cisa中文模拟题465题14838

资源描述

《cisa中文模拟题465题14838》由会员分享，可在线阅读，更多相关《cisa中文模拟题465题14838（59页珍藏版）》请在金锄头文库上搜索。

1、Chapter 1 1. 下列哪些形式的审计证据就被视为最可靠口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信 2. 当程序变化是，从下列哪种总体种抽样效果最好测试库清单源代码清单程序变更要求产品库列表 3. 在对定义 IT 服务水平的控制过程的审核中，审计人员最有可能面试：系统程序员. 法律人员业务部门经理应用程序员. 4. 进行符合性测试的时候，下面哪一种抽样方法最有效属性抽样变数抽样平均单位分层抽样差别估算 5. 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：当数据流通过系统时，其作用的控

2、制点。只和预防控制和检查控制有关. 纠正控制只能算是补偿. 分类有助于审计人员确定哪种控制失效 6. 审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作计算机辅助开发工具（case tool）嵌入式（embedded）资料收集工具启发扫描工具（heuristic scanning tools）趋势/变化检测工具 7. 在应用程序开发项目的系统设计时间，审计人员的主要作用是：建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发排程 8. 下面哪一个

3、目标控制自我评估(CSA)计划的目标关注高风险领域替换审计责任完成控制问卷促进合作研讨会 Collaborative facilitative workshops 9. 利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源 10. 审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的数据 11. 在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：可以使用的 CAA

4、Ts 管理层的陈述组织结构和岗位职责. 存在内部控制和运行控制 12. 对于组织成员使用控制自我评估(CSA)技术的主要好处是：可以确定高风险领域，以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃 relinquish 对控制的责任 13. 下列哪一种在线审计技术对于尽早发现错误或异常最有效嵌入审计模块综合测试设备 Integrated test facility 快照 sanpshots 审计钩 Audit hooks 14. 当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法对于链接库控制进行

5、实质性测试对于链接库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试 15. 在实施连续监控系统时，信息系统审计师第一步时确定：合理的开始（thresholds）指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序 16. 审计计划阶段，最重要的一步是确定：高风险领域审计人员的技能审计测试步骤审计时间 17. 审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性审计师：在应用系统开发过程中，实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员，但并没有经营责任为应用系

6、统最佳实践提供咨询意见 18. 审计中发现的证据表明，有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS 审计师可以推测的结论是：经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊 19. 为确保审计资源的价值分配给组织价值最大的部分，第一步将是：制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施 20. 审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发现是审计师应该最重视的有一些外部调制解调

7、器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户账号的密码是相同的 21. 信息系统审计师在控制自我评估(CSA)中的传统角色是：推动者（facilitator）经理伙伴股东 22. 下面哪一种审计技术为 IS 部门的职权分离提供了最好的证据：与管理层讨论审查组织结构图观察和面谈测试用户访问权限 23. 2IS 审计师应该最关注下面哪一种情况缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况 24. 审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征可得到在线网络文文件支持

8、终端访问远程主机处理在主机和内部用户通信之间的文件传输执行管理，审计和控制 25. 审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：固有的风险. 控制风险检查危险审计风险 26. 审计章程应采取：是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变清楚的说明审计目标和授权，维护和审核内部控制文文件化达到计划审计目标的审计程序列出对审计功能的所有授权，范围和责任 27. 审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的应用程序所有者不知道 IT 部门对系统实施的一些应用应用数据每周只备份一次应

9、用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护 28. IS 审计功能的一个主要目的是：确定每个人是否都按照工作说明使用 IS 资源确定信息系统的资产保护和保持数据的完整性对于计算机化的系统审查账册及有关证明文件确定该组织识别诈骗 fraud 的能力 29. 进行审计的时候，审计师发现存在病毒，IS 审计师下一步应该做什么观察反应机制病毒清除网络立即通知有关人员确保删除病毒 30. 审计章程的的主要目标是：记录企业使用的审计流程审计部门行动计划的正式档记录审计师专业行为的行为准则说明审计部门的权力和责任。 31. 在对程序的安全性审计过程中，审计师发现没

10、有文件记录安全程序，该审计员应该：建立程序文件终止审计进行一致性测试鉴定和评估现行做法 32. 在风险分析期间，IS 审计师已经确定了威胁和潜在的影响，下一步审计师应该：确定并评估管制层使用的风险评估过程确定信息资产和受影响的系统发现对管理者的威胁和影响鉴定和评估现有控制. 33. 下面哪一项用于描述（整体测试法）最合适这种方法使 IS 审计师能够测试计算机应用程序以核实正确处理利用硬件和或软件测试和审查计算机系统的功能这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程 IS 系统审计师用于测试的一种程序，可以用于处理 tagging 和扩展交易和主文

11、档记录。 34. IS 审计师要判断是否严格控制被授权者对于程序文文件的访问，最有可能的做法是：评估在存储场所的档保存计划就当前正在进行的流程采访程序员对比实际使用的记录和操作表审查数据文件访问记录测试管理库的功能 35. 需要进一步收集哪些数据，IS 审计师的决定取决于需要的重要信息的可用性审计师对于情况的熟悉程序审计人员（auditee）找到相关证据的能力进行审计的目的和范围 36. 审查管理层的长期战略计划有助于审计师：了解一个组织的宗旨和目标测试企业的内部控制评估组织队信息系统的依赖性确定审计所需的资源 37. 利用统计抽样程序可以减少：抽样风险检查风险

12、固有风险控制风险 38. IS 审计师对软件使用和权限进行审计，发现大量的 PC 安装了未授权的软件。IS 审计师应该采取下面哪种行为个人擅自删除所有未授权软件拷贝通知被审计人员非授权软件的情况，并确认删除报告使用未经授权软件的情况，并需要管理层避免这种情况重复发生不采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用 39. 下面哪一项 IS 审计师可用来确定编辑和确认程序的有效性（effectiveness）域完整性测试相关完整性测试参照完整性测试同位检查 40. 下面哪一种情况下，IS 审计师应该用统计抽样而不是判断抽样(nonstatistical

13、)：错误率必须被客观量化（objectively quantified）审计师希望避免抽样风险通用审计软件不实用（unavailable）容忍误差(tolerable error rate)不能确定 41. 证明税收计算系统精确性的最好的方法是：对于计算程序源代码详细目测审核和分析使用通用审计软件对每个月计算的总数进行重复的逻辑计算为处理流程准备模拟交易，并和预先确定的结果进行比较自动分析流程图和计算程序的源代码 42. 以下哪一个是使用测试数据的最大的挑战确定测试的程序的版本和产品程序的版本一致制造测试数据报括所有可能的有效和无效的条件对于测试的应用系统，尽量减少附加交

14、易的影响在审计师监督下处理测试数据 43. 电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因多重循环备份文件可供利用访问控制可以确定电子邮件行为的责任对于通过电子邮件交流的信息尽心过数据分类管理企业中，用于确保证据可得的清晰的使用电子邮件的政策 44. IS 审计师对于应用程控进行审查，应该评价：应用程序对于业务流程的的效率发现的隐患 exposures 的影响应用程序服务的业务应用程序的优化. 45. 以下哪一个是最主要的优势，利用计算机司法软件进行调查：维护保管的一系列电子证据节约时间效率和效益寻求侵犯知识产权证据的能力 46. 以下哪一个是

15、使用 ITF 综合测试法的优势使用真实的或虚拟的主文档，IS 审计师不需要审查交易的来源。定期检验过程并不需要单独分离测试过程证实应用程序并可测试正在进行的操作它无需准备测试资料. 47. 风险分析的一个关键因素是: 审计计划. 控制弱点. Vulnerabilities 负债 liabilities 48. IS 审计师的决策和行动最有可能影响下面哪种风险固有风险检查分析控制风险业务风险 49. 在一台重要的服务器中，IS 审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱点。IS 审计师应该首先做什么调查病毒的作者. 分析操作系统日志确保恶意代码已

16、被清除安装消除弱点 vulnerability 的补丁. 50. 组织的 IS 部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：控制程序. 控制目标纠正控制运行控制. 51. IS 审计师审计 IT 控制的效果，发现了一份以前的审计报告，但是没有工作记录 workpapers，IS 审计师应该怎么处理暂停审计直至找到工作记录依靠以前的审计报告对于风险最高的区域重新测试控制通知审计管理层，重新测试控制 52. IS 审计师审查组织结构主要是为了：理解工作流程调查各种沟通管道理解个人的责任和权利调查员工之间不同的联系管道 53. IS 审

17、计师审查对于应用程序的访问，以确定最近的 10 个新用户是否被争取的授权，这个例子是关于: 变数抽芽实质性测试符合性测试停-走抽样. 54. 当需要审计轨迹的时候，以下哪一种审计工具最有用综合测试法(ITF) 持续间断模拟（CIS）审计钩（audit hook）快照 55. 以下哪一个是实质性测试检查例外报告清单确认对参数改变进行审批对于磁带库列表进行统计抽样审核密码历史记录 56. 对于特定威胁的整体经营风险的威胁，可以表示如下：一种产品的可能性和影响的重要性，如果威胁暴露了弱点影响的重要性应该是威胁来源暴露了弱点威胁来源暴露弱点的可能性风险评估小组的整体判断 5

18、7. 在审查客户主文档的时候， IS审计师发现很多客户的名字相同arising from variations in customer first names，为了进一步确定重复程度，IS 设计师应该：测试数据以确认输入数据测试数据以确定系统排序能力用通用审计软件确定地址字段的重复情况用通用审计软件确定帐户字段的重复情况 58. 通常,以下哪一种证据对 IS 审计师来说最可靠收到的来自第三方的核实账户余额确认信一线经理确保应用程序如设计的方式工作从 internet 来源得到的数据趋势（Trend data）由一线经理提供报告，IS 审计师开发的比率分析（Ratio analy

19、sis） 59. 成功的实施控制自我评估(CSA)需要高度依赖：一线管理人员承担部分监督管理责任安排人员负责建置管理,而不是监督、控制实施严格的控制策略，和规则驱动的控制监督实施和并对控制职责进行监督 60. 审计计划阶段，对于风险的评估用于提供：审计覆盖重大事项的合理保证明确保证重大事项在审计工作中被覆盖审计覆盖所有事项的合理保证充分保证所有事项在审计工作中被覆盖 61. 下面哪一项是使用基于风险方法的审计计划的好处审计排程可以提前完成. 预算更符合 IS 审计人员的需要人员可以使用不同的技术资源分配给高风险领域 62. IS 审计人员使用数据流程图是用来定义数据层次

20、突出高级别数据定义. 用图表化方式描述数据路径和存储描绘一步一步数据产生的详细数据 63. 在对数据中心进行安全审计时，通常审计师第一步要采取的是：评级物理访问控制测试的结果确定对于数据中心网站的风险/威胁审查业务持续程序测试对于可疑网站的物理访问的证据 64. 高层管理要求 IS 审计师帮助部门管理者实施必要的控制，IS 审计师应该：拒绝这种安排，因为这不是审计人员的职责告诉管理层将来他的审计工作无法进行执行安排和将来的审计工作，处于职业谨慎在得到使用者部门批准的情况下，进行实施和后续工作 65. 在制定风险基础审计策略时，IS 审计师需要进行风险评估审计，目的是保证：

21、减轻风险的控制到位确定了脆弱性和威胁审计风险的考虑. Gap 差距分析是合适的. 66. 当通知审计结果时，IS 审计师应该牢记他们的最终责任是对：高级管理和/或审计委员会. 被审计单位的经理. IS 审计主管. 法律部门 legal authorities 67. 对于抽样可以这样认为：当相关的总体不具体或者是控制没有文文件记录时 intangible or undocumented control，适用于统计抽样。如果审计师知道内部控制是强有力的，可以降低置信系数属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。变量抽样是一种技术，用于评估某种控制或一系列相关控制的发生率

