2011年CISA模拟考试题(中审国际)
CISA考试练习(习题卷5)
CISA考试练习(习题卷5)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]以下哪项提供了对平衡计分卡的最好的解释?A)被用于标杆到目标服务水平。
B)被用于度量提供给客户的IT 服务的效果。
C)验证组织的战略和IT 服务的匹配。
D)度量帮助台职员的绩效。
答案:C解析:平衡计分卡被用于匹配组织的战略和IT 服务。
2.[单选题]以下哪项在实施信息系统审计计划时是最重要的?A)查阅以前审计的审计发现B)设计一个对数据中心设施物理安全的审计计划C)查阅信息系统政策和程序D)进行风险评估答案:D解析:3.[单选题]某组织正在实施企业资源规划(ERP)应用程序。
为确保项目按计划进行并取得预期结果,准应该对项目的监督工作负主要贵任?A)项目发起人B)系统开发项目团队(SDPT)C)项目督导委员会D)用户项目团队(UPT)答案:C解析:A.通常,项目发起人就是负责主要业务部门(应用程序将提供支持的部门)的高级经理。
项目发起人为项目提供资金,并与项目经理密切合作,确定项目的关键成功因素或指标。
项目发起人不负责审查项目进度。
B.系统开发项目团队(SDPT)完成分配的任务、遵照项目经理的指示工作,并与用户项目团队进行沟通。
SDPT不负责审查项目进度。
C.为企业资源规划(ERP)实施项目提供总体指导的项目督导委员会负责项目进度审查,以确保取得预期结果。
D.用户项目团队(UPT)完成分配的任务、与系统开发团队进行有效的沟通,并根据项目经理的建议进行工作。
UPT不负责审查项目进度4.[单选题]以下哪种实施模式会为连接到互联网的出站数据提供最大程度的安全性?A)具有身份认证头(AH)和封装安全负载(ESP)的传输模式B)安全套接字层(SSL)模式C)具有AH和ESP的隧道模式D)三重数据加密标准(三重DES)加密模式答案:C解析:隧道模式可为整个IP数据包提供保护。
为达到此目的,AH和ESP服务可以是嵌套的。
CISA学习(历年复习资料) 模拟题 2
目录第一部分:模拟题 (2)第二部分:模拟题答案 (19)第一部分:模拟题101.审计报告中包含实质性发现的最终结论应该由谁做出?A.审计委员会B.审计经理C.信息系统审计师D.组织的CEO102.在一次全球服务供应商的审计过程中,审计师发现这个公司为了便于全球客户报告以及跟踪他们的问题,已经配置了通过互联网访问服务台应用程序,客户可以在每个分支机构通过一个客户ID进行SSL连接,他们的访问权限仅限于创建和查询他们的服务请求,未要求定期的密码变更,并且合作伙伴提供的应用程序也不会进行安全检查。
审计师应提哪些建议?A.应要求定期的密码变更B.所有用户都应分配单独的IDC.没有变更是必须的,应用程序已足够安全D.应用程序应该脱离互联网103.信息系统审计师报告由于一些敏感表格都进行了审计记录,因此ERP的财务模块程序非常慢,供应商关闭了这些表格的审计记录功能,仅对成功和不成功的登录系统日志进行记录,这种情况最大的威胁是什么?A.可能无法保证财务数据的完整性B.可能无法保证系统日志的完整性C.无法记录访问关键数据的日志D.欺诈可能发生104.为了达到组织的灾难恢复标准,备份中断不能超过:A.服务水平目标B.恢复时间目标C.恢复点目标D.最大可接受供电中断105.在一个小型制造业企业,一个IT员工在做制造工作同时兼任程序开发员,针对以上情景请选择最优的降低风险的控制措施?A.限制访问,以防止员工访问生产环境B.通过雇佣新员工实现职责分离C.自动记录所有在生产环境中的变更D.对已经被批准执行过的程序变更进行核查106.一个审计师观察到,在供应商的建议下,IT部门为组织的生产系统更新了补丁,审计师应该最关注的是IT部门未考虑到:A.更新补丁后对用户的培训B.为生产系统打补丁的好处C.测试补丁的影响后才能打补丁D.最终用户对新补丁提供的建议107.以下哪项是有效的灾难恢复计划最关键的因素?A.数据的异地备份B.关键灾备恢复清单的更新C.数据备份中心的可用性D.清晰定义恢复时间目标(RTO)108.一个审计师正在审计一个使用敏捷软件开发方法的项目,以下哪项是审计师期望发现的?A.基于过程的成熟度模型的使用,如能力成熟度模型(CMM)B.基于时间表对于任务级别进展的监控C.软件开发工具的使用来最大化团队的生产率D.通过反复评审来识别未来项目可能用到的课程109.一个金融机构正在建立并将业务连续性措施文档化,以下哪项审计师会认为是一个问题?A.这家机构使用了最佳实践指南代替了行业标准并且得到外部顾问的帮助以确保方法论的充分性B.业务连续性能力包括了一些精心挑选的比较合理的可能发生的应急场景C.RTO没有考虑IT灾难恢复的限制,如恢复期间人员和系统的相关性D.机构打算租用一个临时应急场所,但该场所仅可提供正常员工一半数量的占用空间110.审计师正在为客户制定审计计划,他看了去年的审计计划发现该计划用于去年着重检查公司网络和邮件系统,但计划未包括电子商务服务器,公司IT 经理暗示今年公司审计重点应是一个新上线的ERP系统,审计师该如何做?A.按IT经理要求审计新的ERP系统B.这次应审计去年未审计电子商务服务器C.在对高风险系统进行评估的基础上制定审计计划D.两个系统都审计111.为了优化组织的业务连续性计划,审计师建议进行业务影响性分析是为了决定:A.对组织产生最大经济价值的业务流程,应该首先恢复B.恢复的优先级和顺序来确保与组织业务目标的一致性C.从灾难中恢复的业务流程必须确保组织的生存D.在最短时间恢复最多系统的优先级和顺序112.恢复策略的选择最可能依靠:A.设备和系统的恢复成本B.恢复场地的可用性C.业务流程的关键性D.事件响应流程113.审计师在审核组织的数据库安全时,以下哪项是关于数据库加固最应关注的方面?A.默认配置被修订B.所有数据库中的表格被统一化C.存储的步骤和触发器被加密D.数据库服务器端口被变更114.在审核入侵检测日志时,审计师注意到来自互联网的流量,流量显示这些IP 地址好像来自公司内部薪资服务器,以下哪种危险行为可能导致这种情况?A.DOS攻击B.欺骗C.端口扫描D.中间人攻击115.审计师在审核健康组织在两种应用环境下的开发过程—生产和测试。
2011年CISA模拟考试题
参考答案:A
在审查 LAN 的实施时 IS 审计人员应首先检查: 选项: A、节点列表
B、验收测试报告 C、网络结构图 D、用户列表
参考答案:C
数据库规格化的主要好处是: 选项: A、在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复)
B、评估用户是否记载了预期的测试结果 C、检查测试问题日志是否完整 D、确认还有没有尚未解决的问题
参考答案:D
某 IS 审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯, 而微机只支持异步 ASCII 字符数据通讯。为实现其连通目标,需为该 IS 审计人员的微机增 加以下哪一类功能? 选项: A、缓冲器容量和并行端口
国际信息安全学习联盟
2011 年 CISA 模拟考试题
(针对新考纲) 培训资料,请勿外泄
——中国民间非盈利群体
对 IT 部门的战略规划流程/程序的最佳描述是: 选项: A、依照组织大的规划和目标,IT 部门或都有短期计划,或者有长期计划
