2025年cisa国际注册信息系统审计师通关必做强化训练试题库500题及答案

PAGEPAGE1一、单选题1.一家拥有300家零售店铺的公司正在部署分布式新系统，下面哪一种上线计划比较合适？A、在某个典型店铺实施上线B、300年店铺全部并行上线C、挑选一些具有特点的店铺并行上线D、分阶段上线答案：C2.对预算有限的公司，解决内部职责分离问题的最合适的措施是：A、定期实施轮岗B、招募临时员工C、进行独立审计D、实施补偿性控制答案：D3.A2-66开放式系统架构的好处是：A、促进不同系统内的互操作性B、便于集成专有组件C、将成为设备供应商提供批量折扣的基础D、考虑了设备将要实现更大的规模经济答案：A4.A5-109以下哪项功能由虚拟私有网络执行?A、向网络中的嗅探器隐藏信息B、强制实施安全政策C、检测滥用或错误D、控制访问答案：A5.A5-97用于确保虚拟私有网络安全性的技术称为：A、数据封装B、数据包装C、数据转换D、数据哈希答案：A6.为评估整体IT性能.以下哪一项为新的信息系统审计师提供了最有用的信息?A、IT价值分析B、漏洞评估报告C、IT平衡计分卡D、之前的审计报告答案：C7.A5-149从长期看,以下哪项对改善安全事故响应流程最具有潜力?A、对事故响应流程执行浏览审查B、由事故响应团队执行模拟演练C、不断地对用户进行安全培训D、记录对事故的响应答案：B8.哪一项评估保护公司网络中的信息安全所必需的安全级别A、访问权限B、数据分类C、访问控制列表D、商业智能答案：B9.A5-197某公司正打算安装一个基于网络的入侵检测新系统，用来保护其托管的网站。该设备应当安装在哪里?A、在本地网络上B、防火墙外C、在隔离区中D、在托管网站的服务器上答案：C10.以下哪一项是最好地描述了IT战略委员会的职能？A、业务部门的满意度B、监控KPI的结果C、IT战略委员会章程D、IT战略委员会会议纪要答案：C11.A5-135信息系统审计师可以采用什么方法来测试分支机构所在位置的无线安全?A、战争拨号B、社会工程C、战争驾驶D、密码破解答案：C12.信息系统审计师发现，许多离职员工尚未从财务系统中删除。为了评估风险，确定以下哪一项是最重要的?A、终止离职员工访问的流程B、离职员工实际访问系统的能力C、管理层对用户访问权限进行审查的频率D、与财务系统相关的入侵尝试的频率答案：B13.公司正打算利用由不同软件供应商提供的应用程序组件，并且快速扩大规模。以下哪个架构最能确保企业能够简单地添加和重新使用组件来提供服务?A、三层体系架构B、面向服务的体系结构C、SaaSD、laaS答案：B14.软件使用可持续时间应在哪个阶段确定?A、设计阶段B、用户测试之后C、提供给运维之前D、实施后答案：A15.企业把开发环境和测试环境分开的主要原因是什么？A、可以排除B、在IT人员和最终用户之间实现职责分离。C、使测试人员可以在稳定的环境下进行测试。D、保护开发中的程序不受未经授权的测试。答案：C16.【重要题】在制定新的风险管理计划时，一定要考虑以下哪种因素?A、资源利用率B、合规性措施C、风险缓解技术D、风险偏好答案：D17.以下哪种措施最可以有效地确认邮件在传输过程中未被修改A、使用对称加密方法加密邮件B、使用发送者私钥加密邮件C、对邮件内容进行强加密D、把邮件和强加密的单向哈希值一起发送答案：D18.【重要题】在制定业务持续性计划时，业务单位管理层的参与在以下工作过程中最为重要?A、实施文档库B、进行业务影响分析C、制定业务恢复程序D、执行IT风险评估答案：B19.【重要题】审计师发现数据库配置管理系统有个安全漏洞，他接下里怎么做?A、报告高级管理层B、评估是否有补偿性控制C、报告审计委员会D、尝试利用漏洞答案：B20.为防止未授权的变更被移入生产环境，最有效方式是以下哪一项?A、彻底测算测试环境中的变更B、强制在开发人员和迁移者之间进行职责分离C、需要业务流程所有者批准变更D、定期审查变更请求，以确保所有变更文件记录在附件中答案：B21.公司使用云平台进行IT管理，发生异常问题导致业务中止，应该首先进行：A、审计云服务商B、事故响应计划C、重新签订云服务合同D、追究云服务商责任答案：B22.公司将敏感数据处理外包给第三方云服务提供商。当发生安全事件，首先应执行（）。A、终止与供应商的合同B、执行事件响应程序C、调阅近期供应商的审计结果D、对事件进行独立调查答案：B23.A4-52组织的灾难恢复计划中包含互惠协议时，采用了以下哪种风险应对方法?A、转移B、缓解C、规避D、接受答案：B24.如果跟踪审计显示尚未启动某些管理行动计划，信息系统审计师首先应该怎么做?A、判断所识别的风险是否仍然有效B、将计划未完成的情况上报给管理层C、向审计委员会提供报告D、要求进行额外的行动计划审查，以确认审计发现答案：A25.A4-221IT灾难恢复措施已经实施到位并且进行了多年定期此测试的一个中等规模组织刚刚制订了一个正式的业务连续性计划(BCP)，已经成功进行了基本的BCP桌面演练。要验证新BCP的充分性，信息系统审计师接下来应建议进行以下哪项测试?A、全面测试(将包括IT部门在内的所有部门转移到应急站点)B、对一系列预定义情景(涉及所有关键人员)进行的浏览审查测试C、IT灾难恢复测试(业务部门参与测试关键应用程序)D、情景功能测试(有限IT人员参与)答案：D26.对供应链管理应用程序执行业务影响分析的最佳方法是？A、采纳IT人员对业务问题的看法B、审查组织内的策略和程序C、在关键的内部利益关系方之间开展问卷调查D、与关键利益关系人面谈答案：D27.A2-28确定可接受风险的等级是谁的责任?A、质量保证管理人员B、高级业务管理人员C、首席信息官D、首席安全官答案：B28.以下哪一项能够提供证明防火墙配置与公司安全策略相一致的最佳审计证据A、审查规则定义库B、执行渗透测试C、分析配置更改是如何执行的D、分析日志文件答案：A29.信息系统审计师发现组织存在一个漏洞，信息系统审计师应该？A、要求尽快修复此项漏洞B、通知业务方C、调查漏洞引发威胁的概率D、记入审计报告答案：C30.A3-144某公司的开发团队未采用普遍接受的系统开发生命周期实践。以下哪项最有可能导致软件开发项目出现问题?A、由最终用户负责原型的功能验证B、在用户验收测试期间发现了一些小问题的情况下实施了项目C、在项目开始时未正确地确定项目责任D、项目记录不充分答案：C31.A4-53以下哪项会动摇应用程序审计轨迹的可靠性?A、在审计轨迹中记录用户I。B、安全管理员具有审计文件的只读权限C、在执行操作时记录日期和时间戳D、更正系统错误时，用户可修改审计轨迹记录答案：D32.【重要题】具有明确定义的数据分类政策和程序的最大好处是：A、信息资产库存更加准确。B、减少控制成本。C、减小不适当访问系统的风险。D、提高监管合规性。答案：B33.信息系统审计师发现，为了提高性能将WEB应用程序的验证控制机制从服务器下迁至客户端，那么遭受以下哪一项攻击的风险最可能增加?A、暴力攻击(还是钓鱼攻击，忘记了)B、SQL注入C、拒绝服务攻击D、缓冲区溢出答案：B34.信息系统审计师发现组织变更可能会影响年度审计计划，应采取哪项行动？A、在发生变更后修改审计计划B、将变更告知审计经理C、评估变更对审计计划的影响D、修改当前的审计计划答案：B35.以下哪项最能保证数据库管理系统的最高性能？A、定期维护B、数据一致性C、数据库正规化D、数据备份答案：B36.A3-107为减少软件开发项目中出现的缺陷数目，下列哪项建议最具成本效益?A、增加分配给系统测试的时间B、实施正式的软件检查C、增加开发人员的数量D、要求交付所有项目成果时签字答案：B37.A5-206某信息系统审计师要为渗透测试选择一个服务器，并且该测试会由技术专业人员执行。下面哪个选项最重要?A、用来进行测试的工具B、信息系统审计师持有的认证C、服务器数据所有者的批准D、启动了入侵检测系统答案：C38.