2010年6月 CISA考试回忆（中文）

题号:1 题型:单选题本题分数:.
5
内容:
以下哪一项属于所有指令均能被执行的操作系统模式？
选项:
A、问题
B、中断
C、监控
D、标准处理
标准答案:B
考生答案:
本题得分:0
题号:2 题型:单选题本题分数:.5

内容:
企业将其技术支持职能（help desk）外包出去，下面的哪一项指标纳入外包服务等级
协议（SLA）是最恰当的？
选项:
A、要支持用户数
B、首次请求技术支持，即解决的（事件）百分比
C、请求技术支持的总人次
D、电话回应的次数
标准答案:B
考生答案:
本题得分:0

内容:
IS 审计师检查组织的数据文件控制流程时，发现交易事务使用的是最新的文件，而重
启动流程使用的是早期版本，那么，IS 审计师应该建议：
选项:
A、检查源程序文档的保存情况
B、检查数据文件的安全状况
C、实施版本使用控制
D、进行一对一的核查
标准答案:C
考生答案:
本题得分:0

内容:
将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果，以下哪一
项能起上述作用？
选项:
A、批量头格式
B、批量平衡
C、数据转换差错纠正
D、对打印池的访问控制
标准答案:B
考生答案:
本题得分:0

内容:
审计客户/服务器数据库安全时，IS 审计师应该最关注于哪一方面的可用性？
选项:
A、系统工具
B、应用程序生成器
C、系统安全文档
D、访问存储流程
标准答案:A
考生答案:
本题得分:0

内容:
测试程序变更管理流程时，IS 审计师使用的最有效的方法是：
选项:
A、由系统生成的信息跟踪到变更管理文档
B、检查变更管理文档中涉及的证据的精确性和正确性
C、由变更管理文档跟踪到生成审计轨迹的系统
D、检查变更管理文档中涉及的证据的完整性
标准答案:A
考生答案:
本题得分:0

内容:
分布式环境中，服务器失效带来的影响最小的是：
选项:
A、冗余路由
B、集群
C、备用电话线
D、备用电源
标准答案:B
考生答案:
本题得分:0

内容:
实施防火墙最容易发生的错误是：
选项:
A、访问列表配置不准确
B、社会工程学会危及口令的安全
C、把 modem 连至网络中的计算机
D、不能充分保护网络和服务器使其免遭病毒侵袭
标准答案:A
考生答案:
本题得分:0

内容:
为确定异构环境下跨平台的数据访问方式，IS 审计师应该首先检查：
选项:
A、业务软件
B、系统平台工具
C、应用服务
D、系统开发工具
标准答案:C
考生答案:
本题得分:0

内容:
数据库规格化的主要好处是：
选项:
A、在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复）
B、满足更多查询的能力
C、由多张表实现，最大程度的数据库完整性
D、通过更快地信息处理，减小反应时间
标准答案:A
考生答案:
本题得分:0

内容:
以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式？
选项:
A、磁墨字符识别（MICR ）
B、智能语音识别（IVR ）
C、条形码识别（BCR）
D、光学字符识别（OCR）
标准答案:D
考生答案:
本题得分:0

内容:
代码签名的目的是确保：
选项:
A、软件没有被后续修改
B、应用程序可以与其他已签名的应用安全地对接使用
C、应用（程序）的签名人是受到信任的
D、签名人的私钥还没有被泄露
标准答案:A
考生答案:
本题得分:0

内容:
检查用于互联网 Internet 通讯的网络时，IS 审计应该首先检查、确定：
选项:
A、是否口令经常修改
B、客户/服务器应用的框架
C、网络框架和设计
D、防火墙保护和代理服务器
标准答案:C
考生答案:
本题得分:0

内容:
企业正在与厂商谈判服务水平协议（SLA），首要的工作是：
选项:
A、实施可行性研究
B、核实与公司政策的符合性
C、起草其中的罚则
D、起草服务水平要求
标准答案:D
考生答案:
本题得分:0

内容:
电子商务环境中降低通讯故障的最佳方式是：
选项:
A、使用压缩软件来缩短通讯传输耗时
B、使用功能或消息确认（机制）
C、利用包过滤防火墙，重新路由消息
D、租用异步传输模式（ATM）线路
标准答案:D
考生答案:
本题得分:0

内容:
以下哪一项措施可最有效地支持 24/7 可用性？
选项:
A、日常备份
B、异地存储
C、镜像
D、定期测试
标准答案:C
考生答案:
本题得分:0

内容:
某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少
的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需
求？
选项:
A、建立一个与供应商相联的内部客户机用及服务器网络以提升效率
B、将其外包给一家专业的自动化支付和账务收发处理公司
C、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理
用 EDI 系统
D、重组现有流程并重新设计现有系统
标准答案:C
考生答案:
本题得分:0

内容:
以下哪一项是图像处理的弱点？
选项:
A、验证签名
B、改善服务
C、相对较贵
D、减少处理导致的变形
标准答案:C
考生答案:
本题得分:0

内容:
某 IS 审计人员需要将其微机与某大型机系统相连，该大型机系统采用同步块数据传输
通讯，而微机只支持异步 ASCII 字符数据通讯。为实现其连通目标，需为该 IS 审计人
员的微机增加以下哪一类功能？
选项:
A、缓冲器容量和并行端口
B、网络控制器和缓冲器容量
C、并行端口和协议转换
D、协议转换和缓冲器容量
标准答案:D
考生答案:
本题得分:0

内容:
为了确定哪些用户有权进入享有特权的监控态，IS 审计人员应该检查以下哪一项？
选项:
A、系统访问日志文件
B、被激活的访问控制软件参数
C、访问控制违犯日志
D、系统配置文件中所使用的控制选项
标准答案:D
考生答案:
本题得分:0

内容:
在审查一个大型数据中心期间，IS 审计人员注意到其计算机操作员同时兼任备份磁带
管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的？
选项:
A、计算机操作员兼任备份磁带库管理员
B、计算机操作员兼任安全管理员
C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员
D、没有必要报告上述任何一种情形
标准答案:B
考生答案:
本题得分:0

内容:
以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常
情况？
选项:
A、神经网络
B、数据库管理软件
C、管理信息系统
D、计算机辅助审计技术
标准答案:A
考生答案:
本题得分:0

内容:
大学的 IT 部门和财务部（FSO，financial services office）之间签有服务水平协议
（SLA），要求每个月系统可用性超过 98%。财务部后来分析系统的可用性，发现平
均每个月的可用性确实超过 98%，但是月末结账期的系统可用性只有 93%。那么，财
务部应该采取的最佳行动是：
选项:
A、就协议内容和价格重新谈判
B、通知 IT 部门协议规定的标准没有达到
C、增购计算机设备等（资源）
D、将月底结账处理顺延
标准答案:A
考生答案:
本题得分:0

内容:
在检查广域网（WAN）的使用情况时，发现连接主服务器和备用数据库服务器之间线
路通讯异常，流量峰值达到了这条线路容量的 96%。IS 审计师应该决定后续的行动
是：
选项:
A、实施分析，以确定该事件是否为暂时的服务实效所引起
B、由于广域网（WAN）的通讯流量尚未饱和，96%的流量还在正常范围内，不必理
会
C、这条线路应该立即更换以提升其通讯容量，使通讯峰值不超过总容量的 85%
D、通知相关员工降低其通讯流量，或把网络流量大的任务安排到下班后或清晨执
行，使 WAN 的流量保持相对稳定
标准答案:A
考生答案:
本题得分:0

内容:
以下哪一类设备可以延伸网络，具有存储数据帧的能力并作为存储转发设备工作？
选项:
A、路由器
B、网桥
C、中继器
D、网关
标准答案:B
考生答案:
本题得分:0

内容:
在评估计算机预防性维护程序的有效性和充分性时，以下哪一项能为 IS 审计人员提供
最大的帮助？
选项:
A、系统故障时间日志
B、供应商的可靠性描述
C、预定的定期维护日志
D、书面的预防性维护计划表
标准答案:A
考生答案:
本题得分:0

内容:
用于监听和记录网络信息的网络诊断工具是：
选项:
A、在线监视器
B、故障时间报告
C、帮助平台报告
D、协议分析仪
标准答案:D
考生答案:
本题得分:0

