CISA中文习题710-副本

CISA2008

Chapter1信息系统审计程序

■ISACA发布的信息系统审计标准”，准则,程序和职业道德规范

■IS审计实务和技术

■收集信息和保存证据的技术（观察，调查问卷，谈话，计算机辅助审计技术，电子介质）

■证据的生命周期（证据的收集，保护和证据之间的关系）

■与信息系统相关的控制目标和控制

■审计过程中的风险评估

■审计计划和管理技术

■报告和沟通技术（推进，商谈，解决冲突）

■控制自我评估

■不间断审计技术（连续审计技术）

Chapter2IT治理

■IT战略，政策，标准和程序对组织的意义，及其基本要素

■IT治理框架

■制定实施和恢复IT战略政策标准和程序的流程

■质量管理战略和政策

■与IT使用和管理相关的组织结构，角色和职责

■公认的国际IT标准和准则

■制定长期战略方向的企业所需的IT体系及其内容

■风险管理方法和工具

■控制框架（cobit）的使用

■成熟度和流程改进模型

■签约战略,程序和合同管理实务

■IT绩效的监督和报告实务

■有关的法律规章问题（保密，隐私，知识产权）

■IT人力资源管理

■资源投资和配置实务

Chapter3系统和体系生命周期

■收益管理实务（可行性研究，业务案例）

■项目治理机制,如:项目指导委员会，项目监督委员会

■项目管理实务，工具和控制框架

■用于项目管理上的风险管理实务

■项目成功的原则和风险

■涉及开发，维护系统的配置，变更和版本管理

■确保IT系统应用的交易和数据的完整性,准确性，有效性和授权的控制目标和技术

■关于数据，应用和技术的企业框架

■需求分析和管理实务

■采购和合同管理程序

■系统开发方法和工具以及他们的优缺点

■质量保证方法

■测试流程的管理

■数据转换工具技术和程序

■系统的处置程序

■软件，硬件的认证和鉴证实务

■实施后的检查目标和方法，如项目关闭，收益实现，绩效测定

■系统移植和体系开发实务

Chapter4IT服务和交付

■服务等级和水平

■运营管理的最佳实务:如工作负荷调度,网络服务管理，预防性维护

■系统性能监控程序,工具和技术.

■硬件和网络设备的功能

■数据库管理实务

■操作系统工具软件和数据库管理系统

■生产能力计划和监控技术

■对生产系统的应急变更和调度管理程序，包括变更配置版本发布和补丁管理实务

■生产事件/问题管理实务

■软件许可证和清单管理实务

■系统缩放工具和技术

Chapters信息资产保护

■信息系统安全设计，实施和监控技术

■用户使用授权的功能和数据时，识别签订和约束等逻辑访问控制

■逻辑访问安全体系

■攻击方法和技术

■对安全事件的预测和响应程序

■网络和internet安全设备

■入侵检测系统和防火墙的配置

■加密算法/技术

■公共密钥机构组件

■病毒检测和控制技术

■安全方案测试和评估技术:渗透技术，漏洞扫描

■生产环境保护实务和设备

■物理安全系统和实务

■数据分类技术

■语音通讯的安全

■保密信息资产的采集.存储.使用.传输和处置程序和流程

■与使用便携式和无线设备

Chapter6业务连续性与灾难恢复计划

■数据备份，存储，维护，保留和恢复流程

■业务连续性和灾难恢复有关的法律规章协议和保险问题

■业务影响分析(BIA)

■开发和维护灾难恢复与业务持续计划

■灾难恢复和业务连续性计划测试途径和方法

■与灾难恢复和业务连续性有关的人力资源管理

■启用灾难恢复和业务连续性计划的程序和流程

■备用业务处理站点的类型,和监督有关协议合同的方法

CISA2008练习题

Chapter1

i.下列哪些形式的审计证据就被视为最可靠？

□口头声明的审计

□由审计人员进行测试的结果

□组织内部产生的计算机财务报告

□从外界收到的确认来信

2当程序变化是，从下列哪种总体种抽样效果最好？

□测试库清单

□源代码清单

□程序变更要求

□产品库清单

■3在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：

□系统程序员.

□法律人员

□业务部门经理

□应用程序员.

■4进行符合性测试的时候，下面哪一种抽样方法最有效？

□属性抽样

□变量抽样

□平均单位分层抽样

□差别估算

■5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：

□当数据流通过系统时，其作用的控制点。

□只和预防控制和检查控制有关.

□纠正控制只能算是补偿.

