CISA中文试题

CISA考试练习(习题卷1)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]对于应用系统控制的有效性，以下哪项措施带来的风险最大？A)去除手动处理步骤B)流程手册不充分C)员工之间互相勾结D)某些合规性问题无法解决答案:C解析:员工之间互相勾结属于持久型的主动攻击，并且很难予以识别，因为即使是考虑周全的应用控制也可被轻易避开。

其他选项则不会影响精心设计的应用控制。

2.[单选题]某人力资源(HR)公司在使用通用用户ID和密码进行身份认证后，为其客人提供无线互联网访问。

通用ID和密码可从接待处申请。

以下哪项控制措施能最好地解决此问题?A)每周更改一次无线网络的密码。

B)在公共无线网络和公司网络之间使用状态检测防火墙。

C)将公共无线网络与公司网络物理隔开。

D)在无线网络中部署入侵检测系统(IDS)答案:C解析:A.更改无线网络的密码不能防止未经授权访问公司网络，特别是在每周一次的密码变更间隔之前客人可随时访问无线局域网(WLAN)B.状态检测防火墙将甄别从无线网络进入公司网络的所有数据包;但需要审计防火墙的配置，还可能产生防火墙泄漏(虽然不太可能)C.将无线网络与公司网络物理隔离是保护公司网络免受入侵的最佳方法D.入侵检测系统(IDS)将检测入侵，但不阻止未经授权个人访问网络。

3.[单选题]风险管理过程的输出是为什么作为输入的？A)业务计划B)、审计章程。

C)、安全政策决定。

D)软件设计的决定。

答案:C解析:风险管理过程是为作出特定的安全相关的决策，比如可接受的风险水平。

选择A、B和D不是风险管理过程的的最终目的。

4.[单选题]最佳业务连续性策略的一个实例，是由：A)最低停机成本和最高恢复成本B)最低停机成本和恢复成本总和C)最高停机成本和最低恢复成本D)停机成本和恢复成本的平均值答案:B解析:这两种成本必须最小化，并且该策略是最低成本的最佳策略。

