（新版）cisa國際注冊信息系統(tǒng)審計師考試（重點）題庫（含答案）1.最大程度降低電子商務環(huán)境中通信故障風險的最好方法是：A、網(wǎng)絡傳輸中的K確認機制B、數(shù)據(jù)包過濾防火墻來重新路由信息C、多重路由或者備選路由D、壓縮網(wǎng)絡包參考答案：C2.組織使用生產系統(tǒng)的交易信息，最大的風險是：A、對信息未進行脫敏處理B、對生產系統(tǒng)的交易信息修改進行測試C、不能測試全部功能D、交易信息中有大量相似數(shù)據(jù)參考答案：A3.執(zhí)行備份的做法反映了哪一種類型的內部控制?A、預防B、檢測C、改正性D、補償參考答案：C4.在應用加密的備份磁帶時，最重大的關注應是以下哪一項?A、丟失加密密鑰B、缺乏磁帶的物理安全性C、因加密過程造成數(shù)據(jù)不準確D、與未來軟件版本不兼容參考答案：A5.在一項it開發(fā)項目中調整方案需要用到額外資金，這筆額外資金最適合由誰獲得?（項目因為新增需求，已經確認需要增加經費，誰最應該獲取該項費用?）A、審計師B、項目發(fā)起人C、董事會D、項目經理參考答案：D6.在下一年選擇進行哪些信息系統(tǒng)審計的主要依據(jù)是什么?A、上一年的審計發(fā)現(xiàn)結果B、高層管理層的要求C、組織風險評估D、以前的審計范圍參考答案：C7.在數(shù)據(jù)庫系統(tǒng)中，正規(guī)化的用途是?A、消除死鎖B、減少數(shù)據(jù)冗余。C、縮短數(shù)據(jù)訪問時間。D、使數(shù)據(jù)標準化。參考答案：B8.在實施后審查時，以下哪一項最能證明用戶需求得到了滿足?A、操作員的錯誤日志B、客戶服務事故支持請求的數(shù)量C、最終用戶使用文檔D、用戶驗收測試已簽收參考答案：D9.在審計防火墻配置時，信息系統(tǒng)審計師發(fā)現(xiàn)防火墻已集成到一個新系統(tǒng)中，該系統(tǒng)同時提供防火墻和入侵檢測功能。信息系統(tǒng)審計師應該：A、評估當前工作人員是否能夠支持新系統(tǒng)。B、認為跟進審計不必要，因為不再使用防火墻。C、評估集成系統(tǒng)是否解決已識別的風險。D、審查新系統(tǒng)與現(xiàn)有網(wǎng)絡控制的兼容性。參考答案：C10.在審計IT管理時，審計師最擔心見到一下情況A、IT戰(zhàn)略計劃需要的經費沒有經過審批B、IT戰(zhàn)略計劃來源于互聯(lián)網(wǎng)最新趨勢C、上一年IT戰(zhàn)略計劃沒有實現(xiàn)D、IT戰(zhàn)略計劃停留在技術架構層面。參考答案：B11.在審查用戶賬戶政策時，信息系統(tǒng)審計師的最大擔憂是什么?A、員工辭職后，沒有撤銷其系統(tǒng)訪問權限的相關政策B、當員工更改角色時，沒有任何政策可以撤銷以前的訪問權限C、沒有要求員工簽署保密協(xié)議（N）的相關政策D、沒有針對安全意識培訓的政策參考答案：B12.在審查IT治理的時候，在以下選項中，審計師最關注的是?A、董事會所指定的政策策略的遵循情況B、管理部門所采用的控制框架C、審計委員會會議記錄中與信息系統(tǒng)有關的事項與控制內容D、業(yè)務流程責任人的職責在企業(yè)內部是否一致參考答案：C13.在評估企業(yè)的漏洞掃描計劃的有效性時，以下哪項是信息系統(tǒng)審計師的最大顧慮？A、執(zhí)行漏洞掃描的頻率低于企業(yè)漏洞掃描計劃的要求B、結果沒有報告給有權確保解決相關漏洞的關系人C、未正式書面記錄針對已識別漏洞所采取的步驟D、結果沒有得到高級管理層的批準參考答案：B14.在擬定基于風險的審計計劃時，以下哪一項是最好的信息來源？A、流程所有者識別關鍵控制。B、系統(tǒng)監(jiān)管人識別漏洞。C、審計團隊成員了解以前的審計結果。D、高級管理層識別關鍵業(yè)務流程。參考答案：D15.在開發(fā)新的財務應用程序時，信息系統(tǒng)審計師首先應參與A、控制設計B、可行性研究C、系統(tǒng)測試D、應用程序設計參考答案：B16.在開發(fā)階段添加新功能時，以下哪項是與沒有遵循項目更改管理流程相關的主要風險A、新功能可能不符合要求B、尚未記錄添加的功能C、項目超出預算參考答案：A17.在共享的處理環(huán)境中，最大的挑戰(zhàn)是：A、分離客戶數(shù)據(jù)B、分離客戶網(wǎng)絡C、合并結果D、保持一致的標準參考答案：A18.在公司實施了語音通信（VOIP）,哪一項是存在的最大問題?A、不能在公司內網(wǎng)用VPNB、數(shù)字和語音不能互相轉換C、數(shù)字和語音傳輸?shù)膯我还收宵cD、由于網(wǎng)絡問題引起的丟包導致語音質量受影響參考答案：C19.在跟蹤審計過程中發(fā)現(xiàn)之前的審計報告，存在問題，首選需要報告給：A、業(yè)務管理部門B、審計項目經理C、項目經理D、高級管理層參考答案：B20.在發(fā)生事故時，以下哪一項最有利于法律程序?A、根本原因分析（類似的描述，可排除）B、執(zhí)行電子取證的權利C、法律顧問的建議D、保持保管鏈參考答案：D21.在把關鍵系統(tǒng)遷移到云服務提供商的過程中，企業(yè)對數(shù)據(jù)安全性的最大顧慮是：A、在法律查詢過程中可能要求來自不同客戶的數(shù)據(jù)B、不同客戶的數(shù)據(jù)應遵守的政府法規(guī)可能各不相同C、不同客戶的數(shù)據(jù)可能受制于災難恢復的不同服務水平協(xié)議（SL）D、不同客戶的數(shù)據(jù)之間可能沒有實施隔離參考答案：B22.在web應用中,包含以下哪一項可以保證最高的安全性?A、SSLB、SFTPC、TelnetD、TLS（trnsportlyersewwity）參考答案：D23.在IT治理中，以下哪一項對有效的風險管理來說事必要的？A、IT風險管理與公司風險管理相分離B、審計委員會負責批準風險管理策略C、各地區(qū)經理（localmanagers）只負責風險評估D、在管理過程中對風險進行評估參考答案：D24.銀行的自動柜員機（ATM）是一種專門用于銷售點的終端，它可以：A、必須包括高層的邏輯和物理安全B、一般放置在入口稠密的場所以威懾盜竊與破壞C、只能用于支付現(xiàn)金和存款服務D、利用保護的通訊線進行數(shù)據(jù)傳輸參考答案：A25.銀行的零售系統(tǒng)剛換了服務器，確保服務器能夠在滿意的響應時間得到響應的測試方法是：（也有考生回憶為：互聯(lián)網(wǎng)要求很大交易量，最需要進行什么測試?）A、集成測試B、回歸測試C、系統(tǒng)測試D、基準測試參考答案：D26.以下哪一種是檢測型控制?A、輸入格式驗證B、進行恢復程序C、密碼控制D、散列驗證參考答案：D27.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的?A、吸取的經驗教訓已記錄存檔并加以應用B、業(yè)務和IT相關人員都參加到實施后分析中C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題D、實施后分析是系統(tǒng)開發(fā)生命周期（SL）中的一個正式階段參考答案：A28.以下哪一項最能表明企業(yè)的安全意識計劃有效性得到了改善?A、減少惡意軟件爆發(fā)數(shù)量B、員工報告的網(wǎng)絡釣魚電子郵件數(shù)量增加C、完成意識培訓的人員數(shù)量增加D、信息安全審計發(fā)現(xiàn)數(shù)量減少參考答案：B29.以下哪一項最好地保證了醫(yī)療機構正確處理了數(shù)據(jù)?A、遵守審計提出的問題進行整改B、遵從行業(yè)標準和最佳實踐C、遵從企業(yè)的政策和程序D、遵從當?shù)胤珊头ㄒ?guī)參考答案：D30.以下哪一項提供了證明IT與業(yè)務之間保持一致的最佳證據(jù)?A、務目標B、某企業(yè)已經建立了一個正式流程，用C、于對IT項目進行優(yōu)先排序以實現(xiàn)業(yè)D、N參考答案：A31.以下哪一項是用于確定企業(yè)是否已充分評估與潛在自然災害相關風險的最佳信息源?A、審計風險評估B、業(yè)務連續(xù)性計劃（P）C、業(yè)務影響分析（I）D、災難恢復計劃參考答案：B32.以下哪一項是系統(tǒng)變更回滾計劃的主要目的?A、確保系統(tǒng)變更有效B、確保在實施變更之前存在備份C、確保在需要時可以重新執(zhí)行測試D、確保存在必要時刪除變更的步驟參考答案：D33.以下哪一項是減輕未經授權的代碼跨環(huán)境移動相關風險的最佳方式?A、質量控制B、變更管理C、軟件備份管理D、版本控制參考答案：D34.