□分类有助于审计人员确定哪种控制失效

■6审计人员在对儿个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。

下列哪些工具最适合从事这项工作？

□计算机辅助开发工具(casetool)

□嵌入式(embedded)数据收集工具

□启发扫描工具(heuristicscanningtools)

□趋势/变化检测工具

■7在应用程序开发项目的系统设计阶段，审计人员的主要作用是：

□建议具体而详细的控制程序

□保证设计准确地反映了需求

□确保在开始设计的时候包括了所有必要的控制

□开发经理严格遵守开发日程安排

■8下面哪一个目标控制自我评估(CSA)计划的目标？

□关注高风险领域

□替换审计责任

□完成控制问卷

□促进合作研讨会Collaborativefacilitativeworkshops

■9利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：

□充分保护信息资产

□根据资产价值进行基本水平的保护

□对于信息资产进行合理水平的保护

□根据所有要保护的信息资产分配相应的资源

■10审计轨迹的主要目的是：

□改善用户响应时间

□确定交易过程的责任和权利

□提高系统的运行效率

□为审计人员追踪交易提供有用的资料

■11在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：

□可以使用的CAATs

□管理层的陈述

□组织结构和岗位职责.

□存在内部控制和运行控制

■12对于组织成员使用控制自我评估(CSA)技术的主要好处是：

□可以确定高风险领域，以便以后进行详细的审查

□使审计人员可以独立评估风险

□可以作来取代传统的审计

□使管理层可以放弃relinquish对控制的责任

■13下列哪一种在线审计技术对于尽早发现错误或异常最有效？

□嵌入审计模块

□综合测试设备Integratedtestfacility

□快照sanpshots

□审计钩Audithooks

■14当•个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方

法？

□时于程序库控制进行实质性测试

□对于程序库控制进行复合性测试

□对■于程序编译控制的符合性测试

□对于程序编译控制的实质性测试

■15在实施连续监控系统时，信息系统审计师第一步时确定：

□合理的开始(thresholds)指标值

□组织的高风险领域

□输出文件的位置和格式

□最有最高回报潜力的应用程序

■16审计计划阶段，最重要的一步是确定：

□高风险领域

□审计人员的技能

□审计测试步骤

□审计时间

■17审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：

□在应用系统开发过程中，实施了具体的控制

□设计并嵌入了专门审计这个应用系统的审计模块

□作为应用系统的项目组成员，但并没有经营责任

□为应用系统最佳实践提供咨询意见

■18审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后,

存放在书桌抽屉里。IS审计师可以推测的结论是：

□经理助理有舞弊行为

□不能肯定无疑是谁做的

□肯定是经理进行舞弊

□系统管理员进行舞弊

■19为确保审计资源的价值分配给组织价值最大的部分，第一步将是：

□制定审计日程表并监督花在每一个审计项目上的时间

□培养审计人员使用目前公司正在使用的最新技术

□根据详细的风险评估确定审计计划

□监督审计的进展并开始成本控制措施

■20审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪•个发现是审计师应该最重视的？

□有一些外部调制解调器连接网络

□用户可以在他们的计算机上安装软件

□网络监控是非常有限的

□许多用户帐号的密码是相同的

■21信息系统审计师在控制自我评估(CSA)中的传统角色是：

□推动者(facilitator)

□经理

□伙伴

□股东

■22下面哪一种审计技术为IS部门的职权分离提供了最好的证据：

□与管理层讨论

□审查组织结构图

□观察和面谈

□测试用户访问权限

■23IS审计师应该最关注下面哪一种情况？

□缺少对成功攻击网络的报告

□缺少对于入侵企图的通报政策

□缺少对于访问权限的定期审查

□没有通告公众有关入侵的情况

■24审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？

□可得到在线网络文档

□支持终端访问远程主机

□处理在主机和内部用户通信之间的文件传输

□执行管理，审计和控制

■25审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：

□固有的风险.

□控制风险

□检查危险

□审计风险

■26审计章程应采取：

□是动态的和经常变化的，以便适应技术和和审计专业(professional)的改变

□清楚的说明审计目标和授权，维护和审核内部控制

□文档化达到计划审计目标的审计程序

□列出对审计功能的所有授权，范围和责任

■27审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的？

□应用程序所有者不知道IT部门对系统实施的一些应用

□应用数据每周只备份一次

□应用开发文档不完整

□信息处理设施没有受到适当的火灾探测系统的保护

■281s审计功能的一个主要目的是：

□确定每个人是否都按照工作说明使用IS资源

□确定信息系统的资产保护和保持数据的完整性

□对于计算机化的系统审查帐册及有关证明文件

□确定该组织识别诈骗fraud的能力

■29进行审计的时候，审计师发现存在病毒，IS审计师下一步应该做什么？

□观察反应机制

□病毒清除网络

□立即通知有关人员

□确保删除病毒

■30审计章程的的主要目标是：

□A记录企业使用的审计流程

□B审计部门行动计划的正式文件

□C记录审计师专业行为的行为准则

□D说明审计部门的权力和责任。

■31在对IT程序的安全性审计过程中，IS审计师发现没有文件记录安全程序，该审计员应该：

□建立程序文件

□终止审计

□进行一致性测试

□鉴定和评估现行做法

■32在风险分析期间，IS审计师已经确定了威胁和潜在的影响，下一步IS审计师应该：

□确定并评估管制层使用的风险评估过程

□确定信息资产和受影响的系统

□发现对管理者的威胁和影响

□鉴定和评估现有控制.

