Ces questions ont été collectées à partir de différentes ressources ISACA officielles et tenir

compte de la nature des questions à l'examen CISA. Chaque question a une explication réponse
détaillée.

1. Un auditeur, effectuer un examen des contrôles d'une application s, découvre une faiblesse
dans le logiciel système, qui pourrait affecter significativement la demande. L'auditeur doit EST:
A. Ne pas tenir compte de ces faiblesses de contrôle comme un logiciel de système d'examen
dépasse le cadre de cet examen.
B. Procéder à un examen détaillé du système logiciel et de signaler les faiblesses de contrôle.
C. Inclure dans le rapport une déclaration précisant que la vérification a été limitée à un examen
des contrôles de l'application s.
D. Examen du logiciel système contrôle aussi pertinente et recommande une révision détaillée
du système logiciel.
Réponse: D
L'auditeur est on ne s'attend pas à ignorer les faiblesses du contrôle simplement parce qu'ils
sont en dehors de la portée de l'examen en cours. En outre, la conduite d'un examen détaillé
des systèmes logiciels peuvent nuire à l'horaire de l'audit et de la s. Auditeur peut ne pas être
techniquement compétent pour faire un tel examen en ce moment S'il ya des faiblesses dans les
contrôles qui ont été découverts par le vérificateur EST, ils devraient être divulgués.
Par l'émission d'un avertissement, cette responsabilité peut être levée. Par conséquent, l'option
appropriée serait d'examiner le logiciel des systèmes comme pertinents pour l'examen et de
recommander un logiciel approfondi des systèmes pour lesquels des ressources supplémentaires
peuvent être recommandés.

2. La raison pour laquelle les contrôles dans un environnement SI:

A. demeure inchangé par rapport à un environnement manuel, mais les fonctions de contrôle
mises en œuvre peuvent être différents.
B. Modifications à partir d'un environnement manuel, par conséquent, les fonctions de contrôle
mises en œuvre peuvent être différents.
C change d'un environnement manuel, mais les fonctions de contrôle mises en œuvre seront les
mêmes.
D. reste inchangé par rapport à un environnement manuel et les fonctions de contrôle mises en
œuvre seront également les mêmes.
Réponse: A
Les objectifs du contrôle interne s'applique à tous les domaines, qu'il soit manuel ou automatisé.
Il existe d'autres objectifs à atteindre dans l'environnement est, par rapport à l'environnement
manuel. Objectifs de contrôle communs restent inchangés tant dans le milieu EST
environnement et de l'environnement manuel, bien que la mise en œuvre des fonctions de
contrôle peut être différent dans l'environnement est, par exemple, l'adéquation de
sauvegarde / restauration dans un objectif de contrôle interne commun pour les SI et manuel.
L'objectif spécifique EST de contrôle peut être adéquatement sauvegarder le
fichiers pour permettre la récupération appropriée. Ceci peut être réalisé en mettant en œuvre
des procédures de contrôle appropriées, telles que la politique de continuité des activités, dans
le département IS.
Par conséquent, la mise en œuvre des fonctions de contrôle peut être différent dans
l'environnement EST. Mais les objectifs de contrôle communs dans un environnement est resté
inchangé depuis un environnement manuel.
3. Quels sont les types de risques suivants suppose une absence de contrôles compensatoires
dans le secteur à l'étude?
Le risque de contrôle A.
B. Détection des risques
C. Le risque inhérent
Le risque d'échantillonnage D.
Réponse: C
Le risque qu'il existe une erreur qui pourrait être important ou significatif lorsqu'il est combiné
avec d'autres erreurs rencontrées lors de l'audit, en l'absence de contrôles compensatoires liées,
est le risque inhérent. Le risque de contrôle est le risque qu'une erreur significative existe qui ne
sera pas prévenue ou détectée en temps opportun par le système de contrôles internes. Le
risque de détection est le risque quand un. Auditeur utilise une méthode d'essai inadéquate et
conclut que des erreurs matérielles n'existent pas, quand ils le font Le risque d'échantillonnage
est le risque que des hypothèses erronées sont faites sur les caractéristiques d'une population à
partir de laquelle un échantillon est prélevé.

4. Un auditeur procède à des tests de corroboration d'un module de nouveaux comptes

débiteurs. L'auditeur a un calendrier serré et de l'expertise informatique limitée. Quelle serait la
meilleure technique de vérification à utiliser dans cette situation?
A. de données de test
B. simulation parallèle
C. installation de test intégré
D. intégré audit module de
Réponse: A
Les données de test utilise un ensemble de transactions hypothétiques afin de vérifier la logique
du programme et de contrôle interne en peu de temps et pour un auditeur avec un minimum
d'arrière-plan. Dans une simulation parallèle, les résultats obtenus pour un programme en cours
sont comparés
avec les résultats d'un programme écrit pour l'auditeur IS; cette technique peut prendre
beaucoup de temps et nécessite l'expertise informatique. Une installation d'essai intégré, permet
aux données de test pour être continuellement évalués lorsque les transactions sont traitées en
ligne, ce qui
technique prend du temps et nécessite l'expertise informatique. Un module de vérification
intégré est un module de calcul programmé qui est insérée dans un programme d'application
pour tester les contrôles, cette technique est longue et nécessite l'expertise informatique.

5. L'objectif principal de tests de conformité est de vérifier si:

A. contrôles sont mis en œuvre comme prévu.
B. documentation est exacte et à jour.
C. Accès aux utilisateurs est fourni comme indiqué.
D. procédures de validation de données sont prévus.
Réponse: A
Tests de conformité sont effectuées principalement à vérifier si les contrôles, tels que choisis par
la direction, sont mises en œuvre. Vérification des documents n'est pas directement liée à des
essais de conformité. Vérifier si l'accès aux utilisateurs est fourni est un exemple de test de
conformité. Procédures de validation de données font partie des contrôles de l'application.
Vérifier si ceux-ci sont définis comme paramètres et travaille comme envisagé tests de
conformité.
6. Lequel des énoncés suivants décrit le mieux le début d'une vérification EST?
A. Observer les principales installations de l'organisation.
B. Évaluation de l'environnement SI.
C. Processus entreprise compréhension et de l'environnement applicable à l'examen.
D. Examen préalable EST rapports d'audit.
Réponse: C
Comprendre les processus d'affaires et de l'environnement applicable à l'examen est le plus
représentatif de ce qui se passe dès le début, dans le cadre d'un audit. D'autres choix ont trait
aux activités qui se produisent réellement dans ce processus.

7. Le document utilisé par le top management des organisations à déléguer des pouvoirs à la
fonction de vérification IS est le:
A. le plan de vérification à long terme.
B. Audit charte.
C. planification de la vérification méthodologie.
D. rendus du comité de direction.
Réponse: B
La charte d'audit décrit l'autorité générale, la portée et les responsabilités de la fonction d'audit
pour atteindre les objectifs de la vérification sont énoncés. Ce document sert d'instrument pour
la délégation de pouvoirs à la fonction de vérification IS.
Planification de la vérification à long terme se rapporte à ces aspects du plan de vérification qui
sont touchés par la stratégie IT de l'organisation et de l'environnement s. Planification de la
vérification commence seulement après la charte d'audit a été approuvé par le plus haut niveau
de la direction. Les méthodologies de planification des vérifications sont décidées sur la base de
l'analyse des deux questions d'audit à long et à court terme. Les procès-verbaux du comité de
pilotage devrait aborder l'approbation de la charte de l'audit mais ce n'est pas le conducteur
qui délègue des pouvoirs.

8. Avant de présenter les résultats d'une vérification à la haute direction, un auditeur doit:
A. Confirmer les résultats avec les audités.
B. Préparer un résumé et l'envoyer à la gestion des entités auditées.
C. Définir des recommandations et présenter les résultats au comité de vérification.
D. Parvenir à un accord de l'entité auditée sur les conclusions et les mesures à prendre.
Réponse: D
À l'issue d'un audit, un auditeur des SI doit discuter avec les audités les objectifs de la
vérification pour le travail effectué, le test et les techniques d'évaluation utilisées et les résultats
de ces tests qui ont conduit à des conclusions. L'auditeur doit également obtenir l'
accord / désaccord de l'audité sur les conclusions et les actions de l'auditeur envisage de
prendre.

9. Tout en développant un programme de vérification axée sur le risque, lequel des énoncés
suivants serait l'auditeur des PLUS probable concentrer?
Les processus d'affaires A.
B. applications informatiques critiques
C. Objectifs de l'entreprise
Les stratégies d'entreprise D.
Réponse: A
Une approche de vérification axée sur le risque se concentre sur la compréhension de la nature
de l'entreprise et d'être capable d'identifier et de classer les risques. Les risques commerciaux
incidence sur la viabilité à long terme d'une entreprise spécifique. Ainsi, un auditeur en utilisant
une approche d'audit basée sur le risque doit être capable de comprendre les processus
d'affaires.

10. Lequel des énoncés suivants est un test de vérification de fond?

A. Vérification qu'un contrôle de gestion a été effectué régulièrement
B. Observant que les ID utilisateur et les mots de passe sont tenus de signer sur l'ordinateur
Examen des rapports C. énumérant les livraisons incomplètes de marchandises reçues
D. Affichage d'une balance âgée des créances clients
Réponse: D
Un examen des comptes débiteurs fournira la preuve de la validité et la justesse de la balance
des états financiers. Choix A, B et C sont des tests de conformité afin de déterminer ce que les
politiques et les procédures sont respectées.

11. Laquelle des tâches suivantes est effectuée par la même personne dans un endroit bien
contrôlée traitement de l'information installation / centre informatique?
A. Administration de la sécurité et de la gestion
B. Les opérations informatiques et le développement du système
Le développement du système de gestion du changement et C.
D. Système de développement et de maintenance des systèmes
Réponse: D
Il est commun pour le développement et la maintenance à entreprendre par la même personne.
Dans les deux cas, le programmeur doit avoir accès au code source de l'environnement de
développement, mais ne devraient pas être autorisés à accéder à l'environnement de
production. Un choix n'est pas correct parce que les rôles de gestion de la sécurité et de la
gestion du changement sont des fonctions incompatibles. Le niveau des droits d'accès de
sécurité de l'administration pourrait permettre des changements de passer inaperçus.
Ordinateur
fonctionnement et le développement du système (choix B) sont incompatibles car il serait
possible pour un opérateur d'exécuter un programme qu'il / elle avait modifié. C Choix est
incorrect parce que la combinaison du développement du système de contrôle et de modification
permettrait aux modifications de programme pour contourner les autorisations de contrôle des
changements.

12. Où séparation adéquate des tâches entre les opérations et la programmation ne sont pas
réalisables, l'auditeur doit rechercher:
A. compenser contrôle.
B. administrative contrôles.
C. correctives contrôle.
D. contrôles d'accès.
Réponse: A
L'auditeur doit identifier les contrôles compensatoires telles que la sécurité informatique forte,
l'examen des registres de contrôle d'accès, l'utilisateur final la réconciliation des rapports de
contrôle et d'information dans les rapports de contrôle de transaction, où la séparation des
tâches n'est pas réalisable. Les contrôles administratifs traiter avec efficacité, l'efficience
opérationnelle et le respect des politiques de gestion. Contrôles correctives sont conçus pour
corriger les erreurs, les omissions et les utilisations non autorisées et les intrusions fois qu'ils
sont détectés. Le contrôle d'accès est le processus qui limite et contrôle l'accès aux ressources
d'un système informatique.

