CISA綜合模擬題（二）

1、某系統(tǒng)實施后，發(fā)現(xiàn)處理交易速度慢，審計師應(yīng)該審查？

A.容量管理B.壓力測試C.數(shù)據(jù)執(zhí)行結(jié)果D.業(yè)務(wù)流程

2、物理設(shè)施，審計師最關(guān)注？

A.沒有安裝雙門系統(tǒng)B.沒有安裝攝像頭C.用鑰匙代替智能卡D.沒有訪問記錄

3、下面哪一項能夠最有效地確保只有適當?shù)?用戶才能進行薪資處理？

A.使用網(wǎng)絡(luò)安全軟件，來限制對處理的訪問B.對敏感的應(yīng)用程序交易，使用一個獨立的菜單C.由主管負責批準薪資處理D.將訪問權(quán)限限制在應(yīng)用程序級別

4、某IS審計師正在對某組織的系統(tǒng)進行實施后審查，并發(fā)現(xiàn)了會計應(yīng)用內(nèi)部的輸出錯誤。該IS審計師確定這是由輸入錯誤造成的。該IS審計師應(yīng)當向管理層建議以下哪一項控制？

A.重新計算B.限值檢查C.運行到運行的匯總D.對賬

5、在審查IT資源能力和性能的持續(xù)監(jiān)測流程時，IS審計師應(yīng)當主要確保該流程重點關(guān) 注：

A.充分監(jiān)測IT資源和服務(wù)的服務(wù)等級。B.提供數(shù)據(jù)，以確保能夠及時規(guī)劃容量和性能要求。C.提供有關(guān)IT資源可用性的準確反饋。D.正確預(yù)測IT資源的性能、能力和吞吐量。

6、IT風險評估應(yīng)包括識別以下哪項？

A.補償控制措施B.弱點C.業(yè)務(wù)流程所有者D.業(yè)務(wù)要求

7、下列哪一種滅火系統(tǒng)需要與自動開關(guān)組合，才能在警報激活時切斷電源？

A.二氧化碳B.七氟丙烷C.滅火鹵化物D.干管滅火

8、使電子商務(wù)應(yīng)用程序更強壯的最佳方法：

A.集群服器B.磁盤冗余陣列0 （RAID0）C.電子保險箱D.外部設(shè)備

9、在災(zāi)難恢復審計過程中，某信息系統(tǒng)審計師發(fā)現(xiàn)沒有進行業(yè)務(wù)影響分析，審計師需首先開展哪項工作？

A.執(zhí)行額外的符合性測試B.評估對當前災(zāi)難恢復能力的影響C.執(zhí)行業(yè)務(wù)影響分析D.向管理層提交報告

10、多個遠程用戶無法與安全的HTTP服務(wù)器通信，最可能的原因是：

A.黑客模擬了此服務(wù)器B.使用密碼破解軟件C.偷聽者重播攻擊D.黑客使用探查器

11、在對最近部署的應(yīng)用執(zhí)行實施審查過程中，發(fā)現(xiàn)幾個事故被分配了錯誤的優(yōu)先級，并因此未能符合服務(wù)等級協(xié)議（SLA）的要求。以下哪一項最令人擔心？

A.支持模型未經(jīng)高級管理層批準。B.SLA中規(guī)定的事故解決時間不現(xiàn)實。C.沒有足夠的資源來支持應(yīng)用。D.未適當開發(fā)和實施事故支持模型。

12、下列哪一項能夠最有效地防止病毒進入局域網(wǎng)中

A.禁止用戶訪問互聯(lián)網(wǎng)B.定期掃描網(wǎng)絡(luò)上的硬盤C.禁用下載可執(zhí)行文件的能力D.在網(wǎng)絡(luò)服務(wù)器上安裝內(nèi)存駐留病毒掃描程序

13、懷疑一個用來處理數(shù)據(jù)的PC,被用于針對財務(wù)部門的舞弊，應(yīng)首先向誰報告

A.業(yè)務(wù)管理部門B.警察C.審計委員會D.審計管理部門

14、IS審計師需驗證應(yīng)用發(fā)布后是否有完成實施后審查流程的主要原因是什么？

A.確保用戶經(jīng)過適當培訓B.驗證項目在預(yù)算范圍之內(nèi)C.核實項目達到預(yù)期D.確定是否已實施適當?shù)目刂拼胧?/label>

