2025年cisa国际注册信息系统审计师核心考点精练题库300题（含答案）

PAGEPAGE1一、单选题1.IS审计师正在审查某组织的人力资源（HR)数据库的实施情况。IS审计师发现:为获得高可用性而群集数据库服务器,所有默认数据库帐户己删除，并且已保留数据库审计日志并每周审查一次。为确保适当保护数据库的安全，IS审计师还应检查哪些其他领域？A、限制数据库管理员访问HR数据。B、数据库日志经过加密。C、数据库存储的程序经过加密。D、数据库初始化参数适当。答案：D2.审计师通过以下哪项可以得出有效的证据，用于验证操作人员的控制执行的有效性。A、与管理层进行面谈B、观察操作人员执行流程C、测试用户的访问权限D、访谈操作人员答案：B3.网络遭受病毒风暴袭击，已经通知了事件响应团队，下一步应该如何处理?A、将事件记录下来B、集中精力将损害限制在有限范围内C、删除并修复受影响的系统D、检查受损系统的功能是否完好答案：B4.审计师发现数据库的数据与财务系统上显示的财务数据并不一致，以下哪一项是最大的风险A、可能根据错误的数据做出错误的决定B、可排除C、报告无法按时出具D、可能存在未被发现的欺诈行为答案：D5.A4-26信息系统审计师在评估可用性网络的恢复力时，最应该关注：A、是否在地理上分散安装网络B、服务器汇集在同一站点中C、热备援中心是否已准备好运行D、该网络是否实施了多路由选择功能答案：B6.软件使用可持续时间应在哪个阶段确定？A、设计阶段B、用户测试之后C、提供给运维之前D、实施后答案：A7.以下哪项会通过将自身追加到文件中来防御病毒？A、行为拦截程序B、循环冗余校验（CRC）C、免疫D、主动监控程序答案：C8.A1-43当评估组织的IT战略时,信息系统审计师会认为以下哪一选项最重要?A、已得到直线管理层的批准B、与IT部门的初步预算相同C、符合采购流程D、支持组织的业务目标答案：D9.在应用程序软件审查过程中，某IS审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是：A、包括审查范围内的数据库控制。B、记录下来供日后审查。C、与数据库管理员共同解决问题。D、如实报告漏洞。答案：D10.A5-11信息系统审计师正在审查某组织的人力资源(HR)数据库的实施情况。信息系统审计师发现：为获得高使用性而群集数据库服务器，所有默认数据库账户已删除，并且已保留数据库审计日志，每周审查一次。为确保数据库的安全，信息系统审计师还应检查哪些其他领域?A、限制数据库管理员访问HR数据。B、数据库日志经过加密C、数据库存储的程序经过加密D、数据库初始化参数适当答案：D11.A4-211某信息系统审计师正在对某数据中心的灾难恢复程序进行审查。表明该程序符合要求的最佳指标是以下哪一项?A、记录在案的程序经过管理层批准B、程序经过审查，并与行业良好实践进行过比较C、用该程序进行过桌面演练D、恢复团队及其职责已记录在案答案：C12.为防止病毒引入网络。下列哪一项措施最有效？A、定期更新补丁B、在网络入口安装防毒墙C、每日开机之前扫描所有文件D、在服务器上安装病毒检测程序答案：B13.一家企业遇到了由于默认用户帐户未从其中一台服务器中删除而导致的域名系统(DNS)攻击事故。以下哪一项合是缓解该DNS攻击的风险的最佳方式?A、遵循批准的际准配置来配置这些服务器B、让第三方配置虚拟服务器C、配置入侵防御系统以识别NS攻击D、要求所有员工参加安全配置管理的培训答案：A14.公司将其应用程序迁移到私有云中的laaS平台。谁将负责所部署应用程序所在操作系统的安全配置?A、云提供商B、操作系统供货商C、公司D、可排除答案：C15.A4-8一位信息系统审计师正在审查某组织的数据库安全性。要强化数据库，应首先考虑以下哪一项?A、变更默认配置B、使数据库中的所有表非规范化C、对存储过程和触发器进行加密D、变更数据库服务器使用的服务端口答案：A16.可用性最好(容错率最高)的网络结构是?(哪种网络结构最稳定?)A、)环状B、网状C、星形D、总线答案：B17.提高数据中心的服务器密度时，下列哪项是最关注的?A、维护访问B、电磁干扰C、温度D、气流控制答案：B18.当某公司按照合同实施新软件时，下面哪种方法对于控制因范围蔓延导致成本增加是至关重要的？A、质量管理B、问题管理C、风险管理D、变更管理答案：D19.A5-175某信息系统审计师正在审查某家制造公司，并发现远程站点的主机用户通过Telnet经互联网连接到总部的主机上。以下哪一项提供最强的安全性?A、使用点对点租用线路B、使用防火墙规则，只允许该远程站点的互联网协议地址C、使用双因素认证D、使用Telnet非标准端口答案：A20.信息系统审计师使用端口扫描软件来：A、建立通讯连接B、检测入侵行为C、检测开放服务D、确保所有端口在使用中答案：C21.A2-5评估IT治理实施的有效性时，以下哪一因素最关键?A、确保定义了保证目标B、确保利益相关方的要求和参与C、确定相关风险及相关机会D、确定相关驱动因素及其适用性答案：B22.以下哪一项能最有效地控制数字订单号输入的准确性？A、哈希总计B、数字有效性检查C、与历史订货模式比较D、联机检查描述答案：B23.A2-65对服务提供商进行审计时，信息系统审计师发现，该服务提供商已将部分工作外包给了其他提供商。由于此工作涉及机密信息，因此，信息系统审计师应当首先考虑：A、保护信息安全的要求可能受到影响B、合同可能因为外包商未获得事先许可而被终止C、提供部分外包工作的其他服务商不需要接受审计D、外包商将直接与其他服务提供商进行接触，以便进一步开展工作答案：A24.对于之前审计结果中提出的审计建议，管理层告知审计师审计建议中的纠正措施要比预期的晚实施，审计师应该A、查看是否有临时的补偿性措施B、上报管理层C、更改审计跟踪时间表D、与审计经理商量探讨答案：A25.在IS审计过程中，IS审计师评估IT部门内部职责分工落实情况的最佳方法是什么？A、与IT经理开展讨论。B、审查IT职能部门的工作说明。C、搜索过去的IS审计报告。D、评估组织架构。答案：A26.A5-17某职员收到一个礼物是数码相框，他将相框连接到自己的工作PC上试图传输数码照片。这种情况可能引入的主要风险是：A、可能利用相框存储介质窃取企业数据B、相框的驱动程序可能与用户P不兼容并造成用户P崩溃C、该职员可能把不适当的照片带进办公室D、相框可能被恶意软件感染答案：D27.匿名文件传输协议(FTP)服务器的主要特征是?A、加密通信链路B、未认证的用户对所有主机系统文件具有完全的访问权限C、无法防止对敏感文件的访问D、比HTTP协议性能差答案：C28.A4-41以下哪项被公认为是网络管理的关键要素之一?A、配置和变更管理B、拓扑映射C、监控工具的应用D、代理服务器故障排除答案：A29.A2-131有效设计信息安全政策最重要的因素是：A、威胁趋势B、以前的安全事故C、新兴技术D、企业风险偏好答案：D30.