2025年cisa国际注册信息系统审计师通关必做300题及答案

PAGEPAGE1一、单选题1.同时有内部、外部两个审计团队对高风险的业务进行审计，应该如何才能达到最有效率的安排审计模式A、内部审计利用外部审计的结果进行测试B、外部审计利用内部审计的结果进行测试C、两者同时进行测试答案：A2.什么影响DRP?(信息系统审计师检查恢复策略的充分性主要检查下列哪个因素?)A、BIAB、RTOC、RPO答案：A3.在灾难恢复审计过程中，某信息系统审计师发现没有进行业务影响分析，审计师需首先开展哪项工作？A、执行额外的符合性测试B、评估对当前灾难恢复能力的影响C、执行业务影响分析D、向管理层提交报告答案：B4.公司用了软件即服务(saas),在软件供应商不再提供服务的情况下怎样能保证可用性?A、复制这个软件(大概是意思)B、把数据定期备份C、在网络连接上做一个冗余D、第三方托管答案：D5.A4-98下列哪一项有助于确保连接到数据的应用程序的可移植性?A、验证数据库导入导出流程B、使用结构化查询语言C、分析存储过程/触发器D、将实体关系模型与数据库物理模型进行同步答案：B6.A5-18组织发现首席财务官的计算机已感染恶意软件，包括按键记录器和恶意程序工具包(rookit)。首先采取的措施应为：A、联系相应的执法部门开始调查B、立即确保不会危害其他数据C、断开P与网络的连接D、更新P上的防病毒签名，确保已检测并删除恶意软件或病毒答案：C7.A4-46供应商发布了修复软件安全漏洞的修补程序。在这种情况下，信息系统审计师应建议执行以下哪种操作?A、在安装修补程序前对其影响进行评估B、请求供应商包含提供所有修复程序的新软件版本C、立即安装安全修补程序D、以后不再与这些供应商合作答案：A8.信息系统审计师发现，有长达6个多月时间末在关键服务器上安装要求的安全补丁程序。下一个行动步骤应该是：A、审查补丁管理程序。B、将审计发现通知高级管理层。C、请求尽快安装补丁程序。D、确定延迟安装补丁的根本原因。答案：D9.A2-84以下哪一项最有可能表明，客户数据仓库应保留在内部而不是外包给海外公司?A、时区差异可能妨碍IT团队间的交流B、第一年的电信成本可能要高很多C、隐私法律可能禁止信息跨境传输D、软件开发可能需要更详细的规范答案：C10.以下哪一项最有助于信息系统审计师识别工资核算流程中的潜在超额给付情况?A、员工数量和供应商账号数量的比对B、指出与往期工资单有重大差异的报告C、对用于核查的员工和供应商地址进行审查D、薪资流程中有关最大笔工资的报告答案：B11.【重要题】信息系统的实施前审查以确定是否投产准备就绪，IS审计师最需要关注什么?A、效益是否经过证实。B、是否存在未解决的高风险项目C、用户是否参与了Q测试D、项目是否符合预算和目标日期答案：B12.在实施后审查时，以下哪一项最能证明用户需求得到了满足？A、操作员的错误日志B、客户服务事故支持请求的数量C、最终用户使用文档D、用户验收测试已签收答案：D13.检测到服务器的实际使用量远远小于计划，以下哪项措施可以改进服务器的可用性A、系统的停机日志B、容量规划C、服务器的配置D、执行流量负载均衡答案：B14.在Web应用中，包含以下哪一项可以保证最高的安全性A、SSLB、SFTPC、TelnetD、TLS答案：D15.测试程序和生产程序分离的主要目的在于?A、为变更管理控制提供基础B、为变更实施控制C、信息系统人员和最终用户之间实施职责分离D、限制IT人员对开发环境的访问权限答案：A16.IDS能检测什么类型的攻击?A、系统扫描B、垃圾邮箱C、欺骗D、逻辑炸弹答案：A17.A4-166信息系统审计师在核实某互联网服务提供商(ISP)是否遵循外包电子通信服务可用性的企业服务水平协议时，A、由ISP生成的电信服务故障报告B、由企业生成的自动故障转移服务使用情况报告C、由ISP提供的宽带使用情况报告D、由企业生成的电信服务故障报告答案：D18.公司请外部审计，对外部信息系统审计师的访问权限应由以下哪项文件予以说明和授予?A、审计章程B、经批准的工作说明C、给所有相关方的内部备忘录D、有关审计工作开展的需求请求书答案：A19.A1-48离场面谈过程中，如果对于审计发现可能产生的影响存在分歧，信息系统审计师应该：A、要求受审单位签署豁免协议书并承担全部法律责任B、详细阐述审计发现的重要性以及不予纠正可能产生的风险C、将不同意见报告给审计委员会以寻求解决方案D、接受受审方观点，因为他们才是流程所有者答案：B20.下列哪种做法将最能确保具有永久重要性的归档电子资料，多年后还能随时查询？A、购买类似旧版本软件的应用程序B、定期将数据转移到采用当前的技术的系统中C、定期备份归档数据D、对旧硬件执行预防维护答案：B21.因为IS审计团队资源限制，原批准的审计计划无法实施。假定己通过审计报告通报情况，最可接受的做法是哪一项？A、测试控制设计的充分性。B、测试控制的运作效率。C、着重审计高风险领域。D、依靠管理层测试控制。答案：C22.A5-65以下哪项加密算法选项会增加开销/成本?A、使用对称加密，而不是非对称加密B、使用加长的非对称式加密密钥C、加密的是哈希而非消息D、使用密钥答案：B23.A5-129某信息系统审计师正在审查某数据中心的物理安全控制，并发现有几个领域值得关注。以下哪个领域最重要?A、紧急断电按钮盖不见了B、未执行预定的灭火系统日常维护C、数据中心没有安全摄像头D、紧急出口被阻塞答案：D24.某员工执行计算机操作，并在必要时对程序加以修改，信息系统审计师应建议什么？A、应额外增加员工，以便进行职责分离B、应建立一套程序，以确保对计算机程序所作的更改得以识别和批准C、自动记录对开发库程序所作的修改D、访问控制应禁止操作人员对程序加以修改答案：B25.在下列哪个过程中会使用到Hash：A、对称加密B、数字签名C、非对称加密D、PKI答案：B26.A1-22在规划信息系统审计时，最关键的步骤是确定：A、重大风险区域B、审计人员的技能组合C、审计中的测试步骤D、分配给审计的时间答案：A27.【重要题】某企业有两个数据库，为满足管理层对数据库高弹性的需求，应该A、第二个数据库设立热站B、两个数据库都可以单独实现磁盘备份恢复C、两个数据库相互备份D、两个数据库互为镜相答案：D28.A4-123数据库管理员检测到某些表存在性能问题，这些问题可通过非规范化解决。这种情况将增加以下哪种风险?A、并发访问B、死锁C、对数据的未经授权访问D、失去数据完整性答案：D29.当变更运行环境中的程序时，最重要的应得到谁的批准A、用户管理部门B、项目经理C、安全管理员D、IT管理层答案：A30.以下哪一项是实施分散式IT治理模型最主要的原因？A、实现标准化和规模经济B、实现各业务部门的统一性C、促进各业务部门之间的IT协作D、有利于对业务需求有更快的响应答案：D31.A4-52组织的灾难恢复计划中包含互惠协议时，采用了以下哪种风险应对方法?A、转移B、缓解C、规避D、接受答案：B32.审计新应用系统的持续运行计划的最佳时间是？A、交接给系统维护部门之前B、上线后立即进行C、系统需求阶段D、成功进行用户测试之后答案：C33.A2-72以下哪一项对战略性IT举措的决策流程最有价值?A、项目管理流程的成熟度B、监管环境C、过去的审计结果D、IT项目组合分析答案：D34.A1-24在信息系统审计期间，所收集数据的范围应根据以下哪个选项确定?A、关键和必需的信息的可用性B、审计师对环境的熟悉程度C、受审方查找相关证据的能力D、正在执行的审计的目的和范围答案：D35.A4-65某组织的财务系统的灾难恢复计划规定，恢复点目标为零，并且恢复时间目标为72小时。