3.Information System Acquisition,Development and Implemenation（12%）

Question 1

1	"在对一个小型银行的合规审计中，IS审计师发现-IT职能和会计功能是由财务系统的同一个用户来执行的。监管人员实施的下面哪一项审查代表着最佳的补偿性控制？
A.显示交易日期和时间的审计轨迹
B.含有每笔交易的总数量和总金额的每日总报表
C.用户账户管理 
D.显示财务系统中每一笔交易的计算机日志文件"

Answer 1

D 每个用户在访问计算机系统或数据文件的时候，计算机日志将记录他们的活动，而且会记录所有异常的活动，比如编辑或者删除财务数据。仅仅记录交易日期和时间的审计轨迹，不足以补偿被同一用户执行的多种职能之后的风险。审核财务的摘要报告不能补偿职责分离的义。监管者对用户账户管理进行审查是一个好的控制，然而，它可能无法发现不当活动。

Question 2

2	"以下哪一项是用来识别ERP系统实施中违反职责分离的最有效的审计技术？
A.审计系统安全权限的报告、
B.审评授权目的的复杂性
C.开发程序来发现授权中的冲突
D.检查最近的违背访问权限的案例"

Answer 2

C 因为目标是检测违反职责分离，所以必须定义能够识别授权冲突的逻辑。可以开发程序来发现这些冲突。ERP系统中安全权限的报告可能需要花费大量时间和精力来评审；因此这种技术不及一个程序有效。随着复杂性增加，验证系统是有效性越来越难，且复杂性本质上与职责分离没有关系。审评最近的违反访问权限的案例是一个很好的实践；但是，他需要大量时间识别哪一个违规行为是真正由于不适当的职责分离导致的。

Question 3

3	"一个项目经理在目标日期内不能实施所有的审计建议，信息系统审计师应该：
A.建议在问题被解决前暂停项目
B.建议补偿性控制被实施
C.评估未解决问题的风险
D.建议项目经理重新分配审计资源来解决问题"

Answer 3

C 当审计建议在截至日期前没有被完全实施时，评估暴露的风险是最重要的。在评估的基础上，管理人员能相应地考虑补偿性控制，风险接受能力等。所有的其他选项仅在风险被评估后可能是恰当的。

Question 4

4	"下面哪一个是有效防止断电的最好方法？
A.电力转接系统
B.双路电源线
C.发电机
D.UPS"

Answer 4

B 最有效方法就是从两个不同的配电站接电线。在电力中断时电力转换开关常常出现故障，它不能预防电力中断，但是它被用来降低此类中断的影响。发电机不能预防电力中断，它们仅仅用于万一电力中断时候的补充电源。UPS可持续监控电力供应并且当电力中断使能提供有限的电池电量以保持系统的运行，但是不能预防电力中断。

Question 5

5	"当传输一个支付的指令时，以下哪一项可用来帮助校验该指令不是被复制的？
A.使用密码学的哈希算法
B.加密信息摘要
C.解密消息摘要
D.（使用）序列号及时间戳"

Answer 5

D 当传输数据时，将一个序列号及/或时间戳加入消息中来使其（该消息）变得具有唯一性，从而使得接受者能够确定消息在传输工程中没有被拦截和重放。这既是公认的重放预防（Replay Protection），可以用来确认一个支付指令不是被复制的。使用密码学的哈希算法来处理整个消息可以确保（传输过程中的）数据完整性。使用发送者的密钥来加密消息摘要，即对（收到的）消息时，这保证了该消息只能来自于对应的发送者。这个对发送者进行认证的过程保证了不可抵赖性。

Question 6

6	"在审计访问权限时，以下哪项权限被分配给计算机操作员会使IS审计师感到可疑？
A.对数据的读取访问。
B.对交易数据文件的删除访问。
C.对程序的记录读取/执行访问
D.对作业控制语言（JCL）/脚本文件的更新访问。"

Answer 6

B 删除交易数据文件是应用程序支持团队的职能，不是操作人员的职能。对生产数据的读取访问是计算机操作员的正常工作需要，就像对程序的记录访问和访问JCL以控制工作的执行是正常工作需一样。

Question 7

7	"一项应用程序开发工作外包给了离岸供应商。以下哪个选项最令IS审计师关注
A.合同中未包括审计权力条款
B.未建立业务案例
C.没有源代码第三方托管协议
D.合同中没有包括变更管理流程"

Answer 7

B 由于未建立业务案例，所以应用程序开发外包的业务理由、风险和风险管理缓解策略可能都无法得到高层管理人员的全面评估和正式批准。这种情况给组织带来的风险最大。没有审计条款、源代码托管或变更管理流程，这每一项都代表了对组织的风险；但它们都不像缺少业务案例的风险那样巨大。

Question 8

8	"当审计一套新计算机系统的购置提议时，IS审计师应该首先确保：
A.一份清晰且已被管理层许可的业务案例
B.达到公司安全标准
C.用户将参与与实施计划
D.该新系统将满足所有用户功能需求"

Answer 8

A 审计师首先要关注的是该提议满足业务需求，且这就要求建立一份清晰的业务用例。虽然符合安全标准是必须的，就像满足用户需求及用户参与实施过程一样，这些在采购过程中太早了，而不是IS审计师首先要考虑的。

Question 9

9	"在实施电子数据交换（EDI）程序项目时，下面那一项应该是被包括在项目可行性分析中？
A.加密算法形式
B.详细的内部控制流程
C.必要的通讯协议
D.推荐的可信任第三方协议"

Answer 9

C 加密算法，第三方协议和内控流程对于可行性分析阶段来说对于详细。他们只需要概括和表明成本或性能的含义。通信协议必须在可行性研究阶段提及，因为如果涉及新的软件会导致显著的成本增加，而且如果通信协议对公司的全新的话，会导致公司面临新的风险点。

Question 10

10	"实施专家系统的最大好处是：
A.在组织内收集个人的知识和经验
B.分享中心知识库的知识
C.增强人员生产率和业绩
D.减少关键部门员工流动"

Answer 10

A 专家系统的基础是获取并记录组织中个人的知识和经验。将知识输入知识库，在企业内共享式推动实施专家系统的手段而不是溢出。提高人员生产率和业绩是一个优势。尽管如此，他不如获取知识和经验来的重要。专家系统不对员工流动生产影响。

Question 11

11	"信息系统审计师应该通过检查以下哪项内容来了解更多项目管理控制的效果？
A.项目数据库
B.政策文件
C.项目组合数据库
D.程序组织"

Answer 11

C 项目组合数据库是项目组合管理的基础。它包括项目数据，如业主，计划，目标，项目类型，状态和成本。项目组合管理需要具体的项目投资组合报告。项目数据库可能包含一个特定的项目，设计到该项目的当前状态的各种参数更新。项目管理的政策文件确定的设计，开发，实施和项目的监督方向。完成项目交付目标，项目组织是必要的（管理委员会，质量保证，系统人员，分析师，程序员，硬件支持等）。

Question 12

12	"IT开发项目的业务方案文档应该保留到：
A.系统生命周期结束
B.该项目获得批准
C.用户已接受系统
D.系统投入使用中"

Answer 12

A 在产品的整个生命周期中可以且应该使用商业案例。它能帮助新（管理）员工理解关键点，为预期与实际情况分析提供有价值的信息。类似的问题：“为什么我们这样做”，“最初的目标是什么”和“我们如何执行这项计划”都可以回答，也有助于开发为了的商业案例。在项目的开发阶段，应始终确认商业案例，是一个很好的管理工具。项目完成后，投入生产，商业案例和所有已完成的研究为将来项目提供参考是宝贵的信息来源。

Question 13

13	"在审查一个活动的IT项目，IS审计员发现，由于预期的效益减少及成本的增加，业务模式不再有效。IS审计员应该建议：
A.终止项目。
B.首先识别业务模式的变更及可能的纠正措施
C.项目应该让赞助者重新批准
D.应先完成项目，之后更新业务模式"

Answer 13

B 在审查一个动态项目时，在识别业务模式是否发生变更之前，IS审计师不应建议中止或先定成项目。应建议业务模式保持当前状态，它是项目周期中决策的一个关键的输入。

Question 14

14	"当检查一个局域网的实施时，信息系统审计师应该首先检查：
A.节点列表
B.接受测试报告
C.网络图
D.用户列表"

Answer 14

C 为了正确的检查一个局域网的实施，信息系统审计师应该首先核实网络图和确认批准。核实节点列表的节点应该在网络图后，接着检查接受测试报告，然后是用户列表。

Question 15

15	"IS管理人员告诉IS审计师，组织最近达到了软件能力成熟度模型的最高水平，那么最近组织增加的软件质量流程是：
A.持续改进
B.量化的质量目标
C.文档化流程
D.为某一特殊项目定制的流程"

Answer 15

A 组织达到软件CMM最高级别五级，最优化。量化的质量目标只能达到四级以下；文档化流程在三级和更低级执行：为某一特殊项目定制的流程只能达到二级或更低级。需要做到持续优化，以便达到纠正措施或预防措施。

Question 16

16	"管理人员发现在多阶段实施之初，就有落后计划和超出预算的情况。在进行下一阶段之前，IS审计师针对后实施阶段工作重点的首要建议应是
A.评估是否衡量、分析和报告计划的成本利益
B.审查控制平衡，验证系统能否正确处理数据
C.审查第一阶段的后续项目更改要求
D.确定系统目标是否实现"

Answer 16

C “既然管理人员意识到项目存在问题，那么审查后续修复将会提供关于项目问题的类型和可能原因方面的见解。这将有助于确定IT是否已为解决后续阶段中的这些问题而做好充分的计划。
尽管所有选项都对，但后实施阶段工作重点和主要目标应保证最初阶段的问题得以解决。”

Question 17

17	"一家跨国销售组织正在制定新的计划，希望通过移动电话向客户提供信息服务。这家组织雇佣的IT经理的主要职责是：
A.执行可行性分析
B.评估技术实力
C.准备业务案例
D.寻找解决方案提供商"

Answer 17

B 在这种场景下，IT经理应负责为此项计划评估技术实力。可行性分析、准备业务案例更可能由业务或流程负责人，而非IT经理执行。寻找解决方案提供商的任务由跨职能团队执行；这不是IT经理的主要职责。

Question 18

18	"一位正在审查大型软件开发项目的IS审计师发现，项目正在按计划进行，且未超出预算，但是软件开发人员方面却出现了计划外的加班。这位IS审计师应该：
A.既然可以如期完成，所以做出项目正在按计划进行的结论
B.进一步询问项目经理，确认加班成本是否得到准确追踪
C.做出程序员为赚取加班费用而有意工作迟缓的结论
D.进一步调查，确定项目计划是否准确"

Answer 18

D “尽管重要项目如期完成非常重要，但是如果需要相当多的计划外加班才能准时交付，则项目计划可能存在问题。大部分案例中，要求程序员大量加班显然不是最佳做法。
尽管加班成本可能是计划有问题的一个指标，但在许多组织中，编程人员可能会因此得到报酬，而加班成本可能不会直接记录。程序员有可能钻工时系统的空子，但是如果不付加班费，他们不会心甘情愿的加班。”

Question 19

19	"以下哪个选项对应用程序系统的顺利实施影响最大
A.原型设计应用程序开发方法
B.遵守适用的外部要求
C.组织整体环境
D.软件再工程技术"

Answer 19

C “应用程序的系统开发管理流程是整个IT流程管理的一部分。组织整体环境对应用程序系统的顺利实施影响最大。
部署的方法自身对应用程序系统的顺利实施不会有太大影响。速度更快的开发工具（如第四代语言（4GL）技术）允许用户在短期内查看建设系统工作情况的高层次视图。通过采用此类工具，原型设计应用程序开发技术可大幅缩短系统部署时间。
遵守适用的外部要求对顺利实施也有影响，但是不如组织的整体环境影响大。
软件再工程技术是一个通过提取、重新使用设计和程序组件来更新现有系统的过程。在组织运营方式出现重大变化时，其能够提供支持。相对于组织的整体环境，其对应用系统的顺利实施影响较小。”

Question 20

20	"发现IS项目范围发生变化而未执行影响分析时，最令IS审计师关注的是以下哪一项
A.变化带来的时间和成本影响
B.回归测试失败的风险
C.用户不同意更改
D.项目团队不具备作出必要更改的技能"

Answer 20

A “任何的范围变化都会对项目周期和成本造成影响；这就是执行影响分析、告知客户变化对计划和成本方面的可能影响的原因。

范围变化不一定会影响回归测试失败的风险，用户也不一定会拒绝更改，项目团队也不见得缺乏做出改变的技能。”

Question 21

21	"使用成熟模型（CMM）来评估应用程序开发项目的主要目的是
A.确保开发了适当的系统流程和程序
B.验证是否开发了可靠的应用程序
C.确保系统安全要求合理恰当
D.验证程序员的工作是否高效"

Answer 21

B “通过使用CMM评估组织的开发项目，IS审计师可以确定开发组织是否遵守了稳定、可预测的流程。

CMM不是用来开发流程和程序、设计系统安全要求或是测试程序员工作效率的。”

Question 22

22	"一家组织在项目完成之前审查关键项目成果，并决定随后对项目进行了一些重大更改。管理层发现这些改动会影响到最初设定目标的实现。为改进项目管理流程，IS审计师应建议采取以下哪一项控制？
A.定期绩效监控
B.流程框架标准化
C.适度的活动分割
D.高层管理人员审批"

Answer 22

A “项目的定期绩效监控能够确保与预算、时间和资源有关的错误或偏差在项目执行阶段得到尽早发现、及早作出更改。这样要好过等到项目结束时才来应对（这时作出更改的成本会增加）。
如同将采用的活动和模版自定义一样，项目管理流程所用框架的标准化也有助于建立有效的项目控制，但它不能直接保证执行了适当的绩效监控。
将项目活动按照各个阶段进行分割能够简化管理、计划和控制工作。但是它本身无法保证对各阶段的目标实现进行审查，及时防止组织更改延迟的情况。
为保证获得项目成功所需要的资源，在项目开始前需要得到高层管理人员的审批，但这不能保证项目得到适当监控，其各个目标均能实现。”

Question 23

23	"下列哪一项是对确定项目活动带优先级和确定项目的时间表最有帮助？
A.甘特图（一种按照时间进度标出工作活动，常用项目管理的图表）
B.挣值分析法（是一种项目跟踪、对项目状态评估的技术。其核心内容是将工作、工作进度量化为价值，工作计划—预算，实际工作进展—成本，使得我们可以客观的精确地计算共完成的百分比。它解决了在任务持续时间段内凭借主观估计该任务完成情况的问题）
C.项目评审技术
D.功能点分析法"

Answer 23

C PERT方法的工作原理是基于项目事件的三种可能情形（最好、最坏、正常）下获得的项目的时间表。时间表由事先定义的公式计算，并识别关键路径，识别出的关键活动必须是最优先的。EVA是跟踪项目成本和项目成果的技术，但对任务优先级排序没有帮助，甘特图是一个简单的项目管理工具，并对于优先级排序需求有帮助，但是它没有PERT更有效。FPA评估输入和输出的复杂性，但对于项目活动优先级排序没有帮助。

Question 24

24	"某企业正在开发一个新的采购系统，但有些任务进度已经落后于预定计划。由此，有人建议将原定的测试阶段缩短。项目经理向信息系统审计人员咨询如何减轻缩短测试时间可能带来的相关风险。下列哪一项是适当的风险缓解策略？
A.测试并发布一个精简功能的版本
B.修复并且重新测试最为严重的功能性缺陷
C.取消开发团队已计划的测试，直接进入验收测试
D.部署一个测试工具去做自动化的缺陷跟踪"

Answer 24

A 选项A能在很多途径上降低风险。降低功能要求会导致运行较少的整体测试用例和缺陷修复，以及更少的回归测试。对被选择的一组用户而言，一个试用系统发布是可用的，能降低与完全实施相关的风险。针对所有用户发布系统不能实现所有的优点，但是某些优点将开始实现。另外，可以获得来自真实用户的有用的建议来在完全发布中引导额外的功能和其他的一些需求上的提升。选项B不正确，当测试开始后，一个指标性意义的缺陷是非常可能存在的。仅仅聚焦在风险的高位功能性缺陷上面，会忽略一些其他的重要场景，比如可用性问题和性能以及安全方面的非功能性的需求。系统能上线，但是用户可能难于使用旨在实现业务利益的系统。选项C是最常见的很糟糕的想法，在系统的验收测试开始之前，某些前置的测试要进行并发布系统已经准备好进入验收评估的阶段。如果有开发团队进行的前置测试没有发生，有相当大的风险就是大量的低级别的缺陷存在，比如交易引发的系统当即和难以理解的错误信息，对用户或测试者的验收测试而言，最终导致整体测试时间的增加而不是减少。选项D能够帮助提升测试效果，但是他不能处理由于在一个质量得不到保证的系统中减少测试的努力所带来的基础风险。根据问题发生的经验，至少有理由怀疑存在着质量问题。

