1.正在對開始開發(fā)的某應(yīng)用執(zhí)行風(fēng)險評估。在建議安全控制之前，需要確定的最重要的內(nèi)容是什么?2.R01分析在IT決策過程中的一個好處是提供D、估計所有權(quán)的成本3.從風(fēng)險管理的角度，部署龐大且復(fù)雜的IT基B、按次序階段性的部署計劃C、原型化和單階部署D、在概念論證之后，全面迅速的部署4.以下哪一項能夠在實施之前最可以確定滿足業(yè)務(wù)需要A、可行性分析C、實施后審查D、實施計劃分析5.查看郵件的內(nèi)容是否被修改應(yīng)使用D、雙因素認(rèn)證6.企業(yè)信息系統(tǒng)目標(biāo)的最佳來源是什么?B、業(yè)務(wù)流程所有者C、IT管理部門7.審查網(wǎng)絡(luò)打印機(jī)處置的時候，審計師應(yīng)該最擔(dān)心的是什么?A、沒有足夠的證據(jù)表明處置的打印機(jī)的硬盤徹底清除B、業(yè)務(wù)部門直接將打印機(jī)交給了授權(quán)的供應(yīng)商處置C、未按照政策和方案規(guī)定來處置D、打印機(jī)放在不安全的區(qū)域8.以下哪一項控制最能防止互聯(lián)網(wǎng)嗅探器(Internetsniffer)進(jìn)行重放攻擊B、帶時間戳的數(shù)據(jù)加密技術(shù)C、正確配置的防火墻9.企業(yè)所在地的監(jiān)管發(fā)布了最新的關(guān)于PII(個人可標(biāo)識信息)的跨境數(shù)據(jù)轉(zhuǎn)移新規(guī)定，以下哪一項有可能需要重新進(jìn)行評估?A、企業(yè)薪資系統(tǒng)托管給外部云服務(wù)供應(yīng)商B、聘請海外IT顧問C、購買海外的網(wǎng)絡(luò)保險D、存儲PII數(shù)據(jù)的數(shù)據(jù)庫的加密情況10.信息系統(tǒng)審計師發(fā)現(xiàn)，公司管理層鼓勵員工為業(yè)務(wù)目的而使用社交網(wǎng)站。以下哪一項建議最有助于減少數(shù)據(jù)泄露風(fēng)險?A、監(jiān)控員工對社交網(wǎng)站的使用B、對保密數(shù)據(jù)建立強(qiáng)大的訪問控制C、為員工提供使用社交網(wǎng)站的培訓(xùn)和指南D、要求員工簽署政策確認(rèn)和保密協(xié)議A、制訂和實施信息安全標(biāo)準(zhǔn)手冊B、由信息系統(tǒng)審計師執(zhí)行全面的安全控制檢查C、采用公司信息安全政策聲明12..企業(yè)在考慮更換其電商平臺。以下哪一項是最好的啟動方式?C、發(fā)布采購訂單申請D、報價請求13.A4-141當(dāng)組織需要極小粒度的數(shù)據(jù)恢復(fù)點(在恢復(fù)點目標(biāo)中定義)時，以下哪種備份方法是適合的?B、基于磁盤的快照14.A4-72信息系統(tǒng)審計師應(yīng)當(dāng)審查以下哪一項，以確保服務(wù)器經(jīng)過最優(yōu)配置以支援處理要求?A、基準(zhǔn)指標(biāo)測試結(jié)果B、服務(wù)器日志D、服務(wù)器利用的數(shù)據(jù)15.哪個對降低從企業(yè)內(nèi)向外發(fā)電子郵件導(dǎo)致數(shù)據(jù)泄露風(fēng)險最有用?A、安裝軟件檢測電子郵件附件的數(shù)據(jù)分類B、執(zhí)行滲透測試和漏洞評估D、執(zhí)行自動化內(nèi)容檢查和監(jiān)控16.以下哪個工具模型可以優(yōu)化改進(jìn)持續(xù)改良計劃?B、平衡計分卡17.對于確定項目可行性而言，以下哪一項最重要?A、IT指導(dǎo)委員會已批準(zhǔn)項目。B、被批準(zhǔn)的業(yè)務(wù)案例中分析了項目價值。D、公司的主要競爭對手展開了一個類似項目。18.RO1(returnoninvestment投資回報率)分析在IT決策過程中的一個好處是提供A、分配間接成本的基礎(chǔ)C、分配財務(wù)資源的基礎(chǔ)D、估計所有權(quán)的成本19.以下哪一點可以最好地表明組織中實施了有效的IT治理?產(chǎn)用戶報告的某些問題。對于控制生產(chǎn)中未經(jīng)授權(quán)的變更，以下哪一項是好的補(bǔ)償性控制?D、在實施變更前，確保所有變更都經(jīng)過變更管理人員批準(zhǔn)24.如下哪個是進(jìn)行業(yè)務(wù)影響分析的最好方法?A、對主要業(yè)務(wù)相關(guān)者發(fā)布調(diào)查問卷D、咨詢相關(guān)專家25.A5-68執(zhí)行計算機(jī)取證調(diào)查時，對于收集到的數(shù)據(jù)，信息系統(tǒng)審計師最應(yīng)關(guān)注的是：C、對業(yè)務(wù)需求有更快的響應(yīng)D、各業(yè)務(wù)部門之間的IT協(xié)作29.審計報告指定了解決審計問題的責(zé)任人，下列哪一項最進(jìn)一步增強(qiáng)審計報告的有效性?B、監(jiān)督補(bǔ)救的審計人員C、補(bǔ)救的成本30.內(nèi)部審計的職責(zé)由以下哪一項明確A、審計計劃B、審計章程31.A5-44某信息系統(tǒng)審計師在審查網(wǎng)絡(luò)日志時發(fā)現(xiàn)，某員工通過調(diào)用任務(wù)計劃程序啟動受限的應(yīng)用，在其PC上運(yùn)行了高級命令。這是哪類攻擊的示例?32.如何確保審計師在控制自我評估中的獨(dú)立性?B、參與其中D、評估CSA調(diào)查問卷33.在瘦客戶端環(huán)境下最有可能會面臨以下哪個問題A、可用性34.IS審計師審查生產(chǎn)環(huán)境安裝補(bǔ)丁的管理流程，最應(yīng)關(guān)注：B、信息安全主管批準(zhǔn)D、系統(tǒng)安全員批準(zhǔn)35.A5-39在某銀行的信息系統(tǒng)審計期間，信息系統(tǒng)審計師正在評估該銀行是否合理管理職員對操作系統(tǒng)的訪問。該信息系統(tǒng)審計師應(yīng)確定該銀行是否執(zhí)行：A、用戶活動日志的定期審查B、系統(tǒng)級用戶授權(quán)驗證C、數(shù)據(jù)通信訪問活動日志的審查D、更改數(shù)據(jù)文件的定期審查36.A5-279在審查網(wǎng)絡(luò)設(shè)備的配置時，信息系統(tǒng)審計師應(yīng)該首先確定：B、是否缺少網(wǎng)絡(luò)組件C、網(wǎng)絡(luò)設(shè)備在拓?fù)渲械闹匾訢、網(wǎng)絡(luò)子組件的使用是否適當(dāng)A、多個公司發(fā)生災(zāi)難時，與中心員工協(xié)調(diào)(用戶同時出現(xiàn)故障用戶間互相協(xié)調(diào)能力)B、多個公司發(fā)生災(zāi)難時，數(shù)據(jù)中心是否可用(用戶同時出現(xiàn)故障的應(yīng)對處理能力)C、與其他組織簽互惠協(xié)議A、最多可容許丟失的數(shù)據(jù)B、根據(jù)業(yè)務(wù)定義的系統(tǒng)關(guān)鍵性C、最多可容許的停機(jī)時間D、中斷的根本原因39.A3-99下列哪種系統(tǒng)和數(shù)據(jù)轉(zhuǎn)換策略能夠提供最大的冗余?40.A4-151針對IT系統(tǒng)恢復(fù)的雙方協(xié)議的現(xiàn)場測試已實施，包括業(yè)務(wù)部門4個小時的集約效用測試。測試已成功，但不完全確保：A、系統(tǒng)和IT操作團(tuán)隊可以在緊急環(huán)境中保持運(yùn)作C、與遠(yuǎn)程站點中應(yīng)用程序的連接性滿足響應(yīng)時間要求D、實際業(yè)務(wù)操作的工作流可以在發(fā)生災(zāi)難的情況下使用緊急系統(tǒng)41.為減輕API查詢公開數(shù)據(jù)的風(fēng)險，以下哪項考慮因素最重要C、數(shù)據(jù)最小化42.【重要題】以下哪一項是災(zāi)難恢復(fù)計劃的步驟之一?A、評估和量化風(fēng)險B、與災(zāi)難計劃咨詢顧問協(xié)商合同C、獲得替代設(shè)備供應(yīng)43.A4-87某個組織把其服務(wù)臺職能外包了。下列哪項指標(biāo)最應(yīng)該包含在服務(wù)水平協(xié)議中?B、首次通話解決率C、報告至服務(wù)臺的事故數(shù)44.某IS審計師已發(fā)現(xiàn)，員工們在通過電子郵件將敏感的公司信息發(fā)送到基于web的公共電子郵件域。對IS審計師而言，以下哪一項是建議的最佳補(bǔ)救措施?B、培訓(xùn)和意識C、活動監(jiān)測45.在提議的企業(yè)資源規(guī)劃(ERP)系統(tǒng)的需求定義階段，項目發(fā)起人要求鏈接采購與應(yīng)付賬款模塊。最好執(zhí)行以下哪一種測試方法?B、集成測試C、社交性測試D、質(zhì)量保證(QAT)測試46.在跟蹤審計期同，被審計單位指出，對以前報告的發(fā)現(xiàn)結(jié)果應(yīng)采取的糾正措施需要比預(yù)期更長的時間。以下哪一項是信息系統(tǒng)審計師應(yīng)采取的最佳行動B、確定是否已采取補(bǔ)償性控制臨時性措施C、要求再說商定的期限內(nèi)完成補(bǔ)救工作。D、停止審計工作并延遲跟蹤審計47.A2-143一家企業(yè)在內(nèi)部建立了數(shù)據(jù)中心，而將主要的財務(wù)應(yīng)用程序的管理外包給了一家服務(wù)提供商。下列哪一項控制措施能夠最有效地確保服務(wù)提供商的員工遵守安全政策?A、要求所有用戶在企業(yè)安全政策上簽字表示保證遵守C、對所有用戶強(qiáng)制實施安全意識培訓(xùn)D、應(yīng)該修改安全政策，以解決第三方用戶合規(guī)性問題48.A3-58通常要在系統(tǒng)開發(fā)中的以下哪個階段做好用戶驗收測試計劃的準(zhǔn)備?A、可行性分析C、計劃實施D、實施后審查49.數(shù)據(jù)庫管理系統(tǒng)軟件包不可能提供下面哪一種訪問控制功能?B、在交易級的身份驗證D、用戶對字段數(shù)的訪問A、確保項目滿足預(yù)期的業(yè)務(wù)要求B、評估控制的充分性51.對信息進(jìn)行實施后審計，下列哪項最可能削弱IS審計師的獨(dú)立性?A、參與項目團(tuán)隊，但不承擔(dān)運(yùn)營開發(fā)的責(zé)任B、為最佳實踐提供建議C、設(shè)計了一個嵌入式的審計模塊D、在應(yīng)用程序開發(fā)過程中實施了特定的控制52.使用數(shù)字簽名的主要原因C、可用性D、實效性A、項目顯示持續(xù)改進(jìn)C、所有部門都提交了質(zhì)量報告54..衡量災(zāi)難恢復(fù)計劃有效性中業(yè)務(wù)恢復(fù)的最佳途徑是?A、定義恢復(fù)點目標(biāo)RPOB、業(yè)務(wù)影響分析1D、評估與功能成熟度模型的差距55.以下哪一項屬于漏洞?C、未修補(bǔ)的系統(tǒng)56.使用最終用戶計算產(chǎn)生報告的是以下哪種風(fēng)險?A、報告無效D、缺少可用的歷史數(shù)據(jù)57.A2-119將安全方案作為安全治理框架的一部分58.項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大A、固有風(fēng)險B、審計風(fēng)險C、檢測風(fēng)險答案：D60.【重要題】.