内容:
对以下哪一项的分析最有可能使 IS 审计人员确定有未被核准的程序曾企图访问敏感数
据？
选项:
A、异常作业终止报告
B、操作员问题报告
C、系统日志
D、操作员工作日程安排
标准答案:C
考生答案:
本题得分:0

内容:
有效的 IT 治理要求组织结构和程序确保
选项:
A、组织的战略和目标包括 IT 战略
B、业务战略来自于 IT 战略
C、IT 治理是独立的,与整体治理相区别
D、IT 战略扩大了组织的战略和目标
标准答案:D
考生答案:
本题得分:0

内容:
质量保证小组通常负责：
选项:
A、确保从系统处理收到的输出是完整的
B、监督计算机处理任务的执行
C、确保程序、程序的更改以及存档符合制定的标准
D、设计流程来保护数据，以免被意外泄露、更改或破坏
标准答案:C
考生答案:
本题得分:0

内容:
组织内数据安全官的最为重要的职责是：
选项:
A、推荐并监督数据安全政策
B、在组织内推广安全意识
C、制定 IT 安全政策下的安全程序/流程
D、管理物理和逻辑访问控制
标准答案:A
考生答案:
本题得分:0

内容:
企业打算外包其信息安全职能,那么其中的哪一项职能不能外包,只能保留在企业内?
选项:
A、公司安全策略的记账
B、制订公司安全策略
C、实施公司安全策略
D、制订安全堆积和指导
标准答案:A
考生答案:
本题得分:0

内容:
在小型组织内，充分的职责分工有些不实际，有个员工兼职作计算机操作员和应用程
序员，IS 审计师应推荐如下哪一种控制，以降低这种兼职的潜在风险？
选项:
A、自动记录开发（程序/文档）库的变更
B、增员，避免兼职
C、建立适当的流程/程序，以验证只能实施经过批准的变更，避免非授权的操作
D、建立阻止计算机操作员更改程序的访问控制
标准答案:C
考生答案:
本题得分:0

内容:
一旦组织已经完成其所有关键业务的业务流程再造（BPR），IS 审计人员最有可能集
中检查：
选项:
A、BPR 实施前的处理流程图
B、BPR 实施后的处理流程图
C、BPR 项目计划
D、持续改进和监控计划
标准答案:B
考生答案:
本题得分:0

内容:
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理，而
大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适
当的控制是：
选项:
A、发送并对账交易数及总计
B、将数据送回本地进行比较
C、利用奇偶检查来比较数据
D、在生产机构对销售定单的编号顺序进行追踪和计算
标准答案:A
考生答案:
本题得分:0

内容:
以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中？
选项:
A、删除一个记录
B、改变一个口令
C、泄露一个口令
D、改变访问权限
标准答案:C
考生答案:
本题得分:0
内容:
IS 战略规划应包含：
选项:
A、制定的硬件采购规格说明
B、未来业务目标的分析
C、项目开发的（启动和结束）日期
D、IS 部门的年度预算（目标）
标准答案:B
考生答案:
本题得分:0

内容:
达到评价 IT 风险的目标最好是通过
选项:
A、评估与当前 IT 资产和 IT 项目相关的威胁
B、使用过去公司损失的实际经验来确定当前的风险
C、浏览公开报道的可比较组织的损失统计数据
D、浏览审计报告中涉及的 IT 控制薄弱点
标准答案:A
考生答案:
本题得分:0

内容:
在确认是否符合组织的变更控制程序时，以下 IS 审计人员执行的测试中哪一项最有
效？
选项:
A、审查软件迁移记录并核实审批情况
B、确定已发生的变更并核实审批情况
C、审核变更控制文档并核实审批情况
D、保证只有适当的人员才能将变更迁移至生产环境
标准答案:B
考生答案:
本题得分:0

内容:
以一哪项功能应当由应用所有者执行，从而确保 IS 和最终用户的充分的职责分工？
选项:
A、系统分析
B、数据访问控制授权
C、应用编程
D、数据管理
标准答案:B
考生答案:
本题得分:0

内容:
在以下何种情况下应用系统审计踪迹的可靠性值得怀疑？
选项:
A、审计足迹记录了用户 ID
B、安全管理员对审计文件拥有只读权限
C、日期时间戳记录了动作发生的时间
D、用户在纠正系统错误时能够修正审计踪迹记录
标准答案:D
考生答案:
本题得分:0

内容:
对于数据库管理而言，最重要的控制是：
选项:
A、批准数据库管理员（DBA）的活动
B、职责分工
C、访问日志和相关活动的检查
D、检查数据库工具的使用
标准答案:B
考生答案:
本题得分:0

内容:
IT 治理的目标是保证 IT 战略符合以下哪一项的目标？
选项:
A、企业
B、IT
C、审计
D、财务
标准答案:A
考生答案:
本题得分:0

内容:
数据编辑属于：
选项:
A、预防性控制
B、检测性控制
C、纠正性控制
D、补偿控制
标准答案:A
考生答案:
本题得分:0

内容:
业务流程再造（BPR）项目最有可能导致以下哪一项的发生？
选项:
A、更多的人使用技术
B、通过降低信息技术的复杂性而大量节省开支
C、较弱的组织结构和较少的责任
D、增加的信息保护（IP）风险
标准答案:A
考生答案:
本题得分:0

内容:
IS 审计师发现不是所有雇员都了解企业的信息安全政策。IS 审计师应当得出以下哪项
结论：
选项:
A、这种缺乏了解会导致不经意地泄露敏感信息
B、信息安全不是对所有只能都是关键的
C、IS 审计应当为那些雇员提供培训
D、该审计发现应当促使管理层对员工进行继续教育
标准答案:A
考生答案:
本题得分:0

内容:
数据管理员负责：
选项:
A、维护数据库系统软件
B、定义数据元素、数据名及其关系
C、开发物理数据库结构
D、开发数据字典系统软件
标准答案:B
考生答案:
本题得分:0

内容:
许多组织强制要求雇员休假一周或更长时间，以便：
选项:
A、确保雇员维持生产质量，从而生产力更高
B、减少雇员从事不当或非法行为的机会
C、为其他雇员提供交叉培训
D、消除当某个雇员一次休假一天造成的潜在的混乱
标准答案:B
考生答案:
本题得分:0

内容:
对 IT 部门的战略规划流程/程序的最佳描述是：
选项:
A、依照组织大的规划和目标，IT 部门或都有短期计划，或者有长期计划
B、IT 部门的战略计划必须是基于时间和基于项目的，但是不会详细到能够确定满足
业务要求的优先顺序的程序
C、IT 部门的长期规划应该认识到组织目标、技术优势和规章的要求
D、IT 部门的短期规划不必集成到组织的短计划内，因为技术的发展对 IT 部门的规划
的推动，快于对组织计划的推动
标准答案:C
考生答案:
本题得分:0

内容:
开发一个风险管理程序时进行的第一项活动是：
选项:
A、威胁评估
B、数据分类
C、资产盘点
D、并行模拟
标准答案:C
考生答案:
本题得分:0

内容:
在审核某业务流程再造（BPR）项目时，以下审计人员要评价的项目中哪一项最重
要？
选项:
A、被撤消控制的影响
B、新控制的成本
C、BPR 项目计划
D、持续改进和监控计划
标准答案:A
考生答案:
本题得分:0

内容:
数据库管理员负责：
选项:
A、维护计算机内部数据的访问安全
B、实施数据库定义控制
C、向用户授予访问权限
D、定义系统的数据结构
标准答案:B
考生答案:
本题得分:0

内容:
IS 审计师复核 IT 功能外包合同时，应当期望它定义：
选项:
A、硬件设置
B、访问控制软件
C、知识产权
D、应用开发方法论
标准答案:C
考生答案:
本题得分:0

内容:
IS 审计师发现被审计的企业经常举办交叉培训，那么需要评估如下哪一种风险？
选项:
A、对某个技术骨干的过分依赖
B、岗位接任计划不适当
C、某个人知道全部系统的细节
D、运营中断
标准答案:C
考生答案:
本题得分:0

内容:
应用系统开发的责任下放到各业务基层，最有可能导致的后果是
选项:
A、大大减少所需数据通讯
B、控制水平较低
C、控制水平较高
D、改善了职责分工
标准答案:B
考生答案:
本题得分:0

内容:
可以降低社交工程攻击的潜在影响的是：
选项:
A、遵从法规的要求
B、提高道德水准
C、安全意识计划（如：促进安全意识的教育）
D、有效的绩效激励政策
标准答案:C
考生答案:
本题得分:0

