CISA國際注冊信息系統(tǒng)審計師認證備考試題庫（600題）

（新版）CISA國際注冊信息系統(tǒng)審計師認證備考試題庫（600

題）

一、單選題

1.某一國際性企業(yè)準備發(fā)布一項全球的隱私政策，企業(yè)的信息系統(tǒng)審計師最大的

擔憂是什么？

A、管理層不采納該政策

B、此政策與業(yè)務(wù)需求相沖突

C、此政策與當?shù)卣呦鄾_突

D、此政策與公司政策沖突

答案：C

2.信息系統(tǒng)審計師發(fā)現(xiàn)，為了提高性能將WEB應(yīng)用程序的驗證控制機制從服務(wù)器

下遷至客戶端，那么遭受以下哪一項攻擊的風險最可能增加？

A、暴力攻擊（還是釣魚攻擊，忘記了）

B、SQL注入

C、拒絕服務(wù)攻擊

D、緩沖區(qū)溢出

答案：B

3.以下哪一項是公司轉(zhuǎn)移IT風險的有效方式？

A、購買保險（買保險是最常見的轉(zhuǎn)移IT風險的手段）

B、-

C、一

D、-

答案：A

4.電子鏈接異地備份能夠降低以下哪一項風險？

A、備份期問發(fā)生通訊故障

B、運輸過程中介質(zhì)意外丟失

C、存儲介質(zhì)容量不足

D、備份不準確或不完整

答案：B

5.以下哪一項能夠最大限度地減少長時問電源故障的影響？

A、可排除

B、冗余電源

C、電源調(diào)控裝置

D、蓄電池組

答案：B

6.以下哪一種方法能將可重復使用的存儲設(shè)備中的敏感數(shù)據(jù)有效刪除？

A、使用介質(zhì)清除軟件

B、覆蓋敏感數(shù)據(jù)

C、格式化便攜式設(shè)備

D、消磁（使設(shè)備暴露于磁場中）

答案：B

7.評估與企業(yè)內(nèi)點對點文件共享相關(guān)的風險時，以下哪一項應(yīng)該是信息系統(tǒng)審計

師最大的擔憂?

A、不是所有設(shè)備都運行了防病毒程序

B、只有部分員工參加了安全意識培訓

C、企業(yè)沒有有效的修補程序管理流程

D、文件共享政策尚未進行過審查

答案：B

8.要有效地建立業(yè)IT結(jié)構(gòu)體系，以下哪一項最為重要：

A、僅在體系結(jié)構(gòu)中包含關(guān)鍵系統(tǒng)

B、企業(yè)支持標準化

C、完善的數(shù)據(jù)轉(zhuǎn)移政策

D、與其他組織體系結(jié)構(gòu)的對比

答案：B

9,下列哪項技術(shù)對項目管理有效？（項目管理有效性體現(xiàn)在）

A、達到關(guān)鍵里程碑

B、使計劃與業(yè)務(wù)組合一致

GKPI績效

D、項目管理方法

答案：C

10.企業(yè)遭受了釣魚攻擊，某用戶向攻擊者泄露了自己賬號的密碼。以下哪一項

措施能最有效地降低隨后的攻擊入侵的風險？

A、教育用戶

B、反垃圾郵件篩選器

C、加強密碼

D、定期進行滲透測試

答案：D

11.使用數(shù)字簽名的主要原因

A、機密性

B、完整性

G可用性

D、實效性

答案：B

12.企業(yè)正在將HR應(yīng)用遷移到私有云中的基礎(chǔ)設(shè)施即服務(wù)(laas)模型。誰主要負

責所部警應(yīng)程序操作系統(tǒng)的安全配置？

A、云提供商

B、操作系統(tǒng)供貨商

C、云提供商的外部審計師

D、企業(yè)

答案：D

13.以下哪個可用于確定恢復順序？

A、BIA

B、風險評估

GBCP測試結(jié)果

D、DRP測試結(jié)果

答案：A

14.哪項是數(shù)字簽名的特征:

A、受接收方控制

B、對消息而言是唯一的

C、在數(shù)據(jù)變更后經(jīng)過認證

D、有可再生的哈希算法

答案：B

15.某IS審計師正在審查某會計系統(tǒng)的訪問情況，并發(fā)現(xiàn)了職責分離問題；但業(yè)

務(wù)規(guī)模小，沒有額外的工人可供使用。在這種情況下，以下哪一項是建議的最佳

補償性控制？

A、實施基于角色的訪問

B、審查審計軌跡

C、執(zhí)行定期訪問審查

D、審查錯誤日志

答案：B

16.與被審單位召開退出會議的主要目的？

A、商討下一步的整改措施

B、就審計發(fā)現(xiàn)的問題與被審單位進行溝通了解

C、確認還有哪些審計遺漏

D、了解管理層對審計實施的過程評價

答案：B

17.在評估潛在的企業(yè)資源規(guī)劃(ERP)實施供應(yīng)商時，信息系統(tǒng)審計師應(yīng)首先建議

執(zhí)行以下哪一項？

A、調(diào)查供應(yīng)商的財務(wù)歷史

B、檢查供應(yīng)商的客戶參考

C、制定供應(yīng)商響應(yīng)計分卡

D、審查供應(yīng)商過去的實施項目

答案：D

18.組織鼓勵員工因為工作目的而使用社交平臺，以下哪一項能最好防止數(shù)據(jù)泄

露？

A、員工簽署政策要求確認和保密協(xié)議

B、對敏感數(shù)據(jù)實施強有力的控制

C、對員工使用社交網(wǎng)站的活動實施監(jiān)控

D、提供社交平合使用的相關(guān)培訓和指導

答案：B

19.審計師提交了報告和整改建議后，大多數(shù)部門的負責人都沒有進行整改，IS

審計師應(yīng)該：

A、評估未進行整改的影響

B、重新驗證審計發(fā)現(xiàn)

C、報告高級管理層

答案：C

20.回歸測試的概念：在更改系統(tǒng)中某個程序的功能之后，需要對系統(tǒng)進行回歸

測試，其目的是：

A、所作的更改是否對系統(tǒng)產(chǎn)生了負面影響。

B、更改后的程序是否按照新的程序設(shè)計運行。

C、更改后的程序是否按照用戶要求的更改來運行。

D、效率效能相關(guān)的選項（可排除）

答案：A

21.在對供應(yīng)商管理數(shù)據(jù)庫審計期間，信息系統(tǒng)審計師辨認出多個供應(yīng)商重復記

錄?；?，信息系統(tǒng)審計師應(yīng)向管理層建議：

A、對關(guān)鍵字段的唯一數(shù)據(jù)值執(zhí)行系統(tǒng)驗證檢查

B、向高級管理層中請查所有新供應(yīng)商的詳細信息

C、在供應(yīng)商建檔流程中職責分離

D、定期審核對完整的供應(yīng)商列表，以識別重復內(nèi)容

答案：A

22.哪一項可確保新建設(shè)的數(shù)據(jù)倉庫滿足公司需求？

A、通過其對公司影響的重要性程度來處理數(shù)據(jù)質(zhì)量

B、將數(shù)據(jù)需求整合到系統(tǒng)開發(fā)生命周期

C、委派數(shù)據(jù)管理員實施數(shù)據(jù)洽理

D、促進與管理層的有效溝通

答案：B

23.在制定業(yè)務(wù)持續(xù)性計劃時，業(yè)務(wù)單位管理層的參與在以下工作過程中最為重

要？

A、制定業(yè)務(wù)恢復程序

B、實施文檔庫

C、進行業(yè)務(wù)影峋分析

D、執(zhí)行IT風險評估

答案：C

24.發(fā)生災難時，什么是確保組織備份介質(zhì)充分備份的最佳方案？

A、定期在測試環(huán)境中恢復生產(chǎn)系統(tǒng)

B、有計劃的備份設(shè)備維護

C、定期審查備份日志，以確保生產(chǎn)環(huán)境中的所有數(shù)據(jù)得到備份

D、有計劃的備份介質(zhì)讀取/寫入測試

答案：C

25.公司實施三單（訂單、貨物單據(jù)和發(fā)票）自動匹配的目的是控制以下哪種風

險？

A、系統(tǒng)處理無效付款

B、未給子客戶折扣

C、訂單延遲處理

D、多次支付一項合法交易

答案：D

26.引用其他審計師的工作報告時，信息系統(tǒng)審計師應(yīng)做到

A、考慮該工作報告的適當性和充足性

B、忘記了（可排除）

C、較少依賴其他審計師的工作成果

D、考慮該工作報告的時效性

答案：A

27.信息系統(tǒng)審計師在中查裝幺且織在各全少含地點之間傳輸敏感數(shù)據(jù)的方法。以

下哪一項會引起審計師最大的擔心？此方法完全依賴于使用：

A、數(shù)字簽名。

B、非對稱加密算法。

C、對稱加密算法。

D、公共密鑰基礎(chǔ)結(jié)構(gòu)。

答案：A

28.以下哪一項最使信息系統(tǒng)審計師向管理層表明實施后分析是有效的？

A、吸取的經(jīng)驗教訓已記錄存檔并加以應(yīng)用

B、業(yè)務(wù)和IT相關(guān)人員都參加到實施后分析中

C、完成了后續(xù)審計，且沒有發(fā)現(xiàn)任何問題

D、實施后分析是系統(tǒng)開發(fā)生命周期（SDLC）中的一個正式階段

答案：A

29.審計委員會已經(jīng)完成審計日程表，審計師團隊已經(jīng)對項目進行部分審計，執(zhí)

行層提出對新項目進行審計，審計師團隊沒有足夠的資源進行額外審計，可選擇

方式進行：

A、申請修改審計日程

B、拒絕

C、申請把當前審計計劃安排到下一期開展

D、批準加班，把工作完成

答案：A

30.信息系統(tǒng)審計師使用端口掃描軟件來：

A、建立通訊連接

B、檢測入侵行為

C、檢測開放服務(wù)

D、確保所有端口在使用中

答案：C

31.風險評估結(jié)果需要更新主要是由于（）？

A、遵從政策的要求

B、應(yīng)對數(shù)據(jù)的變化

C、應(yīng)對IT環(huán)境的變化

D、業(yè)務(wù)部門的需求

答案：C

32.在制定新的風險管理計劃時，一定要考慮以下哪種因素？（新題）

A、風險偏好

B、合規(guī)性措施

C、風險緩解技術(shù)

D、資源利用

答案：A

33.在電子商務(wù)中使用的典型網(wǎng)絡(luò)體系結(jié)構(gòu)中，負載平衡器通常位于下面哪兩個

項目之間：

A、數(shù)據(jù)庫和外部網(wǎng)關(guān)

B、用戶和外部網(wǎng)關(guān)

G路由器和web服務(wù)器

D、郵件服務(wù)器和郵件庫

答案：C

34.對員工進行了安全培訓教育，以下哪種方式證明了培訓的有效性?

