完整性C、范圍偏離D、控制不充分參考答案：C69.以下哪種保險類型針對因員工欺詐行為造成的損失?A、業(yè)務中斷B、忠誠保險C、錯誤和遺漏D、額外支出參考答案：B70.以下哪一種控制能最有效地減少欺詐性在線付款請求造成損失的風險?A、交易監(jiān)測B、用安全套接字層保護We會話C、強制執(zhí)行身份認證的密碼復雜性D、在We表單上輸入驗證檢查參考答案：A71.以下哪一種方法能將可重復使用的存儲設備中的敏感數(shù)據(jù)有效刪除?A、使用介質(zhì)清除軟件B、覆蓋敏感數(shù)據(jù)C、格式化便攜式設備D、消磁（使設備暴露于磁場中）參考答案：B72.以下哪一項最有助于信息系統(tǒng)審計師識別工資核算流程中的潛在超額給付情況?A、員工數(shù)量和供應商賬號數(shù)量的比對B、指出與往期工資單有重大差異的報告C、對用于核查的員工和供應商地址進行審查D、薪資流程中有關(guān)最大筆工資的報告參考答案：B73.以下哪一項最有助于檢測零day攻擊?A、IDSB、IPSC、反惡意軟件D、用戶行為分析參考答案：D74.以下哪一項最有可能表明，客戶數(shù)據(jù)倉庫應保留在內(nèi)部而不是外包給海外公司?A、時區(qū)差異可能妨礙IT團隊間的交流B、第一年的電信成本可能要高很多C、隱私法律可能禁止信息跨境傳輸D、軟件開發(fā)可能需要更詳細的規(guī)范參考答案：C75.以下哪一項最能支持企業(yè)努力減少勒索軟件攻擊的影響?A、確保付款方式可用B、開發(fā)強大的備份和恢復程序C、定期進行內(nèi)部和外部滲透測試D、對員工進行安全意識培訓參考答案：B76.以下哪一項最能體現(xiàn)信息安全計劃的有效性?A、安全團隊知識豐富，使用最好的工具B、經(jīng)過意識培訓后，報告和確認的安全事故數(shù)量有所增加C、安全意識培訓計劃是根據(jù)行業(yè)最佳實踐開發(fā)的D、安全團隊執(zhí)行了風險評估，以了解公司的風險偏好參考答案：B77.以下哪一項最能實時檢測到DDoS攻擊?A、自動監(jiān)控日志B、服務器崩潰C、滲透測試D、可排除參考答案：A78.以下哪一項在企業(yè)的合同管理流程中提供最有效的安全成果?A、在需求建議書階段執(zhí)行供應商安全基準分析B、擴展安全評估以涵蓋合同終止時的資產(chǎn)處智C、確保在需求建議書階段明確安全要求D、擴展安全評估以包括隨機滲透測試參考答案：C79.以下哪一項是在開發(fā)在線應用程序系統(tǒng)的過程中嵌入審計模塊的主要目的?A、在處理交易的過程中收集證據(jù)B、降低定期進行內(nèi)部審計的要求C、識別和報告欺詐性交易D、提高審計職能的效率參考答案：A80.以下哪一項是實施分散式IT治理模型最主要的原因?A、實現(xiàn)標準化和規(guī)模經(jīng)濟B、實現(xiàn)各業(yè)務部門的統(tǒng)一性C、促進各業(yè)務部門之間的IT協(xié)作D、有利于對業(yè)務需求有更快的響應參考答案：D81.以下哪一項是IT績效衡量流程的主要目標?A、將錯誤減至最少B、收集績效數(shù)據(jù)C、建立績效基準D、優(yōu)化績效參考答案：D82.以下哪一項可批準審計章程?A、首席財務官B、首席執(zhí)行官C、審計督導委員會D、審計委員會參考答案：D83.以下哪一項對戰(zhàn)略性IT舉措的決策流程最有價值?A、項目管理流程的成熟度B、監(jiān)管環(huán)境C、過去的審計結(jié)果D、IT項目組合分析參考答案：D84.以下哪一項IT服務管理活動最有可能幫助確定反復出現(xiàn)的網(wǎng)絡延時的根本原因A、事故管理B、配置管理C、變更管理D、問題管理參考答案：D85.以下哪項最能保證數(shù)據(jù)庫管理系統(tǒng)的最高性能?A、定期維護B、數(shù)據(jù)一致性C、數(shù)據(jù)庫正規(guī)化D、數(shù)據(jù)備份參考答案：B86.以下哪項最能保證審計部門的獨立性A、審計計劃B、審計章程C、審計報告D、審計方案參考答案：B87.以下哪項最能保證服務器操作系統(tǒng)的完整性?A、在安全的位置放置服務器B、設置啟動密碼C、加固服務器配置D、實施活動日志參考答案：C88.以下哪項應該包含在審計章程中？（公司的審計章程因該）：A、定義審計師訪的信息訪問權(quán)限B、詳述審計目標C、包括信息系統(tǒng)審計計劃D、提出企業(yè)的IT戰(zhàn)略參考答案：A89.以下哪項是確保組織政策符合法律要求的最佳方式?A、在每項政策中包含全面法律聲明B、由相關(guān)領(lǐng)域?qū)＜叶ㄆ趯彶镃、每年由高級管理人員簽字并認可組織政策D、根據(jù)最嚴格的法規(guī)調(diào)整政策參考答案：B90.以下哪項是控制自我評估方法的屬性?A、廣泛的利益相關(guān)方參與度B、審計師是主要的控制分析人員C、有限的員工參與度D、政策驅(qū)動參考答案：A91.以下哪項是檢查性控制?A、備份程序B、對輸入數(shù)據(jù)執(zhí)行程序化檢查C、使用門禁卡訪問機房D、哈?？傆?散列總計驗證參考答案：D92.以下哪項可以最好的證明控制的有效性?A、控制矩陣B、控制測試的結(jié)果C、和管理層的面談交流D、控制自我評估S參考答案：B93.以下哪項加密算法選項會增加開銷/成本?A、使用對稱加密，而不是非對稱加密B、使用加長的非對稱式加密密鑰C、加密的是哈希而非消息D、使用密鑰參考答案：B94.以下哪項對數(shù)字證書生命周期進行管理，以確保與電子商務有關(guān)的數(shù)字簽名應用程序中存在足夠的安全性和控制?A、注冊機構(gòu)B、認證機構(gòu)C、證書撤銷清單（RL）D、認證實施細則參考答案：B95.以下哪個選項中的信息與積極主動地加強安全設置最相關(guān)?A、防御主機B、入侵檢測系統(tǒng)C、蜜罐D(zhuǎn)、入侵防御系統(tǒng)參考答案：C96.以下哪個選項可用于自動確保在處理過程中使用適當?shù)臄?shù)據(jù)文件?A、文件標題記錄B、使用版本號C、奇偶校驗D、文件安全控制參考答案：A97.以下哪個選項可被執(zhí)行審計的信息系統(tǒng)審計師評估為預防性控制?A、交易日志B、前后圖像報告C、表格查找D、跟蹤和標記參考答案：C98.以下哪個可用于確定恢復順序?A、IB、風險評估C、P測試結(jié)果D、RP測試結(jié)果參考答案：A99.已定義和完成的系統(tǒng)交付成果是新業(yè)務系統(tǒng)應用能夠成功完成和實施的保證，該交付成果應由誰審查和批準?A、用戶管理人員B、項目督導委員會C、高級管理員D、質(zhì)量保證人員參考答案：A100.