注册信息安全专业人员
单选题IS审计师已确定某应用程序的用户缺少授权流程。该IS审计师的主要关注点应该是:()A 多人可宣称是特定用户B 无法限制分配给用户的职能C 用户账户可共享D 用户拥有按需知密权限
题目
单选题
IS审计师已确定某应用程序的用户缺少授权流程。该IS审计师的主要关注点应该是:()
A
多人可宣称是特定用户
B
无法限制分配给用户的职能
C
用户账户可共享
D
用户拥有按需知密权限
如果没有搜索结果,请直接 联系老师 获取答案。
如果没有搜索结果,请直接 联系老师 获取答案。
相似问题和答案
第1题:
如果管理层没有为组织建立风险管理流程,内部审计师应建议此类流程的建立。在风险管理流程的最初建立过程中,内部审计师应该更适于开展以下哪项工作:
A.积极的、补充传统确认活动的作用。
B.假定风险归属。
C.管理已确认的风险。
D.监督作用,确定充分、有效的流程是适当的。
B.假定风险归属。
C.管理已确认的风险。
D.监督作用,确定充分、有效的流程是适当的。
答案:A
解析:
答案A正确,如果有关方面提出要求,内部审计师可以积极协助组织风险管理流程的初步建立工作。内部审计师更为积极的作用是通过咨询的方式改进组织的基本流程,对传统的确认活动进行了补充。如果这些协助活动超越了内部审计师所开展的正常的确认和咨询活动,审计的独立性就会受到损害。在这些情形下,内部审计师应该遵守《内部审计专业实务标准》的披露要求。《实务公告1130.A1-2:内部审计在其他(非审计)领域的作用》对此问题提供了进一步的指导(实务公告2100-4)。答案B和C不正确,内部审计师在建立和管理风险管理流程中所起的积极作用有别于在“风险归属”问题上所起的作用。为了避免参与“风险归属”问题,内部审计师应该寻求管理层对其在确认、减缓、监督风险以及决定风险“归属”方面的职责进行证实。内部审计师可以促进风险管理流程的建立或使风险管理流程的建立成为可能,但是,他们不应该“拥有(own)”或负责管理已确认出的风险。答案D不正确,董事会和审计委员会对确定充分、有效的流程是否适当负有监督作用。
第2题:
审计师审查数据库管理系统的功能,以确定是否已取得足够的数据控制。审计师应该确定的是()。
- A、对数据处理业务的功能报告
- B、明确定义功能的责任
- C、数据库管理员应该是胜任的系统程序员
- D、审计软件具有高效访问数据库的能力。
正确答案:B
第3题:
某新来的经验不足的内部审计师提示某高级审计师一项有关审计客户预算的重大差异。高级审计师告诉该新来的内部审计师不必担忧,因为他已听说之前有过一次擅自停产事件,该事件可能是形成该差异的主要原因。以下哪项表述最为恰当?( )
A.新来的内部审计师应当彻底调查整个事件,并且不去麻烦高级内部审计师
B.高级审计师应当使用适当的判断,以减少无谓的调查
C.高级审计师应当停止该项业务,直到差异原因得到全面的解释
D.高级审计师应当帮助新来的内部审计师制订收集恰当信息的计划
B.高级审计师应当使用适当的判断,以减少无谓的调查
C.高级审计师应当停止该项业务,直到差异原因得到全面的解释
D.高级审计师应当帮助新来的内部审计师制订收集恰当信息的计划
答案:D
解析:
A不正确,监督的程度取决于内部审计师的专业水平和经验以及业务的复杂程度。经验不足的内部审计师应就该事件求助于高级内部审计师。B不正确,假定事实没有支持结论,则积累额外的信息就是浪费。C不正确,偏差需要解释,但这项业务也应继续。D正确。偏差没有得到充分的调查或解释。当分析性审计程序发现意外的结果或关系时,内部审计师应检查并评价这些结果或关系。检查和评价通过应用分析性程序而发现的意外结果或关系应该包括对管理者进行询问,并运用其他业务程序,直到内部审计师确信这些结果或关系得到了充分的解释。如果此类结果或关系无法得到解释,则表明存在潜在的差错、不合规现象或违法行为等严重情形。内部审计师应该将这些通过分析性审计程序发现的、无法得到充分解释的结果或关系与恰当层面的管理人员沟通,并可根据情况,建议采取恰当的措施。
