CISA中文模拟题465题

1、Chapter1下列哪些形式的审计证据就被视为最可靠?口口头声明的审计口由审计人员进行测试的结果口组织内部产生的计算机财务报告口从外界收到的确认来信当程序变化是，从下列哪种总体种抽样效果最好？口测试库清单口源代码清单口程序变更要求口产品库列表在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：口系统程序员.口法律人员口业务部门经理口应用程序员.进行符合性测试的时候，下面哪一种抽样方法最有效？口属性抽样口变数抽样口平均单位分层抽样口差别估算当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：口当数据流通过系统时，其作用的控制点。口只和预防控制和检查控制有关.口纠

2、正控制只能算是补偿.口分类有助于审计人员确定哪种控制失效审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作?口计算机辅助开发工具(casetool)口嵌入式(embedded)资料收集工具口启发扫描工具(heuristicscanningtools)口趋势/变化检测工具在应用程序开发项目的系统设计时间，审计人员的主要作用是：口建议具体而详细的控制程序口保证设计准确地反映了需求口确保在开始设计的时候包括了所有必要的控制口开发经理严格遵守开发排程下面哪一个目标控制自我评估(CSA)计划的目标？口关注高风险领域口替换审计责任

3、口完成控制问卷口促进合作研讨会Collaborativefacilitativeworkshops利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：口充分保护信息资产口根据资产价值进行基本水平的保护口对于信息资产进行合理水平的保护口根据所有要保护的信息资产分配相应的资源审计轨迹的主要目的是：口改善用户响应时间口确定交易过程的责任和权利口提高系统的运行效率口为审计人员追踪交易提供有用的数据在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：口可以使用的CAATs口管理层的陈述口组织结构和岗位职责.口存在内部控制和运行控制对于组织成员使用控制自我评估(CSA)

4、技术的主要好处是：口可以确定高风险领域，以便以后进行详细的审查口使审计人员可以独立评估风险口可以作来取代传统的审计口使管理层可以放弃relinquish对控制的责任下列哪一种在线审计技术对于尽早发现错误或异常最有效?口嵌入审计模块口综合测试设备Integratedtestfacility口快照sanpshots口审计钩Audithooks当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？口对于链接库控制进行实质性测试口对于链接库控制进行复合性测试口对于程序编译控制的符合性测试口对于程序编译控制的实质性测试在实施连续监控系统时，信息系统审计师第一步时

5、确定：口合理的开始(thresholds)指标值口组织的高风险领域口输出文件的位置和格式口最有最高回报潜力的应用程序审计计划阶段，最重要的一步是确定：口高风险领域口审计人员的技能口审计测试步骤口审计时间审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：口在应用系统开发过程中，实施了具体的控制口设计并嵌入了专门审计这个应用系统的审计模块口作为应用系统的项目组成员，但并没有经营责任口为应用系统最佳实践提供咨询意见审计中发现的证据表明，有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里IS审计师可以推测的结论是:口经理助理

6、有舞弊行为口不能肯定无疑是谁做的口肯定是经理进行舞弊口系统管理员进行舞弊为确保审计资源的价值分配给组织价值最大的部分，第一步将是:口制定审计日程表并监督花在每一个审计项目上的时间口培养审计人员使用目前公司正在使用的最新技术口根据详细的风险评估确定审计计划口监督审计的进展并开始成本控制措施审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发现是审计师应该最重视的？口有一些外部调制解调器连接网络口用户可以在他们的计算机上安装软件口网络监控是非常有限的口许多用户账号的密码是相同的信息系统审计师在控制自我评估(CSA)中的传统角色是：口推动者(facilitator)口经理口伙伴口股东下面哪

7、一种审计技术为IS部门的职权分离提供了最好的证据：口与管理层讨论口审查组织结构图口观察和面谈口测试用户访问权限2IS审计师应该最关注下面哪一种情况？口缺少对成功攻击网络的报告口缺少对于入侵企图的通报政策口缺少对于访问权限的定期审查口没有通告公众有关入侵的情况审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？口可得到在线网络文文件口支持终端访问远程主机口处理在主机和内部用户通信之间的文件传输口执行管理，审计和控制审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：口固有的风险.口控制风险口检查危险口审计风险审计章程应采取：口是动态的和经常变化的，以便适应技

