CISA Domain03 기출문제 #03
Q01. 다음 중 IS 감사인이 IT 프로젝트 포트폴리오를 전략적 조직 우선 순위와 정렬하도록 권장해야 하는 것은 무엇입니까?
A. 성과 측정을 위한 균형 성과표(BSC) 정의
B. 핵심성과지표(KPI)에서 사용자 만족도 고려
C. 사업상의 이익과 위험에 따른 사업 선정
D. 프로젝트 포트폴리오를 정의하는 연간 프로세스 수정
정답
답: C
설명:
비즈니스에 대한 예상 이익 및 관련 위험을 기반으로 프로젝트의 우선 순위를 지정하는 것은 프로젝트 포트폴리오를 조직의 전략적 우선 순위에 맞게 조정하는 가장 좋은 방법입니다. 프로젝트 포트폴리오 정의의 연간 프로세스를 수정하면 상황이 개선될 수 있지만 포트폴리오 정의 프로세스가 현재 기업 전략의 정의와 연결되어 있지 않은 경우에만 가능합니다. 그러나 처음에 정렬을 설정하는 것이 아니라 정렬을 유지하는 데 어려움이 있기 때문에 이것은 가능성이 낮습니다. BSC(Balanced Scorecard) 및 KPI(핵심 성과 지표)와 같은 측정은 도움이 되지만 프로젝트가 비즈니스 전략과 일치한다는 것을 보장하지는 않습니다.
Q02. 조직의 IT 투자 계획을 지원하기 위해 IS 감사인은 다음을 사용하도록 권장해야 합니다.
A. 프로젝트 관리 도구
B. 객체 지향 아키텍처
C. 전술적 계획
D. 엔터프라이즈 아키텍처(EA)
정답
답: D
설명:
엔터프라이즈 아키텍처(EA)는 IT 투자에 대한 이해, 관리 및 계획을 용이하게 하기 위해 조직의 IT 자산 및 프로세스를 구조화된 방식으로 문서화하는 것을 포함합니다. 여기에는 현재 상태와 최적화된 미래 상태의 표현이 모두 포함됩니다. EA를 완료하려고 시도할 때 조직은 기술 관점이나 비즈니스 프로세스 관점에서 문제를 해결할 수 있습니다. 프로젝트 관리는 IT 투자 측면을 고려하지 않습니다. 프로젝트를 제공하는 데 도움이 되는 도구입니다. 객체 지향 아키텍처는 소프트웨어 개발 방법론으로 IT 투자 계획을 지원하지 않는 반면 전술적 계획은 높은 수준의 IT 투자 결정이 내려진 후에만 관련이 있습니다.
Q03.효과적인 정보 보안 거버넌스의 맥락에서 가치 전달의 주요 목표는 다음과 같습니다.
A. 비즈니스 목표 지원을 위한 보안 투자 최적화
B. 일련의 표준 보안 관행 구현
C. 표준 기반 솔루션 구축
D. 지속적인 개선 문화 구현
정답
답: A
설명:
효과적인 정보 보안 거버넌스의 맥락에서 가치 전달은 비즈니스 목표를 지원하는 보안 투자의 최적화를 보장하기 위해 구현됩니다. 가치 전달을 구현하기 위한 도구와 기술에는 일련의 보안 관행 구현, 표준 기반 솔루션의 제도화 및 상품화, 보안을 이벤트가 아닌 프로세스로 간주하는 지속적인 개선 문화 구현이 포함됩니다.
Q04. 두 조직이 합병된 후 두 회사에서 자체 개발한 여러 레거시 애플리케이션이 새로운 공통 플랫폼으로 대체됩니다. 다음 중 가장 큰 위험은 무엇입니까?
A. 프로젝트 관리 및 진행 보고는 외부 컨설턴트가 주도하는 프로젝트 관리 사무실에서 결합됩니다.
B. 대체 노력은 포트폴리오 관리 접근 방식에서 자원 할당을 통합하지 않고 여러 독립적인 프로젝트로 구성됩니다.
다. 각 조직의 자원이 다른 회사의 레거시 시스템에 익숙해지면서 비효율적으로 할당되는 경우
D. 새로운 플랫폼은 두 조직의 비즈니스 영역이 작업 프로세스를 변경하도록 하여 광범위한 교육이 필요한 결과를 초래할 것입니다.
정답
답: B
설명:
합병 후 조직의 전체 전략과 일치하도록 노력을 통합해야 합니다. 리소스 할당이 중앙 집중화되지 않으면 별도의 프로젝트에서 자체 개발한 레거시 애플리케이션에 대한 핵심 지식 리소스의 가용성을 과대평가할 위험이 있습니다. 합병 후 통합 프로그램에서는 계획 및 보고 구조에서 표준화되고 비교 가능한 정보 수준을 보장하고 프로젝트 인도물 또는 자원의 중앙 집중화된 종속성을 보장하기 위해 프로젝트 관리 사무소를 구성하는 것이 일반적입니다. 프로젝트 관리 관행에는 레거시 시스템에 대한 심층적인 지식이 필요하지 않기 때문에 외부 컨설턴트의 경험이 중요할 수 있습니다. 이를 통해 기능적 작업을 위한 리소스를 확보할 수 있습니다. 먼저 이전 시스템에 익숙해지고 마이그레이션에서 수행해야 하는 작업을 이해하고 기술 결정의 의미를 평가하는 것이 좋습니다. 대부분의 경우 합병은 애플리케이션 변경을 초래하므로 조직과 프로세스가 합병의 의도된 시너지 효과를 활용하기 위해 변경될 때 교육이 필요합니다.
Q05. 서비스가 아웃소싱되었을 때 IS 관리가 수행해야 하는 가장 중요한 기능은 다음 중 무엇입니까?
