CISA-2021年综合模拟题100题(一)+答案及解析

CISA2021年模拟测试题100道（一）

（题目+答案+解析） 题号 题目 答案 解析 1 以下哪项是检测性措施？ A是纠正性、BC是预防性 A. 备份程序 B. 对输入数据执行程序化检查 D C. 使用门禁卡访问机房 D. 哈希总计 2 以下哪一项是降低未授权访问A.具有合适时间间隔密码保护的无人值守的最终用户PC系统的屏幕保护程序是防止未经授权访最有效方法？ 问无人值守的最终用户系统的最A.强制使用密码保护型屏幕保佳措施。务必保证用户离开机器护程序 时锁定工作站，可以通过意识培B.实施以门禁为基础的身份认训来达到这一目的。 证系统 B.有在用户离开办公室时锁定机C.按预定义间隔终止用户会话 器的解决方案，并且这些适合这D.调整电源管理设置，以保证显里的情形；但这些解决方案较为示屏是空白的 昂贵，通常需要使用智能卡和额A 外的硬件。因此，使用密码保护的屏保程序是更好的解决方案。 C.终止用户会话通常用于远程登录（定期重鉴权），或在web或服务器会话中无活动达到一定时间的情形。离开时不锁定工作站的相关风险还有更多；因此这不是正确答案。 D.关闭监视器不是解决方法,因为只需打开监视器即可 3 问题管理的目的不是： A是事件管理的目的 A. 迅速恢复事件 B. 降低事故发生的次数和严重性 A C. 通过对重大事故进行调查和深入的分析后解决问题 D. 不断提高IS部门的服务质量 1

4 某IS审计师正在审查某组织最新的灾难恢复计划（DRP)。确定该计划所需要的系统资源的可用性时，以下哪一项批准最重要？ A.执行管理层 B.IT管理层 C.董事会 D.督导委员会 B 5 6 为防止在共享打印机上打印的保密文档泄露，应该采用以下哪种方法？ A. 加密用户计算机和打印机之间的数据流 B. 使用已打印文档的密级生成D 标题页 C. 要求授权用户在将文档发送到打印机之前提供密码 D. 在打印结果输出之前，要求先在打印机上输入密码 为确保访问人力资源管理系统(HRMS)以及HRMS接口应用中的敏感数据的应用用户问责制，以下哪一项是应当实施的最有效的控制？ A.双因素身份认证 B.数字认证 C.审计轨迹 C D.单点登陆身份认证 A.尽管组织的执行管理层的批准很重要，但由IT部门负责管理灾难恢复（DR)相关的系统资源及其可用性。 B.由于灾难恢复计划（DRP)基于IT服务的恢复和配置，因此若要验证一旦触发灾难性事件，系统资源是否可用，IT管理层的批准最重要。 C.董事会可以审查和批准DRP，但由IT部门负责管理DR相关的系统资源及其可用性。 D.督导委员会将确定灾难恢复的要求（恢复时间目标[RTO]和恢复点目标[RPO]);但由IT部门负责管理DR相关的系统资源及其可用性。 A.双因素身份认证可提高登录人力资源管理系统（HRMS)应用时的安全性；但它无法针对登录后所进行的操作建立问责制。 B.数字认证还可最终验证登录应用的用户身份，提高登录安全性。但它无法建立问责制，原因在于，如果不使用审计轨迹，则不会捕获用户ID和交易详情。 C.审计轨迹捕获哪个用户、在什么时候、在哪一天执行了交易等详情，这有助在应用用户中建立问责制。 D.单点登陆身份认证允许用户无缝登录应用，从而方便身份认证流程。但这同样不能建立问责制。 2

7 以下哪种情况会增加欺诈行为的可能性？ A．应用程序开发人员正在执行对生产程序的变更。 B．管理员正在对供应商提供的软件实施供应商补丁，但没有遵守变更控制流程。 C．操作支持人员正在执行对批量计划的变更。 A D．数据库管理员正在执行对数据结构的变更。 8 9 10 某企业发现重大数据安全漏洞，CEO要求详细审计网络安全，但由于近期人员重组，审计部门只有几位经验欠缺的审计师，信息系统审计经理应该: A.请外部组织审计； A B.下一年度将发现次问题列为重点； C.派资深的信息系统审计师完成审计任务； D.推迟审计，完成审计必须的信息安全知识培训工作后再审计。 项目上线后的审查中，应审查以下哪一项来确定项目是否满足用户要求？ A. 用户文档的完整性 B B. 并行测试的结果 C. 程序更改请求的类型。 D. 关键计算的完整性 以下哪项使用回归测试: A.单元测试 B.系统修改 B C.程序开发 D.压力测试 A.生产程序用于处理企业的数据。对生产程序变更的控制必须十分严格。缺乏此方面的控制会导致应用程序被修改，进而使数据遭到篡改。 B.缺少变更控制是一种重大风险——但如果变更的只是对供应商软件安装供应商提供的补丁，则风险很小。 C.操作支持人员对批量计划执行的变更只会影响批量的安排，除非工作运行顺序错误，否则不会影响实时数据。 D.数据库管理员需要对数据结构执行变更。这是重组数据库所需的操作，以便添加、修改或删除数据库中的字段或表格。 <审计部门已无资深IS审计师可派，在这种情况下可以考虑利用外部资源。> 旧系统验证新系统是否可用 验证修改后没有引入新的错误 3

