itgle.com

一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行检查,再一次访谈中,该审计员注意到生产数据被用于测试环境中,以测试程序改变,什么是这种情况下最显著的潜在风险?()A、测试环境可能没有充足的控制以确保数据精确B、测试环境可能由于实用生产数据而产生不精的结果C、测试环境的硬件可能与生产环境不同D、测试环境可能没有充分的访问控制来确保数据机密性

题目

一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行检查,再一次访谈中,该审计员注意到生产数据被用于测试环境中,以测试程序改变,什么是这种情况下最显著的潜在风险?()

  • A、测试环境可能没有充足的控制以确保数据精确
  • B、测试环境可能由于实用生产数据而产生不精的结果
  • C、测试环境的硬件可能与生产环境不同
  • D、测试环境可能没有充分的访问控制来确保数据机密性
相似考题

1.公安信息系统评价是对一个信息系统的性能进行估计、检查、测试、分析和()。

2.持续审计方法的一个主要优势是:()A、不需要信息系统审计师对系统的可靠性收集数据B、需要信息系统审计师对所有收集的信息立刻进行审查和采取跟进措施C、当在时间共享环境中处理大量交易时,可以提高系统的安全性D、不依赖组织计算机系统的复杂性

3.在发现一个第三方应用程序与数个外部系统接口的安全漏洞后,补丁程序被应用到大量的模块中。审计师应该建议下列哪一个测试?()A、压力测试B、黑盒测试C、接口测试D、系统测试

4.在软件交付使用之后,用户将如何实际使用它,对于开发者来说是无法预测的,关于α测试和β测试,叙述不正确的是______。A) α测试由用户在开发者的场所进行B) β测试由软件的最终用户们在一个或多个客户场所进行C) α测试是在不受控的环境中进行的D) β测试是软件在一个用户自我使用的“真实”的环境中的应用A.B.C.D.

更多“一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行”相关问题

  • 第1题:

    安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中,注意到生产数据被用于测试环境测试,这种情况下存在哪种最有可能的潜在风险?()

    • A、测试环境可能没有充足的控制确保数据的精确性
    • B、测试环境可能由于使用生产数据而产生不精确的结果
    • C、测试环境的硬件可能与生产环境的不同
    • D、测试环境可能没有充分的访问控制以确保数据机密性

    正确答案:D

  • 第2题:

    一个中等大小的组织,其IT灾难恢复已实施多年,并定期检测,并刚刚开发了一个正式的业务连续性计划(BCP)。一个基本的桌面BCP工作已经顺利完成。接下来信息系统审计师应建议实施哪项策略?()

    • A、安全测试所有部门的应急站点(BCP)是否适当
    • B、涉及的所有关键人员的一系列的预定义的场景穿行测试
    • C、对业务部门的IT灾难恢复,进行测试关键应用
    • D、有限IT投入情形下的业务功能测试

    正确答案:D

  • 第3题:

    信息系统审计师正在审查对应用的访问控制,以确定10个最新的用户账号是否被适当的授权。这是一个属于以下哪个方面的例子?()

    • A、变量抽样
    • B、实质性测试
    • C、符合性测试
    • D、停走抽样

    正确答案:C

  • 第4题:

    在测试程序变更控制流程时,信息系统审计师发现,变更数量过少以至于无法对审计结论提供合理的保证。审计师最合适的行动是?()

    • A、设计一个另外的测试程序
    • B、把该缺陷向管理层汇报
    • C、对整个变更管理流程进行巡视
    • D、生成另外的程序变更样本

    正确答案:A

  • 第5题:

    审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师()。

    • A、在应用系统开发过程中,实施了具体的控制
    • B、设计并嵌入了专门审计这个应用系统的审计模块
    • C、作为应用系统的项目组成员,但并没有经营责任
    • D、为应用系统最佳实践提供咨询意见

    正确答案:A

  • 第6题:

    单选题
    在发现一个第三方应用程序与数个外部系统接口的安全漏洞后,补丁程序被应用到大量的模块中。审计师应该建议下列哪一个测试?()
    A

    压力测试

    B

    黑盒测试

    C

    接口测试

    D

    系统测试


    正确答案: C
    解析: 鉴于补丁和外部系统接口的广泛性,系统测试是最适当的。接口测试是不够的,压力或黑盒测试在安全环境中是不充分的。点评:几种测试类型的概念

