CISA考試練習(xí)(習(xí)題卷9)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.私鑰系統(tǒng)的安全級別取決于以下哪項的數(shù)量：A)密鑰的位數(shù)。B)已發(fā)送的消息。C)密鑰。D)已使用的通道。答案:A解析:私鑰系統(tǒng)的安全級別取決于密鑰位數(shù)。位數(shù)越大，了解或確定算法就越難。消息的安全性將取決于已使用的加密密鑰位。除密鑰本身外，算法及其復(fù)雜性使內(nèi)容更加安全。通道（可打開或進(jìn)行保護(hù)）是發(fā)送消息的模式。[單選題]2.對IT服務(wù)臺實踐的審查中，信息系統(tǒng)審計師發(fā)現(xiàn)客戶服務(wù)部門人員花在為用戶重設(shè)密碼上的時間比花在解決關(guān)鍵事故上的時間長，對IT管理部門提出以下哪一項建議最能解決該問題？A)計算事故申請的持續(xù)時間，如超出服務(wù)水平協(xié)議（SLA）則向高級IT人員發(fā)送提醒。B)向最終用戶提供年度密碼管理培訓(xùn)以減少重設(shè)密碼申請的數(shù)量。C)實施自助服務(wù)解決方案，對于頻繁請求服務(wù)分流用戶使用自助平臺。D)如能在約定的服務(wù)水平內(nèi)關(guān)閉事故，則給予服務(wù)臺人員獎勵。答案:C解析:[單選題]3.一個信息系統(tǒng)審計師小組參與將自動審計工具包整合到現(xiàn)有的企業(yè)EPR系統(tǒng)的工作。由于性能方面的考慮，審計工具包無法上線。審計師應(yīng)該給出的最佳建議是什么？A)檢查所選整合控制的實施B)請求額外的IS審計資源C)請求廠商的支持以解決性能問題D)在用戶驗收測試（UAT）期間評估壓力測試結(jié)果答案:D解析:評估在UAT期間的壓力測試的結(jié)果是最好的建議。審核所選整合控制的實施可以驗證技術(shù)設(shè)計和控制目標(biāo)，但對整合在整個交易表之上的控制會消耗大量的資源。應(yīng)該仔細(xì)研究去確定它們是強(qiáng)制性的還是僅僅可以被整個ERP應(yīng)用中的特定交易執(zhí)行和整合。檢查所選整合控制和它們的實施情況可能需要額外的資源。請求廠商的支持以解決性能問題是一個好的選項，但不是最好的建議。點評：審計工具包會導(dǎo)致性能問題，需進(jìn)行壓力測試驗證[單選題]4.災(zāi)難恢復(fù)計劃的結(jié)構(gòu)化穿行測試包括：A)來自于每個職能領(lǐng)域的代表走到一起，來重溫計劃。B)所有參與日常操作的雇員走到一起來練習(xí)執(zhí)行計劃。C)遷移系統(tǒng)到替代的處理場所，完成處理操作。D)分發(fā)計劃的副本到各職能領(lǐng)域進(jìn)行審查。答案:A解析:災(zāi)難恢復(fù)計劃的結(jié)構(gòu)化穿行測試包括來自于每個職能領(lǐng)域的代表走到一起來審查計劃以確定關(guān)于各自領(lǐng)域的計劃是否是準(zhǔn)確和完整的，在需要時可以被執(zhí)行。選擇B、是模擬測試來準(zhǔn)備和培訓(xùn)那些必須應(yīng)對災(zāi)害和事故的人員。選擇C、是一種形式的平行測試，以確保關(guān)鍵系統(tǒng)在替代場所表現(xiàn)良好。選擇D、是檢查清單測試。[單選題]5.信息系統(tǒng)未能滿足用戶需求的最常見原因是A)用戶需求不斷變化。B)未能準(zhǔn)確預(yù)測用戶需求的增長。C)硬件系統(tǒng)限制并發(fā)用戶數(shù)D)用戶參與定義系統(tǒng)要求的程度不夠。答案:D解析:A.雖然用戶需求不斷變化對許多項目的成敗有影響，但核心問題般是在項目開始時未能確定正確的初始要求。B.項目可能因用戶需求增加而失敗;但這可通過更好的變更控制流程得到緩解C.只要項目開始時正確記錄了需求，硬件限制幾乎不會影響項目的可用性。D.缺少足夠的用戶參與(尤其在系統(tǒng)需求階段)，通常會導(dǎo)致系統(tǒng)無法完全或充分滿足用戶的需求。只有用戶才能定義其需求，進(jìn)而才可定義系統(tǒng)應(yīng)當(dāng)實現(xiàn)的功能。[單選題]6.以下哪項最能有效地控制USB、存儲設(shè)備的使用?A)發(fā)現(xiàn)設(shè)備時直接忽視命令的政策B)追蹤和管理USB、存儲設(shè)備的軟件C)行政上不允許使用USB、接口D)在入口處搜索使用USB、存儲設(shè)備的職員答案:A解析:為集中跟蹤和監(jiān)視的目的，允許每一個需要使用USB、的用戶使用,但是系統(tǒng)將實施監(jiān)控，并把異常情況報告給管理者。政策需要避免增加職員摩擦和不恰當(dāng)?shù)臉I(yè)務(wù)需求。禁用端口是復(fù)雜的管理，未考慮到新業(yè)務(wù)需要。在入口處搜索使用USB、存儲設(shè)備是不切實際的，因為設(shè)備很小并且容易隱藏。[單選題]7.一個組織具有的大量分支機(jī)構(gòu)且分布地理區(qū)域較廣。以確保各方面的災(zāi)難恢復(fù)計劃的評估，具有成本效益的方式，一個是信息系統(tǒng)審計師應(yīng)建議使用：A)，數(shù)據(jù)恢復(fù)測試。B)，充分的業(yè)務(wù)測試。C)前后測試。D)預(yù)案測試。答案:A解析:1預(yù)案測試應(yīng)該由每一個當(dāng)?shù)剞k事處/地區(qū)以足夠預(yù)案測試在發(fā)生災(zāi)害時的本地業(yè)務(wù)。這種測試應(yīng)該不斷地在該計劃的不同方面執(zhí)行，是一個能獲得該計劃足夠的證據(jù)的具有成本效益的方式。數(shù)據(jù)恢復(fù)測試是一個局部的試驗，并不會確保各方面的評價。充分的業(yè)務(wù)測試是不是最符合成本效益的測試，在因應(yīng)地理上分散的分支機(jī)構(gòu)，前后測試是一個階段的測試執(zhí)行的過程。[單選題]8.在審查企業(yè)的IT管理標(biāo)準(zhǔn)和指南時，下面哪一項應(yīng)包括在信息系統(tǒng)開發(fā)方法中?A)增值活動分析B)訪問控制規(guī)則C)事故管理技術(shù)D)風(fēng)險管理技術(shù)答案:D解析:[單選題]9.在正常工作時間之后需要對數(shù)據(jù)庫進(jìn)行緊急變更的數(shù)據(jù)庫管理員(DBA)應(yīng):A)用其指定帳戶登錄進(jìn)行變更。B)用共享DBA帳戶登錄進(jìn)行變更。C)登錄到服務(wù)器管理帳戶進(jìn)行變更D)使用用戶的帳戶登錄進(jìn)行變更。答案:A解析:A.在使用數(shù)據(jù)庫管理員(DBA)帳戶前用指定的用戶帳戶登錄會提供進(jìn)行變更的人的責(zé)信息。B.DBA帳戶通常是一個共享的用戶帳戶。由于帳戶共享，系統(tǒng)很難建立執(zhí)行數(shù)據(jù)庫更新的支持戶的身份。C.服務(wù)器管理帳戶也是共享的，可能由多位支持用戶使用。此外，服務(wù)器特權(quán)帳戶可能無法方據(jù)庫更改。D.使用普通用戶帳戶沒有對數(shù)據(jù)庫進(jìn)行變更的充分權(quán)限[單選題]10.下面哪個選項對成功實施IT治理是最重要的因素A)實施IT評分卡B)確認(rèn)組織策略C)進(jìn)行風(fēng)險評估D)創(chuàng)建正式的安全政策答案:A解析:一項IT治理規(guī)劃的關(guān)鍵目標(biāo)是支持業(yè)務(wù)，因此確定組織策略是必要的，它可以保證IT和公司治理之間的一致性。沒有組織策略的確認(rèn)，剩下的選項－即使是執(zhí)行了－也將是無效的。[單選題]11.下列哪一項最符合IS審計師與受審方就審計發(fā)現(xiàn)進(jìn)行討論的目的?A)向受審方傳達(dá)審計結(jié)果。B)為所提出的建議制定實施時間線。C)確認(rèn)審計發(fā)現(xiàn)并建議糾正措施的實施計劃。D)為已確定的風(fēng)險確定補(bǔ)償控制措施。答案:C解析:A.確認(rèn)審計結(jié)果后，IS審計師將根據(jù)討論結(jié)果形成最終報告，并將報告遞交給相應(yīng)級別的高層管理人員。但是，這個討論應(yīng)制定審計發(fā)現(xiàn)糾正措施的時間表。B.本次討論將首先向管理層通報審計結(jié)果，根據(jù)討論結(jié)果，管理層可能同意根據(jù)建議制定實施計劃并確定時限。C.在將審計結(jié)果傳達(dá)給高層管理人員之前，IS審計師應(yīng)該與受審方討論審計發(fā)現(xiàn)。進(jìn)行這類討論的目標(biāo)是為了確定審計發(fā)現(xiàn)的準(zhǔn)確性，并建議或推薦糾正措施的實施計劃。D.