CISA中文模拟题.pdf-道客多多_道客多多docduoduo.com

资源描述

1、 1)以下哪一项属于所有指令均能被执行的操作系统模式？ A、问题 B、中断 C、监控 D、标准处理标准答案 :B 分析：系统指令用于处理系统级功能，如加载系统寄存器、管理中断等。大多数系统指令只能由处于特权级 0 的操作系统软件执行，其余一些指令可以在任何特权级上执行，因此应用程序也能使用。表 4-2 中列出了我们将用到的一些系统指令。其中还指出了它们是否受到保护。 2)企业将其技术支持职能（ help desk）外包出去，下面的哪一项指标纳入外包服务等级协议（ SLA）是最恰当的？ A、要支持用户数 B、首次请求技术支持，即解决的（事件）百分比 C、请求技术支持的总人次 D、电话回应的次

2、数标准答案 :B 分析：因为服务台的主要指标是首次解决率。 3)IS 审计师检查组织的数据文件控制流程时，发现交易事务使用的是最新的文件，而重启动流程使用的是早期版本，那么， IS 审计师应该建议： A、检查源程序文档的保存情况 B、检查数据文件的安全状况 C、实施版本使用控制 D、进行一对一的核查标准答案 :C 分析：出现了版本不一致的情况，实施版本使用控制。 4)将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用？ A、批量头格式 B、批量平衡 C、数据转换差错纠正 D、对打印池的访问控制标准答案 :B 5)审计客户 /服务器数据库安全时，

3、IS 审计师应该最关注于哪一方面的可用性？ A、系统工具 B、应用程序生成器 C、系统安全文档 D、访问存储流程标准答案 :A 6)测试程序变更管理流程时， IS 审计师使用的最有效的方法是： A、由系统生成的信息跟踪到变更管理文档 B、检查变更管理文档中涉及的证据的精确性和正确性 C、由变更管理文档跟踪到生成审计轨迹的系统 D、检查变更管理文档中涉及的证据的完整性标准答案 :A 7)分布式环境中，服务器失效带来的影响最小的是： A、冗余路由 B、集群 C、备用电话线 D、备用电源标准答案 :B 8)实施防火墙最容易发生的错误是： A、访问列表配置不准确 B、社会工程学会危及口令的安全

4、 C、把 modem 连至网络中的计算机 D、不能充分保护网络和服务器使其免遭病毒侵袭标准答案 :A 9)为确定异构环境下跨平台的数据访问方式， IS 审计师应该首先检查： A、业务软件 B、系统平台工具 C、应用服务 D、系统开发工具标准答案 :C 10)数据库规格化的主要好处是： A、在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复） B、满足更多查询的能力 C、由多张表实现，最大程度的数据库完整性 D、通过更快地信息处理，减小反应时间标准答案 :A 11)以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？ A、磁墨字符识别（ MICR） B、智能语

5、音识别（ IVR） C、条形码识别（ BCR） D、光学字符识别（ OCR）标准答案 :D 12)代码签名的目的是确保： A、软件没有被后续修改 B、应用程序可以与其他已签名的应用安全地对接使用 C、应用（程序）的签名人是受到信任的 D、签名人的私钥还没有被泄露标准答案 :A 13)检查用于互联网 Internet 通讯的网络时， IS 审计应该首先检查、确定： A、是否口令经常修改 B、客户 /服务器应用的框架 C、网络框架和设计 D、防火墙保护和代理服务器标准答案 :C 14)企业正在与厂商谈判服务水平协议（ SLA），首要的工作是： A、实施可行性研究 B、核实与公司政策的符合性

6、 C、起草其中的罚则 D、起草服务水平要求标准答案 :D 15)电子商务环境中降低通讯故障的最佳方式是： A、使用压缩软件来缩短通讯传输耗时 B、使用功能或消息确认（机制） C、利用包过滤防火墙，重新路由消息 D、租用异步传输模式（ ATM）线路标准答案 :D 16)以下哪一项措施可最有效地支持 24/7 可用性？ A、日常备份 B、异地存储 C、镜像 D、定期测试标准答案 :C 17)某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求？ A、建立一个与供应商相联的内部客户机用及服务器网络

