《CISA学习 模拟题 2》由会员分享,可在线阅读,更多相关《CISA学习 模拟题 2(20页珍藏版)》请在金锄头文库上搜索。
1、目录第一部分:模拟题 2第二部分:模拟题答案 19第一部分:模拟题101. 审计报告中包含实质性发现的最终结论应该由谁做出?A. 审计委员会B. 审计经理C. 信息系统审计师D. 组织的CEO102. 在一次全球服务供应商的审计过程中,审计师发现这个公司为了便于全球客 户报告以及跟踪他们的问题,已经配置了通过互联网访问服务台应用程序, 客户可以在每个分支机构通过一个客户 ID 进行 SSL 连接,他们的访问权限仅 限于创建和查询他们的服务请求,未要求定期的密码变更,并且合作伙伴提 供的应用程序也不会进行安全检查。审计师应提哪些建议?A. 应要求定期的密码变更B. 所有用户都应分配单独的 IDC
2、. 没有变更是必须的,应用程序已足够安全D. 应用程序应该脱离互联网103. 信息系统审计师报告由于一些敏感表格都进行了审计记录,因此ERP的财务 模块程序非常慢,供应商关闭了这些表格的审计记录功能,仅对成功和不成 功的登录系统日志进行记录,这种情况最大的威胁是什么?A. 可能无法保证财务数据的完整性B. 可能无法保证系统日志的完整性C. 无法记录访问关键数据的日志D. 欺诈可能发生104. 为了达到组织的灾难恢复标准,备份中断不能超过:A. 服务水平目标B. 恢复时间目标C. 恢复点目标D. 最大可接受供电中断105. 在一个小型制造业企业,一个 IT 员工在做制造工作同时兼任程序开发员,针
3、 对以上情景请选择最优的降低风险的控制措施?A. 限制访问,以防止员工访问生产环境B. 通过雇佣新员工实现职责分离C. 自动记录所有在生产环境中的变更D. 对已经被批准执行过的程序变更进行核查106. 一个审计师观察到,在供应商的建议下,IT部门为组织的生产系统更新了补 丁,审计师应该最关注的是IT部门未考虑到:A. 更新补丁后对用户的培训B. 为生产系统打补丁的好处C. 测试补丁的影响后才能打补丁D. 最终用户对新补丁提供的建议107. 以下哪项是有效的灾难恢复计划最关键的因素?A. 数据的异地备份B. 关键灾备恢复清单的更新C. 数据备份中心的可用性D. 清晰定义恢复时间目标(RTO)10
4、8. 一个审计师正在审计一个使用敏捷软件开发方法的项目,以下哪项是审计师期 望发现的?A. 基于过程的成熟度模型的使用,如能力成熟度模型(CMM)B. 基于时间表对于任务级别进展的监控C. 软件开发工具的使用来最大化团队的生产率D. 通过反复 评审来识别未来项目可能用到的课程109. 一个金融机构正在建立并将业务连续性措施文档化,以下哪项审计师会认为 是一个问题?A. 这家机构使用了最佳实践指南代替了行业标准并且得到外部顾问的帮助 以确保方法论的充分性B. 业务连续性能力包括了一些精心挑选的比较合理的可能发生的应急场景C. RTO没有考虑IT灾难恢复的限制,如恢复期间人员和系统的相关性D. 机
5、构打算租用一个临时应急场所,但该场所仅可提供正常员工一半数量的 占用空间110. 审计师正在为客户制定审计计划,他看了去年的审计计划发现该计划用于去 年着重检查公司网络和邮件系统,但计划未包括电子商务服务器,公司 IT 经理暗示今年公司审计重点应是一个新上线的 ERP 系统,审计师该如何做?A. 按IT经理要求审计新的ERP系统B. 这次应审计去年未审计电子商务服务器C. 在对高风险系统进行评估的基础上制定审计计划D. 两个系统都审计111. 为了优化组织的业务连续性计划,审计师建议进行业务影响性分析是为了决 定:A. 对组织产生最大经济价值的业务流程,应该首先恢复B. 恢复的优先级和顺序来确
