注册信息安全专业人员真题精选.docx
《注册信息安全专业人员真题精选.docx》由会员分享,可在线阅读,更多相关《注册信息安全专业人员真题精选.docx(37页珍藏版)》请在冰点文库上搜索。
注册信息安全专业人员真题精选
[单项选择题]
1、下列哪种控制可以对数据完整性提供最大的保证()。
A.审计日志程序
B.表链接/引用检查
C.查询/表访问时间检查
D.回滚与前滚数据库特性
参考答案:
B
[单项选择题]
2、在审查信息系统短期(战术性)计划时,一个信息系统审计师应该确定是否()。
A.计划中包含了信息系统和业务员工
B.明确定义了信息系统的任务与远景
C.有一套战略性的信息技术计划方法
D.该计划将企业目标与信息系统目标联系起来
参考答案:
A
[单项选择题]
3、以下哪一项是防止未经授权使用数据的最有效的方法()。
A.自动的文件入口
B.磁带库
C.访问控制软件
D.数据库锁定
参考答案:
C
[单项选择题]
4、组织有完整的开发环境(IDE),所有程序库都存放在服务器上,但是更新/开发和测试都是在PC工作站中完成。
以下哪项将在IDE中得到加强()。
A.对程序版本进行控制。
B.提高程序资源和工具的可用性。
C.提高程序和处理的完整性。
D.防止有效的变更被其它的变更所覆盖。
参考答案:
B[单项选择题]
5、一个IS审计师被分配去执行一项测试:
比较计算机作业运行日志与作业计划表。
下面哪一条是IS审计师最需要关注的?
()
A.有越来越多的紧急变更
B.存在某些作业没有按时完成的情况
C.存在某些作业被计算机使用者否决的情况
D.证据显示仅仅运行了预先计划的作业
参考答案:
C
参考解析:
被计算机使用者否决掉的计算机处理工作可能会导致未经审批的、针对数据或程序的变更,这是一个控制上的考虑,因此,通常非常关键。
其他的选项都是非关键的,因此诸如处理延迟、错误甚至于紧急变更都是可以接受的,只要这些行为被正确的记录。
点评:
否决业务不是IT人员的应该做的
[单项选择题]
6、一家金融服务公司拥有一个独立代理用来管理客户账户的网站。
在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。
此时,IS审计师最适合采取以下哪项行动:
()
A.通知审计委员会存在潜在问题
B.要求详细审查相关ID的审计日志
C.记录结果并对使用共享ID的风险作出解释
D.联系安全经理,要求从系统中删除这些ID
参考答案:
C
参考解析:
IS审计师的职责是:
检测并记录审计结果以及控制缺陷问题。
审计报告的作用则是,揭示结果背后的论据,不建议使用共享ID,因此此做法无法明确交易问责性。
IS审计师并没有因使用共享ID而侵害隐私的证据。
因此,在向管理层提交审计结果并要求恢复之前,IS审计事项审计委员会报告结果的举动是不恰当的。
由于共享ID无法明确交易问责性,所以监察审计日志也没有用。
要求从系统中删除ID也不是IS审计师的工作。
点评:
审计师发现问题后,要什么——“记录证据,提示风险”
[单项选择题]
7、管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告,因为没有可用的其他高级IS审计师来检查其工作报告。
这种情况最主要的风险是?