A、安全事故的上報數(shù)量增加

B、參加安全意識培訓人員的百分比變多

答案：A

35.以下哪一項IT服務(wù)管理活動最有可能助確定恢復出現(xiàn)的網(wǎng)絡(luò)延時的根本原

因？

A、事故管理

B、配置管理

C、變更管理

D、問題管理

答案：D

36.以下哪項用以管理供應(yīng)商支持的軟件狀態(tài)為最新？

A、版本管理

B、變更管理

C、軟件資產(chǎn)管理

D、補丁管理

答案：D

37.企業(yè)購買第三方開發(fā)的軟件，哪一項最重要？

A、知識產(chǎn)權(quán)

B、審計權(quán)限

C、第三方協(xié)議

答案：A

38.當確定審計日志的數(shù)據(jù)保留期時，最基本的因素是什么?

A、計算機取證的原則

B、審計標準

C、風險控制要求

D、法律法規(guī)要求

答案：D

39.對關(guān)鍵IT基礎(chǔ)架構(gòu)上進行漏洞掃描時，哪項最重要？

A、在非高峰時間執(zhí)行

B、不會降低系統(tǒng)性能

C、掃描后再進行滲透測試

D、掃描成本效益

答案：A

40.存在欺詐嫌疑的員工被辭退/離職，信息安全人員最重要的應(yīng)該做的是什么?

A、禁止該員工的系統(tǒng)訪問權(quán)限

B、審查之前該員工批準的交易

C、人員陪同下離開工作場所

D、給員工電腦做備份

答案：A

41.企業(yè)在考慮更換其電商平臺。以下哪一項是最好的啟動方式？

A、發(fā)布RRI信息請求書

B、發(fā)布RFP建議書

C、發(fā)布采購訂單申請

D、報價請求

答案：B

42.審計師發(fā)現(xiàn)系統(tǒng)存在很多多余生產(chǎn)系統(tǒng)權(quán)限沒有及時清除，審計師應(yīng)該建

議？

A、人力資源系統(tǒng)在員工離職后自動觸發(fā)刪除員工權(quán)限

B、業(yè)務(wù)部門定期審閱并申請刪除多余的訪問權(quán)限

C、系統(tǒng)管理員應(yīng)確保權(quán)限分配的一致性

D、IT安全部門管理員定期刪除多余的權(quán)限

答案：B

43.在生產(chǎn)運行環(huán)境中更改程序，最重要的是得到誰的批準？

A、用戶部門負責人

B、信息系統(tǒng)管理層

C、安全管理員

D、項目經(jīng)理

答案：A

44.審計第三方供應(yīng)商的關(guān)鍵績效指標KPI時，審計師最大的擔憂是？

AxKPI沒有文檔記錄

BxKPI指標沒有明確定義

CxKPI從未更新

D、KPI數(shù)據(jù)沒有加以分析

答案：B

45.確定審計發(fā)現(xiàn)的改進時間表，根據(jù)什么確定:

A、業(yè)務(wù)部門的整改時間

B、管理層決定的時間

C、監(jiān)管部門的檢查時間

答案：A

46.以下哪項使用回歸測試：

A、單元測試

B、系統(tǒng)修改

C、程序開發(fā)

D、壓力測試

答案：B

解析：

uat測試數(shù)據(jù)可以用來做系統(tǒng)測試，不需要刪除

47.信息系統(tǒng)審計師在在制定審計計劃時，應(yīng)首先執(zhí)行以下哪一項活動?

A、確定風險優(yōu)先順序

B、審查以前的審計報告

C、確定審計范圍

D、分配審計資源

答案：A

48.數(shù)據(jù)庫中的訂單數(shù)量不斷增多，審計師應(yīng)建議：

A、歸檔

B、增加索引

C、刪除歷史訂單

D、增加物理存儲

答案：B

49.確定配置應(yīng)用程序的內(nèi)部安全控制是否符合組織安全標準的最佳測試是哪

個？

A、安全報告的可用性和頻率

B、業(yè)務(wù)應(yīng)用程序的安全參數(shù)設(shè)置

C、IDS的日志

D、應(yīng)用程序的用戶賬戶和密碼

答案：B

50.被審計方已告知信息系統(tǒng)審計師，資金沒有按照審計報告中商定的建議進行

安排，且沒有預計的解決時間計劃，審計師應(yīng)對此情況應(yīng)采取什么方法？

A、在無法實施完整解決方案的情況下評估風險

B、關(guān)閉該審計發(fā)現(xiàn)并記錄被審計方的解釋

C、獲得內(nèi)部審計批準，并把審計發(fā)現(xiàn)從報告中刪除

D、建議增加預算

答案：A

51.在審計IT管理時，審計師最擔心見到一下情況

A、IT戰(zhàn)略計劃需要的經(jīng)費沒有經(jīng)過審批

B、IT戰(zhàn)略計劃來源于互聯(lián)網(wǎng)最新趨勢

C、上一年IT戰(zhàn)略計劃沒有實現(xiàn)

D、IT戰(zhàn)略計劃停留在技術(shù)架構(gòu)層面。

答案：B

52.下面哪一項是最佳的數(shù)據(jù)完整性檢查？

A、將數(shù)據(jù)追溯至源點

B、計算每天處理的交易量

C、準備和運行測試數(shù)據(jù)

D、執(zhí)行連續(xù)性檢查

答案：A

53.為了解決電源長時間斷電問題，最好的方法是

A、電源調(diào)節(jié)器

B、備用電池

C、冗余電力

D、UPS

答案：C

54.以下哪項能夠體現(xiàn)企業(yè)采用了適當?shù)目刂?/p>

A、發(fā)布相關(guān)政策

B、發(fā)布IT戰(zhàn)略

C、定期風險分析并開會探討

D、可排除

答案：C

55.證明IT與業(yè)務(wù)時間保持一致的最佳證據(jù)是：

A、IT項目由技術(shù)審查委員會正式審查是否符合IT標準

B、企業(yè)的業(yè)務(wù)目標與行業(yè)標準保持一致

C、IT企業(yè)每年都成功減少了IT運營支出

D、建立了正式流程，用于對IT項目進行優(yōu)先排序以實現(xiàn)業(yè)務(wù)目標

答案：D

56.在完成信息系統(tǒng)審計后，IS審計師應(yīng)向利益相關(guān)者說明以下哪種風險？

A、固有風險

B、審計風險

C、檢;則風險

D、殘余風險

答案：D

57.公司應(yīng)該采取以下哪一項措施來估計災難的影響？

A、分析功能成熟度模型差距

B、開展業(yè)務(wù)影響分析(BIA)

C、模擬災難恢復

D、定義恢復點目標(RPO)

答案：B

58.在對應(yīng)用程序進行實施后審查時，以下哪一項應(yīng)測試的主要聚焦重點？

A、確保將企業(yè)標準用作實施過程的一部

B、確保已完成系統(tǒng)和集成測試，并取得系統(tǒng)所有者的簽字確認

C、確保驗收測試符合利益相關(guān)者的同意和認可，并落實到實施計劃

D、確保應(yīng)用程序在生產(chǎn)環(huán)境中處于活動狀態(tài)，并且可以從最終用戶設(shè)備訪問到

答案：A

59.人在制定新的風險管理計劃時，一定要考慮以下哪種因素？

A、資源利用率

B、合規(guī)性措施

C、風險緩解技術(shù)

D、風險偏好

答案：D

60.以下哪一項最能有效減少系統(tǒng)轉(zhuǎn)換期間的停機時問？

A、實驗研究

B、直接切換

C、分階段方法

D、并行運行（平行運行）

答案：D

61.非誠信員工被公司解雇后，未收回手機最大的風險是什么

A、訪問公司網(wǎng)絡(luò)

B、泄露客戶聯(lián)系方式

C、資產(chǎn)清單不完整

D、財產(chǎn)損失

答案：B

62.數(shù)據(jù)中心在簽署熱備援中心（Hotsite）合同之前，最要確認的是？

A、多個公司發(fā)生災難時，與中心員工協(xié)調(diào)（用戶同時出現(xiàn)故障用戶間互相協(xié)調(diào)能

力）

B、多個公司發(fā)生災難時，數(shù)據(jù)中心是否可用（用戶同時出現(xiàn)故障的應(yīng)對處理能力）

C、與其他組織簽互惠協(xié)議

D、進行全面測試

答案：B

63.如何最大地降低清除交易的新進程對數(shù)據(jù)庫完整性的不利影響？

A、數(shù)據(jù)庫結(jié)構(gòu)

B、實體entity關(guān)系圖

C、測試環(huán)境中的進程結(jié)果

D、觸發(fā)器設(shè)計

答案：D

64.在審計防火墻配置時，信息系統(tǒng)審計師發(fā)現(xiàn)防火墻已集成到一個新系統(tǒng)中，

該系統(tǒng)同時提供防火墻和入侵檢測功能。信息系統(tǒng)審計師應(yīng)該：

A、評估當前工作人員是否能夠支持新系統(tǒng)。

B、認為跟進審計不必要，因為不再使用防火墻。

C、評估集成系統(tǒng)是否解決已識別的風險。

D、審查新系統(tǒng)與現(xiàn)有網(wǎng)絡(luò)控制的兼容性。

答案：C

65.供應(yīng)商提供SLA服務(wù)中規(guī)定保護備份介質(zhì)完整。在審查各份介質(zhì)時，發(fā)現(xiàn)有

一份備份介質(zhì)丟失，下一步審計師應(yīng)該建議執(zhí)行什么：

A、建議審查供應(yīng)商合同

B、建議評估丟失介質(zhì)中的數(shù)據(jù)