B、IT 部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务 要求的优先顺序的程序
B、BPR 实施后的处理流程图 C、BPR 项目计划 D、持续改进和监控计划
参考答案:B
以一哪项功能应当由应用所有者执行,从而确保 IS 和最终用户的充分的职责分工? 选项: A、系统分析
B、数据访问控制授权 C、应用编程 D、数据管理
参考答案:B
IT 治理确保组织的 IT 战略符合于: 选项: A、企业目标
B、雇员对变革的抵触 C、关键控制可能从业务流程中取消 D、新流程缺少文档
CISA考试练习(习题卷10)
CISA考试练习(习题卷10)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]IT 灾难恢复时间目标(RTO)应基于以下哪一项?A)最多可容许丢失的数据B)根据业务定义的系统关键性C)最多可容许的停机时间D)中断的根本原因答案:C解析:2.[单选题]一家公司部署了一套新的C、S企业资源管理(ERP)系统。
本地分支机构传送客户订单到一个中央制造设施,下列哪个最好地保证了订单准确地输入和相应的产品被生产了?A)验证产品和客户订单B)在ERP系统中记录所有的客户订单C)在订单传输过程中使用hA、sh总数D)(产品主管)在生产前批准订单答案:A解析:验证可以确保产品订单和客户订单的一致性。
纪录的方法可用于发现错误,但是不能保证处理的正确性。
HA、SH总数可以保证传送的正确顺序,但是无法在中心确定正确的顺序。
产品监理批准耗费时间,手工处理不能确保实现了适当的控制。
3.[单选题]当使用USB、闪存盘传递保密的公司数据到一个离线位置时,一个有效的控制应该是:A)用便携保险箱携带闪盘B)向管理层担保不会丢失闪盘C)请求管理层用快递公司送闪盘D)用一个强密钥加密包含这些数据的目录答案:A解析:加密,使用强密钥,是保护闪盘中的信息的最安全的方式。
用便携的保险箱携带闪盘不能够保证保险箱被盗或者丢失事件中的信息安全。
无论你采取什么措施,丢失闪盘的机会始终存在。
快递公司丢失闪盘或者闪盘被偷都是可能的。
4.[单选题]建立一个信息安全体系的最初步骤是:A)开发和实施信息安全标准手册B)由信息安全审计师实施的全面的安全控制评审C)企业信息安全策略声明D)购买安全访问控制软件答案:C解析:一个策略声明,反映了目的和执行适当的安全管理所提供的支持,并建立了发展安全计划的出发点。
点评:先要明确组织的信息安全方针和责任担当5.[单选题]对于IS审计师来说,执行以下哪项测试能够最有效地确定对组织变更控制流程的遵守情况?A)审查软件迁移记录,并对审批进行核查。
2011年国际内审师考试备考练习题及答案解析
2011年国际内审师考试备考练习题及答案解析(1)1. 内部审计是一项充满活力的职业。
下列对内部审计发展到现在的范围()最恰当的描述是:a.内部审计包括对资源使用的经济性和效率性的评估。
b.内部审计包括对政策、计划、法律和规范遵循情况的评估。
c.内部审计已经发展为资产的存在性的证实和对保护资产手段的审查。
d.内部审计已经由严格的财务导向向经营性导向发展。
[答案]d考查重点:内部审计准则解题思路:本题考察内部审计活动的范围的变化。
众所周知,内部审计最开始主要关注于公司财务状况,随着公司经营环境的变化和内部审计行业的发展,内部审计已经越来越以公司的经营活动为导向,关心公司的内部控制系统是否合理有效。
因此,本题选择d答案。
2. 审计工作的目标之一是评价保护存货的内部控制的有效性,那么能最好地实现这一目标的审计种类是:a.财务审计b.合规性审计(compliance)c.经营审计(Operational)d.项目结果审计(programresults)[答案]c考查重点:审计计划解题思路:本题材考察内部审计目标的分类。
在本题中,一个审计计划的目标是评估公司内部控制系统的有效性。
公司的内部控制系统属于公司的经营环节,因此本目标属于经营目标。
本题选择c答案。
3. 应该包含在内部审计部门章程()中的一项权利要素是:a.确认审计部门必须审查的经营部门。
b.确认应向审计委员会进行披露的类别。
c.接触与绩效审计相关的记录、从事档案和实物资产。
d.接触外部审计师的工作底稿。
[答案]c考察重点:内部审计准则。
解题思路:本题考察内部审计规章()中,包含的内部审计的权利要素是什么。
参见Stan-dard110.01.4。
a.不正确。
审计对象的确定不是规章的内容。
b.不正确。
应该向审计委员会提示的内容,不是内部审计部门的权利要素。
c.正确。
有权利接触会计记录、从事档案和实物资产是规章中规定的内部审计部门的权利。
d.不正确。
接触外部审计师的工作稿。
CISA学习(历年复习资料) 模拟题 3
目录第一部分:模拟题 (2)第二部分模拟题答案 (17)第一部分:模拟题1.证明数字签名有效的最佳方式是?A.核实发送者的公钥证书来自可信任的CAB.使用来自CA的哈希算法来检测消息是否被篡改过C.通过对哈希值的手工对比来验证数字签名D.获得发送者的公钥,并且验证数字签名2.业务影响分析(BIA)最主要的目的是?A.定义恢复战略B.识别备份站点C.改进恢复测试D.计算年度损耗预测(ALE)3.决定企业IT风险偏好的最佳角色是?A.首席法务官B.安全经理C.审计委员会D.指导委员会4.下面哪一个加密机制运行在OSI模型的应用层上?A.安全套接层(SSL)B.IPSecC.SSHD.安全/超文本传输协议(S/HTTP)5.企业正在制定数据库软件升级的策略。
IS审计师能够采取下面哪一项任务而不损害IS审计职能的客观性?A.建议对新的数据库软件采用应用控制措施B.向项目组提供将来许可证费用的估算C.建议项目的计划可改进迁移的效率D.在测试实施前审查用于验收测试用例文档6.当下载软件时,哈希值可能会提供给:A.确保软件来自可信的源B.作为提供售后服务的参考指标C.确保软件没有被修改过D.作为付款的依据7.在下列控制措施中,防止不适当地访问业务应用系统中的私人敏感信息的最佳方法是什么?A.双因素认证访问控制B.授权信息的加密C.基于角色的访问控制(RBAC)D.有效的职责分离(SoD)8.单点登录(SSO)服务作为一个合适的鉴别系统用来鉴别网络上的用户。
IS审计师已经记录了用户可以拥有多个ID,并且身份鉴别系统与人力资源(HR)系统没有进行强制链接。
IS审计师最应关注以下哪一项?A.用户ID用于不同的应用系统B.丧失用户ID的唯一性C.分配给用户多个系统账号D.ID没有使用统一的命名标准9.下面哪一项是保护电源断电的最好措施?A.电源转换系统B.双路供电线路C.发电机D.不间断电源10.下面哪项是使得整体程序编码变得高校并且可靠的最佳方式?A.结构化编程B.微程序设计C.面向对象编程D.线性规划11.一个关键的IT系统开发人员突然从企业辞职。
CISA考试练习(习题卷4)
CISA考试练习(习题卷4)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]下面哪一项技术最能帮助S审计师合理地确信项目可以按时完成?A)基于完成百分比和预估的完成时间(来自状态报告)估计实际结日期B)根据与经验丰富的经理和参与完成项目交付成果的员工的面谈情况,确认目标日期C)根据已完成的工作包和当前资源对最终结束日期进行推断D)根据当前资源和剩余可用项目预算计算预期结束日期答案:C解析:A.IS审计师不能依赖状态报告中数据的准确性来取得合理保证。
