2025年cisa国际注册信息系统审计师考前通关必练题库800题-含答案

PAGEPAGE1一、单选题1.正在对开始开发的某应用执行风险评估。在建议安全控制之前，需要确定的最重要的内容是什么？A、基于角色的访问控制(RBAC)B、当前的隐私权法律C、数据分类D、数据托管位置答案：C2.ROI分析在IT决策过程中的一个好处是提供A、分配间接成本的基础B、更换设备的成本C、分配财务资源的基础D、估计所有权的成本答案：C3.从风险管理的角度，部署庞大且复杂的IT基础架构，哪种方法最好：A、部署前仿真模拟新的架构B、按次序阶段性的部署计划C、原型化和单阶部署D、在概念论证之后，全面迅速的部署答案：B4.以下哪一项能够在实施之前最可以确定满足业务需要A、可行性分析B、UATC、实施后审查D、实施计划分析答案：B5.查看邮件的内容是否被修改应使用A、哈希B、数字签名C、加密D、双因素认证答案：A6.企业信息系统目标的最佳来源是什么？A、信息安全管理部门B、业务流程所有者C、IT管理部门D、最终用户答案：B7.审查网络打印机处置的时候，审计师应该最担心的是什么?A、没有足够的证据表明处置的打印机的硬盘彻底清除B、业务部门直接将打印机交给了授权的供应商处置C、未按照政策和方案规定来处置D、打印机放在不安全的区域答案：A8.以下哪一项控制最能防止互联网嗅探器（Internetsniffer）进行重放攻击（replayattack):A、数据包过滤路由器B、带时间戳的数据加密技术C、正确配置的防火墙D、数字签名技术答案：B9.企业所在地的监管发布了最新的关于PII(个人可标识信息)的跨境数据转移新规定，以下哪一项有可能需要重新进行评估?A、企业薪资系统托管给外部云服务供应商B、聘请海外IT顾问C、购买海外的网络保险D、存储PII数据的数据库的加密情况答案：A10.信息系统审计师发现，公司管理层鼓励员工为业务目的而使用社交网站。以下哪一项建议最有助于减少数据泄露风险?A、监控员工对社交网站的使用B、对保密数据建立强大的访问控制C、为员工提供使用社交网站的培训和指南D、要求员工签署政策确认和保密协议答案：C11.A2-61制订信息安全计划的第一步是：A、制订和实施信息安全标准手册B、由信息系统审计师执行全面的安全控制检查C、采用公司信息安全政策声明D、购买安全访问控制软件答案：C12..企业在考虑更换其电商平台。以下哪一项是最好的启动方式?A、发布RFI信息请求书B、发布RFP建议书C、发布采购订单申请D、报价请求答案：B13.A4-141当组织需要极小粒度的数据恢复点(在恢复点目标中定义)时，以下哪种备份方法是适合的?A、虚拟磁带库B、基于磁盘的快照C、连续备份数据D、磁盘到磁带备份答案：C14.A4-72信息系统审计师应当审查以下哪一项，以确保服务器经过最优配置以支援处理要求?A、基准指标测试结果B、服务器日志C、故障报告D、服务器利用的数据答案：D15.哪个对降低从企业内向外发电子邮件导致数据泄露风险最有用?A、安装软件检测电子邮件附件的数据分类B、执行渗透测试和漏洞评估C、实施IDS和IPSDD、执行自动化内容检查和监控答案：D16.以下哪个工具模型可以优化改进持续改良计划?A、MMIB、平衡计分卡C、OITD、)ITIL答案：A17.对于确定项目可行性而言，以下哪一项最重要？A、IT指导委员会已批准项目。B、被批准的业务案例中分析了项目价值。C、项目管理方法已经制定。D、公司的主要竞争对手展开了一个类似项目。答案：B18.ROI(returnoninvestment投资回报率)分析在IT决策过程中的一个好处是提供A、分配间接成本的基础B、更换设备的成本C、分配财务资源的基础D、估计所有权的成本答案：C19.以下哪一点可以最好地表明组织中实施了有效的IT治理？A、由董事会审查IT项目组合B、成立了IT战略委员会C、由战略委员会审查IT技术D、由董事会批准IT战略答案：B20.A1-126信息系统审计过程中,信息系统审计师评估IT部门内部职责分离落实情况的最佳方法是什么?A、与IT经理开展讨论B、审查IT工作说明C、评估过去的IT审计报告D、评估组织架构答案：A21.在一项it开发项目中调整方案需要用到额外资金，这笔额外资金最适合由谁获得?(项目因为新增需求，已经确认需要增加经费，谁最应该获取该项费用?)A、审计师B、项目发起人C、董事会D、项目经理答案：D22.A4-217由于资源有限,某开发人员需要生产数据的完全访问权限，以支持生产用户报告的某些问题。对于控制生产中未经授权的变更，以下哪一项是好的补偿性控制?A、提供单独的开发人员登录I用于编程和生产支持并进行监控B、通过启用详细的审计轨迹来捕获开发人员在生产环境中的活动C、在允许开发人员进行生产变更之前备份所有受到影响的记录D、在实施变更前，确保所有变更都经过变更管理人员批准答案：A23.支持安全评定认证需要执行的保证任务，应在何时确定?A、完成必要的修改之后，B、用户验收阶段。C、项目规划阶段。D、制定了Q计划后。答案：C24.如下哪个是进行业务影响分析的最好方法?A、对主要业务相关者发布调查问卷B、和主要业务相关者进行面谈C、与IT管理人员进行面谈D、咨询相关专家答案：B25.A5-68执行计算机取证调查时，对于收集到的数据，信息系统审计师最应关注的是：A、证据的分析B、证据的评估C、证据的保存D、证据的泄露答案：C26.评估一个子程序受另一个子程序更改后的影响，一般使用用什么类型的测试?A、)压力测试B、回归测试C、黑盒测试D、用户验收测试答案：B27.A4-240以下哪项是业务连续性计划流程的首要目标?A、向利益相关者提供在发生灾难时业务继续运营的保证B、向IT服务设立备用站点，以满足预先定义的恢复时间目标C、管理风险，并能够从对运营造成负面影响的事件中恢复D、在发生自然灾难时满足外部监管合规性要求答案：C28.以下哪一项是实施分散式IT治理模型的原因?A、各业务部门的统一性B、标准化控制和规模经济C、对业务需求有更快的响应D、各业务部门之间的IT协作答案：C29.审计报告指定了解决审计问题的责任人，下列哪一项最进一步增强审计报告的有效性?A、详细的降低风险步骤B、监督补救的审计人员C、补救的成本D、补救的目标日期答案：D30.内部审计的职责由以下哪一项明确A、审计计划B、审计章程C、审计目标D、审计范围素答案：B31.A5-44某信息系统审计师在审查网络日志时发现，某员工通过调用任务计划程序启动受限的应用，在其PC上运行了高级命令。这是哪类攻击的示例?A、竞态条件B、特权升级C、缓冲溢出D、模仿答案：B32.如何确保审计师在控制自我评估中的独立性?A、设计CSA调查问卷B、参与其中C、监督并提供整改意见D、评估CSA调查问卷答案：C33.在瘦客户端环境下最有可能会面临以下哪个问题A、可用性B、完整性C、机密性D、可扩展性答案：A34.IS审计师审查生产环境安装补丁的管理流程，最应关注：A、用户管理部门批准B、信息安全主管批准C、董事会批准D、系统安全员批准答案：A35.A5-39在某银行的信息系统审计期间，信息系统审计师正在评估该银行是否合理管理职员对操作系统的访问。该信息系统审计师应确定该银行是否执行：A、用户活动日志的定期审查B、系统级用户授权验证C、数据通信访问活动日志的审查D、更改数据文件的定期审查答案：A36.A5-279在审查网络设备的配置时，信息系统审计师应该首先确定：A、部署的网络设备类型的良好实践B、是否缺少网络组件C、网络设备在拓扑中的重要性D、网络子组件的使用是否适当答案：C37.数据中心在签署热备援中心(Hotsite)合同之前，最要确认的是?A、多个公司发生灾难时，与中心员工协调(用户同时出现故障用户间互相协调能力)B、多个公司发生灾难时，数据中心是否可用(用户同时出现故障的应对处理能力)C、与其他组织签互惠协议D、进行全面测试答案：B38.IT灾难恢复是时间目标（RTO）应基于以下哪一项：A、最多可容许丢失的数据B、根据业务定义的系统关键性C、最多可容许的停机时间D、中断的根本原因答案：C39.A3-99下列哪种系统和数据转换策略能够提供最大的冗余?A、直接切换B、试点研究C、分阶段方法D、并行执行答案：D40.A4-151针对IT系统恢复的双方协议的现场测试已实施，包括业务部门4个小时的集约效用测试。