CISA考试练习(习题卷17)

试卷科目：CISA考试练习CISA考试练习(习题卷17)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.在评估一个重要业务范围的灾难恢复计划，信息系统审计员发现它并没有涵盖所有系统。下列哪个选项是审计员最正确的行为？A)通知管理层并评估没有涵盖所有系统的影响B)取消审计C)根据已存的灾难恢复计划完成系统审计D)延后审计知道所有的系统都被包含到灾难恢复计划中答案:A解析:一名信息系统审计师应使管理层意识到在灾难恢复计划中漏掉了某些系统。信息系统审计师应继续审计并包含评价灾难恢复计划中未涵盖系统带来的风险。取消审计，忽视了某些系统没有被涵盖或延后审计的事实是采取的不适当的行为。[单选题]2.信息系统审计师了解到，业务部]负责人创建的一个网页可访问生产数据,从而违反了公司的安全政策，审计师的下一个步骤应当是:A)评估生产数据的敏感性B)确定是否存在足够的访问控制C)上报给高级管理层D)关闭网页答案:A解析:[单选题]3.下面哪一项技术最能帮助S审计师合理地确信项目可以按时完成?A)基于完成百分比和预估的完成时间(来自状态报告)估计实际结日期B)根据与经验丰富的经理和参与完成项目交付成果的员工的面谈情况，确认目标日期C)根据已完成的工作包和当前资源对最终结束日期进行推断D)根据当前资源和剩余可用项目预算计算预期结束日期答案:C解析:A.IS审计师不能依赖状态报告中数据的准确性来取得合理保证。B.面谈是一种有用的信息来源，但不一定能发现任何项目挑战，因为被访谈的人置身项目之中C.直接观察结果要好于从面谈或状态报告中获得的估计和定性信息。项目经理和参与的员工往往低估完成项目所需的时间以及由于任务间的依赖关系而必需的时间缓冲，但高估进行中的任务的完成百分比(即80:20规则)。D.根据剩余预算进行的计算没有考虑项目进展的速度。[单选题]4.正在使用原型设计开发的业务应用系统的变更控制会因以下哪个因素而变得复杂:A)原型设计的选代性质。B)快节奏的需求和设计修改C)对报告和屏幕的强调D)缺乏集成工具。答案:B解析:A.选代性质是原型设计的特性之一，但它不会对变更控制产生不利影响。B.需求和设计变更发生地非常快，因此很少进行存档记录或审批。C.对报告和屏幕的强调是原型设计的特性之一，但它不会对变更控制产生不利影响。D.缺乏集成工具是原型设计的特性之一，但它不会对变更控制产生不利影响。[单选题]5.使用数字签名时．由谁计算消息摘要?A)仅由发送者。B)仅由接收者。C)由发送者和接收者。D)由认证颁发机构(CA)答案:C解析:数字签名是个人或实体的电子标识。通过使用非对称加密进行创建。为了验证数据的完整性，发送者会对整个消息应用加密哈希算法，创建一个随消息一起发送的消息摘要。收到消息时．接收方将使用相同的算法重新计算啥希，然后与发送内容进行比较，以此确保消息的完整性。[单选题]6.与没有灾难恢复计划(DRP)相比，有灾难恢复计划时持续运作的成本最有可能:A)增加。B)降低。C)保持不变。D)无法预测答案:A解析:A.由于采用灾难恢复计划DRP)措施会产生额外的测试、维护和实施成本，因此任何组织的正常运作成本在DRP实施后总会有所增加(即在无灾难期间，有DRP的正常运营成本会高于无DRP的运营成本)B.实施DRP一定会为组织带来额外成本。C.实施DRP一定会为组织带来额外成本。D.DRP成本具有相当的可预测性和稳定性。[单选题]7.与传统的系统开发生命周期(SDLC)相比，快速应用开发(RAD)的最大优势在于:A)便于用户参与。B)允许技术功能的早期测试。C)便于转换到新系统。D)缩短开发时间。答案:D解析:A.快速应用开发(RAD)更强调用户参与以确保系统满足用户的需求;但其主要目的是加速开发。B.RAD确实允许早期测试，但传统的系统开发生命周期(SDLC)也会。C.RAD不便于转换到新系统。D.RAD的最大优势和核心目录是缩短系统开发时间[单选题]8.在准备灾难恢复计划时下列哪一个任务是应该最先被执行的？A)制定恢复策略B)进行业务影响分析(BIA)C)描述出软件系统，硬件系统和网络系统等组件D)任命恢复团队的人员、角色和等级答案:B解析:灾难恢复计划的第一步是执行一个业务影响分析（BIA），所有其他任务紧接着开始。[单选题]9.对IT系统实施渗透测试时，组织最应关注以下哪项：A)报告的机密性B)找到系统中的所有潜在漏洞C)将所有系统恢复为原始状态D)记录生产系统的所有更改答案:C解析:同意进行渗透测试之前，系统所有者应考虑所有建议项，但最重要的任务是能够将系统恢复为原始状态。任何在测试系统中创建或存储的信息都应从这些系统中移除。如果因某种原因在渗透测试结束后无法移除这些信息，则应在技术报告中标识所有文件（包括文件位置），以便客户端技术人员可以在接收报告后移除这些信息。[单选题]10.下面哪一项是通用的操作系统访问控制功能？A)创建数据库配置文件B)在字段级验证用户授权C)授权D)记录数据库访问活动以监控非法访问活动答案:A解析:建立个人问责制是普遍的操作系统的功能。创建数据库的配置文件，为了监视违规访问，在字段一级和数据库访问活动的核实用户的授权，都是数据库级的访问控制功能。[单选题]11.在审查IT灾难恢复测试的时候，下列哪项是IS审计师最应该关注的？A)由于有限的测试时间窗，只有最重要的系统被测试了。其他系统在当年余下的时间分开测试。B)在测试的过程中，注意到有些备份系统有缺陷挥着不正常工作，导致测试失败。C)在启动备份站点之前，关闭程序和原始产生站点的安全所需的时间比计划的要长。D)每年都由相同的员工进行测试。由于恢复的每一步都被参与者熟知，就不使用恢复计划文档。答案:D解析:灾难恢复测试应该测试计划，流程，人员和IT系统。因此，如果计划不使用，其准确性和充分性无法得到证实。灾难恢复应该不依赖于关键员工，因为灾难发生时，他们无法在场解决问题。这是很常见的在有限的测试时间内备份所有的系统都能测试到。但是，对业务很重要的那些喜用要被测试这是很重要的，而其他系统最终在一年当中被测试。测试的其中一个目的是识别和更换有故障的设备以便在发生灾难是使所有系统能切换。选项B只有在发现问题的数目是非常高的想到高的系统问题时才会关注。在真正的灾难情况下，原生产环境的正常关闭是没有必要的，因为最首要的是把备份系统运行起来。[单选题]12.在部署控制前，管理层主要应该保证控制：A)满足解决风险问题的需求B)不减少生产力C)基于成本效益的分析D)控制是检测或纠正型的答案:A解析:当设计控制时，考虑以上观点都是有必要的，一个理想的控制手段能实现上述所有目标。