CISA每日一题.docx

1、CISA每日一题1231制定IS安全政策最终是谁的责任：A.IS部门 B.安全委员会 C.安全管理员 D.董事会中文答案:D制定信息系统安全政策通常是高级管理或懂事会的责任。IS部门负责执行该政策，无权制定政策。安全委员也会根据懂事会制定的广泛性安全政策形势职能。安全管理员负责实施、监控和执行管理人员建立并授权的安全规则。1230当审计师使用不充分的测试步骤导致没能发现存在的重要性错误，导致以下哪种风险：A.业务（商业）风险。 B.检查风险。 C.审计风险。 D.固有风险。答案：B 解释：审计师使用不恰当的测试步骤并且得出重要性错误不存在，属于审计师的检查风险。1229以下哪项是针对数据和系统

2、所有权的政策定义不当所带来的最大风险？A.不存在用户管理协调B.无法确定明确的用户责任C.未授权用户可能获得创建、修改或删除数据的权限D.审计建议可能不会实施中文答案:C如果没有政策来定义负责授予具体系统的访问权限的责任人，则没有权限的人员获得（授予）系统的访问权限的风险将增加。通过分配绚丽来给特定用户授予访问权限，可以增大业务目标得到适当支持的机会。1226IT安全政策审计的主要目标是确保：A.所有员工安全政策分配并提供给所有员工 B.安全和控制的政策支持业务及IT目标C.有已发布的组织架构图，且带功能说明 D.适当分离职责中文答案:B业务导向应该是实施安全政策的主旨。因此，针对IT安全政策

3、时IS审计应主要集中在IT及相关的安全和控制政策是否支持业务和IT目标上。审查是否为所有员工提供安全政策是一个目标，但分配本身不能确保合规。可以将具有功能说明的组织架构图以及职责的分离纳入到审查范围，但这不是安全政策的审计的主要目标。1225以下哪项是针对数据和系统所有权的政策定义不当所带来的最大风险？A.不存在用户管理协调 B.无法确定明确的用户责任C.未授权用户可能获得创建、修改或删除数据的权限 D.审计建议可能不会实施中文答案:C如果没有政策来定义负责授予具体系统的访问权限的责任人，则没有权限的人员获得（授予）系统的访问权限的风险将增加。通过分配绚丽来给特定用户授予访问权限，可以增大业务

4、目标得到适当支持的机会。1224采用自上而下的方法来制定组织政策的优点是这些政策：A.是针对组织整体制定的 B.更可能是基于风险评估而得出的C.不会与公司总体政策相冲突 D.确保在组织内部一致中文答案:B自下而上的方法首先定义运营层面的要求和政策，要求和政策的得出和实施是基于风险评估的结果。企业级策略综合现有运营政策来制定。选项A、C和D是采用自上而下方法制定组织政策的优点。此方法可确保政策不会与公司总体政策相冲突，并确保在组织内部一致。1223审查IS策略时，IS审计师通过确定IS的以下哪项内容可以最好地评估IS策略是否支持组织的业务目标：A.具有所需的所有人员和设备 B.计划与管理策略一致

5、C.有效且高效地使用其人员和设备 D.完全有能力应对不断变化的走向中文答案:B确定IS计划是否与管理策略一直可以将IS/IT规划与业务计划关联起来。选项A、C和D是确定IS计划是否与业务目标和组织策略一致的有效方法1222IS审计师在审查组织的IT策略计划时应首先审查：A.现有IT环境 B.业务计划 C.目前的IT预算 D.当今技术的发展趋势中文答案:B制定IT策略计划是为了支持组织的业务计划。要评估IT策略计划，IS审计师首先需要熟悉业务计划1219当评估组织的IS策略时，IS审计师会认为以下哪一选项最重要：A.已得到各级管理人员的批准 B.与IS部门的初步预算相同C.符合采购流程 D.支持