测试已成功，但不完全确保：A、系统和IT操作团队可以在紧急环境中保持运作B、资源和环境能够支持交易加载C、与远程站点中应用程序的连接性满足响应时间要求D、实际业务操作的工作流可以在发生灾难的情况下使用紧急系统答案：A41.为减轻API查询公开数据的风险，以下哪项考虑因素最重要A、数据完整性B、数据质量C、数据最小化D、数据保留答案：C42.【重要题】以下哪一项是灾难恢复计划的步骤之一?A、评估和量化风险B、与灾难计划咨询顾问协商合同C、获得替代设备供应D、确定应用程序控制需求答案：A43.A4-87某个组织把其服务台职能外包了。下列哪项指标最应该包含在服务水平协议中?A、支持的用户总数B、首次通话解决率C、报告至服务台的事故数D、接线员的数量答案：B44.某IS审计师已发现，员工们在通过电子邮件将敏感的公司信息发送到基于web的公共电子邮件域。对IS审计师而言，以下哪一项是建议的最佳补救措施？A、加密邮件帐户B、培训和意识C、活动监测D、数据丢失防护（DLP)答案：D45.在提议的企业资源规划(ERP)系统的需求定义阶段，项目发起人要求链接采购与应付账款模块。最好执行以下哪一种测试方法？A、单元测试B、集成测试C、社交性测试D、质量保证(QAT)测试答案：B46.在跟踪审计期同，被审计单位指出，对以前报告的发现结果应采取的纠正措施需要比预期更长的时间。以下哪一项是信息系统审计师应采取的最佳行动A、将问题上报给高级管理层，B、确定是否已采取补偿性控制临时性措施C、要求再说商定的期限内完成补救工作。D、停止审计工作并延迟跟踪审计答案：B47.A2-143一家企业在内部建立了数据中心，而将主要的财务应用程序的管理外包给了一家服务提供商。下列哪一项控制措施能够最有效地确保服务提供商的员工遵守安全政策?A、要求所有用户在企业安全政策上签字表示保证遵守B、将赔偿条款加入与服务提供商签订的合同中C、对所有用户强制实施安全意识培训D、应该修改安全政策，以解决第三方用户合规性问题答案：B48.A3-58通常要在系统开发中的以下哪个阶段做好用户验收测试计划的准备?A、可行性分析B、需求定义C、计划实施D、实施后审查答案：B49.数据库管理系统软件包不可能提供下面哪一种访问控制功能？A、在程序级的身份验证B、在交易级的身份验证C、用户在网络层的登录D、用户对字段数的访问答案：C50.A3-133对业务流程自动化项目进行实施后审查的主要目标是：A、确保项目满足预期的业务要求B、评估控制的充分性C、确认符合技术标准D、确认符合法规要求答案：A51.对信息进行实施后审计，下列哪项最可能削弱IS审计师的独立性?A、参与项目团队，但不承担运营开发的责任B、为最佳实践提供建议C、设计了一个嵌入式的审计模块D、在应用程序开发过程中实施了特定的控制答案：D52.使用数字签名的主要原因A、机密性B、完整性C、可用性D、实效性答案：B53.成熟的质量管理系统QMS的指标?A、项目显示持续改进B、设定了评估标准并集成到所有系统中强制执行C、所有部门都提交了质量报告D、运行良好未发现问题答案：A54..衡量灾难恢复计划有效性中业务恢复的最佳途径是?A、定义恢复点目标RPOB、业务影响分析IC、模拟灾难恢复D、评估与功能成熟度模型的差距答案：C55.以下哪一项属于漏洞？A、系统中断B、公司声誉C、未修补的系统D、恶意的内部员工答案：C56.使用最终用户计算产生报告的是以下哪种风险?A、报告无效B、报告不及时C、数据不准确D、缺少可用的历史数据答案：C57.A2-119将安全方案作为安全治理框架的一部分实施的主要好处在于：A、使IT活动与IS审计建议保持一致B、实施安全风险管理C、实施首席信息安全官的建议D、降低IT风险的成本答案：B58.项目开发阶段，新增加了一个功能点，以下哪项影响最大A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A59.在完成信息系统审计后，IS审计师应向利益相关者说明以下哪种风险?A、固有风险B、审计风险C、检测风险D、残余风险答案：D60.【重要题】.审计第三方供应商的关键绩效指标KPI时，审计师最大的担忧是?A、KPI没有文档记录B、KPI指标没有明确定义C、KPI从未更新D、KPI数据没有加以分析答案：B61.哪一项提供IT在一家企业内的作用的最全面描述A、IT工作说明B、IT章程C、IT组织结构图D、可排除答案：B62.应用程序可以使用用户账号访问底层数据库，审计师最担心：(也有考生反馈题干描述为：底层用户可以直接访问数据库，哪项风险大?)(此题需进一步确认，请考生考试中特别留意)A、用户可以绕过应用程序访问数据库B、用户账户停用了，仍然可以访问C、应用程序审计记录不能包含全部信息D、底层数据库完整性被破坏答案：A63.下列哪一种访问控制组合能为服务器机房提供双因素保护？A、用户ID和PINB、PIN和智能卡C、磁卡和智能卡D、磁卡和共享PIN答案：B64..某公司将信息系统功能外包出去。要满足灾难恢复的需要，该公司应该：A、将灾难恢复的评估工作委托给内部审计部门B、将灾难恢复的评估工作委托给第三方C、停止灾难恢复计划的维护工作D、与外包供应商协调灾难恢复管理措施答案：D65.A4-238审计业务连续性计划(BCP)期间，某信息系统审计师发现，尽管所有部门在同一建筑物中办公，但是每个部门都有各自独立的BCP。该信息系统审计师建议协调BCP。应该首先协调以下哪一个领域?A、疏散计划B、恢复优先级C、备份存储D、呼叫树答案：A66.对于无双重门控制的机房，管理层应该采取哪个行动来防止跟随进入?(2023年3月真题)A、要求员工佩戴I卡B、双因素验证C、生物识别技术D、安全意识培训答案：D67.A5-196对成功的社会工程攻击的最贴近的解释是：A、计算机错误B、判断错误C、专业知识D、技术答案：B68.A2-149某金融企业设有一个小规模的IT部门，因而需要员工身兼数职。以下哪种做法带来的问题最大?A、开发人员将代码提交到生产环境中B、业务分析人员编写相关需求并执行功能性测试C、IT经理同时执行系统管理工作D、数据库管理员也执行数据备份答案：A69.A1-43当评估组织的IT战略时,信息系统审计师会认为以下哪一选项最重要?A、已得到直线管理层的批准B、与IT部门的初步预算相同C、符合采购流程D、支持组织的业务目标答案：D70.在审查IT资源能力和性能的持续监测流程时，IS审计师应当主要确保该流程重点关注：A、充分监测IT资源和服务的服务等级。B、提供数据，以确保能够及时规划容量和性能要求。C、提供有关IT资源可用性的准确反馈。D、正确预测IT资源的性能、能力和吞吐量。答案：C71.哪一项用于评估一个项目所需的时间用量时?A、劳动力数量估算B、可排除C、)关键路径分析D、甘特图答案：D72.某IS审计师正在审查某会计系统的访问情况，并发现了职责分离问题；但业务规模小，没有额外的工人可供使用。在这种情况下，以下哪一项是建议的最佳补偿性控制？A、实施基于角色的访问B、审查审计轨迹C、执行定期访问审查D、审查错误日志答案：B73.对网络进行审计，最重要的是A、审查物理环境B、审查冗余线路C、审查路由D、审查服务器数据包类型答案：C74.信息系统审计师在审查传输公开可用信息的系统接口，哪一项最令人担忧？A、什么界面跟踪程序（可排除）B、下载的数据与原系统数据不同C、数据未加密D、数据在传输时被截获答案：B75.一个公司对员工的商务智能手机实施收回并利用A、为新员工更换SIM卡和手机号B、销毁商务智能手机C、安全的删除手机数据D、更换智能手机内存卡答案：C76.