MBA智库文档管理信息化管理 CISA 2008.doc

CISA 2008.doc

下载

CISA信息审计 2008中文练习题

陈海

82页 | 501KB | 4次下载 |

5.0

(1人评价)

我要评价：

投诉举报

用手机看文档

扫一扫,手机看文档

下载

开通VIP

CISA 2008 Chapter 1 信息系统审计程序 ISACA发布的信息系统审计标准”,准则,程序和职业道德规范 IS审计实务和技术收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质) 证据的生命周期(证据的收集,保护和证据之间的关系) 与信息系统相关的控制目标和控制审计过程中的风险评估审计计划和管理技术报告和沟通技术(推进,商谈,解决冲突) 控制自我评估不间断审计技术(连续审计技术) Chapter 2 IT治理 IT战略,政策,标准和程序对组织的意义,及其基本要素 IT治理框架制定实施和恢复IT战略政策标准和程序的流程质量管理战略和政策与IT使用和管理相关的组织结构,角色和职责公认的国际IT标准和准则制定长期战略方向的企业所需的IT体系及其内容风险管理方法和工具控制框架(cobit)的使用成熟度和流程改进模型签约战略,程序和合同管理实务 IT绩效的监督和报告实务有关的法律规章问题(保密,隐私,知识产权) IT人力资源管理资源投资和配置实务 Chapter 3 系统和体系生命周期收益管理实务 (可行性研究,业务案例) 项目治理机制,如:项目指导委员会,项目监督委员会项目管理实务,工具和控制框架用于项目管理上的风险管理实务项目成功的原则和风险涉及开发,维护系统的配置,变更和版本管理确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术关于数据,应用和技术的企业框架需求分析和管理实务采购和合同管理程序系统开发方法和工具以及他们的优缺点质量保证方法测试流程的管理数据转换工具技术和程序系统的处置程序软件,硬件的认证和鉴证实务实施后的检查目标和方法,如项目关闭,收益实现,绩效测定系统移植和体系开发实务 Chapter 4 IT服务和交付服务等级和水平运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护系统性能监控程序,工具和技术. 硬件和网络设备的功能数据库管理实务操作系统工具软件和数据库管理系统生产能力计划和监控技术对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务生产事件/问题管理实务软件许可证和清单管理实务系统缩放工具和技术 Chapter 5 信息资产保护信息系统安全设计,实施和监控技术用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制逻辑访问安全体系攻击方法和技术对安全事件的预测和响应程序网络和internet安全设备入侵检测系统和防火墙的配置加密算法/技术公共密钥机构组件病毒检测和控制技术安全方案测试和评估技术:渗透技术,漏洞扫描生产环境保护实务和设备物理安全系统和实务数据分类技术语音通讯的安全保密信息资产的采集.存储.使用.传输和处置程序和流程与使用便携式和无线设备 Chapter 6业务连续性与灾难恢复计划数据备份,存储,维护,保留和恢复流程业务连续性和灾难恢复有关的法律规章协议和保险问题业务影响分析(BIA) 开发和维护灾难恢复与业务持续计划灾难恢复和业务连续性计划测试途径和方法与灾难恢复和业务连续性有关的人力资源管理启用灾难恢复和业务连续性计划的程序和流程备用业务处理站点的类型,和监督有关协议合同的方法 CISA2008 练习题 Chapter1 下列哪些形式的审计证据就被视为最可靠? 口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信 2 当程序变化是，从下列哪种总体种抽样效果最好？测试库清单源代码清单程序变更要求产品库清单 3在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：系统程序员. 法律人员业务部门经理应用程序员. 4进行符合性测试的时候，下面哪一种抽样方法最有效？属性抽样变量抽样平均单位分层抽样差别估算 5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：当数据流通过系统时，其作用的控制点。只和预防控制和检查控制有关. 纠正控制只能算是补偿. 分类有助于审计人员确定哪种控制失效 6审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? 计算机辅助开发工具（case tool）嵌入式（embedded）数据收集工具启发扫描工具（heuristic scanning tools）趋势/变化检测工具 7在应用程序开发项目的系统设计阶段，审计人员的主要作用是：建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发日程安排 8下面哪一个目标控制自我评估(CSA)计划的目标? 关注高风险领域替换审计责任完成控制问卷促进合作研讨会 Collaborative facilitative workshops 9利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源 10 审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的资料 11在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：可以使用的CAATs 管理层的陈述组织结构和岗位职责. 存在内部控制和运行控制 12对于组织成员使用控制自我评估(CSA)技术的主要好处是：可以确定高风险领域，以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish对控制的责任 13下列哪一种在线审计技术对于尽早发现错误或异常最有效? 嵌入审计模块综合测试设备Integrated test facility 快照sanpshots 审计钩Audit hooks 14当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？对于程序库控制进行实质性测试对于程序库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试 15在实施连续监控系统时，信息系统审计师第一步时确定：合理的开始（thresholds）指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序 16审计计划阶段，最重要的一步是确定：高风险领域审计人员的技能审计测试步骤审计时间 17审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：在应用系统开发过程中，实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员，但并没有经营责任为应用系统最佳实践提供咨询意见 18审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是：经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊 19为确保审计资源的价值分配给组织价值最大的部分，第一步将是：制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施 20审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发现是审计师应该最重视的？有一些外部调制解调器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户帐号的密码是相同的 21信息系统审计师在控制自我评估(CSA)中的传统角色是：推动者（facilitator）经理伙伴股东 22下面哪一种审计技术为IS部门的职权分离提供了最好的证据：与管理层讨论审查组织结构图观察和面谈测试用户访问权限 23 IS审计师应该最关注下面哪一种情况？缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况 24审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？可得到在线网络文档支持终端访问远程主机处理在主机和内部用户通信之间的文件传输执行管理，审计和控制 25审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：固有的风险. 控制风险检查危险审计风险 26审计章程应采取：是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变清楚的说明审计目标和授权，维护和审核内部控制文档化达到计划审计目标的审计程序列出对审计功能的所有授权，范围和责任 27审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的? 应用程序所有者不知道IT部门对系统实施的一些应用应用数据每周只备份一次应用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护 28IS审计功能的一个主要目的是：确定每个人是否都按照工作说明使用IS资源确定信息系统的资产保护和保持数据的完整性对于计算机化的系统审查帐册及有关证明文件确定该组织识别诈骗fraud的能力 29进行审计的时候，审计师发现存在病毒，IS审计师下一步应该做什么？观察反应机制病毒清除网络立即通知有关人员确保删除病毒 30 审计章程的的主要目标是： A记录企业使用的审计流程　 B审计部门行动计划的正式文件 C记录审计师专业行为的行为准则Ｄ说明审计部门的权力和责任。 31在对ＩＴ程序的安全性审计过程中，ＩＳ审计师发现没有文件记录安全程序，该审计员应该：　建立程序文件终止审计进行一致性测试　鉴定和评估现行做法 32在风险分析期间，ＩＳ审计师已经确定了威胁和潜在的影响，下一步ＩＳ审计师应该：确定并评估管制层使用的风险评估过程确定信息资产和受影响的系统发现对管理者的威胁和影响　鉴定和评估现有控制. 33下面哪一项用于描述ＩＴＦ（整体测试法）最合适？这种方法使IS审计师能够测试计算机应用程序以核实正确处理利用硬件和或软件测试和审查计算机系统的功能这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程 IS系统审计师用于测试的一种程序，可以用于处理tagging和扩展交易和主文件记录。 34 IS审计师要判断是否严格控制被授权者对于程序文档的访问，最有可能的做法是：评估在存储场所的文件保存计划就当前正在进行的流程采访程序员对比实际使用的记录和操作表审查数据文件访问记录测试管理库的功能 35需要进一步收集哪些数据，IS审计师的决定取决于需要的重要信息的可用性审计师对于情况的熟悉程序审计人员（auditee）找到相关证据的能力进行审计的目的和范围 36审查管理层的长期战略计划有助于审计师：了解一个组织的宗旨和目标测试企业的内部控制评估组织队信息系统的依赖性确定审计所需的资源 37利用统计抽样程序可以减少：抽样风险检查风险固有风险控制风险 38 IS审计师对软件使用和许可权进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为？个人擅自删除所有未授权软件拷贝通知被审计人员非授权软件的情况，并确认删除报告使用未经授权软体的情况，并需要管理层避免这种情况重复发生不采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用 39 下面哪一项IS审计师可用来确定编辑和确认程序的有效性（effectiveness）? 域完整性测试相关完整性测试参照完整性测试奇偶校验检查 40下面哪一种情况下，IS审计师应该用统计抽样而不是判断抽样(nonstatistical)：错误率必须被客观量化（objectively quantified）审计师希望避免抽样风险通用审计软件不实用（unavailable）容忍误差(tolerable error rate)不能确定 41 证明税收计算系统精确性的最好的方法是：对于计算程序源代码详细目测审核和分析使用通用审计软件对每个月计算的总数进行重复的逻辑计算为处理流程准备模拟交易，并和预先确定的结果进行比较自动分析流程图和计算程序的源代码 42 以下哪一个是使用测试数据的最大的挑战? 确定测试的程序的版本和产品程序的版本一致制造测试数据包括所有可能的有效和无效的条件对于测试的应用系统，尽量减少附加交易的影响在审计师监督下处理测试数据 43 电子邮件系统已经成为一个有用的诉讼证据来源，下面哪一个是最有可能的原因？多重循环备份档案可供利用访问控制可以确定电子邮件行为的责任对于通过电子邮件交流的信息尽心过数据分类管理企业中，用于确保证据可得的清晰的使用电子邮件的政策 44 IS审计师对于应用程序控制进行审查，应该评价：应用程序对于业务流程的的效率发现的隐患exposures的影响应用程序服务的业务应用程序的优化. 45 以下哪一个是最主要的优势，利用计算机司法软件进行调查：维护保管的一系列电子证据节约时间效率和效益寻求侵犯知识产权证据的能力 46 以下哪一个是使用ITF综合测试法的优势? 使用真实的或虚拟的主文件，IS审计师不需要审查交易的来源。定期检验过程并不需要单独分离测试过程证实应用程序并可测试正在进行的操作它无需准备测试数据. 47风险分析的一个关键因素是: 审计计划. 控制弱点. Vulnerabilities 负债liabilities 48 IS审计师的决策和行动最有可能影响下面哪种风险？固有风险检查分析控制风险业务风险 49在一台重要的服务器中，IS审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么？调查病毒的作者. 分析操作系统日志确保恶意代码已被清除安装消除弱点vulnerability的补丁. 50 组织的IS部门希望确保用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种：控制程序. 控制目标纠正控制运行控制. 51 IS审计师审计IT控制的效果，发现了一份以前的审计报告，但是没有工作记录workpapers，IS审计师应该怎么处理？暂停审计直至找到工作记录依靠以前的审计报告对于风险最高的区域重新测试控制通知审计管理层，重新测试控制 52 IS审计师审查组织图主要是为了：理解工作流程调查各种沟通渠道理解个人的责任和权利调查员工之间不同的联系渠道 53 IS审计师审查对于应用程序的访问，以确定最近的10个"新用户"是否被争取的授权，这个例子是关于: 变量抽芽实质性测试符合性测试停-走抽样. 54 当需要审计轨迹的时候，以下哪一种审计工具最有用？综合测试法(ITF) 持续间断模拟（CIS）审计钩（audit hook）快照 55 当需要审计轨迹的时候，以下哪一种审计工具最有用？综合测试法(ITF) 持续间断模拟（CIS）审计钩（audit hook）快照 56 以下哪一个是实质性测试? 检查例外报告清单确认对参数改变进行审批对于磁带库清单进行统计抽样审核密码历史记录 57 对于特定威胁的整体经营风险的威胁，可以表示如下：一种产品的可能性和影响的重要性，如果威胁暴露了弱点影响的重要性应该是威胁来源暴露了弱点威胁来源暴露弱点的可能性风险评估小组的整体判断 58 在审查客户主文件的时候，IS审计师发现很多客户的名字相同arising from variations in customer first names，为了进一步确定重复程度，IS设计师应该：测试数据以确认输入数据测试数据以确定系统排序能力用通用审计软件确定地址字段的重复情况用通用审计软件确定帐户字段的重复情况 59 通常,以下哪一种证据对IS审计师来说最可靠? 收到的来自第三方的核实帐户余额确认信一线经理确保应用程序如设计的方式工作从internet来源得到的数据趋势（Trend data）由一线经理提供报告，IS审计师开发的比率分析（Ratio analysis） 60成功的实施控制自我评估(CSA)需要高度依赖：一线管理人员承担部分监督管理责任安排人员负责建设build管理,而不是监督、控制实施严格的控制策略，和规则驱动的控制监督实施和并对控制职责进行监督monitoring 61 审计计划阶段，对于风险的评估用于提供：审计覆盖重大事项的合理保证明确保证重大事项在审计工作中被覆盖审计覆盖所有事项的合理保证充分保证所有事项在审计工作中被覆盖 62 下面哪一项是使用基于风险方法的审计计划的好处？审计日程安排可以提前完成. 预算更符合IS审计人员的需要人员可以使用不同的技术资源分配给高风险领域 63 IS审计人员使用数据流程图是用来定义数据层次突出高级别数据定义. 用图表化方式描述数据路径和存储描绘一步一步数据产生的详细资料 64 在对数据中心进行安全审计时，通常审计师第一步要采取的是：评级物理访问控制测试的结果确定对于数据中心站点的风险/威胁审查业务持续程序测试对于可疑站点的物理访问的证据 65 高层管理要求IS审计师帮助部门管理者实施必要的控制，IS审计师应该：拒绝这种安排，因为这不是审计人员的职责告诉管理层将来他的审计工作无法进行执行安排和将来的审计工作，处于职业谨慎在得到用户部门批准的情况下，进行实施和后续工作 66 在制定风险基础审计策略时，IS审计师需要进行风险评估审计，目的是保证：减轻风险的控制到位确定了脆弱性和威胁审计风险的考虑. Gap差距分析是合适的. 67 当通知审计结果时，IS审计师应该牢记他们的最终责任是对：高级管理和/或审计委员会. 被审计单位的经理. IS审计主管. 法律部门legal authorities 68 对于抽样可以这样认为：当相关的总体不具体或者是控制没有文档记录时intangible or undocumented control，适用于统计抽样。如果审计师知道内部控制是强有力的，可以降低置信系数属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。变量抽样是一种技术，用于评估某种控制或一系列相关控制的发生率。 69 IS审计师评估系统变更的测试结果，这个系统用于处理缴纳结算payment computation 。审计师发现50%的计算结果不能和预先定义的总数匹配。IS审计师最有可能采取下面哪一步措施？