以下哪一项最使信息系统审计师向管理层表明实施后分析是有效的?A、吸取的经验教训已记录存档并加以应用B、业务和IT相关人员都参加到实施后分析中C、完成了后续审计，且没有发现任何问题D、实施后分析是系统开发生命周期(SL)中的一个正式阶段答案：A31.A4-84一名信息系统审计师执行应用程序维护审计时，将审查程序变更日志，以便了解：A、程序变更的授权情况B、当前目标模块的创建日期C、程序的实际改动量D、当前源程序的创建日期答案：A32.A4-189以下哪项能够最好地缓解因将互惠协议已用作恢复备选方案而引发的风险?A、每年进行一次灾难恢复演练B、确保合作伙伴组织位于不同的地理位置C、定期执行业务影响分析D、选择具有类似系统的合作伙伴答案：B33.A4-72信息系统审计师应当审查以下哪一项，以确保服务器经过最优配置以支援处理要求?A、基准指标测试结果B、服务器日志C、故障报告D、服务器利用的数据答案：D34.A5-211用户使用分配的安全令牌结合个人识别码(PIN)来访问公司的虚拟私有网络。对于PIN，安全政策中应包含哪项最重要的规则?A、用户不应将令牌置于容易被盗的地方B、用户不得将令牌和便携式计算机置于同一包中C、用户应选择完全随机且没有重复数字的PIN。D、用户不应将PIN写下来答案：D35.【重要题】在开发新的财务应用程序时，信息系统审计师首先应参与：A、控制设计。B、可行性研究。C、系统测试。D、应用程序设计答案：B36.A2-139组织完成风险评估的一部分的威胁和漏洞分析之后，最终的报告建议主要互联网网关安装入侵防御系统(IPS)，而且应通过代理防火墙分离所有业务部门。以下哪项是确定是否应采取控制措施的最佳方法?A、成本效益分析B、年化预期损失计算C、IPS和防火墙成本与业务系统成本的对比D、业务影响分析答案：A37.随着时间的推移，下列哪项对保证服务器可用性有效A、手动轮询服务器B、审查计划内的停机时间。C、分析服务器控制台日志。D、用户报告的停机时间。答案：C38.对于VoIP，信息系统审计师最关注什么？A、不可抵赖性B、服务的连续性C、网络的统一性D、数据与语音网络分离答案：B39.测试程序和生产程序分离的主要目的在于?A、为变更管理控制提供基础B、为变更实施控制C、信息系统人员和最终用户之间实施职责分离D、限制IT人员对开发环境的访问权限答案：A40.【重要题】以下哪一项是用以确定执行跟踪审计过程时间表的最重要标准?A、审计发现结果的风险暴露B、审计资源的可用性C、被审计方的时间允许D、下一次审计之间的协调答案：A41.某IS审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最?A、紧急断电按钮盖不见了。B、未执行预定的灭火系统日常维护。C、数据中心没有安全摄像头。D、紧急出口门被阻塞。答案：D42.对于持续的数据质量问题，以下哪项最能帮助分析和确定相应的收入损失A、实施数据有效性验证控制的成本B、问题数量与平均停机时间的关系C、数据获取成本与销售损失的对比D、数据错误与交易价值损失的互相关系答案：D43.代理服务商反馈通过瘦客户端下载数据，延迟比较大，应该进行以下哪项措施。A、申请替换为胖客户端B、升级客户端硬件配置C、升级客户端程序以提供更详细的错误信息D、安装中间件用来增强客户端和系统的通讯答案：D44.信息系统审计师应该会在下列哪一个SDLC阶段，发现控制措施已集成到系统规范中？A、实施B、设计C、开发D、可行性研究答案：B45.A1-73信息系统审计师应使用下列哪项来检测发票主文件中是否存在重复的发票记录?A、属性抽样B、计算机辅助审计技术C、符合性测试D、集成测试设施答案：B46.A3-56专家系统使用问卷调查的方式引导用户做出一系列选择，直到得出结论。这个方法的知识基础被称为：A、规则B、决策树C、语义网络D、数据流图答案：B47.在完成信息系统审计后，IS审计师应向利益相关者说明以下哪种风险?A、固有风险B、审计风险C、检测风险D、残余风险答案：D48.要求审计时，审计部有经验的审计员不足时，怎么办?A、推迟审计B、外部服务(外包)C、继续审计D、拒绝审计答案：B49.在计划重要系统开发项目时，功能点分析有助于A、确定系统或程序承担的业务功能B、估计系统开发任务量C、估计项目所需时间D、分析系统用户来帮助重新设计工作的功能。答案：B50.A1-123与信息系统审计客户召开审计启动会议的主要目的是：A、讨论审计的范围B、确定审计资源需求C、选择审计方法D、收集审计证据答案：A51.数据分类的第一步?A、盘点数据资产B、确定风险偏好C、定义数据所有权D、确定敏感度水平答案：A52.A2-80如果IT支持人员和最终用户之间存在职责分离问题，则以下哪一项适合作为补偿性控制措施?A、限制对计算设备的物理访问B、对交易和应用程序日志进行审查C、在聘用IT人员之前执行背景调查D、在特定的一段时间无活动后，将用户会话锁定答案：B53.企业实施隐私政策是出于什么目的?A、为个人提供数据处理的选择B、符合法律法规的要求C、防止机密数据的丢失D、识别传输中的数据以进行数据加密答案：B54.以下哪项测试能最快确定Web应用程序的接口错误A、回归测试B、UAT测试C、单元测试D、集成测试E、自动测试答案：D55.基于风险的审计方法其主要好处是A、识别关键控制措施B、缩小审计范围C、确定审计资源的优先级D、了解业务流程答案：C56.A5-5以下哪项最能保证服务器操作系统的完整性?A、在安全的位置放置服务器B、设置启动密码C、加固服务器配置D、实施活动日志答案：C57.项目上线后的审查中，应审查以下哪一项来确定项目是否满足用户要求？A、用户文档的完整性B、并行测试的结果C、程序更改请求的类型。D、关键计算的完整性答案：B58.A5-33某信息系统审计师正在进行某企业网络的实施后审查。以下哪种结果最令人担忧?A、无线移动设备没有密码保护B、安装网络设备时未变更默认密码C、不存在出站We代理服务器D、并非所有通信线路均已加密答案：B59.以下哪一项最能体现信息安全计划的有效性？A、安全团队知识丰富，使用最好的工具B、经过意识培训后，报告和确认的安全事故数量有所增加C、安全意识培训计划是根据行业最佳实践开发的D、安全团队执行了风险评估，以了解公司的风险偏好答案：B60.A2-132由于盈利压力,企业的高级管理层决定将信息安全投资保持在不太充分的水平。以下哪一项是信息系统审计师的最佳建议?A、使用云提供商提供低风险运营B、修改合规性实施流程C、要求高级管理层接受风险D、推迟低优先级安全程序答案：C61.企业所在地的监管发布了最新的关于PII（个人可标识信息）的跨境数据转移新规定，以下哪一项有可能需要重新进行评估?A、企业薪资系统托管给外部云服务供应商B、聘请海外IT顾问C、购买海外的网络保险D、存储PII数据的数据库的加密情况答案：A62.在审计过程中，IS审计师发现，人力资源(HR)部门用云应用来管理员工记录。HR部门越过正常的供应商管理流程参与一份合同，并自行管理应用。以下哪一项最值得关注？A、未在合同中定义最长的可接受停机时间指标。B、IT部门不管理与云供应商之间的关系。C、服务台呼叫中心驻在不同的国家，需遵守不同的隐私要求。D、公司定义的安全政策不适用于云应用。答案：D63.信息系统投资的业务案例应可供审查，直到：A、信息系统寿命已尽，B、信息系统投资已退休。C、正式的投资决定获得批准。D、益处已得到充分实现。答案：D64.A3-44以下哪个选项是数据仓库设计中最重要的因素?A、元数据的质量B、交易速度C、数据的波动D、系统的漏洞答案：A65.实施新的应用程序软件包(或第三方应用)，最大的风险是?A、参数配置错误B、没有审计轨迹C、交易量过大D、交易敏感度高答案：A66.