【重要题】信息系统审计师在上线之前审查新系统的项目计划时，注意到项目团队尚未记录恢复计划。以下哪一项是这一情况下最佳的系统上线方法?A、均衡负载B、(明显不对，可排除)C、立即切换D、并行切换答案：D77.A4-253信息系统审计师发现数据库管理员(DBA)有生产数据的读写权限。信息系统审计师应：A、接受访问为普遍做法B、评估与职能相关的控制C、建议立即撤销对生产数据的访问权限D、审查批准的用户访问权限答案：B78.评估IT实际使用资源使用和计划资源分配的一致性的技术是什么？A、挣得值分析EVAB、投资回报分析ROIC、甘特图D、关键路径分析CPA答案：A79.在制定在线业务架构和恢复策略时，以下哪一项是最重要的考虑事项?A、即时解决问题的能力B、供应商的网络安全性C、单一故障点(singlepointoffilure)D、供应商的财务稳定性答案：A80.组织鼓励员工因为工作目的而使用社交平台，以下哪一项能最好防止数据泄露？A、员工签署政策要求确认和保密协议B、对敏感数据实施强有力的控制C、对员工使用社交网站的活动实施监控D、提供社交平台使用的相关培训和指导答案：B81.以下哪一种是检测型控制？A、输入格式验证B、进行恢复程序C、密码控制D、散列验证答案：D82.两个公司之间签署灾难互惠协议时，IT审计师应该最关注哪一项?A、系统互惠测试的频率B、在信息系统政策和程序方面的差异C、发生灾难时如何分配资源D、维护硬件和软件的兼容性答案：C83.A4-70将主要信息处理场所中的硬件进行更换后，业务连续性经理应首先采取下列哪项行动?A、检验与热备援中心的兼容性B、审查实施报告C、对灾难恢复计划执行浏览审查D、更新信息技术资产清单答案：D84.A3-63一位信息系统审计师发现开发中的某个系统衔接了12个模块，并且每个数据项可以承载最多10个可定义属性字段。该系统每年可处理数百万次交易。信息系统审计师可以使用哪项技术估算开发工作量?A、计划评审技术B、功能点分析C、对源代码行进行计数D、白箱测试答案：B85.【重要题】审计师发现数据库配置管理系统有个安全漏洞，他接下里怎么做?A、报告高级管理层B、评估是否有补偿性控制C、报告审计委员会D、尝试利用漏洞答案：B86.信息系统审计师评估IT战略委员会的有效性？A、业务和IT战略一致性B、IT战略委员会章程答案：A87.审查项目组合时，下列哪一项是管理层应考虑的最有用的指标？A、该组合的当前净值B、预期效益与总项目成本之比C、每个项目的总成本D、项目成本与总IT成本之比答案：B88.IT经理向高级管理层汇报潜在风险情况，运行关键在线信用报告系统服务器的操作系统将不受支持，该风险属于哪种类型的风险？A、符合性风险B、技术风险C、业务风险D、声誉风险答案：B89.在制定业务持续性计划时，业务单位管理层的参与在以下工作过程中最为重要?A、实施文档库B、进行业务影响分析C、制定业务恢复程序D、执行IT风险评估答案：B90.信息系统审计师在审查桌面软件配置文件时注意到，一个用户已下载并安装了公司不批准的游戏。以下哪一项是这一状况可能产生的最大风险？A、潜在的恶意软件B、未遵守可接受使用政策C、与公司软件的互操作性问题D、违反用户的隐私答案：A91.A4-54一位信息系统审计师正在审查某组织的灾难恢复情况。在这次灾难中，并非恢复业务运营所需的所有关键数据都得到了保留。这是因为错误定义了以下哪个选项?A、中断时间B、恢复时间目标C、服务交付目标D、恢复点目标答案：D92.A2-38在实施IT平衡计分卡之前,组织必须：A、提供有效且高效的服务B、定义关键绩效指标C、为IT项目带来商业价值D、控制IT费用答案：B93.在典型的系统开发生命周期中，下列哪个小组主要负责确认是否符合需求?A、质量保证B、内部审计C、风险管理D、指导委员会答案：A94.A1-114某信息系统审计师正在核对生产中的设备与库存记录。这种测试属于以下哪一项?A、实质性测试B、符合性测试C、分析性测试D、控制测试答案：A95.审查变更控制文档，有些补丁未经测试就被安装到了生产环境中，最大的风险是A、影响系统完整性B、开发人员能够接触生产C、文档过时D、没有应用系统支持答案：B96.以下哪一项是执行风险评估的主要原因？A、符合监管要求B、帮助分配预算用于风险缓解控制C、确保与业务影响分析BIA保持一致D、确定当前的风险概况答案：D97.在发现未知恶意攻击时，以下哪一项安全测试技术最有效A、沙箱B、渗透测试C、漏洞测试D、逆向工程答案：A98.哪一项能最有效地防止旧硬盘的数据泄露？A、重复写（覆写）B、物理破坏C、低级格式化D、消磁答案：B99.在开发阶段添加新功能时，以下哪项是与没有遵循项目更改管理流程相关的主要风险A、新功能可能不符合要求B、尚未记录添加的功能C、项目超出预算答案：A100.A4-50某信息系统审计师正在审查数据库控制时发现，在正常工作时间内对数据库所做的变更是通过一套标准流程处理的。但是，在非正常工作时间，只须采取简单的几步便可进行变更。在这种情况下，可将以下哪项看作一套充分的补偿性措施?A、只允许使用数据库管理员()用户账户进行变更B、在授予了普通用户账户的访问权限之后再对数据库进行变更C、使用用户账户进行变更，对变更进行记录并在第二天查阅变更日志D、使用普通用户账户进行变更，对变更进行记录并在第二天查阅变更日志答案：C101.A5-275下列哪项属于一种面向对象的技术的特征，并且有助于提高数据安全程度?A、继承B、动态仓储C、封装D、多态性答案：C102.企业的操作人员未执行年末财务报表的自动脚本，以下哪项措施可以起到很好的作用A、培训操作人员B、选择有经验的财务人员加入操作团队C、实施封闭检查清单(losingheklist)D、更新操作手册答案：C103.用户测试数据最好是用A、随机生成的数据B、测试生成器生成的参数C、模拟生产环境数据D、供应商提供的数据答案：C104.信息系统审计师审查各种IT外包合同采购流程。确保中标的承包商满足以下哪项要求？A、维护了内部审计功能。B、是按确定的业务标准选择出来的。C、要求所有员工都签署机密性协议。D、消除了外包风险。答案：B105.组织的大多数信息系统已经外包，以下哪项能最能保持业务连续性?A、外包商管理层B、信息技术管理层C、业务管理层D、信息安全管理层答案：C106.A1-29在IT流程的安全审计期间,信息系统审计师发现没有任何文档记录安全程序。信息系统审计师应：A、根据实践创建程序文档B、提出对当前状态的看法，并结束审计C、对可用数据执行符合性测试D、识别并评估现有实践答案：D107.雇员有意或无意将敏感信息通过邮件发送到外部，在实施邮件控制措施之前，首先最重的是要做什么?A、安装程序监测邮件内容和雇员活动B、实施数据分类C、与雇员签署保密协议D、对邮件服务器进行加固答案：B108.如何保证防火墙有效的策略。A、审查网络日志B、做渗透测试C、审查入侵检测报告D、检查防火墙配置答案：D109.以下哪一项最能体现信息安全计划的有效性?A、安全团队知识丰富，使用最好的工具B、经过意识培训后，报告和确认的安全事故数量有所增加C、安全意识培训计划是根据行业最佳实践开发的D、安全团队执行了风险评估，以了解公司的风险偏好答案：B110.审计师发现业务部门负责人创建了一个网页，从而能访问生产数据，这违反了公司的安全政策，审计师应该：A、评估是否有补偿性控制B、关闭并停用该网页C、评估生产数据的敏感性D、上报高级管理层答案：A111.那种能够最有效地对物理访问提供最可靠的身份验证?A、智能卡和保卫B、感应卡C、视网膜D、数字键盘和监控摄像机答案：C112.哪一项网络安全审查结果对企业构成最大风险？A、IDS在上周有待更新B、非军事区中的Internet服务器托管测试网页C、面向Internet的路由器上有共享的管理员帐户D、上周发布的操作系统补丁尚未应用答案：C113.A5-67某个组织允许使用通用串行总线驱动器(USB设备)在办公室之间传输运营数据。