Question 25

25	"企业首席信息官（CIO）担心，在软件项目进入到测试阶段后，发现大量的缺陷使得项目延迟。下列哪个选项最适合解决这种情况？
A.要求所有的测试任务都由一个专门团队来执行
B.构建系统时以较小、较短的增量进行
C.采用一个顺序的开发技术，把测试类型和开发阶段绑定起来
D.要求交付所有项目成果时正式签字"

Answer 25

B 建立一个更小更短的增量工作软件系统作为每一个增量输出，能够在项目的整个生命周期的早期暴露质量问题。安排专业的测试人员有助于增加测试效果并可能有力的、较早的暴露严重的缺陷。无论怎样，在开始测试以前的项目早期阶段，这个选项并不解决缺陷的基础性问题。一个顺序的开发技术，比如“V型”模型，是一个顺序的软件开发方法，比如，项目被视为一个“需求定义、设计、开发、测试”的顺序阶段，但是，它不能在测试开始之前的项目早期阶段直接定位缺陷所在。正式签字并不确保签署者充分理解文档以及此文档是否完整。

Question 26

26	"以下哪一项是由不合适的软件基线（software baselining）导致的风险？
A.范围蔓延
B.交付延迟
C.软件完整性违规
D.不合适的控制"

Answer 26

A 软件基线是系统的设计和开发阶段的调整点，在此之前如果没有经过业务成本分析及正式严格的审批步骤，都不应该对设计部分作出额外要求或修改。没有通过软件基线管理系统需求将会导致一系列的风险，其中最大的风险就是范围蔓延。选项BCD都不一定会发生，但A是不可避免的。

Question 27

27	"因为开发时间或资源需求被低估，很多IT项目遇到问题，以下哪一项技术可以在预计项目期限方面提供最大的帮助？
A.功能点分析
B.PERT图
C.快速应用开发
D.面向对象开发"

Answer 27

B 了解所有的活动及相应的工作后，可以通过PERT图计算项目持续时间。功能点分析是基于功能点数量判断一项开发任务大小的技术。功能点是输入。输出、查询、逻辑内部文件等要素。虽然这有助于确定个别活动的规模，却无法确定项目的持续时间，因为活动有很多重叠。快速应用程序开发能够组织快速开发具有重点战略意义的系统，同时降低开发成本，保证质量，面向对象开发方法是解决方案的技术说明和建模的过程。

Question 28

28	"IS审计师正在检查一系列完成的项目，发现完成的功能超过了需求，并且绝大多数项目显著超过预算。该组织的项目管理流程的哪个方面最有可能造成这个问题的原因？
A.项目范围管理
B.项目时间管理
C.项目风险管理
D.项目采购管理"

Answer 28

A 由于完成的功能大于需求功能，最可能的预算超支问题的原因是没有有效的管理项目范围。项目范围管理被定义为确保项目包含为完成项目所需的工作并且只有需要的工作所需的流程。选项B是不正确的，因为项目时间管理被定义为确保项目按时完成所需要的流程，上面出现的问题没有提到项目是否按时完成，因此这不是最可能的原因。选项C是不正确的，因为项目风险管理被定义为与识别、分析和对项目风险的反应相关的过程。尽管上面提到的预算超支代表了项目风险的一种形式，他们似乎是由完成太多功能造成的，这与项目范围直接相关，选项D是不正确的，因为项目采购管理被定义为被审计的组织外部获得的商品和服务所需的过程。尽管采购过于昂贵的商品和服务造成预算超支，在当前情况下造成该问题最主要的原因是完成的功能远大于需求，这更有可能与项目范围有关。

Question 29

29	"IS审计师在检查一个组织的软件开发流程，下列哪项功能是最适合由最终用户来完成的？
A.程序输出测试
B.系统配置
C.程序逻辑规范
D.性能调查"

Answer 29

A 用户可以通过检查程序输入测试程序输出并与系统输出相比，虽然这个工作通常由程序员完成，但由用户来做就是更有效的。系统配置通常技术性过强而不能被用户完成，而且这种情况下会造成安全问题。程序逻辑规范也是一个非常技术性的工作，通常由程序员完成，性能调整同样需要高等技术因此也不能由用户有效完成。另外选项BCD也会带来职责分离问题。

Question 30

30	"IS审计师发现系统开发模式下，有12个链接块且每条记录带有10个可定义属性的字段。系统一年处理几百万条事务，IS审计师可以使用以下哪种技术来评价开发工作的大小？
A.项目评审技术
B.源代码系统
C.功能点分析
D.白盒测试"

Answer 30

C 功能点分析是一种通过考虑输入，输出和文件的数目和复杂性间接测量应用程序大小的方法。它用于评估复杂的项目。项目评审技术是管理技术有助于项目规划和控制。源代码统计给予一个程序大小的直接测量，但不允许产生有重复的链接模块的和各种各样的输入和输出地复杂度。白盒测试包括详细的程序代码行为检查，也是适合于简单应用程序设计和开发建立阶段的质量保证技术。

Question 31

31	"系统开发生命周期项目的阶段和交付成果应被确定：
A.在项目启动计划阶段
B.在早期计划完成后，但在实际工作开始前
C.整个工作过程中，基于风险和暴露点
D.只有在识别所有风险和暴露点后且IS审计师建议采取适当的控制后"

Answer 31

A 项目计划的正确性是非常重要的，而特定阶段和支付成果应当在项目的早期阶段前确定。

Question 32

32	"功能性在软件生命周期是来评估软件产品的一个特点，最好的描述在于：
A.已有的功能性清单和它们得具体内容
B.软件从一个环境转移到另外一个环境的能力
C.软件在声明条件下保持性能等级的能力
D.软件的性能和大量使用资源之间的关系"

Answer 32

A 功能性是基于现有功能属性和他们的特定属性的属性设置。功能性是安全说明或隐含的需求。选项B提供了可移植性，选项C提供了可靠性，选项D提供有效性。

Question 33

33	"下面哪个是时间盒子管理的特点？
A.不适用于原型或快速应用开发
B.减少质量控制过程的需要
C.防止成本超支和延迟交付
D.将系统测试和用户接受性测试分离"

Answer 33

C 时间盒子管理，设置具体的时间和成本的界限。非常适用于原型和RAD，集成系统和用户验收测试，但不能消减对质量流程的需要。

Question 34

34	"以下哪项最能确保业务应用系统离岸开发的成功：
A.严格的合同管理
B.详细、正确的申请规范
C.意识到文化和政策的差异
D.实施后检查"

Answer 34

B 在操作离岸项目时，最重要的是建立详细的规范说明。由于开发者，最终用户间语言差异和缺乏交互，设想、修改的沟通可能不充分，产生偏差。A,C,D虽然也重要，但B更重要。

Question 35

35	"为加强项目工期约束，计划增添人手，以下哪项需要首先被重新核定：
A.项目预算
B.项目的关键路径
C.剩余任务量
D.调配到其他项目的人员情况"

Answer 35

B 由于增加资源可能会改变项目的关键路径，必须重新评估项目实施关键路径以确保额外增加的资源能缩短工期。鉴于有可能不是在关键路径上的其他一些任务，给其他任务增添人员，项目预算，工期可能不受影响（某任务增添人手，可能引起关键路径的变化）。

Question 36

36	"当把质量控制作为检查一个项目的重要关注点时，IS审计师应该使用项目管理三角形理论（质量-成本-时间）来解释：
A.即使资源减少，质量控制目标也能提升
B.质量控制目标只能在资源增加的情况下提升
C.即使资源减少，也能加快成果交付
D.加快成果交付只能在降低质量控制要求的情况下才能事件"

Answer 36

A 项目的交付由三个主要方面来确定，所分配的资源和交付事件。三角形的面积由三边组成，面积是固定的。改变一条边长，可能是通过改变另一边或两边来补偿。因此，如果资源分配减少，如果在延长交付事件的情况下，提高质量是可以实现的，三角形的面积始终保持不变。

Question 37

37	"在软件开发项目中，下面哪项是符合成本效益，降低软件开发项目过程中遇到的缺陷的数量有效建议：
A.增加系统测试的时间
B.实施正确的软件评审
C.增加开发人员
D.要求签署所有项目的可交付成果"

Answer 37

B 评审代码和设计是提供软件质量的技术。这种方法的优点是缺陷在被传播到项目生命周期的下一阶段之前被识别，降低了减少返工及修正成本。花费更多的时间测试可发现更多的缺陷，额外的测试费用相对于没有早期的发现缺陷进行修改成本要小得多。开发人员的能力影响产品的质量，但是，更换开发人员取代昂贵、缺乏连续性，有胜任能力的人员在缺乏有效的管理流程的时候也不能保证产品的质量。交付物签字，复核人认真的检查交付内容有助于发现缺陷，但执行很难，交付审查通常不细致到软件评审的级别。

Question 38

38	"当鉴别提前一个项目的完成时间，需要额外付费的活动，以下哪项为关注的：
A.活动时间最短
B.零松弛时间（关键路径）
C.最长完成时间
D.松弛时间最短者"

Answer 38

B 关键路径的活动时间比网络其他路径长。该路径非常重要，它的长度是整个项目完成时间最短的。在关键路径上的活动具有零松弛时间，相反，零松弛时间的活动都在关键路径上。连续的通过调整对关键路径上的活动，曲线显示项目总成本与时间的关系。

Question 39

39	"IS审计师审计一个软件开发项目，项目已完成80%以上，但时间已经超期限25%，成本超过10%。则审计师该？
A.报告组织没有进行有效的项目管理。
B.建议更换项目经理。
C.审查IT治理结构。
D.审查该项目的执行过程和业务方案（判断商业模式是否发生变更）。"

Answer 39

D IS审计师需要在了解项目及项目预算超资，进度延迟的主要因素后才能做出建议，即使组织有有效的项目管理方法和良好的IT治理结构，仍可能落后于计划或超出预算。没有任何迹象表明，项目经理由于没有对项目延期原因进行调查而应该被更换。

Question 40

40	"IS审计师应去审查下列哪一个，以便了解项目的进度，预算和支付，及早发现可能超支和预计完成的评估？
A.功能点分析
B.净值分析
C.成本预算
D.项目评估和审查技术"

Answer 40

B 净值分析（EVA）是一个行业标准方法，对于测量项目的进度，可在任何时间点，预测其完成日期和最终成本，分析进度中、成本、预算的差异。通过比较计划工作量与实际完成的工作量，判断成本，时间，工作的完成与计划一致。如果存在一个良好的工作分解结构的话，EVA将会更有效。功能点分析法是一个间接的测量软件规模和复杂性，不能用来做时间和预算的。成本预算不能解决时间问题。PERT在时间和交付管理上有帮助，但缺少对项目预计完成和整体财务管理的功能。

Question 41

41	"下列哪一项技术最能帮助信息系统审计师获得有关项目满足它的目标日期的合理保证？
A.根据情况报告，在已完成的百分比和估计完成的时间的基础上评估实际结束日期。
B.在与参与已交付工程的有经验的经理和员工交谈地 基础上确认目标日期。
C.在已完成的工作任务和现在的资源的基础上推算最后的结束日期。
D.在当前的资源和剩余可用项目资金的基础上推算期待的结束日期。"

Answer 41

C 直接观察比从访谈或情况报告中估计和定性得到的结果要好。项目经理和参与员工易于低估完成需要的时间和必须的时间，来减少任务间的依赖。而过高估计已完成任务的百分率。剩余预算的基础上的推算没有考虑项目已经进行的速度。

Question 42

42	"信息系统审计师发现对时间约束或延伸的需求，在新商业智能项目中违背了企业数据标准。以下哪一项是审计师应该提出的最佳建议？
A.通过增加项目的资源投入，使项目符合有关标准
B.在项目完工后在实现与数据定义标准的一致性
C.推迟项目，直到项目符合有关标准
D.通过对违反标准者采取惩罚的方式，加强项目的合规性"

Answer 42

A 如果数据结构、技术和操作需求得到了详细记录，标准符合性问题可以看作是分配给新项目资源的特定工作任务。使用费标准数据定义会降低开发工作的效率，增加关键业务决策发生错误的风险。在项目完工后修正数据定义标准（选项B）是危险的，并不是一个可行的方案。另一方面，惩罚违反标准者（选项D）或推迟项目建设（选项C）也不合适的建议，因为可能会影响项目的收益。

Question 43

43	"一个项目经理负责一个被规定要在18个月完成的项目，并宣布项目正处良好的财务状况，因为6个月后仅1/6的预算花费。项目经理应该首先确定：
A.对照时间表已经完成的进程量
B.是否项目预算能减少
C.是否项目能提前完成
D.是否项目预算能扩大项目范围"

Answer 43

A 项目的花费情况并不能恰当地评估时间进度情况。在一个项目上费用不能被简单地估。为了恰当地评估项目预算状况，知道实际上有多少进程被完成是必要的。给予这些，费用的使用情况被期望。项目的费用低，是因为实际进程也完成的少的情况也是可能的。直到对照已经完成的时间安排分析项目，是不可能知道任何原因去减少预算。如果项目有小的失误落后计划，那么，不但没有多余的预算，而且可能还需要额外的花费被需要去挽回失误。实际上低的花费可能是项目可能延误而不是提前的表现。如果校正实际的进程后，项目被发现少于预算，这未必是一个好的结果，因为它表明是原预算进程的瑕疵。如上所说，直到进一步分析被保证，不能确定任何多余的资金实际存在。进一步的，如果项目提前完成，那么扩大范围可能是错误的。

Question 44

44	"当企业完成所有关键业务的业务流程重建（BPR）后，IS审计师最可能关注以下哪一项？
A.业务流程重建前的业务流程图
B.业务流程重建后的业务流程图
C.业务流程重建计划
D.持续改进和监控计划"

Answer 44

B IS审计师的任务是识别和确认关键控制被纳入到重建流程。选项A是不正确，因为IS审计师必须检查现在的流程而不是过去的流程。选项C和D也是不正确的，因为他们是业务流程重建的一个步骤。

Question 45

45	"在定义并实现系统交付成果以确保顺利完成和实施新的业务系统应用程序时，应由谁来负责审查和审批
A.用户管理人员
B.项目指导委员会
C.高层管理人员
D.质量保证人员"

Answer 45

A “用户管理人员有对项目和所建立系统的所有权，向团队分配有资质的代表，主动参与系统需求定义、验收测试和用户培训。应由用户管理人员对于根据定义、完成或实施的系统交付成果进行审查和审批。
项目指导委员会将提供整体指导，确保主要利益相关方的利益在项目成果中得到了适当体现，定期审查项目进展情况，根据需要举行紧急会议等。项目指导委员会为所有的交付成果、项目成本和计划最终负责。
高层管理人员就项目作出承诺，并批准提供项目完成所需要的资源。高层管理人员的这一承诺有助于确保那些项目完成所需人员的参与。
质量保证人员审查其各个阶段内取得的成果，并在每个阶段结束时就其是否符合要求进行确认。审查时间取决于系统开发生命周期、系统的结构和大小，以及可能偏差的影响。”

Question 46

46	"一个组织在实施企业资源规划（ERP），以满足其业务目标。以下谁是最主要负责监督该项目，以确保它按照项目计划开展，交付预期的结果？
A.项目发起人
B.系统开发项目团队
C.项目指导委员会
D.用户项目组"

Answer 46

C 项目指导委员会，提供一个ERP实施项目的总体方向，负责审查项目的进展，以确保实现预期的结果的负责。项目的发起人通常是负责被应用支持的主要业务单位的管理者。发起人为项目提供资金，并与项目经理监督关键成功因素和标准。发起人不负责审查项目的进度。SDPT与用户组有效的沟通完成项目经理分配的任务。SDPT不负责审查项目的进度。UPT与开发组有效的沟通完成项目经理分配的任务。UPT不负责审查项目的进度。

Question 47

47	"当评估一个组织的软件开发实务时，信息系统审计师注意到质量保证能直接报告给项目经理，作为一个信息系统审计师最重要的关系是：
A.质量保证功能的有效性，因为项目管理人员和用户管理人员之间相互影响。
B.质量保证功能的效能，因为项目实施小组的配合。
C.项目经理的效力，因为项目经理与质量保证功能互相影响。
D.项目经理的效能，因为质量保证功能需要与项目实施小组联系。"

Answer 47

A 有效的质量保证功能应该独立于项目管理人员。质量保证功能决不能与项目实施小组相关影响，因为这能影响有效性。项目经理也不能与质量保证功能相互影响，这也不影响项目经理的效率。质量保证功能也不能与项目实施小组相互影响，这也不影响项目经理的效率。