订单由于不同的交货日期，所以一个订单通常会收到多张发票，以下哪一项是检测重复付款的最佳方法?A、在订单交易文件中执行通用审计软件B、在开发环境中执行测试数据C、在订单交易程序中执行测试数据D、在发票交易文件中执行通用审计软件答案：C67.A5-19信息系统审计师正在审查以前医院信息系统审计发现的问题。其中一个问题指出医院使用电子邮件来沟通敏感的患者问题。信息技术经理指出，为了解决此问题，医院已对所有电子邮件用户实施了数字签名。信息系统审计师的响应是什么?A、数字签名不足以保护机密性B、数字签名足够保护机密性C、信息系统审计师应收集有关特定实施情况的更多信息D、信息系统审计师应建议为安全电子邮件实施数字水印答案：A68.A5-138在规定了IT安全基准的组织中，信息系统审计师首先应确保基准：A、正常实施B、合规性C、记录在案D、充分性答案：D69.审查项目组合时，下列哪一项是管理层应考虑的最有用的指标？A、该组合的当前净值B、预期效益与总项目成本之比C、每个项目的总成本D、项目成本与总IT成本之比答案：B70.为防止在共享打印机上打印的保密文档泄露，应该采用以下哪种方法？A、加密用户计算机和打印机之间的数据流B、使用已打印文档的密级生成标题页C、要求授权用户在将文档发送到打印机之前提供密码D、在打印结果输出之前，要求现在打印机上输入密码答案：D71.【重要题】在系统开发周期SDLC的哪一个阶段进行风险评估是最有帮助的?A、系统开发前B、业务案例开发期间C、系统部署前D、生命周期的每个阶段答案：D72.公司要将保密数据给到下游应用系统，最能保证安全性的是？（金融机构需要向下属分公司传输机密性的数据，最佳做法是？）A、SFTPB、带时间截的文件头C、SNMPD、SNTPE、安全外壳答案：A73.【重要题】当确定审计日志的数据保留期时，最基本的因素是什么?A、计算机取证的原则B、普遍接受的审计标准C、风险控制D、法规要求答案：D74.A5-134要从网络攻击中恢复,以下哪项措施最重要?A、建立事故响应团队B、雇用网络取证调查员C、执行业务连续性计划D、保留证据答案：A75.A5-190某信息系统审计师已发现，员工们在通过电子邮件将敏感的公司信息发送到基于Web的公共电子邮件域。对信息系统师而言，以下哪一项是最佳补救措施?A、加密邮件账户B、培训和加强安全意识C、活动监测D、数据丢失防护答案：D76.有员工把系统管理员密码发在了社交网站上，最先应该怎么做：A、修改密码B、关闭系统C、走法律程序D、上报监管答案：A77.A4-243某位职员在主文件中对贷款利率进行了变更。输入的利率超出了此类贷款的正常范围。要合理保证该变更经过授权，以下哪种控制最有效?A、该职员的经理输入批准代码确定变更前，系统不会处理此变更B、系统生成一个能够列出所有利率异常的周报，并由该职员的经理对报告进行审查C、系统要求该职员输入批准代码D、系统向该职员发出一个警告消息答案：A78.源代码库应该设计用于：A、防止开发者访问安全源代码B、防止对代码进行变更。C、提供自动整合功能(具体不记得了，可排除)D、为现有代码提供安全的版本管理和备份功能答案：D79.A5-64哈希和加密之间最主要的区别在于哈希：A、不可逆B、输出消息与原始数据的长度相同C、涉及完整性和安全性D、发送端和接收端相同答案：A80.A5-195以下哪个选项是针对网络的被动攻击?A、消息修改B、伪装C、拒绝服务D、流量分析答案：D81.对最近购买的系统进行实施后检查时，最重要的是信息系统审计师要确定A、供应商产品是否已提供可行的解决方案B、项目利益相关者的预期是否已识别C、测试方案是否反映了运营活动D、是否已满足用户需求控制答案：D82.A3-128新版企业资源规划工资系统将替换现有的旧系统，为了便于成功进行用户测试和验收，以下哪个选项属于最佳方法?A、多重测试B、并行测试C、集成测试D、原型测试答案：B83.操作系统管理员未执行年度财务报表的脚本，提什么建议A、执行关闭清单losingheklistB、财务人员加入操作系统C、培训操作系统人员D、更新操作手册答案：C84.为确定业务连续性计划(BCP)的有效性，最具成本效益的方式是：A、实施后审查B、桌面推演C、全面运行测试D、压力测试答案：B85.【重要题】审计师发现，业务部门未经商议就修改了之前已经商议好的整改措施，审计师应该()A、检查是否有其他补偿性措施B、遵循重新制定的整改措施C、重新实施审计D、汇报给管理层答案：A86.A3-51以下哪一项是原型设计的优点?A、成品系统通常具有强大的内部控制B、原型系统能够显著地节省时间和成本C、原型系统的变更控制通常较为简单D、原型设计可确保功能或附加物不会被添加到指定系统答案：B87.A1-81在某小型组织中，发行经理和应用程序开发人员的职能由同一员工履行。在此场景中，以下哪一项是最佳补偿性控制?A、雇用额外的员工以实现职责分离B、禁止发行经理对程序进行修改C、记录对开发库的更改D、验证是否仅实施经过批准的程序变更答案：D88.【重要题】基于风险的审计方法其主要好处是：A、识别关键控制措施B、缩小审计范围C、确定审计资源的优先级D、了解业务流程。答案：C89.了解一个操作系统的安全配置的最佳方式是：A、学习供应商的安装手册。B、检查系统安全计划。C、跟安装软件的系统程序员面谈。D、查看系统自动配置的参数。答案：D90.下列哪一项是制定网络服务的服务水平的协议（SLA）所面临的挑战？A、减少网络入口(entrypoint)数量B、建立设计良好的网络服务框架C、找到能够正确衡量的性能指标D、确保客户未修改网络组件答案：C91.A4-246某信息系统审计师在数据库的某些表中发现了超出范围的数据。为避免此类状况发生，该信息系统审计师应推荐采用以下哪种控制?A、记录所有的表更新交易B、在数据库中设定完整性约束C、使用前后图像报告D、使用跟踪和标记答案：B92.在制定新的风险管理计划时，一定要考虑以下哪种因素？(新题)A、风险偏好B、合规性措施C、风险缓解技术D、资源利用答案：A93.IT指导委员会负责应对以下哪一项负责A、把实施安全性与业务目标集成在一起B、评估和报告战略一致性程度C、审查并协助IT策略整合工作D、制定IT安全策略答案：C94.生物识别方法的有效性，最主要由以下哪个指标决定?A、像素B、图像尺寸C、交叉错误率D、错误拒绝率答案：C95.A5-208为确保法庭采信日志信息，最需要以下哪一项衡量标准?确保数据：A、具有独立的时间戳B、由多个记录系统记录C、经过最安全的加密算法加密D、经过验证，以确保日志的完整性答案：D96.信息系统审计师发现，关键系统的备份未按照BCP中建立的RPO执行。审计师下一步应该?A、扩大审计范围B、确定根本原因C、将观察结果包含在报告中D、要求立即执行备份答案：B97.数据中心环境控制审计可能包括以下哪一项审查?A、有权进入数据中心的人员名单B、应急出口的报警系统C、数据中心的访问日志D、天花板上没有湿管答案：D98.在安排跟踪审计时，以下哪一项是最重要的考虑因素?A、与新审计师进行独立验证工作所需的努力B、被审计方同意与审计师合作花费的时间C、不采取整改措施会产生的影响D、与观察结果有关的控制和检测风险答案：C99.【重要题】对于应用程序开发验收测试来说，以下哪项最重要?A、质量保证(Q)小组负责测试过程B、用户管理在启动测试之前会审批测试设计C、所有数据文件在转换之前均进行了有效信息测试D、编程小组参与测试过程答案：B100.A4-141当组织需要极小粒度的数据恢复点(在恢复点目标中定义)时，以下哪种备份方法是适合的?A、虚拟磁带库B、基于磁盘的快照C、连续备份数据D、磁盘到磁带备份答案：C101.