2025年cisa国际注册信息系统审计师考前冲刺必会500题-含答案

PAGEPAGE1一、单选题1.A5-19信息系统审计师正在审查以前医院信息系统审计发现的问题。其中一个问题指出医院使用电子邮件来沟通敏感的患者问题。信息技术经理指出，为了解决此问题，医院已对所有电子邮件用户实施了数字签名。信息系统审计师的响应是什么?A、数字签名不足以保护机密性B、数字签名足够保护机密性C、信息系统审计师应收集有关特定实施情况的更多信息D、信息系统审计师应建议为安全电子邮件实施数字水印答案：A2.A4-108在数据中心审计期间,信息系统审计师发现磁带管理系统中的一些参数设置会绕过或忽略磁带头记录。以下哪项是对此漏洞最有效的补偿性控制?A、暂存和作业设置B、监督审查日志C、定期磁带备份D、异地存储磁带答案：A3.A1-92以下哪一项最能成功地识别业务应用程序系统中重叠的关键控制?A、审查附加到复杂业务流程的系统功能B、通过集成测试设施提交测试交易C、使用自动审计解决方案替代手动监控D、对控制进行测试以验证控制是否有效答案：C4.A3-50在实施应用程序软件包时，以下哪一项会带来最大的风险?A、不受控制的多个软件版本B、与目标代码不同步的源程序C、参数设置错误D、编程错误答案：C5.【重要题】代理服务商反馈通过瘦客服端下载数据，延迟比较大，应该进行以下那项措施?A、申请替换为胖客户端B、升级客户端硬件配置C、升级客户端程序以提供更详细的错误信息D、安装中间件用来增强客户端和系统的通信答案：D6.A4-172在灾难后恢复数据时,下列哪项指标最能说明备份和恢复程序的有效性?A、恢复组的成员能够进行工作B、达到恢复时间目标C、备份磁带库存已得到妥善维护D、备份磁带在备用站点中完全恢复答案：B7.执行备份的做法反映了哪一种类型的内部控制?A、预防B、检测C、改正性D、补偿答案：C8.A3-84以下哪个选项将能最有效地确保业务应用的离岸开发取得成功?A、执行严格的合同管理实务B、详细的并得到正确应用的规范C、了解文化和政策上的差异D、实施后审查答案：B9.A5-58下列哪项在减少社会工程事故方面最有效果?A、安全意识培训B、增加物理安全控制C、制定电子邮件监控政策D、设置入侵检测系统答案：A10.A1-69信息系统审计师获得充分恰当的审计证据的最重要的目的是：A、遵守法规要求B、为得出合理结论提供依据C、确保审计覆盖范围完整D、根据定义的范围执行审计答案：B11.【重要题】发生灾难时，什么是确保组织备份介质充分备份的最佳方案?A、定期在测试环境中恢复生产系统B、有计划的备份设备维护C、定期审查备份日志，以确保生产环境中的所有数据得到备份D、有计划的备份介质读取/写入测试答案：C12.在制定业务持续性计划(BCP)时，业务单位管理层参与以下哪项工作最重要?A、参与业务恢复程序的制定B、参与实施文档库C、参与业务影响分析D、参与IT风险评估答案：C13.A1-128在应用程序软件审查过程中，某信息系统审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是：A、在审查范围内包括审查数据库控制B、记录下来供日后审查C、与数据库管理员共同解决问题D、如实报告该漏洞答案：D14.一个公司宣称达到能力成熟度模型(CMM)的最高级，可以期望：A、持续的改进B、已使用IT平衡记分卡C、所有程序皆已经被遵循D、部分程序被遵循答案：A15.A3-93为了确保可以尽快识别内部应用程序接口错误，下列哪种测试方法最合适?A、自下而上测试B、社交性测试C、自上而下测试D、系统测试答案：C16.A3-146以下哪一项是新开发系统将在投产后被使用的最佳指标?A、回归测试B、用户验收测试C、社交性测试D、并行测试答案：B17..评估新开发的应用程序有效性的最佳方式是：A、执行实施前的审查。B、分析负载测试的结果，C、执行实施后的审查。D、审查验收测试的结果。答案：D18.一个做采购和分销业务的公司，计划采用集中网络数据库系统，最可能是基于什么因素考虑：A、增加数据冗余度B、消除数据库正规化限制C、保证数据库完整性D、便于数据统计答案：C19.A5-178下面哪一项能够最好地描述公钥基础设施中的目录服务器的作用?A、对通过网络传输的信息进行加密B、向应用程序提供其他用户的证书C、方便密码政策的实施D、存储证书撤销清单答案：B20.A4-194绕过正常变更流程的紧急变更在以下哪种情况下是最可以接受的?A、管理人员在变更发生后对变更进行审查和审批B、变更在发生时由同行进行审查C、变更由运营部门记录在变更控制系统中D、管理人员已预先批准所有紧急变更答案：A21.采用云服务的企业应注意什么A、第三方审计B、数据所有权问题C、确保云服务商满足企业的安全政策答案：B22.【重要题】为防止在共享打印机上打印的保密文档泄露，应该采用以下哪种方法?A、加密用户计算机和打印机之间的数据流B、文件标题页抬头标识密级C、要求授权用户在将文档发送到打印机之前提供密码D、在打印结果输出之前，要求先在打印机上输入密码答案：D23.A1-124信息系统审计章程的主要目的是：A、建立审计部门的组织结构B、阐述信息系统审计职能部门的报告责任C、详细说明审计职能部门所需的资源要求D、概述信息系统审计职能部门的职责和权限答案：D24.【重要题】一个有大量界面程序的应用，为了尽早能在前期发现界面程序的错误，应该采取哪种测试方法：A、社交测试B、自上而下C、自下而上D、逻辑路径监测答案：B25.IS审计师要评估预防性维护程序的有效性，最有帮助的是：A、维护日志B、维护计划C、停机时间记录D、供应商是否可靠答案：C26.A2-49技术变化的速度增加了以下哪项重要性?A、外包IT职能B、实施和强制执行合理的流程C、雇用合格人员D、满足用户要求答案：B27.银行的零售系统刚换了服务器，确保服务器能够在满意的响应时间得到响应的测试方法是：(也有考生回忆为：互联网要求很大交易量，最需要进行什么测试?)A、集成测试B、回归测试C、系统测试D、基准测试答案：D28.A5-92以下哪项控制能够最有效地检测入侵?A、通过授权的程序来授予用户I和用户权限B、工作站在特定时间段内不活动会自动退出登录C、在失败尝试达到指定次数后，系统自动退出登录D、由安全管理员监视未成功的登录答案：D29.A2-142某信息系统审计师正在审查风险管理流程。以下哪项是审查期间最重要的考虑事项?A、根据成本效益分析实施控制B、风险管理框架基于全球标准C、风险响应审批流程得到贯彻以D、业务术语说明IT风险答案：D30.一个有大量界面程序的应用，为了尽早能在前期发现界面程序的错误，应该采取哪种测试方法：A、社交测试B、自上而下C、自下而上D、逻辑路径监测答案：B31.哪一项能最有效地防止旧硬盘的数据泄露？A、重复写（覆写）B、物理破坏C、低级格式化D、消磁答案：B32.以下哪一项措施最能够确保输入到税款计算机程序中的固定税率的准确定？A、数据输入范围的程序化合理性检查B、用来防止无数数据输入的程序化编辑检查C、对输入的数据进行目视检查D、用户独立审核测试结果答案：A33.【重要题】对从数据仓库生成的商业报告的质量进行审查时，最应关注下面哪种情况?A、数据错误未经过IT人员一致审查B、数据质量报告无法提供对业务发展趋势的洞见C、数据质量报告每晚批量从数据仓库中生成导出。D、报告中的数据错误在数据仓库中已得到修正答案：A34.以下哪一项最能表明问题管理流程的有效性?A、立即将事故分配给工程师B、事故记录在集中式系统中C、重复事故的数量减少了D、可排除答案：C35.A4-62信息系统审计师在审查系统参数时，应该主要考虑：A、参数设置满足安全性和性能要求B、变更已记录到审计轨迹中并定期进行了审查C、变更经过授权，并取得了相应文档的支持D、限制对系统参数的访问答案：A36.信息系统审计师在在制定审计计划时，应首先执行以下哪一项活动?A、确定风险优先顺序B、审查以前的审计报告C、确定审计范围D、分配审计资源答案：A37.