Question 48

48	"Web程序开发者有时使用网页上的隐藏区域保存客户会话信息。这种技巧有时被用来保存会话参数以便能跨网页访问，例如在零售网站应用程序中保存购物车内的物品。因为这种实践，下列最有可能基于Web的攻击是：
A.参数篡改
B.跨网脚本
C.Cookie中毒
D.隐藏运行命令"

Answer 48

A Web程序开发者有时运用隐藏区域保存客户端会话信息，或提交隐藏参数，如终端用户的代码给应用程序。由于隐藏形式的区域不在浏览器里显示，开发者可能觉得传送未验证数据是安全的（以后验证）。这种做法不安全是因为攻击者可以拦截、修改且提交能发现信息或web开发者从未注意到的执行功能的请求。网络应用程序参数的恶意更改被称作参数篡改。跨网脚本攻击包括已被入侵的网页重定向用户到入侵者的网站内容。使用隐藏区域不会影响跨网脚本攻击发生的可能性，因为这些区域都是静态的内容，一般不能被更改而造成这种类型的攻击。Web应用程序使用Cookies在客户端机器上保存会话信息，所以用户不需要每浏览一个网页就登入一次。Cookie中毒是指为了冒充用户或者窃取登陆证明而拦截和更改会话Cookies。隐藏区域的使用和Cookies中毒没有关系。隐藏运行命令是通过安装未授权代码的web服务器劫持。当使用隐藏形式可能会增加服务器被入侵的危险，最常见的服务器漏洞包括服务器操作系统或网络服务器的脆弱性。

Question 49

49	"审计师正在审计一个软件采购流程，他需要确保：
A.在合同签署之前先经过法律顾问的评审和批准
B.现有的系统无法满足需求
C.有关需求对业务至关重要
D.用户充分参与购置流程"

Answer 49

A 审查和批准合同的过程是软件采购流程中的非常重要的步骤之一。审计师要检查法律顾问已经在管理层签署之前评审和批准过合同。选项B不是正确的答案，因为已经存在的系统可能是符合需求的，但是管理层可能出于其他的原因而采购软件。选项C是不正确的，因为需求并不必须要去支持关键的业务需要。选项D是不正确的，因为在软件的采购过程中，用户的参与并不是必须的。用户最有可能参与的是在需求定义和用户验收测试（UAT）。

Question 50

50	"在审计一个已获得的软件包时，IS审计师已经知道这个软件购买是以互联网获得的信息为基础，而不是从RFP得到的反馈。此时，IS审计师首先应该：
A.检测软件的完整性是否满足当前硬件的需求
B.执行漏洞分析
C.审计版权政策
D.确保流程已经被批准"

Answer 50

D 相比规定流程的违规程度，IS审计师应当首先确保所需的软件包含业务目标并且被批准。其他选项不是IS审计师首先考虑对象。它们是发生在确定用于获得软件的流程已被审批之后的步骤。

Question 51

51	"组织已和供应商签约，使用他们的电子征税系统（ETCS）解决方案。供应商在解决方案中包含了应用软件的所有权。合约应满足：
A.备份服务器应可用最新数据来运行电子征税系统
B.备份服务器保存所有相关软件和数据
C.组织中使用该系统的员工应被培训后可处理任何事件
D.电子征税系统应用的源代码应由第三方保存附带条件委付盖印的契约"

Answer 51

D 当购买专用的应用软件时，合同中应规定源代码的协议。这将确保购买公司在供应商业务终止时拥有修改软件的机会。对当前的数据使用备份服务器和员工培训是关键的，但不确保源代码的可用性关键。

Question 52

52	"某公司和外部咨询公司签约资金系统以替换现有的自行开发系统。在审核提交的开发途径时，下面那一项最值得关注？
A.由用户来管理验收测试
B.质量规划不是合同内容的一部分
C.在初步实施新系统会导致部分业务不可用
D.原型法被用于确保系统满足业务需求"

Answer 52

B 质量规划是项目中基本要素。要求签约供应商落实这个计划很关键的。质量规划在开发合同中应当综合考虑并包含所有的阶段并且包含需要什么样的业务功能并且合适需要。验收通常在用户方进行，用户需要确认新系统能够满足他们的需求。如果系统规模过大，在接近事实进行时合理的原型法是一种有效的开发方式确保系统满足业务需求。

Question 53

53	"IS审计师在检查一个推荐的应用软件采购时应该确保：
A.使用的操作系统与现有的硬件平台相兼容
B.计划操作系统的升级已按照公司要求的最小负面影响来安排时间
C.操作系统是最新版本并且实时升级
D.产品与当前或者计划中的操作系统相兼容"

Answer 53

D 选择A和C都是不正确的，因为它们中没有一个与正在审计的内容有关。在审查提议的应用时，审计师应当确保购买的产品与当前或计划的操作系统相兼容。关于选项A，如果操作系统是目前正使用的，它与现有的硬件平台是兼容的。如果不兼容，它将不能正确的操作。在选项B中，计划操作系统的升级应当在对组织最小负面影响的时间段进行。选择C已安装的系统应当配备最新版本和升级。

Question 54

54	"下列哪一项可使总体编程效率和可靠性达到最佳？
A.结构化编程
B.微程序设计（microprogramming）
C.面向对象编程
D.线性编程"

Answer 54

C 因为“对象”（现有数据定义和附加数据操作例程）能直接包含在源代码中，面向对象编程允许对软件进行常规性重用，并增加了代码的可靠性。结构化程序是“jumpless”无跳转的编程，通过禁止程序的Jump（跳转），可消除造成错误的诱因，但是这种编码方法主题任务的合适的逻辑结构，这可能花费大量的时间。Microprogramming是在机器级别上的汇编程序，它即花费时间也会产生关键性错误。线性编程是一种优化任务的数学解决方法，比如最大利润或者最小成本，但是要给出一个特定的数学模型才起作用，用于特殊的、范围有限的特定任务。

Question 55

55	"选择使用快速应用开发（RAD）方法来实现一个ERP系统。因为内部员工无法满足需求，所有的项目活动都被分配给承包的咨询公司。审计师首先要做什么？
A.评估项目的计划和方案
B.要求供应商提供额外的外部员工
C.建议公司雇佣更多的员工
D.暂停项目，直到人员到位"

Answer 55

A 因为计划时间通常很短，RAD法需要可用的资源和良好的专业知识以及快速的决策流程。为弥补最终用户数量的不足，审计项目计划和方案可以对其做出合适的变更，这是最好的建议。增加参与项目的外部人员不能解决这个问题，因为他们不能决定哪个内部人员能代表来自业务端的最终的使用人员。雇佣更多的新员工将花费时间，而且也不能保证新员工能在项目中做出适当的决定。停止项目也许能成为一个不错的选项，但是审核项目并考虑所有的情况才是最先要做的。

Question 56

56	"对使用原型法开发的业务应用系统变更控制比较难，是因为：
A.原型开发的迭代特征
B.需求和设计的快速修改
C.强调结果和目标
D.缺少集成工具"

Answer 56

B 需求和设计变化的如此之快，以至于它们难得归档或经过验证。选项AC或D是原型法的特点，但是他们对变更控制没有什么不利的效果。

Question 57

57	"使用面向对象设计和开发技术的应用最可能：
A.使模块具有重用性
B.提高系统性能
C.提高控制有效性
D.加快系统开发生命周期"

Answer 57

A 面向对象开发和设计的一个主要的优势是能够重用模块。其他选项不是面向对象通常的优势。

Question 58

58	"一个组织有一个集成开发环境（IDE），程序库在服务器上，但是修改/开发和测试是在PC工作站中进行的，下列哪一项是IDE的一个优势？
A.分散的多个程序版本控制
B.扩大编程资源和工具使用
C.增加程序和处理的完整性
D.防止有效的变更被其他变更覆盖"

Answer 58

B 使用IDE的优势之一是扩大编程资源和工具的使用，维持服务器周围环境所有开发工具可用。IDE自身不进行版本控制，相反会导致多个程序版本的存在。IDE不影响完整性，也不管理程序变更。

Question 59

59	"在减少开发成本和确保项目的质量情况下，以下哪项管理技术可以使企业快速开发战略上的重要系统：
A.功能点分析
B.关键路径法
C.快速应用程序开发
D.项目评审技术"

Answer 59

C RAD是一种管理技术用于组织快速开发战略上的重要系统，在减少开发成本和确保项目的质量情况下。PERT和CPM是计划控制技术，而功能点分析师用于建立复杂的业务应用开发的一种控制技术，用于评估项目的复杂度。

Question 60

60	"下列哪一选项是采用原型开发手段的优势：
A.已完成的系统自身就有很强的内部控制
B.原型系统能够带来明显的时间和成本节省
C.原型系统中的变更控制通常没那么复杂
D.原型法确保功能或额外的内容不附加到预期系统中 "

Answer 60

B 原型法能显著的节约时间和成本，然而，还有很多不足，经常没有足够的内部控制，变更控制变得非常复杂，经常导致功能或者不是原来预期额外的东西被加入到系统中。

Question 61

61	"相对于传统系统开发生命周期，快速应用开发的最大优势是
A.促进用户的参与
B.允许早起技术特征测试
C.推进向新系统的转化
D.缩短开发的时间周期"

Answer 61

D 采用RAD最大的优势是系统开发过程中缩短开发的时间周期。选项AB都是对的，但他们是传统系统开封的生命周期，选项C不一定在那个是对的。

Question 62

62	"基于组件（构件）的开发方法主要的优势是：
A.能管理各种不受限制的数据类型
B.提供复杂关系的模型
C.满足变更环境需要的能力
D.支持多开发环境"

Answer 62

D 用一种语言写的组件能与其他语言写的控件相互配合，或在其他机器上的运行，这能加快开发速度。软件开发者能以业务逻辑为中心。其他的选项不是一个基于组件开发方法的重要的优势。

Question 63

63	"当一个信息系统审计师检查一个用敏捷开发方法开发的项目时，信息系统审计师期望发现下列哪些一项？
A.使用过程成熟度模型，例如能力成熟度模型
B.根据时间表安排定期检查任务进程
C.大量使用软件开发工具来提高开发效率
D.重复检查来识别经验以备将来项目使用"

Answer 63

D 软件敏捷方法的一个关键原则是管理人员学习了解精炼的项目管理和软件开发过程并作为项目的进程。获得这个的最佳方法之一就是每次反复后。项目组考虑并记录好的工作方法和如何使工作更好，并识别改进下一次反复。实际上，能力成熟度模型和敏捷开发方法是相对立的。能力成熟度模型着重强调预定义正式的进程和正式的项目管理和软件管理交付。相比之下，敏捷项目依靠进度的改良，被项目特定的需要和项目组动态制指定。另外，较低重要性的是在正式纸质为基础的输出，在团队内有效正式沟通以及关键外部投入。Agile项目在短重复里生产可解除软件，典型分为从四到八周。从她本身来说，在团队内灌输相当的执行纪律。这个和短时间的日常会议结合，来决定什么团队正在做以及任何阻碍的鉴别，汇报任务级别按照计划跟踪。Agile项目确实使用合适的开发工具，但是，工具不上达成生产力的首要手段。团队和谐、有效沟通和集中力量来解决挑战是更为重要的。

Question 64

64 “以下哪一个是面向对象的技术特性，可以增强数据更高安全性的特点？
A.继承：继承可以参考数据库结构的严格层次型结构（不具多重继承）.如果继承初始化与类的层次无关的其他对象，这样就不具对象的严格层次性。
B.动态库。
C.封装性：利用分层协议的技术，较下层的接受较高层的信息成为内部框架中的一部分。
D.多态性：就像数据结构，传送同一命令给不同的子对象，但根据他们所属的层次型的树状结构，会产生不同的结果。”

Answer 64

C 封装是对象的属性，他可以阻止访问未定义为公共的属性或者方法。这意味着对象的任何行为的执行都是不可访问的。对象定义了与外部的通信接口，只有属于这些接口的东西可以被访问。

Question 65

65	"以下哪种风险是在SaaS（软件及服务）环境下最可能遇到的？
A.不遵守软件许可协议
B.互联网交付方法引发性能问题
C.软件许可要求造成成本偏高
D.兼容硬件更新需求造成成本偏高"

Answer 65

B 由于SaaS依赖互联网进行连接，所以SaaS环境下最可能遇到的风险是速度和可用性问题。SaaS以使用而非许可为基础进行提供；因此，不存在不遵守软件许可协议或许可费方面的风险。此外，开放式设计和互联网连接也让大部分SaaS可以虚拟方式进行，因而不需要硬件。

Question 66

66	"由于重组，一个企业应用程序系统将会扩展至其他部门。以下哪一项最令IS审计师关注？
A.未确定流程的负责人
B.未确定记账成本分摊方法
C.应用流程存在多个所有者
D.没有培训方案"

Answer 66

A “在一个应用程序扩展到多个部门时，确保流程负责人和系统功能之间的对应非常重要。如果没有指定的流程负责人，在监控或授权控制方面可能会有问题。
应用程序使用成本的分摊方法是次要问题。只要流程负责人确定，存在多个应用程序所有者的情况也不是问题。是否制定培训方案则不是IS审计师要考虑的问题。”

Question 67

67	"一家组织的云计算策略为采用外部提供商的软件即服务（SaaS）模式，在审计其云计算策略时，以下那个选项是最令IS审计师关注的？
A.必须执行工作站升级
B.软件的长期购置成本偏高
C.与提供商签订的合同中不包括现场技术支持
D.没有全面确定提供商的事故处理流程"

Answer 67

D “SaaS提供商通常不会为组织提供现场支持。因此，组织及其提供商之间的事故处理流程对于事故的检测、沟通和解决非常重要，包括有效的沟通渠道和上报流程。
除非组织的工作站被废弃，否则升级不会成为SaaS模式的一个问题，这是因为大多数作为SaaS运行程序采用了通常的技术，允许用户在不同的设备上运行软件。软件购置费用的降低是SaaS带来的众多好处之一。”

Question 68

68	"要在海外安装一个新的数据库，以便向公众区提供信息并且提高获取信息的速度。此海外的数据库服务器将放在某IDC，并实施更新以便获得本地所存储信息的镜像。下面哪一个方面的操作的风险最高？
A. 数据库中存储信息的机密性
B.用于运行数据库应用的硬件
C.海外数据库备份的信息备份
D.远程访问备份数据库"

Answer 68

B 业务目标是让公众及时获得信息。当数据库服务器被放置到海外之后，不能修复的硬件损失会引发系统可用性的降低。信息主要为公众使用，海外数据库是一个本地数据库的镜像。因此，在本地存在着一个备份的拷贝。远程访问备份服务器不影响可用性。

Question 69

69	"在确定从一个数据库迁移到另一个数据库的个人的账户余额是否正确的时候，以下哪个选项是最有效的？
A.在迁移前后比较其HASH值
B.验证前后两个数据库的记录数是否相同
C.就迁移账户的余额执行抽样测试
D.对比所有记录的总数核对控制"

Answer 69

C 对迁移后账户余额执行抽样测试，将涉及从迁移前的数据库中选择某些交易来进行比较。而通过HASH（哈希值）仅仅能验证数据在批处理级别而不是单一交易级别的完整性。数据库中被编辑的记录能包含多个字段。审计师不能通过记录数来确定某些字段是否均被成功迁移。比较总数核对并不意味着完成记录的迁移。

Question 70

70	"一个信息系统审计师被要求检查一项执行标准化IT基础设施的提议。下述哪个发现需要在审计师的报告中展现出来？
A.提高IT服务交付与操作支持的成本效益
B.增加IT服务交付与支持的复杂度
C.减少在IT基础设施的投资水平
D.减少未来应用程序变化的测试需求"

Answer 70

A 基础设施的标准化将通过组织提供一个兼容的平台和操作系统集合。该标准化降低了管理和相异平台和操作系统所学的时间。另外，增强的操作支持工具的安装如密码管理工具、补丁管理工具和用户访问的自动配置工具等将会简单化。这些工具能够帮助组织降低IT服务交付和操作支持的费用。如上所述，限制基础设施在优先标准化技术集合中会简化IT服务交付，而不是让他更复杂。当标准化可以降低支持费用时，过渡到标准化工具可能就会计较昂贵，因此，IT基础设施投资的整体水平并不一定降低。一个标准化的基础设施可能简化对变化的测试，但不会降低对该测试的需求。

Question 71

71	"审计师正在进行一个企业网络投产后的评价审计。下面哪一个将是最令人担忧？
A.无线PDA设备没有设置密码保护
B.安装网络设备之后，没有修改默认的密码
C.没有出站的WEB代理服务器
D.并非所有的通信链路都使用加密"

