注册信息安全审核员(CISA)
-
1、
下面哪一条措施不能防止数据泄漏?()
-
2、
软件的盗版是一个严重的问题。在下面哪一种说法中反盗版的政策和实际行为是矛盾的?()
-
3、
如果一台便携式计算机丢失或被盗,管理人员最关注的是机密信息是否会暴露。要保护存放在便携式计算机上的敏
-
4、
IS审计师检查日志文件中的失败登陆的尝试,那么,最关注的账号是()
-
5、
长远来看,最有可能改善安全事件反应程序的选项是()
-
6、
下面哪一种关于安全的说法是不对的?()
-
7、
在公共密钥加密系统中,注册中心(RA,RegistrationAuthority)负责()
-
8、
以下哪一项属于所有指令均能被执行的操作系统模式?()
-
9、
企业将其技术支持职能(helpdesk)外包出去,下面的哪一项指标纳入外包服务等级协议(SLA)是最
-
10、
IS审计师检查组织的数据文件控制流程时,发现交易事务使用的是最新的文件,而重启动流程使用的是早期版本
-
11、
将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?()
-
12、
审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性?()
-
13、
测试程序变更管理流程时,IS审计师使用的最有效的方法是()
-
14、
分布式环境中,服务器失效带来的影响最小的是()
-
15、
实施防火墙最容易发生的错误是()
-
16、
为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查()
-
17、
数据库规格化的主要好处是()
-
18、
以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为电子格式?()
-
19、
代码签名的目的是确保()
-
20、
检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定()
-
21、
企业正在与厂商谈判服务水平协议(SLA),首要的工作是()
-
22、
电子商务环境中降低通讯故障的最佳方式是()
-
23、
以下哪一项措施可最有效地支持24/7可用性?()
-
24、
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深
-
25、
以下哪一项是图像处理的弱点?()
-
26、
在信息系统审计中,关于所收集数据的广度的决定应该基于()。
-
27、
为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项?()
-
28、
在审查一个大型数据中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下
-
29、
以下哪一种系统性技术可被财务处理公司用来监控开支的构成模型并鉴别和报告异常情况?()
-
30、
大学的IT部门和财务部(FSO,financialservicesoffice)之间签有服务水平协议
-
31、
在检查广域网(WAN)的使用情况时,发现连接主服务器和备用数据库服务器之间线路通讯异常,流量峰值达到
-
32、
以下哪一类设备可以延伸网络,具有存储数据帧的能力并作为存储转发设备工作?()
-
33、
在评估计算机预防性维护程序的有效性和充分性时,以下哪一项能为IS审计人员提供最大的帮助?()
-
34、
用于监听和记录网络信息的网络诊断工具是()
-
35、
对以下哪一项的分析最有可能使IS审计人员确定有未被核准的程序曾企图访问敏感数据?()
-
36、
有效的IT治理要求组织结构和程序确保()
-
37、
质量保证小组通常负责()
-
38、
企业打算外包其信息安全职能,那么其中的哪一项职能不能外包,只能保留在企业内?()
-
39、
在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序员,IS审计师应推荐如下
-
40、
一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人员最有可能集中检查()
-
41、
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构
-
42、
以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中?()
-
43、
IS战略规划应包含()
-
44、
达到评价IT风险的目标最好是通过()
-
45、
在确认是否符合组织的变更控制程序时,以下IS审计人员执行的测试中哪一项最有效?()
-
46、
以一哪项功能应当由应用所有者执行,从而确保IS和最终用户的充分的职责分工?()
-
47、
在以下何种情况下应用系统审计踪迹的可靠性值得怀疑?()
-
48、
对于数据库管理而言,最重要的控制是()
-
49、
IT治理的目标是保证IT战略符合以下哪一项的目标?()
-
50、
数据编辑属于()
-
51、
业务流程再造(BPR)项目最有可能导致以下哪一项的发生?()
-
52、
IS审计师发现不是所有雇员都了解企业的信息安全政策。IS审计师应当得出以下哪项结论()
-
53、
数据管理员负责()
-
54、
许多组织强制要求雇员休假一周或更长时间,以便()
-
55、
对IT部门的战略规划流程/程序的最佳描述是()
-
56、
开发一个风险管理程序时进行的第一项活动是()
-
57、
在审核某业务流程再造(BPR)项目时,以下审计人员要评价的项目中哪一项最重要?()
-
58、
数据库管理员负责()
-
59、
IS审计师复核IT功能外包合同时,应当期望它定义()
-
60、
IS审计师发现被审计的企业经常举办交叉培训,那么需要评估如下哪一种风险?()
-
61、
