CISA中文试题Word文档格式.docx
- 文档编号:17980562
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:47
- 大小:46.34KB
CISA中文试题Word文档格式.docx
《CISA中文试题Word文档格式.docx》由会员分享,可在线阅读,更多相关《CISA中文试题Word文档格式.docx(47页珍藏版)》请在冰豆网上搜索。
D.确定和定义审计范围和重要性。
审计师的第一步是理解公司的业务重点,如果不能理解公司的业务愿景,目标和运营,他不会有能力完成其它任务。
7.当审计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险:
A.业务(商业)风险。
B.检查风险。
C.审计风险。
D.固有风险。
审计师使用不恰当的测试步骤并且得出重要性错误不存在,属于审计师的检查风险。
8.实施连续审计方法的最重要的优点是:
A.可以在处理大批量交易的时间共享计算环境改善系统安全。
B.由于从管理层和职员得到加强的输入可以提供可追溯责任的审计结果。
C.可以识别高风险区域以供以后详细的审查。
D.由于时间约束更松弛可以显著减少需要的审计资源。
连续审计可以改善系统的安全。
9.审计师发现控制存在小弱点,例如弱口令或者监控报告比较差,审计师最恰当的行动是:
A.采取改正行动并通知用户和管理层控制的脆弱性。
B.确认此类控制的小弱点对于此次审计不重要。
C.向信息技术管理层立即报告此类弱点。
D.不执行改正行动,在审计报告中记录观察的现象和相关的风险。
在准备审计报告时,审计师应该记录观察的现象和相关的风险。
10.使用测试数据验证交易处理的最大挑战是:
A.实际的生产数据可能被污染。
B.创建测试数据以覆盖所有可能的正常的和非正常的情景。
C.测试结果与生产环境中的结果做比较。
D.与高速事务处理相关的数据隔离。
测试用例的设计是最大的挑战。
11.开发组织政策的自底向上法通过:
A.审查公司愿景和目标。
B.匹配政策目标到公司战略的结构化方法。
C.资产脆弱性的风险评估。
D.已知威胁的业务影响分析。
自底向上法通常通过风险评估驱动
12.关于不恰当的职责分离,审计师的主要责任是:
A.确保恰当的职责分离的执行。
B.为管理层提供不恰当的职责分离相关风险的建议。
C.参与组织内角色和责任的定义以预防不恰当的职责分离。
D.把违反恰当的职责分离的情况记录在案
审计师不负责实施控制。
13.信息资产足够的安全措施的责任属于:
A.数据和系统所有者,例如公司管理层
B.数据和系统保管者,例如网络管理员和防火墙管理员
C.数据和系统用户,例如财务部
D.数据和系统经理
最终的管理责任属于高级管理层。
14.审计师观察到不存在恰当的项目批准流程,他应该:
A.提供详细流程建议实施。
B.寻找没有书面批准流程的证据。
C.确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志,建议项目管理培训作为补偿性控制
D.向管理层建议采取恰当的项目批准流程并文档化。
如果IS审计师观察到不存在项目批准流程,他应该向管理层建议采取正式的批准流程并且文档化。
15.在审计第三方服务提供商时,审计师应该关注:
A.程序和文件的所有权。
B.谨慎和保密声明。
C.在灾难事件中提供连续性服务的能力。
D.以上三项。
审计师应该关注A,B,C三项。
16.在IS战略审计中,以下那项是审计师考虑最不重要的?
A.审核短期计划(1年)和长期计划(3到5年)。
B.审核信息系统流程。
C.访谈恰当的公司管理人员。
D.确保考虑外部环境。
在审核IS战略时,流程的审核不是重要的。
17.下列哪项在评价信息系统战略时最重要?
A.确保信息系统战略最大化目前和未来信息技术资源的效率和利用。
B.确保在所有信息系统中考虑信息安全。
C.确保信息系统战略支持公司愿景和目标。
D.确保系统管理员为系统能力提供准确的输入。
信息系统战略必须支持组织的业务目标。
18.网络管理员最不应该与下列哪个角色共享责任?