以下哪项是与使用这些设备有关的最大风险?A、文件未备份B、设备被盗C、将设备用于个人用途D、将恶意软件引入内部网络答案：B114.为了帮助董事会履行IT治理职责，IT指导委员会应该：A、制定项目跟踪的IT政策和措施B、将注意力集中在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D115.A4-185确定服务交付目标的主要依据应该是：A、可接受的最低运营能力B、恢复流程的成本效益C、达到恢复时间目标D、允许的运营中断时限答案：A116.A3-37以下哪种数据验证编辑能有效检测转位和转录错误?A、范围检查B、校验数字位C、有效性检查D、重复检查答案：B117.【重要题】以下哪一项控制措施能够最有效地解决搭载/紧随进入无双门安全系统的受限区域的风险?A、)B、安全意识培训C、生物识别门锁D、要求佩戴I标识卡答案：B118.A1-47制订基于风险的审计策略时，信息系统审计师应执行风险评估，以确保：A、降低风险所需的控制已就位B、识别出漏洞和威胁C、将审计风险考虑在内D、差距分析得当答案：B119.在IT系统恢复过程中，保持业务功能运行的临时解决方案，是以下哪项内容的核心组成部分?A、灾难恢复计划B、威胁和风险评估C、)业务影响分析D、业务持续运营计划答案：D120.A4-128在设计业务连续性计划期间，业务影响分析确定关键流程和支持业务的应用程序。这将主要影响：A、维护业务连续性计划的责任B、选择恢复站点提供商的标准C、恢复策略D、关键人员的责任答案：C121.A5-262降低垃圾搜寻风险的最佳方式是：A、提供安全意识培训B、在复印室放置碎纸箱C、制定介质处置政策D、在单独的办公室放置碎纸机答案：A122.【重要题】有效防范sql注入攻击的最佳控制是?A、SSL加密B、数字签名C、输入验证D、unioe转换答案：C123.在后续审计中，被审计方提出，审计问题应采取的纠正措施需要比预期更长的时间，审计师应该A、要求在商定的期限内完成整改B、将此问题向高级管理层汇报C、停止审计工作并推迟跟踪审计D、确认是否有补偿性控制的临时措施答案：D124.某IS审计师正在审查某组织，以确保与数据违规情形有关的证据得到保留，对该IS审计师而言，以下哪一项最值得关注?A、最终用户不知晓事故报告程序。B、日志服务器不在单独的网络上。C、未坚持进行备份。D、无监管链政策。答案：D125.项目收尾的目的是要确定：A、影响项目交付质量的潜在风险B、项目经理在专业特长C、供未来项目使用的经验教训D、项目可行性要求答案：C126.在取证数据采集和保存流程中以下哪项最重要？A、保持数据完整性B、确保设备的物理安全C、维持保管链D、决定要使用的工答案：C127.A5-230使用数字签名时,由谁计算消息摘要?A、仅发送者B、仅接收者C、发送者和接收者D、认证机构答案：C128.A5-268以下哪一种控制可以最有效地检测网络传输中的错误群?A、奇偶校验B、回送检查C、块总和检验D、循环冗余检测答案：D129.A4-159除所有信息系统的备份注意事项外，为在线系统提供备份时以下哪一项是最重要的注意事项?A、保留系统软件参数B、确保交易日志记录定期转储C、确保祖一父一子文件备份D、在非现场位置保存重要数据答案：B130.A5-154为了适应组织内部不断增多的移动设备，信息系统管理部门最近用无线基础架构替换了现有的有限局域网。这将增加以下哪种攻击风险?A、)端口扫描B、后门C、中间人攻击D、战争驾驶答案：D131.某企业正在开发一种新的采购系统，但进度落后于预定计划。因此，有人提议将原定的测试阶段时间缩短。项目经理向IS审计师询问如何降低测试时间缩短可能带来的风险。以下哪种风险缓解策略较为合适？A、测试并发布功能被简化的试用系统。B、针对最严重的功能性缺陷进行修复及重新测试。C、取消开发团队计划进行的测试,直接进行验收测试。D、使用一种测试工具自动进行缺陷跟踪。答案：A132.下面哪一项是最佳的数据完整性检查?A、将数据追溯至源点B、计算每天处理的交易量C、准备和运行测试数据D、执行连续性检查答案：A133.被审计方已告知信息系统审计师，资金没有按照审计报告中商定的建议进行安排，且没有预计的解决时间计划，审计师应对此情况应采取什么方法?A、在无法实施完整解决方案的情况下评估风险B、关闭该审计发现并记录被审计方的解释C、获得内部审计批准，并把审计发现从报告中删除D、建议增加预算答案：A134.A3-97一名信息系统审计师受指派审计某软件开发项目，该项目完成了80%以上，但是已经超时10%，超出成本25%。该信息系统审计师应采取以下哪项行动?A、对组织未进行有效的项目管理进行报告B、建议更换项目经理C、审查IT治理结构D、审查业务案例和项目管理答案：D135.A2-101审计电子资金转账系统时，信息系统审计师是最应该关注以下哪种用户配置文件?A、能够获取并验证他们自己信息的3个用户B、能够获取并发送他们自己信息的5个用户C、能够验证其他用户并发送他们自己信息的5个用户D、能够获取并验证其他用户的信息，并发送他们自己信息的3个用户答案：A136.【重要题】在审查安全政策的开发过程时，以下哪一项是信息系统审计师要验证的最重要的内容?A、管理层批准的证据B、关键利益相关人员积极参与的证据C、企业风险管理系统的输出D、控制框架的确认答案：B137.【重要题】在下一年选择进行哪些信息系统审计的主要依据是什么?A、上一年的审计发现结果B、高层管理层的要求C、组织风险评估D、以前的审计范围答案：C138.以下哪项应该包含在审计章程中？（公司的审计章程因该）：A、定义审计师访的信息访问权限B、详述审计目标C、包括信息系统审计计划D、提出企业的IT战略答案：A139.A2-60信息系统控制目标对于信息系统审计师来说非常有用。它们为审计师了解以下哪个方面奠定了基础?A、实施特定控制流程的预期结果或目的B、与特定实体相关的最佳信息系统安全控制实务C、保证信息安全的技术D、安全政策答案：A140.A2-71某信息系统审计师应要求审查针对某数据中心服务候选供应商的合同。确定签署合同后是否遵守合同条款的最佳途径是什么?A、要求供应商提供月度状况报告B、与客户IT经理定期召开会议C、对供应商进行定期审计检查D、要求在合同中明确性能参数答案：C141.【重要题】以下哪一项可以提供最佳证据表明云提供商变更管理流程的有效性?A、供应商提供的变更管理政策的副本B、供应商提供的第三方审查结果C、供应商EO和IO的书面保证D、与供应商定期进行变更管理会议的会议记录答案：B142.存在欺诈嫌疑的员工被辞退/离职，信息安全人员最重要的应该做的是什么?A、禁止该员工的系统访问权限B、审查之前该员工批准的交易C、人员陪同下离开工作场所D、给员工电脑做备份答案：A143.数据分类的第一步?A、盘点数据资产B、确定风险偏好C、定义数据所有权D、确定敏感度水平答案：A144.以下哪一项是实施分散式IT治理模型最主要的原因?A、实现标准化和规模经济B、实现各业务部门的统一性C、促进各业务部门之间的IT协作D、有利于对业务需求有更快的响应答案：D145.A4-67以下哪个选项能够最好地证明组织灾难恢复能力就绪情况?A、有灾难恢复计划B、有备用站点提供商的客户参考C、有维持RP的流程D、有测试及练习结果答案：D146.被审计单位跟踪之前审计发现只进行了部分审计整改措施，审计师首先应该()A、汇报管理层B、评估剩余未解决问题风险C、审查是否有补偿性控制临时解决问题D、确保为解决问题仍记录在审计保告中答案：C147.A3-123信息系统审计师需验证应用发布后是否有完成实施后审查流程的主要原因是什么?A、确保用户经过适当培训B、验证项目在预算范围之内C、核实项目达到预期D、确定是否已实施适当的控制措施答案：C148.加密磁带备份最怕什么？(如果题干改为：加密备份资料最怕什么?