CISA中文模拟题(1)
CISA考试练习(习题卷1)
CISA考试练习(习题卷1)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]对于应用系统控制的有效性,以下哪项措施带来的风险最大?A)去除手动处理步骤B)流程手册不充分C)员工之间互相勾结D)某些合规性问题无法解决答案:C解析:员工之间互相勾结属于持久型的主动攻击,并且很难予以识别,因为即使是考虑周全的应用控制也可被轻易避开。
其他选项则不会影响精心设计的应用控制。
2.[单选题]某人力资源(HR)公司在使用通用用户ID和密码进行身份认证后,为其客人提供无线互联网访问。
通用ID和密码可从接待处申请。
以下哪项控制措施能最好地解决此问题?A)每周更改一次无线网络的密码。
B)在公共无线网络和公司网络之间使用状态检测防火墙。
C)将公共无线网络与公司网络物理隔开。
D)在无线网络中部署入侵检测系统(IDS)答案:C解析:A.更改无线网络的密码不能防止未经授权访问公司网络,特别是在每周一次的密码变更间隔之前客人可随时访问无线局域网(WLAN)B.状态检测防火墙将甄别从无线网络进入公司网络的所有数据包;但需要审计防火墙的配置,还可能产生防火墙泄漏(虽然不太可能)C.将无线网络与公司网络物理隔离是保护公司网络免受入侵的最佳方法D.入侵检测系统(IDS)将检测入侵,但不阻止未经授权个人访问网络。
3.[单选题]风险管理过程的输出是为什么作为输入的?A)业务计划B)、审计章程。
C)、安全政策决定。
D)软件设计的决定。
答案:C解析:风险管理过程是为作出特定的安全相关的决策,比如可接受的风险水平。
选择A、B和D不是风险管理过程的的最终目的。
4.[单选题]最佳业务连续性策略的一个实例,是由:A)最低停机成本和最高恢复成本B)最低停机成本和恢复成本总和C)最高停机成本和最低恢复成本D)停机成本和恢复成本的平均值答案:B解析:这两种成本必须最小化,并且该策略是最低成本的最佳策略。
最高的恢复成本策略不能是最佳的。
CISA最新中文测验
CISA 2008Chapter 1 信息系统审计程序⏹ISACA发布的信息系统审计标准”,准则,程序和职业道德规范⏹IS审计实务和技术⏹收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质)⏹证据的生命周期(证据的收集,保护和证据之间的关系)⏹与信息系统相关的控制目标和控制⏹审计过程中的风险评估⏹审计计划和管理技术⏹报告和沟通技术(推进,商谈,解决冲突)⏹控制自我评估⏹不间断审计技术(连续审计技术)Chapter 2 IT治理⏹IT战略,政策,标准和程序对组织的意义,及其基本要素⏹IT治理框架⏹制定实施和恢复IT战略政策标准和程序的流程⏹质量管理战略和政策⏹与IT使用和管理相关的组织结构,角色和职责⏹公认的国际IT标准和准则⏹制定长期战略方向的企业所需的IT体系及其内容⏹风险管理方法和工具⏹控制框架(cobit)的使用⏹成熟度和流程改进模型⏹签约战略,程序和合同管理实务⏹IT绩效的监督和报告实务⏹有关的法律规章问题(保密,隐私,知识产权)⏹IT人力资源管理⏹资源投资和配置实务Chapter 3 系统和体系生命周期⏹收益管理实务(可行性研究,业务案例)⏹工程治理机制,如:工程指导委员会,工程监督委员会⏹工程管理实务,工具和控制框架⏹用于工程管理上的风险管理实务⏹工程成功的原则和风险⏹涉及开发,维护系统的配置,变更和版本管理⏹确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术⏹关于数据,应用和技术的企业框架⏹需求分析和管理实务⏹采购和合同管理程序⏹系统开发方法和工具以及他们的优缺点⏹质量保证方法⏹测试流程的管理⏹数据转换工具技术和程序⏹系统的处置程序⏹软件,硬件的认证和鉴证实务⏹实施后的检查目标和方法,如工程关闭,收益实现,绩效测定⏹系统移植和体系开发实务Chapter 4 IT服务和交付⏹服务等级和水平⏹运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护⏹系统性能监控程序,工具和技术.⏹硬件和网络设备的功能⏹数据库管理实务⏹操作系统工具软件和数据库管理系统⏹生产能力计划和监控技术⏹对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务⏹生产事件/问题管理实务⏹软件许可证和清单管理实务⏹系统缩放工具和技术Chapter 5 信息资产保护⏹信息系统安全设计,实施和监控技术⏹用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制⏹逻辑访问安全体系⏹攻击方法和技术⏹对安全事件的预测和响应程序⏹网络和internet安全设备⏹入侵检测系统和防火墙的配置⏹加密算法/技术⏹公共密钥机构组件⏹病毒检测和控制技术⏹安全方案测试和评估技术:渗透技术,漏洞扫描⏹生产环境保护实务和设备⏹物理安全系统和实务⏹数据分类技术⏹语音通讯的安全⏹保密信息资产的采集.