题号:1 题型:单选题 内容:
以下哪一项属于所有指令均能被执行的操作系统模式? 选项: A、问题 B、中断 C、监控
D、标准处理
标准答案:B
题号:2 题型:单选题 内容:
企业将其技术支持职能(help desk)外包出去,下面的哪一项指标纳入外包服务等级协议(SLA)是最恰当的? 选项:
A、要支持用户数
B、首次请求技术支持,即解决的(事件)百分比 C、请求技术支持的总人次 D、电话响应的次数
标准答案:B
题号:3 题型:单选题 内容:
IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本,那么,IS审计师应该建议: 选项:
A、检查源程序文档的保存情况 B、检查数据文件的安全状况 C、实施版本使用控制 D、进行一对一的核查
标准答案:C
题号:4 题型:单选题 内容:
将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?
1
选项:
A、批量头格式 B、批量平衡
C、数据转换差错纠正 D、对打印池的访问控制
标准答案:B
题号:5 题型:单选题 内容:
审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性? 选项:
A、系统工具
B、应用程序生成器 C、系统安全文文件 D、访问存储流程
标准答案:A
题号:6 题型:单选题 内容:
测试程序变更管理流程时,IS审计师使用的最有效的方法是: 选项:
A、由系统生成的信息跟踪到变更管理文档
B、检查变更管理文档中涉及的证据的精确性和正确性 C、由变更管理文档跟踪到生成审计轨迹的系统 D、检查变更管理文档中涉及的证据的完整性
标准答案:A
题号:7 题型:单选题 内容:
分布式环境中,服务器失效带来的影响最小的是: 选项:
A、冗余路由 B、集群
C、备用电话线 D、备用电源
2
标准答案:B
题号:8 题型:单选题 内容:
实施防火墙最容易发生的错误是: 选项:
A、访问列表配置不准确
B、社会工程学会危及口令的安全 C、把modem连至网络中的计算机
D、不能充分保护网络和服务器使其免遭病毒侵袭
标准答案:A
题号:9 题型:单选题 内容:
为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查: 选项:
A、业务软件
B、系统平台工具 C、应用服务
D、系统开发工具
标准答案:C
题号:10 题型:单选题 内容:
数据库规格化的主要好处是: 选项:
A、在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复) B、满足更多查询的能力
C、由多张表实现,最大程度的数据库完整性 D、通过更快地信息处理,减小反应时间
标准答案:A
题号:11 题型:单选题
3
内容:
以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式? 选项:
A、磁墨字符识别(MICR) B、智能语音识别(IVR) C、条形码识别(BCR) D、光学字符识别(OCR)
标准答案:D
题号:12 题型:单选题 内容:
代码签名的目的是确保: 选项:
A、软件没有被后续修改
B、应用程序可以与其它已签名的应用安全地对接使用 C、应用(程序)的签名人是受到信任的 D、签名人的私钥还没有被泄露
标准答案:A
题号:13 题型:单选题 内容:
检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定: 选项:
A、是否口令经常修改
B、客户/服务器应用的框架 C、网络框架和设计
D、防火墙保护和代理服务器
标准答案:C
题号:14 题型:单选题 内容:
企业正在与厂商谈判服务水平协议(SLA),首要的工作是:
4
选项:
A、实施可行性研究
B、核实与公司政策的符合性 C、起草其中的罚则 D、起草服务水平要求
标准答案:D
题号:15 题型:单选题 内容:
电子商务环境中降低通讯故障的最佳方式是: 选项:
A、使用压缩软件来缩短通讯传输耗时 B、使用功能或消息确认(机制)
C、利用包过滤防火墙,重新路由消息 D、租用异步传输模式(ATM)线路
标准答案:D
题号:16 题型:单选题 内容:
以下哪一项措施可最有效地支持24/7可用性? 选项:
A、日常备份 B、异地存储 C、镜像
D、定期测试
标准答案:C
题号:17 题型:单选题 内容:
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求? 选项:
5
A、建立一个与供货商相联的内部客户机用及服务器网络以提升效率 B、将其外包给一家专业的自动化支付和账务收发处理公司
C、与重要供货商建立采用标准格式的、计算机对计算机的电子业务文文件和交易处理用EDI系统
D、重组现有流程并重新设计现有系统
标准答案:C
题号:18 题型:单选题 内容:
以下哪一项是图像处理的弱点? 选项:
A、验证签名 B、改善服务 C、相对较贵
D、减少处理导致的变形
标准答案:C
题号:19 题型:单选题 内容:
某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块数据传输通讯,而微机只支持异步ASCII字符数据通讯。为实现其连通目标,需为该IS审计人员的微机增加以下哪一类功能? 选项:
A、缓冲器容量和并行端口 B、网络控制器和缓冲器容量 C、并行端口和协议转换 D、协议转换和缓冲器容量
标准答案:D
题号:20 题型:单选题 内容:
为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项?