15、在開發(fā)整個公司電子數(shù)據(jù)交換（EDI）項目的過程中，必須完成下列那一項？

A.實施消息標準B.審查所有供應(yīng)商的EDI應(yīng)用程序C.實施加密技術(shù)D.安裝一個ISDN

16、制訂業(yè)務(wù)連續(xù)性計劃的第一步，也是必不可少的一步是：

A.軟件和硬件的可用性B.羅列出所有資產(chǎn)的清單C.完整地記錄所有災(zāi)難D.根據(jù)風險將應(yīng)用系統(tǒng)分類

17、在審查計算機處置流程時，IS審計師最擔心以下哪項？

A.硬盤在扇區(qū)級別進行了多次覆寫，但在送出組織前沒有重新格式化。B.分別刪除硬盤上的所有文件及文件夾，并在送出組織前格式化硬盤。C.送出組織前在盤片的幾個指定位置打孔，使硬盤變得不可讀。D.由內(nèi)部安全人員將硬盤護送到附近的金屬回收公司，在此處注冊并隨即粉碎硬舟 rm o

18、了解一個操作系統(tǒng)的安全配置的最佳方式是：

A.學習供應(yīng)商的安裝手冊。B.檢查系統(tǒng)安全計劃。C.跟安裝軟件的系統(tǒng)程序員面談。D.查看系統(tǒng)自動配置的參數(shù)。

19、組織要求密碼必須由數(shù)字、大小寫字母和特殊字符組合，這是為了預(yù)防什么攻擊？

A.注入攻擊B.社會工程C.字典攻擊D.中間人攻擊

20、對于數(shù)據(jù)外包的第三方外包供應(yīng)商發(fā)生數(shù) 據(jù)泄露事件首先應(yīng)

A.啟動災(zāi)難恢復計劃B.就損壞聲譽對服務(wù)商采取法律行動C.啟動事故管理D.保險公司索賠

21、審計目標應(yīng)如何決定？

A.董事會決議B.公司政策C.重要的業(yè)務(wù)流程D.風險分析

22、銀行的自動柜員機（ATM）是一種專門用于銷售點的終端，它：

A.必須包括高級別的邏輯和物理安全B. 一般放置在人口稠密的場所以威懾盜竊與破壞C.只能用于支付現(xiàn)金和存款服務(wù)D.利用保護的通訊線進行數(shù)據(jù)傳輸

23、在EFT系統(tǒng)實施時，審計師最關(guān)注？

A.項目是否滿足了業(yè)務(wù)目標B.用戶是否積極參與系統(tǒng)的獲取過程C.系統(tǒng)供應(yīng)商的資質(zhì)D.通信線路的加密

24、對IS審計師而言，如果下列用戶組具有生產(chǎn)數(shù)據(jù)庫的直接完全訪問權(quán)限，以下哪一組最值得關(guān)注？

A.應(yīng)用測試員B.系統(tǒng)管理員C.數(shù)據(jù)庫所有者D.數(shù)據(jù)恢復團隊

25、審查數(shù)據(jù)中心的滅火系統(tǒng)應(yīng)考慮

A.維護措施B.安裝手冊C.是否能夠現(xiàn)場更換D.承保范圍

26、某衛(wèi)生保健組織的IS審計師正在檢討考慮由其托管患者健康信息（PHI）的第三方云提供商的合同條款和條件。以下哪一項合同條款將成為客戶組織面臨的最大風險？

A.數(shù)據(jù)所有權(quán)歸屬客戶組織。B.第三方保留訪問數(shù)據(jù)以執(zhí)行某些操作的權(quán)利。C.未定義批量數(shù)據(jù)撤回機制。D.客戶組織負責備份、歸檔和恢復。

