CISA学习历年复习资料 模拟题 3.docx

CISA学习历年复习资料 模拟题 3.docx

《CISA学习历年复习资料 模拟题 3.docx》由会员分享，可在线阅读，更多相关《CISA学习历年复习资料 模拟题 3.docx（38页珍藏版）》请在冰豆网上搜索。

CISA学习历年复习资料模拟题3

第一部分：

模拟题

1.证明数字签名有效的最佳方式是？

2.

A.核实发送者的公钥证书来自可信任的CA

B.

C.使用来自CA的哈希算法来检测消息是否被篡改过

D.

E.通过对哈希值的手工对比来验证数字签名

F.

G.获得发送者的公钥，并且验证数字签名

H.

3.业务影响分析（BIA）最主要的目的是？

4.

A.定义恢复战略

B.

C.识别备份站点

D.

E.改进恢复测试

F.

G.计算年度损耗预测（ALE）

H.

5.决定企业IT风险偏好的最佳角色是？

6.

A.首席法务官

B.

C.安全经理

D.

E.审计委员会

F.

G.指导委员会

H.

7.下面哪一个加密机制运行在OSI模型的应用层上？

8.

A.安全套接层（SSL）

B.

C.IPSec

D.

E.SSH

F.

G.安全/超文本传输协议（S/HTTP）

H.

9.企业正在制定数据库软件升级的策略。

IS审计师能够采取下面哪一项任务而不损害IS审计职能的客观性？

10.

A.建议对新的数据库软件采用应用控制措施

B.

C.向项目组提供将来许可证费用的估算

D.

E.建议项目的计划可改进迁移的效率

F.

G.在测试实施前审查用于验收测试用例文档

H.

11.当下载软件时，哈希值可能会提供给：

12.

A.确保软件来自可信的源

B.

C.作为提供售后服务的参考指标

D.

E.确保软件没有被修改过

F.

G.作为付款的依据

H.

13.在下列控制措施中，防止不适当地访问业务应用系统中的私人敏感信息的最佳方法是什么？

14.

A.双因素认证访问控制

B.

C.授权信息的加密

D.

E.基于角色的访问控制（RBAC）

F.

G.有效的职责分离（SoD）

H.

15.单点登录（SSO）服务作为一个合适的鉴别系统用来鉴别网络上的用户。

IS审计师已经记录了用户可以拥有多个ID，并且身份鉴别系统与人力资源（HR）系统没有进行强制链接。

IS审计师最应关注以下哪一项？

16.

A.用户ID用于不同的应用系统

B.

C.丧失用户ID的唯一性

D.

E.分配给用户多个系统账号

F.

G.ID没有使用统一的命名标准

H.

17.下面哪一项是保护电源断电的最好措施？

18.

A.电源转换系统

B.

C.双路供电线路

D.

E.发电机

F.

G.不间断电源

H.

19.下面哪项是使得整体程序编码变得高校并且可靠的最佳方式？

20.

A.结构化编程

B.

C.微程序设计

D.

E.面向对象编程

F.

G.线性规划

H.

21.一个关键的IT系统开发人员突然从企业辞职。

下面哪一项行动是最重要的？

22.

A.与人力资源部（HR）进行面谈

B.

C.启动移交程序，以保证项目的持续性

D.

E.终止开发人员对于IT资源的逻辑访问控制

F.

G.在离职单上确保管理层已签字

H.

23.下面哪一项最能够成功的将业务应用系统中的重叠关键控制识别出来？

24.

A.评审连接复杂业务流程的系统功能

B.

C.通过集成测试设施（ITF）提交测试交易

D.

E.采用自动化的审计解决方案取代手工监控

F.

G.测试控制措施确认其有效性

H.

25.在进行应用审计期间，IS审计师发现一些在数据库数据损毁的问题。

下面哪一项是审计师应该推荐的正确的控制？

26.

A.定义标准，密切监控其符合性

B.

C.确保只有授权人员才能更新数据库

D.

E.采取控制措施处理并行的访问问题

F.

G.采取恢复步骤

H.

