C 下面哪个在线审计技术对于早期发现错误或误报有效 选项: A、嵌入式审计模块 B、综合测试工具 C、快照 D、审计钩 参考答案:D 控制自我评估的成功高度依赖于 选项: A、让直线经理承担一部分控制监控责任 B、分配构建控制的责任,但没有监控责任 C、实施严格的控制政策并按规则进行控制 D、对已分配的责任实施监督和监控 参考答案:A 使用统计抽样流程有助于最小化: 选项: A、抽样风险 B、检测性风险 C、固有风险 D、控制风险 参考答案:B http://www.accatrainer.com/
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有 可能: 选项: A、导致对其审计独立性的质疑 B、报告较多业务细节和相关发现 C、加强了审计建议的执行 D、在建议中采取更对有效行动 参考答案:A 实施基于风险的审计过程中,完全由 IS 审计师启动的风险评估是: 选项: A、检查风险的评估 B、控制风险的评估 C、固有风险的评估 D、舞弊风险的评估 参考答案:C 以下哪项应是 IS 审计师最为关注的: 选项: A、没有报告网络被攻陷的事件 B、未能就企业闯入事件通知执法人员 C、缺少对操作权限的定期检查 D、没有就闯入事件告之公众 参考答案:A 为满足预定义的标准,下面哪一种连续审计技术,对于查找要审计的事务是最佳的工具? 选项: A、系统控制审计检查文件和嵌入式审计模块(SCARF/EAM) B、持续和间歇性模拟(CIS) C、整体测试(ITF) D、审计钩(Audit hooks) 参考答案:B 在不熟悉领域从事审计时,IS 审计师首先应该完成的任务是: 选项: A、为涉及到的每个系统或功能设计审计程序 B、开发一套符合性测试和实质性测试 C、收
集与新审计项目相关的背景信息 D、安排人力与经济资源 http://www.accatrainer.com/
参考答案:C 在审查定义 IT 服务水平的过程控制时,信息系统审计师最有可能先与下列哪种人面谈: 选项: A、系统编程人员 B、法律顾问 C、业务单位经理人员 D、应用编程人员 参考答案:C IS 审计期间,对收集数据范围的决定应基于: 选项: A、关键和必要信息的可获得性 B、审计师对相关环境的了解程度 C、从被审事项中找到证据的可能性 D、审计的目的和范围 参考答案:D 如下哪一类风险是假设被检查的方面缺乏补偿控制: 选项: A、控制风险 B、检查风险 C、固有风险 D、抽样风险 参考答案:C 以下哪项是 CSA 的目标: 选项: A、专注于高风险领域 B、代替审计责任 C、完善控制问卷 D、协助推进交流 参考答案:A 对新的应收帐模块实施实质性审计测试时,IS 审计师的日程安排非常紧,而且对计算机知识知 之不多.那么,下面哪一项审计技术是最佳选择? 选项: A、测试数据 B、平行模拟(Parallel simulation) http://www.accatrainer.com/
C、集成测试系统(ITF) D、嵌放式审计模块(EAM) 参考答案:A 在评价网络监控的设计时,信息系统审计师首先要检查网络的 选项: A、拓扑图 B、带宽的使用 C、流量分析报告 D、瓶颈位置 参考答案:A 审计章程的主要目的是: 选项: A、把组织需要的审计流程记录下来 B、正式记录审计部门的行动计划 C、为审计师制定职业行为规范 D、描述审计部门的权力与责任 参考答案:D 制订基于风险的审计程序时,IS 审计师最可能关注的是: 选项: A、业务程序/流程 B、关键的 IT 应用 C、
运营控制 D、业务战略 参考答案:A 防止对数据文件非授权使用的最有效的方法是什么? 选项: A、自动文件记帐 B、磁带保管员 C、访问控制软件 D、加锁的程序库 参考答案:C IS 审计师检查无线网络安全时,发现它没有启用动态主机配置协议(DHCP) 。这样的设置 将: http://www.accatrainer.com/
选项: A、降低未经授权即访问网络资源的风险 B、不适用于小型网络 C、能自动分配 IP 地址 D、增加无线加密协议(WEP)相关的风险 参考答案:A 利用残留在现场的指纹等人体生物特征侦破非授权的访问(如:窃贼入室) ,属于哪一类攻 击? 选项: A、重用、重放、重演(replay) B、暴力攻击 C、解密 D、假装、模仿 参考答案:A 拒绝服务攻击损害了下列哪一种信息安全的特性? 选项: A、完整性 B、可用性 C、机密性 D、可靠性 参考答案:B 每感染一个文件就变体一次的恶意代码称为: 选项: A、逻辑炸弹 B、隐秘型病毒 C、特洛伊木马 D、多态性病毒 参考答案:D 下面哪一种控制是内联网的一种有效安全控制? 选项: A、电话回叫 B、固定的口令 C、防火墙 D、动态口令 http://www.accatrainer.com/