6
选项:
A、系统访问日志文件
B、被启动的访问控制软件参数 C、访问控制违犯日志
D、系统配置文件中所使用的控制选项
标准答案:D
题号:21 题型:单选题 内容:
在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的? 选项:
A、计算机操作员兼任备份磁带库管理员 B、计算机操作员兼任安全管理员
C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D、没有必要报告上述任何一种情形
标准答案:B
题号:22 题型:单选题 内容:
以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况? 选项:
A、神经网络
B、数据库管理软件 C、管理信息系统
D、计算机辅助审计技术
标准答案:A
题号:23 题型:单选题 内容:
7
大学的IT部门和财务部(FSO,financial services office)之间签有服务水平协议(SLA),要求每个月系统可用性超过98%。财务部后来分析系统的可用性,发现平均每个月的可用性确实超过98%,但是月末结账期的系统可用性只有93%。那么,财务部应该采取的最佳行动是: 选项:
A、就协议内容和价格重新谈判
B、通知IT部门协议规定的标准没有达到 C、增购计算机设备等(资源) D、将月底结账处理顺延
标准答案:A
题号:24 题型:单选题 内容:
在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。IS审计师应该决定后续的行动是: 选项:
A、实施分析,以确定该事件是否为暂时的服务实效所引起
B、由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会
C、这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%
D、通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定
标准答案:A
题号:25 题型:单选题 内容:
以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作? 选项:
A、路由器 B、网桥 C、中继器 D、网关
8
标准答案:B
题号:26 题型:单选题 内容:
在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助? 选项:
A、系统故障时间日志 B、供货商的可靠性描述 C、预定的定期维护日志
D、书面的预防性维护计划表
标准答案:A
题号:27 题型:单选题 内容:
用于监听和记录网络信息的网络诊断工具是: 选项:
A、在线监视器 B、故障时间报告 C、帮助平台报告 D、协议分析仪
标准答案:D
题号:28 题型:单选题 内容:
对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据? 选项:
A、异常作业终止报告 B、操作员问题报告 C、系统日志
D、操作员工作日程安排
9
标准答案:C
题号:29 题型:单选题 内容:
有效的IT治理要求组织结构和程序确保 选项:
A、组织的战略和目标包括IT战略 B、业务战略来自于IT战略
C、IT治理是独立的,与整体治理相区别 D、IT战略扩大了组织的战略和目标
标准答案:D
题号:30 题型:单选题 内容:
质量保证小组通常负责: 选项:
A、确保从系统处理收到的输出是完整的 B、监督计算机处理任务的执行
C、确保程序、程序的更改以及存盘符合制定的标准
D、设计流程来保护数据,以免被意外泄露、更改或破坏
标准答案:C
题号:31 题型:单选题 内容:
组织内数据安全官的最为重要的职责是: 选项:
A、推荐并监督资料安全政策 B、在组织内推广安全意识
C、制定IT安全政策下的安全程序/流程 D、管理物理和逻辑访问控制
标准答案:A
10
题号:32 题型:单选题 内容:
企业打算外包其信息安全职能,那么其中的哪一项职能不能外包,只能保留在企业内? 选项:
A、公司安全策略的记账 B、制订公司安全策略 C、实施公司安全策略 D、制订安全堆积和指导
标准答案:A
题号:33 题型:单选题 内容:
在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险? 选项:
A、自动记录开发(程序/文文件)库的变更 B、增员,避免兼职
C、建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操作
D、建立阻止计算机操作员更改程序的访问控制
标准答案:C
题号:34 题型:单选题 内容:
一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查: 选项:
A、BPR实施前的处理流程图 B、BPR实施后的处理流程图 C、BPR项目计划
D、持续改进和监控计划
标准答案:B
11
题号:35 题型:单选题 内容:
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是: 选项:
A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据
D、在生产机构对销售定单的编号顺序进行追踪和计算
标准答案:A
题号:36 题型:单选题 内容:
以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中? 选项:
A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限
标准答案:C
题号:37 题型:单选题 内容:
IS战略规划应包含: 选项:
A、制定的硬件采购规格说明 B、未来业务目标的分析
C、项目开发的(启动和结束)日期 D、IS部门的年度预算(目标)
标准答案:B
12
题号:38 题型:单选题 内容:
达到评价IT风险的目标最好是通过 选项:
A、评估与当前IT资产和IT项目相关的威胁
B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报导的可比较组织的损失统计数据 D、浏览审计报告中涉及的IT控制薄弱点
标准答案:A
题号:39 题型:单选题 内容:
在确认是否符合组织的变更控制程序时,以下IS审计人员执行的测试中哪一项最有效? 选项:
A、审查软件迁移记录并核实审批情况 B、确定已发生的变更并核实审批情况 C、审核变更控制文档并核实审批情况
D、保证只有适当的人员才能将变更迁移至生产环境
标准答案:B
题号:40 题型:单选题 内容:
以一哪项功能应当由应用所有者执行,从而确保IS和最终用户的充分的职责分工? 选项:
A、系统分析
B、数据访问控制授权 C、应用编程 D、数据管理
标准答案:B
题号:41 题型:单选题
13
内容:
在以下何种情况下应用系统审计踪迹的可靠性值得怀疑? 选项:
A、审计足迹记录了用户ID
B、安全管理员对审计文件拥有只读权限 C、日期时间戳记录了动作发生的时间
D、用户在纠正系统错误时能够修正审计踪迹记录
标准答案:D
题号:42 题型:单选题 内容:
对于数据库管理而言,最重要的控制是: 选项:
A、批准数据库管理员(DBA)的活动 B、职责分工
C、访问日志和相关活动的检查 D、检查数据库工具的使用
标准答案:B
题号:43 题型:单选题 内容:
IT治理的目标是保证IT战略符合以下哪一项的目标? 选项: A、企业 B、IT C、审计 D、财务
标准答案:A
题号:44 题型:单选题 内容:
数据编辑属于: 选项:
14
A、预防性控制 B、检测性控制 C、纠正性控制 D、补偿控制
标准答案:A
题号:45 题型:单选题 内容:
业务流程再造(BPR)项目最有可能导致以下哪一项的发生? 选项:
A、更多的人使用技术
B、通过降低信息技术的复杂性而大量节省开支 C、较弱的组织结构和较少的责任 D、增加的信息保护(IP)风险
标准答案:A
题号:46 题型:单选题 内容:
IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论: 选项:
A、这种缺乏了解会导致不经意地泄露敏感信息 B、信息安全不是对所有只能都是关键的 C、IS审计应当为那些雇员提供培训
D、该审计发现应当促使管理层对员工进行继续教育
标准答案:A
题号:47 题型:单选题 内容:
数据管理员负责: 选项:
A、维护数据库系统软件
B、定义数据元素、数据名及其关系
15
C、开发物理数据库结构 D、开发数据字典系统软件
标准答案:B
题号:48 题型:单选题 内容:
许多组织强制要求雇员休假一周或更长时间,以便: 选项:
A、确保雇员维持生产质量,从而生产力更高 B、减少雇员从事不当或非法行为的机会 C、为其它雇员提供交叉培训
D、消除当某个雇员一次休假一天造成的潜在的混乱
标准答案:B
题号:49 题型:单选题 内容:
对IT部门的战略规划流程/程序的最佳描述是: 选项:
A、依照组织大的规划和目标,IT部门或都有短期计划,或者有长期计划 B、IT部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务要求的优先级的程序
C、IT部门的长期规划应该认识到组织目标、技术优势和规章的要求
D、IT部门的短期规划不必集成到组织的短计划内,因为技术的发展对IT部门的规划的推动,快于对组织计划的推动
标准答案:C
题号:50 题型:单选题 内容:
开发一个风险管理程序时进行的第一项活动是: 选项:
A、威胁评估 B、资料分类 C、资产盘点
16
D、并行模拟
标准答案:C
题号:51 题型:单选题 内容:
在审核某业务流程再造(BPR)项目时,以下审计人员要评价的项目中哪一项最重要? 选项:
A、被撤销控制的影响 B、新控制的成本 C、BPR项目计划
D、持续改进和监控计划
标准答案:A
题号:52 题型:单选题 内容:
数据库管理员负责: 选项:
A、维护计算机内部数据的访问安全 B、实施数据库定义控制 C、向用户授予访问权限 D、定义系统的数据结构
标准答案:B
题号:53 题型:单选题 内容:
IS审计师复核IT功能外包合同时,应当期望它定义: 选项:
A、硬件设置
B、访问控制软件 C、知识产权
D、应用开发方法论
17
标准答案:C
题号:54 题型:单选题 内容:
IS审计师发现被审计的企业经常举办交叉培训,那么需要评估如下哪一种风险? 选项:
A、对某个技术骨干的过分依赖 B、岗位接任计划不适当
C、某个人知道全部系统的细节 D、运营中断
标准答案:C
题号:55 题型:单选题 内容:
应用系统开发的责任下放到各业务基层,最有可能导致的后果是 选项:
A、大大减少所需数据通讯 B、控制水平较低 C、控制水平较高 D、改善了职责分工
标准答案:B
题号:56 题型:单选题 内容:
可以降低社交工程攻击的潜在影响的是: 选项:
A、遵从法规的要求 B、提高道德水平
C、安全意识计划(如:促进安全意识的教育) D、有效的绩效激励政策