11 12 13 14 IT项目管理中，前导图法(procedence diagramming Method)的特点是 A、减少项目的延误和超出预算 C B、关键里程碑 C、关键路径 D、监控项目范围变化 以下哪一项是表明高级管理层审查了IT绩效的最佳证据？ A.执行管理委员会会议纪要 C B.IT战术规划 C.平衡计分卡 D.关键性IT表现指标 信息系统审计师在审查某应用程序是否符合信息隐私保护原则时，应该最关注以下哪项？ A. 完整性 D B. 不可抵赖性 C. 可用性 D. 信息收集 软件成熟度模型的最高级别是： A. 成熟的项目管理 B. 项目管理是“混乱的”，管理人员的精力都用于“救火” C. 持续改进监控 D. 质量过程的有效管理与度量 < 前导图法（Precedence Diagramming Method,PDM）用于关键路径法，是描述项目进度网络图的一种最常用的方法：矩形是节点，代表项目任务，连接这些节点的是箭头，代表任务之间的依赖关系。> 隐私保护，收集数据的保密性问题 C CMM五个级别的特点，A是三级，B是一级，D是四级 第一级 初始级（最低级） 软件工程管理制度缺乏，过程缺乏定义、混乱无序。成功依靠的是个人的才能和经验，经常由于缺乏管理和计划导致时间、费用超支。管理方式属于反应式，主要用来应付危机。过程不可预测，难以重复。 第二级 可重复级 基于类似项目中的经验，建立了基本的项目管理制度，采取了一定的措施控制费用和时间。管理人员可及时发现问题，采取措施。一定程度上可重复类似项目的软件开发。 第三级 已定义级 已将软件过程文档化、标准化，可按需要改进开发过程，采用评审方法保证软件质量。可借助CASE工具提高质量和效率。 第四级 已管理级 针对制定质量、效率目标，并收 4

15 从IT治理的角度来说，董事会的主要职责是什么？ 确保IT战略： A.具有成本效益。 B.面向未来和具有创新性。 C.与业务战略相一致。 C D.分配有适当的优先级。 16 17 18 信息系统审计师已经完成了外包协议的审查工作，并确定了IT治理问题，下面哪项是管理层会议上交流这些问题的最有效方法？ A. 提供概述，并突出显示关键A 调查结果 B. 预先提供详细报告，并回答大家的提问 C. 提供完成的报告并讨论详细情况 D. 提供更改计划和里程碑 在下列哪个过程中会使用到Hash： A. 对称加密 B B. 数字签名 C. 非对称加密 D. PKI 以下哪一项能最有效地确保会计系统内部利息计算相关控制的有效性？ A.重新执行 A B.流程穿行测试 C.观察 D.文档审查 5

集、测量相应指标。利用统计工具分析并采取改进措施。对软件过程和产品质量有定量的理解和控制。 第五级 优化级（最高级） 基于统计质量和过程控制工具，持续改进软件过程。质量和效率稳步改进。 A.IT战略应当具有成本效益，但必须与业务战略相一致才能有效。 B.IT战略应当具有前瞻思维和创新性，但必须与业务战略相一致才能有效。 C.董事会负责确保IT战略与业务战略相一致。 D.IT战略应当得到适当优先考虑；但它首先必须与业务战略相一致，然后才能得到优先考虑。 向领导汇报，要言简意赅 数字签名是发送方的私钥对数字摘要（hash）进行加密 A.若要确保控制的有效性，完成重新执行最有效。若由个人执行后得到相同的结果，则能提供最有力的鉴证。 B.流程穿行测试可能有助审计师更好地了解控制；但它可能不如对交易样本完成重新执行管用。

19 20 21 22 数据库管理员发现一些表的性能问题可以通过去范式化(denormalization)来解决。 这种情况下会增加哪项风险？ A. 同时并行访问 B. 死锁 C. 非授权的数据访问 D. 数据完整性的丢失 下列哪项是电子交易系统最大的风险？ A. 未启动交易轨迹 B. 未作路由校验 C. 密码没有加密 D. 未验证客户身份即进入交易接口 一家拥有300家零售店铺的公司正在部署分布式新系统，下面哪一种上线计划比较合适？ A、在某个典型店铺实施上线 B、300家店铺全部并行上线 C、挑选一些具有特点的店铺并行上线 D、分阶段上线 信息系统审计师将发现的问题报告给被审计方，被审计方管理层忽视该问题的存在，第三方组织需要获取审计报告，此时信息系统审计师应： A. 获取被审计组织的认可后，提供给第三方 B. 获取组织审计管理层的认可后，提供给第三方 C. 获取审计委员会认可后提供给第三方 D. 获取被审计组织和组织的审计管理层许可后，提供给第三方 C.观察是验证操作员是否在正确使用系统的一种有效的审计方法；但完成重新执行是更好的方法。 D.文档审査对了解控制环境也许有些价值；但完成重新执行是更好的方法。 <第一章习题 111> 旧系统验证新系统是否可用 D 交易授权的问题 D 系统上线切换方式 <复习手册 p.152－p.153> C 审计资料的保密性问题 D 6

23 某IS审计师正在审计某IT灾难恢复计划（DRP)。该IS审计师应当主要确保该计划涵盖： A.恢复能力强的IT基础设施 B.备用站点信息。 C.记录在案的灾难恢复（DR)测试结果。 D.业务功能的分析与优先级分配。 D 24 25 在审查互联网和防火墙规则时，信息系统审核师最担心的是？ A. 用户可以访问安全套接层（SSL） B. 用户通过MODEM来访问互B 联网 C. IP地址允许使用授权的传输控制协议（TCP）服务。 D. 防火墙规则未检测到所检索的网页 哪种生物访问控制的错误拒绝率最高 ？ A.虹膜识别 B.指纹 C C.面部识别 D.视网膜识别 A.恢复能力强的IT基础设施通常用于最大限度减少IT服务中断，但如果关键业务功能不要求IT的高可用性，则可能并非所有灾难恢复计划（DRP)要素都要求具备高可用性。 B.尽管选择备用站点很重要，更关键的问题是要根据业务功能的影响和恢复时间目标（RTO)确定资源的优先顺序。 C.在维护DRP时，记录在案的DRP测试结果有帮助；但DRP必须首先符合业务需求。 D.DRP必须首先强调一旦发生灾难，要在预定RTO内恢复关键业务功能；因此有必要依据业务功能的重要性调整IT服务的恢复。 用户使用modem连接互联网能够绕过防火墙，所以“在审查审查互联网和防火墙规则时”，审计师一定要先保证所有的互联网访问都经防火墙，一旦用户使用MODEM访问互联网，意味着一些不安全的访问行为可能绕过防火墙，其阻断功能被架空。 26 某供应商过去几个月发布了多个重要的安全修补程序，因此对管理员及时测试和部署修补程序的能力带来压力。管理员已询问能否减少对修补程序的测试。该组织应当采取哪种措施？ A．继续坚持当前测试和应用修补程序的流程。 B．减少测试并确保制订充分的A 7

