注册信息安全专业人员
一位IS审计师正在审查一个新的WEB式订单输入系统,该系统将于一周后正式启用。审计师发现根据设计,有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该?()A、确定系统开发人员在适当系统安全措施方面是否接受过正规培训B、确定系统管理员是否因某种原因禁用了安全控制C、验证项目计划是否已对安全要求做出了正确规定D、验证安全控制是否基于已经无效的要求
题目
一位IS审计师正在审查一个新的WEB式订单输入系统,该系统将于一周后正式启用。审计师发现根据设计,有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该?()
- A、确定系统开发人员在适当系统安全措施方面是否接受过正规培训
- B、确定系统管理员是否因某种原因禁用了安全控制
- C、验证项目计划是否已对安全要求做出了正确规定
- D、验证安全控制是否基于已经无效的要求
参考答案和解析
正确答案:C
如果没有搜索结果,请直接 联系老师 获取答案。
相似问题和答案
第1题:
审计师在与一位数据输入员进行面谈时,讨论了正在使用的计算机系统,该系统用于追踪职员培训规定和对规定的遵循情况。审计师确认在这一系统中存在潜在的重要缺陷。审计师应该:
A.非直接或间接地提到这个缺陷,以避免使该职员感到不舒服
B.提出间接问题,以帮助了解更多的与这个潜在缺陷有关的真实信息
C.向职员询问关于该缺陷的问题,并立即决定是否应该报告该审计发现
D.确定该缺陷真实存在后,进行第二次面谈
B.提出间接问题,以帮助了解更多的与这个潜在缺陷有关的真实信息
C.向职员询问关于该缺陷的问题,并立即决定是否应该报告该审计发现
D.确定该缺陷真实存在后,进行第二次面谈
答案:B
解析:
第2题:
内部审计师在同一位数据输入人员面谈时,讨论了用于追踪员工培训要求和遵循情况的计算机系统。审计师识别出该系统可能存在重大的薄弱环节。审计师应该( )。
A.不会直接或间接地提到这个薄弱环节,避免数据输入人员感到不适
B.间接地提出问题,以获取这个潜在的薄弱环节有关的更多事实信息
C.向数据输入人员询问这个薄弱环节,并确定是否应立即报告这个发现
D.在确定这个薄弱环节是否确实存在后,进行第二次面谈
B.间接地提出问题,以获取这个潜在的薄弱环节有关的更多事实信息
C.向数据输入人员询问这个薄弱环节,并确定是否应立即报告这个发现
D.在确定这个薄弱环节是否确实存在后,进行第二次面谈
答案:B
解析:
B间接地提出问题可以使审计师在不令数据输入人员感到受指责的情况下获取某些信息。一个感觉轻松愉快和没有受到威胁的访谈对象更有可能采取合作的态度。选项A不正确,内部审计师有责任取得信息。除非这个薄弱环节不会损害到公司的安全,否则审计师就不应该简单地回避这个问题。答案C不正确,虽然审计师认为系统存在薄弱环节,但该数据输入人员不可能拥有充分的知识来确定是否立即报告这个发现。答案D不正确,第二次面谈很有可能是无效的方法。内部审计师应该从这次面谈中了解到尽可能多的信息,而同那些知道其他信息的人交谈,以及第二次去找这位员工只有在有必要澄清数据输入人员责任方面才需要。
第3题:
内部审计师经常编制控制系统流程图并且对流程图的某些活动进行描述。这一程序适于:
A.决定系统是否符合已建立的管理目标
B.记载下系统符合国际审计要求
C.确定系统在产生准确信息方面是否可以信赖
D.获得为测试系统有效性所必要的对系统的了解
B.记载下系统符合国际审计要求
C.确定系统在产生准确信息方面是否可以信赖
D.获得为测试系统有效性所必要的对系统的了解