22、。 68. IS 审计师评估系统变更的测试结果，这个系统用于处理缴纳结算 payment computation 。审计师发现 50%的计算结果不能和预先定义的总数匹配。IS 审计师最有可能采取下面哪一步措施对于出错的计算，设计进一步的测试确定可能导致测试结果错误的变量检查部分测试案例，以便确认结果记录结果，准备包括发现、结论和建议的报告 69. 在实施对于多用户分布式应用程序的审核时， IS 审计师发现在三个方面存在小的弱点：初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS 审计师应该：分别记录对于每个发现产生的相关影响。（record

23、the observations separately with the impact of each of them marked against each respective finding.）建议经理关于可能的风险不记录这些发现，因为控制弱点很小记录发现的结果和由于综合缺陷引发的风险报告部门领导重视每一个发现并在报告中适当的记录 70. 人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分，这种情况下最好使用下面哪一种审计技术测试资料通用审计软件 ITF 综合测试法嵌入审计模块 71. 持续审计方法的主要优点是：当处理过程开始的时候，不要求审计师就系统的可靠性收集

24、证据当所有信息收集完成后，需要审计师审查并立即采取行动可以提高系统的安全性，当使用分时环境处理大量的交易时不依靠组织的计算机系统的复杂性。 72. 在审计章程中记录的审计功能中的责任、权力和经营责任 responsibility, authority and accountability，必须：必须经最高管理层批准经审计部门管理者批准经用户部门领导批准在每年 IS 审计师大会 commencement 之前修改 73. IS 审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整，是由：匹配输入数据的控制总数和原始数据的控制总数对数据进行排序以确认是否数据和原始数

25、据的序号相同审查打印输出的前 100 条原始记录和输入数据的前 100 条记录按照不同的分类过滤数据，和原始数据检验 74. 在评估网络监测控制时，IS 审计师第一步应该审核网络的拓朴图. 带宽使用. 阻塞分析报告瓶颈确定 75. IS 审计师评估信息系统的管理风险。IS 审计师应该最先审查：已经实施的控制已经实施控制的有效性资产的风险监督机制资产的脆弱性和威胁 76. 在有异议的情况下，离开审计面谈中，考虑到结果的影响，IS 审计师应该：要求被审计人员以签名的形式接受所有法律责任阐述调查的意义和不纠正的风险向审计委员会报告有异议的情况接收被审计方的意见，因为他们有处理

26、的所有权 77. 确定商品库存的价值已超过八周，IS 审计师最有可能是用：测试资料. 统计抽样综合测试法 ITF 通用审计软件 78. 下列哪一个是风险评估过程的描述风险评估是: 主观. 客观. 数学方法统计 79. 综合测试法 ITF 被认为是一个有用的工具，因为它：对于审计应用控制来说，是一种具有成本效益的方式允许财务和审计师整合他们的测试将处理的输出结果与单独计算的数据进行比较。为审计师提供分析大量信息的工具 80. 在审计报告确认发现的结果 finding 后，被审计方迅速采取了纠正行动。审计师应该：在最后报告中包括发现的结果，因为师要负责正确的审计报告包括所有的发现

27、结果。在最后的调查报告中不包括发现结果，因为审计报告仅仅包括未解决的发现结果在最后的调查报告中不包括发现结果，因为在审计师审计期间，纠正行动已经被确认。包括结果，仅仅在闭幕会议上讨论调查之用。 81. 以风险为基础的审计方法，审计师应该首先完成：固有的风险评估. 控制风险评估. 控制测试评估. 实质性测试评估. 第一章答案 01-10：ddcaa dcacb 11-20：daccb babcd 21-30：acaac dabcd 31-40：ddabd abcaa 41-50：cbaba bcbcb 51-60：dcbbc acaaa 61-70：dcbbb abccb 71-81

28、：caaad bdacaa Chapter 2 1. 下面哪一种 IT 治理是提高战略联盟（alignment）的最佳做法供货商和合作伙伴的风险管理. 基于客户、产品、市场、流程的知识库实施到位. 提供有利于于建立和共享商业信息的组织结构. 高层之间对于业务和技术责任的协调 2. 建立可接受的风险水平的责任属于：质量保证经理. 高级业务管理. CIO 首席信息主管. 首席安全主管 3. 作为信息安全治理成果，战略联盟提供：企业需求驱动的安全要求. 按照最佳实践制定的安全基线. 专门的或客户定制的解决方案. 了解风险. 4. 如果缺乏高层管理人员对于战略计划的许诺（commitment）

29、，最可能的后果是: 缺乏技术投资. 缺乏系统开发的方法. 技术与组织目标不一致. 缺乏对于技术合同的控制. 5. 用自下而上的方法来开发组织政策的优势在于这样开发的政策: 为组织整体而指定. 更可能来自于风险评估的结果. 与企业整体政策不会冲突. 确保整个组织的一致性 6. IS 审计师发现并不是所有的员工都知道企业的信息安全政策. IS 审计师可以得出的结论是：这种无知有可能导致意外泄漏敏感数据信息安全并非对所有功能都是关键的. IS 审计师应该为员工提供安全培训. 审计结果应该使管理者为员工提供持续的培训 7. 有效的 IT 治理应该确保 IT 计划符合组织的: 业务计划. 审计计划.

30、安全计划. 投资计划. 8. 当通信分析人员进行下面哪一项的时候，IS 审计师应该给予重点关注监测系统性能，追踪程序变动导致的问题根据当前和未来的交易量，审查网络负载需求评价终端响应时间和网络数据传输率对于网络负载的影响网络负载平衡措施和改进建议 9. 下面哪一项最可能暗示，客户数据仓库应该由内部开发而不是外包给海外运营时差不同有可能影响 IT 团队的沟通通信费在第一年非常高有关隐私权的法律可能会阻碍信息跨国界传输软件开发需要更详细的说明 10. 当一名员工被解雇时，需要采取的最重要的行动是: 交出全部职工的档案给指定的另一名雇员. 完成员工工作的备份. 通知其他员工关于该员

31、工的解雇通知. 解除该员工的逻辑访问权限. 11. 在处理可疑入侵时，一个合理的信息安全策略最有可能包括下列哪一项反应纠错检测监控 12. IS 审计师在审查使用交叉培训做法的组织时，应该评估哪一种风险对于单个员工的依赖性连续性计划不够充分一个员工了解系统的所有部分错误操作. 13. IS 审计师在审查 IT 设备的外包合同的时候，希望合同确定的是：硬件配置. 访问控制软件. 知识产权的所有权. 开发应用方法. 14. 设计信息安全政策时，最重要的一点是所有的信息安全政策应该: 非现场存储. 由 IS 经理签署 written by IS management 分发并传播给用

32、户. 经常更新. 15. 当评价组织的 IS 战略时候，下面哪一项 IS 审计师认为是最重要的获得一线管理人员 line management 的支持不能与 IS 部门初步预算有差异遵守采购程序支持该组织的业务目标 16. 缺乏足够的安全控制是一个: 威胁. 资产. 影响. 脆弱性. 17. 对于 IT 安全策略的审计的主要目的是保证策略向所有员工分发，并且每个员工都知道安全和控制策略支持业务和 IT 目标有公开发行的组织结构表和功能描述适当的职责分离. 18. 制订风险管理计划时，首先进行的活动是：风险评估. 资料分类. 资产清单. 关键性分析. 19. 制订风险管理计划时

33、，首先进行的活动是：风险评估. 资料分类. 资产清单. 关键性分析. 20. 风险分析小组很难预测由可能会由风险造成的经济损失，要评估潜在的损失，小组需要：计算有关资产的折旧. 计算投资回报率(ROI). 采用定性的方法. 花费必要的时间精确计算损失金额 21. 以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险管理协调用户不存在. 无法明确特定用户责任未授权用户可以产生，修改和删除数据审计建议无法实施 22. 要支持组织的目标，信息部门应该具有：低成本理念. 长期和短期计划. 领先的技术. 购买新的硬件和软件的计划. 23. 为降低成本并提高外包的服务水平，外包应该

34、包括以下哪些合同条款操作系统和软硬件更新的周期共同分享由于提高绩效获得的收益 Gain-sharing performance bonuses 违规处罚费用和可变成本 Charges tied to variable cost metrics 24. 以下哪一项提供了管理机制使 IS 管理层能够确定是否该组织活动的计划偏离了计划或预期的水平质量管理 Is 评估方法管理原则行业标准/基准 25. IS 控制目标对于 IS 审计师的用途体现在它们提供了基础，以便于理解：实现特定控制程序的预期结果和目标对于特定实体的最佳 IT 安全控制措施信息安全的技术. 安全策略 26. 对于公

35、司的 IS 审计师来说，考虑外包 IT 过程并审查每一个供货商的业务持续计划的副本是合适的的么是合适的，因为 IS 审计师会评估服务商计划的充分性，并帮助公司实施补充计划是合适的，因为根据计划，IS 审计师要评估服务方的财务稳定性和履行合同的能力不合适，因为提供的备份在合同中应该是具体充分的不合适，因为服务方的业务持续计划是私有的信息 27. 当服务被外包的时候，以下哪一个是 IS 管理者最重要的职能确保支付给服务商发票作为参加者参与系统设计重新和服务商关于费用进行谈判监督外包商的业绩 28. 当 IT 支持部门和终端使用者之间的责权分离问题很重要时，应该采取下面哪种补偿控制

36、限制物理访问计算机设备审查交易和应用日志在雇用 IT 部门人员时进行背景调查一段时间不活动后，锁定使用者进程 29. 对于组织来说外包其数据处理业务的可能的优势是: 能够获得所需要的外部的专家经验可以对处理行使更大的控制可以实施和内部确定处理的优先权沟通使用者需求时，需要更多的使用者参与 30. IS 指导委员会应该：包括来自各个部门和各个层次的员工确保 IS 安全政策和程序被适当的执行有正式的定期召开例会，并保留每一次会议记录在每一次供货商召集的会议上，记录新的趋势和产品 31. 某个长期雇员是具有强大的技术背景和广泛的管理经验，申请 IS 审计部门的一个空缺职位。确定是

37、否在此岗位上是否聘用此人需要考虑个人经验和：服务时间，因为这将有助于确保技术水准. 年龄，因为培训审计技术可能不切实际. IS 知识，因为这会带来提高审计工作的可信度. 能力，因为作为 IS 审计师，与现有的 IS 关系是独立的 32. 许多组织要求雇员强制性休假一周以上是为了：确保员工保持良好的生活质量，这将带来更大的生产率. 减少雇员从事非法或不当行为的机会. 为其他雇用提供适当的交叉培训. 消除员工休假一次一天的潜在的干扰 33. 在实施平衡计分卡之前，该组织必须: 提供切实有效的服务. 确定关键性能指针. 提供该项目的商业价值. 控制 IT 支出. 34. 在企业资源计划（ERP）

38、系统中总账的设置功能允许设置会计期间。对于这项功能允许财务，仓库和订单输入部门的用户都可以使用这项功能。这种广泛的访问权的最可能的原因是：需要定期更改会计期间一个会计期间结束后，需要追加记账缺少适当的政策和程序进行职责分工需要建立和修改关于账目和分配的图表 35. 在 IS 部门中，下面哪一项 IS 审计师认为是和 IS 部门的短期计划最相关的资源分配保持技术的领先水平进行评估自我控制硬件需求评估 36. 评估 IT 风险的最佳办法是: 评估与现有 IT 资产和 IT 项目相关的威胁利用公司以往的实际经验，确定当前风险损失. 审查同类公司公布的损失统计资料审查 IS 审计报