在報告草案階段，IS審計師可推薦各種控制措施以緩解風(fēng)險，但是會議的目的是與管理層證實審計發(fā)現(xiàn)。[單選題]12.在審計期間，審計師注意到一個中型的IT部門并沒有獨立風(fēng)險管理功能，該組織的業(yè)務(wù)風(fēng)險文檔只包含了一些大致IT風(fēng)險描述。在這種情況下什么建議是適當(dāng)?shù)模緼)創(chuàng)建IT風(fēng)險管理部門，建立IT風(fēng)險與外部風(fēng)險管理專家的援助框架B)使用通用的行業(yè)標(biāo)準(zhǔn)分為幾個單獨的風(fēng)險，會更容易處理存在的風(fēng)險C)沒有建立的必要，因為目前的做法是一個中等規(guī)模的組織所適合的D)建立經(jīng)常性的IT風(fēng)險管理會議，以確定和評估風(fēng)險，并創(chuàng)建一個可能覆蓋通用的行業(yè)標(biāo)準(zhǔn)的該組織的風(fēng)險答案:D解析:建立經(jīng)常性的IT風(fēng)險管理會議，以確定和評估風(fēng)險，并創(chuàng)建一個可能覆蓋通用的行業(yè)標(biāo)準(zhǔn)的該組織的風(fēng)險，但他們不能處理一個組織的具體情況。如果沒有一個組織內(nèi)部的詳細(xì)評估，個別風(fēng)險會不會被發(fā)現(xiàn)。分制成幾個風(fēng)險狀況是不夠的。[單選題]13.分布式環(huán)境中，服務(wù)器失效帶來的影響最小的是：A)冗余路由B)集群C)備用電話線D)備用電源答案:B解析:[單選題]14.下列哪項是信息系統(tǒng)審計師需要考慮的和短期規(guī)劃最相關(guān)的？A)分配資源B)保持目前技術(shù)的先進(jìn)性C)開展控制自我評估D)硬件需求評估答案:A解析:信息系統(tǒng)部門應(yīng)詳細(xì)的考慮到在短期內(nèi)在哪里分配那些資源的方式。投資在IT中需要與最高管理層的戰(zhàn)略相一致，而不是由于技術(shù)原因以技術(shù)為中心。開展控制自我評估和評估硬件需求并不如在短期內(nèi)為信息系統(tǒng)部門分配資源來得關(guān)鍵。[單選題]15.在以下與用于離線打印敏感報告的假脫機(jī)相關(guān)聯(lián)的漏洞中，IS審計師應(yīng)認(rèn)為哪項最為嚴(yán)重？A)操作員可閱讀敏感數(shù)據(jù)。B)未經(jīng)授權(quán)便可修改數(shù)據(jù)。C)可以打印未經(jīng)授權(quán)的報告副本。D)發(fā)生系統(tǒng)故障時輸出會丟失。答案:C解析:除非受到控制，否則利用用于離線打印的假脫機(jī)可以打印其他副本。操作員不太可能在線閱讀打印文件。在未授權(quán)的情況下，要修改假脫機(jī)文件中的數(shù)據(jù)并不比任何其他文件更容易。發(fā)生系統(tǒng)故障時，通常未經(jīng)授權(quán)訪問敏感報告的威脅要小。[單選題]16.在一個中斷和災(zāi)難事件中，以下哪一項提供了持續(xù)運營的技術(shù)手段？A)負(fù)載平衡B)硬件冗余C)分布式備份D)高可用性處理答案:A解析:硬件冗余是目前支持持續(xù)、不間斷服務(wù)的唯一的技術(shù)手段。負(fù)載平衡被用于以工作量為基礎(chǔ)的服務(wù)器間分流工作量以提高服務(wù)器的性能。高可用性（HA、）計算設(shè)備提供一個快速的但不是持續(xù)的恢復(fù)操作，而分布式備份需要很長的恢復(fù)時間。[單選題]17.評估IT外包策略時，策略中包括以下哪一項時IS審計師最為關(guān)注A)法律合規(guī)性責(zé)任的轉(zhuǎn)移B)推動簽訂長期而非短期合同C)僅以子公司作為外包對象D)沒有成立跨職能合同管理團(tuán)隊答案:A解析:遵守所有適用法律法規(guī)的最終責(zé)任應(yīng)由進(jìn)行外包或通過合同獲得服務(wù)的公司，而非外部提供商承擔(dān)。因此，轉(zhuǎn)移此類責(zé)任既不可行，也與公司利益不符。盡管以上選項都成問題，但是在通過策略轉(zhuǎn)移組織的法律合規(guī)性責(zé)任時，IS審計師最為擔(dān)憂。[單選題]18.企業(yè)的業(yè)務(wù)連續(xù)性計劃的啟動應(yīng)基于以下哪方面的預(yù)定標(biāo)準(zhǔn):A)中斷的持續(xù)時間。B)中斷的類型。C)中斷的概率。D)中斷的原因。答案:A解析:A.業(yè)務(wù)連續(xù)性計劃(活動)的啟動應(yīng)主要基于在組織目標(biāo)的實現(xiàn)受到業(yè)務(wù)功能中斷的威脅之前可容許中斷的最長時間。B.對于啟動計劃來說，中斷類型不如中斷持續(xù)時間重要。C.中斷的概率與事故發(fā)生的頻率有關(guān)，與啟動計劃的需要無關(guān)。計劃設(shè)計為在事件發(fā)生一定時長后啟動D.中斷的原因會影響需要啟動的響應(yīng)計劃，但不影響啟動計劃的決定。任何時候只要事件達(dá)到預(yù)定時長，計劃就會被啟動[單選題]19.某IS審計師在審查電子數(shù)據(jù)交換(EDD交易紀(jì)錄期間發(fā)現(xiàn)未授權(quán)的交易，該審計師很可能建議改進(jìn):A)EDI貿(mào)易伙伴協(xié)議。B)終端機(jī)的物理控制。C)發(fā)送和接收消息的身份認(rèn)證技術(shù)D)程序變更控制流程。答案:C解析:A.電子數(shù)據(jù)交換(ED)貿(mào)易伙伴協(xié)議會將法律問題的風(fēng)險降到最低，但不會解決未授權(quán)交易的問題B.物理控制很重要，也能防止未經(jīng)授權(quán)的人訪問系統(tǒng)，但不會防止獲授權(quán)人員的未獲授權(quán)交易C.要最大程度地少未授權(quán)交易的風(fēng)險，發(fā)送和接收消息的身份認(rèn)證技術(shù)具有重要的作用。D.變更控制流程不能解決未授權(quán)交易的問題。[單選題]20.組織要捐贈一些本單位的舊計算機(jī)設(shè)備給希望小學(xué)，在運輸這些捐贈品之前應(yīng)該確保：A)計算機(jī)上不曾保存機(jī)密資料B)受捐的希望小學(xué)簽署保密協(xié)議C)資料存儲的介質(zhì)是徹底空白的D)所有資料已經(jīng)被刪除答案:C解析:[單選題]21.對于內(nèi)部組建還是外部購買IT系統(tǒng)要做出明智的決定,以下哪一項可提供最有用的信息?A)業(yè)務(wù)戰(zhàn)略B)業(yè)務(wù)案例C)可行性分析D)需求請求書RFP.答案:C解析:[單選題]22.IS審計師在評審業(yè)務(wù)連續(xù)性計劃時，下面哪一項是最值得關(guān)注的？A)災(zāi)難級別是基于受損功能的范圍上，而非基于災(zāi)難產(chǎn)生的時間影響持續(xù)上B)低等級災(zāi)難時間和軟件故障的區(qū)別不清C)全部的業(yè)務(wù)連續(xù)性計劃都被記錄下來，但是沒有詳細(xì)的步驟D)沒有明確宣告災(zāi)難的職責(zé)答案:D解析:如果沒有宣告災(zāi)難的來臨，響應(yīng)和原計劃將不會調(diào)用，所有其他的關(guān)注都被減弱。雖然疏于考慮災(zāi)難的持續(xù)性是一個問題，但是他不如沒有考慮到災(zāi)難范圍那樣重要。事故和低等級災(zāi)難的差異總是不清晰。這個差異總是圍繞在恢復(fù)事故所需的時間上。詳細(xì)的復(fù)原步驟確實應(yīng)該被記錄下來，但實際上只要調(diào)用了業(yè)務(wù)持續(xù)性計劃，沒有記錄這些并不意味著不能完成該計劃。[單選題]23.當(dāng)確定審計日志的數(shù)據(jù)保留期時，下列哪一項是最基本的因素？A)控制風(fēng)險B)法規(guī)要求C)普遍接受的審計標(biāo)準(zhǔn)D)計算機(jī)取證原則答案:B解析:[單選題]24.一位信息系統(tǒng)審計師為某家開發(fā)商業(yè)用途軟件的公司工作,在對最近向客戶交付的一個系統(tǒng)執(zhí)行實施后審查時,以下哪-項時是最重要的考慮事項?A)最終用戶提供了正面的反饋B)項目的交付達(dá)到了合同要求C)系統(tǒng)按項目工程師所設(shè)計的方式運作D)項目在未來幾年內(nèi)會適用于該客戶答案:A解析:[單選題]25.與其他銅基線材相比，使用非屏蔽雙絞線(UTP)的一個優(yōu)點是UTP線:A)減少線纜之間的串?dāng)_。B)提供竊聽保護(hù)。C)可用于長距離網(wǎng)絡(luò)。D)容易安裝。答案:A解析:A.使用銅質(zhì)非屏蔽雙絞線(UTP)可減少串?dāng)_的可能性。B.