27、審計新應(yīng)用系統(tǒng)的持續(xù)運行計劃的最佳時間是？

A.交接給系統(tǒng)維護部門之前B.上線后立即進行C.系統(tǒng)需求階段D.成功進行用戶測試之后

28、某組織實施了一個分布式會計系統(tǒng)，IS審計師正在進行實施后審查，以提供數(shù)據(jù)完整性控制的鑒證。該審計師應(yīng)當首先執(zhí)行以下哪一項？

A.審查用戶訪問。B.評估變更請求流程。C.評估對賬控制。D.審查數(shù)據(jù)流程圖。

29、在對醫(yī)療組織的受保護醫(yī)療信息（PHI）進行 IS風險評估時,IS審計師在與IS管理人員面談。此次面談中的哪項發(fā)現(xiàn)最令I(lǐng)S審計師關(guān)注？

A.組織沒有對所有外發(fā)的電子郵件進行加宓 l-J-l OB.員工必須在電子郵件的主題欄鍵入 "[PHI『才能進行加密。C.個別工作人員的計算機屏保功能被禁用。D.服務(wù)器配置要求用戶每年更改一次密碼。

30、在實施數(shù)據(jù)分類程序時，以下哪一項最重要？

A.實施數(shù)據(jù)標準化B.理解數(shù)據(jù)的業(yè)務(wù)用途C.計劃安全存儲容量D.開發(fā)隱私策略

31、某IS審計師正在審查某組織的網(wǎng)絡(luò)操作中心（N0C）o以下哪一項最受關(guān)注？采用：

A.基于濕管的滅火系統(tǒng)。B.租借的NOC機架空間。C.基于二氧化碳的滅火系統(tǒng)。D.備用電力為10分鐘的不斷電源（UPS）。

32、A公司計劃實施的系統(tǒng)所采用的技術(shù)不符合公司IT策略。以下哪一項是最佳理由？

A.雖然導致成本增加，但可以增加企業(yè)效益B.員工非常熟悉此技術(shù)C.該系統(tǒng)采用最先進的技術(shù)D.該系統(tǒng)的持有成本較低

33、IS審計師檢查企業(yè)的生產(chǎn)環(huán)境中的主機和客戶/服務(wù)器體系之后。發(fā)現(xiàn)的哪一種漏洞或威脅需要特別關(guān)注？

A.大多數(shù)局域網(wǎng)上的服務(wù)器沒有執(zhí)行定期的硬盤備份B.安全官兼職數(shù)據(jù)庫管理員C.主機系統(tǒng)上運行的非關(guān)鍵應(yīng)用沒有納入業(yè)務(wù)持續(xù)性計劃的考慮D.客戶/服務(wù)器系統(tǒng)沒有適當?shù)墓芾砜诹? 密碼控制

34、在項目的問題（issues）管理過程中,將出現(xiàn)下面哪類工作？

A.配置管理B.突發(fā)事件處理計劃C.客戶服務(wù)管理D.影響評估

35、下列哪一項是用戶部門與程序變更相關(guān)的最重要的職責

A.更新文檔，以體現(xiàn)出最新的變更B.提供單元測試數(shù)據(jù)C.分析變更需求D.實施之前批準變更

36、緊急情況下關(guān)閉電源的開關(guān)應(yīng)該：

A.受保護B.不在計算機機房中C.無識別標記D.會發(fā)亮

37、項目收尾的目的是要確定：

A.影響項目交付質(zhì)量的潛在風險B.項目經(jīng)理在專業(yè)特長C.供未來項目使用的經(jīng)驗教訓D.項目可行性要求

38、在局域網(wǎng)絡(luò)（LAN）中安裝瘦客戶機（thin client）體系結(jié)構(gòu)的好處在于它可以：

A.降低單點故障的風險B.便于更新軟件的版本C.在服務(wù)器停機時確保應(yīng)用程序的可用性D.穩(wěn)定網(wǎng)絡(luò)寬帶的要求

39、因為IS審計團隊資源限制，原批準的審計計劃無法實施。假定己通過審計報告通報情況，最可接受的做法是哪一項？

A.測試控制設(shè)計的充分性。B.測試控制的運作效率。C.著重審計高風險領(lǐng)域。D.依靠管理層測試控制。

40、企業(yè)目前用磁帶備份數(shù)據(jù)，使用每周一次全備份、每日一次增量備份的策略。最近，企業(yè)領(lǐng)導把磁帶備份流程中增加了向磁盤備份的步驟。這種做法之所以恰當，是因為：

