2025年cisa国际注册信息系统审计师核心备考题库（含典型题、重点题）

PAGEPAGE1一、单选题1.A4-228与没有灾难恢复计划(DRP)相比，有DRP是持续运作的成本足有可能?A、增加B、降低C、保持不变D、无法预测答案：A2.数据匿名化可以防止大数据环境中哪类攻击?A、相关性orreltionB、拒绝服务OSC、中间人攻击D、欺骗答案：A3.哪一项提供IT在一家企业内的作用的最全面描述?A、IT工作说明B、IT章程C、IT组织结构图D、可排除答案：B4.在数据库系统中，正规化的用途是?A、消除死锁B、减少数据冗余。C、缩短数据访问时间。D、使数据标准化。答案：B5.A2-62如果已将服务外包，下列哪一项是IT管理部门要执行的最重要的职能?A、确保提供商的发票已支付B、与提供商已通过参与系统设计C、重新商谈提供商的费用D、监督外包提供商的绩效答案：D6.IT治理审查中，哪一项信息系统审计师是最担忧的A、公司允许两套操作系统B、未监控预算C、IT价值分析未完成D、公司的全部IT技术都是由第三方提供的。答案：C7.A5-88数字签名要求:A、签名者拥有公钥，接收者拥有私钥B、签名者拥有私钥，接收者拥有公钥C、签名者和接收者均拥有公钥D、签名者和接收者均拥有私钥答案：B8.以下哪项最能表明执行安全意识培训的有效性？A、第三方执行的社会工程测试结果B、无意违规行为的减少C、员工对培训的满意度D、完成培训的员工人数增长答案：A9.【重要题】以下哪种措施最可以有效地确认邮件在传输过程中未被修改A、使用对称加密方法加密邮件B、使用发送者私钥加密邮件C、对邮件内容进行强加密D、把邮件和强加密的单向哈希值一起发送答案：D10.【重要题】为减轻API查询公开数据的风险，以下哪项考虑因素最重要?A、数据完整性B、数据质量C、数据最小化D、数据保留答案：C11.A4-124为协助记录软件发布的基准指标，信息系统审计师应建议执行以下哪个流程?A、变更管理B、备份和恢复C、事故管理D、配置管理答案：D12.电子支票（改成EFT)相对于手写支票，最大的优势在于：A、提高效率B、降低未授权的风险C、节约人工成本D、可以统一设定传输标准答案：B13.实施以下哪一种方案能够最好的解决有关IT系统老化的问题A、应用程序组合管理B、新版本发布管理C、配置管理D、IT项目管理答案：B14.A5-113对于信息系统审计师而言，要确定安全意识和培训计划的效果，以下哪种方法最适合?A、审查安全培训项目B、询问安全管理员C、与一部分受到培训的员工面谈D、审查对员工的安全提醒答案：C15.银行的零售系统刚换了服务器，确保服务器能够在满意的响应时间得到响应的测试方法是：(也有考生回忆为：互联网要求很大交易量，最需要进行什么测试?)A、集成测试B、回归测试C、系统测试D、基准测试答案：D16.在对某公司的防火墙配置进行跟进审计时，信息系统审批时发现防火墙已集成到一个新系统中，该系统同时提供防火墙和入侵检测功能。信息系统审计师应该：A、认为跟进审计不必要，因为不再使用防火墙。B、评估当前工作人员是否能够支持新系统。C、审查新系统与现有网络控制的兼容性。D、评估集成系统是否解决已识别的风险。答案：D17.对新员工进行系统访问权限的授权出现较大的延迟，从下面哪方面可以找到根本原因：A、已有的访问权限B、现有的工作流程模型C、SLA服务水平协议答案：B18.系统检查工作人员的信息代码是“退休”还是“在职”，这是哪种类型的检查A、有效性检查B、完整性检查C、存在性检查D、可排除答案：A19.【重要题】对于应用程序开发验收测试来说，以下哪项最重要?A、质量保证(Q)小组负责测试过程B、用户管理在启动测试之前会审批测试设计C、所有数据文件在转换之前均进行了有效信息测试D、编程小组参与测试过程答案：B20.从某个供应商购买了某个新应用并且即将实施。实施应用时以下哪一项是关键考虑因素？A、防止在实施流程中损坏源代码B、确保已禁用供应商的默认账户和密码C、从托管中删除程序的旧副本，以免混淆D、核实供应商在履行支持和维护协议答案：B21.要求审计时，审计部有经验的审计员不足时，怎么办?A、推迟审计B、外部服务(外包)C、继续审计D、拒绝审计答案：B22..数据迁移计划的第一步是?A、创建数据转换脚本B、审查业务流程的决策C、对数据库进行数据清洗D、了解新系统的数据结构答案：D23.A5-163公司XYZ已将生产支持外包给在另一个国家的服务提供商ABC。ABC服务提供商的工作人员通过互联网连接到XYZ的生产支持网络。以下哪一项能够最有效保证只有经过授权的ABC用户能够通过互联网连接为XYZ提供给服务支持?A、单点登录身份认证B、密码复杂性规则C、双因素认证D、互联网协议地址限制答案：C24.当确定审计日志的数据保留期时，下列哪一项是最基本的因素?A、控制风险B、普遍接受的审计标准C、计算机取证原则D、法规要求答案：D25.审计师对团队进行特定项目通过特定控制进行审计时，对于出现频率较低的关键控制，以下哪种抽样方式能发现欺诈行为有所帮助?A、停走抽样B、发现抽样C、货币单位抽样D、随机抽样答案：B26..容量管理的目标是确保：A、充分地利用可用资源。B、可排除。C、有效地使用组织的资源。D、将新资源分配给新应用程序。答案：A27.公司XYZ已将生产支持外包给在另一个国家的服务提供商ABC。ABC服务提供商的工作人员通过互联网远程连接到XYZ的生产支持网络。以下哪一项能够最有效地保证只有经过授权的ABC用户能够通过互联网连接为XYZ提供服务支持？A、单点登陆身份认证B、密码复杂性要求C、双因素身份认证D、互联网协议(IP)地址限制答案：C28.A4-121在生产高峰时段执行以下哪项操作可能导致意外停机?A、执行数据迁移或磁带备份B、对电气系统执行预防性维护C、将应用程序从开发环境升级到临时环境D、重新配置数据中心的备用路由器答案：B29.提交了审计报告，部门未整改，应该？A、报告管理层B、评估影响C、重新验证审计发现答案：A30..衡量灾难恢复计划有效性中业务恢复的最佳途径是?A、定义恢复点目标RPOB、业务影响分析IC、模拟灾难恢复D、评估与功能成熟度模型的差距答案：C31.以下哪项使用回归测试:A、单元测试B、系统修改C、程序开发D、压力测试答案：B32.A5-285在一家小型组织中,某位员工负责计算机操作，并在必要情况下，还负责修改程序。该信息系统审计师应建议以下哪个选项?A、自动记录对开发库的更改B、增加员工，从而可以分离职责C、确保只有经过审批的流程的更改能得以实施D、设立访问控制以防止操作员修改程序答案：C33.检查点是在以下哪项之后应用的A、增量数据备份B、数据中心停电C、执行了不正确的程序版本D、出现临时硬件故障答案：A34.A4-97信息系统审计师应该推荐使用库控制软件，以便得到下列哪一项合理保证?A、程序变更经过授权B、仅发布经过全面测试的程序C、修改过的程序自动移至生产环节D、源代码和可执行性代码的完整性得以维持答案：A35.网络遭受病毒风暴袭击，已经通知了事件响应团队，下一步应该如何处理?A、将事件记录下来B、集中精力将损害限制在有限范围内C、删除并修复受影响的系统D、检查受损系统的功能是否完好答案：B36.【重要题】IT指导委员会应该采取哪项措施来帮助董事会履行IT治理职责?A、制定IT政策和措施来跟踪项目B、聚焦在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D37..当变更运行环境中的程序时，最重要的应得到()的批准?A、用户管理部门。B、项目经理C、安全管理员。D、IT管理层答案：A38.在开发信息安全政策过程中，以下哪一项能最好地确保满足业务目标？A、政策与程序步骤之间的链接B、采用行业最佳做法C、使用平衡记分卡D、相应的利益相关人员的意见答案：C39.以下哪项最能确保信息资产的机密性？