盡管介質(zhì)的雙絞線特質(zhì)會減少電磁干擾靈敏度，但非屏蔽銅質(zhì)電纜對線路竊聽沒有適當(dāng)?shù)姆雷o(hù)措施。C.如果銅質(zhì)雙絞線使用距離超過100米，則會開始出現(xiàn)衰減，這時需要使用中繼器。D.安裝UTP的工具和技術(shù)并不比其他銅質(zhì)電纜簡單或容易。[單選題]26.在軟件開發(fā)的測試階段結(jié)束時，審計員觀察一個中間軟件錯誤沒有被改正。沒有任何解決這個錯誤的行為。審計員該：A)作為一個發(fā)現(xiàn)報告錯誤及讓被審計對象的仲裁委員會進(jìn)一步研討這個錯誤B)嘗試解決錯誤C)建議提升問題解決層次D)忽視錯誤，因為不能獲得軟件錯誤的客觀證據(jù)答案:A解析:當(dāng)IS審計員觀察這樣的一個情況時，最好充分的通知仲裁委員會并且建議努力進(jìn)一步解決這個問題。作為一個發(fā)現(xiàn)問題進(jìn)行記錄并且把它留給仲裁委員會是不適當(dāng)?shù)?。忽視這個錯誤將預(yù)示審計員沒有進(jìn)一步的探查這個問題至它得到合理的解決。[單選題]27.IS審計師應(yīng)該確保網(wǎng)上電子資金交易（EFT）的審核，對賬程序應(yīng)包括：A)核單B)授權(quán)C)更正D)追蹤答案:D解析:追蹤包括從原始交易源跟蹤到最終目的地的交易，在EFT交易中，追蹤方向可能從顧客打印的收據(jù)單、復(fù)印件、檢查系統(tǒng)審計痕跡和日志，最后檢查每日交易的主文件記錄。核單通常通過人工或批量處理系統(tǒng)來完成。在這種情形下，資金通過電子手段轉(zhuǎn)移而不人工處理。在線處理過程中，授權(quán)通常有系統(tǒng)自動處理。更正記錄通常由個人而不是被委托對賬的人來做。點評：見上面解釋[單選題]28.軟件編程人員經(jīng)常會生成一個直接進(jìn)入程序的入口，其目的是進(jìn)行調(diào)試和（或）日后插入新的程序代碼。這些入口點被稱為：A)邏輯炸彈B)蠕蟲C)陷門D)特洛依木馬答案:C解析:[單選題]29.信息系統(tǒng)審計師得出結(jié)論，某公司已有高質(zhì)量的安全政策,以下哪一項是下一步應(yīng)確定的最重要的事項，政策必須:A)頻繁地更新B)由流程所有開發(fā)C)基于行業(yè)標(biāo)準(zhǔn)D)所有員工都充分理解答案:D解析:[單選題]30.一個組織正在使用兩個數(shù)據(jù)中心，下列哪一項能最好地滿足組織對高彈性的需求?A)數(shù)據(jù)中心之間進(jìn)行數(shù)據(jù)復(fù)制B)每個數(shù)據(jù)中心都可以通過磁帶備份進(jìn)行恢復(fù)C)對第二個站點使用熱戰(zhàn)D)數(shù)據(jù)中心相互用作鏡像站點答案:D解析:[單選題]31.以下哪-項可以最有效地阻止從筆記本電腦中竊取公司信息?A)安裝生物特征訪問控制B)使用密碼保護(hù)重要文件C)加密文件分配表(FAT)D)加密硬盤上的所有數(shù)據(jù)答案:C解析:[單選題]32.基于傳輸控制協(xié)議互聯(lián)網(wǎng)協(xié)議(TCP/IP)的環(huán)境暴露于互聯(lián)網(wǎng)。以下哪項最能確保在傳輸信息時存在完整的加密和身份認(rèn)證協(xié)議來保護(hù)信息?A)在具有IP安全的隧道模式下，使用身份認(rèn)證頭(AH)和封裝安全負(fù)載(ESP)嵌套的服務(wù)來完成工作B)采用RSA的數(shù)字簽名已實施。C)使用采用RSA的數(shù)字證書。D)在TCP服務(wù)中完成工作答案:A解析:A.具有IP協(xié)議安全的隧道模式可為整個P數(shù)據(jù)包提供加密和身份認(rèn)證。要實現(xiàn)這一目的，可以嵌套身份驗證頭(AH)和封裝安全負(fù)載(ESP)服務(wù)。這被稱為IP安全協(xié)議(IPSec)B.采用RSA的數(shù)字簽名可提供身份認(rèn)證和完整性，但不能提供機(jī)密性。C.采用RSA的數(shù)字證書可提供身份認(rèn)證和完整性，但不能提供加密D.傳輸控制協(xié)議(TCP)服務(wù)不提供加密和身份認(rèn)證[單選題]33.證書頒發(fā)機(jī)構(gòu)(CA)作為第三方的作用是:A)基于認(rèn)證提供安全的通信和網(wǎng)絡(luò)服務(wù)。B)管理由該CA頒發(fā)并具有相應(yīng)公鑰和私鑰的證書庫。C)擔(dān)當(dāng)兩個通信伙伴之間的受信任中介。D)確認(rèn)擁有該CA所頒發(fā)證書的實體身份。答案:D解析:A.提供通信基礎(chǔ)架枃不是證書頒發(fā)機(jī)構(gòu)(CA)的活動B.用于認(rèn)證的密鑰不會在CA存檔。C.CA有助于通信伙伴之間的相互身份認(rèn)證，但CA本身不會參與通信活動。D.CA的主要活動是頒發(fā)證書。CA的主要作用是檢查擁有證書的實體身份和確認(rèn)所頒發(fā)證書的完整性。[單選題]34.從控制的角度看，在職務(wù)說明中最關(guān)鍵的因素是？A)提供如何做這份工作的指導(dǎo)B)最新的記錄并隨時提供給雇員C)表明管理層在工作表現(xiàn)上的期望D)員工的行為承擔(dān)的責(zé)任和義務(wù)答案:D解析:從控制是角度，工作的描述應(yīng)建立責(zé)任制和問責(zé)制。這將有助于確保用戶根據(jù)定義的職責(zé)崗位進(jìn)入所給的系統(tǒng)。其他的選項是沒有直接關(guān)系的控制。對于如何做好這項工作提供指導(dǎo)并并且定義管理和程序方面的職責(zé)。當(dāng)前的工作描述是很重要的，記錄并隨時提供給雇員的，但這本身不是一個控制。對于工作績效的溝通管理具體期望概述了性能標(biāo)準(zhǔn)，也不會包括控制。點評：崗位責(zé)任說明明確了責(zé)任和義務(wù)[單選題]35.確認(rèn)系統(tǒng)稅務(wù)計算準(zhǔn)確性的最佳方法是A)審并分析計算稅務(wù)程序的源代碼。B)使用通用審計軟件重新創(chuàng)建程序邏輯以計算每月總和C)準(zhǔn)備模擬交易，以處理結(jié)果并與預(yù)期結(jié)果進(jìn)行比較。D)對計算程序的源代碼繪制自動流程圖并進(jìn)行分析。答案:C解析:A.源代碼審查不是確保正確計算的有效方法。B.重新創(chuàng)建程序邏輯可能導(dǎo)致錯誤，而每月總和的精確程度不足以確認(rèn)正確計算。C.準(zhǔn)備模擬交易，以處理結(jié)果井與預(yù)期結(jié)果進(jìn)行比較，這是確認(rèn)稅務(wù)計算準(zhǔn)確性的最佳方法。D.對源代碼繪制流程圖和分析并不是解決個人稅務(wù)計算的準(zhǔn)確性問題的有效方法。[單選題]36.評估商業(yè)連續(xù)計劃效果最好的方法是：A)使用適當(dāng)?shù)臉?biāo)準(zhǔn)進(jìn)行規(guī)劃和比較B)之前的測試結(jié)果C)緊急預(yù)案和員工培訓(xùn)D)環(huán)境控制和存儲站點答案:A解析:之前的測試結(jié)果將提供業(yè)務(wù)持續(xù)性計劃的有效證明。與標(biāo)準(zhǔn)做比較，對該計劃涉及的關(guān)鍵方面的業(yè)務(wù)連續(xù)性計劃將給予一些保證，但對其有效性不會有任何揭示。評審緊急預(yù)案，存儲站點和環(huán)境控制將提供深入了解計劃的某些方面，但可能不能提供該計劃的整體成效的保證。[單選題]37.組織在使用兩個業(yè)務(wù)部門之間簽訂的災(zāi)難恢復(fù)互惠協(xié)議時，所面臨的最大風(fēng)險是什么?A)文檔包含法律缺陷。B)雙方容易受到相同事故的影響。C)IT系統(tǒng)不相同。D)一方比另一方出現(xiàn)運營中斷的頻率高。答案:B解析:A.雙方之間的協(xié)議存在不足確實是一項風(fēng)險，但通常不及雙方同時遭受相同災(zāi)難嚴(yán)重。B.使用互惠災(zāi)難恢復(fù)基于雙方可能不會同時遭受相同災(zāi)難。C.IT系統(tǒng)不兼容可能會帶來一些問題，但風(fēng)險程度通常不及雙方同時遭受相同災(zāi)難嚴(yán)重。D.雖然一方可使用另一方的資源，但這可以通過合同條款來解決，并不是一個主要風(fēng)險。[單選題]38.一個每天處理百萬交易的金融機(jī)構(gòu),會有一個中央通信處理器,用于連接自動柜員機(jī),下面哪些是為通信處理的最好的應(yīng)變計劃、A)與另一個組織簽訂互助協(xié)議、B)在同一地點設(shè)立候補(bǔ)處理器C)候補(bǔ)處理器在另一個網(wǎng)絡(luò)節(jié)點D)安裝全雙工的通訊聯(lián)系答案:A解析:無效的中央通訊處理器會破壞所有進(jìn)入銀行網(wǎng)絡(luò)的通道。