CISA Domain01 기출문제 (121-150)

CISA Domain01 기출문제 (121-150)

 

1. 승인되지 않은 거래를 식별하고 조사하는 데 사용할 수 있는 것은 무엇입니까? 베스트 답변을 선택하세요.

A. 사후 검토
B. 합리성 확인
C. 데이터 마이닝 기술
D. 전문가 시스템

 

정답

답: C
설명:
데이터 마이닝 기술을 사용하여 무단 거래를 식별하고 조사할 수 있습니다.

 

2. 네트워크 환경은 종종 프로그램 간 통신의 복잡성을 추가하여 응용 프로그램 시스템의 구현 및 유지 관리를 만듭니다.
더 어렵다. 참인가 거짓인가?

A. True
B. False

 

정답

답: A
설명: 네트워크 환경은 종종 프로그램 간 통신의 복잡성을 추가하여 애플리케이션 시스템 구현 및 유지 관리를 더 어렵게 만듭니다.

 

3. 데이터 아카이브를 오프사이트에 저장할 때 데이터 완전성을 보장하기 위해 데이터로 무엇을 해야 합니까?

A. 데이터는 정규화되어야 합니다.
B. 데이터는 검증되어야 합니다.
C. 데이터는 병렬 테스트여야 합니다.
D. 데이터는 동기화되어야 합니다.

 

정답

답: D
설명: 데이터 아카이브를 오프사이트에 저장할 때 데이터 완전성을 보장하기 위해 데이터를 동기화해야 합니다.

 

4.필드에 유효한 데이터가 포함되어 있는지 확인하기 위한 편집 검사란 무엇입니까?
가. 완성도 확인
나. 정확도 확인
다. 중복 체크
라. 합리성 확인

정답

답: 가
설명: 완전성 검사는 필드에 유효한 데이터가 포함되어 있는지 여부를 결정하기 위한 편집 검사입니다.

 

5. 암호의 의도적 또는 비의도적 공개는 제어 로그 내에서 분명할 수 있습니다.

A. True
B. False

 

정답

B. False

암호의 의도적 또는 비의도적 공개는 제어 로그 내에서 분명하지 않을 수 있습니다.

6.다음 중 주소 필드 중복 검색에 가장 적합한 것은?
A. 텍스트 검색 포렌식 유틸리티 소프트웨어
B. 일반화된 감사 소프트웨어
C. 생산성 감사 소프트웨어
D. 수동 검토

 

정답

답: B
설명: 일반 감사 소프트웨어를 사용하여 주소 필드 중복을 검색할 수 있습니다.

7. 통합 테스트 기능은 처리 출력을 독립적으로 계산된 데이터와 비교할 수 없기 때문에 유용한 감사 도구로 간주되지 않습니다. 참인가 거짓인가?

A. True
B. False

 

정답

B. False
설명: 통합 테스트 기능은 처리 출력을 독립적으로 계산된 datA와 비교하기 때문에 유용한 감사 도구로 간주됩니다.

8. 자동화 시스템에서 비용 효율적인 제어를 구현하는 책임은 누구에게 있습니까?

A. 보안정책 관리자
B. 사업부 관리
C. 고위 경영진
D. 이사회

 

정답

답: B
설명: 사업부 관리는 자동화 시스템에서 비용 효율적인 제어를 구현하는 책임이 있습니다.

 

9.IS 감사인이 조직도를 검토하는 이유는 무엇입니까?
A. 개인의 책임과 권한을 최적화하기 위해
B. 개인의 책임과 권한 통제
C. 개인의 책임과 권한을 더 잘 이해하기 위해
D. 프로젝트 후원자를 식별하기 위해

 

정답

답: C
설명: IS 감사인이 조직도를 검토하는 주된 이유는 개인의 책임과 권한을 더 잘 이해하기 위함입니다.

10. 외부 공격으로부터 최고 수준의 보호를 제공하기 위해 구현할 수 있는 것은 무엇입니까?

A. 방화벽을 배스천 호스트 뒤의 차단된 서브넷에서 차단된 호스트로 구성하여 경계 네트워크 보호 계층화
B. 라우터 뒤의 차단된 호스트로 방화벽 구성
C. 보호 배스천 호스트로 방화벽 구성
D. 외부 호스트에서 내부 호스트로 VPN 액세스를 용이하게 하는 두 개의 부하 공유 방화벽 구성

 

정답

답: A
설명: Layering perimeter network protection by configuring the firewall as a screened host in a screened subnet behind the bastion host provides a higher level of
protection from external attack than all other answers.

11. 데이터베이스 관리 시스템의 디렉토리 시스템은 다음을 설명합니다.
A. 데이터 접근 방법
B. 데이터의 위치 및 접근방법
C. 데이터의 위치
D. 데이터의 위치나 접근 방식이 모두 아님

 

정답

답: B
설명: The directory system of a database-management system describes the location of data and the access method.