8、术和和审计专业(professional)的改变口清楚的说明审计目标和授权，维护和审核内部控制口文文件化达到计划审计目标的审计程序口列出对审计功能的所有授权，范围和责任审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?口应用程序所有者不知道IT部门对系统实施的一些应用口应用数据每周只备份一次口应用开发文档不完整口信息处理设施没有受到适当的火灾探测系统的保护IS审计功能的一个主要目的是：口确定每个人是否都按照工作说明使用IS资源口确定信息系统的资产保护和保持数据的完整性口对于计算机化的系统审查账册及有关证明文件口确定该组织识别诈骗fraud的能力进行审计的时候，审计师发现

9、存在病毒，IS审计师下一步应该做什么？口观察反应机制口病毒清除网络口立即通知有关人员口确保删除病毒审计章程的的主要目标是：口记录企业使用的审计流程口审计部门行动计划的正式档口记录审计师专业行为的行为准则口说明审计部门的权力和责任。在对IT程序的安全性审计过程中,IS审计师发现没有文件记录安全程序，该审计员应该:口建立程序文件口终止审计口进行一致性测试口鉴定和评估现行做法在风险分析期间，IS审计师已经确定了威胁和潜在的影响，下一步IS审计师应该：口确定并评估管制层使用的风险评估过程口确定信息资产和受影响的系统口发现对管理者的威胁和影响口鉴定和评估现有控制.下面哪一项用于描述ITF（整体测试法）最

10、合适？口这种方法使IS审计师能够测试计算机应用程序以核实正确处理口禾U用硬件和或软件测试和审查计算机系统的功能口这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程口IS系统审计师用于测试的一种程序，可以用于处理tagging和扩展交易和主文档记录。IS审计师要判断是否严格控制被授权者对于程序文文件的访问，最有可能的做法是：口评估在存储场所的档保存计划口就当前正在进行的流程采访程序员口对比实际使用的记录和操作表口审查数据文件访问记录测试管理库的功能需要进一步收集哪些数据，IS审计师的决定取决于口需要的重要信息的可用性口审计师对于情况的熟悉程序口审计人员（auditee）找到相

11、关证据的能力口进行审计的目的和范围审查管理层的长期战略计划有助于审计师：口了解一个组织的宗旨和目标口测试企业的内部控制口评估组织队信息系统的依赖性口确定审计所需的资源利用统计抽样程序可以减少：口抽样风险口检查风险口固有风险口控制风险IS审计师对软件使用和权限进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为？口个人擅自删除所有未授权软件拷贝口通知被审计人员非授权软件的情况，并确认删除口报告使用未经授权软件的情况，并需要管理层避免这种情况重复发生口不采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用下面哪一项IS审计师可用来确定编辑和确认程序的有效性

12、(effectiveness)?口域完整性测试口相关完整性测试口参照完整性测试口同位检查下面哪一种情况下，IS审计师应该用统计抽样而不是判断抽样(nonstatistical):口错误率必须被客观量化(objectivelyquantified)口审计师希望避免抽样风险口通用审计软件不实用(unavailable)口容忍误差(tolerableerrorrate)不能确定证明税收计算系统精确性的最好的方法是：口对于计算程序源代码详细目测审核和分析口使用通用审计软件对每个月计算的总数进行重复的逻辑计算口为处理流程准备模拟交易，并和预先确定的结果进行比较口自动分析流程图和计算程序的源代码以下哪一个

13、是使用测试数据的最大的挑战?口确定测试的程序的版本和产品程序的版本一致口制造测试数据报括所有可能的有效和无效的条件口对于测试的应用系统，尽量减少附加交易的影响口在审计师监督下处理测试数据电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因？口多重循环备份文件可供利用口访问控制可以确定电子邮件行为的责任口对于通过电子邮件交流的信息尽心过数据分类管理口企业中，用于确保证据可得的清晰的使用电子邮件的政策IS审计师对于应用程控进行审查，应该评价：口应用程序对于业务流程的的效率口发现的隐患exposures的影响口应用程序服务的业务口应用程序的优化.以下哪一个是最主要的优势，利用计算机

14、司法软件进行调查：口维护保管的一系列电子证据口节约时间口效率和效益口寻求侵犯知识产权证据的能力以下哪一个是使用ITF综合测试法的优势？口使用真实的或虚拟的主文档，IS审计师不需要审查交易的来源。口定期检验过程并不需要单独分离测试过程口证实应用程序并可测试正在进行的操作口它无需准备测试资料.风险分析的一个关键因素是:口审计计划.口控制口弱点.Vulnerabilities口负债liabilitiesIS审计师的决策和行动最有可能影响下面哪种风险？口固有风险口检查分析口控制风险口业务风险在一台重要的服务器中S审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱点IS审计师应该首先

