一个信息安全审计师可以通过审核以下哪个来验证一个企业的业务持续性计划是有效的: A. 最好业务情况下的BCP基准
B.由信息安全人员和终端用户执行的业务持续性测试结果 C.异地设备,它的容量,安全和环境控制。
D. BCP相关活动的年财务成本和BCP计划实施后的预期收益对比
通常,在一个项目的启动初期下列哪类利益相关者(stakeholders)的加入是必不可少的? A.系统拥有者(system owners) B. 系统使用者(system users) C. 系统设计者(system designers) D. 系统建立者(system builders)
审计师发现在一个新的商业智能项目中,时间限制和扩大的需求,是企业数据定义标准违规 的根源。下列哪个是审计师应该提出的最为合适的建议? A. 通过增加投入项目的资源来达到标准基线。 B. 在项目完成后核准数据定义标准 C. 推延项目直到达标
D.通过对犯规者采用惩罚性方法来强制达标
收到原始签名的数字证书后,用户将使用谁的公钥解密证书: A. 注册中心RA
B. 数字证书认证中心CA C. 证书库 D. 接收者
已建立IT灾难恢复方案并定期执行的某中等规模企业,制定了一个业务持续计划。此计划 的纸上推演已成功完成。作为信息系统审计师,为了验证此计划的完备性,接下来应采用 下列哪种测试?
A. 重新安排所有部门,包括IT部门,对事故点进行全面测试 B. 对一系列预定义的涉及所有关键职员的场景进行穿行测试 C. 对关键业务系统进行包括业务部门参与的IT灾难恢复测试 D. 对一个IT有限参与的场景进行功能测试
下列哪一项最适合用来提高IT项目组合与企业战略优先级的一致性? A. 用平衡记分卡来评价绩效
B. 考虑关键绩效指标的用户满意度 C. 按照业务回报与风险选择项目
D. 对每年定义项目组合的流程进行修改
作为信息系统审计师,审阅IT战略规划时,应当关注: A. 对应用系统组合是否符合业务目标的评估 B. 为了降低硬件采购成本采取的措施 C. 已批准的IT供应商列表
D. 对关于网络边界安全的技术架构的描述
数据中心最适合使用哪种灭火系统? A. 湿式喷水系统 B. 干式喷水系统
C. FM-200(七氟丙烷)灭火系统 D. 二氧化碳型灭火器
在DMZ服务器上运行FTP协议的时候,哪种是显着的风险: A. 内部用户可以发送文件给未授权用户
B. FTP协议可以允许一个用户从未授权资源处下载文件 C. 黑客可以用FTP协议穿过防火墙
D. FTP协议可以显着降低DMZ服务器的性能。
一个组织需要将一个关键的系统时间恢复目标设置为0并且恢复点目标设置为1分钟。这将 意味着这个系统能忍受:
A.数据丢失最多只能有一分钟,但是系统处理必须是连续的 B. 系统处理可以中断一分钟,但是不能忍受任何数据丢失 C. 系统处理终端可以在一分钟及以上 D. 数据丢失和系统中断可以超过1分钟
一个信息系统审计师应该认为把生产环境和系统的访问控制的授权给予:
A. 程序管理员 B. 系统管理员 C. 安全管理员 D. 数据所有者
使用数字签名的时候,报文摘要应该由谁计算: A. 仅被发送者 B. 仅被接受者 C. 以上两者
D. 由授权中心(CA)
一个组织把它的帮助台活动外包,一个信息系统审计师在审阅组织和开发商之间的合同和 相关的服务水平协议(SLA)最应该关心的是: A. 员工背景的审查文件
B. 独立的审计报告或者完整的审计评估 C. 各年度间增量成本的减少 D. 员工的工作调动,发展,培训
下面哪一项将最有效地提高挑战-应答认证机制的安全性? A. 选用更健壮的算法生成挑战字符串(challenge strings) B. 建立措施防止会话劫持攻击 C. 加强相关密码变更频率
D. 增加认证字符串(authentication strings)的长度
下面哪一项物理访问控制能有效减小尾随行为(piggybacking)的风险? A. 生物门锁(Biometric door locks) B. 组合门锁(combination door locks) C. 双道门(Deadman doors) D. 抽薹门锁(Bolting door locks)
信息系统审计师发现,来自于不同独立部门的请求被处理多次,各个部门的请求数据库每周同步一次。最好的建议是? A. 增加不同部门的系统之间数据复制的频率,以确保及时更新 B. 在一个部门集中处理所有请求,以避免对同一请求的并行处理
C. 更改申请结构,以便把共同的数据存储于面向所有部门的共享数据库中 D. 实施核对控制,以便在系统处理订单前检查重复(请求)
下面哪一项技术能最好地帮助IS审计师,保证项目能按时完成?