一位信息系統(tǒng)審計師在審查一系列已完成的項目時發(fā)現(xiàn)，實現(xiàn)的功能常常超出需求，而且多數(shù)項目大幅超出預算。組織的項目管理流程中的哪個環(huán)節(jié)更有可能引發(fā)這一問題?A、項目范圍管理B、項目時間管理C、項目風險管理D、項目采購管理參考答案：A101.一名IS審計師正在審查某企業(yè)的系統(tǒng)開發(fā)測試政策。在以下有關(guān)使用生產(chǎn)數(shù)據(jù)進行測試的陳述中，此IS審計師會認為哪項最恰當？A、必須經(jīng)高級IS和業(yè)務管理層批準使用后，生產(chǎn)數(shù)據(jù)才能用于測試。B、只要將生產(chǎn)數(shù)據(jù)復制到安全的測試環(huán)境中，就可使用。C、決不能使用生產(chǎn)數(shù)據(jù)。必須基于書面的測試案例準備所有測試數(shù)據(jù)D、如果簽署了保密協(xié)議，便可使用生產(chǎn)數(shù)據(jù)。參考答案：A102.業(yè)務流程再造（BPR）過程中IT可協(xié)助A、職責分離B、總擁有成本C、集中于增值任務D、使任務流程化參考答案：D103.要對訪問敏感信息的數(shù)據(jù)庫用戶實施問責制，以下哪項控制措施最有效?A、實施日志管理流程B、實施雙因素認證C、使用表視圖訪問敏感數(shù)據(jù)D、將數(shù)據(jù)庫服務器與應用程序服務器分開參考答案：A104.信息系統(tǒng)審計師最有可能以什么身份查看應用哈希函數(shù)?A、﹀身份認證B、識別C、授權(quán)D、加密參考答案：A105.信息系統(tǒng)審計師正在審查外包客戶服務部門的服務管理，以下哪一項最能表明服務提供商執(zhí)行此職能的效能?A、客戶滿意度評級B、有效通話次C、工單平均時長D、通話記錄審查參考答案：A106.信息系統(tǒng)審計師正在審查某企業(yè)資源規(guī)劃應用程序的變更管理流程。以下哪項是測試程序變更的最佳方法?A、選擇變更憑單的樣本并審查其授權(quán)B、通過從始至終跟蹤程序變更，執(zhí)行瀏覽審查C、跟蹤已修改程序的樣本，以支持變更憑單D、使用查詢軟件分析所有變更憑單，看看是否有遺漏的字段參考答案：C107.信息系統(tǒng)審計師正在評估某組織的IT治理框架。以下哪一項最值得關(guān)注?A、高級管理人員的有限參與B、未衡量投資回報率C、IT成本的分攤不一致D、風險偏好未量化參考答案：A108.信息系統(tǒng)審計師正在規(guī)劃如何評估與自動化記賬流程相關(guān)的控制設計有效性。以下哪項是審計師可以采用的最有效的方法?A、面談B、問詢C、重新執(zhí)行D、瀏覽審查參考答案：D109.信息系統(tǒng)審計師正在分析應用程序的系統(tǒng)日志中記錄的訪問采樣。如果發(fā)現(xiàn)異常，就會啟動深入調(diào)查，適合使用哪種抽樣方法呢?A、發(fā)現(xiàn)抽樣B、判定抽樣C、變量抽樣D、分層抽樣參考答案：A110.信息系統(tǒng)審計師正在對某金融機構(gòu)使用的災難恢復熱備援中心執(zhí)行審查。以下哪一項是最值得關(guān)注的問題?A、系統(tǒng)管理員使用在熱備援中心永不過期的共享賬戶B、未及時更新磁盤空間使用數(shù)據(jù)C、熱備援中心的物理安全控制不如主站點穩(wěn)固D、熱備援中心的服務器與主站點的服務器規(guī)格不同參考答案：B111.信息系統(tǒng)審計師正計劃對企業(yè)的風險管理實踐進行審計。以下哪一項提供有關(guān)風險偏好的最有用信息？A、之前的審計報告B、風險政策C、風險評估D、管理層的主張參考答案：D112.信息系統(tǒng)審計師在實施后審查時應該最關(guān)心以下哪一項？A、系統(tǒng)開發(fā)延遲了兩個星期。B、系統(tǒng)沒有維護計劃。C、系統(tǒng)包含三個輕微的缺陷。D、系統(tǒng)超出了預算25%。參考答案：B113.信息系統(tǒng)審計師在審核與新數(shù)據(jù)丟失防護工具相關(guān)的控制設計時，發(fā)現(xiàn)將配置該工具在大型文件通過電子郵件發(fā)送至公司外部時，系統(tǒng)會向IT管理人員發(fā)出警報。以下什么類型的控制將會被測試?A、糾正B、指示C、檢測D、預防參考答案：C114.信息系統(tǒng)審計師在審查一家組織的身份認證控制時最應關(guān)注的是：A、是否有用戶賬戶在5次嘗試失敗后未被鎖定B、員工是否可以在定義的時間范圍內(nèi)重復使用密碼C、系統(tǒng)管理員是否使用共享登錄憑證D、密碼是否不會自動過期參考答案：C115.信息系統(tǒng)審計師在審查某應用程序是否符合信息隱私保護原則時，應該最關(guān)注以下哪項？A、完整性B、不可抵賴性C、可用性D、信息收集限制參考答案：D116.信息系統(tǒng)審計師在核實某互聯(lián)網(wǎng)服務提供商（ISP）是否遵循外包電子通信服務可用性的企業(yè)服務水平協(xié)議時，A、由ISP生成的電信服務故障報告B、由企業(yè)生成的自動故障轉(zhuǎn)移服務使用情況報告C、由ISP提供的寬帶使用情況報告D、由企業(yè)生成的電信服務故障報告參考答案：D117.信息系統(tǒng)審計師應使用下列哪項來檢測發(fā)票主文件中是否存在重復的發(fā)票記錄?A、屬性抽樣B、計算機輔助審計技術(shù)C、符合性測試D、集成測試設施參考答案：B118.信息系統(tǒng)審計師應該會在下列哪一個SDLC階段，發(fā)現(xiàn)控制措施已集成到系統(tǒng)規(guī)范中?A、實施B、設計C、開發(fā)D、可行性研究參考答案：B119.信息系統(tǒng)審計師審查服務水平協(xié)議（SLA）時，應對以下哪個問題最關(guān)注?A、異常報告導致的服務調(diào)整需要一天的實施時間B、用于服務監(jiān)控的應用程序日志過于復雜，導致審查非常困難C、服務衡量方式未包括在SL中D、文檔每年更新一次參考答案：C120.信息系統(tǒng)審計師發(fā)現(xiàn)某企業(yè)對一些廢棄的硬盤驅(qū)動器未使用能合理確保數(shù)據(jù)無法恢復的方式進行清理。另外，該企業(yè)沒有關(guān)于數(shù)據(jù)處理的書面政策。該信息系統(tǒng)審計師應該首先：A、起草一份審計結(jié)果，并與主管審計師討論B、判斷硬盤驅(qū)動器上信息的敏感性C、與IT經(jīng)理討論有關(guān)數(shù)據(jù)廢棄的良好實踐D、為該企業(yè)制定相應的數(shù)據(jù)廢棄政策參考答案：B121.信息系統(tǒng)審計師發(fā)現(xiàn)安全運營團隊在與員工的通信中包含了最近攻擊的詳細報告。