内容:
企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓
库和订单录入部门的用户。这种广泛的访问最有可能是因为：
选项:
A、经常性地修改会计期间的需要
B、需要向关闭的会计期间过入分录
C、缺乏适当的职责分工政策和步骤
D、需要创建和修改科目表及其分配
标准答案:C
考生答案:
本题得分:0

内容:
IT 治理确保组织的 IT 战略符合于：
选项:
A、企业目标
B、IT 目标
C、审计目标
D、控制目标
标准答案:A
考生答案:
本题得分:0

内容:
以下哪一项最好地描述了企业生产重组（ERP）软件的安装所需要的文档？
选项:
A、仅对特定的开发
B、仅对业务需求
C、安装的所有阶段必须进行书面记录
D、没有开发客户特定文档的需要
标准答案:C
考生答案:
本题得分:0

内容:
实施下面的哪个流程，可以帮助确保经电子数据交换（EDI）的入站交易事务的完整
性？
选项:
A、数据片断计数内建到交易事务集的尾部
B、记录收到的消息编号，定期与交易发送方验证
C、为记账和跟踪而设的电子审计轨迹
D、已收到的确认的交易事务与发送的 EDI 消息日志比较、匹配
标准答案:A
考生答案:
本题得分:0

内容:
评估数据库应用的便捷性时，IS 审计师应该验证：
选项:
A、能够使用结构化查询语言（SQL）
B、与其他系统之间存在信息的导入、导出程序
C、系统中采用了索引（Index ）
D、所有实体（entities）都有关键名、主键和外键
标准答案:A
考生答案:
本题得分:0

内容:
以下哪一项有利于程序维护？
选项:
A、强内聚/松藕合的程序
B、弱内聚/松藕合的程序
C、强内聚/紧藕合的程序
D、弱内聚/紧藕合的程序
标准答案:A
考生答案:
本题得分:0

内容:
软件开发项目中纳入全面质量管理（TQM，total quality managemnet）的主要好处
是：
选项:
A、齐全的文档
B、按时交付
C、成本控制
D、最终用户的满意
标准答案:D
考生答案:
本题得分:0

内容:
随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的
原因是：
选项:
A、用户参与不足
B、项目此理早期撤职
C、不充分的质量保证（QA）工具
D、没有遵从既定的已批准功能
标准答案:A
考生答案:
本题得分:0

内容:
一个通用串行总线（USB）端口：
选项:
A、可连接网络而无需网卡
B、用以太网适配器连接网络
C、可代替所有现存的连接
D、连接监视器
标准答案:B
考生答案:
本题得分:0

内容:
集线器（HUB）设备用来连接：
选项:
A、两个采用不同协议的 LANs
B、一个 LAN 和一个 WAN
C、一个 LAN 和一个 MAN（城域网）
D、一个 LAN 中的两个网段
标准答案:D
考生答案:
本题得分:0

内容:
对于确保非现场的业务应用开发的成功，下面哪一个是最佳选择？
选项:
A、严格的合同管理实务
B、详尽、正确的应用需求规格说明
C、认识到文化和政治上差异
D、注重现场实施后的检查
标准答案:B
考生答案:
本题得分:0

内容:
审计软件采购的需求阶段时，IS 审计师应该：
选项:
A、评估项目时间表的可行性
B、评估厂商建议的质量程序
C、确保采购到最好的软件包
D、检查需求规格的完整性
标准答案:D
考生答案:
本题得分:0

内容:
为评估软件的可靠性，IS 审计师应该采取哪一种步骤？
选项:
A、检查不成功的登陆尝试次数
B、累计指定执行周期内的程序出错数目
C、测定不同请求的反应时间
D、约见用户，以评估其需求所满足的范围
标准答案:B
考生答案:
本题得分:0

内容:
IS 审计人员在应用开发项目的系统设计阶段的首要任务是：
选项:
A、商定明确详尽的控制程序
B、确保设计准确地反映了需求
C、确保初始设计中包含了所有必要的控制
D、劝告开发经理要遵守进度表
标准答案:C
考生答案:
本题得分:0

内容:
企业最终决定直接采购商业化的软件包，而不是开发。那么，传统的软件开发生产周
期（SDLC）中设计和开发阶段，就被置换为：
选项:
A、挑选和配置阶段
B、可行性研究和需求定义阶段
C、实施和测试阶段
D、（无，不需要置换）
标准答案:A
考生答案:
本题得分:0

内容:
在审核组织的系统开发方法学时，IS 审计人员通常首先执行以下哪一项审计程序？
选项:
A、确定程序的充分性
B、分析程序的效率
C、评价符合程序的程度
D、比较既定程序和实际观察到的程序
标准答案:D
考生答案:
本题得分:0

内容:
用户对应用系统验收测试之后，IS 审计师实施检查，他（或她）应该关注的重点
选项:
A、确认测试目标是否成文
B、评估用户是否记载了预期的测试结果
C、检查测试问题日志是否完整
D、确认还有没有尚未解决的问题
标准答案:D
考生答案:
本题得分:0

内容:
IS 审计师正在检查开发完成的项目，以确定新的应用是否满足业务目标的要求。下面
哪类报告能够提供最有价值的参考？
选项:
A、用户验收测试报告
B、性能测试报告
C、开发商与本企业互访记录（或社会交往报告）
D、穿透测试报告
标准答案:A
考生答案:
本题得分:0

内容:
TCP/IP 协议簇包含的面向连接的协议处于：
选项:
A、传输层
B、应用层
C、物理层
D、网络层
标准答案:A
考生答案:
本题得分:0

内容:
如果已决定买进软件而不是内部自行开发，那么这一决定通常发生于：
选项:
A、项目需求定义阶段
B、项目可行性研究阶段
C、项目详细设计阶段
D、项目编程阶段
标准答案:B
考生答案:
本题得分:0

内容:
接收 EDI 交易并通过通讯接口站（stage）传递通常要求：
选项:
A、转换和拆开交易
B、选择验证程序
C、把数据传递给适当的应用系统
D、建立一个记录接收审计日志的点
标准答案:B
考生答案:
本题得分:0

内容:
假设网络中的一个设备发生故障，那么在下哪一种局域网结构更容易面临全面瘫痪？
选项:
A、星型
B、总线
C、环型
D、全连接
标准答案:A
考生答案:
本题得分:0

内容:
通过评估应用开发项目，而不是评估能力成熟度模型（CMM），IS 审计师应该能够验
证：
选项:
A、可靠的产品是有保证的
B、程序员的效率得到了提高
C、安全需求得到了规划、设计
D、预期的软件程序（或流程）得到了遵循
标准答案:D
考生答案:
本题得分:0

内容:
组织要捐赠一些本单位的旧计算机设备给希望小学，在运输这些捐赠品之前应该确
保：
选项:
A、计算机上不曾保存机密数据
B、受捐的希望小学签署保密协议
C、数据存储的介质是彻底空白的
D、所有数据已经被删除
标准答案:C
考生答案:
本题得分:0

内容:
在契约性协议包含源代码第三方保存契约(escrow)的目的是：
选项:
A、保证在供应商不存在时源代码仍然有效
B、允许定制软件以满足特定的业务需求
C、审核源代码以保证控制的充分性
D、保证供应商已遵从法律要求
标准答案:A
考生答案:
本题得分:0

内容:
项目开发过程中用来检测软件错误的对等审查活动称为：
选项:
A、仿真技术
B、结构化走查
C、模块化程序设计技术
D、自顶向下的程序构造
标准答案:B
考生答案:
本题得分:0

内容:
对于测试新的、修改的或升级的系统而言，为测试其（处理）逻辑，创建测试数据
时，最重要的是：
选项:
A、为每项测试方案准备充足的数据
B、实际处理中期望的数据表现形式
C、按照计划完成测试
D、对实际数据进行随机抽样
标准答案:B
考生答案:
本题得分:0

内容:
在审计系统开发项目的需求阶段时，IS 审计人员应：
选项:
A、评估审计足迹的充分性
B、标识并确定需求的关键程度
C、验证成本理由和期望收益
D、确保控制规格已经定义
标准答案:D
考生答案:
本题得分:0

