国际内部审计师考试试卷6及答案.doc

1、国际内部审计师考试辅导 内部审计知识要素.IT/业务连续性一、单项选择题1、使用盗版软件的危害是：.可能需要承担法律责任.会被在网络上运行的检查软件发现.容易感染病毒A、B、C、D、2、下列分布式信息技术系统的功能中，可以最大程度的降低整个系统完全瘫痪的可能性的是：A、故障弱化保护B、备份与恢复C、灾难恢复计划D、访问授权3、管理层制定灾难恢复计划的最主要目标是：A、保护数据完整性和快速恢复营业B、预防恢复过程中的舞弊或滥用行为C、信息资产的安全与控制D、降低恢复成本4、将多只容量较小的、便宜的硬盘驱动器进行有机组合，使组合的性能超过一只昂贵的大硬盘，当其中部分硬盘发生故障时，只会降低读写速度

2、而不会丢失数据，这种技术称为：A、互助协定B、廉价冗余磁盘阵列RAIDC、虚拟存储D、负载均衡/服务器集群5、某IT审计师在审计企业的灾难恢复计划时，发现以下问题，则属于最严重的控制缺陷的是：A、测试使用了恢复脚本B、异地存储设施无效C、热站合同有三年时间了D、未选择所有系统进行测试6、在组织制定灾难恢复计划时，以下不在考虑范围的是：A、备份和重新启动程序已嵌入到作业流和程序中B、组织和运营变动已体现在恢复计划中C、系统发生变更时应在投入生产环境前全部测试完毕D、保险计划7、下列程序属于灾难恢复计划的关键步骤的是：。A、确保操作人变更程序时不能绕过变更控制B、备份和重新启动程序C、确保安装杀毒

3、软件D、设备容量满足工作负荷的要求8、能够提供各方面的全部配置，灾难发生后，几个小时就可以使业务系统恢复运行的信息设施异地冗余的方法是：A、热站B、温站C、冷战D、冗余信息处理设施9、企业制定IT应急计划时，第一步应：A、执行业务影响分析B、对业务进行分类和重要性分析C、制定计划D、实施计划10、对电子邮件的控制措施不包括：A、公司应规定雇员不能用电子邮件发送高度敏感或机密的信息B、员工离职后应立即删除其电子邮件C、保密性电子邮件不能储存在邮件服务器中D、使用公司指定的电子邮件软件11、ERP系统使用数据库管理系统管理数据，以下说法不正确的是：A、ERP系统中的应用程序和数据是相互独立的B、E

4、RP系统中的所有数据都存放在中心数据库中C、数据因为功能的不同而需要不同的修改D、ERP系统消除了数据冗余12、下列选项中不属于信息系统安全主管职责的是：A、定期更换用户密码B、评价应用程序的安全控制C、检测并调查安全事件D、监督具有访问特权的用户对生产数据的访问13、以下关于COBIT的说法错误的是：A、COBIT是一套对IT流程实施有效控制的辅助指南B、COBIT由国际信息系统审计和控制协会ISACA发布C、COBIT将IT过程、IT资源及信息与企业的策略和目标整合形成一个三维的体系结构D、COBIT可以给出如何管理技术环境带来的风险的建议14、在eSAC模型下，要求所有交易记录都必须提供

5、足够的信息证明交易的发生，这一要求体现了该模型的哪种属性：A、可保护性B、可用性C、责任性D、功能性15、可以按某个共同的数据元素将多个数据库表结合起来，这种结合数据库表的结合方式是指：A、指向B、连接C、合并D、映射16、在客户机/服务器环境下和在大型主机环境下，发生程序变更时，以下说法错误的是：A、两种环境下都要求用户参与程序的变更测试B、两种环境下都要求控制从测试库到生产库的转换C、两种环境下都要求确保程序版本在网络中同步更新D、两种环境下都要求遵守程序紧急变更规则17、以下对语音通讯的说法中错误的是：A、模拟电话是由公用电话网PSTN承载，通过电路交换方式实现的语音通话技术B、IP电话

6、、语音邮件都是数字化语音电话C、IP电话的优点是便宜和安全D、语音通讯是组织的重要基础通信设施，必须纳入到组织的应计计划中18、可以连接两个不同类型的网络并完成网络协议转换的网络连接设备是：A、网卡B、网桥C、网关D、路由器19、如果一个网络中没有指定专用服务器，任何节点都可与其他节点共享资源，这样的网络是：A、总线网B、星型网C、环型网D、对等网络20、信息通过以下介质传输时最不容易被窃听的是：A、专用分组交换机B、同轴电缆C、光缆D、无线信道21、全面集成企业所有资源信息，为企业提供决策、计划、控制与经营业绩评估的全方位和系统化的管理平台，将管理重心定位在财务上，在企业整个经营运作过程中，

