CISA中文模拟题
思科认证CCNA认证试题与答案中文版
思科认证CCNA认证试题与答案中文版思科认证CCXA认证试题与答案中文版21、一个B类网络,有5位掩码加入缺省掩码用来划分子网,每个子网最多()台主机(A)510(B)512(C)1022(D)2046答案:D22、在路由器中,能用以下命令察看路由器的路由表()(A)arp-a(B)traceroute(C)routeprint(D)displayiprouting-table答案:D23、DHCP客户端是使用地址()来中请一个新的IP地址的(A)0. 0. 0. 0(B)10. 0. 0. 1(0127. 0. 0. 1(D)255. 255. 255. 255答案:D注释:255. 255. 255. 255是全网广播,DHCP客户端发送全网广播来查找DHCP服务器.24、下而有关NAT叙述正确的是()(A)NAT是英文“地址转换”的缩写,又称地址翻译(B)XAT用来实现私有地址与公用网络地址之间的转换(C)当内部网络的主机访问外部网络的时候,一定不需要NAT(D)地址转换的提出为解决IP地址紧张的问题提供了一个有效途径答案:ABD25、以下属于正确的主机的IP地址的是()(A)224. 0. 0.5(B)127. 32. 5. 62(0202. 112.5.0(D) 162. 111. 111. Ill答案:D注释:这个题目不是太严谨,应该加上子网掩码.A:224. 0. 0. 5是多播地址B: 127. 0.0. 0保留作为测试使用C:网络地址26、设置主接口由up转down后延迟30秒切换到备份接口,主接口由down转up后60秒钟切换回主接口的配置为()(A)standbytimer3060(B)standbytimer6030(C)standbytimerenable-delay60disable-delay30(D)standbytimerenable-delay30disable-delay60答案:D27、在一个以太网中,30台pc通过QuidwayR2501路由器s0 口连接internet, QuidwayR2501路由器配置如下:[Quidway-EthernetO] ipaddressl92. 168. 1. 1255. 255. 255. 0[Quidway-EthernetO]quit[Quidway]interfacesO[Quidway-SerialOJ ipaddress211. 136. 3. 6255. 255. 255. 252[Quidway-Serial0」link-protocolppp一台PC机默认网关为192. 168. 2.1,路由器会怎样处理发自这台PC 的数据包?(A)路由器会认为发自这一台PC的数据包不在同一网段,不转发数据包(B)路由器会自动修正这一台PC机的IP地址,转发数据包(C)路由器丢弃数据包,这时候需要重启路由器,路由器自动修正误配(D)路由器丢弃数据包,不做任何处理,需要重配PC网关为192. 168. 1. 1答案:D注释:PC的'默认网关要指向路由器的以太网口的IP地址.28、ISDNB信道速率是()(A)16kbps(B)64kbps(C)144kbps(D)2048kbps答案:B参考知识点:综合数字业务网(ISDN)由数字电话和数据传输服务两部分组成,一般由电话局提供这种服务。
CISA学习(历年复习资料) 模拟题 2
目录第一部分:模拟题 (2)第二部分:模拟题答案 (19)第一部分:模拟题101.审计报告中包含实质性发现的最终结论应该由谁做出?A.审计委员会B.审计经理C.信息系统审计师D.组织的CEO102.在一次全球服务供应商的审计过程中,审计师发现这个公司为了便于全球客户报告以及跟踪他们的问题,已经配置了通过互联网访问服务台应用程序,客户可以在每个分支机构通过一个客户ID进行SSL连接,他们的访问权限仅限于创建和查询他们的服务请求,未要求定期的密码变更,并且合作伙伴提供的应用程序也不会进行安全检查。
审计师应提哪些建议?A.应要求定期的密码变更B.所有用户都应分配单独的IDC.没有变更是必须的,应用程序已足够安全D.应用程序应该脱离互联网103.信息系统审计师报告由于一些敏感表格都进行了审计记录,因此ERP的财务模块程序非常慢,供应商关闭了这些表格的审计记录功能,仅对成功和不成功的登录系统日志进行记录,这种情况最大的威胁是什么?A.可能无法保证财务数据的完整性B.可能无法保证系统日志的完整性C.无法记录访问关键数据的日志D.欺诈可能发生104.为了达到组织的灾难恢复标准,备份中断不能超过:A.服务水平目标B.恢复时间目标C.恢复点目标D.最大可接受供电中断105.在一个小型制造业企业,一个IT员工在做制造工作同时兼任程序开发员,针对以上情景请选择最优的降低风险的控制措施?A.限制访问,以防止员工访问生产环境B.通过雇佣新员工实现职责分离C.自动记录所有在生产环境中的变更D.对已经被批准执行过的程序变更进行核查106.一个审计师观察到,在供应商的建议下,IT部门为组织的生产系统更新了补丁,审计师应该最关注的是IT部门未考虑到:A.更新补丁后对用户的培训B.为生产系统打补丁的好处C.测试补丁的影响后才能打补丁D.最终用户对新补丁提供的建议107.以下哪项是有效的灾难恢复计划最关键的因素?A.数据的异地备份B.关键灾备恢复清单的更新C.数据备份中心的可用性D.清晰定义恢复时间目标(RTO)108.一个审计师正在审计一个使用敏捷软件开发方法的项目,以下哪项是审计师期望发现的?A.基于过程的成熟度模型的使用,如能力成熟度模型(CMM)B.基于时间表对于任务级别进展的监控C.软件开发工具的使用来最大化团队的生产率D.通过反复评审来识别未来项目可能用到的课程109.一个金融机构正在建立并将业务连续性措施文档化,以下哪项审计师会认为是一个问题?A.这家机构使用了最佳实践指南代替了行业标准并且得到外部顾问的帮助以确保方法论的充分性B.业务连续性能力包括了一些精心挑选的比较合理的可能发生的应急场景C.RTO没有考虑IT灾难恢复的限制,如恢复期间人员和系统的相关性D.机构打算租用一个临时应急场所,但该场所仅可提供正常员工一半数量的占用空间110.审计师正在为客户制定审计计划,他看了去年的审计计划发现该计划用于去年着重检查公司网络和邮件系统,但计划未包括电子商务服务器,公司IT 经理暗示今年公司审计重点应是一个新上线的ERP系统,审计师该如何做?A.按IT经理要求审计新的ERP系统B.这次应审计去年未审计电子商务服务器C.在对高风险系统进行评估的基础上制定审计计划D.两个系统都审计111.为了优化组织的业务连续性计划,审计师建议进行业务影响性分析是为了决定:A.对组织产生最大经济价值的业务流程,应该首先恢复B.恢复的优先级和顺序来确保与组织业务目标的一致性C.从灾难中恢复的业务流程必须确保组织的生存D.在最短时间恢复最多系统的优先级和顺序112.恢复策略的选择最可能依靠:A.设备和系统的恢复成本B.恢复场地的可用性C.业务流程的关键性D.事件响应流程113.审计师在审核组织的数据库安全时,以下哪项是关于数据库加固最应关注的方面?A.默认配置被修订B.所有数据库中的表格被统一化C.存储的步骤和触发器被加密D.数据库服务器端口被变更114.在审核入侵检测日志时,审计师注意到来自互联网的流量,流量显示这些IP 地址好像来自公司内部薪资服务器,以下哪种危险行为可能导致这种情况?A.DOS攻击B.欺骗C.端口扫描D.中间人攻击115.审计师在审核健康组织在两种应用环境下的开发过程—生产和测试。