内容:
以下哪一项面向对象的技术特征可以提高数据的安全级别？
选项:
A、继承
B、动态仓库
C、封装
D、多态性
标准答案:C
考生答案:
本题得分:0

内容:
软件开发的瀑布模型，用于下面的哪一种情况时最为适当的？
选项:
A、理解了需求，并且要求需求保持稳定，尤其是开发的系统所运行的业务环境没有
变化或变化很小
B、需求被充分地理解，项目又面临工期压力
C、项目要采用面向对象的设计和编程方法
D、项目要引用新技术
标准答案:A
考生答案:
本题得分:0

内容:
获得优质软件的最佳途径是：
选项:
A、通过彻底的测试
B、发现并快速纠正编程错误
C、根据可用时间和预算决定测试的数量
D、在整个项目过程中应用定义良好的流程和结构化的审核
标准答案:D
考生答案:
本题得分:0

内容:
信息系统不能满足用户需求的最常见的原因是：
选项:
A、用户需求频繁变动
B、对用户需求增长的预测不准确
C、硬件系统限制了并发用户的数目
D、定义系统时用户参与不够
标准答案:D
考生答案:
本题得分:0

内容:
用于 IT 开发项目的业务模式（或业务案例）文档应该被保留，直到：
选项:
A、系统的生命周期结束
B、项目获得批准
C、用户验收了系统
D、系统被投入生产
标准答案:A
考生答案:
本题得分:0

内容:
以下哪一项是采用原型法作为系统开发方法学的主要缺点？
选项:
A、用户对项目进度的期望可能过于乐观
B、有效的变更控制和管理不可能实施
C、用户参与日常项目管理可能过于广泛
D、用户通常不具备足够的知识来帮助系统开发
标准答案:A
考生答案:
本题得分:0

内容:
制定基于风险的审计战略时,IS 审计师应该实施风险评估,以确定:
选项:
A、已经存在减免风险的控制
B、找到了弱点和威胁
C、已经考虑到审计风险
D、实施差异分析是适当的
标准答案:B
考生答案:
本题得分:0

内容:
使用统计抽样流程有助于最小化:
选项:
A、抽样风险
B、检测性风险
C、固有风险
D、控制风险
标准答案:B
考生答案:
本题得分:0

内容:
以下哪种抽样方法对符合性测试最有用？
选项:
A、属性抽样
B、变量抽样
C、分层单位平均估算法
D、差值估计法
标准答案:A
考生答案:
本题得分:0

内容:
通用审计软件(GAS)的主要用途是:
选项:
A、测试程序中内嵌的控制
B、测试对数据的非授权访问
C、为审计数据精选数据
D、降低对(交易)事务判断的需要
标准答案:C
考生答案:
本题得分:0

内容:
测试程序的更改时,以下哪项是最适合作为总体来抽取样本?
选项:
A、测试库清单
B、原程序清单
C、程序更改需求
D、生产用程序库清单
标准答案:D
考生答案:
本题得分:0

内容:
在审查定义 IT 服务水平的过程控制时，信息系统审计师最有可能先与下列哪种人面
谈：
选项:
A、系统编程人员
B、法律顾问
C、业务单位经理人员
D、应用编程人员
标准答案:C
考生答案:
本题得分:0

内容:
以下哪项应是 IS 审计师最为关注的:
选项:
A、没有报告网络被攻陷的事件
B、未能就企业闯入事件通知执法人员
C、缺少对操作权限的定期检查
D、没有就闯入事件告之公众
标准答案:A
考生答案:
本题得分:0

内容:
使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要:
选项:
A、将测试数据孤立于生产数据之外
B、通知用户,让他们调整输出
C、隔离特定的主文件记录
D、用单独的文件收集事务和主文件记录
标准答案:A
考生答案:
本题得分:0

内容:
在建立连续在线监控系统时，IS 审计师首先应该识别：
选项:
A、合理的目标下限
B、组织中高风险领域
C、输出文件的位置和格式
D、带来最大潜在回报的应用程序
标准答案:B
考生答案:
本题得分:0

内容:
审计章程应该:
选项:
A、是动态的并且经常修订以适应技术和审计职业的变化
B、消除表述经管理当局授权以复核并维护内控制度的审计目标
C、明文规定设计好的审计程序,以达成预定审计目标
D、概述审计职能的权力、范围和责任
标准答案:D
考生答案:
本题得分:0

内容:
IS 审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱.
选项:
A、对系统开发进行了复核
B、对控制和系统的其他改进提出了建议
C、对完成后的系统进行了独立评价
D、积极参与了系统的设计和完成
标准答案:D
考生答案:
本题得分:0

内容:
IS 审计师应该能识别并评估各种风险及潜在影响。以下哪项风险与绕过授权程序（后
门）有关？
选项:
A、固有风险
B、检测性风险
C、审计风险
D、错误风险
标准答案:A
考生答案:
本题得分:0

内容:
制订基于风险的审计程序时,IS 审计师最可能关注的是:
选项:
A、业务程序/流程
B、关键的 IT 应用
C、运营控制
D、业务战略
标准答案:A
考生答案:
本题得分:0

内容:
在不熟悉领域从事审计时，IS 审计师首先应该完成的任务是：
选项:
A、为涉及到的每个系统或功能设计审计程序
B、开发一套符合性测试和实质性测试
C、收集与新审计项目相关的背景信息
D、安排人力与经济资源
标准答案:C
考生答案:
本题得分:0

内容:
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能:
选项:
A、导致对其审计独立性的质疑
B、报告较多业务细节和相关发现
C、加强了审计建议的执行
D、在建议中采取更对有效行动
标准答案:A
考生答案:
本题得分:0

内容:
审计章程的主要目的是：
选项:
A、把组织需要的审计流程记录下来
B、正式记录审计部门的行动计划
C、为审计师制定职业行为规范
D、描述审计部门的权力与责任
标准答案:D
考生答案:
本题得分:0

内容:
确保审计资源在组织中发挥最大价值的首要步骤应该是:
选项:
A、规划审计工作并监控每项审计的时间花费
B、培训信息系统审计师掌握公司中使用的最新技术
C、基于详细的风险评估制定审计计划
D、监控审计进展并实施成本控制
标准答案:C
考生答案:
本题得分:0

内容:
如下哪一类风险是假设被检查的方面缺乏补偿控制:
选项:
A、控制风险
B、检查风险
C、固有风险
D、抽样风险
标准答案:C
考生答案:
本题得分:0

内容:
风险分析的关键要素是:
选项:
A、审计计划
B、控制
C、脆弱点
D、责任
标准答案:C
考生答案:
本题得分:0

内容:
对于抽样而言,以下哪项是正确的?
选项:
A、抽样一般运用于与不成文或无形的控制相关联的总体
B、如果内部控制健全,置信系统可以取的较低
C、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样
D、变量抽样是估计给定控制或相关控制集合发生率的技术
标准答案:B
考生答案:
本题得分:0
内容:
数据库管理系统软件包不可能提供下面哪一种访问控制功能?
选项:
A、用户对字段数的访问
B、用户在网络层的登录
C、在程序级的身份验证
D、在交易级的身份验证
标准答案:B
考生答案:
本题得分:0

内容:
计算机舞弊行为可以被以下哪一条措施所遏制？
选项:
A、准备起诉
B、排斥揭发腐败内幕的雇员
C、忽略了司法系统的低效率
D、准备接收系统缺乏完整性所带来的风险
标准答案:A
考生答案:
本题得分:0

内容:
IS 审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或
威胁需要特别关注？
选项:
A、安全官兼职数据库管理员
B、客户/服务器系统没有适当的管理口令/密码控制
C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑
D、大多数局域网上的文件服务器没有执行定期地硬盘备份
标准答案:B
考生答案:
本题得分:0

内容:
数字签名可以有效对付哪一类电子信息安全的风险？
选项:
A、非授权地阅读
B、盗窃
C、非授权地复制
D、篡改
标准答案:D
考生答案:
本题得分:0

内容:
能够最佳地提供本地服务器上的将处理的工资数据的访问控制的是：
选项:
A、将每次访问记入个人信息（即：作日志）
B、对敏感的交易事务使用单独的密码/口令
C、使用软件来约束授权用户的访问
D、限制只有营业时间内才允许系统访问
标准答案:C
考生答案:
本题得分:0

内容:
E-MAIL 软件应用中验证数字签名可以：
选项:
A、帮助检查垃圾邮件（spam）
B、实现保密性
C、加重网关服务器的负载
D、严重降低可用的网络带宽
标准答案:A
考生答案:
本题得分:0