 

12. 민감한 데이터의 무단 공개로부터 적절하게 보호하려면 하드 디스크를 어떻게 소독해야 합니까?
A. 데이터를 삭제하고 바이너리 0으로 덮어써야 합니다.
B. 데이터의 자기를 제거해야 합니다.
C. 데이터는 저수준 형식이어야 합니다.
D. 데이터를 삭제해야 합니다.

 

정답

답: B
설명: 민감한 데이터의 무단 공개로부터 적절히 보호하려면 폐기 또는 방출 전에 하드 디스크의 자기를 제거해야 합니다.

 

13.WAP 게이트웨이 구성 요소가 메시지 기밀성을 적용하는 제어를 감사 및 테스트할 때 IS 감사인에게 중요한 우려와 검토를 보증하는 이유는 무엇입니까?
A. WAP는 종종 기본 설정으로 구성되므로 안전하지 않습니다.
B. WAP는 무선 트래픽에 대해 약한 암호화를 제공합니다.
C. WAP는 무선 TLS에서 인터넷 SSL로의 프로토콜 변환 게이트웨이 역할을 합니다.
D. WAP는 종종 중요한 IT 시스템과 인터페이스합니다.

 

정답

답: C
설명: 무선 TLS에서 인터넷 SSL로의 프로토콜 변환 게이트웨이로 작동하는 WAP 게이트웨이는 메시지 기밀성을 적용하는 제어를 감사 및 테스트할 때 IS 감사인에게 중요한 우려와 검토를 보장하는 구성 요소입니다.

 

14. 적절한 업무 분담은 컴퓨터 운영자(사용자)가 보안 관리 업무를 수행하는 것을 방지합니다. 참인가 거짓인가?
A. True
B. False

 

정답

답: A
설명: Proper segregation of duties prevents a computer operator (user) from performing security administration duties.

15. 다음 중 조직의 시스템이 DDoS(분산 서비스 거부) 공격에 참여하는 것을 방지하는 데 도움이 되는 것은 무엇입니까? 

A. 인바운드 트래픽 필터링
B. ACL(액세스 제어 목록)을 사용하여 인바운드 연결 시도 제한
C. 아웃바운드 트래픽 필터링
D. 분산 시스템의 재중앙화

 

정답

답: C
설명:
아웃바운드 트래픽 필터링은 조직의 시스템이 DDoS(분산 서비스 거부) 공격에 참여하는 것을 방지하는 데 도움이 될 수 있습니다.

 

16. 다음 중 조직의 시스템이 DDoS(분산 서비스 거부) 공격에 참여하는 것을 방지하는 데 도움이 되는 것은 무엇입니까?

A. 인바운드 트래픽 필터링
B. ACL(액세스 제어 목록)을 사용하여 인바운드 연결 시도 제한
C. 아웃바운드 트래픽 필터링
D. 분산 시스템의 재중앙화

 

정답

답: C
설명:
아웃바운드 트래픽 필터링은 조직의 시스템이 DDoS(분산 서비스 거부) 공격에 참여하는 것을 방지하는 데 도움이 될 수 있습니다.

17. 서비스 거부 공격을 허용하는 일반적인 취약점은 무엇입니까?

A. 최소 권한 원칙에 따라 사용자에게 접근 권한 부여
B. 조직의 보안 정책에 대한 직원의 인식 부족
C. 잘못 구성된 라우터 및 라우터 액세스 목록
D. 방화벽 액세스 규칙 구성

 

정답

답: C
설명:
부적절하게 구성된 라우터 및 라우터 액세스 목록은 서비스 거부 공격에 대한 일반적인 취약점입니다.

 

18. 웹 사이트 인증을 제공하고 데이터 암호화에 사용되는 키를 성공적으로 인증하는 데 사용할 수 있는 것은 무엇입니까?
A. 기관인증서
B. 사용자 인증서

C. 웹사이트 인증서
D. 인증 코드

 

정답

답: C
설명:
웹사이트 인증서는 웹사이트 인증을 제공하는 데 사용되며 데이터 암호화에 사용되는 키를 성공적으로 인증하는 데에도 사용할 수 있습니다.

 

19. 시스템 관리자는 언제 애플리케이션 또는 시스템 패치의 영향을 먼저 평가해야 합니까?

A. 설치 후 5영업일 이내
B. 설치 전
C. 설치 후 영업일 기준 5일 이내
D. 설치 직후

 

정답

답: B
설명:
시스템 관리자는 설치하기 전에 항상 패치의 영향을 평가해야 합니다.