2010 CISA中文模拟题(1-100)
题号:33 在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机 操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种 兼职的潜在风险? 选项: A、自动记录开发(程序/文档)库的变更 B、增员,避免兼职 C、建立适当的流程/程序,以验证只能实施经过批准的变更,避免非 授权的操作 D、建立阻止计算机操作员更改程序的访问控制 题号:34 一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人 员最有可能集中检查: 选项: A、BPR实施前的处理流程图 B、BPR实施后的处理流程图 C、BPR项目计划 D、持续改进和监控计划 题号:35 某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接 在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机 构的定单都被接收和处理的最适当的控制是: 选项: A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据 D、在生产机构对销售定单的编号顺序进行追踪和计算 题号:36 以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中? 选项: A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限 题号:37 IS战略规划应包含: 选项: A、制定的硬件采购规格说明 B、未来业务目标的分析 C、项目开发的(启动和结束)日期 D、IS部门的年度预算(目标) 题号:38 达到评价IT风险的目标最好是通过 选项: A、评估与当前IT资产和IT项目相关的威胁 B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的IT控制薄弱点
答案
题号:8 实施防火墙最容易发生的错误是: 选项: A、访问列表配置不准确 B、社会工程学会危及口令的安全 C、把modem连至网络中的计算机 D、不能充分保护网络和服务器使其免遭病毒侵袭 题号:9 为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查: 选项: A、业务软件 B、系统平台工具 C、应用服务 D、系统开发工具 题号:10 数据库规格化的主要好处是: 选项: A、在满足用户需求的前提下,最大程度地减小表内信息的冗余 (即:重复) B、满足更多查询的能力 C、由多张表实现,最大程度的数据库完整性 D、通过更快地信息处理,减小反应时间 题号:11 以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为 电子格式? 选项: A、磁墨字符识别(MICR) B、智能语音识别(IVR) C、条形码识别(BCR) D、光学字符识别(OCR) 题号:12 代码签名的目的是确保: 选项: A、软件没有被后续修改 B、应用程序可以与其他已签名的应用安全地对接使用 C、应用(程序)的签名人是受到信任的 D、签名人的私钥还没有被泄露 题号:13 检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确 定: 选项: A、是否口令经常修改 B、客户/服务器应用的框架 C、网络框架和设计 题号:14 企业正在与厂商谈判服务水平协议(SLA),首要的工作是: 选项: A、实施可行性研究 B、核实与公司政策的符合性 C、起草其中的罚则 D、起草服务水平要求
cisa模拟题题150道
C. 未验证客户身分即进入交易接口
D. 密码没有加密
8. 下列哪项是应负帐款系统最大的保证
A. 业务流程已经做了明确的职能分工
B. 每位会记同仁的交易作业都会被确实纪录
C. 每位会记同仁的作业时,作业账号皆会被计入内文表头
D. 密码没有共享
9. RSA的主要缺点
A. 公钥容易被破解
B. 重要设备有清楚的标示
C. 硬设备的替代性
D. 位于一段很远的距离
36. 稽核人员于CSA的角色
A. 问题辨识人员
B. 引导顺利进行的人员
C. 促进人员
D. 监督人员
37. 处理能力指标(Throughput Index)是指
A. 系统很忙的时间占全系统运作时间的比例
B. 系统故障时间的比例
B. 私钥容易被破解
C. 容易被反运算
D. 容易被解译成明文
10. 使用镜射的主要原因
A. 可以取消异地备份
B. 可以增加数据可用性
C. 因为需要定期异地备分数据
D. 因为可以加速反应时间
11. 一个电子商务公司有庞大的客户主档,及很小的交易纪录,因此用每月完全备份、每日增量备份,因为
B. 接种疫苗
C. 防火墙
D. 防毒软件
21. 双方公司互不认识下,第一次如何建立公钥体系的真实性
A. 使用自己的公钥直接传予对方,此公钥是经过认证中心认证
B. 派自己的IT人员,去对方的公司传送对方的公钥回公司
C. 用一事先约定的口令加密公钥,再传输予对方
D. 传输前先以电话连络,再传输
22. 常常断电,每次断电就8小时以上的公司,应使用下列何种设备
CISA学习(历年复习资料) 模拟题 3
目录第一部分:模拟题 (2)第二部分模拟题答案 (17)第一部分:模拟题1.证明数字签名有效的最佳方式是?A.核实发送者的公钥证书来自可信任的CAB.使用来自CA的哈希算法来检测消息是否被篡改过C.通过对哈希值的手工对比来验证数字签名D.获得发送者的公钥,并且验证数字签名2.业务影响分析(BIA)最主要的目的是?A.定义恢复战略B.识别备份站点C.改进恢复测试D.计算年度损耗预测(ALE)3.决定企业IT风险偏好的最佳角色是?A.首席法务官B.安全经理C.审计委员会D.指导委员会4.下面哪一个加密机制运行在OSI模型的应用层上?A.安全套接层(SSL)B.IPSecC.SSHD.安全/超文本传输协议(S/HTTP)5.企业正在制定数据库软件升级的策略。
IS审计师能够采取下面哪一项任务而不损害IS审计职能的客观性?A.建议对新的数据库软件采用应用控制措施B.向项目组提供将来许可证费用的估算C.建议项目的计划可改进迁移的效率D.在测试实施前审查用于验收测试用例文档6.当下载软件时,哈希值可能会提供给:A.确保软件来自可信的源B.作为提供售后服务的参考指标C.确保软件没有被修改过D.作为付款的依据7.在下列控制措施中,防止不适当地访问业务应用系统中的私人敏感信息的最佳方法是什么?A.双因素认证访问控制B.授权信息的加密C.基于角色的访问控制(RBAC)D.有效的职责分离(SoD)8.单点登录(SSO)服务作为一个合适的鉴别系统用来鉴别网络上的用户。