以下哪一項是這一情況的最大擔憂?A、員工可能會濫用或傳播報告中的信息B、沒有采用書面化的方式來傳達報告C、沒有技術(shù)專業(yè)背景的員工不理解該報告D、員工可能未能了解威脅的嚴重性參考答案：A122.信息系統(tǒng)審計師發(fā)現(xiàn)，有長達6個多月時間末在關(guān)鍵服務器上安裝要求的安全補丁程序。下一個行動步驟應該是：A、審查補丁管理程序。B、將審計發(fā)現(xiàn)通知高級管理層。C、請求盡快安裝補丁程序。D、確定延遲安裝補丁的根本原因。參考答案：D123.信息系統(tǒng)審計師發(fā)現(xiàn)，公司管理層鼓勵員工為業(yè)務目的而使用社交網(wǎng)站。以下哪一項建議最有助于減少數(shù)據(jù)泄露風險?A、監(jiān)控員工對社交網(wǎng)站的使用B、對保密數(shù)據(jù)建立強大的訪問控制C、為員工提供使用社交網(wǎng)站的培訓和指南D、要求員工簽署政策確認和保密協(xié)議參考答案：C124.信息系統(tǒng)的實施前審查以確定是否投產(chǎn)準備就緒，IS審計師最需要關(guān)注什么?A、效益是否經(jīng)過證實。B、是否存在未解決的高風險項目C、用戶是否參與了Q測試D、項目是否符合預算和目標日期參考答案：B125.項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大?A、未滿足用戶需求B、項目關(guān)鍵路徑改變C、超出預算D、項目延遲完成參考答案：A126.相比傳統(tǒng)審計,進行控制自我評估的主要優(yōu)勢是什么?A、它能夠更早地檢測到風險B、它能夠取代內(nèi)部審計職能C、它能夠減輕審計工作量D、它能夠減少審計資源需求參考答案：A127.下面哪一項最可能包括在實施后審查中？A、項目測試數(shù)據(jù)集B、項目結(jié)果C、實時處理結(jié)果D、項目實施方法參考答案：B128.下面哪一項是最佳的數(shù)據(jù)完整性檢查？A、將數(shù)據(jù)追溯至源點B、計算每天處理的交易量C、準備和運行測試數(shù)據(jù)D、執(zhí)行連續(xù)性檢查參考答案：A129.下面哪一項措施是防止非授權(quán)登錄最可靠的方法?A、加強現(xiàn)有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計算機D、安全自動密碼生成器參考答案：B130.下列哪種做法將最能確保具有永久重要性的歸檔電子資料，多年后還能隨時查詢？A、購買類似舊版本軟件的應用程序B、定期將數(shù)據(jù)轉(zhuǎn)移到采用當前的技術(shù)的系統(tǒng)中C、定期備份歸檔數(shù)據(jù)D、對舊硬件執(zhí)行預防維護參考答案：B131.下列哪種測試方法適用于業(yè)務連續(xù)性計劃?A、試點測試B、紙上測試C、單元測試D、系統(tǒng)測試參考答案：B132.下列哪一項有助于確保連接到數(shù)據(jù)的應用程序的可移植性?A、驗證數(shù)據(jù)庫導入導出流程B、使用結(jié)構(gòu)化查詢語言C、分析存儲過程/觸發(fā)器D、將實體關(guān)系模型與數(shù)據(jù)庫物理模型進行同步參考答案：B133.下列哪一項是制定網(wǎng)絡服務的服務水平的協(xié)議（SLA）所面臨的挑戰(zhàn)？A、減少網(wǎng)絡入口（entrypoint）數(shù)量B、建立設計良好的網(wǎng)絡服務框架C、找到能夠正確衡量的性能指標D、確?？蛻粑葱薷木W(wǎng)絡組件參考答案：C134.下列哪一項是企業(yè)災難冷備（互惠協(xié)議）的最大風險是？A、網(wǎng)絡基礎(chǔ)設施B、硬件組件的可用性C、電源連接D、適當?shù)沫h(huán)境控制參考答案：B135.下列哪一項能夠最有效地保護數(shù)據(jù)中心的信息資產(chǎn)不被供應商竊取A、監(jiān)控并限制供應商的活動B、給供應商發(fā)放訪問卡C、隱藏數(shù)據(jù)設備和信息標簽D、限制使用便捷式和無線設備參考答案：A136.下列哪一項對信息安全管理系統(tǒng)的成功最為關(guān)鍵?A、信息安全與IT目標的統(tǒng)一B、用戶對信息安全的責任確立C、管理部門對信息安全的承諾D、業(yè)務與信息安全的集成參考答案：C137.下列哪項最能表明安全角色和責任在整個企業(yè)都得到有效落實?A、業(yè)務活動符合策略的規(guī)定B、用戶簽署了保密協(xié)議C、安全策略的出臺和發(fā)布D、定期審查病毒更新策略參考答案：A138.系統(tǒng)內(nèi)并發(fā)輸入數(shù)據(jù)，如果系統(tǒng)控制不佳，將影響數(shù)據(jù)的（）?A、可用性B、保密性C、完整性D、不可否認性參考答案：C139.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類型的檢查A、有效性檢查B、完整性檢查C、存在性檢查D、可排除參考答案：A140.未經(jīng)良好設計的數(shù)據(jù)中心可能遭受尾隨，最好的措施?A、雙因素認B、雙重門認證C、）生物識別D、安全教育參考答案：D141.為確保法庭采信日志信息，最需要以下哪一項衡量標準?確保數(shù)據(jù)：A、具有獨立的時間戳B、由多個記錄系統(tǒng)記錄C、經(jīng)過最安全的加密算法加密D、經(jīng)過驗證，以確保日志的完整性參考答案：D142.為驅(qū)動問責制以實現(xiàn)在IT項目利益實現(xiàn)計劃中的預期結(jié)果，應采取以下哪項措施A、確保項目經(jīng)理擁有正式的權(quán)限來管理利益實現(xiàn)計劃B、確保IT部門對收益實現(xiàn)計劃哥個方面的交付和跟蹤負責C、記錄該項目與同一計劃中其他項目之間的相依性D、為計劃中每個已識別的利益分配職責、措施和時間表參考答案：D143.為了提升大型企業(yè)的信息安全培訓意識，以下哪項是最好的措施?A、確保制定培訓計劃B、培訓需要安排考試C、所有員工使用同一份課程進行培訓D、分角色等級分別設計課程參考答案：D144.為了進行適當協(xié)調(diào),以下哪項業(yè)務連續(xù)性計劃測試需要危機管理/響應團隊的相關(guān)成員的參與?A、桌面測試B、功能測試C、全面測試D、桌上檢查參考答案：A145.為了節(jié)省成本，公司使用控制較弱的應用程序來管理非關(guān)鍵流程，但是管理層每周審查日志以發(fā)現(xiàn)潛在的可疑活動，這是屬于什么類型的控制?A、預防性控制B、補償性控制C、檢測性控制D、糾正性控制參考答案：B146.