審計第三方供應(yīng)商的關(guān)鍵績效指標(biāo)KPI時，審計師最大的擔(dān)憂是?B、KPI指標(biāo)沒有明確定義A、IT工作說明B、IT章程C、IT組織結(jié)構(gòu)圖題干描述為：底層用戶可以直接訪問數(shù)據(jù)庫，哪項風(fēng)險大?)(此題需進(jìn)一步確認(rèn)，請考生考試中特別留意)A、用戶可以繞過應(yīng)用程序訪問數(shù)據(jù)庫B、用戶賬戶停用了，仍然可以訪問C、應(yīng)用程序?qū)徲嬘涗洸荒馨啃畔?3.下列哪一種訪問控制組合能為服務(wù)器機(jī)房提供雙因素保護(hù)?B、PIN和智能卡C、停止災(zāi)難恢復(fù)計劃的維護(hù)工作D、與外包供應(yīng)商協(xié)調(diào)災(zāi)難恢復(fù)管理措施65.A4-238審計業(yè)務(wù)連續(xù)性計劃(BCP)期間，某信息系統(tǒng)審計師發(fā)現(xiàn)，盡管所有部門在同一建筑物中辦公，但是每個部門都有各自獨(dú)立的BCP。該信息系統(tǒng)審計師建議協(xié)調(diào)BCP。應(yīng)該首先協(xié)調(diào)以下哪一個領(lǐng)域?C、備份存儲D、呼叫樹66.對于無雙重門控制的機(jī)房，管理層應(yīng)該采取哪個行動來防止跟隨進(jìn)入?(2023年3月真題)A、要求員工佩戴I卡C、生物識別技術(shù)D、安全意識培訓(xùn)67.A5-196對成功的社會工程攻擊的最貼近的解釋是：A、計算機(jī)錯誤B、判斷錯誤D、技術(shù)68.A2-149某金融企業(yè)設(shè)有一個小規(guī)模的IT部門，因而需要員工身兼數(shù)職。以下哪種做法帶來的問題最大?B、業(yè)務(wù)分析人員編寫相關(guān)需求并執(zhí)行功能性測試69.A1-43當(dāng)評估組織的IT戰(zhàn)略時，信息系統(tǒng)審計師會認(rèn)為以下哪一選項最重D、支持組織的業(yè)務(wù)目標(biāo)70.在審查IT資源能力和性能的持續(xù)監(jiān)測流程時，IS審計師應(yīng)當(dāng)主要確保該流程D、正確預(yù)測IT資源的性能、能力和吞吐量。71.哪一項用于評估一個項目所需的時間用量時?A、勞動力數(shù)量估算C、)關(guān)鍵路徑分析D、甘特圖72.某IS審計師正在審查某會計系統(tǒng)的訪問情況，并發(fā)現(xiàn)了職責(zé)分離問題；但業(yè)務(wù)規(guī)模小，沒有額外的工人可供使用。在這種情況下，以下哪一項是建議的最佳補(bǔ)償性控制?A、實施基于角色的訪問B、審查審計軌跡C、執(zhí)行定期訪問審查73.對網(wǎng)絡(luò)進(jìn)行審計，最重要的是B、審查冗余線路C、審查路由D、審查服務(wù)器數(shù)據(jù)包類型74.信息系統(tǒng)審計師在審查傳輸公開可用信息的系統(tǒng)接口，哪一項最令人擔(dān)憂?A、什么界面跟蹤程序(可排除)C、數(shù)據(jù)未加密75.一個公司對員工的商務(wù)智能手機(jī)實施收回并利用A、為新員工更換SIM卡和手機(jī)號C、安全的刪除手機(jī)數(shù)據(jù)76.【重要題】信息系統(tǒng)審計師在上線之前審查新系統(tǒng)的團(tuán)隊尚未記錄恢復(fù)計劃。以下哪一項是這一情況下最佳的系統(tǒng)上線方法?A、均衡負(fù)載B、(明顯不對，可排除)C、立即切換77.A4-253信息系統(tǒng)審計師發(fā)現(xiàn)數(shù)據(jù)庫管理員(DBA)有生產(chǎn)數(shù)據(jù)的讀寫權(quán)限。信D、審查批準(zhǔn)的用戶訪問權(quán)限78.評估IT實際使用資源使用和計劃資源分配的一致性的技術(shù)是什么?C、甘特圖79.在制定在線業(yè)務(wù)架構(gòu)和恢復(fù)策略時，以下哪一項是最重要的考慮事項?A、即時解決問題的能力B、供應(yīng)商的網(wǎng)絡(luò)安全性D、供應(yīng)商的財務(wù)穩(wěn)定性80.組織鼓勵員工因為工作目的而使用社交平臺，以下哪一項能最好防止數(shù)據(jù)泄露?A、員工簽署政策要求確認(rèn)和保密協(xié)議B、對敏感數(shù)據(jù)實施強(qiáng)有力的控制C、對員工使用社交網(wǎng)站的活動實施監(jiān)控D、提供社交平臺使用的相關(guān)培訓(xùn)和指導(dǎo)81.以下哪一種是檢測型控制?C、發(fā)生災(zāi)難時如何分配資源D、維護(hù)硬件和軟件的兼容性83.A4-70將主要信息處理場所中的硬件進(jìn)行更換后，業(yè)務(wù)連續(xù)性經(jīng)理應(yīng)首先采取下列哪項行動?B、審查實施報告C、對災(zāi)難恢復(fù)計劃執(zhí)行瀏覽審查D、更新信息技術(shù)資產(chǎn)清單84.A3-63一位信息系統(tǒng)審計師發(fā)現(xiàn)開發(fā)中的某個系統(tǒng)銜接了12個模塊，并且每個數(shù)據(jù)項可以承載最多10個可定義屬性字段。該系統(tǒng)每年可處理數(shù)百萬次交易。信息系統(tǒng)審計師可以使用哪項技術(shù)估算開發(fā)工作量?A、計劃評審技術(shù)B、功能點分析D、白箱測試B、評估是否有補(bǔ)償性控制D、嘗試?yán)寐┒?6.信息系統(tǒng)審計師評估IT戰(zhàn)略委員會的有效性?A、業(yè)務(wù)和IT戰(zhàn)略一致性B、IT戰(zhàn)略委員會章程87.審查項目組合時，下列哪一項是管理層應(yīng)考慮的最有用的指標(biāo)?A、該組合的當(dāng)前凈值B、預(yù)期效益與總項目成本之比C、每個項目的總成本D、項目成本與總IT成本之比88.IT經(jīng)理向高級管理層匯報潛在風(fēng)險情況，運(yùn)行關(guān)鍵在線信用報告系統(tǒng)服務(wù)器的操作系統(tǒng)將不受支持，該風(fēng)險屬于哪種類型的風(fēng)險?A、符合性風(fēng)險B、技術(shù)風(fēng)險C、業(yè)務(wù)風(fēng)險89.在制定業(yè)務(wù)持續(xù)性計劃時，業(yè)務(wù)單位管理層的參與在以下工作過程中最為重要?B、進(jìn)行業(yè)務(wù)影響分析90.信息系統(tǒng)審計師在審查桌面軟件配置文件時注意到，一個用戶已下載并安裝了公司不批準(zhǔn)的游戲。以下哪一項是這一狀況可能產(chǎn)生的最大風(fēng)險?B、未遵守可接受使用政策C、與公司軟件的互操作性問題91.A4-54一位信息系統(tǒng)審計師正在審查某組織的災(zāi)難恢復(fù)情況。在這次災(zāi)難中，并非恢復(fù)業(yè)務(wù)運(yùn)營所需的所有關(guān)鍵數(shù)據(jù)都得到了保留。這是因為錯誤定義了以下哪個選項?A、中斷時間C、服務(wù)交付目標(biāo)A、提供有效且高效的服務(wù)B、定義關(guān)鍵績效指標(biāo)C、為IT項目帶來商業(yè)價值D、控制IT費(fèi)用93.在典型的系統(tǒng)開發(fā)生命周期中，下列哪個小組主要負(fù)責(zé)確認(rèn)是否符合需求?B、內(nèi)部審計D、指導(dǎo)委員會94.A1-114某信息系統(tǒng)審計師正在核對生產(chǎn)中的設(shè)備與庫存記錄。這種測試屬于以下哪一項?A、實質(zhì)性測試B、符合性測試C、分析性測試95.審查變更控制文檔，有些補(bǔ)丁未經(jīng)測試就被安裝到了生產(chǎn)環(huán)境中，最大的風(fēng)險是A、影響系統(tǒng)完整性96.以下哪一項是執(zhí)行風(fēng)險評估的主要原因?97.在發(fā)現(xiàn)未知惡意攻擊時，以下哪一項安全測試技術(shù)最有效A、沙箱C、漏洞測試D、逆向工程98.哪一項能最有效地防止舊硬盤的數(shù)據(jù)泄露?A、重復(fù)寫(覆寫)A、只允許使用數(shù)據(jù)庫管理員()用戶賬戶進(jìn)行變更102.企業(yè)的操作人員未執(zhí)行年末財務(wù)報表的自動腳本，以下哪項措施可以起到很好的作用A、培訓(xùn)操作人員B、選擇有經(jīng)驗的財務(wù)人員加入操作團(tuán)隊103.用戶測試數(shù)據(jù)最好是用A、隨機(jī)生成的數(shù)據(jù)B、測試生成器生成的參數(shù)C、模擬生產(chǎn)環(huán)境數(shù)據(jù)104.信息系統(tǒng)審計師審查各種IT外包合同采購流程。確保中標(biāo)的承包商滿足以下哪項要求?D、消除了外包風(fēng)險。105.組織的大多數(shù)信息系統(tǒng)已經(jīng)外包，以下哪項能最能保持業(yè)務(wù)連續(xù)性?A、外包商管理層B、信息技術(shù)管理層C、業(yè)務(wù)管理層D、信息安全管理層106.A1-29在IT流程的安全審計期間，信息系統(tǒng)審計師發(fā)現(xiàn)沒有任何文檔記錄安全程序。信息系統(tǒng)審計師應(yīng)：A、根據(jù)實踐創(chuàng)建程序文檔B、提出對當(dāng)前狀態(tài)的看法，并結(jié)束審計C、對可用數(shù)據(jù)執(zhí)行符合性測試107.雇員有意或無意將敏感信息通過郵件發(fā)送到首先最重的是要做什么?A、審查網(wǎng)絡(luò)日志B、做滲透測試C、審查入侵檢測報告D、檢查防火墻配置109.以下哪一項最能體現(xiàn)信息安全計劃的有效性?A、安全團(tuán)隊知識豐富，使用最好的工具B、經(jīng)過意識培訓(xùn)后，報告和確認(rèn)的安全事故數(shù)量有所增加C、安全意識培訓(xùn)計劃是根據(jù)行業(yè)最佳實踐開發(fā)的D、安全團(tuán)隊執(zhí)行了風(fēng)險評估，以了解公司的風(fēng)險偏好110.審計師發(fā)現(xiàn)業(yè)務(wù)部門負(fù)責(zé)人創(chuàng)建了一個網(wǎng)頁，從而能訪問生產(chǎn)數(shù)據(jù)，這違反了公司的安全政策，審計師應(yīng)該：A、評估是否有補(bǔ)償性控制B、關(guān)閉并停用該網(wǎng)頁C、評估生產(chǎn)數(shù)據(jù)的敏感性D、上報高級管理層111.那種能夠最有效地對物理訪問提供最可靠的身份驗證?B、感應(yīng)卡112.哪一項網(wǎng)絡(luò)安全審查結(jié)果對企業(yè)構(gòu)成最大風(fēng)險?A、IDS在上周有待更新B、非軍事區(qū)中的Internet服務(wù)器托管測試網(wǎng)頁C、面向Internet的路由器上有共享的管D、上周發(fā)布的操作系統(tǒng)補(bǔ)丁尚未應(yīng)用113.A5-67某個組織允許使用通用串行總線驅(qū)動器(USB設(shè)備)在辦公室之間傳輸運(yùn)營數(shù)據(jù)。以下哪項是與使用這些設(shè)備有關(guān)的最大風(fēng)險?A、文件未備份C、將設(shè)備用于個人用途系統(tǒng)的受限區(qū)域的風(fēng)險?B、安全意識培訓(xùn)D、要求佩戴I標(biāo)識卡118.A1-47制訂基于風(fēng)險的審計策略時，信息系統(tǒng)審計師應(yīng)執(zhí)行風(fēng)險評估，以確A、降低風(fēng)險所需的控制已就位B、識別出漏洞和威脅C、將審計風(fēng)險考慮在內(nèi)119.