C、通知高級管理層

D、將此問題發(fā)現(xiàn)納入在審計報告中

答案：B

66.審計師發(fā)現(xiàn)數(shù)據(jù)庫配置管理系統(tǒng)有個安全漏洞，他接下來怎么做？

A、報告高級管理層

B、評估是否有補償性控制

C、報告審計委員會

D、嘗試利用漏洞

答案：B

67.為防止未授權(quán)的變更被移入生產(chǎn)環(huán)境，最有效方式是以下哪一項？

A、徹底測算測試環(huán)境中的變更

B、強制在開發(fā)人員和遷移者之間進行職責分高

C、需要業(yè)務(wù)流程所有者批準變更

D、定期審查變更請求，以確保所有變更文件記錄在附件中

答案：B

68.如下哪個是進行業(yè)務(wù)影響分析的最好方法？

A、對主要業(yè)務(wù)相關(guān)者發(fā)布調(diào)查問卷

B、和主要業(yè)務(wù)相關(guān)者進行面談

C、與IT管理人員進行面談

D、咨詢相關(guān)專家

答案：B

69.以下哪項最能確保信息資產(chǎn)的機密性？

A、按照“按需分配”的訪問控制原則

B、采用雙因素身份認證控制

C、人員安全意識培訓

D、為所有用戶配置只讀權(quán)限

答案：A

70.哪一項可以證明IT內(nèi)部控制環(huán)境的成熟度水平最高？

A、控制的運作取決于員工的意識

B、在管理層的要求下評估IT操作效率

C、使用正式記錄的控制流程并定期實施評估

D、充分記錄控制并及時發(fā)現(xiàn)控制異常

答案：C

71.在審查數(shù)據(jù)防護時，信息系統(tǒng)審計師最應(yīng)關(guān)注：

A、分類結(jié)構(gòu)未發(fā)布

B、密碼未定期更改

C、分類數(shù)據(jù)未加密

D、數(shù)據(jù)未正確分類

答案：D

72.在數(shù)據(jù)庫系統(tǒng)中，正規(guī)化的用途是？

A、消除死鎖

B、減少數(shù)據(jù)冗余。

C、縮短數(shù)據(jù)訪問時間。

D、使數(shù)據(jù)標準化。

答案：B

73.某公司將信息系統(tǒng)功能外包出去。要滿足災難恢復的需要，該公司應(yīng)該:

A、將災難恢復的評估工作委托給內(nèi)部審計部門

B、將災難恢復的評估工作委托給第三方

C、停止災難恢復計劃的維護工作

D、與外包供應(yīng)商協(xié)調(diào)災難恢復管理措施

答案：D

74.審計師最應(yīng)和組織中的什么角色來確認應(yīng)用系統(tǒng)的業(yè)務(wù)需求和目標？

A、用戶管理部門

B、高級管理層

C、項目管理部門

D、項目發(fā)起人

答案：D

75.審計師發(fā)現(xiàn)遠于在，上班時間經(jīng)常使用社交軟件導致浪費了很多時間，審計師

應(yīng)該建議：

A、實施在上班時間可用的社交軟件的政策（制定政策限制社交網(wǎng)絡(luò)的使用）

B、實施主動監(jiān)控在社交軟件上發(fā)帖的控制

C、制定防止數(shù)據(jù)泄漏的措施

答案：A

76.對預算有限的公司，解決內(nèi)部職責分離問題的最合適的措施是：

A、定期實施輪崗

B、招募臨時員工

C、進行獨立審計

D、實施補償性控制

答案：D

77.執(zhí)行備份的做法反映了哪一種類型的內(nèi)部控制？

A\預防

B、檢測

G改正性

D、補償

答案：C

78.要審查IT目標服務(wù)業(yè)務(wù)目標的最好體現(xiàn)是：

A、KPI

B、業(yè)務(wù)案例

C、ITBSC

答案：C

79.電子支票（改成EFT）相對于手寫支票，最大的優(yōu)勢在手

A、提高效率

B、降低未授權(quán)的風險

C、節(jié)約人工成本

D、可以統(tǒng)一設(shè)定傳輸標準。

答案：B

80.以下哪個事項百分比很高就說明IT部分的工作做的好？

A、事件發(fā)生立即解決的百分比

B、用戶對IT工作滿意的百分比

C、利益相關(guān)者對IT項目范圍的滿意度

答案：B

81.訂單系統(tǒng)沒有連續(xù)分配請求訂單，管理層做出更改，以下哪一項可以證明該

措施實施了？

A、獲得管理層系統(tǒng)中的采購訂單

B、審查系統(tǒng)的訂單連續(xù)性配置及相關(guān)日志

C、管理層確認已經(jīng)做出更改

答案：B

82.企業(yè)開展業(yè)務(wù)所在地區(qū)的隱私法變更后，信息系統(tǒng)審計師應(yīng)采取生命行動？

A、設(shè)計補償控制以符合新的隱私法

B、對企業(yè)的隱私程序提供更新建議

C、使用當前的隱私程序執(zhí)行差距分析

D、將隱私法的變更傳達給法律部門

答案：C

83.以下哪一種是檢測型控制？

A、輸入格式驗證

B、進行恢復程序

C、密碼控制

D、散列驗證

答案：D

84.要實施IT治理框架，董事會需要做到？

A、解決IT技術(shù)問題

B、成立IT戰(zhàn)略委員會

G審批IT戰(zhàn)略

D、了解所有IT項目發(fā)展

答案：B

85.以下哪一項控制最能防止互聯(lián)網(wǎng)噢探器(Internetsniffer)進行重放攻擊(r

epIayattack):

A、數(shù)據(jù)包過濾路由器

B、帶時間戳的數(shù)據(jù)加密技木

C、正確配置的防火墻

D、數(shù)字簽名技木

答案：B

86.審計師最擔心的是修補程序管理流程中出現(xiàn)什么情況？

A、修補時間比原計劃長

B、某些系統(tǒng)的修補程序采用手動安裝

C、每三個月執(zhí)行一次修補程序

D、修補程序需要回滾

答案：C

87.以下哪項最能支持組織減少拒絕服務(wù)(DoS),攻擊對在線支付應(yīng)用程序的影

響？

A、加固設(shè)備參數(shù)

B、部署入侵檢測系統(tǒng)(IDS)

C、建立特定場景的災難恢復程序

D、對網(wǎng)絡(luò)用戶進行安全意識培訓

答案：C

88.從Internet連接到企業(yè)的局域網(wǎng)時，防止未經(jīng)授權(quán)訪問的最佳建議是利用

A、代理服務(wù)器

B、VPN

C、加密

D、虛擬化服務(wù)器

答案：B

89.企業(yè)已經(jīng)制定了成熟風險管理實踐，審計師利用風險管理成熟度最有效的方

式是什么？

A、促進識別審計風險和評估研討會

B、整合風險登記表用于進行審計計劃

C、向管理層提供有關(guān)風險的保證

D、實施風險響應(yīng)流程

答案：B

90.跟進上一年審計報告的主要原因是確定：

A、控制環(huán)境是否出現(xiàn)重大變化。

B、是否解決了已確定的控制弱點問題。

C、上一年推薦的行動方案是否變得毫無相關(guān)性。

D、固有風險是否發(fā)生變化。

答案：A

91.以下哪一項是執(zhí)行風險評估的主要原因？

A、符合監(jiān)管要求

B、幫助分配預算用于風險緩解控制

C、確保與業(yè)務(wù)影響分析(BIA)保持一致

D、確定當前的風險概況

答案：D

92.以下哪項最能防止數(shù)據(jù)孤立

A、表索引

B、輸入驗證檢查

C、參考完整性

D、表劃分

答案：C

93.2022年4月題目為：審計師如何評估公司員工安全意識充分性？

A、就安全職責訪談員工

B、觀察員工在安全方面的行為

C、進行安全意識調(diào)查問卷

D、確認公司的安全意識計劃

答案：B

解析：(答案同樣為B,觀察比訪談更客觀)

94.容量管理的目標是確保：

A、充分地利用可用資源。

B、可排除。

C、有效地使用組織的資源。

D、將新資源分配給新應(yīng)用程序。

答案：A

95.關(guān)于數(shù)據(jù)庫鎖定的記錄的目的是什么？（DBMS的記錄鎖定Recordingoption

能夠？）

A、數(shù)據(jù)管理員防止數(shù)據(jù)被刪除

B、防止記錄的同時輸入

C、指定文件不讓其他人員訪問

答案：B

96.在進行IT風險評估時，應(yīng)首先執(zhí)行以下哪一個步聚？

A、評估現(xiàn)行控制

B、評估漏洞

C、識別潛在的威脅

D、識別要保護的資產(chǎn)

答案：D

97.以下哪項是檢查性控制？

A、輸錯了3次密碼，就鎖定該賬戶ID

B、建立整個系統(tǒng)的災難恢復計劃

C、審查特權(quán)用戶的登陸日志

D、要求用戶通過電子郵件系統(tǒng)請求額外的訪問

答案：C

98.源代碼庫應(yīng)該設(shè)計用于：。

A、提供自動整合并分發(fā)修改后的代碼。

B、防止對現(xiàn)有代碼進行變更。

C、為現(xiàn)有代碼提供安全的版本管理和備份功能。

D、防止開發(fā)者訪問安全源代碼。

答案：C

99.哪項風險對抽樣方法的選擇影響最大？

A、固有風險

B、殘余風險

C、檢;則風險

D、控制風險

答案：D

100.抽樣方法受以下哪種風險的影響？

A、控制風險

B、固有風險

C、審計風險

D、檢;則風險

答案：A

解析：lieaven說題：在確定固有風險后，審計師對控制風險進行評估，從而確

定抽樣方法和具體的測試方法。檢測風險是指審計人員經(jīng)過實質(zhì)性測試仍未發(fā)現(xiàn)

管理層認定中的重大失實陳述的風險，檢測風險由抽樣風險和非抽樣風險組成。

檢測風險將直接響應(yīng)審計風險。

101.對于問題的整改，公司并未按先前商定的程序去按時跟進，且高級管理層已

接受相關(guān)風險，如果審計師不同意管理層的決定，最佳的處理方式是？

A、將問題報告給首席審計執(zhí)行官，尋求解決方法

B、在審計范圍內(nèi)重新執(zhí)行審計，但僅涵蓋具有可接受風險的領(lǐng)域

C、既然高級管理層已經(jīng)接受風險，不需要任何行動

D、建議新的糾正行動以緩釋可接受的風險

答案：A

102.以下哪一個角色的支持對信息安全洽理的影響最大？

A、信息安全指導委員會

B、董事會

C、首席信息安全官

D、首席信息官

答案：B

103.信息系統(tǒng)審計師應(yīng)該會在下列哪一個SDLC階段，發(fā)現(xiàn)控制措施已集成到系

統(tǒng)規(guī)范中？

A、實施

B、設(shè)計

C、開發(fā)

D、可行性研究

答案：B

104.為使信息系統(tǒng)審計師更好地從發(fā)現(xiàn)和結(jié)論中做出判斷，審計證據(jù)應(yīng)符合以下

哪些要求？

A、采集、經(jīng)過檢查并且受到保護

B、符合法律法規(guī)要求

C、被認為是充分的人可靠的和相關(guān)的

D、符合監(jiān)管要求

答案：C

105.在提交審計報告前，審計經(jīng)理發(fā)現(xiàn)由于錯誤的收集了審計證據(jù)導致可能審計

結(jié)論不正確，該風險屬于什么風險？

A、固有風險

B、操作風險

C、審計風險

D、控制風險

答案：C

106.哪一項是進行IT控制環(huán)境基準測試的主要目標？

A、確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性

B、確保IT安全戰(zhàn)略和政策有效

C、定義流程和控制所有權(quán)

