CISA 2014年历年真题回忆汇编

C. 业务部门经理 D. 应用程序员

当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道： A. 当数据流通过系统时，其作用的控制点 B. 只和预防控制和检查控制有关 C. 纠正控制只能算是补偿

D. 分类有助于审计人员确定哪种控制失效

审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用 户或系统行为异常。下列哪些工具最适合从事这项工作? A. 计算机辅助开发工具（case tool） B. 嵌入式（embedded）数据收集工具

C. 启发扫描工具（heuristic scanning tools） D. 趋势/变化检测工具

在应用程序开发项目的系统设计阶段，审计人员的主要作用是： A. 建议具体而详细的控制程序 B. 保证设计准确地反映了需求

C. 确保在开始设计的时候包括了所有必要的控制 D. 开发经理严格遵守开发日程安排

下面哪一个目标控制自我评估(CSA)计划的目标? A. 关注高风险领域 B. 替换审计责任 C. 完成控制问卷

D. 促进合作研讨会 Collaborative facilitative workshops

利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证： A. 充分保护信息资产

B. 根据资产价值进行基本水平的保护 C. 对于信息资产进行合理水平的保护

D. 根据所有要保护的信息资产分配相应的资源

审计轨迹的主要目的是： A. 改善用户响应时间

B. 确定交易过程的责任和权利 C. 提高系统的运行效率

D. 为审计人员追踪交易提供有用的资料

对于组织成员使用控制自我评估(CSA)技术的主要好处是： A. 可以确定高风险领域，以便以后进行详细的审查 B. 使审计人员可以独立评估风险 C. 可以作来取代传统的审计

D. 使管理层可以放弃relinquish对控制的责任

下列哪一种在线审计技术对于尽早发现错误或异常最有效? A. 嵌入审计模块

B. 综合测试设备Integrated test facility C. 快照sanpshots D. 审计钩Audit hooks

审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师： A. 在应用系统开发过程中，实施了具体的控制 B. 设计并嵌入了专门审计这个应用系统的审计模块 C. 作为应用系统的项目组成员，但并没有经营责任 D. 为应用系统最佳实践提供咨询意见

审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是： A. 经理助理有舞弊行为 B. 不能肯定无疑是谁做的 C. 肯定是经理进行舞弊 D. 系统管理员进行舞弊

为确保审计资源的价值分配给组织价值最大的部分，第一步将是：

A. 制定审计日程表并监督花在每一个审计项目上的时间 B. 培养审计人员使用目前公司正在使用的最新技术 C. 根据详细的风险评估确定审计计划 D. 监督审计的进展并开始成本控制措施

审计师在评估一个公司的网络是否可能被员工渗透，其中下列哪一个发现是审计师应该最重视的？ A. 有一些外部调制解调器连接网络 B. 用户可以在他们的计算机上安装软件 C. 网络监控是非常有限的

D. 许多用户帐号的密码是相同的

下列哪一项能够最好的保证防火墙日志的完整性？ A. 只授予管理员访问日志信息的权限 B. 在操作系统层获取日志事件

C. 在不同的存储介质中写入两套日志

D. 将日志信息传送到专门的第三方日志服务器

在安全治理框架中实施安全规划最主要的好处是： A. 实 IT 活动与信息系统审计建议的匹配 B. 加强安全风险管理

C. 实施首席信息安全官(CISO)的建议 D. 减少IT 安全的成本

在执行客户关系管理系统(CRM)迁移项目的审计时，以下哪一项最值得审计师关注： A. 技术迁移计划于长假前的周五进行，但时间过短无法完成全部任务 B. 执行测试的员工担心新系统中的数据与老系统中的完全不同

C. 计划执行单独实施(a single implementation is planned) ，实施后立即停止老系统 D. 离预定日期还有五周，但是新系统软件的打印功能仍存在大量缺陷

以下哪一项能够有效验证交易的发起者： A. 在发起者和接收者之间使用密码 B. 使用接收者的公钥加密交易 C. 使用PDF 格式封装交易内容

D. 使用发起者的私钥对交易进行数字签名

在执行灾难恢复测试时，信息系统审计师注意到灾难恢复站点服务器的运行速度缓慢，为了找到根本原因，信息系统审计师应该首先检查：

A. 灾难恢复站点的错误事件报告 B. 灾难恢复测试计划 C. 灾难恢复计划(DRP)

D. 主站点和灾难恢复站点的配置和校正(configurations and alignment)

在审查IT 灾难恢复测试时，下列问题中哪个最应引起IS 审计师的关注

A.由于有限的测试时间窗，仅仅测试了最必须的系统。其它系统在今年的剩余时间里陆续单独测试 B.在测试过程中，注意到有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败 C. 在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D.每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复计划文档