A.质量保障。
B.系统管理员。
C.应用程序员。
D.系统分析员。
生产环境和开发环境角色不应该共享,网络管理员可以在系统设计初期提供信息,可能拥有最终用户责任,帮助系统管理。
19.在审计信用卡支付系统时,下列哪种方法提供最好的保证信息被正确地处理?
A.审计痕迹。
B.数据录入和计算机操作员的职责分离。
C.击键验证。
D.主管审查。
击键验证为信息被正确地处理提供最高水平的信心。
20.一个公司由于目前合同到期在考虑采用新的ISP(Internet接入服务商)。
从审计的角度以下哪项最需要检查?
A.服务水平协议。
B.ISP的物理安全。
C.ISP的其它客户的推荐。
D.ISP雇员的背景调查。
外包商的服务水平协议SLA应详细规定反应时间等提供服务的指标。
21.在主机计算环境,通常由操作员来负责将软件和数据文件定期备份。
在分布式和协作式的系统中,承担备份责任的应该是:
A.用户管理人员。
B.系统程序员。
C.数据录入员。
D.磁带库管理员。
A正确。
在分布式或协作式系统中,计算机设备和数据在一个以上的地点出现,应用程序在一个以上的地点和系统上运行。
对文件和数据的备份也分散化,由分散的用户管理人员来管理。
B不正确,系统程序员维护操作系统。
C不正确,数据录入员从事数据输入。
D不正确,磁带库管理员负责磁带的保管工作。
22.下列哪些手续可以增强信息系统操作部门的控制结构?
I.定期轮换操作人员。
II.强制休假。
III.控制对设备的访问。
IV.将负责控制输入和输出的人员进行分离。
A.ⅠⅡ
B.ⅡⅡⅢ
C.ⅢⅣ
D.ⅠⅡⅢⅣ
正确。
定期轮换操作员人员和强制休假可以使其他人员有机会会成这项工作,从而减少做出非法行为的机会;
控制对设备的访问可保证设备及数据的安全;
将负责控制输入和输出的人员分离,可确保职责明确,减少错误及欺骗性操作。
23.以下哪项提供了对平衡计分卡的最好的解释?
A.被用于标杆到目标服务水平。
B.被用于度量提供给客户的IT服务的效果。
C.验证组织的战略和IT服务的匹配。
D.度量帮助台职员的绩效。
平衡计分卡被用于匹配组织的战略和IT服务。
24.审计师为了审计公司的战略计划,以下哪项第一个检查?
A.目前架构的细节。
B.去年、今年、明年的预算。
C.组织流程图。
D.公司的业务计划。
首先理解公司所在业务环境,第一个检查公司的业务计划。
25.下列哪项工作角色混合引起恶意行为发生的可能性最小?
A.系统分析员和质量保障员。
B.计算机操作员和系统程序员。
C.安全管理员和应用程序员。
D.数据库管理员和系统分析员。
A,B,C是不相容的职责。
26.一个公司在开发信息安全流程时要做的第一步是:
A.升级访问控制软件为生物/令牌系统。
B.批准公司信息安全政策。
C.要求信息系统审计师做综合审查。
D.开发信息安全标准。
第一步是开发信息安全政策,文档化并经管理层批准。
27.下列哪一个角色的任务是确保IT部门的工作与业务目标保持一致?
A.首席执行官。
B.董事会。
C.IT战略委员会。
D.审计委员会。
IT战略委员会负责把高级管理层的业务目标传递到IT部门的信息技术目标。
28.对于实施安全政策可问责(可追溯责任)非常重要。
对于系统用户以下哪种控制在准确的可问责上最没有效果?
A.可审计的要求。
B.口令。
C.识别控制。
D.认证控制。
口令存在很多问题,容易被猜测,容易被哄骗,容易被窃取,容易被共享。
最有效的准则可闻责控制包括:
政策,授权机制,识别和认证控制,审计痕迹,审计。
29.一个公司外包其数据处理中心,可能的优点:
A.需要的信息系统专家可以从外部获得。
B.对数据处理可以获得更高的控制。
C.数据处理的优先级可以在内部建立和执行。
D.更广泛的最终用户参与以交流用户需求。
外包是合同关系,把控制权部分或全部交付给外部。
30.下列哪种计划包括了大约3年的远景?
