CISA2008Chapter1信息系统审计程序ISACA发布的信息系统审计标准”,准则,程序和职业道德规范IS审计实务和技术收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质)证据的生命周期(证据的收集,保护和证据之间的关系)与信息系统相关的控制目标和控制审计过程中的风险评估审计计划和管理技术报告和沟通技术(推进,商谈,解决冲突)控制自我评估不间断审计技术(连续审计技术)Chapter2IT治理IT战略,政策,标准和程序对组织的意义,及其基本要素IT治理框架制定实施和恢复IT战略政策标准和程序的流程质量管理战略和政策与IT使用和管理相关的组织结构,角色和职责公认的国际IT标准和准则制定长期战略方向的企业所需的IT体系及其内容风险管理方法和工具控制框架(cobit)的使用成熟度和流程改进模型签约战略,程序和合同管理实务IT绩效的监督和报告实务有关的法律规章问题(保密,隐私,知识产权)IT人力资源管理资源投资和配置实务Chapter3系统和体系生命周期收益管理实务(可行性研究,业务案例)项目治理机制,如:项目指导委员会,项目监督委员会项目管理实务,工具和控制框架用于项目管理上的风险管理实务项目成功的原则和风险涉及开发,维护系统的配置,变更和版本管理确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术关于数据,应用和技术的企业框架需求分析和管理实务采购和合同管理程序系统开发方法和工具以及他们的优缺点质量保证方法测试流程的管理数据转换工具技术和程序系统的处置程序软件,硬件的认证和鉴证实务实施后的检查目标和方法,如项目关闭,收益实现,绩效测定系统移植和体系开发实务Chapter4IT服务和交付服务等级和水平运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护系统性能监控程序,工具和技术.硬件和网络设备的功能数据库管理实务操作系统工具软件和数据库管理系统生产能力计划和监控技术对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务生产事件/问题管理实务软件许可证和清单管理实务系统缩放工具和技术Chapter5信息资产保护信息系统安全设计,实施和监控技术用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制逻辑访问安全体系攻击方法和技术对安全事件的预测和响应程序网络和internet安全设备入侵检测系统和防火墙的配置加密算法/技术公共密钥机构组件病毒检测和控制技术安全方案测试和评估技术:渗透技术,漏洞扫描生产环境保护实务和设备物理安全系统和实务数据分类技术语音通讯的安全保密信息资产的采集.存储.使用.传输和处置程序和流程与使用便携式和无线设备Chapter6业务连续性与灾难恢复计划数据备份,存储,维护,保留和恢复流程业务连续性和灾难恢复有关的法律规章协议和保险问题业务影响分析(BIA)开发和维护灾难恢复与业务持续计划灾难恢复和业务连续性计划测试途径和方法与灾难恢复和业务连续性有关的人力资源管理启用灾难恢复和业务连续性计划的程序和流程备用业务处理站点的类型,和监督有关协议合同的方法CISA2008练习题Chapter11.下列哪些形式的审计证据就被视为最可靠?口头声明的审计由审计人员进行测试的结果组织内部产生的计算机财务报告从外界收到的确认来信2当程序变化是,从下列哪种总体种抽样效果最好?测试库清单源代码清单程序变更要求产品库清单3在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试:系统程序员.法律人员业务部门经理应用程序员.4进行符合性测试的时候,下面哪一种抽样方法最有效?属性抽样变量抽样平均单位分层抽样差别估算5当评估一个过程的预防控制、检察控制和纠正控制的整体效果时,审计人员应该知道:当数据流通过系统时,其作用的控制点。只和预防控制和检查控制有关.纠正控制只能算是补偿.分类有助于审计人员确定哪种控制失效6审计人员在对几个关键服务进行审计的时候,想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作?计算机辅助开发工具(casetool)嵌入式(embedded)数据收集工具启发扫描工具(heuristicscanningtools)趋势/变化检测工具7在应用程序开发项目的系统设计阶段,审计人员的主要作用是:建议具体而详细的控制程序保证设计准确地反映了需求确保在开始设计的时候包括了所有必要的控制开发经理严格遵守开发日程安排8下面哪一个目标控制自我评估(CSA)计划的目标?关注高风险领域替换审计责任完成控制问卷促进合作研讨会Collaborativefacilitativeworkshops9利用风险评估方法对信息安全管理的基准办法进行评估的主要优点时是保证:充分保护信息资产根据资产价值进行基本水平的保护对于信息资产进行合理水平的保护根据所有要保护的信息资产分配相应的资源10审计轨迹的主要目的是:改善用户响应时间确定交易过程的责任和权利提高系统的运行效率为审计人员追踪交易提供有用的资料11在基于风险为基础的审计方法中,审计人员除了风险,还受到以下那种因素影响:可以使用的CAATs管理层的陈述组织结构和岗位职责.存在内部控制和运行控制12对于组织成员使用控制自我评估(CSA)技术的主要好处是:可以确定高风险领域,以便以后进行详细的审查使审计人员可以独立评估风险可以作来取代传统的审计使管理层可以放弃relinquish对控制的责任13下列哪一种在线审计技术对于尽早发现错误或异常最有效?