Answer 71

B 在这个例子中，最显著的风险就是在安装完关键的网络设备之后没有改变其出厂密码。一个无线设备未使用密码保护是一个风险，但作为不安全的设备而言，它不是最显著的。类似的，使用一个WEB代理服务器是一个好的实践，但是也许根据企业的不同，这不是必须的。加密对数据安全而言是一个好的控制，但由于成本和复杂性，对所有的通信链路而言，并不合适。

Question 72

72	"与管理层商讨后，公司的IT部门决定所有的IT硬件从采购期起的三年后被替换。最可能的原因是：
A.以成本效益方式管理IT资产
B.与新的成本效益技术同步
C.确保现有能力能满足所有用户需求
D.确保IT硬件厂商质保"

Answer 72

A IT资产在经济生命周期内实行成本效益。IT资产被使用一段时间后，由于损耗和更换零件费用的增加，维护IT资产的成本也会大幅度增加。这就是IT硬件使用一段时间后，被替换的最主要的原因与新的成本效益技术同步技术，确保现有能力可以满足当前用户的需要，确保IT硬件由厂商保质，不是指定一个标准资产周期的最可能原因。

Question 73

73	"通过提取和重用程序组件来增强现有系统，这种方式叫做：
A.逆向工程
B.原型法
C.软件复用
D.再造工程"

Answer 73

D 再造系统是对原有系统的有效性，适应性和扩展性需要进行再造以便维持运行，再造工程是应用程序语言动态整合新功能到现有系统。逆向工程设计机器码得到源程序。原型法是系统开发方法。软件重用是计划过程，分析和使用以前开发的软件组件，重用组件是有规划的集成到当前软件产品中。

Question 74

74	"审计师正在检查一个最近完成的一项新的企业资源计划（ERP）系统的迁移。作为迁移流程的最后阶段，该组织在新系统运行前，让新老系统共同运行30天，什么是该组织应用此策略最显著的优势？
A.与其他测试结果相比有效的成本节约
B.确保新的硬件与新的系统兼容
C.确保新的系统能够满足功能需求
D.增加运行处理的弹性时间"

Answer 74

C 设计并行运行视为新系统满足功能需求提供保障。这是最安全的系统迁移测试形式。新的系统失败旧的可以立即使用。另外这种形式的测试允许应用开发者管理员同时在两个系统运行业务以确保移除旧的系统钱新的系统达到可靠程度。并行运行是系统测试最昂贵的形式。需要花费更多的时间和金钱，因此选项A不正确。硬件兼容性应该在迁移项目更早的时候确定，并不是并行运行的一个优势。兼容性通常基于应用系统发布的规范和实验环境内测试来定。并行运行被设计用来测试运行的有效性和应用数据的完整性，而不是硬件的兼容性。因此选项B是不正确的。并行处理增加的弹性是此情形下合理的结果，但是它提供的优势是临时的和微小的，所以选项D是不正确的。

Question 75

75	"一个组织正在用商用ERP的相关子系统替代内部开发的工资支付程序，下述哪个将代表最高的潜在风险？
A.某些项目变更未正式批准
B.历史数据从旧系统迁移到新系统有错
C.ERP子系统标准功能测试不完整
D.现有工资系统权限在新ERP子系统上发生重复"

Answer 75

B 一个工资系统迁移后最重要的风险是不能以及时和准确的方法向员工支付工资。因此，在迁移过程中保持数据完整性和精确性是最重要的。只要新的工资系统实现预计的功能，其它选项均没有B重要。

Question 76

76	"IS审计师正在评估一个用于编程和测试环境的虚拟机架构，生产架构是一个三层的物理架构。为确保生产环境中的WEB应用的可用性和机密性，下面哪项是最需要IT控制测试？
A.服务器配置加固
B.分配的物理资源是可用的
C.对系统管理员使用VM架结构的培训
D.灾难恢复计划（DRP）中包括VM服务器"

Answer 76

A 在该配置中最重要的控制测试是服务器配置安全加固。在投入生产前为已知的漏洞打补丁和禁用所有非必须的功能是非常重要的，尤其是生产环境的架构与开发和测试架构不同时。虚拟机（VMs）通常用来优化编程和测试架构。在此情形中，开发环境（VM架构）与生产基础设施（三层物理架构）不同。选项B不正确，因为适当的资源分配并不保证数据的机密性。选项C和D与生产环境的WEB应用不相关。

Question 77

77	"当实施一个数据仓库时哪一个是最大的风险
A.生产系统的响应时间增加
B.访问控制不足以防止数据修改
C.数据同步
D.当前数据不能更新"

Answer 77

B 当数据在仓库中，访问控制应当阻止数据被修改。生产系统的响应时间并不是风险因为数据仓库不影响生产数据。基于数据可重复，数据同步为一个数据仓库所特有。从操作的系统到数据仓库数据传输遵循预先定义的时间间隔来传输，因此数据不可能是当前的。

Question 78

78	"以下哪项为数据仓库设计时最为重要的考虑因素？
A.元数据的质量
B.交易处理的速度
C.数据的易变性
D.系统的弱点"

Answer 78

A 在搭建数据仓库时，元数据的质量高低是最重要的因素。数据仓库是一份查询和分析的交易数据特定结构。元数据目的是给储存在数据仓库的信息提供一个目录。建立了仓库的公司认为元数据是仓库最重要的元件。

Question 79

79	"一个决策支持系统（DSS）：
A.是为了解决高度结构化得问题
B.结合了使用模型和非传统数据的访问及存取功能
C.强调用户的决策方法的灵活性
D.只支持结构化的决策任务"

Answer 79

C DSS强调用户在制作决策时的灵活性，针对简单的结构化问题，结合模型和分析技术与传统的数据接入和取回功能，并且支持半结构化指定决策。

Question 80

80	"在决策支持系统(DSS)的过程中,以下哪一项具有实施风险?
A.管理控制
B.半结构的决策结构维度
C.无法确定目标和使用模式
D.决策过程发生的变化"

Answer 80

C 无法确定目标和使用模式是一个风险，开发者在实施决策系统时不能事先说明目的或使用的模式，选项A,B,D不是风险，而是决策支持系统的特征。

Question 81

81	"一家公司正在执行业务再造项目，以支持与客户的交易能采用最新的和最直接的方法。下列哪一项是IS审计师对这一新项目最主要关注的？
A.在重组过程中是否有关键的控制手段来有效保护资产和信息资源。
B.新上线的系统是否充分分解决了客户的需求
C.新上线的系统是否能满足企业的性能满足企业的性能目标（时间和资源）
D.是否所有者确定谁为程序负责"

Answer 81

A 审计师必须关注关键的业务控制点并且要确保在实施改造业务流程前这些控制措施已经被充分的应用。B.C.D是业务流程重组的过程和目标，并不是审计师首要关注的内容。

Question 82

82	"当两个或者多个系统整合时，IS审计师必须审计查输入/输出控制的哪方面：
A.接受其他系统输出的系统
B.发送输出到其他系统的系统
C.输入输出到其他系统的系统
D.在两个系统间的接口"

Answer 82

C 两个系统都必须检查出入/输出控制。因为一个系统的输出就是其他的输入。

Question 83

83	"以下哪项最关键最有助于数据仓库的数据质量？
A.源数据的准确性
B.数据源的可信性
C.抽取数据的准确性
D.数据转换的准确性"

Answer 83

A 源数据的准确性是数据仓库中的数据质量的首要条件。B,C,D也是重要的，但不会改变不准确数据的质量。

Question 84

84	"根据能力成熟度模型（CMM）评估某应用开发项目，IS审计师应该能够验证：
A.保证了产品的可靠性
B.提高了程序员的效率
C.有设计安全需求
D.遵循了预期的软件开发流程"

Answer 84

D 根据能力成熟度模型（CMM）评估某应用开发项目，审计师确定开发组织是否遵循了一个稳定的，可见的软件开发过程。虽然高的成熟度的可能增加软件的成功率，但并不能保证产品的可靠性。CMM不能评估技术过程，如编程、安全要求或其他应用控制。

Question 85

85	"下列哪种系统及数据转换战略产生最大的冗余？
A.直接转换
B.试点转换
C.分段转换
D.并联运行转换"

Answer 85

D 并联运行转换是最安全、最昂贵的方法，由于新老系统的并行运行，导致双重的成本。直接切换是相当危险的，它不提供“过度期”也没有的后备选择。试点和分阶段的方法是逐步进行，回滚程序难以执行。

Question 86

86	"从风险管理的角度，部署庞大且复杂的IT基础架构，哪种方法最好：
A.在概念论证之后，全面迅速的部署
B.原型化和单阶部署
C.按次序阶段性的部署计划
D.部署前仿真模拟新的架构"

Answer 86

C 部署庞大复杂的IT基础架构时，最佳实践就是按次序阶段性的方法，可以一起适用于整个系统。这将会提供很大程度上的对部署质量结果的保证。其他的选择都是危险方法。

Question 87

87	"一个遗留的工资支付应用系统被迁移到一个新的应用程序，下列相关人员哪个主要负责检查和签收迁移前的数据的正确性和完整性？
A.信息系统审计师
B.数据库管理员
C.项目经理
D.数据所有者"

Answer 87

D 在项目的数据转换期间，数据所有者主要负责检查和签收数据的完整性和准确性的有效。信息系统审计师不负责审查和签收数据的准确性。然而，信息系统审计师应该确保在项目的数据转换期间数据被数据所有者检查和签收。数据库管理员的主要责任是维护数据库的完整性，并使数据库满足用户的使用。数据库管理员不负责检查迁移数据。项目经理提供日常管理和领导项目，但是不负责数据的正确性和完整性。

Question 88

88	"一个组织正在迁移遗弃的系统企业资源计划系统。当检查数据迁移活动时，信息系统审计师最重要的关心是确定：
A.两系统之间被迁移数据语义特征的相关关系
B.两系统之间被迁移算术特征的相关关系
C.两系统之间过程功能特征的相互关系
D.两系统之间过程的相对率"

Answer 88

A 由于事实上两个系统有不同的数据表示，包括数据库图标，信息系统审计师主要关系的是验证的是在新系统与旧系统的数据说明是相同的。算术特征表示数据库的数据结构和内部定义方面。因此它没有语义特征重要。检查两个系统间的功能特征的相互关系或过程的相对效率与数据迁移检查不相关。

Question 89

89	"以下哪种控制方法最能有效地保证生产源代码和目标代码是同步的？
A.源代码和目标代码比较报告
B.严格控制源代码改变的库控制软件
C.严格限制访问源代码和目标代码
D.审查源代码和目标代码的日期和时间戳"

Answer 89

D 审查源代码和目标代码的日期和时间戳将确保经编译的源代码与目标代码一致，这是确保经批准的生产源代码进行编译并被正在使用的最有效的方法。

Question 90

90	"对于将应用程序从测试环境转换到生产环境，最好的控制是由：
A.应用程序员拷贝源程序并编译目标代码到生产库中
B.应用程序员拷贝源程序到生产库，然后让生产控制小组编译源程序
C.生产控制小组用测试环境中的源代码，编译目标模块到生产库中
D.应用程序员拷贝源程序到生产库中，然后编译源程序"

Answer 90

B 最好的控制是由生产控制小组拷贝源程序到生产库中，然后编译源程序。

Question 91

91	"为确认是否有未授权的生产代码变更，最好的审计流程是：
A.仔细检查变更控制系统记录并往前追踪到目标代码文件。
B.检查生产控制库中的访问控制权限操作。
C.仔细检查目标代码，找出变化的实例，并往后追踪到变更控制记录。
D.检查在变更控制系统中，变更批准名称的建立情况。"

Answer 91

C 通过检查目标代码建立代码变更实例，并跟踪到变更控制记录，是直接发现未授权变更风险的有效测试方法。其他选项在变更控制审计中也是有效的，但他们不能直接发现未授权的代码变化的风险。

Question 92

92	"当审计一个客户管理系统迁移项目时，下面哪项是IS审计师最应该关心的？
A.该技术迁移计划在长周末的周五进行，时间太短不能完成任务。
B.雇员试点测试系统发现展现在新系统中的数据和旧系统的中的数据完全不同。
C.一项单独的实施计划，立刻替换原来的老系统（遗留系统）。
D.距离截止时间还有五周，在新的系统打印功能仍然有很多缺陷。"

Answer 92

C 主要系统迁移应包括并行操作阶段或分阶段切换来降低实施风险。如果新系统无法正常运行，退役或处置旧的硬件将于要复杂的回退策略。一个周末，可以作为一个缓冲时间，使新系统有更好的机会 在周末后注册和运行。不同的数据说明并不是指前端描述的不同数据。即使在这种情况下，这个问题可以通过足够的培训和用户支持解决。打印功能是新系统中最后一项被测试的功能，因为它通常是商业事务的最后一步。因此，（打印功能）有意义的测试和各自的错误修复只有在软件的其他部分已经成功测试后才有可能被测试。

Question 93

93	"如果小型组织允许应用程序程序员将程序移入其生产环境，可以执行以下哪项控制
A.独立的实施后测试
B.独立的访问控制审查
C.独立的用户要求审查
D.独立的用户接受审查"

Answer 93

B 独立的访问控制审查更可能检测到职责分离冲突情况。审计师应考虑应用程序访问问题。例如，如果程序员将应用程序移到生产环境中，程序员不应具有将交易记录到总账中的权限。独立的实施后测试在这种情况下无效，因为在检测不出未记录功能的情况下，系统仍然可能被最终端用户所接受。独立的用户要求审查也没有效果，因为系统可能满足了用户的要求。但仍然包括未记录的功能。独立的用户接受审查也无效，因为系统可以会被最终端用户接受，而仍然不会检测到未记录的功能。

Question 94

94	"在现场工作观察和客户方IS部门的访谈期间，一位IS审计师发现客户近期实施的应用程序软件包存在很多问题。以下哪个问题带来的风险最大？
A.安全控制规定不当
B.存在多个软件版本
C.参数设置不正确
D.没有明确定义的培训计划"

Answer 94

C “对所购买软件应用程序的实施进行评估时，最大的风险是参数设置不正确。
尽管安全控制非常重要，但在本案例中，参数设置错误带来的风险更大，因为这会影响程序的核心功能。
同样，多个软件版本和缺乏培训计划等问题带来的风险都要小一些。”

Question 95

95	"主要应用程序实施两个月之后，一位认为项目运行良好的管理层人员要求一位IS审计师对完工的项目进行审查，这位IS审计师应主要关注以下哪个方面？
A.确定系统目标是否实现
B.评估是否衡量、分析和报告计划的成本收益
C.审查内置于系统的控制，确保其运行与设计构思一致
D.审查后续的项目更改要求"

Answer 95

C “由于管理人员认为实施运行良好，所以IS审计师的主要关注点应是测试应用程序内置的控制，一确保他们与设计的功能运作一致。
实现系统目标非常重要；但是在两个月后进行这项评估，数据可能不够充分。评估项目效力也很重要，但确保生产环境在实施后得到适当控制却是需要考虑到的首要问题。审查更改要求是个不错的想法，但是在发现应用程序出现问题时，这样做更加合适。”

Question 96

96	"在实施后评审中，应该执行下面哪个测试？
A.用户验收测试
B.投资收益分析
C.审计痕迹的激活
D.更新未来企业构架图的状态"

Answer 96

B 以下实施中，成本—-效益分析或投资收益分析用来证明组织的商业利益实现情况。用户验收测试（UAT）应在开发阶段执行，而不是在实施之后。审计痕迹应在程序一开始实施的时候就被激活。更新EA图标是最佳实践，但它通常不是实施后评审的一部分。

Question 97

97	"在事后审查一个企业资源管理系统时，IS审计师最可能：
A.审查访问控制配置
B.评价接口测试
C.审查详细的设计文档
D.评论系统测试"

Answer 97

A 审查访问控制配置是最首要完成的工作，以判断系统是否符合安全要求。由于事后审查是在用户验收测试和实际开发过程完成之后，它将不会致力于进行接口测试或审查详细的设计文档。执行接口测试是系统开发进程中的一部分。审查详细设计文档一般不涉及企业资源管理系统，因为这些通常是供应提供的用户手册。系统测试应该在用户验收之前执行。

Question 98

98	"在系统开发项目完成后，对项目的复核应包含以下哪项
A.评估在产品发布后产生的停工风险
B.总结经验以便适用于以后的项目
C.验证开发后的系统中的控制点
D.确保测试数据已经被删除"

Answer 98

B 项目团队都有些东西可以相互学习。风险评估是项目管理的关键问题，组织积累的经验教训可以应用于未来的项目中。实施系统前对潜在的停机时间评估应当和业务组及其他专家一起评估。验证控制在是否有效在验收测试阶段完成，测试数据应保留，用于以后的回归测试。