()
A.由于审计没有按照标准执行而造成声誉损失
B.审计报告不能识别和分类关键风险
C.客户管理者会质疑其结果
D.审计报告可能不会被审计经理所批准
参考答案:
A
参考解析:
ISACA审计标准S6(审计工作执行),子标准03(监督)规定“IS审计职员应当被监督以提供实现审计目标和满足专业审计标准的保证”。
如果一个审计师在没有检查或监督的情况下完成整个审计,包括审计报告,这就没有满足监督的标准。
违反审计标准会造成审计组织损失可信性,并面临法律责任风险以及失去其资格与执照的风险。
如果审计师的工作没有被检查,其报告可能不能够成功识别和分类关键风险,这些风险可能会被一个更有经验的审计师通过检查发现,然而,这种风险与声誉、可信性、资格/执照损失相比是次要的。
如果该高级审计师错误的分类一些风险,客户经理可能会质疑其审计结果里管理层认为不重要的风险。
然而,该风险与没有遵守标准相比而言是次要的。
审计经理经过检查,可能会发现在提交给管理层之前需要对报告进行修改。
由于这是一个有正当理由的风险,因此在该场景中不是主要风险。
点评:
审计组织的声誉损失最大,否则无法信任审计工作的成果。
[单项选择题]
8、在审计一个会计应用系统的内部数据完整性控制时,IS审计师发现支持该会计系统的变更管理软件中存在重大不足。
审计师应采取的最合适的行为是:
()
A.继续测试会计应用系统控制,口头通知IT经理有关变更管理软件中的控制缺陷以及就可能的解决方案提供咨询
B.完成应用程序控制的审核,但是并不报告变更管理软件中的控制缺陷,因为它不属于审核范围
C.继续完成会计应用系统的测试,并且在最终的报告中加入变更软件中的控制缺陷
D.停止所有的审计活动,一直到变更控制软件中的控制缺陷被解决为止
参考答案:
C
参考解析:
报告所发现的、可能会对有效控制造成中的影响的资料是审计师的责任,不管这些(内容)是否在审计范围内。
审计师并不假定IT经理会跟进解决变更管理控制缺陷,并且在审计过程中就发现的问题提供咨询服务是不恰当的。
虽然技术上不属于审计范围之内,审计师有责任汇报在审计期间发现可能对控制的有效性造成重大影响的发现。
要求在执行或者完成一个审计之前,完成IT工作不是审计师的责任。
点评:
在完成本职工作的前提下,将额外的“收获”写入报告。
[单项选择题]
9、在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。
该审计师应该:
()
A.生成该程序的文档
B.中止审计
C.进行符合性测试
D.识别并评估目前状况下的组织活动
参考答案:
D
参考解析:
审计的一个主要目标是要识别潜在的风险,因此,最主动的方式是识别并评估目前状况下组织的安全活动。
信息系统审计师不应该生成和准备这些文档,因为这会损害审计师的独立性。
中止审计便无法实现识别潜在风险这一基本审计目标。
因为连正式成文的程序文档都不存在,因此实施符合性测试是没有依据的。
点评:
发现控制缺陷—深入调研—风险评估—报告。
[单项选择题]
10、审计章程应该是:
()
A.动态且经常变更,与技术和审计专业的变化本质保持同步和一致
B.清晰地说明审计目标、审计的委托关系,以及维护和审查内部控制中的授权职责
C.为了取得计划的审计目标而制定的审计程序的文件
D.对审计工作的整体授权、范围、职责的描述
参考答案:
D
参考解析:
审计章程应该说明管理层对于信息系统审计的委托授权及目标定位情况。
审计章程应该获得最高管理层的审批,切不应该不停地改变。
审计章程不应该过于细致,通常通常不包含详细具体的审计目标或审计程序。
点评:
审计章程(D)、审计委托书(B)的概念。
[单项选择题]
11、信息系统审计师被指派对一个应用系统进行实施后的审计。
以下哪种情形可能影响信息系统审计师独立性?
()
A.在应用系统的开发阶段执行特定的需求功能。
B.为了审计该应用系统而设计一个嵌入式的审计模块。
C.作为应用系统项目团队的一员,但不承担运行职能。
D.根据应用系统的最佳实践提供咨询和建议。
参考答案:
A
参考解析:
信息系统审计师参与到系统的开发、获取和实施活动中,独立性就可能受损。
选项BC不会损害审计师的独立性。
选项
D.不正确,因为以最佳实践提供咨询建议是不会损害审计师的独立性的。
点评:
动脑子的活最影响独立性。
[单项选择题]
12、初步调查之后,审计员发现有理由相信欺骗的存在。
IS审计员应该:
()
A.展开行动确定调查是否合理
B.将事情报告至审计委员会
C.将欺骗可能性报告给高层,高层管理询问是否继续
D.咨询外部法律顾问以决定采取什么及如何行动
参考答案:
A
参考解析:
IS审计师在检测欺骗方面的责任包括评估欺骗迹象并决定是否有必要采取额外的行动或应该建议调查。
IS审计师只有当确定欺骗证据确凿而建议调查时才会通知组织内适当的权威。
通常,IS审计师在审计中没有权利咨询外部法律顾问。
点评:
发现控制缺陷—深入调研—风险评估—报告。
[单项选择题]
13、审计员在审计时检测到有计算机病毒存在,下一步审计员该如何做?
