CISA中文试题
CISA考试练习(习题卷1)
CISA考试练习(习题卷1)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]对于应用系统控制的有效性,以下哪项措施带来的风险最大?A)去除手动处理步骤B)流程手册不充分C)员工之间互相勾结D)某些合规性问题无法解决答案:C解析:员工之间互相勾结属于持久型的主动攻击,并且很难予以识别,因为即使是考虑周全的应用控制也可被轻易避开。
其他选项则不会影响精心设计的应用控制。
2.[单选题]某人力资源(HR)公司在使用通用用户ID和密码进行身份认证后,为其客人提供无线互联网访问。
通用ID和密码可从接待处申请。
以下哪项控制措施能最好地解决此问题?A)每周更改一次无线网络的密码。
B)在公共无线网络和公司网络之间使用状态检测防火墙。
C)将公共无线网络与公司网络物理隔开。
D)在无线网络中部署入侵检测系统(IDS)答案:C解析:A.更改无线网络的密码不能防止未经授权访问公司网络,特别是在每周一次的密码变更间隔之前客人可随时访问无线局域网(WLAN)B.状态检测防火墙将甄别从无线网络进入公司网络的所有数据包;但需要审计防火墙的配置,还可能产生防火墙泄漏(虽然不太可能)C.将无线网络与公司网络物理隔离是保护公司网络免受入侵的最佳方法D.入侵检测系统(IDS)将检测入侵,但不阻止未经授权个人访问网络。
3.[单选题]风险管理过程的输出是为什么作为输入的?A)业务计划B)、审计章程。
C)、安全政策决定。
D)软件设计的决定。
答案:C解析:风险管理过程是为作出特定的安全相关的决策,比如可接受的风险水平。
选择A、B和D不是风险管理过程的的最终目的。
4.[单选题]最佳业务连续性策略的一个实例,是由:A)最低停机成本和最高恢复成本B)最低停机成本和恢复成本总和C)最高停机成本和最低恢复成本D)停机成本和恢复成本的平均值答案:B解析:这两种成本必须最小化,并且该策略是最低成本的最佳策略。
最高的恢复成本策略不能是最佳的。
CISA2023年6月部分真题
1.在一个无人的资料中心适合用什么消防器具A.二氧化碳B.喷水灭火器C.干管D.七氟丙浣2.以下哪一种消防器具不会影响环境A.二氧化碳B.喷水灭火器C.干管D.FM2003.一位稽核师参与了系统开发设计,又被指派为查核人员,该名稽核人员应A.直接拒绝,由于影响独立性B.向总稽核反响自己参与系统开发设计C.请总稽核另派人员查核,自己从旁帮助D.承受查核4.使用以太网络连接多个跨国的局域网络,最大风险是A.数据会储存于以太网络的节点,简洁失窃B.以太网络没有加密的功能C.以太网络简洁被DOSD.5.以下哪种协议于运作的防火墙中开启,会有最大的风险A.FTPB.SMTPC.SNMPD.NSP6.连结银行网络,观看银行网络首页的网址为「 s://」,表示A.连进了银行的内部网络B.银行已对网络功能做了某种程度的功能管制C.银行已经隐蔽了IP 位置D.7.以下哪项是电子交易系统最大的风险A.未启动交易轨迹B.未作路由校验C.未验证客户身分即进入交易接口D.密码没有加密8.以下哪项是应负帐款系统最大的保证A.业务流程已经做了明确的职能分工B.每位会记同仁的交易作业都会被确实纪录C. D. 9. A. B. C. D.10. A. B.每位会记同仁的作业时,作业账号皆会被计入内文表头密码没有共享RSA 的主要缺点公钥简洁被破解私钥简洁被破解简洁被反运算简洁被解译成明文使用镜射的主要缘由可以取消异地备份可以增加数据可用性C.由于需要定期异地备分数据D.由于可以加速反响时间11.一个电子商务公司有浩大的客户主档,及很小的交易纪录,因此用每月完全备份、每日增量备份,由于A.增加CPU 效率B.可以加强备份文件的管控C.搜寻档案时可以加快速度D.复原档案时比较快速12.要出售的储存媒介,应如何处理A.消磁B. C. D.13. A. B. C. D.14. A. B. C. D.15. A. B. C.格式化复写随机数资料删除数据预备重复使用的储存媒介,应如何处理消磁格式化复写随机数资料删除数据以下哪项是作业处理流程完整的最大保证业务流程已经做了明确的职能分工业务特别中断时,系统会自动记录,定期检视每一笔处理数据皆由部门经理确认处理完毕,需要签名确认生物辨识的最大风险未于首次作正确的数据输入错误承受率很高错误拒绝率很高D.16. A. B. C. D.17. A. B. C. D.18. A. B. C. D.19. A. B. C. D.20. A. B. C. D.21. A. B. C. D.22. A. B. C. D.23. A.