2022年CISA认证考试中文试卷新增一套交大慧谷.docx

CISA认证考试中文模拟试卷 (5－002班) 大学IT部门和财务部(FSO,financial services office)之间签有服务水平合同(SLA),规定每月系统可用性超过98%。财务部后來分析系统可用性,发现平均每月可用性的确超过98%,但是月末结账期系统可用性只有93%。那么,财务部应当采用最佳行动是: 选项: A、就合同内容和价格重新谈判 B、告知IT部门合同规定原则没有达到 C、增购计算机设备等(资源) D、将月底结账处理顺延 原则答案:A 无线局域网比有线局域网在哪方面具备更大风险? 选项: A、伪装和修改/替代 B、修改/替代和设备失窃 C、窃听和伪装 D、窃听和盗窃设备 原则答案:B 软件编程人员经常会生成一种直接进入程序入口,其目是进行调试和(或)日后插入新程序代码。这些入口点被称为: 选项: A、邏辑炸弹 B、蠕虫 C、陷门 D、特洛依木马 原则答案:C 下面哪一种安全技术是鉴别顾客身份最佳办法? 选项: A、智能卡 B、生物测量技术 C、挑战--响应令牌 D、顾客身份識别码和口令 原则答案:B 对公司内部网路实行渗入测试时,如下哪一种办法可以保证网路上测试人始终不被发现? 选项: A、使用既有档服务器或域控制器IP地址发起测试 B、每扫描几分钟暂停一会儿,以避免达到或超过网路负载极限 C、在没有人登陸夜间实行扫描 D、使各种扫描工具,多管齐下 原则答案:B 哪一种最能保证來自互聯网internet交易事务保密性? 选项: A、數字签名 B、數位加密原则(DES) C、虚拟专用网(VPN) D、公钥加密(Public Key encryption) 原则答案:D 虚拟专用网(VPN)资料保密性,是通过什么实现? 选项: A、安全接口层(SSL,Secure Sockets Layer) B、网路隧道技术(Tunnelling) C、數字签名 D、网路钓鱼 原则答案:B 下面哪一种反垃圾过濾技术可以最大程度地避免正常、长度不定、内容里存在多处垃圾邮件核心词电子邮件被識别为垃圾邮件? 选项: A、启发式过濾技术 B、基于签名检查 C、模版匹配 D、基于记录(学)贝葉斯判断(Bayesian) 原则答案:D 下面哪一种属于网路上被动袭击? 选项: A、消息篡改 B、伪装 C、回绝服务 D、流量分析 原则答案:D 网路上资料传播时,如何保证资料保密性? 选项: A、资料在传播前经加密处理 B、所有消息附加它哈希值 C、网路设备所在区域加强安全警戒 D、电缆作安全保护 原则答案:A 生物测试安全控制设备最佳量化性能测量指针是: 选项: A、错误回绝率 B、错误接受率 C、平均错误率 D、预计错误率 原则答案:C 下面哪一条办法不能防止资料泄漏? 选项: A、數据冗余 B、數据加密 C、访问控制 D、密码系统 原则答案:A 软件盗版是一种严重问题。在下面哪一种說法中反盗版政策和实际行为是矛盾? 选项: A、员工教育和培训 B、远距離工作(Telecommuting)与禁止员工携带工作软件回家 C、自动日记和审计软件 D、政策发布与政策强制执行 原则答案:B 如果一台便携式计算机丢失或被盗,管理人员最关注是机密信息与否会暴露。要保护存储在便携式计算机上敏感信息,下面哪一条办法是最有效和最经济? 选项: A、顾客填写状况简要简介 B、订立确认顾客简要简介 C、可移动资料存储介质 D、在存储介质上对资料档案加密 原则答案:C IS审计师检查日记文献中失败登陸尝试,那么,最关注账号是: 选项: A、网路管理员 B、系统管理员 C、资料管理员 D、资料库管理员 原则答案:B 长远來看,最有也许改进安全事件反映程序选项是: 选项: A、通盘检查事件反映程序和流程 B、事件反映小组事后检查、回顾 C、对顾客不断地安全培训 D、记錄对事件反映过程 原则答案:B 下面哪一种关于安全說法是不对? 