7、以提升效率 B、将其外包给一家专业的自动化支付和账务收发处理公司 C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI 系统 D、重组现有流程并重新设计现有系统标准答案 :C 18)以下哪一项是图像处理的弱点？ A、验证签名 B、改善服务 C、相对较贵 D、减少处理导致的变形标准答案 :C 19)某 IS 审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯，而微机只支持异步 ASCII 字符数据通讯。为实现其连通目标，需为该 IS 审计人员的微机增加以下哪一类功能？ A、缓冲器容量和并行端口 B、网络控制器和缓冲器容量 C、并行端口和

8、协议转换 D、协议转换和缓冲器容量标准答案 :D 20)为了确定哪些用户有权进入享有特权的监控态， IS 审计人员应该检查以下哪一项？ A、系统访问日志文件 B、被激活的访问控制软件参数 C、访问控制违犯日志 D、系统配置文件中所使用的控制选项标准答案 :D 21)在审查一个大型数据中心期间， IS 审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的？ A、计算机操作员兼任备份磁带库管理员 B、计算机操作员兼任安全管理员 C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D、没有必要报告上述任何一种情形标准答案 :B 22

9、)以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况？ A、神经网络 B、数据库管理软件 C、管理信息系统 D、计算机辅助审计技术标准答案 :A 23)大学的 IT 部门和财务部（ FSO， financial services office）之间签有服务水平协议（ SLA），要求每个月系统可用性超过 98%。财务部后来分析系统的可用性，发现平均每个月的可用性确实超过 98%，但是月末结账期的系统可用性只有 93%。那么，财务部应该采取的最佳行动是： A、就协议内容和价格重新谈判 B、通知 IT 部门协议规定的标准没有达到 C、增购计算机设备等（资源） D、将月

10、底结账处理顺延标准答案 :A 24)在检查广域网（ WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线路通讯异常，流量峰值达到了这条线路容量的 96%。 IS 审计师应该决定后续的行动是： A、实施分析，以确定该事件是否为暂时的服务实效所引起 B、由于广域网（ WAN）的通讯流量尚未饱和， 96%的流量还在正常范围内，不必理会 C、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的 85% D、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执行，使WAN 的流量保持相对稳定标准答案 :A 25)以下哪一类设备可以延伸网络，具有存储数据帧的能力并

11、作为存储转发设备工作？ A、路由器 B、网桥 C、中继器 D、网关标准答案 :B 26)在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为 IS 审计人员提供最大的帮助？ A、系统故障时间日志 B、供应商的可靠性描述 C、预定的定期维护日志 D、书面的预防性维护计划表标准答案 :A 27)用于监听和记录网络信息的网络诊断工具是： A、在线监视器 B、故障时间报告 C、帮助平台报告 D、协议分析仪标准答案 :D 故障时间报告记录因电源故障、流量过载、操作错误或通讯侦听等原因引起的通讯中断。如果故障时间过多， IS 管理部门就应考虑：增加或替换远程通讯线路切换到一个更可

12、靠的传输链路 (如从共享线路到专用线路 ) 配置备份电源增强访问控制加强对线路利用情况的监控，以更好地预测用户的近期和长期需求。在线监视器一度量并判断通讯过程的准确性和完整性。监视能力包括回馈检验 (将消息送回发送站点用于检验 )、传输状态检验 (确保消息没有丢失或重复传输 )等。协议分析仪一种搭接在线路上的网络诊断工具，通过监视和记录数据包中的网络管理信息来分析网络活动。协议分析仪通常基于硬件实现，工作在数据链层或网络层，可实现以下功能：确定使用的协议获得数据包的类型信息监视网络节点流量分析分析硬件错误、噪音和软件问题显示若干统计信息 (如带宽利用率 ) 提供问题

13、信息并给出可能的解决方法 28)对以下哪一项的分析最有可能使 IS 审计人员确定有未被核准的程序曾企图访问敏感数据？ A、异常作业终止报告 B、操作员问题报告 C、系统日志 D、操作员工作日程安排标准答案 :C 29)有效的 IT 治理要求组织结构和程序确保 A、组织的战略和目标包括 IT 战略 B、业务战略来自于 IT 战略 C、 IT 治理是独立的 ,与整体治理相区别 D、 IT 战略扩大了组织的战略和目标标准答案 :D 30)质量保证小组通常负责： A、确保从系统处理收到的输出是完整的 B、监督计算机处理任务的执行 C、确保程序、程序的更改以及存档符合制定的标准 D、设计流程来保护

