2025年cisa国际注册信息系统审计师考前冲刺备考速记速练500题-含答案

PAGEPAGE1一、单选题1.对于审计发现，审计师需要首先做什么：A、与被审计单位管理层沟通B、与被审计业务人员沟通C、提交审计报告D、与审计团队其他人员沟通答案：B2.开发人员对薪资系统中的数据字段做了未经授权的变更，下列哪一种控制弱点最可能导致该问题？A、程序设计人员有权访问生产程序。B、工资文件不受程序库管理员控制C、可排除D、程序设计人员没有让用户参与测试答案：A3.数据包级防火墙最致命的安全漏洞是因为它可以通过下列哪一项措施来规避：A、在收到的数据包上更改源地址B、截取明文发送的数据包并查看密码C、解译数据包中的签名信息。D、使用加密密码的字典式攻击(itionryttk)。答案：A4.在局域网络（LAN）中安装瘦客户机（thinclient）体系结构的好处在于它可以：A、降低单点故障的风险B、便于更新软件的版本C、在服务器停机时确保应用程序的可用性D、稳定网络宽带的要求答案：B5.系统检查工作人员的信息代码是“退休”还是“在职”，这是哪种类型的检查A、有效性检查B、完整性检查C、存在性检查D、可排除答案：A6.防止员工内部恶意渗透，最有效的是A、安装DLP并定时更新B、USB接口封锁C、不能连入外网D、安全教育答案：A7.A4-143在对最近部署的应用执行实施审查过程中，发现几个事故被分配了错误的优先级，并因此未能符合业务服务水平协议(SLA)的要求，以下哪一项最令人担心?A、支持模型未经高级管理层批准B、SL中规定的事故解决时间不现实C、没有足够的资源来支持应用D、支持模型未适当开发和实施答案：D8.在对供应商管理数据库审计期间，信息系统审计师辨认出多个供应商重复记录。信息系统审计师应向管理层建议：A、对关键字段的唯一数据值执行系统验证检查B、向高级管理层申请查所有新供应商的详细信息C、在供应商建档流程中职责分离D、定期审核对完整的供应商列表，以识别重复内容答案：A9.以下哪一项是进行业务影响分析的第一步？A、确定影响运行连续性的事件B、创建数据分类方案C、分析过去的交易量D、确定关键信息资源答案：D10.A3-47针对正在考虑购置的新应用程序软件包，信息系统审计师评估其控制规范的最佳时间是在：A、内部实验室测试阶段B、测试中和用户接受之前C、需求收集期间D、实施阶段答案：C11.下面哪一项最好的描述了审计的风险？A、公司正被无端指控B、财务报告可能含有未发现的重大错误C、主要人员已经两年没有休假D、员工已经挪用资金答案：B12.A3-6某信息系统审计师正在审查最近完成的向新企业资源规划系统转换的项目。在转换过程的最后阶段，最初30天旧系统和新系统同时运行，然后才独立运行新系统。使用这种策略的最大优点是什么?A、比其他测试方法节省更多成本B、确保运行速度更快的新硬件与新系统兼容C、确保新系统满足功能要求D、提高并行处理时间的弹性答案：C13.以下哪一个是提高安全事故检测有效性的最佳方法?A、培训最终用户关于识别可疑活动的知识B、与适当的法证鉴定服务提供商签订服务水平协议(SL)C、记录根本原因分析流程D、根据事故类型确定抑制措施答案：A14.审计规划期间要考虑的最重要的活动是?A、审计委员会对风险排序达成一致的意见B、将审计资源分配到高风险领域C、根据审计人员技能规划审计项目D、审查以往的审计结果答案：B15.【重要题】以下哪一种采样方法最适用于即使是单个错误也不可接受的情况?A、判断抽样B、分层抽样C、发现抽样D、属性抽样答案：C16.A5-278要求组织内所有计算机时钟均同步的主要原因是为了：A、防止交易遗漏或重复B、确保数据从客户计算机平稳转移到服务器C、确保电子邮件消息有精准的时间戳D、支持事故调查过程答案：D17.在审查企业业务连续性计划(BCP)时，以下哪一项应是信息系统审计师的最大担忧?A、BCP未包括疫情应对计划B、BCP不受利益相关者的年度审查C、关键联系人名单已超过一年未更新D、BCP已经超过两年未进行测试答案：D18.【重要题】使用加密的备份磁带时，最应关注?A、加密密钥丢失B、备份磁带的物理安全性C、与将来软件版本不兼容D、加密过程造成数据不准确答案：A19.A5-68执行计算机取证调查时，对于收集到的数据，信息系统审计师最应关注的是：A、证据的分析B、证据的评估C、证据的保存D、证据的泄露答案：C20.IT治理的最主要目的是？A、价值实现B、绩效衡量C、战略规划D、资源分配与管理答案：A21.某IS审计师正在审查某组织，以确保与数据违规情形有关的证据得到保留。对该IS审计师而言，以下哪一项最值得关注？A、最终用户不知晓事故报告程序。B、日志服务器不在单独的网络上。C、未坚持进行备份。D、无监管链政策。答案：D22.引用其他审计师的工作报告时，信息系统审计师应做到：A、考虑该工作报告的适当性和充足性B、忘记了(可排除)C、较少依赖其他审计师的工作成果D、考虑该工作报告的时效性答案：A23.【重要题】以下哪一种方法能将可重复使用的存储设备中的敏感数据有效删除?A、使用介质清除软件B、覆盖敏感数据C、格式化便携式设备D、消磁(使设备暴露于磁场中)答案：B24.A5-230使用数字签名时,由谁计算消息摘要?A、仅发送者B、仅接收者C、发送者和接收者D、认证机构答案：C25.A2-16在下列哪一种风险管理方法中，分担风险是一个重要因素?A、转移风险B、容忍风险C、)终止风险D、处理风险答案：A26.审计师在跟踪审计时发现，公司实施了自动流程而不是按原来制定的整改措施进行手工控制，审计师应该：A、报告未采纳原先的建议B、报告建议措施已实施C、验证新流程是否满足控制目标D、对新流程执行成本收益分析答案：C27.A4-130某个组织刚刚完成了年度风险评估。关于业务连续性计划，信息系统审计师应该建议以下哪个作为该组织的下一步骤?A、审查并评估业务连续性计划的充分性B、完全模拟业务连续性计划C、对员工进行与业务连续性计划相关的培训和教育D、通知业务连续性计划中的关键联系人答案：A28.【重要题】为了减少日志服务器不堪收集错误攻击日志的压力，以下最佳建议是()A、微调IS的规则设置B、调整防火墙的访问控制规则C、更换日志服务器D、调整网络架构答案：A29.A2-130审计期间,对于将信息系统流程大量外包给专用网络的组织而言，以下哪一项最令人担忧?A、合同未包含对第三方的审计权条款B、信息安全主题专家未能在合同签署前进行审查C、信息系统外包指南未经董事会批准D、缺少明确定义的信息系统绩效评估程序答案：A30.项目开发阶段，新增加了一个功能点，以下哪项影响最大?A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A31.A5-166如果某个小型组织的应用程序编程人员有权将程序移入生产环境，应实施以下哪项控制来降低内部欺诈风险?A、实施后功能测试B、登记和审查变更C、验证用户要求D、用户验收测试答案：B32.A4-72信息系统审计师应当审查以下哪一项，以确保服务器经过最优配置以支援处理要求?A、基准指标测试结果B、服务器日志C、故障报告D、服务器利用的数据答案：D33.审查项目可行性研究后，审计师最应该做什么？A、审查需求设计是否包含自动化控制B、和项目经理一起看预算和成本是否匹配C、帮助用户设计用户验收测试答案：A34.电子支票（改成EFT)相对于手写支票，最大的优势在于：A、提高效率B、降低未授权的风险C、节约人工成本D、可以统一设定传输标准答案：B35.IS审计师在审计电子商务环境时，最重要的是要理解以下哪一项？A、电子商务环境的技术架构B、构成内部控制环境的政策、程序和实务C、应用系统所支持的业务流程的性质和重要性D、系统可用性和可靠性控制措施的持续监测答案：C36.A5-134要从网络攻击中恢复,以下哪项措施最重要?A、建立事故响应团队B、雇用网络取证调查员C、执行业务连续性计划D、保留证据答案：A37.