选项: A、加密技术安全性不应不不大于使用该技术人安全性 B、任何电子邮件程序安全性不应不不大于实行加密计算机安全性 C、加密算法安全性与密钥安全性一致 D、每个电子邮件消息安全性是通过用原则非随机密钥加密來实现 原则答案:D 在公共密钥加密系统中,注册中心(RA,Registration Authority)负责: 选项: A、验证证书祈求有关信息 B、验证所必须属性,并生成密钥(指密钥对)之后发放证书 C、对消息进行數位签名,以实现防抵赖特性 D、登记签名消息,保护它避免抵赖 原则答案:A 下面哪一种方式,可以最有效约束雇员只能履行其分内工作? 选项: A、应用级访问控制 B、數据加密 C、卸掉雇员计算机上软盘和光盘驱动器 D、使用网路监控设备 原则答案:A 一家B2C电子商务网站信息安全程序规定可以监测和防止黑客活动,一时有可疑行为即警示系统管理员。下面哪个系统组件可以实现这个目的? 选项: A、入侵监测系统(IDS) B、防火墙 C、路由器 D、不对称加密 原则答案:A 跨国公司IS经理打算把既有虚拟专用网(VPN,virtual priavte network)升级,采用信道技术使其支持语音IP电话(VOIP,voice-over IP)服务,那么,需要首要关注是: 选项: A、服务可靠性和质量(Qos,quality of service) B、身份验证方式 C、语音传播保密 D、资料传播保密 原则答案:A 建立资料所有权关系任务应当是下列哪一种人责任? 选项: A、职能部门顾客 B、内部审计人员 C、资料处理人员 D、外部审计人员 原则答案:A 重新配备下列哪一种防火墙類型可以防止内部顾客通过文献传播合同(FTP)下载档? 选项: A、电路网关 B、应用网关 C、包过濾 D、屏蔽式路由器 原则答案:B 下面哪一种安全办法可以容许调查人员有足够反映时间? 选项: A、制止 B、检测 C、迟延 D、回绝 原则答案:C 从计算机安全角度看,下面哪一种状况是社交工程一种直接例子: 选项: A、计算机舞弊 B、欺骗或胁迫 C、计算机盗窃 D、计算机破坏 原则答案:B 在业务連续性筹划(BCP)中,下面哪个求救电话目錄是最重要? 选项: A、先聯系设备供货商和电力、通讯等资源 B、先聯系保险公司 C、先聯系人力中介公司 D、已排定优先级聯络表(紧急救援电话表) 原则答案:D 在提供备份计算机设备方面,下面哪一种状况是成本最低? 选项: A、互助合同 B、共享设备 C、服务机构 D、公司拥有镜像设备 原则答案:A 业务連续性筹划(BCP)哪个某些,是公司IS部门重要责任? 选项: A、制定业务連续性筹划 B、选定、批准业务連续性筹划有关战略 C、遇灾报警 D、灾后恢復IS系统和资料 原则答案:D 审计涵盖核心业务領域劫难恢復筹划时,IS审计师发现该筹划没有涉及所有系统。那么,IS审计师最为恰当处理方式是: 选项: A、推迟审计,直到把所有系统纳入DRP B、知会領导,并评估不包括所有系统所带來影响 C、中断审计 D、按照既有筹划所涵盖系统和范畴继续审计,直到所有完毕 原则答案:B 一种组织资料中心成本是10000000美元,实际遭受损失机率是万分之一。资料中心登记在册价值是5000000美元。在零利润现价交易条件下,这个组织需要付给保险公司最小保险费是多少? 选项: A、1000美元 B、10000美元 C、5000美元 D、500美元 原则答案:A 局域网环境下与大型计算机环境下本地备份方式有什么重要区别? 选项: A、重要构造 B、容错能力 C、网路拓扑 D、局域网协定 原则答案:B 依照组织业务連续性筹划复杂程度,可以建立各种筹划來满足业务連续和劫难恢復各方面。