13. Lequel des énoncés suivants seraient inclus dans un plan stratégique SI?
A. Spécifications pour l'achat de matériel prévues
B. Analyse des objectifs commerciaux futurs
Cible C. dates de projets de développement
D. Les objectifs annuels budgétaires pour le Ministère est
Réponse: B
EST plans stratégiques doivent répondre aux besoins de l'entreprise et atteindre les objectifs
commerciaux futurs. L'achat de matériel peut être décrit mais non spécifiée et les objectifs
budgétaires ni ni des projets de développement sont des choix pertinents. Choix A, C et D ne
sont pas des produits stratégiques.

14. La responsabilité la plus importante d'un officier de la sécurité des données dans une
organisation est la suivante:
A. recommandation et le suivi des politiques de sécurité des données.
B. la promotion de sensibilisation à la sécurité au sein de l'organisation.
C. établir des procédures pour les politiques de sécurité informatique.
D. administrer les contrôles d'accès physiques et logiques.
Réponse: A
Responsabilité principale Un agent de sécurité des données s est la recommandation et le suivi
des politiques de sécurité des données. Promouvoir sensibilisation à la sécurité au sein de
l'organisation est l'une des responsabilités d'un agent de la sécurité des données. Mais, il n'est
pas aussi important que la recommandation et le suivi des politiques de sécurité des données.
Le département informatique, et non l'agent de sécurité de données, est chargé d'établir des
procédures pour les politiques de sécurité informatique recommandées par le responsable de la
sécurité des données et de l'administration des
des contrôles d'accès physiques et logiques.

15. Lequel des énoncés suivants décrit le mieux un processus de service informatique de
planification stratégique?
A. Le département IT devra soit des plans à court terme ou à long terme en fonction de vastes
plans de l'organisation et des objectifs.
B. Le plan stratégique des TI département s requiert du temps et orientée projet, mais pas aussi
détaillées que pour traiter et aider à déterminer les priorités pour répondre aux besoins de
l'entreprise.
C. planification à long terme pour le service informatique doit reconnaître les objectifs
organisationnels, les progrès technologiques et les exigences réglementaires.
D. planification à court terme pour le service informatique n'a pas besoin d'être intégrés dans les
plans à court terme de l'organisation puisque les progrès technologiques vont conduire le
service informatique des plans beaucoup plus rapide que les plans organisationnels.
Réponse: C
Planification à long terme pour le service informatique doit reconnaître les objectifs
organisationnels, les progrès technologiques et les exigences réglementaires. En règle générale,
le service informatique aura à la fois des plans à long terme et à court terme qui sont
compatibles et intégrés aux plans de l'organisation s. Ces plans doivent prendre beaucoup de
temps et axée sur les projets, tout en abordant des plans plus vastes de l'organisation s pour
atteindre les objectifs de l'organisation.

16. Quand une séparation complète des fonctions ne peuvent pas être réalisés dans un
environnement de système en ligne, laquelle des fonctions suivantes doivent être séparés des
autres?
A. Origine
B. Autorisation
C. Enregistrement
Correction D.
Réponse: B
L'autorisation devrait être séparé de tous les aspects de la tenue des dossiers (création,
l'enregistrement et la correction). Une telle séparation améliore la capacité de détecter
l'enregistrement des transactions non autorisées.

17. Dans une petite entreprise, où la séparation des tâches n'est pas pratique, un employé
remplit la fonction d'opérateur sur ordinateur et programmeur d'application.
Lequel des contrôles suivants devraient l'auditeur des recommandations?
A. automatisé de journalisation des modifications apportées aux bibliothèques de
développement
B. Du personnel supplémentaire pour assurer une séparation des tâches
C. Procédures qui permettent de vérifier que les modifications apportées au programme
seulement approuvés sont mis en œuvre
D. Contrôles d'accès à empêcher l'opérateur de faire des modifications de programme
Réponse: C
Dans les petites organisations, il n'est généralement pas approprié de recruter du personnel
supplémentaire pour parvenir à une stricte séparation des tâches. L'auditeur doit EST chercher
des alternatives. Parmi les choix, C est la seule pratique qui a un impact. L'auditeur des SI doit
recommander des processus qui détectent les changements de source de production et code
objet, comme la comparaison de code pour que les changements puissent être examinés par un
tiers sur une base régulière. Ce serait un processus de contrôle de compensation. Choix A,
impliquant l'exploitation des modifications apportées aux bibliothèques de développement, ne
serait pas détecter les modifications de bibliothèques de production. Choix D est en effet
nécessiter une tierce partie pour faire des changements, ce qui peut ne pas être pratique dans
une petite organisation.

18. Un comité de pilotage il serait très probablement effectuer laquelle des fonctions suivantes?
A. Placement d'un ordre d'achat avec le fournisseur approuvé IT
B. Installation des logiciels systèmes et logiciels d'application
C. Assurer la liaison entre le service informatique et l'utilisateur département
Interroger le personnel D. pour le département IT
Réponse: C
Un comité de pilotage pour la technologie de l'information est un mécanisme permettant de
s'assurer que les systèmes d'information des stratégies sont en harmonie avec la mission de
l'entreprise et ses objectifs. Ce comité sert typiquement un conseil de révision générale pour les
grands projets SI et ne devrait pas s'impliquer dans les opérations de routine. Placement des
ordres d'achat, de l'installation du logiciel et du personnel des entrevues pour le département IT
sont des opérations de routine qui sont effectuées par les ministères respectifs. Un comité de
pilotage serait d'assurer la liaison entre le Ministère et le service utilisateur.

19. Un auditeur des audits est les contrôles relatifs au licenciement. Lequel des énoncés
suivants est l'aspect le plus important d'être révisés?
A. Le personnel de l'entreprise associée sont informés de la cessation
B. ID utilisateur et les mots de passe de l'employé ont été supprimés
C. Les détails de l'employé ont été retirés des dossiers de paie actifs
Propriété de la Société D. remis à l'employé a été renvoyé
Réponse: B
Le plus grand risque est l'accès à l'information logique par un employé licencié. Cette forme
d'accès est possible si le nom d'utilisateur et mot de passe de l'employé congédié n'ont pas été
supprimés. Si l'ID utilisateur n'est pas désactivé ou supprimé, il est possible que l'employé sans
visiter physiquement l'entreprise peut accéder à l'information. Le potentiel de perte en raison de
l'accès à l'information est beaucoup plus élevé, par rapport au paiement du salaire et non-retour
de biens sociaux.

20. Lors de l'examen d'un accord de niveau de service pour un centre informatique externalisé
un auditeur des SI doit d'abord déterminer ce qui suit:
A. le coût proposé pour les services est raisonnable.
B. mécanismes de sécurité sont précisées dans l'accord.
C. les services dans l'accord sont fondées sur une analyse des besoins de l'entreprise.
L'accès audit D. au centre informatique est autorisé en vertu de l'accord.
Réponse: C
La première considération dans l'examen de l'accord est de s'assurer que l'entreprise demande
pour les services les plus appropriés pour répondre à ses besoins opérationnels. Il convient de
prouver qu'ils ont examiné quels services sont nécessaires, tant pour le présent et dans l'avenir.
Le coût est important (choix A), étant donné que l'entreprise peut payer pour les niveaux de
services qui ne sont pas nécessaires ou ne conviennent pas, mais ce n'est pas de première
importance. Tous les deux, l'accès audit (choix D) et des objectifs de sécurité, plutôt que les
mécanismes de sécurité (choix B), sont des questions à prendre en considération dans le cadre
de l'examen, mais ne sont pas de première importance.

21. Le principal avantage de la normalisation est la base de données:

Redondance minimisation A. d'informations dans les tables nécessaires pour satisfaire les
besoins des utilisateurs.
B. capacité de satisfaire plus de recherches.
C. maximisation de l'intégrité des données en fournissant des informations dans plus d'une
table.
D. minimisation des temps de réponse plus rapide à travers le traitement de l'information.
Réponse: A
La normalisation signifie l'élimination des données redondantes. Par conséquent, l'objectif de la
normalisation des bases de données relationnelles est de minimiser la quantité d'informations en
éliminant les données redondantes dans les tableaux, traitement rapide des demandes des
usagers et le maintien de l'intégrité des données. Maximiser la quantité d'informations est
contraire aux règles de normalisation. Si l'information donnée est fournie dans les tableaux de
différence, l'objectif de l'intégrité des données peuvent être violés parce qu'un tableau peut être
mis à jour et pas d'autres. Les règles de normalisation préconisent le stockage des données
dans une seule table, par conséquent, réduire le temps de réponse plus rapide à travers le
traitement de l'information.

22. Laquelle des topologies de réseaux suivantes fournit la plus grande redondance en cas de
défaillance d'un noeud?
A. Mesh
B. étoiles
C. Anneau
D. Bus
Réponse: A
Dans la configuration de maille, les périphériques sont connectés avec de nombreuses
interconnexions redondantes entre les nœuds du réseau, ce qui, cédant la plus grande
redondance dans le cas où l'un des nœuds échouent, auquel cas le trafic réseau peut être
redirigé vers un autre nœud. En configuration en étoile, chaque station est reliée au moyeu
principal. Le hub principal établit la connexion entre les stations de commutation de messages
ou de la ligne. Par conséquent, la défaillance d'un nœud dans les résultats de la perturbation du
réseau. Dans l'anneau
configuration, tous les noeuds sont reliés les uns aux autres en formant un cercle, par
conséquent, la défaillance d'un noeud résultats de la perturbation du réseau. Dans la
configuration de bus, tous les appareils sont reliés le long d'une ligne de communication avec
deux points d'extrémité appelé la colonne vertébrale et, par conséquent, la défaillance d'un
nœud dans les résultats de la perturbation du réseau.

23. Un vendeur / s rendement de l'entrepreneur contre les accords de niveau de service doit
être évalué par l':
A. client.
B. entrepreneur.
C. tiers.
D. entrepreneur s de gestion.
Réponse: A
Seul le client doit évaluer la performance du fournisseur s dans un accord de niveau de service
(SLA). Cela rend le client confiant du service fourni par le fournisseur. Toutefois, la décision de
ce qu'il faut mesurer doit être décidé par le client et le fournisseur.