14、数据，以免被意外泄露、更改或破坏标准答案 :C 质量保证 (Quality Assm ance)人员执行两种不同的任务：质量保证 (QA， Qua 儿 ty ASSUrance)。帮助信息系统部门确保其人员遵守了规定的质量过程。比如， QA 可以帮助确保组织制定程序和文档符合标准和命名惯例。质量控制 (QC， Qua 1ity Contr01)。负责进行测试和审查，验证和确保软件不存在缺陷并满足用户的预期。它可以在应用系统开发的各个阶段进行，但是必须是在这些软件程序被正式应用到生产环境之前进行。质量保证组 (Quality Assurance Group)负责开发、推广和维护信息系统

15、各种功能的标准，他们也提供 QA 标准和程序的培训。质量保证组也可以通过定期检查各种应用系统的输入、处理和输出的准确性和真实性，来帮助用户部门提高工作绩效。为使质量保证组扮演一个有效的角色，该组必须独立。在有些组织中，质量保证组可以是质量控制组的一部分：在比较小的组织内，不可能有单独的质量保证组，这将导致有的人承担多个角色。然而，无论如何都不能让个人对自己完成的工作进行质量检查，比如：把质量保证作为是编程人员工作的一部分是不合适的。 31)组织内数据安全官的最为重要的职责是： A、推荐并监督数据安全政策 B、在组织内推广安全意识 C、制定 IT 安全政策下的安全程序 /流程 D、管理物

16、理和逻辑访问控制标准答案 :A 32)企业打算外包其信息安全职能 ,那么其中的哪一项职能不能外包 ,只能保留在企业内 ? A、公司安全策略的记账 B、制订公司安全策略 C、实施公司安全策略 D、制订安全堆积和指导标准答案 :A 33)在小型组织内，充分的职责分工有些不实际，有个员工兼职作计算机操作员和应用程序员， IS 审计师应推荐如下哪一种控制，以降低这种兼职的潜在风险？ A、自动记录开发（程序 /文档）库的变更 B、增员，避免兼职 C、建立适当的流程 /程序，以验证只能实施经过批准的变更，避免非授权的操作 D、建立阻止计算机操作员更改程序的访问控制标准答案 :C 34)一旦组织已经

17、完成其所有关键业务的业务流程再造（ BPR）， IS 审计人员最有可能集中检查： A、 BPR 实施前的处理流程图 B、 BPR 实施后的处理流程图 C、 BPR 项目计划 D、持续改进和监控计划标准答案 :B 35)某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理，而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是： A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据 D、在生产机构对销售定单的编号顺序进行追踪和计算标准答案 :A 36)以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中？

18、 A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限标准答案 :C 37)IS 战略规划应包含： A、制定的硬件采购规格说明 B、未来业务目标的分析 C、项目开发的（启动和结束）日期 D、 IS 部门的年度预算（目标）标准答案 :B 38)达到评价 IT 风险的目标最好是通过 A、评估与当前 IT 资产和 IT 项目相关的威胁 B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的 IT 控制薄弱点标准答案 :A 39)在确认是否符合组织的变更控制程序时，以下 IS 审计人员执行的测试中哪一项最有效？ A、

19、审查软件迁移记录并核实审批情况 B、确定已发生的变更并核实审批情况 C、审核变更控制文档并核实审批情况 D、保证只有适当的人员才能将变更迁移至生产环境标准答案 :B 40)以一哪项功能应当由应用所有者执行，从而确保 IS 和最终用户的充分的职责分工？ A、系统分析 B、数据访问控制授权 C、应用编程 D、数据管理标准答案 :B 41)在以下何种情况下应用系统审计踪迹的可靠性值得怀疑？ A、审计足迹记录了用户 ID B、安全管理员对审计文件拥有只读权限 C、日期时间戳记录了动作发生的时间 D、用户在纠正系统错误时能够修正审计踪迹记录标准答案 :D 42)对于数据库管理而言，最重要的控制是：

20、 A、批准数据库管理员（ DBA）的活动 B、职责分工 C、访问日志和相关活动的检查 D、检查数据库工具的使用标准答案 :B 43)IT 治理的目标是保证 IT 战略符合以下哪一项的目标？ A、企业 B、 IT C、审计 D、财务标准答案 :A 44)数据编辑属于： A、预防性控制 B、检测性控制 C、纠正性控制 D、补偿控制标准答案 :A 45)业务流程再造（ BPR）项目最有可能导致以下哪一项的发生？ A、更多的人使用技术 B、通过降低信息技术的复杂性而大量节省开支 C、较弱的组织结构和较少的责任 D、增加的信息保护（ IP）风险标准答案 :A 46)IS 审计师发现不是所有雇员

