1、 实施后的检查目标和方法,如项目关闭,收益实现,绩效测定 系统移植和体系开发实务Chapter 4 IT服务和交付 服务等级和水平 运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护 系统性能监控程序,工具和技术. 硬件和网络设备的功能 数据库管理实务 操作系统工具软件和数据库管理系统 生产能力计划和监控技术 对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务 生产事件/问题管理实务 软件许可证和清单管理实务 系统缩放工具和技术Chapter 5 信息资产保护 信息系统安全设计,实施和监控技术 用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制 逻辑访问安全
2、体系 攻击方法和技术 对安全事件的预测和响应程序 网络和internet安全设备 入侵检测系统和防火墙的配置 加密算法/技术 公共密钥机构组件 病毒检测和控制技术 安全方案测试和评估技术:渗透技术,漏洞扫描 生产环境保护实务和设备 物理安全系统和实务 数据分类技术 语音通讯的安全 保密信息资产的采集.存储.使用.传输和处置程序和流程 与使用便携式和无线设备Chapter 6业务连续性与灾难恢复计划 数据备份,存储,维护,保留和恢复流程 业务连续性和灾难恢复有关的法律规章协议和保险问题 业务影响分析(BIA) 开发和维护灾难恢复与业务持续计划 灾难恢复和业务连续性计划测试途径和方法 与灾难恢复和
3、业务连续性有关的人力资源管理 启用灾难恢复和业务连续性计划的程序和流程 备用业务处理站点的类型,和监督有关协议合同的方法CISA2008 练习题Chapter11. 下列哪些形式的审计证据就被视为最可靠? 口头声明的审计 由审计人员进行测试的结果 组织内部产生的计算机财务报告 从外界收到的确认来信 2 当程序变化是,从下列哪种总体种抽样效果最好? 测试库清单 源代码清单 程序变更要求 产品库清单 3在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试: 系统程序员. 法律人员 业务部门经理 应用程序员. 4进行符合性测试的时候,下面哪一种抽样方法最有效? 属性抽样 变量抽样 平均单位分
4、层抽样 差别估算 5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道: 当数据流通过系统时,其作用的控制点。 只和预防控制和检查控制有关. 纠正控制只能算是补偿. 分类有助于审计人员确定哪种控制失效 6审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? 计算机辅助开发工具(case tool) 嵌入式(embedded)数据收集工具 启发扫描工具(heuristic scanning tools) 趋势/变化检测工具 7在应用程序开发项目的系统设计阶段,审计人员的主要作用是: 建议具体而详细
5、的控制程序 保证设计准确地反映了需求 确保在开始设计的时候包括了所有必要的控制 开发经理严格遵守开发日程安排 8下面哪一个目标控制自我评估(CSA)计划的目标? 关注高风险领域 替换审计责任 完成控制问卷 促进合作研讨会 Collaborative facilitative workshops 9利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证: 充分保护信息资产 根据资产价值进行基本水平的保护 对于信息资产进行合理水平的保护 根据所有要保护的信息资产分配相应的资源 10 审计轨迹的主要目的是: 改善用户响应时间 确定交易过程的责任和权利 提高系统的运行效率 为审计人员追踪交
6、易提供有用的资料 11在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响: 可以使用的CAATs 管理层的陈述 组织结构和岗位职责. 存在内部控制和运行控制 12对于组织成员使用控制自我评估(CSA)技术的主要好处是: 可以确定高风险领域,以便以后进行详细的审查 使审计人员可以独立评估风险 可以作来取代传统的审计 使管理层可以放弃relinquish对控制的责任 13下列哪一种在线审计技术对于尽早发现错误或异常最有效? 嵌入审计模块 综合测试设备Integrated test facility 快照sanpshots 审计钩Audit hooks 14当一个程序样本被选中要