企业正在将HR应用迁移到私有云中的基础设施即服务(laaS)模型。谁主要负责所部署应用程序操作系统的安全配置？A、云提供商B、操作系统供货商C、云提供商的外部审计师D、企业答案：D38.为了节省成本，公司使用控制较弱的应用程序来管理非关键流程，但是管理层每周审查日志以发现潜在的可疑活动，这是属于什么类型的控制?A、预防性控制B、补偿性控制C、检测性控制D、纠正性控制答案：B39.A2-133以下哪种保险类型针对因员工欺诈行为造成的损失?A、业务中断B、忠诚保险C、错误和遗漏D、额外支出答案：B40.A2-132由于盈利压力,企业的高级管理层决定将信息安全投资保持在不太充分的水平。以下哪一项是信息系统审计师的最佳建议?A、使用云提供商提供低风险运营B、修改合规性实施流程C、要求高级管理层接受风险D、推迟低优先级安全程序答案：C41.A3-113通常情况下,在项目启动阶段，下面哪一利益相关者必须参与?A、系统所有者B、系统用户C、系统设计者D、系统构建者答案：A42.A4-236在制订业务连续性计划时，应该使用下列哪种工具来了解组织的业务流程?A、业务连续性自我审计B、资源恢复分析C、风险评估D、差距分析答案：C43.关于RFID射频技术,IS审计师最关注的是A、隐私B、可扩展性C、不可抵赖性D、机密性答案：A44.A5-109以下哪项功能由虚拟私有网络执行?A、向网络中的嗅探器隐藏信息B、强制实施安全政策C、检测滥用或错误D、控制访问答案：A45.IT指导委员会负责应对以下哪一项负责A、把实施安全性与业务目标集成在一起B、评估和报告战略一致性程度C、审查并协助IT策略整合工作D、制定IT安全策略答案：C46.A1-142控制自我评估成功与否很大程度取决于：A、直线经理承担部分控制监测责任B、将控制构建责任分派给行政管理人员C、执行严格的控制政策和规则导向控制D、执行职责分派控制的监督和监测答案：A47.支持安全评定认证需要执行的保证任务，应在何时确定?A、完成必要的修改之后，B、用户验收阶段。C、项目规划阶段。D、制定了Q计划后。答案：C48.对在线安全教育的效果，最关注的应该是?A、只对新员工B、没有时间安排C、没有结果反馈的指标D、没有立即执行答案：C49.A5-213某数据中心有一个证章门禁系统。以下哪项对于保护该中心的计算资产最重要?A、在可察觉到破坏行为的位置安装读卡器B、经常对控制证章系统的计算机进行备份C、遵循立即停用已丢失或被盗证章的流程D、记录所有证章进入尝试，无论是否成功答案：C50.某业务单位已选用新的会计应用，但并未在选择流程中提前咨询IT部门。主要风险是：A、该应用的安全控制可能不符合要求。B、该应用可能不符合业务用户的需求。C、该应用的技术可能与企业架构(EA)不一致。D、该应用可能给IT部门带来不可预见的支持问题。答案：C51.A5-264一家组织提出要建立无线局域网(WLAN)。管理层要求信息系统审计师为WLAN推荐安全控制措施。以下哪项是最适合的建议?A、保证无线接入点的物理安全，以防被篡改B、使用能明确识别组织的服务集标识符C、使用有限等效加密机制加密流量D、实施简单网络管理协议，以便主动监控答案：A52.A5-216成功攻击系统的第一步是：A、收集信息B、获得访问权限C、拒绝服务D、避开检测答案：A53.【重要题】.在审计IT资源管理实践时，审计师最担心的发生什么情况?A、目前IT管理员空缺B、员工缺乏最够且有效的培训C、IT管理人员没签署保密协议D、书面记录的IT战略缺失答案：D54.A2-15信息系统审计师审查组织架构图的主要目的是：A、理解组织架构的复杂性B、调查各个沟通渠道C、了解个人的职责和权限D、调查连接不同员工的网络答案：C55.A4-203以下哪一项是某组织利用紧急变更控制流程对某个应用程序实施紧急变更的最有可能的原因?A、应用程序所有者请求新的功能B、变更是用敏捷方法开发的C、对运行造成重大影响的可能性很大D、操作系统提供商发布了一个安全修补程序答案：C56.直接把包含有生物信息数据的生产数据副本放入测试环境中，哪项最可以减轻隐私方面的影响?A、数据所有者的授权B、数据加密C、在测试环境中进行数据清理D、生物信息所有者的授权答案：B57.A5-144对于生物特征识别控制设备的性能，最好的整体定量衡量法是：A、错误拒绝率B、错误接受率C、相等错误率D、估计错误率答案：C58.A1-69信息系统审计师获得充分恰当的审计证据的最重要的目的是：A、遵守法规要求B、为得出合理结论提供依据C、确保审计覆盖范围完整D、根据定义的范围执行审计答案：B59.A1-147作为审计计划的一部分,信息系统审计师正在设计各种数据验证测试，以有效地检测转位和转录错误。以下哪项最有助于检测这些错误?A、范围检查B、有效性检查C、重复检查D、校验数字位答案：D60.项目开发阶段，新增加了一个功能点，以下哪项影响最大A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A61.信息系统审计师在审查对公司无线网络环境中的受限制信息的访问控制时，应该考虑到，仅使用下列哪一种方式对用户进行身份验证最受关注?A、U盘B、一次性密码C、可排除D、媒体访问控制地址(MAC地址)答案：D62.A5-15某公司正实施动态主机配置协议。出现以下哪种情况时更需要给予关注?A、大多数员工使用便携式计算机。B、使用数据库包过滤防火墙C、IP地址空间小于P数量D、未对访问网络端口的操作进行限制答案：D63.A5-203某公司决定实施基于公钥基础设施的电子签名方案。用户的私钥会存储在计算机硬盘中，并受密码保护。此方法的最大风险是：A、如果密码泄露，该用户的电子签名将遭到其他人的利用B、使用其他用户的私钥对消息进行电子签名，从而实现伪造C、用其他人的公钥来替代该用户的公钥，从而实现对某用户的模仿D、在计算机中用其他人的私钥进行替代，从而实现伪造答案：A64.单点登入（SSO）的主要风险：A、单一系统故障会影响所有系统B、不能有效的留下访问轨迹C、一次登入所有系统D、系统整合困难答案：A65.A5-129某信息系统审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最重要?A、紧急断电按钮盖不见了B、未执行预定的灭火系统日常维护C、数据中心没有安全摄像头D、紧急出口被阻塞答案：D66.【重要题】评估应用程序与应用程序之间如何交换数据，应该审查：A、对应用程序的风险评估结果B、ER实体关系图C、服务器及其应用程序列表D、配置管理数据库答案：B67.A3-133对业务流程自动化项目进行实施后审查的主要目标是：A、确保项目满足预期的业务要求B、评估控制的充分性C、确认符合技术标准D、确认符合法规要求答案：A68.【重要题】.IT指导委员会应该采取哪项措施来帮助董事会履行IT治理职责?A、制定IT政策和措施来跟踪项目B、聚焦在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D69.A5-71与RSA加密相比,以下哪项是椭圆曲线加密的优点?A、计算速度B、能够支持数字签名C、更简便的密钥分配D、消息完整性控制答案：A70.在审计生命周期的哪个阶段适合与客户讨论初步审计意见？A、执行阶段B、报告阶段C、规划阶段D、跟踪阶段答案：B71.风险评估结果需要更新主要是由于()?A、遵从政策的要求B、应对数据的变化C、应对IT环境的变化D、业务部门的需求答案：C72.A1-34审计完某个组织的灾难恢复计划流程后，信息系统审计师请求与组织管理层开会讨论审查结果。以下哪项最能描述此次会议的主要目标?A、获得管理层对纠正措施计划的批准B、确认审查结果的事实准确性C、协助管理层实施纠正措施D、确认项目解决方案的优先级答案：B73.以下哪一种采样方法最适用于即使是单个错误也不可接受的情况？A、判断抽样B、分层抽样C、发现抽样D、属性抽样答案：C74.