标准答案:C
18
题号:57 题型:单选题 内容:
企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这种广泛的访问最有可能是因为: 选项:
A、经常性地修改会计期间的需要 B、需要向关闭的会计期间过入分录 C、缺乏适当的职责分工政策和步骤 D、需要创建和修改科目表及其分配
标准答案:C
题号:58 题型:单选题 内容:
IT治理确保组织的IT战略符合于: 选项:
A、企业目标 B、IT目标 C、审计目标 D、控制目标
标准答案:A
题号:59 题型:单选题 内容:
以下哪一项最好地描述了企业生产重组(ERP)软件的安装所需要的文档? 选项:
A、仅对特定的开发 B、仅对业务需求
C、安装的所有阶段必须进行书面记录 D、没有开发客户特定文档的需要
标准答案:C
题号:60 题型:单选题
19
内容:
实施下面的哪个流程,可以帮助确保经电子数据交换(EDI)的入站交易事务的完整性? 选项:
A、数据片断计数内建到交易事务集的尾部
B、记录收到的消息编号,定期与交易发送方验证 C、为记账和跟踪而设的电子审计轨迹
D、已收到的确认的交易事务与发送的EDI消息日志比较、匹配
标准答案:A
题号:61 题型:单选题 内容:
评估数据库应用的便捷性时,IS审计师应该验证: 选项:
A、能够使用结构化查询语言(SQL)
B、与其它系统之间存在信息的导入、导出程序 C、系统中采用了索引(Index)
D、所有实体(entities)都有关键名、主键和外键
标准答案:A
题号:62 题型:单选题 内容:
以下哪一项有利于程序维护? 选项:
A、强内聚/松藕合的程序 B、弱内聚/松藕合的程序 C、强内聚/紧藕合的程序 D、弱内聚/紧藕合的程序
标准答案:A
题号:63 题型:单选题 内容:
20
软件开发项目中纳入全面质量管理(TQM,total quality managemnet)的主要好处是: 选项:
A、齐全的文档 B、按时交付 C、成本控制
D、最终用户的满意
标准答案:D
题号:64 题型:单选题 内容:
随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是: 选项:
A、用户参与不足
B、项目此理早期撤职
C、不充分的质量保证(QA)工具 D、没有遵从既定的已批准功能
标准答案:A
题号:65 题型:单选题 内容:
一个通用串行总线(USB)端口: 选项:
A、可连接网络而无需网卡 B、用以太网适配器连接网络 C、可代替所有现存的连接 D、连接监视器
标准答案:B
题号:66 题型:单选题 内容:
集线器(HUB)设备用来连接:
21
选项:
A、两个采用不同协议的LANs B、一个LAN和一个WAN
C、一个LAN和一个MAN(城域网) D、一个LAN中的两个网段
标准答案:D
题号:67 题型:单选题 内容:
对于确保非现场的业务应用开发的成功,下面哪一个是最佳选择? 选项:
A、严格的合同管理实务
B、详尽、正确的应用需求规格说明 C、认识到文化和政治上差异 D、注重现场实施后的检查
标准答案:B
题号:68 题型:单选题 内容:
审计软件采购的需求阶段时,IS审计师应该: 选项:
A、评估项目时间表的可行性 B、评估厂商建议的质量程序 C、确保采购到最好的软件包 D、检查需求规格的完整性
标准答案:D
题号:69 题型:单选题 内容:
为评估软件的可靠性,IS审计师应该采取哪一种步骤? 选项:
A、检查不成功的登陆尝试次数
B、累计指定执行周期内的程序出错数目
22
C、测定不同请求的反应时间
D、约见用户,以评估其需求所满足的范围
标准答案:B
题号:70 题型:单选题 内容:
IS审计人员在应用开发项目的系统设计阶段的首要任务是: 选项:
A、商定明确详尽的控制程序 B、确保设计准确地反映了需求
C、确保初始设计中包含了所有必要的控制 D、劝告开发经理要遵守进度表
标准答案:C
题号:71 题型:单选题 内容:
企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为: 选项:
A、挑选和配置阶段
B、可行性研究和需求定义阶段 C、实施和测试阶段
D、(无,不需要置换)
标准答案:A
题号:72 题型:单选题 内容:
在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序? 选项:
A、确定程序的充分性 B、分析程序的效率
C、评价符合程序的程度
23
D、比较既定程序和实际观察到的程序
标准答案:D
题号:73 题型:单选题 内容:
用户对应用系统验收测试之后,IS审计师实施检查,他(或她)应该关注的重点 选项:
A、确认测试目标是否成文
B、评估用户是否记载了预期的测试结果 C、检查测试问题日志是否完整 D、确认还有没有尚未解决的问题
标准答案:D
题号:74 题型:单选题 内容:
IS审计师正在检查开发完成的项目,以确定新的应用是否满足业务目标的要求。下面哪类报告能够提供最有价值的参考? 选项:
A、用户验收测试报告 B、性能测试报告
C、开发商与本企业互访记录(或社会交往报告) D、穿透测试报告
标准答案:A
题号:75 题型:单选题 内容:
TCP/IP协议簇包含的面向连接的协议处于: 选项:
A、传输层 B、应用层 C、物理层 D、网络层
24
标准答案:A
题号:76 题型:单选题 内容:
如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于: 选项:
A、项目需求定义阶段 B、项目可行性研究阶段 C、项目详细设计阶段 D、项目编程阶段
标准答案:B
题号:77 题型:单选题 内容:
接收EDI交易并通过通讯接口站(stage)传递通常要求: 选项:
A、转换和拆开交易 B、选择验证程序
C、把数据传递给适当的应用系统 D、建立一个记录接收审计日志的点
标准答案:B
题号:78 题型:单选题 内容:
假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪? 选项: A、星型 B、总线 C、环型 D、全连接
标准答案:A
25
题号:79 题型:单选题 内容:
通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证: 选项:
A、可靠的产品是有保证的 B、程序员的效率得到了提高 C、安全需求得到了规划、设计
D、预期的软件程序(或流程)得到了遵循
标准答案:D
题号:80 题型:单选题 内容:
组织要捐赠一些本单位的旧计算机设备给希望小学,在运输这些捐赠品之前应该确保: 选项:
A、计算机上不曾保存机密数据 B、受捐的希望小学签署保密协议 C、资料存储的介质是彻底空白的 D、所有数据已经被删除
标准答案:C
题号:81 题型:单选题 内容:
在契约性协议包含源代码第三方保存契约(escrow)的目的是: 选项:
A、保证在供货商不存在时源代码仍然有效 B、允许定制软件以满足特定的业务需求 C、审核源代码以保证控制的充分性 D、保证供货商已遵从法律要求
标准答案:A
26
题号:82 题型:单选题 内容:
项目开发过程中用来检测软件错误的对等审查活动称为: 选项:
A、仿真技术 B、结构化走查
C、模块化程序设计技术 D、自顶向下的程序构造
标准答案:B
题号:83 题型:单选题 内容:
对于测试新的、修改的或升级的系统而言,为测试其(处理)逻辑,创建测试数据时,最重要的是: 选项:
A、为每项测试方案准备充足的资料 B、实际处理中期望的数据表现形式 C、按照计划完成测试
D、对实际数据进行随机抽样
标准答案:B
题号:84 题型:单选题 内容:
在审计系统开发项目的需求阶段时,IS审计人员应: 选项:
A、评估审计足迹的充分性
B、标识并确定需求的关键程度 C、验证成本理由和期望收益 D、确保控制规格已经定义
标准答案:D
题号:85 题型:单选题
27
内容:
以下哪一项面向对象的技术特征可以提高数据的安全级别? 选项: A、继承
B、动态仓库 C、封装 D、多态性
标准答案:C
题号:86 题型:单选题 内容:
软件开发的瀑布模型,用于下面的哪一种情况时最为适当的? 选项:
A、理解了需求,并且要求需求保持稳定,尤其是开发的系统所运行的业务环境没有变化或变化很小
B、需求被充分地理解,项目又面临工期压力 C、项目要采用面向对象的设计和编程方法 D、项目要引用新技术
标准答案:A
题号:87 题型:单选题 内容:
获得优质软件的最佳途径是: 选项:
A、通过彻底的测试
B、发现并快速纠正编程错误
C、根据可用时间和预算决定测试的数量
D、在整个项目过程中应用定义良好的流程和结构化的审核
标准答案:D
题号:88 题型:单选题 内容:
信息系统不能满足用户需求的最常见的原因是:
28
选项:
A、用户需求频繁变动
B、对用户需求增长的预测不准确 C、硬件系统限制了并发用户的数目 D、定义系统时用户参与不够
标准答案:D
题号:89 题型:单选题 内容:
用于IT开发项目的业务模式(或业务案例)文档应该被保留,直到: 选项:
A、系统的生命周期结束 B、项目获得批准 C、用户验收了系统 D、系统被投入生产
标准答案:A
题号:90 题型:单选题 内容:
以下哪一项是采用原型法作为系统开发方法学的主要缺点? 选项:
A、用户对项目进度的期望可能过于乐观 B、有效的变更控制和管理不可能实施 C、用户参与日常项目管理可能过于广泛
D、用户通常不具备足够的知识来帮助系统开发
标准答案:A
题号:91 题型:单选题 内容:
制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定: 选项:
A、已经存在减免风险的控制 B、找到了弱点和威胁
29
C、已经考虑到审计风险 D、实施差异分析是适当的
标准答案:B
题号:92 题型:单选题 内容:
使用统计抽样流程有助于最小化: 选项:
A、抽样风险 B、检测性风险 C、固有风险 D、控制风险
标准答案:B
题号:93 题型:单选题 内容:
以下哪种抽样方法对符合性测试最有用? 选项:
A、属性抽样 B、变数抽样
C、分层单位平均估算法 D、差值估计法
标准答案:A
题号:94 题型:单选题 内容:
通用审计软件(GAS)的主要用途是: 选项:
A、测试程序中内嵌的控制 B、测试对数据的非授权访问 C、为审计数据精选数据
D、降低对(交易)事务判断的需要
30
标准答案:C
题号:95 题型:单选题 内容:
测试程序的更改时,以下哪项是最适合作为总体来抽取样本? 选项:
A、测试库清单 B、原程序清单 C、程序更改需求
D、生产用链接库清单
标准答案:D
题号:96 题型:单选题 内容:
在审查定义IT服务水平的过程控制时,信息系统审计师最有可能先与下列哪种人面谈: 选项:
A、系统编程人员 B、法律顾问
C、业务单位经理人员 D、应用编程人员
标准答案:C
题号:97 题型:单选题 内容:
以下哪项应是IS审计师最为关注的: 选项:
A、没有报告网络被攻陷的事件
B、未能就企业闯入事件通知执法人员 C、缺少对操作权限的定期检查 D、没有就闯入事件告之公众
标准答案:A
31