生物辨识有效的最大保证首次即作正确的数据输入定期作生物特征更请登录人员同时供给多个生物特征辨识完成后,由工作人员作再次确认以下何者是最有效的实体存取把握螺旋门栓闭录电视口令密码识别证以下何者是最有效的火灾侦测器烟雾侦测器水烟侦测器连结于警卫室的火灾警爆器如何有效防止员工使用NB 从公司下载档案档案加密使用计算机生物辨识技术制定档案下载政策削减可下载点如何有效在网络环境防止蠕虫削减网络节点接种疫苗防火墙防毒软件双方公司互不生疏下,第一次如何建立公钥体系的真实性使用自己的公钥直接传予对方,此公钥是经过认证中心认证派自己的IT 人员,去对方的公司传送对方的公钥回公司用一事先商定的口令加密公钥,再传输予对方传输前先以连络,再传输常常断电,每次断电就8 小时以上的公司,应使用以下何种设备发电机备源线路UPS紧急迫换开关处于地震带之公司,应预备灾难复原打算B.预备热备援地点C. D.24. A. B. C. D.25. A. B. C. D.26. A. B. C. D.27. A. B. C. D.28. A. B. C. D.29. A. B. C. D.30. A. B. C. D.持续备份数据另一个办公地点,确定不能位于同一个地震带上公司要恢复数据时,应如何从异地备份地点取回数据每日轮番搬运数据每日定时传输数据使用电子地窖搬回数据派公司人员取回资料稽核目标应如何打算风险分析公司政策董事会决议重要的业务流程制定业务持续打算时,会参考以下何种数据实行的本钱恢复时的本钱高阶经理推举的优先级如何确认业务持续打算的有效性与供货商一起争论与高阶主管纸上测试一次全体员工完整测试一次参考类似的标竿企业如何确认灾难复原测试的结果是可以被承受的与供货商一起沙盘推演结果的评估纸上测试结果的评估全体员工完整测试结果的评估比较类似标竿企业的测试结果以下哪项是治理阶层持续关心信息科技的最大保证治理阶层定期订阅信息期刊IT 部门定期将公司信息的使用状况会报予治理阶层,并检讨使用最的科技治理阶层有专业的IT 学问与技术如何确保员工有效的利用网络资源员工自治同时使用几套不同的系统、软件,以供给使用的弹性随时更成市面上最的系统、软件定期购置几套市面上常用的系统、软件,以供给使用的弹性31.备份数据的储存环境须考虑A. B. C. D.32. A. B. C. D.33. A. B. C. D.34. A. B. C. D.35. A. B. C. D.36. A. B. C. D.37. A. B. C. D.38. A. B.储存环境的温度、湿度储存容器的温度、湿度储存容器对消防器材的抵抗力储存介质对消防器材的抵抗力稽核人员应如何确认消防设施检查使用期限现场使用信任IT 人员的保证以下何种生物辨识系统效果最正确虹膜指纹声纹脸部轮廓VPN 是什么公用网络虚拟化私人网络虚拟化一条网络专线一种有保护线路热备援地点应确保存放档案有清楚的标示重要设备有清楚的标示硬设备的替代性位于一段很远的距离稽核人员于CSA 的角色问题辨识人员引导顺当进展的人员促进人员监视人员处理力气指标〔Throughput Index〕是指系统很忙的时间占全系统运作时间的比例系统故障时间的比例系统资源使用率单点登入〔SSO〕的主要风险一次登入全部系统单一系统故障会影响全部系统C.系统整合困难D.39. A. B. C. D.40. A. B. C. D.41. A. B. C. D.42. A. B. C.不能有效的留下访问轨迹一个公司宣称到达力气成熟度模型〔CMM〕的最高级,可以期望持续的改进已使用IT 平衡计分卡全部程序皆已经被遵循良好的系统质量治理,有赖于高阶主管的支持员工及品保人员的团结实施了力气成熟度模型〔CMM〕一套清楚的质量政策在无线网络环境中,以下哪一项为哪一项防止未授权存取的有效方式使用WEP档案加密验证IP 或网卡使用XML假设觉察打进客服中心,放弃挂断的比例很高,表示客服人员不够线数不够客服人员第一次就能解决问题的力气缺乏D.没有订好效劳契约43.对一个应用系统进展稽核,下面哪种状况会损害稽核人员的独立性?A.在应用系统开发过程中,实施了具体的把握B.设计并嵌入了特地稽核这个应用系统的稽核模块C.作为应用系统的工程组成员,但不是以后的作业使用人员D.为应用系统最正确实践供给询问意见44.稽核中觉察有一种欺诈舞弊行为与经理的账号有关,经理把他的密码写在桌子上,稽核人员可以推想的结论是:A.