组织的大多数信息系统已经外包，以下哪项能最能保持业务连续性?A、外包商管理层B、信息技术管理层C、业务管理层D、信息安全管理层答案：C39.信息系统审计师审查各种IT外包合同采购流程。确保中标的承包商满足以下哪项要求？A、维护了内部审计功能。B、是按确定的业务标准选择出来的。C、要求所有员工都签署机密性协议。D、消除了外包风险。答案：B40.在进行IT风险评估时，应首先执行以下哪一个步骤?A、评估现行控制B、评估漏洞C、识别潜在的威胁D、识别要保护的资产答案：D41.信息系统审计师正在审查内部软件开发解决方案的发布管理流程，在哪个环境中的软件版本最有可能与生产环境相同。A、分阶段B、开发C、测试D、集成答案：A42.在信息安全审计时，信息系统审计师得知由外部咨询顾问执行了一项安全审查，对审计师来说，下面哪项是最重要的?A、审查咨询顾问提交的类似报告B、重新执行安全审查C、评定咨询顾问的客观性和胜任能力D、接受咨询顾问的发现和结论答案：C43.在确定IT政策是否很好地满足业务需求时，以下哪一项是最佳关键表现指标(KPI)?A、IT政策的查询次数B、支持IT政策的总成本C、对IT政策例外批准的数量D、违反IT政策所造成的总体损失答案：C44.下列哪一项是制定网络服务的服务水平的协议（SLA）所面临的挑战？A、减少网络入口(entrypoint)数量B、建立设计良好的网络服务框架C、找到能够正确衡量的性能指标D、确保客户未修改网络组件答案：C45.A3-97一名信息系统审计师受指派审计某软件开发项目，该项目完成了80%以上，但是已经超时10%，超出成本25%。该信息系统审计师应采取以下哪项行动?A、对组织未进行有效的项目管理进行报告B、建议更换项目经理C、审查IT治理结构D、审查业务案例和项目管理答案：D46.程序员恶意修改生产代码，然后恢复了原始代码，怎么检测这种恶意活动?A、查看系统日志文件B、比较源代码C、目标代码参照D、检查可执行文件答案：A47.A2-94某信息系统审计师被指派对最近外包给各个供应商的IT结构和活动进行审查。该信息系统审计师首先应确定以下哪个选项?A、所有合同中均包含审计条款B、每份合同的服务水平协议均通过相应的关键绩效指标进行了证实C、提供商的合同担保支持组织的业务需求D、在合同终止时，每位提供商均保证为新外包任务提供支持答案：C48.A4-207隔离高度敏感的数据库会导致：A、减少暴露(风险)B、减少威胁C、降低重要性D、降低敏感度答案：A49.A4-164信息技术管理层决定,在所有服务器上安装1级廉价磁盘冗余阵列(RAID)系统，以弥补撤除异地备份的影响。信息系统审计师应建议：A、升级到5级RIB、增加现场备份的频率C、恢复异地备份D、在安全位置建立冷备援中心答案：C50.以下哪一个角色的支持对信息安全治理的影响最大A、信息安全指导委员会B、董事会C、首席信息安全官D、首席信息官答案：B51.数据包级防火墙最致命的安全漏洞是因为它可以通过下列哪一项措施来规避：A、在收到的数据包上更改源地址B、截取明文发送的数据包并查看密码C、解译数据包中的签名信息。D、使用加密密码的字典式攻击(itionryttk)。答案：A52.以下哪一项IT服务管理活动最有可能帮助确定反复出现的网络延时的根本原因A、事故管理B、配置管理C、变更管理D、问题管理答案：D53.人员进入高敏感的数据中心时以下最好的方式是什么?A、监控B、陪同C、签到D、双重门答案：B54.哪项是缓解勒索软件攻击影响的最佳方式?A、启用灾难恢复许划B、经常备份数据C、要求管理账户更改密码D、支付赎金答案：B55.数据库管理员发现一些表的性能问题可以通过反向规格化（denormalization）来解决。这种情况下会增加哪像风险()?A、同时并行访问B、死锁C、非授权的数据访问D、数据完整性的丢失答案：D56.RPO低的信息系统应该采取如下哪项措施？A、Raid0B、每日备份C、热站D、镜像答案：D57.A4-190在审查内部开发的应用程序期间，信息系统审计师最应关注的是：A、是否有用户提出变更请求并在测试环境中对其进行测试B、是否有编程人员在开发环境中编写变更代码并在测试环境中对其进行测试C、是否有管理人员审批变更请求并在生产环境中对其进行审查D、是否有管理人员提出变更请求并随后对其进行审批答案：D58.A4-60某信息系统审计师发现，某公司的灾难恢复计划(DRP)不包含托管在云端的某关键应用。管理层答复称，由云供应商负责灾难恢复(DR)和DR相关测试。信息系统审计师应采取的下一步行动是什么?A、制订云供应商审计计划B、审查供应商合同，以确定其R能力C、审查独立审计师关于云供应商的报告D、从云供应商处请求RP副本答案：B59.A1-62在程序变更控制的评估期间，信息系统审计师使用源代码比较软件的目的是：A、在不需要信息系统人员提供信息的情况下，检查源程序的变更B、检测源程序从获得源的副本到比较运行这段时间内所经历的变更C、确定控制副本是当前版本的生产程序D、确保当前源副本中的所有变更已经过测试答案：A60.测试企业数据中心物理安全控制措施的最佳方法是哪一项?A、对物理安全进行现场检查B、查看对数据中心的访问日志C、与行业最佳实践进行比较D、检查数据中心的监控录像答案：A61.A5-198一位信息系统审计师正在评估一个基于虚拟机(VM)的架构，该架构用于所有编程和测试环境。生产架构时与一个三层物理架构。以下哪项测试是为确保生产中Web应用程序的可用性和机密性而进行的最重要的IT控制?A、服务器配置已适当增强B、分配的物理资源可用C、系统管理员接受培训以使用D、VM架构VM服务器包含在灾难恢复计划中答案：A62.当审计资源有限时，以下哪一项是信息系统风险审计的最大担忧?A、进行风险评估可能减少可用于审计的时间B、某些业务流程可能未经审计C、管理层审计请求的响应可能会大大延迟D、审计时间表可能变得太可预测答案：B63.【重要题】项目开发阶段，新增加了一个功能点，以下哪项影响最大?A、﹀未满足用户需求B、项目关键路径改变C、超出预算D、项目延迟完成答案：A64.A5-7信息系统审计师发现组织的首席信息官(CIO)使用的是采用全球移动通信系统(GSM)技术的无线宽带调制解调器。当出差在外时，CIO使用此调制解调器连接自己的便携式计算机和公司的虚拟私有网络。信息系统审计师应：A、什么也不做，因为GSM技术固有的安全功能已经足够了。B、建议IO在启用加密之前停止使用便携式计算机。C、确保网络上已启用介质访问控制(M)过滤，从而未经授权的无线用户无法连接。D、建议使用双因素认证进行无线连接，以防止未经授权的通信。答案：A65.A2-132由于盈利压力,企业的高级管理层决定将信息安全投资保持在不太充分的水平。以下哪一项是信息系统审计师的最佳建议?A、使用云提供商提供低风险运营B、修改合规性实施流程C、要求高级管理层接受风险D、推迟低优先级安全程序答案：C66.哪一项提供IT在一家企业内的作用的最全面描述?A、IT工作说明B、IT章程C、IT组织结构图D、可排除答案：B67.审查数据中心的灭火系统应考虑A、维护措施B、安装手册C、是否能够现场更换D、承保范围答案：A68.A4-216在进行客户关系管理系统应用审计时，信息系统审计师发现，相比其他时段，用户在高峰工作时段登录系统需要很长时间。登录后，系统的平均响应时间在可接受的范围之内。该信息系统审计师应当建议以下哪一个选项?A、不应采取任何措施，因为系统符合当前的业务需求B、IT部门应当增加网络宽带，以提高性能C、应当向用户提供详细的手册，以便正确使用系统D、为验证服务器制定性能衡量标准答案：D69.A5-213某数据中心有一个证章门禁系统。以下哪项对于保护该中心的计算资产最重要?A、在可察觉到破坏行为的位置安装读卡器B、经常对控制证章系统的计算机进行备份C、遵循立即停用已丢失或被盗证章的流程D、记录所有证章进入尝试，无论是否成功答案：C70.