应用系统开发的责任下放到各业务基层,最有可能导致的后果是()
-
62、
可以降低社交工程攻击的潜在影响的是()
-
63、
企业资源规划中的总帐设置功能允许设定会计期间。对此功能的访问被授予财务、仓库和订单录入部门的用户。这
-
64、
IT治理确保组织的IT战略符合于()
-
65、
以下哪一项最好地描述了企业生产重组(ERP)软件的安装所需要的文档?()
-
66、
实施下面的哪个流程,可以帮助确保经电子数据交换(EDI)的入站交易事务的完整性?()
-
67、
评估数据库应用的便捷性时,IS审计师应该验证()
-
68、
以下哪一项有利于程序维护?()
-
69、
软件开发项目中纳入全面质量管理(TQM,totalqualitymanagemnet)的主要好处是(
-
70、
随着应用系统开发的进行,很明显有数个设计目标已无法实现最有可能导致这一结果的原因是()
-
71、
一个通用串行总线(USB)端口()
-
72、
集线器(HUB)设备用来连接()
-
73、
对于确保非现场的业务应用开发的成功,下面哪一个是最佳选择?()
-
74、
审计软件采购的需求阶段时,IS审计师应该()
-
75、
为评估软件的可靠性,IS审计师应该采取哪一种步骤?()
-
76、
IS审计人员在应用开发项目的系统设计阶段的首要任务是()
-
77、
企业最终决定直接采购商业化的软件包,而不是开发。那么,传统的软件开发生产周期(SDLC)中设计和开发
-
78、
在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序?()
-
79、
用户对应用系统验收测试之后,IS审计师实施检查,他(或她)应该关注的重点()
-
80、
IS审计师正在检查开发完成的项目,以确定新的应用是否满足业务目标的要求。下面哪类报告能够提供最有价值
-
81、
TCP/IP协议簇包含的面向连接的协议处于()
-
82、
如果已决定买进软件而不是内部自行开发,那么这一决定通常发生于()
-
83、
接收EDI交易并通过通讯接口站(stage)传递通常要求()
-
84、
假设网络中的一个设备发生故障,那么在下哪一种局域网结构更容易面临全面瘫痪?()
-
85、
通过评估应用开发项目,而不是评估能力成熟度模型(CMM),IS审计师应该能够验证()
-
86、
组织要捐赠一些本单位的旧计算机设备给希望小学,在运输这些捐赠品之前应该确保()
-
87、
在契约性协议包含源代码第三方保存契约(escrow)的目的是()
-
88、
项目开发过程中用来检测软件错误的对等审查活动称为()
-
89、
对于测试新的、修改的或升级的系统而言,为测试其(处理)逻辑,创建测试数据时,最重要的是()
-
90、
在审计系统开发项目的需求阶段时,IS审计人员应()
-
91、
以下哪一项面向对象的技术特征可以提高数据的安全级别?()
-
92、
软件开发的瀑布模型,用于下面的哪一种情况时最为适当的?()
-
93、
获得优质软件的最佳途径是()
-
94、
信息系统不能满足用户需求的最常见的原因是()
-
95、
用于IT开发项目的业务模式(或业务案例)文档应该被保留,直到()
-
96、
以下哪一项是采用原型法作为系统开发方法学的主要缺点?()
-
97、
制定基于风险的审计战略时,IS审计师应该实施风险评估,以确定()
-
98、
使用统计抽样流程有助于最小化()
-
99、
以下哪种抽样方法对符合性测试最有用?()
-
100、
通用审计软件(GAS)的主要用途是()
-
101、
测试程序的更改时,以下哪项是最适合作为总体来抽取样本?()
-
102、
在审查定义IT服务水平的过程控制时,信息系统审计师最有可能先与下列哪种人面谈()
-
103、
以下哪项应是IS审计师最为关注的()
-
104、
使用集成测试系统(ITF,或译为:整体测试)的最主要的缺点是需要()
-
105、
在建立连续在线监控系统时,IS审计师首先应该识别()
-
106、
审计章程应该()
-
107、
IS审计师参与应用系统开发,他们从事以下哪项可以导致独立性的减弱()
-
108、
IS审计师应该能识别并评估各种风险及潜在影响。以下哪项风险与绕过授权程序(后门)有关?()
-
109、
制订基于风险的审计程序时,IS审计师最可能关注的是()
-
110、
在不熟悉领域从事审计时,IS审计师首先应该完成的任务是()
-
111、
审计章程的主要目的是()
-
112、
确保审计资源在组织中发挥最大价值的首要步骤应该是()
-
113、
如下哪一类风险是假设被检查的方面缺乏补偿控制()
-
114、
风险分析的关键要素是()
-
115、
对于抽样而言,以下哪项是正确的?()
-
116、
数据库管理系统软件包不可能提供下面哪一种访问控制功能?()
-
117、
计算机舞弊行为可以被以下哪一条措施所遏制?()
-
118、
IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注?()
-
119、
能够最佳地提供本端服务器上的将处理的工资资料的访问控制的是()。
-
120、
数字签名可以有效对付哪一类电子信息安全的风险()。
-
121、
能够最佳地提供本地服务器上的将处理的工资资料的访问控制的是()。
-
122、
E-MAIL软件应用中验证数字签名可以()。
-
123、
每感染一个档就变体一次的恶意代码称为()。
-
124、
通常,黑客使用如下哪一种攻击手段时,会引起对互联网站点的分布式拒绝服务攻击(DDos)()。
-
125、
为保证主记录中的关键词段已被正确更新,最好采用下列哪一种办法()。
-
126、
下列哪一组高层系统服务可以提供对网络的访问控制()。
-
127、
企业里有个混合访问点不能升级其安全强度,而新的访问点具有高级无线安全特性。IS审计师建议用新的访问点
-
128、
检查入侵监测系统(IDS)时,IS审计师最关注的内容是()。