下列哪一项是最具成本效益的解决方案?A、热备援中心可在8小时内投入使用，并对交易日志记录进行异步备份B、对多个位置处的分布式数据库系统进行异步更新C、对热备援中心中的数据和备用系统进行同步更新D、对于可在24小时内投入使用的温备援中心，以远程方式同步复制其中的数据答案：D36.可以驻留在WEB服务器上的功能?A、监控的主机数量B、流量分析C、发送接受警合D、启动关闭服务器答案：B37.A5-219对IT系统实施渗透测试时，组织最应关注以下哪项?A、报告的机密性B、找到系统中的所有漏洞C、将系统恢复为原始状态D、记录对生产系统进行的更改答案：C38.A3-139在对人力资源和工资应用程序进行系统开发生命周期审计期间，信息系统审计师注意到用于用户验收测试的数据已被屏蔽。屏蔽这些数据的目的是为了确保：A、数据的机密性B、数据的准确性C、数据的完整性D、数据的可靠性答案：A39.A1-101信息系统审计师正在规划如何评估与自动化记账流程相关的控制设计有效性。以下哪项是审计师可以采用的最有效的方法?A、面谈B、问询C、重新执行D、浏览审查答案：D40.以下哪一项IT服务管理活动最有可能帮助确定反复出现的网络延时的根本原因A、事故管理B、配置管理C、变更管理D、问题管理答案：D41.A2-141以下哪项是确保组织政策符合法律要求的最佳方式?A、在每项政策中包含全面法律声明B、由相关领域专家定期审查C、每年由高级管理人员签字并认可组织政策D、根据最严格的法规调整政策答案：B42.对新系统在投产和执行实施后审查之间分配足够的时间，主要是为了：A、获得对实施后审查范围的批准。B、更新项目要求和设计文件。C、让系统能在生产中稳定。D、可排除答案：C43.A1-34审计完某个组织的灾难恢复计划流程后，信息系统审计师请求与组织管理层开会讨论审查结果。以下哪项最能描述此次会议的主要目标?A、获得管理层对纠正措施计划的批准B、确认审查结果的事实准确性C、协助管理层实施纠正措施D、确认项目解决方案的优先级答案：B44.A5-197某公司正打算安装一个基于网络的入侵检测新系统，用来保护其托管的网站。该设备应当安装在哪里?A、在本地网络上B、防火墙外C、在隔离区中D、在托管网站的服务器上答案：C45.哪一种类型的攻击针对web应用程序中的安全漏洞以获得对数据集的访问权限?A、RootkitB、拒绝服务(DoS)C、SOL注入D、网络钓鱼（phishing）攻击答案：C46.为防止在共享打印机上打印的保密文档泄露，应该采用以下哪种方法？A、加密用户计算机和打印机之间的数据流B、使用已打印文档的密级生成标题页C、要求授权用户在将文档发送到打印机之前提供密码D、在打印结果输出之前，要求现在打印机上输入密码答案：D47.A3-3一位信息系统审计师在审查一系列已完成的项目时发现，实现的功能常常超出需求，而且多数项目大幅超出预算。组织的项目管理流程中的哪个环节更有可能引发这一问题?A、项目范围管理B、项目时间管理C、项目风险管理D、项目采购管理答案：A48.从Internet连接到企业的局域网时，防止未经授权访问的最佳建议是利用A、代理服务器B、VPNC、加密D、虚拟化服务器答案：B49.审计师抽样时，一个案例超过平均值5倍，下一步怎么做?A、增加总体100%抽样B、报告高管C、询问被审计人员差异D、按原方法和抽样标准实施答案：C50.【重要题】确保从远程位置传到生产仓库的所有订单都准确和完整接收的最适当控制是：A、发送并核对交易记录数量和汇总交易总数。B、跟踪并计算销售订单编号的连续性。C、验证奇偶校验是否仍然有效。D、将数据传回发源地，然后进行比对答案：A51.下面哪一项最可能包括在实施后审查中？A、项目测试数据集B、项目结果C、实时处理结果D、项目实施方法答案：B52.【重要题】下列哪项最能表明安全角色和责任在整个企业都得到有效落实?A、业务活动符合策略的规定B、用户签署了保密协议C、安全策略的出台和发布D、定期审查病毒更新策略答案：A53.回归测试的概念：在更改系统中某个程序的功能之后，需要对系统进行回归测试，其目的是：A、所作的更改是否对系统产生了负面影响。B、更改后的程序是否按照新的程序设计运行。C、更改后的程序是否按照用户要求的更改来运行。D、效率效能相关的选项（可排除）答案：A54.【重要题】实施后审查的主要目标是验证系统：A、实现了设定的目标B、与业务策略一致C、在生产环境中稳定运行。D、有用户文档支持。答案：A55.【重要题】以下哪个可用于确定恢复顺序?A、IB、风险评估C、P测试结果D、RP测试结果答案：A56.分散式信息安全职能的优势在于:A、提高合规性。B、更一致。C、提高响应能力。D、更客观答案：C57.A1-109相比传统审计,进行控制自我评估的主要优势是什么?A、它能够更早地检测到风险B、它能够取代内部审计职能C、它能够减轻审计工作量D、它能够减少审计资源需求答案：A58.IS审计师最有可能在什么地方看到应用哈希函数?A、身份认证B、标识C、授权D、加密答案：A59.审查新成立的CallCenter内的控制时，首先应A、评估与风险中心有关的操作风险B、测试呼叫中心的技术基础设施C、从客户那里收集服务响应时间和服务质量的信息D、审查呼叫中心的人工和自动控制答案：A60.什么能确保IT部门充分履行的他们的职能？A、审计章程B、确保IT策略在公司内部被充分共享C、为业务构建流程图D、审计委员会会议记录答案：C61.A4-238审计业务连续性计划(BCP)期间，某信息系统审计师发现，尽管所有部门在同一建筑物中办公，但是每个部门都有各自独立的BCP。该信息系统审计师建议协调BCP。应该首先协调以下哪一个领域?A、疏散计划B、恢复优先级C、备份存储D、呼叫树答案：A62.A5-124认证机构(CA)作为第三方的作用是：A、基于认证提供安全的通信和网络服务B、管理由该颁布并具有相应公钥和私钥的证书库C、担当两个通信伙伴之间的受信任中介D、确认拥有该所颁发证书的实体身份答案：D63.在制定数据保留政策(dataretentionpolicy)时,应首先考虑以下哪一项?A、识别法律和合同规定的数据保留期B、根据保留期确定备份周期C、确定数据的安全访问权限D、设计基础设施存储战略答案：A64.A3-76在企业资源管理系统的实施后审查期间，信息系统审计师最可能：A、审查访问控制配置B、评估接口测试C、审查详细的设计文档D、评估系统测试答案：A65.如何充分验证定期备份的及时性与有效性？A、访谈关键人员B、审查备份日志样本C、查看备份的策略与程序D、观察备份运行的执行情况答案：B66.A4-193信息系统审计师正在审查某企业资源规划应用程序的变更管理流程。以下哪项是测试程序变更的最佳方法?A、选择变更凭单的样本并审查其授权B、通过从始至终跟踪程序变更，执行浏览审查C、跟踪已修改程序的样本，以支持变更凭单D、使用查询软件分析所有变更凭单，看看是否有遗漏的字段答案：C67.A3-39以下哪种风险可能是由软件项目的基准指标不充分引起的?A、签字延迟B、违反软件完整性C、范围偏离D、控制不充分答案：C68.在小型组织中，信息系统审计师发现安全管理和系统分析功能由同一个员工执行，这反映出以下哪个问题?A、没有更新安全政策来反映这种情况B、该员工没有签署安全政策C、没有对该员工的活动进行独立审查D、没有工作说明进行更新以反应当前的现状答案：C69.