Question 99

99	"在关键系统上执行证明和信赖过程的原因是确保：
A.安全符合性已经在技术上评估
B.数据已经被加密和存储
C.系统已经在不同平台上测试
D.系统已经遵照瀑布模型的阶段"

Answer 99

A 被证明和信赖的系统是该系统有技术上的安全符合性评估并运行在一个特定的生存服务器。选项B是不正确的，因为并不是被信赖系统的所有数据被加密。选项C是不正确的，因为被信赖系统被评估运行在特定的环境。一个瀑布模型是一个软件开发方法，并不是一个执行证明和信赖过程的原因。

Question 100

100	"针对正在考虑购置的新应用程序软件包，IS审计师评估其控制规范的最佳时间是在
A.内部实施测试阶段
B.测试和用户接受之前
C.需求收集期间
D.可行性研究阶段"

Answer 100

C “IS审计师的最佳参与时间是在应用软件开发或购置的需求定义开始之时。这是审查供应商及其产品的最好机会。

后期参与（如在测试或接受阶段）会导致资源限制，妨碍完整评估。IS审计师的早期参与也会最大程度地减少对给定解决方案的业务承诺需求，其随着流程的持续可能会难以克服。但是，在可行性分析阶段评估控制可能还为时过早。”

Question 101

101	"某IS审计师参与了优化IT基础设施的重建过程。下面哪一项最适合用于识别需要解决的问题？
A.自我评估
B.逆向工程
C.原型设计
D.差距分析"

Answer 101

D 差距分析是在重建过程中，用于识别需要解决问题的最好方法。差距分析能够明确出在当前的流程中哪一部分是符合或者不符合最佳实践。在启动项目时，自我评估是一个切实可行的选项，但其结果往往是主观的且其效果有限。逆向工程是用于分析某些程序的功能，它不是最好的方法。原型设计是确保在参与一个成熟的开发流程之前符合用户的需求。

Question 102

102	"导致信息系统不能满足用户需求的最常见到原因是：
A.用户需求经常改变
B.不能正确预测用户所需的增长
C.现有的硬件系统限制了并发用户的数量
D.在系统需求定义阶段用户参与程度不够"

Answer 102

D 用户参与的不够，尤其是在系统需求阶段，通常会导致无法完全或准确的诠释用户需求，只有用户自己才知道自己需求的是什么，由此才能得出系统应该完成什么。

Question 103

103	"在新系统设计中建立停止或“冻结点”的原因是：
A.组织以后对项目过程的改动
B.标志软件设计将要完成的点
C.冻结点后的变更需求需要进行成本效益评估
D.为项目管理团队提供更多的项目计划"

Answer 103

C 项目规模通常会越来越大，特别是需求定义阶段。规模的增长还会导致最初预期的成本收益减少，因为增加了项目开销。此时停止或冻结项目，并准去对所有的成本收益和回收期进行审查。

Question 104

104	"一个知识库专家系统，在得到结论打到共识之前它会采用调查问卷让用户经过一系列选择，称它为：
A.规则
B.决策树
C.语义图
D.数据流图"

Answer 104

B 决策树使用调查问卷来引导用户通过一系列选择直到做出结论。规则是通过条件关系做出的含有定义性的表达。语义网络是由含有具体节点或概念性对象的图标组成。并用弧线描述节点关系。语义网络类似数据流图，充分利用数据继承机制防止数据的重复。决策树一般都是自上而下来生成的每个决策或事件都可能引出两个或多个事件，导致不同结果，把这种分支画成图形很像一棵树的枝干，故称决策树。

Question 105

105	"软件开发中的瀑布生命周期模型最适合用于的环境是？
A.在系统拟运行的商业环境中，需求能被很好的理解并预期能保持稳定
B.需求能被很好的理解同时项目时间紧
C.项目打算应用面向对象的设计和开发技术
D.项目将使用新技术"

Answer 105

A 从历史经验上看，瀑布模型最适合在选择A稳定的条件下，当系统的交付及条件的不确定性的增加，采用瀑布模型没有取得成功。在这种情况下，打破整个系统范围采用迭代开发方法更具有优势。更早的交付可运行软件减少不确定性，更早的实现收益。设计和编程方法的选择不是软件开发生命周期类型适当的决定因素。新技术的引进是项目风险的重要因素。迭代方法，特别是敏捷方法，聚焦在可运行软件的开发，可能更好的管理这种不确定性。

Question 106

106	"在软件开发项目的需求定义阶段，软件测试应该制定哪些方面：
A.测试数据，涵盖关键应用。
B.详细的测试计划。
C.质量保证测试规范。
D.用户验收测试规范。"

Answer 106

D 任何软件开发项目的一个关键目标是确保所开发的软件将满足业务目标和用户的要求。用户应参与项目的需求定义，用户验收测试规范应在要求定义阶段制定。其他选项在系统测试阶段。

Question 107

107	"通常，在一个项目的发起阶段，下述人员哪个的参与是必要的？
A.系统所有者
B.系统用户
C.系统设计者
D.系统建设者"

Answer 107

A 系统所有者是信息系统的发起人或主要的拥护者。他们通常负责启动和资助项目的开发、运行和维护信息系统。系统用户是应用或者被信息系统影响的个人。在项目测试阶段，他们的要求是决定性的。系统设计者将业务需求和系统规格参数转化成技术解决方案。系统建设者在系统设计者详细计划的基础上构建系统。在大多数情况下，设计者和建设者是同一个人。

Question 108

108	"下述最佳实践，在新信息系统正式开发计划在哪个期间：
A.开发阶段
B.设计阶段
C.测试阶段
D.部署阶段"

Answer 108

B 实施计划应该在实际实施数据之前。一个正式的实施计划应该在设计阶段被构建，在开发阶段被改进。

Question 109

109	"交易审计线索的主要目的是？
A.减少存储介质的使用
B.确定处理交易责任和职务
C.有助IS审计师追踪交易
D.为能力规划提供有益的信息"

Answer 109

B 启用审计线索有助于建立针对交易的稽核和责任追查，启用审计线索要占用磁盘空间，因为要有记录，交易日志文件要增加，但是不能用于判断可追加溯性和责任，能力规划的目的是有效使用IT资源包含CPU占有率\宽带\用户数目等。

Question 110

110	"下列哪一个最能确保服务器操作系统完整性？
A.将服务器放在安全的位置
B.设置启动密码
C.加固服务器配置
D.执行活动日志"

Answer 110

C 加固一个系统的方式是以最安全的方式配置它（安装最新的安全补丁，恰当定义用户和管理员的访问授权，取消不安全的选项和不安装不用的服务），来组织未授权用户获得执行特权指令，并以此方式控制整个机器，损害操作系统的完整。将服务器放在安全的位置和设置启动密码是好的措施，但并不能确保用户设法利用逻辑漏洞和损害操作系统。在这种情况下，活动日志只有两个弱点，它是侦测性控制（不是预防性控制），并且，攻击者已经获得访问权，能够修改日志或使他们无效。

Question 111

111	"下列哪一个网络部件安装，主要作为一个措施来阻止不同网段间的未授权访问？
A.防火墙
B.路由器
C.二层交换机
D.虚拟局域网"

Answer 111

A 防火墙工具是一个主要的工具用来组织在一个组织中网络间的未授权访问。一个组织可能选择部署一个或多个系统作为防火墙。路由器能过滤基于参数的包，例如源地址，但不是主要的一个安全工具。基于介质访问控制地址的二层交换机在一个端口隔离不同的访问作为不同的段，而不能确定他是授权的或非授权的访问。一个虚拟局域网有某些交换机的功能，他允许他们在不同的端口间像在同一个局域网那样交换流量，然而，他们并不能处理未授权访问和未授权流量。

Question 112

112	"一个公司正在执行动态主机设置协议。鉴于下列境况存在，哪个是最担心的？
A.大多数雇员用便携式电脑
B.一个包过滤防火墙被使用
C.IT地址空间少于电脑数量
D.网络端口的访问没有被限制"

Answer 112

D 给予一个物理地址访问端口，任何人都能直接连接内网，其他的选项不能暴漏访问一个端口的风险。动态主机配置协议能方便便携式用户使用。共享IT地址和防火墙的存在时安全措施。

Question 113

113	"对于一个电信网络，下列哪个媒介是最安全的？
A.宽带网络数字传输
B.基带网络
C.回拨
D.专线"

Answer 113

D 专线是为特定用户或组织隔离开的。既然没有线路共享或中间的介入点，侦听或者电信信息的崩溃是风险是很低的。

Question 114

114	"在Internet应用中使用applets，最可能的解释是：
A.它由服务器通过网络传输
B.服务器没有运行程序，输出也没有经过网络传输
C.改进了web服务和网络的性能
D.它是一个通过网络浏览器下载的JAVA程序，由客户机web服务器执行"

Answer 114

C applet是一种通过从服务器经过网络发布的JAVA程序，通过浏览器或者客户机，代码在客户机上运行。由于服务器不运行程序，并且结果输出不通过网络发送，通过使用applet，web服务器和网络性能在服务和客户端的链接大大改善了。性能额提高比选项A和B提供的理由更重要。由于JVM通常嵌入浏览器，通过web浏览器下载applet运行在web浏览器的客户机上，并不通过web服务器，选项D不正确。

Question 115

115	"运用WEB服务进行两系统间信息交换的最大优点是
A.安全通信
B.改良的性能
C.有效的接口连接
D.增强的文件系统"

Answer 115

C Web服务有助两个系统之间的信息交流，不受操作系统和编程语言影响。通信不一定是更安全或更快，WEB服务也没有文档化的优点。

Question 116

116	"一位IS审计师正在审查一个新的WEB式订单输入系统，该系统将于一周后正式启用。审计师发现根据设计，有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该？
A.确定系统开发人员在适当系统安全措施方面是否接受过正规培训
B.确定系统管理员是否因某种原因禁用了安全控制
C.验证项目计划是否已对安全要求做出了正确规定
D.验证安全控制是否基于已经无效的要求"

Answer 116

C “如果IS审计师发现了重大的安全问题，首先要做的是确定项目计划中的安全要求是否正确，尽管程序员了解安全问题非常重要，但是在项目计划中对安全要求做出正确说明更为重要。
系统管理员可能已对控制作出更改，但审计师应该会按照设计执行系统审查，这意味着部署的系统满足规定的全部要求。随着时间的推移，安全要求可能会根据新的威胁或漏洞而更改，但是，如果缺少重要的控制，则会是因为要求不完整而造成的缺陷设计。”

Question 117

117	"下列情况中的哪种将增加发生舞弊的可能性？
A.应用程序员正实施生产程序的变更
B.应用程序员正实施测试程序的变更
C.操作支持人员正在运行批变更日程表
D.数据库管理员正在变更数据结构"

Answer 117

A 生产程序用于处理企业数据，因此生产环境的程序变更十分重要。在这区域缺乏控制可能会导致应用程序被修改以操纵数据，程序员需要实施变更测试程序。这些仅用于开发而不会直接影响实际的数据处理。操作支持人员正在运行批变更日程表只影响日程表，不影响实际数据。数据库管理员被要求实施变更数据结构。这是数据库重组的要求，允许增加、修改、或删除数据库的字段或表。

Question 118

118	"在部署控制前，管理层主要应该保证控制：
A.满足解决风险问题的需求
B.不减少生产力
C.基于成本效益的分析
D.控制是检测或纠正型的"

Answer 118

A 当设计控制时，考虑以上观点都是有必要的，一个理想的控制手段能实现上述所有目标。实际来说，不可能设计出这样的控制且成本是受限制的。因此，必须主要考虑组织现有风险处理的相关控制。

Question 119

119	"一个IS审计人员被应邀参加一个开发项目会议，没有项目风险被记录。当审计师提出了这个问题，项目经理的回答是为时尚早，如果风险确实开始影响项目，将聘用风险经理。IS审计师最适当的回应：
A.强调在当前的项目点上时间考虑、识别风险的重要性，并制定应急计划。
B.接受项目经理的观点，项目经理负责承担项目的后果。
C.委任一位风险经理。
D.通知项目经理，审计师将会在该项目的需求定义阶段完成后进行风险审查。"

Answer 119

A 大部分的项目风险通常可以在项目开始之前被确定，可以采用降低/规避计划应付这些风险项目应该与公司的战略、战术计划有明确的联系，支持战略。在制定企业战略，设定目标和制定战术计划应包括风险的考虑。委任风险管理是一个很好的做法，但等到该项目已有风险影响是错误的。风险管理必须具有的前瞻性，允许风险演变成问题，造成项目的不利影响是风险管理的失误。不管有没有风险经理，在团队内部、IS审计师有责任建议项目管理实践。对于等待风险经理的任命表现对于实施风险管理不必要、有延误的风险。

Question 120

120	"以下哪种为终端用户应用开发的普通风险？
A.应用程序可能没有测试和IT一般控制
B.增加开发和维护成本
C.增加应用程序开发时间
D.决策可能由于当请求信息时响应效率的降低而受到削弱"

Answer 120

A 终端用户开发的应用程序可能没有独立的外部系统分析人员审查，没有采用正规的方法来创建可能由于缺乏适当的标准，质量保证程序和文档。终端用户应用程序的风险是管理可能依靠他们的传统应用。终端用户计算（EUC）的系统通常减少应用程序开发和维护成本，减少开发周期时间EUC增加灵活性和响应能力。

Question 121

121	"一个IS审计师邀请参与一个关键项目的启动会议，信息系统审计师主要关注的是：
A.已分析过项目的复杂性和风险
B.已判断了贯穿整个项目所需的资源
C.项目交付结果已确定
D.外包方合同已签约"

Answer 121

A 理解项目的复杂性和风险并在项目中积极面对是项目取得成功的关键。其它选项，在项目过程中也是重要的，但是在项目的启动会议时不能完全确定，且往往取决于项目的风险和复杂度

Question 122

122	"一个项目开发团队正在考虑在测试过程中使用生产数据。在将数据载入测试环境之前，该团队将其中的敏感数据元素清除。对于这种做法，IS审计师应额外关注下列哪一项？
A.将不会测试全部功能
B.生产数据被引入测试环境
C.需要专门的培训
D.项目可能会超出预算"

Answer 122

A 在测试程序中使用生产数据的主要风险在于，如果没有满足要求的数据，则不会测试全部的交易或功能，如果已经清除敏感元素，那么在测试环境下使用生产数据不成问题。根据生产数据创建实验台无须具备专门知识，因此这也不是问题。项目超出预算的风险始终都要考虑，但它与测试环境下使用生产数据的做法无关。

Question 123

123	"为确保结束日期严格、测试执行时间固定的项目能够实现充分的测试覆盖率，以下哪种方法最好？
A.根据重要性和使用频率对要求和测试进行排序
B.测试覆盖率应限制在功能要求之内
C.使用脚本执行自动测试
D.所需运行测试数应通过仅重测缺陷修复来减少"

Answer 123

A “其思路是：通过专注于系统最重要的方面来使测试效用最大化，以及缺陷代表了用户接受的最大风险的领域。该方法的进一步扩展是，同时考虑要求的技术复杂程度，因为复杂程度会增大缺陷的可能性。
仅测试功能要求的问题在于，可用性和安全性等对系统整体质量至关重要的非功能要求领域遭到忽略。
通过执行自动化测试来提高测试效率是一个不错的想法。但是就这种方法本身来说，他无法保证测试覆盖率的适当目标，因此不是一个有效的潜代方案。
仅重测缺陷修复会带来相当大的风险，因此这样将不会检测缺陷修复可能导致系统回归的实例，例如，在某些之前工作正常的系统部分引入了错误。因此，最佳做法是在实施缺陷修复之后执行正规的回归测试。”

Question 124

124	"审计师在评审企业的系统开发测试策略。关于在测试过程中使用生产数据的陈述中，审计师会认为下面哪种陈述是最恰当的？
A.在生产数据被用于测试以前，高级IS和业务经理必须批准该行为。
B.只要将生产数据复制到一个安全的测试环境中，才可以被使用。
C.生产数据绝不能被使用。必须基于书面的测试用例文档来准备所有的测试数据。 
D.签署了保密协议就可使用生产数据。"

Answer 124

A 为了测试而使用生产数据有一些风险存在，这包含危害客户和员工的隐私（也可能触犯法律）和破坏生产数据。另外，有效的测试需要特别设计的数据。而某些情况下，就如大量生产的测试数据是很难或者不可能得到的，从而使生产测试数据的有效性降低。一个例子就是测试老系统的接口。实践中，文档和组织留存的、关于老系统发挥功效的说明是不完整的。测试数据转换程序是另一个例子。像增强型测试访问”真实“数据时，管理信息系统是又一个的例子。使用生产数据时的某些灵活性可能是最好的选项。除了获得高级管理层的批准，某些减轻与使用生产数据相关的风险的条件都要被考虑，比如遮盖住名字和受保护的隐私数据的字段。其他的选项都是不正确的，因为生产环境的安全性要求非常严格。选项B和D是不错的做法，但它们不能在数据所有者不在场的情况下使用。选项C有时可能不切实际的。