【重要题】哪项风险对抽样方法的选择影响最大?A、固有风险B、残余风险C、检测风险D、控制风险答案：D102.【重要题】某企业有两个数据库，为满足管理层对数据库高弹性的需求，应该A、第二个数据库设立热站B、两个数据库都可以单独实现磁盘备份恢复C、两个数据库相互备份D、两个数据库互为镜相答案：D103.在制定数据保留政策(dataretentionpolicy)时，首要考虑的是：A、设计基础设施存储战略B、识别法律和合同规定的数据保留期C、确定数据的安全访问权限D、根据保留期确定备份周期答案：B104.公司用了软件即服务(saas),在软件供应商不再提供服务的情况下怎样能保证可用性?A、复制这个软件(大概是意思)B、把数据定期备份C、在网络连接上做一个冗余D、第三方托管答案：D105.企业将某个系统部署到私有云的Issa，问谁为系统安全最终负责：A、企业B、企业和云供应商C、操作系统供应商D、云供应商答案：A106.A5-147要使无线局域网中传输数据的机密性得到最佳保护，需要会话：A、仅限于预定义的介质访问控制地址B、使用静态密钥加密C、使用动态密钥加密D、从具有加密存储的设备启动答案：C107.当获得高层管理人员对灾难恢复计划的支持和制定计划所需资源的授权后，选择起草计划的人应当具有以下哪一种能力：A、具有与信息系统相关的操作系统、数据库和通讯的技术知识B、具有在相同行业中的客户咨询经验C、具有组织的全局观点和认识所有灾难后果的能力D、具有硬件和软件供货商咨询背景答案：C108.A2-16在下列哪一种风险管理方法中，分担风险是一个重要因素?A、转移风险B、容忍风险C、)终止风险D、处理风险答案：A109.以下哪一项能够在实施之前最可以确定满足业务需要A、可行性分析B、UATC、实施后审查D、实施计划分析答案：B110.A5-192某Web服务器收到攻击后被攻破。组织政策规定，事故响应应在遏制攻击和保留对攻击者采取后续法律行动的自由之间取得平衡。在这种情况下，应首先进行以下哪一项?A、将易失性存储器数据转储到磁盘上B、以故障切换模式运行服务器C、断开该We服务器与网络的连接D、关闭该We服务器答案：C111.开发团队每天都将包含个人信息的数据同步到测试环境，需要获得谁的授权A、数据所有者B、个人信息主体C、信息安全经理D、系统管理员答案：A112.【重要题】代理服务商反馈通过瘦客服端下载数据，延迟比较大，应该进行以下那项措施?A、申请替换为胖客户端B、升级客户端硬件配置C、升级客户端程序以提供更详细的错误信息D、安装中间件用来增强客户端和系统的通信答案：D113.审计报告制定了解决审计问题的责任人，下列哪一项最进一步增强审计报告的有效性A、详细的降低风险步骤B、监督补救的审计人员C、补救的成本D、补救的目标日期答案：D114.A3-76在企业资源管理系统的实施后审查期间，信息系统审计师最可能：A、审查访问控制配置B、评估接口测试C、审查详细的设计文档D、评估系统测试答案：A115.以下哪一项最有助于信息系统审计师识别工资核算流程中的潜在给付情况？A、员工数量和供应商账号数量的比对B、指出与往期工资单有重大差异的报告C、对用于核查的员工和供应商地址进行审查D、薪资流程中有关最大笔工资的报告答案：B116.对IS审计师而言，如果下列用户组具有生产数据库的直接完全访问权限，以下哪一组最值得关注？A、应用测试员B、系统管理员C、数据库所有者D、数据恢复团队答案：A117.包金敏感信息的EUC存在哪项最大的风险A、数据未被保护B、系统未被包含进库存C、没有审计日志D、安全授权不可用答案：A118.磁盘管理系统的主要功能在于：A、提供有关磁盘有效利用率的数据B、拒绝访问磁盘驻留的数据文件C、见识磁盘访问，以便进行分析审查D、提供控制磁盘使用的方法答案：A119.系统检查工作人员的信息代码是“退休”还是“在职”，这是哪种类型的检查?A、有效性检查B、完整性检查C、存在性检查D、可排除答案：A120.公司实施三单（订单、货物单和发票）自动匹配的目的是控制以下哪种风险A、系统处理无效付款B、未给予客户折扣C、订单延迟处理D、多次支付一项合法交易答案：D121.在审计期间审计师发现，在向新员工授予逻辑访问权限方面出现明显延迟。应该先审查8D哪一项来确定问题根本原因?A、关键绩效指标B、现有的访问权限体系C、服务水平协议(SLs)D、目前的工作流模型答案：D122.A3-138以下哪项能够最好地帮助信息系统审计师评估与未来维护能力有关的编程活动的质量?A、编程语言B、开发环境C、版本开发D、系统程序编码标准答案：D123.A4-59某信息系统审计师正在数据中心执行审计，这时火警报警器突然响起。由于审计范围包括灾难恢复，所以该审计师开始观察数据中心员工对警报的响应情况。此时对于数据中心的员工来说，以下哪项措施最重要?A、向当地消防部门通报火警情况B、准备启动消防系统C、确保数据中心的所有人员均撤离现场D、从数据中心转移所有备份数据答案：C124.在进行IT风险评估时，应首先执行以下哪一个步骤A、评估现行控制B、评估漏洞C、识别潜在的威胁D、识别要保护的资产答案：D125.哪种控制在跨网络传输中有效检测数据意外损坏A、顺序检查B、对称加密C、奇偶校验D、校验（数字）位答案：D126.公司正打算利用由不同软件供应商提供的应用程序组件，并且快速扩大规模。以下哪个架构最能确保企业能够简单地添加和重新使用组件来提供服务?A、三层体系架构B、面向服务的体系结构C、SaaSD、laaS答案：B127.一家小公司要购买服务器用于订单处理系统，但无法预计交易量，以下哪一项是公司最关注的？A、系统的可扩展性B、系统的配置参数C、系统优化D、系统的兼容性答案：A128.A1-17进行符合性测试时，以下哪种抽样方法最有用?A、属性抽样B、变量抽样C、分层单位均值抽样D、差异估计抽样答案：A129.A1-99在规划信息系统审计的范围和目标方面，以下哪项的效力应具有最高的优先级?A、适用的法规要求B、适用的企业标准C、适用的行业良好实践D、组织政策和程序答案：A130.网上系统应用在使用过程中由于数据量大导致延迟，系统响应时间无法接受，哪一项可以提升应用的性能？A、RAID5(数据复制技术)B、磁盘镜像C、负载均衡D、调整防火墙配置答案：C131.A3-27一项应用程序开发工作外包给了一家离岸供应商。以下哪项是信息系统审计师最应关注的问题?A、合同中未包含审计权利条款B、未建立业务案例C、没有源代码第三方托管协议D、合同中没有变更管理流程答案：B132.A5-220信息系统审计师正在审查一个新的基于Web的订单输入系统，该系统将于一周后上线。信息系统审计师发现，根据设计，在系统存储客户信用卡信息方面，可能缺少几项重要的控制。该信息系统审计师应该首先：A、确定系统开发人员在充分的安全措施方面是否经过适当的培训B、确定系统管理员是否处于任何原因禁用了安全控制C、核实项目计划是否对安全需求有适当说明D、验证安全控制要求是否已经失效答案：C133.A4-180业务影响分析的主要目的是：A、定义恢复策略B、确定备用站点C、改善恢复测试D、计算年预期损失答案：A134.要实施IT治理框架，董事会需要做到?A、解决IT技术问题B、成立IT战略委员会C、审批IT战略D、了解所有IT项目发展答案：B135.