2010年11月6日CISA官方香港分会研讨会资料

CISA考试练习(习题卷5)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下哪项提供了对平衡计分卡的最好的解释？A)被用于标杆到目标服务水平。

B)被用于度量提供给客户的IT 服务的效果。

C)验证组织的战略和IT 服务的匹配。

D)度量帮助台职员的绩效。

答案:C解析:平衡计分卡被用于匹配组织的战略和IT 服务。

2.[单选题]以下哪项在实施信息系统审计计划时是最重要的？A)查阅以前审计的审计发现B)设计一个对数据中心设施物理安全的审计计划C)查阅信息系统政策和程序D)进行风险评估答案:D解析:3.[单选题]某组织正在实施企业资源规划(ERP)应用程序。

为确保项目按计划进行并取得预期结果，准应该对项目的监督工作负主要贵任?A)项目发起人B)系统开发项目团队(SDPT)C)项目督导委员会D)用户项目团队(UPT)答案:C解析:A.通常，项目发起人就是负责主要业务部门(应用程序将提供支持的部门)的高级经理。

项目发起人为项目提供资金，并与项目经理密切合作，确定项目的关键成功因素或指标。

项目发起人不负责审查项目进度。

B.系统开发项目团队(SDPT)完成分配的任务、遵照项目经理的指示工作，并与用户项目团队进行沟通。

SDPT不负责审查项目进度。

C.为企业资源规划(ERP)实施项目提供总体指导的项目督导委员会负责项目进度审查，以确保取得预期结果。

D.用户项目团队(UPT)完成分配的任务、与系统开发团队进行有效的沟通，并根据项目经理的建议进行工作。

UPT不负责审查项目进度4.[单选题]以下哪种实施模式会为连接到互联网的出站数据提供最大程度的安全性？A)具有身份认证头（AH)和封装安全负载(ESP）的传输模式B)安全套接字层(SSL)模式C)具有AH和ESP的隧道模式D)三重数据加密标准（三重DES）加密模式答案:C解析:隧道模式可为整个IP数据包提供保护。

为达到此目的，AH和ESP服务可以是嵌套的。

2022年第四期CCAA注册审核员复习题—ISMS信息安全管理体系一、单项选择题1、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘2、有关信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保(）A、不考虑资产的价值，基本水平的保护都会被实施B、对所有信息资产保护都投入相同的资源C、对信息资产实施适当水平的保护D、信息资产过度的保护3、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏4、数字签名可以有效对付哪一类信息安全风险？A、非授权的阅读B、盗窃C、非授权的复制D、篡改5、最高管理者应（）。

A、确保制定ISMS方针B、制定ISMS目标和计划C、实施ISMS内部审核D、主持ISMS管理评审6、下列关于DMZ区的说法错误的是()A、DMZ可以访问内部网络B、通常DMZ包含允许来自互联网的通信可进行的设备，如Web服务器、FTP服务器、SMTP服务器和DNS服务器等C、内部网络可以无限制地访问夕卜部网络以及DMZD、有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作7、安全扫描可以实现（）A、弥补由于认证机制薄弱带来的问题B、弥补由于协议本身而产生的问题C、弥补防火墙对内网安全威胁检测不足的问题D、扫描检测所有的数据包攻击分析所有的数据流8、管理者应（）A、制定ISMS方针B、制定ISMS目标和专划C、实施ISMS内部审核D、确保ISMS管理评审的执行9、ISO/IEC27001描述的风险分析过程不包括（）A、分析风险发生的原因B、确定风险级别C、评估识别的风险发生后，可能导致的潜在后果D、评估所识别的风险实际发生的可能性10、关于系统运行日志，以下说法正确的是：（)A、系统管理员负责对日志信息进行编辑、保存B、日志信息文件的保存应纳入容量管理C、日志管理即系统审计日志管理D、组织的安全策略应决定系统管理员的活动是否有记入曰志11、审核发现是指（）A、审核中观察到的事实B、审核的不符合项C、审核中收集到的审核证据对照审核准则评价的结果D、审核中的观察项12、桌面系统级联状态下，关于上级服务器制定的强制策略，以下说法正确的是（）A、下级管理员无权修改，不可删除B、下级管理员无权修改，可以删除C、下级管理员可以修改，可以删除D、下级管理员可以修改，不可删除13、在规划如何达到信息安全目标时，组织应确定（）A、要做什么，有什么可用资源，由谁负责，什么时候开始，如何测量结果B、要做什么，需要什么资源，由谁负责，什么时候完成，如何测量结果C、要做什么，需要什么资源，由谁负责，什么时候完成，如何评价结果D、要做什么，有什么可用资源，由谁执行，什么时候开始，如何评价结果14、下列不一定要进行风险评估的是（）A、发布新的法律法规B、ISMS最高管理者人员变更C、ISMS范围内的网络采用新的网络架构D、计划的时间间隔15、管理体系是实现组织目标的方针、（）、指南和相关资源的框架A、目标B、规程C、文件D、记录16、访问控制是指确定（）以及实施访问权限的过程A、用户权限B、可给予哪些主体访问权利C、可被用户访问的资源D、系统是否遭受入侵17、组织应（）A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域18、信息安全控制目标是指：（)A、对实施信息安全控制措施拟实现的结果的描述B、组织的信息安全策略集的描述C、组织实施信息安全管理体系的总体宗旨和方向D、A+B19、风险评估过程一般应包括（）A、风险识别B、风险分析C、风险评价D、以上全部20、对于信息安全方针，（）是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息，不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则，不可变更21、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対22、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审23、信息安全管理中,以下哪一种描述能说明“完整性”（）。