Question 125

125	"下面哪一个测试技术将被审计师用来确定还没有测试的具体程序逻辑？
A.快照
B.跟踪和标记
C.记录
D.映射"

Answer 125

D 映射可以确定尚未被测试的具体程序逻辑，还可以在执行期间分析程序以指出程序语句是否已经执行。快照可以记录流经程序的逻辑路径而设计的指定交易。跟踪和标签显示了应用程序指令执行线索。记录是为了将来的审计而记录了特殊活动的任务。

Question 126

126	"一个信息系统审计师小组参与将自动审计工具包整合到现有的企业EPR系统的工作。由于性能方面的考虑，审计工具包无法上线。审计师应该给出的最佳建议是什么？
A.检查所选整合控制的实施
B.请求额外的IS审计资源
C.请求厂商的支持以解决性能问题
D.在用户验收测试（UAT）期间评估压力测试结果"

Answer 126

D 评估在UAT期间的压力测试的结果是最好的建议。审核所选整合控制的实施可以验证技术设计和控制目标，但对整合在整个交易表之上的控制会消耗大量的资源。应该仔细研究去确定它们是强制性的还是仅仅可以被整个ERP应用中的特定交易执行和整合。检查所选整合控制和它们的实施情况可能需要额外的资源。请求厂商的支持以解决性能问题是一个好的选项，但不是最好的建议。

Question 127

127	"为了帮助用户成功测试和验收一个企业资源规划（ERP）薪资管理系统，以替换现存旧版系统，下面哪种方法是最好的？
A.多重测试
B.并行测试
C.集成测试
D.原型测试"

Answer 127

B 对于测试数据结果和系统行为，并行测试是一个最好的方法，因为它允许用户对比新旧系统的结果。并行测试有助于用户接受新系统。多重测试不能比较来自新老系统的结果。集成测试是测试这个系统如何与其他系统交互，但这不是最终用户要执行的。原型测试并不比较新老系统的结果。

Question 128

128 “什么类型的软件应用测试被认为是测试的最后阶段，并且通常包括开发团队之外的用户？
A.Alpha测试（Alpha测试由用户在开发者的场所进行，并且在开发者对用户的“指导”下进行测试）
B.白盒测试（白盒测试也称结构测试或逻辑驱动测试，它是按照程序内部的结构测试程序，通过测试来检测产品内部动作是否按照设计规格说明书的规定正常运行，检验程序中的每条通路是否都能按预定要求正确工作。这一方法是把测试对象看做一个打开的盒子，测试人员依据程序内部逻辑结构相关信息，设计或选择测试用例，对程序所有逻辑路径进行测试，通过在不同点检查程序的状态，确定实际的状态是否与预期的状态一致）
C.回归测试（回归测试是指修改了旧代码后，重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误。自动回归测试将大幅降低系统测试、维护升级等阶段的成本）
D.Beta测试（贝塔测试）”

Answer 128

D Beta测试时测试的最后阶段，通常包括开发领域之外的用户。Beta测试是用户接受测试的一种形式（UAT测试），且通常包括有限外部开发工作用户。Alpha测试是Bata测试之前的一个测试阶段，通常由程序员和业务分析师完成，而不是用户。Alpha测试用来识别bug或者故障，这些bug和故障可以在外部用户开始beta测试之前被修正。白盒测试被用来评估软件程序逻辑的有效性，测试数据被用来确定被测试的程序的程序正确性。换句话说，这只是程序操作的想象方法，不在功能级别上。白盒测试通常不包括外部用户。回归测试是重新运行一部分测试场景已确定修改或修正没有引入其他错误的过程。换句话说，多次成功的程序修改后运行相同的测试数据以确保一个问题的“补丁”没有破坏程序的其他部分。回归测试不是测试的最后阶段，通常也不包括外部用户。

Question 129

129	"一个组织应该在软件程序测试的哪个阶段进行体系结构设计测试？
A.用户验收测试
B.系统测试
C.集成测试
D.单元测试"

Answer 129

C 集成测试评估两个或多个组件的连接，这些组件将信息从一个地方传递到另一个地方。目标是利用经过单元测试的模块，并根据设计建立一个集成的结构。接受测试确定解决方案是否满足业务需求，并且是在系统成员完成最初系统测试以后进行。该测试既包括质量保证测试（QAT），也包括了用户接受测试（UAT），尽管这两种测试没有结合在一起。系统测试包含测试团队或系统维护成员进行的一系列测试以确保修改的程序与其他组件正确的交互，系统测试参考系统的功能需求。单元测试参考系统的详细设计，并使用一组案例来明确程序设计的控制结构以确保程序的内部操作是根据详细说明书来完成的。

Question 130

130	"哪个过程使用测试数据作为连续在线方式中程序控制的全面测试的部分？
A.测试数据/层面
B.基础方案系统评估
C.完整性测试
D.平行模拟"
130	"哪个过程使用测试数据作为连续在线方式中程序控制的全面测试的部分？
A.测试数据/层面
B.基础方案系统评估
C.完整性测试
D.平行模拟"

Answer 130

B 基础方案系统评估使用测试数据集开发作为全面测试的部分。在验收前它用来检测系统操作的正确性，和定期检验一样。测试数据/层通过真实程序模拟交易。完整性测试在数据库中建立虚构文件同时用实际输入测试交易处理。平行模拟是使用计算机程序模拟应用程序逻辑的数据处理产品。
B 基础方案系统评估使用测试数据集开发作为全面测试的部分。在验收前它用来检测系统操作的正确性，和定期检验一样。测试数据/层通过真实程序模拟交易。完整性测试在数据库中建立虚构文件同时用实际输入测试交易处理。平行模拟是使用计算机程序模拟应用程序逻辑的数据处理产品。

Question 131

131	"下面哪一个测试阶段的错误，会对新系统的实施产生最大的影响。
A.系统测试
B.接受测试
C.集成测试
D.单元测试"

Answer 131

B 接受测试是软件安装和使用前的最终环节，在这个环节产生错误将导致延期或成本超支。系统测试是开发团队确定是否满足用户需求。集成测试则主要检查一个整体系统的单元/模块，而单元测试是检查单个单元或软件的组件。系统、集成和单元测试都是由开发者在开发各阶段完成；失败的影响比在接受测试阶段的失败相对要少。

Question 132

132 “大量系统故障发生在修正前一个错误后，重新进行测试请求，下列哪种测试最不适用于维护小组进行了测试？
A.单元测试（单元测试是在软件开发过程中要进行的最低级别的测试活动，在单元测试活动中，软件的独立单元将在与程序的其他部分相隔离的情况下进行测试）
B.集成测试（也叫组装测试或联合测试。在单元测试的基础上，将所有模块按照设计要求（如根据结构图）组装成为子系统或系统，进行集成测试。实践表明，一些模块虽然能够单独的工作，但不能保证链接起来也能正常的工作）
C.设计预演（该方法首先要定义目标用户、代表性的测试任务、每个任务正确的行动顺序、用户界面，然后进行行动预演并不断的提出问题，包括用户能否建立达到任务目的，用户能否获得有效的行动计划，用户能否采用适当的操作步骤，用户能否根据系统的反馈信息评价是否完成任务，最后进行评论）
D.配置管理（是通过技术或行政手段对软件产品及其开发过程和生命周期进行控制、规范的系列措施）”

Answer 132

B 一个普通系统维护问题是错误经常被迅速改正（特别是当期限紧时）。单元测试通常用于程序员测试程序间通信，经常在集成测试或系统测试中进行。集成测试主要确保主要组件和系统接口正确。

Question 133

133	"在测试数据中使用生产交易的一个优点是：
A.包括了所有的交易类型
B.每一个错误情况可能被测试
C.没有特例要求评估结果
D.测试交易是实际处理的代表"

Answer 133

D 测试数据应当是实际处理的代表，不过，所有的交易类型和错误情况是不太可能通过这种方式测试出来的。

Question 134

134	"以下哪一个是并行性测试的最主要目的？
A.衡量系统是否成本效益
B.使用全面的单元和系统测试
C.在程序接口处发现错误
D.确保新系统满足用户需求"

Answer 134

D 并行性的目的是确保新系统的实施能满足用户要求。并行测试可能显示出老系统事实上比新系统好，但是这不是主要的理由。单元和系统测试之前完成。在系统测试期间测试带有文件的程序接口的错误。

Question 135

135	"在软件测试中使用自下而上方式的优势：
A.尽早检测到接口
B.能较早完成系统开发
C.更早地检测到关键模块的错误
D.更早地测试主要功能和过程"

Answer 135

C 自下而上软件测试的方法从最小的单元开始测试。比如程序和模块，自上工作直到全部系统测试完成。自下而上软件测试的优点是不需要模组和驱动并且关键模块的错误能够较早发现。其他选项在这个问题中描述的是从上之下的方式的优点，是按照相反的路径，不是深度优先查找方式就是广度优先查找方式。

Question 136

136	"在以下哪个系统开发阶段准备用户接受性测试计划？
A.可行分析
B.需求定义
C.实施计划
D.实施后检查"

Answer 136

B 在需求定义期间，项目小组将会与用户定义他们准备的目标和功能性需求。此时用户应当与项目小组合作、考虑系统功能确保满足他们的需要并且整理在案。可行性分析对于用户的充分参与过早，实施计划和实施后检查阶段相对过晚。IS审计师应当知道计划的用户测试点以确保最有效果和效率的。

Question 137

137	"当一个新系统要在很短的时间内被实施，最重要的是
A.完成用户手册的编写
B.进行用户接受测试
C.加入最后的增强功能
D.确保源代码已记录和已复核"

Answer 137

B 用户接受测试的完成并确定系统实施工作的正确性是十分重要的。用户手册的完成类似于代码复查的执行。如果时间紧迫，最后想要做的事加入另外的增强功能，因为代码冻结和完成测试，这时做任何其他变动如未来增强功能是都是必需的。生成代码文档和代码复核是适当的。但是除非用户接受测试已完成，否则系统工作的正确性和是否满足用户需求是得不到保证的。

Question 138

138	"理想的情况下，压力测试将被实施在一个：
A.使用测试数据的测试环境中
B.使用实际工作负荷的生产环境中
C.使用实际工作负荷的测试环境中
D.使用测试数据的生产环境中"

Answer 138

C 实施压力测试是为了确保系统能够处理实际生产的负荷。一个测试环境应当避免破坏生产环境，因此测试不能在生产环境下进行。如果只使用测试数据则不能确定压力测试系统的足够性。

Question 139

139	"下面哪一个是测试软件模块的动态分析工具
A.黑盒测试
B.桌面检测
C.结构化穿行测试
D.设计图和代码"

Answer 139

A 黑盒测试是一个测试软件模块的动态测试软件模块的工具。在测试软件模块期间，黑盒测试首先以内聚的方式有一个或多个模块组成一个单元/实体，第二步用户数据经过软件模块时，在某些情况下甚至驱动软件行为。选项BCD是软件过程中保持静态时，主观检查错误，没有实际上的软件活动。因此，这些不能被提为动态分析工具。

Question 140

140	"一个组织使用新系统取代一个遗留系统时，下面哪项做法具有最大风险？
A.实验性的
B.并行测试
C.快速切换
D.分阶段切换"

Answer 140

C 快速切换意味着立即切换到新系统，当系统万一有问题，常常无法恢复。其他选项都是逐步替换，具有更好的恢复性，因而风险小。并行测试：指同时向修改的系统和另一个系统（如原系统）输入测试数据，比较两个系统的测试结果。

Question 141

141	"在应用开发过程中，结合了质量保证测试和用户接受测试。IS审计师在检测开发项目时最主要关注：
A.增加维护
B.测试没有适当的文档记录
C.不适当的功能性测试
D.延迟问题解决"

Answer 141

C 质量保障测试和用户接受度测试结合的主要风险是功能测试可能不够恰当，选项ABD不如C重要。

Question 142

142	"以下那种测试方法可以确定新的或修改的系统是否能在目标环境中与已有系统无缝运行？
A.并行测试
B.抽样测试
C.接口/集成测试
D.社交类测试"

Answer 142

D 社交类测试的目的是确认一个新的或者经修改过的目标环境里的操作儿没有对现有的系统造成不利的影响。这应该包括将进行主要应用处理的平台和与其他系统的接口，以及对桌面的变更和基于客户端-服务器或者web开发平台。并行测试时同时输入书库到两个系统，并比较结果。在这种情况，同时操作新旧系统，并进行相同的处理。抽样测试是从一个抽样推广到其他，目的是检测新系统在实施前是令人满意的。接口测试是一种硬件或者软件测试，为了评估信息流通过两个或者更多的组件的连接。目标是为了进一步的单元测试和集成结构。

Question 143

143	"在软件开发的测试阶段结束时，IS审计师观察到一个中间软件错误没有被改正。没有采取措施解决这个错误。IS审计师该：
A.报告这个错误，让被审计对象的仲裁委员会进行一步研讨这个错误
B.尝试解决错误
C.建议提升问题级别
D.忽视错误，因为不能获得软件错误的客观证据"

Answer 143

C 当IS审计师观察到这样的情况时，最好完全告知被审计者并且建议尝试解决错误。将他记录为一个较小的错误或从审计结论中去除是不恰当的，忽略这个错误会使审计师不去进一步探查这个问题。

Question 144

144	"在对新的或者更改过的应用程序系统进行逻辑测试时，下列哪项是最关健的
A.对每一种测试场景都有足量的数据
B.数据能代表实际处理过程的情况
C.按日程表完成测试
D.实际数据的随机抽样"

Answer 144

B 选择合适类型的数据是测试的关健。测试数据不仅应包括有效和无效数据，更应具有实际处理数据的代表性，质量比数量更重要。足够的测试数据要比如期完成测试更重要。随机抽样的实际数据不可能涵盖所有的测试条件，具有合理的代表性。

Question 145

145	"在审查一个基于web的软件开发项目的过程中，信息系统审计师意识到编程代码标准不是强制性的，并且代码的审查也很少执行。这将会最可能增加下列哪个选项发生的可能性：
A.缓冲区溢出
B.暴力破解攻击
C.分布式拒绝服务攻击
D.战争拨号攻击"

Answer 145

A 基于Web的应用程序代码，黑客通常是利用缓冲区溢出技术，因为缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。暴力攻击是用来破解密码。分布式拒绝服务攻击只是采用很多台计算机作为向目标发送信息的攻击源头，从而使被攻击者更加难以防范。战争拨号攻击使用扫描工具来破解PBX。

Question 146

146	"哪个测试方法能更早的识别应用程序接口错误？
A.自底向上
B.社交测试
C.自顶向下
D.系统测试"

Answer 146

C 自顶向下的方法可以及早的发现接口错误，自顶向下的增殖方式在测试过程中较早地验证了主要的控制盒判断点，可以早期的测试主要功能。自底向上则是从程序模块结构的底层的模块开始集成和测试。社交测试和系统测试在系统开发的后期阶段进行。

Question 147

147	"为了最小化软件开发成本，质量管理技术应该
A.尽可能与技术条文相一致
B.主要在项目开始的时候，以保证项目的建立于组织的管理标准相一致
C.在整个项目过程中持续进行，强调找出并解决缺陷，增大测试期间的缺陷发病率
D.主要在项目结束的时候，以获得可以在将来的项目中吸取的教训"

Answer 147

C 在软件开发项目中持续有效的实施质量管理是很重要的。额外的成本往往来源项目的返工，一般的规则是，在开发生命周期中，一个缺陷发生的越早，找到并修复需要的时间越长，需要更多的努力来纠正它。一个良好的质量管理计划是一个良好的开端，但它必须积极应用。单纯依靠测试，以确定缺陷是实现软件质量相对昂贵，非有效方法。例如，在测试阶段发现要求阶段的错误可能会导致人量返工工作。总结经验教训为期过晚。此外，在整个项目实施中应用质量管理技术可对质量问题产生自己的视角协助员工开发。

Question 148

148	"下面哪项是自上而下的软件测试的优势：
A.接口错误可以尽早识别
B.测试需在所有程序编写完成前进行
C.它比其他的方法更有效率
D.关键模块中的错误可以尽早的检测出来"

Answer 148

A 测试采用自上而下方法的优点是，主要功能的测试是先进行的，能更早的发现的接口错误。最有效的测试方法是依赖于被测试环境。B和D都是自上而下的方法的优势。

Question 149

149	"在应用程序开发项目的系统测试阶段，IS审计师应当审查：
A.概要设计文档
B.开发商合同
C.错误报告
D.程序变更请求"

