حسابرسی فناوری اطلاعات

مروری بر سوالات آزمون CISA

  1. Kerberos ضعف عمده ای دارد كه در ………… قابل مشاهده شده است.
  • الف – دفاع عمیق
  • ب- Hypervisor
  • ج- شبکه های بی سیم
  • د- سیستم های کلید نامتقارن

جواب: ب

Kerberos یک نرم افزار برای ورود متمرکز به سیستم ها است (SSO) است. هنگامی که SSO به خطر افتاد، کل برنامه های کاربردی به خطر می افتد. مدیر ماشین مجازی که hypervisor نامیده می شود چندین ماشین مجازی را روی یک هاست مدیریت می کند. هنگامی که hypervisor به خطر بیفتد ، تمام ماشینهای مجازی موجود در ماشین های میزبان به خطر می افتند. بنابراین ، هر دو Kerberos و Hypervisor پتانسیل شکست دارند.


  1. در هنگام Degaussing، چه اتفاقی می افتد:
  • الف- یک هارد دیسک را با استفاده از نرم افزار مناسب رونویسی کنید.
  • ب- دیسک های سخت را از نظر فیزیکی نابود کنید.
  • ج- درایو هارد را در معرض میدان مغناطیسی قرار دهید.
  • د- فرمت یک هارد دیسک حاوی اطلاعات حساس.

جواب : ج

Degaussing به معنای قرار گرفتن یک رسانه ذخیره سازی در برابر میدان های مغناطیسی قوی است که الگوی داده ضبط شده را تحریف کرده و درایو را غیرقابل خواندن می کند.


  1. منافع اصلی ناشی از سازمانی كه از خود ارزیابی كنترل (Control Self Assessment) استفاده می كند، این است که:
  • الف- اثربخشی حسابرسی را بهبود می بخشد.
  • ب- حجم کار کارمندان حسابرسی را کاهش می دهد.
  • ج- باعث افزایش ارتباط بین بخش های مختلف می شود
  • د. استفاده از ابزارهای فناوری را تسهیل می کند.

جواب: الف

CSA اثربخشی حسابرسی را بواسطه اقدام فعال مدیران مرتبط برای پذیرفتن مسئولیت ریسک ها و کنترل ها بهبود می بخشد زیرا مدیران مستقیم، مسئولیت ریسک و کنترل را بر عهده می گیرند. CSA باعث کاهش کار کارمندان حسابرسی، افزایش ارتباطات و تسهیل استفاده از ابزارهای فناوری می شود، اما اینها اهداف اصلی نیستند.


  1. در زمان ارزیابی برنامه تخلیه(Evacuation Plan) یک سازمان، حسابرس فناوری اطلاعات باید تعیین کند که:
  • الف. با اهداف كسب و كار مطابقت دارد.
  • ب. مورد آزمون قرار گرفته است.
  • ج. در کل امکانات ارسال شده است.
  • د. شفاف، دقیق بوده و به خوبی ارجاع شده است.

جواب: ب

صرف نظر از تمرکز و اهداف کسب و کار، طرح تخلیه اضطراری تنها یک هدف اصلی را دنبال می کند و آن نجات جان انسانها است. بنابراین ، مهمتر از همه این است که این طرح برای ارزیابی قابلیت اجرا در صورت بروز وقایع غیرمترقبه مورد آزمون قرار گرفته باشد.


  1. احراز هویت از طریق امضاهای دیجیتال توسط ………… صوررت می­گیرد.
  • الف – رمزگذاری پیام با کلید عمومی گیرنده
  • ب – رمزگذاری کل پیام با کلید خصوصی فرستنده
  • ج – ایجاد پیام با استفاده از الگوریتم هش
  • د. رمزگذاری پیام با کلید خصوصی فرستنده

جواب : د

رمزگذاری پیام با کلید عمومی گیرنده باعث تحقق محرمانگی می شود. رمزگذاری کل پیام با کلید خصوصی فرستنده به تأیید اعتبار کمک می کند اما این روشی نیست که توسط امضاهای دیجیتالی استفاده شود. ایجاد پیام با استفاده از الگوریتم هش باعث تضمین یکپارچگی می رسد. لیکن در امضای دیجیتال، پیام با الگوریتم هش رمزنگاری شده و هش با کلید خصوصی فرستنده امضا می شود.