在IT系統(tǒng)恢復(fù)過程中，保持業(yè)務(wù)功能運(yùn)行的臨時解決方案，是以下哪項內(nèi)容的核心組成部分?A、災(zāi)難恢復(fù)計劃B、威脅和風(fēng)險評估C、)業(yè)務(wù)影響分析D、業(yè)務(wù)持續(xù)運(yùn)營計劃120.A4-128在設(shè)計業(yè)務(wù)連續(xù)性計劃期間，業(yè)務(wù)影響分析確定關(guān)鍵流程和支持業(yè)務(wù)的應(yīng)用程序。這將主要影響：A、維護(hù)業(yè)務(wù)連續(xù)性計劃的責(zé)任C、恢復(fù)策略C、制定介質(zhì)處置政策122.【重要題】有效防范sql注入攻擊的最佳控制是?123.在后續(xù)審計中，被審計方提出，審計問題應(yīng)采取的糾正措施需要比預(yù)期更長的時間，審計師應(yīng)該B、將此問題向高級管理層匯報C、停止審計工作并推遲跟蹤審計D、確認(rèn)是否有補(bǔ)償性控制的臨時措施對該IS審計師而言，以下哪一項最值得關(guān)注?B、日志服務(wù)器不在單獨(dú)的網(wǎng)絡(luò)上。D、無監(jiān)管鏈政策。A、影響項目交付質(zhì)量的潛在風(fēng)險C、供未來項目使用的經(jīng)驗教訓(xùn)126.在取證數(shù)據(jù)采集和保存流程中以下哪項最重要?B、確保設(shè)備的物理安全127.A5-230使用數(shù)字簽名時，由誰計算消息摘要?B、僅接收者D、認(rèn)證機(jī)構(gòu)128.A5-268以下哪一種控制可以最有效地檢測網(wǎng)絡(luò)傳輸中的錯誤群?D、循環(huán)冗余檢測129.A4-159除所有信息系統(tǒng)的備份注意事項外，為在線系統(tǒng)提供備份時以下哪一項是最重要的注意事項?B、確保交易日志記錄定期轉(zhuǎn)儲D、在非現(xiàn)場位置保存重要數(shù)據(jù)130.A5-154為了適應(yīng)組織內(nèi)部不斷增多的移動設(shè)備，信息系統(tǒng)管理部門最近用無線基礎(chǔ)架構(gòu)替換了現(xiàn)有的有限局域網(wǎng)。這將增加以下哪種攻擊風(fēng)險?131.某企業(yè)正在開發(fā)一種新的采購系統(tǒng)，但進(jìn)度落后于預(yù)定計劃。因此，有人提議將原定的測試階段時間縮短。項目經(jīng)理向IS審計師詢問如何降低測試時間縮短可能帶來的風(fēng)險。以下哪種風(fēng)險緩解策略較為合適?132.下面哪一項是最佳的數(shù)據(jù)完整性檢查?B、計算每天處理的交易量134.A3-97一名信息系統(tǒng)審計師受指派審計某軟件開發(fā)項目，該項目完成上，但是已經(jīng)超時10%,超出成本25%。該信息系統(tǒng)審計師應(yīng)采取以下哪項行動?B、能夠獲取并發(fā)送他們自己信息的5個用戶C、能夠驗證其他用戶并發(fā)送他們自己信息的5個用戶D、能夠獲取并驗證其他用戶的信息，并發(fā)送他們自己信息的3個用戶136.【重要題】在審查安全政策的開發(fā)過程時，以下哪一項是信息系統(tǒng)審計師要驗證的最重要的內(nèi)容?A、管理層批準(zhǔn)的證據(jù)D、控制框架的確認(rèn)137.【重要題】在下一年選擇進(jìn)行哪些信息系統(tǒng)審計的主要依據(jù)是什么?A、上一年的審計發(fā)現(xiàn)結(jié)果138.以下哪項應(yīng)該包含在審計章程中?(公司的審計章程因該):A、定義審計師訪的信息訪問權(quán)限B、詳述審計目標(biāo)C、包括信息系統(tǒng)審計計劃D、提出企業(yè)的IT戰(zhàn)略139.A2-60信息系統(tǒng)控制目標(biāo)對于信息系統(tǒng)審計師來說非常有用。它們?yōu)閷徲嫀熈私庖韵履膫€方面奠定了基礎(chǔ)?A、實施特定控制流程的預(yù)期結(jié)果或目的B、與特定實體相關(guān)的最佳信息系統(tǒng)安全控制實務(wù)C、保證信息安全的技術(shù)140.A2-71某信息系統(tǒng)審計師應(yīng)要求審查針對某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后是否遵守合同條款的最佳途徑是什么?B、與客戶IT經(jīng)理定期召開會議C、對供應(yīng)商進(jìn)行定期審計檢查D、要求在合同中明確性能參數(shù)141.【重要題】以下哪一項可以提供最佳證據(jù)表明云提供商變更管理流程的有效性?A、供應(yīng)商提供的變更管理政策的副本B、供應(yīng)商提供的第三方審查結(jié)果C、供應(yīng)商E0和10的書面保證D、與供應(yīng)商定期進(jìn)行變更管理會議的會議記錄142.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應(yīng)該做的是什么?B、審查之前該員工批準(zhǔn)的交易D、給員工電腦做備份143.數(shù)據(jù)分類的第一步?144.以下哪一項是實施分散式IT治理模型最主要的原因?B、實現(xiàn)各業(yè)務(wù)部門的統(tǒng)一性D、有利于對業(yè)務(wù)需求有更快的響應(yīng)145.A4-67以下哪個選項能夠最好地證明組織災(zāi)難恢復(fù)能力就緒情況?A、有災(zāi)難恢復(fù)計劃B、有備用站點提供商的客戶參考C、有維持RP的流程146.被審計單位跟蹤之前審計發(fā)現(xiàn)只進(jìn)行了部分審計整改措施，審計師首先應(yīng)該A、匯報管理層B、評估剩余未解決問題風(fēng)險C、審查是否有補(bǔ)償性控制臨時解決問題D、確保為解決問題仍記錄在審計保告中147.A3-123信息系統(tǒng)審計師需驗證應(yīng)用發(fā)布后是否有完成實施后審查流程的主要原因是什么?D、確定是否已實施適當(dāng)?shù)目刂拼胧?48.加密磁帶備份最怕什么?(如果題干改為：加密備份資料最怕什么?則選A)149.A1-122在一項基于風(fēng)險的信息系統(tǒng)審計中，固有風(fēng)險和控制風(fēng)險均已被評定為高，信息系統(tǒng)審計師最有可能通過額外執(zhí)行以下哪一項來彌補(bǔ)這種情況?A、停止或繼續(xù)抽樣C、符合性測試地分支機(jī)構(gòu)會將客戶訂單傳動到中央生產(chǎn)設(shè)備。以下哪一項能夠最有效地確保準(zhǔn)確處理這些訂單并生產(chǎn)相應(yīng)的產(chǎn)品?D、在生產(chǎn)之前審批(由生產(chǎn)監(jiān)督人員)訂單151.A1-129中央防病毒系統(tǒng)在允許個人電腦接入網(wǎng)絡(luò)之前，確定每臺PC是否具有最新的病毒定義文件，并安裝最新的病毒定義文件。本示例屬于以下哪一項?A、指令性控制B、改正性控制C、補(bǔ)償性控制D、檢測性控制153.A1-80某信息系統(tǒng)審計師審查某遠(yuǎn)程管理服務(wù)器某天的日志時，發(fā)現(xiàn)了日志記錄失敗且無法確認(rèn)備份重啟的情況。該信息系統(tǒng)審計師應(yīng)該怎樣做?C、審查服務(wù)器上的數(shù)據(jù)分類D、擴(kuò)大審計的日志樣本范圍154.A4-215設(shè)計應(yīng)對潛在自然災(zāi)害的數(shù)據(jù)備份策略時，以下哪一項最有幫助?C、能夠提早檢測出關(guān)鍵模塊中的錯誤D、能夠提早測試主要功能和處理D、使任務(wù)流程化157.A4-73以下哪項連續(xù)性計劃測試可模擬系統(tǒng)崩潰并使用實際資源，以便經(jīng)濟(jì)高效地獲取有關(guān)計劃有效性的證據(jù)?B、事后測試C、準(zhǔn)備情況測試D、瀏覽審查158.A2-8在對業(yè)務(wù)流程再造(BPR)工作進(jìn)行審查時，以下哪一項是主要關(guān)注的問題?B、資源不足以支持PR流程C、審計部門在PR中沒有咨詢職責(zé)D、PR工作納入了該流程領(lǐng)域知識有限的員工。159.在審查用戶賬戶政策時，信息系統(tǒng)審計師的最大擔(dān)憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權(quán)限的相關(guān)政策B、當(dāng)員工更改角色時，沒有任何政策可以撤銷以前的訪問權(quán)限D(zhuǎn)、沒有針對安全意識培訓(xùn)的政策160.防止同時使用軟件許可的最佳措施?B、供應(yīng)商實施突擊審計C、系統(tǒng)管理員實施監(jiān)控D、計量軟件B、驗證瀏覽站點的用戶C、阻止黑客瀏覽網(wǎng)站D、與數(shù)字證書的目的相同162.A5-89確保發(fā)送者在以后無法否認(rèn)生成和發(fā)送消息的數(shù)字簽名特征稱B、身份認(rèn)證C、不可否認(rèn)性D、重放保護(hù)163.管理層向各利益部門相關(guān)方發(fā)送IT控制措施的目的：B、IT控制成本透明化D、優(yōu)化IT控制B、將網(wǎng)絡(luò)強(qiáng)化到行業(yè)最佳實踐標(biāo)準(zhǔn)C、向管理層強(qiáng)調(diào)事故響應(yīng)管理的重要性D、提高員工對事故響應(yīng)過程的認(rèn)識程度165..以下哪一項最能保護(hù)在多個辦公地點之間傳輸?shù)拿舾袛?shù)據(jù)機(jī)密性?A、PKIA、分析公司未來需求B、制定開發(fā)項目的目標(biāo)進(jìn)程167.A5-129某信息系統(tǒng)審計師正在審查某數(shù)據(jù)中心的物理安全控制，并發(fā)現(xiàn)有幾個領(lǐng)域值得關(guān)注。以下哪個領(lǐng)域最重要?C、數(shù)據(jù)中心沒有安全攝像頭D、緊急出口被阻塞168.要實施IT治理框架，董事會需要做到?B、成立IT戰(zhàn)略委員會C、審計IT戰(zhàn)略D、了解所有IT項目發(fā)展169.規(guī)劃審計時，對重要性進(jìn)行評估的作用是：A、可排除小錯誤的累計效應(yīng)C、操作支持人員正在執(zhí)行對批量計劃的變更。173.如何確認(rèn)批量作業(yè)(batchjobupdate)成功完成?A、驗證作業(yè)日志的時間戳B、抽樣檢查部分作業(yè)是否完成D、檢查工作日程表174.A4-94審計自動化系統(tǒng)時，不是每次都能夠確認(rèn)責(zé)任人和報告層級關(guān)系的，A、多種多樣的控制能夠?qū)е滤袡?quán)不相關(guān)B、員工習(xí)慣于頻繁更換工作C、共享資源的領(lǐng)域很難確定所有權(quán)D、隨著技術(shù)的飛速發(fā)展，職務(wù)變動頻繁175.【重要題】.被審計單位跟蹤之前審計發(fā)現(xiàn)只進(jìn)行了部分審計整改措施，審計師首先應(yīng)該()A、匯報管理層B、評估剩余未解決問題風(fēng)險C、審查是否有補(bǔ)償性控制臨時解決問題D、確保為解決問題仍記錄在審計保告中176.當(dāng)確定審計日志的數(shù)據(jù)保留期時，最基礎(chǔ)的因素是什么A、計算機(jī)取證的原則C、風(fēng)險控制177.