-
129、
银行的自动柜员机(ATM)是一种专门用于销售点的终端,它可以()。
-
130、
下面哪一种说法的顺序正确()。
-
131、
下列哪一种行为是互联网上常见的攻击形式()。
-
132、
内联网(Intranet)可以建立在一个组织的内部网络上,也可以建互联网(internet)上,上面
-
133、
在一个无线局域网环境下,能用来保证有效数据安全的技术是哪一种()。
-
134、
下面哪一种类型的反病毒软件是最有效的()。
-
135、
消息在发送前,用发送者的私钥加密消息内容和它的哈希(hash,或译作:杂选、摘要)值,能够保证()。
-
136、
对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为()。
-
137、
实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况有效性是最弱的()
-
138、
最有效的防病毒控制是()。
-
139、
组织的安全政策可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全政策()。
-
140、
在传输模式中,使用封装的安全载荷(ESP,EncapsulatingSecurityPayload)
-
141、
虚拟专用网(VPN)提供以下哪一种功能()。
-
142、
公共密钥体系(PKI)的某一组成要素的主要功能是管理证书生命周期,包括证书目录维护,证书废止列表维护
-
143、
非授权用户或外部人员(例如黑客)可以通过公共电话拨入网络,不断地尝试系统代码、用户身份识别码和口令来
-
144、
下面哪一种方法在保护系统免受非授权人员的访问时可以提供最高级安全()。
-
145、
无线局域网比有线局域网在哪方面具有更大的风险()。
-
146、
对于一个独立的小型商业计算环境而言,下列哪一种安全控制措施是最有效的()。
-
147、
软件编程人员经常会生成一个直接进入程序的入口,其目的是进行调试和(或)日后插入新的程序代码。这些入口
-
148、
下面哪一种安全技术是鉴别用户身份的最好的方法()。
-
149、
对公司内部网络实施渗透测试时,如下哪一种方法可以确保网络上的测试人始终不被发觉()。
-
150、
哪一个最能保证来自互联网internet的交易事务的保密性()。
-
151、
虚拟专用网(VPN)的资料保密性,是通过什么实现的()。
-
152、
下面的哪一种反垃圾过滤技术可以最大程度地避免正常的、长度不定的、内容里存在多处垃圾邮件关键词的电子邮
-
153、
下面哪一种属于网络上的被动攻击()。
-
154、
网络上数据传输时,如何保证数据的保密性()。
-
155、
生物测试安全控制设备的最佳量化性能测量指针是()。
-
156、
建立数据所有权关系的任务应当是下列哪一种人的责任()。
-
157、
重新配置下列哪一种防火墙类型可以防止内部用户通过文件传输协议(FTP)下载档()。
-
158、
下面哪一种安全措施可以允许调查人员有足够的反应时间()。
-
159、
处理计算机犯罪事件需要运用管理团队的方法,下面哪一个角色的职责是明确的()。
-
160、
从计算机安全的角度看,下面哪一种情况是社交工程的一个直接的例子()。
-
161、
在业务连续性计划(BCP)中,下面哪个求救电话目录是最重要的()。
-
162、
在提供备份计算机设备方面,下面哪一种情况是成本最低的()。
-
163、
业务连续性计划(BCP)的哪个部分,是企业IS部门的主要责任()。
-
164、
审计涵盖关键业务领域的灾难恢复计划时,IS审计师发现该计划没有包括全部系统。那么,IS审计师最为恰当
-
165、
一个组织的数据中心的成本是10000000美元,实际遭受损失的机率是万分之一。数据中心登记在册的价值
-
166、
局域网环境下与大型计算机环境下的本地备份方式有什么主要区别()。
-
167、
根据组织业务连续性计划的复杂程度,可以建立多个计划来满足业务连续和灾难恢复的各方面。在这种环境下,有
-
168、
在灾难发生期间,下列哪一种应用系统应当首先被恢复()。
-
169、
关于冷站的计算机设备的组成,下面哪一种说法不正确()。
-
170、
由于数据文件的损坏,存储在异地备份设备上的信息经常要恢复到本地站点(主计算机)上去,能快速简易地从备
-
171、
一家大型银行实施IT审计的过程中,IS审计师发现许多业务应用没有执行正规的风险评估,也没有确定其重要
-
172、
微型计算机上的软件和数据是否要保存到异地备份站点主要取决于()。
-
173、
企业目前磁带备份,每周一次全备份、每日一次增量备份的策略。最近,企业领导把磁带备份流程中增加了向磁盘
-
174、
审计BCP时,IS审计师发现尽管所有部门都位于同一栋大楼里,各部门还是制定了本部门的BCP。IS审计
-
175、
制订业务连续性计划时,下面哪一类工具可以用于了解各企业的业务流程()。
-
176、
制订业务连续性计划的第一步,也是必不可少的一步是()。
-
177、
下面哪一条是信息系统审计师主要考虑的问题()。
-
178、
IS审计师发现企业的业务连续性计划中选定的备用处理设施的处理能力只能达到现有系统的一半。那么,他/她
-
179、
在制定灾难恢复与应急计划时,下面哪一种情况不是正确的考虑()。
-
180、
能涵盖损失的最好的保险单类型是()。
-
181、
下面哪一种情况可以称为“灾难恢复计划”的最后手段()。
-
182、
如下哪一种情况下,网络数据管理协议(NDMP)可用于备份()。
-
183、
当一个组织在选择异地备份供货商时,对信息系统审计师来说,下列哪一种情况是最少考虑的()。
-
184、
IS审计师发现被审计的企业,各部门均制订了充分的业务连续性计划(BCP),但是没有整个企业的BCP。
-
185、
应急计划能应对下列哪一种威胁()。
-
186、