21、都了解企业的信息安全政策。 IS 审计师应当得出以下哪项结论： A、这种缺乏了解会导致不经意地泄露敏感信息 B、信息安全不是对所有只能都是关键的 C、 IS 审计应当为那些雇员提供培训 D、该审计发现应当促使管理层对员工进行继续教育标准答案 :A 47)数据管理员负责： A、维护数据库系统软件 B、定义数据元素、数据名及其关系 C、开发物理数据库结构 D、开发数据字典系统软件标准答案 :B 48)许多组织强制要求雇员休假一周或更长时间，以便： A、确保雇员维持生产质量，从而生产力更高 B、减少雇员从事不当或非法行为的机会 C、为其他雇员提供交叉培训 D、消除当某个雇员一次休假一天造成的潜

22、在的混乱标准答案 :B 分析：通过 required vacations 确保每年至少一次有日常履行某个工作之外的人来履行该职责，以减少进行不正当或违法行为的机会。只要不存在相互串通，那么可能会发现欺诈行为。 49)对流程 /程序的最佳描述是： A、依照组织大的规划和目标， IT 部门或都有短期计划，或者有长期计划 B、 IT 部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要求的优先顺序的程序 C、 IT 部门的长期规划应该认识到组织目标、技术优势和规章的要求 D、 IT 部门的短期规划不必集成到组织的短计划内，因为技术的发展对 IT 部门的规划的推动，快于对组

23、织计划的推动标准答案 :C 50)开发一个风险管理程序时进行的第一项活动是： A、威胁评估 B、数据分类 C、资产盘点 D、并行模拟标准答案 :C 51)在审核某业务流程再造（ BPR）项目时，以下审计人员要评价的项目中哪一项最重要？ A、被撤消控制的影响 B、新控制的成本 C、 BPR 项目计划 D、持续改进和监控计划标准答案 :A 52)数据库管理员负责： A、维护计算机内部数据的访问安全 B、实施数据库定义控制 C、向用户授予访问权限 D、定义系统的数据结构标准答案 :B 53)IS 审计师复核 IT 功能外包合同时，应当期望它定义： A、硬件设置 B、访问控制软件 C、知识产权

24、 D、应用开发方法论标准答案 :C 54)IS 审计师发现被审计的企业经常举办交叉培训，那么需要评估如下哪一种风险？ A、对某个技术骨干的过分依赖 B、岗位接任计划不适当 C、某个人知道全部系统的细节 D、运营中断标准答案 :C 55)应用系统开发的责任下放到各业务基层，最有可能导致的后果是 A、大大减少所需数据通讯 B、控制水平较低 C、控制水平较高 D、改善了职责分工标准答案 :B 56)可以降低社交工程攻击的潜在影响的是： A、遵从法规的要求 B、提高道德水准 C、安全意识计划（如：促进安全意识的教育） D、有效的绩效激励政策标准答案 :C 57)企业资源规划中的总帐设置功能允许

25、设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为： A、经常性地修改会计期间的需要 B、需要向关闭的会计期间过入分录 C、缺乏适当的职责分工政策和步骤 D、需要创建和修改科目表及其分配标准答案 :C 58)IT 治理确保组织的 IT 战略符合于： A、企业目标 B、 IT 目标 C、审计目标 D、控制目标标准答案 :A 59)以下哪一项最好地描述了企业生产重组（ ERP）软件的安装所需要的文档？ A、仅对特定的开发 B、仅对业务需求 C、安装的所有阶段必须进行书面记录 D、没有开发客户特定文档的需要标准答案 :C 60)实施下面的哪个流程

26、，可以帮助确保经电子数据交换（ EDI）的入站交易事务的完整性？ A、数据片断计数内建到交易事务集的尾部 B、记录收到的消息编号，定期与交易发送方验证 C、为记账和跟踪而设的电子审计轨迹 D、已收到的确认的交易事务与发送的 EDI 消息日志比较、匹配标准答案 :A 61)评估数据库应用的便捷性时， IS 审计师应该验证： A、能够使用结构化查询语言（ SQL） B、与其他系统之间存在信息的导入、导出程序 C、系统中采用了索引（ Index） D、所有实体（ entities）都有关键名、主键和外键标准答案 :A 62)以下哪一项有利于程序维护？ A、强内聚 /松藕合的程序 B、弱内聚 /松