IS审计师已经记录了用户可以拥有多个ID,并且身份鉴别系统与人力资源(HR)系统没有进行强制链接。
IS审计师最应关注以下哪一项?A.用户ID用于不同的应用系统B.丧失用户ID的唯一性C.分配给用户多个系统账号D.ID没有使用统一的命名标准9.下面哪一项是保护电源断电的最好措施?A.电源转换系统B.双路供电线路C.发电机D.不间断电源10.下面哪项是使得整体程序编码变得高校并且可靠的最佳方式?A.结构化编程B.微程序设计C.面向对象编程D.线性规划11.一个关键的IT系统开发人员突然从企业辞职。
CISA模拟考试题.docx
试卷名称:Cisa模拟考试(200&屮文)出卷人:系统管理员试卷总分:600通过分数:450题号:1题型:单选题本题分数:・5内容:某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯, 而微机只支持异步ASCII字符数据通讯。
为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能?选项:A、缓冲器容量和并行端口B、网络控制器和缓冲器容量C、并行端口和协议转换D、协议转换和缓冲器容量标准答案:D考生答案:本题得分:.5题号:2题型:单选题本题分数:.5内容:WEB服务器的逆向代理技术用于如下哪一种情况下?选项:A、H TTP服务器的地址必须隐藏B、需要加速访问所有发布的页血C、为容错而要求缓存技术D、限制用户(指操作员的带宽)标准答案:A考生答案:本题得分:0题号:3题型:单选题本题分数:.5内容:以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式?选项:A、磁墨字符识别(MICR)B、智能语音识别(IVR)C、条形码识别(BCR)D、光学字符识别(OCR)标准答案:D考生答案:本题得分:0题号:4题型:单选题本题分数:.5内容:能力计划流程的关键目标是确保:选项:A、可用资源的完全使用B、将新资源及时添加到新的应用系统中C、可用资源的充分和有效的利用D、资源的利用率不低于85%标准答案:C考生答案:本题得分:0题号:5题型:单选题本题分数:・5内容:在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助?选项:A、系统故障时间日志B、供应商的可靠性描述C、预定的定期维护日志D、书面的预防性维护计划表标准答案:A考生答案:本题得分:0题号:6题型:单选题本题分数:.5内容:下面哪一句涉及包交换网络的描述是正确的?选项:A、目的地相同的包穿过网络的路径(或称为:路径)相同B、密码/口令不能内置于数据包里C、包的长度不是固定的,但是每个包内容纳的信息数据是一样的D、数据包的传输成本収决于将传输的数据包本身,与传输距离和传输路径无关标准答案:D考生答案:本题得分:0题号:7题型:单选题本题分数:.5内容:分布式环境屮,服务器失效带来的影响最小的是:选项:A、冗余路由B、集群C、备用电话线D、备用电源标准答案:B考生答案:本题得分:0题号:8题型:单选题本题分数:.5内容:大学的IT部门和财务部(FSO, financial services office)之间签有服务水平协议(SLA), 要求每个月系统可用性超过98%o财务部后来分析系统的可用性,发现平均每个月的可用性确实超过98%,但是月末结账期的系统可用性只有93%o那么,财务部应该采取的最佳行动是:选项:A、就协议内容和价格重新谈判B、通知IT部门协议规定的标准没有达到C、增购计算机设备等(资源)D、将月底结账处理顺延标准答案:A考生答案:本题得分:0题号:9题型:单选题本题分数:.5内容:在审查LAN的实施时IS审计人员应首先检查:选项:A、节点列表B、验收测试报告C、网络结构图D、用户列表标准答案:C考生答案:本题得分:0题号:10题型:单选题本题分数:.5内容:数据库规格化的主要好处是:选项:A、在满足用户需求的前提下,最大程度地减小表内信息的兀余(即:重复)B、满足更多查询的能力C、由多张表实现,最大程度的数据库完整性D、通过更快地信息处理,减小反应时间标進答案:A考生答案:本题得分:0题号:11题型:单选题本题分数:.5内容:在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。
CISA学习(历年复习资料) 模拟题 2
目录第一部分:模拟题 (2)第二部分:模拟题答案 (19)第一部分:模拟题101.审计报告中包含实质性发现的最终结论应该由谁做出?A.审计委员会B.审计经理C.信息系统审计师D.组织的CEO102.在一次全球服务供应商的审计过程中,审计师发现这个公司为了便于全球客户报告以及跟踪他们的问题,已经配置了通过互联网访问服务台应用程序,客户可以在每个分支机构通过一个客户ID进行SSL连接,他们的访问权限仅限于创建和查询他们的服务请求,未要求定期的密码变更,并且合作伙伴提供的应用程序也不会进行安全检查。
审计师应提哪些建议?A.应要求定期的密码变更B.所有用户都应分配单独的IDC.没有变更是必须的,应用程序已足够安全D.应用程序应该脱离互联网103.信息系统审计师报告由于一些敏感表格都进行了审计记录,因此ERP的财务模块程序非常慢,供应商关闭了这些表格的审计记录功能,仅对成功和不成功的登录系统日志进行记录,这种情况最大的威胁是什么?A.可能无法保证财务数据的完整性B.可能无法保证系统日志的完整性C.无法记录访问关键数据的日志D.欺诈可能发生104.为了达到组织的灾难恢复标准,备份中断不能超过:A.服务水平目标B.恢复时间目标C.恢复点目标D.最大可接受供电中断105.在一个小型制造业企业,一个IT员工在做制造工作同时兼任程序开发员,针对以上情景请选择最优的降低风险的控制措施?A.限制访问,以防止员工访问生产环境B.通过雇佣新员工实现职责分离C.自动记录所有在生产环境中的变更D.对已经被批准执行过的程序变更进行核查106.一个审计师观察到,在供应商的建议下,IT部门为组织的生产系统更新了补丁,审计师应该最关注的是IT部门未考虑到:A.更新补丁后对用户的培训B.为生产系统打补丁的好处C.测试补丁的影响后才能打补丁D.最终用户对新补丁提供的建议107.以下哪项是有效的灾难恢复计划最关键的因素?A.数据的异地备份B.关键灾备恢复清单的更新C.数据备份中心的可用性D.清晰定义恢复时间目标(RTO)108.一个审计师正在审计一个使用敏捷软件开发方法的项目,以下哪项是审计师期望发现的?A.基于过程的成熟度模型的使用,如能力成熟度模型(CMM)B.基于时间表对于任务级别进展的监控C.软件开发工具的使用来最大化团队的生产率D.通过反复评审来识别未来项目可能用到的课程109.一个金融机构正在建立并将业务连续性措施文档化,以下哪项审计师会认为是一个问题?A.这家机构使用了最佳实践指南代替了行业标准并且得到外部顾问的帮助以确保方法论的充分性B.业务连续性能力包括了一些精心挑选的比较合理的可能发生的应急场景C.RTO没有考虑IT灾难恢复的限制,如恢复期间人员和系统的相关性D.机构打算租用一个临时应急场所,但该场所仅可提供正常员工一半数量的占用空间110.