niusouti.com

内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理层提出的最好的建议是:A.取消内设的访问控制。 B.考虑使用访问控制软件。 C.考虑使用实用软件。 D.将内设访问控制的使用扩展到新的应用程序中。

题目
内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理层提出的最好的建议是:

A.取消内设的访问控制。
B.考虑使用访问控制软件。
C.考虑使用实用软件。
D.将内设访问控制的使用扩展到新的应用程序中。
相似考题

1.根据应用环境的不同,访问控制可分为____。A.网络访问控制、主机、操作系统访问控制和应用程序访问控制B.单机访问控制、主机、操作系统访问控制和应用程序访问控制C.网络访问控制、单机访问控制和主机、操作系统访问控制D.网络访问控制。I/O设备、操作系统访问控制和应用程序访问控制

2.内部审计师定期评估控制和控制程序。下列哪项最好地描述了内部审计师认为的控制的概念?( )A.管理层采取行动管理风险,增加实现既定目标的可能性 B.控制程序应该为各级管理层所用 C.控制代表了会计师和审计师设计的确保处理的正确性的特定程序 D.管理层定期解雇没达成期望目标的员工

3.内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理当局提出的最好的建议是:A.取消内设的访问控制 B.考虑使用访问控制软件 C.考虑使用实用软件 D.将内设访问控制的使用扩展到新的应用程序中

4.审计师定期评估控制和控制程序。下列哪项最好地描述了内部审计师认为的控制的概念?A.管理层采取行动管理风险,增加实现既定目标的可能性 B.控制程序应该为各级管理层所用 C.控制代表了会计师和审计师设计的确保处理的正确性的特定程序 D.管理层定期解雇没达成期望目标的员工

更多“内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理层提出的最好的建议是:”相关问题

  • 第1题:

    关于组织的控制程序是否符合相关法律法规,下列哪项最能描述内部审计师的作用?

    A.内部审计师应向管理层提供现存的全面的有关组织控制的文件。
    B.内部审计师应实施控制程序并向管理层保证符合相关法规的要求。
    C.内部审计师应向外部审计师提供完整的全部控制文件,包括外部审计师可能在审计时需要的文件。
    D.内部审计师应向管理层保证控制程序遵守了所有相关法规。

    答案:A
    解析:
    内部审计师的角色是通过提供完整的文件和控制评估来帮助管理层;在律师的建议下,向监管者保证组织的控制程序合规是管理层的工作。内部审计师竟不能充当管理者也不能充当律师。

  • 第2题:

    审查客户端服务器环境的访问控制的IS审计师应该首先:()

    • A、评估加密技术
    • B、识别网络访问点
    • C、审查身份管理系统
    • D、审查应用程序级访问控制

    正确答案:B

  • 第3题:

    IS审计师发现数据库管理员(DBA)有生产数据的读写权限。该IS审计师应该:()

    • A、接受DBA访问为普遍做法
    • B、评估与DBA功能相关的控制
    • C、建议立即撤销DBA对生产数据的访问权限
    • D、审查DBA批准的用户访问权限

    正确答案:B

  • 第4题:

    在审计某全球服务商提供商期间,IS审计师发现,为了允许公司全球客户报告和跟踪问题,公司对服务台应用程序进行了配置,可通过互联网对其进行访问。客户使用共享用户ID在各分支位置通过安全套接字层(SSL)进行连接,其访问权限限制为仅允许创建和查看服务申请。不需要定期更改密码,并且供应商未对应用程序执行安全测试。该IS审计师应该建议以下哪个选项?()

    • A、需要定期更改密码
    • B、为所有用户分配个人ID
    • C、不需要进行任何更改;应用程序自身已足够安全
    • D、应从互联网删除该应用程序

    正确答案:B

  • 第5题:

    某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()

    • A、与数据库管理员讨论密码清除程序
    • B、审查访问控制软件,以确定是否实施了最新版本
    • C、检查电脑日志,了解访问尝试
    • D、核对当前工资单与数据库访问列表

    正确答案:D

  • 第6题:

    内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理层提出的最好的建议是:()

    • A、取消内设的访问控制
    • B、考虑使用访问控制软件
    • C、考虑使用实用软件
    • D、将内设访问控制的使用扩展到新的应用程序中

    正确答案:B

  • 第7题:

    一个信息系统审计师得知IT部门正在考虑一项计划,将遍布世界各地的办事处使用的应用程序从集中式用户访问管理切换到分布式管理。所有的应用程序集中在总公司的数据中心。根据新的计划,每个国家都将有一个本地管理员负责管理和维护本地用户访问。信息审计师应该就此计划相关的风险提出怎样的建议?()