 

20.다음 중 IS 감사를 수행할 때 가장 우려되는 사항은 무엇입니까?
A. 데이터베이스를 직접 수정할 수 있는 사용자의 능력
B. 데이터베이스에 쿼리를 제출하는 사용자의 능력
C. 데이터베이스를 간접적으로 수정할 수 있는 사용자의 능력
D. 사용자가 데이터베이스를 직접 볼 수 있는 기능

 

정답

답: A
설명:
주요 IS 감사 문제는 데이터베이스를 직접 수정할 수 있는 사용자의 능력입니다.

 

21.프로그래머가 라이브 시스템에 대한 업데이트 액세스 권한이 있는 경우 IS 감사인은 트랜잭션을 승인하는 프로그래머의 능력보다 트랜잭션을 시작하거나 수정할 수 있는 프로그래머의 능력과 프로덕션에 액세스하는 능력에 더 관심이 있습니다. 참인가 거짓인가?
A. 진실
B. 거짓

 

정답

답: A
설명: 프로그래머가 라이브 시스템에 대한 업데이트 액세스 권한이 있는 경우 IS 감사관은 트랜잭션을 승인하는 프로그래머의 능력보다 트랜잭션을 시작하거나 수정할 수 있는 프로그래머의 능력과 프로덕션에 액세스하는 능력에 더 관심이 있습니다.

 

22. 마지막 시스템 이미지 이전에 백업된 정보로 데이터베이스를 복원한다면 다음 중 어떤 것을 권장하는가?
A. 마지막 거래 후 시스템을 다시 시작해야 합니다.
B. 마지막 트랜잭션 전에 시스템을 다시 시작해야 합니다.
C. 시스템은 첫 번째 트랜잭션에서 다시 시작되어야 합니다.
D. 마지막 트랜잭션에서 시스템을 다시 시작해야 합니다.

 

정답

답: B
설명: 마지막 시스템 이미지 이전에 백업된 정보에서 데이터베이스를 복원하는 경우 최종 트랜잭션을 다시 처리해야 하므로 마지막 트랜잭션 이전에 시스템을 다시 시작해야 합니다.

 

23. 오프사이트 처리 시설은 쉽게 식별할 수 있어야 보다 원활하게 복구할 수 있기 때문에 외부에서 쉽게 식별할 수 있어야 합니다. 참인가 거짓인가?
A. 진실
B. 거짓

 

정답

답: B
설명: 용이한 식별이 방해 공작에 대한 추가적인 취약성을 생성할 수 있기 때문에 오프사이트 처리 시설을 외부에서 쉽게 식별할 수 없어야 합니다.

 

24. 다음 중 BCP와 DRP의 지배적인 목표는 무엇입니까?

A. 인명을 보호하기 위하여
B. 업무 중단의 위험과 영향을 완화하기 위해
C. 업무 중단의 위험과 영향을 제거하기 위해
D. 업무 중단의 위험과 영향을 이전하기 위해

 

정답

답: A
설명: BCP 및 DRP의 주요 비즈니스 목표는 비즈니스 중단의 위험과 영향을 완화하는 것이지만 지배적인 목표는 여전히 인명 보호입니다.

 

25. 일반적인 재해의 단일 실패 지점 또는 취약성을 최소화하는 방법은 무엇입니까?
A. 중복 시스템 및 응용 프로그램을 현장에서 구현하여
B. 자원을 지리적으로 분산시킴으로써
C. 내화 금고에 현장 데이터 백업 보관
D. 일반적으로 식별되는 재해에 대한 BCP 및 DRP 문서 준비

 

정답

답: B
설명: 단일 실패 지점 또는 일반적인 재해의 취약성을 최소화하는 것은 리소스를 지리적으로 분산함으로써 완화됩니다.

26. 다음 중 SDLC(시스템 개발 수명 주기) 모델의 설계 단계에서 수행되는 프로세스는 무엇입니까?

A. 테스트 계획 개발
B. 범위 신조를 방지하기 위한 기준 절차
C. 해결이 필요한 요구 사항을 정의하고 솔루션의 주요 요구 사항에 매핑
D. 새 시스템 프로그래밍 및 테스트
E. 테스트는 개발된 내용을 확인하고 검증합니다.

 

정답

답: B
설명: 범위 이동을 방지하기 위한 절차는 시스템 개발 수명 주기(SDLC) 모델의 설계 단계에서 기준이 됩니다.

 

27. 시스템 개발 프로세스 내에서 애플리케이션 제어를 언제 고려해야 합니까?
A. 애플리케이션 단위 테스트 후
나. 애플리케이션 모듈 테스트 후
C. 응용 시스템 테스트 후
D. 프로젝트의 기능 사양 개발 시에도 가능한 한 빨리

 

정답

답: D
설명: 응용 프로그램 제어는 프로젝트의 기능 사양 개발 시에도 시스템 개발 프로세스에서 가능한 한 빨리 고려되어야 합니다.

