CISA考试练习(习题卷6)

试卷科目：CISA考试练习CISA考试练习(习题卷6)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共260题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.一家企业允许其员工使用个人移动设备进行工作,以下哪一项最能保持信息安全性而不影响员工隐私?A)在设备上安装安全软件B)防止用户添加应用程序C)将设备上的个人空间与工作环境分离D)在工作时间内限制设备用于个人用途[单选题]2.一位IS审计师正在审查意向合同管理流程，以确定一家参与关键业务应用程序的软件供应商是否具备应有的财务实力。IS审计师应确定考察的供应商是否：A)能够按照短期合同进行交付B)具备与组织同等的财务状况C)有很重的财务负担，可能会殃及组织D)能够为组织提供长期支持[单选题]3.在Web服务器上使用通用网关接口（CGI)的最常见方法是什么？A)把数据传送到应用程序并返回到用户的一致方法B)用于电影和TV的计算机图形图像法C)用于Web设计的图形用户界面D)访问专用网关域的接口[单选题]4.一位IS审计师注意到，在安装安全修补程序之后，现场工作的第一天就发生了系统崩溃事故。为提供该事故不再发生的合理保障，IS审计师应确认A)只有系统管理员可执行修补程序流程B)客户的变更管理流程具有适当性控制C)在生产中使用并行测试验证修补程序D)开发包括风险评估在内的修补程序审批流程[单选题]5.在灾难后恢复数据，如下哪个是最好的有效备份和恢复流程指标？A)恢复组成员是可供使用B)恢复时间目标（RTO）是契合的C)备份磁带库是最恰当维护的D)备份磁带是被完整的恢复到一个轮替站点[单选题]6.若要在短时间内实施新系统，最重要的是A)完成用户手册的编写。B)执行用户验收测试C)将最新的功能强添加到功能中。D)确保代码已存档并已审核。[单选题]7.下面哪一项是允许提高数据安全级别的目标导向的技术特征？A)继承B)动态仓库C)封装D)多形态[单选题]8.以下哪一项最能保障广域网络与组织广域网的连续性？A)内置替换路由B)每天完成所有系统备份C)服务商提供的维护协议D)每个服务器都有备用机[单选题]9.使用测试数据验证交易处理的最大挑战是：A)实际的生产数据可能被污染。B)创建测试数据以覆盖所有可能的正常的和非正常的情景。C)测试结果与生产环境中的结果做比较。D)与高速事务处理相关的数据隔离。[单选题]10.通过以下哪项技术，黑客能不使用电脑工具或程序得到密码A)社交工程B)嗅探工具C)后门D)特洛伊木马[单选题]11.以下哪种情况最适合实施数据镜像作为恢复策略？A)灾难容忍度高B)恢复时间目标高C)恢复点目标低D)恢复点目标高[单选题]12.确定服务中断事故严重程度的主要标准是A)恢复的成本。B)负面舆论。C)地理位置。D)停机时间。[单选题]13.图中2C、区域，由3个集线器相互连接，意味存在何种潜在风险？A)病毒攻击B)性能降级C)不良的管理控制D)受外部黑客攻击的脆弱性[单选题]14.以接收者的公钥加密可确保A)发送者的不可否认性B)发送者的真实性C)接受着的不可否认性D)消息只能由接收者读取[单选题]15.确定服务交付目标(SDO)的主要依据应该是:A)可接受的最低运营能力B)恢复流程的成本效益C)达到恢复时间目标(RTO)D)允许的运营中断时限(AIW)[单选题]16.在查一个关键的第三方应用程序时，IS审计师最关心的是发现A)保证系统充分移植性的程序不完备。B)系统的操作记录不完整。C)替代服务商列表不足D)软件第三方保存协议不完备。[单选题]17.在人力资源(HR)审计期间，IS审计师被告知，IT与HR部门之间就期望的T服务级别达成一项口头协议。在这种情况下，IS审计师首先应该做什么A)推迟审计，直至将协议记录在案。B)将存在未记录的协议这一情况报告给高级管理层。C)与两个部门确认协议的内容。D)为两个部门起草一份服务等级协议(SLA)。[单选题]18.较低的恢复时间目标（恢复时间目标）的会有如下结果：A)，更高的容灾。B)，成本较高。C)更长的中断时间。D),更多许可的数据丢失。[单选题]19.作为信息安全处理的结果，战略一致性将提供：A)以企业需要驱动的安全需求B)遵循最佳实践的安全基线C)制度化和商品化的解决方案D)对风险暴露程度的认识[单选题]20.以下哪一项面向对象的技术特征可以提高资料的安全级别？A)继承B)动态仓库C)封装D)多态性[单选题]21.IS审计师正在检查为保存数字证据所采取的流程。以下哪个发现最值得关注？A)在证据检索的时候系统的所有者没有出现B)调查者将系统断线C)证据移交时没有文档记录D)随时访问内存（RAM）的内容没有备份[单选题]22.与RSA加密相比，以下哪项是椭圆曲线加密的优点？A)计算速度B)能够支持数字签名C)更简便的密钥分配D)给定密钥长度的强度更大[单选题]23.为了恢复一个非关键系统，下列哪个是最合适的选择？A)温站B)移动站点C)热站D)冷站[单选题]24.重新配置下列哪种类型的防火墙将防止向内的通过文件传输协议(FTP)文件下载？A)电路网关B)应用网关C)包过滤D)镜像路由器[单选题]25.下列哪项导致了拒绝服务攻击？A)．暴力破解（BruteforCeAttACk）B)．死亡之ping（PingofDeAth）C)．跳步攻击（LeApfrogAttACk）D)．无预防攻击（NegAtiveACknowleDgement(NAK)AttACk）[单选题]26.下列哪种方法能使业务连续性管理过程中建立最优化的次序？A)分配到每个系统的恢复时间目标B)对信息进行机密性分级C)恢复技术表示了系统架构的建立D)估计可能容忍的停运行期业务收益损失[单选题]27.判断哪一个用户能获得超级用户权限,IT审计师应评估哪一项A)系统访问日志文件B)开启访问控制软件参数C)非法访问控制日志D)控制操作的系统配置文件[单选题]28.以下哪项的经常更新对于灾难恢复计划的持续有效性是关键的？A)关键人员的联系信息B)服务器目的文件C)个人角色和职责D)宣布灾难的步骤[单选题]29.当审计基于角色的访问控制系统（RBAC）时，信息系统审计师发现一些IT安全员工已经在某些服务器上具有修改或删除事务日志的管理系统管理员权限。以下哪个是该系统审计师应给的最佳建议？A)确保这些员工得到充分的监管B)确保交易日志备份保留C)实时控制以检测这些更改D)确保在事务日志实时写入只能一次写入和多次读取的(WORM)驱动器[单选题]30.在审计师执行一个审计时，下面哪一个被视为一个预防性控制？A)交易日志记录B)事前和事后镜像报告C)表格查询（tablelookups）D)跟踪和标签[单选题]31.某组织的云计算策略为采用外部提供商的软件即服务(SaaS)模式，在审查其云计算策略时，以下哪个选项是IS审计师最关注的?A)必须执行工作站升级。B)软件的长期购置成本偏高。C)与提供商签订的合同中不包括现场技术支持。D)提供商的事故处理流程定义不清。[单选题]32.制定基于风险的审计战略时，IS审计师应该风险评估，以确定：A)已经存在减免风险的控制B)找到了弱点和威胁C)已经考虑到了审计风险D)实施差异分析是恰当的[单选题]33.组织将报废许多笔记本电脑，下列哪项数据清理方法最有效?A)在所有硬盘上运行低水平的数据擦除程序B)删除全部数据文件目录C)格式全部硬盘D)物理破坏硬盘[单选题]34.对连接到因特网的外发数据，下面哪个执行模型提供最大的安全：A)认证头协议（A、H）加封装安全有效负载（ESP）的传输模式B)安全套接层协议（SSL）模式C)认证头协议加封装安全有效负载的管道模式D)3D、ES数据加密模式[单选题]35.一个开发团队开发并维护着一个面向客户的网络应用程序，相对于中央数据中心，这个应用是放在其区域办事处的。在这种情况下最大的风险是：A)网站的带来的附加流量会减慢域办事处的因特网访问。B)开发团队可能缺乏管理和维护一个托管应用环境的专业知识和人员。