信息系统审计师正在审查关于公司灾难恢复测试的审计报告，他应特别审查下列哪一项，才能论证所得出的结论？A、此前对公司其他灾难恢复所作的审计报告B、对所有突发事件测试的成功和弱点的详细证据C、对所发现的明显漏洞表明审计观点的摘要备忘录D、数据中心人员与审计师之间的会谈纪要答案：B75.以下哪一项控制措施能够最有效地解决搭载/紧随进入无双门安全系统的受限区域的风险?A、)双因素认证B、安全意识培训C、生物识别门锁D、要求佩戴I标识卡答案：B76.A3-137在审查某个进行中的项目时，信息系统审计师注意到开发团队第一天在项目上花费了8小时的活动，而预算时间为24小时(3天。完成剩余部分的项目活动预计需要20小时。信息系统审计师应报告该项目：A、滞后于进度B、比进度提前C、在按进度进行D、除非活动已完成，否则无法评估答案：A77.以下哪一项能保证供应商支持的软件保持最新状态?A、补丁程序管理B、版本管理C、软件资产管理D、许可协议答案：A78.【重要题】发票上的帐单总金额每周自动传输到企业的帐户总帐上。审计师发现总帐上缺少一周的帐单时，应该首先检查以下哪一个领域?A、年度对帐B、变更管理C、批处理控制D、模块访问权限答案：C79.A1-9对于一家交易量巨大的零售企业来说，下面哪项最适合应对新出现的风险的审计技术?A、使用计算机辅助审计技术B、季度风险评估C、交易日志抽样D、持续性审计答案：D80.安装数据泄漏防护（DLP)软件的主要目的是控制以下哪一项？A、服务器上存储的保密文件的访问特权B、意图破坏内部网络中的重要数据C、哪些外部系统可以访问内部资源D、保密文件流出内部网络答案：D81.在审查IT治理的时候，在以下选项中，审计师最关注的是?A、董事会所指定的政策策略的遵循情况B、管理部门所采用的控制框架C、审计委员会会议记录中与信息系统有关的事项与控制内容D、业务流程责任人的职责在企业内部是否一致答案：C82.在生产运行环境中更改程序，最重要的是得到谁的批准？A、用户部门负责人B、信息系统管理层C、安全管理员D、项目经理答案：A83.在灾难恢复审计过程中，某信息系统审计师发现没有进行业务影响分析，审计师需首先开展哪项工作？A、执行额外的符合性测试B、评估对当前灾难恢复能力的影响C、执行业务影响分析D、向管理层提交报告答案：B84.A3-92在审查基于Web的软件开发项目期间，某信息系统审计师意识到编码标准未得到贯彻执行。代码审查也很少执行，此情况最有可能增加以下哪项攻击的可能性?A、缓冲溢出B、穷举攻击C、分步式拒绝服务攻击D、战争拨号攻击答案：A85.A5-138在规定了IT安全基准的组织中，信息系统审计师首先应确保基准：A、正常实施B、合规性C、记录在案D、充分性答案：D86.A1-114某信息系统审计师正在核对生产中的设备与库存记录。这种测试属于以下哪一项?A、实质性测试B、符合性测试C、分析性测试D、控制测试答案：A87.公司要将保密数据给到下游应用系统，最能保证安全性的是？（金融机构需要向下属分公司传输机密性的数据，最佳做法是？）A、SFTPB、带时间截的文件头C、SNMPD、SNTPE、安全外壳答案：A88.在开发整个公司电子数据交换（EDI）项目的过程中，必须完成下列那一项？A、实施消息标准B、审查所有供应商的EDI应用程序C、实施加密技术D、安装一个ISDN答案：A89.某IS审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最?A、紧急断电按钮盖不见了。B、未执行预定的灭火系统日常维护。C、数据中心没有安全摄像头。D、紧急出口门被阻塞。答案：D90.测试程序和生产程序分离的主要目的在于?A、为变更管理控制提供基础B、为变更实施控制C、信息系统人员和最终用户之间实施职责分离D、限制IT人员对开发环境的访问权限答案：A91.A3-15某信息系统审计师正在对某组织的系统进行实施后审查，并识别出会计应用内部的输出错误。该信息系统审计师判定这是由输入错误造成的。该信息系统审计师应当向管理层建议采取以下哪一项控制措施?A、重新计算B、极限检查C、分步合计D、对账答案：B92.某IS审计师正在审查某会计系统的访问情况，并发现了职责分离问题；但业务规模小，没有额外的工人可供使用。在这种情况下，以下哪一项是建议的最佳补偿性控制？A、实施基于角色的访问B、审查审计轨迹C、执行定期访问审查D、审查错误日志答案：B93.A5-3审计轨迹的主要目的是：A、改善用户响应时间B、确定已处理交易的问责制度C、提高系统的操作效率D、为想要跟踪交易的审计师提供信息答案：B94.A4-245在开发最终用户计算应用程序时，下列哪项属于普遍存在的风险?A、应用程序可能无法进行测试和一般IT控制B、开发和维护成本会增加C、应用程序开发时间会延长D、由于响应信息请求的能力降低，决策受到影响答案：A95.内部审计的职责由以下哪一项明确A、审计计划B、审计章程C、审计目标D、审计范围素答案：B96.操作系统管理员未执行年度财务报表的脚本，提什么建议A、执行关闭清单losingheklistB、财务人员加入操作系统C、培训操作系统人员D、更新操作手册答案：C97.A2-79评估IT风险时,最好通过以下哪项来完成?A、评估现有IT资产和IT项目相关的威胁和漏洞B、利用组织以前积累的实际损失经验来确定目前的风险敞口C、审查类似组织发布的损失统计数据D、审核审计报告中确定的IT控制弱点答案：A98.A5-31在组织中，以下哪一项能最有效地限制访问未授权的互联网站点?A、通过内容过滤代理服务器路由出站互联网流量B、通过反向代理服务器路由入站互联网流量C、实施具有合适访问规则的防火墙D、部署客户端软件实用工具，阻止不当内容答案：A99.A5-196对成功的社会工程攻击的最贴近的解释是：A、计算机错误B、判断错误C、专业知识D、技术答案：B100.A4-82某批量交易作业在生产中操作失败，但在用户验收测试(UAT)中却未出现问题。生产批量作业分析显示，它在UAT后经过修改。将来减少这种风险的最佳途径是以下哪一个?A、完善回归测试案例B、针对发布后的有限时间段启用审计轨迹C、执行应用用户访问审查D、确保开发人员在测试后无访问权限进行编码答案：D101.IS审计师被IS管理人员告知，组织最近己达到软件能力成熟度模型(CMM)的最高级别。则该组织最近添加的软件质量过程为：A、持续改进。B、定量质量目标。C、记录流程。D、为特定项目制定的流程。答案：A102.信息系统审计师在审查某应用程序是否符合信息隐私保护原则时，应该最关注以下哪项？A、完整性B、不可抵赖性C、可用性D、信息收集限制答案：D103.邮件要求保密机制的那个题，我想起来选项了，说最担心以下哪种A、公钥基础架构B、签名C、对称密钥D、非对称密钥答案：B104.基于风险的审计方法其主要好处是A、识别关键控制措施B、缩小审计范围C、确定审计资源的优先级D、了解业务流程答案：C105.审查EUC终端用户用户有关的制度和流程时，审计师是要评估哪种类型的控制A、改正性措施B、检查性措施C、预防性措施答案：C106.A3-31在以下哪个位置和时间执行对远程站点中输入的数据的逻辑/验证最有效?A、中央处理站点，运行应用系统后B、中央处理站点，应用系统运行期间C、远程处理站点，数据传输到中央处理站点后D、远程处理站点，数据传输到中央处理站点前答案：D107.A4-26信息系统审计师在评估可用性网络的恢复力时，最应该关注：A、是否在地理上分散安装网络B、服务器汇集在同一站点中C、热备援中心是否已准备好运行D、该网络是否实施了多路由选择功能答案：B108.A3-66功能性是与整个软件产品生命周期内的质量评估相关的特征，将其描述为与以下哪项有关的一组属性最为恰当?A、存在一系列功能及其特定属性B、软件从一个环境迁移到另一个环境的能力C、软件在规定条件下维持其性能水平的能力D、软件性能与所用资源量之间的关系答案：A109.