■33下面哪一项用于描述ITF(整体测试法)最合适？

□这种方法使IS审计师能够测试计算机应用程序以核实正确处理

□利用硬件和或软件测试和审查计算机系统的功能

□这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程

□IS系统审计师用于测试的种程序，可以用于处理tagging和扩展交易和主文件记录。

■341s审计师要判断是否严格控制被授权者对于程序文档的访问，最有可能的做法是：

□评估在存储场所的文件保存计划

□就当前正在进行的流程采访程序员

□对比实际使用的记录和操作表

□审查数据文件访问记录测试管理库的功能

■35需要进一步收集哪些数据，IS审计师的决定取决于

□需要的重要信息的可用性

□审计师对于情况的熟悉程序

□审计人员(auditee)找到相关证据的能力

□进行审计的目的和范围

■36审查管理层的长期战略计划有助于审计师：

□了解一个组织的宗旨和目标

□测试企业的内部控制

□评估组织队信息系统的依赖性

□确定审计所需的资源

■37利用统计抽样程序可以减少：

□抽样风险

□检查风险

□固有风险

□控制风险

■38IS审计师对软件使用和许可权进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种

行为？

□个人擅自删除所有未授权软件拷贝

□通知被审计人员非授权软件的情况，并确认删除

□报告使用未经授权软体的情况，并需要管理层避免这种情况重复发生

□不采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用

■39下面哪一项IS审计师可用来确定编辑和确认程序的有效性(effectiveness)?

□域完整性测试

□相关完整性测试

□参照完整性测试

□奇偶校验检查

■40下面哪一种情况下，IS审计师应该用统计抽样而不是判断抽样(nonstatistical)：

□错误率必须被客观量化(objectivelyquantified)

□审计师希望避免抽样风险

□通用审计软件不实用(unavailable)

□容忍误差(tolerableerrorrate)不能确定

■41证明税收计算系统精确性的最好的方法是：

□对于计算程序源代码详细目测审核和分析

□使用通用审计软件对每个月计算的总数进行重复的逻辑计算

□为处理流程准备模拟交易，并和预先确定的结果进行比较

□自动分析流程图和计算程序的源代码

■42以下哪一个是使用测试数据的最大的挑战？

□确定测试的程序的版本和产品程序的版本一致

□制造测试数据包括所有可能的有效和无效的条件

□对于测试的应用系统，尽量减少附加交易的影响

□在审计师监督下处理测试数据

■43电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因？

□多重循环备份档案可供利用

□访问控制可以确定电子邮件行为的责任

□对于通过电子邮件交流的信息尽心过数据分类管理

□企业中，用于确保证据可得的清晰的使用电子邮件的政策

■441s审计师对于应用程序控制进行审查，应该评价：

□应用程序对于业务流程的的效率

□发现的隐患exposures的影响

□应用程序服务的业务

□应用程序的优化.

■45以下哪一个是最主要的优势，利用计算机司法软件进行调查：

□维护保管的一系列电子证据

□节约时间

□效率和效益

□寻求侵犯知识产权证据的能力

■46以下哪一个是使用ITF综合测试法的优势？

□使用真实的或虚拟的主文件，1S审计师不需要审查交易的来源。

□定期检验过程并不需要单独分离测试过程

□证实应用程序并可测试正在进行的操作

□它无需准备测试数据.

■47风险分析的一个关键因素是：

□审计计划.

□控制

□弱点.Vulnerabilities

□负债liabilities

■48IS审计师的决策和行动最有可能影响下面哪种风险？

□固有风险

□检查分析

□控制风险

□业务风险

■49在一台重要的服务器中，IS审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱

点。IS审计师应该首先做什么？

□调查病毒的作者.

□分析操作系统日志

□确保恶意代码已被清除

□安装消除弱点vulnerability的补丁.

■50组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：

□控制程序.

□控制目标

□纠正控制

□运行控制.

■511s审计师审计1T控制的效果，发现了一份以前的审计报告，但是没有工作记录workpapers,IS审计师应该

怎么处理？

□暂停审计直至找到工作记录

□依靠以前的审计报告

□对于风险最高的区域重新测试控制

□通知审计管理层，重新测试控制

■521s审计师审查组织图主要是为了：

□理解工作流程

□调查各种沟通渠道

□理解个人的责任和权利

□调查员工之间不同的联系渠道

■531s审计师审查对于应用程序的访问，以确定最近的10个“新用户”是否被争取的授权，这个例子是关于：

□变量抽芽

□实质性测试

□符合性测试

□停-走抽样.