27、藕合的程序 C、强内聚 /紧藕合的程序 D、弱内聚 /紧藕合的程序标准答案 :A 63)软件开发项目中纳入全面质量管理（ TQM， total quality managemnet）的主要好处是： A、齐全的文档 B、按时交付 C、成本控制 D、最终用户的满意标准答案 :D 64)随着应用系统开发的进行 ,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是： A、用户参与不足 B、项目此理早期撤职 C、不充分的质量保证（ QA）工具 D、没有遵从既定的已批准功能标准答案 :A 65)一个通用串行总线（ USB）端口： A、可连接网络而无需网卡 B、用以太网适配器连接网络 C、可代

28、替所有现存的连接 D、连接监视器标准答案 :B 66)集线器（ HUB）设备用来连接： A、两个采用不同协议的 LANs B、一个 LAN 和一个 WAN C、一个 LAN 和一个 MAN（城域网） D、一个 LAN 中的两个网段标准答案 :D 67)对于确保非现场的业务应用开发的成功，下面哪一个是最佳选择？ A、严格的合同管理实务 B、详尽、正确的应用需求规格说明 C、认识到文化和政治上差异 D、注重现场实施后的检查标准答案 :B 68)审计软件采购的需求阶段时， IS 审计师应该： A、评估项目时间表的可行性 B、评估厂商建议的质量程序 C、确保采购到最好的软件包 D、检查需求规格

29、的完整性标准答案 :D 69)为评估软件的可靠性， IS 审计师应该采取哪一种步骤？ A、检查不成功的登陆尝试次数 B、累计指定执行周期内的程序出错数目 C、测定不同请求的反应时间 D、约见用户，以评估其需求所满足的范围标准答案 :B 70)IS 审计人员在应用开发项目的系统设计阶段的首要任务是： A、商定明确详尽的控制程序 B、确保设计准确地反映了需求 C、确保初始设计中包含了所有必要的控制 D、劝告开发经理要遵守进度表标准答案 :C 71)企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周期（ SDLC）中设计和开发阶段，就被置换为： A、挑选和配置阶段 B

30、、可行性研究和需求定义阶段 C、实施和测试阶段 D、（无，不需要置换）标准答案 :A 72)在审核组织的系统开发方法学时， IS 审计人员通常首先执行以下哪一项审计程序？ A、确定程序的充分性 B、分析程序的效率 C、评价符合程序的程度 D、比较既定程序和实际观察到的程序标准答案 :D 73)用户对应用系统验收测试之后， IS 审计师实施检查，他（或她）应该关注的重点 A、确认测试目标是否成文 B、评估用户是否记载了预期的测试结果 C、检查测试问题日志是否完整 D、确认还有没有尚未解决的问题标准答案 :D 74)IS 审计师正在检查开发完成的项目，以确定新的应用是否满足业务目标的要求。

31、下面哪类报告能够提供最有价值的参考？ A、用户验收测试报告 B、性能测试报告 C、开发商与本企业互访记录（或社会交往报告） D、穿透测试报告标准答案 :A 75)TCP/IP 协议簇包含的面向连接的协议处于： A、传输层 B、应用层 C、物理层 D、网络层标准答案 :A 76)如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于： A、项目需求定义阶段 B、项目可行性研究阶段 C、项目详细设计阶段 D、项目编程阶段标准答案 :B 77)接收 EDI 交易并通过通讯接口站（ stage）传递通常要求： A、转换和拆开交易 B、选择验证程序 C、把数据传递给适当的应用系统 D、建立一

32、个记录接收审计日志的点标准答案 :B 78)假设网络中的一个设备发生故障，那么在下哪一种局域网结构更容易面临全面瘫痪？ A、星型 B、总线 C、环型 D、全连接标准答案 :A 79)通过评估应用开发项目，而不是评估能力成熟度模型（ CMM）， IS 审计师应该能够验证： A、可靠的产品是有保证的 B、程序员的效率得到了提高 C、安全需求得到了规划、设计 D、预期的软件程序（或流程）得到了遵循标准答案 :D 80)组织要捐赠一些本单位的旧计算机设备给希望小学，在运输这些捐赠品之前应该确保： A、计算机上不曾保存机密数据 B、受捐的希望小学签署保密协议 C、数据存储的介质是彻底空白的 D、