A、按照“按需分配”的访问控制原则B、采用双因素身份认证控制C、人员安全意识培训D、为所有用户配置只读权限答案：A40.【重要题】在审计IT管理时，审计师最担心见到一下情况A、IT战略计划需要的经费没有经过审批B、IT战略计划来源于互联网最新趋势C、上一年IT战略计划没有实现D、It战略计划停留在技术架构层面。答案：B41.如何处理应用系统老化问题?A、应用程序组合B、IT项目管理C、新版本变更管理D、配置管理答案：D42.A4-241以下哪个选项最有助于检查数据处理中的错误?A、程序化的编辑检查B、设计优良的数据录入筛选C、职责分离D、散列总计答案：D43.业务连续性和灾难恢复计划中的首要目的？A、保护人员的生命B、保护关键信息系统资产C、最小化组织的损失D、提供操作的连续性答案：A44.了解一个操作系统的安全配置的最佳方式是：A、学习供应商的安装手册。B、检查系统安全计划。C、跟安装软件的系统程序员面谈。D、查看系统自动配置的参数。答案：D45.怀疑一个用来处理数据的PC，被用于针对财务部门的舞弊，应首先向谁报告A、业务管理部门B、警察C、审计委员会D、审计管理部门答案：C46.A4-141当组织需要极小粒度的数据恢复点(在恢复点目标中定义)时，以下哪种备份方法是适合的?A、虚拟磁带库B、基于磁盘的快照C、连续备份数据D、磁盘到磁带备份答案：C47.A2-6以下哪个选项是实施政策对IT员工兼职就业设置条件原因?A、防止滥用公司资源B、防止出现利益冲突C、防止出现员工绩效问题D、防止IT资产遭到盗窃答案：B48.以下哪项正确描述审计风险A、员工挪用了资金B、公司被无端指控C、财务报告可能未发现重大错误D、主要人员2年末休假答案：C49.A2-75作为信息安全治理的结果，战略一致性提供了：A、由企业需求驱动的安全要求B、遵循良好实践的基准安全线C、制度化和商品化的解决方案D、对风险敞口的了解答案：A50.以下哪项能够体现企业采用了适当的控制A、发布相关政策B、发布IT战略C、定期风险分析并开会探讨D、可排除答案：C51.信息系统审计师发现，为了提高性能将WEB应用程序的验证控制机制从服务器下迁至客户端，那么遭受以下哪一项攻击的风险最可能增加?A、暴力攻击(还是钓鱼攻击，忘记了)B、SQL注入C、拒绝服务攻击D、缓冲区溢出答案：B52.公司的服务器感染了病毒，导致病毒传播的，最主要途径是?A、公司共享服务向用户分发数据(服务器共享模式有利于文件的分发)B、用户登陆系统时时间的同步C、服务器登陆时和工作站交换数据答案：A53.A5-173审查客户端/服务器环境的访问控制的信息系统审计师应该首先：A、评估加密技术B、识别网络接入点C、审查身份管理系统D、审查应用程序级访问控制答案：B54.新系统开发延期，耽误了关键的实施期限，以下哪一项最重要A、确保代码经过审查B、执行用户验收测试C、记录系统最新改进D、执行实施前审计答案：B55.以下哪一项最能表明企业的安全意识计划有效性得到了改善？A、减少恶意软件爆发数量B、员工报告的网络钓鱼电子邮件数量增加C、完成意识培训的人员数量增加D、信息安全审计发现数量减少答案：B56.A2-133以下哪种保险类型针对因员工欺诈行为造成的损失?A、业务中断B、忠诚保险C、错误和遗漏D、额外支出答案：B57.A4-137如果恢复时间目标增加,则会：A、增加容灾能力B、增加恢复成本C、无法使用冷备援中心D、增加数据备份频率答案：A58.【重要题】实施后审查的主要目标是验证系统：A、实现了设定的目标B、与业务策略一致C、在生产环境中稳定运行。D、有用户文档支持。答案：A59.IT审计师正审查公司的商业智能基础架构，以下哪项是帮助公司实现合理水平的数据质量的最好建议？A、根据预先定义的规格分析数据B、将数据清理外包给熟练的服务提供商C、将不同数据库存储的数据合并到数据仓储D、根据数据分类标准审查数据答案：A60.A5-200防止网络被用作拒绝服务攻击中的放大器的最佳过滤规则是拒绝所有：A、源地址在网络外部的传输出流量B、被辨认出使用伪造IP源地址的传入通信C、包含互联网协议中所设置选项的传入流量D、目标地址属于关键主机的传入流量答案：A61.银行对计算利息的计算机程序做了很小的改动。哪一项能最好地确定利息计算是否正确?A、审查源代码B、使用审计软件进行并行模拟C、手动验证结果样本D、审查Q测试结果答案：B62.A5-11信息系统审计师正在审查某组织的人力资源(HR)数据库的实施情况。信息系统审计师发现：为获得高使用性而群集数据库服务器，所有默认数据库账户已删除，并且已保留数据库审计日志，每周审查一次。为确保数据库的安全，信息系统审计师还应检查哪些其他领域?A、限制数据库管理员访问HR数据。B、数据库日志经过加密C、数据库存储的程序经过加密D、数据库初始化参数适当答案：D63.根据以下哪一项能最能有效地确定数据分类类别？A、对个人身份数据不同的安全要求B、根据业务功能的关键性C、高级管理层处理的交易D、因丢失或泄漏数据对企业造成的影响答案：D64.A5-211用户使用分配的安全令牌结合个人识别码(PIN)来访问公司的虚拟私有网络。对于PIN，安全政策中应包含哪项最重要的规则?A、用户不应将令牌置于容易被盗的地方B、用户不得将令牌和便携式计算机置于同一包中C、用户应选择完全随机且没有重复数字的PIN。D、用户不应将PIN写下来答案：D65.因为IS审计团队资源限制，原批准的审计计划无法实施。假定己通过审计报告通报情况，最可接受的做法是哪一项？A、测试控制设计的充分性。B、测试控制的运作效率。C、着重审计高风险领域。D、依靠管理层测试控制。答案：C66.银行的自动柜员机（ATM）是一种专门用于销售点的终端，它可以：A、必须包括高层的逻辑和物理安全B、一般放置在入口稠密的场所以威慑盗窃与破坏C、只能用于支付现金和存款服务D、利用保护的通讯线进行数据传输答案：A67.以下哪项机制可以确保及时向高级管理层汇报IT运行问题?A、esltion(问题升级流程)B、服务水平监控C、定期状态报告D、平衡积分卡答案：A68.使用数字签名的主要原因A、机密性B、完整性C、可用性D、实效性答案：B69.问题管理的目的不是：A、迅速恢复事件B、降低事故发生的次数和严重性C、通过对重大事故进行调查和深入的分析后解决问题D、不断提高IS部门的服务质量答案：A70.根据以下哪一项能最能有效地确定数据分类类别?A、对个人身份数据不同的安全要求B、根据业务功能的关键性C、高级管理层处理的交易D、因丢失或泄漏数据对企业造成的影响结果导向答案：D71.软件成熟度模型的最高级别是：A、成熟的项目管理B、项目管理是“混乱的”，管理人员的精力都用于“救火”C、持续改进监控D、质量过程的有效管理与度量答案：C72.在典型的系统开发生命周期中，下列哪个小组主要负责确认是否符合需求?A、质量保证B、内部审计C、风险管理D、指导委员会答案：A73.A5-183安装入侵检测系统时,以下哪项最重要?A、在网络架构中对其进行正确摆位B、防止拒绝服务攻击C、识别需要隔离的消息D、最大限度地减少拒绝错误答案：A74.企业架构(EA)举措的主要好处是：A、使组织的投资能够用于于最合适的技术中。B、确保在关键平台上实施安全控制。C、允许开发团队更快地响应业务要求。D、赋予业务单位更大的自主权，以选择符合其需求的IT解决方案。答案：A75.【重要题】以下哪项最能保证审计部门的独立性?A、审计计划B、审计章程C、审计报告D、审计方案答案：B76.在审计射频识别技术(RFID)时，最应该注意什么?A、可扩展性B、不可否认性C、隐私D、可维护性答案：C77.以下哪项用以管理供应商支持的软件状态为最新?A、版本管理B、变更管理C、软件资产管理D、补丁管理答案：D78.以下哪一项控制最能防止互联网嗅探器(Internetsniffer)进行重放攻击(replayAttack):A、数据包过滤路由器B、带时间戳的数据加密技术C、正确配置的防火墙D、数字签名技术答案：B79.