2015年ISACA CISA 考试真题预测卷（200题）.pdf

上海交大慧谷培训中心 内部资料，仅供参考 2015年年ISACA CISA考试真题预测卷考试真题预测卷 （1月5日修订） 1. 一个金融服务组织正在开发和撰写业务连续性措施。以下各项是IT 审计师觉得最可能 存在问题的？ A. 组织使用最佳实践指导而不是使用行业标准，同时依靠外部咨询以确保措施的充分性。 B. 通过仔细选取一系列可能发生的情况来计划业务连续性的能力。 C. RTOs 并没有考虑IT 灾难恢复的限制，比如人员或系统在恢复期间的依赖性。 D. 组织计划租用一个用于紧急情况下工作的备份场所，改场所只能容纳目前正常雇员的一 半人数。 答案：B 答案B：使用假定的场景来规划业务连续性是一个常见的错误。因为不可能把所有可能的情 况都进行计划和部署。 采用最佳实践和外部咨询是一个很好的主意， 尤其是在无法准备和判 断应急措施是否足够时。RTOs 是基于保证组织生存的所必须的业务，而不是基于IT 的性 能。 最佳实践建议应急场所应该具有与相当于正常场地2040的空间， 因此不考虑其他 因素的话，50的空间并不是问题。 2. IT 审计师在评估组织的软件开发过程中注意到，质量保证部门向项目管理层进行汇报。 以下哪项是IT 审计师觉得最重要的？ A. 质量保证工作的有效性，因为它可以与项目管理层和用户层面互动互动交流。 B. 质量保证工作的效率，因为他可以与项目实施团队互动交流。 C. 项目管理层工作的有效性，因为项目管理层可以与质量保证部们互动交流。 D. 项目管理层工作的效率，因为质量保证部门需要与项目实施团队进行沟通。 答案：A 质量保证部门应该独立于项目管理层以保证工作有效性。 质量保证部门不应该与项目实施团 队进行互动交流，否则会影响其工作有效性。 3. 为了调查与软件相关的影响响应时间的原因，审计师应该： A 进行跟踪并以图形描述。 B 开发一个集成测试工具。 C 使用嵌入的审计数据。 D 进行平行模拟。 答案：A 解释：A正确,进行跟踪检查软件处理数据是否正确。图形描述可以检查软件的逻 辑结构是否合理。 从而发现与软件相关的影响响应时间的原因； B不正确,是一种综合性测试。 C不正确,主要用于测试数据处理的正确性；D不正确，使用平行模拟法，审计师必须首先证 明模拟程序是正确，而且模拟复杂的应用程序成本高。主要用于检查欺诈性程序。 4. 下列哪个领域经常面临微型计算机迅速发展所带来的风险？ 1 备份和恢复。 2 应用程序开发成本。 3 记录的批量更新。 4 访问的安全。 上海交大慧谷培训中心 内部资料，仅供参考 5 违反版权法。 A.1、2、3 B2、3、4 D3、4、5 D1、4、5 答案：D 解释：1.正确,备份和恢复操作需要使用存储介质，随着微型计算机的迅速发展， 不断有新的存储能力更强的存储介质出现。例如：从五寸软盘到三寸软盘到可擦写光盘。旧 的设备被淘汰，容易导致以前备份的数据无法在新微机中使用；2.不正确,会降低成本；3. 不正确,更容易；4.正确,随着微型计算机的迅速发展，可用来连成网络，共享信息资源，存 在访问安全的风险；5.正确,随着微型计算机的迅速发展，需要大量软件，存在违反版权法的 风险。 5一个组织正计划采用无线网络替代目前的有线网络。以下哪个措施对保护无线网络防止 非授权的访问来说是最安全的？ A. 实施WEP B. 只允许授权的MAC 地址进行访问 C. 禁用广播式的SSID D. 实施WPA2 答案：D WPA2 是根据IEEE 802.11i 标准制定的， 其中采用了AES 技术保证了更好的安全性。 此外， WPA2 支持EAP 协议和PSK 认证模型。实施WEP 可以在几分钟内被攻破。因为WEP 在 所有授权通讯用户间使用一个静态密钥， 管理起来也较为困难。 如果在较长时间内不更换静 态密钥，将会带来更大的脆弱性。使用基于MAC 授权的方式不是一个有效的解决方法，因 为MAC 可以被攻击者获得从而入侵网络。禁用广播式的SSID 是不能控制访问的 6. 在基于风险审计做计划时，以下哪一步最关键？ A.对组织全部环境做整体评估。 B.基于可接受的框架（例如COBIT或COSO)建立审计方法论。 C.文档化审计程序确保审计师获得计划的审计目标。 D.识别控制失效的高风险区域。 答案：D 解释：在为审计项目做计划时最关键步骤是识别高风险区域。 7. 管理信息系统成功的将原始数据转换为信息，成为非常宝贵的企业资源。哪项不是一个 设计良好的管理信息系统数据库特征？ A.一致性。 B.完整性。 C.安全性。 D.冗余性。 答案：D 解释：一个设计良好的管理信息系统数据库，可将文件之间的数据重复降低到最 小的程度，减少了数据冗余。 8. 在评估一个计算机硬件安装的项目中，下面哪一项不是你所希望找到的文档化的信息？ A为建议书和投标准备的定义需求和提交要求的流程。 B硬件安装如何提高过程吞吐量。 上海交大慧谷培训中心 内部资料，仅供参考 C基于业务计划和需求的对硬件的功能性需求。 