CISA学习(历年复习资料)模拟题2

1、CISA模拟题目录第一部分：模拟题2第二部分：模拟题答案1920第一部分：模拟题101 .审计报告中包含实质性发现的最终结论应该由谁做出？A.审计委员会B.审计经理C.信息系统审计师D.组织的CEO102 .在一次全球服务供应商的审计过程中， 审计师发现这个公司为了便于全球客 户报告以及跟踪他们的问题，已经配置了通过互联网访问服务台应用程序， 客户可以在每个分支机构通过一个客户ID进行SSL!接，他们的访问权限仅 限于创建和查询他们的服务请求，未要求定期的密码变更，并且合作伙伴提 供的应用程序也不会进行安全检查。审计师应提哪些建议？A.应要求定期的密码变更B.所有用户都应分配单独的IDC.没有

2、变更是必须的，应用程序已足够安全D.应用程序应该脱离互联网103 .信息系统审计师报告由于一些敏感表格都进行了审计记录，因此ERP的财务模块程序非常慢，供应商关闭了这些表格的审计记录功能，仅对成功和不成 功的登录系统日志进行记录，这种情况最大的威胁是什么？A.可能无法保证财务数据的完整性B.可能无法保证系统日志的完整性C.无法记录访问关键数据的日志D.欺诈可能发生104 .为了达到组织的灾难恢复标准，备份中断不能超过：A.服务水平目标B.恢复时间目标C.恢复点目标D.最大可接受供电中断105 .在一个小型制造业企业，一个IT员工在做制造工作同时兼任程序开发员， 针 对以上情景请选择最优的降低风

3、险的控制措施？A.限制访问，以防止员工访问生产环境B.通过雇佣新员工实现职责分离C.自动记录所有在生产环境中的变更D.对已经被批准执行过的程序变更进行核查106 .一个审计师观察到，在供应商的建议下，IT部门为组织的生产系统更新了补 丁，审计师应该最关注的是IT部门未考虑到：A.更新补丁后对用户的培训B.为生产系统打补丁的好处C.测试补丁的影响后才能打补丁D.最终用户对新补丁提供的建议107 .以下哪项是有效的灾难恢复计划最关键的因素？A.数据的异地备份B.关键灾备恢复清单的更新C.数据备份中心的可用性D.清晰定义恢复时间目标（RTO108 .一个审计师正在审计一个使用 敏捷软件开发方法 的项

4、目，以下哪项是审计师期 望发现的？A.基于过程的成熟度模型的使用，如能力成熟度模型（ CMM）B.基于时间表对于任务级别进展的监控C.软件开发工具的使用来最大化团队的生产率D.通过反复 评审来识别未来项目可能用到的课程109 .一个金融机构正在建立并将业务连续性措施文档化，以下哪项审计师会认为是一个问题？A.这家机构使用了最佳实践指南代替了行业标准并且得到外部顾问的帮助以确保方法论的充分性B.业务连续性能力包括了一些精心挑选的比较合理的可能发生的应急场景C. RTO没有考虑IT灾难恢复的限制，如恢复期间人员和系统的相关性D.机构打算租用一个临时应急场所，但该场所仅可提供正常员工一半数量的 占用

5、空间110 .审计师正在为客户制定审计计划，他看了去年的审计计划发现该计划用于去 年着重检查公司网络和邮件系统，但计划未包括电子商务服务器，公司IT经理暗示今年公司审计重点应是一个新上线的ERP系统，审计师该如何做？A.按IT经理要求审计新的ERP系统B.这次应审计去年未审计电子商务服务器C.在对高风险系统进行评估的基础上制定审计计划D.两个系统都审计111 .为了优化组织的业务连续性计划，审计师建议进行业务影响性分析是为了决 止：A.对组织产生最大经济价值的业务流程，应该首先恢复B.恢复的优先级和顺序来确保与组织业务目标的一致性C.从灾难中恢复的业务流程必须确保组织的生存D.在最短时间恢复最