存储.使用.传输和处置程序和流程⏹与使用便携式和无线设备Chapter 6业务连续性与灾难恢复计划⏹数据备份,存储,维护,保留和恢复流程⏹业务连续性和灾难恢复有关的法律规章协议和保险问题⏹业务影响分析(BIA)⏹开发和维护灾难恢复与业务持续计划⏹灾难恢复和业务连续性计划测试途径和方法⏹与灾难恢复和业务连续性有关的人力资源管理⏹启用灾难恢复和业务连续性计划的程序和流程⏹备用业务处理站点的类型,和监督有关协议合同的方法CISA2008 练习题Chapter11.下列哪些形式的审计证据就被视为最可靠?❑口头声明的审计❑由审计人员进行测试的结果❑组织内部产生的计算机财务报告❑从外界收到的确认来信2当程序变化是,从下列哪种总体种抽样效果最好?❑测试库清单❑源代码清单❑程序变更要求❑产品库清单⏹3在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:❑系统程序员.❑法律人员❑业务部门经理❑应用程序员.⏹4进行符合性测试的时候,下面哪一种抽样方法最有效?❑属性抽样❑变量抽样❑平均单位分层抽样❑差别估算⏹5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:❑当数据流通过系统时,其作用的控制点。
CISA-2021年综合模拟题100题(一)+答案及解析
CISA2021年模拟测试题100道(一)
置信系数以百分率(90%、95%)表示的样本特征能代表总体特征的概率。
一般情况下,95%的置信系数即可看作是高度满意的。
如果IS审计师确信内部控制是强劲的,可以降低置信系数。
置信系数越高,样本量越大。
审计师的工作思路:发现紧急问题先上报,发现不紧急问题先调研再报告<报告前再确认>。
安全事件的处理与响应(5.2.11):需要及时反应的安全事件有:病毒的传播
对WWW页面的篡改
对组织通告的滥用
对审计踪迹非授权访问的报警
来自入侵检测系统的安全攻击报警
对硬件与软件的盗窃
系统管理员口令被窃取
对物理安全的侵害
在PC上发现间谍软件、木马软件
来自媒体的虚假信息,诽谤信息
司法取证调查。
CISA 最新中文习题
CISA 2008Chapter 1 信息系统审计程序⏹ISACA发布的信息系统审计标准”,准则,程序和职业道德规范⏹IS审计实务和技术⏹收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质)⏹证据的生命周期(证据的收集,保护和证据之间的关系)⏹与信息系统相关的控制目标和控制⏹审计过程中的风险评估⏹审计计划和管理技术⏹报告和沟通技术(推进,商谈,解决冲突)⏹控制自我评估⏹不间断审计技术(连续审计技术)Chapter 2 IT治理⏹IT战略,政策,标准和程序对组织的意义,及其基本要素⏹IT治理框架⏹制定实施和恢复IT战略政策标准和程序的流程⏹质量管理战略和政策⏹与IT使用和管理相关的组织结构,角色和职责⏹公认的国际IT标准和准则⏹制定长期战略方向的企业所需的IT体系及其内容⏹风险管理方法和工具⏹控制框架(cobit)的使用⏹成熟度和流程改进模型⏹签约战略,程序和合同管理实务⏹IT绩效的监督和报告实务⏹有关的法律规章问题(保密,隐私,知识产权)⏹IT人力资源管理⏹资源投资和配置实务Chapter 3 系统和体系生命周期⏹收益管理实务(可行性研究,业务案例)⏹项目治理机制,如:项目指导委员会,项目监督委员会⏹项目管理实务,工具和控制框架⏹用于项目管理上的风险管理实务⏹项目成功的原则和风险⏹涉及开发,维护系统的配置,变更和版本管理⏹确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术⏹关于数据,应用和技术的企业框架⏹需求分析和管理实务⏹采购和合同管理程序⏹系统开发方法和工具以及他们的优缺点⏹质量保证方法⏹测试流程的管理⏹数据转换工具技术和程序⏹系统的处置程序⏹软件,硬件的认证和鉴证实务⏹实施后的检查目标和方法,如项目关闭,收益实现,绩效测定⏹系统移植和体系开发实务Chapter 4 IT服务和交付⏹服务等级和水平⏹运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护⏹系统性能监控程序,工具和技术.