第1题:
第2题:
审查客户端服务器环境的访问控制的IS审计师应该首先:()
第3题:
IS审计师发现数据库管理员(DBA)有生产数据的读写权限。该IS审计师应该:()
第4题:
在审计某全球服务商提供商期间,IS审计师发现,为了允许公司全球客户报告和跟踪问题,公司对服务台应用程序进行了配置,可通过互联网对其进行访问。客户使用共享用户ID在各分支位置通过安全套接字层(SSL)进行连接,其访问权限限制为仅允许创建和查看服务申请。不需要定期更改密码,并且供应商未对应用程序执行安全测试。该IS审计师应该建议以下哪个选项?()
第5题:
某公司的内部审计师正审核对公司网络访问的控制是否能确保离职员工不能继续访问公司网络。此测试的最佳方法是()
第6题:
内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理层提出的最好的建议是:()
第7题:
一个信息系统审计师得知IT部门正在考虑一项计划,将遍布世界各地的办事处使用的应用程序从集中式用户访问管理切换到分布式管理。所有的应用程序集中在总公司的数据中心。根据新的计划,每个国家都将有一个本地管理员负责管理和维护本地用户访问。信息审计师应该就此计划相关的风险提出怎样的建议?()
第8题:
评估加密技术
识别网络访问点
审查身份管理系统
审查应用程序级访问控制
第9题:
与数据库管理员讨论密码清除程序
审查访问控制软件,以确定是否实施了最新版本
检查电脑日志,了解访问尝试
核对当前工资单与数据库访问列表
第10题:
对数据的访问是通过限制特定的应用程序只能访问特定的文件来控制的。
对数据的访问是通过限制特定的终端只能调用特定的应用程序来控制的。
数据的安全决定于对用户身份的识别和认证的控制。
使用用户对数据访问控制软件,将消除所有的重大控制薄弱环节。
第11题:
审查访问控制特权授权过程
实施身份管理系统(IMS)
改进对敏感客户数据更改进行审计的流程
仅将火警账户授予经理
第12题:
需要定期更改密码
为所有用户分配个人ID
不需要进行任何更改;应用程序自身已足够安全
应从互联网删除该应用程序
第13题:
审查应付账款系统的IS审计师发现没人审查审计日志。向管理人员提出此问题时,得到的回应是因为有效的系统访问控制已就位,因此没有必要进行额外的控制。该审计师能做出的最佳回应是:()
第14题:
审查完业务流程后,某大型组织正基于语音IP (VoIP)技术部署新的Web应用程序。要实施便于该VoIP Web应用程序安全管理的访问控制,以下哪项是最合适的方法?()
第15题:
IS审计师对于应用程序控制进行审查,应该评价()。
第16题:
IS审计师审查机构的数据文件控制程序,发现应用于最新的文件,而重启程序恢复以前的版本。IS审计师应该建议实施以下()。
第17题:
关于通过内部的“用户对数据”访问控制程序所保护的计算机联机系统的数据安全性。下列陈述中那一条最准确?()
第18题:
内部审计师对公司各项计算机应用程序的访问安全控制进行审查。他发现每项应用中都编制了访问控制程序,那么应向管理当局提出的最好的建议是:()
第19题:
一位保险公司的IT主管邀请一名外部审计师评估应急访问用户ID(火警ID)。IS审计师发现在授予火警账户时未事先定义到期日期。该IS审计师应该建议以下哪个选项?()
第20题:
保护内部审计师的独立性免受管理层的不利影响。
审查年度审计计划并监督审计结果。
批准审计计划、日程表、人员配备以及必要时与内部审计师会面。
审查抽取到的公司经营活动的内部控制程序副本并与公司领导进行讨论。
第21题:
细化访问控制
基于角色的访问控制(RBAC)
访问控制列表
网络/服务访问控制
第22题:
通过将特定的应用限制在特定的文件,来控制对数据的访问
通过将特定的终端限制在特定的应用,来控制对数据的访问
安全取决于对用户ID和用户身份安全性的控制
使用这种类型的访问控制软件将消除任何重要的控制弱点
第23题:
接受DBA访问为普遍做法
评估与DBA功能相关的控制
建议立即撤销DBA对生产数据的访问权限
审查DBA批准的用户访问权限