全部科目 > 信息系统项目管理师 >
2016年下半年 上午试卷 综合知识
第 18 题
知识点 信息安全审计系统   信息系统审计  
关键词 信息系统审计   信息系统  
章/节 信息安全审计  
 
 
以下关于信息系统审计的叙述中,不正确的是(18)。
 
  A.  信息系统审计是安全审计过程的核心部分
 
  B.  信息系统审计的目的是评估并提供反馈,保证及建议
 
  C.  信息系统审计师了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统升级与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定
 
  D.  信息系统审计的目的可以是收集并评估证件以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标
 
 




 
 
相关试题     信息安全审计 

  第18题    2010年下半年  
某高校决定开发网络安全审计系统,希望该系统能够有选择地记录任何通过网络对应用系统进行的操作并对其进行实时与事后分析和处理;具备入侵实时阻断功能,同时不对应用系统本身的正常运行产生任..

  第17题    2018年下半年  
《计算机信息系统安全保护等级划分准则》将计算机信息系统分为5个安全保护等级。其中()适用于中央国家机关、广播电视部门、重要物资储备单位等部门。

  第65题    2020年下半年  
ISO/IEC 17859标准将安全审计功能分为6个部分,其中,()通过分析系统活动和审计数据,寻找可能的或真正的安全违规操作,可以用于入侵检测或安全违规的自动响应。

 
知识点讲解
· 信息安全审计系统
· 信息系统审计
 
        信息安全审计系统
        安全审计概述
        美国国防部1985年发布了可信计算机安全评估准则(TCSEC),计算机系统的安全可信性分为4大类:D、C、B和A。A为最高一类,C分为两个子类,B分为3个子类,共有7级。
        中华人民共和国国家军用标准按处理的信息等级和采取的相应措施,将计算机系统的安全分为4等8级,分别为:
        .D等:最小保护。
        .C等:自主保护。
        C1级:自主安全保护。
        C2级:可控制访问保护。
        .B等:强制保护。
        B1级:有标号的安全保护。
        B2级:结构化保护。
        B3级:安全域。
        .A等:验证保护。
        A1级:验证设计。
        超A1级。
        中华人民共和国国家标准规定了计算机系统安全保护能力的5个等级,分别为:
        .第一级:用户自主保护级。
        .第二级:系统审计保护级。
        .第三级:安全标记保护级。
        .第四级:结构化保护级。
        .第五级:访问验证保护级。
        安全审计是指将主体对客体访问和使用的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。
        安全审计是信息安全保障系统中的一个重要组成部分,具体包括两方面的内容:
        .采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应并进行阻断。
        .对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。
        安全审计系统的作用如下:
        .对潜在的攻击者起到震慑作用。
        .对已经发生的系统破坏行为提供追纠证据。
        .提供日志便于及时发现入侵行为和系统漏洞。
        .提供日志便于发现系统性能不足之处。
        网络安全审计的具体内容有:
        .监控网络内部的用户活动。
        .侦查系统中存在的潜在威胁。
        .对日常运行状况的统计和分析。
        .对突发案件和异常事件的事后分析。
        .辅助侦破和取证。
        CC标准将安全审计功能分为6个部分,分别为:
        .安全审计自动响应功能。
        .安全审计自动生成功能。
        .安全审计分析功能。
        .安全审计浏览功能。
        .安全审计事件选择功能。
        .安全审计事件存储功能。
        建立安全审计系统
        安全审计系统的主体建设方案有:
        .利用入侵检测预警系统实现网络与主机信息检测审计。
        .对重要应用系统运行情况的审计。
        .基于网络旁路监控方式安全审计。
        安全审计系统S_Audit简介
        S_Audit网络安全审计系统是国内复旦光华公司自主知识产权的产品,它在设计上采用了分步式审计和多层次审计相结合的方案。
        S_Audit系统由审计中心、审计控制台和审计Agent组成。
        审计中心是对整个审计系统的数据进行集中存储和管理,并进行应急响应的专有软件,它基于数据库平台,采用数据库方式进行审计数据管理和系统控制,并在无人看守的情况下长期运行。
        审计控制台是提供给管理员用于对审计数据进行查阅,对审计系统进行规则设置,实现报警功能的界面软件。
        审计Agent将报警数据和需要记录的数据自动报送到审计中心,并由审计中心进行统一的调度管理。
 
        信息系统审计
               信息系统审计概念
               美国信息系统审计的权威专家Ron Weber将信息系统审计定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。
               信息系统审计的目的是评估并提供反馈、保证及建议,主要关注:
               .可用性:商业高度依赖的信息系统能否在任何需要的时刻都能提供服务,信息系统是否被完好保护以应对各种损失和灾难?
               .保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他人开放?
               .完整性:信息系统提供的信息是否始终保持正确、可信、及时,能否防止未授权的对系统数据和软件的修改?
               信息系统审计的理论基础
               信息系统审计建立在以下四种理论基础之上,分别为:
               .传统审计理论:提供了丰富的内部控制理论与实践经验,同时收集并评价证据的方法论也在信息系统审计中广泛应用。
               .信息系统管理理论:是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
               .行为科学理论:行为科学特别是组织学理论解释了组织中产生的“人的问题”,也为审计人员了解哪些行为因素可能导致系统失败提供了依据。
               .计算机科学:计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并有效地实现企业目标。
               信息系统审计的基本业务
               信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
               .系统开发审计:包括开发过程的审计、开发方法的审计、为IT规划指导委员会及变革控制委员会提供咨询服务。
               .主要数据中心、网络、通信设施的结构审计:包括财务系统和非财务系统的应用审计。
               .支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训。
               .为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导,推动风险自评估程序的执行。
               .软件和硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符的审计。
               .灾难恢复和业务持续计划审计。
               .对系统运营效能、投资回报率及应用开发测试审计。
               .系统的安全审计。
               .网站的信誉审计。
               .全面控制审计等。
               针对某个信息系统进行审计时,需要注意六个方面:
               .信息系统的管理、规划与组织。
               .信息系统技术基础设施与操作实务。
               .资产的保护。
               .灾难恢复与业务持续计划。
               .应用系统的开发、交付、实施与维护。
               .业务流程评价与风险管理
               信息系统审计的依据
               信息系统审计的主要依据有:
               .一般公认的信息系统审计准则:包括职业准则、ISACA公告和职业道德规范。
               .信息系统的控制目标:信息系统审计与控制协会在1996年公布的COBIT被国际上公认为最先进、最权威的安全与信息技术管理和控制标准。
               .其他法律及规定。
               基于风险的审计方法
               采用新技术能带来好处,但也会带来很多风险。此时,审计从基于控制的方法演变为基于风险的方法。
               基于风险的方法进行审计的步骤如下:
               (1)编制组织使用的信息系统清单并对其进行分类。
               (2)决定哪些系统影响关键功能和资产。
               (3)评估哪些风险会影响这些系统及对商业运作的冲击。
               (4)在上述评估的基础上对系统分级,决定审计优先级、资源、进度和频率。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有