cisp信息安全监管试题(1)
-
开发组织政策的自底向上法通过:
- A.审查公司愿景和目标。
- B.匹配政策目标到公司战略的结构化方法。
- C.资产脆弱性的风险评估。
- D.已知威胁的业务影响分析。
-
在公司信息系统的战略应用中,面向对象的技术变得越来越重要,因为具有以下潜力:
- A.允许更快更可靠地开发系统。
- B.保持原来用过程语言编写的程序。
- C.减少对层次数据库的数据完整性的破坏。
- D.使传统的瀑布式系统开发方法更加流畅。
-
关于不恰当的职责分离,审计师的主要责任是:
- A.确保恰当的职责分离的执行。
- B.为管理层提供不恰当的职责分离相关风险的建议。
- C.参与组织内角色和责任的定义以预防不恰当的职责分离。
- D.把违反恰当的职责分离的情况记录在案
-
一个用户的行为可以被下列那种方式正确地记录和追溯责任?
- A.识别和批准;
- B.批准和认证;
- C.识别和认证;
- D.批准。
-
为了调查与软件相关的影响响应时间的原因,审计师应该:
- A.进行跟踪并以图形描述。
- B.开发一个集成测试工具。
- C.使用嵌入的审计数据。
- D.进行平行模拟。
-
下列说法满足信息系统安全官关于安全控制有效性的目标:
- A.基于风险分析的结果构成完整的控制需求。
- B.控制已经被测试。
- C.给予风险分析的结构构成安全控制的详细要求。
- D.控制可重现地被测试。
-
原型法的优点是:
- A.能够在不花费很大开发成本的情况下对系统进行试验。
- B.较早的定义完整的需求和概念性的设计。
- C.不容易确定控制点相关的控制步骤。
- D.加强开发过程的管理和控制。
-
下列哪项说明了企业架构enterprise architecture (EA)的目的?
- A.确保内部和外部战略一致。
- B.匹配组织的IT架构。
- C.匹配组织的IT架构并且确保IT架构的设计匹配组织的战略。
- D.确保IT投资和业务战略一致。
-
在审计信用卡支付系统时,下列哪种方法提供最好的保证信息被正确地处理?
- A.审计痕迹。
- B.数据录入和计算机操作员的职责分离。
- C.击键验证。
- D.主管审查。
-
在审核防火墙配置时,审计师认为下列哪项是最大的脆弱性?
- A.配置使用基于源地址和目的地址,协议,用户认证的允许或拒绝对系统/网络访问的规则。
- B.配置在规则中最后使用“拒绝”选项。
- C.防火墙软件在安装时操作系统使用缺省配置。
- D.防火墙软件被配置为VPN作为点对点连接。
-
以下哪项属于IT平衡计分卡的4个关键角度中的3个?
- A.业务判断,服务水平协议,预算
- B.组织人员,成本减少,雇员培训
- C.成本减少,业务流程,增长
- D.服务水平,关键成功因素,供应商选择
-
下列哪种风险说明了与程序的陷门有关的风险:
- A.固有风险
- B.审计风险
- C.检查风险
- D.业务(商业)风险
-
信息资产足够的安全措施的责任属于:
- A.数据和系统所有者,例如公司管理层
- B.数据和系统保管者,例如网络管理员和防火墙管理员
- C.数据和系统用户,例如财务部
- D.数据和系统经理
-
审计师为了审计公司的战略计划,以下哪项第一个检查?
- A.目前架构的细节。
- B.去年、今年、明年的预算。
- C.组织流程图。
- D.公司的业务计划。
-
一个制造商正在开发一个新的数据库系统,该系统用来处理批量订单所生产的产品的有关数据。工作人员每天要回答客户提出的有关订货的生产情况。完工的订货在每天晚上要成批地打印出发票。对生产数据最好的访问方法是:
- A.索引顺序的。
- B.直接的。
- C.杂乱无章的。
- D.顺序的。
-
在基于风险审计做计划时,以下哪一步最关键?
- A.对组织全部环境做整体评估。
- B.基于可接受的框架(例如COBIT或COSO)建立审计方法论。
- C.文档化审计程序确保审计师获得计划的审计目标。
- D.识别控制失效的高风险区域。
-
下列哪项在评价信息系统战略时最重要?
