信息系统审计师检查IT控制的效力时,发现以前的审计报告,没有相应的工作底稿,他(她)该怎么办? A、暂停审核工作,直到找到这些审计底稿 B、信息并直接采纳以前的审计报告 C、重新测试好些处于高风险内的控制
D、通知审计经理,并建议重新测试这些控制
确保审计资源在组织中发挥最大价值的首要步骤应该是: A、规划审计工作并监控每项审计的时间花费
B、培训信息系统审计师掌握公司中使用的最新技术 C、基于详细的风险评估制定审计计划 D、监控审计进展并实施成本控制
下面哪个在线审计技术对于早期发现错误或误报有效 A、嵌入式审计模块 B、综合测试工具 C、快照 D、审计钩
控制自我评估的成功高度依赖于
A、让直线经理承担一部分控制监控责任 B、分配构建控制的责任,但没有监控责任 C、实施严格的控制政策并按规则进行控制 D、对已分配的责任实施监督和监控
使用统计抽样流程有助于最小化: A、抽样风险 B、检测性风险 C、固有风险 D、控制风险
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能: A、导致对其审计独立性的质疑 B、报告较多业务细节和相关发现 C、加强了审计建议的执行 D、在建议中采取更对有效行动
实施基于风险的审计过程中,完全由IS审计师启动的风险评估是: A、检查风险的评估 B、控制风险的评估 C、固有风险的评估 D、舞弊风险的评估
以下哪项应是IS审计师最为关注的: A、没有报告网络被攻陷的事件
B、未能就企业闯入事件通知执法人员 C、缺少对操作权限的定期检查 D、没有就闯入事件告之公众
为满足预定义的标准,下面哪一种连续审计技术,对于查找要审计的事务是最佳的工具? A、系统控制审计检查文件和嵌入式审计模块(SCARF/EAM) B、持续和间歇性模拟(CIS) C、整体测试(ITF)
D、审计钩(Audit hooks)
在不熟悉领域从事审计时,IS审计师首先应该完成的任务是: A、为涉及到的每个系统或功能设计审计程序 B、开发一套符合性测试和实质性测试 C、收集与新审计项目相关的背景信息 D、安排人力与经济资源
在审查定义IT服务水平的过程控制时,信息系统审计师最有可能先与下列哪种人面谈: A、系统编程人员 B、法律顾问
C、业务单位经理人员 D、应用编程人员
IS审计期间,对收集数据范围的决定应基于: A、关键和必要信息的可获得性 B、审计师对相关环境的了解程度 C、从被审事项中找到证据的可能性 D、审计的目的和范围
如下哪一类风险是假设被检查的方面缺乏补偿控制: A、控制风险 B、检查风险 C、固有风险 D、抽样风险
以下哪项是CSA的目标: A、专注于高风险领域 B、代替审计责任 C、完善控制问卷 D、协助推进交流
对新的应收帐模块实施实质性审计测试时,IS审计师的日程安排非常紧,而且对计算机知识知之不多.那么,下面哪一项审计技术是最佳选择? A、测试数据
B、平行模拟(Parallel simulation) C、集成测试系统(ITF) D、嵌放式审计模块(EAM)
在评价网络监控的设计时,信息系统审计师首先要检查网络的 A、拓扑图 B、带宽的使用 C、流量分析报告 D、瓶颈位置
审计章程的主要目的是:
A、把组织需要的审计流程记录下来 B、正式记录审计部门的行动计划 C、为审计师制定职业行为规范 D、描述审计部门的权力与责任
制订基于风险的审计程序时,IS审计师最可能关注的是: A、业务程序/流程 B、关键的IT应用 C、运营控制 D、业务战略
防止对数据文件非授权使用的最有效的方法是什么? A、自动文件记帐 B、磁带保管员 C、访问控制软件 D、加锁的程序库
IS审计师检查无线网络安全时,发现它没有启用动态主机配置协议(DHCP)。这样的设置将: A、降低未经授权即访问网络资源的风险 B、不适用于小型网络 C、能自动分配IP地址