最高的恢复成本策略不能是最佳的。

1.在一个无人的资料中心适合用什么消防器具A.二氧化碳B.喷水灭火器C.干管D.七氟丙浣2.以下哪一种消防器具不会影响环境A.二氧化碳B.喷水灭火器C.干管D.FM2003.一位稽核师参与了系统开发设计，又被指派为查核人员，该名稽核人员应A.直接拒绝，由于影响独立性B.向总稽核反响自己参与系统开发设计C.请总稽核另派人员查核，自己从旁帮助D.承受查核4.使用以太网络连接多个跨国的局域网络，最大风险是A.数据会储存于以太网络的节点，简洁失窃B.以太网络没有加密的功能C.以太网络简洁被DOSD.5.以下哪种协议于运作的防火墙中开启，会有最大的风险A.FTPB.SMTPC.SNMPD.NSP6.连结银行网络，观看银行网络首页的网址为「 s：//」，表示A.连进了银行的内部网络B.银行已对网络功能做了某种程度的功能管制C.银行已经隐蔽了IP 位置D.7.以下哪项是电子交易系统最大的风险A.未启动交易轨迹B.未作路由校验C.未验证客户身分即进入交易接口D.密码没有加密8.以下哪项是应负帐款系统最大的保证A.业务流程已经做了明确的职能分工B.每位会记同仁的交易作业都会被确实纪录C. D. 9. A. B. C. D.10. A. B.每位会记同仁的作业时，作业账号皆会被计入内文表头密码没有共享RSA 的主要缺点公钥简洁被破解私钥简洁被破解简洁被反运算简洁被解译成明文使用镜射的主要缘由可以取消异地备份可以增加数据可用性C.由于需要定期异地备分数据D.由于可以加速反响时间11.一个电子商务公司有浩大的客户主档，及很小的交易纪录，因此用每月完全备份、每日增量备份，由于A.增加CPU 效率B.可以加强备份文件的管控C.搜寻档案时可以加快速度D.复原档案时比较快速12.要出售的储存媒介，应如何处理A.消磁B. C. D.13. A. B. C. D.14. A. B. C. D.15. A. B. C.格式化复写随机数资料删除数据预备重复使用的储存媒介，应如何处理消磁格式化复写随机数资料删除数据以下哪项是作业处理流程完整的最大保证业务流程已经做了明确的职能分工业务特别中断时，系统会自动记录，定期检视每一笔处理数据皆由部门经理确认处理完毕，需要签名确认生物辨识的最大风险未于首次作正确的数据输入错误承受率很高错误拒绝率很高D.16. A. B. C. D.17. A. B. C. D.18. A. B. C. D.19. A. B. C. D.20. A. B. C. D.21. A. B. C. D.22. A. B. C. D.23. A.生物辨识有效的最大保证首次即作正确的数据输入定期作生物特征更请登录人员同时供给多个生物特征辨识完成后，由工作人员作再次确认以下何者是最有效的实体存取把握螺旋门栓闭录电视口令密码识别证以下何者是最有效的火灾侦测器烟雾侦测器水烟侦测器连结于警卫室的火灾警爆器如何有效防止员工使用NB 从公司下载档案档案加密使用计算机生物辨识技术制定档案下载政策削减可下载点如何有效在网络环境防止蠕虫削减网络节点接种疫苗防火墙防毒软件双方公司互不生疏下，第一次如何建立公钥体系的真实性使用自己的公钥直接传予对方，此公钥是经过认证中心认证派自己的IT 人员，去对方的公司传送对方的公钥回公司用一事先商定的口令加密公钥，再传输予对方传输前先以连络，再传输常常断电，每次断电就8 小时以上的公司，应使用以下何种设备发电机备源线路UPS紧急迫换开关处于地震带之公司，应预备灾难复原打算B.预备热备援地点C. D.24. A. B. C. D.25. A. B. C. D.26. A. B. C. D.27. A. B. C. D.28. A. B. C. D.29. A. B. C. D.30. A. B. C. D.持续备份数据另一个办公地点，确定不能位于同一个地震带上公司要恢复数据时，应如何从异地备份地点取回数据每日轮番搬运数据每日定时传输数据使用电子地窖搬回数据派公司人员取回资料稽核目标应如何打算风险分析公司政策董事会决议重要的业务流程制定业务持续打算时，会参考以下何种数据实行的本钱恢复时的本钱高阶经理推举的优先级如何确认业务持续打算的有效性与供货商一起争论与高阶主管纸上测试一次全体员工完整测试一次参考类似的标竿企业如何确认灾难复原测试的结果是可以被承受的与供货商一起沙盘推演结果的评估纸上测试结果的评估全体员工完整测试结果的评估比较类似标竿企业的测试结果以下哪项是治理阶层持续关心信息科技的最大保证治理阶层定期订阅信息期刊IT 部门定期将公司信息的使用状况会报予治理阶层，并检讨使用最的科技治理阶层有专业的IT 学问与技术如何确保员工有效的利用网络资源员工自治同时使用几套不同的系统、软件，以供给使用的弹性随时更成市面上最的系统、软件定期购置几套市面上常用的系统、软件，以供给使用的弹性31.备份数据的储存环境须考虑A. B. C. D.32. A. B. C. D.33. A. B. C. D.34. A. B. C. D.35. A. B. C. D.36. A. B. C. D.37. A. B. C. D.38. A. B.储存环境的温度、湿度储存容器的温度、湿度储存容器对消防器材的抵抗力储存介质对消防器材的抵抗力稽核人员应如何确认消防设施检查使用期限现场使用信任IT 人员的保证以下何种生物辨识系统效果最正确虹膜指纹声纹脸部轮廓VPN 是什么公用网络虚拟化私人网络虚拟化一条网络专线一种有保护线路热备援地点应确保存放档案有清楚的标示重要设备有清楚的标示硬设备的替代性位于一段很远的距离稽核人员于CSA 的角色问题辨识人员引导顺当进展的人员促进人员监视人员处理力气指标〔Throughput Index〕是指系统很忙的时间占全系统运作时间的比例系统故障时间的比例系统资源使用率单点登入〔SSO〕的主要风险一次登入全部系统单一系统故障会影响全部系统C.系统整合困难D.39. A. B. C. D.40. A. B. C. D.41. A. B. C. D.42. A. B. C.不能有效的留下访问轨迹一个公司宣称到达力气成熟度模型〔CMM〕的最高级，可以期望持续的改进已使用IT 平衡计分卡全部程序皆已经被遵循良好的系统质量治理，有赖于高阶主管的支持员工及品保人员的团结实施了力气成熟度模型〔CMM〕一套清楚的质量政策在无线网络环境中，以下哪一项为哪一项防止未授权存取的有效方式使用WEP档案加密验证IP 或网卡使用XML假设觉察打进客服中心，放弃挂断的比例很高，表示客服人员不够线数不够客服人员第一次就能解决问题的力气缺乏D.没有订好效劳契约43.对一个应用系统进展稽核，下面哪种状况会损害稽核人员的独立性？A.在应用系统开发过程中，实施了具体的把握B.设计并嵌入了特地稽核这个应用系统的稽核模块C.作为应用系统的工程组成员，但不是以后的作业使用人员D.为应用系统最正确实践供给询问意见44.稽核中觉察有一种欺诈舞弊行为与经理的账号有关，经理把他的密码写在桌子上，稽核人员可以推想的结论是：A.经理的下属有舞弊行为B. C. D.45. A. B. C. D.不能确定是谁做的经理有舞弊行为系统治理员有舞弊行为为确保稽核资源有效的安排，第一步是：制定稽核时程表，并监视花在每一个稽核工程上的时间训练稽核人员使用目前公司正在使用的最技术依据具体的风险评估确定稽核打算监视稽核的进展并开头本钱把握措施46.稽核人员在评估公司的网络是否员工渗透，以下哪一个是稽核人员应当最重视的？A.有一些外部网络可以连进公司网络B.用户可以在他们的计算机上安装软件C.没有安装网络监控软件D.全部员工的账号密码都是一样的47.Surge Protector 的用途A.防止静电B.防止电压不稳C.防止临时断电D.防止电波干扰48.SSL 与SET 的差异A.保密B.牢靠C.完整D.不行否认49.在员工离职时，最应留意A.已经与接替的员工完成交接B.账号密码已经删除C.业务接触的人员都已经被通知D.完成离职手续50.确定类似的信息处理设施的性能〔或效能〕的最正确方式是A.用户满足度B.目标的实现C.基准测定D.力气和进展打算51.检查用于互联网通讯的网络时，IT 审计师应当首先检查A.是否口令常常修改B.客户/效劳器应用的框架C.网络框架设计D.防火墙保护和代理效劳器52.制定基于风险的审计战略时，IS 审计师应当实施风险评估，以确定A.已经存在减免风险的把握B.找到了弱点和威逼C.已经考虑到审计风险D.实施差异分析是适当的53.简洁传输协议的主要缺点54.简洁邮件协议的主要缺点55.电子地窖的主要缺点。