2016年专技人员(rényuán)公需科目培训班考试题一、判断题。

1. 互联网与美国(měi ɡuó)相比，美国更具颠覆性，成为最大智能终端市场(shìchǎng)。

错误2. 社会调查是当前流行的信息搜集方式。

错误3. 参考文献在知识产权的保护和管理中，是没有实际作用的。

错误4. 语义WEB是WEB的重新(chóngxīn)开始。

错误5. 公共利益是社会共同利益，那它就是特定(tèdìng)的、部分人的利益，而应该由全体社会成员所共享。

错误6. 信息组织是社会信息交流的保障。

正确7. 信息组织不是提供可供检索的信息组织成果。

错误8. 信息技术推动着人类社会及文明的进步，尤其是在1963年，日本提出信息化及信息革命的概念，把信息的重要性提高到前所未有的高度。

正确9. 即时评价为最终评价奠定基础，最终评价又为即时评价提供验证。

正确10. 在完全竞争的市场机制下，每个消费者的满足达到最大，每个生产者的利润达到最大。

正确11. 不合理的信息资源定位机制和过于繁琐的访问渠道会影响到信息资源共享的效率。

正确12. “互联网+”提升实体经济的创新力和生产力，形成更广泛的以互联网为基础设施和实现工具的经济发展新形态。

正确13. 语义信息组织是以信息的内容或本质特征为依据序化信息的方法。

正确14. 专业技术人员：（1）广义理解：指拥有特定的专业技术（不论是否得到有关部门的认定），并以其专业技术从事专业工作，并因此获得相应利益的人。

（2）狭义理解：指在企业和事业单位（含非公有制经济实体）中从事专业技术工作的人员，以及在外商投资企业中从事专业技术工作的中方人员。

正确15. 信息产业经历了一个由独立、分散、不均衡到信息技术一体化的综合集成发展的过程。

正确16. 教育信息化的概念是在19世纪(shìjì)90年代对着信息高速公路的兴建而提出的。

2011年GCT真题-语言表达能力测试第一部分语言表达能力测试（A卷）一、选择题1.下面没有错别字的一句是A．三国时代，英雄倍出，人才济济。

B．做学问既不能急于求成，又不能墨守成规。

C．守军指挥宫被敌人三翻两次的挑衅激怒了。

D．有志者，事竟成，破釜沉舟，百二秦关终属楚。

2.下面加点的词，意义相同的一组是A．①这种瓷器比较粗糙,赶不上江西瓷。

②这篇译稿太粗糙，你重新润色一下。

B．①墙壁粉刷以后，屋里变得亮堂多了。

②问题搞清楚以后，他心里亮堂多了。

C. ①对方的请求刚说完，他就痛快地答应了。

②看着大坝工程一天一个样，心里真痛快。

D．①海峡是海洋中连接两个相邻海区的狭窄水道。

②枝上排列着两列小叶，腹叶狭窄，背叶宽大。

3.下面各句中加点成语使用不恰当的一句是A．从这次测试的情况来看，大家的计算机水平良秀不齐。

B．爱琴海的海岸丝非常曲折，港湾众多，岛屿星罗棋布。

C．球队虽没能出线，但在比赛中的表现还是差强人意的。

D．自古及今，《楚辞》的评注和研究著作可谓汗牛充栋。

4.下面各句中没有语病的一句是A.或许有一天我们将会知道究竟这里发生了什么，以避免这种悲惨事件不再发生。

B.我从小学习钢琴和小提琴，音乐带给我许多别的孩子永远也无法体验到的感受。

C.凤凰电视台在美落地，该台总裁表示凤凰卫视将继续扮演中美之间友谊的桥梁。

D.你是我最心爱的人，这些年虽然我们不在一起，但我却无时无刻都在思念着你。

5．下面各句中没有歧义的一句是A.他走了三小时了。

B.买房子就送家具。

C.县里来了工作组。

D.在邮局寄包裹。

6．下面关于文史知识的表述，错误的一项是A．中国古代思想史上，“陆王学派”的代表是明代陆九渊和王阳明。

B．苏轼是著名书法家，与黄庭坚、米芾、蔡襄并称“宋四家”。

C．欧洲中世纪流行的骑士文学，一般以歌颂爱情为主，多从古希腊、古罗马故事取材。

