在审计某计算机服务合同时,审计师发现,虽然合同只要求承包商提供恰当水平的安全性,但承包商开发了所在行业最先进的安全程序。假设公司需要比较高的安全度,在评价公司是否向承包商支付了超出公司需要的电脑安全程序费用时,以下哪些潜在证据来源可能具有相关性?Ⅰ.将安全系统与类似系统所应用的最佳实务相比较;Ⅱ.将安全系统与近期刊物上有关该最先进系统相比较;Ⅲ.对安全系统的作用进行测试。A.只有Ⅱ是对的。B.只有Ⅲ是对的。C.只有Ⅰ和Ⅱ是对的。D.只有Ⅱ和Ⅲ是对的。
在审计某计算机服务合同时,审计师发现,虽然合同只要求承包商提供恰当水平的安全性,但承包商开发了所在行业最先进的安全程序。假设公司需要比较高的安全度,在评价公司是否向承包商支付了超出公司需要的电脑安全程序费用时,以下哪些潜在证据来源可能具有相关性?Ⅰ.将安全系统与类似系统所应用的最佳实务相比较;Ⅱ.将安全系统与近期刊物上有关该最先进系统相比较;Ⅲ.对安全系统的作用进行测试。
A.只有Ⅱ是对的。
B.只有Ⅲ是对的。
C.只有Ⅰ和Ⅱ是对的。
D.只有Ⅱ和Ⅲ是对的。
B.只有Ⅲ是对的。
C.只有Ⅰ和Ⅱ是对的。
D.只有Ⅱ和Ⅲ是对的。
参考解析
解析:B,正确。审计目标是评价公司是否向承包商支付了超出公司需要的电脑安全程序费用,实地测试安全系统是最有效的审计方式,所以对安全系统的作用进行测试与审计目标相关。将安全系统与类似系统所应用的最佳实务相比较、将安全系统与近期刊物上有关该最先进系统相比较与审计目标不相关。
相关考题:
【问题 1】(3 分)为了达到预期的安全性,测试人员采用了静态代码安全测试、动态渗透测试、程序数据扫描三种方法对系统进行安全性测试。其中, (1) 对应用系统进行攻击性测试,从中找出系统运行时所存在的安全漏洞;(2) 在早期的代码开发阶段完成; (3) 通过内存测试来发现缓冲区溢出类的漏洞。
1962年4月,美国公布了第一个有关系统安全的说明书(),对与该计划相关的承包商从系统安全的角度提出了要求,这是系统安全理论首次在实际中应用。 A.宇宙飞船系统安全工程B.海军弹道导弹系统安全工程C.陆军弹道导弹系统安全工程D.空军弹道导弹系统安全工程
某工程设备安装阶段需要使用起吊能力为10吨的吊车进行大型永久设备的吊装。承包商与设备租赁公司签订施工机械租赁合同时,应依据《安全生产管理条例》,要求该设备租赁公司提供( )。 A、生产厂家的吊车制造许可证 B、机械燃油消耗定额证明 C、吊车出厂的产品合格证明 D、租赁公司自行测试的安全性能检测记录 E、具有出具的安全性能检验合格证
内部审计师在检查公司的信息安全时,应该总是向管理层推荐与下列哪项内容相匹配的安全系统?A.威胁安全系统的因素造成的潜在损失B.公司的商业惯例和风险因子C.公司员工的专业技能D.公司管理层对内部控制薄弱环节的重视程度
审计师被要求对所在机构的在线计算机系统的安全性进行审计。一个内部的用户数据库存取控制程序保护着该系统。审计师确定该数据存取程序的安装和运行都是恰当的。下列( )有关审计师对系统的数据安全性的表述是最为准确的。A.将特定的应用程序限制到特定的文件控制存取数据B.将特定的终端限制到特定的应用控制存取数据C.安全性取决于对用户身份和用户鉴定的控制D.利用这种存取控制软件将消除重大的控制薄弱环节
在经营审计中,内部审计师将子公司的存货周转率与公认行业标准相比较,目的是:( )A.评价内部财务报告的准确性B.对旨在保护资产的控制进行测试C.确定是否遵守关于存货水平的公司程序D.评价业绩并显示哪里需要额外的审计
在审计某计算机服务合同时,内部审计师发现,虽然合同只要求承包商提供恰当水平的安全性,但承包商开发了所在行业最先进的安全程序。假设公司需要比较高的安全度,在评价公司是否向承包商支付了超出公司需要的电脑安全程序费用时,以下哪些潜在证据来源可能具有相关性?Ⅰ、将安全系统与类似系统所应用的最佳实务相比较。Ⅱ、将安全系统与近期刊物上有关该最先进系统相比较。Ⅲ、对安全系统的作用进行测试。A.只有ⅡB.只有ⅢC.Ⅰ和ⅡD.Ⅱ和Ⅲ
在审计某全球服务商提供商期间,IS审计师发现,为了允许公司全球客户报告和跟踪问题,公司对服务台应用程序进行了配置,可通过互联网对其进行访问。客户使用共享用户ID在各分支位置通过安全套接字层(SSL)进行连接,其访问权限限制为仅允许创建和查看服务申请。不需要定期更改密码,并且供应商未对应用程序执行安全测试。该IS审计师应该建议以下哪个选项?()A、需要定期更改密码B、为所有用户分配个人IDC、不需要进行任何更改;应用程序自身已足够安全D、应从互联网删除该应用程序