一声火灾蔓延到一个组织的机房场地,这个组织损失了所有的计算机系统。从前,这个组织最应该做的是()。
-
187、
当获得高层管理人员对灾难恢复计划的支持和制定计划所需资源的授权后,选择起草计划的人应当具有以下哪一种
-
188、
一旦业务功能发生变化,已打印的表格和其它备用资源都可能要改变。下面哪一种情况构成了对组织的主要风险(
-
189、
一个职员为一个贷款主文件修改利率,这个利率已经超过这笔贷款的正常范围,为确保这项变动经过授权,下面那
-
190、
一个公司最近加固所购买的系统加入到EDI交换系统。在EDI提供有效数据映射的界面,下面那一项控制应该
-
191、
如果预算有限的情况下,且一个区域内有多个办公场所,下列那一项是最适合的恢复策略()。
-
192、
组织将报废许多笔记本电脑,下列哪项数据清理方法最有效()。
-
193、
与使用检查点重起程序的相关的逻辑风险是()。
-
194、
IT平衡记分卡是IT治理工具,用于监测不同于()。
-
195、
当审计师注意到IDS日志中端口扫描内容没有被分析,缺少这种分析最有可能增加下列那类攻击成功带来的风险
-
196、
当审计访问权限时,审计师应该合理怀疑下列哪项分配给计算机操作员的权限()。
-
197、
信息安全方针描述了”密码显示必须用暗文或者禁止“,这一点防范了下列哪种攻击方法()。
-
198、
使电子邮件中数字签名有效将()。
-
199、
在关系数据库维护期间,许多事务表中外键的值被破坏了了,后果是()。
-
200、
当系统为了验收测试而再次提交对以往发现问题的修订时,许多的系统错误会出现。这会表明维护小组没有充分执
-
201、
下面哪一个是网络性能监测工具带来的最直接的好处()。
-
202、
在进行业务持续审计的时候,审计师发现业务持续计划仅仅覆盖到了关键流程,那么审计师应该()。
-
203、
IT治理的职责取决于()。
-
204、
系统资源的命名规则对于访问控制非常重要,是因为它()。
-
205、
IT战略计划如果缺少高级管理层的认定,最可能带来的影响是()。
-
206、
下列哪项是在审计计划中基于风险方法的好处?审计()。
-
207、
代码标记的目的是为了提供什么保证()。
-
208、
试图去控制像用密钥卡或者锁的计算机房这样敏感区域的物理访问所带来的风险是()。
-
209、
组织把帮助平台外包出去,下面哪个指标最好包含在服务级别协议里面()。
-
210、
下面用于使用实际资源模仿系统事故对持续性计划进行测试的方法中,对于获得计划有效性的证据,哪个最具有成
-
211、
IT控制目标对审计师来说很有用,因为他们提供了理解下面什么的基础()。
-
212、
审计师的决策和做法最可能影响下面哪种风险()。
-
213、
检查硬件维护程序。审计师应该评估是否()。
-
214、
为了防止未授权进入拨号和快速反应系统中的数据。审计人员应该建议()。
-
215、
从风险管理的观点来看,部署庞大且复杂的IT架构,哪种途径最好()。
-
216、
神经网络在检测欺骗入侵的时候是有效的,因为他们能够()。
-
217、
因为调整的需要必须要保留很长一段时间的敏感数据备份解决方案,哪项是最重要的评估标准()。
-
218、
用户被分发了安全令牌用来与PIN联合使用访问组织的虚拟专用网络。对于PIN来说,包含在安全策略里面最
-
219、
哪项为事先加强安全设定提供了最相关的信息().
-
220、
下面哪项将会帮助检测到入侵者在服务器系统日志里做过改动()。
-
221、
在生成数据对新的或者更改过的应用程序系统进行逻辑测试时,以下哪些是最关键的()。
-
222、
推行专家系统的最大好处是()。
-
223、
从控制观点出发,工作说明书的关键要素是他们()。
-
224、
在实施IT平衡记分卡时,组织必须()。
-
225、
某公司决定建立一套基于KPI(公钥基础设施)的电子签名系统。用户的密钥将会被存储在个人计算机的硬盘中
-
226、
在对业务连续性计划进行审计时,信息系统审计师发现尽管所有的部门都在同一座大楼中(办公),但各个部门有
-
227、
生物测量系统的精确度指标是()。
-
228、
以下哪一项是使用计算机取证软件来作为调查(工具)的主要优势()。
-
229、
以下哪一种是入侵检测系统监控网络中流量和活动的常用方式,并建立一个数据库()。
-
230、
审计业务连续性战略时,信息系统审计师与组织中的关键的利益相关者面谈来了解他们对自己(B.C.P中的)
-
231、
在设计一个新系统时设立一个中断或冻结点的原因是()。
-
232、
一位信息系统审计师在检查IT安全风险管理程序,安全风险的测量应该()。
-
233、
在审计的计划中,最关键的一步为识别()。
-
234、
一套合理有效的信息安全策略最有可能包含以下哪一类(控制)程序来处理可疑的入侵()。
-
235、
通过传输每个字符或数据帧的冗余信息来检测或纠正(传输)错误被称作为()。
-
236、
以下哪一项提供了设计和开发逻辑访问控制的架构()。
-
237、
以下哪一项对于备份信息处理设施的生存能力来说是必须存在的()。
-
238、
当传输一个支付指令时,以下哪一项可用来帮助校验该指令不是被复制的()。
-
239、
认证授权(C.A.)作为一个第三方在通讯过程中所起的作用是()。
-
240、
在正式结束审计前,审计会议的最主要目的是()。
-
241、
信息系统审计师在一个客户/服务器环境下评审访问控制时,发现用户能接触所有打印选项,在这种情况下,信息
-
242、
从终端发出的电磁辐射意味着泄漏,因为他们()。
-
243、
下列哪一种生物测定有最高的可靠性和最低的误接受率()。
-
244、
在电子商务环境下,最小化通讯失败风险的最好方法应该是使用()。
-
245、
为信息系统备份文件的异地储存设备选择一个场所,哪项是最重要的标准()。这个异地设备必须()。
-
246、
为开发一个成功的业务持续性计划,在下列哪个阶段,最终用户的参与是最关键的()。
