CISA中文模拟题465题.docx

Chapter 1 下列哪些形式的审计证据就被视为最可靠 ? 口头声明的审计 由审计人员进行测试的结果 组织内部产生的计算机财务报告 从外界收到的确认来信 当程序变化是，从下列哪种总体种抽样效果最好？ 测试库清单 源代码清单 程序变更要求 产品库列表 在对定义 IT 服务水平的控制过程的审核中，审计人员最有可能面试： 系统程序员 . 法律人员 业务部门经理 应用程序员 . 进行符合性测试的时候，下面哪一种抽样方法最有效？ 属性抽样 变数抽样 平均单位分层抽样 差别估算 当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道： 当数据流通过系统时，其作用的控制点。 只和预防控制和检查控制有关 . 纠正控制只能算是补偿 . 分类有助于审计人员确定哪种控制失效 审计人员在对几个关键服务进行审计的时候， 想要通过分析审计轨迹的方法发现潜在的用户或系统行为异 常。下列哪些工具最适合从事这项工作 ? 计算机辅助开发工具( case tool ) 嵌入式( embedded )资料收集工具 启发扫描工具( heuristic scanning tools ) 趋势 /变化检测工具 在应用程序开发项目的系统设计时间，审计人员的主要作用是： 建议具体而详细的控制程序 保证设计准确地反映了需求 确保在开始设计的时候包括了所有必要的控制 开发经理严格遵守开发排程 下面哪一个目标控制自我评估 (CSA) 计划的目标 ? 关注高风险领域 替换审计责任 完成控制问卷 促进合作研讨会 Collaborative facilitative workshops 利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证： 充分保护信息资产 根据资产价值进行基本水平的保护 对于信息资产进行合理水平的保护 根据所有要保护的信息资产分配相应的资源 审计轨迹的主要目的是： 改善用户响应时间 确定交易过程的责任和权利 提高系统的运行效率 为审计人员追踪交易提供有用的数据 在基于风险为基础的审计方法中，审计人员除了风险，还受到以下那种因素影响： 可以使用的 CAATs 管理层的陈述 组织结构和岗位职责 . 存在内部控制和运行控制 对于组织成员使用控制自我评估 (CSA) 技术的主要好处是： 可以确定高风险领域，以便以后进行详细的审查 使审计人员可以独立评估风险 可以作来取代传统的审计 使管理层可以放弃 relinquish 对控制的责任 下列哪一种在线审计技术对于尽早发现错误或异常最有效 ? 嵌入审计模块 综合测试设备 Integrated test facility 快照 sanpshots 审计钩 Audit hooks 当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时， 审计人员会用下面哪一种测试方 法？ 对于链接库控制进行实质性测试 对于链接库控制进行复合性测试 对于程序编译控制的符合性测试 对于程序编译控制的实质性测试 在实施连续监控系统时，信息系统审计师第一步时确定： 合理的开始( thresholds )指标值 组织的高风险领域 输出文件的位置和格式 最有最高回报潜力的应用程序 审计计划阶段，最重要的一步是确定： 高风险领域 审计人员的技能 审计测试步骤 审计时间 审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师： 在应用系统开发过程中，实施了具体的控制 设计并嵌入了专门审计这个应用系统的审计模块 作为应用系统的项目组成员，但并没有经营责任 为应用系统最佳实践提供咨询意见 审计中发现的证据表明，有一种欺诈舞弊行为与经理的账号有关。经理把管理员分配给他的密码写在纸上 后，存放在书桌抽屉里。 IS 审计师可以推测的结论是： 经理助理有舞弊行为 不能肯定无疑是谁做的 肯定是经理进行舞弊 系统管理员进行舞弊 为确保审计资源的价值分配给组织价值最大的部分，第一步将是： 制定审计日程表并监督花在每一个审计项目上的时间 培养审计人员使用目前公司正在使用的最新技术 根据详细的风险评估确定审计计划 监督审计的进展并开始成本控制措施 最重视 的？审计师在评估一个公司的网络是否可能被员工渗透， 其中下列哪一个发现是审计师应该 最重视 的？ 有一些外部调制解调器连接网络 用户可以在他们的计算机上安装软件 网络监控是非常有限的 许多用户账号的密码是相同的 信息系统审计师在控制自我评估 (CSA) 中的传统角色是： 推动者( facilitator ) 经理 伙伴 股东 下面哪一种审计技术为 IS 部门的职权分离提供了最好的证据： 与管理层讨论 审查组织结构图 观察和面谈 测试用户访问权限 2IS 审计师应该最关注下面哪一种情况？ 缺少对成功攻击网络的报告 缺少对于入侵企图的通报政策 缺少对于访问权限的定期