企业将某个系统部署到私有云的Issa，问谁为系统安全最终负责：A、企业B、企业和云供应商C、操作系统供应商D、云供应商答案：A80.在安排跟踪审计时，以下哪一项是最重要的考虑因素?A、与新审计师进行独立验证工作所需的努力B、被审计方同意与审计师合作花费的时间C、不采取整改措施会产生的影响D、与观察结果有关的控制和检测风险答案：C81.审计的时候，审计师发现存在病毒，下一步应该做什么?A、通知有关人员B、清理病毒C、断开网络D、观察反应机制答案：A82.以下哪一个角色的支持对信息安全治理的影响最大?A、信息安全指导委员会B、董事会C、首席信息安全官D、首席信息官答案：B83.A5-65以下哪项加密算法选项会增加开销/成本?A、使用对称加密，而不是非对称加密B、使用加长的非对称式加密密钥C、加密的是哈希而非消息D、使用密钥答案：B84.以下哪项最能保证审计部门的独立性A、审计计划B、审计章程C、审计报告D、审计方案答案：B85.IT审计师要审查IT目标服务业务目标的最好体现是：A、ΚΡΙB、业务案例C、ITBSC答案：C86.正常情况下使用扫码器扫描条码，扫码器故障时手工输入条码数字，这增大了什么风险?A、控制风险B、固有险险C、审计风险D、安全风险答案：A87.在评估潜在的企业资源规划(ERP)实施供应商时，信息系统审计师应首先建议执行以下哪一项?A、调查供应商的财务历史B、检查供应商的客户参考C、制定供应商响应计分卡D、审查供应商过去的实施项目答案：D88.下列哪一项属于工资系统的分析审查过程？A、通过将员工人数乘以平均工资来进行合理性测试B、执行工资系统的安全渗透尝试C、使用基准测试软件评估工资系统的性能D、测试工时单上报告的小时数答案：A89.用户测试数据最好是用A、随机生成的数据B、测试生成器生成的参数C、模拟生产环境数据D、供应商提供的数据答案：C90.以下哪一项在电子邮件中保护消息的机密性：A、加密B、SHA-1C、数字签名D、数字证书答案：A91.审计师在跟踪审计时发现，公司实施了自动流程而不是按原来制定的整改措施进行手工控制，审计师应该：A、报告未采纳原先的建议B、报告建议措施已实施C、验证新流程是否满足控制目标D、对新流程执行成本收益分析答案：C92.将测试程序与生产环境分离开来的主要原因在于：A、提供有效系统改善管理的基础B、对程序更改加以控制C、限制信息系统员工对开发环境的访问权限D、在信息系统人员和最终用户之间实现职责分离答案：D93.内部审计部门最近建立了一个质量保证（QA）计划。质量保证计划要求包括以下哪一项最重要？A、从内部审计员工获得反馈B、分析各条业务线的用户满意度报告C、定期对计划进行外部评估D、对计划进行长期内部审计资源规划答案：A94.在把关键系统迁移到云服务提供商的过程中，企业对数据安全性的最大顾虑是：A、在法律查询过程中可能要求来自不同客户的数据B、不同客户的数据应遵守的政府法规可能各不相同C、不同客户的数据可能受制于灾难恢复的不同服务水平协议(SL)D、不同客户的数据之间可能没有实施隔离答案：B95.审查业务连续性计划(BCP)测试结果时，最重要的是信息系统审计师要确定以下哪一项?A、是否跟进了上次测试以来发生的所有活动B、验证是否恢复了关键业务的运营能力C、是否评估了保护关键业务记录的能力D、是否考虑到系统环境的变更答案：B96.在一项it开发项目中调整方案需要用到额外资金，这笔额外资金最适合由谁获得?(项目因为新增需求，已经确认需要增加经费，谁最应该获取该项费用?)A、审计师B、项目发起人C、董事会D、项目经理答案：D97.信息系统审计师在信息分类流程的角色是以下哪种?A、定义信息安全级别B、分类信息资产C、确保信息分类符合监管及政策要求D、确保数据得到足够保护答案：C98.A5-167在网络通信中使用用户数据报协议的主要风险是：A、数据包到达的顺序错乱B、增加通信延迟C、与数据包广播不兼容D、纠错可能减缓处理程序答案：A99.A2-71某信息系统审计师应要求审查针对某数据中心服务候选供应商的合同。确定签署合同后是否遵守合同条款的最佳途径是什么?A、要求供应商提供月度状况报告B、与客户IT经理定期召开会议C、对供应商进行定期审计检查D、要求在合同中明确性能参数答案：C100.未经良好设计的数据中心可能遭受尾随，最好的措施是A、双因素认B、双重门认证C、生物识别D、安全教育答案：D101.A1-33哪种审计技术可以提供IT部门中已实施职责分离的最佳证据?A、与管理层进行讨论B、审查组织架构图C、观察和面谈D、测试用户访问权限答案：C102.企业购置了新的大容量存储设备，将目前使用的替换下来，并且替换下来的用做恢复站点的存储设备，以下审计师最担心的是?A、未更新BCP和DRPB、恢复站点的存储能力能否足够C、新设备和替换设备是否签订维护合同D、采购是否符合企业的策略和规定答案：B103.信息系统指导委员会的主要职责是？A、制定项目计划B、明确项目的约束因素C、制定应用项目管理的框架技术D、实施质量管理制度答案：A104.A3-126某信息系统审计师参与了旨在优化IT基础设施的软件再工程。以下哪个选项最适合用于识别需要解决的问题?A、自我评估B、逆向工程C、原型设计D、差距分析答案：D105.下列哪一项是企业灾难冷备（互惠协议）的最大风险是？A、网络基础设施B、硬件组件的可用性C、电源连接D、适当的环境控制答案：B106.应在软件开发的哪个阶段制定用户验收测试计划？A、需求定义时B、投入使用时C、可行性研究时D、系统实施规划阶段答案：A107.对于VoIP，信息系统审计师最关注什么？A、不可抵赖性B、服务的连续性C、网络的统一性D、数据与语音网络分离答案：B108.A4-84一名信息系统审计师执行应用程序维护审计时，将审查程序变更日志，以便了解：A、程序变更的授权情况B、当前目标模块的创建日期C、程序的实际改动量D、当前源程序的创建日期答案：A109.信息系统审计师应该会在下列哪一个SDLC阶段，发现控制措施已集成到系统规范中？A、实施B、设计C、开发D、可行性研究答案：B110.在审查IT项目与项目管理的优先次序和协调事宜时，对IS审计师而言，主要考虑因素是什么？A、项目与组织战略相一致。B、识别的项目风险得到监控和缓解。C、与项目规划和预算编制相关的控制措施是适当的。D、准确报告IT项目指标。答案：A111.某IS审计师在数据库的某些表中发现了超出范围的数据。为避免此类状况发生，该IS审计师应推荐采用以下哪种控制？A、记录所有的表更新交易。B、在数据库中设定完整性约束。C、使用前后图像报告。D、使用跟踪和标记。答案：B112.对信号进行接收并放大是哪个网络组件A、网关B、网桥C、路由器D、中继器答案：D113.在安排跟踪审计时，以下哪一项是最重要的考虑因素?A、与新审计师进行独立验证工作所需的努力B、被审计方同意与审计师合作花费的时间C、不采取整改措施会产生的影响D、与观察结果有关的控制和检测风险答案：C114.【重要题】电子链接异地备份能够降低以下哪一项风险?A、备份期间发生通讯故障B、运输过程中介质意外丢失C、存储介质容量不足D、备份不准确或不完整答案：B115.关于数据库锁定的记录的目的是什么?(DBMS的记录锁定Recordingoption能够?)A、数据管理员防止数据被删除B、防止记录的同时输入C、指定文件不让其他人员访问答案：B116.A1-46内部信息系统审计团队在审计对销售退回的控制并关注欺诈风险。以下哪种抽样方法对信息系统审计师最有帮助?A、停———————走抽样B、经典的变量抽样C、发现抽样D、概率比例规模抽样答案：C117.A3-44以下哪个选项是数据仓库设计中最重要的因素?A、元数据的质量B、交易速度C、数据的波动D、系统的漏洞答案：A118.在什么样的环境下进行重点测试（stresstesting）最为理想？