6、保与组织业务目标的一致性C. 从灾难中恢复的业务流程必须确保组织的生存D. 在最短时间恢复最多系统的优先级和顺序112.恢复策略的选择最可能依靠:A. 设备和系统的恢复成本B. 恢复场地的可用性C. 业务流程的关键性D. 事件响应流程113.审计师在审核组织的数据库安全时,以下哪项是关于数据库加固最应关注的 方面?A. 默认配置被修订B. 所有数据库中的表格被统一化C. 存储的步骤和触发器被加密D. 数据库服务器端口被变更114 .在审核入侵检测日志时,审计师注意到来自互联网的流量,流量显示这些IP 地址好像来自公司内部薪资服务器,以下哪种危险行为可能导致这种情况?A. DOS 攻击B. 欺骗
7、C. 端口扫描D. 中间人攻击115. 审计师在审核健康组织在两种应用环境下的开发过程生产和测试。审计过 程中发现,生产数据被使用在测试环境中用于测试程序变更的目的,这样做 最大的潜在风险是什么?A. 测试环境没有足够的控制措施来确保数据准确性B. 测试环境可能由于使用生产数据而产生错误的结果C. 测试环境的硬件可能与生产环境不完全一致D. 测试环境没有足够的控制措施来确保数据机密性116. 以下哪项行为在生产高峰时段可能导致宕机?A. 实施数据迁移或磁带备份B. 对电力系统进行预防性维护C. 将数据从开发环境向生产环境转移D. 在数据中心的关键路由器上更换一个已经停用的电动力系统117. 以
8、下哪种情况将会列入软件约定协议?A. 系统管理员要求具有访问软件的权限以便于从灾难中进行恢复B. 用户重新下载软件到替代的硬盘中C. 编写客户软件的供应商停业D. 信息系统审计师有权访问组织编写的软件代码118. 确保 EDI 程序接收的权威性指令的最合适的控制措施是:A. 通过比对确认信息来接收电子指令B. 在执行指令前对比指令的数量C. 核对发送者的身份并确定指令是否符合合同条款约定D. 加密电子指令119. 一个小型组织只有一个数据库管理员(DBA),他拥有登录UNIX服务器的ROOT 权限,他负责数据库程序的管理。这种情况下如何实现职责分离?A. 再雇佣一个DBA,并在这两个DBA之间
9、分配职责B. 清除DBA拥有的UNIX服务器的权限C. 确保DBA所有操作都有记录并将记录保存在磁带上D. 当前DBA未登录系统时,确保数据库日志被上传到DBA没有权限访问的 UNIX服务器120. 被零售部门的会议室有一个与公司网络连接的网络接口,允许供应商的销售 代表的笔记本电脑使用这个端口连接网络登录平台,这种情况下的风险是销 售代表可能:A. 连接邮件服务器窃取邮件清单以用于销售目的B. 安装监控软件来获取关键决策制定者的通信信息C. 他电脑上的病毒将感染整个网络的机器D. 在他电脑上安装的路由器可能造成网络的中断121. 当评审网络设备的配置时,审计师应首先关注:A. 该网络设备的最
10、佳配置参考B. 网络的组件是否丢失C. 网络拓扑中该设备的重要性D. 网络中所有组件是否被恰当的使用122. 在一个小型组织中,开发人员可直接对生产系统进行紧急变更,这种情况下 以下哪个选择是最佳控制措施?A. 在下一个工作日再审批和记录这个变更B. 限制开发人员访问生产系统的时间C. 在发布前获得备岗的批准D. 在生产系统中停用编译选项123. 基于结构化的开发方法的主要优势是:A. 具备管理未严格限制数据类型的能力B. 提供构造复杂关系的能力C. 具备适应不断变化环境的能力D. 支持多种开发环境124. 以下哪项可以放入测试灾难恢复步骤的计划?A. 请客户参与B. 所有技术员工参与C. 变
