• 1. 在收集法庭证据的过程中,以下哪种行为最容易造成目标系统上的证据毁坏?
– A. 将内存内容转存至文件中 – B. 生成目标系统的磁盘映像 – C. 重启目标系统
– D. 将目标系统移出网络
• 2.以下哪条最好的支持了新IT项目的优先化? – A.内部控制自我评价(CSA) – B.信息系统审计 – C.投资组合分析 – D.商业风险评估
• 3.企业在允许外部机构物理访问其信息处理设施(IPFs)前应该做什么?
– A.外部机构的操作应当由独立的IS审计师审计 – B.外部机构的工作人员应当培训企业的安全流程 – C.任何外部机构的访问应当被限制在隔离区(DMZ) – D.企业应当组织风险评估,并设计、执行适当的控制
• 4.信息系统审计师正在审查一个项目,该项目是在银行母公司与子公司之间实施一个支付系统。信息系统审计师应该首先确认: – A. 两个公司的技术平台具有互操作性 – B. 银行母公司被授权作为服务提供商 – C. 采取安全措施分离子公司的交易
– D. 子公司可以成为这个系统的共同拥有者
• 5. 在执行灾难恢复测试时,信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢,为了找到根本原因,信息系统审计师应该首先检查:
– A. 灾难恢复站点的错误事件报告
1
– B. 灾难恢复测试计划 – C. 灾难恢复计划(DRP)
– D. 主站点和灾难恢复站点的配置和一致性(configurations and alignment)
• 6.在审查IT灾难恢复测试时,下列问题中哪个最应引起IS审计师的关注:
– A.由于有限的测试时间窗,仅仅测试了最必须的系统。其他系统在今年的剩余时间里陆续单独测试
– B.在测试过程中,注意到有些备份系统有缺陷或者不能正常工作,从而导致这些系统的测试失败
– C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间
– D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档
• 7.IS审计师正在审查某个组织的物理安全措施。关于门卡(access card)系统,IS审计师最应关注:
– A.未标明名字的(nonpersonalized)门卡给授予清洁工,清洁工使用签到表,但没有出示任何身份证明
– B.门卡上没有表明组织的名字和地址以方便丢失后及时归还 – C.门卡的发行和权限管理由多个部门负责,导致不必要的新卡领用时间
– D.制作门卡的计算机系统在系统失败后在三周后才能恢复
• 8.下列哪一项是自我评估控制(CSA)的关键好处? – A.支持业务目标的内部控制的所有权管理(management ownership)被强化
– B.当评估结果被外部审计使用时,可以减少审计费用 – C.由于内部业务的员工参与控制测试,提高舞弊察觉能力 – D.利用评估结果,内部审计师能够转换为一项咨询方案
• 9.在一次审计中,IS审计师注意到该组织的业务连续性计划
2
(BCP)没有充分强调在恢复过程中的信息保密性。IS审计师应该建议修改计划以包括:
– A.启动业务恢复程序时的信息安全要求和级别 – B.危机管理架构中信息安全的角色和责任 – C.信息安全资源要求
– D.为影响业务连续性安排的信息安全变更管理流程
• 10.当组织把客户信用审核系统外包给第三方服务供应商时,下列哪一项是IS审计师最重要的考虑?供应商应该 – A.符合或超过行业安全标准 – B.同意接受外部安全审查
– C.在服务和经验方面有良好的市场声誉 – D.遵守组织的安全政策
• 11.公司制定了关于用户禁止访问的网站类型的制度,以下那种是执行这一制度最有效的技术?
– A. 状态检测防火墙(Stateful inspectionfirewall) – B. 网站内容过滤器 – C. 网站缓存服务器 – D. 代理服务器
• 12.当开发一个正式的公司安全项目时,最关键的成功因素(CSF)是:
– A. 建立一个审核部门(review board?) – B. 建立一个安全单位(security unit?) – C. 对执行发起人的有效支持 – D. 选择安全过程的拥有者
• 13.IS审计师正在审阅一个使用敏捷(Agile)软件开发方法的项目,以下那一项是IS审计师希望发现的?
