（新版）CISA国际注册信息系统审计师认证备考试题库（600题）

(新版)CISA国际注册信息系统审计师认证备考试题库(600D、消磁(使设备暴露于磁场中)A、不是所有设备都运行了防病毒程序B、只有部分员工参加了安全意识培训C、企业没有有效的修补程序管理流程D、文件共享政策尚未进行过审查8.要有效地建立业IT结构体系，以下哪一项最为重要：A、仅在体系结构中包含关键系统D、与其他组织体系结构的对比9.下列哪项技术对项目管理有效?(项目管理有效性体现在)A、达到关键里程碑B、使计划与业务组合一致10.企业遭受了钓鱼攻击，某用户向攻击者泄露了自己账号的密码。以下哪一项措施能最有效地降低随后的攻击入侵的风险?A、教育用户B、反垃圾邮件筛选器露?D、效率效能相关的选项(可排除)25.公司实施三单(订单、货物单据和发票)自动匹配的目的是控制以下哪种风险?B、忘记了(可排除)下哪一项会引起审计师最大的担心?此方法完全依赖于使用：28.以下哪一项最使信息系统审计师向管D、确保所有端口在使用中31.风险评估结果需要更新主要是由于()?B、应对数据的变化32.在制定新的风险管理计划时，一定要考虑以下哪种因素?(新题)B、合规性措施33.在电子商务中使用的典型网络体系结构中，负载平衡器通常位于下面哪两个34.对员工进行了安全培训教育，以下哪种方式证明了培训的有效性?因?议?D、项目经理B、增加索引个?A、IT项目由技术审查委员会正式审查是否符合IT标准D、并行运行(平行运行)力)65.供应商提供SLA服务中规定保护备份介质完整。在审查各份介质时，发现有A、实施在上班时间可用的社交软件的政策(制定政策限制社交网络的使用)85.以下哪一项控制最能防止互联网噢探器(Internetsniffer)进行重放攻击(r响?式是什么?93.2022年4月题目为：审计师如何评估公司员工安全意识充分性?95.关于数据库锁定的记录的目的是什么?(DBMS的记录锁定RecordingoptionA、输错了3次密码，就锁定该账户ID接受相关风险，如果审计师不同意管理层的决定项?A、UPSB、冗余电力(发电机)因素?)118.为驱动问责制以实现在IT项目利益实现计划中的预期结果，应项措施?查?124.以下哪项可以提供逻辑访问控制，以禁止更新或删除关系数据库(relation126.公司要将保密数据给到下游应用系统，最能保证安全性的是?(金融机构需要向下属分公司传输机密性的数据，最佳做法是?)A、重复写(覆写)A、绩效改进相关的描述(可以排除)140.审计师关注UAT测试的重点是?149.客户可以通过internet直接访问一个web应用系统(客户略?层?170.IS信息系统SJ审计师审计时发现有些员工离职后，账号仍然能访问系统，175.实施新的应用程序软件包(或第三方应用),最大的风险是内部审计师首先要()189.哪一项是确定最近安装的入侵检测系统(IDS)的有效性的最佳方式?(已发布)193.以下哪项是检测型控制(又称发现型控制D、恢复程序(或者备份流程)199.IS抽样时，审计师重点审查账户金额超过200,000美金的客户账户，应使203.企业建立了开发、测试及生产三种IT处理环境。A、确保在未来的调查中可以重复该流程(留下依据)A、审计经理B、业务影响分析BIA219.非正规化(非规范化)对数据库库的最大影响是什么:馈题干描达为：底层用户可以直接访问数据库，哪项风险大?)B、请专家重新检查确认审计结论(请外部专家进行额外的测试)下哪项为IT人员编制计划提供最佳指南?A、RPO244.下列哪一项能够更好地完善流程改良(优化)计划?A、审计报告是最近12个月内实施的251.一名IS审计师正在审查某企业的系统开发测试政策。在以下有可用性?B、已正确执行了UAT测试D、责任归属(不可否认性)259.企业使用IAAS(基础设施及服务)进行IT管理，谁应该负责操作系统安全270.IT管理员废除了数据库中的某些引用完整性控制。下列哪一种控制能够最273.