CISA考试练习(习题卷5)

CISA考试练习(习题卷5)
第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下哪项提供了对平衡计分卡的最好的解释？
A)被用于标杆到目标服务水平。

B)被用于度量提供给客户的IT 服务的效果。

C)验证组织的战略和IT 服务的匹配。

D)度量帮助台职员的绩效。

答案:C
解析:平衡计分卡被用于匹配组织的战略和IT 服务。

2.[单选题]以下哪项在实施信息系统审计计划时是最重要的？
A)查阅以前审计的审计发现
B)设计一个对数据中心设施物理安全的审计计划
C)查阅信息系统政策和程序
D)进行风险评估
答案:D
解析:
3.[单选题]某组织正在实施企业资源规划(ERP)应用程序。

为确保项目按计划进行并取得预期结果，准应该对项目的监督工作负主要贵任?
A)项目发起人
B)系统开发项目团队(SDPT)
C)项目督导委员会
D)用户项目团队(UPT)
答案:C
解析:A.通常，项目发起人就是负责主要业务部门(应用程序将提供支持的部门)的高级经理。

项目发起人为项目提供资金，并与项目经理密切合作，确定项目的关键成功因素或指标。

项目发起人不负责审查项目进度。

B.系统开发项目团队(SDPT)完成分配的任务、遵照项目经理的指示工作，并与用户项目团队进行沟通。

SDPT不负责审查项目进度。

C.为企业资源规划(ERP)实施项目提供总体指导的项目督导委员会负责项目进度审查，以确保取得预期结果。

D.用户项目团队(UPT)完成分配的任务、与系统开发团队进行有效的沟通，并根据项目经理的建议进行工作。

UPT不负责审查项目进度
4.[单选题]以下哪种实施模式会为连接到互联网的出站数据提供最大程度的安全性？
A)具有身份认证头（AH)和封装安全负载(ESP）的传输模式
B)安全套接字层(SSL)模式
C)具有AH和ESP的隧道模式
D)三重数据加密标准（三重DES）加密模式
答案:C
解析:隧道模式可为整个IP数据包提供保护。

为达到此目的，AH和ESP服务可以是嵌套的。

该传输模式将保护范围扩展到IP数据包的数据区（负载），从而提供对高层协议的主要保护。

SSL模式为更高的通信层（传输层）提供安全性。

三层DES加密模式是一种提供机密性的算法。

5.[单选题]以下哪一个是并行性测试的最主要目的？
A)衡量系统是否成本效益
B)使用全面的单元和系统测试
C)在程序接口处发现错误
D)确保新系统满足用户需求
解析:并行性的目的是确保新系统的实施能满足用户要求。

并行测试可能显示出老系统事实上比新系统好，但是这不是主要的理由。

单元和系统测试之前完成。

在系统测试期间测试带有文件的程序接口的错误。

点评：并行测试是用老系统验证新系统
6.[单选题]在确定关键业务流程在可接受的时间内恢复时：
A)只有停机费用需要考虑
B)恢复操作进行分析
C)同时对停机成本和恢复成本进行评估
D)间接停机费用应该被忽略
答案:C
解析:停机成本和恢复成本需要在确定之前，在关键业务流程可接受的时间内评价。

该业务影响分析（BIA）的结果应该是一个恢复策略，表述最佳平衡。

停机时间成本不能孤立的加以研究。

信息资产越快可以得到恢复和业务恢复，停机时间成本越小。

然而，有关开支需要有多余的能力恢复所需信息资源，可能是不重要的业务流程忽略。

恢复操作不会确定为关键业务流程可接收时间恢复，间接费用应在停机是被认为直接产生现金流，由于业务中断，严重扰乱了正常的商业活动，例如，客户和供应商的商誉，以及市场份额的损失，间接成为实际上可能超过直接成本，随着时间段推移，从而达到在企业的生存能力的威胁顶点。