– A. 使用基于过程的成熟度模型如能力成熟度模型(CMM) – B. 定期针对计划对任务层面的进程进行监控 – C. 广泛使用软件开发工具来最大化团队的生产力
3
– D. 不断的审阅,及时发现教训,从而为本项目后续工作服务
• 14.为优化组织的业务持续计划(BCP),IS审计师需要建议执行业务影响分析(BIA)来决定:
– A. 能为组织产生最大财务价值,因而需要最先恢复的业务流程 – B. 为保证与组织业务战略相一致,业务流程恢复的优先级和顺序
– C. 在灾难中能保证组织幸存而必须恢复的业务流程
– D. 能够在最短的时间内恢复最多数量的系统的业务流程恢复的优先级和顺序
• 15.下列哪项数据库控制能够在在线交易处理系统的数据库中保证交易的完整性?
– A. 鉴定控制(Authentication) – B. 数据标准化控制 – C. 读写访问日志控制 – D. 事务提交与滚回操作
• 16.在保护组织的IT系统时,当网络防火墙被突破后,以下哪项一般是系统防护的下一道防线? – A.个人防火墙 – B.反病毒程序 – C.入侵监测系统 – D.虚拟局域网配置
• 17.在审阅电脑处置流程时,以下哪条是信息系统审计师最应关注的问题?
– A.硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。
– B.硬盘上的文件和文件夹被分别删除,并且硬盘在离开组织之前被格式化。
– C.硬盘在离开组织之前在盘片特殊位置打孔,使硬盘不可读。 – D.硬盘的运输应由内部安全职员负责护送至附近的金属制定回
4
收公司,在那里硬盘将被登记然后粉碎处理。
• 18.在小型组织中,开发者能直接将紧急变更发布到生产环境中。以下哪项能最好地控制上述情况所产生的风险? – A.在第二个工作日批准并记录此次变更
– B.限制开发者在特定时间范围内能访问生产环境
– C.将变更发布到生产环境中之前取得次要(secondary)的批准
– D.禁用生产机器中的编译器选项
• 19.对一个业务应用系统访问授权的职责归属于? – A.数据所有者(data owner) – B.安全管理员 – C.IT安全经理
– D.需求提出者的直接上级(requestor’s immediate supervisor)
• 20. 在安全治理框架中实施安全规划最主要的好处是: – A. 实现IT活动与信息系统审计建议的匹配 – B. 加强安全风险管理
– C. 实施首席信息安全官(CISO)的建议 – D. 减少IT安全的成本
• 21. IS审计师正在审阅一个基于软件的防火墙的配置。下列哪一项的设置最脆弱?该防火墙软件:
– A. 将否定规则(implicit deny rule)作为规则库的最后规则 – B. 安装在默认配置的操作系统上
– C. 配置了允许或拒绝访问系统/网络的规则 – D. 作为虚拟专用网(VPN)的端点
• 22.实施IPS不当所带来的最大风险是: – A. 将有太多警报需要系统管理员确认。 – B. 由于IPS流量而影响网络性能
5
– C. 由于错误的触发而阻拦了关键的系统或服务 – D. 在IT组织内需要依赖特定的专家
• 23. 当一个关键文件服务器的存储增长没有被合理管理时,以下哪项是最大的风险?
– A. 备份时间会稳定增长 – B. 备份成本会快速增长 – C. 存储成本会快速增长
– D. 服务器恢复工作不能满足恢复时间目标(RTO)的要求
• 24. 为了在一个新的ERP项目实施中识别职责分离(SOD)不当的问题,以下哪项审计技术最有效? – A. 审阅系统安全权限的报告 – B. 审阅授权对象的复杂性
– C. 开发程序以识别授权中的冲突
– D. 检查最近发生的违反访问权限的事件
• 25. 一个遗留工资系统被迁移到一个新的应用系统。下列哪位将主要负责在新系统正式使用前对数据准确性和完整性进行审阅并签字?