    • A、这个计划是不能接受的,因为增加了未经授权的用户访问的风险
    • B、这个计划是可以接受的,只要所有用户访问是由总公司的高级管理层批准
    • C、这个计划是不能接受的,因为本地管理员可能缺乏相应的安全技能或培训
    • D、这个计划是可以接受的,只要有适当的监督控制和充分的用户访问权限级别批准

    正确答案:D

  • 第8题:

    单选题
    审查客户端服务器环境的访问控制的IS审计师应该首先:()
    A

    评估加密技术

    B

    识别网络访问点

    C

    审查身份管理系统

    D

    审查应用程序级访问控制


    正确答案: D
    解析: 通常,客户端服务器环境包含多个访问控制点并利用分布式技术,增加了未授权访问数据和处理的风险。为了评估客户端服务器环境的安全性,所有网络访问点都应加以识别。在审查的稍后阶段,将进行评估加密技术、查看身份管理系统和审查应用程序级访问控制。

  • 第9题:

    单选题
    某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()
    A

    与数据库管理员讨论密码清除程序

    B

    审查访问控制软件,以确定是否实施了最新版本

    C

    检查电脑日志,了解访问尝试

    D

    核对当前工资单与数据库访问列表


    正确答案: D
    解析: 暂无解析

  • 第10题:

    单选题
    关于通过内部的“用户对数据”访问控制程序所保护的计算机联机系统的数据安全性,下列陈述中哪一条最准确?()
    A

    对数据的访问是通过限制特定的应用程序只能访问特定的文件来控制的。

    B

    对数据的访问是通过限制特定的终端只能调用特定的应用程序来控制的。

    C

    数据的安全决定于对用户身份的识别和认证的控制。

    D

    使用用户对数据访问控制软件,将消除所有的重大控制薄弱环节。


    正确答案: B
    解析: 本题考查的知识点是实施审计业务以确保关键风险和控制得到识别 。A.不正确。通过限制应用程序或终端对数据的访问能力虽然也是一种访问控制,但其控制程度不能涵盖“用户对数据”的访问控制,如当一个应用程序由多个用户使用时,就无法细分不同用户对对数据的不同权限。B.不正确。同A。C.正确。只有“数据的安全决定于对用户身份的识别和认证的控制”这一陈述无懈可击。D.不正确。使用用户对数据访问控制软件,不能排除如数据处理和输出过程中存在重大弱点的可能性。

  • 第11题:

    单选题
    一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()
    A

    审查访问控制特权授权过程

    B

    实施身份管理系统(IMS)

    C

    改进对敏感客户数据更改进行审计的流程

    D

    仅将火警账户授予经理


    正确答案: A
    解析:

  • 第12题:

    单选题
    在审计某全球服务商提供商期间,IS审计师发现,为了允许公司全球客户报告和跟踪问题,公司对服务台应用程序进行了配置,可通过互联网对其进行访问。客户使用共享用户ID在各分支位置通过安全套接字层(SSL)进行连接,其访问权限限制为仅允许创建和查看服务申请。不需要定期更改密码,并且供应商未对应用程序执行安全测试。该IS审计师应该建议以下哪个选项?()
    A

    需要定期更改密码

    B

    为所有用户分配个人ID

    C

    不需要进行任何更改;应用程序自身已足够安全

    D

    应从互联网删除该应用程序


    正确答案: C
    解析: A.需要定期更改密码 B.为所有用户分配个人ID C.不需要进行任何更改;应用程序自身已足够安全 D.应从互联网删除该应用程序

  • 第13题:

    审查应付账款系统的IS审计师发现没人审查审计日志。向管理人员提出此问题时,得到的回应是因为有效的系统访问控制已就位,因此没有必要进行额外的控制。该审计师能做出的最佳回应是:()

    • A、审查系统访问控制的完整性
    • B、接受管理人员有关有效访问控制已就位的声明
    • C、强调具备系统控制框架的重要性
    • D、审查负责应对账款人员的背景调查

    正确答案:C

  • 第14题:

    审查完业务流程后,某大型组织正基于语音IP (VoIP)技术部署新的Web应用程序。要实施便于该VoIP Web应用程序安全管理的访问控制,以下哪项是最合适的方法?()

    • A、细化访问控制
    • B、基于角色的访问控制(RBAC)
    • C、访问控制列表
    • D、网络/服务访问控制

    正确答案:B

  • 第15题:

    IS审计师对于应用程序控制进行审查,应该评价()。

    • A、应用程序对于业务流程的的效率
    • B、发现的隐患exposures的影响
    • C、应用程序服务的业务
    • D、应用程序的优化.