39、告中指出的控制弱点 37. 以下哪一个是 IT 绩效衡量过程的主要目的最小化错误收集绩效资料. 建立绩效基准. 绩效优化. 38. 让业务单位担任开发应用业务的责任，很可能会导致: 数据通信的需求大幅度减少. 行使较低水平的控制 . 实行更高层次的控制. 改善职责分工. 39. IS 审计师受雇审查电子商务安全。IS 审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。下一步工作是什么立即向 CIO 或 CEO 报告风险检查开发中的电子商务应用. 确定威胁和发生的可能性. 核对风险管理的可行预算. 40. 以下哪一项是创建防火墙策略的第一步对于安全应用的成本效益分析方法识

40、别外部访问的网络应用识别外部访问的网络应用的脆弱性设立应用控制矩阵，显示保障办法 41. 确保组织遵守隐私的要求，IS 审计师应该首先审查: IT 基础设施. 组织的政策、标准和程序. 法律和规章的规定. 组织政策、标准和程序的附件. 42. 组织的管理层决定建立一个安全通告 awareness 程序。下面哪一项可能是程序的一部分利用入侵检测系统报告事件授权使用密码访问所有软件安装高效的用户日志系统，以追踪记录每个用户的行为定期培训所有当前员工和新进员工 43. 以下哪一项是减轻职责划分不当引发风险的补偿控制序列检验核对数字源文件保存批控制 Reconciliations

41、44. IT 平衡记分卡是一种业务的监督管理工具目的是为了监督 IT 性能评价指针而不是财务状况. 客户满意度内部过程的效率. 创新能力 45. 由上而下的方式建立的业务政策将有助于保证: 政策在整个组织的范围内一致. 政策作为风险评估的一部分实施遵守所有政策. 政策被定期检讨. 46. 以下哪一项是 IT 指导委员会的职能：监测供货商对于变更控制的控制和测试保证信息处理环境中的职责分离审批和监管重大项目，IS 计划和预算的情况 IS 部门和终端使用者之间的联系 47. 其中哪一项应包括在组织的信息安全政策中要保护的关键 IT 资源列表访问授权的基本原则确定敏感安全特征相关

42、的软件安全特征 48. 在一个组织内，IT 安全的责任被清楚的定义和强化，并始终如一地执行 IT 安全的风险和影响分析。这表示的是信息安全治理成熟度模型的哪一级优化. 管理定义重复 49. IS 审计师在审查信息系统短期（战术）计划时应确定是否：在项目中，IS 人员和业务人员进行了整合有明确的目标和任务信息技术计划战略方法在发挥作用将业务目标和 IS 目标进行关联的计划 50. 局域网(LAN)管理员通常受限制于（不能）：具有终端使用者权限向终端使用者经理报告具有程序设计权限负责局域网安全管理 51. 一个组织收购其他企业，并继续使用其遗留的电子数据交换系统，和三个独立

43、的增值网供货商。没有书面的增值网合同。IS 审计师应该建议管理者：获取第三方服务提供商的独立保证设置程序监督第三方交付的服务确保正式合同发挥作用考虑和第三方服务提供商共同开发业务持续计划 52. 对于成功实施和维护安全政策来说，以下哪一项是最重要的各方的书面安全策略的结构和目的都一致。管理层支持并批准实施和维护安全政策通过对任何违反安全规则的行为进行惩罚来强调安全规测安全管理人员通过访问控制软件严格执行，监督和强调安全规则 53. 下列哪一项减少了潜在的社会工程攻击的影响：遵守规定要求提高道德意识安全意识 awareness 程序有效的业绩激励 54. 以下是一种机制可

44、以减轻风险. 安全和控制措施财产责任保险审计和鉴证合同服务水平协议(SLA) 55. 电子取证的风险可能会减少的原因是通过电子邮件的: 破坏政策. 安全政策. 存档政策审计政策 56. IS 审计师审查组织的 IS 战略计划，首先要审查：现有的 IT 环境业务计划目前的 IT 预算. 目前的技术趋势 57. 技术变革的速度增加了下面哪一项的重要性: 外包 IS 功能. 实施和强化良好流程员工在组织中的建立事业的愿望满足用户要求 58. 将会在组织的战略计划中发现下面哪一个目标测试新的账户包 Test a new accounting package 进行信息技术需求评估在

45、接下来的 12 个月中实施新的项目计划成为某种产品的供货商 59. 制定一个安全政策是哪一个部门的最终责任: IS 部门. 安全委员会. 安全管理员. 董事会 60. IT 治理是哪一项的主要责任: 首席执行官. 董事会 IT 指导委员会. 审计委员会. 61. IS 审计师对于与员工相关的 IS 管理实践审计进行一般控制审计，应该特别关注的是：强制休假政策和遵守情况. 人员分类和公平的补偿政策. 员工培训. 分配给员工的职责 62. 从控制角度而言，工作的描述的关键要素在于他们: 提供如何工作的说明和明确的授权对于员工来说是更新的，文档化，并且容易得到沟通管理者的具体工作业绩预期.

46、确立员工行为的责任和义务 63. 下列哪些证据提供了具有合适的安全意识程序的最好证据股东的数量 The number of stakeholders，包括受到培训各级员工整个企业范围内培训覆盖的范围不同供货商的安全设施落实情况定期审查并与最佳实践比较 64. 在制定以下哪一项时，包括高层管理人员参与是最重要的战略计划. IS 政策 IS 程序. 标准和指南. 65. 在审查 IS 战略时，IS 审计师最能衡量 IS 策略是否支持组织的业务目标的做法是确定是否：有需要的所有人员和装备. 计划与管理策略一致. 使用设备和人员的效率和效益. 有足够的能力,以适应不断变化的方向. 66.

47、在职责分离不合适的环境中，IS 审计师要寻找下面哪一种控制重迭控制边界控制访问控制补偿性控制 67. 当 IS 从独立的服务提供商处采购时，审计师应该期望在招标书 request for proposal (RFP)中包括下面哪一项从其他客户参考服务水平协议(SLA)范本维护协议转换计划 68. 风险管理的产出结果是下面哪一项的输入业务计划. 审计章程. 安全政策策略. 软件设计策略. 69. IT 指导委员会审查信息系统主要是为了评估: IT 处理是否支持业务需求. 提出的系统的功能是否足够. 现有软件的稳定性. 安装技术的复杂性. 70. 建立了信息安全程序的第一步是:

48、制定和实施信息安全标准手册. IS 审计师执行对于安全控全面的审查采用公司的信息安全政策报告购买安全访问控制软件 71. 在审查电子资金转账系统(EFT)的结构时，审计师注意到技术架构基于集中处理方式，并且外包给国外处理。由于这些信息，下面哪一个结论是审计师最关注的可能会有与司法权限范围有关的问题由于有国外的供货商可能会导致未来审计费用超支由于距离，审计过程可能会很困难可能有不同的审计标准 72. 组织外包其软件开发，以下哪一项是该组织 IT 管理的责任支付服务提供商作为参加者参加系统设计控制外包商遵守服务合同与供养商谈判合同 73. 有效的 IT 治理要求组织的结构和流

49、程能够确保：组织的战略和目标延伸到 IT 战略. 业务战略来自于 IT 战略 IT 治理独立于并不同于全面治理 IT 战略扩大了组织的战略和目标 74. 全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和: 恢复. 保存. 重建再用 75. 下面哪一项最能保证新员工的正直性背景检查参考数据人际关系(bonding) 简历中的资格第二章答案 01-10：dbacd aaacd 11-20：acccd dbccc 21-30：cbbba adbac 31-40：dbbca adbcb 41-50：cddaa cbbbc 51-60：cacac bbddb 61-70：dddab

50、 dacac 71-75：acdba Chapter 3 1. 一个组织有一个集成开发环境，链接库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是集成开发环境（IDE）的强项控制程序多个版本的扩散扩展程序资源和可得到的辅助工具增加程序和加工的整体性防止有效的变更被其他修改程序重写 2. 以下哪一项是计划评审技术(PERT)相比其他方法的优点与其他方法相比: 为计划和控制项目考虑不同的情景允许用户输入程序和系统参数. 测试系统维护加工的准确性估算系统项目成本. 3. 下列哪些是使用原型法进行开发的优点成品系统有足够的控制. 系统将有足够的安全/审计轨迹. 减少部署 de

51、ployment 时间很容易实现变更控制 4. 软件开发方法中生命周期法中的瀑布模型最适合用于：需求完全理解并可望保持稳定，如同系统运行的业务环境一样需求完全理解并且项目受时间压力影响项目需要使用面向对象的设计和程序设计方法项目需要使用新技术 5. 以下哪种人员要为软件开发团队提供需求说明书负责组长项目发起人系统分析员指导委员会. 6. 在处理决策支持系统时，以下哪一项是实施风险管理控制结构化层次无法确定用途和使用方式决策过程的变化 7. 审计师审查重组织流程的时候，首先要审查：现有控制图消除的控制处理流程图补偿性控制. 8. IS 审计师进行应用程序维护审计

52、时，审查程序变更日志是为了：授权程序变动创建当前对象模块的日期程序变化实际产生发生的数量源程序创建日期 9. 组织与供货商签订了成套的电子收费系统(ETCS)解决方案的合同，供货商提供专用的软件作为解决方案的一部分，合同中应该规定：运行 ETCS 业务和最新资料的备份服务器. 装有所有相关软件和数据的备份服务器. 对系统的工作人员进行培训，以便处理任何事件. ETCS 应用的源代码放在第三方代管 in escrow. 10. 在考虑增加人员到受实施时间限制的项目时，应该先考虑以下哪一步项目预算项目的关键路径剩余任务的时间长度员工分配的其他任务 11. 对于新的或者现有改进

53、的业务应用系统的审查的目的是：确定是否测试数据覆盖了所有的情况进行认证和证明过程. 评估项目是否收到预期效益. 设计审计报告. 12. 在设计软件基线时，下面哪一个阶段是最合适的阶段测试设计需求分析开发 13. 在评估数据库应用系统的可移植性时，IS 审计师应该审查结构化语言(SQL)使用. 其他系统的信息输入和输出处理过程使用索引. 所有实体都有有意义的名称和明确的主键字和外部关键词. 14. 系统测试的主要目的是: 测试设计产生的控制总数. test the generation of the designed control totals 判断系统的文文件是否准确评估系

54、统功能. 确保系统操作熟悉新制度. become familiar with the new system 15. 实施 EDI 处理的项目的可行性报告中应包括以下哪一项加密算法的格式详细的内部控制程序必需的通信协议建议的可信的第三方协议 16. 在客户机服务器环境下实施一个购买的系统时，下面哪一项测试能够确定 windows 注册表的修改不会影响到桌面环境兼容性测试平行测试白盒测试验证测试. 17. 下列哪种情况有可能会增加舞弊. 应用程序员对产品程序进行修改应用程序员对测试程序进行修改运行支持人员对批次安排进行修改数据库管理员对数据库结构进行修改 18. 用回归测试方

55、法测试程序的目的是为了确定是否：新的代码中包含错误. 功能说明和实际表现中存在差异新的要求已得到满足. 改变的部分给未变化的代码引入了错误 19. 在设计数据仓库下面哪个要素是最重要的因素元数据品质交易速度数据的多变性系统的弱点 20. 下面哪一项整体测试检查数据的准确性、完整性、一致性和授权数据关系领域参考 21. 主要在于 SDLC 开发方法的哪个阶段防止程序的蔓延扩大开发实施设计可行性 22. 在审查基于 WEB 的软件开发项目时，IS 审计师发现没有强调编码规则，并且没有进行代码审核。这有可能增加以下哪种成功的可能性缓冲溢出. 强力攻击. 分布式拒绝服务攻