A. 송장이 공급자에게 지불되도록 보장
B. 공급자와 시스템 설계 참여
C. 제공자 수수료 재협상
D. 아웃소싱 업체의 실적 모니터링
정답
답: D
설명:
아웃소싱 환경에서 회사는 서비스 제공자의 성과에 의존합니다. 따라서 아웃소싱 공급자의 성과를 모니터링하여 필요에 따라 서비스가 회사에 제공되는지 확인하는 것이 중요합니다. 인보이스 지불은 재무 기능이며 계약 요구 사항에 따라 완료됩니다. 시스템 설계에 참여하는 것은 아웃소싱 공급자의 성과를 모니터링하는 부산물인 반면, 수수료 재협상은 일반적으로 일회성 활동입니다.
Q06. IS 감사인은 최근 다양한 제공업체에 아웃소싱된 IT 구조 및 활동을 검토하도록 지정되었습니다. 다음 중 IS 감사인이 가장 먼저 결정해야 하는 것은 무엇입니까?
A. 모든 계약에 감사조항이 있다는 것
B. 각 계약의 SLA는 적절한 KPI로 입증됩니다.
C. 공급자의 계약적 보증이 조직의 비즈니스 요구를 지원한다는 것
D. 계약 종료 시 각 외주업체에서 신규 외주업체에 대한 지원을 보장합니다.
정답
답: C
설명:
책임 및 보증의 복잡성과 상호 작용과 일치하는 IT 구조의 복잡성은 이러한 보증의 효율성과 비즈니스 요구 사항이 충족될 것이라는 합리적인 확실성에 영향을 미치거나 무효화할 수 있습니다. 다른 모든 선택도 중요하지만 아웃소싱자의 계약상 책임의 다양하고 중요한 영역의 상호 작용만큼 잠재적으로 위험하지는 않습니다.
Q07. 서비스 제공자에 대한 감사를 수행하는 동안 IS 감사인은 서비스 제공자가 작업의 일부를 다른 제공자에게 아웃소싱한 것을 관찰했습니다. 작업에는 기밀 정보가 포함되므로 IS 감사인의 주요 관심사는 다음과 같아야 합니다.
A. 정보의 기밀성을 보호하기 위한 요구 사항이 손상될 수 있음
나. 사전에 위탁자의 허가를 받지 아니하여 계약이 해지될 수 있는 경우
C. 작업을 아웃소싱한 다른 서비스 제공자는 audi의 대상이 아닙니다.
D. 외주업체는 추가 작업을 위해 다른 서비스 제공업체에 직접 접근합니다.
정답
답: A
설명:
많은 국가에서 해당 국가에서 유지되거나 다른 국가와 교환되는 정보의 기밀성을 보호하기 위한 규정을 제정했습니다. 서비스 제공자가 서비스의 일부를 다른 서비스 제공자에게 아웃소싱하는 경우 정보의 기밀성이 손상될 잠재적 위험이 있습니다. 선택 B와 C는 문제가 될 수 있지만 정보의 기밀성을 보장하는 것과는 관련이 없습니다. IS 감사인이 D를 선택해야 할 이유가 없습니다.
Q08. 다음 중 위험을 완화하는 메커니즘은 무엇입니까?
A. 보안 및 통제 관행
B. 재산 및 책임 보험
C. 심사 및 인증
D. 계약 및 서비스 수준 계약(SLA)
정답
답: A
설명:
적절한 보안 및 제어 방식을 구현하여 위험을 완화합니다. 보험은 위험을 이전하는 메커니즘입니다. 감사 및 인증은 위험 보증 메커니즘인 반면 계약 및 SLA는 위험 할당 메커니즘입니다.
Q09. 운영 직원이 일일 백업을 수행하지 못하는 위험을 해결하기 위해 관리자는 시스템 관리자가 일일 백업을 승인해야 합니다. 다음은 위험의 예입니다.
A. 회피
B. 전이
C. 완화
D. 수락
정답
답: C
설명:
완화는 설명된 위험을 해결하기 위한 통제의 정의 및 구현을 제공하는 전략입니다. 회피는 위험을 초래할 수 있는 특정 활동이나 프로세스를 구현하지 않는 것을 제공하는 전략입니다. 이전은 파트너와 위험을 공유하거나 보험에 가입하는 것을 제공하는 전략입니다. 수용은 위험의 존재를 공식적으로 인정하고 해당 위험을 모니터링하는 전략입니다.
Q10. 사건 보고서를 검토하는 IS 감사관은 한 사례에서 직원의 책상에 남겨진 중요한 문서가 아웃소싱된 청소 직원에 의해 제거되어 쓰레기통에 버린 것을 발견했습니다. 다음 중 IS 감사인이 경영진에게 추천해야 하는 것은 무엇입니까?
A. 조직과 청소 대행업체 모두 더 엄격한 통제를 시행해야 합니다.
B. 과거에 그러한 사건이 발생하지 않았으므로 조치가 필요하지 않습니다.
C. 명확한 데스크 정책을 구현하고 조직에서 엄격하게 시행해야 합니다.
D. 모든 중요한 사무실 문서에 대한 건전한 백업 정책을 구현해야 합니다.
정답
답: A
설명:
중요한 문서를 책상 위에 놓고 있는 직원과 청소 직원이 이를 치우는 것은 비즈니스에 심각한 영향을 미칠 수 있습니다. 따라서 IS 감사인은 조직과 외주 청소 대행사 모두에서 엄격한 통제를 시행할 것을 권장해야 합니다. 그러한 사건이 과거에 발생하지 않았다고 해서 그 영향의 심각성이 줄어들지는 않습니다. 명확한 데스크 정책을 구현하고 모니터링하면 문제의 한 부분만 해결됩니다. 청소 직원이 청소 과정에서 해야 할 일과 하지 말아야 할 일에 대해 교육을 받았는지 확인하는 것과 함께 청소 기관과의 적절한 기밀 유지 계약도 실행해야 하는 통제입니다. 여기서 위험은 데이터 손실이 아니라 무단 소스로의 데이터 유출입니다. 백업 정책은 무단 정보 유출 문제를 다루지 않습니다.
