國際注冊(cè)內(nèi)部審計(jì)師

為了幫助考生系統(tǒng)的復(fù)習(xí)2012年內(nèi)部審計(jì)師考試課程，全面的了解內(nèi)審師考試教材的相關(guān)重點(diǎn)，小編特編輯匯總了2011年國際內(nèi)審師考試輔導(dǎo)資料，希望對(duì)您參加本次考試有所幫助！

內(nèi)部審計(jì)師考試《內(nèi)審計(jì)作用》知識(shí)點(diǎn)

確定違反安全規(guī)定行為的處理

內(nèi)部審計(jì)師應(yīng)當(dāng)評(píng)價(jià)針對(duì)以往發(fā)生的及未來可能發(fā)生的對(duì)信息系統(tǒng)的攻擊進(jìn)行預(yù)防、發(fā)現(xiàn)和減輕措施的有效性。內(nèi)部審計(jì)師應(yīng)當(dāng)確認(rèn)董事會(huì)、審計(jì)委員會(huì)或其他治理機(jī)構(gòu)已經(jīng)被適當(dāng)?shù)馗嬷送{、事故、發(fā)現(xiàn)的薄弱環(huán)節(jié)和糾正措施。

理想情況下，一些物理安全措施應(yīng)在組織廠房設(shè)計(jì)時(shí)即開始考慮，如：

1.煙火警報(bào)

2.充足的照明

3.建筑物入口的電子安檢設(shè)施

4.配備保安人員的接待處，訪客必須佩戴標(biāo)志

5.受限制的區(qū)域

另外，對(duì)員工人職前的背景調(diào)查，離職后安全狀況確認(rèn)以及關(guān)鍵崗位職責(zé)分離都是能夠幫助降低物理安全風(fēng)險(xiǎn)的有效措施。

內(nèi)部審計(jì)部門應(yīng)當(dāng)監(jiān)督是否違反安全規(guī)定的行為已經(jīng)被糾正且其成效如何（對(duì)于內(nèi)部審計(jì)來說與糾正業(yè)務(wù)計(jì)劃相似）。此時(shí)，內(nèi)部審計(jì)師的工作重點(diǎn)應(yīng)當(dāng)是確保已經(jīng)處理了的違反安全行為產(chǎn)生的根源。所有對(duì)違反安全規(guī)定行為的處理都應(yīng)當(dāng)定期報(bào)送董事會(huì)，包括這些行為的數(shù)量和類型以及管理層如何處理問題的根源。

報(bào)告合規(guī)情況

內(nèi)部審計(jì)師應(yīng)當(dāng)定期評(píng)價(jià)本組織的信息安全實(shí)務(wù)，并提出改進(jìn)意見和新的控制和保安措施的實(shí)施建議。在評(píng)價(jià)之后，應(yīng)當(dāng)向董事會(huì)、審計(jì)委員會(huì)或其他治理機(jī)構(gòu)提交一份保證報(bào)告。該評(píng)價(jià)可以作為單獨(dú)的審計(jì)業(yè)務(wù)，也可以與其他經(jīng)批準(zhǔn)的審計(jì)計(jì)劃要求的業(yè)務(wù)一起執(zhí)行。

物理安全，比如針對(duì)環(huán)境風(fēng)險(xiǎn)和未經(jīng)授權(quán)訪問計(jì)算機(jī)終端的保安，仍舊是內(nèi)部審計(jì)關(guān)心的內(nèi)容，盡管現(xiàn)在軟件控制已經(jīng)可以為信息提供大部分的保護(hù)。

另一個(gè)與信息安全有關(guān)的內(nèi)部審計(jì)作用是評(píng)價(jià)遵守法律、法規(guī)有關(guān)隱私的規(guī)定。內(nèi)部審計(jì)師需要（在咨詢了法律顧問之后）確定與隱私有關(guān)的要求是否存在及其內(nèi)容。信息系統(tǒng)應(yīng)當(dāng)遵照這些要求設(shè)計(jì)，有關(guān)要求被遵守，遵循情況被記載。

【典型試題】

1.大多數(shù)組織均關(guān)心口令被泄露的問題。下列防止罪犯獲得他人口令的相關(guān)控制程序中，最為有效的是

A.僅允許使用者變更其口令并鼓勵(lì)使用者頻繁更換口令。

B.實(shí)施某項(xiàng)計(jì)算機(jī)項(xiàng)目，該項(xiàng)目可測(cè)試口令是否可被輕易猜出。

C.實(shí)施某種"透明的"驗(yàn)證技術(shù)，使用者使用卡片來產(chǎn)生口令并同時(shí)驗(yàn)證系統(tǒng)密鑰及所產(chǎn)生的口令。

D.限制口令授權(quán)的使用時(shí)間段及位置。

答案：C

解題思路：

A.不正確。。一般來說，這種控制可以減少口令泄露的機(jī)會(huì)，但這種做法容易導(dǎo)致使用者忘記當(dāng)前口令而無法進(jìn)行正常的工作，使用者為了避免出現(xiàn)這種情況，通常會(huì)將口令記錄在某些隨手可得的介質(zhì)上，這在一定程度上削弱了其效果。本控制不能徹底杜絕口令的泄露。

B.不正確。通過設(shè)置規(guī)則使口令不易被猜出確實(shí)可以減少口令泄露的機(jī)會(huì)，但也同樣存在用戶記憶困難的問題，而且也不能徹底杜絕口令的泄露。

C.正確。這種控制方式下的口令由卡片自動(dòng)產(chǎn)生，而且由于密鑰的介入，每次產(chǎn)生的口令均不相同，所有人，包括使用者本人，均無法預(yù)知下次可能生成的口令。因此，相對(duì)于其他三種控制，這種控制最為有效。

D.不正確。限制口令的使用時(shí)間和位置對(duì)減少口令的泄露有一定的幫助，但不能杜絕口令的泄露。

相關(guān)文章：

2012年內(nèi)審師考試內(nèi)審計(jì)作用知識(shí)點(diǎn)精講匯總

2012年內(nèi)部審計(jì)師考試內(nèi)審計(jì)作用精選練習(xí)題匯總

更多關(guān)注：內(nèi)部審計(jì)師考試報(bào)考指南   考試培訓(xùn)   成績管理

（責(zé)任編輯：中大編輯）

共2頁,當(dāng)前第1頁  第一頁  前一頁  下一頁