A.日常计划。
B.长期计划。
C.运营计划。
D.战略计划。
公司在战略计划中涉及3到5年的行动。
31.下列哪项说明了企业架构enterprisearchitecture(EA)的目的?
A.确保内部和外部战略一致。
B.匹配组织的IT架构。
C.匹配组织的IT架构并且确保IT架构的设计匹配组织的战略。
D.确保IT投资和业务战略一致。
EA是最佳实践,IT资产的计划,管理和扩展可以和业务战略一致。
32.下列说法满足信息系统安全官关于安全控制有效性的目标:
A.基于风险分析的结果构成完整的控制需求。
B.控制已经被测试。
C.给予风险分析的结构构成安全控制的详细要求。
D.控制可重现地被测试。
安全控制的测试和评估应该在系统开发时,系统运行前,并且可重现地以合理的时间间隔进行。
33.下列哪项提供最好的方法识别行为和规章之间的问题?
A.政策审核。
B.直接观察。
C.规章审核。
D.访谈。
现场直接观察是最好的方式可以识别行为和规章不符合的问题。
34.高级管理层对IT战略计划缺乏输入引起最可能的结果:
A.缺乏在技术上的投资。
B.缺乏系统开发的方法。
C.技术目标和组织目标不一致。
D.技术合同缺乏控制。
IT战略委员会确保IT战略支持组织目标。
由高级管理层参加的IT战略委员会将业务战略和IT战略结合。
35.为了确保公司遵守隐私权要求,审计师应该首先审查:
A.IT架构。
B.公司的政策,标准和流程步骤。
C.法律和法规要求。
D.对公司的政策,标准和流程步骤的遵守。
守法先知法,首先审查需要遵守的法律和法规要求。
36.在IT支持人员和最终用户的职责分离存在控制弱点时,下列哪项将成为合适的补偿性控制?
A.限制对计算机设备的物理访问。
B.审查交易日志和应用日志。
C.在雇佣IT人员以前做背景调查。
D.在最终用户不活动后锁定会话
审查交易日志和应用日志是检查性控制。
37.在小公司中职责分离可能不实际,一个雇员可能同时执行服务器操作员和应用程序员职责。
信息系统审计师应该建议下列那个控制?
A.对开发程序库变更自动日志。
B.雇佣额外的技术人员实现职责分离。
C.执行只有批准的程序变更才能被上线的流程。
D.预防操作员登录ID做程序修改的自动控制。
确保在变更实施前第2个人审查和批准变更。
38.审计师在审计员工离职控制,以下哪项在审查中最重要?
A.公司全体员工被通知离职员工的离职。
B.离职员工的所有登录帐号被冻结。
C.从支付薪水文件中删除离职员工相关信息。
D.提供给离职员工的公司财产已经被归还。
前雇员对信息系统的访问应该被立刻终止。
39.以下哪项在员工离职流程不正确?
A.公司遵守人力资源员工离职流程。
B.离职员工拥有的公司财产必须被归还。
C.离职员工必须被允许从其计算机中复制个人文件。
D.在审计日志中检查离职员工帐户最近的活动历史。
在从公司离职时员工对公司信息系统的访问应该立刻被终止。
40.以下哪项属于IT平衡计分卡的4个关键角度中的3个?
A.业务判断,服务水平协议,预算
B.组织人员,成本减少,雇员培训
C.成本减少,业务流程,增长
D.服务水平,关键成功因素,供应商选择
IT平衡计分卡的4个关键角度:
客户,业务历程,财务,增长。
41.应该仔细监控打印服务器的离线打印缓存,以确保控制和预防对敏感信息的非授权访问。
下列哪项是审计师最关注的?
A.部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据
B.部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据
C.部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业
D.部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、修改、查看打印作业的数据输出
题目重点在访问控制的机密性。
打印机管理员的技术特权可以从打印缓存打印任务,及时用户没有打印输出的授权。
其它是信息完整性、可用性的潜在风险暴露。
42.在审核防火墙配置时,审计师认为下列哪项是最大的脆弱性?