经理的下属有舞弊行为B. C. D.45. A. B. C. D.不能确定是谁做的经理有舞弊行为系统治理员有舞弊行为为确保稽核资源有效的安排,第一步是:制定稽核时程表,并监视花在每一个稽核工程上的时间训练稽核人员使用目前公司正在使用的最技术依据具体的风险评估确定稽核打算监视稽核的进展并开头本钱把握措施46.稽核人员在评估公司的网络是否员工渗透,以下哪一个是稽核人员应当最重视的?A.有一些外部网络可以连进公司网络B.用户可以在他们的计算机上安装软件C.没有安装网络监控软件D.全部员工的账号密码都是一样的47.Surge Protector 的用途A.防止静电B.防止电压不稳C.防止临时断电D.防止电波干扰48.SSL 与SET 的差异A.保密B.牢靠C.完整D.不行否认49.在员工离职时,最应留意A.已经与接替的员工完成交接B.账号密码已经删除C.业务接触的人员都已经被通知D.完成离职手续50.确定类似的信息处理设施的性能〔或效能〕的最正确方式是A.用户满足度B.目标的实现C.基准测定D.力气和进展打算51.检查用于互联网通讯的网络时,IT 审计师应当首先检查A.是否口令常常修改B.客户/效劳器应用的框架C.网络框架设计D.防火墙保护和代理效劳器52.制定基于风险的审计战略时,IS 审计师应当实施风险评估,以确定A.已经存在减免风险的把握B.找到了弱点和威逼C.已经考虑到审计风险D.实施差异分析是适当的53.简洁传输协议的主要缺点54.简洁邮件协议的主要缺点55.电子地窖的主要缺点。
CISA中文题
CISA中文题1、在信息系统审计中,关于所收集数据的广度的决定应该基于:A、关键及需要的信息的可用性B、审计师对(审计)情况的熟悉程度C、被审计对象找到相关证据的能力D、此次审计的目标和范围说明:所收集数据的广度与审计的目标和范围直接相关,目标与范围较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。
审计范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程度限制。
收集所需的所有证据是审计的必要要素,审计范围也不应受限于被审计对象找到相关证据的能力。
2、下列那一项能保证发送者的真实性和e-mail的机密性?A、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息散列(hash)B、发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)C、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息。
D、用发送者的私钥加密消息,然后用接收者的公钥加密消息散列(hash)说明:为了保证真实性与机密性,一条消息必须加密两次:首先用发送者的私钥,然后用接收者的公钥。
接收者可以解密消息,这样就保证了机密性。
然后,解密的消息可以用发送者的公钥再解密,保证了消息的真实性。
用发送者的私钥加密的话,任何人都可以解密它。
3、下列那一条是椭圆曲线加密方法相对于RSA加密方法最大的优势?A、计算速度B、支持数字签名的能力C、密钥发布更简单D、给定密钥长度的情况下(保密性)更强说明:椭圆曲线加密相对于RSA加密最大的优点是它的计算速度。
这种算法最早由Neal Koblitz 和Victor S. Miller独立提出。
两种加密算法都支持数字签名,都可用于公钥分发。
然而,强密钥本身无需保证传输的效果,而是在于所应用的运发法则(运算法则是保证传输效果好坏的根本)。
4、下列哪种控制可以对数据完整性提供最大的保证?A、审计日志程序B、表链接/引用检查C、查询/表访问时间检查D、回滚与前滚数据库特性说明:进行表链接/引用检查可以发现表链接的错误(例如数据库内容的准确和完整),从而对数据完整性提供最大的保证。
CISA中文试题2008
试卷A1. 一个公司正在实施控制自我评估项目,审计师应该作为什么角色参与:A.监督者。
B.推动者。
C.项目领导者。
D.审计师不应该参与公司控制自我评估项目,因为他这样做可能会引起利益冲突。
答案:B 解释:在控制自我评估项目中,审计师应该成为推动者,推动项目的进展。
2. 一个用户的行为可以被下列那种方式正确地记录和追溯责任?A.识别和批准;B.批准和认证;C.识别和认证;D.批准。
答案:C 解释:如果没有恰当的识别和认证,对于用户的行为不可能追溯责任。
3. 在基于风险审计做计划时,以下哪一步最关键?A.对组织全部环境做整体评估。
B.基于可接受的框架(例如COBIT或COSO)建立审计方法论。
C.文档化审计程序确保审计师获得计划的审计目标。
D.识别控制失效的高风险区域。
答案:D 解释:在为审计项目做计划时最关键步骤是识别高风险区域。
4. 审计痕迹的主要目的:A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。
B.建立完成的审计工作按年代顺序排列的事件链。
C.建立交付处理的业务交易的责任(可追溯责任)。
D.职责分离缺乏的补偿。
答案:C 解释:审计痕迹和其它日志用于补偿缺乏恰当的职责分离,审计痕迹的主要目的是建立交付处理的业务交易的职责(可追溯责任)。
5. 下列哪种风险说明了与程序的陷门有关的风险:A.固有风险B.审计风险C.检查风险D.业务(商业)风险答案:A 解释:程序具有陷门属于固有风险。
6. 对公司信息系统做审计时,审计师的第一步工作应该是:A.开发出战略性审计计划。
B.对公司的业务重点获得理解。
C.做初步的风险评估为基于风险的审计打下基础。
D.确定和定义审计范围和重要性。
答案:B 解释:审计师的第一步是理解公司的业务重点,如果不能理解公司的业务愿景,目标和运营,他不会有能力完成其它任务。
7. 当审计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险:A.业务(商业)风险。
2010 CISA中文模拟题(1-100)
题号:33 在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机 操作员和应用程序员,IS审计师应推荐如下哪一种控制,以降低这种 兼职的潜在风险? 选项: A、自动记录开发(程序/文档)库的变更 B、增员,避免兼职 C、建立适当的流程/程序,以验证只能实施经过批准的变更,避免非 授权的操作 D、建立阻止计算机操作员更改程序的访问控制 题号:34 一旦组织已经完成其所有关键业务的业务流程再造(BPR),IS审计人 员最有可能集中检查: 选项: A、BPR实施前的处理流程图 B、BPR实施后的处理流程图 C、BPR项目计划 D、持续改进和监控计划 题号:35 某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接 在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机 构的定单都被接收和处理的最适当的控制是: 选项: A、发送并对账交易数及总计 B、将数据送回本地进行比较 C、利用奇偶检查来比较数据 D、在生产机构对销售定单的编号顺序进行追踪和计算 题号:36 以下哪一项数据库管理员行为不太可能被记录在检测性控制日志中? 选项: A、删除一个记录 B、改变一个口令 C、泄露一个口令 D、改变访问权限 题号:37 IS战略规划应包含: 选项: A、制定的硬件采购规格说明 B、未来业务目标的分析 C、项目开发的(启动和结束)日期 D、IS部门的年度预算(目标) 题号:38 达到评价IT风险的目标最好是通过 选项: A、评估与当前IT资产和IT项目相关的威胁 B、使用过去公司损失的实际经验来确定当前的风险 C、浏览公开报道的可比较组织的损失统计数据 D、浏览审计报告中涉及的IT控制薄弱点
答案
题号:8 实施防火墙最容易发生的错误是: 选项: A、访问列表配置不准确 B、社会工程学会危及口令的安全 C、把modem连至网络中的计算机 D、不能充分保护网络和服务器使其免遭病毒侵袭 题号:9 为确定异构环境下跨平台的数据访问方式,IS审计师应该首先检查: 选项: A、业务软件 B、系统平台工具 C、应用服务 D、系统开发工具 题号:10 数据库规格化的主要好处是: 选项: A、在满足用户需求的前提下,最大程度地减小表内信息的冗余 (即:重复) B、满足更多查询的能力 C、由多张表实现,最大程度的数据库完整性 D、通过更快地信息处理,减小反应时间 题号:11 以下哪一种图像处理技术能够读入预定义格式的书写体并将其转换为 电子格式? 选项: A、磁墨字符识别(MICR) B、智能语音识别(IVR) C、条形码识别(BCR) D、光学字符识别(OCR) 题号:12 代码签名的目的是确保: 选项: A、软件没有被后续修改 B、应用程序可以与其他已签名的应用安全地对接使用 C、应用(程序)的签名人是受到信任的 D、签名人的私钥还没有被泄露 题号:13 检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确 定: 选项: A、是否口令经常修改 B、客户/服务器应用的框架 C、网络框架和设计 题号:14 企业正在与厂商谈判服务水平协议(SLA),首要的工作是: 选项: A、实施可行性研究 B、核实与公司政策的符合性 C、起草其中的罚则 D、起草服务水平要求
CISA考试练习(习题卷7)
CISA考试练习(习题卷7)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]为某航空公司的订票系统设计业务连续性计划时,最适用于异地数据转移/备份的方法是A)影子文件处理。
B)电子远程磁带保存。
C)硬盘镜像。
D)热备援中心配置。
答案:A解析:A.在影子文件处理中,与文件完全相同的副本会保存在同一站点或远程站点。
两个文件将同时进行处理。
这种方法适用于关数据文件,如航空公司订票系统。
B.电子远程磁带保存是指通过电子的方式将数据转移至直接访问存储设备、光盘或其他存储介质,银行通常采用此方法。
其实时性一般不如影子文件系统。
C.如果主硬盘发生故障,硬盘镜像可作为备用。
所有交易与操作在同一服务器的两个硬盘上进行。
D.热备援中心是备用站点,准备在发生任何业务中断的几小时内接管业务操作,这不属于种数据备份方法。
2.[单选题]下面的哪一项在赋予供应商临时访问权限时,最有效的控制?A)供应商访问符合服务水平协议(SLA)B)用户帐户创建的截止日期是根据所提供的服务的日期。
C)管理员权限提供了一个有限的期限D)当工作完成时,用户ID、被删除答案:A解析:最有效的控制是确保临时访问基于提供的服务,和关于每个ID(希望是自动的)的截至日期。
服务水平协议拥有对于提供的访问的机遇,但是不是控制;它仅仅定义了访问的要求。
供应商要求的访问在服务的时间是有限制的。
然而,确保访问在期间被监控是非常重要的。
在工作完成后删除用户ID是必须的,但是如果不是自动的,删除可能被忽略。
3.[单选题]在审计关键业务领域的灾难恢复计划(DRP)时,某IS审计师发现此计划没有涵盖所有系统。
下列哪项是该IS审计师最应该采取的行动?A)向管理层发出警告并评估不涵盖所有系统的影响。
B)取消审计。
C)完成现有DRP所涵盖系统的审计工作。
D)推迟审计直至将相关系统添加到DRP中。
答案:A解析:A.IS审计师应该让管理人员了解到灾难恢复计划(DRP)中遗漏了某些系统。
CISA考试练习(习题卷12)
CISA考试练习(习题卷12)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]使用数字签名的主要原因是确保数据:A)机密性。
B)完整性。
C)可用性。
D)时效性。
答案:B解析:数字签名可提供完整性,这是由于已签名消息(文件、邮件、文档等)的数字签名在每次文档的单个位发生变化时就会随之更改;因此无法修改已签名的文档。
根据实施数字签名时所选的机制,该机制有可能会保证数据的机密性甚至时效性,但并不百分之百可以保证。
可用性与数字签名无关。
2.[单选题]管理网络攻击风险的第一步是:A)评估弱点的影响B)评估危险的可能性C)确认关键信息资产D)评估潜在的破坏答案:C解析:风险管理的第一步是识别和分类出关键信息资源(资产)。
一旦识别出关键信息资产,我们就要去识别威胁和脆弱性,预测潜在的损失。
3.[单选题]大学的IT部门和财务部(FSO,financial services office)之间签有服务水平协议(SLA),要求每个月系统可用性超过98%。
财务部后来分析系统的可用性,发现平均每个月的可用性确实超过98%,但是月末结账期的系统可用性只有93%。
那么,财务部应该采取的最佳行动是:A)就协议内容和价格重新谈判B)通知IT部门协议规定的标准没有达到C)增购计算机设备等(资源)D)将月底结账处理顺延答案:A解析:4.[单选题]企业在公司内部建立了数据中心,但将它的主要财务应用系统的管理外包给其他公司。
要确保外包公司的员工是否遵守公司的安全策略,下面那一项控制是最好的?A)要求所有用户在合公司的安全策略上签字表示保证遵守。
B)在与服务商签订的外包合同中规定赔偿的条款。
C)对所有用户实施强制性的安全意识培训。
D)应该由第三方用户修改安全策略,满足其合规性答案:B解析:让服务供应商签署赔偿条款能确保符合企业的安全策略,因为只要发现任何违规行为,都将导致服务供应商承担财务(经济)责任。
CISA考试练习(习题卷10)
CISA考试练习(习题卷10)第1部分:单项选择题,共100题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]IT 灾难恢复时间目标(RTO)应基于以下哪一项?A)最多可容许丢失的数据B)根据业务定义的系统关键性C)最多可容许的停机时间D)中断的根本原因答案:C解析:2.[单选题]一家公司部署了一套新的C、S企业资源管理(ERP)系统。
本地分支机构传送客户订单到一个中央制造设施,下列哪个最好地保证了订单准确地输入和相应的产品被生产了?A)验证产品和客户订单B)在ERP系统中记录所有的客户订单C)在订单传输过程中使用hA、sh总数D)(产品主管)在生产前批准订单答案:A解析:验证可以确保产品订单和客户订单的一致性。
纪录的方法可用于发现错误,但是不能保证处理的正确性。
HA、SH总数可以保证传送的正确顺序,但是无法在中心确定正确的顺序。
产品监理批准耗费时间,手工处理不能确保实现了适当的控制。
3.[单选题]当使用USB、闪存盘传递保密的公司数据到一个离线位置时,一个有效的控制应该是:A)用便携保险箱携带闪盘B)向管理层担保不会丢失闪盘C)请求管理层用快递公司送闪盘D)用一个强密钥加密包含这些数据的目录答案:A解析:加密,使用强密钥,是保护闪盘中的信息的最安全的方式。
用便携的保险箱携带闪盘不能够保证保险箱被盗或者丢失事件中的信息安全。
无论你采取什么措施,丢失闪盘的机会始终存在。
快递公司丢失闪盘或者闪盘被偷都是可能的。
4.[单选题]建立一个信息安全体系的最初步骤是:A)开发和实施信息安全标准手册B)由信息安全审计师实施的全面的安全控制评审C)企业信息安全策略声明D)购买安全访问控制软件答案:C解析:一个策略声明,反映了目的和执行适当的安全管理所提供的支持,并建立了发展安全计划的出发点。
点评:先要明确组织的信息安全方针和责任担当5.[单选题]对于IS审计师来说,执行以下哪项测试能够最有效地确定对组织变更控制流程的遵守情况?A)审查软件迁移记录,并对审批进行核查。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统审计和控制学会(ISACA)2006 CISA考试大纲(中文版)CISA中文站,2005年12月第一部分信息系统审计程序依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务以帮助组织确保其信息技术和运营系统得到保护并受控。
任务描述:1.1 根据信息系统审计标准、准则和最佳实务,为组织制定和实施基于风险的信息系统审计战略。
1.2 为确保信息技术和运营系统是受保护和受控的,规划详尽的审计1.3 遵照信息系统审计标准、准则和最佳实务,实施审计,以达到制定的审计目标(目的)。
1.4 就新出现的问题、潜在的风险和审计结果(结论),与利益相关人沟通。
1.5 在保持独立性的前提下,为组织内风险管理和控制实务的实施提供建议和意见。
知识描述:1.1 ISACA发布的信息系统审计标准、准则、程序和职业道德规范1.2 IS审计实务和技术1.3 收集信息和保存证据的技术(如观察、调查问卷、谈话、计算机辅助审计技术、电子介质)1.4 证据的生命周期(如证据的收集、保护和证据之间的相关性)1.5 与信息系统相关的控制目标和控制(如CobiT模型)1.6 审计过程中的风险评估1.7 审计计划和管理技术1.8 报告和沟通技术(如推进、商谈、解决冲突)1.10 不间断审计技术(即:连续审计技术)第一部分占考试卷面的10%CISA中文站() 第 1 页第二部分 IT治理(信息技术治理)确保组织拥有适当的结构、政策、工作职责、运营/管理机制和监督实务,以达到公司治理中对IT方面的要求。
任务描述:2.1 评估IT治理结构的效果,以确保董事会对IT决策、IT方向和IT性能的充分(且适当的)控制,从而支持组织的战略和目标。
2.2 评估IT组织结构和人力资源管理,确保对组织战略和目标的支持。
2.3 评估IT战略及其起草、批准、实施和维护的程序,以保证其对组织战略和目标的支持2.4 评估组织的IT政策、标准和程序,及其制定、批准、实施和维护的流程,以确保其对IT战略的支持并符合法律、法规的要求。