【重要题】企业打算外包其信息安全之能，其中哪项不能外包只能留在企业内?A、公司安全策略的责任B、制定公司安全策略C、实施公司安全策略D、制订安全推进和指导答案：A38..信息系统审计师在审查传输公开可用信息的系统接口，哪一项最令人担忧?A、什么界面跟踪程序(可排除)B、下载的数据与原系统数据不同C、数据未加密D、数据在传输时被截获答案：B39.在对最近部署的应用执行实施审查过程中，发现几个事故被分配了错误的优先级，并因此未能符合服务等级协议（SLA)的要求。以下哪一项最令人担心？A、支持模型未经高级管理层批准。B、SLA中规定的事故解决时间不现实。C、没有足够的资源来支持应用。D、未适当开发和实施支持模型。答案：D40.在数据库即服务的云环境下，组织应保留哪项权利和责任呢A、数据库的升级B、数据库的备份和恢复C、数据库的应用系统访问控制D、数据库的日常维护答案：C41.信息系统审计师发现数据库管理系统维护后未重新启动审计日志，以下哪一项是最大的问题?A、将不能记录数据库管理员所作的更改操作B、将不能优化数据库的触发器和指针C、将不能记录应用程序用户所作的更改操作D、将妨碍数据库优化答案：A42.某公司既执行完整数据库备份，也执行增量数据库备份。当数据中心遭破坏后，以下哪一项能够提供最佳的完全恢复？A、每周将完全备份移至一个异地地点B、每日将增量备份存放到一个异地地点C、将完全备份和增量备份放在一个安全的服务器机房D、每日将所有备份循环存放到异地地点答案：D43.使用数字签名的主要原因A、机密性B、完整性C、可用性D、实效性答案：B44.应用程序可以使用用户账号访问底层数据库，审计师最担心：(也有考生反馈题干描述为：底层用户可以直接访问数据库，哪项风险大?)(此题需进一步确认，请考生考试中特别留意)A、用户可以绕过应用程序访问数据库B、用户账户停用了，仍然可以访问C、应用程序审计记录不能包含全部信息D、底层数据库完整性被破坏答案：A45.在选择和部署使用面积识别软件的生物特诊识别系统前，必须完成以下哪一项A、图像干扰审查B、错误的验收测试C、隐私影响分析D、漏洞评估答案：C46.A3-40某组织实施了一个分布式会计系统，信息系统审计师正在进行实施后审查，以提供数据完整性控制的鉴证。该审计师应当首先执行以下哪一项?A、审查用户访问B、评估变更请求流程C、评估对账控制D、审查数据流程图答案：D47.【重要题】下列哪一项能够最有效地保护数据中心的信息资产不被供应商窃取A、监控并限制供应商的活动B、给供应商发放访问卡C、隐藏数据设备和信息标签D、限制使用便捷式和无线设备答案：A48.企业要参换当前的会计系统，上线新的系统，以下哪种方式最能保证数据完整性?A、平行实施B、应急回退计划C、试点实施D、功能集成测试答案：A49.网络遭受病毒风暴袭击，已经通知了事件响应团队，下一步应该如何处理?A、将事件记录下来B、集中精力将损害限制在有限范围内C、删除并修复受影响的系统D、检查受损系统的功能是否完好答案：B50.A5-115如果使用不当,以下哪项最有可能成为拒绝服务攻击的帮凶?A、路由器配置和规则B、内部网络设计C、路由器系统软件的更新D、审计测试和审查技术答案：A51.紧急情况下关闭电源的开关应该：A、受保护B、不在计算机机房中C、无识别标记D、会发亮答案：A52.A3-79某公司为采用一种客户直销的新方法而实施业务流程再造项目。对于新流程，信息系统审计师应最关注以下哪一项?A、是否存在保护资产和信息资源得到关键控制B、系统是否符合公司客户要求C、系统能够满足绩效目标D、新系统能否支持职责分离答案：A53.对预算有限的公司，解决内部职责分离问题的最合适的措施是：A、定期实施轮岗B、招募临时员工C、进行独立审计D、实施补偿性控制答案：D54.A5-191以下哪一项可能防止黑客攻击?A、入侵检测系统B、蜜罐系统C、入侵防御系统D、网络安全扫描程序答案：C55.A2-74以下哪一项是IT绩效衡量流程的主要目标?A、将错误减至最少B、收集绩效数据C、建立绩效基准D、优化绩效答案：D56.业务连续性和灾难恢复计划中的首要目的？A、保护人员的生命B、保护关键信息系统资产C、最小化组织的损失D、提供操作的连续性答案：A57.因为数据泄漏事件，公司开展审计，以下哪个审计结果最应该报告给管理层?A、员工对相关的安全政策没有意识和技能B、安全意识教育研讨会未完成C、桌面密码缺少特殊字符D、员工没有签署竞业协议答案：B58.【重要题】以下哪一项可以提供最佳证据表明云提供商变更管理流程的有效性?A、供应商提供的变更管理政策的副本B、供应商提供的第三方审查结果C、供应商EO和IO的书面保证D、与供应商定期进行变更管理会议的会议记录答案：B59.以下谁最适合对信息资产进行分类?A、数据所有者B、数据保管人C、信息安全经理D、高级经理答案：A60.为防止病毒引入网络。下列哪一项措施最有效？A、定期更新补丁B、在网络入口安装防毒墙C、每日开机之前扫描所有文件D、在服务器上安装病毒检测程序答案：B61.A3-39以下哪种风险可能是由软件项目的基准指标不充分引起的?A、签字延迟B、违反软件完整性C、范围偏离D、控制不充分答案：C62.A4-214某信息系统审计师正在审查某组织最新的灾难恢复计划。在确定该计划所需要的系统资源的可用性时，以下哪一项批准最重要?A、执行管理层B、IT管理人员C、董事会D、指导委员会答案：B63.A3-11某企业正在制定一项策略，已将其数据库软件升级到最新版本。信息系统审计师可以执行下列哪一项任务而不会对信息系统审计功能的客观性造成损害?A、对新数据库软件采用哪些应用程序控制提供建议B、为项目团队将来所需的许可费提供评估C、向项目经理建议如何提高迁移效率D、在执行验收测试之前，审查验收测试个案文档答案：D64.A2-25某信息系统审计师正在审查某组织的治理模型。以下哪项是审计师最应该关注的问题?A、高级管理层未对信息安全政策进行定期审查B、未制定旨在确保系统及时安装补丁的政策C、审计委员会未审查组织的使命宣言D、未制定与信息资产保护相关的组织政策答案：A65.A4-252授予应用程序数据访问权限是以下哪位的职责?A、数据保管员B、应用程序管理员C、数据所有者D、安全管理员答案：C66.当企业实施安全信息和事件管理（SIEM）系统时，建立了哪一种控制类型A、检测性B、改正性C、指导性D、预防性答案：A67.A2-92为了应对操作人员不执行日常备份所带来的风险，管理人员要求系统管理员签字认可日常备份。这是以下哪种风险处理方式的示例?A、规避B、转移C、缓解D、接受答案：C68.在信息系统开发方法中，以下哪一项应该被包括在内?A、风险管理技术B、事故管理技术C、访问控制规则D、增值活动分析答案：A69.A4-50某信息系统审计师正在审查数据库控制时发现，在正常工作时间内对数据库所做的变更是通过一套标准流程处理的。但是，在非正常工作时间，只须采取简单的几步便可进行变更。在这种情况下，可将以下哪项看作一套充分的补偿性措施?A、只允许使用数据库管理员()用户账户进行变更B、在授予了普通用户账户的访问权限之后再对数据库进行变更C、使用用户账户进行变更，对变更进行记录并在第二天查阅变更日志D、使用普通用户账户进行变更，对变更进行记录并在第二天查阅变更日志答案：C70.A4-34定期测试异地灾难恢复设施的主要目的是：A、保护数据库中数据的完整性B、不必制订详细的应急计划C、确保应急设施持续保持兼容性D、确保程序和系统文档保持最新答案：C71.【重要题】项目开发阶段，新增加了一个功能点，以下哪项影响最大?A、﹀未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A72.在制定新的风险管理计划时，一定要考虑以下哪种因素?(新题)A、风险偏好B、合规性措施C、风险缓解技术D、资源利用答案：A73.某外部单位向审计师索要审计报告，审计师应该怎么做?A、征得审计管理部门和被审单位同意后，提供审计报告B、征得审计管理部门同意后，提供审计报告C、征得被审单位同意后，提供审计报告D、直接提供审计报告答案：A74.【重要题】对于应用程序开发验收测试来说，以下哪项最重要?A、质量保证(Q)小组负责测试过程B、用户管理在启动测试之前会审批测试设计C、所有数据文件在转换之前均进行了有效信息测试D、编程小组参与测试过程答案：B75.【重要题】在跟踪审计过程中发现之前的审计报告，存在问题，首选需要报告给：A、业务管理部门B、审计项目经理C、项目经理D、高级管理层答案：B76.为使信息系统审计师更好地从发现和结论中做出判断，审计证据应符合以下哪些要求?A、采集、经过检查并且受到保护B、符合法律法规要求C、被认为是充分的、可靠的和相关的D、符合监管要求答案：C77.A4-74为某航空公司的订票系统设计业务连续性计划(BCP)时，最适用于异地数据转移/备份的方法是：A、影子文件处理B、电子远程磁带保存C、硬盘镜像D、热备援中心配置答案：A78.以下哪一项是实施分散式IT治理模型最主要的原因?A、实现标准化和规模经济B、实现各业务部门的统一性C、促进各业务部门之间的IT协作D、有利于对业务需求有更快的响应答案：D79.A5-146在公钥基础设施中,注册机构负责：A、验证证书申请对象所提供的信息B、在核实所需属性并生成密钥之后颁布认证C、对消息进行数字签名，以实现签名消息的不可否认性D、登记签名信息，以保证其日后不遭到否认答案：A80.A5-47终端设备发出的电磁辐射会造成风险，因为这些电磁辐射可能：A、损坏或擦除附近的存储介质B、干扰处理器某些功能的正常运行C、损害个人健康D、可被检测到并显示出来答案：D81.计算机房中安装了一套火警系统，火警控制面板的最有效放置是位于：A、距离UPS最近的机房中。B、系统管理员的办公室中。C、距服务器最近的机房中。D、大厦保安人员值班室。答案：D82.【重要题】以下哪项是上线准备前最有效的保障?A、已经实施了两遍桌面测试B、已经测试并批准了小范围的模拟测试C、成功地在处理周期完成了平行测试D、已成功执行回滚测试答案：C83.某组织实施了一个分布式会计系统，IS审计师正在进行实施后审查，以提供数据完整性控制的鉴证。该审计师应当首先执行以下哪一项？A、审查用户访问。B、评估变更请求流程。C、评估对账控制。D、审查数据流程图。答案：D84.银行的零售系统刚换了服务器，确保服务器能够在满意的响应时间得到响应的测试方法是（互联网要求很大交易量，最需要进行什么测试）A、集成测试B、回归测试C、系统测试D、基准测试答案：D85.以下哪项正确描述审计风险A、员工挪用了资金B、公司被无端指控C、财务报告可能未发现重大错误D、主要人员2年末休假答案：C86.事故管理流程中，哪个环节最重要?(2023年4月题干描述为：审计事故管理有效性中，审计师最担忧的()是无效的?)A、事故检测B、事故分类C、事故优先级排序D、事故事后审查答案：A87.【重要题】当审计资源有限时，以下哪一项是信息系统风险审计的最大担忧?A、进行风险评估可能减少可用于审计的时间B、某些业务流程可能未经审计C、管理层审计请求的响应可能会大大延迟D、审计时间表可能变得太可预测答案：B88.某项目在申请国际质量保证认证，哪一项可以证明达到了质量保证标准A、可衡量的流程B、组织的风险减小C、增强了法律和合规性D、质量保证文档答案：A89.高级管理层缺乏哪项决策会造成最大的数据泄露风险？A、没有对桌面电脑加密B、没有实施员工安全意识培训C、员工可以远程办公D、安全政策有一年没有进行更新答案：B90.以下哪一项是评估企业的安全意识充分性的最佳方法?A、观察员工在安全方面的行为B、确认安全意识计划的存在C、执行安全调查问卷D、就安全职责与员工进行访谈答案：A91.哪一项是审计师对于帮助企业提高资源效率的最佳建议?A、实时备份B、可排除C、硬件升级D、虚拟化答案：D92.IT审计师正在审查公司的事故管理流程，哪一项最让审计师担忧A、无效的事故分类B、无效的事故优先排序C、无效的事故检测D、无效的事故后审查答案：C93.一名IS审计师正在审查某组织的物理安全措施。对于门禁卡系统IS审计师最应关注的是：A、将未经定制的门禁卡发放给清洁人员，他们只使用签到单，不用出示身份证明。B、门禁卡未标识组织的名称和地址，不方便归还丢失的卡。C、门禁卡的发放以及权限管理由不同的部门执行，从而导致新卡从准备到正式投入使用产生不必要的延迟。D、对卡进行编程的计算机系统只能在系统故障发生的三周后予以替换。答案：A94.A5-140某信息系统审计师检查了一个无窗机房，机房中有电话交换机和联网设备以及文档夹。该机房配有两个手持灭火器———————一个是二氧化碳灭火器，另一个是卤径灭火器。下列哪一项应在信息系统审计师的报告中具有最高优先级?A、移走卤径灭火器，因为卤化物会对大气臭氧层产生负面影响B、在密闭机房中使用时，两种灭火器都有导致窒息的危险C、移走二氧化碳灭火器，因为二氧化碳对于固体可燃物(纸张)的灭火是无效的D、将文档夹从设备机房中移走，从而降低潜在风险答案：B95.ERP系统中的三项匹配机制，审计师应审查以下哪一项？A、银行方（记不清，可排除）B、交货通知C、采购订单D、采购申请单答案：C96.【重要题】以下哪一项能保护在电子邮件中信息的机密性?A、加密B、安全哈希算法1(SH-1)C、数字证书D、数字签名答案：A97.【重要题】下列哪一项能够更好地完善流程改良(优化)计划?A、基于模型的设计表示法B、项目管理方法论C、能力成熟度模型D、平衡记分卡答案：C98.定义一个标准程序，来对比源代码和目标代码的区别，属于：A、程序库的符合性测试B、程序库的实质性测试C、程序编辑器的符合性测试D、程序编辑器的实质性测试答案：B99.面向服务架构最可能A、危害应用程序软件安全性B、简化所有内部流程C、使合伙人之间更便利D、禁止与旧有系统之间集成答案：C100.内部审计部门最近建立了一个质量保证（QA）计划。质量保证计划要求包括以下哪一项最重要？A、从内部审计员工获得反馈B、分析各条业务线的用户满意度报告C、定期对计划进行外部评估D、对计划进行长期内部审计资源规划答案：A101.在EFT系统实施时，审计师最关注？A、项目是否满足了业务目标B、用户是否积极参与系统的获取过程C、系统供应商的资质D、通信线路的加密答案：A102.有道题说机房里，什么探测应该放在地板下面A、水探测B、烟感探测C、气压探测D、温度探测答案：A103.【重要题】高级审计师正在审查初级审计师的审计底稿，发现一个问题在被审计方已整改后被删除了。高级审计师下一步该：A、批准该审计底稿B、要求被审计方重新测试C、将该问题报告给审计经理或主管D、复原该审计发现答案：C104.在把关键系统迁移到云服务提供商的过程中，企业对数据安全性的最大顾虑是：A、在法律查询过程中可能要求来自不同客户的数据B、不同客户的数据应遵守的政府法规可能各不相同C、不同客户的数据可能受制于灾难恢复的不同服务水平协议(SL)D、不同客户的数据之间可能没有实施隔离答案：B105.A5-250信息系统审计师在审查一家组织的身份认证控制时最应关注的是：A、是否有用户账户在5次尝试失败后未被锁定B、员工是否可以在定义的时间范围内重复使用密码C、系统管理员是否使用共享登录凭证D、密码是否不会自动过期答案：C106.组织的大多数信息系统已经外包，以下哪项能最能保持业务连续性?A、外包商管理层B、信息技术管理层C、业务管理层D、信息安全管理层答案：C107.A1-44审查应用程序控制的信息系统审计师将评估：A、应用程序的效率是否满足业务流程B、任何已发现的风险敞口的影响C、应用程序所服务的业务流程D、应用程序的优化答案：A108.A3-54当应用程序开发人员想要使用前一天的生产交易文件副本来做容量测试时，信息系统审计师的主要担忧是：A、用户可能更愿意在测试时使用编造的数据B、可能导致敏感数据遭到未经授权的访问C、错误处理和可信度检查可能得不到全面验证D、未必能测试新程序的全部功能答案：B109.A3-127某信息系统审计组参与了将某自动化审计工具包集成到现有企业资源规划系统中的工作。由于ERP性能方面的问题，此审计工具包不允许上线。该信息系统审计师应给出的最佳建议是什么?A、检查所选的整合控制的实施B、请求获得额外的信息系统审计资源C、请求供应商的技术支持以解决性能问题D、在用户进行验收测试期间评估压力测试的结果答案：D110.A4-86在审查灾难恢复计划时，信息系统审计师最关注的是缺少：A、流程所有者的参与B、记录良好的测试程序C、备用处理设施D、记录良好的数据分类方案答案：A111.在应用程序软件审查过程中，某IS审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是：A、包括审查范围内的数据库控制。B、记录下来供日后审查。C、与数据库管理员共同解决问题。D、如实报告漏洞。答案：D112.在制定新的风险管理计划时，一定要考虑以下哪种因素？(新题)A、风险偏好B、合规性措施C、风险缓解技术D、资源利用答案：A113.A2-34许多组织都强制要求员工休假(度假)一周或更久，其目的在于：A、确保员工保持良好的生活质量，从而提高生产效率B、减少员工发生不当操作或非法操作的机会C、为另一名员工提供合适的交叉培训D、消除某位员工一次性休一天假而可能引起的中断答案：B114.审查公司IT战略与IT计划的一致性，信息系统审计师发现哪项最重要A、未分发业务战略会议纪要B、IT未参与业务战略的制定C、IT战略计划的文档不足D、根据业务制定的IT战略所导出的IT项目的成果物答案：B115.信息系统审计师认为LAN访问安全性令人满意，审计经理在复查此项工作时需要？A、验证既定审计计划的步骤是否都已经执行B、重新执行某些审计步骤，以验证工作质量。C、评估审计师是否具有执行此工作的相应技能。D、验证用户管理部门是否同意审计发现答案：A116.审查项目组合时，下列哪一项是管理层应考虑的最有用的指标？A、该组合的当前净值B、预期效益与总项目成本之比C、每个项目的总成本D、项目成本与总IT成本之比答案：B117.【重要题】在开发新的财务应用程序时，信息系统审计师首先应参与：A、控制设计。B、可行性研究。C、系统测试。D、应用程序设计答案：B118.【重要题】哪种控制在跨网络传输中有效检测数据意外损坏A、顺序检查B、对称加密C、奇偶校验D、校验(数字)位答案：D119.【重要题】在评估企业的漏洞扫描计划时，以下哪项是审计师的最大顾虑?A、漏洞扫描频率低于漏洞扫描计划要求B、结果没有报告给有权确保解决相关漏洞的人C、未记录针对已识别漏洞所采取的步骤D、结果没有得到高级管理层批准答案：B120.以下哪一项能保护在电子邮件中信息的机密性？A、加密B、安全哈希算法1(SHA-1)C、数字证书D、数字签名答案：A121.A5-153在传输模式中,使用封装安全负载协议要优于使用身份认证头协议，这是因为前者提供了：A、无连接完整性B、数据源身份认证C、反重传认证D、机密性答案：D122.A5-152在电子邮件的软件应用程序中，已验证的数字签名可以：A、帮助检测垃圾邮件B、保证机密性C、增加网关服务器的工作量D、明显减少可用带宽答案：A123..以下哪一项是用于预估开发大型业务应用程序复杂性的最佳方法?A、功能点分析B、关键路径分析C、工作分解结构D、软件成本估算答案：A124.A2-33某业务单位已选用新的会计应用，但并未选择流程中提前咨询IT部门。主要风险是：A、该应用的安全控制可能不符合要求B、该应用可能不符合业务用户的需求C、该应用的技术可能与企业架构不一致D、该应用可能给IT部门带来不可预见的支持问题答案：C125.A4-216在进行客户关系管理系统应用审计时，信息系统审计师发现，相比其他时段，用户在高峰工作时段登录系统需要很长时间。登录后，系统的平均响应时间在可接受的范围之内。该信息系统审计师应当建议以下哪一个选项?A、不应采取任何措施，因为系统符合当前的业务需求B、IT部门应当增加网络宽带，以提高性能C、应当向用户提供详细的手册，以便正确使用系统D、为验证服务器制定性能衡量标准答案：D126.对互联网防火墙固有滑源的有效攻击是什么?A、网络钓鱼B、大量数据(os)攻击网站C、拦截数据包并破获密码D、针对加密密码的字典攻击答案：A127.为了减少日志服务器不堪收集错误攻击日志的压力，以下最佳建议是A、微调IDS的规则设置B、调整防火墙的访问控制规则C、更换日志服务器D、调整网络架构答案：A128.A5-60为确保输入的密码符合由字母和数字组成这一安全政策要求，信息系统审计师应建议：A、更改公司政策B、定期更新密码C、使用自动化密码管理工具D、进行安全意识培训答案：C129.存在欺诈嫌疑的员工被辞退/离职，信息安全人员最重要的应该做的是什么?A、禁止该员工的系统访问权限B、审查之前该员工批准的交易C、人员陪同下离开工作场所D、给员工电脑做备份答案：A130.企业把开发环境和测试环境分开的主要原因是什么？A、可以排除B、在IT人员和最终用户之间实现职责分离。C、使测试人员可以在稳定的环境下进行测试。D、保护开发中的程序不受未经授权的测试。答案：C131.以下哪项应该包含在审计章程中?(公司的审计章程因该A、定义审计师访的信息访问权限B、详述审计目标C、包括信息系统审计计划D、提出企业的IT战略答案：A132.A5-129某信息系统审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最重要?A、紧急断电按钮盖不见了B、未执行预定的灭火系统日常维护C、数据中心没有安全摄像头D、紧急出口被阻塞答案：D133.A4-32一位信息系统审计师需要审查可将软件应用程序的状态恢复到更新前状态的流程。因此，该审计师需要评估：A、问题管理流程B、软件开发流程C、逆向恢复流程D、事故管理流程答案：C134.A2-116审查组织的IT战略计划时,信息系统审计师预期应该发现：A、评估组织的应用程序组合与业务目标的匹配程度B、降低硬件采购成本的措施C、已批准的IT合同资源的供应商列表D、该组织网络边界安全的技术体系架构说明答案：A135.A3-101系统开发项目完成后,项目实施后审查工作中应该囊括以下哪一项?A、评估可能在产品发布之后导致停机的风险B、总结可应用到未来项目中的经验教训C、检验所交付系统中的控制是否正常运转D、确保已删除测试数据答案：B136.A1-136以下哪个选项是与IT人员相关的预防性控制的示例?A、站在服务器机房门口的保安人员B、入侵检测系统C、对IT设施实施证章门禁系统D、服务器机房的灭火系统答案：C137.A4-250一名信息系统审计师正在用审计软件审查每月应付账款交易登记。审计师为何有兴趣使用校验数字位?A、为了检测数据转位错误B、为了确保交易不超过预定数额C、为了确保输入的数据在合理的限制之内D、为了确保输入的数据在预定的价值范围之内答案：A138.A5-262降低垃圾搜寻风险的最佳方式是：A、提供安全意识培训B、在复印室放置碎纸箱C、制定介质处置政策D、在单独的办公室放置碎纸机答案：A139.A5-121在审查对应用程序的逻辑访问时，以下哪项发现最令信息系统审计师关注?A、有些开发人员拥有更新生产数据的访问权限B、储存应用程序I密码的文件在生产代码中采用明文形式C、变更控制团队指导应用程序I密码D、应用程序没有强制要求使用强密码答案：B140.软件使用可持续时间应在哪个阶段确定?A、设计阶段B、用户测试之后C、提供给运维之前D、实施后答案：A141.在对应用程序进行实施后审查时，以下哪一项应测试的主要聚焦必刷?A、确保将企业标准用作实施过程的一部分B、确保已完成系统和集成测试，并取得系统所有者的签字确认C、确保验收测试符合利益相关者的同意和认可，并落实到实施计划D、确保应用程序在生产环境中处于活动状态，并且可以从最终用户设备访问到答案：A142.