1、CISA模拟考试题共31页word资料2011 年 CISA 模拟考试题(针对新考纲) 培训资料,请勿外泄 1、对 IT 部门的战略规划流程/程序的最佳描述是: 选项: A、依照组织大的规划和目标,IT 部门或都有短期计划,或者有长期计划 B、IT 部门的战略计划必须是基于时间和基于项目的,但是不会详细到能够确定满足业务 要求的优先顺序的程序 C、IT 部门的长期规划应该认识到组织目标、技术优势和规章的要求 D、IT 部门的短期规划不必集成到组织的短计划内,因为技术的发展对 IT 部门的规划的推 动,快于对组织计划的推动 参考答案:C 2、用户对应用系统验收测试之后,IS 审计师实施检查,他(
2、或她)应该关注的重点 选项: A、确认测试目标是否成文 B、评估用户是否记载了预期的测试结果 C、检查测试问题日志是否完整 D、确认还有没有尚未解决的问题 参考答案:D 3、某 IS 审计人员需要将其微机与某大型机系统相连, 该大型机系统采用同步块数据传输通讯, 而微机只支持异步 ASCII 字符数据通讯。为实现其连通目标,需为该 IS 审计人员的微机增 加以下哪一类功能? 选项: A、缓冲器容量和并行端口 B、网络控制器和缓冲器容量 C、并行端口和协议转换 D、协议转换和缓冲器容量 参考答案:D 4、在关于外部信息系统服务的合同的以下条款中,IS 审计师最不关心的是哪项? 选项: A、程序和
3、文件的所有权 B、应有的谨慎和保密声明 C、灾难情况下外包人的持续服务 D、供货商使用的计算机硬件的详尽描述参考答案:D 5、WEB 服务器的逆向代理技术用于如下哪一种情况下?选项: A、HTTP 服务器的地址必须隐藏 B、需要加速访问所有发布的页面 C、为容错而要求缓存技术 D、限制用户(指操作员的带宽) 参考答案:A 6、以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式? 选项: A、磁墨字符识别(MICR) B、智能语音识别(IVR) C、条形码识别(BCR) D、光学字符识别(OCR) 参考答案:D 7、能力计划流程的关键目标是确保: 选项: A、可用资源的完全使用
4、 B、将新资源及时添加到新的应用系统中 C、可用资源的充分和有效的利用 D、资源的利用率不低于 85% 参考答案:C 8、在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为 IS 审计人员提供最大 的帮助? 选项: A、系统故障时间日志 B、供应商的可靠性描述 C、预定的定期维护日志 D、书面的预防性维护计划表 参考答案:A 9、下面哪一句涉及包交换网络的描述是正确的? 选项: A、目的地相同的包穿过网络的路径(或称为:路径)相同 B、密码/口令不能内置于数据包里C、包的长度不是固定的,但是每个包内容纳的信息数据是一样的 D、数据包的传输成本取决于将传输的数据包本身,与传输距离和传输
5、路径无关 参考答案:D 10、分布式环境中,服务器失效带来的影响最小的是: 选项: A、冗余路由 B、集群 C、备用电话线 D、备用电源 参考答案:B 11、大学的 IT 部门和财务部(FSO,financial services office)之间签有服务水平协议(SLA) , 要求每个月系统可用性超过 98%。财务部后来分析系统的可用性,发现平均每个月的可用 性确实超过 98%,但是月末结账期的系统可用性只有 93%。那么,财务部应该采取的最佳 行动是: 选项: A、就协议内容和价格重新谈判 B、通知 IT 部门协议规定的标准没有达到 C、增购计算机设备等(资源) D、将月底结账处理顺延
