当组织把客户信用审核系统外包给第三方服务供应商时,下列哪一项是IS审计师最重要的考虑?供应商应该 A. 符合或超过行业安全标准 B. 同意接受外部安全审查
C. 在服务和经验方面有 好的市场声誉 D. 遵守组织的安全政策
公司制定了关于用户禁止访问的网站类型的制度,以下那种是执行这一制度最有效的技术? A. 状态检测防火墙 Stateful inspection firewall B. 网站内容过滤器 C. 网站缓存服务器 D. 代理服务器
IS 审计师正在审阅一个使用敏捷 Agile软件开发方法的项目,以下那一项是IS审计师希望发 的? A. 使用基于过程的成熟度模型如能力成熟度模型 CMM B. 定期针对计划对任务层面的进程进行监控
C. 广泛使用软件开发工具来最大化团队的生产力
D. 反复 Postieration的审阅以识别可以为未来项目使用的经验
在审阅电脑处置流程时,以下哪条是信息系统审计师最应关注的问题? A. 硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。
B. 硬盘上的文件和文件夹被分别删除,并且硬盘在离开组织之前被格式化。 C. 硬盘在离开组织之前写保护应设定在特殊位置使硬盘处于不可读状态。
D. 硬盘的运输应由内部安全职员负责护送至附近的金属制定 收司,在那里硬盘将被登记然后粉碎处理。
IS审计师正在审阅一个基于软件的防火墙的配置。下列哪一项的设置最脆弱?该防火墙软件: A. 配置隐性否定规则作为规则库的最后规则 B. 安装在默认配置的操作系统上
C. 配置了允许或拒绝访问系统/ 网络的规则 D. 作为虚拟专用网的端点
IS 审计师完成了网络审计工作。以下哪项是最重大的逻辑安全发 ? A. 网络工作站在不工作一段时间后不能自动关闭 B. 布线室未锁
C. 网络操作手册和文档没有被适当保护 D. 网络构架未配置不间断电源
以下哪一项通常是首席安全师(CSO)的责任? A. 定期审阅和评估安全政策
B. 执行用户应用系统以及软件的测试和评估 C. 分配和废止用户对IT 资源的访问 D. 审批对数据和应用系统的访问
在两个公司合并后,来自两个公司的多元化自主发展的应用软件被一个新的通用平台取代。以下哪项是最重要的风险? A. 项目管理和进程报告由外来的咨询公司整合
B. 替换由独立的项目组成,没有将资源分配整合为一个项目组管理方法 C. 每一个组织的资源的分配都是低效的,它们更适应合并前公司的系统
D. 新平台将会促使两个公司的业务领域转向新的工作流程,导致更广泛的培训需要
IT 审计师发现被禁用户在其被禁日起90 天内其账号将被停用,这与公司的IS 政策相符。IT审计师应当: A. 报告控制被有效地执行,因为账号在 司政策所规定的时间内被停用。 B. 验证用户访问权限的设置是基于最小权限原则
C. 建议修改 司的IS 政策,以确保在用户被禁用时及时停用其账号。 D. 建议定期审阅被禁账号的活动日志。
为降低网络钓鱼(phishing)所带来的风险,最有效的控制为: A. 集中式监控系统。
B. 在反病毒软件中为网络钓鱼添加数字签名。 C. 布在以太网中禁止网络钓鱼的政策。 D. 对所有用户进行网络安全培训。
信息系统审计师应该提出以下何种建议来保护存储在数据仓库的特殊敏感信息? A. 实施列等级与行等级许可 B. 通过强密码增强用户身份认证
C. 将数据仓库构架成为subject matter-specific 数据库 D. 日志记录用户对数据仓库的访问
在一次人力资源审计过程中,信息系统审计师发 在HR 与IT 部门之间就IT服务的期望水平达成了口头协议,在这种情况下,信息系统审计师应该首先采取什么行动? A. 延迟审计直到协议明文记载
B. 将非明文记载的协议情况上报高级管理层 C. 同双方部门确认协议的内容
D. 为双方部门草拟一份服务水平协议
信息系统管理部门目前正在考虑实施一个VoIP网络,以此来缩减通讯和管理的成本,并请信息系统审计师评估安全控制的适当性。下面哪一个安全措施是最合适的? A. 审查,并在关键之处升级防火墙的性能 B. 安装调制解调器允许远程维护支持访问
C. 创建一个单独的物理网络来处理VoIP 的传输
D. 重新定向所有的VoIP 的传输以允许认证信息的明文记录