Answer 149

C 测试是非常重要的，在确定用户需求是否被满足。IS审计师应参与测试阶段，审查包括数据和解析错误程序的错误报告。概念设计说明书是在需求定义阶段编写的一份文档。供应商合同是在软件获取过程中准备的。程序变更通常是在审查实施后阶段的一部分。

Question 150

150	"一个信息系统审计师发现用户接受测试新系统反复被中断，这是由于开发商在执行缺陷修复。以下哪个是信息系统审计是要做的最佳建议？
A.考虑一个独立用户接受度环境的可行性
B.每天设定一个时间进行用户测试
C.执行一个原码版本控制工具
D.只重新测试高优先缺陷"

Answer 150

A 一个独立的环境或很多环境通常是有效测试的必要条件，并确保生产编码的的完整性。开发和测试编码分开是很重要的。一旦缺陷被发现，它们可以在开发环境中修复，在以控制的状态移动到测试环境前没有被打断的测试。一个独立的测试环境也可以用作最终分段区，编码移动到生产。这个加强了开发和生产编码之间的独立性。如果维持一个独立的环境，建立和更新用户化测试数据更简单。如果开发商和测试人员共享同样的环境，他们在一天的独立时间里要有效工作。不太可能提高最适宜的生产力。使用一个原码控制工具是一个好的实践，但它不能恰当减轻一个适宜测试环境的缺乏。甚至低优先修复在于系统编码其余部分结合时出现引进非有意结果的风险。为了防止这个问题，应该进行包含所有编码变更的定期回归测试。一个独立的测试环境使得回归测试更容易管理。

Question 151

151	"白盒测试特有的优势是：
A.验证程序能够与系统的其他部分运行成功
B.确保程序的功能运行有效，不考虑程序内部架构
C.确定一个程序的详细逻辑路径的程序上的正确性和环境
D.通过执行在一个受限的或者虚拟的环境下受限访问主系统来检查程序的功能性"

Answer 151

C 白盒测试核定软件程序逻辑的有效性。具体的，测试数据被用来决定程序上的正确性或程序逻辑路径的环境。验证程序能够与系统的其他部分运行成功是社交性测试。测试程序的成功性，不考虑语言的内部结果是黑盒测试。控制程序的测试在受限的环境，或逐渐的大量的控制，或通过监视在虚拟机上，是砂箱测试。

Question 152

152	"在发现一个第三方应用程序与数个外部系统接口的安全漏洞后，补丁程序被应用到大量的模块中。审计师应该建议下列哪一个测试？
A.压力测试
B.黑盒测试
C.接口测试
D.系统测试"

Answer 152

D 鉴于补丁和外部系统接口的广泛性，系统测试是最适当的。接口测试是不够的，压力或黑盒测试在安全环境中是不充分的。

Question 153

153	"以下哪个审计技术对审计员判断自上次授权程序更新之后是否有未授权的程序变更最有帮助：
A.运行测试数据
B.代码评价
C.自动代码比较
D.代码迁移规程评审"

Answer 153

C 自动代码比较流程比较同一程序的两个版本以判断他们是否一致。这是一个有效率的工具因为它是自动的。运行测试数据让审计员可以验证预先选定的交易的处理流程，但是不能提供关于程序未执行部分的情况。代码评审是理解程序源代码列的过程以判断代码是否包含潜在的错误或无效的定义。代码评审能被用在代码比较的方式但是效率不高。代码迁移流程的评审不能检测出程序变更。

Question 154

154	"在评估程序变更控制的过程中，IS审计师会用源代码比较软件来：
A.检查IS人员不知悉的源程序变更
B.检测发生在获取的源程序副本和比较运行的源程序的变更
C.确认控制副本是产品程序的当前版本
D.确保发生在当前源副本中的变更被检测出来"

Answer 154

A IS审计师客观和独立的相对完全的确认程序发生了变更是因为源代码的比较会识别出变更。选项B是不正确的是因为自获取副本以后放生的变更不会包含在软件副本里。选项C是不正确的是因为IS审计师必须得到单独的关于控制副本当前版本的确认。选项D不正确是因为任何发生在获取控制副本和源代码比较时间段内的变更不能被检测出来。

Question 155

155	"在生产系统的变更控制审计中，IS审计师发现变更管理流程没有被正式记录存档，并且有些迁移规程失败了。下一步审计员应该？
A.建议重新设计管理流程
B.通过根本原因的分析来确定所发现的问题
C.建议暂停程序迁移直到变更流程被记录存档
D.用文档记载所发现的并提交管理层"

Answer 155

B 变更管理流程对于IT生产系统是非常重要的。在建议组织采取任何行动之前（例如，暂停迁移，重新设计变更控制流程），IS审计师应该先确认报告的事件跟变更管理的不足相关，是由于变更管理流程而不是其他流程引起的。

Question 156

156 “一家私营企业有一个修改财务会计系统以与税法的重大变化相适应的项目。在上线以前，财务经理，也是应用的所有者，请了紧急事假，无法完成变更部分的功能测试。开发团队领导认为，这个变更可以不经过业务流程负责人的批准而执行。下列哪一个的表述是正确的？
A.如果经过合适的测试并且企业主批准了这个变更，那这个变更可以不经过业务负责人的批准而移到生产环境中去。
B.没有应用程序所有者的批准，这个变更不能被应用到生产环境中去。如果有紧急情况需要去实施变更，则应由代班财务经理去评审测试并批准它。
C.这个变更可以被移到生产环境中去，因为这个应用已经被稳定的使用了五年。开发团队领导能作为财务经理的备份（即授权人）批准这个变更。
D.这个变更可以在没有业务流程负责人的批准而应用到生产环境，因为开发团队领导有足够的会计知识，并且一直参与该变更的开发过程。”

Answer 156

A 业务流程负责人指导应用中的任何变更，在私人企业中，由最终的业务负责人负责，包括企业所有者。在任何应用程序变更实施以前，必须提交应用的所有者批准。但也存在特殊处理情况，未经应用主人的正式批准就允许应用到生产环境中去。应用的变更总是需要前置独立的测试以减少来自变更所产生的不合适的结果对于评估是否已经准备好将变更引入生产环境中，应用的寿命和稳定性并不是关键性的因素。改变关键应用总是需要独立的测试来减轻程序的风险或者逻辑错误。由于开发部负责人涉及变更的开发，由同一个人批准将产生一个职责分离的问题。

Question 157

157	"在审查数据文件变更管理控制期间，下面哪一个选项有助于减少调查异常所需要的研究时间？
A.一对一的检查
B.数据文件安全性
C.交易日志记录
D.文件更新和维护授权"

Answer 157

C 交易日志生成一个包含了输入输出的日期和时间、用户ID.终端位置等信息的审计跟踪线索。由于只需要在日志而非所有交易文件执行评审，因此可以减少在调查异常上的研究时间。同时，还有助于确定在特殊的时间段内、特定个人的哪些交易被记录到账户中。一对一检查属于一种控制，是一个由系统进行的、用一个详细的文档列表去检查每个文件是否符合的过程。使用这个过程将花费很长时间。数据文件安全性控制用于预防未经授权的用户进行未经批准的访问，进而试图对数据文件的修改。这并不能帮助识别交易记录到账户中去。文件更新和维护授权是一个控制更新所存数据并确保其准确性和安全性的过程，此过程可以表明谁更新了所存数据。但在给出的场景中，它无法有效的确定哪些交易已经记录到账户中。

Question 158

158	"以下哪一个是测试特定的自动变更控制过程设计有效性的最有效方式？
A.变更抽样测试
B.实行端到端的穿行测试过程
C.已授权的变更测试
D.使用计算机辅助审计测试（CAAT）"

Answer 158

B 端到端的穿行测试是确认设计有效性的最好方式，因为它确保了对变更控制的相关风险所作的控制是充分的。变更抽样测试是操作有效性的测试。已授权的变更测试可能不会提供关于整个过程的充分保证，因为它不会测试与授权相关的过程单元。采用CAAT没有覆盖流程的手动操作方面。

Question 159

159	"当实施一应用软件包，以下哪项存在最大的风险？
A.未控制的多个软件版本
B.与目标代码不一致的源程序
C.不正确的参数设置
D.编程错误"

Answer 159

C 参数设置不正确是在软件包实施过程中最大的问题。其他的选项尽管重要，是供应商索要解决的问题，而不是组织实施软件自身的问题。

Question 160

160	"IS审计师审查组织的数据文件控制程序，发现事务处理用的是最新文件，而重启程序用了以前的版本。IS审计师应该建议实施以下操作：
A.源文件保留
B.数据文件安全
C.版本使用控制
D.一对一检查"

Answer 160

C 为了保证处理过程的正确性，使用合适的文件版本是非常重要的。事务处理应该使用最新的数据库，而重启程序使用以前的版本。源文件应该保留足够长的时间以方便文件检索、数据重建或验证，但他不会帮助确保文件的正确版本将被使用。数据文件安全控制可以防止未授权用户访问，这些用户有可能修改数据文件，但它不能保证正确的文档被使用。确保所有的文件被正确处理是很有必要的（一对一检查），但也无法保证使用了正确的文件。

Question 161

161	"代码签名的目的是为保证：
A.该软件后来并未被修改
B.应用程序可以和其他签署的应用安全交互
C.对应用程序的签名者是被信任的
D.签名者的私钥没有被破坏"

Answer 161

A 代码签名仅仅能确保可执行代码在签名之后未被改动。其他选项是不正确，实际上反映的是代码签名的潜在和可利用的弱点。

Question 162

162	"IS审计师推荐使用库控制软件以便提供合理保证：
A.程序变更得到授权
B.只有经过彻底测试的程序才能被发布
C.被修改的程序自动转移到生产库
D.源代码和可执行代码的完整性得以保持"

Answer 162

A 库控制软件被用来分离在大型机和/或客户服务器环境里的测试库和生产库。库控制软件的主要目的是保证程序变更得到授权。库控制软件关注已授权的程序变更，不会自动将装修过的程序移动到生产库，也不能确定程序是否已经经过彻底的测试。库控制软件提供合理的保证，保证党员代码被移动到生产库时，源代码和可执行代码是一致的。然而，随后发生的事件例如硬件故障可能导致源代码和可执行代码缺乏一致性。

Question 163

163	"在评估对密码管理的程序控制时，下面那一个是审计师最有可能参照的？
A.长度检查
B.散列总计
C.有效性检查
D.字段检查"

Answer 163

C 有效性检查是最有效的密码验证，因为它检查所使用密码的格式，比如，不能使用词典中的单词、包括非字母表上的字符等等。有效的密码必须有几种不同的字符类型：字母、数字和特殊字符。FielD.Check（字段检查）将会排除这一重要需求，因为是最没用的密码控制。密码长度可以且应该相同，长度检查也很有用，因为它应该具有最小长度，但是其控制作用不如有效性检查强大。密码通常不是批量输入的，因此散列总计并不奏效。更重要的是，系统不应该接受错误的密码，因为HASH算法不能发现任何错误和遗漏。

Question 164

164 “一家组织通过安全的网站在线销售书籍和音乐产品。每隔一小时都会转移到会计和交付系统进行处理。以下哪种控制最能保证在安全网站上处理的销售业务能够传输到交付和会计系统？
A.在销售系统中每日记录交易的全部信息。每天都对销售系统的全部信息进行收集和汇总。
B.自动对交易进行数字排序。对序列进行检查并对连续性中断予以说明。
C.处理系统检查重复的交易号。如果交易号出现重复（该编号已经存在），将拒绝交易。
D.使用中心时间服务器每隔一小时对系统时间进行一次同步。给交易加上日期/时间戳。”

Answer 164

B “时刻是说明交易完整性的唯一选项，因为任何缺失的交易均可通过连续性中断得以发现。
在销售系统中汇总交易并没有解决从在线系统的数据传输问题，仅仅是涉及到了会计系统。
检查重复是很有效的控制方法；它能保证全部交易都得以记录，但却无法解决销售交易处理是否完整的问题。
日期/时间戳对说明因会计和交付部门而丢失或不完整的交易没有帮助。”

Question 165

165	"以下哪各选项是监控超出定义或值交易的最有效工具
A.通用审计软件（GAS）
B.集成测试设施
C.系统控制审计复合文件(SCARF)
D.快照"

Answer 165

C “SCARF使用预定义的异常情况。必须定义“异常”的结构，以供软件进行捕获。
GAS是一个不需要预设信息的数据分析工具。
集成测试设施测试数据的处理情况，无法用于监控实时交易。
快照对于在执行程序逻辑时观察到的信息拍照。”

Question 166

166	"下面哪一个控制措施有助于在数据输入时防止付款凭证的重复录入？
A.范围检查
B.置换和替代
C.顺序检查
D.循环冗余校验（CRC）"

Answer 166

C 顺序检查涉及将编号升序排列，以及验证凭证是否按顺序进行，从而预防凭证重复输入。范围检查仅作用于某范围内的编号，即使同样的凭证编号出现，它也仍满足条件，因此不适用。置换和替代被用于编码，但是并不适用于建立一个唯一的凭证编号。循环冗余校验(CRC)被用于检查网络接收数据的完整性，但是在应用程序代码层面的校验上没有用处。

Question 167

167	"在审计师执行一个审计时，下面哪一个被视为一个预防性控制？
A.交易日志记录
B.事前和事后镜像报告
C.表格查询（table lookups）
D.跟踪和标签"

Answer 167

C “表格查询是预防性控制，数据被检查以符合预先定义的表，可以预防任何未定义的数据被输入。

交易日志是一个检测性控制，可以提供审计跟踪。使用事前和事后图像报告，可以去跟踪计算机交易对记录的影响，这是检测性控制。跟踪和标签被用于测试应用系统和控制，但是它本身不是预防性控制。”

Question 168

168	"审计师在数据库的一些表中发现了超出范围的数据。为避免这种情况，审计师应该推荐下面哪一个选项？
A.记录所有的表更新交易
B.在数据库中实施完整性约束
C.实施事前、事后图像报告
D.使用跟踪和标签"

Answer 168

B 在数据库中实施完整性约束检查是一个预防性控制，因为数据要被检查符合预先定义好的表或者规则，能在输入时就预防任何未定义的数据。记录所有的表更新交易以提供审计跟踪是一个检测性控制。图像报告前后的不同可能被用于跟踪发生在计算机记录上的交易所造成的影响，这是一个检测性控制。跟踪和标签被用于测试应用系统和控制，但它不是一个能避免超范围数据的预防性控制。

Question 169

169	"IS审计师报告指出企业资源计划（ERP）系统的财务模块应用运行很慢，是因为审计痕迹在一些敏感的表格上被激活。供应商已经要求关闭这些交易表的审计痕迹且限定只对成功和不成功登入系统进行审计。如果这个建议被采纳，以下哪个是最大的威胁？
A.不能保证财务数据的完整性
B.不能保证系统日志的完整性
C.访问敏感数据未被记录
D.可能发生欺诈"

Answer 169

A 在ERP系统中；审计痕迹保留了对数据变更的所有信息，如变更的人员、变更的日期、变更值等等。如果交易数据的审计痕迹未被激活，就很难识别出修改的数据和检测出任何未授权的修改。B选项是无效的，因为系统日志是独立的且与审计痕迹的应用截然不同。选项C是不正确的，因为访问模式（只读）通常不与ERP审计痕迹同时被记录进日志，所以不用担心。选项D不正确，因为审计痕迹不是预防性控制，不能阻止欺诈的发生。

Question 170

170	"IS审计师应该确保网上电子资金交易（EFT）的审核，对账程序应包括：
A.核单
B.授权
C.更正
D.追踪"

Answer 170

D 追踪包括从原始交易源跟踪到最终目的地的交易，在EFT交易中，追踪方向可能从顾客打印的收据单、复印件、检查系统审计痕迹和日志，最后检查每日交易的主文件记录。核单通常通过人工或批量处理系统来完成。在这种情形下，资金通过电子手段转移而不人工处理。在线处理过程中，授权通常有系统自动处理。更正记录通常由个人而不是被委托对账的人来做。

Question 171

171	"一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行检查，再一次访谈中，该审计员注意到生产数据被用于测试环境中，以测试程序改变，什么是这种情况下最显著的潜在风险？
A.测试环境可能没有充足的控制以确保数据精确
B.测试环境可能由于实用生产数据而产生不精的结果
C.测试环境的硬件可能与生产环境不同
D.测试环境可能没有充分的访问控制来确保数据机密性"