C)区域办事处可能没有火灾探测和消防等主数据中心相同的环境水平。D)区域办事处可能没有保证Web服务器安全的防火墙或网络。[单选题]36.在IT流程的安全审计期间，IS审计师发现安全程序没有任何文档记录。IS审计师应:A)根据惯例创建程序文档。B)提出对当前状态的看法，并结束审计C)在现有数据基础上实施符合性测试D)识别并评估当前的做法。[单选题]37.一家在线股票交易公司正在实施一个系统，以实现与客户之间安全的电子邮件沟通。为确保机密性，完整性和不可否认性，以下哪项是最佳选择A)对称式秘钥加密B)数字签名:无法保证机密性C)消息分类算法D)数字证书[单选题]38.对禁用用户账户操作的信息安全步骤进行审查的过程中，信息系统审计师发现IT仅禁用了相应员工的网络访问权。IT管理人员认为被禁用用户如果无法访问网络，他们也将无法访问任何应用程序，以下哪一项是与应用程序访问权相关的最大风险？A)失去不可否认性B)无法访问数据C)缺乏职责分离D)数据的非授权访问[单选题]39.下列哪一组高层系统服务可以提供对网路的访问控制A)访问控制列表和访问特权B)身份识别和验证C)认证和鉴定D)鉴定和保证[单选题]40.下列各種反病毒軟件中最有效的是？A)掃描器B)動態監視器C)完整性檢查工具D)病毒疫苗[单选题]41.当传输一个支付指令时，以下哪一项可用来帮助校验该指令不是被复制的？A)使用密码学的哈希算法B)加密消息摘要C)解密消息摘要D)(使用)序列号及时间戳[单选题]42.下面哪一个信息服务提供了在某一个特定行为发生时最强的证据：A)交付证据B)抗抵赖C)服从证据D)原始鉴定信息[单选题]43.下列哪项是在一个组织中防止未经授权的个人删除审计日志记录的最佳控制？A)在另一个日志文件中对日志文件的动作进行追踪。B)关闭对审计日志的写权限。C)只有指定人才能有查看和删除审计日志的权限。D)定期进行审计日志的备份。[单选题]44.对称加密算法的哪一方面影响了非对称加密算法的发展A)处理能力B)数据大小C)密钥分发D)算法的复杂性[单选题]45.在选择生物特征识别设备时，下列哪一项指标最重要？A)错误拒绝率B)交叉错误率C)系统响应时间D)图像尺寸[单选题]46.以下哪种网络诊断工具可用于监视和记录网络信息?A)在线监视器B)故障报告C)服务台报告D)协议分析器[单选题]47.将业务持续性计划集成到IT项目可以为哪一项提供帮助:A)业务持续性需求的改进B)更全面需求的开发C)交易流程图的开发D)确保应用系统满足用户需求[单选题]48.以下哪些会导致拒绝服务攻击？A)穷举攻击B)死亡之PingC)跳步攻击D)否定应答(NAK)攻击[单选题]49.在某家运营政府项目的全国性公司进行IS合规性审计期间，IS审计师正在评估其Intemet服务提供商(ISP)所提供的服务。下面哪个选项最重要?A)审查要求建议书(RFP)。B)审查ISP生成的月度绩效报告C)审查服务等级协议(SLA)。D)调查该ISP的其他客户。[单选题]50.在规划信息系统审计业务时，执行风险评估的主要目标应该是什么？A)将风险减少到可接受的水平B)识别高风险的业务流程C)最大限度地减少分配给审计业务的资源数量D)最大限度地减少所需的实质性测试水平[单选题]51.信息系统审计师审查组织的IT战略计划时应该首先审查:A)现有的IT环境B)业务计划C)现有的IT预算D)当前的技术发展趋势[单选题]52.有源射频ID（RFID）标签受以下哪种风暴风险影响？A)会话劫持B)窃听C)恶意代码D)网络钓鱼[单选题]53.企业正在与厂商谈判服务水平协议（SLA），首要的工作是：A)实施可行性研究B)核实与公司政策的符合性C)起草其中的罚则D)起草服务水平要求[单选题]54.开发一个风险管理程序时进行的第一项活动是：A)威胁评估B)资料分类C)资产盘点D)并行模拟[单选题]55.当一个组织外包他们的信息安全功能时，以下哪一项应保留在该组织中不被外包？A)企业安全的问责制B)企业安全策略定义C)企业安全策略实施D)安全程序和指导方针[单选题]56.为加强项目工期约束，计划增添人手，以下哪项需要首先被重新核定：A)项目预算B)项目的关键路径C)剩余任务量D)调配到其他项目的人员情况[单选题]57.私钥体系的安全级别依赖于什么的数目？A)密钥位B)发送的信息C)密钥D)使用的信道[单选题]58.高级管理层对IT战略计划缺乏输入引起最可能的结果：A)缺乏在技术上的投资。B)缺乏系统开发的方法。C)技术目标和组织目标不一致。D)技术合同缺乏控制。[单选题]59.下列哪种测试方法适用于业务连续性计划(BCP)?A)试点测试B)纸上测试C)单元测试D)系统测试[单选题]60.为了确保公司遵守隐私权要求，审计师应该首先审查：A)IT架构。B)公司的政策，标准和流程步骤。C)法律和法规要求。D)对公司的政策，标准和流程步骤的遵守。[单选题]61.IS审计师审查数据库控制时发现，在正常工作时间对数据库的修改需要一系列的标准程序，然而，正常时间之外，只需要很少步骤的操作就可以完成变更。对于这种情况，以下哪一项可以考虑作为适当的补偿控制？A)只允许数据库管理员账户进行修改B)在对普通用户帐户授权后，才可修改数据库C)使用DBA帐户进行修改，记录修改并日后审查修改日志D)使用普通用户帐户进行修改，记录修改并日后审查修改日志[单选题]62.在计算机机房中，活动地板最能够预防以下哪种情况的发生？A)计算机和服务器周围电线的损坏B)静电现象导致停电C)地震产生的冲击D)水灾的侵害[单选题]63.在规划审计时，信息系统审计师在以下情况下依赖第三方提供商有关服务水平管理的外部审计报告被认为是可接受的?A)服务提供商经过独立认证和认可B)报告确认并没有违反服务水平C)范围和方法符合审计要求D)报告是在过去12个月内发布的[单选题]64.在Internet应用中使用applets，最可能的解释是：A)它由服务器通过网络传输B)服务器没有运行程序，输出也没有经过网络传输C)改进了web服务和网络的性能D)它是一个通过网络浏览器下载的JAVA程序，由客户机web服务器执行[单选题]65.在识别出一个应当报告的发现之后，被审计机构立即采取了纠正措施。审计师应当:A)这一发现应当记录在最终报告中，因为审计师负责对所有调查结果的准确报告。B)不在最终报告中记录，因为审计报告只包括尚未纠正的发现。C)不在最终报告中记录，因为在审计过程中，审计师可以验证纠正措施。D)在离场会议上，将发现的情况仅作讨论目的。[单选题]66.登录流程包括创建唯一的用户ID和密码。然而，IS审计师发现，在大多数情况下，用户名和密码是相同的。降低这一风险的最好控制是：A)改变公司的安全政策。B)告知用户使用弱密码的风险C)建立验证，防止在创建用户和更改密码时出现此情况。D)要求定期审查的用户ID和密码，以进行检测和更改[单选题]67.信息系统审计师发现企业架构（EA）是采取最近当前状态的组织。不过，该组织已启动了一个独立的项目开展优化未来状态。信息系统审计师应该？A)建议单独的项目应尽快完成B)在审计报告中作为一个结论来报告这个问题C)推荐采用的Zachmann架构D)重新审核，把单独项目包括在新的范围内[单选题]68.Java小应用程序和ActiveX控件是在WEB上分发的并在客户端浏览器后台执行的程序。这种分发和执行活动在下面哪种情形下被认为是可行的？A)存在防火墙的时候B)使用安全WEB连接时C)可执行的文件来源可靠时D)主机网站属于组织的一部分时[单选题]69.数据分析的第一步是：A)确立所有权。B)执行重要性分析。C)定义访问规则。D)创建数据字典。[单选题]70.建立信息安全程序的第一步是:A)制定并下发信息安全标准手册B)信息系统审计师执行全面的安全控制检查C)采纳公司信息安全政策声明D)购买安全访问控制软件[单选题]71.企业当前正在替换其会计系统，以下哪一项策略能最有效地将升级中丢失数据完整性的风险降至最低?A)试点实施B)还原应急处理C)平行实施D)功能集成测试[单选题]72.