()
A.观察相应机制
B.从网络里清除病毒
C.立即通知相关人员
D.确保删除病毒
参考答案:
C
参考解析:
IS审计员在检测到计算机病毒后要做的第一件事就是提醒组织病毒的存在,然后看他们的响应。
A选项应该是在C选项发生之后。
这样能使IS审计师去检查实际的响应机制可实用性和有效性。
IS审计员不应该对被审计的系统做更改;确保病毒被删除属于管理责任。
点评:
发现了紧急状况,应及时报告。
[单项选择题]
14、IS审计师在发布的审计报告中指出边界网络网关没有防火墙保护机制,并建议使用某供应商的产品来应对这个脆弱性。
这里审计师的错误表现在?
()
A.职业独立
B.组织独立性
C.技术能力
D.职业技能
参考答案:
A
参考解析:
当IS审计师推荐某一供应商时,他违背了职业独立性。
组织独立性跟审计内容是不相关的,且应该在接受审计任命时考虑。
技术与职业能力跟独立性要求也不相关。
点评:
组织独立性和职业独立性的概念。
[单项选择题]
15、一位IS审计师正在执行合规性测试,以确定控制是否支持管理政策和流程。
测试在以下哪个方面对IS审计师有所帮助:
()
A.获得对控制目标的了解
B.保证运行中的控制与设计要求一致
C.确定数据控制的完整性
D.确定财务报告控制的合理性
参考答案:
B
参考解析:
合规性测试可用于监测已定义流程的存在性和有效性。
了解合规性测试的目标非常重要。
IS审计师希望其所依赖的控制之有效性具有合理的保障。
了解控制目标是很关键,但这并非执行合规性测试的原因。
实质性测试(而非合规性测试)于数据完整性和财务报告相关。
点评:
符合性测试判断控制的有无。
[单项选择题]
16、如果IS审计师与部门经理对审计结果存在争议,争议期间审计师应首先采取以下哪项行动()
A.对控制进行重新测试,以验证审计结果
B.邀请第三方对审计结果进行验证
C.将审计结果记入报告,同时注明部门经理的意见
D.对支持审计结果的证据进行重新验证
参考答案:
D
参考解析:
IS审计师得出的结论应有充分的证据支持,同时也要考虑部门经理提出的补偿性控制或纠正措施。
因此,首先要做的应该是对审计结果的证据进行重新验证。
对控制进行重新测试通常排在重新验证证据之后。
尽管有时也需要第三方执行特定的审计程序,但IS审计师还是应该首先验证支持证据,已确定是否需要第三方的参与。
再重新验证和重新测试之后,如果仍有争议,应将这些问题纳入报告。
点评:
职业审慎,存在争议时,先自省,而后升级问题。
[单项选择题]
17、以下哪一项最适当的描述了IS审计师和被审计单位就审计发现进行讨论的目的?