24. Lors de la vérification d'un système d'exploitation mainframe, ce qui serait l'auditeur des
faire pour déterminer les fonctions de contrôle sont en opération?
A. Examiner les paramètres utilisés lorsque le système a été généré
B. Options Discuter des paramètres du système avec le fournisseur
C. Évaluer la documentation des systèmes et guide d'installation
D. Consultez les programmeurs de systèmes
Réponse: A
La seule façon de déterminer les contrôles fonctionnent dans un système d'exploitation actuel
est de déterminer quels sont les paramètres étaient au moment où le système a été généré ou
créé (souvent désigné sous le chargement initial ou IPL).
Bien que les résultats de cet exercice peut être évalué plus d'une discussion avec le vendeur,
l'évaluation de la documentation et de consultation des programmeurs de systèmes, ces actions
ne seraient pas, par eux-mêmes, établir des fonctions de contrôle.
25. Lors de la réalisation d'un audit de sécurité de base de données client / serveur, l'auditeur
serait plus préoccupés par la disponibilité:
A. utilitaires système.
B. générateurs de programme d'application.
C. documentation de sécurité du système.
D. accès aux procédures stockées.
Réponse: A
Les utilitaires du système peut permettre à des modifications non autorisées à apporter aux
données sur la base de données client-serveur. Dans un audit de sécurité de base de données,
les contrôles sur les utilitaires de ce type serait la principale préoccupation du vérificateur IS.
Générateurs de programmes d'application sont une partie intrinsèque de la technologie client-
serveur, et l'auditeur serait d'évaluer les contrôles sur les droits des générateurs d'accès à la
base de données plutôt que de leur disponibilité. Documentation de sécurité devrait être limité
au personnel de sécurité autorisé, mais ce n'est pas une préoccupation majeure, ni l'accès aux
procédures stockées.

26. Lequel des énoncés suivants permettrait à une entreprise de l'étendre intranet s entreprise à
travers l'Internet à des partenaires commerciaux il s?
A. réseau privé virtuel
B. Client-Serveur
C. Dial-Up accès
D. fournisseur de service de réseau
Réponse: A
La technologie VPN permet aux partenaires externes de manière sécurisée participer à l'extranet
utilisation des réseaux publics de transport en commun ou un réseau privé. Raison du faible
coût, en utilisant les réseaux publics (Internet) comme moyen de transport est la principale
méthode.
VPN reposent sur des techniques de tunneling / encapsulation, ce qui permet le protocole
Internet (IP) pour transporter un grand nombre de protocoles différents (par exemple, SNA,
IPX, NetBEUI.) Client-serveur ne répond pas étendre le réseau à des partenaires commerciaux
(Autrement dit, le client
serveurs se réfère à un groupe d'ordinateurs au sein d'une organisation reliée par un réseau de
communication où le client est la machine requête et le serveur est la machine la fourniture.) Un
fournisseur de services réseau peut fournir des services à un
partagé réseau privé en offrant des services Internet, mais il n'a pas étendu l'intranet d'une
organisation s.

27. Qu'un auditeur des procédures de vérification du matériel de surveillance devrait revoir
A. Rapports de disponibilité du système.
B. rapports coûts-avantages.
C. Rapports de temps de réponse.
D. Rapports d'utilisation des bases de données.
Réponse: A
Un auditeur des procédures d'audit tout matériel de surveillance examinera les rapports de
disponibilité du système. Coûts-avantages rapports sont examinés au cours de l'étude de
faisabilité. Rapports de temps de réponse sont liées aux applications, et non matérielles.
Rapports sur l'utilisation de bases de données sont examinées afin de vérifier l'utilisation
optimale de la base de données dans toute l'entreprise.

28. Le dispositif qui relie deux réseaux au plus haut niveau du cadre ISO-OSI (c'est-couche
d'application) est un
A. passerelle
B. routeur
C. pont
D. brouter
Anwer: Un
Passerelle est utilisé pour connecter deux réseaux utilisant des protocoles différents à travers les
couches inférieures qui sont fixées à savoir la connectivité physique, des couches de liaison de
données, réseau et transport. Routeur est un dispositif de couche de réseau pour laquelle les
deux réseaux de connexion doit être la même couche de protocole de réseau. Pont fonctionne
dans la couche de liaison de données. Il faut avoir des protocoles de la couche liaison de
données, telles que Token Ring, Ethernet, utilisés dans les deux réseaux. Brouter est
essentiellement un pont avec une certaine
fonctionnalité de routage.

29. Lequel des énoncés suivants relatifs aux réseaux de commutation par paquets est
CORRECT?
Paquets A. pour un message donné le même trajet.
Les mots de passe B. ne peuvent être intégrés dans le paquet.
C. longueurs de paquets est variable et chaque paquet contient la même quantité
d'informations.
D. Le coût facturé pour la transmission de paquets est basé sur, et non pas la distance ou de la
voie parcourue.
Réponse: D
D est la bonne réponse puisque les frais de transport sont basés sur les paquets transmis, et
non pas la distance ou l'itinéraire parcouru. Les mots de passe et autres données peuvent être
placés dans un paquet B faisant mauvais choix. Choix A et C ne sont pas corrects en raison d'un
message complet est divisé en unités de transmission (paquets), qui sont acheminés
individuellement à travers le réseau.

30. Un auditeur lors de l'examen d'un réseau utilisé pour les communications Internet,
examinera d'abord le:
A. validité des mots de passe changent occurrences.
B. l'architecture de l'application client-serveur.
C. architecture du réseau et du design.
D. Protection pare-feu et les serveurs proxy.
Réponse: C
La première étape de l'audit d'un réseau est de comprendre l'architecture du réseau et du
design. Cela fournirait une vue d'ensemble du réseau des entreprises et sa connectivité. Ce sera
le point de départ pour identifier les différentes couches de l'architecture de l'information et
l'accès à travers les différentes couches, comme les serveurs proxy, pare-feu et client / serveur
d'application. Examiner la validité des changements ofpassword serait effectuée dans le cadre
de tests de validation.
31. Lequel des énoncés suivants fournit le meilleur contrôle de l'accès aux données de paie en
cours de traitement sur un serveur local?
A. Enregistrement des accès aux renseignements personnels
B. mot de passe séparé pour les opérations sensibles
C. Logiciel restreint les règles d'accès au personnel autorisé
L'accès au système D. limité aux heures de bureau
Réponse: C
La sécurité du serveur et le système doivent être définis pour permettre l'accès seul le personnel
autorisé à l'information sur le personnel dont les dossiers qu'ils traitent sur une base
quotidienne. Un choix est un bon contrôle en ce sens qu'il permet d'accéder à analyser si l'on
craint qu'il y ait un accès non autorisé. Toutefois, cela n'empêchera pas l'accès. Choix B, limitant
l'accès aux transactions sensibles, ne restreindre l'accès à une partie des données. Il
n'empêchera pas l'accès à d'autres données. Choix D, l'accès au système limité aux heures de
bureau, restreint uniquement lorsque l'accès non autorisé peut se produire, et n'empêcherait
pas l'accès à d'autres moments.

32. Lequel de ces préoccupations suivantes concernant la sécurité d'un message électronique
seraient traitées par les signatures numériques?
A. lecture non autorisée
B. Le vol
C. La copie non autorisée
Modification D.
Réponse: D
Une signature numérique comprend un ensemble de hachage cryptée de la taille du message tel
qu'il a été transmis par son auteur. Ce hachage ne serait plus exacte si le message a été modifié
par la suite, ce qui indique que la modification a eu lieu. Les signatures numériques ne seront
pas déceler ou prévenir aucune des autres options. La signature ne serait ni empêcher ni
décourager toute lecture, copie ou le vol.

33. La méthode la plus efficace pour limiter les dégâts d'une attaque par un virus informatique
est la suivante:
A. logiciel contrôle.
B. Les politiques, normes et procédures.
C. Contrôles d'accès logique.
D. normes de communication de données.
Réponse: A
Contrôles logiciels sous la forme de détection de virus et de programmes d'élimination sont la
façon la méthode la plus efficace pour détecter et supprimer les virus. Politiques, normes et
procédures sont importantes, car elles sont tributaires des gens, mais ils sont généralement
considérés comme moins efficaces que les contrôles logiciels. Choix C et D, ne sont pas
pertinentes pour la détection de virus.

34. Quelle est la meilleure suivant détermine que le chiffrement complet et protocoles
d'authentification existent pour protéger les informations transmises tout?
A. Une signature numérique avec RSA a été mis en œuvre.
B. Travail qui se fait en mode tunnel avec les services imbriqués de AH et ESP
C. Les certificats numériques avec RSA sont utilisés.
D. Travail qui se fait dans le mode de transport, avec les services imbriqués de AH et ESP
Réponse: B
Le mode tunnel permet le cryptage et l'authentification du paquet IP complet. Pour ce faire, les
AH (Authentication Header) et ESP (Encapsulation Security Payload) services peuvent être
imbriquées. Le mode de transport fournit une protection primaire pour les couches supérieures
des protocoles, c'est, à la protection s'étend au champ de données (payload) d'un paquet IP.
Les deux autres mécanismes fournir une authentification et d'intégrité.

35. Lequel des énoncés suivants serait le plus approprié pour assurer la confidentialité des
transactions initiées via l'Internet?
A. Signature numérique
B. Data Encryption Standard (DES)
C. de réseau privé virtuel (VPN)
D. cryptage à clé publique
Réponse: D
Le chiffrement est le seul moyen d'assurer les transactions sur Internet sont confidentielles, et
des choix disponibles, l'utilisation de la cryptographie à clé publique est la meilleure méthode.
Les signatures numériques ferait en sorte que la transaction soit pas changé et ne peut pas être
nié, mais ne serait pas garantir la confidentialité.

36. L'objectif principal d'un pare-feu est de protéger:

A. les systèmes internes de l'exploitation par des menaces extérieures.
B. les systèmes externes de l'exploitation par les menaces internes.
C. des systèmes internes de l'exploitation par les menaces internes.
D. lui-même et contre les systèmes reliés utilisée pour attaquer d'autres systèmes.
Réponse: A
Pare-feu est placé à l'endroit où le réseau interne se connecte à l'extérieur comme Internet. Il
agit comme un garde de sécurité pour le réseau, en le protégeant contre les attaques
malveillantes provenant de l'extérieur du réseau de l'organisation s. Il filtre les paquets venant
vers et sortir du réseau interne et empêche les paquets malveillants d'y entrer et refuse l'accès
aux ressources interdites sur l'Internet pour les utilisateurs internes. Ce n'est ni la responsabilité,
ni est-il possible pour l'organisation de protection des systèmes externes. Paquets dont les
adresses IP source et destination se référer à des hôtes du même réseau ne sont pas envoyées
sur le réseau et, partant, ne constituent pas une menace pour la sécurité. Choix D n'est pas un
objectif primordial, car c'est juste une forme d'attaque des pirates recours à du pare-feu protège
le réseau interne forme.

37. Lequel des énoncés suivants est un exemple de la technique de la biométrie physiologique?
Scans manuels A.
B. Voix analyse
C. Signature analyse
Surveillance de frappe D.
Réponse: A
Biométriques physiologiques sont basés sur la mesure de données dérivé à partir de la mesure
directe d'une partie du corps humain. Choix B, C et D sont des exemples de comportements
biométrie.
38. Un auditeur vient de terminer l'examen d'une organisation qui a un ordinateur central et un
environnement client-serveur où toutes les données de production résident. Lequel de ces
faiblesses suivantes serait considéré comme le plus grave?
A. L'agent de sécurité est aussi l'administrateur de base de données (DBA.)
B. contrôles Mot de passe ne sont pas administrés sur l'environnement client / serveur.
C. Il n'existe pas de plan de continuité d'activité en cas de non-critiques du système mainframe
s applications.
D. La plupart des réseaux locaux ne sauvegardez pas les disques du serveur de fichiers fixes
régulièrement.
Réponse: B
L'absence de contrôles de mot de passe sur le client-serveur où les données de production
réside est la faiblesse la plus critique. Tous les autres résultats, alors qu'ils sont les faiblesses du
contrôle, ne portent pas le même impact désastreux.