D设备安装的方位和地点的决策。 答案：B B的内容是事先预见和计划的，不一定是实际发生的结果。 9. 对公司信息系统做审计时，审计师的第一步工作应该是： A.开发出战略性审计计划。 B.对公司的业务重点获得理解。 C.做初步的风险评估为基于风险的审计打下基础。 D.确定和定义审计范围和重要性。 答案：B 解释：审计师的第一步是理解公司的业务重点，如果不能理解公司的业务愿景， 目标和运营，他不会有能力完成其它任务。 10在检查意外事件报告中，IT 审计师发现有一次，一份留在雇员桌上的重要的文件被外 包 的清洁工丢弃进了垃圾桶。以下哪项是IT 审计师应该向管理层提出的建议？ A. 组织和清洁部门应该实施更严格的控制。 B. 因为过去没有事故发生，因此不需要采取行动。 C. 制定一个桌面清理政策并在组织中严格实施。 D. 制定对所有的重要办公文档的严格备份策略。 答案：A 一份留在雇员桌面上的重要文档被意外清理可能会对业务产生严重的影响。因此，IT 审计 师应该建议组织和外包的清洁机构采取严格的控制。 过去没有发生事故并不能减轻影响的严 重性。采取桌面清理策略只能解决部分问题。与清洁机构签订合适的保密协议，确保清洁工 知晓在清洁中该做和不该做的也是必须应该实施的。 D 选项：风险不在于数据的丢失，而在于数据的泄露。所有备份策略的实施无法解决信息 泄密的问题。 11. 下列哪项工作角色混合引起恶意行为发生的可能性最小？ A.系统分析员和质量保障员。 B.计算机操作员和系统程序员。 C.安全管理员和应用程序员。 D.数据库管理员和系统分析员。 答案：D 解释：A,B,C是不相容的职责。 12. 实施连续审计方法的最重要的优点是： A.可以在处理大批量交易的时间共享计算环境改善系统安全。 B.由于从管理层和职员得到加强的输入可以提供可追溯责任的审计结果。 C.可以识别高风险区域以供以后详细的审查。 D.由于时间约束更松弛可以显著减少需要的审计资源。 答案：A 解释：连续审计可以改善系统的安全。 13. 审计师发现控制存在小弱点， 例如弱口令或者监控报告比较差， 审计师最恰当的行动是： A.采取改正行动并通知用户和管理层控制的脆弱性。 B.确认此类控制的小弱点对于此次审计不重要。 上海交大慧谷培训中心 内部资料，仅供参考 C.向信息技术管理层立即报告此类弱点。 D.不执行改正行动，在审计报告中记录观察的现象和相关的风险。 答案：D 解释：在准备审计报告时，审计师应该记录观察的现象和相关的风险。 14. KPI的主要目的是什么？ A让管理层可以确认员工正在工作。 B监控系统设备能力和过程绩效测量。 C提供给管理层一个工具来来考察流程是否健康并指出潜在的问题点。 D让操作员知道什么时候发生问题，SLA是否得到满足。 答案：C KPI是一种绩效评估工具。其他的答案太片面。 15. 开发组织政策的自底向上法通过： A.审查公司愿景和目标。 B.匹配政策目标到公司战略的结构化方法。 C.资产脆弱性的风险评估。 D.已知威胁的业务影响分析。 答案：C 解释：自底向上法通常通过风险评估驱动 16. 哪三件事情是在检查操作系统安全时认为是最重要的安全控制？ I来自信任源的代码。 II打开审计日志。 III没必要的服务被关掉。 IV缺省密码被修改。 V系统管理员相 对于其要做的工作来说没有任何多余的访问权限 A. I, II, and III B. III, IV, and V C. I, III, and IV D. I, II, and IV 答案：C 审计日志没必要打开，它仅在于要监视某个进程时有效。系统管理员有极高的权 限（跟root帐号一样的权限），想对其权限进行控制是费力不讨好的事情。 17以下哪项有效的控制可以加强数据库用户访问敏感数据时的可审计性？ A. 采取日志管理程序； B. 采取双因子授权； C. 使用视图表来访问敏感数据； D. 将数据库和应用服务器分离。 答案：A 可审计性指的是知道谁在做些什么。 加强可审计性的最好的方法就是采取日志管理程序， 这 样可以生成并保存包含用户姓名、时间、交易类型等相关信息的日志。B 和C 只是保证对 数据库的授权访问但无法解决可审计性的问题。D 可以帮助更好的进行访问控制的管理， 但同样与可审计性无关。 18. 下面哪一项是IS审计师在进行PBX评估时要检查的？ I确信外部免费拨入号码的访问 被关掉。 II确信语音邮件系统不会被电话线窃听。 III确信维护端口的访问代码的缺省 值已改变。 IV确信外部免费号码如900被严格限制。 V确信超额的电话使用被红旗标 记并进行舞弊调查。 A. I, II, III, and IV only 上海交大慧谷培训中心 内部资料，仅供参考 B. II, III, and IV only C. II, III, IV, and V only D. I, II, III, IV, and V 答案：C 除了I中是不能关闭只能严格控制之外，都是审计时应该关注的内容。 19. 审计师观察到不存在恰当的项目批准流程，他应该： A.