在这种环境下,有必要: 选项: A、每个筹划都与其她筹划相协调 B、所有筹划都整合到一种筹划中 C、每个筹划都独立于其她筹划 D、指定所有筹划实行顺序 原则答案:A 在劫难发生期间,下列哪一种应用系统应当一方面被恢復? 选项: A、总账系统 B、供应链系统 C、固定资产系统 D、客户需求处理系统 原则答案:D 关于冷站计算机设备构成,下面哪一种說法不对的? 选项: A、加热系统,湿度控制和空调设备 B、CPU和其她计算机设备 C、电源連接 D、通讯連接 原则答案:B 由于资料档案损坏,存储在異地备份设备上信息经常要恢復到本地站点(主计算机)上去,能迅速简易地从备份站点传送所需备份信息到本地主计算机设备上去机制称为: 选项: A、特殊急件信差 B、常规急件信差 C、电子保险库 D、特殊信使 原则答案:C 一家大型银行实行IT审计过程中,IS审计师发现许多业务应用没有执行正规风险评估,也没有拟定其重要性和恢復时间上规定。那么,这些暴露银行风险是: 选项: A、业务連续性筹划(BCP)也许没有与银行各应用被破坏风险相相应 B、业务連续筹划(BCP)也许没有包括所有有关应用,因而,在范畴上不完整 C、領导或许没有对的认識劫难对业务影响 D、业务連续性筹划(BCP)或许缺少有效业务所有者关系 原则答案:A 微型计算机上软件和资料与否要保存到異地备份站点重要取决于: 选项: A、访问简便性 B、风险评估 C、完备标签 D、完备文档 原则答案:B 公司当前磁带备份,每周一次全备份、每日一次增量备份策略。近来,公司領导把磁带备份流程中增长了向磁盘备份环节。这种做法之因此恰当,是由于: 选项: A、它支持非现场存储迅速合成备份 B、向磁盘备份速度远快于向磁带备份 C、随着技术进步,不再需要磁带库 D、资料保存在磁盘上,其可靠性高于磁带存储 原则答案:A 审计BCP时,IS审计师发现尽管所有部门都位于同一栋大樓里,各部门还是制定了本部门BCP。IS审计师建议将各BCP协调统一起來,那么,一方面要统一是: 选项: A、疏散和撤離筹划 B、恢復优先级 C、备份存储(Backup storages) D、电话表(Call tree) 原则答案:A 制定业务連续性筹划时,下面哪一類工具可以用于理解各公司业务流程? 选项: A、业务連续性自我审计 B、资源恢復分析 C、风险评估 D、差異分析 原则答案:C 制定业务連续性筹划第一步,也是必不可少一步是: 选项: A、依照风险将应用系统分類 B、羅列出所有资产清单 C、完整地记錄所有劫难 D、软件和硬件可用性 原则答案:A 下面哪一条是信息系统审计师重要考虑问题? 选项: A、备份站点与否有一种“诱捕陷阱＂ B、备份站点与否有安全保卫人员 C、备份站点与主站点间与否有一段合理距離 D、备份站点与否是一种服务机构 原则答案:C IS审计师发现公司业务連续性筹划中选定备用处理设施处理能力只能达到既有系统一半。那么,她/她该怎么做? 选项: A、无需做什么。由于只有处理能力低于正常25%,才会严重影响公司生存和备份能力 48 B、找出可以在备用设施使用应用,其她业务处理采用手工操作,制定手工流程以备不测 C、找出所有重要应用,保证备用设施可以运行这些应用 D、建议有关部门增长备用设施投入,使其可以处理75%正常业务 原则答案:C 在制定劫难恢復与应急筹划时,下面哪一种状况不是对的考虑? 选项: A、相应急筹划测试与维护应当是一种持续过程 B、在異地恢復站点恢復系统处理能力时要用到所有资源与材料应当是可获得 C、所有相对不重要工作没有必要恢復 D、在各种站点环境下,应当为每一种计算机中心制定一份单独恢復筹划 原则答案:C 能涵盖损失最佳保险单類型是: 选项: A、基本保险单 B、扩展保险单 C、特殊涵盖所有风险保险单 D、与风险類型相称保险 原则答案:D 下面哪一种状况可以称为“劫难恢復筹划＂最后手段? 