单选题在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A寻求补偿控制B审查金融交易日志C审查审计范围D要求管理员禁用这些账户

单选题
在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()
A

寻求补偿控制

B

审查金融交易日志

C

审查审计范围

D

要求管理员禁用这些账户


参考解析

解析: 最好的逻辑访问控制做法是:为每个人创建用户ID以定义问责制、这只有在ID和个人之间建立一对一的关系才可能实现。但是,如果用户ID是根据角色名称创建的,则IS审计师应首先了解原因,然后对补偿控制的有效性进行评估。审查交易日志与审计逻辑访问控制和审查审计范围都不相关。在IS审计师了解原因和评估补偿控制之前,不建议要求管理员禁用共享账户。审计期间要求禁用账户并不是IS审计师的职责。

相关考题:

常用的访问控制机制有()A、基于访问控制属性B、基于权限分配属性C、基于用户和资源分级D、基于安全领域分级

()方式针对每个用户能够访问的资源,对于不在指定的资源列表中的对象不允许访问。 A、自主访问控制B、基于策略的访控C、强制访问的控制D、基于角色的访问控制

在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是:()A.非授权用户可以使用ID擅自进入.B.用户访问管理费时.C.很容易猜测密码.D.无法确定用户责任

在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是()。A、非授权用户可以使用ID擅自进入B、用户访问管理费时C、很容易猜测密码D、无法确定用户责任

在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A、寻求补偿控制B、审查金融交易日志C、审查审计范围D、要求管理员禁用这些账户

一个组织使用ERP,下列哪个是有效的访问控制?()A、用户级权限B、基于角色C、细粒度D、自主访问控制

一家金融服务公司拥有一个独立代理用来管理客户账户的网站。在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。此时,IS审计师最适合采取以下哪项行动:()A、通知审计委员会存在潜在问题B、要求详细审查相关ID的审计日志C、记录结果并对使用共享ID的风险作出解释D、联系安全经理,要求从系统中删除这些ID

在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A、寻找补偿性控制B、检阅财务事务日志C、检阅审计范围D、叫管理员禁用这些帐号

基于角色的访问控制是基于主体在系统中承担的角色进行的访问控制

一般的web访问验证授权模式()A、基于用户的身份验证B、基于用户的角色验证C、基于用户的身份和角色验证D、基于用户的身份,角色,资源验证

银行普通柜员能够执行活期存款交易,只有主管才能在交易执行后进行冲正。针对这样的要求,最佳的访问控制是()。A、基于用户角色的访问控制B、基于数据敏感性的访问控制C、基于规则的访问控制D、由系统决定的访问控制

在大型信息系统中,用户数量巨大,权限层次关系复杂,用户承担职责较多且身份变化频繁。在这样的情况下,应采用下述哪种访问控制方式最合适。()A、自主访问控制B、强制访问控制C、基于角色的访问控制D、基于任务的访问控制

能够从控制主体的角度出发,根据管理中相对稳定的职权和责任划分来分配不同的角色的是()A、基于身份的访问控制B、基于权限的访问控制C、基于角色的访问控制D、基于用户的访问控制

()是基于主体在系统中承担的角色进行的访问控制。A、基于身份的访问控制B、基于权限的访问控制C、基于角色的访问控制D、基于用户的访问控制

一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()A、审查访问控制特权授权过程B、实施身份管理系统(IMS)C、改进对敏感客户数据更改进行审计的流程D、仅将火警账户授予经理

一个组织当前使用了企业资源管理(ERP)应用程序。以下哪项可成为有效的访问控制?()A、用户级别权限访问控制B、基于角色的访问控制C、细化访问控制D、自主访问控制

以下哪种访问控制策略需要安全标签?()A、基于角色的策略B、基于标识的策略C、用户指向的策略D、强制访问控制策略

单选题()是基于主体在系统中承担的角色进行的访问控制。A基于身份的访问控制B基于权限的访问控制C基于角色的访问控制D基于用户的访问控制

单选题以下哪种访问控制策略需要安全标签?()A基于角色的策略B基于标识的策略C用户指向的策略D强制访问控制策略

单选题一个组织当前使用了企业资源管理(ERP)应用程序。以下哪项可成为有效的访问控制?()A用户级别权限访问控制B基于角色的访问控制C细化访问控制D自主访问控制

单选题一个组织使用ERP,下列哪个是有效的访问控制?()A用户级权限B基于角色C细粒度D自主访问控制

单选题在逻辑访问控制中如果用户账户被共享,这种局面可能造成的最大风险是()。A非授权用户可以使用ID擅自进入B用户访问管理费时C很容易猜测密码D无法确定用户责任

单选题一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()A审查访问控制特权授权过程B实施身份管理系统(IMS)C改进对敏感客户数据更改进行审计的流程D仅将火警账户授予经理

单选题一般的web访问验证授权模式()A基于用户的身份验证B基于用户的角色验证C基于用户的身份和角色验证D基于用户的身份,角色,资源验证

单选题能够从控制主体的角度出发,根据管理中相对稳定的职权和责任划分来分配不同的角色的是()A基于身份的访问控制B基于权限的访问控制C基于角色的访问控制D基于用户的访问控制

单选题在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A寻找补偿性控制B检阅财务事务日志C检阅审计范围D叫管理员禁用这些帐号

单选题在大型信息系统中,用户数量巨大,权限层次关系复杂,用户承担职责较多且身份变化频繁。在这样的情况下,应采用下述哪种访问控制方式最合适。()A自主访问控制B强制访问控制C基于角色的访问控制D基于任务的访问控制