⏹硬件和网络设备的功能⏹数据库管理实务⏹操作系统工具软件和数据库管理系统⏹生产能力计划和监控技术⏹对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务⏹生产事件/问题管理实务⏹软件许可证和清单管理实务⏹系统缩放工具和技术Chapter 5 信息资产保护⏹信息系统安全设计,实施和监控技术⏹用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制⏹逻辑访问安全体系⏹攻击方法和技术⏹对安全事件的预测和响应程序⏹网络和internet安全设备⏹入侵检测系统和防火墙的配置⏹加密算法/技术⏹公共密钥机构组件⏹病毒检测和控制技术⏹安全方案测试和评估技术:渗透技术,漏洞扫描⏹生产环境保护实务和设备⏹物理安全系统和实务⏹数据分类技术⏹语音通讯的安全⏹保密信息资产的采集.存储.使用.传输和处置程序和流程⏹与使用便携式和无线设备Chapter 6业务连续性与灾难恢复计划⏹数据备份,存储,维护,保留和恢复流程⏹业务连续性和灾难恢复有关的法律规章协议和保险问题⏹业务影响分析(BIA)⏹开发和维护灾难恢复与业务持续计划⏹灾难恢复和业务连续性计划测试途径和方法⏹与灾难恢复和业务连续性有关的人力资源管理⏹启用灾难恢复和业务连续性计划的程序和流程⏹备用业务处理站点的类型,和监督有关协议合同的方法CISA2008 练习题Chapter 11.下列哪些形式的审计证据就被视为最可靠?❑口头声明的审计❑由审计人员进行测试的结果❑组织内部产生的计算机财务报告❑从外界收到的确认来信2 当程序变化是,从下列哪种总体种抽样效果最好?❑测试库清单❑源代码清单❑程序变更要求❑产品库清单⏹3在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:❑系统程序员.❑法律人员❑业务部门经理❑应用程序员.⏹4进行符合性测试的时候,下面哪一种抽样方法最有效?❑属性抽样❑变量抽样❑平均单位分层抽样❑差别估算⏹5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:❑当数据流通过系统时,其作用的控制点。
2010 CISA中文模拟题(1-100)
题号:33 在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机 操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种 兼职的潜在风险? 选项: A、自动记录开发(程序/文档)库的变更 B、增员,避免兼职 C、建立适当的流程/程序,以验证只能实施经过批准的变更,避免非 授权的操作 D、建立阻止计算机操作员更改程序的访问控制 题号:34 一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人 员最有可能集中检查: 选项: A、BPR实施前的处理流程图 B、BPR实施后的处理流程图 C、BPR项目计划 D、持续改进和监控计划 题号:35 某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接 在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机 构的定单都被接收和处理的最适当的控制是: 选项: A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据 D、在生产机构对销售定单的编号顺序进行追踪和计算 题号:36 以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中? 选项: A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限 题号:37 IS战略规划应包含: 选项: A、制定的硬件采购规格说明 B、未来业务目标的分析 C、项目开发的(启动和结束)日期 D、IS部门的年度预算(目标) 题号:38 达到评价IT风险的目标最好是通过 选项: A、评估与当前IT资产和IT项目相关的威胁 B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的IT控制薄弱点
答案
