注册信息安全专业人员
IS审计师已确定某应用程序的用户缺少授权流程。该IS审计师的主要关注点应该是:()A、多人可宣称是特定用户B、无法限制分配给用户的职能C、用户账户可共享D、用户拥有按需知密权限
题目
IS审计师已确定某应用程序的用户缺少授权流程。该IS审计师的主要关注点应该是:()
- A、多人可宣称是特定用户
- B、无法限制分配给用户的职能
- C、用户账户可共享
- D、用户拥有按需知密权限
如果没有搜索结果,请直接 联系老师 获取答案。
如果没有搜索结果,请直接 联系老师 获取答案。
相似问题和答案
第1题:
如果管理层没有为组织建立风险管理流程,内部审计师应建议此类流程的建立。在风险管理流程的最初建立过程中,内部审计师应该更适于开展以下哪项工作:
A.积极的、补充传统确认活动的作用。
B.假定风险归属。
C.管理已确认的风险。
D.监督作用,确定充分、有效的流程是适当的。
B.假定风险归属。
C.管理已确认的风险。
D.监督作用,确定充分、有效的流程是适当的。
答案:A
解析:
答案A正确,如果有关方面提出要求,内部审计师可以积极协助组织风险管理流程的初步建立工作。内部审计师更为积极的作用是通过咨询的方式改进组织的基本流程,对传统的确认活动进行了补充。如果这些协助活动超越了内部审计师所开展的正常的确认和咨询活动,审计的独立性就会受到损害。在这些情形下,内部审计师应该遵守《内部审计专业实务标准》的披露要求。《实务公告1130.A1-2:内部审计在其他(非审计)领域的作用》对此问题提供了进一步的指导(实务公告2100-4)。答案B和C不正确,内部审计师在建立和管理风险管理流程中所起的积极作用有别于在“风险归属”问题上所起的作用。为了避免参与“风险归属”问题,内部审计师应该寻求管理层对其在确认、减缓、监督风险以及决定风险“归属”方面的职责进行证实。内部审计师可以促进风险管理流程的建立或使风险管理流程的建立成为可能,但是,他们不应该“拥有(own)”或负责管理已确认出的风险。答案D不正确,董事会和审计委员会对确定充分、有效的流程是否适当负有监督作用。
第2题:
在计划某终端用户计算应用且程序进行审查时,内部审计师选择将总的控制环境包括在审查范围之内,审计师最有可能认为以下哪种关于总体控制环境的说法是正确的?
A.总体控制的有效性受到应用程序控制的影响;
B.在这种情况下确定对总体控制负责的人员或部门可能比在传统主机环境中做同样的工作要容易一些;
C.整个终端用户计算环境对总体控制的要求相对比较固定;
D.在审计师依赖应用程序控制之前必须已经建立总体控制
B.在这种情况下确定对总体控制负责的人员或部门可能比在传统主机环境中做同样的工作要容易一些;
C.整个终端用户计算环境对总体控制的要求相对比较固定;
D.在审计师依赖应用程序控制之前必须已经建立总体控制
答案:D
解析:
答案A、B、C均不正确。见题解D。答案D正确。关于总体控制环境的说法正确的是在审计师依赖应用程序控制之前必须已经建立总体控制。
第3题:
某新来的经验不足的内部审计师提示某高级审计师一项有关审计客户预算的重大差异。高级审计师告诉该新来的内部审计师不必担忧,因为他已听说之前有过一次擅自停产事件,该事件可能是形成该差异的主要原因。以下哪项表述最为恰当?( )
A.新来的内部审计师应当彻底调查整个事件,并且不去麻烦高级内部审计师
B.高级审计师应当使用适当的判断,以减少无谓的调查
C.高级审计师应当停止该项业务,直到差异原因得到全面的解释
D.高级审计师应当帮助新来的内部审计师制订收集恰当信息的计划
B.高级审计师应当使用适当的判断,以减少无谓的调查
C.高级审计师应当停止该项业务,直到差异原因得到全面的解释
D.高级审计师应当帮助新来的内部审计师制订收集恰当信息的计划
答案:D
解析:
A不正确,监督的程度取决于内部审计师的专业水平和经验以及业务的复杂程度。经验不足的内部审计师应就该事件求助于高级内部审计师。B不正确,假定事实没有支持结论,则积累额外的信息就是浪费。C不正确,偏差需要解释,但这项业务也应继续。D正确。偏差没有得到充分的调查或解释。当分析性审计程序发现意外的结果或关系时,内部审计师应检查并评价这些结果或关系。检查和评价通过应用分析性程序而发现的意外结果或关系应该包括对管理者进行询问,并运用其他业务程序,直到内部审计师确信这些结果或关系得到了充分的解释。如果此类结果或关系无法得到解释,则表明存在潜在的差错、不合规现象或违法行为等严重情形。内部审计师应该将这些通过分析性审计程序发现的、无法得到充分解释的结果或关系与恰当层面的管理人员沟通,并可根据情况,建议采取恰当的措施。
第4题:
IS审计师对于应用程序控制进行审查,应该评价()。
- A、应用程序对于业务流程的的效率
- B、发现的隐患exposures的影响
- C、应用程序服务的业务
- D、应用程序的优化.