题号:98 题型:单选题 内容:
使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要: 选项:
A、将测试数据孤立于生产数据之外 B、通知用户,让他们调整输出 C、隔离特定的主文件记录
D、用单独的文件收集事务和主文件记录
标准答案:A
题号:99 题型:单选题 内容:
在建立连续在线监控系统时,IS审计师首先应该识别: 选项:
A、合理的目标下限 B、组织中高风险领域
C、输出文件的位置和格式
D、带来最大潜在回报的应用程序
标准答案:B
题号:100 题型:单选题 内容:
审计章程应该: 选项:
A、是动态的并且经常修订以适应技术和审计职业的变化
B、消除表述经管理当局授权以复核并维护内控制度的审计目标 C、明文规定设计好的审计程序,以达成预定审计目标 D、概述审计职能的权力、范围和责任
标准答案:D
题号:101 题型:单选题 内容:
32
IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱. 选项:
A、对系统开发进行了复核
B、对控制和系统的其它改进提出了建议 C、对完成后的系统进行了独立评价 D、积极参与了系统的设计和完成
标准答案:D
题号:102 题型:单选题 内容:
IS审计师应该能识别并评估各种风险及潜在影响。以下哪项风险与绕过授权程序(后门)有关? 选项:
A、固有风险 B、检测性风险 C、审计风险 D、错误风险
标准答案:A
题号:103 题型:单选题 内容:
制订基于风险的审计程序时,IS审计师最可能关注的是: 选项:
A、业务程序/流程 B、关键的IT应用 C、运营控制 D、业务战略
标准答案:A
题号:104 题型:单选题 内容:
在不熟悉领域从事审计时,IS审计师首先应该完成的任务是: 选项:
33
A、为涉及到的每个系统或功能设计审计程序 B、开发一套符合性测试和实质性测试 C、收集与新审计项目相关的背景信息 D、安排人力与经济资源
标准答案:C
题号:105 题型:单选题 内容:
内部审计部门,从组织结构上向财务总监而不是审计委员会报告,最有可能: 选项:
A、导致对其审计独立性的质疑 B、报告较多业务细节和相关发现 C、加强了审计建议的执行
D、在建议中采取更对有效行动
标准答案:A
题号:106 题型:单选题 内容:
审计章程的主要目的是: 选项:
A、把组织需要的审计流程记录下来 B、正式记录审计部门的行动计划 C、为审计师制定职业行为规范 D、描述审计部门的权力与责任
标准答案:D
题号:107 题型:单选题 内容:
确保审计资源在组织中发挥最大价值的首要步骤应该是: 选项:
A、规划审计工作并监控每项审计的时间花费
B、培训信息系统审计师掌握公司中使用的最新技术 C、基于详细的风险评估制定审计计划
34
D、监控审计进展并实施成本控制
标准答案:C
题号:108 题型:单选题 内容:
如下哪一类风险是假设被检查的方面缺乏补偿控制: 选项:
A、控制风险 B、检查风险 C、固有风险 D、抽样风险
标准答案:C
题号:109 题型:单选题 内容:
风险分析的关键要素是: 选项:
A、审计计划 B、控制 C、脆弱点 D、责任
标准答案:C
题号:110 题型:单选题 内容:
对于抽样而言,以下哪项是正确的? 选项:
A、抽样一般运用于与不成文或无形的控制相关联的总体 B、如果内部控制健全,置信系统可以取的较低
C、通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样 D、变量抽样是估计给定控制或相关控制集合发生率的技术
标准答案:B
35
题号:111 题型:单选题 内容:
数据库管理系统软件包不可能提供下面哪一种访问控制功能? 选项:
A、用户对字段数的访问 B、用户在网络层的登录 C、在程序级的身份验证 D、在交易级的身份验证
标准答案:B
题号:112 题型:单选题 内容:
计算机舞弊行为可以被以下哪一条措施所遏制? 选项:
A、准备起诉
B、排斥揭发腐败内幕的雇员 C、忽略了司法系统的低效率
D、准备接收系统缺乏完整性所带来的风险
标准答案:A
题号:113 题型:单选题 内容:
IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注? 选项:
A、安全官兼职数据库管理员
B、客户/服务器系统没有适当的管理口令/密码控制
C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D、大多数局域网上的档服务器没有执行定期地硬盘备份
标准答案:B
36
题号:114 题型:单选题 内容:
数字签名可以有效对付哪一类电子信息安全的风险? 选项:
A、非授权地阅读 B、盗窃
C、非授权地复制 D、篡改
标准答案:D
题号:115 题型:单选题 内容:
能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是: 选项:
A、将每次访问记入个人信息(即:作日志) B、对敏感的交易事务使用单独的密码/口令 C、使用软件来约束授权用户的访问
D、限制只有营业时间内才允许系统访问
标准答案:C
题号:116 题型:单选题 内容:
E-MAIL软件应用中验证数字签名可以: 选项:
A、帮助检查垃圾邮件(spam) B、实现保密性
C、加重网关服务器的负载 D、严重降低可用的网络带宽
标准答案:A
题号:117 题型:单选题 内容:
下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?
