CISA考试练习练习题及答案2_2023_背题版.pdfVIP

*************************************************************************************** 试题说明 本套试题共包括1套试卷 每题均显示答案和解析 CISA考试练习练习题及答案2(500题) *************************************************************************************** CISA考试练习练习题及答案2 1.[单选题]以下哪项能最有效地减少备份服务器上的未授权软件被分发至生产服务器的风险? A)手动拷贝文件，以完成复制工作。 B)审查软件版本控制系统中发生的变化。 C)确保开发人员无权访问备份服务器。 D)审查备份服务器的访问控制日志。 答案:B 解析:A.即使加倍小心，手动执行复制工作，将未经授权的软件从一台服务器持贝到另一台服务器的 风险仍然存在。 B.使用版本控制软件跟踪和控制软件变更是一种常见的做法。IS审计师应检查来自此系统的报告或 日志，以确定进入生产阶段的软件。只使用版本控制系统(VCS)中的版本能防止使用开发或更高的版 本。 C.如果开发人员将未经授权的代码引入到了备份服务器，则生产服务器和软件版本控制系统上的控 制措施应该缓解此风险。 D.审查访问日志能确定员工访问或已经执行的操作;但不能为检测未授权软件的发布提供足够的信息 2.[单选题]一个工作于重要项目的技术领导离开了公司。项目经理报告了一台服务器上可疑的系统 行为，该服务器全组可访问。如果这在一次司法调查中被发现，什么是最重点关注的？ A)系统审计日志没有启用 B)该技术领导的登录ID、仍然存在 C)系统中安装了间谍软件 D)系统中安装了一个木马 答案:A 解析:审计日志对于事件的调查是关键性的；然而，如果没有应用日志，技术领导的登录ID、和客户 账户的滥用就不能被确定。技术领导的登录ID、应该在雇员离职时立即被删除，但是没有审计日志 ，该ID、的滥用很难被证实。安装在系统里的间谍软件应该被关注但是可能被任何用户安装，此外 ，没有日志，找到谁安装了该间谍软件也很困难。安装在系统里的木马应该被关注，但是它可能是 任何用户所为因为所有组员都能够访问，并且，没有日志，调查将会很困难。 3.[单选题]信息系统审计师了解到，业务部]负责人创建的一个网页可访问生产数据,从而违反了公 司的安全政策，审计师的下一个步骤应当是: A)评估生产数据的敏感性 B)确定是否存在足够的访问控制 C)上报给高级管理层 D)关闭网页 答案:A 解析: 4.[单选题]在观察一个业务继续计划的模拟，IS审计员注意到报警系统严重受到设施破坏。下列选 项中，哪个是IS审计员可以提供的最佳建议： A)培训救护组如何使用报警系统 B)报警系统为备份提供恢复 C)建立冗余的报警系统 D)把报警系统存放地窖里 答案:A 解析:如果报警系统受到严重破坏，冗余将是最好的控制。救护组将不能使用严重破坏的报警系统 ，甚至即使他们被培训去使用它。备份的恢复对报警系统无关，而且把报警系统放到地窖里将也没 有什么价值，如果建筑遭到破坏。 5.[单选题]以下哪一项是采用原型法作为系统开发方法学的主要缺点？ A)用户对项目进度的期望可能过于乐观 B)有效的变更控制和管理不可能实施 C)用户参与日常项目管理可能过于广泛 D)用户通常不具备足够的知识来帮助系统开发 答案:A 解析: 6.[单选题]接收EDI交易并通过通讯接口站（stage）传递通常要求： A)转换和拆开交易 B)选择验证程序 C)把资料传递给适当的应用系统 D)建立一个记录接收审计日志的点 答案:B 解析: 7.[单选题]在某家运营政府项目的全国性公司进行IS合规性审计期间，IS审计师正在评估其 Intemet服务提供商(ISP)所提供的服务。下面哪个选项最重要? A)审查要求建议书(RFP)。 B)审查ISP生成的月度绩效报告 C)审查服务等级协议(SLA)。 D)调查该ISP的其他客户。 答案:C 解析:A.因为要求建议书(RFP)不是约定的协议内容，因此审查SLA条款更合适。 B.来自 Internet服务提供商(SP)的报告属于间接证据，可能需要进一步审查以保证准确