CISA有些题目我真的无法理解ISACA的思路,如下:
1、以下哪一项控制措施能够最有效地确保董事会收到有关IT的足够信息?()
A、CIO应要求向董事会个别成员作简短陈述。
B、CIO及时报告绩效和纠正措施。
C、董事会成员熟悉IT并就IT问题咨询CIO。
D、董事会、CIO及技术委员会之间召开会议。
我觉得答案是B,CIO作为企业IT管理的首要负责人,其绩效考核结果很大程度上代表了企业的IT管理情况,通过绩效考核报告确保董事会成员了解企业IT管理情况;通过汇报纠正措施,确保董事会了解未完成的考核部分的纠偏思路。实际答案是D,且不说公司董事会成员凑齐开会有多难,有哪家公司会董事会、CIO及技术委员会之间召开会议,开个会就能确保董事会收到IT的足够信息了?技术委员会一天天找董事会全部成员汇报技术细节?
2、单点登入(SSO)的主要风险:()
A、单一系统故障会影响所有系统
B、不能有效的留下访问轨迹
C、一次登入所有系统
D、系统整合困难
我觉得答案是C,SSO最大的问题在于安全性,一旦登录系统被攻破,那么所有系统都会受到波及。实际答案是A,必须是登录系统故障才会影响所有系统啊,如果是子系统B故障怎么影响全部系统?这也不是SSO主要风险啊。
3、组织把一个重要的业务系统迁移到服务器-客户机架构上,最大的风险是:()
A、组织的开发维护人员没有服务器-客户机的开发维护经验
B、某些项目变更未正式批准
C、服务器-客户机架构风险
D、没有迁移失败的回退方案
我觉得答案是C,把一个业务系统迁移至CS架构,最大风险应该是新的系统架构导致业务不可用。结果答案是D,可是从题干中看不出任何没有回退方案的意思,还不如说CS架构服务器宕机有风险呢。
4、与IS审计客户召开审计启动会议的主要目的是:()
A、讨论审计的范围。
B、确定审计资源需求。
C、选择审计方法。
D、审查审计客户应要求提供的证据。
我觉得答案是B,依据是自己的审计经验。我接触的审计项目基本都是审计委员会决定的,比如某经济责任审计、财务收支审计、工程审计、专项审计,从来没有和审计客户启动会时再讨论审计范围的。而且,与客户召开审计启动会时,我们都已经完成非现场审计并出具了非现场审计报告。如果此时审计范围尚未确定,那么前期的取数工作将全部推翻。参加的审计启动会,一般是和被审计单位管理层见面,并确定具体部门负责人、二级单位负责人,协调审计资源。实际答案是A。
欢迎踊跃留言。
1、以下哪一项控制措施能够最有效地确保董事会收到有关IT的足够信息?()
A、CIO应要求向董事会个别成员作简短陈述。
B、CIO及时报告绩效和纠正措施。
C、董事会成员熟悉IT并就IT问题咨询CIO。
D、董事会、CIO及技术委员会之间召开会议。
我觉得答案是B,CIO作为企业IT管理的首要负责人,其绩效考核结果很大程度上代表了企业的IT管理情况,通过绩效考核报告确保董事会成员了解企业IT管理情况;通过汇报纠正措施,确保董事会了解未完成的考核部分的纠偏思路。实际答案是D,且不说公司董事会成员凑齐开会有多难,有哪家公司会董事会、CIO及技术委员会之间召开会议,开个会就能确保董事会收到IT的足够信息了?技术委员会一天天找董事会全部成员汇报技术细节?
2、单点登入(SSO)的主要风险:()
A、单一系统故障会影响所有系统
B、不能有效的留下访问轨迹
C、一次登入所有系统
D、系统整合困难
我觉得答案是C,SSO最大的问题在于安全性,一旦登录系统被攻破,那么所有系统都会受到波及。实际答案是A,必须是登录系统故障才会影响所有系统啊,如果是子系统B故障怎么影响全部系统?这也不是SSO主要风险啊。
3、组织把一个重要的业务系统迁移到服务器-客户机架构上,最大的风险是:()
A、组织的开发维护人员没有服务器-客户机的开发维护经验
B、某些项目变更未正式批准
C、服务器-客户机架构风险
D、没有迁移失败的回退方案
我觉得答案是C,把一个业务系统迁移至CS架构,最大风险应该是新的系统架构导致业务不可用。结果答案是D,可是从题干中看不出任何没有回退方案的意思,还不如说CS架构服务器宕机有风险呢。
4、与IS审计客户召开审计启动会议的主要目的是:()
A、讨论审计的范围。
B、确定审计资源需求。
C、选择审计方法。
D、审查审计客户应要求提供的证据。
我觉得答案是B,依据是自己的审计经验。我接触的审计项目基本都是审计委员会决定的,比如某经济责任审计、财务收支审计、工程审计、专项审计,从来没有和审计客户启动会时再讨论审计范围的。而且,与客户召开审计启动会时,我们都已经完成非现场审计并出具了非现场审计报告。如果此时审计范围尚未确定,那么前期的取数工作将全部推翻。参加的审计启动会,一般是和被审计单位管理层见面,并确定具体部门负责人、二级单位负责人,协调审计资源。实际答案是A。
欢迎踊跃留言。