在制定业务连续性计划（BCP）方面，以下哪一个利益方最重要？A、流程所有者B、应用所有者C、董事会D、IT管理层答案：A143.邮件要求保密机制的那个题，我想起来选项了，说最担心以下哪种A、公钥基础架构B、签名C、对称密钥D、非对称密钥答案：B144.审计经理在复核审计报告时发现，因审计师的疏忽，一个关键证据被遗漏了，这很可能影响审计结论。这种疏忽属于什么风险?A、控制风险B、审计风险C、管理风险D、剩余风险答案：B145.企业实施隐私政策是出于什么目的?A、为个人提供数据处理的选择B、符合法律法规的要求C、防止机密数据的丢失D、识别传输中的数据以进行数据加密答案：B146.哪项是数字签名的特征A、受接收方控制B、在数据变更后经过认证C、对消息而言是唯一的D、有可再生的哈希算法计师应该答案：C147.在发生事故时，以下哪一项最有利于法律程序?A、根本原因分析(类似的描述，可排除)B、执行电子取证的权利C、法律顾问的建议D、保持保管链答案：D148.有关CCTV的事项哪个是信息系统审计师最关注的A、没有定期分析CCTVB、CCTV录像不连续，没有全天候的CCTVC、CCTV保存一年就删了D、会议室没有安装CCTV答案：B149.信息系统审计师在进行取证分析时，首先要确保证据：A、未经篡改B、是相关的C、是充分的D、是有用的答案：A150.防止同时使用软件许可的最佳措施?A、用户自律B、供应商实施突击审计C、系统管理员实施监控D、计量软件答案：D151.多个部门未在商定日期内完成审计建议，以下哪一方应该负责并跟进这件事A、高级管理层B、审计师C、部门经理D、审计部门负责人答案：A152.因业务激增，某公司采购了大型主机系统，信息系统审计师应当主要考虑下面哪一个因素?A、RP是否评估和更新B、采购是否超过预算C、投标是否经过评估D、应用程序访问控制是否充分答案：D153.对于执行重大系统升级的实施后分析，以下哪一项应该是信息系统审计师的最大担忧A、开发小组将变更部署到生产环境中B、开发人员可以访问测试环境C、变更批准未被正式记录D、开发小组可以访问对象代码答案：A154.A3-78在在线交易处理系统中，维护数据完整性的方法是确保交易被完全执行，或完全未被执行。这一数据完整性原则指：A、隔离性B、一致性C、原子性D、持久性答案：C155.某卫生保健组织的IS审计师正在检讨考虑由其托管患者健康信息（PHI)的第三方云提供商的合同条款和条件。以下哪一项合同条款将成为客户组织面临的最大风险？A、数据所有权归属客户组织。B、第三方保留访问数据以执行某些操作的权利。C、未定义批量数据撤回机制。D、客户组织负责备份、归档和恢复。答案：B156.在审计生命周期的哪个阶段适合与客户讨论初步审计意见？A、执行阶段B、报告阶段C、规划阶段D、跟踪阶段答案：B157.A3-71以下哪种测试能够确定新系统或修改后的系统能够在其目标环境中运行，并且不会对其他现有系统产生不利影响?A、并行测试B、试点测试C、接口/集成测试D、社交性测试答案：D158.A4-241以下哪个选项最有助于检查数据处理中的错误?A、程序化的编辑检查B、设计优良的数据录入筛选C、职责分离D、散列总计答案：D159.系统采用帐单每周自动传输到企业帐户总帐，经检查发现缺少一周的帐单，应检查A、模块访问权限B、批处理控制C、变更D、年度对帐答案：B160.审计第三方供应商的关键绩效指标KPI时，审计师最大的担忧是?A、KPI没有文档记录B、KPI指标没有明确定义C、KPI从未更新D、KPI数据没有加以分析答案：B161.A3-113通常情况下,在项目启动阶段，下面哪一利益相关者必须参与?A、系统所有者B、系统用户C、系统设计者D、系统构建者答案：A162.A4-43以下哪项表示两家公司之间签订的灾难恢复互惠协议所带来的最大风险?A、开发系统可能导致硬件和软件不兼容B、必要时资源不可用C、无法现场测试恢复计划D、这两家公司的安全基础架构可能不同答案：A163.A4-35一家大型连锁店在销售终端设备上安装了电子资金转账系统，并且配备了一个用于连接到银行网络的中央通信处理器。对于该通信处理器，以下哪种灾难恢复计划是最佳方案?A、异地存储日常备份数据B、现场安装备用处理器C、安装双工通信线路D、在其他网络节点安装备用处理器答案：D164.防火墙配置开启哪个协议最不安全A、SMTPB、SNMPC、FTPD、XML答案：C165.公司请外部审计，对外部信息系统审计师的访问权限应由以下哪项文件予以说明和授予A、审计章程B、经批准的工作说明C、给所有相关方的内部备忘录D、有关审计工作开展的需求请求书答案：A166.有员工把系统管理员密码发在了社交网站上，最先应该怎么做：A、修改密码B、关闭系统C、走法律程序D、上报监管答案：A167.A5-232某组织已建立了一个用于访客访问的访客网络。以下哪项是信息系统审计师最应该关注的问题?A、不向访问用户登录屏幕B、访客网络未与生产网络分离开来C、已登录的访问用户未相互隔离开来D、采用单因素身份认证技术来授予访问权限答案：B168.A5-166如果某个小型组织的应用程序编程人员有权将程序移入生产环境，应实施以下哪项控制来降低内部欺诈风险?A、实施后功能测试B、登记和审查变更C、验证用户要求D、用户验收测试答案：B169.根据以下哪一项能最能有效地确定数据分类类别？A、对个人身份数据不同的安全要求B、根据业务功能的关键性C、高级管理层处理的交易D、因丢失或泄漏数据对企业造成的影响答案：D170.A2-119将安全方案作为安全治理框架的一部分实施的主要好处在于：A、使IT活动与IS审计建议保持一致B、实施安全风险管理C、实施首席信息安全官的建议D、降低IT风险的成本答案：B171.A1-120为何即使信息系统审计师有多年工作经验，审计经理也要审查该工作人员的审计报告?A、内部质量要求B、审计准则C、审计方法D、专业标准答案：D172..以下哪一项管理层决策会带来与数据泄漏相关的最大风险?A、安全政策在过去一年没有更新B、允许员工可以远程工作C、不为员工提供安全意识培训D、不要求对桌面电脑进行加密答案：C173.A1-106信息系统审计师使用计算机辅助审计技术(CAAT)收集并分析数据。使用CAAT对以下哪项证据的影响最大?A、实用性B、可靠性C、关联性D、充分性答案：B174.A5-66在计划黑箱渗透测试时，最重要的成功因素是：A、对测试程序做好计划B、真实评估环境架构以确定范围C、让客户组织的管理人员了解D、安排并确定测试的时长答案：C175.A2-137企业希望从一个高度成熟的云服务商那里获得云托管服务。审计师想要确保与安全要求持续保持一致，以下哪一项最重要?A、供应商提供最新的第三方审计报告以供验证B、供应商提供最新的内部审计报告以供验证C、供应商同意实施与企业保持一致的控制D、供应商在合同中同意提供年度外部审计报告答案：D176.若要开发一个应用于整个公司的系统，最适合总体负责该项目的角色是：A、IS主管B、项目经理C、企业高管D、业务分析员答案：C177.实施以下哪一种方案能够最好地解决有关IT系统老化的问题?A、应用程序组合管理B、新版本发布管理C、配置管理D、IT项目管理答案：B178.A5-204在计算机机房中,活动地板最能够预防以下哪种情况的发生?A、计算机和服务器周围电线的损坏B、静电现象导致停电C、地震产生的冲击D、水灾的侵害答案：A179.A4-236在制订业务连续性计划时，应该使用下列哪种工具来了解组织的业务流程?A、业务连续性自我审计B、资源恢复分析C、风险评估D、差距分析答案：C180.评估IT实际使用资源使用和计划资源分配的一致性的技术是什么？A、挣得值分析EVAB、投资回报分析ROIC、甘特图D、关键路径分析CPA答案：A181.IS审计师最有可能在什么地方看到应用哈希函数?A、身份认证B、标识C、授权D、加密答案：A182.