发布时间 : 星期三 文章CISA中文试题2008更新完毕开始阅读9593926aa98271fe910ef999
试卷A
1. 一个公司正在实施控制自我评估项目,审计师应该作为什么角色参与: A.监督者。 B.推动者。 C.项目领导者。
D.审计师不应该参与公司控制自我评估项目,因为他这样做可能会引起利益冲突。 答案:B 解释:在控制自我评估项目中,审计师应该成为推动者,推动项目的进展。
2. 一个用户的行为可以被下列那种方式正确地记录和追溯责任? A.识别和批准; B.批准和认证; C.识别和认证; D.批准。
答案:C 解释:如果没有恰当的识别和认证,对于用户的行为不可能追溯责任。
3. 在基于风险审计做计划时,以下哪一步最关键? A.对组织全部环境做整体评估。
B.基于可接受的框架(例如COBIT或COSO)建立审计方法论。 C.文档化审计程序确保审计师获得计划的审计目标。 D.识别控制失效的高风险区域。
答案:D 解释:在为审计项目做计划时最关键步骤是识别高风险区域。
4. 审计痕迹的主要目的:
A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。 B.建立完成的审计工作按年代顺序排列的事件链。 C.建立交付处理的业务交易的责任(可追溯责任)。 D.职责分离缺乏的补偿。
答案:C 解释:审计痕迹和其它日志用于补偿缺乏恰当的职责分离,审计痕迹的主要目的是建立交付处理的业务交易的职责(可追溯责任)。
5. 下列哪种风险说明了与程序的陷门有关的风险: A.固有风险 B.审计风险 C.检查风险
D.业务(商业)风险
答案:A 解释:程序具有陷门属于固有风险。
6. 对公司信息系统做审计时,审计师的第一步工作应该是: A.开发出战略性审计计划。 B.对公司的业务重点获得理解。
C.做初步的风险评估为基于风险的审计打下基础。 D.确定和定义审计范围和重要性。
答案:B 解释:审计师的第一步是理解公司的业务重点,如果不能理解公司的业务愿景,目标和运营,他不会有能力完成其它任务。
7. 当审计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险: A.业务(商业)风险。 B.检查风险。
1
C.审计风险。 D.固有风险。
答案:B 解释:审计师使用不恰当的测试步骤并且得出重要性错误不存在,属于审计师的检查风险。
8. 实施连续审计方法的最重要的优点是:
A.可以在处理大批量交易的时间共享计算环境改善系统安全。
B.由于从管理层和职员得到加强的输入可以提供可追溯责任的审计结果。 C.可以识别高风险区域以供以后详细的审查。
D.由于时间约束更松弛可以显著减少需要的审计资源。 答案:A 解释:连续审计可以改善系统的安全。
9. 审计师发现控制存在小弱点,例如弱口令或者监控报告比较差,审计师最恰当的行动是: A.采取改正行动并通知用户和管理层控制的脆弱性。 B.确认此类控制的小弱点对于此次审计不重要。 C.向信息技术管理层立即报告此类弱点。
D.不执行改正行动,在审计报告中记录观察的现象和相关的风险。
答案:D 解释:在准备审计报告时,审计师应该记录观察的现象和相关的风险。
10. 使用测试数据验证交易处理的最大挑战是: A.实际的生产数据可能被污染。
B.创建测试数据以覆盖所有可能的正常的和非正常的情景。 C.测试结果与生产环境中的结果做比较。 D.与高速事务处理相关的数据隔离。
答案:B 解释:测试用例的设计是最大的挑战。
11. 开发组织政策的自底向上法通过: A.审查公司愿景和目标。
B.匹配政策目标到公司战略的结构化方法。 C.资产脆弱性的风险评估。 D.已知威胁的业务影响分析。
答案:C 解释:自底向上法通常通过风险评估驱动
12. 关于不恰当的职责分离,审计师的主要责任是: A.确保恰当的职责分离的执行。
B.为管理层提供不恰当的职责分离相关风险的建议。
C.参与组织内角色和责任的定义以预防不恰当的职责分离。 D.把违反恰当的职责分离的情况记录在案 答案:B 解释:审计师不负责实施控制。
13. 信息资产足够的安全措施的责任属于: A.数据和系统所有者,例如公司管理层
B.数据和系统保管者,例如网络管理员和防火墙管理员 C.数据和系统用户,例如财务部 D.数据和系统经理
答案:A 解释:最终的管理责任属于高级管理层。
14. 审计师观察到不存在恰当的项目批准流程,他应该:
2
A.提供详细流程建议实施。
B.寻找没有书面批准流程的证据。
C.确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志,建议项目管理培训作为补偿性控制
D.向管理层建议采取恰当的项目批准流程并文档化。
答案:D 解释:如果IS审计师观察到不存在项目批准流程,他应该向管理层建议采取正式的批准流程并且文档化。
15. 在审计第三方服务提供商时,审计师应该关注: A.程序和文件的所有权。 B.谨慎和保密声明。
C.在灾难事件中提供连续性服务的能力。 D.以上三项。
答案:D 解释:审计师应该关注A,B,C三项。
16. 在IS战略审计中,以下那项是审计师考虑最不重要的? A.审核短期计划(1年)和长期计划(3到5年)。 B.审核信息系统流程。
C.访谈恰当的公司管理人员。 D.确保考虑外部环境。
答案:B 解释:在审核IS战略时,流程的审核不是重要的。
17. 下列哪项在评价信息系统战略时最重要?