39. Une organisation se propose d'installer une connexion unique établissement donnant accès à
tous les systèmes. L'organisation doivent être conscients que:
A. maximale tout accès non autorisé serait possible si un mot de passe est divulguée.
B. Les droits d'accès des utilisateurs serait limitée par les paramètres de sécurité
supplémentaires.
Charge de travail C. L'administrateur de sécurité s augmenterait.
D. Droits d'accès des utilisateurs serait augmenté.
Réponse: A
Si un mot de passe est fournie lorsque l'authentification unique est activée, il ya un risque que
l'accès non autorisé à tous les systèmes ne sera possible. Les droits d'accès des utilisateurs
devrait rester inchangé par single sign-on que les paramètres de sécurité supplémentaires ne
sont pas nécessairement mises en œuvre. L'un des avantages attendus de single sign-on, c'est
que l'administration de la sécurité serait simplifiée et une charge de travail accrue est peu
probable.

40. Un site web B to C e-commerce dans le cadre de son programme de sécurité de

l'information veut surveiller, détecter et prévenir les activités de piratage et d'alerter
l'administrateur système lors des activités suspectes. Lequel des éléments d'infrastructure
suivants pourraient être utilisés à cette fin?
A. Systèmes de détection d'intrusion
Les pare-feu B.
Routeurs C.
D. asymétrique de chiffrement
Réponse: A
Les systèmes de détection d'intrusion détecter l'activité d'intrusion basé sur les règles
d'intrusion. Il peut détecter à la fois l'activité, une intrusion extérieure et intérieure et envoyer
un message d'alarme automatisé. Les pare-feu et les routeurs empêcher les communications
non désirées et bien définie entre les réseaux internes et externes. Ils n'ont pas les systèmes
automatiques de messagerie d'alarme.

41. Lors d'une vérification d'un accord de reprise après sinistre réciproque entre deux sociétés,
l'auditeur serait essentiellement préoccupés par:
A. le bien-fondé de l'analyse d'impact.
B. matériel et la compatibilité logicielle.
C. Les différences dans IS politiques et procédures #.
D. fréquence des tests système.
Réponse: B
Pour un accord de réciprocité pour être efficace, le matériel et les logiciels sur les deux sites
doivent être compatibles. Processus pour assurer cela s'est produit doivent être en place. Choix
D, la fréquence des tests du système, est une préoccupation, mais la raison pour considérer que
cela est qu'il teste la compatibilité matérielle et logicielle. Un choix est une question lors de
l'examen du processus de planification, et non pas l'accord de réciprocité. C Le choix n'est pas
un problème car l'organisation peut avoir des différences dans les politiques et procédures et
toujours être en mesure de gérer leurs systèmes sur chacun des sites s autres en cas de
catastrophe.

42. Un auditeur EST découvre qu'un plan de continuité des activités de l 'organisation prévoit un
site de traitement alternatif qui pourra accueillir cinquante pour cent de la capacité de
traitement primaire. Sur cette base, quelles sont les actions suivantes devraient prendre
l'auditeur des?
A. Ne rien faire, parce que généralement, moins de vingt-cinq pour cent de l'ensemble du
traitement est essentiel à la survie d'une organisation s et la capacité de sauvegarde, est donc
adaptée.
B. Identifier les applications qui pourraient être traités à l'autre site et élaborer des procédures
manuelles pour sauvegarder d'autres traitements.
C. Assurez-vous que les applications critiques ont été identifiés et que l'autre site pourrait traiter
toutes ces demandes.
D. Recommande que l'installation de traitement des informations pour organiser un site de
traitement alternent avec la capacité de traiter au moins 75 pour cent du traitement normal.
Réponse: C
Plans de continuité opérationnelle devrait permettre le rétablissement des systèmes critiques, et
pas nécessairement tous les systèmes. Peut-être que cinquante pour cent des systèmes de
l'entreprise sont essentielles. Par conséquent, une évaluation minutieuse des systèmes critiques
et des exigences de capacité devrait faire partie du test de l'auditeur est de ce plan.

43. Lequel des éléments suivants d'un plan de continuité d'activité est principalement la
responsabilité d'une organisation s la DSI?
A. L'élaboration du plan de continuité des activités
B. Sélection et approbation de la stratégie pour le plan de continuité d'activité
C. Déclaration d'un sinistre
D. Restauration des systèmes IS et de données après un sinistre
Réponse: D
Le bon choix est la restauration des systèmes informatiques et des données après un sinistre. Le
département informatique d'une organisation est principalement responsable de la restauration
des systèmes informatiques et des données après un sinistre au moment le plus précoce
possible. La haute direction de l'organisation est principalement responsable de l'élaboration du
plan de continuité des activités d'une organisation. Ils sont également responsables de la
sélection et de l'approbation de la stratégie pour le développement et la mise en œuvre d'un
plan de continuité des opérations détaillé. L'organisation doit identifier une personne en tant
que responsable de la gestion de déclarer un sinistre. Bien qu'il soit impliqué dans toutes les
trois autres composantes, ce n'est pas le principal responsable pour eux.
44. Lequel des points suivants devraient être inclus dans le plan de continuité d'activité?
A. Le personnel requis pour maintenir les fonctions critiques de l'entreprise à court terme,
moyen et long terme
B. La possibilité d'une catastrophe naturelle survient, comme un tremblement de terre
Des événements catastrophiques C. impact des systèmes d'information et de traitement des
utilisateurs finaux fonctions
D. Une analyse des risques qui tient compte des dysfonctionnements des systèmes, des
suppressions accidentelles de fichiers ou autres défaillances
Réponse: A
Si un plan d'affaires unifié de continuité n'existe pas, le plan de traitement des systèmes
d'information devrait être étendue pour inclure la planification pour toutes les unités qui
dépendent de systèmes de traitement de l'information fonctions. Mais, lors de la formulation
d'une
approfondie plan de continuité d'activité, une question très importante à considérer est le
personnel qui sera nécessaire pour maintenir les fonctions critiques de l'entreprise au fil du
temps, jusqu'à ce que l'organisation est à nouveau pleinement opérationnelle. Une autre
question importante concerne la configuration des équipements d'affaires, par exemple,
bureaux, chaises, téléphones, etc, qui seront nécessaires pour maintenir les fonctions critiques
de l'entreprise à court terme, à moyen et long terme. Choix B est erronée parce qu'elle a à voir
avec ce qu'est un bon plan de continuité prendra en compte en cas d'événements
catastrophiques qui se produisent. Cela pourrait être considéré comme un sous-ensemble d'un
plan de continuité de l'activité, mais il n'a pas le même impact que le personnel nécessaire et
formés pour effectuer en cas de catastrophe naturelle. C Le choix est incorrecte parce que,
comme dans le cas des catastrophes naturelles, ce qui pourrait être considéré comme un sous-
ensemble d'un plan de continuité de l'activité, mais il n'a pas le même impact que le personnel
nécessaire et formés pour effectuer dans le cas d'une catastrophe qui aurait un impact systèmes
de traitement de l'information et des utilisateurs finaux fonctions. Un choix serait le sujet et
choix B et C serait la cause de déployer le plan de continuité d'activité. Choix D est incorrect
parce qu'il traite les interruptions de service ayant leurs racines dans dysfonctionnements des
systèmes, mais là encore, ce serait un autre aspect traité dans le plan de continuité des affaires,
mais pas d'une question principale inclus.

45. Lors d'une vérification d'un plan de continuité d'activité, quels sont les constats suivants est
le plus préoccupant?
R. Il n'y a pas d'assurance pour l'ajout d'actifs au cours de l'année.
B. BCP manuel n'est pas mis à jour sur une base régulière.
C. Test de la sauvegarde de données n'a pas été fait régulièrement.
D. dossiers pour l'entretien du système d'accès n'ont pas été maintenues.
Réponse: C
L'atout le plus vital pour une entreprise est une donnée. Dans un plan de continuité d'activité, il
est essentiel de s'assurer que les données sont disponibles. Par conséquent, des tests réguliers
de la sauvegarde des données doit être faite. Si le test n'est pas fait, l'organisation peut ne pas
être en mesure de récupérer les données en cas de besoin lors d'une catastrophe, d'où
l'entreprise peut perdre son atout le plus précieux et peut ne pas être en mesure de se remettre
de la catastrophe. La perte en raison de l'absence d'assurance est limitée à la valeur des actifs.
Si le manuel n'est pas mis à jour BCP, la société peut trouver le manuel BCP pas totalement
pertinente pour la récupération en cas de catastrophe. Toutefois, la reprise pourrait être encore
possible. De maintenance non d'enregistrements dans un système d'accès ne sera pas un
impact direct sur la pertinence du plan de continuité d'activité.

46. Classification des systèmes d'information est essentiel dans la planification de continuité des
activités. Lequel de ces types de systèmes suivants ne peuvent pas être remplacées par des
méthodes manuelles?
A. Le système critique
B. Vital système
C. Système Sensitive
D. Non-critique du système
Réponse: A
Les fonctions d'un système critique ne peut être remplacé par des capacités identiques.
Les fonctions des systèmes vitaux et sensibles peuvent être effectuées manuellement. Choix D
est un leurre.

47. Un auditeur IS devrait être impliqué dans:

A. observant les tests du plan de reprise après sinistre.
B. l'élaboration du plan de reprise après sinistre.
C en maintenant le plan de reprise après sinistre.
D. revoir les exigences de reprise après sinistre de contrats avec les fournisseurs.
Réponse: A
L'auditeur des SI doit toujours être présent lorsque les plans de reprise après sinistre sont testés
afin de s'assurer que le test répond aux objectifs requis pour la restauration et les procédures
de recouvrement sont efficaces et efficients, les rapports sur les résultats, le cas échéant.
EST commissaires aux comptes peuvent être impliqués dans la supervision de l'élaboration du
plan, mais ils sont peu susceptibles d'être impliqués dans le processus de développement réel.
De même, un audit du plan de maintenance peut être effectuée, mais le vérificateur EST
n'auraient normalement pas une
la responsabilité de l'entretien proprement dit. Un auditeur est peut être appelé à commenter
les différents éléments d'un contrat de fournisseur, mais, encore une fois, ce n'est pas toujours
le cas.

48. La fenêtre de temps de récupération des capacités de traitement de l'information est basée
sur:
A. criticité des processus concernés.
B. qualité des données à traiter.
C. nature de la catastrophe.
D. applications qui sont basées mainframe.
Réponse: A
La criticité des processus qui sont touchées par la catastrophe est la base de calcul de la fenêtre
de temps de récupération. La qualité des données à traiter et la nature du sinistre ne sont pas la
base de la détermination de la fenêtre
temps. Être une application mainframe ne pas de se doter d'une fenêtre de la base de temps.