实际来说，不可能设计出这样的控制且成本是受限制的。因此，必须主要考虑组织现有风险处理的相关控制。点评：控制的部署实施应基于成本效益原则[单选题]13.在计划黑盒渗透测试时，最重要的成功因素是：A)已计划的测试程序的文档B)真实评估环境架构以确定范围C)为客户组织的管理人员所了解D)安排并确定测试的时长答案:C解析:黑盒渗透测试假定事先对待测试的基础架构并不了解。测试人员模拟不熟悉系统的人员发起的攻击。管理人员知道测试流程非常重要，以便在监控系统识别出该测试时，可快速确定操作的合作性。选项A和B对于黑盒渗透测试无效。选项D也很重要，但重要性不如C。[单选题]14.在报告发现被确认后，被审计单位立即采取纠正行动（CorreCtiveACtion）。审计师应该:A)．在最终报告中包含发现，因为IS审计师有责任得到一份包含所有发现的准确报告B)．在最终报告中不包含发现，因为审计报告只应该包含未解决的发现C)．在最终报告中不包含发现，因为纠正行动可以被IS审计师在审计过程中验证D)．只在结束会议讨论目的时包含发现答案:A解析:在最终报告中包含发现是普遍接受的审计准则。如果一项整改行动在审计期间实施，审计报告需要验证发现和描述纠正行动的实施。审计报告要反映环境，因为它存在与审计之前。所有被审计单位的纠正行动都要提交书面报告。[单选题]15.当检查信息系统战略时，信息系统审计师要评价信息系统战略是否支持组织的业务目标，最好通过判断信息系统是否：A)有所有必需的人员和设备B)计划跟管理战略相一致C)有效率地和有效地使用了设备和人员D)有足够充裕的能力去应对变化的形势答案:A解析:检测IS计划是否和管理策略相关的IS/IT业务计划一致。选择A，C和D是校正IS计划同业务目标、组织策略差异的有效方法。[单选题]16.当审计自动化系统时，总是无法确定责任和报告途径，因为：A)分散的控制使用所有权不相关B)员工工作变动更加频繁C)由于资源共享很难准确定所有权D)随着技术的快速发展，责任经常变化答案:C解析:由于数据和应用系统的分散特性，很难确定数据和应用系统的真正所有者。点评：找不到owner是无法问责的主要原因[单选题]17.管理C、yB、er攻击的第一步是：A)评估攻击影响B)估计可能的威胁C)鉴别重要的资产信息D)估计潜在的损失答案:A解析:管理风险的第一步是对重要的信息来源进行鉴别和分类。一旦资产被鉴别出，程序就转向威胁识别、攻击影响和潜在损失的计算。[单选题]18.某公司为采用一种客户直销的新方法而实施业务流程再造(BPR)项目。对于新流程，IS审计师应最关注以下哪一项?A)是否存在保护资产和信息资源的关键控制B)系统是否符合公司客户要求C)系统能否满足绩效目标(时间和资源D)新系统是否支持职责分离答案:A解析:A.审计团队必须建议实施关键控制，并核实这些控制是否在执行新流程前准备就绪。B.系统必须满足所有客户的要求，而不仅仅是公司客户的要求。这不是IS审计师主要关心的内容。C.系统必须满足性能要求，但这是确保存在关键控制后次要的关注问题。[单选题]19.以下哪项是可模拟系统溃并使用实际资源来进行有效的连续性计划测试，以获得是否符合成本效益的证据?A)纸上测试B)事后测试C)准备情况测试D)穿行测试答案:C解析:A.纸上测试是对整个计划的穿行性测试，这将涉及到主要参与者，这些参与者将尝试判断出在特定类型的服务中断时执行计划的过程中可能发生什么情况。纸上测试通常在准备情况测试之前进行。B.事后测试实际上只是一个测试阶段，由一系列活动组成，如所有资源返回恰当位置、断开设备连接、归还人员并从第三方系统中除所有公司数据。C.准备情况测试是完整测试的本地化版本，测试中会模拟系统崩溃并耗用资源。此测试应定期针对计划的不同方面执行，且不失为一种逐步获得计划有效性方面证据的划算方法。此测试还是种稳步改善计划的手段。D.穿行性测试会涉及到一种模拟的灾难情形，用以测试管理人员和普通员工的准备情况以及对情形的了解程度，并非测试实际资源。[单选题]20.IS审计师正在对某组织的系统进行实施后审，并发现了会计应用内部的输出错误。该IS审计师确定这是由输入错误造成的。该IS审计师应当向管理层建议以下哪一项控制?A)重新计算B)极限检查C)运行到运行的汇总D)对账答案:B解析:A.手动重新计算交易的样本可以确保该处理完成预期任务。重新计算在输出阶段之后执行。B.处理控制应当尽可能靠近数据入口实施。极限检查是一种输入验证性检查，它提供预防性控制，以确保无法输入无效数据，原因是数据值必须在预定值范围之内。C.运行总计提供在整个应用处理阶段数据值的验证能力运行总计验证可确保读取到计算机中的数据被接受并且随后应用到处理流程运行总计在输出阶度之后执行D.应当在日常工作中执行文件总体的对账可通过手动维护帐户、文件控制记录或独立控制文件的应用来执行对账对账在输出阶段之后执行[单选题]21.用于监听和记录网路信息的网路诊断工具是：A)在线监视器B)故障时间报告C)帮助平台报告D)协议分析仪答案:D解析:[单选题]22.用户结合使用其分配的安全令牌及个人识别码（PIN）来访问公司的虚拟专用网络（VPN）。对于PIN，安全政策中应包含哪项最重要的规则？A)用户不应将令牌置于容易被盗的地方B)用户不得将令牌与便携式计算机置于同一包中C)用户应选择完全随机且没有重复数字的PIND)用户不应将PIN写下来答案:D解析:如果用户将PIN记录在纸条上，则拥有相关令牌、纸条以及计算机的个人可以访问公司网络。令牌和PIN是一种双因素身份认证方法。如果没有PIN，对令牌进行访问毫无价值；二者缺一不可。只要PIN足够机密，不需要是随机的。[单选题]23.IT治理的责任取决于？A)IT战略委员会B)首席信息官（CIO）C)审计委员会D)董事会答案:D解析:治理是由董事会和以提供战略方向为目标的执行管理行使的责任与实践，从而确保目标可以达到，确定风险被适当的管理以及核实组织资源被负责的使用。审计委员会、首席信息官、和IT战略委员会都会在同一个组织内成功的IT治理实施中扮演了重要的角色，但最终的责任在于董事会。点评：IT治理是董事会的责任[单选题]24.下列哪项ＩＴ治理最佳实践改进了战略方针A)供应商和合作者风险管理B)有基于客户，产品，市场和流程的知识库C)有能够提供创建和分享业务信息的组织结构D)领导层在业务需求和技术部门之间的协调答案:A解析:领导层在业务需求和技术部门之间的协调是ＩＴ战略方针的最佳实践。