单选题当检查输入控制时,信息系统审计师发现企业一致性策略中,流程允许超级用户覆盖数据验证结果。此IS审计师应该:()A 不关心,可能有其他修补控制来降低风险B 确保覆盖会自动记录并接受检查C 验证是否所有这些覆盖被提交给高级管理人员批准D 建议不允许覆盖

题目
单选题
当检查输入控制时,信息系统审计师发现企业一致性策略中,流程允许超级用户覆盖数据验证结果。此IS审计师应该:()
A

不关心,可能有其他修补控制来降低风险

B

确保覆盖会自动记录并接受检查

C

验证是否所有这些覆盖被提交给高级管理人员批准

D

建议不允许覆盖

相似考题

1.名词解释题回拨

2.单选题以下关于windowsSAM(安全账号管理器)的说法错误的是()A 安全账号管理器(SAM)具体表现就是%SystemRoot%/system32/config/samB 安全账号管理器(SAM)存储的账号信息是存储在注册表中C 安全账号管理器(SAM)存储的账号信息administrator和system是可读和可写的D 安全账号管理器(SAM)是windows的用户数据库系统进程通过SecurityAccountsManager服务进行访问和操作

3.单选题一个信息系统审计师在审阅组织章程时主要是为了:()A 了解工作流程B 调查各种通讯渠道C 理解每个人的职责和权限D 调查不同员工的联网信息

4.单选题一个信息系统审计师在审阅组织章程时主要是为了:()A 了解工作流程B 调查各种通讯渠道C 理解每个人的职责和权限D 调查不同员工的联网信息

更多“当检查输入控制时,信息系统审计师发现企业一致性策略中,流程允许超级用户覆盖数据验证结果。此IS审计师应该:()”相关问题

  • 第1题:

    名词解释题
    电子数据交换

    正确答案: 它是在两个机构之间将机器可读取格式文件进行电子传输。EDI提供了一个更有效率的非书面环境。EDI传输可以取代标准文件的使用,包括发票或定单。EDI的控制包括了送出及修改之前的确认检查。此外,它还包括标准应用控制,例如:输入的完整性和正确性及交易的授权。
    解析: 暂无解析

  • 第2题:

    单选题
    审计WEB服务器时,IS审计师应该关心个人通过哪个选项对保密信息进行未授权访问的风险?()
    A

    通过网关接口(CGI)的脚本

    B

    enterprise javA beans(EJB)

    C

    小应用程序(Applet)

    D

    WEB服务


    正确答案: C
    解析: CGI脚本是服务器上可执行的独立于计算机的软件程序,可以由WEB服务器页面调用和执行。CGI执行特定的任务,如处理从客户端收到的输入。由于CGI脚本在服务器中运行时,其中的缺陷可使用户对服务器进行未授权访问,并从该处访问组织网络,因为需要对所使用的CGI脚本进行评估。小应用程序是从WEB服务器下载的程序,在客户端计算机的WEB浏览器上执行,以运行任意基于WEB的应用程序,EJB和WEB服务都必须由WEB服务器管理员部署,并由应用程序服务器控制。执行这两项均需要了解参数和与预期的返回值。

  • 第3题:

    单选题
    一个组织外包其服务台,下列哪些指标最好包括在服务水平协议中()。
    A

    全部用户支持

    B

    第一次呼叫解决问题的百分比

    C

    服务台的意外报告数量

    D

    回答电话的代理数量


    正确答案: C
    解析: 暂无解析

  • 第4题:

    单选题
    当审计公司的电子邮件归档,审计师应最重视?()
    A

    存在数据保留策略

    B

    归档解决方案的存储容量

    C

    用户使用电子邮件是认识水平

    D

    解决制造商的支持和稳定性的归档方案


    正确答案: C
    解析: 如果没有和公司的管理和法律法规遵从要求一致的数据保留策略,电子邮件归档和保存和复制也许不能满足要求选项B是不正确的,因为如果电子邮件没有的到很好的保存,该归档解决方案的存储是无关紧要的。选项C和D是不正确的,因为有关的用户认知水平和使用电子邮件以及解决制造商的支持和稳定性的归档方案不直接影响存档电子邮件的准确性和完整性。

  • 第5题:

    名词解释题
    源代码

    正确答案: 源代码是一种用某种计算机语言编写的程序。源代码由汇编器和编译器翻译成目标码。在某些状况下,可能利用转换程序将源代码自动转换成另一语言。源代码并不能直接被计算机执行,必须先将源代码转换成机器码后方可被计算机执行。
    解析: 暂无解析

  • 第6题:

    单选题
    信息安全管理体系策略文件中第一层文件是()?
    A

    信息安全工作程序

    B

    信息安全方针政策

    C

    信息安全作业指导书

    D

    信息安全工作记录


    正确答案: D
    解析: 暂无解析

  • 第7题:

    单选题
    审查销售终端(POS)系统时,以下哪项审计发现最重要?()
    A

    将POS系统中记录的发票手动输入到会计应用程序中

    B

    生成销售发票时未使用光学扫描器读取条形码

    C

    经常发生断电,致使需要手动准备发票

    D

    客户的信用卡信息存储在本地POS系统中且未经加密


    正确答案: A
    解析: IS审计师必须确定是否有任何信用卡信息存储在本地POS系统中。任何此类信息,应通过其他方式对其进行加密或保护,以避免潜在的未授权泄露。手动将销售发票输入到会计应用程式中属于操作问题。如果将POS系统与财务会计应用程式连接,总体效率会有所提高。不能使用光学扫描器读取产品条形码以及断电均属于操作问题。

  • 第8题:

    单选题
    对于IT安全策略的审计的主要目的是保证()。
    A

    策略向所有员工分发,并且每个员工都知道

    B

    安全和控制策略支持业务和IT目标

    C

    有公开发行的组织图表和功能描述

    D

    适当的职责分离


    正确答案: A
    解析: 暂无解析

  • 第9题:

    单选题
    下面哪个功能属于操作系统中的安全功能?()
    A

    控制用户的作业排序和运行

    B

    对计算机用户访问系统和资源情况进行记录

    C

    保护系统程序和作业,禁止不合要求的对程序和数据的访问

    D

    实现主机和外设的并行处理以及异常情况的处理


    正确答案: B
    解析: 暂无解析

  • 第10题:

    单选题
    对信息安全的理解,正确的是()。
    A

    信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的

    B

    通过信息安全保障措施,确保信息不被丢失

    C

    通过信息安全保证措施,确保固定资产及相关财务信息的完整性

    D

    通过技术保障措施,确保信息系统及财务数据的完整性、机密性及可用性


    正确答案: D
    解析: 暂无解析

  • 第11题:

    单选题
    检查用于互联网Internet通讯的网络时,IS审计应该首先检查、确定()
    A

    是否口令经常修改

    B

    客户/服务器应用的框架

    C

    网络框架和设计

    D

    防火墙保护和代理服务器


    正确答案: C
    解析: 暂无解析

  • 第12题:

    单选题
    如果你刚收到一封你同事转发过来的电子邮件,警告你出现了一个可怕的新病毒,你会先做下面哪件事情?()
    A

    将这个消息传给你认识的每个人

    B

    用一个可信赖的信息源验证这个消息

    C

    将你的计算机从网络上连接

    D

    升级你的病毒库


    正确答案: B
    解析: 暂无解析

  • 第13题:

    名词解释题
    奇偶校验

    正确答案: 一种硬件控制方法,可以协助检测在数据由内存读出或传送至不同计算机时可能发生的错误,在数据项本身加一个位(0或1)以显示数据项位合计数为奇数或偶数,当预置的校验位与所有位合计数不一致时,计算机即显示错误,利用奇偶校验检测到错误之机率为50%。
    解析: 暂无解析

  • 第14题:

    单选题
    BLP模型基于两种规则来保障数据的机秘度与敏感度,它们是什么?()
    A

    下读,主体不可读安全级别高于它的数据;上写,主体不可写安全级别低于它的数据

    B

    上读,主体不可读安全级别高于它的数据;下写,主体不可写安全级别低于它的数据

    C

    上读,主体不可读安全级别低于它的数据;下写,主体不可写安全级别高于它的数据

    D

    下读,主体不可读安全级别低于它的数据;上写,主体不可写安全级别高于它的数据


    正确答案: D
    解析: BLP模型的基本安全策略是"下读上写",即主体对客体向下读、向上写。主体可以读安全级别比他低或相等的客体,可以写安全级别比他高或相等的客体。"下读上写"的安全策略保证了数据库中的所有数据只能按照安全级别从低到高的流向流动,从而保证了敏感数据不泄露。