Q11. IT 균형 성과표를 구현하기 전에 조직은 다음을 수행해야 합니다.
A. 효과적이고 효율적인 서비스 제공
B. 핵심 성과 지표 정의
C. IT 프로젝트에 비즈니스 가치 제공
D. IT 비용 관리
정답
답: B
설명:
IT 균형 성과표를 구현하기 전에 핵심 성과 지표의 정의가 필요합니다. 선택 A, C 및 D는 목표입니다.
Q12. IT 개발 프로젝트에 사용된 비즈니스 사례에 대한 문서는 다음까지 보관해야 합니다.
A. 시스템 수명 주기의 끝
B. 프로젝트 승인
C. 시스템에 대한 사용자의 수락
D. 시스템이 생산 중입니다.
정답
답: A
설명:
비즈니스 사례는 제품의 수명 주기 내내 사용할 수 있고 사용해야 합니다. 새로운(관리) 직원을 위한 앵커 역할을 하고 초점을 유지하는 데 도움이 되며 추정치와 실제 수치에 대한 귀중한 정보를 제공합니다. '왜 그렇게 했는가', '원래 의도는 무엇이었는가', '계획에 대해 어떻게 수행했는가'와 같은 질문에 답할 수 있고 미래 비즈니스 사례를 개발하기 위한 교훈을 배울 수 있습니다. 프로젝트의 개발 단계에서 항상 비즈니스 사례는 좋은 관리 도구이므로 검증합니다 프로젝트를 마치고 생산에 들어간 후 비즈니스 사례와 완료된 모든 연구는 추가 참조를 위해 보관해야 하는 귀중한 정보 소스입니다.
Q13. 프로토타입을 사용하여 개발 중인 비즈니스 애플리케이션 시스템에 대한 변경 제어는 다음과 같은 이유로 복잡할 수 있습니다.
A. 프로토타이핀의 반복적 특성
B. 요구 사항 및 설계의 빠른 수정 속도
C. 보고서 및 화면 강조
D. 통합 도구의 부족
정답
답: B
설명:
요구 사항 및 설계의 변경 사항은 너무 빨리 발생하여 거의 문서화되거나 승인되지 않습니다. 선택 A, C, D는 프로토타이핑의 특성이지만 변경 제어에 부정적인 영향을 미치지는 않습니다.
Q14.프로젝트 기간에 시간 제약이 있는 작업에 인력을 추가할 계획인 경우 다음 중 가장 먼저 재검증해야 하는 것은 무엇입니까?
A. 사업예산
B. 프로젝트의 주요 경로
C. 남은 작업의 길이
D. 기타 업무에 배정된 인원
정답
답: B
설명:
리소스를 추가하면 주요 경로의 경로가 변경될 수 있으므로 추가 리소스가 실제로 프로젝트 기간을 단축할 수 있도록 주요 경로를 재평가해야 합니다. 중요 경로에 있지 않은 다른 작업에 여유 시간이 있을 수 있다는 점을 감안할 때 프로젝트 예산, 다른 작업의 기간 및 할당된 인력과 같은 요소가 영향을 받을 수도 있고 영향을 받지 않을 수도 있습니다.
Q15. 조기 완료에 대한 프리미엄을 지불하여 얻을 수 있는 조기 프로젝트 완료 시간을 식별할 때 선택해야 하는 활동은 다음과 같습니다.
가. 활동시간의 합이 가장 짧은 자
B. 여유 시간이 없는 것
C. 가능한 가장 긴 완료 시간을 제공하는 것
D. 여유시간의 합이 가장 짧은 경우
정답
답: B
설명:
임계 경로의 활동 시간은 네트워크를 통한 다른 경로의 활동 시간보다 깁니다. 이 경로는 모든 것이 예정대로 진행되면 전체 프로젝트에 대해 가능한 가장 짧은 완료 시간을 제공하기 때문에 중요합니다. 임계 경로에 있는 활동은 충돌의 후보가 됩니다. 즉, 조기 완료에 대한 프리미엄을 지불하여 시간을 단축할 수 있습니다. 임계 경로의 활동은 여유 시간이 0이고 반대로 여유 시간이 없는 활동은 임계 경로에 있습니다. 중요한 경로에서 활동을 연속적으로 완화함으로써 총 프로젝트 비용 대 시간을 나타내는 곡선을 얻을 수 있습니다.
Q16.시스템 개발 프로젝트 완료 시 프로젝트 후 검토에는 다음 중 어떤 것이 포함되어야 합니까?
A. 제품 출시 후 다운타임으로 이어질 수 있는 위험 평가
B. 향후 프로젝트에 적용할 수 있는 교훈 식별
C. 전달된 시스템의 컨트롤이 작동하는지 확인
D. 테스트 데이터가 삭제되었는지 확인
정답
답: B
설명:
Q17. 다음 중 IS 감사인이 검토해야 하는 시간, 예산 및 산출물 측면에서 프로젝트 진행 상황을 이해하여 가능한 초과 실행을 조기에 감지하고 EAC(완료 시 추정)를 예상해야 하는 것은 무엇입니까?
A. 기능점 분석
B. 획득가치 분석
C. 비용예산
D. 프로그램 평가 및 검토 기법
정답
답: B
설명: 획득 가치 분석(EVA)은 특정 시점에서 프로젝트의 진행 상황을 측정하고 완료 날짜와 최종 비용을 예측하고 프로젝트가 진행됨에 따라 일정과 예산의 변동을 분석하는 업계 표준 방법입니다. 계획된 작업량과 실제로 완료된 작업량을 비교하여 비용, 일정 및 완료된 작업이 계획대로 진행되고 있는지 확인합니다. EVA는 잘 구성된 작업분류체계가 존재할 때 가장 효과적으로 작용한다. FPA(Function Point Analysis)는 소프트웨어 크기와 복잡성에 대한 간접적인 측정이므로 시간과 예산 요소를 다루지 않습니다. 비용 예산은 시간을 다루지 않습니다. PERT는 시간 및 산출물 관리를 지원하지만 완료 시 추정(EAC) 및 전반적인 재무 관리에 대한 예측이 부족합니다.
