CISA历年真题回忆汇编

CISA2013历年真题回忆汇编

2013年3月24日更新

说明：

（1）本习题集为我培训班考生提供的2010—2012年共五次CISA考试部分真题回忆，习

题仅涵盖真实考试的知识点与题目及相关选项描述。鉴于回忆的偏差性，真实考题

通常会有更长篇幅的背景及题干描述。

（2）由于官方从不公布历年真题及答案，建议学员将此真题汇编在考前作为冲刺题使用，

仅学员评估知识体系掌握的完备性并进一步熟悉考试的难度。

（3）本习题集为历年真题，参考答案仅为参考，涉及相关知识点请学员参考各章节知识

体系指南，以加深对考点的理解和掌握。

（4）CISA每次考试均为在全球范围内征集新题并更新题库，切忌盲目背题.

对IT部门的战略规划流程/程序的最佳描述是：

选项：

A、依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划

B、IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要

求的优先顺序的程序

C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求

D、IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推动,

快于对组织计划的推动

参考答案:C

用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点

选项：

A、确认测试目标是否成文

B、评估用户是否记载了预期的测试结果

C、检查测试问题日志是否完整

D、确认还有没有尚未解决的问题

参考答案:D

某IS审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯,

而微机只支持异步ASCII字符数据通讯。为实现其连通目标，需为该IS审计人员的微机增加

以下哪一类功能？

选项：

A、缓冲器容量和并行端口

B、网络控制器和缓冲器容量

C、并行端口和协议转换

D、协议转换和缓冲器容量

参考答案:D

在关于外部信息系统服务的合同的以下条款中，IS审计师最不关心的是哪项？

选项：

A、程序和文件的所有权

B、应有的谨慎和保密声明

C、灾难情况下外包人的持续服务

D、供货商使用的计算机硬件的详尽描述

参考答案:D

WEB服务器的逆向代理技术用于如下哪一种情况下？

选项：

A、HTTP服务器的地址必须隐藏

B、需要加速访问所有发布的页面

C、为容错而要求缓存技术

D、限制用户(指操作员的带宽)

参考答案:A

以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？

选项：

A、磁墨字符识别(M1CR)

B、智能语音识别(IVR)

C、条形码识别(BCR)

D、光学字符识别(OCR)

参考答案:D

能力计划流程的关键目标是确保：

选项：

A、可用资源的完全使用

B、将新资源及时添加到新的应用系统中

C、可用资源的充分和有效的利用

D、资源的利用率不低于85%

参考答案:C

在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为IS审计人员提供最大的

帮助？

选项：

A、系统故障时间日志

B、供应商的可靠性描述

C、预定的定期维护日志

D、书面的预防性维护计划表

参考答案:A

下面哪一句涉及包交换网络的描述是正确的？

选项：

A、目的地相同的包穿过网络的路径(或称为：路径)相同

B、密码/口令不能内置于数据包里

C、包的长度不是固定的，但是每个包内容纳的信息数据是一样的

D、数据包的传输成本取决于将传输的数据包本身，与传输距离和传输路径无关

参考答案:D

分布式环境中，服务器失效带来的影响最小的是：

选项：

A、冗余路由

B、集群

C、备用电话线

D、备用电源

参考答案:B

大学的IT部门和财务部（FSO,financialservicesoffice）之间签有服务水平协议（SLA）,

要求每个月系统可用性超过98%。财务部后来分析系统的可用性，发现平均每个月的可用性

确实超过98%,但是月末结账期的系统可用性只有93%。那么，财务部应该采取的最佳行动

是：

选项：

A、就协议内容和价格重新谈判

B、通知IT部门协议规定的标准没有达到

C、增购计算机设备等（资源）

D、将月底结账处理顺延

参考答案:A

在审查LAN的实施时IS审计人员应首先检查：

选项：

A、节点列表

B、验收测试报告

C、网络结构图

D、用户列表

参考答案:C

数据库规格化的主要好处是：

选项：

A、在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复）

B、满足更多查询的能力

C、山多张表实现，最大程度的数据库完整性

D、通过更快地信息处理，减小反应时间

参考答案:A

在审查一个大型数据中心期间，IS审计人员注意到其计算机操作员同时兼任备份磁带管理员

和安全管理员。以下哪种情形应在审计报告中视为最为危险的？

选项:

A、计算机操作员兼任备份磁带库管理员

B、计算机操作员兼任安全管理员

C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员

D、没有必要报告上述任何一种情形

参考答案:B

在数据库应用系统的需求定义阶段，性能被列为优先要求。访问数据库管理系统(DBMS)

文件时，推荐采用如下哪一种技术以获得最佳的输入、输出(I/O)性能？

选项：

A、存储区域网络(SAN,Storageareanetwork)

B、网络接入存储(NAS,NetworkAttachedStorage)

C、网络文件系统(NFSv2,Networkfilesystem)

D、通用互联网文件系统(CIFS.CommonInternetFileSystem)

参考答案:A

以下哪一项有助于检测入侵者对服务器系统日志的改动？

选项:

A、在另一台服务器镜像该系统日志

B、在一块一次写磁盘上同时复制该系统日志

C、将保存系统日志的目录设为写保护

D、异地保存该系统日志的备份

参考答案:B

对于防止系统的弱点或漏洞被利用(或攻击)，下成哪一种是最好的方法？

选项：

A、日志检查

B、防病毒措施

C、入侵监测

D、补丁管理

参考答案:D

检查外包计算机中心的服务等级协议(SLA)时，IS审计师应该首先确定：

选项：

A、将获得的服务价格在合理的范围内

B、协议中指定了安全机制

C、协议中确定的服务符合业务需求

D、协议中允许IS审计师审计对计算机中心的访问

参考答案:C

以下哪一项可以在不同网络之间e-mail格式，从而使e-mail可以在所有网络上传播？

选项：

A、网关

B、协议转换器

C、前端通讯处理机

D、集中器/多路选择器

参考答案:A

代码签名的目的是确保：

选项：

A、软件没有被后续修改

B、应用程序可以与其他已签名的应用安全地对接使用

C、应用（程序）的签名人是受到信任的

D、签名人的私钥还没有被泄露

参考答案:A

IS审计师分析数据库管理系统（DBMS）的审计日志时，发现一些事务（transactions）只执

行了•半就出错了，但是没有回滚整个事务。那么，这种情况违反了事务处理特性的哪一项？

选项：

A、一致性

B、独立性

C、持续性

D、原子性

参考答案:D

以下哪•种网络配置结构能使任意两台主机之间均有直接连接？

选项：

A、总线

B、环型

C、星型

D、全连接（网状）

参考答案:D

对以下哪项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据？

选项：

A、异常作业终止报告

B、操作员问题报告

C、系统日志

D、操作员工作日程安排

参考答案:C

电子商务环境中降低通讯故障的最佳方式是：

选项:

A、使用压缩软件来缩短通讯传输耗时

B、使用功能或消息确认（机制）

C、利用包过滤防火墙，重新路由消息

D、租用异步传输模式（ATM）线路

参考答案:D

检查用于互联网Internet通讯的网络时，IS审计应该首先检查、确定：

选项：

A、是否口令经常修改

B、客户/服务器应用的框架

C、网络框架和设计

D、防火墙保护和代理服务器

参考答案:C

以下哪一项是针对部件通讯故障/错误的控制？

选项：

A、限制操作员访问和维护审计轨迹

B、监视并评审系统工程活动

C、配备网络冗余

D、建立接触网络传输数据的物理屏障

参考答案:C

规划并监控计算机资源，以确保其得到有效利用的是：

选项：

A、硬件监控

B、能力管理

C、网络管理

D、作业调度

参考答案:B

在检查广域网（WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线路通

讯异常，流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是：

选项：

A、实施分析，以确定该事件是否为暂时的服务实效所引起

B、由于广域网（WAN）的通讯流量尚未饱和，96%的流量还在正常范围内，不必理会

C、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的85%

D、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使

WAN的流量保持相对稳定

参考答案:A

企业正在与厂商谈判服务水平协议（SLA）,首要的工作是：

选项：

A、实施可行性研究

B、核实与公司政策的符合性

C、起草其中的罚则

D、起草服务水平要求

参考答案:D

将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪项能起

上述作用？

选项：

A、批量头格式

B、批量平衡

C、数据转换差错纠正

D、对打印池的访问控制

参考答案:B

测试程序变更管理流程时，IS审计师使用的最有效的方法是：

选项：

A、由系统生成的信息跟踪到变更管理文档

B、检查变更管理文档中涉及的证据的精确性和正确性

C、由变更管理文档跟踪到生成审计轨迹的系统

D、检查变更管理文档中涉及的证据的完整性

参考答案:A

应用控制的目的是保证当错误数据被输入系统时，该数据能被：

选项:

A、接受和处理

B、接受但不处理

C、不接受也不处理

D、不接受但处理

参考答案:C

一旦组织已经完成其所有关键业务的业务流程再造（BPR）,IS审计人员最有可能集中检查:

选项：

A、BPR实施前的处理流程图

B、BPR实施后的处理流程图

C、BPR项目计戈ij

D、持续改进和监控计划

参考答案:B

以一哪项功能应当山应用所有者执行，从而确保IS和最终用户的充分的职责分工？

选项：

A、系统分析

B、数据访问控制授权

C、应用编程

D、数据管理

参考答案:B

IT治理确保组织的IT战略符合于：

选项：

A、企业目标

B、IT目标

C、审计目标

D、控制目标

参考答案:A

在一个交易驱动的系统环境中，IS审计人员应审查基原子性以确定：

选项：

A、数据库是否能经受失败（硬件或软件）

B、交易之间是否相互隔离

C、完整性条件是否得到保持

D、一个交易是否已完成或没有进行或数据库已经修改或没有修改

参考答案:D

如果以下哪项职能与系统一起执行，会引起我们的关切？

选项：

A、访问规则的维护

B、系统审计轨迹的审查

C、数据保管异口同声

D、运行状态监视

参考答案:B

在审查组织的业务流程再造（BPR）的效果时，IS审计人员主要关注的是：

选项：

A、项目的成本超支

B、雇员对变革的抵触

C、关键控制可能从业务流程中取消

D、新流程缺少文档

参考答案:C

开发一个风险管理程序时进行的第一项活动是：

选项：

A、威胁评估

B、数据分类

C、资产盘点

D、并行模拟

参考答案:C

IS指导委员会应当：

选项：

A、包括来自不同部门和员工级别的成员

B、确保IS安全政策和流程已经被恰当地执行了

C、有正式的引用条款和保管会议纪要

D、由供应商在每次会议上简单介绍新趋势和产品

参考答案:C

在线（处理）系统环境下，难以做到完全的职责分工时，下面哪一个职责必须与其他分开?

选项：

A、数据采集和录入

B、授权/批准

c^记录

D、纠错

参考答案:B

为降低成本、改善得到的服务，外包方应该考虑增加哪一项合同条款？

选项：

A、操作系统和硬件更新周期

B、与承包方分享绩效红利

C、严厉的违例惩罚

D、为外包合同追加资金

参考答案:B

达到评价IT风险的目标最好是通过

选项：

A、评估与当前IT资产和IT项目相关的威胁

B、使用过去公司损失的实际经验来确定当前的风险

C、浏览公开报道的可比较组织的损失统计数据

D、浏览审计报告中涉及的IT控制薄弱点

参考答案:A

作为信息安全治理的成果，战略方针提供了：

选项：

A、企业所需的安全要求

B、遵从最佳实务的安全基准

C、H常化、制度化的解决方案

D、风险暴露的理解

参考答案:A

在数据仓库中，能保证数据质量的是：

选项：

A、净化

B、重构

C、源数据的可信性

D、转换

参考答案:C

应用系统开发的责任下放到各业务基层，最有可能导致的后果是

选项：

A、大大减少所需数据通讯

B、控制水平较低

C、控制水平较高

D、改善了职责分工

参考答案:B

以下哪一项是业务流程再造项目的第一步？

选项：

A、界定检查范围

B、开发项目计划

C、了解所检查的流程

D、所检查流程的重组和简化

参考答案:A

企业由于人力资源短缺，IT支持一直以来由一位最终用户兼职，最恰当的补偿性控制是:

选项：

A、限制物理访问计算设备

B、检查事务和应用日志

C、雇用新1T员工之前进行背景调查

D、在双休日锁定用户会话

参考答案:B

组织内数据安全官的最为重要的职责是：

选项：

A、推荐并监督数据安全政策

B、在组织内推广安全意识

C、制定IT安全政策下的安全程序/流程

D、管理物理和逻辑访问控制

参考答案:A

执行应用控制审核的IS审计人员应评价：

选项：

A、应用满足业务需求的效率

B、所有已发现的、暴露的影响

C、应用所服务的业务流程

D、应用的优化

参考答案:B

质量保证小组通常负责：

选项：

A、确保从系统处理收到的输出是完整的

B、监督计算机处理任务的执行

C、确保程序、程序的更改以及存档符合制定的标准

D、设计流程来保护数据，以免被意外泄露、更改或破坏

参考答案:C

山安全管理员负责的首选职责是：

选项：

A、批准安全政策

B、测试应用软件

C、确保数据的完整性

D、维护访问规则

参考答案:D

多用户网络环境下实现数据共享的基础在于程序间的通讯。以下哪一项使得程序间通讯特性

的实施和维护变得更加困难？

选项：

A、用户隔离

B、受控的远程访问

C、透明的远程访问

D、网络环境

参考答案:D

IS审计师在审计公司IS战略时最不可能：

选项：

A、评估IS安全流程

B、审查短期和长期IS战略

C、与适当的公司管理人员面谈

D、确保外部环境被考虑了

参考答案:A

某零售企业的每个出口自动对销售定单进行顺序编号。小额定单直接在出口处理，而大额定

单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是:

选项：

A、发送并对账交易数及总计

B、将数据送回本地进行比较

C、利用奇偶检查来比较数据

D、在生产机构对销售定单的编号顺序进行追踪和计算

参考答案:A

以下哪一项是集成测试设施（ITF）的优势？

选项：

A、它利用了实际的主文件，因此IS审计人员可以不审查源交易

B、定期测试不要求隔离测试过程

C、它验证应用系统并测试系统的持续运行

D、它不需要准备测试数据

参考答案:B

以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中？

选项：

A、删除一个记录

B、改变一个口令

C、泄露一个口令

D、改变访问权限

参考答案:C

IS审计师应当使用以下哪种报告来检查遵守服务层次协议（SLA）有关可用时间的要求?