选项: A、与恢復中心一份合同 B、恢復中心一份能力演示 C、对恢復中心走访 D、一份保险单 原则答案:D 如下哪一种状况下,网路资料管理合同(NDMP)可用于备份? 选项: A、需要使用网路附加存储设备(NAS)时 B、不能使用TCP/IP环境中 C、需要备份旧备份系统不能处理档允许时 D、要保证跨各种资料卷备份連续、一致时 原则答案:A 当一种组织在选取異地备份供货商时,对信息系统审计师來說,下列哪一种状况是至少考虑? 选项: A、供货商保密存储介质责任 B、供货商保险范畴及对员工担保 C、规定同一种人始终保管存储介质 D、祈求和接受货品程序和紧急状况下处理方式 原则答案:C IS审计师发现被审计公司,各部门均制定了充分业务連续性筹划(BCP),但是没有整个公司BCP。那么,IS审计师应当采用最佳行动是: 选项: A、各业务部门均有恰当BCP就够了,无需其她 B、建议增长、制定全公司、综合BCP C、拟定各部门BCP与否一致,没有冲突 D、建议合并所有BCP为一种单独全公司BCP 原则答案:C 应急筹划能应对下列哪一种威胁? 选项: A、物理威胁和软件威胁 B、软件威胁和环境威胁 C、物理威胁和环境威胁 D、软件威胁和硬件威胁 原则答案:C 一声火灾蔓延到一种组织机房场地,这个组织损失了所有计算机系统。从前,这个组织最应当做是: 选项: A、为冷站备份方式作战筹划 B、为互助合同作筹划--与其她相似组织协商互为备份 C、为热站备份方式作筹划--使一切设备与资料准备就绪 D、为異地存储设备作每日备份 原则答案:D 当获得高层管理人员对劫难恢復筹划支持和制定筹划所需资源授权后,选取起草筹划人应当具备如下哪一种能力: 选项: A、具备与信息系统有关操作系统、资料库和通讯技术知識 B、具备硬件和软件供货商征询背景 C、具备在相似行业中客户征询经验 D、具备组织全局观点和认識所有劫难后果能力 原则答案:D 在检查广域网(WAN)使用状况时,发现連接主服务器和备用资料库服务器之间线路通讯異常,流量峰值达到了这条线路容量96%。IS审计师应当决定后续行动是: 选项: A、实行分析,以拟定该事件与否为暂时服务实效所引起 B、由于广域网(WAN)通讯流量尚未饱和,96%流量还在正常范畴内,不必理会 C、这条线路应当立即更换以提高其通讯容量,使通讯峰值不超过总容量85% D、告知有关员工降低其通讯流量,或把网路流量大任务安排到下班后或清晨执行,使WAN流量保持相对稳定 原则答案:A 处理计算机犯罪事件需要运用管理团队办法,下面哪一种角色职责是明确? 选项: A、经理 B、审计人员 C、调查人员 D、安全负责人 原则答案:A 在审查定义IT服务水平过程控制时,信息系统审计师最有也许先与下列哪种人面谈: 选项: A、系统编程人员 B、法律顾问 C、业务单位经理人员 D、应用编程人员 原则答案:C 一旦业务功能发生变化,已列印表格和其她备用资源都也许要变化。下面哪一种状况构成了对组织重要风险? 选项: A、在異地存储备用资源详细目錄没有及时更新 B、在备份计算机和恢復设备上存储备用资源详细目錄没有及时更新 C、没有对紧急状况下供货商或备选供货商进行评估,不懂得供货商与否还在正常营业 D、过期材料没有从有用资源中剔除 原则答案:C 对于一种独立小型商业计算环境而言,下列哪一种安全控制办法是最有效? 选项: A、对计算机使用监督 B、对故障日记每日检查 C、计算机存储介质存话加锁柜中 D、应用系统设计独立性检查 原则答案:A 如下哪一项属于所有指令均能被执行操作系统模式? 选项: A、问题 B、中断 C、监控 D、原则处理 原则答案:B 公司将其技术支持职能(help desk)外包出去,下面哪一项指标纳入外包服务级别合同(SLA)是最恰当? 