<错误拒绝率，错误接受率 因环境亮度、摄像角度以及被识别者面部表情各不相同，使得人脸识别非常复杂。此外，人脸识别系统对光线的直接照射，尤其是日光非常敏感，这种情况下错误拒绝率会大大提升，有些情况下甚至根本不可能进行识别> A.立即应用安全软件修补程序对确保服务器安全至关重要；此外，由于修补程序可能影响其他系统和业务经营，因此测试修补程序很重要。由于供应商最近在短时间内发布了多个重要的修补程序，因此可能是个暂时的问题，不需要修订或程序。 B.减少测试会加大修补程序有故

回退计划。 C．推迟安装修补程序，直到测试资源可用。 D．依靠供应商测试修补程序。 27 在IS审计过程中，IS审计师评估IT部门内部职责分工落实情况的最佳方法是什么？ A.与IT经理开展讨论。 B.审查IT职能部门的工作说明。 C.搜索过去的IS审计报告。 A D.评估组织架构。 28 29 审查来自供应商的服务级别报告能最有效地协助审计师确定？ A. 供应商是否提供了必要的安全保障 D B. 供应商是否遵循所有的适用的法律法规 C. 与供应商合同到期后是否可以续约 D. 供应商是否实现了预期目标 IS审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP），但是没有整个企业的BCP。那么，IS审计师应该采取的最佳行动是： C A. 建议增加、制订全企业的、综合的BCP B. 建议合并所有BCP为一个单独的全企业的BCP 8

障或不兼容导致业务经营中断的风险。尽管逆向恢复计划有助减少这种风险。预先进行全面测试是更恰当的选项。 C.立即应用安全软件修补程序对确保服务器的安全至关重要。推迟安装修补程序会因为系统翻洞而加大安全违规的风险。 D.由供应商完成测试可能不适用于需要部署修补程序的组织的系统和环境。 A.IT经理讨论职责分工的落实情况，是确定部门内部如何分配职责的最佳办法。 B.工作说明也许并非最佳信息来源，原因在于它们可能过时，或者工作说明中记录的内容与实际执行情况不尽相同。 C.过去的IS审计报告也许并非最佳信息来源，原因在于它们可能并未如实说明IT职责的分配情况。 D.通过组织架构评估发现的IT职责分配情况可能有限。职责可能随着时间的推移而发生变化。 SLA是能够审查供应商是否能够满足业务目标的工具 保证各个BCP计划的一致性是最重要的

C. 确定各部门的BCP是否一致，没有冲突 D. 各业务部门都有适当的BCP就够了，无需其它 30 评估为新会计应用进行采购的业务案例时，以下哪一项考虑因素最重要？ A.应用的总拥有成本（TCO) B.实施应用所需要的资源 C.对公司的投资回报率(ROI) D.安全需求的成本和复杂度 A.应用的总拥有成本（TCO)对了解短期和长期资源和预算需求很重要；但决策应当依据此项投资所实现的效益。因此，投资回报率(ROI)是最重要的考虑因素。 B.实施应用所需要的资源很重要；但决策应当依据此项投资所实现的效益。因此，应当慎重考虑投资回报率（ROI)。 C.业务案例最重要的方面是建议的投资回报收益和投资目标或指标可测量。在审查业务案例过程中，达成的建议投资回报率应当可验证，未作不合理的假设，并且其实现可测量。效益实现应当关注比项目周期更长远的新系统整个生命周期的总收益和总成本。） D.安全系统的成本和复杂度是重要的考虑因素，但它们需要同时衡量应用的建议收益因此，ROI更加重要。 输入范围检查、合理性检查 C 31 32 以下哪一项措施最能够确保输入到税款计算程序中的固定税率的准确性？ A.数据输入范围的程序化合理性检查 A B.用来防止数据输入错误的程序化编辑检查 C.对输入的数据进行目视检查 D.用户审核测试结果 一个公司正在实施控制自我评估项目，审计师应该作什么： A.跟踪项目的执行情况，并及时报告进展状况。 B.以领导者的身份参加项目。 A C.项目审批者。 D.审计师应该重新修定审计方案，以避免与自我评估的内容重叠。 9

CSA中审计师的角色

33 34 35 36 在IT治理中，以下哪一项对有效的风险管理来说是必要的？ A.IT风险管理与公司风险管理相分离 B.审计委员会负责批准风险管理策略 C.各地区经理（local managers）只负责风险评估 D.在管理过程中对风险进行评估 信息系统审计师审查各种IT外包合同采购流程。确保中标的承包商满足以下哪项要求？ A. 维护了内部审计功能。 B. 是按确定的业务标准选择出来的。 C. 要求所有员工都签署机密性协议。 D. 消除了外包风险。 组织使用生产系统的交易信息进行测试，最大的风险是： A. 对信息未进行脱敏处理 B. 对生产系统的交易信息修改进行测试 C. 不能测试全部功能 D. 交易信息中有大量相似数据 某公司确定其网站遭到损坏，在托管应用的服务器上被安装了rootkit恶意软件。以下哪一项最有可能防止事故？ A.基于主机的入侵防御系统（IPS) B.基于网络的入侵检测系统（IDS) C.防火墙 D.安装操作系统(OS)修补程序A 审计委员会负责批准审计章程 D 业务优先性 B 数据脱敏 A A A.基于主机的入侵防御系统（IPS)可防止未经授权修改主机。如果恶意软件攻击企图安装rootkit,未经管理员同意，IPS将不允许其安装。 B.基于网络的入侵检测系统(IDS)依赖基于己知入侵和攻击模式的攻击特征。如果IDS不及时更新最新特征，或攻击者能够创建或访问IDS未知的入侵，则无法进行检测。通过web应用本身进行的web服务器入侵，如结构化查询语言（SQL)注入攻击，不会表现为对基于网络的IDS的攻击。 C.防火墙本身不保护web服务器，因为必须在防火墙中开启用户访问web服务器所需要的端口。Web攻击通常在为正常的web 10