■54当需要审计轨迹的时候，以下哪一种审计工具最有用？

□综合测试法(ITF)

□持续间断模拟(CIS)

□审计钩(audithook)

□快照

■55当需要审计轨迹的时候，以下哪一种审计工具最有用？

□综合测试法(ITF)

□持续间断模拟(CIS)

□审计钩(audithook)

□快照

■56以下哪一个是实质性测试？

□检查例外报告清单

□确认对参数改变进行审批

□对于磁带库清单进行统计抽样

□审核密码历史记录

■57对于特定威胁的整体经营风险的威胁，可以表示如下：

□一种产品的可能性和影响的重要性，如果威胁暴露了弱点

□影响的重要性应该是威胁来源暴露了弱点

□威胁来源暴露弱点的可能性

□风险评估小组的整体判断

■58在审查客户主文件的时候，IS审计师发现很多客户的名字相同arisingfromvariationsincustomerfirstnames,

为了进一步确定重复程度，IS设计师应该：

□测试数据以确认输入数据

□测试数据以确定系统排序能力

□用通用审计软件确定地址字段的重复情况

□用通用审计软件确定帐户字段的重复情况

■59通常，以下哪一种证据对IS审计师来说最可靠？

□收到的来自第三方的核实帐户余额确认信

□一线经理确保应用程序如设计的方式工作

□从internet来源得到的数据趋势(Trenddata)

□由一线经理提供报告，IS审计师开发的比率分析(Ratioanalysis)

■60成功的实施控制自我评估(CSA)需要高度依赖：

□一线管理人员承担部分监督管理责任

□安排人员负责建设build管理,而不是监督、控制

□实施严格的控制策略，和规则驱动的控制

□监督实施和并对控制职责进行监督monitoring

■61审计计划阶段，对于风险的评估用于提供：

□审计覆盖重大事项的合理保证

□明确保证重大事项在审计工作中被覆盖

□审计覆盖所有事项的合理保证

□充分保证所有事项在审计工作中被覆盖

■62下面哪一项是使用基于风险方法的审计计划的好处？审计

□日程安排可以提前完成.

□预算更符合IS审计人员的需要

□人员可以使用不同的技术

□资源分配给高风险领域

■63IS审计人员使用数据流程图是用来

□定义数据层次

□突出高级别数据定义.

□用图表化方式描述数据路径和存储

□描绘一步一步数据产生的详细资料

■64在对数据中心进行安全审计时，通常审计师第一步要采取的是：

□评级物理访问控制测试的结果

□确定对于数据中心站点的风险/威胁

□审查业务持续程序

□测试对于可疑站点的物理访问的证据

■65高层管理要求IS审计师帮助部门管理者实施必要的控制，IS审计师应该：

□拒绝这种安排，因为这不是审计人员的职责

□告诉管理层将来他的审计工作无法进行

□执行安排和将来的审计工作，处于职业谨慎

□在得到用户部门批准的情况下，进行实施和后续工作

■66在制定风险基础审计策略时，IS审计师需要进行风险评估审计，目的是保证：

□减轻风险的控制到位

□确定了脆弱性和威胁

□审计风险的考虑.

□Gap差距分析是合适的.

■67当通知审计结果时，IS审计师应该牢记他们的最终责任是对：

□高级管理和/或审计委员会.

□被审计单位的经理.

□IS审计主管.

□法律部门legalauthorities

■68对于抽样可以这样认为：

□当相关的总体不具体或者是控制没有文档记录时intangibleorundocumentedcontrol,适用于统计抽样。

□如果审计师知道内部控制是强有力的，可以降低置信系数

□属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。

□变量抽样是一种技术，用于评估某种控制或一系列相关控制的发生率。

■691s审计师评估系统变更的测试结果，这个系统用于处理缴纳结算paymentcomputation。审计师发现50%的

计算结果不能和预先定义的总数匹配。IS审计师最有可能采取下面哪一步措施？

□对于出错的计算，设计进一步的测试

□确定可能导致测试结果错误的变量

□检查部分测试案例，以便确认结果

□记录结果，准备包括发现、结论和建议的报告

■70在实施对于多用户分布式应用程序的审核时，IS审计师发现在三个方面存在小的弱点：初始参数设置不当，

正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应该：

□分别记录对于每个发现产生的相关影响。(recordtheobservationsseparatelywiththeimpactofeachof

themmarkedagainsteachrespectivefinding.)

□建议经理关于可能的风险不记录这些发现，因为控制弱点很小

□记录发现的结果和由于综合缺陷引发的风险

□报告部门领导重视每一个发现并在报告中适当的记录

■71人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分，这种情况下最好使用下面哪一种审计

技术？

□测试数据

□通用审计软件

□ITF综合测试法

□嵌入审计模块

■72持续审计方法的主要优点是：

□当处理过程开始的时候，不要求审计师就系统的可靠性收集证据

□当所有信息收集完成后，需要审计师审查并立即采取行动

□可以提高系统的安全性，当使用分时环境处理大量的交易时

□不依靠组织的计算机系统的复杂性。

■73在审计章程中记录的审计功能中的责任、权力和经营责任responsibility,authorityandaccountability,必须：

□必须经最高管理层批准

□经审计部门管理者批准

□经用户部门领导批准

□在每年IS审计师大会commencement之前修改

■74IS审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整，是由：

□匹配输入数据的控制总数和原始数据的控制总数

□对数据进行排序以确认是否数据和原始数据的序号相同

□审查打印输出的前100条原始记录和输入数据的前100条记录

□按照不同的分类过滤数据，和原始数据核对

■75在评估网络监测控制时，IS审计师第一步应该审核网络的

□A拓朴图.