以下哪一項是表明高級管理層審查了IT表現(xiàn)的最佳證據(jù)？A、執(zhí)行管理委員會會議紀要B、IT戰(zhàn)術規(guī)劃C、平衡積分卡D、關鍵性IT表現(xiàn)指標參考答案：C35.以下哪一項是保護公司隱私相關數(shù)據(jù)安全的最佳方式？A、對個人身份信息進行加密B、告訴數(shù)據(jù)所有者收集信息的目的C、將隱私相關數(shù)據(jù)歸類為機密信息D、頒布數(shù)據(jù)分類方案參考答案：D36.以下哪一項能夠在實施之前最可以確定滿足業(yè)務需要?A、可行性分析B、UTC、實施后審查）D、實施計劃分析參考答案：B37.以下哪一項能夠提供證明防火墻配置與公司安全策略相一致的最佳審計證據(jù)A、審查規(guī)則定義庫B、執(zhí)行滲透測試C、分析配置更改是如何執(zhí)行的D、分析日志文件參考答案：A38.以下哪一項控制措施能夠最有效地確保董事會收到有關IT的足夠信息？A、CIO應要求向董事會個別成員作簡短陳述。B、CIO及時報告績效和糾正措施。C、董事會成員熟悉IT并就IT問題咨詢CIO。D、董事會、CIO及技術委員會之間召開會議。參考答案：D39.以下哪項最能確保信息資產的機密性？A、按照“按需分配”的訪問控制原則B、采用雙因素身份認證控制C、人員安全意識培訓D、為所有用戶配置只讀權限參考答案：A40.以下哪項最可能影響數(shù)據(jù)庫備份的完整性?A、使用關聯(lián)數(shù)據(jù)庫模型B、在備份過程中打開數(shù)據(jù)庫文件C、記錄中包含零信息的字段D、將數(shù)據(jù)庫備份到光盤上參考答案：B41.以下哪項是云服務提供商實施了安全政策程序的最佳證據(jù)?A、對網(wǎng)絡安全配置參數(shù)的審查B、第三方提供的審計報告C、其他客戶對服務商的評價D、服務提供商安全管理層提供的安全策略參考答案：B42.以下哪項是檢測重復付款最有效的方法?A、加密和解密信息摘要B、評估付款歷史的合理性和審批情況C、查看每個交易的序列號和時間戳D、使用加密哈希算法參考答案：C43.以下哪項確定關鍵功能的恢復順序A、BCPB、DRPC、BIA參考答案：C44.移動設備要丟棄，怎么保證安全?（下列哪像對于磁盤清理數(shù)據(jù)最有效?）A、多次復寫B(tài)、清除數(shù)據(jù)軟件數(shù)據(jù)（數(shù)據(jù)擦除）C、把移動設備放置在強磁場中D、格式化參考答案：C45.移動磁介質設備要丟棄，怎么保證安全?A、多次覆寫B(tài)、清除數(shù)據(jù)軟件清除數(shù)據(jù)C、磁化該移動設備D、格式化E、（沒說磁介質則選A）參考答案：C46.一名IS審計師正在審查某企業(yè)的系統(tǒng)開發(fā)測試政策。在以下有關使用生產數(shù)據(jù)進行測試的陳述中，此IS審計師會認為哪項最恰當?A、必須經高級IS和業(yè)務管理層批準使用后，生產數(shù)據(jù)才能用于測試。B、只要將生產數(shù)據(jù)復制到安全的測試環(huán)境中，就可使用。C、決不能使用生產數(shù)據(jù)。必須基于書面的測試案例準備所有測試數(shù)據(jù)。D、如果簽署了保密協(xié)議，便可使用生產數(shù)據(jù)。參考答案：A47.一家擁有300家零售店鋪的公司正在部署分布式新系統(tǒng)，下面哪一種上線計劃比較合適？A、在某個典型店鋪實施上線B、300年店鋪全部并行上線C、挑選一些具有特點的店鋪并行上線D、分階段上線參考答案：C48.一個做采購和分銷業(yè)務的公司，計劃采用集中網(wǎng)絡數(shù)據(jù)庫系統(tǒng)，最可能是基于什么因素考慮：A、增加數(shù)據(jù)冗余度B、消除數(shù)據(jù)庫正規(guī)化限制C、保證數(shù)據(jù)庫完整性D、便于數(shù)據(jù)統(tǒng)計參考答案：C49.要實施IT治理框架，董事會需要做到?A、解決IT技術問題B、成立IT戰(zhàn)略委員會C、審批IT戰(zhàn)略D、了解所有IT項目發(fā)展參考答案：B50.信息系統(tǒng)投資的業(yè)務案例需要保留到什么時候?A、信息系統(tǒng)壽命已盡（系統(tǒng)廢止）B、投資信息系統(tǒng)已退休（投資退休）C、投資決策獲得批準后D、投資收益已充分實現(xiàn)參考答案：A51.信息系統(tǒng)審計師正在評估一項基于Web的客戶服務應用程序開發(fā)項目的進度，以下哪一項對此評估最有幫助?A、關鍵路徑分析報告B、積壓消耗報告C、更改管理日志D、開發(fā)者狀態(tài)報告參考答案：B52.信息系統(tǒng)審計師正計劃對企業(yè)的風險管理實踐進行審計。以下哪一項提供有關風險偏好的最有用信息？A、之前的審計報告B、風險政策C、風險評估D、管理層的主張參考答案：D53.信息系統(tǒng)審計師在審查某組織在各個辦公地點之間傳輸敏感數(shù)據(jù)的方法。以下哪一項會引起審計師最大的擔心？此方法完全依賴于使用：A、數(shù)字簽名。B、非對稱加密算法。C、對稱加密算法D、公共密鑰基礎結構參考答案：A54.信息系統(tǒng)審計師在審查傳輸公開可用信息的系統(tǒng)接口，哪一項最令人擔憂？A、什么界面跟蹤程序（可排除）B、下載的數(shù)據(jù)與原系統(tǒng)數(shù)據(jù)不同C、數(shù)據(jù)未加密D、數(shù)據(jù)在傳輸時被截獲參考答案：B55.信息系統(tǒng)審計師在上線之前審查新系統(tǒng)的項目計劃時，注意到項目團隊尚未記錄恢復計劃。以下哪一項是這一情況下最佳的系統(tǒng)上線方法？A、均衡負載B、（明顯不對，可排除）C、立即切換D、并行切換參考答案：D56.信息系統(tǒng)審計師應該會在下列哪一個SDLC階段，發(fā)現(xiàn)控制措施已集成到系統(tǒng)規(guī)范中？A、實施B、設計C、開發(fā)D、可行性研究參考答案：B57.信息系統(tǒng)審計師認為LAN訪問安全性令人滿意，審計經理在復查此項工作時需要？A、驗證既定審計計劃的步驟是否都已經執(zhí)行B、重新執(zhí)行某些審計步驟，以驗證工作質量。C、評估審計師是否具有執(zhí)行此工作的相應技能。D、驗證用戶管理部門是否同意審計發(fā)現(xiàn)參考答案：A58.信息系統(tǒng)審計師發(fā)現(xiàn)數(shù)據(jù)庫管理系統(tǒng)維護后未重新啟動審計日志，以下哪一項是最大的問題?A、將不能記錄數(shù)據(jù)庫管理員所作的更改操作B、將不能優(yōu)化數(shù)據(jù)庫的觸發(fā)器和指針C、將不能記錄應用程序用戶所作的更改操作D、將妨礙數(shù)據(jù)庫優(yōu)化參考答案：A59.信息系統(tǒng)審計師發(fā)現(xiàn)，有長達6個多月時間末在關鍵服務器上安裝要求的安全補丁程序。下一個行動步驟應該是：A、審查補丁管理程序。B、將審計發(fā)現(xiàn)通知高級管理層。C、請求盡快安裝補丁程序。D、確定延遲安裝補丁的根本原因。參考答案：D60.信息系統(tǒng)審計師發(fā)現(xiàn)，許多離職員工尚未從應付賬款系統(tǒng)中刪除。為了評估風險，確定以下哪一項最重要?A、與應付賬款系統(tǒng)相關的入侵嘗試的頻率B、管理層對用戶訪問權限進行審查的頻率C、終止離職員工訪問的流程D、離職員工實際訪問系統(tǒng)的能力參考答案：D61.信息系統(tǒng)審計師發(fā)現(xiàn)，關鍵系統(tǒng)的備份未按照BCP中建立的RPO執(zhí)行。審計師下一步應該?A、擴大審計范圍B、確定根本原因C、將觀察結果包含在報告中D、要求立即執(zhí)行備份參考答案：B62.信息安全政策主要基準是？（信息系統(tǒng)審計師在協(xié)助企業(yè)定義信息安全政策應該考慮哪些因素）A、過去發(fā)生的安全事故B、行業(yè)最佳實踐C、風險管理流程D、安全管理框架參考答案：D63.項目實施后一個月，審查中采用調查問卷的方式，哪項影響最大A、一個月之后才發(fā)問卷B、問卷沒有開放性回答C、沒有把結果報告管理層D、用戶對調查問卷參與不積極參考答案：C64.下哪一項最有可能確保災難恢復（DR）工作取得成功？A、進行桌面演練。B、完成數(shù)據(jù)恢復。C、批準恢復程序。D、承諾適當?shù)娜肆Y源。參考答案：B65.下哪一項是啟用數(shù)據(jù)庫審計軌跡的主要益處?A、可以實現(xiàn)問責制B、可以實現(xiàn)職責分離C、可以調查交易過程D、可以提高可用性參考答案：A66.