对于出错的计算，设计进一步的测试确定可能导致测试结果错误的变量检查部分测试案例，以便确认结果记录结果，准备包括发现、结论和建议的报告 70在实施对于多用户分布式应用程序的审核时，IS审计师发现在三个方面存在小的弱点：初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应该：分别记录对于每个发现产生的相关影响。（record the observations separately with the impact of each of them marked against each respective finding.）建议经理关于可能的风险不记录这些发现，因为控制弱点很小记录发现的结果和由于综合缺陷引发的风险报告部门领导重视每一个发现并在报告中适当的记录 71人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分，这种情况下最好使用下面哪一种审计技术？测试数据通用审计软件 ITF综合测试法嵌入审计模块 72 持续审计方法的主要优点是：当处理过程开始的时候，不要求审计师就系统的可靠性收集证据当所有信息收集完成后，需要审计师审查并立即采取行动可以提高系统的安全性，当使用分时环境处理大量的交易时不依靠组织的计算机系统的复杂性。 73 在审计章程中记录的审计功能中的责任、权力和经营责任responsibility, authority and accountability，必须：必须经最高管理层批准经审计部门管理者批准经用户部门领导批准在每年IS审计师大会commencement之前修改 74 IS审计师从一个客户的数据库引入数据。下一步需要确认输入数据是否完整，是由：匹配输入数据的控制总数和原始数据的控制总数对数据进行排序以确认是否数据和原始数据的序号相同审查打印输出的前100条原始记录和输入数据的前100条记录按照不同的分类过滤数据，和原始数据核对 75 在评估网络监测控制时，IS审计师第一步应该审核网络的 A拓朴图. 带宽使用. 阻塞分析报告瓶颈确定 76 IS审计师评估信息系统的管理风险。IS审计师应该最先审查：已经实施的控制已经实施控制的有效性资产的风险监督机制资产的脆弱性和威胁 77 在有异议的情况下，离开审计面谈中xit interview，考虑到结果的影响，IS审计师应该：要求被审计人员以签名的形式接受所有法律责任阐述调查的意义和不纠正的风险向审计委员会报告有异议的情况接收被审计方的意见，因为他们有处理的所有权 78确定商品库存的价值已超过八周，IS审计师最有可能是用：测试数据. 统计抽样综合测试法ITF 通用审计软件 79下列哪一个是风险评估过程的描述? 风险评估是: 主观. 客观. 数学方法统计 80 综合测试法ITF被认为是一个有用的工具，因为它：对于审计应用控制来说，是一种具有成本效益的方式允许财务和ＩＳ审计师整合他们的测试将处理的输出结果与单独计算的数据进行比较。为ＩＳ审计师提供分析大量信息的工具 81 在审计报告确认发现的结果finding后，被审计方迅速采取了纠正行动。审计师应该：在最后报告中包括发现的结果，因为ＩＳ师要负责正确的审计报告包括所有的发现结果。在最后的调查报告中不包括发现结果，　因为审计报告仅仅包括未解决的发现结果在最后的调查报告中不包括发现结果，　因为在审计师审计期间，纠正行动已经被确认。　包括结果，仅仅在闭幕会议上讨论调查之用。 82 以风险为基础的审计方法，ＩＳ审计师应该首先完成：固有的风险评估. 控制风险评估. 控制测试评估. 实质性测试评估. Chapter 2 下面哪一种IT治理是提高战略联盟（alignment）的最佳做法？供应商和合作伙伴的风险管理. 基于客户、产品、市场、流程的知识库实施到位. 提供有利于于建立和共享商业信息的组织结构. 高层之间对于业务和技术责任的协调建立可接受的风险水平的责任属于：质量保证经理. 高级业务管理. CIO首席信息主管. 首席安全主管作为信息安全治理成果，战略联盟提供：企业需求驱动的安全要求. 按照最佳实践制定的安全基线. 专门的或客户定制的解决方案. 了解风险. 如果缺乏高层管理人员对于战略计划的许诺（commitment），最可能的后果是: 缺乏技术投资. 缺乏系统开发的方法. 技术与组织目标不一致. 缺乏对于技术合同的控制. 用自下而上的方法来开发组织政策的优势在于这样开发的政策: 为组织整体而指定. 更可能来自于风险评估的结果. 与企业整体政策不会冲突. 确保整个组织的一致性 IS审计师发现并不是所有的员工都知道企业的信息安全政策. IS审计师可以得出的结论是：这种无知有可能导致意外泄漏敏感资料信息安全并非对所有功能都是关键的. IS审计师应该为员工提供安全培训. D 审计结果应该使管理者为员工提供持续的培训有效的IT治理应该确保IT计划符合组织的: 业务计划. 审计计划. 安全计划. 投资计划. 当通信分析人员进行下面哪一项的时候，IS审计师应该给予重点关注？监测系统性能，追踪程序变动导致的问题根据当前和未来的交易量，审查网络负载需求评价终端响应时间和网络数据传输率对于网络负载的影响网络负载平衡措施和改进建议下面哪一项最可能暗示，客户数据仓库应该由内部开发而不是外包给海外运营？时差不同有可能影响IT团队的沟通通信费在第一年非常高有关隐私权的法律可能会阻碍信息跨国界传输软件开发需要更详细的说明当一名员工被解雇时，需要采取的最重要的行动是: 交出全部职工的档案给指定的另一名雇员. 完成员工工作的备份. 通知其他员工关于该员工的解雇通知. 解除该员工的逻辑访问权限. 在处理可疑入侵时，一个合理的信息安全策略最有可能包括下列哪一项？反应纠错检测监控 IS审计师在审查使用交叉培训做法的组织时，应该评估哪一种风险？对于单个员工的依赖性连续性计划不够充分一个员工了解系统的所有部分错误操作. IS审计师在审查IT设备的外包合同的时候，希望合同确定的是：硬件配置. 访问控制软件. 知识产权的所有权. 开发应用方法. 设计信息安全政策时，最重要的一点是所有的信息安全政策应该: 非现场存储. 由IS经理签署written by IS management 分发并传播给用户. 经常更新. 当评价组织的IS 战略时候，下面哪一项IS审计师认为是最重要的？获得一线管理人员line management的支持不能与IS部门初步预算有差异遵守采购程序支持该组织的业务目标缺乏足够的安全控制是一个: 威胁. 资产. 影响. 脆弱性. 对于IT安全策略的审计的主要目的是保证策略向所有员工分发，并且每个员工都知道安全和控制策略支持业务和IT目标有公开发行的组织图表和功能描述适当的职责分离. 制订风险管理计划时，首先进行的活动是：风险评估. 数据分类. 资产清单. 关键性分析. 制订风险管理计划时，首先进行的活动是：风险评估. 数据分类. 资产清单. 关键性分析. 风险分析小组很难预测由可能会由风险造成的经济损失，要评估潜在的损失，小组需要：计算有关资产的折旧. 计算投资回报率(ROI). 采用定性的方法. 花费必要的时间精确计算损失金额以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险？管理协调用户不存在. 无法明确特定用户责任未授权用户可以产生，修改和删除数据审计建议无法实施要支持组织的目标，信息部门应该具有：低成本理念. 长期和短期计划. 领先的技术. 购买新的硬件和软件的计划. 为降低成本并提高外包的服务水平，外包应该包括以下哪些合同条款？操作系统和软硬件更新的周期共同分享由于提高绩效获得的收益 Gain-sharing performance bonuses 违规处罚费用和可变成本 Charges tied to variable cost metrics 24. 以下哪一项提供了管理机制使IS管理层能够确定是否该组织活动的计划偏离了计划或预期的水平? 质量管理 Is评估方法管理原则行业标准/基准 25. IS控制目标对于IS审计师的用途体现在它们提供了基础，以便于理解：实现特定控制程序的预期结果和目标对于特定实体的最佳IT安全控制措施信息安全的技术. 安全策略 26. 对于公司的IS审计师来说，考虑外包IT过程并审查每一个供应商的业务持续计划的副本是合适的的么？是合适的，因为IS审计师会评估服务商计划的充分性，并帮助公司实施补充计划是合适的，因为根据计划，IS审计师要评估服务方的财务稳定性和履行合同的能力不合适，因为提供的备份在合同中应该是具体充分的不合适，因为服务方的业务持续计划是私有的信息 27. 当服务被外包的时候，以下哪一个是IS管理者最重要的职能？ :确保支付给服务商发票作为参加者参与系统设计重新和服务商关于费用进行谈判监督外包商的业绩 28. 当IT支持部门和终端用户之间的责权分离问题很重要时，应该采取下面哪种补偿控制？限制物理访问计算机设备审查交易和应用日志在雇用IT部门人员时进行背景调查一段时间不活动后，锁定用户进程 29. 对于组织来说外包其数据处理业务的可能的优势是: 能够获得所需要的外部的专家经验可以对处理行使更大的控制可以实施和内部确定处理的优先权沟通用户需求时，需要更多的用户参与 30. IS指导委员会应该：包括来自各个部门和各个层次的员工确保IS安全政策和程序被适当的执行有正式的定期召开例会，并保留每一次会议记录在每一次供应商召集的会议上，记录新的趋势和产品 31. 某个长期雇员是具有强大的技术背景和广泛的管理经验，申请IS审计部门的一个空缺职位。确定是否在此岗位上是否聘用此人需要考虑个人经验和：服务时间，因为这将有助于确保技术水平. 年龄，因为培训审计技术可能不切实际. IS知识，因为这会带来提高审计工作的可信度. 能力，因为作为IS审计师，与现有的IS关系是独立的 32. 许多组织要求雇员强制性休假一周以上是为了：确保员工保持良好的生活品质，这将带来更大的生产率. 减少雇员从事非法或不当行为的机会. 为其他雇用提供适当的交叉培训. 消除员工休假一次一天的潜在的干扰 33. 在实施平衡计分卡之前，该组织必须: 提供切实有效的服务. 确定关键性能指标. 提供该项目的商业价值. 控制IT支出. 34. 在企业资源计划（ERP）系统中总帐的设置功能允许设置会计期间。对于这项功能允许财务，仓库和订单输入部门的用户都可以使用这项功能。这种广泛的访问权的最可能的原因是：需要定期更改会计期间一个会计期间结束后，需要追加记帐缺少适当的政策和程序进行职责分工需要建立和修改关于账目和分配的图表 35. 在IS部门中，下面哪一项IS审计师认为是和IS部门的短期计划最相关的？资源分配保持技术的领先水平进行评估自我控制硬件需求评估 36. 评估IT风险的最佳办法是: 评估与现有IT资产和IT项目相关的威胁利用公司以往的实际经验，确定当前风险损失. 审查同类公司公布的损失统计数据审查IS审计报告中指出的控制弱点 37.以下哪一个是IT绩效衡量过程的主要目的? 最小化错误收集绩效数据. 建立绩效基准. 绩效优化. 38. 让业务单位担任开发应用业务的责任，很可能会导致: :数据通信的需求大幅度减少. 行使较低水平的控制 . 实行更高层次的控制. 改善职责分工. 39. IS审计师受雇审查电子商务安全。IS审计师的第一个任务是检查每一个现有的电子商务应用以查找脆弱性。下一步工作是什么？立即向CIO或CEO报告风险检查开发中的电子商务应用. 确定威胁和发生的可能性. 核对风险管理的可行预算. 40. 以下哪一项是创建防火墙策略的第一步? 对于安全应用的成本效益分析方法识别外部访问的网络应用识别外部访问的网络应用的脆弱性设立应用控制矩阵，显示保障办法 41. 确保组织遵守隐私的要求，IS审计师应该首先审查: IT基础设施. 组织的政策、标准和程序. 法律和规章的规定. 组织政策、标准和程序的附件. 42. 组织的管理层决定建立一个安全通告awareness程序。下面哪一项可能是程序的一部分？利用入侵侦测系统报告事件授权使用密码访问所有软件安装高效的用户日志系统，以追踪记录每个用户的行为定期培训所有当前员工和新进员工 43. 以下哪一项是减轻职责划分不当引发风险的补偿控制？序列检验核对数字源文件保存批控制Reconciliations 44. IT平衡记分卡是一种业务的监督管理工具目的是为了监督IT性能评价指标而不是财务状况. 客户满意度内部过程的效率. 创新能力 45. 由上而下的方式建立的业务政策将有助于保证: 政策在整个组织的范围内一致. 政策作为风险评估的一部分实施遵守所有政策. 政策被定期检讨. 46. 以下哪一项是IT指导委员会的职能：监测供应商对于变更控制的控制和测试保证信息处理环境中的职责分离审批和监管重大项目，IS计划和预算的情况 IS部门和终端用户之间的联系 47. 其中哪一项应包括在组织的信息安全政策中？要保护的关键IT资源列表访问授权的基本原则确定敏感安全特征相关的软件安全特征 48. 在一个组织内，IT安全的责任被清楚的定义和强化，并始终如一地执行IT安全的风险和影响分析。这表示的是信息安全治理成熟度模型的哪一级？优化. 管理定义重复 49. IS审计师在审查信息系统短期（战术）计划时应确定是否：在项目中，IS人员和业务人员进行了整合有明确的目标和任务信息技术计划战略方法在发挥作用将业务目标和IS目标进行关联的计划 50. 局域网(LAN)管理员通常受限制于（不能）：具有终端用户权限向终端用户经理报告具有编程权限负责局域网安全管理 51. 一个组织收购其他企业，并继续使用其遗留的电子数据交换系统，和三个独立的增值网供应商。没有书面的增值网合同。IS审计师应该建议管理者：获取第三方服务提供商的独立保证设置程序监督第三方交付的服务确保正式合同发挥作用考虑和第三方服务提供商共同开发业务持续计划 52. 对于成功实施和维护安全政策来说，以下哪一项是最重要的？各方的书面安全策略的结构和目的都一致。Assimilation of the framework and intent of a written security policy by all appropriate parties 管理层支持并批准实施和维护安全政策通过对任何违反安全规则的行为进行惩罚来强调安全规测安全管理人员通过访问控制软件严格执行，监督和强调安全规则 53. 下列哪一项减少了潜在的社会工程攻击的影响：遵守规定要求提高道德意识安全意识awareness程序有效的业绩激励 54. 以下是一种机制可以减轻风险. 安全和控制措施财产责任保险审计和鉴证合同服务水平协议(SLA) 55. 电子取证的风险可能会减少的原因是通过电子邮件的: 破坏政策. 安全政策. 存档政策审计政策 56. IS审计师审查组织的IS战略计划，首先要审查：现有的IT环境业务计划目前的IT预算. 目前的技术趋势 57. 技术变革的速度增加了下面哪一项的重要性: 外包IS功能. 实施和强化良好流程员工在组织中的建立事业的愿望满足用户要求 58．将会在组织的战略计划中发现下面哪一个目标？测试新的帐户包Test a new accounting package 进行信息技术需求评估在接下来的12个月中实施新的项目计划成为某种产品的供应商 59. 制定一个安全政策是哪一个部门的最终责任: IS部门. 安全委员会. 安全管理员. 董事会 60. IT治理是哪一项的主要责任: 首席执行官. 董事会 IT指导委员会. 审计委员会. 61. IS审计师对于与员工相关的IS管理实践审计进行一般控制审计，应该特别关注的是：强制休假政策和遵守情况. 人员分类和公平的补偿政策. 员工培训. 分配给员工的职责. 62. 从控制角度而言，工作的描述的关键要素在于他们: 提供如何工作的说明和明确的授权对于员工来说是更新的，文档化，并且容易得到沟通管理者的具体工作业绩预期. 确立员工行为的责任和义务 63. 下列哪些证据提供了具有合适的安全意识程序的最好证据？股东的数量The number of stakeholders，包括受到培训各级员工整个企业范围内培训覆盖的范围不同供应商的安全设施落实情况定期审查并与最佳实践比较 64. 在制定以下哪一项时，包括高层管理人员参与是最重要的？战略计划. IS政策 IS程序. 标准和指南. 65. 在审查IS战略时，IS审计师最能衡量IS策略是否支持组织的业务目标的做法是确定是否：有需要的所有人员和装备. 计划与管理策略一致. 使用设备和人员的效率和效益. 有足够的能力,以适应不断变化的方向. 66. 在职责分离不合适的环境中，IS审计师要寻找下面哪一种控制？重叠控制边界控制访问控制补偿性控制 67. 当IS从独立的服务提供商处采购时，审计师应该期望在招标书request for proposal (RFP)中包括下面哪一项？从其他客户参考服务水平协议(SLA)模板维护协议转换计划 68. 风险管理的产出结果是下面哪一项的输入？业务计划. 审计章程. 安全政策策略. 软件设计策略. 69. IT指导委员会审查信息系统主要是为了评估: IT处理是否支持业务需求. 提出的系统的功能是否足够. 现有软件的稳定性. 安装技术的复杂性. 70. 建立了信息安全程序的第一步是: 制定和实施信息安全标准手册. IS审计师执行对于安全控制理解的审查performance of a comprehensive security control review by the IS auditor. 采用公司的信息安全政策报告购买安全访问控制软件 71. 在审查电子资金转帐系统(EFT)的结构时，ＩＳ审计师注意到技术架构基于集中处理方式，并且外包给国外处理。由于这些信息，下面哪一个结论是ＩＳ审计师最关注的？可能会有与司法权限范围有关的问题由于有国外的供应商可能会导致未来审计费用超支由于距离，审计过程可能会很困难可能有不同的审计标准 72 组织外包其软件开发，以下哪一项是该组织IT管理的责任? 支付服务提供商作为参加者参加系统设计控制外包商遵守服务合同与供养商谈判合同 74. 有效的IT治理要求组织的结构和流程能够确保：组织的战略和目标延伸到IT战略. 业务战略来自于IT 战略 IT治理独立于并不同于全面治理 IT战略扩大了组织的战略和目标 75. 全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和: 恢复. 保存. 重建再用 76. 下面哪一项最能保证新员工的正直性? 背景检查参考资料ｂｏｎｄｉｎｇ简历中的资格 Chapter 3 1. 一个组织有一个集成开发环境，程序库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是集成开发环境（IDE）的强项？控制程序多个版本的扩散扩展程序资源和可得到的辅助工具增加程序和加工的整体性防止有效的变更被其他修改程序重写 2. 以下哪一项是计划评审技术(PERT)相比其他方法的优点？与其他方法相比: 为计划和控制项目考虑不同的情景允许用户输入程序和系统参数. 