56、击战争拨号攻击. 23. 一家公司最近将其销售系统提升为综合的 EDI 传输系统. 为提供有效的数据 map，应该在 EDI 接口实施下列哪一项控制关键词验证一对一地检测手工重算功能确认 24. 程序员在工资发放应用程序中包括了查找自己工资号码的例行程序，作为结果，如果自己的工作号码没有找到，这个例行程序将产生随机数并替换掉所有的薪水金额。这种程序被称作：清理 scavenging. 资料泄露尾随特洛伊木马 25. 在软件开发项目中，整体全面质量管理(TQM)的基本要点在于：全面檔. 准时交货. 成本控制. 用户满意. 26. 以下哪一项有助于程序维护聚合性强，藕合性松散

57、松聚合，松藕合强聚合，强藕合松聚合，强藕合 27. 利用自下而上的方法与由上而下的方法相比，在进行软件测试时优点在于：尽早发现界面错误. 更早达到对系统的信心. 尽早发现关键模块的错误. 尽早测试主要的功能和处理 28. 采用面向对象的设计和开发技术最有可能：便于模块重复使用系统性能改进. 加强控制效能. 加快系统开发周期 29. 下列哪些风险可能会造成软件基线 baselining 不足范围蔓延签署延误软件完整性受损不足控制 30. 银行系统使用下面哪一种数据确认编辑，可以确保分配给客户的银行账号数字的正确性，从而避免传输和交易错误序列检验有效性检查检查位数存在性

58、检查 31. 应用 CMM 能力成熟度模型评估应用开发项目，IS 审计师应该能够确认：保证产品可靠. 程序员程序设计的效率提高. 安全需求被设计. 可以预测后续的软件过程 32. IS 审计师建议将初始化确认控制编入信用卡交易捕获应用程序中，初始化确认程序很可能：检查，以确保交易类型对于卡片类型来说是合法的确认输入并存放在本地数据库的数字的格式确认交易在持卡人的信贷限额内确保丢失或被窃的的卡不显示在主文档中 33. 以下哪一项用于确保批量数据完整准确地在两个系统中传输控制总数核对数字检查汇总控制账户 34. 几个税收计算程序保持了几百种不同的税率，确保输入程序的税率准确性的最

59、好的控制是：对于交易列表的独立审查. 程序防止编辑输入无效数据. 程序检查 20%以上的数据输入范围的合理性. 处理部门直观核实数据输入. 35. 以下哪一个数据编辑验证对于检查数据传输和变换是有效的范围检查核对数字有效性检查重复检验 36. 测试软件模块时，以下哪一个是动态的分析工具黑盒测试部件检验 Desk checking 结构化穿行测试设计和代码 37. IS 审计师审查零售公司的 EFT 运营，确认在资金转移前对客户信贷限额进行了验证，需要审查系统接口. 转换设备. 个人身份证号码生成程序. 业务备份处理 38. 分离开发和测设环境的主要原因是：对测试中的系统限制

60、访问. 分离用户和开发人员控制测试环境的稳定性在开发时安全访问系统 39. 公司实行了新的客户机-服务器模式的企业资源规划系统(ERP)，当地分支机构传递客户订单到中央制造厂。以下哪种措施确保订单准确地进入并且生产出相应的产品根据客户订单核实产品在 ERP 系统中记录所有客户订单在订单传输处理中使用哈希 hash 总数 hash total 在生产前审批订单 40. 在项目启动阶段审查系统开发项目，IS 审计师发现项目小组遵守组织的质量手册。项目组要在截止期限内快速追踪验证和取证处理，这需要在预交付之前开始一些措施。在这种情况下，IS 审计师最有可能作为关键发现报告给高级管理层

61、接受适合于不同项目的不同的质量处理报告 IS 管理层，小组无法遵守质量程序向项目指导委员会报告快速追踪的风险 41. 审查获取的软件包，IS 发现购买软件的信息是从互联网上获得的，而不是来自于对需求建议 request for proposal (RFP)的反应，IS 审计师第一步要：测试软件与现有硬件的兼容性进行差距分析审查许可证确保获得批准程序 42. 以下哪一项最有可能发生在系统开发项目编码阶段的中期单元测试压力测试回归测试验收测试 43. 在审查会计系统的转换过程时，IS 审计师应该首先确认存在：控制总数检查确认检查完整性检查限制检查 44. 在人工智能系

62、统中，应该严格控制访问下面哪种组件推论引擎模式解释知识库数据接口. 45. 利用测试数据，作为以连续在线方式全面测试程控的一部分，被称为：试验数据/Deck. 基于案例的系统评估 base-case system evaluation 综合测试法(ITF). 并行模拟. 46. 以下哪一个是 timebox 管理的特征不适合于原型法或快速开发方法无需质量处理. 防止成本超支和交付延迟. 单独的系统和用户测试 47. IS 审计师审查交易驱动系统环境中的数据的完整性，需要审查原子性 atomicity 以确定是否：数据库存在故障(硬件或软件). 每个交易与其他交易分离. 保持完整

63、的条件. 交易完成或数据库更新. 48. 采用第四代语言(4gls)相比使用传统语言应该更加慎重，因为第四代语言有可能：缺少对数据进行深入操作的底层必需的细节命令不能在主机系统和微型计算机上都执行包括复杂的必需由有经验用户使用的语言子集不能访问数据库记录并产生复杂的在线结果 49. 检查终端的非授权输入信息最好是通过：控制面板日志打印输出事务历史记录自动暂停的档列表使用者错误报告 50. 当两个或两个以上系统整合时，审计师必需审查的输入输出控制是：系统接受其他系统输出的部分系统发送给其他系统地结果系统发送和接收的数据两个系统的接口 51. 使用电子资金转账(EFT)，一

64、名员工输入了总数，另一名雇员在资金传输前重复输入了 reenters 相同数据的金额。在这种情况下组织采用的合适的控制是：序列检查. 关键词核查. 检查数字. 完整性检查. 52. 购买应用系统的招标采购(招标)需求，最有可能通过下面哪一项批准项目指导委员会. 项目发起人. 项目经理. 用户项目组. 53. 经营单位关注最近实施系统的绩效。应该做出何种建议建立基线和监测系统使用. 确定候补处理程序准备维护手册. 落实用户的修改建议. 54. 一项检查传输错误的控制需要在传输的每一段数据后面增加计算位，被称为：合理检查. 同位冗余校验核对数字. 55. 在应用软件的执行时，下面哪

65、一项是最大风险未经控制的多种软件版本源程序与目标代码不同步不正确的参数设置程序设计错误 56. 一旦一个组织完成了业务流程重组()的所有重要操作后，审计师的审计重点最可能会是：之前的处理流程图之后的处理流程图项目计划连续改进和监控计划 57. 在审计购买新的计算机系统建议时，审计师首先要确定：明确的业务案例被管理层批准符合公司安全标准用户将参与计划的实施. 新系统将满足所有功能用户的需要. 58. 以下哪一项是平行测试法的主要目的确定系统的成本效益允许全面的单元和系统测试发现程序与文件接口处的错误确保新系统满足用户要求 59. 在项目的计划阶段的假设包括高度的风险

66、，因为这些假设：是根据已知的限制. 是基于过去的客观数据是缺乏信息的结果. 做假设的人往往是不合格的. 60. 公司使用银行办理每周的薪水发放。时间表和薪水调整窗体完成并送交银行，银行准备现金或支票并分发报告。最好的确保分发工资数据准确性的方法是：工资报告应该与输入窗体进行比较手工计算发放工资总数现金或支票与输入窗体比较现金/指标应符合产生的报告 61. IS 审计师被 IS 告知组织已经达到了 CMM 最高级别，组织的的软件质量过程最近能够被定义为：持续改进. 数量和质量目标. 文档化的过程对于具体项目的详细处理 62. 为减少在处理时数据损失的可能性，首先应该实施控制总数

67、的是：在资料准备阶段进入计算机时. 在计算机之间运行时在返回给用户部门数据数据时. 63. 当纠正以往的删除错误重新进行接受测试时，一些系统故障正在发生。这表明维护小组可能没有充分进行以下哪一种测试单元测试整体测试设计穿行测试配置管理 64. IS 审计师在审查应用软件获取申请，应该确保：正在使用的操作系统符合现有的硬件平台. 计划的操作系统更新已经排定，并尽可能减少对公司需求的负面影响。操作系统是最新的版本并经过升级产品与当前或计划中的操作系统是符合的 65. 在用户完成了验收程序后，IS 审计师正在对应用系统进行审计，下面哪一项是 IS 审计师最关注的判断是否测试目标

68、被文文件记录评估是否用户记录了预计的测试结果 Assessing whether users documented expected test results 审查是否已完成测试问题记录审查是否存在尚未解决的问题 66. 在选择软件时，,以下哪一个要考虑的商业和技术问题是最重要的卖方声誉组织的需求成本因素安装的基础 an install base 67. 实施专家系统的最大的好处是：在组织中保留个人的知识和经验在集中的知识库共享知识提高工作人员的生产力表现. 降低关键部门的员工流动率. 68. 许多 IT 项目的经验问题是因为对开发时间和/或所需的资源估计不足。以下哪一种技

69、术是制定项目时间评估的最好辅助工具功能点分析 PERT 图快速应用开发面向对象的系统开发 69. 实施后审查阶段，下面哪一种工具 IS 审计师可以用来得到内存中内容的映像，在程序执行的不同阶段 Memory dump 内存 dump 逻辑路径监控追踪工具输出分析 70. 下列哪个团体拥有系统开发项目和结果系统用户管理层高级管理层项目指导委员会系统开发管理层 71. 在软件开发过程中，以下哪一个最有可能确保业务需求得到满足适当的培训程序员理解业务流程业务规则文件关键用户尽早介入 72. 第四代语言的一个突出特点是可移植性，这意味着：环境独立 Workbench con

70、cepts 工作台概念设计屏幕格式和图形化输出的能力能够运行在线操作 73. 以下哪一项是进行业务流程重组的第一步定义要审查的范围开发项目计划理解审查的流程重组和梳理要审查的流程 74. IS 审计师参加了软件开发项目的测试过程确认单个模块表现正确。IS 审计师应该：推断多个单独模块成组运行时也应该是正确的记录测试作为系统能够产生预期结果的正面证据通知管理层并建议整体测试提供增加的测试数据 75. 数据仓库是: 面向对象的. 面向主题的. 具体部门的可变的数据库 76. 白盒测试与黑盒测试的不同在于白盒测试： IS 审计师参与由独立的程序小组完成检查程序的内部逻辑结构

71、使用自下而上的开发方法 77. 在下面哪一个阶段，将开始准备用户接受测试计划可行性研究需求定义实施计划实施后审计 78. 在数据仓库中，数据质量的保证是通过：清洗. 重组源数据的可信性转换 79. IS 审计师发现正在开发的系统有 12 个相互联系的模块，每个模块的数据涉及到 10 多个领域。系统每年处理几百万个交易。IS 审计师用下面哪种技术评价开发的规模计划评审技术(PERT) Counting source lines of code (SLOC) 功能点分析白盒测试 80. 专家系统的知识库，使用一组问题引导用户进行一系列选择到达最终结论，被称为：规则. 判定树