内容:
下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?
选项:
A、完整性控制的需求是基于风险分析的结果
B、控制已经过了测试
C、安全控制规范是基于风险分析的结果
D、控制是在可重复的基础上被测试的
标准答案:D
考生答案:
本题得分:0

内容:
每感染一个文件就变体一次的恶意代码称为：
选项:
A、逻辑炸弹
B、隐秘型病毒
C、特洛伊木马
D、多态性病毒
标准答案:D
考生答案:
本题得分:0

内容:
通常，黑客使用如下哪一种攻击手段时，会引起对互联网站点的分布式拒绝服务攻击
（DDos）?
选项:
A、逻辑炸弹
B、网络钓鱼
C、间谍软件
D、特洛伊木马
标准答案:D
考生答案:
本题得分:0

内容:
为保证主记录中的关键字段已被正确更新，最好采用下列哪一种办法？
选项:
A、字段检查
B、求和校验与控制
C、合理性检查
D、审查事前和事后的维护报告
标准答案:D
考生答案:
本题得分:0

内容:
下列哪一组高层系统服务可以提供对网络的访问控制
选项:
A、访问控制列表和访问特权
B、身份识别和验证
C、认证和鉴定
D、鉴定和保证
标准答案:B
考生答案:
本题得分:0

内容:
企业里有个混合访问点不能升级其安全强度，而新的访问点具有高级无线安全特性。
IS 审计师建议用新的访问点替换老的混合访问点，下面哪一个选项支持 IS 审计师的建
议的理由最为充分？
选项:
A、新的访问点具有更高的安全强度
B、老的访问点性能太差
C、整个企业网络的安全强度，就是其最为薄弱之处的安全强度
D、新的访问点易于管理
标准答案:C
考生答案:
本题得分:0

内容:
检查入侵监测系统(IDS)时,IS 审计师最关注的内容是:
选项:
A、把正常通讯识别为危险事件的数量(误报)
B、系统没有识别出的攻击事件
C、由自动化工具生成的报告和日志
D、被系统阻断的正常通讯流
标准答案:B
考生答案:
本题得分:0

内容:
银行的自动柜员机（ATM）是一种专门用于销售点的终端，它可以：
选项:
A、只能用于支付现金和存款服务
B、一般放置在入口稠密的场所以威慑盗窃与破坏
C、利用保护的通讯线进行数据传输
D、必须包括高层的逻辑和物理安全
标准答案:D
考生答案:
本题得分:0

内容:
下面哪一种日志文件有助于评估计算机安全事例的危害程度？
选项:
A、联络日志
B、活动日志
C、事件日志
D、审计日志
标准答案:C
考生答案:
本题得分:0

内容:
下面哪一种说法的顺序正确？
选项:
A、脆弱性导致了威胁，然后威胁导致了风险
B、风险导致了威胁，然后威胁导致了脆弱性
C、脆弱性导致了风险，然后风险导致了威胁
D、威胁导致了脆弱性，然后脆弱性导致了风险
标准答案:A
考生答案:
本题得分:0

内容:
下列哪一种行为是互联网上常见的攻击形式？
选项:
A、查找软件设计错误
B、猜测基于个人信息的口令
C、突破门禁系统闯入安全场地
D、种值特洛伊木马
标准答案:D
考生答案:
本题得分:0

内容:
内联网（Intranet）可以建立在一个组织的内部网络上，也可以建互联网（internet）
上，上面哪一条针对内联网的控制在安全上是最弱的？
选项:
A、用加密的通道传输数据
B、安装加密路由器
C、安装加密防火墙
D、对私有 WWW 服务器实现口令控制
标准答案:D
考生答案:
本题得分:0

内容:
在一个无线局域网环境下，能用来保证有效数据安全的技术是哪一种？
选项:
A、消息鉴定码和无线变频收发仪
B、在不同的通道传输数据和消息鉴定码
C、在不同的通道传输数据和加密
D、加密和无线变频收发仪
标准答案:C
考生答案:
本题得分:0

内容:
下面哪一种类型的反病毒软件是最有效的？
选项:
A、扫描
B、活动监测
C、完整性检查
D、种植疫苗
标准答案:C
考生答案:
本题得分:0

内容:
消息在发送前，用发送者的私钥加密消息内容和它的哈希（hash,或译作：杂选、摘
要）值，能够保证：
选项:
A、消息的真实性和完整性
B、消息的真实性和保密性
C、消息的完整性和保密性
D、保密性和防抵赖性
标准答案:A
考生答案:
本题得分:0

内容:
对每个字符和每一帧都传输冗余信息，可以实现对错误的检测和校正，这种方法称
为：
选项:
A、反馈错误控制
B、块求和校验
C、转发错误控制
D、循环冗余校验
标准答案:C
考生答案:
本题得分:0

内容:
实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种
情况有效性是最弱的?
选项:
A、审计要求
B、口令
C、识别控制
D、验证控制
标准答案:B
考生答案:
本题得分:0

内容:
最有效的防病毒控制是:
选项:
A、在邮件服务器上扫描 e-Mail 附件
B、使用无毒的、清洁的、正版的光盘恢复系统
C、卸掉软盘驱动器
D、附有每日更新病毒库功能的在线病毒扫描程序
标准答案:D
考生答案:
本题得分:0

内容:
拒绝服务攻击损害了下列哪一种信息安全的特性?
选项:
A、完整性
B、可用性
C、机密性
D、可靠性
标准答案:B
考生答案:
本题得分:0

内容:
下列哪一种情况会损害计算机安全政策的有效性？
选项:
A、发布安全政策时
B、重新检查安全政策时
C、测试安全政策时
D、可以预测到违反安全政策的强制性措施时
标准答案:D
考生答案:
本题得分:0

内容:
组织的安全政策可以是广义的，也可以是狭义的，下面哪一条是属于广义的安全政
策？
选项:
A、应急计划
B、远程办法
C、计算机安全程序
D、电子邮件个人隐私
标准答案:C
考生答案:
本题得分:0

内容:
在传输模式中，使用封装的安全载荷(ESP,Encapsulating Security Payload)协议比认
证头（AH）协议更有优势，原因是 ESP：
选项:
A、提供了无连接的完整性
B、能验证数据来源
C、带有防重放服务
D、具备保密性
标准答案:D
考生答案:
本题得分:0

内容:
在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证:
选项:
A、保护硬件设备免受浪涌损害
B、如果主电力被中断,系统的完整性也可以得到维护
C、如果主电力被中断,可以提供即时的电力供应
D、保护硬件设备不受长期电力波动的影响
标准答案:A
考生答案:
本题得分:0

内容:
下面哪一种小程序（Applet ）入侵类型会使组织面临系统运行中断的最大威胁？
选项:
A、在客户机上放置病毒程序
B、能记录用户击键行为，收集口令的小程序
C、从网下载的能读硬盘文件的代码
D、可以从客机建立网络连接的小程序
标准答案:D
考生答案:
本题得分:0

内容:
虚拟专用网（VPN）提供以下哪一种功能？
选项:
A、对网络嗅探器隐藏信息
B、强制实施安全政策
C、检测到网络错误和用户对网络资源的滥用
D、制定访问规则
标准答案:A
考生答案:
本题得分:0

内容:
基本的计算机安全需求不包括下列哪一条：
选项:
A、安全政策和标识
B、绝对的保证和持续的保护
C、身份鉴别和落实责任
D、合理的保证和连续的保护
标准答案:B
考生答案:
本题得分:0

内容:
公共密钥体系（PKI）的某一组成要素的主要功能是管理证书生命周期，包括证书目录
维护，证书废止列表维护和证书发布这个要素是：
选项:
A、证书机构（CA）
B、数字签名
C、证书实践声明
D、注册机构（RA）
标准答案:D
考生答案:
本题得分:0

内容:
非授权用户或外部人员（例如黑客）可以通过公共电话拨入网络，不断地尝试系统代
码、用户身份识别码和口令来获得对网络的访问权限。这种“暴力破解”的方法一般
在什么情况下有效？
选项:
A、非授权用户在尝试一定数量的口令猜测后，会被系统自动断开
B、使用常用字符和个人相关信息作为口令
C、用户身份识别码和口令有各种大量的可能性组合
D、所有登录企图被记录下来，并妥善保护
标准答案:B
考生答案:
本题得分:0

