1. 为协助测试要购置的重要银行系统，企业已将其现有生产系统中的敏感数据提供给供应商。信息系统审计师该 内 容 由 中审 网校 所属 w w w. au d it cn.com的主要关注点是数据应该：

A. 已清理。

B. 完整。

C. 有代表性。

D. 最新。

2. 以下哪一项是执行并行测试的主要目的？

A. 确定系统是否具有成本效益。

B. 实现综合单元及系统测试。

C. 找出含文件的程序接口中的错误。

D. 确保新系统满足用户要求。

3. 在执行业务流程再造的审查时，信息系统审计师该 内 容 由 中审 网校 所属 w w w. au d it cn.com发现一项重要的预防性控制已被取消。在这种情况下，信息系统审计师该 内 容 由 中审 网校 所属 w w w. au d it cn.com应该：

A. 将该发现告知管理层并确定管理层是否愿意接受取消此预防性控制所带来的潜在重大风险。

B. 确定过程期间该预防性控制是否已由某检测性控制替代，如果还未被替代，则报告预防性控制的取消情况。

C. 建议将该预防性控制以及流程重组之前就已存在的所有控制程序都包括在新的流程中。

D. 制定连续的审计方法来监控因取消该预防性控制而产生的影响。

4. 以下哪种数据验证编辑能有效检测易位和抄写错误?

A. 范围检查。

B. 校验数字位。

C. 有效性检查。

D. 查重。

5. 在金融企业使用的企业资源规划软件中，以下哪个选项将被视为最严重的弱点？

A. 没有审查访问控制。

B. 可用的文件有限。

C. 没有更换已使用两年的备份媒介。

D. 每天执行一次数据库备份。

6. 在审计软件购置的需求阶段时，信息系统审计师该 内 容 由 中审 网校 所属 w w w. au d it cn.com应该：

A. 评估项目时间表的合理性。

B. 评估供应商推荐的质量流程。

C. 确保购置的是最好的软件包。

D. 审查规格的完整性。

7. 企业决定购买而非开发一个软件包。在这种情况下，传统的系统开发生命周期的设计和开发阶段将会被下列哪项取代：

A. 选择和配置阶段。

B. 可行性和需求阶段。

C. 实施和测试阶段。

D. 没有，因为不需要取代。

8. 使用传统（瀑布）系统开发生命周期方法时未能满足软件开发项目的用户规范。以下哪个方面最有可能是导致此问题的原因？

A. 质量保证。

B. 需求。

C. 开发。

D. 用户培训。

9. 在引进瘦（thin）客户端架构时，以下哪种与服务器相关的风险会显著增加？

A. 完整性。

B. 并发性。

C. 机密性。

D. 可用性。

10. 以下哪项最常与敏捷开发方法相关？

A. 依赖于详细文档。

B. 依赖于严格的标准操作程序。

C. 缺乏用户需求。

D. 严重依赖于隐性知识。

参考答案

1.

A. 应该清理测试数据以预防敏感数据泄漏到未经授权的人员手中。

B. 尽管保持数据集完整性很重要，但主要关注点是应当清理测试数据，以防敏感数据泄露，落入未经授权人员之手。

C. 尽管包括交易数据的陈述很重要，但主要关注点是应当清理测试数据，以防敏感数据泄露，落入未经授权人员之手。

D. 尽管数据集代表被处理的最新数据很重要，但主要关注点是应当清理测试数据，以防敏感数据泄露，落入未经授权人员之手。

2.

A. 并行测试结果可能显示旧系统比新系统更具成本效益，但这并不是执行该测试的主要目的。

B. 单元及系统测试是在并行测试之前完成的。

C. 对含文件的程序接口的错误测试是在系统测试期间进行的。

D. 并行测试的目的是保证新系统的实施可满足用户要求。

3.

A. 应该立即通知管理层以确定他们是否愿意接受取消此预防性控制所带来的潜在重大风险。

B. 使用检测性控制取代预防性控制通常会增加出现重大问题的风险。

C. 业务流程再造期间通常会剔除很多非增值性控制。这种做法很好，除非控制会增加业务和财务风险。

D. 信息系统审计师该 内 容 由 中审 网校 所属 w w w. au d it cn.com可能需要监控或建议管理层监控新的流程，但采取这种做法的前提是管理层已获悉并接受取消此预防性控制带来的风险。

4.

A. 范围检查可检查数据是否符合预定的值范围。

B. 校验数字位是一个经过算术计算的数值，可将其附加到相应数据以确保原始数据不被更改（例如被不正确但有效的值替换）。此项控制在检测转位和转录错误时非常有效。

C. 可用性检查是根据预定标准检查数据有效性的程序校验。

D. 查重过程中，应将新交易与之前输入的交易进行匹配，以确保系统中没有包含这些新交易。

5.

A. 考虑到需要评估的数据和资产类型，在金融企业中，不审查访问控制可能导致严重的后果。

B. 缺乏文档记录所产生后果的严重性不如未正确审查访问控制。

C. 对于已使用两年的备份媒介，可能无法从中检索数据。

D. 根据交易量，业务部门每天执行一次数据库备份是可接受的。

6.

A. 项目时间表通常不会出现在需求文档中。

B. 供应商的质量流程评估在需求阶段完成之后进行。

C. 完成相关要求之后，才能决定向供应商购买软件包。

D. 需求阶段的目的是指定所建议系统的功能；因此，信息系统审计师该 内 容 由 中审 网校 所属 w w w. au d it cn.com应侧重于规格的完整性。

7.

A. 随着购买软件包的做法越来越普遍，传统的系统生命周期的设计和开发阶段逐渐被选择和配置阶段所代替。在决定购买软件之前，需要软件包系统供应商提供提案，并根据选择的预定义标准对其进行评估。购买软件后，应对其进行配置以满足企业的需求。

B. 系统开发生命周期的其他阶段（例如可行性分析、需求定义、实施以及实施后分析）保持不变。

C. SDLC 的其他阶段（例如可行性分析、需求定义、实施以及实施后审查）保持不变。

D. 在本场景中，传统生命周期的设计和开发阶段可以用选择和配置阶段取代。

8.

A. 质量保证的重点是软件开发的各方面形式，例如遵守编码标准或具体的开发方法。

B. 未能遵守用户规范意味着已执行相应的要求工程来描述用户需求。否则，就没有检查时可参照的规范基准指标。

C. 项目管理未能建立或验证控制，以确保正在开发的软件或软件模块符合用户规范。

D. 在用户培训或验收测试期间可能会出现无法满足用户规范的情况，但这不是原因。

9.

A. 由于其他要素不需要更改，完整性风险未增加。

B. 由于其他要素不需要更改；并发性风险不会增加。

C. 由于其他要素不需要更改，机密性风险不会增加。

D. 当应用瘦（thin）客户端架构时，最主要的变化是，服务器对运营变得至关重要；所以，服务器之一出现故障的可能性有所增加，从而也增加了可用性风险。

10.

A. 对于敏捷开发方法而言，项目文档的重要性通常不如实际功能。

B. 严格的标准操作程序将不利于开发人员的创造性思考和协作能力。

C. 所有开发方法都需要某种形式的需求定义。敏捷依赖于预先定义的明确需求。

D. 敏捷方法利用大量隐性知识(即从经验中获得且难以记录的隐性知识)来提高开发团队的协作和创造力。