33、所有数据已经被删除标准答案 :C 81)在契约性协议包含源代码第三方保存契约 (escrow)的目的是： A、保证在供应商不存在时源代码仍然有效 B、允许定制软件以满足特定的业务需求 C、审核源代码以保证控制的充分性 D、保证供应商已遵从法律要求标准答案 :A 82)项目开发过程中用来检测软件错误的对等审查活动称为： A、仿真技术 B、结构化走查 C、模块化程序设计技术 D、自顶向下的程序构造标准答案 :B 83)对于测试新的、修改的或升级的系统而言，为测试其（处理）逻辑，创建测试数据时，最重要的是： A、为每项测试方案准备充足的数据 B、实际处理中期望的数据表现形式 C、按照计划完成测

34、试 D、对实际数据进行随机抽样标准答案 :B 84)在审计系统开发项目的需求阶段时， IS 审计人员应： A、评估审计足迹的充分性 B、标识并确定需求的关键程度 C、验证成本理由和期望收益 D、确保控制规格已经定义标准答案 :D 85)以下哪一项面向对象的技术特征可以提高数据的安全级别？ A、继承 B、动态仓库 C、封装 D、多态性标准答案 :C 86)软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？ A、理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有变化或变化很小 B、需求被充分地理解，项目又面临工期压力 C、项目要采用面向对象的设计和编程方法 D、项目

35、要引用新技术标准答案 :A 87)获得优质软件的最佳途径是： A、通过彻底的测试 B、发现并快速纠正编程错误 C、根据可用时间和预算决定测试的数量 D、在整个项目过程中应用定义良好的流程和结构化的审核标准答案 :D 88)信息系统不能满足用户需求的最常见的原因是： A、用户需求频繁变动 B、对用户需求增长的预测不准确 C、硬件系统限制了并发用户的数目 D、定义系统时用户参与不够标准答案 :D 89)用于 IT 开发项目的业务模式（或业务案例）文档应该被保留，直到： A、系统的生命周期结束 B、项目获得批准 C、用户验收了系统 D、系统被投入生产标准答案 :A 90)以下哪一项是采用原型

36、法作为系统开发方法学的主要缺点？ A、用户对项目进度的期望可能过于乐观 B、有效的变更控制和管理不可能实施 C、用户参与日常项目管理可能过于广泛 D、用户通常不具备足够的知识来帮助系统开发标准答案 :A 91)制定基于风险的审计战略时 ,IS 审计师应该实施风险评估 ,以确定 : A、已经存在减免风险的控制 B、找到了弱点和威胁 C、已经考虑到审计风险 D、实施差异分析是适当的标准答案 :B 92)使用统计抽样流程有助于最小化 : A、抽样风险 B、检测性风险 C、固有风险 D、控制风险标准答案 :B 93)以下哪种抽样方法对符合性测试最有用？ A、属性抽样 B、变量抽样 C、分层单位

37、平均估算法 D、差值估计法标准答案 :A 94)通用审计软件 (GAS)的主要用途是 : A、测试程序中内嵌的控制 B、测试对数据的非授权访问 C、为审计数据精选数据 D、降低对 (交易 )事务判断的需要标准答案 :C 95)测试程序的更改时 ,以下哪项是最适合作为总体来抽取样本 ? A、测试库清单 B、原程序清单 C、程序更改需求 D、生产用程序库清单标准答案 :D 96)在审查定义 IT 服务水平的过程控制时，信息系统审计师最有可能先与下列哪种人面谈： A、系统编程人员 B、法律顾问 C、业务单位经理人员 D、应用编程人员标准答案 :C 97)以下哪项应是 IS 审计师最为关注的

38、: A、没有报告网络被攻陷的事件 B、未能就企业闯入事件通知执法人员 C、缺少对操作权限的定期检查 D、没有就闯入事件告之公众标准答案 :A 98)使用集成测试系统 (ITF,或译为 :整体测试 )的最主要的缺点是需要 : A、将测试数据孤立于生产数据之外 B、通知用户 ,让他们调整输出 C、隔离特定的主文件记录 D、用单独的文件收集事务和主文件记录标准答案 :A 99)在建立连续在线监控系统时， IS 审计师首先应该识别： A、合理的目标下限 B、组织中高风险领域 C、输出文件的位置和格式 D、带来最大潜在回报的应用程序标准答案 :B 100)审计章程应该 : A、是动态的并且经常修