  • 第7题:

    单选题
    一个项目开发团队正在考虑在测试过程中使用生产数据。在将数据载入测试环境之前,该团队将其中的敏感数据元素清除。对于这种做法,IS审计师应额外关注下列哪一项? ()
    A

    将不会测试全部功能

    B

    生产数据被引入测试环境

    C

    需要专门的培训

    D

    项目可能会超出预算


    正确答案: D
    解析: 在测试程序中使用生产数据的主要风险在于,如果没有满足要求的数据,则不会测试全部的交易或功能,如果已经清除敏感元素,那么在测试环境下使用生产数据不成问题。根据生产数据创建实验台无须具备专门知识,因此这也不是问题。项目超出预算的风险始终都要考虑,但它与测试环境下使用生产数据的做法无关。点评:对数据进行脱敏会造成不能全面进行功能测试

  • 第8题:

    单选题
    一个信息系统审计师发现用户接受测试新系统反复被中断,这是由于开发商在执行缺陷修复。以下哪个是信息系统审计是要做的最佳建议?()
    A

    考虑一个独立用户接受度环境的可行性

    B

    每天设定一个时间进行用户测试

    C

    执行一个原码版本控制工具

    D

    只重新测试高优先缺陷


    正确答案: B
    解析: 一个独立的环境或很多环境通常是有效测试的必要条件,并确保生产编码的的完整性。开发和测试编码分开是很重要的。一旦缺陷被发现,它们可以在开发环境中修复,在以控制的状态移动到测试环境前没有被打断的测试。一个独立的测试环境也可以用作最终分段区,编码移动到生产。这个加强了开发和生产编码之间的独立性。如果维持一个独立的环境,建立和更新用户化测试数据更简单。如果开发商和测试人员共享同样的环境,他们在一天的独立时间里要有效工作。不太可能提高最适宜的生产力。使用一个原码控制工具是一个好的实践,但它不能恰当减轻一个适宜测试环境的缺乏。甚至低优先修复在于系统编码其余部分结合时出现引进非有意结果的风险。为了防止这个问题,应该进行包含所有编码变更的定期回归测试。一个独立的测试环境使得回归测试更容易管理。点评:阅读理解,UAT被反复打断,故需要一个独立的环境

  • 第9题:

    单选题
    当审计师进行DRP审计时,下列哪项是一个信息系统审计师最应该关心的?()
    A

    DRP尚未经过测试

    B

    新的团队成员都没有看到过DRP

    C

    经理负责对DRP的最近的推出

    D

    DRP的手册不是定时更新


    正确答案: D
    解析: 如果没有经过测试的DRP,那么很可能该计划是不完整或不充分的。这种情况将会是一个信息系统审计师最关注的。因为该组织将没有办法准确地评估该计划是否可行。如果团队的成员都对该计划不熟悉,那么目前的成员将会帮到他们,所以这不会是一个重要的问题。而由经验丰富的人员造成的损失会引起一些问题,如果i该计划被证明是适当的。而经验不足的人员将也许能在发生灾难时执行所需要的工作职能。一个DRP的手册,定期更新,是不是次要关注的有一个没有经过测试的DRP。

  • 第10题:

    判断题
    在软件测试过程中,α测试是由一个用户在开发环境下进行的测试;β测试是由软件的多个用户在一个或多个用户环境下进行的测试。
    A

    B


    正确答案:
    解析: 暂无解析

  • 第11题:

    单选题
    审计师被对一个应用系统进行实施后审计。下面哪种情况会损害信息系统审计师的独立性?审计师()。
    A

    在应用系统开发过程中,实施了具体的控制

    B

    设计并嵌入了专门审计这个应用系统的审计模块

    C

    作为应用系统的项目组成员,但并没有经营责任

    D

    为应用系统最佳实践提供咨询意见


    正确答案: C
    解析: 暂无解析

  • 第12题:

    单选题
    信息系统审计师正在审查对应用的访问控制,以确定10个最新的用户账号是否被适当的授权。这是一个属于以下哪个方面的例子?()
    A

    变量抽样

    B

    实质性测试

    C

    符合性测试

    D

    停走抽样


    正确答案: C
    解析: 符合性测试是用来判断在政策程序的符合性上,控制是否被有效的执行。这包括判断新账户是否被适当授权的测试。变量抽样被用于估计量化的值(如美元金额)。实质性测试用于证实实际处理流程的完整性(如财务、资产平衡表)。实质性测试的开展总是基于符合性测试的结果。如果符合性测试标明内部控制措施是足够的,那么可以相应减少实质性测试。停走抽样可以最可能早的停止抽样测试,所以在检查程序控制是否被完全遵循方面是不合适的。点评:授权—控制有效性—符合性测试—属性抽样。

  • 第13题:

    在软件测试过程中,α测试是由一个用户在开发环境下进行的测试;β测试是由软件的多个用户在一个或多个用户环境下进行的测试。


    正确答案:正确

  • 第14题:

    综合测试法ITF被认为是一个有用的工具,因为它()。

    • A、对于审计应用控制来说,是一种具有成本效益的方式
    • B、允许财务和IS审计师整合他们的测试
    • C、将处理的输出结果与单独计算的数据进行比较。
    • D、为IS审计师提供分析大量信息的工具

    正确答案:C

  • 第15题:

    一个项目开发团队正在考虑在测试过程中使用生产数据。在将数据载入测试环境之前,该团队将其中的敏感数据元素清除。对于这种做法,IS审计师应额外关注下列哪一项? ()

    • A、将不会测试全部功能
    • B、生产数据被引入测试环境
    • C、需要专门的培训
    • D、项目可能会超出预算

    正确答案:A

  • 第16题:

    信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性?()

    • A、在应用系统的开发阶段执行特定的需求功能。
    • B、为了审计该应用系统而设计一个嵌入式的审计模块。
    • C、作为应用系统项目团队的一员,但不承担运行职能。
    • D、根据应用系统的最佳实践提供咨询和建议。

    正确答案:A

  • 第17题:

    为了确定在一个具有不同系统的环境中数据是如何通过不同的平台访问的,信息系统审计师首先必须审查()。

    • A、业务软件
    • B、基础平台工具
    • C、应用服务
    • D、系统开发工具

    正确答案:C

  • 第18题:

    单选题
    安全评估人员正为某个医疗机构的生产和测试环境进行评估。在访谈中,注意到生产数据被用于测试环境测试,这种情况下存在哪种最有可能的潜在风险?()
    A

    测试环境可能没有充足的控制确保数据的精确性

    B

    测试环境可能由于使用生产数据而产生不精确的结果

    C

    测试环境的硬件可能与生产环境的不同

    D

    测试环境可能没有充分的访问控制以确保数据机密性


    正确答案: C
    解析: 暂无解析

  • 第19题:

    单选题
    一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行检查,再一次访谈中,该审计员注意到生产数据被用于测试环境中,以测试程序改变,什么是这种情况下最显著的潜在风险?()
    A

    测试环境可能没有充足的控制以确保数据精确

    B

    测试环境可能由于实用生产数据而产生不精的结果

    C

    测试环境的硬件可能与生产环境不同

    D

    测试环境可能没有充分的访问控制来确保数据机密性


    正确答案: D
    解析: 许多情况下,测试环境没有配置与生产环境所采用的相同的访问控制,例如:程序员可能具有测试环境的访问特权(为了测试),但是没有对生产环境的。如果测试环境没有充分的访问控制,则生产数据将面临非法访问或数据泄漏的风险。这是所有选项中最显著的风险。测试环境中所用数据的准确性不是主要考虑的,只有这些数据具有生产环境的代表性。在测试环境中使用生产数据也不会造成生产数据不精确。没有什么不同的,使用生产数据可以提高测试过程的精确性,因为数据最真实的反映了生产环境。尽管事实如此,在测试环境中数据泄漏或非法访问的风险依然存在,因此生产数据不应该被用于测试环境,这在一个医疗机构尤为重要,病人数据的机密性非常重要,并且许多国家的隐私法对这些数据的滥用实行严格惩罚。测试环境中的硬件应当反映生产环境以确保这些测试是可以信赖的,然而这与采用生产环境的实际数据造成的风险毫不相关。选项C.是不正确的因此与该情形下的风险没有关系。点评:医疗行业更关注隐私数据的保密性问题

  • 第20题:

    单选题
    审计师在评审企业的系统开发测试策略。关于在测试过程中使用生产数据的陈述中,审计师会认为下面哪种陈述是最恰当的?()
    A

    在生产数据被用于测试以前,高级IS和业务经理必须批准该行为

    B

    只要将生产数据复制到一个安全的测试环境中,才可以被使用

    C

    生产数据绝不能被使用。必须基于书面的测试用例文档来准备所有的测试数据

    D

    签署了保密协议就可使用生产数据


    正确答案: A
    解析: 为了测试而使用生产数据有一些风险存在,这包含危害客户和员工的隐私(也可能触犯法律)和破坏生产数据。另外,有效的测试需要特别设计的数据。而某些情况下,就如大量生产的测试数据是很难或者不可能得到的,从而使生产测试数据的有效性降低。一个例子就是测试老系统的接口。实践中,文档和组织留存的、关于老系统发挥功效的说明是不完整的。测试数据转换程序是另一个例子。像增强型测试访问”真实“数据时,管理信息系统是又一个的例子。使用生产数据时的某些灵活性可能是最好的选项。除了获得高级管理层的批准,某些减轻与使用生产数据相关的风险的条件都要被考虑,比如遮盖住名字和受保护的隐私数据的字段。其他的选项都是不正确的,因为生产环境的安全性要求非常严格。选项B和D是不错的做法,但它们不能在数据所有者不在场的情况下使用。选项C有时可能不切实际的。点评:使用生产数据需包括两点:授权和脱敏

  • 第21题:

    单选题
    信息系统审计师被指派对一个应用系统进行实施后的审计。以下哪种情形可能影响信息系统审计师独立性?()
    A

    在应用系统的开发阶段执行特定的需求功能。

    B

    为了审计该应用系统而设计一个嵌入式的审计模块。

    C

    作为应用系统项目团队的一员,但不承担运行职能。

    D

    根据应用系统的最佳实践提供咨询和建议。


    正确答案: D
    解析: 信息系统审计师参与到系统的开发、获取和实施活动中,独立性就可能受损。选项BC不会损害审计师的独立性。选项D.不正确,因为以最佳实践提供咨询建议是不会损害审计师的独立性的。点评:动脑子的活最影响独立性。

  • 第22题:

    单选题
    一个中等大小的组织,其IT灾难恢复已实施多年,并定期检测,并刚刚开发了一个正式的业务连续性计划(BCP)。一个基本的桌面BCP工作已经顺利完成。接下来信息系统审计师应建议实施哪项策略?()
    A

    安全测试所有部门的应急站点(BCP)是否适当

    B

    涉及的所有关键人员的一系列的预定义的场景穿行测试

    C

    对业务部门的IT灾难恢复,进行测试关键应用

    D

    有限IT投入情形下的业务功能测试


    正确答案: C
    解析: 桌面工作已经完成后,下一步输功能测试,其中包括工作人员恢复的行政和组织功能。由于IT恢复的一部分已经测试多年,在他会更有效的验证和优化之前,实际上涉及一个全面测试BCP。完全测试在审查进程之前,每年定期测试计划进入最后一步。全面的测试中所描述的可能会失败,因为这是第一次,该计划实际是运行的情况,资源(包括IT)数目及时间的内容,而不是验证其是否充分。应用恢复应始终验证和经批准,而不是纯粹的IT驱动。灾难恢复测试无助于验证BCP当中和IT无关的行政的和组织性的部分。

  • 第23题:

    单选题
    在测试程序变更控制流程时,信息系统审计师发现,变更数量过少以至于无法对审计结论提供合理的保证。审计师最合适的行动是?()
    A

    设计一个另外的测试程序

    B

    把该缺陷向管理层汇报

    C

    对整个变更管理流程进行巡视

    D

    生成另外的程序变更样本


    正确答案: A
    解析: 如果样本大小规模不能代表数据的总体,审计师就不能对测试目标得出合理的结论。在这个例子中,信息系统审计师应该设计一个另外的测试程序(需得到管理层的批准)。选项B不正确,因为没有足够的证据来证明该发现是一个缺陷。只有当实施了分析以证实有所需的保证后,才应该开始对流程的巡视。对于审计目标来说,审计是自己生成额外的数据样本是不合适的。点评:使用多种测试方法得出审计结论。

相关内容