D．张岱的《湖心亭看雪》、《西湖七月半》是明末小品文的名篇。

7．宋代诗人陈与义的《襄邑道中》：“飞花两岸照船红，百里榆堤半日风。

CISA考试练习(习题卷4)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下面哪一项技术最能帮助S审计师合理地确信项目可以按时完成?A)基于完成百分比和预估的完成时间(来自状态报告)估计实际结日期B)根据与经验丰富的经理和参与完成项目交付成果的员工的面谈情况，确认目标日期C)根据已完成的工作包和当前资源对最终结束日期进行推断D)根据当前资源和剩余可用项目预算计算预期结束日期答案:C解析:A.IS审计师不能依赖状态报告中数据的准确性来取得合理保证。

B.面谈是一种有用的信息来源，但不一定能发现任何项目挑战，因为被访谈的人置身项目之中C.直接观察结果要好于从面谈或状态报告中获得的估计和定性信息。

项目经理和参与的员工往往低估完成项目所需的时间以及由于任务间的依赖关系而必需的时间缓冲，但高估进行中的任务的完成百分比(即80:20规则)。

D.根据剩余预算进行的计算没有考虑项目进展的速度。

2.[单选题]为了适应组织内部不断增多的移动设备，IS管理部门最近用无线基础构架替换了现有的有线局域网（LAN）。

这将增加以下哪种攻击风险？A)端口扫描B)后门C)中间人D)战争驾驶答案:D解析:战争驾驶适应无线以太网（设置为混杂模式）和大功率天线，从外部渗透进无线系统。

端口扫描一般以组织的外部防火墙为目标。

后门是软件中留下的接入口，攻击者可以利用这个接入口在不被发觉的情况下进入系统。

中间人攻击截取一条消息后会将其替换或修改。

3.[单选题]以下哪项是数据保护最重要的目标？A)识别需要访问信息的人员B)确保信息的完整性C)拒绝或授权对IS系统的访问权限D)监视逻辑访问答案:B解析:保持数据完整性是数据安全最重要的目标。

如果组织要继续成为可发展的成功企业，则这是十分必要的。

其他选项是用于实现数据完整性这一目标的重要技术。

4.[单选题]以下哪个选项最能限制用户仅使用履行其职责所需的功能？A)应用程序级访问控制B)数据加密C)禁用软盘驱动器D)网络监控设备答案:A解析:使用应用程序级访问控制程序属于管理控制、将用户先知道仅为履行其职责的功能来限制访问。

CISA考试练习(习题卷7)说明：答案和解析在试卷最后第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]为某航空公司的订票系统设计业务连续性计划时，最适用于异地数据转移/备份的方法是A)影子文件处理。

B)电子远程磁带保存。

C)硬盘镜像。

D)热备援中心配置。

2.[单选题]下面的哪一项在赋予供应商临时访问权限时，最有效的控制？A)供应商访问符合服务水平协议（ＳＬA）B)用户帐户创建的截止日期是根据所提供的服务的日期。

C)管理员权限提供了一个有限的期限D)当工作完成时，用户ID、被删除3.[单选题]在审计关键业务领域的灾难恢复计划(DRP)时，某IS审计师发现此计划没有涵盖所有系统。

下列哪项是该IS审计师最应该采取的行动?A)向管理层发出警告并评估不涵盖所有系统的影响。

B)取消审计。

C)完成现有DRP所涵盖系统的审计工作。

D)推迟审计直至将相关系统添加到DRP中。

4.[单选题]在进行业务连续性计划(BCP) 测试中，宜执行下列哪一项任务?A)审查备用处理站点合同B)评估异地处理站点的安全性C)评估对关键信息的恢复能力D)审查保险的承保范围5.[单选题]用于IT开发项目的业务模式（或业务案例）文档应该被保留，直到：A)系统的生命周期结束B)项目获得批准C)用户验收了系统D)系统被投入生产6.[单选题]在入侵检测系统(IDS)的运行中，最常见的问题是A)误报检测。