选项：

A、利用情况报告

B、硬件故障报告

C、系统日志

D、可用性报告

参考答案:D

对于数据库管理而言，最重要的控制是：

选项：

A、批准数据库管理员（DBA）的活动

B、职责分工

C、访问日志和相关活动的检查

D、检查数据库工具的使用

参考答案:B

为评估软件的可靠性，IS审计师应该采取哪一种步骤？

选项：

A、检查不成功的登陆尝试次数

B、累计指定执行周期内的程序出错数目

C、测定不同请求的反应时间

D、约见用户，以评估其需求所满足的范围

参考答案:B

在审核组织的系统开发方法学时，IS审计人员通常首先执行以下哪一项审计程序？

选项：

A、确定程序的充分性

B、分析程序的效率

C、评价符合程序的程度

D、比较既定程序和实际观察到的程序

参考答案:D

在业务流程重组（BPR）的哪一个步骤，待测定的团队应访问、参观基准伙伴？

选项：

A、观察

B、计划

C、分析

D、调整

参考答案:A

企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周期

（SDLC）中设计和开发阶段，就被置换为：

选项:

A、挑选和配置阶段

B、可行性研究和需求定义阶段

C、实施和测试阶段

D、（无，不需要置换）

参考答案:A

某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应用

即将投入运行时，以下哪一项可以为公司资产的保护提供最合理的保证？

选项：

A、由内部审计人员进行一次审核

B、由指定的1S审计人员进行一次审查

C、由用户规定审核的深度和内容

D、由另一个同等资历的IS审计人员进行一次独立的审查

参考答案:D

如下，哪一项是时间盒管理的特征？

选项：

A、它不能与原型开发或快速应用开发（RAD）配合使用

B、它回避了质量管理程序（或流程）的要求

C、它能避免预算超支和工期延后

D、它分别进行系统测试和用户验收测试

参考答案:C

随着应用系统开发的进行孤明显有数个设计目标已无法实现最有可能导致这一结果的原因

是：

选项：

A、用户参与不足

B、项目此理早期撤职

C、不充分的质量保证（QA）工具

D、没有遵从既定的己批准功能

参考答案:A

在实施某应用软件包时，以下哪项风险最大？

选项：

A、多个未受控制的软件版本

B、源程序和目标代码不同步

C、参数设置错误

D、编程错误

参考答案:C

集线器（HUB）设备用来连接：

选项：

A、两个采用不同协议的LANs

B、一个LAN和一个WAN

C、一个LAN和一个MAN（城域网）

D、一个LAN中的两个网段

参考答案:D

IS管理层建立变更管理程序的目的是：

选项：

A、控制应用从测试环境向生产环境的移动

B、控制因忽略了未解决的问题而导致的业务中断

C、保证在灾难发生时'也务操作的不间断

D、检验系统变更已得到适当的书面的记录

参考答案:A

以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行？

选项：

A、单元测试

B、压力测试

C、回归测试

D、验收测试

参考答案:A

在审计系统开发项目的需求阶段时，IS审计人员应：

选项：

A、评估审计足迹的充分性

B、标识并确定需求的关键程度

C、验证成本理由和期望收益

D、确保控制规格已经定义

参考答案:D

评估数据库应用的便捷性时，IS审计师应该验证:

选项：

A、能够使用结构化查询语言(SQL)

B、与其他系统之间存在信息的导入、导出程序

C、系统中采用了索引(Index)

D、所有实体(entities)都有关键名、主键和外键

参考答案:A

软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？

选项：

A、理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有变化或

变化很小

B、需求被充分地理解，项目又面临工期压力

C、项目要采用面向对象的设计和编程方法

D、项目要引用新技术

参考答案:A

IS审计师正在检查开发完成的项目，以确定新的应用是否满足业务目标的要求。下面哪类报

告能够提供最有价值的参考？

选项：

A、用户验收测试报告

B、性能测试报告

C、开发商与本企业互访记录(或社会交往报告)