37
选项:
A、完整性控制的需求是基于风险分析的结果 B、控制已经过了测试
C、安全控制规范是基于风险分析的结果 D、控制是在可重复的基础上被测试的
标准答案:D
题号:118 题型:单选题 内容:
每感染一个档就变体一次的恶意代码称为: 选项:
A、逻辑炸弹 B、隐秘型病毒 C、特洛伊木马 D、多态性病毒
标准答案:D
题号:119 题型:单选题 内容:
通常,黑客使用如下哪一种攻击手段时,会引起对互联网站点的分布式拒绝服务攻击(DDos)? 选项:
A、逻辑炸弹 B、网络钓鱼 C、间谍软件 D、特洛伊木马
标准答案:D
题号:120 题型:单选题 内容:
为保证主记录中的关键词段已被正确更新,最好采用下列哪一种办法? 选项:
A、字段检查
B、求和校验与控制 C、合理性检查
38
D、审查事前和事后的维护报告
标准答案:D
题号:121 题型:单选题 内容:
下列哪一组高层系统服务可以提供对网络的访问控制 选项:
A、访问控制列表和访问特权 B、身份识别和验证 C、认证和鉴定 D、鉴定和保证
标准答案:B
题号:122 题型:单选题 内容:
企业里有个混合访问点不能升级其安全强度,而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点替换老的混合访问点,下面哪一个选项支持IS审计师的建议的理由最为充分? 选项:
A、新的访问点具有更高的安全强度 B、老的访问点性能太差
C、整个企业网络的安全强度,就是其最为薄弱之处的安全强度 D、新的访问点易于管理
标准答案:C
题号:123 题型:单选题 内容:
检查入侵监测系统(IDS)时,IS审计师最关注的内容是: 选项:
A、把正常通讯识别为危险事件的数量(误报) B、系统没有识别出的攻击事件
C、由自动化工具生成的报告和日志 D、被系统阻断的正常通讯流
39
标准答案:B
题号:124 题型:单选题 内容:
银行的自动柜员机(ATM)是一种专门用于销售点的终端,它可以: 选项:
A、只能用于支付现金和存款服务
B、一般放置在入口稠密的场所以威慑盗窃与破坏 C、利用保护的通讯线进行数据传输 D、必须包括高层的逻辑和物理安全
标准答案:D
题号:125 题型:单选题 内容:
下面哪一种日志文件有助于评估计算机安全事例的危害程度? 选项:
A、联络日志 B、活动日志 C、事件日志 D、审计日志
标准答案:C
题号:126 题型:单选题 内容:
下面哪一种说法的顺序正确? 选项:
A、脆弱性导致了威胁,然后威胁导致了风险 B、风险导致了威胁,然后威胁导致了脆弱性 C、脆弱性导致了风险,然后风险导致了威胁 D、威胁导致了脆弱性,然后脆弱性导致了风险
标准答案:A
40
题号:127 题型:单选题 内容:
下列哪一种行为是互联网上常见的攻击形式? 选项:
A、查找软件设计错误
B、猜测基于个人信息的口令 C、突破门禁系统闯入安全场地 D、种值特洛伊木马
标准答案:D
题号:128 题型:单选题 内容:
内联网(Intranet)可以建立在一个组织的内部网络上,也可以建互联网(internet)上,上面哪一条针对内联网的控制在安全上是最弱的? 选项:
A、用加密的信道传输数据 B、安装加密路由器 C、安装加密防火墙
D、对私有WWW服务器实现口令控制
标准答案:D
题号:129 题型:单选题 内容:
在一个无线局域网环境下,能用来保证有效数据安全的技术是哪一种? 选项:
A、消息鉴定码和无线变频收发仪
B、在不同的信道传输数据和消息鉴定码 C、在不同的信道传输数据和加密 D、加密和无线变频收发仪
标准答案:C
题号:130 题型:单选题 内容:
41
下面哪一种类型的反病毒软件是最有效的? 选项: A、扫描
B、活动监测 C、完整性检查 D、种植疫苗
标准答案:C
题号:131 题型:单选题 内容:
消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证: 选项:
A、消息的真实性和完整性 B、消息的真实性和保密性 C、消息的完整性和保密性 D、保密性和防抵赖性
标准答案:A
题号:132 题型:单选题 内容:
对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为: 选项:
A、回馈错误控制 B、块求和校验 C、转发错误控制 D、循环冗余校验
标准答案:C
题号:133 题型:单选题 内容:
42
实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的? 选项:
A、审计要求 B、口令
C、识别控制 D、验证控制
标准答案:B
题号:134 题型:单选题 内容:
最有效的防病毒控制是: 选项:
A、在邮件服务器上扫描e-Mail附件
B、使用无毒的、清洁的、正版的光盘恢复系统 C、卸掉软盘驱动器
D、附有每日更新病毒库功能的在线病毒扫描程序
标准答案:D
题号:135 题型:单选题 内容:
拒绝服务攻击损害了下列哪一种信息安全的特性? 选项:
A、完整性 B、可用性 C、机密性 D、可靠性
标准答案:B
题号:136 题型:单选题 内容:
下列哪一种情况会损害计算机安全政策的有效性?