A. 基于进度报告中的已完工的百分比和尚需完工的估计时间,估计实际结束日期 B. 通过访谈参与完成项目交付物的有经验的经理和员工,确认目标日期 C. 基于已完工的工作包和现有资源推断整体完工日期 D. 基于现有资源和剩余可用的项目预算计算期望完工日期
当审核组织已获批准的软件产品列表时,下面哪一项是最需要被验证的? A. 与产品使用相关的风险被周期性评估 B. 每个产品的最新版本已被列出
C. 由于许可证问题,列表不包括开源软件
D. 提供非工作时间支持(After hours support)
在开发一个安全架构时,一下哪步应该被最早执行: A. 开发系统程序 B. 定义系统政策
C. 对访问控制方法进行详细描述 D. 定义角色和责任制
试图对互联网上传播的加密数据获得访问并收集信息的入侵者会使用以下哪种手段? A. 窃听 B. 欺诈
C. 流量分析 D. 伪装
IS审计师在审查发票主文件(invoice masterfile)中是否存在重复发票记录时,应该使用以下哪种方法? A. 属性抽样
B. 通用审计软件(GAS) C. 测试数据
D. 综合测试法(ITF)
IS审计师发现,某天一个特定的时段,数据仓库的查询性能大幅下降,IS审计师应审查一下哪种相关控制? A. 永久性表空间的分配(Permanent table space allocation) B. 提交和回滚控制
C. 用户离线假脱机(User Spool) 和数据库限制控制 D. 日志访问的读写权限控制
在审查一个售货终端系统(POS)时,以下哪项审计发现是最严重的? A. POS系统中的发票记录为手工输入到会计应用程序中 B. 没有使用光扫描仪扫读用来生成销售发票的条形码 C. 经常发生断电,导致手工填写准备发票
D. 在本地POS系统中的客户信用卡信息是未加密保存的
当电子商务应用程序在LAN上运行,处理电子交易(EFT)时,保护数据完整性和私密性的最佳方法是() A. 数据传输使用虚拟专用网络(VPN)隧道 B. 在应用程序里启用数据加密 C. 审计网络的访问控制 D. 记录访问列表的所有变化
在进行IT系统的渗透性测试时,一个组织最应该关注() A. 报告的私密性
B. 找出系统的所有弱点
C. 将所有系统恢复到初始状态 D. 记录生产系统发生过的所有变化
在关键系统上进行确认和授权的动机,是确保() A. 安全合规性已在技术层面上得到评估 B. 数据被加密且准备储存
C. 系统已被测试,为了在不同的平台上运行 D. 系统已按照瀑布模型的阶段
下列哪种渗透性测试,可以有效的评估一个组织事件处理和响应的能力? A. 目标测试 B. 外部测试 C. 内部测试 D. 双盲测试
下列哪一项能够最好的保证防火墙日志的完整性? A. 只授予管理员访问日志信息的权限 B. 在操作系统层获取日志事件
C. 在不同的存储介质中写入两套日志
D. 将日志信息传送到专门的第三方日志服务器
公司实行了新的客户机-服务器模式的企业资源规划系统(ERP),当地分支机构传递客户订单到中央制造厂。 以下哪种措施确保订单准确地进入并且生产出相应的产品? A. 根据客户订单核实产品
B. 在ERP系统中记录所有客户订单
C. 在订单传输处理中使用杂凑hash总数 hash total D. 在生产前审批订单
在实施对于多用户分布式应用程序的审核时,IS审计师发现在三个方面存在小的弱点:初始参数设置不当,正在适用的弱密码,一些关键报告没有被很好的检查。当准备审计报告时,IS审计师应该: A. 分别记录对于每个发现产生的相关影响。
B. 建议经理关于可能的风险不记录这些发现,因为控制弱点很小 C. 记录发现的结果和由于综合缺陷引发的风险
D. 报告部门领导重视每一个发现并在报告中适当的记录
下列哪些形式的审计证据就被视为最可靠? A. 口头声明的审计
B. 由审计人员进行测试的结果
C. 组织内部产生的计算机财务报告 D. 从外界收到的确认来信
在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试: A. 系统程序员 B. 法律人员
C. 业务部门经理 D. 应用程序员
当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道: A. 当数据流通过系统时,其作用的控制点 B. 只和预防控制和检查控制有关 C. 纠正控制只能算是补偿
D. 分类有助于审计人员确定哪种控制失效
审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用 户或系统行为异常。下列哪些工具最适合从事这项工作? A. 计算机辅助开发工具(case tool) B. 嵌入式(embedded)数据收集工具
C. 启发扫描工具(heuristic scanning tools) D. 趋势/变化检测工具
在应用程序开发项目的系统设计阶段,审计人员的主要作用是: A. 建议具体而详细的控制程序 B. 保证设计准确地反映了需求
C. 确保在开始设计的时候包括了所有必要的控制 D. 开发经理严格遵守开发日程安排
下面哪一个目标控制自我评估(CSA)计划的目标? A. 关注高风险领域 B. 替换审计责任 C. 完成控制问卷
D. 促进合作研讨会 Collaborative facilitative workshops