A.向磁盤備份的速度遠快于向磁帶備份B.數(shù)據(jù)保存在磁盤上，其可靠性高于磁帶存儲C.它支持存儲的快速備份恢復D.隨著技術(shù)的進步，不再需要磁帶庫

41、計算機房中安裝了一套火警系統(tǒng)，火警控制面板的最有效放置是位于：

A.距離UPS最近的機房中。B.系統(tǒng)管理員的辦公室中。C.距服務(wù)器最近的機房中。D.大廈保安人員值班室。

42、對一個應(yīng)用系統(tǒng)進行審計，下面哪種情況會損害審計人員的獨立性？

A.設(shè)計并嵌入了專門審計這個應(yīng)用系統(tǒng)的審計模塊B.為應(yīng)用系統(tǒng)最佳實踐提供咨詢意見C.作為應(yīng)用系統(tǒng)的項目組成員，但不是以后的作業(yè)使用人員D.在應(yīng)用系統(tǒng)開發(fā)過程中，實施了具體的控制

43、在某醫(yī)院中，醫(yī)務(wù)人員攜帶存有病人健康狀況數(shù)據(jù)的手持式電腦。這些手持式電腦與可從醫(yī)院數(shù)據(jù)庫傳輸數(shù)據(jù)的PC同步。以下哪項措施最重要？

A.手持式電腦得到了妥善保護，可在發(fā)生盜竊或丟失時仍能保證數(shù)據(jù)的機密性。B.在使用后刪除本地PC中臨時文件的員工具有維護PC的權(quán)限。C.通過制定政策和流程來確保同步能夠及時進行。D.手持式電腦的使用得到醫(yī)院政策的允許。

44、某個大型組織正在對下一年度的IT項目進行優(yōu)先級排序。排序的依據(jù)應(yīng)該：

A.根據(jù)項目的成本效益分析結(jié)果。B.根據(jù)組織下一年度的IT資源情況。C.根據(jù)項目的投資額大小。D.根據(jù)技術(shù)的先進性

45、檢查入侵監(jiān)測系統(tǒng)（IDS）時，IS審計師最關(guān) 注的內(nèi)容是：

A.系統(tǒng)沒有識別出的攻擊事件B.把正常通訊識別為危險事件的數(shù)量C.被系統(tǒng)阻斷的正常通訊流D.由自動化工具生成的報告和日志

46、以下那個指標最適合衡量數(shù)據(jù)恢復策略：

A. RPOB. RTOC. SDOD.最大中斷窗口

47、某IS審計師正在審查某家制造公司，并發(fā) 現(xiàn)遠程站點的主機用戶通過Telnet經(jīng)互聯(lián) 網(wǎng)連接到總部的主機上。以下哪一項是確保安全控制適當?shù)淖罴呀ㄗh？

A.使用點對點租用線路B.使用防火墻規(guī)則，只允許該遠程站點的互聯(lián)網(wǎng)協(xié)議（IP）地址C.使用雙因素身份認證D.使用Telnet非標準端口

48、某IS審計師發(fā)現(xiàn)，某公司的災(zāi)難恢復計劃（DRP）不包含托管在云端的某關(guān)鍵應(yīng)用。管理層答復稱，由云供應(yīng)商負責災(zāi)難恢復（DR）和DR相關(guān)測試。IS審計師應(yīng)采取的下一步行動是什么？

A.制訂云供應(yīng)商審計計劃。B.審查供應(yīng)商合同，以確定其災(zāi)難恢復能力。C.審查獨立審計師的云供應(yīng)商報告。D.向云提供商索要一份DRP副本。

