我
- A.审查公司愿景和目标。
- B.匹配政策目标到公司战略的结构化方法。
- C.资产脆弱性的风险评估。
- D.已知威胁的业务影响分析。
- A.允许更快更可靠地开发系统。
- B.保持原来用过程语言编写的程序。
- C.减少对层次数据库的数据完整性的破坏。
- D.使传统的瀑布式系统开发方法更加流畅。
- A.确保恰当的职责分离的执行。
- B.为管理层提供不恰当的职责分离相关风险的建议。
- C.参与组织内角色和责任的定义以预防不恰当的职责分离。
- D.把违反恰当的职责分离的情况记录在案
- A.识别和批准;
- B.批准和认证;
- C.识别和认证;
- D.批准。
- A.进行跟踪并以图形描述。
- B.开发一个集成测试工具。
- C.使用嵌入的审计数据。
- D.进行平行模拟。
- A.基于风险分析的结果构成完整的控制需求。
- B.控制已经被测试。
- C.给予风险分析的结构构成安全控制的详细要求。
- D.控制可重现地被测试。
- 7
-
原型法的优点是:
- A.能够在不花费很大开发成本的情况下对系统进行试验。
- B.较早的定义完整的需求和概念性的设计。
- C.不容易确定控制点相关的控制步骤。
- D.加强开发过程的管理和控制。
- A.确保内部和外部战略一致。
- B.匹配组织的IT架构。
- C.匹配组织的IT架构并且确保IT架构的设计匹配组织的战略。
- D.确保IT投资和业务战略一致。
- A.审计痕迹。
- B.数据录入和计算机操作员的职责分离。
- C.击键验证。
- D.主管审查。
- A.配置使用基于源地址和目的地址,协议,用户认证的允许或拒绝对系统/网络访问的规则。
- B.配置在规则中最后使用“拒绝”选项。
- C.防火墙软件在安装时操作系统使用缺省配置。
- D.防火墙软件被配置为VPN作为点对点连接。
- A.业务判断,服务水平协议,预算
- B.组织人员,成本减少,雇员培训
- C.成本减少,业务流程,增长
- D.服务水平,关键成功因素,供应商选择
- A.固有风险
- B.审计风险
- C.检查风险
- D.业务(商业)风险
- A.数据和系统所有者,例如公司管理层
- B.数据和系统保管者,例如网络管理员和防火墙管理员
- C.数据和系统用户,例如财务部
- D.数据和系统经理
- A.目前架构的细节。
- B.去年、今年、明年的预算。
- C.组织流程图。
- D.公司的业务计划。
- 15
-
一个制造商正在开发一个新的数据库系统,该系统用来处理批量订单所生产的产品的有关数据。工作人员每天要回答客户提出的有关订货的生产情况。完工的订货在每天晚上要成批地打印出发票。对生产数据最好的访问方法是:
- A.索引顺序的。
- B.直接的。
- C.杂乱无章的。
- D.顺序的。
- A.对组织全部环境做整体评估。
- B.基于可接受的框架(例如COBIT或COSO)建立审计方法论。
- C.文档化审计程序确保审计师获得计划的审计目标。
- D.识别控制失效的高风险区域。
- A.确保信息系统战略最大化目前和未来信息技术资源的效率和利用。
- B.确保在所有信息系统中考虑信息安全。
- C.确保信息系统战略支持公司愿景和目标。
- D.确保系统管理员为系统能力提供准确的输入。
- 18
-
审计痕迹的主要目的:
- A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。
- B.建立完成的审计工作按年代顺序排列的事件链。
- C.建立交付处理的业务交易的责任(可追溯责任)。
- D.职责分离缺乏的补偿。
- A.第1级
- B.第2级
- C.第3级
- D.第4级
- A.对开发程序库变更自动日志。
- B.雇佣额外的技术人员实现职责分离。
- C.执行只有批准的程序变更才能被上线的流程。
- D.预防操作员登录ID做程序修改的自动控制。
- A.公司遵守人力资源员工离职流程。
- B.离职员工拥有的公司财产必须被归还。
- C.离职员工必须被允许从其计算机中复制个人文件。
- D.在审计日志中检查离职员工帐户最近的活动历史。
- A.部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据
- B.部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据
- C.部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业