D、檢測控制偏差

答案：D

107.在選擇和部署使用面部識別軟件的生物特征識別系統(tǒng)前，必須完成以下哪一

項？

A、圖像干擾審查

B、錯誤的驗收測試

C\隱私影響分析

D、漏洞評估

答案：C

108.規(guī)劃審計時。對重要性進行評估的作用是：

A、可排除小錯誤的累計效應(yīng)

B、幫助審計集中在關(guān)鍵領(lǐng)域

C、在審計測試完成時告知審計師

D、集中于財務(wù)方面的項目

答案：B

109.新系統(tǒng)的實施是通過自行實施還是買用外包模式實施需要明知的決策，這應(yīng)

該實在哪個環(huán)節(jié)中考慮的？

A、業(yè)務(wù)案例

B、可行性分析

答案：B

110.在一個電壓忽高忽低的場景下，需要哪種設(shè)備保護系統(tǒng)

A、UPS

B、冗余電力（發(fā)電機）

C、穩(wěn)壓器

D、電源線調(diào)節(jié)器

答案：C

111.質(zhì)量保證團隊正在測試新的電子票務(wù)應(yīng)用程序，以下哪一項是最大的問題？

A、項目經(jīng)理希望推遲幾天實施

B、管理電子票務(wù)應(yīng)用程序的用戶管理流程還沒完成設(shè)計

C、稅表不會上傳到生產(chǎn)數(shù)據(jù)庫中

D、沒有明確定義執(zhí)行測試的用戶驗收標準

答案：D

112.審查公司IT戰(zhàn)略與IT計劃的一致性，信息系統(tǒng)審計師發(fā)現(xiàn)哪項最重要

A、未分發(fā)業(yè)務(wù)戰(zhàn)略會議紀要

B、IT未參與業(yè)務(wù)戰(zhàn)略的制定

C、IT戰(zhàn)略計劃的文檔不足

D、根據(jù)業(yè)務(wù)制定的IT戰(zhàn)略所導出的IT項目的成果物

答案：B

113.電力暫時增高減少的情況時應(yīng)選擇哪個設(shè)備？（選項中沒有穩(wěn)壓器）

A、冗余電力

B、UPS

C、備用發(fā)電機

D、關(guān)閉電源緊急開關(guān)

答案：B

114.信息系統(tǒng)審計師懷疑公司擁有的計算機可能涉及參與非法交易活動，審計師

應(yīng)采取的最佳方式是什么？

A、向?qū)徲嫻芾聿块T上報其擔憂

B、隔離并保存?zhèn)浞?/p>

C、通知執(zhí)法部門

D、在計算機上安裝監(jiān)控工具

答案：A

115.哪一項是審計師對于幫助企業(yè)提高資源效率的最佳建議？

A、實時備份

B、可排除

C、硬件升級

D、虛擬化

答案：D

116.什么影響DRP?（信息系統(tǒng)審計師檢查恢復策略的充分性主要檢查下列哪個

因素？）

A、BIA

B、RTO

C、RPO

答案：A

117.開發(fā)團隊每天都將包含個人信息的數(shù)據(jù)同步到測試環(huán)境，需要獲得誰的授權(quán)

A、數(shù)據(jù)所有者

B、個人信息主體

C、信息安全經(jīng)理

D、系統(tǒng)管理員

答案：A

118.為驅(qū)動問責制以實現(xiàn)在IT項目利益實現(xiàn)計劃中的預期結(jié)果，應(yīng)采取以下哪

項措施？

A、確保項目經(jīng)理擁有正式的權(quán)限來管理利益實現(xiàn)計劃

B、確保IT部門對收益實現(xiàn)計劃各個方面的交付和跟蹤負責

C、記錄該項目與同一計劃中其他項目時間的相依性

D、為計劃中每個已識別的利益分配職責、措施和時間表

答案：D

119.針對web應(yīng)用程序中的安全漏洞以獲得對數(shù)據(jù)集的訪問權(quán)限的攻擊方式是:

A、Rootkit

B\拒絕服務(wù)(DoS)

GSOL注入

D、網(wǎng)絡(luò)釣魚(phishing)攻擊

答案：C

120.提交了審計報告，部門未整改，應(yīng)該？

A、報告管理層

B、評估影響

C、重新驗證審計發(fā)現(xiàn)

答案：A

121.信息系統(tǒng)審計師在上線之前審查新系統(tǒng)的項目計劃時，注意到項目團隊尚未

記錄恢復計劃。以下哪一項是這一情況下最佳的系統(tǒng)上線方法？

A、均衡負載

B、(明顯不對，可排除)

C、立即切換

D、并行切換

答案：D

122.系統(tǒng)檢查工作人員的信息代碼是“退休”還是“在職”，這是哪種類型的檢

查？

A、有效性檢查

B、完整性檢查

C、存在性檢查

D、可排除

答案：A

123.信息系統(tǒng)審計師發(fā)現(xiàn)數(shù)據(jù)庫管理系統(tǒng)維護后未重新啟動審計日志，以下哪一

項是最大的問題？

A、將不能記錄數(shù)據(jù)庫管理員所作的更改操作

B、將不能優(yōu)化數(shù)據(jù)庫的觸發(fā)器和指針

C、將不能記錄應(yīng)用程序用戶所作的更改操作

D、將妨礙數(shù)據(jù)庫優(yōu)化

答案：A

124.以下哪項可以提供邏輯訪問控制，以禁止更新或刪除關(guān)系數(shù)據(jù)庫(relation

aIdatabase)中的業(yè)務(wù)信息？

A、觸發(fā)器

B、視圖

C、關(guān)聯(lián)數(shù)據(jù)

D、可排除

答案：B

125.下列哪項數(shù)據(jù)分布式系統(tǒng)中的檢查性策略?

A、審查特權(quán)用戶日志

B、輸入密碼錯誤三次后鎖定

C、對電子郵件申請額外的加密請求

D、建立BCP

答案：A

126.公司要將保密數(shù)據(jù)給到下游應(yīng)用系統(tǒng)，最能保證安全性的是？（金融機構(gòu)需

要向下屬分公司傳輸機密性的數(shù)據(jù)，最佳做法是？）

A、SFTP（安全文件傳輸協(xié)議）

B、帶時間截的文件頭

C、SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）

D、SNTP（簡單網(wǎng)絡(luò)數(shù)據(jù)協(xié)議）

E、安全外殼SSH（遠程登錄和其他網(wǎng)絡(luò)上用戶層網(wǎng)絡(luò)層協(xié)議）

F、

使用靜態(tài)密鑰雙向加密

答案：A

127.在審計射頻識別技術(shù)（RFID）時，最應(yīng)該注意什么？

A、可擴展性

B、不可否認性

C、隱私

D、可維護性

答案：C

128.以下哪項是檢測重復付款最有效的方法？

A、加密和解密信息摘要

B、評估付款歷史的合理性和審批情況

C、查看每個交易的序列號和時間戳

D、使用加密哈希算法

答案：C

129.哪一項能最有效地防止舊硬盤的數(shù)據(jù)泄露？

A、重復寫（覆寫）

B、物理破壞

C、低級格式化

D、消磁

答案：B

130.在制定項目風險登記表時：以下哪項是最重要的行動？

A、進行waIkthrough穿行測試

B、為已識別的風險分配風險所有權(quán)

C、確定風險評分標準

D、制定風險行動計劃

答案：B

131.信息系統(tǒng)審計師正在審查外包客戶服務(wù)部門的服務(wù)管理。以下哪一項最能表

明服務(wù)提供商執(zhí)行此職能的效能？

A、有效通話次數(shù)

B、客戶滿意度評級

C、工單平均時長

D、通話記錄審查

答案：B

132.公司將其應(yīng)用程序遷移到私有云中的laaS平臺。誰將負費所部署應(yīng)用程序

所在操作系統(tǒng)的安全配置？

A、云提供商

B、操作系統(tǒng)供貨商

C、公司

D、可排除

答案：C

133.項目開發(fā)階段，新增加了一個功能點，以下哪項影響最大？

A、未滿足用戶需求

B、項目關(guān)鍵路徑改變

C、超出預算

D、項目延遲完成

答案：A

134.以下哪一項是使用能力成熟度模型的最大優(yōu)勢？

A、績效改進相關(guān)的描述（可以排除）

B、幫助企業(yè)開發(fā)一個向其期望的成熟度級別發(fā)展的路線圖

C、提供了與類似企業(yè)的成熟度級別進行對標的方式

D、幫助企業(yè)評估多久才能在每個領(lǐng)域達到最高的成熟度級別

答案：B

135.在審查DRP時，最需要注意的事項是哪個？

A、沒有規(guī)定宣布災難的職責

B、CIO沒有批準與簽署DRP計劃

C、沒有將DRP文件備份儲存在異地安全的地方

D、DRP恢復步驟不詳細

答案：A

136.下列哪項會使IT戰(zhàn)略與業(yè)務(wù)目標不一致：

A、CIO沒有參與董事會會議

B、新的業(yè)務(wù)流程實施中IT預算不足

GCIO制定IT戰(zhàn)略

D、業(yè)務(wù)戰(zhàn)略規(guī)劃沒有信息安全的參與

答案：A

137.企業(yè)開發(fā)系統(tǒng)有4個模塊，最后一個涉及將數(shù)據(jù)更新至數(shù)據(jù)庫中，信息系統(tǒng)

審計師應(yīng)檢查什么

A、實體關(guān)系圖

B、配置數(shù)據(jù)庫管理

C、變更管理

D、數(shù)據(jù)流圖

答案：D

138.IDS能檢測什么類型的攻擊？

A、系統(tǒng)掃描

B、垃圾郵箱

C、欺騙

D、邏輯炸彈

答案：A

139.信息系統(tǒng)審計師提交審計報告和整改建議后，公司更換了管理層，新上任的

管理人員對之前的整改建議拒不執(zhí)行，以下哪種是最佳執(zhí)行選擇：

A、報告給審計經(jīng)理

B、報告給審計委員會主席

C、重新進行測試

D、終結(jié)審計問題

答案：A

140.審計師關(guān)注UAT測試的重點是？

A、已完成應(yīng)用程序接口測試

B、已完成系統(tǒng)集成測試

C、業(yè)務(wù)流程所有者簽字確認測試結(jié)果。

答案：C

141.信息系統(tǒng)審計師提交審計報告和整改建議后，公司更換了管理層，新上任的

管理人員對之前的整改建議拒不執(zhí)行，以下哪種是最佳執(zhí)行選擇：

A、報告給審計經(jīng)理

B、重新進行測試

C、終結(jié)審計問題

D\報告給審計委員會主席

答案：A

142.發(fā)生災難時，什么是確保組織備份介質(zhì)有效性的最佳方案？

A、定期在測試環(huán)境中恢復生產(chǎn)系統(tǒng)