B.面谈是一种有用的信息来源,但不一定能发现任何项目挑战,因为被访谈的人置身项目之中C.直接观察结果要好于从面谈或状态报告中获得的估计和定性信息。
项目经理和参与的员工往往低估完成项目所需的时间以及由于任务间的依赖关系而必需的时间缓冲,但高估进行中的任务的完成百分比(即80:20规则)。
D.根据剩余预算进行的计算没有考虑项目进展的速度。
2.[单选题]为了适应组织内部不断增多的移动设备,IS管理部门最近用无线基础构架替换了现有的有线局域网(LAN)。
这将增加以下哪种攻击风险?A)端口扫描B)后门C)中间人D)战争驾驶答案:D解析:战争驾驶适应无线以太网(设置为混杂模式)和大功率天线,从外部渗透进无线系统。
端口扫描一般以组织的外部防火墙为目标。
后门是软件中留下的接入口,攻击者可以利用这个接入口在不被发觉的情况下进入系统。
中间人攻击截取一条消息后会将其替换或修改。
3.[单选题]以下哪项是数据保护最重要的目标?A)识别需要访问信息的人员B)确保信息的完整性C)拒绝或授权对IS系统的访问权限D)监视逻辑访问答案:B解析:保持数据完整性是数据安全最重要的目标。
如果组织要继续成为可发展的成功企业,则这是十分必要的。
其他选项是用于实现数据完整性这一目标的重要技术。
4.[单选题]以下哪个选项最能限制用户仅使用履行其职责所需的功能?A)应用程序级访问控制B)数据加密C)禁用软盘驱动器D)网络监控设备答案:A解析:使用应用程序级访问控制程序属于管理控制、将用户先知道仅为履行其职责的功能来限制访问。
2011CISA-补充习题100道
©南京审计学院CISA考试培训中心 余小兵
第一章 信息系统审计过程
1.审计师被安排实施比较计算机计划任务 和运行日志的测试,下面哪一项是其最关心 的? A 有越来越多的紧急变更 B 存在某些工作没有完成的实例 C 存在某些工作被计算机使用者否决的实例 D 有证据显示仅仅被计划的工作运行了
6. 企业首席信息官关注大量的缺陷通常是 在软件项目进入到测试阶段后才被发现的 。这使得项目延迟。下列哪项是用来纠正 这种情况的最合适的选择? A 所有的测试任务都由一个专门的团队来 执行 B 构建一个更小、增量更简短的系统 C 采用是顺序的开发技术,把测试类型和 开发阶段联系起来 D 需要就所有的项目可交付成果签署协议
14. 当个人的账户余额从一个数据库迁移 到另一个数据库的时候,以下哪一个选项 是最有效的? A 在迁移前后比较其哈希值 B 检查两个数据库的同一个地方的记录的 数量 C 就迁移账户的余额执行一个抽样测试 D 比较所有事务的总量控制
15. 下面哪一项是预防电力中断的最好的 方法? A 电力传输系统 B 双电源引线或双电力引线 C 发电机 D 不间断电源UPS
13. 某企业正在海外设置一个新的数据库 服务器以便给公共地区提供信息并增加其 可用性。海外的数据库放在数据中心,并 根据存储在本地的数据做了实时的镜像。 下面哪一方面的操作具有最高级别的风险 ? A 机密信息被存放在数据库中 B 被用于运行数据库应用的硬件 C 海外数据库备份的信息 D 远程访问备份数据库
11. 某财务服务公司有一个小的IT部门, 职员身兼多职,下面哪一个行为代表了最 大的风险? A 开发者在生产环境中升级代码 B 业务分析员写了一个需求并执行了功能 测试 C IT经理兼任系统管理员 D DBA(数据库管理员)执行数据备份
cisa模拟题第一章
17 初步调查之后,审计员发现有理由相信欺骗的存在。IS 审计员应该: A.展开行动确定调查是否合理 B.将事情报告至审计委员会 C.将欺骗可能性报告给高层,高层管理询问是否继续 D.咨询外部法律顾问以决定采取什么及如何行动
10 在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。该审计 师应该: A.生成该程序的文档 B.中止审计 C.进行符合性测试 D.识别并评估目前状况下的组织活动
11 信息系统审计师在对软件使用及许可方面进行审计时发现,大量的PC设备中含有非授权 的软件。信息系统审计师随即应该采取以下哪个行动? A.删除非授权软件的所有拷贝 B.通知被审计机构有关非授权软件的情况,并进行跟踪确保软件的删除 C.向被审计机构管理层报告使用非授权软件的情况,以及告知管理层有必要防止该情况 的再次发生 D.警告终端用户有关使用非法软件的风险
5
管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可 用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是? A.由于审计没有按照标准执行而造成声誉损失 B.审计报告不能识别和分类关键风险 C.客户管理者会质疑其结果 D.审计报告可能不会被审计经理所批准
6
在审计风险管理程序中,下面那一项职责最有可能损害审计师的独立性? A.参加风险管理框架的设计 B.为不同的实施方法提供建议 C.协助风险意识的培训 D.对风险管理程序进行尽职调查
12 审计章程应该是: A.动态且经常变更,与技术和审计专业的变化本质保持同步和一致 B.清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责 C.为了取得计划的审计目标而制定的审计程序的文件 D.对审计工作的整体授权、范围、职责的描述
CISA学习历年复习资料 模拟题.doc
目录第一部分:模拟题 (2)第二部分模拟题答案 (20)第一部分:模拟题1.当审计一个具有全球业务企业的灾难恢复计划时,审计师观察到一个远程办公室的IT资源非常有限,以下哪项最应引起IS审计师的关注?A.未进行演练,以确保发生灾难事件时,本地资源能从灾难事件中恢复业务得以运转的安全和质量标准B.企业的业务连续性计划没有准确的记录系统在远程办公室存在C.公司的安全措施未纳入到测试计划中D.未进行数据恢复性测试,以确保远程办公室的备份磁带的可用性2.在医院,医务人员携带的掌上电脑中含有病人的健康信息,这些掌上电脑可通过与个人电脑进行数据同步而从医院数据库传输数据,以下哪项是最重要的?A.掌上电脑妥善保管,以防止盗窃或丢失的情况下敏感数据丢失B.员工应被授权维护个人电脑,在使用后删除本地电脑中的临时文件C.通过政策或程序来确保同步的及时性D.医院有政策允许使用掌上电脑3.下列哪个物理访问控制有效地降低了尾随的风险?A.生物门锁B.组合门锁C.双道门D.抽蓦门锁建议改为插销门锁4.一个组织的信息系统审计章程应当规定:A.审计业务的短期和长期计划B.审计业务的目标和范围C.为审计人员制定详细的培训计划D.信息系统审计师的职能5.信息系统审计师正在评估该组织变更管理过程的有效性,信息系统系统应该寻找哪个最重要的控制,以确保系统的可用性?在任何时候的变更均已经过IT经理的授权建议改为已经过IT经理的授权的变更B.执行用户验收测试,并被妥善记录建议改为文档化C.已按制定的测试计划和测试程序进行了测试D.容量计划已作为软件开发项目的一部分被执行6.如何侦测针对组织IT系统的网络攻击,如何从网络攻击中恢复时,以下哪项是最重要的行动?A.事件响应计划(TRP)B.IT应急计划C.业务连续性计划(BCP)D.连续性运作计划(COOP)在审查一个正在实施的项目时,信息系统审核员观察到,项目收益在减少,成本在增加,此项目(建议改为业务例证)可能不再有效,信息系统审计系统应建议?A.终止项目B.对项目(建议改为业务例证)进行更新,并尽可能地采取纠正措施C.项目退回给项目发起人重新批准D.对项目(建议改为业务例证)进行更新,并完成项目8.信息系统审计师正在审查一个组织的信息安全策略,政策要求需要对通用串行总线(USB)驱动器放置的所有数据加密。
