信息系统审计师在对组织的风险评估流程进行审查时,首先应该:( )A.确定那些对信息资产来说较为合理的威胁 B.分析技术和组织方面的弱点 C.确定信息资产 D.评估潜在的安全漏洞所带来的影响

题目
信息系统审计师在对组织的风险评估流程进行审查时,首先应该:( )

A.确定那些对信息资产来说较为合理的威胁
B.分析技术和组织方面的弱点
C.确定信息资产
D.评估潜在的安全漏洞所带来的影响
相似考题

1.某内部审计师被授命前往某公司进行审计,在对该公司风险管理进行审计的过程中,下列哪项不是内部审计师应该采取的行动:A.对信息系统的经营部门审计中,通过判断该部门目标与组织整体目标的一致性来评估该部门的有效性 B.就业务流程中发现的风险信息在组织内部及时沟通,让职员、管理层和董事会履行其相关责任 C.在生产加工部门针对其所有资产的安全性进行审查,并评估可能存在的风险 D.在对采购循环系统的审计过程中通过管理风险协助管理层改善风险管理流程

2.内部审计活动应通过确认和评价风险的重大不利影响,并促进风险管理和控制体系的改进来帮助组织。关于对风险管理流程充分性的评估,内部审计师应该最有可能:( )A.认识到组织应该采用相似的技术来管理风险 B.确认风险管理流程的关键目标是否实现 C.确定组织可接受的风险水平 D.将对风险管理流程的评价以相同的方式用于计划业务时的风险分析

3.一个信息系统审计师对组织交互培训实践的风险进行评估,风险应该是()。A、对唯一人员的依赖B、不充分的连续性计划C、一个人知道系统的所有部分D、操作中断

4.根据《标准》,内部审计机构在审查组织的风险管理流程时必须评估与以下哪项相关的风险?Ⅰ.组织治理。Ⅱ.组织运营。Ⅲ.组织信息系统。Ⅳ.组织结构。A.Ⅰ和Ⅲ。 B.Ⅱ和Ⅳ。 C.Ⅰ、Ⅱ和Ⅲ。 D.Ⅰ、Ⅱ和Ⅳ。

参考答案和解析
答案:C
解析:
C正确。通过确定信息资产并对其分级,可以按照资产在组织中的价值来确定风险评估的基调或范围。其次,应根据资产对组织的价值来分析各种组织资产所面临的威胁。第三,应确定弱点,以便对控制措施进行评估,从而确定这些措施是否能减少弱点所面临的威胁。第四,分析这些弱点在缺少给定控制措施的情况下,将会对组织信息资产造成何种影响。
更多“信息系统审计师在对组织的风险评估流程进行审查时,首先应该:( )”相关问题

  • 第1题:

    在进行风险分析过程中,信息系统审计师发现了威胁及其潜在的影响。审计师下一步应该:()

    • A、对管理层实施的风险评估流程进行评估
    • B、识别信息资产和与之相关的系统
    • C、告知管理层所发现的威胁及其影响
    • D、识别并评估现存的控制

    正确答案:D

  • 第2题:

    信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查:()

    • A、已经实施的控制
    • B、已经实施的控制的有效性
    • C、对相关风险的监控机制
    • D、与资产相关的威胁和脆弱性

    正确答案:D

  • 第3题:

    审计师审查重组织流程的时候,首先要审查()。

    • A、现有控制图
    • B、消除的控制
    • C、处理流程图
    • D、补偿性控制

    正确答案:C

  • 第4题:

    IS审计师评估信息系统的管理风险。IS审计师应该最先审查()。

    • A、已经实施的控制
    • B、已经实施控制的有效性
    • C、资产的风险监督机制
    • D、资产的脆弱性和威胁

    正确答案:D

  • 第5题:

    信息系统审计师在执行应用控制审查时应当评估:()

    • A、满足业务流程的应用效率
    • B、发现的任何控制缺陷暴露的影响
    • C、应用支持的业务流程
    • D、应用的优化

    正确答案:B

  • 第6题:

    单选题
    信息系统审计师正在评估管理层对信息系统的风险评估工作。审计师应该首先检查:()
    A

    已经实施的控制

    B

    已经实施的控制的有效性

    C

    对相关风险的监控机制

    D

    与资产相关的威胁和脆弱性


    正确答案: D
    解析: 在评估不同的信息系统相关的风险时,一个主要的因素是需要考虑受影响资产的所有威胁和脆弱性。信息资产的相关风险应该独立于已经实施的控制而被全面评估。类似的,考虑控制措施的有效性是应该在风险转移阶段实施而不是应该在风险评估工作阶段。对资产风险的持续监控机制应该在风险评估后的风险监控阶段中进行。点评:风险评估方法:资产识别—威胁脆弱性—现有控制—风险。

