發表時間:2011/12/14 13:15:18 來源:互聯網
點擊關注微信:
為了幫助考生系統的復習2012年內部審計師考試課程,全面的了解內審師考試教材的相關重點�,小編特編輯匯總了2011年國際內審師考試輔導資料�����,希望對您參加本次考試有所幫助�!
內部審計師考試《內審計作用》知識點
確定違反安全規定行為的處理
內部審計師應當評價針對以往發生的及未來可能發生的對信息系統的攻擊進行預防����、發現和減輕措施的有效性����。內部審計師應當確認董事會、審計委員會或其他治理機構已經被適當地告知了威脅�����、事故����、發現的薄弱環節和糾正措施�����。
理想情況下����,一些物理安全措施應在組織廠房設計時即開始考慮����,如:
1.煙火警報
2.充足的照明
3.建筑物入口的電子安檢設施
4.配備保安人員的接待處,訪客必須佩戴標志
5.受限制的區域
另外�,對員工人職前的背景調查����,離職后安全狀況確認以及關鍵崗位職責分離都是能夠幫助降低物理安全風險的有效措施����。
內部審計部門應當監督是否違反安全規定的行為已經被糾正且其成效如何(對于內部審計來說與糾正業務計劃相似)。此時�,內部審計師的工作重點應當是確保已經處理了的違反安全行為產生的根源����。所有對違反安全規定行為的處理都應當定期報送董事會����,包括這些行為的數量和類型以及管理層如何處理問題的根源。
報告合規情況
內部審計師應當定期評價本組織的信息安全實務�����,并提出改進意見和新的控制和保安措施的實施建議����。在評價之后����,應當向董事會、審計委員會或其他治理機構提交一份保證報告。該評價可以作為單獨的審計業務����,也可以與其他經批準的審計計劃要求的業務一起執行�����。
物理安全,比如針對環境風險和未經授權訪問計算機終端的保安,仍舊是內部審計關心的內容,盡管現在軟件控制已經可以為信息提供大部分的保護�����。
另一個與信息安全有關的內部審計作用是評價遵守法律�、法規有關隱私的規定。內部審計師需要(在咨詢了法律顧問之后)確定與隱私有關的要求是否存在及其內容。信息系統應當遵照這些要求設計����,有關要求被遵守����,遵循情況被記載�。
【典型試題】
1.大多數組織均關心口令被泄露的問題。下列防止罪犯獲得他人口令的相關控制程序中����,最為有效的是
A.僅允許使用者變更其口令并鼓勵使用者頻繁更換口令����。
B.實施某項計算機項目,該項目可測試口令是否可被輕易猜出����。
C.實施某種"透明的"驗證技術,使用者使用卡片來產生口令并同時驗證系統密鑰及所產生的口令。
D.限制口令授權的使用時間段及位置。
答案:C
解題思路:
A.不正確�����。����。一般來說,這種控制可以減少口令泄露的機會,但這種做法容易導致使用者忘記當前口令而無法進行正常的工作����,使用者為了避免出現這種情況�����,通常會將口令記錄在某些隨手可得的介質上,這在一定程度上削弱了其效果�。本控制不能徹底杜絕口令的泄露����。
B.不正確�����。通過設置規則使口令不易被猜出確實可以減少口令泄露的機會�����,但也同樣存在用戶記憶困難的問題,而且也不能徹底杜絕口令的泄露。
C.正確。這種控制方式下的口令由卡片自動產生�����,而且由于密鑰的介入����,每次產生的口令均不相同�,所有人,包括使用者本人�,均無法預知下次可能生成的口令����。因此�,相對于其他三種控制,這種控制最為有效�����。
D.不正確�。限制口令的使用時間和位置對減少口令的泄露有一定的幫助,但不能杜絕口令的泄露����。
相關文章:
2012年內審師考試內審計作用知識點精講匯總
2012年內部審計師考試內審計作用精選練習題匯總
更多關注:內部審計師考試報考指南 考試培訓 成績管理
(責任編輯:中大編輯)