    正确答案:B

  • 第16题:

    IS审计师审查机构的数据文件控制程序,发现应用于最新的文件,而重启程序恢复以前的版本。IS审计师应该建议实施以下()。

    • A、保留源文件
    • B、数据文件安全
    • C、版本使用控制
    • D、一对一地检测

    正确答案:C

  • 第17题:

    关于通过内部的“用户对数据”访问控制程序所保护的计算机联机系统的数据安全性。下列陈述中那一条最准确?()

    • A、对数据的访问是通过限制特定的应用程序只能访问特定的文件来控制的。
    • B、对数据的访问是通过限制特定的终端只能调用特定的应用程序来控制的。
    • C、数据的安全决定于对用户身份的识别和认证的控制。
    • D、使用用户对数据访问控制软件,将消除所有的重大控制薄弱环节。

    正确答案:C

  • 第18题:

    内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理当局提出的最好的建议是:()

    • A、取消内设的访问控制。
    • B、考虑使用访问控制软件。
    • C、考虑使用实用软件。
    • D、将内设访问控制的使用扩展到新的应用程序中。

    正确答案:B

  • 第19题:

    一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()

    • A、审查访问控制特权授权过程
    • B、实施身份管理系统(IMS)
    • C、改进对敏感客户数据更改进行审计的流程
    • D、仅将火警账户授予经理

    正确答案:A

  • 第20题:

    单选题
    审计委员会具有许多服务功能,其中有些有益于内部审计。那么审计委员会给内部审计师带来的最大益处是:()
    A

    保护内部审计师的独立性免受管理层的不利影响。

    B

    审查年度审计计划并监督审计结果。

    C

    批准审计计划、日程表、人员配备以及必要时与内部审计师会面。

    D

    审查抽取到的公司经营活动的内部控制程序副本并与公司领导进行讨论。


    正确答案: B
    解析: A.正确。独立性对于内部审计来说是至关重要的,审计委员会作为董事会的一个专门机构,有责任也有足够的能力保护内部审计师的独立性免受管理层的不利影响,这就是审计委员会带来的最大益处。
    B.不正确。对内部审计的审查和监督有助于提高和保证审计工作的质量,但相对而言,不如保护独立性的益处大。
    C.不正确。这些服务功能对内部审计活动也有一定益处,但不如保护独立性明显。
    D.不正确。这项功能与内部审计活动没有直接关系,因而益处也不明显。

  • 第21题:

    单选题
    审查完业务流程后,某大型组织正基于语音IP (VoIP)技术部署新的Web应用程序。要实施便于该VoIP Web应用程序安全管理的访问控制,以下哪项是最合适的方法?()
    A

    细化访问控制

    B

    基于角色的访问控制(RBAC)

    C

    访问控制列表

    D

    网络/服务访问控制


    正确答案: C
    解析: 在本实例中,通过RBAC技术可最好地解决授权问题。RBAC易于管理,并能在大型Web环境(包括VoIP实施)中执行强大而有效的访问控制。针对VoIPWeb应用程序的访问控制列表和细化访问控制并不能扩展到企业级系统,因为这两种方法主要基于个人用户身份及其特定技术权限。网络/服务访问控制可实现VoIP可用性,但不能解决应用程序级访问或授权问题。

  • 第22题:

    单选题
    关于通过用户数据的访问控制程序来保护在线计算机系统数据安全,下面()描述最准确。
    A

    通过将特定的应用限制在特定的文件,来控制对数据的访问

    B

    通过将特定的终端限制在特定的应用,来控制对数据的访问

    C

    安全取决于对用户ID和用户身份安全性的控制

    D

    使用这种类型的访问控制软件将消除任何重要的控制弱点


    正确答案: D
    解析: 用户ID和用户身份验证程序的有效管理是实施个人责任的关键,是进行用户数据授权的基础。选项A不正确,因为这是工作数据授权技术。选项B不正确,因为这是终端数据授权技术。选项D不正确,因为仅仅使用访问控制软件不会解决所有安全风险。

  • 第23题:

    单选题
    IS审计师发现数据库管理员(DBA)有生产数据的读写权限。该IS审计师应该:()
    A

    接受DBA访问为普遍做法

    B

    评估与DBA功能相关的控制

    C

    建议立即撤销DBA对生产数据的访问权限

    D

    审查DBA批准的用户访问权限


    正确答案: D
    解析: 发现潜在的风险时,寻找最好的控制是一种良好的做法,但IS审计师应该评估相关控制,DBA的访问权限应基于按须知密和按需执行的原则,因此,撤销可能会移除必要的访问权限。通常情况下,DBA可能需要某些生产数据的访问权限。授予用户权限是数据所有者的职责,与DBA无关。

相关内容