這可能造成設(shè)備，電源或通信失敗?；セ輩f(xié)議，使一個組織依賴于其他組織，不利于隱私權(quán)，競爭及規(guī)管事宜。一個候補(bǔ)處理器在同一地點只解決設(shè)備問題，如果是環(huán)境原因引起的失?。ㄈ?，電力中斷）就不起效果、。僅當(dāng)失敗限于通信鏈路時建立雙方通信鏈路才適當(dāng)、[單選題]39.下述最佳實踐，在新信息系統(tǒng)正式開發(fā)計劃在哪個期間：A)開發(fā)階段B)設(shè)計階段C)測試階段D)部署階段答案:B解析:實施計劃應(yīng)該在實際實施數(shù)據(jù)之前。一個正式的實施計劃應(yīng)該在設(shè)計階段被構(gòu)建，在開發(fā)階段被改進(jìn)。點評：正式開發(fā)計劃是在設(shè)計階段完成的[單選題]40.一家零售商店引進(jìn)了射頻識別（RFID）標(biāo)簽技術(shù)，以便為所有產(chǎn)品創(chuàng)建唯一的序列號。以下哪一項是與此項舉措相關(guān)的主要關(guān)注點？A)隱私問題B)波長可被人體吸收C)RFID標(biāo)簽可能無法移除D)RFID無需進(jìn)行瞄準(zhǔn)線讀取答案:A解析:物品的購買者不一定會意識到標(biāo)簽的存在。如果用信用卡支付帶有標(biāo)簽的物品，該物品的唯一ID便可能與購買者的身份信息綁定在一起。違反隱私權(quán)的行為是最重要的關(guān)注點，因為RFID可帶有唯一的標(biāo)示符編號。如果某公司愿意，便能夠跟蹤購買了包含RFID的商品的個人。選項B和C重要性較低。而選項D則完全不屬于關(guān)注點。[單選題]41.某IS審計師正在為公司審查安全事故管理程序。以下哪一項是最重要的考慮因素?A)電子證據(jù)監(jiān)管鏈B)系統(tǒng)違規(guī)通知程序C)向外部機(jī)構(gòu)的升級程序D)丟失數(shù)據(jù)恢復(fù)程序答案:A解析:A.關(guān)于安全事故管理，證據(jù)的保留是最重要的考慮因素。如果數(shù)據(jù)和證據(jù)收集不適當(dāng)，則可能丟失寶貴的信息，并且如果公司決定提起訴訟，法庭將不予采信。B.系統(tǒng)違規(guī)通知是個重要方面，并且在許多情況下，甚至需按法律和法規(guī)要求提供:但安全事故不一定是一種違規(guī)，并且通知程序可能不適用C.向當(dāng)?shù)鼐交蛱幚砭W(wǎng)絡(luò)犯罪的專門機(jī)構(gòu)等外部機(jī)構(gòu)的升級程序很重要。但如果沒有適當(dāng)?shù)谋O(jiān)管鏈程序，則可能丟失重要的證據(jù)，并且如果公司決定提起訴訟，法庭將不予采信。D.盡管具有恢復(fù)丟失數(shù)據(jù)的程序很重要，但關(guān)鍵是要確保證據(jù)得到保護(hù)，以確保跟進(jìn)和調(diào)查。[單選題]42.在審查定義IT服務(wù)水平的過程控制時，信息系統(tǒng)審計師最有可能先與下列哪種人面談：A)系統(tǒng)編程人員B)法律顧問C)業(yè)務(wù)單位經(jīng)理人員D)應(yīng)用編程人員答案:C解析:[單選題]43.如果某組織將公鑰基礎(chǔ)設(shè)施與數(shù)字認(rèn)證配合用于其互聯(lián)網(wǎng)上的企業(yè)對消費者交易，IS審計師在對其執(zhí)行審計時會認(rèn)為以下哪項是一個弱點？A)客戶在地理位置上分散廣泛，但認(rèn)證頒發(fā)機(jī)構(gòu)不是這樣B)客戶可通過任何計算機(jī)或移動設(shè)備進(jìn)行交易C)認(rèn)證頒發(fā)機(jī)構(gòu)具有多個數(shù)據(jù)處理分中心來管理認(rèn)證D)該組織是認(rèn)證頒發(fā)機(jī)構(gòu)的所有者答案:D解析:如果認(rèn)證頒發(fā)機(jī)構(gòu)屬于同一組織，這會產(chǎn)生利益沖突。即，如果客戶想要拒絕交易，他們可能會聲稱生成認(rèn)證的各方之間存在的協(xié)議非法，因為存在共同利益。如果客戶想要拒絕交易，他們可能會聲稱聲稱認(rèn)證的各方之間存在賄賂行為，因為存在共同利益。其他選項都不是弱點。[單選題]44.查組織批準(zhǔn)的軟件產(chǎn)品列表時，以下哪一個是所要驗證的最重要事項?A)對與產(chǎn)品使用相關(guān)的風(fēng)險進(jìn)行定期評估。B)為每個產(chǎn)品列出最新的軟件版本。C)由于許可問題，列表不包含開源軟件。D)提供營業(yè)時間之后的支持。答案:A解析:A.由于供應(yīng)商周圍的業(yè)務(wù)條件可能會發(fā)生變化，因此組織對供應(yīng)商軟件列表進(jìn)行定期的風(fēng)險評估十分重要。最好將其納入信息技術(shù)風(fēng)險管理流程。B.組織可能沒有使用產(chǎn)品的最新版本。C.視業(yè)務(wù)需求和相關(guān)風(fēng)險的情況，列表可能包含開源軟件。D.支持可由內(nèi)部或外部提供，技術(shù)支持的安排應(yīng)視軟件的重要性而定。[單選題]45.從測試環(huán)境移植一個應(yīng)用程序到生產(chǎn)環(huán)境，最佳的控制是：A)應(yīng)用程序員復(fù)制源程序，編譯對象模塊到產(chǎn)品庫B)應(yīng)用程序員復(fù)制源程序到生產(chǎn)庫，由生產(chǎn)控制組編制程序C)生產(chǎn)控制組在測試環(huán)境用源程序編譯對象模塊到生產(chǎn)庫D)生產(chǎn)控制組復(fù)制源程序到生產(chǎn)庫，然后編譯該程序答案:A解析:最好的控制是由生產(chǎn)控制組復(fù)制源程序到生產(chǎn)庫，然后編譯程序。[單選題]46.以下哪個選項對應(yīng)用程序系統(tǒng)的順利實施影響最大A)原型設(shè)計應(yīng)用程序開發(fā)方法B)遵守適用的外部要求C)組織整體環(huán)境D)軟件再工程技術(shù)答案:C解析:應(yīng)用程序的系統(tǒng)開發(fā)管理流程是整個IT流程管理的一部分。組織整體環(huán)境對應(yīng)用程序系統(tǒng)的順利實施影響最大。部署的方法自身對應(yīng)用程序系統(tǒng)的順利實施不會有太大影響。速度更快的開發(fā)工具（如第四代語言（4GL）技術(shù)）允許用戶在短期內(nèi)查看建設(shè)系統(tǒng)工作情況的高層次視圖。通過采用此類工具，原型設(shè)計應(yīng)用程序開發(fā)技術(shù)可大幅縮短系統(tǒng)部署時間。遵守適用的外部要求對順利實施也有影響，但是不如組織的整體環(huán)境影響大。軟件再工程技術(shù)是一個通過提取、重新使用設(shè)計和程序組件來更新現(xiàn)有系統(tǒng)的過程。在組織運營方式出現(xiàn)重大變化時，其能夠提供支持。相對于組織的整體環(huán)境，其對應(yīng)用系統(tǒng)的順利實施影響較小。點評：用戶對系統(tǒng)的接受程度對軟件實施影響最大[單選題]47.全面有效的電子郵件政策可解決的問題應(yīng)該包括電子郵件結(jié)構(gòu)、政策實施、監(jiān)控和:A)恢復(fù)。B)保留。C)重建。D)重復(fù)使用。答案:B解析:A.郵件政策應(yīng)解決郵件保留的業(yè)務(wù)和法律要求問題。在電子郵件政策中解決保留問題可為其恢復(fù)提供方便。B.除了作為良好實踐，法規(guī)可能要求組織保留對財務(wù)報表有影響的信息。由于電子郵件通信常常在訴訟中被視為與傳統(tǒng)的?紙質(zhì)?正式信件具有同樣的效力，因此企業(yè)必須保留電子郵件。在組織的硬件上生成的所有電子郵件都?xì)w組織所有，電子郵件政策應(yīng)解決消息保留的問題，這要考慮已知的和不可預(yù)見的訴訟。該政策還應(yīng)解決在指定時間后銷毀電子郵件的問題，以保護(hù)消息本身的特性和機(jī)密性。C.郵件政策應(yīng)解決郵件保留的業(yè)務(wù)和法律要求問題。解決電子郵件的保留問題可為其修復(fù)提供方便。D.郵件政策應(yīng)解決郵件保留的業(yè)務(wù)和法律要求問題。郵件的重復(fù)使用不是政策問題。[單選題]48.在收集司法證據(jù)的過程中，下列哪項行為最有可能導(dǎo)致受威脅的系統(tǒng)中的證據(jù)遭到破壞或損壞?A)將內(nèi)存內(nèi)容轉(zhuǎn)儲至一個文件B)生成受威脅的系統(tǒng)的磁盤鏡像C)重新啟動系統(tǒng)D)從網(wǎng)絡(luò)中移除系統(tǒng)答案:C解析:A.