国际内部审计师-《内部审计知识要素》强化练习(2022年1月)

2023年8月1日发(作者：)

国际内部审计师《内部审计知识要素》强化练习

（2022年1月）

单项选择题

1、釆用各种防范手段和措施来保护系统免受恶意软件和计算机犯罪的侵害，是组织一项极其重要的任务。下列可以在其中发挥应有的确认和咨询作用的是？

A.内部审计

B.社会审计

C.政府审计

D.注册会计师审计

正确答案：A

答案解析

A.正确。釆用各种防范手段和措施来保护系统免受恶意软件和计算机犯罪的侵害，是组织一项极其重要的任务。内部审计可以在其中发挥应有的确认和咨询作用。 B.不正确。见题解A。 C.不正确。见题解A。 D.不正确。见题解A。

考察知识点

恶意软件防范和加密、防火墙等的目的和用途

2、以下哪一项是向法律审计人员提供财务数据库涉嫌舞弊证据的最好方式？

A.提供对冗余磁盘阵列(RAID)备份的访问。

B.提供对数据库备份的访问。

C.提供对比特流备份的访问。

D.提供对财务数据库的访问。

正确答案：C

答案解析

A.不正确。对冗余磁盘阵列(RAID)备份的访问属于对数据库的直接访问，法律审计人员不应该直接访问数据库，以免损害数据库的数据。

B.不正确。对数据库备份的访问属于对数据库的直接访问，法律审计人员不应该直接访问数据库，以免损害数据库的数据。

C.正确。司法审计人员不应该直接访问数据库，以免损害数据库的数据。提供对比特流备份的访问可以满足这—要求。

D.不正确。对财务数据库的访问属于对数据库的直接访问，法律审计人员不应该直接访问数据库，以免损害数据库的数据。

考察知识点

IT运营控制

3、所谓的3A系统不包括下列哪项？

A.认证/验证

B.授权

C.审计

D.监控

正确答案：D

答案解析

A.不正确。所谓的3A系统包括：认证/验证、授权和审计。 B.不正确。见题解A。 C.不正确。见题解A。 D.正确。见题解A。

考察知识点

逻辑访问控制的目的和用途

4、与封闭式系统相比，开放式系统的特点是？

A.组件比较便宜。

B.互联互通程度降低。

C.更多依赖特定供应商。

D.便携性受到更多限制。

正确答案：A

答案解析

与封闭系统相比，开放系统特点是用相对便宜的组件，因为有更多供应商，他们会将开放式组件开发的越来越像日常商品；开放式系统是具有或多或少的互操作性，与封闭式系统比较而言，有更多的开放式组件在一起协同运行；开放式系统较少依赖特定供应商，用户可以对组件供应商做选择；开放式的系统兼容性好，应用软件可移植性强，便携性表述不恰当。

考察知识点 基本的数据库和因特网术语

5、下列哪项是指基于请求者的身份和访问规则（授权）控制访问，规定请求者访问可以（或不可以）做什么？

A.自主访问控制

B.强制访问控制

C.基于角色的访问控制

D.基于属性的访问控制

正确答案：A

答案解析

A.正确。自主访问控制。是基于请求者的身份和访问规则（授权）控制访问，规定请求者访问可以（或不可以）做什么。 B.不正确。强制访问控制是通过比较具有安全许可（表明系统用户有资格访问某种资源）的安全标记（表明系统资源的敏感或关键程度）来控制访问。

C.不正确。基于角色的访问控制是基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权的规则来控制访问。 D.不正确。基于属性的访问控制是基于用户、被访问资源以及当前环境条件来控制访问。

考察知识点

逻辑访问控制的目的和用途

6、一家涉足电子商务的机构实施了一种公共密钥基础设施。对以下哪种密钥的获取必须仅限于应用程序的所有者?

A.电子密钥。

B.公共密钥。

C.私人密钥。

D.注册密钥。

正确答案：C

答案解析

A.不正确,见题解C。

B.不正确,见题解C。

C.正确,非对称密钥由公钥和私钥组成。公钥通常用于数据加密或签名验证,可以在网上发布,是公开的;私钥通常用于数据解密或签名,只有本人知道,是秘密的。

D.不正确,见题解C。

考察知识点

物理安全和物理控制

7、由于公司邻近河流，洪水泛滥时，即使洪水不会淹到数据中心，公司仍会遭受哪方面的风险？

A.贵重设备可能需要更换。

B.顾客可能会拒绝与公司做生意。

C.雇员可能无法提交工作报告。

D.许多顾客可能无法按时付款。

正确答案：C

答案解析

A.不正确。贵重设备通常集中在数据中心，既然洪水没有淹到数据中心，其贵重设备当然也无需更换。

B.不正确。只要公司仍能提供有效的服务，顾客没有理由会拒绝与公司做生意。

C.正确。洪水可能导致道路中断，公司雇员本人、家人或财产受到损害等，以致雇员无法提交工作报告。

D.不正确。顾客的付款行为应是在顾客所在地进行，因此尽管受洪水影响区域的部分顾客可能无法按时付款，但大多数顾客的付款并不会受影响。

考察知识点

物理安全和物理控制

8、下列关于对访问日志的说法中错误的是？

A.访问日志对用户访问信息系统的时间、内容等进行记录，便于分析控制

B.安装访问日志系统属于检测性控制措施

C.安装访问日志系统可以发现未经授权的访问

D.安装访问日志系统可以防止未经授权的访问发生

正确答案：D

答案解析 A.不正确。访问日志对用户访问信息系统的时间、内容等进行记录，便于分析控制。安装访问日志系统属于检测性控制措施，它虽然可以发现未经授权的访问，但不能防止其发生。 B.不正确。见题解A。 C.不正确。见题解A。 D.正确。见题解A。

考察知识点

逻辑访问控制的目的和用途

9、一个公司强烈意识到公司信息的敏感性。因为公司数据是有价值的,安全管理员需要监控的最重要的事情是什么?