内容:
下面哪一种方法在保护系统免受非授权人员的访问时可以提供最高级安全？
选项:
A、加密
B、电话回叫或拨号回叫系统
C、含有个人身份识别码的磁卡
D、用户身份别码和口令
标准答案:A
考生答案:
本题得分:0

内容:
为保证正常运行的计算机系统能被连续使用，用户支持服务是很重要的，下面哪一种
情况与用户支持服务比较接近？
选项:
A、事件处理能力
B、配置管理
C、存储介质控制
D、系统备份
标准答案:A
考生答案:
本题得分:0

内容:
无线局域网比有线局域网在哪方面具有更大的风险？
选项:
A、伪装和修改/替换
B、修改/替换和设备失窃
C、窃听和伪装
D、窃听和盗窃设备
标准答案:B
考生答案:
本题得分:0

内容:
对于一个独立的小型商业计算环境而言，下列哪一种安全控制措施是最有效的？
选项:
A、对计算机使用的监督
B、对故障日志的每日检查
C、计算机存储介质存话加锁的柜中
D、应用系统设计的独立性检查
标准答案:A
考生答案:
本题得分:0

内容:
软件编程人员经常会生成一个直接进入程序的入口，其目的是进行调试和（或）日后
插入新的程序代码。这些入口点被称为：
选项:
A、逻辑炸弹
B、蠕虫
C、陷门
D、特洛依木马
标准答案:C
考生答案:
本题得分:0

内容:
下面哪一种安全技术是鉴别用户身份的最好的方法？
选项:
A、智能卡
B、生物测量技术
C、挑战--响应令牌
D、用户身份识别码和口令
标准答案:B
考生答案:
本题得分:0

内容:
对公司内部网络实施渗透测试时，如下哪一种方法可以确保网络上的测试人始终不被
发觉？
选项:
A、使用现有的文件服务器或域控制器的 IP 地址发起测试
B、每扫描几分钟暂停一会儿，以避免达到或超过网络负载极限
C、在没有人登陆的夜间实施扫描
D、使多种扫描工具，多管齐下
标准答案:B
考生答案:
本题得分:0

内容:
哪一个最能保证来自互联网 internet 的交易事务的保密性？
选项:
A、数字签名
B、数字加密标准（DES）
C、虚拟专用网（VPN）
D、公钥加密（Public Key encryption）
标准答案:D
考生答案:
本题得分:0

内容:
虚拟专用网（VPN）的数据保密性，是通过什么实现的？
选项:
A、安全接口层（SSL，Secure Sockets Layer）
B、网络隧道技术（Tunnelling ）
C、数字签名
D、网络钓鱼
标准答案:B
考生答案:
本题得分:0

内容:
下面的哪一种反垃圾过滤技术可以最大程度地避免正常的、长度不定的、内容里存在
多处垃圾邮件关键字的电子邮件被识别为垃圾邮件？
选项:
A、启发式的过滤技术
B、基于签名的检查
C、模版匹配
D、基于统计（学）的贝叶斯判断（Bayesian）
标准答案:D
考生答案:
本题得分:0
内容:
下面哪一种属于网络上的被动攻击？
选项:
A、消息篡改
B、伪装
C、拒绝服务
D、流量分析
标准答案:D
考生答案:
本题得分:0

内容:
网络上数据传输时，如何保证数据的保密性？
选项:
A、数据在传输前经加密处理
B、所有消息附加它哈希值
C、网络设备所在的区域加强安全警戒
D、电缆作安全保护
标准答案:A
考生答案:
本题得分:0

内容:
生物测试安全控制设备的最佳量化性能测量指标是：
选项:
A、错误拒绝率
B、错误接受率
C、平均错误率
D、估计错误率
标准答案:C
考生答案:
本题得分:0

内容:
下面哪一条措施不能防止数据泄漏？
选项:
A、数据冗余
B、数据加密
C、访问控制
D、密码系统
标准答案:A
考生答案:
本题得分:0

内容:
软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾
的？
选项:
A、员工的教育和培训
B、远距离工作（Telecommuting）与禁止员工携带工作软件回家
C、自动日志和审计软件
D、政策的发布与政策的强制执行
标准答案:B
考生答案:
本题得分:0

内容:
如果一台便携式计算机丢失或被盗，管理人员最关注的是机密信息是否会暴露。要保
护存放在便携式计算机上的敏感信息，下面哪一条措施是最有效的和最经济的？
选项:
A、用户填写情况简要介绍
B、签署确认用户简要介绍
C、可移动数据存储介质
D、在存储介质上对数据文件加密
标准答案:C
考生答案:
本题得分:0

内容:
IS 审计师检查日志文件中的失败登陆的尝试，那么，最关注的账号是：
选项:
A、网络管理员
B、系统管理员
C、数据管理员
D、数据库管理员
标准答案:B
考生答案:
本题得分:0

内容:
长远来看，最有可能改善安全事件反应程序的选项是：
选项:
A、通盘检查事件反应程序和流程
B、事件反应小组的事后检查、回顾
C、对用户不断地安全培训
D、记录对事件的反应过程
标准答案:B
考生答案:
本题得分:0

内容:
下面哪一种关于安全的说法是不对的？
选项:
A、加密技术的安全性不应大于使用该技术的人的安全性
B、任何电子邮件程序的安全性不应大于实施加密的计算机的安全性
C、加密算法的安全性与密钥的安全性一致
D、每个电子邮件消息的安全性是通过用标准的非随机的密钥加密来实现
标准答案:D
考生答案:
本题得分:0

内容:
在公共密钥加密系统中，注册中心（RA，Registration Authority）负责：
选项:
A、验证证书请求相关的信息
B、验证所必需的属性，并生成密钥（指密钥对）之后发放证书
C、对消息进行数字签名，以实现防抵赖的特性
D、登记签名的消息，保护它避免抵赖
标准答案:A
考生答案:
本题得分:0

内容:
下面哪一种方式，能够最有效的约束雇员只能履行其分内的工作？
选项:
A、应用级访问控制
B、数据加密
C、卸掉雇员电脑上的软盘和光盘驱动器
D、使用网络监控设备
标准答案:A
考生答案:
本题得分:0

内容:
一家 B2C 电子商务网站的信息安全程序要求能够监测和预防黑客的活动，一时有可疑
行为即警示系统管理员。下面的哪个系统组件可以实现这个目标？
选项:
A、入侵监测系统（IDS）
B、防火墙
C、路由器
D、不对称加密
标准答案:A
考生答案:
本题得分:0

内容:
跨国公司的 IS 经理打算把现有的虚拟专用网（VPN，virtual priavte network）升级，
采用通道技术使其支持语音 IP 电话（VOIP，voice-over IP）服务，那么，需要首要关
注的是：
选项:
A、服务的可靠性和质量（Qos,quality of service）
B、身份的验证方式
C、语音传输的保密
D、数据传输的保密
标准答案:A
考生答案:
本题得分:0

内容:
建立数据所有权关系的任务应当是下列哪一种人的责任?
选项:
A、职能部门用户
B、内部审计人员
C、数据处理人员
D、外部审计人员
标准答案:A
考生答案:
本题得分:0

内容:
重新配置下列哪一种防火墙类型可以防止内部用户通过文件传输协议（FTP）下载文
件？
选项:
A、电路网关
B、应用网关
C、包过滤
D、屏蔽式路由器
标准答案:B
考生答案:
本题得分:0

内容:
下面哪一种安全措施可以允许调查人员有足够的反应时间?
选项:
A、阻止
B、检测
C、拖延
D、拒绝
标准答案:C
考生答案:
本题得分:0

内容:
处理计算机犯罪事件需要运用管理团队的方法，下面哪一个角色的职责是明确的？
选项:
A、经理
B、审计人员
C、调查人员
D、安全负责人
标准答案:A
考生答案:
本题得分:0

内容:
从计算机安全的角度看，下面哪一种情况是社交工程的一个直接的例子：
选项:
A、计算机舞弊
B、欺骗或胁迫
C、计算机偷窃
D、计算机破坏
标准答案:B
考生答案:
本题得分:0

内容:
在业务连续性计划（BCP）中，下面哪个求救电话目录是最重要的？
选项:
A、先联系设备供应商和电力、通讯等资源
B、先联系保险公司
C、先联系人力中介公司
D、已排定优先顺序的联络表（紧急救援电话表）
标准答案:D
考生答案:
本题得分:0