审计师正在为客户制定审计计划,他看了去年的审计计划发现该计划用于去年着重检查公司网络和邮件系统,但计划未包括电子商务服务器,公司IT 经理暗示今年公司审计重点应是一个新上线的ERP系统,审计师该如何做?A.按IT经理要求审计新的ERP系统B.这次应审计去年未审计电子商务服务器C.在对高风险系统进行评估的基础上制定审计计划D.两个系统都审计111.为了优化组织的业务连续性计划,审计师建议进行业务影响性分析是为了决定:A.对组织产生最大经济价值的业务流程,应该首先恢复B.恢复的优先级和顺序来确保与组织业务目标的一致性C.从灾难中恢复的业务流程必须确保组织的生存D.在最短时间恢复最多系统的优先级和顺序112.恢复策略的选择最可能依靠:A.设备和系统的恢复成本B.恢复场地的可用性C.业务流程的关键性D.事件响应流程113.审计师在审核组织的数据库安全时,以下哪项是关于数据库加固最应关注的方面?A.默认配置被修订B.所有数据库中的表格被统一化C.存储的步骤和触发器被加密D.数据库服务器端口被变更114.在审核入侵检测日志时,审计师注意到来自互联网的流量,流量显示这些IP 地址好像来自公司内部薪资服务器,以下哪种危险行为可能导致这种情况?A.DOS攻击B.欺骗C.端口扫描D.中间人攻击115.审计师在审核健康组织在两种应用环境下的开发过程—生产和测试。
CISA模拟考试100题无解析
D. 特洛伊木马 答案:C
13. 对加密算法最常见的攻击方式是: A. 唯密文破解 B. 暴力破解 C. 已知明文破解 D. 选择明文破解 答案:A
14. 以下哪一项安全特性和机制是由结构化查询语言(SQL)标准所规定的? A. 识别和验证 B. 事务管理 C. 审计 D. 容错 答案:B
15. 控制对网络的访问是由以下哪一项高层系统服务机制提供的? A. 访问控制列表和访问特权 B. 识别和验证 C. 认证和鉴定 D. 鉴定和保证 答案:B
34. 按照从强到弱的顺序,对以下抗重放攻击的验证机制进行排序。 A. 仅使用口令、口令和 PIN、挑战-响应、一次性口令 B. 口令和 PIN、挑战-响应、一次性口令、仅使用口令 C. 挑战-响应、一次性口令、口令和 PIN、仅使用口令 D. 挑战-响应、口令和 PIN、一次性口令、仅使用口令 答案:C
59. 以下关于防火墙的描述哪一项不正确? A.防火墙能够执行安全策略 B.防火墙能够产生审计日志 C.防火墙能够阻止组织安全状况的暴露 D.防火墙能够防病毒 答案:D
60. 以下哪些问题是最严重的,以至于能够导致一个组织完全不能保证其关键数 据或系统的机密性、完整性和可用性? A.缺少审计轨迹和安全报告 B.缺少安全监控措施,并且缺乏有效的安全管理规划 C.缺少访问控制措施,灾难恢复计划不充分 D.缺少入侵检测,没有警报器和警卫 答案:C
C. 两种签名都在特定文件与签名人之间建立联系 D. 两种签名均可能在蒙受欺骗和受到强迫的情况下签署 答案:B
5. 建立在信任基础上,并且难以预防的最大风险是: A. 授权访问的正当使用 B. 授权访问的误用 C. 失败的非授权访问 D. 成功的非授权访问 答案:B
6. 对任何计算机系统而言,最大的威胁来自: A. 未经培训或粗心的用户 B. 供应商和承包商 C. 电脑黑客 D. 员工 答案:D
cisa模拟题第一章
17 初步调查之后,审计员发现有理由相信欺骗的存在。IS 审计员应该: A.展开行动确定调查是否合理 B.将事情报告至审计委员会 C.将欺骗可能性报告给高层,高层管理询问是否继续 D.咨询外部法律顾问以决定采取什么及如何行动
10 在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。该审计 师应该: A.生成该程序的文档 B.中止审计 C.进行符合性测试 D.识别并评估目前状况下的组织活动
11 信息系统审计师在对软件使用及许可方面进行审计时发现,大量的PC设备中含有非授权 的软件。信息系统审计师随即应该采取以下哪个行动? A.删除非授权软件的所有拷贝 B.通知被审计机构有关非授权软件的情况,并进行跟踪确保软件的删除 C.向被审计机构管理层报告使用非授权软件的情况,以及告知管理层有必要防止该情况 的再次发生 D.警告终端用户有关使用非法软件的风险
5
管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可 用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是? A.由于审计没有按照标准执行而造成声誉损失 B.审计报告不能识别和分类关键风险 C.客户管理者会质疑其结果 D.审计报告可能不会被审计经理所批准
6
在审计风险管理程序中,下面那一项职责最有可能损害审计师的独立性? A.参加风险管理框架的设计 B.为不同的实施方法提供建议 C.协助风险意识的培训 D.对风险管理程序进行尽职调查
12 审计章程应该是: A.动态且经常变更,与技术和审计专业的变化本质保持同步和一致 B.清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责 C.为了取得计划的审计目标而制定的审计程序的文件 D.对审计工作的整体授权、范围、职责的描述
CISA考题-700题-中文-汇总
中文
所属章节
属性
说明:所收集数据的广度与审计的目标和范围直接相关,目标 与范围较窄的审计所收集的数据很可能比目标与范围较宽的审 计要少。审计范围不应该受信息获取的容易程度或者审计师对 审计领域的熟悉程度限制。收集所需的所有证据是审计的必要 要素,审计范围也不应受限于被审计对象找到相关证据的能力 。
属性
B 、 T h e s e n d e r d i g i t a l l B、发送者对消息进行数字签名然后用发送者的私钥加密消息 y 散列(hash) s i g n i n g t h e m e s s a g e a
5
C
第 9 页,共 3512 页
英文
中文
所属章节
属性
C 、 E n c r y p t i n g t h e h a s h C、用发送者的私钥加密消息散列(hash),然后用接收者的公 o 钥加密消息。 f t h e m e s s a g e w i t h t h e
英文
N O T E : P e r f o r m i n g t a b l e l i n k / r e f e r e n c e c h e c
中文
所属章节
属性
说明:进行表链接/引用检查可以发现表链接的错误(例如数 据库内容的准确和完整),从而对数据完整性提供最大的保证 。审计日志程序是用于记录已鉴定的所有事件和对事件进行跟 踪。但是他们只针对事件,并没有确保数据库内容的完整和准 确。查询/监控数据表访问时间有助于设计者提升数据库性 能,而不是完整性。回滚与前滚数据库特征保证了异常中断的 恢复。它只能确保在异常发生时,正在运行的事务的完整性, 而不能提供数据库内容的完整性保证。
CISA中文模拟题
1)以下哪一项属于所有指令均能被执行的操作系统模式?A、问题B、中断C、监控D、标准处理标准答案:B分析:系统指令用于处理系统级功能,如加载系统寄存器、管理中断等。