提供详细流程建议实施。 B.寻找没有书面批准流程的证据。 C.确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志， 建议项目管理培训作为 补偿性控制 D.向管理层建议采取恰当的项目批准流程并文档化。 答案：D 解释：如果IS审计师观察到不存在项目批准流程，他应该向管理层建议采取正式 的批准流程并且文档化。 20. IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统。 与使用大型机相比， 使用局域网和个人计算机所增加的风险，不包括哪一项？ A缺乏程序文件以确保完全捕捉数据。 B驻留在个人计算机上的数据安全性较差。 C数据处理的硬件使用故障所引发的问题。 D不完整的数据传输。 答案：C 个人计算机有与主机相似的硬件组成。 21 审计痕迹的主要目的： A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。 B.建立完成的审计工作按年代顺序排列的事件链。 C.建立交付处理的业务交易的责任（可追溯责任）。 D.职责分离缺乏的补偿。 答案：C 解释：审计痕迹和其它日志用于补偿缺乏恰当的职责分离，审计痕迹的主要目的 是建立交付处理的业务交易的职责（可追溯责任）。 22. 下列哪项在评价信息系统战略时最重要？ A.确保信息系统战略最大化目前和未来信息技术资源的效率和利用。 B.确保在所有信息系统中考虑信息安全。 C.确保信息系统战略支持公司愿景和目标。 D.确保系统管理员为系统能力提供准确的输入。 答案：C 解释：信息系统战略必须支持组织的业务目标。 23. 网络管理员最不应该与下列哪个角色共享责任？ A.质量保障。 B.系统管理员。 C.应用程序员。 D.系统分析员。 答案：C 解释：生产环境和开发环境角色不应该共享，网络管理员可以在系统设计初期提 供信息，可能拥有最终用户责任，帮助系统管理。 上海交大慧谷培训中心 内部资料，仅供参考 24. 在审计信用卡支付系统时，下列哪种方法提供最好的保证信息被正确地处理？ A.审计痕迹。 B.数据录入和计算机操作员的职责分离。 C.击键验证。 D.主管审查。 答案：C 解释：击键验证为信息被正确地处理提供最高水平的信心。 25. 一个公司由于目前合同到期在考虑采用新的ISP（Internet接入服务商）。从审计的角度 以下哪项最需要检查？ A.服务水平协议。 B.ISP的物理安全。 C.ISP的其它客户的推荐。 D.ISP雇员的背景调查。 答案：A 解释：外包商的服务水平协议SLA应详细规定反应时间等提供服务的指标。 26. 在主机计算环境，通常由操作员来负责将软件和数据文件定期备份。在分布式和协作式 的系统中，承担备份责任的应该是： A用户管理人员。 B系统程序员。 C数据录入员。 D磁带库管理员。 答案：A 解释：A正确。在分布式或协作式系统中，计算机设备和数据在一个以上的地点出 现，应用程序在一个以上的地点和系统上运行。对文件和数据的备份也分散化，由分散的用 户管理人员来管理。B不正确，系统程序员维护操作系统。C不正确，数据录入员从事数据 输入。D不正确，磁带库管理员负责磁带的保管工作。 27. 下列哪些手续可以增强信息系统操作部门的控制结构？ I 定期轮换操作人员。 II 强制休假。 III 控制对设备的访问。 IV 将负责控制输入和输出的人员进行分离。 A. B. C. D. 答案：D 解释：正确。定期轮换操作员人员和强制休假可以使其他人员有机会会成这项工 作，从而减少做出非法行为的机会；控制对设备的访问可保证设备及数据的安全；将负责控 制输入和输出的人员分离，可确保职责明确，减少错误及欺骗性操作。 28. 以下哪项提供了对平衡计分卡的最好的解释？ A.被用于标杆到目标服务水平。 B.被用于度量提供给客户的IT服务的效果。 C.验证组织的战略和IT服务的匹配。 上海交大慧谷培训中心 内部资料，仅供参考 D.度量帮助台职员的绩效。 答案：C 解释：平衡计分卡被用于匹配组织的战略和IT服务。 29. 审计师为了审计公司的战略计划，以下哪项第一个检查？ A.目前架构的细节。 B.去年、今年、明年的预算。 C.组织流程图。 D.公司的业务计划。 答案：D 解释：首先理解公司所在业务环境，第一个检查公司的业务计划。 30. 一个公司正在实施控制自我评估项目，审计师应该作为什么角色参与： A.监督者。 B.推动者。 C.项目领导者。 D.审计师不应该参与公司控制自我评估项目，因为他这样做可能会引起利益冲突。 答案：B 解释：在控制自我评估项目中，审计师应该成为推动者，推动项目的进展。 31. 一个公司在开发信息安全流程时要做的第一步是： A.升级访问控制软件为生物/令牌系统。 B.批准公司信息安全政策。 C.要求信息系统审计师做综合审查。 D.开发信息安全标准。 答案：B 解释：第一步是开发信息安全政策，文档化并经管理层批准。 32. 下列哪一个角色的任务是确保IT部门的工作与业务目标保持一致？ A.首席执行官。 B.董事会。 C.IT战略委员会。 D.审计委员会。 答案： C 解释： IT战略委员会负责把高级管理层的业务目标传递到IT部门的信息技术目标。 33. 对于实施安全政策可问责（可追溯责任）非常重要。对于系统用户以下哪种控制在准确 的可问责上最没有效果？ A.可审计的要求。 B.口令。 C.识别控制。 D.认证控制。 答案：B 解释：口令存在很多问题，容易被猜测，容易被哄骗，容易被窃取，容易被共享。 最有效的准则可闻责控制包括：政策，授权机制，识别和认证控制，审计痕迹，审计。 34. 一个公司外包其数据处理中心，可能的优点： A.需要的信息系统专家可以从外部获得。 B.对数据处理可以获得更高的控制。 C.数据处理的优先级可以在内部建立和执行。 上海交大慧谷培训中心 内部资料，仅供参考 D.更广泛的最终用户参与以交流用户需求。 答案：A 解释：外包是合同关系，把控制权部分或全部交付给外部。 35. 下列哪种计划包括了大约3年的远景？ A.日常计划。 B.长期计划。 C.运营计划。 D.战略计划。 答案：D 解释：公司在战略计划中涉及3到5年的行动。 36. 下列哪项说明了企业架构enterprise architecture (EA)的目的？ A.确保内部和外部战略一致。 B.匹配组织的IT架构。 C.匹配组织的IT架构并且确保IT架构的设计匹配组织的战略。 D.确保IT投资和业务战略一致。 答案：D 解释：EA是最佳实践，IT资产的计划，管理和扩展可以和业务战略一致。 37. 下列说法满足信息系统安全官关于安全控制有效性的目标： A.基于风险分析的结果构成完整的控制需求。 B.控制已经被测试。 C.给予风险分析的结构构成安全控制的详细要求。 D.控制可重现地被测试。 答案：D 解释：安全控制的测试和评估应该在系统开发时，系统运行前，并且可重现地以 合理的时间间隔进行。 38. 下列哪项提供最好的方法识别行为和规章之间的问题？ A.政策审核。 B.直接观察。 C.规章审核。 D.访谈。 答案：B 解释：现场直接观察是最好的方式可以识别行为和规章不符合的问题。 39. 高级管理层对IT战略计划缺乏输入引起最可能的结果： A.缺乏在技术上的投资。 B.缺乏系统开发的方法。 C.技术目标和组织目标不一致。 D.技术合同缺乏控制。 答案：C 解释：IT战略委员会确保IT战略支持组织目标。由高级管理层参加的IT战略委员会 将业务战略和IT战略结合。 40. 为了确保公司遵守隐私权要求，审计师应该首先审查： A.IT架构。 B.公司的政策，标准和流程步骤。 C.法律和法规要求。 上海交大慧谷培训中心 内部资料，仅供参考 D.对公司的政策，标准和流程步骤的遵守。 答案：C 解释：守法先知法，首先审查需要遵守的法律和法规要求。 41. 在IT支持人员和最终用户的职责分离存在控制弱点时，下列哪项将成为合适的补偿性控 制？ A.限制对计算机设备的物理访问。 B.审查交易日志和应用日志。 C.在雇佣IT人员以前做背景调查。 D.在最终用户不活动后锁定会话 答案：B 解释：审查交易日志和应用日志是检查性控制。 42. 在小公司中职责分离可能不实际， 一个雇员可能同时执行服务器操作员和应用程序员职 责。信息系统审计师应该建议下列那个控制？ A.对开发程序库变更自动日志。 B.雇佣额外的技术人员实现职责分离。 C.执行只有批准的程序变更才能被上线的流程。 D.预防操作员登录ID做程序修改的自动控制。 答案：C 解释：确保在变更实施前第2个人审查和批准变更。 43. 审计师在审计员工离职控制，以下哪项在审查中最重要？ A.公司全体员工被通知离职员工的离职。 B.离职员工的所有登录帐号被冻结。 C.从支付薪水文件中删除离职员工相关信息。 D.提供给离职员工的公司财产已经被归还。 答案：B 解释：前雇员对信息系统的访问应该被立刻终止。 44. 以下哪项在员工离职流程不正确？ A.公司遵守人力资源员工离职流程。 B.离职员工拥有的公司财产必须被归还。 C.离职员工必须被允许从其计算机中复制个人文件。 D.在审计日志中检查离职员工帐户最近的活动历史。 答案：C 解释：在从公司离职时员工对公司信息系统的访问应该立刻被终止。 45. 以下哪项属于IT平衡计分卡的4个关键角度中的3个？ A.业务判断，服务水平协议，预算 B.组织人员，成本减少，雇员培训 C.成本减少，业务流程，增长 D.服务水平，关键成功因素，供应商选择 答案：C 解释：IT平衡计分卡的4个关键角度:客户，业务历程，财务，增长。 46. 应该仔细监控打印服务器的离线打印缓存， 以确保控制和预防对敏感信息的非授权访问。 下列哪项是审计师最关注的？ A.部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据 B.部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据 上海交大慧谷培训中心 内部资料，仅供参考 C.