- A.确保信息系统战略最大化目前和未来信息技术资源的效率和利用。
- B.确保在所有信息系统中考虑信息安全。
- C.确保信息系统战略支持公司愿景和目标。
- D.确保系统管理员为系统能力提供准确的输入。
-
审计痕迹的主要目的:
- A.更好的评估和审计由于审计师没有检查出的控制失效引起的审计风险。
- B.建立完成的审计工作按年代顺序排列的事件链。
- C.建立交付处理的业务交易的责任(可追溯责任)。
- D.职责分离缺乏的补偿。
-
在CMM中哪个层次通过定性度量能力结果?
- A.第1级
- B.第2级
- C.第3级
- D.第4级
-
在小公司中职责分离可能不实际,一个雇员可能同时执行服务器操作员和应用程序员职责。信息系统审计师应该建议下列那个控制?
- A.对开发程序库变更自动日志。
- B.雇佣额外的技术人员实现职责分离。
- C.执行只有批准的程序变更才能被上线的流程。
- D.预防操作员登录ID做程序修改的自动控制。
-
以下哪项在员工离职流程不正确?
- A.公司遵守人力资源员工离职流程。
- B.离职员工拥有的公司财产必须被归还。
- C.离职员工必须被允许从其计算机中复制个人文件。
- D.在审计日志中检查离职员工帐户最近的活动历史。
-
应该仔细监控打印服务器的离线打印缓存,以确保控制和预防对敏感信息的非授权访问。下列哪项是审计师最关注的?
- A.部分用户拥有技术授权从打印缓存打印数据即使该用户没有被授权查看数据
- B.部分用户拥有技术授权从打印缓存修改数据即使该用户没有被授权修改数据
- C.部分用户拥有技术授权从打印缓存删除作业即使该用户没有被授权删除作业
- D.部分用户拥有技术授权从打印缓存中断作业即使该用户没有被授权创建、修改、查看打印作业的数据输出
-
由于存在网络拥塞,减少冲突对于支持网络通讯可用性很重要。下列哪种设备最适合逻辑上分割和基于OSI的第2层MAC寻址创建冲突域?
- A.路由器
- B.集线器
- C.应答器
- D.交换机
-
用于确定应用程序系统需要建立多少控制的标准不包括以下哪项内容?
- A.数据在系统中的重要性。
- B.应用网络监测软件的可行性。
- C.某项活动或处理没有受到适当控制所产生的风险水平。
- D.每种控制措施的效率、复杂性和费用。
-
从微机上载到主机的数据可能有错误,以下哪种方法能最好地解决此问题?
- A.主机应该定期备份。
- B.上传数据时应有双人同时在场微机操作。
- C.主机应该对上载数据实施与联机输入数据时同样的编辑和合法性检查。
- D.要求用户检查已处理数据的随机抽样样本。
-
下列哪项最好的支持通讯可用性?
- A.动态实时告警系统做网络监控。
- B.集成的纠正性网络控制。
- C.冗余。
- D.高速网络吞吐率。
-
在审计新软件项目时,项目小组目前在定义用户需求,把建议的解决方案和用户需求匹配。目前处于SDLC的哪个阶段?
- A.可行性研究。
- B.需求。
- C.设计。
- D.开发。
-
下列哪些手续可以增强信息系统操作部门的控制结构?I. 定期轮换操作人员。II. 强制休假。III. 控制对设备的访问。IV、 将负责控制输入和输出的人员进行分离。
- A.Ⅰ Ⅱ
- B.Ⅱ Ⅱ Ⅲ
- C.Ⅲ Ⅳ
- D.Ⅰ Ⅱ Ⅲ Ⅳ
-
实施连续审计方法的最重要的优点是:
- A.可以在处理大批量交易的时间共享计算环境改善系统安全。
- B.由于从管理层和职员得到加强的输入可以提供可追溯责任的审计结果。
- C.可以识别高风险区域以供以后详细的审查。
- D.由于时间约束更松弛可以显著减少需要的审计资源。
-
为了确保公司遵守隐私权要求,审计师应该首先审查:
- A.IT架构。
- B.公司的政策,标准和流程步骤。
- C.法律和法规要求。
- D.对公司的政策,标准和流程步骤的遵守。
-
以下哪项提供了对平衡计分卡的最好的解释?