7、贯穿了财务成本控制的概念，这一管理平台称为：A、物料需求计划MRPB、制造资源计划MRP-C、企业资源计划ERPD、业务流程再造22、以下机构的外包服务中，需要用户自己提供设备的是：A、设备管理机构B、计算机租赁公司C、服务局D、共享服务商23、在企业的信息系统部门中，负责该部门与其他部门联络的人员最可能是：A、系统分析师B、系统设计师C、程序员D、项目经理24、模仿生物进化过程，对特定问题不断完善解决方案，这种基于数据库的应用是：A、遗传算法B、神经网络C、专家系统D、智能代理25、在电子邮件系统中过滤接收的信息以避免受到大量垃圾邮件，这种基于数据库的应用是：A、专家系统B、神经网络C、智能

8、代理D、模糊逻辑26、将数据库表中的部分字段构成一个新的子表，使得该子表中仅包含用户需要的信息，这种操作称为：A、选择B、连接C、映射D、修改27、结构化查询语言SQL属于：A、数据定义语言B、数据操纵语言C、数据字典D、数据挖掘28、数据以表的形式表示，一张表由多个记录构成，每个记录由多个字段构成，记录中包含主关键字和次关键字，不同的表之间通过关键字实现关联，从而保证数据的完整性，这种数据库是：A、层次型数据库B、网状型数据库C、关系型数据库D、结构化数据库29、以下关于辅助存储器的说法错误的是：A、磁带的单位存储价格最便宜B、CD-ROM具有反复读写功能C、硬盘具有速度快，容量大的特点D、

9、光盘库可以同时容纳多张光盘并对其访问30、拥有程序修改技术的人员可以做到绕过安全程序来修改企业的软件代码，为了防止这种问题可以采取的最佳措施：A、定期执行运行测试B、恰当的职责分离C、检查已处理作业D、将软件代码与备份代码比较31、以下对安全软件的功能表述正确的是：A、限制对系统资源的访问B、限制未经许可软件的安装C、监控职责分离D、检测病毒32、在审计师常用的计算机审计技术中，可能导致测试数据进入被审计单位的真实数据环境的是：A、测试数据B、平行模拟C、集成测试法D、嵌入式审计模块33、为了防止数据的未知更改，在账户科目代码后添加一个数字，该数字本身由对该账户的一种运算得出，通过对该数字进行

10、计算和比较，这种技术是：A、合理性检查B、有效性检查C、相关性校验D、数位校验34、某会计师事务所员工可以在自用笔记本电脑上远程登录事务所内网获取或存储信息，为了防止员工离开座位时有人非法利用员工电脑登录事务所内网获取客户的机密信息，最好的保护措施是：A、为屏幕的使用设置密码B、对数据文件加密C、自动注销非活跃用户D、禁止远程登录35、下列选项中不属于应用控制的目标的是：A、保证数据记录的完整性和准确性B、保证数据处理的完整性和准确性C、提供处理结果的审计流程和记录D、限定对特定数据和资源的访问36、采用应用程序快速开发技术开发新系统时，可以允许的措施是：A、未满足时间要求而取消系统文档的编写

11、B、采用生命周期开发方法编写程序C、采用分模块开发的处理办法D、为了减少使用以前的代码，采用面向对象的开发方法37、某公司使用完工百分比法计算收入，第一步需将成本系统中的实际成本导入预算系统以计算完工百分比，下列应用控制可以为数据导入的完整性和准确性提供合理保证的是：A、限额检查B、检验数位C、顺序检查D、批量汇总38、将高级语言程序转换成中间代码，并逐行解释执行的程序是：A、编译程序B、汇编程序C、解释程序D、宏程序39、对源代码进行语法检查，并将高级过程化语言程序转换成目标代码的程序是：A、编译程序B、汇编程序C、解释程序D、宏程序40、某IT审计师设计一款系统，与拟审计的信息系统功能相同