□带宽使用.

□阻塞分析报告

□瓶颈确定

■76IS审计师评估信息系统的管理风险。IS审计师应该最先审查：

□已经实施的控制

□已经实施控制的有效性

□资产的风险监督机制

□资产的脆弱性和威胁

■77在有异议的情况下，离开审计面谈中xitinterview,考虑到结果的影响，IS审计师应该：

□要求被审计人员以签名的形式接受所有法律责任

□阐述调查的意义和不纠正的风险

□向审计委员会报告有异议的情况

□接收被审计方的意见，因为他们有处理的所有权

■78确定商品库存的价值己超过八周，IS审计师最有可能是用：

□测试数据.

□统计抽样

□综合测试法ITF

□通用审计软件

■79下列哪一个是风险评估过程的描述？风险评估是：

□主观.

□客观.

□数学方法

□统计

■80综合测试法ITF被认为是一个有用的工具，因为它：

□对于审计应用控制来说，是一种具有成本效益的方式

□允许财务和IS审计师整合他们的测试

□将处理的输出结果与单独计算的数据进行比较。

口为IS审计师提供分析大量信息的工具

■81在审计报告确认发现的结果finding后，被审计方迅速采取了纠正行动。审计师应该：

□在最后报告中包括发现的结果，因为IS师要负责正确的审计报告包括所有的发现结果。

□在最后的调查报告中不包括发现结果，因为审计报告仅仅包括未解决的发现结果

□在最后的调查报告中不包括发现结果，因为在审计师审计期间，纠正行动已经被确认。

□包括结果，仅仅在闭幕会议上讨论调查之用。

■82以风险为基础的审计方法，IS审计师应该首先完成：

□固有的风险评估.

□控制风险评估.

□控制测试评估.

□实质性测试评估.

Chapter2

1.下面哪一种IT治理是提高战略联盟（alignment）的最佳做法？

a）供应商和合作伙伴的风险管理.

b）基于客户、产品、市场、流程的知识库实施到位.

c）提供有利于于建立和共享商业信息的组织结构.

d）高层之间对于业务和技术责任的协调

2.建立可接受的风险水平的责任属于：

a）质量保证经理.

b）高级业务管理.

c）CIO首席信息主管.

d）首席安全主管

3.作为信息安全治理成果，战略联盟提供：

a）企业需求驱动的安全要求.

b）按照最佳实践制定的安全基线.

c）专门的或客户定制的解决方案.

d）了解风险.

4.如果缺乏高层管理人员对于战略计划的许诺（commitment）,最可能的后果是：

a）缺乏技术投资.

b）缺乏系统开发的方法.

c）技术与组织目标不一致.

d）缺乏对于技术合同的控制.

5.用自下而上的方法来开发组织政策的优势在于这样开发的政策：

a）为组织整体而指定.

b）更可能来自于风险评估的结果.

c）与企业整体政策不会冲突.

d）确保整个组织的一致性

6.IS审计师发现并不是所有的员工都知道企业的信息安全政策.IS审计师可以得出的结论是:

a）这种无知有可能导致意外泄漏敏感资料

b）信息安全并非对所有功能都是关键的.

c）IS审计师应该为员工提供安全培训.

d）D审计结果应该使管理者为员工提供持续的培训

7.有效的IT治理应该确保IT计划符合组织的：

a）业务计划.

b）审计计划.

c）安全计划.

d）投资计划.

8.当通信分析人员进行下面哪一项的时候，1S审计师应该给予重点关注？

a）监测系统性能，追踪程序变动导致的问题

b）根据当前和未来的交易量，审查网络负载需求

c）评价终端响应时间和网络数据传输率对于网络负载的影响

d）网络负载平衡措施和改进建议

9.下面哪一项最可能喑示，客户数据仓库应该山内部开发而不是外包给海外运营？

a）时差不同有可能影响IT团队的沟通

b）通信费在第一年非常高

c）有关隐私权的法律可能会阻碍信息跨国界传输

d）软件开发需要更详细的说明

10.当一名员工被解雇时•，需要采取的最重要的行动是：

a）交出全部职工的档案给指定的另一名雇员.

b）完成员工工作的备份.

c）通知其他员工关于该员工的解雇通知.

d）解除该员工的逻辑访问权限.