某公司已将服务器环境虚拟化，而没有对网络或安全基础设施进行其他任何更改。下列哪一项是最重大的风险?A、虚拟化平台的漏洞影响多台主机B、系统文档未更新以反映对环境的更改C、网络IS无法监控虚拟服务器到服务器的通信D、数据中心环境控制措施与新的配置不相一致答案：C70.A4-71在进行灾难恢复审计时，信息系统审计师会认为下列哪一项最需要进行审查?A、签订某热备援中心，并且该站点在需要时可用B、具有现行业务连续性手册C、承保范围得当并且按时支付当期保险费D、及时备份数据并实施异地存储答案：D71.内部审计部门最近建立了一个质量保证(QA)计划。质量保证计划要求包括以下哪一项最重要?A、从内部审计员工获得反馈B、分析各条业务线的用户满意度报告C、定期对计划进行外部评估D、对计划进行长期内部审计资源规划答案：A72.A5-148以下哪个选项中的信息与积极主动地加强安全设置最相关?A、防御主机B、入侵检测系统C、蜜罐D、入侵防御系统答案：C73..移动设备要丢弃，怎么保证安全?(下列哪像对于磁盘清理数据最有效?)A、多次复写B、清除数据软件数据(数据擦除)C、把移动设备放置在强磁场中D、格式化答案：C74.A5-208为确保法庭采信日志信息，最需要以下哪一项衡量标准?确保数据：A、具有独立的时间戳B、由多个记录系统记录C、经过最安全的加密算法加密D、经过验证，以确保日志的完整性答案：D75.雇员有意或无意将敏感信息通过邮件发送到外部，在实施邮件控制措施之前，首先最重要的是要做什么？A、安装程序监测邮件内容和雇员活动B、实施数据分类C、与雇员签署保密协议D、对邮件服务器进行加固答案：B76.A1-133在审计某第三方IT服务提供商时，某信息系统审计师发现未按合同要求进行访问审查。信息系统审计师应：A、向IT管理层报告该问题B、与服务提供商讨论该问题C、执行风险评估D、执行访问审查答案：A77.下列哪一项是企业灾难冷备（互惠协议）的最大风险是？A、网络基础设施B、硬件组件的可用性C、电源连接D、适当的环境控制答案：B78.一名IS审计师正在审查某企业的系统开发测试政策。在以下有关使用生产数据进行测试的陈述中，此IS审计师会认为哪项最恰当？A、必须经高级IS和业务管理层批准使用后，生产数据才能用于测试。B、只要将生产数据复制到安全的测试环境中，就可使用。C、决不能使用生产数据。必须基于书面的测试案例准备所有测试数据D、如果签署了保密协议，便可使用生产数据。答案：A79.怀疑一个用来处理数据的PC，被用于针对财务部门的舞弊，应首先向谁报告A、业务管理部门B、警察C、审计委员会D、审计管理部门答案：C80.ROI分析在IT决策过程中的一个好处是提供A、分配间接成本的基础B、更换设备的成本C、分配财务资源的基础D、估计所有权的成本答案：C81.计算机房中安装了一套火警系统，火警控制面板的最有效放置是位于：A、距离UPS最近的机房中。B、系统管理员的办公室中。C、距服务器最近的机房中。D、大厦保安人员值班室。答案：D82..以下哪一项是用于预估开发大型业务应用程序复杂性的最佳方法?A、功能点分析B、关键路径分析C、工作分解结构D、软件成本估算答案：A83.衡量灾难恢复计划有效性中业务恢复的最佳途径是A、定义恢复点目标RPOB、业务影响分析BIAC、模拟灾难恢复D、评估与功能成熟度模型的差距答案：C84.A5-98在通信系统的审计期间,信息系统审计师发现传送至/来自远程站点的数据被截获的风险非常高。降低此风险最有效的控制为：A、加密B、回叫调制解调器C、消息验证D、专用租用线路答案：A85.对互联网防火墙固有滑源的有效攻击是什么?A、网络钓鱼B、大量数据(os)攻击网站C、拦截数据包并破获密码D、针对加密密码的字典攻击答案：A86.A5-118执行详细的网络评估和访问控制审查时，信息系统审计师应首先：A、确定网络入口点B、评估用户的访问授权C、评估用户的身份认证和授权D、评估域控制服务器的配置答案：A87.A5-86以下哪项对数字证书生命周期进行管理，以确保与电子商务有关的数字签名应用程序中存在足够的安全性和控制?A、注册机构B、认证机构C、证书撤销清单(RL)D、认证实施细则答案：B88.在评估企业资源规划（ERP）实施供应商时，信息系统审计师应首先建议执行A、调查供应商的财务历史B、检查供应商的客户参考C、制定供应商响应计分卡D、审查供应商过去的实施项目答案：D89.设计应对潜在自然灾害的数据备份策略时，以下哪一项最有帮助？A、恢复点目标（RPO)B、需要备份的数据量C、数据备份技术D、恢复时间目标（RTO)答案：A90.未经良好设计的数据中心可能遭受尾随，最好的措施?A、双因素认B、双重门认证C、)生物识别D、安全教育答案：D91.应用程序可以使用用户账号访问底层数据库，审计师最担心：(也有考生反馈题干描述为：底层用户可以直接访问数据库，哪项风险大?)(此题需进一步确认，请考生考试中特别留意)A、用户可以绕过应用程序访问数据库B、用户账户停用了，仍然可以访问C、应用程序审计记录不能包含全部信息D、底层数据库完整性被破坏答案：A92.A2-74以下哪一项是IT绩效衡量流程的主要目标?A、将错误减至最少B、收集绩效数据C、建立绩效基准D、优化绩效答案：D93.在制定新的风险管理计划时，一定要考虑以下哪种因素？(新题)A、风险偏好B、合规性措施C、风险缓解技术D、资源利用答案：A94.某企业IT部门严重依赖外包商来维护关键系统。为了解决收入下降的问题，董事会已决定将整个企业的所有外包商的预算减少30%.以下哪一项是IT领域的最大风险?A、关键系统可能得不到适当的维护B、最终用户可能无法从其余IT员工那里获得足够的支持C、所需的软件许可证预算可能不足D、外包商可能会在离开之前尝试从关键系统中提取有价值的数据答案：D95.企业打算外包其信息安全之能，其中哪项不能外包只能留在企业内？A、公司安全策略的责任B、制定公司安全策略C、实施公司安全策略D、制订安全推进和指导答案：A96.A4-61信息系统审计师正在对某金融机构使用的灾难恢复热备援中心执行审查。以下哪一项是最值得关注的问题?A、系统管理员使用在热备援中心永不过期的共享账户B、未及时更新磁盘空间使用数据C、热备援中心的物理安全控制不如主站点稳固D、热备援中心的服务器与主站点的服务器规格不同答案：B97.A5-210以下哪一种控制能最有效地减少欺诈性在线付款请求造成损失的风险?A、交易监测B、用安全套接字层保护We会话C、强制执行身份认证的密码复杂性D、在We表单上输入验证检查答案：A98.信息系统审计师正计划对企业的风险管理实践进行审计。以下哪一项提供有关风险偏好的最有用信息？A、之前的审计报告B、风险政策C、风险评估D、管理层的主张答案：D99.提交了审计报告，部门未整改，应该？A、报告管理层B、评估影响C、重新验证审计发现答案：A100.A5-175某信息系统审计师正在审查某家制造公司，并发现远程站点的主机用户通过Telnet经互联网连接到总部的主机上。以下哪一项提供最强的安全性?A、使用点对点租用线路B、使用防火墙规则，只允许该远程站点的互联网协议地址C、使用双因素认证D、使用Telnet非标准端口答案：A101.A5-281出现以下哪种情况时,信息系统审计师最需要对第三方托管的云计算环境进行审查?A、组织无权评估供应商站点中的控制B、服务水平协议未规定出现安全漏洞时供应商应承担的责任C、组织和供应商所在国家/地区的法律和法规不同D、组织使用旧版浏览器存在某些类型的安全风险答案：B102.A5-3审计轨迹的主要目的是：A、改善用户响应时间B、确定已处理交易的问责制度C、提高系统的操作效率D、为想要跟踪交易的审计师提供信息答案：B103.