2012年2月最新模拟试卷两套(一).pdfVIP

2012 年CISA 模拟试卷（一） 3 月班 1．一个项目经理在目标期限内无法实施所有的审计建议。IT 审计师应该怎么做？ A. 建议项目暂时停止直至问题得到解决； B. 建议采取补偿控制； C. 对未解决的问题进行风险评估； D. 建议项目经理进行资源的再分配来解决该问题。 答案：C 当在目标期限内没有完成实施审计建议时，最重要的应该是评估目前的风险。在评估的基础 上，管理层才能进一步考虑实施补偿控制或者接受风险。因此其他的选项都是在风险评估的 基础上进行的。 2 ．白盒测试的最大优势是：（）。 A. 确认一个程序可以和系统的其他部分成功运行； B. 确保程序运行功能的有效性而不用关注内部程序结构； C. 决定程序的准确性和一个程序具体逻辑路径的条件； D. 通过在一个严格控制并限制对服务器进行访问的虚拟环境中执行程序，来检查该程序的 功能。 答案：C 白盒测试可以评估软件程序逻辑的有效性。尤其是使用测试数据来判断程序的准确性和一个 程序具体逻辑路径的条件。A 指的是联合测试（Sociability testing）。B 指的是黑盒测试。D 则是沙盒测试的定义（Sand box testing ）。 3 ．以下哪项有效的控制可以加强数据库用户访问敏感数据时的可审计性？ A. 采取日志管理程序； B. 采取双因子授权； C. 使用视图表来访问敏感数据； D. 将数据库和应用服务器分离。 答案：A 可审计性指的是知道谁在做些什么。加强可审计性的最好的方法就是采取日志管理程序，这 样可以生成并保存包含用户姓名、时间、交易类型等相关信息的日志。B 和C 只是保证对 数据库的授权访问但无法解决可审计性的问题。D 可以帮助更好的进行访问控制的管理， 但同样与可审计性无关。 4 ．以下哪一项能够有效验证交易的发起者： A. 在发起者和接收者之间使用密码 1 B. 使用接收者的公钥加密交易 C. 使用PDF 格式封装交易内容 D. 使用发起者的私钥对交易进行数字签名 答案：D 5 ．数据库管理员发现一些表的性能问题可以通过反向规格化（denormalization ）来解决。 这种情况下会增加哪像风险（）？ A. 同时并行访问 B. 死锁 C. 非授权的数据访问 D. 数据完整性的丢失 答案：D 规格化是从数据库结构中去除多余的数据元素。在相关数据库中采用反向规格化可以增加冗 余性，但也会产生无法保证数据一致性的风险，导致数据的完整性和逻辑性受损。反向规格 化不会引起死锁。对数据的访问是由用户权限定义和控制的。 6 ．在审查IT 灾难恢复测试时，下列问题中哪个最应引起IS 审计师的关注 A ．由于有限的测试时间窗，仅仅测试了最必须的系统。其他系统在今年的剩余时间里陆续 单独测试 B ．在测试过程中，注意到有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测 试失败 C ．在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间 D ．每年都是由相同的员工执行此测试。由于所有的参与者很熟悉每一步因而没有使用恢复 计划文档 答案：D 7 ．在检查意外事件报告中，IT 审计师发现有一次，一份留在雇员桌上的重要的文件被外包 的清洁工丢弃进了垃圾桶。以下哪项是IT 审计师应该向管理层提出的建议？ A. 组织和清洁部门应该实施更严格的控制。 B. 因为过去没有事故发生，因此不需要采取行动。 C. 制定一个桌面清理政策并在组织中严格实施。 D. 制定对所有的重要办公文档的严格备份策略。 答案：A 一份留在雇员桌面上的重要文档被意外清理可能会对业务产生严重的影响。因此，IT 审计 师应该建议组织和外包的清洁机构采取严格的控制。过去没有发生事故并不能减轻影响的严 重性。采取桌面清理策略只能解决部分问题。与清洁机构签订合适的保密协议，确保清洁工 知晓在清洁中该做和不该做的也是必须应该实施的。 D 选项：风险不在于数据的丢失，而在于数据的泄露。所有备份策略的实施无法解决信息 泄密的问题。