A、有测试数据的生产环境B、有生产负荷的测试环境C、有生产负荷的生产环境D、有测试数据的测试环境答案：B119.A4-110组织在使用两个业务部门之间签订的灾难恢复互惠协议时，所面临的的最大风险是什么?A、文档包含法律缺陷B、双方容易受到相同事故的影响C、IT系统不相同D、一方比另一方出现的运营中断的频率高答案：B120.A2-95为了了解组织规划和管理IT资产投资的有效性，信息系统审计师应当审查：A、企业数据模型B、IT平衡计分卡C、IT组织结构D、历史财务报表答案：B121.与IS审计客户召开审计启动会议的主要目的是：A、讨论审计的范围。B、确定审计资源需求。C、选择审计方法。D、审查审计客户应要求提供的证据。答案：A122.A4-101以下哪项是信息系统审计师在审查业务连续性计划时主要关注的问题?A、计划的审批者是首席信息官B、计划联系人名单未更新C、测试结果未适当记录D、未包含针对恢复人员的培训时间表答案：C123.A2-116审查组织的IT战略计划时,信息系统审计师预期应该发现：A、评估组织的应用程序组合与业务目标的匹配程度B、降低硬件采购成本的措施C、已批准的IT合同资源的供应商列表D、该组织网络边界安全的技术体系架构说明答案：A124.质量保证（QA）人员最不应该从事哪项工作？A、建立分析技术B、改动程序业务功能C、审查程序被修改D、制定命名规范答案：B125.企业部署了数据存储硬件，IS审计师应审查哪一项以评估IT是否最大限度地利用了存储和网络？A、质量管理系统B、日常和非日常作业时间表C、停机时间统计D、容量管理计划答案：D126.某IS审计师正在审查某组织，以确保与数据违规情形有关的证据得到保留。对该IS审计师而言，以下哪一项最值得关注?A、最终用户不知晓事故报告程序。B、日志服务器不在单独的网络上。C、未坚持进行备份。D、无监管链政策。答案：D127.A5-201用双门安全系统控制人员访问计算机设备的主要目标是：A、防止跟随B、防止有毒气体进入数据中心C、隔离氧气以防火D、防止进出设施快速移动答案：A128.当数据所有者为数据分配错误的分类级分时，以下哪项应是信息系统审计师的最大担忧?A、竞争对手可能可以查看数据B、为保护数据而实施的控制可能不足C、控制的成本可能超过IT资产的内在价值D、系统管理员可能未加密数据答案：B129.A5-85数字签名包含消息摘要，以便：A、显示消息是否在传输后发生改变B、定义加密算法C、确定发起人的身份D、以数字格式传输消息答案：A130.审计的时候，审计师发现存在病毒，下一步应该做什么?A、通知有关人员B、清理病毒C、断开网络D、观察反应机制答案：A131.【重要题】支持安全评定认证需要执行的保证任务，应在何时确定?A、完成必要的修改之后，B、用户验收阶段。C、项目规划阶段。D、制定了Q计划后。答案：C132.A3-78在在线交易处理系统中，维护数据完整性的方法是确保交易被完全执行，或完全未被执行。这一数据完整性原则指：A、隔离性B、一致性C、原子性D、持久性答案：C133.对于抽样而言，以下哪项是正确的？A、抽样一般运用于与不成文或无形的控制相关联的总体B、通过尽早停止审计测试，属性抽样有助于减少对某个属性的过量抽样C、变量抽样是估计给定控制或相关控制集合发生率的技术D、如果内部控制健全，置信系数可以取的较低答案：D134.A1-43当评估组织的IT战略时,信息系统审计师会认为以下哪一选项最重要?A、已得到直线管理层的批准B、与IT部门的初步预算相同C、符合采购流程D、支持组织的业务目标答案：D135.A4-147如果未对重要文件服务器中的存储增长进行适当管理，则以下哪一项是最大风险?A、备份时间将会稳步增加B、备份操作成本将会显著增加C、存储操作成本将会显著增加D、服务器恢复工作不能满足恢复时间目标答案：D136.【重要题】以下哪项使用回归测试：A、单元测试B、系统修改C、程序开发D、压力测试答案：B137.A5-274某组织正在审查其与云计算提供商之间的合同。该组织想要从云服务合同中删除锁定条款的原因是以下哪一项?A、可用性B、便携性C、敏捷性D、可扩展性答案：B138.为解决企业对需求请求书（RFP）回复的可靠性的担忧，IS审计师应建议：A、在合同中注明关键事项B、调查供应商在行业的信誉C、与供应商一起验证RFP的回复D、联系供应商，共同制定RFP的回复答案：A139.创建数据分类程序时，首要步骤是什么?A、按所有者分类信息B、对数据进行分类和优先级排序C、制定政策D、制定数据流程图答案：C140.开展实施后审查的主要目的是检验：A、已充分考虑了用户访问控制B、已正确执行了UT测试C、已符合企业体系结构D、已满足用户需求。答案：D141.在进行IT风险评估时，应首先执行以下哪一个步骤A、评估现行控制B、评估漏洞C、识别潜在的威胁D、识别要保护的资产答案：D142.【重要题】以下哪一项最能表明企业的安全意识计划有效性得到了改善?A、减少恶意软件爆发数量B、员工报告的网络钓鱼电子邮件数量增加C、完成意识培训的人员数量增加D、信息安全审计发现数量减少答案：B143.计算机房中安装了一套火警系统，火警控制面板的最有效放置是位于：A、距离UPS最近的机房中。B、系统管理员的办公室中。C、距服务器最近的机房中。D、大厦保安人员值班室。答案：D144.用户对应用系统验收测试之后，IS审计师实施检查，他(或她)应该关注的必刷是?A、确认测试目标是否成文B、评估用户是否记载了预期的测试结果C、检查测试问题日志是否完整D、确认还有没有尚未解决的问题答案：D145.A4-106测试业务连续性计划的主要目标是：A、使员工熟悉业务连续性计划B、确保解决所有残余风险C、练习所有可能的灾难场景D、识别业务连续性计划的限制答案：D146.非正规化(非规范化)对数据库的最大影响是什么：A、影响完整性B、停滞不前的性能C、数据的准确性D、数据的机密性答案：A147.【重要题】在审查DRP时，最需要注意的事项是哪个?A、没有规定宣布灾难的职责B、IO没有批准与签署RP计划C、没有将RP文件备份储存在异地安全的地方D、RP恢复步骤不详细答案：A148.【重要题】哪一项提供IT在一家企业内的作用的最全面描述?A、IT工作说明B、IT章程C、IT组织结构图D、可排除答案：B149.审计师对外包业务进行审查，最先查?A、合同是否支持业务需求B、合同中有没有审计条款C、合同中包含终止后提供支持D、合同是否符合行业最佳实践答案：A150.A5-49在安全专员的帮助下，由谁来负责授予数据的访问权限?A、﹀数据所有者B、编程人员C、系统分析员D、数据库管理员答案：A151.哪种有助于确保批文件转移的完整性A、散列总计B、自检数字C、奇偶校验D、输入控制答案：A152.评估IT实际使用资源使用和计划资源分配的一致性的技术是什么?A、挣得值分析(EV)B、投资回报分析(ROI)C、甘特图D、关键路径分析(P)答案：A153.A4-10对于恢复非关键系统，以下哪个选项最合理?A、温备援中心B、移动站点C、热备援中心D、冷备援中心答案：D154.以下哪一种采样方法最适用于即使是单个错误也不可接受的情况？A、判断抽样B、分层抽样C、发现抽样D、属性抽样答案：C155.IT指导委员会负责应对以下哪一项负责A、把实施安全性与业务目标集成在一起B、评估和报告战略一致性程度C、审查并协助IT策略整合工作D、制定IT安全策略答案：C156.如何充分验证定期备份的及时性与有效性?A、访谈关键人员B、审查备份日志样本C、查看备份的策略与程序D、观察备份运行的执行情况答案：B157.A1-44审查应用程序控制的信息系统审计师将评估：A、应用程序的效率是否满足业务流程B、任何已发现的风险敞口的影响C、应用程序所服务的业务流程D、应用程序的优化答案：A158.非正规化（非规范化）对数据库的最大影响是什么：A、影响完整性B、停滞不前的性能C、数据的准确性D、数据的机密性答案：A159.IS审计师最有可能在什么地方看到应用哈希函数?A、身份认证B、标识C、授权D、加密答案：A160.