A.数据所有者对数据的多重访问。

B.修改访问需要管理层授权。

C.特权用户对运营数据的访问。

D.质量管理。

正确答案：C

答案解析

A.不正确,数据所有者(负责创建和维护特定数据的人)对数据的多重访问是正常发生的事。

B.不正确,修改访问的管理层授权是环境变化的需要,这些事情通常不进行汇报。

C.正确,安全管理员应该汇报特权用户对数据或资源的访问情况,这样就能够对访问情况进行监控。

D.不正确,质量管理是属于质量管理人员的任务，不属于安全管理员的职责。

考察知识点

物理安全和物理控制

10、某保险公司使用了一个广域网，通过该广域网，其保险代理人可在家中通过笔记本电脑和拨入调制解调器获取当前费率和客户信息并提交已审核的客户索赔请求。对于这种应用，以下方法中哪一个能提供最佳的数据安全性？

A.端到端数据加密。

B.回拨特性。

C.频繁修改用户标识和口令。

D.专用电话线。

正确答案：A 答案解析

A.正确。端到端数据加密可以有效防止数据在传输过程中被窃听。

B.不正确。回拨特性可以防止假冒终端，提高数据源的节点真实性，但不能防止数据在传输过程中被窃听。

C.不正确。频繁修改用户标识和口令可以防止假冒用户，提高数据源的真实性，但不能防止数据在传输过程中被窃听。

D.不正确。专用电话线代价过于高昂，而且专用电话线仍有可能被人窃听。

考察知识点

恶意软件防范和加密、防火墙等的目的和用途

11、某内部审计人员完成某数据中心的物理安全审计后，建议采用生物认证技术来控制建筑物的人员出人，其建议中应不包括以下哪一项？

A.虹膜。

B.语音。

C.秘钥。

D.指纹。

正确答案：C

答案解析

A.不正确。虹膜是一种生物特征。

B.不正确。语音是一种生物特征。

C.正确。秘钥不属于生物特征。

D.不正确。指纹是一种生物特征。

考察知识点

物理安全和物理控制

12、下列选项中使用软硬件结合的双因素认证方式的是？

A.硬件身份认证

B.智能卡

Key

D.短信动态密码验证 正确答案：C

答案解析

A.不正确。硬件身份认证利用“只有你知道的事情”即“what you know”的单因素认证。 B.不正确。智能卡，是利用“只有你有拥有的东西”即 “what you have”方法。 C.正确。USB Key是使用软硬件结合的双因素认证方式。 D.不正确。短信动态密码验证也是利用“只有你有拥有的东西”即“what you have”方法。

考察知识点

其他新兴技术实务及其对安全的影响

13、结合FIPS 199（美国联邦信息处理标准-信息安全）对安全分级的定义，即将存在安全违规（即机密性、完整性和可用性的缺失）的组织或个人根据其所造成的影响，下列不属于分类的级别的是？

A.低级

B.最高级

C.高级

D.中级

正确答案：B

答案解析

A.不正确。将存在安全违规的组织或个人根据其所造成的影响分为三个级别：低级、中级和高级。 B.正确。见题解A。 C.不正确。见题解A。 D.不正确。见题解A。

考察知识点

应用认证的级别和方式

14、信息保护是一项管理责任。此职责涉及组织的所有关键信息，而无论信息如何存储。内部审计活动应确认的问题不包括的是？

A.管理层认识到这一责任

B.信息安全功能不能被破坏

C.管理层不需要意识到任何有缺陷的安全措施

D.采取纠正措施来解决所有信息安全问题

正确答案：C 答案解析

A.不正确。信息保护是一项管理责任。此职责涉及组织的所有关键信息，而无论信息如何存储。内部审计活动应确认：管理层认识到这一责任、信息安全功能不能被破坏、管理层意识到任何有缺陷的安全措施、采取纠正措施来解决所有信息安全问题、采取预防、检查和纠正措施以确保信息安全。 B.不正确。见题解A。 C.正确。见题解A。 D.不正确。见题解A。

考察知识点

信息保护和漏洞管理的目的和用途

15、某公司正在考虑在一个区域中心镜像反映另一个区域中心的客户数据。此安排的不利之处是？

A.对处理状态缺乏意识。

B.网络流量的成本和复杂程度均有增加。

C.镜像数据与来源数据发生干扰。

D.对客户数据的储存地点产生混淆。

正确答案：B

答案解析

建立镜像站点不会导致缺乏了解，反而是了解能力增加；当需要将任何变化在另一个站点正确反映时，数据镜像过程中有关交易的完整性、网络故障恢复等复杂技术问题，会增加网络传输的成本和复杂性；镜像数据的原理是要保持原始数据和镜像数据的同步，不可能冲突；与数据实际存放地点不会混淆。

考察知识点

IT运营控制

16、下列关于内存驻留病毒的说法正确的是？

A.一种能够在计算机的操作系统中自行安装，在计算机被激活时启动的病毒

B.一种针对计算机系统硬盘驱动器的引导扇区或主引导记录（MBR）或删除存储媒体的病毒

C.一种在它被激活并感染了它的宿主系统并复制了自己之后就终止了的病毒。也称为非驻留病毒

D.一种用特定宏语言编写的针对使用该语言的应用程序的病毒

正确答案：A 答案解析

A.正确，属于内存驻留病毒。 B.不正确，属于引导扇区/启动病毒。 C.不正确，属于非内存驻留病毒。 D.不正确，属于宏病毒。

考察知识点

现有的网络安全风险(网络钓鱼攻击等)