6、参考答案:A 12、在审查 LAN 的实施时 IS 审计人员应首先检查: 选项: A、节点列表 B、验收测试报告 C、网络结构图 D、用户列表 参考答案:C13、数据库规格化的主要好处是: 选项: A、在满足用户需求的前提下,最大程度地减小表内信息的冗余(即:重复) B、满足更多查询的能力 C、由多张表实现,最大程度的数据库完整性 D、通过更快地信息处理,减小反应时间 参考答案:A14、在审查一个大型数据中心期间,IS 审计人员注意到其计算机操作员同时兼任备份磁带管理 员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的? 选项: A、计算机操作员兼任备份磁带库管理员 B、计算机操作员兼
7、任安全管理员 C、计算机操作员同时兼任备份磁带库管理管理员和安全管理员 D、没有必要报告上述任何一种情形 参考答案:B 15、在数据库应用系统的需求定义阶段,性能被列为优先要求。访问数据库管理系统(DBMS) 文件时,推荐采用如下哪一种技术以获得最佳的输入、输出(I/O)性能? 选项: A、存储区域网络(SAN,Storage area network) B、网络接入存储(NAS,Network Attached Storage) C、网络文件系统(NFS v2,Network file system) D、通用互联网文件系统(CIFS,Common Internet File System)
8、 参考答案:A 16、以下哪一项有助于检测入侵者对服务器系统日志的改动? 选项: A、在另一台服务器镜像该系统日志 B、在一块一次写磁盘上同时复制该系统日志 C、将保存系统日志的目录设为写保护 D、异地保存该系统日志的备份 参考答案:B17、 对于防止系统的弱点或漏洞被利用(或攻击) ,下成哪一种是最好的方法? 选项: A、日志检查 B、防病毒措施 C、入侵监测 D、补丁管理 参考答案:D 18、检查外包计算机中心的服务等级协议(SLA)时,IS 审计师应该首先确定: 选项: A、将获得的服务价格在合理的范围内 B、协议中指定了安全机制C、协议中确定的服务符合业务需求 D、协议中允许 IS 审
9、计师审计对计算机中心的访问 参考答案:C 19、以下哪一项可以在不同网络之间 e-mail 格式,从而使 e-mail 可以在所有网络上传播? 选项: A、网关 B、协议转换器 C、前端通讯处理机 D、集中器/多路选择器 参考答案:A 20、代码签名的目的是确保: 选项: A、软件没有被后续修改 B、应用程序可以与其他已签名的应用安全地对接使用 C、应用(程序)的签名人是受到信任的 D、签名人的私钥还没有被泄露 参考答案:A 21、IS 审计师分析数据库管理系统(DBMS)的审计日志时,发现一些事务(transactions)只执 行了一半就出错了, 但是没有回滚整个事务。 那么, 这种情况违
10、反了事务处理特性的哪一项? 选项: A、一致性 B、独立性 C、持续性 D、原子性 参考答案:D22、 以下哪一种网络配置结构能使任意两台主机之间均有直接连接? 选项: A、总线 B、环型 C、星型 D、全连接(网状) 参考答案:D 23、对以下哪一项的分析最有可能使 IS 审计人员确定有未被核准的程序曾企图访问敏感数据?选项: A、异常作业终止报告 B、操作员问题报告 C、系统日志 D、操作员工作日程安排 参考答案:C 24、电子商务环境中降低通讯故障的最佳方式是: 选项: A、使用压缩软件来缩短通讯传输耗时 B、使用功能或消息确认(机制) C、利用包过滤防火墙,重新路由消息 D、租用异步传
11、输模式(ATM)线路 参考答案:D 25、检查用于互联网 Internet 通讯的网络时,IS 审计应该首先检查、确定: 选项: A、是否口令经常修改 B、客户/服务器应用的框架 C、网络框架和设计 D、防火墙保护和代理服务器 参考答案:C26、 以下哪一项是针对部件通讯故障/错误的控制? 选项: A、限制操作员访问和维护审计轨迹 B、监视并评审系统工程活动 C、配备网络冗余 D、建立接触网络传输数据的物理屏障 参考答案:C27、 规划并监控计算机资源,以确保其得到有效利用的是: 选项: A、硬件监控 B、能力管理 C、网络管理 D、作业调度 参考答案:B28、在检查广域网(WAN)的使用情况