72、语义网络数据流程图 81. 一个组织打算购买软件包，向 IS 审计师征求风险评估的意见。以下哪一个是其中的主要风险得不到源代码没有制造商的品质认证缺乏供货商/客户参考供货商对于软件包的经验很少 82. 系统开发生命周期项目的阶段和交付应该被确定在：在项目的初步规划阶段. 在初步规划完成后，在工作开始前整个会话，基于风险与暴露 exposures. 仅仅在风险被确定，并且 IS 审计师提出了合适的控制后 83. 以下哪一项是企业管理技术，使组织开发重要的战略系统能够更快，减少开发成本，同时保证质量功能点分析关键路线方法快速应用开发计划评价审查技术 84. 数据确认编辑匹配

73、输入数据的发生率的数据是：限制检查. 合理性检查. 范围检查. 正确性检查. 85. 测试连接两个或两个以上的系统的组件，信息从一个区域到另一个区域被称为：引导测试. 平行测试接口测试回归测试 86. 如果应用程序被修改，并且适当的系统维护程序发挥作用，下面哪一项将要被测试数据库完整性. 对应用程序的访问控制完整的程序，包括任何接口系统包括修改的代码的程序段 87. 功能确认被用于：作为 EDI 交易的审计轨迹 IS 部门的功能描述记录用户作用和责任应用软件的功能描述 88. 当实施数据仓库时，下面哪一个是最大的风险生产系统反应时间增加防止修改数据的访问控制不足数据重

74、复数据没有更新或没有最新资料 89. 应该用什么数据进行回归测试与用于上一次测试不同的资料最近的生产资料以前测试用过的资料测试数据发生器产生的数据 90. 快速应用开发相比传统系统开发生命周期的最大优势是：有利于用户参与. 允许提前测试技术特征. 便于转换到新的系统. 缩短开发时间. 91. 组织实施新的系统取代遗产系统。下面哪一种转换做法将造成最大的风险引导计划 (Pilot) 平行直接切换分阶段 92. 在控制应用程序维护时，下面哪一项最有效通知使用者变化的情况确定程序变化的优先权关于程序变更获得用户批准要求记录用户关于变化的说明 93. 业务流程重组项目期望：

75、业务优先顺便保持稳定信息技术不会改变流程将提高成品、服务和赢利能力. 客户端和顾客的输入不再是必要的. 94. 在审查 IS 部门的开发质量时，IS 审计师发现没有使用任何正式的，记录的方法和标准。IS 可能采取的行动是：在完成审计并报告结果调查并建议适当的正式标准. 记录非正式的标准并进行符合性测试退出并建议当标准确定后进行深入审计 95. 下列哪一种方法强调依靠用户原型，并能够不断更新以适应用户和业务需求的变化面向数据的系统开发方法面向对象的系统开发方法业务流程重组快速应用开发 96. 公司与外部咨询公司签署合同实施商业的金融系统以取代现有的内部开发的系统。在审查提出的开

76、发目标时，应该最关注的是下面哪一项由用户管理验收测试. 质量计划不是合同交付的一部分并非所有业务功能都将在初步实施时实现. 使用原型法保证系统满足业务需要 97. 下面哪一个测试的错误将会为实施新的应用软件带来最大的风险系统测试验收测试整合测试单元测试 98. 同行 peer 审查要发现软件开发活动中的错误被称为: 模拟技术. 结构穿行测试. 模块程序技术从上到下程序结构 99. 一个调试工具，按顺序报告程序执行的步骤，被称为：输出分析. 内存 dump 编译程序逻辑路径监视器 100. IS 审计师执行对于 IS 部门的审计工作，发现不存在正式项目审批程序。如果没有这些程

77、序，项目经理可以擅自批准项目，这些项目能在很短的时间内完成。比较而言，更复杂的项目需要更高级别的管理人员批准。IS 审计师建议采取的第一步行动是: 用户参与审查和审批程序. 使用正式审批程序并记录. 项目交付适当的管理层审批. IS 经理的工作描述需要修改以包括审批权 101. 价格在收费标准的基础上随着改变量增加而变化，任何例外必须通过人工批准。下面哪一种是最有效的自动控制帮助确定所有的价格例外都被审批所有款项必须回显在在输入人员，由他们直观检查超过正常范围的价格要输入两次，以便精确确认数据。当输入例外价格并且打印时，系统发出蜂鸣声。在价格例外处理时，必须输入二级密码 102. 在原

78、型法的初始阶段，下面哪一种测试方法最有效系统平行总量 volume 从上到下 103. 一个决策支持系统目标是解决高度结构化的问题整合使用的数据模型与非传统的数据访问和恢复功能强调用户在制定决策方法中的灵活性只支持结构化的决策制定任务 104. 通过提取和重新使用设计和程序组件，现有的系统得到了扩张和强化。这是：逆向工程原型法软件重用业务流程再设计 105. 金融机构利用专家系统管理授信额度. IS 审计师审查系统最应关注的是: 确认系统的数据输入知识库中不同层次的经验和技巧访问控制设置实施处理控制 106. 在测试中使用清洁真实的事务数据的优点在于：可以包括所有

79、交易类型每种错误情况都可能测试到评估结果不需要特定的程序测试交易代表实际处理 107. 理想的压力测试应该在：使用测试数据的测试环境使用真实数据的生产环境. 使用真实工作量 live workloads 的测试环境使用测试数据的生产环境. 108. 最常见的信息系统失败的原因对于用户的需求是: 用户需求不断变化. 用户需求的增长无法准确预测. 硬件系统限制了同时使用的用户的数量. 用户对于系统需求的定义参与不够 109. 以下哪一项对于选择和购买正确的操作系统软件是重要的竞争性招标用户部门批准硬件配置分析采购部核准 110. 软件能力成熟程度模型(CMM)标准中，第一次包括

80、软件开发过程的是哪一级初次(第 1 级) 重复(第 2 级) 定义(第 3 级) 优化(第 5 级) 111. 在金融交易的 EDI 系统中，汇总字段的检查汇总位的目的是确保：完整性. 真实性授权抗抵赖 112. 提出申请的事务处理应用程序有很多数据捕获源，以电子和书面的输出形式确保事务处理过程中不会丢失。 . IS 审计师需要建议的结论是：验证控制. 内部信用检查员工控制程序. 自动化系统平衡. 113. 制造企业想要使用支付账单自动化系统。要达到的目标有：系统用很少的时间进行审查和授权，系统能够确认错误并根据需要跟进。下面哪一项最符合要求与供货商建立跨系统的客户机服务器模式

81、的网络系统，提高效率把自动化支付和帐务收支处理程序外包给第三方专业公司处理对电子业务文文件和交易建立 EDI 系统，EDI 系统与关键供货商共建，使用标准格式，从计算机到计算机。重整现有流程，重新设计现有系统 114. 当新系统将在短期内实施时，最重要的是：完成用户手册的写作. 用户进行验收测试. 不断加强系统功能 add last-minute enhancements to functionalities 保证了代码被记录并进行了审查. 115. 下面那一个控制弱点有可能会危及系统更换项目项目启动文档没有更新，以便在整个系统范围内反映变化比较所选方案和原始规范的差异分析显示了关

82、于功能的一些显著变化项目已经受到了具体需求变化的影响. 组织决定不需要项目指导委员会. 116. 下列哪些团体/个人应承担系统开发项目的总体方向和时间成本责任用户管理项目指导委员会高级管理层系统开发经理 117. 下列哪种能力成熟程度模型的层次确保实现基本项目管理控制重复(2 级) 定义(3 级) 管理(4 级) 优化(5 级) 118. 以下哪一个代表 EDI 环境中潜在的最大风险交易授权遗失或重复 EDI 传输传输延迟在确定应用控制之前删除或操纵交易 119. 当应用开发人员希望使用一个过去的产品交易文件的拷贝进行流量测试时，IS 审计师最关注的是：用户可以选择使用好

83、的数据进行测试. 擅自访问敏感数据结果. 错误处理和可靠性检验可能未能完全证明. 新系统的全部功能可能不必测试 120. 组织捐赠使用过的计算机应该确保: 计算机没有用于存储敏感信息签署不泄漏协定数据存储媒介被清洗 sanitized 所有数据被删除. 121. Gantt 图表可以使于：辅助安排项目任务确定项目检查点确保文献标准进行实施后审查 122. 销售订单按照自动编号顺序在零售商的多个出口输出，小订单直接在出口处理，大的订单送到中央大型生产厂。确保所有生产订单都被接收的最合适的控制是：发送并匹配交易总量和总数传送的数据返回本地网站进行比较比较数据传输协议并进行同位在

84、生产工厂追踪并记录销售订单的序列数字 123. 功能性是评估软件产品质量整个生命周期的一个特征，最好的描述作为一系列特征：存在一系列功能和特殊属性软件能力能够从一种环境转换到另一个软件能力在一定的条件下能够维持一定的性能在软件性能和所用资源的数量之间的关系 124. 开发业务应用系统的变更控制，使用原型法有可能会复杂由于：反复性原型. 需求和设计的快速变化强调报告和显示缺乏综合性工具. 125. IS 审计师审查项目，主要是质量问题，应该用项目管理的三角解释：提高质量是可以实现的,即使是资源分配减少只有资源分配增加才能提高质量即使资源分配减少，也可以减少交付时间只有质量降

85、低，才能达到减少交付时间的目标 126. 在网上事务处理系统中，保持数据的完整性是通过确保交易或者完全执行或者完全不执行。数据完整性的这一原则被称为：孤立. 一致性原子性. 耐久性 127. 审计师审查环境时最关心的问题是使用不能自动的：正确捕获需求. 保证需要的应用控制已经被实施产生经济的和用户友好的接口产生高效代码 128. 审计师在一些数据库的表中发现了越界数据。审计师将建议以下哪种控制避免这种情况记录更新所有交易日志. 实施执行前与执行后报告. 安装和使用追踪. 实施数据库的完整性约束 129. 在传输付款指令时，下面哪一项有助于确认命令不是复制的使用加密算法加密信息摘

86、要解密信息摘要序列数字和时间戳 130. 审计师在审查交易时发现了未经授权的交易，有可能建议改进： EDI 贸易伙伴协议. 对于终端的物理控制发送和接收信息的认证技术程序变更控制处理 131. 以下哪一个是原型法的优势完成的系统通常有很强的内部控制原型系统可以节省大量的时间和费用. 使用原型系统的变更控制不复杂首先要保证不增加额外功能. 132. 以下哪一个是对完整性的检查(管理) 检查位奇偶校验位一对一检测预先录入 133. 调试程序的目的是：用于产生在实施之前测试程序的随机数保证有效变更，防止被其他变更程序重写定义程序开发和维护费用列入可行性研究确保异常中断和编

87、码错误被检查和纠正 134. 在应用审计阶段，审计师发现几个问题与数据库错误有关。下面哪一个是审计师应该建议的纠正控制实施数据备份和恢复程序. 定义标准和相应的复合性监督确保只有授权人员能够更新数据库. 确认控制处理当前的访问问题 135. EDI 对内部控制的影响是: 审查和批准较少存在. 固有认证. 由第三方拥有的适当分配的 EDI 交易 IPF 管理将会增加对于数据中心控制的责任 136. 下面哪一种测试可以确定当新的或变更的系统在目标环境中运行时并不影响其他现有系统平行测试 Pilot 测试整体/接口测试 Sociability testing 适应性测试 137. 企业成立指

88、导委员会以监督电子商务系统。指导委员会很可能会涉及到：记录需求 escalation of project issues.计划升级问题设计接口控制具体报告. 138. 在电子转账系统(EFT)中，下面哪一种控制有助于发现重复信息信息认证码数字签名授权序列码授权分离 139. 第三方应用系统中发现有安全弱点，此系统有与外部系统的接口，在很多模块上应用了补丁。IS 审计师将建议作何种测试压力黑盒界面系统 140. IS 审计师将采取下面何种行动评估软件的可靠性审查错误登陆尝试的数量在给定的运行时间内记录程序错误次数测试不同请求的响应时间与用户面谈评价需求满足的程度