15、做什么？口调查病毒的作者.口分析操作系统日志口确保恶意代码已被清除口安装消除弱点vulnerability的补丁.组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：口控制程序.口控制目标口纠正控制口运行控制.IS审计师审计IT控制的效果，发现了一份以前的审计报告，但是没有工作记录workpapers，IS审计师应该怎么处理？口暂停审计直至找到工作记录口依靠以前的审计报告口对于风险最高的区域重新测试控制口通知审计管理层，重新测试控制IS审计师审查组织结构主要是为了：口理解工作流程口调查各种沟通管道口理解个人的责任和权利口调查员工之间不同的联系管道IS审

16、计师审查对于应用程序的访问，以确定最近的10个新用户是否被争取的授权，这个例子是关于:口变数抽芽口实质性测试口符合性测试口停-走抽样.当需要审计轨迹的时候，以下哪一种审计工具最有用？口综合测试法(ITF)口持续间断模拟(CIS)口审计钩(audithook)口快照以下哪一个是实质性测试?口检查例外报告清单口确认对参数改变进行审批口对于磁带库列表进行统计抽样口审核密码历史记录对于特定威胁的整体经营风险的威胁，可以表示如下：口一种产品的可能性和影响的重要性，如果威胁暴露了弱点口影响的重要性应该是威胁来源暴露了弱点口威胁来源暴露弱点的可能性口风险评估小组的整体判断在审查客户主文档的时候,IS审计师发

17、现很多客户的名字相同arisingfromvariationsincustomerfirstnames，为了进一步确定重复程度，IS设计师应该:口测试数据以确认输入数据口测试数据以确定系统排序能力口用通用审计软件确定地址字段的重复情况口用通用审计软件确定帐户字段的重复情况通常，以下哪一种证据对IS审计师来说最可靠？口收到的来自第三方的核实账户余额确认信口一线经理确保应用程序如设计的方式工作口从internet来源得到的数据趋势(Trenddata)口由一线经理提供报告，IS审计师开发的比率分析(Ratioanalysis)成功的实施控制自我评估(CSA)需要高度依赖：口一线管理人员承担部分监督

18、管理责任口安排人员负责建置管理，而不是监督、控制口实施严格的控制策略，和规则驱动的控制口监督实施和并对控制职责进行监督审计计划阶段，对于风险的评估用于提供：口审计覆盖重大事项的合理保证口明确保证重大事项在审计工作中被覆盖口审计覆盖所有事项的合理保证口充分保证所有事项在审计工作中被覆盖下面哪一项是使用基于风险方法的审计计划的好处？审计口排程可以提前完成.口预算更符合IS审计人员的需要口人员可以使用不同的技术口资源分配给高风险领域IS审计人员使用数据流程图是用来口定义数据层次口突出高级别数据定义.口用图表化方式描述数据路径和存储口描绘一步一步数据产生的详细数据在对数据中心进行安全审计时，通常审计师

19、第一步要采取的是：口评级物理访问控制测试的结果口确定对于数据中心网站的风险/威胁口审查业务持续程序口测试对于可疑网站的物理访问的证据高层管理要求IS审计师帮助部门管理者实施必要的控制，IS审计师应该：口拒绝这种安排，因为这不是审计人员的职责口告诉管理层将来他的审计工作无法进行口执行安排和将来的审计工作，处于职业谨慎口在得到使用者部门批准的情况下，进行实施和后续工作在制定风险基础审计策略时，IS审计师需要进行风险评估审计，目的是保证:口减轻风险的控制到位口确定了脆弱性和威胁口审计风险的考虑.口Gap差距分析是合适的.当通知审计结果时，IS审计师应该牢记他们的最终责任是对：口高级管理和/或审计委员

20、会.口被审计单位的经理.口is审计主管.口法律部门legalauthorities对于抽样可以这样认为：口当相关的总体不具体或者是控制没有文文件记录时intangibleorundocumentedcontrol，适用于统计抽样。口如果审计师知道内部控制是强有力的，可以降低置信系数口属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。口变量抽样是一种技术，用于评估某种控制或一系列相关控制的发生率。IS审计师评估系统变更的测试结果，这个系统用于处理缴纳结算paymentcomputation。审计师发现50%的计算结果不能和预先定义的总数匹配IS审计师最有可能采取下面哪一步措施？口对于出错的计