D、穿透测试报告

参考答案:A

假设网络中的一个设备发生故障，那么在下哪种局域网结构更容易面临全面瘫痪？

选项：

A、星型

B、总线

C、环型

D、全连接

参考答案:A

项目开发过程中用来检测软件错误的对等审查活动称为：

选项：

A、仿真技术

B、结构化走查

C、模块化程序设计技术

D、自顶向下的程序构造

参考答案:B

TCP/IP协议簇包含的面向连接的协议处于：

选项：

A、传输层

B、应用层

C、物理层

D、网络层

参考答案:A

当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时，IS审计人员首先应关

注的是：

选项：

A、用户可能更愿意使用预先制作的测试数据

B、可能会导致对敏感数据的非授权访问

C、错误处理可信性检查可能得不到充分证实

D、没有必要对新流程的全部功能进行测试

参考答案:B

以下哪一个群体应作为系统开发项目及结果系统的拥有者？

选项：

A、用户管理层

B、高级管理层

C、项目指导委员会

D、系统开发管理层

参考答案:A

以下哪一项根据系统输入、输出及文件的数量和复杂性来测算系统的规模？

选项：

A、程序评估审查技术（PERT）

B、快速应用开发（RAD）

C、功能点分析（FPA）

D、关键路径法（CPM）

参考答案:C

IS审计人员在应用开发项目的系统设计阶段的首要任务是：

选项：

A、商定明确详尽的控制程序

B、确保设计准确地反映了需求

C、确保初始设计中包含了所有必要的控制

D、劝告开发经理要遵守进度表

参考答案:C

对于测试新的、修改的或升级的系统而言，为测试其（处理）逻辑，创建测试数据时，最重

要的是：

选项：

A、为每项测试方案准备充足的数据

B、实际处理中期望的数据表现形式

C、按照计划完成测试

D、对实际数据进行随机抽样

参考答案:B

在契约性协议包含源代码第三方保存契约(escrow)的目的是：

选项：

A、保证在供应商不存在时源代码仍然有效

B、允许定制软件以满足特定的业务需求

C、审核源代码以保证控制的充分性

D、保证供应商己遵从法律要求

参考答案:A

IS审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题？

选项：

A、构造

B、系统设计

C、验收测试

D、功能说明

参考答案:D

为赶项目工期，而增加人手时，首先应该重新核定下面的哪一项？

选项：

A、项目预算

B、项目的关键路径

C、剩余任务的(耗时)长短

D、指派新增的人手支做其工作

参考答案:B

以下哪一项是数据仓库设计中最重要的因素？

选项：

A、元数据的质量

B、处理的速度

C、数据的变动性

D、系统弱点

参考答案:A

在检查基于WEB的软件开发项目时，IS审计师发现其编程没遵循适当的编程标准，也没有

认真检查这些源程序。这将增加如下哪一类攻击得手的可能性？

选项：

A、缓冲器溢出

B、暴力攻击

C、分布式拒绝服务攻击

D、战争拨号攻击

参考答案:A

在因特网应用中使用小应用程序（applets）的最有可能的解释是：

选项：

A、它是从服务器跨网络发送

B、服务器不能运行程序且输出不能跨网络发送

C、它可同时改进WEB服务器和网络的性能

D、它是一种通过WEB浏览器下我并在客户机的WEB服务器上运行的JAVA程序

参考答案:C

如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于：

选项：

A、项目需求定义阶段

B、项目可行性研究阶段

C、项目详细设计阶段

D、项目编程阶段

参考答案:B

以下哪一项是程序评估审查技术（PERT）相对于其它技术的优势？PERT：

选项：

A、为规划和控制项目而考虑了不同的情景

B、允许用户输入程序和系统参数

C、准确地测试系统维护流程

D、估计系统项目的成本

参考答案:A

对各业务部门实施控制自我评估最为有效的是：

选项：

A、非正式的个人自我检查

B、引导式研讨会

C、业务流描述

D、数据流程图

参考答案:B

信息系统审计师在什么情况下应该使用统计抽样，而不是判断抽样（非统计抽样）？

选项：

A、错误概率必须是客观量化的

B、审计师希望避免抽样风险

C、通用审计软件不可用

D、可容忍误差率不能确定

参考答案:A

信息系统审计师检查IT控制的效力时，发现以前的审计报告,没有相应的工作底稿，他（她）该怎

么办？

选项：

A、暂停审核工作，直到找到这些审计底稿

B、信息并直接采纳以前的审计报告

C、重新测试好些处于高风险内的控制

D、通知审计经理，并建议重新测试这些控制

参考答案:D

确保审计资源在组织中发挥最大价值的首要步骤应该是:

选项：

A、规划审计工作并监控每项审计的时间花费

B、培训信息系统审计师掌握公司中使用的最新技术

C、基于详细的风险评估制定审计计划

D、监控审计进展并实施成本控制

参考答案:C

卜面哪个在线审计技术对于早期发现错误或误报有效

选项：

A、嵌入式审计模块

B、综合测试工具

C、快照

D、审计钩

参考答案:D

控制自我评估的成功高度依赖于

选项:

A、让直线经理承担一部分控制监控责任

B、分配构建控制的责任，但没有监控责任

C、实施严格的控制政策并按规则进行控制

D、对已分配的责任实施监督和监控

参考答案:A

使用统计抽样流程有助于最小化：

选项：

A、抽样风险

B、检测性风险

C、固有风险

D、控制风险

参考答案:B

内部审计部门，从组织结构上向财务总监而不是审计委员会报告，最有可能：

选项：

A、导致对其审计独立性的质疑

B、报告较多业务细节和相关发现

C、加强了审计建议的执行

D、在建议中采取更对有效行动

参考答案:A

实施基于风险的审计过程中，完全由IS审计师启动的风险评估是：

选项：

A、检查风险的评估

B、控制风险的评估

C、固有风险的评估

D、舞弊风险的评估

参考答案:C

以下哪项应是IS审计师最为关注的：

选项：

A、没有报告网络被攻陷的事件

B、未能就企业闯入事件通知执法人员

C、缺少对操作权限的定期检查

D、没有就闯入事件告之公众

参考答案:A

为满足预定义的标准，下面哪一种连续审计技术，对于查找要审计的事务是最佳的工具？

选项：

A、系统控制审计检查文件和嵌入式审计模块(SCARF/EAM)

B、持续和间歇性模拟(CIS)

C、整体测试(ITF)

D、审计钩(Audithooks)

参考答案:B

在不熟悉领域从事审计时，IS审计师首先应该完成的任务是：

选项：

A、为涉及到的每个系统或功能设计审计程序

B、开发一套符合性测试和实质性测试

C、收集与新审计项目相关的背景信息

D、安排人力与经济资源

参考答案:C

在审查定义IT服务水平的过程控制时.，信息系统审计师最有可能先与下列哪种人面谈:

选项：

A、系统编程人员

B、法律顾问

C、业务单位经理人员

D、应用编程人员

参考答案:C

IS审计期间，对收集数据范围的决定应基于：

选项：

A、关键和必要信息的可获得性

B、审计师对相关环境的了解程度

C、从被审事项中找到证据的可能性

D、审计的目的和范围

参考答案:D

如下哪一类风险是假设被检查的方面缺乏补偿控制：

选项:

A、控制风险

B、检查风险

C^固有风险

D、抽样风险

参考答案:C

以下哪项是CSA的目标：

选项：

A、专注于高风险领域

B、代替审计责任

C、完善控制问卷

D、协助推进交流

参考答案:A

对新的应收帐模块实施实质性审计测试时,IS审计师的日程安排非常紧,而且对计算机知识知

之不多.那么，下面哪一项审计技术是最佳选择？

选项：

A、测试数据

B、平行模拟(Parallelsimulation)

C、集成测试系统(ITF)

D、嵌放式审计模块(EAM)

参考答案:A

在评价网络监控的设计时,信息系统审计师首先要检查网络的

选项：

A、拓扑图

B、带宽的使用

C、流量分析报告

D、瓶颈位置

参考答案:A

审计章程的主要目的是：

选项:

A、把组织需要的审计流程记录下来

B、正式记录审计部门的行动计划

C、为审计师制定职业行为规范

D、描述审计部门的权力与责任

参考答案:D

制订基于风险的审计程序时,1S审计师最可能关注的是：

选项：

A、业务程序/流程

B、关键的IT应用

C、运营控制

D、业务战略

参考答案:A

防止对数据文件非授权使用的最有效的方法是什么？

选项：

A、自动文件记帐

B、磁带保管员

C、访问控制软件

D、加锁的程序库

参考答案:C

IS审计师检查无线网络安全时，发现它没有启用动态主机配置协议（DHCP）。这样的设置

将：

选项：

A、降低未经授权即访问网络资源的风险

B、不适用于小型网络

C、能自动分配IP地址

D、增加无线加密协议（WEP）相关的风险

参考答案:A

利用残留在现场的指纹等人体生物特征侦破非授权的访问（如：窃贼入室），属于哪一类攻

击？

选项：

A、重用、重放、重演（replay）

B、暴力攻击

C、解密

D、假装、模仿

参考答案:A

拒绝服务攻击损害了卜列哪一种信息安全的特性?

选项：

A、完整性

B、可用性

C、机密性

D、可靠性

参考答案:B

每感染一个文件就变体•次的恶意代码称为：

选项：

A、逻辑炸弹

B、隐秘型病毒

C、特洛伊木马

D、多态性病毒

参考答案:D

下面哪一种控制是内联网的一种有效安全控制？

选项：

A、电话回叫

B、固定的口令

C、防火墙

D、动态口令

参考答案:C

下面哪一种环境控制措施可以保护计算机不受短期停电影响？

选项：

A、电力线路调节器

B、电力浪涌保护设备

C、备用的电力供应

D、可中断的电力供应

参考答案:D

下面的哪一种加密技术可以最大程度地保护无线网络免受中间人攻击？

选项：

A、128位有线等效加密(WEP)

B、基于MAC地址的预共享密钥(PSK)

C、随机生成的预共享密钥(PSK)

D、字母和数字组成的服集标识符(SSID)

参考答案:C

为方便使用公司内不断增加的移动设备(如：笔记本电脑、PDA和有收发电子邮件功能的手

机)，IS部门经理刚刚施工完成无线局域网(WirelessLAN)改造，以替换掉以前的双绞线

LANo这种技术改造将会增加哪一种攻击风险？

选项：

A、端口扫描

B、后|]

C、中间人

D、战争驾驶(Wardriving)

参考答案:D

公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期，包括证书目录维护，

证书废止列表维护和证书发布这个要素是：

选项：

A、证书机构(CA)