– A. IS审计师(IS auditor)
– B. 数据库管理员(Database administrator) – C. 项目经理(Project manager) – D. 数据所有人(Data owner)
• 26.IS审计师完成了网络审计工作。以下哪项是最重大的逻辑安全发现?
– A.终端工作站在长时间无操作时,不能自动进入禁用状态 – B.布线室未锁
– C.网络操作手册和文档没有被适当保护 – D.网络构架未配置不间断电源
• 27.以下哪一项通常是首席安全师(CSO)的责任?
6
– A.定期审阅和评估安全政策
– B.执行用户应用系统以及软件的测试和评估 – C.分配和废止用户对IT资源的访问 – D.审批对数据和应用系统的访问
• 28.在两个公司合并后,来自两个公司的异构、分别开发的应用软件被一个新的通用平台取代。以下哪项是最重要的风险? – A.项目管理和进程报告由外来的咨询公司整合
– B.替换由独立的项目组成,没有将资源分配整合为一个项目组管理方法
– C.每一个组织的资源的分配都是低效的,它们更适应合并前公司的系统
– D.新平台将会促使两个公司的业务领域转向新的工作流程,导致更广泛的培训需要
• 29.在无线通信中,以下哪项控制允许设备接收信息以验证信息未在传输中被修改?
– A.设备认证和数据源认证
– B.无线入侵检测系统(IDS)和入侵防御系统(IPS) – C.使用哈希加密
– D.报文头(packet headers)和追踪(trailers)
• 30. 在执行客户关系管理系统(CRM)迁移项目的审计时,以下哪一项最值得审计师关注:
– A. 技术迁移计划于长假前的周五进行,但时间过短无法完成全部任务
– B. 执行测试的员工担心新系统中的数据与老系统中的完全不同
– C. 计划执行单独实施(a single implementationis planned),实施后立即停止老系统
– D. 离预定日期还有五周,但是新系统软件的打印功能仍存在大量缺陷
7
• 31. 为了达到组织灾难恢复的要求,备份时间间隔不能超过: – A. 服务水平目标(SLO). – B. 恢复时间目标(RTO). – C. 恢复点目标(RPO).
– D. 停用的最大可接受程度(MAO).
• 32. 基于构件的软件开发方法的最大优点是: – A. 管理不受限数据类型的能力。 – B. 提供复杂关系的建模。 – C. 满足环境变化需求的能力。 – D. 对多种开发环境的支持。
• 33. 在审核网络设备的配置时,IT审计师应首先识别: – A. 网络设备部署的最佳实践。 – B. 是否缺少某些网络组件。
– C. 网络设备在网络拓扑中的重要性。 – D. 网络的子组件的使用是否适当。
• 34. IT审计师发现,被禁用户在其被禁日起90天内其账号将被停用,这与公司的IS政策相符。IT审计师应当:
– A. 报告控制被有效地执行,因为账号在公司政策所规定的时间内被停用。
– B. 验证用户访问权限的设置是基于最小权限原则(need-to-have)。
– C. 建议修改公司的IS政策,以确保在用户被禁用时及时停用其账号。
– D. 建议定期审阅被禁账号的活动日志。
• 35. 为降低网络钓鱼(phishing)所带来的风险,最有效的控制为:
– A. 集中式监控系统。
– B. 在反病毒软件中为网络钓鱼添加数字签名。 – C. 公布在以太网中禁止网络钓鱼的政策。
8
– D. 对所有用户进行网络安全培训。
• 36.信息系统审计师应该提出以下何种建议来保护存储在数据仓库的特殊敏感信息?
– A. 实施列等级与行等级许可 – B. 通过强密码增强用户身份认证
– C. 将数据仓库构架成为subject matter-specific数据库 – D. 日志记录用户对数据仓库的访问
• 37.在一次人力资源审计过程中,信息系统审计师发现在HR与IT部门之间就IT服务的期望水平达成了口头协议,在这种情况下,信息系统审计师应该首先采取什么行动? – A. 延迟审计直到协议明文记载
– B. 将非明文记载的协议情况上报高级管理层 – C. 同双方部门确认协议的内容
– D. 为双方部门草拟一份服务水平协议
• 38.信息系统管理部门目前正在考虑实施一个VoIP网络,以此来缩减通讯和管理的成本,并请信息系统审计师评估安全控制的适当性。下面哪一个安全措施是最合适的?