21、算，设计进一步的测试口确定可能导致测试结果错误的变量口检查部分测试案例，以便确认结果口记录结果，准备包括发现、结论和建议的报告在实施对于多用户分布式应用程序的审核时，S审计师发现在三个方面存在小的弱点初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时S审计师应该：口分别记录对于每个发现产生的相关影响。(recordtheobservationsseparatelywiththeimpactofeachofthemmarkedagainsteachrespectivefinding.)口建议经理关于可能的风险不记录这些发现，因为控制弱点很小口记录发现的结果和由于综

22、合缺陷引发的风险口报告部门领导重视每一个发现并在报告中适当的记录人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分，这种情况下最好使用下面哪一种审计技术？口测试资料口通用审计软件口ITF综合测试法口嵌入审计模块持续审计方法的主要优点是：口当处理过程开始的时候，不要求审计师就系统的可靠性收集证据口当所有信息收集完成后，需要审计师审查并立即采取行动口可以提高系统的安全性，当使用分时环境处理大量的交易时口不依靠组织的计算机系统的复杂性。在审计章程中记录的审计功能中的责任、权力和经营责任responsibility,authorityandaccountability,必须：口必须经最高管理

23、层批准口经审计部门管理者批准口经用户部门领导批准口在每年IS审计师大会commencement之前修改IS审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整，是由：口匹配输入数据的控制总数和原始数据的控制总数口对数据进行排序以确认是否数据和原始数据的序号相同口审查打印输出的前100条原始记录和输入数据的前100条记录口按照不同的分类过滤数据，和原始数据检验在评估网络监测控制时，IS审计师第一步应该审核网络的口拓朴图.口带宽使用.口阻塞分析报告口瓶颈确定IS审计师评估信息系统的管理风险。IS审计师应该最先审查：口已经实施的控制口已经实施控制的有效性口资产的风险监督机制口资产的脆弱性

24、和威胁在有异议的情况下，离开审计面谈中，考虑到结果的影响，IS审计师应该:口要求被审计人员以签名的形式接受所有法律责任口阐述调查的意义和不纠正的风险口向审计委员会报告有异议的情况口接收被审计方的意见，因为他们有处理的所有权确定商品库存的价值已超过八周，IS审计师最有可能是用：口测试资料.口统计抽样口综合测试法ITF口通用审计软件下列哪一个是风险评估过程的描述?风险评估是:口主观.口客观.口数学方法口统计综合测试法ITF被认为是一个有用的工具，因为它：口对于审计应用控制来说，是一种具有成本效益的方式口允许财务和IS审计师整合他们的测试口将处理的输出结果与单独计算的数据进行比较。口为IS审计师提供

25、分析大量信息的工具在审计报告确认发现的结果finding后，被审计方迅速采取了纠正行动。审计师应该：口在最后报告中包括发现的结果，因为IS师要负责正确的审计报告包括所有的发现结果。口在最后的调查报告中不包括发现结果，因为审计报告仅仅包括未解决的发现结果口在最后的调查报告中不包括发现结果，因为在审计师审计期间，纠正行动已经被确认。口包括结果，仅仅在闭幕会议上讨论调查之用。以风险为基础的审计方法,IS审计师应该首先完成：口固有的风险评估.口控制风险评估.口控制测试评估.口实质性测试评估.第一章答案01-10：ddcaadcacb11-20：daccbbabcd21-30：acaacdabcd31-

26、40：ddabdabcaa41-50：cbababcbcb51-60：dcbbcacaaa61-70：dcbbbabccb71-81：caaadbdacaaChapter2下面哪一种IT治理是提高战略联盟(alignment)的最佳做法？口供货商和合作伙伴的风险管理.口基于客户、产品、市场、流程的知识库实施到位.口提供有利于于建立和共享商业信息的组织结构.口高层之间对于业务和技术责任的协调建立可接受的风险水平的责任属于：口质量保证经理.口高级业务管理.口CIO首席信息主管.口首席安全主管作为信息安全治理成果，战略联盟提供：口企业需求驱动的安全要求.口按照最佳实践制定的安全基线.口专门的或客户定制的解决方案.口了解风险.如果缺乏高层管理人员对于战略计划的许诺(commitment)，最可能的后果是：口缺乏技术投资.口缺乏系统开发的方法.口技术与组织目标不一致.口缺乏对于技术合同的控制.用自下而上的方法来开发组织政策的优势在于这样开发的政策：口为组织整体而指定.口更可能来自于风险评估的结果.口与企业整体政策不会冲突.口