49. Lors d'un audit informatique d'une grande banque, un auditeur constate que l'absence
d'exercice d'évaluation formelle des risques a été effectuée pour les différentes applications
métiers pour arriver à leur importance relative et les exigences de temps de récupération. Le
risque que la banque est exposée à l'est que:
A. Plan de continuité d'activité peut ne pas avoir été calibré pour le risque relatif que la
perturbation de chaque application pose à l'organisation.
Plan de continuité d'activité B. peut ne pas inclure toutes les applications pertinentes et donc
peut-être pas l'exhaustivité en termes de couverture.
Impact sur l'entreprise C. d'une catastrophe peuvent ne pas avoir été correctement compris par
la direction.
D. Plan de continuité des activités peut-être pas une réelle appropriation par les propriétaires
d'entreprises de ces applications.
Réponse: A
La première étape clé dans le développement d'un plan de continuité des activités est un
exercice d'évaluation des risques qui analyse les différents risques auxquels une organisation est
confrontée et l'impact de la non-disponibilité des applications individuelles. Section 4.9.1.2 de la
norme BS
7799 (Standard sur Information Security Management) prévoit que le plan de la stratégie,
fondée sur une évaluation appropriée des risques, doivent être mis au point pour l'approche
globale de la continuité des activités.

50. Lequel des énoncés suivants est nécessaire d'avoir d'abord dans le développement d'un plan
de continuité d'activité?
A. axé sur les risques classification des systèmes
B. Inventaire de tous les actifs
C. La documentation complète de toutes les catastrophes
D. Disponibilité de matériel et de logiciels
Réponse: A
Un bien défini, le système de classification fondé sur le risque pour tous les actifs et les
processus de l'organisation est l'un des élément le plus important pour initialiser les efforts de
continuité des activités de planification. Un système bien défini de classification fondé sur le
risque aiderait à identifier la criticité de chacun des processus clés et les actifs utilisés par
l'organisation. Cela aiderait à l'identification facile des actifs et des processus clés pour être
sécurisés et envisage de faire pour récupérer ces processus et les actifs au plus tôt après une
catastrophe. Inventaire des biens essentiels et non l'ensemble des actifs est nécessaire pour
initier un plan de continuité d'activité. La documentation complète de toutes les catastrophes
n'est pas une condition préalable pour amorcer un plan de continuité d'activité, les catastrophes
plutôt différentes sont considérées lors du développement du plan et que celui ayant un impact
sur l'organisation est abordée dans le plan. La disponibilité du matériel et des logiciels n'est pas
nécessaire pour amorcer le développement d'un plan, mais il est considéré lors de l'élaboration
du plan détaillé, conformément à la stratégie adoptée.

51. Les plans de test d'applications sont développées dans lequel le cycle suivant de
développement des systèmes (SDLC) phases?
A. Conception
B. Essai
C. Exigence
D. Développement
Réponse: A
L'élaboration de plans de test pour les différents niveaux de tests est l'une des principales
activités au cours de la phase de conception de développement d'applications. Les plans de test
sont utilisés dans le test logiciel lui-même.

52. Lequel des tests suivants confirment que le nouveau système puisse fonctionner dans son
environnement cible?
Test sociabilité A.
Les tests de régression B.
Des essais de validation C.
D. tests boîte noire
Réponse: A
Test sociabilité est utilisé pour confirmer que le système nouveau ou modifié peut fonctionner
dans son environnement cible sans nuire sur le système existant. Les tests de régression est le
processus de réexécuter une partie d'un scénario de test ou d'un plan de test pour s'assurer que
les changements ou corrections n'ont pas introduit de nouvelles erreurs.
Des essais de validation est utilisé pour tester la fonctionnalité du système par rapport aux
exigences détaillées pour s'assurer que le logiciel qui a été construit est traçable aux besoins des
clients. Tests boîte noire examine certains aspects du système pendant les tests d'intégration
avec peu d'égard pour la structure de la logique interne du logiciel.

53. La personne la plus appropriée pour présider le comité de pilotage pour un projet de
développement du système, avec un impact significatif sur un secteur d'activité serait la:
A. analyste d'affaires.
B. dirigeant principal de l'information.
C. chef de projet.
D. gestionnaire de niveau exécutif.
Réponse: D
Le président du comité de pilotage doit être un cadre supérieur (directeur de niveau exécutif)
ayant le pouvoir de prendre des décisions concernant les besoins de l'entreprise, les ressources
prioritaires et les résultats du système. Le directeur de l'information (DPI) ne devrait
normalement pas être le président, bien que le CIO ou son représentant sera membre à fournir
des commentaires sur les stratégies d'organisation de large. Le chef de projet et l'analyste
d'affaires n'ont pas un niveau approprié d'autorité au sein de l'organisation,

54. L'objectif principal de procéder à un essai parallèle d'un nouveau système est de:
A. vérifier que le système fournit des fonctionnalités métier requis.
B. valider le fonctionnement du nouveau système par rapport à son prédécesseur.
C. résoudre les éventuelles erreurs dans le programme et interfaces de fichiers.
D. vérifier que le système peut traiter la charge de production.
Réponse: B
L'objectif de fonctionnement en parallèle est de vérifier que le nouveau système produit les
mêmes résultats que l'ancien système. La vérification de la fonctionnalité à travers les tests
d'acceptation, alors que la résolution des erreurs dans les programmes se fait par des tests
système. Vérifier que le système peut gérer la charge de production peut être un critère
secondaire d'un essai parallèle, mais ce n'est pas le but principal. Si c'était le but principal, il
serait sans doute un test de stress de fonctionner dans l'environnement de test.
55. Modifier les procédures de contrôle pour éviter la dérive des objectifs au cours d'un projet
de développement d'application doit être défini lors de:
A. conception.
B. faisabilité.
C. la mise en œuvre.
D. Définition des besoins.
Réponse: A
Les procédures de contrôle des changements sont généralement communs pour les applications
au sein d'une organisation, mais les applications spécifiques des procédures de contrôle des
changements doivent être définis lors de la phase de conception du SDLC et devrait être basée
sur les modules du logiciel. Les autres choix sont incorrects. Il est encore trop tôt pour définir
les procédures de contrôle des changements au cours de la phase de faisabilité, et il serait trop
tard pendant la phase de mise en œuvre et après la mise en œuvre du logiciel.

56. Lequel des énoncés suivants serait probablement s'assurer que le projet de développement
du système répond aux objectifs de l'entreprise?
A. Maintien de grumes de changement de programme
B. Mise au point d'un plan de projet d'identifier toutes les activités de développement
Communiqué C. changements applicatifs à des moments précis de l'année
L'implication des usagers dans la spécification du système D. et l'acceptation
Réponse: D
L'implication de l'utilisateur effectif (choix D) est le facteur le plus déterminant pour s'assurer
que la demande satisfait aux objectifs de l'entreprise. Choix A, B et C sont des outils de gestion
de projet et techniques et ne sont pas eux-mêmes des méthodes pour faire en sorte que les
objectifs de l'entreprise sont pris en charge par le système d'application.

57. Lequel des énoncés suivants est une mesure de la taille d'un système d'information basé sur
le nombre et la complexité des entrées d'un système de s, les sorties et les fichiers?
Fonction point A. (FP)
B. Programme technique d'examen des évaluations (PERT)
C. Conception rapide d'applications (RAD)
D. méthode du chemin critique (CPM)
Réponse: A
Des points de fonction (PF) l'analyse est une mesure de la taille d'un système d'information basé
sur le nombre et la complexité des entrées, des sorties et des fichiers avec lequel un utilisateur
voit et interagit avec. MF sont utilisés d'une manière analogue à une LOC
mesurer des attributs de productivité, de qualité et d'autres logiciels. PERT est une technique de
gestion de réseau utilisé à la fois dans la planification et le contrôle des projets. RAD Data
Communications est une méthodologie qui permet aux entreprises de développer des systèmes
d'importance stratégique plus rapide tout en réduisant les coûts de développement et le
maintien de la qualité. CPM est utilisé par des techniques de gestion de réseau tels que PERT,
pour calculer le chemin critique.

58. Lors de la vérification de la phase exigences d'un logiciel d'acquisition, l'auditeur doit:
A. évaluer la faisabilité de l'échéancier du projet.
B. évaluer les processus du fournisseur s de qualité proposés.
C. faire en sorte que le meilleur logiciel est acquis.
D. revoir l'intégralité du cahier des charges.
Réponse: D
Le but de la phase des exigences consiste à spécifier les fonctionnalités du système proposé,
par conséquent l'auditeur IS se concentrerait sur l'intégralité du cahier des charges. La décision
d'acheter un forfait auprès d'un fournisseur viendrait
après que les conditions ont été achevés. Donc des choix B et C sont incorrects. Un choix est
incorrect, car le calendrier du projet ne sont pas normalement trouvé dans un cahier des
charges.

59. Le but des programmes de débogage consiste à:

A. générer des données aléatoires qui peuvent être utilisés pour tester les programmes avant
leur mise en œuvre.
B. protéger, lors de la phase de programmation, les modifications valides ne soient remplacés
par d'autres changements.
C. définir les coûts des programmes de développement et d'entretien à inclure dans l'étude de
faisabilité.
D. s'assurer que les arrêts de programme anormales et les défauts du programme de codage
sont détectées et corrigées.
Réponse: D
Débogage fournit la base pour le programmeur de corriger les erreurs de logique dans un
programme en cours de développement avant de passer en production. Des outils tels que les
moniteurs chemins logiques, des dumps mémoires et de sortie des analyseurs d'aide dans ce
processus.

60. Maintenabilité du logiciel concerne MEILLEUR auxquels des attributs logiciels suivants?
A. Ressources nécessaires pour apporter des modifications déterminées.
Effort B. nécessaire pour utiliser l'application système.
C. Relation entre la performance des logiciels et des ressources nécessaires.
D. Le respect des besoins des utilisateurs.
Réponse: A
Maintenabilité est l'ensemble des attributs qui porte sur l'effort nécessaire d'apporter des
modifications spécifiées. D'autres choix ont trait aux attributs logiciels pour la convivialité,
l'efficacité et la fonctionnalité, respectivement.

61. La gouvernance permet à une organisation aligne sa stratégie IT avec:

A. Objectifs d'entreprise.
B. IT objectifs.
C. Objectifs de la vérification.
D. Objectifs de finances.
Réponse: A
IT gouvernance veille à ce que l'organisation aligne sa stratégie IT avec les objectifs de
l'entreprise / entreprise. Choix B, C et D sont trop limitées.

62. Une validation qui assure que les données d'entrée sont adaptés aux limites prédéterminées
ou des taux raisonnables occurrence, est connu sous le nom:
A. raisonnable vérifier.
B. Validité vérifier.
C. Existence vérifier.
Limite D. vérifier.
Réponse: A
Un contrôle raisonnable garantit que les données d'entrée sont adaptés aux limites
prédéterminées ou des taux raisonnables occurrence. Un contrôle de validité est une vérification
de la validité programmée de données conformément à des critères prédéterminés. Contrôles
existence
sont des contrôles pour les données correctement et rentra accord avec valables critères
prédéterminés. Un chèque limite assure que les données ne dépasse pas une valeur
prédéterminée.

63. Au cours de laquelle des étapes suivantes dans l'réingénierie des processus d'affaires devrait
l'équipe de benchmarking visitez le partenaire de benchmarking?
A. Observation
B. Planification
C. Analyse
D. Adaptation
Réponse: A
Au cours de la phase d'observation, l'équipe de collecte des données et rend visite au partenaire
de benchmarking. Dans la phase de planification, l'équipe identifie les processus critiques aux
fins d'analyse comparative. La phase d'analyse consiste à résumer et
l'interprétation des données recueillies et l'analyse des écarts entre les processus d'une
organisation et de processus de son partenaire s. Au cours de l'étape d'adaptation, l'équipe a
besoin de traduire les résultats en quelques principes de base et de travailler en baisse par
rapport aux principes
stratégies, aux plans d'action.