A.配置使用基于源地址和目的地址,协议,用户认证的允许或拒绝对系统/网络访问的规则。
B.配置在规则中最后使用“拒绝”选项。
C.防火墙软件在安装时操作系统使用缺省配置。
D.防火墙软件被配置为VPN作为点对点连接。
操作系统缺省配置是风险暴露。
43.审计师寻求确保信息技术被有效率地使用以支持组织愿景和目标,保障信息的机密性、完整性和可用性。
下列哪种流程最好地支持这个目标?
A.网络监控。
B.系统监控。
C.人员监控。
D.能力计划和管理。
计算机资源应该被仔细地监控匹配利用率需求和恰当的资源能力水平。
能力计划和管理依赖网络、系统、人员监控以确保满足组织愿景和目标和信息的机密性、完整性和可用性。
44.在CMM中哪个层次通过定性度量能力结果?
A.第1级
B.第2级
C.第3级
D.第4级
能力成熟模型第3级是定义级,使用定性度量能力结果。
45.审计师需要验证足够的软件许可证和许可证管理,下列哪项的审计会考虑软件许可证?
A.设施。
B.运营。
C.配置。
D.硬件。
配置管理审计应该验证软件许可是授权使用。
46.数据库“孤立参照”表示违反下列:
A.属性完整性Attributeintegrity。
B.参照完整性指示完整性Referentialintegrity。
C.关系完整性Relationalintegrity。
D.界面完整性Interfaceintegrity。
数据库必须Referentialintegrity以避免“孤立参照”,关系完整性在记录层面。
47.下列哪项最好的支持通讯可用性?
A.动态实时告警系统做网络监控。
B.集成的纠正性网络控制。
C.冗余。
D.高速网络吞吐率。
提供网络路径冗余提供潜在的网络设备失效的最好的对策。
48.由于存在网络拥塞,减少冲突对于支持网络通讯可用性很重要。
下列哪种设备最适合逻辑上分割和基于OSI的第2层MAC寻址创建冲突域?
A.路由器
B.集线器
C.应答器
D.交换机
交换机最适合分割网络为多个冲突域。
49.下列哪种网络配置最好的支持可用性?
A.网状
B.环
C.星
D.总线
尽管物理上实施上不实用,网状提供网络通讯路径最大的冗余。
50.在公司信息系统的战略应用中,面向对象的技术变得越来越重要,因为具有以下潜力:
A.允许更快更可靠地开发系统。
B.保持原来用过程语言编写的程序。
C.减少对层次数据库的数据完整性的破坏。
D.使传统的瀑布式系统开发方法更加流畅。
面向对象的开发技术利用对象的继承、重用、重构等特征,可以更快更可靠地开发系统。
B不正确,面向对象的开发技术将数据和对该数据的操作封装成一个对象,因此不能保持原来用过程语言编写的程序;
C不正确,
对象虽然具有层次的概念,但和层次数据库中的层次概念没有任何联系;
D不正确,面向对象的开发方法和传统的瀑布式系统开发方法在需求分析、系统设计和编码上都有很大的区别,属于两类不同的系统开发方法学,因此不存在使传统的瀑布式系统开发方法更加流畅的作用。
51.某保险公司对经常应用的数据进行断点打印拷贝,使有关人员可在主机文件中获取这些数据,经过授权的用户可以将数据子集下载进入电子数据表程序,这种提供数据存取途径方法的风险是:
A.复制文件可能没有得到同步处理;
B.数据片断可能缺乏完整性;
C.数据处理的进行可能缺乏成熟;
D.数据的普及性。
提供数据存取途径方法的风险:
数据片断可能缺乏完整性。
不缺乏普及性、成熟性;
得到同步处理。
52.为了降低通过通讯线路来传送专用数据时带来的安全风险,应该应用:
A.异步调制解调器
B.鉴别技术
C.回叫程序
D.加密设备
D正确,题干关注数据,加密设备对通讯线路上传送的数据进行保护;
A不正确,异步调制解调器将数据流从外部设备输送到中心处理机;
B不正确,鉴别技术确定只有合法用户才能访问系统;
C不正确,回叫程序是用来保证拨入的呼叫来自授权的位置。
53.业务流程重组(BPR)的业务目的主要是:
A.减少工作岗位。
B.减少步骤以改善业务效率。
C.变更管理层方向。
D.增加利益相关者(股东,客户,供应商,银行)价值。
BPR的目的通过减少不必要的不走或者实施改善的技术以改善效率。
BPR可以用于减少运营成本或者合规。
54.从微机上载到主机的数据可能有错误,以下哪种方法能最好地解决此问题?