测试系统维护加工的准确性估算系统项目成本. 3. 下列哪些是使用原型法进行开发的优点？成品系统有足够的控制. 系统将有足够的安全/审计轨迹. 减少部署deployment时间很容易实现变更控制 4. 软件开发方法中生命周期法中的瀑布模型最适合用于：需求完全理解并可望保持稳定，如同系统运行的业务环境一样需求完全理解并且项目受时间压力影响项目需要使用面向对象的设计和编程方法项目需要使用新技术 5. 以下哪种人员要为软件开发团队提供需求说明书负责？组长项目发起人系统分析员指导委员会. 6. 在处理决策支持系统时，以下哪一项是实施风险？管理控制结构化层次无法确定用途和使用方式决策过程的变化 7. 审计师审查重组织流程的时候，首先要审查：现有控制图消除的控制处理流程图补偿性控制. 8. IS审计师进行应用程序维护审计时，审查程序变更日志是为了：授权程序变动创建当前对象模块的日期程序变化实际产生发生的数量源程序创建日期 9. 组织与供应商签订了成套的电子收费系统(ETCS)解决方案的合同，供应商提供专用的软件作为解决方案的一部分，合同中应该规定：运行ETCS业务和最新数据的备份服务器. 装有所有相关软件和数据的备份服务器. 对系统的工作人员进行培训，以便处理任何事件. ETCS应用的源代码放在第三方代管in escrow. 10. 在考虑增加人员到受实施时间限制的项目时，应该先考虑以下哪一步？项目预算项目的关键路径剩余任务的时间长度员工分配的其他任务 11. 对于新的或者现有改进的业务应用系统的审查的目的是：确定是否测试数据覆盖了所有的情况进行认证和证明过程. 评估项目是否收到预期效益. 设计审计报告. 12. 在设计软件基线时，下面哪一个阶段是最合适的阶段？测试设计需求分析开发 13. 在评估数据库应用系统的可移植性时，IS审计师应该审查结构化语言(SQL)使用. 其他系统的信息输入和输出处理过程使用索引. 所有实体都有有意义的名称和明确的主键字和外部关键字. 14. 系统测试的主要目的是: 测试设计产生的控制总数. test the generation of the designed control totals 判断系统的文档是否准确评估系统功能. 确保系统操作熟悉新制度. become familiar with the new system 15. 实施EDI处理的项目的可行性报告中应包括以下哪一项？加密算法的格式详细的内部控制程序必需的通信协议建议的可信的第三方协议 16. 在客户机服务器环境下实施一个购买的系统时，下面哪一项测试能够确定windows注册表的修改不会影响到桌面环境？兼容性测试？ sociability testing 平行测试白盒测试验证测试. 17. 下列哪种情况有可能会增加舞弊？. 应用程序员对产品程序进行修改应用程序员对测试程序进行修改运行支持人员对批次安排进行修改数据库管理员对数据库结构进行修改 18. 用回归测试方法测试程序的目的是为了确定是否：新的代码中包含错误. 功能说明和实际表现中存在差异新的要求已得到满足. 改变的部分给未变化的代码引入了错误 19. 在设计数据仓库下面哪个要素是最重要的因素? 元数据质量交易速度数据的多变性系统的弱点 20. 下面哪一项整体测试检查数据的准确性、完整性、一致性和授权? 数据关系领域参考 21.主要在于SDLC开发方法的哪个阶段防止程序的蔓延扩大？开发实施设计可行性 22. 在审查基于WEB的软件开发项目时，IS审计师发现没有强调编码规则，并且没有进行代码审核。这有可能增加以下哪种成功的可能性？缓冲溢出. 强力攻击. 分布式拒绝服务攻击战争拨号攻击. 23. 一家公司最近将其销售系统提升为综合的EDI传输系统. 为提供有效的数据map，应该在EDI接口实施下列哪一项控制？关键字验证一对一地检测手工重算功能确认 24. 程序员在工资发放应用程序中包括了查找自己工资号码的例行程序，作为结果，如果自己的工作号码没有找到，这个例行程序将产生随机数并替换掉所有的薪水金额。这种程序被称作：清理scavenging. 数据泄露尾随特洛伊木马 25. 在软件开发项目中，整体全面质量管理(TQM)的基本要点在于：全面文件. 准时交货. 成本控制. 用户满意. 26. 以下哪一项有助于程序维护？聚合性强，藕合性松散松聚合，松藕合强聚合，强藕合松聚合，强藕合 27. 利用自下而上的方法与由上而下的方法相比，在进行软件测试时优点在于：尽早发现接口错误. 更早达到对系统的信心. 尽早发现关键模块的错误. 尽早测试主要的功能和处理 28. 采用面向对象的设计和开发技术最有可能：便于模块重复使用系统性能改进. 加强控制效能. 加快系统开发周期 29. 下列哪些风险可能会造成软件基线baselining不足? 范围蔓延签署延误软件完整性受损不足控制 30. 银行系统使用下面哪一种数据确认编辑，可以确保分配给客户的银行帐号数字的正确性，从而避免传输和交易错误？序列检验有效性检查检查位数存在性检查 31. 应用CMM能力成熟度模型评估应用开发项目，IS审计师应该能够确认：保证产品可靠. 程序员编程的效率提高. 安全需求被设计. 可以预测后续的软件过程 32. IS审计师建议将初始化确认控制编入信用卡交易捕获应用程序中，初始化确认程序很可能：检查，以确保交易类型对于卡片类型来说是合法的确认输入并存放在本地数据库的数字的格式确认交易在持卡人的信贷限额内确保丢失或被窃的的卡不显示在主文件中 33. 以下哪一项用于确保批量数据完整准确地在两个系统中传输？控制总数核对数字检查汇总控制帐户 34. 几个税收计算程序保持了几百种不同的税率，确保输入程序的税率准确性的最好的控制是：对于交易清单的独立审查. 程序防止编辑输入无效数据. 程序检查20%以上的数据输入范围的合理性. 处理部门直观核实数据输入. 35. 以下哪一个数据编辑验证对于检查数据传输和变换是有效的？范围检查核对数字有效性检查重复检验 36. 测试软件模块时，以下哪一个是动态的分析工具？黑盒测试部件检验Desk checking 结构化穿行测试设计和代码 37. IS审计师审查零售公司的EFT运营，确认在资金转移前对客户信贷限额进行了验证，需要审查系统接口. 转换设备. 个人身份证号码生成程序. 业务备份处理 38. 分离开发和测设环境的主要原因是：对测试中的系统限制访问. 分离用户和开发人员控制测试环境的稳定性在开发时安全访问系统 39. 公司实行了新的客户机-服务器模式的企业资源规划系统(ERP)，当地分支机构传递客户订单到中央制造厂。以下哪种措施确保订单准确地进入并且生产出相应的产品？根据客户订单核实产品在ERP系统中记录所有客户订单在订单传输处理中使用杂凑hash总数 hash total 在生产前审批订单 40. 在项目启动阶段审查系统开发项目，IS审计师发现项目小组遵守组织的质量手册。项目组要在截止期限内快速追踪验证和取证处理，这需要在预交付之前开始一些措施。在这种情况下，IS审计师最有可能？作为关键发现报告给高级管理层接受适合于不同项目的不同的质量处理报告IS管理层，小组无法遵守质量程序向项目指导委员会报告快速追踪的风险 41. 审查获取的软件包，IS发现购买软件的信息是从互联网上获得的，而不是来自于对需求建议request for proposal (RFP)的反应，IS审计师第一步要：测试软件与现有硬件的兼容性进行差距分析审查许可证确保获得批准程序 42. 以下哪一项最有可能发生在系统开发项目编码阶段的中期？单元测试压力测试回归测试验收测试 43. 在审查会计系统的转换过程时，IS审计师应该首先确认存在：控制总数检查确认检查完整性检查限制检查 44. 在人工智能系统中，应该严格控制访问下面哪种组件？推论引擎模式解释知识库数据接口. 45. 利用测试数据，作为以连续在线方式全面测试程序控制的一部分，被称为：试验数据/Deck. 基于案例的系统评估base-case system evaluation 综合测试法(ITF). 并行模拟. 46. 以下哪一个是timebox管理的特征? 不适合于原型法或快速开发方法无需质量处理. 防止成本超支和交付延迟. 单独的系统和用户测试 47. IS审计师审查交易驱动系统环境中的数据的完整性，需要审查原子性atomicity以确定是否：数据库存在故障(硬件或软件). 每个交易与其他交易分离. 保持完整的条件. 交易完成或数据库更新. 47. IS审计师审查交易驱动系统环境中的数据的完整性，需要审查原子性atomicity以确定是否：数据库存在故障(硬件或软件). 每个交易与其他交易分离. 保持完整的条件. 交易完成或数据库更新. 48. 采用第四代语言(4gls)相比使用传统语言应该更加慎重，因为第四代语言有可能：缺少对数据进行深入操作的底层必需的细节命令不能在主机系统和微型计算机上都执行包括复杂的必需由有经验用户使用的语言子集不能访问数据库记录并产生复杂的在线结果 49. 检查终端的非授权输入信息最好是通过：控制台日志打印输出交易记录自动暂停的文件列表用户错误报告 50. 当两个或两个以上系统整合时，ＩＳ审计师必需审查的输入／输出控制是：系统接受其他系统输出的部分系统发送给其他系统地结果系统发送和接收的数据两个系统的接口 51. 使用电子资金转帐(EFT)，一名员工输入了总数，另一名雇员在资金传输前重复输入了reenters相同数据的金额。在这种情况下组织采用的合适的控制是：序列检查. 关键字核查. 检查数字. 完整性检查. 52. 购买应用系统的招标采购(招标)需求，最有可能通过下面哪一项批准？项目指导委员会. 项目发起人. 项目经理. 用户项目组. 53. 经营单位关注最近实施系统的绩效。ＩＳ应该做出何种建议？建立基线和监测系统使用. 确定候补处理程序准备维护手册. 落实用户的修改建议. 54. 一项检查传输错误的控制需要在传输的每一段数据后面增加计算位，被称为：合理检查. 奇偶校验冗余校验核对数字. 55. 在应用软件的执行时，下面哪一项是最大风险? 未经控制的多种软件版本源程序与目标代码不同步不正确的参数设置编程错误 56. 一旦一个组织完成了业务流程重组(ＢＰＲ)的所有重要操作后，ＩＳ审计师的审计重点最可能会是：ＢＰＲ之前的处理流程图ＢＰＲ之后的处理流程图ＢＲＰ项目计划连续改进和监控计划 57. 在审计购买新的计算机系统建议时，ＩＳ审计师首先要确定：明确的业务案例被管理层批准符合公司安全标准用户将参与计划的实施. 新系统将满足所有功能用户的需要. 58. 以下哪一项是平行测试法的主要目的？确定系统的成本效益允许全面的单元和系统测试发现程序与文件接口处的错误确保新系统满足用户要求 59. 在ＩＳ项目的计划阶段的假设包括高度的风险，因为这些假设：是根据已知的限制. 是基于过去的客观数据是缺乏信息的结果. 做假设的人往往是不合格的. 60. 公司使用银行办理每周的薪水发放。时间表和薪水调整表单完成并送交银行，银行准备现金或支票并分发报告。最好的确保分发工资数据准确性的方法是：工资报告应该与输入表单进行比较手工计算发放工资总数现金或支票与输入表单比较现金/指标应符合产生的报告 61. IS审计师被IS告知组织已经达到了CMM最高级别，组织的的软件质量过程最近能够被定义为：持续改进. 数量和质量目标. 文档化的过程对于具体项目的详细处理 62. 为减少在处理时数据损失的可能性，首先应该实施控制总数的是：在数据准备阶段进入计算机时. 在计算机之间运行时在返回给用户部门数据资料时. 63.当纠正以往的删除错误重新进行接受测试时，一些系统故障正在发生。这表明维护小组可能没有充分进行以下哪一种测试？单元测试整体测试设计穿行测试配置管理 64. IS审计师在审查应用软件获取申请，应该确保：正在使用的操作系统符合现有的硬件平台. 计划的操作系统更新已经排定，并尽可能减少对公司需求的负面影响。操作系统是最新的版本并经过升级产品与当前或计划中的操作系统是符合的 65. 在用户完成了验收程序后，IS审计师正在对应用系统进行审计，下面哪一项是IS审计师最关注的？判断是否测试目标被文档记录评估是否用户记录了预计的测试结果 Assessing whether users documented expected test results 审查是否已完成测试问题记录审查是否存在尚未解决的问题 66. 在选择软件时，,以下哪一个要考虑的商业和技术问题是最重要的？卖方声誉组织的需求成本因素安装的基础an install base 67.实施专家系统的最大的好处是：在组织中保留个人的知识和经验在集中的知识库共享知识提高工作人员的生产力表现. 降低关键部门的员工流动率. 68. 许多IT项目的经验问题是因为对开发时间和/或所需的资源估计不足。以下哪一种技术是制定项目时间评估的最好辅助工具？功能点分析 PERT图快速应用开发面向对象的系统开发 69. 实施后审查阶段，下面哪一种工具IS审计师可以用来得到内存中内容的映像，在程序执行的不同阶段？ Memory dump内存dump 逻辑路径监控追踪工具输出分析 70. 下列哪个团体拥有系统开发项目和结果系统？用户管理层高级管理层项目指导委员会系统开发管理层 71. 在软件开发过程中，以下哪一个最有可能确保业务需求得到满足？适当的培训程序员理解业务流程业务规则文件关键用户尽早介入 72. 第四代语言的一个突出特点是可移植性，这意味着：环境独立 Workbench concepts工作台概念设计屏幕格式和图形化输出的能力能够运行在线操作 73. 以下哪一项是进行业务流程重组的第一步？定义要审查的范围开发项目计划理解审查的流程重组和梳理要审查的流程 74. IS审计师参加了软件开发项目的测试过程确认单个模块表现正确。IS审计师应该：推断多个单独模块成组运行时也应该是正确的记录测试作为系统能够产生预期结果的正面证据通知管理层并建议整体测试提供增加的测试数据 75. 数据仓库是: 面向对象的. 面向主题的. 具体部门的可变的数据库 76. 白盒子测试与黑盒测试的不同在于百盒测试： IS审计师参与由独立的程序小组完成检查程序的内部逻辑结构使用自下而上的开发方法 77. 在下面哪一个阶段，将开始准备用户接受测试计划？可行性研究需求定义实施计划实施后审计 78. 在数据仓库中，数据质量的保证是通过：清洗. 重组源数据的可信性转换 79. IS审计师发现正在开发的系统有12个相互联系的模块，每个模块的数据涉及到10多个领域。系统每年处理几百万个交易。IS审计师用下面哪种技术评价开发的规模？计划评审技术(PERT) Counting source lines of code (SLOC) 功能点分析白盒测试 80. 专家系统的知识库，使用一组问题引导用户进行一系列选择到达最终结论，被称为：规则. 决策树语义网络数据流图 81. 一个组织打算购买软件包，向IS审计师征求风险评估的意见。以下哪一个是其中的主要风险? 得不到源代码没有制造商的质量认证缺乏供应商/客户参考供应商对于软件包的经验很少 82. 系统开发生命周期项目的阶段和交付应该被确定在：在项目的初步规划阶段. 在初步规划完成后，在工作开始前整个工作阶段，基于风险与暴露exposures.. 仅仅在风险被确定，并且IS审计师提出了合适的控制后 83. 以下哪一项是企业管理技术，使组织开发重要的战略系统能够更快，减少开发成本，同时保证质量？功能点分析关键路线方法快速应用开发计划评价审查技术 84. 数据确认编辑匹配输入数据的发生率的数据是：限制检查. 合理性检查. 范围检查. 正确性检查. 85. 测试连接两个或两个以上的系统的组件，信息从一个区域到另一个区域被称为： Pilot测试. 平行测试接口测试回归测试 86. 如果应用程序被修改，并且适当的系统维护程序发挥作用，下面哪一项将要被测试？数据库完整性. 对应用程序的访问控制完整的程序，包括任何接口系统包括修改的代码的程序段 87. 功能确认被用于：作为EDI交易的审计轨迹 IS部门的功能描述记录用户作用和责任应用软件的功能描述 88. 当实施数据仓库时，下面哪一个是最大的风险？生产系统反应时间增加防止修改数据的访问控制不足数据重复数据没有更新或没有最新数据 89. 应该用什么数据进行回归测试? 与用于上一次测试不同的数据最近的生产数据以前测试用过的数据测试数据发生器产生的数据 90. 快速应用开发相比传统系统开发生命周期的最大优势是：有利于用户参与. 允许提前测试技术特征. 便于转换到新的系统. 缩短开发时间. 91. 组织实施新的系统取代遗产系统。下面哪一种转换做法将造成最大的风险？ pilot计划平行直接切换分阶段 92. 在控制应用程序维护时，下面哪一项最有效？通知用户变化的情况确定程序变化的优先权关于程序变更获得用户批准要求记录用户关于变化的说明 93. 业务流程重组项目期望：业务优先顺便保持稳定信息技术不会改变流程将提高成品、服务和赢利能力. 客户端和顾客的输入不再是必要的. 94. 在审查IS部门的开发质量时，IS审计师发现没有使用任何正式的，记录的方法和标准。IS可能采取的行动是：在完成审计并报告结果调查并建议适当的正式标准. 记录非正式的标准并进行符合性测试退出并建议当标准确定后进行深入审计 95. 下列哪一种方法强调依靠用户原型，并能够不断更新以适应用户和业务需求的变化? 面向数据的系统开发方法面向对象的系统开发方法业务流程重组快速应用开发 96. 公司与外部咨询公司签署合同实施商业的金融系统以取代现有的内部开发的系统。在审查提出的开发目标时，应该最关注的是下面哪一项？由用户管理验收测试. 质量计划不是合同交付的一部分并非所有业务功能都将在初步实施时实现. 使用原型法保证系统满足业务需要 97. 下面哪一个测试的错误将会为实施新的应用软件带来最大的风险？系统测试验收测试整合测试单元测试 98. 同行peer审查要发现软件开发活动中的错误被称为: 仿真技术. 结构穿行测试. 模块程序技术从上到下程序结构 99. 一个调试工具，按顺序报告程序执行的步骤，被称为：输出分析. 内存dump 编译器逻辑路径监视器 100. IS审计师执行对于IS部门的审计工作，发现不存在正式项目审批程序。如果没有这些程序，项目经理可以擅自批准项目，这些项目能在很短的时间内完成。比较而言，更复杂的项目需要更高级别的管理人员批准。IS审计师建议采取的第一步行动是: 用户参与审查和审批程序. 使用正式审批程序并记录. 项目交付适当的管理层审批. IS经理的工作描述需要修改以包括审批权 101. 价格在收费标准的基础上随着改变量增加而变化，任何例外必须通过人工批准。下面哪一种是最有效的自动控制帮助确定所有的价格例外都被审批？所有款项必须回显在在输入人员，由他们直观检查超过正常范围的价格要输入两次，以便精确确认数据。当输入例外价格并且打印时，系统发出蜂鸣声。在价格例外处理时，必须输入二级密码 102. 在原型法的初始阶段，下面哪一种测试方法最有效？系统平行总量volume 从上到下 103. 