64. Laquelle des procédures suivantes devraient être mises en œuvre afin d'assurer
l'exhaustivité des transactions entrantes via l'échange de données informatisé (EDI)?
Comptes sectoriels A. construits dans la remorque ensemble de transactions
B. Un logarithme du nombre de messages reçus, vérifié périodiquement avec l'auteur de
transaction
C. Une piste de vérification électronique pour le suivi et la reddition de comptes
D. transactions assorties d'accusé de réception reçu dans le journal des messages EDI envoyés
Réponse: A
Les totaux de contrôle intégrés dans l'enregistrement de fin de chaque segment est la seule
option qui assurera à toutes les transactions individuelles sont envoyées complètement reçu. Les
autres options fournir des preuves à l'appui, mais leurs résultats sont incomplets ou pas en
temps opportun.

65. Un utilitaire est disponible pour mettre à jour les tables critiques en cas d'incohérence des
données. Cet utilitaire peut être exécuté à l'invite OS ou comme l'une des options de menu dans
une application. Le meilleur contrôle afin d'atténuer le risque de manipulation non autorisée de
données est de:
A. supprimer le logiciel utilitaire et installez-le en cas de besoin.
B. fournir un accès aux services publics en cas de nécessité d'utilisation de base.
C. fournir un accès à l'utilité de la gestion des utilisateurs
D. définir l'accès pour que l'utilitaire peut être exécuté uniquement dans l'option de menu.
Réponse: B
Utilitaire dans ce cas est un programme de correction des données pour corriger toute
incohérence dans les données. Toutefois, cet utilitaire peut être utilisé pour over-ride mauvaise
mise à jour des tables directement. Par conséquent, l'accès à ce service public doit être limitée
en cas de nécessité d'utilisation de base et un journal doit être généré automatiquement chaque
fois que cet utilitaire est exécuté. La haute direction devrait revoir périodiquement ce journal.
Suppression de l'utilité et de l'installer au fur et à requis peut ne pas être réalisable en pratique,
car il serait temps de retard. L'accès aux services publics ne doivent pas être fournis à la gestion
des utilisateurs. Définir l'accès pour que l'utilitaire peut être exécuté dans une option de menu
ne peut pas générer un journal.

66. Lorsqu'elles effectuent un examen des business process re-engineering, un auditeur a

constaté qu'un contrôle clé préventive avait été enlevé. Dans ce cas, l'auditeur doit:
A. informer la direction de la constatation et de déterminer si la direction est prête à accepter le
risque matériel potentiel de ne pas avoir que le contrôle de la prévention.
B. déterminer si un contrôle policier a remplacé la lutte préventive pendant le processus et si
c'est le cas, ne pas signaler l'enlèvement de la lutte préventive.
C. recommandons de cela et toutes les procédures de contrôle qui existaient avant que le
processus a été remanié être inclus dans le nouveau processus.
D. développer une approche de vérification continue de surveiller les effets de la suppression du
contrôle préventif.
Réponse: A
Un choix est la meilleure réponse. La direction doit être informée immédiatement afin de
déterminer s'ils sont prêts à accepter le risque matériel potentiel de ne pas avoir que le contrôle
préventif en place. L'existence d'un contrôle policier au lieu d'un contrôle préventif augmente
généralement les risques qu'un problème matériel peut se produire. Souvent, au cours d'un BPR
de nombreux non-valeur ajoutée contrôles seront éliminés. C'est une bonne chose, sauf si elles
augmentent les risques commerciaux et financiers. L'auditeur peut souhaiter surveiller ou de
recommander que la gestion de surveiller le processus de nouveau, mais cela doit être fait
seulement après que la direction a été informé et accepte le risque de ne pas avoir le contrôle
préventif en place.

67. Lequel des énoncés suivants est un objectif de contrôle de sortie?

A. Maintien des registres de lots précis
Exhaustivité B. de traitement par lots
C. comptables appropriées pour les rejets et les exceptions
D. Autorisation des mises à jour de fichiers
Réponse: C
Les exceptions et les rejets sont des produits de sortie qui doit être pris en compte par les
contrôles de sortie appropriés. Choix A, B et D sont des objectifs de contrôle d'entrée.

68. Dans un système qui enregistre toutes les créances pour une entreprise, les créances sont
comptabilisées sur une base quotidienne. Lequel des énoncés suivants permettrait de s'assurer
que les soldes débiteurs ne sont pas modifiées entre les missions?
Contrôles Range A.
Nombre d'enregistrements B.
C. Séquence de contrôle
D. Run-to-Run totaux de contrôle
Réponse: D
Run-to-run de contrôle totaux sont les totaux de domaines clés - dans ce cas, les montants des
soldes de créances - prises lorsque les créances sont affichés. Si les totaux sont recalculés et
comparés avec solde précédent, ce serait de détecter des altérations surviennent entre des
affectations. Nombre d'enregistrements et la vérification de deux séquences ne détecterait des
documents manquants. Ils ne voulaient pas de détecter les situations dans lesquelles les
documents sont modifiés, mais le nombre d'enregistrements sont inchangées. Vérifications de
plage ne détecte lorsque les soldes sont en dehors d'une plage de valeurs prédéterminée et non
des changements aux soldes au sein de ces gammes.

69. Lequel des énoncés suivants est le problème le plus important de l'auditeur des processus
d'affaires dans un re-engineering (BPR) du projet serait?
A. La perte de l'encadrement intermédiaire, ce qui est souvent le résultat d'un projet de BPR
B. Que les contrôles sont généralement une faible priorité à un projet de BPR
C. L'impact négatif considérable que la protection de l'information pourrait avoir sur BPR
D. Le risque d'échec en raison de la grande taille de la tâche habituellement réalisée dans un
BPR projet
Réponse: B
Les contrôles doivent accorder une priorité élevée au cours d'un projet de BPR, donc ce serait
un sujet de préoccupation pour l'. Auditeur si elles ne sont pas suffisamment pris en compte par
la direction Le fait que les cadres moyens est perdu, comme il est indiqué dans le choix de A,
n'est pas nécessairement un sujet de préoccupation dans la mesure où les contrôles sont en
place. Choix C et D n'ont pas de pertinence pour un projet de BPR.

70. Pour répondre à des critères prédéfinis, lequel des techniques de vérification continus serait
mieux identifier les transactions à l'audit?
Systèmes de contrôle A. Examen des dossiers d'audit et de vérification des modules embarqués
(ECHARPE / EAM)
Simulation B. continu et intermittent (CEI)
C. Installations d'essai intégrés (ITF)
D. Vérification des crochets
Réponse: B
Simulation continu et intermittent (CEI) est un ensemble complexe de programmes modérément
que lors d'un processus de fonctionner d'une transaction, simule l'exécution de l'instruction de
sa demande. Comme chaque transaction est conclue, le simulateur détermine si la transaction
répond à certains critères prédéterminés et si c'est le cas, les audits de la transaction. Sinon, le
simulateur attend jusqu'à ce qu'il rencontre la prochaine transaction qui répond aux critères.
Crochets vérifications qui sont de faible complexité accent sur les conditions spécifiques au lieu
de critères détaillés dans l'identification des transactions aux fins d'examen. ITF est incorrecte
parce que son accent est mis sur test par rapport à des données en direct. Et ECHARPE / EAM
accent est mis sur les contrôles par opposition aux données.

71. Dans une approche d'audit basée sur le risque, un auditeur, en plus du risque, serait
influencée par:
A. la disponibilité des CAAT.
B. Gestion de la représentation.
C. structure organisationnelle et les responsabilités professionnelles.
D. l'existence de contrôles internes et opérationnels
Réponse: D
L'existence de contrôles internes et opérationnels auront une incidence sur l'approche de
l'auditeur est à la vérification. Dans une approche fondée sur les risques de l'. Auditeur n'est pas
de compter uniquement sur les risques, mais aussi sur les contrôles internes et opérationnels
ainsi que la connaissance de l'entreprise et l'entreprise Ce type de décision d'évaluation des
risques peut aider à raconter l'analyse coûts-avantages du contrôle du risque connu, ce qui
permet des choix pratiques. La nature des techniques d'analyse disponibles et les
représentations de la direction, ont peu d'impact sur l'approche d'audit basée sur le risque.
Bien que la structure organisationnelle et les responsabilités d'emploi doivent être pris en
considération, ils ne sont pas directement pris en compte que si elles ont un impact contrôles
internes et opérationnels.

72. La mesure dans laquelle les données seront recueillies au cours d'une vérification EST doit
être déterminée en fonction de l':
A. disponibilité de l'information essentielle et nécessaire.
B. auditeur a connaissance de la situation.
C. audité capacité à trouver des éléments de preuve pertinents.
D. but et la portée de l'audit en cours.
Réponse: D
La mesure dans laquelle les données seront recueillies au cours d'une. EST vérification doivent
être directement liés à la portée et le but de l'audit Un audit avec un but et la portée étroite
entraînerait très probablement dans la collecte de données moins élevé qu'un audit avec une
plus grande
objet et la portée. La portée d'un audit SI ne doit pas être limitée par la facilité d'obtenir des
informations ou de la familiarité de l'auditeur avec le domaine audité. Recueillir tous les
éléments de preuve requis est un élément obligatoire d'un audit est
et la portée de la vérification ne devrait pas être limité par la capacité de l'entité auditée afin de
trouver des preuves pertinentes.

73. Le principal avantage d'une approche d'audit en continu, c'est qu'il:

A. n'exige pas qu'un auditeur de recueillir des preuves sur la fiabilité du système pendant
l'exécution a lieu.
B. nécessite l'auditeur d'examiner et de suivre immédiatement sur toutes les informations
recueillies.
C peut améliorer la sécurité du système lorsqu'il est utilisé en temps partagé des
environnements qui traitent un grand nombre de transactions.
D. ne dépend pas de la complexité des systèmes informatiques d'une organisation.
Réponse: C
L'utilisation des techniques de vérification continus peuvent réellement améliorer la sécurité du
système lorsqu'il est utilisé en temps partagé des environnements qui traitent un grand nombre
de transactions, mais laisser une trace écrite rares. Un choix est incorrect, car l'approche d'audit
en continu ne nécessitent souvent qu'un auditeur de recueillir des preuves sur la fiabilité du
système pendant l'exécution a lieu. Choix B est incorrect puisque l'auditeur normalement
examiner et de suivre uniquement sur des lacunes ou des erreurs détectées. D Le choix est
erroné puisque l'utilisation de techniques d'audit en continu ne dépend de la complexité des
systèmes informatiques d'une organisation.