6. کدام یک از موارد زیر بیشتر تحت تأثیر سیاست سازمانی خواهد بود؟

  • الف- الزامات نظارتی
  • ب – سطوح ریسک باقیمانده (Residual Risk)
  • ج – توافق نامه های سطح خدمات (Service Level Agreements) با مشتریان
  • د. تخمین زمان منسوخ شدن فناوری

جواب: ب

الزامات نظارتی به سختی از سایر موارد تأثیرپذیر هستند. توافقنامه سطح خدمت بیشتر توسط مشتری ها دیکته می شوند. منسوخ شدن فن آوری توسط محیط خارجی تعیین می شود. میزان ریسک باقیمانده براساس مشخصات ریسک سازمانی توسط هیئت مدیره تعیین می شود.


7. چه نوع از ریسک رخ می دهد وقتی حسابرس IS از ابزارها و تکنیک های مناسبی برای حسابرسی استفاده نکرده و نتیجه گیری کرده خطای با اهمیتی وجود ندارد؟

  • الف- ریسک کسب و کار
  • ب- خطر تشخیص
  • ج – خطر باقیمانده
  • د-  ریسک ذاتی

جواب: ب

ریسک کسب و کار خطری است که اهداف کسب و کار را تهدید می کند. ریسک تشخیص ریسکی است که در اثر اشتباه حسابرس IS رخ می دهد. ریسک باقیمانده سطح قابل قبول ریسک است در حالیکه ریسک ذاتی ریسکی است که ناشی از ماهیت کسب و کار در هنگام کنترل جبران نشده است.

 


8. مهمترین دغدغه حسابرس فناوری اطلاعات در زمان تضمین امنیت ترافیک بر روی اینترنت چیست؟

  • الف- IPSec
  • ب- پروتکل اینترنت (IP)
  • ج- امنیت لایه حمل و نقل (TLS)
  • د- لایه های امن سوکت (SSL)

جواب: ب

IPSec ، TLS و SSL همه پروتکل های امنیتی هستند. IP برای مسیریابی استفاده می شود و نه برای امنیت.

 

9. کدام یک از تهدیدهای زیر طی آموزش امنیت اطلاعات به بهترین شکل پیشگیری می شود؟

  • الف- Dumpster diving
  • ب- Piggybacking
  • ج- Data diddling
  • د- Botnet

جواب: الف

Dumpster diving یک حمله مهندسی اجتماعی است که در آن یک مهاجم برای کسب اطلاعات به سطل زباله کاغذهای باطله مراجعه می کند. برای جلوگیری از این حمله، دریافت اطلاعات و آموزش ها کافی است. Piggybacking زمانی است که یک شخص غیر مجاز از هویت یک شخص مجاز استفاده می شود.  Data diddling یک حمله داخلی است در حالی که botnet مجموعه ای از سیستم های به خطر افتاده است که برای حملات DOS استفاده می شود.

 

10- کدام یک از موارد زیر یک ویژگی اصلی معماری سازمانی است؟

  • الف- می توان از آن برای مستند سازی آسیب پذیری دارایی های اطلاعات استفاده کرد
  • ب- می توان برای بودجه ریزی در یک مرکز پردازش اطلاعات استفاده کرد
  • ج – توسعه آن باید فناوری محور باشد.
  • د- عمدتاً برای برنامه ریزی تاکتیکی در سازمان های تجاری استفاده می شود

جواب: ب

معماری سازمانی برای ثبت آسیب پذیری ها استفاده نمی شوند. آنها می توانند فناوری محور یا کسب و کار محور باشند. از آنها می توان برای برنامه ریزی تاکتیکی استراتژیک استفاده کرد. معماری سازمانی می توانند به عنوان پایه ای برای بودجه ریزی برای گروه IT مورد استفاده قرار گیرند.

نظر دهید