17、用以最大程度地减少安装未经许可的电脑软件的方法很多，但以下哪项内容除外？

A.提高员工认知计划。

B.对未经许可的软件进行定期审计。

C.对网络访问和启动脚本进行定期监督。

D.制定含有软件许可要求的机构政策（内部控制）。

正确答案：C

答案解析

对网络访问和启动脚本的监测与未经许可安装软件无关。

考察知识点

逻辑访问控制的目的和用途

18、以下原则体现了一定的组织结构的特征，这些原则中，哪项对等级性和开放性的组织结构适用？

A.高级管理层不仅能授权下属做出决策，还可以转嫁对决策结果的最终责任。

B.一个主管的管理跨度不超过7人。

C.责任应与充分的授权相结合。

D.各层次的员工都有权进行决策。

正确答案：C

答案解析

A.不正确。管理层可以选择采用自行决策或授权决策等不同的决策方法，但始终应承担对决策结果的责任。

B.不正确。管理跨度不超过7人的原则并非适用所有的结构，也不一定适用于具有同一组织结构的所有组织。

C.正确。责任与充分的授权相结合是管理的一般原则，対于等级性和开放性的组织结构都适用。

D.不正确。对于等级性的组织结构来讲，并非各层次的员工都有权进行决策。

考察知识点

不同组织结构对风险和控制的影响

19、对于下列哪一种产品或行业来说，组织采取多国产业布点的跨国战略最为合适？

A.销售用于制造各种机器设备的普通钢材。

B.—种通用消费类电子产品，采用一个标准版本进行销售。

C.在不同地区经营的对口味的偏好也有所不同的食品。

D.一种可以在不同的国家进行针对性定制的产品。

正确答案：C

答案解析

A.不正确。制造各种机器设备的普通钢材一般是标准化产品，这是国际化或全球战略的范畴。

B.不正确。标准化的消费电子产品，组织通常会采用国际化或全球战略。

C.正确。考虑各地的差异而又把不同国家或地区当作本国一样经营的战略是多国产业布点的跨国战略。跨国战略的优点是价值链可以定位在世界任何地方并能利用比较优势，同时还可以最有效地利用国家资源。

D.不正确。采用有针对性的定制产品策略是多元本地化战略。

考察知识点

战略规划过程和主要活动

20、分权组织的主要优势是？

A.分权的组织很容易实现政令统一。

B.权力下放会激励员工增加创造性和主动性。

C.分权易于协调各职能间的决策。

D.分权式组织的人少于集中式组织。

正确答案：B

答案解析

A.不正确。集权式组织更容易实现政令统一，而分板的组织很难实现。

B.正确。分权组织的决策权下放会激励员工的创造性和主动性。 C.不正确。易于协调各职能间的决策，属于集权式组织的优点。

D.不正确。分权式组织的人数不一定少于集权式组织。

考察知识点

不同组织结构对风险和控制的影响

21、下列不属于计算机犯罪的主要类型的是？

A.计算机成为犯罪目标

B.计算机被用作犯罪工具

C.计算机不是犯罪所必需的，但却被用来加快犯罪速度，处理更多的信息，使犯罪更难识别和追踪。

D.计算机被用作犯罪工具，且是犯罪必需的

正确答案：D

答案解析

A.不正确，通常有三种主要类型的计算机犯罪：计算机成为犯罪目标；计算机被用作犯罪工具；计算机不是犯罪所必需的，但却被用来加快犯罪速度，处理更多的信息，使犯罪更难识别和追踪。 B.不正确，见题解A。 C.不正确，见题解A。 D.正确，见题解A。

考察知识点

现有的网络安全风险(网络钓鱼攻击等)

22、某经理准备组建一个新的工作团队。为了使这个团队能长期高效地运作，这个经理采取以下哪种办法最为有效？

A.团队组建时即派一名强有力的团队负责人，帮助团队确定工作目标和工作任务分工。

B.选择有相似背景的人员组成团队。

C.让小组自行制定工作目标。

D.明确指定目标，给予充裕的时间让其成长。

正确答案：D

答案解析

A.不正确。指定强有力的负责人并对工作任务进行分工会不利于成员参与。而对于团队来说，成员的参与却是至关重要的。

B.不正确。采用团队工作方式应当促进员工队伍的多元化，这样看问题的广度就会比单一性质的群体更大，做出的决策也更有创意。由相似背景的人员组成的团队虽然能够减少冲突，但却有损于长期高效运作的团队对观点、背景、技能多样化的要求。

C.不正确。小组自行确立的目标与组织目标不一定相符合。由经理为团队制定明确的目标是团队有效运作的关键。

D.正确。明确指定目标并给团队以成长时间，这种阶段性的发展对长期有效的团队是必要而关键的。

考察知识点

组织行为和不同的绩效管理技术

23、下列哪项不属于绩效评价指标的设计原则？

A.以时间为依据。

B.系统全面。

C.通用可比。

D.实用性。

正确答案：A

答案解析

A.正确。以时间为依据是根据不同的标准和用途对指标加以分类的区别应用，不属于绩效评价指标的设计原则。 B.不正确。系统全面。指标体系的设计应考虑到影响企业战略目标或竞争优势的各个主要方面，同时考虑指标间的系统性和相互联系性。属于绩效评价指标的设计原则。 C.不正确。通用可比。不仅对同一个企业这个时期与另一个时期相比较，更重要的是与不同的单位相比较。属于绩效评价指标的设计原则。 D.不正确。实用性。评价指标体系要繁简适当，计算方法简便易行。属于绩效评价指标的设计原则。

考察知识点

常用的绩效评价方法

24、利用磁卡或塑料卡作为钥匙，经感应器读取后才能进入；属于哪种门锁？

A.传统门锁。

B.组合门锁。

C.电子门锁。

D.生物特征锁。 正确答案：C

答案解析

A.不正确。传统门锁。必须以传统的金属钥匙才能开启，最好在钥匙上标明“禁止复制”。

B.不正确。组合门锁。必须利用接键输入口令才能进入，口令组合必须定期更换。 C.正确。电子门锁。利用磁卡或塑料卡作为钥匙，经感应器读取后才能进入。 D.不正确。生物特征锁。利用生物测定、识别技术，通过对比人体特征如声音、视网膜、指纹等才能打开的锁。

考察知识点

物理安全和物理控制

25、当劳资双方之间出现争议时，车间的工人代表往往会站出来发言。虽然工人代表平时与他的同事拥有同样的权威、知识和技能，但他能够代表全体工人，是他拥有什么样的权力？