哪一种类型的攻击针对web应用程序中的安全漏洞以获得对数据集的权限?A、政策与公司政策与惯例的一致性B、政策与当地法律法规的一致性C、政策与全球最佳实践的一致性D、政策与业务目标的一致性280.查看邮件的内容是否被修改，应使用?B、数字签名D、双因素认证281.在web应用中，包含以下哪一项可以保证最高的安全性?282.在一项it开发项目中调整方案需要用到额外资金，这笔额外资金最适合由谁获得?(项目因为新增需求，已经确认需要增加经费，谁最应该获取该项费用?)A、审计师B、项目发起人议?286.移动设备要丢弃，怎么保证安全?(下列对于磁盘清理数据最有效?)B、清除数据软件数据(数据擦除)D、设施围栏高度2米293.IS审计师已发现，员工们在通过电子邮件将敏感的公司信息发送到基于web的公共电子邮件域：对IS审计师而言，以下哪一须是建议的最佳补救措施?最大担忧?307.为了减少日志服务器不堪收集错误攻击日志的压力，以下最佳建议是()316.在审计IT资源管理实践时，审项为标准进行排序?(也有考生反馈题干为：外审发现企业的系统重要性排序不正确，以下哪一项决定系统重要性的排序?)319.IT治理包括向业务交付价值，以及：B、屏蔽路由器(屏蔽主机防火墙)324.IT审计师正审查公司的商业智能基础架构，以下哪项是帮助公司实现合理329.以下哪项是紧急修补程序的最大风险：B、利用临时管理员账号进行修补330.信息系统的实施前审查以确定是否投产准备就绪，IS审计师最需要关注什么?A、效益是否经过证实。B、是否存在未解决的高风险项目C、用户是否参与了QA测试D、项目是否符合预算和目标目期331.以下哪项可以最好的证明控制的有效性?A、控制矩阵B、控制测试的结果C、和管理层的面谈交流D、控制自我评估CSA332.IT审计师在中在第三方供应商报告的KPI。以下哪顶是审计师的最大担忧?A、KPI数据未加以分析334.审计工作完成后，审计师应该先()?面?以在某个时候通过基准测试建立一个已知的性能水平(称为基准线),当系统的C、可排除(与供应商相关的选项)342.将多余的计算机设备处理给员工之前，应做好哪项工作?A、使用应用程序的删除命令将文件删除B、使用操作系统命令删除硬盘上的所有文件C、使用随机数据覆盖硬盘驱动器D、要求接收设备的员工签署一份保密协议(non-disclosureagreement)343.以下哪一项最能保护在多个办公地点之问传输的敏感数据机密性?解析：(Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。Kerberos是第三方认证机制，其中用户和服务依赖于第三方(Kerberos服务器)来对彼此进行身份验证。)344.营销部门的三个员工使用共享账户维护公司社交媒体的新闻信息的发布，这一过程存在什么问题?A、发布未经审批的信息B、并发登录导致更新发生冲突C、账户被别人修改后无法登录352.信息系统审计师发现，关键系统的备份未按照BCB、IT管理层A、DHCP(动态主机配置协议)B、NAT(网络地址转换)公有地址。使得内部网络上的(被设置为私有IP地址的)主机可以访问InternD、校验(数字)位365.审计师进行实施后审查，发现以下哪项IS审计师最应关注?师应该()374.系统内并发输入数据，如果系统控制不佳，将影响数据的()?389.IT经理向高级经理层汇报潜在的风险情况，运行关键在线信用报告系统服B、忘记了(可排除)391.公司用了软件即服务(saas),在软件供应商不再提供服务的情况下怎样能399.当变更远程环境中的程序时，最重要的应得到()的批准?404.组织想要评估IT系统之后，来实施财务审计(意思就是财务数据依赖于系统),那么IT审计师的实施流程是什么?B、先测试主要itac(应用控制),再测试it一般控制(itgc)A、挑战(无视)审计等级，审计全部内容407.