白箱测试方法适用于以下哪项测试程序？A、并行测试B、社交测试C、用户验收测试D、集成测试答案：D104.信息系统审计师应该会在下列哪一个SDLC阶段，发现控制措施已集成到系统规范中?A、实施B、设计C、开发D、可行性研究答案：B105.在典型的系统开发生命周期中，下列哪个小组主要负责确认是否符合需求?A、质量保证B、内部审计C、风险管理D、指导委员会答案：A106.数据库重组的目的是？A、缩短同时更新时间和索引验证B、减少反问恢复和恢复次数C、消除重复内容并进行数据备份D、改进数据访问和检索次数答案：D107.在审查用户账户政策时，信息系统审计师的最大担忧是什么?A、员工辞职后，没有撤销其系统访问权限的相关政策B、当员工更改角色时，没有任何政策可以撤销以前的访问权限C、没有要求员工签署保密协议NDA的相关政策D、没有针对安全意识培训的政策答案：B108.使用数字签名的主要原因A、机密性B、完整性C、可用性D、实效性答案：B109.规划审计时，对重要性进行评估的作用是A、可排除小错误的累计效应B、帮助审计集中在关键领域C、在审计测试完成时告知审计师D、集中于财务方面的项目答案：B110.审查网络安全，以下哪项最值得关注A、硬件未全部记录到清单中B、防火墙政策未被安全官审批C、防火墙政策未记录D、什么政策未记录，记不清了答案：B111.公司采购项目，以下哪项是信息系统委员会的职责?A、项目计划B、实施项目质量管理制度C、风险管理D、问题管理答案：C112.数据中心环境控制审计可能包括以下哪一项审查?A、有权进入数据中心的人员名单B、应急出口的报警系统C、数据中心的访问日志D、天花板上没有湿管答案：D113.A4-21信息系统审计师审查服务水平协议(SLA)时，应对以下哪个问题最关注?A、异常报告导致的服务调整需要一天的实施时间B、用于服务监控的应用程序日志过于复杂，导致审查非常困难C、服务衡量方式未包括在SL中D、文档每年更新一次答案：C114.A4-172在灾难后恢复数据时,下列哪项指标最能说明备份和恢复程序的有效性?A、恢复组的成员能够进行工作B、达到恢复时间目标C、备份磁带库存已得到妥善维护D、备份磁带在备用站点中完全恢复答案：B115.【重要题】在数据库系统中，正规化的用途是?A、消除死锁B、减少数据冗余。C、缩短数据访问时间。D、使数据标准化。答案：B116.A2-142某信息系统审计师正在审查风险管理流程。以下哪项是审查期间最重要的考虑事项?A、根据成本效益分析实施控制B、风险管理框架基于全球标准C、风险响应审批流程得到贯彻以D、业务术语说明IT风险答案：D117.了解一个操作系统的安全配置的最佳方式是：A、学习供应商的安装手册。B、检查系统安全计划。C、跟安装软件的系统程序员面谈。D、查看系统自动配置的参数。答案：D118.A4-128在设计业务连续性计划期间，业务影响分析确定关键流程和支持业务的应用程序。这将主要影响：A、维护业务连续性计划的责任B、选择恢复站点提供商的标准C、恢复策略D、关键人员的责任答案：C119.ROI(returnoninvestment投资回报率)分析在IT决策过程中的一个好处是提供A、分配间接成本的基础B、更换设备的成本C、分配财务资源的基础D、估计所有权的成本答案：C120.企业使用IASS（基础设施及服务）进行IT管理，谁应该负责操作系统安全A、企业B、云服务商C、操作系统提供商D、企业和云服务商答案：A121.A1-146某信息系统审计师想要确定管理用户进出服务器机房的有效性。以下哪项能够提供最佳的有效性证据?A、查看日志中记录的事件B、审查流程手册C、约谈管理人员D、约谈安全人员答案：A122.为防止未授权的变更被移入生产环境，最有效方式是以下哪一项?A、彻底测算测试环境中的变更B、强制在开发人员和迁移者之间进行职责分离C、需要业务流程所有者批准变更D、定期审查变更请求，以确保所有变更文件记录在附件中答案：B123.【重要题】为减轻API查询公开数据的风险，以下哪项考虑因素最重要?A、数据完整性B、数据质量C、数据最小化D、数据保留答案：C124.【重要题】在评估企业的漏洞扫描计划时，以下哪项是审计师的最大顾虑?A、漏洞扫描频率低于漏洞扫描计划要求B、结果没有报告给有权确保解决相关漏洞的人C、未记录针对已识别漏洞所采取的步骤D、结果没有得到高级管理层批准答案：B125.A3-52执行事后审查的主要目的是提供机会：A、改进内部控制程序B、将网络强化到行业最佳实践标准C、向管理层强调事故响应管理的重要性D、提高员工对事故响应过程的认识程度答案：A126.企业将某个系统部署到私有云的Issa，问谁为系统安全最终负责：A、企业B、企业和云供应商C、操作系统供应商D、云供应商答案：A127.【重要题】在信息系统开发方法中，以下哪一项应该被包括在内?A、风险管理技术B、事故管理技术C、访问控制规则D、增值活动分析答案：A128.A1-26发现共享用户账户时，信息系统审计师要采取的最适当措施是：A、向审计委员会告知潜在的问题B、审查有问题I的审计日志C、记录发现并说明使用共享I的风险D、要求从系统中删除这些I答案：C129.【重要题】某公司实施了虚拟化，但是对网络和安全基础设施没有变动，最容易造成哪种风险?A、IS检测不了虚拟化到服务器的流量B、虚拟平台的漏洞会影响多台主机C、系统文档未更新以反映环境的变更D、新的虚拟环境与原环境配置不同答案：B130.信息系统审计师在审查某应用程序是否符合信息隐私保护原则时，应该最关注以下哪项？A、完整性B、不可抵赖性C、可用性D、信息收集限制答案：D131.A1-73信息系统审计师应使用下列哪项来检测发票主文件中是否存在重复的发票记录?A、属性抽样B、计算机辅助审计技术C、符合性测试D、集成测试设施答案：B132.A5-282以下哪个选项可用于自动确保在处理过程中使用适当的数据文件?A、文件标题记录B、使用版本号C、奇偶校验D、文件安全控制答案：A133.为了给客户提供更快的查询，数据库管理员删除了引用完整性，以下哪项能够弥补删除引用完整性所带来的问题？A、定期检查表的链接B、更加频繁的备份数据C、对数据库实施性能监控答案：A134.制订业务连续性计划的第一步，也是必不可少的一步是：A、软件和硬件的可用性B、罗列出所有资产的清单C、完整地记录所有灾难D、根据风险将应用系统分类答案：B135.信息系统审计师在审核与新数据丢失防护工具相关的控制设计时，发现将配置该工具在大型文件通过电子邮件发送至公司外部时，系统会向IT管理人员发出警报。以下什么类型的控制将会被测试?A、纠正B、指示C、检测D、预防答案：C136.以下哪项最能保证审计部门的独立性A、审计计划B、审计章程C、审计报告D、审计方案答案：B137.A2-55以下那个选项是决策支持系统过程中的实施风险?A、管理控制B、半结构化维度C、无法明确目标和使用模式D、决策过程中的变化答案：C138.以下哪一项是实施分散式IT治理模型最主要的原因?A、实现标准化和规模经济B、实现各业务部门的统一性C、促进各业务部门之间的IT协作D、有利于对业务需求有更快的响应答案：D139.A3-1已定义和完成的系统交付成果是新业务系统应用能够成功完成和实施的保证，该交付成果应由谁审查和批准?A、用户管理人员B、项目督导委员会C、高级管理员D、质量保证人员答案：A140.A4-222为了进行适当协调,以下哪项业务连续性计划测试需要危机管理/响应团队的相关成员的参与?A、桌面测试B、功能测试C、全面测试D、桌上检查答案：A141.