将组织内所有的计算机时钟保持同步的主要原因是? A. 防止重复交易;
B. 确保交易数据从客户机传到服务器时钟的一致性; C. 确保E-mail有精确的时间戳; D. 确保支持突发事件的调查过程;
在一家医院,医护人员使用包含有病人健康数据的手持移动设备,这个设备是和医院的数据中心实时通信的。下面哪一项是最重要的?
A. 手持移动设备应该能够很好的保护数据的机密性,万一设备被窃取; B. 员工被授权后才能从本地计算机上删除临时的文件; C. 应当用政策和程序确保实时性;
D. 手持移动设备的使用应当符合医院的政策;
在审计过程中,审计师注意到IT部门没有独立的风险管理职能并且组织的日常操作风险文档仅包含了主要的IT风险。下面哪项审计师在此时最应该提出来?
A. 建立IT风险管理部门并且在有关外部风险管理专家的帮助下建立一个IT风险管理框架; B. 使用行业标准实践将现有的风险文档拆分成几个独立的便于处理的风险点; C. 对于一个中小型组织来说现行的做法就很适合,没什么提建议的必要;
D. 建立一个能够识别,评估,及创建了风险转移计划的规范化的IT风险管理策略。
下面哪项是IS审计人员用来决定产品编程是否存在非授权的更改? A. 系统日志分析 B. 符合性测试 C. 司法取证分析 D. 分析性检查
当评估一个组织的软件开发实务,IS审计人员注意到质量保证(QA)功能被报告给项目管理层。IS 审计人员最关注? A. QA功能的有效性,因为它应该被项目管理层和用户管理层相互作用 B. QA功能的效率性,因为它应该被项目实施团队影响
C. 项目管理者的有效性,因为项目管理者应该被QA功能影响 D. 项目管理者的效率性,因为QA功能应该要与项目实施团队交流
哪个是最有效的控制去加强用户访问敏感信息的责任? A. 实施日志管理程序 B. 实施双因素授权
C. 用列表视图去访问敏感数据 D. 分离数据库和应用服务器
用白盒测试的典型的优点是:
A. 确认一个程序在与系统的其它部分共同工作时能成功运行 B. 确保一个程序的功能操作的有效而不用关注系统的内部结构 C. 确定程序运行正确或者了解一个程序的逻辑结构
D.检查一个程序的功能性通过它在一个紧紧控制的或者虚构的环境中并严格控制访问主系统的状态下运行
一个项目的管理者不能在目标日期前实施全部的审计要求。IS 审计师应该: A. 要求项目暂直到问题被解决 B. 要求实施补偿性控制
C. 评估该问题未被解决的风险
D. 要求项目管理者重新准备测试资源区解决这个问题
测试程序变更管理流程时,IS审计师使用的最有效的方法是: A. 由系统生成的信息跟踪到变更管理文档
B. 检查变更管理文档中涉及的证据的精确性和正确性 C. 由变更管理文档跟踪到生成审计轨迹的系统 D. 检查变更管理文档中涉及的证据的完整性
实施防火墙最容易发生的错误是: A. 访问列表配置不准确
B. 社会工程学会危及口令的安全 C. 把modem连至网络中的计算机
D. 不能充分保护网络和服务器使其免遭病毒侵袭
数据库规格化的主要好处是:
A. 在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复) B. 满足更多查询的能力
C. 由多张表实现,最大程度的数据库完整性 D. 通过更快地信息处理,减小反应时间
以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式? A. 磁墨字符识别(MICR) B. 智能语音识别(IVR) C. 条形码识别(BCR) D. 光学字符识别(OCR)
企业正在与厂商谈判服务水平协议(SLA),首要的工作是: A. 实施可行性研究
B. 核实与公司政策的符合性 C. 起草其中的罚则 D. 起草服务水平要求
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?