下面哪一項措施是防止非授權登錄最可靠的方法？A、加強現(xiàn)有的安全策略B、發(fā)放身份令牌C、限制在下班后使用計算機D、安全自動密碼生成器參考答案：B67.下列哪一項最有可能影響數(shù)據(jù)庫備份的完整性?A、在備份過程中打開數(shù)據(jù)庫文件B、將數(shù)據(jù)庫備份到光盤上C、使用關系數(shù)據(jù)庫模型D、記錄包含零信息的字段參考答案：A68.下列哪一項能夠最有效地防止病毒進入局域網(wǎng)中A、禁止用戶訪問互聯(lián)網(wǎng)B、定期掃描網(wǎng)絡上的硬盤C、禁用下載可執(zhí)行文件的能力D、在網(wǎng)絡服務器上安裝內存駐留病毒掃描程序參考答案：D69.下列哪一項對信息安全管理系統(tǒng)的成功最為關鍵?A、信息安全與IT目標的統(tǒng)一B、用戶對信息安全的責任確立C、管理部門對信息安全的承諾D、業(yè)務與信息安全的集成參考答案：C70.系統(tǒng)目標的決定者是誰？A、用戶B、流程所有者C、信息安全管理者D、IT管理者參考答案：B71.系統(tǒng)采用帳單每周自動傳輸?shù)狡髽I(yè)帳戶總帳，經檢查發(fā)現(xiàn)缺少一周的帳單，應檢查A、模塊訪問權限B、批處理控制C、變更D、年度對帳參考答案：B72.為確保法庭采信日志信息，最需要以下哪一項衡量標準？確保數(shù)據(jù)：A、具有獨立的時間戳。B、由多個記錄系統(tǒng)記錄。C、經過最安全的加密算法加密。D、經過驗證，以確保日志的完整性。參考答案：D73.為了提升大型企業(yè)的信息安全培訓意識，以下哪項是最好的措施?A、確保制定培訓計劃B、培訓需要安排考試C、所有員工使用同一份課程進行培訓D、分角色等級分別設計課程參考答案：D74.為了解決審計發(fā)現(xiàn)，以下哪一項是信息系統(tǒng)審計師的角色？A、解釋審計發(fā)現(xiàn)并提供一般建議B、提供整改方案并協(xié)助管理層實施C、設計信息系統(tǒng)架構參考答案：A75.為了幫助信息系統(tǒng)審計師從發(fā)現(xiàn)和結論中做出判斷，審計證據(jù)應該：A、采集、經過檢查并且受到保護B、符合法律和法規(guī)要求C、認定為充分的、可靠的和相關的D、符合監(jiān)管鏈要求參考答案：C76.為了幫助董事會履行IT治理職責，IT指導委員會應該：A、制定項目跟蹤的IT政策和措施B、將注意力集中在IT服務和產品的供應上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略參考答案：D77.通過哪種方式，信息系統(tǒng)審計師可以有效評估整體IT性能?A、IT價值分析B、以往審計報告C、IT平衡積分卡D、漏洞評估報告參考答案：C78.數(shù)據(jù)庫管理員發(fā)現(xiàn)一些表的性能問題可以通過反向規(guī)格化（denormalization）來解決。這種情況下會增加哪像風險（）?A、同時并行訪問B、死鎖C、非授權的數(shù)據(jù)訪問D、數(shù)據(jù)完整性的丟失參考答案：D79.瘦客戶機的缺點：A、并發(fā)性B、可移植C、機密性D、可用性參考答案：A80.實施新的應用程序軟件包（或第三方應用），最大的風險是A、參數(shù)配置錯誤B、沒有審計軌跡C、交易量過大D、交易敏感度高參考答案：A81.審計師在設計階段應該評估A、開發(fā)方法B、應用功能C、兼容性D、是否有自動控制參考答案：D82.審計師在抽樣中設定了較高的預期差錯率，這將導致A、更多的樣本B、更低的標準偏差參考答案：A83.審計師對團隊進行特定項目通過特定控制進行審計時，對于出現(xiàn)頻率較低的關鍵控制，以下哪種抽樣方式能發(fā)現(xiàn)欺詐行為有所幫助?A、停走抽樣B、發(fā)現(xiàn)抽樣C、貨幣單位抽樣D、隨機抽樣參考答案：B84.審計第三方供應商的關鍵績效指標KPI時，審計師最大的擔憂是?A、KPI沒有文檔記錄B、KPI指標沒有明確定義C、KPI從從未更新D、KPI數(shù)據(jù)沒有加以分析參考答案：B85.審查新成立的CallCenter內的控制時，首先應A、評估與風險中心有關的操作風險B、測試呼叫中心的技術基礎設施C、從客戶那里收集服務響應時間和服務質量的信息D、審查呼叫中心的人工和自動控制參考答案：A86.審查來自供應商的服務級別報告能最有效地協(xié)助審計師確定？A、供應商是否提供了必要的安全保障B、供應商是否遵循所有的適用的法律法規(guī)C、與供應商合同到期后是否可以續(xù)約D、供應商是否在實現(xiàn)預期目標參考答案：D87.審查過去的審計結果時，審計師發(fā)現(xiàn)審計報告可能不正確，也不具備獨立性，審計師下一步怎么做?A、重新執(zhí)行審計B、報告審計委員會C、報告審計部門領導D、重新執(zhí)行控制測試參考答案：C88.審查變更控制文檔，有些補丁未經測試就被安裝到了生產環(huán)境中，最大的風險是?A、影響系統(tǒng)完整性B、開發(fā)人員能夠接觸生產C、文檔過時D、沒有應用系統(tǒng)支持參考答案：B89.軟件使用可持續(xù)時間應在哪個階段確定？A、設計階段B、用戶測試之后C、提供給運維之前D、實施后參考答案：A90.入侵檢測系統(tǒng)（IDS）可以起到哪些作用?A、代替防火墻B、調查網(wǎng)絡內部攻擊C、彌補身份驗證機制的不足D、提供增強安全基礎設施的保障信息參考答案：D91.如何最大地降低清除交易的新進程對數(shù)據(jù)庫完整性的不利影響?A、數(shù)據(jù)庫結構B、實體entity關系圖C、測試環(huán)境中的進程結果D、觸發(fā)器設計參考答案：D92.如何確保審計師在控制自我評估中的獨立性?A、設計CSA調查問卷B、參與其中C、監(jiān)督并提供整改意見D、評估CSA調查問卷參考答案：C93.如何充分驗證定期備份的及時性與有效性？A、訪談關鍵人員B、審查備份日志樣本C、查看備份的策略與程序D、觀察備份運行的執(zhí)行情況參考答案：B94.如果跟蹤審計顯示尚未啟動某些管理行動計劃，信息系統(tǒng)審計師首先應該怎么做?A、判斷所識別的風險是否仍然有效B、將計劃未完成的情況上報給管理層C、向審計委員會提供報告D、要求進行額外的行動計劃審查，以確認審計發(fā)現(xiàn)參考答案：A95.確保從遠程位置傳到生產倉庫的所有訂單都準確和完整接收的最適當控制是：A、發(fā)送并核對交易記錄數(shù)量和匯總交易總數(shù)。B、跟蹤并計算銷售訂單編號的連續(xù)性。C、驗證奇偶校驗是否仍然有效。D、將數(shù)據(jù)傳回發(fā)源地，然后進行比對參考答案：A96.前端銷售人員把收入21.01美元輸錯成2101.00美元，組織沒有實施批平衡控制，并且所有的交易明細都會統(tǒng)一傳到財務部，為避免錯誤錄入，應該?A、自動核對收入和交易的總和B、在生產前審批訂單C、在系統(tǒng)中記錄所有客戶訂單D、在訂單過程中使用hshtotl參考答案：A97.企業(yè)指派了由三名營銷部門員工組成的小組使用共享的營銷部門帳戶，對公司的社交媒體網(wǎng)頁進行每日更新。最重大的風險是：A、發(fā)布未經批準的企業(yè)信息B、并發(fā)登錄造成對網(wǎng)頁的更新沖突C、缺乏協(xié)調導致冗余更新D、缺乏對更新的問責制參考答案：D98.企業(yè)要參換當前的會計系統(tǒng)，上線新的系統(tǒng)，以下哪種方式最能保證數(shù)據(jù)完整性?A、平行實施B、應急回退計劃C、試點實施D、功能集成測試參考答案：A99.企業(yè)將員工薪酬系統(tǒng)的外包業(yè)務轉為內部軟件，4月份并行實施后進行新舊系統(tǒng)對比，哪項能更好的說明數(shù)據(jù)的完整性。A、抽樣部分員工的薪酬數(shù)據(jù)B、對比員工總人數(shù)和今年的薪資總數(shù)C、對比工資日記賬中的員工的主數(shù)據(jù)參考答案：C100.企業(yè)建立了開發(fā)、測試及生產三種IT處理環(huán)境。將開發(fā)環(huán)境和測試環(huán)境分開的主要原因是：A、將用戶的訪問權限限制在測試環(huán)境以內B、在IT人員和最終用戶之間實現(xiàn)職責分離C、在穩(wěn)定的環(huán)境下進行測試D、保護開發(fā)中的程序不受未經授權的測試參考答案：C101.企業(yè)的事故管理程序應包括事故后審查的主要原因是?A、在未遵循程序時采取適當行動B、從發(fā)現(xiàn)的弱點中吸取經驗教訓以改進程序C、為可能的訴訟收集證據(jù)D、實現(xiàn)對高管和審計委員會更有效的報告參考答案：B102.