未经良好设计的数据中心可能遭受尾随，最好的措施是A、双因素认B、双重门认证C、生物识别D、安全教育答案：D142.IT指导委员会应该采取哪项措施来帮助董事会履行IT治理职责?A、制定IT政策和措施来跟踪项目B、聚焦在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D143.信息系统审计师发现安全运营团队在与员工的通信中包含了最近攻击的详细报告。以下哪一项是这一情况的最大担忧?A、员工可能会滥用或传播报告中的信息B、没有采用书面化的方式来传达报告C、没有技术专业背景的员工不理解该报告D、员工可能未能了解威胁的严重性答案：A144.如何确保审计师在控制自我评估中的独立性?A、设计CSA调查问卷B、参与其中C、监督并提供整改意见D、评估CSA调查问卷答案：C145.A5-250信息系统审计师在审查一家组织的身份认证控制时最应关注的是：A、是否有用户账户在5次尝试失败后未被锁定B、员工是否可以在定义的时间范围内重复使用密码C、系统管理员是否使用共享登录凭证D、密码是否不会自动过期答案：C146.A4-82某批量交易作业在生产中操作失败，但在用户验收测试(UAT)中却未出现问题。生产批量作业分析显示，它在UAT后经过修改。将来减少这种风险的最佳途径是以下哪一个?A、完善回归测试案例B、针对发布后的有限时间段启用审计轨迹C、执行应用用户访问审查D、确保开发人员在测试后无访问权限进行编码答案：D147.某外部单位向审计师索要审计报告，审计师应该怎么做?A、征得审计管理部门和被审单位同意后，提供审计报告B、征得审计管理部门同意后，提供审计报告C、征得被审单位同意后，提供审计报告D、直接提供审计报告答案：A148.某IS审计师正在审查某组织，以确保与数据违规情形有关的证据得到保留，对该IS审计师而言，以下哪一项最值得关注?A、最终用户不知晓事故报告程序。B、日志服务器不在单独的网络上。C、未坚持进行备份。D、无监管链政策。答案：D149.在生产数据库中直接更新数据时，以下哪一项能最有效地确保问责制？A、之前和之后的屏幕截图B、经过批准的实施计划C、经过批准的验证计划D、数据文件安全性答案：A150.A5-224发送付款指令时,下列哪项有助于合适该指令不重复?A、使用加密哈希算法B、将消息摘要加密C、计算交易的检验和D、使用序号和时间戳答案：D151.在审查数据中心运行的有效性时，信息系统审计师需首先确定系统性能，用于以下哪项工作？A、按照事先约定的服务等级进行监控和报告B、满足制造商规定的预期目标C、在该系统的公认可靠性等级之内D、能够反映在实施时确立的预期使用水平答案：D152.规划审计时，对重要性进行评估的作用是：A、可排除小错误的累计效应B、帮助审计集中在关键领域C、在审计测试完成时告知审计师D、集中于财务方面的项目答案：B153.在取证数据采集和保存流程中以下哪项最重要？A、保持数据完整性B、确保设备的物理安全C、维持保管链D、决定要使用的工答案：C154.A3-56专家系统使用问卷调查的方式引导用户做出一系列选择，直到得出结论。这个方法的知识基础被称为：A、规则B、决策树C、语义网络D、数据流图答案：B155.【重要题】在支持投资的业务案例中包含以下哪一项最重要?A、业务影响分析(I)B、安全要求C、成本效益分析D、风险评估答案：C156.考想到有一个重大的数服安金器网，通席执行育(CEO)要计对网络安全功械进行件的电计，但是，最近的组织经组使得信息系统审计部门仪制下了经验有限的几名成员，信息系统市计经理股该采取的最佳做法是：A、联系外部相凭来进行审计，B、接受这项市计任务，得是推延到进行了网络知识培训后再进行。C、将这项市计工作以绝对优先级列入下一年度的市计计划中。D、将最资深的信息系统审计员委派到网络安全审计中。答案：A157.A4-36数据库管理员提议，可通过使某些表非规范化来提高数据库效率。这将导致：A、机密性丢失B、冗余度增加C、未经授权的访问D、应用程序出现故障答案：B158.为了节省成本，公司使用控制较弱的应用程序来管理非关键流程，但是管理层每周审查日志以发现潜在的可疑活动，这是属于什么类型的控制?A、预防性控制B、补偿性控制C、检测性控制D、纠正性控制答案：B159.入侵检测系统(IDS)可以起到哪些作用?A、代替防火墙B、调查网络内部攻击C、弥补身份验证机制的不足D、提供增强安全基础设施的保障信息答案：D160.企业部署了数据存储硬件，IS审计师应审查哪一项以评估IT是否最大限度地利用了存储和网络?A、质量管理系统B、日常和非日常作业时间表C、停机时间统计D、容量管理计划答案：D161.下列哪一项是制定网络服务的服务水平的协议（SLA）所面临的挑战？A、减少网络入口(entrypoint)数量B、建立设计良好的网络服务框架C、找到能够正确衡量的性能指标D、确保客户未修改网络组件答案：C162.审计新的应用系统，审计师要最主要考虑：A、风险分析B、成本效益分析C、项目可行性分析D、业务影响分析答案：A163.A5-171某组织通过安全的有限网络存储和传输敏感的客户信息。该组织另外亦已经实施了一个无线局域网(WLAN)，以解决一般目的的员工计算需要。少数具有WLAN访问权限的员工也有访问信息的合理业务理由。以下哪项是保证二网分离的最佳控制?A、建立两个物理上分离的网络B、实施虚拟局域网分区C、在两个网络之间安装专用的路由器D、在两个网络之间安装防火墙答案：D164.A1-23在判断运作有效性控制是否适当地应用到交易处理时，以下哪项审计实践最有效?A、控制设计测试B、进行实质性测试C、检查相关文档D、实施关于风险防范的测试答案：B165.哪种控制在跨网络传输中有效检测数据意外损坏A、顺序检查B、对称加密C、奇偶校验D、校验（数字）位答案：D166.项目开发阶段，新增加了一个功能点，以下哪项影响最大?A、未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A167.【重要题】下列哪一项能够最有效地保护数据中心的信息资产不被供应商窃取A、监控并限制供应商的活动B、给供应商发放访问卡C、隐藏数据设备和信息标签D、限制使用便捷式和无线设备答案：A168.【重要题】查看邮件的内容是否被修改，应使用?A、哈希B、数字签名C、加密D、双因素认证答案：A169.为减轻API查询公开数据的风险，以下哪项考虑因素最重要A、数据完整性B、数据质量C、数据最小化D、数据保留答案：C170.当企业实施安全信息和事件管理（SIEM）系统时，建立了哪一种控制类型A、检测性B、改正性C、指导性D、预防性答案：A171.信息系统审计师正在审查外包客户服务部门的服务管理，以下哪一项最能表明服务提供商执行此职能的效能?A、客户满意度评级B、有效通话次C、工单平均时长D、通话记录审查答案：A172.A5-215数字签名的使用:A、需要使用一次性密码生成器B、可对消息进行加密C、可验证消息的来源D、可确保消息的机密性答案：C173.管理层通过员工调查问卷结果判断关键控制失效，审计师应该A、建议增加相关员工B、建议增加控制C、检查是否有补偿控制答案：C174.