12、时,发现连接主服务器和备用数据库服务器之间线路通 讯异常,流量峰值达到了这条线路容量的 96%。IS 审计师应该决定后续的行动是: 选项: A、实施分析,以确定该事件是否为暂时的服务实效所引起 B、由于广域网(WAN)的通讯流量尚未饱和,96%的流量还在正常范围内,不必理会 C、这条线路应该立即更换以提升其通讯容量,使通讯峰值不超过总容量的 85% D、通知相关员工降低其通讯流量,或把网络流量大的任务安排到下班后或清晨执行,使 WAN 的流量保持相对稳定 参考答案:A 29、企业正在与厂商谈判服务水平协议(SLA) ,首要的工作是: 选项: A、实施可行性研究 B、核实与公司政策的符合性 C、
13、起草其中的罚则 D、起草服务水平要求 参考答案:D 30、将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果, 以下哪一项能起 上述作用? 选项: A、批量头格式 B、批量平衡 C、数据转换差错纠正 D、对打印池的访问控制 参考答案:B31、 测试程序变更管理流程时,IS 审计师使用的最有效的方法是: 选项: A、由系统生成的信息跟踪到变更管理文档 B、检查变更管理文档中涉及的证据的精确性和正确性 C、由变更管理文档跟踪到生成审计轨迹的系统 D、检查变更管理文档中涉及的证据的完整性 参考答案:A32、 应用控制的目的是保证当错误数据被输入系统时,该数据能被: 选项: A、接受和处
14、理B、接受但不处理 C、不接受也不处理 D、不接受但处理 参考答案:C33、 一旦组织已经完成其所有关键业务的业务流程再造 (BPR) IS 审计人员最有可能集中检查: , 选项: A、BPR 实施前的处理流程图 B、BPR 实施后的处理流程图 C、BPR 项目计划 D、持续改进和监控计划 参考答案:B 以一哪项功能应当由应用所有者执行,从而确保 IS 和最终用户的充分的职责分工? 选项: A、系统分析 B、数据访问控制授权 C、应用编程 D、数据管理 参考答案:B IT 治理确保组织的 IT 战略符合于: 选项: A、企业目标 B、IT 目标 C、审计目标 D、控制目标 参考答案:A 在一个
15、交易驱动的系统环境中,IS 审计人员应审查基原子性以确定: 选项: A、数据库是否能经受失败(硬件或软件) B、交易之间是否相互隔离 C、完整性条件是否得到保持 D、一个交易是否已完成或没有进行或数据库已经修改或没有修改 参考答案:D 如果以下哪项职能与系统一起执行,会引起我们的关切?http:/accatrainer/选项: A、访问规则的维护 B、系统审计轨迹的审查 C、数据保管异口同声 D、运行状态监视 参考答案:B 在审查组织的业务流程再造(BPR)的效果时,IS 审计人员主要关注的是: 选项: A、项目的成本超支 B、雇员对变革的抵触 C、关键控制可能从业务流程中取消 D、新流程缺少
16、文档 参考答案:C 开发一个风险管理程序时进行的第一项活动是: 选项: A、威胁评估 B、数据分类 C、资产盘点 D、并行模拟 参考答案:C IS 指导委员会应当: 选项: A、包括来自不同部门和员工级别的成员 B、确保 IS 安全政策和流程已经被恰当地执行了 C、有正式的引用条款和保管会议纪要 D、由供应商在每次会议上简单介绍新趋势和产品 参考答案:C 在线 (处理) 系统环境下, 难以做到完全的职责分工时, 下面哪一个职责必须与其他 分开? 选项: A、数据采集和录入 B、授权/批准 C、记录 D、纠错 参考答案:Bhttp:/accatrainer/为降低成本、改善得到的服务,外包方应该
17、考虑增加哪一项合同条款? 选项: A、操作系统和硬件更新周期 B、与承包方分享绩效红利 C、严厉的违例惩罚 D、为外包合同追加资金 参考答案:B 达到评价 IT 风险的目标最好是通过 选项: A、评估与当前 IT 资产和 IT 项目相关的威胁 B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的 IT 控制薄弱点 参考答案:A 作为信息安全治理的成果,战略方针提供了: 选项: A、企业所需的安全要求 B、遵从最佳实务的安全基准 C、日常化、制度化的解决方案 D、风险暴露的理解 参考答案:A 在数据仓库中,能保证数据质量的是: 选项
