单选题一位IS审计师正在审查一个新的WEB式订单输入系统,该系统将于一周后正式启用。审计师发现根据设计,有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该?()A确定系统开发人员在适当系统安全措施方面是否接受过正规培训B确定系统管理员是否因某种原因禁用了安全控制C验证项目计划是否已对安全要求做出了正确规定D验证安全控制是否基于已经无效的要求
单选题
一位IS审计师正在审查一个新的WEB式订单输入系统,该系统将于一周后正式启用。审计师发现根据设计,有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该?()
A
确定系统开发人员在适当系统安全措施方面是否接受过正规培训
B
确定系统管理员是否因某种原因禁用了安全控制
C
验证项目计划是否已对安全要求做出了正确规定
D
验证安全控制是否基于已经无效的要求
参考解析
解析:
如果IS审计师发现了重大的安全问题,首先要做的是确定项目计划中的安全要求是否正确,尽管程序员了解安全问题非常重要,但是在项目计划中对安全要求做出正确说明更为重要。系统管理员可能已对控制作出更改,但审计师应该会按照设计执行系统审查,这意味着部署的系统满足规定的全部要求。随着时间的推移,安全要求可能会根据新的威胁或漏洞而更改,但是,如果缺少重要的控制,则会是因为要求不完整而造成的缺陷设计。点评:对于重大安全问题,先差需求是否提及,再看执行情况
相关考题:
某内部审计师对新采用销售电子处理系统的销售部门进行审计,所以应用了通用审计软件对实施系统后一周的数据进行分析。则这种方法的主要缺陷是:A.内部审计师并不了解销售电子处理系统B.数据可能不够充分,无法发现不常出现的问题C.通用审计软件不能对这么多的数据进行处理D.内部审计师不擅长使用通用审计软件
一位内部审计经理正在组织一个审计小组,以便对一个信用卡公司的数据处理中心进行认证审计。小组中应包括以下哪些人员?Ⅰ.一位精通信息技术安全的外部审计师Ⅱ.一位比较有经验的内部审计师,在进入内部审计部门之前她一直在客户部门工作,因此对客户比较了解Ⅲ.一位比较有经验的内部审计师且曾专门学习过欺诈检测软件Ⅳ.一位新聘用的内部审计师,精通内部审计实践,但对机构或各部门缺乏了解A.Ⅰ和Ⅲ。B.Ⅱ和Ⅲ。C.Ⅰ、Ⅲ和Ⅳ。D.Ⅱ、Ⅲ和Ⅳ。
审查应付账款系统的IS审计师发现没人审查审计日志。向管理人员提出此问题时,得到的回应是因为有效的系统访问控制已就位,因此没有必要进行额外的控制。该审计师能做出的最佳回应是:()A、审查系统访问控制的完整性B、接受管理人员有关有效访问控制已就位的声明C、强调具备系统控制框架的重要性D、审查负责应对账款人员的背景调查
一个IS审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS审计系统应当如何反应?()A、如IT经理所请求的,审计新ERP应用B、审计电子商务服务器,因为它去年没有被审计C、确定风险最高的系统,并基于该结果制定审计计划D、既审计电子商务服务器也审计ERP应用
某IT审计师正在考虑一个应用系统中的控制是否足够,下列不属于该审计师考虑的因素的是:()A、该系统中数据的重要性B、某项控制失效的风险C、每项控制的效率、复杂程度及费用D、病毒管理软件的使用
某公司正计划在它的一个生产分公司开发并实施一个新的电算化采购订货系统。该分公司的副总经理要求内部审计师加入负责实施该项目的小组。该小组是由来自财务、生产、采购和市场部门的代表组成。首席审计执行官希望承担这一项目的工作,因此指派一个高级审计师加入并“在需要时”协助工作。假设该高级审计师实施了如下工作,如果作为事后审计要求他审查该采购订货系统,下述哪项可能会损害他的客观性?()A、帮助确定和说明控制目标。B、测试系统开发标准的合规性。C、审查系统和编程标准的充分性。D、为新系统草拟运行程序。
在复核客户主文件时,信息系统审计师在客户名称变更中发现许多客户姓名副本。为了确定副本的范围,信息系统审计师应该使用()。A、用于验证数据输入的测试数据B、用于确定系统分类能力的测试数据C、用于搜索地址域副本的通用审计软件D、用于搜索账户域副本的通用审计软件
一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()A、审查访问控制特权授权过程B、实施身份管理系统(IMS)C、改进对敏感客户数据更改进行审计的流程D、仅将火警账户授予经理
一个IS审计师被请求去为一个基于Web的关键订单系统做完全监控检查,且此时距该订单系统预定的正式上线日期只有很短的时间,该审计师进行了一项渗透测试,产生了不确定的结果,而在授权给审计的完成时间内无法进行另外的测试。下述哪个是该审计师最好的选择?()A、基于可用的信息公布一个报告,突出强调潜在的安全弱点以及对后续审计测试的需求。B、公布一个报告,忽略来自测试的证据不足的领域。C、请求推迟正式上线时间直到完成附加的安全测试并获得正式测试的证据。D、通知管理层审计工作不能在规定的时间窗内完成,并建议审计推迟。