审计师在设计阶段应该评估A、开发方法B、应用功能C、兼容性D、是否有自动控制答案：D175.在电子商务中使用的典型网络体系结构中，负载平衡器通常位于下面哪两个项目之间：A、数据库和外部网关B、用户和外部网关C、路由器和web服务器D、邮件服务器和邮件库答案：C176.企业购置了新的大容量存储设备，将目前使用的替换下来，并且替换下来的用做恢复，以下审计师最担心的是?A、未更新P和RPB、恢复站点的存储能力能否足够C、新设备和替换设备是否签订维护合同D、采购是否符合企业的策略和规定答案：B177.A1-30在风险分析期间，信息系统审计师已确定威胁和潜在影响。接下来，该信息系统审计师应该：A、确保风险评估与管理层的风险评估流程相一致B、确定信息资产和底层系统C、对管理层披露威胁和影响D、确定并评估现有控制答案：D178.某企业使用云计算服务提供商，为在线计费系统提供服务，客户始终可以访问该网站。验证企业的业务需求得到满足的最佳方式是什么?A、监控与供应商的服务水平协议(SLA)B、要求供应商报告超过五分钟的中断C、调用审计权条款D、与供应商就定期的性能讨论达成协议答案：A179.A5-140某信息系统审计师检查了一个无窗机房，机房中有电话交换机和联网设备以及文档夹。该机房配有两个手持灭火器———————一个是二氧化碳灭火器，另一个是卤径灭火器。下列哪一项应在信息系统审计师的报告中具有最高优先级?A、移走卤径灭火器，因为卤化物会对大气臭氧层产生负面影响B、在密闭机房中使用时，两种灭火器都有导致窒息的危险C、移走二氧化碳灭火器，因为二氧化碳对于固体可燃物(纸张)的灭火是无效的D、将文档夹从设备机房中移走，从而降低潜在风险答案：B180.A4-48在正常工作时间之后需要对数据库进行紧急变更的数据库管理员(DBA)应：A、用其指定账户登录进行变更B、用共享账户登录进行变更C、登录到服务器管理账户进行变更D、使用用户的账户登录进行变更答案：A181.A5-96当使用公钥加密来保护在网络中传输的数据时：A、用于加密和解密数据的两个密钥均为公钥B、用于加密数据的密钥为私钥，但用于解密数据的密钥为公钥C、用于加密数据的密钥为公钥，但用于解密数据的私钥为私钥D、用于加密和解密数据的两个密钥均为私钥答案：C182.由于资源有限，某开发人员需要生产数据的完全访问权限，以支持生产用户报告的某些问题。对于控制生产中未经授权的变更，以下哪一项是好的补偿性控制？A、向开发人员提供用于编程和生产支持的单独ID并进行监控。B、通过启用审计轨迹来捕获开发人员在生产环境中的活动。C、在允许开发人员进行生产变更之前备份所有受到影响的记录。D、确保所有变更都经过变更管理人员批准。答案：A183.A3-106在应用程序开发项目的系统测试阶段，信息系统审计师应该审查：A、概念设计规范B、供应商合同C、错误报告D、程序变更请求答案：C184.信息系统审计师在实施后审查时应该最关心以下哪一项？A、系统开发延迟了两个星期。B、系统没有维护计划。C、系统包含三个轻微的缺陷。D、系统超出了预算25%。答案：B185.A4-167将业务连续性计划整合到信息技术项目管理中有助于：A、测试业务连续性要求B、开发更全面的要求C、制定交易流程图D、确保应用程序满足用户需求答案：B186.董事会要求审计部门衡量是否将低风险等级纳入审计计划，内部审计师怎么确定是否审计？A、挑战(无视)审计等级，审计全部内容B、请外部审计师审计低风险领域C、利用专业判断评估低风险领域，审计低风险中的部分领域答案：C187.评估IT实际使用资源使用和计划资源分配的一致性的技术是什么?A、挣得值分析(EV)B、投资回报分析(ROI)C、甘特图D、关键路径分析(P)答案：A188.A2-132由于盈利压力,企业的高级管理层决定将信息安全投资保持在不太充分的水平。以下哪一项是信息系统审计师的最佳建议?A、使用云提供商提供低风险运营B、修改合规性实施流程C、要求高级管理层接受风险D、推迟低优先级安全程序答案：C189.以下哪一种方法能将可重复使用的存储设备中的敏感数据有效删除A、使用介质清除软件B、覆盖敏感数据C、格式化便携式设备D、消磁(使设备暴露于磁场中)答案：B190.A5-200防止网络被用作拒绝服务攻击中的放大器的最佳过滤规则是拒绝所有：A、源地址在网络外部的传输出流量B、被辨认出使用伪造IP源地址的传入通信C、包含互联网协议中所设置选项的传入流量D、目标地址属于关键主机的传入流量答案：A191.A2-90为了帮助管理人员实现IT与业务保持一致性的目标，信息系统审计师应当建议使用：A、控制自我评估B、业务影响分析C、IT平衡计分卡D、业务流程再造答案：C192.开发人员对薪资系统中的数据字段做了未经授权的变更。下列哪一种控制弱点最可能导致该问题?A、程序设计人员有权访问生产程序。B、工资文件不受程序库管理员控制。C、可排除D、程序设计人员没有让用户参与测试。答案：A193.高级管理层决定接受审计结果中识别的风险，以下哪一项能证明管理层充分平衡了业务需求和管理风险的需要A、有风险接受和处理的既定标准B、潜在影响和可能性已经充分记录C、向风险管理委员会报告识别的风险D、存在沟通计划，向可能受风险影响的相关方进行了告知答案：A194.A1-144以下哪一项是在开发在线应用程序系统的过程中嵌入审计模块的主要目的?A、在处理交易的过程中收集证据B、降低定期进行内部审计的要求C、识别和报告欺诈性交易D、提高审计职能的效率答案：A195.为了提升大型企业的信息安全培训意识，以下哪项是最好的措施?A、确保制定培训计划B、培训需要安排考试C、所有员工使用同一份课程进行培训D、分角色等级分别设计课程答案：D196.EFT电子资金转账相对于手写支票，最大的优势在于A、提高效率B、降低未授权的风险C、节约人工成本D、可以统一设定传输标准答案：A197.【重要题】以下哪一项最能支持企业努力减少勒索软件攻击的影响?A、确保付款方式可用B、开发强大的备份和恢复程序C、定期进行内部和外部渗透测试D、对员工进行安全意识培训答案：B198.审计师发现开发项目的范围被显著缩减，下列哪一项是审计师此时应采取的最重要行动？A、确认相关部门和管理层范围缩小的事实B、确认IT成本是否已降低C、是否已经采用了管理成熟度等级D、是否对关键控制的影响答案：A199.信息系统审计师发现，公司管理层鼓励员工为业务目的而使用社交网站。以下哪一项建议最有助于减少数据泄露风险?A、监控员工对社交网站的使用B、对保密数据建立强大的访问控制C、为员工提供使用社交网站的培训和指南D、要求员工签署政策确认和保密协议答案：C200..以下哪一项最能保护在多个办公地点之间传输的敏感数据机密性?A、PKIB、数字签名C、哈希D、Kereros答案：A201.A3-131以下哪种控制有助于在数据输入时防止凭证重复录入?A、范围检查B、置换和替代C、顺序检查D、循环冗余检测答案：C202.A1-9对于一家交易量巨大的零售企业来说，下面哪项最适合应对新出现的风险的审计技术?A、使用计算机辅助审计技术B、季度风险评估C、交易日志抽样D、持续性审计答案：D203.【重要题】从Internet连接到企业的局域网时，防止未经授权访问的最佳建议是利用A、代理服务器B、VPNC、加密D、虚拟化服务器答案：B204.A3-23正在使用原型设计开发的业务应用系统的变更控制会因以下哪个因素而变得复杂?A、原型设计的迭代性质B、快节奏的需求和设计修改C、对报告和屏幕的强调D、缺乏集成工具答案：B205.