D、增加无线加密协议(WEP)相关的风险
利用残留在现场的指纹等人体生物特征侦破非授权的访问(如:窃贼入室),属于哪一类攻击? A、重用、重放、重演(replay) B、暴力攻击 C、解密
D、假装、模仿
拒绝服务攻击损害了下列哪一种信息安全的特性? A、完整性 B、可用性 C、机密性 D、可靠性
每感染一个文件就变体一次的恶意代码称为: A、逻辑炸弹 B、隐秘型病毒 C、特洛伊木马 D、多态性病毒
下面哪一种控制是内联网的一种有效安全控制? A、电话回叫 B、固定的口令 C、防火墙 D、动态口令
下面哪一种环境控制措施可以保护计算机不受短期停电影响? A、电力线路调节器 B、电力浪涌保护设备 C、备用的电力供应 D、可中断的电力供应
下面的哪一种加密技术可以最大程度地保护无线网络免受中间人攻击? A、128位有线等效加密(WEP)
B、基于MAC地址的预共享密钥(PSK) C、随机生成的预共享密钥(PSK)
D、字母和数字组成的服集标识符(SSID)
为方便使用公司内不断增加的移动设备(如:笔记本电脑、PDA和有收发电子邮件功能的手机),IS部门经理刚刚施工完成无线局域网(Wireless
LAN)改造,以替换掉以前的双绞线LAN。这种技术改造将会增加哪一种攻击风险? A、端口扫描 B、后门 C、中间人
D、战争驾驶(War driving)
公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维 护,证书废止列表维护和证书发布这个要素是: A、证书机构(CA) B、数字签名
C、证书实践声明 D、注册机构(RA)
网络上数据传输时,如何保证数据的保密性? A、数据在传输前经加密处理 B、所有消息附加它哈希值
C、网络设备所在的区域加强安全警戒 D、电缆作安全保护
跨国公司的IS经理打算把现有的虚拟专用网(VPN,virtual priavte
network)升级,采用通道技术使其支持语音IP电话(VOIP,voice-over IP)服务,那么,需要首要关注的是:
A、服务的可靠性和质量(Qos,quality of service) B、身份的验证方式 C、语音传输的保密 D、数据传输的保密
在公钥加密系统(PKI)中,处理私钥安全的详细说明的是: A、撤销的证书列表(CRL,Certificate revocation list) B、证书实务说明(CPS,Certification practice statement) C、证书政策(CP,Certificate policy)
D、PKI披露条款(PDS,PKI disclosure statement)
为保证正常运行的计算机系统能被连续使用,用户支持服务是很重要的,下面哪一种情况 与用户支持服务比较接近? A、事件处理能力 B、配置管理
C、存储介质控制 D、系统备份
IS审计师检查日志文件中的失败登陆的尝试,那么,最关注的账号是: A、网络管理员 B、系统管理员 C、数据管理员 D、数据库管理员
许多计算机系统为诊断和服务支持的目的提供一些“维护账号”给系统带来的脆弱性,下面哪一种安全技术最不被优先考虑使用: A、回叫确认 B、通讯加密 C、智能令牌卡 D、口令与用户名
某公司计划升级现有的所有PC机,使其用户可以使用指纹识别登陆系统,访问关键的数据。实施时需要: A、所有受信的PC机用户履行的登记、注册手续(或称为:初始化手续) B、完全避免失误接受的风险(即:把非授权者错误识别为授权者的风险) C、在指纹识别的基础上增加口令保护 D、保护非授权用户不可能访问到关键数据
内联网(Intranet)可以建立在一个组织的内部网络上,也可以建互联网(internet)上,上面哪一条针对内联网的控制在安全上是最弱的?
