為了幫助考生系統(tǒng)的復習2012年內(nèi)部審計師考試課程，全面的了解內(nèi)審師考試教材的相關重點，小編特編輯匯總了2011年國際內(nèi)審師考試輔導資料，希望對您參加本次考試有所幫助！

內(nèi)部審計師考試《內(nèi)審計作用》知識點

確定違反安全規(guī)定行為的處理

內(nèi)部審計師應當評價針對以往發(fā)生的及未來可能發(fā)生的對信息系統(tǒng)的攻擊進行預防、發(fā)現(xiàn)和減輕措施的有效性。內(nèi)部審計師應當確認董事會、審計委員會或其他治理機構已經(jīng)被適當?shù)馗嬷送{、事故、發(fā)現(xiàn)的薄弱環(huán)節(jié)和糾正措施。

理想情況下，一些物理安全措施應在組織廠房設計時即開始考慮，如：

1.煙火警報

2.充足的照明

3.建筑物入口的電子安檢設施

4.配備保安人員的接待處，訪客必須佩戴標志

5.受限制的區(qū)域

另外，對員工人職前的背景調(diào)查，離職后安全狀況確認以及關鍵崗位職責分離都是能夠幫助降低物理安全風險的有效措施。

內(nèi)部審計部門應當監(jiān)督是否違反安全規(guī)定的行為已經(jīng)被糾正且其成效如何（對于內(nèi)部審計來說與糾正業(yè)務計劃相似）。此時，內(nèi)部審計師的工作重點應當是確保已經(jīng)處理了的違反安全行為產(chǎn)生的根源。所有對違反安全規(guī)定行為的處理都應當定期報送董事會，包括這些行為的數(shù)量和類型以及管理層如何處理問題的根源。

報告合規(guī)情況

內(nèi)部審計師應當定期評價本組織的信息安全實務，并提出改進意見和新的控制和保安措施的實施建議。在評價之后，應當向董事會、審計委員會或其他治理機構提交一份保證報告。該評價可以作為單獨的審計業(yè)務，也可以與其他經(jīng)批準的審計計劃要求的業(yè)務一起執(zhí)行。

物理安全，比如針對環(huán)境風險和未經(jīng)授權訪問計算機終端的保安，仍舊是內(nèi)部審計關心的內(nèi)容，盡管現(xiàn)在軟件控制已經(jīng)可以為信息提供大部分的保護。

另一個與信息安全有關的內(nèi)部審計作用是評價遵守法律、法規(guī)有關隱私的規(guī)定。內(nèi)部審計師需要（在咨詢了法律顧問之后）確定與隱私有關的要求是否存在及其內(nèi)容。信息系統(tǒng)應當遵照這些要求設計，有關要求被遵守，遵循情況被記載。

【典型試題】

1.大多數(shù)組織均關心口令被泄露的問題。下列防止罪犯獲得他人口令的相關控制程序中，最為有效的是

A.僅允許使用者變更其口令并鼓勵使用者頻繁更換口令。

B.實施某項計算機項目，該項目可測試口令是否可被輕易猜出。

C.實施某種"透明的"驗證技術，使用者使用卡片來產(chǎn)生口令并同時驗證系統(tǒng)密鑰及所產(chǎn)生的口令。

D.限制口令授權的使用時間段及位置。

答案：C

解題思路：

A.不正確。。一般來說，這種控制可以減少口令泄露的機會，但這種做法容易導致使用者忘記當前口令而無法進行正常的工作，使用者為了避免出現(xiàn)這種情況，通常會將口令記錄在某些隨手可得的介質上，這在一定程度上削弱了其效果。本控制不能徹底杜絕口令的泄露。

B.不正確。通過設置規(guī)則使口令不易被猜出確實可以減少口令泄露的機會，但也同樣存在用戶記憶困難的問題，而且也不能徹底杜絕口令的泄露。

C.正確。這種控制方式下的口令由卡片自動產(chǎn)生，而且由于密鑰的介入，每次產(chǎn)生的口令均不相同，所有人，包括使用者本人，均無法預知下次可能生成的口令。因此，相對于其他三種控制，這種控制最為有效。

D.不正確。限制口令的使用時間和位置對減少口令的泄露有一定的幫助，但不能杜絕口令的泄露。

相關文章：

2012年內(nèi)審師考試內(nèi)審計作用知識點精講匯總

2012年內(nèi)部審計師考試內(nèi)審計作用精選練習題匯總

更多關注：內(nèi)部審計師考試報考指南   考試培訓   成績管理

（責任編輯：中大編輯）

共2頁,當前第1頁  第一頁  前一頁  下一頁