以下哪一項是數(shù)據(jù)分類流程的最重要成果?A、確定的保護(hù)級別C、數(shù)據(jù)的訪問控制矩陣D、增強(qiáng)的數(shù)據(jù)訪問日志178.A4-78下列哪種情況最適于將實施數(shù)據(jù)鏡像作為恢復(fù)策略?A、容災(zāi)能力很高D、恢復(fù)點目標(biāo)很高動器，負(fù)責(zé)此項任務(wù)的供應(yīng)商從來沒有意識到這些硬盤。以下哪項是解決這個問題的最A(yù)、佳行動?B、檢查工作流程以確定資產(chǎn)處理責(zé)任中C、的漏洞180.A5-127某組織網(wǎng)絡(luò)電話包網(wǎng)絡(luò)中有大量的通信被重新路由。該組織認(rèn)為其已遭到竊聽。以下哪一項可能導(dǎo)致VoIP通信遭到竊聽?A、以太網(wǎng)交換機(jī)中的地址解析協(xié)議緩存損壞B、在虛擬電話交換機(jī)上使用默認(rèn)管理員密碼C、在未啟用加密的情況下部署虛擬局域網(wǎng)181.實施新的應(yīng)用程序軟件包(或第三方應(yīng)用),最大的風(fēng)險是?B、沒有審計軌跡C、交易量過大D、交易敏感度高182.A5-166如果某個小型組織的應(yīng)用程序編程人員有權(quán)將程序移入生產(chǎn)環(huán)境，應(yīng)實施以下哪項控制來降低內(nèi)部欺詐風(fēng)險?A、實施后功能測試B、登記和審查變更D、用戶驗收測試183.A3-140以下哪項可以幫助信息系統(tǒng)審計師評估已開發(fā)并實施的新軟件的質(zhì)量?A、報告故障的平均間隔時間B、修復(fù)故障的總體平均時間C、首次報告的故障平均間隔時間D、修復(fù)故障的總體響應(yīng)時間184.某小型公司無法隔離開發(fā)流程與變更控制職能之間的職責(zé)。確保經(jīng)過測試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么?B、手動代碼比對C、生產(chǎn)前回歸測試D、管理層批準(zhǔn)變更A、成員包括不同部門的各級員工B、確保信息安全政策和程序已正確執(zhí)行C、維護(hù)委員會的會議紀(jì)要，并及時向董事會匯報A、當(dāng)計算機(jī)資源不可用時，可以輕松地手動應(yīng)用C、增加從總體選擇實質(zhì)的項目的可能性D、隔離并單獨(dú)審計高價值總體項目187.數(shù)據(jù)庫管理員發(fā)現(xiàn)一些表的性能問題可以通過反向規(guī)格化(denormalization)來解決。這種情況下會增加哪像風(fēng)險()?188.銀行對計算利息的計算機(jī)程序做了很小的改動，哪一項能最好的確定利息計算是否正確A、審查源代碼B、使用審計軟件進(jìn)行并行模擬189.在開始后續(xù)的跟蹤審計時，審計師應(yīng)該先(如沒有D選項，則選E)A、審查上次審計的工作底稿B、與被審計單位討論補(bǔ)救進(jìn)展情況C、收集補(bǔ)救證據(jù)，以此來執(zhí)行控制測試D、審查上次的審計結(jié)果和行動計劃E、評估上次審計的殘余風(fēng)險A、完成用戶手冊的編寫D、確保代碼已存檔并已審核191.A4-84一名信息系統(tǒng)審計師執(zhí)行應(yīng)用程序維護(hù)審計時，將審查程序變更日志，以便了解：B、當(dāng)前目標(biāo)模塊的創(chuàng)建日期C、程序的實際改動量192.在某醫(yī)院中，醫(yī)務(wù)人員攜帶存有病人健康狀況數(shù)據(jù)的手持式電腦。這些手持式電腦與可從醫(yī)院數(shù)據(jù)庫傳輸數(shù)據(jù)的PC同步。以下哪項措施最重要?B、在使用后刪除本地PC中臨時文件的員工具有維護(hù)PC的權(quán)限。193.以下哪一項是表明高級管理層審查了IT表現(xiàn)的最佳證據(jù)?B、IT戰(zhàn)術(shù)規(guī)劃194.在審計生命周期的哪個階段適合與客戶討論初步審計意見A、執(zhí)行階段B、報告階段195.以下哪項最能確保信息資產(chǎn)的機(jī)密性?C、人員安全意識培訓(xùn)D、為所有用戶配置只讀權(quán)限196.作為企業(yè)的業(yè)務(wù)連續(xù)性計劃(BCP)的一部分，在將新業(yè)務(wù)應(yīng)用程序部署到已托管遺留應(yīng)用程序的服務(wù)器后，服務(wù)器的高可用性戰(zhàn)略得到加強(qiáng)。以下哪一項是這一變更最可能的原因?200.A1-62在程序變更控制的評估期間，信息系統(tǒng)審計師使用源代碼比較軟件的目A、在不需要信息系統(tǒng)人員提供信息的情況下，檢查源程序的變更B、檢測源程序從獲得源的副本到比較運(yùn)行這段時間內(nèi)所經(jīng)歷的變更201.審計師對外包業(yè)務(wù)進(jìn)行審查，最先查?A、合同是否支持業(yè)務(wù)需求C、合同中包含終止后提供支持D、合同是否符合行業(yè)最佳實踐202.A5-277以下哪項能夠在最大限度上限制分布環(huán)境中服務(wù)器故障的影響?D、備用電源203..當(dāng)信息系統(tǒng)審計師期望零偏差或很少偏差時，使用以下哪種抽樣技術(shù)最適合?C、停走抽樣D、貨幣單位抽樣204.信息系統(tǒng)審計師應(yīng)該會在下列哪一個SDLC階段，發(fā)現(xiàn)控制措施已集成到系統(tǒng)規(guī)范中?A、實施D、可行性研究205.在評估企業(yè)的漏洞掃描計劃時，以下哪項是審計師的最大顧慮?206.A1-56選擇審計程序時，信息系統(tǒng)審計師運(yùn)用自己的專業(yè)性判斷，以確保：A、收集充分的證據(jù)B、重大缺陷在合理期限內(nèi)得到糾正C、識別出所有嚴(yán)重缺漏D、將審計成本控制在最低水平207.IT審計師在審查第三方供應(yīng)商報告的KPI。以下哪項是審計師的最大擔(dān)憂?B、KPI從未進(jìn)行更新C、文檔相關(guān)的，可排除208.以下哪一項最好地保證了醫(yī)療機(jī)構(gòu)正確處理了數(shù)據(jù)?A、遵守審計提出的問題進(jìn)行整改B、遵從行業(yè)標(biāo)準(zhǔn)和最佳實踐C、遵從企業(yè)的政策和程序D、遵從當(dāng)?shù)胤珊头ㄒ?guī)A、固有風(fēng)險C、監(jiān)督重大項目和IT資源的分配情況213.企業(yè)的操作人員未執(zhí)行年末財務(wù)報表的自動腳本，以下哪項措施可以起到很好的作用214.某個大型組織正在對下一年度的IT項目進(jìn)行優(yōu)先級排序。排序的依據(jù)應(yīng)該：A、根據(jù)項目的成本效益分析結(jié)果。215.以下哪一項是用以確定執(zhí)行跟蹤審計過程時間表的最重要標(biāo)準(zhǔn)?A、審計發(fā)現(xiàn)結(jié)果的風(fēng)險暴露B、審計資源的可用性D、下一次審計之間的協(xié)調(diào)216.A1-55在信息系統(tǒng)審計的計劃階段，信息系統(tǒng)審計師的主要目標(biāo)是：A、達(dá)到審計目標(biāo)B、收集足夠的證據(jù)C、指定適當(dāng)?shù)臏y試D、盡可能少使用審計資源217.保護(hù)信息資產(chǎn)的機(jī)密性時，最有效的控制措施是：分值5分C、執(zhí)行按需分配制訪問控制理念218.通過哪種方式，信息系統(tǒng)審計師可以有效評估整體IT性能A、IT價值分析B、以往審計報告D、漏洞評估報告攻擊是：D、社交性測試222..以下哪一項管理層決策會帶來與數(shù)據(jù)泄漏相關(guān)的最大風(fēng)險?C、不為員工提供安全意識培訓(xùn)A、檢測性B、改正性224.A5-285在一家小型組織中，某位員工負(fù)責(zé)計算機(jī)操作，并在必要情況下，還負(fù)責(zé)修改程序。該信息系統(tǒng)審計師應(yīng)建議以下哪個選項?A、自動記錄對開發(fā)庫的更改B、增加員工，從而可以分離職責(zé)D、設(shè)立訪問控制以防止操作員修改程序225.A5-222以下哪項是減輕針對互聯(lián)網(wǎng)銀行應(yīng)用程序的域欺騙攻擊的最佳控制?B、用戶安全意識226.【重要題】以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的?A、吸取的經(jīng)驗教訓(xùn)已記錄存檔并加以應(yīng)用B、業(yè)務(wù)和IT相關(guān)人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期(SL)中的一個正式階段A、參數(shù)設(shè)置滿足安全性和性能要求B、變更已記錄到審計軌跡中并定期進(jìn)行了審查C、變更經(jīng)過授權(quán)，并取得了相應(yīng)文檔的支持D、限制對系統(tǒng)參數(shù)的訪問228.評估云環(huán)境下的應(yīng)用程序的控制措施時，審計師最應(yīng)關(guān)注以下那項?D、系統(tǒng)結(jié)構(gòu)和云環(huán)境229.IS審計師要評估預(yù)防性維護(hù)程序的有效性，最有幫助的是：B、維護(hù)計劃C、停機(jī)時間記錄230.A4-168某企業(yè)使用特權(quán)賬戶處理關(guān)鍵任務(wù)應(yīng)用程序的配置變更。此時，以下哪個選項屬于限制風(fēng)險的最佳且恰當(dāng)?shù)目刂?B、確保人員經(jīng)過足夠的培訓(xùn)231.項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大?B、項目關(guān)鍵路徑改變232.在發(fā)生事故時，以下哪一項最有利于法律程序?A、根本原因分析(類似的描述，可排除)B、執(zhí)行電子取證的權(quán)利C、法律顧問的建議D、保持保管鏈233.【重要題】要有效地建立企業(yè)IT結(jié)構(gòu)體系，以下哪一項最為重要：A、僅在體系結(jié)構(gòu)中包含關(guān)鍵系統(tǒng)C、完善的數(shù)據(jù)轉(zhuǎn)移政策D、與其他組織體系結(jié)構(gòu)的對比234.組織想要評估IT系統(tǒng)之后，來實施財務(wù)審計(意思就是財務(wù)數(shù)據(jù)依賴于系統(tǒng)),那么IT審計師的實施流程是什么?A、先測試it一般控制(itgc),再測試主要itac(D、先測試明細(xì)賬，再測試總賬235.A5-219對IT系統(tǒng)實施滲透測試時，組織最應(yīng)關(guān)注以下哪項?A、報告的機(jī)密性B、找到系統(tǒng)中的所有漏洞C、將系統(tǒng)恢復(fù)為原始狀態(tài)236.哪種風(fēng)險類型決定是否進(jìn)行實質(zhì)性測試：A、固有風(fēng)險B、審計風(fēng)險237.A4-126評估業(yè)務(wù)連續(xù)性計劃A、計劃并將其與適當(dāng)標(biāo)準(zhǔn)進(jìn)行比較B、先前的測試結(jié)果C、應(yīng)急流程和員工培訓(xùn)D、異地儲存和環(huán)境控制B、網(wǎng)狀C、星形239.A4-136如果發(fā)生數(shù)據(jù)中心災(zāi)難，以下哪一項是能夠完全恢復(fù)關(guān)鍵數(shù)據(jù)庫的最適當(dāng)策略?B、實時復(fù)制到遠(yuǎn)程站點240.IS審計師正在審查某組織的人力資源(HR)數(shù)據(jù)庫的實施情況。