答案:D
解析:
第4题:
一位IS审计师正在执行合规性测试,以确定控制是否支持管理政策和流程。测试在以下哪个方面对IS审计师有所帮助:()
- A、获得对控制目标的了解
- B、保证运行中的控制与设计要求一致
- C、确定数据控制的完整性
- D、确定财务报告控制的合理性
正确答案:B
第5题:
审计师审查数据库管理系统的功能,以确定是否已取得足够的数据控制。审计师应该确定的是()。
- A、对数据处理业务的功能报告
- B、明确定义功能的责任
- C、数据库管理员应该是胜任的系统程序员
- D、审计软件具有高效访问数据库的能力。
正确答案:B
第6题:
内部审计师在与一位数据输入人员进行面谈时,讨论了用于追踪职员培训要求和遵循情况的计算机化系统。内部审计师确认这一系统存在潜在的重要缺陷。内部审计师应该:( )
A.不直接或间接提到这个缺陷,以免使该职员感到不舒服
B.提出间接问题,帮助获得与这个潜在缺陷有关的更多真实信息
C.向职员询问关于该缺陷的问题,并立即决定是否应该就该观察进行沟通
D.确定该缺陷是否确实存在后,进行第二次面谈
B.提出间接问题,帮助获得与这个潜在缺陷有关的更多真实信息
C.向职员询问关于该缺陷的问题,并立即决定是否应该就该观察进行沟通
D.确定该缺陷是否确实存在后,进行第二次面谈
答案:B
解析:
A不正确,内部审计师有义务获得信息。这个缺陷可能危及公司的证券价值,因此内部审计师不应该简单地回避这个问题。B正确。间接问题允许内部审计师在不让职员感到受到指责的情况下获得一些信息,对一个感觉轻松愉快和不会受到威胁的访谈对象更有可能采取合作的态度。C不正确,职员不大可能提供充分的信息让内部审计师判断是否应该立即就该观察进行沟通。D不正确,第二次面谈很有可能是无效的。内部审计师应该从第一次面谈中了解到尽可能多的信息,和那些可能有额外信息的人交谈,只有在有必要阐述关于他的责任的具体问题时才回到原来的职员那里。
第7题:
以下哪种做法可以最有效地使审计师提高电脑化财务和经营信息的可靠性和有效性?
A.确定信息系统是否为管理人员提供了及时的信息。
B.确定信息系统是否提供了完整的信息。
C.确定对记录保持和报告过程的控制是否充分有效。
D.确定信息系统提供的数据是否符合外部要求。
B.确定信息系统是否提供了完整的信息。
C.确定对记录保持和报告过程的控制是否充分有效。
D.确定信息系统提供的数据是否符合外部要求。
答案:C
解析:
C正确,内部审计部门应该在风险评价结果的基础上,评价覆盖机构治理、运营及信息等内容的控制程序的充分性和有效性。
第8题:
某IT审计师正在考虑一个应用系统中的控制是否足够,下列不属于该审计师考虑的因素的是:
A.该系统中数据的重要性
B.某项控制失效的风险
C.每项控制的效率、复杂程度及费用
D.病毒管理软件的使用
B.某项控制失效的风险
C.每项控制的效率、复杂程度及费用
D.病毒管理软件的使用
答案:D
解析:
病毒管理软件的使用与应用系统内部的控制设计无关。
第9题:
一个公司在开发信息安全流程时要做的第一步是()。
- A、升级访问控制软件为生物/令牌系统。
- B、批准公司信息安全政策。
- C、要求信息系统审计师做综合审查。
- D、开发信息安全标准。
正确答案:B
第10题:
当检查输入控制时,信息系统审计师发现企业一致性策略中,流程允许超级用户覆盖数据验证结果。此IS审计师应该:()
- A、不关心,可能有其他修补控制来降低风险
- B、确保覆盖会自动记录并接受检查
- C、验证是否所有这些覆盖被提交给高级管理人员批准
- D、建议不允许覆盖
正确答案:B