某IS审计师发现了一个针对某应用程序用户的授权过程的缺陷，他最主要的担心应该是（）。

A . 多个人获得特权 B . 不限制指派给用户的功能 C . 用户的帐号被共享 D . 用户拥有一个知必所需的特权

时间：2022-09-08 23:03:57 所属题库：注册信息安全审核员（CISA）题库

相似题目

某软件公司承接了为某工作流语言开发解释器的工作。该工作流语言由多种活动节点构成，具有类XML的语法结构。用户要求解释器工作时，对每个活动节点进行一系列的处理，包括执行活动、日志记录、调用外部应用程序等，并且要求处理过程具有可扩展能力。针对这种需求，公司采用（）最为恰当。

A . 适配器模式 B . 迭代器模式 C . 访问者模式 D . 观察者模式

查看答案
某公司一个部门的信息系统用户开发了一个批处理程序，来获得其成本中心所需要的财务数据。该程序从总账系统主文件的磁带备份中获得数据。该程序要求使用最近的磁带备份在该程序可能发生的错误中，以下哪一项是用户最可能发现的？（）

A . 使用了每月的预结账文件。 B . 作业没有成功完成。 C . 使用了错误的程序版本。 D . 小程序中包含错误的处理逻辑.

查看答案
IS审计师对软件使用和许可权进行审计，发现大量的PC安装了未授权的软件。IS审计师应该采取下面哪种行为（）。

A . 个人擅自删除所有未授权软件拷贝 B . 通知被审计人员非授权软件的情况，并确认删除 C . 报告使用未经授权软体的情况，并需要管理层避免这种情况重复发生 D . 不采取任何行动，因为这是一个公认的惯例和做法，业务管理部门负责监督这种使用

查看答案
在实施审计程序过程中，注册会计师发现长江公司财务经理贪污8万元。针对该事项，注册会计师的做法不恰当的是 ( )。

A . 重新评估舞弊导致的重大错报风险，并考虑重新评估的结果对审计程序的性质、时间和范围的影响 B . 重新考虑此前获取的审计证据的可靠性 C . 尽早向长江公司治理层报告 D . 直接向监管机构报告

查看答案
作为信息系统审计师你在一次内审过程中，发现生产中心的数据库安全了一个新的补丁程序，但是灾备中心的数据库没有安装这个补丁程序，下一步最适合的行动是（）。

A . 记录这个事件 B . 向业务连续经理报告 C . 告知相关人员安装补丁 D . 通知相关人员并询问原因

查看答案
某内部审计部门采用整体测试技术来测试其工资处理系统。审计部门确定了计算机程序内关键的控制和处理步骤，并开发测试数据来测试它们。部门提交了全面的测试交易，假设内部审计师在测试结果中没有发现任何差异，审计师可以得出结论：（）

A . 所有员工全面薪金支付都是正确的，工资被正确的计算。 B . 系统适当的记录了全年工作时间，并将数据提交给工资部门，进行了正确的处理。 C . 计算机应用软件和其他控制程序在过去一年中正确的处理了薪酬交易。 D . 以上全部。

查看答案
在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改以外解决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题（）

A . SSH B . HTTP C . FTP D . SMTP

查看答案
某公司对一些经常应用的数据进行了快照复制（snapshotcopies），将它们放置在服务器上可以获取的文件中。经授权的用户可以将数据下载。这种提供数据访问权的风险是：（）

A . 数据复制品可能无法实现同步： B . 零散数据可能缺乏完整性； C . 数据交易的进行可能欠成熟； D . 数据的时效性可能没有得到维护。

查看答案
IS审计师检查指纹识别系统时，发现一个控制漏洞---1个非授权用户可以更新保存指纹模板的中心数据库。下面的哪一种控制能够根除这个风险（）。

A . Kerberos B . 活性检查 C . 多种生物特征并用 D . 生物特征数字化前后均作记录

查看答案
某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应用即将投入运行时，以下哪一项可以为公司资产的保护提供最合理的保证（）。

A . 由内部审计人员进行一次审核 B . 由指定的IS审计人员进行一次审查 C . 由用户规定审核的深度和内容 D . 由另一个同等资历的IS审计人员进行一次独立的审查

查看答案
EAD安全接入四步曲分别是：身份认证、安全检查、动态授权和实时监控。其中实时监控功能确保了用户在线过程中仍然符合安全策略的要求。假设某用户关联的安全策略中配置了禁止运行某非法软件，安全级别中可控软件组检查采用隔离模式，并且该用户上线时已经成功通过所有安全检查项。关于实时监控功能以下说法错误的是（）。

A . 实时监控功能缺省不启用，需要手工启用 B . 当发现用户在线过程中运行了非法软件，则会实时地将用户隔离 C . 如果用户在线，并且已经被隔离的情况下，这之后用户又关闭了非法软件修复了所有的安全隐患，则会被自动地实时解除隔离 D . 实时监控功能依赖于EAD心跳报文，客户端通过EAD心跳将终端的安全状态实时地上报给服务器

查看答案
在用户完成了验收程序后，IS审计师正在对应用系统进行审计，下面哪一项是IS审计师最关注的（）。

A . 判断是否测试目标被文档记录 B . 评估是否用户记录了预计的测试结果 C . 审查是否已完成测试问题记录 D . 审查是否存在尚未解决的问题

查看答案
在一台重要的服务器中，IS审计师发现了由已知病毒程序产生的木马程序，这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么（）。

A . 调查病毒的作者. B . 分析操作系统日志 C . 确保恶意代码已被清除 D . 安装消除弱点vulnerability的补丁.