部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业 D.部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、 修改、 查看打印 作业的数据输出 答案：A 解释：题目重点在访问控制的机密性。打印机管理员的技术特权可以从打印缓存 打印任务，及时用户没有打印输出的授权。其它是信息完整性、可用性的潜在风险暴露。 47. 在审核防火墙配置时，审计师认为下列哪项是最大的脆弱性？ A.配置使用基于源地址和目的地址， 协议， 用户认证的允许或拒绝对系统/网络访问的规则。 B.配置在规则中最后使用“拒绝”选项。 C.防火墙软件在安装时操作系统使用缺省配置。 D.防火墙软件被配置为VPN作为点对点连接。 答案：C 解释：操作系统缺省配置是风险暴露。 48. 审计师寻求确保信息技术被有效率地使用以支持组织愿景和目标，保障信息的机密性、 完整性和可用性。下列哪种流程最好地支持这个目标？ A.网络监控。 B.系统监控。 C.人员监控。 D.能力计划和管理。 答案：D 解释：计算机资源应该被仔细地监控匹配利用率需求和恰当的资源能力水平。能 力计划和管理依赖网络、系统、人员监控以确保满足组织愿景和目标和信息的机密性、完整 性和可用性。 49. 在CMM中哪个层次通过定性度量能力结果？ A.第1级 B.第2级 C.第3级 D.第4级 答案：C 解释：能力成熟模型第3级是定义级，使用定性度量能力结果。 50. 审计师需要验证足够的软件许可证和许可证管理， 下列哪项的审计会考虑软件许可证？ A.设施。 B.运营。 C.配置。 D.硬件。 答案：C 解释：配置管理审计应该验证软件许可是授权使用。 51. 数据库“孤立参照”表示违反下列： A.属性完整性Attribute integrity。 B. 参照完整性指示完整性Referential integrity。 C.关系完整性Relational integrity。 D.界面完整性Interface integrity。 答案：B 解释：数据库必须Referential integrity以避免“孤立参照”，关系完整性在记录层面。 上海交大慧谷培训中心 内部资料，仅供参考 52. 下列哪项最好的支持通讯可用性？ A.动态实时告警系统做网络监控。 B.集成的纠正性网络控制。 C.冗余。 D.高速网络吞吐率。 答案：C 解释：提供网络路径冗余提供潜在的网络设备失效的最好的对策。 53. 由于存在网络拥塞，减少冲突对于支持网络通讯可用性很重要。下列哪种设备最适合逻 辑上分割和基于OSI的第2层MAC寻址创建冲突域？ A.路由器 B.集线器 C.应答器 D.交换机 答案：D 解释：交换机最适合分割网络为多个冲突域。 54. 下列哪种网络配置最好的支持可用性？ A.网状 B.环 C.星 D.总线 答案：A 解释：尽管物理上实施上不实用，网状提供网络通讯路径最大的冗余。 55. 在公司信息系统的战略应用中，面向对象的技术变得越来越重要，因为具有以下潜力： A允许更快更可靠地开发系统。 B保持原来用过程语言编写的程序。 C减少对层次数据库的数据完整性的破坏。 D使传统的瀑布式系统开发方法更加流畅。 答案：A 解释：面向对象的开发技术利用对象的继承、重用、重构等特征，可以更快更可 靠地开发系统。B不正确，面向对象的开发技术将数据和对该数据的操作封装成一个对象， 因此不能保持原来用过程语言编写的程序；C不正确，对象虽然具有层次的概念，但和层次 数据库中的层次概念没有任何联系；D不正确，面向对象的开发方法和传统的瀑布式系统开 发方法在需求分析、系统设计和编码上都有很大的区别，属于两类不同的系统开发方法学， 因此不存在使传统的瀑布式系统开发方法更加流畅的作用。 56. 某保险公司对经常应用的数据进行断点打印拷贝， 使有关人员可在主机文件中获取这些 数据， 经过授权的用户可以将数据子集下载进入电子数据表程序， 这种提供数据存取途径方 法的风险是： A复制文件可能没有得到同步处理； B数据片断可能缺乏完整性； C数据处理的进行可能缺乏成熟； D数据的普及性。 答案：B 解释：提供数据存取途径方法的风险：数据片断可能缺乏完整性。不缺乏普及性、 成熟性；得到同步处理。 上海交大慧谷培训中心 内部资料，仅供参考 57. 为了降低通过通讯线路来传送专用数据时带来的安全风险，应该应用： A.异步调制解调器 B.鉴别技术 C.回叫程序 D.加密设备 答案：D 解释：D正确,题干关注数据，加密设备对通讯线路上传送的数据进行保护；A不正 确，异步调制解调器将数据流从外部设备输送到中心处理机；B不正确，鉴别技术确定只有 合法用户才能访问系统；C不正确，回叫程序是用来保证拨入的呼叫来自授权的位置。 58. 业务流程重组（BPR)的业务目的主要是： A.减少工作岗位。 B.减少步骤以改善业务效率。 C.变更管理层方向。 D.增加利益相关者（股东，客户，供应商，银行）价值。 