評估應用程序與應用程序之間如何交換數(shù)據(jù)，應該審查：A、對應用程序的風險評估結果B、ER實體關系圖C、服務器及其應用程序列表D、配置管理數(shù)據(jù)庫參考答案：B103.評估IT實際使用資源使用和計劃資源分配的一致性的技術是什么?A、掙得值分析（EV）B、投資回報分析（ROI）C、甘特圖D、關鍵路徑分析（P）參考答案：A104.內部應用程序開發(fā)與定制的最大風險是以下哪一項?A、缺乏測試環(huán)境B、缺乏已開發(fā)程序的相關文檔C、缺乏質量保證功能D、缺乏安全編碼專家的參與參考答案：C105.哪一項提供IT在一家企業(yè)內的作用的最全面描述?A、IT工作說明B、IT章程C、IT組織結構圖D、可排除參考答案：B106.哪一項是確定RTO的主要因素?A、災難的停機成本B、測試業(yè)務持續(xù)運營計劃的成本C、異地備份成本D、緊急應對的響應時間參考答案：A107.哪一項可以證明IT內部控制環(huán)境的成熟度水平最高?A、控制的運作取決于員工的意識B、在管理層的要求下評估IT操作效率C、使用正式記錄的控制流程并定期實施評估D、充分記錄控制并及時發(fā)現(xiàn)控制異常參考答案：C108.哪一項可確保新建設的數(shù)據(jù)倉庫滿足公司需求？A、通過其對公司影響的重要性程度來處理數(shù)據(jù)質量B、將數(shù)據(jù)需求整合到系統(tǒng)開發(fā)生命周期C、委派數(shù)據(jù)管理員實施數(shù)據(jù)治理D、促進與管理層的有效溝通參考答案：B109.哪項是數(shù)字簽名的特征A、受接收方控制B、在數(shù)據(jù)變更后經過認證C、對消息而言是唯一的D、有可再生的哈希算法計師應該參考答案：C110.哪項是緩解勒索軟件攻擊影響的最佳方式?A、啟用災難恢復許劃B、經常備份數(shù)據(jù)C、要求管理賬戶更改密碼D、支付贖金參考答案：B111.哪個可以最降低暴力攻擊的成功可能?A、帳戶鎖定政策B、最小密碼長度C、帳戶活動超時機制D、增加密碼更換的頻率參考答案：A112.某組織實施了一個分布式會計系統(tǒng)，IS審計師正在進行實施后審查，以提供數(shù)據(jù)完整性控制的鑒證。該審計師應當首先執(zhí)行以下哪一項？A、審查用戶訪問。B、評估變更請求流程。C、評估對賬控制。D、審查數(shù)據(jù)流程圖。參考答案：D113.某項目在申請國際質量保證認證，哪一項可以證明達到了質量保證標準A、可衡量的流程B、組織的風險減小C、增強了法律和合規(guī)性D、質量保證文檔參考答案：A114.某衛(wèi)生保健組織的IS審計師正在檢討考慮由其托管患者健康信息（PHI）的第三方云提供商的合同條款和條件。以下哪一項合同條款將成為客戶組織面臨的最大風險？A、數(shù)據(jù)所有權歸屬客戶組織。B、第三方保留訪問數(shù)據(jù)以執(zhí)行某些操作的權利。C、未定義批量數(shù)據(jù)撤回機制。D、客戶組織負責備份、歸檔和恢復。參考答案：B115.某企業(yè)使用云計算服務提供商，為在線計費系統(tǒng)提供服務，客戶始終可以訪問該網(wǎng)站。驗證企業(yè)的業(yè)務需求得到滿足的最佳方式是什么?A、監(jiān)控與供應商的服務水平協(xié)議（SLA）B、要求供應商報告超過五分鐘的中斷C、調用審計權條款D、與供應商就定期的性能討論達成協(xié)議參考答案：A116.某公司已做好準備實施一個新的包括多個模塊的IT解決方案。最后一個模塊用于將處理后的數(shù)據(jù)更新到數(shù)據(jù)庫內。以下哪一項發(fā)現(xiàn)將是審計師的最大顧慮?A、沒有正式的變更審批流程B、使用弱加密C、缺乏數(shù)據(jù)字典D、缺乏輸入驗證參考答案：D117.某公司實施了虛擬化，但是對網(wǎng)絡和安全基礎設施沒有變動，最容易造成哪種風險?A、IS檢測不了虛擬化到服務器的流量B、虛擬平臺的漏洞會影響多臺主機C、系統(tǒng)文檔未更新以反映環(huán)境的變更D、新的虛擬環(huán)境與原環(huán)境配置不同參考答案：B118.某個大型組織正在對下一年度的IT項目進行優(yōu)先級排序。排序的依據(jù)應該：A、根據(jù)項目的成本效益分析結果。B、根據(jù)組織下一年度的IT資源情況。C、根據(jù)項目的投資額大小。D、根據(jù)技術的先進性參考答案：A119.某IS審計師正在為公司審查啟用安全套接字層（SSL）的網(wǎng)站。以下哪一項風險最高？A、過期的數(shù)字證書B、自簽名的數(shù)字證書C、為多個網(wǎng)站使用相同的數(shù)字證書D、使用56位數(shù)字證書參考答案：B120.某IS審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關的證據(jù)得到保留。對該IS審計師而言，以下哪一項最值得關注？A、最終用戶不知曉事故報告程序。B、日志服務器不在單獨的網(wǎng)絡上。C、未堅持進行備份。D、無監(jiān)管鏈政策。參考答案：D121.某IS審計師正在審查某會計系統(tǒng)的訪問情況，并發(fā)現(xiàn)了職責分離問題；但業(yè)務規(guī)模小，沒有額外的工人可供使用。在這種情況下，以下哪一項是建議的最佳補償性控制？A、實施基于角色的訪問B、審查審計軌跡C、執(zhí)行定期訪問審查D、審查錯誤日志參考答案：B122.某IS審計師正在評估某組織新制訂的一項IT政策。該IS審計師認為以下哪一項因素對促進政策實施后的合規(guī)性最重要？A、促成合規(guī)性的現(xiàn)有IT機制B、政策與業(yè)務戰(zhàn)略相一致C、當前和將來的技術措施D、政策中定義的監(jiān)管合規(guī)性目標參考答案：A123.敏捷開發(fā)跟瀑布式開發(fā)相比的最大優(yōu)點在于？A、敏捷注重開發(fā)的軟件工具而不是全面的文檔B、敏捷關注合同協(xié)議而非與客戶的協(xié)作C、敏捷重視對計劃的執(zhí)行而非響應變化D、敏捷重視針對個體和交互的過程和工具參考答案：D124.了解一個操作系統(tǒng)的安全配置的最佳方式是：A、學習供應商的安裝手冊。B、檢查系統(tǒng)安全計劃。C、跟安裝軟件的系統(tǒng)程序員面談。D、查看系統(tǒng)自動配置的參數(shù)。參考答案：D125.控制總計能夠降低以下哪一項風險？A、不當授權B、備份錯誤C、處理不完整D、過帳到錯誤記錄參考答案：C126.開發(fā)人員對薪資系統(tǒng)中的數(shù)據(jù)字段做了未經授權的變更。下列哪一種控制弱點最可能導致該問題?A、程序設計人員有權訪問生產程序。B、工資文件不受程序庫管理員控制。C、可排除D、程序設計人員沒有讓用戶參與測試。參考答案：A127.決策支持系統(tǒng)（DSS）用于幫助高級管理人員：A、解決高度結構化問題。B、合并決策模型與預定標準的使用。C、根據(jù)數(shù)據(jù)分析和互動模型做出決策。D、僅支持結構化決策任務。參考答案：C128.鏡像磁盤（mirroreddisks）的使用：A、減少對額外存儲的需求B、縮短系統(tǒng)響應時間C、消除異地備份的需求D、需求定期異地備份參考答案：D129.緊急情況下關閉電源的開關應該：A、受保護B、不在計算機機房中C、無識別標記D、會發(fā)亮參考答案：A130.交易處理系統(tǒng)與總分類帳彼此交互，審計師發(fā)現(xiàn)某些交易在總賬中重復記錄，管理層聲明已實施了系統(tǒng)修復，IT審計師應建議實施哪項來驗證該接口將來是否正常工作?A、確保系統(tǒng)修復得到系統(tǒng)所有者的批準B、進行功能測試C、執(zhí)行定期對賬D、改進UAT測試參考答案：C131.檢查點是在以下哪項之后應用的A、增量數(shù)據(jù)備份B、數(shù)據(jù)中心停電C、執(zhí)行了不正確的程序版本D、出現(xiàn)臨時硬件故障參考答案：A132.計算機房中安裝了一套火警系統(tǒng)，火警控制面板的最有效放置是位于：A、距離UPS最近的機房中。B、系統(tǒng)管理員的辦公室中。C、距服務器最近的機房中。D、大廈保安人員值班室。參考答案：D133.計算機犯罪調查時，首先應該確保證據(jù)的：A、充分性B、可靠性C、xx性D、未經篡改參考答案：D134.衡量災難恢復計劃有效性中業(yè)務恢復的最佳途徑是A、定義恢復點目標RPOB、業(yè)務影響分析BIAC、模擬災難恢復D、評估與功能成熟度模型的差距參考答案：C135.