供应商和合作者风险管理是风险管理的最佳实践。提供基于客户，产品，市场和流程的知识库是ＩＴ价值交付的最佳实践。有能够提供创建和分享业务信息的基础组织结构是IT价值交付和风险管理的最佳实践。[单选题]25.若要开发应用于整个企业的系统,最适合担任筹备委员会的负责人应该是:A)业务分析师B)项目经理C)执行级别的高层主管D)IS主管答案:C解析:[单选题]26.数字签名的特征是确保发送者过后不能否认产生和发送了信息叫：A)数据完整性B)识别C)不可抵赖D)重演保护答案:A解析:所有以上都是数字签名的特征。不可抵赖确保已声明的发送者过后不能否认曾产生和发送过信息。数据完整性指对明文信息的变更将导致数据接收者都过哈希函数得到的哈希摘要与发送者不一致。因为仅声明的发送者有私钥，身份识别确保消息是由发送者发出的。重演保护是接收者用于检查信息没有被窃听和重演的手段。[单选题]27.组织的管理层决定建立一项安全认识程序。下列哪项最应该包含在该项目中？A)利用入侵检测系统报告发生的事件。B)要求使用密码登陆所有软件C)安装一个有效的用户日志系统来跟踪每个用户的操作。D)对所有新老职员进行定期培训答案:A解析:利用入侵检测系统报告发生的事件是安全认识程序的措施，但不是有效地建立安全认识程序。选择B和C不能定位是意识。只有培训才是唯一的选择[单选题]28.信息系统审计师正在检查一个测试流程，并得出了没有发现重要错误的审计结论。上述情形表述了哪类风险的存在？A)检查风险B)审计风险C)控制风险D)固有风险答案:A解析:这是一种由于使用不正当测试程序而导致不能发现所有的重大缺陷的检查风险。审计风险是审计过程中检查风险、控制风险和固有风险的总称。控制风险是指系统的内部控制及时地防止和发现重要错误的发生和存在。固有风险是指在没有任何补偿控制情况下所存在的缺陷。（一个缺陷如果和其他缺陷结合在一起，可能会形成一个重要的缺陷）。点评：审计风险的概念：固有风险、控制风险、检查风险[单选题]29.快速应用开发超过传统系统开发生命周期的最大优点是：A)推动用户的参与B)允许较早的技术特征测试C)推进系统的转化D)减少开发的时间范围答案:A解析:RA、D、最大的优势减少系统开发的时间范围。选择A、和B、是正确的，但他们对传统的系统开发生命周期也是正确的。选择C、不是必须的。[单选题]30.成功攻击系统的第一步是：A)收集信息B)获得访问权限C)拒绝服务D)避开检测答案:A解析:成功的攻击从收集目标系统的相关信息开始。通过事先完成信息收集，攻击者得以了解目标系统及其漏洞。所有其他选项均以收集到的信息为基础。[单选题]31.在制订业务持计划(BCP)方面，以下哪一个利益相关方最重要?A)流程所有者B)应用所有者C)董事会D)IT管理层答案:A解析:A.流程所有者对确定所需要的关键业务功能、恢复时间和资源至关重要。B.业务持续计划(BCP)关注的是业务流程的持续性，而应用并不一定支持关键业务流程。C.董事会可以批准计划，但他们通常不涉及制定BCP的细节。D.管理层将按业务流程所有者的定义，确定支持关键业务功能所需要的IT资源、服务器和基础设施。[单选题]32.审查完业务流程后，某大型组织正基于语音IP(VoIP)技术部署新的Web应用程序。要实施便于该VoIPWeb应用程序安全管理的访问控制，以下哪项是最合适的方法？A)细化访问控制B)基于角色的访问控制(RBAC)C)访问控制列表D)网络／服务访问控制答案:B解析:在本实例中，通过RBAC技术可最好地解决授权问题。RBAC易于管理，并能在大型Web环境（包括VoIP实施）中执行强大而有效的访问控制。针对VoIPWeb应用程序的访问控制列表和细化访问控制并不能扩展到企业级系统，因为这两种方法主要基于个人用户身份及其特定技术权限。网络／服务访问控制可实现VoIP可用性，但不能解决应用程序级访问或授权问题。[单选题]33.为对审计反馈的一部分，被审计单位对审计建议有顾虑，犹豫不决是否要实施。以下哪一项是信息系统审计师的最佳行动步骤？A)接受被审计单位的反馈，进行其他测试B)发布不包括被审计单位意见的最终报告C)与被审计单位进行进一步讨论制定缓解计划D)建议聘用第三方顾问来评估当前状态答案:C解析:[单选题]34.在审查内部开发的应用程序期间，IS审计师最应关注的是:A)是否有用户提出变更请求并在测试环境中对其进行测试。B)是否有编程人员在开发环境中编写变更代码并在测试环境中对其进行测试。C)是否有管理人员审批变更请求并在生产环境中对其进行审查。D)是否有管理人员提出变更请求并随后对其进行审批。答案:D解析:A.让用户参与对变更的测试是常见的做法。B.让编程人员在开发环境中编写变更代码并在测试环境中对其进行单独测试是很好的做法，优于在生产环境中进行测试。C.由管理人员对变更进行审查以保证变更的正确性是可接受的做法。D.提出变更请求并随后对其进行审批违反了职责分离原则。一个人不能批准其自己的请求。[单选题]35.人力资源部开发一套系统使得雇员可以通过公司内网申报各种奖励。下面哪个可以保护数据的保密性？A)SSL加密B)双因素认证C)加密会话C、ookiesD)IP地址校验答案:A解析:这个环节中的主要风险是机密性，因此唯一的选项应该将提供机密性的是SSL。其余的选项是与未被授权的问题相关。[单选题]36.在一家小型组织中，某位员工负责计算机操作，并在必要情况下，还负责修改程序。该IS审计师应建议以下哪个选项?A)自动记录对开发库的更改B)增加员工，从而可以分离职责C)确保只有经过审批的流程更改能得以实施的措施D)设立访问控制以防止操作员修改程序答案:C解析:A.记录生产库的变更是一个好的做法，但因为管理员可能更改日志，所以这种控制不充分。B.尽管严格遵守职分离以及另外聘用职员这种做法更好，但对于小型组织来说，此举不一定可行。C.IS审计师必须考虑推荐更好的流程。IS审计师应该对生产的源及目标代码变更的管理和检测过程(如代码比较)提出正式的变更控制建议，这样更改オ可以由第三方定期审查。这是补偿性控制程序。D.要求第三方进行变更在可能没有其他人具备充分专长的小型组织中可能不切实际[单选题]37.IS审计师在检查一个推荐的应用软件采购时应该确保：A)使用的操作系统与现有的硬件平台相兼容B)计划操作系统的升级已按照公司要求的最小负面影响来安排时间C)操作系统是最新版本并且实时升级D)产品与当前或者计划中的操作系统相兼容答案:D解析:选择A和C都是不正确的，因为它们中没有一个与正在审计的内容有关。