37 信息系统审计师发现，为了提高性能已经把WEB应用程序的验证控制从服务器迁移到客户端，那么遭受以下哪一项攻击的风险最可能增加？ A. PHISHING B. SQL注入 C. DOS D. 缓冲区溢出 B 流量开启的同一个端口上进行。因此，防火墙无法保护web服务器。 D.安装操作系统（OS)修补程序会使得攻击者更加难以和更不可能入侵服务器。但对web应用和服务器0S成功进行攻击的原因可能与服务器漏洞未进行修补无关。基于主机的IPS可以检测出任何意图修改服务器文件的行为，无论其拥有哪种访问权限。 将用户输入验证从服务器端转移到客户端，会导致恶意用户直接写入对服务器的请求数据，绕过客户端的验证对服务器端进行攻击。SQL注入、XSS脚本攻击都是需要在服务器和客户端同时对用户输入的敏感字符（<、>、'等）进行过滤。缓冲溢出的根本性解决方案是将程序中的部分函数（strcpy等）禁用，仅客户端或服务器端的对用户输入长度验证不是最佳的解决方案。钓鱼网站与客户端验证无关，需要利用数字证书来验证网站的真实性。DOS的解决方案是运营商的流量清洗，与客户端/服务器端验证无关 <所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。> < XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩 11

写混淆，故将跨站脚本攻击缩写为XSS。> 38 39 40 以下哪项会用到检查点(check point)？ A.增量数据备份 A B.数据中心停电 C.执行了不正确的程序版本 D.出现临时硬件故障 在审查数据中心运行的有效性时，信息系统审计师需首先确定系统性能: A. 按照事先约定的服务等级进行监控和报告 A B. 满足制造商规定的预期目标 C. 在该系统的公认可靠性等级之内 D. 能够反映在实施时确立的预期使用水平 当开发一个业务连续性计划时，应该用下列哪种形式来获得对组织业务流程的理解？ A. 风险评估 B. 差距分析 C. 业务连续性自我审计 D. 资源恢复分析 A SLA用来评价服务是否满足要求的工具 41 正在对开始开发的某应用执行风险评估。在建议安全控制之前，需要确定的最重要的内容是什么？ A．基于角色的访问控制(RBAC) C B．当前的隐私权法律 C．数据分类 D．数据托管位置 第二章习题 No.120, 68% 红宝书 No.161 风险评估和业务影响评估均是用于了解业务之间连续性计划的工具。业务连续性自我审计是用于评估业务连续性计划是否充分的工具，资源恢复分析是用于确定业务恢复策略的工具，而差距分析在业务连续性计划（BCP）中的作用是判断计划中的缺陷。这些都不能用来了解业务。 没有BIA，选风险评估, 没有风险评估，选差距分析 A.基于角色的访问控制(RBAC)将在数据分类后确定，以确保数据得到适当保护。 B.了解当前的隐私权法律很重要，但了解数据的类型最重要，因为隐私权法律可能不适用。为确保应用适当的控制，数据分类结构需要首先准备就绪。 C.数据分类最重要，原因是若未充分了解应用中所含数据的类型，则安全控制可能不适合。数 12

42 43 44 45 46 下列哪一种访问控制组合能为服务器机房提供双因素保护？ A. 用户ID和PIN B. PIN和智能卡 C. 磁卡和智能卡 D. 磁卡和共享PIN 以下哪一项能最有效地控制数字订单号输入的准确性？ A. 哈希总计 B. 数字有效性检查 C. 与历史订货模式比较 D. 联机检查描述 公司将进行信息系统职能外包，为满足灾难恢复的需要，该公司应该： A. 将灾难恢复的评估工作委托给内部审计部门 B. 将灾难恢复的评估工作委托给第三方 C. 进行灾难恢复计划维护工作 D. 与外包供应商协调恢复管理措施 下面哪一项是最佳的数据完整性检查？ A. 将数据追溯至源点 B. 计算每天处理的交易量 C. 准备和运行测试数据 D. 执行连续性检查 当某公司按照合同实施新软件时，下面哪种方法对于控制因范围蔓延导致成本增加是至关重要的？ 据分类是给数据（或信息）分配敏感度等级，然后据此确定每个分类等级的控制规范。数据的敏感度等级在创建、修改、强化、存储或传输数据的过程中，根据预先定义的类别进行分配。分类等级显示数据对企业的价值或重要性。 D.确定云供应商或离岸供应商之类的数据位置可能增加或减少所需要的安全控制，但这将取决于数据的类型。 三种因素中的两个 B 有效性检查是输入控制，检查单号的有效性 B 对于已经外包IS职能的灾难恢复，只能同外包商协商解决 D 检查数据传输的全过程来判断其完整性 A 范围、变更、基线、配置 D 13

A. 质量管理 B. 问题管理 C. 风险管理 D. 变更管理 47 以下哪种报告最能够有效分析系统的性能？ A. 控制台日志 B. 同步报告 C. 数据库使用日志 D. 使用情况报告 审计师发现开发项目的范围被显著缩减，下列哪一项是审计师此时应采取的最重要行动？ A. 与相关部门和管理层确认范围缩小的事实 B. 确认IT成本是否已降低 C. 是否已经采用了管理成熟度等级 D. 是否对关键控制有影响 下面哪一项措施是防止非授权登录最可靠的方法？ A. 加强现有的安全策略 B. 除了使用密码外，还发放身份令牌 C. 在下班后使用计算机 D. 安全自动密码生成器 以下哪一项是进行业务影响分析的第一步？ A. 确定影响运行连续性的事件 B. 创建数据分类方案 C. 分析过去的交易量 D. 确定关键信息资源 对于VoIP，信息系统审计师最关注什么？ A. 不可抵赖性 B. 数据与语音网络分离 C. 网络的统一性 D. 服务的连续性 用户使用报告中能够提到系统的性能 D 48 范围缩小了，要确认对业务的影响 A 49 双因素认证方式更有效 B 50 D 做BIA的步骤：分析业务——确定支持业务的IT资源——业务最大容忍中断时间 51 B CISSP习题 实施VoIP网络时需要考虑的是？ A. 在交换机上使用网络访问控制（NAC） B. 使用Kerberos验证 C. 使用统一消息传送 D. 与语音网络隔离 答案：D CISSP习题 同时支持数据和语音通信（VoIP）的融合网络，下列哪项是最好的保障语音组件安全的机制？ 14