管理層向各利益部門相關方發(fā)送IT控制措施的目的：A、關注IT治理B、IT控制成本透明化C、優(yōu)化項目組合管理D、優(yōu)化IT控制參考答案：D136.公司將敏感數(shù)據(jù)處理外包給第三方云服務提供商。當發(fā)生安全事件，首先應執(zhí)行（）。A、終止與供應商的合同B、執(zhí)行事件響應程序C、調閱近期供應商的審計結果D、對事件進行獨立調查參考答案：B137.高級管理層缺乏哪項決策會造成最大的數(shù)據(jù)泄露風險?A、沒有對桌面電腦加密B、沒有實施員工安全意識培訓C、員工可以遠程辦公D、安全政策有一年沒有進行更新參考答案：B138.服務臺對于大多數(shù)問題都有已知解決方案，但發(fā)現(xiàn)重復反應相同問題的現(xiàn)象，審計師應該建議：A、升級事件系統(tǒng)B、服務臺外包C、加強用戶培訓D、增加支持人員參考答案：C139.非正規(guī)化（非規(guī)范化）對數(shù)據(jù)庫的最大影響是什么：A、影響完整性B、停滯不前的性能C、數(shù)據(jù)的準確性D、數(shù)據(jù)的機密性參考答案：A140.防止同時使用軟件許可的最佳措施A、用戶自律B、供應商實施突擊審計C、系統(tǒng)管理員實施監(jiān)控D、計量軟件參考答案：D141.對在線安全教育的效果，最關注的應該時A、只對新員工B、沒有時間安排C、沒有結果反饋的指標D、沒有立即執(zhí)行參考答案：C142.對預算有限的公司，解決內部職責分離問題的最合適的措施是：A、定期實施輪崗B、招募臨時員工C、進行獨立審計D、實施補償性控制參考答案：D143.對于執(zhí)行重大系統(tǒng)升級的實施后分析，以下哪一項應該是信息系統(tǒng)審計師的最大擔憂A、開發(fā)小組將變更部署到生產環(huán)境中B、開發(fā)人員可以訪問測試環(huán)境C、變更批準未被正式記錄D、開發(fā)小組可以訪問對象代碼參考答案：A144.對于應用程序開發(fā)驗收測試來說，以下哪項最重要?A、質量保證（Q）小組負責測試過程B、用戶管理在啟動測試之前會審批測試設計C、所有數(shù)據(jù)文件在轉換之前均進行了有效信息測試D、編程小組參與測試過程參考答案：B145.對于抽樣而言，以下哪項是正確的？A、抽樣一般運用于與不成文或無形的控制相關聯(lián)的總體B、通過盡早停止審計測試，屬性抽樣有助于減少對某個屬性的過量抽樣C、變量抽樣是估計給定控制或相關控制集合發(fā)生率的技術D、如果內部控制健全，置信系數(shù)可以取的較低參考答案：D146.對信息進行實施后審計，下列哪項最可能削弱IS審計師的獨立性A、參與項目團隊，但不承擔運營開發(fā)的責任B、為最佳實踐提供建議C、設計了一個嵌入式的審計模塊D、在應用程序開發(fā)過程中實施了特定的控制參考答案：D147.對新系統(tǒng)在投產和執(zhí)行實施后審查之間分配足夠的時間，主要是為了：A、獲得對實施后審查范圍的批準。B、更新項目要求和設計文件。C、讓系統(tǒng)能在生產中穩(wěn)定。D、可排除參考答案：C148.當確定審計日志的數(shù)據(jù)保留期時，下列哪一項是最基本的因素?A、控制風險B、普遍接受的審計標準C、計算機取證原則D、法規(guī)要求參考答案：D149.當企業(yè)實施安全信息和事件管理（SIEM）系統(tǒng)時，建立了哪一種控制類型?A、檢測性B、改正性C、指導性D、預防性參考答案：A150.當獲得高層管理人員對災難恢復計劃的支持和制定計劃所需資源的授權后，選擇起草計劃的人應當具有以下哪一種能力：A、具有與信息系統(tǒng)相關的操作系統(tǒng)、數(shù)據(jù)庫和通訊的技術知識B、具有在相同行業(yè)中的客戶咨詢經驗C、具有組織的全局觀點和認識所有災難后果的能力D、具有硬件和軟件供貨商咨詢背景參考答案：C151.代理服務商反饋通過瘦客服端下載數(shù)據(jù)，延遲比較大，應該進行以下那項措施?A、申請?zhí)鎿Q為胖客戶端B、升級客戶端硬件配置C、升級客戶端程序以提供更詳細的錯誤信息D、安裝中間件用來增強客戶端和系統(tǒng)的通信參考答案：D152.從風險管理的角度，部署龐大且復雜的IT基礎架構，哪種方法最好：A、部署前仿真模擬新的架構B、按次序階段性的部署計劃C、原型化和單階部署D、在概念論證之后，全面迅速的部署參考答案：B153.抽樣方法受以下哪種風險的影響?A、控制風險B、固有風險C、審計風險D、檢測風險參考答案：A154.測試BCP的主要原因在于確保：A、能夠恢復關鍵數(shù)據(jù)。B、熟悉恢復程序，盡可能減少實際實施中的緊張情緒。C、樹立自身災難期間的信心。D、確保災難恢復小組成員得到培訓。參考答案：A155.把信用卡號傳輸?shù)较乱患壊僮鲿r，如何保護安全性A、隱藏信用卡號信息B、使用強加密手段C、截斷信用卡卡號D、使用加密的單向哈希參考答案：C156.SDLC首先要做的測試A、單元測試B、集成測試C、回歸測試D、并行測試參考答案：A157.RPO低的信息系統(tǒng)應該采取如下哪項措施？A、Raid0B、每日備份C、熱站D、鏡像參考答案：D158.ROI分析在IT決策過程中的一個好處是提供A、分配間接成本的基礎B、更換設備的成本C、分配財務資源的基礎D、估計所有權的成本參考答案：C159.IT指導委員會應該采取哪項措施來幫助董事會履行IT治理職責?A、制定IT政策和措施來跟蹤項目B、聚焦在IT服務和產品的供應上C、監(jiān)督重大項目和IT資源的分配情況D、實施IT戰(zhàn)略參考答案：D160.IT災難恢復是時間目標（RTO）應基于以下哪一項：A、最多可容許丟失的數(shù)據(jù)B、根據(jù)業(yè)務定義的系統(tǒng)關鍵性C、最多可容許的停機時間D、中斷的根本原因參考答案：C161.IT審計師正審查公司的商業(yè)智能基礎架構，以下哪項是幫助公司實現(xiàn)合理水平的數(shù)據(jù)質量的最好建議？A、根據(jù)預先定義的規(guī)格分析數(shù)據(jù)B、將數(shù)據(jù)清理外包給熟練的服務提供商C、將不同數(shù)據(jù)庫存儲的數(shù)據(jù)合并到數(shù)據(jù)倉儲D、根據(jù)數(shù)據(jù)分類標準審查數(shù)據(jù)參考答案：A162.IT審計師要審查IT目標服務業(yè)務目標的最好體現(xiàn)是：A、ΚΡΙB、業(yè)務案例C、ITBSC參考答案：C163.IT經理向高級管理層匯報潛在風險情況，運行關鍵在線信用報告系統(tǒng)服務器的操作系統(tǒng)將不受支持，該風險屬于哪種類型的風險？A、符合性風險B、技術風險C、業(yè)務風險D、聲譽風險參考答案：B164.IT風險評估應包括識別以下哪項？A、補償控制措施B、弱點C、業(yè)務流程所有者D、業(yè)務要求參考答案：B165.IS審計章程的主要目的是：A、建立審計部門的組織結構。B、概述IS審計職能部門的職責和權限。C、詳細闡述1S審計部門執(zhí)行的審計流程和程序。D、闡述IS審計職能部門的報告責任。參考答案：B166.IS審計師需驗證應用發(fā)布后是否有完成實施后審查流程的主要原因是什么？A、確保用戶經過適當培訓B、驗證項目在預算范圍之內C、核實項目達到預期D、確定是否已實施適當?shù)目刂拼胧﹨⒖即鸢福篊167.IS審計師分析日志訪問的樣本。如果發(fā)現(xiàn)異常，將進一步調查，將使用：A、發(fā)現(xiàn)抽樣B、判定抽樣C、變量抽樣D、分層抽樣參考答案：A168.IDS能檢測什么類型的攻擊A、系統(tǒng)掃描B、垃圾郵箱C、欺騙D、邏輯炸彈參考答案：A169.ERP系統(tǒng)中的三項匹配機制，審計師應審查以下哪一項？A、銀行方（記不清，可排除）B、交貨通知C、采購訂單D、采購申請單參考答案：C170.A公司計劃實施的系統(tǒng)所采用的技術不符合公司IT策略。以下哪一項是最佳理由？A、雖然導致成本增加，但可以增加企業(yè)效益B、員工非常熟悉此技術C、該系統(tǒng)采用最先進的技術D、該系統(tǒng)的持有成本較低參考答案：A171.A5-9實施以下哪一項可以最有效地防止未經授權訪問Web服務器系統(tǒng)管理賬戶?A、在服務器上安裝主機入侵檢測軟件B、密碼到期和鎖定策略C、密碼復雜性規(guī)則D、雙因素認證參考答案：D172.A5-98在通信系統(tǒng)的審計期間,信息系統(tǒng)審計師發(fā)現(xiàn)傳送至/來自遠程站點的數(shù)據(jù)被截獲的風險非常高。