正确答案:B
第5题:
一个IS审计师邀请参与一个关键项目的启动会议,信息系统审计师主要关注的是:()
- A、已分析过项目的复杂性和风险
- B、已判断了贯穿整个项目所需的资源
- C、项目交付结果已确定
- D、外包方合同已签约
正确答案:A
第6题:
审计师在审计客户用以检查其银行账户状况的一种基于网络的应用程序。在此期间,审计师确保以下哪项内容意义最为重大?
A.确保只有获得授权的用户才能访问阅读应用程序日志。
B.确保账户余额信息在数据库得到加密。
C.确保应用程序籍以运行的网络服务器放置在安全可靠的场所。
D.诸如账户号码等敏感数据均通过加密通信方式进行提交。
B.确保账户余额信息在数据库得到加密。
C.确保应用程序籍以运行的网络服务器放置在安全可靠的场所。
D.诸如账户号码等敏感数据均通过加密通信方式进行提交。
答案:D
解析:
A不正确。阅读应用程序日志不是关键信息,一般用于事后出现问题进行检查。B不正确。账户余额不加密的影响不大,重要是保证不能被非授权人员转移金额。C不正确。服务器的物理安全并不是基于网络的应用程序所特有的风险。D正确。因为是基于网络的应用程序,暴露在公共网络上进行数据传输,因此账户号码等敏感数据的通信方式风险最为重大。
第7题:
IS审计师审查对于应用程序的访问,以确定最近的10个"新用户"是否被争取的授权,这个例子是关于()。
- A、变量抽芽
- B、实质性测试
- C、符合性测试
- D、停-走抽样.
正确答案:C
第8题:
在对应用程序身份验证的例行程序进行审计时,审计师确定,用以访问某数据库的用户身份(ID)和密码的组合储存在源代码中,而且该组合被用来验证该数据库的所有用户。审计师极有可能将此种情况定为例外情况,这是因为:
A.不可能在数据库中追踪用户的活动。
B.一些个人知晓用户身份(ID)和密码的组合。
C.在源代码中储存用户身份(ID)和密码的组合是推荐做法。
D.应用程序的用户很容易看到用户身份(ID)和密码的组合。
B.一些个人知晓用户身份(ID)和密码的组合。
C.在源代码中储存用户身份(ID)和密码的组合是推荐做法。
D.应用程序的用户很容易看到用户身份(ID)和密码的组合。
答案:B
解析:
A不正确。对数据库的操作可以得到记录。B正确。一些个人知晓用户身份(ID)和密码的组合。C不正确。这样的扩展性不好,并不推荐。D不正确。源代码一般都封装在应用程序中,用户不容易看到。
第9题:
某IS审计师发现了一个针对某应用程序用户的授权过程的缺陷,他最主要的担心应该是()。
- A、多个人获得特权
- B、不限制指派给用户的功能
- C、用户的帐号被共享
- D、用户拥有一个知必所需的特权
正确答案:B
第10题:
在审计某全球服务商提供商期间,IS审计师发现,为了允许公司全球客户报告和跟踪问题,公司对服务台应用程序进行了配置,可通过互联网对其进行访问。客户使用共享用户ID在各分支位置通过安全套接字层(SSL)进行连接,其访问权限限制为仅允许创建和查看服务申请。不需要定期更改密码,并且供应商未对应用程序执行安全测试。该IS审计师应该建议以下哪个选项?()
- A、需要定期更改密码
- B、为所有用户分配个人ID
- C、不需要进行任何更改;应用程序自身已足够安全
- D、应从互联网删除该应用程序
正确答案:B