IS 审计师正在审查 个组织的物理安全措施。关于门卡 （访问卡） access card系统，IS审计师最应关注： A. 未标明名字的nonpersonalized门卡给授予清洁工，清洁工使用签到表，但没有出示任何身份证明 B. 门卡上没有表明组织的名字和地址以方便丢失后及时归还

C. 门卡的发放和权限管理由多个部门负责，导致不必要的新卡领用时间 D. 制作门卡的计算机系统在系统失败后在三周后才能恢复

下列哪一项是自我评估控制 CSA的关键好处？

A. 支持业务目标的内部控制的所有权管理 management ownership被强化 B. 当评估结果被外部审计使用时，可以减少审计费用

C. 由于内部业务的员工参与控制测试，提高舞弊察觉能力 D. 利用评估结果，内部审计师能够转换为一项咨询方案

在一次审计中，IS 审计师注意到该组织的业务连续性计划BCP没有充分强调在恢复过程中的信息保密性。 IS 审计师应该建议修改计划以包括：

A. 调用业务恢复程序时所要求的信息安全水平 B. 危机管理结构中信息安全的角色和责任 C. 信息安全资源要求

D. 为影响业务连续性安排的信息安全变更管理流程

当组织把客户信用审核系统外包给第三方服务供应商时，下列哪一项是IS审计师最重要的考虑？供应商应该 A. 符合或超过行业安全标准 B. 同意接受外部安全审查

C. 在服务和经验方面有 好的市场声誉 D. 遵守组织的安全政策

公司制定了关于用户禁止访问的网站类型的制度，以下那种是执行这一制度最有效的技术？ A. 状态检测防火墙 Stateful inspection firewall B. 网站内容过滤器 C. 网站缓存服务器 D. 代理服务器

IS 审计师正在审阅一个使用敏捷 Agile软件开发方法的项目，以下那一项是IS审计师希望发 的？ A. 使用基于过程的成熟度模型如能力成熟度模型 CMM B. 定期针对计划对任务层面的进程进行监控

C. 广泛使用软件开发工具来最大化团队的生产力

D. 反复 Postieration的审阅以识别可以为未来项目使用的经验

在审阅电脑处置流程时，以下哪条是信息系统审计师最应关注的问题？ A. 硬盘扇区被多次重写覆盖但在离开组织时没有被重新格式化。

B. 硬盘上的文件和文件夹被分别删除，并且硬盘在离开组织之前被格式化。 C. 硬盘在离开组织之前写保护应设定在特殊位置使硬盘处于不可读状态。

D. 硬盘的运输应由内部安全职员负责护送至附近的金属制定 收司，在那里硬盘将被登记然后粉碎处理。

IS审计师正在审阅一个基于软件的防火墙的配置。下列哪一项的设置最脆弱？该防火墙软件： A. 配置隐性否定规则作为规则库的最后规则 B. 安装在默认配置的操作系统上

C. 配置了允许或拒绝访问系统/ 网络的规则 D. 作为虚拟专用网的端点

IS 审计师完成了网络审计工作。以下哪项是最重大的逻辑安全发 ？ A. 网络工作站在不工作一段时间后不能自动关闭 B. 布线室未锁

C. 网络操作手册和文档没有被适当保护 D. 网络构架未配置不间断电源

以下哪一项通常是首席安全师(CSO)的责任？ A. 定期审阅和评估安全政策

B. 执行用户应用系统以及软件的测试和评估 C. 分配和废止用户对IT 资源的访问 D. 审批对数据和应用系统的访问

在两个公司合并后，来自两个公司的多元化自主发展的应用软件被一个新的通用平台取代。以下哪项是最重要的风险？ A. 项目管理和进程报告由外来的咨询公司整合

B. 替换由独立的项目组成，没有将资源分配整合为一个项目组管理方法 C. 每一个组织的资源的分配都是低效的，它们更适应合并前公司的系统

D. 新平台将会促使两个公司的业务领域转向新的工作流程，导致更广泛的培训需要

IT 审计师发现被禁用户在其被禁日起90 天内其账号将被停用，这与公司的IS 政策相符。IT审计师应当： A. 报告控制被有效地执行，因为账号在 司政策所规定的时间内被停用。 B. 验证用户访问权限的设置是基于最小权限原则