一个决策支持系统目标是解决高度结构化的问题整合使用的数据模型与非传统的数据访问和恢复功能强调用户在制定决策方法中的灵活性只支持结构化的决策制定任务 104. 通过提取和重新使用设计和程序组件，现有的系统得到了扩张和强化。这是：逆向工程原型法软件重用业务流程再设计 105. 金融机构利用专家系统管理授信额度. IS审计师审查系统最应关注的是: 确认系统的数据输入知识库中不同层次的经验和技巧访问控制设置实施处理控制 106. 在测试中使用清洁真实的交易数据的优点在于：可以包括所有交易类型每种错误情况都可能测试到评估结果不需要特定的程序测试交易代表实际处理 107. 理想的压力测试应该在：使用测试数据的测试环境使用真实数据的生产环境. 使用真实工作量live workloads的测试环境使用测试数据的生产环境. 108. 最常见的信息系统失败的原因对于用户的需求是: 用户需求不断变化. 用户需求的增长无法准确预测. 硬件系统限制了同时使用的用户的数量. 用户对于系统需求的定义参与不够 109. 以下哪一项对于选择和购买正确的操作系统软件是重要的？竞争性招标用户部门批准硬件配置分析采购部核准 110.软件能力成熟程度模型(CMM)标准中，第一次包括软件开发过程的是哪一级? 初次(第1级) 重复(第2级) 定义(第3级) 优化(第5级) 111. 在金融交易的EDI系统中，汇总字段的检查汇总位的目的是确保：完整性. 真实性授权抗抵赖 112. 提出申请的交易处理应用程序有很多数据捕获源，以电子和书面的输出形式确保交易处理过程中不会丢失。. IS审计师需要建议的结论是：验证控制. 内部信用检查员工控制程序. 自动化系统平衡. 113. 制造企业想要使用支付账单自动化系统。要达到的目标有：系统用很少的时间进行审查和授权，系统能够确认错误并根据需要跟进。下面哪一项最符合要求？与供应商建立跨系统的客户机服务器模式的网络系统，提高效率把自动化支付和帐务收支处理程序外包给第三方专业公司处理对电子业务文档和交易建立EDI系统，EDI系统与关键供应商共建，使用标准格式，从计算机到计算机。重整现有流程，重新设计现有系统 114. 当新系统将在短期内实施时，最重要的是：完成用户手册的写作. 用户进行验收测试. 不断加强系统功能add last-minute enhancements to functionalities 保证了代码被记录并进行了审查. 115. 下面那一个控制弱点有可能会危及系统更换项目？项目启动文档没有更新，以便在整个系统范围内反映变化比较所选方案和原始规范的差异分析显示了关于功能的一些显著变化项目已经受到了具体需求变化的影响. 组织决定不需要项目指导委员会. 116. 下列哪些团体/个人应承担系统开发项目的总体方向和时间成本责任？用户管理项目指导委员会高级管理层系统开发经理 117. 下列哪种能力成熟程度模型的层次确保实现基本项目管理控制？重复(2级) 定义(3级) 管理(4级) 优化(5级) 118. 以下哪一个代表EDI环境中潜在的最大风险？交易授权遗失或重复EDI传输传输延迟在确定应用控制之前删除或操纵交易 119. 当应用开发人员希望使用一个过去的产品交易文件的拷贝进行流量测试时，IS审计师最关注的是：用户可以选择使用好的数据进行测试. 擅自访问敏感数据结果. 错误处理和可靠性检验可能未能完全证明. 新系统的全部功能可能不必测试 120. 组织捐赠使用过的电脑应该确保: 计算机没有用于存储敏感信息签署不泄漏协议数据存储媒介被清洗sanitized 所有数据被删除. 121. Gantt图表可以使于：辅助安排项目任务确定项目检查点确保文献标准进行实施后审查 122. 销售订单按照自动编号顺序在零售商的多个出口输出，小订单直接在出口处理，大的订单送到中央大型生产厂。确保所有生产订单都被接收的最合适的控制是：发送并匹配交易总量和总数传送的数据返回本地站点进行比较比较数据传输协议并进行奇偶校验在生产工厂追踪并记录销售订单的序列数字 123. 功能性是评估软件产品质量整个生命周期的一个特征，最好的描述作为一系列特征：存在一系列功能和特殊属性软件能力能够从一种环境转换到另一个软件能力在一定的条件下能够维持一定的性能在软件性能和所用资源的数量之间的关系 124. 开发业务应用系统的变更控制，使用原型法有可能会复杂由于：反复性原型. 需求和设计的快速变化强调报告和显示缺乏综合性工具. 125. IS审计师审查项目，主要是质量问题，应该用项目管理的三角解释：提高质量是可以实现的,即使是资源配置减少只有资源配置增加才能提高质量即使资源配置减少，也可以减少交付时间只有质量降低，才能达到减少交付时间的目标 126. 在网上交易处理系统中，保持数据的完整性是通过确保交易或者完全执行或者完全不执行。数据完整性的这一原则被称为：孤立. 一致性原子性. 耐久性 127. ＩＳ审计师审查ＣＡＳＥ环境时最关心的问题是使用ＣＡＳＥ不能自动的：正确捕获需求. 保证需要的应用控制已经被实施产生经济的和用户友好的界面产生高效代码 128. ＩＳ审计师在一些数据库的表中发现了越界数据。ＩＳ审计师将建议以下哪种控制避免这种情况？记录更新所有交易日志. 实施执行前与执行后报告. 安装和使用追踪. 实施数据库的完整性约束 129. 在传输付款指令时，下面哪一项有助于确认命令不是复制的？使用加密ｈａｓｈｉｎｇ算法加密信息摘要解密信息摘要序列数字和时间戳 130. ＩＳ审计师在审查ＥＤＩ交易时发现了未经授权的交易，有可能建议改进： EDI贸易伙伴协议. 对于终端的物理控制发送和接收信息的认证技术程序变更控制处理 131. 以下哪一个是原型法的优势? 完成的系统通常有很强的内部控制原型系统可以节省大量的时间和费用. 使用原型系统的变更控制不复杂首先要保证不增加额外功能. 132. 以下哪一个是对完整性的检查(管理)？检查位奇偶校验位一对一检测预先录入 133. 调试程序的目的是：用于产生在实施之前测试程序的随机数保证有效变更，防止被其他变更程序重写定义程序开发和维护费用列入可行性研究确保异常中断和编码错误被检查和纠正 134. 在应用审计阶段，ＩＳ审计师发现几个问题与数据库错误有关。下面哪一个是ＩＳ审计师应该建议的纠正控制？ :实施数据备份和恢复程序. 定义标准和相应的复合性监督确保只有授权人员能够更新数据库. 确认控制处理当前的访问问题 135. EDI对内部控制的影响是: 审查和批准较少存在. 固有认证. 由第三方拥有的适当分配的EDI交易 IPF管理将会增加对于数据中心控制的责任 136. 下面哪一种测试可以确定当新的或变更的系统在目标环境中运行时并不影响其他现有系统？平行测试 Pilot测试整体/接口测试 Sociability testing适应性测试 137. 企业成立指导委员会以监督电子商务系统。指导委员会很可能会涉及到：记录需求 escalation of project issues.计划升级问题设计接口控制具体报告. 138. 在电子转账系统(EFT)中，下面哪一种控制有助于发现重复信息? 信息认证码数字签名授权序列码授权分离 139. 第三方应用系统中发现有安全弱点，此系统有与外部系统的接口，在很多模块上应用了补丁。IS审计师将建议作何种测试？压力黑盒接口系统 140. IS审计师将采取下面何种行动评估软件的可靠性？审查错误登陆尝试的数量在给定的执行时间内记录程序错误次数测试不同请求的响应时间与用户面谈评价需求满足的程度 141. 零售公司最近在不同的地点安装了数据仓库的客户端软件，由于这些站点的时差不同，升级数据仓库不同步。下列哪一项受影响最大? 数据可用性数据的完整性数据冗余数据不准确 142. 其中哪一项保证数据计算的完整性和准确性？加工控制程序数据档案控制程序输出控制应用控制 143. 最优质的软件实现: 通过全面测试. 发现并快速纠正编程错误通过用可用的时间和预算确定测试数量通过使用定义明确的流程和对整个项目的结构审查 144. 公司进行业务流程重组，以支持对客户新的直接的营销方法。关于这个新过程 IS审计师最关注什么？保护资产和信息资源的关键控制发挥作用公司是否满足顾客的需求? 系统是否满足性能要求用户确定谁将为流程负责 145. 当审计自动化系统时，责任和报告途径无法确定，因为：分散的控制使所有权无关diversified control makes ownership irrelevant. 传统的员工工作变动更加频繁由于资源共享很难确定所有权在快速开发技术影响下，责任变化迅速 146. 在实施控制前，管理者首先要保证控制：满足处理风险问题的需要不降低工作效率. 基于成本效益分析. 被检查或纠正 147. 以下哪一项是于敏捷开发相关的风险？缺乏文档缺乏测试需求定义差项目管理差 148. 以下哪一项是对于程序员访问应付帐款生产数据的补偿控制？范围检验和逻辑编辑的处理控制通过数据输入审查应付帐款输出报告审查系统生成的报告，对于固定数量的现金或支票应付帐款管理员核定所有现金和批准的发票 149. 编辑/确认在远程站点输入的数据的程序，运行最有效的位置是：中心处理站点在运行应用程序后中心矗立站点在运行应用程序期间传输数据到中心处理器以后的远程站点远程站点，在传输数据到中心处理器之前 150. 在单元测试中，测试策略的运用是：黑盒白盒自下而上. 自上而下. 151. 下列哪些类型的数据编辑检查校验可以确定一个字段是否包括数据，而不是零或空白？检查位数存在检查完整性检查合理性检查 152. 以下是最关键，也是对于保证数据仓库中数据质量最有用的？原始数据的准确性数据来源的可信度提取过程的准确性数据转换的准确性 153. 下列哪些类型的控制的设计目的是为了提供核实整个应用处理中的数据和记录？范围检查运行到运行检查计算总量的限制检查例外报告 154. 审计师应该审计以下哪一项，以便理解管理多个项目的控制的有效性？项目数据库政策文件项目投资数据库程序组织 155. 在设计新系统时确定停止或冻结点的原因是：防止对运行中项目的进一步修改说明在什么时候可以完成设计. 要求在这一点改变后评估成本效益为项目管理团队系统对于项目设计提供更多的控制 156. 质量保证组一般负责: 确保从其他系统接受的结果处理已经完成监督计算机处理任务的执行确保程序，程序变更和文档与制定的标准一致设计流程保护数据防止意外泄漏，修改和破坏 157. 以下哪一个是面向对象技术可以实现更高安全性的特点？继承性动态库封装多态性 158. 用于IT开发项目的关于业务案例的文件应该保留到：整个系统的生命周期结束. 项目被核准. 用户接受系统. 系统正常生产. 159. 一个数字签字设备用于金融机构贷款给客户的帐户。金融机构接到3次指示，对账户支付三次。下面哪一种控制子最适合防止多次支付信用卡credit？对付款指令进行HASH加密，用金融机构的公钥对指令增加时间戳，用于检查重复支付对付款指令进行HASH加密，用金融机构的私钥在金融机构对摘要签名前，对指令增加时间戳 160. 下列哪一个最好的描述了按照标准系统开发方法的目标？确保分配合适人员，并提供方法进行成本控制和进度安排提供方法进行成本控制和进度安排，以确保用户，IS审计师，管理者和IS个人的沟通提供方法控制时间和进度，以便有效的控制审计项目开发确保用户、IS审计师、管理人员之间的沟通，以确保安排合适的人员 161. 以下哪种方法有助于确保连接数据库的应用程序的可移植性？确保数据库导入和导出处理使用结构化查询语言(SQL). 分析存储处理/Triggers. 数据库物理模式与实体联系模型同步 162. 以下哪一种代表了典型的交互式应用？屏幕和处理程序屏幕、交互式编辑和抽样报告交互式编辑、处理程序和抽样报告屏幕、交互式的编辑、处理程序及抽样报告 163. 下列哪些工具或系统可以确认信用卡交易很可能是由被窃取的信用卡而不是真正的持卡人？入侵侦测系统数据挖掘技术防火墙包过滤路由器 164. 在计划软件开发项目时，以下哪一项最难以确定？项目延迟时间项目的关键路线个人任务需要的时间和资源不包括动态活动的，在其他结束之前的关系 165. 雇员负责更新金融应用程序每天的资金运用利率，包括例外客户的特定利率。下面哪一个是确保例外利率审批的最好控制？在额外利率确认前，超级用户必须输入口令超过正常范围的利率必须要更高级管理层的批准当输入例外利率时，系统发出警告所有利率必须记录并确认每30天 166. 负责制定、执行和维护内部控制制度的责任在于: IS审计员. 管理层. 外部审计师. 程序开发人员. 166. 负责制定、执行和维护内部控制制度的责任在于: IS审计员. 管理层. 外部审计师. 程序开发人员. 167. 在发现了计算机系统中的特洛伊木马程序后，IS审计是要做的第一件事是什么？调查作俑者消除潜在威胁. 确定补偿控制. 移除非法代码 168. 在企业资源管理系统的实施后审计中，IS审计师很可能: 审查访问控制配置. 接口测试评估. 详细设计文件审查. 系统测试评估. 169. 在互联网应用上使用applets的最好的解释是: 从服务器经过网络传送. 服务器不运行程序，输出不经过网络改善网络服务器和网络的性能. 是通过网页服务器下载的JAVA程序，由客户机上的网页服务器程序执行 170. 下面哪一个任务在benchmarking process的研究阶段发生？确定关键工序. 基准伙伴访问. 结果转化为核心的原则. 认定基准伙伴. 171. 下列哪些因素能够最好的确保业务应用在海外成功开发？严格的合同管理办法详细正确的实施说明政治和文化差异的认识实施后审查postimplementation 172. 在开发应用程序时，质量保证测试和用户验收测试被和并在一起。IS审计师在审计时最关心的是：加强维修. 测试文件不当. 性能测试不足. 拖延解决问题. 173. 软件开发开发测试阶段的尾声，IS审计师发现软件交互错误没有纠正。没有采取任何行动解决这个错误。该审计员应：报告发现的错误，并让被审计人员进一步解释. 尽力解决错误建议问题解决增加escalated. 忽略错误，因为对于软件错误不可能得到客观事实 174. 以下是其中最关键的，当创建数据测试新系统或修改后的系统的逻辑时，以下哪一个是最关键的？对每个案例有足够数量的测试数据数据表示的情况在实际中可能会出现按时完成测试随机抽样实际数据 Chapter 4 1 以下哪一个是操作系统的访问控制功能？记录用户活动记录数据通信访问活动在记录层次确定用户的授权改变数据档案 2 代码签名的目的是为保证: 该软件后来并未改变. 应用程序可以和其他被签署的应用安全交互对应用程序的签名者是被信任的签名者的私钥没有被破坏 3 下列哪些类型防火墙可以最好的防范从互联网络的攻击? 屏蔽子网防火墙应用过滤网关包过滤路由器电路级网关 4 重新调整下面哪种防火墙的类型可以防止通过FTP在内部下载文件？电路级网关应用网关包过滤筛选路由器 5 审查广域网(WAN)的使用中发现在连接两个站点的通信线路中，连接主文件和数据库的线路峰值可以达到信道容量的96%，IS设计师可以得出结论：需要分析以便确定是否突发模式导致短期内的服务中断广域网的通信能力足以满足最大流量因为没有达到峰值应该立刻更换线路，使通信线路的容量占用率控制在大约85% 应该通知用户减少通信流量，或分配其服务时间以便平均使用带宽 6 下列哪些操作系统机制检查主体请求访问和使用的客体（文件、设备、程序）等，以确保请求与安全策略一致？地址解析协议访问控制分析参照监控实时监测 7 当评估IT服务交付时，下面哪一项是其中最重要的？记录和分析事件工具所有相关方签署的服务水平协议管理手段的能力问题管理 8 利用审计软件比较两个程序的目标代码是一种审计技术用于测试：逻辑变化效率. 计算. 9下列哪些可以用来核查输出结果和控制总数？通过匹配输入数据和控制总数？批标题表单批量平衡数据转换错误更正对于打印缓存的访问控制 10下面哪一种线路媒介能为网络通信提供最好的安全保证？宽带网络数字传输基带网络拨号专线 11在审计数据中心的磁带管理系统时，IS审计师发现设置的参数绕过或回避了在磁带头上记录标签，审计师也发现作业处理和程序正常。这种情况下，IS审计师可以推断：During an audit of the tape management system at a data center, an IS auditor discovered that parameters are set to bypass or ignore the labels written on tape header records. The IS auditor also determined that effective staging and job setup procedures were in place. In this situation, the IS auditor should conclude that the 应该手工书写磁带标签并由操作员检查工作布局和处理程序并不是适当的补偿控制staging and job setup procedures are not appropriate compensating controls 工作布局和处理程序对于磁带标签的控制有弱点磁带管理系统参数必须设置检查所有的标签 12独立的软件程序连接两个单独的应用系统通过共享计算机资源，这种技术被称为：中间件固件应用软件. 内置系统 13WEB和电子邮件过滤工具对于组织的最主要的价值是: 保护组织防止病毒和非业务材料. 最大化员工绩效维护本组织的形象. 有助于防止组织的法律问题 14在并行处理环境中最大限度地发挥大型数据库的性能，下面哪一个是用于衡量的指标？磁盘分区镜像 hashing Duplexing 复用 15下面哪一种测试手段审计师可以用于最有效的确定组织变更控制程序的一致性？ Which of the following tests performed by an IS auditor would be the MOST effective in determining compliance with an organization's change control procedures? 审查软件迁移记录并核实批准确认已经发生的变更，并核实批准审查变更控制文档，并核实批准确保只有适当的人员可以将变更迁移到生产环境 16程序员恶意修改程序用于修改数据，然后恢复为原始代码，下面那种方法可以最有效的发现这种恶意行为？比较源代码审查系统日志文件比较目标代码审查可执行代码和源代码的完整性 17在数据库应用程序的需求定义阶段，绩效被列为重中之重。访问DBMS文件，下面哪一种技术被建议用于优化I/O性能？存储区域网络(SNA) 网络存储高度(NAS) 网络文件系统(NFSv2) 通用英特网文件系统（CIFS） 18 在数据库管理系统(DBMS)中，数据存放的位置和访问方法有以下那一项提供？数据字典. 元数据. 系统目录. v 数据定义语言 19 以下哪一种处理过程可以最有效地发现非法软件进入网络？使用无盘工作站定期检查硬盘v 使用最新的防病毒软件如果违反立即解雇的政策 20 以下是哪一个是其中最好的预防系统弱点暴露的方法？