在可能時拷貝內(nèi)存內(nèi)容是正常的取證程序。如果謹(jǐn)慎，拷貝內(nèi)存內(nèi)容不會損壞證據(jù)。B.適當(dāng)?shù)娜∽C程序要求創(chuàng)建兩份系統(tǒng)鏡像用于分析。哈希值可確保這兩份都是正確的。C.重新啟動系統(tǒng)可能導(dǎo)致系統(tǒng)狀態(tài)的改變，并可能導(dǎo)致存儲在內(nèi)存中的文件和重要證據(jù)丟失。D.在調(diào)查系統(tǒng)時，建議將其與網(wǎng)絡(luò)斷開以最大程度地減少外部病毒感染或訪問[單選題]49.對服務(wù)器中可疑活動進(jìn)行觀察后，經(jīng)理要求進(jìn)行取證分析。以下哪種結(jié)果最能引起該調(diào)查者的關(guān)注？A)該服務(wù)器是工作中的一員，而不屬于服務(wù)器域的一部分。B)某來賓帳戶在該服務(wù)器中得以啟用C)近期，該服務(wù)器中創(chuàng)建了100個用戶。D)該服務(wù)器沒有啟用審計日志。答案:D解析:審計日志能夠提供繼續(xù)進(jìn)行調(diào)查所需的證據(jù)，因此不應(yīng)禁用。為滿足業(yè)務(wù)需求，服務(wù)器可以是工作組中的一員，因此這并不需要擔(dān)心。如果系統(tǒng)中啟用了來賓帳戶，可能會影響安全性，但這并不是司法調(diào)查方面的關(guān)注點。該服務(wù)器中近期創(chuàng)建了100個用戶，可能是出于滿足業(yè)務(wù)需求的需要，因此也不需要擔(dān)心。[單選題]50.以下哪項能夠最有效地控制通用串行總線（USB）存儲設(shè)備的使用？A)要求在發(fā)現(xiàn)持有此類設(shè)備時立即解雇的政策B)用于跟蹤和管理USB存儲設(shè)備的軟件C)在管理層面禁用USB端口D)在設(shè)施的入口處搜查相關(guān)人員以確定是否帶有USB存儲設(shè)備答案:B解析:使用集中跟蹤和監(jiān)視的軟件，USB使用政策便可以根據(jù)不斷變化的業(yè)務(wù)需求，應(yīng)用到每一個用戶，還可以監(jiān)視是否存在異常并會將異常報告給管理人員。如果政策規(guī)定一經(jīng)發(fā)現(xiàn)便立即解雇，則可能導(dǎo)致員工流失量增加，并且業(yè)務(wù)需求也無法得到充分的滿足。如果禁用端口，則管理起來會非常復(fù)雜，并且新的業(yè)務(wù)需求可能也無法得到滿足。在設(shè)施的入口處搜查相關(guān)人員以確定是否帶有USB存儲設(shè)備并不現(xiàn)實，因為這些設(shè)備非常小，易于藏匿。[單選題]51.下列哪個選項，你期望在組織的戰(zhàn)略計劃中找到？A)測試一個新的賬戶包B)評估信息技術(shù)需要C)在接下的一年中實行一個新項目計劃系統(tǒng)D)成為產(chǎn)品供應(yīng)商答案:D解析:戰(zhàn)略規(guī)劃納入了公司或部門的目標(biāo)。全面規(guī)劃有助于組織的效率和效果。戰(zhàn)略規(guī)劃是以時間和項目為導(dǎo)向，但是也要依據(jù)業(yè)務(wù)需求進(jìn)行優(yōu)先級排序。長期和短期計劃應(yīng)該和組織的目標(biāo)是一致的。選擇D、代表了業(yè)務(wù)目標(biāo)，該業(yè)務(wù)目標(biāo)是打算集中的整個業(yè)務(wù)方向，因此它是組織戰(zhàn)略計劃的一部分。其他的選擇是面向項目的,和業(yè)務(wù)目標(biāo)沒有聯(lián)系。[單選題]52.要求督導(dǎo)委員會監(jiān)督IT投資的主要好處是以下哪一項?A)進(jìn)行可行性分析，以表明IT價值B)確保根據(jù)業(yè)務(wù)需求進(jìn)行投資C)確保強(qiáng)制落實適當(dāng)?shù)陌踩刂拼胧〥)確保實施標(biāo)準(zhǔn)的開發(fā)方法答案:B解析:A.督導(dǎo)委員會可能在審查中使用可行性分析;但它并不負(fù)責(zé)執(zhí)行/進(jìn)行該分析研究。B.督導(dǎo)委員會由來自業(yè)務(wù)和IT部門的代表組成，負(fù)責(zé)確保根據(jù)業(yè)務(wù)目標(biāo)而不是IT優(yōu)先級作出IT投資。C.督導(dǎo)委員會不負(fù)責(zé)強(qiáng)制落實安全控制措施。D.督導(dǎo)委員會不負(fù)實施開發(fā)方法。[單選題]53.網(wǎng)絡(luò)性能監(jiān)控工具能夠最直接地影響以下哪一項?A)完整性B)可用性C)完整性D)機(jī)密性答案:B解析:A.網(wǎng)絡(luò)監(jiān)控工具可用于檢測通過網(wǎng)絡(luò)擴(kuò)散的錯誤，但其主要目的在于可靠性，以便網(wǎng)絡(luò)在需要時可用。B.網(wǎng)絡(luò)監(jiān)控工具可觀察網(wǎng)絡(luò)性能和問題。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)問題時，它讓管理員能夠采取糾正措施。因此，受網(wǎng)絡(luò)監(jiān)控直接影響最大的特性就是可用性。C.網(wǎng)絡(luò)監(jiān)控工具不會監(jiān)控通信完整性。完整性由通信中的終點監(jiān)控。D.網(wǎng)絡(luò)監(jiān)控工具可讓網(wǎng)絡(luò)管理看到未加密的流量，從而違反保密性。這要求對網(wǎng)絡(luò)監(jiān)控工具的使用有仔細(xì)的保護(hù)和政策。[單選題]54.在互聯(lián)網(wǎng)上用cookie從事下列哪一項活動時，會構(gòu)成最嚴(yán)重的安全威脅?A)從主機(jī)服務(wù)器下載文件B)傳發(fā)電子郵件和網(wǎng)際協(xié)議IP地址C)使用用戶名和密碼來鑒別身份D)從認(rèn)證機(jī)構(gòu)CA取得公共秘鑰答案:C解析:[單選題]55.企業(yè)的風(fēng)險偏好最好由以下哪項確定:A)首席法務(wù)官。B)安全管理人員C)審計委員會。D)督導(dǎo)委員會。答案:D解析:A.雖然首席法務(wù)官能夠為政策提供法律方面的指導(dǎo)，但仍無法決定公司的風(fēng)險偏好。B.安全管理小組主要關(guān)注的是安全狀況的管理，無法決定安全狀況。C.審計委員會不負(fù)責(zé)設(shè)定企業(yè)的風(fēng)險承受能力或偏好。D.企業(yè)的風(fēng)險偏好最好由督導(dǎo)委員會決定，因為此委員會的成員均為高層管理人員。[單選題]56.在審查信息安全政策的制定時，IS審計師的主要關(guān)注點是保證這些政策:A)與全球接受的行業(yè)良好實踐一致。B)經(jīng)過董事會和高級管理層的批準(zhǔn)。C)在業(yè)務(wù)與安全要求之間取得平衡。D)為實施安全程序提供指引。答案:C解析:A.組織不要求以行業(yè)良好實踐作為其IT政策的基礎(chǔ)。政策必須以組織的文化和業(yè)務(wù)要求為基礎(chǔ)。B.政策獲得批準(zhǔn)是必要的;但這不是政策制定期間的主要關(guān)注點C.信息安全政策首先必須根據(jù)組織的業(yè)務(wù)和安全目標(biāo)進(jìn)行調(diào)整。D.政策如果與業(yè)務(wù)要求不一致，則不能提供指引。[單選題]57.在一個組織中信息技術(shù)安全的基線已經(jīng)被定義了，那么信息系統(tǒng)審計師應(yīng)該首先確認(rèn)它的：A)實施B)遵守C)文件D)足夠（充分）答案:A解析:信息系統(tǒng)審計師首先要通過確?？刂频某浞中詠碓u估最小基線水平的定義。文件、實施和遵守是后面的步驟。[單選題]58.進(jìn)行防災(zāi)規(guī)劃時，以下哪一項最有助于按優(yōu)先順序安排IT資產(chǎn)?A)事故響應(yīng)計劃B)業(yè)務(wù)影響分析(BIA)C)威脅與風(fēng)險分析D)恢復(fù)時間目標(biāo)(RTO)答案:B解析:A.事故響應(yīng)計劃是指一種條理清晰的用于解決和管理安全漏洞或攻擊的方法。該計劃定義哪些構(gòu)成事故，以及發(fā)生事故后該遵循哪種流程。它并不優(yōu)先排序發(fā)生災(zāi)難時的恢復(fù)B.將業(yè)務(wù)影響分析(BIA)納入T災(zāi)難復(fù)規(guī)劃流程至關(guān)考慮，這樣才能確保按優(yōu)先順序安排IT資產(chǎn)，以便與業(yè)務(wù)保持一致C.識別威脅和分析對業(yè)務(wù)的風(fēng)險是防災(zāi)規(guī)劃的重要組成部分，但它并不確定恢復(fù)的優(yōu)先權(quán)D.