CISA题目

1-1 以下哪项概括了执行IS审计的整体权限范围？ A． 审计范围，包括目的和目标 B． 管理层对审计执行的要求 C． 经批准的审计章程 D． 经批准的审计日程表

1-2 在执行基于风险的审计时，下列哪项风险评估最初由IS审计师完成？ A． 检测风险评估 B． 控制风险评估 C． 固有风险评估 D． 舞弊风险评估

1-3 开发基于风险的审计方案时，IS审计师最可能关注下列哪项内容？ A． 业务流程 B． 关键IT应用 C． 运营控制 D． 业务策略

1-4 下列哪种审计风险表示所审查领域中缺少补偿控制？ A． 控制风险 B． 检测风险 C． 固有风险 D． 抽样风险

1-5 审查某应用程序控制的IS审计师发现系统软件中存在一个可能大大影响该应用程序的弱点。IS审计师应：

A． 忽视此类控制弱点，因为系统软件审查超过了此次审查的范围。 B． 进行详细的系统软件审查并报告控制薄弱环节。

C． 在报告中声明，本次审计仅限于审查应用程序控制。

D． 仅审查相关的系统软件控制并建议进行详细的系统软件审查。 1-6 下列哪项是定期审查审计计划的最重要原因？ A． 为可用审计资源的部署制定计划 B． 将风险环境的变化考虑其中

C． 为审计章程记录文档提供输入数据 D． 确定适合的IS审计标准

1-7 下列哪项对于在各业务部门范围内执行自我评估控制（CSA）最有效？ A． 非正式的同行评审 B． 引导型的专题讨论会 C． 流程描述 D． 数据流程图

1-8 计划审计的第一个步骤是： A． 定义审计的可交付成果

B． 最终确定审计范围和审计目标 C． 了解业务目标

D． 开发审计方法或审计策略

1-9 IS审计师计划IS审计范围时使用的方法基于： A． 风险 B． 重要性

C． 职业的怀疑态度 D． 审计证据的充分性

1-10 某公司执行关键数据和软件文件的日常备份，并将备份磁带存储在公司以外的位置。备份磁带可用于在文件受到破坏时恢复文件。这属于： A． 预防性控制 B． 管理控制 C． 改正性控制 D． 检测性控制

CCACD BBCAC

2-1 为使管理人员能够有效地监控工作流程和应用程序的一致性，下列哪种措施最为理想？ A． 中央文档库 B． 知识管理库 C． 仪表盘

D． 基准测试程序

2-2 下面哪项应包含在IS战略计划中？ A． 计划硬件采购的规范 B． 未来业务目标分析 C． 开发项目的目标日期 D． IS部门的年度预算目标

2-3 下面哪种表述能最恰当地描述IT部门的战略计划过程？

A． 根据组织层面上较大范围的计划和目标，IT部门既需要制定短期计划也需要制定长期计

划。

B． IT部门的战略计划应从时间和项目出发，但不必详细到可用于解决和帮助确定满足业务

需求优先级别的程度。

C． IT部门的长期计划应反映组织目标、技术优势和法规要求。

D． 无需将IT部门的短期计划纳入组织的短期计划，因为技术进步对IT部门计划变更的推

动速度要比组织计划快得多。

2-4 数据安全专员在组织中最重要的职责是： A． 对数据的安全政策提出建议并进行监控 B． 在组织内部推进安全意识 C． 确立IT安全政策流程 D． 管理物理和逻辑访问控制

2-5 一般认为下列因素中哪个对于成功实施信息安全（IS）程序最为关键？ A． 有效的企业风险管理（ERM）框架 B． 高级管理层的承诺 C． 适合的预算过程 D． 严谨的程序计划

2-6 IS审计师应确保IT治理绩效指标能够： A． 评估IT监管委员会的活动 B． 提供战略性IT推动因素 C． 符合规范报告标准和定义 D． 评估IT部门

2-7 下面哪项任务可以由控制良好的信息处理计算机中心中的同一名人员执行？ A． 安全管理和变更管理 B． 计算机操作和系统开发 C． 系统开发和变更管理 D． 系统开发和系统维护

2-8 下面各项数据库管理控制手段中哪一项最重要？ A． DBA活动审批 B． 职责划分

C． 审查访问日志和活动 D． 审查数据库工具的使用

2-9 当在线系统环境中无法实现完全的职责分离时，下面哪一项职能应与其他职能相分离？ A． 创建 B． 授权 C． 记录 D． 纠正

2-10 在职责分离难以实现的小型组织中，由一名职员兼任计算机操作员和应用程序编程人员的职能。IS审计师应推荐下面哪一项控制手段？ A． 自动记录对开发库的更改

B． 增加员工，从而可以进行职责分离

C． 确保只有经过审批的流程更改能得以实施的措施 D． 设立访问控制以防止操作员修改程序

CBCAB ADBBC

3-1 为了协助测试正在购置的核心银行系统，组织已将其现有生产系统中的敏感数据提供给供应商。IS审计师的主要关注点是数据应该是： A． 被清理过的 B． 完整的 C． 有代表性的 D． 目前的