在应付账款系统中控制供应商主文件更新的最佳方式是什么?A、使用事先编号并授权的申请表格B、将更新与授权相比较C、可排除D、定期审查整个供应商主文件答案：B206.审计师关注UAT测试的重点是？A、已完成应用程序接口测试B、已完成系统集成测试C、业务流程所有者签字确认测试结果。答案：C207.A2-87在确定信息资产的适当保护等级时，信息系统审计师应当主要关注以下哪一个因素?A、风险评估的结果B、业务的相对价值C、漏洞评估的结果D、安全控制的成本答案：A208.评估与企业内点对点文件共享相关的风险时，以下哪一项应该是信息系统审计师最大的担忧?A、不是所有设备都运行了防病毒程序B、只有部分员工参加了安全意识培训C、企业没有有效的修补程序管理流程D、文件共享政策尚未进行过审查答案：B209.A5-199信息系统审计师最有可能以什么身份查看应用哈希函数?A、﹀身份认证B、识别C、授权D、加密答案：A210.当信息系统审计师期望零偏差或很少偏差时，使用以下哪种抽样技术最合适A、发现抽样B、随机抽样C、停走抽样D、货币单位抽样答案：A211.审计师发现一名前员工仍旧可以访同应用程序。原来审计发现，有60名前员工可以访问多个应用程序，并且不包括在这次审计发现的这个员工。以下哪一项是最何时报告?A、报告删除离职员工访问权限的过程无效B、报告先前的发现已解决，但发现了新的问题C、报告离职员工有权访问应用程序D、报告先前的审计发现已得到补救答案：A212.【重要题】以下哪一种方法能将可重复使用的存储设备中的敏感数据有效删除?A、使用介质清除软件B、覆盖敏感数据C、格式化便携式设备D、消磁(使设备暴露于磁场中)答案：B213.对最近购买的系统进行实施后检查时，最重要的是信息系统审计师要确定A、供应商产品是否已提供可行的解决方案B、项目利益相关者的预期是否已识别C、测试方案是否反映了运营活动D、是否已满足用户需求控制答案：D214.【重要题】在制定业务持续性计划(BCP)时，业务单位管理层参与以下哪项工作最重要?A、参与业务恢复程序的制定B、参与实施文档库C、参与业务影响分析D、参与IT风险评估答案：C215..IT审计师在审查第三方供应商报告的KPI。以下哪项是审计师的最大担忧?A、KPI数据未加以分析B、KPI从未进行更新C、文档相关的，可排除D、KPI没有明确定义答案：D216.确定配置应用程序的内部安全控制是否符合组织安全标准的最佳测试是哪个？A、安全报告的可用性和频率B、业务应用程序的安全参数设置C、IDS的日志D、应用程序的用户账户和密码答案：B217.A2-14软件托管协议会涉及处理以下哪种情况?A、系统管理员要求访问软件以执行灾难恢复B、用户请求将软件重新加载到备用硬盘C、定制软件供应商倒闭D、信息系统审计师要求访问组织编写的软件代码答案：C218.A4-144对于包含在线销售数据的大型数据库，以下哪一项是最佳备份策略?A、具有每日增量备份的每周完整备份B、每日完整备份C、群集服务器D、镜像硬盘答案：D219.A4-175信息系统审计师发现某企业对一些废弃的硬盘驱动器未使用能合理确保数据无法恢复的方式进行清理。另外，该企业没有关于数据处理的书面政策。该信息系统审计师应该首先：A、起草一份审计结果，并与主管审计师讨论B、判断硬盘驱动器上信息的敏感性C、与IT经理讨论有关数据废弃的良好实践D、为该企业制定相应的数据废弃政策答案：B220.执行备份的做法反映了哪一种类型的内部控制?A、预防B、检测C、改正性D、补偿答案：C221.发生灾难时，什么是确保组织备份介质充分备份的最佳方案？A、定期在测试环境中恢复生产系统B、有计划的备份设备维护C、定期审查备份日志，以确保生产环境中的所有数据得到备份D、有计划的备份介质读取/写入测试（说明：D测试的是介质的有效性，题干问的是介质充分备份）答案：C222.A1-18对远程系统的程序变更请求进行测试时，信息系统审计师发现可用于抽样的变更数量无法提供合理水平的鉴证。信息系统审计师最好地采取以下哪项措施?A、制定替代的测试程序B、向管理层报告发现的问题C、对变更管理流程执行浏览审查D、创建额外的样本数据，以测试额外的变更答案：A223.企业开发系统有4个模块，最后一个涉及将数据更新至数据库中，信息系统审计师应检查什么A、实体关系图B、配置数据库管理C、变更管理D、数据流图答案：D224.入侵检测系统（IDS）可以起到哪些作用？A、代替防火墙B、调查网络内部攻击C、弥补身份验证机制的不足D、提供增强安全基础设施的保障信息答案：D225.A2-40在审查IT短期(战术)计划时，信息系统审计师应确定是否：A、IT和业务人员都参与项目B、明确定义IT使命和愿景C、采用战略信息技术计划计分卡D、该计划使业务目标与IT目的和目标相关联答案：A226.组织将重要包含重要客户信息的信息系统外包给国外的云服务商，最主要需要注意以下哪一点?A、审查服务商将在哪些国家和地区提供服务。B、法律法规的合规性C、确保数据存放在合同规定的所在国的所在地点。D、确保服务商遵守组织的安全策略。答案：B227.IT管理员废除了数据库中的某些引用完整性控制。下列哪一种控制能够最有效地弥补引用完整性控制的不足?A、性能监视工具B、定期检查表的链接C、更频繁地备份数据D、并行访问控制(untessontrols)答案：B228.从某个供应商购买了某个新应用并且即将实施。实施应用时以下哪一项是关键考虑因素？A、防止在实施流程中损坏源代码B、确保已禁用供应商的默认账户和密码C、从托管中删除程序的旧副本，以免混淆D、核实供应商在履行支持和维护协议答案：B229.【重要题】在审计期间，所有it团队都同意审计发现，但是没有一个团队愿意承接整改的责任，审计师应该：A、上报IT管理层寻求解决方案；B、不指明整改责任的情况下发布审计发现C、让所有团队共同负责执行D、选择最适合的团队并进行责任分配答案：A230.对于应用程序开发验收测试来说，以下哪项最重要?A、质量保证(Q)小组负责测试过程B、用户管理在启动测试之前会审批测试设计C、所有数据文件在转换之前均进行了有效信息测试D、编程小组参与测试过程进行测试，要先设计测试。答案：B231.A2-133以下哪种保险类型针对因员工欺诈行为造成的损失?A、业务中断B、忠诚保险C、错误和遗漏D、额外支出答案：B232.【重要题】下面哪一项措施是防止非授权登录最可靠的方法?A、加强现有的安全策略B、发放身份令牌C、限制在下班后使用计算机D、安全自动密码生成器答案：B233.IDS的作用是A、替代防火墙B、补偿身份验证C、为增强基础信息设施安全提供信息答案：C234.以下哪项可以最好的证明控制的有效性?A、控制矩阵B、控制测试的结果C、和管理层的面谈交流D、控制自我评估S答案：B235.企业信息系统目标的最佳来源是什么?A、信息安全管理部门B、业务流程所有者C、IT管理部门D、最终用户答案：B236.【重要题】下列哪一项对信息安全管理系统的成功最为关键?A、信息安全与IT目标的统一B、用户对信息安全的责任确立C、管理部门对信息安全的承诺D、业务与信息安全的集成答案：C237.数据迁移计划的第一步是？A、创建数据转换脚本B、审查业务流程的决策C、对数据库进行数据清洗D、了解新系统的数据结构答案：D238.检测到服务器的实际使用量远远小于计划，以下哪项措施可以改进服务器的可用性?A、系统的停机日志B、容量规划C、服务器的配置D、执行流量负载均衡答案：B239.A4-186某信息系统审计师正在为某大型跨国公司审查应用变更管理流程，他最担心发生以下哪种情况?A、测试系统的运行配置与生产系统不一样B、变更管理记录为纸质记录C、配置管理数据库未经维护D、测试环境安装在生产服务器上答案：C240.