大多数系统指令只能由处于特权级0的操作系统软件执行,其余一些指令可以在任何特权级上执行,因此应用程序也能使用。
表4-2中列出了我们将用到的一些系统指令。
其中还指出了它们是否受到保护。
2)企业将其技术支持职能(help desk)外包出去,下面的哪一项指标纳入外包服务等级协议(SLA)是最恰当的?A、要支持用户数B、首次请求技术支持,即解决的(事件)百分比C、请求技术支持的总人次D、电话回应的次数标准答案:B分析:因为服务台的主要指标是首次解决率。
3)IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本,那么,IS审计师应该建议:A、检查源程序文档的保存情况B、检查数据文件的安全状况C、实施版本使用控制D、进行一对一的核查标准答案:C分析:出现了版本不一致的情况,实施版本使用控制。
4)将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制5)审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性?A、系统工具B、应用程序生成器C、系统安全文档D、访问存储流程标准答案:A6)测试程序变更管理流程时,IS审计师使用的最有效的方法是:A、由系统生成的信息跟踪到变更管理文档B、检查变更管理文档中涉及的证据的精确性和正确性C、由变更管理文档跟踪到生成审计轨迹的系统D、检查变更管理文档中涉及的证据的完整性标准答案:A7)分布式环境中,服务器失效带来的影响最小的是:A、冗余路由B、集群C、备用电话线D、备用电源标准答案:B8)实施防火墙最容易发生的错误是:A、访问列表配置不准确B、社会工程学会危及口令的安全C、把modem连至网络中的计算机D、不能充分保护网络和服务器使其免遭病毒侵袭标准答案:A9)为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查:A、业务软件B、系统平台工具D、系统开发工具标准答案:C10)数据库规格化的主要好处是:A、在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复)B、满足更多查询的能力C、由多张表实现,最大程度的数据库完整性D、通过更快地信息处理,减小反应时间标准答案:A11)以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式?A、磁墨字符识别(MICR)B、智能语音识别(IVR)C、条形码识别(BCR)D、光学字符识别(OCR)标准答案:D12)代码签名的目的是确保:A、软件没有被后续修改B、应用程序可以与其他已签名的应用安全地对接使用C、应用(程序)的签名人是受到信任的D、签名人的私钥还没有被泄露标准答案:A13)检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定:A、是否口令经常修改B、客户/服务器应用的框架C、网络框架和设计D、防火墙保护和代理服务器标准答案:C14)企业正在与厂商谈判服务水平协议(SLA),首要的工作是:A、实施可行性研究B、核实与公司政策的符合性C、起草其中的罚则D、起草服务水平要求标准答案:D15)电子商务环境中降低通讯故障的最佳方式是:A、使用压缩软件来缩短通讯传输耗时B、使用功能或消息确认(机制)C、利用包过滤防火墙,重新路由消息D、租用异步传输模式(ATM)线路标准答案:D16)以下哪一项措施可最有效地支持24/7可用性?A、日常备份B、异地存储C、镜像D、定期测试标准答案:C17)某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?A、建立一个与供应商相联的内部客户机用及服务器网络以提升效率B、将其外包给一家专业的自动化支付和账务收发处理公司C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统D、重组现有流程并重新设计现有系统标准答案:C18)以下哪一项是图像处理的弱点?A、验证签名B、改善服务C、相对较贵D、减少处理导致的变形标准答案:C19)某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯,而微机只支持异步ASCII字符数据通讯。
CISA中文模拟题465题
Chapter 11.下列哪些形式的审计证据就被视为最可靠?❑口头声明的审计❑由审计人员进行测试的结果❑组织内部产生的计算机财务报告❑从外界收到的确认来信2.当程序变化是,从下列哪种总体种抽样效果最好?❑测试库清单❑源代码清单❑程序变更要求❑产品库列表3.在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:❑系统程序员.❑法律人员❑业务部门经理❑应用程序员.4.进行符合性测试的时候,下面哪一种抽样方法最有效?❑属性抽样❑变数抽样❑平均单位分层抽样❑差别估算5.当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:❑当数据流通过系统时,其作用的控制点。
❑只和预防控制和检查控制有关.❑纠正控制只能算是补偿.❑分类有助于审计人员确定哪种控制失效6.审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。
下列哪些工具最适合从事这项工作?❑计算机辅助开发工具(case tool)❑嵌入式(embedded)资料收集工具❑启发扫描工具(heuristic scanning tools)❑趋势/变化检测工具7.在应用程序开发项目的系统设计时间,审计人员的主要作用是:❑建议具体而详细的控制程序❑保证设计准确地反映了需求❑确保在开始设计的时候包括了所有必要的控制❑开发经理严格遵守开发排程8.下面哪一个目标控制自我评估(CSA)计划的目标?❑关注高风险领域❑替换审计责任❑完成控制问卷❑促进合作研讨会Collaborative facilitative workshops9.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证:❑充分保护信息资产❑根据资产价值进行基本水平的保护❑对于信息资产进行合理水平的保护❑根据所有要保护的信息资产分配相应的资源10.审计轨迹的主要目的是:❑改善用户响应时间❑确定交易过程的责任和权利❑提高系统的运行效率❑为审计人员追踪交易提供有用的数据11.在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响:❑可以使用的CAATs❑管理层的陈述❑组织结构和岗位职责.❑存在内部控制和运行控制12.对于组织成员使用控制自我评估(CSA)技术的主要好处是:❑可以确定高风险领域,以便以后进行详细的审查❑使审计人员可以独立评估风险❑可以作来取代传统的审计❑使管理层可以放弃relinquish对控制的责任13.下列哪一种在线审计技术对于尽早发现错误或异常最有效?❑嵌入审计模块❑综合测试设备Integrated test facility❑快照sanpshots❑审计钩Audit hooks14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法?❑对于链接库控制进行实质性测试❑对于链接库控制进行复合性测试❑对于程序编译控制的符合性测试❑对于程序编译控制的实质性测试15.在实施连续监控系统时,信息系统审计师第一步时确定:❑合理的开始(thresholds)指标值❑组织的高风险领域❑输出文件的位置和格式❑最有最高回报潜力的应用程序16.审计计划阶段,最重要的一步是确定:❑高风险领域❑审计人员的技能❑审计测试步骤❑审计时间17.审计师被对一个应用系统进行实施后审计。