选项: A、要支持顾客數 B、初次祈求技术支持,即解决(事件)比例 C、祈求技术支持总人次 D、电话响应次數 原则答案:B IS审计师检查组织资料档案控制流程时,发现交易事务使用是最新档,而重启动流程使用是初期版本,那么,IS审计师应当建议: 选项: A、检查源程序文档保存状况 B、检查资料档案安全狀况 C、实行版本使用控制 D、进行一对一核查 原则答案:C 将输出成果及控制总计和输入资料及控制总计进行匹配可以验证输出成果,如下哪一项能起上述作用? 选项: A、批量头格式 B、批量平衡 C、资料转换差错纠正 D、对列印池访问控制 原则答案:B 审计客户/服务器资料库安全时,IS审计师应当最关注于哪一方面可用性? 选项: A、系统工具 B、应用程序生成器 C、系统安全文文献 D、访问存储流程 原则答案:A 测试程序变更管理流程时,IS审计师使用最有效办法是: 选项: A、由系统生成信息跟踪到变更管理文档 B、检查变更管理文档中涉及证据精准性和对的性 C、由变更管理文档跟踪到生成审计轨迹系统 D、检查变更管理文档中涉及证据完整性 原则答案:A 分布式环境中,服务器失效带來影响最小是: 选项: A、冗余路由 B、集群 C、备用电话线 D、备用电源 原则答案:B 实行防火墙最容易发生错误是: 选项: A、访问列表配备不精确 B、社会工程学会危及口令安全 C、把modem連至网路中计算机 D、不能充分保护网路和服务器使其免遭病毒侵袭 原则答案:A 为拟定異构环境下跨平台资料访问方式,IS审计师应当一方面检查: 选项: A、业务软件 B、系统平台工具 C、应用服务 D、系统开发工具 原则答案:C 资料库规格化重要好处是: 选项: A、在满足顾客需求前提下,最大程度地减小表内信息冗余(即:重复) B、满足更多查询能力 C、由多张表实现,最大程度资料库完整性 D、通过更快地信息处理,减小反映时间 原则答案:A 如下哪一种图像处理技术可以讀入预定义格式书写体并将其转换为电子格式? 选项: A、磁墨字符識别(MICR) B、智能语音識别(IVR) C、条形码識别(BCR) D、光学字符識别(OCR) 原则答案:D 代码签名录是保证: 选项: A、软件没有被后续修改 B、应用程序可以与其她已签名应用安全地对接使用 C、应用(程序)签名人是受到信任 D、签名人私钥还没有被泄露 原则答案:A 检查用于互聯网Internet通讯网路时,IS审计应当一方面检查、拟定: 选项: A、与否口令经常修改 B、客户/服务器应用框架 C、网路框架和设计 D、防火墙保护和代理服务器 原则答案:C 公司正在与厂商谈判服务水平合同(SLA),首要工作是: 选项: A、实行可行性研究 B、核算与公司政策符合性 C、起草其中罚则 D、起草服务水平规定 原则答案:D 电子商务环境中降低通讯故障最佳方式是: 选项: A、使用压缩软件來缩短通讯传播耗时 B、使用功能或消息确认(机制) C、利用包过濾防火墙,重新路由消息 D、租用异步传播模式(ATM)线路 原则答案:D 如下哪一项办法可最有效地支持24/7可用性? 选项: A、寻常备份 B、異地存储 C、镜像 D、定期测试 原则答案:C 某制造類公司欲建自动化发票支付系统,规定该系统在復核和授权控制上耗费相称少时间,同步能識别出需要进一步追究错误,如下哪一项办法能最佳地满足上述需求? 选项: A、建立一种与供货商相聯内部客户机用及服务器网路以提高效率 B、将其外包给一家专业自动化支付和账务收发处理公司 C、与重要供货商建立采用原则格式、计算机对计算机电子业务文文献和交易处理用EDI系统 D、重组既有流程并重新设计既有系统 原则答案:C 如下哪一项是图像处理弱点? 选项: A、验证签名 B、改进服务 C、相对较贵 D、减少处理导致变形 原则答案:C 某IS审计人员需要将其微机与某大型机系统相連,该大型机系统采用同步块资料传播通讯,而微机只支持异步ASCII字符资料通讯。为实现其連通目的,需为该IS审计人员微机增长如下哪一類功能? 