信息系统业务目标来源是A、业务流程所有者B、IT管理层C、执行管理层D、最终用户答案：A71.以下哪一项能够最有效地发现某个员工向网络中加载了非法软件包?A、定期扫描硬盘B、网络驱动器中的活动日志C、维护当前的防病毒软件D、采用无盘工作站答案：A72.信息系统审计师使用端口扫描软件来：A、建立通讯连接B、检测入侵行为C、检测开放服务D、确保所有端口在使用中权答案：C73.A1-46内部信息系统审计团队在审计对销售退回的控制并关注欺诈风险。以下哪种抽样方法对信息系统审计师最有帮助?A、停———————走抽样B、经典的变量抽样C、发现抽样D、概率比例规模抽样答案：C74.确定配置应用程序的内部安全控制是否符合组织安全标准的最佳测试是哪个？A、安全报告的可用性和频率B、业务应用程序的安全参数设置C、IDS的日志D、应用程序的用户账户和密码答案：B75.A1-108以下哪项是信息系统审计师为了了解对审计的限制而应掌握的最重要的技能?A、管理审计人员B、分配资源C、项目管理D、注重细节答案：C76.A5-65以下哪项加密算法选项会增加开销/成本?A、使用对称加密，而不是非对称加密B、使用加长的非对称式加密密钥C、加密的是哈希而非消息D、使用密钥答案：B77.A3-45理想情况下，压力测试应在以下哪个环境中执行?A、采用测试数据的测试环境B、采用实时工作量的生产环境C、采用实时工作量的测试环境D、采用测试数据的生产环境答案：C78.审计报告指定了解决审计问题的责任人，下列哪一项最进一步增强审计报告的有效性?A、详细的降低风险步骤B、监督补救的审计人员C、补救的成本D、补救的目标日期答案：D79.A2-107在审查与外部IT服务提供商的服务水平协议时，信息系统审计师最需要考虑的是：A、付款条款B、正常运行时间保证C、赔偿条款D、违约的解决办法答案：B80.A4-94审计自动化系统时，不是每次都能够确认责任人和报告层级关系的，因为：A、多种多样的控制能够导致所有权不相关B、员工习惯于频繁更换工作C、共享资源的领域很难确定所有权D、随着技术的飞速发展，职务变动频繁答案：C81.A4-33以下哪项是审查服务台业务期间主要关注的问题?A、服务台团队无法解答某些服务呼叫中心提出的问题B、未能为服务台团队指定专用线路C、事故解决后未洽询最终用户即结案D、服务台无法发送即时服务消息已超过6个月答案：C82.A4-255信息系统审计师应建议采取以下哪一项措施来保护数据仓库中存储的特定敏感信息?A、实施列级和行级权限B、通过强密码加强用户身份认证C、将数据仓库组织成为特定主题的数据库D、记录用户对数据仓库的访问答案：A83.某IS审计师发现，用户偶尔地被授权作更改系统数据。这种系统访问权限提升不符合公司政策，但对业务经营的平稳运转是有必要的。该IS审计师最有可能建议采取以下哪一种控制来长期解决这一问题？A、重新设计与数据授权有关的控制。B、实施额外的职责分离控制。C、对政策进行审查，以查明正式的例外流程是否有必要。D、实施额外的日志记录控制。答案：C84.A2-87在确定信息资产的适当保护等级时，信息系统审计师应当主要关注以下哪一个因素?A、风险评估的结果B、业务的相对价值C、漏洞评估的结果D、安全控制的成本答案：A85.【重要题】审查新成立的CallCenter内的控制时，首先应A、评估与风险中心有关的操作风险B、测试呼叫中心的技术基础设施C、从客户那里收集服务响应时间和服务质量的信息D、审查呼叫中心的人工和自动控制答案：A86.A3-20许多IT项目会由于开发时间/或资源需求评估不足而遇到问题。在估计项目持续时间时，以下哪项技术可提供给最大限度的协助?A、功能点分析B、计划评审技术图C、快速应用开发D、面向对象的开发系统答案：B87.A5-99基于互联网且使用密码嗅探的攻击可以：A、使一方的行为看起来像另一方B、对某些交易的内容产生修改C、用于获得包含专有信息系统的访问权限D、导致账单系统和交易处理协议出现重大问题答案：C88.营销部门的三个员工使用共享账户维护公司社交媒体的新闻信息的发布，这一过程存在什么问题？A、发布未经审批的信息B、并发登录导致更新发生冲突C、账户被别人修改后无法登录D、无法实现对信息更新的问责制答案：D89.电子支票（改成EFT)相对于手写支票，最大的优势在于：A、提高效率B、降低未授权的风险C、节约人工成本D、可以统一设定传输标准答案：B90.正在对开始开发的某应用执行风险评估。在建议安全控制之前，需要确定的最重要的内容是什么？A、基于角色的访问控制(RBAC)B、当前的隐私权法律C、数据分类D、数据托管位置答案：C91.A5-127某组织网络电话包网络中有大量的通信被重新路由。该组织认为其已遭到窃听。以下哪一项可能导致VoIP通信遭到窃听?A、以太网交换机中的地址解析协议缓存损坏B、在虚拟电话交换机上使用默认管理员密码C、在未启用加密的情况下部署虚拟局域网D、最终用户有权访问分组嗅探器应用程序等软件工具答案：A92.A4-150频繁更新以下哪一项是灾难恢复计划持续有效的关键?A、关键人员的联系信息B、服务器清单记录C、个人角色和职责D、宣告灾难的流程答案：A93.进行数据通讯审计时，第一步是确定（)。A、业务使用和要传输的消息类型。B、网络设备的物理安全性C、流量和响应时间的标准D、通讯线路的冗余度答案：A94.当规划实施新系统时，公司选择并行运行的主要目的是？A、确保系统满足所需的用户响应时间B、协助新员工的培训工作C、验证系统接口是否已实施D、确认系统处理能力答案：D95.A5-172从控制角度来说,对信息资产进行分类的主要目标是：A、为应分配的访问控制等级建立准则B、确保将访问控制分配到所有信息资产上C、在风险评估中为管理人员和审计师提供帮助D、识别需要根据损失进行投保的资产答案：A96.防止同时使用软件许可的最佳措施?A、用户自律B、供应商实施突击审计C、系统管理员实施监控D、计量软件答案：D97.交易处理系统与总分类帐彼此交互，审计师发现某些交易在总账中重复记录，管理层声明已实施了系统修复，IT审计师应建议实施哪项来验证该接口将来是否正常工作?A、确保系统修复得到系统所有者的批准B、进行功能测试C、执行定期对账D、改进UAT测试答案：C98.A5-98在通信系统的审计期间,信息系统审计师发现传送至/来自远程站点的数据被截获的风险非常高。降低此风险最有效的控制为：A、加密B、回叫调制解调器C、消息验证D、专用租用线路答案：A99.审查项目可行性研究后，审计师最应该做什么？A、审查需求设计是否包含自动化控制B、和项目经理一起看预算和成本是否匹配C、帮助用户设计用户验收测试答案：A100.什么时候应该进行业务连续性计划测试？A、在每次有新应用程序的时候测试B、在渗透测试攻破防线的时候测试C、完成年度it风险评估后测试D、根据人员和环境变化时测试答案：D101.公司请外部审计，对外部信息系统审计师的访问权限应由以下哪项文件予以说明和授予A、审计章程B、经批准的工作说明C、给所有相关方的内部备忘录D、有关审计工作开展的需求请求书答案：A102.在准备支持电子数据仓库解决方案的业务案例时，以下哪一项在协助管理层进行决策的流程中最重要？A、讨论单一解决方案。B、考虑安全控制。C、证明可行性。D、咨询审计部门。答案：C103.A5-227一位信息系统审计师正在审查基于软件的防火墙配置。以下哪一项意味着出现最大漏洞?A、将隐式拒绝规则作为规则库中的最后规则B、安装在一个采用默认设置配置的操作系统上C、规则允许或拒绝访问系统或网络D、配置为虚拟私有网络终端答案：B104.A2-14软件托管协议会涉及处理以下哪种情况?A、系统管理员要求访问软件以执行灾难恢复B、用户请求将软件重新加载到备用硬盘C、定制软件供应商倒闭D、信息系统审计师要求访问组织编写的软件代码答案：C105.A5-1Web应用程序开发人员有时在网页上使用隐藏字段来保护有关客户会话信息。