12、，然后将测试数据分别在两个系统上运行，比较两者的运行结果，这种计算机审计技术是：A、测试数据B、平行模拟C、测试集成设施D、嵌入式审计模块41、某公司在各地拥有多家分公司，每个分公司各有一名会计处理当地的报销数据，其他数据都集中在总公司财务部完成，分公司会计处理的所有报销数据均需总公司会计审批后才能过入公司总账，如果某一分公司报销模块发生异常，其他模块仍可以正常运行，这种数据处理方式属于：A、集中处理B、分散处理C、分布处理D、同步处理42、将新系统替换旧系统时，可以采用的转换策略是：A、直接转换B、分阶段转换C、试点转换D、以上都对43、高级经理支持系统在信息系统中所属的层次是：A、作业层系

13、统B、知识层系统C、管理层系统D、战略层系统44、办公自动化系统属于信息系统中的所属的层次是：A、作业层系统B、知识层系统C、管理层系统D、战略层系统45、以下不属于输出控制的是：A、平衡总数B、复核处理日志C、数据转换D、审核输出报告46、甲公司拟将ERP系统的开发采用外包的方式，则需要对开发过程执行的控制有：.编制用户需求文档.确保设计和开发落实了用户需求和控制的正式过程.对元素和用户接口进行测试.对应用维护工作进行规划.受控的变更管理过程A、B、C、D、47、应用软件包括通用应用软件和专用软件。以下属于专用软件的是：A、客户关系管理系统B、电子表格C、文字处理软件D、以上都对48、程序根

14、据其运行的方式可以分为可直接执行程序和可解释执行程序。下列关于解释执行程序的说法不正确的是：A、解释程序包含二进制语言，可由CPU直接运行B、解释程序是将中间代码转换成二进制语言的一种程序C、解释器可以将高级语言转换成中间代码D、宏程序是解释运行的程序之一49、某IT工程师根据客户的需求快速开发一个试验模型交用户使用，然后进一步收集用户需求修改模型，如此反复，直至满足客户需求，这种系统开发方法称为：A、生命周期法B、原型法C、面向对象的开发方法D、以上都对50、以下关于生命周期开发方法的说法中，错误的是：A、生命周期法是一种自上而下的结构化开发方法，包括项目定义、系统分析、系统设计、编程、实施

15、和后续维护六个阶段B、生命周期法具有系统性、规范性、严密性、开发周期短等优点C、生命周期法对每一阶段的任务、责任人、职责、各阶段成果及其相互关系都进行了严格的定义，并编制严格的文档编制规范D、如果系统分析出现偏差，整个系统开发过程可能要推倒重来51、某内部审计师导出当年数据系统中公式的使用变动统计表，检查是否所有变动都经过适当管理人员的批准，该行为属于：A、输入控制B、变更控制C、实施控制D、处理控制52、终端用户计算指系统的终端用户在没有或只有很少技术专家正式协助的条件下，自行完成系统开发的一种开发策略，对应用终端用户计算的审计应包括：A、确定终端用户计算的应用程序B、对应用程序风险进行排列

16、C、对控制情况进行文件处理和测试D、以上都对53、可以有效防止数据在传输过程中被窃听的安全技术是：A、端到端数据加密B、回拨技术C、频繁更改口令D、利用认证中心54、目前在电子商务活动中最有效的身份认证方式是：A、由权威机构为各参与方发放数字证书B、数字签名技术C、加密和解密D、回拨技术55、某IT审计师正在考虑一个应用系统中的控制是否足够，下列不属于该审计师考虑的因素的是：A、该系统中数据的重要性B、某项控制失效的风险C、每项控制的效率、复杂程度及费用D、病毒管理软件的使用56、公司在应用访问控制技术时，应确保其合理性，确保只有被授权的用户才能实现对特定数据和资源的访问。尤其注意系统安全性和

17、系统可用性之间的平衡，所以在建立访问控制列表时应依据的原则是：A、知必所需原则B、个体可追踪原则C、成本效益原则D、以上都对57、可以附着于其他程序，并在计算机网络中蔓延的是：A、特洛伊木马B、网络钓鱼C、病毒D、逻辑炸弹58、甲公司的生产工厂周边环境恶劣，汛期会受到周边河流的影响，但是工厂在建造时因为考虑这一因素而不至于被淹，在这种情况下，甲公司面临的风险是：A、生产的商品没有消费者B、设备损毁C、员工生命财产安全D、员工可能无法及时汇报工作59、以下关于电子商务安全性的说法正确的是：A、希望在互联网上从事电子商务的公司必须满足互联网供应商联盟建立的安全标准B、希望从事互联网电子商务的公司必