7.[单选题]为信息系统备份文件的异地储存设备选择一个场所，哪项是最重要的标准？这个异地设备必须:
A)与数据中心物理隔离，以免遭到同样的风险。

B)与计算机数据中心相同级别的保护
C)向可靠的第三方外购
D)配备监视设备
答案:A
解析:异地存储场所对信息系统文件来说是很重要的，而在同一个场所就不能避免与原始数据中心相同的风险。

其他的选项都是建立异地场所必需考虑的论点，但它们都不能和场所的选择一样关键。

8.[单选题]内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:
A)导致对其审计独立性的质疑
B)报告较多业务细节和相关发现
C)加强了审计建议的执行
D)在建议中采取更对有效行动
答案:A
解析:
9.[单选题]在评估某公司的信息安全政策是否适当时，以下哪一项是信息系统审计师最重要的考虑事项?
A)IT 指导委员会的纪要
B)业务目标
C)是否符合行业最佳做法
D)与 IT 战术规划一致
答案:B
解析:
10.[单选题]下面哪一项提供了最好的证据，关于安全意识教育程序是充分的？
A)利益相关者，包括各级员工培训
B)利益覆盖整个企业的所有地点
C)不同厂商安全设备的实施
D)定期审查和最佳实践比较
答案:D
解析:通过确定是否定期进行安全审查和跟行业进行比较的最佳做法来评估充分的安全意识的内容，选项AB和C提供了安全意识程序的各个方面的指标，但对评估的内容没有帮助。

点评：与最佳实践比较能够全面考察策略的完备性
11.[单选题]为IS备份文件的异地存储设备选择位置时，以下哪一项是最重要的标准?异地设备必须是:
A)与数据中心物理上分离，且不受同一风险的影响。

B)给定与计算机数据中心相同的保护级别。

C)外包给可靠的第三方。

D)配备了监视功能。

答案:A
解析:A.信息系统文件要在异地存储并且该位置位于不易遭受与主要数据中心相同的风险,这一点非常重要。

B.异地位置可能与其他公司共享，因此其保护级别高于主数据中心。

C.异地位置可由第三方或组织自己所有。

D.物理保护很重要，但不如不受同一危机影响重要。

12.[单选题]从风险管理的观点来看，部署庞大且复杂的IT架构，哪种途径最好:
A)在考证这个想法之后，迅速部署
B)原形化和单阶段部署
C)按次序阶段性的部署计划
D)部署前模拟新的架构
答案:C
解析:部属庞大复杂的IT架构时，最佳实践就是按次序阶段性的方法，可以一起适用于整个系统。

这将会提供很大程度上的对部署质量结果的保证。

其他的选择都是风险途径
13.[单选题]在进行灾难恢复审计时，IS审计师会认为下列中的哪一项最需要进行审查?
A)签订某热备援中心，并且该站点在需要时可用。

B)具有现行业务连续性手册。

C)承保范围得当并且按时支付当期保险费。

D)及时备份存储介质并实施异地存。

答案:D
解析:A.热备援中心很重要，但如果没有它可以使用的备份数据则没有用处
B.业务连续性手册是可取的，但在灾难恢复审计中不是最重要的。

C.承保范围应足够覆盖成本，但不如有数据备份重要。

D.如果没有数据可处理，所有其他恢复工作都是徒劳的。

甚至是在没有计划的情况下，如果没有数据可处理，任何形式的恢复工作也都将是不切实际的
14.[单选题]如果某个小型组织的应用程序编程人员有权将程序移入生产环境，应实施以下哪种措施加以控制?
A)独立的实施后测试
B)对变更后的程序进行独立审查
C)对用户要求进行独立审查
D)对用户验收进行独立审
答案:B
解析:A.独立的实施后测试在这种情况下无效，因为未文档化记录的功能未必能被检测出来，系统依然可能被最终用户所接受。

B.对生产中程序的变更进行独立审查可发现编程人员投入生产中的未经授权的变更、版本或功能。

C.独立的用户要求审查也没有效果，因为系统可能满足了用户的要求，但仍然包括未文档化记录的功能。

D.独立的用户验收审查也无效，因为系统可以会被最终用户接受，而仍然不会检测到未文档化记录的功能。

15.[单选题]在对专业从事电子商务的企业进行审计期间，IS经理表示在接收客户通信时会使用数字签名。

要证实这一点，IS审计师必须证明使用了以下哪项？
A)使用客户公钥进行生物识别、数字化和加密的参数
B)使用客户私钥传输并加密的数据哈希值
C)使用客户公钥传输并加密的数据哈希值
D)使用客户公钥加密的客户扫描签名
解析:计算所传输数据的哈希值或摘要或者对其进行加密需要客户端（接收者）的公钥，称为消息签名或数字签名。

接收者执行相同的流程，在使用自己的私钥将数据解密后，将收到的哈希值与使用收到的数据计算出的哈希值进行比较，如果哈希值相同，则结论是接收到的数据具有完整性，且来源通过验证。

使用发送者的私钥加密哈希值这一概念提供了不可否认性，因为只能使用发送者的公钥解密哈希值，而接收者并不知道发送者的私钥。

简言之，在使用密钥对的情况下，任何可通过发送者公钥解密的数据之前必须使用其私钥加密，这样可确认发送者，即不可否认性。

选项C不正确，因为如果是这种情况，哈希值讲无法被接收者解密，这样将失去不可否认性带来的好处，且无法确认消息未被截获和修改。

数字签名通过私钥加密来创建。

创建签名的个人应使用自己的私钥，否则每个人都能用任意公钥来创建签名。

因此，使用客户的私钥来创建客户签名，企业可使用客户的公钥来验证这一点。

选项B是正确答案，因为在这种情况下
，客户使用自己的私钥来对哈希数据签名。

16.[单选题]以下哪项业务连续性计划（BCP）测试涉及危机管理/响应小组密切相关成员的参与，以实践妥善的协作？
A)桌面测试
B)功能测试
C)全面演习
D)穿行测试
答案:A
解析:桌面测试主要目的是进行协作演习，因为它涉及到危机处理小组的所有或部分成员，并专注于协调和沟通问题
，而不是技术过程中更多的细节问题。

功能测试强调在各种不同的地点，动员工作人员和资源。

全面演习涉及整个企业以及外部组织的参与。

穿行测试是指通过使用最少的资源对各个领域的关键人员推广BCP。

17.[单选题]以下哪项是控制自我评估（CSA）的关键优势？
A)企业管理目标的内部控制得到加强
B)由外部审计转为内部评估时，会减少相关的费用
C)由企业内部员工从事业务测试，有利于检测欺诈行为
D)通过使用评估结果，内部审计人员可以转变为咨询顾问的角色
答案:A
解析:控制自我评估的目的是使企业管理层更好的理解他们在内部控制和公司治理方面的重要性。

降低审计费用不是一个CSA的关键优势。

欺诈检测是重要的，但并不是一个CSA的主要目的。

内部审计人员转变为咨询顾问的角色是一个额外的好处，而不是关键优势。

18.[单选题]以下哪一项是帮助防止敏感数据通过电子邮件流出企业的最佳控制？
A)进行定期网络钓鱼（phishing）测试
B)阻止未加密发送出站的电子邮件
C)扫描外发电子邮件
D)为员工提供加密解决方案
答案:C
解析:
19.[单选题]一个IS审计师被分配去执行一项测试：比较计算机作业运行日志与作业计划表。

下面哪一条是IS审计师最需要关注的？
A)有越来越多的紧急变更
B)存在某些作业没有按时完成的情况
C)存在某些作业被计算机使用者否决的情况
D)证据显示仅仅运行了预先计划的作业
答案:C
解析:被计算机使用者否决掉的计算机处理工作可能会导致未经审批的、针对数据或程序的变更，这是一个控制上的考虑，因此，通常非常关键。

其他的选项都是非关键的，因此诸如处理延迟、错误甚至于紧急变更都是可以接受的，只要这些行为被正确的记录。

点评：否决业务不是IT人员的应该做的
20.[单选题]某IS审计师应要求审查针对某数据中心服务候选供应商的合同。

确定签署合同后，是否遵守合同条款的最
佳途径是什么?
A)要求供应商提供月度状况报告。

B)与客户经理定期召开会议。

C)对供应商进行定期审计检查。

D)要求在合同中说明性能参数。

答案:C
解析:A.尽管提供月度状况报告也许能够表明供应商遵守合同条款，但若不进行独立验证，这些数据也许并不可靠。

B.与客户IT经理定期召开会议有助了解目前与供应商之间的关系，但会议可能不包含定期审计检查需考虑的供应商审计报告、状况报告和其他信息
C.定期审查供应商可确保其令人满意地履行合同中的协议。

若在签署合同后不进行日后的审计检查，供应商可能不太看重服务等级协议(SLA)以及客户的安全控制要求，并且效果可能打折。

定期审计检查允许客户检查供应商目前的状况
，以确保该供应商是其希望继续合作的人选
D.要求在合同中说明性能参数很重要，但只有进行定期审才能确保达到性能参数。

21.[单选题]当数据采用HTTPS协议进行传输时，以下哪点最令人担心
A)传输双方的PC、中存在间谍软件
B)嗅探软件的使用
C)RSA、加密算法的使用
D)数据传输中使用对称加密算法
答案:A
解析:SSL和TLS的加密技术应用将使在传输过程中的数据截取很困难，但是当双方计算机中有间谍软件存在时，信息将在被加密之前被搜集。

其他的选项涉及了加密算法，但间谍软件的存在将使信息在被加密之前被搜集。

22.[单选题]检查硬件维护程序。

审计师应该评估是否:
A)所有未计划的维护都按照时间表维护了
B)和历史趋势相一致
C)已经被信息系统委员会同意
D)与供应商陈述的程序是否一致
答案:D
解析:尽管维护需求随复杂性及工作负荷的不同而不同，硬件维护计划与符合厂商提供的说明书一致。

因业务原因，组织可以选择多于厂家的维护程序。

维护程序应当包括维护历史、计划的、未计划的，执行的、例外的。

未计划的维护不可能被列入计划表。

硬件维护程序不需要与历史趋势吻合。

维护计划通常也不是被信息系统委员会批准。

23.[单选题]在辅助财务审计的IT控制测试时，总账GL用户向信息系统审计师投诉，在访问数据时存在严重的延时。

IS审计师应采取的最合理的操作为：
A)将延时记录为有待改善的控制缺陷
B)推荐使用负载平衡去改进吞吐量
C)在管理建议书中写明这个投诉
D)在形成对IT控制的审计意见时，排除这些投诉
答案:D
解析:弄清响应时间的根本原因超出了在现行的审计范围。

影响财务报表IT控制的主要目标是保证财务报表的完整性。

因此，对于使用数据库的操作问题不应该是主要的审计意见。

降低吞吐量并不意味着它可能是导致财务账目出现错误的控制缺陷。

负载均衡作为一个解决方案并不能从从根本上解决吞吐量减少的问题。

投诉经证实后才可以包含在管理建议书中。

点评：该问题对控制有效性没有影响，故忽略之
24.[单选题]以下哪种加密系统最适用于批量数据加密和小型设备（如智能卡）？
A)数据加密标准（DES）
B)高级加密标准（AES）
C)三重DES
D)RSA
答案:B
解析:AES是一种公共算法，支持大小介于128位到256位的密钥，它不仅可以提供良好的安全性，而且能保证各种计算机平台的运行效率和多功能行。

AES可以在大型计算机、桌面计算机甚至小型设备型计算机系统在相对较短的时间内穷举攻击。

三重DES在执行加密和解密时需要比DES多花费三倍的时间。

RSA密钥是很大的数字，是适用于短消息，如创建数字签名。

25.[单选题]在生成数据对新的或者更改过的应用程序系统进行逻辑测试时，以下哪些是最关键的:
A)对每一个测试范例都有足量的数据
B)数据代表了所期望的实际处理过程的数据
C)按日程表完成测试
D)实际数据的随机抽样
答案:B
解析:选择正确种类的数据是测试计算机系统的关键。