6、多系统的优先级和顺序112 .恢复策略的选择最可能依靠：A.设备和系统的恢复成本B.恢复场地的可用性C.业务流程的关键性D.事件响应流程113 .审计师在审核组织的数据库安全时，以下哪项是关于数据库加固最应关注的 方面？A.默认配置被修订B.所有数据库中的表格被统一化C.存储的步骤和触发器被加密D.数据库服务器端口被变更114 .在审核入侵检测日志时，审计师注意到来自互联网的流量，流量显示这些 IP地址好像来自公司内部薪资服务器， 以下哪种危险行为可能导致这种情况？A. DOS攻击B.欺骗C.端口扫描D.中间人攻击115 .审计师在审核健康组织在两种应用环境下的开发过程一生产和测试。审计过程中

7、发现，生产数据被使用在测试环境中用于测试程序变更的目的，这样做 最大的潜在风险是什么？A.测试环境没有足够的控制措施来确保数据准确性B.测试环境可能由于使用生产数据而产生错误的结果C.测试环境的硬件可能与生产环境不完全一致D.测试环境没有足够的控制措施来确保数据机密性116 .以下哪项行为在生产高峰时段可能导致宕机？A.实施数据迁移或磁带备份B.对电力系统进行预防性维护C.将数据从开发环境向生产环境转移D.在数据中心的关键路由器上更换一个已经停用的电动力系统117 .以下哪种情况将会列入软件约定协议？A.系统管理员要求具有访问软件的权限以便于从灾难中进行恢复B.用户重新下载软件到替代的硬盘中C

8、.编写客户软件的供应商停业D.信息系统审计师有权访问组织编写的软件代码118 .确保EDI程序接收的权威性指令的最合适的控制措施是：A.通过比对确认信息来接收电子指令B.在执行指令前对比指令的数量C.核对发送者的身份并确定指令是否符合合同条款约定D.加密电子指令119 .一个小型组织只有一个数据库管理员（DBA）,他拥有登录 UNIX服务器的 ROOTZ限，他负责数据库程序的管理。这种情况下如何实现职责分离？A.再雇佣一个DBA,并在这两个DBA之间分配职责B.清除DBA拥有的UNIX服务器的权限C.确保DBA所有操作都有记录并将记录保存在磁带上D.当前DBA未登录系统时，确保数据库日志被上传

9、到DBA没有权限访问的UNIX服务器120 .被零售部门的会议室有一个与公司网络连接的网络接口，允许供应商的销售代表的笔记本电脑使用这个端口连接网络登录平台，这种情况下的风险是销售代表可能：A.连接邮件服务器窃取邮件清单以用于销售目的B.安装监控软件来获取关键决策制定者的通信信息C.他电脑上的病毒将感染整个网络的机器D.在他电脑上安装的路由器可能造成网络的中断121 .当评审网络设备的配置时，审计师应首先关注：A.该网络设备的最佳配置参考B.网络的组件是否丢失C.网络拓扑中该设备的重要性D.网络中所有组件是否被恰当的使用122 .在一个小型组织中，开发人员可直接对生产系统进行紧急变更，这种情况

10、下,以下哪个选择是最佳控制措施？A.在下一个工作日再审批和记录这个变更B.限制开发人员访问生产系统的时间C.在发布前获得备岗的批准D.在生产系统中停用编译选项123 .基于结构化的开发方法的主要优势是：A.具备管理未严格限制数据类型的能力B.提供构造复杂关系的能力C.具备适应不断变化环境的能力D.支持多种开发环境124 .以下哪项可以放入测试灾难恢复步骤的计划?A.请客户参与B.所有技术员工参与C.变更恢复经理D.安装本地化备份125 .以下哪项数据库控制措施可以确保一个在线交易流程数据库中交易的完整 性？A.授权审批控制B.数据格式化控制C.日志读写权限控制D.交付和回滚控制126 .审计师

11、在审核组织的物理安全控制措施时，关于门禁系统审计时应关注: A.给予保洁人员的非个人的门禁卡，它用于进出记录，但没有身份信息 B.门禁卡没有标识组织的名称和地点，不便于卡丢失时及时归还 C.卡保证金和权限管理由不同部门负责，导致新卡不必要的交付时间 D.管理卡的计算机系统在卡失效后三周才能被替换127 .以下哪项是防止审计日志被未授权删除的措施？A.对日志的操作应通过其他日志进行记录B.停止对日志的写权限C.仅授权适当的人具备删除日志的权限D.应定期审查日志的备份128 .除开发团队外还需用户参与的测试的最后阶段应考虑哪种软件程序的测 试？A.阿尔法测试B.白盒测试C.回归测试D. ?测试12