题号:8 实施防火墙最容易发生的错误是: 选项: A、访问列表配置不准确 B、社会工程学会危及口令的安全 C、把modem连至网络中的计算机 D、不能充分保护网络和服务器使其免遭病毒侵袭 题号:9 为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查: 选项: A、业务软件 B、系统平台工具 C、应用服务 D、系统开发工具 题号:10 数据库规格化的主要好处是: 选项: A、在满足用户需求的前提下,最大程度地减小表内信息的冗余 (即:重复) B、满足更多查询的能力 C、由多张表实现,最大程度的数据库完整性 D、通过更快地信息处理,减小反应时间 题号:11 以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为 电子格式? 选项: A、磁墨字符识别(MICR) B、智能语音识别(IVR) C、条形码识别(BCR) D、光学字符识别(OCR) 题号:12 代码签名的目的是确保: 选项: A、软件没有被后续修改 B、应用程序可以与其他已签名的应用安全地对接使用 C、应用(程序)的签名人是受到信任的 D、签名人的私钥还没有被泄露 题号:13 检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确 定: 选项: A、是否口令经常修改 B、客户/服务器应用的框架 C、网络框架和设计 题号:14 企业正在与厂商谈判服务水平协议(SLA),首要的工作是: 选项: A、实施可行性研究 B、核实与公司政策的符合性 C、起草其中的罚则 D、起草服务水平要求
谷安cisa模拟(200题)
题号:3 题型:单选题 本题分数:.5 内容: IS 审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重 启动流程使用的是早期版本,那么,IS 审计师应该建议: 选项: A、检查源程序文档的保存情况 B、检查数据文件的安全状况 C、实施版本使用控制 D、进行一对一的核查
内容: 代码签名的目的是确保: 选项: A、软件没有被后续修改 B、应用程序可以与其他已签名的应用安全地对接使用 C、应用(程序)的签名人是受到信任的 D、签名人的私钥还没有被泄露
标准答案:A 考生答案: 本题得分:0
题号:13 题型:单选题 本题分数:.5 内容: 检查用于互联网 Internet 通讯的网络时,IS 审计应该首先检查、确定: 选项: A、是否口令经常修改 B、客户/服务器应用的框架 C、网络框架和设计 D、防火墙保护和代理服务器
题号:5 题型:单选题 本题分数:.5 内容: 审计客户/服务器数据库安全时,IS 审计师应该最关注于哪一方面的可用性? 选项: A、系统工具 B、应用程序生成器 C、系统安全文档 D、访问存储流程
标准答案:A 考生答案: 本题得分:0
题号:6 题型:单选题 本题分数:.5 内容: 测试程序变更管理流程时,IS 审计师使用的最有效的方法是: 选项: A、由系统生成的信息跟踪到变更管理文档 B、检查变更管理文档中涉及的证据的精确性和正确性 C、由变更管理文档跟踪到生成审计轨迹的系统 D、检查变更管理文档中涉及的证据的完整性
题号:1 题型:单选题 本题分数:.5 内容: 以下哪一项属于所有指令均能被执行的操作系统模式? 选项: A、问题 B、中断 C、监控 D、标准处理
标准答案:B` 考生答案: 本题得分:0
cisa模拟题第一章
34 虽然管理层已经声明,然而IS审计师依然有理由相信组织在使用未经许可的软件,面临 这种情况IS审计师应该: A.将管理层的声明附在审计报告中 B.识别组织是否真正的使用了这类软件 C.和管理层再次确认对软件的使用情况 D.和高级管理层讨论此事,因为报告此事将会给组织带来负面影响
35 在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存 在严重的延时。IS审计师应采取的最合理的操作为: A.将延时记录为有待改善的控制缺陷 B.推荐使用负载平衡去改进吞吐量 C.在管理建议书中写明这个投诉 D.在形成对IT控制的审计意见时,排除这些投诉
36 要确定向供应商发出的采购订单是否已根据授权矩阵取得授权,以下哪种抽样方法最有 效 A.变量抽样 B.分层单位平均评估抽样 C.属性抽样 D.不分层单位平均估计抽样
28
以下哪一项最适当的描述了IS审计师和被审计单位就审计发现进行讨论的目的? A.把审计结果告知高层管理人员 B.为所提的建议制定出实施时间表 C.确认审计发现,并制定纠正措施的实施计划 D.为识别的风险确定补偿控制
