cisa问题集萃.doc_第1页
cisa问题集萃.doc_第2页
cisa问题集萃.doc_第3页
cisa问题集萃.doc_第4页
cisa问题集萃.doc_第5页
已阅读5页,还剩22页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

CISA问题汇总1、问:compliance testing and substantive testing两种测试的中文翻译答:compliance testing-符合性测试;substantive testing-实质性测试。符合性测试是现代审计过程中的一个重要步骤。当我们了解了被审计对象的内部控制系统之后,要对这些控制是否象其的描述的那样良好地执行,确实起到控制作用。如果一项控制设计良好,实际执行也能令人满意,那么相应的实质性测试的工作量就可以减少,反之就要增加。、问:第115 题答:对主文件记录的关键字段进行更新,更新后生成一个报告,以供人工检查,发现错误。3、问:117题答:信号在沿介质传输的过程中振幅(amplitude)不断弱,称之为衰减(attenuation)。4、问:Registration authority与Certificate authority的区别答:registration authority:注册机关,负责密钥的维护管理; certificate authority: 发证机关,负责密钥的认证、发放。5、问:likelihood、 outsourced、 payroll如何翻译答:likelihood:事情发生的可能性。outsourced:外包的、资源引入的。payroll:工资条、工资单。6、问:As the number of computers in an organization increases, many organizations find it useful to interconnect them by a communications network. A type of network that is used to support interconnections within a building is known as ? which the answer is sure, LAN or MAN? 答:The right answer is LAN.7、问:参考资料汇编P184的Due professional care 是什么意思,怎样理解?答:Due Professional Care: 应有的职业关注。审计师在执行审计任务的过程中,应该保持的一种谨慎和敏感的态度,以发现舞弊问题。8、问:p188页第453题的答案注解好像和题目对不上,请解释。答:部分财务和经营数据原本对最终用户来说是无法访问的。为了得到这些数据,最终用户修改了标准的程序。这种作法带来的最大风险是:A、取得的数据可能是不完整的或是过时的。9、 问:CARD SWIPES的中文名字是什么?(中文解释已有了)答:card swipes 的中文名字是“刷卡”或“刷卡机”。10、问:ETHERNET是网络结构还是网络协议? 答:ETHERNET是“以太网”,IEEE(电气和电子工程师协会)规定的一种网络标准。各厂商按该标准开发网络相关产品。我们常见的局域网产品多数是“以太网”产品。它的定义如下:以太网(Ethernet)是总线结构的代表和先驱。它是1976年由美国Xerox公司首先研制成功的,它以无源的电缆作为总线来传输数据分组,并以历史上表示传播电磁波的以太(Ether) 来命名。1981年,Xerox、Dec、Intel三家公司联合推出以太网商业产品,在此基础上,1985年IEEE802委员会颁布了802.3以太网标准,最早的802.3标准为10Mbps的基带实现提供必要的技术说明和有关参数值。后来版本的标准又为别的实现提供类似的技术说明。IEEE802.3定义了多个不同的物理层规范,如图所示。每个物理层的命名都根据三个域的符号加以识别,从而使得名字本身总结其主要特征。 最早流行的IEEE 802.3标准以太网是10BASE5,使用粗同轴电缆,最大网段长度500m,基带传输,速率可达10Mbps。后来发展到采用不同介质的以太网产品和标准,包括10BASE2(细缆以太网) 、10BROAD36(宽带以太网) 、10BASE-T(双绞线以太网) 、10BASE-F、100BASE-T、1000BASE-LX(千兆位以太网Gigabit Ethernet ) 等。 以太网是当前用量最大和最流行的局域网(其它常用的局域网包括:环形结构、星形结构等) 。 以太网采用载波监听多路访问/冲突监测(CSMA/CD)(Carrier Sense Multiple Access/Collision Detect) 介质访问控制方法。11、问:Please explain the meaning of word chargeback On review manual page 69.答:chargeback 是指用户部门在使用IS部门提供的服务时,按IS部门提供的人力和机器时间等项目,负担相应的成本。这是一种内部的财务管理方式。这样可以更加准确地分清各部门发生的成本,也可以评估IS部门的工作效率和效果。12、问:P109页deadlock答:死锁。在计算机系统中,若一组进程在某一时刻发生争用系统资源的现象,但每个进程都占有了其他进程企图占用的资源,并且都要求对方让出占有资源可能释放自己占有的资源,因而相持不下,使各进程都无法继续进行下去,这种现象称为死锁。Deadlock condition: 死锁条件。计算机系统中产生死锁的条件:1)资源互斥使用;2)保持和等待;3)非剥夺性;4)循环等待。破坏这四个条件中的任何一个,就预防死锁的发生。13、问:checkpoint答:检查点。Checkpoint/restart是一种短期的、局部的备份与恢复控制机制。在数据处理事务的过程中设立“检查点”,在该点系统会自动记录自上一个检查点以来的所有处理事务。当系统出现故障时,可以从上一个检查点开始重新执行处理,而不用从整个程序的开始全部重新处理一遍,这样可以减少错误的恢复时间。14、问:lightening-induceed答: lightening-induced:“光感应”。全句的意思是,光纤传输信号不存在“串话”(cross talk)和“光感应”等干扰现象。光纤一般是玻璃纤维,外包一层“皮”。光信号在传输过程中完全被“包”在光纤中,不会象金属导线在传输电信号时会在周围形成电磁场,而影响其他导线中的信号,也会受到外界电磁场的影响。15、问:P117页delay distortion答:延迟失真。信号各频率分量在通过传输媒体时,不同频率分量传送速率是不一致的,较高频率的分量速度较低,较低频率的分量的速度较高。这样,不同的分量到达接收方的时间会不相同,所造成信号失真。16、问:P118页 up to the minute答:最新的。Most up-to-date。