89、141. 零售公司最近在不同的地点安装了数据仓库的客户端软件，由于这些网站的时差不同，升级数据仓库不同步。下列哪一项受影响最大资料可用性数据的完整性数据冗余数据不准确 142. 其中哪一项保证数据计算的完整性和准确性加工控制程序数据文件控制程序输出控制应用控制 143. 最优质的软件实现: 通过全面测试. 发现并快速纠正程序设计错误通过用可用的时间和预算确定测试数量通过使用定义明确的流程和对整个项目的结构审查 144. 公司进行业务流程重组，以支持对客户新的直接的营销方法。关于这个新过程 IS 审计师最关注什么保护资产和信息资源的关键控制发挥作用公司是否满足顾客的需求

90、系统是否满足性能要求用户确定谁将为流程负责 145. 当审计自动化系统时，责任和报告途径无法确定，因为：分散的控制使所有权无关 diversified control makes ownership irrelevant. 传统的员工工作变动更加频繁由于资源共享很难确定所有权在快速开发技术影响下，责任变化迅速 146. 在实施控制前，管理者首先要保证控制：满足处理风险问题的需要不降低工作效率. 基于成本效益分析. 被检查或纠正 147. 以下哪一项是于敏捷开发相关的风险缺乏文檔缺乏测试需求定义差项目管理差 148. 以下哪一项是对于程序员访问应付帐款生产数据的补偿控制范围

91、检验和逻辑编辑的处理控制通过数据输入审查应付帐款输出报告审查系统生成的报告，对于固定数量的现金或支票应付帐款管理员核定所有现金和批准的发票 149. 编辑/确认在远程网站输入的数据的程序，运行最有效的位置是：中心处理网站在运行应用程序后中心矗立网站在运行应用程序期间传输数据到中心处理器以后的远程网站远程网站，在传输数据到中心处理器之前 150. 在单元测试中，测试策略的运用是：黑盒白盒自下而上. 自上而下. 151. 下列哪些类型的资料编辑检查校验可以确定一个字段是否包括资料，而不是零或空白检查位数存在检查完整性检查合理性检查 152. 以下是最关键，也是对于保证数

92、据仓库中数据质量最有用的原始资料的准确性数据源的可信度提取过程的准确性数据转换的准确性 153. 下列哪些类型的控制的设计目的是为了提供核实整个应用处理中的数据和记录范围检查运行到运行检查计算总量的限制检查例外报告 154. 审计师应该审计以下哪一项，以便理解管理多个项目的控制的有效性项目数据库政策檔项目投资数据库程序组织 155. 在设计新系统时确定停止或冻结点的原因是：防止对运行中项目的进一步修改说明在什么时候可以完成设计. 要求在这一点改变后评估成本效益为项目管理团队系统对于项目设计提供更多的控制 156. 质量保证组一般负责: 确保从其他系统接受的结果处理

93、已经完成监督计算机处理任务的执行确保程序，程序变更和文文件与制定的标准一致设计流程保护数据防止意外泄漏，修改和破坏 157. 以下哪一个是面向对象技术可以实现更高安全性的特点继承性动态库封装多态性 158. 用于 IT 开发项目的关于业务案例的档应该保留到：整个系统的生命周期结束. 项目被核准. 用户接受系统. 系统正常生产. 159. 一个数字签字设备用于金融机构贷款给客户的账户。金融机构接到 3 次指示，对账户支付三次。下面哪一种控制子最适合防止多次支付信用卡 credit 对付款指令进行 HASH 加密，用金融机构的公钥对指令增加时间戳，用于检查重复支付对付款指令进

94、行 HASH 加密，用金融机构的私钥在金融机构对摘要签名前，对指令增加时间戳 160. 下列哪一个最好的描述了按照标准系统开发方法的目标确保分配合适人员，并提供方法进行成本控制和进度安排提供方法进行成本控制和进度安排，以确保用户，IS 审计师，管理者和 IS 个人的沟通提供方法控制时间和进度，以便有效的控制审计项目开发确保用户、IS 审计师、管理人员之间的沟通，以确保安排合适的人员 161. 以下哪种方法有助于确保连接数据库的应用程序的可移植性确保数据库导入和导出处理使用结构化查询语言(SQL). 分析存储处理/Triggers. 数据库物理模式与实体联系模型同步 162. 以下

95、哪一种代表了典型的交互式应用屏幕和处理程序屏幕、交互式编辑和抽样报告交互式编辑、处理程序和抽样报告屏幕、交互式的编辑、处理程序及抽样报告 163. 下列哪些工具或系统可以确认信用卡交易很可能是由被窃取的信用卡而不是真正的持卡人入侵检测系统数据挖掘技术防火墙包过滤路由器 164. 在计划软件开发项目时，以下哪一项最难以确定项目延迟时间项目的关键路线个人任务需要的时间和资源不包括动态活动的，在其他结束之前的关系 165. 雇员负责更新金融应用程序每天的资金运用利率，包括例外客户的特定利率。下面哪一个是确保例外利率审批的最好控制在额外利率确认前，超级用户必须输入口令超过正

96、常范围的利率必须要更高级管理层的批准当输入例外利率时，系统发出警告所有利率必须记录并确认每 30 天 166. 负责制定、执行和维护内部控制制度的责任在于: IS 审计员. 管理层. 外部审计师. 程序开发人员. 167. 在发现了计算机系统中的特洛伊木马程序后，IS 审计是要做的第一件事是什么调查作俑者消除潜在威胁. 确定补偿控制. 移除非法代码 168. 在企业资源管理系统的实施后审计中，IS 审计师很可能: 审查访问控制配置. 接口测试评估. 详细设计档审查. 系统测试评估. 169. 在互联网应用上使用 applets 的最好的解释是: 从服务器经过网络传送. 服务器不运行程序

97、，输出不经过网络改善网络服务器和网络的性能. 是通过网页服务器下载的 JAVA 程序，由客户机上的网页服务器程序执行 170. 下面哪一个任务在 benchmarking process 的研究阶段发生确定关键工序. 基准伙伴访问. 结果转化为核心的原则. 认定基准伙伴. 171. 下列哪些因素能够最好的确保业务应用在海外成功开发严格的合同管理办法详细正确的实施说明政治和文化差异的认识实施后审查 postimplementation 172. 在开发应用程序时，质量保证测试和用户验收测试被和并在一起。IS 审计师在审计时最关心的是：加强维修. 测试档不当. 性能测试不足. 拖延解

98、决问题. 173. 软件开发开发测试阶段的尾声，IS 审计师发现软件交互错误没有纠正。没有采取任何行动解决这个错误。该审计员应：报告发现的错误，并让被审计人员进一步解释. 尽力解决错误建议问题解决增加 escalated. 忽略错误，因为对于软件错误不可能得到客观事实 174. 以下是其中最关键的，当创建数据测试新系统或修改后的系统的逻辑时，以下哪一个是最关键的对每个案例有足够数量的测试数据数据表示的情况在实际中可能会出现按时完成测试随机抽样实际数据第三章答案 1-5: BACAB 6-10: CCADB 11-15: CBACC 16-20: AADAA 21-25: CADD

99、D 26-30: ACAAC 31-35: DBAAB 36-40: AACAD 41-45: DAACB 46-50: CDABC 51-55: BAACC 56-60: BADCA 61-65: AABDD 66-70: BABCA 71-75: DAACD 78-80: CCB 81:-85: AACBC 86-90:CABCD 91-95:CCCCD 96-100:DBBDB 101-105:DDCDB 106-110:DCDCC 111-115:ADCBD 116-120:BAABC 121-125:AAABC 126-130:CADDC 131-135:BBDAA 136-140:

100、DBBDB 141-145:CADAC 146-150:AADDB 151-155:CADCC 156-160:CCABB 161-165:BBBCB 166-170:BDACD 171-174:BCCB Chapter 4 1 以下哪一个是操作系统的访问控制功能记录用户活动记录数据通信访问活动在记录层次确定用户的授权改变数据文件 2 代码签名的目的是为保证: 该软件后来并未改变. 应用程序可以和其他被签署的应用安全交互对应用程序的签名者是被信任的签名者的私钥没有被破坏 3 下列哪些类型防火墙可以最好的防范从互联网络的攻击屏蔽子网防火墙应用过滤网关包过滤路由器电路级网关 4

101、重新调整下面哪种防火墙的类型可以防止通过 FTP 在内部下载文件电路级网关应用网关包过滤筛选路由器 5 审查广域网(WAN)的使用中发现在连接两个网站的通信线路中，连接主文档和数据库的线路峰值可以达到信道容量的 96%，IS 设计师可以得出结论：需要分析以便确定是否突发模式导致短期内的服务中断广域网的通信能力足以满足最大流量因为没有达到峰值应该立刻更换线路，使通信线路的容量占用率控制在大约 85% 应该通知使用者减少通信流量，或分配其服务时间以便平均使用带宽 6 下列哪些操作系统机制检查主体请求访问和使用的客体（文件、设备、程序）等，以确保请求与安全策略一致地址解析协议访问

102、控制分析参照监控实时监测 7 当评估 IT 服务交付时，下面哪一项是其中最重要的记录和分析事件工具所有相关方签署的服务水平协议管理手段的能力问题管理 8 利用审计软件比较两个程序的目标代码是一种审计技术用于测试：逻辑变化效率. 计算. 9 下列哪些可以用来核查输出结果和控制总数通过匹配输入数据和控制总数批标题窗体批量平衡数据转换错误更正对于打印缓存的访问控制 10 下面哪一种线路媒介能为网络通信提供最好的安全保证宽带网络数字传输基带网络拨号专线 11 在审计数据中心的磁带管理系统时，IS 审计师发现设置的参数绕过或回避了在磁带头上记录卷标，审计师也发现作业处理

103、和程序正常。这种情况下， IS 审计师可以推断： During an audit of the tape management system at a data center, an IS auditor discovered that parameters are set to bypass or ignore the labels written on tape header records. The IS auditor also determined that effective staging and job setup procedures were in place. In t

104、his situation, the IS auditor should conclude that the 应该手工书写磁带卷标并由操作员检查工作布局和处理程序并不是适当的补偿控制 staging and job setup procedures are not appropriate compensating controls 工作布局和处理程序对于磁带卷标的控制有弱点磁带管理系统参数必须设置检查所有的标签 12 独立的软件程序连接两个单独的应用系统通过共享计算机资源，这种技术被称为：中间件固件应用软件. 内置系统 13WEB 和电子邮件过滤工具对于组织的最主要的价值是: 保护组

105、织防止病毒和非业务材料. 最大化员工绩效维护本组织的形象. 有助于防止组织的法律问题 14 在并行处理环境中最大限度地发挥大型数据库的性能，下面哪一个是用于衡量的指标磁盘分区镜像 hashing Duplexing 复用 15 下面哪一种测试手段审计师可以用于最有效的确定组织变更控制程序的一致性 Which of the following tests performed by an IS auditor would be the MOST effective in determining compliance with an organizations change control p

106、rocedures 审查软件迁移记录并核实批准确认已经发生的变更，并核实批准审查变更控制文档，并核实批准确保只有适当的人员可以将变更迁移到生产环境 16 程序员恶意修改程序用于修改数据，然后恢复为原始代码，下面那种方法可以最有效的发现这种恶意行为比较源代码审查系统日志文件比较目标代码审查可执行代码和源代码的完整性 17 在数据库应用程序的需求定义阶段，绩效被列为重中之重。访问 DBMS 档，下面哪一种技术被建议用于优化 I/O 性能存储局域网络(SNA) 网络存储高度(NAS) 网络文件系统(NFSv2) 通用英特网文件系统（CIFS） 18 在数据库管理系统(DBMS)中，数