恢復(fù)時間目標(biāo)(RTO)是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時間量。它是BIA的組成部分，用于說明恢復(fù)的優(yōu)先順序。[單選題]59.IS審計師在對系統(tǒng)分級時，如果某系統(tǒng)允許在較長的時間段內(nèi)以可接受的成本進(jìn)行人工操作，該系統(tǒng)應(yīng)被定義為A)關(guān)鍵級B)重要級C)敏感級D)非關(guān)鍵級答案:A解析:敏感的功能是為那些在一個可容忍的成本和在較長一段時間內(nèi)可以人工操作的最好描述。關(guān)鍵功能是指無法完成的那些功能，并且不能被手工方式所替代的，除非他們被相同能力的所代替。重要的功能是指那些在一個短暫時間內(nèi)可以手動執(zhí)行的功能，如果重要功能的中斷的話，相關(guān)的代價比關(guān)鍵職能少些。非關(guān)鍵功能在較長一段時間內(nèi)的中斷，會有很少損失或沒有沒有損失，并要求最少的時間或成本進(jìn)行恢復(fù)。[單選題]60.企業(yè)最終決定直接采購商業(yè)化的軟件包，而不是開發(fā)。那么，傳統(tǒng)的軟件開發(fā)生產(chǎn)周期（SDLC）中設(shè)計和開發(fā)階段，就被置換為：A)挑選和配置階段B)可行性研究和需求定義階段C)實施和測試階段D)（無，不需要置換）答案:A解析:[單選題]61.在數(shù)據(jù)的機(jī)密性、可靠性和完整性方面，以下哪項可以對互聯(lián)網(wǎng)業(yè)務(wù)提供最全面的控制？A)安全套接字層（SSL）B)入侵檢測系統(tǒng)（IDS）C)公鑰基礎(chǔ)架構(gòu)（PKI）D)虛擬專用網(wǎng)絡(luò)（VPN）答案:C解析:PKI是最全面的技術(shù)，因為其加密算法針對機(jī)密性和可靠性提供了加密、數(shù)字簽名和不可否認(rèn)性控制。SSL能夠?qū)崿F(xiàn)機(jī)密性。IDS是一種檢測性控制。VPN可實現(xiàn)機(jī)密性和身份認(rèn)證（可靠性）。[單選題]62.為了確保組織遵守隱私要求，一個信息系統(tǒng)審計師應(yīng)首先評審：A)IT基礎(chǔ)設(shè)施B)組織策略，標(biāo)準(zhǔn)和程序C)法律和法規(guī)的要求D)組織的策略，標(biāo)準(zhǔn)和程序答案:C解析:為了確保該組織遵守關(guān)于隱私問題，一個信息系統(tǒng)審計師首先應(yīng)解決法律和監(jiān)管的要求。為了遵守法律法規(guī)和監(jiān)管要求，組織需要采取適當(dāng)?shù)幕A(chǔ)設(shè)施。在了解法律和監(jiān)管的要求，審計師應(yīng)該評估組織的策略，標(biāo)準(zhǔn)和程序，以確定它們是否充分解決隱私要求，然后復(fù)查遵守這些具體的策略，標(biāo)準(zhǔn)和程序。[單選題]63.當(dāng)下載軟件時，一個哈希值被提供能夠：A)確保軟件來自于原有途徑B)確保軟件修訂版本是正確的C)確保軟件沒有被修改D)為軟件付費用戶提供許可密碼答案:C解析:哈希值被使用意味著確保軟件文件的完整性。對于一個文件即使只有一個比特在文件中被修改被計算的哈希值將是不同的。哈希值的通常用法是放在軟件發(fā)布者的網(wǎng)站上，以至于那些下載的能夠被確認(rèn)軟件沒有被修改過。選擇A不正確，因為一個文件的哈希值是相同的不管它是復(fù)制還是來源于原有途徑。軟件下載站點經(jīng)常是被第三方鏡像將產(chǎn)生很大的風(fēng)險，代碼可能被修改，因為這些站點不是被軟件發(fā)布者所控制的。選擇B不正確，因為哈希值與軟件的修訂版本號即沒有任何關(guān)系，也不是用于這個目的。哈希值能夠使用軟件工具校驗，它能夠比較下載和顯示在網(wǎng)站上的值。如果兩個值匹配，那么下載的軟件是完整是，因為哈希值不能被使用作為一個可與密鑰。[單選題]64.某IS審計師正在評估一份針對新的云會計服務(wù)的第三方服務(wù)協(xié)議。關(guān)于會計數(shù)據(jù)的保密問題，以下哪一項考慮因素最重要?A)數(shù)據(jù)保留、備份和恢復(fù)B)信息的退還或銷毀C)網(wǎng)絡(luò)和入侵檢測D)修補(bǔ)程序管理流程答案:B解析:A.數(shù)據(jù)保留、備份和恢復(fù)是重要的控制措施;但它們并不能保證數(shù)據(jù)保密。B.審查第三方協(xié)議時，關(guān)于數(shù)據(jù)保密問題，最重要的考慮因素是有關(guān)在合同結(jié)束時退還或善銷毀信息的條款。C.網(wǎng)絡(luò)和入侵檢測有助于保護(hù)數(shù)據(jù)，但其本身并不能保證由第三方提供商存儲的數(shù)據(jù)的保密性D.補(bǔ)丁管理流程有助加固服務(wù)器，并可禁止未經(jīng)授權(quán)的數(shù)據(jù)披露;但它并不影響數(shù)據(jù)的保密性。[單選題]65.某供應(yīng)商過去幾個月發(fā)布了多個重要的安全修補(bǔ)程序，因此對管理員及時測試和部署修補(bǔ)程序的能帶來壓力。管理員已詢問能否減少對修補(bǔ)程序的測試。該組織應(yīng)當(dāng)采取哪種措施?A)繼續(xù)堅持當(dāng)前測試和應(yīng)用修補(bǔ)程序的流程。B)減少測試并確保制訂充分的逆向恢復(fù)計劃。C)推遲安裝修補(bǔ)程序，直到測試資源可用D)依靠供應(yīng)商測試修補(bǔ)程序。答案:A解析:A.立即應(yīng)用安全軟件修補(bǔ)程序?qū)Υ_保服務(wù)器安全至關(guān)重要;此外，由于修補(bǔ)程序可能影響其他系統(tǒng)和業(yè)務(wù)經(jīng)營，因此測試修補(bǔ)程序很重要。由于供應(yīng)商最近在短時間內(nèi)發(fā)布了多個重要的修補(bǔ)程序，因此可能是個暫時的問題，不需要修訂政策或程序。B.減少測試會加大修補(bǔ)程序有故障或不兼容導(dǎo)致業(yè)務(wù)經(jīng)營中斷的風(fēng)險。盡管逆向恢復(fù)計劃有助減少這種風(fēng)險，預(yù)先進(jìn)行全面測試是更恰當(dāng)?shù)倪x項。C.立即應(yīng)用安全軟件修補(bǔ)程序?qū)Υ_保服務(wù)器的安全至關(guān)重要。推遲安裝修補(bǔ)程序會因為系統(tǒng)漏洞而加大安全違規(guī)的風(fēng)險。D.由供應(yīng)商完成測試可能不適用于需要部署修補(bǔ)程序的組織的系統(tǒng)和環(huán)境。[單選題]66.信息系統(tǒng)審計師在分析數(shù)據(jù)庫管理系統(tǒng)的審計日志時發(fā)現(xiàn)部分事務(wù)由於錯誤而沒有完全執(zhí)行，而且出錯後沒有回滾操作。根據(jù)以上描述，這些事務(wù)違反了以下哪種事務(wù)特性？A)一致性B)獨立性C)持久性D)原子性答案:A解析:原子性是保證要么是整個事務(wù)被處理或任何一個都不被處理。一致性確保該數(shù)據(jù)庫在事務(wù)開始和結(jié)束期間都是在一個邏輯狀態(tài)。獨立性是指在一種中間狀態(tài)時，事務(wù)數(shù)據(jù)對外部操作者是不可見的。持久性是保證一個成功的事務(wù)將會持續(xù)，并且不可被復(fù)原。[單選題]67.某銀行在其所有的重要信息系統(tǒng)項目中都采用系統(tǒng)開發(fā)命周期的概念。目前該行正準(zhǔn)備開始一個房貸業(yè)務(wù)系統(tǒng)的可行性研究。可行性研究的主要內(nèi)容應(yīng)該包括：A)可能的投標(biāo)商和商譽(yù)。B)計算機(jī)病毒和其他破壞導(dǎo)致的風(fēng)險。C)切換系統(tǒng)實施方法如平行法。D)技術(shù)和相關(guān)成本。答案:D解析:D正確,生命周期開發(fā)的可行性研究包括：（1）制定新系統(tǒng)的目標(biāo)和邏輯模型；（2）備選設(shè)計方案的初步分析，包括各方案的技術(shù)和經(jīng)濟(jì)可行性；（3）確定系統(tǒng)設(shè)計的推薦方案，包括項目進(jìn)度和預(yù)期成本。[單選題]68.審計師在評審企業(yè)的系統(tǒng)開發(fā)測試策略。關(guān)于在測試過程中使用生產(chǎn)數(shù)據(jù)的陳述中，審計師會認(rèn)為下面哪種陳述是最恰當(dāng)?shù)?？A)在生產(chǎn)數(shù)據(jù)被用于測試以前，高級IS和業(yè)務(wù)經(jīng)理必須批準(zhǔn)該行為。B)只要將生產(chǎn)數(shù)據(jù)復(fù)制到一個安全的測試環(huán)境中，才可以被使用。