29 在识别出一个应当报告的发现之后,被审计机构立即采取了纠正措施。审计师应当: A.这一发现应当记录在最终报告中,因为审计师负责对所有调查结果的准确报告。 B.不在最终报告中记录,因为审计报告只包括尚未纠正的发现。 C.不在最终报告中记录,因为在审计过程中,审计师可以验证纠正措施。 D.在离场会议上,将发现的情况仅作讨论目的。
16 IS审计师获取充分和合适的审计证据的最重要的原因是: A.遵从法规的要求 B.提供推导出合理结论的基础 C.确认完整的审计内容 D.根据定义的范围执行审计
cisa模拟题题150道
C. 未验证客户身分即进入交易接口
D. 密码没有加密
8. 下列哪项是应负帐款系统最大的保证
A. 业务流程已经做了明确的职能分工
B. 每位会记同仁的交易作业都会被确实纪录
C. 每位会记同仁的作业时,作业账号皆会被计入内文表头
D. 密码没有共享
9. RSA的主要缺点
A. 公钥容易被破解
B. 重要设备有清楚的标示
C. 硬设备的替代性
D. 位于一段很远的距离
36. 稽核人员于CSA的角色
A. 问题辨识人员
B. 引导顺利进行的人员
C. 促进人员
D. 监督人员
37. 处理能力指标(Throughput Index)是指
A. 系统很忙的时间占全系统运作时间的比例
B. 系统故障时间的比例
B. 私钥容易被破解
C. 容易被反运算
D. 容易被解译成明文
10. 使用镜射的主要原因
A. 可以取消异地备份
B. 可以增加数据可用性
C. 因为需要定期异地备分数据
D. 因为可以加速反应时间
11. 一个电子商务公司有庞大的客户主档,及很小的交易纪录,因此用每月完全备份、每日增量备份,因为
B. 接种疫苗
C. 防火墙
D. 防毒软件
21. 双方公司互不认识下,第一次如何建立公钥体系的真实性
A. 使用自己的公钥直接传予对方,此公钥是经过认证中心认证
B. 派自己的IT人员,去对方的公司传送对方的公钥回公司
C. 用一事先约定的口令加密公钥,再传输予对方
D. 传输前先以电话连络,再传输
22. 常常断电,每次断电就8小时以上的公司,应使用下列何种设备
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
题号:1 题型:单选题本题分数:.5内容:以下哪一项属于所有指令均能被执行的操作系统模式?选项:A、问题B、中断C、监控D、标准处理标准答案:B考生答案:本题得分:0题号:2 题型:单选题本题分数:.5内容:企业将其技术支持职能(help desk)外包出去,下面的哪一项指标纳入外包服务等级协议(SLA)是最恰当的?选项:A、要支持用户数B、首次请求技术支持,即解决的(事件)百分比C、请求技术支持的总人次D、电话回应的次数标准答案:B考生答案:本题得分:0题号:3 题型:单选题本题分数:.5内容:IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本,那么,IS审计师应该建议:选项:A、检查源程序文档的保存情况B、检查数据文件的安全状况C、实施版本使用控制D、进行一对一的核查标准答案:C考生答案:本题得分:0题号:4 题型:单选题本题分数:.5内容:将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?选项:A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制标准答案:B考生答案:本题得分:0题号:5 题型:单选题本题分数:.5内容:审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性?选项:A、系统工具B、应用程序生成器C、系统安全文档D、访问存储流程标准答案:A考生答案:本题得分:0题号:6 题型:单选题本题分数:.5内容:测试程序变更管理流程时,IS审计师使用的最有效的方法是:选项:A、由系统生成的信息跟踪到变更管理文档B、检查变更管理文档中涉及的证据的精确性和正确性C、由变更管理文档跟踪到生成审计轨迹的系统D、检查变更管理文档中涉及的证据的完整性标准答案:A考生答案:本题得分:0题号:7 题型:单选题本题分数:.5内容:分布式环境中,服务器失效带来的影响最小的是:选项:A、冗余路由B、集群C、备用电话线D、备用电源标准答案:B考生答案:本题得分:0题号:8 题型:单选题本题分数:.5内容:实施防火墙最容易发生的错误是:选项:A、访问列表配置不准确B、社会工程学会危及口令的安全C、把modem连至网络中的计算机D、不能充分保护网络和服务器使其免遭病毒侵袭标准答案:A考生答案:本题得分:0题号:9 