2011国际内审师考试经营管理技术模拟题(1)(6)
2011国际内审师考试经营管理技术模拟题(1)(6)11、答案:d解题思路:显然,公司的支付计划是为了有效地激励工人,以实现管理目标,其方式就是对良好的绩效进行奖励,满足员工的物质需求。
但是,支付计划并不能保证工人的凝聚力,很有可能因为竞争的关系,工人的凝聚反而削弱。
12、答案:b解题思路:成功的员工福利计划将会使员工形成正面的期望,即,良好的绩效可以获得较高的报酬。
13、答案:b解题思路:员工应当感觉到自己的付出与所得是对等的。
具体而言,员工的经验、能力、努力等明显的付出项目应当在员工的收入、职责和其他所得方面体现出不同。
14、答案:d解题思路:只有绩效才应成为奖励的标准。
15、答案:b解题思路:通道是指传送信息的媒介物。
一个具体的信息可以用口头表达也可书面表达。
在组织中,不同的信息通道适用于不问的信息。
对于题中所述的情形,应该当面和采购员进行沟通,因为它事关重大,关系到采购员的工作。
16、答案:c解题思路:很多沟通问题是直接由于误解或不准确造成的,如果管理者在沟通过程中使用反馈回路,则会减少这些问题的发生。
反馈回路是沟通过程的最后环,反馈把信息返回给发送者,并对信息是否被理解进行审核。
上述问题由于两人在假期表上存在冲突,主管将得不到采购员的反馈。
17、答案:C解题分析:在任何情形下,都会存在潜在的变量影响管理者监督的下属人数,通常,在工作简单、流程标准化、实物分散最小化时,控制的宽幅度是最有效的。
18、答案:B解题思路:A.不正确。
对交易团体的正确标识属于交易身份的标识和验证,与电子商务的安全相关。
B.正确。
病毒虽然也和计算机系统的安全相关,但不是电子商务特有的。
C.不正确。
决定谁有权作出交易决策是电子交易的授权机制,与电子商务的安全相关。
D.不正确。
对支付数据的确认是电子交易的必要流程之一,也与电子商务的安全相关。
19、答案:A解题思路:A.正确。
出售政府债券会减少流通中的货币,是一项紧缩的货币政策。
CISA中文模拟题465题
CISA中文模拟题465题Chapter 11.下列哪些形式的审计证据就被视为最可靠?口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信2.当程序变化是,从下列哪种总体种抽样效果最好?测试库清单源代码清单程序变更要求产品库列表3.在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:系统程序员.法律人员业务部门经理应用程序员.4.进行符合性测试的时候,下面哪一种抽样方法最有效?属性抽样变数抽样平均单位分层抽样差别估算5.当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:当数据流通过系统时,其作用的控制点。
只和预防控制和检查控制有关.纠正控制只能算是补偿.分类有助于审计人员确定哪种控制失效6.审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。
下列哪些工具最适合从事这项工作?计算机辅助开发工具(case tool)嵌入式(embedded)资料收集工具启发扫描工具(heuristic scanning tools)趋势/变化检测工具7.在应用程序开发项目的系统设计时间,审计人员的主要作用是:建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发排程8.下面哪一个目标控制自我评估(CSA)计划的目标?关注高风险领域替换审计责任完成控制问卷促进合作研讨会Collaborative facilitative workshops9.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证:充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源10.审计轨迹的主要目的是:改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的数据11.在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响:可以使用的CAATs管理层的陈述组织结构和岗位职责.存在内部控制和运行控制12.对于组织成员使用控制自我评估(CSA)技术的主要好处是:可以确定高风险领域,以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish对控制的责任13.下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integrated test facility快照sanpshots审计钩Audit hooks14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法?对于链接库控制进行实质性测试对于链接库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试15.在实施连续监控系统时,信息系统审计师第一步时确定:合理的开始(thresholds)指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序16.审计计划阶段,最重要的一步是确定:高风险领域审计人员的技能审计测试步骤审计时间17.审计师被对一个应用系统进行实施后审计。
CISA学习(历年复习资料) 模拟题 2
目录第一部分:模拟题 (2)第二部分:模拟题答案 (19)第一部分:模拟题101.审计报告中包含实质性发现的最终结论应该由谁做出?A.审计委员会B.审计经理C.信息系统审计师D.组织的CEO102.在一次全球服务供应商的审计过程中,审计师发现这个公司为了便于全球客户报告以及跟踪他们的问题,已经配置了通过互联网访问服务台应用程序,客户可以在每个分支机构通过一个客户ID进行SSL连接,他们的访问权限仅限于创建和查询他们的服务请求,未要求定期的密码变更,并且合作伙伴提供的应用程序也不会进行安全检查。