则选A)A、密钥丢失B、消磁C、备份发生错误答案：B149.A1-122在一项基于风险的信息系统审计中，固有风险和控制风险均已被评定为高，信息系统审计师最有可能通过额外执行以下哪一项来弥补这种情况?A、停止或继续抽样B、实质性测试C、符合性测试D、发现抽样答案：B150.A3-80某公司实施了一套新的客户端/服务器型企业资源规划(ERP)系统。各地分支机构会将客户订单传动到中央生产设备。以下哪一项能够最有效地确保准确处理这些订单并生产相应的产品?A、对照客户订单验证生产B、将所有客户订单计入ERP系统C、在订单传送过程中使用散列总计D、在生产之前审批(由生产监督人员)订单答案：A151.A1-129中央防病毒系统在允许个人电脑接入网络之前，确定每台PC是否具有最新的病毒定义文件，并安装最新的病毒定义文件。本示例属于以下哪一项?A、指令性控制B、改正性控制C、补偿性控制D、检测性控制答案：B152.在Web应用中，包含以下哪一项可以保证最高的安全性A、SSLB、SFTPC、TelnetD、TLS答案：D153.A1-80某信息系统审计师审查某远程管理服务器某天的日志时，发现了日志记录失败且无法确认备份重启的情况。该信息系统审计师应该怎样做?A、发布审计发现B、向IS管理人员寻求解释C、审查服务器上的数据分类D、扩大审计的日志样本范围答案：D154.A4-215设计应对潜在自然灾害的数据备份策略时，以下哪一项最有帮助?A、恢复点目标B、需要备份的数据量C、可用的数据备份技术D、恢复时间目标答案：A155.A3-57与自上而下测试法相比，使用自下而上软件测试法的优点是：A、能够提早发现接口错误B、能够提早树立对系统的信心C、能够提早检测出关键模块中的错误D、能够提早测试主要功能和处理答案：C156.业务流程再造(BPR)过程中,IT可协助A、职责分离B、总拥有成本C、集中于增值任务D、使任务流程化答案：D157.A4-73以下哪项连续性计划测试可模拟系统崩溃并使用实际资源，以便经济高效地获取有关计划有效性的证据?A、纸上测试B、事后测试C、准备情况测试D、浏览审查答案：C158.A2-8在对业务流程再造(BPR)工作进行审查时，以下哪一项是主要关注的问题?A、简化PR工作消除了控制B、资源不足以支持PR流程C、审计部门在PR中没有咨询职责D、PR工作纳入了该流程领域知识有限的员工。答案：A159.在审查用户账户政策时，信息系统审计师的最大担忧是什么?A、员工辞职后，没有撤销其系统访问权限的相关政策B、当员工更改角色时，没有任何政策可以撤销以前的访问权限C、没有要求员工签署保密协议NDA的相关政策D、没有针对安全意识培训的政策答案：B160.防止同时使用软件许可的最佳措施?A、用户自律B、供应商实施突击审计C、系统管理员实施监控D、计量软件答案：D161.A5-117网站证书的主要目的是:A、验证要浏览的网站B、验证浏览站点的用户C、阻止黑客浏览网站D、与数字证书的目的相同答案：A162.A5-89确保发送者在以后无法否认生成和发送消息的数字签名特征称为：A、数据完整性B、身份认证C、不可否认性D、重放保护答案：C163.管理层向各利益部门相关方发送IT控制措施的目的：A、关注IT治理B、IT控制成本透明化C、优化项目组合管理D、优化IT控制答案：D164.A3-52执行事后审查的主要目的是提供机会：A、改进内部控制程序B、将网络强化到行业最佳实践标准C、向管理层强调事故响应管理的重要性D、提高员工对事故响应过程的认识程度答案：A165..以下哪一项最能保护在多个办公地点之间传输的敏感数据机密性?A、PKIB、数字签名C、哈希D、Kereros答案：A166.信息系统IS的战略规划应涵盖：A、分析公司未来需求B、制定开发项目的目标进程C、制定未来技术平台的规范。D、审查年度预算答案：A167.A5-129某信息系统审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最重要?A、紧急断电按钮盖不见了B、未执行预定的灭火系统日常维护C、数据中心没有安全摄像头D、紧急出口被阻塞答案：D168.要实施IT治理框架，董事会需要做到？A、解决IT技术问题B、成立IT战略委员会C、审计IT战略D、了解所有IT项目发展答案：B169.规划审计时，对重要性进行评估的作用是：A、可排除小错误的累计效应B、帮助审计集中在关键领域C、在审计测试完成时告知审计师D、集中于财务方面的项目答案：B170.哪项是解决互联网数据安全的选项：A、telnet(远程登录)B、SSL(SeureSoketsLyer安全套层)C、SFTP(SHHfilethnsferD、protol/seretfiletrnferprotool)答案：B171.系统检查工作人员的信息代码是“退休”还是“在职”，这是哪种类型的检查A、有效性检查B、完整性检查C、存在性检查D、可排除答案：A172.以下哪种情况会增加欺诈行为的可能性？A、应用程序开发人员正在执行对生产程序的变更。B、管理员正在对供应商提供的软件实施供应商补丁，但没有遵守变更控制流程。C、操作支持人员正在执行对批量计划的变更。D、数据库管理员正在执行对数据结构的变更。答案：A173.如何确认批量作业（batchjobupdate）成功完成？A、验证作业日志的时间戳B、抽样检查部分作业是否完成C、查看作业配置D、检查工作日程表答案：A174.A4-94审计自动化系统时，不是每次都能够确认责任人和报告层级关系的，因为：A、多种多样的控制能够导致所有权不相关B、员工习惯于频繁更换工作C、共享资源的领域很难确定所有权D、随着技术的飞速发展，职务变动频繁答案：C175.【重要题】.被审计单位跟踪之前审计发现只进行了部分审计整改措施，审计师首先应该()A、汇报管理层B、评估剩余未解决问题风险C、审查是否有补偿性控制临时解决问题D、确保为解决问题仍记录在审计保告中答案：C176.当确定审计日志的数据保留期时，最基础的因素是什么A、计算机取证的原则B、审计标准C、风险控制D、法规要求答案：D177.以下哪一项是数据分类流程的最重要成果？A、确定的保护级别B、全面的数据资产清单C、数据的访问控制矩阵D、增强的数据访问日志答案：C178.A4-78下列哪种情况最适于将实施数据镜像作为恢复策略?A、容灾能力很高B、恢复时间目标很高C、恢复点目标很低D、恢复点目标很高答案：C179.【重要题】信息系统审计师发现在某安全的位置有一箱早该物理销毁的硬盘驱动器，负责此项任务的供应商从来没有意识到这些硬盘。以下哪项是解决这个问题的最A、佳行动?B、检查工作流程以确定资产处理责任中C、的漏洞D、N答案：A180.A5-127某组织网络电话包网络中有大量的通信被重新路由。该组织认为其已遭到窃听。以下哪一项可能导致VoIP通信遭到窃听?A、以太网交换机中的地址解析协议缓存损坏B、在虚拟电话交换机上使用默认管理员密码C、在未启用加密的情况下部署虚拟局域网D、最终用户有权访问分组嗅探器应用程序等软件工具答案：A181.实施新的应用程序软件包(或第三方应用)，最大的风险是?A、参数配置错误B、没有审计轨迹C、交易量过大D、交易敏感度高答案：A182.A5-166如果某个小型组织的应用程序编程人员有权将程序移入生产环境，应实施以下哪项控制来降低内部欺诈风险?A、实施后功能测试B、登记和审查变更C、验证用户要求D、用户验收测试答案：B183.A3-140以下哪项可以帮助信息系统审计师评估已开发并实施的新软件的质量?A、报告故障的平均间隔时间B、修复故障的总体平均时间C、首次报告的故障平均间隔时间D、修复故障的总体响应时间答案：C184.某小型公司无法隔离开发流程与变更控制职能之间的职责。确保经过测试的代码与转入生产的代码完全一样的最佳途径是什么？