CISA中文模拟题
题号:1题型:单选题本题分数:.5内容:以下哪一项属于所有指令均能被执行的操作系统模式?选项:A、问题B、中断C、监控D、标准处理标准答案:B本题得分:0题号:2 题型:单选题本题分数:.5内容:企业将其技术支持职能(help desk)外包出去,下面的哪一项指标纳入外包服务等级协议(SLA)是最恰当的?选项:A、要支持用户数B、首次请求技术支持,即解决的(事件)百分比C、请求技术支持的总人次D、电话回应的次数标准答案:B本题得分:0题号:3题型:单选题本题分数:.5内容:IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本,那么,IS审计师应该建议:选项:A、检查源程序文档的保存情况B、检查数据文件的安全状况C、实施版本使用控制D、进行一对一的核查标准答案:C本题得分:0题号:4 题型:单选题本题分数:.5内容:将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?选项:A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制标准答案:B本题得分:0题号:5题型:单选题本题分数:.5内容:审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性? 选项:A、系统工具B、应用程序生成器C、系统安全文档D、访问存储流程标准答案:A本题得分:0题号:6题型:单选题本题分数:.5内容:测试程序变更管理流程时,IS审计师使用的最有效的方法是:选项:A、由系统生成的信息跟踪到变更管理文档B、检查变更管理文档中涉及的证据的精确性和正确性C、由变更管理文档跟踪到生成审计轨迹的系统D、检查变更管理文档中涉及的证据的完整性标准答案:A本题得分:0题号:7 题型:单选题本题分数:.5内容:分布式环境中,服务器失效带来的影响最小的是:选项:A、冗余路由B、集群C、备用电话线D、备用电源标准答案:B本题得分:0题号:8题型:单选题本题分数:.5内容:实施防火墙最容易发生的错误是:选项:A、访问列表配置不准确。
CISA学习(历年复习资料)模拟题3
CISA学习(历年复习资料)模拟题3目录第一部分:模拟题 (2)第二部分模拟题答案 (17)第一部分:模拟题1.证明数字签名有效的最佳方式是?A.核实发送者的公钥证书来自可信任的CAB.使用来自CA的哈希算法来检测消息是否被篡改过C.通过对哈希值的手工对比来验证数字签名D.获得发送者的公钥,并且验证数字签名2.业务影响分析(BIA)最主要的目的是?A.定义恢复战略B.识别备份站点C.改进恢复测试D.计算年度损耗预测(ALE)3.决定企业IT风险偏好的最佳角色是?A.首席法务官B.安全经理C.审计委员会D.指导委员会4.下面哪一个加密机制运行在OSI模型的应用层上?A.安全套接层(SSL)B.IPSecC.SSHD.安全/超文本传输协议(S/HTTP)5.企业正在制定数据库软件升级的策略。
IS审计师能够采取下面哪一项任务而不损害IS审计职能的客观性?A.建议对新的数据库软件采用应用控制措施B.向项目组提供将来许可证费用的估算C.建议项目的计划可改进迁移的效率D.在测试实施前审查用于验收测试用例文档6.当下载软件时,哈希值可能会提供给:A.确保软件来自可信的源B.作为提供售后服务的参考指标C.确保软件没有被修改过D.作为付款的依据7.在下列控制措施中,防止不适当地访问业务应用系统中的私人敏感信息的最佳方法是什么?A.双因素认证访问控制B.授权信息的加密C.基于角色的访问控制(RBAC)D.有效的职责分离(SoD)8.单点登录(SSO)服务作为一个合适的鉴别系统用来鉴别网络上的用户。
IS审计师已经记录了用户可以拥有多个ID,并且身份鉴别系统与人力资源(HR)系统没有进行强制链接。
IS审计师最应关注以下哪一项?A.用户ID用于不同的应用系统B.丧失用户ID的唯一性C.分配给用户多个系统账号D.ID没有使用统一的命名标准9.下面哪一项是保护电源断电的最好措施?A.电源转换系统B.双路供电线路C.发电机D.不间断电源10.下面哪项是使得整体程序编码变得高校并且可靠的最佳方式?A.结构化编程B.微程序设计C.面向对象编程D.线性规划11.一个关键的IT系统开发人员突然从企业辞职。
CISA考题-700题-中文-汇总
中文
所属章节
属性
A 、 E n c r y p t i n g t h e h a s h A、用发送者的私钥加密消息散列(hash),然后用接收者的公 o 钥加密消息散列(hash) f t h e m e s s a g e w i t h t h e
5
C
第 8 页,共 3512 页
英文
中文
所属章节
4
C
4
A
第 25 页,共 3512 页
英文
N O T E : O p e n s y s t e m s a r e t h o s e f o r w h i c h s u p p l i
中文
所属章节
属性
说明:开放式系统是指供应商提供组件,组件接口基于公共标 准定义,从而使不同厂商间系统互用性更容易实现。相反的, 封闭式系统组件是基于私人标准开发,因此其他供应商的系统 将无法与现有系统连接。
英文
N O T E : P e r f o r m i n g t a b l e l i n k / r e f e r e n c e c h e c
中文
所属章节
属性
说明:进行表链接/引用检查可以发现表链接的错误(例如数 据库内容的准确和完整),从而对数据完整性提供最大的保证 。审计日志程序是用于记录已鉴定的所有事件和对事件进行跟 踪。但是他们只针对事件,并没有确保数据库内容的完整和准 确。查询/监控数据表访问时间有助于设计者提升数据库性 能,而不是完整性。回滚与前滚数据库特征保证了异常中断的 恢复。它只能确保在异常发生时,正在运行的事务的完整性, 而不能提供数据库内容的完整性保证。
1
N
第 6 页,共 3512 页
【免费下载】CISA 中文习题
4 进行符合性测试的时候,下面哪一种抽样方法最有效? 属性抽样 变量抽样 平均单位分层抽样 差别估算
5 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道: 当数据流通过系统时,其作用的控制点。 只和预防控制和检查控制有关. 纠正控制只能算是补偿. 分类有助于审计人员确定哪种控制失效