参考答案:C 下面哪一种环境控制措施可以保护计算机不受短期停电影响? 选项: A、电力线路调节器 B、电力浪涌保护设备 C、备用的电力供应 D、可中断的电力供应 参考答案:D 下面的哪一种加密技术可以最大程度地保护无线网络免受中间人攻击? 选项: A、128 位有线等效加密(WEP) B、基于 MAC 地址的预共享密钥(PSK) C、随机生成的预共享密钥(PSK) D、字母和数字组成的服集标识符(SSID) 参考答案:
C 为方便使用公司内不断增加的移动设备(如:笔记本电脑、PDA 和有收发电子邮件功能的 手机) ,IS 部门经理刚刚施工完成无线局域网(Wireless LAN)改造,以替换掉以前的双绞 线 LAN。这种技术改造将会增加哪一种攻击风险? 选项: A、端口扫描 B、后门 C、中间人 D、战争驾驶(War driving) 参考答案:D 公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护, 证书废止列表维护和证书发布这个要素是: 选项: A、证书机构(CA) B、数字签名 C、证书实践声明 D、注册机构(RA) 参考答案:D 网络上数据传输时,如何保证数据的保密性? 选项: http://www.accatrainer.com/
A、数据在传输前经加密处理 B、所有消息附加它哈希值 C、网络设备所在的区域加强安全警戒 D、电缆作安全保护 参考答案:A 跨国公司的 IS 经理打算把现有的虚拟专用网(VPN,virtual priavte network)升级,采用通 道技术使其支持语音 IP 电话(VOIP,voice-over IP)服务,那么,需要首要关注的是: 选项: A、服务的可靠性和质量(Qos,quality of service) B、身份的验证方式 C、语音传输的保密 D、数据传输的保密 参考答案:A 在公钥加密系统(PKI)中,处理私钥安全的详细说明的是: 选项: A、撤销的证书列表(CRL,Certificate revocation list) B、证书实务说明(CPS,Certification practice statement) C、证书政策(CP,Certificate policy) D、PKI 披露条款(PDS,PKI disclosure statement) 参考答案:B 为保证正常运行的计算机系统能被连续使用, 用户支持服务是很重要的, 下面哪一
种情况与 用户支持服务比较接近? 选项: A、事件处理能力 B、配置管理 C、存储介质控制 D、系统备份 参考答案:A IS 审计师检查日志文件中的失败登陆的尝试,那么,最关注的账号是: 选项: A、网络管理员 B、系统管理员 C、数据管理员 D、数据库管理员 http://www.accatrainer.com/
参考答案:B 许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性,下面 哪一种安全技术最不被优先考虑使用: 选项: A、回叫确认 B、通讯加密 C、智能令牌卡 D、口令与用户名 参考答案:D 某公司计划升级现有的所有 PC 机, 使其用户可以使用指纹识别登陆系统, 访问关键的数据。 实施时需要: 选项: A、所有受信的 PC 机用户履行的登记、注册手续(或称为:初始化手续) B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险) C、在指纹识别的基础上增加口令保护 D、保护非授权用户不可能访问到关键数据 参考答案:A 内联网(Intranet)可以建立在一个组织的内部网络上,也可以建互联网(internet)上,上 面哪一条针对内联网的控制在安全上是最弱的? 选项: A、用加密的通道传输数据 B、安装加密路由器 C、安装加密防火墙 D、对私有 WWW 服务器实现口令控制 参考答案:D 虚拟专用网(VPN)的数据保密性,是通过什么实现的? 选项: A、安全接口层(SSL,Secure Sockets Layer) B、网络隧道技术(Tunnelling) C、数字签名 D、网络钓鱼 参考答案:B 处理计算机犯罪事件需要运用管理团队的方法,下面哪一个角色的职责是明确的? 选项: