免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2019年上半年 系统集成项目管理工程师 上午试卷 综合知识
  第11题      
  知识点:   基于风险的审计方法   信息系统审计   评估
  关键词:   风险   信息系统审计   信息系统        章/节:   信息系统审计的基本方法       

 
基于风险方法进行信息系统审计的步骤是( )。
①决定哪些系统影响关键功能和资产
评估哪些风险影响这些系统及对商业运作的冲击
③编制组织使用的信息系统清单并对其分类
④在评估的基础上对系统分级,决定审计优先值、资源、进度和频率
 
 
  A.  ①②③④
 
  B.  ①③②④
 
  C.  ③①④②
 
  D.  ③①②④
 
 
 

   知识点讲解    
   · 基于风险的审计方法    · 信息系统审计    · 评估
 
       基于风险的审计方法
        采用新技术能带来好处,但也会带来很多风险。此时,审计从基于控制的方法演变为基于风险的方法。
        基于风险的方法进行审计的步骤如下:
        (1)编制组织使用的信息系统清单并对其进行分类。
        (2)决定哪些系统影响关键功能和资产。
        (3)评估哪些风险会影响这些系统及对商业运作的冲击。
        (4)在上述评估的基础上对系统分级,决定审计优先级、资源、进度和频率。
 
       信息系统审计
               信息系统审计概念
               美国信息系统审计的权威专家Ron Weber将信息系统审计定义为“收集并评估证据以决定一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源”。
               信息系统审计的目的是评估并提供反馈、保证及建议,主要关注:
               .可用性:商业高度依赖的信息系统能否在任何需要的时刻都能提供服务,信息系统是否被完好保护以应对各种损失和灾难?
               .保密性:系统保存的信息是否仅对需要这些信息的人员开放,而不对其他人开放?
               .完整性:信息系统提供的信息是否始终保持正确、可信、及时,能否防止未授权的对系统数据和软件的修改?
               信息系统审计的理论基础
               信息系统审计建立在以下四种理论基础之上,分别为:
               .传统审计理论:提供了丰富的内部控制理论与实践经验,同时收集并评价证据的方法论也在信息系统审计中广泛应用。
               .信息系统管理理论:是一门关于如何更好地管理信息系统的开发与运行过程的理论,它的发展提高了系统保护资产安全、保证信息完整,并能有效地实现企业目标的能力。
               .行为科学理论:行为科学特别是组织学理论解释了组织中产生的“人的问题”,也为审计人员了解哪些行为因素可能导致系统失败提供了依据。
               .计算机科学:计算机科学本身的发展也在关注如何保护资产安全、保证信息完整,并有效地实现企业目标。
               信息系统审计的基本业务
               信息系统审计业务将随着信息技术的发展而发展,为满足信息使用者不断变化的需要而增加新的服务内容,目前其基本业务如下:
               .系统开发审计:包括开发过程的审计、开发方法的审计、为IT规划指导委员会及变革控制委员会提供咨询服务。
               .主要数据中心、网络、通信设施的结构审计:包括财务系统和非财务系统的应用审计。
               .支持其他审计人员的工作,为财务审计人员与经营审计人员提供技术支持和培训。
               .为组织提供增值服务,为管理信息系统人员提供技术、控制与安全指导,推动风险自评估程序的执行。
               .软件和硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符的审计。
               .灾难恢复和业务持续计划审计。
               .对系统运营效能、投资回报率及应用开发测试审计。
               .系统的安全审计。
               .网站的信誉审计。
               .全面控制审计等。
               针对某个信息系统进行审计时,需要注意六个方面:
               .信息系统的管理、规划与组织。
               .信息系统技术基础设施与操作实务。
               .资产的保护。
               .灾难恢复与业务持续计划。
               .应用系统的开发、交付、实施与维护。
               .业务流程评价与风险管理
               信息系统审计的依据
               信息系统审计的主要依据有:
               .一般公认的信息系统审计准则:包括职业准则、ISACA公告和职业道德规范。
               .信息系统的控制目标:信息系统审计与控制协会在1996年公布的COBIT被国际上公认为最先进、最权威的安全与信息技术管理和控制标准。
               .其他法律及规定。
               基于风险的审计方法
               采用新技术能带来好处,但也会带来很多风险。此时,审计从基于控制的方法演变为基于风险的方法。
               基于风险的方法进行审计的步骤如下:
               (1)编制组织使用的信息系统清单并对其进行分类。
               (2)决定哪些系统影响关键功能和资产。
               (3)评估哪些风险会影响这些系统及对商业运作的冲击。
               (4)在上述评估的基础上对系统分级,决定审计优先级、资源、进度和频率。
 