– A. 审查,并在关键之处升级防火墙的性能 – B. 安装调制解调器允许远程维护支持访问 – C. 创建一个单独的物理网络来处理VoIP的传输
– D. 重新定向所有的VoIP的传输以允许认证信息的明文记录
• 39.下面哪一个过程信息系统审计师应该建议用其辅助软件发布版本的基线记录? – A. 变更管理 – B. 备份与恢复 – C. 事件管理 – D. 配置管理
• 40. 以下哪一项能够有效验证交易的发起者:
9
– A. 在发起者和接收者之间使用密码 – B. 使用接收者的公钥加密交易 – C. 使用PDF格式封装交易内容
– D. 使用发起者的私钥对交易进行数字签名
• 41. 信息系统审计师注意到某组织中使用的操作系统的补丁被IT部门如供应商所建议的一样部署,在此实践中信息系统审计师最重大的担心是IT没有注意到:
– A 在应用了补丁后对用户的培训需求 – B 补丁对操作系统的有益影响 – C 推迟部署直到测试了补丁的影响 – D 通知终端用户新补丁的必须性
• 42. 最有效的生物统计控制系统是: – A 拥有最高相等错误率的(EER) – B 拥有最低相等错误率的
– C 误拒率(FRR)等于误受率(FAR)
– D 误拒率等于拒登率(FER即拒绝建档的比率)
• 43. IT法庭审计的首要目的是: – A 参与与公司欺诈相关的调查
– B 在系统不规则之后系统地收集证据 – C 评估某组织财务报表的正确性 – D 确定有犯罪活动发生
• 44. 某项目计划用18个月完成,此项目经理宣布项目处于一个健康的财务状态,因为在6个月后只使用了六分之一的预算。信息系统审计师应当首先确定:
– A 与计划相比,有多少的步骤已经完成 – B 项目预算是否能被削减 – C 项目是否能比计划提前完成
– D 节省下来的预算是否能被用于扩大项目范围
10
• 45. 在检查数字证书认证程序中,以下的哪个发现暴露出了最严重的风险?
– A 没有注册中心(RA)用于报告密钥作废 – B 证书废止列表不是最新的
– C 数字证书中包含一个用于加密信息和鉴别数字签名的公钥 – D 订购者将密钥作废向认证中心汇报
• 46. 信息安全审计师正在对远程管理的服务器备份进行审计工作。审计师审核了某一天的日志,发现出现了登陆服务器失败后,备份重启无法确认的情况。此时审计师应该如何做? – A.发表一个审计发现
– B. 从信息安全管理层那里寻找解释 – C. 审核服务器上的数据分类 – D. 扩大审核的日志样本量
• 47. 信息系统审计师发现,对于产品收益,一个企业组织的财务部和市场部分别给出了不同的报告结果。深入的调查表明两个部门所使用的产品定义是不同的。审计师应该提出怎样的建议? – A.在所有报告发布到生产前使用User acceptance testing(UAT)
– B. 实施有组织的数据管理方法 – C.使用标准的软件工具来出报告 – D. 对于新报告要求管理层签字
• 48. 一个信息安全审计师可以通过审核以下哪个来验证一个企业的业务持续性计划是有效的: – A. 最好业务情况下的BCP基准
– B.由信息安全人员和终端用户执行的业务持续性测试结果 – C.异地设备,它的容量,安全和环境控制。
– D. BCP相关活动的年财务成本和BCP计划实施后的预期收益对比
• 49. 通常,在一个项目的启动初期下列哪类利益相关者
11
(stakeholders)的加入是必不可少的? – A.系统拥有者(system owners) – B. 系统使用者(system users) – C. 系统设计者(system designers) – D. 系统建立者(system builders)
• 50. 审计师发现在一个新的商业智能项目中,时间限制和扩大的需求,是企业数据定义标准违规的根源。下列哪个是审计师应该提出的最为合适的建议?