【重要题】IT审计师正审查公司的商业智能基础架构，以下哪项是帮助公司实现合理水平的数据质量的最好建议?A、根据预先定义的规格分析数据B、将数据清理外包给熟练的服务提供商C、将不同数据库存储的数据合并到数据仓储D、根据数据分类标准审查数据答案：A136.以下哪一项是降低未授权访问无人值守的最终用户PC系统的最有效方法？A、强制使用密码保护型屏幕保护程序B、实施以邻近为基础的身份认证系统C、按预定义间隔终止用户会话D、调整电源管理设置，以保证显示屏是空白的答案：A137.以下哪一项是最好地描述了IT战略委员会的职能？A、业务部门的满意度B、监控KPI的结果C、IT战略委员会章程D、IT战略委员会会议纪要答案：C138.企业指派了由三名营销部门员工组成的小组使用共享的营销部门帐户，对公司的社交媒体网页进行每日更新。最重大的风险是：A、发布未经批准的企业信息B、并发登录造成对网页的更新冲突C、缺乏协调导致冗余更新D、缺乏对更新的问责制答案：D139.A3-93为了确保可以尽快识别内部应用程序接口错误，下列哪种测试方法最合适?A、自下而上测试B、社交性测试C、自上而下测试D、系统测试答案：C140.A5-45某信息系统审计师正在审查某组织，以确保与数据违规情形有关的证据得到保留。对该信息系统审计师而言，以下哪一项最值得关注?A、最终用户不了解事故报告程序B、日志服务器不在单独的网络上C、未坚持进行备份D、无监管链政策答案：D141.审计师发现业务部门负责人创建了一个网页，从而能访问生产数据，这违反了公司的安全政策，审计师应该：A、评估是否有补偿性控制B、关闭并停用该网页C、评估生产数据的敏感性D、上报高级管理层答案：A142.A1-102以下哪项是在信息系统审计的计划阶段进行风险评估的主要原因?A、确保管理层的顾虑得到解决B、合理保证覆盖重要的项目C、确保审计团队在预算范围内进行审计D、制定执行审计所需的审计程序和流程答案：B143.信息系统审计师在审查桌面软件配置文件时注意到，一个用户已下载并安装了公司不批准的游戏。以下哪一项是这一状况可能产生的最大风险？A、潜在的恶意软件B、未遵守可接受使用政策C、与公司软件的互操作性问题D、违反用户的隐私答案：A144.企业开发人员每日将P11生产环境数据导入测试环境，关于数据隐私防护角度哪种最能降低风险?A、高级管理层同意并签字B、数据加密C、数据清洗D、数据所有者的签字授权答案：B145.【重要题】.审计第三方供应商的关键绩效指标KPI时，审计师最大的担忧是?A、KPI没有文档记录B、KPI指标没有明确定义C、KPI从未更新D、KPI数据没有加以分析答案：B146.哪项风险对抽样方法的选择影响最大？A、固有风险B、残余风险C、检测风险D、控制风险答案：D147.以下哪一项对防止未经授权访问最有效？A、数据中心必须配备钥匙卡系统B、数据中心区域必须处于连续的监控之下C、必须在所有数据中心附近放置警告标志和标牌D、防撞门必须放置在数据中心之外答案：A148.A1-103在结束会议期间与高级管理层沟通审计发现之前，确保以下哪项最重要?A、风险声明，包括对业务影响的说明B、审计发现可以明确追溯到证据C、解决审计发现根本原因的建议D、由责任方提供补救计划答案：B149.哪一项是确保数据分析项目使用的个人数据无法识别的最佳方式?A、重新识别)B、匿名化C、标记化D、随机化答案：B150.客户可以通过internet直接访问一个Web应用系统(客户关系管理系统)。以下哪一项是审计师最担心的?A、系统部署在企业内部网段中B、系统托管在第三方服务商的混合云平台中C、系统部署在公司网络的MZ区中D、系统托管在第三方供应商的服务器上答案：B151.企业将员工薪酬系统的外包业务转为内部软件，4月份并行实施后进行新旧系统对比，哪项能更好的说明数据的完整性。A、抽样部分员工的薪酬数据B、对比员工总人数和今年的薪资总数C、对比工资日记账中的员工的主数据答案：C152.A4-53以下哪项会动摇应用程序审计轨迹的可靠性?A、在审计轨迹中记录用户I。B、安全管理员具有审计文件的只读权限C、在执行操作时记录日期和时间戳D、更正系统错误时，用户可修改审计轨迹记录答案：D153.如何最有效地检测组织内部人员发送机密文件A、培训B、记录所有加有文件头的文件C、加强防火墙设置D、加密所有文件答案：C154.当确定审计日志的数据保留期时，下列哪一项是最基本的因素?A、控制风险B、普遍接受的审计标准C、计算机取证原则D、法规要求答案：D155.哪一项物理控制措施能够最有效地防止违反计算机房的安全性A、刷卡B、照片IDC、数字键盘D、CCTV答案：A156.A1-114某信息系统审计师正在核对生产中的设备与库存记录。这种测试属于以下哪一项?A、实质性测试B、符合性测试C、分析性测试D、控制测试答案：A157.在支持投资的业务案例中包含以下哪一项最重要？A、业务影响分析BIAB、安全要求C、成本效益分析D、风险评估答案：C158.信息系统审计师正在分析应用程序的系统日志中记录的访问采样。如果发现异常，就会启动深入调查，适合使用哪种抽样方法呢?A、发现抽样B、判定抽样C、变量抽样D、分层抽样答案：A159.一个公司宣称达到能力成熟度模型(CMM)的最高级，可以期望：A、持续的改进B、已使用IT平衡记分卡C、所有程序皆已经被遵循D、部分程序被遵循答案：A160.A4-52黑客无须使用计算机工具或程序就可以获得密码的技术是：A、社会工程B、嗅探器C、后门D、特洛伊木马答案：A161.以下哪项最能确保信息资产的机密性？A、按照“按需分配”的访问控制原则B、采用双因素身份认证控制C、人员安全意识培训D、为所有用户配置只读权限答案：A162.应用程序可以使用用户账号访问底层数据库，审计师最担心：（也有考生反馈题干描述为：底层用户可以直接访问数据库，哪项风险大？）（此题需进一步确认，请考生考试中特别留意）A、用户可以绕过应用程序访问数据库B、用户账户停用了，仍然可以访问C、应用程序审计记录不能包含全部信息D、底层数据库完整性被破坏答案：A163.以下哪一项能够提供证明防火墙配置与公司安全策略相一致的最佳审计证据A、审查规则定义库B、执行渗透测试C、分析配置更改是如何执行的D、分析日志文件答案：A164.哪一项可确保新建设的数据仓库满足公司需求？A、通过其对公司影响的重要性程度来处理数据质量B、将数据需求整合到系统开发生命周期C、委派数据管理员实施数据治理D、促进与管理层的有效沟通答案：B165.A1-24在信息系统审计期间，所收集数据的范围应根据以下哪个选项确定?A、关键和必需的信息的可用性B、审计师对环境的熟悉程度C、受审方查找相关证据的能力D、正在执行的审计的目的和范围答案：D166.哪种风险类型决定是否进行实质性测试：A、固有风险B、审计风险C、检测风险D、控制风险答案：D167.以下哪一项最使信息系统审计师向管理层表明实施后分析是有效的？A、吸取的经验教训已记录存档并加以应用B、业务和IT相关人员都参加到实施后分析中C、完成了后续审计，且没有发现任何问题D、实施后分析是系统开发生命周期SDLC中的一个正式阶段答案：A168.使用EXCEL计算项目成本时，将每个成本类别的总计录入到工作成本表时，下列哪一种方法能最好地确保数据输入的准确性？A、输入后“回放”项目的详细信息B、有效性检查，防止输入字符数据C、核对项目的总金额D、就每个成本类别检查其合理性答案：C169.