答案：B 解释：BPR的目的通过减少不必要的不走或者实施改善的技术以改善效率。BPR 可以用于减少运营成本或者合规。 59. 从微机上载到主机的数据可能有错误，以下哪种方法能最好地解决此问题？ A.主机应该定期备份。 B.上传数据时应有双人同时在场微机操作。 C.主机应该对上载数据实施与联机输入数据时同样的编辑和合法性检查。 D.要求用户检查已处理数据的随机抽样样本。 答案：C 解释：C正确，主机对上载数据实施与联机输入数据时同样的编辑和合法性检查能 实时地发现并防止错误数据进入系统；A不正确，定期备份对发生故障后的系统恢复非常有 用，但不能防止和发现数据上传的错误；B不正确，上传数据时双人同时在场对防止数据上 传中的舞弊问题有效，但对防止数据错误的作用很小；D不正确，检查已处理数据的随机抽 样样本属于检查性的控制，但不能预防错误发生。 60. 用于确定应用程序系统需要建立多少控制的标准不包括以下哪项内容？ A数据在系统中的重要性。 B应用网络监测软件的可行性。 C某项活动或处理没有受到适当控制所产生的风险水平。 D每种控制措施的效率、复杂性和费用。 答案：B 解释：B正确,网络监测软件并不参与应用系统内部的控制；A不正确,重要的财务 和会计系统，如证券交易所的股票买卖跟踪系统，相对于记录员工培训和技能的系统而言， 必须具有更高的控制标准； C不正确,问题的发生频率及其潜在的危害应决定在一个系统中建 立多少控制； D不正确,在一个每天处理成千上万笔支付业务的系统中， 完全的逐项检查可能 过于费时而不可操作，但如仅检查关键的数据则可能是可行的，如检查金额、账号而忽略姓 名和地址。 61. 当审计师使用不充分的测试步骤导致没能发现存在的重要性错误，导致以下哪种风险： A.业务（商业）风险。 B.检查风险。 C.审计风险。 上海交大慧谷培训中心 内部资料，仅供参考 D.固有风险。 答案：B 解释：审计师使用不恰当的测试步骤并且得出重要性错误不存在，属于审计师的 检查风险。 62. 在审计新软件项目时，项目小组目前在定义用户需求，把建议的解决方案和用户需求匹 配。目前处于SDLC的哪个阶段？ A.可行性研究。 B.需求。 C.设计。 D.开发。 答案：B 解释：在SDLC的需求阶段，项目小组负责定义需求把建议的解决方案和用户需求 匹配。 63. 一个制造商正在开发一个新的数据库系统， 该系统用来处理批量订单所生产的产品的有 关数据。 工作人员每天要回答客户提出的有关订货的生产情况。 完工的订货在每天晚上要成 批地打印出发票。对生产数据最好的访问方法是： A 索引顺序的。 B 直接的。 C 杂乱无章的。 D 顺序的。 答案：A 解释：A正确。索引顺序的方法，可以每次按顺序读取一个记录直到到要处理的记 录，利于批处理操作方式，可以节省访问时间；也可以直接存取要找的那条记录，利于工作 人员每天回答客户提出的有关订货的生产情况。 64. 关于不恰当的职责分离，审计师的主要责任是： A.确保恰当的职责分离的执行。 B.为管理层提供不恰当的职责分离相关风险的建议。 C.参与组织内角色和责任的定义以预防不恰当的职责分离。 D.把违反恰当的职责分离的情况记录在案 答案：B 解释：审计师不负责实施控制。 65. 原型法的优点是： A.能够在不花费很大开发成本的情况下对系统进行试验。 B.较早的定义完整的需求和概念性的设计。 C.不容易确定控制点相关的控制步骤。 D.加强开发过程的管理和控制。 答案：A 解释：原型法根据用户的需求和评估设计和修改，减少了设计错误，可在不花费 很大开发成本的情况下对系统进行试验。 66. 在IS战略审计中，以下那项是审计师考虑最不重要的？ A.审核短期计划（1年）和长期计划（3到5年）。 B.审核信息系统流程。 C.访谈恰当的公司管理人员。 D.确保考虑外部环境。 上海交大慧谷培训中心 内部资料，仅供参考 答案：B 解释：在审核IS战略时，流程的审核不是重要的。 67. 如果专家系统知识库不充分，将存在下列哪种风险： A.未经授权的第三方访问了系统。 B.系统性的程序错误。 C.专家系统的使用不成功。 D.系统失败。 答案：C 解释：C正确,专家系统要通过获取人类专家在某一限定的知识领域的专门知识和 经验来解决问题。 而知识库是人类专家的知识模型， 是专家系统的重要组成部分； A不正确， 这是由于安全控制措施不充分造成的；B不正确，这是由于程序设计或编制的错误造成的； D不正确,知识库的不充分主要影响专家系统的使用。 68. 一种用来保证程序的源代码和执行代码相一致的控制是： A.验证程序的移动请求是经过授权的。 B.要求对程序、系统和代码进行平行测试。 C.授权程序员只能对测试库进行访问。 D.将源代码重新编译到生产库中。 答案：D 解释：D正确,将源代码重新编译到生产库中，编成新的执行代码，可以比较新老 执行是否一致，从而确定源代码和执行代码是否一致；A不正确,这是程序变更控制；B不正 确,这是进行程序、系统和代码转换的控制；C不正确,这是程序安全控制，限制访问路径。 