()
A.把审计结果告知高层管理人员
B.为所提的建议制定出实施时间表
C.确认审计发现,并制定纠正措施的实施计划
D.为识别的风险确定补偿控制
参考答案:
C
参考解析:
在把审计结果传达给最高管理层之前,IS审计师要和被审计单位讨论审计发现。
讨论的目的是为了确认审计发现的准确性,并制定一个纠正措施的实施计划。
基于这个讨论,审计师最终完成审计报告并提交给相应级别的高级管理层。
在和高级管理层人员和被审计单位的讨论的基础上,审计师可同意针对所提建议制定一个实施计划和时间表。
在报告起草阶段,很少与受审方讨论来确定补偿性控制。
点评:
与被审人员讨论审计发现的目的:
1、认账;
2、开药。
[单项选择题]
18、在审查一个分布式多用户应用系统时,信息系统审计师发现了三方面的一些小缺陷:
参数的初始设置配置不正确,使用了弱密码,一些重要的报告没有给恰当的检查。
在准备审计报告时,信息系统审计师将:
()
A.分别记录各个审计发现,以及针对每种审计发现所产生的影响
B.向管理者建议可能存在的风险,但不记录相关的审计发现,因为这些控制缺陷是次要的
C.记录审计发现以及这些控制缺陷聚合所产生的风险
D.通报部门主管对每个审计发现进行关注,并在报告中进行适当记录
参考答案:
C
参考解析:
对于每一个来说,控制缺陷是较小的,但是他们结合起来可能会对整体控制架构产生巨大的潜在影响。
选项A和D反映出信息系统审计师未能识别弱点的整体影响。
向当事管理者进行建议但不报告相关实事和发现将会对其他股东造成真相的隐瞒。
点评:
考虑风险的汇集,积水成渊。
[单项选择题]
19、完成评审之前跟被审计单位开会的主要目的是:
()
A.确认审计员没有忽略任何重要的议题
B.获取对审计结果的一致意见
C.接受关于审计规程充分性的反馈
D.测试最终报告
参考答案:
B
参考解析:
完成评审之前跟被审计单位开会的主要目的是获取对审计结果的一致意见。
其他的的选项虽然都与正式完成审计工作相关但是都是次要的。
点评:
讨论审计发现的首要目的是确认。
[单项选择题]
20、要确定向供应商发出的采购订单是否已根据授权矩阵取得授权,以下哪种抽样方法最有效()
A.变量抽样
B.分层单位平均评估抽样
C.属性抽样
D.不分层单位平均估计抽样
参考答案:
C
参考解析:
属性抽样是合规性测试中使用的方法。
在这种场景下,须对控制实务进行评估,因此应采用属性抽样来确定采购订单是否已获批准。
实质性测试中则采用变量抽样方法,它涉及交易定量方面(如资金价值)的测试。
分层单位平均评估抽样和不分层单位平均估计抽样则是在变量抽样中使用。
点评:
控制是否有效—符合性测试—属性抽样。
[单项选择题]
21、内部审计小组对销售回报率的控制进行审计,并考察是否存在欺诈问题。
以下那种抽样方法对审计师最有帮助()
A.停-走抽样法
B.经典变量抽样法
C.发现抽样法
D.概率比例规模抽样法
参考答案:
C
参考解析:
审计师在尝试确定是否发生过某类事件时使用发现抽样法,因此,这种方法适合评估欺诈风险,确定其是否曾经发生过。
停止或继续的抽样发则有助于限制样本大小,可让测试尽早停止。
经典变量抽样发则与资金额有关。
概率比例规模抽样法常与样本中有分组情况的整群抽样有关。
该问题并不表示IS审计师在寻找欺诈的标准。
点评:
欺诈问题——发现抽样。
更多内容请访问《睦霖题库》微信公众号
[单项选择题]
22、信息系统审计师正在审查对应用的访问控制,以确定10个最新的用户账号是否被适当的授权。
这是一个属于以下哪个方面的例子?
()
A.变量抽样
B.实质性测试
C.符合性测试
D.停走抽样
参考答案:
C
参考解析:
符合性测试是用来判断在政策程序的符合性上,控制是否被有效的执行。
这包括判断新账户是否被适当授权的测试。
变量抽样被用于估计量化的值(如美元金额)。
实质性测试用于证实实际处理流程的完整性(如财务、资产平衡表)。
实质性测试的开展总是基于符合性测试的结果。
如果符合性测试标明内部控制措施是足够的,那么可以相应减少实质性测试。
停走抽样可以最可能早的停止抽样测试,所以在检查程序控制是否被完全遵循方面是不合适的。
点评:
授权—控制有效性—符合性测试—属性抽样。
[单项选择题]
23、在判断是否有未授权的对生产程序的修改时,IS审计师可以使用以下哪一项?