Q18. 조직에서 비즈니스 목표를 달성하기 위해 ERP(전사적 자원 관리) 애플리케이션을 구현하고 있습니다. 다음 중 프로젝트 계획에 따라 프로젝트가 진행되고 예상 결과를 제공할 수 있도록 프로젝트를 감독하는 주요 책임은 누구입니까?
A. 프로젝트 후원자
B. 시스템 개발 프로젝트 팀(SPDT)
C. 사업운영위원회
D. 사용자 프로젝트 팀(UPT)
정답
답: C
설명: ERP(전사적 자원 관리) 구현 프로젝트에 대한 전반적인 방향을 제공하는 프로젝트 운영 위원회는 예상 결과를 제공할 수 있도록 프로젝트 진행 상황을 검토하는 책임이 있습니다. 프로젝트 후원자는 일반적으로 응용 프로그램이 지원할 기본 비즈니스 단위를 담당하는 고위 관리자입니다. 후원자는 프로젝트에 자금을 제공하고 프로젝트 관리자와 긴밀하게 협력하여 프로젝트의 중요한 성공 요인 또는 지표를 정의합니다. 프로젝트 스폰서는 프로젝트 진행 상황을 검토할 책임이 없습니다. 시스템 개발 프로젝트 팀(SDPT)은 할당된 작업을 완료하고 프로젝트 관리자의 지시에 따라 작업하며 사용자 프로젝트 팀과 통신합니다. SDPT는 프로젝트 진행 상황을 검토할 책임이 없습니다. 사용자 프로젝트 팀(UPT)은 할당된 작업을 완료하고 시스템 개발 팀과 효과적으로 의사 소통하며 프로젝트 관리자의 조언에 따라 작업합니다. UPT는 프로젝트 진행 상황을 검토할 책임이 없습니다.
Q19. 기존 급여 응용 프로그램이 새 응용 프로그램으로 마이그레이션됩니다. 다음 이해 관계자 중 누가 데이터를 라이브로 전환하기 전에 데이터의 정확성과 완전성을 검토하고 승인하는 데 주로 책임을 져야 합니까?
A. IS 감사인
B. 데이터베이스 관리자
C. 프로젝트 매니저
D. 데이터 소유자
정답
답: D
설명: 프로젝트의 데이터 변환 단계에서 데이터 소유자는 데이터가 완전하고 정확하며 유효한지 검토하고 승인하는 일차적인 책임이 있습니다. IS 감사인은 변환된 데이터의 정확성을 검토하고 승인할 책임이 없습니다. 그러나 IS 감사인은 프로젝트의 데이터 변환 단계에서 데이터 소유자의 검토 및 승인이 있는지 확인해야 합니다. 데이터베이스 관리자의 주요 책임은 데이터베이스의 무결성을 유지하고 사용자가 데이터베이스를 사용할 수 있도록 하는 것입니다. 데이터베이스 관리자는 마이그레이션된 데이터를 검토할 책임이 없습니다. 프로젝트 관리자는 프로젝트의 일상적인 관리와 리더십을 제공하지만 데이터의 정확성과 무결성에 대해서는 책임을 지지 않습니다.
Q20. 프로젝트 관리자가 목표 날짜까지 모든 감사 권장 사항을 구현하지 못했습니다. IS 감사인은 다음을 수행해야 합니다.
A. 문제가 해결될 때까지 프로젝트를 중단할 것을 권장합니다.
B. 보상 통제를 시행할 것을 권고
C. 해결되지 않은 문제와 관련된 위험 평가
D. 프로젝트 관리자가 문제를 해결하기 위해 테스트 리소스를 재할당하도록 권장합니다.
정답
답: C
설명: 감사 권장 사항이 목표 날짜까지 완료되지 않은 경우 노출이 무엇인지 평가하는 것이 중요합니다. 평가를 기반으로 경영진은 그에 따라 보상 통제, 위험 수용 등을 고려할 수 있습니다. 다른 모든 선택은 위험이 평가된 후에만 적절할 수 있습니다.
Q21. 통제를 구현하기 전에 경영진은 먼저 통제가 다음과 같은지 확인해야 합니다.
A. 위험 문제를 해결하기 위한 요구 사항을 충족합니다.
B. 생산성을 감소시키지 않는다
C. 비용-편익 분석을 기반으로 함
D. 탐정 또는 교정
정답
답: A
설명: 컨트롤을 설계할 때 위의 모든 측면을 고려해야 합니다. 이상적인 상황에서는 이러한 모든 측면을 다루는 컨트롤이 최상의 컨트롤이 될 것입니다. 현실적으로, 그것들을 모두 디자인하는 것은 불가능할 수 있고 비용이 엄청나게 높을 수 있습니다. 따라서 위협의 원인을 공격하는 예방적 통제를 먼저 고려해야 합니다.
Q22.원격 사이트에서 입력한 데이터의 편집/검증은 다음 위치에서 가장 효과적으로 수행됩니다.
A. 응용시스템 실행 후 중앙처리 사이트
B. 응용시스템 실행 중 중앙처리장
C. 중앙처리장으로 데이터 전송 후 원격처리장
D. 중앙처리장으로 데이터를 전송하기 전의 원격처리장
정답
답: D
설명: 원격 사이트에서 입력한 데이터를 중앙 처리 사이트로 전송하기 전에 편집하고 검증하는 것이 중요합니다.
Q23. 지속적인 온라인 방식으로 프로그램 제어에 대한 포괄적인 테스트의 일부로 테스트 데이터를 사용하는 프로세스는 무엇입니까?
