CISA 最新中文习题

《CISA 最新中文习题》由会员分享，可在线阅读，更多相关《CISA 最新中文习题（83页珍藏版）》请在金锄头文库上搜索。

1、CISA 2008Chapter 1 信息系统审计程序n ISACA发布的信息系统审计标准”,准则,程序和职业道德规范n IS审计实务和技术n 收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质)n 证据的生命周期(证据的收集,保护和证据之间的关系)n 与信息系统相关的控制目标和控制n 审计过程中的风险评估n 审计计划和管理技术n 报告和沟通技术(推进,商谈,解决冲突)n 控制自我评估n 不间断审计技术(连续审计技术)Chapter 2 IT治理n IT战略,政策,标准和程序对组织的意义,及其基本要素n IT治理框架n 制定实施和恢复IT战略政策标准和程序的流程n 质

2、量管理战略和政策n 与IT使用和管理相关的组织结构,角色和职责n 公认的国际IT标准和准则n 制定长期战略方向的企业所需的IT体系及其内容n 风险管理方法和工具n 控制框架(cobit)的使用n 成熟度和流程改进模型n 签约战略,程序和合同管理实务n IT绩效的监督和报告实务n 有关的法律规章问题(保密,隐私,知识产权)n IT人力资源管理n 资源投资和配置实务Chapter 3 系统和体系生命周期n 收益管理实务 (可行性研究,业务案例)n 项目治理机制,如:项目指导委员会,项目监督委员会n 项目管理实务,工具和控制框架n 用于项目管理上的风险管理实务n 项目成功的原则和风险n 涉及开发,维

3、护系统的配置,变更和版本管理n 确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术n 关于数据,应用和技术的企业框架n 需求分析和管理实务n 采购和合同管理程序n 系统开发方法和工具以及他们的优缺点n 质量保证方法n 测试流程的管理n 数据转换工具技术和程序n 系统的处置程序n 软件,硬件的认证和鉴证实务n 实施后的检查目标和方法,如项目关闭,收益实现,绩效测定n 系统移植和体系开发实务Chapter 4 IT服务和交付n 服务等级和水平n 运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护n 系统性能监控程序,工具和技术.n 硬件和网络设备的功能n 数据库管

4、理实务n 操作系统工具软件和数据库管理系统n 生产能力计划和监控技术n 对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务n 生产事件/问题管理实务n 软件许可证和清单管理实务n 系统缩放工具和技术Chapter 5 信息资产保护n 信息系统安全设计,实施和监控技术n 用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制n 逻辑访问安全体系n 攻击方法和技术n 对安全事件的预测和响应程序n 网络和internet安全设备n 入侵检测系统和防火墙的配置n 加密算法/技术n 公共密钥机构组件n 病毒检测和控制技术n 安全方案测试和评估技术:渗透技术,漏洞扫描n 生产环境保护

5、实务和设备n 物理安全系统和实务n 数据分类技术n 语音通讯的安全n 保密信息资产的采集.存储.使用.传输和处置程序和流程n 与使用便携式和无线设备Chapter 6业务连续性与灾难恢复计划n 数据备份,存储,维护,保留和恢复流程n 业务连续性和灾难恢复有关的法律规章协议和保险问题n 业务影响分析(BIA)n 开发和维护灾难恢复与业务持续计划n 灾难恢复和业务连续性计划测试途径和方法n 与灾难恢复和业务连续性有关的人力资源管理n 启用灾难恢复和业务连续性计划的程序和流程n 备用业务处理站点的类型,和监督有关协议合同的方法CISA2008 练习题Chapter 11. 下列哪些形式的审计证据就被

6、视为最可靠? q 口头声明的审计 q 由审计人员进行测试的结果 q 组织内部产生的计算机财务报告 q 从外界收到的确认来信 2 当程序变化是，从下列哪种总体种抽样效果最好？q 测试库清单q 源代码清单 q 程序变更要求 q 产品库清单n 3在对定义IT服务水平的控制过程的审核中，审计人员最有可能面试：q 系统程序员. q 法律人员 q 业务部门经理 q 应用程序员. n 4进行符合性测试的时候，下面哪一种抽样方法最有效？q 属性抽样 q 变量抽样 q 平均单位分层抽样q 差别估算 n 5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时，审计人员应该知道：q 当数据流通过系统时，其作用的

7、控制点。 q 只和预防控制和检查控制有关. q 纠正控制只能算是补偿. q 分类有助于审计人员确定哪种控制失效n 6审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? q 计算机辅助开发工具（case tool） q 嵌入式（embedded）数据收集工具 q 启发扫描工具（heuristic scanning tools） q 趋势/变化检测工具 n 7在应用程序开发项目的系统设计阶段，审计人员的主要作用是：q 建议具体而详细的控制程序 q 保证设计准确地反映了需求 q 确保在开始设计的时候包括了所有必要的控制 q

8、 开发经理严格遵守开发日程安排n 8下面哪一个目标控制自我评估(CSA)计划的目标? q 关注高风险领域q 替换审计责任 q 完成控制问卷 q 促进合作研讨会 Collaborative facilitative workshopsn 9利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证： q 充分保护信息资产q 根据资产价值进行基本水平的保护q 对于信息资产进行合理水平的保护q 根据所有要保护的信息资产分配相应的资源n 10 审计轨迹的主要目的是：q 改善用户响应时间q 确定交易过程的责任和权利q 提高系统的运行效率q 为审计人员追踪交易提供有用的资料 n 11在基于风险为基

9、础的审计方法中，审计人员除了风险，还受到以下那种因素影响： q 可以使用的CAATsq 管理层的陈述q 组织结构和岗位职责.q 存在内部控制和运行控制n 12对于组织成员使用控制自我评估(CSA)技术的主要好处是： q 可以确定高风险领域，以便以后进行详细的审查q 使审计人员可以独立评估风险q 可以作来取代传统的审计q 使管理层可以放弃relinquish对控制的责任n 13下列哪一种在线审计技术对于尽早发现错误或异常最有效?q 嵌入审计模块q 综合测试设备Integrated test facility q 快照sanpshotsq 审计钩Audit hooksn 14当一个程序样本被选中要

10、确定源代码和目标代码的版本一致性的问题时，审计人员会用下面哪一种测试方法？q 对于程序库控制进行实质性测试q 对于程序库控制进行复合性测试q 对于程序编译控制的符合性测试 q 对于程序编译控制的实质性测试n 15在实施连续监控系统时，信息系统审计师第一步时确定：q 合理的开始（thresholds）指标值q 组织的高风险领域q 输出文件的位置和格式q 最有最高回报潜力的应用程序n 16审计计划阶段，最重要的一步是确定：q 高风险领域q 审计人员的技能q 审计测试步骤q 审计时间n 17审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性？审计师：q 在应用系统开发过程

11、中，实施了具体的控制q 设计并嵌入了专门审计这个应用系统的审计模块q 作为应用系统的项目组成员，但并没有经营责任q 为应用系统最佳实践提供咨询意见n 18审计中发现的证据表明，有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后，存放在书桌抽屉里。IS审计师可以推测的结论是：q 经理助理有舞弊行为q 不能肯定无疑是谁做的q 肯定是经理进行舞弊q 系统管理员进行舞弊n 19为确保审计资源的价值分配给组织价值最大的部分，第一步将是：q 制定审计日程表并监督花在每一个审计项目上的时间q 培养审计人员使用目前公司正在使用的最新技术q 根据详细的风险评估确定审计计划q 监督审计的进展

12、并开始成本控制措施n 20审计师在评估一个公司的网络是否可能被员工渗透， 其中下列哪一个发现是审计师应该最重视的？q 有一些外部调制解调器连接网络q 用户可以在他们的计算机上安装软件q 网络监控是非常有限的q 许多用户帐号的密码是相同的n 21信息系统审计师在控制自我评估(CSA)中的传统角色是：q 推动者（facilitator）q 经理q 伙伴q 股东 n 22下面哪一种审计技术为IS部门的职权分离提供了最好的证据：q 与管理层讨论q 审查组织结构图q 观察和面谈q 测试用户访问权限n 23 IS审计师应该最关注下面哪一种情况？q 缺少对成功攻击网络的报告q 缺少对于入侵企图的通报政策q

13、缺少对于访问权限的定期审查q 没有通告公众有关入侵的情况n 24审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征？q 可得到在线网络文档q 支持终端访问远程主机q 处理在主机和内部用户通信之间的文件传输q 执行管理，审计和控制n 25审计师使用不完整的测试过程得出不存在重大错误的结论，这种做法的风险实质上是：q 固有的风险.q 控制风险q 检查危险q 审计风险n 26审计章程应采取：q 是动态的和经常变化的，以便适应技术和和审计专业（professional）的改变q 清楚的说明审计目标和授权，维护和审核内部控制q 文档化达到计划审计目标的审计程序q 列出对审计功能的所有授权，

14、范围和责任n 27审计师已经对一个金融应用的数据完整性进行了评估，下面哪一个发现是最重要的?q 应用程序所有者不知道IT部门对系统实施的一些应用q 应用数据每周只备份一次q 应用开发文档不完整q 信息处理设施没有受到适当的火灾探测系统的保护n 28IS审计功能的一个主要目的是：q 确定每个人是否都按照工作说明使用IS资源q 确定信息系统的资产保护和保持数据的完整性q 对于计算机化的系统审查帐册及有关证明文件q 确定该组织识别诈骗fraud的能力n 29进行审计的时候，审计师发现存在病毒，IS审计师下一步应该做什么？q 观察反应机制 q 病毒清除网络q 立即通知有关人员 q 确保删除病毒 n 30 审计章程的的主要目标是： q A记录企业使用的审计流程q B审计部门行动计划的正式文件 q C记录审计师专业行为的行为准则q 说明审计部门的权力和责任。n 31在对程序的安全性审计过程中，审计师发现没有文件记录安全程序，该审计员应该：q 建立程序文件 q 终止审计q 进行一致性测试q 鉴定和评估现行做法 n 32在风险分析期间，审计师已经确定了威胁和潜在的影响，下一步审计师应该：q 确定并评估管制层使用的风险评估过程 q 确定信息资