49、某業(yè)務(wù)單位已選用新的會計應(yīng)用，但并未在選擇流程中提前咨詢IT部門。主要風險是：

A.該應(yīng)用的安全控制可能不符合要求。B.該應(yīng)用可能不符合業(yè)務(wù)用戶的需求。C.該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)（EA）不一致。D.該應(yīng)用可能給IT部門帶來不可預(yù)見的支持問題。

50、若要開發(fā)一個應(yīng)用于整個公司的系統(tǒng)，最適合總體負責該項目的角色是：

A. IS主管B.項目經(jīng)理C.企業(yè)高管D.業(yè)務(wù)分析員

51、原型法作為一種系統(tǒng)軟件開發(fā)方法其主要好處是什么？

A.增加用戶滿意度的可能性B.減少對測試的需求C.消除對文檔的需要D.最大限度地減少信息系統(tǒng)審計師系統(tǒng)所需要的時間

52、某IS審計師正在為公司審查啟用安全套接字層（SSL）的網(wǎng)站。以下哪一項風險最局？

A.過期的數(shù)字證書B.自簽名的數(shù)字證書C.為多個網(wǎng)站使用相同的數(shù)字證書D.使用56位數(shù)字證書

53、業(yè)務(wù)連續(xù)性和災(zāi)難恢復計劃中的首要目的？

A.保護人員的生命B.保護關(guān)鍵信息系統(tǒng)資產(chǎn)C.最小化組織的損失D.提供操作的連續(xù)性

54、一家公司很多筆記本用戶，為了防止病毒在公司內(nèi)網(wǎng)上傳播，審計師建議采用哪種方式最佳：

A.在服務(wù)器上安裝防病毒系統(tǒng)B.禁止員工在家使用筆記本C.筆記本啟動的時候進行病毒掃描檢測D.筆記本載入新軟件和數(shù)據(jù)的時候進行病毒掃描檢測

55、在采用一個中間件在局域網(wǎng)服務(wù)器與大型機之間傳輸數(shù)據(jù)時，信息系統(tǒng)審計師最應(yīng) 該考慮的是：

A.不同平臺之間的網(wǎng)絡(luò)通訊流量水平。B.跨平臺的安全身份認證。C.數(shù)據(jù)庫的時間同步。D.幫助恢復交易的時間戳。

56、代碼在生產(chǎn)發(fā)布時被錯誤地移除，其后繞過正常的變更程序，被轉(zhuǎn)入生產(chǎn)環(huán)境。對執(zhí)行實施后審查的IS審計師而言，以下哪一項最值得關(guān)注？

A.代碼在初步實施時被遺漏。B.變更未經(jīng)管理層批準。C.錯誤在實施后審查過程中被發(fā)現(xiàn)。D.發(fā)布團隊使用了相同的變更順序號。

57、哪一項評估保護公司網(wǎng)絡(luò)中的信息安全所必需的安全級別

A.訪問權(quán)限B.數(shù)據(jù)分類C.訪問控制列表D.商業(yè)智能

58、事件管理的主要目標是：

A.測試事件發(fā)生時能否及時響應(yīng)B.讓外部計算機安全事件影團隊應(yīng)來評估損害情況。C.響應(yīng)事件，以便業(yè)務(wù)能夠連續(xù)開展D.允許事件繼續(xù)進行并沿著線索追溯到事件開始。

59、當評估企業(yè)的異地存儲中心時，信息系統(tǒng) 審計師最為關(guān)注哪一項

A.保留期B.完善的物理和環(huán)境控制C.業(yè)務(wù)持續(xù)計劃的測試結(jié)果D.介質(zhì)標簽的準確性

60、雙方公司互不認識下，第一次如何建立公鑰體系的真實性？

A.派自己的IT人員，去對方的公司傳送對方的公鑰回公司B.用已事先約定的口令加密公鑰，再傳輸予對方C.傳輸前先以電話連絡(luò)，再傳輸D.使用自己的公鑰直接傳予對方，此公鑰是經(jīng)過認證中心認證