在审查提议的应用时，审计师应当确保购买的产品与当前或计划的操作系统相兼容。关于选项A，如果操作系统是目前正使用的，它与现有的硬件平台是兼容的。如果不兼容，它将不能正确的操作。在选项B中，计划操作系统的升级应当在对组织最小负面影响的时间段进行。选择C已安装的系统应当配备最新版本和升级。点评：阅读理解，题目中提到的应用软件与现行或未来操作系统兼容性的问题[单选题]38.下列哪项是在审计计划中基于风险方法的好处？审计:A)提前数月完成审计时间计划B)IS审计员对预算有所掌握C)审计成员面对多种技术挑战D)把审计资源分配给高风险的审计事项。答案:D解析:基于风险的方法的原意是保证审计时间能被利用在高风险领域。审计计划的开展与基于风险的方法无关。审计计划是运用了多种调度方式，可能要提前数月准备。基于风险方法与具体审计过程中审计人员按时完成计划没有直接关系，它也与审计人员完成任务的多样性没有关系。[单选题]39.公司内部审计部门为了达到持续审计的目的，开发并维护了ACL脚本，为了保持连续监控目的，这些脚本被提供给IT管理部门，这种情况导致潜在的与审计师独立性和客观性相关的冲突，下述哪一种行为可以最好的解决该问题？A)内部审计小组应该停止共享这些脚本，IT管理部门必须开发他自己的脚本。B)由于持续监控和持续审计是相似的功能，IT管理部门应该将持续监控的任务指派给内部审计部门。C)IT管理部门应该继续用这些脚本并进行持续监控，并理解他需要对测试和维护脚本负责。D)内部审计小组应该检查这些脚本所被应用的领域，并减少审计的范围和频率。答案:C解析:IT管理部门承担着测试和维护它所用脚本的责任，这些脚本与内部审计部门所用的不同，并且IT管理部门可以自由修改这些脚本。一旦脚本被看成是不同的，内部审计小组违背客观性和独立性风险就大大降低了。如果内部审计小组停止共享这些脚本，IT员工必须从零开始创建脚本或者不得不雇用专业人员来完成该工作，因此并不是一个合理的解决方案。持续监控是IT管理部门的责任之一，不能移交给内部审计小组。持续审计是审计小组的功能，并不能代替持续监控。另外，内部审计小组不能假设他们的脚本被IT管理部门正确的使用，也不能假设他们的脚本没有修改从而可能产生错误的结果。点评：自己管自己的，好像从来没有关系一样[单选题]40.拥有电子资金转帐销售点设备的大型连锁商场，有中央通信处理器连接银行网络，对于通信处理机，下面哪一项是最好的灾难恢复计划。A)每日备份离线存储B)选择在线备份程序C)安装双通讯设备D)在另外的网络节点选择备份程序答案:A解析:在另外的网络节点选择备份程序是最佳解决方案。中央通信处理器失效将中断所有对银行网络的访问，导致所有商店的操作中断。这可能是设备、电力、通信故障引起的。备份的离线存储不起作用。因为EFT趋向在线处理，离线存储不能替代功能处理。如果是设备问题，更换在线处理器是最好的，但对于电力损耗的情况没有帮助。如果仅仅是通信链路失败，安装双通信设备是最适当的。[单选题]41.尝试控制敏感区域的物理访问时（例如，对机房使用卡密钥或锁），存在什么相关风险？A)未授权人员等待控制门打开，然后跟随已授权人员进入。B)组织的应急计划不能有效测试受控的访问操作。C)门禁卡、钥匙和控制板非常易于复制，从而使控制很容易受到破坏。D)删除那些不再有权进行访问的人员权限很复杂。答案:A解析:尾随这一概念对所有建立的物理控制都有危害作用。选项B在灾难恢复环境中无需多作注意。选项C中的物品并不容易复制。对于选项D，尽管技术在不断发展变化，但是卡密钥已经存在一段时间，而且在可预见的将来它仍是一个可行的选择。[单选题]42.审计电子资金转账（EFT）系统时，IS审计师最应该关注以下哪种用户配置文件？A)能够获取并验证他们自己信息的3个用户B)能够获取并发送他们自己的信息的5个用户C)能够验证其他用户并发送他们自己信息的5个用户D)能够获取并验证其他用户的信息，并发送他们自己信息的3个用户答案:A解析:单个用户能够同时获取并验证信息表明分离不充分，这是因为信息会被认为是正确的并好像已经通过验证。点评：见上面解释[单选题]43.下列哪一个应该是IS审计师去审查，以便了解项目的进度，条款的时间，预算和交付，以及及早发现可能超支和对项目完成的评估？A)．功能点分析B)．净值分析C)．成本预算D)．项目评估和审查技术答案:A解析:净值分析（EVA、）是一个行业标准方法，对于测量一个项目的进度，在任何特定的时间点，预测其完工日期和最终成本，并随着项目的进行分析时间和成本的差异。它把计划的大量工作与实际上完成的相比较，从而判断是否成本，时间，工作的完成与计划一致。如果存在一个良好的工作分解结构的话，EVA、将会更有效。功能点分析法是一个间接的测量方法在软件规模和复杂性方面，因此，它不解决时间和预算这两个要素。费用预算没有解决的时间问题。PERT在时间和交付管理上有帮助，但是缺少对项目完成和整体经济管理的反映。[单选题]44.系统开发过程中，线面哪个阶段将会准备用户接受性测试计划？A)可行性分析B)需求定义C)实现计划D)实现后期检查答案:B解析:在需求定义时，项目团队与用户一起定义详细目标和功能需求。用户应与团队一起考虑和记录系统功能怎样测试以确保与目标一致。对详细的用户说明，可行性分析太早，实现计划和实现后期检查太晚。一个IS审计师应该知道用户测试在哪个阶段计划好，以确保有效性和效率性。[单选题]45.一位正在审查一系列已完成项目的IS审计师发现，实现的功能常常超出原本需要且多数项目大幅超出预算。组织项目管理流程中的哪个环节最有可能引发这一问题?A)项目范围管理B)项目时间管理C)项目风险管理D)项目采购管理答案:A解析:A.最有可能带来预算问题的是未能有效管理项目范围，因为实现的功能比所需功能多。项目苑围管理的定义是，确保项目中包括且仅包括完成项目所必需的所有工作的一系列流程B.项目时间管理的定义是，确保项目按时完成所需的一系列流程。本题中的问题并没有提及项目是否按时完成，所以这不是最可能的原因。C.项目风险管理的定义是，对项目风险进行识别、分析和响应的一系列相关流程。尽管上述预算超支现象代表着一种形式的项目风险，但是实际上是由于实现了过多的功能造成的，这与项目范围的关联更为紧密。D.项目采购管理的定义是，从组织之外进行采购物品和服务所需的一系列流程。尽管购买过于昂贵的物品和服务会造成预算超支，但在此题中，问题的关键是实现的功能比实际需要的多，这可能与项目范围更为相关。[单选题]46.为了降低成本，提高服务水平，外包商应寻求下列哪些合同条款？