17、问:P120页segment sequencing,答:段(数据包)定序。数据在数据传输的过程中,发送方将一个较长的消息分成一些较短的数据包(packets)发送,这些数据包按不同的路线到达接收方,由于各数据包到达的时间不一定与发送的顺序一致,因此发送方要给这些数据包预定顺序,接收方才能按原顺序将所有数据包重新组合成原来的消息。这种情况类似于一本书每页的页码,即使将书拆散、打乱,也可以按页码重新装订起来,如果没有页码则很难恢复原样。18、问:261页 on-premise 答:在房屋内的19、问:off-premise答:在房屋外的。20、问:in-transit答:在运送途中的。21、问:答案是data incompleteness 请问为什么data inaccuracy不对,谢谢。A retail company recently installed data warehousing client software in multiple, geographically diverse sites. Due to time zone difference between the sites, updates to the warehouse are not synchronized. This will affect which of the following the MOST? (Chapter 7)a) data availabilityb) data incompletenessc) data redundancyd) data inaccuracy答: 对数据库更新的不同步可能导致数据库中数据所反映内容的不同步,如一种货物的销售收入已经记录进来,但其发生的成本尚未记录到数据库中,这种情况属于数据不完全。对答案D的理解可以是:1)已存在的数据可能还是正确的,只不过有些数据没有反映进来;或,incompleteness比inaccuracy更准确-most。23、问:为什么答案是excess override?The need for the modification of validation and editing routines to improve efficiency is normally indicated by:a) excess overrideb) an override activity report c) error control and correctiond) separation of duties答: 过多的越过控制程序表明控制措施可能存在对正常的工作产生的令人无法接受的繁琐程序。因此应对控制措施进行考察,以确定是否应予修正。24、问:模拟考试题的第200题,答案是C我不很明白C的解释,答案说“Effective firewall design and implementation strategies can notably reduce the threat of internal hacking and unauthorized access by authorized users。Firewall 主要是针对外来的非法访问,但是这么来解释答案所说的降低Internal hacking,对此应该如何理解。并且 这么解释B和A为什么不对。Which of the following BEST describes the impact that effectivefirewall design and implementation strategies have as an enabler for improved information security?A) A source of detailed information about network security.B) A focal point for security auditing, both internal and internal and external.C) A chance to significantly reduce the threat of internal hacking.D) A chance to root out undocumented connections and bring all remote access into line with written policy.答:单位内部也有黑客。防火墙可以设置在本单位与外单位的连接之间,也可以在本公司不同部门之间设置内部防火墙。A和B都不是对于提高信息安全的最好解释。一个是了解系统安全的资料、另一个是审计线索,只有C是关于直接防止非法入侵的发生。25、问:P315 Exhibit 6.3,2002 CISA REVIEW MANUAL不知表里的总数是如何计算出来的,以及有何用途。Weighting factor 是如何确定的?是不是先确定每项内容是simpleaveragecomplex,然后再乘以系数?数字3、4、5是干什么用的?如果是这样的话,计算出来的总数有什么用?答:function point:功能点数,粗略估算一个即将开发的软件的工作量和复杂程度的指标。功能点数越大,所需的成本和时间就越多。这个指标是进行工程预算和时间进度安排的根据。功能点数的确定考虑了五个方面的因素(在表中的五行),每种因素所代表的工作量是不同的。如,一个用户的输入在功能简单的情况下是3、中等是4、复杂是5,一个文件在简单的情况下是7、中等是10、复杂是15。从表中可以看出,在复杂程度相同的情况下,一个用户输入所带来的编程工作量比一个文件带来的编程工作量要小。3、4、5是用户输入在不同复杂程度下的权数。表下面的注释说明了不同的组织在使用功能点数这种方法时,要先制定出一系列的标准,以判定一项因素是简单、中等还 是复杂。26、问:Hash Total的解释?答:Hash Total 可以翻译为杂数汇总。是一种输入控制的方法。例如:在将发票的数据输入计算机之前,将这本发票中每一页的金额、数量、单价等数字加在一起得到一个没有实际含义的总数。输入计算机后,由计算机程序自动按同样的方法计算一个总数,与前一个总数对比,如果输入过程中有错误,前后两个总数就会有差别。这样就可以发现输入过程中产生的错误。27、问:复习手册p351, run_to_run totals的确切定义,并举一例说明.答:run to run total: 运行到运行汇总。保证数据在经过不同的程序处理的过程中没有被改变过遗漏。请参阅review manual p386.第8题例子。28、问:习题集p62,37题,为什么 C 不是答案, C 也应是?答:用C有可能发现问题,用A才能查找问题产生的原因29、问:习题集 p65,48题,为什么 C 不是答案, C 也应是,DDS通常是用interactive assistance 方式支持决策?答:C是一种表现方式,B才是目的(purpose)。30、问:习题集p74,79题internet expor sures 的定义是什么?