国际注册内部审计师

为了帮助考生系统的复习2012年内部审计师考试课程，全面的了解内审师考试教材的相关重点，小编特编辑汇总了2011年国际内审师考试辅导资料，希望对您参加本次考试有所帮助！

内部审计师考试《内审计作用》知识点

确定违反安全规定行为的处理

内部审计师应当评价针对以往发生的及未来可能发生的对信息系统的攻击进行预防、发现和减轻措施的有效性。内部审计师应当确认董事会、审计委员会或其他治理机构已经被适当地告知了威胁、事故、发现的薄弱环节和纠正措施。

理想情况下，一些物理安全措施应在组织厂房设计时即开始考虑，如：

1.烟火警报

2.充足的照明

3.建筑物入口的电子安检设施

4.配备保安人员的接待处，访客必须佩戴标志

5.受限制的区域

另外，对员工人职前的背景调查，离职后安全状况确认以及关键岗位职责分离都是能够帮助降低物理安全风险的有效措施。

内部审计部门应当监督是否违反安全规定的行为已经被纠正且其成效如何（对于内部审计来说与纠正业务计划相似）。此时，内部审计师的工作重点应当是确保已经处理了的违反安全行为产生的根源。所有对违反安全规定行为的处理都应当定期报送董事会，包括这些行为的数量和类型以及管理层如何处理问题的根源。

报告合规情况

内部审计师应当定期评价本组织的信息安全实务，并提出改进意见和新的控制和保安措施的实施建议。在评价之后，应当向董事会、审计委员会或其他治理机构提交一份保证报告。该评价可以作为单独的审计业务，也可以与其他经批准的审计计划要求的业务一起执行。

物理安全，比如针对环境风险和未经授权访问计算机终端的保安，仍旧是内部审计关心的内容，尽管现在软件控制已经可以为信息提供大部分的保护。

另一个与信息安全有关的内部审计作用是评价遵守法律、法规有关隐私的规定。内部审计师需要（在咨询了法律顾问之后）确定与隐私有关的要求是否存在及其内容。信息系统应当遵照这些要求设计，有关要求被遵守，遵循情况被记载。

【典型试题】

1.大多数组织均关心口令被泄露的问题。下列防止罪犯获得他人口令的相关控制程序中，最为有效的是

A.仅允许使用者变更其口令并鼓励使用者频繁更换口令。

B.实施某项计算机项目，该项目可测试口令是否可被轻易猜出。

C.实施某种"透明的"验证技术，使用者使用卡片来产生口令并同时验证系统密钥及所产生的口令。

D.限制口令授权的使用时间段及位置。

答案：C

解题思路：

A.不正确。。一般来说，这种控制可以减少口令泄露的机会，但这种做法容易导致使用者忘记当前口令而无法进行正常的工作，使用者为了避免出现这种情况，通常会将口令记录在某些随手可得的介质上，这在一定程度上削弱了其效果。本控制不能彻底杜绝口令的泄露。

B.不正确。通过设置规则使口令不易被猜出确实可以减少口令泄露的机会，但也同样存在用户记忆困难的问题，而且也不能彻底杜绝口令的泄露。

C.正确。这种控制方式下的口令由卡片自动产生，而且由于密钥的介入，每次产生的口令均不相同，所有人，包括使用者本人，均无法预知下次可能生成的口令。因此，相对于其他三种控制，这种控制最为有效。

D.不正确。限制口令的使用时间和位置对减少口令的泄露有一定的帮助，但不能杜绝口令的泄露。

相关文章：

2012年内审师考试内审计作用知识点精讲汇总

2012年内部审计师考试内审计作用精选练习题汇总

更多关注：内部审计师考试报考指南   考试培训   成绩管理

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页