第4题:
当回顾外包IT服务提供商时,以下哪项为信息系统审计师的主要关注点?()
- A、服务提供商成本最小化
- B、禁止供应商转包服务
- C、评估将知识转交给IT部门的流程
- D、确定服务是否和合同相符
正确答案:D
第5题:
一个IS审计师邀请参与一个关键项目的启动会议,信息系统审计师主要关注的是:()
- A、已分析过项目的复杂性和风险
- B、已判断了贯穿整个项目所需的资源
- C、项目交付结果已确定
- D、外包方合同已签约
正确答案:A
第6题:
在计划某终端用户计算应用且程序进行审查时,内部审计师选择将总的控制环境包括在审查范围之内,审计师最有可能认为以下哪种关于总体控制环境的说法是正确的?
A.总体控制的有效性受到应用程序控制的影响;
B.在这种情况下确定对总体控制负责的人员或部门可能比在传统主机环境中做同样的工作要容易一些;
C.整个终端用户计算环境对总体控制的要求相对比较固定;
D.在审计师依赖应用程序控制之前必须已经建立总体控制
B.在这种情况下确定对总体控制负责的人员或部门可能比在传统主机环境中做同样的工作要容易一些;
C.整个终端用户计算环境对总体控制的要求相对比较固定;
D.在审计师依赖应用程序控制之前必须已经建立总体控制
答案:D
解析:
答案A、B、C均不正确。见题解D。答案D正确。关于总体控制环境的说法正确的是在审计师依赖应用程序控制之前必须已经建立总体控制。
第7题:
IS审计师审查对于应用程序的访问,以确定最近的10个"新用户"是否被争取的授权,这个例子是关于()。
- A、变量抽芽
- B、实质性测试
- C、符合性测试
- D、停-走抽样.
正确答案:C
第8题:
在对应用程序身份验证的例行程序进行审计时,审计师确定,用以访问某数据库的用户身份(ID)和密码的组合储存在源代码中,而且该组合被用来验证该数据库的所有用户。审计师极有可能将此种情况定为例外情况,这是因为:
A.不可能在数据库中追踪用户的活动。
B.一些个人知晓用户身份(ID)和密码的组合。
C.在源代码中储存用户身份(ID)和密码的组合是推荐做法。
D.应用程序的用户很容易看到用户身份(ID)和密码的组合。
B.一些个人知晓用户身份(ID)和密码的组合。
C.在源代码中储存用户身份(ID)和密码的组合是推荐做法。
D.应用程序的用户很容易看到用户身份(ID)和密码的组合。
答案:B
解析:
A不正确。对数据库的操作可以得到记录。B正确。一些个人知晓用户身份(ID)和密码的组合。C不正确。这样的扩展性不好,并不推荐。D不正确。源代码一般都封装在应用程序中,用户不容易看到。
第9题:
某IS审计师发现了一个针对某应用程序用户的授权过程的缺陷,他最主要的担心应该是()。
- A、多个人获得特权
- B、不限制指派给用户的功能
- C、用户的帐号被共享
- D、用户拥有一个知必所需的特权
正确答案:B
第10题:
一位IS审计师发现,有些用户在他们的个人电脑上安装了个人软件。安全政策并没有明令禁止这种行为。IS审计师的最佳方案应该是建议()
- A、IS部门实施控制机制,以阻止未经授权的软件安装
- B、安全政策进行更新,以将未授权软件的特定语言包括在内
- C、IS部门禁止下载未经授权的软件
- D、在安装非标准软件之前用户应取得IS经理的批准
正确答案:A