27.为确保有组织的进行灾难恢复，最重要的业务连续性计划（BCP）和灾难恢复计划（DRP）是：

28.

A.存储和替代的站点

B.

C.与所有人员保持联系

D.

E.定期进行测试演练

F.

G.定期进行计划更新

H.

29.一个企业的首席信息官（CIO）担心在软件项目中一旦软件进入测试阶段会发现很多典型的缺陷，并且项目整体处于延迟状态。

下面哪一项对于当前的情况是比较合适的?

30.

A.责令所有的测试由专门的测试小组来进行

B.

C.生成更小更短的增量系统

D.

E.采取连续开发技术，将测试类型连接在开发阶段

F.

G.要求项目交付物均正式签署

H.

31.IS审计师观察到许多个应用程序安装在同一台服务器上。

这台服务器的恢复时间目标（RTO）将是？

32.

A.取决于应用程序的最长的RTO

B.

C.取决于应用程序最短的RTO

D.

E.取决于每个应用程序的平均RTO

F.

G.RTO是独立的，并且取决于最关键的应用程序

H.

33.审计师发现在已定义审计范围内不包括设备链接网络的网络拓扑图，首席信息官（CIO）解释为拓扑图正处于更新并且等待最后审批。

IS审计师首先应该：

34.

A.将IS审计范围扩大为包含拓扑图上没有的设备

B.

C.评估未文件化定义设备审计范围的影响

D.

E.记录控制措施缺陷，因为网络拓扑图还没有被更新

F.

G.对没有文档定义的设备制定一个补充的审计计划

H.

35.下面哪一项是IS审计师决定安全意识与培训程序有效性的最佳方式?

36.

A.评审安全培训程序

B.

C.询问安全管理员

D.

E.选择一个员工样本进行访谈

F.

G.检查对雇员的安全提醒

H.

37.下面哪项控制措施能够帮助预防票据数据录入时的重复？

38.

A.范围检查

B.

C.调换与代替

D.

E.序列检查

F.

G.循环冗余校验（CRC）

H.

39.在进行应用系统访问控制审计中，IS审计师发现系统管理员管理关键应用程序的逻辑访问。

IS审计师应该：

40.

A.应该担心，因为应用程序所有者应该依据用户的工作职责来限制对应用程序的访问

B.

C.不用担心，因为系统管理员负责管理应用程序

D.

E.应该担心，因为信息安全职能应根据业务需要限制用户访问

F.

G.不用担心，因为系统管理员知道每一个人是否可以访问应用系统

H.

41.下面哪一项测试技术可以被IS审计师用来识别还没有被测试的特殊程序逻辑？

42.

A.快照

B.

C.跟踪和标签

D.

E.日志

F.

G.映射

H.

43.下面哪一项能够最有效的消除来自企业内部攻击对企业数据安全的威胁？

44.

A.形成一个合适的信息安全策略

B.

C.对雇员提供安全培训

D.

E.对关键岗位提供有竞争力的薪酬

F.

G.对潜在的雇员进行足够的背景调查

H.

45.关于控制自我评估与控制自我保证程序最主要的目标是？

46.

A.为企业简化监控控制措施

B.

C.取代部分内部审计职责

D.

E.移除一线管理人员的控制职责

F.

G.将部分控制监控职责转移到只能区域

H.

47.下面哪一项是促使业务与IT之间能够保持一致的最佳手段？

48.

A.成熟度模型

B.

C.目标与度量

D.

E.控制目标

F.

G.执行、负责、咨询和告知（RACI）表

H.

49.下面哪一个项是用来确保数据库管理员（DBA）遵守企业数据保管工作的有效预防控制？

50.

A.异常报告

B.

C.职责分离（SoD）

D.

E.审查访问日志与行为

F.

G.管理监督

H.

51.安全管理员已经告知IS审计师病毒扫描器已经更新到最新版本。

IS审计师确认病毒扫描器已经被配置成自动更新。

为确认控制措施是有效的，IS审计师接下来应该采取哪个步骤？

52.

A.将病毒防御的当前版本与供应商版本进行确认

B.