A.专长权

B.法定权

C.参照权

D.强制权

正确答案：C

答案解析

A.不正确。专长性权力指领导者由个人的特殊技能或某些专业知识而形成的权力。

B.不正确。法定权指个人所拥有的合法的，法定的权力。

C.正确。参照权指与个人的品质、魅力、资历、背景等相关的权力。

D.不正确。强制权指领导者对其下属具有的强制其服从的力量。

考察知识点

在领导、指导、引导员工、建立组织承诺以及企业家能力方面的管理有效性

26、当员工在演讲台上感谢观众的认可时，这与什么样的个人动机有关？

A.集体主义动机

B.外部动机

C.内在动机

D.个人主义动机

正确答案：B 答案解析

A.不正确。集体主义是指一切从集体出发，把集体利益放在个人利益之上。

B.正确。动机分为内在动机和外在（外部）动机，外在动机主要是由金钱、公众认可和其他外部奖励等外部因素驱动的。

C.不正确。内在动机是指由个体的内在需要所引起的动机。

D.不正确。个人主义强调的是个人权利和自由。

考察知识点

组织行为和不同的绩效管理技术

27、下列哪项不属于常用IT运营控制的主要内容？

A.职责分离

B.程序变更控制

C.问题管理控制

D.服务和支持

正确答案：D

答案解析

A.不正确。IT业务活动的核准、记录、经办等职能应当尽可能做到相互独立，分别由专人负责和操作，如果不能做到完全分离（如小型组织），也必须通过其他适当的控制程序（即补偿控制，如审计追踪）来弥补。该选项属于常用IT运营控制的主要内容。 B.不正确。是内容更为广泛的变更管理的组成部分，控制应用（由作业或程序组成）从用于开发和维护的测试环境，转移到进行全面测试的中试环境，并最终转移至生产环境。该选项属于成功的企业拥有的特征。 C.不正确。主要是对软件、硬件和系统的异常情况进行检测、归档、控制、解决和报告的管理进行监控。该选项属于常用IT运营控制的主要内容。 D.正确。主要是为IT部门的运维人员向其它人员（内部和外部）提供服务与支持。该选项属于IT运营管理的主要内容。

考察知识点

IT运营控制

28、公司有一个战略业务单位（SBU）,其在一个高速增长的市场中占有较低的市场份额。即使为了保持这种低的市场份额，公司也要投入大量的现金。如果满足一定条件的话，该公司可能会成功地为该战略业务单位采取一个持续发展的战略。下列哪项不属于该类条件？

A.业务单位显示出扩大和获得一个重要的市场份额的强劲潜力。

B.公司能够为其成长提供财务支持。

C.公司预计短期现金流量增加。

D.公司愿意放弃短期收益。

正确答案：C

答案解析

A.正确。如果SBU显示出强大的增长潜力，公司就有可能支持其继续发展。

B.正确。如果公司能够有足够的资金支持，那也可能会支持该SBU的发展。

C.不正确。按照题意，该SBU在短期内仍需公司投入大量的现金。

D.正确。如果公司愿意放弃短期的盈利或短期现金流增加的期望，则公司就可能支持该SBU的继续发展。

考察知识点

战略规划过程和主要活动

29、为了增强应用软件的安全性，内部审计主管建议程序员应该配置无盘工作站。无盘工作站可以增强安全性是因为？

A.使非法拷贝应用程序更加困难。

B.可以实施更为严格的访问控制。

C.减少工作站的维护费用。

D.促进程序员更紧密地协同工作。

正确答案：A

答案解析

A.正确。无盘工作站运行从服务器上下载的程序，本地不保存任何程序，因此想通过无盘站非法拷贝应用程序会更困难。

B.不正确。对程序员而言，通过有盘或无盘工作站可实现的访问控制手段是相同的。

C.不正确。减少工作站的维护费用与安全性无关。 D.不正确。无盘工作站确实可以促进程序员更紧密地协同工作，但这不一定导致应用软件安全性的增强。

考察知识点

新兴的网络安全风险(入侵、盗版、篡改、勒索攻击等)

30、内部审计部门的管理者可以确定，以下哪项内容是把数据分析纳入内部审计活动的最大挑战？

A.结果沟通。

B.获取数据。

C.清理数据。

D.分析数据。

正确答案：B

答案解析

A.不正确。数据好析的最后一步是将数据分析的结果传达给董事会和高级管理。这个过程需要具备数据沟通能力、业务推动能力和项目工作能力，对能力要求较高，但挑战性相对获取数据而言不是最大的。

B.正确。数据有内部的也有外部的，尤其是外部数据，各行各业都有大数据交易源，坯有大量的公开市场数据，获取数据和使数据可用变得越来越困难和昂贵，组织需要对收集数据的内容、渠道、方法进行策划。这对于内部审计而言，则是最大的挑战。

C.不正确。清理数据主要是识别和删除重复数据，以及识别来自不同系统的具有相同名称的数据字段是否具有相同或不同的含义。获取数据后，清理数据工作量大但相对获取数据而言，挑战性不是最大的。

D.不正确。分析数据是指数据经过清理和标准化后开始的工作，需要应用算法进行数据挖掘以提炼数据价值。工作起来难度很大，但挑战性相对获取数据而言不是最大的。

考察知识点

数据分析流程

31、有关ISO/IEC38500系列标准的说法，以下哪一项是正确的？

A.侧重于信息安全管理。

B.侧重于内部控制。 C.侧重于IT治理。

D.侧重于IT服务管理。

正确答案：C

答案解析

A.不正确。ISO27000系列标淮侧重于信息安全管理。

B.不正确。COSO控制框架侧重于内部控制。

C.正确。ISO/IEC38500和COBIT侧重于IT治理。

D.不正确。ISO/IEC20000（ITIL）侧重于IT服务管理。

考察知识点

ISO27000系列标准和三道防线

2023年8月1日发(作者：)

