注册信息安全专业人员注册信息安全审核员CISA精选试题.docx
- 文档编号:3946588
- 上传时间:2022-11-26
- 格式:DOCX
- 页数:63
- 大小:51.64KB
注册信息安全专业人员注册信息安全审核员CISA精选试题.docx
《注册信息安全专业人员注册信息安全审核员CISA精选试题.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员注册信息安全审核员CISA精选试题.docx(63页珍藏版)》请在冰豆网上搜索。
注册信息安全专业人员注册信息安全审核员CISA精选试题
注册信息安全专业人员-注册信息安全审核员(CISA)
1、下面哪一条措施不能防止数据泄漏?
()
A.数据冗余
B.数据加密
C.访问控制
D.密码系统
2、软件的盗版是一个严重的问题。
在下面哪一种说法中反盗版的政策和实际行为是矛盾的?
()
A.员工的教育和培训
B.远距离工作(Telecommuting)与禁止员工携带工作软件回家
C.自动日志和审计软件
D.政策的发布与政策的强制执行
3、如果一台便携式计算机丢失或被盗,管理人员最关注的是机密信息是否会暴露。
要保护存放在便携式计算机上的敏感信息,下面哪一条措施是最有效的和最经济的?
()
A.用户填写情况简要介绍
B.签署确认用户简要介绍
C.可移动数据存储介质
D.在存储介质上对数据文件加密
4、IS审计师检查日志文件中的失败登陆的尝试,那么,最关注的账号是()
A.网络管理员
B.系统管理员
C.数据管理员
D.数据库管理员
5、长远来看,最有可能改善安全事件反应程序的选项是()
A.通盘检查事件反应程序和流程
B.事件反应小组的事后检查、回顾
C.对用户不断地安全培训
D.记录对事件的反应过程
6、下面哪一种关于安全的说法是不对的?
()
A.加密技术的安全性不应大于使用该技术的人的安全性
B.任何电子邮件程序的安全性不应大于实施加密的计算机的安全性
C.加密算法的安全性与密钥的安全性一致
D.每个电子邮件消息的安全性是通过用标准的非随机的密钥加密来实现
7、在公共密钥加密系统中,注册中心(RA,RegistrationAuthority)负责()
A.验证证书请求相关的信息
B.验证所必需的属性,并生成密钥(指密钥对)之后发放证书
C.对消息进行数字签名,以实现防抵赖的特性
D.登记签名的消息,保护它避免抵赖
8、以下哪一项属于所有指令均能被执行的操作系统模式?
()
A.问题
B.中断
C.监控
D.标准处理
9、企业将其技术支持职能(helpdesk)外包出去,下面的哪一项指标纳入外包服务等级协议(SLA)是最恰当的?
()
A.要支持用户数
B.首次请求技术支持,即解决的(事件)百分比
C.请求技术支持的总人次
D.电话响应的次数
10、IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本,那么,IS审计师应该建议()
A.检查源程序文档的保存情况
B.检查数据文件的安全状况
C.实施版本使用控制
D.进行一对一的核查
11、将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?
()
A.批量头格式
B.批量平衡
C.数据转换差错纠正
D.对打印池的访问控制
12、审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性?
()
A.系统工具
B.应用程序生成器
C.系统安全文文件
D.访问存储流程
13、测试程序变更管理流程时,IS审计师使用的最有效的方法是()
A.由系统生成的信息跟踪到变更管理文档
B.检查变更管理文档中涉及的证据的精确性和正确性
C.由变更管理文档跟踪到生成审计轨迹的系统
D.检查变更管理文档中涉及的证据的完整性
14、分布式环境中,服务器失效带来的影响最小的是()
A.冗余路由
B.集群
C.备用电话线
D.备用电源
15、实施防火墙最容易发生的错误是()
A.访问列表配置不准确
B.社会工程学会危及口令的安全
C.把modem连至网络中的计算机
D.不能充分保护网络和服务器使其免遭病毒侵袭
16、为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查()
A.业务软件
B.系统平台工具
C.应用服务
D.系统开发工具
17、数据库规格化的主要好处是()
A.在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:
重复)
B.满足更多查询的能力
C.由多张表实现,最大程度的数据库完整性
D.通过更快地信息处理,减小反应时间
18、以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式?