18、: A、净化 B、重构 C、源数据的可信性 D、转换 参考答案:C 应用系统开发的责任下放到各业务基层,最有可能导致的后果是 选项: A、大大减少所需数据通讯 B、控制水平较低 C、控制水平较高 D、改善了职责分工http:/accatrainer/参考答案:B 以下哪一项是业务流程再造项目的第一步? 选项: A、界定检查范围 B、开发项目计划 C、了解所检查的流程 D、所检查流程的重组和简化 参考答案:A 企业由于人力资源短缺,IT 支持一直以来由一位最终用户兼职,最恰当的补偿性控制是: 选项: A、限制物理访问计算设备 B、检查事务和应用日志 C、雇用新 IT 员工之前进行背景调查 D、在
19、双休日锁定用户会话 参考答案:B 组织内数据安全官的最为重要的职责是: 选项: A、推荐并监督数据安全政策 B、在组织内推广安全意识 C、制定 IT 安全政策下的安全程序/流程 D、管理物理和逻辑访问控制 参考答案:A 执行应用控制审核的 IS 审计人员应评价: 选项: A、应用满足业务需求的效率 B、所有已发现的、暴露的影响 C、应用所服务的业务流程 D、应用的优化 参考答案:B 质量保证小组通常负责: 选项: A、确保从系统处理收到的输出是完整的 B、监督计算机处理任务的执行http:/accatrainer/C、确保程序、程序的更改以及存档符合制定的标准 D、设计流程来保护数据,以免被意
20、外泄露、更改或破坏 参考答案:C 由安全管理员负责的首选职责是: 选项: A、批准安全政策 B、测试应用软件 C、确保数据的完整性 D、维护访问规则 参考答案:D 多用户网络环境下实现数据共享的基础在于程序间的通讯。 以下哪一项使得程序间通讯特性 的实施和维护变得更加困难? 选项: A、用户隔离 B、受控的远程访问 C、透明的远程访问 D、网络环境 参考答案:D IS 审计师在审计公司 IS 战略时最不可能: 选项: A、评估 IS 安全流程 B、审查短期和长期 IS 战略 C、与适当的公司管理人员面谈 D、确保外部环境被考虑了 参考答案:A 某零售企业的每个出口自动对销售定单进行顺序编号。
21、小额定单直接在出口处理, 而大额定 单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是: 选项: A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据 D、在生产机构对销售定单的编号顺序进行追踪和计算 参考答案:Ahttp:/accatrainer/以下哪一项是集成测试设施(ITF)的优势? 选项: A、它利用了实际的主文件,因此 IS 审计人员可以不审查源交易 B、定期测试不要求隔离测试过程 C、它验证应用系统并测试系统的持续运行 D、它不需要准备测试数据 参考答案:B 以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中? 选
22、项: A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限 参考答案:C IS 审计师应当使用以下哪种报告来检查遵守服务层次协议(SLA)有关可用时间的要求? 选项: A、利用情况报告 B、硬件故障报告 C、系统日志 D、可用性报告 参考答案:D 对于数据库管理而言,最重要的控制是: 选项: A、批准数据库管理员(DBA)的活动 B、职责分工 C、访问日志和相关活动的检查 D、检查数据库工具的使用 参考答案:B 为评估软件的可靠性,IS 审计师应该采取哪一种步骤? 选项: A、检查不成功的登陆尝试次数 B、累计指定执行周期内的程序出错数目 C、测定不同请求的反应时间 D、约见
