制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定 A. 已经存在减免风险的控制 B. 找到了弱点和威胁 C. 已经考虑到审计风险 D. 实施差異分析是适当的
软件开发的瀑布模型,用于下面的哪一种情况时最为适当的?
A.理解了需求,并且要求需求保持稳定,尤其是开发的系统所运行的业务环境没有变化或变化很小 B. 需求被充分地理解,项目又面临工期压力 C. 项目要采用面向对象的设计和编程方法 D. 项目要引用新技术
信息系统不能满足用户需求的最常见的原因是: A. 用户需求频繁变动
B. 对用户需求增长的预测不准确 C. 硬件系统限制了并发用户的数目 D. 定义系统时用户参与不够
以下哪项应是IS审计师最为关注的: A. 没有报告网络被攻陷的事件
B. 未能就企业闯入事件通知执法人员 C. 缺少对操作权限的定期检查 D. 没有就闯入事件告之公众
在收集法庭证据的过程中,以下哪种行为最容易造成目标系统上的证据毁坏? A. 将内存内容转存至文件中 B. 生成目标系统的磁盘映像 C. 重启目标系统
D. 将目标系统移出网络
有效的IT治理要求组织结构和程序确保 A. 组织的战略和目标包括IT战略 B. 业务战略来自于IT战略
C. IT治理是独立的,与整体治理相区别 D. IT战略扩大了组织的战略和目标
质量保证小组通常负责:
A. 确保从系统处理收到的输出是完整的 B. 监督计算机处理任务的执行
C. 确保程序、程序的更改以及存盘符合制定的标准 D. 设计流程来保护数据,以免被意外泄露、更改或破坏
组织内数据安全官的最为重要的职责是: A. 推荐并监督资料安全政策 B. 在组织内推广安全意识
C. 制定IT安全政策下的安全程序/流程 D. 管理物理和逻辑访问控制
以下哪条最好的支持了新IT项目的优先化? A.内部控制自我评价(CSA) B.信息系统审计 C.投资组合分析 D.商业风险评估
企业在允许外部机构物理访问其信息处理设施(IPFs)前应该做什么? A.外部机构的操作应当由独立的IS审计师审计 B.外部机构的工作人员应当培训企业的安全流程 C.任何外部机构的访问应当被限制在隔离区(DMZ) D.企业应当组织风险评估,并设计、执行适当的控制
信息系统审计师正在审查一个项目,是在银行母公司与子公司之间实施一个支付系统。信息系统审计师应该首先确认: A. 两个公司的技术平台具有互操作性 B. 银行母公司被授权作为服务提供商 C. 采取安全措施分离子公司的交易
D. 子公司可以成为这个系统的共同拥有者
在执行灾难恢复测试时,信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢,为了找到根本原因,信息系统审计师应该首先检查:
A. 灾难恢复站点的错误事件报告 B. 灾难恢复测试计划 C. 灾难恢复计划(DRP)
D. 主站点和灾难恢复站点的配置和一致性(configurations and alignment)
在审查IT灾难恢复测试时,下列问题中哪个最应引起IS审计师的关注:
A.由于有限的测试时间窗,仅仅测试了最必须的系统。其它系统在今年的剩余时间里陆续单独测试 B.在测试过程中,注意到有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败 C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档
IS审计师正在审查某个组织的物理安全措施。关于门卡(accesscard)系统,IS审计师最应关注:
A.未标明名字的(nonpersonalized)门卡给授予清洁工,清洁工使用签到表,但没有出示任何身份证明 B.门卡上没有表明组织的名字和地址以方便丢失后及时归还
C.门卡的发行和权限管理由多个部门负责,导致不必要的新卡领用时间 D.制作门卡的计算机系统在系统失败后在三周后才能恢复
下列哪一项是自我评估控制(CSA)的关键好处?