-
247、
一旦业务功能发生变化,已打印的表格和其他备用资源都可能要改变。下面哪一种情况构成了对组织的主要风险(
-
248、
以下哪一项属于所有指令均能被执行的作业系统模式()。
-
249、
企业将其技术支持职能(helpdesk)外包出去,下面的哪一项指标纳入外包服务等级协定(SLA)是最
-
250、
IS审计师检查组织的资料档案控制流程时,发现交易事务使用的是最新的档,而重启动流程使用的是早期版本,
-
251、
将输出结果及控制总计和输入资料及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用()。
-
252、
审计客户/服务器数据库安全时,IS审计师应该最关注于哪一方面的可用性()。
-
253、
分散式环境中,服务器失效带来的影响最小的是()。
-
254、
实施防火墙最容易发生的错误是()。
-
255、
确定异构环境下跨平台的资料访问方式,IS审计师应该首先检查()。
-
256、
在数据库应用系统的需求定义阶段,性能被列为优先要求。访问数据库管理系统(DBMS)文件时,推荐采用如
-
257、
WEB服务器的逆向代理技术用于如下哪一种情况下()。
-
258、
IS审计师分析数据库管理系统(DBMS)的审计日志时,发现一些事务(transactions)只执行
-
259、
规划并监控计算机资源,以确保其得到有效利用的是()。
-
260、
企业正在与厂商谈判服务水平协定(SLA),首要的工作是()。
-
261、
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深
-
262、
以下哪一项是图像处理的弱点()。
-
263、
某IS审计人员需要将其微机与某大型机系统相连,该大型机系统采用同步块资料传输通讯,而微机只支援异步A
-
264、
为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项()。
-
265、
在审查一个大型资料中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下
-
266、
大学的IT部门和财务部(FSO,financialservicesoffice)之间签有服务水平协定
-
267、
以下哪一类设备可以延伸网络,具有存储资料帧的能力并作为存储转发设备工作()。
-
268、
能力计划流程的关键目标是确保()。
-
269、
以下哪一项是针对部件通讯故障/错误的控制()。
-
270、
执行应用控制审核的IS审计人员应评价()。
-
271、
在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序师,IS审计师应推荐如下
-
272、
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构
-
273、
资料管理员负责()。
-
274、
实施下面的哪个流程,可以帮助确保经电子资料交换(EDI)的入站交易事务的完整性()。
-
275、
一个通用串列总线(USB)埠()。
-
276、
TCP/IP协定簇包含的面向连接的协定处于()。
-
277、
接收EDI交易并通过通讯界面站(stage)传递通常要求()。
-
278、
以下哪一项面向物件的技术特征可以提高资料的安全级别()。
-
279、
软件发展的瀑布模型,用于下面的哪一种情况时最为适当的()。
-
280、
在审查定义IT服务水平的程序控制时,信息系统审计师最有可能先与下列哪种人面谈()。
-
281、
数据库管理系统套装软件不可能提供下面哪一种访问控制功能()。
-
282、
E-MAIL软件应用中验证数位签名可以()。
-
283、
通常,黑客使用如下哪一种攻击手段时,会引起对互联网站点的分散式拒绝服务攻击(DDos)()。
-
284、
为保证主记录中的关键字段已被正确更新,最好采用下列哪一种办法()。
-
285、
在一个无线局域网环境下,能用来保证有效资料安全的技术是哪一种()。
-
286、
一个公司正在实施控制自我评估项目,审计师应该作为什么角色参与()。
-
287、
一个用户的行为可以被下列那种方式正确地记录和追溯责任()。
-
288、
在基于风险审计做计划时,以下哪一步最关键()。
-
289、
审计痕迹的主要目的()。
-
290、
下列哪种风险说明了与程序的陷门有关的风险()。
-
291、
对公司信息系统做审计时,审计师的第一步工作应该是()。
-
292、
当审计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险()。
-
293、
实施连续审计方法的最重要的优点是()。
-
294、
审计师发现控制存在小弱点,例如弱口令或者监控报告比较差,审计师最恰当的行动是()。
-
295、
使用测试数据验证交易处理的最大挑战是()。
-
296、
开发组织政策的自底向上法通过()。
-
297、
关于不恰当的职责分离,审计师的主要责任是()。
-
298、
信息资产足够的安全措施的责任属于()。
-
299、
审计师观察到不存在恰当的项目批准流程,他应该()。
-
300、
在审计第三方服务提供商时,审计师应该关注()。
-
301、
在IS战略审计中,以下那项是审计师考虑最不重要的()。
-
302、
下列哪项在评价信息系统战略时最重要()。
-
303、
网络管理员最不应该与下列哪个角色共享责任()。
-
304、
在审计信用卡支付系统时,下列哪种方法提供最好的保证信息被正确地处理()。
-
305、
一个公司由于目前合同到期在考虑采用新的ISP(Internet接入服务商)。从审计的角度以下哪项最需
-
306、
在主机计算环境,通常由操作员来负责将软件和数据文件定期备份。在分布式和协作式的系统中,承担备份责任的