从风险管理的角度，部署庞大且复杂的IT基础架构，哪种方法最好：A、部署前仿真模拟新的架构B、按次序阶段性的部署计划C、原型化和单阶部署D、在概念论证之后，全面迅速的部署答案：B110.热备源中心什么的，is审计师最关注A、物理访问性B、逻辑访问性C、互惠协议D、数据恢复性答案：D111.A5-246以下哪一项是判断计算机安全事故响应团队是否起作用的指标?A、每次安全事故对财务方面的影响B、已修补安全漏洞的数量C、受保护的业务应用程序所占的百分比D、渗透测试成功的数量答案：A112.以下哪一项是使用秘密秘钥型加密的优势？A、可用于数字签名B、使用效率C、能在用户间共享密钥D、增强验证功能答案：D113.A1-42组织的战略计划预期会有以下哪项目标?A、新软件测试的结果B、对信息技术需求执行评估C、新规划系统的短期项目计划D、组织提供经批准的产品供应商答案：D114.A5-209以下哪项属于最可靠的单因素个人识别方式?A、智能卡B、密码C、照片识别D、虹膜扫描答案：D115.以下哪项表现了项目开展是经由高层次人员支持并符合组织目标的?A、项目计划的批准B、可行性分析C、业务案例的批准答案：C116.要求督导委员会监督IT投资的主要好处是以下哪一项？A、进行可行性分析，以表明IT价值B、确保根据业务需求进行投资C、确保强制落实适当的安全控制措施D、确保实施标准的开发方法答案：B117.A4-77在什么情况下，可将实施热备援中心作为恢复策略?A、停机容灾能力很低B、恢复点目标很高C、恢复时间目标很高D、可容忍的最长停机时间很长答案：A118.【重要题】.ERP系统中的三项匹配机制，审计师应审查以下哪一项?A、银行方(记不清，可排除)B、交货通知C、采购订单D、采购申请单答案：C119.A4-33以下哪项是审查服务台业务期间主要关注的问题?A、服务台团队无法解答某些服务呼叫中心提出的问题B、未能为服务台团队指定专用线路C、事故解决后未洽询最终用户即结案D、服务台无法发送即时服务消息已超过6个月答案：C120.在审计射频识别技术(RFID)时,最应该注意什么?A、可扩展性B、不可否认性C、隐私D、可维护性答案：C121.制定后续审计什么最重要：A、与被审计组织协调时间B、可用资源C、审计发现的风险暴露D、制定审计计划答案：C122.当规划实施新系统时，公司选择并行运行的主要目的是？A、确保系统满足所需的用户响应时间B、协助新员工的培训工作C、验证系统接口是否已实施D、确认系统处理能力答案：D123.在IT审计后，管理层决定接受审计报告中强调的风险，以下哪项最能向信息系统审计师保证管理层充分平衡了业务需求与管理风险的需要?A、存在沟通计划用于通知受风险影响的各方。B、潜在影响和可能性已充分记录。C、向公司的风险委员会报告识别的风险。D、存在接受和批准风险的所定标准。答案：D124.流程所有权分配在系统开发项目中至关重要，原因是它：A、利于跟踪开发完成的百分比。B、优化用户验收测试(UAT)案例的设计成本。C、最大限度缩小需求与功能之间的差距。D、确保系统设计基于业务需求。答案：D125.A5-223以下哪项能够最有效地增强基于质询应答的身份认证系统的安全性?A、选择更可靠的算法来生成询问字符串B、采取各种措施防止会话劫持攻击C、增加更改相关密码的频率D、增加身份认证字符串的长度答案：B126.A1-95采用控制自我评估技术的组织可获得的一个主要好处是：A、可确定以后可能需要详细审查的高风险区域B、允许信息系统审计师独立评估风险C、可取代传统审计D、允许管理层放手控制职责答案：A127.当确定在多个国家都有分支机构的全球性企业的数据保留政策时，下列哪一项是最重要的考虑因素：A、政策与公司政策与惯例的一致性B、政策与当地法律法规的一致性C、政策与全球最佳实践的一致性D、政策与业务目标的一致性答案：B128.A3-54当应用程序开发人员想要使用前一天的生产交易文件副本来做容量测试时，信息系统审计师的主要担忧是：A、用户可能更愿意在测试时使用编造的数据B、可能导致敏感数据遭到未经授权的访问C、错误处理和可信度检查可能得不到全面验证D、未必能测试新程序的全部功能答案：B129.为解决企业对需求请求书(RFP)回复的可靠性的担忧，IS审计师应建议：A、在合同中注明关键事项B、调查供应商在行业的信誉C、与供应商一起验证RFP的回复D、联系供应商，共同制定RFP的回复答案：A130.A4-162以下哪项安全措施最能保证数据仓库所存储信息的完整性?A、经过验证的每日备份B、变更管理流程C、数据字典维护D、只读限制答案：D131.A2-144公司的呼叫中心IT政策要求为所有用户指定独立无二的用户账户。如果发现并非所有当前用户均符合此要求，最适当的建议是什么?A、让营运管理人员审批当前配置B、确保现有的所有账户都有审计轨迹C、为所有员工实施独立的用户账户D、修改IT政策以允许使用共享账户答案：C132.信息系统审计师使用端口扫描软件来：A、建立通讯连接B、检测入侵行为C、检测开放服务D、确保所有端口在使用中权答案：C133.为减轻API(ApplicationProgramminginterface,应用程序编程接口)查询公开数据的风险，以下哪项考虑因素最重要?A、数据完整性B、数据质量C、数据最小化应用程序编程接口D、数据保留答案：C134.在公司实施了语音通信(VOIP),哪一项是存在的最大问题?A、不能在公司内网用VPNB、数字和语音不能互相转换C、数字和语音传输的单一故障点D、由于网络问题引起的丢包导致语音质量受影响答案：C135.【重要题】下面哪一项措施是防止非授权登录最可靠的方法?A、加强现有的安全策略B、发放身份令牌C、限制在下班后使用计算机D、安全自动密码生成器答案：B136.若要开发一个应用于整个公司的系统，最适合总体负责该项目的角色是：A、IS主管B、项目经理C、企业高管D、业务分析员答案：C137.以下哪一项是灾难恢复计划的步骤之一？A、评估和量化风险B、与灾难计划咨询顾问协商合同C、获得替代设备供应D、确定应用程序控制需求答案：A138.在下一年选择进行哪些信息系统审计的主要依据是什么?A、上一年的审计发现结果B、高层管理层的要求C、组织风险评估D、以前的审计范围答案：C139.A1-50如果信息系统审计师与部门经理对审计结果存在争议，争议期间审计师应首先采取以下哪项行动?A、对控制重新进行测试，以验证审计结果B、邀请第三方对审计结果进行验证C、将审计结果记入报告，同时注明部门经理的意见D、对支持审计结果的证据进行重新验证答案：D140.公司用了软件即服务(saas),在软件供应商不再提供服务的情况下怎样能保证可用性?A、复制这个软件(大概是意思)B、把数据定期备份C、在网络连接上做一个冗余D、第三方托管答案：D141.以下哪一项是降低未授权访问无人值守的最终用户PC系统的最有效方法？A、强制使用密码保护型屏幕保护程序B、实施以邻近为基础的身份认证系统C、按预定义间隔终止用户会话D、调整电源管理设置，以保证显示屏是空白的答案：A142.A4-35一家大型连锁店在销售终端设备上安装了电子资金转账系统，并且配备了一个用于连接到银行网络的中央通信处理器。对于该通信处理器，以下哪种灾难恢复计划是最佳方案?A、异地存储日常备份数据B、现场安装备用处理器C、安装双工通信线路D、在其他网络节点安装备用处理器答案：D143.以下哪一项是计划评审技术(PERT)相比其它方法的优点？与其它方法相比:A、为计划和控制项目考虑不同的情景B、允许使用者输入程序和系统参数.C、测试系统维护加工的准确性D、估算系统项目成本.答案：A144.防止同时使用软件许可的最佳措施?A、用户自律B、供应商实施突击审计C、系统管理员实施监控D、计量软件答案：D145.