项目计划用18 个月完成,此项目经理宣布项目处于一个健康的财务状态,因为在6个月后只使用了六分之一的预算。信息系统审计师应当首先确定:
A. 与计划相比,有多少的步骤已经完成 B. 项目预算是否能被削减
C. 项目是否能比计划提前完成
D. 节省下来的预算是否能被用于扩大项目范围
在检查数字证书认证程序中,以下的哪个发 暴露出了最严重的风险? A. 没有注册中心汇报密钥泄漏 B. 证书废止列表不是最新的
C. 数字证书中包含一个用于加密信息和鉴别数字签名的公钥 D. 订购者向认证中心汇报密钥泄漏
信息安全审计师正在对远程管理的服务器备份进行审计工作。审计师审核了一天的日志,发出了登陆服务器失败后备份重启无法确认的情况。此时审计师应该如何做? A. 发表一个审计发
B. 从信息安全管理层那里寻找解释 C. 审核服务器上的数据分类 D. 扩大审核的日志样本量
信息安全审计师发,对于产品收益,一个企业组织的财务部和市场部分别给出了不同的报告结果。深入的调查表明两个部门所使用的产品定义是不同的。审计师应该提出怎样的建议? A. 在所有报告发布到生产前使用 (UAT) B. 实施有组织的数据管理方法 C. 使用标准的软件工具来出报告 D. 对于新报告要求管理层签字
一个信息安全审计师可以通过审核以下哪个来验证一个企业的业务持续性(BCP)计划是有效的: A. 最好业务情况下的BCP 基准
B. 由信息安全人员和终端用户执行的业务持续性测试结果 C. 异地设备,它的容量,安全和环境控制。
D. BCP 相关活动的年财务成本和BCP 计划实施后的预期收益对比
通常,在一个项目的启动初期下列哪类利益相关者 stakeholders的加入是必不可少的? A. 系统拥有者 B. 系统使用者 C. 系统设计者 D. 系统建立者
审计师发在一个新的业务智能项目中,时间限制和扩大的需求是企业数据定义标准犯规的根源。下列哪个是审计师应该提出的最为合适的建议?
A. 通过增加投入项目的资源来达到标准基线。 B. 在项目完成后核准数据定义标准 C. 推延项目直到达标
D. 通过对犯规者采用惩罚性方法来强制达标
已建立IT 灾难恢复方案并定期执行的中等规模企业,制定了一个业务持续计划。此计划的纸上推演已成功完成。作为信息系统审计师,为了验证此计划的完备性,接下来应采用下列哪种测试? A. 重新安排所有部门,包括IT 部门,对事故点进行全面测试 B. 对一系列预定义的涉及所有关键职员的场景进行穿行测试 C. 对关键业务系统进行包括业务部门参与的IT 灾难恢复测试 D. 对一个IT 有限参与的场景进行功能测试
下列哪一项最适合用来提高IT 项目组合与企业战略优先级的一致性? A. 用平衡记分卡来评价绩效
B. 考虑关键绩效指标的用户满意度 C. 按照业务 报与风险选择项目
D. 对每年定义项目组合的流程进行修改
作为信息系统审计师,审阅IT 战略规划时,应当关注: A. 对应用系统组合是否符合业务目标的评估 B. 为了降低硬件采购成本采取的措施 C. 已批准的IT 供应商列表
D. 对关于网络边界安全的技术架构的概述
在 demilitarized zone服务器上运行FTP 协议的时候,哪种是显着的风险: A. 内部用户可以发送文件给未授权用户
B. FTP 协议可以允许一个用户从未授权资源处下载文件 C. 黑客可以用FTP 协议穿过防火墙
D. FTP 协议可以显着减少 demilitarized zone服务器的绩效。
一个组织需要将一个关键的系统时间恢复目标设置为0 并且恢复点目标设置为1 分钟。这将意味着这个系统能忍受:
A. 数据丢失最多只能有一分钟,但是系统处理必须是连续的 B. 系统处理可以中断一分钟,但是不能忍受任何数据丢失 C. 系统处理终端可以在一分钟及以上 D. 数据丢失和系统中断可以超过1 分钟
一个信息系统审计师应该认为把生产环境和系统的访问控制的授权给予: A. 程序管理员 B. 系统管理员 C. 安全管理员 D. 数据所有者
使用数字签名的时候,电文摘要应该有谁计算: A. 仅被发送者 B. 仅被接受者 C. 以上两者
D. 由授权中心 CA
一个组织把它的帮助台活动外包了,一个信息系统审计师在审阅组织和开发商之间的合同和相关的服务水平协议 SLA 最应该关心的是:
A. 员工背景的审查文件