18、须先向互联网获得创建主页的许可C、利用互联网实现电子商务必须使用防火墙D、以上都对60、用户和管理层都需认可信息系统最初的建议、设计说明、转换计划以及测试计划，则这种控制的方法是：A、管理控制B、应用控制C、实施控制D、软件控制61、以下关于数据加密解密的方式，说法错误的是：A、非对称密钥由公钥和私钥组成，公钥用于数据加密或签名认证，私钥用于解密或签名B、对消息用HASH加密算法得到一个唯一的摘要，作为消息的指纹，用来验证消息的准确性C、数字签名是发送者用私钥对所发送消息的摘要信息进行加密D、数字证书是一个包含证书持有人的个人信息、公开密钥、证书序号、证书有效期和发证单位等内容的数字文件62、

19、以下关于RSA算法的说法中，正确的是：A、在RSA算法下，加密密钥和解密密钥是相同的B、RSA算法又称为对称密码体制C、公钥可以在网上发布，是公开的，私钥只有本人知道，是秘密的D、公钥用于解密或签名，私钥用于加密或签名验证63、在电子资金汇划系统中，为了保证数据只传送给被授权的用户，最有效的控制措施就是要求接受数据的金融机构使用：A、工具软件B、安全软件C、回拨系统D、访问日志64、访问控制技术3A系统不包括：A、身份标识B、身份认证C、访问授权D、审计追踪65、以下不属于生物认证技术的是：A、指纹B、声音C、口令D、虹膜66、以下关于系统和信息安全的说法中错误的是：A、利用因特网实现电子商务

20、必须使用防火墙B、木马具有复制功能，因此更容易开发也更隐蔽，其增长速度也大大高于其他恶意软件C、入侵检测系统和防火墙的集成可以构成入侵防御系统D、使用防病毒软件，必须定期更新病毒特征库，但不能过于依赖防病毒软件67、下列选项中，不属于信息安全的基本要素的是：A、真实性B、完整性C、保密性D、可用性68、工作在应用层的网络安全措施是：.入侵检测系统.数据包过滤型防火墙.应用网关型防火墙A、B、C、D、69、以下不属于物理安全控制的是：A、物理访问控制B、环境风险控制C、防火防水D、杀毒软件70、对系统的安全进行控制分为不同层次，以下不属于一般控制的是：A、编程人员不能接触计算机设备B、不需要的文

21、件在受控条件下及时删除C、可以录入手工分录的人员必须经过正式的授权D、只有被授权的用户才能实现对特定数据和资源进行访问答案部分一、单项选择题1、【正确答案】 C【答案解析】 使用盗版软件可能需要承担法律责任，也容易感染病毒，被在网络上运行的检查软件发现不属于盗版软件的危害。【答疑编号11081598,点击提问】2、【正确答案】 A【答案解析】 故障弱化保护是分布式信息系统的一个优势，指某个节点发生故障时，其他节点仍可以继续运行，故障弱化保护可将故障的影响限定在一定范围内，或仅导致系统性能的下降。【答疑编号11081597,点击提问】3、【正确答案】 A【答案解析】 灾难恢复计划的目标是保护数据

22、的完整性和快速恢复营业。【答疑编号11081596,点击提问】4、【正确答案】 B【答案解析】 廉价冗余磁盘阵列RAID将多只容量较小的、便宜的硬盘驱动器进行有机组合，使组合的性能超过一只昂贵的大硬盘，当其中部分硬盘发生故障时，只会降低读写速度而不会丢失数据，或者从其他非故障的磁盘中重新计算得出。【答疑编号11081595,点击提问】5、【正确答案】 B【答案解析】 备份和重启程序是灾难恢复计划的重要组成部分，所以异地存储设施无效是重大控制缺陷。【答疑编号11081594,点击提问】6、【正确答案】 C【答案解析】 系统发生变更时应在投入生产环境前全部测试完毕，但不是灾难恢复计划的内容。【答疑

23、编号11081593,点击提问】7、【正确答案】 B【答案解析】 备份和重新启动程序是灾难恢复计划的重要组成部分，所以B选项正确；A、C、D错误，与灾难恢复计划无关。【答疑编号11081592,点击提问】8、【正确答案】 A【答案解析】 热站提供从机房环境、网络、主机、操作系统、数据库、通信等各方面的全部配置，灾难发生后，只需操作人员到位并安装应用程序、数据和文件即可运行，一般几小时就可以恢复。【答疑编号11081591,点击提问】9、【正确答案】 A【答案解析】 业务影响分析是制定应急计划的第一步，它对每种可能影响企业正常运营的潜在风险，如火灾、洪水、飓风、系统崩溃、数据丢失、黑客攻击和恐怖