降低此風險最有效的控制為：A、加密B、回叫調制解調器C、消息驗證D、專用租用線路參考答案：A173.A5-95在對財務系統(tǒng)執(zhí)行審計時，信息系統(tǒng)審計師懷疑發(fā)生了事故。信息系統(tǒng)審計師首先應該做什么?A、要求關閉系統(tǒng)以保留證據(jù)B、向管理層報告事故C、要求立即暫?？梢少~戶D、調查事故的來源和性質參考答案：B174.A5-93以下哪種方法是對分配給供應商員工的無線ID的最佳控制?A、分配一個每日過期的可更新用戶IB、采用一次性寫入日志來監(jiān)控供應商的系統(tǒng)活動C、使用類似于員工使用的用戶I格式D、確保無線網(wǎng)絡加密得到正確配置參考答案：A175.A5-76使用數(shù)字簽名的主要原因是確保數(shù)據(jù)的：A、機密性B、完整性C、可用性D、正確性參考答案：B176.A5-73以下哪一項預防性控制最有助于確保Web應用程序安全?A、密碼掩碼B、培訓開發(fā)人員C、使用加密D、漏洞測試參考答案：B177.A5-70以下哪項會導致拒絕服務攻擊?A、窮舉攻擊（暴力破解）B、死亡之PingC、跳步攻擊D、否定應答攻擊參考答案：B178.A5-65以下哪項加密算法選項會增加開銷/成本?A、使用對稱加密，而不是非對稱加密B、使用加長的非對稱式加密密鑰C、加密的是哈希而非消息D、使用密鑰參考答案：B179.A5-64哈希和加密之間最主要的區(qū)別在于哈希：A、不可逆B、輸出消息與原始數(shù)據(jù)的長度相同C、涉及完整性和安全性D、發(fā)送端和接收端相同參考答案：A180.A5-55實施訪問控制時首先需要：A、分類信息系統(tǒng)資源B、標記信息系統(tǒng)資源C、創(chuàng)建訪問控制列表D、創(chuàng)建信息系統(tǒng)資源清單參考答案：D181.A5-45某信息系統(tǒng)審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關的證據(jù)得到保留。對該信息系統(tǒng)審計師而言，以下哪一項最值得關注?A、最終用戶不了解事故報告程序B、日志服務器不在單獨的網(wǎng)絡上C、未堅持進行備份D、無監(jiān)管鏈政策參考答案：D182.A5-279在審查網(wǎng)絡設備的配置時，信息系統(tǒng)審計師應該首先確定：A、部署的網(wǎng)絡設備類型的良好實踐B、是否缺少網(wǎng)絡組件C、網(wǎng)絡設備在拓撲中的重要性D、網(wǎng)絡子組件的使用是否適當參考答案：C183.A5-270為確定防火墻配置是否遵守組織安全政策，以下哪項是最佳審計流程?A、審查參數(shù)設置B、與防火墻管理員面談C、審查實際流程D、審查設備日志文件看近期的攻擊參考答案：A184.A5-264一家組織提出要建立無線局域網(wǎng)（WLAN）。管理層要求信息系統(tǒng)審計師為WLAN推薦安全控制措施。以下哪項是最適合的建議?A、保證無線接入點的物理安全，以防被篡改B、使用能明確識別組織的服務集標識符C、使用有限等效加密機制加密流量D、實施簡單網(wǎng)絡管理協(xié)議，以便主動監(jiān)控參考答案：A185.A5-260以下哪項是對移動設備進行加密的最佳方法?A、橢圓曲線加密算法B、數(shù)據(jù)加密標準C、高級加密標準D、lowfish算法參考答案：A186.A5-258以下哪類防火墻可以最好地保護網(wǎng)絡免受互聯(lián)網(wǎng)攻擊?A、屏蔽子網(wǎng)防火墻B、應用過濾網(wǎng)關C、數(shù)據(jù)包過濾路由器D、電路級網(wǎng)關參考答案：A187.A5-256以下哪項是處理利用協(xié)議漏洞傳播網(wǎng)絡蠕蟲的最可靠而有效的解決方法?A、立即安裝最新供應商安全修補程序B、在外圍防火墻中阻止協(xié)議通信C、阻止內部網(wǎng)絡段間的協(xié)議通信D、停止協(xié)議使用的服務參考答案：D188.A5-24信息系統(tǒng)審計師發(fā)現(xiàn)業(yè)務用戶的密碼控制配置得比IT開發(fā)人員更嚴格。信息系統(tǒng)審計師最應采取以下哪項行動?A、確定是否違反政策并進行記錄B、記錄觀察到的異常情況C、建議全部使用相同的密碼配置設置D、建議定期審查IT開發(fā)人員訪問日志參考答案：A189.A5-23審查局域網(wǎng)的實施時，信息系統(tǒng)審計師應首先審查：A、節(jié)點列表B、驗收測試報告C、網(wǎng)絡圖D、用戶列表參考答案：C190.A5-237以下哪種生物特征識別控制系統(tǒng)最有效?A、相等錯誤率最高B、相等錯誤率最低C、錯誤拒絕率等于接受率D、錯誤拒絕率等于拒登率參考答案：B191.A5-233以下哪項可以為數(shù)據(jù)密碼加密提供最好的保證?A、安全哈希算法-256B、高級加密標準C、安全殼D、三重數(shù)據(jù)加密標準參考答案：B192.A5-225在無線通信中,以下哪一項控制允許接收設備驗證所接收的通信未在傳輸過程中發(fā)生更改?A、設備身份認證和數(shù)據(jù)源身份認證B、無線入侵檢測和入侵防御系統(tǒng)C、使用加密哈希D、數(shù)據(jù)包頭和數(shù)據(jù)包尾參考答案：C193.A5-222以下哪項是減輕針對互聯(lián)網(wǎng)銀行應用程序的域欺騙攻擊的最佳控制?A、用戶登記和密碼政策B、用戶安全意識C、使用入侵檢測系統(tǒng)/入侵防御系統(tǒng)D、域名服務器安全強化參考答案：D194.A5-216成功攻擊系統(tǒng)的第一步是：A、收集信息B、獲得訪問權限C、拒絕服務D、避開檢測參考答案：A195.A5-213某數(shù)據(jù)中心有一個證章門禁系統(tǒng)。以下哪項對于保護該中心的計算資產最重要?A、在可察覺到破壞行為的位置安裝讀卡器B、經常對控制證章系統(tǒng)的計算機進行備份C、遵循立即停用已丟失或被盜證章的流程D、記錄所有證章進入嘗試，無論是否成功參考答案：C196.A5-203某公司決定實施基于公鑰基礎設施的電子簽名方案。用戶的私鑰會存儲在計算機硬盤中，并受密碼保護。此方法的最大風險是：A、如果密碼泄露，該用戶的電子簽名將遭到其他人的利用B、使用其他用戶的私鑰對消息進行電子簽名，從而實現(xiàn)偽造C、用其他人的公鑰來替代該用戶的公鑰，從而實現(xiàn)對某用戶的模仿D、在計算機中用其他人的私鑰進行替代，從而實現(xiàn)偽造參考答案：A197.A5-202在審查基于外部提供商的軟件即服務（SaaS）模式的云計算策略時，以下哪個選項是信息系統(tǒng)審計師應關注的?A、必須執(zhí)行工作站升級B、軟件的長期購置成本偏高C、與提供商簽訂的合同中不包括現(xiàn)場技術支持D、提供商的事故處理流程定義不清參考答案：D198.A5-1Web應用程序開發(fā)人員有時在網(wǎng)頁上使用隱藏字段來保護有關客戶會話信息。在某些情況下，這種技術用于存儲持續(xù)存在多個網(wǎng)頁的會話變量，例如，在零售網(wǎng)站應用程序中保存購物車的內容。此種做法最有可能導致的基于Web的攻擊是：A、/參數(shù)篡改B、跨站點腳本C、ookie篡改D、隱藏命令執(zhí)行參考答案：A199.A5-194某關鍵的IT系統(tǒng)開發(fā)人員突然從某企業(yè)辭職。以下哪個選項是最重要的措施?A、安排他與人力資源部門的離職面談B、啟動交接流程以確保項目的連續(xù)性C、終止此開發(fā)人員對IT資源的邏輯訪問D、確保管理部門辦好離職手續(xù)參考答案：C200.A5-18組織發(fā)現(xiàn)首席財務官的計算機已感染惡意軟件，包括按鍵記錄器和惡意程序工具包（rookit）。首先采取的措施應為：A、聯(lián)系相應的執(zhí)法部門開始調查B、立即確保不會危害其他數(shù)據(jù)C、斷開P與網(wǎng)絡的連接D、更新P上的防病毒簽名，確保已檢測并刪除惡意軟件或病毒參考答案：C201.A5-188為保護網(wǎng)絡電話基礎設施免受拒絕服務攻擊，最重要的是保護：A、訪問控制服務器B、會話邊界控制器C、主干網(wǎng)關D、入侵檢測系統(tǒng)參考答案：B202.A5-183安裝入侵檢測系統(tǒng)時,以下哪項最重要?A、在網(wǎng)絡架構中對其進行正確擺位B、防止拒絕服務攻擊C、識別需要隔離的消息D、最大限度地減少拒絕錯誤參考答案：A203.A5-167在網(wǎng)絡通信中使用用戶數(shù)據(jù)報協(xié)議的主要風險是：A、數(shù)據(jù)包到達的順序錯亂B、增加通信延遲C、與數(shù)據(jù)包廣播不兼容D、糾錯可能減緩處理程序參考答案：A204.A5-162組織可以通過以下哪種方式來確保其員工電子郵件的收件人可以對發(fā)件人的身份進行驗證?A、對所有電子郵件消息進行數(shù)字簽名B、對所有電子郵件消息進行加密C、對所有電子郵件消息進行壓縮D、對所有電子郵件消息進行密碼保護參考答案：A205.A5-140某信息系統(tǒng)審計師檢查了一個無窗機房，機房中有電話交換機和聯(lián)網(wǎng)設備以及文檔夾。