A.在边界防火墙上过滤呼叫 B. 使用模拟语音系统 C. 验证语音和数据用户 D. 让语音跑在自己的虚拟局域网VLAN里 答案：D 52 某IS审计师正在评估某组织新制订的一项IT。该IS审计师认为以下哪一项因素对促进实施后的合规性最重要？ A.促成合规性的现有IT机制 B.与业务战略相一致 C.当前和将来的技术措施 A D.中定义的监管合规性目标 A.组织应当能够在实施后遵守。评估新时，最重要的考虑因素应当是促使组织及其员工遵守的现行机制。 B.应当与业务战略相一致，但这不影响组织在实施后遵守的能力。 C.当前和未来的技术措施应当以业务需求为动力，并且不影响组织遵守的能力。 D.监管合规性目标可在IT中定义，但这不会促进合规性。定义目标只会导致组织知道所要的状况，但无助实现合规性。 53 54 55 信息系统审计师在审查桌面软件配置文件时注意到，一个用户已下载并安装了公司不批准的游戏。以下哪一项是这一状况可能产生的最大风险？ A A.潜在的恶意软件 B.未遵守可接受使用 C.与公司软件的互操作性问题 D.违反用户的隐私 使用RSA加密法创建的数字签名所提供的控制，最有可能受到下面哪种攻击？ A. 通过摘要来反推哈希函数 B B. 泄露的私钥 C. 泄露的摘要 D. 泄露的公钥 下列哪项最能表明安全角色和责任在整个企业都得到有效落实？ A. 业务活动符合策略的规定 A B. 用户签署了保密协议 C. 安全策略的出台和发布 D. 定期审查病毒更新策略 非对称密钥算法的私钥泄露会导致身份鉴别的混淆 业务活动符合策略规定表示了策略中制定的角色和职责得到了良好的落实 15

56 在审查质量管理系统（QMS) 时，IS审计师应当主要注重收集证据，以表明： A.质量管理系统（QMS) 遵循良好实践。 B.正在监测持续改进目标。 B C.每年更新IT标准操作程序。 D.定义了关键绩效指标(KPI)。 57 58 如下哪个是进行业务影响分析的最好方法？ A. 对主要业务相关者发布调查问卷 B B. 和主要业务相关者进行面谈 C. 与IT管理人员进行面谈 D. 咨询相关专家 某IS审计师已发现，员工们通过电子邮件将敏感的公司信息发送到基于web的公共电子邮件域。 对IS审计师而言，以下哪一项是建议的最佳补救措施？ A.加密邮件帐户 B.培训和意识 C.活动监测 D.数据丢失防护（DLP) A.良好实践通常根据业务要求采纳，因此遵循良好实践不一定是业务要求。 B.对质量管理系统（QMS)而言，持续和可测量的质量改进是实现业务目标的主要要求。 C.更新操作程序是实施QMS的一部分；但它必须是变更管理的一部分，而不是年度活动。 D.关键绩效指标(KPI)可在QMS中定义，但若不加以监测，则它们没有多大价值。 D A.加密电子邮件账户将保障被发送信息的安全，但无法阻止员工向未经授权的个人发送信息。 B.培训和意识尽管对规范员工行为很重要，但不如自动化预防性控制有效。 C.活动监测是一种检测性控制，无法阻止数据流出网络。 D.数据丟失防护（DLP)是一种自动化预防工具，可阻止敏感信息流出网络，同时记录违规者。 16

59 60 61 62 根据信用卡刷卡时间，地点，金额等信息，以下那种审计分析方法可以发现一家银行的信用卡用户使用信用卡的潜在风险？ A. 日志分析法 B. 趋势分析法 C. 属性分析法 D. 预测性数据挖掘 对于抽样而言，以下哪项是正确的？ A. 抽样一般运用于与不成文或无形的控制相关联的总体 B. 通过尽早停止审计测试，属性抽样有助于减少对某个属性的过量抽样 C. 变量抽样是估计给定控制或相关控制集合发生率的技术 D. 如果内部控制健全，置信系数可以取的较低 发现网站服务停止响应，很多用户报告说连不上系统，最有可能遭到什么攻击？ A. 恶意代码 B. 中间人 C. 中断攻击 D. DOS 某IS审计师在对新安装的互联网语音协议(VoIP)系统进行审计时，检查了每层楼的配线柜。以下哪一项最令人担心？ A.局域网（LAN)交换机未连接不间断电源(UPS)单元。 B.网络布线杂乱，并且未适当粘贴标签。 C.电话和LAN连接使用相同的电缆。 D.配线柜中还包含电源线和断路器面板。 数据挖掘技术进行业务分析、风险预测 D D 置信系数以百分率（90%、95%）表示的样本特征能代表总体特征的概率。一般情况下，95%的置信系数即可看作是高度满意的。如果IS审计师确信内部控制是强劲的，可以降低置信系数。置信系数越高，样本量越大。 服务不可用 中断攻击导致网络不可用 D A A.互联网语音协议(VoIP)电话系统使用标准网络布线，并且每部电话通常都通过从安装网络交换机的配线柜引出的网络电缆供电（以太网供电[POE]）。如果局域网(LAN)交换机没有备份电源，一旦发生电力中断，电话将断电，并可能无法进行紧急呼叫。 B.尽管布线不适当可能带来可靠性问题，但在本案例中，更严重的问题是缺乏电源保护。 C.VoIP电话系统的优势是，它们和标准PC连接使用相同类型的电缆，甚至相同的网络交换机。因此，这不值得关注。 D.只要电源和电话设备相互分离，这就不是重大风险。 17