B)接收陷阱消息。

C)误拒绝率。

D)拒绝服务(DoS)攻击。

7.[单选题]在实施IT平衡计分卡(BSC)之前，组织必须:A)提供有效且高效的服务。

B)定义关键绩效指标。

C)为IT项目带来商业价值。

D)控制IT费用。

8.[单选题]在结束会议时，信息系统审计师强调，由于操作员错误导致错过了备份周期，且这些异常事件没有得到管理，以下哪一项是帮助管理层理解相关风险的最佳方式?A)解释对灾难恢复的影响B)解释对事故管理的影响C)解释对备份计划的影响D)解释对资源需求的影响9.[单选题]如果高级管理层未针对IT战略计划承担相关义务，最有可能产生的影响是:A)缺少技术投资。

CISA考试练习(习题卷13)说明：答案和解析在试卷最后第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在实施电子数据交换（EDI）程序项目时，下面那一项应该是被包括在项目可行性分析中？A)加密算法形式B)详细的内部控制流程C)必要的通讯协议D)推荐的可信任第三方协议2.[单选题]使用数字签名时，由谁计算消息摘要:A)仅由发送者B)仅由接收者。

C)由发送者和接收者。

D)由证书颁发机构(CA)。

3.[单选题]以下哪一项是判断事故严重级别的首要标准?A)业务影响B)恢复速度C)识别时间D)数据完整性4.[单选题]在人力资源(HR)审计期间，IS审计师被告知，IT与HR部门之间就期望的T服务级别达成一项口头协议。

在这种情况下，IS审计师首先应该做什么A)推迟审计，直至将协议记录在案。

B)将存在未记录的协议这一情况报告给高级管理层。

C)与两个部门确认协议的内容。

D)为两个部门起草一份服务等级协议(SLA)。

5.[单选题]对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称为：A)回馈错误控制B)块求和校验C)转发错误控制D)循环冗余校验6.[单选题]组织实施一个新的系统以替代遗留的系统。

下面哪个转换方法产生了最大的风险？A)试点B)并行C)直接转换D)逐步实施7.[单选题]一家企业试图在整个信息生命周期中控制与存储介质相关的成本，同时仍然满足业务和法规要求。

以下哪一项是达成这一目标的最佳方式？A)实施数据保留政策B)将备份流式传输到云端C)执行定期磁带备份D)利用固态内存8.[单选题]IS审计师发现在一天的某些时段数据仓库的查询性能会明显降低。

以下哪项控制措施与其最为相关，需要IS审计师进行审查?A)永久性表空间分配B)提交和回滚控制C)用户假脱机和数据库限制控制D)日志的读写访问权限控制9.[单选题]應該首先審閱：A)IT基礎架構B)企業的管理政策、標准和流程C)法律和法規的要求D)企業的管理政策、標准和流程是否得到有效的執行10.[单选题]为了最好地实现IT项目组合与战略性的组织优先级的一致性，IS审计师应建议下列哪个选项A)为测量绩效定义一个平衡记分卡(BSC)B)考虑关键绩效指标(KPI)中的用户满意度C)根据业务效益和风险选择项目。

2021年第一期CCAA国家注册审核员复习题—ISMS信息安全管理体系知识一、单项选择题1、不属于计算机病毒防治的策略的是（）A、确认您手头常备一张真正“干净”的引导盘B、及时、可靠升级反病毒产品C、新购置的计算机软件也要进行病毒检测D、整理磁盘2、文件化信息创建和更新时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准3、以下对GB/T22081-2016/IS0/IEC27002:2013标准的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS时，必须满足该标准的所有要求4、保密性是指（）A、根据授权实体的要求可访问的特性B、信息不被未授权的个人、突体或过程利用或知悉的特性C、保护信息的准确和完整的特性D、以上都不対5、为确保采用一致和有效的方法对信息安全事件进行管理，下列控制措施哪个不是必须的？（）A、建立信息安全事件管理的责任B、建立信息安全事件管理规程C、对信息安全事件进行响应D、在组织内通报信息安全事件6、下面哪一种功能不是防火墙的主要功能?A、协议过滤B、应用网关C、扩展的日志记录能力D、包交换7、风险评价是指（）A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对8、创建和更新文件化信息时，组织应确保适当的（）A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准9、在安全模式下杀毒最主要的理由是（）A、安全模式下查杀病速度快B、安全模式下查杀比较彻底C、安全模式下查杀不连通网络D、安全模式下查杀不容易死机10、信息安全管理中，支持性基础设施指：（）A、供电、通信设施B、消防、防雷设施C、空调及新风系统、水气暖供应系统D、以上全部11、以下可表明知识产权方面符合GB/T22080/ISO/IEC27001要求的是：（）A、禁止安装未列入白名单的软件B、禁止使用通过互联网下载的免费软件C、禁止安装未经验证的软件包D、禁止软件安装超出许可权规定的最大用户数12、《计算机信息系统安全保护条例》规定：对计算机信息系统中发生的案件，有关使用单位应当在()向当地县民政府公安机关报告A、8小时内B、12小时内C、24小时内D、48小时内13、保密协议或不泄露协议至少应包括：（）A、组织和员工双方的信息安全职责和责任B、员工的信息安全职责和责任C、组织的信息安全职责和责任D、纪律处罚规定14、抵御电子邮箱入侵措施中，不正确的是（）A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、自己做服务器15、对于外部方提供的软件包，以下说法正确的是：（）A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对16、实施管理评审的目的是为确保信息安全管理体系的（）A、充分性B、适宜性C、有效性D、以上都是17、信息是消除（）的东西A、不确定性B、物理特性C、不稳定性D、干扰因素18、国家秘密的保密期限应为:（）A、绝密不超过三十年，机密不超过二十年，秘密不超过十年B、绝密不低于三十年，机密不低于二十年，秘密不低于十年C、绝密不超过二十五年，机密不超过十五年，秘密不超过五年D、绝密不低于二十五年，机密不低于十五年，秘密不低于五年19、信息安全风险的基本要素包括（）A、资产、可能性、影响B、资产、脆弱性、威胁C、可能性、资产、脆弱性D、脆弱性、威胁、后果20、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