以下哪一项能保护在电子邮件消息中发送的信息的机密性？A)数字签名B)加密C)数字证书D)安全哈希算法1（SHA-1）[单选题]73.IS管理层决定要安装第1级冗余阵列磁盘系统在所有服务器上，以补偿异地备份的缺失，IS审计师应建议:A)．升级到第5级的RAID、B)．增加现场备份的频率C)．恢复异地备份D)．在安全的位置建立一个冷站[单选题]74.发现IS项目范围发生变化而未执行影响分析时，最令IS审计师关注的是以下哪一项A)变化带来的时间和成本影响B)回归测试失败的风险C)用户不同意更改D)项目团队不具备作出必要更改的技能[单选题]75.一个组织采用控制自我评估（C、SA、）技术的首要受益是:A)可以识别那些稍后可能需要一个详细的检查的高风险地区。B)允许IS审计师独立的评估风险。C)可被用来替代传统审计。D)使管理层放弃控制的责任。[单选题]76.为了确保符合?密码必须是字母和数字的组合?的安全政策，信息系统审计师应该建议：A)改变公司政策B)密码定期更换C)使用一个自动密码管理工具D)履行安全意识培训[单选题]77.当检查IT基础设施时，IS审计师发现存储设备在持续增加，那么他应该：A)建议使用磁盘镜像B)检查异地存储的适当性C)检查能力管理的过程D)建议使用压缩规则[单选题]78.下列情况适用于软件托管协议？A)系统管理员需要访问软件，以便从灾难中恢复B)用户请求重新在一块换过的硬盘上加载软件C)定制化编写的软件供应商停业D)IT审计师需要访问由组织编写的软件代码[单选题]79.下面哪一项提供了最好的证据，关于安全意识教育程序是充分的？A)利益相关者，包括各级员工培训B)利益覆盖整个企业的所有地点C)不同厂商安全设备的实施D)定期审查和最佳实践比较[单选题]80.密码应该：A)在首次登录时由安全管理员分配。B)根据用户意愿每30天更换一次。C)经常重复使用以确保用户不会忘记密码D)显示在屏幕上以便用户确认密码已被正确输入。[单选题]81.以下哪一项资料库管理员行为不太可能被记录在检测性控制日志中？A)删除一个记录B)改变一个口令C)泄露一个口令D)改变访问权限[单选题]82.如果使用不当，以下哪项最有可能成为拒绝服务器攻击的帮凶？A)路由器配置和规则B)内部网络的设计C)路由器系统软件的更新D)审计测试和审查技术[单选题]83.当检查输入控制时，信息系统审计师发现企业一致性策略中，流程允许超级用户覆盖数据验证结果。此IS审计师应该：A)不关心，可能有其他修补控制来降低风险。B)确保覆盖会自动记录并接受检查。C)验证是否所有这些覆盖被提交给高级管理人员批准。D)建议不允许覆盖。[单选题]84.以下哪个方案可为关键应用程序的实施提供最佳的灾难恢复计划(DRP)?A)在公司外部存每日数据备份并在距主数据中心140千米处设立热备援中心B)在公司内部的防火保险箱中存储每日数据备份C)在主数据中心和距主站点500米的热备援中心之间进行实时数据复制D)在公司外部存储每日数据备份并在距主数据中心70千米处设立温备援中心[单选题]85.为防止伪装IP攻击,如果发生下列情况，防火墙应被配置为丢弃信息包：A)源路由域被激活B)在目的域中有播放地址C)重置标记（RST）为TC、P连接开启D)使用动态路由替代静态路由[单选题]86.为确保业务应用能成功地的离岸开发，下面哪项是最好的:A)严格的履行合同管理B)详细并且正确使用的说明书C)有文化和政策差异的意识D)部署后再检查[单选题]87.在契约性协议包含源代码第三方保存契约(escrow)的目的是：A)保证在供货商不存在时源代码仍然有效B)允许定制软件以满足特定的业务需求C)审核源代码以保证控制的充分性D)保证供货商已遵从法律要求[单选题]88.以下哪种保险类型可在发生员工欺诈时降低损失？A)业务中断B)忠实覆盖C)错误和疏忽D)额外费用[单选题]89.以下哪项操作在作业高峰时期会导致意外停机？A)执行数据迁移或磁带备份。B)执行电气系统的预防性维护。C)把应用从开发环境推广到分期生产环境。D)更换数据中心的核心路由器上的故障电力电源。[单选题]90.作为IT治理的一个驱动力，IT成本、价值和风险的透明度的取得主要通过：A)绩效测量B)战略调整C)价值交付D)资源管理[单选题]91.建议对交易处理申请进行多个数据快照和打印电子表格的作用是为了确保交易在处理过程中不丢失，IS审计师应当建议应当包括以下那种控制A)确认控制B)内部可信性检查C)文件控制程序D)自动系统平衡性检查[单选题]92.当审计组织的IT治理和IT风险管理框架实践，信息系统审计师发现一些未经定义的IT管理和治理的职责。以下哪条建议是最合适的？A)审评IT与业务战略的一致性B)在组织内实施责任的规则C)确保独立的定期进行的IT审计D)建立首席风险官（CRO）在组织中的职责[单选题]93.运用WEB服务进行两系统间信息交换的最大优点是A)安全通信B)改良的性能C)有效的接口连接D)增强的文件系统[单选题]94.审计师为了审计公司的战略计划，以下哪项第一个检查？A)目前架构的细节。B)去年、今年、明年的预算。C)组织流程图。D)公司的业务计划。[单选题]95.在IS审计期间，所收集数据的范围应根据以下哪个选项确定:A)关键和必需的信息的可用性B)审计师对环境的熟悉程度。C)受审方查找相关证据的能力。D)正在执行的审计的目的和范围。[单选题]96.信息系统审计师在评估制定计划的关键绩效指标(KPI)时,最重要是KPI指出:A)IT交付结果是过程驱动的B)IT解决方案在预算范围内C)IT资源得到充分利用D)IT目标经过衡量[单选题]97.当安装一个入侵检测系统时，以下哪一项最重要？A)安装于网络的适当位置B)防止拒绝服务攻击C)确定需要被隔离的信息D)拒绝错误最小化[单选题]98.在未受保护的通信线路上传输数据和使用弱口令是一种？A)弱点B)威胁C)可能性D)影响[单选题]99.在末次会议上，如果对某项审计发现的影响存在分歧，信息系统审计师应该：A)要求被审计单位签署一份申明以授权全部的法律责任B)详细阐述审计发现的重要性和不纠正这种错误的风险C)将分歧报告给审计委员会以寻求解决D)接受被审计单位的立场因为他们是流程的所有者[单选题]100.IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统。与使用大型机相比，使用局域网和个人计算机所增加的风险，不包括哪一项？A)缺乏程序文件以确保完全捕捉数据。B)驻留在个人计算机上的数据安全性较差。C)数据处理的硬件使用故障所引发的问题。D)不完整的数据传输。[单选题]101.下面哪一条措施不能防止资料泄漏？A)数据冗余B)数据加密C)访问控制D)密码系统[单选题]102.IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么，他/她该怎么做？A)无需做什么。因为只有处理能力低于正常的25%，才会严重影响企业的生存和备份能力48B)找出可以在备用设施使用的应用，其他业务处理采用手工操作，制订手工流程以备不测C)找出所有主要的应用，确保备用设施可以运行这些应用D)建议相关部门增加备用设施投入，使其能够处理75%的正常业务[单选题]103.当制定风险管理方案，首先要执行的活动是什么？A)威胁评估B)分类数据C)资产清单D)紧急性分析[单选题]104.已要求信息系统审计师审查总账系统中的数据质量。以下哪一项将为审计师提供最有意义的结果？A)与系统所有者和操作员面谈B)根据源文档进行完整性检查C)系统漏洞评估D)与企业主讨论最大账户价值[单选题]105.下列那一项能保证发送者的真实性和e-mail的机密性？A)用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息散列(hash)B)发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)C)用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息。