国际内部审计师《内部审计知识要素》强化练习

（2022年1月）

单项选择题

1、釆用各种防范手段和措施来保护系统免受恶意软件和计算机犯罪的侵害，是组织一项极其重要的任务。下列可以在其中发挥应有的确认和咨询作用的是？

A.内部审计

B.社会审计

C.政府审计

D.注册会计师审计

正确答案：A

答案解析

A.正确。釆用各种防范手段和措施来保护系统免受恶意软件和计算机犯罪的侵害，是组织一项极其重要的任务。内部审计可以在其中发挥应有的确认和咨询作用。 B.不正确。见题解A。 C.不正确。见题解A。 D.不正确。见题解A。

考察知识点

恶意软件防范和加密、防火墙等的目的和用途

2、以下哪一项是向法律审计人员提供财务数据库涉嫌舞弊证据的最好方式？

A.提供对冗余磁盘阵列(RAID)备份的访问。

B.提供对数据库备份的访问。

C.提供对比特流备份的访问。

D.提供对财务数据库的访问。

正确答案：C

答案解析

A.不正确。对冗余磁盘阵列(RAID)备份的访问属于对数据库的直接访问，法律审计人员不应该直接访问数据库，以免损害数据库的数据。

B.不正确。对数据库备份的访问属于对数据库的直接访问，法律审计人员不应该直接访问数据库，以免损害数据库的数据。

C.正确。司法审计人员不应该直接访问数据库，以免损害数据库的数据。提供对比特流备份的访问可以满足这—要求。

D.不正确。对财务数据库的访问属于对数据库的直接访问，法律审计人员不应该直接访问数据库，以免损害数据库的数据。

考察知识点

IT运营控制

3、所谓的3A系统不包括下列哪项？

A.认证/验证

B.授权

C.审计

D.监控

正确答案：D

答案解析

A.不正确。所谓的3A系统包括：认证/验证、授权和审计。 B.不正确。见题解A。 C.不正确。见题解A。 D.正确。见题解A。

考察知识点

逻辑访问控制的目的和用途

4、与封闭式系统相比，开放式系统的特点是？

A.组件比较便宜。

B.互联互通程度降低。

C.更多依赖特定供应商。

D.便携性受到更多限制。

正确答案：A

答案解析

与封闭系统相比，开放系统特点是用相对便宜的组件，因为有更多供应商，他们会将开放式组件开发的越来越像日常商品；开放式系统是具有或多或少的互操作性，与封闭式系统比较而言，有更多的开放式组件在一起协同运行；开放式系统较少依赖特定供应商，用户可以对组件供应商做选择；开放式的系统兼容性好，应用软件可移植性强，便携性表述不恰当。

考察知识点 基本的数据库和因特网术语

5、下列哪项是指基于请求者的身份和访问规则（授权）控制访问，规定请求者访问可以（或不可以）做什么？

A.自主访问控制

B.强制访问控制

C.基于角色的访问控制

D.基于属性的访问控制

正确答案：A

答案解析

A.正确。自主访问控制。是基于请求者的身份和访问规则（授权）控制访问，规定请求者访问可以（或不可以）做什么。 B.不正确。强制访问控制是通过比较具有安全许可（表明系统用户有资格访问某种资源）的安全标记（表明系统资源的敏感或关键程度）来控制访问。

C.不正确。基于角色的访问控制是基于用户在系统中所具有的角色和说明各种角色用户享有哪些访问权的规则来控制访问。 D.不正确。基于属性的访问控制是基于用户、被访问资源以及当前环境条件来控制访问。

考察知识点

逻辑访问控制的目的和用途

6、一家涉足电子商务的机构实施了一种公共密钥基础设施。对以下哪种密钥的获取必须仅限于应用程序的所有者?

A.电子密钥。

B.公共密钥。

C.私人密钥。

D.注册密钥。

正确答案：C

答案解析

A.不正确,见题解C。

B.不正确,见题解C。

C.正确,非对称密钥由公钥和私钥组成。公钥通常用于数据加密或签名验证,可以在网上发布,是公开的;私钥通常用于数据解密或签名,只有本人知道,是秘密的。

D.不正确,见题解C。

考察知识点

物理安全和物理控制

7、由于公司邻近河流，洪水泛滥时，即使洪水不会淹到数据中心，公司仍会遭受哪方面的风险？

A.贵重设备可能需要更换。

B.顾客可能会拒绝与公司做生意。

C.雇员可能无法提交工作报告。

D.许多顾客可能无法按时付款。

正确答案：C

答案解析

A.不正确。贵重设备通常集中在数据中心，既然洪水没有淹到数据中心，其贵重设备当然也无需更换。

B.不正确。只要公司仍能提供有效的服务，顾客没有理由会拒绝与公司做生意。

C.正确。洪水可能导致道路中断，公司雇员本人、家人或财产受到损害等，以致雇员无法提交工作报告。

D.不正确。顾客的付款行为应是在顾客所在地进行，因此尽管受洪水影响区域的部分顾客可能无法按时付款，但大多数顾客的付款并不会受影响。

考察知识点

物理安全和物理控制

8、下列关于对访问日志的说法中错误的是？

A.访问日志对用户访问信息系统的时间、内容等进行记录，便于分析控制

B.安装访问日志系统属于检测性控制措施

C.安装访问日志系统可以发现未经授权的访问

D.安装访问日志系统可以防止未经授权的访问发生

正确答案：D

答案解析 A.不正确。访问日志对用户访问信息系统的时间、内容等进行记录，便于分析控制。安装访问日志系统属于检测性控制措施，它虽然可以发现未经授权的访问，但不能防止其发生。 B.不正确。见题解A。 C.不正确。见题解A。 D.正确。见题解A。

考察知识点

逻辑访问控制的目的和用途

9、一个公司强烈意识到公司信息的敏感性。因为公司数据是有价值的,安全管理员需要监控的最重要的事情是什么?