审计师应提哪些建议?A.应要求定期的密码变更B.所有用户都应分配单独的IDC.没有变更是必须的,应用程序已足够安全D.应用程序应该脱离互联网103.信息系统审计师报告由于一些敏感表格都进行了审计记录,因此ERP的财务模块程序非常慢,供应商关闭了这些表格的审计记录功能,仅对成功和不成功的登录系统日志进行记录,这种情况最大的威胁是什么?A.可能无法保证财务数据的完整性B.可能无法保证系统日志的完整性C.无法记录访问关键数据的日志D.欺诈可能发生104.为了达到组织的灾难恢复标准,备份中断不能超过:A.服务水平目标B.恢复时间目标C.恢复点目标D.最大可接受供电中断105.在一个小型制造业企业,一个IT员工在做制造工作同时兼任程序开发员,针对以上情景请选择最优的降低风险的控制措施?A.限制访问,以防止员工访问生产环境B.通过雇佣新员工实现职责分离C.自动记录所有在生产环境中的变更D.对已经被批准执行过的程序变更进行核查106.一个审计师观察到,在供应商的建议下,IT部门为组织的生产系统更新了补丁,审计师应该最关注的是IT部门未考虑到:A.更新补丁后对用户的培训B.为生产系统打补丁的好处C.测试补丁的影响后才能打补丁D.最终用户对新补丁提供的建议107.以下哪项是有效的灾难恢复计划最关键的因素?A.数据的异地备份B.关键灾备恢复清单的更新C.数据备份中心的可用性D.清晰定义恢复时间目标(RTO)108.一个审计师正在审计一个使用敏捷软件开发方法的项目,以下哪项是审计师期望发现的?A.基于过程的成熟度模型的使用,如能力成熟度模型(CMM)B.基于时间表对于任务级别进展的监控C.软件开发工具的使用来最大化团队的生产率D.通过反复评审来识别未来项目可能用到的课程109.一个金融机构正在建立并将业务连续性措施文档化,以下哪项审计师会认为是一个问题?A.这家机构使用了最佳实践指南代替了行业标准并且得到外部顾问的帮助以确保方法论的充分性B.业务连续性能力包括了一些精心挑选的比较合理的可能发生的应急场景C.RTO没有考虑IT灾难恢复的限制,如恢复期间人员和系统的相关性D.机构打算租用一个临时应急场所,但该场所仅可提供正常员工一半数量的占用空间110.审计师正在为客户制定审计计划,他看了去年的审计计划发现该计划用于去年着重检查公司网络和邮件系统,但计划未包括电子商务服务器,公司IT 经理暗示今年公司审计重点应是一个新上线的ERP系统,审计师该如何做?A.按IT经理要求审计新的ERP系统B.这次应审计去年未审计电子商务服务器C.在对高风险系统进行评估的基础上制定审计计划D.两个系统都审计111.为了优化组织的业务连续性计划,审计师建议进行业务影响性分析是为了决定:A.对组织产生最大经济价值的业务流程,应该首先恢复B.恢复的优先级和顺序来确保与组织业务目标的一致性C.从灾难中恢复的业务流程必须确保组织的生存D.在最短时间恢复最多系统的优先级和顺序112.恢复策略的选择最可能依靠:A.设备和系统的恢复成本B.恢复场地的可用性C.业务流程的关键性D.事件响应流程113.审计师在审核组织的数据库安全时,以下哪项是关于数据库加固最应关注的方面?A.默认配置被修订B.所有数据库中的表格被统一化C.存储的步骤和触发器被加密D.数据库服务器端口被变更114.在审核入侵检测日志时,审计师注意到来自互联网的流量,流量显示这些IP 地址好像来自公司内部薪资服务器,以下哪种危险行为可能导致这种情况?A.DOS攻击B.欺骗C.端口扫描D.中间人攻击115.审计师在审核健康组织在两种应用环境下的开发过程—生产和测试。
2011年国际货运代理考试真题和答案
2011年国际货运代理考试真题和答案DB.5月31日C.6月1日D.6月2日考试大论坛4. 我国A进出口公司与新加坡B公司洽谈货物买卖合同,双方约定采用CIF 贸易术语,以海运方式运输,起运港为上海,目的港为新加坡,每公吨USD30,折扣2%,以下对该国际货物买卖合同中贸易术语表述正确的是(B )。
D30/MT CIFD2%SHANGHAID30/MTCIFD2%SINGAPORED30/MT CIFC2%SHANGHAID30/MT CIFC2% SINGAPORE5. 我国对货物出入境检验检疫的执法部门是(D )。
A.海关总署B.商务部C.卫生部D.质检总局6. 物流信息系统包括GIS, POS,TPS, RFID等系统,其中“RFID”系统指的是(D )。
A.事务处理系统B.销售时点信息系统C. 地理信息系统D. 射频识别系统7. 在国际海上货物运输中使用指示提单,且提单中收货人(consignee)记载为“TO ORDER”的情况下,当该提单背书转让时,应当由(B )首先背书。
A.承运人B.托运人C.收货人D.通知人8. 在国际海上集装箱货物运输实务中,集装箱货物交接的方式可以分为门到门、门到场、门到站、场到场、场到站、站到门、站到场和站到站等。
海运集拼经营人通常采用的交接方式是(C )。
A.门到门B.场到场C.站到站D.门到场9. 国际海运集装箱按用途不同可以分成不同类型的集装箱,如果货主托运的单件货物高度较高时(超过2.5米),应选择(B )类型集装箱。
A.GP箱B.OT箱C.RF箱箱10. 根据《国际海运危险货物规则》的规定,油漆、清漆属于(C )类的危险品。
A.爆炸品B.气体C.易燃液体D.有毒物质11. 在国际海上航次租船合同中,通常都会约定承租人的责任终止条款和船舶出租人的留置权条款。
承租人责任终止条款是指(B ),就可以免除进一步履行租船合同的责任。
A.承租人在装货港支付相关费用之后B.承租人在卸货港支付相关费用之后C.出租人在装货港支付相关费用之后D.出租人在缷货港支付相关费用之后12. 根据航次租船合同的规定,在船舶装卸时间届满后,开始起算(B )。
2011国际内审师考试经营管理技术模拟题(1)(3)
2011国际内审师考试经营管理技术模拟题(1)(3)根据以下资料回答问题15-16:采购主管查看了为部门内某采购人员准备的备忘录,内容是;“公司决定将你处的职能合并到母公司的采购小组中,此举有助于降低作业成本,加强沟通,促进生产工程的变化。
你将得到再就业支持。
这一决定从9月30日起生效。
”“这个基本把情况说情楚了,”主管想,“糟糕的是我要在这名采购人员假期返回之前去度假,但是这个备忘录应该可以让他了解情况了。
”15、在该沟通链哪个环节有缺陷?a.信息的含义不明确b.主管选择了错误的沟通通道c.主管不应该发出此类信息d.主管未考虑沟通中的噪音16、选出沟通中另一个不足:a.信息的接收者不当,应由人事部门收到备忘录再通知采购人员b.信息的编码不当,因采购人员不知为何终止其职务c.因主管和该采购人员的假期表存在冲突,将不可能得到信息的反馈d.应由人事部门而不是该主管发出此信息17、管理者的控制幅度取决于多种工作变量,比如在同样的工作区域监督执行简单重复任务员工的经理最有可能监督:A.无数员工。
B.几位员工(很窄的控制幅度)。
C.相对多的员工(很宽的控制幅度)。
D.很少的员工(如果员工在地理上分散)。
18、对于电子商务而言,以下哪一项不是潜在的安全问题?A.交易团体的正确标识。
B.计算机病毒的扩散。
C.决定谁有权作出交易决策。
D.支付数据的确认。
19、以下哪项是通货膨胀时期一个国家的中央银行为稳定经济可以使用的货币政策工具?A.出售政府债券。
B.降低银行法定存款准备率。
C.降低银行贴现率。
D.鼓励更高的税率。
20、在已购商品收条上,验收部门人员将已收商品数量与包装单数量进行对比,并以商品主要价格数据清单为基础标出零售价。
然后,将已注释的包装条进行存货控制,商品自动送到零售销售区域。
这项活动的最重要的控制力度是:A.立即为零售商品定价;B.将已收商品数与包装单数量进行对比;C.按主要的价格数据清单标出售价;D.自动地将商品运送到零售区域。
国际注册分析师(CIIA)2011年3月试卷 II真题及答案
考试 II:固定收益估值和分析衍生产品估值和投资组合管理分析试题最终考试2011年3月问题1:固定收益估值与分析 (43 分)你是一家欧洲银行的债券发行主管,该银行在10年前发行了一只永久次级固定收益附息债券。
