CISA/CISM认证学习讨论区

pwc102752

上面这题是很无聊的题

mmaxx

考完了才上来看看的。。。。。。。。。。。。。。。

X-Power

大家对概念好像都是死记阿。或者是因为英文的原因？我觉得还是理解后记忆好些。

应该是b，我们看一下detection risk的解释

the risk that material errors or misstatements that have occurred will not be detected by the IS auditor.

题目中是substantive procedures. 这就是题目里的陷阱。

我们知道有两种test, test of control (compliance test), test of balance (substantive test), 只有compliance test是address control risk的。

Java猪

quote:
To ensure message integrity, confidentiality and nonrepudiation between two parties, the MOST effective method would be to create a message digest by applying a cryptographic hashing algorithm against:

A. the entire message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the key by using the receiver's public key.
B. any part of the message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the key using the receiver's public key.
C. the entire message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the symetric key using the receiver's public key.
D. the entire message, enciphering the message digest using the sender's private key and enciphering the message using the receiver's public key.

在非对称加密体制中用对方的private key进行加密,用public key进行解密 所以选a 例如:rsa

lianha

[QUOTE]最初由 Java猪 发布
[B]quote:
To ensure message integrity, confidentiality and nonrepudiation between two parties, the MOST effective method would be to create a message digest by applying a cryptographic hashing algorithm against:

A. the entire message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the key by using the receiver's public key.
B. any part of the message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the key using the receiver's public key.
C. the entire message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the symetric key using the receiver's public key.
D. the entire message, enciphering the message digest using the sender's private key and enciphering the message using the receiver's public key.

在非对称加密体制中用对方的private key进行加密,用public key进行解密 所以选a 例如:rsa [/B][/QU
选D也可以吧，...the entire message, enciphering the message digest using the sender's private key 是数字签名，保证了 integrity,nonrepudiation 而enciphering the message using the receiver's public key保证了confidentiality

Java猪

quote:
To ensure message integrity, confidentiality and nonrepudiation between two parties, the MOST effective method would be to create a message digest by applying a cryptographic hashing algorithm against:

A. the entire message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the key by using the receiver's public key.
B. any part of the message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the key using the receiver's public key.
C. the entire message, enciphering the message digest using the sender's private key, enciphering the message with a symmetric key and enciphering the symetric key using the receiver's public key.
D. the entire message, enciphering the message digest using the sender's private key and enciphering the message using the receiver's public key.

在非对称加密体制中用对方的private key进行加密,用public key进行解密 所以选a 例如:rsa [/QU
选D也可以吧，...the entire message, enciphering the message digest using the sender's private key 是数字签名，保证了 integrity,nonrepudiation 而enciphering the message using the receiver's public key保证了confidentiality

在非对称加密体制中 为了保护密钥 所以引入了两个key ，一个为密钥（private）一个为公钥（pubilc），通常利用两个互质的数通过计算得到这两个key，这样做同时保证了密钥的保密性，同样也做到了抗抵赖和可验证性。 答案D提到的用发送者的密钥进行加密，用接受者公钥进行解密，这样做无法保证在分布式系统的信息的可验证性与抗抵赖，同时也不满足非对称式加密体系。

Java猪

最主要的一点是 public是很多人都知道的，所以可以用到接收者public key进行解密的数据，无法保证数据的保密性。

van27

我觉得，如果有IT Audit经验，书大概过一遍，然后集中做那几百道题就行了，关键是领悟+理解。如果没做过IT Audit，最好先看看Cobit，好对这个东西大概有个了解

cisamaqing

已经确认的演讲题目和演讲人介绍

1.从 Checklist 到 Conclusion —— 如何避免IT审计的形式化
演讲人：mikesheep,同济大学电子与信息学院博士后，同济大学经济与管理学院博士（主要研究方向：管理信息系统、信息系统审计），东北财经大学硕士（主要研究方向：会计学与财务管理），CISA，高级程序员，SCJP，IBM电子商务咨询师，IBM WSAD Developer，长期从事信息系统管理、信息系统研发及相关教学工作，并有5年信息系统审计经验和多年IT专业培训经历,目前主要研究领域为移动计算安全接入技术（博士后）。

2.对萨班斯-奥克斯利法案的遵循 - 信息技术部分
演讲人：tibet2007，CISA,Big4 Senior Manager。

3.上市公司内控要求---上交所深交所内控指引
演讲人：lslin，CISA CIA COBIT 信息产业部、人事部认定信息系统项目管理师；10余年信息化建设规划、实施及咨询经验，近6年的IT公司管理工作经验；关注内部审计、风险管理、IT治理、IT审计等领域；目前从事IT业务连续性管理、应急管理等相关咨询工作。

4.信息安全标准介绍
演讲人：易水寒江雪，BS7799LA COBIT Foundation，网络上自由传播的ISO27001和ISO20000的中文翻译作者，COBIT4.0中文翻译小组成员。

5.BCM(业务连续管理)介绍
演讲人：linkenpark,ISO27001LA。

6.信息系统审计：合规的需要？
演讲人：cisamaqing,CISA CIA CCSA。

cisamaqing

已经确认的演讲题目和演讲人介绍：
1.从 Checklist 到 Conclusion —— 如何避免IT审计的形式化
演讲人：mikesheep,同济大学电子与信息学院博士后，同济大学经济与管理学院博士（主要研究方向：管理信息系统、信息系统审计），东北财经大学硕士（主要研究方向：会计学与财务管理），CISA，高级程序员，SCJP，IBM电子商务咨询师，IBM WSAD Developer，长期从事信息系统管理、信息系统研发及相关教学工作，并有5年信息系统审计经验和多年IT专业培训经历,目前主要研究领域为移动计算安全接入技术（博士后）。
2.对萨班斯-奥克斯利法案的遵循 - 信息技术部分
  演讲人：tibet2007，CISA,Big4 Senior Manager。
3.上市公司内控要求---上交所深交所内控指引
演讲人：lslin，CISA CIA COBIT 信息产业部、人事部认定信息系统项目管理师；10余年信息化建设规划、实施及咨询经验，近6年的IT公司管理工作经验；关注内部审计、风险管理、IT治理、IT审计等领域；目前从事IT业务连续性管理、应急管理等相关咨询工作。
4.信息安全标准介绍
  演讲人：易水寒江雪，BS7799LA COBIT Foundation，网络上自由传播的ISO27001和ISO20000的中文翻译作者，COBIT4.0中文翻译小组成员。
5.BCP和BCM相关法规的要求和所需要的控制
  演讲人：linkenpark,ISO27001LA；7年IT业工作经验，5年信息安全业研究经验，4年IT公司管理经验，关注信息安全管理和技术；目前从事IT业务连续性管理、应急管理等相关咨询工作。《IT服务管理白皮书-服务台篇》评审之一,《桌面服务台与外包白皮书》作者之一,《2005-2006年度通信业网络安全市场分析》报告主编,《ITIL3.0热点分析》作者。
6.信息系统审计：合规的需要？
  演讲人：cisamaqing,CISA CIA CCSA。