随笔分类 - CISA/CISP
摘要:CISSP 每日一题(答)What should be done to verify patcheshave been applied? Auditpatches, or use a vulnerability scanner to verify patches have been applied
阅读全文
摘要:CISSP 每日一题(答)What is the term that identifies data ona disk after the data has supposedly been erased? Dataremanence What are the steps of a patch man
阅读全文
摘要:CISSP 每日一题(答) What methods can be used to protectmobile devices such as a smartphone? Encryption,GPS, password-protected screen locks, and remote wipe
阅读全文
摘要:CISSP 每日一题(答)What determines how often an audit should be performed? Risk What policy requires users to spend at least a weekaway from their jobs on a
阅读全文
摘要:CISSP 每日一题(答)What is the purpose of an access review and audit? Checkto ensure that users do not have excessive privileges and that accounts aremanage
阅读全文
摘要:CISSP 每日一题(答)What are often added to passwords to maketheir resultant hash secure and resistant to rainbow attacks?Salts What is a nonstatistical samp
阅读全文
摘要:CISA 每日一题(答) 作业调度软件的优点: 1、作业信息仅需建立一次,减少错误发生概率; 2、可定义作业间的依赖关系,当某一项作业失败时,依赖于该作业的后续作业就不会被执行; 3、所有成功或失败的作业均被记录; 4、对操作员的依赖程度降低; 5、能对生产数据的访问提供安全 应该记录的日志错误有:
阅读全文
摘要:CISA 每日一题(答) 作业记帐: 监控和记录信息系统资源的使用,这些信息可被信息系统审计师用来执行: 1、将资源使用和相关用户挂钩以便实行计费; 2、通过改变系统软件的默认设置来最优化硬件性能 作业调度: 是信息系统部门的主要功能。调度表包括必须执行的作业、作业执行的顺序和引起程序运行的条件,包
阅读全文
摘要:CISA 每日一题(答) 自动无人值守运行(LIGHTS-OUT)优势:1、信息系统运行成本的遏制/减少;2、持续运行(24/7);3、减少系统错误和中断次数。 I/O 控制人员负责保证:1、批处理信息得到准确和完整的处理2、与信息系统管理部门的意图和授权一致3、输出文件正确,并被送给适当的人员;4
阅读全文
摘要:监控信息系统人员所提供服务的效率和效果的工具: 1、例外报告:识别所有没有成功完成的或出了故障的应用 2、作业重运行报告:大多数异常终止作业都会导致重起 3、操作员问题报告:记录计算机运行问题及解决方式的手工报告(判断是否需要对操作员进行额外培训) 4、输出分发报告:记录所有应用生成的报告及它们分发
阅读全文
摘要:CISA 每日一题(答) 支付系统模式有哪些: 电子现金模式:支付者不必在线,无条件不可追溯性 电子支票模式:支付者不必在线,涉及个人隐私 电子转帐模式:收款人不必在线 图象处理中,应该有适当的___________ 程序来保证在良好的图象被获取之前,不能损坏原始文件,因此需要对扫描人员进行充分的培
阅读全文
摘要:CISA 每日一题(答) 一个合理建造的数据仓库应当支持下列三种基本的查询格式: 1、向上溯源和向下溯源——向上溯源是对数据进行总计;向下溯源是将数据进行细化; 2、交叉溯源——通过通用属性访问数据仓库中内容有交叉的信息 3、历史分析——数据仓库应当储存具有时间变量的数据,支持数据历史分析 IT 服
阅读全文
摘要:CISA 每日一题(答)一个合理建造的数据仓库应当支持下列三种基本的查询格式: 1、向上溯源和向下溯源——向上溯源是对数据进行总计;向下溯源是将数据进行细化; 2、交叉溯源——通过通用属性访问数据仓库中内容有交叉的信息 3、历史分析——数据仓库应当储存具有时间变量的数据,支持数据历史分析 IT 服务
阅读全文
摘要:电子银行风险管理责任: 1、风险管理是董事会和高级管理层的责任 2、实施技术是信息技术高级管理层的责任 3、测量和监控风险是经营管理层的责任 管理层在实施一个新的电子银行应用程序之前要 ___________ ]进行适当的战略评估、风险分析和安全审核,以降低实施电子 银行的风险 双SSP每日一题 信
阅读全文
摘要:CISA 每日一题(答)网关执行电子邮件格式转换 电子邮件安全——加密 大文件——对称加密 不可否认——非对称 哈希——完整性 电子银行主要风险: 战略、经营和声誉上的风险 双SSP每日一题 以下哪一选项最准确地反映了风险缓解的目标? A. 分析业务中断的影响和准备公司的回应 B. 分析和消除组织内
阅读全文
摘要:CISA 每日一题(答) 确保只有恰当授权的出站交易才能被处理,控制目的: 1、出站交易是基于授权而被启动; 2、出站交易包含了唯一的预先授权的交易类型; 3、出站交易只能被发送到合法的商业伙伴那里。 EDI 的审计,信息系统审计师必须评价: 1、Internet 加密处理,保证交易的可靠性、完整性
阅读全文
摘要:CISA 每日一题(答) 采用电子数据交换 EDI 的好处: 1、较少的书面工作; 2、较少的信息交换错误; 3、改善了数据库到数据库、公司到公司的信息流; 4、没有多余的数据重新键入; 5、较少的通讯延迟; 6、改善了计价和支付处理。 EDI 的安全风险: 1、对电子交易的未授权访问; 2、在应用
阅读全文
摘要:CISA 每日一题(答) 信息系统审计师要确认系统变更程序中的: CISA 每日一题(答) 1、变更需求应有授权、优先排序及跟踪机制; 2、日常工作手册中,明确指出紧急变更程序; 3、变更控制程序应同时为用户及项目开发组认可; 4、变更控制日志确认所记录的变更都完成; 5、对源代码和可执行代码模块的
阅读全文
摘要:CISA 每日一题(答) 连续在线审计技术: 1、系统控制审计检查文件和内嵌审计模型(SCARF/EAM):非常复杂,适用于正常处理不能被中断;通过在组织的主机应用系统中内嵌经特别编写的审计软件,使审计师以可以选择的方式来监控应用系统的使用; 2、快照(Snapshots):复杂性中等,需要审计踪迹
阅读全文
摘要:CISA 每日一题(答) 测试应用控制的有效性包括: 分析计算机应用程序、测试计算机应用程序控制、选择和监控数据处理事务。 测试应用系统技术: 快照、映射、追踪和标识、测试数据(在真实的系统中的仿真交易)、基于用例的系统评价、平行作业、整体测试、平行模拟(不需要准备测试数据)、事务选择程序、嵌入式审
阅读全文