【重要题】为防止在共享打印机上打印的保密文档泄露，应该采用以下哪种方法?A、加密用户计算机和打印机之间的数据流B、文件标题页抬头标识密级C、要求授权用户在将文档发送到打印机之前提供密码D、在打印结果输出之前，要求先在打印机上输入密码答案：D241.如何充分验证定期备份的及时性与有效性?A、访谈关键人员B、审查备份日志样本C、查看备份的策略与程序D、观察备份运行的执行情况答案：B242.以下哪一项最有助于检测零day攻击?A、IDSB、IPSC、反恶意软件D、用户行为分析答案：D243.信息系统审计师正在分析应用程序的系统日志中记录的访问采样。如果发现异常，就会启动深入调查，适合使用哪种抽样方法呢?A、发现抽样B、判定抽样C、变量抽样D、分层抽样答案：A244.防止服务器收到强力攻击的最有效方法是：A、对服务器进行加固B、连续输入三次错误锁定C、更加复杂的密码D、实施连续监控答案：B245.A5-117网站证书的主要目的是:A、验证要浏览的网站B、验证浏览站点的用户C、阻止黑客浏览网站D、与数字证书的目的相同答案：A246.在确定IT政策是否很好的适应业务需求时，以下哪一项是最关键的证据？A、支持IT策略的总成本B、IT策略的例外数量C、IT策略的查询次数D、违反IT策略所造成的总体损失答案：B247.A1-149以下哪一项可批准审计章程?A、首席财务官B、首席执行官C、审计督导委员会D、审计委员会答案：D248.以下哪项最能保证数据库管理系统的最高性能?A、定期维护B、数据一致性C、数据库正规化D、数据备份答案：B249.在对某公司的数据分类流程进行评估时，信息系统审计师的主要关注哪些方面A、数据字典是否得到维护B、是否对数据正确分类C、数据保留要求是否明确定义D、数据分类是否自主化答案：C250.A2-1组织要求员工每年进行强制性休假主要是想确保：A、在各职能部门之间进行充分的交叉培训B、通过提高士气，建立有效的内部控制环境C、通过临时替换发现潜在的违规处理D、降低发生处理失误的风险答案：C251.以下哪项是检查性控制?A、备份程序B、对输入数据执行程序化检查C、使用门禁卡访问机房D、哈希总计/散列总计验证答案：D252.A1-130由于信息系统审计团队意外的资源限制，无法完成最初批准的审计计划。假定已通过审计报告通报情况，最可接受的做法是哪一项?A、测试控制设计的充分性B、测试控制运作的有效性C、专注于高风险区域的审计D、依靠管理层测试控制措施答案：C253.生物访问控制的错误拒绝率最高A、虹膜识别B、指纹C、面部识别D、视网膜识别答案：C254.业务流程再造(BPR)过程中IT可协助A、职责分离B、总拥有成本C、集中于增值任务D、使任务流程化答案：D255.A2-75作为信息安全治理的结果，战略一致性提供了：A、由企业需求驱动的安全要求B、遵循良好实践的基准安全线C、制度化和商品化的解决方案D、对风险敞口的了解答案：A256.以下哪一项最能实时检测到DDoS攻击?A、自动监控日志B、服务器崩溃C、渗透测试D、可排除答案：A257.【重要题】为了帮助董事会履行IT治理职责，IT指导委员会应该：A、制定项目跟踪的IT政策和措施B、将注意力集中在IT服务和产品的供应上C、监督重大项目和IT资源的分配情况D、实施IT战略答案：D258.发票上的账单总金额每周自动传输到企业的账户总账上，审计师发现总账上缺少一周的账单时，应该首先检查以下哪一个领域A、年度对帐B、变更管理C、批处理控制D、模块访问权限答案：C259.A5-169审查无线网络安全性的信息系统审计师确定所有无线访问点上都禁用了动态主机配置协议。这种做法：A、减少网络的未授权的访问风险B、不适用小型网络C、自动向任何人提供IP地址D、增加与无线加密协议(WEP)相关的风险答案：A260.A3-80某公司实施了一套新的客户端/服务器型企业资源规划(ERP)系统。各地分支机构会将客户订单传动到中央生产设备。以下哪一项能够最有效地确保准确处理这些订单并生产相应的产品?A、对照客户订单验证生产B、将所有客户订单计入ERP系统C、在订单传送过程中使用散列总计D、在生产之前审批(由生产监督人员)订单答案：A261.A4-143在对最近部署的应用执行实施审查过程中，发现几个事故被分配了错误的优先级，并因此未能符合业务服务水平协议(SLA)的要求，以下哪一项最令人担心?A、支持模型未经高级管理层批准B、SL中规定的事故解决时间不现实C、没有足够的资源来支持应用D、支持模型未适当开发和实施答案：D262.A2-139组织完成风险评估的一部分的威胁和漏洞分析之后，最终的报告建议主要互联网网关安装入侵防御系统(IPS)，而且应通过代理防火墙分离所有业务部门。以下哪项是确定是否应采取控制措施的最佳方法?A、成本效益分析B、年化预期损失计算C、IPS和防火墙成本与业务系统成本的对比D、业务影响分析答案：A263.A1-137以下哪项是控制自我评估方法的属性?A、广泛的利益相关方参与度B、审计师是主要的控制分析人员C、有限的员工参与度D、政策驱动答案：A264.A4-257要对访问敏感信息的数据库用户实施问责制，以下哪项控制措施最有效?A、实施日志管理流程B、实施双因素认证C、使用表视图访问敏感数据D、将数据库服务器与应用程序服务器分开答案：A265.A4-196当系统需要一天24小时在线接收销售订单时，以下哪一项是备份大量关键性任务数据的最有效策略?A、实施容错的磁盘到磁盘备份解决方案B、每周一次磁带完整备份，每晚一次增量备份C、建立双重存储区域网络(SN)，并将数据复制到第二个SND、在一个热备援中心建立相同的服务器和存储基础设施答案：A266.审计委员会已经完成审计日程表，审计师团队已经对项目进行部分审计，执行层提出对新项目进行审计，审计师团队没有足够的资源进行额外审计，可选择方式进行：A、申请修改审计日程B、拒绝C、申请把当前审计计划安排到下一期开展D、批准加班，把工作完成答案：A267.因业务激增，某公司采购了大型主机系统，信息系统审计师应当主要考虑下面哪一个因素A、DRP是否评估和更新B、采购是否超过预算C、投标是否经过评估D、应用程序访问控制是否充分答案：D268.以下哪一项在企业的合同管理流程中提供最有效的安全成果?A、在需求建议书阶段执行供应商安全基准分析B、扩展安全评估以涵盖合同终止时的资产处智C、确保在需求建议书阶段明确安全要求D、扩展安全评估以包括随机渗透测试答案：C269.在计划渗透测试时，应首先执行哪一项？A、确定漏洞的报告要求B、执行保密协议C、定义测试范围D、取得管理层的审批答案：C270.A5-5以下哪项最能保证服务器操作系统的完整性?A、在安全的位置放置服务器B、设置启动密码C、加固服务器配置D、实施活动日志答案：C271.质量保证（QA）人员最不应该从事哪项工作？A、建立分析技术B、改动程序业务功能C、审查程序被修改D、制定命名规范答案：B272.以下哪一项最能体现信息安全计划的有效性?A、安全团队知识丰富，使用最好的工具B、经过意识培训后，报告和确认的安全事故数量有所增加C、安全意识培训计划是根据行业最佳实践开发的D、安全团队执行了风险评估，以了解公司的风险偏好答案：B273.【重要题】IT指导委员会应该采取哪项措施来帮助董事会履行IT治理职责?A、制定I