审计委员会已经完成审计日程表，审计师团队已经对项目进行部分审计，执行层提出对新项目进行审计，审计师团队没有足够的资源进行额外审计，可选择方式进行：A、申请修改审计日程B、拒绝C、申请把当前审计计划安排到下一期开展D、批准加班，把工作完成答案：A183.固有风险评级通过对威胁或漏洞的影响及可能性评估，威胁或漏洞发生A、考虑采取内部控制措施之前B、考虑内部控制措施之后C、应用了补偿控制措施后D、确立风险偏好之前答案：A184.A4-219某信息系统审计师正在审计某IT灾难恢复计划。该信息系统审计师应当主要确保该计划涵盖：A、恢复能力强的IT基础设施B、备用站点信息C、记录在案的灾难恢复测试结果D、业务功能的分析与优先级分配答案：D185.质量保证团队正在测试新的电子票务应用程序，以下哪一项是最大的问题?A、项目经理希望推迟几天实施B、管理电子票务应用程序的用户管理流程还没完成设计C、税表不会上传到生产数据库中D、没有明确定义执行测试的用户验收标准答案：D186.【重要题】信息系统审计师发现，为了提高性能将WEB应用程序的验证控制机制从服务器下迁至客户端，那么遭受以下哪一项攻击的风险最可能增加?A、暴力攻击(还是钓鱼攻击，忘记了)B、SQL注入C、拒绝服务攻击D、缓冲区溢出答案：B187.营销部门的三个员工使用共享账户维护公司社交媒体的新闻信息的发布，这一过程存在什么问题？A、发布未经审批的信息B、并发登录导致更新发生冲突C、账户被别人修改后无法登录D、无法实现对信息更新的问责制答案：D188.以下哪一项是有助于确保公司存储的隐私相关数据安全的最佳方式?A、发布数据分类方案B、通知数据所有者收集信息的目的C、加密个人身份信息D、将隐私相关数据归类为机密信息答案：D189.在信息安全审计时，信息系统审计师得知由外部咨询顾问执行了一项安全审查，对审计师来说，下面哪项是最重要的?A、审查咨询顾问提交的类似报告B、重新执行安全审查C、评定咨询顾问的客观性和胜任能力D、接受咨询顾问的发现和结论答案：C190.企业建立了开发、测试及生产三种IT处理环境。将开发环境和测试环境分开的主要原因是：A、将用户的访问权限限制在测试环境以内B、在IT人员和最终用户之间实现职责分离C、在稳定的环境下进行测试D、保护开发中的程序不受未经授权的测试答案：C191.A5-28在审查入侵检测日志时，信息系统审计师发现了一些来自互联网的通信，其IP地址显示为公司工资服务器。以下哪项恶意活动更可能导致这类结果?A、拒绝服务攻击B、冒充C、端口扫描D、中间人攻击答案：B192.A5-98在通信系统的审计期间,信息系统审计师发现传送至/来自远程站点的数据被截获的风险非常高。降低此风险最有效的控制为：A、加密B、回叫调制解调器C、消息验证D、专用租用线路答案：A193.审计自动生成的数据分析报告时，哪一项最值得关注？A、报告中指出的数据错误，在数据仓库中已整改完成B、报告结论未能得到相关负责人认可C、报告指出了一个具体的错误，不是很严重。答案：B194.A1-100某外部信息系统审计师发现审计范围内的系统是由某个同事实施的。在这种情况下，IS审计管理人员应：A、让这位信息系统审计师退出审计项目B、取消审计项目C、向客户披露这一问题D、采取措施恢复这位信息系统审计师的独立性答案：C195.能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是：A、使用软件来约束授权用户的访问B、将每次访问记入个人信息(即：作日志)C、对敏感的交易事务使用单独的密码/口令D、限制只有营业时间内才允许系统访问答案：A196.【重要题】有关CCTV的事项哪个是信息系统审计师最关注的?A、没有定期分析TVB、TV录像不连续，没有全天候的TVC、TV保存一年就删了D、会议室没有安装TV答案：B197.A4-73以下哪项连续性计划测试可模拟系统崩溃并使用实际资源，以便经济高效地获取有关计划有效性的证据?A、纸上测试B、事后测试C、准备情况测试D、浏览审查答案：C198.A3-102某信息系统审计师受邀参加一个关键项目的启动会议。该信息系统审计师的主要关注点应该是：A、是否已分析项目的复杂性和风险B、是否已确定整个项目所需的资源C、是否已确定技术交付成果D、是否已制定好外部各方参与项目所需的合同答案：A199.信息系统审计师在审查桌面软件配置文件时注意到，一个用户已下载并安装了公司不批准的游戏。以下哪一项是这一状况可能产生的最大风险？A、潜在的恶意软件B、未遵守可接受使用政策C、与公司软件的互操作性问题D、违反用户的隐私答案：A200.A5-154为了适应组织内部不断增多的移动设备，信息系统管理部门最近用无线基础架构替换了现有的有限局域网。这将增加以下哪种攻击风险?A、)端口扫描B、后门C、中间人攻击D、战争驾驶答案：D201.A1-89如果在审计程序的初始阶段没有建立审计目标，那么以下哪一项最令人担忧?A、未能正确识别关键利益相关方B、控制成本将超出计划的预算C、重要业务风险可能被忽视D、以前审计过的领域可能被无意识中包括在内答案：C202.IT指导委员会负责应对以下哪一项负责A、把实施安全性与业务目标集成在一起B、评估和报告战略一致性程度C、审查并协助IT策略整合工作D、制定IT安全策略答案：C203.以下哪一项是实施分散式IT治理模型的原因?A、各业务部门的统一性B、标准化控制和规模经济C、对业务需求有更快的响应D、各业务部门之间的IT协作答案：C204.A2-58某组织正考虑给出大笔投资进行技术升级。以下哪一项是需要考虑的最重要因素?A、成本分析B、当前技术的安全风险C、与现有系统的兼容性D、风险分析答案：D205.IT治理的最主要目的是?A、价值实现B、绩效衡量C、战略规划D、资源分配与管理答案：A206.A4-33以下哪项是审查服务台业务期间主要关注的问题?A、服务台团队无法解答某些服务呼叫中心提出的问题B、未能为服务台团队指定专用线路C、事故解决后未洽询最终用户即结案D、服务台无法发送即时服务消息已超过6个月答案：C207.A5-120某信息系统审计师在执行审计时确定，开发人员已被授予虚拟机管理控制台的管理员访问权限，以管理其自己用于软件开发和测试的服务器。对该信息系统审计师而言，以下哪一项最值得关注?A、开发人员具备创建或撤销服务器的能力B、开发人员已获得访问生产服务器的高级权限C、开发人员可用其应用影响生产服务器的性能D、开发人员可将未经批准的应用安装到任何服务器上答案：A208.以下那个指标最适合的衡量数据恢复策略：A、RPOB、RTOC、SDOD、最大中断窗口答案：A209.对在线系统实施BCP计划中下列哪一项最重要？A、供应商的网络安全B、单一故障点C、供应商的解决问题的能力D、供应商的财务稳定性答案：B210.一块有缺陷的硬盘需要返回厂家进行维修，以下哪项是最好的处理方式A、消磁B、覆写C、删除D、格式化答案：D211.某IS审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最?A、紧急断电按钮盖不见了。B、未执行预定的灭火系统日常维护。C、数据中心没有安全摄像头。D、紧急出口门被阻塞。答案：D212.【重要题】审计师在设计阶段应该评估?A、开发方法B、应用功能C、兼容性D、是否有自动控制答案：D213.引用其他审计师的工作报告时，信息系统审计师应做到：A、考虑该工作报告的适当性和充足性B、忘记了（可排除）C、较少依赖其他审计师的工作成果D、考虑该工作报告的时效性答案：A214.下面哪一项是最佳的数据完整性检查？A、将数据追溯至源点B、计算每天处理的交易量C、准备和运行测试数据D、执行连续性检查答案：A215.A4-75下列哪一项是确定生产环境中各应用系统重要性的最佳方法?A、会见应用程序编程人员B、执行差距分析C、审查最近的应用程序审计工作D、执行业务影响分析答案：D216.高管层获得与IT有关的成本和性能指标的最可靠信息来源是什么?A、风险登记表B、IT管理仪表板C、持续的审计报告D、IT服务管理计划答案：B217.