选项: A、缓冲器容量和平行埠 B、网路控制器和缓冲器容量 C、平行埠和合同转换 D、合同转换和缓冲器容量 原则答案:D 为了拟定哪些顾客有权进入享有特权监控态,IS审计人员应当检查如下哪一项? 选项: A、系统访问日记文献 B、被启动访问控制软件參數 C、访问控制违犯日记 D、系统配备文献中所使用控制选项 原则答案:D 在审查一种大型资料中心期间,IS审计人员注意到其计算机操作员同步兼任备份磁带管理员和安全管理员。如下哪一种情形应在审计报告中视为最为危险? 选项: A、计算机操作员兼任备份磁带库管理员 B、计算机操作员兼任安全管理员 C、计算机操作员同步兼任备份磁带库管理管理员和安全管理员 D、没有必要报告上述任何一种情形 原则答案:B 如下哪一种系统性技术可被财务处理公司用來监控开支构成模型并鉴别和报告異常状况? 选项: A、神经网路 B、资料库管理软件 C、管理信息系统 D、计算机辅助审计技术 原则答案:A 如下哪一類设备可以延伸网路,具备存储资料帧能力并作为存储转发设备工作? 选项: A、路由器 B、网桥 C、中继器 D、网关 原则答案:B 在评预计算机防止性维护程序有效性和充分性时,如下哪一项能为IS审计人员提供最大协助? 选项: A、系统故障时间日记 B、供货商可靠性描述 C、预定定期维护日记 D、书面防止性维护筹划表 原则答案:A 用于监听和记錄网路信息网路诊断工具是: 选项: A、在线监视器 B、故障时间报告 C、协助平台报告 D、合同分析仪 原则答案:D 对如下哪一项分析最有也许使IS审计人员拟定有未被核准程序曾企图访问敏感资料? 选项: A、異常作业终结报告 B、操作员问题报告 C、系统日记 D、操作员工作日程安排 原则答案:C 有效IT治理规定组织构造和程序保证 选项: A、组织战略和目的涉及IT战略 B、业务战略來自于IT战略 C、IT治理是独立,与整体治理相区别 D、IT战略扩大了组织战略和目的 原则答案:D 质量保证小组普通负责: 选项: A、保证从系统处理收到输出是完整 B、监督计算机处理任务执行 C、保证程序、程序更改以及存盘符合制定原则 D、设计流程來保护资料,以免被意外泄露、更改或破坏 原则答案:C 组织内资料安全官最为重要职责是: 选项: A、推荐并监督资料安全政策 B、在组织内推广安全意識 C、制定IT安全政策下安全程序/流程 D、管理物理和邏辑访问控制 原则答案:A 公司打算外包其信息安全职能,那么其中哪一项职能不能外包,只能保留在公司内? 选项: A、公司安全策略记账 B、制定公司安全策略 C、实行公司安全策略 D、制定安全堆积和指引 原则答案:A 在小型组织内,充分职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种兼职潜在风险? 选项: A、自动记錄开发(程序/文文献)库变更 B、增员,避免兼职 C、建立恰当流程/程序,以验证只能实行通过批准变更,避免非授权操作 D、建立制止计算机操作员更改程序访问控制 原则答案:C 一旦组织已经完毕其所有核心业务业务流程再造(BPR),IS审计人员最有也许集中检查: 选项: A、BPR实行前处理流程图 B、BPR实行后处理流程图 C、BPR项目筹划 D、持续改进和监控筹划 原则答案:B 某零售公司每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构定单都被接受和处理最恰当控制是: 选项: A、发送并对账交易數及总计 B、将资料送回本地进行比较 C、利用奇偶检查來比较资料 D、在生产机构对销售定单编号顺序进行追踪和计算 原则答案:A 如下哪一项资料库管理员行为不太也许被记錄在检测性控制日记中? 