24、袭击等事件发生的可能性及后果进行评估。【答疑编号11081590,点击提问】10、【正确答案】 B【答案解析】 雇员离职后，应保留其电子邮件以备查阅，而不是立即删除。【答疑编号11081589,点击提问】11、【正确答案】 C【答案解析】 ERP系统中的所有数据都存放在中心数据库中，数据修改一次，所有使用该数据的功能都会改变。【答疑编号11081588,点击提问】12、【正确答案】 A【答案解析】 定期更换用户密码由用户自己完成。【答疑编号11081587,点击提问】13、【正确答案】 D【答案解析】 eSAC是对技术挑战的风险应对反应，而不是COBIT。【答疑编号11081586,点击提问】

25、14、【正确答案】 C【答案解析】 eSAC模型下业务鉴证目标包括可用性，处理能力，功能性，可保护性，责任性。责任性是指确认个体角色、行动和责任，责任性包括不可赖账的理念，一旦确认，使用者不可以放弃这个交易。【答疑编号11081585,点击提问】15、【正确答案】 B【答案解析】 连接是按某个共同的数据元素结合多个关系型数据库表，B选项正确；指向是在不同的数据元素之间建立关联，A选项错误；合并是将具有相同格式的表格合并为一个表格，C选项错误；映射是将数据库表中的部分字段构成一个新的子表，使得该子表中仅包含用户需要的信息，D选项错误。【答疑编号11081584,点击提问】16、【正确答案】 C【

26、答案解析】 客户机/服务器环境下要求程序版本在网络中同步更新，但大型主机环境下所有应用程序都存放在主机中，发生程序变更时，只需升级主机中的程序即可。【答疑编号11081583,点击提问】17、【正确答案】 C【答案解析】 IP电话可大大节省企业的通讯费用，但同时也带来泄密和失真的风险。【答疑编号11081582,点击提问】18、【正确答案】 C【答案解析】 网关可以连接两个不同类型的网络并完成网络协议转换，C选项正确；网卡是使计算机连接到网络的接口设备，A选项不正确；网桥是连接两个相同类型的网络的网络连接设备，路由器连接多个相同类型的网络并根据网络地址实行路由选择，所以B、D选项不正确。【答疑

27、编号11081581,点击提问】19、【正确答案】 D【答案解析】 对等网络是指没有指定专用服务器，任何节点都可与其他节点共享资源的网络。【答疑编号11081580,点击提问】20、【正确答案】 C【答案解析】 光缆没有电磁泄露，所以最难搭线窃听。【答疑编号11081579,点击提问】21、【正确答案】 C【答案解析】 ERP与MRP、MRP-的最大区别就是ERP将管理重心定位在财务上，在企业整个经营运作过程中，贯穿了财务成本控制的概念。【答疑编号11081578,点击提问】22、【正确答案】 A【答案解析】 设备管理机构是外包商按照用户的要求管理运行用户拥有的数据处理设备，所以A选项正确；其

28、他三个选项都需要外包商拥有设备，用户不必提供设备。【答疑编号11081577,点击提问】23、【正确答案】 A【答案解析】 系统分析师与程序使用部门联络，了解需求，并将需求与信息系统部门中其他人员沟通，即系统分析师是企业信息系统部门与其他部门联络的主要桥梁。【答疑编号11081576,点击提问】24、【正确答案】 A【答案解析】 遗传算法是一种模仿生物进化过程的人工智能系统，对特定问题不断完善解决方案以得到最优答案。【答疑编号11081575,点击提问】25、【正确答案】 C【答案解析】 智能代理使用内设知识库解决特定的、重复的、可预见的问题，在电子邮箱中可以过滤进来的信息以避免受到大量不想接接收的邮件。【答疑编号11081574,点击提问】26、【正确答案】 C【答案解析】 映射是将数据库表中的部分字段构成一个新的子表，使得该子表中仅包含用户需要的信息。【答疑编号11081573,点击提问】27、【正确答案】 B【答案解析】 数据操纵语言用于从数据库中提取数据，SQL是典型的数据操纵语言。【答疑编号11081572,点击提问】28、【正确答案】 C【答案解析】 关系型数据库中的数据以表的形式表示，一张表由多个记录构成，每个记录由多个字段构成，记录中包含主关键字和次关键字，不同的表之间通过关键字实现关联，从而保证数据的完整性。【答疑编号1108