利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证: A. 充分保护信息资产
B. 根据资产价值进行基本水平的保护 C. 对于信息资产进行合理水平的保护
D. 根据所有要保护的信息资产分配相应的资源
审计轨迹的主要目的是: A. 改善用户响应时间
B. 确定交易过程的责任和权利 C. 提高系统的运行效率
D. 为审计人员追踪交易提供有用的资料
对于组织成员使用控制自我评估(CSA)技术的主要好处是: A. 可以确定高风险领域,以便以后进行详细的审查 B. 使审计人员可以独立评估风险 C. 可以作来取代传统的审计
D. 使管理层可以放弃relinquish对控制的责任
下列哪一种在线审计技术对于尽早发现错误或异常最有效? A. 嵌入审计模块
B. 综合测试设备Integrated test facility C. 快照sanpshots D. 审计钩Audit hooks
审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师: A. 在应用系统开发过程中,实施了具体的控制 B. 设计并嵌入了专门审计这个应用系统的审计模块 C. 作为应用系统的项目组成员,但并没有经营责任 D. 为应用系统最佳实践提供咨询意见
审计中发现的证据表明,有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。IS审计师可以推测的结论是: A. 经理助理有舞弊行为 B. 不能肯定无疑是谁做的 C. 肯定是经理进行舞弊 D. 系统管理员进行舞弊
为确保审计资源的价值分配给组织价值最大的部分,第一步将是:
A. 制定审计日程表并监督花在每一个审计项目上的时间 B. 培养审计人员使用目前公司正在使用的最新技术 C. 根据详细的风险评估确定审计计划 D. 监督审计的进展并开始成本控制措施
审计师在评估一个公司的网络是否可能被员工渗透,其中下列哪一个发现是审计师应该最重视的? A. 有一些外部调制解调器连接网络 B. 用户可以在他们的计算机上安装软件 C. 网络监控是非常有限的
D. 许多用户帐号的密码是相同的
下列哪一项能够最好的保证防火墙日志的完整性? A. 只授予管理员访问日志信息的权限 B. 在操作系统层获取日志事件
C. 在不同的存储介质中写入两套日志
D. 将日志信息传送到专门的第三方日志服务器
在安全治理框架中实施安全规划最主要的好处是: A. 实 IT 活动与信息系统审计建议的匹配 B. 加强安全风险管理
C. 实施首席信息安全官(CISO)的建议 D. 减少IT 安全的成本
在执行客户关系管理系统(CRM)迁移项目的审计时,以下哪一项最值得审计师关注: A. 技术迁移计划于长假前的周五进行,但时间过短无法完成全部任务 B. 执行测试的员工担心新系统中的数据与老系统中的完全不同
C. 计划执行单独实施(a single implementation is planned) ,实施后立即停止老系统 D. 离预定日期还有五周,但是新系统软件的打印功能仍存在大量缺陷
以下哪一项能够有效验证交易的发起者: A. 在发起者和接收者之间使用密码 B. 使用接收者的公钥加密交易 C. 使用PDF 格式封装交易内容
D. 使用发起者的私钥对交易进行数字签名
在执行灾难恢复测试时,信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢,为了找到根本原因,信息系统审计师应该首先检查:
A. 灾难恢复站点的错误事件报告 B. 灾难恢复测试计划 C. 灾难恢复计划(DRP)
D. 主站点和灾难恢复站点的配置和校正(configurations and alignment)
在审查IT 灾难恢复测试时,下列问题中哪个最应引起IS 审计师的关注
A.由于有限的测试时间窗,仅仅测试了最必须的系统。其它系统在今年的剩余时间里陆续单独测试 B.在测试过程中,注意到有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败 C. 在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档
IS 审计师正在审查 个组织的物理安全措施。关于门卡 (访问卡) access card系统,IS审计师最应关注: A. 未标明名字的nonpersonalized门卡给授予清洁工,清洁工使用签到表,但没有出示任何身份证明 B. 门卡上没有表明组织的名字和地址以方便丢失后及时归还
C. 门卡的发放和权限管理由多个部门负责,导致不必要的新卡领用时间 D. 制作门卡的计算机系统在系统失败后在三周后才能恢复
下列哪一项是自我评估控制 CSA的关键好处?
A. 支持业务目标的内部控制的所有权管理 management ownership被强化 B. 当评估结果被外部审计使用时,可以减少审计费用
C. 由于内部业务的员工参与控制测试,提高舞弊察觉能力 D. 利用评估结果,内部审计师能够转换为一项咨询方案
在一次审计中,IS 审计师注意到该组织的业务连续性计划BCP没有充分强调在恢复过程中的信息保密性。 IS 审计师应该建议修改计划以包括:
A. 调用业务恢复程序时所要求的信息安全水平 B. 危机管理结构中信息安全的角色和责任 C. 信息安全资源要求
D. 为影响业务连续性安排的信息安全变更管理流程