- A.被用于标杆到目标服务水平。
- B.被用于度量提供给客户的IT服务的效果。
- C.验证组织的战略和IT服务的匹配。
- D.度量帮助台职员的绩效。
-
审计师观察到不存在恰当的项目批准流程,他应该:
- A.提供详细流程建议实施。
- B.寻找没有书面批准流程的证据。
- C.确认缺乏恰当的项目批准流程是不足的项目管理技能的风险标志,建议项目管理培训作为补偿性控制
- D.向管理层建议采取恰当的项目批准流程并文档化。
-
下列哪个领域经常面临微型计算机迅速发展所带来的风险?1: 备份和恢复。2:应用程序开发成本。3:记录的批量更新。4: 访问的安全。5:违反版权法。
- A.1、2、3
- B.2、3、4
- C.3、4、5
- D.1、4、5
-
业务流程重组(BPR)的业务目的主要是:
- A.减少工作岗位。
- B.减少步骤以改善业务效率。
- C.变更管理层方向。
- D.增加利益相关者(股东,客户,供应商,银行)价值。
-
下列哪一个角色的任务是确保IT部门的工作与业务目标保持一致?
- A.首席执行官。
- B.董事会。
- C.IT战略委员会。
- D.审计委员会。
-
对公司信息系统做审计时,审计师的第一步工作应该是:
- A.开发出战略性审计计划。
- B.对公司的业务重点获得理解。
- C.做初步的风险评估为基于风险的审计打下基础。
- D.确定和定义审计范围和重要性。
-
高级管理层对IT战略计划缺乏输入引起最可能的结果:
- A.缺乏在技术上的投资。
- B.缺乏系统开发的方法。
- C.技术目标和组织目标不一致。
- D.技术合同缺乏控制。
-
一个公司由于目前合同到期在考虑采用新的ISP(Internet接入服务商)。从审计的角度以下哪项最需要检查?
- A.服务水平协议。
- B.ISP的物理安全。
- C.ISP的其它客户的推荐。
- D.ISP雇员的背景调查。
-
某保险公司对经常应用的数据进行断点打印拷贝,使有关人员可在主机文件中获取这些数据,经过授权的用户可以将数据子集下载进入电子数据表程序,这种提供数据存取途径方法的风险是:
- A.复制文件可能没有得到同步处理;
- B.数据片断可能缺乏完整性;
- C.数据处理的进行可能缺乏成熟;
- D.数据的普及性。
-
数据库“孤立参照”表示违反下列:
- A.属性完整性Attribute integrity。
- B.参照完整性指示完整性Referential integrity。
- C.关系完整性Relational integrity。
- D.界面完整性Interface integrity。
-
审计师寻求确保信息技术被有效率地使用以支持组织愿景和目标,保障信息的机密性、完整性和可用性。下列哪种流程最好地支持这个目标?
- A.网络监控。
- B.系统监控。
- C.人员监控。
- D.能力计划和管理。
-
管理信息系统成功的将原始数据转换为信息,成为非常宝贵的企业资源。哪项不是一个设计良好的管理信息系统数据库特征?
- A.一致性。
- B.完整性。
- C.安全性。
- D.冗余性。
-
一个公司正在实施控制自我评估项目,审计师应该作为什么角色参与:
- A.监督者。
- B.推动者。
- C.项目领导者。
- D.审计师不应该参与公司控制自我评估项目,因为他这样做可能会引起利益冲突。
-
一个公司外包其数据处理中心,可能的优点:
- A.需要的信息系统专家可以从外部获得。
- B.对数据处理可以获得更高的控制。
- C.数据处理的优先级可以在内部建立和执行。
- D.更广泛的最终用户参与以交流用户需求。
-
一个公司在开发信息安全流程时要做的第一步是:
- A.升级访问控制软件为生物/令牌系统。
- B.批准公司信息安全政策。
- C.要求信息系统审计师做综合审查。
- D.开发信息安全标准。
-
在IS战略审计中,以下那项是审计师考虑最不重要的?
- A.审核短期计划(1年)和长期计划(3到5年)。
- B.审核信息系统流程。
- C.访谈恰当的公司管理人员。
- D.确保考虑外部环境。
-
下列哪种计划包括了大约3年的远景?
- A.日常计划。
- B.长期计划。
- C.运营计划。
- D.战略计划。
-
网络管理员最不应该与下列哪个角色共享责任?
- A.质量保障。
- B.系统管理员。
- C.应用程序员。
- D.系统分析员。
-
审计师发现控制存在小弱点,例如弱口令或者监控报告比较差,审计师最恰当的行动是:
- A.采取改正行动并通知用户和管理层控制的脆弱性。
- B.确认此类控制的小弱点对于此次审计不重要。
- C.向信息技术管理层立即报告此类弱点。
- D.不执行改正行动,在审计报告中记录观察的现象和相关的风险。
-
在主机计算环境,通常由操作员来负责将软件和数据文件定期备份。在分布式和协作式的系统中,承担备份责任的应该是:
- A.用户管理人员。
- B.系统程序员。
- C.数据录入员。
- D.磁带库管理员。