63 65 66 67 68 如何有效在网络环境防止蠕虫？ A. 接种疫苗 B. 防毒软件 C. 减少网络节点 D. 防火墙 一家公司采用轮班作业，一下那种授权策略应该被采用： A. 强制控制授权 B. 自主控制授权 C. 基于规则的授权 D. 基于角色的授权 测试BCP的主要原因在于确保： A. 能够恢复关键数据。 B. 熟悉恢复程序，尽可能减少实际实施中的紧张情绪。 C. 树立自身灾难期间的信心。 D. 确保灾难恢复小组成员得到培训。 防尾随的物理安全控制，对于无双门设置的数据中心，以下哪项是最好的措施 A. 双因素认证 B. 生物识别 C. 安全教育 D. 口令 IS审计师被IS管理人员告知，组织最近己达到软件能力成熟度模型(CMM)的最高级别。则该组织最近添加的软件质量过程为： A.持续改进。 B.定量质量目标。 C.记录流程。 D.为特定项目制定的流程。 在审计过程中，IS审计师发现，人力资源(HR)部门用云应用来管理员工记录。HR部门越过正常的供应商管理流程参与一份合同，并自行管理应用。以下哪一项最值得关注？ A.未在合同中定义最长的可接受停机时间指标。 应该选防病毒软件，防火墙只能做网络流量过滤 B RBAC能够快速适应多变的用户环境 D 数据代表业务，是最重要的 <能满足RTO, RPO 要求> A 当技术措施失效时，需要更好地发挥员工的主观能动性 C A A.组织可以达到的成熟度模型（CMM)最高级别是5级5优化。 B.定量质量目标可以在4级及以下达到。 C.文档记录流程在3级及以下执行。 D.针对具体项目定制的流程可在2级或以下达到。 A.最长的可接受停机时间是合同中用于确保应用可用性的良好指标；但人力资源（HR)应用通常不属任务关键型，因此最长的可接受停机时间并非本情景中最显著的关注点。 B.需指定个人或服务管理团队负责管理与第三方之间的关系；但D 18

B.IT部门不管理与云供应商之间的关系。 C.服务台呼叫中心驻在不同的国家，需遵守不同的隐私要求。 D.公司定义的安全不适用于云应用。 69 70 71 机密数据从盒式磁带备份运用到基于云的解决方案最大顾虑 A.未买网络保险 B.用于实施的人员不足 D C.管理部门企图并行使用盒式磁带系统 D.缺少对传输到云的方案加密流程 数字签名最可能阻止 A.末授权更改 B.抵赖行为 B C.泄露 D.数据损坏 某IS审计师己发现有了某应用的新修补程序，但IT部门已决定不需要该修补程序，原因是落实了其他安全控制措施。该IS审计师应该建议以下哪个选项？ A.在可以对其进行测试后，无论如何都要应用该修补程序。 D B.实施基于主机的入侵检测系统（IDS)。 C.实施防火墙规则，以进一步保护应用服务器。 D.评估整体风险，然后决定是否部署修补程序。 这些个人或团队毋需归属于IT部门。 C.公司定义的安全将确保服务台工作人员不具有个人数据的访问权限，这一点由安全阐述。最关键的问题是，应用须遵守安全。 D.云应用应当遵守公司定义的安全，以确保云端数据像内部应用一样得到保护。其中包括但不仅限于密码、用户访问管理和数据分类。 A.不首先进行风险评估而应用修补程序可能带来其他问题，因此不是最佳选择。 B.实施基于主机的入侵检测系统（丨DS)可能是有效的控制；但它可能无法解决应用中的漏洞。 C.实施防火墙规则也许有助减小某个安全事故的风险；但首先需要确定与修补程序有关的风险。 D.尽管确保系统适当安装修补程序很重要，但仍需执行风险评估，以确定利用漏洞的可能性和概率。因此，只有绕过现有安全控制的风险大到足以证明应用补丁程序的必要性时，才需要应用它。 19

72 以非对称加密方式确保B接收A的消息的保密性，A需要： A.用B的私钥加密 B B.用B的公钥加密 C.用A的私钥加密 D.用A的公钥加密 数据库重组的目的是？ A. 缩短更新时间和索引验证 B. 减少访问恢复和恢复次数 C. 消除重复内容并进行数据备份 D. 改进数据访问和检索效率 73 D 74 75 信息系统审计师格外关注互联网环境中的缓冲区溢出的问题，因为这可能导致： A. 破坏数据库 B B. 获得对某系统的非法访问权 C. 打印时丢失某些文档内容 D. 丢失关键数据 IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么，他/她该怎么做？ A. 无需做什么。因为只有处理C 能力低于正常的25%，才会严重影响企业的生存和备份能力 B. 建议相关部门增加备用设施投入，使其能够处理75%的正20

数据库重组可以提高数据的访问效率 <数据库使用较长一段时间后，因为一些增，删，改等操作，使得数据的分布索引及相关数据会变得比较凌乱，从而影响数据库的效率。 数据库重组即是将数据库的相关信息重新组织. 数据库重组可分为: ①索引的重组. ①单表的重组. ①表空间的重组. 数据库重组是比较底层且比较费时的操作,在重组时会停止前端业务,把数据库里表的数据放到磁盘的空闲空间上.删除原有的表或索引,重建空的表或索引后,再把数据导入新表或索引中.这个过程无误即数据库重组成功.但也有导入数据失败的情况.所以数据库重组的风险也比较大。> 缓冲区溢出会泄露系统的控制权 BCP是为了保障关键的业务及系统的连续性

76 77 78 常业务 C. 找出所有主要的应用，确保备用设施可以运行这些应用 D. 找出可以在备用设施使用的应用，其它业务处理采用手工操作，制订手工流程以备不测 要实施IT治理框架，董事会需要做到？ A. 解决IT技术问题 B B. 成立IT战略委员会 C. 审计IT战略 D. 了解所有IT项目发展 某IS审计师正在审查已采纳敏捷开发方法的某组织的软件开发能力。该IS审计师最关注的是: A.某些项目迭代产生包括概念验证的交付成果和未完成代码。 A B.应用特征和开发过程未广泛记录在案。 C.软件开发团队不断重新规划其重大项目的每一步。 D.项目经理不管理其项目资源，而将其交由项目团队成员负责。 某IS审计师在数据库的某些表中发现了超出范围的数据。为避免此类状况发生，该IS审计师应推荐采用以下哪种控制？ A.记录所有的表更新交易。 B.在数据库中设定完整性约束。 C.使用前后图像报告。 B D.使用跟踪和标记。 IT战略委员会是IT治理的最佳实践 79 某IS审计师正在对某数据中心的灾难恢复（DR)程序进行审查。表明该程序符合要求的最佳C 指标是以下哪一项？ A.记录在案的程序经过管理层批准。 21