A.支持业务目标的内部控制的所有权管理(management ownership)被强化 B.当评估结果被外部审计使用时,可以减少审计费用
C.由于内部业务的员工参与控制测试,提高舞弊察觉能力 D.利用评估结果,内部审计师能够转换为一项咨询方案
在一次审计中,IS审计师注意到该组织的业务连续性计划(BCP)没有充分强调在恢复过程中的信息保密性。IS审计师应该建议修改计划以包括:
A.启动业务恢复程序时的信息安全要求和级别 B.危机管理架构中信息安全的角色和责任 C.信息安全资源要求
D.为影响业务连续性安排的信息安全变更管理流程
当组织把客户信用审核系统外包给第三方服务供应商时,下列哪一项是IS审计师最重要的考虑?供应商应该 A.符合或超过行业安全标准 B.同意接受外部安全审查
C.在服务和经验方面有良好的市场声誉 D.遵守组织的安全政策
公司制定了关于用户禁止访问的网站类型的制度,以下那种是执行这一制度最有效的技术? A. 状态检测防火墙(Stateful inspectionfirewall) B. 网站内容过滤器 C. 网站缓存服务器 D. 代理服务器
当开发一个正式的公司安全项目时,最关键的成功因素(CSF)是: A. 建立一个审核部门(review board?) B. 建立一个安全单位(security unit?) C. 对执行发起人的有效支持 D. 选择安全过程的拥有者
IS审计师正在审阅一个使用敏捷(Agile)软件开发方法的项目,以下那一项是IS审计师希望发现的? A. 使用基于过程的成熟度模型如能力成熟度模型(CMM) B. 定期针对计划对任务层面的进程进行监控
C. 广泛使用软件开发工具来最大化团队的生产力
D. 不断的审阅,及时发现教训,从而为本项目后续工作服务
为优化组织的业务持续计划(BCP),IS审计师需要建议执行业务影响分析(BIA)来决定: A. 能为组织产生最大财务价值,因而需要最先恢复的业务流程 B. 为保证与组织业务战略相一致,业务流程恢复的优先级和顺序 C. 在灾难中能保证组织幸存而必须恢复的业务流程
D. 能够在最短的时间内恢复最多数量的系统的业务流程恢复的优先级和顺序
下列哪项数据库控制能够在在线交易处理系统的数据库中保证交易的完整性? A. 鉴定控制(Authentication) B. 数据标准化控制 C. 读写访问日志控制 D. 事务提交与滚回操作
在保护组织的IT系统时,当网络防火墙被突破后,以下哪项一般是系统防护的下一道防线? A.个人防火墙 B.反病毒程序 C.入侵监测系统 D.虚拟局域网配置
在审阅电脑处置流程时,以下哪条是信息系统审计师最应关注的问题? A.硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。
B.硬盘上的文件和文件夹被分别删除,并且硬盘在离开组织之前被格式化。 C.硬盘在离开组织之前在盘片特殊位置打孔,使硬盘不可读。
D.硬盘的运输应由内部安全职员负责护送至附近的金属制定回收公司,在那里硬盘将被登记然后粉碎处理。
在小型组织中,开发者能直接将紧急变更发布到生产环境中。以下哪项能最好地控制上述情况所产生的风险? A.在第二个工作日批准并记录此次变更
B.限制开发者在特定时间范围内能访问生产环境
C.将变更发布到生产环境中之前取得次要(secondary)的批准 D.禁用生产机器中的编译器选项
对一个业务应用系统访问授权的职责归属于? A.数据所有者(data owner) B.安全管理员 C.IT安全经理
D.需求提出者的直接上级(requestor’s immediate supervisor)
在安全治理框架中实施安全规划最主要的好处是: A. 实现IT活动与信息系统审计建议的匹配 B. 加强安全风险管理
C. 实施首席信息安全官(CISO)的建议 D. 减少IT安全的成本
IS审计师正在审阅一个基于软件的防火墙的配置。下列哪一项的设置最脆弱?该防火墙软件: A. 将否定规则(implicit deny rule)作为规则库的最后规则 B. 安装在默认配置的操作系统上
C. 配置了允许或拒绝访问系统/网络的规则 D. 作为虚拟专用网(VPN)的端点
实施IPS不当所带来的最大风险是: A. 将有太多警报需要系统管理员确认。 B. 由于IPS流量而影响网络性能
C. 由于错误的触发而阻拦了关键的系统或服务 D. 在IT组织内需要依赖特定的专家
当一个关键文件服务器的存储增长没有被合理管理时,以下哪项是最大的风险? A. 备份时间会稳定增长 B. 备份成本会快速增长 C. 存储成本会快速增长
D. 服务器恢复工作不能满足恢复时间目标(RTO)的要求
为了在一个新的ERP项目实施中识别职责分离(SOD)不当的问题,以下哪项审计技术最有效? A. 审阅系统安全权限的报告 B. 审阅授权对象的复杂性
C. 开发程序以识别授权中的冲突
D. 检查最近发生的违反访问权限的事件
一个遗留工资系统被迁移到一个新的应用系统。下列哪位将主要负责在新系统正式使用前对数据准确性和完整性进行审阅并签字?