日志监测病毒保护入侵侦测补丁管理 v 21 以下哪一项是其中最有效的方法对付由于协议的脆弱性导致的网络蠕虫的蔓延？安装卖方对于弱点的修补程序使用防火墙阻塞协议通讯Block the protocol traffic in the perimeter firewall. 在内部网段之间阻塞通讯停止服务，直到安装了适当的网络补丁程序 v 22 在电子商务环境中，最好避免通信失败风险的方法是使用: 压缩软件减少传输时间功能或信息认知功能. 对于路由信息的包过滤防火墙租用线路异步传输模式.ATM v 23 在WEB服务器上，通用网关接口常用于：使用一致的方式传输数据给应用程序并返回用户. v 对于电影电视的计算机图形图象网站设计的图形用户界面访问私有网关域的接口 24 下面的问题参考下图下图代表一个假设的内部设施，组织实施防火墙保护程序，防火墙应该安装在：防火墙是没有必要的. 安装在op-3 mis 和 NAT2 SMTP网关和op-3 v 25 组织与供应商协商服务水平协议，下面哪一个最先发生？制定可行性研究. 检查是否符合公司政策. 草拟服务水平协议. 草拟服务水平要求 26 下面哪一个applet 入侵事件暴露了组织的最大风险hich of the following applet intrusion issues poses the GREATEST risk of disruption to an organization?？程序在客户机上引入病毒 Applet记录了键盘操作和密码下载的代码读取客户机上的数据 Applet开放了客户机连接 v 27 在审查系统参数时，审计师首先应关注: 参数设置符合安全性和性能要求 v 变更被记入审计轨迹并定期审查变更被合适的文档进行授权和支持对系统中参数的访问被严格限制 28 地点3A、3D、1D，图表显示集线器是开放的并且是活动的，如果情况属实，什么控制应该被建议用来减轻弱点？智能集线器集线器的物理安全物理安全和智能集线器 v 不用控制因为没有弱点 29 审计师分析数据库管理系统的审计日志，发现一些交易被部分执行导致错误，而且没有回滚，违反了下面哪一项交易特征？一致性独立性耐久性原子性 Atomicity v 30 以下哪一种控制方法最有效的保证产品源代码和目标代码是一致的？ Release-to-release源代码和目标代码比较报告库控制软件严格限制对于源代码的改变严格限制访问源代码和目标代码对于源代码和目标代码的数据和时间戳审查 v 31 当评估英特网服务商提供的服务时，下面哪一项最重要？ ISP产生的业绩报告服务水平协议(SLA) v 采访供应商与ISP的其他客户访谈 32 下面哪一个报告IS审计师可以用来检查服务水平协议与需求的一致性？使用报告硬件错误报告系统日志可用性报告 v 33 在客户机服务器结构中，域名服务(DNS)是最重要的因为它提供了: 域名服务器的地址解决了名字与地址的转换服务 v 互联网的IP地址. 域名系统. 34 允许访问低层和高层网络服务的接口被称为：固件中间件 v 接口工具 35 IS管理者确定的变更管理程序是: 控制应用程序从测试环境到生产环境的转移 v 控制从缺乏重视到未解决问题引起的业务中断确保业务在遇到灾难时候不中断确保系统变更被合适的纪录 36 IS管理员最近通知IS审计师准备在支付系统中禁用某些参照完整性控制，以便为用户提供更快的报告产生速度，这有可能导致下面哪种风险？非授权用户访问数据对不存在的职工支付工资 v 擅自提高雇员工资. 授权用户重复数据输入 37 以下哪一项是对数据库管理员行为的控制？系统故障后，数据库检查点的重启过程数据库压缩以便减少使用空间监督审查访问日志 v 备份和恢复程序，确保数据库可用性 38 组织希望实施的完整性原则的目的是,实现提高数据库应用中的性能，应该应用下面哪一种设计原则？用户触发(客户) 前端验证数据结束后验证数据参照完整性 v 39 下列控制哪一个为数据完整性提供了最大的保证？审计日志程序联系参照检查表 v 队列访问时间检查表回滚和前向数据库特点Rollback and rollforward database features 40 下列哪些类型的防火墙提供最大程度的控制力度？过滤路由器包过滤应用网关 v 电路网关 41 供应商发布补丁程序修补软件中的安全漏洞，IS审计师在这种情况下应该如何建议？在安装前评估评估补丁的影响 v 要求供应商提供了一个包括所有更新补丁新的软件版本立即安装安全补丁. 在以后减少处理这些供应商 42 以下哪一个是检查擅自改变了生产环境的控制？禁止程序员访问产品数据要求变更管理的分析包括成本效益定期控制比较当前目标和源程序 v 确立紧急变更的处理程序 43 以下哪一个成为网络管理的重要组成部分被广泛接受？配置管理 v 拓扑映射应用监视器代理服务器发现困难 44 有线以太网在网络中使用非屏蔽双绞线超过100米，由于电缆的长度可能造成以下的情况：电磁干扰(EMI) Cross-talk Dispersion 分散 Attenuation 减弱 v 45 下面哪一个通常会在应用运行手册中发现？ :源文件细节密码错误和发现的行为 v 程序流程图和文件定义应用源代码的变更纪录 46 IS审计师审查数据库控制发现在正常工作时间对数据库的修改需要一系列标准程序，然而，正常时间之外，只需要很少步骤的操作就可以完成变更，对于这种情况，应该考虑增加下面哪一项补偿控制？只允许数据库管理员帐户进行修改在对正常账户授权后，才可修改数据库使用DBA帐户修改，记录修改并日后审查修改日志 v 使用一般用户帐户进行修改，记录修改并日后审查修改日志 47 以下哪一种硬件设施可以缓解中心服务器从事网络管理、信息处理、格式转换工作？ Spool 簇控制器协议转换器前端处理器 v 48 在客户服务体系，以下哪种技术用于检测已知和未知用户的活动？ diskless工作站数据加密技术网络监控设备 v 认证制度 49 IS审计师评价高度可用性网络的可靠性应该最关注：安装在地理上分散. 网络服务器集中在一个地点. v 准备热站为网络实施多路由 50 使用闪存的最重要的安全问题是: contents are highly volatile内容可靠数据无法备份数据可以复制. v 装置可能与其它设备不兼容. 51 防火墙的一个重要功能是作为: 特殊路由器连接局域网到互联网. 装置防止授权用户进入局域网. 服务器用于连接授权用户到私人的,可信任的网络资源. v 代理服务器提高授权用户的访问速度 52 管理cyberattack风险的第一步是: 评估弱点的影响评估威胁的可能性确认关键信息资产 v 评估潜在的破坏 53 以下哪种方式是最有效的手段确定操作系统功能正常运行？与供应商协商审查供应商安装指南咨询系统程序员审查系统产生参数 v 54 大型组织的IT运营被外包。IT审计师审查外包业务应该最关注以下哪些发现？外包协议没有包括对于IT运营的灾难恢复计划 v 服务提供商没有意外事件处理程序. 由于程序库管理问题，被破坏的数据库没有恢复没有审查意外事件 55 ping命令用来衡量: 减弱. 吞吐量, 延迟扭曲. 反应时间. v 56 下面哪一个被视为网络管理系统的基本特征. 映射网络拓扑结构的图形界面 v 与互联网交互解决问题的能力对于棘手问题的帮助台的连通表格管道数据的输出能力An export facility for piping data to spreadsheets 57 数据库系统中协同控制的目标是：限制授权用户更新数据库. 防止完整性问题，当两个进程试图更新相同数据时. v 防止意外或未经授权泄露数据资料库. 确保数据的准确性、完整性和数据的一致性. 58 公司积极推行动态主机协议(DHCP). 由于存在下列条件，应该给与最大关注的是：大部分员工使用笔记本电脑. 使用包过滤防火墙. IP地址的空间小于PC数量. 访问网络端口不受限制 v 59 确定如何通过不同的平台在异类环境中获取数据，IS审计师首先应该审查: 业务软件. 基础设施平台工具. 应用服务. v 系统开发工具. 60 以下基于系统的方法，公司财务处理人员可以可以监控支出模式确定异常并报告？一个神经网络 v 数据库管理软件管理信息系统计算机辅助审计技术 61 库控制软件的目标是之一是允许：程序员访问产品源代码和目标数据库批量程序升级操作员在测试完成之前升级控制库和产品版本只读方式获取源代码. v 62 以下哪一个报告可以衡量通讯传输和传输的完成的正确性？在线监测报告 v 故障报告服务台报告反应时间报告 63 通过合适的应用确定了网络会话，发送者传送信息通过将其分成包，但是包到达接受端时可能顺序破坏。OSI的哪一层可以通过分段的序列确定包的排列顺序？By establishing a network session through an appropriate application, a sender transmits a message by breaking it into packets, but the packets may reach the receiver out of sequence. Which OSI layer addresses the out-of-sequence message through segment sequencing? 网络层会话层应用层传输层 v 64 一个组织外包其服务台，下列哪些指标最好包括在服务水平协议中？全部用户支持第一次呼叫解决问题的百分比 v 服务台的意外报告数量回答电话的代理数量 65 监测和记录网络信息的网络诊断工具是: 在线监测. 故障报告. 服务台报告. 协议分析仪 v 66 审计师需要把他/她的微型计算机连接到主机系统，数据通信采用二进制代码同步通信传输数据块。然而，审计师计算机目前的配置，只能进行异步的ASCII代码数据通信。IS审计师的计算机必须增加下面哪一项才能与主机系统通讯？缓冲能力和平行端口缓冲能力和网络控制并行端口和协议转换缓冲能力和协议转换 v 67 下面哪一种设备可以扩展网络，并且可以作为存储和转发装置？路由器网桥 v 中继器网关 68 当评估计算机定期维护程序的适当性和效率时，下面哪一项IS审计师认为是最有帮助的？系统故障日志 v 供应商可靠性特点定期保养记录书面预防性维修日程 69 下面哪一个是网络组件主要用于在两个不同的网段间防止非授权通讯的安全措施？防火墙 v 路由器 2层交换机 VLAN 70 下列哪些是应该做的，当审计师通过比较源代码发现代码被修改。确定是否修改经过了授权 v 升级源代码副本控制源代码的人工审查. 在源代码中插入标记说明修改情况 71 实施防火墙时最可能发生的错误是: 访问列表配置不正确. v 由于社会工程破坏了密码连接调制解调器到网络上的计算机. 保护网络和服务器免受病毒攻击. 72 下列哪些可以最好的衡量服务器操作系统的完整性？在安全区域保护服务器设置根密码加强服务器配置 v 实施动态日志 73 下列哪些措施能够最有效地较少设备捕获其他设备信息包的能力？过滤器交换机 v 路由器防火墙 74 考虑将应用程序从测试环境转换到生产环境，提供的最好的控制是：应用程序员拷贝源程序并编译目标代码到生产库中应用程序员拷贝源程序到产品库，生产控制组编译源程序生产控制组编译目标模块到生产库中，使用测试环境中的源代码生产控制组拷贝源程序到生产库中，然后编译源程序 v 75 下面哪一个直接受到网络性能监控工具的影响？完整性可用性 v 完全性机密性 76 电子数据交换过程中，接收并传送电子文件的是: 通讯处理器communications handler v EDI转换器. 应用接口. EDI接口. 77 下列哪些控制可以最有效的发现网络传输错误？奇偶校验 (可以发现多个错误) 回声检查阻塞总数检查循环冗余检查 v 78 在多供应商网络环境中共享数据，关键是实施程序到程序的通讯。考虑到程序到程序通讯的特点，可以在环境中实施，下面哪一个是实施和维护的困难？用户隔离远程存取控制透明的远程访问网络环境. V 79 数据库管理员建议要提高关系数据库的性能可以denormalizing 一些表，这可能导致：保密性损失. 增加冗余 V 非授权访问应用故障 80 ISO/OSI参考模型的哪一层提供两点之间的信息包路径？数据链路层网络层 V 传输层会话层 81 组织将其网络维护应用从组织外界转为组织内部，下面哪一项是IS审计师要关注的主要内容？回归测试工作安排用户手册变更控制程序 V 82 下面哪一项可以将电子邮件从一个网络传送到另一个格式，使信息可以穿过网络？网关 V 协议转换器前端处理机集中器/复用器 83 检查授权软件基线主要是解决下面哪一个问题？项目管理配置管理 V 问题管理风险管理 84 在一个小型组织内，雇员进行计算机操作，根据情况需要改变程序。IS审计师应该作出下面哪一项建议？自动记录开发程序库的变更情况提供额外人手进行职责分工只实施经过批准的变更程序 V 访问控制，防止程序员改变程序 85 下列哪些与脱机打印敏感报告相关的风险，IS审计师认为是最严重的？操作员可以读取敏感数据数据可以擅自修改. 报告副本可擅自印制. V 在系统故障时，可能丢失输出数据 86 下面哪一个传播问题是有线和无线传输共有的？ Cross-talk Shadow zones Attenuation V Multipath interference 87 一个组织为他的供应链伙伴和客户提供信息，通过外联网和基础设施。下面哪一个是IS审计师在审查防火墙安全架构时应该最关注的？安全套接层为用户认证和远程管理防火墙基于变更需求，升级防火墙策略阻挡进入的通讯，除非通讯类型和连接被特别许可防火墙被配置在业务操作系统顶部并安装了所有选项 V 88 最近一次IS审计师发现由于缺少有经验的技术人员，安全管理员作为高级计算机操作人员每天都工作到深夜。IS审计师最合适的做法是：建议风险包括安全管理人员 V 同意与这些警卫班一起工作作为预防控制. 建立计算机辅助审计技术发现滥用这项安排. 审查每个晚班的系统日志确定是否存在非法行为 89 随着公司遗产系统的重组，发现记录被意外删除，下面哪一项可以最有效的诊断这种情况的发生？范围检查表查询运行汇总Run-to-run totals V 一对一地检测 90 在局域网环境中，下面哪一个可以最有效地减少数据破坏的风险？对于数据通讯进行端到端的加密单独使用电力和数据线路 V 使用检查总数检查破坏数据使用星型拓扑连接终端 91评估数据库的参照完整性，IS审计师应该：符合关键字composite keys 索引字段物理模式. 外部关键字 V 92 组织外包其IT运营业务给服务商，组织的IS审计师观察到如下情况：服务器主要设在外包组织即将迁往服务提供商，关键系统经过备份，但是恢复的效率低下。外包合同不包括灾难恢复服务提供商备份的数据紧靠着建筑物 92 下面哪一个是审计师将要立刻作出的建议？改进对于关键系统的备份延迟迁移服务器 V 在合同中包括灾难恢复备份数据远离服务提供商 93下面哪一个是审计师有可能在系统控制台日志中发现的？系统用户名超级用户切换验证系统错误 V 数据编辑错误 94 通过分离线路设备或重复线路设备来路由阻塞被称为： alternative routing. diverse routing. V redundancy. circular routing航线. 95 当审查局域网实施时，IS审计师应该首先审查：节点列表验收报告网络图. 用户列表 96 有利于服务质量(QoS)是: 整体网络的可用性和性能大大改善. 电信承运人将为公司提供准确的服务水平的遵守情况报告. 申请人保证服务水平 V 通信联系被安全控制执行，以保障网上交易的安全性. 97 保留档案是为了保证: Applying a retention date on a file will ensure that: 不能读数据,直到确定日期. 数据在日期之前不会被删除 V 备份在日期之后不再保留备份区分名字相同的数据集 98阻塞控制最好由OSI协议的哪一层控制？数据链路层会话层传输层网络层 V 99下列哪些有助于发现对于服务器的日志入侵造成的变化？在另一个服务器作镜像在一次性写入的磁盘上同步记录系统日志 V 对系统日志写保护异地存储系统日志的备份 100 审计师发现几个计算机连接互联网的安全水平较低，允许自由记录cookie，由于cookie存放下面哪一项可能造成的风险？关于因特网网址的信息关于用户资料的信息关于网络连接的信息互联网页. 101应该对WEB服务器部署反代理服务器技术，如果: 必须隐藏HTTP服务器地址. V 需要加速访问所有发布的网页需要缓存进行容错用户带宽受到限制 102在审查了防火墙后，,审计师应该最关心以下哪一项？明确定义的安全政策实施防火墙用最新、最可靠的算法执行有效的防火墙的安全政策 V 防火墙安装的平台的安全性 103企业使用下面哪一项可以使其业务伙伴通过互联网访问其内部网？虚拟专用网 V 客户机服务器拨号访问网络服务提供商 104下列哪些类型的传输媒介提供对于非授权访问的最安全的防范？铜线双绞线光缆线路 V 同轴电缆 105 以下是哪一个是邮件服务器用来发送垃圾邮件最有可能的原因？安装开放应答服务Installing an open relay server V 使用邮局协议(POP3) 使用简单的邮件传输(SMTP) 活动用户账户 106参照完整性约束包括：确保交易过程完整性确保数据通过触发更新. V 确保控制用户升级数据库设计表和查询的规则 107在图中2c处，有三个hub相互连接。有哪些潜在的风险？病毒攻击性能恶化 V 控制管理不善易受外部黑客攻击 108接受EDI交易并通讯接口，通常需要阶段: 转化和分拆交易translating and unbundling transactions. 路由确认过程 V 传递数据到应用系统创建接收审计日志点. 109下面哪一项是影响分布式服务器环境失败的最大限制？冗余路径集群Clustering V 备用拨号线路备用电源 110IS审计师审查数据库应用系统，发现当前设置不符合原来的结构设计。下面审计师将采取什么行动？分析结构变化的必要性. 建议恢复原来的结构设计. 建议实施变更控制过程. 确定是否调整被批准 V 111 下面哪一项是对于通信组件失败/错误的控制？限制操作访问，维护审计轨迹监督和审查系统活动提供网络冗余 V 确定数据通过网络传输的物理屏障 112 对网上交易处理系统,每秒交易量用于衡量：吞吐量. V 反应时间. 周转时间. Uptime 113软件的监控能力用于确保：最大限度地利用现有的能力. 满足未来用户的需要. 同时服务大量使用者持续高效运作. V 114确定哪些用户可以进入超级用户权限，IS审计师应该审计下面哪一项？系统访问日志文件许可软件访问控制参数访问控制violations日志控制项使用的系统配置文件 V 115在基于TCP/IP的网络里，IP地址指定：网络连接 V 路由器/网关网络中的计算机网络中的设备 116数据库管理员已决定在数据库管理系统中禁止某些控制，以提高用户的查询性能，这有可能增加哪一项风险？损失审计轨迹. 数据冗余 V 损失数据的完整性擅自利用数据. 117神经网络能有效地发现欺诈，因为他们可以: 可以发现新的趋势由于线性遗传解决无法获得大量通用数据的问题攻击的问题需要考虑输入大量变量. V 假定与输出变量相关的曲线的形状 118 USB端口：连接网络，无需网卡连接具有以太网适配器的网络 V 替换所有连接连接显示器 119 下面哪一个是最安全的防火墙系统. Screened-host firewall Screened-subnet firewall V Dual-homed firewall Stateful-inspection firewall 120 一个程序使用Firecall IDs，符合提供的操作手册，可以访问产品环境并作出非授权改变。下面哪一个可以防止这种情况发生？ Deactivation撤销监控授权重置 V 121 审计师对电信公司进行网络安全审计，为shopping mall对其顾客提供无线网络连接服务。公司使用无线传输层安全(WTLS)和安全套接层(SSL)技术保护顾客的支付信息。IS审计师应该最关注，如果黑客: 破坏WEP网关compromises the Wireless Application Protocol (WAP) gateway V 安装溴探程序在服务器前端盗窃顾客的PDA 听无线传输. 122 IS审计师审查机构的数据文件控制程序，发现应用于最新的文件，而重启程序恢复以前的版本。IS审计师应该建议实施以下：保留源文件source documentation retention.. 数据文件安全. 版本使用控制. V 一对一地检测one-for-one checking 123 工具程序组和需要的软件模块执行机器代码应用程序版本是：文本编辑. 程序库管理链接编辑程序和载入程序linkage editors and loaders V Debuggers和开发服务工具 124 IS审计师主要关注CRT显示器的射线泄露，因为他们可能：导致健康问题(如头痛)和疾病. 被截获的信息可以被其他人获取. V 导致通讯冲突导致主板错误 125 安装网络后，该组织实施了脆弱性评估工具和安全扫描工具确定潜在弱点，其中与这种工具相关的最严重的风险是：（重要）差别报告错误的主动报告错误的被动报告V 欠详细报告 126 审计师审查数据库管理系统的功能，以确定是否已取得足够的数据控制。审计师应该确定的是：对数据处理业务的功能报告明确定义功能的责任. V 数据库管理员应该是胜任的系统程序员审计软件具有高效访问数据库的能力。 127 下面哪一种局域网的物理设计容易受到整体损失如果一个装置出现故障？星型总线型 V Ring环型完全连接 128 java applets 和 ActiveX 控件是分布式执行的程序，在网页浏览器客户端的后台执行。爪哇和Applets启动编程控制程序分配到执行的网页浏览器用户的背景. 这一做法被认为是合理的,如果: 一个防火墙存在. 使用安全网络连接执行的来源是确定的 V 主机网络是组织的网站. 129 以下哪一个是检测内部对于IT资源攻击的最好的控制？检查活动日志检测防火墙日志实施安全政策 V 实施适当的职责分离 130 下面哪一个涉及到实施路由器和连接设备监控系统？简单网络管理协议SNMP V 文件传输协议简单邮件传输协议 Telnet 131 下列哪些防止了数据库中的数据混乱dangling tuples？循环完整性域完整合理完整性参照完整性 V 132下面哪一个是最好的审计程序，以决定是否防火墙的配置符合组织的安全政策？审查参数设置. 与防火墙管理员面谈. 审查实际程序. 审查最近所受攻击的设备日志文件 133 分析以下哪一项最有可能使IS审计人员确定是否有非法企图获取敏感数据? 异常工作终止报告操作问题报告系统日志 V 操作工作日程安排 134 以下哪一个是监控审计日志最大的风险？日志没有定期备份 V 记录例行公事程序使日志不记载. 非授权的系统行为被记录，但是没有深入调查 135 有大型组织的网络中，公司的供应伙伴的遍布全球的网络通讯可能增加。这种情况下网络架构应该是可以升级的。下面哪一种防火墙架构限制了未来的升级？应用Appliances V 基于操作系统基于主机 Demilitarized Chapter 5 1 下面哪一项是使用回拨装置的优点？提供了审计轨迹. 可以用在交换机的环境. 许用户无限制的流动性. 运行前向呼叫 2 一个组织能够保证接受的来自的员工的电子邮件可以确认发送者的身份，通过: 对所有的电子邮件进行数字签名加密所有的电子邮件信息. 压缩所有电子邮件信息. 密码保护所有电子邮件讯息. 3 确保遵守安全政策要求密码必须是字母和数字的组合，审计师应该建议: 改变公司的政策. 定期更改密码. 使用自动密码管理工具. 安全意识培训交付. 4 渗透测试和脆弱性评估的不同在于脆弱性评估: 搜查和检查基础设施可以发现脆弱性，渗透性测试的目的是暴露弱点，以便证明由于脆弱性可能带来的危害和渗透性测试名字不同，行为一样是自动化工具，而渗透测试是手工处理由商业工具执行，渗透测试是公共处理 5 IS审计师指出与端口扫描相关的IDS日志没有被分析，这种分析的缺乏有可能造成哪种成功攻击的风险？ DoS，拒绝服务攻击重放replay 社会工程缓冲溢出 6 下面哪一项为前向加强安全设置提供了最相关的信息？堡垒主机入侵侦测系统蜜罐. 侵入预防系统 7 下面哪一项提供了逻辑访问控制的设计和开放框架？信息系统安全政策访问控制列表密码管理系统配置档案 8 在计划对于网络安装的审计，IS审计师应该最优先考虑获得下面哪一种网络文件？接线图和原理图用户列表和责任申请表及详细资料备份与复原程序 9 以下哪一个是通过互联网被动攻击的例子？流量分析伪装拒绝服务攻击电子邮件缓冲 10 当数据通过在交易伙伴服务器上实施的SSL加密进行传输时，下面哪一个是最令人关注的？组织对加密没有控制信息遭到搭线窃听数据没有达到接收的目的地通信不安全 11网站认证的主要目的是: 对上网的站点进行认证对于通过站点的用户进行认证. 防止黑客浏览网站. 与数字认证的目的相同 12 一种基于TCP/IP的网络环境暴露在英特网上。下面哪一个可以最好的保证在传输时有完整的加密和授权协议保护信息？工作在IP安全的隧道模式下完成，使用AH和ESP的嵌套服务使用RSA加密技术的数字签名使用RSA技术的数字认证在TCP模式下完成工作 13 以下哪一个是处理旧磁带的最好的方式？重写磁带初始化磁带标签磁带消磁擦掉磁带 14 以下哪一个是数据保护的最重要的目标？确定需要访问信息的人员确保信息的完整性拒绝或授权对系统的访问监控逻辑访问 15 以下那种病毒防范技术可以通过硬件实施？远程启动启发扫描器行为阻塞免疫immunizers. 16 终端用户在系统级别进入数据库的最大风险是用户能够：直接对对数据库进行非授权改变而不留下审计轨迹使用SQL语言访问信息远程访问数据库. 未经授权更新数据. 17 下面哪一种互联网的安全威胁，会影响完整性？客户端资料被盗泄漏网络配置信息特洛伊木马浏览器窃听网络 18 IS审计师审查客户机服务器环境下的访问控制，发现打印选项可以被所有用户访问。在这种情况下，审计师最有可能得出结论：风险更大，因为未授权用户可以访问这方面资料提高经营效率，因为任何人都可以在任何时间上打印任何报告运营程序更有效，因为资料容易获得. 用户友好并且方便灵活，因为信息在用户之间流通更通畅 19 要对于任意的访问控制都有效，必须：在强制访问控制的范围内操作操作与强制访问控制分离在必要的时候，允许用户不考虑强制访问控制具体政策允许的安全. 20 IS审计师最关心下面哪种审计策略，当对EFT系统进行审计时？有三个用户能够捕捉并认证自己的信息五个用户能够捕捉信息并发送自己的信息五个用户可以确认他人的信息并发送自己的信息三个用户可以确认捕获他人信息，并发送自己的信息 21 存放在PC机上的机密信息最好的保护方法是：密码. 文件加密移动磁盘关键操作的电力资源a key-operated power source 22 制造工厂通过电子商务应用为其业务购买了物资和供应，下面哪种方式企业可以用来证明交易确实发生了？声誉认证加密抗抵赖 23 在传输模式下，使用ESP协议优于使用AH协议因为ESP提供了：无连接完整性. 数据来源认证. antireplay service.反对服务保密. 24 在入侵检测系统IDS运行中，最常见的问题是：发现主动错误接收诱骗信息拒绝的误差率. 拒绝服务攻击. 25 谁将要为定期审查用户访问系统负主要责任？计算机操作员安全管理员数据拥有者 IS审计员 26下面哪种方法在数据中心灭火最有效并且是环保的？哈龙气体湿管干管二氧化碳气. 27 双因素认证可通过下列方式攻击. 拒绝服务攻击中间人攻击键盘记录蛮力攻击 28 在计划渗透测试时最重要的关键成功因素是: 计划测试程序的文档. 测试的日程安排和时间长度对客户组织的管理测试包括的人员资格和经验 29 以下哪种方式最适用于块数据加密和小设备如智能卡加密？ DES AES 三重DES RSA 30 制作电子签名是: 加密信息. 确认那里来的讯息. 使用私人密码时不被损害. 不能使用电子邮件系统 31 对于网络中的数据采用数字签名可以提供：保密性和完整性. 安全和抗否认. 完整性和抗否认. 机密性和抗否认 32 签字程序包括创建用户唯一的ID和密码。然而，IS审计师发现在许多情况下，用户名和密码是相同的。减轻这种风险的最好的控制是：改变公司的安全政策. 教育用户使用弱密码的风险. 内置的防止用户建立和修改密码的确认程序需要定期审核用户的身份密码以便检测和纠正. 33 发现防火墙无法确认的攻击企图，IS审计师建议把入侵检测系统(IDS)放在以下两者之间之间: 防火墙和组织网络. 互联网和防火墙. 互联网和WEB服务器. WEB服务器和防火墙 34 将冗余信息按照帧或字节的单位传递到检测装置并纠正错误称为：反馈错误控制. 块和数校验前向错误控制循环冗余检验 35 IS审计师审查数字权限管理应用，将发现下面哪一种技术的系统应用？数字签名散列 Parsing分析 steganography.信息隐藏 36 下面哪一种方法管理数字签名的生命周期以确保在与电子商务相关的数字签名中有足够的安全和控制？登记管理 Registration authority (CA)证书管理 Certificate authority (CA) 认证回收列表 Certification relocation list 验证声明 Certification practice statement 37 下面哪种加密方法将提高/成本? 对称加密而不是非对称加密. 使用长的非对称加密密钥加密信息散列而不是信息使用秘密密钥 38 下面哪种方法可以确保发送者身份和电子邮件信息的机密性？用发送者密钥加密信息散列，然后再用接受者公钥加密信息散列发送者对信息数字签名然后用发送者私钥加密信息散列用发送者私钥加密信息散列然后用接收者公钥加密信息用发送者私钥加密信息然后用接受者公钥加密信息散列 39 禁用下面哪种服务会使无线局域网对于非授权访问更安全？ MAC地址过滤 WPA（Wi-Fi Protected Access Protocol）. LEAP（Lightweight Extensible Authentication Protocol） SSID（SSID (service set identifier) broadcasting）广播 40 IS审计师在审查VPN设备时，最关注下面哪一项？网络中的计算机位于：企业的设备上. 在备份站点在雇员家中在企业的远程办公室. 41跨国公司的IS管理考虑将现有的虚拟专用网（VPN）升级到支持语音通信（VoIP）通过隧道，这主要应考虑以下哪种处理? 服务的可靠性和质量(QoS) 授权方式语音传输隐私数据传输机密性 42 当给供应商临时访问权限时，下面哪种控制最有效？供应商根据相应服务水平协议(SLA)访问. 创建的用户帐户有使用期限，基于提供的服务在受限制的日期内提供管理员访问工作结束后删除用户帐号 43 防止非授权用户进入拨号快速反应系统的数据维护，IS审计师应该建议：在线终端应该放置在受限制的区域在线设备终端配置密码锁访问在线终端设备需要使用ID卡在几次不成功访问后，中止在线访问 44 虚拟专用网(VPN)具有以下哪种功能? 对于网络嗅探器隐藏信息加强安全策略误用或错误侦测管理访问 45 对于有多个和分散子系统的远程访问网络，下列哪些控制将是最合适的？代理服务器安装防火墙网络管理员执行密码和管理 46对组织内部网络进行渗透测试时，下面哪种方法对于使测试者不被发现最有效？使用以后的文件服务器的IP地址或域名控制器每隔几分钟中止扫描，重新开始在晚上没有用户登录的时候进行扫描使用多种扫描工具，因为每种扫描工具有不同的特点 46 以下哪个部分负责收集入侵侦测系统(IDS) 的数据? Analyzer 分析器管理控制台用户界面传感器 47 当审计数据中心的安全性时，IS审计师师要稳压电源，以保证: 硬件免受电源浪涌. 主电源被破坏后的完整性维护主电源失效后可以立即使用针对长期电力波动的硬件包含 48 当审计数据中心的安全性时，IS审计师师要稳压电源，以保证: 硬件免受电源浪涌. 主电源被破坏后的完整性维护主电源失效后可以立即使用针对长期电力波动的硬件包含 49 Hashing散列和加密的最重要的不同在于hash是：是不可逆转的. 输出和原始信息同样长度的信息与完整性和安全性相关. 在收发端一样. 50 下面哪一个是信息处理设备中对安全软件和数据的基本的保护？安全意识阅读安全政策安全委员会逻辑访问控制 51在审查生物鉴定系统运作时，IS审计师首先应该：注册enrolled 鉴定确认存储 52 下面哪一种是对网络的被动攻击？信息修改伪装拒绝服务流量分析 53 以下哪种方式是椭圆曲线加密相比RSA加密方法的优点？运算速度能够支持数字签名单一密钥发放对于给定密钥长度下更强 54 对于实施了电子商务的企业进行审计，IS审计师声明当接受来自客户的信息时使用数字签名。要证实这一点，IS审计师必须证明使用了下面哪一项？生物特征，数字化加密的参数使用客户公钥用客户私钥传输并加密的数据散列用客户公钥传输并加密的数据散列用客户公钥扫描并加密的客户签名 55 CA作为第三方的作用是：在证书基础上提供安全通讯和网络服务. 存储由CA发布的包括私钥和公钥的证书库在通信双方之间作为可信的媒介确定拥有CA签发认证的实体的身份 56 下面哪一种最适用于少数人之间的安全通信？密钥分发中心认证授权信任网络 Kerberos 57 当审计客户机服务器环境时，IS审计师应该关注下面那一项？保护使用加密技术的数据防止使用无盘工作站的非授权访问用户直接访问和修改数据库的能力在用户计算机上禁用软盘 58 控制物理访问敏感领域的风险是什么?例如使用卡或锁控制计算机房：未授权的人等控制门打开后，在被授权的人之后尾随进入组织的应急计划不能有效测试控制的访问操作访问卡和令牌可以很容易被复制，导致很容易破坏控制取消授权很复杂 59 要有效利用PKI的证书应该加密：整个信息. 私钥. 公钥对称密钥. 60 逻辑访问控制审计的主要目标是：审查通过软件提供的访问控制确保每个组织的访问授权穿行并评估IT环境提供的访问确保硬件对于防止滥用有足够的保证 61 下面哪一个是定义深度防御安全原则defense in-depth security principle的例子？使用由两个不同提供商提供的防火墙检查进入网络的流量在主机上使用防火墙和逻辑访问控制来控制进入网络的流量在数据中心建设中不使用明显标志使用两个防火墙检查不同类型进入网络的流量 62 下面哪种加密/解密措施，为交易双方接受和发送信息的机密性，信息完整性，和抗抵赖性提供了最大限度的保证？接收方使用私钥解密密钥使用密钥对加密后的散列码和信息进行加密加密的散列码来自于发送的信息接收方使用发送方的公钥，核实认证并解密散列码 63 下面哪种方式对于通过互联网与外部连接的数据提供最大程度的安全？ AH和ESP SSL协议隧道模式和AH与ESP 三重DES加密 64 审计师检查一个包括电话交换机、网络设备、和文档的没有窗户的房间，房间配备了手持的灭火器充满CO2，其他都是哈龙气体。在审计师报告中下面哪一项应该给予最高的优先权？应该移除halon哈龙灭火器，因为会影响大气臭氧层在密闭的房间里使用这两种灭火装置会引起窒息的风险 CO2灭火器应该被移除，因为对于固体易燃物（如纸）无效文件应该从房间拿走，以便减少潜在的风险 65 基于因特网的攻击可以使用密码嗅探器: 允许一方扮演另一方对于确定的交易，修改其内容用于所有权信息对某些系统进行访问导致收费系统和交易处理协议的重大问题 66 对于标准独立的小型商用计算机环境，下面哪一种是最有效的控制？监督计算机的使用对于错误日志每天管理审核在锁定的空间里面存储计算机介质单独审计应用程序设计 67 在审查入侵侦测系统(IDS)时，IS审计师应该最应关注：非危险事件被确定为危险事件的数量没有被系统确定的攻击自动工具产生的报告被系统阻塞的合法的通信 68 哪项措施可以最有效地将用户限制在他们工作必须的功能领域？ :实行级别访问控制数据加密禁用软盘驱动器网络监控器 69 无线传输的局域网环境中数据的机密性保护的最好保障是，如果进程：限于特定的MAC地址加密使用静态密钥加密使用动态密钥从存储密钥的设备初始化 70 数字签名中的信息摘要: 显示信息在传输后是否改变定义加密算法确定发送端的身份允许信息以数字方式传输 71下面哪种结果导致拒绝服务攻击？蛮力攻击死亡之ping Leapfrog attack Negative acknowledgement (NAK) attack 72使用分布式拒绝服务(DDOS)攻击网站的黑客通常利用以下哪种：逻辑炸弹 Phishing 间谍程序木马Trojan horses 73如果不合适，下列因素将是最有可能导致拒绝服务攻击的是：路由器配置和规则内部网设计更新系统软件的路由器审计测试和审查技术 74下面哪一种对于电子商务交易提供了抗抵赖服务： PKI EDS MAC PIN 75干管灭火器系统使用：水，但是只有在发现火警以后水才进入管道水，但是水管中有特殊的防水剂 CO2代替水哈龙代替水. 76下面对于减少社会工程最有效的是：安全意识培训增加物理安全措施电子邮件的监控政策入侵侦测系统 77 SSl协议保证传递信息的机密性是通过: 对称加密. 信息认证码. 散列函数. 数字签名证书. 78 数字签名要求: 发送方有公钥，接受方有私钥发送方有私钥，接受方有公钥发送方和接受方都有公钥发送方和接收方都要私钥 79 下面哪一种是最安全和最经济的方法，对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络？虚拟专用网 VPN 专线租用线路综合服务数字网. 80 下面哪一个是最好的访问控制方法？