A．记录所有的表更新交易提供了审计轨迹，属于一种检测性控制，但不能防止引入错误数据。 B．在数据库中设定完整性约束属于预防性控制，因为数据会根据预定义的表或规则进行检查，从而可以防止输入任何尚未定义的数据． C．前后图像报告可用于跟踪各交易对计算机记录的影响，属于检测性控制。 D．跟踪和标记可用于测试应用系统和控制，但却不属于可避免数据超出范围的预防性控制。 <穿行测试、 纸上测试、桌上测试（paper test, deskcheck, tabletop）－ 功能测试 － 准备情况测试－ 全面测试> A.即使尽管记录在案的程序经过管理层批准，这也并不能确保未

B.程序经过审查，并与行业良好实践进行过比较。 C.用该程序进行过桌面演练。 D.恢复团队及其职责已记录在案。 80 81 应在软件开发的哪个阶段制定用户验收测试计划？ A. 需求定义时 A B. 投入使用时 C. 可行性研究时 D. 系统实施规划阶段 信息系统审计师发现组织存在一个漏洞，信息系统审计师应该？ A. 要求尽快修复此项漏洞 B. 通知业务方 C. 调查漏洞被威胁成功攻击的概率 D. 记入审计报告 C 遗漏任何内容。 B.尽管比较该程序与记录在案的行业良好实践有用，但书面测试更能说明该程序符合要求。 C.如果IT部门与所有负责人对该程序进行书面测试，将有助确保程序符合要求，这样才能保证它们在真正发生灾难之时有用和可行。 D.记录恢复团队及其职责是程序的组成部分，不一定能够证明程序符合要求。 在需求阶段制定验收测试计划 82 在拟定基于风险的审计计划时，以下哪一项是最好的信息来源？ D A.流程所有者识别关键控制。 B.系统监管人识别漏洞。 C.审计团队成员了解以前的审22

审计师的工作思路：发现紧急问题先上报，发现不紧急问题先调研再报告 <报告前再确认>。 安全事件的处理与响应（5.2.11）： 需要及时反应的安全事件有： 病毒的传播 对WWW页面的篡改 对组织通告的滥用 对审计踪迹非授权访问的报警 来自入侵检测系统的安全攻击报警 对硬件与软件的盗窃 系统管理员口令被窃取 对物理安全的侵害 在PC上发现间谍软件、木马软件 来自媒体的虚假信息，诽谤信息 司法取证调查 A.尽管应当咨询流程所有者以识别关键控制，但高级管理层是识别更为重要的业务流程的更好来源。 B.系统监管人是更好地了解适用于具体应用的风险与控制的良好

计结果。 D.高级管理层识别关键业务流程。 83 84 为支持一百多个终端使用的服务器选型时，最应考虑下列哪一项？ A. 各个系统的高可用性 D B. 厂商的声誉及客户群 C. 比较可用的各个系统的成本效益。 D. 高峰期的预计交易量 要求督导委员会监督IT投资的主要好处是以下哪一项？ A.进行可行性分析，以表明IT价值 B.确保根据业务需求进行投资 C.确保强制落实适当的安全控B 制措施 D.确保实施标准的开发方法 来源；但高级管理层是识别更为重要的业务流程的更好来源。 C.审查以前的审计结果是审计规划流程的一个信息来源；但如果以前的审计重点关注有限或受限的范围，或如果关键业务流程己经发生变化和/或引入了新的业务流程，则它无助于拟定基于风险的审计计划。 D.拟定基于风险的审计计划必须始于识别关键业务流程，它将确定和识别需要加以解决的风险。 考虑系统的容量是否能够满足业务要求 85 86 系统吞吐量指标表明: A.系统资源处于繁忙状态时间比例 B.系统为用户提供输出速度多快 C C.系统在一段时间内完成的工作量 D.用来处理用户工作的系统资源 下哪一项最有可能确保灾难恢复（DR)工作取得成功？ B A.进行桌面演练。 B.完成数据恢复测试。 23

A.督导委员会可能在审查中使用可行性分析；但它并不负责执行/进行该分析研究。 B.督导委员会由来自业务和FT部门的代表组成，负责确保根据业务目标而不是IT优先级作出IT投资。 C.督导委员会不负责强制落实安全控制措施。 D.督导委员会不负责实施开发方法。 A.进行桌面演练极有帮助，但不能确保恢复流程工作正常。 B.确定备份是否有效的最可靠方法是将其恢复到系统。应当至少

C.批准恢复程序。 D.承诺适当的人力资源。 87 在应用程序软件审查过程中，某IS审计师在超出审计范围的相关数据库环境中发现了细小的漏洞。最佳选项是： A.将数据库控制纳入审查范围 B.记录下来供日后审查。 C.与数据库管理员共同解决问题。 D D.如实报告漏洞。 88 90 一家小公司要购买服务器用于订单处理系统，但无法预计交易量，以下哪一项是公司最关注的？ A A. 系统的可扩展性 B. 系统的配置参数 C. 系统优化 D. 系统的兼容性 在下列哪一个SDLC阶段，信息系统审计师应该会发现控制措施已集成到系统规范中？ A. 可行性研究阶段 C B. 实施阶段 C. 设计阶段 D. 开发阶段 某批量交易作业在生产中操作失败；但在用户验收测试（UAT)中，同一作业却未出现问题。生产批量作业分析显示，它在D UAT后经过修改。将来减小这种风险的最佳途径是以下哪一项？ 24