A.确保信息系统战略最大化目前和未来信息技术资源的效率和利用。 B.确保在所有信息系统中考虑信息安全。 C.确保信息系统战略支持公司愿景和目标。
D.确保系统管理员为系统能力提供准确的输入。
答案:C 解释:信息系统战略必须支持组织的业务目标。
18. 网络管理员最不应该与下列哪个角色共享责任? A.质量保障。 B.系统管理员。 C.应用程序员。 D.系统分析员。
答案:C 解释:生产环境和开发环境角色不应该共享,网络管理员可以在系统设计初期提供信息,可能拥有最终用户责任,帮助系统管理。
19. 在审计信用卡支付系统时,下列哪种方法提供最好的保证信息被正确地处理? A.审计痕迹。
B.数据录入和计算机操作员的职责分离。 C.击键验证。 D.主管审查。
答案:C 解释:击键验证为信息被正确地处理提供最高水平的信心。
20. 一个公司由于目前合同到期在考虑采用新的ISP(Internet接入服务商)。从审计的角度以下哪项最需要检查? A.服务水平协议。 B.ISP的物理安全。
3
C.ISP的其它客户的推荐。 D.ISP雇员的背景调查。
答案:A 解释:外包商的服务水平协议SLA应详细规定反应时间等提供服务的指标。
21. 在主机计算环境,通常由操作员来负责将软件和数据文件定期备份。在分布式和协作式的系统中,承担备份责任的应该是: A.用户管理人员。 B.系统程序员。 C.数据录入员。 D.磁带库管理员。
答案:A 解释:A正确。在分布式或协作式系统中,计算机设备和数据在一个以上的地点出现,应用程序在一个以上的地点和系统上运行。对文件和数据的备份也分散化,由分散的用户管理人员来管理。B不正确,系统程序员维护操作系统。C不正确,数据录入员从事数据输入。D不正确,磁带库管理员负责磁带的保管工作。
22. 下列哪些手续可以增强信息系统操作部门的控制结构? I. 定期轮换操作人员。 II. 强制休假。
III. 控制对设备的访问。
IV. 将负责控制输入和输出的人员进行分离。 A. Ⅰ Ⅱ B. Ⅱ Ⅱ Ⅲ C. Ⅲ Ⅳ
D. Ⅰ Ⅱ Ⅲ Ⅳ
答案:D 解释:正确。定期轮换操作员人员和强制休假可以使其他人员有机会会成这项工作,从而减少做出非法行为的机会;控制对设备的访问可保证设备及数据的安全;将负责控制输入和输出的人员分离,可确保职责明确,减少错误及欺骗性操作。
23. 以下哪项提供了对平衡计分卡的最好的解释? A.被用于标杆到目标服务水平。
B.被用于度量提供给客户的IT服务的效果。 C.验证组织的战略和IT服务的匹配。 D.度量帮助台职员的绩效。
答案:C 解释:平衡计分卡被用于匹配组织的战略和IT服务。
24. 审计师为了审计公司的战略计划,以下哪项第一个检查? A.目前架构的细节。
B.去年、今年、明年的预算。 C.组织流程图。
D.公司的业务计划。
答案:D 解释:首先理解公司所在业务环境,第一个检查公司的业务计划。
25. 下列哪项工作角色混合引起恶意行为发生的可能性最小? A.系统分析员和质量保障员。 B.计算机操作员和系统程序员。 C.安全管理员和应用程序员。 D.数据库管理员和系统分析员。
答案:D 解释:A,B,C是不相容的职责。
4