CISA考试练习(习题卷10)说明：答案和解析在试卷最后第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]IT 灾难恢复时间目标(RTO)应基于以下哪一项?A)最多可容许丢失的数据B)根据业务定义的系统关键性C)最多可容许的停机时间D)中断的根本原因2.[单选题]一家公司部署了一套新的C、S企业资源管理（ERP）系统。

本地分支机构传送客户订单到一个中央制造设施，下列哪个最好地保证了订单准确地输入和相应的产品被生产了？A)验证产品和客户订单B)在ERP系统中记录所有的客户订单C)在订单传输过程中使用hA、sh总数D)（产品主管）在生产前批准订单3.[单选题]当使用USB、闪存盘传递保密的公司数据到一个离线位置时，一个有效的控制应该是：A)用便携保险箱携带闪盘B)向管理层担保不会丢失闪盘C)请求管理层用快递公司送闪盘D)用一个强密钥加密包含这些数据的目录4.[单选题]建立一个信息安全体系的最初步骤是：A)开发和实施信息安全标准手册B)由信息安全审计师实施的全面的安全控制评审C)企业信息安全策略声明D)购买安全访问控制软件5.[单选题]对于IS审计师来说，执行以下哪项测试能够最有效地确定对组织变更控制流程的遵守情况?A)审查软件迁移记录，并对审批进行核查。

B)识别所做的变更，并对审批进行核查。

C)审查变更控制记录，并对审批进行核查。

D)确保只有相关员工才能将变更迁移到生产中。

6.[单选题]以下哪项是为IS备份文件选择一个异地备份站点设施所最重要的标准？异地设施必须：A)物理上和数据中心隔离防止处在相同的风险中。

B)给予和数据中心相同级别的保护。

C)外包给可靠的第三方。

D)配置监控能力。

7.[单选题]一位IS审计师在检察系统访问时发现，具有访问特权的用户数量过多，IS审计师与系统管理员讨论这一情况，管理员说，其他部门的一些工作人员需要访问特权，而管理层也批准了。

以下哪一项是IS审计署应采用的最佳行动A)确定补偿性控制是否到位B)在审计报告中记录这一问题C)建议对流程进行更新D)与高层管理人员讨论此问题8.[单选题]对IS审计师而言，验证关键生产服务器是否在运行供应商发布的最新安全更新的最佳途径是以下哪一项?A)确保在关键生产服务器上启用自动更新。

1、企业部是企业经营创新的（），其主要职责是为企业决策提供依据，并负责企业整体策划的综合类企划案的编制工作。

A、决策参谋部门B、决策实施部门C、管理监督部门D、决策制定部门2、属于判断类知识结构的有（）A、文案格式B、技术经济学C、心理学D、信息分析3、企业的决策的决策思想变成全体员工的行动，是需要一个过程的。

因此，策划要相对于管理者（）所需的时间超前。

A、思维降解B、行动分解C、行为分解D、认识降解4、决策基因的判断功能，是（）A、策划者外在表现出来的创新能力B、策划者外在表现出来的判断能力C、策划者外在表现出来的整理能力D、策划者内在决策能力5、在管理策划中，将管理行为从发生到结束尽量简短的做法，符合管理策划的（）原则。