A.数据所有者对数据的多重访问。

B.修改访问需要管理层授权。

C.特权用户对运营数据的访问。

D.质量管理。

正确答案：C

答案解析

A.不正确,数据所有者(负责创建和维护特定数据的人)对数据的多重访问是正常发生的事。

B.不正确,修改访问的管理层授权是环境变化的需要,这些事情通常不进行汇报。

C.正确,安全管理员应该汇报特权用户对数据或资源的访问情况,这样就能够对访问情况进行监控。

D.不正确,质量管理是属于质量管理人员的任务，不属于安全管理员的职责。

考察知识点

物理安全和物理控制

10、某保险公司使用了一个广域网，通过该广域网，其保险代理人可在家中通过笔记本电脑和拨入调制解调器获取当前费率和客户信息并提交已审核的客户索赔请求。对于这种应用，以下方法中哪一个能提供最佳的数据安全性？

A.端到端数据加密。

B.回拨特性。

C.频繁修改用户标识和口令。

D.专用电话线。

正确答案：A 答案解析

A.正确。端到端数据加密可以有效防止数据在传输过程中被窃听。

B.不正确。回拨特性可以防止假冒终端，提高数据源的节点真实性，但不能防止数据在传输过程中被窃听。

C.不正确。频繁修改用户标识和口令可以防止假冒用户，提高数据源的真实性，但不能防止数据在传输过程中被窃听。

D.不正确。专用电话线代价过于高昂，而且专用电话线仍有可能被人窃听。

考察知识点

恶意软件防范和加密、防火墙等的目的和用途

11、某内部审计人员完成某数据中心的物理安全审计后，建议采用生物认证技术来控制建筑物的人员出人，其建议中应不包括以下哪一项？

A.虹膜。

B.语音。

C.秘钥。

D.指纹。

正确答案：C

答案解析

A.不正确。虹膜是一种生物特征。

B.不正确。语音是一种生物特征。

C.正确。秘钥不属于生物特征。

D.不正确。指纹是一种生物特征。

考察知识点

物理安全和物理控制

12、下列选项中使用软硬件结合的双因素认证方式的是？

A.硬件身份认证

B.智能卡

Key

D.短信动态密码验证 正确答案：C

答案解析

A.不正确。硬件身份认证利用“只有你知道的事情”即“what you know”的单因素认证。 B.不正确。智能卡，是利用“只有你有拥有的东西”即 “what you have”方法。 C.正确。USB Key是使用软硬件结合的双因素认证方式。 D.不正确。短信动态密码验证也是利用“只有你有拥有的东西”即“what you have”方法。

考察知识点

其他新兴技术实务及其对安全的影响

13、结合FIPS 199（美国联邦信息处理标准-信息安全）对安全分级的定义，即将存在安全违规（即机密性、完整性和可用性的缺失）的组织或个人根据其所造成的影响，下列不属于分类的级别的是？

A.低级

B.最高级

C.高级

D.中级

正确答案：B

答案解析

A.不正确。将存在安全违规的组织或个人根据其所造成的影响分为三个级别：低级、中级和高级。 B.正确。见题解A。 C.不正确。见题解A。 D.不正确。见题解A。

考察知识点

应用认证的级别和方式

14、信息保护是一项管理责任。此职责涉及组织的所有关键信息，而无论信息如何存储。内部审计活动应确认的问题不包括的是？

A.管理层认识到这一责任

B.信息安全功能不能被破坏

C.管理层不需要意识到任何有缺陷的安全措施

D.采取纠正措施来解决所有信息安全问题

正确答案：C 答案解析

A.不正确。信息保护是一项管理责任。此职责涉及组织的所有关键信息，而无论信息如何存储。内部审计活动应确认：管理层认识到这一责任、信息安全功能不能被破坏、管理层意识到任何有缺陷的安全措施、采取纠正措施来解决所有信息安全问题、采取预防、检查和纠正措施以确保信息安全。 B.不正确。见题解A。 C.正确。见题解A。 D.不正确。见题解A。

考察知识点

信息保护和漏洞管理的目的和用途

15、某公司正在考虑在一个区域中心镜像反映另一个区域中心的客户数据。此安排的不利之处是？

A.对处理状态缺乏意识。

B.网络流量的成本和复杂程度均有增加。

C.镜像数据与来源数据发生干扰。

D.对客户数据的储存地点产生混淆。

正确答案：B

答案解析

建立镜像站点不会导致缺乏了解，反而是了解能力增加；当需要将任何变化在另一个站点正确反映时，数据镜像过程中有关交易的完整性、网络故障恢复等复杂技术问题，会增加网络传输的成本和复杂性；镜像数据的原理是要保持原始数据和镜像数据的同步，不可能冲突；与数据实际存放地点不会混淆。

考察知识点

IT运营控制

16、下列关于内存驻留病毒的说法正确的是？

A.一种能够在计算机的操作系统中自行安装，在计算机被激活时启动的病毒

B.一种针对计算机系统硬盘驱动器的引导扇区或主引导记录（MBR）或删除存储媒体的病毒

C.一种在它被激活并感染了它的宿主系统并复制了自己之后就终止了的病毒。也称为非驻留病毒

D.一种用特定宏语言编写的针对使用该语言的应用程序的病毒

正确答案：A 答案解析

A.正确，属于内存驻留病毒。 B.不正确，属于引导扇区/启动病毒。 C.不正确，属于非内存驻留病毒。 D.不正确，属于宏病毒。

考察知识点

现有的网络安全风险(网络钓鱼攻击等)