数据不应当仅包括是有效和无效的，还应当代表实际的业务处理；测试数据的质量要比数量重要。

有充足的测试数据要比按计划完成测试更为重要。

随机的实际数据样本不可能覆盖全部的测试条件并提供对实际业务数据的合理代表。

26.[单选题]在审查过去定期年度审查的结果时，信息系统审计师注意到发现结果可能未报告,也未保持独立性，以下哪一项时审计师最佳行动步骤:
A)告知审计管理部门
B)重新执行过去的审计以确保独立性
C)重新评估内部控制
D)告知高级管理层
答案:A
解析:
27.[单选题]审查数字证书验证过程时，以下哪一项结果表示最重大的风险?
A)没有注册机构(RA)负责报告密钥泄漏。

B)证书撤销清单(CRL)不是最新的。

C)数字证书包含用于加密消息的公钥并用于对数字签名进行验证
D)由用户向证书颁发机构(CA)报告密钥泄漏
答案:B
解析:A.没有注册机构(RA)时，证书颁发机构(CA)可承担相应任。

B.如果证书撤销清单(CRL)不是最新的，则可能存在未废除的证书被用于非授权或欺诈的活动。

C.包含用于加密消息的公钥并用于对数字签名进行验证的数字证书不会构成风险。

D.用户向CA报告密钥泄漏也不存在风险，因为向CA报告此信息后，CA可以采取相应措施。

28.[单选题]一名IS审计师正要确定用于测试是否存在程序变更审批的适当的采样规模。

之前的审计并未指出任何异常情况，并且管理层已证实未曾针对审查期报告异常情况。

在这种情况下，IS审计师可以采纳
A)较低的置信系数，从而导致较小的采样规模。

B)较高的置信系数，从而导致较小的采样规模。

C)较高的置信系数，从而导致较大的采样规模。

D)较低的置信系数，从而导致较大的采样规模。

答案:A
解析:A.内部控制较强时，可以采纳较低的置系数，因此可以使用较小的采样规模。

B.较高的置信系数将导致使用较大的采样规模。

C.在这种情况下无需采纳较高的置信系数，因为内部控制较强。

D.较低的置信系数将导致使用较小的采样规模。

29.[单选题]在向供应商授予临时访问权限时，以下哪项是最有效的控制措施？
A)供应商的访问权限符合服务级别协议（SLA）。

B)根据所提供的服务创建用户帐户并对其设置到期日期。

C)在有限的时间段内提供管理员访问权限
D)在工作完成后删除用户ID
答案:B
解析:最有效的控制措施是根据所提供的服务授予临时访问权限并对各个ID设置到期日期（最好是自动的）使用身份管理系统可增强用户的临时性和永久性访问，同时确保能够对其活动进行适当记录。

SLA可能有提供访问的条款，但其并非控制，仅能定义访问需要。

供应商只在服务时间的某个有限时间段内要求访问。

然而确保这段时间内的访问受到监视是非常重要的。

在工作完成后删除用户ID很有必要，但如果不是自动的，则很有可能会忘记删除。

30.[单选题]关联了本地管理员登录失败的事件日志记录被信息系统审计员观测到。

如下哪个选项是最有可能引起多次登录失败的。

A)SYN洪水攻击
B)社会工程
C)缓冲区溢出攻击
D)恶意代码攻击
答案:D
解析:恶意代码和木马通常试图登录管理员账号。

SYN洪水攻击是在一个网络服务上的拒绝服务攻击并且它不会试图登录管理员账号。

社会工程将在发现密码上提供帮助，但是它与尝试性攻击是有区别的。

缓冲区溢出攻击不会直接产生多次登录失败的结果。

31.[单选题]非授权用户或外部人员（例如黑客）可以通过公共电话拨入网路，不断地尝试系统代码、用户身份识别码和口令来获得对网路的访问权限。

这种“暴力破解＂的方法一般在什么情况下有效？
A)非授权用户在尝试一定数量的口令猜测后，会被系统自动断开
B)使用常用字符和个人相关信息作为口令
C)用户身份识别码和口令有各种大量的可能性组合
D)所有登录企图被记录下来，并妥善保护
答案:B
解析:
32.[单选题]若要在短时间内实施新系统，最重要的是
A)完成用户手册的编写。