A)操作系统（OS）和硬件的更新频率B)分享收益的绩效奖金C)对违规的处罚D)和可变成本指标挂钩的费用答案:B解析:因为外包商将分享所取得的收益，绩效奖金为了这些超出合同的规定条款并且能够导致节约客户成本提供一个财务奖励。更新的频率和违规的罚则，只会鼓励外包商去达到最低要求。同样，试着收取变动成本指标不会鼓励外包商寻求可能有利于客户额外的效率。点评：与外包商的利益分享机制最有效[单选题]47.进行合规性测试时，以下哪种抽样方法最有用?A)属性抽样B)变量抽样C)分层单位均值抽样D)差异估计抽样答案:A解析:A.属性抽样是用于合规性测试的主要抽样方法。属性抽样是一种抽样模型，用于估算总体中特定性质(属性)的发生率，并在合规性测试中用于确认该性质是否存在。例如，属性抽样可能检查超过一定的预定金额的交易是否经过合适的批准B.变量抽样基于对总体中抽出的样本的均值的计算，并使用均值估计总体的特性。例如，一个包含10个商品的样本说明商品的平均价格为10美元。对于包含1000个商品的总体，其价值可估计为10000美元。这不是衡量对流程的遵守的好方法。C.分层均值抽样试图确保样本能够代表总体。这不是衡量合规性的有效方法。D.差异估计抽样检查方法偏离和异常项目，不是衡量合规性的好方法。对远程系统的程序变更请求进行测试时，IS审计师发现可用于抽样的变更数量无法提供合理水平的鉴证。[单选题]48.数据库系统中并发控制的目标是：A)限制授权用户更新数据库B)防止完整性问题，当两个进程试图同时更新相同数据时C)防止意外或未经授权泄露数据库数据D)确保数据的准确性、完整性和一致性答案:B解析:并发控制可以防止由同一时间两个人对同一数据项进行修改引起的数据完整性问题。访问控制是通过诸如密码等保护措施，严格确保只有授权用户和限制才能对数据库进行修改操作，这可以防止数据库中数据无意或者未经授权的泄露。诸如编辑等质量控制，可以确保数据库中数据的准确性、完整性和一致性。并发控制：指的是当多个用户同时更新进行时，用于保护数据库完整性的各种技术。并发机制不正确可能导致脏读、幻读和不可重复读等此类问题。并发控制的目的是保证一个用户的工作不会被另一个用户的工作产生不合理的影响。在某些情况下，这些措施保证了当用户和其他用户一起操作时，所得的结果和她单独操作时是一样的，在另一些情况下着表示用户的工作按预定的方式受其他用户的影响。[单选题]49.白盒测试的具体优点是A)能够检查程序是否可与系统的其他部分一起正常运行。B)在不考虑程序内部结构下确保程序的功能性操作有效C)能够确定程序准确性或某程序的特定逻辑路径的状态D)通过在限制访问主机系统的严格受控或虚拟环境中执行程序功能性而对其进行检查。答案:C解析:A.检查程序是否可与系统的其他部分一起正常运行是社交性测试。B.在不知道内部结构情况下测试程序的功能性是黑盒测试C.白盒测试评估软件程序逻辑的有效性。具体而言，就是使用测试数据来确定程序准确性或某程序的逻辑路径的状态。D.在半调试环境中对程序执行受控测试(分步严格控制或在虚拟机上监控)是沙盒测试。[单选题]50.在某医院中，医务人员携带存有病人健康状况数据的手持式电脑。这些手持式电脑与可从医院数据库传输数据的PC同步。以下哪项措施最重要？A)手持式电脑得到了妥善保护，可在发生盗窃或丢失时防止数据机密性遭到破坏。B)在使用后删除本地PC中临时文件的员工具有维护PC的权限。C)通过制定政策和流程来确保同步能够及时进行；D)手持式电脑的使用得到医院政策的允许。答案:A解析:保护数据机密性是隐私权法规中的主要要求。选项B.C和D与内部安全要求相关，因此与遵守数据隐私权方面法律相比，均居次要地位。[单选题]51.以下哪个选项对于保证数据仓库中的数据质量最关键并且作用最大?A)源数据的准确性B)数据源的可信度C)提取过程的准确性D)数据转换的准确性答案:A解析:A.源数据的准确性是保证数据仓库中数据质量的先决条件。源数据不准确会损害数据仓库中数据的完整性B.数据源的可信度很重要，但不会使不准确的数据变成高质量(准确)的数据。C.提取过程的准确性很重要，但不会将不准确的数据变成高质量(准确)的数据。D.转换例程的准确性很重要，但不会将不准确的数据变成高质量(准确)的数据。[单选题]52.以下哪一项是降低未授权访问无人值守的最终用户PC系统的最有效方法?A)强制使用密码保护型屏幕保护程序B)实施以邻近为基础的身份认证系统C)按预定义间隔终止用户会话D)调整电源管理设置，以保证显示屏是空白的答案:A解析:A.具有合适时间间隔密码保护的屏幕保护程序是防止未经授权访问无人值守的最终用户系统的最佳措施。务必保证用户离开机器时锁定工作站，可以通过意识培训来达到这一目的。B.有在用户离开办公室时锁定机器的解决方案，并且这些适合这里的情形;但这些解决方案较为昂贵，通常需要使用智能卡和额外的硬件。因此，使用密码保护的屏保程序是更好的解决方案C.终止用户会话通常用手远程登录(定期重鉴权),或在web或服务器会话中无活动达到一定时间的情形。离开时不锁定工作站的相关风险还要更多；因此这不是正确答案D.关闭监视器不是解决方法，因为只需打开监视器即可。[单选题]53.在应用程序软件审查过程中，某IS审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是:A)包括审查范围内的数据库控制B)记录下来供日后审查。C)与数据库管理员共同解决问题。D)如实报告漏洞。答案:D解析:A.不建议超范围执行审计和审查。在本案例中，发现的漏洞被视为小问题，报告问题并在日后加以解决就足够了。B.在本案例中，发现的漏洞被视为小问题。IS审计师应当如实正式报告该漏洞，而不是记录下来，以便在日后的审计过程中加以解决。C.IS审计师不宜与数据库管理员共同解决问题。D.发现的任何漏洞均应报告，即使它在当前的审计范围之外。需要向经理报告在应用程序软件审查过程中发现的漏洞。[单选题]54.在一项对一家医疗保健组织的受保护保健信息（PHI）的IS风险评估中，一位IS审计师对IS管理人员进行了采访。此次采访中的哪项发现最令IS审计师关注A)组织没有对外发的所有电子邮件进行加密B)员工必须在电子邮件的主题栏键入（PHI）才能进行加密C)个别工作人员的计算机屏保功能被禁用D)服务器配置要求用户每年更换密码答案:B解析:是人就会犯错-员工会忘记在主题栏键入特定的字词。组织应为使用PHI信息的员工外发的电子邮件设置自动加密，以保护敏感信息。加密全部外发电子邮件非常重要，不是常用的做法。