107、据存放的位置和访问方法有以下那一项提供数据字典. 元数据. 系统目录. 数据定义语言 19 以下哪一种处理过程可以最有效地发现非法软件进入网络使用无盘工作站定期检查硬盘使用最新的防病毒软件如果违反立即解雇的政策 20 以下是哪一个是其中最好的预防系统弱点暴露的方法日志监测病毒保护入侵检测补丁管理 21 以下哪一项是其中最有效的方法对付由于协议的脆弱性导致的网络蠕虫的蔓延安装卖方对于弱点的修补程序使用防火墙阻塞协议通讯 Block the protocol traffic in the perimeter firewall. 在内部网段之间阻塞通讯停止服务，直到安装了适当

108、的网络补丁程序 22 在电子商务环境中，最好避免通信失败风险的方法是使用: 压缩软件减少传输时间功能或信息认知功能. 对于路由信息的包过滤防火墙租用线路异步传输模式.ATM 23 在 WEB 服务器上，通用网关接口常用于：使用一致的方式传输数据给应用程序并返回用户. 对于电影电视的计算机图形图像网站设计的图形用户界面访问私有网关域的界面 24 下面的问题参考下图下图代表一个假设的内部设施，组织实施防火墙保护程序，防火墙应该安装在：防火墙是没有必要的. 安装在 op-3 mis 和 NAT2 SMTP 网关和 op-3 25 组织与供货商协商服务水平协议，下面哪一个最先发生制定可

109、行性研究. 检查是否符合公司政策. 草拟服务水平协议. 草拟服务水平要求 26 下面哪一个 applet 入侵事件暴露了组织的最大风险程序在客户机上引入病毒 Applet 记录了键盘操作和密码下载的代码读取客户机上的数据 Applet 开放了客户机连接 27 在审查系统参数时，审计师首先应关注: 参数设置符合安全性和性能要求变更被记入审计轨迹并定期审查变更被合适的文档进行授权和支持对系统中参数的访问被严格限制 28 地点 3A、3D、1D，图表显示集线器是开放的并且是活动的，如果情况属实，什么控制应该被建议用来减轻弱点智能集线器集线器的物理安全物理安全和智慧集线器不用控制因为

110、没有弱点 29 审计师分析数据库管理系统的审计日志，发现一些交易被部分执行导致错误，而且没有回滚，违反了下面哪一项交易特征一致性独立性耐久性原子性 Atomicity 30 以下哪一种控制方法最有效的保证产品源代码和目标代码是一致的 Release-to-release 源代码和目标代码比较报告库控制软件严格限制对于源代码的改变严格限制访问源代码和目标代码对于源代码和目标代码的数据和时间戳审查 31 当评估英特网服务商提供的服务时，下面哪一项最重要 ISP 产生的业绩报告服务水平协议(SLA) 采访供货商与 ISP 的其他客户访谈 32 下面哪一个报告 IS 审计师可以用来检

111、查服务水平协议与需求的一致性使用报告硬件错误报告系统日志可用性报告 33 在客户机服务器结构中，域名服务(DNS)是最重要的因为它提供了: 域名服务器的地址解决了名字与地址的转换服务互联网的 IP 地址. 域名系统. 34 允许访问低层和高层网络服务的接口被称为：固件中间件界面工具 35 IS 管理者确定的变更管理程序是: 控制应用程序从测试环境到生产环境的转移控制从缺乏重视到未解决问题引起的业务中断确保业务在遇到灾难时候不中断确保系统变更被合适的纪录 36 IS 管理员最近通知 IS 审计师准备在支付系统中禁用某些参照完整性控制，以便为用户提供更快的报告产生速度，

112、这有可能导致下面哪种风险非授权用户访问资料对不存在的职工支付工资擅自提高雇员工资. 授权用户重复数据输入 37 以下哪一项是对数据库管理员行为的控制系统故障后，数据库检查点的重启过程数据库压缩以便减少使用空间监督审查访问日志备份和恢复程序，确保数据库可用性 38 组织希望实施的完整性原则的目的是,实现提高数据库应用中的性能，应该应用下面哪一种设计原则使用者触发(客户) 前端验证数据结束后验证数据参照完整性 39 下列控制哪一个为数据完整性提供了最大的保证审计日志程序联系参照检查表队列访问时间检查表回滚和前向数据库特点 Rollback and rollforward

113、 database features 40 下列哪些类型的防火墙提供最大程度的控制力度过滤路由器包过滤应用网关电路网关 41 供货商发布补丁程序修补软件中的安全漏洞，IS 审计师在这种情况下应该如何建议在安装前评估评估补丁的影响要求供货商提供了一个包括所有更新补丁新的软件版本立即安装安全补丁. 在以后减少处理这些供货商 42 以下哪一个是检查擅自改变了生产环境的控制禁止程序员访问产品数据要求变更管理的分析包括成本效益定期控制比较当前目标和源程序确立紧急变更的处理程序 43 以下哪一个成为网络管理的重要组成部分被广泛接受配置管理拓扑映射应用监视器代理服务器发现困难

114、44 有线以太网在网络中使用非屏蔽双绞线超过 100 米，由于电缆的长度可能造成以下的情况：电磁干扰(EMI) Cross-talk Dispersion 分散 Attenuation 减弱 45 下面哪一个通常会在应用运行手册中发现 :源文件细节密码错误和发现的行为程序流程图和文件定义应用源代码的变更纪录 46 IS 审计师审查数据库控制发现在正常工作时间对数据库的修改需要一系列标准程序，然而，正常时间之外，只需要很少步骤的操作就可以完成变更，对于这种情况，应该考虑增加下面哪一项补偿控制只允许数据库管理员帐户进行修改在对正常帐户授权后，才可修改数据库使用 DBA 帐户修改，记

115、录修改并日后审查修改日志使用一般用户帐户进行修改，记录修改并日后审查修改日志 47 以下哪一种硬件设施可以缓解中心服务器从事网络管理、信息处理、格式转换工作 Spool 簇控制器协议转换器前端处理器 48 在客户服务体系，以下哪种技术用于检测已知和未知用户的活动 diskless 工作站数据加密技术网络监控设备认证制度 49 IS 审计师评价高度可用性网络的可靠性应该最关注：安装在地理上分散. 网络服务器集中在一个地点. 准备热站为网络实施多路由 50 使用闪存的最重要的安全问题是: contents are highly volatile 内容可靠数据无法备份数据可以复制

116、. 装置可能与其它设备不兼容. 51 防火墙的一个重要功能是作为: 特殊路由器连接局域网到互联网. 装置防止授权用户进入局域网. 服务器用于连接授权用户到私人的,可信任的网络资源. 代理服务器提高授权用户的访问速度 52 管理 cyberattack 风险的第一步是: 评估弱点的影响评估威胁的可能性确认关键信息资产评估潜在的破坏 53 以下哪种方式是最有效的手段确定操作系统功能正常运行与供货商协商审查供货商安装指南咨询系统程序员审查系统产生参数 54 大型组织的 IT 运营被外包。IT 审计师审查外包业务应该最关注以下哪些发现外包协议没有包括对于 IT 运营的灾难恢复计划服务

117、提供商没有意外事件处理程序. 由于链接库管理问题，被破坏的数据库没有恢复没有审查意外事件 55 ping 命令用来衡量: 减弱. 吞吐量, 延迟扭曲. 反应时间. 56 下面哪一个被视为网络管理系统的基本特征. 映像网络拓扑结构的图形接口与互联网交互解决问题的能力对于棘手问题的帮助台的连通表格管道数据的输出能力 An export facility for piping data to spreadsheets 57 数据库系统中协同控制的目标是：限制授权用户更新数据库. 防止完整性问题，当两个进程试图更新相同数据时. 防止意外或未经授权泄露数据数据库. 确保数据的准确性、完整性和数

118、据的一致性. 58 公司积极推行动态主机协议(DHCP). 由于存在下列条件，应该给与最大关注的是：大部分员工使用笔记本电脑. 使用包过滤防火墙. IP 地址的空间小于 PC 数量. 访问网络端口不受限制 59 确定如何通过不同的平台在异类环境中获取数据，IS 审计师首先应该审查: 业务软件. 基础设施平台工具. 应用服务. 系统开发工具. 60 以下基于系统的方法，公司财务处理人员可以可以监控支出模式确定异常并报告一个神经网络数据库管理软件管理信息系统计算机辅助审计技术 61 库控制软件的目标是之一是允许：程序员访问产品源代码和目标数据库批量程序升级操作员在测试完成之前升级控

119、制库和产品版本只读方式获取源代码. 62 以下哪一个报告可以衡量通讯传输和传输的完成的正确性在线监测报告故障报告服务台报告反应时间报告 63 通过合适的应用确定了网络会话，发送者传送信息通过将其分成包，但是包到达接受端时可能顺序破坏。OSI 的哪一层可以通过分段的序列确定包的排列顺序网络层会话层应用层传输层 64 一个组织外包其服务台，下列哪些指标最好包括在服务水平协议中全部使用者支持第一次呼叫解决问题的百分比服务台的意外报告数量回答电话的代理数量 65 监测和记录网络信息的网络诊断工具是: 在线监测. 故障报告. 服务台报告. 协议分析仪 66 审计师需要把他/她

120、的微型计算机连接到主机系统，数据通信采用二进制代码同步通信传输数据块。然而，审计师计算机目前的配置，只能进行异步的 ASCII 代码数据通信。IS 审计师的计算机必须增加下面哪一项才能与主机系统通讯缓冲能力和并行端口缓冲能力和网络控制并行端口和协议转换缓冲能力和协议转换 67 下面哪一种设备可以扩展网络，并且可以作为存储和转发装置路由器网桥中继器网关 68 当评估计算机定期维护程序的适当性和效率时，下面哪一项 IS 审计师认为是最有帮助的系统故障日志供货商可靠性特点定期保养记录书面预防性维修日程 69 下面哪一个是网络组件主要用于在两个不同的网段间防止非授权通讯的安全

121、措施防火墙路由器 2 层交换机 VLAN 70 下列哪些是应该做的，当审计师通过比较源代码发现代码被修改。确定是否修改经过了授权升级源代码副本控制源代码的人工审查. 在源代码中插入标记说明修改情况 71 实施防火墙时最可能发生的错误是: 访问列表配置不正确. 由于社会工程破坏了密码连接调制解调器到网络上的计算机. 保护网络和服务器免受病毒攻击. 72 下列哪些可以最好的衡量服务器操作系统的完整性在安全区域保护服务器设置根密码加强服务器配置实施动态日志 73 下列哪些措施能够最有效地较少设备捕获其他设备信息包的能力过滤器交换机路由器防火墙 74 考虑将应用程序从测试环

122、境转换到生产环境，提供的最好的控制是：应用程序员拷贝源程序并编译目标代码到生产库中应用程序员拷贝源程序到产品库，生产控制组编译源程序生产控制组编译目标模块到生产库中，使用测试环境中的源代码生产控制组拷贝源程序到生产库中，然后编译源程序 75 下面哪一个直接受到网络性能监控工具的影响完整性可用性完全性机密性 76 电子数据交换过程中，接收并传送电子文件的是: 通讯处理器 EDI 转换器. 应用界面. EDI 界面. 77 下列哪些控制可以最有效的发现网络传输错误同位 (可以发现多个错误) 回声检查阻塞总数检查循环冗余检查 78 在多供货商网络环境中共享数据，关键是实施程序到