為了給客戶提供更快的查詢，數(shù)據(jù)庫管理員刪除了引用完整性，以下哪項能夠彌補刪除引用完整性所帶來的問題？A、定期檢查表的鏈接B、更加頻繁的備份數(shù)據(jù)C、對數(shù)據(jù)庫實施性能監(jiān)控參考答案：A147.為了幫助管理人員實現(xiàn)IT與業(yè)務保持一致性的目標，信息系統(tǒng)審計師應當建議使用：A、控制自我評估B、業(yè)務影響分析C、IT平衡計分卡D、業(yè)務流程再造參考答案：C148.為了幫助董事會履行IT治理職責，IT指導委員會應該：A、制定項目跟蹤的IT政策和措施B、將注意力集中在IT服務和產(chǎn)品的供應上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略參考答案：D149.為減輕API查詢公開數(shù)據(jù)的風險，以下哪項考慮因素最重要?A、數(shù)據(jù)完整性B、數(shù)據(jù)質(zhì)量C、數(shù)據(jù)最小化D、數(shù)據(jù)保留參考答案：C150.為防止在共享打印機上打印的保密文檔泄露，應該采用以下哪種方法?A、加密用戶計算機和打印機之間的數(shù)據(jù)流B、文件標題頁抬頭標識密級C、要求授權(quán)用戶在將文檔發(fā)送到打印機之前提供密碼D、在打印結(jié)果輸出之前，要求先在打印機上輸入密碼參考答案：D151.為防止在共享打印機上打印的保密文檔泄露，應該采用以下哪種方法？A、加密用戶計算機和打印機之間的數(shù)據(jù)流B、使用已打印文檔的密級生成標題頁C、要求授權(quán)用戶在將文檔發(fā)送到打印機之前提供密碼D、在打印結(jié)果輸出之前，要求現(xiàn)在打印機上輸入密碼參考答案：D152.為防止未授權(quán)的變更被移入生產(chǎn)環(huán)境，最有效方式是以下哪一項?A、徹底測算測試環(huán)境中的變更B、強制在開發(fā)人員和遷移者之間進行職責分離C、需要業(yè)務流程所有者批準變更D、定期審查變更請求，以確保所有變更文件記錄在附件中參考答案：B153.網(wǎng)站證書的主要目的是:A、驗證要瀏覽的網(wǎng)站B、驗證瀏覽站點的用戶C、阻止黑客瀏覽網(wǎng)站D、與數(shù)字證書的目的相同參考答案：A154.同時有內(nèi)部、外部兩個審計團隊對高風險的業(yè)務進行審計，應該如何才能達到最有效率的安排審計模式A、內(nèi)部審計利用外部審計的結(jié)果進行測試B、外部審計利用內(nèi)部審計的結(jié)果進行測試C、兩者同時進行測試參考答案：A155.提交了審計報告，部門未整改，應該？A、報告管理層B、評估影響C、重新驗證審計發(fā)現(xiàn)參考答案：A156.數(shù)字簽名的使用:A、需要使用一次性密碼生成器B、可對消息進行加密C、可驗證消息的來源D、可確保消息的機密性參考答案：C157.數(shù)據(jù)中心環(huán)境控制審計可能包括以下哪一項審查?A、有權(quán)進入數(shù)據(jù)中心的人員名單B、應急出口的報警系統(tǒng)C、數(shù)據(jù)中心的訪問日志D、天花板上沒有濕管參考答案：D158.數(shù)據(jù)遷移計劃的第一步是？A、創(chuàng)建數(shù)據(jù)轉(zhuǎn)換腳本B、審查業(yè)務流程的決策C、對數(shù)據(jù)庫進行數(shù)據(jù)清洗D、了解新系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)參考答案：D159.數(shù)據(jù)庫重組的目的是？A、縮短同時更新時間和索引驗證B、減少反問恢復和恢復次數(shù)C、消除重復內(nèi)容并進行數(shù)據(jù)備份D、改進數(shù)據(jù)訪問和檢索次數(shù)參考答案：D160.數(shù)據(jù)庫管理員提議，可通過使某些表非規(guī)范化來提高數(shù)據(jù)庫效率。這將導致：A、機密性丟失B、冗余度增加C、未經(jīng)授權(quán)的訪問D、應用程序出現(xiàn)故障參考答案：B161.數(shù)據(jù)庫管理員檢測到某些表存在性能問題，這些問題可通過非規(guī)范化解決。這種情況將增加以下哪種風險?A、并發(fā)訪問B、死鎖C、對數(shù)據(jù)的未經(jīng)授權(quán)訪問D、失去數(shù)據(jù)完整性參考答案：D162.使用數(shù)字簽名的主要原因A、機密性B、完整性C、可用性D、實效性參考答案：B163.使用加密的備份磁帶時，最應關(guān)注A、加密密鑰丟失B、備份磁帶的物理安全性C、與將來軟件版本不兼容D、加密過程造成數(shù)據(jù)不準確參考答案：A164.實施后審查的主要目標是驗證系統(tǒng)：A、實現(xiàn)了設定的目標B、與業(yè)務策略一致C、在生產(chǎn)環(huán)境中穩(wěn)定運行。D、有用戶文檔支持。參考答案：A165.生物訪問控制的錯誤拒絕率最高A、虹膜識別B、指紋C、面部識別D、視網(wǎng)膜識別參考答案：C166.審計業(yè)務連續(xù)性計劃（BCP）期間，某信息系統(tǒng)審計師發(fā)現(xiàn)，盡管所有部門在同一建筑物中辦公，但是每個部門都有各自獨立的BCP。該信息系統(tǒng)審計師建議協(xié)調(diào)BCP。應該首先協(xié)調(diào)以下哪一個領(lǐng)域?A、疏散計劃B、恢復優(yōu)先級C、備份存儲D、呼叫樹參考答案：A167.審計新應用系統(tǒng)的持續(xù)運行計劃的最佳時間是？A、交接給系統(tǒng)維護部門之前B、上線后立即進行C、系統(tǒng)需求階段D、成功進行用戶測試之后參考答案：C168.審計新的應用系統(tǒng)，審計師要最主要考慮：A、風險分析B、成本效益分析C、項目可行性分析D、業(yè)務影響分析參考答案：A169.審計委員會已經(jīng)完成審計日程表，審計師團隊已經(jīng)對項目進行部分審計，執(zhí)行層提出對新項目進行審計，審計師團隊沒有足夠的資源進行額外審計，可選擇方式進行：A、申請修改審計日程B、拒絕C、申請把當前審計計劃安排到下一期開展D、批準加班，把工作完成參考答案：A170.審計完某個組織的災難恢復計劃流程后，信息系統(tǒng)審計師請求與組織管理層開會討論審查結(jié)果。以下哪項最能描述此次會議的主要目標?A、獲得管理層對糾正措施計劃的批準B、確認審查結(jié)果的事實準確性C、協(xié)助管理層實施糾正措施D、確認項目解決方案的優(yōu)先級參考答案：B171.審計師在設計階段應該評估A、開發(fā)方法B、應用功能C、兼容性D、是否有自動控制參考答案：D172.