6、组织的业务目标中文答案:D策略计划落实公司或部门的目标。长期和短期策略计划应该与组织层面上交大范围的计划及业务目标一致，以便实现这些目标。选项A不正确，因为由各级管理人员来准备计划。1218您希望在组织的策略计划中找到以下哪项目标？A.测试新的会计软件包 B.对信息技术需求执行评估C.在接下来的12个月内实施新的项目计划系统D.成为所提供产品的首选供应商策略计划落实公司或部门的目标。全面计划有助于确保有效且高效的运营。策略计划以时间和项目为导向，但也必须解决和帮助确定优先级别以满足业务需求。长期和短期计划应该与组织层面上较大范围的计划一致，以便实现组织的目标。选项D使用月确定业务总体方向的业务

7、目标，因此，可能组织策略计划的一部分。其他选项以项目为导向，不是业务目标。1217IS审计师会认为以下哪项工作与IS部门短期计划的关联最大？A.分配资源 B.与技术发展保持同步C.开展控制自我评估 D.评估硬件需求IS部门应具有考虑在短期内分配资源的方式。IT投资需要与高层福安里策略一直，而不是由于技术的缘故侧重于技术。开展控制自我评估以及评估硬件需求不如IS部门在短期计划中分配资源那样重要。1216在审查IS短期（战术）计划是，IS 审计师应确定：A.IS和业务人员是否参与项目 B.是否明确定义IS使命和远景C.是否采用策略信息技术计划方法D.该计划是否是业务目标与IS目的和目标相关联IS和

8、业务人员参与项目是一个运营问题，在审查短期计划时应该在此进行考虑。策略计划可为IS 短期计划提供框架。选项B、C和D是策略计划所涵盖的领域1215为支持组织的目标，IS部门应具有：A.低成本理念 B.长期和短期计划 C.领先的技术 D.采购新硬件和软件的计划要推动组织总体目标的实现，IS部门应具有短期计划和长期计划，这些计划要与组织层面上较大范围的计划相一致以便实现组织的目标。选项A和C是目标，计划需要说明如何实现各个目标。选项D可以使整体计划的一部分，但晋档实现组织目标需要硬件或软件是才需要1212在实施IT平衡记分卡（BSC）之前，组织必须：A.提供有效且高效的服务 B.定义关键指标C.为

9、IT项目带来商业价值 D.控制IT费用B 在实施IT BSC之前需要定义关键绩效指标。选项A、C和D是目标。1211当电信分析人员进行以下哪项更改操作是，其也会引起IS审计师的关注：A.监控系统性能并跟踪方案更改所引起的问题B.根据当前和未来交易量审查网络负载要求C.评估网络负载对终端响应时间和网络数据传输速率的影响D.推荐网络平衡流程和改进措施电信分析人员的责任包括根据当前和今后交易量审查网络负载要求（选项B），评估网络负载对终端响应和网络数据传输速率的影响（选项C）以及推荐网络平衡流程和改进措施（选项D）。监控系统性能并跟踪方案更改所引起的问题（选项A）是的分析人员可以自我监控。1210一

10、名具有强大技术背景且管理经验丰富的长期IS员工申请了IS审计部门的空缺职位。除个人经验外，还应该根据以下哪一项来确定该职位是否雇用这个人：A.工龄，因为这有助于确保技术能力B.年龄，因为进行审计技术培训可能不实际C.IS知识，因为这将增强审计职能的可信度D.能力，因为IS审计师独立于现有IS关系（独立性）审计师和管理人员应连续评估独立性。此评估应考虑的因素包括：人际关系的变化、经济利益以及以前的工作分配和职责。事实上，从事IS多年的员工并不能保证可信。应对IS审计部门的需求进行定义，需要对照这些要求对任意候选人进行评估。工龄不能确保技术能力。根据个人年龄来评估其资质并不是一个好标准，这在世界上

11、许多地方都是非法的。1209局域网（LAN）管理员通常会受到哪项限制：A.承担最终用户责任B.向最终用户经理报告工作C.承担编程责任D.负责LAN安全管理LAN管理员不应该承担编程责任，但可能要承担最终用户责任。LAN管理员可以向信息处理场所（IPF）总监报告，或以分散操作的方式向最终用户经理报告。在小型组织中，LAN管理员还可能会负责LAN的安全管理1208许多组织都强制要求员工休假（度假）一周或更久，其目的在于：A.确保员工保持良好的生活质量，从而提高生产效率B.减少员工发生不当操作或非法操作的机会C.为另一名员工提供合适的交叉培训D.消除因某位员工一次放一天假而可能引起的中断通常强制要求