一位IS审计师正在对数据中心的系统维护进行审查。经过确定,所有关键的计算、供电和冷却系统都得到了恰当的维护。此外,IS审计师最应该建议组织确保()A、已对所有服务人员进行背景调查B、服务人员在工作执行期间得到全程陪同C、在非关键处理期间执行维护D、取得对维护工作执行的独立验证
在观察一个完整的业务连续性计划的模拟时,信息系统审计师注意到组织设施当中的通知系统可能受到基础设施遭到损坏的严重影响,信息系统审计师向该组织提供的最好建议是确保:()A、训练救援团队使用通知系统B、为备份恢复提供通知系统C、建立冗余的通知系统D、通知系统都存储在一个库中
信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性?()A、在应用系统的开发阶段执行特定的需求功能。B、为了审计该应用系统而设计一个嵌入式的审计模块。C、作为应用系统项目团队的一员,但不承担运行职能。D、根据应用系统的最佳实践提供咨询和建议。
审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师()。A、在应用系统开发过程中,实施了具体的控制B、设计并嵌入了专门审计这个应用系统的审计模块C、作为应用系统的项目组成员,但并没有经营责任D、为应用系统最佳实践提供咨询意见
一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性?()A、可以获得在线网络文档B、支持远程主机终端访问C、在主机间以及用户通讯中操作文件传输D、性能管理,审计和控制
一位IS审计师正在审查一个新的WEB式订单输入系统,该系统将于一周后正式启用。审计师发现根据设计,有关系统存储客户信用卡信息方面可能缺少几项重要的控制。这位IS审计师首先应该?()A、确定系统开发人员在适当系统安全措施方面是否接受过正规培训B、确定系统管理员是否因某种原因禁用了安全控制C、验证项目计划是否已对安全要求做出了正确规定D、验证安全控制是否基于已经无效的要求
单选题在观察一个完整的业务连续性计划的模拟时,信息系统审计师注意到组织设施当中的通知系统可能受到基础设施遭到损坏的严重影响,信息系统审计师向该组织提供的最好建议是确保:()A训练救援团队使用通知系统B为备份恢复提供通知系统C建立冗余的通知系统D通知系统都存储在一个库中
单选题一个IS审计师正为一个老客户制定审计计划。该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS审计系统应当如何反应?()A如IT经理所请求的,审计新ERP应用B审计电子商务服务器,因为它去年没有被审计C确定风险最高的系统,并基于该结果制定审计计划D既审计电子商务服务器也审计ERP应用
单选题一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性?()A可以获得在线网络文档B支持远程主机终端访问C在主机间以及用户通讯中操作文件传输D性能管理,审计和控制
单选题信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性?()A在应用系统的开发阶段执行特定的需求功能。B为了审计该应用系统而设计一个嵌入式的审计模块。C作为应用系统项目团队的一员,但不承担运行职能。D根据应用系统的最佳实践提供咨询和建议。
单选题审计师在与一位数据输入员进行面谈时,讨论了正在使用的计算机系统,该系统用于追踪职员培训规定和对规定的遵循情况。审计师确认在这一系统中存在潜在的重要缺陷。审计师应该:()A不再提到这个缺陷,以避免使该职员感到不舒服。B提出间接问题,以帮助了解更多的与这个潜在缺陷有关的真实信息。C向职员询问关于该缺陷的问题,并立即报告该审计发现。D直接向高层管理人员汇报。
单选题审计师在与一位数据输入员进行面谈时,讨论了正在使用的计算机系统,该系统用于追踪职员培训规定和对规定的遵循情况。审计师确认在这一系统中存在潜在的重要缺陷。审计师应该:()A非直接或间接地提到这个缺陷,以避免使该职员感到不舒服。B提出间接问题,以帮助了解更多的与这个潜在缺陷有关的真实信息。C向职员询问关于该缺陷的问题,并立即决定是否应该报告该审计发现。D确定该缺陷真实存在后,进行第二次面谈。
单选题一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()A审查访问控制特权授权过程B实施身份管理系统(IMS)C改进对敏感客户数据更改进行审计的流程D仅将火警账户授予经理
单选题审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师()。A在应用系统开发过程中,实施了具体的控制B设计并嵌入了专门审计这个应用系统的审计模块C作为应用系统的项目组成员,但并没有经营责任D为应用系统最佳实践提供咨询意见
单选题在企业资源管理系统的实施后审计中,IS审计师很可能()。A审查访问控制配置B接口测试评估C详细设计文件审查D系统测试评估