XXXX年CISA模拟试卷(两套试卷).pdf

Arksec安科睿信
www.arksec,com
内部资料,仪供参考
试卷A
1.当市计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险:
A.业务(商业)风险。
B.检查风险。
C.审计风险。
D.固有风险。
答案:B解释:审计师使用不恰当的测试步骤并且得出重要性错误不存在,属于审计师的
检査风險。
关于不恰当的职责分离,审计师的主要责任是
A.确保恰当的职贡分离的执行
B.为管理层提供不恰当的职责分离相关风险的建议。
C.参与组织内角色和贡任的定义以预防不恰当的职责分离
D.把违反恰当的职责分离的情況记录在案
答案:B解释:审计师不负贾实施控制。
3.在基于风险审计做计划时,以下哪一步最关键?
A.对组织全部环境做整体评估
B.基于可接受的框架(例如COBT或COSO)建立审计方法论
C.文档化审计程序确保审计师获得计划的审计日标。
D.识别控制失效的高风险区域。
答案:D解释:在为审计项日做计划时最关键步骤是识别高风險区域。
4.在IS战略审计中,以下那项是审计师考虑最不重要的?
A.审核短期计划(1年)和长期计划(3到5年)。
B.市核信息系统流程。
C.访谈恰当的公司管理人员。
D.确保考虑外部环境。
答案:B解释:在审核IS战略时,流程的审核不是重要的。
5.下列哪种风险说明了与程序的陷门有关的风险
A.固有风险
B.审计风险
C.检查风险
D.业务(商业)风险
答案:A解释:程序具有陷门属于固有风险
6.对公司信息系统做审计时,审计师的第一步工作应该是
A.开发出战略性审计计划。
B.对公司的业务重点获得理解。
Arksec安科睿信
www.arksec,com
内部资料,仪供参考
C.做初步的风险评估为某于风险的审计打下基础
D.确定和定义审计范围和重要性
答案:B解释:审计师的第一步足理解公的业务重点,如果不能理解公的业务愿景,
日标和运营,他不会有能力完成其它任务。
7.一个公同正在实施控制自我评佔项目,审计师应该作为什么角色参与:
A.隘督者
B.推动者。
C.项日领导者
D.市计师不应该参与公司控制自我评估项目,因为他这样做可能会引起利益冲突
答案:B解释:在控制自我评估项日中,审计师应该成为推动者,推动项日的进展。
8.实施连续审计方法的最重要的优点是:
A.可以在处理大北量交易的时间共享计算环境改善系统安全。
B.由丁从管理层和职员得到加强的输入可以提供可追溯责任的审计结果
C.可以识别高风险区域以供以后详细的审查。
D.由于时间约束更松弛可以显著减少需要的审计资源
答案:A解释:连续审计可以改善系统的安全
9.审计师发现控制存在小弱点,例如弱口令或者监控报告比较差,审计师最恰当的行动是:
A.采取改正行动并通知用户利管理层控制的脆弱性。
B.啪认此类控制的小弱点对于此次审计不重要
C.向信息技术管理层立即报告此类弱点。
D.不执行改正行动,在审计报告中记录观察的现象和相关的风险。
答案:D解释:在准备市计报告时,审计师应该记录观察的现象和相关的风险。
10.使用测试数据验证交易处理的最大挑战是:
A.实际的生产数据可能被污染。
B.建测试数据以覆盖所有可能的正常的和非正常的情景。
C.测试结果与生产环境中的结果做比较
D.与高速事务处理相关的数据隔离。
答案:B解释:测试用例的设计是最大的挑战。
11.开发组织政策的自底向上:法通过:
A.审查公同愿景和目标。
B.匹配政策目标到公司战略的结构化方法
C.资产脆弱性的风险评佔。
D.已知成胁的业务影响分析。
答案:C解释:自底向上法通常通过风险评估驱动
用户的行为可以被下列那种方式正确地记录和追溯责任?
A.识别和批准;
Arksec安科睿信
www.arksec,com
内部资料,仪供参考
B.批准利认证
C.识别和认证
D.批准。
答案:C解释:如果没有恰当的识別和认证,对于用户的行为不可能追溯责任。
13.信息资产足够的安全措施的责任属于:
A.数据和系统所有者,例如公司管理层
B.数据和系统保管者,例如网络管理员和防火墙管理员
C.数据和系统用户,例如财务部
D.数据利和系统经理
答案:A解释:最终的管理责任属于高级管理层。
14.审计师观察到不存在恰当的项日批准流程,他应该:
A.提供详细流程建议实施。
B.寻找没有书面批准流程的证据
C.确认缺乏恰当的项日批准流程是不足的项日管理技能的风险标志,建议项日管理培训作为
补偿性控制
D.向管理层建议采取怜当的项日批准流程并文档化
答案:D解释:如果IS审计师观察到不存在项目批准流程,他应该向管理层建议采取正式
的批准流程并且文档化
15.在审计第三.方服务提供商时,审计师应该关注:
A.程序和文件的所有权。
B.谨慎和保密声明
C.在灾难事件中提供连续性服务的能力。
D.以上三项。
答案:D解释:审计师应该关注A,B,C三项。
6.市计痕迹的主要日的
A.吏好的评估和审计由丁审计师没有检查出的控制失效引起的审计风险
B.建立完成的市计工作按年代顺序排列的事件链。
C.建立交付处理的业务交易的责任(可追溯责任)。
D.职责分离缺乏的补偿。
答案:C解释:审计痕迹和它日志用于补偿缺乏怜当的职责分离,审计痕迹的主要目的
是建立交付处理的业务交易的职责(可追溯责任)。
17.下列哪项在评价信息系统战略时最重要?
A.确保信息系统战略最大化目前和未来信息技术资源的效率和利用。
B.确保在所有信息系统中考虑信息安全。
C.确保信息系统战咯攴持公司恳景和日标
D.确保系统管理员为系统能力提供准确的输
笞案:C解释:信息系统战咯必须支持组织的业务日标。