– A. 通过增加投入项目的资源来达到标准基线。 – B. 在项目完成后核准数据定义标准 – C. 推延项目直到达标
– D.通过对犯规者采用惩罚性方法来强制达标
• 51. 收到原始签名的数字证书后,用户将使用谁的公钥解密证书:
– A. 注册中心RA
– B. 数字证书认证中心CA – C. 证书库 – D. 接收者
• 52.已建立IT灾难恢复方案并定期执行的某中等规模企业,制定了一个业务持续计划。此计划的纸上推演已成功完成。作为信息系统审计师,为了验证此计划的完备性,接下来应采用下列哪种测试?
– A. 重新安排所有部门,包括IT部门,对事故点进行全面测试 – B. 对一系列预定义的涉及所有关键职员的场景进行穿行测试 – C. 对关键业务系统进行包括业务部门参与的IT灾难恢复测试 – D. 对一个IT有限参与的场景进行功能测试
• 53. 下列哪一项最适合用来提高IT项目组合与企业战略优先级的一致性?
– A. 用平衡记分卡来评价绩效
12
– B. 考虑关键绩效指标的用户满意度 – C. 按照业务回报与风险选择项目
– D. 对每年定义项目组合的流程进行修改
• 54. 作为信息系统审计师,审阅IT战略规划时,应当关注: – A. 对应用系统组合是否符合业务目标的评估 – B. 为了降低硬件采购成本采取的措施 – C. 已批准的IT供应商列表
– D. 对关于网络边界安全的技术架构的描述
• 55. 数据中心最适合使用哪种灭火系统? – A. 湿式喷水系统 – B. 干式喷水系统
– C. FM-200(七氟丙烷)灭火系统 – D. 二氧化碳型灭火器
• 56.在DMZ服务器上运行FTP协议的时候,哪种是显著的风险: – A. 内部用户可以发送文件给未授权用户
– B. FTP协议可以允许一个用户从未授权资源处下载文件 – C. 黑客可以用FTP协议穿过防火墙
– D. FTP协议可以显著降低DMZ服务器的性能。
• 57.一个组织需要将一个关键的系统时间恢复目标设置为0并且恢复点目标设置为1分钟。这将意味着这个系统能忍受:
– A.数据丢失最多只能有一分钟,但是系统处理必须是连续的 – B. 系统处理可以中断一分钟,但是不能忍受任何数据丢失 – C. 系统处理终端可以在一分钟及以上 – D. 数据丢失和系统中断可以超过1分钟
• 58.一个信息系统审计师应该认为把生产环境和系统的访问控制的授权给予: – A. 程序管理员 – B. 系统管理员
13
– C. 安全管理员 – D. 数据所有者
• 59.使用数字签名的时候,报文摘要应该由谁计算: – A. 仅被发送者 – B. 仅被接受者 – C. 以上两者
– D. 由授权中心(CA)
• 60. 一个组织把它的帮助台活动外包,一个信息系统审计师在审阅组织和开发商之间的合同和相关的服务水平协议(SLA)最应该关心的是:
– A. 员工背景的审查文件
– B. 独立的审计报告或者完整的审计评估 – C. 各年度间增量成本的减少 – D. 员工的工作调动,发展,培训
• 61.下面哪一项将最有效地提高挑战-应答认证机制的安全性? – A. 选用更健壮的算法生成挑战字符串(challenge strings) – B. 建立措施防止会话劫持攻击 – C. 加强相关密码变更频率
– D. 增加认证字符串(authentication strings)的长度
• 62. 下面哪一项物理访问控制能有效减小尾随行为(piggybacking)的风险?