12、9 .以下哪项是组织收集、关联和保存不同日志和事件文件的最佳程序，并向审 计师提供周报和月报？A.安全信息事件产品B.开源关系引擎C.日志管理工具D.提取、转换、载入ETL系统130 .当使用数字签名时，信息摘要是由以下哪项计算：A.仅有发送者B.仅有接收者C.由发送者和接收者共同D.证书机构131 .以下哪项是测试半自动变更控制流程设计的有效性的最有效的方法？A.测试一个变更样本B.测试流程端到端的穿行测试C.测试一个已经授权的变更D.使用计算机辅助审计技术132 .在审计数据库环境时，审计师最关注数据库管理员哪些行为？A.按照管理规范实施数据库变更B.安装补丁并更新操作系统C.测量表格空间

13、并为表格合并提供建议D.实施备份和恢复步骤133 .审计师正在评估虚拟环境下用于程序开发和测试的技术架构，生产环境的架构由三个相互关联的架构组成，以下哪项是最重要的IT控制措施来确保在这 种环境下互联网应用的可用性和机密性？A.服务器配置加固B.确保已分配物理资源的有效性C.培训系统管理员适应虚拟架构D.灾难恢复计划中包含了虚拟机服务器134 .自我评估的成功主要依靠：A.产品线经理被赋予监控控制措施的职责B.指派员工经理负责评估，但不进行监督和控制C.严格的控制策略和措施的实施D.监督和监控已分配职责措施的实施135.通常通过进行业务影响性分析来判断应用系统的关键性，以下哪项是最重要的咨询对

14、象？A.业务流程负责人B. IT管理层C.高级业务管理层D.行业专家136.以下哪种灭火系统适用于数据中心？A.干管灭火器B.干粉灭火器C. FM-200 系统D.二氧化碳灭火器137 .以下哪项是确定恢复点目标时应考虑的内容？A.最小化操作要求B.可接受的数据丢失C.系统中断平均时间D.可接受的恢复时间138 .以下哪项是与赋予用户更多的信息安全责任最相关的？A.大量的数据被创造并分配给终端用户B.业务流程对IT流程更加依赖C.安全技术已经领先很多年D. IT组织拥有可靠的员工群体139.审计师发现当开发人员修正缺陷时新系统的用户体验测试反复中断，对此信息系统审计师的最佳建议是？A.考虑隔离

15、用户体验环境的可行性B.在每天固定时间进行用户测试C.开发一个源代码版本控制工具D.仅重新测试优先级高的缺陷140.当评估组织的软件开发措施的时候，审计师应审阅提交给项目管理层的质量 保障措施的报告，他应该最关注？A.质量保障措施的有效性，因为它应该影响到项目管理层和用户管理层B.质量保障措施的效率C.项目经理的有效性应该可以影响到质量保障措施D.项目经理的效率因为QA的职能是需要与项目实施团队沟通141.在无线通讯中，以下哪项措施允许设备接受通讯并识别收到的通讯没有在传 输中修改？A.设备验证和数据来源验证B. IDS和 IPSC.加密的哈希算法D.数据包的首和尾142 .审计师计划审计一个

16、银行的线路传输系统，法律要求银行正确的报告交易 以下哪项是审计范围应重点关注的内容：A.数据可用性B.数据机密性C.数据流向D.数据完整性143 .审计师了解到IT部门打算将集中用户登录管控模式改为分布管控模式来为 全球各地的分支机构服务，所有程序保存在总部的数据中心。在这个新的计 划下，每个国家要安排一个管理员负责管理和维护登录系统，对此审计师应 提出哪个建议？A.无法接受这个计划因为增加了未授权用户登录的风险B.只要总部的高层领导批准就可以接收这个计划C.无法接受这个计划因为当地的管理员可能缺乏安全技能和培训D.只要采取适当的监控措施和用户登录授权机制就可以接收这个计划144 .审计师正在