61、在制定業(yè)務(wù)連續(xù)性計劃（BCP）方面，以下哪一個利益方最重要？

A.業(yè)務(wù)流程所有者B.應(yīng)用所有者C.董事會D.IT管理層

62、一個公司對員工的商務(wù)智能手機實施收回并利用

A、為新員工更換SIM卡和手機號B、銷毀商務(wù)智能手機C、安全的刪除手機數(shù)據(jù)D、更換智能手機內(nèi)存卡

63、對IS審計師而言，驗證關(guān)鍵生產(chǎn)服務(wù)器是否在運行供應(yīng)商發(fā)布的最新安全更新的最佳途徑是以下哪一項？

A.確保在關(guān)鍵生產(chǎn)服務(wù)器上啟用自動更新。B.在生產(chǎn)服務(wù)器樣機上手動驗證已應(yīng)用修補程序。C.審查關(guān)鍵生產(chǎn)服務(wù)器的變更管理日志。D.在生產(chǎn)服務(wù)器上運行自動化工具，以驗證安全修補程序。

64、IS審計章程的主要目的是：

A.建立審計部門的組織結(jié)構(gòu)。B.闡述IS審計職能部門的報告責任。C.詳細闡述1S審計部門執(zhí)行的審計流程和程序。D.概述IS審計職能部門的職責和權(quán)限。

65、可用性最好的網(wǎng)絡(luò)結(jié)構(gòu)是：

A.環(huán)狀B.總線C.星型D.網(wǎng)狀

66、銀行客戶的密碼丟失后，應(yīng)該采取何種措施發(fā)放PIN：

A.客戶連續(xù)錄入兩遍新的PINB.銀行工作人員通知客戶一個PINC.通過電子郵件發(fā)送PIND.由銀行工作人員發(fā)放一個隨機產(chǎn)生的PIN

67、審查防火墻訪問控制列表時，審計師發(fā)現(xiàn) 哪種情況是有最大問題的：

A.用戶的權(quán)限大于所在組的權(quán)限B. IT的訪問權(quán)限列表中有允許和拒絕的沖突C.默認配置為放行D.默認配置為拒絕

68、在提議的企業(yè)資源規(guī)劃（ERP）系統(tǒng)的需求定義階段，項目發(fā)起人要求連接采購與應(yīng)付賬款模塊。最好執(zhí)行以下哪一種測試方法？

A.單元測試B.集成測試C.社交性測試D.質(zhì)量保證（QAT）測試

69、在確定IT政策是否很好的適應(yīng)業(yè)務(wù)需求時，以下哪一項是最關(guān)鍵的證據(jù)？

A.支持IT策略的總成本B. IT策略的例外數(shù)量C. IT策略的查詢次數(shù)D.違反IT策略所造成的總體損失

70、防止筆記本電腦丟失后導致的信息泄漏的最好方法是：

A.磁盤整體加密B.文件加密C.雙因素認證D.生物識別

71、某小型公司無法隔離開發(fā)流程與變更控制職能之間的職責。確保經(jīng)過測試的代碼與轉(zhuǎn)入生產(chǎn)的代碼完全一樣的最佳途徑是什么？

A.發(fā)布管理軟件B.手動代碼比對C.生產(chǎn)前回歸測試D.管理層批準變更

72、定義一個標準程序，來對比源代碼和目標代碼的區(qū)別，屬于：

A.程序庫的實質(zhì)性測試B.程序庫的符合性測試C.程序編輯器的實質(zhì)性測試D.程序編輯器的符合性測試

73、鏡像磁盤（mirrored disks）的使用:

A.減少對額外存儲的需求B.縮短系統(tǒng)響應(yīng)時間C.消除異地備份的需求D.需要定期異地備份

74、以下哪一項是計劃評審技術(shù)（PERT）相比其它方法的優(yōu)點？與其它方法相比：

A.為計劃和控制項目考慮不同的情景B.允許使用者輸入程序和系統(tǒng)參數(shù).C.測試系統(tǒng)維護加工的準確性D.估算系統(tǒng)項目成本.