A、发布管理软件B、手动代码比对C、生产前回归测试D、管理层批准变更答案：A185.A2-152IT督导委员会应该:A、成员包括不同部门的各级员工B、确保信息安全政策和程序已正确执行C、维护委员会的会议纪要，并及时向董事会汇报D、由供应商在每次会议上对新趋势和产品做简短介绍答案：C186.货币单位抽样法的优点之一是：A、当计算机资源不可用时，可以轻松地手动应用B、可排除C、增加从总体选择实质的项目的可能性D、隔离并单独审计高价值总体项目答案：D187.数据库管理员发现一些表的性能问题可以通过反向规格化（denormalization）来解决。这种情况下会增加哪像风险()?A、同时并行访问B、死锁C、非授权的数据访问D、数据完整性的丢失答案：D188.银行对计算利息的计算机程序做了很小的改动，哪一项能最好的确定利息计算是否正确A、审查源代码B、使用审计软件进行并行模拟C、手动验证结果样本D、审查QA测试结果答案：B189.在开始后续的跟踪审计时，审计师应该先（如没有D选项，则选E）A、审查上次审计的工作底稿B、与被审计单位讨论补救进展情况C、收集补救证据，以此来执行控制测试D、审查上次的审计结果和行动计划E、评估上次审计的残余风险答案：D190.A3-61若要在短期内实施新系统，最重要的是：A、完成用户手册的编写B、执行用户验收测试C、将最新的增强功能添加到功能中D、确保代码已存档并已审核答案：B191.A4-84一名信息系统审计师执行应用程序维护审计时，将审查程序变更日志，以便了解：A、程序变更的授权情况B、当前目标模块的创建日期C、程序的实际改动量D、当前源程序的创建日期答案：A192.在某医院中，医务人员携带存有病人健康状况数据的手持式电脑。这些手持式电脑与可从医院数据库传输数据的PC同步。以下哪项措施最重要？A、手持式电脑得到了妥善保护，可在发生盗窃或丢失时仍能保证数据的机密性。B、在使用后删除本地PC中临时文件的员工具有维护PC的权限。C、通过制定政策和流程来确保同步能够及时进行。D、手持式电脑的使用得到医院政策的允许。答案：A193.以下哪一项是表明高级管理层审查了IT表现的最佳证据？A、执行管理委员会会议纪要B、IT战术规划C、平衡积分卡D、关键性IT表现指标答案：C194.在审计生命周期的哪个阶段适合与客户讨论初步审计意见A、执行阶段B、报告阶段C、规划阶段D、跟踪阶段答案：B195.以下哪项最能确保信息资产的机密性？A、按照“按需分配”的访问控制原则B、采用双因素身份认证控制C、人员安全意识培训D、为所有用户配置只读权限答案：A196.作为企业的业务连续性计划(BCP)的一部分，在将新业务应用程序部署到已托管遗留应用程序的服务器后，服务器的高可用性战略得到加强。以下哪一项是这一变更最可能的原因?A、更短的RPOB、更短的RTOC、更长的RTOD、更长的RPO答案：B197.A3-43以下哪项最有可能是实施标准化基础设施的好处?A、提高IT服务交付和运作支持的成本效益B、提高IT服务交付中心的安全性C、降低在IT基础设施方面的投资D、减少未来对应用程序变更进行测试的需要答案：A198.A5-260以下哪项是对移动设备进行加密的最佳方法?A、椭圆曲线加密算法B、数据加密标准C、高级加密标准D、lowfish算法答案：A199.A5-173审查客户端/服务器环境的访问控制的信息系统审计师应该首先：A、评估加密技术B、识别网络接入点C、审查身份管理系统D、审查应用程序级访问控制答案：B200.A1-62在程序变更控制的评估期间，信息系统审计师使用源代码比较软件的目的是：A、在不需要信息系统人员提供信息的情况下，检查源程序的变更B、检测源程序从获得源的副本到比较运行这段时间内所经历的变更C、确定控制副本是当前版本的生产程序D、确保当前源副本中的所有变更已经过测试答案：A201.审计师对外包业务进行审查，最先查?A、合同是否支持业务需求B、合同中有没有审计条款C、合同中包含终止后提供支持D、合同是否符合行业最佳实践答案：A202.A5-277以下哪项能够在最大限度上限制分布环境中服务器故障的影响?A、冗余路径B、群集C、拨号备份线路D、备用电源答案：B203..当信息系统审计师期望零偏差或很少偏差时，使用以下哪种抽样技术最适合?A、发现抽样B、随机抽样C、停走抽样D、货币单位抽样答案：A204.信息系统审计师应该会在下列哪一个SDLC阶段，发现控制措施已集成到系统规范中？A、实施B、设计C、开发D、可行性研究答案：B205.在评估企业的漏洞扫描计划时，以下哪项是审计师的最大顾虑？A、漏洞扫描频率低于漏洞扫描计划要求B、结果没有报告给有权确保解决相关漏洞的人C、未记录针对已识别漏洞所采取的步骤D、结果没有得到高级管理层批准答案：B206.A1-56选择审计程序时，信息系统审计师运用自己的专业性判断，以确保：A、收集充分的证据B、重大缺陷在合理期限内得到纠正C、识别出所有严重缺漏D、将审计成本控制在最低水平答案：A207.IT审计师在审查第三方供应商报告的KPI。以下哪项是审计师的最大担忧?A、KPI数据未加以分析B、KPI从未进行更新C、文档相关的，可排除D、KPI没有明确定义答案：D208.以下哪一项最好地保证了医疗机构正确处理了数据?A、遵守审计提出的问题进行整改B、遵从行业标准和最佳实践C、遵从企业的政策和程序D、遵从当地法律和法规答案：D209.【重要题】哪项风险对抽样方法的选择影响最大?A、固有风险B、残余风险C、检测风险D、控制风险答案：D210.下列哪些病毒防护技术能够通过硬件实施A、远程启动B、启发式扫描C、行为阻断D、免疫答案：A211.A2-6以下哪个选项是实施政策对IT员工兼职就业设置条件原因?A、防止滥用公司资源B、防止出现利益冲突C、防止出现员工绩效问题D、防止IT资产遭到盗窃答案：B212.【重要题】.IT指导委员会应该采取哪项措施来帮助董事会履行IT治理职责?A、制定IT政策和措施来跟踪项目B、聚焦在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D213.企业的操作人员未执行年末财务报表的自动脚本，以下哪项措施可以起到很好的作用A、培训操作人员B、选择有经验的财务人员加入操作团队C、实施封闭检查清单(Closingchecklist)D、更新操作手册答案：C214.某个大型组织正在对下一年度的IT项目进行优先级排序。排序的依据应该：A、根据项目的成本效益分析结果。B、根据组织下一年度的IT资源情况。C、根据项目的投资额大小。D、根据技术的先进性答案：A215.以下哪一项是用以确定执行跟踪审计过程时间表的最重要标准？A、审计发现结果的风险暴露B、审计资源的可用性C、被审计方的时间允许D、下一次审计之间的协调答案：A216.A1-55在信息系统审计的计划阶段，信息系统审计师的主要目标是：A、达到审计目标B、收集足够的证据C、指定适当的测试D、尽可能少使用审计资源答案：A217.保护信息资产的机密性时，最有效的控制措施是：分值5分A、采用双因素身份验证机制。B、开展有关法规要求的人员意识培训。C、执行按需分配制访问控制理念D、为全部用户配置只读权限答案：C218.通过哪种方式，信息系统审计师可以有效评估整体IT性能A、IT价值分析B、以往审计报告C、IT平衡积分卡D、漏洞评估报告答案：C219.A5-1Web应用程序开发人员有时在网页上使用隐藏字段来保护有关客户会话信息。在某些情况下，这种技术用于存储持续存在多个网页的会话变量，例如，在零售网站应用程序中保存购物车的内容。此种做法最有可能导致的基于Web的攻击是：A、/参数篡改B、跨站点脚本C、ookie篡改D、隐藏命令执行答案：A220.在开发新的财务应用程序时，信息系统审计师首先应参与A、控制设计B、可行性研究C、系统测试D、应用程序设计答案：B221.A3-71以下哪种测试能够确定新系统或修改后的系统能够在其目标环境中运行，并且不会对其他现有系统产生不利影响?A、并行测试B、试点测试C、接口/集成测试D、社交性测试答案：D222..