17、评估被用于数据挖掘的IT审计软件，审计师应首先关注该软件的 什么功能？这个软件应当：A.与不同ERP软件和数据库的接口B.确保数据完整性并不能通过任何方式修改源数据C.将审计程序植入公司的财务系统来支持连续审计D.进行定制化并支持包含用户编程功能来辅助调查分析145 .通常，在项目开始阶段，以下哪些人参与对项目是关键的？A.系统所有者B.系统用户C.系统设计人员D.系统开发人员146.审计师正在评审一个医院以前IT审计的发现。审计发现表明组织使用了电子 邮件来处理病人的机密信息。IT经理暗示关于这个发现，组织已经为所有电 子邮件的用户提供了数字签名，审计师应如何建议？A.数字签名不足以保证机密

18、性B.数字签名足以保证机密性C.审计师可以收集关于具体案例更多的信息D.审计师应推荐对邮件使用数字水印来确保安全147.组织制定的策略中定义了用户禁止登陆的网站类型，实施这个策略最有效的 方法是？A.定期检查防火墙B.互联网内容过滤C.互联网缓存服务器D.代理服务器148.在人力资源审计过程中，审计师了解到在IT和人力资源部部门之间有一个口 头的IT服务水平协议，这种情况下审计师应如何做？A.推迟审计直到双方正式签订协议B.向高级管理层报告这个未签订的协议的存在C.与双方确认协议的内容D.为双方起草一个服务水平协议149 .审计师正在评审公司灾难恢复策略的变更，他注意到有关公司核心业务程序 的

19、恢复点目标被缩短，这么变更的显著风险是？A.以前的灾难恢复计划没有根据新的恢复点目标进行更新B.没有对灾难恢复团队进行有关新的恢复点目标的培训C.备份没有及时充分的实施来满足新的恢复点目标D.计划没有根据新的恢复点目标测试150 .在应用审计时，审计师被要求提供数据库参考完整性的审计，审计师应关注哪项内容？A.字段定义B.主表定义C.组合键D.外键定义151 .审计师已经完成了组织IT部门的审计，以下哪项容量是关键的？A.每个机器的工作站操作系统的补丁不一致B.业务连续性计划是当前的，但不是每年测试C.密码变更规范未有效执行D.服务器未定期备份152 .审计师发现了可进入生产环境操作系统的命令

20、行模式，以下哪项是最佳的降低未及时发现生产系统被未授权变更的风险？A.记录命令行模式的操作B.定期计算程序的哈希值并与最近授权程序的哈希值匹配C.登录操作系统命令行模式通过已授权使用的工具严格限制D.从生产系统中删除软件开发工具和编译器153 .以下哪项渗透测试的类型模拟了真实的攻击并且可测试目标的事件处理和 响应的能力？A.盲测B.目标测试C.二重盲测法D.外部测试154 .审计师应推荐以下哪项流程来记录软件发布基线？A.变更管理B.备份和恢复C.事件管理D.配置管理155 .审计师应确保在线ETF对账的审计应包含：A.保证B.授权C.修正D.留痕156 .以下哪项可以防止对互联网应用的 S

21、QL注入攻击？A.在程序中进行输入校验B.避免对互联网应用的数据库查询C.避免使用动态SQL查询程序D.所有数据库查询必须经过DBA审阅157 .以下哪项技术可以最好的帮助审计师合理保证项目可按期完成？A.从状态报告中基于已完成任务的百分比评估实际的结束日期并预测完成 时间B.通过与参与项目交付的有经验的经理和员工访谈来确认目标日期C.基于已完成任务包和当前资源推断全面完成日期D.基于项目当前资源和剩余可用预算计算预期完成日期158 .当发生灾难事件时，以下哪项因素对于灾难恢复计划和业务连续性计划的成 功最关键？A.当前操作系统软件B.当前运营数据C.已打补丁包的应用软件D.系统工具软件159