答案C也可是negtive results caused by some operations ,所以也是exposures.答:internet exposures: 互联网的暴露(风险、脆弱性)。31、问:习题集p79 98题,contractual negotiation 中技术部分要谈到system 的 controls. IS auditor has more experience and expertise 应该 involved. 答:题中的关键是only,“只有IS审计人员才能”, 这显然是不对的,别人也能。32、问:习题集p82 ,109题,说明与 98题矛盾,control that has to be in place first.,而98题说 contrals 不在 contractual negotiaotion 中谈。 答:98题中说:“控制的评估不是协议洽谈的一部分”,但没说协议中不谈控制。33、问:习题集p84,115题 Field checks 也可发现 updating答:题中问的是:发现更改的是否适当,而不是有没有更改。34、问:习题集p88,130题A 也可引发的答:130题中的关键是MOST35、问:习题集p93,147题,current version 是否 supported by vendor 还需要通过 review activities 决定吗?input of the product on processing reliability是指什么? 答:该题的意思是:审计人员要知道某组织目前运行的软件是否还能得到原供货商的支持。来信中的input 应该是impact。36、问:CISA课本,386页第9题 答:在业务重组的过程中,企业管理当局往往重视系统的功能和效率,对控制常常忽视。IS审计人员最关心的就是控制问题。请参阅review manual P344.最上面一段。37、问:什么是 Kerberos? 答:Kerberos is a network authentication protocol. It is designed to provide strong authentication for client/server applications by using secret-key cryptography. A free implementation of this protocol is available from the Massachusetts Institute of Technology. Kerberos is available in many commercial products as well.The Internet is an insecure place. Many of the protocols used in the Internet do not provide any security. Tools to sniff passwords off of the network are in common use by malicious hackers. Thus, applications which send an unencrypted password over the network are extremely vulnerable. Worse yet, other client/server applications rely on the client program to be honest about the identity of the user who is using it. Other applications rely on the client to restrict its activities to those which it is allowed to do, with no other enforcement by the server.Some sites attempt to use firewalls to solve their network security problems. Unfortunately, firewalls assume that the bad guys are on the outside, which is often a very bad assumption. Most of the really damaging incidents of computer crime are carried out by insiders. Firewalls also have a significant disadvantage in that they restrict how your users can use the Internet. (After all, firewalls are simply a less extreme example of the dictum that there is nothing more secure then a computer which is not connected to the network - and powered off!) In many places, these restrictions are simply unrealistic and unacceptable.Kerberos was created by MIT as a solution to these network security problems. The Kerberos protocol uses strong cryptography so that a client can prove its identity to a server (and vice versa) across an insecure network connection. After a client and server has used Kerberos to prove their identity, they can also encrypt all of their communications to assure privacy and data integrity as they go about their business.Kerberos is freely available from MIT, under copyright permissions very similar those used for the BSD operating system and the X Window System. MIT provides Kerberos in source form so that anyone who wishes to use