該機房配有兩個手持滅火器———————一個是二氧化碳滅火器，另一個是鹵徑滅火器。下列哪一項應在信息系統(tǒng)審計師的報告中具有最高優(yōu)先級?A、移走鹵徑滅火器，因為鹵化物會對大氣臭氧層產生負面影響B(tài)、在密閉機房中使用時，兩種滅火器都有導致窒息的危險C、移走二氧化碳滅火器，因為二氧化碳對于固體可燃物（紙張）的滅火是無效的D、將文檔夾從設備機房中移走，從而降低潛在風險參考答案：B206.A5-137在審計數(shù)據(jù)中心的安全性時，信息系統(tǒng)審計師應查明是否存在電壓調節(jié)器，以確保：A、防止硬件遭遇電涌B、在主電源中斷時保持數(shù)據(jù)完整性C、在主電源中斷時立即供電D、防止硬件遭遇長期電源波動參考答案：A207.A5-134要從網(wǎng)絡攻擊中恢復,以下哪項措施最重要?A、建立事故響應團隊B、雇用網(wǎng)絡取證調查員C、執(zhí)行業(yè)務連續(xù)性計劃D、保留證據(jù)參考答案：A208.A5-110將數(shù)字簽名應用到網(wǎng)絡中傳輸?shù)臄?shù)據(jù)可提供：A、機密性和完整性B、安全性和不可否認性C、完整性和不可否認性D、機密性和不可否認性參考答案：C209.A4-6某企業(yè)的多個辦公室都位于一個區(qū)域內，并且用于恢復的預算很有限。以下哪種恢復策略最合適?A、由企業(yè)維護的熱備援中心B、租用商業(yè)冷備援中心C、在企業(yè)各辦公室之間實行互惠安排D、采用第三方熱備援中心參考答案：C210.A4-58為信息處理場所制定恢復流程的最佳依據(jù)是：A、恢復時間目標B、恢復點目標C、最大可容許的運行中斷D、信息安全政策參考答案：A211.A4-55IT經理對技術能力進行監(jiān)控的主要好處是：A、識別新硬件和存儲購置的需要B、根據(jù)使用量確定未來的能力需求C、保證服務水平要求得到滿足D、保證系統(tǒng)以最佳能力運行參考答案：C212.A4-53以下哪項會動搖應用程序審計軌跡的可靠性?A、在審計軌跡中記錄用戶I。B、安全管理員具有審計文件的只讀權限C、在執(zhí)行操作時記錄日期和時間戳D、更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄參考答案：D213.A4-4當對某組織的桌面軟件合規(guī)性進行審查時，安裝的軟件存在以下哪種情況時最需要信息系統(tǒng)審計師給予關注?A、已安裝，但沒有記錄到IT部門記錄中B、由沒有對其使用經過適當培訓的用戶使用C、沒有列入批準軟件標準的文檔中D、許可證將在15天后到期參考答案：C214.A4-49在評估軟件開發(fā)實踐時，一名信息系統(tǒng)審計師發(fā)現(xiàn)，開源軟件組件用在了為客戶設計的應用程序中。關于開源軟件的使用，該審計師最關注什么?A、客戶不為開源軟件組件付費B、組織和客戶必須遵守開源軟件許可條款C、開源軟件具有安全漏洞D、開源軟件對商業(yè)用途不可靠參考答案：B215.A4-47要確保生產源代碼和目標代碼同步，以下哪種控制最有效?A、版本間的源代碼和目標代碼比較報告B、用庫控制軟件限制對源代碼進行的更改C、限制對源代碼和目標代碼的訪問D、對源代碼和目標代碼的日期和時間戳進行審查參考答案：D216.A4-44網(wǎng)絡性能監(jiān)控工具能夠最直接地影響以下哪一項?A、完整性B、可用性C、完成度D、機密性參考答案：B217.A4-42在評估對密碼管理的程序控制時，信息系統(tǒng)審計師最有可能參考下列哪一項?A、尺寸檢查B、散列總計C、有效性檢查D、字段檢查參考答案：C218.A4-29某組織使用軟件即服務（SaaS）操作模式實施了在線客戶服務臺應用程序。當涉及可用性時，信息系統(tǒng)審計師需要建議最佳的控制措施，以監(jiān)控與SaaS供應商簽訂該的服務水平協(xié)議（SLA）。以下哪個選項是信息系統(tǒng)審計師可提供的最佳建議?A、要求SS供應商就應用程序正常運行時間提供每周報告B、實施在線輪詢工具，以監(jiān)控應用程序并記錄中斷C、記錄用戶報告的全部應用程序中斷，并每周加總中斷時間D、與一家獨立的第三方簽約，為應用程序正常運行時間提供周報參考答案：B219.A4-28在評估計算機預防性維護程序的有效性和充分性時，信息系統(tǒng)審計師會認為以下哪項最有幫助?A、系統(tǒng)停機時間日志B、供應商的可靠度數(shù)據(jù)C、定期安排的維護日志D、書面預防性維護日程表參考答案：A220.A4-26信息系統(tǒng)審計師在評估可用性網(wǎng)絡的恢復力時，最應該關注：A、是否在地理上分散安裝網(wǎng)絡B、服務器匯集在同一站點中C、熱備援中心是否已準備好運行D、該網(wǎng)絡是否實施了多路由選擇功能參考答案：B221.A4-258在審計某電子商務架構時，信息系統(tǒng)審計師注意到，客戶主數(shù)據(jù)在交易日期后保存在Web服務器6個月，之后會因無活動而被清除。以下哪項是信息系統(tǒng)審計師最關注的問題?A、客戶數(shù)據(jù)的可用性B、客戶數(shù)據(jù)的完整性C、客戶數(shù)據(jù)的機密性D、客戶存儲性能參考答案：C222.A4-257要對訪問敏感信息的數(shù)據(jù)庫用戶實施問責制，以下哪項控制措施最有效?A、實施日志管理流程B、實施雙因素認證C、使用表視圖訪問敏感數(shù)據(jù)D、將數(shù)據(jù)庫服務器與應用程序服務器分開參考答案：A223.A4-244使用Web服務在兩個系統(tǒng)之間進行信息交換的最大優(yōu)點是：A、通信安全B、性能得到改善C、連接效率高D、存檔記錄功能得到加強參考答案：C224.A4-242以下哪個選項對于保證數(shù)據(jù)倉庫中的數(shù)據(jù)質量最關鍵?A、源數(shù)據(jù)的準確性B、數(shù)據(jù)源的可信度C、提取過程的準確性D、數(shù)據(jù)轉換的準確性參考答案：A225.A4-234業(yè)務連續(xù)性計劃和災難恢復計劃的主要目標是：A、保護關鍵的信息系統(tǒng)資產B、為連續(xù)運營做好準備C、盡量減少組織損失D、保護人身安全參考答案：D226.A4-230完成業(yè)務影響分析后,業(yè)務連續(xù)性計劃過程中的下一步是什么?A、測試和維護計劃B、制訂具體計劃C、制定恢復策略D、實施計劃參考答案：C227.A4-20某供應商過去幾個月發(fā)布了多個重要的安全修補程序，因此對管理員及時測試和部署修訂程序的能力帶來壓力。管理員已詢問能夠減少對修補程序的測試，該組織應當采取哪種措施?A、繼續(xù)堅持當前測試和應用修補程序的流程B、減少測試并確保制訂充分的逆向恢復計劃C、推遲安裝修補程序，直至測試資源可用D、依靠供應商測試修補程序參考答案：A228.A4-202進行防災規(guī)劃時,以下哪一項最有助于按優(yōu)先順序安排IT資產的恢復?A、事故響應計劃B、業(yè)務影響分析C、威脅與分析分析D、恢復時間目標參考答案：B229.A4-201信息系統(tǒng)審計師發(fā)現(xiàn),關鍵任務型系統(tǒng)的最新安全相關軟件修補程序兩個月前就發(fā)布了，但IT人員尚未安裝該修補程序。信息系統(tǒng)審計師應：A、審查修補程序管理政策，并確定與這種情況有關的風險B、建議IT系統(tǒng)人員立即測試并安裝補丁C、建議每月或發(fā)布后立即應用修補程序D、不采取任何措施，因為與修補程序有關的IT流程似乎足夠了參考答案：A230.A4-192以下哪項能夠最好地緩解含有不可替代信息的備份介質在運輸途中丟失或被盜的風險?A、確保介質加密B、保留副本C、維護監(jiān)管鏈D、確保相關人員受到約束參考答案：B231.A4-182在發(fā)出災難聲明后,溫恢復站點的介質創(chuàng)建日期基于：A、恢復點目標B、恢復時間目標C、服務交付目標D、最大可冗余的運行中斷參考答案：A232.A4-176在某家運營政府項目的全國性公司進行信息系統(tǒng)合規(guī)性審計期間，信息系統(tǒng)審計師正在評估其互聯(lián)網(wǎng)服務提供商（ISP）所提供的服務。