69. 使用PERT（项目评价和复核技术）时，如果一个活动的乐观时间是A，悲观时间是B， 最可能时间是m，期望时间由下面哪一个公式表示： A(b-a)/2 B（a+b）/2 C（a+4m+b）/6 D（4abm）/6 答案：C 解释：答案C正确，PERT用来帮助经理控制大型复杂项目。PERT分析包括用概率 方法估计活动完成时间。有三种时间估计：乐观时间，最可能的时间和悲观时间。假设活动 的时间服从贝塔概率分布。PERT通过将乐观时间、悲观时间和4倍的最可能的时间之和除以 6来估计贝塔分布的均值。 70. 以下哪项不是典型的输出控制？ A审查计算机处理记录，以确定所有正确的计算机作业任务都得到正确执行。 B将输入数据与主文件上的信息进行匹配，并将不对应的项目放入暂记文件中。 C定期对照输出报告，以确认有关总额、格式和关键细节的正确性及其与输入信息的一致 性。 D通过正式的程序和文件指明输出报告、支票和其他关键文件的合法接收者。 答案： B 解释： B正确， 将输入数据与主文件上的信息进行匹配是一项输入控制。 A不正确， 审查计算机处理记录是典型的输出控制。C不正确，定期对照输出报告是典型的输出控制。 D不正确，这是典型的输出控制。 71. 电子数据交换(EDI)可以为组织带来重大利益，但前提是必须清除某些障碍。要想成功 实施电子数据交换，应从以下哪一项开始？ 上海交大慧谷培训中心 内部资料，仅供参考 A画出为实现组织目标所开展的经营活动的流程图 B为EDI系统购买新的硬件 C选择可靠的应用软件和通讯软件供应商 D将交易格式、数据标准化 答案：A 解释：A正确，实施EDI不能简单复制现有的作业流程，只有通过大力改进现有流 程并与EDI相结合，才能获得显著效果。一个低效的处理流程在实施EDI后仍然是低效的， 只是速度较快而已；B不正确，EDI获得成功的条件是对商业目标、处理过程的理解，以及 与外部合作伙伴的合作。硬件的购置是以后要考虑的问题；C不正确，选择软件供应商应在 确立系统目标后进行；D不正确，交易格式和数据的标准化应在确立系统目标后进行。 72. 某银行在其所有的重要信息系统项目中都采用系统开发命周期的概念。 目前该行正准备 开始一个房贷业务系统的可行性研究。可行性研究的主要内容应该包括： A. 可能的投标商和商誉。 B. 计算机病毒和其他破坏导致的风险。 C. 切换系统实施方法如平行法。 D. 技术和相关成本。 答案：D 解释：D正确,生命周期开发的可行性研究包括：（1）制定新系统的目标和逻辑模 型；（2）备选设计方案的初步分析，包括各方案的技术和经济可行性；（3）确定系统设计 的推荐方案，包括项目进度和预期成本。 73. 以下哪种关于电子邮件安全性的说法是正确的？ I.电子邮件不可能比它依赖的计算机 系统更安全。 II.机密的电子邮件信息应该储存于邮件服务器中， 储存时间和纸质文件相同。 III.在大型组织中，可能有若干个不同安全级别的邮件管理员和地点。 A.只有I 对的。 B.只有I 和II是对的。 C.只有I 和III是对的 D.只有II 和III是对的。 答案：C 解释：I正确，如果电子邮件依赖的计算机系统不安全，就可以通过系统工具获得 电子邮件的内容；II不正确，一旦用户将机密的信息下载到PC机，就不应该再在邮件服务器 上保留；III正确，通常对不同安全级别的邮件分别设立不同的管理员和地点。 74. 为了确保收到的商品与采购发票上的商品一致，计算机系统应该： A.将采购发票的所选字段同收到的商品进行匹配 B.保留存货价值的控制总数 C.计算每批输入的批总数 D.在账户号中使用校验数位 答案： A 解释： A正确， 对商品收到数量、 产品代码、 供应商代码和数量等进行计算机匹配， 能够确保收到的商品与采购发票上的商品一致；B不正确，控制总数无法识别单项交易中的 错误；C不正确，批总数仅提供总数而不关注具体的单项交易；D不正确，校验数位只能对 规定的账户号提供确认。 75. 为保证生产环境程序库的安全，以下哪种方法最好？ A.安装程序访问日志系统 B.监视对程序库介质的物理访问 上海交大慧谷培训中心 内部资料，仅供参考 C.限制物理的和逻辑的访问 D.拒绝来自远程终端的访问 答案：C 解释：C正确,限制物理和逻辑的访问可以保证链接库的安全，防止在本地和通过 远程终端进行未经授权的访问。 A不正确,安装一个对程序访问的日志系统可以发现未经授权 的访问，但不能防止其发生。B不正确,监视对程序库介质的物理访问只能控制未经授权的物 理访问。D不正确。拒绝所有的远程终端访问是低效率的，而且也不能防止对程序库的物理 访问。 76. 关于EDI下列说法哪个最正确？ A.EDI对内部控制或外部控制没有影响。 B.EDI减少内部控制。 C.EDI加强内部控制。 D.EDI对内部控制没有影响。 答案：B 解释：EDI对内部控制的影响是审核和批准的较少。 77. 自动运行（lights-out ）数据中心的主要目的是： A.节省电力。 B.减少风险。 C.改善安全。 D.减少人员费用。 