- D.部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、修改、查看打印作业的数据输出
- A.路由器
- B.集线器
- C.应答器
- D.交换机
- A.数据在系统中的重要性。
- B.应用网络监测软件的可行性。
- C.某项活动或处理没有受到适当控制所产生的风险水平。
- D.每种控制措施的效率、复杂性和费用。
- A.主机应该定期备份。
- B.上传数据时应有双人同时在场微机操作。
- C.主机应该对上载数据实施与联机输入数据时同样的编辑和合法性检查。
- D.要求用户检查已处理数据的随机抽样样本。
- A.动态实时告警系统做网络监控。
- B.集成的纠正性网络控制。
- C.冗余。
- D.高速网络吞吐率。
- A.可行性研究。
- B.需求。
- C.设计。
- D.开发。
- A.Ⅰ Ⅱ
- B.Ⅱ Ⅱ Ⅲ
- C.Ⅲ Ⅳ
- D.Ⅰ Ⅱ Ⅲ Ⅳ
- A.可以在处理大批量交易的时间共享计算环境改善系统安全。
- B.由于从管理层和职员得到加强的输入可以提供可追溯责任的审计结果。
- C.可以识别高风险区域以供以后详细的审查。
- D.由于时间约束更松弛可以显著减少需要的审计资源。
- A.IT架构。
- B.公司的政策,标准和流程步骤。
- C.法律和法规要求。
- D.对公司的政策,标准和流程步骤的遵守。
- A.被用于标杆到目标服务水平。
- B.被用于度量提供给客户的IT服务的效果。
- C.验证组织的战略和IT服务的匹配。
- D.度量帮助台职员的绩效。
- A.提供详细流程建议实施。
- B.寻找没有书面批准流程的证据。
- C.确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志,建议项目管理培训作为补偿性控制
- D.向管理层建议采取恰当的项目批准流程并文档化。
- A.1、2、3
- B.2、3、4
- C.3、4、5
- D.1、4、5
- A.减少工作岗位。
- B.减少步骤以改善业务效率。
- C.变更管理层方向。
- D.增加利益相关者(股东,客户,供应商,银行)价值。
- A.首席执行官。
- B.董事会。
- C.IT战略委员会。
- D.审计委员会。
- A.开发出战略性审计计划。
- B.对公司的业务重点获得理解。
- C.做初步的风险评估为基于风险的审计打下基础。
- D.确定和定义审计范围和重要性。
- A.缺乏在技术上的投资。
- B.缺乏系统开发的方法。
- C.技术目标和组织目标不一致。
- D.技术合同缺乏控制。
- A.服务水平协议。
- B.ISP的物理安全。
- C.ISP的其它客户的推荐。
- D.ISP雇员的背景调查。
- A.复制文件可能没有得到同步处理;
- B.数据片断可能缺乏完整性;
- C.数据处理的进行可能缺乏成熟;
- D.数据的普及性。
- A.属性完整性Attribute integrity。
- B.参照完整性指示完整性Referential integrity。
- C.关系完整性Relational integrity。
- D.界面完整性Interface integrity。
- A.网络监控。
- B.系统监控。
- C.人员监控。
- D.能力计划和管理。
- A.一致性。
- B.完整性。
- C.安全性。
- D.冗余性。
- A.监督者。
- B.推动者。
- C.项目领导者。
- D.审计师不应该参与公司控制自我评估项目,因为他这样做可能会引起利益冲突。
- A.需要的信息系统专家可以从外部获得。
- B.对数据处理可以获得更高的控制。
- C.数据处理的优先级可以在内部建立和执行。
- D.更广泛的最终用户参与以交流用户需求。
- A.升级访问控制软件为生物/令牌系统。
- B.批准公司信息安全政策。
- C.要求信息系统审计师做综合审查。
- D.开发信息安全标准。
- A.审核短期计划(1年)和长期计划(3到5年)。
- B.审核信息系统流程。
- C.访谈恰当的公司管理人员。
- D.确保考虑外部环境。
- A.日常计划。
- B.长期计划。
- C.运营计划。
- D.战略计划。
- A.质量保障。
- B.系统管理员。
- C.应用程序员。
- D.系统分析员。
- A.采取改正行动并通知用户和管理层控制的脆弱性。
- B.确认此类控制的小弱点对于此次审计不重要。
- C.向信息技术管理层立即报告此类弱点。
- D.不执行改正行动,在审计报告中记录观察的现象和相关的风险。
- A.用户管理人员。
- B.系统程序员。
- C.数据录入员。
- D.磁带库管理员。