7、确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法? 对于程序库控制进行实质性测试 对于程序库控制进行复合性测试 对于程序编译控制的符合性测试 对于程序编译控制的实质性测试 15在实施连续监控系统时,信息系统审计师第一步时确定: 合理的开始(thresholds)指标值 组织的高风险领域 输出文件的位置和格式 最有最高回报潜力的应用程序 16审计计划阶段,最重要的一步是确定: 高风险领域 审计人员的技能 审计测试步骤 审计时间 17审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师: 在应用系统开发过程中,实施了具体的控制 设计并嵌入了
8、专门审计这个应用系统的审计模块 作为应用系统的项目组成员,但并没有经营责任 为应用系统最佳实践提供咨询意见 18审计中发现的证据表明,有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。IS审计师可以推测的结论是: 经理助理有舞弊行为 不能肯定无疑是谁做的 肯定是经理进行舞弊 系统管理员进行舞弊 19为确保审计资源的价值分配给组织价值最大的部分,第一步将是: 制定审计日程表并监督花在每一个审计项目上的时间 培养审计人员使用目前公司正在使用的最新技术 根据详细的风险评估确定审计计划 监督审计的进展并开始成本控制措施 20审计师在评估一个公司的网络是否可能被
9、员工渗透, 其中下列哪一个发现是审计师应该最重视的? 有一些外部调制解调器连接网络 用户可以在他们的计算机上安装软件 网络监控是非常有限的 许多用户帐号的密码是相同的 21信息系统审计师在控制自我评估(CSA)中的传统角色是: 推动者(facilitator) 经理 伙伴 股东 22下面哪一种审计技术为IS部门的职权分离提供了最好的证据: 与管理层讨论 审查组织结构图 观察和面谈 测试用户访问权限 23 IS审计师应该最关注下面哪一种情况? 缺少对成功攻击网络的报告 缺少对于入侵企图的通报政策 缺少对于访问权限的定期审查 没有通告公众有关入侵的情况 24审计人员审计网络操作系统。下面哪一个是审
10、计人员应该审计的用户特征? 可得到在线网络文档 支持终端访问远程主机 处理在主机和内部用户通信之间的文件传输 执行管理,审计和控制 25审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是: 固有的风险. 控制风险 检查危险 审计风险 26审计章程应采取: 是动态的和经常变化的,以便适应技术和和审计专业(professional)的改变 清楚的说明审计目标和授权,维护和审核内部控制 文档化达到计划审计目标的审计程序 列出对审计功能的所有授权,范围和责任 27审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的? 应用程序所有者不知道IT部门对系统实施的
11、一些应用 应用数据每周只备份一次 应用开发文档不完整 信息处理设施没有受到适当的火灾探测系统的保护 28IS审计功能的一个主要目的是: 确定每个人是否都按照工作说明使用IS资源 确定信息系统的资产保护和保持数据的完整性 对于计算机化的系统审查帐册及有关证明文件 确定该组织识别诈骗fraud的能力 29进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么? 观察反应机制 病毒清除网络 立即通知有关人员 确保删除病毒 30 审计章程的的主要目标是: A记录企业使用的审计流程 B审计部门行动计划的正式文件 C记录审计师专业行为的行为准则 说明审计部门的权力和责任。 31在对程序的安全性审计
12、过程中,审计师发现没有文件记录安全程序,该审计员应该: 建立程序文件 终止审计 进行一致性测试 鉴定和评估现行做法 32在风险分析期间,审计师已经确定了威胁和潜在的影响,下一步审计师应该: 确定并评估管制层使用的风险评估过程 确定信息资产和受影响的系统 发现对管理者的威胁和影响 鉴定和评估现有控制. 33下面哪一项用于描述(整体测试法)最合适? 这种方法使IS审计师能够测试计算机应用程序以核实正确处理 利用硬件和或软件测试和审查计算机系统的功能 这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程 IS系统审计师用于测试的一种程序,可以用于处理tagging和扩展交易和主文件
13、记录。 34 IS审计师要判断是否严格控制被授权者对于程序文档的访问,最有可能的做法是 : 评估在存储场所的文件保存计划 就当前正在进行的流程采访程序员 对比实际使用的记录和操作表 审查数据文件访问记录测试管理库的功能 35需要进一步收集哪些数据,IS审计师的决定取决于 需要的重要信息的可用性 审计师对于情况的熟悉程序 审计人员(auditee)找到相关证据的能力 进行审计的目的和范围 36审查管理层的长期战略计划有助于审计师: 了解一个组织的宗旨和目标 测试企业的内部控制 评估组织队信息系统的依赖性 确定审计所需的资源 37利用统计抽样程序可以减少: 抽样风险 检查风险 固有风险 38 IS