下面哪個選項最重要?A、審查需求建議書B、審查ISP生成的月度績效報告C、審查服務水平協(xié)議D、調查該ISP的其他客戶參考答案：C233.A4-147如果未對重要文件服務器中的存儲增長進行適當管理，則以下哪一項是最大風險?A、備份時間將會穩(wěn)步增加B、備份操作成本將會顯著增加C、存儲操作成本將會顯著增加D、服務器恢復工作不能滿足恢復時間目標參考答案：D234.A4-142較低的恢復時間目標會導致?A、較高的容災能力B、較高的成本C、更廣泛的中斷時限D、更多的容許的數(shù)據(jù)丟失參考答案：B235.A4-126評估業(yè)務連續(xù)性計劃效能的最佳方法是審查：A、計劃并將其與適當標準進行比較B、先前的測試結果C、應急流程和員工培訓D、異地儲存和環(huán)境控制參考答案：B236.A4-124為協(xié)助記錄軟件發(fā)布的基準指標，信息系統(tǒng)審計師應建議執(zhí)行以下哪個流程?A、變更管理B、備份和恢復C、事故管理D、配置管理參考答案：D237.A4-122在人力資源（HR）審計期間，信息系統(tǒng)審計師被告知，IT與HR部門之間就期望的IT服務水平達到一項口頭協(xié)議。在這種情況下，信息系統(tǒng)審計師首先應該做什么?A、推遲審計，直至將協(xié)議記錄在案B、將存在未記錄的協(xié)議這一情況報告給高級管理層C、與兩個部門確認協(xié)議的內容D、為兩個部門起草一份服務水平協(xié)議參考答案：C238.A3-97一名信息系統(tǒng)審計師受指派審計某軟件開發(fā)項目，該項目完成了80%以上，但是已經超時10%，超出成本25%。該信息系統(tǒng)審計師應采取以下哪項行動?A、對組織未進行有效的項目管理進行報告B、建議更換項目經理C、審查IT治理結構D、審查業(yè)務案例和項目管理參考答案：D239.A3-7以下哪種軟件應用程序測試被視為測試的最終階段，并且通常包括開發(fā)團隊以外的用戶參與?A、lph測試B、白箱測試C、回歸測試D、et測試參考答案：D240.A3-58通常要在系統(tǒng)開發(fā)中的以下哪個階段做好用戶驗收測試計劃的準備?A、可行性分析B、需求定義C、計劃實施D、實施后審查參考答案：B241.A3-39以下哪種風險可能是由軟件項目的基準指標不充分引起的?A、簽字延遲B、違反軟件完整性C、范圍偏離D、控制不充分參考答案：C242.A3-34推薦的交易處理應用程序將有許多數(shù)據(jù)捕獲來源以及書面和電子形式的輸出。為了確保交易不在處理過程中丟失，信息系統(tǒng)審計師應建議執(zhí)行：A、驗證控制B、內部可信度檢查C、員工控制流程D、自動系統(tǒng)均衡參考答案：D243.A3-29用于檢測來自用戶工作站的未授權輸入的信息最好通過哪種方式提供?A、控制臺日志打印輸出B、交易日志C、自動暫記文件列表D、用戶錯誤報告參考答案：B244.A3-25一個項目開發(fā)團隊正在考慮在測試程序中使用生產數(shù)據(jù)。在將數(shù)據(jù)載入測試環(huán)境之前，該團隊將其中的敏感數(shù)據(jù)脫敏。對于這種做法，信息系統(tǒng)審計師應額外關注以下哪一項?A、將不會測試全部功能B、生產數(shù)據(jù)將引入測試環(huán)境C、需要專門的培訓D、項目可能超出預算參考答案：A245.A3-151以下哪一項是在系統(tǒng)開發(fā)項目中控制范圍偏離的最佳方法?A、定義對變更要求的處罰B、確立軟件基準指標C、采用矩陣式項目管理結構D、識別項目的關鍵路徑參考答案：B246.A3-146以下哪一項是新開發(fā)系統(tǒng)將在投產后被使用的最佳指標?A、回歸測試B、用戶驗收測試C、社交性測試D、并行測試參考答案：B247.A3-133對業(yè)務流程自動化項目進行實施后審查的主要目標是：A、確保項目滿足預期的業(yè)務要求B、評估控制的充分性C、確認符合技術標準D、確認符合法規(guī)要求參考答案：A248.A3-12在實施后審查期間，應執(zhí)行以下哪項活動?A、用戶驗收測試B、投資回報率分析C、激活審計軌跡D、更新企業(yè)架構圖的狀態(tài)參考答案：B249.A3-129公司選擇使用快速應用方法來實施新版企業(yè)資源規(guī)劃系統(tǒng)。因為內部員工無法滿足需求，全部項目活動均已分配給承包的咨詢公司。為彌補資源的不足，信息系統(tǒng)審計師首先需要做什么?A、評估項目計劃和方法B、要求供應商提供額外的外部員工C、建議此公司雇用更多的員工D、所有人力資源到位前暫停項目參考答案：A250.A3-111舊版工資應用程序被遷移到了新的應用程序中。以下哪個利益相關方應在上線之前對數(shù)據(jù)的準確性和完整性的審查和簽字負主要責任?A、信息系統(tǒng)審計師B、數(shù)據(jù)庫管理員C、項目經理D、數(shù)據(jù)所有者參考答案：D251.A3-110某組織正在實施企業(yè)資源規(guī)劃應用程序。為確保項目按計劃進行并取得預期結果，誰應該對項目的監(jiān)督工作負主要責任?A、項目發(fā)起人系統(tǒng)B、開發(fā)項目團隊C、項目指導委員會D、用戶項目團隊參考答案：C252.A3-108受邀參加項目開發(fā)會議的信息系統(tǒng)審計師發(fā)現(xiàn)沒有對任何項目風險進行存檔記錄。當該信息系統(tǒng)審計師提出這一問題時，項目經理回答說，現(xiàn)在確定風險尚早，而且如果風險確實開始影響到項目，將會聘用一名風險經理。該信息系統(tǒng)審計師應如何做出合適的回應?A、強調在項目的此階段花費時間來考慮和記錄風險，以及制訂應急計劃的重要性B、接受項目經理的觀點，因為項目經理才是項目成果的負責人C、任命風險經理后主動提出與之合作D、通知項目經理，信息系統(tǒng)審計師會在項目的需求定義階段技術后進行風險審查參考答案：A253.A2-99對IT戰(zhàn)略計劃流程進行審查時，信息系統(tǒng)審計師應當確保該計劃：A、融入了最新的技術B、解決了所需的運營控制問題C、明確表述了IT使命和愿景D、說明了項目管理實務參考答案：C254.A2-81采用自上而下的方法來制定運營政策有助于確保：A、這些政策在整個組織內保持一致B、將這些政策作為風險評估的一部分來實施C、遵守這些政策D、定期對這些政策進行審查參考答案：A255.A2-74以下哪一項是IT績效衡量流程的主要目標?A、將錯誤減至最少B、收集績效數(shù)據(jù)C、建立績效基準D、優(yōu)化績效參考答案：D256.A2-72以下哪一項對戰(zhàn)略性IT舉措的決策流程最有價值?A、項目管理流程的成熟度B、監(jiān)管環(huán)境C、過去的審計結果D、IT項目組合分析參考答案：D257.A2-53下面哪項應包含在組織的信息安全政策中?A、需要保護的關鍵IT資源的清單B、訪問控制授權的基準C、敏感安全資產的標識D、相關軟件安全功能參考答案：B258.A2-39為了支持組織的目標,IT部門應具有：A、低成本理念B、長期和短期計劃C、領先的技術D、采購新硬件和軟件的計劃參考答案：B259.A2-24以下哪個選項是IT督導委員會的職能?A、監(jiān)控由供應商控制的變更控制和測試B、確保信息處理環(huán)境中的職責分離C、審批和監(jiān)控IT計劃狀態(tài)及預算D、在IT部門與最終用戶之間協(xié)調溝通參考答案：C260.A2-148企業(yè)的風險偏好最好由以下哪項確定?A、首席法務官B、安全管理人員C、審計委員會D、督導委員會參考答案：D261.A2-117開發(fā)安全架構時，首先應該執(zhí)行下列步驟中的哪個步驟?A、制定安全流程B、制定安全政策C、明確訪問控制方法D、定義角色和責任參考答案：B262.A2-110在有效的信息安全治理的情況下，價值交付的主要目標是：A、優(yōu)化安全方面的投資，以支持業(yè)務目標的實現(xiàn)B、實施一套標準的安全實踐C、制定基于標準的解決方案D、建立一種持續(xù)改進的文化氛圍參考答案：A263.A2-106IT治理的最終目的是:A、促使IT得到最佳利用B、降低IT成本C、分散整個組織內的IT資源D、集中控制IT參考答案：A264.A1-98信息系統(tǒng)審計師已確定要審計的業(yè)務流程。信息系統(tǒng)審計師接下來應確定：A、最寶貴的信息資產B、要部署的信息系統(tǒng)審計資源C、要約談的受審方人員D、控制目標和活動參考答案：D265.A1-94確定審計發(fā)現(xiàn)后，信息系統(tǒng)審計師應首先：A、就審計發(fā)現(xiàn)達成一致意見B、確定審計發(fā)現(xiàn)的緩解措施C、通知