C)生產(chǎn)數(shù)據(jù)絕不能被使用。必須基于書面的測試用例文檔來準(zhǔn)備所有的測試數(shù)據(jù)。D)簽署了保密協(xié)議就可使用生產(chǎn)數(shù)據(jù)。答案:A解析:為了測試而使用生產(chǎn)數(shù)據(jù)有一些風(fēng)險存在，這包含危害客戶和員工的隱私（也可能觸犯法律）和破壞生產(chǎn)數(shù)據(jù)。另外，有效的測試需要特別設(shè)計的數(shù)據(jù)。而某些情況下，就如大量生產(chǎn)的測試數(shù)據(jù)是很難或者不可能得到的，從而使生產(chǎn)測試數(shù)據(jù)的有效性降低。一個例子就是測試?yán)舷到y(tǒng)的接口。實踐中，文檔和組織留存的、關(guān)于老系統(tǒng)發(fā)揮功效的說明是不完整的。測試數(shù)據(jù)轉(zhuǎn)換程序是另一個例子。像增強(qiáng)型測試訪問?真實?數(shù)據(jù)時，管理信息系統(tǒng)是又一個的例子。使用生產(chǎn)數(shù)據(jù)時的某些靈活性可能是最好的選項。除了獲得高級管理層的批準(zhǔn)，某些減輕與使用生產(chǎn)數(shù)據(jù)相關(guān)的風(fēng)險的條件都要被考慮，比如遮蓋住名字和受保護(hù)的隱私數(shù)據(jù)的字段。其他的選項都是不正確的，因為生產(chǎn)環(huán)境的安全性要求非常嚴(yán)格。選項B和D是不錯的做法，但它們不能在數(shù)據(jù)所有者不在場的情況下使用。選項C有時可能不切實際的。點評：使用生產(chǎn)數(shù)據(jù)需包括兩點：授權(quán)和脫敏[單選題]69.局域網(wǎng)（LAN）管理員通常會受到以下什么限制？A)對最終用戶有責(zé)任B)對最終用戶經(jīng)理報告C)有編程的職責(zé)D)為區(qū)域網(wǎng)的安全管理工作負(fù)責(zé)答案:C解析:局域網(wǎng)管理員不應(yīng)該有規(guī)劃的責(zé)任，但可能對最終用戶的責(zé)任。LAN管理員也許向信息處理設(shè)施（低通濾波器）董事長，或者，在一個分散經(jīng)營里對最終用戶管理者報告。在小型組織中，局域網(wǎng)管理員也可以負(fù)責(zé)包括LAN的安全管理工作。點評：程序員不得與任何運維崗位兼職[單選題]70.IS審計師應(yīng)該使用以下哪一項來檢測在發(fā)票主要文件里的重復(fù)發(fā)票記錄？A)屬性取樣B)通用審計工具C)測試數(shù)據(jù)D)集成測試工具答案:B解析:通用審計軟件使審計員能夠評審?fù)暾陌l(fā)票文件夾來發(fā)現(xiàn)那些滿足選定標(biāo)準(zhǔn)的條目。屬性取樣在確定滿足特定條件的記錄會有所幫助，但是它不能比較不同記錄以發(fā)現(xiàn)重復(fù)條目。為了檢查重復(fù)的發(fā)票記錄IS審計師應(yīng)該檢查所有符合標(biāo)準(zhǔn)的而不僅是取樣的條目。測試數(shù)據(jù)被用來驗證數(shù)據(jù)程序處理流程，但是不能發(fā)現(xiàn)重復(fù)記錄。點評：GAS工具用來進(jìn)行對賬用的[單選題]71.內(nèi)部IS審計職能部門正在規(guī)劃某項常規(guī)IS審計。以下哪項活動是規(guī)劃階段的第一步?A)制定審計程序B)審查審計章程C)確定關(guān)鍵信息所有者D)進(jìn)行風(fēng)險評估答案:D解析:A.風(fēng)險評估的結(jié)果將用作審計程序的輸入。B.審計章程在審計部門成立時制定，或根據(jù)需要進(jìn)行更新。制定審計章程與審計規(guī)劃階段無關(guān)因為它是內(nèi)部審計治理結(jié)構(gòu)的一部分，旨在確保職能部門的獨立性。C.風(fēng)險評估必須在確定關(guān)鍵信息所有者之前進(jìn)行。在審計規(guī)劃階段，通常并不會直接涉及到關(guān)鍵信息所有者。D.應(yīng)執(zhí)行風(fēng)險評估以確定如何分配內(nèi)部審計資源，以保證解決所有重要事項。[單選題]72.在識別出一個應(yīng)當(dāng)報告的發(fā)現(xiàn)之后，被審計機(jī)構(gòu)立即采取了糾正措施。審計師應(yīng)當(dāng):A)這一發(fā)現(xiàn)應(yīng)當(dāng)記錄在最終報告中，因為審計師負(fù)責(zé)對所有調(diào)查結(jié)果的準(zhǔn)確報告。B)不在最終報告中記錄，因為審計報告只包括尚未糾正的發(fā)現(xiàn)。C)不在最終報告中記錄，因為在審計過程中，審計師可以驗證糾正措施。D)在離場會議上，將發(fā)現(xiàn)的情況僅作討論目的。答案:A解析:在最終報告中記錄審計發(fā)現(xiàn)是一個普遍接受的審計實踐。如果一項審計措施在審計開始之后，在審計結(jié)束之前實施，審計報告應(yīng)當(dāng)確認(rèn)和描述所采取的措施。審計報告應(yīng)該記錄這些情況，因為其存在于審計過程中。被審計單位所采取的所有糾正措施都應(yīng)當(dāng)予以記錄。點評：獨立性，改了的問題也要報告[單選題]73.以下哪類防火墻能最有效的抵御來自互聯(lián)網(wǎng)的攻擊A)屏蔽子網(wǎng)防火墻B)應(yīng)用級防火墻C)包過濾防火墻D)電路級防火墻答案:A解析:屏蔽子網(wǎng)防火墻將能提供做好的保護(hù)，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，避免內(nèi)部網(wǎng)絡(luò)被直接訪問。應(yīng)用級防火墻通過一系列的代理來實現(xiàn)數(shù)據(jù)傳遞，工作在應(yīng)用層而不僅僅是數(shù)據(jù)包級別的。屏蔽控制是在數(shù)據(jù)包級，地址和端口，但不能看到數(shù)據(jù)包的內(nèi)容。包過濾防火墻只檢查每一個數(shù)據(jù)包的包頭或者他們之間的組合來確定是否允許數(shù)據(jù)通過。[單選題]74.組織中的無線網(wǎng)絡(luò)訪問點由不能更新到更高安全性的舊訪問點和較新具有高級無線安全性的訪問點混合組成。IS審計師建議替換掉無法更新的舊訪問點。以下哪個選項最能夠證明IS審計師的建議是正確的？A)可以承擔(dān)得起具有更高安全性的訪問點。B)舊訪問點在性能方面較差。C)組織安全性的強(qiáng)弱取決于最弱的點。D)新訪問點更易于管理答案:C解析:應(yīng)廢棄舊的訪問點并具有更高安全性的產(chǎn)品代替；否則舊的訪問點將為攻擊者敞開安全漏洞，從而整個網(wǎng)絡(luò)的強(qiáng)度成為與其在同一薄弱水平，可承擔(dān)性不是IS審計師主要關(guān)心的內(nèi)容。在這種情況下，性能不如安全性重要。產(chǎn)品的可管理性不是IS審計師關(guān)心的內(nèi)容。[單選題]75.在中斷或者災(zāi)難事件中，下列哪項技術(shù)提供了連續(xù)性操作A)負(fù)載均衡。B)容錯硬件。C)分布式備份。D)高可用性（HA）計算設(shè)備。答案:B解析:容錯硬件是目前唯一能夠支持連續(xù)不間斷服務(wù)的技術(shù)。負(fù)載均衡是通過分割多個服務(wù)器之間的工作負(fù)載來改善服務(wù)器的性能。高可用性的電腦設(shè)備能夠提供快速的而事實連續(xù)性的恢復(fù)，而分布式備份需要更長的恢復(fù)時間。[單選題]76.以下哪種互聯(lián)網(wǎng)安全威脅可損害完整性？A)從客戶端竊取數(shù)據(jù)B)暴露網(wǎng)絡(luò)配置消息C)感染特洛伊木馬的瀏覽器D)網(wǎng)絡(luò)竊聽答案:C解析:可損害完整性的互聯(lián)網(wǎng)安全威脅、漏洞包括特洛伊木馬，其可修改在客戶端-瀏覽器軟件中找到的用戶數(shù)據(jù)、存儲器和消息。其他選項可損害機(jī)密性。[單選題]77.IS審計章程的主要目的是:A)建立審計部門的組織結(jié)構(gòu)。B)闡述IS審計職能部門的報告責(zé)任。C)詳細(xì)闡述IS審計部門執(zhí)行的審計流程和程序。D)概述IS審計職能部門的職責(zé)和權(quán)限。答案:D解析:A.IS審計章程不闡述IS審計部門的組織結(jié)構(gòu)。章程是創(chuàng)建IS審計職能部門的指導(dǎo)性文件。B.IS審計章程不規(guī)定IS審計部門的報告要求。章程闡述信息系統(tǒng)審計職能部門的目的、職責(zé)、權(quán)限和義務(wù)C.IS審計流程和程序不在IS審計章程中詳述。程序是IS審計計劃的組成部分，而流程是由審計管理層確定的。