A. IS审计师(IS auditor)
B. 数据库管理员(Database administrator) C. 项目经理(Project manager) D. 数据所有人(Data owner)
IS审计师完成了网络审计工作。以下哪项是最重大的逻辑安全发现? A.终端工作站在长时间无操作时,不能自动进入禁用状态 B.布线室未锁
C.网络操作手册和文档没有被适当保护 D.网络构架未配置不间断电源
以下哪一项通常是首席安全师(CSO)的责任? A.定期审阅和评估安全政策
B.执行用户应用系统以及软件的测试和评估 C.分配和废止用户对IT资源的访问 D.审批对数据和应用系统的访问
在两个公司合并后,来自两个公司的异构、分别开发的应用软件被一个新的通用平台取代。以下哪项是最重要的风险? A.项目管理和进程报告由外来的咨询公司整合
B.替换由独立的项目组成,没有将资源分配整合为一个项目组管理方法 C.每一个组织的资源的分配都是低效的,它们更适应合并前公司的系统
D.新平台将会促使两个公司的业务领域转向新的工作流程,导致更广泛的培训需要
在无线通信中,以下哪项控制允许设备接收信息以验证信息未在传输中被修改? A.设备认证和数据源认证
B.无线入侵检测系统(IDS)和入侵防御系统(IPS) C.使用哈希加密
D.报文头(packet headers)和追踪(trailers)
在执行客户关系管理系统(CRM)迁移项目的审计时,以下哪一项最值得审计师关注: A. 技术迁移计划于长假前的周五进行,但时间过短无法完成全部任务 B. 执行测试的员工担心新系统中的数据与老系统中的完全不同
C. 计划执行单独实施(a single implementationis planned),实施后立即停止老系统 D. 离预定日期还有五周,但是新系统软件的打印功能仍存在大量缺陷
为了达到组织灾难恢复的要求,备份时间间隔不能超过: A. 服务水平目标(SLO). B. 恢复时间目标(RTO). C. 恢复点目标(RPO).
