下列哪些形式的审计证据就被视为最可靠.docx
- 文档编号:14455560
- 上传时间:2023-06-23
- 格式:DOCX
- 页数:35
- 大小:32.57KB
下列哪些形式的审计证据就被视为最可靠.docx
《下列哪些形式的审计证据就被视为最可靠.docx》由会员分享,可在线阅读,更多相关《下列哪些形式的审计证据就被视为最可靠.docx(35页珍藏版)》请在冰点文库上搜索。
下列哪些形式的审计证据就被视为最可靠
1.下列哪些形式的审计证据就被视为最可靠?
⏹口头声明的审计
⏹由审计人员进行测试的结果
⏹组织内部产生的计算机财务报告
⏹从外界收到的确认来信
2.当程序变化是,从下列哪种总体种抽样效果最好?
⏹测试库清单
⏹源代码清单
⏹程序变更要求
⏹产品库清单
3.在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:
⏹系统程序员.
⏹法律人员
⏹业务部门经理
⏹应用程序员.
4.进行符合性测试的时候,下面哪一种抽样方法最有效?
⏹属性抽样
⏹变量抽样
⏹平均单位分层抽样
⏹差别估算
5.当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:
⏹当数据流通过系统时,其作用的控制点。
⏹只和预防控制和检查控制有关.
⏹纠正控制只能算是补偿.
⏹分类有助于审计人员确定哪种控制失效
6.审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。
下列哪些工具最适合从事这项工作?
⏹计算机辅助开发工具(casetool)
⏹嵌入式(embedded)数据收集工具
⏹启发扫描工具(heuristicscanningtools)
⏹趋势/变化检测工具
7.在应用程序开发项目的系统设计阶段,审计人员的主要作用是:
⏹建议具体而详细的控制程序
⏹保证设计准确地反映了需求
⏹确保在开始设计的时候包括了所有必要的控制
⏹开发经理严格遵守开发日程安排
8.下面哪一个目标控制自我评估(CSA)计划的目标?
⏹关注高风险领域
⏹替换审计责任
⏹完成控制问卷
⏹促进合作研讨会Collaborativefacilitativeworkshops
9.利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证:
⏹充分保护信息资产
⏹根据资产价值进行基本水平的保护
⏹对于信息资产进行合理水平的保护
⏹根据所有要保护的信息资产分配相应的资源
10.审计轨迹的主要目的是:
⏹改善用户响应时间
⏹确定交易过程的责任和权利
⏹提高系统的运行效率
⏹为审计人员追踪交易提供有用的资料
11.在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响:
⏹可以使用的CAATs
⏹管理层的陈述
⏹组织结构和岗位职责.
⏹存在内部控制和运行控制
12.对于组织成员使用控制自我评估(CSA)技术的主要好处是:
⏹可以确定高风险领域,以便以后进行详细的审查
⏹使审计人员可以独立评估风险
⏹可以作来取代传统的审计
⏹使管理层可以放弃relinquish对控制的责任
13.下列哪一种在线审计技术对于尽早发现错误或异常最有效?
⏹嵌入审计模块
⏹综合测试设备Integratedtestfacility
⏹快照sanpshots
⏹审计钩Audithooks
14.当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法?
⏹对于程序库控制进行实质性测试
⏹对于程序库控制进行复合性测试
⏹对于程序编译控制的符合性测试
⏹对于程序编译控制的实质性测试
15.在实施连续监控系统时,信息系统审计师第一步时确定:
⏹合理的开始(thresholds)指标值
⏹组织的高风险领域
⏹输出文件的位置和格式
⏹最有最高回报潜力的应用程序
16.审计计划阶段,最重要的一步是确定:
⏹高风险领域
⏹审计人员的技能
⏹审计测试步骤
⏹审计时间
17.审计师被对一个应用系统进行实施后审计。
下面哪种情况会损害信息系统审计师的独立性?
审计师:
⏹在应用系统开发过程中,实施了具体的控制
⏹设计并嵌入了专门审计这个应用系统的审计模块
⏹作为应用系统的项目组成员,但并没有经营责任
⏹为应用系统最佳实践提供咨询意见
18.审计中发现的证据表明,有一种欺诈舞弊行为与经理的帐号有关。
经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。
IS审计师可以推测的结论是:
⏹经理助理有舞弊行为
⏹不能肯定无疑是谁做的
⏹肯定是经理进行舞弊
⏹系统管理员进行舞弊
19.为确保审计资源的价值分配给组织价值最大的部分,第一步将是:
⏹制定审计日程表并监督花在每一个审计项目上的时间
⏹培养审计人员使用目前公司正在使用的最新技术
⏹根据详细的风险评估确定审计计划
⏹监督审计的进展并开始成本控制措施
20.审计师在评估一个公司的网络是否可能被员工渗透,其中下列哪一个发现是审计师应该最重视的?
⏹有一些外部调制解调器连接网络
⏹用户可以在他们的计算机上安装软件
⏹网络监控是非常有限的
⏹许多用户帐号的密码是相同的
21.信息系统审计师在控制自我评估(CSA)中的传统角色是:
⏹推动者(facilitator)
⏹经理
⏹伙伴
⏹股东
22.下面哪一种审计技术为IS部门的职权分离提供了最好的证据:
⏹与管理层讨论
⏹审查组织结构图
⏹观察和面谈
⏹测试用户访问权限
23.IS审计师应该最关注下面哪一种情况?
⏹缺少对成功攻击网络的报告
⏹缺少对于入侵企图的通报政策
⏹缺少对于访问权限的定期审查
⏹没有通告公众有关入侵的情况
24.审计人员审计网络操作系统。
下面哪一个是审计人员应该审计的用户特征?
⏹可得到在线网络文档
⏹支持终端访问远程主机
⏹处理在主机和内部用户通信之间的文件传输
⏹执行管理,审计和控制
25.审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是:
⏹固有的风险.
⏹控制风险
⏹检查危险
⏹审计风险
26.审计章程应采取:
⏹是动态的和经常变化的,以便适应技术和和审计专业(professional)的改变
⏹清楚的说明审计目标和授权,维护和审核内部控制
⏹文档化达到计划审计目标的审计程序
⏹列出对审计功能的所有授权,范围和责任
27.审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的?
⏹应用程序所有者不知道IT部门对系统实施的一些应用
⏹应用数据每周只备份一次
⏹应用开发文档不完整
⏹信息处理设施没有受到适当的火灾探测系统的保护
28.IS审计功能的一个主要目的是:
⏹确定每个人是否都按照工作说明使用IS资源
⏹确定信息系统的资产保护和保持数据的完整性
⏹对于计算机化的系统审查帐册及有关证明文件
⏹确定该组织识别诈骗fraud的能力
29.进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么?
⏹观察反应机制
⏹病毒清除网络
⏹立即通知有关人员
⏹确保删除病毒
30.审计章程的的主要目标是:
⏹A记录企业使用的审计流程
⏹B审计部门行动计划的正式文件
⏹C记录审计师专业行为的行为准则
⏹D说明审计部门的权力和责任。
31.在对IT程序的安全性审计过程中,IS审计师发现没有文件记录安全程序,该审计员应该:
⏹建立程序文件
⏹终止审计
⏹进行一致性测试
⏹鉴定和评估现行做法
32.在风险分析期间,IS审计师已经确定了威胁和潜在的影响,下一步IS审计师应该:
⏹确定并评估管制层使用的风险评估过程
⏹确定信息资产和受影响的系统
⏹发现对管理者的威胁和影响
⏹鉴定和评估现有控制.
33.下面哪一项用于描述ITF(整体测试法)最合适?
⏹这种方法使IS审计师能够测试计算机应用程序以核实正确处理
⏹利用硬件和或软件测试和审查计算机系统的功能
⏹这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程
⏹IS系统审计师用于测试的一种程序,可以用于处理tagging和扩展交易和主文件记录。
34.IS审计师要判断是否严格控制被授权者对于程序文档的访问,最有可能的做法是:
⏹评估在存储场所的文件保存计划
⏹就当前正在进行的流程采访程序员
⏹对比实际使用的记录和操作表
⏹审查数据文件访问记录测试管理库的功能
35.下面哪一种IT治理是提高战略联盟(alignment)的最佳做法?
⏹供应商和合作伙伴的风险管理.
⏹基于客户、产品、市场、流程的知识库实施到位.
⏹提供有利于于建立和共享商业信息的组织结构.
⏹高层之间对于业务和技术责任的协调
36.建立可接受的风险水平的责任属于:
⏹质量保证经理.
⏹高级业务管理.
⏹CIO首席信息主管.
⏹首席安全主管
37.作为信息安全治理成果,战略联盟提供:
⏹企业需求驱动的安全要求.
⏹按照最佳实践制定的安全基线.
⏹专门的或客户定制的解决方案.
⏹了解风险.
38.如果缺乏高层管理人员对于战略计划的许诺(commitment),最可能的后果是:
⏹缺乏技术投资.
⏹缺乏系统开发的方法.
⏹技术与组织目标不一致.
⏹缺乏对于技术合同的控制.
39.用自下而上的方法来开发组织政策的优势在于这样开发的政策:
⏹为组织整体而指定.
⏹更可能来自于风险评估的结果.
⏹与企业整体政策不会冲突.
⏹确保整个组织的一致性
40.IS审计师发现并不是所有的员工都知道企业的信息安全政策.IS审计师可以得出的结论是:
⏹这种无知有可能导致意外泄漏敏感资料
⏹信息安全并非对所有功能都是关键的.
⏹IS审计师应该为员工提供安全培训.
⏹D审计结果应该使管理者为员工提供持续的培训。
41.有效的IT治理应该确保IT计划符合组织的:
⏹业务计划.
⏹审计计划.
⏹安全计划.
⏹投资计划.
42.当通信分析人员进行下面哪一项的时候,IS审计师应该给予重点关注?
⏹监测系统性能,追踪程序变动导致的问题
⏹根据当前和未来的交易量,审查网络负载需求
⏹评价终端响应时间和网络数据传输率对于网络负载的影响
⏹网络负载平衡措施和改进建议
43.下面哪一项最可能暗示,客户数据仓库应该由内部开发而不是外包给海外运营?
⏹时差不同有可能影响IT团队的沟通
⏹通信费在第一年非常高
⏹有关隐私权的法律可能会阻碍信息跨国界传输
⏹软件开发需要更详细的说明
44.当一名员工被解雇时,需要采取的最重要的行动是:
⏹交出全部职工的档案给指定的另一名雇员.
⏹完成员工工作的备份.
⏹通知其他员工关于该员工的解雇通知.
⏹解除该员工的逻辑访问权限.
45.在处理可疑入侵时,一个合理的信息安全策略最有可能包括下列哪一项?
⏹反应
⏹纠错
⏹检测
⏹监控
46.IS审计师在审查使用交叉培训做法的组织时,应该评估哪一种风险?
⏹对于单个员工的依赖性
⏹连续性计划不够充分
⏹一个员工了解系统的所有部分
⏹错误操作.
47.IS审计师在审查IT设备的外包合同的时候,希望合同确定的是:
⏹硬件配置.
⏹访问控制软件.
⏹知识产权的所有权.
⏹开发应用方法.
48.设计信息安全政策时,最重要的一点是所有的信息安全政策应该:
⏹非现场存储.
⏹由IS经理签署writtenbyISmanagement
⏹分发并传播给用户.
⏹经常更新.
49.当评价组织的IS战略时候,下面哪一项IS审计师认为是最重要的?
⏹获得一线管理人员linemanagement的支持
⏹不能与IS部门初步预算有差异
⏹遵守采购程序
⏹支持该组织的业务目标
50.缺乏足够的安全控制是一个:
⏹威胁.
⏹资产.
⏹影响.
⏹脆弱性.
51.对于IT安全策略的审计的主要目的是保证
⏹策略向所有员工分发,并且每个员工都知道
⏹安全和控制策略支持业务和IT目标
⏹有公开发行的组织图表和功能描述
⏹适当的职责分离.
52.制订风险管理计划时,首先进行的活动是:
⏹风险评估.
⏹数据分类.
⏹资产清单.
⏹关键性分析.
53.当组织外包其信息安全功能时,下面哪一项应该由组织保留?
⏹对公司安全策略的责任
⏹定义公司安全政策
⏹实施公司安全政策
⏹定义安全程序和指南
54.风险分析小组很难预测由可能会由风险造成的经济损失,要评估潜在的损失,小组需要:
⏹计算有关资产的折旧.
⏹计算投资回报率(ROI).
⏹采用定性的方法.
⏹花费必要的时间精确计算损失金额
55.以下哪一项是由于对于数据和系统的所有权定义不充分导致的最大的风险?
⏹管理协调用户不存在.
⏹无法明确特定用户责任
⏹未授权用户可以产生,修改和删除数据
⏹审计建议无法实施
56.要支持组织的目标,信息部门应该具有:
⏹低成本理念.
⏹长期和短期计划.
⏹领先的技术.
⏹购买新的硬件和软件的计划.
57.为降低成本并提高外包的服务水平,外包应该包括以下哪些合同条款?
⏹操作系统和软硬件更新的周期
⏹共同分享由于提高绩效获得的收益Gain-sharingperformancebonuses
⏹违规处罚
⏹费用和可变成本Chargestiedtovariablecostmetrics
58.有效的IT治理要求组织的结构和流程能够确保:
⏹组织的战略和目标延伸到IT战略.
⏹业务战略来自于IT战略
⏹IT治理独立于并不同于全面治理
⏹IT战略扩大了组织的战略和目标
59.全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和:
⏹恢复.
⏹保存.
⏹重建
⏹再用
60.一个组织有一个集成开发环境,程序库在服务器上,但是修改/开发和测试在工作站上完成,以下哪一项是集成开发环境(IDE)的强项?
⏹控制程序多个版本的扩散
⏹扩展程序资源和可得到的辅助工具
⏹增加程序和加工的整体性
⏹防止有效的变更被其他修改程序重写
61.以下哪一项是计划评审技术(PERT)相比其他方法的优点?
与其他方法相比:
⏹为计划和控制项目考虑不同的情景
⏹允许用户输入程序和系统参数.
⏹测试系统维护加工的准确性
⏹估算系统项目成本.
62.以下哪一个是操作系统的访问控制功能?
⏹记录用户活动
⏹记录数据通信访问活动
⏹在记录层次确定用户的授权
⏹改变数据档案
63.代码签名的目的是为保证:
⏹该软件后来并未改变.
⏹应用程序可以和其他被签署的应用安全交互
⏹对应用程序的签名者是被信任的
⏹签名者的私钥没有被破坏
64.下列哪些类型防火墙可以最好的防范从互联网络的攻击?
⏹屏蔽子网防火墙
⏹应用过滤网关
⏹包过滤路由器
⏹电路级网关
65.重新调整下面哪种防火墙的类型可以防止通过FTP在内部下载文件?
⏹电路级网关
⏹应用网关
⏹包过滤
⏹筛选路由器
66.审查广域网(WAN)的使用中发现在连接两个站点的通信线路中,连接主文件和数据库的线路峰值可以达到信道容量的96%,IS设计师可以得出结论:
⏹需要分析以便确定是否突发模式导致短期内的服务中断
⏹广域网的通信能力足以满足最大流量因为没有达到峰值
⏹应该立刻更换线路,使通信线路的容量占用率控制在大约85%
⏹应该通知用户减少通信流量,或分配其服务时间以便平均使用带宽
67.下列哪些操作系统机制检查主体请求访问和使用的客体(文件、设备、程序)等,以确保请求与安全策略一致?
⏹地址解析协议
⏹访问控制分析
⏹参照监控
⏹实时监测
68.当评估IT服务交付时,下面哪一项是其中最重要的?
⏹记录和分析事件工具
⏹所有相关方签署的服务水平协议
⏹管理手段的能力
⏹问题管理
69.利用审计软件比较两个程序的目标代码是一种审计技术用于测试:
⏹逻辑
⏹变化
⏹效率.
⏹计算.
70.下列哪些可以用来核查输出结果和控制总数?
通过匹配输入数据和控制总数?
⏹批标题表单
⏹批量平衡
⏹数据转换错误更正
⏹对于打印缓存的访问控制
71.下面哪一种线路媒介能为网络通信提供最好的安全保证?
⏹宽带网络数字传输
⏹基带网络
⏹拨号
⏹专线
72.独立的软件程序连接两个单独的应用系统通过共享计算机资源,这种技术被称为:
⏹中间件
⏹固件
⏹应用软件.
⏹内置系统
73.WEB和电子邮件过滤工具对于组织的最主要的价值是:
⏹保护组织防止病毒和非业务材料.
⏹最大化员工绩效
⏹维护本组织的形象.
⏹有助于防止组织的法律问题
74.在并行处理环境中最大限度地发挥大型数据库的性能,下面哪一个是用于衡量的指标?
⏹磁盘分区
⏹镜像
⏹hashing
⏹Duplexing复用
75.程序员恶意修改程序用于修改数据,然后恢复为原始代码,下面那种方法可以最有效的发现这种恶意行为?
⏹比较源代码
⏹审查系统日志文件
⏹比较目标代码
⏹审查可执行代码和源代码的完整性
76.在数据库应用程序的需求定义阶段,绩效被列为重中之重。
访问DBMS文件,下面哪一种技术被建议用于优化I/O性能?
⏹存储区域网络(SNA)
⏹网络存储高度(NAS)
⏹网络文件系统(NFSv2)
⏹通用英特网文件系统(CIFS)
77.在数据库管理系统(DBMS)中,数据存放的位置和访问方法有以下那一项提供?
⏹数据字典.
⏹元数据.
⏹系统目录.
⏹数据定义语言
78.以下哪一种处理过程可以最有效地发现非法软件进入网络?
⏹使用无盘工作站
⏹定期检查硬盘
⏹使用最新的防病毒软件
⏹如果违反立即解雇的政策
79.以下是哪一个是其中最好的预防系统弱点暴露的方法?
⏹日志监测
⏹病毒保护
⏹入侵侦测
⏹补丁管理
80.以下哪一项是其中最有效的方法对付由于协议的脆弱性导致的网络蠕虫的蔓延?
⏹安装卖方对于弱点的修补程序
⏹使用防火墙阻塞协议通讯Blocktheprotocoltrafficintheperimeterfirewall.
⏹在内部网段之间阻塞通讯
⏹停止服务,直到安装了适当的网络补丁程序
81.在电子商务环境中,最好避免通信失败风险的方法是使用:
⏹压缩软件减少传输时间
⏹功能或信息认知功能.
⏹对于路由信息的包过滤防火墙
⏹租用线路异步传输模式.ATM
82.在WEB服务器上,通用网关接口常用于:
⏹使用一致的方式传输数据给应用程序并返回用户.
⏹对于电影电视的计算机图形图象
⏹网站设计的图形用户界面
⏹访问私有网关域的接口
83.在审查系统参数时,审计师首先应关注:
⏹参数设置符合安全性和性能要求
⏹变更被记入审计轨迹并定期审查
⏹变更被合适的文档进行授权和支持
⏹对系统中参数的访问被严格限制
84.地点3A、3D、1D,图表显示集线器是开放的并且是活动的,如果情况属实,什么控制应该被建议用来减轻弱点?
⏹智能集线器
⏹集线器的物理安全
⏹物理安全和智能集线器
⏹不用控制因为没有弱点
85.审计师分析数据库管理系统的审计日志,发现一些交易被部分执行导致错误,而且没有回滚,违反了下面哪一项交易特征?
⏹一致性
⏹独立性
⏹耐久性
⏹原子性Atomicity
86.以下哪一种控制方法最有效的保证产品源代码和目标代码是一致的?
⏹Release-to-release源代码和目标代码比较报告
⏹库控制软件严格限制对于源代码的改变
⏹严格限制访问源代码和目标代码
⏹对于源代码和目标代码的数据和时间戳审查
87.当评估英特网服务商提供的服务时,下面哪一项最重要?
⏹ISP产生的业绩报告
⏹服务水平协议(SLA)
⏹采访供应商
⏹与ISP的其他客户访谈
88.下面哪一个报告IS审计师可以用来检查服务水平协议与需求的一致性?
⏹使用报告
⏹硬件错误报告
⏹系统日志
⏹可用性报告
89.在客户机服务器结构中,域名服务(DNS)是最重要的因为它提供了:
⏹域名服务器的地址
⏹解决了名字与地址的转换服务
⏹互联网的IP地址.
⏹域名系统.
90.允许访问低层和高层网络服务的接口被称为:
⏹固件
⏹中间件
⏹X.25接口
⏹工具
91.IS管理者确定的变更管理程序是:
⏹控制应用程序从测试环境到生产环境的转移
⏹控制从缺乏重视到未解决问题引起的业务中断
⏹确保业务在遇到灾难时候不中断
⏹确保系统变更被合适的纪录
92.以下哪一项是对数据库管理员行为的控制?
⏹系统故障后,数据库检查点的重启过程
⏹数据库压缩以便减少使用空间
⏹监督审查访问日志
⏹备份和恢复程序,确保数据库可用性
93.组织希望实施的完整性原则的目的是,实现提高数据库应用中的性能,应该应用下面哪一种设计原则?
⏹用户触发(客户)
⏹前端验证数据
⏹结束后验证数据
⏹参照完整性
94.下列控制哪一个为数据完整性提供了最大的保证?
⏹审计日志程序
⏹联系参照检查表
⏹队列访问时间检查表
⏹回滚和前向数据库特点Rollbackandrollforwarddatabasefeatures
95.下列哪些类型的防火墙提供最大程度的控制力度?
⏹过滤路由器
⏹包过滤
⏹应用网关
⏹电路网关
96.供应商发布补丁程序修补软件中的安全漏洞,IS审计师在这种情况下应该如何建议?
⏹在安装前评估评估补丁的影响
⏹要求供应商提供了一个包括所有更新补丁新的软件版本
⏹立即安装安全补丁.
⏹在以后减少处理这些供应商
97.以下哪一个是检查擅自改变了生产环境的控制?
⏹禁止程序员访问产品数据
⏹要求变更管理的分析包括成本效益
⏹定期控制比较当前目标和源程序
⏹确立紧急变更的处理程序
98.以下哪一个成为网络管理的重要组成部分被广泛接受?
⏹配置管理
⏹拓扑映射
⏹应用监视器
⏹代理服务器发现困难
99.有线以太网在网络中使用非屏蔽双绞线超过100米,由于电缆的长度可能造成以下的情况:
⏹电磁干扰(EMI)
⏹Cross-talk
⏹Dispersion分散
⏹Attenuation减弱
100.下面哪一个通常会在应用运行手册中发现?
⏹:
源文件细节
⏹密码错误和发现的行为
⏹程序流程图和文件定义
⏹应用源代码的变更纪录
101.IS审计师审查数据库控制发现在正常
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 下列 哪些 形式 审计 证据 视为 可靠