22、 .当为一个航空预定系统设计业务连续性计划时，最恰当的异地数据转移/备份方式是？A.影子文件流程B.电子保管库C.硬盘镜像D.热备160 .热站应该作为恢复策略实施，当A.灾难容忍度较低B.恢复点目标较高C.恢复时间目标较高D.灾难容忍度较高161.IT法务审计的主要目的是：A.主要参与公司舞弊行为的调查B.当系统出现异常后系统性的收集证据C.评价组织财务陈述的正确性D.判断是否有犯罪行为162.当火警警报响时，审计师正在对一个数据中心进行审计，审计范围包括了灾 备恢复策略，审计师观察数据中心对报警的反应，在这种情况下以下哪项是 数据中心员工最重要的行为？A.将警报的情况通知当地消防部门B.准

23、备激活灭火系统C.确保数据中心所有人员已疏散D.从数据中心转移所有备份磁带163.以下哪项是关于IT员工的预防控制措施的例子A.评审数据中心的访问日志B.记录用户登录IP地址的日志服务器C.为IT设备应用一个登录记录系统D. 一个用于记录员工电话的会计系统164 .在基于风险的审计方法中，审计师必须考虑到固有风险，当考虑到A.如何消除应用控制的风险B.潜在风险的损失和执行控制措施的成本的平衡C.不管风险是否是实质性的，都无视管理层对风险的容忍度D.剩余风险是否高于保险费用165 .审计师正在评审基于软件的防火墙配置，以下哪项是这个防火墙最大的弱 点？：A.策略库中配置了全部拒绝的策略B.安装的

24、操作系统保持默认配置C.配置了规则来运行或拒绝访问系统或网络D.配置为VPN的末端166 .一个组织核心系统的恢复时间目标接近 0,而恢复点目标接近接近1分钟, 这意味着系统可以容忍：A.数据丢失最高1分钟，但业务必须连续8. 1分钟的业务中断，但数据不可丢失C.业务中断1分钟或更久D.数据丢失和业务中断均可超过1分钟167 .在评估一个组织的网络时发现了性能报告，审计师最有效的方法是检测：A.已经实施了反病毒控制B.已应用的网络协议C.网络拓扑D.网络设备配置168 .由于没有高级审计师可用，管理层指示初级审计师准备并交付他/她对工作报告的判断结果，这种情况的风险是？A.由于未按标准进行审计

25、而丧失信誉B.审计报告无法识别和分类关键风险C.客户管理层会质疑审计发现D.审计报告不会被审计管理层批准169 .组织已经实施了灾难恢复计划，以下哪个步骤应被实施？A.获得高级管理层帮助B. 了解业务需求C.进行书面测试D.实施系统恢复测试170.审计师被要求审查技术恢复策略的充分性，以下哪项是他应优先考虑的？A.恢复时间目标B.业务影响性分析C.从灾难恢复的能力D.恢复点目标171.在进行审计时，审计师发现存在病毒，他应该怎么做？A.观察反应机制B.从网络中清除病毒C.立即通知适当的人D.保证病毒清除172 .通过以下哪项审计师可判断对生产系统进行了未授权变更？A.系统日志分析B.实质性测试

26、C.法务分析D.分析性复核173 .很多组织要求员工每年强制休假一周的目的是：A.不同部门间足够的交叉培训B.确保员工士气和满意度来确保有效的内控环境C.在员工休假期间可发现潜在的违规行为D.确保员工满意度来降低工作失误的风险174 .评审组织的人力资源政策和程序时，审计师应关注缺乏：A.定期工作轮换的要求B.规范离职审核的要求C.离职检查表要求归还公司的重要资产以及取消所有权限D.要求员工签署表格表示他们已经阅读了公司的政策175 .审计师被要求评审一个组织的信息安全政策，以下哪项代表最高潜在风险?A.安全政策已经超过一年没有更新B.安全政策未包含历史版本C.安全政策已被安全负责人批准D.组