禁用屏保功能会增加敏感信息被其他员工看到的风险；但是，风险不及将信息暴露于组织外的未经授权人员。尽管每年更换密码是个问题，但风险不及将信息暴露于组织外的未经授权人员。[单选题]55.对于想要利用平台即服务(PaaS)供应商提供的服务器来减少IS基础设施的组织而言，以下哪项是最重要的安全考虑事项?A)要求使用新应用程序的用户采用专用的、具有最小长度的密码。B)实施利用组织的标准设置监控入站流量的防火墙。C)审查存储和传输的应用程序数据的加密要求。D)通过合同条款让服务供应商负贵应用安全。答案:C解析:A.让应用程序用户使用其他密码登录的做法并不受欢迎。更重要的原因是许多云服务提供商都通过应用程序编程接口(API)提供服务。这些API可以接受令牌，但并不接受密码。理想情况下，它们使用安全断言标记语言(SAML)、WS-Federation等开源标准交换身份认证和授权信息。身份认证计划需要考虑应用程序用户的类型-组织的员工、合作伙伴组织的员工、客户或多种用户类型的组合。此外，可以通过多种设备类型访问Web应用程序是一种越来越流行的趋势。因此，组织可能需要采用?带上您自己的身份(bringyourownidentity)的身认证计划。应采用基于风险评估的适当机制(如安全令牌、智能卡、通过短信服务[SMS]或电话提供的一次性密码)来确认用户身份。B.在平台即服务(PaaS)云计算模型中，网络安全性由云服务提供商负责因为有多个租户使用云服务提供商的基础设施，所以坚持使用特定的防火墙配置是不现实的，尽管可以在进行服务合同谈判时达成某些协议。云计算的?无边界限制?性质增加了对设计、测试和实施强大应用安全控制的需求。C.采用云计算时，应用程序并不是在组织的受信环境上运行，而是在与其他租户共享并由非组织聘用的其他人员管理的基础设施上运行。因此，根据数据的性质，可能对借助加密保护隐私有更高的需求。这并不仅仅适用于在云中存储的数据，而且适用于传输中的数据。这井不仅仅适用于在云中存储的数据，而且适用于传输中的数据。加密可能会提高复杂性井影响性能。此外还应考虑使用补偿性控制(例如通过数据库访问控制保护存储的数据)的可能性D.在PaaS云计算模型中，服务提供商负责提供计算基础设施和开发框架。尽管基本基础设施安全方面的要求可以讨论并纳入合同条款，但构建安全应用程序是客户组织的责任。在云计算中，些存在于传统内部托管系统的威胁更加严重，同时还会引入一些新威胁，所以在应用程序开发期间特别关注应用程序安全控制是极其重要的。[单选题]56.下面哪项潜在地阻止了黑客的攻击A)入侵检测系统B)蜜罐系统C)入侵预防系统D)网络安全扫描答案:A解析:入侵预防系统作为内线设备被部署，这种设备能够检测并且屏蔽黑客企图。入侵检测系统通常部署为嗅探模式能够检测出入侵企图，但是不能有效地阻止它们。蜜罐解决方案诱骗入侵者浏览一个模拟的目标。网络安全扫描器扫描漏洞，但是不能阻止入侵[单选题]57.下面哪一项能够最有效地检测到入侵企图？A)使用带一次性密码的智能卡B)分析系统日志C)安装基于生物特征的鉴别设备D)使用数据包过滤软件答案:B解析:[单选题]58.当员工服务终止时，最重要的行动是？A)交出员工的所有文件到另一个指定雇员B)完成对员工的工作备份C)通知其他雇员他已经终止服务D)禁用该员工的逻辑访问答案:D解析:有一种可能性即终止服务的雇员可能滥用访问权限，因此，禁用终止服务的雇员的逻辑访问是最重要的需要采取的行动。所有的终止服务的员工的工作需要交给一个指定雇员，但是这应是执行选项D后实施。所有终止服务的员工的工作需要进行备份和终止服务的员工需要通知给其他雇员，但这不应该在选项D行动之前。[单选题]59.下面哪一个控制措施有助于在数据输入时防止付款凭证的重复录入？A)范围检查B)置换和替代C)顺序检查D)循环冗余校验（CRC）答案:C解析:顺序检查涉及将编号升序排列，以及验证凭证是否按顺序进行，从而预防凭证重复输入。范围检查仅作用于某范围内的编号，即使同样的凭证编号出现，它也仍满足条件，因此不适用。置换和替代被用于编码，但是并不适用于建立一个唯一的凭证编号。循环冗余校验(CRC)被用于检查网络接收数据的完整性，但是在应用程序代码层面的校验上没有用处。点评：输入数据编辑检查机制的概念[单选题]60.当一个雇员被终止服务时，最重要的举动是：A)移交雇员文件给另一个指派的雇员。B)完成雇员工作的一个备份。C)将终止通报给其他雇员。D)关闭雇员逻辑访问。答案:A解析:一个被终止的职员可能误用访问权利这是可能的;因此,使被终止的职员的逻辑访问失效是最重要的行动。被终止的职员所有工作需要被送交给一位被指定的职员；然而，这应该在执行答案D之后执行、被终止的职员需要的所有工作被移交，职员的终止需要通知其他雇员,但是这不应该在选项D举动之前。[单选题]61.有关宕机时间成本和自动恢复策略成本会产生什么影响？A)两个成本都增加了时间消耗B)宕机时间增加时间消耗和自动恢复策略成本降低了时间消耗C)两个成本都降低了时间消耗D)时间消耗对两个成本都没有影响答案:B解析:[单选题]62.对成功的社会工程攻击的最贴近的解释是:A)计算机逻辑出错。B)人员判断出错。C)攻击者的计算机知识。D)攻击方法的技术复杂。答案:B解析:A.受逻辑推动，计算机每次执行错误逻辑时都会犯相同的错误;但是，这并不是设计社会工程攻击时的基本论据。B.人类在判断其他人时会犯错;他们可能会相信实际上不值得信任的人C.通常情况下，社会工程攻击不需要技术专长;攻击者通常并不精通信息技术或系统。D.社会工程攻击以人为对象，一般不涉及复杂技术。[单选题]63.企业正在评估采用云计算和WEB虚拟化，而不是为开发环境构筑一个新的IT基础设施架构，审计师最需要关注什么？A)尚未对类似项目的基准指标进行考虑B)尚未咨询安全人员的意见C)尚未建立项目的业务案例D)已设计的技术体系没有考虑硬件的节约答案:C解析:任何的IT投资，都总是要在业务用例中写清楚与之相关的利益和投资回报率（ROI），以便由管理部门共享并获得批准。所有的IT投资都必须支持业务。基准指标是一个好的参照，但是不足以说明这个IT投资的优点。安全人员可能会涉及到决策过程并且参与业务用例的定义，然而，在这种情况下更重要的是，定义明确的涉及所有利益相关者的业务案例。评估硬件的节约是业务用例的一部分，并且仅仅提供了有关投资回报率的一部分信息。另外，并不仅仅是硬件才要节约，包括IT维护和操作人员、软件在内的所有资源都需要节约。点评：IT规划应符合业务要求[单选题]64.