以下哪项是紧急修补程序的最大风险：A、变更前没有书面审批B、利用临时管理员账号进行修补C、没有进行风险评估D、没有经过测试答案：C218.某IS审计师在审查网络日志时发现，某员工通过调用任务计划程序启动受限的应用，在其PC机上运行了高级命令。这是哪类攻击的示例？A、竞态条件B、特权升级C、缓冲溢出D、模拟答案：B219.企业购置了新的大容量存储设备，将目前使用的替换下来，并且替换下来的用做恢复站点的存储设备，以下审计师最担心的是?A、未更新BCP和DRPB、恢复站点的存储能力能否足够C、新设备和替换设备是否签订维护合同D、采购是否符合企业的策略和规定答案：B220.【重要题】什么是制定战略过程中面临的最大风险?A、可排除B、IT战略的制定基于以前的执行情况C、IT战略在业务战略和计划之前制定D、IT战略未包含信息安全答案：C221.A4-26信息系统审计师在评估可用性网络的恢复力时，最应该关注：A、是否在地理上分散安装网络B、服务器汇集在同一站点中C、热备援中心是否已准备好运行D、该网络是否实施了多路由选择功能答案：B222.【重要题】在审查DRP时，最需要注意的事项是哪个?A、没有规定宣布灾难的职责B、IO没有批准与签署RP计划C、没有将RP文件备份储存在异地安全的地方D、RP恢复步骤不详细答案：A223.以下哪项测试能最快确定Web应用程序的接口错误A、回归测试B、UAT测试C、单元测试D、集成测试E、自动测试答案：D224.为帮助确保在新服务中实施相关的数据保护控制，信息系统审计师的最佳建议是什么?A、映射公司的业务流程以识别个人身份信息(PI)B、任命计划经理来监督隐私计划的改进C、在解决方案开发生命周期内包括隐私检查D、对照行业最佳实践对软件和开发生命周期进行基准分析答案：C225.信息系统审计师正在分析应用程序的系统日志中记录的访问采样。如果发现异常，就会启动深入调查，适合使用哪种抽样方法呢?A、发现抽样B、判定抽样C、变量抽样D、分层抽样答案：A226.A5-278要求组织内所有计算机时钟均同步的主要原因是为了：A、防止交易遗漏或重复B、确保数据从客户计算机平稳转移到服务器C、确保电子邮件消息有精准的时间戳D、支持事故调查过程答案：D227.以下哪项最能确保信息资产的机密性？A、按照“按需分配”的访问控制原则B、采用双因素身份认证控制C、人员安全意识培训D、为所有用户配置只读权限答案：A228.A3-133对业务流程自动化项目进行实施后审查的主要目标是：A、确保项目满足预期的业务要求B、评估控制的充分性C、确认符合技术标准D、确认符合法规要求答案：A229.对于应用程序开发验收测试来说，以下哪项最重要?A、质量保证OA小组负责测试过程B、用户管理在启动测试之前会审批测试设计C、所有数据文件在转换之前均进行了有效信息测试D、编程小组参与测试过程答案：B230.以下哪一项能够最有效地发现某个员工向网络中加载了非法软件包?A、定期扫描硬盘B、网络驱动器中的活动日志C、维护当前的防病毒软件D、采用无盘工作站答案：A231.审查公司IT战略与IT计划的一致性，信息系统审计师发现哪项最重要A、未分发业务战略会议纪要B、IT未参与业务战略的制定C、IT战略计划的文档不足D、根据业务制定的IT战略所导出的IT项目的成果物答案：B232.审计师作为开发小组成员，该小组正在采购软件。以下哪一项有损该审计独立性?A、鉴证供应商选择流程B、批准供应商选择方法C、验证每项选择标准的权重D、可排除答案：B233.信息系统审计师发现，关键系统的备份未按照BCP中建立的RPO执行。审计师下一步应该？A、扩大审计范围B、确定根本原因C、将观察结果包含在报告中D、要求立即执行备份答案：B234.数据匿名化可以防止大数据环境中哪类攻击？A、相关性correlationB、拒绝服务DDOSC、中间人攻击D、欺骗答案：A235.信息系统审计师使用端口扫描软件来：A、建立通讯连接B、检测入侵行为C、检测开放服务D、确保所有端口在使用中答案：C236.A2-87在确定信息资产的适当保护等级时，信息系统审计师应当主要关注以下哪一个因素?A、风险评估的结果B、业务的相对价值C、漏洞评估的结果D、安全控制的成本答案：A237.在后续审计中，被审计方提出，审计问题应采取的纠正措施需要比预期更长的时间，审计师应该A、要求在商定的期限内完成整改B、将此问题向高级管理层汇报C、停止审计工作并推迟跟踪审计D、确认是否有补偿性控制的临时措施答案：D238.以下哪项机制可以确保及时向高级管理层汇报IT运行问题？A、escalation(问题升级流程)B、服务水平监控C、定期状态报告D、平衡积分卡答案：A239.由于持续的数据质量问题，信息系统审计师正在审查公司的销售和采购系统。对以下哪一项进行分析能提供最有用的信息帮助确定相应收入损失?A、问题数量与平均停机时间的相互关系B、数据获取成本与销售收入损失的对比C、在系统内实施数据有效性验证控制的成本D、数据错误与交易价值损失的相互关系答案：D240.对于确定项目可行性而言，以下哪一项最重要？A、IT指导委员会已批准项目。B、被批准的业务案例中分析了项目价值。C、项目管理方法已经制定。D、公司的主要竞争对手展开了一个类似项目。答案：B241.流程所有权分配在系统开发项目中至关重要，是因为A、利于跟踪开发完成的百分比B、优化用户验收案例的设计成本C、最大限度缩小需求与功能之间的差距D、确保系统设计基于业务需求答案：D242.下列哪一种灭火系统需要与自动开关组合，才能在警报激活时切断电源？A、二氧化碳B、七氟丙烷C、灭火卤化物D、干管灭火答案：D243.一家小公司要购买服务器用于订单处理系统，但无法预计交易量，以下哪一项是公司最关注的？A、系统的可扩展性B、系统的配置参数C、系统优化D、系统的兼容性答案：A244.以下哪一项最能实时检测到DDoS攻击？A、自动监控日志B、服务器崩溃C、渗透测试D、可排除答案：A245.A4-175信息系统审计师发现某企业对一些废弃的硬盘驱动器未使用能合理确保数据无法恢复的方式进行清理。另外，该企业没有关于数据处理的书面政策。该信息系统审计师应该首先：A、起草一份审计结果，并与主管审计师讨论B、判断硬盘驱动器上信息的敏感性C、与IT经理讨论有关数据废弃的良好实践D、为该企业制定相应的数据废弃政策答案：B246.信息系统审计师发现安全运营团队在与员工的通信中包含了最近攻击的详细报告。以下哪一项是这一情况的最大担忧?A、员工可能会滥用或传播报告中的信息B、没有采用书面化的方式来传达报告C、没有技术专业背景的员工不理解该报告D、员工可能未能了解威胁的严重性答案：A247.下列哪一项能够最有效地防止病毒进入局域网中A、禁止访问互联网B、定期扫描硬盘C、禁用下载D、在网络服务器上安装病毒扫描程序答案：D248.A5-68执行计算机取证调查时，对于收集到的数据，信息系统审计师最应关注的是：A、证据的分析B、证据的评估C、证据的保存D、证据的泄露答案：C249.A1-24在信息系统审计期间，所收集数据的范围应根据以下哪个选项确定?A、关键和必需的信息的可用性B、审计师对环境的熟悉程度C、受审方查找相关证据的能力D、正在执行的审计的目的和范围答案：D250.A1-3某信息系统审计师正在针对包含新系统的环境制订一项审计计划。组织的管理层级希望该信息系统审计师着重关注最新实施的系统。该信息系统审计师应如何去做?A、按管理层的要求审计新系统B、审计去年审计范围以外的系统C、确定风险最高的系统，然后相应地制定计划D、审计去年审计范围以外的系统和新系统答案：C251.A1-9对于一家交易量巨大的零售企业来说，下面哪项最适合应对新出现的风险的审计技术?A、使用计算机辅助审计技术B、季度风险评估C、交易日志抽样D、持续性审计答案：D252.A4-59某信息系统审计师正在数据中心执行审计，这时火警报警器突然响起。