嵌入审计模块综合测试设备Integratedtestfacility快照sanpshots审计钩Audithooks14当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法?对于程序库控制进行实质性测试对于程序库控制进行复合性测试对于程序编译控制的符合性测试对于程序编译控制的实质性测试15在实施连续监控系统时,信息系统审计师第一步时确定:合理的开始(thresholds)指标值组织的高风险领域输出文件的位置和格式最有最高回报潜力的应用程序16审计计划阶段,最重要的一步是确定:高风险领域审计人员的技能审计测试步骤审计时间17审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师:在应用系统开发过程中,实施了具体的控制设计并嵌入了专门审计这个应用系统的审计模块作为应用系统的项目组成员,但并没有经营责任为应用系统最佳实践提供咨询意见18审计中发现的证据表明,有一种欺诈舞弊行为与经理的帐号有关。经理把管理员分配给他的密码写在纸上后,存放在书桌抽屉里。IS审计师可以推测的结论是:经理助理有舞弊行为不能肯定无疑是谁做的肯定是经理进行舞弊系统管理员进行舞弊19为确保审计资源的价值分配给组织价值最大的部分,第一步将是:制定审计日程表并监督花在每一个审计项目上的时间培养审计人员使用目前公司正在使用的最新技术根据详细的风险评估确定审计计划监督审计的进展并开始成本控制措施20审计师在评估一个公司的网络是否可能被员工渗透,其中下列哪一个发现是审计师应该最重视的?有一些外部调制解调器连接网络用户可以在他们的计算机上安装软件网络监控是非常有限的许多用户帐号的密码是相同的21信息系统审计师在控制自我评估(CSA)中的传统角色是:推动者(facilitator)经理伙伴股东22下面哪一种审计技术为IS部门的职权分离提供了最好的证据:与管理层讨论审查组织结构图观察和面谈测试用户访问权限23IS审计师应该最关注下面哪一种情况?缺少对成功攻击网络的报告缺少对于入侵企图的通报政策缺少对于访问权限的定期审查没有通告公众有关入侵的情况24审计人员审计网络操作系统。下面哪一个是审计人员应该审计的用户特征?可得到在线网络文档支持终端访问远程主机处理在主机和内部用户通信之间的文件传输执行管理,审计和控制25审计师使用不完整的测试过程得出不存在重大错误的结论,这种做法的风险实质上是:固有的风险.控制风险检查危险审计风险26审计章程应采取:是动态的和经常变化的,以便适应技术和和审计专业(professional)的改变清楚的说明审计目标和授权,维护和审核内部控制文档化达到计划审计目标的审计程序列出对审计功能的所有授权,范围和责任27审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的?应用程序所有者不知道IT部门对系统实施的一些应用应用数据每周只备份一次应用开发文档不完整信息处理设施没有受到适当的火灾探测系统的保护28IS审计功能的一个主要目的是:确定每个人是否都按照工作说明使用IS资源确定信息系统的资产保护和保持数据的完整性对于计算机化的系统审查帐册及有关证明文件确定该组织识别诈骗fraud的能力29进行审计的时候,审计师发现存在病毒,IS审计师下一步应该做什么?观察反应机制病毒清除网络立即通知有关人员确保删除病毒30审计章程的的主要目标是:A记录企业使用的审计流程B审计部门行动计划的正式文件C记录审计师专业行为的行为准则D说明审计部门的权力和责任。31在对IT程序的安全性审计过程中,IS审计师发现没有文件记录安全程序,该审计员应该:建立程序文件终止审计进行一致性测试鉴定和评估现行做法32在风险分析期间,IS审计师已经确定了威胁和潜在的影响,下一步IS审计师应该:确定并评估管制层使用的风险评估过程确定信息资产和受影响的系统发现对管理者的威胁和影响鉴定和评估现有控制.33下面哪一项用于描述ITF(整体测试法)最合适?这种方法使IS审计师能够测试计算机应用程序以核实正确处理利用硬件和或软件测试和审查计算机系统的功能这种方法能够使用特殊的程序选项打印出通过计算机系统执行的特定交易的流程IS系统审计师用于测试的一种程序,可以用于处理tagging和扩展交易和主文件记录。34IS审计师要判断是否严格控制被授权者对于程序文档的访问,最有可能的做法是:评估在存储场所的文件保存计划就当前正在进行的流程采访程序员对比实际使用的记录和操作表审查数据文件访问记录测试管理库的功能35需要进一步收集哪些数据,IS审计师的决定取决于需要的重要信息的可用性审计师对于情况的熟悉程序审计人员(auditee)找到相关证据的能力进行审计的目的和范围36审查管理层的长期战略计划有助于审计师:了解一个组织的宗旨和目标测试企业的内部控制评估组织队信息系统的依赖性确定审计所需的资源37利用统计抽样程序可以减少:抽样风险检查风险固有风险控制风险38IS审计师对软件使用和许可权进行审计,发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为?个人擅自删除所有未授权软件拷贝通知被审计人员非授权软件的情况,并确认删除报告使用未经授权软体的情况,并需要管理层避免这种情况重复发生不采取任何行动,因为这是一个公认的惯例和做法,业务管理部门负责监督这种使用39下面哪一项IS审计师可用来确定编辑和确认程序的有效性(effectiveness)?域完整性测试相关完整性测试参照完整性测试奇偶校验检查40下面哪一种情况下,IS审计师应该用统计抽样而不是判断抽样(nonstatistical):错误率必须被客观量化(objectivelyquantified)审计师希望避免抽样风险通用审计软件不实用(unavailable)容忍误差(tolerableerrorrate)不能确定41证明税收计算系统精确性