CISA/CISM认证学习讨论区

wearebug · 发表于 2005-7-25 19:25

CISA Manual 2005 上有这句话：The use of continuous auditing techniques can actually improve system security when used in time-sharing environments that process a large number of transactions.
但是不知其所以然，连续的审计方式能提高处理大量交易的分时系统的安全？审计的确能改善系统的安全性，但是加上这几个定语就有点疑惑了。

wearebug · 发表于 2005-7-26 08:23

Log reviews may not result in timely detection or correction of errors. This is an example of

A. Inherent risk
B. Control risk ??????
C. Detection risk
D. Race condition risk
答案是B，可是我觉得应该是Detection risk，给定的答案正确么？

johntings · 发表于 2005-7-28 23:02

连续的审计方式以连续的方式监测大量交易的分时系统，相对于监测某一时点上的系统状态而言可以更全面的了解系统弱点和问题，从而提高安全性。

johntings · 发表于 2005-7-28 23:08

Log reviews 是事后的检查，可能不能及时发现和纠正错误，是一种控制风险，就是说这个控制手段可能失效。
Detection risk 是指稽核的检查风险，稽核了没发现错误。

wearebug · 发表于 2005-7-29 12:47

谢谢johntings，你回答了我很多问题了。

johntings · 发表于 2005-7-29 13:09

不客气：）

wearebug · 发表于 2005-11-4 09:00

Which of the following procedures would BEST determine whether adequate recovery/restart procedures exist?

A. Reviewing program code
B. Reviewing operations documentation
C. Turning off the UPS, then the power
D. Reviewing program documentation

The correct answer is:B
但是我认为C是最直接有效的办法。在通知客户要进行这样的操作后，在测试系统上操作能清楚地实现符合性测试和实质性测试。
不知道各位怎么看？

cisamaqing · 发表于 2005-11-4 09:29

最初由 wearebug 发布
[B]Which of the following procedures would BEST determine whether adequate recovery/restart procedures exist?

A. Reviewing program code
B. Reviewing operations documentation
C. Turning off the UPS, then the power
D. Reviewing program documentation

The correct answer is:B
但是我认为C是最直接有效的办法。在通知客户要进行这样的操作后，在测试系统上操作能清楚地实现符合性测试和实质性测试。
不知道各位怎么看？ [/B]

rocdu · 发表于 2005-11-8 22:40

欲参加ｃｉｓａ考试，求ｃｉｓａ习题光盘！

我想做好人 · 发表于 2005-11-9 15:00

回答WEAREBUG

直接拔电源确实可以看出BCP DRP的有效性,但问题是作为IT AUDITOR 这么做是否合适,因为拔电源对机器是有损害的吧

举个例子: 我们检测在火灾情况下的DRP ( 包括消防系统 ) 是否能够有效运行,是否一定要放一把火

我觉得稳妥的方式还是通过看相关的文档以及演练记录

CISA/CISM认证学习讨论区

看看这道题

C

求ｃｉｓａ习题光盘！

浏览过的版块