()
A.磁墨字符识别(MICR)
B.智能语音识别(IVR)
C.条形码识别(BCR)
D.光学字符识别(OCR)
19、代码签名的目的是确保()
A.软件没有被后续修改
B.应用程序可以与其它已签名的应用安全地对接使用
C.应用(程序)的签名人是受到信任的
D.签名人的私钥还没有被泄露
20、检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定()
A.是否口令经常修改
B.客户/服务器应用的框架
C.网络框架和设计
D.防火墙保护和代理服务器
21、企业正在与厂商谈判服务水平协议(SLA),首要的工作是()
A.实施可行性研究
B.核实与公司政策的符合性
C.起草其中的罚则
D.起草服务水平要求
22、电子商务环境中降低通讯故障的最佳方式是()
A.使用压缩软件来缩短通讯传输耗时
B.使用功能或消息确认(机制)
C.利用包过滤防火墙,重新路由消息
D.租用异步传输模式(ATM)线路
23、以下哪一项措施可最有效地支持24/7可用性?
()
A.日常备份
B.异地存储
C.镜像
D.定期测试
24、某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?
()
A.建立一个与供货商相联的内部客户机用及服务器网络以提升效率
B.将其外包给一家专业的自动化支付和账务收发处理公司
C.与重要供货商建立采用标准格式的、计算机对计算机的电子业务文文件和交易处理用EDI系统
D.重组现有流程并重新设计现有系统
25、以下哪一项是图像处理的弱点?
()
A.验证签名
B.改善服务
C.相对较贵
D.减少处理导致的变形
26、在信息系统审计中,关于所收集数据的广度的决定应该基于()。
A.关键及需要的信息的可用性
B.审计师对(审计)情况的熟悉程度
C.被审计对象找到相关证据的能力
D.此次审计的目标和范围
27、为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项?
()
A.系统访问日志文件
B.被启动的访问控制软件参数
C.访问控制违犯日志
D.系统配置文件中所使用的控制选项
28、在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。
以下哪一种情形应在审计报告中视为最为危险的?
()
A.计算机操作员兼任备份磁带库管理员
B.计算机操作员兼任安全管理员
C.计算机操作员同时兼任备份磁带库管理管理员和安全管理员
D.没有必要报告上述任何一种情形
29、以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况?
()
A.神经网络
B.数据库管理软件
C.管理信息系统
D.计算机辅助审计技术
30、大学的IT部门和财务部(FSO,financialservicesoffice)之间签有服务水平协议(SLA),要求每个月系统可用性超过98%。
财务部后来分析系统的可用性,发现平均每个月的可用性确实超过98%,但是月末结账期的系统可用性只有93%。
那么,财务部应该采取的最佳行动是()
A.就协议内容和价格重新谈判
B.通知IT部门协议规定的标准没有达到
C.增购计算机设备等(资源)
D.将月底结账处理顺延
31、在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到了这条线路容量的96%。
IS审计师应该决定后续的行动是()
A.实施分析,以确定该事件是否为暂时的服务实效所引起
B.由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会
C.这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的85%
D.通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使WAN的流量保持相对稳定
32、以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作?
()
A.路由器
B.网桥
C.中继器
D.网关
33、在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助?
()
A.系统故障时间日志
B.供货商的可靠性描述
C.预定的定期维护日志
D.书面的预防性维护计划表
34、用于监听和记录网络信息的网络诊断工具是()
A.在线监视器
B.故障时间报告
C.帮助平台报告
D.协议分析仪
35、对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据?
()
A.异常作业终止报告
B.操作员问题报告
C.系统日志
D.操作员工作日程安排
36、有效的IT治理要求组织结构和程序确保()
A.组织的战略和目标包括IT战略
B.业务战略来自于IT战略
C.IT治理是独立的,与整体治理相区别
D.IT战略扩大了组织的战略和目标
37、质量保证小组通常负责()
A.确保从系统处理收到的输出是完整的
B.监督计算机处理任务的执行
C.确保程序、程序的更改以及存盘符合制定的标准
D.设计流程来保护数据,以免被意外泄露、更改或破坏
38、企业打算外包其信息安全职能,那么其中的哪一项职能不能外包,只能保留在企业内?
()
A.公司安全策略的记账
B.制订公司安全策略
C.实施公司安全策略
D.制订安全堆积和指导
39、在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险?