内容:
在提供备份计算机设备方面，下面哪一种情况是成本最低的？
选项:
A、互助协议
B、共享设备
C、服务机构
D、公司拥有的镜像设备
标准答案:A
考生答案:
本题得分:0

内容:
业务连续性计划（BCP）的哪个部分，是企业 IS 部门的主要责任？
选项:
A、制定业务连续性计划
B、选定、批准业务连续性计划的相关战略
C、遇灾报警
D、灾后恢复 IS 系统和数据
标准答案:D
考生答案:
本题得分:0

内容:
审计涵盖关键业务领域的灾难恢复计划时，IS 审计师发现该计划没有包括全部系统。
那么，IS 审计师最为恰当的处理方式是：
选项:
A、推迟审计，直到把全部系统纳入 DRP
B、知会领导，并评估不包含所有系统所带来的影响
C、中止审计
D、按照现有的计划所涵盖的系统和范围继续审计，直到全部完成
标准答案:B
考生答案:
本题得分:0
内容:
一个组织的数据中心的成本是 10000000 美元，实际遭受损失的机率是万分之一。数
据中心登记在册的价值是 5000000 美元。在零利润现价交易条件下，这个组织需要付
给保险公司的最小保险费是多少？
选项:
A、1000 美元
B、10000 美元
C、5000 美元
D、500 美元
标准答案:A
考生答案:
本题得分:0

内容:
局域网环境下与大型计算机环境下的本地备份方式有什么主要区别？
选项:
A、主要结构
B、容错能力
C、网络拓扑
D、局域网协议
标准答案:B
考生答案:
本题得分:0

内容:
根据组织业务连续性计划的复杂程度，可以建立多个计划来满足业务连续和灾难恢复
的各方面。在这种环境下，有必要：
选项:
A、每个计划都与其他计划相协调
B、所有计划都整合到一个计划中
C、每个计划都独立于其他计划
D、指定所有计划实施的顺序
标准答案:A
考生答案:
本题得分:0

内容:
在灾难发生期间，下列哪一种应用系统应当首先被恢复？
选项:
A、总账系统
B、供应链系统
C、固定资产系统
D、客户需求处理系统
标准答案:D
考生答案:
本题得分:0

内容:
关于冷站的计算机设备的组成，下面哪一种说法不正确？
选项:
A、加热系统，湿度控制和空调设备
B、CPU 和其他计算机设备
C、电源连接
D、通讯连接
标准答案:B
考生答案:
本题得分:0

内容:
由于数据文件的损坏，存储在异地备份设备上的信息经常要恢复到本地站点（主计算
机）上去，能快速简易地从备份站点传送所需备份信息到本地主计算机设备上去的机
制称为：
选项:
A、特殊急件信差
B、常规急件信差
C、电子保险库
D、特殊信使
标准答案:C
考生答案:
本题得分:0

内容:
一家大型银行实施 IT 审计的过程中，IS 审计师发现许多业务应用没有执行正规的风险
评估，也没有确定其重要性和恢复时间上的要求。那么，这些暴露的银行风险是：
选项:
A、业务连续性计划（BCP）可能没有与银行各应用被破坏的风险相对应
B、业务连续计划（BCP）可能没有包含所有相关应用，因此，在范围上不完整
C、领导或许没有正确认识灾难对业务的影响
D、业务连续性计划（BCP）或许缺少有效的业务所有者关系
标准答案:A
考生答案:
本题得分:0

内容:
微型计算机上的软件和数据是否要保存到异地备份站点主要取决于：
选项:
A、访问的简便性
B、风险评估
C、完备的标签
D、完备的文档
标准答案:B
考生答案:
本题得分:0

内容:
企业目前磁带备份，每周一次全备份、每日一次增量备份的策略。最近，企业领导把
磁带备份流程中增加了向磁盘备份的步骤。这种做法之所以恰当，是因为：
选项:
A、它支持非现场存储的快速合成备份
B、向磁盘备份的速度远快于向磁带备份
C、随着技术的进步，不再需要磁带库
D、数据保存在磁盘上，其可靠性高于磁带存储
标准答案:A
考生答案:
本题得分:0

内容:
审计 BCP 时，IS 审计师发现尽管所有部门都位于同一栋大楼里，各部门还是制定了本
部门的 BCP。IS 审计师建议将各 BCP 协调统一起来，那么，首先要统一的是：
选项:
A、疏散和撤离计划
B、恢复的优先顺序
C、备份存储（Backup storages）
D、电话表（Call tree）
标准答案:A
考生答案:
本题得分:0

内容:
制订业务连续性计划时，下面哪一类工具可以用于了解各企业的业务流程?
选项:
A、业务连续性自我审计
B、资源恢复分析
C、风险评估
D、差异分析
标准答案:C
考生答案:
本题得分:0

内容:
制订业务连续性计划的第一步，也是必不可少的一步是：
选项:
A、根据风险将应用系统分类
B、罗列出所有资产的清单
C、完整地记录所有灾难
D、软件和硬件的可用性
标准答案:A
考生答案:
本题得分:0

内容:
下面哪一条是信息系统审计师主要考虑的问题？
选项:
A、备份站点是否有一个“诱捕陷阱”
B、备份站点是否有安全保卫人员
C、备份站点与主站点间是否有一段合理的距离
D、备份站点是否是一个服务机构
标准答案:C
考生答案:
本题得分:0

内容:
IS 审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有
系统的一半。那么，他/她该怎么做？
选项:
A、无需做什么。因为只有处理能力低于正常的 25%，才会严重影响企业的生存和备
份能力
B、找出可以在备用设施使用的应用，其它业务处理采用手工操作，制订手工流程以
备不测
C、找出所有主要的应用，确保备用设施可以运行这些应用
D、建议相关部门增加备用设施投入，使其能够处理 75%的正常业务
标准答案:C
考生答案:
本题得分:0

内容:
在制定灾难恢复与应急计划时，下面哪一种情况不是正确的考虑？
选项:
A、对应急计划测试与维护应当是一个持续过程
B、在异地恢复站点恢复系统处理能力时要用到的所有资源与材料应当是可获得的
C、所有相对不重要的工作没有必要恢复
D、在多个站点的环境下，应当为每一个计算机中心制定一份单独的恢复计划
标准答案:C
考生答案:
本题得分:0

内容:
能涵盖损失的最好的保险单类型是：
选项:
A、基本保险单
B、扩展保险单
C、特殊的涵盖所有风险的保险单
D、与风险类型相称的保险
标准答案:D
考生答案:
本题得分:0

内容:
下面哪一种情况可以称为“灾难恢复计划”的最后手段？
选项:
A、与恢复中心的一份合同
B、恢复中心的一份能力演示
C、对恢复中心的走访
D、一份保险单
标准答案:D
考生答案:
本题得分:0

内容:
如下哪一种情况下，网络数据管理协议（NDMP）可用于备份？
选项:
A、需要使用网络附加存储设备（NAS）时
B、不能使用 TCP/IP 的环境中
C、需要备份旧的备份系统不能处理的文件许可时
D、要保证跨多个数据卷的备份连续、一致时
标准答案:A
考生答案:
本题得分:0
内容:
当一个组织在选择异地备份供应商时，对信息系统审计师来说，下列哪一种情况是最
少考虑的？
选项:
A、供应商保密存储介质的责任
B、供应商的保险范围及对员工的担保
C、要求同一个人一直保管存储介质
D、请求和接收货物的程序和紧急情况下的处理方式
标准答案:C
考生答案:
本题得分:0

内容:
IS 审计师发现被审计的企业，各部门均制订了充分的业务连续性计划（BCP），但是
没有整个企业的 BCP。那么，IS 审计师应该采取的最佳行动是：
选项:
A、各业务部门都有适当的 BCP 就够了，无需其他
B、建议增加、制订全企业的、综合的 BCP
C、确定各部门的 BCP 是否一致，没有冲突
D、建议合并所有 BCP 为一个单独的全企业的 BCP
标准答案:C
考生答案:
本题得分:0

内容:
应急计划能应对下列哪一种威胁？
选项:
A、物理威胁和软件威胁
B、软件威胁和环境威胁
C、物理威胁和环境威胁
D、软件威胁和硬件威胁
标准答案:C
考生答案:
本题得分:0