在某些情况下，这种技术用于存储持续存在多个网页的会话变量，例如，在零售网站应用程序中保存购物车的内容。此种做法最有可能导致的基于Web的攻击是：A、/参数篡改B、跨站点脚本C、ookie篡改D、隐藏命令执行答案：A106.A1-55在信息系统审计的计划阶段，信息系统审计师的主要目标是：A、达到审计目标B、收集足够的证据C、指定适当的测试D、尽可能少使用审计资源答案：A107.A1-101信息系统审计师正在规划如何评估与自动化记账流程相关的控制设计有效性。以下哪项是审计师可以采用的最有效的方法?A、面谈B、问询C、重新执行D、浏览审查答案：D108.IT灾难恢复是时间目标（RTO）应基于以下哪一项：A、最多可容许丢失的数据B、根据业务定义的系统关键性C、最多可容许的停机时间D、中断的根本原因答案：C109.A3-105下列哪项是自上而下的软件测试方法的优点?A、及早发现接口错误B、可以在所有程序完成之前便开始测试C、比其他测试方法更有效D、可以很快检测到关键模块中的错误答案：A110.企业将一批电脑处理给员工，首先应该完成哪一项A、员工签署保密协议B、覆写磁盘C、执行系统命令删除文件D、应用程序执行删除文件答案：B111.A3-125某企业正在开发一项新的采购系统，但进度落后于预定计划。因此，有人提议将测试阶段的原定时间缩短。项目经理向信息系统审计师询问如何降低测试时间缩短可能带来的风险。以下哪种风险缓解策略较为合适?A、测试并发布功能被简化的试用系统B、针对最严重的功能性缺陷进行修复及重新测试C、取消开发团队计划进行的测试，直接进行验收测试D、使用一种测试工具自动进行缺陷跟踪答案：A112.审查公司IT战略与IT计划的一致性，信息系统审计师发现哪项最重要A、未分发业务战略会议纪要B、IT未参与业务战略的制定C、IT战略计划的文档不足D、根据业务制定的IT战略所导出的IT项目的成果物答案：B113.信息系统IS的战略规划应涵盖：A、分析公司未来需求B、制定开发项目的目标进程C、制定未来技术平台的规范。D、审查年度预算答案：A114.A2-74以下哪一项是IT绩效衡量流程的主要目标?A、将错误减至最少B、收集绩效数据C、建立绩效基准D、优化绩效答案：D115.非诚信员工被公司解雇后，未收回手机最大的风险是什么A、访问公司网络B、泄露客户联系方式C、资产清单不完整D、财产损失答案：B116.A2-47以下哪项是针对数据和系统所有权的政策定义不当所带来的最大风险?A、不存在用户管理协调B、无法确定明确的用户责任C、未授权用户可能获得修改数据的权限D、审计建议可能不被实施答案：C117.保护企业智能手机数据安全最好的方法是A、修改使用蓝牙连接的默认PINB、不适用公共无线网络（禁用手机wifi）C、启用数据远程清除D、加密答案：D118.哪种风险类型决定是否进行实质性测试：A、固有风险B、审计风险C、检测风险D、控制风险答案：D119.某公司已将服务器环境虚拟化，而没有对网络或安全基础设施进行其他任何更改。下列哪一项是最重大的风险?A、虚拟化平台的漏洞影响多台主机B、系统文档未更新以反映对环境的更改C、网络IS无法监控虚拟服务器到服务器的通信D、数据中心环境控制措施与新的配置不相一致答案：C120.组织鼓励员工因为工作目的而使用社交平台，以下哪一项能最好防止数据泄露?A、员工签署政策要求确认和保密协议B、对敏感数据实施强有力的控制C、对员工使用社交网站的活动实施监控D、提供社交平台使用的相关培训和指导答案：B121.在审计生命周期流程的哪一个阶段适合与客户讨论初步审计意见?分值5分A、报告阶段B、规划阶段C、跟踪阶段D、执行阶段答案：A122.以下哪项最能证明供应商控制符合公司的要求A、SLA服务水平协议B、独立的审计报告C、第三方供应商的信息安全政策D、监管要求答案：B123.在公司实施了语音通信(VOIP)，哪一项是存在的最大问题?A、不能在公司内网用VPNB、数字和语音不能互相转换C、数字和语音传输的单一故障点D、由于网络问题引起的丢包导致语音质量受影响答案：C124.A1-115以下哪一项是缺乏足够控制的表现?A、影响B、漏洞C、资产D、)威胁答案：B125.【重要题】在典型的系统开发生命周期中，下列哪个小组主要负责确认是否符合需求?A、质量保证B、内部审计C、风险管理D、指导委员会答案：A126.A5-68执行计算机取证调查时，对于收集到的数据，信息系统审计师最应关注的是：A、证据的分析B、证据的评估C、证据的保存D、证据的泄露答案：C127.审计新的应用系统，审计师要最主要考虑：A、风险分析B、成本效益分析C、项目可行性分析D、业务影响分析答案：A128.项目上线后的审查中，应审查以下哪一项来确定项目是否满足用户要求？A、用户文档的完整性B、并行测试的结果C、程序更改请求的类型。D、关键计算的完整性答案：B129.A4-41以下哪项被公认为是网络管理的关键要素之一?A、配置和变更管理B、拓扑映射C、监控工具的应用D、代理服务器故障排除答案：A130.A1-68在审查敏感的电子版工作底稿时，信息系统审计师注意到它们没有被加密。这可能危及：A、工作底稿版本管理的审计轨迹B、审计阶段的批准C、对工作底稿的访问权限D、工作底稿的机密性答案：D131.A4-152定义恢复点目标时,以下哪一项是最重要的考虑因素?A、最低操作要求B、可接受的数据丢失C、平均故障间隔时间D、可接受的恢复时间答案：B132.以下哪项确定关键功能的恢复顺序A、BCPB、DRPC、BIA答案：C133.以下哪一项是用于确定企业是否已充分评估与潜在自然灾害相关风险的最佳信息源?A、审计风险评估B、业务连续性计划(P)C、业务影响分析(I)D、灾难恢复计划答案：B134.A3-52执行事后审查的主要目的是提供机会：A、改进内部控制程序B、将网络强化到行业最佳实践标准C、向管理层强调事故响应管理的重要性D、提高员工对事故响应过程的认识程度答案：A135.【重要题】支持安全评定认证需要执行的保证任务，应在何时确定?A、完成必要的修改之后，B、用户验收阶段。C、项目规划阶段。D、制定了Q计划后。答案：C136.当企业实施安全信息和事件管理(SIEM)系统时，建立了哪一种控制类型?A、检测性B、改正性C、指导性D、预防性答案：A137.【重要题】以下哪一项能够最大限度地减少长时间电源故障的影响?A、可排除B、冗余电源C、电源调控装置D、蓄电池组答案：B138.采用面向服务的架构将最有可能：A、禁止与原系统之间的集成B、使合伙人之间的连接更加便利C、危害应用程序软件的安全性D、简化所有内部流程答案：B139.A1-6以下哪项是控制自我评估的主要优点?A、管理层在坚持业务目标的内部控制方面的责任得到了强化B、如果评估结果是外部审计工作的输入，审计费用会降低C、舞弊侦测会有所改进，因为企业内部人员参与了测试控制D、内部审计可通过使用评估结果转到咨询式的方法答案：A140.【重要题】在下一年选择进行哪些信息系统审计的主要依据是什么?A、上一年的审计发现结果B、高层管理层的要求C、组织风险评估D、以前的审计范围答案：C141.当数据所有者为数据分配错误的分类级分时，以下哪项应是信息系统审计师的最大担忧?A、竞争对手可能可以查看数据B、为保护数据而实施的控制可能不足C、控制的成本可能超过IT资产的内在价值D、系统管理员可能未加密数据答案：B142.在评估企业资源规划（ERP）实施供应商时，信息系统审计师应首先建议执行A、调查供应商的财务历史B、检查供应商的客户参考C、制定供应商响应计分卡D、审查供应商过去的实施项目答案：D143.A4-178观察业务连续性计划的完整模拟时，信息系统审计师注意到组织设施内的通知系统可能因为基础设施损坏而受到严重影响。信息系统审计师可向组织提供的最佳建议是确保：A、对抢修团队进行通知系统使用方面的培训B、通知系统具有备份恢复功能C、在通知系统中构建冗余D、将通知系统存放在保险库中答案：C144.