-
307、
下列哪些手续可以增强信息系统操作部门的控制结构()。I.定期轮换操作人员。II.强制休假。III.控
-
308、
以下哪项提供了对平衡计分卡的最好的解释()。
-
309、
审计师为了审计公司的战略计划,以下哪项第一个检查()。
-
310、
下列哪项工作角色混合引起恶意行为发生的可能性最小()。
-
311、
一个公司在开发信息安全流程时要做的第一步是()。
-
312、
下列哪一个角色的任务是确保IT部门的工作与业务目标保持一致()。
-
313、
对于实施安全政策可问责(可追溯责任)非常重要。对于系统用户以下哪种控制在准确的可问责上最没有效果()
-
314、
一个公司外包其数据处理中心,可能的优点()。
-
315、
下列哪种计划包括了大约3年的远景()。
-
316、
下列哪项说明了企业架构enterprise architecture(EA)的目的()。
-
317、
下列说法满足信息系统安全官关于安全控制有效性的目标()。
-
318、
下列哪项提供最好的方法识别行为和规章之间的问题()。
-
319、
高级管理层对IT战略计划缺乏输入引起最可能的结果()。
-
320、
为了确保公司遵守隐私权要求,审计师应该首先审查()。
-
321、
在IT支持人员和最终用户的职责分离存在控制弱点时,下列哪项将成为合适的补偿性控制()。
-
322、
在小公司中职责分离可能不实际,一个雇员可能同时执行服务器操作员和应用程序员职责信息系统审计师应该建议
-
323、
审计师在审计员工离职控制,以下哪项在审查中最重要()。
-
324、
以下哪项在员工离职流程不正确()。
-
325、
以下哪项属于IT平衡计分卡的4个关键角度中的3个()。
-
326、
应该仔细监控打印服务器的离线打印缓存,以确保控制和预防对敏感信息的非授权访问下列哪项是审计师最关注的
-
327、
在审核防火墙配置时,审计师认为下列哪项是最大的脆弱性()。
-
328、
审计师寻求确保信息技术被有效率地使用以支持组织愿景和目标,保障信息的机密性、完整性和可用性下列哪种流
-
329、
在CMM中哪个层次通过定性度量能力结果()。
-
330、
审计师需要验证足够的软件许可证和许可证管理,下列哪项的审计会考虑软件许可证()。
-
331、
数据库“孤立参照”表示违反下列()。
-
332、
下列哪项最好的支持通讯可用性()。
-
333、
由于存在网络拥塞,减少冲突对于支持网络通讯可用性很重要下列哪种设备最适合逻辑上分割和基于OSI的第2
-
334、
下列哪种网络配置最好的支持可用性()。
-
335、
业务流程重组(BPR)的业务目的主要是()。
-
336、
为了调查与软件相关的影响响应时间的原因,审计师应该()。
-
337、
在审计新软件项目时,项目小组目前在定义用户需求,把建议的解决方案和用户需求匹配目前处于SDLC的哪个
-
338、
一个制造商正在开发一个新的数据库系统,该系统用来处理批量订单所生产的产品的有关数据工作人员每天要回答
-
339、
下列哪个领域经常面临微型计算机迅速发展所带来的风险()。1.备份和恢复2.应用程序开发成本3.记录的
-
340、
如果专家系统知识库不充分,将存在下列哪种风险()。
-
341、
一种用来保证程序的源代码和执行代码相一致的控制是()。
-
342、
某银行在其所有的重要信息系统项目中都采用系统开发命周期的概念目前该行正准备开始一个房贷业务系统的可行
-
343、
以下哪种关于电子邮件安全性的说法是正确的()。I.电子邮件不可能比它依赖的计算机系统更安全II.机密
-
344、
为了确保收到的商品与采购发票上的商品一致,计算机系统应该()。
-
345、
为保证生产环境程序库的安全,以下哪种方法最好()。
-
346、
关于EDI下列说法哪个最正确()。
-
347、
自动运行(lights-out)数据中心的主要目的是()。
-
348、
了解一个操作系统的安全配置的最佳方式是()。
-
349、
哪三件事情是在检查操作系统安全时认为是最重要的安全控制()。I.来自信任源的代码II.打开审计日志I
-
350、
从风险角度对数据库进行评估是很复杂的,因为()。
-
351、
在2段式提交数据库事务中,回滚过程发生于()。
-
352、
在检查安全包时,下面哪一项不被考虑作为一个调查设计()。
-
353、
下列哪一项在检查操作控制台系统实施时通常不会考虑()。
-
354、
在评估一个计算机硬件安装的项目中,下面哪一项不是你所希望找到的文档化的信息()。
-
355、
在检查通信系统维护过程时,下面哪一项是在确保客户满意度的审计目标时是最不关键的()。
-
356、
下面哪一项是IS审计师在进行PBX评估时要检查的()。I.确信外部免费拨入号码的访问被关掉II.确信
-
357、
下面哪一项不希望在因特网的DMZ中被发现()。
-
358、
当检查数据网络架构时,下面哪一项不是IS审计师的一个主要的检查标准()。
-
359、
在一个隔离的操作环境中,下面哪一个场景是期望看到的()。
-
360、
在检查岗位职责时什么是最重要的评估标准()。
-
361、
KPI的主要目的是什么()。
-
362、
在存储介质管理系统检查时,IS审计师没必要关心()。
-
363、
什么是变更控制系统中最重要的部分()。
-
364、
在变更控制检查期间紧急变更被识别时,IS审计师期望发现什么()。
-
365、
下列哪个问题管理系统的特征是IS审计师检查时最重要的()。I.所有的问题都被跟进直到产生结论II.所
-
366、
以下除哪一项外都是SLA的检查标准()。
-
367、
IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统与使用大型机相比,使用局域网和个人计算机
-
368、
公司用于侦察伪造的电子数据交换EDI信息的控制是()。
-
369、
组织的计算机帮助台HelpDesk功能通常由下列哪个部门负责()。