数据所有者正式授权访问和管理员实施用户授权表单自动的员工实施用户授权表单，数据所有者批准数据所有者和IS经理共同创建和更新用户授权表数据所有者创建和更新用户授权表 81私钥系统的安全水平取决于什么的数量：加密密钥位数发送的信息密钥使用的频道 82 下面哪一个是最可靠的发送认证方式？数字签名非对称加密. 数字证书信息认证码 83系统资源的名字规则对于访问控制来说是重要的，因为他们：确保资源名称不模糊减少充分保护资源的规则的数量. 确保用户访问资源是清楚的并且是唯一确定的保证国际公认的名称用于保护资源. 84通过社会工程的方法进行非授权访问的风险可以通过以下方法避免：安全意识程序. 非对称加密入侵侦测系统. 非军事区 85当曾经用于存放机密资料的PC在公开市场出售时：对磁盘进行消磁对磁盘低级格式化删除数据对磁盘重整 86投资顾问定期电子邮件给客户实事通讯，并希望没有对人对实事通讯进行修改，这一目标可以实现通过：使用顾问的私钥加密通信的消息散列使用顾问的公钥加密通信的消息散列使用顾问的私钥对文档数字签名使用顾问的私钥加密通讯 87下列哪种行为可以诱骗网络上的主动攻击？ A 蜜罐 honeypots 防火墙陷门 trapdoors 流量分析 88下面哪种信息服务为已发生的具体行动提供了强有力的证据？交货凭证抗抵赖nonrepudiation 提出证据认证信息来源 89用于确保在虚拟专用网(VPNs)中安全的是: 封装. 包装wrapping. 变形. 加密 90潜在的通过组织设施的终端或工作站非授权访问系统可能增加，当：在组织中将笔记本接入网络的联结点可以使用用户保护密码机密性的警惕性高具有密码保护的终端位于不安全的环境中终端设备集中被管理员监控 91组织的混合访问点，不能升级到更安全。新的访问点有更先进的无线安全。IS审计师建议替换升级访问点。下面哪一个是审计师提出的最正确的建议？新的访问点提供更高的安全性. 旧的访问点性能比较差组织的安全性强度取决于最弱点的安全性新的访问点容易管理 92 IS审计师对系统独立进行分类，考虑到一种情况是可以以可容忍的成本在一段时间内手工完成的功能是：关键重要敏感不重要 93 下面哪种反间谍过滤技术能够最好的提供有效、可变长度的邮件信息包括重要的信息关键词标记为垃圾邮件？Which of the following antispam filtering techniques would BEST prevent a valid, variable-length e-mail message containing a heavily weighted spam keyword from being labeled as spam? 启发(基于规则) 签字模式识别 Bayesian(统计) 94 IS审计师认为以下哪一项是弱点？被审计的组织使用公钥设施对通过英特网的BtoC的交易应用数字认证。客户在地理上分散，但授权认证不是客户可以在任何计算机或移动设备上进行交易授权认证有几个二级数据处理中心管理证书组织是认证授权的所有者 95 下列哪些功能应该由应用程序所有者执行，以确保在最终用户和IS之间的适当的职责分离？系统分析授权使用数据应用程序数据管理 96 下列哪些公钥基础设施(PKI)的内容详细描述了对被破坏的私钥的具体处理？证书废止名单(CRL) 验证方法声明(CPS) 证书政策(CP) PKI公开声明(PDS) 97 对于尾随风险的最有效的控制是: 单点入口设置接待员. 使用智能卡. 生物统计学的门锁. Deadman door 98 (CA)证书委员会能代表处理过程：取消和暂停订户的证书. 生产和分配的CA公钥建立申请实体及其公钥之间的联系. 签发证书订户分发. 99 实施访问控制首先需要： IS资源分级 IS资源标签创建访问控制清单. IS资产清单 100 电子邮件信息的真实性和保密性的最好的保证是通过签署信息使用：发送者私钥，并且加密信息使用接受者公钥发送者公钥，并且加密信息使用接受者私钥接受者私钥，并且加密信息使用发送者公钥接受者公钥，并且加密信息使用发送者私钥 101 下面哪一种物理访问控制能够对非授权访问提供最高级别的安全？ bolting门锁 Cipher密码锁电子门锁指纹扫描器 102 从长远来看，下面哪一项能够最大程度改进安全意外响应程序？对于意外响应程序的穿行测试意外响应小组在事件后审查对用户进行安全培训记录对于意外的反应 103使用单点访问登陆的最大风险是：有单一的认证点. 代表单点失败. 导致管理瓶颈导致有效用户停止. 104 在互联网电子商务网站使用非对称加密，主服务器有私钥而公钥分发给顾客，提供最有可能的保障是: 顾客在主机组织的真实性. 主机系统对顾客的真实性顾客对来自主机组织的信息的机密性主机系统对于发送给顾客信息的机密性 105 来自终端的电磁泄露风险，因为它们: 导致噪音污染破坏处理程序产生危险水平的电流. 可以被捕获并还原. 106 以下哪一个是在电子信用卡支付中使用SET协议的特点？买方保证，无论是商人或任何其他第三方能够滥用他/她的信用卡资料. 所有个人的SET证书安全存储在买方计算机中. 买方应负责赔偿任何涉及他/她的个人SET证书的交易. 支付过程简化，不需输入买方信用卡号码及终止日期. 107 以下哪一项对信息的真实性提供最大程度的保证？从发送信息中使用算法得出的hash代码使用发送方私钥加密hash代码使用密钥机密hash和信息发送方取得对方的公钥，证明其数字证书和授权的真实性. 108 积极射频ID(RFID)标签容易受到以下哪种风险? 进程劫持窃听恶意代码 Phishing. 109 从cyberattack 恢复时，下面哪一项是要采取的最重要的行动？建立一个事件反应小组使用Cyberforensic调查执行业务连续性计划提出保险索赔 110 有什么方法可以测试办公部门的无线安全？ War dialing战争语言社会工程学战争驾驶密码破解 111 应用系统审计轨迹的可靠性可能会有问题，如果：用户ID被记录在审计轨迹中安全管理员对于审计轨迹具有只读权限行为发生时，记录日期和时间戳当纠正系统错误时，用户可以修改审计轨迹 112 IS审计师应最关心授权honeypot的哪方面t? 收集攻击方式的数据. honeypot向外界提供的信息. Honeypot可能用来发动对组织基础设施进一步攻击的风险。 Honeypot被用于进行分布式拒绝服务攻击的风险。 113 下面哪种技术可以用来捕捉网络用户的密码? 加密嗅探 Spoof欺骗破坏数据 114 当从软盘复制文件的时候，用户不慎向网络引入了病毒，下面哪种方式可以最有效的监测出病毒？使用前扫描软盘文件服务器上的病毒检测程序定期扫描所有网络文件驱动器对用户个人计算机的病毒监控 115 在公共密钥基础设施中，注册认证需要：提供主体申请证书的确认信息在申请被核实并创建密钥后，颁发证书对信息进行数字签名，使签名的信息抗抵赖注册签名信息，以防止在将来被否认 116 回拨系统要求用户使用ID和密码通过电话线路呼叫远程服务器，然后服务器断开连接并：回拨给用户，使用用户的ID和密码，并使用储存在服务器数据库中电话号码回拨给用户，使用用户的ID和密码，并使用由用户在建立初始连接时提供的电话号码让用户等待确认，以便使用自己的数据库验证用户的ID和密码让用户等待确认，以便使用发送方的数据库验证用户的ID和密码 117 组织正在考虑把一个基于PC的计算机系统联入互联网，下面哪一种提供了防范黑客入侵的最佳保护？应用级网关远程访问服务器代理服务器端口扫描 118 以下哪一个是对于参观者访问数据中心的最有效的控制？陪同参观者参观者佩戴证件参观者签字. 参观者由工作人员抽样检查 119 数据分类中第一步是: 确定所有权. 进行关键性分析. 定义访问规则. 建立数据字典 120防止擅自使用资料档案的最有效的预防方法是: 自动化的档案访问入口. 磁带库管理使用访问控制软件锁定资料馆 121下面哪一个是通用的操作系统访问控制功能？建立数据库策略确认用户在字段级别的授权建立个人责任用日志数据库记录和监控访问活动 122 确定谁被允许使用特定系统资源，审计师应该审查：活动列表访问控制列表登录的ID列表密码列表 123 下面哪种方法符合双因素用户认证? 虹膜识别和指纹扫描 ID身份验证和全球定位系统(GPS) 智能卡和用户个人识别码PIN 用户ID和密码 124 IS审计师发现有些数据录入操作员离开时，他们的计算机正处于输入数据的状态而没有注销掉，应该采取下面哪种控制以防止非授权访问？加密离开时关掉计算机密码控制荧幕保护密码 125 信息安全政策声明：”每个人必须在进入每一个控制门时，都必须读取自己的证件”,防范的是哪一种攻击方式? 尾随Piggybacking 肩窥Shoulder surfing Dumpster diving 冒充 Impersonation 126 以下哪一种是提供安全数据传输的最有效的方法？通讯日志软件系统日志加密标准协议 127 下列哪些入侵侦测系统(IDSS)，最有可能对于网络的正常活动引起虚惊？基于统计基于签字神经网络基于主机 128 在逻辑访问控制的审查中，审计师发现用户账户被共享。这种局面可能造成的最大风险是: 非授权用户可以使用ID擅自进入. 用户访问管理费时. 很容易猜测密码. 无法确定用户责任 129 在审计网络连接时，IS审计师进行渗透测试应该: 评估配置. 检查安全设置确保使用了病毒扫描软件使用黑客能够使用的工具和技术 130 下列哪一种加密技术能有效保护对于无线网络的中间人攻击？ 128位WEP 128-bit wired equivalent privacy (WEP) MAC-based pre-shared key (PSK) Randomly generated pre-shared key (PSK) Alphanumeric service set identifier (SSID) 131 数字签名的一个特点是，确保寄件人不能事后否认创建和发出了这样的信息。这个特点是：数据的完整性. 正确性. 抗抵赖nonrepudiation. 回复保护 132 下面哪一种与WWW有关的问题可以通过网络防火墙解决? 组织外的非授权访问组织内部的非授权访问互联网连接延迟使用FTP下载文档的延迟 133 维持对于信息资产的适当的安全措施的责任在于安全管理员. 系统管理员数据和系统的所有者. 系统作业人员. 134 在审查组织的逻辑访问安全时，对于IS审计师来说最关心的应该是：没有共享密码没有加密密码文件. 删除多余登录ID. 控制登录ID的分配 135 IS审计师进行详细的网络评估和访问控制审计应该首先：确定切入点. 评价用户使用许可. 评估用户识别和授权. 评估域控制服务器的配置. 136 恶意代码每次感染了文件后就修改自己: :逻辑炸弹. 隐形病毒特洛伊木马. 多型态病毒. 137 当进行访问权审计时，下面哪一种权限分配给操作员后，审计师应该产生怀疑？读取数据对于交易数据文件的删除权限对于程序登录后读取/执行的权限对于工作控制语言/脚本文件的升级权限 138 为确保信息在传递双方之间的完整性、保密性和抗否认性，最有效的方法是建立一个信息摘要，采用加密HASH算法对: 整个信息，使用发送者私钥加密信息摘要，使用对称密钥加密信息，并使用接受者公钥加密秘钥任何一部分信息，使用发送者私钥加密信息摘要，使用对称密钥加密信息，并使用接受者公钥加密秘钥整个信息，使用发送者私钥加密信息摘要，使用对称密钥加密信息，并使用接受者公钥加密对称秘钥整个信息，使用发送者私钥加密信息摘要，使用接受者公钥加密信息， 139 下面哪一项可以确认攻击，和对网络的试图攻击行为？防火墙封包过滤器状态检查器入侵检测系统(IDS) 140 黑客可以不通过使用计算机工具或程序的方法得到密码的技术是通过：社会工程. 监听器. 走后门. 木马. 141 在ISO/开放系统互连模型中，哪一个协议是第一个对用户的应用建立安全？会话层传输层网络层表示层 142 下面哪一种控制可以最有效地发现入侵? 通过核准程序承认用户ID和特权. 当工作站在一段时间内不活动时候自动注销特定次数的不成功登陆尝试后，自动注销系统由安全管理员监控不成功的登陆企图 143 SSL的主要目标是确保: 只有发送方和接受方能够加密和解密数据发送方和接收方能够分别认定各自身份能够察觉传输中数据的变化通过创建一次性会话密码识别发送者身份的能力 144 下列哪些入侵侦测系统(IDSS)可以网络活动的一般模式和流量，并创建数据库? 特征型神经网络统计型主机型 145 在通信系统的审计中，IS审计师发现拦截对于和远程站点之间传输的数据的风险很高，减少这种风险的最有效的控制是: 加密. 回拨调制解调器信息确认. 租用专用线路. 146 安全管理规定要求使用只读方式获取: 访问控制列表安全日志记录. 日志选项用户策略 147 最全面的计量控制装置生物特征装置性能的衡量指标是: 错误拒绝率. 错误接受率. 平均错误率. 估计的误差率. 148 以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备？电路调整器Power line conditioners 一股防护装置A surge protective device 替代电源间断供电 149 下列哪一项会消耗网络带宽？木马陷阱门蠕虫疫苗 150 电子邮件通讯路径经过防火墙1进入邮件网关，经过邮件网关后通过防火墙2，到达内部网的邮件接收者。不允许其他的通讯，例如，防火墙不允许从外部英特网直接联入内部网络。内部网的IDS检查发现了并非来自于内部网关的网络流量。IDS的第一个触发机制是: 警告提高工作人员. 创建进入日志关闭防火墙2 关闭防火墙1 151 以下哪一个代表没有明显的识别预防控制的with no distinct identifiable preventive controls潜在风险？尾随病毒数据diddling 非授权应用程序关闭 152 IS管理员最近将现有的有线局域网替换为无线基础设施系统，以便满足组织内更多的移动设备的需要。这将会增加下面哪一种攻击的风险端口扫描后门中间人攻击战争驾驶 153 IS审计师审查无线局域网的安全，发现DHCP对于所有的无线访问点都被禁用了。这种做法：减少未经许可进入网络的风险. 不适用于小型网络 IP地址自动提供给任何人. 增加(WEP)的风险. 154 PKI管理证书的生命周期包括，包括证书目录维护和证书废止目录，维修和发布，是: 证书管理(CA). 数字证书. 验证方法声明(CPS). 注册权. 155 审查路由器的访问控制列表，应该在: 环境审查. 网络安全审查. 业务连续性审查. 数据完整性审查 156 其中哪一个是把自己增加到文件上，作为防范病毒的保护措施？行为阻塞循环冗余校验 Immunizers 动态监控 157 发送信息,并用发送者的私钥加密信息的hash散列，可以用于确保：真实性和完整性. 真实性和隐私. 完整性和隐私. 抗抵赖和隐私 158 使用redidual生物特征资料获得非授权访问，是下面哪一种攻击的例子？ Replay 野蛮攻击加密模仿 mimic 159 在安全人员的帮助下，对数据提供访问权的责任在于：数据所有者. 程序员系统分析师. 库管员 160 公司正在考虑利用指纹生物特征识别技术在访问关键性数据的计算机上，这就要求: 对于所有可信任的用户执行测试程序完全消除了错误接受的风险. 可以通过单独的密码访问指纹识别设备确保在非授权情况下不能访问关键数据 161 利用数字签名的主要原因是保证数据: 机密性完整性. 可用性 . 及时性. 162 信息安全政策,声称"密码的显示必须以掩码的形式"的目的是防范下面哪种攻击风险？尾随 dumpster diving 肩窥冒充 163 审计师进行通信访问控制审查，首先应该关注：维护使用各种系统资源的访问日志在用户访问系统资源之前的授权和认证通过加密或其他方式对存储在服务器上数据的充分保护确定是否可以利用终端系统资源的责任制和能力. 164 以下哪一个是入侵侦测系统(IDS)的特征? 关于攻击企图搜集证据找出政策定义的薄弱环节阻挡对于英特网上特定站点的访问防止用户接入某些特定的服务器 165 具有非常高安全要求的组织评估生物系统的效率，下面哪一个性能指标最重要？错误接受率(FAR) 平均错误率(EER) 错误拒绝率(FRR) 错误鉴别率(FIR) 166下列哪些风险是由于在线获取技术造成的？非授权访问数据 CPU循环使用率过高 Lockout of terminal polling 多重控制失效 167 审计师发现当供应商把设备运进了数据中心时，紧急电力关闭设备被意外地按下，并启用了UPS。IS审计师应该作出下面何种建议？he IS auditor learns that when equipment was brought into the data center by a vendor, the emergency power shutoff switch was accidentally pressed and the UPS was engaged. Which of the following audit recommendations should the IS auditor suggest? 重新部署电源开关. Relocate the shutoff switch. 安装保护盖. 陪同参观日志环境错误. 168 审计师检查种生物特征认证系统，发现存在一个确定的控制弱点，个人未经批准可以更新中央数据库服务器，而这个服务器是用于存放生物特征模板。以下对这种风险的最佳控制的是： Kerberos 活性检测多重生物测定 Before-image/after-image记录 169 生物特征系统准确性的指标是：系统反应时间. 注册时间输入文件大小. 错误接受率. 170 IS审计师发现缺少对于使用应用程序的授权程序，IS审计师应该最关注的是: 很多人可以声称是某个特殊用户. 也无法限制用户所赋予的职能. 用户账户可以共享用户有需要了解need-to-know的特权. 171 密码应该是: 由安全管理人员在第一次使用时分配每30天由用户进行改变经常重复使用，确保用户不忘记密码. 显示在屏幕上，使用户能确保输入正确 172 以下哪一种是最有效的一种防病毒软件. 扫描仪动态监控完整性检查疫苗 173 以下哪一种方法可以最好地保证网上传输数据的机密性？在数据传输前加密. 在信息后附加散列信息. 加强网络设备. 电缆安全保证 174 虚拟专用网(VPN)提供数据保密性通过: 安全套接层(SSL) 隧道. 数字签名. Phishing. 175 下列哪一种防病毒软件的实施策略在内部公司网络中是最有效的：服务器防毒软体病毒墙工作站防病毒软件病毒特征更新 176 对于在网上寻找商业数据的机密性，可靠性和完整性，下面哪一个是最好的整体控制？安全套接层(SSL) 入侵侦测系统(IDS) 公钥基础设施(PKI) 虚拟私有网(VPN) 177 验证电子邮件中的数字签名可以：帮助确认垃圾邮件提供保密性增加网关服务器的工作量可大大降低带宽. 