3-2 以下哪一项是执行并行测试的主要目的？ A． 确定系统是否具有成本效益 B． 实现综合单元及系统测试

C． 找出含文件的程序接口中的错误 D． 确保新系统满足用户要求

3-3 在执行业务流程再造的审查时，IS审计师发现一项重要的预防性控制已被取消。在这种情况下，IS审计师应该：

A． 将该发现告知管理人员并确定管理人员是否愿意接受取消此预防性控制所带来的潜在

重大风险。

B． 确定过程期间该预防性控制是否已由某检测性控制替代，如果还未被替代，则报告预防

性控制的取消情况。

C． 建议将该预防性控制以及流程重组之前就已存在的所有控制流程都包括在新的流程中。 D． 制定连续的审计方法来监控因取消该预防性控制而产生的影响。 3-4 以下哪种数据验证编辑能有效检测易位和抄写错误？

A． 范围检查 B． 检验数字位 C． 有效性检查 D． 重复检查

3-5 在银行使用的ERP软件中，以下哪项将被视为最严重的薄弱环节？ A． 没有审查访问控制 B． 可用的文件有限

C． 没有更换已使用两年的备份磁带 D． 每天执行一次数据库备份

3-6 在审计软件购置过程的要求阶段时，IS审计师应该： A． 评估项目时间表的可行性 B． 评估供应商推荐的质量过程 C． 确保采购到的是最好的的软件包 D． 审查规范的完整性

3-7 组织决定购买而非开发一个软件包。在这样的情况下，传统的软件开发生命周期（SDLC）的设计和开发阶段将会被下列哪个选项取代： A． 选择和配置阶段 B． 可行性和需求阶段 C． 实施和测试阶段 D． 没有；不需要替换

3-8 通过使用传统SDLC方法未能满足某项目的用户规范。IS审计师应调查下列哪个方面来查找原因？ A． 质量保证 B． 需求 C． 开发 D． 用户培训

3-9 在引进简易的客户端架构时，以下哪项与服务器相关的风险会显著增加？ A． 完整性 B． 并发 C． 机密性 D． 可用性

3-10 应该实施下列哪些程序以帮助确保通过电子数据交换（EDI）实现的导入交易的完整性？ A． 构建交易追踪的段数

B． 与交易发起人定期核对信息接收数目的日志 C． 对问责性和跟踪的电子审计轨迹

D． 将收到的确认交易与发送的EDI消息的日志相配

ADABA DACDA

4-1 在相似的信息处理场所环境下，确定性能水平的最佳方法是下列哪一项？ A． 用户满意度 B． 目标完成情况 C． 基准检测

D． 容量和成长规划

4-2 对于中断容忍度低且恢复成本巨大的关键任务系统，IS审计师原则上应该推荐使用以下哪种恢复选项？ A． 移动站点 B． 温备援中心 C． 热备援中心 D． 冷备援中心

4-3 某大学的IT部门和金融服务办公室（FSO）存在一个服务级别协议（SLA），该协议要求每个月的可用性要达到98%，FSO分析了可用性并注意到最近的12个月中每个月都可以达到98%，但是在接近月末时只能平均到93%，下列哪个选项最好地反映了FSO应该采取的行动？

A． 重新谈判协议

B． 通知IT部门，协议没有达到要求的可用性标准 C． 采购额外的计算资源 D． 将接近月末的流程合理化

4-4 对于IS审计师来说，下列哪一项是用来测试程序变更管理流程最有效的方法？ A． 从系统生成的信息追踪到变更管理文件 B． 检查变更管理文件以找到证据证明准确性 C． 从变更管理文件追踪到系统生成的审计轨迹 D． 检查变更管理文件以找到完整性的证据 4-5 容量规划流程的主要目标是确保： A． 充分使用可利用资源