以下关于电脑控制的说法中哪一项是不正确的?()A、应用软件控制经常比与操作系统有关的逻辑安全控制更为关键B、拥有操作系统存取途径和未经授权的用户经常可以绕过应用程序的安全控制C、应用程序的普通安全存取水平包括只读,更新和系统管理D、逻辑安全控制是指与系统用户存取能力有关的控制
两公司之间有关事故恢复系统签订互惠处理程序协议可能带来的最大风险是()A、系统开发有可能导致硬件与软件不兼容B、无法在需要的时刻获取必要的资源C、无法对事故恢复系统加以测试D、不同公司的基础安全设施不同
在经营审计业务中,内部审计师将子公司的存货周转率与确定的行业标准加以比较,目的是:()A、评价内部财务报告的准确性B、测试用于资产安全防护方面的控制C、确定是否符合公司有关存货水平的程序D、评价业绩,指出需要实施额外审计工作的地方
在检查公司的信息安全时,内部审计师应该始终向管理层建议与以下哪项内容相匹配的最强有力的安全系统?()A、公司对发生安全费用的意愿。B、公司的商业惯例和风险因子。C、公司的现有技术能力和员工的胜任能力。D、公司对安全薄弱环节的理解程度。
内部审计部门聘用了一位具有建筑安全设施专业知识的外部服务提供者,那么聘请的原因可能是:()A、对组织内的建筑用安全设施的安全性能进行评价B、将本*企业的建筑安全措施与行业的安全标准进行对比C、聘请该外部服务提供者帮助内部审计师对建筑安全管理程序的有效性进行审计D、以上三者都是
多选题某工程设备安装阶段,需要使用起吊能力为10吨的吊车进行大型永久设备的吊装。承包商与设备租赁公司签订施工机械租赁合同时,应依据《安全生产管理条例》,要求该设备租赁公司提供()。A生产厂家的吊车制造许可证B吊车出厂的产品合格证明C机械燃油消耗定额证明D租赁公司自行测试的安全性能检测记录E具有资质检验检测机构出具的安全性能检测合格证明
多选题某工程设备安装阶段,需要使用起吊能力为l0吨的吊车进行大型永久设备的吊装。承包商与设备租赁公司签订施工机械租赁合同时,应依据《安全生产管理条例》,要求该设备租赁公司提供()。A生产厂家的吊车制造许可证B吊车出厂的产品合格证明C机械燃油消耗定额证明D租赁公司自行测试的安全性能检测记录E具有资质检验检测机构出具的安全性能检测合格证明
单选题安全审计(securityaudit)是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法,安全审计的主要作用不包括()。A对潜在的攻击者起到震慑或警告作用B对已发生的系统破坏行为提供有效的追究证据C通过提供日志,帮助系统管理员发现入侵行为或潜在漏洞D通过性能测试,帮助系统管理员发现性能缺陷或不足
单选题审计师正在公司厂房对放射性物质采购、分配和使用的控制系统进行审计测试。在该公司,放射性物质的采购、分配和使用过程有良好的文件记录,而且公司安全部门的员工对本*部门的程序也非常熟悉。由于该过程涉及采购和设备部门,审计师正在考虑对这两个部门处理放射性物质的程序也进行审查。在这种情况下,审计师应该:()A相信安全部门详细严格的相关程序,不应该将审计时间用于审查其他部门,因为安全部门对放射安全负有主要责任。B根据需要,调整审计时间安排和预算,并与采购和设备部门的有关人员进行面谈,确定是否存在对安全部门已有程序进行补充的额外控制。C测试已确定存在的安全部门的内部控制措施;如果结果不理想,审计师应考虑是否将审计范围延伸至其他部门。D将有关采购,设备和其他部门的问题推延至可以对这些部门安排审计项目时再提出。
单选题在审计某计算机服务合同时,内部审计师发现,虽然合同只要求承包商提供恰当水平的安全性,但承包商开发了所在行业最先进的安全程序。假设公司需要比较高的安全度,在评价公司是否向承包商支付了超出公司需要的电脑安全程序费用时,以下哪些潜在证据来源可能具有相关性?() Ⅰ、将安全系统与类似系统所应用的实务相比较。 Ⅱ、将安全系统与近期刊物上有关该最先进系统相比较。 Ⅲ、对安全系统的作用进行测试。A只有ⅡB只有ⅢCⅠ和ⅡDⅡ和Ⅲ
单选题两公司之间有关事故恢复系统签订互惠处理程序协议可能带来的最大风险是()A系统开发有可能导致硬件与软件不兼容B无法在需要的时刻获取必要的资源C无法对事故恢复系统加以测试D不同公司的基础安全设施不同
单选题在审计某全球服务商提供商期间,IS审计师发现,为了允许公司全球客户报告和跟踪问题,公司对服务台应用程序进行了配置,可通过互联网对其进行访问。客户使用共享用户ID在各分支位置通过安全套接字层(SSL)进行连接,其访问权限限制为仅允许创建和查看服务申请。不需要定期更改密码,并且供应商未对应用程序执行安全测试。该IS审计师应该建议以下哪个选项?()A需要定期更改密码B为所有用户分配个人IDC不需要进行任何更改;应用程序自身已足够安全D应从互联网删除该应用程序