12、敏感职位员工休假一周或更久，在此期间有其他员工（非正式员工）执行其工作职能，这样做可以减少发生不当操作或非法操作的机会。在此期间可以发现发生的任何欺诈行为。选项A、C、和D都是组织可以从强制休假政策中获得好处，但并不是制定该政策的原因。1205IT平衡记分卡（BSC）是一种业务治理工具，用于监控IT绩效评估指标，但不包括以下哪一选项：A.财务结果 B.客户满意度 C.内部流程效率 D.创新能力财务结果一直是唯一的传统整体性能指标。IT平衡记分卡（BSC）是一种IT业务治理工具，用于监控财务结果以外的IT绩效评估指标。IT BSC考虑其他关键的成功因素，例如，客户满意度、创新能力和流程。1204

13、当员工离职时，最重要的工作是：A.将员工的所有文件移交给另一位制定员工 B.完成对员工工作的备份C.将此解约通知给其他员工 D.禁止该员工的逻辑访问解约的员工有可能滥用访问权限；因此，最需要执行的工作是禁止解约员工的逻辑访问。解约员工的所有工作都需要移交给制定员工；但是，这应在执行选项D之后执行。解约员工的所有工作都应该进行备份，还应该将该员工的解约通知给其他员工，但这不应先于选项D中的操作。1203以下哪个选项最能保证新员工的诚信？A.背景筛查 B.推荐 C.绑定 D.简历上列出各种资质背景筛查是确保未来职员诚信的主要方法。推荐很重要，但需要进行核实，并且不如背景筛查可靠。绑定用于谨慎地调查

14、一致性而不是诚信，简历上列出的资质可能不准确。1202从控制角度来看，工作说明的关键要素是：A.提供如何实施工作和定义权利的说明B.即时更新，记录在案，并可以随时提供给员工C.传达管理人员的具体工作绩效期望D.确定员工行为的责任和义务从控制角度来看，工作说明应确定责任和义务。这将有助于确保按照定义的工作职责为用户分配系统访问权限。其他选项不直接与控制相关。提供如何实施工作和定义权利的说明可解决工作管理及流程方面的问题。工作说明是即时更新，记录在案的并且可随时提供给员工，这一点非常重要，但其本身并不是控制。通过传达管理人员的具体工作绩效期望可以概括出绩效标准，但不一定包括控制。1201IT治理主

15、要是谁的责任：A.首席执行官（CEO） B.董事会 C.IT 督导委员会 D.审计委员会IT治理主要是管理人员及股东（以董事会为代表）的责任。CEO按照董事会只是在实施IT治理期间行使职责。IT督导委员会监控并协助部署具体项目的IT资源，以支持业务计划。审计委员会向董事会报告工作，并且应该监控审计建议的实施情况。1128有效的IT治理将确保IT计划与组织的那项计划保持一致：A.业务计划 B.审计计划 C.安全计划 D.投资计划要有效治理IT，IT和业务的目标应该相同，这要求IT计划与组织的业务计划保持一致。审计计划和投资不是IT计划的组成部分，而安全计划应处于公司局面。1127高级管理层参与对

16、制定以下哪一项最重要：A.策略计划 B.IS政策 C.IS流程 D.标准和准则策略计划为确保企业实现其目的和目标提供了基础。高级管理的参与对于确保计划能够实现所确立的目的和目标起着至关重要的作用。制定IS政策、IS流程、标准和准则全都是为了支持整个策略计划。1126IS督导委员会应该：A.成员包括来自不同部门的各级员工 B.确保IS安全策略和流程已正确执行C.维护委员会的会议记录，并随时向董事会汇报D.由供应商在每次会议上对新趋势和产品做简短介绍需要注意的是，应保存详细的督导委员会议记录，以记录IS督导委员会的决策及活动，并且应及时向董事会报告这些决策。选项A不正确，这是因为根据委员会的策略使

17、命，此委员会只有可能高级管理层或高级职员。选项B不是该委员会的职责，而是安全管理员的职责。选项D不正确，这是因为只有在适当的时候才可邀请供应商参加会议。1125以下哪个选项是IS督导委员会的职能？A.见识有供应商控制的变更控制和测试 B.确保信息处理环境中的职责分离C.审批和监控重大项目、IS计划状态机预算 D.在IS部门与最终用户之间协调沟通IS督导委员会通常负责重大IS项目的综合审查，不应介入日常运营活动；因此，其职能之一是审批和监控重大项目、IS计划状态及预算。供应商变更控制属于外包问题，应由IS管理人员监控。确保信息处理环境中的职责分离是IS管理人员的职责。在IS部门与最终用户之间协调

18、沟通是个相关方的职能，不是委员会的职能。1124如果高级管理层为针对IT策略计划承担相关义务，最有可能产生的影响是：A.缺少技术投资 B.缺少系统开发方法C.技术与组织目标不一致 D.缺少技术合同控制应设立督导委员会来确保IT策略支持组织目标。没有信息技术委员会或由高级管理层组成的委员会，说明高级管理层为承担起相关义务。这种情况会增加IT与组织策略不一致的风险。1121IT督导委员会审查信息系统的主要目的应是评估：A.IT流程是否支持业务需求 B.建议的系统功能是否全面C.现有软件的稳定性 D.所有技术的复杂性IT督导委员会的作用是确保IS部门与组织的任务和目标协调一致。要确保这一点，该委员会

19、必须确定IS流程是否支持业务需求。评估建议的附加功能和评估软件稳定性及技术复杂性都过于片面，无法确保IT流程对组织密保的实际支持作用。1120某IS审计师正在数据中心执行审计，这时火警报警器突然响起来。由于审计范围包括灾难恢复，所以该审计师开始观察数据中心员工对警报的响应情况。此时对于数据中心的员工来说，以下哪项措施最重要？A.向当地消防部门通报火警 B.准备启动消防系统C.确保数据中心所有人员撤离现场 D.从数据中心转移所有备份磁带紧急情况下，生命安全始终放在第一位；因此，首先要做的是有序撤离所有现场人员。通常没有必要向消防部门通报火警情况，因为大多数数据中心的火警警报器都配置为自动向当地消

20、防部门报警。消防系统也同样设置自动操作，在人员尚未撤离的情况下启动该系统可能会造成混乱和恐慌，导致人员受伤甚至死亡。某些情况下可能需要手动触发该系统，但必须在数据中心的所有其余人员安全撤离之后进行。从数据中心转移备份磁带不是适当之举，因为这有可能延误人员的撤离。大多数公司都在异地存有备份磁带的副本，以在发生此类灾难时降低数据损失的风险。1119某金融机构近期开发和安装了一套连接到客户网站和自动提款机（ATM）的新型存款系统。项目期间，开发团队与业务连续性团队保持着良好的交流沟通，业务连续性计划（BCP）也进行了相应更新以将新系统包括其中。适合在此时执行的BCP测试应是：A.使用实际资源模拟系统

21、崩溃 B.对整个计划进行全面的纸上走查C.对网站接口应用程序进行渗透测试 D.在指定的第二站点上执行系统故障转移预期情况是，新系统的基本恢复机制已被充分理解，恢复基础架构也已部署到位。适合在此时执行的测试就是使用实际资源进行模拟恢复演习。此演习将在受控制环境下测试新的恢复基础架构。如果恢复选项已在开发过程中得到充分考虑（关键任务系统有此类要求），纸上穿行的价值并不大。安全评估或渗透测试对于任何暴露在互联网上的应用程序都很重要，但应早已在该过程中执行完毕。选项D不正确，因为执行故障转移测试不足以评估组织从众多问题中恢复的准备程度。1118在审计灾难恢复计划（DRP）时，IS审计师应最关注以下哪种