14、审计师对软件使用和许可权进行审计,发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为? 个人擅自删除所有未授权软件拷贝 通知被审计人员非授权软件的情况,并确认删除 报告使用XX软体的情况,并需要管理层避免这种情况重复发生 不采取任何行动,因为这是一个公认的惯例和做法,业务管理部门负责监督这种使用 39 下面哪一项IS审计师可用来确定编辑和确认程序的有效性(effectiveness)? 域完整性测试 相关完整性测试 参照完整性测试 奇偶校验检查 40下面哪一种情况下,IS审计师应该用统计抽样而不是判断抽样(nonstatistical): 错误率必须被客观量化(objective
15、ly quantified) 审计师希望避免抽样风险 通用审计软件不实用(unavailable) 容忍误差(tolerable error rate)不能确定 41 证明税收计算系统精确性的最好的方法是: 对于计算程序源代码详细目测审核和分析 使用通用审计软件对每个月计算的总数进行重复的逻辑计算 为处理流程准备模拟交易,并和预先确定的结果进行比较 自动分析流程图和计算程序的源代码 42 以下哪一个是使用测试数据的最大的挑战? 确定测试的程序的版本和产品程序的版本一致 制造测试数据包括所有可能的有效和无效的条件 对于测试的应用系统,尽量减少附加交易的影响 在审计师监督下处理测试数据 43 电子
16、邮件系统已经成为一个有用的诉讼证据来源,下面哪一个是最有可能的原因? 多重循环备份档案可供利用 访问控制可以确定电子邮件行为的责任 对于通过电子邮件交流的信息尽心过数据分类管理 企业中,用于确保证据可得的清晰的使用电子邮件的政策 44 IS审计师对于应用程序控制进行审查,应该评价: 应用程序对于业务流程的的效率 发现的隐患exposures的影响 应用程序服务的业务 应用程序的优化. 45 以下哪一个是最主要的优势,利用计算机司法软件进行调查: 维护保管的一系列电子证据 节约时间 效率和效益 寻求侵犯知识产权证据的能力 46 以下哪一个是使用ITF综合测试法的优势? 使用真实的或虚拟的主文件,
17、IS审计师不需要审查交易的来源。 定期检验过程并不需要单独分离测试过程 证实应用程序并可测试正在进行的操作 它无需准备测试数据. 47风险分析的一个关键因素是: 审计计划. 控制 弱点. Vulnerabilities 负债liabilities 48 IS审计师的决策和行动最有可能影响下面哪种风险? 固有风险 检查分析 业务风险 49在一台重要的服务器中,IS审计师发现了由已知病毒程序产生的木马程序,这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么? 调查病毒的作者. 分析操作系统日志 确保恶意代码已被清除 安装消除弱点vulnerability的补丁. 50 组织的IS部门希望确保
18、用于信息处理设备的计算机文件有足够的备份以便能进行适当的恢复。这是一种: 控制程序. 控制目标 纠正控制 运行控制. 51 IS审计师审计IT控制的效果,发现了一份以前的审计报告,但是没有工作记录workpapers,IS审计师应该怎么处理? 暂停审计直至找到工作记录 依靠以前的审计报告 对于风险最高的区域重新测试控制 通知审计管理层,重新测试控制 52 IS审计师审查组织图主要是为了: 理解工作流程 调查各种沟通渠道 理解个人的责任和权利 调查员工之间不同的联系渠道 53 IS审计师审查对于应用程序的访问,以确定最近的10个新用户是否被争取的授权,这个例子是关于: 变量抽芽 实质性测试 符合
19、性测试 停-走抽样. 54 当需要审计轨迹的时候,以下哪一种审计工具最有用? 综合测试法(ITF) 持续间断模拟(CIS) 审计钩(audit hook) 快照 55 当需要审计轨迹的时候,以下哪一种审计工具最有用? 56 以下哪一个是实质性测试? 检查例外报告清单 确认对参数改变进行审批 对于磁带库清单进行统计抽样 审核密码历史记录 57 对于特定威胁的整体经营风险的威胁,可以表示如下: 一种产品的可能性和影响的重要性,如果威胁暴露了弱点 影响的重要性应该是威胁来源暴露了弱点 威胁来源暴露弱点的可能性 风险评估小组的整体判断 58 在审查客户主文件的时候,IS审计师发现很多客户的名字相同ar