A. 테스트 데이터/데크
B. 기본 시스템 평가
다. 통합시험시설(ITF)
D. 병렬 시뮬레이션
정답
답: B
설명: 기본 사례 시스템 평가는 포괄적인 테스트 프로그램의 일부로 개발된 테스트 데이터 세트를 사용하며, 승인 전에 올바른 시스템 작동을 확인하고 주기적인 검증에 사용됩니다. 테스트 데이터/덱은 실제 프로그램을 통해 트랜잭션을 시뮬레이션합니다. ITF는 실시간 입력과 동시에 처리되는 테스트 트랜잭션을 사용하여 데이터베이스에 가상 파일을 생성합니다. 병렬 시뮬레이션은 응용 프로그램 논리를 시뮬레이션하는 컴퓨터 프로그램을 사용하여 처리되는 데이터 생성입니다.
Q24. 다음 데이터 유효성 검사 편집 중 전치 및 전사 오류를 감지하는 데 효과적인 것은 무엇입니까?
A. 범위 확인
B. 체크 디지트
C. 유효성 확인
D. 중복 확인
정답
답: B
설명: 검사 숫자는 원래 데이터가 변경되지 않았는지 확인하기 위해 수학적으로 계산되고 데이터에 추가되는 숫자 값입니다(예: 원본을 대체하는 정확하지만 유효한 값). 이 제어는 전치 및 전사 오류를 감지하는 데 효과적입니다. 범위 검사는 미리 결정된 값 범위와 일치하는 데이터를 검사하는 것입니다. 유효성 검사는 미리 결정된 기준에 따라 데이터 유효성의 프로그램된 검사입니다. 중복 검사에서 새 트랜잭션은 이전에 입력한 트랜잭션과 일치하여 이미 시스템에 없는지 확인합니다.
Q24.다음 중 애플리케이션 시스템 제어의 효율성에 대한 가장 큰 위험은 무엇입니까?
A. 수동 처리 단계 제거
B. 부적절한 절차 매뉴얼
C. 임직원 간 담합
D. 미해결 규정 준수 문제
정답
답: C
담합은 지속적으로 발생할 수 있는 능동적인 공격이며 신중하게 계획된 애플리케이션 제어도 우회할 수 있기 때문에 식별하기 어렵습니다. 다른 선택은 잘 설계된 애플리케이션 제어에 영향을 미치지 않습니다.
Q25. 트랜잭션 감사 추적의 주요 목적은 다음과 같습니다.
A. 저장매체의 사용을 줄인다.
B. 처리된 거래에 대한 책임 및 책임 결정
C. IS 감사인의 거래 추적 지원
D. 용량 계획에 유용한 정보 제공
정답
답: B
감사 추적을 활성화하면 정보 시스템을 통해 거래를 추적하여 처리된 거래에 대한 책임과 책임을 설정하는 데 도움이 됩니다. 감사 추적을 활성화하면 디스크 공간 사용이 늘어납니다. 트랜잭션 로그 파일은 트랜잭션을 추적하는 데 사용되지만 책임과 책임을 결정하는 데 도움이 되지는 않습니다. 용량 계획의 목적은 IT 자원의 효율적이고 효과적인 사용이며 CPU 사용률, 대역폭, 사용자 수 등과 같은 정보가 필요합니다.
Q26. 한 제조 회사에서 송장 지불 시스템을 자동화하려고 합니다. 목표는 시스템이 검토 및 승인에 필요한 시간을 상당히 줄여야 하고 시스템이 후속 조치가 필요한 오류를 식별할 수 있어야 한다고 명시되어 있습니다. 다음 중 이러한 목표를 가장 잘 충족시키는 것은 무엇입니까?
A. 효율성 제고를 위해 공급자와 클라이언트 서버의 상호 네트워크 시스템 구축
B. 자동결제 및 매출채권/송장처리 전문업체에 기능 외주
C. 전자 업무 문서의 EDI 시스템 구축 및 주요 공급자와의 거래, 컴퓨터 대 컴퓨터, 표준 형식
D. 기존 처리 재설계 및 기존 시스템 재설계
정답
답: B
EDI가 최선의 답입니다. 적절하게 구현된(예: 거래 파트너 거래 표준과의 계약, 애플리케이션 제어와 함께 네트워크 보안 메커니즘에 대한 제어) 검토 및 승인 기회가 줄어들면 EDI는 오류를 보다 신속하게 식별하고 후속 조치하는 데 가장 적합합니다.
Q27.다음 테스트 단계 중 실패가 새로운 애플리케이션 소프트웨어의 구현에 가장 큰 영향을 미치는 것은 무엇입니까?
A. 시스템 테스트
B. 승인 테스트
C. 통합 테스트
D. 단위 테스트
정답
답: B
승인 테스트는 소프트웨어를 설치하고 사용할 수 있게 되기 전의 마지막 단계입니다. 소프트웨어가 승인 테스트 수준에서 실패하면 지연과 비용 초과가 발생할 수 있으므로 가장 큰 영향을 미칩니다. 시스템 테스트는 소프트웨어가 사양에 따라 사용자 요구 사항을 충족하는지 확인하기 위해 개발자 팀에서 수행합니다. 통합 테스팅은 하나의 통합 시스템으로 단위/모듈을 검사하고 단위 테스팅은 소프트웨어의 개별 단위 또는 구성 요소를 검사합니다. 시스템, 통합 및 단위 테스트는 모두 다양한 개발 단계에서 개발자가 수행합니다. 실패의 영향은 수락 테스트 단계에서의 실패보다 각각에 대해 상대적으로 적습니다.
Q28. 조직에는 서버에 프로그램 라이브러리가 상주하는 통합 개발 환경(IDE)이 있지만 수정/개발 및 테스트는 PC 워크스테이션에서 수행됩니다. 다음 중 IDE의 강점은 무엇입니까?
A. 여러 버전의 프로그램 확산을 통제합니다.
B. 사용 가능한 프로그래밍 리소스 및 지원 확대
C. 프로그램 및 처리 무결성 향상
D. 다른 변경 사항이 유효한 변경 사항을 덮어쓰는 것을 방지합니다.
정답
답: B
IDE의 장점은 사용 가능한 프로그래밍 리소스와 보조 도구를 확장한다는 것입니다. 다른 선택은 IDE 약점입니다.