选项: A、删除一种记錄 B、变化一种口令 C、泄露一种口令 D、变化访问权限 原则答案:C IS战略规划应包括: 选项: A、制定硬件采购规格說明 B、未來业务目的分析 C、项目开发(启动和结束)日期 D、IS部门年度预算(目的) 原则答案:B 达到评价IT风险目的最佳是通过 选项: A、评估与当前IT资产和IT项目有关威胁 B、使用过去公司损失实际经验來拟定当前风险 C、流览公开报导可比较组织损失记录资料 D、流览审计报告中涉及IT控制薄弱点 原则答案:A 在确认与否符合组织变更控制程序时,如下IS审计人员执行测试中哪一项最有效? 选项: A、审查软件迁移记錄并核算审批状况 B、拟定已发生变更并核算审批状况 C、审核变更控制文档并核算审批状况 D、保证只有恰当人员才干将变更迁移至生产环境 原则答案:B 以一哪项功能应当由应用所有者执行,从而保证IS和最后顾客充分职责分工? 选项: A、系统分析 B、资料访问控制授权 C、应用编程 D、资料管理 原则答案:B 在如下何种状况下应用系统审计踪迹可靠性值得怀疑? 选项: A、审计足迹记錄了顾客ID B、安全管理员对审计文献拥有唯讀权限 C、日期时间戳錄了动作发生时间 D、顾客在纠正系统错误时可以修正审计踪迹记錄 原则答案:D 对于资料库管理而言,最重要控制是: 选项: A、批准资料库管理员(DBA)活动 B、职责分工 C、访问日记和有关活动检查 D、检查资料库工具使用 原则答案:B IT治理目的是保证IT战略符合如下哪一项目的? 选项: A、公司 B、IT C、审计 D、财务 原则答案:A 资料编辑属于: 选项: A、防止性控制 B、检测性控制 C、纠正性控制 D、补偿控制 原则答案:A 业务流程再造(BPR)项目最有也许导致如下哪一项发生? 选项: A、更多人使用技术 B、通过降低信息技术复杂性而大量节省开支 C、较弱组织构造和较少责任 D、增长信息保护(IP)风险 原则答案:A IS审计师发现不是所有雇员都理解公司信息安全政策。IS审计师应当得出如下哪项结論: 选项: A、这种缺少理解会导致不经意地泄露敏感信息 B、信息安全不是对所有只能都是核心 C、IS审计应当为那些雇员提供培训 D、该审计发现应当促使管理层对员工进行继续教育 原则答案:A 资料管理员负责: 选项: A、维护资料库系统软件 B、定义资料元素、资料名及其关系 C、开发物理资料库构造 D、开发资料字典系统软件 原则答案:B 许多组织强制规定雇员休假一周或更长时间,以便: 选项: A、保证雇员维持生产质量,从而生产力更高 B、减少雇员从事不当或非法行为机会 C、为其她雇员提供交叉培训 D、消除当某个雇员一次休假一天导致潜在混亂 原则答案:B 对IT部门战略规划流程/程序最佳描述是: 选项: A、依照组织大规划和目的,IT部门或均有短期筹划,或者有长期筹划 B、IT部门战略筹划必要是基于时间和基于项目,但是不会详细到可以拟定满足业务规定优先级程序 C、IT部门长期规划应当认識到组织目的、技术优势和规章规定 D、IT部门短期规划不必集成到组织短筹划内,由于技术发展对IT部门规划推动,快于对组织筹划推动 原则答案:C 开发一种风险管理程序时进行第一项活动是: 选项: A、威胁评估 B、资料分類 C、资产盘点 D、并行模拟 原则答案:C 在审核某业务流程再造(BPR)项目时,如下审计人员要评价项目中哪一项最重要? 选项: A、被撤销控制影响 B、新控制成本 C、BPR项目筹划 D、持续改进和监控筹划 原则答案:A 资料库管理员负责: 选项: A、维护计算机内部资料访问安全 B、实行资料库定义控制 C、向顾客授予访问权限 D、定义系统资料构造 原则答案:B IS审计师復核IT功能外包合同步,应当盼望它定义: 选项: A、硬件设立 B、访问控制软件 C、知識产权 D、应用开发办法論 原则答案:C IS审计师发现被审计公司经常举办交叉培训,那么需要评估如下哪一种风险? 