11.在处理可疑入侵时，一个合理的信息安全策略最有可能包括下列哪一项?

a）反应

b）纠错

c）检测

d）监控

12.1S审计师在审查使用交叉培训做法的组织时，应该评估哪一种风险？

a）对于单个员工的依赖性

b）连续性计划不够充分

c）一个员工了解系统的所有部分

d）错误操作.

13.1S审计师在审查IT设备的外包合同的时候，希望合同确定的是：

a）硬件配置.

b）访问控制软件.

c）知识产权的所有权.

d）开发应用方法.

14.设计信息安全政策时，最重要的一点是所有的信息安全政策应该：

a）非现场存储.

b）由IS经理签署writtenbyISmanagement

c）分发并传播给用户.

d）经常更新.

15.当评价组织的IS战略时候，下面哪一项IS审计师认为是最重要的？

a）获得一线管理人员linemanagement的支持

b）不能与IS部门初步预算有差异

c）遵守采购程序

d）支持该组织的业务目标

16.缺乏足够的安全控制是一个：

a）威胁.

b）资产.

c）影响.

d）脆弱性.

17.对于IT安全策略的审计的主要目的是保证

a）策略向所有员工分发，并且每个员工都知道

b）安全和控制策略支持业务和IT目标

c）有公开发行的组织图表和功能描述

d）适当的职责分离.

18.制订风险管理计划时，首先进行的活动是：

a）风险评估.

b）数据分类.

c）资产清单.

d）关键性分析.

19.制订风险管理计划时，首先进行的活动是：

a）风险评估.

b）数据分类.

c）资产清单.

d）关键性分析.

20.风险分析小组很难预测由可能会由风险造成的经济损失，要评估潜在的损失，小组需要：

a）计算有关资产的折旧.

b）计算投资回报率（ROI）.

c）采用定性的方法.

d）花费必要的时间精确计算损失金额

21.以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险？

a）管理协调用户不存在.

b）无法明确特定用户责任

c）未授权用户可以产生，修改和删除数据

d）审计建议无法实施

22.要支持组织的目标，信息部门应该具有：

a）低成本理念.

b）长期和短期计划.

c）领先的技术.

d）购买新的硬件和软件的计划.

23.为降低成本并提高外包的服务水平，外包应该包括以下哪些合同条款？

a）操作系统和软硬件更新的周期

b）共同分享由于提高绩效获得的收益Gain-sharingperformancebonuses

c）违规处罚

d）费用和可变成本Chargestiedtovariablecostmetrics

24.24.以下哪一项提供了管理机制使IS管理层能够确定是否该组织活动的计划偏离了计划或预期的水平？

a）质量管理

b）Is评估方法

c）管理原则

d）行业标准/基准

25.25.IS控制目标对于IS审计师的用途体现在它们提供了基础，以便于理解：

a）实现特定控制程序的预期结果和目标

b）对于特定实体的最佳IT安全控制措施

c）信息安全的技术.

d）安全策略

26.对于公司的IS审计师来说，考虑外包IT过程并审查每一个供应商的业务持续计划的副本是合适的的么？

□是合适的，因为IS审计师会评估服务商计划的充分性，并帮助公司实施补充计划

□是合适的，因为根据计•划，IS审计师要评估服务方的财务稳定性和履行合同的能力

□不合适，因为提供的备份在合同中应该是具体充分的

□不合适，因为服务方的业务持续计划是私有的信息

27.当服务被外包的时候，以下哪一个是IS管理者最重要的职能？

□:确保支付给服务商发票

□作为参加者参与系统设计

□重新和服务商关于费用进行谈判

□监督外包商的业绩

■28.当IT支持部门和终端用户之间的责权分离问题很重要时，应该采取下面哪种补偿控制？

□限制物理访问计算机设备

□审查交易和应用II志

□在雇用IT部门人员时进行背景调查

□一段时间不活动后，锁定用户进程

■29.对于组织来说外包其数据处理业务的可能的优势是：

□能够获得所需要的外部的专家经验

□可以对处理行使更大的控制

□可以实施和内部确定处理的优先权

□沟通用户需求时，需要更多的用户参与

■30.IS指导委员会应该：

□包括来自各个部门和各个层次的员工

□确保IS安全政策和程序被适当的执行

□有正式的定期召开例会，并保留每一次会议记录

□在每一次供应商召集的会议上，记录新的趋势和产品

■31.某个长期雇员是具有强大的技术背景和广泛的管理经验，申请1S审计部门的一个空缺职位。确定是否在此

岗位上是否聘用此人需要考虑个人经验和：

□服务时间，因为这将有助于确保技术水平.

□年龄，因为培训审计技术可能不切实际.

□1S知识，因为这会带来提高审计工作的可信度.

□能力，因为作为IS审计师，与现有的IS关系是独立的

■32.许多组织要求雇员强制性休假一周以上是为了：

□确保员工保持良好的生活品质，这将带来更大的生产率.

□减少雇员从事非法或不当行为的机会.

□为其他雇用提供适当的交叉培训.