CISA中文题1、在信息系统审计中，关于所收集数据的广度的决定应该基于：A、关键及需要的信息的可用性B、审计师对（审计）情况的熟悉程度C、被审计对象找到相关证据的能力D、此次审计的目标和范围说明：所收集数据的广度与审计的目标和范围直接相关，目标与范围较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。

审计范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程度限制。

收集所需的所有证据是审计的必要要素，审计范围也不应受限于被审计对象找到相关证据的能力。

2、下列那一项能保证发送者的真实性和e-mail的机密性？A、用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息散列(hash)B、发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)C、用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息。

D、用发送者的私钥加密消息，然后用接收者的公钥加密消息散列(hash)说明：为了保证真实性与机密性，一条消息必须加密两次：首先用发送者的私钥，然后用接收者的公钥。

接收者可以解密消息，这样就保证了机密性。

然后，解密的消息可以用发送者的公钥再解密，保证了消息的真实性。

用发送者的私钥加密的话，任何人都可以解密它。

3、下列那一条是椭圆曲线加密方法相对于RSA加密方法最大的优势？A、计算速度B、支持数字签名的能力C、密钥发布更简单D、给定密钥长度的情况下（保密性）更强说明：椭圆曲线加密相对于RSA加密最大的优点是它的计算速度。

这种算法最早由Neal Koblitz 和Victor S. Miller独立提出。

两种加密算法都支持数字签名，都可用于公钥分发。

然而，强密钥本身无需保证传输的效果,而是在于所应用的运发法则(运算法则是保证传输效果好坏的根本)。

4、下列哪种控制可以对数据完整性提供最大的保证？A、审计日志程序B、表链接/引用检查C、查询/表访问时间检查D、回滚与前滚数据库特性说明：进行表链接/引用检查可以发现表链接的错误（例如数据库内容的准确和完整）,从而对数据完整性提供最大的保证。

试卷A1. 一个公司正在实施控制自我评估项目，审计师应该作为什么角色参与：A.监督者。

B.推动者。

C.项目领导者。

D.审计师不应该参与公司控制自我评估项目，因为他这样做可能会引起利益冲突。

答案：B 解释：在控制自我评估项目中，审计师应该成为推动者，推动项目的进展。

2. 一个用户的行为可以被下列那种方式正确地记录和追溯责任？A.识别和批准；B.批准和认证；C.识别和认证；D.批准。

答案：C 解释：如果没有恰当的识别和认证，对于用户的行为不可能追溯责任。

3. 在基于风险审计做计划时，以下哪一步最关键？A.对组织全部环境做整体评估。

B.基于可接受的框架（例如COBIT或COSO)建立审计方法论。

C.文档化审计程序确保审计师获得计划的审计目标。

D.识别控制失效的高风险区域。

答案：D 解释：在为审计项目做计划时最关键步骤是识别高风险区域。

4. 审计痕迹的主要目的：A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。

B.建立完成的审计工作按年代顺序排列的事件链。

C.建立交付处理的业务交易的责任（可追溯责任）。

D.职责分离缺乏的补偿。

答案：C 解释：审计痕迹和其它日志用于补偿缺乏恰当的职责分离，审计痕迹的主要目的是建立交付处理的业务交易的职责（可追溯责任）。

5. 下列哪种风险说明了与程序的陷门有关的风险：A.固有风险B.审计风险C.检查风险D.业务（商业）风险答案：A 解释：程序具有陷门属于固有风险。

6. 对公司信息系统做审计时，审计师的第一步工作应该是：A.开发出战略性审计计划。

B.对公司的业务重点获得理解。

C.做初步的风险评估为基于风险的审计打下基础。

D.确定和定义审计范围和重要性。

答案：B 解释：审计师的第一步是理解公司的业务重点，如果不能理解公司的业务愿景，目标和运营，他不会有能力完成其它任务。

7. 当审计师使用不充分的测试步骤导致没能发现存在的重要性错误，导致以下哪种风险：A.业务（商业）风险。

CISA考试练习(习题卷7)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]为某航空公司的订票系统设计业务连续性计划时，最适用于异地数据转移/备份的方法是A)影子文件处理。

B)电子远程磁带保存。

C)硬盘镜像。

D)热备援中心配置。

答案:A解析:A.在影子文件处理中，与文件完全相同的副本会保存在同一站点或远程站点。

两个文件将同时进行处理。

这种方法适用于关数据文件，如航空公司订票系统。

B.电子远程磁带保存是指通过电子的方式将数据转移至直接访问存储设备、光盘或其他存储介质,银行通常采用此方法。

其实时性一般不如影子文件系统。

C.如果主硬盘发生故障，硬盘镜像可作为备用。

所有交易与操作在同一服务器的两个硬盘上进行。

D.热备援中心是备用站点，准备在发生任何业务中断的几小时内接管业务操作，这不属于种数据备份方法。

2.[单选题]下面的哪一项在赋予供应商临时访问权限时，最有效的控制？A)供应商访问符合服务水平协议（ＳＬA）B)用户帐户创建的截止日期是根据所提供的服务的日期。

C)管理员权限提供了一个有限的期限D)当工作完成时，用户ID、被删除答案:A解析:最有效的控制是确保临时访问基于提供的服务，和关于每个ＩD（希望是自动的）的截至日期。