75、從風險管理的角度，部署龐大且復雜的仃基礎(chǔ)架構(gòu)，哪種方法最好：

A.部署前仿真模擬新的架構(gòu)B.按次序階段性的部署計劃C.原型化和單一部署D.在概念論證之后，全面迅速的部署

76、應(yīng)該實施哪一項控制措施使系統(tǒng)維護停機時間可降至最低？

A.溫站B.集群C.每晚完整備份D.負載均衡

77、以下哪一項控制最能防止互聯(lián)網(wǎng)嗅探器（Internet sniffer）進行重放攻擊：

A.數(shù)據(jù)包過濾路由器B.數(shù)字簽名C.正確配置的防火墻D.帶時間戳的數(shù)據(jù)加密

78、某新業(yè)務(wù)需求要求變更數(shù)據(jù)庫供應(yīng)商。關(guān) 于此項實施，IS審計師應(yīng)當主要檢查以下哪個領(lǐng)域？

A.數(shù)據(jù)的完整性B.切換的時間安排C.用戶的授權(quán)等級D.數(shù)據(jù)的規(guī)范化

79、以下哪一項是使用秘密密鑰型加密的優(yōu) 勢？

A.可用于數(shù)字簽名B.增強驗證功能C.密鑰可擴展性D.使用效率

80、以下哪一項是最好地定義了 IT戰(zhàn)略委員會的職能？

A.業(yè)務(wù)部門的滿意度B.監(jiān)控KPI的結(jié)果C. IT戰(zhàn)略委員會章程D. IT戰(zhàn)略委員會會議紀要

81、固有風險評級通過對威脅或漏洞的影響及可能性評估，威脅或漏洞發(fā)生在：

A.考慮采取內(nèi)部控制措施之前B.考慮內(nèi)部控制措施之后C.應(yīng)用了補嘗控制措施后D.確立風險偏好之前

82、某IS審計師發(fā)現(xiàn)，用戶偶爾地被授權(quán)作更改系統(tǒng)數(shù)據(jù)。這種系統(tǒng)訪問權(quán)限提升不符合公司政策，但對業(yè)務(wù)經(jīng)營的平穩(wěn)運轉(zhuǎn)是有必要的。該IS審計師最有可能建議采取以下哪一種控制來長期解決這一問題？

A.重新設(shè)計與數(shù)據(jù)授權(quán)有關(guān)的控制。B.實施額外的職責分離控制。C.對政策進行審查，以查明正式的例外流程是否有必要。D.實施額外的日志記錄控制。

83、一個機房使用的門禁記錄顯示，進來的人比出去的人多，可以使用以下哪項應(yīng)對措施？

A.單向鎖B.雙向鎖C.單因素驗證D.雙因素驗證

84、IS審計師正在審查某組織的人力資源（HR）數(shù)據(jù)庫的實施情況。IS審計師發(fā)現(xiàn):為獲得高可用性而群集數(shù)據(jù)庫服務(wù)器，所有默認數(shù) 據(jù)庫帳戶己刪除，并且已保留數(shù)據(jù)庫審計日志并每周審查一次。為確保適當保護數(shù) 據(jù)庫的安全，IS審計師還應(yīng)檢查哪些其他領(lǐng)域？

A.限制數(shù)據(jù)庫管理員訪問HR數(shù)據(jù)。B.數(shù)據(jù)庫日志經(jīng)過加密。C.數(shù)據(jù)庫存儲的程序經(jīng)過加密。D.數(shù)據(jù)庫初始化參數(shù)適當。

85、組織在災(zāi)難恢復計劃（DRP）時，有多種不同的備份數(shù)據(jù)恢復方案可供選擇，最需要參考的指標是：

A.恢復時間目標（RTO）。B.恢復方案的技術(shù)成本。C.可容忍的最長中斷時間（MTO）。D.恢復點目標（RPO）。

86、下列哪一項是由拒絕服務(wù)攻擊（denial-of-service attacks）導致的最大風險？

A.未經(jīng)授權(quán)訪問系統(tǒng)B.敗壞商譽。丟失業(yè)務(wù)C.泄露機密信息D.數(shù)據(jù)庫缺乏完整性，遭到破壞

87、安裝數(shù)據(jù)泄漏防護（DLP）軟件的主要目的是控制以下哪一項？

A.服務(wù)器上存儲的保密文件的訪問特權(quán)B.意圖破壞內(nèi)部網(wǎng)絡(luò)中的重要數(shù)據(jù)C.哪些外部系統(tǒng)可以訪問內(nèi)部資源D.保密文件流出內(nèi)部網(wǎng)絡(luò)