B、数字签名

C、证书实践声明

D、注册机构(RA)

参考答案:D

网络上数据传输时，如何保证数据的保密性？

选项：

A、数据在传输前经加密处理

B、所有消息附加它哈希值

C、网络设备所在的区域加强安全警戒

D、电缆作安全保护

参考答案:A

跨国公司的IS经理打算把现有的虚拟专用网(VPN,virtualpriavtenetwork)升级，采用通

道技术使其支持语音IP电话(VOIP,voice-overIP)服务，那么，需要首要关注的是：

选项：

A、服务的可靠性和质量(Qos,qualityofservice)

B、身份的验证方式

C、语音传输的保密

D、数据传输的保密

参考答案:A

在公钥加密系统(PKI)中，处理私钥安全的详细说明的是：

选项：

A、撤销的证书列表(CRL,Certificaterevocationlist)

B、证书实务说明(CPS,Certificationpracticestatement)

C、证书政策(CP,Certificatepolicy)

D、PKI披露条款(PDS,PKJdisclosurestatement)

参考答案:B

为保证正常运行的计算机系统能被连续使用，用户支持服务是很重要的，下面哪一种情况与

用户支持服务比较接近？

选项：

A、事件处理能力

B、配置管理

C、存储介质控制

D、系统备份

参考答案:A

IS审计师检查日志文件中的失败登陆的尝试，那么，最关注的账号是：

选项：

A、网络管理员

B、系统管理员

C、数据管理员

D、数据库管理员

参考答案:B

许多计算机系统为诊断和服务支持的目的提供一些“维护账号''给系统带来的脆弱性，下面哪

一种安全技术最不被优先考虑使用：

选项：

A、回叫确认

B、通讯加密

C、智能令牌卡

D、口令与用户名

参考答案:D

某公司计划升级现有的所有PC机，使其用户可以使用指纹识别登陆系统，访问关键的数据。

实施时需要：

选项：

A、所有受信的PC机用户履行的登记、注册手续（或称为：初始化手续）

B、完全避免失误接受的风险（即：把非授权者错误识别为授权者的风险）

C、在指纹识别的基础上增加口令保护

D、保护非授权用户不可能访问到关键数据

参考答案:A

内联网（Intranet）可以建立在一个组织的内部网络上，也可以建互联网（internet）上，上

面哪•条针对内联网的控制在安全上是最弱的？

选项：

A、用加密的通道传输数据

B、安装加密路山器

C、安装加密防火墙

D、对私有WWW服务器实现口令控制

参考答案:D

虚拟专用网（VPN）的数据保密性，是通过什么实现的？

选项：

A、安全接口层（SSL,SecureSocketsLayer）

B、网络隧道技术（Tunnelling）

C、数字签名

D、网络钓鱼

参考答案:B

处理计算机犯罪事件需要运用管理团队的方法，下面哪一个角色的职责是明确的？

选项：

A、经理

B、审计人员

C、调查人员

D、安全负责人

参考答案:A

安全事件应急响应系统的最终目标是：

选项：

A、对安全事件做出的反应不足

B、检测安全事件

C、对安全事件做出过度反应

D、实施提高安全的保护措施

参考答案:D

主动式射频识别卡（RFID）存在哪一种弱点？

选项：

A、会话被劫持

B、被窃听

C、存在恶意代码

D、被网络钓鱼攻击

参考答案:B

会话以以下哪•种方式处理，才能最大程度保护无线局域网（WLAN）上传输的机密信息？

选项：

A、会话被限定在预定的网卡物理地址（MACaddress）上

B、使用固定的密钥加密

C、使用动态的密钥加密

D、由有加密存储功能的设备发起会话

参考答案:C

下面哪一条措施不能防止数据泄漏？

选项：

A、数据冗余

B、数据加密

C、访问控制

D、密码系统

参考答案:A

IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁

需要特别关注？

选项：

A、安全官兼职数据库管理员

B、客户/服务器系统没有适当的管理口令/密码控制

C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑

D、大多数局域网上的文件服务器没有执行定期地硬盘备份

参考答案:B

对下列费用舞弊行为按照发生的频度以降序进行排序：1、针对电话卡的舞弊2、员工滥用3、

针对专用分组交换机（PBX）的舞弊4、针对移动电话的舞弊

选项：

A、1,2,3,4

B、3,4,1,2

C、2,3,4,1

D、4,1,2,3

参考答案:B

下面哪•种安全技术是鉴别用户身份的最好的方法？

选项：

A、智能卡

B、生物测量技术

C、挑战-响应令牌

D、用户身份识别码和口令

参考答案:B

在一个分布式计算环境中，系统安全特别重要。分布式计算环境中的网络攻击存在两种主要

的类型：被动攻击和主动攻击。下面哪一种是属于被动攻击？

选项：

A、企图登录到别人的帐号上

B、在网络电缆上安装侦听设备，并产生错误消息

C、拒绝为合法用户提供服务

D、当用户键入系统口令时，进行窃听

参考答案:D

IS审计师发现IDS日志中与入口相关的端口扫描没有被分析，这样将最可能增加哪一类攻击

成攻的风险？

选项：

A、拒绝服务攻击

B、包重放

C、社交工程

D、缓存溢出

参考答案:A

哪一个最能保证来自互联网internet的交易事务的保密性？

选项：

A、数字签名

B、数字加密标准(DES)

C、虚拟专用网(VPN)

D、公钥加密(PublicKeyencryption)

参考答案:D

下面哪一种的方式会消耗掉有价值的网络带宽？

选项：

A、特洛伊木马

B、陷井门

C、蠕虫

D、疫苗

参考答案:C

可以用下列哪一种既经济又方便的方式来防止互联网的WWW服务信息被窃听？

选项：

A、对连接和文件进行加密

B、对Socket层和HTTP进行力口密

C、对连接和Socket进行加密

D、对文档和HTTP进行加密

参考答案:B

检查入侵监测系统(IDS)时,IS审计师最关注的内容是：

选项:

A、把正常通讯识别为危险事件的数量(误报)