D)用发送者的私钥加密消息，然后用接收者的公钥加密消息散列(hash)[单选题]106.当对符合性进行测试时，以下哪种抽样方法是最有用的？A)属性抽样B)变量抽样C)分层单位均值抽样D)差异估计[单选题]107.下列哪一个控制在确保和保持系统的连续可用性方面最有效？A)对系统变更的适当授权B)基于按需授权的用户访问原则C)适当的记录变更D)实时监控[单选题]108.以下哪项功能由虚拟专用网络（VPN）执行A)向网络中的探嗅器隐藏信息B)实施安全政策C)检测滥用或错误D)控制访问[单选题]109.由于监管需要一些敏感数据必须要长期保存，下列哪项是评估这些敏感数据备份方案的最重要的衡量标准?A)全部备份窗口B)介质成本C)恢复窗口D)介质的可靠性[单选题]110.在这些阶段出现错误所造成的影响相对较小。以下哪项最有可能是实施标准化基础设施的好处?A)提高服务交付和运作支持的成本效益B)提高IT服务交付中心的安全性C)降低在IT基础设施方面的投资D)减少未来对应用程序变更进行测试的需要。[单选题]111.为某航空公司的订票系统设计业务连续性计划时，最适用于异地数据转移/备份的方法是A)影子文件处理。B)电子远程磁带保存。C)硬盘镜像。D)热备援中心配置。[单选题]112.某小型公司无法隔离开发流程与变更控制职能之间的职贵。确保经过测试的代码与转入生产的代码完全一样的最佳途径是什么?A)发布管理软件B)手动代码比对C)生产前回归测试D)管理层批准变更[单选题]113.审计业务连续性计划(BCP)期间，某1S审计师发现，尽管所有部门在同一建筑物中办公，但是每个部门都有各自独立的BCP。该IS审计师建议协调BCP。应该首先协调以下哪一个领域?A)疏散计划B)恢复优先级C)备份存储D)呼叫树[单选题]114.对于将应用程序从测试环境转换到生产环境，最好的控制是由：A)应用程序员拷贝源程序并编译目标代码到生产库中B)应用程序员拷贝源程序到生产库，然后让生产控制小组编译源程序C)生产控制小组用测试环境中的源代码，编译目标模块到生产库中D)应用程序员拷贝源程序到生产库中，然后编译源程序[单选题]115.在制定作业政策时使用自顶而下的方法有助于确保这些政策A)在整个组织内保持一致B)被作为风险评估活动的一部分得以实施C)符合组织中其他政策D)能被定期审核[单选题]116.下列哪一项可以提供新职员正直度的最好保证?A)背景经历B)参考－介绍C)亲密关系－信用D)简历上的资格证书列示[单选题]117.与重新启动检查点流程相关的逻辑暴露是：A)拒绝服务B)异步攻击C)线路窃听D)计算机关机[单选题]118.要确定哪些用户能够访问特许监督状态，IS审计师应审查以下哪一项内容？A)系统访问日志文件B)所启用的访问控制软件参数C)访问控制违规行为日志D)所用控制选项的系统配置文件[单选题]119.功能确认用于：A)作为ED、I交易的审计踪迹B)功能性地描述IS部门C)证明用户角色和职责D)作为应用软件的功能描述[单选题]120.在服务外包的情况下，下面哪个选项是最重要的，由IS管理层执行的功能？A)保证发票已付款给提供商B)和提供商一起参与系统设计C)与提供商洽谈费用D)监控外包提供商的性能[单选题]121.以下哪项可衡量生物识别系统的准确性：A)系统响应时间。B)注册时间。C)输入文件大小。D)误接受率（FAR）。[单选题]122.每感染一个档就变体一次的恶意代码称为：A)逻辑炸弹B)隐秘型病毒C)特洛伊木马D)多态性病毒[单选题]123.某企业使用特权帐户处理关键任务应用程序的配置变更。此时，以下哪个选项属于限制风险的最佳且恰当的控制?A)确保审计轨迹正确具体B)确保人员经过足够的培训。C)确保已对关键人员进行人员背景调查。D)确保管理层已对关键变更进行审批和审查。[单选题]124.一位负责重大项目的技术主管已从组织离职。项目经理报告在一台可供整个团队访问的服务器上存在可疑系统活动。进行取证调查期间发现以下哪项时最需要引起关注？A)没有为系统启用审计日志。B)仍然存在该技术主管的登录ID。C)系统中安装了间谍软件。D)系统中安装了木马程序。[单选题]125.一个工作于重要项目的技术领导离开了公司。项目经理报告了一台服务器上可疑的系统行为，该服务器全组可访问。如果这在一次司法调查中被发现，什么是最重点关注的？A)系统审计日志没有启用B)该技术领导的登录ID、仍然存在C)系统中安装了间谍软件D)系统中安装了一个木马[单选题]126.要确保维持有效的应用控制，以下哪个选项最重要?A)异常报告B)管理者参与C)控制自我评估(CSA)D)同行评审[单选题]127.如果IS审计师与部门经理对审计结果存在争议，争议期间审计师应首先采取以下哪项行动A)对控制进行重新测试，以验证审计结果B)邀请第三方对审计结果进行验证C)将审计结果记入报告，同时注明部门经理的意见D)对支持审计结果的证据进行重新验证[单选题]128.在公钥体系结构中，注册中心用于？A)验证请求证书的主体提供的信息B)当主体相关属性得到验证并生成密钥后发布证书C)给信息加上数字签名以确保签署信息的不可抵赖性D)注册签署的信息以确保它们的不可抵赖性[单选题]129.下列哪项是交叉培训的风险？A)增加了对员工的依赖B)不能协助继任计划C)一个员工可能知道系统的所有部件D)无助于实现业务连续性[单选题]130.下列哪一项应被认为是网络管理系统实质性特征？A)绘制网络拓扑的图形化界面B)与因特网互动解决问题的能力C)连接服务台获得解决疑难问题的建议D)将数据输出至电子表格的输出设备[单选题]131.检查操作系统安全配置的IS审计师应该审查:A)交易日志B)授权表C)参数设置D)路由表[单选题]132.建立可接受风险的级别是下面哪个的责任：A)质量评估管理B)高级业务管理C)首席信息官D)首席安全管[单选题]133.以下哪个选项可被执行审计的IS审计师评估为预防性控制?A)交易日志。B)前后图像报告C)表格查找D)跟踪和标记[单选题]134.由公认的组织认证企业的公钥是必要的，因为？A)向公众提供的密钥可能已经被取消B)每个人都可以访问企业的公钥C)企业的私钥是不公开的D)企业公钥可能不与被使用的私钥关联[单选题]135.以下哪一项属于所有指令均能被执行的操作系统模式？A)问题B)中断C)监控D)标准处理[单选题]136.当一个组织对其网络实施远程虚拟专用网络（VPN）访问时，最普遍存在的安全风险是什么？A)可能在整个网络中传播恶意代码B)VPN登录可能受到欺骗C)可能嗅探和解密流量D)可能损害VPN网关[单选题]137.以下除哪一项外都是SLA的检查标准？A)业务需求的年审和重新认可。B)确信预期的服务被清晰的定义。C)确信准备了监测和上报流程。D)确信服务提供者给所有同级的客户提供服务。[单选题]138.一家跨国销售组织正在制定新的计划，希望通过移动电话向客户提供信息服务。这家组织雇佣的IT经理的主要职责是：A)执行可行性分析B)评估技术实力C)准备业务案例D)寻找解决方案提供商[单选题]139.以下哪项对于降低从企业内部发出的电子邮件导致数据泄露风险最有效?A)执行自动化内容检查和对目标对象的监控B)执行渗透测试和漏洞评估C)安装软件检查电子邮件附件的数据分类D)实施入侵检测和防御系统[单选题]140.信息系统审计师在审查一个人力资源（HR）数据库时发现，该数据库服务器使用集群以保障高可用性，所有的默认数据库账户已被删除，数据库审计日志进行了保存并且每周进行审查。为了确保数据库得到适当的安全，设计师还应该检查其它的什么方面？A)数据库数字签名；B)利用随机数和其他变数对数据库加密；C)启用数据库戒指访问控制（MAC）地址认证；D)数据库初始化参数。[单选题]141.某IS审计师正在对一个基于WEB的关键系统的安全控制进行实施前审查。透测试结果尚不确定，并且在实施前无法最终得出结果。