搜索
1-1以下哪项概括了执行IS审计的整体权限范围?A.审计范围,包括目的和目标B.管理层对审计执行的要求C.经批准的审计章程D.经批准的审计日程表1-2在执行基于风险的审计时,下列哪项风险评估最初由IS审计师完成?A.检测风险评估B.控制风险评估C.固有风险评估D.舞弊风险评估1-3开发基于风险的审计方案时,IS审计师最可能关注下列哪项内容?A.业务流程B.关键IT应用C.运营控制D.业务策略1-4下列哪种审计风险表示所审查领域中缺少补偿控制?A.控制风险B.检测风险C.固有风险D.抽样风险1-5审查某应用程序控制的IS审计师发现系统软件中存在一个可能大大影响该应用程序的弱点。IS审计师应:A.忽视此类控制弱点,因为系统软件审查超过了此次审查的范围。B.进行详细的系统软件审查并报告控制薄弱环节。C.在报告中声明,本次审计仅限于审查应用程序控制。D.仅审查相关的系统软件控制并建议进行详细的系统软件审查。1-6下列哪项是定期审查审计计划的最重要原因?A.为可用审计资源的部署制定计划B.将风险环境的变化考虑其中C.为审计章程记录文档提供输入数据D.确定适合的IS审计标准1-7下列哪项对于在各业务部门范围内执行自我评估控制(CSA)最有效?A.非正式的同行评审B.引导型的专题讨论会C.流程描述D.数据流程图1-8计划审计的第一个步骤是:A.定义审计的可交付成果B.最终确定审计范围和审计目标C.了解业务目标D.开发审计方法或审计策略1-9IS审计师计划IS审计范围时使用的方法基于:A.风险B.重要性C.职业的怀疑态度D.审计证据的充分性1-10某公司执行关键数据和软件文件的日常备份,并将备份磁带存储在公司以外的位置。备份磁带可用于在文件受到破坏时恢复文件。这属于:A.预防性控制B.管理控制C.改正性控制D.检测性控制CCACDBBCAC2-1为使管理人员能够有效地监控工作流程和应用程序的一致性,下列哪种措施最为理想?A.中央文档库B.知识管理库C.仪表盘D.基准测试程序2-2下面哪项应包含在IS战略计划中?A.计划硬件采购的规范B.未来业务目标分析C.开发项目的目标日期D.IS部门的年度预算目标2-3下面哪种表述能最恰当地描述IT部门的战略计划过程?A.根据组织层面上较大范围的计划和目标,IT部门既需要制定短期计划也需要制定长期计划。B.IT部门的战略计划应从时间和项目出发,但不必详细到可用于解决和帮助确定满足业务需求优先级别的程度。C.IT部门的长期计划应反映组织目标、技术优势和法规要求。D.无需将IT部门的短期计划纳入组织的短期计划,因为技术进步对IT部门计划变更的推动速度要比组织计划快得多。2-4数据安全专员在组织中最重要的职责是:A.对数据的安全政策提出建议并进行监控B.在组织内部推进安全意识C.确立IT安全政策流程D.管理物理和逻辑访问控制2-5一般认为下列因素中哪个对于成功实施信息安全(IS)程序最为关键?A.有效的企业风险管理(ERM)框架B.高级管理层的承诺C.适合的预算过程D.严谨的程序计划2-6IS审计师应确保IT治理绩效指标能够:A.评估IT监管委员会的活动B.提供战略性IT推动因素C.符合规范报告标准和定义D.评估IT部门2-7下面哪项任务可以由控制良好的信息处理计算机中心中的同一名人员执行?A.安全管理和变更管理B.计算机操作和系统开发C.系统开发和变更管理D.系统开发和系统维护2-8下面各项数据库管理控制手段中哪一项最重要?A.DBA活动审批B.职责划分C.审查访问日志和活动D.审查数据库工具的使用2-9当在线系统环境中无法实现完全的职责分离时,下面哪一项职能应与其他职能相分离?A.创建B.授权C.记录D.纠正2-10在职责分离难以实现的小型组织中,由一名职员兼任计算机操作员和应用程序编程人员的职能。IS审计师应推荐下面哪一项控制手段?A.自动记录对开发库的更改B.增加员工,从而可以进行职责分离C.确保只有经过审批的流程更改能得以实施的措施D.