防火墙配置开启哪个协议最不安全A、SMTPB、SNMPC、FTPD、XML答案：C145.A2-82某信息系统审计师在审查一家采用交叉培训实务的组织时，应评估以下哪种风险?A、对某个人的依赖性B、接任计划不充分C、某个人了解系统的所有组织部分D、运营中断答案：C146.A5-224发送付款指令时,下列哪项有助于合适该指令不重复?A、使用加密哈希算法B、将消息摘要加密C、计算交易的检验和D、使用序号和时间戳答案：D147.在审计射频识别技术(RFID)时，最应该注意什么?A、可扩展性B、不可否认性C、隐私D、可维护性答案：C148.A3-31在以下哪个位置和时间执行对远程站点中输入的数据的逻辑/验证最有效?A、中央处理站点，运行应用系统后B、中央处理站点，应用系统运行期间C、远程处理站点，数据传输到中央处理站点后D、远程处理站点，数据传输到中央处理站点前答案：D149.某组织正在审查其与云计算提供商之间的合同。该组织想要从合同中删除锁定条款的原因是以下哪一项？A、可用性B、可迀移性C、敏捷性D、可扩展性答案：B150.A3-47针对正在考虑购置的新应用程序软件包，信息系统审计师评估其控制规范的最佳时间是在：A、内部实验室测试阶段B、测试中和用户接受之前C、需求收集期间D、实施阶段答案：C151.哪一项用于评估一个项目所需的时间用量时?A、劳动力数量估算B、可排除C、)关键路径分析D、甘特图答案：D152.一个做采购和分销业务的公司，计划采用集中网络数据库系统，最可能是基于什么因素考虑：A、增加数据冗余度B、消除数据库正规化限制C、保证数据库完整性D、便于数据统计答案：C153.【重要题】从Internet连接到企业的局域网时，防止未经授权访问的最佳建议是利用A、代理服务器B、VPNC、加密D、虚拟化服务器答案：B154.审计师对公司的离职后系统用户的删除情况的及时性进行审计，以下那些证据收集技能最能获得有效证据A、将离职单与系统操作日志进行比较B、将离职记录与HR的离职表进行比较C、与HR经理进行面谈，确认及时性答案：A155.在数据库系统中，正规化的用途是?A、消除死锁B、减少数据冗余。C、缩短数据访问时间。D、使数据标准化。答案：B156.A5-85数字签名包含消息摘要，以便：A、显示消息是否在传输后发生改变B、定义加密算法C、确定发起人的身份D、以数字格式传输消息答案：A157.A4-29某组织使用软件即服务(SaaS)操作模式实施了在线客户服务台应用程序。当涉及可用性时，信息系统审计师需要建议最佳的控制措施，以监控与SaaS供应商签订该的服务水平协议(SLA)。以下哪个选项是信息系统审计师可提供的最佳建议?A、要求SS供应商就应用程序正常运行时间提供每周报告B、实施在线轮询工具，以监控应用程序并记录中断C、记录用户报告的全部应用程序中断，并每周加总中断时间D、与一家独立的第三方签约，为应用程序正常运行时间提供周报答案：B158.因业务激增，某公司采购了大型主机系统，信息系统审计师应当主要考虑下面哪一个因素?A、RP是否评估和更新B、采购是否超过预算C、投标是否经过评估D、应用程序访问控制是否充分答案：D159.IT管理员废除了数据库中的某些引用完整性控制，下列哪一种控制能偶最有效的弥补引用完整性控制的不足?A、性能监视工具B、定期检查表的链接C、更频繁地备份数据D、并行访问控制(cuntaccesscontrols)答案：B160.A5-139以下哪一种环境可以保护计算机设备免受电力短期降低的影响?A、电源线调节器B、电涌保护设备C、备用电源D、间断电源答案：A161.营销部门的三个员工使用共享账户维护公司社交媒体的新闻信息的发布，这一过程存在什么问题?A、无法实现对更新的问责制B、并发登录导致更新发生冲突C、账户被别人修改后无法登录D、发布未经审批的信息答案：A162.审查数据中心环境控制中的灭火系统时，应考虑A、维护措施B、安装手册C、是否能现场安装D、承保范围答案：A163.A3-19信息系统未能满足用户需求的最常见原因是：A、用户需求不断变化B、未能准确预测系统需求的增长C、硬件系统限制并发数据量D、用户参与定义系统要求的程度不够答案：D164.A5-234对关键系统执行认证和鉴定过程的原因是为了确保：A、已对安全合规性进行技术评估B、已对数据加密且该数据准备就绪，可以存储C、已经测试系统可以在不同的平台上运行D、系统遵循瀑布模型的各阶段答案：A165.A2-26高级管理层的参与对制定以下哪一项最重要?A、战略计划B、)IT政策C、IT流程D、标准和准则答案：A166.A5-35在向供应商授予临时访问权限时，以下哪项是最有效的控制措施?A、供应商的访问权限符合服务水平协议B、根据所提供的服务创建用户账户并对其设置到期日期C、在有限的时间段内提供管理员访问权限D、在工作完成后删除用户I答案：B167.【重要题】企业使用IAAS(基础设施及服务)进行IT管理，谁应该负责操作系统安全A、企业B、云服务商C、操作系统提供商D、企业和云服务商答案：A168.A2-104在组织中实施IT治理框架时，最重要的目标是：A、实施IT与业务的一致性B、实现问责制C、利用IT实现价值D、提高IT投资回报答案：A169.A5-152在电子邮件的软件应用程序中，已验证的数字签名可以：A、帮助检测垃圾邮件B、保证机密性C、增加网关服务器的工作量D、明显减少可用带宽答案：A170.客户可以通过internet直接访问一个Web应用系统(客户关系管理系统)。以下哪一项是审计师最担心的?A、系统部署在企业内部网段中B、系统托管在第三方服务商的混合云平台中C、系统部署在公司网络的MZ区中D、系统托管在第三方供应商的服务器上答案：B171.在一个无人的资料中心适合用什么消防器具？A、喷水灭火器B、七氟丙烷C、二氧化碳D、干管答案：C172.对于无双重门控制的机房，管理层应该采取哪个行动来防止跟随进入?(2023年3月真题)A、要求员工佩戴I卡B、双因素验证C、生物识别技术D、安全意识培训答案：D173.A3-14通过对照能力成熟度模型来评估应用开发项目，信息系统审计师应可以确定：A、产品的可靠性是否得到保证B、编程人员的效率是否可以提高C、安全要求是否已经制定D、可预测的软件流程是否得到遵循答案：D174.公司请外部审计，对外部信息系统审计师的访问权限应由以下哪项文件予以说明和授予?A、审计章程B、经批准的工作说明C、给所有相关方的内部备忘录D、有关审计工作开展的需求请求书答案：A175.【重要题】网上系统应用在使用过程中由于数据量大导致延迟，系统响应时间无法接受，哪一项可以提升应用的性能?A、RI5(数据复制技术)B、磁盘镜像C、负载均衡D、调整防火墙配置答案：C176.A5-218一位信息系统审计师发现会议室内有可使用的网络端口。以下哪项会令信息系统审计师不关注此发现?A、公司网络使用了入侵防御系统B、这部分网路与公司网络进行了隔离C、公司网络中实施了单点登录D、安装了防病毒软件来保护公司网络答案：B177.A1-134以下哪一项是报告信息系统审计结果的主要要求?A、根据预先定义的标准模板进行拟订B、有充分和适当的审计证据做支撑C、全面涵盖企业流程D、由审计管理层负责审查和批准答案：B178.信息系统投资的业务案例需要保留到什么时候?A、信息系统寿命已尽(系统废止)B、投资信息系统已退休(投资退休)C、投资决策获得批准后D、投资收益已充分实现答案：A179.审计新的应用系统，审计师要最主要考虑：A、风险分析B、成本效益分析C、项目可行性分析D、业务影响分析答案：A180.审计师作为开发小组成员，该小组正在采购软件。以下哪一项有损该审计独立性?A、鉴证供应商选择流程B、批准供应商选择方法C、验证每项选择标准的权重D、可排除答案：B181.信息系统审计师正在审查外包客户服务部门的服务管理。以下哪一项最能表明服务提供商执行此职能的效能？A、有效通话次数B、客户满意度评级C、工单平均时长D、通话记录审查答案：B182.