以下哪项是该IS审计师的最佳选择?A)根据可用信息发布一份报告，突出强调潜在的安全漏洞，并要求进行后续审计测试B)发布一份报告，忽略没有从测试中获得决定性证据的领域C)请求延迟实施日期，直到能够完成其他安全测试且能够获得相应控制证据。D)通知管理部门审计工作无法在实施前完成，并且建议推迟审计。[单选题]142.在一个有多子系统的远程访问网络里，下面哪个选项是最好的控制？A)代理服务器B)安装防火墙C)网络管理员D)密码实施及管理[单选题]143.一个组织有一个集成开发环境（IDE），程序库在服务器上，但是修改/开发和测试是在PC工作站中进行的，下列哪一项是IDE的一个优势？A)分散的多个程序版本控制B)扩大编程资源和工具使用C)增加程序和处理的完整性D)防止有效的变更被其他变更覆盖[单选题]144.以下哪种泄漏可能是由检索技术引起A)未经授权的数据访问B)过度的CPU周期使用C)终端轮询的锁定D)多路复用器控制功能障碍[单选题]145.在进行灾难恢复审计时，IS审计师会认为下列中的哪一项最需要进行审查?A)签订某热备援中心，并且该站点在需要时可用。B)具有现行业务连续性手册。C)承保范围得当并且按时支付当期保险费。D)及时备份存储介质并实施异地存。[单选题]146.信息系统审计师审核的是一个组织的IT战略计划，首先应该评审：A)现有的IT环境B)商业计划C)目前的IT预算D)目前的技术趋势[单选题]147.在进行业务连续性计划(BCP)测试中，宜执行下列哪一项任务?A)审查备用处理站点合同B)评估异地处理站点的安全性C)评估对关键信息的恢复能力D)审查保险的承保范围[单选题]148.确保系统税金计算准确性的最好方法是：A)详细的可视化审阅以及分析计算程序的源代码B)使用通用审计软件来重新生成程序逻辑以计算每月加总数C)比较模拟交易产生的结果和预先设定的结果D)绘制自动流程图以及分析计算程序的源代码[单选题]149.某公司和外部咨询公司签约实施商业金融系统以替换现存的自开发系统。在审核提交的开发文档时，下面哪一项最值得重视？A)由用户来控制验收测试B)质量控制计划不是合同的一部分C)在初步实施时不包括所有的商业功能D)原型法被用于确保系统符合商业需求[单选题]150.以下哪一项是IS审计师应该建议用于帮助记录软件发布版本基线？A)变更管理。B)备份和恢复。C)事件管理。D)配置管理。[单选题]151.在程序变更控制的评估期间，IS审计师使用源代码比较软件的目的是A)在不需要IS人员提供信息的情况下，检査源程序的变更。B)检测源程序从获得源的副本到比较运行这段时间内所经历的变更。C)确认控制副本是当前版本的生产程序D)确保检测到当前源副本中的所有变更。[单选题]152.在审计数据中心的安全性时，IS审计师应查明是否存在电压调节器，以确保：A)防止硬件遭遇电涌。B)在主电源中断时保持完整性。C)在主电源丢失时立即供电。D)防止硬件遭遇长期电源波动[单选题]153.下列哪个是整合性测试（ITF）的优点？A)ITF使用实际主文件或者替代文件，从而可以使信息系统审计师不用审阅交易的来源B)周期性的测试不需要独立的测试过程C)ITF可以验证应用系统的有效性并且对运行中的操作系统进行测试D)ITF省去了准备测试数据的麻烦[单选题]154.一个程序员恶意地修改了生产程序代码以改变数据，随后又恢复了源代码。下列哪一项是发现这个恶意行为的最有效的：A)比较源代码B)检查系统日志文件C)比较目标代码D)比较可执行代码和源代码的完整性[单选题]155.热站将被作为恢复策略，当：A)灾难容忍程度很低的时候B)恢复点目标很高的时候C)回复时间目标要求高的时候D)灾难容忍很高的时候[单选题]156.下面用于使用实际资源模仿系统事故对持续性计划进行测试的方法中，对于获得计划有效性的证据，哪个最具有成本效益性的？A)纸上推演B)全面测试C)预备测试D)穿行测试[单选题]157.一个组织正在考虑连接一台基于PC的紧急系统到互联网。下面哪一项能提供防止攻击最大的保护？A)一个应用层的网关。B)一个远程访问服务。C)一个代理服务。D)端口扫描。[单选题]158.在对系统开发项目的可行性研究进行审计时，信息系统审计师应该:A)审查成本效益文档以了解项目合理性B)审查需求请求书以确保其包含了全部工作范围C)确保法律顾问已查看供应商合同D)审查项目小组主要成员的资格[单选题]159.以下哪一项修补实践是信息系统审计师的最大担忧？A)自动作业计划在工作时间内更新应用程序补丁B)关键业务服务器的补丁被延迟，等待应用程序管理员的审查C)过去一年内尚未审查修补程序管理政策。D)系统管理员在不咨询供应商的情况下执行服务器修补[单选题]160.要检测防火墙无法识别的攻击尝试，IS审计师应建议将网络入侵检测系统（IDS）安置在：A)防火墙和组织网络之间B)互联网和防火墙之间C)互联网和Web服务器之间D)Web服务器和防火墙之间[单选题]161.在对会计应用的内部数据完整性控制执行审计时，IS审计师发现在支持会计应用的变更管理软件中存在严重的控制缺陷。此时，IS审计师最适合采取以下哪项操作:A)继续测试会计应用控制，并向T经理告知缺陷，提出可能的解决方案。B)完成审计，但不报告控制缺陷，因为它不在审计范围之内。C)维续测试会计应用控制，并在最终报告中说明缺陷。D)停止所有审计活动，直到缺陷得到解决。[单选题]162.数位签名可以有效对付哪一类电子信息安全的风险？A)非授权地阅读B)盗窃C)非授权地复制D)篡改[单选题]163.企业使用公共密钥基础结构(PKI)来确保电子邮件安全性,以下哪一项是确定电子邮件消息是否在传输过程中已被修改的最有效方法?A)邮件通过安全传输层(TLS)协议发送B)邮件使用发送者的私人密钥加密C)邮件使用对称算法加密D)邮件连同加密的散列(hash)消息-起发送[单选题]164.以下哪一项是防止未经授权使用数据的最有效的方法？A)自动的文件入口B)磁带库C)访问控制软件D)数据库锁定[单选题]165.一个组织的灾难恢复计划的基础是，在一个类似的但不是相同的备份的硬件配置已经建立的站点，重新建立继续生存处理，信息系统审计师应该：A)在现在计划发现重大缺陷前不做任何行动B)建议所有站点的配置保持一致C)通过再审来校验备份地配置能够满足继续生存处理的要求D)报告在备份站点上的财务支出在没有应该有效计划的情况下是浪费的[单选题]166.通常要在系统开发中的以下哪个阶段做好用户验收测试计划的准备?A)可行性分析B)需求定义C)计划实施D)实施后审查[单选题]167.下面有几项保证通信线路连续性的方法，其中通过拆分或复制电缆设备来实现路由网络流量的方法称为？A)替换式通讯线路B)分集式通讯线路C)分集式长途网络连接D)最后一公里的电路保护[单选题]168.下列哪一项能防止数据库中不稳定元组的出现？A)循环的完整性B)域的完整性C)相关的完整性D)参照的完整性[单选题]169.一个知识库专家系统，在得到结论打到共识之前它会采用调查问卷让用户经过一系列选择，称它为：A)规则B)决策树C)语义图D)数据流图[单选题]170.一个IS审计师对一项应用的控制进行了检查,将会评估:A)该应用在满足业务流程上的效率。B)任何被发现风险影响。C)业务流程服务的应用D)应用程序的优化。[单选题]171.下述最佳实践，在新信息系统正式开发计划在哪个期间：A)开发阶段B)设计阶段C)测试阶段D)部署阶段[单选题]172.以下哪一项最适当的描述了IS审计师和被审计单位就审计发现进行讨论的目的？A)把审计结果告知高层管理人员B)为所提的建议制定出实施时间表C)确认审计发现，并制定纠正措施的实施计划D)为识别的风险确定补偿控制[单选题]173.当对电子资金转账系统的结构执行审查时，信息系统审计师观察到技术架构是基于集中处理的方案，该方案已经外包给另一个国家的服务商。根据这个信息，下面哪一项结论是信息系统审计师最关心的？A)关于法律权限方面可能会存在问题B)拥有国外的服务商会导致在未来的审计中产生额外的费用C)因为距离的原因，审计过程将会是困难的D)可能会存在不同的审计标准[单选题]174.下列哪些加密选项会增加开销/成本？