IS審數(shù)據(jù)庫審計日志并每周審查一次。為確保適當(dāng)保護(hù)數(shù)據(jù)庫的安全，IS審計師還應(yīng)檢查哪些其他領(lǐng)域?241.流程所有權(quán)分配在系統(tǒng)開發(fā)項目中至關(guān)重要，原因是它：242.以下哪一項控制最能防止互聯(lián)網(wǎng)嗅探器(Internetsniffer)進(jìn)行重放攻擊：D、待時間戳的數(shù)據(jù)加密243.對從數(shù)據(jù)倉庫生成的商業(yè)報告的質(zhì)量進(jìn)行審查時，最應(yīng)關(guān)注下面哪種情況?A、數(shù)據(jù)錯誤未經(jīng)過IT人員一致審查B、數(shù)據(jù)質(zhì)量報告無法提供對業(yè)務(wù)發(fā)展趨勢的洞見C、數(shù)據(jù)質(zhì)量報告每晚批量從數(shù)據(jù)倉庫中生成導(dǎo)出。D、報告中的數(shù)據(jù)錯誤在數(shù)據(jù)倉庫中已得到修正244.A5-200防止網(wǎng)絡(luò)被用作拒絕服務(wù)攻擊中的放大器的最佳過濾規(guī)則是拒絕所有：A、源地址在網(wǎng)絡(luò)外部的傳輸出流量B、被辨認(rèn)出使用偽造IP源地址的傳入通信D、目標(biāo)地址屬于關(guān)鍵主機(jī)的傳入流量245.哪一項是確保數(shù)據(jù)分析項目使用的個人數(shù)據(jù)無法識別的最佳方式C、標(biāo)記化D、隨機(jī)化246.一名員工遺失了包含企業(yè)敏感數(shù)據(jù)的移動設(shè)備，以下哪一項可最有效的防止數(shù)據(jù)泄露?B、對設(shè)備上的數(shù)據(jù)進(jìn)行備份C、加密設(shè)備上的數(shù)據(jù)247.審計新應(yīng)用系統(tǒng)的持續(xù)運(yùn)行計劃的最佳時間是?A、交接給系統(tǒng)維護(hù)部門之前B、上線后立即進(jìn)行C、系統(tǒng)需求階段248.A5-164公司XYZ已將生產(chǎn)支持外包給在另一個國家的服務(wù)提供商ABC。ABC服務(wù)提供商的工作人員通過互聯(lián)網(wǎng)連接到XYZ的生產(chǎn)支持網(wǎng)絡(luò)。以下哪一項能最有效地保證在ABC的生產(chǎn)支持團(tuán)隊向XYZ提供支持時，信息傳輸是安全的?B、動態(tài)互聯(lián)網(wǎng)地址和端口C、哈希函數(shù)D、虛擬私有網(wǎng)絡(luò)隧道答案：D249..被審計方已告知信息系統(tǒng)審計師，其資金不是以實施審計報告中商定的建議，且沒有預(yù)計的解決時間計劃，審計師應(yīng)對此情況采取的最佳方式是什么?A、在無法實施完整解決方案的情況下評估風(fēng)險B、關(guān)閉該發(fā)現(xiàn)并記錄被審計方的解釋C、獲得內(nèi)部審計批準(zhǔn)，以將發(fā)現(xiàn)從報告中刪除A、減少對額外存儲的需求C、消除異地備份的需求251.A2-54以下哪一項是創(chuàng)建防火墻政策的第一步?A、對保護(hù)應(yīng)用程序的方法進(jìn)行成本效益分析D、創(chuàng)建應(yīng)用程序流量矩陣，說明保護(hù)方法252.進(jìn)行企業(yè)風(fēng)險評估的第一步是確定?A、弱點D、)影響253.為了實施數(shù)據(jù)保護(hù)控制，信息系統(tǒng)審計師的最佳建議是什么?A、對照行業(yè)最佳實踐對軟件和開發(fā)生命周期進(jìn)行基準(zhǔn)分析B、映射公司的業(yè)務(wù)流程以識別個人身份信息(PI)C、在解決方案開發(fā)生命周期內(nèi)包括隱私檢查D、任命計劃經(jīng)理來監(jiān)督隱私計劃的改進(jìn)254.公司請外部審計，對外部信息系統(tǒng)審計師的訪問權(quán)限應(yīng)由以下哪項文件予以說明和授予?A、審計章程B、經(jīng)批準(zhǔn)的工作說明C、給所有相關(guān)方的內(nèi)部備忘錄D、有關(guān)審計工作開展的需求請求書255.企業(yè)目前磁帶備份，每周一次全備份、每日一次增量備份的策略。最近，企業(yè)領(lǐng)導(dǎo)把磁帶備份流程中增加了向磁盤備份的步驟。這種做法之所以恰當(dāng)，是因為：A、向磁盤備份的速度遠(yuǎn)快于向磁帶備份B、數(shù)據(jù)保存在磁盤上，其可靠性高于磁帶存儲C、它支持非現(xiàn)場存儲的快速合成備份D、隨著技術(shù)的進(jìn)步，不再需要磁帶庫C、在申請實體與其公鑰之間建立關(guān)聯(lián)257.A4-117審計數(shù)據(jù)庫服務(wù)器時，以下哪項會被認(rèn)為是最大風(fēng)險?B、數(shù)據(jù)庫的默認(rèn)全局安全設(shè)置保持不變C、舊數(shù)據(jù)未被清除C、欺騙D、邏輯炸彈259.以下哪種報告最能夠有效分析系統(tǒng)的性能?A、控制臺日志B、同步報告C、數(shù)據(jù)庫使用日志D、使用情況報告260.以下哪項用以管理供應(yīng)商支持的軟件狀態(tài)為最新?A、版本管理D、補(bǔ)丁管理261.以下哪一項是公司轉(zhuǎn)移IT風(fēng)險的有效方式?A、購買保險(買保險是最常見的轉(zhuǎn)移IT風(fēng)險的手段)B、湊數(shù)的選項262.五百多個用戶都可以訪問客戶信息表，對什么影響最大B、機(jī)密性C、可用性263.A2-76審查信息安全政策時，信息系統(tǒng)審計師應(yīng)最關(guān)注以下哪個選項?該政B、已經(jīng)公布，但沒有要求用戶閱讀C、沒有包含信息安全流程264.A2-110在有效的信息安全治理的情況下，價值交付的主要目標(biāo)是：A、優(yōu)化安全方面的投資，以支持業(yè)務(wù)目標(biāo)的實現(xiàn)B、實施一套標(biāo)準(zhǔn)的安全實踐C、制定基于標(biāo)準(zhǔn)的解決方案D、建立一種持續(xù)改進(jìn)的文化氛圍266.信息系統(tǒng)指導(dǎo)委員會的主要職責(zé)是?A、制定項目計劃B、明確項目的約束因素C、制定應(yīng)用項目管理的框架技術(shù)D、實施質(zhì)量管理制度267.A2-115制定正式的企業(yè)安全計劃時，最關(guān)鍵的成功因素是：D、安全流程所有者的選擇談，確定他們是否理解各自的角色和責(zé)任。信息系統(tǒng)審計師將嘗試評估：A、業(yè)務(wù)連續(xù)性計劃的明確性和簡潔性B、業(yè)務(wù)連續(xù)性計劃的充分性C、業(yè)務(wù)連續(xù)性計劃的有效性269.【重要題】為了減少日志服務(wù)器不堪收集錯誤攻擊日志的壓力，以下最佳建議是()B、調(diào)整防火墻的訪問控制規(guī)則270.什么影響DRP?(信息系統(tǒng)審計師檢查恢復(fù)策略的充分性主要檢查下列哪個因素?)271.A3-148以下哪一項最有助于確保識別偏離項目計劃的情況?B、項目管理方法C、項目資源計劃D、項目績效衡量標(biāo)準(zhǔn)272.項目上線后的審查中，應(yīng)審查以下哪一項來確定項目是否滿足B、并行測試的結(jié)果273.一個IT審計經(jīng)理參加并擔(dān)任了監(jiān)督某個項目中的項目經(jīng)理?；氐綄徲嫴块T后，他被安排參加對上述項目的審計，該審計經(jīng)理是審計部門中唯一具有項目管理知A、由該審計經(jīng)理參加審計，因為只有他具備項目管理知識。B、不考慮是否具備項目管理知識，指派另外一個審計師參加審計。C、指派一個高級審計師參加審計，并由該審計經(jīng)理對審計結(jié)果進(jìn)行復(fù)核。D、推遲審計，直到合適的審計資源出現(xiàn)。274.A5-223以下哪項能夠最有效地增強(qiáng)基于質(zhì)詢應(yīng)答的身份認(rèn)證系統(tǒng)的安全性?A、選擇更可靠的算法來生成詢問字符串B、采取各種措施防止會話劫持攻擊C、增加更改相關(guān)密碼的頻率D、IT戰(zhàn)略未包含信息安全276.A5-122組織的管理人員決定制訂安全意識計劃。以下哪項最可能是該計劃的一部分?A、利用入侵檢測系統(tǒng)報告事故C、安裝有效得到用戶日志系統(tǒng)來跟蹤每個用戶的操作D、雙因素認(rèn)證器連接自己的便攜式計算機(jī)和公司的虛擬私有網(wǎng)絡(luò)。信息系統(tǒng)審計師應(yīng)：A、什么也不做，因為GSM技術(shù)固有的安全功能已經(jīng)足夠了。B、建議10在啟用加密之前停止使用便攜式計算機(jī)。C、確保網(wǎng)絡(luò)上已啟用介質(zhì)訪問控制(M)過濾，從而未經(jīng)授權(quán)的無線用戶無法連接。D、建議使用雙因素認(rèn)證進(jìn)行無線連接，以防止未經(jīng)授權(quán)的通信。B、將每次訪問記入個人信息(即：作日志)D、限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問280.哪種有助于確保批文件轉(zhuǎn)移的完整性B、自檢數(shù)字D、輸入控制281.以下哪個工具模型可以優(yōu)化改進(jìn)持續(xù)改良計劃(或者題干為：以下哪個工具模型可以處理流程改善)?282.在系統(tǒng)開發(fā)周期SDLC的哪一個階段進(jìn)行風(fēng)險評估是最有幫助的?B、業(yè)務(wù)案例開發(fā)期間D、生命周期的每個階段283.一家企業(yè)遇到了由于默認(rèn)用戶帳戶未從其中一臺服務(wù)器中刪除而導(dǎo)致的域名系統(tǒng)(DNS)攻擊事故。以下哪一項合是緩解該DNS攻擊的風(fēng)險的最佳方式?A、遵循批準(zhǔn)的際準(zhǔn)配置來配置這些服務(wù)器B、讓第三方配置虛擬服務(wù)器C、配置入侵防御系統(tǒng)以識別NS攻擊D、要求所有員工參加安全配置管理的培訓(xùn)284.數(shù)據(jù)中心審計時，審計師發(fā)現(xiàn)火災(zāi)風(fēng)險非常高應(yīng)該推薦什么作為最有效的滅火措施?A、噴水式滅火系統(tǒng)B、手持式滅火器C、干劑滅火系統(tǒng)A、優(yōu)先處理任務(wù)B、界定范圍C、按時完成項目D、跟蹤可交付成果286.下哪一項最能表明信息安全計劃的有效性?A、安全團(tuán)隊知識豐富，使用最好的可用工具B、安全意識培訓(xùn)計劃是根據(jù)行業(yè)最佳實踐開發(fā)的C、經(jīng)過意識培訓(xùn)后，報告和確認(rèn)的安全事故數(shù)量有所增加D、安全團(tuán)隊執(zhí)行了風(fēng)險評估，以了解公司的風(fēng)險偏好287.程序員惡意修改生產(chǎn)代碼，然后恢復(fù)了原始代碼，怎么檢測這種惡意活動?A、查看系統(tǒng)日志文件B、比較源代碼C、目標(biāo)代碼參照D、檢查可執(zhí)行文件288.A5-147要使無線局域網(wǎng)中傳輸數(shù)據(jù)的機(jī)密性得到最佳保護(hù)，需要會話：289.審計師發(fā)現(xiàn)，業(yè)務(wù)部門未經(jīng)商議就修改了之前已經(jīng)商議好的整改措施，審計師應(yīng)該()A、檢查是否有其他補(bǔ)償性措施B、遵循重新制定的整改措施C、重新實施審計D、匯報給管理層用戶在高峰工作時段登錄系統(tǒng)需要很長時間。