Chapter 2 IT 治理 IT 战略,政策,标准和程序对组织的意义,及其基本要素 IT 治理框架 制定实施和恢复 IT 战略政策标准和程序的流程 质量管理战略和政策 与 IT 使用和管理相关的组织结构,角色和职责 公认的国际 IT 标准和准则 制定长期战略方向的企业所需的 IT 体系及其内容 风险管理方法和工具 控制框架(cobit)的使用 成熟度和流程改进模型 签约战略,程序和合同管理实务 IT 绩效的监督和报告实务 有关的法律规章问题(保密,隐私,知识产权) IT 人力资源管理 资源投资和配置实务
对全部高中资料试卷电气设备,在安装过程中以及安装结束后进行高中资料试卷调整试验;通电检查所有设备高中资料电试力卷保相护互装作置用调与试相技互术关,系电,力根通保据过护生管高产线中工敷资艺设料高技试中术卷资,配料不置试仅技卷可术要以是求解指,决机对吊组电顶在气层进设配行备置继进不电行规保空范护载高与中带资负料荷试下卷高问总中题体资,配料而置试且时卷可,调保需控障要试各在验类最;管大对路限设习度备题内进到来行位确调。保整在机使管组其路高在敷中正设资常过料工程试况中卷下,安与要全过加,度强并工看且作护尽下关可都于能可管地以路缩正高小常中故工资障作料高;试中对卷资于连料继接试电管卷保口破护处坏进理范行高围整中,核资或对料者定试对值卷某,弯些审扁异核度常与固高校定中对盒资图位料纸置试,.卷保编工护写况层复进防杂行腐设自跨备动接与处地装理线置,弯高尤曲中其半资要径料避标试免高卷错等调误,试高要方中求案资技,料术编试交写5、卷底重电保。要气护管设设装线备备置敷4高、调动设中电试作技资气高,术料课中并3中试、件资且包卷管中料拒含试路调试绝线验敷试卷动槽方设技作、案技术,管以术来架及避等系免多统不项启必方动要式方高,案中为;资解对料决整试高套卷中启突语动然文过停电程机气中。课高因件中此中资,管料电壁试力薄卷高、电中接气资口设料不备试严进卷等行保问调护题试装,工置合作调理并试利且技用进术管行,线过要敷关求设运电技行力术高保。中护线资装缆料置敷试做设卷到原技准则术确:指灵在导活分。。线对对盒于于处调差,试动当过保不程护同中装电高置压中高回资中路料资交试料叉卷试时技卷,术调应问试采题技用,术金作是属为指隔调发板试电进人机行员一隔,变开需压处要器理在组;事在同前发一掌生线握内槽图部内 纸故,资障强料时电、,回设需路备要须制进同造行时厂外切家部断出电习具源题高高电中中源资资,料料线试试缆卷卷敷试切设验除完报从毕告而,与采要相用进关高行技中检术资查资料和料试检,卷测并主处且要理了保。解护现装场置设。备高中资料试卷布置情况与有关高中资料试卷电气系统接线等情况,然后根据规范与规程规定,制定设备调试高中资料试卷方案。
CISA学习历年复习资料模拟题
目录第一部分:模拟题 (2)第二部分模拟题答案 (20)第一部分:模拟题1.当审计一个具有全球业务企业的灾难恢复计划时,审计师观察到一个远程办公室的IT资源非常有限,以下哪项最应引起IS审计师的关注?A.未进行演练,以确保发生灾难事件时,本地资源能从灾难事件中恢复业务得以运转的安全和质量标准B.企业的业务连续性计划没有准确的记录系统在远程办公室存在C.公司的安全措施未纳入到测试计划中D.未进行数据恢复性测试,以确保远程办公室的备份磁带的可用性2.在医院,医务人员携带的掌上电脑中含有病人的健康信息,这些掌上电脑可通过与个人电脑进行数据同步而从医院数据库传输数据,以下哪项是最重要的?A.掌上电脑妥善保管,以防止盗窃或丢失的情况下敏感数据丢失B.员工应被授权维护个人电脑,在使用后删除本地电脑中的临时文件C.通过政策或程序来确保同步的及时性D.医院有政策允许使用掌上电脑3.下列哪个物理访问控制有效地降低了尾随的风险?A.生物门锁B.组合门锁C.双道门D.抽尊门锁建议改为插销门锁4. 一个组织的信息系统审计章程应当规定:A.审计业务的短期和长期计划B.审计业务的目标和范围C.为审计人员制定详细的培训计划D.信息系统审计师的职能5.信息系统审计师正在评估该组织变更管理过程的有效性,信息系统系统应该寻找哪个最重要的控制,以确保系统的可用性?A.在任何时候的变更均已经过IT经理的授权建议改为已经过IT经理的授权的变更B.执行用户验收测试,并被妥善记录建议改为文档化C.已按制定的测试计划和测试程序进行了测试D.容量计划已作为软件开发项目的一部分被执行6.如何侦测针对组织IT系统的网络攻击,如何从网络攻击中恢复时,以下哪项是最重要的行动?A.事件响应计划(TRP)B. IT应急计划C.业务连续性计划(BCP)D.连续性运作计划(COOP)7.在审查一个正在实施的项目时,信息系统审核员观察到,项目收益在减少,成本在增加,此项目(建议改为业务例证)可能不再有效,信息系统审计系统应建议?A.终止项目B.对项目(建议改为业务例证)进行更新,并尽可能地采取纠正措施C.项目退回给项目发起人重新批准D.对项目(建议改为业务例证)进行更新,并完成项目8.信息系统审计师正在审查一个组织的信息安全策略,政策要求需要对通用串行总线(USB)驱动器放置的所有数据加密。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
A、实施分析,以确定该事件是否为暂时的服务实效所引起
B、由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会
C、这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%
D、通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定
选项:
A、异常作业终止报告
B、操作员问题报告
C、系统日志
D、操作员工作日程安排
标准答案:C
题号:29
有效的IT治理要求组织结构和程序确保
选项:
A、组织的战略和目标包括IT战略
B、业务战略来自于IT战略
C、IT治理是独立的,与整体治理相区别
D、IT战略扩大了组织的战略和目标
D、建立阻止计算机操作员更改程序的访问控制
标准答案:C
题号:34
一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查:
选项:
A、BPR实施前的处理流程图
B、BPR实施后的处理流程图
C、BPR项目计划
D、持续改进和监控计划
标准答案:B
C、把modem连至网络中的计算机
D、不能充分保护网络和服务器使其免遭病毒侵袭
标准答案:A
题号:9
为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查:
选项:
A、业务软件
B、系统平台工具
C、应用服务
D、系统开发工具
标准答案:C
题号:10
数据库规格化的主要好处是:
选项:
A、验证签名
B、改善服务
C、相对较贵
D、减少处理导致的变形
标准答案:C
题号:19
某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯,而微机只支持异步ASCII字符数据通讯。为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能?