審計師關(guān)注UAT測試的重點是？A、已完成應用程序接口測試B、已完成系統(tǒng)集成測試C、業(yè)務流程所有者簽字確認測試結(jié)果。參考答案：C173.審計師發(fā)現(xiàn)一名前員工仍舊可以訪同應用程序。原來審計發(fā)現(xiàn)，有60名前員工可以訪問多個應用程序，并且不包括在這次審計發(fā)現(xiàn)的這個員工。以下哪一項是最何時報告?A、報告刪除離職員工訪問權(quán)限的過程無效B、報告先前的發(fā)現(xiàn)已解決，但發(fā)現(xiàn)了新的問題C、報告離職員工有權(quán)訪問應用程序D、報告先前的審計發(fā)現(xiàn)已得到補救參考答案：A174.審計師發(fā)現(xiàn)開發(fā)項目的范圍被顯著縮減，下列哪一項是審計師此時應采取的最重要行動？A、確認相關(guān)部門和管理層范圍縮小的事實B、確認IT成本是否已降低C、是否已經(jīng)采用了管理成熟度等級D、是否對關(guān)鍵控制的影響參考答案：A175.審計師抽樣時，一個案例超過平均值5倍，下一步怎么做?A、增加總體100%抽樣B、報告高管C、詢問被審計人員差異D、按原方法和抽樣標準實施參考答案：C176.審計軌跡的主要目的是：A、改善用戶響應時間B、確定已處理交易的問責制度C、提高系統(tǒng)的操作效率D、為想要跟蹤交易的審計師提供信息參考答案：B177.審查新成立的CallCenter內(nèi)的控制時，首先應A、評估與風險中心有關(guān)的操作風險B、測試呼叫中心的技術(shù)基礎(chǔ)設施C、從客戶那里收集服務響應時間和服務質(zhì)量的信息D、審查呼叫中心的人工和自動控制參考答案：A178.審查無線網(wǎng)絡安全性的信息系統(tǒng)審計師確定所有無線訪問點上都禁用了動態(tài)主機配置協(xié)議。這種做法：A、減少網(wǎng)絡的未授權(quán)的訪問風險B、不適用小型網(wǎng)絡C、自動向任何人提供IP地址D、增加與無線加密協(xié)議（WEP）相關(guān)的風險參考答案：A179.審查網(wǎng)絡安全，以下哪項最值得關(guān)注A、硬件未全部記錄到清單中B、防火墻政策未被安全官審批C、防火墻政策未記錄D、什么政策未記錄，記不清了參考答案：B180.什么影響DRP?（信息系統(tǒng)審計師檢查恢復策略的充分性主要檢查下列哪個因素?）A、BIAB、RTOC、RPO參考答案：A181.什么能確保IT部門充分履行的他們的職能？A、審計章程B、確保IT策略在公司內(nèi)部被充分共享C、為業(yè)務構(gòu)建流程圖D、審計委員會會議記錄參考答案：C182.設計應對潛在自然災害的數(shù)據(jù)備份策略時，以下哪一項最有幫助？A、恢復點目標（RPO）B、需要備份的數(shù)據(jù)量C、數(shù)據(jù)備份技術(shù)D、恢復時間目標（RTO）參考答案：A183.軟件托管協(xié)議會涉及處理以下哪種情況?A、系統(tǒng)管理員要求訪問軟件以執(zhí)行災難恢復B、用戶請求將軟件重新加載到備用硬盤C、定制軟件供應商倒閉D、信息系統(tǒng)審計師要求訪問組織編寫的軟件代碼參考答案：C184.入侵檢測系統(tǒng)（IDS）可以起到哪些作用?A、代替防火墻B、調(diào)查網(wǎng)絡內(nèi)部攻擊C、彌補身份驗證機制的不足D、提供增強安全基礎(chǔ)設施的保障信息參考答案：D185.如何確保審計師在控制自我評估中的獨立性?A、設計CSA調(diào)查問卷B、參與其中C、監(jiān)督并提供整改意見D、評估CSA調(diào)查問卷參考答案：C186.如何充分驗證定期備份的及時性與有效性?A、訪談關(guān)鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運行的執(zhí)行情況參考答案：B187.如果在審計程序的初始階段沒有建立審計目標，那么以下哪一項最令人擔憂?A、未能正確識別關(guān)鍵利益相關(guān)方B、控制成本將超出計劃的預算C、重要業(yè)務風險可能被忽視D、以前審計過的領(lǐng)域可能被無意識中包括在內(nèi)參考答案：C188.認證機構(gòu)（CA）作為第三方的作用是：A、基于認證提供安全的通信和網(wǎng)絡服務B、管理由該頒布并具有相應公鑰和私鑰的證書庫C、擔當兩個通信伙伴之間的受信任中介D、確認擁有該所頒發(fā)證書的實體身份參考答案：D189.確定配置應用程序的內(nèi)部安全控制是否符合組織安全標準的最佳測試是哪個？A、安全報告的可用性和頻率B、業(yè)務應用程序的安全參數(shù)設置C、IDS的日志D、應用程序的用戶賬戶和密碼參考答案：B190.確保從遠程位置傳到生產(chǎn)倉庫的所有訂單都準確和完整接收的最適當控制是：A、發(fā)送并核對交易記錄數(shù)量和匯總交易總數(shù)。B、跟蹤并計算銷售訂單編號的連續(xù)性。C、驗證奇偶校驗是否仍然有效。D、將數(shù)據(jù)傳回發(fā)源地，然后進行比對參考答案：A191.企業(yè)信息系統(tǒng)目標的最佳來源是什么?A、信息安全管理部門B、業(yè)務流程所有者C、IT管理部門D、最終用戶參考答案：B192.企業(yè)使用IASS（基礎(chǔ)設施及服務）進行IT管理，誰應該負責操作系統(tǒng)安全A、企業(yè)B、云服務商C、操作系統(tǒng)提供商D、企業(yè)和云服務商參考答案：A193.企業(yè)開發(fā)系統(tǒng)有4個模塊，最后一個涉及將數(shù)據(jù)更新至數(shù)據(jù)庫中，信息系統(tǒng)審計師應檢查什么A、實體關(guān)系圖B、配置數(shù)據(jù)庫管理C、變更管理D、數(shù)據(jù)流圖參考答案：D194.企業(yè)將某個系統(tǒng)部署到私有云的Issa，問誰為系統(tǒng)安全最終負責：A、企業(yè)B、企業(yè)和云供應商C、操作系統(tǒng)供應商D、云供應商參考答案：A195.企業(yè)購置了新的大容量存儲設備，將目前使用的替換下來，并且替換下來的用做恢復，以下審計師最擔心的是?A、未更新P和RPB、恢復站點的存儲能力能否足夠C、新設備和替換設備是否簽訂維護合同D、采購是否符合企業(yè)的策略和規(guī)定參考答案：B196.企業(yè)打算外包其信息安全之能，其中哪項不能外包只能留在企業(yè)內(nèi)？A、公司安全策略的責任B、制定公司安全策略C、實施公司安全策略D、制訂安全推進和指導參考答案：A197.企業(yè)部署了數(shù)據(jù)存儲硬件，IS審計師應審查哪一項以評估IT是否最大限度地利用了存儲和網(wǎng)絡?A、質(zhì)量管理系統(tǒng)B、日常和非日常作業(yè)時間表C、停機時間統(tǒng)計D、容量管理計劃參考答案：D198.