服务水平协议拥有对于提供的访问的机遇，但是不是控制；它仅仅定义了访问的要求。

供应商要求的访问在服务的时间是有限制的。

然而，确保访问在期间被监控是非常重要的。

在工作完成后删除用户ＩD是必须的，但是如果不是自动的，删除可能被忽略。

3.[单选题]在审计关键业务领域的灾难恢复计划(DRP)时，某IS审计师发现此计划没有涵盖所有系统。

下列哪项是该IS审计师最应该采取的行动?A)向管理层发出警告并评估不涵盖所有系统的影响。

B)取消审计。

C)完成现有DRP所涵盖系统的审计工作。

D)推迟审计直至将相关系统添加到DRP中。

答案:A解析:A.IS审计师应该让管理人员了解到灾难恢复计划(DRP)中遗漏了某些系统。

CISA考试练习(习题卷12)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]使用数字签名的主要原因是确保数据：A)机密性。

B)完整性。

C)可用性。

D)时效性。

答案:B解析:数字签名可提供完整性，这是由于已签名消息（文件、邮件、文档等）的数字签名在每次文档的单个位发生变化时就会随之更改；因此无法修改已签名的文档。

根据实施数字签名时所选的机制，该机制有可能会保证数据的机密性甚至时效性，但并不百分之百可以保证。

可用性与数字签名无关。

2.[单选题]管理网络攻击风险的第一步是：A)评估弱点的影响B)评估危险的可能性C)确认关键信息资产D)评估潜在的破坏答案:C解析:风险管理的第一步是识别和分类出关键信息资源（资产）。

一旦识别出关键信息资产，我们就要去识别威胁和脆弱性，预测潜在的损失。

3.[单选题]大学的IT部门和财务部（FSO，financial services office）之间签有服务水平协议（SLA），要求每个月系统可用性超过98%。

财务部后来分析系统的可用性，发现平均每个月的可用性确实超过98%，但是月末结账期的系统可用性只有93%。

那么，财务部应该采取的最佳行动是：A)就协议内容和价格重新谈判B)通知IT部门协议规定的标准没有达到C)增购计算机设备等（资源）D)将月底结账处理顺延答案:A解析:4.[单选题]企业在公司内部建立了数据中心，但将它的主要财务应用系统的管理外包给其他公司。

要确保外包公司的员工是否遵守公司的安全策略，下面那一项控制是最好的？A)要求所有用户在合公司的安全策略上签字表示保证遵守。

B)在与服务商签订的外包合同中规定赔偿的条款。

C)对所有用户实施强制性的安全意识培训。

D)应该由第三方用户修改安全策略，满足其合规性答案:B解析:让服务供应商签署赔偿条款能确保符合企业的安全策略，因为只要发现任何违规行为，都将导致服务供应商承担财务（经济）责任。

CISA考试练习(习题卷10)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]IT 灾难恢复时间目标(RTO)应基于以下哪一项?A)最多可容许丢失的数据B)根据业务定义的系统关键性C)最多可容许的停机时间D)中断的根本原因答案:C解析:2.[单选题]一家公司部署了一套新的C、S企业资源管理（ERP）系统。

本地分支机构传送客户订单到一个中央制造设施，下列哪个最好地保证了订单准确地输入和相应的产品被生产了？A)验证产品和客户订单B)在ERP系统中记录所有的客户订单C)在订单传输过程中使用hA、sh总数D)（产品主管）在生产前批准订单答案:A解析:验证可以确保产品订单和客户订单的一致性。

纪录的方法可用于发现错误，但是不能保证处理的正确性。

HA、SH总数可以保证传送的正确顺序,但是无法在中心确定正确的顺序。

产品监理批准耗费时间，手工处理不能确保实现了适当的控制。

3.[单选题]当使用USB、闪存盘传递保密的公司数据到一个离线位置时，一个有效的控制应该是：A)用便携保险箱携带闪盘B)向管理层担保不会丢失闪盘C)请求管理层用快递公司送闪盘D)用一个强密钥加密包含这些数据的目录答案:A解析:加密，使用强密钥，是保护闪盘中的信息的最安全的方式。

用便携的保险箱携带闪盘不能够保证保险箱被盗或者丢失事件中的信息安全。

无论你采取什么措施，丢失闪盘的机会始终存在。

快递公司丢失闪盘或者闪盘被偷都是可能的。

4.[单选题]建立一个信息安全体系的最初步骤是：A)开发和实施信息安全标准手册B)由信息安全审计师实施的全面的安全控制评审C)企业信息安全策略声明D)购买安全访问控制软件答案:C解析:一个策略声明，反映了目的和执行适当的安全管理所提供的支持，并建立了发展安全计划的出发点。

点评：先要明确组织的信息安全方针和责任担当5.[单选题]对于IS审计师来说，执行以下哪项测试能够最有效地确定对组织变更控制流程的遵守情况?A)审查软件迁移记录，并对审批进行核查。

