CISP/CISA 每日一题 四

CISA 每日一题（答）

连续在线审计技术：

1、系统控制审计检查文件和内嵌审计模型（SCARF/EAM）：非常复杂，适用于正常处理不能被中断；通过在组织的主机应用系统中内嵌经特别编写的审计软件，使审计师以可以选择的方式来监控应用系统的使用；

2、快照（Snapshots）：复杂性中等，需要审计踪迹时；记录一个事务从输入到输出各阶段的处理轨迹。通过对输入数据使用标识符来对事务作标签，并跟踪该记录的处理轨迹，供信息系统审计师后续检查

3、审计钩（Hooks）：复杂性低，只有所选择的事务或过程需要检查；在应用系统中内嵌程序“钩”，像标识符那样起作用，在错误或不规范事务失去控制前，提醒信息系统审计师采取行动

4、整体测试（ITF）：复杂性高，采用测试数据没有益处时；在审计对象应用系统的生产文件中设置虚构的事务，通过与真实事务一起进入应用系统中运行，然后信息系统审计师经独立计算的数据来比较虚构事务的处理输出，确认计 算机处理数据的正确性（一定要隔离测试数据和生产数据）

5、持续和间歇性模拟（CIS）：复杂性中等，符合某些标准的事务需要被检查时；在一个事务的处理运行期间，计算机系统模拟应用程序指令的执行。在每一个事务输入时，模拟器就确定该事务是否符合预定义的标准，符合就审计； 不符合，模拟器就等待直到下一个符合标准的事务出现。

信息系统审计师应当审查项目管理活动的充分性：

1、项目指导委员会的监督级别；

2、项目中采用风险管理的方法；

3、项目问题管理；

4、项目成本管理；

5、项目计划管理的流程；

6、向管理层汇报的流程；

7、变更控制的流程；

8、利益相关者参与管理；

9、签字与审批流程

双SSP每日一题

在以下哪一情况下，计算机应用程序的安全性最有效，最经济？

A. 系统在加入安全之前被优化。

B. 系统被现货采购。

C. 系统被定制，以满足特定的安全威胁。

D. 系统原本被设计提供必要的安全性

Answer: D Thisis very obvious, if your system is designed from the ground up to providesecurity, it’s going to be cheaper and more effective at the end, because youdon’t need reanalysis, re-coding, and re-structure of the internal code of thecomputer application. If you don’t address security at the beginning you willalso need to spend time and money reviewing the code to try to put the securityinfrastructure in some place of it.

CISA每日一题

某制造企业欲实现其发票支付系统的自动化。目标规定，系统应该需要显著地降低审查及授权时间，且系统应该能够识别需要追踪的错误。以下哪项措施可以最有效地实现这些目标？

A.与供应商一同建立客户端服务器互联网系统以提高效率

B.将此功能外包给专门致力于自动化支付及应收账款/发票处理的公司

C.与关键供应商一同建立一个电子数据交换（EDI)系统，使其包含通过计算机传输的标准格式的电子商务文档和交易

D. 重组现有处理流程并重新设计现有系统

答案：C EDI是最佳答案。在实施得当的情况下（例如，就贸易伙伴交易标准、对网络安全机制的控制和应用控制达成协议），EDI将是更快识别和追踪错误并且减少审查及授权机会的最佳方法。 CISP每日一题

以下哪个不可以作为ISMS管理评审的输入 A.ISMS审计和评审的结果 B.来自利益伙伴的反馈 C.某个信息安全项目的技术方案 D.预防和纠正措施的状态

【答案】 C