题型:单选题本题分数:.5内容:为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查:选项:A、业务软件B、系统平台工具C、应用服务D、系统开发工具标准答案:C考生答案:本题得分:0题号:10 题型:单选题本题分数:.5内容:数据库规格化的主要好处是:选项:A、在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复)B、满足更多查询的能力C、由多张表实现,最大程度的数据库完整性D、通过更快地信息处理,减小反应时间标准答案:A考生答案:本题得分:0题号:11 题型:单选题本题分数:.5内容:以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式?选项:A、磁墨字符识别(MICR)B、智能语音识别(IVR)C、条形码识别(BCR)D、光学字符识别(OCR)标准答案:D考生答案:本题得分:0题号:12 题型:单选题本题分数:.5内容:代码签名的目的是确保:选项:A、软件没有被后续修改B、应用程序可以与其他已签名的应用安全地对接使用C、应用(程序)的签名人是受到信任的D、签名人的私钥还没有被泄露标准答案:A考生答案:本题得分:0题号:13 题型:单选题本题分数:.5内容:检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定:选项:A、是否口令经常修改B、客户/服务器应用的框架C、网络框架和设计D、防火墙保护和代理服务器标准答案:C考生答案:本题得分:0题号:14 题型:单选题本题分数:.5内容:企业正在与厂商谈判服务水平协议(SLA),首要的工作是:选项:A、实施可行性研究B、核实与公司政策的符合性C、起草其中的罚则D、起草服务水平要求标准答案:D考生答案:本题得分:0题号:15 题型:单选题本题分数:.5内容:电子商务环境中降低通讯故障的最佳方式是:选项:A、使用压缩软件来缩短通讯传输耗时B、使用功能或消息确认(机制)C、利用包过滤防火墙,重新路由消息D、租用异步传输模式(ATM)线路标准答案:D考生答案:本题得分:0题号:16 题型:单选题本题分数:.5内容:以下哪一项措施可最有效地支持24/7可用性?选项:A、日常备份B、异地存储C、镜像D、定期测试标准答案:C考生答案:本题得分:0题号:17 题型:单选题本题分数:.5内容:某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?选项:A、建立一个与供应商相联的内部客户机用及服务器网络以提升效率B、将其外包给一家专业的自动化支付和账务收发处理公司C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统D、重组现有流程并重新设计现有系统标准答案:C考生答案:本题得分:0题号:18 题型:单选题本题分数:.5内容:以下哪一项是图像处理的弱点?选项:A、验证签名B、改善服务C、相对较贵D、减少处理导致的变形标准答案:C考生答案:本题得分:0题号:19 题型:单选题本题分数:.5内容:某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯,而微机只支持异步ASCII字符数据通讯。
为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能?选项:A、缓冲器容量和并行端口B、网络控制器和缓冲器容量C、并行端口和协议转换D、协议转换和缓冲器容量标准答案:D考生答案:本题得分:0题号:20 题型:单选题本题分数:.5内容:为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项?选项:A、系统访问日志文件B、被激活的访问控制软件参数C、访问控制违犯日志D、系统配置文件中所使用的控制选项标准答案:D考生答案:本题得分:0题号:21 题型:单选题本题分数:.5内容:在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。
以下哪一种情形应在审计报告中视为最为危险的?选项:A、计算机操作员兼任备份磁带库管理员B、计算机操作员兼任安全管理员C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员D、没有必要报告上述任何一种情形标准答案:B考生答案:本题得分:0题号:22 题型:单选题本题分数:.5内容:以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况?选项:A、神经网络B、数据库管理软件C、管理信息系统D、计算机辅助审计技术标准答案:A考生答案:本题得分:0题号:23 题型:单选题本题分数:.5内容:大学的IT部门和财务部(FSO,financial services office)之间签有服务水平协议(SLA),要求每个月系统可用性超过98%。