在制定项目风险登记表时，以下哪项是最重要的行动?A、进行wlkthrough穿行测试B、为已识别的风险分配风险所有权C、确定风险评分标准D、制定风险行动计划答案：B146.A4-34定期测试异地灾难恢复设施的主要目的是：A、保护数据库中数据的完整性B、不必制订详细的应急计划C、确保应急设施持续保持兼容性D、确保程序和系统文档保持最新答案：C147.A5-259神经网络可有效地检测欺诈，因为神经网络可以：A、发现新的趋势，因为其本身是线性的B、解决不能获得大量常规培训数据组的问题C、解决需要考虑大量输入变量的问题D、假设任何曲线的形象是根据变量和输出之间的关系绘制的答案：C148.A1-38以下哪种形式的证据会被信息系统审计师认为最可靠的?A、受审方的口头陈述B、外部信息系统审计师执行的测试的结果C、内部生成的计算机会计报告D、从外部来源收到的确认函答案：B149.某组织实施了一个分布式会计系统，IS审计师正在进行实施后审查，以提供数据完整性控制的鉴证。该审计师应当首先执行以下哪一项？A、审查用户访问。B、评估变更请求流程。C、评估对账控制。D、审查数据流程图。答案：D150.A1-55在信息系统审计的计划阶段，信息系统审计师的主要目标是：A、达到审计目标B、收集足够的证据C、指定适当的测试D、尽可能少使用审计资源答案：A151.审计师不能直接审查第三方供应商隐私方面的控制，应该审查：A、供应商提供的独立审计报告B、主服务协议MLSC、服务商内部审计部门的测试结果D、服务商控制自我审查答案：A152.某个大型组织正在对下一年度的IT项目进行优先级排序。排序的依据应该：A、根据项目的成本效益分析结果。B、根据组织下一年度的IT资源情况。C、根据项目的投资额大小。D、根据技术的先进性答案：A153.成熟的质量管理系统QMS的指标?A、项目显示持续改进B、设定了评估标准并集成到所有系统中强制执行C、所有部门都提交了质量报告D、运行良好未发现问题答案：A154.在应用加密的备份磁带时，最重大的关注应是以下哪一项?A、丢失加密密钥B、缺乏磁带的物理安全性C、因加密过程造成数据不准确D、与未来软件版本不兼容答案：A155.在审计企业的财务报告时，信息系统审计师发现IT一般控制存在瑕疵。信息系统审计师应该建议什么？A、增加应用控制的符合性测试B、更加依赖应用控制C、增加对财务余额的实质性测试D、可排除答案：A156.在制定业务持续性计划(BCP)时，业务单位管理层参与以下哪项工作最重要?A、参与业务恢复程序的制定B、参与实施文档库C、参与业务影响分析D、参与IT风险评估答案：C157.A5-256以下哪项是处理利用协议漏洞传播网络蠕虫的最可靠而有效的解决方法?A、立即安装最新供应商安全修补程序B、在外围防火墙中阻止协议通信C、阻止内部网络段间的协议通信D、停止协议使用的服务答案：D158.网上系统应用在使用过程中由于数据量大导致延迟，系统响应时间无法接受，哪一项可以提升应用的性能？A、RAID5(数据复制技术)B、磁盘镜像C、负载均衡D、调整防火墙配置答案：C159.包含敏感信息的EUC存在哪项最大的风险A、数据未被保护B、系统未被包含进库存C、没有审计日志D、安全授权不可用答案：A160.灾难恢复计划属于什么类型：A、预防性B、检测性C、指导性D、整改性答案：D161.数据中心审计时，审计师发现火灾风险非常高应该推荐什么作为最有效的灭火措施?A、喷水式灭火系统B、手持式灭火器C、干剂灭火系统D、可排除答案：C162.A4-215设计应对潜在自然灾害的数据备份策略时，以下哪一项最有帮助?A、恢复点目标B、需要备份的数据量C、可用的数据备份技术D、恢复时间目标答案：A163.A5-8以下哪一项是尽量降低未经授权访问无人值守的最终用户PC系统的最有效方法?A、强制使用密码保护型屏幕保护程序B、实施以接近感应为基础的身份认证系统C、按预定义间隔终止用户会话D、调整电源管理设置，以保护显示屏是空白的答案：A164.A5-135信息系统审计师可以采用什么方法来测试分支机构所在位置的无线安全?A、战争拨号B、社会工程C、战争驾驶D、密码破解答案：C165.A2-33某业务单位已选用新的会计应用，但并未选择流程中提前咨询IT部门。主要风险是：A、该应用的安全控制可能不符合要求B、该应用可能不符合业务用户的需求C、该应用的技术可能与企业架构不一致D、该应用可能给IT部门带来不可预见的支持问题答案：C166.A4-64为组织优化的灾难恢复计划应该：A、缩短恢复时间，降低恢复成本B、延长恢复时间，提高恢复成本C、缩短恢复的持续时间，提高恢复成本D、不影响恢复时间和成本答案：A167.说去一个公司执行审计，想了解这个公司业务流程方面的执行情况，问应该怎么做A、跟高级业务管理员面谈B、外部的审计报告C、公；司最近的内部审计报告D、自己观察啥的答案：A168.信息系统审计师审计时发现有些员工离职后，账号仍然能访问系统，为了防止这种情况，最好的控制是什么?A、自动删除一段时间没有活动的员工账号B、自动删除入职一定时间的员工账号C、不记得了，可排除D、用一个软件与人力资源的系统建立自动化接口答案：D169.某IS审计师正在审查某数据中心的物理安全控制，发现以下哪个问题最值得关注?A、不记得了B、灭火系统C、安全摄像头D、紧急出口答案：D170.应用程序可以使用用户账号访问底层数据库，审计师最担心：（也有考生反馈题干描述为：底层用户可以直接访问数据库，哪项风险大？）（此题需进一步确认，请考生考试中特别留意）A、用户可以绕过应用程序访问数据库B、用户账户停用了，仍然可以访问C、应用程序审计记录不能包含全部信息D、底层数据库完整性被破坏答案：A171.A2-38在实施IT平衡计分卡之前,组织必须：A、提供有效且高效的服务B、定义关键绩效指标C、为IT项目带来商业价值D、控制IT费用答案：B172.在应用程序软件审查过程中，某IS审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是：A、包括审查范围内的数据库控制。B、记录下来供日后审查。C、与数据库管理员共同解决问题。D、如实报告漏洞。答案：D173.某IS审计师已发现，员工们在通过电子邮件将敏感的公司信息发送到基于web的公共电子邮件域。对IS审计师而言，以下哪一项是建议的最佳补救措施?A、数据丢失防护(LP)(tloseprevention)B、培训和意识C、活动监测D、加密邮件账户答案：A174.A1-124信息系统审计章程的主要目的是：A、建立审计部门的组织结构B、阐述信息系统审计职能部门的报告责任C、详细说明审计职能部门所需的资源要求D、概述信息系统审计职能部门的职责和权限答案：D175.以下哪一项是用于预估开发大型业务应用程序复杂性的最佳方法A、功能点分析B、关键路径分析C、工作分解结构D、软件成本估算答案：A176.A5-6以下哪一网络组件主要用作一种安全措施，防止在不同网段间进行未授权的通信?A、防火墙B、路由器C、第2层交换机D、虚拟局域网答案：A177.A4-211某信息系统审计师正在对某数据中心的灾难恢复程序进行审查。表明该程序符合要求的最佳指标是以下哪一项?A、记录在案的程序经过管理层批准B、程序经过审查，并与行业良好实践进行过比较C、用该程序进行过桌面演练D、恢复团队及其职责已记录在案答案：C178.在电子商务中使用的典型网络体系结构中，负载平衡器通常位于下面哪两个项目之间：A、数据库和外部网关B、用户和外部网关C、路由器和we服务器D、邮件服务器和邮件库答案：C179.审计的时候，审计师发现存在病毒，下一步应该做什么?A、通知有关人员B、清理病毒C、断开网络D、观察反应机制答案：A180.A1-41某公司最近为整合电子数据交换()传输而对采购系统进行了升级。要确保有效的数据映射，应在EDI接口中实施以下哪种控制?A、密钥验证B、一对一检查C、手动重新计算D、功能性确认答案：D181.A5-148以下哪个选项中的信息与积极主动地加强安全设置最相关?A、防御主机B、入侵检测系统C、蜜罐D、入侵防御系统答案：C182.