免费CISA练习测验

审计章程应:

1. 动态和变化，以配合技术和审计行业不断变化的性质.

   审计章程不应受技术变化的影响，也不应随着时间的推移而发生重大变化. 章程应经最高管理层批准.

2. 明确说明审计目标, 和代表团, 维护和审查内部控制的权力.

   审计章程将规定审计的权力和报告要求，但不包括维护内部控制的细节.

3. 为实现策划的审核目标而设计的审核程序形成文件.

   审计章程不会是详细的, 因此, 不包括具体的审计目标或程序吗.

4. 概述审计职能的总体权力、范围和职责.

   审计章程应说明管理的目标和授权给信息系统审核员.

IS审计员通过正常的预定义工作流步骤和升级规则查找少量未被管理人员授权的用户访问请求. 信息系统审计师应:

1. 执行额外的分析.

   信息系统审核员需要执行实质性的测试和额外的分析，以确定审批和工作流程没有按预期工作的原因. 在提出任何建议之前, 信息系统审核员应该很好地了解问题的范围和导致该事件的因素. 信息系统审核员应确定问题是否由管理人员不遵守程序引起的, 由自动化系统的工作流程问题或两者的结合引起.

2. 向审计委员会报告问题.

   IS审计员还没有足够的信息来报告这个问题.

3. 进行安全风险评估.

   更改信息系统审计的范围或进行安全风险评估将需要关于正在审查的流程和违规行为的更详细的信息.

4. 建议身份管理(IDM)系统的所有者修复工作流问题.

   信息系统审核员必须首先确定发现的根本原因和影响，并且没有足够的信息来建议修复工作流问题.

一名信息系统审计员发现，某澳门赌场官方下载将软件开发外包给第三方，即初创公司. 确保澳门赌场官方下载的软件投资受到保护, IS审核员应该推荐以下哪一项?

1. 应该对软件供应商进行尽职调查.

   尽职调查是一种很好的做法, 它不能确保在供应商发生故障时源代码的可用性.

2. 应每季度对供应商设施进行一次审核.

   而供应商设施的季度审计是一个很好的做法, 它不能确保在启动供应商失败时源代码的可用性.

3. 应该有一个源代码托管协议的地方.

   源代码托管协议主要是为了帮助保护澳门赌场官方下载在软件上的投资，因为源代码可以通过受信任的第三方获得，并且可以在初创供应商倒闭时检索.

4. 合同中应包括高额罚款条款.

   而处罚条款是一个很好的做法, 在供应商破产的情况下，它不提供保护或确保源代码的可用性.

澳门赌场官方下载的风险偏好是 BEST 建立了:

1. 首席法务官.

   虽然首席法律官可以就政策的法律问题提供指导, 它们无法决定风险偏好.

2. 安全管理.

   安全管理团队关心的是管理安全状态，而不是确定状态.

3. 审计委员会.

   审计委员会不负责设定澳门赌场官方下载的风险承受能力或风险偏好.

4. 指导委员会.

   指导委员会最适合确定澳门赌场官方下载的风险偏好，因为该委员会的代表来自高级管理层.

确定较早的项目完成时间, 哪一个是通过提前完成支付溢价获得的, 应选择的活动是:

1. 谁的活动时间总和最短.

   重点关注关键路径内没有空闲时间的任务.

2. 没有空闲时间.

   关键路径的活动时间比网络中任何其他路径的活动时间都要长. 这条路径很重要，因为如果一切按计划进行, 它的长度为整个项目提供了最短的完成时间. 关键路径上的活动成为崩溃的候选者.e.，为提早完成工程而支付补价，以缩短工期). 关键路径上的活动空闲时间为零，反之亦然, 零空闲时间的活动处于关键路径上. 通过在关键路径上连续放松活动, 可以得到显示项目总成本与时间关系的曲线.

3. 这样可以提供最长的完成时间.

   关键路径是活动的最长时间长度, 但不是基于任何个人活动的最长时间.

4. 谁的空闲时间最短.

   关键路径上的任务没有空闲时间.

一个信息系统审核员被指派去审核一个软件开发项目, 哪一个完成了80%以上, 但是已经超出了10%的时间和25%的成本. 信息系统审核员应采取下列哪一项行动?

1. 报告组织没有有效的项目管理.

   组织可能有有效的项目管理实践，但仍然落后于进度或超出预算.

2. 建议更换项目经理.

   没有迹象表明，在调查超支的原因之前，应该更换项目经理.

3. 检查IT治理结构.

   组织可能有健全的IT治理，但仍然落后于计划或超出预算.

4. 审查项目和业务案例的执行情况.

   在提出任何建议之前, 信息系统审核员需要了解项目以及导致项目超出预算和进度的因素.

程序员恶意修改产品程序以更改数据，然后恢复原始代码. 下面哪个选项会 MOST 有效检测恶意活动?

1. 比较源代码

   源代码比较是无效的，因为原始程序已恢复，而更改后的程序不存在.

2. 查看系统日志文件

   检查系统日志文件是提供有关生产库中未授权活动的信息的唯一途径.

3. 比较目标代码

   目标代码比较是无效的，因为原始程序已被恢复，而更改后的程序不存在.

4. 审查可执行文件和源代码的完整性

   审查可执行文件和源代码的完整性是一种无效的控制, 因为源代码被改回了原来的，并且会与当前的可执行文件一致.

下面哪个选项会 BEST 确保整个组织的广域网(WAN)的连续性?

1. 内置备选路由

   替代路由将确保网络在通信设备故障或链路断开时继续运行，因为消息重路由可以是自动的.

2. 每天完成全系统备份

   系统备份不能为网络故障提供保护.

3. 与服务提供商签订的维修合同

   维修合同几乎总是会导致一些时间的损失，并且不如永久替代路由有效.

4. 每个服务器旁边都有一台重复的机器.

   如果连接被切断，备用服务器将不能提供连续性.

信息系统审核员正在审查数据中心的物理安全控制，并注意到几个值得关注的领域. 以下哪个区域是 MOST 重要的?

1. 紧急断电按钮盖缺失.

   紧急关机按钮的问题是一个重要的问题, 但生命安全是最重要的.

2. 灭火系统的定期维修没有进行.

   灭火系统的主要目的是保护设备和建筑物. The lack of scheduled maintenance is a concern; however, 这并不表示系统不能按要求运行. 更关键的问题是紧急出口，因为生命安全是最重要的.

3. 数据中心里没有监控摄像头.

   The lack of security cameras inside the data center may be a significant concern; however, 更严重的问题是紧急出口的门被堵住了.

4. 紧急出口的门被堵住了.

   Life safety is always the highest priority; 因此, 紧急出口堵塞是最严重的问题.

下列哪个选项 BEST 帮助信息所有者正确地对数据进行分类?

1. 了解保护数据的技术控制

   虽然了解如何保护数据很重要, 如果不能很好地理解数据分类模式，则可能无法正确应用这些控件.

2. 组织政策和标准的培训

   在实现数据分类时, 组织的政策和标准是最重要的, 包括数据分类模式, 数据的所有者或保管人是否理解，以便对其进行适当的分类.

3. 使用自动数据泄漏预防(DLP)工具

   而自动化数据泄漏预防(DLP)工具可以提高生产力, 应用程序的用户仍然需要了解使用了什么分类模式.

4. 了解哪些人需要访问数据

   在保护数据方面, 最终用户的数据需求至关重要, 但是，如果数据所有者不了解使用的数据分类模式, 数据所有者可能会允许对敏感数据进行不适当的访问.