登錄后，系統(tǒng)的平均響應(yīng)時間在可接受的范圍之內(nèi)。該IS審計師應(yīng)當(dāng)建議以下哪一個選項?A、IS審計師不提出任何建議，因為系統(tǒng)符合當(dāng)前的業(yè)務(wù)需求。291.A3-42在以下哪個測試階段出錯會對新應(yīng)用程序軟件的實施造成最大影響?B、驗收測試C、集成測試292.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的?B、業(yè)務(wù)和IT相關(guān)人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期SDLC中的一個正式階段293.A3-45理想情況下，壓力測試應(yīng)在以下哪個環(huán)境中執(zhí)行?B、采用實時工作量的生產(chǎn)環(huán)境C、采用實時工作量的測試環(huán)境295.下列哪一項能夠最有效地保護(hù)數(shù)據(jù)中心的信息資產(chǎn)不被供應(yīng)商竊取?A、監(jiān)控并限制供應(yīng)商的活動B、限制使用便攜式和無線設(shè)備C、隱藏數(shù)據(jù)設(shè)備和信息標(biāo)簽296.對一個新開發(fā)的系統(tǒng)，審計師應(yīng)在哪個階段確定軟件連續(xù)計劃流程：C、UT完成后D、實施后審查297.A3-104在審查一個進(jìn)行中的項目時，信息系統(tǒng)審計師注意到由于預(yù)期收益有所減少且成本有所增加。因此，業(yè)務(wù)案例不再有效。信息系統(tǒng)審計師應(yīng)建議：A、中斷項目B、更新業(yè)務(wù)案例并采取可行的糾正措施C、將項目退回項目發(fā)起人進(jìn)行重新審批D、繼續(xù)完成項目，日后再更新業(yè)務(wù)案例298.【重要題】企業(yè)災(zāi)難發(fā)生后，業(yè)務(wù)中斷，恢復(fù)后丟失了大量數(shù)據(jù)，因為錯誤定義了哪項?A、RPO299.決策支持系統(tǒng)(DSS)用于幫助高級管理人員：B、利用臨時管理員賬號進(jìn)行修補(bǔ)301.以下哪一項是數(shù)據(jù)分類流程的最重要成果?C、數(shù)據(jù)的訪問控制矩陣D、增強(qiáng)的數(shù)據(jù)訪問日志302.公司XYZ已將生產(chǎn)支持外包給在另一個國家的服務(wù)提供商ABC。ABC服務(wù)提供商的工作人員通過互聯(lián)網(wǎng)遠(yuǎn)程連接到XYZ的生產(chǎn)支持網(wǎng)絡(luò)。以下哪一項能夠最有效地保證只有經(jīng)過授權(quán)的ABC用戶能夠通過互聯(lián)網(wǎng)連接為XYZ提供服務(wù)支持?A、單點登陸身份認(rèn)證C、雙因素身份認(rèn)證D、互聯(lián)網(wǎng)協(xié)議(IP)地址限制A、信息資產(chǎn)庫存更加準(zhǔn)確B、減少控制成本C、減小不適當(dāng)訪問系統(tǒng)的風(fēng)險304.A4-251含有機(jī)密數(shù)據(jù)的硬盤已損壞，并且無法恢復(fù)。如果目標(biāo)是積極組織其他任何人訪問數(shù)據(jù)，那么在丟棄硬盤之前應(yīng)該對其做些什么?A、覆寫B(tài)、低級格式化305.賬戶并行更新交易如處理不當(dāng)，會影響A、)可用性D、責(zé)任歸屬(不可否認(rèn)性)306.控制總計能夠降低以下哪一項風(fēng)險?D、過帳到錯誤記錄307.某IS審計師在對新安裝的互聯(lián)網(wǎng)語音協(xié)議(VoIP)系統(tǒng)進(jìn)行審計時，檢查了每層樓的配線柜。以下哪一項最令人擔(dān)心?A、充分地利用可用資源。C、有效地使用組織的資源。D、將新資源分配給新應(yīng)用程序309.【重要題】以下哪一項是數(shù)據(jù)分類流程的最重要成果?A、確定的保護(hù)級別C、數(shù)據(jù)的訪問控制矩陣D、增強(qiáng)的數(shù)據(jù)訪問日志310.最適于控制項目中范圍蠕動B、執(zhí)行用戶驗收測試C、評估請求更改所帶來的影響311.A1-86系統(tǒng)開發(fā)人員轉(zhuǎn)崗到審計部門擔(dān)任信息系統(tǒng)審計師。當(dāng)生產(chǎn)系統(tǒng)由該員工進(jìn)行審查時，以下哪項將成為最重要的關(guān)注點?B、審計點可能在很大程序上偏向技術(shù)方面D、該員工對業(yè)務(wù)風(fēng)險的了解可能有限312.供應(yīng)商提供SLA服務(wù)中規(guī)定保護(hù)備份介質(zhì)完整。在審查備份介質(zhì)時，發(fā)現(xiàn)有一份介質(zhì)丟失，下一步審計師應(yīng)該建議執(zhí)行什么:A、建議審查供應(yīng)商合同B、建議評估丟失介質(zhì)中的數(shù)據(jù)C、通知高級管理層D、將此問題發(fā)現(xiàn)納入在審計報告中313.A5-267Java小程序和ActiveX空間是在客戶端Web瀏覽器后臺執(zhí)行的分布式程序。在下列哪種情況時，認(rèn)為此實務(wù)合理?A、存在防火墻B、使用安全We連接C、可執(zhí)行文件的來源是確定的D、主機(jī)網(wǎng)站是組織的一部分314.由于持續(xù)的數(shù)據(jù)質(zhì)量問題，信息系統(tǒng)審計師正在審查公司的銷售和采購系統(tǒng)。對以下哪一項進(jìn)行分析能提供最有用的信息幫助確定相應(yīng)收入損失?A、問題數(shù)量與平均停機(jī)時間的相互關(guān)系B、數(shù)據(jù)獲取成本與銷售收入損失的對比C、在系統(tǒng)內(nèi)實施數(shù)據(jù)有效性驗證控制的成本D、數(shù)據(jù)錯誤與交易價值損失的相互關(guān)系315.A5-95在對財務(wù)系統(tǒng)執(zhí)行審計時，信息系統(tǒng)審計師懷疑發(fā)生了事故。信息系統(tǒng)審計師首先應(yīng)該做什么?D、調(diào)查事故的來源和性質(zhì)316.A3-94在審計輸入控制時，某信息系統(tǒng)審計師發(fā)現(xiàn)根據(jù)企業(yè)政策，流程允許監(jiān)督人員覆蓋數(shù)據(jù)驗證編輯，信息系統(tǒng)審計師應(yīng)：A、不予重視，因為可能存在其他補(bǔ)償性控制措施來減輕風(fēng)險D、建議禁止覆蓋操作317.公司準(zhǔn)備把ERP管理軟件開發(fā)工作外包，已經(jīng)通過高層審批，并確定了幾家供應(yīng)商，接下應(yīng)該：C、確認(rèn)ERP功能和對應(yīng)的控制措施，并進(jìn)行排序318.確定配置應(yīng)用程序的內(nèi)部安全控制是否符合組織安全標(biāo)準(zhǔn)的最佳測試是哪個?A、安全報告的可用性和頻率B、業(yè)務(wù)應(yīng)用程序的安全參數(shù)設(shè)置D、應(yīng)用程序的用戶賬戶和密碼319.企業(yè)部署了數(shù)據(jù)存儲硬件，IS審計師應(yīng)審查哪一項以評估IT是否最大限度地利用了存儲和網(wǎng)絡(luò)?D、容量管理計劃320.A3-135信息系統(tǒng)審計師正在評估內(nèi)部軟件開發(fā)項目的管理流程。在軟件功能方面，信息系統(tǒng)審計師應(yīng)查看是否已獲得以下哪方的簽字?321.什么時候應(yīng)該進(jìn)行業(yè)務(wù)連續(xù)性計劃測試?C、完成年度it風(fēng)險評估后測試D、/根據(jù)人員和環(huán)境變化時測試A、網(wǎng)絡(luò)傳輸中的K確認(rèn)機(jī)制B、數(shù)據(jù)包過濾防火墻來重新路由信息C、多重路由或者備選路由D、壓縮網(wǎng)絡(luò)包323.A3-126某信息系統(tǒng)審計師參與了旨在優(yōu)化IT基礎(chǔ)設(shè)施的軟件再工程。以下哪個選項最適合用于識別需要解決的問題?B、逆向工程C、原型設(shè)計324.某業(yè)務(wù)單位已選用新的會計應(yīng)用，但并未在選擇流程中提前咨詢IT部門。主B、該應(yīng)用可能不符合業(yè)務(wù)用戶的需求。C、該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)(EA)不一致。D、該應(yīng)用可能給IT部門帶來不可預(yù)見的支持問題。325.A2-128特定威脅的總體量化業(yè)務(wù)風(fēng)險可表示為：A、影響的可能性和影響大小的乘積(如果威脅成功利用漏洞)B、影響的大小(如果威脅源成功利用漏洞)C、特定威脅源利用特定漏洞的可能性D、風(fēng)險評估團(tuán)隊的集體判斷326.A3-136以下哪項與信息系統(tǒng)審計師評估項目經(jīng)理對項目進(jìn)度的監(jiān)控關(guān)系最密切?B、計劃評估和審查技術(shù)圖D、甘特圖327.訂單由于不同的交貨日期，所以一個訂單通常會收到多張發(fā)票，以下哪一項是檢測重復(fù)付款的最佳方法?A、在訂單交易文件中執(zhí)行通用審計軟件B、在開發(fā)環(huán)境中執(zhí)行測試數(shù)據(jù)C、在訂單交易程序中執(zhí)行測試數(shù)據(jù)D、在發(fā)票交易文件中執(zhí)行通用審計軟件328.A5-61審查數(shù)字版權(quán)管理應(yīng)用程序的信息系統(tǒng)審計師預(yù)計會發(fā)現(xiàn)以下哪項技術(shù)被廣泛使用?C、解析D、隱寫術(shù)329.固有風(fēng)險評級通過對威脅或漏洞的影響及可能性評估，威脅或漏洞發(fā)生A、考慮采取內(nèi)部控制措施之前B、考慮內(nèi)部控制措施之后C、應(yīng)用了補(bǔ)償控制措施后330.在審計過程中，IS審計師發(fā)現(xiàn)，人力資源(HR)部門用云應(yīng)用來管理員工記錄。HR部門越過正常的供應(yīng)商管理流程參與一份合同，并自行管理應(yīng)用。以下哪一項最值得關(guān)注?A、未在合同中定義最長的可接受停機(jī)時間指標(biāo)。B、IT部門不管理與云供應(yīng)商之間的關(guān)系。C、服務(wù)臺呼叫中心駐在不同的國家，需遵守不同的隱私要求。331.有道題說機(jī)房里，什么探測應(yīng)該放在地板下面A、水探測B、煙感探測C、氣壓探測332.影響UAT測試的有效性?A、測試數(shù)據(jù)是生產(chǎn)數(shù)據(jù)的精確復(fù)制B、不是最終用戶的業(yè)務(wù)參與測試333.【重要題】公司正打算利用由不同軟件供應(yīng)商提供的應(yīng)用程序組件，并且快速擴(kuò)大規(guī)模。以下哪個架構(gòu)最能確保企業(yè)能夠簡單地添加和重新使用組件來提供服務(wù)?A、三層體系架構(gòu)B、面向服務(wù)的體系結(jié)構(gòu)334.信息系統(tǒng)審計師在審查對公司無線網(wǎng)絡(luò)環(huán)境中的受限制信息的訪問控制時，應(yīng)該考慮到，僅使用下列哪一種方式對用戶進(jìn)行身份驗證最受關(guān)注?A、商討下一步的整改措施B、就審計發(fā)現(xiàn)的問題與被審單位進(jìn)行溝通了解D、了解管理層對審計實施的過程評價336.