A、用加密的通道传输数据 B、安装加密路由器 C、安装加密防火墙
D、对私有WWW服务器实现口令控制
虚拟专用网(VPN)的数据保密性,是通过什么实现的? A、安全接口层(SSL,Secure Sockets Layer) B、网络隧道技术(Tunnelling) C、数字签名 D、网络钓鱼
处理计算机犯罪事件需要运用管理团队的方法,下面哪一个角色的职责是明确的? A、经理
B、审计人员 C、调查人员 D、安全负责人
安全事件应急响应系统的最终目标是: A、对安全事件做出的反应不足 B、检测安全事件
C、对安全事件做出过度反应 D、实施提高安全的保护措施
主动式射频识别卡(RFID)存在哪一种弱点? A、会话被劫持 B、被窃听
C、存在恶意代码 D、被网络钓鱼攻击
会话以以下哪一种方式处理,才能最大程度保护无线局域网(WLAN)上传输的机密信息? A、会话被限定在预定的网卡物理地址(MAC address)上 B、使用固定的密钥加密 C、使用动态的密钥加密
D、由有加密存储功能的设备发起会话
下面哪一条措施不能防止数据泄漏? A、数据冗余 B、数据加密 C、访问控制 D、密码系统
IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注? A、安全官兼职数据库管理员
B、客户/服务器系统没有适当的管理口令/密码控制
C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D、大多数局域网上的文件服务器没有执行定期地硬盘备份
对下列费用舞弊行为按照发生的频度以降序进行排序: 1、针对电话卡的舞弊 2、员工滥用 3、针对专用分组交换机(PBX)的舞弊 4、针对移动电话的舞弊 A、1,2,3,4 B、3,4,1,2 C、2,3,4,1 D、4,1,2,3
下面哪一种安全技术是鉴别用户身份的最好的方法? A、智能卡
B、生物测量技术 C、挑战--响应令牌
D、用户身份识别码和口令
在一个分布式计算环境中,系统安全特别重要。分布式计算环境中的网络攻击存在两种主 要的类型:被动攻击和主动攻击。下面哪一种是属于被动攻击? A、企图登录到别人的帐号上
B、在网络电缆上安装侦听设备,并产生错误消息 C、拒绝为合法用户提供服务
D、当用户键入系统口令时,进行窃听
IS审计师发现IDS日志中与入口相关的端口扫描没有被分析,这样将最可能增加哪一类攻击成攻的风险? A、拒绝服务攻击 B、包重放 C、社交工程 D、缓存溢出
哪一个最能保证来自互联网internet的交易事务的保密性? A、数字签名
B、数字加密标准(DES) C、虚拟专用网(VPN)
D、公钥加密(Public Key encryption)
下面哪一种的方式会消耗掉有价值的网络带宽? A、特洛伊木马 B、陷井门 C、蠕虫 D、疫苗
可以用下列哪一种既经济又方便的方式来防止互联网的WWW服务信息被窃听? A、对连接和文件进行加密
B、对Socket层和HTTP进行加密 C、对连接和Socket进行加密 D、对文档和HTTP进行加密
检查入侵监测系统(IDS)时,IS审计师最关注的内容是: A、把正常通讯识别为危险事件的数量(误报) B、系统没有识别出的攻击事件
C、由自动化工具生成的报告和日志 D、被系统阻断的正常通讯流
在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证: A、保护硬件设备免受浪涌损害
B、如果主电力被中断,系统的完整性也可以得到维护 C、如果主电力被中断,可以提供即时的电力供应 D、保护硬件设备不受长期电力波动的影响
实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的? A、审计要求 B、口令
C、识别控制 D、验证控制
大型公司的供应商遍布在全球各地,因此其网络流量会持续上升。在这种环境下的信息基础设备及各种组件应当是可缩放的,下列哪一种防火墙的结构限制了其未来的缩放性? A、固定单元的防火墙 B、基于操作系统的防火墙 C、基于主机的防火墙 D、非军事化区(DMZ)