A、高效率B、互换性C、低成本D、点衔接答案：A6、产品功能定位方法是（）。

A、以产品给客户带来的形象变化为导向，如娃哈哈B、以产品功能所产生的消费效果为导向，如农夫山泉C、以产品的使用功能为导向，如蓝天六必治D、以产品特征为导向，如白加黑答案：C7、伏笔法的含义是（）A、不以原策划课题为解决对象，改换问题的内容，重新设立策划课题，再加以策划B、为开展心目中的策划方案，预先创造策划依据或实施基础C、用实际的、让消费者看得见的功能效果来证实产品的优越性D、把先进地区的新兴项目（或商务形式）照搬到后进地区去8、"策划"一词在中国文化中具有重要的地位。

"策"在"策划"组词中是（），是揭示深藏在商务背后的规律的含义。

A、道破天机B、导引潮流C、规划蓝图D、超越时代答案：A9、企业部是企业经营创新的（），其主要职责是为企业决策提供依据，并负责企业整体策划的综合类企划案的编制工作。

A、决策参谋部门B、决策实施部门C、管理监督部门D、决策制定部门10、企业战略策划方案是一个思想体系，主要包括（）、根本目的、主要目的、竞争手段和行动步骤等。

2024年第一期CCAA注册审核员ISMS信息安全管理体系考试题目一、单项选择题1、Saas是指(）A、软件即服务B、服务平台即月勝C、服务应用即服务D、服务瞇即服务2、下列不属于公司信息资产的有A、客户信息B、被放置在IDC机房的服务器C、个人使用的电脑D、审核记录3、制定信息安全管理体系方针，应予以考虑的输入是（）A、业务战略B、法律法规要求C、合同要求D、以上全部4、从计算机安全的角度看，下面哪一种情况是社交工程的一个直接例子?（）A、计算机舞弊B、欺骗或胁迫C、计算机偷窃D、计算机破坏5、组织应（）与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部事项。

A、确定B、制定C、落实D、确保6、以下说法不正确的是(）A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新7、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果8、依据《中华人民共和国网络安全法》，以下正确的是（）。

A、检测记录网络运行状态的相关网络日志保存不得少于2个月B、检测记录网络运行状态的相关网络日志保存不得少于12月C、检测记录网络运行状态的相关网络8志保存不得少于6个月D、重要数据备份保存不得少于12个月，网络日志保存不得少于6个月9、关于容量管理，以下说法不正确的是（）A、根据业务对系统性能的需求，设置阈值和监视调整机制B、针对业务关键性，设置资源占用的优先级C、对于关键业务，通过放宽阈值以避免或减少报警的干扰D、依据资源使用趋势数据进行容量规划10、根据《互联网信息服务管理办法》规定，国家对经营性互联网信息服务实行（）A、国家经营B、地方经营C、许可制度D、备案制度11、在根据组织规模确定基本审核时间的前提下,下列哪一条属于增加审核时间的要素?A、其产品/过程无风险或有低的风险B、客户的认证准备C、仅涉及单一的活动过程D、具有高风险的产品或过程12、依据GB/T22080/ISO/IEC27001，建立资产清单即：（）A、列明信息生命周期内关联到的资产，明确其对组织业务的关键性B、完整采用组织的固定资产台账，同时指定资产负责人C、资产价格越高，往往意味着功能越全，因此资产重要性等级就越高D、A+B13、容灾的目的和实质是（）A、数据备份B、系统的C、业务连续性管理D、防止数据被破坏14、下列哪项不是监督审核的目的？（）A、验证认证通过的ISMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能引起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定15、关于信息安全管理体系认证，以下说法正确的是（）A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期16、虚拟专用网(VPN)的数据保密性，是通过什么实现的?（）A、安全接口层(sSL,SecureSocketsLayer〉B、风险隧道技术(Tunnelling)C、数字签名D、风险钓鱼17、信息分级的目的是（）A、确保信息按照其对组织的重要程度受到适当级别的保护B、确保信息按照其级别得到适当的保护C、确保信息得到保护D、确保信息按照其级别得到处理18、当发现不符合项时，组织应对不符合做出反应，适用时（）。