– A. 生物门锁(Biometric door locks) – B. 组合门锁(combination door locks) – C. 双道门(Deadman doors)
– D. 抽薹门锁(Bolting door locks)
• 63. 信息系统审计师发现,来自于不同独立部门的请求被处理多次,各个部门的请求数据库每周同步一次。最好的建议是?
– A. 增加不同部门的系统之间数据复制的频率,以确保及时更新
14
– B. 在一个部门集中处理所有请求,以避免对同一请求的并行处理
– C. 更改申请结构,以便把共同的数据存储于面向所有部门的共享数据库中
– D. 实施核对控制,以便在系统处理订单前检查重复(请求)
• 64. 下面哪一项技术能最好地帮助IS审计师,保证项目能按时完成?
– A. 基于进度报告中的已完工的百分比和尚需完工的估计时间,估计实际结束日期
– B. 通过访谈参与完成项目交付物的有经验的经理和员工,确认目标日期
– C. 基于已完工的工作包和现有资源推断整体完工日期 – D. 基于现有资源和剩余可用的项目预算计算期望完工日期
• 65. 当审核组织已获批准的软件产品列表时,下面哪一项是最需要被验证的?
– A. 与产品使用相关的风险被周期性评估 – B. 每个产品的最新版本已被列出
– C. 由于许可证问题,列表不包括开源软件
– D. 提供非工作时间支持(After hours support)
• 66.在开发一个安全架构时,一下哪步应该被最早执行: – A. 开发系统程序 – B. 定义系统政策
– C. 对访问控制方法进行详细描述 – D. 定义角色和责任制
• 67.试图对互联网上传播的加密数据获得访问并收集信息的入侵者会使用以下哪种手段? – A. 窃听 – B. 欺诈 – C. 流量分析
15
– D. 伪装
• 68.IS审计师在审查发票主文件(invoice master file)中是否存在重复发票记录时,应该使用以下哪种方法? – A. 属性抽样
– B. 通用审计软件(GAS) – C. 测试数据
– D. 综合测试法(ITF)
• 69.IS审计师发现,某天一个特定的时段,数据仓库的查询性能大幅下降,IS审计师应审查一下哪种相关控制? – A. 永久性表空间的分配(Permanent table space allocation) – B. 提交和回滚控制
– C. 用户离线假脱机(User Spool) 和数据库限制控制 – D. 日志访问的读写权限控制
• 70.在审查一个售货终端系统(POS)时,以下哪项审计发现是最严重的?
– A. POS系统中的发票记录为手工输入到会计应用程序中 – B. 没有使用光扫描仪扫读用来生成销售发票的条形码 – C. 经常发生断电,导致手工填写准备发票
– D. 在本地POS系统中的客户信用卡信息是未加密保存的
• 71. 当电子商务应用程序在LAN上运行,处理电子交易(EFT)时,保护数据完整性和私密性的最佳方法是() – A. 数据传输使用虚拟专用网络(VPN)隧道 – B. 在应用程序里启用数据加密 – C. 审计网络的访问控制 – D. 记录访问列表的所有变化
• 72. 在进行IT系统的渗透性测试时,一个组织最应该关注() – A. 报告的私密性
– B. 找出系统的所有弱点
16
– C. 将所有系统恢复到初始状态 – D. 记录生产系统发生过的所有变化
• 73. 在关键系统上进行确认和授权的动机,是确保() – A. 安全合规性已在技术层面上得到评估 – B. 数据被加密且准备储存
– C. 系统已被测试,为了在不同的平台上运行 – D. 系统已按照瀑布模型的阶段
• 74. 下列哪种渗透性测试,可以有效的评估一个组织事件处理和响应的能力? – A. 目标测试 – B. 外部测试 – C. 内部测试 – D. 双盲测试
• 75 下列哪一项能够最好的保证防火墙日志的完整性? – A. 只授予管理员访问日志信息的权限 – B. 在操作系统层获取日志事件
– C. 在不同的存储介质中写入两套日志
– D. 将日志信息传送到专门的第三方日志服务器
17
因篇幅问题不能全部显示,请点此查看更多更全内容