CISA考试练习(习题卷11)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下面哪个是没有单独的预防控制的固有风险？A)骑肩跟入法B)病毒C)数据欺骗D)非授权的应用关闭答案:C解析:数据欺骗包括在数据进入计算机前被改变。

这是最常见的一种弊端，因为仅需要有限的技术并在计算机安全防护数据之前就可以实现。

对数据欺骗仅仅有补偿控制。

骑肩跟入法是跟踪一个被授权人通过安全门和能被使用临时门阻止进入的行为。

逻辑的骑肩跟入法是一种根据有权利的某人获得进入的尝试，比如，给授权的电讯连接到中途截获连接的电子附文。

这种行为能被加密信息阻止。

病毒是一种恶意程序代码加入到另一个可执行代码上能自我复制和在计算机间通过共享计算机磁盘进行散播，传递通过电信线路或直接与以感染病毒的机器直接接触。

防病毒软件能用来阻止病毒侵入计算机。

+B2937 应用的停止能被通过直连连接（在线）或非直接连接（拨号上线）到计算机的终端或微机初始执行。

仅有单个人知道最高级别进入系统的ID和密码能初始停止程序，如果有正确的访问控制就是有效的。

2.[单选题]在信息系统审计中，信息信息系统审计员发现企业总部使用了一个无线网络。

什么是审计人员首要应该检查的事情？A)建筑外信号的强度B)配置设置或参数设置C)连接的客户数量D)IP地址分配机制答案:B解析:信息系统审计师应首先检查当前的网络布局和连接的配置，决定是否满足安全需求。

如果进行了适当的加密和安全设置，建筑外信号强度将不用被关注。

从安全角度看，连接的客户数量不是被主要关注的。

IP地址分配机制不是一个安全风险。

3.[单选题]在一个文件上使用保留日期将确保：A)直到日期被设定数据才被读出B)到期前数据不会被删除C)到期后备份副本不被保持D)有相同名字的资料组是分开的答案:B解析:保留日期将确保文件在该日期之前文件不被重写。

保留日期将不影响读文件的能力。

备份副本被期望有一个不同的保留日期，因此文件被重写后可能被保留。

CISA考试练习(习题卷2)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]确定服务交付目标(SDO)的主要依据应该是:A)可接受的最低运营能力B)恢复流程的成本效益C)达到恢复时间目标(RTO)D)允许的运营中断时限 (AIW)答案:A解析:A.服务交付目标(SDO)是正常状况之前在交替过程模式期间要达到的服务水平.此目标与业务需求直接相关。

B.在确定SDO时，恢复流程的成本效益不是主要考虑因素。

C.在确定SDO时，达到恢复时间目标(RTO)可能是一项需要考虑的因素，但属于次要因素D.在确定SDO时，允许的运营中断时限(AW)可能是其中一项需要考虑的次要因素。

2.[单选题]在新系统的设计过程中建立停止点或冻结点是为了:A)防止对进行中的项目进行进一步变更。

B)指示要完成设计的时间点。

C)要求对该点后的变更评估其成本效益性。

D)为项目管理团队提供对项目设计的更多控制权答案:C解析:A.停止点是为了对变更提供更强的控制，而不是防止变更。

B.停止点用于项目控制，而不是建立一个人为的固定点来要求停止项目设计。

C.项目通常会扩展，尤其在需求定义阶段。

这种扩展经常发展到一个临界点，在该点后，最初预期的成本效益会由于项目成本的提高而相应降低。

发生这种情况时，建议停止或冻结项目,以便审查所有成本收益和投资回收期D.停止点用于控制要求而非系统设计。

3.[单选题]作为信息安全处理的结果，战略一致性将提供：A)以企业需要驱动的安全需求B)遵循最佳实践的安全基线C)制度化和商品化的解决方案D)对风险暴露程度的认识答案:A解析:信息安全治理，当被正确执行时，应提供四项基本成果：战略一致性，价值交付，风险管理和绩效评估。

战略一致性为企业需求推动的安全需求提供资源输入。

价值交付提供了一套安全实践的标准做法，即遵循最佳实践的安全基线或制度化或商品化的解决方案。

风险管理提供了一个风险的认识。

CISA中文模拟题465题Chapter 11.下列哪些形式的审计证据就被视为最可靠?口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信2.当程序变化是，从下列哪种总体种抽样效果最好？测试库清单源代码清单程序变更要求产品库列表3.在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：系统程序员.法律人员业务部门经理应用程序员.4.进行符合性测试的时候，下面哪一种抽样方法最有效？属性抽样变数抽样平均单位分层抽样差别估算5.当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：当数据流通过系统时，其作用的控制点。

只和预防控制和检查控制有关.纠正控制只能算是补偿.分类有助于审计人员确定哪种控制失效6.审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。

下列哪些工具最适合从事这项工作?计算机辅助开发工具（case tool）嵌入式（embedded）资料收集工具启发扫描工具（heuristic scanning tools）趋势/变化检测工具7.在应用程序开发项目的系统设计时间，审计人员的主要作用是：建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发排程8.下面哪一个目标控制自我评估(CSA)计划的目标?关注高风险领域替换审计责任完成控制问卷促进合作研讨会Collaborative facilitative workshops9.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证：充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源10.审计轨迹的主要目的是：改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的数据11.在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响：可以使用的CAATs管理层的陈述组织结构和岗位职责.存在内部控制和运行控制12.对于组织成员使用控制自我评估(CSA)技术的主要好处是：可以确定高风险领域，以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish对控制的责任13.下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integrated test facility快照sanpshots审计钩Audit hooks14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？对于链接库控制进行实质性测试对于链接库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试15.在实施连续监控系统时，信息系统审计师第一步时确定：合理的开始（thresholds）指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序16.审计计划阶段，最重要的一步是确定：高风险领域审计人员的技能审计测试步骤审计时间17.审计师被对一个应用系统进行实施后审计。