()
A.系统日志分析
B.合规性测试
C.司法分析
D.分析审评
参考答案:
B
参考解析:
判断对生产系统的修改都经过了授权需要评审变更管理流程来评估记录证据的痕迹。
合规性测试应该有助于验证是否一贯遵守变更管理流程。
系统日志分子不太可能提供关于程序变更的信息。
司法分析是一项专业犯罪调查的技术。
分析评审评估常规组织的环境控制。
点评:
授权—控制有效性—符合性测试—属性抽样。
[单项选择题]
24、以下哪项在实施信息系统审计计划时是最重要的?
()
A.查阅以前审计的审计发现
B.设计一个对数据中心设施物理安全的审计计划
C.查阅信息系统政策和程序
D.进行风险评估
参考答案:
D
参考解析:
在全部所列的步骤当中,执行风险评估是最重要的。
风险评估是
ISACA.协会的S11条(在审计计划中适用风险评估)审计标准所要求的。
除了标准要求外,如果不实施风险评估,被审计机构的系统或运行中高风险的领域就可能没有被识别和评估,审计发现风险(错误没有被审计师发现的风险)就增加了。
查阅以前审计的审计发现是审计过程中的必要部分,但没有风险评估那么重要。
对数据中心设施的物理安全审计是重要的,但是同样没有风险评估重要。
查阅信息系统政策和程序一般在现场审计实施中展开,不属于审计计划阶段。
点评:
基于风险的审计,风险评估用来分配有限的审计资源。
[单项选择题]
25、为了确保审计资源给组织带来了最大的价值,通常的第一步是:
()
A.计划审计项目,并对每个审计项目的时间安排进行监督
B.向信息系统审计师培训有关组织正在使用的最新技术
C.在详细风险评估的基础上开展审计计划
D.审计监督程序,并采取成本控制措施
参考答案:
C
参考解析:
监控时间(选项A)和审计程序(选项D),以及充分的培训(选项B)将有助于提供信息系统审计师的生产率(效率与技能),但是针对高风险领域所投入的资源和花费才能给组织带来最大化的价值。
点评:
审计资源(审计师的工时)优化——风险评估。
[单项选择题]
26、在IS审计的计划阶段中,IS审计员是首要目标是:
()
A.处理审计目标
B.收集充分证据
C.确定合适的测试
D.最小化审计资源
参考答案:
A
参考解析:
ISACA审计标准要求IS审计师通过计划审计工作来处理审计目标。
选项B是不正确的因为审计员不在审计的计划阶段收集证据。
选择C和D都是不正确的因为他们不是审计计划中的首要目标。
B.C.D中描述的活动也都是在处理审计目标时采取的活动,因而是在选项A之后。
点评:
在计划阶段重点找到审计目标,通过风险评估等手段。
[单项选择题]
27、在IS合规性审计规划阶段,以下哪个选项是决定数据收集内容的最重要因素()
A.组织业务的复杂性
B.上一年度的审计结果和注意到的问题
C.审计的目的、目标和范围
D.审计师对组织的熟练程度
参考答案:
C
参考解析:
在IS审计期间,对数据收集内容应与审计的目的、目标和范围直接相关。
目的、目标和范围狭窄有限的审计所收集的数据很可能会比目标和范围较广的审计要少。
组织业务的复杂性、之前出现的问题以及审计师对组织的熟练程度都是在规划审计师需要考虑的因素,但不会对数据收集量的决定产生直接影响。
点评:
审计目标决定了测试、证据收集工作的范围。
[单项选择题]
28、一个IS审计师正为一个老客户制定审计计划。
该审计师检查了一上午的审计计划,并发现之前的被用来检查该该公司网络和电子邮件系统是上一年新使用的,但是该计划并没有包括对电子商务web服务器的检查。
公司的IT经理暗示今年该公司偏向集中审计新应用的企业资源计划(ERP)系统,该IS审计系统应当如何反应?