評估與企業(yè)內(nèi)點對點文件共享相關(guān)的風險時，以下哪一項應該是信息系統(tǒng)審計師最大的擔憂?A、不是所有設備都運行了防病毒程序B、只有部分員工參加了安全意識培訓C、企業(yè)沒有有效的修補程序管理流程D、文件共享政策尚未進行過審查參考答案：B199.評估IT實際使用資源使用和計劃資源分配的一致性的技術(shù)是什么?A、掙得值分析（EV）B、投資回報分析（ROI）C、甘特圖D、關(guān)鍵路徑分析（P）參考答案：A200.內(nèi)部審計部門最近建立了一個質(zhì)量保證（QA）計劃。質(zhì)量保證計劃要求包括以下哪一項最重要?A、從內(nèi)部審計員工獲得反饋B、分析各條業(yè)務線的用戶滿意度報告C、定期對計劃進行外部評估D、對計劃進行長期內(nèi)部審計資源規(guī)劃參考答案：A201.哪種控制在跨網(wǎng)絡傳輸中有效檢測數(shù)據(jù)意外損壞A、順序檢查B、對稱加密C、奇偶校驗D、校驗（數(shù)字）位參考答案：D202.哪一種類型的攻擊針對web應用程序中的安全漏洞以獲得對數(shù)據(jù)集的訪問權(quán)限?A、RootkitB、拒絕服務（DoS）C、SOL注入D、網(wǎng)絡釣魚（phishing）攻擊參考答案：C203.某組織通過銀行處理每周的薪資支付。工時表和薪資調(diào)整表（例如，時薪變更和離職）會在完成后提交到銀行，從而分配支票和報表做準備。以下哪種做法能夠最有效地確保薪資數(shù)據(jù)的準確性?A、將薪資報表與輸入表進行對比B、以手動方式重新計算薪資總額C、將支票與輸入表進行對比D、使支票與輸出報表保持一致參考答案：A204.某組織通過安全的有限網(wǎng)絡存儲和傳輸敏感的客戶信息。該組織另外亦已經(jīng)實施了一個無線局域網(wǎng)（WLAN），以解決一般目的的員工計算需要。少數(shù)具有WLAN訪問權(quán)限的員工也有訪問信息的合理業(yè)務理由。以下哪項是保證二網(wǎng)分離的最佳控制?A、建立兩個物理上分離的網(wǎng)絡B、實施虛擬局域網(wǎng)分區(qū)C、在兩個網(wǎng)絡之間安裝專用的路由器D、在兩個網(wǎng)絡之間安裝防火墻參考答案：D205.某組織的財務系統(tǒng)的災難恢復計劃規(guī)定，恢復點目標為零，并且恢復時間目標為72小時。下列哪一項是最具成本效益的解決方案?A、熱備援中心可在8小時內(nèi)投入使用，并對交易日志記錄進行異步備份B、對多個位置處的分布式數(shù)據(jù)庫系統(tǒng)進行異步更新C、對熱備援中心中的數(shù)據(jù)和備用系統(tǒng)進行同步更新D、對于可在24小時內(nèi)投入使用的溫備援中心，以遠程方式同步復制其中的數(shù)據(jù)參考答案：D206.某員工執(zhí)行計算機操作，并在必要時對程序加以修改，信息系統(tǒng)審計師應建議什么？A、應額外增加員工，以便進行職責分離B、應建立一套程序，以確保對計算機程序所作的更改得以識別和批準C、自動記錄對開發(fā)庫程序所作的修改D、訪問控制應禁止操作人員對程序加以修改參考答案：B207.某信息系統(tǒng)審計師正在為某大型跨國公司審查應用變更管理流程，他最擔心發(fā)生以下哪種情況?A、測試系統(tǒng)的運行配置與生產(chǎn)系統(tǒng)不一樣B、變更管理記錄為紙質(zhì)記錄C、配置管理數(shù)據(jù)庫未經(jīng)維護D、測試環(huán)境安裝在生產(chǎn)服務器上參考答案：C208.某信息系統(tǒng)審計師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個領(lǐng)域值得關(guān)注。以下哪個領(lǐng)域最重要?A、緊急斷電按鈕蓋不見了B、未執(zhí)行預定的滅火系統(tǒng)日常維護C、數(shù)據(jù)中心沒有安全攝像頭D、緊急出口被阻塞參考答案：D209.某信息系統(tǒng)審計師正在審查某家制造公司，并發(fā)現(xiàn)遠程站點的主機用戶通過Telnet經(jīng)互聯(lián)網(wǎng)連接到總部的主機上。以下哪一項提供最強的安全性?A、使用點對點租用線路B、使用防火墻規(guī)則，只允許該遠程站點的互聯(lián)網(wǎng)協(xié)議地址C、使用雙因素認證D、使用Telnet非標準端口參考答案：A210.某信息系統(tǒng)審計師正在審查風險管理流程。以下哪項是審查期間最重要的考慮事項?A、根據(jù)成本效益分析實施控制B、風險管理框架基于全球標準C、風險響應審批流程得到貫徹以D、業(yè)務術(shù)語說明IT風險參考答案：D211.某信息系統(tǒng)審計師想要確定管理用戶進出服務器機房的有效性。以下哪項能夠提供最佳的有效性證據(jù)?A、查看日志中記錄的事件B、審查流程手冊C、約談管理人員D、約談安全人員參考答案：A212.某信息系統(tǒng)審計師檢查了一個無窗機房，機房中有電話交換機和聯(lián)網(wǎng)設備以及文檔夾。該機房配有兩個手持滅火器———————一個是二氧化碳滅火器，另一個是鹵徑滅火器。下列哪一項應在信息系統(tǒng)審計師的報告中具有最高優(yōu)先級?A、移走鹵徑滅火器，因為鹵化物會對大氣臭氧層產(chǎn)生負面影響B(tài)、在密閉機房中使用時，兩種滅火器都有導致窒息的危險C、移走二氧化碳滅火器，因為二氧化碳對于固體可燃物（紙張）的滅火是無效的D、將文檔夾從設備機房中移走，從而降低潛在風險參考答案：B213.某位參與過組織業(yè)務連續(xù)性計劃（BCP）設計的信息系統(tǒng)審計師被指派審計該計劃。信息系統(tǒng)審計師應：A、拒絕接收任務B、完成審計任務后通知管理人員可能存在利益沖突C、開始執(zhí)行任務前通知P團隊可能存在利益沖突D、開始執(zhí)行任務前通知審計管理部門可能存在利益沖突參考答案：D214.某外部單位向?qū)徲嫀熕饕獙徲媹蟾?，審計師應該怎么?A、征得審計管理部門和被審單位同意后，提供審計報告B、征得審計管理部門同意后，提供審計報告C、征得被審單位同意后，提供審計報告D、直接提供審計報告參考答案：A215.某企業(yè)有兩個數(shù)據(jù)庫，為滿足管理層對數(shù)據(jù)庫高彈性的需求，應該A、第二個數(shù)據(jù)庫設立熱站B、兩個數(shù)據(jù)庫都可以單獨實現(xiàn)磁盤備份恢復C、兩個數(shù)據(jù)庫相互備份D、兩個數(shù)據(jù)庫互為鏡相參考答案：D216.某企業(yè)使用云計算服務提供商，為在線計費系統(tǒng)提供服務，客戶始終可以訪問該網(wǎng)站。