为了帮助考生系统的复习内审师课程 全面的了解内审师考试的相关重点,小编特编辑汇总了2011年内审师考试相关资料,希望对您参加本次考试有所帮助!!
4.3内部审计师对信息系统开发的参与
参与方式:连续参与开发/在系统开发结束时参与/在系统实施后参与
连续参与的好处:最大限度地降低系统重新设计的成本
4.4系统维护与变动的控制:
程序变动控制:经管理层批准/经全面测试并保存文档/必须留下何人、何时、何事的线索
修改软件的风险:使用未经审查、测试的修改软件,使被处理信息的可靠性减弱
4.5最终用户开发的风险
系统分析功能被忽略/难集成/系统内产生专用信息系统/缺乏标准和文档,使用和维护都依赖开发者/缺乏监督,失去数据一致性
4.6降低最终用户开发的风险:成立信息中心/集中系统开发专家对用户进行培训/提个开发工具与指导,协助建立质量标准/信息中心直接参与系统分析与设计/对终端用户开发的审计(确定终端用户开发的程序--对应用程序进行风险排序--对控制情况进行文件处理与测试)
4.7软件许可问题:
使用盗版软件的危害(违法/易感染病毒)/防止使用非法软件的方法(建立制度/版权法教育/定期鉴别/专人保管安装盘)/非法软件的发现(比较采购记录与可执行文件/比较序列号)
5、信息系统安全
5.1常见攻击手段:黑客/阻塞/窃听/重演/诈骗/中断/病毒
5.2不同层次的信息系统安全控制:一般控制/应用控制
一般控制:
管理控制:制定政策与程序/职责分离--系统实施控制:开发实施过程中建立控制点编制文档/--运行控制:数据存储、运行规范化要求,例如在对不需要的文件要在授权条件下及时删除,管理系统操作、性能监测、系统备份、审计日志__--软件控制:未经许可不得修改、在独立的计算机上测试所有的要进入生产环境的软件--硬件控制:保证正常运行:回拨检测、奇偶校验--访问控制(重点):标识/口令/授权/访问日志/自动注销登录/回拨/对工具软件的限制
5.3访问控制的类型:标识(唯一确定用户身份)/口令(弱控制)/授权(建立访问控制表预防未经授权访问修改敏感信息)/访问日志(检测性控制措施)/回拨(保护信息按指定路径传送)/自动注销登录(防止通过无人照管的终端来访问主机敏感信息)/对工具软件的限制
相关文章
编辑推荐:
(责任编辑:中大编辑)
微信公众号
网校手机版
Copyright © 2003 - 2021 www.wangxiao.cn All Rights Reserved. 中大英才(北京)网络教育科技有限公司 版权所有
出版物经营许可证:新出发京字第丰180113号
京B2- 20201340
京ICP备10212420号-1
京公安备11010602000551号
营业执照