D.IS審計章程的主要目的是闡述IS審計職能部門的目的、職責(zé)、權(quán)限和義務(wù)。章程文件代表董事會和公司利益相關(guān)方授予審計職能部門權(quán)限。[單選題]78.以下哪一項是信息系統(tǒng)審計師對于幫助企業(yè)提高計算資源效率的最佳建議？A)虛擬化B)CPUC)硬件升級D)實時備份答案:A解析:[單選題]79.下面哪種協(xié)議可用來實施路由器和互聯(lián)設(shè)備監(jiān)控系統(tǒng)？A)SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)B)FTP(文件傳輸協(xié)議)C)SMTP(簡單郵件傳輸協(xié)議)D)Telnet協(xié)議答案:A解析:SNMP提供一種管理和控制網(wǎng)絡(luò)設(shè)備的方法，并且管理配置和實施。FTP從一臺互聯(lián)網(wǎng)中計算機(jī)傳輸文件到指定用戶的計算機(jī)，并且不具有設(shè)計監(jiān)控網(wǎng)絡(luò)設(shè)備的功能。SMTP是一個發(fā)送和接收郵件信息的寫實，不提供監(jiān)控或管理網(wǎng)絡(luò)設(shè)備。Telnet是一個標(biāo)準(zhǔn)終端仿真協(xié)議，用與遠(yuǎn)程中終端的連接，使用戶在連接到本地系統(tǒng)的情況下可以登錄遠(yuǎn)程系統(tǒng)及使用資源，它不提供任何網(wǎng)絡(luò)設(shè)備的監(jiān)控或者管理。[單選題]80.在審查網(wǎng)絡(luò)設(shè)備配置時，一個IS審計師最先應(yīng)該確認(rèn)？A)網(wǎng)絡(luò)設(shè)備部署類型的最佳實踐。B)網(wǎng)絡(luò)組件是否缺少。C)拓?fù)渲芯W(wǎng)絡(luò)設(shè)備的重要性。D)網(wǎng)絡(luò)子組件是否使用恰當(dāng)。答案:C解析:第一步是了解網(wǎng)絡(luò)設(shè)備在組織拓?fù)渚W(wǎng)絡(luò)中的重要性和作用。在了解了網(wǎng)絡(luò)中的設(shè)備后，應(yīng)對使用該設(shè)備的最佳實踐加以審查，以確保在配置中有沒有異常。只有在審查和了解了拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備部署的最佳實踐后，才能識別哪個組件或子組件是否缺少或不正常使用。[單選題]81.在評審敏感電子報告時，IS審計師注意到?jīng)]有加密。以上可能違背：A)關(guān)于工作報告版本的審計跟蹤B)審計階段的批準(zhǔn)C)工作報告的訪問權(quán)限D(zhuǎn))工作報告的保密性答案:D解析:對電子工作報告加密提供保密性。審計跟蹤，審計階段的批準(zhǔn)和工作工作報告的訪問控制他們本身都不能影響保密性但卻是加密需求的部分原因是。點評：閱讀理解性的題目[單選題]82.以下哪一項是執(zhí)行并行測試的主要目的?A)確定系統(tǒng)是否具有成本效益B)實現(xiàn)綜合單元及系統(tǒng)測試C)找出含文件的程序接口中的錯誤D)確保新系統(tǒng)滿足用戶要求答案:D解析:A.通過并行測試可能會發(fā)現(xiàn)舊系統(tǒng)實際上比新系統(tǒng)成本更低，但這并不是執(zhí)行該測試的主要目的B.單元及系統(tǒng)測試是在并行測試之前完成的。C.對含文件的程序接口的錯誤測試是在系統(tǒng)測試期間進(jìn)行的。D.并行測試的目的是，通過比較舊系統(tǒng)與新系統(tǒng)的結(jié)果以保證正確處理，從而保證新系統(tǒng)的實施滿足用戶要求。[單選題]83.某IS審計師正在核對生產(chǎn)設(shè)備與庫存記錄。這種測試屬于以下哪一項:A)實質(zhì)性測試B)符合性測試。C)分析性測試D)控制測試。答案:A解析:A.實質(zhì)性測試在審計期間獲取有關(guān)活動或交易的完整性、準(zhǔn)確性或存在性的審計證據(jù)。B.合規(guī)性測試是為檢驗企業(yè)是否遵循控制流程而進(jìn)行的證據(jù)搜集。這與實質(zhì)性測試不同，實質(zhì)性測試中搜集的證據(jù)用于評估單個交易、數(shù)據(jù)或其他信息的完整C.分析測試評估兩組數(shù)據(jù)之間的關(guān)系，并辨別該關(guān)系之中的不一致之處D.控制測試與合規(guī)性測試是一樣的。[單選題]84.一家大型銀行實施IT審計的過程中，IS審計師發(fā)現(xiàn)許多業(yè)務(wù)應(yīng)用沒有執(zhí)行正規(guī)的風(fēng)險評估，也沒有確定其重要性和恢復(fù)時間上的要求。那么，這些暴露的銀行風(fēng)險是：A)業(yè)務(wù)連續(xù)性計劃（BCP）可能沒有與銀行各應(yīng)用被破壞的風(fēng)險相對應(yīng)B)業(yè)務(wù)連續(xù)計劃（BCP）可能沒有包含所有相關(guān)應(yīng)用，因此，在范圍上不完整C)領(lǐng)導(dǎo)或許沒有正確認(rèn)識災(zāi)難對業(yè)務(wù)的影響D)業(yè)務(wù)連續(xù)性計劃（BCP）或許缺少有效的業(yè)務(wù)所有者關(guān)系答案:A解析:[單選題]85.在為IT治理確定優(yōu)先領(lǐng)域時，應(yīng)主要考慮以下哪個因素?A)流程成熟度B)績效指標(biāo)C)業(yè)務(wù)風(fēng)險D)鑒證報告答案:C解析:A.流程成熟水平會隨著IT治理計劃的實施而提高，并進(jìn)入決策流程。應(yīng)該優(yōu)先治理那些代表企業(yè)所面臨的真實風(fēng)險的領(lǐng)域。B.流程的績效水平會反映計劃的有效性，但不是確定治理優(yōu)先級的方法。C.應(yīng)該優(yōu)先治理那些代表企業(yè)運營所面臨的已知風(fēng)險的領(lǐng)域。D.審計報告會為治理實施的有效性提供鑒證，但不能決定計劃的優(yōu)先級。應(yīng)該優(yōu)先治理那些代表企業(yè)所面臨的真實風(fēng)險的領(lǐng)域[單選題]86.在將軟件開發(fā)外包給第三方時，企業(yè)在軟件托管協(xié)議中包含以下哪一項最重要？A)托管代理存儲庫將接受企業(yè)的定期審計B)托管代理存儲庫將受到安全保護(hù)以防止供應(yīng)商訪問C)托管代理存儲庫將保存在企業(yè)自己的國家D)托管代理存儲庫將隨著軟件產(chǎn)品的發(fā)展而更新答案:D解析:[單選題]87.某組織正在開發(fā)基于Web的新應(yīng)用程序來處理客戶訂單。應(yīng)實施一下哪項安全措施來保護(hù)此應(yīng)用程序不受黑客攻擊？A)確保在防火墻處封鎖端口80和441。B)檢查所有服務(wù)器上的文件和訪問權(quán)限，以確保所有文件都具有只讀訪問權(quán)限。C)執(zhí)行Web應(yīng)用程序安全審查。D)確保僅現(xiàn)有客戶的IP地址能夠通過防火墻.答案:C解析:執(zhí)行Web應(yīng)用程序安全審查發(fā)現(xiàn)可能被黑客利用的安全漏洞。選項A不正確,因為Web應(yīng)用程序必須在端口80打開的情況下運行，而安全超文本傳輸協(xié)議（HTTPS）只有在端口443打開時才會起作用。選項B不正確的原因是，為了存放客戶訂單，必須在服務(wù)器中保存一些數(shù)據(jù)。而只讀服務(wù)器上無法存放客戶訂單。選項D可能適用于某些類型的Web應(yīng)用程序，但并不是最佳解決方案，因為按照D的做法，新客戶只有在防火墻改變規(guī)則允許其進(jìn)行連接時才能下單。[單選題]88.如下哪一類風(fēng)險是假設(shè)被檢查的方面缺乏補(bǔ)償控制:A)控制風(fēng)險B)檢查風(fēng)險C)固有風(fēng)險D)抽樣風(fēng)險答案:C解析:[單選題]89.在IS審計期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)以下哪個選項確定:A)關(guān)鍵和必需的信息的可用性B)審計師對環(huán)境的熟悉程度。C)受審方查找相關(guān)證據(jù)的能力。D)正在執(zhí)行的審計的目的和范圍。答案:D解析:A.在信息系統(tǒng)審計期間，所收集數(shù)據(jù)的范圍應(yīng)根據(jù)審計的范圍、目的和要求決定，而不受獲取信息的容易性或IS審計師對所審計區(qū)域的熟悉程度的限制。B.IS審計師必須客觀和徹底，不因根據(jù)對所審計區(qū)域的熟悉做出先入為主的結(jié)果而遭受審計風(fēng)險的影響。C.收集所有所需證據(jù)是I