39、订以适应技术和审计职业的变化 B、消除表述经管理当局授权以复核并维护内控制度的审计目标 C、明文规定设计好的审计程序 ,以达成预定审计目标 D、概述审计职能的权力、范围和责任标准答案 :D 101)IS 审计师参与应用系统开发 ,他们从事以下哪项可以导致独立性的减弱 . A、对系统开发进行了复核 B、对控制和系统的其他改进提出了建议 C、对完成后的系统进行了独立评价 D、积极参与了系统的设计和完成标准答案 :D 102)IS 审计师应该能识别并评估各种风险及潜在影响。以下哪项风险与绕过授权程序（后门）有关？ A、固有风险 B、检测性风险 C、审计风险 D、错误风险标准答案 :A 103)

40、制订基于风险的审计程序时 ,IS 审计师最可能关注的是 : A、业务程序 /流程 B、关键的 IT 应用 C、运营控制 D、业务战略标准答案 :A 104)在不熟悉领域从事审计时， IS 审计师首先应该完成的任务是： A、为涉及到的每个系统或功能设计审计程序 B、开发一套符合性测试和实质性测试 C、收集与新审计项目相关的背景信息 D、安排人力与经济资源标准答案 :C 105)内部审计部门 ,从组织结构上向财务总监而不是审计委员会报告 ,最有可能 : A、导致对其审计独立性的质疑 B、报告较多业务细节和相关发现 C、加强了审计建议的执行 D、在建议中采取更对有效行动标准答案 :A 106

41、)审计章程的主要目的是： A、把组织需要的审计流程记录下来 B、正式记录审计部门的行动计划 C、为审计师制定职业行为规范 D、描述审计部门的权力与责任标准答案 :D 107)确保审计资源在组织中发挥最大价值的首要步骤应该是 : A、规划审计工作并监控每项审计的时间花费 B、培训信息系统审计师掌握公司中使用的最新技术 C、基于详细的风险评估制定审计计划 D、监控审计进展并实施成本控制标准答案 :C 108)如下哪一类风险是假设被检查的方面缺乏补偿控制 : A、控制风险 B、检查风险 C、固有风险 D、抽样风险标准答案 :C 109)风险分析的关键要素是 : A、审计计划 B、控制 C、脆弱

42、点 D、责任标准答案 :C 110)对于抽样而言 ,以下哪项是正确的 ? A、抽样一般运用于与不成文或无形的控制相关联的总体 B、如果内部控制健全 ,置信系统可以取的较低 C、通过尽早停止审计测试 ,属性抽样有助于减少对某个属性的过量抽样 D、变量抽样是估计给定控制或相关控制集合发生率的技术标准答案 :B 111)数据库管理系统软件包不可能提供下面哪一种访问控制功能 ? A、用户对字段数的访问 B、用户在网络层的登录 C、在程序级的身份验证 D、在交易级的身份验证标准答案 :B 112)计算机舞弊行为可以被以下哪一条措施所遏制？ A、准备起诉 B、排斥揭发腐败内幕的雇员 C、忽略了司法

43、系统的低效率 D、准备接收系统缺乏完整性所带来的风险标准答案 :A 113)IS 审计师检查企业的生产环境中的主机和客户 /服务器体系之后。发现的哪一种漏洞或威胁需要特别关注？ A、安全官兼职数据库管理员 B、客户 /服务器系统没有适当的管理口令 /密码控制 C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D、大多数局域网上的文件服务器没有执行定期地硬盘备份标准答案 :B 114)数字签名可以有效对付哪一类电子信息安全的风险？ A、非授权地阅读 B、盗窃 C、非授权地复制 D、篡改标准答案 :D 115)能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是： A、将每次

44、访问记入个人信息（即：作日志） B、对敏感的交易事务使用单独的密码 /口令 C、使用软件来约束授权用户的访问 D、限制只有营业时间内才允许系统访问标准答案 :C 116)E-MAIL 软件应用中验证数字签名可以： A、帮助检查垃圾邮件（ spam） B、实现保密性 C、加重网关服务器的负载 D、严重降低可用的网络带宽标准答案 :A 117)下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的 ? A、完整性控制的需求是基于风险分析的结果 B、控制已经过了测试 C、安全控制规范是基于风险分析的结果 D、控制是在可重复的基础上被测试的标准答案 :D 118)每感染一个文件就变体一