B. 独立的审计报告或者完整的审计评估 C. 年复一年的增量成本的减少报告 D. 员工的工作调动,发展,培训
下面哪一项将最有效地提高挑战-应答认证机制(challenge-response basedauthenticationsystem)的安全性? A. 选用更健壮的算法生成挑战字符串 B. 建立措施防止会话劫持攻击 C. 加强相关密码变更频率
D. 增加认证字符串 authentication strings的长度
下面哪一项物理访问控制能有效减小骑肩行为 piggybacking的风险? A. 生物门锁 B. 组合门锁 C. 双道门 D. 抽薹门锁
信息系统审计师发,来自于不同独立部门的请求被处理多次,各个部门的请求数据库每周同步一次。最好的建议是? A. 增加不同部门的系统之间数据复制的频率,以确保及时更新 B. 在一个部门集中处理所有请求,以避免对同一请求的并行处理
C. 更改申请结构,以便把共同的数据存储于面向所有部门的共享数据库中 D. 实施核对控制,以便在系统处理订单前检查重复(请求)
下面哪一项技术能最好地帮助IS 审计师,获取项目能实项目日期目标的合理保证? A. 基于进度报告中的已完工的百分比和尚需完工的估计时间,估计实际结束日期 B. 通过访谈参与完成项目交付物的有经验的经理和员工,确认目标日期
C. 基于已完工的工作包和现有资源推断整体完工日期 D. 基于现有资源和剩余可用的项目预算计算期望完工日期
当审核组织已获批准的软件产品列表时,下面哪一项是最需要被验证的? A. 与产品使用相关的风险被周期性评估 B. 每个产品的最新版本已被列出
C. 由于许可证问题,列表不包括开源软件 D. 提供非工作时间支持 After hours support
IS 审计师在审查发票主文件 invoice masterfile中是否存在重复发票记录时,应该使用以下哪种方法? A. 属性抽样
B. 通用审计软件 GAS C. 测试数据
D. 综合测试法 ITF
IS 审计师发 , 天一个特定的时段,数据仓库的查询功能的(queryperformance)性能大幅下降,IS 审计师应审查一下哪种相关控制?
A. 永久性表空间的分配 Permanent table-space allocation B. 提交和会滚控制
C. 用户离线假脱机 User Spool和数据库限制控制 D. 日志访问的读写权限控制
在审查一个售货终端系统 POS时,以下哪项审计发是最严重的? A. POS 系统中的发票记录为手工输入到会计应用程序中 B. 没有使用光扫描仪扫读用来生成销售发票的条形码 C. 经常发生断电,导致手工填写准备发票
D. 在本地POS 系统中的客户信用卡信息是未加密保存的
在电子商务应用程序在LAN上运行,处理电子交易事项时,保护数据完整性和私密性的最佳方法是 A. 数据传输使用虚拟专用网络 VPN隧道 B. 在应用程序里启用数据加密 C. 审计网络的访问控制 D. 记录访问列表的所有变化
在关键系统上进行认证过程的理由是确保 A. 安全合规性已在技术层面上得到评估 B. 数据被加密且准备储存
C. 系统已被测试,为了在不同的平台上运行 D. 系统已按照瀑布模型的阶段
在收集法庭证据的过程中,以下哪种行为最容易造成妥协(compromised)系统上的证据毁坏? A. 将内存内容转存至文件中
B. 在妥协(compromised) 系统中生成磁盘映像 C. 重启系统
D. 在网络中将系统移除
一个参与了组织业务连续性计划(BCP)设计的IS审计人员又被指派去审计这个计划。那么这个IS 审计人员应该: A. 谢绝这个指派
B. 在完成该审计任务后,通知管理层可能由此产生的利益冲突
C. 在开始审计任务前,通知业务连续性计划小组可能由此产生的利益冲突 D. 在开始审计任务前,与管理层交流产生利益冲突的可能性
一个组织正在从一个遗留系统迁移到一个新的ERP系统,当检查这些数据迁移活动时,IS审计师考虑的最重要的因素是决定是否存在:
A. 数据在两个系统中迁移时语义的正确性
B. 数据在两个系统中迁移时计算方面的正确性 C. 两个系统中各个程序中实现功能的正确性 D. 两个系统中程序的效率是相似的一个IS
审计师发现开发人员把用户在新系统中实施接受测试时不断的被打断作为一个缺陷被修补好。IS审计师最好做下面哪项建议?