23、用户,以评估其需求所满足的范围http:/accatrainer/参考答案:B 在审核组织的系统开发方法学时,IS 审计人员通常首先执行以下哪一项审计程序? 选项: A、确定程序的充分性 B、分析程序的效率 C、评价符合程序的程度 D、比较既定程序和实际观察到的程序 参考答案:D 在业务流程重组(BPR)的哪一个步骤,待测定的团队应访问、参观基准伙伴? 选项: A、观察 B、计划 C、分析 D、调整 参考答案:A 企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期 (SDLC)中设计和开发阶段,就被置换为: 选项: A、挑选和配置阶段 B、可行性研究和需求定义阶段 C
24、、实施和测试阶段 D、 (无,不需要置换) 参考答案:A 某 IS 审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应 用即将投入运行时,以下哪一项可以为公司资产的保护提供最合理的保证? 选项: A、由内部审计人员进行一次审核 B、由指定的 IS 审计人员进行一次审查 C、由用户规定审核的深度和内容 D、由另一个同等资历的 IS 审计人员进行一次独立的审查 参考答案:D 如下,哪一项是时间盒管理的特征? 选项: A、它不能与原型开发或快速应用开发(RAD)配合使用http:/accatrainer/B、它回避了质量管理程序(或流程)的要求 C、它能避免预算超支和工期延后
25、 D、它分别进行系统测试和用户验收测试 参考答案:C 随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因 是: 选项: A、用户参与不足 B、项目此理早期撤职 C、不充分的质量保证(QA)工具 D、没有遵从既定的已批准功能 参考答案:A 在实施某应用软件包时,以下哪一项风险最大? 选项: A、多个未受控制的软件版本 B、源程序和目标代码不同步 C、参数设置错误 D、编程错误 参考答案:C 集线器(HUB)设备用来连接: 选项: A、两个采用不同协议的 LANs B、一个 LAN 和一个 WAN C、一个 LAN 和一个 MAN(城域网) D、一个 LAN 中的两个
26、网段 参考答案:D IS 管理层建立变更管理程序的目的是: 选项: A、控制应用从测试环境向生产环境的移动 B、控制因忽略了未解决的问题而导致的业务中断 C、保证在灾难发生时业务操作的不间断 D、检验系统变更已得到适当的书面的记录 参考答案:Ahttp:/accatrainer/以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行? 选项: A、单元测试 B、压力测试 C、回归测试 D、验收测试 参考答案:A 在审计系统开发项目的需求阶段时,IS 审计人员应: 选项: A、评估审计足迹的充分性 B、标识并确定需求的关键程度 C、验证成本理由和期望收益 D、确保控制规格已经定义 参考答案:D
27、 评估数据库应用的便捷性时,IS 审计师应该验证: 选项: A、能够使用结构化查询语言(SQL) B、与其他系统之间存在信息的导入、导出程序 C、系统中采用了索引(Index) D、所有实体(entities)都有关键名、主键和外键 参考答案:A 软件开发的瀑布模型,用于下面的哪一种情况时最为适当的? 选项: A、理解了需求,并且要求需求保持稳定,尤其是开发的系统所运行的业务环境没有变化 或变化很小 B、需求被充分地理解,项目又面临工期压力 C、项目要采用面向对象的设计和编程方法 D、项目要引用新技术 参考答案:A IS 审计师正在检查开发完成的项目,以确定新的应用是否满足业务目标的要求。下面
28、哪类 报告能够提供最有价值的参考? 选项: A、用户验收测试报告 B、性能测试报告 C、开发商与本企业互访记录(或社会交往报告)http:/accatrainer/D、穿透测试报告 参考答案:A 假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪? 选项: A、星型 B、总线 C、环型 D、全连接 参考答案:A 项目开发过程中用来检测软件错误的对等审查活动称为: 选项: A、仿真技术 B、结构化走查 C、模块化程序设计技术 D、自顶向下的程序构造 参考答案:B TCP/IP 协议簇包含的面向连接的协议处于: 选项: A、传输层 B、应用层 C、物理层 D、网络层 参考答案