22、情况？A.DRP尚未进行测试 B.团队新成员尚未阅读DRPC.负责DRP的管理人员最近已辞职 D.DRP手册未定期更新如果DRP尚未进行测试，则该计划很有可能不完整或不充分。这种情况应引起IS审计师的注意，因为组织将无法准确评估计划是否切实可行。如果团队新成员对计划不熟悉，现有成员可以提供帮助，所以这不是一个严重问题。虽然流失经验丰富的工作人员可能会带来一些问题，但如果该计划的适用性已经过事实验证，那么在发生灾难时，经验不足的工作人员也能够执行所需的工作职能。与未测试DRP相比，未定期更新DRP手册是次要的关注问题。1117对于有效的业务连续性管理，以下哪个选项最重要？A.恢复站点安全可靠并与

23、主站点保持适当距离 B.定期测试恢复计划C.恢复站点具有经过全面测试的备用硬件 D.多家服务提供商均可提供网络连接定期测试恢复计划对于确保任何所做计划和记录的可行性至关重要。其余选项更侧重于策略性考虑，相对于测试，其重要程度略低。如果发生灾难，选项A、C和D将更加重要。1114一位IS审计师正在审查某组织的灾难恢复情况，在这次灾难中，恢复业务操作所需的所有关键数据均未得以保留。这是因为错误定义了以下哪个选项？A.中断时限 B.恢复时间目标（RTO） C.服务交付目标 D.恢复点目标（RPO）RPO由运营中断情况下可接受的数据损失决定。RPO将定义一个时间点，在此点之后需要开始恢复数据并按时间量

24、化中断时所允许的数据损失量。中断时限是指组织从故障发生到关键服务/应用程序恢复这段时间内可以维持运作的时长。RTO由运营中断情况下可接受的停机时间决定。服务交付目标与业务需求和服务级别有关，不适用于本例。1113恢复策略的选择最优可能取决于：A.基础架构和系统的恢复成本 B.恢复站点的可用性C.业务流程的重要性 D.事故应对程序在选择恢复策略时，业务流程的重要性是首要因素。各种业务流程及配套应用程序的重要性和风险等级可在业务影响分析（BIA）中确定。基础架构和系统的恢复成本不是确定恢复策略的主要考虑因素。这并不是说不关注成本问题，而是说策略的制定主要取决于在发生灾难时保持业务正常运作所需要的条

25、件。恢复站点的可用性不是影响回复策略制定的因素，而是它的结果。每个组织在处理各类事件是都需要采用事故应对程序；但恢复策略的选择并不取决于该程序。1112在执行IT安全风险评估是，IS审计师已邀请IT安全专员与用户及业务部门代表一同参加风险识别研讨会。为了会议取得成功和将来不发生冲突，IS审计师应提出的重要的建议是什么？A.确保IT安全风险评估具有明确界定的范围B.要求IT安全专员在与会期间审批个风险等级C.建议IT安全专员儿内科业务部门风险及评级D.只选择上报等价最高的公认风险IT风险评估在具有明确界定的范围是才有效并达到风险识别目标。如适用，IT风险评估应包括与其他领域风险评估的关系。其余选

26、项都是在探讨如何为风险评级，但整个评估流程的成功主要在于确保其范围广度足以涵盖所有尚存威胁的重大风险。如果范围过大，风险评估将难以开展，这可能导致未来冲突发生。1111软件托管协议会涉及处理以下哪种情况？A.系统管理员要求访问软件以执行灾难恢复 B.用户请求将软件重新加载到备用硬盘C.定制软件供应商倒闭 D.IT审计师要求访问组织编写的软件代码软件托管是软件供应商与客户之间的法律协议，用于担保对源代码的访问权限。根据合同规定，应用程序源代码由受信任的第三方持有。当出现以下情况时需要用到此协议：软件供应商倒闭，与客户发生合同纠纷，或软件供应商未按照软件许可协议中的承诺维持软件更新。其余选项不正确