A.主机应该定期备份。
B.上传数据时应有双人同时在场微机操作。
C.主机应该对上载数据实施与联机输入数据时同样的编辑和合法性检查。
D.要求用户检查已处理数据的随机抽样样本。
C正确,主机对上载数据实施与联机输入数据时同样的编辑和合法性检查能实时地发现并防止错误数据进入系统;
A不正确,定期备份对发生故障后的系统恢复非常有用,但不能防止和发现数据上传的错误;
B不正确,上传数据时双人同时在场对防止数据上传中的舞弊问题有效,但对防止数据错误的作用很小;
D不正确,检查已处理数据的随机抽样样本属于检查性的控制,但不能预防错误发生。
55.用于确定应用程序系统需要建立多少控制的标准不包括以下哪项内容?
A.数据在系统中的重要性。
B.应用网络监测软件的可行性。
C.某项活动或处理没有受到适当控制所产生的风险水平。
D.每种控制措施的效率、复杂性和费用。
B正确,网络监测软件并不参与应用系统内部的控制;
A不正确,重要的财务和会计系统,如证券交易所的股票买卖跟踪系统,相对于记录员工培训和技能的系统而言,必须具有更高的控制标准;
C不正确,问题的发生频率及其潜在的危害应决定在一个系统中建立多少控制;
D不正确,在一个每天处理成千上万笔支付业务的系统中,完全的逐项检查可能过于费时而不可操作,但如仅检查关键的数据则可能是可行的,如检查金额、账号而忽略姓名和地址。
56.为了调查与软件相关的影响响应时间的原因,审计师应该:
A.进行跟踪并以图形描述。
B.开发一个集成测试工具。
C.使用嵌入的审计数据。
D.进行平行模拟。
A正确,进行跟踪检查软件处理数据是否正确。
图形描述可以检查软件的逻辑结构是否合理。
从而发现与软件相关的影响响应时间的原因;
B不正确,是一种综合性测试。
C不正确,主要用于测试数据处理的正确性;
D不正确,使用平行模拟法,审计师必须首先证明模拟程序是正确,而且模拟复杂的应用程序成本高。
主要用于检查欺诈性程序。
57.在审计新软件项目时,项目小组目前在定义用户需求,把建议的解决方案和用户需求匹配。
目前处于SDLC的哪个阶段?
A.可行性研究。
B.需求。
C.设计。
D.开发。
在SDLC的需求阶段,项目小组负责定义需求把建议的解决方案和用户需求匹配。
58.一个制造商正在开发一个新的数据库系统,该系统用来处理批量订单所生产的产品的有关数据。
工作人员每天要回答客户提出的有关订货的生产情况。
完工的订货在每天晚上要成批地打印出发票。
对生产数据最好的访问方法是:
A.索引顺序的。
B.直接的。
C.杂乱无章的。
D.顺序的。
索引顺序的方法,可以每次按顺序读取一个记录直到到要处理的记录,利于批处理操作方式,可以节省访问时间;
也可以直接存取要找的那条记录,利于工作人员每天回答客户提出的有关订货的生产情况。
59.下列哪个领域经常面临微型计算机迅速发展所带来的风险?
1.备份和恢复。
2.应用程序开发成本。
3.记录的批量更新。
4.访问的安全。
5.违反版权法。
A.1、2、3
B.2、3、4
D.3、4、5
D.1、4、5
1.正确,备份和恢复操作需要使用存储介质,随着微型计算机的迅速发展,不断有新的存储能力更强的存储介质出现。
例如:
从五寸软盘到三寸软盘到可擦写光盘。
旧的设备被淘汰,容易导致以前备份的数据无法在新微机中使用;
2.不正确,会降低成本;
3.不正确,更容易;
4.正确,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISA 中文 试题