20、ising from variations in customer first names,为了进一步确定重复程度,IS设计师应该: 测试数据以确认输入数据 测试数据以确定系统排序能力 用通用审计软件确定地址字段的重复情况 用通用审计软件确定帐户字段的重复情况 59 通常,以下哪一种证据对IS审计师来说最可靠? 收到的来自第三方的核实帐户余额确认信 一线经理确保应用程序如设计的方式工作 从internet来源得到的数据趋势(Trend data) 由一线经理提供报告,IS审计师开发的比率分析(Ratio analysis) 60成功的实施控制自我评估(CSA)需要高度依赖: 一线管理人员承担部
21、分监督管理责任 安排人员负责建设build管理,而不是监督、控制 实施严格的控制策略,和规则驱动的控制 监督实施和并对控制职责进行监督monitoring 61 审计计划阶段,对于风险的评估用于提供: 审计覆盖重大事项的合理保证 明确保证重大事项在审计工作中被覆盖 审计覆盖所有事项的合理保证 充分保证所有事项在审计工作中被覆盖 62 下面哪一项是使用基于风险方法的审计计划的好处?审计 日程安排可以提前完成. 预算更符合IS审计人员的需要 人员可以使用不同的技术 资源分配给高风险领域 63 IS审计人员使用数据流程图是用来 定义数据层次 突出高级别数据定义. 用图表化方式描述数据路径和存储 描绘
22、一步一步数据产生的详细资料 64 在对数据中心进行安全审计时,通常审计师第一步要采取的是: 评级物理访问控制测试的结果 确定对于数据中心站点的风险/威胁 审查业务持续程序 测试对于可疑站点的物理访问的证据 65 高层管理要求IS审计师帮助部门管理者实施必要的控制,IS审计师应该: 拒绝这种安排,因为这不是审计人员的职责 告诉管理层将来他的审计工作无法进行 执行安排和将来的审计工作,处于职业谨慎 在得到用户部门批准的情况下,进行实施和后续工作 66 在制定风险基础审计策略时,IS审计师需要进行风险评估审计,目的是保证: 减轻风险的控制到位 确定了脆弱性和威胁 审计风险的考虑. Gap差距分析是合
23、适的. 67 当通知审计结果时,IS审计师应该牢记他们的最终责任是对: 高级管理和/或审计委员会. 被审计单位的经理. IS审计主管. 法律部门legal authorities 68 对于抽样可以这样认为: 当相关的总体不具体或者是控制没有文档记录时intangible or undocumented control,适用于统计抽样。 如果审计师知道内部控制是强有力的,可以降低置信系数 属性抽样通过在尽可能早的阶段停止抽样可以避免过度抽样。 变量抽样是一种技术,用于评估某种控制或一系列相关控制的发生率。 69 IS审计师评估系统变更的测试结果,这个系统用于处理缴纳结算payment comp
24、utation 。审计师发现50%的计算结果不能和预先定义的总数匹配。IS审计师最有可能采取下面哪一步措施? 对于出错的计算,设计进一步的测试 确定可能导致测试结果错误的变量 检查部分测试案例,以便确认结果 记录结果,准备包括发现、结论和建议的报告 70在实施对于多用户分布式应用程序的审核时,IS审计师发现在三个方面存在小的弱点:初始参数设置不当,正在适用的弱密码,一些关键报告没有被很好的检查。当准备审计报告时,IS审计师应该: 分别记录对于每个发现产生的相关影响。(record the observations separately with the impact of each of th
25、em marked against each respective finding.) 建议经理关于可能的风险不记录这些发现,因为控制弱点很小 记录发现的结果和由于综合缺陷引发的风险 报告部门领导重视每一个发现并在报告中适当的记录 71人力资源的副总裁要求审计确定上一年度工资发放中多付报酬的部分,这种情况下最好使用下面哪一种审计技术? 测试数据 通用审计软件 ITF综合测试法 72 持续审计方法的主要优点是: 当处理过程开始的时候,不要求审计师就系统的可靠性收集证据 当所有信息收集完成后,需要审计师审查并立即采取行动 可以提高系统的安全性,当使用分时环境处理大量的交易时 不依靠组织的计算机系统的复杂性。 73 在审计章程中记录的审计功能中的责任、权力和经营责任responsibility, authority and accountability,必须: 必须经最高管理层批准 经审计部门管理者批准 经用户部门领导批准 在每年IS审计师大会commencement之前修改 74 IS审计师从一个客户的数据库引入数据。 下一步需要确认输入数据是否完整,是由: 匹配输入数据的控制总数和原始数据的控制总数
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 