公司准备把ERP管理软件开发工作外包，已经通过高层审批，并确定了几家供应商，接下应该：A、联系供应商对应的客户B、审计供应商SL能力C、确认ERP功能和对应的控制措施，并进行排序D、签订供应商合同答案：C183.能保证应用系统运行良好的是什么A、接口测试B、集成测试C、系统测试D、单元测试答案：C184.以下哪项最能保证审计部门的独立性A、审计计划B、审计章程C、审计报告D、审计方案答案：B185.以下哪项应该包含在审计章程中？（公司的审计章程因该）：A、定义审计师访的信息访问权限B、详述审计目标C、包括信息系统审计计划D、提出企业的IT战略答案：A186.某企业IT部门严重依赖外包商来维护关键系统。为了解决收入下降的问题，董事会已决定将整个企业的所有外包商的预算减少30%.以下哪一项是IT领域的最大风险?A、关键系统可能得不到适当的维护B、最终用户可能无法从其余IT员工那里获得足够的支持C、所需的软件许可证预算可能不足D、外包商可能会在离开之前尝试从关键系统中提取有价值的数据答案：D187.公司请外部审计人员来审计，内部审计人员发现外部审计人员的一些证据文件与内审报告结论有差异，内部审计人员应该怎么做？A、向高级管理层报告B、请专家重新检查确认审计结论（请外部专家进行额外的测试）C、在报告中说明范围限制D、对外披露答案：B188.项目实施后一个月，审查中采用调查问卷的方式，哪项影响最大A、一个月之后才发问卷B、问卷没有开放性回答C、没有把结果报告管理层D、用户对调查问卷参与不积极答案：C189.【重要题】以下哪个可用于确定恢复顺序?A、IB、风险评估C、P测试结果D、RP测试结果答案：A190.如何确认批量作业(batchjobupdate)成功完成?A、验证作业日志的时间戳B、抽样检查部分作业是否完成C、查看作业配置D、检查工作日程表答案：A191.A3-52执行事后审查的主要目的是提供机会：A、改进内部控制程序B、将网络强化到行业最佳实践标准C、向管理层强调事故响应管理的重要性D、提高员工对事故响应过程的认识程度答案：A192.A3-80某公司实施了一套新的客户端/服务器型企业资源规划(ERP)系统。各地分支机构会将客户订单传动到中央生产设备。以下哪一项能够最有效地确保准确处理这些订单并生产相应的产品?A、对照客户订单验证生产B、将所有客户订单计入ERP系统C、在订单传送过程中使用散列总计D、在生产之前审批(由生产监督人员)订单答案：A193.对于无双重门控制的机房，管理层应该采取哪个行动来防止跟随进入?(2023年3月真题)A、要求员工佩戴I卡B、双因素验证C、生物识别技术D、安全意识培训答案：D194.在共享的处理环境中，最大的挑战是A、分离客户数据B、分离客户网络C、合并结果D、保持一致的标准答案：A195.A5-28在审查入侵检测日志时，信息系统审计师发现了一些来自互联网的通信，其IP地址显示为公司工资服务器。以下哪项恶意活动更可能导致这类结果?A、拒绝服务攻击B、冒充C、端口扫描D、中间人攻击答案：B196.开展实施后审查的主要目的是检查A、已充分考虑了用户访问控制B、已正确执行了UAT测试C、已符合企业体系结构D、已满足用户需求答案：D197.【重要题】下哪一项是启用数据库审计轨迹的主要益处?A、可以实现问责制B、可以实现职责分离C、可以调查交易过程D、可以提高可用性答案：A198.A5-169审查无线网络安全性的信息系统审计师确定所有无线访问点上都禁用了动态主机配置协议。这种做法：A、减少网络的未授权的访问风险B、不适用小型网络C、自动向任何人提供IP地址D、增加与无线加密协议(WEP)相关的风险答案：A199.为确定业务连续性计划(BCP)的有效性，最具成本效益的方式是：A、实施后审查B、桌面推演C、全面运行测试D、压力测试答案：B200.下列哪一项可用于评估IT运营效率?A、总体拥有成本B、平衡记分卡C、净现值D、内部收益率答案：B201.A5-155以下哪项是与使用点对点计算有关的最大问题?A、病毒感染B、数据泄露C、网络性能问题D、未经授权使用软件答案：B202.A1-113某信息系统审计师正在审查日志监控的流程，想要评估组织的手动审查流程。为达到这一目的，该审计师最有可能采取以下哪种审计技术?A、检查B、问询C、浏览审查D、重新执行答案：C203.A5-227一位信息系统审计师正在审查基于软件的防火墙配置。以下哪一项意味着出现最大漏洞?A、将隐式拒绝规则作为规则库中的最后规则B、安装在一个采用默认设置配置的操作系统上C、规则允许或拒绝访问系统或网络D、配置为虚拟私有网络终端答案：B204.【重要题】以下哪一项是灾难恢复计划的步骤之一?A、评估和量化风险B、与灾难计划咨询顾问协商合同C、获得替代设备供应D、确定应用程序控制需求答案：A205.A1-121审计银行电汇系统时,以下哪一项技术最适合检测是否存在双重控制?A、交易日志分析B、重新执行C、观察D、约谈工作人员答案：C206.【重要题】在宣布要进行收购的新闻稿之后，企业正遭受针对目标员工和高管的大量网络钓鱼攻击。以下哪一项提供防御这些攻击最好的保护?A、部署入侵检测和防御系统B、进行全企业范围的意识培训C、在被收购的系统上安装垃圾邮件过滤器D、要求签署企业安全政策的确认书答案：B207.【重要题】当审计资源有限时，以下哪一项是信息系统风险审计的最大担忧?A、进行风险评估可能减少可用于审计的时间B、某些业务流程可能未经审计C、管理层审计请求的响应可能会大大延迟D、审计时间表可能变得太可预测答案：B208.与在内部开发系统相比，购买商业软件包意味着对最终用户测试的需求会A、增加。B、不变。C、减少。答案：C209.以下哪项最能证明供应商控制符合公司的要求A、SLA服务水平协议B、独立的审计报告C、第三方供应商的信息安全政策D、监管要求答案：B210.在开发阶段添加新功能时，以下哪项是与没有遵循项目更改管理流程相关的主要风险A、新功能可能不符合要求B、尚未记录添加的功能C、项目超出预算答案：A211.某IS审计师在数据库的某些表中发现了超出范围的数据。为避免此类状况发生，该IS审计师应推荐采用以下哪种控制？A、记录所有的表更新交易。B、在数据库中设定完整性约束。C、使用前后图像报告。D、使用跟踪和标记。答案：B212.A4-53编程人员为了改变数据而恶意修改了生产程序，随后又重新恢复为原始代码。下列哪一项能够最有效地检测此恶意行为?A、比较源代码B、审查系统日志文件C、比较目标代码D、审查可执行代码和源代码的完整性答案：B213.测试程序和生产程序分离的主要目的在于？A、为变更管理控制提供基础B、为变更实施控制C、信息系统人员和最终用户之间实施职责分离D、限制IT人员对开发环境的访问权限答案：A214.信息系统审计师在在制定审计计划时，应首先执行以下哪一项活动?A、确定风险优先顺序B、审查以前的审计报告C、确定审计范围D、分配审计资源答案：A215.下列哪一项能够最有效地保护数据中心的信息资产不被供应商窃取A、监控并限制供应商的活动B、给供应商发放访问卡C、隐藏数据设备和信息标签D、限制使用便捷式和无线设备答案：A216.A4-255信息系统审计师应建议采取以下哪一项措施来保护数据仓库中存储的特定敏感信息?A、实施列级和行级权限B、通过强密码加强用户身份认证C、将数据仓库组织成为特定主题的数据库D、记录用户对数据仓库的访问答案：A217.审计师发现系统存在很多多余生产系统权限没有及时清除，审计师应该建议?A、人力资源系统在员工离职后自动触发删除员工权限B、业务部门定期审阅并申请删除多余的访问权限C、系统管理员应确保权限分配的一致性D、IT安全部门管理员定期删除多余的权限答案：B218.服务台对于大多数问题都有已知解决方案，但发现重复反应相同问题的现象，审计师应该建议：A、升级事件系统B、服务台外包C、加强用户培训D、增加支持人员答案：C219.组织的QA人员最不应该从事：A、审查程序被修改B、改动应用程序的业务功能C、建立分析技术D、制定命名规范答案：B220.