CISA考试练习(习题卷3)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]下列哪种做法将最能确保具有永久重要性的归档电子信息随着时间推移，仍然能随时访问？A)定期将数据转移到采用当前技术的系统中B)定期备份归档数据C)购买仿效旧软件的应用程序D)对旧硬件执行预防性维护答案:A解析:2.[单选题]当检查IT基础设施时，IS审计师发现存储设备在持续增加，那么他应该：A)建议使用磁盘镜像B)检查异地存储的适当性C)检查能力管理的过程D)建议使用压缩规则答案:C解析:能力管理是计划和监控计算机资源以保证可用的IT资源被高效的和有效的使用。

在推荐使用磁盘镜像解决方案之前应该先考虑业务的关键性，异地存储与本问题无关。

虽然数据压缩可以节约磁盘空间，但会影响系统性能。

3.[单选题]一位IS审计师正在执行合规性测试，以确定控制是否支持管理政策和流程。

测试在以下哪个方面对IS审计师有所帮助：A)获得对控制目标的了解B)保证运行中的控制与设计要求一致C)确定数据控制的完整性D)确定财务报告控制的合理性答案:B解析:合规性测试可用于监测已定义流程的存在性和有效性。

了解合规性测试的目标非常重要。

IS审计师希望其所依赖的控制之有效性具有合理的保障。

了解控制目标是很关键，但这并非执行合规性测试的原因。

实质性测试（而非合规性测试）于数据完整性和财务报告相关。

点评：符合性测试判断控制的有无4.[单选题]软件开发项目中纳入全面质量管理（TQM，total quality managemnet）的主要好处是：A)齐全的文档B)按时交付C)成本控制D)最终用户的满意答案:D解析:5.[单选题]密码应该：A)在首次登录时由安全管理员分配。

B)根据用户意愿每30天更换一次。

C)经常重复使用以确保用户不会忘记密码D)显示在屏幕上以便用户确认密码已被 正确输入。

答案:A解析:初始密码分配应由安全管理员来完成。

CISA问题汇总1、问：compliance testing and substantive testing两种测试的中文翻译答：compliance testing--符合性测试；substantive testing--实质性测试。

符合性测试是现代审计过程中的一个重要步骤。

当我们了解了被审计对象的内部控制系统之后，要对这些控制是否象其的描述的那样良好地执行，确实起到控制作用。

如果一项控制设计良好，实际执行也能令人满意，那么相应的实质性测试的工作量就可以减少，反之就要增加。

２、问:第115 题答：对主文件记录的关键字段进行更新，更新后生成一个报告，以供人工检查，发现错误。

3、问：117题答：信号在沿介质传输的过程中振幅（amplitude）不断弱，称之为衰减(attenuation)。

4、问：Registration authority与Certificate authority的区别答：registration authority:注册机关，负责密钥的维护管理; certificate authority: 发证机关,负责密钥的认证、发放。

5、问：likelihood、outsourced、payroll如何翻译答：likelihood:事情发生的可能性。

outsourced:外包的、资源引入的。

payroll:工资条、工资单。

6、问：As the number of computers in an organization increases, manyorganizations find it useful to interconnect them by acommunications network. A type of network that is used tosupport interconnections within a building is known as ?which the answer is sure, LAN or MAN?答：The right answer is LAN.7、问：参考资料汇编P184的Due professional care 是什么意思，怎样理解？答：Due Professional Care: 应有的职业关注。

CISA中文模拟题1)以下哪一项属于所有指令均能被执行的操作系统模式？A、问题B、中断C、监控D、标准处理标准答案:B分析：系统指令用于处理系统级功能，如加载系统寄存器、管理中断等。

大多数系统指令只能由处于特权级0的操作系统软件执行，其余一些指令可以在任何特权级上执行，因此应用程序也能使用。

表4-2中列出了我们将用到的一些系统指令。

其中还指出了它们是否受到保护。

2)企业将其技术支持职能（help desk）外包出去，下面的哪一项指标纳入外包服务等级协议（SLA）是最恰当的？A、要支持用户数B、首次请求技术支持，即解决的（事件）百分比C、请求技术支持的总人次D、电话回应的次数标准答案:B分析：因为服务台的主要指标是首次解决率。

3)IS审计师检查组织的数据文件控制流程时，发现交易事务使用的是最新的文件，而重启动流程使用的是早期版本，那么，IS审计师应该建议：A、检查源程序文档的保存情况B、检查数据文件的安全状况C、实施版本使用控制D、进行一对一的核查标准答案:C分析：出现了版本不一致的情况，实施版本使用控制。