B、有計劃的備份設(shè)備維護

C、定期審查備份日志，以確保生產(chǎn)環(huán)境中的所有數(shù)據(jù)得到備份

D、有計劃的備份介質(zhì)讀取/寫入測試

答案：D

143.審計師作為開發(fā)小組成員，該小組正在采購軟件。以下哪一項有損該審計獨

立性？

A、鑒證供應(yīng)商選擇流程

B、批準供應(yīng)商選擇方法

C、驗證每項選擇標準的權(quán)重

D、可排除

答案：B

144.項目實施后一個月，審查中采用調(diào)查問卷的方式，哪項影響最大

A、一個月之后才發(fā)問卷

B、問卷沒有開放性回答

C、沒有把結(jié)果報告管理層

D、用戶對調(diào)查問卷參與不積極

答案：C

145.以下哪一項是系統(tǒng)交更回退計劃的主要目的？

A、確保系統(tǒng)變更有效

B、確保在實施變更之前存在備份

C、確保在需要時可以重新執(zhí)行測試

D、確保存在必要時刪除變更的步驟

答案：D

146.數(shù)據(jù)匿名化可以防止大數(shù)據(jù)環(huán)境中哪類攻擊？

A、相關(guān)性correIation

B、拒絕服務(wù)DDOS

C、中間人攻擊

D、欺騙

答案：A

147.當企業(yè)實施安全信息和事件管理(SIEM)系統(tǒng)時，建立了哪一種控制類型？

A、檢測性

B、改正性

G指導性

D、預防性

答案：A

解析：

SIEM,全稱為安全信息與事件管理，是一種企業(yè)級的安全管理解決方案。它通過

收集和分析來自各種不同來源的安全事件數(shù)據(jù)，來識別、預防和響應(yīng)網(wǎng)絡(luò)安全威

脅。在數(shù)據(jù)整合之后，SIEM系統(tǒng)會對數(shù)據(jù)進行分析，以便發(fā)現(xiàn)任何異?；蚩梢?/p>

的模式。最后，如果SIEM系統(tǒng)檢測到可能的安全威脅，它會發(fā)出警報，通知管

理員進行進一步的調(diào)查和響應(yīng)。

148.以下哪項會通過將自身追加到文件中來防御病毒？

A、行為攔截程序

B、循環(huán)冗余校驗(CRC)

C、免疫程序

D、主動監(jiān)控程序

答案：C

149.客戶可以通過internet直接訪問一個web應(yīng)用系統(tǒng)(客戶關(guān)系管理系統(tǒng))。

以下哪一項是審計師最擔心的？

A、系統(tǒng)部署在企業(yè)內(nèi)部網(wǎng)段中

B、系統(tǒng)托管在第三方服務(wù)商的混合云平臺中

C、系統(tǒng)部署在公司網(wǎng)絡(luò)的DMZ區(qū)中

D、系統(tǒng)托管在第三方供應(yīng)商的服務(wù)器上

答案：B

150.評估云環(huán)境下的應(yīng)用程序的控制措施時，審計師最應(yīng)關(guān)注以下那項？

A、云環(huán)境下系統(tǒng)的可用性

B、系統(tǒng)所支持的業(yè)務(wù)流程

C、正在接受審計的業(yè)務(wù)領(lǐng)域的相關(guān)政策和程序

D、系統(tǒng)結(jié)構(gòu)和云環(huán)境

答案：B

151.基于風險的審計方法其主要好處是：

A、識別關(guān)鍵控制措施

B、縮小審計范圍

C、確定審計資源的優(yōu)先級

D、了解業(yè)務(wù)流程。

答案：C

152.可以駐留在WEB服務(wù)器上的功能？

A、監(jiān)控的主機數(shù)量

B、流量分析

C、發(fā)送接受警告

D、啟動關(guān)閉服務(wù)器

答案：B

153.為了解決審計發(fā)現(xiàn)，以下哪一項是信息系統(tǒng)審計師的角色？

A、解釋審計發(fā)現(xiàn)并提供一般建議

B、提供整改方案并協(xié)助管理層實施

C、設(shè)計信息系統(tǒng)架構(gòu)

答案：A

154.審計師對團隊進行特定項目通過特定控制進行審計時，對于出現(xiàn)頻率較低的

關(guān)鍵控制，以不哪種抽樣方式能發(fā)現(xiàn)欺詐行為有所幫助？

A、停走抽樣

B、發(fā)現(xiàn)抽樣

C、貨幣單位抽樣

D、隨機抽樣

答案：B

155.企業(yè)開發(fā)人員每日將PIT生產(chǎn)環(huán)境數(shù)據(jù)導入測試環(huán)境，關(guān)于數(shù)據(jù)隱私防護角

度哪種最能降低風險？

A、高級管理層同意并簽字

B、數(shù)據(jù)加密

C、數(shù)據(jù)清洗

D、數(shù)據(jù)所有者的簽字授權(quán)

答案：B

解析：數(shù)據(jù)清洗是數(shù)據(jù)分祈領(lǐng)域的概念，為對數(shù)據(jù)進行整理（如刪除異常值等），

與數(shù)據(jù)脫敏是完全不同的概念。

156.企業(yè)正在進行購買硬件以支持新web服務(wù)器的可行性研究，遺漏下列哪一項

將帶來最大影響？

A、潛在供商的聲譽

B、潛在供應(yīng)商的財務(wù)穩(wěn)定性

C、所需硬件的備選方案

D、產(chǎn)品的成本效益分析

答案：D

157.下面哪一項措施是防止非授權(quán)登錄最可靠的方法？

A、加強現(xiàn)有的安全策略

B、發(fā)放身份令牌

C、限制在下班后使用計算機

D、安全自動密碼生成器

答案：B

158.雇員有意或無意將敏感信息通過郵件發(fā)送到外部，在實施郵件控制措施之前,

首先最重要的是要做什么？

A、安裝程序監(jiān)測郵件內(nèi)容和雇員活動

B、實施數(shù)據(jù)分類

C、與雇員簽署保密協(xié)議

D、對郵件服務(wù)器進行加固

答案：B

159.白箱測試方法適用于以下哪項測試程序？

A、并行測試

B、社交測試

C、用戶驗收測試

D、集成測試

答案：D

160.在信息安全審計時，信息系統(tǒng)審計師得由外部咨詢顧問執(zhí)行了一項安全審查,

對審計師來說，下面哪項是最重要的？

A、審查咨詢顧問提交的類似報告

B、重新執(zhí)行安全審查

C、評定咨詢顧問的客觀性和勝任能力

D、接受咨詢顧問的發(fā)現(xiàn)和結(jié)論

答案：C

161.為減輕API查詢公開數(shù)據(jù)的風險，以下哪項考慮因素最重要？

A、數(shù)據(jù)完整性

B、數(shù)據(jù)質(zhì)量

C、數(shù)據(jù)最小化

D、數(shù)據(jù)保留

答案：C

162.在制定數(shù)據(jù)保留政策(dataretentionpolicy)時，首要考慮的是：

A、設(shè)計基礎(chǔ)設(shè)施存儲戰(zhàn)略

B、識別法律和合同規(guī)定的數(shù)據(jù)保留期

C、確定數(shù)據(jù)的安全訪問權(quán)限

D、根據(jù)保留期確定備份周期

答案：B

163.包含敏感信息的EUC存在哪項最大的風險

A、數(shù)據(jù)未被保護

B、系統(tǒng)未被包含進庫存

C、沒有審計日志

D、安全授權(quán)不可用

答案：A

164.IT審計師審查了為系統(tǒng)實施所做的審計工作，并確定導致重大問題的弱點

不在審計范圍內(nèi)。這很有可能是在審計計劃時哪一種類型的審計風險最可能被忽

略？

A、抽樣風險

B\檢）則風險

C\固有風險

D、控制鳳險

答案：C

165.以下哪一項對防止未經(jīng)授權(quán)訪問最有效？

A、數(shù)據(jù)中心必配備鑰匙卡系統(tǒng)

B、數(shù)據(jù)中心區(qū)域必須處于連續(xù)的監(jiān)控之下

C、必須在所有數(shù)據(jù)中心附近放置警告標志和標牌

D、防撞門必須放置在數(shù)據(jù)中心之外

答案：A

166.因為數(shù)據(jù)泄漏事件，公司開展審計，以下哪個審計結(jié)果最應(yīng)該報告給管理

層？

A、員工對相關(guān)的安全政策沒有意識和技能

B、安全意識教育研討會未完成

C、桌面密碼缺少特殊Z字符

D、員工沒有簽署競業(yè)協(xié)議

答案：B

167.企業(yè)將某個系統(tǒng)部署到私有云的issa,問誰為系統(tǒng)安全最終負責：

A、企業(yè)

B、企業(yè)和云供應(yīng)商

C、操作系統(tǒng)供應(yīng)商

D、云供應(yīng)商

答案：A

168.公司使用云平臺進行IT管理，發(fā)生異常問題導致業(yè)務(wù)中止，應(yīng)該首先進行：

A、審計云服務(wù)商

B、事故響應(yīng)計劃

C、重新簽訂云服務(wù)合同

D、追究云服務(wù)商責任

答案：B

169.CMMI成熟度模型的作用最主要是什么？

A、有助于建立組織能力

B、將績效與同行進行對標

C、為企業(yè)提供標準的評估工具

D、促進與監(jiān)管的溝通

答案：C

170.IS信息系統(tǒng)SJ審計師審計時發(fā)現(xiàn)有些員工離職后，賬號仍然能訪問系統(tǒng),

為了防止這種情況，最好的控制是什么？

A、自動刪除一段時間沒有活動的員工賬號

B、自動刪除入職一定時間的員工賬號

C、不記得了，可排除

D、用一個軟件與人力資源的系統(tǒng)建立自動化接口

答案：D

171.以下哪種措施最可以有效地確認郵件在傳輸過程中未被修改

A、使用對稱加密方法加密郵件

B、使用發(fā)送者私鑰加密郵件

C、對郵件內(nèi)容進行強加密

D、把郵件和強加密的單向哈希值一起發(fā)送

答案：D

172.因業(yè)務(wù)激增，某公司來購了大型主機系統(tǒng)，信息系統(tǒng)審計師應(yīng)當主要考慮下

面哪一個因素？

A、DRP是否評估和更新

B、采購是否超過預算

C、投標是否經(jīng)過評估

D、應(yīng)用程序訪問控制是否充分

答案：D

173.以下哪一項是保護公司隱私相關(guān)數(shù)據(jù)安全的最佳方式？

A、對個人身份信息進行加密

B、告訴數(shù)據(jù)所有者收集信息的目的

C、將隱私相關(guān)數(shù)據(jù)歸類為機密信息

D、頒布數(shù)據(jù)分類方案

答案：D

174.用戶測試數(shù)據(jù)最好是用

A、隨機生成的數(shù)據(jù)

B、測試生成器生成的參數(shù)