选项: A、对某个技术骨干过度依赖 B、岗位接任筹划不恰当 C、某个人懂得所有系统细节 D、运营中断 原则答案:C 应用系统开发责任下放到各业务基层,最有也许导致后果是 选项: A、大大减少所需资料通讯 B、控制水平较低 C、控制水平较高 D、改进了职责分工 原则答案:B 可以降低社交工程袭击潜在影响是: 选项: A、遵从法规规定 B、提高道德水平 C、安全意識筹划(如:增进安全意識教育) D、有效绩效激勵政策 原则答案:C 公司资源规划中总账设立功能容许设定会计期间。对此功能访问被授予财务、仓库和订单錄入部门顾客。这种广泛访问最有也许是由于: 选项: A、经常性地修改会计期间需要 B、需要向关闭会计期间过入分錄 C、缺少恰当职责分工政策和环节 D、需要创立和修改科目表及其分派 原则答案:C IT治理保证组织IT战略符合于: 选项: A、公司目的 B、IT目的 C、审计目的 D、控制目的 原则答案:A 如下哪一项最佳地描述了公司生产重组(ERP)软件安装所需要文檔? 选项: A、仅对特定开发 B、仅对业务需求 C、安装所有阶段必要进行书面记錄 D、没有开发客户特定文档需要 原则答案:C 实行下面哪个流程,可以协助保证经电子资料互换(EDI)入站交易事务完整性? 选项: A、资料片断计數内建到交易事务集尾部 B、记錄收到消息编号,定期与交易发送方验证 C、为记账和跟踪而设电子审计轨迹 D、已收到确认交易事务与发送EDI消息日记比较、匹配 原则答案:A 评估资料库应用便捷性时,IS审计师应当验证: 选项: A、可以使用构造化查询语言(SQL) B、与其她系统之间存在信息导入、导出程序 C、系统中采用了索引(Index) D、所有实体(entities)均有核心名、主键和外键 原则答案:A 如下哪一项有利于程序维护? 选项: A、强内聚/松藕合程序 B、弱内聚/松藕合程序 C、强内聚/紧藕合程序 D、弱内聚/紧藕合程序 原则答案:A 软件开发项目中纳入全面质量管理(TQM,total quality managemnet)重要好处是: 选项: A、齐全文档 B、准时交付 C、成本控制 D、最后顾客满意 原则答案:D 随着应用系统开发进行,很明显有數个设计目的已无法实现最有也许导致这一成果因素是: 选项: A、顾客參与不足 B、项目此理初期罢免 C、不充分质量保证(QA)工具 D、没有遵从既定已批准功能 原则答案:A 一种通用串列汇流排(USB)埠: 选项: A、可連接网路而无需网卡 B、用以太网适配器連接网路 C、可代替所有现存連接 D、連接监视器 原则答案:B 集线器(HUB)设备用來連接: 选项: A、兩个采用不同合同LANs B、一种LAN和一种WAN C、一种LAN和一种MAN(城域网) D、一种LAN中兩个网段 原则答案:D 对于保证非现场业务应用开发成功,下面哪一种是最佳选取? 选项: A、严格合同管理实务 B、详尽、对的应用需求规格說明 C、认識到文化和政治上差異 D、注重现场实行后检查 原则答案:B 审计软件采购需求阶段时,IS审计师应当: 选项: A、评估项目时间表可行性 B、评估厂商建议质量程序 C、保证采购到最佳软件包 D、检查需求规格完整性 原则答案:D 为评估软件可靠性,IS审计师应当采用哪一种环节? 选项: A、检查不成功登陸尝试次數 B、累计指定执行周期内程序出错數目 C、测定不同祈求反映时间 D、约見顾客,以评估其需求所满足范畴 原则答案:B IS审计人员在应用开发项目系统设计时间首要任务是: 选项: A、商定明确详尽控制程序 B、保证设计精确地反映了需求 C、保证初始设计中包括了所有必要控制 D、劝告开发经理要遵守进度表 原则答案:C 公司最后决定直接采购商业化软件包,而不是开发。那么,老式软件开发生产周期(SDLC)中设计和开发阶段,就被置换为: 选项: A、挑选和配备阶段 B、可行性研究和需求定义阶段