项目上线后的审查中，应审查以下哪一项来确定项目是否满足用户要求？A、用户文档的完整性B、并行测试的结果C、程序更改请求的类型。D、关键计算的完整性答案：B161.在IT系统恢复过程中，保持业务功能运行的临时解决方案，是以下哪项内容的核心组成部分?A、灾难恢复计划B、威胁和风险评估C、业务影响分析D、业务持续运营计划答案：D162.在对业务流程再造(BPR)工作进行审查时，以下哪一项是主要关注的问题?A、BPR工作消除了一部分控制。B、资源不足以支持BPR流程。C、审计部门不参与BPR工作。D、BPR工作纳入该流程领域知识有限的员工。答案：A163.对于应用程序开发验收测试来说，以下哪项最重要?A、质量保证(Q)小组负责测试过程B、用户管理在启动测试之前会审批测试设计C、所有数据文件在转换之前均进行了有效信息测试D、编程小组参与测试过程进行测试，要先设计测试。答案：B164.A4-181以下哪个选项最有助于定义灾难恢复策略?A、年预期损失和暴露因子B、可承受的最大停机时间和数据丢失C、现有服务器和网络冗余D、数据备份和异地存储要求答案：B165.审查网络打印机处置的时候，审计师应该最担心的是什么?A、没有足够的证据表明处置的打印机的硬盘彻底清除B、业务部门直接将打印机交给了授权的供应商处置C、未按照政策和方案规定来处置D、打印机放在不安全的区域答案：A166.A4-163以下哪一项可确保发生灾难时交易的可用性?A、每隔一小时将含有交易的磁带发送到异地B、每天将含有交易的磁带发送到异地C、将交易保存到多个存储设备D、将交易实时传输到异地答案：D167.信息系统审计师发现，为了提高性能已经WEB应用程序的验证控制从服务器迁移到客户端，那么遭受以下哪一项攻击的风险最可能增加？A、PHISHINGB、SQL注入C、DOSD、缓冲区溢出答案：B168.【重要题】随着时间的推移，下列哪项对保证服务器可用性最有效?A、手动轮询服务器B、审查计划内的停机时间。C、分析服务器控制台日志。D、用户报告的停机时间。答案：C169.A5-261通过以下哪种方式加密可以最好地提供传输数据的机密性?A、使用发送者的私钥对消息摘要进行加密B、使用发送者的公钥对会话密钥进行加密C、使用接收者的私钥对消息摘要进行加密D、使用接收者的公钥对会话密钥进行加密答案：D170.A4-12信息系统审计师使用数据流程图可以：A、识别关键控制B、突出显示高层数据定义C、以图形方式汇总数据路径和存储D、分步描绘数据生成的详细信息答案：C171.信息系统审计师要确认进行清除交易的新进程不会对数据库的完整性造成不利影响，这可通过分析以下哪一项来最佳实现?A、触发器的设计B、数据库的实体关系C、测试环境中的进程结果D、数据库结构答案：A172.A3-16由于重组,一个业务应用程序系统将扩展到其他部门。以下哪一项最令信息系统审计师关注?A、未确定流程所有者B、未确定记账成本分摊方法C、应用程序存在多个所有者D、没有培训计划答案：A173.以下哪一项能够最有效地发现某个员工向网络中加载了非法软件包?A、定期扫描硬盘B、网络驱动器中的活动日志C、维护当前的防病毒软件D、采用无盘工作站答案：A174.以下哪一项最有助于信息系统审计师识别工资核算流程中的潜在超额给付情况?A、员工数量和供应商账号数量的比对B、指出与往期工资单有重大差异的报告C、对用于核查的员工和供应商地址进行审查D、薪资流程中有关最大笔工资的报告答案：B175.以下哪一项表示与特定业务流程相关的控制风险A、低估重要性限制B、职责分离不恰当C、处理的交易比较复杂D、依赖手动流程答案：B176..信息系统审计师在审查传输公开可用信息的系统接口，哪一项最令人担忧?A、什么界面跟踪程序(可排除)B、下载的数据与原系统数据不同C、数据未加密D、数据在传输时被截获答案：B177.信息系统审计师发现，关键系统的备份未按照BCP中建立的RPO执行。审计师下一步应该？A、扩大审计范围B、确定根本原因C、将观察结果包含在报告中D、要求立即执行备份答案：B178.安装数据泄漏防护（DLP)软件的主要目的是控制以下哪一项？A、服务器上存储的保密文件的访问特权B、意图破坏内部网络中的重要数据C、哪些外部系统可以访问内部资源D、保密文件流出内部网络答案：D179.公司外包服务给第三方，如何确定第三方提供的服务水平管理的处部审过报告是可被接受的?A、审计报告是最近12个月内实施的B、第三方服务商经过独立认证和认可C、审计范围和方法符合审计要求D、报告确定并没有违反服务水平答案：C180.评估IT实际使用资源使用和计划资源分配的一致性的技术是什么？A、挣得值分析EVAB、投资回报分析ROIC、甘特图D、关键路径分析CPA答案：A181.检测到服务器的实际使用量远远小于计划，以下哪项措施可以改进服务器的可用性A、系统的停机日志B、容量规划C、服务器的配置D、执行流量负载均衡答案：B182.A5-146在公钥基础设施中,注册机构负责：A、验证证书申请对象所提供的信息B、在核实所需属性并生成密钥之后颁布认证C、对消息进行数字签名，以实现签名消息的不可否认性D、登记签名信息，以保证其日后不遭到否认答案：A183.在审查安全政策的开发过程时，以下哪一项是信息系统审计师要验证的最重要的内容?A、管理层批准的证据B、关键利益相关人员积极参与的证据C、企业风险管理系统的输出D、控制框架的确认答案：B184.信息系统审计师发现，许多离职员工尚未从应付账款系统中删除。为了评估风险，确定以下哪一项最重要?A、与应付账款系统相关的入侵尝试的频率B、管理层对用户访问权限进行审查的频率C、终止离职员工访问的流程D、离职员工实际访问系统的能力答案：D185.审查新成立的CallCenter内的控制时，首先应A、评估与风险中心有关的操作风险B、测试呼叫中心的技术基础设施C、从客户那里收集服务响应时间和服务质量的信息D、审查呼叫中心的人工和自动控制答案：A186.信息安全政策主要基准是？（信息系统审计师在协助企业定义信息安全政策应该考虑哪些因素）A、过去发生的安全事故B、行业最佳实践C、风险管理流程D、安全管理框架答案：D187.衡量灾难恢复计划有效性中业务恢复的最佳途径是A、定义恢复点目标RPOB、业务影响分析BIAC、模拟灾难恢复D、评估与功能成熟度模型的差距答案：C188.业务流程再造(BPR)过程中IT可协助A、职责分离B、总拥有成本C、集中于增值任务D、使任务流程化答案：D189.以下那种情况可以认为系统遭受了攻击？A、下班时间对系统访问量增加B、清晨和傍晚的访问量增加C、一天中某个时段或每周的某段固定时间访问量增加D、公司的什么自动登录内部网络的系统已经关闭答案：B190.A4-133在较小的组织架构中,开发人员可能将紧急变更直接发布到生产。在这种情况下，以下哪一项能够最好地控制风险?A、在下一个营业日审批和记录变更B、将开发人员对生产的访问权限限制在特定时间范围内C、在发布到生产之前获得第二次审核D、禁用生产计算机中的编译器选项答案：A191.A2-117开发安全架构时，首先应该执行下列步骤中的哪个步骤?A、制定安全流程B、制定安全政策C、明确访问控制方法D、定义角色和责任答案：B192.实施以下哪一种方案能够最好地解决有关IT系统老化的问题?A、应用程序组合管理B、新版本发布管理C、配置管理D、IT项目管理答案：B193.组织把一个重要的业务系统迁移到服务器-客户机架构上，最大的风险是：A、组织的开发维护人员没有服务器-客户机的开发维护经验B、某些项目变更未正式批准C、服务器-客户机架构风险D、没有迁移失败的回退方案答案：D194.A3-123信息系统审计师需验证应用发布后是否有完成实施后审查流程的主要原因是什么?A、确保用户经过适当培训B、验证项目在预算范围之内C、核实项目达到预期D、确定是否已实施适当的控制措施答案：C195.A5-217以下哪种方法能够最好地缓解使用社交网站暴露机密信息的风险?A、提供安全意识培训B、需要已签署的可接受使用政策C、监控社交媒体的使用D、阻止对社交媒体的访问答案：A196.