□消除员工休假一次一天的潜在的干扰

■33.在实施平衡计分卡之前，该组织必须：

□提供切实有效的服务.

□确定关键性能指标.

□提供该项目的商业价值.

□控制IT支出.

■34.在企业资源计划(ERP)系统中总帐的设置功能允许设置会计期间。对于这项功能允许财务，仓库和订单

输入部门的用户都可以使用这项功能。这种广泛的访问权的最可能的原因是：

□需要定期更改会计期间

□一个会计期间结束后，需要追加记帐

□缺少适当的政策和程序进行职责分工

□需要建立和修改关于账目和分配的图表

■35.在IS部门中，下面哪一项IS审计师认为是和IS部门的短期计划最相关的？

□资源分配

□保持技术的领先水平

□进行评估自我控制

□硬件需求评估

■36.评估1T风险的最佳办法是：

□评估与现有IT资产和IT项目相关的威胁

□利用公司以往的实际经验，确定当前风险损失.

□审查同类公司公布的损失统计数据

□审查IS审计报告中指出的控制弱点

■37.以下哪一个是IT绩效衡量过程的主要目的？

□最小化错误

□收集绩效数据.

□建立绩效基准.

□绩效优化.

■38.让业务单位担任开发应用业务的责任，很可能会导致：

□:数据通信的需求大幅度减少.

□行使较低水平的控制.

□实行更高层次的控制.

□改善职责分工.

■39.IS审计师受雇审查电子商务安全。IS审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。

下一步工作是什么？

□立即向CIO或CEO报告风险

□检查开发中的电子商务应用.

□确定威胁和发生的可能性.

□核对风险管理的可行预算.

■40.以下哪一项是创建防火墙策略的第一步？

□对于安全应用的成本效益分析方法

□识别外部访问的网络应用

□识别外部访问的网络应用的脆弱性

□设立应用控制矩阵，显示保障办法

■41.确保组织遵守隐私的要求，IS审计师应该首先审查：

□IT基础设施.

□组织的政策、标准和程序.

□法律和规章的规定.

□组织政策、标准和程序的附件.

■42.组织的管理层决定建立一个安全通告awareness程序。下面哪一项可能是程序的一部分？

□利用入侵侦测系统报告事件

□授权使用密码访问所有软件

□安装高效的用户II志系统，以追踪记录每个用户的行为

□定期培训所有当前员工和新进员工

■43.以下哪一项是减轻职责划分不当引发风险的补偿控制？

□序列检验

□核对数字

□源文件保存

□批控制Reconciliations

■44.IT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指标而不是

□财务状况.

□客户满意度

□内部过程的效率.

□创新能力

■45.由上而下的方式建立的业务政策将有助于保证：

□政策在整个组织的范围内一致.

□政策作为风险评估的一部分实施

□遵守所有政策.

□政策被定期检讨.

■46.以下哪一项是IT指导委员会的职能：

□监测供应商对于变更控制的控制和测试

□保证信息处理环境中的职责分离

□审批和监管重大项目，IS计划和预算的情况

□IS部门和终端用户之间的联系

■47.其中哪一项应包括在组织的信息安全政策中？

□要保护的关健IT资源列表

□访问授权的基本原则

□确定敏感安全特征

□相关的软件安全特征

■48.在一个组织内，IT安全的责任被清楚的定义和强化，并始终如一地执行IT安全的风险和影响分析。这表示

的是信息安全治理成熟度模型的哪一级？

□优化.

□管理

□定义

□重复

■49.IS审计师在审查信息系统短期(战术)计划时应确定是否：

□在项目中，IS人员和业务人员进行了整合

□有明确的目标和任务

□信息技术计划战略方法在发挥作用

□将业务目标和IS目标进行关联的计划

■50.局域网(LAN)管理员通常受限制于(不能)：

□具有终端用户权限

□向终端用户经理报告

□具有编程权限

□负责局域网安全管理

■51.一个组织收购其他企业，并继续使用其遗留的电子数据交换系统，和三个独立的增值网供应商。没有书面

的增值网合同。IS审计师应该建议管理者：

□获取第三方服务提供商的独立保证

□设置程序监督第三方交付的服务

□确保正式合同发挥作用

□考虑和第三方服务提供商共同开发业务持续计划

■52.对于成功实施和维护安全政策来说，以下哪一项是最重要的？

□各方的书面安全策略的结构和目的都•致。Assimilationoftheframeworkandintentofawrittensecurity

policybyallappropriateparties

□管理层支持并批准实施和维护安全政策

□通过对任何违反安全规则的行为进行惩罚来强调安全规测

□安全管理人员通过访问控制软件严格执行，监督和强调安全规则

■53.下列哪一项减少了潜在的社会工程攻击的影响：

□遵守规定要求

□提高道德意识

□安全意识awareness程序

□有效的业绩激励

■54.以F是一种机制可以减轻风险.