C、模擬生產(chǎn)環(huán)境數(shù)據(jù)

D、供應(yīng)商提供的數(shù)據(jù)

答案：c

175.實施新的應(yīng)用程序軟件包（或第三方應(yīng)用），最大的風險是

A、參數(shù)配置錯誤

B、沒有審計軌跡

C、交易量過大

D、交易敏感度高

答案：A

176.什么能確保IT部門充分履行的他們的職能？

A、審計章程

B、確保IT策略在公司內(nèi)部被充分共享

C、為業(yè)務(wù)構(gòu)建流程圖

D、審計委員會會議記錄

答案：C

177.對于VoIP,信息系統(tǒng)審計師最關(guān)注什么？

A、不可抵賴性

B、服務(wù)的連續(xù)性

C、網(wǎng)絡(luò)的統(tǒng)一性

D、數(shù)據(jù)與語音網(wǎng)絡(luò)分離

答案：B

178.以下哪項數(shù)據(jù)具有最高的敏感性，應(yīng)受到最嚴格的保護？

A、滲透測試結(jié)果

B、安全事故數(shù)據(jù)

C、系統(tǒng)錯誤報告

D、系統(tǒng)訪問列表

答案：A

179.被審計跟蹤之前審計發(fā)現(xiàn)只進行了部分審計整政措施，審計師首先應(yīng)該

A、匯報管理層

B、評估剩余未解決問題風險

C、審查是否有補償性控制臨時解決問題

D、確保為解決問題仍記錄在審計報告中

答案：C

180.信息安全政策主要基準是？另一題為：信息系統(tǒng)審計師在協(xié)助企業(yè)定義信息

安全政策應(yīng)該考慮哪些因素？

A、過去發(fā)生的安全事故

B、行業(yè)最佳實踐

C、風險管理流程

D、安全管理框架

答案：D

181.對最近購買的系統(tǒng)進行實施后檢查時，最重要的是信息系統(tǒng)審計師要確定：

A、供應(yīng)商產(chǎn)品是否已提供可行的解決方案

B、項目利益相關(guān)者的預期是否己識別。

C、測試方案是否反映了運營活動

D、是否已滿足用戶需求

答案：D

182.某公司實施了虛擬化，但是對網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施沒有變動，最容易造成哪

種風險？

A、IDS檢測不了虛擬化到服務(wù)器的流量

B、虛擬平臺的漏洞會影響多合主機

C、系統(tǒng)文檔未更新以反映環(huán)境的變更

D、新的虛擬環(huán)境與原環(huán)境配置不同

答案：B

183.下列哪項最能表明安全角色和責任在整個企業(yè)都得到有效落實？

A、業(yè)務(wù)活動符合策略的規(guī)定

B、用戶簽署了保密協(xié)議

C、安全策略的出臺和發(fā)布

D、定期審查病毒更新策略

答案：A

184.采用面向服務(wù)的架構(gòu)將最有可能：

A、禁止與舊有系統(tǒng)時間的集成。

B、使合伙人時間的連接更加便利。

C、危害應(yīng)用程序軟件的安全性。

D、簡化所有內(nèi)部流程。

答案：B

185.存儲機密信息的電子介質(zhì)要送到異地，怎樣才能確保最大程度的安全性？

A、找經(jīng)過認證和有擔保的信使（運送服務(wù)商）

B、對機密信息文件進行數(shù)字簽名

C\用安全鎖物理加固介質(zhì)

D、加密介質(zhì)

答案：D

186.公司已將部分業(yè)務(wù)外包出去，現(xiàn)在打算對外包服務(wù)商審計，要確定審計范圍，

內(nèi)部審計師首先要（）

A、與外包服務(wù)商商定審計目標

B、審查外包合同

C、審查外包商的內(nèi)部控制

答案：B

187.對在線系統(tǒng)實施BCP計劃中下列哪一項最重要？

A、供應(yīng)商的網(wǎng)絡(luò)安全

B、單一故障點

C、供應(yīng)商的解決問題的能力

D、供應(yīng)商的財務(wù)穩(wěn)定性

答案：B

188.一個有大量桌面程序的應(yīng)用，為了盡早能在前期發(fā)現(xiàn)界面程序的錯誤，應(yīng)該

采取哪種測試方法：

A、社交測試

B、自上而下

C、自下而上

D、邏輯路徑監(jiān)測

答案：B

189.哪一項是確定最近安裝的入侵檢測系統(tǒng)（IDS）的有效性的最佳方式？（已發(fā)

布）

A、實施訪問控制

B、進行攻擊模擬

C、審查審計日志

D、檢查IDS配置

答案：D

190.在共享的處理環(huán)境中，最大的挑戰(zhàn)是：

A、分離客戶數(shù)據(jù)

B、分離客戶網(wǎng)絡(luò)

C、合并結(jié)果

D、保持一致的標準

答案：A

191.執(zhí)行跟蹤審計期間，管理層告知1S審計師沒有足夠資源和時間完成所有的

審計建議和整改，下一步應(yīng)該？

A、建議對未整改項實施補償性控制

B、評估未整改項導致的殘余風險

C、停止跟蹤審計，因為問題尚未解決

D、確保在審計報告中保留未整改項

答案：B

192.在開發(fā)階段添加新功能時，以下哪項是與沒有遵循項目更改管理流程相關(guān)的

主要風險

A、新功能可能不符合要求

B、尚未記錄添加的功能

C、項目超出預算

答案：A

193.以下哪項是檢測型控制（又稱發(fā)現(xiàn)型控制

A、物理訪問時的證章

B、輸入時的編輯檢查效

C、哈希值驗證

D、恢復程序（或者備份流程）

答案：C

194.對從數(shù)據(jù)倉庫生成的商業(yè)報告的質(zhì)量進行審查時，最應(yīng)關(guān)注下面哪種情況？

A、數(shù)據(jù)錯誤未經(jīng)過IT人員一致審查

B、數(shù)據(jù)質(zhì)量報告無法提供對業(yè)務(wù)發(fā)展趨勢的洞見

C、數(shù)據(jù)質(zhì)量報告每晚批量從數(shù)據(jù)倉庫中生成導出

D、報告中的數(shù)據(jù)錯誤在數(shù)據(jù)倉庫中已得到修正

答案：A

195.某公司既執(zhí)行完整數(shù)據(jù)庫備份和增量數(shù)據(jù)庫備份。當數(shù)據(jù)中心遭破壞后，以

下哪一項能夠提供最佳的完全恢復？

A、每周將完全備份移至異地站點

B、每日將增量備份存放到異地站點

C、將完全備份和增量備份放在安全的服務(wù)器機房里面

D、每日將所有備份循環(huán)存放到異地站點

答案：D

196.以下哪項最能保證數(shù)據(jù)庫管理系統(tǒng)的最高性能？

A、定期維護

B、數(shù)據(jù)一致性

C、數(shù)據(jù)庫正規(guī)化

D、數(shù)據(jù)備份

答案：B

197.公司發(fā)現(xiàn)企業(yè)的數(shù)據(jù)安全存在重大漏洞，CEO要求對網(wǎng)絡(luò)安全進行審計，但

因公司重組問題，目前只有幾個審計師，且能力一般，這種情況下，最合適的解

決方案是：

A、尋找外部第三方審計

B、列入下個年度進行審計

C、找目前審計師中最資深的人員開展審計

D、延遲項目，先實施審計技能培訓I,然后再執(zhí)行審計

答案：A

198.以下那種情況可以認為系統(tǒng)遭受了攻擊？

A、下班時間對系統(tǒng)訪問量增加

B、清晨和傍晚的訪問量增加

C、一天中某個時段或每周的某段固定時間訪問量增加

D、公司的什么自動登錄內(nèi)部網(wǎng)絡(luò)（四個字母英文縮寫）的系統(tǒng)已經(jīng)關(guān)閉

答案：B

199.IS抽樣時，審計師重點審查賬戶金額超過200,000美金的客戶賬戶，應(yīng)使

用那種抽樣方法？

A、判斷抽樣

B、分層抽樣

C、發(fā)現(xiàn)抽樣

D、隨機抽樣

答案：B

200.開發(fā)人員對薪資系統(tǒng)中的數(shù)據(jù)字段做了未經(jīng)授權(quán)的變更。下列哪一種控制弱

點最可能導致該問題？

A、程序設(shè)計人員有權(quán)訪問生產(chǎn)程序。

B、工資文件不受程序庫管理員控制。

C、可排除

D、程序設(shè)計人員沒有讓用戶參與測試。

答案：A

201.在制定業(yè)務(wù)連續(xù)性計劃(BCP),時，應(yīng)首先完成以下哪一項？

A、執(zhí)行漏洞分析

B、進行BlA分析

C、審查環(huán)境控制措施

D、執(zhí)行業(yè)務(wù)威脅評估

答案：B

202.IT治理審查中，哪一項信,息系統(tǒng)審計師是最擔憂的？

A、公司允許兩套操作系統(tǒng)

B、未監(jiān)控預算

C、IT價值分析未完成

D、公司的全部IT技術(shù)都是由第三方提供的。

答案：C

203.企業(yè)建立了開發(fā)、測試及生產(chǎn)三種IT處理環(huán)境。將開發(fā)環(huán)境和測試環(huán)境分

開的主要原因是：

A、將用戶的訪問權(quán)限限制在測試環(huán)境以內(nèi)。

B、在IT人員和最終用戶之間實現(xiàn)職責分離

C、在穩(wěn)定的環(huán)境下進行測試。

D、保護開發(fā)中的程序不受未經(jīng)授權(quán)的測試。

答案：C

204.對互聯(lián)網(wǎng)防火墻固有漏洞的有效攻擊是

A、網(wǎng)絡(luò)釣魚

B、大量數(shù)據(jù)（Dos）攻擊網(wǎng)站

C、攔截數(shù)據(jù)包并破獲密碼

D、針對加密密碼的字典攻擊

答案：A

205.高級管理層缺乏哪項決策會造成最大的數(shù)據(jù)泄露風險？

A、沒有對桌面電腦加密

B、沒有實施員工安全意識培訓

C、員工可以遠程辦公

D、安全政策有一年沒有進行更新

答案：B

206.對電子取證調(diào)查各個方面進行記錄的最重要原因是該記錄文件？

A、確保在未來的調(diào)查中可以重復該流程（留下依據(jù)）

B、符合IT審計文件要求與標準

C、為第三方的獨立調(diào)查提供可追溯性

D、確保遵守企業(yè)事故響應(yīng)政策

答案：C

207.以下哪一項是災難恢復計劃的步驟之一

A、評估和量化風險

B、與災難計劃咨詢顧問協(xié)商合同

C、獲得替代設(shè)備供應(yīng)

D、確定應(yīng)用程序控制需求

答案：A

208.信息系統(tǒng)審計師評估web應(yīng)用項目的進度，最適合調(diào)閱哪份材料？

A、積壓消耗報告

B、開發(fā)者狀態(tài)報告

C、關(guān)鍵路徑分析報告

D、更改管理報告

答案：C

209.企業(yè)部署了數(shù)據(jù)存儲硬件，IS審計師應(yīng)審查哪一項以評估IT是否最大限度

地利用了存儲和網(wǎng)絡(luò)?