45、次的恶意代码称为： A、逻辑炸弹 B、隐秘型病毒 C、特洛伊木马 D、多态性病毒标准答案 :D 119)通常，黑客使用如下哪一种攻击手段时，会引起对互联网站点的分布式拒绝服务攻击（ DDos） ? A、逻辑炸弹 B、网络钓鱼 C、间谍软件 D、特洛伊木马标准答案 :D 120)为保证主记录中的关键字段已被正确更新，最好采用下列哪一种办法？ A、字段检查 B、求和校验与控制 C、合理性检查 D、审查事前和事后的维护报告标准答案 :D 121)下列哪一组高层系统服务可以提供对网络的访问控制 A、访问控制列表和访问特权 B、身份识别和验证 C、认证和鉴定 D、鉴定和保证标准答案 :B 12

46、2)企业里有个混合访问点不能升级其安全强度，而新的访问点具有高级无线安全特性。IS 审计师建议用新的访问点替换老的混合访问点，下面哪一个选项支持 IS 审计师的建议的理由最为充分？ A、新的访问点具有更高的安全强度 B、老的访问点性能太差 C、整个企业网络的安全强度，就是其最为薄弱之处的安全强度 D、新的访问点易于管理标准答案 :C 123)检查入侵监测系统 (IDS)时 ,IS 审计师最关注的内容是 : A、把正常通讯识别为危险事件的数量 (误报 ) B、系统没有识别出的攻击事件 C、由自动化工具生成的报告和日志 D、被系统阻断的正常通讯流标准答案 :B 124)银行的自动柜员机（ A

47、TM）是一种专门用于销售点的终端，它可以： A、只能用于支付现金和存款服务 B、一般放置在入口稠密的场所以威慑盗窃与破坏 C、利用保护的通讯线进行数据传输 D、必须包括高层的逻辑和物理安全标准答案 :D 125)下面哪一种日志文件有助于评估计算机安全事例的危害程度？ A、联络日志 B、活动日志 C、事件日志 D、审计日志标准答案 :C 126)下面哪一种说法的顺序正确？ A、脆弱性导致了威胁，然后威胁导致了风险 B、风险导致了威胁，然后威胁导致了脆弱性 C、脆弱性导致了风险，然后风险导致了威胁 D、威胁导致了脆弱性，然后脆弱性导致了风险标准答案 :A 127)下列哪一种行为是互联网上常

48、见的攻击形式？ A、查找软件设计错误 B、猜测基于个人信息的口令 C、突破门禁系统闯入安全场地 D、种值特洛伊木马标准答案 :D 128)内联网（ Intranet）可以建立在一个组织的内部网络上，也可以建互联网（ internet）上，上面哪一条针对内联网的控制在安全上是最弱的？ A、用加密的通道传输数据 B、安装加密路由器 C、安装加密防火墙 D、对私有 WWW 服务器实现口令控制标准答案 :D 129)在一个无线局域网环境下，能用来保证有效数据安全的技术是哪一种？ A、消息鉴定码和无线变频收发仪 B、在不同的通道传输数据和消息鉴定码 C、在不同的通道传输数据和加密 D、加密和无线变

49、频收发仪标准答案 :C 130)下面哪一种类型的反病毒软件是最有效的？ A、扫描 B、活动监测 C、完整性检查 D、种植疫苗标准答案 :C 131)消息在发送前，用发送者的私钥加密消息内容和它的哈希（ hash,或译作：杂选、摘要）值，能够保证： A、消息的真实性和完整性 B、消息的真实性和保密性 C、消息的完整性和保密性 D、保密性和防抵赖性标准答案 :A 132)对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为： A、反馈错误控制 B、块求和校验 C、转发错误控制 D、循环冗余校验标准答案 :C 133)实施安全政策时 ,落实责任控制是很重要的一方面 ,在控制系统用户的责任时下面哪一种情况有效性是最弱的 ? A、审计要求 B、口令 C、识别控制 D、验证控制标准答案 :B 134)最有效的防病毒控制是 : A、在邮件服务器上扫描 e-Mail 附件 B、使用无毒的、清洁的、正版的光盘恢复系统 C、卸掉软盘驱动器 D、附有每日更新病毒库功能的在线病毒扫描程序标准答案 :D 135)拒绝服务攻击损害了下列哪一种信息安全的特性 ? A、完整性

展开阅读全文