A. 考虑建立一个单独的用户接受测试环境的可行性 B. 计划安排用户测试在每天的一个特定的时间段 C. 实施一个源代码版本控制工具 D. 只重新测试高优先级的缺陷
在一个生产系统的变更控制审计中,一个IS审计师发现变更管理流程没有被正式的文档记录下来以及一些迁移程序没有成功。IS 审计师下一步应该怎么做? A. 要求重新设计变更管理流程
B. 通过根源分析来获取更多的证据来确保安全 C. 要求项目迁移停止直到变更流程被记录下来 D. 记录所发现的问题并上报给管理层
一个组织的IS审计章程应该描叙下面哪一项: A. IS审计业务的短期和长期计划 B. IS审计业务的目标和范围 C. IS审计人员的详细培训计划 D. IS审计功能的角色
定义恢复点目标(RPOs)是最关键的考虑是? A. 最小化操作请求 B. 可接受的数据丢失 C. 所有失败的平均时间 D. 可接受的恢复时间
下面哪项是计算机安全事件响应小组有效性的指标? A. 每件安全事件发生对财务的影响 B. 安全脆弱性被修补的数量 C. 业务应用被保护的百分比 D. 成功进行渗透测试的次数
一个组织准备用无线网络代替有线网络,下面哪项为无线网络的非授权访问提供了最大的保护? A. 应用WEP协议
B. 只允许通过授权的MAC 地址访问 C. 使SSID 失效 D. 应用WAP2
一个组织已经将它的WAN服务外包给第三方的服务提供商。在这种情形下,当IS审计师去开展组织BCP及DRP 审计时首要的任务是?
A. 查看服务供应商提供的BCP 策略是否与组织的BCP策略一致;
B. 检查服务水平协议是否包含了当不能满足灾难恢复要求时相关的处罚条例; C. 查看是选择服务供应商的方法是否与组织相适应; D. 检查第三方服务供应商员工的诚信度;
下面哪种组合是最好的双因素认证? A. 需要用户PIN 码的智能卡; B. 绑定密码的用户ID; C. 虹膜加指纹扫描组合; D. 需要用户PIN 码的磁卡;
组织正在进行一项包含业务单元长达4小时的高强度作业的信息系统灾难恢复的互惠协议的测试,测试很成功,但是这项测试智能确保?
A. 系统和IT 操作人员能够持续作业在紧急的环境下; B. 资源和环境能够支持交易的正常完成; C. 远程响应的站点能够及时响应;
D. 当灾难发生时,实际业务操作可以保证在紧急系统下正常运行;
信息系统审计师在检查意外事件报告时发现,一份很重要的文件被遗忘在员工办工桌上,并且被外包的清洁工人丢到了垃圾桶里面。下面哪项控制审计师应该建议管理层增加? A. 组织和清洁机构都应该遵守严格的控制;
B. 不必采取任何建议因为这种事情之前从来没有发生过; C. 应该实施一个桌面清理策略并且要被组织严格执行; D. 一项好的针对所有重要文件的备份策略应该被组织实施;
一个金融服务组织正在开发和制定组织业务持续性计划。下面哪个问题审计师最应该反应出来?
A.组织使用适合自己的最佳实践而不是使用行业最佳实践并且依赖外部专家顾问来确保组织有充分的技术支持; B. 业务持续性计划能力应该仔细描述许多有可能发生的场景;
C. 恢复时间点目标没有将IT 灾难恢复所依赖的人和系统考虑在内;
D.组织计划租用一个只够容纳一半数目的员工的共享站点作为工作站,用来应对紧急情况;