B)执行用户验收测试
C)将最新的功能强添加到功能中。

D)确保代码已存档并已审核。

答案:B
解析:A.完成用户手册没有充分测试系统重要。

B.完成用户验收测试以确保要实施的系统能够正常工作，这一点是最为重要的。

C.如果时间紧急，则最后要做的是添加其他增强功能，因为需要冻结代码并完成测试之后再做其他变更以作为将来的增强功能。

D.存档和审核代码是恰当的，但仅在完成验收测试后才能保证系统能够正确工作并满足用户要求
33.[单选题]在将审计报告发给项目指导委员会之前，谁应当首先对其进行评估？
A)信息系统审计经理。

B)业务负责人。

C)项目资助人。

D)审计委员会。

答案:C
解析:
34.[单选题]当审计一个数据中心的安全时，IS审计师会查找是否有电压调节装置的存在是为了确认:
A)硬件设备在电压浪涌时受到保护
B)如果主电源被切断,完整性能得到保护
C)如果主电源被切断,即时接管的电源可用
D)在长期电压波动的情况下硬件设备受到保护
答案:A
解析:电压调节器能防止瞬间电压起伏影响，通常不能对长时间的波动起到保护作用，也不能在掉电情况下起作用。

35.[单选题]在检查安全包时，下面哪一项不被考虑作为一个调查设计？【已经理解】
A)什么类型的变更和妥协在正进行的过程中必须发生？
B)安全更新和补丁如何在安全包中进行维护？
C)哪些安全包的脆弱点和缺陷点应该被考虑？
D)对产品进行充分维护时需要哪种支持工作？
答案:B
解析:A 中的变更是必须考虑的。

C 中的脆弱点和缺陷也必须考虑。

D 中对
产品的支持也同样重要。

而B 是日常的维护工作，不能作为调查设计的标
准。

36.[单选题]下面哪个邮件过滤技术能够最好的提供一个有效的，可信的报文包括重要摘要关键字：
A)启发式
B)基于信号
C)模式匹配
D)贝叶斯
答案:A
解析:贝叶斯过滤适用于报文的统计模型，通过执行频率分析报文的每一个字，然后评估报文是否是一个整体。

因此
，如果整个报文是在正常范围内，不能忽视一个可疑的关键字。

HeuristiC、过滤是不那么有效，因为当一个有效的讯息是标记为垃圾邮件时，需要定义一个例外规则。

基于信号的过滤对可变长度的讯息是没用的，因为MD、5哈希计算改变了所有的时间。

最后，模式匹配其实是一个退化的以规则为基础的技术，规则运作在使用通配符的字符水平，而不是在更高的水平。

37.[单选题]一名外部IS审计师提交了一份审计报告，指出外围网络网关缺乏防火墙保护功能，并推荐了一款特定的供应商产品来消除这一漏洞。

IS审计师未能发挥:
A)专业独立性
B)组织独立性
C)技术能力。

D)专业能力。

答案:A
解析:A.如果IS审计师推荐了一个特定的供应商，则会破坏审计师的专业独立性
B.组织独立性与审计报告的内容无关，应该在接受项目时予以考虑。

C.技术能力与专业能力与独立性的要求无关。

D.专业能力与独立性的要求无关
38.[单选题]当一个组织的备份设施处在温站时,下列哪一项是最关心的？
A)硬件的及时可用性、
B)热度,湿度和空调设备的可用性、
C)电力连接充足、
D)电信网络的有效性、
答案:A
解析:温站实施了基本的基础设施设备，例如电力，空调和网络，但通常缺乏计算设备。

因此，硬件的及时可用性成为首要关心的问题。

39.[单选题]在公钥基础架构（PKI）中，注册机构负责？
A)验证认证申请对象所提供的信息。

B)在核实所需属性并生成密钥之后颁发认证。

C)对消息进行数字签名以实现签名消息的不可否认性。