-
370、
磁带管理系统中的一项控制特征是其具备以下哪种能力()。
-
371、
在数据中心的物理设计过程中,下面哪一项是不合适的()。
-
372、
通过哪一项可以控制无效率地使用大量的计算机设备()。
-
373、
在WEB服务器的以下哪一项活动中引入的简单错误会导致最大的安全脆弱性()。
-
374、
电子签名与手写签名采用不同的使用方式,它们之间既有相同也有不同之处,以下哪一种描述是错误的()。
-
375、
建立在信任基础上,并且难以预防的最大风险是()。
-
376、
对任何计算机系统而言,最大的威胁来自()。
-
377、
以下哪一类问题与逻辑访问控制的关系最接近()。
-
378、
针对威胁、风险或损失,以下哪一类控制提供了第一道防线()。
-
379、
在对远程办公的安全规划中,应首先回答以下哪一个问题()。
-
380、
安全事件响应系统的最终目标是()。
-
381、
以下除哪一项外都将持续受到来自计算机病毒的威胁()。
-
382、
程序员经常为方便跟踪调试而在程序中植入一段代码或留下特定入口,这些入口点称为()。
-
383、
对加密算法最常见的攻击方式是()。
-
384、
以下哪一项安全特性和机制是由结构化查询语言(SQL)标准所规定的()。
-
385、
控制对网络的访问是由以下哪一项高层系统服务机制提供的()。
-
386、
以下哪一项是边界控制的示例()。
-
387、
逻辑访问控制为计算机系统的访问控制提供了技术方法,以下哪一项不是逻辑访问控制的收益()。
-
388、
审计轨迹是有助于管理者管理个人责任的技术机制,以下哪一项控制能更好地与审计轨迹协同工作()。
-
389、
拒绝服务攻击危及以下哪一项信息系统属性()。
-
390、
解决计算机犯罪问题需要采用团队方式,团队中以下哪一个角色的职责是最清晰的()。
-
391、
肩窥可通过以下哪一项之外的其他方式来预防()。
-
392、
从计算机安全角度出发,以下哪一项是社交工程的直接例子()。
-
393、
以下哪一项不是防火墙系统的主要组件或内容()。
-
394、
拒绝服务攻击可通过以下哪一种方式来预防()。
-
395、
在开放系统互联(OSI)参考模型中共有七层,提供安全服务以加强信息系统的安全性以下哪一个OSI参考层
-
396、
在开放系统互联(OSI)参考模型中共有七层,提供安全服务以加强信息系统的安全性以下哪一个OSI参考层
-
397、
对电子商务应用系统而言,以下哪一项是建立安全的在线应用系统的基础()。
-
398、
电子邮件网络是()。
-
399、
任何一种安全措施都应当符合成本效益原则,不间断电源(UPS)系统是应对电力中断的有效措施,在安装UP
-
400、
以下哪一项联合控制不适用于熄灭火灾()。
-
401、
现代“干管”系统的特征是()。
-
402、
与人工监控相比,以下除哪一项外都是自动环境控制的优势()。
-
403、
当移动用户访问主机时,以下哪一种身份验证机制会导致潜在的安全问题()。
-
404、
按照从强到弱的顺序,对以下抗重放攻击的验证机制进行排序()。
-
405、
以下哪一项是防止口令嗅探攻击,以免危及计算机系统安全的控制措施()。
-
406、
以下哪一项是最有效的口令创建方式()。
-
407、
Kerberos是一种()。
-
408、
以下哪一种口令方式主要不依靠人的记忆()。
-
409、
WEB服务器最好使用以下哪一种方式进行验证()。
-
410、
以下哪一种攻击方式利用了动态系统活动和操纵这些活动的时间安排的能力()。
-
411、
以下哪一种检测方法对发现冒充/伪装攻击比较有效()。
-
412、
在分布式计算环境中,系统安全扮演着重要角色,存在着两种网络攻击方式()主动式和被动式攻击,以下哪一种
-
413、
以下哪一种安全威胁与无线局域网络最不相关()。
-
414、
计算机通讯可采用几种不同的方式,以下哪一种方式最安全()。
-
415、
在物理安全领域通常最关注()。
-
416、
在局域网环境中,以下哪一项最不需要冗余计划()。
-
417、
为提供充分的物理访问补偿性控制,以下哪一项最不适用()。
-
418、
以下哪一种加密算法或机制是绝对无法破解的()。
-
419、
以下哪一项是选择加密算法最重要的因素()。
-
420、
以下哪一组数据加密技术使用公钥算法()。
-
421、
以下哪一项关于单向哈希函数和加密算法的描述是正确的()。
-
422、
口令哈希是指()。
-
423、
在计算机通讯领域中,以下关于消息填充的描述哪一项是正确的()。
-
424、
为获得最有效的交易安全,指出以下应使用加密技术的层次()。
-
425、
在密码认证体系中应明确指定使用何种加密算法,以下哪一种认证体系能降低计算机网络系统中的人员冒充风险(
-
426、
以下哪种情况是对电子公告牌(BBS)服务的重点关注内容()。
-
427、
对企业内部网安全最重要的因素是()。
-
428、
缓冲溢出是由以下哪一项造成的()。
-
429、
以下关于防火墙的描述哪一项不正确()。
-
430、
以下哪些问题是最严重的,以至于能够导致一个组织完全不能保证其关键数据或系统的机密性、完整性和可用性(
-
431、
一台需要与互联网通信的HTTP服务器放在以下哪个位置最安全()。
-
432、
以下哪一项对安全风险的描述是准确的()。
-
433、
在检查信息系统评估其隐私风险时,除以下哪一项外都是IS审计师必须考虑的()。
-
434、
下面哪个角色对保护和控制敏感数据担负最终责任()。
-
435、
对逻辑访问控制实施检查的主要目的是()。
-
436、
下面哪一种加密体系可以提供机密性、认证和抗抵赖服务()。
-
437、
下面那种生物测定技术具有最小的错误接受率()。
-
438、
以下那一项信息资源访问规则会对访问控制的有效性产生最大影响()。
-
439、
以下那一个角色一般不能对安全日志文件实施检查()。