B． 新资源将被及时添加到新的应用程序中 C． 快速有效地使用可利用资源 D． 资源的利用率不低于85% 4-6 数据库正规化的主要好处：

A． 尽量减少所需表中信息的冗余度以满足用户需求 B． 满足更多查询的能力

C． 通过在多个表中提供信息而最大程度地实现数据库的完整性 D． 通过更快的信息处理最大程度地缩短回应时间

4-7 下列哪一项可以允许公司将其内联网通过互联网延伸至其业务伙伴？ A． 虚拟专用网络 B． 客户端服务器 C． 拨号访问

D． 网络服务供应商

4-8 根据软件应用（它是IS业务连续性计划的一部分）的关键性进行的分类由以下哪项确定？

A． 业务性质及应用程序对业务的价值 B． 应用程序的更换版本

C． 供应商可为此应用程序提供的支持 D． 应用程序的相关威胁和漏洞

4-9 当执行客户端服务器数据库安全审计时，IS审计师最应该关注下列哪一项的可用性: A． 系统工具

B． 应用程序生成器 C． 系统安全文件

D． 访问存储程序

4-10 当审查互联网通信网络时，IS审计师首先要检查： A． 密码变更发生的有效性

B． 客户端服务器应用程序的结构 C． 网络结构和设计

D． 防火墙保护和代理服务器 4-11 IS审计师应该参与：

A． 观察对灾难恢复计划进行的测试 B． 制定灾难恢复计划 C． 维护灾难恢复计划

D． 审查供应商合同中的灾难恢复要求

4-12 信息处理能力恢复的时间窗口是基于： A． 受影响流程的重要性 B． 要处理的数据的质量 C． 灾难的性质

D． 基于大型计算机的应用程序

4-13 在以下哪种情况下，应该将数据镜像作为数据恢复策略来执行： A． 恢复点目标（RPO）很低 B． RPO很高

C． 恢复时间目标（RTO）很高 D． 容灾水平很高

4-14 在下列业务连续性计划的组成部分中，哪一项主要是组织内部IS部门的职责？ A． 制定业务连续性计划

B． 选择和审批用于业务连续性计划的恢复策略 C． 声明出现灾难

D． 灾难之后还原IT系统和数据

CDAAC AAAAC AAAD

5-1 在审查基于签名的入侵检测系统（IDS）的配置时，发现以下哪一项问题将最令IS审计师担忧？

A． 自动更新功能被关闭

B． 应用程序的漏洞扫描功能被禁用 C． 加密数据包的分析功能被禁用

D． IDS被放置在隔离区（DMZ）和防火墙之间

5-2 以下哪个选项能够最有效地为本地服务器上处理的薪资数据提供访问控制？ A． 记录对个人信息的访问 B． 为敏感事务使用单独的密码

C． 使用可以限制授权人员遵守访问规则的软件 D． 将系统访问限制在营业时间以内

5-3 一位IS审计师刚刚完成对某组织的审计工作，该组织拥有一台大型计算机和两个保存着所有生产数据的数据库服务器。以下哪个弱点将被视为最严重的问题？ A． 安全员同时也是数据库管理员

B． 没有对这两个数据库服务器进行密码控制管理

C． 大型机系统的非关键应用程序没有相应的业务连续性计划 D． 大多数局域网（LAN）都没有定期备份固定式文件服务器磁盘

5-4 组织正在计划安装一个单点登录设施，该设施可以访问所有系统。该组织应注意到： A． 如果密码泄露，有可能遭受最严重的未授权访问 B． 用户访问权限将会受到其他安全参数的限制 C． 安全管理员的工作负担将会增加 D． 用户访问权限将会提高

5-5 某IS审计师正在审查失败登录尝试的日志，当以下哪个账户受到攻击时会最令其担忧？ A． 网络管理员 B． 系统管理员 C． 数据管理员 D． 数据库管理员

5-6 作为自身信息安全流程的一部分，某B2C电子商务网站想要监控、检测和防止黑客活动，并在发生可疑活动时向系统管理员发出警报。以下哪个基础架构组件可用于此目的？ A． 入侵检测系统 B． 防火墙 C． 路由器 D． 非对称加密

5-7 以下哪种情况最能确定是否存在用于保护传输信息的完整加密和身份认证协议？ A． 已实施RSA及数字签名

B． 工作正在具有身份认证头（AH）和封装安全负载（ESP）嵌套式服务的通道模式中进行 C． 正在使用采用RSA的数字认证

D． 工作正在具有AH和ESP嵌套式服务的传输模式中进行

5-8 以下哪项关于电子消息安全的问题可通过数字签名来解决？ A． 未经授权的读取 B． 窃取

C． 未经授权的复制 D． 更改

5-9 以下哪一项是分布式拒绝服务（DDoS）攻击的特点？

A． 对中介计算机发动集中攻击以将同步假消息交换指向指定的目标站点 B． 对中介计算机发动本地攻击以将同步假消息交换指向指定的目标站点 C． 对主计算机发动集中攻击以将同步假消息交换指向多个目标站点 D． 对中介计算机发动本地攻击以将交错假消息交换指向指定的目标站点 5-10 以下哪个选项是最有效的防病毒控制措施？ A． 扫描邮件服务器上的电子邮件附件 B． 通过原始副本恢复系统

C． 禁用通用串行总线（USB）端口

D． 使用最新病毒定义进行的在线防病毒扫描

ACBDD ABDAD

本文来源：https://www.bwwdw.com/article/teog.html