在设计一个新系统时设立一个中断或冻结点的原因是:A)避免对一个进行中的项目的更多的影响/变更。B)表明在该点设计将被完成。C)要求对该点进行成本－效益评估后变更。D)提供项目管理团队对该项目设计更多的控制。答案:C解析:项目总有扩张的趋势，尤其是自需求(分析)定义阶段。由于项目成本的提高，这样的扩张通常会使原本评估的投入-收益比减少。当这样的情形发生时，建议项目暂停或冻结，从而可以重新评估(项目的)投入-收益比以及回报周期。[单选题]65.当一个新系统要在很短的时间内被实施，最重要的是A)完成用户手册的编写B)进行用户接受测试C)加入最后的增强功能D)确保源代码已记录和已复核答案:B解析:用户接受测试的完成并确定系统实施工作的正确性是十分重要的。用户手册的完成类似于代码复查的执行。如果时间紧迫，最后想要做的事加入另外的增强功能，因为代码冻结和完成测试，这时做任何其他变动如未来增强功能是都是必需的。生成代码文档和代码复核是适当的。但是除非用户接受测试已完成，否则系统工作的正确性和是否满足用户需求是得不到保证的。点评：只有UAT后，系统才能实施[单选题]66.对于一个灾难恢复计划，一个IS审计师的任务应包括？A)确定关键的应用。B)在恢复测试中确定外部服务提供商。C)观测灾难恢复计划的测试。D)确定建立恢复时间目标（RTO）的标准。答案:C解析:当灾难恢复计划测试的时候，IS审计师需要在场以保证测试满足恢复目标，及恢复程序是有用和有效的。在适当情况下，审计师应该提供测试结果报告。其他选项都是管理层的职责。[单选题]67.一种用来保证程序的源代码和执行代码相一致的控制是：A)验证程序的移动请求是经过授权的。B)要求对程序、系统和代码进行平行测试。C)授权程序员只能对测试库进行访问。D)将源代码重新编译到生产库中。答案:D解析:D正确,将源代码重新编译到生产库中，编成新的执行代码，可以比较新老执行是否一致，从而确定源代码和执行代码是否一致；A不正确,这是程序变更控制；B不正确,这是进行程序、系统和代码转换的控制；C不正确,这是程序安全控制，限制访问路径。[单选题]68.在客户端-服务器构架中，域名服务（DNS）最重要，因为其提供：A)域服务器的地址B)名称/地址的解析服务C)互联网的IP地址D)域名系统答案:B解析:在互联网中，DNS主要用于网站的名称/地址。DNS是一项把域名转换成IP地址的互联网服务。由于名称使用字母，所以更容易记住。但互联网基于IP地址。每次使用域名时，DNS服务都必须将名称转换为相应的IP地址。DNS系统具有自己的网络。如果一个DNS服务器不知道如何转换特殊域名，该服务器将依次询问其他DNS服务器，直到返回正确的IP地址。[单选题]69.一家在线股票交易公司正在实施一个系统，以实现与客户之间安全的电子邮件沟通。为确保机密性，完整性和不可否认性，以下哪项是最佳选择A)对称式秘钥加密B)数字签名:无法保证机密性C)消息分类算法D)数字证书答案:D解析:数字证书中包含公钥，可对有关公钥所有者的信息进行识别。相关的私钥由所有者机密地持有。这些证书一般有值得信任的机构验证，目的是将个人身份与公钥关联起来，电子邮件的机密性和完整性以公钥和私钥加密实现，由受信第三方验证数字证书即可保证发送者的不可否认性。对称式秘钥加密法使用单一通关短语来加密和解密消息。尽管这种加密类型很强大，但它却承袭了需要以安全方式共享通关短语这样一个问题。数字签名可以提供消息的完整性和不可否认性，但是，由于使用发送者的公钥进行数字签名解密的，机密性无法保证。消息分类算法是一种设计哈希功能以验证消息/数据完整性的方法，消息分类算法不提供机密性和不可否认性。[单选题]70.对于通过因特网从一个主机连接另一主机，通道技术可通过下列哪一项提供额外的安全性?A)提供端对端加密B)启用更强大的加密密钥C)防止密码破解和重放攻击D)便于基于公共密钥基础结构(PKI)的证书交换答案:A解析:[单选题]71.IS审计师审查数据库控制时发现，在正常工作时间对数据库的修改需要一系列的标准程序，然而，正常时间之外，只需要很少步骤的操作就可以完成变更。对于这种情况，以下哪一项可以考虑作为适当的补偿控制？A)只允许数据库管理员账户进行修改B)在对普通用户帐户授权后，才可修改数据库C)使用DBA帐户进行修改，记录修改并日后审查修改日志D)使用普通用户帐户进行修改，记录修改并日后审查修改日志答案:C解析:在正常时间之外使用DBA用户进行修改是最合适的，因为它可以保证所有修改都得到记录；记录改变情况的日志，可以确保变化被再审阅；应用DBA用户但不做记录的做法在账户访问获得通过后，将会允许对数据库作出不受控制的修改；没有控制的普通用户账户将允许对任何数据库进行不受控制的修改；日志只提供作出更改的信息，但不会限制只允许那些被授权的进行修改。因此，记录日志并进行检查可以组成一套合适的补偿性控制。[单选题]72.以下哪一项是采用原型法作为系统开发方法学的主要缺点？A)用户对项目进度的期望可能过于乐观B)有效的变更控制和管理不可能实施C)用户参与日常项目管理可能过于广泛D)用户通常不具备足够的知识来帮助系统开发答案:A解析:[单选题]73.执行问题管理机制的第一步应该是:A)问题分析。B)例外等级评定。C)例外报告D)根本原因分析。答案:C解析:A.分析和解决问题在执行记录和分类之后进行。B.例外等级评定只能在例外报告后执行。C.报告运作问题通常是跟踪问题的第一步。D.根本原因分析在例外被确认之后进行，一般不是问题管理的第一步。[单选题]74.能够解决尾随的风险最有效的控制措施是:A)有一个传达员的单独入口B)采用智能卡C)生物学验证门锁D)双重门答案:A解析:双重门，是一种使用两道门的系统。若是操作第二道门，第一道门必须关闭并且只有一个人允许在维持区域保留。这样就减少了未授权的人尾随授权人进入安全入口的风险(尾随)。另外的选项全都是对安全区域的入口处添加物理控制，但是并不会特定的解决尾随的风险[单选题]75.在审查企业的IT战略规划时，信息系统审计师应该会发现：A)评估该组织具有业务目标的应用程序组合是否合适B)以行动来降低硬件采购资本C)一个对IT合同资源认可的供应商列表D)一个组织的网络边界安全的技术体系结构的描述答案:A解析:如何评估一个组织良好的应用程序组合，来支持该组织的业务目标是一个整体的IY战略规划过程中的重要组成部分。IT需求方的规划驱动并转换成一个IT战略意向图。然后可以进一步评估如何取得良好的整体IT组织，包括应用，基础设施，服务，管理流程等。这些能够支持业务目标。