()
A.自动记录开发(程序/文文件)库的变更
B.增员,避免兼职
C.建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操作
D.建立阻止计算机操作员更改程序的访问控制
40、一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查()
A.BPR实施前的处理流程图
B.BPR实施后的处理流程图
C.BPR项目计划
D.持续改进和监控计划
41、某零售企业的每个出口自动到销售定单进行顺序编号。
小额定单直接在出口处理,而大额定单则送往中心生产机构。
保证所有送往生产机构的定单都被接收和处理的最适当的控制是()
A.发送并对账交易数及总计
B.将数据送回本地进行比较
C.利用奇偶检查来比较数据
D.在生产机构对销售定单的编号顺序进行追踪和计算
42、以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中?
()
A.删除一个记录
B.改变一个口令
C.泄露一个口令
D.改变访问权限
43、IS战略规划应包含()
A.制定的硬件采购规格说明
B.未来业务目标的分析
C.项目开发的(启动和结束)日期
D.IS部门的年度预算(目标)
44、达到评价IT风险的目标最好是通过()
A.评估与当前IT资产和IT项目相关的威胁
B.使用过去公司损失的实际经验来确定当前的风险
C.浏览公开报导的可比较组织的损失统计数据
D.浏览审计报告中涉及的IT控制薄弱点
45、在确认是否符合组织的变更控制程序时,以下IS审计人员执行的测试中哪一项最有效?
()
A.审查软件迁移记录并核实审批情况
B.确定已发生的变更并核实审批情况
C.审核变更控制文档并核实审批情况
D.保证只有适当的人员才能将变更迁移至生产环境
46、以一哪项功能应当由应用所有者执行,从而确保IS和最终用户的充分的职责分工?
()
A.系统分析
B.数据访问控制授权
C.应用编程
D.数据管理
47、在以下何种情况下应用系统审计踪迹的可靠性值得怀疑?
()
A.审计足迹记录了用户ID
B.安全管理员对审计文件拥有只读权限
C.日期时间戳记录了动作发生的时间
D.用户在纠正系统错误时能够修正审计踪迹记录
48、对于数据库管理而言,最重要的控制是()
A.A、批准数据库管理员(DB的活动
B.B、职责分工
C.C、访问日志和相关活动的检查
D.D、检查数据库工具的使用
49、IT治理的目标是保证IT战略符合以下哪一项的目标?
()
A.企业
B.IT
C.审计
D.财务
50、数据编辑属于()
A.预防性控制
B.检测性控制
C.纠正性控制
D.补偿控制
51、业务流程再造(BPR)项目最有可能导致以下哪一项的发生?
()
A.更多的人使用技术
B.通过降低信息技术的复杂性而大量节省开支
C.较弱的组织结构和较少的责任
D.增加的信息保护(IP)风险
52、IS审计师发现不是所有雇员都了解企业的信息安全政策。
IS审计师应当得出以下哪项结论()
A.这种缺乏了解会导致不经意地泄露敏感信息
B.信息安全不是对所有只能都是关键的
C.IS审计应当为那些雇员提供培训
D.该审计发现应当促使管理层对员工进行继续教育
53、数据管理员负责()
A.维护数据库系统软件
B.定义数据元素、数据名及其关系
C.开发物理数据库结构
D.开发数据字典系统软件
54、许多组织强制要求雇员休假一周或更长时间,以便()
A.确保雇员维持生产质量,从而生产力更高
B.减少雇员从事不当或非法行为的机会
C.为其它雇员提供交叉培训
D.消除当某个雇员一次休假一天造成的潜在的混乱
55、对IT部门的战略规划流程/程序的最佳描述是()
A.依照组织大的规划和目标,IT部门或都有短期计划,或者有长期计划
B.IT部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务要求的优先级的程序
C.IT部门的长期规划应该认识到组织目标、技术优势和规章的要求
D.IT部门的短期规划不必集成到组织的短计划内,因为技术的发展对IT部门的规划的推动,快于对组织计划的推动
56、开发一个风险管理程序时进行的第一项活动是()
A.威胁评估
B.资料分类
C.资产盘点
D.并行模拟
57、在审核某业务流程再造(BPR)项目时,以下审计人员要评价的项目中哪一项最重要?
()
A.被撤销控制的影响
B.新控制的成本
C.BPR项目计划
D.持续改进和监控计划
58、数据库管理员负责()
A.维护计算机内部数据的访问安全
B.实施数据库定义控制
C.向用户授予访问权限
D.定义系统的数据结构
59、IS审计师复核IT功能外包合同时,应当期望它定义()
A.硬件设置
B.访问控制软件
C.知识产权
D.应用开发方法论
60、IS审计师发现被审计的企业经常举办交叉培训,那么需要评估如下哪一种风险?