信息安全政策主要基准是?(另一题为：信息系统审计师在协助企业定义信息安全政策应该考虑哪些因素?)A、过去发生的安全事故B、行业最佳实践C、风险管理流程D、安全管理框架答案：D197.A4-236在制订业务连续性计划时，应该使用下列哪种工具来了解组织的业务流程?A、业务连续性自我审计B、资源恢复分析C、风险评估D、差距分析答案：C198.A5-223以下哪项能够最有效地增强基于质询应答的身份认证系统的安全性?A、选择更可靠的算法来生成询问字符串B、采取各种措施防止会话劫持攻击C、增加更改相关密码的频率D、增加身份认证字符串的长度答案：B199.A2-85审查组织批准的软件产品列表时，以下哪一个是需要验证的最重要事项?A、对与产品使用相关的风险进行定期评估B、为每个产品列出最新的软件版本C、由于许可问题，列表不包含开源软件D、提供营业时间之后的支持答案：A200.A4-21信息系统审计师审查服务水平协议(SLA)时，应对以下哪个问题最关注?A、异常报告导致的服务调整需要一天的实施时间B、用于服务监控的应用程序日志过于复杂，导致审查非常困难C、服务衡量方式未包括在SL中D、文档每年更新一次答案：C201.【重要题】企业部署了数据存储硬件，IS审计师应审查哪一项以评估IT是否最大限度地利用了存储和网络?A、质量管理系统B、日常和非日常作业时间表C、停机时间统计D、容量管理计划答案：D202.以下哪一项对战略IT举措决策流程最有价值？A、项目管理流程的成熟度B、监管环境C、过去的审计结果D、IT项目组合分析答案：D203.对信息进行实施后审计，下列哪项最可能削弱IS审计师的独立性A、参与项目团队，但不承担运营开发的责任B、为最佳实践提供建议C、设计了一个嵌入式的审计模块D、在应用程序开发过程中实施了特定的控制答案：D204.某IS审计师正在审查某组织的网络操作中心（NOC)。以下哪一项最受关注？采用：A、基于湿管的灭火系统。B、租借的NOC机架空间。C、基于二氧化碳的灭火系统。D、备用电力为10分钟的不断电源（UPS)。答案：C205.在多个地点实施新管理系统，新系统有4个集成模块，下列哪种实施方法最好A、试运行系统B、完全实施新系统C、所有地点并行运行D、逐个模块并行实施答案：D206.A5-7信息系统审计师发现组织的首席信息官(CIO)使用的是采用全球移动通信系统(GSM)技术的无线宽带调制解调器。当出差在外时，CIO使用此调制解调器连接自己的便携式计算机和公司的虚拟私有网络。信息系统审计师应：A、什么也不做，因为GSM技术固有的安全功能已经足够了。B、建议IO在启用加密之前停止使用便携式计算机。C、确保网络上已启用介质访问控制(M)过滤，从而未经授权的无线用户无法连接。D、建议使用双因素认证进行无线连接，以防止未经授权的通信。答案：A207.以下哪项测试能最快确定Web应用程序的接口错误A、回归测试B、UAT测试C、单元测试D、集成测试E、自动测试答案：D208.为使信息系统审计师更好地从发现和结论中做出判断，审计证据应符合以下哪些要求?A、采集、经过检查并且受到保护B、符合法律法规要求C、被认为是充分的、可靠的和相关的D、符合监管要求答案：C209.在开发整个公司电子数据交换（EDI）项目的过程中，必须完成下列那一项？A、实施消息标准B、审查所有供应商的EDI应用程序C、实施加密技术D、安装一个ISDN答案：A210.为确保企业信息不被获取，以下哪一项是清理硬盘供再次使用的最佳方式?A、数据擦除B、消磁C、格式化D、重新分区答案：A211.A5-107以下哪项是中小型组织中通过互联网连接专用网络的最安全经济的方法?A、虚拟私有网络B、专有线路C、租用线路D、综合业务数字网答案：A212.在计划渗透测试时，应首先执行哪一项？A、确定漏洞的报告要求B、执行保密协议C、定义测试范围D、取得管理层的审批答案：C213.在什么样的环境下进行里点测试(stresstesting)最为理想?A、有测试数据的生产环境B、有生产负荷的测试环境C、有生产负荷的生产环境D、有测试数据的测试环境答案：B214.公司使用云平台进行IT管理，发生异常问题导致业务中止，应该首先进行：A、审计云服务商B、事故响应计划C、重新签订云服务合同D、追究云服务商责任答案：B215.A5-195以下哪个选项是针对网络的被动攻击?A、消息修改B、伪装C、拒绝服务D、流量分析答案：D216.【重要题】跟进上一年审计报告的主要原因是确定：A、控制环境是否出现重大变化。B、是否解决了已确定的控制弱点问题。C、上一年推荐的行动方案是否变得毫无相关性。D、固有风险是否发生变化。答案：A217.A2-136以下哪一项是信息系统审计师在审查组织的风险战略时最感兴趣的?A、所有风险均得到有效缓解B、实施控制后的残余风险为零C、所有可能的风险均已识别并评级D、组织使用既定的风险框架答案：C218.A2-80如果IT支持人员和最终用户之间存在职责分离问题，则以下哪一项适合作为补偿性控制措施?A、限制对计算设备的物理访问B、对交易和应用程序日志进行审查C、在聘用IT人员之前执行背景调查D、在特定的一段时间无活动后，将用户会话锁定答案：B219.五百多个用户都可以访问客户信息表，对什么影响最大A、完整性B、机密性C、可用性答案：B220.A3-90要了解多个项目的管理控制是否有效，信息系统审计师应该审查下列哪项?A、项目数据库B、政策文档C、项目组合数据库D、项目群组织答案：C221.在审计防火墙配置时，信息系统审计师发现防火墙已集成到一个新系统中，该系统同时提供防火墙和入侵检测功能。信息系统审计师应该：A、评估当前工作人员是否能够支持新系统。B、认为跟进审计不必要，因为不再使用防火墙。C、评估集成系统是否解决已识别的风险。D、审查新系统与现有网络控制的兼容性。答案：C222.高级管理层缺乏哪项决策会造成最大的数据泄露风险？A、没有对桌面电脑加密B、没有实施员工安全意识培训C、员工可以远程办公D、安全政策有一年没有进行更新答案：B223.在电子商务中使用的典型网络体系结构中，负载平衡器通常位于下面哪两个项目之间：A、数据库和外部网关B、用户和外部网关C、路由器和we服务器D、邮件服务器和邮件库答案：C224.A1-29在IT流程的安全审计期间,信息系统审计师发现没有任何文档记录安全程序。信息系统审计师应：A、根据实践创建程序文档B、提出对当前状态的看法，并结束审计C、对可用数据执行符合性测试D、识别并评估现有实践答案：D225.企业灾难发生后，业务中断，恢复后丢失了大量数据，因为错误定义了哪项?A、RPOB、RTOC、DRPD、BIA答案：A226.在进行客户关系管理系统（CRM)应用审计时，IS审计师发现，相比其他时段，用户在高峰工作时段登录系统需要很长时间。登录后，系统的平均响应时间在可接受的范围之内。该IS审计师应当建议以下哪一个选项？A、IS审计师不提出任何建议，因为系统符合当前的业务需求。B、IT部门应当增加网络带宽，以提高性能。C、应当向用户提供详细的手册，以正确使用系统。D、IS审计师应当建议为验证服务器制定性能衡量标准。答案：D227.企业开发的新系统有多个模块，最后一个模块涉及将处理后的数据更需至数据库中，信息系统审计师应最该关注什么？A、使用弱加密B、缺少数据字典C、缺少输入验证D、变更未使用审批流程答案：C228.A3-91在IT开发项目中使用的业务案例文档应该保留到什么时候?A、系统生命周期结束B、项目通过审批C、用户验收系统系统D、投入生产答案：A229.【重要题】审计师发现系统存在很多多余生产系统权限没有及时清除，审计师应该建议?A、人力资源系统在员工离职后自动触发删除员工权限B、业务部门定期审阅并申请删除多余的访问权限C、系统管理员应确保权限分配的一致性D、IT安全部门管理员定期删除多余的权限答案：B230.