Q29. 이상적으로 스트레스 테스트는 다음에서 수행되어야 합니다.
A. 테스트 데이터를 이용한 테스트 환경
B. 라이브 워크로드를 사용하는 프로덕션 환경
C. 라이브 워크로드를 사용하는 테스트 환경
D. 테스트 데이터를 사용하는 프로덕션 환경
정답
답: C
시스템이 프로덕션 워크로드에 대처할 수 있는지 확인하기 위해 스트레스 테스트가 수행됩니다. 프로덕션 환경이 손상되지 않도록 항상 테스트 환경을 사용해야 합니다. 따라서 테스트는 프로덕션 환경(밴드 D 선택)에서 발생해서는 안 되며 테스트 데이터만 사용하는 경우 시스템이 적절하게 스트레스 테스트를 거쳤는지 확신할 수 없습니다.
Q30. 응용 프로그램 개발자가 볼륨 테스트를 위해 어제의 프로덕션 트랜잭션 파일 복사본을 사용하려는 경우 IS 감사인의 주요 관심사는 다음과 같습니다.
A. 사용자는 테스트를 위해 인위적인 데이터를 사용하는 것을 선호할 수 있습니다.
B. 민감한 데이터에 대한 무단 액세스가 발생할 수 있음
C. 오류 처리 및 신뢰성 검사가 완전히 입증되지 않을 수 있음
D. 새 프로세스의 전체 기능을 반드시 테스트할 필요는 없습니다.
정답
답: B
데이터를 삭제하지 않으면 민감한 데이터가 공개될 위험이 있습니다.
Q31. 회사는 자체 개발한 기존 시스템을 대체할 상업 금융 시스템을 구현하기 위해 외부 컨설팅 회사와 계약을 체결했습니다. 제안된 개발 접근 방식을 검토할 때 다음 중 가장 우려되는 것은 무엇입니까?
A. 수락 테스트는 사용자가 관리합니다.
B. 품질 계획은 계약된 결과물의 일부가 아닙니다.
C. 초기 구현 시 모든 비즈니스 기능을 사용할 수 있는 것은 아닙니다.
D. 시스템이 비즈니스 요구 사항을 충족하는지 확인하기 위해 프로토타입을 사용 중입니다.
정답
답: B
품질 계획은 모든 프로젝트의 필수 요소입니다. 계약된 공급업체가 그러한 계획을 작성해야 하는 것이 중요합니다. 제안된 개발 계약에 대한 품질 계획은 포괄적이어야 하며 개발의 모든 단계를 포함해야 하며 어떤 비즈니스 기능이 언제 포함될 것인지를 포함해야 합니다. 승인은 일반적으로 사용자 영역에서 관리합니다. 새 시스템이 요구 사항을 충족하는지 확인해야 하기 때문입니다. 시스템이 큰 경우 응용 프로그램을 구현하기 위한 단계적 접근 방식이 합리적인 접근 방식입니다. 프로토타이핑은 시스템이 비즈니스 요구 사항을 충족하는지 확인하는 유효한 방법입니다.
Q32.내부 애플리케이션 인터페이스 오류를 가능한 한 빨리 식별하기 위해 가장 적절한 테스트 접근 방식은 무엇입니까?
A. 상향식
B. 사교성 테스트
C. 하향식
D. 시스템 테스트
정답
답: C
테스트에 대한 하향식 접근 방식은 인터페이스 오류를 조기에 감지하고 주요 기능의 테스트를 조기에 수행하도록 합니다. 테스트에 대한 상향식 접근 방식은 프로그램 및 모듈과 같은 원자 단위로 시작하여 완전한 시스템 테스트가 수행될 때까지 상향식으로 작동합니다. 사교성 테스트 및 시스템 테스트는 개발 프로세스의 후반 단계에서 수행됩니다.
Q33. 응용 프로그램 개발 프로젝트의 시스템 테스트 단계에서 IS 감사인은 다음을 검토해야 합니다.
A. 개념 설계 사양
B. 판매자 계약
C. 오류 보고
D. 프로그램 변경 요청
정답
답: C
테스트는 사용자 요구 사항이 검증되었는지 확인하는 데 중요합니다. IS 감사인은 이 단계에 참여해야 하며 오류 보고서를 검토하여 오류 데이터를 정확하게 인식하고 오류 해결 절차를 검토해야 합니다. 개념적 설계 사양은 요구 사항 정의 단계에서 준비된 문서입니다. 공급업체 계약은 소프트웨어 획득 프로세스 중에 준비됩니다. 프로그램 변경 요청은 일반적으로 사후 구현 단계의 일부로 검토됩니다.
Q34. 화이트 박스 테스트의 구체적인 이점은 다음과 같습니다.
A. 프로그램이 시스템의 다른 부분과 성공적으로 작동할 수 있는지 확인
B. 내부 프로그램 구조에 관계없이 프로그램의 기능적 운영 효율성을 보장합니다.
C. 프로그램의 특정 논리 경로의 절차적 정확성 또는 조건을 결정합니다.
D. 엄격하게 통제되거나 호스트 시스템에 대한 액세스가 제한된 가상 환경에서 프로그램을 실행하여 프로그램의 기능을 검사합니다.
정답
답: C
화이트 박스 테스팅은 소프트웨어 프로그램 로직의 효율성을 평가합니다. 특히 테스트 데이터는 프로그램의 논리 경로의 절차적 정확성이나 조건을 결정하는 데 사용됩니다. 프로그램이 시스템의 다른 부분과 성공적으로 작동할 수 있는지 확인하는 것이 사교성 테스트입니다. 내부 구조에 대한 지식 없이 프로그램의 기능을 테스트하는 것은 블랙박스 테스트입니다. 세미 디버그 환경에서 프로그램에 대한 제어된 테스트(단계별로 많이 제어되거나 가상 머신에서 모니터링을 통해)는 샌드박스 테스트입니다.