A、質(zhì)量管理系統(tǒng)

B、日常和非日常作業(yè)時間表

C、停機時間統(tǒng)計

D、容量管理計劃

答案：D

210.審查網(wǎng)絡(luò)打印機處置的時候，審計師應(yīng)該最擔心的是什么？

A、沒有足夠的證據(jù)表明處置的打印機的硬盤徹底清除

B、業(yè)務(wù)部門直接將打印機交給了授權(quán)的供應(yīng)商處置

C、未按照政策和方案規(guī)定來處置

D、打印機放在不安全的區(qū)域

答案：A

211.銀行對計算利息的計算機程序做了很小的改動。哪一項能最好地確定利息計

算是否正確？

A、審查源代碼

B、使用審計軟件進行并行模擬

C、手動驗證結(jié)果樣本

D、審查QA測試結(jié)果

答案：B

212.加密磁帶備份最怕什么？

A、密鑰丟失

B、消磁

C、備份發(fā)生錯誤

答案：B

213.企業(yè)信息系統(tǒng)目標的最佳來源是什么？

A、信息安全管理部門

B、業(yè)務(wù)流程所有者

GIT管理部門

D、最終用戶

答案：B

214.新系統(tǒng)開發(fā)延期，耽誤了關(guān)鍵的實施期限，以下哪一項最重要?

A、確保代碼經(jīng)過審查

B、執(zhí)行用戶驗收測試

C、記錄系統(tǒng)最新改進

D、執(zhí)行實施前審計

答案：B

215.對供應(yīng)鏈管理應(yīng)用程序執(zhí)行業(yè)務(wù)影響分析(BIA)的最佳方法是？

A、審查組織內(nèi)的政策和程序

B、在關(guān)鍵的內(nèi)部利益關(guān)系方時間開展問卷調(diào)查

C、參考IT人員對業(yè)務(wù)問題的看法

D、與關(guān)鍵利益干系人進行溝通討論

答案：D

216.審計報告提交給被審方前，審計報告應(yīng)該由誰檢查

A、審計經(jīng)理

B、高層管理者

C\項目經(jīng)理

D、系統(tǒng)管理員

答案：A

217.衡量災難恢復計劃有效性中業(yè)務(wù)恢復的最佳途徑是？

A、定義恢復點目標RPO

B、業(yè)務(wù)影響分析BIA

C、模擬災難恢復

D、評估與功能成熟度模型的差距

答案：C

218.控制總計能夠降低以下哪一項風險？

A、不當授權(quán)

B、備份錯誤

C、處理不完整

D、過帳到錯誤記錄

答案：C

219.非正規(guī)化（非規(guī)范化）對數(shù)據(jù)庫庫的最大影響是什么:

A、影響完整性

B、停滯不前的性能

C、數(shù)據(jù)的準確性

D、數(shù)據(jù)的機密性

答案：A

220.網(wǎng)上系統(tǒng)應(yīng)用在使用過程中由于數(shù)據(jù)量大導致延遲，系統(tǒng)響應(yīng)時間無法接受,

哪一項可以提升應(yīng)用的性能？

A、RAID5（數(shù)據(jù)復制技木）

B、磁盤鏡像

C、負載均衡

D、調(diào)整防火墻配置

答案：C

221.在評估企業(yè)資源規(guī)劃（ERP）實施供應(yīng)商時，信息系統(tǒng)審計師應(yīng)首先建議執(zhí)行：

A、調(diào)查供應(yīng)商的財務(wù)歷史

B、檢查供應(yīng)商的客戶參考

C、制定供應(yīng)商響應(yīng)計分卡

D、審查供應(yīng)商過去的實施項目

答案：D

222.應(yīng)用程序可以使用用戶賬號訪問底層數(shù)據(jù)庫，審計師最擔心：（也有考生反

饋題干描達為：底層用戶可以直接訪問數(shù)據(jù)庫，哪項風險大？）

A、用戶可以繞過應(yīng)用程序訪問數(shù)據(jù)庫

B、用戶賬戶停用了，仍然可以訪問

C、應(yīng)用程序?qū)徲嬘涗洸荒馨啃畔?/p>

D、底層數(shù)據(jù)庫完整性被破壞

答案：A

解析:

底層數(shù)據(jù)庫為表鏈接提供

223.在審查企業(yè)的生物特征識別訪問系統(tǒng)時，以下哪一項應(yīng)是最大的擔憂？

A、未加密的生物識別信息保存在讀取器設(shè)備上

B、生物識別系統(tǒng)用于驗證但不用于識別

C、肯定可排除

D、錯誤拒絕率高

答案：A

224.公司請外部審計人員來審計，內(nèi)部審計人員發(fā)現(xiàn)外部審計人員的一些證據(jù)文

件與內(nèi)審報告結(jié)論有差異，內(nèi)部審計人員應(yīng)該怎么做？

A、向高級管理層報告

B、請專家重新檢查確認審計結(jié)論（請外部專家進行額外的測試）

C、在報告中說明范圍限制

D、對外披露

答案：B

225.以下哪項應(yīng)包含在組織的信總安全政策中：

A、身份驗證要求

B、安全配置的設(shè)置

C、安全編碼流程

D、資產(chǎn)的生命周期

答案：A

226.確保從遠程位置傳到生產(chǎn)倉庫的斷有訂單都準確和完整校收的最適當控制

是:

A、發(fā)送并核對交易記錄數(shù)量和匯總交易總數(shù)。

B、跟蹤并計算銷售訂單編號的連續(xù)性。

C、驗證奇偶校驗是否仍然有效。

D、將數(shù)據(jù)傳回發(fā)源地，然后進行比對

答案：A

227.IT部門的資源不足，項目無法按時完成。下一年度要計劃招聘IT人員，以

下哪項為IT人員編制計劃提供最佳指南？

A、人力資源編制戰(zhàn)略

B、以往項目的實際花費時間記錄

C、下一年的年度預算

D、同行業(yè)的預算參考基準

答案：B

228.數(shù)據(jù)分類的第一步？

A、盤點數(shù)據(jù)資產(chǎn)

B、確定風險偏好

C、定義數(shù)據(jù)所有權(quán)

D、確定敏感度水平

答案：A

229.企業(yè)災難發(fā)生后，業(yè)務(wù)中斷，恢復后丟失了大量數(shù)據(jù)，因為錯誤定義了哪項？

A、RPO

B、RTO

C、DRP

D、BIA

答案：A

解析：RecoveryPointObjective(RPO),指的是最多可能丟失的數(shù)據(jù)的時長。Re

coveryTimeObjective(RTO),指的是從災難發(fā)生到整個系統(tǒng)恢復正常所需要的最

大時長。簡單區(qū)分的話，RPO是災難發(fā)生之前的時間，RTO是災難發(fā)生之后的時

間。

230.在審計生命周期的哪個階段適合與客戶討論初步審計意見？

A、執(zhí)行階段

B、報告階段

C、規(guī)劃階段

D、跟蹤階段

答案：B

231.哪種能夠最有效地對物理訪問提供最可靠的身份驗證？

A、智能卡和保衛(wèi)

B、感應(yīng)卡

C、視網(wǎng)膜

D、數(shù)字鍵盤和監(jiān)控攝像機

答案：C

232.如何充分驗證定期備份的及時性與有效性？

A、訪談關(guān)鍵人員

B、審查備份日志樣本

C、查看備份的策略與程序

D、觀察備份運行的執(zhí)行情況

答案：B

233.審計師發(fā)現(xiàn)防火墻已過時，并且供應(yīng)商已不提供支持。下列哪一項任務(wù)最恰

當?shù)孛枋隽俗罴训南乱恍袆臃桨福?/p>

A、報告風險緩解控制情況

B、確定不更換防火墻的風險

C、確定防火墻的價值

D、報告組織的安全狀況

答案：B

234.以下哪一個是提高安全事故檢測有效性的最佳方法？

A、培訓最終用戶關(guān)于識別可疑活動的知識

B、與適當?shù)姆ㄗC鑒定服務(wù)提供商簽訂服務(wù)水平協(xié)議(SLA)

C、記錄根本原因分析流程

D、根據(jù)事故類型確定抑制措施

答案：A

235.移動設(shè)備要丟棄，怎么保證安全？

A、多次覆寫

B、清除數(shù)據(jù)軟件清除數(shù)據(jù)

C、磁化該移動設(shè)備

D、格式化

答案：C

236.審查新成立的CalICenter內(nèi)的控制時，首先應(yīng)