查看答案
某政府承包商的审计师发现了舞弊行为。该公司有专门负责调查舞弊的部门。审计师与高层管理人员和舞弊专门调查部门进行了沟通，此后调查工作就转给了该部门。但是，一个月以后，审计师发现，市场管理人员已明显指示调查部门停止调查。面对此情况，审计师应该（）

A . 马上将该情况和审计发现向合适的政府监管机构报告，因为审计师不能明知故犯，成为非法行为的同伙； B . 马上将该情况和审计发现向审计委员会报告； C . 将审计发现向外部审计师报告，因为外部审计师应该了解已经发生的舞弊行为； D . 不再采取进一步的行动。舞弊行为的性质已向公司内部的恰当主管部门报告，而且审计师无权进一步开展调查工作。

查看答案
识别风险点、非风险点、敏感点和权衡点是软件架构评估过程中的关键步骤。针对某系统所作的架构设计中，“系统需要支持的最大并发用户数量直接影响传输协议和数据格式”描述了系统架构设计中的一个（1）：“由于系统的业务逻辑目前尚不清楚，因此现有系统三层架构中的第2层可能会出现功能重复，这会影响系统的可修改性”描述了系统架构设计中的一个（2）。空白（2）处应选择（）

A . A.敏感点 B . 风险点 C . 非风险点 D . 权衡点

查看答案
IS审计师审查对于应用程序的访问，以确定最近的10个"新用户"是否被争取的授权，这个例子是关于（）。

A . 变量抽芽 B . 实质性测试 C . 符合性测试 D . 停-走抽样.

查看答案
在实施对于多用户分布式应用程序的审核时，IS审计师发现在三个方面存在小的弱点（）。初始参数设置不当，正在适用的弱密码，一些关键报告没有被很好的检查。当准备审计报告时，IS审计师应该（）。

A . 分别记录对于每个发现产生的相关影响。 B . 建议经理关于可能的风险不记录这些发现，因为控制弱点很小 C . 记录发现的结果和由于综合缺陷引发的风险 D . 报告部门领导重视每一个发现并在报告中适当的记录

查看答案
在对IT程序的安全性审计过程中，IS审计师发现没有文件记录安全程序，该审计员应该（）。

A . 建立程序文件 B . 终止审计 C . 进行一致性测试 D . 鉴定和评估现行做法

查看答案
授权通常由一个系统体系结构组成，将每一个硬件资源以及文件、数据库、应用程序和可以访问某用户或用户群的关系保存一张表，采用集中式目录管理方式，以（1）为基础，就（2）什么人访问和（3）什么人访问制定的一个严格的（4）。

查看答案
为了降低处理的支付小额采购的成本，某公司发行信用卡，供选定雇员采购小额易耗商品和服务之用。某内部审计师测试了针对信用卡应用的控制措施，并整理了他所观察到的以下情况：

Ⅰ、内部审计师所测试的30笔交易中有4笔似乎代表采购一台个人电脑的单项交易，这4笔交易的总开支超过1950美元； Ⅱ、公司政策规定，信用卡的应用仅限于单笔不超过500美元的交易； Ⅲ、内部审计师与信用卡提供商客户代表的面谈表明，该信用卡系统没有用以确认和报告分散采购交易的内置自动化控制特征，但公司信用卡系统没有激活此特征； Ⅳ、通过分散采购购置的个人电脑没有放入公司的固定资产设备管理系统，理由是该电脑不是通过公司的正常固定资产采购系统购置。因此，该电脑既不进行折旧，也没有投保防盗险；以上哪种说法代表了审计观察的效果？ A.只有Ⅱ代表了审计观察的效果； B.只有Ⅰ代表了审计观察的效果； C.只有Ⅲ代表了审计观察的效果； D.只有Ⅳ代表了审计观察的效果。

查看答案
某IS审计师在分析数据库管理系统（DBMS）的审计日志时发现，由于存在某个错误，有些交易仅被部分执行，并且没有进行回滚。这违反了下面哪项交易处理特性（）

A．一致性 B．隔离性 C．持久性 D．原子性

查看答案
某内部审计师通过询问得出的口头证明是公司的某程序没有得到执行，进而内部审计师发现了一些证明该程序没有执行的文件，则这些文件属于（）

A．附属证据 B．佐证证据 C．间接证据 D．主观证据

查看答案
在对某面向互联网提供服务的某应用服务器的安全检测中发现，服务器上开放了以下几个应用，除了一个应用外其他应用都存在明文传输信息的安全问题，作为一名检测人员，你需要告诉用户对应用进行安全整改，以解决明文传输数据的问题，以下哪个应用已经解决了明文传输数据问题（）

A．SSH B．HTTP C．TP D．SMTP

查看答案
某组织的计算机安全事故应对团队（CSIRT）针对最近出现的威胁公布了详细的说明。信息系统审计师最担心用户可能会（）

A．使用此信息发动攻击 B．转发安全警报 C．实施各自的解决方案 D．无法真正地了解威胁

查看答案

推荐题目