為確保法庭采信日志信息，最需要以下哪一項衡量標(biāo)準(zhǔn)?確保數(shù)據(jù)：A、具有獨(dú)立的時間戳。B、由多個記錄系統(tǒng)記錄。337.【重要題】某企業(yè)有兩個數(shù)據(jù)庫，為滿足管理層對數(shù)據(jù)庫高彈性的需求，應(yīng)該A、第二個數(shù)據(jù)庫設(shè)立熱站B、兩個數(shù)據(jù)庫都可以單獨(dú)實現(xiàn)磁盤備份恢復(fù)C、兩個數(shù)據(jù)庫相互備份D、兩個數(shù)據(jù)庫互為鏡相338.審查變更控制文檔，有些補(bǔ)丁未經(jīng)測試就被安裝到了生產(chǎn)環(huán)境中，最大的風(fēng)險是?C、文檔過時339.客戶可以通過internet直接訪問一個Web應(yīng)用系統(tǒng)(客戶關(guān)系管理系統(tǒng))。以下哪一項是審計師最擔(dān)心的?B、系統(tǒng)托管在第三方服務(wù)商的混合云平臺中340.在準(zhǔn)備審計報告時，最重要的技術(shù)審計發(fā)現(xiàn)的編寫：A、用于突出業(yè)務(wù)風(fēng)險B、以單獨(dú)的報告形式C、用于分配責(zé)任歸屬C、肯定不對，可排除D、集成測試342.EFT電子資金轉(zhuǎn)賬相對于手寫支票，最大的優(yōu)勢在于B、降低未授權(quán)的風(fēng)險C、節(jié)約人工成本A、禁止與原系統(tǒng)之間的集成D、簡化所有內(nèi)部流程344.對新系統(tǒng)在投產(chǎn)和執(zhí)行實施后審查之間分配足夠的時D、可排除345.某公司既執(zhí)行完整數(shù)據(jù)庫備份和增量數(shù)據(jù)庫備份。當(dāng)數(shù)據(jù)中心遭破壞后，以下哪一項能夠提供最佳的完全恢復(fù)?A、每周將完全備份移至異地站點答案：DA、減少對敏感信息的保護(hù)成本B、業(yè)務(wù)風(fēng)險與敏感信息相匹配C、提升企業(yè)人員的安全意識347.A5-162組織可以通過以下哪種方式來確保其員工電子郵件的收件人可以對發(fā)件人的身份進(jìn)行驗證?A、對所有電子郵件消息進(jìn)行數(shù)字簽名B、對所有電子郵件消息進(jìn)行加密C、對所有電子郵件消息進(jìn)行壓縮D、對所有電子郵件消息進(jìn)行密碼保護(hù)348.企業(yè)要替換當(dāng)前的會計系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數(shù)據(jù)完整性B、應(yīng)急回退計劃D、功能集成測試349.信息系統(tǒng)審計師在在制定審計計劃時，應(yīng)首先執(zhí)行以下哪一項活動?A、確定風(fēng)險優(yōu)先順序D、分配審計資源350.下列哪一項對于IT治理成功具有最大影響?A、IT戰(zhàn)略嵌入所有風(fēng)險管理過程351.哪項技術(shù)便于了解和實行實際操作A、與流程所有者面談B、觀測實際流程C、審核實際操作與政策是否一致352.企業(yè)打算外包其信息安全之能，其中哪項不能外包只能留在企業(yè)內(nèi)?B、制定公司安全策略C、實施公司安全策略353.A3-23正在使用原型設(shè)計開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)的變更控制會因以下哪個因素而變得復(fù)雜?A、原型設(shè)計的迭代性質(zhì)B、快節(jié)奏的需求和設(shè)計修改354.公司用了軟件即服務(wù)(saas),在軟件供應(yīng)商不再提供服務(wù)的情況下怎樣能保證可用性?A、復(fù)制這個軟件(大概是意思)B、把數(shù)據(jù)定期備份C、在網(wǎng)絡(luò)連接上做一個冗余D、第三方托管355.在制定災(zāi)難恢復(fù)與應(yīng)急計劃時，下面哪一種情況不是正確的考慮?A、在多個站點的環(huán)境下，應(yīng)當(dāng)為每一個計算機(jī)中心制定一份單獨(dú)的恢復(fù)計劃B、所有相對不重要的工作沒有必要恢復(fù)C、在異地恢復(fù)站點恢復(fù)系統(tǒng)處理能力時要用到的所有資源與材料應(yīng)當(dāng)是可獲得的D、對應(yīng)急計劃測試與維護(hù)應(yīng)當(dāng)是一個持續(xù)過程356.某衛(wèi)生保健組織的IS審計師正在檢討考慮由其托管患者健康信息(PHI)的第三方云提供商的合同條款和條件。以下哪一項合同條款將成為客戶組織面臨的最大風(fēng)險?B、第三方保留訪問數(shù)據(jù)以執(zhí)行某些操作的權(quán)利。C、未定義批量數(shù)據(jù)撤回機(jī)制。D、客戶組織負(fù)責(zé)備份、歸檔和恢復(fù)。357.在項目的問題(issues)管理過程中，將出現(xiàn)：B、突發(fā)事件處理計劃A、工齡，因為這有助于確保技術(shù)能力C、IT知識，因為這將增強(qiáng)審計職能的可信度D、作為信息系統(tǒng)審計師，能否獨(dú)立于現(xiàn)有IT關(guān)系361.如何最大地降低清除交易的新進(jìn)程對數(shù)據(jù)庫完整性的不利影響?B、實體entity關(guān)系圖362.A5-235如果某犯罪者企圖通過訪問網(wǎng)絡(luò)中所傳輸加密數(shù)據(jù)的權(quán)限，從而收集到與其相關(guān)的信息，則最可能使用以下哪種方式?B、冒充D、偽裝363.董事會要求審計部門衡量是否將低風(fēng)險等級納入審計計劃，內(nèi)部審計師怎么確定是否審計?A、挑戰(zhàn)(無視)審計等級，審計全部內(nèi)容B、請外部審計師審計低風(fēng)險領(lǐng)域C、利用專業(yè)判斷評估低風(fēng)險領(lǐng)域，審計低風(fēng)險中的部分領(lǐng)域364.【重要題】代理服務(wù)商反饋通過瘦客服端下載數(shù)據(jù)，延遲比較大，應(yīng)該進(jìn)行以下那項措施?A、申請?zhí)鎿Q為胖客戶端D、安裝中間件用來增強(qiáng)客戶端和系統(tǒng)的通信365.將測試程序與生產(chǎn)環(huán)境分離開來的主要原因在于：A、提供有效系統(tǒng)改善管理的基礎(chǔ)B、對程序更改加以控制C、限制信息系統(tǒng)員工對開發(fā)環(huán)境的訪問權(quán)限D(zhuǎn)、在信息系統(tǒng)人員和最終用戶之間實現(xiàn)職責(zé)分離366.以下哪項最可能影響數(shù)據(jù)庫備份的完整性?C、記錄中包含零信息的字段D、將數(shù)據(jù)庫備份到光盤上367.當(dāng)某公司按照合同實施新軟件時，下面哪種方法對于控制因范圍蔓延導(dǎo)致成本增加是至關(guān)重要的?368.A4-53以下哪項會動搖應(yīng)用程序?qū)徲嬡壽E的可靠性?A、在審計軌跡中記錄用戶I。B、安全管理員具有審計文件的只讀權(quán)限C、在執(zhí)行操作時記錄日期和時間戳D、更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄369.A1-44審查應(yīng)用程序控制的信息系統(tǒng)審計師將評估：A、應(yīng)用程序的效率是否滿足業(yè)務(wù)流程B、任何已發(fā)現(xiàn)的風(fēng)險敞口的影響C、應(yīng)用程序所服務(wù)的業(yè)務(wù)流程370.以下哪一項最能表明問題管理流程的有效性?371.A3-106在應(yīng)用程序開發(fā)項目的系統(tǒng)測試階段，信息系統(tǒng)審計師應(yīng)該審查：B、供應(yīng)商合同C、對消息而言是唯一的D、有可再生的哈希算法373.關(guān)于RFID射頻技術(shù)，IS審計師最關(guān)注的是B、可擴(kuò)展性374.A2-97對于一家醫(yī)療保健組織，以下哪個理由最能說明患者福利數(shù)據(jù)倉庫應(yīng)留在組織內(nèi)部，而不能外包出去進(jìn)行離岸運(yùn)營?B、會員服務(wù)代表培訓(xùn)的成本高于高昂C、監(jiān)控遠(yuǎn)程數(shù)據(jù)倉庫的難度較大D、時區(qū)差異可能對客戶服務(wù)造成阻礙375.質(zhì)量保證團(tuán)隊正在測試新的電子票務(wù)應(yīng)用程序，以下哪一項是最大的問題?A、項目經(jīng)理希望推遲幾天實施B、管理電子票務(wù)應(yīng)用程序的用戶管理流程還沒完成設(shè)計C、稅表不會上傳到生產(chǎn)數(shù)據(jù)庫中D、沒有明確定義執(zhí)行測試的用戶驗收標(biāo)準(zhǔn)376.事故管理流程中，哪個環(huán)節(jié)最重要?(2023年4月題干描述為：審計事故管理有效性中，審計師最擔(dān)憂的()是無效的?)B、事故分類D、事故事后審查377.審計師抽樣時，一個案例超過平均值5倍，下一步怎么做?A、增加總體100%抽樣B、報告高管378.使用EXCEL計算項目成本時，將每個成本類別的總計錄入到工作成本表時，下列哪一種方法能最好地確保數(shù)據(jù)輸入的準(zhǔn)確性?A、輸入后“回放”項目的詳細(xì)信息B、有效性檢查，防止輸入字符數(shù)據(jù)C、核對項目的總金額D、就每個成本類別檢查其合理性379.IS審計師發(fā)現(xiàn)被審計的企業(yè)，各部門均制訂了充分的業(yè)務(wù)連續(xù)性計劃(BCP),但是沒有整個企業(yè)的BCP。那么,IS審計師應(yīng)該采取的最佳行動是：B、合規(guī)性措施C、風(fēng)險緩解技術(shù)D、資源利用383.哪種控制在跨網(wǎng)絡(luò)傳輸中有效監(jiān)測數(shù)據(jù)意外損壞A、順序檢查D、校驗(數(shù)字)位384.以下哪一項是使用能力成熟度模型的最大優(yōu)勢?A、績效改進(jìn)相關(guān)的描述(可以排除)B、幫助企業(yè)開發(fā)一個向其期望的成熟度級別發(fā)展的路線圖C、提供了與類似企業(yè)的成熟度級別進(jìn)行對標(biāo)的方式D、幫助企業(yè)評估多久才能在每個領(lǐng)城達(dá)到最高的成熟度385.信息系統(tǒng)審計師正在分析應(yīng)用程序的系統(tǒng)日志中記錄的訪問采樣。如果發(fā)現(xiàn)異常，就會啟動深入調(diào)查，適合使用哪種抽樣方法呢?D、分層抽樣386.將多余的計算機(jī)設(shè)備處理給員工之前，應(yīng)做好哪項工作?A、使用應(yīng)用程序的刪除命令將文件刪除B、使用操作系統(tǒng)命令刪除硬盤上的所有文件C、使用隨機(jī)數(shù)據(jù)覆蓋硬盤驅(qū)動器A、將系統(tǒng)分區(qū)為客戶機(jī)服務(wù)器體系結(jié)構(gòu)B、比過程語言更易編程C、適合具有復(fù)雜關(guān)系的數(shù)據(jù)388.哪一項網(wǎng)絡(luò)安全審查結(jié)果對企業(yè)構(gòu)成最大風(fēng)險?A、IS在上周有待更新→IMZ隔離區(qū)B、非軍事區(qū)中的Internet服務(wù)器托管測試網(wǎng)頁D、上周發(fā)布的操作系統(tǒng)補(bǔ)丁尚未應(yīng)用390.A4-133在較小的組織架構(gòu)中，開發(fā)人員可能將緊急變更直接發(fā)布到生產(chǎn)。