公共关系与CIS：A卷参考答案一、判断对错：（1*10=10分）1．培训公关人员是公关部的专门活动的内容。

（错）2．盈利性是公关公司的基本特征之一。

（对）３．培养公关人员也可聘请专家指导。

（对）４．企业刊物的形式指的就是报纸和杂志。

（错）5．公历12月25日是圣诞节，北美人习惯吃烤火鸡。

（错）6．社交场合为他人介绍时，应先把年长者介绍给年轻者，女子介绍给男子。

（错）7．与欧美人忌谈私人性质的话题，如年龄、婚姻、收入等。

（对）8．“狗咬人不是新闻，人咬狗才是新闻。

”这说明新闻具有特殊性。

（对）9．5月的第二个星期天是母亲节，6月的第二个星期天是父亲节。

（错）10．不要给英国人、加拿大人送百合花，百合花被他们认为是死亡之花。

（对）二、简答：（6*5=30分）1．试比较分析公关广告与商品广告的异同。

答：相同点：它们是一种手段，都是通过广告的形式来达到某种目的。

不同点：（1）二者的直接目的不同。

前者是为了树立企业良好的形象，提高其知名度；后者是为了推销商品。

（2）二者内容不同。

前者是注重长期性、系统性，通过服务使人认识产品，追求整体效益；后者是通过宣传商品的商标，质量，性能等直接促销商品。

（3）二者效果不同。

前者侧重组织知名度的传播效果；后者侧重营业效果。

（4）二者应用范围不同。

前者适用于经济行业，行政事业和政府部门；后者适用于工业、商业等经济行为的企业。

（5）二者报道方式不同。

前者含蓄，唤起客户对组织的好感，乐趣；后者则直接列出商品的功效。

2．公关组织机构的类型有哪几种？组织内部的公共关系部、专门的公共关系公司、公共关系社团3．公关的主要职能如何？1、采集信息2、传播沟通3、协调关系4、咨询建议4．公关的基本原则怎样？1、以事实为基础2、以公众研究为依据3、以科学理论为指导4、以公众利益为出发点5、以全员的公共关系意识为保证6、以上层领导支持为动力5．你怎样看待“制造新闻”？制造新闻是当前公共关系的一项重要活动内容，组织制造新闻应该：抓住公众最关注的话题；抓住“新、奇、特”三点；与传统的盛大节日或纪念日联系在一起；与权威人士或社会名流联系在一起；与新闻机构联合；制造热烈的气氛强化效果。

CISA考试练习(习题卷12)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]使用数字签名的主要原因是确保数据：A)机密性。

B)完整性。

C)可用性。

D)时效性。

答案:B解析:数字签名可提供完整性，这是由于已签名消息（文件、邮件、文档等）的数字签名在每次文档的单个位发生变化时就会随之更改；因此无法修改已签名的文档。

根据实施数字签名时所选的机制，该机制有可能会保证数据的机密性甚至时效性，但并不百分之百可以保证。

可用性与数字签名无关。

2.[单选题]管理网络攻击风险的第一步是：A)评估弱点的影响B)评估危险的可能性C)确认关键信息资产D)评估潜在的破坏答案:C解析:风险管理的第一步是识别和分类出关键信息资源（资产）。

一旦识别出关键信息资产，我们就要去识别威胁和脆弱性，预测潜在的损失。

3.[单选题]大学的IT部门和财务部（FSO，financial services office）之间签有服务水平协议（SLA），要求每个月系统可用性超过98%。

财务部后来分析系统的可用性，发现平均每个月的可用性确实超过98%，但是月末结账期的系统可用性只有93%。

那么，财务部应该采取的最佳行动是：A)就协议内容和价格重新谈判B)通知IT部门协议规定的标准没有达到C)增购计算机设备等（资源）D)将月底结账处理顺延答案:A解析:4.[单选题]企业在公司内部建立了数据中心，但将它的主要财务应用系统的管理外包给其他公司。

要确保外包公司的员工是否遵守公司的安全策略，下面那一项控制是最好的？A)要求所有用户在合公司的安全策略上签字表示保证遵守。

B)在与服务商签订的外包合同中规定赔偿的条款。

C)对所有用户实施强制性的安全意识培训。

D)应该由第三方用户修改安全策略，满足其合规性答案:B解析:让服务供应商签署赔偿条款能确保符合企业的安全策略，因为只要发现任何违规行为，都将导致服务供应商承担财务（经济）责任。

CISA考试练习(习题卷26)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]如果打算利用其他审计师的工作报告，信息系统审计师应做到：A)确定该工作报告是否是在上个月完成的。