 

28. 전략적으로 중요한 시스템을 더 빠르게 개발하고 개발 비용을 줄이면서 여전히 높은 품질을 유지하는 데 사용되는 것은 무엇입니까?
A. 신속한 애플리케이션 개발(RAD)
B. 간트
C. 퍼트
D. 의사결정나무

 

정답

답: A
설명: RAD(Rapid Application Development)는 전략적으로 중요한 시스템을 더 빠르게 개발하고 개발 비용을 줄이면서 고품질을 유지하는 데 사용됩니다.

29. 다음 중 변화하는 사용자 또는 비즈니스 요구 사항을 충족하기 위해 지속적으로 업데이트할 수 있는 프로토타입을 사용하는 것은 무엇입니까?

A. 퍼트
B. 신속한 애플리케이션 개발(RAD)
C. 기능점 분석(FPA)
D. 간트

 

정답

답: B
설명: RAD(Rapid Application Development)는 변화하는 사용자 또는 비즈니스 요구 사항을 충족하기 위해 지속적으로 업데이트할 수 있는 프로토타입을 사용합니다.

 

30. 정보 시스템이 사용자의 요구를 충족시키지 못하는 가장 일반적인 이유는 무엇입니까? 베스트 답변을 선택하세요.
A. 자금 부족
B. 시스템 요구 사항 정의 중 부적절한 사용자 참여
C. 시스템 요구 사항 정의 중 고위 경영진의 부적절한 참여
D. 부실한 IT 전략 계획

 

정답

답: B
설명: 시스템 요구 사항 정의 중 부적절한 사용자 참여는 정보 시스템이 사용자의 요구 사항을 충족하지 못하는 가장 일반적인 이유입니다.

 

31. 다음 중 조직 및 자산에 손실 또는 피해를 입히는 취약점을 악용하는 것은 무엇입니까?

A. 노출
나. 위협
다. 위험
D. 불충분한 통제

 

정답

답: B
설명: 위협은 취약성을 악용하여 조직과 자산에 손실이나 피해를 입힙니다.

32. 사용 프로세스 재설계는 종종 ______________ 자동화를 초래하여 기술을 사용하는 사람의 수를 ____________로 만듭니다. 빈칸을 채우세요.
A. 증가된; 더 많게
B. 증가된; 더 적게
C. 덜한; 더 적게
D. 증가된; 똑같이

 

정답

답: A
설명: 비즈니스 프로세스 리엔지니어링은 종종 자동화 증가로 이어져 더 많은 사람들이 기술을 사용하게 됩니다.

 

33. 전자 자금 이체(EFT) 인터페이스에서 자금 가용성이 완료되었는지 확인하기 위해 애플리케이션 수준 편집을 언제 확인해야 합니까?
가. 거래 완료 전
B. EFT가 시작된 직후
C. Run-to-Run 전체 테스트 중
D. EFT가 시작되기 전

 

정답

답: D
설명: 자금 가용성을 확인하기 위한 애플리케이션 수준 편집 확인은 EFT가 시작되기 전에 전자 자금 이체(EFT) 인터페이스에서 완료되어야 합니다.

 

34. 입력 데이터를 발생률과 일치시키는 데이터 유효성 검사 편집 컨트롤은 무엇입니까?

A. 정확도 확인
B. 완성도 확인
C. 합리성 확인
D. 중복 확인

 

정답

답: C

설명: 합리성 검사는 입력 데이터를 발생률과 일치시키는 데이터 유효성 검사 편집 컨트롤입니다.

 

35. IS 감사인이 통계 샘플을 사용하여 테이프 라이브러리의 목록을 작성하고 있습니다. 이것은 어떤 유형의 테스트로 간주됩니까?
가. 실질적
나. 준수
다. 통합
D. 지속적인 감사

 

정답

답: A
설명: 통계 샘플을 사용하여 테이프 라이브러리의 인벤토리를 작성하는 것은 실질적인 테스트의 한 예입니다.

 

36. IS 감사인의 결정과 행동은 다음 중 어떤 위험에 영향을 미칠 가능성이 가장 큽니까?
A. 고유
B. 탐지
C. 통제
D. 사업

 

정답

답: B
설명: 탐지 위험은 감사인의 감사 절차 및 기법 선택에 직접적인 영향을 받습니다. 고유한 위험은 일반적으로 IS 감사인의 영향을 받지 않습니다. 통제 위험은 회사 경영진의 조치에 의해 통제됩니다. 비즈니스 위험은 IS 감사인의 영향을 받지 않습니다.