Q35. 모범 사례에 따라 새로운 정보 시스템 구현을 위한 공식 계획은 다음 기간 동안 개발됩니다.
A. 개발 단계
B. 설계 단계
C. 테스트 단계
D. 배포 단계
정답
답: B
구현 계획은 실제 구현 날짜보다 훨씬 이전에 시작해야 합니다. 공식 구현 계획은 설계 단계에서 구성되어야 하며 개발이 진행됨에 따라 수정되어야 합니다.
Q36. IS 감사인이 Agile 소프트웨어 개발 접근 방식을 사용하는 프로젝트를 검토하고 있습니다. 다음 중 IS 감사인이 찾아야 할 사항은 무엇입니까?
A. CMM(Capability Maturity Model)과 같은 프로세스 기반 성숙도 모델 사용
B. 일정에 대한 작업 수준의 진행 상황을 정기적으로 모니터링
C. 팀 생산성을 극대화하기 위한 소프트웨어 개발 도구의 광범위한 사용
D. 프로젝트에서 미래에 사용하기 위해 배운 교훈을 식별하는 사후 검토
정답
답: D
Q37.소프트웨어 개발의 테스트 단계가 끝나면 IS 감사인이 간헐적인 소프트웨어 오류가 수정되지 않았음을 확인합니다. 오류를 해결하기 위한 조치가 취해지지 않았습니다. IS 감사인은 다음을 수행해야 합니다.
A. 오류를 발견으로 보고하고 추가 탐색은 피감사인의 재량에 맡깁니다.
B. 오류 해결 시도
C. 문제 해결을 에스컬레이션할 것을 권장합니다.
D. 소프트웨어 오류에 대한 객관적인 증거를 얻을 수 없으므로 오류를 무시합니다.
정답
답: C
IS 감사인이 이러한 조건을 관찰하면 피감사인에게 충분히 알리고 추가 문제 해결을 시도하도록 제안하는 것이 가장 좋습니다. 그것을 경미한 오류로 기록하고 피감사인의 재량에 맡기는 것은 부적절할 것이며 오류를 무시하는 것은 감사인이 논리적 목적으로 문제를 더 조사하기 위한 조치를 취하지 않았음을 나타냅니다.
Q38. 조직에서 레거시 시스템을 대체하기 위해 새 시스템을 구현하고 있습니다. 다음 중 가장 큰 위험을 초래하는 전환 방식은 무엇입니까?
A. 파일럿
B. 병렬
C. 직접 전환
D. 단계적
정답
답: C
직접 전환은 일반적으로 문제 발생 시 이전 시스템으로 되돌릴 수 있는 기능 없이 즉시 새 시스템으로 전환하는 것을 의미합니다. 다른 모든 대안은 점진적으로 수행되므로 더 큰 복구 가능성을 제공하므로 덜 위험합니다.
Q39. 조직이 레거시 시스템에서 ERP(전사적 자원 관리) 시스템으로 마이그레이션하고 있습니다. 데이터 마이그레이션 활동을 검토하는 동안 IS 감사인의 가장 중요한 관심사는 다음이 있는지 확인하는 것입니다.
A. 두 시스템 간에 마이그레이션된 데이터의 의미적 특성의 상관관계
B. 두 시스템 간에 마이그레이션된 데이터의 산술 특성의 상관 관계
C. 두 시스템 간의 프로세스 기능적 특성의 상관관계
D. 두 시스템 간의 프로세스의 상대적 효율성
정답
답: A
두 시스템이 데이터베이스 스키마를 포함하여 서로 다른 데이터 표현을 가질 수 있다는 사실 때문에 IS 감사인의 주요 관심사는 데이터 해석이 이전 시스템에서와 마찬가지로 새 시스템에서도 동일한지 확인하는 것입니다. 산술적 특성은 데이터 구조의 측면과 데이터베이스의 내부 정의를 나타내므로 의미론적 특성보다 덜 중요합니다. 기능적 특성의 상관 관계에 대한 검토 또는 두 시스템 간의 프로세스의 상대적 효율성에 대한 검토는 데이터 마이그레이션 검토와 관련이 없습니다.
Q40. 인증 및 인정 프로세스가 중요한 시스템에 대해 수행되는 이유는 다음을 보장하기 위함입니다.
A. 보안 준수는 기술적으로 평가되었습니다.
B. 데이터가 암호화되어 저장할 준비가 되었습니다.
C. 시스템은 다른 플랫폼에서 실행되도록 테스트되었습니다.
D. 시스템은 폭포수 모델의 단계를 따랐습니다.
정답
답: A
인증 및 승인된 시스템은 특정 프로덕션 서버에서 실행되는 것에 대해 기술적으로 보안 준수를 평가한 시스템입니다. 인증된 시스템의 모든 데이터가 암호화되지 않기 때문에 선택 B는 올바르지 않습니다. 인증된 시스템이 특정 환경에서 실행되도록 평가되기 때문에 선택 C는 올바르지 않습니다. 폭포수 모델은 소프트웨어 개발 방법론이며 인증 및 인증 프로세스를 수행하는 이유가 아닙니다.
Q41. 회사는 고객에 대한 새롭고 직접적인 마케팅 접근 방식을 지원하기 위해 비즈니스 프로세스 리엔지니어링(BPR) 프로젝트를 수행합니다. 다음 중 새로운 프로세스에 대한 IS 감사인의 주요 관심사는 무엇입니까?
A. 자산 및 정보 자원을 보호하기 위한 주요 통제 수단이 마련되어 있는지 여부
B. 시스템이 기업 고객 요구 사항을 충족하는 경우
C. 시스템이 성능 목표(시간 및 자원)를 충족할 수 있는지 여부
D. 소유자가 프로세스를 책임질 사람이 식별되었는지 여부
정답
답: A
감사 팀은 핵심 통제의 포함을 옹호하고 새로운 프로세스를 구현하기 전에 통제가 제자리에 있는지 확인해야 합니다. 선택 B, C 및 D는 BPR(비즈니스 프로세스 리엔지니어링) 프로세스가 달성해야 하는 목표이지만 감사인의 주요 관심사는 아닙니다.