由于审计范围包括灾难恢复，所以该审计师开始观察数据中心员工对警报的响应情况。此时对于数据中心的员工来说，以下哪项措施最重要?A、向当地消防部门通报火警情况B、准备启动消防系统C、确保数据中心的所有人员均撤离现场D、从数据中心转移所有备份数据答案：C253.A2-101审计电子资金转账系统时，信息系统审计师是最应该关注以下哪种用户配置文件?A、能够获取并验证他们自己信息的3个用户B、能够获取并发送他们自己信息的5个用户C、能够验证其他用户并发送他们自己信息的5个用户D、能够获取并验证其他用户的信息，并发送他们自己信息的3个用户答案：A254.以下哪种报告最能够有效分析系统的性能？A、控制台日志B、同步报告C、数据库使用日志D、使用情况报告答案：D255.A1-54在电子数据交换()环境中，以下哪一项的潜在风险最大?A、缺乏交易授权B、EI传输丢失或重复C、传输延迟在建立应用控制前后D、删除或修改交易答案：A256.A1-57检验磁带库存记录是否准确的实质性测试是指：A、确定是否安装了条形码读取器B、确定磁带的调动是否经过授权C、对磁带库存进行盘点D、检查磁带的收发情况是否已准确记录答案：C257.在灾难恢复审计过程中，某信息系统审计师发现没有进行业务影响分析，审计师需首先开展哪项工作？A、执行额外的符合性测试B、评估对当前灾难恢复能力的影响C、执行业务影响分析D、向管理层提交报告答案：B258.信息系统审计师正在审查公司的事故管理流程和步要。以下哪一项观测结果应该是审计师的最大顾虑是以下哪个无效?A、事故分类。B、事故后审查C、事故优先排序D、事故检测答案：D259.A1-55在信息系统审计的计划阶段，信息系统审计师的主要目标是：A、达到审计目标B、收集足够的证据C、指定适当的测试D、尽可能少使用审计资源答案：A260.信息系统审计师发现，有长达6个多月时间末在关键服务器上安装要求的安全补丁程序。下一个行动步骤应该是：A、审查补丁管理程序。B、将审计发现通知高级管理层。C、请求尽快安装补丁程序。D、确定延迟安装补丁的根本原因。答案：D261.以下哪一种是检测型控制?A、输入格式验证B、进行恢复程序C、密码控制D、散列验证答案：D262.某IS审计师正在为公司审査安全事故管理程序。以下哪一项是最重要的考虑因素?A、电子证据监管链B、系统违规通知程序C、向外部机构的升级程序D、丢失数据恢复程序答案：A263.银行的自动柜员机（ATM）是一种专门用于销售点的终端，它可以：A、必须包括高层的逻辑和物理安全B、一般放置在入口稠密的场所以威慑盗窃与破坏C、只能用于支付现金和存款服务D、利用保护的通讯线进行数据传输答案：A264.数字签名最可能阻止A、末授权更改B、抵赖行为C、泄露D、数据损坏答案：B265.下列哪一项可用于评估IT运营效率?A、总体拥有成本B、平衡记分卡C、净现值D、内部收益率答案：B266.公司采购项目，以下哪项是信息系统委员会的职责?A、项目计划B、实施项目质量管理制度C、风险管理D、问题管理答案：C267.A3-138以下哪项能够最好地帮助信息系统审计师评估与未来维护能力有关的编程活动的质量?A、编程语言B、开发环境C、版本开发D、系统程序编码标准答案：D268.事故管理流程中，哪个环节最重要?(2022年4月题干描述为：审计事故管理有效性中，审计师最担忧的()是无效的？)A、事故检测B、事故分类C、事故优先级排序D、事故事后审查答案：A269.A3-88以下哪种情况最适合使用软件开发的瀑布生命周期模型?A、相关要求及要运行系统的业务环境已得到充分了解并将保持稳定B、相关要求已得到充分了解，项目时间紧迫C、项目计划采用面向对象的设计和编程方法D、项目将涉及新技术的使用答案：A270.A5-222以下哪项是减轻针对互联网银行应用程序的域欺骗攻击的最佳控制?A、用户登记和密码政策B、用户安全意识C、使用入侵检测系统/入侵防御系统D、域名服务器安全强化答案：D271.如何保证防火墙有效的策略。A、审查网络日志B、做渗透测试C、审查入侵检测报告D、检查防火墙配置答案：D272.要求审计时，审计部有经验的审计员不足时，怎么办?A、推迟审计B、外部服务(外包)C、继续审计D、拒绝审计答案：B273.【重要题】什么能确保IT部门充分履行的他们的职能?A、审计章程B、确保IT策略在公司内部被充分共享C、为业务构建流程图D、审计委员会会议记录答案：C274.数据包级防火墙最致命的安全漏洞是因为它可以通过下列哪一项措施来规避：A、在收到的数据包上更改源地址B、截取明文发送的数据包并查看密码C、解译数据包中的签名信息。D、使用加密密码的字典式攻击(itionryttk)。答案：A275.公司将其应用程序迁移到私有云中的laas平台，谁将负责所部署应用程序所在操作系统的安全配置A、云提供商B、操作系统供应商C、公司D、可排除答案：C276.企业开展业务所在地区已经宣布了隐私法的变更。信息系统审计师应首先为变更做以下哪一项准备?A、对企业的隐私程序提供更新建议B、使用当前的隐私程序执行差距分析C、设计补偿控制以符合新的隐私法D、将隐私法的变更传达给法律部门答案：B277.在审计射频识别技术(RFID)时，最应该注意什么?A、可扩展性B、不可否认性C、隐私D、可维护性答案：C278.公司要将保密数据给到下游应用系统，最能保证安全性的是？（金融机构需要向下属分公司传输机密性的数据，最佳做法是？）A、SFTPB、带时间截的文件头C、SNMPD、SNTPE、安全外壳答案：A279.对IS审计师而言，验证关键生产服务器是否在运行供应商发布的最新安全更新的最佳途径是以下哪一项？A、确保在关键生产服务器上启用自动更新。B、在生产服务器样机上手动验证已应用修补程序。C、审查关键生产服务器的变更管理日志。D、在生产服务器上运行自动化工具，以验证安全修补程序。答案：D280.一个有大量界面程序的应用，为了尽早能在前期发现界面程序的错位，应该采取哪种测试方法A、社交测试B、自上而下C、自下而上D、逻辑路径监测答案：B281.A5-1Web应用程序开发人员有时在网页上使用隐藏字段来保护有关客户会话信息。在某些情况下，这种技术用于存储持续存在多个网页的会话变量，例如，在零售网站应用程序中保存购物车的内容。此种做法最有可能导致的基于Web的攻击是：A、/参数篡改B、跨站点脚本C、ookie篡改D、隐藏命令执行答案：A282.在项目的问题(issues)管理过程中，将出现：A、配置管理B、突发事件处理计划C、客户服务管理D、影响评估答案：D283.IS审计师审查生产环境安装补丁的管理流程，最应关注：A、用户管理部门批准B、信息安全主管批准C、董事会批准D、系统安全员批准答案：A284.企业开发人员每日将P11生产环境数据导入测试环境，关于数据隐私防护角度哪种最能降低风险?A、高级管理层同意并签字B、数据加密C、数据清洗D、数据所有者的签字授权答案：B285.A2-4在审查组织的人力资源政策和流程时，信息系统审计师应对以下哪项的缺失给予最大的关注?A、要求定期岗位轮换B、正式的离职面谈流程C、离职检查清单D、要求新员工签订保密协议答案：C286.对于正确审查、批准和包含所需的项目基线修改，以下哪一项措施最有效？A、变更控制B、质量控制C、项目预算审查D、时间影响审查答案：A287.以下哪一项最能表明执行强制的年度安全意识培训的有效性?A、社会工程测试结果趋势B、由随机选取的员工完成的调查C、安全事故的数量D、第三方渗透测试结果答案：A288.A2-5评估IT治理实施的有效性时，以下哪一因素最关键?A、确保定义了保证目标B、确保利益相关方的要求和参与C、确定相关风险及相关机会D、确定相关驱动因素及其适用性答案：B289.对于审计发现，审计师需要首先做什么：A、与被审计单位管理层沟通B、与被审计业务人员沟通C、提交审计报告D、与审计团队其他人员沟通答案：B290.项目实施后一个月，审查中采用调查问卷的方式，哪项影响最大A、一个月之后才发问卷B、问卷没有开放性回答C、没有把结