-
440、
信息安全控制措施的具体实施职责属于以下哪一类人员()。
-
441、
以下哪一种计算机存储介质需要垂直存放在无酸环境中以保证介质获得最长的存储时间()。
-
442、
关于业务连续性计划以下说法最恰当的是()。
-
443、
谁应对组织的业务连续性计划负责(Accountability)()。
-
444、
组织建立BCP的作用包括()。
-
445、
以下针对BCP说法正确的是1.组织只能有一个BCP2.对于小规模的只能有一个BCP3.对于大规模的组
-
446、
在发生哪些灾难事件时组织应启动业务连续计划()。
-
447、
以下哪些事件对于组织可能会成为灾难性事件()。1.地震、洪水、龙卷风、火灾2.__、电力和通讯中
-
448、
组织将要建立一个DRP,在考虑成立项目小组时,至少要考虑包括以下哪些人员1.IT相关人员2.业务部门
-
449、
作为一个组织第一次建立业务连续计划时,最为重要的一个环节是()。
-
450、
通过业务影响分析,组织能够获得哪些输出1.RTO和RPO2.主要面临的风险3.关键业务等级4.信息系
-
451、
一个银行所在的大楼发生火灾,这个组织首先要做的事情是()。
-
452、
在进行灾难恢复操作之前,组织最先应进行的工作是()。
-
453、
应该由谁来进行灾难宣告激活业务连续计划()。
-
454、
对于RTO和RPO以下错误的说法是()。
-
455、
对于组织选择灾难恢复策略,以下说法正确的是()。
-
456、
对于RTO以下说法正确的是()。
-
457、
一个地区性商业银行正在考虑建立DRP,哪一项恢复策略对于它最适合()。
-
458、
选择恢复策略与方案时要考虑的因素()。
-
459、
进行BCP演练最重要的作用是()。
-
460、
作为观察员你参加了组织每年一次的BCP演练在演练过程中你发现异地信息系统数据库的版本与记录的不同,这
-
461、
组织业务连续计划中的联系列表应保持最新的状态,以便一旦发生灾难性事件能够及时找到相关人员作为组织很难
-
462、
作为信息系统审计师你在一次内审过程中,发现生产中心的数据库安全了一个新的补丁程序,但是灾备中心的数据
-
463、
对于RAID3或RAID5以下说法正确的是()。
-
464、
对于组织在异地建立的灾备中心,以下说法错误的是()。
-
465、
一个国家气象部门,每天都要处理大量的气象数据,相比而言以下那种备份方式适合于该组织采用()。
-
466、
一个保险公司建立了异地灾难恢复系统,最近他们刚刚制定了BCP,进行了演练并且演练取得了成功在某个周日
-
467、
你在信息系统审计时发现,虽然建立了灾备中心和业务连续计划,但是一旦发生灾难性事件给组织带来的损失还是
-
468、
在进行例行的信息系统审计时,信息系统审计师要评估测试和演练结果,其主要目的是()。
-
469、
组织刚刚建立了业务连续计划,接下来应首先进行()。
-
470、
下面哪一句涉及包交换网络的描述是正确的()。
-
471、
在审查LAN的实施时IS审计人员应首先检查()。
-
472、
以下哪一项有助于检测入侵者对服务器系统日志的改动()。
-
473、
对于防止系统的弱点或漏洞被利用(或攻击),下成哪一种是最好的方法()。
-
474、
检查外包计算机中心的服务等级协议(SLA)时,IS审计师应该首先确定()。
-
475、
以下哪一项可以在不同网络之间e-mail格式,从而使e-mail可以在所有网络上传播()。
-
476、
以下哪一种网络配置结构能使任意两台主机之间均有直接连接()。
-
477、
应用控制的目的是保证当错误数据被输入系统时,该数据能被()。
-
478、
在一个交易驱动的系统环境中,IS审计人员应审查基原子性以确定()。
-
479、
如果以下哪项职能与系统一起执行,会引起我们的关切()。
-
480、
在审查组织的业务流程再造(BPR)的效果时,IS审计人员主要关注的是()。
-
481、
IS指导委员会应当()。
-
482、
在线(处理)系统环境下,难以做到完全的职责分工时,下面哪一个职责必须与其他分开()。
-
483、
为降低成本、改善得到的服务,外包方应该考虑增加哪一项合同条款()。
-
484、
在数据仓库中,能保证数据质量的是()。
-
485、
以下哪一项是业务流程再造项目的第一步()。
-
486、
在关于外部信息系统服务的合同的以下条款中,IS审计师最不关心的是哪项()。
-
487、
由安全管理员负责的首选职责是()。
-
488、
多用户网络环境下实现数据共享的基础在于程序间的通讯。以下哪一项使得程序间通讯特性的实施和维护变得更加
-
489、
IS审计师在审计公司IS战略时最不可能()。
-
490、
某零售企业的每个出口自动对销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构
-
491、
以下哪一项是集成测试设施(ITF)的优势()。
-
492、
IS审计师应当使用以下哪种报告来检查遵守服务层次协议(SLA)有关可用时间的要求()。
-
493、
在业务流程重组(BPR)的哪一个步骤,待测定的团队应访问、参观基准伙伴()。
-
494、
某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应用即将投入运行时,
-
495、
如下,哪一项是时间盒管理的特征()。
-
496、
IS管理层建立变更管理程序的目的是()。
-
497、
以下哪一项啊有可能在系统开发项目处于编程的中间阶段时进行()。
-
498、
故障时间报告
-
499、
网上资金传输信息的安全性是一个严重的问题,下面哪一种安全控制措施在防止对资金传输信息的舞弊和滥用方面
-
500、
当应用开发人员希望利用昨日的生产交易文件的拷贝进行大量测试时,IS审计人员首先应关注的是()。
最新试卷
注册信息安全审核员(CISA)