C.审查日志文件，确认病毒防御组件已经被更新

D.

E.向安全管理员要求一个关于已经将病毒组件升级到最新的确认

F.

G.IS审计师的工作已经足够，不需要更进一步的工作

H.

53.一个金融服务企业已经有了一个小的IT部门，每个成员都承担多个角色。

下面的情况哪一项所带来的风险是最大的？

54.

A.开发人员将代码部署到生产环境

B.

C.业务分析编写需求，并且执行功能测试

D.

E.IT经理同时进行系统管理

F.

G.数据库管理员（DBA）同时执行数据备份

H.

55.当对一个财务会计应用进行逻辑访问授权时，什么时候最可能发现错误？

56.

A.在进行IS审计时

B.

C.实施一个身份管理解决方案后

D.

E.账号对账时

F.

G.业务所有者定期进行授权审查时

H.

57.在调查一个在线交易时，一个企业意识到存在欺诈交易，并且需要介入法律调查。

这个企业最先采取的行动是？

58.

A.将欺诈交易分析文档化

B.

C.开始将由于欺诈交易损失的资金进行恢复

D.

E.保护用于法庭诉讼的所有日志文件

F.

G.将系统从网络中下线

H.

59.审计师在审查由第三方管理的云计算环境时，当出现以下哪种情况最应引起关注？

60.

A.组织没有被允许评估供货商工作地点的控制措施

B.

C.服务级别协议（SLA）没有界定供货商对于安全损害方面的责任

D.

E.组织与供货商所在国家法律法规是不一样的

F.

G.组织正在用一款版本比较旧的浏览器，并且对于特定风险是一个弱点

H.

61.一个私有企业为符合发生了巨大变更税法要求正在进行一个修改财务会计系统的项目，在正式投入使用前，作为系统所有者的财务经理突然离开，并且没有完成系统变更的功能测试。

开发团队负责人认为可以在没有得到业务流程所有者批准的情况下实施这些变更。

下面哪一项是正确的？

62.

A.如果恰当的测试被实施，并且得到企业所有者批准，在没有得到业务流程所有者批准的情况下，变更可以从产品中去掉。

B.

C.在没有得到应用所有者批准的情况下，变更不应该被升级。

如果存在一个实施变更紧急需求，管理者应该代替财务经理审查测试并且进行审批

D.

E.变更可以从产品中移除，因为应用已经使用了5年并且是适用的，开发团队负责人能够作为代替角色进行批准审批变更。

F.

G.因为开发团队负责人在会计方面具有足够的知识，并且参与到在变更开发中，因而没有得到业务流程所有者的批准时，变更可以从产品中移除，。

H.

63.IS审计师正在主导一个企业的网络实施后审查。

下面哪一个发现可能是最应该引起关注的？

64.

A.PDAs没有口令保护

B.

C.安装网络设备时没有对默认口令进行更改

D.

E.不存在外置的Web代理

F.

G.所有的通信链路都没有进行加密

H.

65.IS审计师在审查IS安全策略时，应该核实信息安全管理角色与职责是否向下面的哪个角色进行传达？

66.

A.专职主管人员

B.

C.组织内的用户

D.

E.IS指导委员会

F.

G.IS安全管理人员

H.

67.在IPSec中，下面哪一项提供了最基本的数据保护？

68.

A.语义网

B.

C.压缩安全有效载荷（ESP）

D.

E.鉴定文件头（AH）

F.

G.数据签名

H.

69.IS审计中，IS审计师发现企业总部正在使用一个无线网络，审计师最先应该确认的事情为？

70.

A.建筑物之外的信号长度

B.

C.配置设置情况

D.

E.连接的客户端数量

F.

G.设备设定的IP地址

H.

71.在评估基于口令管理程序的控制措施时，下面哪一项是IS审计师最有可能信赖的？

72.

A.长度检查

B.

C.散列综合

D.

E.有效性检查

F.

G.领域检查

H.

73.在执行一个政府研究设施通信审计时，IS审计师注意到网络连接使用光缆，然而其他的用普通的未屏蔽双绞线（UTP）。

下面哪一项是使用UT