2.5 评估管理实务,确保其符合组织的IT战略、政策、标准和程序的要求。
2.6 评估IT资源的投资、使用和配置实务,确保符合组织的战略和目标。
2.7 评估IT签约战略和政策、及合同管理实务,以保证其对组织战略和目标的支持。
2.8 评估风险管理实务,确保组织的、与IT相关的风险得到了适当的管理。
2.9 评估监督和保证实务,保证董事会和执行经理层能及时、充分地获得有关IT绩效的信息。
知识描述:2.1 IT战略、政策、标准和程序对于组织的意义,及其基本要素2.2 IT治理框架(体系)2.3 制定、实施和维护IT战略、政策、标准和程序的流程。
如:信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持2.4 质量管理战略和政策2.5 与IT使用和管理相关的组织结构、角色和职责。
2.6 公认的国际IT标准和准则(指导)。
2.7 制订长期战略方向的企业所需的IT体系及其内容2.8 风险管理方法和工具2.9 控制框架(模型)的使用,如:CobiT、COSO、ISO 17799等控制模型。
2.10 成熟度和流程改进模型(如:CMM、CobiT)的使用。
2.11 签约战略、程序和合同管理实务。
2.12 IT绩效的监督和报告实务2.13 有关的法律、规章等问题(如:保密法/隐私法、知识产权、公司治理的要求) 2.14 IT人力资源管理2.15 IT资源投资和配置实务(如:投资的资产管理回报) 第二部分占考试卷面的15%CISA中文站() 第 2 页第三部分系统和基础建设生命周期管理系统的开发/采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标。
任务描述:3.1 评估拟定的系统开发、采购等业务案例,以确保其符合组织的发展目标。
3.2 评估项目管理框架和项目治理实务,确保组织在风险管理上,以成本——效益的原则达成组织的业务目标。
3.3 实施检查以确保项目是依照项目计划推进的,并由相应的文档充分支持,项目状态报告也是准确的。
3.4 经过需求定义(规格说明)、开发/采购和测试的系统(和/或体系),评估其(拟定的)控制机制,以确保其安全,并符合组织的政策和其他方面的要求。
3.5 评估系统(和/或体系)的开发/采购和测试流程,确保其交付符合组织的目标。
3.6 评估系统(和/或体系)为实施(指现场安装)、交付使用的准备情况。
3.7 实施系统(和/或体系)的(现场)实施后的检查,以确保其满足组织的目标,并受到有效的内部控制。
3.8 对系统(和/或体系)实施定期检查,以确保其持续地满足组织的目标,并受到有效的内部控制。
3.9 评估系统(和/或体系)的维护流程,以确保其持续地满足组织的目标,并受到有效的内部控制。
3.10 评估系统(和/或体系)的(退役)处置流程,以确保其符合组织的政策和程序。
知识描述:3.1 收益管理实务(例如:可行性研究、业务案例)3.2 项目治理机制,如:项目指导委员会、项目监督委员会3.3 项目管理实务、工具和控制框架3.4 用于项目管理上的风险管理实务3.5 项目成功的原则和风险3.7 确保IT系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术3.8 关于数据、应用和技术的企业框架3.9 需求分析和管理实务,如:需求验证、跟踪(可追溯)、差距分析3.10 采购和合同管理程序,如:评估供应商、签合同准备、供应商管理、由第三方保存附带条件委付的契约(escrow)。
3.11 系统开发方法和工具,以及它们的优缺点。
例如,敏捷开发实务,原型、快速应用开发(RAD),面向对象的设计技术。
3.12 质量保证方法3.13 测试流程的管理,如,测试战略、测试计划、测试环境、启用和关闭(测试)的标准。
3.14 数据转换工具、技术和程序。
第三部分占考试卷面的16%CISA中文站() 第 3 页3.15 系统(和/或体系) (退役)的处置程序3.16 软件、硬件的认证和鉴定实务。
3.17 (现场)实施后的检查的目标和方法。
如:项目关闭、收益实现、绩效的测定。
3.18 系统移植和体系开发实务。
第四部分IT服务的交付与支持IT服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标。
任务描述4.1 评估服务管理实务,以确保由内部和外部服务提供商提供的服务等级是明确定义的、受管理的。