评价事件管理的最佳指标A、事件的数量B、事件的平均解决时间C、事件的报告时间D、事件的平均间隔时间答案：B170.账户并行更新交易如处理不当，会影响A、)可用性B、完整性C、机密性D、责任归属(不可否认性)答案：B171.A5-233以下哪项可以为数据密码加密提供最好的保证?A、安全哈希算法-256B、高级加密标准C、安全壳D、三重数据加密标准答案：B172.A1-74制订风险管理方案时，应首先执行以下哪项活动?A、评估威胁B、对数据进行分类C、清点资产D、分析重要性答案：C173.A4-132信息系统审计师发现在一天的某些时段数据仓库的查询性能会明显降低。以下哪项控制措施与其最相关，需要信息系统审计师进行审查?A、永久性表空间分配B、提交和回滚控制C、用户假脱机和数据库限制控制D、日志的读写访问权限控制答案：C174.A3-107为减少软件开发项目中出现的缺陷数目，下列哪项建议最具成本效益?A、增加分配给系统测试的时间B、实施正式的软件检查C、增加开发人员的数量D、要求交付所有项目成果时签字答案：B175.企业开发系统有4个模块，最后一个涉及将数据更新至数据库中，信息系统审计师应检查什么A、实体关系图B、配置数据库管理C、变更管理D、数据流图答案：D176.A4-174在信息处理设备发生重要事故后，事故响应团队应首先处理以下哪个问题?A、在设施上执行恢复B、记录设施信息C、设施隔离D、设施监控答案：C177.衡量灾难恢复计划有效性中业务恢复的最佳途径是A、定义恢复点目标RPOB、业务影响分析BIAC、模拟灾难恢复D、评估与功能成熟度模型的差距答案：C178.A4-86在审查灾难恢复计划时，信息系统审计师最关注的是缺少：A、流程所有者的参与B、记录良好的测试程序C、备用处理设施D、记录良好的数据分类方案答案：A179.为了解决审计发现，以下哪一项是信息系统审计师的角色？A、解释审计发现并提供一般建议B、提供整改方案并协助管理层实施C、设计信息系统架构答案：A180.IS审计师最有可能在什么地方看到应用哈希函数?A、身份认证B、标识C、授权D、加密答案：A181.A2-149某金融企业设有一个小规模的IT部门，因而需要员工身兼数职。以下哪种做法带来的问题最大?A、开发人员将代码提交到生产环境中B、业务分析人员编写相关需求并执行功能性测试C、IT经理同时执行系统管理工作D、数据库管理员也执行数据备份答案：A182.信息系统审计师在信息分类流程的角色是以下哪种？A、定义信息安全级别B、分类信息资产C、确保信息分类符合监管及政策要求D、确保数据得到足够保护答案：C183.某企业IT部门严重依赖外包商来维护关键系统。为了解决收入下降的问题，董事会已决定将整个企业的所有外包商的预算减少30%.以下哪一项是IT领域的最大风险?A、关键系统可能得不到适当的维护B、最终用户可能无法从其余IT员工那里获得足够的支持C、所需的软件许可证预算可能不足D、外包商可能会在离开之前尝试从关键系统中提取有价值的数据答案：D184.A4-119从某个供应商购买了某个新应用，并且即将实施。实施应用时，以下哪一项是关键考虑因素?A、防止在实施流程中损坏源代码B、确保已禁用供应商的默认账户和密码C、从托管中删除程序的旧副本，以免混淆D、核实供应商在履行支持和维护协议答案：B185.审查公司IT战略与IT计划的一致性，信息系统审计师发现哪项最重要A、未分发业务战略会议纪要B、IT未参与业务战略的制定C、IT战略计划的文档不足D、根据业务制定的IT战略所导出的IT项目的成果物答案：B186.如何可以检测到员工通过电子邮件向外发送未经授权的机密文档?A、要求用户在发送邮件前进行加密B、在网络上安装防火墙加以控制C、根据事先定义的标准监控所有发送的电子邮件D、自动报告所有标记为机密的外发电子邮件答案：C187.公司已将部分业务外包出去，现在打算对外包服务商审计，要确定审计范围，内部审计师首先要（）？A、与外包服务商商定审计目标B、审查外包合同C、审查外包商的内部控制答案：B188.数据库重组的目的是？A、缩短同时更新时间和索引验证B、减少反问恢复和恢复次数C、消除重复内容并进行数据备份D、改进数据访问和检索次数答案：D189.紧急情况下关闭电源的开关应该A、受保护。B、受到双重控制，C、无识别标记。D、可远程访间。答案：B190.分散机构的多个LAN组成了组织的WAN，如何最有效的确保系统的连通性：A、备份服务器B、永久备份路由C、)硬件冗余D、服务器集群答案：B191.A3-127某信息系统审计组参与了将某自动化审计工具包集成到现有企业资源规划系统中的工作。由于ERP性能方面的问题，此审计工具包不允许上线。该信息系统审计师应给出的最佳建议是什么?A、检查所选的整合控制的实施B、请求获得额外的信息系统审计资源C、请求供应商的技术支持以解决性能问题D、在用户进行验收测试期间评估压力测试的结果答案：D192.A3-113通常情况下,在项目启动阶段，下面哪一利益相关者必须参与?A、系统所有者B、系统用户C、系统设计者D、系统构建者答案：A193.在开始后续跟踪审计时，审计师第一步应采取下面哪项工作？A、审查上次审计的工作底稿B、与被审计单位讨论补救进展情况C、收集补救证据，以此来执行控制测试D、审查上次的审计结果和行动计划答案：D194.审计师检查后发现应用系统存在漏洞，审计师建议A、检查系统日志B、安装IDSC、加固系统，安装防火墙答案：A195.审计师对外包业务进行审查，最先查?A、合同是否支持业务需求B、合同中有没有审计条款C、合同中包含终止后提供支持D、合同是否符合行业最佳实践答案：A196.A1-118某信息系统审计师正在审查银行电汇系统的风险和控制。为确保正确应对银行的财务风险，该信息系统审计师最可能审查以下哪一项?A、对电汇系统的特权访问B、电汇程序C、欺诈检测控制D、员工背景核查答案：B197.数据中心审计时，审计师发现火灾风险非常高应该推荐什么作为最有效的灭火措施?A、喷水式灭火系统B、手持式灭火器C、干剂灭火系统D、可排除答案：C198.信息系统审计师发现，许多离职员工尚未从应付账款系统中删除。为了评估风险，确定以下哪一项最重要?A、与应付账款系统相关的入侵尝试的频率B、管理层对用户访问权限进行审查的频率C、终止离职员工访问的流程D、离职员工实际访问系统的能力答案：D199.信息系统审计师发现组织变更可能会影响年度审计计划，应采取哪项行动？A、在发生变更后修改审计计划B、将变更告知审计经理C、评估变更对审计计划的影响D、修改当前的审计计划答案：B200.A3-133对业务流程自动化项目进行实施后审查的主要目标是：A、确保项目满足预期的业务要求B、评估控制的充分性C、确认符合技术标准D、确认符合法规要求答案：A201.原型法作为一种系统软件开发方法其主要好处是什么？A、增加用户满意度的可能性B、减少对测试的需求C、消除对文档的需要D、最大限度地减少信息系统审计师系统所需要的时间答案：A202.审查过去的审计结果时，审计师发现审计报告可能不正确，也不具备独立性，审计师下一步怎么做？A、重新执行审计B、报告审计委员会C、报告审计部门领导D、重新执行控制测试答案：C203.【重要题】下列哪一项对信息安全管理系统的成功最为关键?A、信息安全与IT目标的统一B、用户对信息安全的责任确立C、管理部门对信息安全的承诺D、业务与信息安全的集成答案：C204.