雇员有意或无意将敏感信息通过邮件发送到外部，在实施邮件控制措施之前，首先最重要的是要做什么？A、安装程序监测邮件内容和雇员活动B、实施数据分类C、与雇员签署保密协议D、对邮件服务器进行加固答案：B231.【重要题】敏捷开发跟瀑布式开发相比的最大优点在于?A、敏捷注重开发的软件工具而不是全面的文档B、敏捷关注合同协议而非与客户的协作C、敏捷重视对计划的执行而非响应变化D、敏捷重视针对个体和交互的过程和工具答案：D232.A3-61若要在短期内实施新系统，最重要的是：A、完成用户手册的编写B、执行用户验收测试C、将最新的增强功能添加到功能中D、确保代码已存档并已审核答案：B233.A5-133以下哪一项最适合小组内安全通信?A、密钥分配中心B、认证机构C、信任网D、Kereros身份认证系统答案：C234.A4-29某组织使用软件即服务(SaaS)操作模式实施了在线客户服务台应用程序。当涉及可用性时，信息系统审计师需要建议最佳的控制措施，以监控与SaaS供应商签订该的服务水平协议(SLA)。以下哪个选项是信息系统审计师可提供的最佳建议?A、要求SS供应商就应用程序正常运行时间提供每周报告B、实施在线轮询工具，以监控应用程序并记录中断C、记录用户报告的全部应用程序中断，并每周加总中断时间D、与一家独立的第三方签约，为应用程序正常运行时间提供周报答案：B235.A5-124认证机构(CA)作为第三方的作用是：A、基于认证提供安全的通信和网络服务B、管理由该颁布并具有相应公钥和私钥的证书库C、担当两个通信伙伴之间的受信任中介D、确认拥有该所颁发证书的实体身份答案：D236.在项目的问题（issues）管理过程中，将出现下面哪类工作？A、配置管理B、突发事件处理计划C、客户服务管理D、影响评估答案：D237.在信息安全审计时，信息系统审计师得知由外部咨询顾问执行了一项安全审查，对审计师来说，下面哪项是最重要的?A、审查咨询顾问提交的类似报告B、重新执行安全审查C、评定咨询顾问的客观性和胜任能力D、接受咨询顾问的发现和结论答案：C238.公司采购项目，以下哪项是信息系统委员会的职责?A、项目计划B、实施项目质量管理制度C、风险管理D、问题管理答案：C239.网上系统应用在使用过程中由于数据量大导致延迟，系统响应时间无法接受，哪一项可以提升应用的性能？A、RAID5(数据复制技术)B、磁盘镜像C、负载均衡D、调整防火墙配置答案：C240.哪种能够最有效地对物理访问提供最可靠的身份验证？A、智能卡和保卫B、感应卡C、视网膜D、数字键盘和监控摄像机答案：C241.审计师不能直接审查第三方供应商隐私方面的控制，应该审查：A、供应商提供的独立审计报告B、主服务协议MLSC、服务商内部审计部门的测试结果D、服务商控制自我审查答案：A242.决策支持系统(DSS)用于帮助高级管理人员：A、解决高度结构化问题。B、合并决策模型与预定标准的使用。C、根据数据分析和互动模型做出决策。D、仅支持结构化决策任务。答案：C243.敏捷开发跟瀑布式开发相比的最大优点在于？A、敏捷注重开发的软件工具而不是全面的文档B、敏捷关注合同协议而非与客户的协作C、敏捷重视对计划的执行而非响应变化D、敏捷重视针对个体和交互的过程和工具答案：D244.敏捷项目能识别和缓解风险得办法：A、项目成员参与风险讨论B、像业务负责报告风险C、项目成员专注于高风险领域D、请专家进行风险评估答案：A245.正在对开始开发的某应用执行风险评估。在建议安全控制之前，需要确定的最重要的内容是什么？A、基于角色的访问控制(RBAC)B、当前的隐私权法律C、数据分类D、数据托管位置答案：C246.在对供应商管理数据库审计期间，信息系统审计师辨认出多个供应商重复记录。基于此，信息系统审计师应向管理层建议：A、对关键字段的唯一数据值执行系统验证检查B、向高级管理层申请查所有新供应商的详细信息C、在供应商建档流程中职责分离D、定期审核对完整的供应商列表，以识别重复内容答案：A247.【重要题】下面哪一项措施是防止非授权登录最可靠的方法?A、加强现有的安全策略B、发放身份令牌C、限制在下班后使用计算机D、安全自动密码生成器答案：B248.一家拥有300家零售店铺的公司正在部署分布式新系统，下面哪一种上线计划比较合适？A、在某个典型店铺实施上线B、300年店铺全部并行上线C、挑选一些具有特点的店铺并行上线D、分阶段上线答案：C249.能保证应用系统运行良好的是什么A、接口测试B、集成测试C、系统测试D、单元测试答案：C250.A4-65某组织的财务系统的灾难恢复计划规定，恢复点目标为零，并且恢复时间目标为72小时。下列哪一项是最具成本效益的解决方案?A、热备援中心可在8小时内投入使用，并对交易日志记录进行异步备份B、对多个位置处的分布式数据库系统进行异步更新C、对热备援中心中的数据和备用系统进行同步更新D、对于可在24小时内投入使用的温备援中心，以远程方式同步复制其中的数据答案：D251.下列哪一项是保障网上商店的可用性的最佳方案?分值5分A、RI5存储设备B、集群结构C、在异地设立境像站点(mirroresite)D、联网名份答案：C252.为了起到应有的效果，KPI指标一定要：A、可以百分比形式衡量B、具有目标值C、得到管理层的批准D、频繁变更，以反映组织的战略答案：B253.IT治理包括向业务交付价值，以及：A、确保IT技术的更新B、管理财务状况C、产生有意义的报告和衡量标准D、管理IT风险答案：D254.从外网接入内网时，可以有效防止非授权访问的方法是：A、防火墙B、内容过滤服务器C、入侵检测系统D、代理服务器答案：A255.因业务激增，某公司采购了大型主机系统，信息系统审计师应当主要考虑下面哪一个因素?A、RP是否评估和更新B、采购是否超过预算C、投标是否经过评估D、应用程序访问控制是否充分答案：D256.A5-63以下哪项会带来固有风险，而没有明显可采取的预防控制手段?A、骑肩跟入法B、病毒C、数据欺骗D、未经授权的应用程序关闭答案：C257.以下哪项是云服务提供商实施了安全政策程序的最佳证据？A、对网络安全配置参数的审查B、第三方提供的审计报告C、其他客户对服务商的评价D、服务提供商安全管理层提供的安全策略答案：B258.A1-84某信息系统审计师正在测试某大型财务系统的员工访问权限，并且该信息系统审计师从受审方提供的当前员工名单中选择了一份样本。以下哪项证据最可靠地支持该项测试?A、系统管理员提供的电子表格B、员工的经理签署的人力资源访问授权文档C、系统生成的包含访问级别的账户列表D、有系统管理员在场的情况下进行的现场观察答案：C259.A5-22某人力资源公司在使用通用用户ID和密码进行身份认证后，为其访客提供无线互联网访问。通用ID和密码可从接待处申请。以下哪项控制措施能最好地解决此问题?A、每周更改一次无线网络的密码B、在公共无线网络和公司网络之间使用状态检测防火墙C、将公共无线网络与公司网络物理隔开D、在无线网络中部署入侵检测系统答案：C260.使用加密的备份磁带时，最应关注A、加密密钥丢失B、备份磁带的物理安全性C、与将来软件版本不兼容D、加密过程造成数据不准确答案：A261.项目开发阶段，新增加了一个功能点，以下哪项影响最大A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A262.信息系统审计师发现组织存在一个漏洞，信息系统审计师应该？A、要求尽快修复此项漏洞B、通知业务方C、调查漏洞引发威胁的概率D、记入审计报告答案：C263.在制定业务持续性计划时，业务单位管理层的参与在以下工作过程中最为重要?A、实施文档库B、进行业务影响分析C、制定业务恢复程序D、执行IT风险评估答案：B264.审计师发现防火墙已过时，并且供应商已不提供支持。下列哪一项任务最恰当地描述了最佳的下一行动方案?A、报告风险缓解控制情况B、确定不更换防火墙的风险C、确定防火墙的价值D、报告组织的安全状况答案：B265.