43
选项:
A、发布安全政策时
B、重新检查安全政策时 C、测试安全政策时
D、可以预测到违反安全政策的强制性措施时
标准答案:D
题号:137 题型:单选题 内容:
组织的安全政策可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全政策? 选项:
A、应急计划 B、远程办法
C、计算机安全程序 D、电子邮件个人隐私
标准答案:C
题号:138 题型:单选题 内容:
在传输模式中,使用封装的安全载荷(ESP,Encapsulating Security Payload)协议比认证头(AH)协议更有优势,原因是ESP: 选项:
A、提供了无连接的完整性 B、能验证资料来源 C、带有防重放服务 D、具备保密性
标准答案:D
题号:139 题型:单选题 内容:
在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证: 选项:
44
A、保护硬设备免受浪涌损害
B、如果主电力被中断,系统的完整性也可以得到维护 C、如果主电力被中断,可以提供实时的电力供应 D、保护硬设备不受长期电力波动的影响
标准答案:A
题号:140 题型:单选题 内容:
下面哪一种小程序(Applet)入侵类型会使组织面临系统运行中断的最大威胁? 选项:
A、在客户机上放置病毒程序
B、能记录用户击键行为,收集口令的小程序 C、从网下载的能读硬盘文件的代码 D、可以从客机建立网络连接的小程序
标准答案:D
题号:141 题型:单选题 内容:
虚拟专用网(VPN)提供以下哪一种功能? 选项:
A、对网络嗅探器隐藏信息 B、强制实施安全政策
C、检测到网络错误和用户对网络资源的滥用 D、制定访问规则
标准答案:A
题号:142 题型:单选题 内容:
基本的计算机安全需求不包括下列哪一条: 选项:
A、安全政策和标识
B、绝对的保证和持续的保护
45
C、身份鉴别和落实责任
D、合理的保证和连续的保护
标准答案:B
题号:143 题型:单选题 内容:
公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护,证书废止列表维护和证书发布这个要素是: 选项:
A、证书机构(CA) B、数字签名
C、证书实践声明 D、注册机构(RA)
标准答案:D
题号:144 题型:单选题 内容:
非授权用户或外部人员(例如黑客)可以通过公共电话拨入网络,不断地尝试系统代码、用户身份识别码和口令来获得对网络的访问权限。这种“暴力破解”的方法一般在什么情况下有效? 选项:
A、非授权用户在尝试一定数量的口令猜测后,会被系统自动断开 B、使用常用字符和个人相关信息作为口令
C、用户身份识别码和口令有各种大量的可能性组合 D、所有登录企图被记录下来,并妥善保护
标准答案:B
题号:145 题型:单选题 内容:
下面哪一种方法在保护系统免受非授权人员的访问时可以提供最高级安全? 选项: A、加密
B、电话回叫或拨号回叫系统
46
C、含有个人身份识别码的磁卡 D、用户身份别码和口令
标准答案:A
题号:146 题型:单选题 内容:
为保证正常运行的计算机系统能被连续使用,用户支持服务是很重要的,下面哪一种情况与用户支持服务比较接近? 选项:
A、事件处理能力 B、配置管理
C、存储介质控制 D、系统备份
标准答案:A
题号:147 题型:单选题 内容:
无线局域网比有线局域网在哪方面具有更大的风险? 选项:
A、伪装和修改/替换
B、修改/替换和设备失窃 C、窃听和伪装
D、窃听和盗窃设备
标准答案:B
题号:148 题型:单选题 内容:
对于一个独立的小型商业计算环境而言,下列哪一种安全控制措施是最有效的? 选项:
A、对计算机使用的监督 B、对故障日志的每日检查
C、计算机存储介质存话加锁的柜中
47
D、应用系统设计的独立性检查
标准答案:A
题号:149 题型:单选题 内容:
软件编程人员经常会生成一个直接进入程序的入口,其目的是进行调试和(或)日后插入新的程序代码。这些入口点被称为: 选项:
A、逻辑炸弹 B、蠕虫 C、陷门
D、特洛依木马
标准答案:C
题号:150 题型:单选题 内容:
下面哪一种安全技术是鉴别用户身份的最好的方法? 选项:
A、智能卡
B、生物测量技术 C、挑战--响应令牌
D、用户身份识别码和口令
标准答案:B
题号:151 题型:单选题 内容:
对公司内部网络实施渗透测试时,如下哪一种方法可以确保网络上的测试人始终不被发觉? 选项:
A、使用现有的档服务器或域控制器的IP地址发起测试
B、每扫描几分钟暂停一会儿,以避免达到或超过网络负载极限 C、在没有人登陆的夜间实施扫描 D、使多种扫描工具,多管齐下
48
标准答案:B
题号:152 题型:单选题 内容:
哪一个最能保证来自互联网internet的交易事务的保密性? 选项:
A、数字签名
B、数字加密标准(DES) C、虚拟专用网(VPN)
D、公钥加密(Public Key encryption)
标准答案:D
题号:153 题型:单选题 内容:
虚拟专用网(VPN)的资料保密性,是通过什么实现的? 选项:
A、安全接口层(SSL,Secure Sockets Layer) B、网络隧道技术(Tunnelling) C、数字签名 D、网络钓鱼
标准答案:B
题号:154 题型:单选题 内容:
下面的哪一种反垃圾过滤技术可以最大程度地避免正常的、长度不定的、内容里存在多处垃圾邮件关键词的电子邮件被识别为垃圾邮件? 选项:
A、启发式的过滤技术 B、基于签名的检查 C、模版匹配
D、基于统计(学)的贝叶斯判断(Bayesian)
标准答案:D
49
题号:155 题型:单选题 内容:
下面哪一种属于网络上的被动攻击? 选项:
A、消息篡改 B、伪装
C、拒绝服务 D、流量分析
标准答案:D
题号:156 题型:单选题 内容:
网络上数据传输时,如何保证数据的保密性? 选项:
A、数据在传输前经加密处理 B、所有消息附加它哈希值
C、网络设备所在的区域加强安全警戒 D、电缆作安全保护
标准答案:A
题号:157 题型:单选题 内容:
生物测试安全控制设备的最佳量化性能测量指针是: 选项:
A、错误拒绝率 B、错误接受率 C、平均错误率 D、估计错误率
标准答案:C
50