这只债券包含一个赎回期权(买入期权),期权的执行时间是发行后的10年(即今天),如果到时债券没有被赎回,息票率会提高(见下表)。
注:由于金融市场的混乱,债券的收益率利差已经显著扩大。
结果你不得不处理如下问题:要么赎回债券,要么不赎回但由此会引致前面提到的息票率提高问题。
请你就如何处理这只债券,给管理董事会提出建议。
a) 首先, 你需要面临一些基本问题 (假定此买入期权不被执行)。
a1) 如果相关互换利率(swap rate)是3.50%(按年计),计算此债券的现价。
(4 分)a2) 确定此永久债券的修正久期。
(4 分)永久债券的麦考利久期 D 的定义如下:11+=收益率Da3) 如果利差缩小100 bps ,请使用基于久期的方法估计此债券的价格。
[注:如果没有解出问题a1) 和 a2),用65%作为债券价格、麦考利久期为14年来计算。
] (4 分)a4) 你认为问题a3)中的估计可靠吗?请解释。
(5 分)b) 请分别对赎回债券与不赎回债券两种决策进行成本/收益分析。
b1) 假定此永久债券头寸是盯市的。
如果现在以100%的价格赎回债券,请计算银行的直接经济损失 (以百万欧元为单位)。
(注:假设赎回债券所引起的流动性流失不必通过新的发行来补充;同时假设在a)中给出的所有其他参数是不变的。
如果没有解出问题a1),请用65%作为债券价格计算。
) (4 分)b2) 要想让经济损失(问题b1)中所提到的)等于0,请计算此时的相对于互换利率的盈亏平衡利差。
(3 分)b3) 假定银行在赎回此永久债券后,必须新发行一只息票率为每年7%的30年期债券。
请计算新增利息费用的现值。
[提示:比较息票率为7%的新发行债券和息票率提高后的永久债券的每年利息费用,然后计算其现值,取贴现期为30年,贴现率为7%。
2011国际内审师考试经营管理技术模拟题(2)(4)
2011国际内审师考试经营管理技术模拟题(2)(4)4、答案:B解析:A.不正确。
MRP-II系统并没有集成组织内部的所有子系统(后端功能),如人力资源及客户服务等。
B.正确。
MRP-II是一个闭合的制造系统,它包含制造过程的各个方面,包括产品销售、存货、日程和现金流等,也包括互动的会计和财务功能。
MRP-II采用主产品计划来描述特定时期内的特定项目,主产品计划是MRP-II系统的部件之一。
C.不正确。
MRP-II具有生成现金及其他预算项的预测和计划能力。
D.不正确。
MRP-II系统不具备与客户、供应商、业主、债权人以及战略伙伴等相连接的前端功能。
5、答案:C解析:Ⅰ。
不正确。
传统ERP软件的各子系统是组织内部使用的,因此又称为后端功能。
它们生成的信息主要是为组织的管理者所用,因此不能被客户或供应商所利用。
Ⅱ。
不正确。
见解析Ⅰ。
Ⅲ。
正确。
传统ERP软件的各子系统可以共享数据并相互协作。
当市场部门获得客户定单时,该系统会快速查验现有存货是否足够发货,如不能,就会自动通知生产部门自动调节产量计划并生产更多的产品。
如果材料不足,系统就会发出采购定单。
如果需要更多的劳务,系统就会要求人力资源部门重新配置或雇佣人员。
Ⅳ。
正确。
见解析Ⅲ。
6、答案:D解析:A.不正确。
见答案“d”。
B.不正确。
见答案“d”。
C.不正确。
见答案“d”D.正确。
不成功的访问往往是由非法的用户进行的,对这种企图进行日志登记,将其作为重点监控对象,可有效监控访问的安全性。
7、答案:A解题思路:显然这一过程是应急,B、C、D与之无关。
8、答案:B解题思路:这句话缺乏明晰性、可衡量性和可实现性。
9、答案:A解题思路:期望理论认为,当人们预期到某一行为能给个人带来既定结果,且这种结果对个体具有吸引力时,个人才会采取这一特定行为。
它包括以下三项变量或三种联系:努力一绩效的联系,即个体感觉到通过一定程度的努力而达到工作绩效的可能性;绩效一奖赏的联系,即个体对于达到一定的工作绩效后即可获得理想的奖赏结果的可能性;吸引力,即,如果工作完成,个体所获得的结果或奖赏对个体的重要性程度,与人个的目标和需要有关。
2011国际内审师考试经营管理技术模拟题(1)(7)
2011国际内审师考试经营管理技术模拟题(1)(7)23、答案:a解题思路:a.正确。
电子数据交换是在贸易伙伴之间进行的,在交换之前,须签订贸易伙伴协议。
b.不正确。
c.不正确。
d.不正确。
24、答案:d解析:a.、b、c不正确,见题解d。
d.正确。
贸易配额可以保护国内工作,因此失业率下降。
由于低效率(低于国外竞争者)行业的工作被保留,生产率将下降。
25、答案:A解题思路:A.正确。
压力可以促进工作表现,但过重的压力会导致工作表现变差,因此是曲线关系。
B.不正确。
见“A”。
C.不正确。
见“A”。
D.不正确。
见“A”。
26、答案:A解析:答案A正确。
属性评价(主观的评价或基于一些不大精确的因素的评价)的一个主要缺点是不能准确衡量绩效水平。
纠正活动因此比较困难,如果主观因素很重要,纠正活动需要逐步进行。
答案B、C、D都不正确,它们都是正确的陈述。
27、答案:B解析:A.不正确。
如果费用没有分摊到每个经理,他们没有理由反对。
B.正确。
控制是为了使计划实现期望的目标的过程。
预算是控制最经常使用的工具,它是一个关于未来的计划,而不是一个合同。
将预算或其他计划理解成没有弹性的合同会使经理违背公司的利益,他们的努力被使用的标准误导了。
C.不正确。
因为参与预算会得到相关人员的支持并且激励他们努力工作。
D.不正确。
因为根据条件变化改变预算目标,会使目标更公平。
28、答案:D解析:A.不正确。
线性规划方法是在有限的资源条件下,对实现目标的多种可行方案进行选择,以使目标达到化。
不过,它要求变量之间必须有线性关系,这意味着一个变量的变化将伴随着其他变量成比例的变化。
B.不正确。
回归分析是用来研究一个变量(称之为被解释变量或因变量)与另一个或多卜变量(称之为解释变量或自变量)之间的关系。
C.不正确。
当涉及权衡开设一条等候线的成本与维持等候线的服务成本的决策时,应用排队论能够有助于问题的解决。
也就是说,排队论是一种权衡维持等候线成本和增设服务台(员)以缩短等候线的成本的方法。
CISA考试模拟题及答案汇编第三章