       评估
        评估测试不只针对物理设备,更重要的是要评估、比较各种网络技术。通常使用模拟测试配置和模拟负载进行子系统(如路由器)和网络技术(如ATM或FDDI等)的评估。评估测试不适用于全局网络,因为全局网络拓扑负载、网络设备太多,不好准确定位引起问题的原因和位置,不能进行有效的比较。多数评估测试在专用的子网测试环境中进行。
        很多公司都有其固定合作的网络设备供应商,如路由器、集线器或交换机的供应商,通常很少再做设备比较测试,但网络技术的比较测试需要经常进行。企业经常面对选择哪种技术以及怎样比较不同技术的问题,所以技术评估是评估测试中很重要的一项。
        在比较设备与技术时,除了使用专用于待测设备或技术的工程负载外,有经验的程序员也使用真实负载,使用真实负载可以了解待测设备或技术在特定环境下的运行性能。通过两种负载模式检测结果的比较,可以获知待测设备还有多少多余容量。
        评估测试与设备或技术的功能/特征测试一样,用于比较待测设备或技术的性能、稳定性、特性、易用性配置和管理等方面的功能。
        评估测试实质是衰减测试的基础,评估测试中对几种设备或技术进行比较;衰减测试中对同一设备的不同版本进行比较。测试中选择设备的标准也完全可作为验证升级版本工作正常与否的标准。尽可能多地集成在计划/设计阶段进行测试是非常好的方法,最初的产品评估测试可以被开发阶段的可接受性测试和升级阶段的衰减性测试所借鉴。
        评估测试是最常进行的测试,在设备选型、技术选型,以及网络系统升级过程中都要进行或多或少的评估测试。
        用于评估测试的负载模式和测试脚本要能有效覆盖被检测的设备和技术。常使用最好情形(工程负载)和真实负载模式进行测试,两种方式都提供了唯一的、重要的检测结果,测试人员要能够理解、解释测试结果间的不同。
        工程检测结果是被测设备和技术在最理想的情形下测试得到的结果,因此不能在真实运行环境里显示它们的运行性能;真实检测结果能很好地显示待测设备或技术在运行网络环境中的性能,但无法预测设备的总容量。如果时间允许,两种测试都要做。通常测试人员只有时间进行一种测试,一般进行最好情形的测试。许多公开发行的测试报告都是基于最好情形(工程负载)下的测试结果。
        所有的测试配置都是模拟的。用于设备比较的测试配置不一定要代表运行网络的典型配置,任何有效、公正的测试配置都能对被测产品进行很好的比较。然而,测试配置和负载越接近运行网络的配置和负载,测试的结果越能反映被测设备在运行网络中的运行情况。
        在安装和配置测试网络时必须注意:要确保配置中所有测试组件都是最新版本,使测试尽可能地公正和统一,以取得最好的测试结果。在测试非正式版时一定要小心,因为发布日期经常有错误。测试配置中安装了非正式版后,它还可能会变,所以非正式版的测试结果和正式版的测试结果经常不一致,分析非正式版的设备经常会延误项目的进行。
        进行评估测试时,除了被测设备,测试配置中的所有网络组件都要保持不变。这一点非常重要,只有这样才能保证被测设备可以进行公平比较。对于子网,这一点很容易做到(一个网络设备很容易被另一个设备所替代)。
        网络技术评估要比较各种网络技术,因而测试配置中的几个网络组件都需要更换。重要的是不要改变源或目标配置。在配置中不仅通信线路需要更换,路由器也需要更换。传输负载和端点的配置要保持不变。
        需要评估测试计划中的各个测试任务,逐步完成测试、数据收集和数据解释。在评估测试中,各测试进行的先后次序没有关系,因为它们不是线性关系,而是多次重复进行的。当在测试中发现了新的信息时,以前所做的测试可能要重新进行以确定它的测试结果,或要对以前的测试稍作改变以检验网络运行的其他方面。此外,在评估期间设备提供商经常发布新的版本或非正式的版本,所以各种基于这种设备的测试都要重新进行。
        制定网络设备、技术比较或取舍标准时,不仅要参考评估测试所得的测试结果数据,还要综合考虑其他一些信息,如各设备的性能价格比,但由于没有运行网络的持续和峰值负载要求,所以缺少比较基准,往往将产品评估测试引入歧途。
        最后要根据评估测试所得的数据和图表对网络系统作出总结性评估,并撰写网络系统评估报告。
   题号导航      2019年上半年 系统集成项目管理工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第11题    在手机中做本题