CISA2008中文习题710答案.docVIP

CISA 2008 Chapter 1 信息系统审计程序 ISACA发布的信息系统审计标准”,准则,程序和职业道德规范 IS审计实务和技术 收集信息和保存证据的技术(观察,调查问卷,谈话,计算机辅助审计技术,电子介质) 证据的生命周期(证据的收集,保护和证据之间的关系) 与信息系统相关的控制目标和控制 审计过程中的风险评估 审计计划和管理技术 报告和沟通技术(推进,商谈,解决冲突) 控制自我评估 不间断审计技术(连续审计技术) Chapter 2 IT治理 IT战略,政策,标准和程序对组织的意义,及其基本要素 IT治理框架 制定实施和恢复IT战略政策标准和程序的流程 质量管理战略和政策 与IT使用和管理相关的组织结构,角色和职责 公认的国际IT标准和准则 制定长期战略方向的企业所需的IT体系及其内容 风险管理方法和工具 控制框架(cobit)的使用 成熟度和流程改进模型 签约战略,程序和合同管理实务 IT绩效的监督和报告实务 有关的法律规章问题(保密,隐私,知识产权) IT人力资源管理 资源投资和配置实务 Chapter 3 系统和体系生命周期 收益管理实务 (可行性研究,业务案例) 项目治理机制,如:项目指导委员会,项目监督委员会 项目管理实务,工具和控制框架 用于项目管理上的风险管理实务 项目成功的原则和风险 涉及开发,维护系统的配置,变更和版本管理 确保IT系统应用的交易和数据的完整性,准确性,有效性和授权的控制目标和技术 关于数据,应用和技术的企业框架 需求分析和管理实务 采购和合同管理程序 系统开发方法和工具以及他们的优缺点 质量保证方法 测试流程的管理 数据转换工具技术和程序 系统的处置程序 软件,硬件的认证和鉴证实务 实施后的检查目标和方法,如项目关闭,收益实现,绩效测定 系统移植和体系开发实务 Chapter 4 IT服务和交付 服务等级和水平 运营管理的最佳实务:如工作负荷调度,网络服务管理,预防性维护 系统性能监控程序,工具和技术. 硬件和网络设备的功能 数据库管理实务 操作系统工具软件和数据库管理系统 生产能力计划和监控技术 对生产系统的应急变更和调度管理程序,包括变更配置版本发布和补丁管理实务 生产事件/问题管理实务 软件许可证和清单管理实务 系统缩放工具和技术 Chapter 5 信息资产保护 信息系统安全设计,实施和监控技术 用户使用授权的功能和数据时,识别签订和约束等逻辑访问控制 逻辑访问安全体系 攻击方法和技术 对安全事件的预测和响应程序 网络和internet安全设备 入侵检测系统和防火墙的配置 加密算法/技术 公共密钥机构组件 病毒检测和控制技术 安全方案测试和评估技术:渗透技术,漏洞扫描 生产环境保护实务和设备 物理安全系统和实务 数据分类技术 语音通讯的安全 保密信息资产的采集.存储.使用.传输和处置程序和流程 与使用便携式和无线设备 Chapter 6业务连续性与灾难恢复计划 数据备份,存储,维护,保留和恢复流程 业务连续性和灾难恢复有关的法律规章协议和保险问题 业务影响分析(BIA) 开发和维护灾难恢复与业务持续计划 灾难恢复和业务连续性计划测试途径和方法 与灾难恢复和业务连续性有关的人力资源管理 启用灾难恢复和业务连续性计划的程序和流程 备用业务处理站点的类型,和监督有关协议合同的方法 CISA2008 练习题 Chapter 1 d下列哪些形式的审计证据就被视为最可靠? 口头声明的审计 由审计人员进行测试的结果 组织内部产生的计算机财务报告 从外界收到的确认来信 2 d当程序变化是，从下列哪种总体种抽样效果最好？ 测试库清单 源代码清单 程序变更要求 产品库清单 3c 系统程序员. 法律人员 业务部门经理 应用程序员. 4a 属性抽样 变量抽样 平均单位分层抽样 差别估算 5a 当数据流通过系统时，其作用的控制点。 只和预防控制和检查控制有关. 纠正控制只能算是补偿. 分类有助于审计人员确定哪种控制失效 6D审计人员在对几个关键服务进行审计的时候，想要通过分析审计轨迹的方法发现潜在的用户或系统行为异常。下列哪些工具最适合从事这项工作? 计算机辅助开发工具（case tool） 嵌入式（embedded）数据收集工具 启发扫描工具（heuristic scanning tools） 趋势/变化检测工具 7C 建议具体而详细的控制程序 保证设计准确地反映了需求 确保在开始设计的时候包括了所有必要的控制 开发经理严格遵守开发日程安排 8A 关注高风险领域 替换审计责任 完成控制问卷 促进合作研讨会 Collaborative facilitative workshops