□安全和控制措施

□财产责任保险

□审计和鉴证

□合同服务水平协议(SLA)

■55.电子取证的风险可能会减少的原因是通过电子邮件的：

□破坏政策.

□安全政策.

□存档政策

□审计政策

■56.IS审计师审查组织的IS战略计划，首先要审查：

□现有的IT环境

□业务计划

□目前的IT预算.

□目前的技术趋势

□

■57.技术变革的速度增加了下面哪一项的重要性：

□外包IS功能.

□实施和强化良好流程

□员工在组织中的建立事业的愿望

□满足用户要求

■58.将会在组织的战略计划中发现下面哪•个目标？

□测试新的帐户包Testanewaccountingpackage

□进行信息技术需求评估

□在接下来的12个月中实施新的项目计划

□成为某种产品的供应商

■59.制定一个安全政策是哪一个部门的最终责任：

□IS部门.

□安全委员会.

□安全管理员.

□董事会

■60.IT治理是哪一项的主要责任：

□首席执行官.

□董事会

口IT指导委员会.

□审计委员会.

■61.IS审计师对于与员工相关的IS管理实践审计进行•般控制审计，应该特别关注的是：

□强制休假政策和遵守情况.

□人员分类和公平的补偿政策.

□员工培训.

□分配给员工的职责.

■62.从控制角度而言，工作的描述的关键要素在于他们：

□提供如何工作的说明和明确的授权

□对于员工来说是更新的，文档化，并且容易得到

□沟通管理者的具体工作业绩预期.

□确立员工行为的责任和义务

■63.下列哪些证据提供了具有合适的安全意识程序的最好证据？

□股东的数量Thenumberofstakeholders,包括受到培训各级员工

□整个企业范围内培训覆盖的范围

□不同供应商的安全设施落实情况

□定期审查并与最佳实践比较

■64.在制定以下哪一项时，包括高层管理人员参与是最重要的？

□战略计划.

□IS政策

□IS程序.

□标准和指南.

■65.在审查IS战略时，IS审计师最能衡量IS策略是否支持组织的业务百标的做法是确定是否:

□有需要的所有人员和装备.

□计划与管理策略一致.

□使用设备和人员的效率和效益.

□有足够的能力，以适应不断变化的方向.

■66.在职责分离不合适的环境中，IS审计师要寻找下面哪一种控制？

□重叠控制

□边界控制

□访问控制

□补偿性控制

■67.当IS从独立的服务提供商处采购时，审计师应该期望在招标书requestforproposal(RFP)中包括下面哪一

项？

□从其他客户参考

□服务水平协议(SLA)模板

□维护协议

□转换计划

■68.风险管理的产出结果是下面哪一项的输入？

□业务计划.

□审计章程.

□安全政策策略.

□软件设计策略.

■69.IT指导委员会审查信息系统主要是为了评估：

□IT处理是否支持业务需求.

□提出的系统的功能是否足够.

□现有软件的稳定性.

□安装技术的复杂性.

■70.建立了信息安全程序的第一步是：

□制定和实施信息安全标准手册.

□IS审计师执行对于安全控制理解的审查performanceofacomprehensivesecuritycontrolreviewbytheIS

auditor.

□采用公司的信息安全政策报告

□购买安全访问控制软件

■71.在审查电子资金转帐系统(EFT)的结构时，IS审计师注意到技术架构基于集中处理方式，并且外包给国外

处理。山于这些信息，下面哪一个结论是IS审计师最关注的？

□可能会有与司法权限范围有关的问题

□由于有国外的供应商可能会导致未来审计费用超支

□由于距离，审计过程可能会很困难

□可能有不同的审计标准

■72组织外包其软件开发，以下哪一项是该组织IT管理的责任？

□支付服务提供商

□作为参加者参加系统设计

□控制外包商遵守服务合同

□与供养商谈判合同

■74.有效的IT治理要求组织的结构和流程能够确保：

□组织的战略和目标延伸到IT战略.

□业务战略来自于IT战略

□IT治理独立于并不同于全面治理

□IT战略扩大了组织的战略和目标

■75.全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和：

□恢复.

□保存.

□重建

□再用

■76.下面哪一项最能保证新员工的正直性？

□背景检查

□参考资料

□bonding

□简历中的资格

Chapter3

□i.一个组织有一个集成开发环境，程序库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是

集成开发环境(IDE)的强项？

■控制程序多个版本的扩散

■扩展程序资源和可得到的辅助工具

■增加程序和加工的整体性

■防止有效的变更被其他修改程序重写

□2.以下哪一项是计划评审技术(PERT)相比其他方法的优点？与其他方法相比：

■为计划和控制项目考虑不同的情景

■允许用户输入程序和系统参数.

■测试系统维护加工的准确性

■估算系统项目成本.

□3.下列哪些是使用原型法进行开发的优点？

■成品系统有足够的控制.

■系统将有足够的安全/审计轨迹.

■减少部署deployment