对信息进行实施后审计，下列哪项最可能削弱IS审计师的独立性?A、确保系统修复得到系统所有者的批准B、进行功能测试C、执行定期对账416.对网络进行审计，最重要的是D、审查服务器数据包类型417.防尾随的物理安全控制，对于无双门设置的数据中心，以下哪项是最好的措施A、双因素认证D、要求佩戴ID标识卡418.软件使用可持续时间应在哪个阶段确定?B、用户测试之后435.审计师发现某重要关键系统已6个月未更新安全补丁439.移动设备要丢弃，怎么保证安全?(下列哪像对于磁盘清理数据最有效?)440.事故管理流程中，哪个环节最重要?(2022年4月题干描述为：审计事故管理有效性中，审计师最担忧的()是无效的?)素?项?443.在公司实施了语音通信(VOIP),哪一项是存在的最大问题?A、SLAB、将每次访问记入个人信息(即：作业日志)454.审计师发现某重要关键系统已6个月未更新安全补丁463.以下哪项表现了项目开展是经由高层次人员支持并符合组织464.进行安全代码审查工作属于哪一种类型的控制措施?(2022新题)465.企业所在地的监管发布了最新的关于PII(个人可标识信息)的路境数据转B、客户服务支持的用户数473.审计师发现数据中心湿度很高，最会导致以下哪项风险?474.开展实施后审查的主要目的是检验：A、已充分考虑了用户访问控制B、已正确执行了UAT测试475.财务人员已经禁用了对交易的审计日志，因此信息系统审计师建议财务人员不再有更改审计日志设置的权限。在跟踪审计期间最重要的是验证：C、财务人员接受了安全意识培训476.在发现安全漏洞时，组织的安全政策要求雇员采取以下哪一项行动?A、IT价值分析480.代理服务商反馈通过瘦客服端下载数据，延迟比较大，应该进行以下那项措施?A、申请替换为胖客户端B、升级客户端硬件配置C、升级客户端程序以提供更详细的错误信息D、安装中间件用来增强客户端和系统的通信481.防止同时使用软件许可的最佳措施?B、供应商实施突击审计D、计量软件482.企业购置了新的大容量存储设备，将日前使用的替换下来，并且替换下来的用做恢复站点的储存设备，以下审计师最担心的是?B、恢复站点的存储能力能否足够C、新设备和替换设备是否签订维护合同D、采购是否符合企业的策略和规定483.IS审计章程的主要目的是：C、IT组织结构图492.在瘦客户端环境下最有可能会面临以下哪个问题??A、信息系统寿命已尽(系统废止)495.当信息系统审计师期望零偏差或很少偏差时，使用以下哪种抽样技术最适合?下一步应该干什么?501.哪个工具模型可以优化改进持续改良计划(或者题干为：以下哪个工具模型可以处理流程改善)?D、频繁变更，以反映组织的战略.A、银行方(记不清，可排除)508.把信用卡号传输到下一级操作时，如何保护安全性?(在信用卡消费中，对509.最能确定公司网络整体安全性的方式是()?C、确认ERP功能和对应的控制措施，并进行排序C、业务影响分析D、业务持续运营计划525.某项目在申请国际质量保证认证，哪一项可以证明达到了质量保证标准A、可衡量的流程B、组织的风险减小526.以下哪一项最能体现信息安全计划的有效性?A、安全团队知识丰富，使用最好的工具B、经过意识培训后，报告和确认的安全事故数量有所增加C、安全意识培训计划是根据行业最佳实践开发的D、安全团队执行了风险评估，以了解公司的风险偏好527.在小型组织中，信息系统审计师发现安全管理和系统分析功能由同一个员工执行，这反映出以下哪个问题?A、没有更新安全政策来反映这种情况B、该员工没有签署安全政策C、没有对该员工的活动进行独立审查D、没有工作说明进行更新以反应当前的现状530.内部应用程序开发与定制的最大风险是以下A、第三方审校(代码),企业确定软件所有权536.以下哪项测试能最快确定web应用程序的接口错误()A、公司共享服务向用户分发数据(服务器共享模式有利于文件的分发)的有效性?544.以下哪项是云服务提供商实施了安全政策程序的最C、兼容性547.下列哪一项对信息安全管理系统的成功最560.记录