  • 第15题:

    单选题
    灾难发生后,系统和数据恢复程度指标()
    A

    时间要求

    B

    时间点要求

    C

    数据状态

    D

    运行状态


    正确答案: D
    解析: 灾难发生后,系统和数据必须恢复到的时间点要求,是业务可接受的丢失数据的时间。

  • 第16题:

    名词解释题
    噪声

    正确答案: 在数据传输中产生的干扰,造成消息错误接收,例如静电。
    解析: 暂无解析

  • 第17题:

    单选题
    一个组织的系统安全能力成熟度达到哪个级别以后,就可以对组织层面的过程进行规范的定义?()
    A

    2级——计划和跟踪

    B

    3级——充分定义

    C

    4级——量化控制

    D

    5级——持续改进


    正确答案: A
    解析: 暂无解析

  • 第18题:

    单选题
    在关系数据库维护期间,许多事务表中外键的值被破坏了了,后果是()。
    A

    事务中细节与主数据不再有关联,这样在事务处理时会导致错误

    B

    除了删除元组,或者事务重写,没有别的方法重构丢失的信息

    C

    数据库会立刻停止运行,并且丢失更多的信息

    D

    数据库不再接受输入数据


    正确答案: A
    解析: 当事务的外键被破坏或丢失时,应用系统通常不能直接关联主数据和事务数据。这会导致系统持续的查询,降低处理速度。如果有关文件很大,这种速度的降低是无法接受的。选项B.是不对的,因为系统能通过重建索引来修复破坏的外键。选项C.和D.不是外键破坏导致的。

  • 第19题:

    单选题
    在审查一个基于web的软件开发项目的过程中,信息系统审计师意识到编程代码标准不是强制性的,并且代码的审查也很少执行。这将会最可能增加下列哪个选项发生的可能性:()
    A

    缓冲区溢出

    B

    暴力破解攻击

    C

    分布式拒绝服务攻击

    D

    战争拨号攻击


    正确答案: C
    解析: 基于Web的应用程序代码,黑客通常是利用缓冲区溢出技术,因为缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。暴力攻击是用来破解密码。分布式拒绝服务攻击只是采用很多台计算机作为向目标发送信息的攻击源头,从而使被攻击者更加难以防范。战争拨号攻击使用扫描工具来破解PBX。点评:没有做代码审查,容易产生编程的漏洞,如sql注入、缓冲溢出、跨站脚本等

  • 第20题:

    单选题
    执行计算机犯罪证据调查时,对于数据收集,IS审计师应该最关心的证据是:()
    A

    分析

    B

    评估

    C

    保存

    D

    公开


    正确答案: D
    解析: 根据法律实施和司法授权保存和存档审评证据时最重要的事情,如果不能正确的保存证据可能会影响到法律诉讼时对证据的采纳。分析、评估和公开证据都很重要但是不是证据调查时的首要事情。点评:证据的完整性是最重要的。

  • 第21题:

    单选题
    每感染一个文件就变体一次的恶意代码称为()。
    A

    逻辑炸弹

    B

    隐秘型病毒

    C

    特洛伊木马

    D

    多态性病毒


    正确答案: C
    解析: 暂无解析

  • 第22题:

    单选题
    信息安全策略,声称“密码的显示必须以掩码的形式”的目的是防范下面哪种攻击风险?()
    A

    尾随

    B

    垃圾搜索

    C

    肩窥

    D

    冒充


    正确答案: C
    解析: 暂无解析

  • 第23题:

    单选题
    综合测试法ITF被认为是一个有用的工具,因为它()。
    A

    对于审计应用控制来说,是一种具有成本效益的方式

    B

    允许财务和IS审计师整合他们的测试

    C

    将处理的输出结果与单独计算的数据进行比较。

    D

    为IS审计师提供分析大量信息的工具


    正确答案: B
    解析: 暂无解析

  • 第24题:

    单选题
    在审查一个大型资料中心期间,IS审计人员注意到其计算机操作员同时兼任备份磁带管理员和安全管理员。以下哪一种情形应在审计报告中视为最为危险的()。
    A

    计算机操作员兼任备份磁带库管理员

    B

    计算机操作员兼任安全管理员

    C

    计算机操作员同时兼任备份磁带库管理管理员和安全管理员

    D

    没有必要报告上述任何一种情形


    正确答案: D
    解析: 暂无解析

相关内容