某IS审计师正在审查某组织最新的灾难恢复计划（DRP)。确定该计划所需要的系统资源的可用性时，以下哪一项批准最重要？A、执行管理层B、IT管理层C、董事会D、督导委员会答案：B183.A5-48安全管理流程需要对以下哪项具有只读访问权限?A、访问控制表B、安全日志文件C、日志选项D、用户配置文件答案：B184.为确保及时向高级管理层汇报重要IT运行问题，以下哪一项是最有效的机制?A、服务水平监控B、定期状态报告C、常规会议D、问题升级流程答案：C185.【重要题】IT经理向高级管理层汇报潜在风险情况，运行关键在线信用报告系统服务器的操作系统将不受支持，该风险属于哪种类型的风险?A、符合性风险B、技术风险C、业务风险D、)声誉风险答案：B186.在审查数据防护时，信息系统审计师最应该关注A、分类结构未发布B、密码未定期更改C、分类数据未加密D、数据未正确分类答案：D187.A5-93以下哪种方法是对分配给供应商员工的无线ID的最佳控制?A、分配一个每日过期的可更新用户IB、采用一次性写入日志来监控供应商的系统活动C、使用类似于员工使用的用户I格式D、确保无线网络加密得到正确配置答案：A188.一名IS审计师正在审查某企业的系统开发测试政策。在以下有关使用生产数据进行测试的陈述中，此IS审计师会认为哪项最恰当?A、必须经高级IS和业务管理层批准使用后，生产数据才能用于测试。B、只要将生产数据复制到安全的测试环境中，就可使用。C、决不能使用生产数据。必须基于书面的测试案例准备所有测试数据。D、如果签署了保密协议，便可使用生产数据。答案：A189.A5-12信息系统审计师被管理层要求审查一项可能是欺诈的交易。信息系统审计师在评估交易时首要关注点应为：A、在评估交易时，保证公正客观B、确保信息系统审计师的独立性C、保证数据的完整性D、评估交易的所有相关证据答案：C190.A1-28人力资源副总裁要求进行信息系统审计，以确定上一年多付的工资额。在这种情况下，最佳的审计技术是什么?A、生成样本测试数据B、通用审计软件C、集成测试设施D、嵌入式审计模块答案：B191.A5-95在对财务系统执行审计时，信息系统审计师怀疑发生了事故。信息系统审计师首先应该做什么?A、要求关闭系统以保留证据B、向管理层报告事故C、要求立即暂停可疑账户D、调查事故的来源和性质答案：B192.A5-104组织应具有事故响应计划的主要原因是该计划有助于：A、确保及时与相关管理层沟通不良事件B、控制与维护灾难恢复计划能力有关的成本C、确保在发生安全漏洞等问题时客户能够立即得到通知D、最大限度地减少系统中断和安全事故的持续时间和影响答案：D193.A4-160以下哪一项灾难恢复测试技术是确定计划有效性的最有效方式?A、准备情况测试B、纸上测试C、全面运行测试D、实际服务中断答案：A194.A1-93执行风险分析时，信息系统审计师应首先：A、审查数据分类计划B、确定组织的信息资产C、确认系统的固有风险D、对控制执行成本效益分析答案：B195.企业的操作人员未执行年末财务报表的自动脚本，以下哪项措施可以起到很好的作用A、培训操作人员B、选择有经验的财务人员加入操作团队C、实施封闭检查清单(Closingchecklist)D、更新操作手册答案：C196.内部审计的职责由以下哪一项明确A、审计计划B、审计章程C、审计目标D、审计范围素答案：B197.以下那个指标最适合的衡量数据恢复策略：A、RPOB、RTOC、SDOD、最大中断窗口答案：A198.A4-254以下哪项是处置含有机密信息的磁介质最有效方法?A、消磁B、碎片整理C、擦除D、破坏答案：D199.A2-147某信息系统审计师了解到某企业将软件开发工作外包给了一家初创的第三方公司，要确保该企业在软件方面的投资受到保护，此信息系统审计师应提出以下哪种建议?A、应对软件供应商进行尽职调查B、应对供应商设施进行季度审计C、应签署源代码第三方托管协议D、应在合同中包含较高的违约罚金条款答案：C200.对于问题的整改，公司并未按先前商定的程序去按时跟进，且高级管理层已接受相关风险，如果审计师不同意管理层的决定，最佳的处理方式是?A、将问题报告给首席审计执行官，寻求解决方法B、在审计范围内重新执行审计，但仅涵盖具有可接受风险的领域C、既然高级管理层已经接受风险，不需要任何行动D、建议新的纠正行动以缓释可接受的风险答案：A201.面向服务架构(SOA)最可能A、危害应用程序软件安全性B、简化所有内部流程C、便于合伙人之间的合作D、禁止与旧系统之间集成答案：C202.A3-51以下哪一项是原型设计的优点?A、成品系统通常具有强大的内部控制B、原型系统能够显著地节省时间和成本C、原型系统的变更控制通常较为简单D、原型设计可确保功能或附加物不会被添加到指定系统答案：B203.企业开展业务所在地区的隐私法变更后，信息系统审计师应采取什么行动?A、设计补偿控制以符合新的隐私法B、对企业的隐私程序提供更新建议C、使用当前的隐私程序执行差距分析D、将隐私法的变更传达给法律部门答案：C204.A1-121审计银行电汇系统时,以下哪一项技术最适合检测是否存在双重控制?A、交易日志分析B、重新执行C、观察D、约谈工作人员答案：C205.A5-106某组织正在考虑将基于PC的关键系统连接到互联网。以下哪项最能防止黑客攻击?A、应用程序级网关B、远程访问服务器C、代理服务器D、端口扫描答案：A206.A5-77以下哪一项是被动网络安全攻击的示例?A、流量分析B、伪装C、拒绝服务D、电子邮件欺骗答案：A207.A1-30在风险分析期间，信息系统审计师已确定威胁和潜在影响。接下来，该信息系统审计师应该：A、确保风险评估与管理层的风险评估流程相一致B、确定信息资产和底层系统C、对管理层披露威胁和影响D、确定并评估现有控制答案：D208.A4-107检查操作系统安全配置的信息系统审计师应该审查：A、交易日志记录B、授权表C、参数设置D、路由表答案：C209.信息系统审计师发现安全运营团队在与员工的通信中包含了最近攻击的详细报告。以下哪一项是这一情况的最大担忧?A、员工可能会滥用或传播报告中的信息B、没有采用书面化的方式来传达报告C、没有技术专业背景的员工不理解该报告D、员工可能未能了解威胁的严重性答案：A210.IT治理审查中，哪一项信息系统审计师是最担忧的?A、公司允许两套操作系统B、未监控预算C、IT价值分析未完成D、公司的全部IT技术都是由第三方提供的。答案：C211.数据分类的好处：A、减少对敏感信息的保护成本B、业务风险与敏感信息相匹配C、提升企业人员的安全意识D、监管要求，必须实施答案：A212.在审计生命周期的哪个阶段适合与客户讨论初步审计意见A、执行阶段B、报告阶段C、规划阶段D、跟踪阶段答案：B213.在制定业务连续性计划（BCP）时，应首先完成以下哪一项A、执行漏洞分析B、进行BIA分析C、审查环境控制措施D、执行业务威胁评估答案：B214.A1-47制订基于风险的审计策略时，信息系统审计师应执行风险评估，以确保：A、降低风险所需的控制已就位B、识别出漏洞和威胁C、将审计风险考虑在内D、差距分析得当答案：B215.防黑客能力最强的防火墙类型是A、应用网关B、屏蔽路由器(屏蔽主机防火墙)C、数据包过滤D、电路网关答案：A216.某IS审计师正在为某大型跨国公司审查应用变更管理流程，他最担心发生以下哪种情况？A、测试系统的运行配置与生产系统不一样。B、变更管理记录为纸质记录C、配置管理数据库未经维护D、测试环境安装在生产服务器上答案：C217.A5-163公司XYZ已将生产支持外包给在另一个国家的服务提供商ABC。ABC服务提供商的工作人员通过互联网连接到XYZ的生产支持网络。以下哪一项能够最有效保证只有经过授权的ABC用户能够通过互联网连接为XYZ提供给服务支持?A、单点登录身份认证B、密码复杂性规则C、双因素认证D、互联网协议地址限制答案：C218.