it may look over the code for themselves and assure themselves that the code is trustworthy. In addition, for those who prefer to rely on a professionally supported product, Kerberos is available as a product from many different vendors.In summary, Kerberos is a solution to your network security problems. It provides the tools of authentication and strong cryptography over the network to help you secure your information systems across your entire enterprise. We hope you find Kerberos as useful as it has been to us. At MIT, Kerberos has been invaluable to our Information/Technology architecture.38、问:P24, 25大家认为 isaca audit standards 要背吗?大家觉得guideline要看吗?COBIT要看吗?答:standards和guideline应该理解,但不用背. 纯粹为了考试可以不用看COBIT。39、问:P42关于sample size、GREATER EXPECT ERROR RATE、LARGER SAMPLE SIZE、GREATER SAMPLE STANDARD DEVIATION、LARGER SAMPLE SIZE、GREATER POPULATION STANDARD DEVIATION、LARGER SAMPLE SIZE的中文含义?答:sample size样本量;GREATER EXPECT ERROR RATE:更大的预期的差错率;LARGER SAMPLE SIZE:更大的样本量;GREATER SAMPLE STANDARD DEVIATION:更大的样标准差;LARGER SAMPLE SIZE:更大的样本量;GREATER POPULATION STANDARD DEVIATION:更大的总体标准差;LARGER SAMPLE SIZE:更大的样本规模.建议您找一本注册会计师考试审计教材有关抽样的部分参考。40、问:IRD PARTY是指什么呢,举个实际的例子答:与专业计算机服务公司提供本公司所没有计算机专业服务(如:硬件维修),就属于利用第三方资源.41、问:IDF是指infromation development facility 还是IPF的误印?答:误印,因为本章前文从未出现IDF的解释.42、p65 termination policies escort from the premises?(Lastedst row )答:离开单位的办公地点. 防止离职员工由于不满而发生不良行措施。43、问:P67 the 9th rowbenchtrending答:可能是bench 和 trend 的合成词. 用标准趋势来衡量.44、问:第5章,书后练习题第5题的答案十分简略,不太明白请您详细解释一下.答:system default: 系统默认设定。系统备份是每周一次,假设在上一次备份之后系统默认设定发生了改变,而今天系统被破坏需要重新恢复。这时我们只能用上次备份的系统,系统默认设定也是上周的,无法得到错误发生之前的系统默认设定值。关于P408,409,410,411,417的部分词语解释45、问:Link editor答:链接编辑器,一种系统服务程序。它可以将已经编译的(compiled)各个代码模块连接成在一起,形成可执行的程序。46、问:Middleware答:中间件。在客户机/服务器结构的网络中,为了避免应用程序的运行过分依赖于特定网络的问题,而在客户机与服务器之间加的一层软件。它的功能是提供较高层次的、跨越多种平台和协议的应用程序界面,把下层网络技术屏蔽起来,让程序员把精力集中在应用方面,而不是通信问题上,因而可使客户机/服务器模式下的应用程序编写更加容易,更能适应运行环境的发展。中间件生产厂商向用户提供一种应用软件编程接口(API),让用户将其应用程序挂到不同的网络上。47、问:Object orientation:答:面向对象。是一种系统开发方法。应用这种方法设计应用程序时,要把客观世界中的问题分解成对象(objects),通过规定程序中对象的属性(attributes)和方法(methods)来对各个对象进行描述,整个应用程序就是由各种对象组成的。例如在windows下的应用程序中,我们所看到的应用程序的界面中各种按钮就是对象,按钮的大小、位置、颜色等就是它的属性,当你用鼠标单击它时,它得到了一个消息(message),并调用与该消息对应的方法(一个程序模块)来进行相应的处理。在定义对象之前,要先定义“类”(class),类是抽象的对象,对象是是类的具体实例。48、问:Inheritance objects: 答:继承对象。在面向对象的程序开发中,可以以某个已定义好的“类”为基础来定义另一个“类”,这种方法叫“继承”(inheritance)。面向对象的数据开发,是将数据库作为对来处理。参见附件中的图例。49、问:Source lines of code: 答:源代码行数,一个简单估计编程工作量大小的方法。50、问:(PAGE105)DBMS CAN CONTROL USER ACCESS AT THE FOLLOWING LEVEL 他下面的那些分类,我搞数据库多年,还不懂他说什么?答:这一段的意思是通过定义哪些用户、哪些程序等等可以访问哪些数据库、哪些业务、哪些字段等。51、问:(PAGE114)倒数14行,THEY CAN BE CLASSIFIED , ACCORDING TO THE TYPE OF PROVICDER AS : 那是指什么分类?不懂,这些分类是什么东西?答:是指按照通讯线路的提供者对通讯连接和线路进行分类:私有的单独使用的网络;私有的网络间进行了连接;私有的共享的网络;有限的(局部的)公共网络;国家公共网络;国际公共网络。52、问:(PAGE104)DATA COMMUNICATION SOFTWARE 其实是指什么呢?答:可能是指网络协议及网络硬件驱动程序等软件。53、问:(PAGE158)BYPASS LABEL PROCESSING(BLP)答:绕过标签处理。参见194页。54、问:(PAGE191)页下方倒数第15行左右,有NEED-TO-KNOW,NEED TO DO,是什么意思?答:计算机信息只应送交给应该知道的人手里-need to know, 对数据只能进行必要的操作-need to do.