以下哪一项管理层决策会带来与数据泄漏相关的最大风险?A、安全政策在过去一年没有更新B、允许员工可以远程工作C、不为员工提供安全意识培训D、不要求对桌面电脑进行加密答案：C223.当企业实施安全信息和事件管理（SIEM）系统时，建立了哪一种控制类型A、检测性B、改正性C、指导性D、预防性答案：A224.A5-285在一家小型组织中,某位员工负责计算机操作，并在必要情况下，还负责修改程序。该信息系统审计师应建议以下哪个选项?A、自动记录对开发库的更改B、增加员工，从而可以分离职责C、确保只有经过审批的流程的更改能得以实施D、设立访问控制以防止操作员修改程序答案：C225.A5-222以下哪项是减轻针对互联网银行应用程序的域欺骗攻击的最佳控制?A、用户登记和密码政策B、用户安全意识C、使用入侵检测系统/入侵防御系统D、域名服务器安全强化答案：D226.【重要题】以下哪一项最使信息系统审计师向管理层表明实施后分析是有效的?A、吸取的经验教训已记录存档并加以应用B、业务和IT相关人员都参加到实施后分析中C、完成了后续审计，且没有发现任何问题D、实施后分析是系统开发生命周期(SL)中的一个正式阶段答案：A227.A4-62信息系统审计师在审查系统参数时，应该主要考虑：A、参数设置满足安全性和性能要求B、变更已记录到审计轨迹中并定期进行了审查C、变更经过授权，并取得了相应文档的支持D、限制对系统参数的访问答案：A228.评估云环境下的应用程序的控制措施时，审计师最应关注以下那项？A、云环境下系统的可用性B、系统所支持的业务流程C、正在接受审计的业务领域的相关政策和程序D、系统结构和云环境答案：B229.IS审计师要评估预防性维护程序的有效性，最有帮助的是：A、维护日志B、维护计划C、停机时间记录D、供应商是否可靠答案：C230.A4-168某企业使用特权账户处理关键任务应用程序的配置变更。此时，以下哪个选项属于限制风险的最佳且恰当的控制?A、确保审计轨迹正确具体B、确保人员经过足够的培训C、确保已对关键人员进行人员背景调查D、确保管理层已对关键变更进行审批和审查答案：D231.项目开发阶段，新增加了一个功能点，以下哪项影响最大?A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A232.在发生事故时，以下哪一项最有利于法律程序?A、根本原因分析(类似的描述，可排除)B、执行电子取证的权利C、法律顾问的建议D、保持保管链答案：D233.【重要题】要有效地建立企业IT结构体系，以下哪一项最为重要：A、仅在体系结构中包含关键系统B、企业支持标准化C、完善的数据转移政策D、与其他组织体系结构的对比答案：B234.组织想要评估IT系统之后，来实施财务审计(意思就是财务数据依赖于系统),那么IT审计师的实施流程是什么？A、先测试it一般控制(itgc),再测试主要itac(应用控制)B、先测试主要itac(应用控制),再测试it一般控制(itgc)C、先测试主要的财务应用程序，再测试IT治理流程D、先测试明细账，再测试总账答案：A235.A5-219对IT系统实施渗透测试时，组织最应关注以下哪项?A、报告的机密性B、找到系统中的所有漏洞C、将系统恢复为原始状态D、记录对生产系统进行的更改答案：C236.哪种风险类型决定是否进行实质性测试：A、固有风险B、审计风险C、检测风险D、控制风险答案：D237.A4-126评估业务连续性计划效能的最佳方法是审查：A、计划并将其与适当标准进行比较B、先前的测试结果C、应急流程和员工培训D、异地储存和环境控制答案：B238.【重要题】可用性最好(容错率最高)的网络结构是：?(哪种网络结构最稳定?)A、环状B、网状C、星形D、总线答案：B239.A4-136如果发生数据中心灾难,以下哪一项是能够完全恢复关键数据库的最适当策略?A、每天将数据备份到磁带并存储于远程站点中B、实时复制到远程站点C、硬盘镜像到本地服务器D、将数据实时备份到本次存储区域网络答案：B240.IS审计师正在审查某组织的人力资源（HR)数据库的实施情况。IS审计师发现:为获得高可用性而群集数据库服务器,所有默认数据库帐户己删除，并且已保留数据库审计日志并每周审查一次。为确保适当保护数据库的安全，IS审计师还应检查哪些其他领域？A、限制数据库管理员访问HR数据。B、数据库日志经过加密。C、数据库存储的程序经过加密。D、数据库初始化参数适当。答案：D241.流程所有权分配在系统开发项目中至关重要，原因是它：A、利于跟踪开发完成的百分比。B、优化用户验收测试(UAT)案例的设计成本。C、最大限度缩小需求与功能之间的差距。D、确保系统设计基于业务需求。答案：D242.以下哪一项控制最能防止互联网嗅探器（Internetsniffer）进行重放攻击：A、数据包过滤路由器B、数字签名C、正确配置的防火墙D、待时间戳的数据加密答案：D243.对从数据仓库生成的商业报告的质量进行审查时，最应关注下面哪种情况?A、数据错误未经过IT人员一致审查B、数据质量报告无法提供对业务发展趋势的洞见C、数据质量报告每晚批量从数据仓库中生成导出。D、报告中的数据错误在数据仓库中已得到修正答案：A244.A5-200防止网络被用作拒绝服务攻击中的放大器的最佳过滤规则是拒绝所有：A、源地址在网络外部的传输出流量B、被辨认出使用伪造IP源地址的传入通信C、包含互联网协议中所设置选项的传入流量D、目标地址属于关键主机的传入流量答案：A245.哪一项是确保数据分析项目使用的个人数据无法识别的最佳方式A、重新识别B、匿名化C、标记化D、随机化答案：B246.一名员工遗失了包含企业敏感数据的移动设备，以下哪一项可最有效的防止数据泄露？A、员工立即报告丢失的设备B、对设备上的数据进行备份C、加密设备上的数据答案：C247.审计新应用系统的持续运行计划的最佳时间是？A、交接给系统维护部门之前B、上线后立即进行C、系统需求阶段D、成功进行用户测试之后答案：C248.A5-164公司XYZ已将生产支持外包给在另一个国家的服务提供商ABC。ABC服务提供商的工作人员通过互联网连接到XYZ的生产支持网络。以下哪一项能最有效地保证在ABC的生产支持团队向XYZ提供支持时，信息传输是安全的?A、密钥加密B、动态互联网地址和端口C、哈希函数D、虚拟私有网络隧道答案：D249..被审计方已告知信息系统审计师，其资金不是以实施审计报告中商定的建议，且没有预计的解决时间计划，审计师应对此情况采取的最佳方式是什么?A、在无法实施完整解决方案的情况下评估风险B、关闭该发现并记录被审计方的解释C、获得内部审计批准，以将发现从报告中删除D、提出建议增加IT预算答案：A250.镜像磁盘（mirroreddisks）的使用：A、减少对额外存储的需求B、缩短系统响应时间C、消除异地备份的需求D、需求定期异地备份答案：D251.A2-54以下哪一项是创建防火墙政策的第一步?A、对保护应用程序的方法进行成本效益分析B、确定可被外部访问的网络应用程序C、确定与可被外部访问的网络应用程序相关的漏洞D、创建应用程序流量矩阵，说明保护方法答案：B252.进行企业风险评估的第一步是确定?A、弱点B、资产C、威胁D、)影响答案：B253.为了实施数据保护控制，信息系统审计师的最佳建议是什么？A、对照行业最佳实践对软件和开发生命周期进行基准分析B、映射公司的业务流程以识别个人身份信息(PI)C、在解决方案开发生命周期内包括隐私检查D、任命计划经理来监督隐私计划的改进答案：A254.公司请外部审计，对外部信息系统审计师的访问权限应由以下哪项文件予以说明和授予?A、审计章程B、经批准的工作说明C、给所有相关方的内部备忘录D、有关审计工作开展的需求请求书答案：A255.企业目前磁带备份，每周一次全备份、每日一次增量备份的策略。最近，企业领导把磁带备份流程中增加了向磁盘备份的步骤。