4)将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用？A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制5)审计客户/服务器数据库安全时，IS审计师应该最关注于哪一方面的可用性？A、系统工具B、应用程序生成器C、系统安全文档D、访问存储流程标准答案:A6)测试程序变更管理流程时，IS审计师使用的最有效的方法是：A、由系统生成的信息跟踪到变更管理文档B、检查变更管理文档中涉及的证据的精确性和正确性C、由变更管理文档跟踪到生成审计轨迹的系统D、检查变更管理文档中涉及的证据的完整性标准答案:A7)分布式环境中，服务器失效带来的影响最小的是：A、冗余路由B、集群C、备用电话线D、备用电源标准答案:B8)实施防火墙最容易发生的错误是：A、访问列表配置不准确B、社会工程学会危及口令的安全C、把modem连至网络中的计算机D、不能充分保护网络和服务器使其免遭病毒侵袭标准答案:A9)为确定异构环境下跨平台的数据访问方式，IS审计师应该首先检查：A、业务软件B、系统平台工具D、系统开发工具标准答案:C10)数据库规格化的主要好处是：A、在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复）B、满足更多查询的能力C、由多张表实现，最大程度的数据库完整性D、通过更快地信息处理，减小反应时间标准答案:A11)以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？A、磁墨字符识别（MICR）B、智能语音识别（IVR）C、条形码识别（BCR）D、光学字符识别（OCR）标准答案:D12)代码签名的目的是确保：A、软件没有被后续修改B、应用程序可以与其他已签名的应用安全地对接使用C、应用（程序）的签名人是受到信任的D、签名人的私钥还没有被泄露标准答案:A13)检查用于互联网Internet通讯的网络时，IS审计应该首先检查、确定：A、是否口令经常修改B、客户/服务器应用的框架C、网络框架和设计D、防火墙保护和代理服务器标准答案:C14)企业正在与厂商谈判服务水平协议（SLA），首要的工作是：A、实施可行性研究B、核实与公司政策的符合性C、起草其中的罚则D、起草服务水平要求标准答案:D15)电子商务环境中降低通讯故障的最佳方式是：A、使用压缩软件来缩短通讯传输耗时B、使用功能或消息确认（机制）C、利用包过滤防火墙，重新路由消息D、租用异步传输模式（ATM）线路标准答案:D16)以下哪一项措施可最有效地支持24/7可用性？A、日常备份B、异地存储C、镜像D、定期测试标准答案:C17)某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求？A、建立一个与供应商相联的内部客户机用及服务器网络以提升效率B、将其外包给一家专业的自动化支付和账务收发处理公司C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI系统D、重组现有流程并重新设计现有系统标准答案:C18)以下哪一项是图像处理的弱点？A、验证签名B、改善服务C、相对较贵D、减少处理导致的变形标准答案:C19)某IS审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输通讯，而微机只支持异步ASCII字符数据通讯。

CISA 中文模拟题（第三、四章，答案在后面）三、信息系统的获取、开发和实施四、信息系统的运行、维护和支持1.一个组织有一个整合式开发环境，链接库在服务器上，但是修改/开发和测试在工作站上完成，以下哪一项是整合式开发环境（IDE）的强项？●控制程序多个版本的扩散●扩展程序资源和可得到的辅助工具●增加程序和加工的整体性●防止有效的变更被其它修改程序重写2.以下哪一项是计划评审技术(PERT)相比其它方法的优点？与其它方法相比:●为计划和控制项目考虑不同的情景●允许使用者输入程序和系统参数.●测试系统维护加工的准确性●估算系统项目成本.3.下列哪些是使用原型法进行开发的优点？●成品系统有足够的控制.●系统将有足够的安全/审计轨迹.●减少部署deployment时间●很容易实现变更控制4.软件开发方法中生命周期法中的瀑布模型最适合用于：●需求完全理解并可望保持稳定，如同系统运行的业务环境一样●需求完全理解并且项目受时间压力影响●项目需要使用对象导向的设计和程序设计方法●项目需要使用新技术5.以下哪种人员要为软件开发团队提供需求说明书负责？●组长●项目发起人●系统分析员●指导委员会.6.在处理决策支持系统时，以下哪一项是实施风险？●管理控制●结构化层次●无法确定用途和使用方式●决策过程的变化7.审计师审查重组织流程的时候，首先要审查：●现有控制图●消除的控制●处理流程图●补偿性控制.8.IS审计师进行应用程序维护审计时，审查程序变更日志是为了：●授权程序变动●创建当前对象模块的日期●程序变化实际产生发生的数量●来源程序创建日期9.组织与供货商签订了成套的电子收费系统(ETCS)解决方案的合同，供货商提供专用的软件作为解决方案的一部分，合同中应该规定：●运行ETCS业务和最新资料的备份服务器.●装有所有相关软件和数据的备份服务器.●对系统的工作人员进行培训，以便处理任何事件.●ETCS应用的原始程序代码放在协力厂商代管in escrow.10.在考虑增加人员到受实施时间限制的项目时，应该先考虑以下哪一步？●项目预算●项目的关键路径●剩余任务的时间长度●员工分配的其它任务11.对于新的或者现有改进的业务应用系统的审查的目的是：●确定是否测试数据覆盖了所有的情况●进行认证和证明过程.●评估项目是否收到预期效益.●设计审计报告.12.在设计软件基线时，下面哪一个阶段是最合适的阶段？●测试●设计●需求分析●开发13.在评估数据库应用系统的可移植性时，IS审计师应该审查●结构化语言(SQL)使用.●其它系统的信息输入和输出处理过程●使用索引.●所有实体都有有意义的名称和明确的主键字和外部关键词.14.系统测试的主要目的是:●测试设计产生的控制总数. test the generation of the designed control totals●判断系统的文文件是否准确●评估系统功能.●确保系统操作熟悉新制度. become familiar with the new system15.实施EDI处理的项目的可行性报告中应包括以下哪一项？●加密算法的格式●详细的内部控制程序●必需的通信协议●建议的可信的协力厂商协议16.在客户机服务器环境下实施一个购买的系统时，下面哪一项测试能够确定windows注册表的修改不会影响到桌面环境？●兼容性测试●平行测试●白盒测试●验证测试.17.下列哪种情况有可能会增加舞弊？.●应用程序员对产品程序进行修改●应用程序员对测试程序进行修改●运行支持人员对批次安排进行修改●数据库管理员对数据库结构进行修改18.用回归测试方法测试程序的目的是为了确定是否：●新的代码中包含错误.●功能说明和实际表现中存在差异●新的要求已得到满足.●改变的部分给未变化的代码引入了错误19.在设计数据仓库下面哪个要素是最重要的因素?●中继数据质量●交易速度●数据的多变性●系统的弱点20.下面哪一项整体测试检查数据的准确性、完整性、一致性和授权?●数据●关系●领域●参考21.主要在于SDLC开发方法的哪个阶段防止程序的蔓延扩大？●开发●实施●设计●可行性22.在审查基于WEB的软件开发项目时，IS审计师发现没有强调编码规则，并且没有进行代码审核。