17、用以最大程度地减少安装未经许可的电脑软件的方法很多，但以下哪项内容除外？

A.提高员工认知计划。

B.对未经许可的软件进行定期审计。

C.对网络访问和启动脚本进行定期监督。

D.制定含有软件许可要求的机构政策（内部控制）。

正确答案：C

答案解析

对网络访问和启动脚本的监测与未经许可安装软件无关。

考察知识点

逻辑访问控制的目的和用途

18、以下原则体现了一定的组织结构的特征，这些原则中，哪项对等级性和开放性的组织结构适用？

A.高级管理层不仅能授权下属做出决策，还可以转嫁对决策结果的最终责任。

B.一个主管的管理跨度不超过7人。

C.责任应与充分的授权相结合。

D.各层次的员工都有权进行决策。

正确答案：C

答案解析

A.不正确。管理层可以选择采用自行决策或授权决策等不同的决策方法，但始终应承担对决策结果的责任。

B.不正确。管理跨度不超过7人的原则并非适用所有的结构，也不一定适用于具有同一组织结构的所有组织。

C.正确。责任与充分的授权相结合是管理的一般原则，対于等级性和开放性的组织结构都适用。

D.不正确。对于等级性的组织结构来讲，并非各层次的员工都有权进行决策。

考察知识点

不同组织结构对风险和控制的影响

19、对于下列哪一种产品或行业来说，组织采取多国产业布点的跨国战略最为合适？

A.销售用于制造各种机器设备的普通钢材。

B.—种通用消费类电子产品，采用一个标准版本进行销售。

C.在不同地区经营的对口味的偏好也有所不同的食品。

D.一种可以在不同的国家进行针对性定制的产品。

正确答案：C

答案解析

A.不正确。制造各种机器设备的普通钢材一般是标准化产品，这是国际化或全球战略的范畴。

B.不正确。标准化的消费电子产品，组织通常会采用国际化或全球战略。

C.正确。考虑各地的差异而又把不同国家或地区当作本国一样经营的战略是多国产业布点的跨国战略。跨国战略的优点是价值链可以定位在世界任何地方并能利用比较优势，同时还可以最有效地利用国家资源。

D.不正确。采用有针对性的定制产品策略是多元本地化战略。

考察知识点

战略规划过程和主要活动

20、分权组织的主要优势是？

A.分权的组织很容易实现政令统一。

B.权力下放会激励员工增加创造性和主动性。

C.分权易于协调各职能间的决策。

D.分权式组织的人少于集中式组织。

正确答案：B

答案解析

A.不正确。集权式组织更容易实现政令统一，而分板的组织很难实现。

B.正确。分权组织的决策权下放会激励员工的创造性和主动性。 C.不正确。易于协调各职能间的决策，属于集权式组织的优点。

D.不正确。分权式组织的人数不一定少于集权式组织。

考察知识点

不同组织结构对风险和控制的影响

21、下列不属于计算机犯罪的主要类型的是？

A.计算机成为犯罪目标

B.计算机被用作犯罪工具

C.计算机不是犯罪所必需的，但却被用来加快犯罪速度，处理更多的信息，使犯罪更难识别和追踪。

D.计算机被用作犯罪工具，且是犯罪必需的

正确答案：D

答案解析

A.不正确，通常有三种主要类型的计算机犯罪：计算机成为犯罪目标；计算机被用作犯罪工具；计算机不是犯罪所必需的，但却被用来加快犯罪速度，处理更多的信息，使犯罪更难识别和追踪。 B.不正确，见题解A。 C.不正确，见题解A。 D.正确，见题解A。

考察知识点

现有的网络安全风险(网络钓鱼攻击等)

22、某经理准备组建一个新的工作团队。为了使这个团队能长期高效地运作，这个经理采取以下哪种办法最为有效？

A.团队组建时即派一名强有力的团队负责人，帮助团队确定工作目标和工作任务分工。

B.选择有相似背景的人员组成团队。

C.让小组自行制定工作目标。

D.明确指定目标，给予充裕的时间让其成长。

正确答案：D

答案解析

A.不正确。指定强有力的负责人并对工作任务进行分工会不利于成员参与。而对于团队来说，成员的参与却是至关重要的。

B.不正确。采用团队工作方式应当促进员工队伍的多元化，这样看问题的广度就会比单一性质的群体更大，做出的决策也更有创意。由相似背景的人员组成的团队虽然能够减少冲突，但却有损于长期高效运作的团队对观点、背景、技能多样化的要求。

C.不正确。小组自行确立的目标与组织目标不一定相符合。由经理为团队制定明确的目标是团队有效运作的关键。

D.正确。明确指定目标并给团队以成长时间，这种阶段性的发展对长期有效的团队是必要而关键的。

考察知识点

组织行为和不同的绩效管理技术

23、下列哪项不属于绩效评价指标的设计原则？

A.以时间为依据。

B.系统全面。

C.通用可比。

D.实用性。

正确答案：A

答案解析

A.正确。以时间为依据是根据不同的标准和用途对指标加以分类的区别应用，不属于绩效评价指标的设计原则。 B.不正确。系统全面。指标体系的设计应考虑到影响企业战略目标或竞争优势的各个主要方面，同时考虑指标间的系统性和相互联系性。属于绩效评价指标的设计原则。 C.不正确。通用可比。不仅对同一个企业这个时期与另一个时期相比较，更重要的是与不同的单位相比较。属于绩效评价指标的设计原则。 D.不正确。实用性。评价指标体系要繁简适当，计算方法简便易行。属于绩效评价指标的设计原则。

考察知识点

常用的绩效评价方法

24、利用磁卡或塑料卡作为钥匙，经感应器读取后才能进入；属于哪种门锁？

A.传统门锁。

B.组合门锁。

C.电子门锁。

D.生物特征锁。 正确答案：C

答案解析

A.不正确。传统门锁。必须以传统的金属钥匙才能开启，最好在钥匙上标明“禁止复制”。

B.不正确。组合门锁。必须利用接键输入口令才能进入，口令组合必须定期更换。 C.正确。电子门锁。利用磁卡或塑料卡作为钥匙，经感应器读取后才能进入。 D.不正确。生物特征锁。利用生物测定、识别技术，通过对比人体特征如声音、视网膜、指纹等才能打开的锁。

考察知识点

物理安全和物理控制

25、当劳资双方之间出现争议时，车间的工人代表往往会站出来发言。虽然工人代表平时与他的同事拥有同样的权威、知识和技能，但他能够代表全体工人，是他拥有什么样的权力？