设立访问控制以防止操作员修改程序CBCABADBBC3-1为了协助测试正在购置的核心银行系统,组织已将其现有生产系统中的敏感数据提供给供应商。IS审计师的主要关注点是数据应该是:A.被清理过的B.完整的C.有代表性的D.目前的3-2以下哪一项是执行并行测试的主要目的?A.确定系统是否具有成本效益B.实现综合单元及系统测试C.找出含文件的程序接口中的错误D.确保新系统满足用户要求3-3在执行业务流程再造的审查时,IS审计师发现一项重要的预防性控制已被取消。在这种情况下,IS审计师应该:A.将该发现告知管理人员并确定管理人员是否愿意接受取消此预防性控制所带来的潜在重大风险。B.确定过程期间该预防性控制是否已由某检测性控制替代,如果还未被替代,则报告预防性控制的取消情况。C.建议将该预防性控制以及流程重组之前就已存在的所有控制流程都包括在新的流程中。D.制定连续的审计方法来监控因取消该预防性控制而产生的影响。3-4以下哪种数据验证编辑能有效检测易位和抄写错误?A.范围检查B.检验数字位C.有效性检查D.重复检查3-5在银行使用的ERP软件中,以下哪项将被视为最严重的薄弱环节?A.没有审查访问控制B.可用的文件有限C.没有更换已使用两年的备份磁带D.每天执行一次数据库备份3-6在审计软件购置过程的要求阶段时,IS审计师应该:A.评估项目时间表的可行性B.评估供应商推荐的质量过程C.确保采购到的是最好的的软件包D.审查规范的完整性3-7组织决定购买而非开发一个软件包。在这样的情况下,传统的软件开发生命周期(SDLC)的设计和开发阶段将会被下列哪个选项取代:A.选择和配置阶段B.可行性和需求阶段C.实施和测试阶段D.没有;不需要替换3-8通过使用传统SDLC方法未能满足某项目的用户规范。IS审计师应调查下列哪个方面来查找原因?A.质量保证B.需求C.开发D.用户培训3-9在引进简易的客户端架构时,以下哪项与服务器相关的风险会显著增加?A.完整性B.并发C.机密性D.可用性3-10应该实施下列哪些程序以帮助确保通过电子数据交换(EDI)实现的导入交易的完整性?A.构建交易追踪的段数B.与交易发起人定期核对信息接收数目的日志C.对问责性和跟踪的电子审计轨迹D.将收到的确认交易与发送的EDI消息的日志相配ADABADACDA4-1在相似的信息处理场所环境下,确定性能水平的最佳方法是下列哪一项?A.用户满意度B.目标完成情况C.基准检测D.容量和成长规划4-2对于中断容忍度低且恢复成本巨大的关键任务系统,IS审计师原则上应该推荐使用以下哪种恢复选项?A.移动站点B.温备援中心C.热备援中心D.冷备援中心4-3某大学的IT部门和金融服务办公室(FSO)存在一个服务级别协议(SLA),该协议要求每个月的可用性要达到98%,FSO分析了可用性并注意到最近的12个月中每个月都可以达到98%,但是在接近月末时只能平均到93%,下列哪个选项最好地反映了FSO应该采取的行动?A.重新谈判协议B.通知IT部门,协议没有达到要求的可用性标准C.采购额外的计算资源D.将接近月末的流程合理化4-4对于IS审计师来说,下列哪一项是用来测试程序变更管理流程最有效的方法?A.从系统生成的信息追踪到变更管理文件B.检查变更管理文件以找到证据证明准确性C.从变更管理文件追踪到系统生成的审计轨迹D.检查变更管理文件以找到完整性的证据4-5容量规划流程的主要目标是确保:A.充分使用可利用资源B.新资源将被及时添加到新的应用程序中C.快速有效地使用可利用资源D.资源的利用率不低于85%4-6数据库正规化的主要好处:A.尽量减少所需表中信息的冗余度以满足用户需求B.满足更多查询的能力C.通过在多个表中提供信息而最大程度地实现数据库的完整性D.通过更快的信息处理最大程度地缩短回应时间4-7下列哪一项可以允许公司将其内联网通过互联网延伸至其业务伙伴?A.虚拟专用网络B.客户端服务器C.拨号访问D.