123、程序的通讯。考虑到程序到程序通讯的特点，可以在环境中实施，下面哪一个是实施和维护的困难用户隔离远程访问控制透明的远程访问网络环境. 79 数据库管理员建议要提高关系数据库的性能可以 denormalizing 一些表，这可能导致：保密性损失. 增加冗余非授权访问应用故障 80 ISO/OSI 参考模型的哪一层提供两点之间的信息包路径数据链路层网络层传输层会话层 81 组织将其网络维护应用从组织外界转为组织内部，下面哪一项是 IS 审计师要关注的主要内容回归测试工作安排用户手册变更控制程序 82 下面哪一项可以将电子邮件从一个网络传送到另一个格式，使信息可以穿过网络

124、网关协议转换器前端处理机集中器/复用器 83 检查授权软件基线主要是解决下面哪一个问题项目管理配置管理问题管理风险管理 84 在一个小型组织内，雇员进行计算机操作，根据情况需要改变程序。IS 审计师应该作出下面哪一项建议自动记录开发链接库的变更情况提供额外人手进行职责分工只实施经过批准的变更程序访问控制，防止程序员改变程序 85 下列哪些与脱机打印敏感报告相关的风险，IS 审计师认为是最严重的操作员可以读取敏感数据数据可以擅自修改. 报告副本可擅自印制. 在系统故障时，可能丢失输出数据 86 下面哪一个传播问题是有线和无线传输共有的 Cross-talk Shado

125、w zones Attenuation Multipath interference 87 一个组织为他的供应链伙伴和客户提供信息，通过外联网和基础设施。下面哪一个是 IS 审计师在审查防火墙安全架构时应该最关注的安全套接层为用户认证和远程管理防火墙基于变更需求，升级防火墙策略阻挡进入的通讯，除非通讯类型和连接被特别许可防火墙被配置在业务操作系统顶部并安装了所有选项 88 最近一次 IS 审计师发现由于缺少有经验的技术人员，安全管理员作为高级计算机操作人员每天都工作到深夜。IS 审计师最合适的做法是：建议风险包括安全管理人员同意与这些警卫班一起工作作为预防控制. 建立计算机辅助审计

126、技术发现滥用这项安排. 审查每个晚班的系统日志确定是否存在非法行为 89 随着公司遗产系统的重组，发现记录被意外删除，下面哪一项可以最有效的诊断这种情况的发生范围检查表查询运行汇总 Run-to-run totals 一对一地检测 90 在局域网环境中，下面哪一个可以最有效地减少数据破坏的风险对于数据通讯进行端到端的加密单独使用电力和数据线路使用检查总数检查破坏数据使用星型拓扑连接终端 91 评估数据库的参照完整性，IS 审计师应该：符合关键词 composite keys 索引字段物理模式. 外部关键词 92 组织外包其 IT 运营业务给服务商，组织的 IS 审计师观察到如

127、下四情况：下面哪一个是审计师将要立刻作出的建议服务器主要设在外包组织即将迁往服务提供商，关键系统经过备份，但是恢复的效率低下。外包合同不包括灾难恢复服务提供商备份的资料紧靠着建筑物改进对于关键系统的备份延迟迁移服务器在合同中包括灾难恢复备份资料远离服务提供商 93 下面哪一个是审计师有可能在系统控制台日志中发现的系统用户名超级用户切换验证系统错误数据编辑错误 94 通过分脱机路设备或重复线路设备来路由阻塞被称为： alternative routing. diverse routing. redundancy. circular routing 航线. 95 当审查局

128、域网实施时，IS 审计师应该首先审查：节点列表验收报告网络图. 用户列表 96 有利于服务质量(QoS)是: 整体网络的可用性和性能大大改善. 电信承运人将为公司提供准确的服务水平的遵守情况报告. 申请人保证服务水平通信联系被安全控制执行，以保障网上交易的安全性. 97 保留档案是为了保证: Applying a retention date on a file will ensure that: 不能读数据,直到确定日期. 数据在日期之前不会被删除备份在日期之后不再保留备份区分名字相同的数据集 98 阻塞控制最好由 OSI 协议的哪一层控制数据链路层会话层传输层网络层 9

129、9 下列哪些有助于发现对于服务器的日志入侵造成的变化在另一个服务器作镜像在一次性写入的磁盘上同步记录系统日志对系统日志写保护异地存储系统日志的备份 100 审计师发现几个计算机连接互联网的安全水平较低，允许自由记录 cookie，由于 cookie 存放下面哪一项可能造成的风险关于因特网网址的信息关于用户数据的信息关于网络连接的信息互联网页. 101 应该对 WEB 服务器部署反代理服务器技术，如果: 必须隐藏 HTTP 服务器地址. 需要加速访问所有发布的网页需要缓存进行容错用户带宽受到限制 102 在审查了防火墙后，,审计师应该最关心以下哪一项明确定义的安全政策实施

130、防火墙用最新、最可靠的算法执行有效的防火墙的安全政策防火墙安装的平台的安全性 103 企业使用下面哪一项可以使其业务伙伴通过互联网访问其内部网虚拟专用网客户机服务器拨号访问网络服务提供商 104 下列哪些类型的传输媒介提供对于非授权访问的最安全的防范铜线双绞线光缆线路同轴电缆 105 以下是哪一个是邮件服务器用来发送垃圾邮件最有可能的原因安装开放应答服务 Installing an open relay server 使用邮局协议(POP3) 使用简单的邮件传输(SMTP) 活动用户帐户 106 参照完整性约束包括：确保交易过程完整性确保数据通过触发更新. 确保控制

131、用户升级数据库设计表和查询的规则 107 在图中 2c 处，有三个 hub 相互连接。有哪些潜在的风险病毒攻击性能恶化控制管理不善易受外部黑客攻击 108 接受 EDI 交易并通讯接口，通常需要阶段: 转化和分拆交易路由确认过程传递数据到应用系统创建接收审计日志点. 109 下面哪一项是影响分布式服务器环境失败的最大限制冗余路径集群 Clustering 备用拨号线路备用电源 110IS 审计师审查数据库应用系统，发现当前设置不符合原来的结构设计。下面审计师将采取什么行动分析结构变化的必要性. 建议恢复原来的结构设计. 建议实施变更控制过程. 确定是否调整被批准 11

132、1 下面哪一项是对于通信组件失败/错误的控制限制操作访问，维护审计轨迹监督和审查系统活动提供网络冗余确定数据通过网络传输的物理屏障 112 对网上事务处理系统,每秒交易量用于衡量：吞吐量. 反应时间. 周转时间. Uptime 113 软件的监控能力用于确保：最大限度地利用现有的能力. 满足未来使用者的需要. 同时服务大量使用者持续高效运作. 114 确定哪些用户可以进入超级用户权限，IS 审计师应该审计下面哪一项系统访问日志文件许可软件访问控制参数访问控制 violations 日志控件使用的系统配置文件 115 在基于 TCP/IP 的网络里，IP 地址指定：网络连

133、接路由器/网关网络中的计算机网络中的设备 116 数据库管理员已决定在数据库管理系统中禁止某些控制，以提高用户的查询性能，这有可能增加哪一项风险损失审计轨迹. 数据冗余损失数据的完整性擅自利用数据. 117 神经网络能有效地发现欺诈，因为他们可以: 可以发现新的趋势由于线性遗传解决无法获得大量通用数据的问题攻击的问题需要考虑输入大量变量. 假定与输出变量相关的曲线的形状 118 USB 埠：连接网络，无需网卡连接具有以太网适配器的网络替换所有连接连接显示器 119 下面哪一个是最安全的防火墙系统. Screened-host firewall Screened-subn

134、et firewall Dual-homed firewall Stateful-inspection firewall 120 一个程序使用 Firecall IDs，符合提供的操作手册，可以访问产品环境并作出非授权改变。下面哪一个可以防止这种情况发生 Deactivation 撤销监控授权重置 121 审计师对电信公司进行网络安全审计，为 shopping mall 对其顾客提供无线网络连接服务。公司使用无线传输层安全(WTLS)和安全套接层(SSL)技术保护顾客的支付信息。IS 审计师应该最关注，如果黑客: 破坏 WEP 网关 compromises the Wireless Ap

135、plication Protocol (WAP) gateway 安装溴探程序在服务器前端盗窃顾客的 PDA 听无线传输. 122 IS 审计师审查机构的数据文件控制程序，发现应用于最新的档，而重启程式恢复以前的版本。IS 审计师应该建议实施以下：保留源文件 source documentation retention. 数据文件安全. 版本使用控制. 一对一地检测 one-for-one checking 123 工具程序组和需要的软件模块执行机器代码应用程序版本是：文本编辑. 链接库管理链接编辑程序和加载程序 linkage editors and loaders Debugger

136、s 和开发服务工具 124 IS 审计师主要关注 CRT 显示器的射线泄露，因为他们可能：导致健康问题(如头痛)和疾病. 被截获的信息可以被其他人获取. 导致通讯冲突导致主板错误 125 安装网络后，该组织实施了脆弱性评估工具和安全扫描工具确定潜在弱点，其中与这种工具相关的最严重的风险是：（重要）差别报告错误的主动报告错误的被动报告欠详细报告 126 审计师审查数据库管理系统的功能，以确定是否已取得足够的数据控制。审计师应该确定的是：对数据处理业务的功能报告明确定义功能的责任. 数据库管理员应该是胜任的系统程序员审计软件具有高效访问数据库的能力。 127 下面哪一种局域

137、网的物理设计容易受到整体损失如果一个装置出现故障星型总线型 Ring 环型完全连接 128 java applets 和 ActiveX 控件是分布式执行的程序，在网页浏览器客户端的后台执行。爪哇和 Applets启动程序设计控制程序分配到执行的网页浏览器用户的背景. 这一做法被认为是合理的,如果: 一个防火墙存在. 使用安全网络连接执行的来源是确定的主机网络是组织的网站. 129 以下哪一个是检测内部对于 IT 资源攻击的最好的控制检查活动日志检测防火墙日志实施安全政策实施适当的职责分离 130 下面哪一个涉及到实施路由器和连接设备监控系统简单网络管理协议 SNMP

138、文件传输协议简单邮件传输协议 Telnet 131 下列哪些防止了数据库中的数据混乱 dangling tuples 循环完整性域完整合理完整性参照完整性 132 下面哪一个是最好的审计程序，以决定是否防火墙的配置符合组织的安全政策审查参数设置. 与防火墙管理员面谈. 审查实际程序. 审查最近所受攻击的设备日志文件 133 分析以下哪一项最有可能使 IS 审计人员确定是否有非法企图获取敏感数据异常工作终止报告操作问题报告系统日志操作工作排程 134 以下哪一个是监控审计日志最大的风险日志没有定期备份记录例行公事程序使日志不记载. 非授权的系统行为被记录，但是没有深入调查

139、 135 有大型组织的网络中，公司的供应伙伴的遍布全球的网络通讯可能增加。这种情况下网络架构应该是可以升级的。下面哪一种防火墙架构限制了未来的升级应用 Appliances 基于操作系统基于主机 Demilitarized 第四章答案 1-10:AAABACBBBD 11-20:CAACBBACBD 21-30:DDADBDACDD 31-40:BDBBACCDBC 41-50:ACADBCDCBC 51-60:CCDADABDCA 61-70:DADBDDBAAA 71-80:ACBDBADDBB 81-90:DABCCCDACB 91-100:DBCBCBDBB 101-110:ACBCABBBBD 111-120:CADDABCBBD 121-130:ACCBCBBCCA 131-135:DBCAA

展开阅读全文

cisa中文模拟题465题14838

最新文档