【重要题】采用面向服务的架构将最有可能：A、禁止与旧有系统之间的集成。B、使合伙人之间的连接更加便利。C、危害应用程序软件的安全性。D、简化所有内部流程。答案：B205.把信用卡号传输到下一级操作时，如何保护安全性?(在信用卡消费中，对于商家暂时存储在本地的信用卡号码，以下哪种处理最安全?)A、隐藏信用卡号信息B、使用强加密手段C、截断信用卡卡号D、使用加密的单向哈希答案：C206.在灾难恢复审计过程中，某信息系统审计师发现没有进行业务影响分析，审计师需首先开展哪项工作？A、执行额外的符合性测试B、评估对当前灾难恢复能力的影响C、执行业务影响分析D、向管理层提交报告答案：B207.A5-136以下哪种入侵检测系统最有可能对正常的网络活动产生错误警报?A、基于统计的入侵检测系统B、基于签名的入侵检测系统C、神经网络D、基于主机的入侵检测系统答案：A208.【重要题】企业使用IAAS(基础设施及服务)进行IT管理，谁应该负责操作系统安全A、企业B、云服务商C、操作系统提供商D、企业和云服务商答案：A209.防火墙配置开启哪个协议最不安全A、SMTPB、SNMPC、FTPD、XML答案：C210.【重要题】企业已经制定了成熟风险管理实践，审计师利用风险管理成熟度最有效的方式是什么?A、促进识别审计风险和评估研讨会B、整合风险登记表用于进行审计计划C、向管理层提供有关风险的保证D、实施风险响应流程答案：B211.【重要题】在审查安全政策的开发过程时，以下哪一项是信息系统审计师要验证的最重要的内容?A、管理层批准的证据B、关键利益相关人员积极参与的证据C、企业风险管理系统的输出D、控制框架的确认答案：B212.【重要题】在计划渗透测试时，应首先执行哪一项?A、确定漏洞的报告要求B、执行保密协议C、定义测试范围D、取得管理层的审批答案：C213.信息系统审计师怀疑公司拥有的计算机可能涉及参与非法交易活动，审计师应采取的最佳方式是什么?A、向审计管理部门上报其担忧B、隔离并保存备份C、通知执法部门D、在计算机上安装监控工具答案：A214.某企业发现重大数据安全漏洞，CEO要求详细审计网络安全，但由于近期企业架构重组，审计部门只剩下几位经验有限的审计师，信息系统审计经理应该：A、将审计任务以最高优先级列入下一年度的审计计划B、联系外部组织来实施审计C、派最资深的信息系统审计师完成审计任务D、接受审计任务，但推迟到进行了网络安全技能培训后再实施答案：B215.IDS发现探测攻击后，首先应该：A、丢弃数据包B、断开连接C、拒绝数据包D、向管理员发出警报答案：D216.为了防止网上银行未经授权的交易，应该：A、进行数据加密B、配备IS入侵检测系统C、实行强有力的身份认证D、避免在网上银行提供高风险交易答案：C217.信息系统审计师已被要求审查企业的IT资源管理实践。以下哪一项审计发现应是最大的担忧?A、IT管理员目前空缺B、IT培训不足C、IT管理人员未签署保密协议D、无书面记录的IT战略答案：A218.A4-47要确保生产源代码和目标代码同步，以下哪种控制最有效?A、版本间的源代码和目标代码比较报告B、用库控制软件限制对源代码进行的更改C、限制对源代码和目标代码的访问D、对源代码和目标代码的日期和时间戳进行审查答案：D219.A2-148企业的风险偏好最好由以下哪项确定?A、首席法务官B、安全管理人员C、审计委员会D、督导委员会答案：D220.以下哪一项在企业的合同管理流程中提供最有效的安全成果?A、在需求建议书阶段执行供应商安全基准分析B、扩展安全评估以涵盖合同终止时的资产处智C、确保在需求建议书阶段明确安全要求D、扩展安全评估以包括随机渗透测试答案：C221.在对某公司的数据分类流程进行评估时，信息系统审计师的主要关注哪些方面?A、数据字典是否得到维护B、是否对数据正确分类C、数据保留要求是否明确定义D、数据分类是否自主化答案：C222.A4-101以下哪项是信息系统审计师在审查业务连续性计划时主要关注的问题?A、计划的审批者是首席信息官B、计划联系人名单未更新C、测试结果未适当记录D、未包含针对恢复人员的培训时间表答案：C223.事件管理的主要目标是：A、测试事件发生时能否及时响应B、让外部计算机安全事件影团队应来评估损害情况。C、响应事件，以便业务能够连续开展D、允许事件继续进行并沿着线索追溯到事件开始。答案：C224.审查过去的审计结果时，审计师发现审计报告可能不正确，也不具备独立性，审计师下一步怎么做?A、重新执行审计B、报告审计委员会C、报告审计部门领导D、重新执行控制测试答案：C225.在制定新的风险管理计划时，一定要考虑以下哪种因素?(新题)A、风险偏好B、合规性措施C、风险缓解技术D、资源利用答案：A226.A5-125以下哪种渗透测试可以有效地评估系统管理员的事故处理和响应能力?A、针对性测试B、内部测试C、双盲测试D、外部测试答案：C227.【重要题】评估IT实际使用资源使用和计划资源分配的一致性的技术是什么?A、挣得值分析(EV)B、投资回报分析(ROI)C、甘特图D、关键路径分析(P)答案：A228.企业把开发环境和测试环境分开的主要原因是什么？A、可以排除B、在IT人员和最终用户之间实现职责分离。C、使测试人员可以在稳定的环境下进行测试。D、保护开发中的程序不受未经授权的测试。答案：C229.从某个供应商购买了某个新应用并且即将实施。实施应用时以下哪一项是关键考虑因素？A、防止在实施流程中损坏源代码B、确保已禁用供应商的默认账户和密码C、从托管中删除程序的旧副本，以免混淆D、核实供应商在履行支持和维护协议答案：B230.A2-8在对业务流程再造(BPR)工作进行审查时，以下哪一项是主要关注的问题?A、简化PR工作消除了控制B、资源不足以支持PR流程C、审计部门在PR中没有咨询职责D、PR工作纳入了该流程领域知识有限的员工。答案：A231.公司外包服务给第三方，符合确定第三方提供的服务水平管理的外部审计报告是可被接受的A、审计报告是最近12个月内实施的B、第三方服务商经过独立认证和认可C、审计范围和方法符合审计要求D、报告确定并没有违反服务水平答案：C232.A2-19某信息系统审计师发现，实施了未经督导委员会批准的多个基于IT的项目。该信息系统审计师最需要关注什么?A、IT部门的项目资金不足B、IT部门未遵循系统开发生命周期流程C、IT项目未必一直得到正式的批准D、IT部门未朝着共同的目标而努力答案：D233.A5-56以下哪项属于纵深防御安全原则的示例?A、使用两道防火墙不间断检查入站网络流量B、在主机上使用防火墙和逻辑访问控制来控制入站网络流量C、在计算机中心建筑外没有任何标识D、并行使用两道防火墙检查不同类型的入站流量答案：B234.哪一项网络安全审查结果对企业构成最大风险？A、IDS在上周有待更新B、非军事区中的Internet服务器托管测试网页C、面向Internet的路由器上有共享的管理员帐户D、上周发布的操作系统补丁尚未应用答案：C235.企业购买第三方开发的软件，哪一项最重要A、知识产权B、审计权限C、第三方协议答案：A236.A1-83一位信息系统审计师发现连接到网络的设备并没有包含在用于确定审计范围的网络图中。首席信息官解释说该图正在进行变更并等待最终的审批。