网络服务供应商4-8根据软件应用(它是IS业务连续性计划的一部分)的关键性进行的分类由以下哪项确定?A.业务性质及应用程序对业务的价值B.应用程序的更换版本C.供应商可为此应用程序提供的支持D.应用程序的相关威胁和漏洞4-9当执行客户端服务器数据库安全审计时,IS审计师最应该关注下列哪一项的可用性:A.系统工具B.应用程序生成器C.系统安全文件D.访问存储程序4-10当审查互联网通信网络时,IS审计师首先要检查:A.密码变更发生的有效性B.客户端服务器应用程序的结构C.网络结构和设计D.防火墙保护和代理服务器4-11IS审计师应该参与:A.观察对灾难恢复计划进行的测试B.制定灾难恢复计划C.维护灾难恢复计划D.审查供应商合同中的灾难恢复要求4-12信息处理能力恢复的时间窗口是基于:A.受影响流程的重要性B.要处理的数据的质量C.灾难的性质D.基于大型计算机的应用程序4-13在以下哪种情况下,应该将数据镜像作为数据恢复策略来执行:A.恢复点目标(RPO)很低B.RPO很高C.恢复时间目标(RTO)很高D.容灾水平很高4-14在下列业务连续性计划的组成部分中,哪一项主要是组织内部IS部门的职责?A.制定业务连续性计划B.选择和审批用于业务连续性计划的恢复策略C.声明出现灾难D.灾难之后还原IT系统和数据CDAACAAAACAAAD5-1在审查基于签名的入侵检测系统(IDS)的配置时,发现以下哪一项问题将最令IS审计师担忧?A.自动更新功能被关闭B.应用程序的漏洞扫描功能被禁用C.加密数据包的分析功能被禁用D.IDS被放置在隔离区(DMZ)和防火墙之间5-2以下哪个选项能够最有效地为本地服务器上处理的薪资数据提供访问控制?A.记录对个人信息的访问B.为敏感事务使用单独的密码C.使用可以限制授权人员遵守访问规则的软件D.将系统访问限制在营业时间以内5-3一位IS审计师刚刚完成对某组织的审计工作,该组织拥有一台大型计算机和两个保存着所有生产数据的数据库服务器。以下哪个弱点将被视为最严重的问题?A.安全员同时也是数据库管理员B.没有对这两个数据库服务器进行密码控制管理C.大型机系统的非关键应用程序没有相应的业务连续性计划D.大多数局域网(LAN)都没有定期备份固定式文件服务器磁盘5-4组织正在计划安装一个单点登录设施,该设施可以访问所有系统。该组织应注意到:A.如果密码泄露,有可能遭受最严重的未授权访问B.用户访问权限将会受到其他安全参数的限制C.安全管理员的工作负担将会增加D.用户访问权限将会提高5-5某IS审计师正在审查失败登录尝试的日志,当以下哪个账户受到攻击时会最令其担忧?A.网络管理员B.系统管理员C.数据管理员D.数据库管理员5-6作为自身信息安全流程的一部分,某B2C电子商务网站想要监控、检测和防止黑客活动,并在发生可疑活动时向系统管理员发出警报。以下哪个基础架构组件可用于此目的?A.入侵检测系统B.防火墙C.路由器D.非对称加密5-7以下哪种情况最能确定是否存在用于保护传输信息的完整加密和身份认证协议?A.已实施RSA及数字签名B.工作正在具有身份认证头(AH)和封装安全负载(ESP)嵌套式服务的通道模式中进行C.正在使用采用RSA的数字认证D.工作正在具有AH和ESP嵌套式服务的传输模式中进行5-8以下哪项关于电子消息安全的问题可通过数字签名来解决?A.未经授权的读取B.窃取C.未经授权的复制D.更改5-9以下哪一项是分布式拒绝服务(DDoS)攻击的特点?A.对中介计算机发动集中攻击以将同步假消息交换指向指定的目标站点B.对中介计算机发动本地攻击以将同步假消息交换指向指定的目标站点C.对主计算机发动集中攻击以将同步假消息交换指向多个目标站点D.对中介计算机发动本地攻击以将交错假消息交换指向指定的目标站点5-10以下哪个选项是最有效的防病毒控制措施?A.扫描邮件服务器上的电子邮件附件B.通过原始副本恢复系统C.禁用通用串行总线(USB)端口D.使用最新病毒定义进行的在线防病毒扫描ACBDDABDAD