B)确保被审计单位同意这些工作报告中指出的主要问题。

C)较少依赖其他审计师的工作成果。

D)考虑该工作报告的适当性和充足性。

答案:D解析:2.[单选题]为保护异地存储备份的介质，存储站点应该做到：A)设置在建筑物的不同楼层。

B)任何人都容易获得的。

C)清晰的标签以便应急使用。

D)防止未授权的访问。

答案:D解析:异地存储站点应一直得到保护，防止未授权的访问，并且至少与主站点具有形同的安全要求。

选项A不正确，如果备份在同一个建筑物内，它就会受到同一个事件的影响并且很可能会不可访问。

选项B和C增加了未经授权的访问的风险。

3.[单选题]下面那种发送者鉴定方法是最值得信赖的？A)数字签名B)不对称加密C)数字证书D)消息鉴定码答案:A解析:数子证书是由一个信赖的第三者发布。

信息随同证书一起发送，接收者能验证性证书的真实性。

使用非称密钥认证发送者，而发送者是非常脆弱的，例如：公共密钥构架 (PKI) 。

数子签字用来授权和保密的,但发送者的身份仍然需要数字证书确认，相同都会安静被数传证书确认。

信息认证码作为信息完整性校验。

4.[单选题]一家跨国销售组织正在制定新的计划，希望通过移动电话向客户提供信息服务。

这家组织雇佣的IT经理的主要职责是：A)执行可行性分析B)评估技术实力C)准备业务案例D)寻找解决方案提供商答案:B解析:在这种场景下，IT经理应负责为此项计划评估技术实力。

可行性分析、准备业务案例更可能由业务或流程负责人，而非IT经理执行。

寻找解决方案提供商的任务由跨职能团队执行；这不是IT经理的主要职责。

点评：技术经理关注技术实现的问题，而不是项目的意义和价值5.[单选题]虚拟专用网（VPN）提供以下哪一种功能？A)对网路嗅探器隐藏信息B)强制实施安全政策C)检测到网路错误和用户对网路资源的滥用D)制定访问规则答案:A解析:6.[单选题]IT指导委员会应从根本上对信息系统进行评定：A)IT流程是否支持业务需求B)系统功能是否完善C)现有软件的稳定性D)现有技术的复杂度答案:A解析:IT指导委员会的任务是确保信息系统部门与组织的目标一致。

CISA 2013历年真题回忆汇编2013年3月24日更新说明：（1）本习题集为我培训班考生提供的2010－2012年共五次CISA考试部分真题回忆，习题仅涵盖真实考试的知识点与题目及相关选项描述。

鉴于回忆的偏差性，真实考题通常会有更长篇幅的背景及题干描述。

（2）由于官方从不公布历年真题及答案，建议学员将此真题汇编在考前作为冲刺题使用，仅学员评估知识体系掌握的完备性并进一步熟悉考试的难度。

（3）本习题集为历年真题，参考答案仅为参考，涉及相关知识点请学员参考各章节知识体系指南，以加深对考点的理解和掌握。

（4）CISA每次考试均为在全球范围内征集新题并更新题库，切忌盲目背题。

对IT部门的战略规划流程/程序的最佳描述是：选项:A、依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划B、IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要求的优先顺序的程序C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求D、IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推动，快于对组织计划的推动参考答案:C用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点选项:A、确认测试目标是否成文B、评估用户是否记载了预期的测试结果C、检查测试问题日志是否完整D、确认还有没有尚未解决的问题参考答案:D某IS审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯，而微机只支持异步ASCII字符数据通讯。

为实现其连通目标，需为该IS审计人员的微机增加以下哪一类功能？选项:A、缓冲器容量和并行端口B、网络控制器和缓冲器容量C、并行端口和协议转换D、协议转换和缓冲器容量参考答案:D在关于外部信息系统服务的合同的以下条款中，IS审计师最不关心的是哪项？选项:A、程序和文件的所有权B、应有的谨慎和保密声明C、灾难情况下外包人的持续服务D、供货商使用的计算机硬件的详尽描述参考答案:DWEB服务器的逆向代理技术用于如下哪一种情况下？选项:A、HTTP服务器的地址必须隐藏B、需要加速访问所有发布的页面C、为容错而要求缓存技术D、限制用户（指操作员的带宽）参考答案:A以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？选项:A、磁墨字符识别（MICR）B、智能语音识别（IVR）C、条形码识别（BCR）D、光学字符识别（OCR）参考答案:D能力计划流程的关键目标是确保：选项:A、可用资源的完全使用B、将新资源及时添加到新的应用系统中C、可用资源的充分和有效的利用D、资源的利用率不低于85%参考答案:C在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为IS审计人员提供最大的帮助？选项:A、系统故障时间日志B、供应商的可靠性描述C、预定的定期维护日志D、书面的预防性维护计划表参考答案:A下面哪一句涉及包交换网络的描述是正确的？选项:A、目的地相同的包穿过网络的路径（或称为：路径）相同B、密码/口令不能内置于数据包里C、包的长度不是固定的，但是每个包内容纳的信息数据是一样的D、数据包的传输成本取决于将传输的数据包本身，与传输距离和传输路径无关参考答案:D分布式环境中，服务器失效带来的影响最小的是：选项:A、冗余路由B、集群C、备用电话线D、备用电源参考答案:B大学的IT部门和财务部（FSO，financial services office）之间签有服务水平协议（SLA），要求每个月系统可用性超过98%。