公司发现企业的数据安全存在重大漏洞，CEO要求对网络安全进行审计，但因公司重组问题，目前只有几个审计师，且能力一般，这种情况下，最合适的解决方案是：A、寻找外部第三方审计B、列入下个年度进行审计C、找目前审计师中最资深的人员开展审计D、延迟项目，先实施审计技能培训，然后再执行审计答案：A221.企业开发系统有4个模块，最后一个涉及将数据更新至数据库中，信息系统审计师应检查什么A、实体关系图B、配置数据库管理C、变更管理D、数据流图答案：D222.以下哪种情况会增加欺诈行为的可能性？A、应用程序开发人员正在执行对生产程序的变更。B、管理员正在对供应商提供的软件实施供应商补丁，但没有遵守变更控制流程。C、操作支持人员正在执行对批量计划的变更。D、数据库管理员正在执行对数据结构的变更。答案：A223.A5-150当审查入侵检测系统时,信息系统审计师应最关注以下哪个选项?A、有大量误报B、网络流量覆盖率低C、网络性能下降D、默认检测设置答案：B224.非正规化(非规范化)对数据库的最大影响是什么：A、影响完整性B、停滞不前的性能C、数据的准确性D、数据的机密性答案：A225.企业要替换当前的会计系统，上线新的系统，以下哪种方式最能保证数据完整性A、平行实施B、应急回退计划C、试点实施D、功能集成测试答案：A226.公司已将部分业务外包出去，现在打算对外包服务商审计，要确定审计范围，内部审计师首先要（）？A、与外包服务商商定审计目标B、审查外包合同C、审查外包商的内部控制答案：B227.为防止在共享打印机上打印的保密文档泄露，应该采用以下哪种方法？A、加密用户计算机和打印机之间的数据流B、使用已打印文档的密级生成标题页C、要求授权用户在将文档发送到打印机之前提供密码D、在打印结果输出之前，要求现在打印机上输入密码答案：D228.A2-103某企业选择供应商来开发和实施新软件系统。要确保该企业在软件方面的投资受到保护，以下哪一项是主服务协议中应包含的最重要的安全条款?A、责任范围B、服务等级要求C、软件托管D、版本控制答案：C229.A4-119从某个供应商购买了某个新应用，并且即将实施。实施应用时，以下哪一项是关键考虑因素?A、防止在实施流程中损坏源代码B、确保已禁用供应商的默认账户和密码C、从托管中删除程序的旧副本，以免混淆D、核实供应商在履行支持和维护协议答案：B230.在小型组织中，信息系统审计师发现安全管理和系统分析功能由同一个员工执行，下列哪一项是最明显的问题?A、没有更新此员工的正式工作说明B、此员工没有签署安全政策C、没有独立审查此员工的活动。D、没有更新安全政策来反映这种情况，答案：C231.下列哪一项能够最有效地防止病毒进入局域网中A、禁止访问互联网B、定期扫描硬盘C、禁用下载D、在网络服务器上安装病毒扫描程序答案：D232.磁盘管理系统的主要功能在于：A、提供有关磁盘有效利用率的数据B、拒绝访问磁盘驻留的数据文件C、见识磁盘访问，以便进行分析审查D、提供控制磁盘使用的方法答案：A233.【重要题】多个部门未在商定日期内完成审计建议，以下哪一方应该负责并跟进这件事：A、高级管理层B、审计师C、部门经理D、审计部门负责人答案：A234.A3-130审计软件购置流程的信息系统审计师需要确保：A、合同在签署前经过法律顾问的审查及批准B、现有系统无法满足需求C、有关要求对业务至关重要D、用户充分参与购置流程答案：A235.如果跟踪审计显示尚未启动某些管理行动计划，信息系统审计师首先应该怎么做?A、判断所识别的风险是否仍然有效B、将计划未完成的情况上报给管理层C、向审计委员会提供报告D、要求进行额外的行动计划审查，以确认审计发现答案：A236.A3-11某企业正在制定一项策略，已将其数据库软件升级到最新版本。信息系统审计师可以执行下列哪一项任务而不会对信息系统审计功能的客观性造成损害?A、对新数据库软件采用哪些应用程序控制提供建议B、为项目团队将来所需的许可费提供评估C、向项目经理建议如何提高迁移效率D、在执行验收测试之前，审查验收测试个案文档答案：D237.A4-135信息系统审计师发现IT经理最近更换了负责为关键计算机系统进行维护的供应商，以节省成本。尽管新的供应商要价便宜，但新维护合同指定的事故解决时间与原始供应商指定的时间有所不同。以下哪个选项最令信息系统审计师关注?A、灾难恢复计划可能无效，需要进行修订B、交易业务数据可能在发生系统故障时丢失C、新维护供应商不熟悉组织的政策D、没有将该变动通知应用程序负责人答案：D238.A2-83信息系统审计师在审查外部IT服务提供商的管理时，应主要关注以下哪一项?A、将所提供服务的成本降至最低B、禁止服务商转包服务C、评估向IT部门转移知识的流程D、确认是否按合同提供服务答案：D239.在安排跟踪审计时，以下哪一项是最重要的考虑因素?A、与新审计师进行独立验证工作所需的努力B、被审计方同意与审计师合作花费的时间C、不采取整改措施会产生的影响D、与观察结果有关的控制和检测风险答案：C240.【重要题】在升级关键在线应用程序之前，应该首先执行以下哪项操作?A、更新灾难恢复流程B、审查数据备份程序C、测试回滚流程D、更新业务影响分析答案：C241.信息系统审计师发现，关键系统的备份未按照BCP中建立的RPO执行。审计师下一步应该？A、扩大审计范围B、确定根本原因C、将观察结果包含在报告中D、要求立即执行备份答案：B242.A4-49在评估软件开发实践时，一名信息系统审计师发现，开源软件组件用在了为客户设计的应用程序中。关于开源软件的使用，该审计师最关注什么?A、客户不为开源软件组件付费B、组织和客户必须遵守开源软件许可条款C、开源软件具有安全漏洞D、开源软件对商业用途不可靠答案：B243.A3-55以下哪一项是执行并行测试的主要目的?A、确定系统是否具有成本效益B、实现综合单元及系统测试C、找出含文件的程序接口中的错误D、确保新系统满足用户要求答案：D244.哪项会损害审计人员的独立性：A、参与项目组，但不参与操作B、提供咨询意见C、设计并嵌入了专门审计用的审计模块D、在开发过程中，实施了具体的控制答案：D245.A3-143某大型组织正在评估是购买定制解决方案还是内部开发系统，以取代过时的旧版系统。以下哪项最可能影响该组织的决策?A、组织内与采购和软件开发有关的技能和知识B、应用程序所处理数据的隐私要求C、要更换的旧版系统是否是由内部开发的D、用户不能投入合理的时间来确定解决方案的功能答案：A246.设计应对潜在自然灾害的数据备份策略时，以下哪一项最有帮助？A、恢复点目标（RPO)B、需要备份的数据量C、数据备份技术D、恢复时间目标（RTO)答案：A247.防止同时使用软件许可的最佳措施A、用户自律B、供应商实施突击审计C、系统管理员实施监控D、计量软件答案：D248.企业把开发环境和测试环境分开的主要原因是什么？A、可以排除B、在IT人员和最终用户之间实现职责分离。C、使测试人员可以在稳定的环境下进行测试。D、保护开发中的程序不受未经授权的测试。答案：C249.对员工进行了安全培训教育，以下哪种方式证明了培训的有效性？A、安全事故的上报数量增加B、参加安全意识培训人员的百分比变多答案：A250.A1-68在审查敏感的电子版工作底稿时，信息系统审计师注意到它们没有被加密。这可能危及：A、工作底稿版本管理的审计轨迹B、审计阶段的批准C、对工作底稿的访问权限D、工作底稿的机密性答案：D251.A5-131在对一个内部开发的Web应用程序进行审计期间，信息系统审计师确认，所有的业务用户共享同一访问配置文件。以下哪项建议对于预防未授权数据修改风险最有用?A、对用户操作进行详细的日志记录B、根据工作职责自定义用户访问配置文件C、对所有账户强制实施强密码政策D、实施定期访问权限审查答案：B252.A4-225组织的灾难恢复计划应尽早解决以下哪项恢复?A、所有信息系统流程B、所有财务处理应用程序C、只须恢复信息系统经理指定的应用程序D、按照业务管理人员制定的优先级顺序处理答案：D253.