运行效率的倡议属于战术规划，而不是战略规划。一个IT战略计划的目的是阐述将如何实现或支持企业的经营目标。一个对IT合同资源支持的供应商的列表是一个战术，而不是一个战略问题。一个IT战略规划通常不会包括具体的技术架构和细节。点评：IT战略以业务目标为导向[单选题]76.信息系统审计师在评估制定计划的关键绩效指标(KPI)时,最重要是KPI指出:A)IT交付结果是过程驱动的B)IT解决方案在预算范围内C)IT资源得到充分利用D)IT目标经过衡量答案:D解析:[单选题]77.因为调整的需要必须要保留很长一段时间的敏感数据备份解决方案，哪项是最重要的评估标准:A)全备份窗口B)介质的成本C)恢复窗口D)介质的可靠性答案:D解析:为满足调整需要，介质应当足够可靠以保证组织因任何原因恢复数据的能力。介质价格需要关注，但不如其提供的可靠性更重要。A、和C、都不如可靠性关键。[单选题]78.规定?每个人必须在每个控制门处进行门禁证章读取?的信息安全政策可应对以下哪种攻击方法？A)尾随B)肩窥C)垃圾搜寻D)模拟答案:A解析:尾随是指未经授权的人员通过物理或虚拟方式尾随授权人员进入限制区域。此政策解决了在为陌生人开门时遇到的礼貌行为问题。如果每名员工必须在每个控制门禁证章读取，则未经授权的人员就无法进入敏感区域。通过尾随方式访问限制区域的未经授权人员可利用肩窥方式获取用户的敏感信息，不过此政策特指物理访问控制。通过实施此政策无法防止肩窥。垃圾搜寻，即通过翻查组织的垃圾箱获取有价值的信息，可在公司的周边完成；因此，此政策无法因对这种攻击方法。模拟是指社会工程师冒充员工试图检索所需信息。某些形式的社会工程攻击会将模拟攻击和尾随方式结合实施，但是此项安全政策无法应对模拟攻击。[单选题]79.完成评审之前跟被审计单位开会的主要目的是：A)确认审计员没有忽略任何重要的议题B)获取对审计结果的一致意见C)接受关于审计规程充分性的反馈D)测试最终报告答案:B解析:完成评审之前跟被审计单位开会的主要目的是获取对审计结果的一致意见。其他的的选项虽然都与正式完成审计工作相关但是都是次要的。点评：讨论审计发现的首要目的是确认[单选题]80.为确认是否有未授权的生产代码变更，最好的审计流程是：A)仔细检查变更控制系统记录并往前追踪到目标代码文件。B)检查生产控制库中的访问控制权限操作。C)仔细检查目标代码，找出变化的实例，并往后追踪到变更控制记录。D)检查在变更控制系统中，变更批准名称的建立情况。答案:C解析:通过检查目标代码建立代码变更实例，并跟踪到变更控制记录，是直接发现未授权变更风险的有效测试方法。其他选项在变更控制审计中也是有效的，但他们不能直接发现未授权的代码变化的风险。点评：从变更的结果向回找到变更的控制[单选题]81.在对业务持续性计划进行验证时，以下哪项对于信息系统审计师来说最为重要A)数据备份准时执行B)备份站点已签订合约，并且在需要时可以使用C)人员安全计划部署适当D)保险答案:A解析:业务业务持续性计划最重要的要素就是保护人的生命。他应当优先于计划的其他方面。[单选题]82.通常，黑客使用如下哪一种攻击手段时，会引起对互联网站点的分布式拒绝服务攻击（DDos）?A)逻辑炸弹B)网路钓鱼C)间谍软件D)特洛伊木马答案:D解析:[单选题]83.以下哪项IT治理是做法可以提高战略一致性？A)供应商和合作伙伴的风险管理B)对客户，产品，市场和流程的知识理解到位C)提供一个有利于创造和共享商业信息的架构D)高层管理人员在业务和技术之间协调答案:D解析:高层管理人员在业务和数据之间协调是指一个IT战略一致性的最佳做法，对供应商和合作伙伴的风险进行管理是一种风险管理的最佳做法，对客户产品市场和流程的知识理解到位的知识基础，是IT价值交付的最佳选择，提供一个有利于创造和共享商业信息的架构是IT价值交付和风险管理的最佳方法。点评：战略一致性是指IT与业务保持一致[单选题]84.使用测试数据验证交易处理的最大挑战是：A)实际的生产数据可能被污染。B)创建测试数据以覆盖所有可能的正常的和非正常的情景。C)测试结果与生产环境中的结果做比较。D)与高速事务处理相关的数据隔离。答案:B解析:测试用例的设计是最大的挑战。[单选题]85.在应用程序开发中，质量保证测试和用户验收测试被结合起来。IS审计师在检查项目时应着重关注:A)增加的维护费用B)有关测试的不正确文件C)不充分的功能测试D)问题解决的延迟答案:A解析:质量保证测试和用户验收测试结合的主要风险是功能测试可能不充分，选A、B、D、不是重要的。[单选题]86.为帮助管理层取得IT和业务统一，IS审计员应该推荐使用:A)控制的自我评估B)业务影响分析C)IT平衡记分表D)业务流程重构答案:A解析:IT平衡积分卡提供了IT目标和业务目标之间的桥梁，在传统的金融评估基础上补充了客户满意度，内部流程和创新能力的评估尺度。控制自我评估，业务影像分析和业务流程重构不足以实现IT和业务的统一。[单选题]87.防止未经授权的访问被盗或丢失的笔记本电脑上的机密信息，以下哪种控制措施最有效?A)磁盘加密B)远程删除功能C)对文件进行密码保护D)提高用户警惕性答案:A解析:[单选题]88.要使无线局域网(WLAN)中传输数据的机密性得到最佳保护，需要会话A)仅限于预定义的介质访问控制(MAC)地址B)使用静态密钥加密。C)使用动态密钥加密。D)从具有加密存储的设备启动。答案:C解析:A.通过介质访问控制(MAC)地址过滤来限制可以访间网络的设备数量不是一种有效率的控制，不能解决会话加密的问题。B.静态密钥加密是指在长时间内使用相同的密码，这会导致密钥被破解的风险。C.在使用动态密钥时，加密密钥会经常改变，因此可以降低密钥被破解和消息被解密的风险。D.连接设备(便携式计算机、智能手机等)上的数据加密针对的是设备数据的机密性，而不是无线会话。[单选题]89.为确保双方间消息的完整性、机密性和不可否认性，最有效的方法是创建消息摘要，方法是将加密哈希算法应用到：A)整个消息，使用发送方的私钥将消息摘要加密，使用对称密钥将消息加密，以及通过使用接收方的公钥将密钥加密。B)消息的任何部分，使用发送方的私钥将消息摘要加密，使用对称密钥将消息加密，以及通过使用接收方的公钥将密钥加密。C)整个消息，使用发送方的私钥将消息摘要加密，使用对称密钥将消息加密，以及通过使用接收方的公钥将已加密消息和摘要加密。D)整个消息，使用发送方的私钥将消息摘要加密，以及通过使用接收方的公钥将消息加密。答案:A解析:1.将加密哈希算法应用到整个消息可解决消息完