A. 建立一个与供货商相联的内部客户机用及服务器网络以提升效率 B. 将其外包给一家专业的自动化支付和账务收发处理公司
C.与重要供货商建立采用标准格式的、计算机对计算机的电子业务文文件和交易处理用EDI系统 D. 重组现有流程并重新设计现有系统
某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯,而微机只支持异步ASCII字符数据通讯。为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能? A. 缓冲器容量和并行端口 B. 网络控制器和缓冲器容量 C. 并行端口和协议转换 D. 协议转换和缓冲器容量
为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项? A. 系统访问日志文件
B. 被启动的访问控制软件参数 C. 访问控制违犯日志
D. 系统配置文件中所使用的控制
在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的? A. 计算机操作员兼任备份磁带库管理员 B. 计算机操作员兼任安全管理员
C. 计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D. 没有必要报告上述任何一种情形
大学的IT部门和财务部(FSO,financial servicesoffice之间签有服务水平协议(SLA),要求每个月系统可用性超过98%。财务部后来分析系统的可用性,发现平均每个月的可用性确实超过98%,但是月末结账期的系统可用性只 有93%。那么,财务部应该采取的最佳行动是: A. 就协议内容和价格重新谈判
B. 通知IT部门协议规定的标准没有达到 C. 增购计算机设备等(资源) D. 将月底结账处理顺延
在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是: A. 实施分析,以确定该事件是否为暂时的服务实效所引起
B. 由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会 C. 这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%
D.通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定
在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS 审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险? A. 自动记录开发(程序/文文件)库的变更 B. 增员,避免兼职
C. 建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操作 D. 建立阻止计算机操作员更改程序的访问控制
达到评价IT风险的目标最好是通过
A. 评估与当前IT资产和IT项目相关的威胁
B. 使用过去公司损失的实际经验来确定当前的风险 C. 浏览公开报导的可比较组织的损失统计数据 D. 浏览审计报告中涉及的IT控制薄弱点
在确认是否符合组织的变更控制程序时,以下IS审计人员执行的测试中哪一项最有效? A. 审查软件迁移记录并核实审批情况 B. 确定已发生的变更并核实审批情况 C. 审核变更控制文档并核实审批情况
D. 保证只有适当的人员才能将变更迁移至生产环境
业务流程再造(BPR)项目最有可能导致以下哪一项的发生? A. 更多的人使用技术
B. 通过降低信息技术的复杂性而大量节省开支 C. 较弱的组织结构和较少的责任 D. 增加的信息保护(IP)风险
IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论: A. 这种缺乏了解会导致不经意地泄露敏感信息 B. 信息安全不是对所有只能都是关键的 C. IS审计应当为那些雇员提供培训
D. 该审计发现应当促使管理层对员工进行继续教育
数据管理员负责:
A. 维护数据库系统软件
B. 定义数据元素、数据名及其关系 C. 开发物理数据库结构 D. 开发数据字典系统软件
对IT部门的战略规划流程/程序的最佳描述是:
A. 依照组织大的规划和目标,IT部门或都有短期计划,或者有长期计划
B. IT部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务要求的优先级的程序 C. IT部门的长期规划应该认识到组织目标、技术优势和规章的要求
D.IT部门的短期规划不必集成到组织的短计划内,因为技术的发展对IT部门的规划的推动,快于对组织计划的推动
数据库管理员负责:
A. 维护计算机内部数据的访问安全 B. 实施数据库定义控制 C. 向用户授予访问权限 D. 定义系统的数据结构
实施下面的哪个流程,可以帮助确保经电子数据交换(EDI)的入站交易事务的完整性? A. 数据片断计数内建到交易事务集的尾部
B. 记录收到的消息编号,定期与交易发送方验证 C. 为记账和跟踪而设的电子审计轨迹
D. 已收到的确认的交易事务与发送的EDI消息日志比较、匹配
随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是: A. 用户参与不足
B. 项目此理早期撤职
C. 不充分的质量保证(QA)工具 D. ????
为评估软件的可靠性,IS审计师应该采取哪一种步骤? A. 检查不成功的登陆尝试次数
B. 累计指定执行周期内的程序出错数目 C. 测定不同请求的反应时间
D. 约见用户,以评估其需求所满足的范围
IS审计人员在应用开发项目的系统设计阶段的首要任务是: A. 商定明确详尽的控制程序 B. 确保设计准确地反映了需求
C. 确保初始设计中包含了所有必要的控制 D. 劝告开发经理要遵守进度表
企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为:
A. 挑选和配置阶段
B. 可行性研究和需求定义阶段 C. 实施和测试阶段 D. 无,不需要置换
在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序? A. 确定程序的充分性 B. 分析程序的效率
C. 评价符合程序的程度
D. 比较既定程序和实际观察到的程序
用户对应用系统验收测试之后,IS审计师实施检查,他(或她)应该关注的重点 A. 确认测试目标是否成文
B. 评估用户是否记载了预期的测试结果 C. 检查测试问题日志是否完整 D. 确认还有没有尚未解决的问题
使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要: A. 将测试数据孤立于生产数据之外 B. 通知用户,让他们调整输出 C. 隔离特定的主文件记录
D. 用单独的文件收集事务和主文件记录
在建立连续在线监控系统时,IS审计师首先应该识别: A. 合理的目标下限 B. 组织中高风险领域
C. 输出文件的位置和格式
D. 带来最大潜在回报的应用程序
审计章程应该:
A. 是动态的并且经常修订以适应技术和审计职业的变化
B. 消除表述经管理当局授权以复核并维护内控制度的审计目标 C. 明文规定设计好的审计程序,以达成预定审计目标 D. 概述审计职能的权力、范围和责任
IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱. A. 对系统开发进行了复核
B. 对控制和系统的其它改进提出了建议 C. 对完成后的系统进行了独立评价 D. 积极参与了系统的设计和完成
在不熟悉领域从事审计时,IS审计师首先应该完成的任务是: A. 为涉及到的每个系统或功能设计审计程序 B. 开发一套符合性测试和实质性测试 C. 收集与新审计项目相关的背景信息 D. 安排人力与经济资源
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能: A. 导致对其审计独立性的质疑 B. 报告较多业务细节和相关发现 C. 加强了审计建议的执行 D. 在建议中采取更对有效行动
确保审计资源在组织中发挥最大价值的首要步骤应该是: A. 规划审计工作并监控每项审计的时间花费
B. 培训信息系统审计师掌握公司中使用的最新技术 C. 基于详细的风险评估制定审计计划 D. 监控审计进展并实施成本控制
对于抽样而言,以下哪项是正确的?
A. 抽样一般运用于与不成文或无形的控制相关联的总体 B. 如果内部控制健全,置信系统可以取的较低
C. 通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 D. 变量抽样是估计给定控制或相关控制集合发生率的技术
数据库管理系统软件包不可能提供下面哪一种访问控制功能? A. 用户对字段数的访问 B. 用户在网络层的登录 C. 在程序级的身份验证 D. 在交易级的身份验证
IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注? A. 安全官兼职数据库管理员
B. 客户/服务器系统没有适当的管理口令/密码控制
C. 主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D. 大多数局域网上的档服务器没有执行定期地硬盘备份
能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是: A. 将每次访问记入个人信息(即:作日志) B. 对敏感的交易事务使用单独的密码/口令 C. 使用软件来约束授权用户的访问 D. 限制只有营业时间内才允许系统访问
E-MAIL软件应用中验证数字签名可以: A. 帮助检查垃圾邮件(spam) B. 实现保密性
C. 加重网关服务器的负载 D. 严重降低可用的网络带宽
下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的? A. 完整性控制的需求是基于风险分析的结果 B. 控制已经过了测试
C. 安全控制规范是基于风险分析的结果 D. 控制是在可重复的基础上被测试的
企业里有个混合访问点不能升级其安全强度,而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点,下面哪一个支持IS审计师的建议的理由最为充分? A. 新的访问点具有更高的安全强度 B. 老的访问点性能太差
C. 整个企业网络的安全强度,就是其最为薄弱之处的安全强度 D. 新的访问点易于管理
检查入侵监测系统(IDS)时,IS审计师最关注的内容是: A. 把正常通讯识别为危险事件的数量(误报) B. 系统没有识别出的攻击事件
C. 由自动化工具生成的报告和日志 D. 被系统阻断的正常通讯流
银行的自动柜员机(ATM)是一种专门用于销售点的终端,它可以: A. 只能用于支付现金和存款服务
B. 一般放置在入口稠密的场所以威慑盗窃与破坏 C. 利用保护的通讯线进行数据传输 D. 必须包括高层的逻辑和物理安全
下列哪一种行为是互联网上常见的攻击形式? A. 查找软件设计错误
B. 猜测基于个人信息的口令 C. 突破门禁系统闯入安全场地 D. 种值特洛伊木马
下列哪一种情况会损害计算机安全政策的有效性? A. 发布安全政策时 B. 重新检查安全政策时 C. 测试安全政策时
D. 可以预测到违反安全政策的强制性措施时
在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证: A. 保护硬设备免受浪涌损害
B. 如果主电力被中断,系统的完整性也可以得到维护 C. 如果主电力被中断,可以提供实时的电力供应 D. 保护硬设备不受长期电力波动的影响