该信息系统审计师应该首先：A、扩大IS审计范围以包括网络图中没有的设备B、评估此未记录设备对审计范围的影响C、将其记录为控制缺陷，因为网络图尚未经过批准D、针对未记录的设备计划后续的审计工作答案：B237.A4-183企业的业务连续性计划的启动应基于以下哪方面的预定标准?A、中断的持续时间B、中断的类型C、中断的概率D、中断的原因答案：A238.为了解决电源长时间断电问题，最好的方法是A、电源调节器B、备用电池C、冗余电力D、UPS答案：C239.A5-139以下哪一种环境可以保护计算机设备免受电力短期降低的影响?A、电源线调节器B、电涌保护设备C、备用电源D、间断电源答案：A240.A3-149一名信息系统审计师正在审查一项实施任务关键型系统的项目，并注意到该团队不进行并行实施，而是选择立即切换到新系统。以下哪一项最值得关注?A、该项目的实施阶段没有逆向恢复计划B、未正确记录用户验收测试C、完成了软件功能测试，但未执行压力测试D、上线日期安排在周末休假，此时关键员工正在度假答案：A241.在下列哪个过程中会使用到Hash：A、对称加密B、数字签名C、非对称加密D、PKI答案：B242.A1-54在电子数据交换()环境中，以下哪一项的潜在风险最大?A、缺乏交易授权B、EI传输丢失或重复C、传输延迟在建立应用控制前后D、删除或修改交易答案：A243.【重要题】在审计完成后立即正式传达审计结果的主要原因是确保：A、报告中指出的风险立即得到缓解B、报告是相关且有用的。C、审计师遵守标准审计实践D、满足最后期限和部门目标答案：B244.财务人员已经禁用了对交易的审计日志，因此信息系统审计师建议财务人员不再有更改审计日志设置的权限。在跟踪审计期间最重要的是验证：A、审查了交易审计日志B、记录了配置变更C、财务人员接受了安全意识培训D、实施了最低特权访问答案：B245.A4-155以下哪一项能够最有效地支持全天候可用性?A、日常备份B、异地存储C、镜像D、定期测试答案：C246.执行跟踪审计期间，管理层告知IS审计师没有足够资源和时间完成所有的审计建议和整改，下一步应该?A、建议对未整改项实施补偿性控制B、评估未整改项导致的残余风险C、停止跟踪审计，因为问题尚未解决D、确保在审计报告中保留未整改项答案：B247.A4-151针对IT系统恢复的双方协议的现场测试已实施，包括业务部门4个小时的集约效用测试。测试已成功，但不完全确保：A、系统和IT操作团队可以在紧急环境中保持运作B、资源和环境能够支持交易加载C、与远程站点中应用程序的连接性满足响应时间要求D、实际业务操作的工作流可以在发生灾难的情况下使用紧急系统答案：A248.A4-135信息系统审计师发现IT经理最近更换了负责为关键计算机系统进行维护的供应商，以节省成本。尽管新的供应商要价便宜，但新维护合同指定的事故解决时间与原始供应商指定的时间有所不同。以下哪个选项最令信息系统审计师关注?A、灾难恢复计划可能无效，需要进行修订B、交易业务数据可能在发生系统故障时丢失C、新维护供应商不熟悉组织的政策D、没有将该变动通知应用程序负责人答案：D249.规划审计时，对重要性进行评估的作用是：A、可排除小错误的累计效应B、帮助审计集中在关键领域C、在审计测试完成时告知审计师D、集中于财务方面的项目答案：B250.下面哪一项是最佳的数据完整性检查?A、将数据追溯至源点B、计算每天处理的交易量C、准备和运行测试数据D、执行连续性检查答案：A251.关于RFID射频技术,IS审计师最关注的是A、隐私B、可扩展性C、不可抵赖性D、机密性答案：A252.在下一年选择进行哪些信息系统审计的主要依据是什么?A、上一年的审计发现结果B、高层管理层的要求C、组织风险评估D、以前的审计范围答案：C253.企业灾难发生后，业务中断，恢复后丢失了大量数据，因为错误定义了哪项?A、RPO(ReoveryPointOjet)B、RTOC、RPD、I答案：A254.A4-133在较小的组织架构中,开发人员可能将紧急变更直接发布到生产。在这种情况下，以下哪一项能够最好地控制风险?A、在下一个营业日审批和记录变更B、将开发人员对生产的访问权限限制在特定时间范围内C、在发布到生产之前获得第二次审核D、禁用生产计算机中的编译器选项答案：A255.【重要题】进行安全代码审查工作属于哪一种类型的控制措施?(2023新题)A、改正B、预防C、检测D、补偿答案：C256.A5-48安全管理流程需要对以下哪项具有只读访问权限?A、访问控制表B、安全日志文件C、日志选项D、用户配置文件答案：B257.A4-240以下哪项是业务连续性计划流程的首要目标?A、向利益相关者提供在发生灾难时业务继续运营的保证B、向IT服务设立备用站点，以满足预先定义的恢复时间目标C、管理风险，并能够从对运营造成负面影响的事件中恢复D、在发生自然灾难时满足外部监管合规性要求答案：C258.A1-27信息系统审计师正在进行符合性测试，以确定控制措施是否支持管理政策和程序。测试将有助信息系统审计师确定：A、控制是否有效执行B、控制是否在按设计预期运行C、数据控制的完整性D、财务报告控制的合理性答案：B259.如何处理应用系统老化问题?A、应用程序组合B、IT项目管理C、新版本变更管理D、配置管理答案：D260.【重要题】在审查DRP时，最需要注意的事项是哪个?A、没有规定宣布灾难的职责B、IO没有批准与签署RP计划C、没有将RP文件备份储存在异地安全的地方D、RP恢复步骤不详细答案：A261.A5-210以下哪一种控制能最有效地减少欺诈性在线付款请求造成损失的风险?A、交易监测B、用安全套接字层保护We会话C、强制执行身份认证的密码复杂性D、在We表单上输入验证检查答案：A262.以下哪一项表示与特定业务流程相关的控制风险A、低估重要性限制B、职责分离不恰当C、处理的交易比较复杂D、依赖手动流程答案：B263.A4-19一名信息系统审计师正在审查某组织灾难恢复计划(DRP)的实施情况。该项目按时完成，并且没有超出预算。审查期间，该审计师发现了几个值得关注的地方。下列哪项带来的风险最大?A、没有测试RPB、灾难恢复策略中没有指定使用热备援中心C、执行了业务影响分析，但是没有使用其结果D、负责实施计划的灾难恢复项目经理最近离开了组织答案：C264.【重要题】信息系统审计师在上线之前审查新系统的项目计划时，注意到项目团队尚未记录恢复计划。以下哪一项是这一情况下最佳的系统上线方法?A、均衡负载B、(明显不对，可排除)C、立即切换D、并行切换答案：D265.A5-8以下哪一项是尽量降低未经授权访问无人值守的最终用户PC系统的最有效方法?A、强制使用密码保护型屏幕保护程序B、实施以接近感应为基础的身份认证系统C、按预定义间隔终止用户会话D、调整电源管理设置，以保护显示屏是空白的答案：A266.审查数据中心的灭火系统应考虑A、维护措施B、安装手册C、是否能够现场更换D、承保范围答案：A267.测试BCP的主要原因在于确保：A、能够恢复关键数据。B、熟悉恢复程序，尽可能减少实际实施中的紧张情绪。C、树立自身灾难期间的信心。D、确保灾难恢复小组成员得到培训。答案：A268.在一项it开发项目中调整方案需要用到额外资金，这笔额外资金最适合由谁获得?(项目因为新增需求，已经确认需要增加经费，谁最应该获取该项费用?)A、审计师B、项目发起人C、董事会D、项目经理答案：D269.某IS审计师正在审查某组织的网络操作中心（NOC)。以下哪一项最受关注？采用：A、基于湿管的灭火系统。B、租借的NOC机架空间。C、基于二氧化碳的灭火系统