A、評估與風險中心有關(guān)的操作風險

B、測試呼叫中心的技術(shù)基礎(chǔ)設(shè)施

C、從客戶那里收集服務(wù)響應(yīng)時間和服務(wù)質(zhì)量的信息

D、審查呼叫中心的人工和自動控制

答案：A

237.對新員工進行系統(tǒng)訪問權(quán)限的授權(quán)出現(xiàn)較大的延遲，從下面哪方面可以找到

根本原因：

A、已有的訪問權(quán)限

B、現(xiàn)有的工作流程模型

C、SLA服務(wù)水平協(xié)議

答案：B

238.審計新的應(yīng)用系統(tǒng)，審計師要最主要考慮：

A、風險分析

B、成本效益分析

C、項目可行性分析

D、業(yè)務(wù)影響分析

答案：A

239.數(shù)據(jù)分類的好處：

A、減少對敏感信息的保護成本

B、業(yè)務(wù)風險與敏感信息相匹配

C、提升企業(yè)人員的安全意識

D、監(jiān)管要求，必須實施

答案：A

240.在評估企業(yè)的漏洞掃描計劃的有效性時，以下哪項是信息系統(tǒng)審計師的最大

顧慮？

A、執(zhí)行漏洞掃描的頻率低于企業(yè)漏洞掃描計劃的要求

B、結(jié)果沒有報告給有權(quán)確保解決相關(guān)漏洞的干系人

C、未正式書面記錄針對已識別漏洞所采取的步驟

D、結(jié)果沒有得到高級管理層的批準

答案：B

241.在跟蹤審計過程中發(fā)現(xiàn)之前的審計報告，存在問題，首選需要報告給

A、業(yè)務(wù)管理部門

B、審計項目經(jīng)理

C、項目經(jīng)理

D、高級管理層

答案：B

242.要從外部聘請審計專家，審查哪方面可確定專家可勝任？

A、審查專家專業(yè)知識是否充足

B、審查專家的獨立性和客觀性

C、了解專家的審計經(jīng)驗

D、打聽專家的業(yè)界聲譽

答案：B

243.小型公司數(shù)據(jù)等級方案不正確，以下哪項是最佳措施

A、數(shù)據(jù)所有者與it安全人員一對一解釋

B、將數(shù)據(jù)分類政策發(fā)布到企業(yè)web

C、進行數(shù)據(jù)等級研討會及培訓

答案：A

244.下列哪一項能夠更好地完善流程改良（優(yōu)化）計劃？

A、基于模型的設(shè)計表示法

B、項目管理方法論

C、能力成熟度模型

D、平衡記分卡

答案：C

245.審計師對外包業(yè)務(wù)進行審查，最先查？

A、合同是否支持業(yè)務(wù)需求

B、合同中有沒有審計條款

C、合同中包含終止后提供支持

D、合同是否符合行業(yè)最佳實踐

答案：A

246.有效防范sql注入攻擊的最佳控制是？

A、SSL力口密

B、數(shù)字簽名

C、輸入驗證

D、unicode轉(zhuǎn)換

答案：C

247.在安排跟蹤審計時，以下哪一項是最重要的考慮因素？

A、與新審計師進行獨立驗證工作所需的努力

B、被審計方同意與審計師合作花費的時間

C、不采取整改措施會產(chǎn)生的影響

D、與觀察結(jié)果有關(guān)的控制和檢測風險

答案：C

248.某企業(yè)IT部門嚴重依賴外包商來維護關(guān)能系統(tǒng)。為了解決收入下降的問題,

董事會已決定將整個企業(yè)的所有外包商的預算減少30%。以下哪一項是IT領(lǐng)域

的最大風險？

A、關(guān)鍵系統(tǒng)可能得不到適當?shù)木S護

B、最終用戶可能無法從其余IT員工那里獲得足夠的支持

C、所需的軟件許可證預算可能不足

D、外包商可能會在離開之前嘗試從關(guān)鍵系統(tǒng)中提取有價值的數(shù)據(jù)

答案：D

249.公司外包服務(wù)給第三方，如何確定第三方提供的服務(wù)水平管理的外部審計報

告是可被接受的？

A、審計報告是最近12個月內(nèi)實施的

B、第三方服務(wù)商經(jīng)過獨立認證和認可

C、審計范圍和方法符合審計要求

D、報告確定并沒有違反服務(wù)水乎

答案：C

250.對于持續(xù)的數(shù)據(jù)質(zhì)量問題，以下哪項最能幫助分析和確定相應(yīng)的收入損失？

A、實施數(shù)據(jù)有效性驗證控制的成本

B、問題數(shù)量與平均停機時間的關(guān)系

C、數(shù)據(jù)獲取成本與銷售損失的對比

D、數(shù)據(jù)錯誤與交易價值損失的互相關(guān)系

答案：D

251.一名IS審計師正在審查某企業(yè)的系統(tǒng)開發(fā)測試政策。在以下有關(guān)使用生產(chǎn)

數(shù)據(jù)進行測試的陳述中，此IS審計師會認為哪項最恰當？

A、必須經(jīng)高級IS和業(yè)務(wù)管理層批準使用后，生產(chǎn)數(shù)據(jù)才能用于測試。

B、只要將生產(chǎn)數(shù)據(jù)復制到安全的測試環(huán)境中，就可使用。

C、決不能使用生產(chǎn)數(shù)據(jù)。必須基于書面的測試案例準備所有測試數(shù)據(jù)。

D、如果簽署了保密協(xié)議，便可使用生產(chǎn)數(shù)據(jù)。

答案：A

252.被審計方已告知信息系統(tǒng)審計師，其資金不是以實施審計報告中商定的建議,

且沒有預計的解決時間計劃，審計師應(yīng)對此情況采取的最佳方式是什么？

A、在無法實施完整解決方案的情況下評估風險

B、關(guān)閉該發(fā)現(xiàn)并記錄被審計方的解釋

C、獲得內(nèi)部審計批準，以將發(fā)現(xiàn)從報告中刪除

D、提出建議增加IT預算

答案：A

253.IDS的作用是

A、替代防火墻

B、補償身份驗證

C、為增強基礎(chǔ)信息設(shè)施安全提供信息

答案：c

254.檢測到服務(wù)器的實際使用量遠遠小于計劃，以下哪項措施可以改進服務(wù)器的

可用性？

A、系統(tǒng)的停機日志

B、容量規(guī)劃

C、服務(wù)器的配置

D、執(zhí)行流量負載均衡

答案：B

255.開展實施后審查的主要目的是檢驗：

A、己充分考慮了用戶訪問控制

B、已正確執(zhí)行了UAT測試

C、已符合企業(yè)體系結(jié)構(gòu)

D、已滿足用戶需求。

答案：D

256.如何保證防火墻有效的策略。

A、審查網(wǎng)絡(luò)日志

B、做滲透測試

C、審查入侵檢測報告

D、檢查防火墻配置

答案：D

257.賬戶并行更新交易如處理不當，會影響

A、可用性

B、完整性

C、機密性

D、責任歸屬（不可否認性）

答案：B

258.下列哪一項可用于評估IT運營效率？

A、總體擁有成本

B、平衡記分卡

C、凈現(xiàn)值

D、內(nèi)部收益率

答案：B

259.企業(yè)使用IAAS（基礎(chǔ)設(shè)施及服務(wù)）進行IT管理，誰應(yīng)該負責操作系統(tǒng)安全

A、企業(yè)

B、云服務(wù)商

C、操作系統(tǒng)提供商

D、企業(yè)和云服務(wù)商

答案：A

260.影響UAT測試的有效性？

A、測試數(shù)據(jù)是生產(chǎn)數(shù)據(jù)的精確復制

B、不是最終用戶的業(yè)務(wù)參與測試

C、在一個開發(fā)和用戶都可以進入的環(huán)境

答案：B

261.R0I分析在IT決策過程中的一個好處是提供

A、分配間接成本的基礎(chǔ)

B、更換設(shè)備的成本

C、分配財務(wù)資源的基礎(chǔ)

D、估計所有權(quán)的成本

答案：C

262.審計師在抽樣中設(shè)定了較高的預期差錯率，這將導致？

A、更多的樣本

B、更低的標準偏差

答案：A

263.審查項目可行性研究后，審計師最應(yīng)該做什么？

A、審查需求設(shè)計是否包含自動化控制

B、和項日經(jīng)理一起看預算和成本是否匹配

C、幫助用戶設(shè)計用戶驗收測試

答案：A

264.在取證數(shù)據(jù)采集和保存流程中以下哪項最重要？

A、保持數(shù)據(jù)完整性

B、確保設(shè)備的物理安全

C、維持保管鏈

D、決定要使用的工具

答案：C

265.審計師抽樣時，一個案例超過平均值5倍，下一步怎么做？

A、增加點體100%抽祥

B、報告高管

C、詢問被審計人員差異

D、按原方法和抽樣標準實施

答案：C

266.信息系統(tǒng)審計師評估IT戰(zhàn)略委員會的有效性？

A、業(yè)務(wù)和IT戰(zhàn)略一致性

B、IT戰(zhàn)略委員會章程

答案：A

267.以下哪項是上線準備前最有效的保障？

A、已經(jīng)實施了兩遍桌面測試

B、已經(jīng)測試并批準了小范圍的模擬測試

C、成功地在處理周期完成了平行測試

D、己成功執(zhí)行回滾測試

答案：C

268.審計的時候，審計師發(fā)現(xiàn)存在病毒，下一步應(yīng)該做什么？

A、通知有關(guān)人員

B、清理病毒

C、斷開網(wǎng)絡(luò)

D、觀察反應(yīng)機制

答案：A

269.在系統(tǒng)SDLC開發(fā)生命周期中，哪一項測試是最先執(zhí)行的？

A、單元測試

B、回歸測試

C、接口測試

D、集成測試

答案：A

270.IT管理員廢除了數(shù)據(jù)庫中的某些引用完整性控制。下列哪一種控制能夠最

有效地彌補引用完整性控制的不足？

A、性能監(jiān)視工具

B、定期檢查表的鏈接

C、更頻繁地備份數(shù)據(jù)

D、并行訪問控制(cuntaccesscontroIs)

答案：B

271.審計經(jīng)理在復核審計報告時發(fā)現(xiàn)，因?qū)徲嫀煹氖韬?，一個關(guān)鍵證據(jù)被遺漏了,

這很可能影響審計結(jié)論。這種疏忽屬于什么風險？

A、控制風險

B、審計風險

C、管理風險

D、剩余風險

答案：B

272.通過非對稱技術(shù)來確保保密性，將使用下列哪一項對消息進行加密？

A、接收者的私鑰

B、發(fā)送者的私鑰

C、發(fā)送者的公鑰

D、接收者的公鑰

答案：D

273.哪一種類型的攻擊針對web應(yīng)用程序中的安全漏洞以獲得對數(shù)據(jù)集的訪問

權(quán)限？

A、Rootkit

B\拒絕服務(wù)(Dos)

GSQL注入

D、網(wǎng)絡(luò)釣魚(phishing)攻擊

答案：C

274.以下哪一項最有助于信息系統(tǒng)審計師識別工資核算流程中的潛在超額給付

情況？

A、員工數(shù)量和供應(yīng)商賬號數(shù)量的比對

B、指出與往期工資單有重大差異的報告

C、對用于核查的員工和供應(yīng)商地址進行審查

D、薪資流程中有關(guān)最大筆工資的報告

答案：B

275.IT審計師正在審查公司的事故管理流程，哪一項最讓審計師擔憂？

A、無效的事故分類

B、無效的事故優(yōu)先排序。

C、無效的事故檢測。

D、無效的事故后審查。

答案：C

276.在評估項目風險管理流程的有效性時，以下哪一項應(yīng)是信息系統(tǒng)審計師的最

大擔憂？

A、風險登記表中尚未確定風險響應(yīng)措施

B、發(fā)現(xiàn)風險登記表中的某些風險評級不正確

C、每月對風險登記表進行一次審查

D、風險登記表不受版本控制

答案：D

277.IT指導委員會負責應(yīng)對以下哪一項負責？

A、把實施安全性與業(yè)務(wù)目標集成在一起

B、評估和報告戰(zhàn)略一致性程度

C、審查并協(xié)助IT策略整合工作

D、制定IT安全策略

答案：C

278.公司請外部審計，對外部信息系統(tǒng)審計師的訪問效驗應(yīng)由以下哪項文件予以

說明和授子？

A、審計章程

B、經(jīng)批準的工作說明

C、給所有相關(guān)方的內(nèi)部備忘錄

D、有關(guān)審計工作開展的需求請求書

答案：A

279.當確定在多個國家都有分支機構(gòu)的全球性企業(yè)的數(shù)據(jù)保留政策時，下列哪一

項是最重