单选题在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A寻找补偿性控制B检阅财务事务日志C检阅审计范围D叫管理员禁用这些帐号
单选题
在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()
A
寻找补偿性控制
B
检阅财务事务日志
C
检阅审计范围
D
叫管理员禁用这些帐号
参考解析
解析:
最好的逻辑访问控制实践是创建用户ID给每一个定义了责任的使用人。只有在建立ID和独立使用人之间一个一对一关系时才有可能。尽管如此,如果用户ID是基于角色创建的,信息系统审计师应首先理解原因,然后评价补偿控制有效性和效率。检查处理日志对审计逻辑访问控制是无关的,检查审计相关的范围也是无关的。在弄明白原因和评价补偿性控制之前,不建议信息系统审计师请管理员对共享帐号停掉。这不是信息系统审计师的职责在审计期间让停止使用帐号。
相关考题:
某组织的信息系统策略规定,终端用户的ID在该用户终止后90天内失效。组织的信息安全内审核员应:A、报告该控制是有效的,因为用户ID失效是符合信息系统策略规定的时间段的B、核实用户的访问权限是基于用所必需原则的C、建议改变这个信息系统策略,以保证用户ID的失效与用户终止一致D、建议终止用户的活动日志能被定期审查
在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A、寻求补偿控制B、审查金融交易日志C、审查审计范围D、要求管理员禁用这些账户
一家金融服务公司拥有一个独立代理用来管理客户账户的网站。在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。此时,IS审计师最适合采取以下哪项行动:()A、通知审计委员会存在潜在问题B、要求详细审查相关ID的审计日志C、记录结果并对使用共享ID的风险作出解释D、联系安全经理,要求从系统中删除这些ID
在审计ERP财务系统的逻辑访问控制时,信息系统审计师发现一些用户帐户被多人共享使用。用户ID是基于角色而非人员本身设置的。这些帐户允许进入ERP系统进行财务处理。下一步,信息系统审计师该怎么做?()A、寻找补偿性控制B、检阅财务事务日志C、检阅审计范围D、叫管理员禁用这些帐号
信息系统审计师在一个客户/服务器环境下评审访问控制时,发现用户能接触所有打印选项,在这种情况下,信息系统审计师最可能归纳出()。A、信息被非授权用户使用,信息泄漏很严重。B、任何人在任何时候都可以打印任何报告,运行效率得到提高。C、信息容易被使用,使工作方法更加有效。D、用户中信息流动通畅,促进了用户的友好性和灵活性。
在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为:()A、将延时记录为有待改善的控制缺陷B、推荐使用负载平衡去改进吞吐量C、在管理建议书中写明这个投诉D、在形成对IT控制的审计意见时,排除这些投诉
访问信息系统的用户注册的管理不正确的做法是()A、对用户访问信息系统和服务的授权的管理B、对用户予以注册时须同时考虑与访问控制策略的一致性C、当ID资源充裕时可允许用户使用多个IDD、用户在组织内变换工作岗位时须重新评审其所用ID的访问权
在大型信息系统中,用户数量巨大,权限层次关系复杂,用户承担职责较多且身份变化频繁。在这样的情况下,应采用下述哪种访问控制方式最合适。()A、自主访问控制B、强制访问控制C、基于角色的访问控制D、基于任务的访问控制
访问信息系统的用户注册的管理是()A、对用户访问信息系统和服务的授权的管理B、对用户予以注册时须同时考虑与访问控制策略的一致性C、当ID.资源充裕时可允许用户使用多个IDD、用户在组织内变换丁.作岗位吋不必重新评审其所用ID的访问权
一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()A、审查访问控制特权授权过程B、实施身份管理系统(IMS)C、改进对敏感客户数据更改进行审计的流程D、仅将火警账户授予经理
一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性?()A、可以获得在线网络文档B、支持远程主机终端访问C、在主机间以及用户通讯中操作文件传输D、性能管理,审计和控制
多选题访问信息系统的用户注册的管理是()A对用户访问信息系统和服务的授权的管理B对用户予以注册时须同时考虑与访问控制策略的一致性C当ID.资源充裕时可允许用户使用多个IDD用户在组织内变换丁.作岗位吋不必重新评审其所用ID的访问权
单选题在辅助财务审计的IT控制测试时,总账GL用户向信息系统审计师投诉,在访问数据时存在严重的延时。IS审计师应采取的最合理的操作为:()A将延时记录为有待改善的控制缺陷B推荐使用负载平衡去改进吞吐量C在管理建议书中写明这个投诉D在形成对IT控制的审计意见时,排除这些投诉
单选题访问信息系统的用户注册的管理不正确的做法是()A对用户访问信息系统和服务的授权的管理B对用户予以注册时须同时考虑与访问控制策略的一致性C当ID资源充裕时可允许用户使用多个IDD用户在组织内变换工作岗位时须重新评审其所用ID的访问权
单选题在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()A寻求补偿控制B审查金融交易日志C审查审计范围D要求管理员禁用这些账户
单选题信息系统审计师在一个客户/服务器环境下评审访问控制时,发现用户能接触所有打印选项,在这种情况下,信息系统审计师最可能归纳出()。A信息被非授权用户使用,信息泄漏很严重。B任何人在任何时候都可以打印任何报告,运行效率得到提高。C信息容易被使用,使工作方法更加有效。D用户中信息流动通畅,促进了用户的友好性和灵活性。
单选题信息系统审计师对网络操作系统进行审计,下列哪项用户特征是信息系统审计师应该审阅的?()A在线网络文件的可获得性B支持访问远程主机的终端C在主机和用户之间处理文件的传输D实施管理、审计和控制
单选题为信息系统用户注册时,以下正确的是()A按用户的职能或业务角色设定访问权B组共享用户ID按组任务的最大权限注册C预授权用户ID并保有冗余,以保障可用性D避免频繁变更用户访问权