在制定业务连续性计划(BCP)时，应首先完成以下哪一项?A、执行漏洞分析B、进行I分析C、审查环境控制措施D、执行业务威胁评估答案：B266.以下哪一项控制措施能够最有效地解决搭载/紧随进入无双门安全系统的受限区域的风险?A、)双因素认证B、安全意识培训C、生物识别门锁D、要求佩戴I标识卡答案：B267.A1-117在审计过程中,信息系统审计师注意到，应用程序开发员还对其他应用程序执行质量保证测试，以下哪一项是审计师最重要的行动方案?A、建议补偿性控制B、审查开发员创建的代码C、分析报告保证仪表盘D、报告所发现的状况答案：D268.以下哪一项是进行业务影响分析的第一步？A、确定影响运行连续性的事件B、创建数据分类方案C、分析过去的交易量D、确定关键信息资源答案：D269.以下哪个可用于确定恢复顺序？A、BIAB、风险评估C、BCP测试结果D、DRP测试结果答案：A270.A5-282以下哪个选项可用于自动确保在处理过程中使用适当的数据文件?A、文件标题记录B、使用版本号C、奇偶校验D、文件安全控制答案：A271.A1-51出现以下哪种情况时，信息系统审计师应使用统计抽样方法而非判断(非统计)抽样方法：A、必须客观量化错误的概率B、审计师希望避免抽样风险C、无法使用通用审计软件D、无法确定可容忍误差率答案：A272.某IS审计师己发现有了某应用的新修补程序，但IT部门已决定不需要该修补程序，原因是落实了其他安全控制措施。该IS审计师应该建议以下哪个选项？A、在可以对其进行测试后，无论如何都要应用该修补程序。B、实施基于主机的入侵检测系统（IDS)。C、实施防火墙规则，以进一步保护应用服务器。D、评估整体风险，然后决定是否部署修补程序。答案：D273.最能确定公司网络整体安全性的方式是()?A、实施渗透测试B、审查网络安全文档C、审查安全程序D、审查网络配置答案：A274.A2-131有效设计信息安全政策最重要的因素是：A、威胁趋势B、以前的安全事故C、新兴技术D、企业风险偏好答案：D275.一家银行多年来一直将其异地备份介质和记录存储外包给同一家公司，因为非常熟悉，所以允许银行工作人员不走正式程序即可检索磁带，这种做法对银行的最大风险是以下哪一项?A、备份介质可能会因事故而丢失或损坏B、机密文档可能会被未授权的人员看到C、未经授权的第三方员工可能获得银行数据D、银行员工可能会有欺诈行为而不会留下审计轨迹答案：D276.【重要题】哪种控制在跨网络传输中有效检测数据意外损坏A、顺序检查B、对称加密C、奇偶校验D、校验(数字)位答案：D277.A2-134审计程序中的错误主要影响以下哪一项风险?A、检测风险B、固有风险C、控制风险D、业务风险答案：A278.对于无双重门控制的机房，管理层应该采取哪个行动来防止跟随进入?(2023年3月真题)A、要求员工佩戴I卡B、双因素验证C、生物识别技术D、安全意识培训答案：D279.A1-24在信息系统审计期间，所收集数据的范围应根据以下哪个选项确定?A、关键和必需的信息的可用性B、审计师对环境的熟悉程度C、受审方查找相关证据的能力D、正在执行的审计的目的和范围答案：D280.A5-56以下哪项属于纵深防御安全原则的示例?A、使用两道防火墙不间断检查入站网络流量B、在主机上使用防火墙和逻辑访问控制来控制入站网络流量C、在计算机中心建筑外没有任何标识D、并行使用两道防火墙检查不同类型的入站流量答案：B281.为了提升大型企业的信息安全培训意识，以下哪项是最好的措施?A、确保制定培训计划B、培训需要安排考试C、所有员工使用同一份课程进行培训D、分角色等级分别设计课程答案：D282.A2-41信息系统审计师会认为以下哪项工作与IT部门短期计划的关联性最大?A、资源分配B、适应不断变化的技术C、开展控制自我评估D、评估硬件需求答案：A283.A3-101系统开发项目完成后,项目实施后审查工作中应该囊括以下哪一项?A、评估可能在产品发布之后导致停机的风险B、总结可应用到未来项目中的经验教训C、检验所交付系统中的控制是否正常运转D、确保已删除测试数据答案：B284.A4-200当操作系统修补程序即将应用于生产环境时，以下哪一项最重要?A、开发员成功进行的回归测试B、信息资产所有者的批准C、安全官的批准D、补丁安装在备用中心答案：B285.A5-176有人担心在实施单点登录流程后，未经授权访问的风险可能增加。为了防止未经授权的访问，最重要的措施是：A、监控失败的身份认证尝试B、定期审查日志文件C、立即禁用未授权的账户D、强制采用强密码政策答案：D286.网络遭受病毒风暴袭击，已经通知了事件响应团队，下一步应该如何处理?A、将事件记录下来B、集中精力将损害限制在有限范围内C、删除并修复受影响的系统D、检查受损系统的功能是否完好答案：B287.A4-1某组织正考虑使用新的IT服务提供商。从审计角度来看，以下哪项时最需要审查的项目?A、该服务提供商的其他客户推荐B、该服务提供商站点的物理安全性C、与该服务供应商拟议的服务水平协议D、该服务供应商员工的背景调查答案：C288.【重要题】.IT指导委员会应该采取哪项措施来帮助董事会履行IT治理职责?A、制定IT政策和措施来跟踪项目B、聚焦在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D289.流程所有权分配在系统开发项目中至关重要，原因是它：A、利于跟踪开发完成的百分比。B、优化用户验收测试(UAT)案例的设计成本。C、最大限度缩小需求与功能之间的差距。D、确保系统设计基于业务需求。答案：D290.组织将重要包含重要客户信息的信息系统外包给国外的云服务商，最主要需要注意以下哪一点?A、审查服务商将在哪些国家和地区提供服务。B、法律法规的合规性C、确保数据存放在合同规定的所在国的所在地点。D、确保服务商遵守组织的安全策略。答案：B291.A3-153实施后审查的结果表明,只有75%的用户能够同时登录应用系统。以下哪一项最有可能发现以上确定的该应用程序的弱点?A、负载测试B、压力测试C、恢复测试D、容量测试答案：A292.A4-120确定服务中断事故严重程序的主要标准是：A、恢复成本B、负面舆论C、地理位置D、停机时间答案：D293.敏捷项目能识别和缓解风险得办法：A、项目成员参与风险讨论B、像业务负责报告风险C、项目成员专注于高风险领域D、请专家进行风险评估答案：A294.A5-29一位信息系统审计师正在审查某组织的信息安全政策，该政策要求对所有保存在通用串行总线(USB)驱动器上的数据进行加密。政策还要求使用一种特定的加密算法。以下哪种算法可以为USB驱动器上的数据在防止未经授权的数据泄露方面提供最安全的保障?A、数据加密标准(ES)B、信息摘要5(M5)C、高级加密标准(ES)D、安全壳(SSH)答案：C295.A4-82某批量交易作业在生产中操作失败，但在用户验收测试(UAT)中却未出现问题。生产批量作业分析显示，它在UAT后经过修改。将来减少这种风险的最佳途径是以下哪一个?A、完善回归测试案例B、针对发布后的有限时间段启用审计轨迹C、执行应用用户访问审查D、确保开发人员在测试后无访问权限进行编码答案：D296.A1-103在结束会议期间与高级管理层沟通审计发现之前，确保以下哪项最重要?A、风险声明，包括对业务影响的说明B、审计发现可以明确追溯到证据C、解决审计发现根本原因的建议D、由责任方提供补救计划答案：B297.A4-78下列哪种情况最适于将实施数据镜像作为恢复策略?A、容灾能力很高B、恢复时间目标很高C、恢复点目标很低D、恢复点目标很高答案：C298.A5-57以下哪项是最佳的访问控制步骤?A、数据所有者正式授权访问，然后由管理员实施用户授权表B、被授权的员工实施用户授权表，然后由数据所有者批准这些表C、数据所有者和信息系统经理共同创建并更新用户授权表D、数据所有者创建并更新用户授