B、系统没有识别出的攻击事件

C、由自动化工具生成的报告和日志

D、被系统阻断的正常通讯流

参考答案:B

在对数据中心进行审计时，审计师应当检查电压调整器是否存在，以保证：

选项：

A、保护硬件设备免受浪涌损害

B、如果主电力被中断，系统的完整性也可以得到维护

C、如果主电力被中断，可以提供即时的电力供应

D、保护硬件设备不受长期电力波动的影响

参考答案:A

实施安全政策时，落实责任控制是很重要的一方面，在控制系统用户的责任时下面哪一种情况

有效性是最弱的？

选项：

A、审计要求

B、口令

C、识别控制

D、验证控制

参考答案:B

大型公司的供应商遍布在全球各地，因此其网络流量会持续上升。在这种环境下的信息基础

设备及各种组件应当是可缩放的，下列哪•种防火墙的结构限制了其未来的缩放性？

选项：

A、固定单元的防火墙

B、基于操作系统的防火墙

C、基于主机的防火墙

D、非军事化区（DMZ）

参考答案:A

计算机舞弊行为可以被以下哪一条措施所遏制？

选项：

A、准备起诉

B、排斥揭发腐败内幕的雇员

C、忽略了司法系统的低效率

D、准备接收系统缺乏完整性所带来的风险

参考答案:A

一种基于信任而产生的并且很难防范的主要风险是：

选项：

A、正确使用的授权访问

B、被滥用的授权访问

C、不成功的非授权访问

D、成功的非授权访问

参考答案:B

你所在的组织正在计划购置•套适合多种系统的访问控制软件包来保护关键信息资源。在评

估这样一个软件产品时最重要的标准是什么？

选项：

A、要保护什么样的信息？

B、有多少信息要保护？

C、为保护这些重要信息你准备有多大的投入？

D、不保护这些重要信息，你将付出多大的代价？

参考答案:D

一家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到的资料没有被

修改？

选项：

A、电子邮件发送前，用投资顾问商的私钥加密邮件的哈席值

B、电子邮件发送前，用投资顾问商的公钥加密邮件的哈席值

C、电子邮件发送前，用投资顾问商的私钥数字签名邮件

D、电子邮件发送前，用投资顾问商的私钥加密邮件

参考答案:A

计算机安全应急响应能力CSIRC需要为其日常使用操作以及对系统有效性和责任性检查提

供大量信息，下面哪一种日志能最好地反映系统每天的活动过程？

选项：

A、联系日志

B、活动日志

C、事件日志

D、审计日志

参考答案:B

建立数据所有权关系的任务应当是下列哪一种人的责任？

选项:

A、职能部门用户

B、内部审计人员

C、数据处理人员

D、外部审计人员

参考答案:A

安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略？

选项：

A、基于角色的策略

B、基于身份的策略

C、用户向导的策略

D、强制性访问控制策略

参考答案:D

下列哪一种情况会损害计算机安全政策的有效性？

选项：

A、发布安全政策时

B、重新检查安全政策时

C、测试安全政策时

D、可以预测到违反安全政策的强制性措施时

参考答案:D

下面哪一种安全特征可以由结构化查询评议（SQL）标准来定义？

选项：

A、身份鉴别与验证

B、事务管理

C、审计

D、容错

参考答案:B

下面哪一种日志文件有助于评估计算机安全事例的危害程度？

选项：

A、联络日志

B、活动日志

C、事件日志

D、审计日志

参考答案:C

下面哪一种属于网络上的被动攻击？

选项：

A、消息篡改

B、伪装

C、拒绝服务

D、流量分析

参考答案:D

数字签名可以有效对付哪一类电子信息安全的风险？

选项：

A、非授权地阅读

B、盗窃

C、非授权地复制

D、篡改

参考答案:D

通常，操作系统可以提供哪一种访问控制功能？

选项：

A、创建数据库用户账号(profile)

B、字段级验证用户身份

C、为每个人建立登陆账号

D、为监督访问违例，日志记录数据库访问活动

参考答案:C

组织的安全政策可以是广义的，也可以是狭义的，下面哪一条是属于广义的安全政策？

选项：

A、应急计划

B、远程办法

C、计算机安全程序

D、电子邮件个人隐私

参考答案:C

从计算机安全的角度看，下面哪一种情况是社交工程的一个直接的例子：

选项：

A、计算机舞弊

B、欺骗或胁迫

C、计算机偷窃

D、计算机破坏

参考答案:B

下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的？

选项：

A、完整性控制的需求是基于风险分析的结果

B、控制已经过了测试

C、安全控制规范是基于风险分析的结果

D、控制是在可重复的基础上被测试的

参考答案:D

下面哪一种拒绝服务攻击在网络上不常见？

选项:

A、服务过载

B、对消息的洪水攻击

C、连接阻塞

D、信号接地

参考答案:C

下面哪一种功能不是防火墙的主要功能？

选项：

A、协议过滤

B、应用网关

C、扩展的日志记录能力

D、包交换

参考答案:D

对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为:

选项：

A、反馈错误控制

B、块求和校验

C、转发错误控制

D、循环冗余校验

参考答案:C

下列哪一种行为是互联网上常见的攻击形式？

选项：

A、查找软件设计错误

B、猜测基于个人信息的口令

C、突破门禁系统闯入安全场地

D、种值特洛伊木马

参考答案:D

在一个单机运行的微型计算机或网络服务器环境下，防止程序被盗窃和使系统免受病毒威胁

的有效预防性措施不包括以下哪•条？

选项:

A、提醒员工不要在非授权的情况下拷贝任何存放在计算机硬盘上受保护的可执行程序

B、禁止任何人从一张软盘拷贝可执行程序到另一张软盘

C、不允许有任何从软件拷贝可执行程序到硬盘的企图

D、禁止任何人从“外来的”软盘上执行任何程序

参考答案:A

能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是：

选项：

A、将每次访问记入个人信息（即：作日志）

B、对敏感的交易事务使用单独的密码/口令

C、使用软件来约束授权用户的访问

D、限制只有营业时间内才允许系统访问

参考答案:C

公司打算安装单点登陆（SSO）控制软件，以访问企业的所有系统。安装前，公司领导应该

知道：

选项：

A、一旦口令外泄，有可能出现严重的非授权访问

B、用户访问权限应该由附加的安全配置加以限制

C、安全管理员的工作负担会加重

D、用户的访问权限会增加

参考答案:A

软件的盗版是一个严重的问题。在下面哪•种说法中反盗版的政策和实际行为是矛盾的？

选项：

A、员工的教育和培训

B、远距离工作（Telecommuting）与禁止员工携带工作软件回家

C、自动日志和审计软件

D、政策的发布与政策的强制执行

参考答案:B

网上资金传输信息的安全性是一个严重的问题,下面哪一种安全控制措施在防止对资金传输

信息的舞弊和滥用方面是最有效的？

选项：

A、唯•的口令

B、唯一的用户名和口令

C、加密

D、唯一的用户名、口令和个人身份识别码

参考答案:C

IS审计师检查指纹识别系统时，发现•个控制漏洞--1个非授权用户可以更新保存指纹模板

的中心数据库。下面的哪一种控制能够根除这个风险？

选项：

A、Kerberos

B、活性检查

C、多种生物特征并用

D、生物特征数字化前后均作记录

参考答案:A

在评估异地备份供应商时，下列哪一条标准最不重要？

选项：

A、存储介质管理和环境因素

B、员工人数

C、信誉和站点安全

D、运输能力

参考答案:B

业务连续性计划（BCP）的哪个部分，是企业IS部门的主要责任？

选项：

A、制定业务连续性计划

B、选定、批准业务连续性计划的相关战略

C、遇灾报警

D、灾后恢复IS系统和数据

参考答案:D

一旦业务功能发生变化，已打印的表格和其他备用资源都可能要改变。下面哪一种情况构成

了对组织的主要风险？

选项：

A、在异地存储的备用资源详细目录没有及时更新

B、在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新

C、没有对紧急情况下的供应商或备选供应商进行评估，不知道供应商是否还在正常营业

D、过期的材料没有从有用的资源中剔除

参考答案:C

在检查通讯备份计划时，对信息系统审计师来说，网络组件的可用性是信息系统审计师主要

考虑的问题。下面哪一条可以满足网络组件的可用性。

选项：

A、前导时间（从设计到实际使用的时间）

B、可靠性

C、灵活性

D、兼容性

参考答案:A

应急计划能应对下列哪一种威胁？

选项：

A、物理威胁和软件威胁

B、软件威胁和环境威胁

C、物理威胁和环境威胁

D、软件威胁和硬件威胁

参考答案:C

IS审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP）,但是没有整

个企业的BCP。那么，IS审计师应该采取的最佳行动是：

选项：

A、各业务部门都有适当的BCP就够了，无需其他

B、建议增加、制订全企业的、综合的BCP

C、确定各部门的BCP是否一致，没有冲突

D、建议合并所有BCP为一个单独的全企业的BCP

参考答案:C

IS审计师应该参与：

选项：

A、参观灾难恢复计划的测试和演练

B、制定灾难恢复计划

C、维护灾难恢复计划

D、检查灾难恢复需求有交的供应商合同

参考答案:A

微型计算机上的软件和数据是否要保存到异地备份站点主要取决于：

选项：

A、访问的简便性

B、风险评估

C、完备的标签

D、完备的文档

参考答案:B

热站在何时作为恢复战略实施？

选项：

A、灾难的容忍程度低时

B、恢复点目标（RPO）高时

C、恢复时间目标（RTO）高时

D、灾难的容忍程序高时

参考答案:A

关于灾难恢复计划多长时间测试一次，一直就有争论。测试灾害恢复计划的频度应当基于：

选项：

A、审计师的建议

B、数据处理的要求

C、预算额度

D、管理者的意见

参考答案:B

根据组织业务连续性计划的复杂程度，可以建立多个计划来满足业务连续和灾难恢复的各方

面。在这种环境下，有必要：

选项：

A、每个计划都与其他计划相协调

B、所有计划都整合到一个计划中

C、每个计划都独立于其他计划

D、指定所有计划实施的顺序

参考答案:A

审计BCP时，IS审计师发现尽管所有部门都位于同一栋大楼里，各部门还是制定了本部门的

BCP。IS审计师建议将各BCP协调统一起来，那么，首先要统一的是：

选项:

A、疏散和撤离计划

B、恢复的优先顺序

C、备份存储(Backupstorages)

D、电话表(Calltree)

参考答案:A

审计企业的业务不间断计划忖，IS审计师发现、业务不间断计划(BCP)中只涵盖了关键的业

务，那么IS审计师：

选项：

A、应该建议该计划扩大，以涵盖全部业务

B、评估部分业务没有纳入该计划所带来的影响

C、向IT经理汇报这个问题

D、重新定义、划定关键业务

参考答案:B

IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统

的一半。那么，他/她该怎么做？

选项：

A、无需做什么。因为只有处理能力低于正常的25%,才会严重影响企业的生存和备份能力

B、找出可以在备用设施使用的应用，其它业务处理采用手工操作，制订手工流程以备不测

C、找出所有主要的应用，确保备用设施可以运行这些应用

D、建议相关部门增加备用设施投入，使其能够处理75%的正常业务

参考答案:C

文件备份的频度主要依靠下面哪一条？

选项:

A、应用系统功能的重要性

B、应用系统规则的重要性

C、应用系统文档的重要性

D、应用系统编排方式的重要性

参考答案:A

检查BCP时，IS审计师最为关注的是：

选项:

A、灾难程度只考虑到受到威胁的业务职能的范围大小，而没有考虑持续时间的长短

B、没有区分较小的灾难与软件事故

C、整体的BCP是成文的，而具体的恢复步骤没有细化（或预先制定）

D、没有指定报告发生灾难事件的负责人

参考答案:D

局域网环境下与大型计算机环境下的本地备份方式有什么主要区别？

选项：

A、主要结构

B、容错能力

C、网络拓扑

D、局域网协议

参考答案:B

一声火灾蔓延到一个组织的机房场地，这个组织损失了所有的计算机系统。从前，这个组织

最应该做的是：

选项：

A、为冷站备份方式作战计划

B、为互助协议作计划-与其他相同的组织协商互为备份

C、为热站备份方式作计•划--使一切设备与数据准备就绪

D、为异地存储设备作每日备份

参考答案:D

下面哪一条能证明组织在发生各种灾难的情况下，具有能提供及时、可靠、准确的信息的能

力？

选项：

A、一个综合的、书面的灾难恢复计划

B、一个具有结构清晰的内容和易于使用的索引的书面计划

C、得到高层管理人员和审计师批准的书面计划

D、操练与演习

参考答案:D

关于冷站的计算机设备的组成，下面哪一种说法不正确？

选项：

A、加热系统，湿度控制和空调设备

B、CPU和其他计算机设备

C、电源连接

D、通讯连接

参考答案:B

生产环境中，确定每个应用系统的重要程序的最佳方法是：

选项：

A、约见、面谈开发应用的程序员

B、实施差异分析

C、检查最近的应用审计

D、实施业务影响分析

参考答案:D

在提供备份计算机设备方面，下面哪一种情况是成本最低的？

选项：

A、互助协议

B、共享设备

C、服务机构

D、公司拥有的镜像设备

参考答案:A

准备业务连续性计划时，确定恢复点目标（RPO）需要知道：

选项：

A、一旦运营中断，可接受的数据丢失程度

B、一旦运营中断，可接受的停机时间

C、可用的非现场备份设施类型（是冷站、温站，还是热站）

D、支持关键业务功能的IT平台类型

参考答案:A

审计业务连续性计划时，卜面哪个审计发现需要特别关注？

选项：

A、今年新购置的设备、资产没有购买相应的保险

B、BCP手册没有经常更新

C、不经常实施备份数据的测试

D、维护访问系统的记录不知去向

参考答案:C

如下哪一种情况下，网络数据管理协议（NDMP）可用于备份？

选项：

A、需要使用网络附加存储设备（NAS）时

B、不能使用TCP/IP的环境中

C、需要备份旧的备份系统不能处理的文件许可时

D、要保证跨多个数据卷的备份连续、一致时

参考答案:A

一家大型银行实施IT审计的过程中，IS审计师发现许多业务应用没有执行正规的风险评估,

也没有确定其重要性和恢复时间上的要求。那么，这些暴露的银行风险是：

选项：

A、业务连续性计划（BCP）可能没有与银行各应用被破坏的风险相对应

B、业务连续计划（BCP）可能没有包含所有相关应用，因此，在范围上不完整

C、领导或许没有正确认识灾难对业务的影响

D、业务连续性计划（BCP）或许缺少有效的业务所有者关系

参考答案:A

确定热站供应商在资源共享区域内的业务操作的完整性与优先级的最有效的方式是：

选项：

A、检查与热站供应商签署的所有租赁合同

B、在热站供应商所在地观察一起实际的灾难过程

C、要求供应商提供一份外部审计报告

D、要求供应商提供书面的承诺

参考答案:C

公司实施灾难恢复计划之后，下一步该做什么？

选项：

A、获得高层领导层的支持

B、识别必需的业务

C、实施书面测试

D、作系统恢复测试

参考答案:C

检查用于互聊网通讯的网路时，IT审计师应该首先检查

A.是否口令经常修改

B.客户/服务器应用的框架

C.网路框架设计

D.防火墙保护和代理服务器

制定基于风险的审计战略时，IS审计师应该实施风险评估，以确定

A.已经存在减免风险的控制

B.找到了弱点和威胁

C.已经考虑到审计风险

D.实施差累分析是适当的

软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？

A.理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有变化或

变化很小

B.需求被充分地理解，项目又面临工期压力

C.项目要采用面向对象的设计和编程方法

D.项目要引用新技术

信息系统不能满足用户需求的最常见的原因是：

A.用户需求频繁变动

B,对用户需求增长的预测不准确

C.硬件系统限制了并发用户的数目

D.定义系统时用户参与不够

以下哪项应是IS审计师最为关注的：

A.没有报告网络被攻陷的事件

B.未能就企业闯入事件通知执法人员

C.缺少对操作权限的定期检查

D.没有就闯入事件告之公众

在收集法庭证据的过程中，以下哪种行为最容易造成目标系统上的证据毁坏？

A.将内存内容转存至文件中

B.生成目标系统的磁盘映像

C.重启目标系统

D.将目标系统移出网络

有效的IT治理要求组织结构和程序确保

A.组织的战略和目标包括IT战略

B.业务战略来自于IT战略

C.IT治理是独立的，与整体治理相区别

D.IT战略扩大了组织的战略和目标

质量保证小组通常负责：

A.确保从系统处理收到的输出是完整的

B.监督计算机处理任务的执行

C.确保程序、程序的更改以及存盘符合制定的标准

D.设计流程来保护数据，以免被意外泄露、更改或破坏

组织内数据安全官的最为重要的职责是：

A.推荐并监督资料安全政策

B.在组织内推广安全意识

C.制定IT安全政策下的安全程序/流程

D.管理物理和逻辑访问控制

以下哪条最好的支持了新IT项目的优先化？

A.内部控制自我评价(CSA)

B.信息系统审计

C.投资组合分析

D.商业风险评估

企业在允许外部机构物理访问其信息处理设施(IPFs)前应该做什么？

A.外部机构的操作应当由独立的IS审计师审计

B.外部机构的工作人员应当培训企业的安全流程

C.任何外部机构的访问应当被限制在隔离区(DMZ)

D.企业应当组织风险评估，并设计、执行适当的控制

信息系统审计师正在审查一个项目，该项目是在银行母公司与子公司之间实施一个支付系统。

信息系统审计师应该首先确认：

A.两个公司的技术平台具有互操作性

B.银行母公司被授权作为服务提供商

C.采取安全措施分离子公司的交易

D.子公司可以成为这个系统的共同拥有者

在执行灾难恢复测试时，信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢，为了

找到根本原因，信息系统审计师应该首先检查：

A.灾难恢复站点的错误事件报告

B.灾难恢复测试计划

C.灾难恢复计划(DRP)

D.主站点和灾难恢复站点的配置和一■致性(configurationsandalignment)

在审查IT灾难恢复测试时，下列问题中哪个最应引起IS审计师的关注：

A.由于有限的测试时间窗，仅仅测试了最必须的系统。其它系统在今年的剩余时间里陆

续单独测试

B.在测试过程中，注意到有些备份系统有缺陷或者不能正常工作，从而导致这些系统的

测试失败

C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每••步因而没有使用恢

复计划文档

IS审计师正在审查某个组织的物理安全措施。关于门卡(accesscard)系统，IS审计师最应

关注：

A.未标明名字的(nonpersonalized)门卡给授予清洁工，清洁工使用签到表，但没有出示

任何身份证明

B.门卡上没有表明组织的名字和地址以方便丢失后及时归还

C.门卡的发行和权限管理由多个部门负责，导致不必要的新卡领用时间

D.制作门卡的计算机系统在系统失败后在三周后才能恢复

下列哪一项是自我评估控制(CSA)的关键好处？

A.支持业务目标的内部控制的所有权管理(managementownership)被强化

B.当评估结果被外部审计使用时，可以减少审计费用

C.由于内部业务的员工参与控制测试，提高舞弊察觉能力

D.利用评估结果，内部审计师能够转换为一项咨询方案

在一次审计中，IS审计师注意到该组织的业务连续性计划(BCP)没有充分强调在恢复过程

中的信息保密性。IS审计师应该建议修改计划以包括：

A.启动业务恢复程序时的信息安全要求和级别

B.危机管理架构中信息安全的角色和责任

C.信息安全资源要求

D.为影响业务连续性安排的信息安全变更管理流程

当组织把客户信用审核系统外包给第三方服务供应商时，下列哪•项是IS审计师最重要的

考虑？供应商应该

A.符合或超过行业安全标准

B.同意接受外部安全审查

C.在服务和经验方面有良好的市场声誉

D.遵守组织的安全政策

公司制定了关于用户禁止访问的网站类型的制度，以下那种是执行这一制度最有效的技术？

A.状态检测防火墙(Statefulinspectionfirewall)

B.网站内容过滤器

C.网站缓存服务器

D.代理服务器

当开发一个正式的公司安全项目时，最关键的成功因素(CSF)是：

A.建立一个审核部门(reviewboard?)

B.建立-,个安全单位(securityunit?)

C.对执行发起人的有效支持

D.选择安全过程的拥有者

IS审计师正在审阅一个使用敏捷(Agile)软件开发方法的项目，以下那一项是IS审计师希

望发现的？

A.使用基于过程的成熟度模型如能力成熟度模型(CMM)

B.定期针对计划对任务层面的进程进行监控

C.广泛使用软件开发工具来最大化团队的生产力

D.不断的审阅，及时发现教训，从而为本项目后续工作服务

为优化组织的业务持续计划(BCP),IS审计师需要建议执行业务影响分析(BIA)来决定：

A.能为组织产生最大财务价值，因而需要最先恢复的业务流程

B.为保证与组织业务战略相一致，业务流程恢复的优先级和顺序

C.在灾难中能保证组织幸存而必须恢复的业务流程

D.能够在最短的时间内恢复最多数量的系统的业务流程恢复的优先级和顺序

下列哪项数据库控制能够在在线交易处理系统的数据库中保证交易的完整性？

A.鉴定控制(Authentication)

B.数据标准化控制

C.读写访问日志控制

D.事务提交与滚回操作

在保护组织的IT系统时，当网络防火墙被突破后，以下哪项•般是系统防护的下一道防线？

A.个人防火墙

B.反病毒程序

C.入侵监测系统

D.虚拟局域网配置

在审阅电脑处置流程时，以下哪条是信息系统审计师最应关注的问题？

A.硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。

B.硬盘上的文件和文件夹被分别删除，并且硬盘在离开组织之前被格式化。

C.硬盘在离开组织之前在盘片特殊位置打孔，使硬盘不可读。

D.硬盘的运输应由内部安全职员负责护送至附近的金属制定回收公司，在那里硬盘将被

登记然后粉碎处理。

在小型组织中，开发者能直接将紧急变更发布到生产环境中。以下哪项能最好地控制上述情

况所产生的风险？

A.在第二个工作II批准并记录此次变更

B.限制开发者在特定时间范围内能访问生产环境

C.将变更发布到生产环境中之前取得次要(secondary)的批准

D.禁用生产机器中的编译器选项

对一个业务应用系统访问授权的职责归属于？

A.数据所有者(dataowner)

B.安全管理员

C.IT安全经理

D.需求提出者的直接上级(requestor'simmediatesupervisor)

在安全治理框架中实施安全规划最主要的好处是：

A.实现IT活动与信息系统审计建议的匹配

B.加强安全风险管理

C.实施首席信息安全官(CISO)的建议

D.减少1T安全的成本

IS审计师正在审阅•个基于软件的防火墙的配置。下列哪一项的设置最脆弱？该防火墙软

件：

A,将否定规则(implicitdenyrule)作为规则库的最后规则

B.安