信息系统审计师练习题.docx
《信息系统审计师练习题.docx》由会员分享,可在线阅读,更多相关《信息系统审计师练习题.docx(5页珍藏版)》请在冰豆网上搜索。
信息系统审计师练习题
信息系统审计师练习题
信息系统审计师练习题
感谢您能抽出几分钟时间来参加本次答题,现在我们就马上开始吧!
Q1:
单选题为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类、下面四个标准中,()规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
(___)选项1GB/T20271-2021《信息系统通用安全技术要求》
(___)选项2GB/T22240-2021《信息系统安全保护等级定级指南》
(___)选项3GB/T25070-2021《信息系统等级保护安全设计技术要求》
(___)选项4GB/T20269-2021《信息系统安全管理要求》
Q2:
单选题以下关于互联网协议安全(InternetProtocolSecurity,IPsec)协议说法错误的是
(___)选项1在传送模式中,保护的是IP负载
(___)选项2验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(EncapsulatingSecurityPayload,ESP)都能以传输模式和隧道模式工作
(___)选项3在隧道模式中,保护的是整个互联网协议(InternetProtocol,IP)包,包括IP头
(___)选项4IPsec仅能保证传输数据的可认证性和保密性
Q3:
单选题为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“密码+短息认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法
(___)选项1实体“所知”以及实体“所有”的鉴别方法
(___)选项2实体“所有”以及实体“特征”的鉴别方法
(___)选项3实体“所知”以及实体“特征”的鉴别方法
(___)选项4实体“所有”以及实体“行为”的鉴别方法
Q4:
单选题实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高。
常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。
如图,小王作为合法用户使用自己的账户进行支付、转账等操作。
这说法属于下列选项中的()
(___)选项1实体所知的鉴别方法
(___)选项2实体所有的鉴别方法
(___)选项3实体特征的鉴别方法
(___)选项4实体所见的鉴别方法
Q5:
单选题下列哪一项不属于审计工作底稿的复核事项
(___)选项1具体审计目的是否实现
(___)选项2审计证据是否适当、充分
(___)选项3得出的审计结论及其相关标准是否适当
(___)选项4得出的审计建议是否适当
Q6:
单选题下列哪个因素可能导致样本量减小
(___)选项1审计总体的量越大
(___)选项2可容忍误差增大
(___)选项3抽样风险越小
(___)选项4可靠程度增大
Q7:
单选题部署互联网协议安全虚拟专用网(Internetprotocolsectocolsecurityvirtualprivatenetworkipsecvpn)时,以下说法正确的是
(___)选项1配置MD5安全算法可以提供可靠的数据加密
(___)选项2配置AES算法可以提供可靠的数据完整性验证
(___)选项3部署IPsecVPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(securityauthentication,SA)资源的消耗
(___)选项4报文验证头协议(AuthenticationHeader,AH)可以提供数据机密性
Q8:
单选题对于交易量庞大的零售企业而言,以下哪项审计技术最适合主动解决新出
(___)选项1使用计算机辅助审计技术(CAATs)
(___)选项2控制自我评估
(___)选项3对交易日志抽样
(___)选项4持续性审计
Q9:
单选题黑客无需使用计算机工具或程序就可以获得密码的技术是
(___)选项1社会工程
(___)选项2嗅探器
(___)选项3后门
(___)选项4特洛伊木马
Q10:
单选题审计人员在访谈某员工关于信息安全方针时,该员工不知道曾发布过信息安全方针,审计人员应先如何判断
(___)选项1由于该员工自身原因,未能掌握信息安全方针
(___)选项2管理者未履行信息安全方针发布和传达的职责
(___)选项3信息安全方针未形成文件
(___)选项4以上都不对
Q11:
单选题鉴于信息安全的重要性,很多组织也有针对性的开展了信息安全专项审计项目,提出了信息安全审计的概念。
信息安全审计的提出主要基于哪些要求?
(___)选项3用户等相关方的期望
(___)选项4以上都不是
Q12:
单选题在审计信息安全工程项目时,下班给你呀小组且目前在定义需求,把建议的安全解决方案和安全需要相匹配,目前处于哪个阶段?