A)对称加密比非对称加密B)长的非对称加密密钥的使用C)哈希加密比信息更增加成本D)安全密钥的使用[单选题]175.以下哪一项能为确定信息系统审计的范围和计划提供最有用的信息?A)行业最佳实践B)风险评估结果C)控制自我评估结果D)可用的审计资源[单选题]176.在审计某第三方IT服务提供商时，某IS审计师发现未按合同要求进行访问审查。该IS审计师应:A)向IT管理层报告该问题。B)与服务提供商讨论该问题。C)执行风险评估。D)执行访问审查。[单选题]177.使用剩余生物识别信息获取未授权访问权限是以下哪种攻击的示例？A)重放B)穷举C)密码D)模拟[单选题]178.下面哪一项攻击技术会因互联网防火墙的固有安全漏洞成功?A)对网站发送过量数据包B)网络钓鱼C)针对加密密码的字典攻击D)拦截数据包并查看密码[单选题]179.对于一个在线的销售系统，对其大量的数据库的最好的备份策略是什么？A)，每周完整备份与每日增量备份B)，每日完整备份C)，群集服务器D)，镜像硬盘[单选题]180.审计师正在检查一个最近完成的一项新的企业资源计划（ERP）系统的迁移。作为迁移流程的最后阶段，该组织在新系统运行前，让新老系统共同运行30天，什么是该组织应用此策略最显著的优势？A)与其他测试结果相比有效的成本节约B)确保新的硬件与新的系统兼容C)确保新的系统能够满足功能需求D)增加运行处理的弹性时间[单选题]181.以下哪个选项能够成为保证业务和IT之间战略一致性的最佳促成元素?A)成熟度模型B)目标和指标C)控制目标D)执行人、责任人、咨询人以及被通知人(RACI)图[单选题]182.如果信息系统审计师发现并不是所有的员工都了解公司的信息安全政策，那么审计师可以得出的结论是：A)导致员工无意的泄漏公司敏感信息B)信息安全不能对所有业务起作用C)信息系统审计师应对员工进行安全培训D)审计发现将导致管理层对采取行动对员工进行持续的培训[单选题]183.收到经过初始签名的数字认证后，用户解密认证时所使用的公钥由谁提供?A)注册机构(RA)。B)认证颁发机构(CA)C)认证库。D)接收者[单选题]184.在软件开发的测试阶段结束时，IS审计师观察到一个中间软件错误没有被改正。没有采取措施解决这个错误。IS审计师该：A)报告这个错误，让被审计对象的仲裁委员会进行一步研讨这个错误B)尝试解决错误C)建议提升问题级别D)忽视错误，因为不能获得软件错误的客观证据[单选题]185.以下哪一項是進行IT相關業務投資可以直接帶來的利益？A)提高企業名聲B)提升員工士氣C)使用了新的技術D)增加市場競爭力[单选题]186.企业的业务持续性计划中应该以记录以下内容的预定规则为基础A)损耗的持续时间B)损耗的类型C)损耗的可能性D)损耗的原因[单选题]187.能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是：A)将每次访问记入个人信息（即：作日志）B)对敏感的交易事务使用单独的密码/口令C)使用软件来约束授权用户的访问D)限制只有营业时间内才允许系统访问[单选题]188.项目开发过程中用来检测软件错误的对等审查活动称为：A)仿真技术B)结构化走查C)模块化程序设计技术D)自顶向下的程序构造[单选题]189.资料管理员负责：A)维护资料库系统软件B)定义资料元素、资料名及其关系C)开发物理资料库结构D)开发资料字典系统软件[单选题]190.黑客无需使用计算机工具或程序就可以获得密码的技术是：A)社会工程。B)嗅探器。C)后门。D)特洛伊木马。[单选题]191.IS审计师在实施详细的网络评估和访问控制审核时,他应该首先做的是:A)确定系统进入点B)评价用户的访问授权C)评估用户识别和授权D)评估域控制服务器的配置[单选题]192.信息系统审计师通过互联网进行渗透测试时应：A)评价配置B)检查安全设置C)确保病毒扫描软件在工作D)使用黑客工具和技术[单选题]193.在審核入侵檢測系統的部署時如果發現下列情況，信息系統審計師最應關注的是：A)入侵檢測系統的感應器被放置在防火牆之外B)基於行為的入侵檢測系統引起大量錯誤警報C)基於簽名的入侵檢測系統無法檢測某些新的攻擊類型D)入侵檢測系統被用於檢測加密的流量[单选题]194.在审计公司的电子邮件通信存档时，IS审计师最应关注:A)是否存在数据保留政策。B)存档解决方案的存储容量。C)用户对电子邮件使用的认知水平D)存档解决方案提供商的支持和稳定性。[单选题]195.一位信息系统审计师在检查IT安全风险管理程序，安全风险的测量应该:A)列举所有的网络风险B)对应IT战略计划持续跟踪C)考虑整个IT环境D)识别对(信息系统)的弱点的容忍度的结果[单选题]196.当员工使用便携式媒体（MP3播放器，闪存驱动器）时IS审计师应该最关注:A)．在上面复制敏感信息B)．在上面复制歌曲和影片C)．所有员工的这些设备成本费用加起来非常高D)．他们可能会使恶意代码在企业网络传播[单选题]197.某IS审计师检查了一个无窗机房，其中包括电话交换和联网设备以及文档夹。该机房配有两个手持灭火器-一个是CO2灭火器，另一个是卤化物气体灭火器。下列哪一项应在审计师的报告中具有最优先级？A)移走卤化物灭火器，因为卤化物会对大气臭氧层产生负面影响。B)在密闭机房中使用时，两种灭火系统都有导致窒息的危险。C)移走CO2灭火器，因为CO2对于涉及固体可然物（纸张）的火灾是无效的。D)将文档夹从设备机房中移走，从而降低潜在风险。[单选题]198.IS审计师进行应用维护审计，检查程序变更日志是为了（验证）：A)程序变更经过授权B)当前目标程序产生的数据C)实际程序变更的数量D)当前源程序产生的数据[单选题]199.从控制观点出发，工作说明书的关键要素是他们:A)提供如何做这项工作的指令并定义权限B)对员工来说是当前的、比较容易得到的和文档化的C)传达了管理层对特定工作绩效的期望值D)建立了员工行为的职责和可问责制[单选题]200.以下对社会工程学攻击解释中最接近的是：A)计算机存在逻辑错误B)人做出错误判断C)攻击者的计算机知识D)多种攻击技术复合[单选题]201.组织的战略计划会有以下哪项目标?A)测试新的会计软件包B)对信息技术需求执行评估。C)在紧接着的12个月内实施新的项目计划系统。D)成为所提供产品的首选供应商。[单选题]202.IS审计师审查组织的数据文件控制程序，发现事务处理用的是最新文件，而重启程序用了以前的版本。IS审计师应该建议实施以下操作：A)源文件保留B)数据文件安全C)版本使用控制D)一对一检查[单选题]203.要确定有权使用特定系统资源的人员，IS审计师应审查：A)活动列表B)访问控制列表C)登录ID列表D)密码列表[单选题]204.下面哪一项技术是通过将自身添加到文件上以抵御病毒侵害的？A)行为阻断B)完整性检查C)免疫D)实时监控[单选题]205.一个组织使用ERP，下列哪个是有效的访问控制？A)用户级权限B)基于角色C)细粒度D)自主访问控制[单选题]206.下列哪一种方法最适用于确保IT策略符合业务策略?A)IT价值分析B)关键路径分析C)收支平衡点分析D)业务影响分析[单选题]207.公司数据库管理员(DBA)的一台笔记本电脑被盗，其中包含生产数据库密码文件。该企业应首先采取什么行动A)向IS审计部门发送报告B)更改DBA账户名称C)暂停DBA账户D)更改数据库密码[单选题]208.对IS审计师而言，验证关键生产服务器是否在运行供应商发布的最新安全更新的最佳途径是以下哪一项?A)确保在关键生产服务器上启用自动更新。B)在生产服务器样机上手动验证已应用修补程序。C)审查关键生产服务器的变更管理日志。D)在生产服务器上运行自动化工具，以验证安全修补程序。[单选题]209.代码在生产发布时被错误地移除，其后绕过正常的变更程序，被转入生产环境。对执行实施后审查的IS审计师而言，以下哪一项最值得关注?A)代码在初步实施时被遗漏。B)变更未经管理层批准。C)错误在实施后审查过程中被发现。