这种做法之所以恰当，是因为：A、向磁盘备份的速度远快于向磁带备份B、数据保存在磁盘上，其可靠性高于磁带存储C、它支持非现场存储的快速合成备份D、随着技术的进步，不再需要磁带库答案：A256.A5-69认证机构(CA)可委任外部机构处理的工作是：A、吊销及暂停用户的证书B、生产及分配公钥C、在申请实体与其公钥之间建立关联D、发布及分配用户证书答案：C257.A4-117审计数据库服务器时,以下哪项会被认为是最大风险?A、管理员账户的密码不过期B、数据库的默认全局安全设置保持不变C、旧数据未被清除D、数据库活动未被完整记录答案：B258.IDS能检测什么类型的攻击A、系统扫描B、垃圾邮箱C、欺骗D、逻辑炸弹答案：A259.以下哪种报告最能够有效分析系统的性能？A、控制台日志B、同步报告C、数据库使用日志D、使用情况报告答案：D260.以下哪项用以管理供应商支持的软件状态为最新?A、版本管理B、变更管理C、软件资产管理D、补丁管理答案：D261.以下哪一项是公司转移IT风险的有效方式？A、购买保险（买保险是最常见的转移IT风险的手段）B、凑数的选项答案：A262.五百多个用户都可以访问客户信息表，对什么影响最大A、完整性B、机密性C、可用性答案：B263.A2-76审查信息安全政策时，信息系统审计师应最关注以下哪个选项?该政策：A、由IT部门的目标驱动B、已经公布，但没有要求用户阅读C、没有包含信息安全流程D、政策已经一年多未更新答案：A264.A2-110在有效的信息安全治理的情况下，价值交付的主要目标是：A、优化安全方面的投资，以支持业务目标的实现B、实施一套标准的安全实践C、制定基于标准的解决方案D、建立一种持续改进的文化氛围答案：A265.测试BCP的主要原因在于确保：A、能够恢复关键数据。B、熟悉恢复程序，尽可能减少实际实施中的紧张情绪。C、树立自身灾难期间的信心。D、确保灾难恢复小组成员得到培训。答案：A266.信息系统指导委员会的主要职责是？A、制定项目计划B、明确项目的约束因素C、制定应用项目管理的框架技术D、实施质量管理制度答案：A267.A2-115制定正式的企业安全计划时，最关键的成功因素是：A、建立审核委员会B、设立负责安全的单位C、来自执行主管的有效支持D、安全流程所有者的选择答案：C268.A4-127审查业务连续性策略时,信息系统审计师与组织中的关键利益相关方面谈，确定他们是否理解各自的角色和责任。信息系统审计师将尝试评估：A、业务连续性计划的明确性和简洁性B、业务连续性计划的充分性C、业务连续性计划的有效性D、信息系统和最终用户员工在紧急情况下的响应能力答案：A269.【重要题】为了减少日志服务器不堪收集错误攻击日志的压力，以下最佳建议是()A、微调IS的规则设置B、调整防火墙的访问控制规则C、更换日志服务器D、调整网络架构答案：A270.什么影响DRP?(信息系统审计师检查恢复策略的充分性主要检查下列哪个因素?)A、BIAB、RTOC、RPO答案：A271.A3-148以下哪一项最有助于确保识别偏离项目计划的情况?A、项目管理框架B、项目管理方法C、项目资源计划D、项目绩效衡量标准答案：D272.项目上线后的审查中，应审查以下哪一项来确定项目是否满足用户要求？A、用户文档的完整性B、并行测试的结果C、程序更改请求的类型。D、关键计算的完整性答案：B273.一个IT审计经理参加并担任了监督某个项目中的项目经理。回到审计部门后，他被安排参加对上述项目的审计，该审计经理是审计部门中唯一具有项目管理知识的人员。最佳做法是：A、由该审计经理参加审计，因为只有他具备项目管理知识。B、不考虑是否具备项目管理知识，指派另外一个审计师参加审计。C、指派一个高级审计师参加审计，并由该审计经理对审计结果进行复核。D、推迟审计，直到合适的审计资源出现。答案：C274.A5-223以下哪项能够最有效地增强基于质询应答的身份认证系统的安全性?A、选择更可靠的算法来生成询问字符串B、采取各种措施防止会话劫持攻击C、增加更改相关密码的频率D、增加身份认证字符串的长度答案：B275.【重要题】什么是制定战略过程中面临的最大风险?A、可排除B、IT战略的制定基于以前的执行情况C、IT战略在业务战略和计划之前制定D、IT战略未包含信息安全答案：C276.A5-122组织的管理人员决定制订安全意识计划。以下哪项最可能是该计划的一部分?A、利用入侵检测系统报告事故B、强制使用密码访问所有软件C、安装有效得到用户日志系统来跟踪每个用户的操作D、对所有新老员工定期提供培训答案：D277.【重要题】查看邮件的内容是否被修改，应使用?A、哈希B、数字签名C、加密D、双因素认证答案：A278.A5-7信息系统审计师发现组织的首席信息官(CIO)使用的是采用全球移动通信系统(GSM)技术的无线宽带调制解调器。当出差在外时，CIO使用此调制解调器连接自己的便携式计算机和公司的虚拟私有网络。信息系统审计师应：A、什么也不做，因为GSM技术固有的安全功能已经足够了。B、建议IO在启用加密之前停止使用便携式计算机。C、确保网络上已启用介质访问控制(M)过滤，从而未经授权的无线用户无法连接。D、建议使用双因素认证进行无线连接，以防止未经授权的通信。答案：A279.能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是：A、使用软件来约束授权用户的访问B、将每次访问记入个人信息(即：作日志)C、对敏感的交易事务使用单独的密码/口令D、限制只有营业时间内才允许系统访问答案：A280.哪种有助于确保批文件转移的完整性A、散列总计B、自检数字C、奇偶校验D、输入控制答案：A281.以下哪个工具模型可以优化改进持续改良计划(或者题干为：以下哪个工具模型可以处理流程改善）？A、CMMIB、平衡积分卡C、CobitD、ITIL答案：A282.在系统开发周期SDLC的哪一个阶段进行风险评估是最有帮助的？A、系统开发前B、业务案例开发期间C、系统部署前D、生命周期的每个阶段答案：D283.一家企业遇到了由于默认用户帐户未从其中一台服务器中删除而导致的域名系统(DNS)攻击事故。以下哪一项合是缓解该DNS攻击的风险的最佳方式?A、遵循批准的际准配置来配置这些服务器B、让第三方配置虚拟服务器C、配置入侵防御系统以识别NS攻击D、要求所有员工参加安全配置管理的培训答案：A284.数据中心审计时，审计师发现火灾风险非常高应该推荐什么作为最有效的灭火措施?A、喷水式灭火系统B、手持式灭火器C、干剂灭火系统D、可排除答案：C285.项目经理可以通过识别和记录项目风险来：A、优先处理任务B、界定范围C、按时完成项目D、跟踪可交付成果答案：A286.下哪一项最能表明信息安全计划的有效性?A、安全团队知识丰富，使用最好的可用工具B、安全意识培训计划是根据行业最佳实践开发的C、经过意识培训后，报告和确认的安全事故数量有所增加D、安全团队执行了风险评估，以了解公司的风险偏好答案：C287.程序员恶意修改生产代码，然后恢复了原始代码，怎么检测这种恶意活动?A、查看系统日志文件B、比较源代码C、目标代码参照D、检查可执行文件答案：A288.A5-147要使无线局域网中传输数据的机密性得到最佳保护，需要会话：A、仅限于预定义的介质访问控制地址B、使用静态密钥加密C、使用动态密钥加密D、从具有加密存储的设备启动答案：C289.审计师发现，业务部门未经商议就修改了之前已经商议好的整改措施，审计师应该()A、检查是否有其他补偿性措施B、遵循重新制定的整改措施C、重新实施审计D、汇报给管理层答案：A290.在进行客户关系管理系统（CRM)应用审计时，IS审计师发现，相比其他时段，用户在高峰工作时段登录系统需要很长时间。登录后，系统的平均响应时间在可接受的范围之内。该IS审计师应当建议以下哪一个选项？A、IS审计师不提出任何建议，因为系统符合当前的业务需求。B、IT部门应当增加网络带宽，以提高性能。C、应当向用户提供详细的手册，以正确使用系统。D、IS审计师应当建议为验证服务器制定性能衡量标准。答案