在這種情況下，以下哪一項能夠最好地控制風(fēng)險?A、在下一個營業(yè)日審批和記錄變更391.在評估潛在的企業(yè)資源規(guī)劃(ERP)實施供應(yīng)商時，信息系統(tǒng)審計師應(yīng)首先建議B、檢查供應(yīng)商的客戶參考D、審查供應(yīng)商過去的實施項目392.A5-131在對一個內(nèi)部開發(fā)的Web應(yīng)用程序進(jìn)行審計期間，信息系統(tǒng)審計師確認(rèn)，所有的業(yè)務(wù)用戶共享同一訪問配置文件。以下哪項建議對于預(yù)防未授權(quán)數(shù)據(jù)修改風(fēng)險最有用?A、對用戶操作進(jìn)行詳細(xì)的日志記錄B、根據(jù)工作職責(zé)自定義用戶訪問配置文件C、對所有賬戶強(qiáng)制實施強(qiáng)密碼政策D、實施定期訪問權(quán)限審查393.A4-158如果數(shù)據(jù)庫使用前像轉(zhuǎn)儲進(jìn)行恢復(fù)，則中斷后流程應(yīng)從何處開始?A、最后的交易之前B、最后的交易之后C、作為最新檢查點之后的第一個交易D、作為最新檢查點之后的最后一個交易B、敏捷關(guān)注合同協(xié)議而非與客戶的協(xié)作C、敏捷重視對計劃的執(zhí)行而非響應(yīng)變化395.根據(jù)以下哪一項能最能有效地確定數(shù)據(jù)分類類別?A、對個人身份數(shù)據(jù)不同的安全要求B、根據(jù)業(yè)務(wù)功能的關(guān)鍵性D、因丟失或泄漏數(shù)據(jù)對企業(yè)造成的影響396.一個有大量界面程序的應(yīng)用，為了盡早能在前期發(fā)現(xiàn)界面程序的錯位，應(yīng)該采取哪種測試方法397.ERP系統(tǒng)中的三項匹配機(jī)制，審計師應(yīng)審查以下哪一項?A、銀行方(記不清，可排除)D、采購申請單398.在開始后續(xù)跟蹤審計時，審計師第一步應(yīng)采取下面哪項工作?B、與被審計單位討論補(bǔ)救進(jìn)展情況C、收集補(bǔ)救證據(jù)，以此來執(zhí)行控制測試399.信息系統(tǒng)審計師什么時候在審計中應(yīng)用重要性概念最重要?A、評估被審計單位的陳述時B、規(guī)劃審計業(yè)務(wù)時A、自動化軟件版本控制B、審計軌跡C、審查變更日志401.A4-202進(jìn)行防災(zāi)規(guī)劃時，以下哪一項最有助于按優(yōu)先順序安排IT資產(chǎn)的恢復(fù)?查?查，對審計師來說，下面哪項是最重要的?A、審查咨詢顧問提交的類似報告B、重新執(zhí)行安全審查C、評定咨詢顧問的客觀性和勝任能力D、接受咨詢顧問的發(fā)現(xiàn)和結(jié)論405.A1-37在金融交叉的電子數(shù)據(jù)交換通信過程中，對金額字段計算校驗和是為了確保：B、真實性D、不可否認(rèn)性406.以下哪項機(jī)制可以確保及時向高級管理層匯報IT運(yùn)行問題?A、esltion(問題升級流程)B、服務(wù)水平監(jiān)控C、定期狀態(tài)報告407.在對數(shù)據(jù)中心進(jìn)行審計時，審計師應(yīng)當(dāng)檢查電壓調(diào)整器是否存在，以A、如果主電力被中斷，可以提供實時的電力供應(yīng)D、如果主電力被中斷，系統(tǒng)的完整性也可以得到維護(hù)408.以下哪一項是使用秘密秘鑰型加密的優(yōu)勢?B、使用效率C、能在用戶間共享密鑰409.進(jìn)行安全代碼審查工作屬于哪一種類型的控制措施A、改正D、補(bǔ)償410.某新業(yè)務(wù)需求要求變更數(shù)據(jù)庫供應(yīng)商。關(guān)于此項實施，IS審計師應(yīng)當(dāng)主要檢查以下哪個領(lǐng)域?C、用戶的授權(quán)等級411.某IS審計師在執(zhí)行審計時確定，開發(fā)人員已被授予虛擬機(jī)(VM)管理控制臺的管理員訪問權(quán)限，以管理其自己用于軟件開發(fā)和測試的服務(wù)器。對該IS審計師而言，以下哪一項最值得關(guān)注?B、開發(fā)人員已獲得訪問生產(chǎn)服務(wù)器的高級權(quán)限。C、開發(fā)人員可用其應(yīng)用影響生產(chǎn)服務(wù)器的性能。D、開發(fā)人員可將未經(jīng)批準(zhǔn)的應(yīng)用安裝到任何服務(wù)器。412.A4-81在現(xiàn)場工作期間，信息系統(tǒng)審計師發(fā)現(xiàn)了因安裝安全修補(bǔ)程序而導(dǎo)致的系統(tǒng)崩潰問題。為了提供該事故不再發(fā)生的合理保證，信息系統(tǒng)審計師應(yīng)確保：B、客戶的變更管理流程的充分性C、在生產(chǎn)中使用并行測試來對補(bǔ)丁進(jìn)行驗證D、制定補(bǔ)丁的包括風(fēng)險評估在內(nèi)的批準(zhǔn)流程413.以下哪一項最有助于確保整個系統(tǒng)接口的數(shù)據(jù)完整性?A、訪問控制B、系統(tǒng)備份414.以下哪一項是減輕未經(jīng)授權(quán)的代碼跨環(huán)境移動相關(guān)風(fēng)險的最佳方式?415.A4-119從某個供應(yīng)商購買了某個新應(yīng)用，并且即將實施。實施應(yīng)用時，以下哪一項是關(guān)鍵考慮因素?A、防止在實施流程中損壞源代碼B、確保已禁用供應(yīng)商的默認(rèn)賬戶和密碼D、核實供應(yīng)商在履行支持和維護(hù)協(xié)議416.一個做采購和分銷業(yè)務(wù)的公司，計劃采用集中網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)，最可能是基于什么因素考慮：B、消除數(shù)據(jù)庫正規(guī)化限制417.某IS審計師應(yīng)要求審查針對某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后，是否遵守合同條款的最佳途徑是什么?B、與客戶IT經(jīng)理定期召開會議。D、要求在合同中說明性能參數(shù)。418.A1-64在判斷自上次進(jìn)行授權(quán)的程序變更后是否存在未授權(quán)的程序變更時，以下哪項審計技術(shù)將最大限度地幫助信息系統(tǒng)審計師?A、測試數(shù)據(jù)運(yùn)行B、代碼審查C、自動代碼比對公司重組問題，目前只有幾個審計師，且能力一般，這種情況下，最合適的解決方B、列入下個年度進(jìn)行審計420.在審計射頻識別技術(shù)(RFID)時，最應(yīng)該注意什么?A、可擴(kuò)展性B、不可否認(rèn)性421.創(chuàng)建數(shù)據(jù)分類程序時，首要步驟是什么A、按所有者分類信息D、制定數(shù)據(jù)流程圖422.A1-36一位信息系統(tǒng)審計師正在執(zhí)行一項系統(tǒng)配置審查。以下那個選項是支持當(dāng)前系統(tǒng)配置設(shè)置的最佳證據(jù)?B、包含信息系統(tǒng)審計師從系統(tǒng)中抽取的配置值的標(biāo)準(zhǔn)報告D、企業(yè)主對批準(zhǔn)的系統(tǒng)配置值的年度審核B、分離客戶網(wǎng)絡(luò)B、突出顯示高層數(shù)據(jù)定義C、以圖形方式匯總數(shù)據(jù)路徑和存儲426.審計師發(fā)現(xiàn)數(shù)據(jù)中心濕度很高，最會導(dǎo)致以下哪項風(fēng)險?C、電壓變小427.數(shù)據(jù)中心環(huán)境控制審計可能包括以下哪一項審查?A、有權(quán)進(jìn)入數(shù)據(jù)中心的人員名單C、數(shù)據(jù)中心的訪問日志D、天花板上沒有濕管428.A3-121信息系統(tǒng)審計師發(fā)現(xiàn)，由于開發(fā)人員實施缺陷修復(fù)工作，導(dǎo)致新系統(tǒng)的用戶驗收測試被再三中斷。以下哪項是該信息系統(tǒng)審計師給出的最佳建議?C、實施源代碼版本控制工具D、只重新測試高優(yōu)先級缺陷429.項目發(fā)生變化，但對應(yīng)的業(yè)務(wù)案例沒有變化A、影響業(yè)務(wù)實施B、影響IT實施D、沒有人支持項目430.信息系統(tǒng)審計師發(fā)現(xiàn)，關(guān)鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計師下一步應(yīng)該?A、擴(kuò)大審計范圍B、確定根本原因D、要求立即執(zhí)行備份431.信息系統(tǒng)審計師將發(fā)現(xiàn)的問題報告給審計方，審計方管理層忽視該問題的存在，第三方組織需要獲取審計報告，此時信息系統(tǒng)審計師應(yīng)：A、獲取被審計組織的認(rèn)可后，提供給第三方432.以下哪個文檔在檢測職責(zé)分離漏洞時最有用?B、業(yè)務(wù)流程圖C、實體關(guān)系圖433.A3-134評估項目計劃中指定的“超出范圍”部分時，信息系統(tǒng)審計師應(yīng)確定A、有效地描述了非正式的項目目標(biāo)B、有效地描述了項目邊界C、明確說明了項目的“鍍金”目標(biāo)D、為項目團(tuán)隊提供必要的靈活性434.A2-2某信息系統(tǒng)審計師在審核IT政策時發(fā)現(xiàn)一些政策未經(jīng)管理人員的審批(政策要求須審批),但員工嚴(yán)格遵守這些政策。信息系統(tǒng)審計師首先應(yīng)該做什么?A、忽視管理人員未審批這一事實，因為員工遵守了這些政策B、建議將這些政策立即提交管理人員審批C、強(qiáng)調(diào)管理人員審批的重要性D、提交報告，提出缺少審批文件435.A1-35信息系統(tǒng)審計師審查在線電子資金轉(zhuǎn)賬對賬流程時，應(yīng)該確保覆蓋：436.以下哪項使用回歸測試A、單元測試B、系統(tǒng)修改437.審計師發(fā)現(xiàn)數(shù)據(jù)庫的數(shù)據(jù)與財務(wù)系統(tǒng)上顯示的財務(wù)數(shù)據(jù)并不一致，以下哪一項是最大的風(fēng)險A、可能根據(jù)錯誤的數(shù)據(jù)做出錯誤的決定C、報告無法按時出具438.審計師發(fā)現(xiàn)防火墻已過時，并且供應(yīng)商已不提供支持。下列哪一項任務(wù)最恰當(dāng)?shù)孛枋隽俗罴训南乱恍袆臃桨?C、確定防火墻的價值B、利用臨時管理員賬號進(jìn)行修補(bǔ)440.A5-65以下哪項加密算法選項會增加開銷/成本?A、使用對稱加密，而不是非對稱加密D、使用密鑰441.內(nèi)部審計部門最近建立了一個質(zhì)量保證(QA)計劃。質(zhì)量保證計劃要求包括以下哪一項最重要?A、從內(nèi)部審計員工獲得反饋442.在小型組織中，信息系統(tǒng)審計師發(fā)現(xiàn)安全管理和系統(tǒng)分析功能由同一個員工執(zhí)行，這反映出以下哪個問題?D、沒有工作說明進(jìn)行更新以反應(yīng)當(dāng)前的現(xiàn)狀443.下列哪一項最可能包括在實施后審查中?A、測試結(jié)果D、實際運(yùn)行的處理(liveprocessing)結(jié)果444.A4-166信息系統(tǒng)審計師在核實某互聯(lián)網(wǎng)服務(wù)提供商(ISP)是否遵循外包電子通信服務(wù)可用性的企業(yè)服