CISA中文模拟题2014年历年真题回忆汇编一旦业务功能发生变化，已打印的表格和其他备用资源都可能要改变。

下面哪一种情况构成了对组织的主要风险？A、在异地存储的备用资源详细目录没有及时更新B、在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新C、没有对紧急情况下的供应商或备选供应商进行评估，不知道供应商是否还在正常营业D、过期的材料没有从有用的资源中剔除下面哪一句涉及包交换网络的描述是正确的？A、目的地相同的包穿过网络的路径（或称为：路径）相同B、密码/口令不能内置于数据包里C、包的长度不是固定的，但是每个包内容纳的信息数据是一样的D、数据包的传输成本取决于将传输的数据包本身，与传输距离和传输路径无关IS指导委员会应当：A、包括来自不同部门和员工级别的成员B、确保IS安全政策和流程已经被恰当地执行了C、有正式的引用条款和保管会议纪要D、由供应商在每次会议上简单介绍新趋势和产品对IT部门的战略规划流程/程序的最佳描述是：A、依照组织大的规划和目标，IT部门或都有短期计划，或者有长期计划B、IT部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足业务要求的优先顺序的程序C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求D、IT部门的短期规划不必集成到组织的短计划内，因为技术的发展对IT部门的规划的推动，快于对组织计划的推动在审核组织的系统开发方法学时，IS审计人员通常首先执行以下哪一项审计程序？A、确定程序的充分性B、分析程序的效率C、评价符合程序的程度D、比较既定程序和实际观察到的程序某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。

当该应用即将投入运行时，以下哪一项可以为公司资产的保护提供最合理的保证？A、由内部审计人员进行一次审核B、由指定的IS审计人员进行一次审查C、由用户规定审核的深度和内容D、由另一个同等资历的IS审计人员进行一次独立的审查用户对应用系统验收测试之后，IS审计师实施检查，他（或她）应该关注的重点A、确认测试目标是否成文B、评估用户是否记载了预期的测试结果C、检查测试问题日志是否完整D、确认还有没有尚未解决的问题在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为IS审计人员提供最大的帮助？A、系统故障时间日志B、供应商的可靠性描述C、预定的定期维护日志D、书面的预防性维护计划表企业正在与厂商谈判服务水平协议（SLA），首要的工作是：A、实施可行性研究B、核实与公司政策的符合性C、起草其中的罚则D、起草服务水平要求将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一项能起上述作用？A、批量头格式B、批量平衡C、数据转换差错纠正D、对打印池的访问控制应用控制的目的是保证当错误数据被输入系统时，该数据能被：A、接受和处理B、接受但不处理C、不接受也不处理D、不接受但处理如果以下哪项职能与系统一起执行，会引起我们的关切？A、访问规则的维护B、系统审计轨迹的审查C、数据保管异口同声D、运行状态监视应用系统开发的责任下放到各业务基层，最有可能导致的后果是A、大大减少所需数据通讯B、控制水平较低C、控制水平较高D、改善了职责分工以下哪一项是业务流程再造项目的第一步？A、界定检查范围B、开发项目计划C、了解所检查的流程D、所检查流程的重组和简化企业由于人力资源短缺，IT支持一直以来由一位最终用户兼职，最恰当的补偿性控制是：A、限制物理访问计算设备B、检查事务和应用日志C、雇用新IT员工之前进行背景调查D、在双休日锁定用户会话组织内数据安全官的最为重要的职责是：A、推荐并监督数据安全政策B、在组织内推广安全意识C、制定IT安全政策下的安全程序/流程D、管理物理和逻辑访问控制执行应用控制审核的IS审计人员应评价：A、应用满足业务需求的效率B、所有已发现的、暴露的影响C、应用所服务的业务流程D、应用的优化IS审计师在审计公司IS战略时最不可能：A、评估IS安全流程B、审查短期和长期IS战略C、与适当的公司管理人员面谈D、确保外部环境被考虑了一个项目经理在目标期限内无法实施所有的审计建议。