(___)选项1中长期规划
(___)选项2项目立项
(___)选项3需求分析
(___)选项4设计
Q13:
单选题审计署在《信息系统审计指南》(审计署计算机实务公告第34号)中将信息系统审计定义为:
“是指国家审计机关依法对被审计单位信息系统的哪几个相关性进行检查监督的活动。
(___)选项1真实性、合规性、保密性、安全性
(___)选项2真实性、合法性、效益性、安全性
(___)选项3有效性、合法性、完整性、可用性
(___)选项4有效性、合规性、完整性、真实性
Q14:
单选题在隔离区(DMZ)内的服务器上提供FTP服务会引入以下哪项重大风险?
(___)选项1内部用户可能给非授权用户发送文件
(___)选项2FTP服务允许用户从XX的源下载文件
(___)选项3黑客可能通过FTP服务来突破防火墙
(___)选项4FTP服务会显著的降低DMZ服务器的性能
Q15:
单选题规划信息安全审计时,以下哪项是要执行的最关键步骤?
(___)选项1回顾之前审计的结果
(___)选项2规定计划以执行对数据中心设施的物理安全审查
(___)选项3审查信息安全安全政策和流程
(___)选项4执行风险评估
Q16:
单选题在对数据库进行安全审计时,哪个被认为是最严重的问题
(___)选项1管理员账号永不过期
(___)选项2未修改默认的全局安全设置
(___)选项3旧数据未清除
(___)选项4数据库活动没有被完整记录
Q17:
单选题一名IS审计师正在审查某组织的软件开发流程。
下列哪项职能适合由最终用户执行?
(___)选项1程序输出测试
(___)选项2系统配置
(___)选项3程序逻辑说明
(___)选项4性能调整
Q18:
单选题一位信息安全审计师发现连接到网络的设备并没有包含在用于确定审计范围的网络图中。
首席信息官(CIO)解释说该图正在进行更新并等待最终审批。
该信息安全审计师应首先
(___)选项1扩大信息安全审计范围以包括网络图中没有的设备
(___)选项2评估此未记录设备对审计范围的影响
(___)选项3将其记录为控制缺陷,因为网络图尚未更新
(___)选项4针对未记录的设备计划后续的审计工作
Q19:
单选题下列哪一项不是信息安全审计提出的必要条件
(___)选项1行业监管部门的要求
(___)选项2企业自身内控的需要
(___)选项3用户等相关方的期望
(___)选项4降低信息安全风险
Q20:
单选题下列哪项内容可以不在项目审计计划中体现
(___)选项1审计组构成
(___)选项2审计阶段,活动和审计时间的分配
(___)选项3具体审计方法和程序
(___)选项4审计小组工作内容以及需要被审计单位的配合内容
Q21:
单选题实体身份鉴别一般依据以下三种基本情况或这三种情况的组合,实体所知的方法、实体所有的鉴别方法和基于实体特征的鉴别方法。
下列选项中属于基本实体特征鉴别方法的是()
(___)选项1将登陆口令设置为出生日期
(___)选项2通过询问和核对用户的个人隐私信息来鉴别
(___)选项3使用系统定制的、在本系统专用的IC卡进行鉴别
(___)选项4通过扫墙和识别用户的脸部信息来鉴别
Q22:
单选题信息系统内部控制越弱,则
(___)选项1信息系统出现差错的概率越小
(___)选项2应相应增加实质性测试的范围和程度
(___)选项3应相应减少实质性测试的范围和程度
(___)选项4以上都不对
Q23:
单选题执行计算机取证调查时,对于收集到的证据,IS审计师最应关注
(___)选项1证据的分析
(___)选项2证据的评估
(___)选项3证据的保存
(___)选项4证据的泄露
Q24:
单选题在IT开发项目中使用的业务案例文档应该保留到什么时候?
(___)选项1系统生米周期结束
(___)选项2项目通过审批
(___)选项3用户验收系统
(___)选项4系统投入生产
Q25:
单选题PKI的主要理论基础是()
(___)选项1对称密码算法
(___)选项2公钥密码算法
(___)选项3量子密码
(___)选项4