178 IS审计师在审计无线网络时，下列哪些是应该关注的. 128位WEP加密是否可用 SSID(服务组标识符)广播是否可用. 防病毒软件已经安装到全部的无线客户. 已经部署了MAC访问控制过滤 179 当使用公钥加密保证数据在传输网络: 用于加密和机密的密钥都是公开的用于加密的密钥保密，用于解密的密钥公开加密密钥公开，解密密钥保密用于加密和解密的密钥都保密 Chapter 6 1 定期测试异地存储设置的主要目的是：确保数据库中数据的完整性. 减少开发详细业务持续计划的需要. 确保意外设备的持续兼容性确保程序和系统文档的状态最新 2 当升级在线订单输入系统完成后，升级被记录在交易磁带和硬拷贝的交易日志上。一天结束的时候，订单输入文件被备份到磁带上。整个备份过程中，驱动器设备和订单输入文件丢失了。下面哪些是重建文件需要的？过去一天的备份文件和当前的交易磁带过去的交易文件和当前的交易磁带当前的交易磁带和当前的硬拷贝交易日志当前的硬拷贝交易日志和前一天的交易文件 3 IS审计师审查组织的IS灾难备份计划，应该确认计划：每六个月测试情况日常的审核与更新由CEO审批与组织各个部门的领导沟通过 4 组织的灾难恢复计划应该明确尽早恢复：所有的信息系统处理所有的金融处理应用哪些由IS管理人员指定的应用按照业务经理定义的优先级恢复处理 5 金融机构每天在中心通信处理器上为所有的ATM处理上百万笔交易。下面哪一个对于通信处理器来说是最好的持续计划？与另一个组织的互惠协议同一个地点的替换处理器另一个网络节点的替换处理器安装双工通信线路 6 在审查业务持续计划过程中，IS审计师发现，尽管所有的部门都在同一个建筑内，每个部门都有独立的BCP。IS审计师建议BCP整合。下面哪一个领域将是整合的第一步？撤退计划恢复优先级备份存储呼叫树. 7 热站将被实施作为恢复策略当：灾难容忍很低的时候恢复点目标很高时候恢复时间目标要求高的时候灾难容忍很高的时候 8 当指定备份计划时，第一步是：确认数据. 选择存储场所制定存储介质定义保持时间. 9 参考以下信息回答问题： IS审计师对于金融组织进行灾难恢复计划的审计，发现：现有的灾难恢复计划已经是两年前，由组织IT部门的系统分析员使用从业务部门产生的交易结果编写的。计划交给代理CEO批准并正式成文，但是仍在等待关注。The plan was presented to the deputy CEO for approval and formal issue, but it is still awaiting his/her attention.计划从未更新，测试或交给关键领导或员工，可是面谈表明每个人都应该知道在其所在的领域内当灾难发生时应该采取什么行动。 IS审计师的报告应该建议：代理CEO应该为其错误的批准计划负责。the deputy CEO be censured for his/her failure to approve the plan. 应该成立高级经理委员会审查现有的计划现有的计划应该审批并与所有的关键管理者和员工沟通. 在规定的时间内，管理者共同合作制定或修订计划 10 在业务持续性审计中，IS审计师发现业务持续计划仅包括关键处理，IS审计师应该：建议BCP包括所有的业务处理评估没有被包括的业务的影响把发现的结果报告给IT经理. 重新定义关键流程 11 作为业务持续计划的一部分，下面哪一个应该在业务影响分析中最先确定？组织风险，例如单一失败点point-of-failure或基础设施风险。对于关键业务处理的威胁确定恢复优先顺序的关键业务处理恢复业务所需要的资源 12 异地的信息处理设备包括电线、地板、空调，但是没有计算机和通讯设备，是: 冷战. 温站拨号站点冗余处理设备 13 组织目前使用的磁带备份类型是每周一次完全备份每天一次增量备份。最近增加了磁带备份到磁盘的解决方案。这是因为: 支持非现场存储的快速综合备份备份到磁盘比备份到磁带快不再需要磁带库数据存储在磁盘里面比存储在磁带里更可靠 14 管理是决定安装1级廉价磁盘阵列(RAID)系统，以作为所有非现场服务器的补偿手段。 IS审计师的建议是：升级为RAID5级. 增加现场备份频率恢复现场备份在安全场所建立冷战 15 制定成功的业务持续发展计划，最终用户的参与在下面哪一阶段是关键的？业务恢复策略详细计划的指定业务影响分析测试及维修 16 当进行业务持续计划审计时，下面哪一项IS审计师认为是最重要的？在需要的时候，可以使用合同热站业务持续手册可以使用并是最新的保险范围足够并且保险费是足够的定期进行介质备份并存储到异地站点 v 17 以下哪一个是恢复非关键系统的最合理的选择？温站移动站点热站冷站 18 下列哪些是评估对于敏感数据的备份方案的最重要的衡量标准，由于管理需要敏感数据必须保存很长一段时间。全部备份窗口媒体费用恢复窗口介质的可靠性 19 以下哪一项是两家公司使用互惠协议解决灾难备份的最大威胁？发展可能会导致硬件和软件的矛盾需要的时候资源未必可得恢复计划无法测试每个公司的安全设备可能不同 20 由于组织业务持续计划的复杂性，可能会开发一系列而不是一个计划以应对业务持续和灾难恢复的各种情况。在这种环境下，关键的是：每个计划彼此一致所有的计划综合成一个计划各计划互相依赖. 定义所有计划的实施顺序 21 大型连锁店铺在每个销售点POS使用电子资金转帐(EFT)，通过中心通信处理器与银行网络连接。对于通信处理器最好的灾难恢复计划是：日常备份异地存储可替代的在线处理器安装复用通信线路在另一个网络节点的备用处理器 22 实施了灾难恢复计划的运行系统的成本，相比没有实施DRP的成本：增加. 减少. 不变. 无法预测. 23 在业务持续计划中，下列哪一项具有最高优先级？恢复关键过程恢复敏感处理恢复现场在另一个备份站点的备份操作 24 公司计算机系统的灾难恢复计划通常关注：整体操作程序长远战略规划. 灾难发生的可能性处理交易的替代处理 25 在使用热站、温站和冷站的合同中，应该考虑包括以下那些条款? 物理安全措施用户总数允许同时使用站点的用户总数参考其它用户 26 经过全面的应急操作测试后，IS审计师审查恢复步骤。发现技术系统和环境恢复到全面运行的时间超出了要求的关键恢复时间。审计师应该建议：进行恢复任务的整体审查扩大处理能力赢得恢复时间. 改进设备的使用结构增加恢复工作的人手 27 以下哪种策略最适用于业务应用在一个地区有多个办公场所并且预算有限的情况？业务维护的热站商业用冷站各个办公场所之间的互惠协议第三方热站 28 非现场的信息处理设备: 应该和实际处理站点具有同样的数量的物理访问限制应该很容易从外界辨别，以便发生灾难时，便于找到应该距离原站点附近，便于尽快开始运作不要要有和原站点同样级别的环境监控 29 以下哪一项对于有效的业务连续性计划贡献最大？BCP: 文件分发给所有有关的当事人计划包括所有的用户部门被高级经理批准由外部审计师审核 30 参考以下信息回答问题： IS审计师审查金融组织的灾难恢复计划发现以下问题：现有的灾难恢复计划是组织的IT部门的系统分析员使用业务部门的交易结果在两年前制定的，该计划已经交给副总裁正式批准，但仍等待他的关注。计划从来没有更新，测试，并交给主要的管理人员和员工，但采访表明每个人都知道在灾难发生时该采取什么行动。灾难恢复计划主要是在一个类似的，但并不确定的站点确定一个新的流程，站点的硬件设置已经配置。IS审计师应该：不采取任何行动，因为缺少最新的计划是唯一发现的结果建议确定站点的硬件配置都相同进行审计并确定第二配置能支持实际业务报告没有有效的计划，对于替代站点的财务支出是一种浪费。 31 在文件服务器中实施廉价磁盘冗余阵列(RAID)1级的目的是：改善性能提供用户认证. 确保数据可用. 确保数据机密性. 32 如果数据库使用前像dump，处理应该在以下中断的何处开始？最后一次交易之前最后一次交易之后最近的检查点之后的第一次交易最近的检查点之前的最后一次交易 33 当审查组织的业务持续计划时，IS审计师观察到组织的数据和软件文件被定期备份。那些特征可以表明这是一个有效的计划？妨碍Deterrence 减轻恢复反应 34 以下哪一种方法适用于测试业务持续计划？ Pilot计划纸面paper 单元系统 35 以下哪一项提供灾难恢复计划最重要的？整体目标程序的备份互惠处理协议联络电话名单供应特殊形式 36 组织实施了灾难恢复计划，下面要进行哪一步骤? 获得高级管理人员支持明确业务需要. 进行纸面paper测试进行系统恢复测试. 37 为异地存储的备份介质提供保护，存储站点应该位于建筑物的不同楼层可以被任何人访问清楚的标签以备紧急访问防止未授权访问 38 使用热站备份作为替代地点的优点是费用低. 热站可以延长使用时间. 热站可以在很短时间内准备就绪不要求设备和系统软件与主站点配合 39 网上银行交易时，数据正发送到数据库时候处理中断了。确保交易完整性的最好处理是：数据库的完整性检查. 正确性检验输入控制. 数据库回滚database commits and rollbacks 40 有几种方法提供通信连续性. 路由阻塞的方法可以通过split cable 或duplicate cable 设施被称为：替换路径alternative routing 不同路径diverse routing 长途网的多样性. 最后一英里电路保护. 41 以下哪一个是组织开发灾难恢复计划和业务持续计划的第一步？替代站点选择业务影响分析测试程序和频率信息分类 42 制定业务持续计划的第一步是：对系统按重要性分级确定灾难恢复策略确定关键恢复时间周期进行风险分级 43 除了为所有系统考虑备份外，在为在线系统提供备份时下面哪一个需要重点考虑？维护系统软件参数确保交易日志定期备份确保三代备份在异地维护重要数据 44 灾难恢复计划针对: 业务持续计划技术方面. 业务持续计划的运作方面业务连续计划的功能方面. 全面协调业务连续性规划. 45 下面哪一个为组织的灾难恢复计划准备就绪提供了最好的证据？. 灾难复原计划提供备用站点的客户参考维护灾难恢复计划的程序测试和演练的结果 46 网络数据管理协议(NDMP)技术应用于备份，如果: 需要网络存储应用A network attached storage (NAS) appliance is required. 必须避免使用TCP/IP协议不能被遗产备份系统继承许可权限的文件必须进行备份必须确保几个相关数据集的备份的一致性 47 数据恢复重置小组的责任包括：获取，打包并运送介质和记录到恢复设施，确定并监督异地站点存储安排寻找恢复地点，如果没有预设，协调运输公司员工到恢复站点. 管理变换项目，对损坏的设施和设备进行更详细的评估. 协调从热站迁移到新站点的过程 48 在更换了硬件处理设备后，业务持续经理应该先进行下面哪一项行为？确认热站的兼容性审查执行报告. 进行DRP的穿行测试更新IS资产清单. 49 IS审计师应该最关注以下哪一个结论，当审计异地站点的备份和恢复时？主要有三个人可以进入该地区. 书面文件也存放在异地仓库. 数据文件同步存储在异地仓库非现场位于一个单独设施. 50 下列哪些做法是应纳入灾难恢复计划测试程序? 请客户参与. 包括所有技术人员恢复管理员轮岗. 本地备份储存装置 51 当企业制定业务持续计划时，可以用下面那种工具了解组织的业务过程？业务持续自我审计资源恢复分析风险评估差距分析 52 下面哪一个恢复/持续计划的要素为灾难后恢复提供了最大的保证? 替换设施可以使用，直到恢复原来的信息处理设备. 用户管理参与识别用户关键系统和关键恢复时间计划副本存放于主要决策人员的家中. 回馈管理，保证业务持续性计划确实可行并且是最新的. 53 在下列情况下是最适合实施数据镜像作为数据恢复策略? 灾难容忍度高恢复时间目标高恢复点目标低恢复点目标高 54 下面哪一项是持续性测试计划，用真实资源模拟实际系统崩溃的成本效益，获得计划效益的有效证据？ Paper test 纸面测试 Post test Preparedness test 准备测试 Walk-through 穿行测试 55 下面哪一项确保灾难发生时，交易的可用性？每小时发送到异地站点的包含交易信息的磁带每天发送到异地站点的包含交易信息的磁带. 多种交易记录存储装置. 实时传送交易到异地. 56 哪一项最能保障通过组织的广域网的连续性? 内置替换线路每天完成所有系统备份服务商提供的维护协议每个服务器都有备用 57 下面哪一项必须存在，以确保信息处理设施的重复性? 站点位于主站点附近,以确保迅速、高效地恢复. 站点中现有最先进的硬件. 主要站点的工作监督，以确保有足够的备份可用. 硬件安装测试，以确保其正常的工作. 58 公司定期进行全面备份，这种做法的主要目的是: 维护应用程序中数据完整性. 中断后重建应用处理. 防止未经授权的程序和数据变化. 确保灾难时数据处理的恢复 59 下列哪个程序最好先确定是否有适当的回收/重新启动程序存在? 审查程序代码审查运行文件关掉UPS，电源审查程序文档 60 当为航空预约程序制定业务持续计划时，在异地最合适使用的数据传输和备份方法是： Shadow同步档案处理. 电子跳高electronic vaulting. 硬盘镜像热站 61 当组织备份设备使用温站时，其中最令人关注的是及时提供硬件供应热能、湿度和空气调节设备足够的电力有效的通讯网络 62 准备灾难恢复计划时，下列任务哪一项应该应先完成? 建立恢复策略. 进行业务影响分析. map系统软件、硬件、网络构成. 任命恢复小组，明确恢复人员角色和等级. 63 下面哪一个可以支持7/24可用性? 每日备份异地备份镜像定期检验. 64 组织在广泛的地理区域内设立办事处，该组织制订了灾难恢复计划。利用实际资源,以下哪一个是对DRP最符合成本效益的测试? 全面业务测试 Preparedness test准备测试文件测试回归测试 65 IS审计师审计业务连续性计划，以下哪一个是其中最重要的结果? 没有替换的PBX系统缺乏骨干网的备份缺乏对用户PC的备份系统失败的卡片识别系统 66 IS审计师审查备份的处理设备，最应该关注：有足够的保险. 进行硬件的日常维护对于交易和档案的异地存储备份的加工设备，经过全面检验. 67 组织的财务系统的灾难恢复计划，指出，回收点目标(RPO)没有数据损失和恢复时间目标是72小时。以下最符合成本效益的解决方案是? 8小时内即可运行的热站，和同步备份交易日志位于多个地点的分布式数据库系统异步更新数据同步更新，在热站的备用系统远程同步数据拷贝的温站，可以在48小时内运行 68 业务连续性和灾难恢复计划的主要目标是应该是: 保护关键财产. 提供业务的连续性. 最小化组织的损失. 保护人的生命. 69 IS审计师指出组织对于每个单独的处理都有足够的业务连续性计划(BCPS)，但是没有综合的BCP。对审计师来说最好的做法是：建议增设另外的综合BCP. 判断是否BCP是一致的书面同意这些BCP. 建议建立一个单一的BCP. 70 在实施灾难恢复计划后，组织运作成本将: 下降. 不变增加. 增加或减少取决于业务的性质. 71 在生产环境中，以下哪一个是确定每一个应用系统关键程度的最好的方法？采访应用程序员. 进行差距分析. 审查最近的应用审计进行业务影响分析. 72 灾难恢复计划的结构化的穿行测试法包括: 每一功能区的代表性功能合并成一个计划. 参与日常业务的所有员工执行计划. 将系统迁移到备用系统，进行加工处理业务. 计划分发到各个职能领域进行审查. 73 IS审计是审查BCP时，最关心下列哪一个？灾难水平基于破坏程度，但没有持续性差别在低层次的软件和偶然意外之间并不清楚. 整体BCP有文档记录，但没有说明详细恢复步骤. 宣布灾难的责任不明确. 74 组织的灾难恢复计划应采取下列措施: 缩短恢复时间和恢复成本. 增加恢复时间和恢复成本. 减少恢复时间和增加恢复成本. 不影响恢复时间和恢复成本 75 在完成业务影响分析后，在业务持续计划中，下一步应该是：测试和维护计划. 制定具体计划. 制定恢复策略. 实施计划. 76 以下哪一个是其中最重要的标准，当为IS备份文件选择异地存储设施的场所时?异地场所应该：与实际的数据中心物理分离，而不是接受同样的风险. 与计算机数据中心同等程度的保护外包给可靠的第三方. 装有监控设备. 77 审计关键业务领域的灾难恢复计划，审计师发现计划并不包含所有系统。审计师采取的最合适的行动是? 警告管理层，并评估没有包括所有系统的影响取消审核. 完成对于现有DRP包括的系统的审计推迟审计，直到所有系统加入到DRP. 78 BIA业务影响分析的主要目的是: 提供在灾难后重新开始运营的计划确定可能影响组织业务持续性的事件宣传组织对于物理和逻辑安全的承诺提供有效的灾难恢复计划的框架 79 通信设备的持续性是通过提供冗余连接如本地的T1线路，微波，同轴电缆访问本地线路是：最后1公里电路保护长途网的多样性多种线路替代线路答案供参考：第一章答案 01-10 ddcaa dcacb 11-20 daccb babcd 21-30 acaac dabcd 31-40 ddabd abcaa 41-50 cbaba bcbcb 51-60 dcbbb cacaa 61-70 adcbb babcc 71-80 bcaaa dbdac 80-82 aa 第二章答案 01-10 dbacd aaacd 11-20 acccd dbccc 21-30 cbbba adbac 31-40 dbbca adbcb 41-50 cddaa cbbbc 51-60 cacac bbddb 61-70 dddab dacac 71-75 acdba 第三章答案 1-5: BACAB 6-10: CCADB 11-15: CBACC 16-20: AADAA 21-25: CADDD 26-30: ACAAC 31-35: DBAAB 36-40: AACAD 41-45: DAACB 46-50: CDABC 51-55: BAACC 56-60: BADCA 61-65: AABDD 66-70: BABCA 71-75: DAACD 78-80: CCB 81-85: AACBC 第四章答案 1-10:AAABACBBBD 11-20:CAACBBACBD 21-30:DDADBDACDD 31-40:BDBBACCDBC 41-50:ACADBCDCBC 51-60:CCDADABDCA 61-70:DADBDDBAAA 71-80:ACBDBADDBB 81-90:DABCCCDACB 91-100:DBCBCBDBB 101-110:ACBCABBBBD 111-120:CADDABCBBD 121-130:ACCBCBBCCA 131-135:DBCAA

联系我们

智库文档公众号

客服微信

CISA 2008.doc

下载

标签

相关专题更多

联系我们

意见反馈

标签

相关专题 更多

联系我们

意见反馈

相关专题更多