财务部后来分析系统的可用性,发现平均每个月的可用性确实超过98%,但是月末结账期的系统可用性只有93%。
那么,财务部应该采取的最佳行动是:选项:A、就协议内容和价格重新谈判B、通知IT部门协议规定的标准没有达到C、增购计算机设备等(资源)D、将月底结账处理顺延标准答案:A考生答案:本题得分:0题号:24 题型:单选题本题分数:.5内容:在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。
IS审计师应该决定后续的行动是:选项:A、实施分析,以确定该事件是否为暂时的服务实效所引起B、由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会C、这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%D、通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定标准答案:A考生答案:本题得分:0题号:25 题型:单选题本题分数:.5内容:以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作?选项:A、路由器B、网桥C、中继器D、网关标准答案:B考生答案:本题得分:0题号:26 题型:单选题本题分数:.5内容:在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助?选项:A、系统故障时间日志B、供应商的可靠性描述C、预定的定期维护日志D、书面的预防性维护计划表标准答案:A考生答案:本题得分:0题号:27 题型:单选题本题分数:.5内容:用于监听和记录网络信息的网络诊断工具是:选项:A、在线监视器B、故障时间报告C、帮助平台报告D、协议分析仪标准答案:D考生答案:本题得分:0题号:28 题型:单选题本题分数:.5内容:对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据?选项:A、异常作业终止报告B、操作员问题报告C、系统日志D、操作员工作日程安排标准答案:C考生答案:本题得分:0题号:29 题型:单选题本题分数:.5内容:有效的IT治理要求组织结构和程序确保选项:A、组织的战略和目标包括IT战略B、业务战略来自于IT战略C、IT治理是独立的,与整体治理相区别D、IT战略扩大了组织的战略和目标标准答案:D考生答案:本题得分:0题号:30 题型:单选题本题分数:.5内容:质量保证小组通常负责:选项:A、确保从系统处理收到的输出是完整的B、监督计算机处理任务的执行C、确保程序、程序的更改以及存档符合制定的标准D、设计流程来保护数据,以免被意外泄露、更改或破坏标准答案:C考生答案:本题得分:0题号:31 题型:单选题本题分数:.5内容:组织内数据安全官的最为重要的职责是:选项:A、推荐并监督数据安全政策B、在组织内推广安全意识C、制定IT安全政策下的安全程序/流程D、管理物理和逻辑访问控制标准答案:A考生答案:本题得分:0题号:32 题型:单选题本题分数:.5内容:企业打算外包其信息安全职能,那么其中的哪一项职能不能外包,只能保留在企业内?选项:A、公司安全策略的记账B、制订公司安全策略C、实施公司安全策略D、制订安全堆积和指导标准答案:A考生答案:本题得分:0题号:33 题型:单选题本题分数:.5内容:在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险?选项:A、自动记录开发(程序/文档)库的变更B、增员,避免兼职C、建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操作D、建立阻止计算机操作员更改程序的访问控制标准答案:C考生答案:本题得分:0题号:34 题型:单选题本题分数:.5内容:一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查:选项:A、BPR实施前的处理流程图B、BPR实施后的处理流程图C、BPR项目计划D、持续改进和监控计划标准答案:B考生答案:本题得分:0题号:35 题型:单选题本题分数:.5内容:某零售企业的每个出口自动到销售定单进行顺序编号。