选项:
A、系统工具
B、应用程序生成器
C、系统安全文档
D、访问存储流程
标准答案:A
题号:6
测试程序变更管理流程时,IS审计师使用的最有效的方法是:
选项:
A、由系统生成的信息跟踪到变更管理文档
B、检查变更管理文档中涉及的证据的精确性和正确性
C、由变更管理文档跟踪到生成审计轨迹的系统
C、实施公司安全策略
D、制订安全堆积和指导
标准答案:A
题号:33
在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险?
选项:
A、自动记录开发(程序/文档)库的变更
B、增员,避免兼职
C、建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操作
选项:
A、在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复)
B、满足更多查询的能力
C、由多张表实现,最大程度的数据库完整性
D、通过更快地信息处理,减小反应时间
标准答案:A
题号:11
以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式?
选项:
选项:
A、建立一个与供应商相联的内部客户机用及服务器网络以提升效率
B、将其外包给一家专业的自动化支付和账务收发处理公司
C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统
D、重组现有流程并重新设计现有系统
标准答案:C
题号:18
以下哪一项是图像处理的弱点?
B、供应商的可靠性描述
C、预定的定期维护日志
D、书面的预防性维护计划表
标准答案:A
题号:27
用于监听和记录网络信息的网络诊断工具是:
选项:
A、在线监视器
B、故障时间报告
C、帮助平台报告
D、协议分析仪
标准答案:D
题号:28
对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据?
标准答案:A
题号:25
以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作?
选项:
A、路由器
B、网桥
C、中继器
D、网关
标准答案:B
题号:26
在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助?
选项:
A、系统故障时间日志
D、检查变更管理文档中涉及的证据的完整性
标准答案:A
题号:7
分布式环境中,服务器失效带来的影响最小的是:
选项:
A、冗余路由
B、集群
C、备用电话线
D、备用电源
标准答案:B
题号:8
实施防火墙最容易发生的错误是:
选项:
A、访问列表配置不准确
B、社会工程学会危及口令的安全
选项:
A、推荐并监督数据安全政策
B、在组织内推广安全意识
C、制定IT安全政策下的安全程序/流程
D、管理物理和逻辑访问控制
标准答案:A
题号:32
企业打算外包其信息安全职能,那么其中的哪一项职能不能外包,只能保留在企业内?
选项:
A、公司安全策略的记账
B、制订公司安全策略
D、签名人的私钥还没有被泄露
标准答案:A
题号:13
检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定:
选项:
A、是否口令经常修改
B、客户/服务器应用的框架
C、网络框架和设计
D、防火墙保护和代理服商谈判服务水平协议(SLA),首要的工作是:
选项:
A、缓冲器容量和并行端口
B、网络控制器和缓冲器容量
C、并行端口和协议转换
D、协议转换和缓冲器容量
标准答案:D
题号:20
为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项?
选项:
A、系统访问日志文件
B、被激活的访问控制软件参数
C、访问控制违犯日志
标准答案:D
题号:30
质量保证小组通常负责:
选项:
A、确保从系统处理收到的输出是完整的
B、监督计算机处理任务的执行
C、确保程序、程序的更改以及存档符合制定的标准
D、设计流程来保护数据,以免被意外泄露、更改或破坏
标准答案:C
题号:31
组织内数据安全官的最为重要的职责是:
题号:35
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是:
选项:
A、发送并对账交易数及总计
B、将数据送回本地进行比较
C、利用奇偶检查来比较数据
D、在生产机构对销售定单的编号顺序进行追踪和计算
D、进行一对一的核查
标准答案:C
题号:4
将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?
选项:
A、批量头格式
B、批量平衡
C、数据转换差错纠正
D、对打印池的访问控制
标准答案:B
题号:5
审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性?
选项:
A、实施可行性研究
B、核实与公司政策的符合性
C、起草其中的罚则
D、起草服务水平要求
标准答案:D
题号:15
电子商务环境中降低通讯故障的最佳方式是:
选项:
A、使用压缩软件来缩短通讯传输耗时
B、使用功能或消息确认(机制)
C、利用包过滤防火墙,重新路由消息
D、租用异步传输模式(ATM)线路
选项:
A、就协议内容和价格重新谈判
B、通知IT部门协议规定的标准没有达到
C、增购计算机设备等(资源)
D、将月底结账处理顺延
标准答案:A
题号:24
在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是:
A、磁墨字符识别(MICR)
B、智能语音识别(IVR)
C、条形码识别(BCR)
D、光学字符识别(OCR)
标准答案:D
题号:12
代码签名的目的是确保:
选项:
A、软件没有被后续修改
B、应用程序可以与其他已签名的应用安全地对接使用
C、应用(程序)的签名人是受到信任的
标准答案:D
题号:16
以下哪一项措施可最有效地支持24/7可用性?
选项:
A、日常备份
B、异地存储
C、镜像
D、定期测试
标准答案:C
题号:17
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?
D、系统配置文件中所使用的控制选项
标准答案:D
题号:21
在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的?