27、织没有信息安全策略委员会176 .一个财务机构最近开发并安装了一套财务系统将他们用户通过互联网网站 与ATM连接。这个项目中，开发团队和业务连续性团队保持良好的沟通， 并且为新系统更新了业务连续性计划，此时合适的业务连续性计划测试： A.使用真实的资源去模拟系统灾难| B.有关该计划细节性的穿行测试文档C.对网站接口应用程序的渗透测试D.在一个已计划好的地点进行设备切换177 .当组织将客户信用评价系统外包给第三方供应商时，以下哪项是审计师最关注的？供应商：A.达到或超过行业安全标准B.同意接受外部安全评审C.在服务和经验方面拥有良好的市场声誉D.与组织的安全标准相一致、178 .在审计时，审

28、计师注意到中型组织的IT部门没有独立的风险管理职能，并且 组织的操作风险文档仅包括很少的IT风险介绍，审计师应推荐：A.在外部风险管理专家的帮助下建立IT风险管理部门并建立IT风险管理框B.使用通用行业标准将现有的风险文档分解为更容易控制的具体风险C.不需要建议因为当前的方法对于中型组织是适当的D.建立定期的IT风险管理会议来识别和评估风险，并制定降低风险的计划 作为组织风险管理的输入179 .审计师正在审计已完成的项目，已实施的功能经常超过要求，并且很多项目 严重超过预算。组织项目管理流程的哪个部分导致这种情况的发生？A.项目范围管理B.项目时间管理C.项目风险管理D.项目采购管理180 .

29、进行实施后审计时，以下哪项活动应该被执行?A.用户接受测试（UAT）B.投资回报率分析C.激活审计记录D.更新企业架构表的未来状态181 .审计师被要求参与一个关键项目的项目启动会，审计师应主要关注：A.项目相关的风险和复杂度已经被分析B.项目所需要的资源都已经确定C.项目交付物已经被识别D.项目与外部机构的合同182 .从风险管理的观点看，当实施较大并复杂的IT架构时的最好的方法:A.相关规则已经被广泛实施的证据B.原型和某一项的部署C.基于顺序的部署计划D.实施前模拟一个新的架构183 .交易审计记录的主要目的是：A.降低存储介质的使用B.确定过程交易的职责和责任C.帮助审计师跟踪交易记录

30、D.提供有关容量规划的有用的信息184 .当评估EDI应用程序的控制时，审计师主要关注哪些风险？A.周转时间过多的交易B.应用程序接口失败C.不合适的交易授权D.未生效的补丁总数185 .一个组织正在将以前的系统向ERP系统进行迁移，当评审数据迁移活动时,审计师最关注:A.对比在两个系统间转移的数据的语义特征B.对比在两个系统间转移的数据的算法特征C.对比在两个系统间流程的功能特征D.两个系统间流程的连接效率186 .确认和认可流程对核心系统重要的原因是确保：A.安全要求已经进行了技术评估B.数据已经加密并且合理保存C.系统已经测试并在不同系统上运行D.系统遵守瀑布模型187 .项目经理无法按

31、期实施所有的咨询建议，审计师应：A.建议项目暂定直到问题解决B.建议实施补偿控制C.评估未解决问题的风险D.建议经理重新分配测试资源以解决问题188 .判断服务中断严重级别的主要标准是：A.恢复成本B.负面社会影响C.地理位置D.中断时间189 .组织发现CFO的电脑感染了病毒（包含键盘操作记录器和木马），首先应当:A.与合适的法律机构联系开展调查B.立即确认没有数据被窃取C.中断电脑与网络的链接D.更新反病毒库确保病毒被发现并清除A.无线网络的密码每周变更B.可记录日志的防火墙部署在公司网络和公用无线网络之间C.公司网络和公用无线网络物理隔离D.在公用无线网络部署IDS191 .一个组织开发了新的基于互联网的应用程序来处理客户订单，以下哪项安全措施可防止被黑客攻击？A.确保防火墙端口 80和443关闭B.检查服务器上的所有文件的访问权限，确保所有文件只有读权限C.实施互联网应用安全检查D.确保仅现有的客户的IP地址能被防火墙通过192 .当对IT系统进行渗透测试时，组织应当关注：A.报告的机密性B.找到系统所有可能的弱点C.重置所有系统配置到渗透前的状态D.记录对所有生产系统的变更193.IT管理层在考虑使用VOIP降低通信成本，并要求审计师提供适