A.专长权

B.法定权

C.参照权

D.强制权

正确答案：C

答案解析

A.不正确。专长性权力指领导者由个人的特殊技能或某些专业知识而形成的权力。

B.不正确。法定权指个人所拥有的合法的，法定的权力。

C.正确。参照权指与个人的品质、魅力、资历、背景等相关的权力。

D.不正确。强制权指领导者对其下属具有的强制其服从的力量。

考察知识点

在领导、指导、引导员工、建立组织承诺以及企业家能力方面的管理有效性

26、当员工在演讲台上感谢观众的认可时，这与什么样的个人动机有关？

A.集体主义动机

B.外部动机

C.内在动机

D.个人主义动机

正确答案：B 答案解析

A.不正确。集体主义是指一切从集体出发，把集体利益放在个人利益之上。

B.正确。动机分为内在动机和外在（外部）动机，外在动机主要是由金钱、公众认可和其他外部奖励等外部因素驱动的。

C.不正确。内在动机是指由个体的内在需要所引起的动机。

D.不正确。个人主义强调的是个人权利和自由。

考察知识点

组织行为和不同的绩效管理技术

27、下列哪项不属于常用IT运营控制的主要内容？

A.职责分离

B.程序变更控制

C.问题管理控制

D.服务和支持

正确答案：D

答案解析

A.不正确。IT业务活动的核准、记录、经办等职能应当尽可能做到相互独立，分别由专人负责和操作，如果不能做到完全分离（如小型组织），也必须通过其他适当的控制程序（即补偿控制，如审计追踪）来弥补。该选项属于常用IT运营控制的主要内容。 B.不正确。是内容更为广泛的变更管理的组成部分，控制应用（由作业或程序组成）从用于开发和维护的测试环境，转移到进行全面测试的中试环境，并最终转移至生产环境。该选项属于成功的企业拥有的特征。 C.不正确。主要是对软件、硬件和系统的异常情况进行检测、归档、控制、解决和报告的管理进行监控。该选项属于常用IT运营控制的主要内容。 D.正确。主要是为IT部门的运维人员向其它人员（内部和外部）提供服务与支持。该选项属于IT运营管理的主要内容。

考察知识点

IT运营控制

28、公司有一个战略业务单位（SBU）,其在一个高速增长的市场中占有较低的市场份额。即使为了保持这种低的市场份额，公司也要投入大量的现金。如果满足一定条件的话，该公司可能会成功地为该战略业务单位采取一个持续发展的战略。下列哪项不属于该类条件？

A.业务单位显示出扩大和获得一个重要的市场份额的强劲潜力。

B.公司能够为其成长提供财务支持。

C.公司预计短期现金流量增加。

D.公司愿意放弃短期收益。

正确答案：C

答案解析

A.正确。如果SBU显示出强大的增长潜力，公司就有可能支持其继续发展。

B.正确。如果公司能够有足够的资金支持，那也可能会支持该SBU的发展。

C.不正确。按照题意，该SBU在短期内仍需公司投入大量的现金。

D.正确。如果公司愿意放弃短期的盈利或短期现金流增加的期望，则公司就可能支持该SBU的继续发展。

考察知识点

战略规划过程和主要活动

29、为了增强应用软件的安全性，内部审计主管建议程序员应该配置无盘工作站。无盘工作站可以增强安全性是因为？

A.使非法拷贝应用程序更加困难。

B.可以实施更为严格的访问控制。

C.减少工作站的维护费用。

D.促进程序员更紧密地协同工作。

正确答案：A

答案解析

A.正确。无盘工作站运行从服务器上下载的程序，本地不保存任何程序，因此想通过无盘站非法拷贝应用程序会更困难。

B.不正确。对程序员而言，通过有盘或无盘工作站可实现的访问控制手段是相同的。

C.不正确。减少工作站的维护费用与安全性无关。 D.不正确。无盘工作站确实可以促进程序员更紧密地协同工作，但这不一定导致应用软件安全性的增强。

考察知识点

新兴的网络安全风险(入侵、盗版、篡改、勒索攻击等)

30、内部审计部门的管理者可以确定，以下哪项内容是把数据分析纳入内部审计活动的最大挑战？

A.结果沟通。

B.获取数据。

C.清理数据。

D.分析数据。

正确答案：B

答案解析

A.不正确。数据好析的最后一步是将数据分析的结果传达给董事会和高级管理。这个过程需要具备数据沟通能力、业务推动能力和项目工作能力，对能力要求较高，但挑战性相对获取数据而言不是最大的。

B.正确。数据有内部的也有外部的，尤其是外部数据，各行各业都有大数据交易源，坯有大量的公开市场数据，获取数据和使数据可用变得越来越困难和昂贵，组织需要对收集数据的内容、渠道、方法进行策划。这对于内部审计而言，则是最大的挑战。

C.不正确。清理数据主要是识别和删除重复数据，以及识别来自不同系统的具有相同名称的数据字段是否具有相同或不同的含义。获取数据后，清理数据工作量大但相对获取数据而言，挑战性不是最大的。

D.不正确。分析数据是指数据经过清理和标准化后开始的工作，需要应用算法进行数据挖掘以提炼数据价值。工作起来难度很大，但挑战性相对获取数据而言不是最大的。

考察知识点

数据分析流程

31、有关ISO/IEC38500系列标准的说法，以下哪一项是正确的？

A.侧重于信息安全管理。

B.侧重于内部控制。 C.侧重于IT治理。

D.侧重于IT服务管理。

正确答案：C

答案解析

A.不正确。ISO27000系列标淮侧重于信息安全管理。

B.不正确。COSO控制框架侧重于内部控制。

C.正确。ISO/IEC38500和COBIT侧重于IT治理。

D.不正确。ISO/IEC20000（ITIL）侧重于IT服务管理。

考察知识点

ISO27000系列标准和三道防线