D)发布团队使用了相同的变更顺序号[单选题]210.以下哪一项控制在跨网络传输数据时最有效地检测到数据意外损坏?A)对称加密B)奇偶校验C)校验数字位验证D)顺序检查[单选题]211.下列哪个选项是网络服务器最通常用的C、GI(普通网关接口)？A)传输数据到应用程序又返回到用户B)电影电视的电脑图像处理C)网络设计的用户图形界面D)访问个人网管域的接口[单选题]212.一家公司部署了一套新的C、S企业资源管理（ERP）系统。本地分支机构传送客户订单到一个中央制造设施，下列哪个最好地保证了订单准确地输入和相应的产品被生产了？A)验证产品和客户订单B)在ERP系统中记录所有的客户订单C)在订单传输过程中使用hA、sh总数D)（产品主管）在生产前批准订单[单选题]213.下面哪个选项是IS审计员最关心？A)缺少对成功的网络攻击报告B)没有将入侵尝试告之警察C)缺少定期检查访问权限D)没有将入侵告之公众[单选题]214.信息系统审计员是被安全管理告知，病毒扫描程序是实时升级的。信息系统审计员确认了病毒扫描程序是被配置为自动升级。信息系统审计员下一步应该确认什么控制是有效的？A)与供应商确认最新版本的病毒定义模式B)检查日志并且确认病毒样本是被更新的C)与安全管理员确认最近一次升级的病毒样本D)信息系统审计员已经做了足够的工作不需要进一步的工作[单选题]215.数据保护最重要的目标是以下项目中的哪一个?A)识别需要获得相关信息的用户B)确保信息的完整性C)对信息系统的访问进行拒绝或授权D)监控逻辑访问[单选题]216.当审计师使用不充分的测试步骤导致没能发现存在的重要性错误，导致以下哪种风险：A)业务（商业）风险。B)检查风险。C)审计风险。D)固有风险。[单选题]217.一个IS审计员从客户的数据库中导入了数据。为确认数据的完整性，下一步操作应该是:A)匹配导入数据和原始数据的控制总数B)排序数据以确认数据是否与原始数据有相同顺序C)比对打印出的原始数据和导入前100条记录D)用不同的分类方式过滤数据并与原始数据匹配[单选题]218.进行合规性测试时，以下哪种抽样方法最有用?A)属性抽样B)变量抽样C)分层单位均值抽样D)差异估计抽样[单选题]219.在有完整性索引的关系型数据库中，以下哪一个KEY可以防止在用户表中删除一行，只要该行的用户数在顺序表中有一个特定的顺序A)外键B)主键C)次键D)公钥[单选题]220.采用控制自我评估(CSA)技巧的组织可获得的一个主要好处是:A)可确定可能在以后需要详细检查的高风险区域。B)允许IS审计师独立评估风险C)可取代传统审计。D)允许管理层放手控制职责。[单选题]221.IS审计师在发布的审计报告中指出边界网络网关没有防火墙保护机制，并建议使用某供应商的产品来应对这个脆弱性。这里审计师的错误表现在？A)职业独立性B)组织独立性C)技术能力D)职业技能[单选题]222.下面哪个邮件过滤技术能够最好的提供一个有效的，可信的报文包括重要摘要关键字：A)启发式B)基于信号C)模式匹配D)贝叶斯[单选题]223.当一项服务被外包后，下列哪项功能对信息系统管理是最重要的？A)确保发票支付给供应商B)参与到和供应商一起的系统设计中C)重新谈判供应商的费用D)监控外包商的绩效[单选题]224.信息资产足够的安全措施的责任属于：【已经理解】A)数据和系统所有者，例如公司管理层B)数据和系统保管者，例如网络管理员和防火墙管理员C)数据和系统用户，例如财务部D)数据和系统经理[单选题]225.以下哪一项是制定审计目标的最主要依据?A)商业策略B)之前审计的评估C)审计风险D)风险考虑[单选题]226.在进行逻辑访问控制审查时，某IS审计师发现用户帐户是共享的。此种情况带来的最大风险是：A)未经授权的用户使用此ID来获取访问权B)用户访问管理非常费时。C)密码很容易被猜出。D)无法建立用户问责制度。[单选题]227.IS审计师在核实互联网服务商（ISP）是否遵守外包电信服务可用性的企业服务水平协议（SLA）时，以下哪个报告属于最合适的信息来源？A)ISP提供的通讯服务故障报告B)企业生成的自动故障切换服务应用报告C)ISP提供的宽带使用报告D)企业提供的通讯服务故障报告[单选题]228.一个组织使用对称加密方法。下列哪种原因会导致组织改成非对称加密法？因为对称加密：A)提供真实性确认B)比非对称加密更快C)能导致关键管理变得困难D)要求相对简单的算法[单选题]229.在应用程序审计期间，IS审计师发现数据库中存在很多因数据损坏而导致的问题，下列哪一个是信息系统审计人员应该推荐的纠正性控制？A)定义标准，并且严格实时监控其执行B)明确只有授权人能更新数据C)建立处理并发访问问题的控制D)进行恢复程序[单选题]230.某公司将信息系统功能外包出去。要满足灾难恢复的需要，该公司应该：A)将灾难恢复的评估工作委托给内部审计部门。B)与外包供应商协调灾难恢复管理措施。C)将灾难恢复的评估工作委托给第三方。D)停止灾难恢复计划的维护工作。[单选题]231.用于确定应用程序系统需要建立多少控制的标准不包括以下哪项内容？A)数据在系统中的重要性。B)应用网络监测软件的可行性。C)某项活动或处理没有受到适当控制所产生的风险水平。D)每种控制措施的效率、复杂性和费用。[单选题]232.以下哪种方环境控制可以保护计算机设备免受电力短期降低的影响？A)电源线调节器B)电涌保护设备C)备用电源D)间断电源[单选题]233.一个组织发现首席财务总监（CFO）的个人电脑已经感染了包含一个按键记录器和一个rootkit隐藏进程的恶意软件。应当采取的第一个行动是：A)与有关执法当局练习展开调查。B)迅速确认没有额外的数据受到损害。C)从网络断开计算机。D)更新PC上的防病毒签名，以确保恶意软件或病毒被检测和清除。[单选题]234.在评估软件开发行为时，一名IS审计师发现，开源软件组件用在了为客户设计的应用程序中。关于开源软件的使用，该审计师最关注什么?A)客户不为开源软件组件付费。B)组织和客户必须守开源软件许可条款。C)开源软件具有安全漏洞。D)开源软件对商业用途不可靠。[单选题]235.在对于存货的应用系统的审计过程中，以下哪项证据可以表明采购订单式有效的A)测试是否有不适当人员可以改变应用程序参数B)追踪采购订单至计算机中系统中的列表C)比较收到的报告和采购订单D)复核应用系统的记录[单选题]236.数据中心环境下最适合使用以下哪种消防系统?A)湿式喷水灭火系统B)干式喷水灭火系统C)FM-200系统：七氟丙烷气体灭火器D)二氧化碳型灭火器[单选题]237.信息系统未能满足用户需求的最常见原因是A)用户需求不断变化。B)未能准确预测用户需求的增长。C)硬件系统限制并发用户数D)用户参与定义系统要求的程度不够。[单选题]238.区别脆弱性评估和渗透测试是脆弱性评估：A)，检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失。B)，和渗透测试为不同的名称但是同一活动。C)，是通过自动化工具执行，而渗透测试是一种完全的手动过程。D),是通过商业工具执行，而渗透测试是执行公共进程。[单选题]239.下列哪一种情况会损害计算机安全政策的有效性？A)发布安全政策时B)重新检查安全政策时C)测试安全政策时D)可以预测到违反安全政策的强制性措施时[单选题]240.哪一类风险对于抽样方法的选择影响最大？A)控制风险B)残留风险C)检测风险D)固有风险[单选题]241.以下组织的哪种程序最适合收集、汇总和存储不同的日志和事件文件。然后为IT审计师按周按月产生报告A)安全信息事件管理产品B)相关的开放源码设施C)日志管理工具D)摘录、转换、装载（ETL）系统[单选题]242.一家组织的云计算策略为采用外部提供商的软件即服务（SaaS）模式，在审计其云计算策略时，以下那个选项是最令IS审计师关注的？A)必须执行工作站升级B)软件的长期购置成本偏高C)与提供商签订的合同中不包括现场技术支持D)没有全面确定提供商的事故处理流程[单选题]243.