  • 第7题:

    填空题
    内部审计师必须评估的风险也就是与组织治理、运营与信息系统相关的风险包括()、()、()、()、()。

    正确答案: 组织战略目标的实现,财务和运营信息的可靠性,运营和程序的效率和效果,资产的安全,对法律、法规、政策及程序的遵循情况
    解析: 暂无解析

  • 第8题:

    单选题
    在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项?()
    A

    控制应该在系统中数据流的各个点上建立

    B

    只有预防性控制和发现性控制是相关的

    C

    纠正性控制只能被视为是补偿性的

    D

    信息系统审计师可以使用分类方法来决定哪些控制是缺少的


    正确答案: B
    解析: 信息系统审计师应该关注控制在系统中数据流的各个点上建立的情况。选项B不正确是因为纠正性控制也是相关的。选项C不正确是因为纠正性控制可以消除或降低错误的影响,因此不应把他仅仅视为是补偿性控制。选项D不正确是因为控制的扩展性和功能性是重要的,而不是控制的分类。点评:各种控制是作用在业务实体之上的。

  • 第9题:

    单选题
    在进行风险分析过程中,信息系统审计师发现了威胁及其潜在的影响。审计师下一步应该:()
    A

    对管理层实施的风险评估流程进行评估

    B

    识别信息资产和与之相关的系统

    C

    告知管理层所发现的威胁及其影响

    D

    识别并评估现存的控制


    正确答案: A
    解析: 对发现的威胁及其影响所存在的安全控制进行识别和评估是审计师重要的一项工作。只有在完成审计项目之后,信息系统审计师才应该与管理层进行讨论和描述资产所面临的威胁及其潜在影响。点评:风险评估方法:资产识别—威胁脆弱性—现有控制—风险。

  • 第10题:

    单选题
    信息系统审计师在执行应用控制审查时应当评估:()
    A

    满足业务流程的应用效率

    B

    发现的任何控制缺陷暴露的影响

    C

    应用支持的业务流程

    D

    应用的优化


    正确答案: B
    解析: 一个应用控制的审查涉及应用的自动化控制的评价和对任何控制缺陷暴露所产生的风险的评估。其他选项可能是一个应用审计项目的目标,但不是以控制审查为目的的审计的一部分。点评:审计师关注控制及控制失效造成的风险。

  • 第11题:

    单选题
    以风险为基础的审计方法,IS审计师应该首先完成()。
    A

    固有的风险评估.

    B

    控制风险评估.

    C

    控制测试评估.

    D

    实质性测试评估.


    正确答案: A
    解析: 暂无解析

  • 第12题:

    单选题
    在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。该审计师应该:()
    A

    生成该程序的文档

    B

    中止审计

    C

    进行符合性测试

    D

    识别并评估目前状况下的组织活动


    正确答案: A
    解析: 审计的一个主要目标是要识别潜在的风险,因此,最主动的方式是识别并评估目前状况下组织的安全活动。信息系统审计师不应该生成和准备这些文档,因为这会损害审计师的独立性。中止审计便无法实现识别潜在风险这一基本审计目标。因为连正式成文的程序文档都不存在,因此实施符合性测试是没有依据的。点评:发现控制缺陷—深入调研—风险评估—报告。

  • 第13题:

    以风险为基础的审计方法,IS审计师应该首先完成()。

    • A、固有的风险评估.
    • B、控制风险评估.
    • C、控制测试评估.
    • D、实质性测试评估.

    正确答案:A

  • 第14题:

    在对一个流程处理中的预防控制、发现控制和纠正控制的整体效果进行评估时,信息系统审计师应该认识到以下哪项?()

    • A、控制应该在系统中数据流的各个点上建立
    • B、只有预防性控制和发现性控制是相关的
    • C、纠正性控制只能被视为是补偿性的
    • D、信息系统审计师可以使用分类方法来决定哪些控制是缺少的

    正确答案:A

  • 第15题:

    在对IT流程的安全审计过程中,信息系统审计师发现没有关于安全程序的文档。该审计师应该:()

    • A、生成该程序的文档
    • B、中止审计
    • C、进行符合性测试
    • D、识别并评估目前状况下的组织活动

    正确答案:D

  • 第16题:

    在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该?()

    • A、实施进一步的分析
    • B、向审计委员会报告该问题
    • C、实施风险评估
    • D、建议IDM系统的所有者解决这个工作流成中的问题

    正确答案:A

  • 第17题:

    内部审计师必须评估的风险也就是与组织治理、运营与信息系统相关的风险包括()、()、()、()、()。


    正确答案:组织战略目标的实现;财务和运营信息的可靠性;运营和程序的效率和效果;资产的安全;对法律、法规、政策及程序的遵循情况

  • 第18题:

    单选题
    IS审计师评估信息系统的管理风险。IS审计师应该最先审查()。
    A

    已经实施的控制

    B

    已经实施控制的有效性

    C

    资产的风险监督机制

    D

    资产的脆弱性和威胁


    正确答案: B
    解析: 暂无解析

  • 第19题:

    单选题
    某内部审计师被授命前往某公司进行审计,在对该公司风险管理进行审计的过程中,下列哪项不是内部审计师应该采取的行动:()
    A

    对信息系统的经营部门审计中,通过判断该部门目标与组织整体目标的一致性来评估该部门的有效性

    B

    就业务流程中发现的风险信息在组织内部及时沟通,让职员、管理层和董事会履行其相关责任

    C

    在生产加工部门针对其所有资产的安全性进行审查,并评估可能存在的风险

    D

    在对采购循环系统的审计过程中通过管理风险协助管理层改善风险管理流程


    正确答案: D
    解析: 内部审计师必须避免在实际工作中对风险进行管理,进而避免承担任何管理层分责任。

  • 第20题:

    单选题
    审计师审查重组织流程的时候,首先要审查()。
    A

    现有控制图

    B

    消除的控制

    C

    处理流程图

    D

    补偿性控制


    正确答案: D
    解析: 暂无解析

  • 第21题:

    单选题
    一个信息系统审计师对组织交互培训实践的风险进行评估,风险应该是()。
    A

    对唯一人员的依赖

    B

    不充分的连续性计划

    C

    一个人知道系统的所有部分

    D

    操作中断


    正确答案: A
    解析: 交互培训是超过一个个体来履行一个明确的作业或流程的培训流程。这种实践能帮助降低对一个个体的依赖,因此可以提供持续性的运营。然而,利用这种方法,谨慎地评估一个人知道系统所有部分及相关的风险暴露。交互培训减少了A、B、D中所记录的风险。

  • 第22题:

    单选题
    内部审计活动应通过确认和评价风险的重大不利影响,并促进风险管理和控制体系的改进来帮助组织。关于对风险管理流程充分性的评估,内部审计师应该最有可能:()
    A

    认识到组织应该采用相似的技术来管理风险。

    B

    对风险管理流程关键目标的实现满意。

    C

    确定组织可接受的风险水平。

    D

    将对风险管理流程的评价以相同的方式用于计划业务时的风险分析。


    正确答案: C
    解析: 本题考查的知识点是评估风险管理过程有效性的方式和程序。
    答案A不正确,风险管理流程随组织的业务活动的规模和复杂性而变化;
    答案B正确。内部审计师应该有责任就组织的风险管理流程的充分性向董事会与管理层提供确认。这种责任要求他们对风险管理流程是否充分到足以保护组织的资产、声誉与持续的经营形成意见。为了上述目标,内部审计师必须确信组织的风险管理流程是否着眼于5个关键目标,即:
    (1)找出业务战略与活动领域的风险并进行优先排序;
    (2)管理层和董事会已经确定了组织可以接受的风险水平,包括为实现组织的战略计划而接受的风险;
    (3)设计并开展了风险减轻活动,将风险降低、管理在管理层和董事会可以接受的水平上;
    (4)开展持续的监督活动,定期对风险和控制的有效性进行再评估,以便管理风险;
    (5)董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况(实务公告2110-1)。
    答案C不正确,管理层和董事会确定组织可接受的风险水平;
    答案D不正确,评价管理层的风险过程要区别于内部审计师在计划业务时所采用的风险评估,但在做业务计划时所取得的综合性风险管理流程的信息是有用的。

  • 第23题:

    单选题
    在对一个大型组织的身份管理系统(IDM)中的供应流程进行审计时,信息系统审计师很快发现有少数通过正常预定义的工作流程的访问情况没有得到管理者的授权。信息系统审计师应该?()
    A

    实施进一步的分析

    B

    向审计委员会报告该问题

    C

    实施风险评估

    D

    建议IDM系统的所有者解决这个工作流成中的问题


    正确答案: C
    解析: 信息系统审计师需要进行大量的测试和进一步的分析来确定授权和工作流程没有按预定方式运作是原因。在做出任何建议前,审计师应该很好的理解掌握问题的范围和问题的原因。信息系统审计师应该确认问题是由管理人员没有按预定流程执行所引起的,还是自动化系统本身的工作流程而引起的,还是两种因素都存在。其它选项不正确,是因为审计师没有充分的信息进行下一步的汇报、风险评估和提出解决该问题的建议。点评:发现控制缺陷—深入调研—风险评估—报告

相关内容