74. Lequel des contrôles suivants de saisie de données fournit la plus grande assurance que les
données sont correctement saisies?
A. Utilisation de la vérification des clés
B. Séparation de la fonction de saisie de données à partir de la saisie des données de
vérification
C. Le maintien d'un journal / dossier détaillant l'heure, la date, les initiales de l'employé / user id
et les progrès de la préparation des données diverses tâches de vérification
D. Ajout chiffres de contrôle
Réponse: A
La vérification des clés ou un-à-un contrôle donnera le plus haut degré de confiance que les
données entrées sont exempts d'erreurs. Toutefois, cela pourrait ne pas être pratique pour de
grandes quantités de données. La ségrégation de la fonction de saisie de données à partir de la
saisie des données de vérification est un contrôle d'entrée de données supplémentaires, mais ne
traite pas de la précision. Le maintien d'un journal / dossier détaillant l'heure, la date, des
initiales employé / ID utilisateur et le progrès de la préparation des données diverses tâches de
vérification, fournit une piste d'audit. Un chiffre de contrôle est ajouté aux données pour que les
données originales n'ont pas été modifiés. Si un chiffre de contrôle est mal calé, cela conduirait
à accepter des données incorrectes, mais ne s'appliquent pas à ces éléments de données ayant
un chiffre de contrôle.

75. Logiciel de surveillance capacité est utilisée pour assurer:

Une utilisation maximale de la capacité disponible A..
B. que les acquisitions futures de répondre aux besoins des utilisateurs.
C. l'utilisation simultanée d'un grand nombre d'utilisateurs.
D. continuité des opérations efficaces.
Réponse: D
Logiciel de surveillance montre la capacité de l'utilisation réelle des systèmes en ligne par
rapport à leur capacité maximale. Le but est de permettre au personnel de support logiciel pour
faire en sorte que le fonctionnement efficace, sous forme de temps de réponse, est maintenue
dans le cas où l'utilisation commence à approcher de la capacité maximale disponible. Les
systèmes devraient jamais être autorisés à fonctionner à capacité maximale. Logiciel de
surveillance vise à empêcher cela. Bien que les rapports du logiciel peut être utilisé à l'appui
d'une analyse de rentabilisation
pour des acquisitions futures, il ne fournit aucune information sur l'effet des besoins des
utilisateurs et il ne serait pas à garantir une utilisation simultanée du système par les
utilisateurs, sauf pour souligner niveaux d'accès utilisateur.

76. Lequel des expositions suivantes associées à la bobinage de rapports sensibles pour
l'impression déconnecté aurait un auditeur des considérons comme le plus grave?
A. Les données sensibles peuvent être lus par les opérateurs.
B. Données peuvent être modifiés sans autorisation.
Copies non autorisées C. rapport peut être imprimé.
D. Produits peuvent être perdues en cas de défaillance du système.
Réponse: C
À moins contrôlé, bobinage pour l'impression hors ligne peut permettre à d'autres exemplaires à
imprimer. Les fichiers d'impression ne sont pas susceptibles d'être disponibles pour la lecture en
ligne par les opérateurs. Les données sur les fichiers spools sont pas plus faciles à modifier sans
autorité que n'importe quel autre fichier. Il ya habituellement une moindre menace d'accès non
autorisé à des rapports sensibles en cas de défaillance du système.
77. Parmi les types suivants de pare-feu serait mieux protéger un réseau contre une attaque
Internet?
A. pare-feu réseau filtré
B. Le filtrage applicatif passerelle
Packet C. routeur filtrant
D. Circuit-niveau de la passerelle
Réponse: A
Un pare-feu réseau filtré offrirait la meilleure protection. Le routeur de filtrage peut être un
routeur commercial ou un noeud avec des capacités de routage et de la capacité de permettre
ou d'éviter le trafic entre les réseaux ou nœuds basés sur les adresses, ports, protocoles,
interfaces, etc passerelles de niveau application sont des médiateurs entre les deux entités qui
souhaitent communiquer, également connu en tant que passerelles proxy. Le niveau de
l'application (proxy) travaille au niveau de l'application, non seulement au niveau du package. Le
dépistage du contrôle au niveau paquet, les adresses, les ports, etc, mais ne voit pas le contenu
du paquet. Un routeur filtrant examine l'en-tête de chaque paquet de données ou de
déplacement entre l'Internet et le réseau d'entreprise.

78. L'application d'une date limite de conservation sur un fichier veillera à ce que:
A. Les données ne peuvent être lues jusqu'à ce que la date est fixée.
B. Les données ne seront pas supprimés avant cette date.
C. copies de sauvegarde ne sont pas conservées après cette date.
D. ensembles de données ayant le même nom sont différenciés.
Réponse: B
Une date limite de conservation fera en sorte qu'un fichier ne peut pas être remplacé avant
cette date est passée. La date limite de conservation n'affectera pas la capacité de lire le fichier.
Les copies de sauvegarde serait susceptible d'avoir une date de conservation différente et donc
peut être conservé après le fichier a été écrasé. La date de création, et non pas la date de
conservation, permet de différencier les fichiers avec le même nom.

79. Une signature numérique contient un condensé de message à:

A. montrer si le message a été modifié après la transmission.
B. définir l'algorithme de chiffrement.
C. confirmer l'identité de l'expéditeur.
D. permettre la transmission de messages dans un format numérique.
Réponse: A
Le résumé de message est calculé et inclus dans une signature numérique à prouver que le
message n'a pas été altéré. Ce devrait être la même valeur que le recalcul effectué à la
réception. Elle ne définit pas l'algorithme ou permettre la transmission en format numérique et
n'a aucun effet sur l'identité de l'utilisateur, étant là pour assurer l'intégrité plutôt que d'identité.

80. Lequel des énoncés suivants serait la meilleure méthode pour assurer que les champs
critiques dans une fiche ont été correctement mis à jour?
Contrôles sur le terrain A.
B. Contrôle s'élève à
Contrôles de vraisemblance C.
D. A-avant et après rapport de maintenance
Réponse: D
Un avant-et-après le rapport de la maintenance est la meilleure solution, car un examen visuel
permettrait la vérification la plus positive que la mise à jour était bon.

81. Un environnement TCP / IP est exposé à l'Internet. Quelle est la meilleure qui suit assure le
chiffrement complet et protocoles d'authentification existent pour protéger les informations
transmises tout?
A. Travaux est complétée en mode tunnel avec la sécurité IP en utilisant les services imbriqués
de tête d'authentification (AH) et Encapsulating Security Payload (ESP).
B. Une signature numérique avec RSA a été mis en œuvre.
C. Les certificats numériques avec RSA sont utilisés.
D. Travail est en cours d'achèvement dans les services TCP.
Réponse: A
Mode tunnel avec sécurité IP permet le chiffrement et l'authentification du paquet IP complète.
Pour ce faire, les AH (Authentication Header) et ESP (Encapsulation Security Payload) services
peuvent être imbriquées. Choix B et C fournissent des
d'authentification et d'intégrité. Services TCP ne prévoit pas de cryptage et d'authentification.

82. Pour empêcher que les systèmes informatiques d'une organisation de faire partie d'une
distribution par déni de service attaque, les paquets IP contenant les adresses qui sont
répertoriés comme non routable peut être isolé par:
A. établir un filtrage de trafic sortant.
B. activation diffuse de blocage.
C. limiter les services admissibles.
D. surveillance des performances du réseau.
Réponse: A
Routeurs programmés avec un filtrage de trafic sortant, déposez les paquets sortants qui
contiennent les adresses des autres que l'organisation de l'utilisateur, y compris les adresses de
source qui ne peuvent pas être routés. Le blocage de diffusion peut être fait par filtrage des
routeurs ou pare-feu. Lorsque programmées, les paquets IP en provenance d'Internet et en
utilisant une adresse qui diffuse à tous les ordinateurs sur le réseau de l'organisation de
destination peut être supprimé. Pare-feu et routeurs filtrants peut être programmé pour limiter
les services non autorisés par la politique et peut aider à prévenir l'utilisation des systèmes de
l'entreprise. Cependant, ce ne sera pas isoler les paquets qui ne peuvent pas être routés. Suivi
des performances réseau est un moyen de surveiller les performances du système d'intrusions
potentiels sur une base temps réel et pourrait aider à identifier les volumes de trafic
inhabituelles.

83. Un auditeur des faire des tests de pénétration lors d'une vérification des connexions Internet
serait:
A. évaluer des configurations.
B. examiner les paramètres de sécurité.
C. garantir un logiciel antivirus est en cours d'utilisation.
D. utiliser des outils et des techniques qui sont disponibles pour un pirate.
Réponse: D
Les tests de pénétration est une technique utilisée pour imiter un pirate expérimenté attaquant
un site en ligne en utilisant les outils et techniques disponibles à un pirate. Les autres choix sont
les procédures que l'auditeur ne EST envisager d'entreprendre au cours d'une vérification de
Connexions Internet, mais ne sont pas les aspects des techniques de tests de pénétration.
84. Un commissaire aux comptes effectue un examen de contrôle des télécommunications
d'accès devraient être concernés en premier lieu aux:
A. entretien des journaux d'accès de l'utilisation des différentes ressources système.
B. autorisation et l'authentification de l'utilisateur avant d'accorder l'accès aux ressources du
système.
C. La protection adéquate des données stockées sur les serveurs de chiffrement ou d'autres
moyens.
Système de responsabilité et D. la possibilité d'identifier un terminal d'accès aux ressources du
système.
Réponse: B
L'autorisation et l'authentification des utilisateurs est l'aspect le plus important dans une revue
de contrôle d'accès de télécommunications car elle est un contrôle préventif. La faiblesse des
contrôles à ce niveau peut affecter tous les autres aspects. L'entretien des journaux d'accès de
l'utilisation des ressources du système est un contrôle policier. Une protection adéquate des
données transmises vers et depuis les serveurs au moyen de chiffrement ou d'un autre est un
procédé de protection d'informations lors de la transmission et n'est pas un problème d'accès.
Le système de reddition de comptes et la capacité d'identifier n'importe quel terminal d'accès
aux ressources du système face à contrôler l'accès grâce à l'identification d'un terminal.

85. Une organisation envisage de raccorder un critique système basé sur PC à l'Internet. Lequel
des énoncés suivants offrirait la meilleure protection contre le piratage?
A. Une passerelle de niveau application
B. Un serveur d'accès distant
C. Un serveur proxy
D. Port balayage
Réponse: A
Une passerelle de niveau application est la meilleure façon de protéger contre le piratage, car il
est possible de définir des règles détaillées qui décrivent le type d'utilisateur ou de connexion
qui est, ou n'est pas autorisée. Il analyse en détail chaque colis, non seulement dans les
couches une à quatre du modèle OSI mais aussi cinq couches à sept, ce qui signifie qu'il passe
en revue les commandes de chaque protocole de niveau supérieur (HTTP, FTP, SNMP, etc) Pour
une distance accéder au serveur il ya un dispositif (serveur) pour demander le nom d'utilisateur
et
mots de passe avant d'entrer dans le réseau. C'est une bonne chose lorsque vous accédez à des
réseaux privés, mais il peut être mappé ou scannées à partir d'Internet la création de
l'exposition sécurité. Les serveurs proxy peuvent fournir une protection basée sur l'adresse IP et
les ports. Cependant, une personne est nécessaire qui sait vraiment comment faire cela et
secondes applications peuvent utiliser des ports différents pour les différentes sections de leur
programme. Balayage de ports fonctionne quand il ya une tâche très spécifique à faire, mais pas
lorsque vous essayez de contrôler ce qui vient de l'Internet (ou lorsque tous les ports
disponibles doivent être contrôlés en quelque sorte). Par exemple, le port de "Ping" (echo
request) pourraient être bloqués et les adresses IP serait disponible pour l'application et la
navigation,
mais ne répondrait pas à "Ping".