4.2 评估运营管理,以保证IT支持职能有效地满足了业务要求。
4.3 评估数据管理实务,以确保数据库的完整性和最优化。
4.4 评估(生产)能力的使用和性能监控工具和技术,以保证IT服务满足组织的目标。
4.5 评估变更、配置和(系统版本)发布管理实务,确保组织生产环境的变化得到了充分的控制,并被详细记录。
4.6 评估问题和事件管理实务,确保所有事件、问题和错误都被及时记录、分析和解决。
4.7 评估IT基础构架(如:网络设备、硬件、系统软件)的功能,确保其对组织目标的支持。
知识描述:4.1 服务的等级(或水平)管理实务4.2 运营管理最佳实务,例如:工作负荷调度、网络服务管理、预防性维护。
4.3 系统性能(或效能)监控程序、工具和技术。
例如:网络分析器、系统利用率报告、负载均衡4.4 硬件和网络设备的功能。
如:路由器、交换机、防火墙和外围设备4.5 数据库管理实务4.6 操作系统、工具软件和数据库管理系统(例如,关系型数据库:Oracle、PostgreSQL)等系统软件的功能。
4.7 生产能力计划和监控技术4.8 对生产系统(或体系)的应急变更和调度管理程序,包括变更、配置、(版本)发布和补丁管理实务。
4.9 (生产)事件/问题管理实务。
如,帮助台(负责电话受询,提供一般性技术救援)、(逐级)上报程序和(技术)追踪。
4.10 软件许可证和(其总量)清单管理实务。
4.11 系统弹性之工具和技术,例如:容错硬件、单点失效的排除、(服务器)群集(或矩阵)。
第四部分占考试卷面的14%CISA中文站() 第 4 页第五部分信息资产的保护通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性。
任务描述:5.1 评估逻辑访问控制的设计、实施和监控,确保信息资产的机密性、完整性、有效性和经授权地使用。
5.2 评估网络框架的安全,保证网络和被传输信息的机密性、完整性、有效性和经授权地使用。
5.3 评估环境控制的设计、实施和监控,以避免和/或减少损失5.4 评估物理访问控制的设计、实施和监控,确保信息资产充分地安全。
5.5 评估保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。
知识描述:5.1 (信息系统的)安全(措施的)设计、实施和监控技术。
如:威胁和风险评估、敏感性分析、泄密评估5.2 用户使用授权的功能和数据时,识别、签订和约束等逻辑访问控制。
例如:动态密码、询问/应答、(配置)菜单、(用户)资料信息。
5.3 逻辑访问安全体系。
如:单点登陆(SSO)、用户识别策略、标识(身份)管理。
5.4 攻击方法和技术。
如:黑客、欺骗、特络伊木马、拒绝服务、垃圾电子邮件。
5.5 对安全事件的监测和响应程序。
如:上报程序、突发事件响应团队5.6 网络和Internet 安全设备、协议和技术。
如:SSL、SET、VPN、NAT5.7 入侵监测系统和防火墙的配置、实施、运行和维护。
5.8 加密算法/技术。
如:AES、RSA5.9公共密钥结构(PKI)组件(如:CA、RA)和数字签名技术5.10 病毒监测工具和控制技术5.11 安全(方案)的测试和评估技术。
例如:渗透测试、漏洞扫描5.12 (生产)环境保护实务和设备。
如:火灾压制、冷却系统和水传感器5.13物理安全系统和实务。
例如:生物(特征)鉴定、门卡、密码锁。
5.14 数据分类方案。
例如:公开的、保密的、私密的和敏感的数据。
5.15 语音通讯的安全。
如:V oIP5.16保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。
5.17 与使用便携式和无线设备(例如:个人商务通PDA、USB设备和蓝牙设备)相关的控制和风险。
第五部分占考试卷面的31%CISA中文站() 第 5 页第六部分灾难恢复和业务连续性计划一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT服务。
任务描述:6.1评估备份和恢复准备的充分性,确保恢复运营所需信息的有效性(和可用性)。
6.2 评估组织的灾难恢复计划,确保一旦发生灾难,之后IT处理能力的恢复。
6.3 评估组织的业务连续性计划,确保IT(遭破环)服务中断期间,基本业务运营不间断的能力。
知识描述:6.1 数据备份、存储、维护、保留和恢复流程,和实务。