CISA分章节模拟题汇编第三章1.一个组织有一个整合式开发环境,链接库在服务器上,但是修改/开发和测试在工作站上完成,以下哪一项是整合式开发环境(IDE)的强项?✓控制程序多个版本的扩散✓扩展程序资源和可得到的辅助工具✓增加程序和加工的整体性✓防止有效的变更被其它修改程序重写2.以下哪一项是计划评审技术(PERT)相比其它方法的优点?与其它方法相比:✓为计划和控制项目考虑不同的情景✓允许使用者输入程序和系统参数.✓测试系统维护加工的准确性✓估算系统项目成本.3.下列哪些是使用原型法进行开发的优点?✓成品系统有足够的控制.✓系统将有足够的安全/审计轨迹.✓减少部署deployment时间✓很容易实现变更控制4.软件开发方法中生命周期法中的瀑布模型最适合用于:✓需求完全理解并可望保持稳定,如同系统运行的业务环境一样✓需求完全理解并且项目受时间压力影响✓项目需要使用对象导向的设计和程序设计方法✓项目需要使用新技术5.以下哪种人员要为软件开发团队提供需求说明书负责?✓组长✓项目发起人✓系统分析员✓指导委员会.6.在处理决策支持系统时,以下哪一项是实施风险?✓管理控制✓结构化层次✓无法确定用途和使用方式✓决策过程的变化7.审计师审查重组织流程的时候,首先要审查:✓现有控制图✓消除的控制✓处理流程图✓补偿性控制.8.IS审计师进行应用程序维护审计时,审查程序变更日志是为了:✓授权程序变动✓创建当前对象模块的日期✓程序变化实际产生发生的数量✓来源程序创建日期9.组织与供货商签订了成套的电子收费系统(ETCS)解决方案的合同,供货商提供专用的软件作为解决方案的一部分,合同中应该规定:✓运行ETCS业务和最新资料的备份服务器.✓装有所有相关软件和数据的备份服务器.✓对系统的工作人员进行培训,以便处理任何事件.✓ETCS应用的原始程序代码放在协力厂商代管in escrow.10.在考虑增加人员到受实施时间限制的项目时,应该先考虑以下哪一步?✓项目预算✓项目的关键路径✓剩余任务的时间长度✓员工分配的其它任务11.对于新的或者现有改进的业务应用系统的审查的目的是:✓确定是否测试数据覆盖了所有的情况✓进行认证和证明过程.✓评估项目是否收到预期效益.✓设计审计报告.12.在设计软件基线时,下面哪一个阶段是最合适的阶段?✓测试✓设计✓需求分析✓开发13.在评估数据库应用系统的可移植性时,IS审计师应该审查✓结构化语言(SQL)使用.✓其它系统的信息输入和输出处理过程✓使用索引.✓所有实体都有有意义的名称和明确的主键字和外部关键词.14.系统测试的主要目的是:✓测试设计产生的控制总数. test the generation of the designed control totals✓判断系统的文文件是否准确✓评估系统功能.✓确保系统操作熟悉新制度. become familiar with the new system15.实施EDI处理的项目的可行性报告中应包括以下哪一项?✓加密算法的格式✓详细的内部控制程序✓必需的通信协议✓建议的可信的协力厂商协议16.在客户机服务器环境下实施一个购买的系统时,下面哪一项测试能够确定windows注册表的修改不会影响到桌面环境?✓兼容性测试✓平行测试✓白盒测试✓验证测试.17.下列哪种情况有可能会增加舞弊?.✓应用程序员对产品程序进行修改✓应用程序员对测试程序进行修改✓运行支持人员对批次安排进行修改✓数据库管理员对数据库结构进行修改18.用回归测试方法测试程序的目的是为了确定是否:✓新的代码中包含错误.✓功能说明和实际表现中存在差异✓新的要求已得到满足.✓改变的部分给未变化的代码引入了错误19.在设计数据仓库下面哪个要素是最重要的因素?✓中继数据质量✓交易速度✓数据的多变性✓系统的弱点20.下面哪一项整体测试检查数据的准确性、完整性、一致性和授权?✓数据✓关系✓领域✓参考21.主要在于SDLC开发方法的哪个阶段防止程序的蔓延扩大?✓开发✓实施✓设计✓可行性22.在审查基于WEB的软件开发项目时,IS审计师发现没有强调编码规则,并且没有进行代码审核。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2011年CISA模拟考试题(针对新考纲)培训资料,请勿外泄对IT部门的战略规划流程/程序的最佳描述是:选项:A、依照组织大的规划和目标,IT部门或都有短期计划,或者有长期计划B、IT部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务要求的优先顺序的程序和规章的要求为技术的发展对IT部门的规划的(或她)应该关注的重点参考答案:DWEB服务器的逆向代理技术用于如下哪一种情况下?选项:A、HTTP服务器的地址必须隐藏B、需要加速访问所有发布的页面C、为容错而要求缓存技术D、限制用户(指操作员的带宽)参考答案:A并将其转换为电子格式?C、包的长度不是固定的,但是每个包内容纳的信息数据是一样的D、数据包的传输成本取决于将传输的数据包本身,与传输距离和传输路径无关参考答案:D分布式环境中,服务器失效带来的影响最小的是:选项:A、冗余路由B、集群C、备用电话线)之间签有服务水平协议(SLA)统的可用性,发现平均每个月的可3%。
那么,财务部应该采取的最在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。
以下哪一种情形应在审计报告中视为最为危险的?选项:A、计算机操作员兼任备份磁带库管理员B、计算机操作员兼任安全管理员C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员D、没有必要报告上述任何一种情形参考答案:B求。
访问数据库管理系统(DBMS输出(I/O)性能?System)C、协议中确定的服务符合业务需求D、协议中允许IS审计师审计对计算机中心的访问参考答案:C以下哪一项可以在不同网络之间e-mail格式,从而使e-mail可以在所有网络上传播?选项:A、网关B、协议转换器C、前端通讯处理机选项:A、异常作业终止报告B、操作员问题报告C、系统日志D、操作员工作日程安排参考答案:C电子商务环境中降低通讯故障的最佳方式是:选项:先检查、确定:在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。
IS审计师应该决定后续的行动是:选项:A、实施分析,以确定该事件是否为暂时的服务实效所引起B、由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会C、这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%D、通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定是:B、接受但不处理C、不接受也不处理D、不接受但处理参考答案:C一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查:选项:A、BPR实施前的处理流程图B、BPR实施后的处理流程图终用户的充分的职责分工?选项:A、访问规则的维护B、系统审计轨迹的审查C、数据保管异口同声D、运行状态监视参考答案:B在审查组织的业务流程再造(BPR)的效果时,IS审计人员主要关注的是:选项:为降低成本、改善得到的服务,外包方应该考虑增加哪一项合同条款?选项:A、操作系统和硬件更新周期B、与承包方分享绩效红利C、严厉的违例惩罚D、为外包合同追加资金参考答案:B参考答案:B以下哪一项是业务流程再造项目的第一步?选项:A、界定检查范围B、开发项目计划C、了解所检查的流程D、所检查流程的重组和简化户兼职,最恰当的补偿性控制是:C、确保程序、程序的更改以及存档符合制定的标准D、设计流程来保护数据,以免被意外泄露、更改或破坏参考答案:C由安全管理员负责的首选职责是:选项:A、批准安全政策B、测试应用软件C、确保数据的完整性讯。