用户被分发了安全令牌用来与PIN联合使用访问组织的虚拟专用网络。对于PIN来说，包含在安全策略里面最重要的一条规定是:A)客户不应该把令牌留在能够被人偷盗的地方B)客户不得把令牌保持在他们笔记本电脑的同一个包之内C)客户应该选择完全随机的，没有重复数字的pinD)客户绝对不可以写下pin[单选题]244.要实现有效的IT治理，组织的结构和流程应确保:A)风险维持在IT管理可接受的水平。B)业务战略源自IT战略。C)治理与总体治理分离，且有所不同。D)IT战略是对组织的战略和目标的扩展。[单选题]245.功能性是与整个软件产品生命周期内的质量评估相关的特性，将其描述为与以下哪项有关的一组属性最为恰当?A)存在一系列功能及其特定属性。B)软件从一个环境迁移到另一个环境的能力。C)软件在规定条件下维持其性能水平的能力。D)软件性能与所用资源量之间的关系。[单选题]246.在新开发的系统中实施控制之前，管理层主要应当确保这些控制:A)满足解决某项风险的要求。B)不会降低生产力。C)以成本收益分析为基础。D)具有检测性和纠正性。[单选题]247.以下哪个选项对应用程序系统的顺利实施影响最大A)原型设计应用程序开发方法B)遵守适用的外部要求C)组织整体环境D)软件再工程技术[单选题]248.许多组织要求雇员参加强制性休假一个星期或更长时间，该活动的目的是？A)保持员工良好的生活质量B)减少雇员的不当或违法行为的机会C)提供适当的交叉培训的机会D)防止员工休每次假只休一天而造成的潜在破坏[单选题]249.以下哪项为使用回呼设备的好处？A)提供审计踪迹B)可以在总机环境中使用C)允许不受限制的用户灵活性D)允许呼叫转移[单选题]250.人力资源（HR）部门开发了一个系统，允许员工通过公司内联网上的网站进行福利登记。以下哪项可以保护数据的机密性？A)安全套接字层（SSL）加密B)双因素身份认证C)加密会话cookieD)IP地址验证[单选题]251.一位IS审计师已完成网络审计。以下哪项是最重要的逻辑安全结果？A)经过一段无活动时期后未自动禁用网络工作站B)配线柜未上锁C)未适当保护网络操作手册和文档D)网络组件未配备不间断电源[单选题]252.在确认是否符合组织的变更控制程序时，以下IS审计人员执行的测试中哪一项最有效？A)审查软件迁移记录并核实审批情况B)确定已发生的变更并核实审批情况C)审核变更控制文档并核实审批情况D)保证只有适当的人员才能将变更迁移至生产环境[单选题]253.在一项业务连续性计划的设计期间，业务影响分析（BIA）确定关键流程和支持的应用程序。这将主要影响：A)维持业务连续性计划和责任B)甄选恢复站点的提供者C)恢复战略D)关键人员的职责[单选题]254.在组织中实施IT治理框架时，最重要的目标是A)实现IT与业务的一致性。B)实现问责性。C)实现IT价值。D)提高IT投资回报。[单选题]255.当审计师注意到ID、S日志中端口扫描内容没有被分析，缺少这种分析最有可能增加下列那类攻击成功带来的风险？A)拒绝服务B)重放C)社会工程学D)缓冲溢出[单选题]256.下列哪种情况最适于将实施数据镜像作为恢复策略?A)容灾能力很高。B)恢复时间目标(RTO)很高。C)恢复点目标(RPO)很低。D)RPO很高。[单选题]257.在金融交易的电子数据交换(EDI)通信过程中，对金额字段计算校验和是为确保:A)完整性B)真实性C)授权D)不可否认性[单选题]258.在一个组织的备份设施是温站时，下列哪一个是最重要？A)硬件的及时可用性B)温度、适度和空调设备的可用性C)电力的充足D)通信网的有效性[单选题]259.在Internet应用中使用A、pplets，最可能的解释是：A)它由服务器通过网络传送B)服务器没有运行程序，输出也没有经网络传送C)改进了weB、服务和网络的性能D)它是一个通过网络浏览器下载的JA、VA、程序，由weB、服务器执行[单选题]260.IS审计师建议将一个初始确认控制编程到贷记卡交易套息应用程序中，初始确认处理最可能为：A)检查保证贷记卡类型对应的交易类型有效。B)验证输入号码的格式属数据库中确定的范围.C)确保输入的交易额在持卡人的信用额度内D)在主文件中验证该贷记卡没有丢失或被盗1.答案:C解析:2.答案:D解析:供应商的长期财务实力对于为组织带来最大价值是十分必要的-财务稳健的供应商能够成为长期的业务合作伙伴。为企业提供支持的组织，其实力不应局限于合同执行期内。财务评估目标不应限定在短期合同以内，而是应该在长期基础上提供保障。供应商的具体财务状况不是主要的考察对象。点评：对供应商财务评价的目的在于保障长期服务的能力3.答案:A解析:CGI是针对Web服务器的一种标准方法，Web服务器使用该方法将用户请求传递到应用程序并反复将数据传递到用户。当用户请求网页时（例如，淡季突出显示的词或输入网站地址），服务器发回所请求的页面。但是，当用户填写网页上的表格并提交时，通常需要应用程序对其进行处理。Web服务器通常将表格信息传送到小型应用程序，此应用程序对数据进行处理并且可以发回确认信息。这种在服务器和应用程序之间来回传送数据的方法或约定称为CGI。CGI是Web的超文本传输协议（HTTP）的一部分。4.答案:B解析:包括生产期间变更实施程序在内的变更管理流程有助于确保此类事件不再发生，IS审计师应审查包括修补程序管理程序在内的变更管理流程，以便验证流程是否具备适当的控制，并根据情况提出建议。尽管系统管理员通常会安装修补程序，且修补程序通常都要进行测试，但在非生产期间进行变更更为重要；此外，并行测试不适合安全修补程序，因为有些服务器可能仍然易受攻击，审批流程无法直接防止此类事故的发生。5.答案:B解析:有效的备份和恢复流程是确保符合恢复时间目标，因为这些需求是在业务影响分析阶段与所有业务流程处理人一起精确定义的。6.答案:B解析:A.完成用户手册没有充分测试系统重要。B.完成用户验收测试以确保要实施的系统能够正常工作，这一点是最为重要的。C.如果时间紧急，则最后要做的是添加其他增强功能，因为需要冻结代码并完成测试之后再做其他变更以作为将来的增强功能。D.存档和审核代码是恰当的，但仅在完成验收测试后才能保证系统能够正确工作并满足用户要求7.答案:A解析:封装是目标的财产，它防止访问未公开预先定义的财产或方法。这意味者对于目标的任何处理行为都是不能实现的。目标定义了一个与外部交流的界面，只能通过界面进行访问。8.答案:A解析:当消息可以自动重新路由时，如果一台服务器丢失或者如果一个连接被切断，可替换路可以确保网络继续有效服务；系统备份不能提供立即保护；维护协议不能像永久的可替换路由那样有效；如果一个连接被切断，备用服务器不会提供连续性服务。9.答案:B解析:测试用例的设计是最大的挑战。10.答案:A解析:社交工程通过对话、访谈等方式使用户轻率的说出他们或其他人的私人信息，从而导致隐私信息泄露。嗅探工具是一种监测网络交易的计算机工具。后门是黑客留下的能使用弱点攻击的计算机程序。特洛伊木马是一段计算机程序伪装代替了实际的程序，然而，伪装程序功能未得到授权，本质上是一种恶意行为。11.答案:C解析:所谓恢复点目标指的是恢复数据可接受的最近状态。如果恢复点目标很低，那么数据镜像将被用作数据恢复策略；所谓恢复时间目标就是再难容忍度的一个指标，回复时间目标越低灾难容忍度也就越低。12.答案:D解析:A.恢复成本可能非常小，而服务停机时间可造成重大影响。B.负面论是事故的一种症状;它是决定影响程度因素之一，但不是最重要的因素C.地理位置不能确定事故的严重程度。D.无法为客户提供服务的时间越长，事故的严重程度(影响)越高。13.答案:B解析:集线器是通常没有直接外在连通性的内部设备，因而不是易受的黑客。也没有特定的对集线器攻击的已知病毒，而这种情况也许表明管理控制不善。选项B、是最接近的，堆叠似的集线器，将产生更多终端连接被使用。14.答案:D解析:以接收者的公钥加密消息可以保证消息仅有接收者读取，接收者以其私钥解密。发送者的不可否认性通过发送者以其私