86. Si une base de données est restaurée à l'aide d'image avant dépotoirs, où le processus
devrait être redémarré après une interruption?
A. Avant la dernière transaction
B. Après la dernière transaction
C. La première opération après le dernier point de contrôle
D. La dernière opération avant le dernier point de contrôle
Réponse: A
Si avant que les images sont utilisées, la dernière transaction dans la décharge ne sera pas mis
à jour la base de données avant la sauvegarde prises. La dernière transaction ne sera pas mis à
jour la base de données et doit être retraité. Programme de points de contrôle ne sont pas
pertinents dans cette situation.

87. Lequel des énoncés suivants est une pratique qui devrait être intégré dans le plan pour
tester les procédures de reprise après sinistre?
A. Inviter la participation du client.
B. Faire participer tout le personnel technique.
C. Tourner gestionnaires de récupération.
D. Installation de sauvegarde stocké localement.
Réponse: C
Gestionnaires de récupération devraient être mis en rotation pour assurer l'expérience du plan
de relance se propage. Les clients peuvent être en cause, mais pas nécessairement dans tous
les cas. Pas tout le personnel technique devrait être impliqué dans chaque test. Sauvegarde à
distance ou hors site devrait
toujours être utilisé.

88. Une grande chaîne de magasins avec l'EFT au point de vente périphériques dispose d'un
processeur central de communication pour la connexion au réseau bancaire. Lequel des énoncés
suivants est le meilleur plan de reprise après sinistre pour le processeur de communication?
A. hors site de stockage des sauvegardes quotidiennes
B. Alternative place du processeur en veille
C. Installation de liens de communication duplex
D. Alternative processeur de réserve à un autre noeud du réseau
Réponse: D
Ayant un processeur de remplacement en attente sur un autre nœud du réseau serait le
meilleur.
L'indisponibilité de l'unité centrale de communication pourrait perturber tous les accès au réseau
bancaire résultant de la perturbation des opérations pour l'ensemble des magasins. Cela pourrait
être causé par une défaillance de l'équipement, l'énergie ou les communications.
Stockage hors site des sauvegardes ne serait pas utile puisque EFT tend à être un processus en
ligne et le stockage hors site ne remplace pas le traitement dysfonctionnel. La mise à disposition
d'un autre processeur sur place serait bien s'il s'agissait d'un problème matériel, mais
ne serait pas utile si la panne a été provoquée par la puissance, par exemple. L'installation de
liens de communication duplex serait plus approprié s'il n'y avait que le lien de communication
qui a échoué.

89. Lequel des énoncés suivants est une caractéristique technologie orientée objet qui permet
un plus grand degré de sécurité sur les données?
Héritage A.
B. entreposage dynamique
Encapsulation C.
Polymorphisme D.
Réponse: C
L'encapsulation est une propriété des objets, ce qui empêche d'accéder aux propriétés ou
méthodes soit, qui n'ont pas été préalablement définies comme public. Cela signifie que toute
mise en œuvre du comportement d'un objet n'est pas accessible. Un objet définit une interface
de communication avec l'extérieur et que tout ce qui appartient à cette interface peut être
consulté.

90. Lors de l'implémentation d'un progiciel d'application, lequel des énoncés suivants représente
le plus grand risque?
A. incontrôlés versions logicielles multiples
Source B. programmes qui ne sont pas synchronisés avec le code objet
C. incorrect de définir les paramètres
Les erreurs de programmation D.
Réponse: C
Les paramètres qui ne sont pas définies correctement serait la plus grande préoccupation lors
de l'implémentation d'un progiciel d'application. Les autres choix, si importantes, sont une
préoccupation du fournisseur, et non l'organisation qui met en œuvre le logiciel lui-même.

91. Lequel des contrôles suivants serait le plus efficace en veillant à ce que le code source de
production et de code objet sont synchronisés?
A. Mise en liberté à la libération des rapports de comparaison de source et de l'objet
Logiciels de commande B. Bibliothèque des changements limitant à code source
C. Accès restreint au code source et le code objet
D. Date et horodatage des critiques de source et code objet
Réponse: D
Avis date et l'heure de la source et le code objet serait d'assurer que le code source, ce qui a
été compilé, le code objet correspond à la production. C'est le moyen le plus efficace pour
s'assurer que le code de production a approuvé source est compilé et est celui qui est utilisé.

92. Lors de l'examen post-mise en œuvre d'un système de gestion des ressources d'entreprise,
un auditeur serait très probablement:
A. Examen de configuration de contrôle d'accès.
B. évaluer test d'interface.
C. Examen des documents de conception détaillée.
D. évaluer les tests système.
Réponse: A
Examiner la configuration de contrôle d'accès serait première tâche effectuée pour déterminer si
la sécurité a été localisé de manière appropriée dans le système. Depuis un examen post-mise
en œuvre se fait après les tests d'acceptation des utilisateurs et la mise en œuvre effective, on
ne devrait pas s'engager dans des essais d'interface ou de la documentation de conception
détaillée. L'évaluation de tests d'interface ferait partie du processus de mise en œuvre. La
question de l'examen des documents de conception détaillée n'est généralement pas pertinente
pour un système de gestion des ressources d'entreprise puisque ceux-ci sont généralement
forfaits fournisseur avec manuels d'utilisation. Test du système doit être effectuée avant que
l'utilisateur finale signer.
93. Lequel de ces types de contrôles suivants est conçu pour fournir la capacité de vérifier les
données et les valeurs de disques à travers les étapes du traitement des demandes?
Contrôles Range A.
B. Run-to-Run totaux
Limite C. vérifie sur les montants calculés
Les rapports d'exception D.
Réponse: B
Run-to-run s'élève à offrir la possibilité de vérifier les valeurs données par les étapes du
traitement de la demande. Run-to-run vérification totale garantit que les données lues dans
l'ordinateur a été acceptée et ensuite appliqué sur le processus de mise à jour.

94. Le meilleur moyen de prouver l'exactitude d'un système de calcul de l'impôt est de:
A. détaillées examen visuel et d'analyse du code source des programmes de calcul.
B. recréer la logique du programme en utilisant un logiciel de vérification généralisée pour
calculer les totaux mensuels.
C. la préparation d'opérations simulées pour traiter et comparer les résultats aux résultats
prédéterminés.
D. automatique d'organigrammes et l'analyse du code source des programmes de calcul.
Réponse: C
Préparation des opérations simulées pour traiter et comparer les résultats aux résultats
prédéterminés est la meilleure méthode pour prouver l'exactitude d'un calcul de l'impôt. Détail
examen visuel, d'organigrammes et d'analyse du code source ne sont pas des méthodes
efficaces, et les totaux mensuels ne réglerait pas l'exactitude des calculs d'impôt des particuliers.

95. EST gestion a récemment informé l'auditeur de sa décision de désactiver certains contrôles
d'intégrité référentielle dans le système de paie pour fournir aux utilisateurs un générateur de
rapport plus rapides. Ce sera très probablement augmenter le risque de:
A. saisie des données par les utilisateurs non autorisés.
B. un employé inexistant payés.
C. un employé qui reçoit une augmentation de salaire non autorisé.
D. double saisie des données par les utilisateurs autorisés.
Réponse: B
L'intégrité référentielle contrôles de prévenir l'apparition de inégalés valeurs de clé étrangère.
Étant donné qu'un employé inexistant n'apparaît pas dans le tableau des employés, il n'aura
jamais une entrée correspondante dans la table de salaire paiements. L'autre
choix ne peut pas être détecté par les contrôles d'intégrité référentielle.

96. Laquelle des paires de fonctions suivants ne doivent pas être combinés pour assurer une
séparation adéquate des tâches?
Bibliothécaire bande A. et opérateur de l'ordinateur
B. Application de programmation et de saisie des données
C. Systèmes d'analyste et administrateur de base de données
D. Administrateur de sécurité et d'assurance qualité
Réponse: B
Le rôle de la programmation d'applications et les données d'entrée ne doit pas être combinées
puisque aucun mécanisme de compensation existent qui peuvent atténuer le risque de
séparation des fonctions. Tous les autres paires de fonctions combinées sont acceptables.
97. Un auditeur qui procède à l'examen des manuels d'exécution d'applications s'attendrait à ce
qu'ils contiennent:
A. détails de documents source.
B. codes d'erreur et les actions correctives.
C. organigrammes logiques de programme et des définitions de fichiers.
D. changement enregistrements pour le code source de l'application.
Réponse: B
Manuels d'exécution d'application devrait inclure les mesures prises sur les erreurs signalées qui
sont essentiels pour l'opérateur de fonctionner correctement. Les documents de base et le code
source sont sans rapport avec l'opérateur. Bien que les diagrammes de flux de données peuvent
être utiles, schémas détaillés du programme et des définitions de fichiers ne sont pas.

98. Lequel des énoncés suivants EST fonctions peuvent être remplies par la même personne,
sans compromis sur la commande ou de violer la séparation des tâches?
A. analyste de contrôle des travaux et programmeur d'applications
B. opérateur Mainframe et programmeur système
C. Changement / problème et administrateur de contrôle de la qualité
D. Applications et programmeur système
Réponse: C
Le changement / problème et administrateur de contrôle de la qualité sont deux fonctions
compatibles qui ne compromettraient pas de contrôle ou de violer la séparation des tâches. Les
autres fonctions énumérées, si elle est combinée, aboutirait à compromettre le contrôle.

99. Lequel des énoncés suivants est la fonction la plus importante à effectuer par le service
informatique de gestion dans un environnement d'impartition?
A. S'assurer que les factures sont payées au fournisseur
B. Participer à la conception des systèmes avec le fournisseur
C. La renégociation des frais du fournisseur
D. Surveiller la performance du prestataire d'externalisation de
Réponse: D
Dans un environnement sous-traitance, l'entreprise dépend de la performance de l'opérateur.
Par conséquent, il est essentiel de surveiller la performance du prestataire d'externalisation de
s'assurer qu'il fournit des services à l'entreprise, au besoin.
Le paiement des factures est une fonction financière qui serait effectué conformément aux
exigences contractuelles. Participer à la conception des systèmes est un sous-produit de suivi de
la performance du fournisseur de sous-traitance, tout en renégociant les frais est habituellement
une seule fois activité.

100. Une organisation a externalisé le support réseau et bureau. Bien que la relation a connu un
succès raisonnable, des risques demeurent en raison de problèmes de connectivité. Lequel des
contrôles suivants devraient d'abord être effectué pour assurer la
société atténue ces risques raisonnablement possibles?
A. Réseau programme de défense
B. cryptage / authentification
C. notification correcte entre les organisations
D. définition adéquate dans la relation contractuelle
Réponse: D
Le contrôle le plus efficace et nécessaire qui doit être en premier lieu quand une entente de
partenariat est utilisé est le contrat. Les autres réponses sont toutes bonnes techniques utilisées
pour réduire / atténuer les contrôles. Toutefois, ceux-ci peuvent ne pas être exécutoires, à
moins détaillées dans l'entente contractuelle.