以下哪一项使得程序间通讯特以下哪一项是集成测试设施(ITF)的优势?选项:A、它利用了实际的主文件,因此IS审计人员可以不审查源交易B、定期测试不要求隔离测试过程C、它验证应用系统并测试系统的持续运行D、它不需要准备测试数据参考答案:B以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中?选项:议(SLA)有关可用时间的要求?参考答案:B在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序?选项:A、确定程序的充分性B、分析程序的效率C、评价符合程序的程度D、比较既定程序和实际观察到的程序参考答案:D问、参观基准伙伴?B、它回避了质量管理程序(或流程)的要求C、它能避免预算超支和工期延后D、它分别进行系统测试和用户验收测试参考答案:C随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是:选项:A、用户参与不足以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行?选项:A、单元测试B、压力测试C、回归测试D、验收测试参考答案:A在审计系统开发项目的需求阶段时,IS审计人员应:选项:D、穿透测试报告参考答案:A假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪?选项:A、星型B、总线C、环型D、全连接:A、用户管理层B、高级管理层C、项目指导委员会D、系统开发管理层参考答案:A以下哪一项根据系统输入、输出及文件的数量和复杂性来测算系统的规模?选项:A、程序评估审查技术(PERT)是:IS审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题?选项:A、构造B、系统设计C、验收测试D、功能说明参考答案:D的哪一项?D、它是一种通过WEB浏览器下载并在客户机的WEB服务器上运行的JA V A程序参考答案:C如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于:选项:A、项目需求定义阶段B、项目可行性研究阶段C、项目详细设计阶段D、项目编程阶段术的优势?PERT:A、暂停审核工作,直到找到这些审计底稿B、信息并直接采纳以前的审计报告C、重新测试好些处于高风险内的控制D、通知审计经理,并建议重新测试这些控制参考答案:D确保审计资源在组织中发挥最大价值的首要步骤应该是: 选项:A、规划审计工作并监控每项审计的时间花费内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能: 选项:A、导致对其审计独立性的质疑B、报告较多业务细节和相关发现C、加强了审计建议的执行D、在建议中采取更对有效行动参考答案:A实施基于风险的审计过程中,完全由IS审计师启动的风险评估是:选项:参考答案:C在审查定义IT服务水平的过程控制时,信息系统审计师最有可能先与下列哪种人面谈:选项:A、系统编程人员B、法律顾问C、业务单位经理人员D、应用编程人员参考答案:CC、集成测试系统(ITF)D、嵌放式审计模块(EAM)参考答案:A在评价网络监控的设计时,信息系统审计师首先要检查网络的选项:A、拓扑图B、带宽的使用C、流量分析报告选项:A、降低未经授权即访问网络资源的风险B、不适用于小型网络C、能自动分配IP地址D、增加无线加密协议(WEP)相关的风险参考答案:A利用残留在现场的指纹等人体生物特征侦破非授权的访问(如:窃贼入室),属于哪一类攻击?选项:参考答案:C下面哪一种环境控制措施可以保护计算机不受短期停电影响?选项:A、电力线路调节器B、电力浪涌保护设备C、备用的电力供应D、可中断的电力供应参考答案:D受中间人攻击?A、数据在传输前经加密处理B、所有消息附加它哈希值C、网络设备所在的区域加强安全警戒D、电缆作安全保护参考答案:A跨国公司的IS经理打算把现有的虚拟专用网(VPN,virtual priavte network)升级,采用通道技术使其支持语音IP电话(VOIP,voice-over IP)服务,那么,需要首要关注的是:选项:的是:参考答案:B许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性,下面哪一种安全技术最不被优先考虑使用:选项:A、回叫确认B、通讯加密C、智能令牌卡D、口令与用户名纹识别登陆系统,访问关键的数据称为:初始化手续)别为授权者的风险)A、经理B、审计人员C、调查人员D、安全负责人参考答案:A安全事件应急响应系统的最终目标是:选项:A、对安全事件做出的反应不足IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。
发现的哪一种漏洞或威胁需要特别关注?选项:A、安全官兼职数据库管理员B、客户/服务器系统没有适当的管理口令/密码控制C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑D、大多数局域网上的文件服务器没有执行定期地硬盘备份参考答案:B1、针对电话卡的舞弊2、员工滥电话的舞弊B、包重放C、社交工程D、缓存溢出参考答案:A哪一个最能保证来自互联网internet的交易事务的保密性?选项:A、数字签名B、数字加密标准(DES)选项:A、保护硬件设备免受浪涌损害B、如果主电力被中断,系统的完整性也可以得到维护C、如果主电力被中断,可以提供即时的电力供应D、保护硬件设备不受长期电力波动的影响参考答案:A实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的?选项:持续上升。
在这种环境下的信息基参考答案:B你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源。
在评估这样一个软件产品时最重要的标准是什么?选项:A、要保护什么样的信息?B、有多少信息要保护?C、为保护这些重要信息你准备有多大的投入?D、不保护这些重要信息,你将付出多大的代价?件,如何保证客户收到的资料没有哈席值哈席值件选项:A、基于角色的策略B、基于身份的策略C、用户向导的策略D、强制性访问控制策略参考答案:D下列哪一种情况会损害计算机安全政策的有效性?选项:准来定义?数字签名可以有效对付哪一类电子信息安全的风险?选项:A、非授权地阅读B、盗窃C、非授权地复制D、篡改参考答案:D参考答案:D下面哪一种拒绝服务攻击在网络上不常见?选项:A、服务过载B、对消息的洪水攻击C、连接阻塞D、信号接地B、禁止任何人从一张软盘拷贝可执行程序到另一张软盘C、不允许有任何从软件拷贝可执行程序到硬盘的企图D、禁止任何人从“外来的”软盘上执行任何程序参考答案:A能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是:选项:A、将每次访问记入个人信息(即:作日志)B、对敏感的交易事务使用单独的密码/口令的所有系统。
安装前,公司领导应IS审计师检查指纹识别系统时,发现一个控制漏洞---1个非授权用户可以更新保存指纹模板的中心数据库。
下面的哪一种控制能够根除这个风险?选项:A、KerberosB、活性检查C、多种生物特征并用D、生物特征数字化前后均作记录参考答案:AB、可靠性C、灵活性D、兼容性参考答案:A应急计划能应对下列哪一种威胁?选项:A、物理威胁和软件威胁B、软件威胁和环境威胁务连续性计划(BCP),但是没有:热站在何时作为恢复战略实施?选项:A、灾难的容忍程度低时B、恢复点目标(RPO)高时C、恢复时间目标(RTO)高时D、灾难的容忍程序高时参考答案:A关于灾难恢复计划多长时间测试一次,一直就有争论。