【重要题】哪一项提供IT在一家企业内的作用的最全面描述?A、IT工作说明B、IT章程C、IT组织结构图D、可排除答案：B219.A1-11信息系统审计师的决定和行动最可能影响以下哪种风险?A、固有风险B、检测风险C、控制风险D、业务风险答案：B220.A2-34许多组织都强制要求员工休假(度假)一周或更久，其目的在于：A、确保员工保持良好的生活质量，从而提高生产效率B、减少员工发生不当操作或非法操作的机会C、为另一名员工提供合适的交叉培训D、消除某位员工一次性休一天假而可能引起的中断答案：B221.A4-44网络性能监控工具能够最直接地影响以下哪一项?A、完整性B、可用性C、完成度D、机密性答案：B222.在审查用户账户政策时，信息系统审计师的最大担忧是什么?A、员工辞职后，没有撤销其系统访问权限的相关政策B、当员工更改角色时，没有任何政策可以撤销以前的访问权限C、没有要求员工签署保密协议NDA的相关政策D、没有针对安全意识培训的政策答案：B223.高级审计师正在审查初级审计师的审计底稿，发现一个问题在被审计方已整改后被删除了。高级审计师下一步该：A、批准该审计底稿B、要求被审计方重新测试C、将该问题报告给审计经理或主管D、复原该审计发现答案：C224.信息系统审计师发现，许多离职员工尚未从财务系统中删除，为了评估风险以下哪一项是最重要的?A、终止离职员工访问的流程B、离职员工实际访问系统的能力C、管理层对用户访问权限进行审查的频率D、与财务系统相关的入侵尝试的频率答案：B225.以下哪项最能确保信息资产的机密性?A、按照“按需分配”的访问控制原则B、采用双因素身份认证控制C、人员安全意识培训D、为所有用户配置只读权限答案：A226.A4-3审查与服务供应商签订的新外包合同时，缺少以下哪项最需要信息系统审计师给予关注?A、规定“审计权限”(针对服务供应商进行审计)的条款B、对绩效不佳的罚款进行定义的条款C、预先定义的服务水平报告模板D、有关供应商责任范围的条款答案：A227.A4-21信息系统审计师审查服务水平协议(SLA)时，应对以下哪个问题最关注?A、异常报告导致的服务调整需要一天的实施时间B、用于服务监控的应用程序日志过于复杂，导致审查非常困难C、服务衡量方式未包括在SL中D、文档每年更新一次答案：C228.【重要题】在后续审计中，被审计方提出，审计问题应采取的纠正措施需要比预期更长的时间，审计师应该：A、要求在商定的期限内完成整改B、将此问题向高级管理层汇报C、停止审计工作并推迟跟踪审计D、确认是否有补偿性控制的临时措施答案：D229.安装数据泄漏防护（DLP)软件的主要目的是控制以下哪一项？A、服务器上存储的保密文件的访问特权B、意图破坏内部网络中的重要数据C、哪些外部系统可以访问内部资源D、保密文件流出内部网络答案：D230.有员工把系统管理员密码发在了社交网站上，最先应该怎么做：A、修改密码B、关闭系统C、走法律程序D、上报监管答案：A231.A4-231下列哪种测试方法适用于业务连续性计划?A、试点测试B、纸上测试C、单元测试D、系统测试答案：B232.A5-196对成功的社会工程攻击的最贴近的解释是：A、计算机错误B、判断错误C、专业知识D、技术答案：B233.最能确定公司网络整体安全性的方式是()?A、实施渗透测试B、审查网络安全文档C、审查安全程序D、审查网络配置答案：A234.信息系统审计师发现，为了提高性能已经WEB应用程序的验证控制从服务器迁移到客户端，那么遭受以下哪一项攻击的风险最可能增加？A、PHISHINGB、SQL注入C、DOSD、缓冲区溢出答案：B235.移动设备要丢弃，怎么保证安全?(下列哪像对于磁盘清理数据最有效?)A、多次复写B、清除数据软件数据（数据擦除）C、把移动设备放置在强磁场中D、格式化答案：C236.审计师发现系统存在很多多余生产系统权限没有及时清除，审计师应该建议?A、人力资源系统在员工离职后自动触发删除员工权限B、业务部门定期审阅并申请删除多余的访问权限C、系统管理员应确保权限分配的一致性D、IT安全部门管理员定期删除多余的权限答案：B237.什么是制定战略过程中面临的最大风险?A、可排除B、IT战略的制定基于以前的执行情况C、IT战略在业务战略和计划之前制定D、IT战略未包含信息安全答案：C238.分散式信息安全职能的优势在于:A、提高合规性。B、更一致。C、提高响应能力。D、更客观答案：C239.新系统的实施是通过自行实施还是采用外包模式实施需要明知的决策，这应该实在哪个环节中考虑的？A、业务案例B、可行性分析答案：B240.为确保企业信息不被获取，以下哪一项是清理硬盘供再次使用的最佳方式?A、数据擦除B、消磁C、格式化D、重新分区答案：A241.确定配置应用程序的内部安全控制是否符合组织安全标准的最佳测试是哪个?A、安全报告的可用性和频率B、业务应用程序的安全参数设置C、TS的日志D、应用程序的用户账户和密码答案：B242.A1-27信息系统审计师正在进行符合性测试，以确定控制措施是否支持管理政策和程序。测试将有助信息系统审计师确定：A、控制是否有效执行B、控制是否在按设计预期运行C、数据控制的完整性D、财务报告控制的合理性答案：B243.A2-38在实施IT平衡计分卡之前,组织必须：A、提供有效且高效的服务B、定义关键绩效指标C、为IT项目带来商业价值D、控制IT费用答案：B244.信息系统审计师在审查对公司无线网络环境中的受限制信息的访问控制时，应该考虑到，仅使用下列哪一种方式对用户进行身份验证最受关注?A、U盘B、一次性密码C、可排除D、媒体访问控制地址(MAC地址)答案：D245.A3-4某信息系统审计师正在审查某个组织的软件开发流程。下列哪项职能适合由最终用户执行?A、程序输出测试B、系统配置C、程序逻辑说明D、性能调整答案：A246.A5-146在公钥基础设施中,注册机构负责：A、验证证书申请对象所提供的信息B、在核实所需属性并生成密钥之后颁布认证C、对消息进行数字签名，以实现签名消息的不可否认性D、登记签名信息，以保证其日后不遭到否认答案：A247.企业架构(EA)举措的主要好处是：A、使组织的投资能够用于于最合适的技术中。B、确保在关键平台上实施安全控制。C、允许开发团队更快地响应业务要求。D、赋予业务单位更大的自主权，以选择符合其需求的IT解决方案。答案：A248.存储机密信息的电子介质要送到异地，怎样才能确保最大程度的安全性？A、找经过认证和有担保的信使(运送服务商)B、对机密信息文件进行数字签名C、用安全锁物理加固介质D、加密介质答案：D249.公司要将保密数据给到下游应用系统，最能保证安全性的是？（金融机构需要向下属分公司传输机密性的数据，最佳做法是？）A、SFTPB、带时间截的文件头C、SNMPD、SNTPE、安全外壳答案：A250.对于评估业务连续性计划的有效性最好方法是审查：A、预先的测试结果B、异地存储和环境监控C、计划并把他们作为适当的标准D、应急程序和员工培训答案：A251.问题管理的目的不是：A、迅速恢复事件B、降低事故发生的次数和严重性C、通过对重大事故进行调查和深入的分析后解决问题D、不断提高IS部门的服务质量答案：A252.A2-108实施公司治理的主要目标是：A、指明战略方向B、控制业务运营C、使IT与业务保持一致D、实施良好的实践答案：A253.发现网站服务停止响应，很多用户报告说连不上系统，最有可能遭到什么攻击？A、恶意代码B、中间人C、中断攻击D、DOS答案：D254.下面哪一项是最佳的数据完整性检查?A、将数据追溯至源点B、计算每天处理的交易量C、准备和运行测试数据D、执行连续性检查答案：A255.A2-119将安全方案作为安全治理框架的一部分实施的主要好处在于：A、使IT活动与IS审计建议保持一致B、实施安全风险管理C、实施首席信息安全官的建议D、降低IT风险的成本答案：B256.向客户支付的应用系统完成后，实施项目后评估的重点在于A、满足合同约定B、实现系统设计的要求C、按照软件工程师设计意图开发答案：B257.