内容:
一声火灾蔓延到一个组织的机房场地，这个组织损失了所有的计算机系统。从前，这
个组织最应该做的是：
选项:
A、为冷站备份方式作战计划
B、为互助协议作计划--与其他相同的组织协商互为备份
C、为热站备份方式作计划--使一切设备与数据准备就绪
D、为异地存储设备作每日备份
标准答案:D
考生答案:
本题得分:0

内容:
当获得高层管理人员对灾难恢复计划的支持和制定计划所需资源的授权后，选择起草
计划的人应当具有以下哪一种能力：
选项:
A、具有与信息系统相关的操作系统、数据库和通讯的技术知识
B、具有硬件和软件供应商咨询背景
C、具有在相同行业中的客户咨询经验
D、具有组织的全局观点和认识所有灾难后果的能力
标准答案:D
考生答案:
本题得分:0

内容:
一旦业务功能发生变化，已打印的表格和其他备用资源都可能要改变。下面哪一种情
况构成了对组织的主要风险？
选项:
A、在异地存储的备用资源详细目录没有及时更新
B、在备份计算机和恢复设备上存储的备用资源详细目录没有及时更新
C、没有对紧急情况下的供应商或备选供应商进行评估，不知道供应商是否还在正常
营业
D、过期的材料没有从有用的资源中剔除
标准答案:C
考生答案:
本题得分:0

2010年6月 CISA考试回忆（中文）

Uploaded by

Copyright:

Available Formats

You might also like

2010年6月 CISA考试回忆（中文）

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2010年6月 CISA考试回忆（中文）

Uploaded by

Copyright:

Available Formats

题号:1 题型:单选题 本题分数:.

题号:2 题型:单选题 本题分数:.5

题号:3 题型:单选题 本题分数:.5

题号:4 题型:单选题 本题分数:.5

题号:5 题型:单选题 本题分数:.5

题号:6 题型:单选题 本题分数:.5

题号:7 题型:单选题 本题分数:.5

题号:8 题型:单选题 本题分数:.5

题号:9 题型:单选题 本题分数:.5

题号:10 题型:单选题 本题分数:.5

题号:11 题型:单选题 本题分数:.5

题号:12 题型:单选题 本题分数:.5

题号:13 题型:单选题 本题分数:.5

题号:14 题型:单选题 本题分数:.5

题号:15 题型:单选题 本题分数:.5

题号:16 题型:单选题 本题分数:.5

题号:17 题型:单选题 本题分数:.5

题号:18 题型:单选题 本题分数:.5

题号:19 题型:单选题 本题分数:.5

题号:20 题型:单选题 本题分数:.5

题号:21 题型:单选题 本题分数:.5

题号:22 题型:单选题 本题分数:.5

题号:23 题型:单选题 本题分数:.5

题号:24 题型:单选题 本题分数:.5

题号:25 题型:单选题 本题分数:.5

题号:26 题型:单选题 本题分数:.5

题号:27 题型:单选题 本题分数:.5

题号:28 题型:单选题 本题分数:.5

题号:29 题型:单选题 本题分数:.5

题号:30 题型:单选题 本题分数:.5

题号:31 题型:单选题 本题分数:.5

题号:32 题型:单选题 本题分数:.5

题号:33 题型:单选题 本题分数:.5

题号:34 题型:单选题 本题分数:.5

题号:35 题型:单选题 本题分数:.5

题号:36 题型:单选题 本题分数:.5

题号:38 题型:单选题 本题分数:.5

题号:39 题型:单选题 本题分数:.5

题号:40 题型:单选题 本题分数:.5

题号:41 题型:单选题 本题分数:.5

题号:42 题型:单选题 本题分数:.5

题号:43 题型:单选题 本题分数:.5

题号:44 题型:单选题 本题分数:.5

题号:45 题型:单选题 本题分数:.5

题号:46 题型:单选题 本题分数:.5

题号:47 题型:单选题 本题分数:.5

题号:48 题型:单选题 本题分数:.5

题号:49 题型:单选题 本题分数:.5

题号:50 题型:单选题 本题分数:.5

题号:51 题型:单选题 本题分数:.5

题号:52 题型:单选题 本题分数:.5

题号:53 题型:单选题 本题分数:.5

题号:54 题型:单选题 本题分数:.5

题号:55 题型:单选题 本题分数:.5

题号:56 题型:单选题 本题分数:.5

题号:57 题型:单选题 本题分数:.5

题号:58 题型:单选题 本题分数:.5

题号:59 题型:单选题 本题分数:.5

题号:60 题型:单选题 本题分数:.5

题号:1 题型:单选题本题分数:.

题号:2 题型:单选题本题分数:.5

题号:3 题型:单选题本题分数:.5

题号:4 题型:单选题本题分数:.5

题号:5 题型:单选题本题分数:.5

题号:6 题型:单选题本题分数:.5

题号:7 题型:单选题本题分数:.5

题号:8 题型:单选题本题分数:.5

题号:9 题型:单选题本题分数:.5

题号:10 题型:单选题本题分数:.5

题号:11 题型:单选题本题分数:.5

题号:12 题型:单选题本题分数:.5

题号:13 题型:单选题本题分数:.5

题号:14 题型:单选题本题分数:.5

题号:15 题型:单选题本题分数:.5

题号:16 题型:单选题本题分数:.5

题号:17 题型:单选题本题分数:.5

题号:18 题型:单选题本题分数:.5

题号:19 题型:单选题本题分数:.5

题号:20 题型:单选题本题分数:.5

题号:21 题型:单选题本题分数:.5

题号:22 题型:单选题本题分数:.5

题号:23 题型:单选题本题分数:.5

题号:24 题型:单选题本题分数:.5

题号:25 题型:单选题本题分数:.5

题号:26 题型:单选题本题分数:.5

题号:27 题型:单选题本题分数:.5

题号:28 题型:单选题本题分数:.5

题号:29 题型:单选题本题分数:.5

题号:30 题型:单选题本题分数:.5

题号:31 题型:单选题本题分数:.5

题号:32 题型:单选题本题分数:.5

题号:33 题型:单选题本题分数:.5

题号:34 题型:单选题本题分数:.5

题号:35 题型:单选题本题分数:.5

题号:36 题型:单选题本题分数:.5

题号:38 题型:单选题本题分数:.5

题号:39 题型:单选题本题分数:.5

题号:40 题型:单选题本题分数:.5

题号:41 题型:单选题本题分数:.5

题号:42 题型:单选题本题分数:.5

题号:43 题型:单选题本题分数:.5

题号:44 题型:单选题本题分数:.5

题号:45 题型:单选题本题分数:.5

题号:46 题型:单选题本题分数:.5

题号:47 题型:单选题本题分数:.5

题号:48 题型:单选题本题分数:.5

题号:49 题型:单选题本题分数:.5

题号:50 题型:单选题本题分数:.5

题号:51 题型:单选题本题分数:.5

题号:52 题型:单选题本题分数:.5

题号:53 题型:单选题本题分数:.5

题号:54 题型:单选题本题分数:.5

题号:55 题型:单选题本题分数:.5

题号:56 题型:单选题本题分数:.5

题号:57 题型:单选题本题分数:.5

题号:58 题型:单选题本题分数:.5

题号:59 题型:单选题本题分数:.5

题号:60 题型:单选题本题分数:.5

题号:61 题型:单选题本题分数:.5

题号:62 题型:单选题本题分数:.5

题号:63 题型:单选题本题分数:.5

题号:64 题型:单选题本题分数:.5

题号:65 题型:单选题本题分数:.5

题号:66 题型:单选题本题分数:.5

题号:67 题型:单选题本题分数:.5

题号:68 题型:单选题本题分数:.5

题号:69 题型:单选题本题分数:.5

题号:70 题型:单选题本题分数:.5

题号:71 题型:单选题本题分数:.5

题号:72 题型:单选题本题分数:.5

题号:73 题型:单选题本题分数:.5

题号:74 题型:单选题本题分数:.5

题号:75 题型:单选题本题分数:.5

题号:76 题型:单选题本题分数:.5

题号:77 题型:单选题本题分数:.5

题号:78 题型:单选题本题分数:.5

题号:79 题型:单选题本题分数:.5

题号:80 题型:单选题本题分数:.5

题号:81 题型:单选题本题分数:.5