27、，因为其他情况下的软件访问应在内部管理的软件库中提供。1110某IS审计师发现，组织最近采用的企业架构（EA）具有充分的当前状态描述。但该组织有启动了一个独立的项目来确立优化后未来状态的描述。该IS审计师应该：A.建议尽快完成此独立项目 B.将此问题作为调查结果写入审计报告C.建议采用Zachmann框架 D.调整审计范围以将该独立项目包括在当前审计中EA中涉及未来状态时非常重要的，因为当前状态与未来状态之间的差距将决定IT策略及策略计划。如果EA不包含对未来状态的描述，那么它是不完整的，应将此问题作为调查结果上报。选项A不正确的原因是，IS审计师通常不会在项目进度方面提出建议，而是会针对当前

28、环境作出评估。在本例中最重要的问题是EA尚不完整，所以审计师应该更多地关注与报告此问题。选项C不正确，因为公司可以任意选择EA框架，IS审计师不应建议某种特定框架。选项D不正确的原因是，为了包括次要项目而改变审计范围的做法是不切实际的。1107一位IS审计师正在审查某公司灾难恢复(DR)策略的更改。该IS审计时注意到，公司的关键任务应用程序的恢复点目标（RPO）已被缩短。进行此更改的最大风险是什么？A.现行DR计划未更新，无法实现新RPO B.DR团队尚未接受过新RPO的相关培训C.执行备份的频率不足以实现新RPO D.计划尚未按新RPO进行测试在2011年CISA考试复习手册的词汇表中，RP

29、O定义文“可以接受恢复数据的最早时间点”。如果在执行备份的频率不足以满足新RPO，则在发生灾难时公司会面临备份数据不足的风险。这是最重大的风险，因为在没有数据的情况下，所有其他DR考量方案都将无效。如果计划因为更新而无法反映恢复时间目标(RTO)和RPO的新策略目标，那么该计划可能无法达成这些新目标。这一问题不如没有相应的可用数据严重。为针对新DR策略进行相关培训以及未测试修改计划都会为团队之星计划的能力带来风险；但同样，此风险也不如因备份频率不足而导致没有可用数据严重。1106在审计公司的电子邮件通信存档时，IS审计师最应关注：A.是否存在数据保留政策 B.存档解决方案的存储容量C.用户对电

30、子邮件使用的认知水平 D.存档解决方案提供商的支持和稳定性如果没有满足公司业务与合规性要求的数据保留政策，电子邮件存档可能无法在必要时保存和备份正确信息。选项B不正确的原因是，如果相应的电子邮件消息未得到合理保存而其他邮件又已被删除，那么存档解决方案的存储容量便无关紧要。选项C和D不正确的原因是，用户对电子邮件使用认知水平以及存档解决方案提供商的支持与稳定性不会直接影响已存档电子邮件的完整性和准确性。1105某IS审计师正在审查组织的软件质量管理流程。第一步应该做的是：A.核查组织对标准的遵守情况 B.确认和报告现行控制C.审查质量评估指标 D.要求获得组织所采用的所有标准审查软件质量管理流程

31、的第一步应该是确定评估标准，在形式上表现为组织所采用的标准。IS审计师在确定出有哪些现行标准之前，无法评估组织对自有标准的遵守情况。列出的其它选项，如核查标准的遵守情况、确认相关控制仪审查质量指标，相对于确认标准而言都是次要的。1104在审计组织的IT治理框架和IT风险管理实务时，IS审计师发现一些与IT管理和整理相关的角色职责不明确。以下哪项建议最适用？A.审查IT与企业的策略一致性 B.在组织内实行问责制度C.确保定期执行独立的IT审计 D.在组织中设立首席风险官（CRO）职位IT风险的管理方法是将问责制度引入企业。IS审计师应建议实行问责制度，以确保明确组织内的所有责任。虽然IT与企业的策略一致性很重要，但其与本例所述情况并无直接关系。同样，如果不明确定义和实行问责制度，即使更频繁地执行IS审计或建议设立新职位（CRO）也不会有帮助。1103某IS审计师在审核IT政策时发现，一些政策并未经过管理人会员的审批（政策要求必须经审批），但员工却严格遵守这些政策。IS审计师首先应该做些什么？A.忽视管理人员未审批这一事实，因为员工遵守了这些政策B.建议将这些政策立即提交管理人员审批C.强调管理人员审批的重要性 D.提交报告，