C. 建议修改 司的IS 政策，以确保在用户被禁用时及时停用其账号。 D. 建议定期审阅被禁账号的活动日志。

为降低网络钓鱼(phishing)所带来的风险，最有效的控制为： A. 集中式监控系统。

B. 在反病毒软件中为网络钓鱼添加数字签名。 C. 布在以太网中禁止网络钓鱼的政策。 D. 对所有用户进行网络安全培训。

信息系统审计师应该提出以下何种建议来保护存储在数据仓库的特殊敏感信息？ A. 实施列等级与行等级许可 B. 通过强密码增强用户身份认证

C. 将数据仓库构架成为subject matter-specific 数据库 D. 日志记录用户对数据仓库的访问

在一次人力资源审计过程中，信息系统审计师发 在HR 与IT 部门之间就IT服务的期望水平达成了口头协议，在这种情况下，信息系统审计师应该首先采取什么行动？ A. 延迟审计直到协议明文记载

B. 将非明文记载的协议情况上报高级管理层 C. 同双方部门确认协议的内容

D. 为双方部门草拟一份服务水平协议

信息系统管理部门目前正在考虑实施一个VoIP网络，以此来缩减通讯和管理的成本，并请信息系统审计师评估安全控制的适当性。下面哪一个安全措施是最合适的？ A. 审查，并在关键之处升级防火墙的性能 B. 安装调制解调器允许远程维护支持访问

C. 创建一个单独的物理网络来处理VoIP 的传输

D. 重新定向所有的VoIP 的传输以允许认证信息的明文记录

项目计划用18 个月完成，此项目经理宣布项目处于一个健康的财务状态，因为在6个月后只使用了六分之一的预算。信息系统审计师应当首先确定：

A. 与计划相比，有多少的步骤已经完成 B. 项目预算是否能被削减

C. 项目是否能比计划提前完成

D. 节省下来的预算是否能被用于扩大项目范围

在检查数字证书认证程序中，以下的哪个发 暴露出了最严重的风险？ A. 没有注册中心汇报密钥泄漏 B. 证书废止列表不是最新的

C. 数字证书中包含一个用于加密信息和鉴别数字签名的公钥 D. 订购者向认证中心汇报密钥泄漏

信息安全审计师正在对远程管理的服务器备份进行审计工作。审计师审核了一天的日志，发出了登陆服务器失败后备份重启无法确认的情况。此时审计师应该如何做？ A. 发表一个审计发

B. 从信息安全管理层那里寻找解释 C. 审核服务器上的数据分类 D. 扩大审核的日志样本量

信息安全审计师发，对于产品收益，一个企业组织的财务部和市场部分别给出了不同的报告结果。深入的调查表明两个部门所使用的产品定义是不同的。审计师应该提出怎样的建议？ A. 在所有报告发布到生产前使用 (UAT) B. 实施有组织的数据管理方法 C. 使用标准的软件工具来出报告 D. 对于新报告要求管理层签字

一个信息安全审计师可以通过审核以下哪个来验证一个企业的业务持续性（BCP）计划是有效的： A. 最好业务情况下的BCP 基准

B. 由信息安全人员和终端用户执行的业务持续性测试结果 C. 异地设备，它的容量，安全和环境控制。

D. BCP 相关活动的年财务成本和BCP 计划实施后的预期收益对比

通常，在一个项目的启动初期下列哪类利益相关者 stakeholders的加入是必不可少的？ A. 系统拥有者 B. 系统使用者 C. 系统设计者 D. 系统建立者

审计师发在一个新的业务智能项目中，时间限制和扩大的需求是企业数据定义标准犯规的根源。下列哪个是审计师应该提出的最为合适的建议？

A. 通过增加投入项目的资源来达到标准基线。 B. 在项目完成后核准数据定义标准 C. 推延项目直到达标

D. 通过对犯规者采用惩罚性方法来强制达标

已建立IT 灾难恢复方案并定期执行的中等规模企业，制定了一个业务持续计划。此计划的纸上推演已成功完成。作为信息系统审计师，为了验证此计划的完备性，接下来应采用下列哪种测试？ A. 重新安排所有部门，包括IT 部门，对事故点进行全面测试 B. 对一系列预定义的涉及所有关键职员的场景进行穿行测试 C. 对关键业务系统进行包括业务部门参与的IT 灾难恢复测试 D. 对一个IT 有限参与的场景进行功能测试