这是进行计算机操作权限设置的原则。55、问:(PAGE216)关于KERBEROS等内容,有什么好的资料可看?答:请参阅下一段文字:Kerberos is a secure method for authenticating a request for a service in a computer network. Kerberos was developed in the Athena Project at the Massachusetts Institute of Technology (MIT). The name is taken from Greek mythology; Kerberos was a three-headed dog who guarded the gates of Hades. Kerberos lets a user request an encrypted ticket from an authentication process that can then be used to request a particular service from a server. The users password does not have to pass through the network. A version of Kerberos (client and server) can be downloaded from MIT or you can buy a commercial version. Briefly and approximately, heres how Kerberos works: Suppose you want to access a server on another computer (which you may get to by sending a Telnet or similar login request). You know that this server requires a Kerberos ticket before it will honor your request. To get your ticket, you first request authentication from the Authentication Server (AS). The Authentication Server creates a session key (which is also an encryption key) basing it on your password (which it can get from your user name) and a random value that represents the requested service. The session key is effectively a ticket-granting ticket. You next send your ticket-granting ticket to a ticket-granting server (TGS). The TGS may be physically the same server as the Authentication Server, but its now performing a different service. The TGS returns the ticket that can be sent to the server for the requested service. The service either rejects the ticket or accepts it and performs the service. Because the ticket you received from the TGS is time-stamped, it allows you to make additional requests using the same ticket within a certain time period (typically, eight hours) without having to be reauthenticated. Making the ticket valid for a limited time period make it less likely that someone else will be able to use it later. The actual process is much more complicated than just described. The user procedure may vary somewhat according to implementation.56、问:(PAGE237)CARD SWIPES中文是什么?是什么意思啊?”答:“刷卡机”、“刷卡”。57、问:(PAGE237)CHALLENGE /RESPONSE TOKEN 是什么啊?答:提问/应答通行口令。登录一个系统时,系统先要求用户输入ID和口令,再根据不同的用户提出问题要求用户回答,如果回答正确,则允许用户进行系统。58、问:(PAGE24)第2行“BACKUP SITE”,我想问:BACKUP SITE , RECOVERY SITE这些到底有什么区别?答:backup site:备份地。recovery site:恢复地。两者可以是一个地点在备份时是备份地,在出现灾难需要恢复时是恢复地。59、问:(PAGE255)SECURITY AND CONTROL OF OFFISTE FACILITIES 那段的第4行,“SINS IDENTIFYING THE VENDOR /COMPANY AND CONTENTS OF THE FACILITY SHOULD NOT BE PRESENT”,这是为什么呢?这样对工作不利啊!答:这样做是为了安全,使居心不良的分子不容易发现offsite facilities.60、问:(PAGE299)TESRTING的第2段最后:THE IS AUDITIOR CAN PLAY A PREVENTIVE OR TECTIVE ROLE IN THE TESTING PROCESS怎么理解?答:审计人员可以防止发生一些问题及发现一些问题,但没有责任和权力改正(corrective)问题。preventive, detective和corrective是控制的三种类型。61、问:(PAGE315)关于 BUDGET AND SCHEDULES 中的 BUDGETING NOW BECOMES A TWO-STEP PROCESS 下面的论述不是很
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论