()
A.对某个技术骨干的过分依赖
B.岗位接任计划不适当
C.某个人知道全部系统的细节
D.运营中断
61、应用系统开发的责任下放到各业务基层,最有可能导致的后果是()
A.大大减少所需数据通讯
B.控制水平较低
C.控制水平较高
D.改善了职责分工
62、可以降低社交工程攻击的潜在影响的是()
A.遵从法规的要求
B.提高道德水平
C.安全意识计划(如:
促进安全意识的教育)
D.有效的绩效激励政策
63、企业资源规划中的总帐设置功能允许设定会计期间。
对此功能的访问被授予财务、仓库和订单录入部门的用户。
这种广泛的访问最有可能是因为()
A.经常性地修改会计期间的需要
B.需要向关闭的会计期间过入分录
C.缺乏适当的职责分工政策和步骤
D.需要创建和修改科目表及其分配
64、IT治理确保组织的IT战略符合于()
A.企业目标
B.IT目标
C.审计目标
D.控制目标
65、以下哪一项最好地描述了企业生产重组(ERP)软件的安装所需要的文档?
()
A.仅对特定的开发
B.仅对业务需求
C.安装的所有阶段必须进行书面记录
D.没有开发客户特定文档的需要
66、实施下面的哪个流程,可以帮助确保经电子数据交换(EDI)的入站交易事务的完整性?
()
A.数据片断计数内建到交易事务集的尾部
B.记录收到的消息编号,定期与交易发送方验证
C.为记账和跟踪而设的电子审计轨迹
D.已收到的确认的交易事务与发送的EDI消息日志比较、匹配
67、评估数据库应用的便捷性时,IS审计师应该验证()
A.能够使用结构化查询语言(SQL)
B.与其它系统之间存在信息的导入、导出程序
C.系统中采用了索引(Index)
D.所有实体(entities)都有关键名、主键和外键
68、以下哪一项有利于程序维护?
()
A.强内聚/松藕合的程序
B.弱内聚/松藕合的程序
C.强内聚/紧藕合的程序
D.弱内聚/紧藕合的程序
69、软件开发项目中纳入全面质量管理(TQM,totalqualitymanagemnet)的主要好处是()
A.齐全的文档
B.按时交付
C.成本控制
D.最终用户的满意
70、随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是()
A.A、用户参与不足
B.B、项目此理早期撤职
C.C、不充分的质量保证(Q工具
D.D、没有遵从既定的已批准功能
71、一个通用串行总线(USB)端口()
A.可连接网络而无需网卡
B.用以太网适配器连接网络
C.可代替所有现存的连接
D.连接监视器
72、集线器(HUB)设备用来连接()
A.两个采用不同协议的LANs
B.一个LAN和一个WAN
C.一个LAN和一个MAN(城域网)
D.一个LAN中的两个网段
73、对于确保非现场的业务应用开发的成功,下面哪一个是最佳选择?
()
A.严格的合同管理实务
B.详尽、正确的应用需求规格说明
C.认识到文化和政治上差异
D.注重现场实施后的检查
74、审计软件采购的需求阶段时,IS审计师应该()
A.评估项目时间表的可行性
B.评估厂商建议的质量程序
C.确保采购到最好的软件包
D.检查需求规格的完整性
75、为评估软件的可靠性,IS审计师应该采取哪一种步骤?
()
A.检查不成功的登陆尝试次数
B.累计指定执行周期内的程序出错数目
C.测定不同请求的反应时间
D.约见用户,以评估其需求所满足的范围
76、IS审计人员在应用开发项目的系统设计阶段的首要任务是()
A.商定明确详尽的控制程序
B.确保设计准确地反映了需求
C.确保初始设计中包含了所有必要的控制
D.劝告开发经理要遵守进度表
77、企业最终决定直接采购商业化的软件包,而不是开发。
那么,传统的软件开发生产周期(SDLC)中设计和开发阶段,就被置换为()
A.挑选和配置阶段
B.可行性研究和需求定义阶段
C.实施和测试阶段
D.(无,不需要置换)
78、在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序?