()
A.如IT经理所请求的,审计新ERP应用
B.审计电子商务服务器,因为它去年没有被审计
C.确定风险最高的系统,并基于该结果制定审计计划
D.既审计电子商务服务器也审计ERP应用
参考答案:
C
参考解析:
最好的行动方案是进行一项风险评估,并修订审计计划以涵盖高风险的领域,ISACA审计标准S11(在审计计划中应用风险评估),子标准S03规定:
“在制定整体IS审计计划以及为有效分配IS审计资源而确定优先级时,IS审计师应该采用适当的风险评估技术或方法”。
审计师不能依赖上一年的审计计划因为它可能没有被设计来反应基于风险的方法(最新的系统并不一定是具有最高风险的系统)。
审计师的ERP应该没有反应基于风险的方法因此不是正确答案。
尽管ERP系统典型的包含敏感数据并可能出现数据丢失或泄漏的风险,没有风险评估,则审计ERP系统的决定即不急于风险的决定。
由于其前一年没有被审计而审计电子商务服务器没有反应基于风险的方法,因此不是正确答案。
另外IT经理可能清楚电子商务服务器的问题并可能故意试图将审计员从更脆弱的领域引开。
尽管尽管乍一看电子商务服务器可能是风险最高的领域,也必须进行风险评估而不能依赖于审计师或IT经理的判断。
审计电子商务服务器又审计ERP应用并没反应基于风险的方法,因此这并不是正确答案。
点评:
基于风险来确定审计的目标和范围。
[单项选择题]
29、在下面哪一个管理风险的方法中,分担风险是一个关键的因素?
()
A.转移风险
B.容忍风险
C.终止风险
D.降低风险
参考答案:
A
参考解析:
转移风险(比如:
购买保险)是一个转移和分担风险的方法。
容忍风险意味着风险被接受,但是不能被转移。
终止(消除)风险不太涉及分担风险,因此某些风险仍将存在。
处理或者控制风险可能涉及分担风险,但它并不是一个关键的因素。
点评:
风险处置的4种方法。
[单项选择题]
30、信息系统审计师正在检查一个测试流程,并得出了没有发现重要错误的审计结论。
上述情形表述了哪类风险的存在?
()
A.检查风险
B.审计风险
C.控制风险
D.固有风险
参考答案:
A
参考解析:
这是一种由于使用不正当测试程序而导致不能发现所有的重大缺陷的检查风险。
审计风险是审计过程中检查风险、控制风险和固有风险的总称。
控制风险是指系统的内部控制及时地防止和发现重要错误的发生和存在。
固有风险是指在没有任何补偿控制情况下所存在的缺陷。
(一个缺陷如果和其他缺陷结合在一起,可能会形成一个重要的缺陷)。
点评:
审计风险的概念:
固有风险、控制风险、检查风险。
[单项选择题]
31、在测试程序变更控制流程时,信息系统审计师发现,变更数量过少以至于无法对审计结论提供合理的保证。
审计师最合适的行动是?
()
A.设计一个另外的测试程序
B.把该缺陷向管理层汇报
C.对整个变更管理流程进行巡视
D.生成另外的程序变更样本
参考答案:
A
参考解析:
如果样本大小规模不能代表数据的总体,审计师就不能对测试目标得出合理的结论。
在这个例子中,信息系统审计师应该设计一个另外的测试程序(需得到管理层的批准)。
选项B不正确,因为没有足够的证据来证明该发现是一个缺陷。
只有当实施了分析以证实有所需的保证后,才应该开始对流程的巡视。
对于审计目标来说,审计是自己生成额外的数据样本是不合适的。
点评:
使用多种测试方法得出审计结论。
[单项选择题]
32、在审计计划中,最重要的步骤是识别?
()
A.高风险领域
B.审计师的所需知识技能
C.审计中的