驗證企業(yè)的業(yè)務需求得到滿足的最佳方式是什么?A、監(jiān)控與供應商的服務水平協(xié)議（SLA）B、要求供應商報告超過五分鐘的中斷C、調(diào)用審計權(quán)條款D、與供應商就定期的性能討論達成協(xié)議參考答案：A217.某企業(yè)發(fā)現(xiàn)重大數(shù)據(jù)安全漏洞，CEO要求詳細審計網(wǎng)絡安全，但由于近期企業(yè)架構(gòu)重組，審計部門只剩下幾位經(jīng)驗有限的審計師，信息系統(tǒng)審計經(jīng)理應該：A、將審計任務以最高優(yōu)先級列入下一年度的審計計劃B、聯(lián)系外部組織來實施審計C、派最資深的信息系統(tǒng)審計師完成審計任務D、接受審計任務，但推遲到進行了網(wǎng)絡安全技能培訓后再實施參考答案：B218.某企業(yè)IT部門嚴重依賴外包商來維護關(guān)鍵系統(tǒng)。為了解決收入下降的問題，董事會已決定將整個企業(yè)的所有外包商的預算減少30%.以下哪一項是IT領(lǐng)域的最大風險?A、關(guān)鍵系統(tǒng)可能得不到適當?shù)木S護B、最終用戶可能無法從其余IT員工那里獲得足夠的支持C、所需的軟件許可證預算可能不足D、外包商可能會在離開之前嘗試從關(guān)鍵系統(tǒng)中提取有價值的數(shù)據(jù)參考答案：D219.某批量交易作業(yè)在生產(chǎn)中操作失??；但在用戶驗收測試（UAT）中，同一作業(yè)卻未出現(xiàn)問題。生產(chǎn)批量作業(yè)分析顯示，它在UAT后經(jīng)過修改。將來減小這種風險的最佳途徑是以下哪一項？A、完善回歸測試案例。B、針對發(fā)布后的有限時間段啟用審計軌跡。C、執(zhí)行應用用戶訪問審查。D、確保開發(fā)人員在測試后無訪問權(quán)限進行編碼。參考答案：D220.某批量交易作業(yè)在生產(chǎn)中操作失敗，但在用戶驗收測試（UAT）中卻未出現(xiàn)問題。生產(chǎn)批量作業(yè)分析顯示，它在UAT后經(jīng)過修改。將來減少這種風險的最佳途徑是以下哪一個?A、完善回歸測試案例B、針對發(fā)布后的有限時間段啟用審計軌跡C、執(zhí)行應用用戶訪問審查D、確保開發(fā)人員在測試后無訪問權(quán)限進行編碼參考答案：D221.某公司正打算安裝一個基于網(wǎng)絡的入侵檢測新系統(tǒng)，用來保護其托管的網(wǎng)站。該設備應當安裝在哪里?A、在本地網(wǎng)絡上B、防火墻外C、在隔離區(qū)中D、在托管網(wǎng)站的服務器上參考答案：C222.某公司已將服務器環(huán)境虛擬化，而沒有對網(wǎng)絡或安全基礎(chǔ)設施進行其他任何更改。下列哪一項是最重大的風險?A、虛擬化平臺的漏洞影響多臺主機B、系統(tǒng)文檔未更新以反映對環(huán)境的更改C、網(wǎng)絡IS無法監(jiān)控虛擬服務器到服務器的通信D、數(shù)據(jù)中心環(huán)境控制措施與新的配置不相一致參考答案：C223.某公司實施了一套新的客戶端/服務器型企業(yè)資源規(guī)劃（ERP）系統(tǒng)。各地分支機構(gòu)會將客戶訂單傳動到中央生產(chǎn)設備。以下哪一項能夠最有效地確保準確處理這些訂單并生產(chǎn)相應的產(chǎn)品?A、對照客戶訂單驗證生產(chǎn)B、將所有客戶訂單計入ERP系統(tǒng)C、在訂單傳送過程中使用散列總計D、在生產(chǎn)之前審批（由生產(chǎn)監(jiān)督人員）訂單參考答案：A224.某公司實施了虛擬化，但是對網(wǎng)絡和安全基礎(chǔ)設施沒有變動，最容易造成哪種風險?A、IS檢測不了虛擬化到服務器的流量B、虛擬平臺的漏洞會影響多臺主機C、系統(tǒng)文檔未更新以反映環(huán)境的變更D、新的虛擬環(huán)境與原環(huán)境配置不同參考答案：B225.某IS審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留，對該IS審計師而言，以下哪一項最值得關(guān)注?A、最終用戶不知曉事故報告程序。B、日志服務器不在單獨的網(wǎng)絡上。C、未堅持進行備份。D、無監(jiān)管鏈政策。參考答案：D226.某IS審計師正在對某數(shù)據(jù)中心的災難恢復（DR）程序進行審查。表明該程序符合要求的最佳指標是以下哪一項？A、記錄在案的程序經(jīng)過管理層批準。B、程序經(jīng)過審查，并與行業(yè)良好實踐進行過比較。C、用該程序進行過桌面演練。D、恢復團隊及其職責已記錄在案。參考答案：C227.離場面談過程中，如果對于審計發(fā)現(xiàn)可能產(chǎn)生的影響存在分歧，信息系統(tǒng)審計師應該：A、要求受審單位簽署豁免協(xié)議書并承擔全部法律責任B、詳細闡述審計發(fā)現(xiàn)的重要性以及不予糾正可能產(chǎn)生的風險C、將不同意見報告給審計委員會以尋求解決方案D、接受受審方觀點，因為他們才是流程所有者參考答案：B228.了解一個操作系統(tǒng)的安全配置的最佳方式是：A、學習供應商的安裝手冊。B、檢查系統(tǒng)安全計劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動配置的參數(shù)。參考答案：D229.可以駐留在WEB服務器上的功能?A、監(jiān)控的主機數(shù)量B、流量分析C、發(fā)送接受警合D、啟動關(guān)閉服務器參考答案：B230.考想到有一個重大的數(shù)服安金器網(wǎng)，通席執(zhí)行育（CEO）要計對網(wǎng)絡安全功械進行件的電計，但是，最近的組織經(jīng)組使得信息系統(tǒng)審計部門儀制下了經(jīng)驗有限的幾名成員，信息系統(tǒng)市計經(jīng)理股該采取的最佳做法是：A、聯(lián)系外部相憑來進行審計，B、接受這項市計任務，得是推延到進行了網(wǎng)絡知識培訓后再進行。C、將這項市計工作以絕對優(yōu)先級列入下一年度的市計計劃中。D、將最資深的信息系統(tǒng)審計員委派到網(wǎng)絡安全審計中。參考答案：A231.開發(fā)人員對薪資系統(tǒng)中的數(shù)據(jù)字段做了未經(jīng)授權(quán)的變更。下列哪一種控制弱點最可能導致該問題?A、程序設計人員有權(quán)訪問生產(chǎn)程序。B、工資文件不受程序庫管理員控制。C、可排除D、程序設計人員沒有讓用戶參與測試。參考答案：A232.