在对用于控制物理访问的生物特征识别系统的运行，信息系统审计师最担心下列哪项？A、缺乏生物特征识别培训B、用户对生物特征识别的接受程度C、第一类错误D、第二类错误答案：D254.为确保访问人力资源管理系统（HRMS)以及HRMS接口应用中的敏感数据的应用用户问责制，以下哪一项是应当实施的最有效的控制？A、双因素身份认证B、数字认证C、审计轨迹D、单点登陆身份认证答案：C255.A3-112某组织从旧系统迁移到企业资源规划系统。审查该系统迁移活动时，信息系统审计师最关心的问题是确定：A、迁移的数据在两个系统间是否存在语义特性方面的关联B、迁移在数据在两个系统间是否存在算术特征方面的关联C、进程在两个系统间是否存在功能特征方面的关联D、进程在两个系统间是否存在相对效率答案：A256.某IS审计师正在审查某组织最新的灾难恢复计划（DRP)。确定该计划所需要的系统资源的可用性时，以下哪一项批准最重要？A、执行管理层B、IT管理层C、董事会D、督导委员会答案：B257.A1-120为何即使信息系统审计师有多年工作经验，审计经理也要审查该工作人员的审计报告?A、内部质量要求B、审计准则C、审计方法D、专业标准答案：D258.为了帮助董事会履行IT治理职责，IT指导委员会应该：A、监管重大项目和IT资源的分配情况。B、实施IT战略。C、将注意力集中在IT服务和产品的供应上D、制定项目跟踪的IT政策和措施。答案：A259.A5-100以下哪项是具有多个不同子系统的远程访问网络中最全面的控制?A、代理服务器B、安装防火墙C、隔离区D、虚拟私有网络答案：D260.对于VoIP，信息系统审计师最关注什么？A、不可抵赖性B、服务的连续性C、网络的统一性D、数据与语音网络分离答案：B261.A5-267Java小程序和ActiveX空间是在客户端Web浏览器后台执行的分布式程序。在下列哪种情况时，认为此实务合理?A、存在防火墙B、使用安全We连接C、可执行文件的来源是确定的D、主机网站是组织的一部分答案：C262.电子数据交换EDI主要优势是?A、可以同时在不同地方使用同一个文件B、减少数据转录(trnsription)C、数据有效性验证由服务供应商提供D、简化和供应商的合同答案：B263.审计师作为开发小组成员，该小组正在采购软件。以下哪一项有损该审计独立性?A、鉴证供应商选择流程B、批准供应商选择方法C、验证每项选择标准的权重D、可排除答案：B264.某IS审计师正在审查已采纳敏捷开发方法的某组织的软件开发能力。该IS审计师最关注的是:A、某些项目迭代产生包括概念验证的交付成果和未完成代码。B、应用特征和开发过程未广泛记录在案。C、软件开发团队不断重新规划其重大项目的每一步。D、项目经理不管理其项目资源，而将其交由项目团队成员负责。答案：A265.A2-4在审查组织的人力资源政策和流程时，信息系统审计师应对以下哪项的缺失给予最大的关注?A、要求定期岗位轮换B、正式的离职面谈流程C、离职检查清单D、要求新员工签订保密协议答案：C266.代码在生产发布时被错误地移除，其后绕过正常的变更程序，被转入生产环境。对执行实施后审查的IS审计师而言，以下哪一项最值得关注？A、代码在初步实施时被遗漏。B、变更未经管理层批准。C、错误在实施后审查过程中被发现。D、发布团队使用了相N的变更顺序号。答案：B267.某公司既执行完整数据库备份和增量数据库备份。当数据中心遭破坏后，以下哪一项能够提供最佳的完全恢复？A、每周将完全备份移至异地站点B、每日将增量备份存放到异地站点C、将完全备份和增量备份放在安全的服务器机房里面D、每日将所有备份循环存放到异地站点答案：D268.某小型公司无法隔离开发流程与变更控制职能之间的职责。确保经过测试的代码与转入生产的代码完全一样的最佳途径是什么？A、发布管理软件B、手动代码比对C、生产前回归测试D、管理层批准变更答案：A269.如何保证防火墙有效的策略。A、审查网络日志B、做渗透测试C、审查入侵检测报告D、检查防火墙配置答案：D270.A4-54一位信息系统审计师正在审查某组织的灾难恢复情况。在这次灾难中，并非恢复业务运营所需的所有关键数据都得到了保留。这是因为错误定义了以下哪个选项?A、中断时间B、恢复时间目标C、服务交付目标D、恢复点目标答案：D271.固有风险评级通过对威胁或漏洞的影响及可能性评估，威胁或漏洞发生A、考虑采取内部控制措施之前B、考虑内部控制措施之后C、应用了补偿控制措施后D、确立风险偏好之前答案：A272.在制定数据保留政策(dataretentionpolicy)时，首要考虑的是：A、设计基础设施存储战略B、识别法律和合同规定的数据保留期C、确定数据的安全访问权限D、根据保留期确定备份周期答案：B273.在开发信息安全政策过程中，以下哪一项能最好地确保满足业务目标？A、政策与程序步骤之间的链接B、采用行业最佳做法C、使用平衡记分卡D、相应的利益相关人员的意见答案：C274.某IS审计师发现，实施了未经督导委员会批准的多个基于lT的项目。该IS审计师最需要关注什么？A、IT项目资金不足。B、IT项目不遵循系统开发生命周期（SDLC〕流程。C、IT项目未必一直得到正式的批准。D、IT部门未朝着共同的目标而努力。答案：D275.A1-43确认系统税务计算准确性的最佳方法是：A、审查并分析计算税务程序的源代码B、使用通用审计软件重新创建程序逻辑以计算每月总和C、准备模拟交易，以处理结果并与预期结果进行比较D、对计算程序的源代码绘制流程图并进行分析答案：C276.信息系统审计师正在审查业务流程改进项目的成果。应该首先执行以下哪一项?A、制定补偿控制B、评估新旧流程之间的控制差异C、评估流程中控制薄弱环节的影响D、确保更改流程中汲取的经验教训已存档答案：B277.审查业务连续性计划(BCP)测试结果时，最重要的是信息系统审计师要确定以下哪一项?A、是否跟进了上次测试以来发生的所有活动B、验证是否恢复了关键业务的运营能力C、是否评估了保护关键业务记录的能力D、是否考虑到系统环境的变更答案：B278.A4-196当系统需要一天24小时在线接收销售订单时，以下哪一项是备份大量关键性任务数据的最有效策略?A、实施容错的磁盘到磁盘备份解决方案B、每周一次磁带完整备份，每晚一次增量备份C、建立双重存储区域网络(SN)，并将数据复制到第二个SND、在一个热备援中心建立相同的服务器和存储基础设施答案：A279.A1-33哪种审计技术可以提供IT部门中已实施职责分离的最佳证据?A、与管理层进行讨论B、审查组织架构图C、观察和面谈D、测试用户访问权限答案：C280.实施新的应用程序软件包(或第三方应用)，最大的风险是?A、参数配置错误B、没有审计轨迹C、交易量过大D、交易敏感度高答案：A281.在发现未知恶意攻击时，以下哪一项安全测试技术最有效?A、沙箱B、渗透测试C、漏洞测试D、逆向工程虚拟小统程序答案：A282.当确定审计日志的数据保留期时，最基础的因素是什么A、计算机取证的原则B、审计标准C、风险控制D、法规要求答案：D283.某IS审计师已发现，员工们在通过电子邮件将敏感的公司信息发送到基于web的公共电子邮件域。对IS审计师而言，以下哪一项是建议的最佳补救措施？A、加密邮件帐户B、培训和意识C、活动监测D、数据丢失防护（DLP)答案：D284.A5-9实施以下哪一项可以最有效地防止未经授权访问Web服务器系统管理账户?A、在服务器上安装主机入侵检测软件B、密码到期和锁定策略C、密码复杂性规则D、双因素认证答案：D285.A5-95在对财务系统执行审计时，信息系统审计师怀疑发生了事故。信息系统审计师首先应该做什么?A、要求关闭系统以保留证据B、向管理层报告事故C、要求立即暂停可疑账户D、调查事故的来源和性质答案：B286.【重要题】公司将敏感数据处理外包给第三方云服务提供商。