Answer 171

D 许多情况下，测试环境没有配置与生产环境所采用的相同的访问控制，例如：程序员可能具有测试环境的访问特权（为了测试），但是没有对生产环境的。如果测试环境没有充分的访问控制，则生产数据将面临非法访问或数据泄漏的风险。这是所有选项中最显著的风险。测试环境中所用数据的准确性不是主要考虑的，只有这些数据具有生产环境的代表性。在测试环境中使用生产数据也不会造成生产数据不精确。没有什么不同的，使用生产数据可以提高测试过程的精确性，因为数据最真实的反映了生产环境。尽管事实如此，在测试环境中数据泄漏或非法访问的风险依然存在，因此生产数据不应该被用于测试环境，这在一个医疗机构尤为重要，病人数据的机密性非常重要，并且许多国家的隐私法对这些数据的滥用实行严格惩罚。测试环境中的硬件应当反映生产环境以确保这些测试是可以信赖的，然而这与采用生产环境的实际数据造成的风险毫不相关。选项C.是不正确的因此与该情形下的风险没有关系。

Question 172

172	"功能确认的作用是：
A.作为EDI数据交换的审计痕迹
B.IS部门就其功能作用描述
C.文档记录用户角色和职责
D.作为应用软件的功能的描述"

Answer 172

A 功能确认是标准的EDI交易，用于告知交易对象已收到他们的电子文件。不同类型的功能确认提供了不同级别的细节，因此能够作为EDI交易的审计痕迹。其他选项与功能确认描述无关。

Question 173

173	"建议对交易处理申请进行多个数据快照和打印电子表格的作用是为了确保交易在处理过程中不丢失，IS审计师应当建议应当包括以下那种控制
A.确认控制
B.内部可信性检查
C.文件控制程序
D.自动系统平衡性检查"

Answer 173

D 自动系统平衡将是最好的方法，确保没有丢失交易由于在总输入和总输出之间的不平衡将用于调查和改正报告。有效性控制和内部可信性检查当然是有效控制，但是没有检测和报告交易的丢失。另外，虽然文书程序能用来总结和比较输入和输出，但是自动化的过程很少受错误影响。

Question 174

174	"哪种控制可以侦测传输错误通过在每个数据段的末端加上计算位？
A.合理性校验
B.奇偶校验
C.冗余校验
D.顺序校验"

Answer 174

C 一种检测传输错误通过在每个数据段的末端加上计算位。合理性校验比较数据和预定义的合理性规则或发生概率的数据。奇偶校验是一种硬件控制检测数据读取或交换时产生的错误。顺序校验检测换位或转换错误。

Question 175

175	"以下哪个数据校验编辑在检测移位和抄录错误时，是有效的：
A.范围检查
B.校验数字位
C.有效性检查
D.重复性检查"

Answer 175

B 校验数字位是一种通过数学计算加载在数据后面的数值确保原始数据不被修改，范围检查检查数据是否在预先定义的范围中。有效性检查是通过程序检查数据是否符合预先设定的标准。重复性检查是确认没有重复输入。

Question 176

176	"一家制造业公司想要使用一个电子票据支付系统，目标说明要求系统应当考虑较少的复核验证时间，并且尽可能的追踪到错误，以下内容中哪项最好满足这些目标？
A.建立一个互联网系统为客户端提供支持或者增加效率
B.将自动支付和应用账款/发票外包功能给专业公司
C.建立电子数据交换系统，电子商业文件通过计算机之间传输使用标准格式
D.业务流程重组和重新设计现存的系统"

Answer 176

C EDI是最佳答案，适当地实施，EDI最适合识别和迅速的追踪错误，减少反复复核验证的情况。

Question 177

177	"在资金交易通讯中对电子数据交换（EDI）里进行总数据校验的目的是确保
A.完整性
B.真实性
C.授权
D.不可否认性"

Answer 177

A 总数校验计算字段总数且包括在电子数据交换（EDI）通信里用来识别未授权地修改。真实性和已授权不能单独由总数校验来确定，而需要其他的控制。数字签名保证的是不可否认性。

Question 178

178	"从终端发现未授权输入的信息最好是由\_\_\_\_\_提供
A.控制台日志输出
B.事务日志
C.自动化的不正确文件列表
D.用户错误报告"

Answer 178

B 事务日志能够记录所有的事务活动，比较授权原始文档以验证是否有未授权修改。控制台日志比对不是最佳的，因为他并不记录特定中断的活动。自动化的不确定文件列表仅能列出当生产错误的数据编辑时的事务活动。用户错误报告仅能显示输入时的编辑错误。

Question 179

179	"下面哪一种数据有效性编辑检查被用来确定字段是否包含数据，是非0或空的
A.校验数字
B.存在性检查
C.完整性测试
D.合理性检查"

Answer 179

C 完整性检查用于确定一个字段是否包含数据和非0或空的。检验数字是数字计算算法确保原始数据不被修改。存在性检查输入数据与预先确定的标准是否一致。合理性检查输入到语言合理的限定或出现的比例表是否匹配。

Question 180

180	"进入远程站点实行数据的编辑/检验最有效在：
A.主处理站点在应用程序系统进行之后进行
B.主处理站点在应用程序系统进行时进行
C.数据传输至主处理站点后远程处理站点
D.数据传输至主处理站点时远程处理站点"

Answer 180

D 确保数据在远程站点进行输入验证后传入主处理站点十分重要。

Question 181

181	"为了减少数据处理过程中数据丢失的可能性，控制总数应被首先应用于？
A.数据准备阶段
B.数据传输阶段
C.在涉及数据处理之间
D.数据返回到用户部门期间"

Answer 181

A 在数据准备期间是最佳，因为在最初的环节建立了控制。

Question 182

182	"当一个应用开发商想要用昨天生产交易文件的副本用来测试时，IS审计师的最主要的关注是：
A.用户更愿意使用人为的数据来测试
B.会导致未授权地访问敏感数据
C.错误挂起和不能充分证明的可信检查
D.对于新处理的所有功能可能不都需要被测试"

Answer 182

B 除非数据筛选，否则有敏感数据泄露的风险。

Question 183

183	"审计痕迹最主要的目的是
A.提高用户的响应时间
B.为交易处理建立的责权制
C.提高系统操作有效性
D.提供有用的信息给可能想追踪交易的审计师"

Answer 183

B 使用审计痕迹有助于通过系统追踪交易处理建立的责权制。使用软件提供审计痕迹的目标不会提高系统的效率，因为它经常涉及额外的处理，事实上，减少了用户的响应时间，使用审计痕迹也涉及存储器等等，因此，会占用磁盘空间。D也是有效的理由，但不是最主要的理由。

Question 184

184	"下面哪项能在数据处理过程中最好地检测出错误？
A.程序编辑检查
B.精心设计的数据进输入审查
C.职责分享
D.哈希运算"

Answer 184

D 哈希运算是检测数据处理进程错误的有效手段。自动化的控制例如编辑检查或精心设计的数据输入审查是预防性质的控制。职责分享主要是确保一个人不能同时有创建和批准的权限，这不是检测错误的一种方法，而是一种预防错误的方法。

Question 185

185	"在一个在线交易处理系统中，数据的完整性是通过确保交易不是被全部执行就是完全不执行的来维持的。这种数据完整性原理被称为？
A.隔离性
B.一致性
C.原子性
D.持久性"

Answer 185

C 事务的原子性要求所执行的事务要么全部执行要么完全不执行。如果在交易过程中发生错误，所有的变化都必须同滚到事务最初的状态。一致性确保了数据中的数据在不同的交易过程中维持一致的状态。隔离性，确保每一个事务在执行过程中与期货事务是相对隔离的状态。持久性意味着当系统或介质发生故障时，确保已提交事务的更新不能丢失。即一旦一个事务提交，DBMS保证它对数据连中数据的改变应该是永久性的，耐得住任何系统故障。持久性通过数据库备份和恢复来保证。

Question 186

186	"一家公司在实施一套新的C/S结构的企业资源管理（ERP）系统。分支机构传送客户订单到一个中心生产设备，下列哪项最好地保证了订单准确地输入和相应产品的生产？
A.验证生产的产品和客户订单的内容
B.在ERP系统中记录所有的客户订单
C.在订单传输过程中使用hash也运算
D.（产品主管）在生产前批准订单"

Answer 186

A 对产品的复核将确保生产订单对应客户订单。日志可以用来检测错误，但本身并不能保证处理过程的正确性。哈希总数用于确保订单传输的准确，不能保证中心处理的准确性。生产监督批准是一个耗时的手动过程，他不能保证正确的控制。

Question 187

187	"以下哪种系统或工具可以辨识信用卡被盗用？
A.入侵检测系统
B.数据挖掘技术
C.防火墙
D.包过滤路由器"

Answer 187

B 数据挖掘技术用于发现数据的趋势或模式。如果信用卡用户费用发生改变，那么标志交易有可能是由于信用卡被盗用。

Question 188

188	"当检查输入控制时，信息系统审计师发现企业一致性策略中，流程允许超级用户覆盖数据验证结果。此IS审计师应该：
A.不关心，可能有其他修补控制来降低风险。
B.确保覆盖会自动记录并接受检查。
C.验证是否所有这些覆盖被提交给高级管理人员批准。
D.建议不允许覆盖。"

Answer 188

B 如果输入过程允许编辑和验证的数据被覆盖，应自动记录日志。一个独立管理人员该检查该覆盖操作的日志。IS审计师不应该假设存在补偿控制。只要不改是符合规定的，没有必要经都要经过高级管理人员的或全面禁止覆盖的操作。

Question 189

189	"IS审计师在审查EDI交易过程中发现存在未经授权的交易，审计师可能会建议改进：
A.EDI贸易伙伴协议。
B.终端物理控制。
C.发送和接受消息鉴证技术
D.程序变更控制程序。"

Answer 189

C 在减少未经授权的交易暴露方面，发送和接收消息鉴证技术起到了关键作用。电子数据交换贸易伙伴协议用于避免法律事务方面。

Question 190

190	"IS审计师在审查信用卡交易程序中推荐加入初始复核控制，该初始复核控制最可能用于：
A.检验交易类型与与对应信用卡类型是否有效
B.验证输入卡号的格式并在数据库中查找该卡号
C.确保输入的交易额在持卡人的信用额度内
D.在主文件中验证该信用卡没有丢失或被盗"

Answer 190

B “首先确认该卡是否有效。基于用户输入的卡号和密码。其他的验证程序在此基础上进行，如果

在初始捕获的数据时无效的（如果卡号或密码不匹配），那么拒绝为该卡服务并采取适当的控制，初步验证完成后，在执行其他的验证（其他细节，持卡人等）。”

Question 191

191	"公司最近升级了其采购系统与EDI系统进行整合。为使EDI接口提供的有效数据映射应实施以下哪个控制？
A.关键确认
B.逐个检查
C.手工重算
D.功能的确认"

Answer 191

D 作为EDI交易审计线索，功能的确认在数据映射中是主要控制之一。其他的选项是手工输入控制，而数据映射处理接收端公司的数据自动整合。

Question 192

192	"公司选择一家银行来处理每周的薪酬支付。工时表和薪酬调整表（例如工资/小时率，解雇）完成后被传送给银行，银行准备要分发的支票和报告。为确保薪酬数据的准确性，下列哪项是最佳的：
A.薪酬报告和原始输入表比照
B.手工重算总量支付额
C.支票应该和原始输入表比照
D.支票应该和最终的输入报告一致"

Answer 192

A “确认数据的准确性的最好的方法，信息的输入是由该公司产生，输入由银行产生，验证输入与输出。因此，工资报表与输入表单比较是核实数据准确性的最佳机制。手动重新计算仅验证处理过程是
否正确，不能确认输入数据的准确性。支票与输入表单比较是不可行的，支票和输入表单同时数据的输入。核对支票和输出报告仅用于确认支票已按输出报告发出。（同样不能确认公司提交的准确性）”

Question 193

193	"以下哪项代表了在电子数据交换环境最大的潜在危险？
A.交易授权
B.损失或重复的电子数据交换传输
C.传输延迟
D.交易的删除或操作在应用控制的创立以后之前"

Answer 193

A 在EDI中。各方之间的交互是电子的，没有内嵌认证，因此交易的授权是最大的风险。选择B和D是风险的例子，但影响并不如未经授权的交易大。传输延迟可能使进程终止或持有该进程直到处理时间结束，但不会有数据丢失。

Question 194

194	"在EDI应用中，为确保收到订单的真实性，合适的控制是：
A.用确认消息告知电子订单的收到
B.在安排订单之前在数量上实施合理性检查
C.验证发件人的身份，并确定订单是否与合同条款相一致。
D.加密电子订单。"

Answer 194

C 电子数据交换（EDI）系统不仅是电脑系统的常规风险，也在贸易伙伴和第三方服务供应商方面所带来的控制的潜在失效，使用户和信息的认证成为主要的安全关注。用确认消息告知电子订单收到是好的做法，但不会验证订单来自客户。在安排订单之前在数量上实施合理性检查，是确保公司的订单正确性的控制，而不是客户订单的真实性。对敏感信息加密是恰当的步骤，但并不适合用于消息接收。

Question 195

195	"对评价电子数据交换（EDI）应用软件的控制时，IS审计人员应该首先关注到哪个风险：
A.过多的交易转换时间
B.应用程序界面错误
C.不恰当的授权处理
D.未经核实的批量总数"

Answer 195

C 首先要确定EDI交易是否有正确的授权，由于互动是采用电子的方式，没有内置的认证。其它选项相对不重要。

Question 196

196	"柜员改变贷款主文件上的利率。在贷出业务中输入利率在正常范围以外，下面的控制是最有效地提供合理的保证该改变被授权？
A.系统在得到经理批准并输入一个批准代码前不处理改变的数据。
B.系统生成周报告列出了所有的异常率和报告，由经理审阅
C.系统要求柜员输入批准的编码
D.系统显示警告信息"

Answer 196

A 选择A可以防止或发现未经授权的利率的使用。选择B是事后检查，未授权的汇率可能已经发生。选择C和D也不能阻止柜员使用未经授权的利率调整。

Question 197

197	"在处理过程中如下哪个选项能自动保证使用的数据文件是恰当的？
A.包含文件头记录的内部标签
B.惯用版本
C.奇偶校验
D.文件安全控制"

Answer 197

A 文件头记录中的内部标签（包含文件头记录的内部标签）是正确答案，因为他为适当的数据文件是被使用并且容许自动检查提供了保证。惯用版本不是正确的，因为对于自动检查它不是必须的。它仅能帮助确保是正确的文件和版本。奇偶校验不正确，因为他是数据完整性校验方法，通常被使用在数据传输程序上。然而奇偶校验检查可以帮助确认数据和程序文件是被成功转移的。它不能帮助确认使用了适当的数据和程序文件。文件安全控制不正确，因为他们不能被使用确保适当的数据文件被使用并不容许自动检查。他们只能用于提供保证，未被授权的用户不能非法访问应用程序或者读取、更改数据。

Question 198

198	"当发送网上银行交易数据至数据库导致处理程序突然中断。以下哪项可以最好的确保交易的完整性？
A.数据库完整性检查。
B.验证检查。
C.输入控制。
D.数据库提交和回滚。"

Answer 198

D 数据提交确保数据在交易处理进行或完成时保存到磁盘中。回滚技术确保在交易处理失败的情况下，已经完成的处理逆向返回且已处理的数据不保存到磁盘。当处理正在进行时其他选项都无法确保数据的完整性。

Question 199

199	"在银行必须准确报告交易的情况下，IS审计师审计一个银行电汇系统的内容，下面哪项代表了审计目标的基本重点？
A.数据可用性
B.数据保密性
C.数据可用性
D.数据完整性"

Answer 199

D 完整性代表了数据的准确性，保密性代表了数据只提供给客户或者客户指定的人。选项A.B.C都很重要，但不是准确性方面的重点。

Question 200

200	"审计电子资金转账（EFT）系统时，IS审计师最应该关注以下哪种用户配置文件？
A.能够获取并验证他们自己信息的3个用户
B.能够获取并发送他们自己的信息的5个用户
C.能够验证其他用户并发送他们自己信息的5个用户
D.能够获取并验证其他用户的信息，并发送他们自己信息的3个用户"

Answer 200

A 单个用户能够同时获取并验证信息表明分离不充分，这是因为信息会被认为是正确的并好像已经通过验证。

Question 201

201	"选择审计规程时，IS审计师应该用专业判断确保？
A.收集充分的证据
B.在合理的时期收集所有被识别出的重要缺失
C.识别出所有的实质性不足
D.审计费用保持在最低水平"

Answer 201

A 规程是IS 审计员在审计过程中应该遵循的流程。在决定任何合适的规程时审计员应当使用适当特定环境的专业判断。专业判断包括主管的通常是决定性的评估在审计中出现的状况。判断处理二元判断（是否）不适用的灰色地带，并且审计员的过去经历在判断中起重要作用。ISACA的指导方针提供执行IS 审计工作时如何满足标准的参考。识别出实质缺陷计划和执行审计所要达到的结果，只有在能力、经验和彻底性都合适时才有可能，而非专业判断。专业判断在审计的财务方面不是一个重要的考虑因素。