【重要题】审查网络打印机处置的时候，审计师应该最担心的是什么?A、没有足够的证据表明处置的打印机的硬盘彻底清除B、业务部门直接将打印机交给了授权的供应商处置C、未按照政策和方案规定来处置D、打印机放在不安全的区域答案：A258.A1-131以下哪一项最能有效地确保会计系统利用计算相关控制的有效性?A、重新执行B、流程浏览审查C、观察D、文档审查答案：A259.【重要题】为减轻API查询公开数据的风险，以下哪项考虑因素最重要?A、数据完整性B、数据质量C、数据最小化D、数据保留答案：C260.某IS审计师正在审查某数据中心的物理安全控制，发现以下哪个问题最值得关注?A、不记得了B、灭火系统C、安全摄像头D、紧急出口答案：D261.IS审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP），但是没有整个企业的BCP。那么，IS审计师应该采取的最佳行动是：A、建议增加、制订全企业的、综合的BCPB、建议合并所有BCP为一个单独的全企业的BCPC、确定各部门的BCP是否一致，没有冲突D、各业务部门都有适当的BCP就够了，无需其它答案：C262.以下哪一项控制措施能够最有效地确保董事会收到有关IT的足够信息？A、CIO应要求向董事会个别成员作简短陈述。B、CIO及时报告绩效和纠正措施。C、董事会成员熟悉IT并就IT问题咨询CIO。D、董事会、CIO及技术委员会之间召开会议。答案：D263.信息系统审计师执行下列哪项行为最可能损害其在应用程序系统审计中的独立性?A、为应用程序设计一个嵌入式审计模块。B、执行应用程序的开发审查C、审计师的上级负责此应用程序的开发。D、知道应用程序包括审计师的个人交易。答案：C264.A5-14以下哪一项是防止组织中未经授权人员删除审计日志的最佳控制手段?A、应当在单独的日志中跟踪对日志文件执行的操作B、禁用对审计日志的写访问权限C、只有指定人员有权查看或删除审计日志D、定期执行审计日志备份答案：C265.敏捷项目能识别和缓解风险得办法：A、项目成员参与风险讨论B、像业务负责报告风险C、项目成员专注于高风险领域D、请专家进行风险评估答案：A266.A5-259神经网络可有效地检测欺诈，因为神经网络可以：A、发现新的趋势，因为其本身是线性的B、解决不能获得大量常规培训数据组的问题C、解决需要考虑大量输入变量的问题D、假设任何曲线的形象是根据变量和输出之间的关系绘制的答案：C267.对一个新开发的系统，审计师应在哪个阶段确定软件连续计划流程A、需求分析B、系统设计C、UAT完成后D、实施后审查答案：A268.IS审计师在审计电子商务环境时，最重要的是要理解以下哪一项？A、电子商务环境的技术架构B、构成内部控制环境的政策、程序和实务C、应用系统所支持的业务流程的性质和重要性D、系统可用性和可靠性控制措施的持续监测答案：C269.【重要题】什么是制定战略过程中面临的最大风险?A、可排除B、IT战略的制定基于以前的执行情况C、IT战略在业务战略和计划之前制定D、IT战略未包含信息安全答案：C270.以下哪一项是实施分散式IT治理模型最主要的原因?A、实现标准化和规模经济B、实现各业务部门的统一性C、促进各业务部门之间的IT协作D、有利于对业务需求有更快的响应答案：D271.以下哪一项控制最能防止互联网嗅探器(Internetsniffer)进行重放攻击(replayAttack):A、数据包过滤路由器B、带时间戳的数据加密技术C、正确配置的防火墙D、数字签名技术答案：B272.匿名文件传输协议(FTP)服务器的主要特征是?A、加密通信链路B、未认证的用户对所有主机系统文件具有完全的访问权限C、无法防止对敏感文件的访问D、比HTTP协议性能差答案：C273.A1-56选择审计程序时，信息系统审计师运用自己的专业性判断，以确保：A、收集充分的证据B、重大缺陷在合理期限内得到纠正C、识别出所有严重缺漏D、将审计成本控制在最低水平答案：A274.SDLC首先要做的测试A、单元测试B、集成测试C、回归测试D、并行测试答案：A275.A4-6某企业的多个办公室都位于一个区域内，并且用于恢复的预算很有限。以下哪种恢复策略最合适?A、由企业维护的热备援中心B、租用商业冷备援中心C、在企业各办公室之间实行互惠安排D、采用第三方热备援中心答案：C276.哪项技术便于了解和实行实际操作A、与流程所有者面谈B、观测实际流程C、审核实际操作与政策是否一致答案：B277.能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是：A、使用软件来约束授权用户的访问B、将每次访问记入个人信息（即：作日志）C、对敏感的交易事务使用单独的密码/口令D、限制只有营业时间内才允许系统访问答案：A278.审计报告在交给项目指导委员会之前，首先由谁进行评估？A、业务负责人B、IT审计经理C、项目发起人/项目资助人D、审计委员会答案：B279.数据中心环境控制审计可能包括以下哪一项审查?A、有权进入数据中心的人员名单B、应急出口的报警系统C、数据中心的访问日志D、天花板上没有湿管答案：D280.A5-143对信息系统审计师而言,如果下列用户组具有生产数据库的完全访问权限，以下哪一组最值得关注?A、应用程序开发人员B、系统管理员C、业务用户D、信息安全团队答案：A281.在进行客户关系管理系统（CRM)应用审计时，IS审计师发现，相比其他时段，用户在高峰工作时段登录系统需要很长时间。登录后，系统的平均响应时间在可接受的范围之内。该IS审计师应当建议以下哪一个选项？A、IS审计师不提出任何建议，因为系统符合当前的业务需求。B、IT部门应当增加网络带宽，以提高性能。C、应当向用户提供详细的手册，以正确使用系统。D、IS审计师应当建议为验证服务器制定性能衡量标准。答案：D282.【重要题】在审查安全政策的开发过程时，以下哪一项是信息系统审计师要验证的最重要的内容?A、管理层批准的证据B、关键利益相关人员积极参与的证据C、企业风险管理系统的输出D、控制框架的确认答案：B283.防止员工内部恶意渗透，最有效的是A、安装DLP并定时更新B、USB接口封锁C、不能连入外网D、安全教育答案：A284.哪种控制在跨网络传输中有效监测数据意外损坏A、顺序检查B、对称加密C、奇偶校验D、校验（数字）位答案：D285.以下哪一项对战略IT举措决策流程最有价值？A、项目管理流程的成熟度B、监管环境C、过去的审计结果D、IT项目组合分析答案：D286.A3-117遵照良好实践,实施新信息系统的开发计划应在下面的哪个阶段制订?A、开发阶段B、设计阶段C、测试阶段D、部署阶段答案：B287.A2-120某组织具有完善的风险管理流程。以下哪项风险管理实践最有可能使组织面临最大的合规性风险?A、风险降低B、风险转移C、风险规避D、风险缓解答案：B288.某组织正考虑作出大笔投资进行技术升级。以下哪一项是需要考虑的最重要因素？A、成本分析B、当前技术的安全风险C、与现有系统的兼容性D、风险分析答案：D289.在项目的问题（issues）管理过程中，将出现下面哪类工作？A、配置管理B、突发事件处理计划C、客户服务管理D、影响评估答案：D290.在计划重要系统开发项目时，功能点分析有助于A、确定系统或程序承担的业务功能B、估计系统开发任务量C、估计项目所需时间D、分析系统用户来帮助重新设计工作的功能。答案：B291.【重要题】在提交审计报告前，审计经理发现由于错误的收集了审计证据导致可能审计结论不正确，该风险属于什么风险?A、固有风险B、操作风险C、审计风险D、控制风险答案：C292.A1-8一名具有强大技术背景和丰富管理经验的长期IT员工申请了信息系统审计部门的空缺职位。除了个人经验，还最应该根据以下哪项来确定该职位是否雇佣这个人?A、工龄，因为这有助于确保技术能力B、年龄，因为进行审计技术培训可能不实际