29、:A 当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时,IS 审计人员首先应 关注的是: 选项: A、用户可能更愿意使用预先制作的测试数据 B、可能会导致对敏感数据的非授权访问 C、错误处理可信性检查可能得不到充分证实 D、没有必要对新流程的全部功能进行测试 参考答案:B 以下哪一个群体应作为系统开发项目及结果系统的拥有者? 选项:http:/accatrainer/A、用户管理层 B、高级管理层 C、项目指导委员会 D、系统开发管理层 参考答案:A 以下哪一项根据系统输入、输出及文件的数量和复杂性来测算系统的规模? 选项: A、程序评估审查技术(PERT) B、快速应用开发(RA
30、D) C、功能点分析(FPA) D、关键路径法(CPM) 参考答案:C IS 审计人员在应用开发项目的系统设计阶段的首要任务是: 选项: A、商定明确详尽的控制程序 B、确保设计准确地反映了需求 C、确保初始设计中包含了所有必要的控制 D、劝告开发经理要遵守进度表 参考答案:C 对于测试新的、修改的或升级的系统而言,为测试其(处理)逻辑,创建测试数据时,最重 要的是: 选项: A、为每项测试方案准备充足的数据 B、实际处理中期望的数据表现形式 C、按照计划完成测试 D、对实际数据进行随机抽样 参考答案:B 在契约性协议包含源代码第三方保存契约(escrow)的目的是: 选项: A、保证在供应商
31、不存在时源代码仍然有效 B、允许定制软件以满足特定的业务需求 C、审核源代码以保证控制的充分性 D、保证供应商已遵从法律要求 参考答案:Ahttp:/accatrainer/IS 审计人员应在系统开发流程的哪一个阶段首次提出应用控制的问题? 选项: A、构造 B、系统设计 C、验收测试 D、功能说明 参考答案:D 为赶项目工期,而增加人手时,首先应该重新核定下面的哪一项? 选项: A、项目预算 B、项目的关键路径 C、剩余任务的(耗时)长短 D、指派新增的人手支做其工作 参考答案:B 以下哪一项是数据仓库设计中最重要的因素? 选项: A、元数据的质量 B、处理的速度 C、数据的变动性 D、系统
32、弱点 参考答案:A 在检查基于 WEB 的软件开发项目时,IS 审计师发现其编程没遵循适当的编程标准,也没有 认真检查这些源程序。这将增加如下哪一类攻击得手的可能性? 选项: A、缓冲器溢出 B、暴力攻击 C、分布式拒绝服务攻击 D、战争拨号攻击 参考答案:A 在因特网应用中使用小应用程序(applets)的最有可能的解释是: 选项: A、它是从服务器跨网络发送 B、服务器不能运行程序且输出不能跨网络发送 C、它可同时改进 WEB 服务器和网络的性能http:/accatrainer/D、它是一种通过 WEB 浏览器下载并在客户机的 WEB 服务器上运行的 JAVA 程序 参考答案:C 如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于: 选项: A、项目需求定义阶段 B、项目可行性研究阶段 C、项目详细设计阶段 D、项目编程阶段 参考答案:B 以下哪一项是程序评估审查技术(PERT)相对于其它技术的优势?PERT: 选项: A、为规划和控制项目而考虑了不同的情景 B、允许用户输入程序和系统参数 C、准确地测试系统维护流程 D、估计系统项目的成本 参考答案:A 对各业务部门实施控制自我评估最为有效的是: 选项: A、非正式的个人自我检查 B、引导式研讨会 C、业务流描述 D、数据流程图
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 