()
A.确定程序的充分性
B.分析程序的效率
C.评价符合程序的程度
D.比较既定程序和实际观察到的程序
79、用户对应用系统验收测试之后,IS审计师实施检查,他(或她)应该关注的重点()
A.确认测试目标是否成文
B.评估用户是否记载了预期的测试结果
C.检查测试问题日志是否完整
D.确认还有没有尚未解决的问题
80、IS审计师正在检查开发完成的项目,以确定新的应用是否满足业务目标的要求。
下面哪类报告能够提供最有价值的参考?
()
A.用户验收测试报告
B.性能测试报告
C.开发商与本企业互访记录(或社会交往报告)
D.穿透测试报告
81、TCP/IP协议簇包含的面向连接的协议处于()
A.传输层
B.应用层
C.物理层
D.网络层
82、如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于()
A.项目需求定义阶段
B.项目可行性研究阶段
C.项目详细设计阶段
D.项目编程阶段
83、接收EDI交易并通过通讯接口站(stage)传递通常要求()
A.转换和拆开交易
B.选择验证程序
C.把数据传递给适当的应用系统
D.建立一个记录接收审计日志的点
84、假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪?
()
A.星型
B.总线
C.环型
D.全连接
85、通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证()
A.可靠的产品是有保证的
B.程序员的效率得到了提高
C.安全需求得到了规划、设计
D.预期的软件程序(或流程)得到了遵循
86、组织要捐赠一些本单位的旧计算机设备给希望小学,在运输这些捐赠品之前应该确保()
A.计算机上不曾保存机密数据
B.受捐的希望小学签署保密协议
C.资料存储的介质是彻底空白的
D.所有数据已经被删除
87、在契约性协议包含源代码第三方保存契约(escrow)的目的是()
A.保证在供货商不存在时源代码仍然有效
B.允许定制软件以满足特定的业务需求
C.审核源代码以保证控制的充分性
D.保证供货商已遵从法律要求
88、项目开发过程中用来检测软件错误的对等审查活动称为()
A.仿真技术
B.结构化走查
C.模块化程序设计技术
D.自顶向下的程序构造
89、对于测试新的、修改的或升级的系统而言,为测试其(处理)逻辑,创建测试数据时,最重要的是()
A.为每项测试方案准备充足的资料
B.实际处理中期望的数据表现形式
C.按照计划完成测试
D.对实际数据进行随机抽样
90、在审计系统开发项目的需求阶段时,IS审计人员应()
A.评估审计足迹的充分性
B.标识并确定需求的关键程度
C.验证成本理由和期望收益
D.确保控制规格已经定义
91、以下哪一项面向对象的技术特征可以提高数据的安全级别?
()
A.继承
B.动态仓库
C.封装
D.多态性
92、软件开发的瀑布模型,用于下面的哪一种情况时最为适当的?
()
A.理解了需求,并且要求需求保持稳定,尤其是开发的系统所运行的业务环境没有变化或变化很小
B.需求被充分地理解,项目又面临工期压力
C.项目要采用面向对象的设计和编程方法
D.项目要引用新技术
93、获得优质软件的最佳途径是()
A.通过彻底的测试
B.发现并快速纠正编程错误
C.根据可用时间和预算决定测试的数量
D.在整个项目过程中应用定义良好的流程和结构化的审核
94、信息系统不能满足用户需求的最常见的原因是()
A.用户需求频繁变动
B.对用户需求增长的预测不准确
C.硬件系统限制了并发用户的数目
D.定义系统时用户参与不够
95、用于IT开发项目的业务模式(或业务案例)文档应该被保留,直到()
A.系统的生命周期结束
B.项目获得批准
C.用户验收了系统
D.系统被投入生产
96、以下哪一项是采用原型法作为系统开发方法学的主要缺点?
()
A.用户对项目进度的期望可能过于乐观
B.有效的变更控制和管理不可能实施
C.用户参与日常项目管理可能过于广泛
D.用户通常不具备足够的知识来帮助系统开发
97、制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定()
A.已经存在减免风险的控制
B.找到了弱点和威胁
C.已经考虑到审计风险
D.实施差异分析是适当的
98、使用统计抽样流程有助于最小化()
A.抽样风险
B.检测性风险
C.固有风险
D.控制风险
99、以下哪种抽样方法对符合性测试最有用?
()
A.属性抽样
B.变数抽样
C.分层单位平均估算法
D.差值估计法
100、通用审计软件(GAS)的主
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 注册 信息 安全 专业人员 审核 CISA 精选 试题