88、使用EXCEL計算項目成本時，將每個成本類別的總計錄入到工作成本表時，下列哪一種方法能最好地確保數(shù)據(jù)輸入的準確性？

A.輸入后"回放”項目的詳細信息B.有效性檢查，防止輸入字符數(shù)據(jù)C.核對項目的總金額D.就每個成本類別檢查其合理性

89、關(guān)于能力管理的說法不正確的有：

A.至少每年進行審核和修改B.能力計劃應(yīng)由用戶和IS管理部門共同參與完成C.確保IT服務(wù)以最優(yōu)成本效益的方式滿足當前和未來對容量與性能的業(yè)務(wù)需求D.無需考慮新技術(shù)

90、在準備支持電子數(shù)據(jù)倉庫解決方案的業(yè)務(wù) 案例時，以下哪一項在協(xié)助管理層進行決策的流程中最重要？

A.討論單一解決方案。B.考慮安全控制。C.證明可行性。D.咨詢審計部門。

91、在提交了審計報告之前，審計經(jīng)理發(fā)現(xiàn)在審計過程中忽略了某項證據(jù)，該證據(jù)表明過程控制失敗了，這可能與審計結(jié)論互相矛盾，以下哪一樣風險受這一疏忽的影響最大？

A.固有風險（inherent）B.操作風險（operational）C.審計風險D.財務(wù)風險

92、下列哪種做法將最能確保具有永久重要性的歸檔電子資料，多年后還能隨時查詢？

A.購買類似舊版本軟件的應(yīng)用程序B.定期將數(shù)據(jù)轉(zhuǎn)移到采用當前的技術(shù)的系統(tǒng)中C.定期備份歸檔數(shù)據(jù)D.對舊硬件執(zhí)行預(yù)防維護

93、在共享的處理環(huán)境中，最大的挑戰(zhàn)是：

A.分離客戶數(shù)據(jù)B.分離客戶網(wǎng)絡(luò)C.合并結(jié)果D?保持一致的標準

94、在實施數(shù)據(jù)分類等程序時，以下哪一項最重要？

A.計劃實施安全存儲的功能B.使數(shù)據(jù)所有權(quán)正式化C.理解數(shù)據(jù)的分類級別D.開發(fā)隱私政策

95、對于評估業(yè)務(wù)連續(xù)性計劃的有效性最好方法是審查：

A.預(yù)先的測試結(jié)果B.異地存儲和環(huán)境監(jiān)控C.計劃并把它們作為適當?shù)臉藴?/label>D.應(yīng)急程序和員工培訓

96、項目籌備委員會的主要負責人應(yīng)該是？

A.業(yè)務(wù)執(zhí)行管理層B.項目經(jīng)理C. IS經(jīng)理D. IS審計師

97、防止服務(wù)器受到暴力破解攻擊（brute force attack）的最有效方法是：

A.對服務(wù)器進行加固B. 口令連續(xù)輸入三次錯誤后鎖定系統(tǒng)C.更加復雜的口令D.實施連續(xù)監(jiān)控

98、IS審計師要評估預(yù)防性維護程序的有效性，最有幫助的是：

A.停機時間記錄B.維護計劃C.維護日志D.供應(yīng)商是否可靠

99、某組織正在審查其與云計算提供商之間的合同。該組織想要從合同中刪除鎖定條款的原因是以下哪一項？

A.可用性B.可遷移性C.敏捷性D.可擴展性

100、某IS審計師發(fā)現(xiàn)，實施了未經(jīng)督導委員會批準的多個基于IT的項目。該IS審計師最需要關(guān)注什么？

A.IT項目資金不足。B.IT項目不遵循系統(tǒng)開發(fā)生命周期（SDLC）流程。C.IT項目未必一直得到正式的批準。D.IT部門未朝著共同的目標而努力。

更多問卷復制此問卷