將業(yè)務連續(xù)性計劃整合到信息技術(shù)項目管理中有助于：A、測試業(yè)務連續(xù)性要求B、開發(fā)更全面的要求C、制定交易流程圖D、確保應用程序滿足用戶需求參考答案：B233.檢測到服務器的實際使用量遠遠小于計劃，以下哪項措施可以改進服務器的可用性?A、系統(tǒng)的停機日志B、容量規(guī)劃C、服務器的配置D、執(zhí)行流量負載均衡參考答案：B234.計算機房中安裝了一套火警系統(tǒng)，火警控制面板的最有效放置是位于：A、距離UPS最近的機房中。B、系統(tǒng)管理員的辦公室中。C、距服務器最近的機房中。D、大廈保安人員值班室。參考答案：D235.回歸測試的概念：在更改系統(tǒng)中某個程序的功能之后，需要對系統(tǒng)進行回歸測試，其目的是：A、所作的更改是否對系統(tǒng)產(chǎn)生了負面影響。B、更改后的程序是否按照新的程序設計運行。C、更改后的程序是否按照用戶要求的更改來運行。D、效率效能相關(guān)的選項（可排除）參考答案：A236.懷疑一個用來處理數(shù)據(jù)的PC，被用于針對財務部門的舞弊，應首先向誰報告A、業(yè)務管理部門B、警察C、審計委員會D、審計管理部門參考答案：C237.衡量災難恢復計劃有效性中業(yè)務恢復的最佳途徑是A、定義恢復點目標RPOB、業(yè)務影響分析BIAC、模擬災難恢復D、評估與功能成熟度模型的差距參考答案：C238.規(guī)劃審計時，對重要性進行評估的作用是：A、可排除小錯誤的累計效應B、幫助審計集中在關(guān)鍵領(lǐng)域C、在審計測試完成時告知審計師D、集中于財務方面的項目參考答案：B239.管理層通過員工調(diào)查問卷結(jié)果判斷關(guān)鍵控制失效，審計師應該A、建議增加相關(guān)員工B、建議增加控制C、檢查是否有補償控制參考答案：C240.雇員有意或無意將敏感信息通過郵件發(fā)送到外部，在實施郵件控制措施之前，首先最重要的是要做什么？A、安裝程序監(jiān)測郵件內(nèi)容和雇員活動B、實施數(shù)據(jù)分類C、與雇員簽署保密協(xié)議D、對郵件服務器進行加固參考答案：B241.供應商發(fā)布了修復軟件安全漏洞的修補程序。在這種情況下，信息系統(tǒng)審計師應建議執(zhí)行以下哪種操作?A、在安裝修補程序前對其影響進行評估B、請求供應商包含提供所有修復程序的新軟件版本C、立即安裝安全修補程序D、以后不再與這些供應商合作參考答案：A242.公司用了軟件即服務（saas）,在軟件供應商不再提供服務的情況下怎樣能保證可用性?A、復制這個軟件（大概是意思）B、把數(shù)據(jù)定期備份C、在網(wǎng)絡連接上做一個冗余D、第三方托管參考答案：D243.公司應該采取以下哪一項措施來估計災難的影響?A、分析功能成熟度模型差距B、開展業(yè)務影響分析（I）C、模擬災難恢復D、定義恢復點目標（RPO）參考答案：B244.公司請外部審計，對外部信息系統(tǒng)審計師的訪問權(quán)限應由以下哪項文件予以說明和授予?A、審計章程B、經(jīng)批準的工作說明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計工作開展的需求請求書參考答案：A245.公司采購項目，以下哪項是信息系統(tǒng)委員會的職責?A、項目計劃B、實施項目質(zhì)量管理制度C、風險管理D、問題管理參考答案：C246.根據(jù)以下哪一項能最能有效地確定數(shù)據(jù)分類類別？A、對個人身份數(shù)據(jù)不同的安全要求B、根據(jù)業(yè)務功能的關(guān)鍵性C、高級管理層處理的交易D、因丟失或泄漏數(shù)據(jù)對企業(yè)造成的影響參考答案：D247.高級管理層決定接受審計結(jié)果中識別的風險，以下哪一項能證明管理層充分平衡了業(yè)務需求和管理風險的需要A、有風險接受和處理的既定標準B、潛在影響和可能性已經(jīng)充分記錄C、向風險管理委員會報告識別的風險D、存在溝通計劃，向可能受風險影響的相關(guān)方進行了告知參考答案：A248.分散式信息安全職能的優(yōu)勢在于:A、提高合規(guī)性。B、更一致。C、提高響應能力。D、更客觀參考答案：C249.防止網(wǎng)絡被用作拒絕服務攻擊中的放大器的最佳過濾規(guī)則是拒絕所有：A、源地址在網(wǎng)絡外部的傳輸出流量B、被辨認出使用偽造IP源地址的傳入通信C、包含互聯(lián)網(wǎng)協(xié)議中所設置選項的傳入流量D、目標地址屬于關(guān)鍵主機的傳入流量參考答案：A250.防止服務器收到強力攻擊的最有效方法是：A、對服務器進行加固B、連續(xù)輸入三次錯誤鎖定C、更加復雜的密碼D、實施連續(xù)監(jiān)控參考答案：B251.發(fā)現(xiàn)共享用戶賬戶時，信息系統(tǒng)審計師要采取的最適當措施是：A、向?qū)徲嬑瘑T會告知潛在的問題B、審查有問題I的審計日志C、記錄發(fā)現(xiàn)并說明使用共享I的風險D、要求從系統(tǒng)中刪除這些I參考答案：C252.發(fā)送付款指令時,下列哪項有助于合適該指令不重復?A、使用加密哈希算法B、將消息摘要加密C、計算交易的檢驗和D、使用序號和時間戳參考答案：D253.發(fā)生災難時，什么是確保組織備份介質(zhì)充分備份的最佳方案？A、定期在測試環(huán)境中恢復生產(chǎn)系統(tǒng)B、有計劃的備份設備維護C、定期審查備份日志，以確保生產(chǎn)環(huán)境中的所有數(shù)據(jù)得到備份D、有計劃的備份介質(zhì)讀取/寫入測試（說明：D測試的是介質(zhì)的有效性，題干問的是介質(zhì)充分備份）參考答案：C254.發(fā)票上的賬單總金額每周自動傳輸?shù)狡髽I(yè)的賬戶總賬上，審計師發(fā)現(xiàn)總賬上缺少一周的賬單時，應該首先檢查以下哪一個領(lǐng)域A、年度對帳B、變更管理C、批處理控制D、模塊訪問權(quán)限參考答案：C255.對最近購買的系統(tǒng)進行實施后檢查時，最重要的是信息系統(tǒng)審計師要確定A、供應商產(chǎn)品是否已提供可行的解決方案B、項目利益相關(guān)者的預期是否已識別C、測試方案是否反映了運營活動D、是否已滿足用戶需求控制參考答案：D256.對遠程系統(tǒng)的程序變更請求進行測試時，信息系統(tǒng)審計師發(fā)現(xiàn)可用于抽樣的變更數(shù)量無法提供合理水平的鑒證。信息系統(tǒng)審計師最好地采取以下哪項措施?A、制定替代的測試程序B、向管理層報告發(fā)現(xiàn)的問題C、對變更管理流程執(zhí)行瀏覽審查D、創(chuàng)建額外的樣本數(shù)據(jù)，以測試額外的變更