答案：B 解释：自动运行（lights-out ）运维的主要目的是减少人员风险和环境风险，通过 隔离设备和IT支持人员可以减少差错。液体、食物的减少也环境风险。 78. 了解一个操作系统的安全配置的最佳方式是： A学习供应商的安装手册。 B检查系统安全计划。 C跟安装软件的系统程序员面谈。 D查看系统自动配置的参数。 答案：D CB仅提供安装信息，但补丁和修改信息则没有，A只解释每个设置项的意义，但不 会涉及实际的安装。 79. 一个用户的行为可以被下列那种方式正确地记录和追溯责任？ A.识别和批准； B.批准和认证； C.识别和认证； D.批准。 答案：C 解释：如果没有恰当的识别和认证，对于用户的行为不可能追溯责任。 80. 从风险角度对数据库进行评估是很复杂的，因为： A应用视图，查询权限，字段，数据表访问以及报表和查询结果的访问都要通过评估数据 的安全性来检查。 B它们可能有通过很多键连接起来的复杂的数据结构。 C为了了解数据分类，数据定义必须进行维护。 D数据流和数据范式化过程会使改变数据表大小和事务映射变得困难。 上海交大慧谷培训中心 内部资料，仅供参考 答案：A 81. 在2段式提交数据库事务中，回滚过程发生于： A当客户端和服务器通讯协议不能达成一致时。 B在多层架构中需要拒绝代理请求时。 C当提交的事务不能被参与的服务器和客户端完全执行时。 D当会话的所有人不能得到确认和被提交时。 答案：C 这是数据库事务的原子性特点，不能完全执行就回滚。 82. 在检查安全包时，下面哪一项不被考虑作为一个调查设计？ A什么类型的变更和妥协在正进行的过程中必须发生？ B安全更新和补丁如何在安全包中进行维护？ C哪些安全包的脆弱点和缺陷点应该被考虑？ D对产品进行充分维护时需要哪种支持工作？ 答案：B A中的变更是必须考虑的。 C中的脆弱点和缺陷也必须考虑。 D中对产品的支持也同样重要。 而B是日常的维护工作，不能作为调查设计的标准。 83. 下列哪一项在检查操作控制台系统实施时通常不会考虑？ A是否通过供应商提供的系统实施的专门技术来进行培训，让内部员工学习新系统。 B实施计划的范围和目标是否符合成本有效性和时间性原则。 C用来管理业务的KPI是否通过实施过程得到改进。 D理解控制台如何同其他操作组件进行接口以及兼容性如何。 答案：B 只有B是跟业务相关，而跟系统实施无关。 84. 下列哪种风险说明了与程序的陷门有关的风险： A.固有风险 B.审计风险 C.检查风险 D.业务（商业）风险 答案：A 解释：程序具有陷门属于固有风险。 85. 下面哪一项是评估硬件维护过程控制最有效的方法？ A现场观察硬件并评估当前是否维护以及设备保持完好。 B跟进建议的维护任务和计划安排，确定过程的执行以及完成的记录和定期实际维护的工 作记录的证据。 C从供应商信息中确认要求的维护程序，并保证这些过程都遵循IS组织的流程。 D查看问题日志，验证维护过程是否确定与行业平均水平相比较的平均失效时间。 答案：B A现场只能看到当时的，而没有历史的信息。 C有正确的流程，但是否执行不能肯定。 D也不能肯定流程是否正确执行。 86. 在检查通信系统维护过程时， 下面哪一项是在确保客户满意度的审计目标时是最不关键 的？ 上海交大慧谷培训中心 内部资料，仅供参考 A确信建设图纸的修改是保存在办公室图纸的复印件。 B确信支持员工有相关知识并能执行必要的维护任务。 C确信PBX设备的物理安全被适当的管理。 D确信所提供的计划和配置的灵活性给用户带来最小的影响。 答案：A 除了A跟客户无关之外，都对提高用户满意度有帮助。 87. 信息资产足够的安全措施的责任属于： A.数据和系统所有者，例如公司管理层 B.数据和系统保管者，例如网络管理员和防火墙管理员 C.数据和系统用户，例如财务部 D.数据和系统经理 答案：A 解释：最终的管理责任属于高级管理层。 88. 下面哪一项不希望在因特网的DMZ中被发现？ ADNS服务器的地址暴露在因特网上。 B邮件代理服务器接收向内邮件并转发向外邮件。 C网页服务器内有内容和商业逻辑。 D代理服务器对内授权访问需求。 答案：C 内容和业务逻辑应该放在数据库和业务逻辑层，放在网页服务器上不安全。 89. 当检查数据网络架构时，下面哪一项不是IS审计师的一个主要的检查标准？ A所有的路由访问都被安全认证的方式控制。 B网络路由可以使关键业务的拥堵得到有效改善。 C对业务和网络管理来说不必要的协议被关闭。 DVLAN使用第二层的转换技术来保证关键数据及其拥堵的安全。 答案：D 第二层的VLAN是特殊情况下的一种部署，除非业务特别要求一般不会进行评估。 90. 在一个隔离的操作环境中，下面哪一个场景是期望看到的？ A对系统信息和启动问题负责的计算机操作员关注失败的事务。 B仅在应用程序员提醒有错误时变更控制库管理员对代码进行修改。 C磁带库管理员管理打印队列和为打印机装纸，同时还负责启动异地存储的磁带备份。 D 操作员通过调整参数设置帮助系统程序员为操作系统排错， 系统程序员在旁边观看结