11、更恢复经理D. 安装本地化备份125. 以下哪项数据库控制措施可以确保一个在线交易流程数据库中交易的完整A.授权审批控制B.数据格式化控制C.日志读写权限控制D.交付和回滚控制126. 审计师在审核组织的物理安全控制措施时,关于门禁系统审计时应关注A. 给予保洁人员的非个人的门禁卡,它用于进出记录,但没有身份信息B. 门禁卡没有标识组织的名称和地点,不便于卡丢失时及时归还C. 卡保证金和权限管理由不同部门负责,导致新卡不必要的交付时间D. 管理卡的计算机系统在卡失效后三周才能被替换127. 以下哪项是防止审计日志被未授权删除的措施?A. 对日志的操作应通过其他日志进行记录B. 停止对日志的写权
12、限C. 仅授权适当的人具备删除日志的权限D. 应定期审查日志的备份128. 除开发团队外还需用户参与的测试的最后阶段应考虑哪种软件程序的测试?A. 阿尔法测试B. 白盒测试C. 回归测试D. B测试129. 以下哪项是组织收集、关联和保存不同日志和事件文件的最佳程序,并向审 计师提供周报和月报?A. 安全信息事件产品B. 开源关系引擎C. 日志管理工具D. 提取、转换、载入 ETL 系统130. 当使用数字签名时,信息摘要是由以下哪项计算:A. 仅有发送者B. 仅有接收者C. 由发送者和接收者共同D. 证书机构131. 以下哪项是测试半自动变更控制流程设计的有效性的最有效的方法?A. 测试一个
13、变更样本B. 测试流程端到端的穿行测试C. 测试一个已经授权的变更D. 使用计算机辅助审计技术132. 在审计数据库环境时,审计师最关注数据库管理员哪些行为?A. 按照管理规范实施数据库变更B. 安装补丁并更新操作系统C. 测量表格空间并为表格合并提供建议D. 实施备份和恢复步骤133. 审计师正在评估虚拟环境下用于程序开发和测试的技术架构,生产环境的架 构由三个相互关联的架构组成,以下哪项是最重要的 IT 控制措施来确保在这 种环境下互联网应用的可用性和机密性?A. 服务器配置加固B. 确保已分配物理资源的有效性C. 培训系统管理员适应虚拟架构D. 灾难恢复计划中包含了虚拟机服务器134.
14、自我评估的成功主要依靠:A. 产品线经理被赋予监控控制措施的职责B. 指派员工经理负责评估,但不进行监督和控制C. 严格的控制策略和措施的实施D. 监督和监控已分配职责措施的实施135. 通常通过进行业务影响性分析来判断应用系统的关键性,以下哪项是最重要 的咨询对象?A. 业务流程负责人B. IT 管理层C. 高级业务管理层D. 行业专家136. 以下哪种灭火系统适用于数据中心?A. 干管灭火器B. 干粉灭火器C. FM-200 系统D. 二氧化碳灭火器137. 以下哪项是确定恢复点目标时应考虑的内容?A. 最小化操作要求B. 可接受的数据丢失C. 系统中断平均时间D. 可接受的恢复时间138
15、. 以下哪项是与赋予用户更多的信息安全责任最相关的?A. 大量的数据被创造并分配给终端用户B. 业务流程对 IT 流程更加依赖C. 安全技术已经领先很多年D. IT 组织拥有可靠的员工群体139. 审计师发现当开发人员修正缺陷时新系统的用户体验测试反复中断,对此信息系统审计师的最佳建议是?A. 考虑隔离用户体验环境的可行性B. 在每天固定时间进行用户测试C. 开发一个源代码版本控制工具D. 仅重新测试优先级高的缺陷140. 当评估组织的软件开发措施的时候,审计师应审阅提交给项目管理层的质量 保障措施的报告,他应该最关注?A. 质量保障措施的有效性,因为它应该影响到项目管理层和用户管理层B. 质量保障措施的效率C. 项目经理的有效性应该可以影响到质量保障措施D.项目经理的效率因为QA的职能是需要与项目实施团队沟通141. 在无线通讯