每年一次进行数据恢复测试，以验证该流程工作正常。 C.恢复程序经过批准并不能保证能够成功恢复数据。 D.尽管具有适当的人力资源是合适的，但如果没有数据，恢复不会成功。 A.不建议超范围执行审计和审查。在本案例中，发现的漏洞被视为小问题，报告问题并在日后加以解决就足够了。 B.在本案例中，发现的漏洞被视为小问题。IS审计师应当如实正式报告该漏洞，而不是记录下来，以便在日后的审计过程中加以解决。 C.IS审计师不宜与数据库管理员共同解决问题。 D.发现的任何漏洞均应报告，即使它在当前的审计范围之外。需要向经理报告在应用程序软件审查过程中发现的漏洞。 控制措施设计应出现在设计阶段 A.提高测试质量不适用于本案例，因为更严重的问题是开发人员具有生产环境的访问权限。 B.启用审计轨迹或执行额外的日志记录也许有用；但更严重的问题是开发人员具有生产环境的访问权限。

A.完善回归测试案例。 B.针对发布后的有限时间段启用审计轨迹。 C.执行应用用户访问审查。 D.确保开发人员在测试后无访问权限进行编码。 91 92 以下哪一项在电子邮件中保护消息的机密性： A.加密 A B.SHA-1 C.数字签名 D.数字证书 在审查IT项目与项目管理的优先次序和协调事宜时，对IS审计师而言，主要考虑因素是什么？ A.项目与组织战略相一致。 B.识别的项目风险得到监控和缓解。 C.与项目规划和预算编制相关A 的控制措施是适当的。 D.准确报告IT项目指标。 C.执行应用用户访问审查无法识别开发人员访问代码的情况，因为此审查不包含这些内容。 D.为确保适当划分职责，开发人员应当只限于开发环境。如果需要在用户验收测试（UAT)后修改代码，则必须从开发环境中启动变更流程。 93 94 下列哪一项能够最有效地保护数据中心的信息资产不被供应商窃取？ A. 监控并供应商的活动 A B. 使用便携式和无线设备 C. 隐藏数据设备和信息标签 D. 给供应商发放门禁卡 在说明发展电子商务的业务案例中，以下哪一项是最可能被提及的理由？ A.缩短生产商品的时间 C B.通过联机订单收费增加收入 C.提高公司竞争力 D.降低末授权而访问数据库风25

A.IT项目的主要目标是增加对企业的价值，因此它们必须与业务战略相一致才能实现预期结果。因此，IS审计师应当首先着重确保这种一致性。 B.流程足以监控和缓解识别的项目风险很重要；但战略一致性有助于评估用业务术语识别的风险。 C.在预定时间和预算内完成项目很重要；但项目管理的重点应当放在实现与业务战略相一致的、希望达到的项目结果上。 D.准确报告项目状况很重要，但不一定有助于提供项目交付成果的战略视角。 A说的更完备，其他都是技术细节

险 95 防病毒系统负责在允许个人电脑接入网络之前，确定每台PC机是否具有最新的病毒定义文件，并安装最新的病毒定义文件。 A.指令性控制。 B.改正性控制。 C.补偿性控制。 B D.检测性控制。 96 在确定信息资产的适当保护等级时，IS审计师应当主要关注以下哪一个因素？ A.风险评估的结果 B.对业务的相对价值 C.漏洞评估的结果 D.安全控制的成本 A 97 哪种有助于确保批文件转移的完整性 A.散列总计 A B.自检数字 C.奇偶校验 D.输入控制 A.IT和程序之类的指令性控制不适用于本案例，原因在于这是一种自动化控制措施。 B.改正性控制旨在检测到错误、遗漏、未经授权的使用及受到入侵时，进行改正。本措施提供恶意事件发生后的检测及改正机制。 C.补偿性控制用于其他控制措施不足以保护系统的情形。在本案例中，落实的改正性控制将有效防止通过未安装修补程序的设备访问系统。 D.检测性控制用于即时检测和报告发生的错误、遗漏以及未经授权的使用或输入。 A.适当等级的资产保护依据资产相关风险确定。因此，风险评估的结果是1S审计师应当审查的主要信息。 B.对业务的相对价值是风险评估的考虑因素之一，单凭此项并不能确定需要的保护等级。<风险评估包括了确定资产价值、识别外部威胁和自身弱点> C.漏洞评估的结果有助于创建风险评估；但这并非主要关注点。 D.安全控制的成本并非主要考虑因素，原因在于，这些控制措施的开支取决于受保护的信息资产的价值。 26

98 1S审计师在审计电子商务环境时，最重要的是要理解以下哪一项？ A.电子商务环境的技术架构 B.构成内部控制环境的、程序和实务 C.应用系统所支持的业务流程的性质和重要性 D.系统可用性和可靠性控制措C 施的持续监测 某IS审计师正在为某大型公司审查应用变更管理流程，他最担心发生以下哪种情况？ A.测试系统的运行配置与生产系统不一样。 B.变更管理记录为纸质记录 C.配置管理数据库未经维护 D.测试环境安装在生产服务器上 99 C 100 项目发生变化，但对应的业务案例没有变化，最大的风险是： A. 影响业务实施 A B. 影响IT实施 C. 超出预算 D. 没有人支持项目 A.理解电子商务环境的技术架构很重要，但关键是要充分理解电子商务应用系统所支持的业务流程的性质和重要性。 B.尽管构成内部控制环境的、程序和实务需要与电子商务环境相-致，但这并非IS审计师需要理解的最重要因素。 C.电子商务应用系统促成业务交易的执行。因此，务必理解电子商务应用系统所支持的业务流程的性质和重要性，以确定需要审查的具体控制措施。 D.电子商务环境的可用性很重要，但这只是需要考虑的有关电子商务应用系统所支持的业务流程的一个方面。 A.尽管生产和测试系统最好采用相同的配置，但不这样做可能是有原因的。更重要的问题是，配置管理数据库是否得到维护。 B.纸质变更管理记录难以进行大批量维护，并且不容易审查；但从控制的角度来说，只要得到适当和用心的维护，它们并不会带来问题。 C.配置管理数据库（CMDB)用于跟踪配置项（CI)及其相互之间的依赖关系。大型公司中的CMDB如果过时，可能导致获得错误的批准，或在测试阶段遗漏关键的依赖关系。 D.尽管将测试环境安装在生产服务器上不太理想，但这种担心与控制无关。只要测试环境和生产环境保持隔离，则可以安装在同-台物理服务器上。 影响业务实施是最大的风险 <对业务的风险、影响、收益>

27