D. 停用的最大可接受程度(MAO).
基于构件的软件开发方法的最大优点是: A. 管理不受限数据类型的能力。 B. 提供复杂关系的建模。
C. 满足环境变化需求的能力。 D. 对多种开发环境的支持。
在审核网络设备的配置时,IT审计师应首先识别: A. 网络设备部署的最佳实践。 B. 是否缺少某些网络组件。
C. 网络设备在网络拓扑中的重要性。 D. 网络的子组件的使用是否适当。
IT审计师发现,被禁用户在其被禁日起90天内其账号将被停用,这与公司的IS政策相符。IT审计师应当: A. 报告控制被有效地执行,因为账号在公司政策所规定的时间内被停用。 B. 验证用户访问权限的设置是基于最小权限原则(need-to-have)。 C. 建议修改公司的IS政策,以确保在用户被禁用时及时停用其账号。 D. 建议定期审阅被禁账号的活动日志。
为降低网络钓鱼(phishing)所带来的风险,最有效的控制为: A. 集中式监控系统。
B. 在反病毒软件中为网络钓鱼添加数字签名。 C. 公布在以太网中禁止网络钓鱼的政策。 D. 对所有用户进行网络安全培训。
信息系统审计师应该提出以下何种建议来保护存储在数据仓库的特殊敏感信息? A. 实施列等级与行等级许可 B. 通过强密码增强用户身份认证
C. 将数据仓库构架成为subject matter-specific数据库 D. 日志记录用户对数据仓库的访问
在一次人力资源审计过程中,信息系统审计师发现在HR与IT部门之间就IT服务的期望水平达成了口头协议,在这种情况下,信息系统审计师应该首先采取什么行动? A. 延迟审计直到协议明文记载
B. 将非明文记载的协议情况上报高级管理层 C. 同双方部门确认协议的内容
D. 为双方部门草拟一份服务水平协议
信息系统管理部门目前正在考虑实施一个VoIP网络,以此来缩减通讯和管理的成本,并请信息系统审计师评估安全控制的适当性。下面哪一个安全措施是最合适的? A. 审查,并在关键之处升级防火墙的性能 B. 安装调制解调器允许远程维护支持访问
C. 创建一个单独的物理网络来处理VoIP的传输
D. 重新定向所有的VoIP的传输以允许认证信息的明文记录
下面哪一个过程信息系统审计师应该建议用其辅助软件发布版本的基线记录? A. 变更管理 B. 备份与恢复 C. 事件管理 D. 配置管理
以下哪一项能够有效验证交易的发起者: A. 在发起者和接收者之间使用密码 B. 使用接收者的公钥加密交易 C. 使用PDF格式封装交易内容
D. 使用发起者的私钥对交易进行数字签名
信息系统审计师注意到某组织中使用的操作系统的补丁被IT部门如供应商所建议的一样部 署,在此实践中信息系统审计师最重大的担心是IT没有注意到: A 在应用了补丁后对用户的培训需求 B 补丁对操作系统的有益影响
C 推迟部署直到测试了补丁的影响 D 通知终端用户新补丁的必须性
最有效的生物统计控制系统是: A 拥有最高相等错误率的(EER) B 拥有最低相等错误率的
C 误拒率(FRR)等于误受率(FAR)
D 误拒率等于拒登率(FER即拒绝建档的比率)
IT法庭审计的首要目的是: A 参与与公司欺诈相关的调查
B 在系统不规则之后系统地收集证据 C 评估某组织财务报表的正确性 D 确定有犯罪活动发生
某项目计划用18个月完成,此项目经理宣布项目处于一个健康的财务状态,因为在6个月后 只使用了六分之一的预算。信息系统审计师应当首先确定: A 与计划相比,有多少的步骤已经完成 B 项目预算是否能被削减
C 项目是否能比计划提前完成
D 节省下来的预算是否能被用于扩大项目范围
在检查数字证书认证程序中,以下的哪个发现暴露出了最严重的风险? A 没有注册中心(RA)用于报告密钥作废 B 证书废止列表不是最新的
C 数字证书中包含一个用于加密信息和鉴别数字签名的公钥 D 订购者将密钥作废向认证中心汇报
信息安全审计师正在对远程管理的服务器备份进行审计工作。审计师审核了某一天的日志 ,发现出现了登陆服务器失败后,备份重启无法确认的情况。此时审计师应该如何做? A.发表一个审计发现
B. 从信息安全管理层那里寻找解释 C. 审核服务器上的数据分类 D. 扩大审核的日志样本量
信息系统审计师发现,对于产品收益,一个企业组织的财务部和市场部分别给出了不同的 报告结果。深入的调查表明两个部门所使用的产品定义是不同的。审计师应该提出怎样的 建议?
A.在所有报告发布到生产前使用User acceptance testing(UAT) B. 实施有组织的数据管理方法 C.使用标准的软件工具来出报告 D. 对于新报告要求管理层签字