Q42. IS 감사인은 초기 유효성 검사 제어를 신용 카드 거래 캡처 응용 프로그램에 프로그래밍할 것을 권장합니다. 초기 검증 프로세스는 다음과 같은 가능성이 높습니다.
A. 거래 유형이 카드 유형에 유효한지 확인하십시오.
B. 입력한 숫자의 형식을 확인한 다음 데이터베이스에서 찾습니다.
C. 입력한 거래가 카드 소지자의 신용 한도 이내인지 확인
D. 마스터 파일에 카드가 분실 또는 도난된 것으로 표시되지 않았는지 확인합니다.
정답
답: B
초기 유효성 검사에서 카드가 유효한지 확인해야 합니다. 이 유효성은 사용자가 입력한 카드 번호와 PIN을 통해 설정됩니다. 이 초기 검증을 기반으로 다른 모든 검증이 진행됩니다. 데이터 캡처의 유효성 검사 제어는 입력된 데이터가 유효한지 확인합니다(즉, 시스템에서 처리할 수 있음). 초기 유효성 검사에서 캡처한 데이터가 유효하지 않은 경우(카드 번호 또는 PIN이 데이터베이스와 일치하지 않는 경우) 카드는 거부되거나 제자리에 있는 컨트롤에 따라 캡처됩니다. 초기 유효성 검사가 완료되면 카드 및 카드 소지자에 대한 다른 유효성 검사가 수행됩니다.
Q43. 회사는 은행을 사용하여 주간 급여를 처리합니다. 근무 시간 기록표와 급여 조정 양식(예: 시간당 요금 변경, 퇴직금)이 작성되어 은행에 전달되며 은행은 분배를 위한 수표(수표)와 보고서를 준비합니다. 급여 데이터 정확성을 최상으로 보장하려면:
A. 급여 보고서는 입력 양식과 비교해야 합니다.
B. 총 급여는 수동으로 다시 계산해야 합니다.
C. 수표(수표)는 입력 양식과 비교해야 합니다.
D. 수표(수표)는 출력 보고서와 조정되어야 합니다.
정답
답: A
회사에서 입력을 제공하고 은행에서 출력을 생성할 때 데이터 정확성을 확인하는 가장 좋은 방법은 급여 보고서 결과로 데이터 입력(입력 양식)을 확인하는 것입니다. 따라서 급여 보고서를 입력 양식과 비교하는 것이 데이터 정확성을 확인하는 가장 좋은 메커니즘입니다. 총 급여를 수동으로 다시 계산하면 처리가 올바른지 여부만 확인하고 입력 데이터의 정확성은 확인하지 않습니다. 수표(수표)에는 처리된 정보가 있고 입력 양식에는 입력 데이터가 있으므로 수표(수표)를 입력 양식과 비교하는 것은 불가능합니다. 출력 보고서와 수표(수표)를 조정하면 출력 보고서에 따라 수표(수표)가 발행되었음을 확인합니다.
Q44.다음 중 EDI 환경에서 가장 큰 잠재적 위험을 나타내는 것은 무엇입니까?
A. 거래 승인
B. EDI 전송의 손실 또는 복제
C. 전송지연
D. 적용 통제 설정 이전 또는 이후의 거래 삭제 또는 조작
정답
답: A
당사자 간의 상호 작용은 전자적이므로 고유한 인증이 발생하지 않습니다. 따라서 거래 승인이 가장 큰 위험입니다. 선택 B와 D는 위험의 예이지만 승인되지 않은 거래만큼 영향이 크지 않습니다. 전송 지연은 처리를 종료하거나 처리를 위한 정상 시간이 경과할 때까지 회선을 보류할 수 있습니다. 그러나 데이터 손실은 없습니다.
Q45. 다음 중 데이터 웨어하우스의 데이터 품질에 가장 중요하고 가장 크게 기여하는 것은 무엇입니까?
A. 소스 데이터의 정확성
B. 데이터 출처의 신뢰성
C. 추출 공정의 정확성
D. 데이터 변환의 정확성
정답
답: A
소스 데이터의 정확성은 데이터 웨어하우스의 데이터 품질을 위한 전제 조건입니다. 데이터 소스의 신뢰성, 정확한 추출 프로세스 및 정확한
변환 루틴은 모두 중요하지만 부정확한 데이터를 품질(정확한) 데이터로 변경하지는 않습니다.
Q46.두 시스템 간의 정보 교환을 위해 웹 서비스를 사용할 때의 가장 큰 이점은 다음과 같습니다.
A. 안전한 통신
B. 성능 향상
C. 효율적인 인터페이스
D. 강화된 문서
정답
답: C
웹 서비스는 사용되는 운영 체제나 프로그래밍 언어에 관계없이 두 시스템 간의 정보 교환을 용이하게 합니다. 통신이 반드시 더 안전하거나 빠를 필요는 없으며 웹 서비스를 사용할 때 문서화 이점이 없습니다.
Q47. 기존 시스템은 설계 및 프로그램 구성 요소를 추출 및 재사용하여 광범위하게 향상되고 있습니다. 이것은 다음의 예입니다:
A. 리버스 엔지니어링
B. 프로토타이핑
C. 소프트웨어 재사용
D. 리엔지니어링
정답
답: D
광범위하게 수정, 조정 및 개선된 오래된(레거시) 시스템은 유지 보수를 유지하기 위해 재설계가 필요합니다. 리엔지니어링은 새로운 기술을 기존 시스템에 통합하기 위한 재구축 활동입니다. 프로그램 언어 구문을 사용하는 리버스 엔지니어링은 바이러스와 같은 프로그램의 악성 콘텐츠를 식별하거나 하나의 프로세서와 함께 사용하도록 작성된 프로그램을 수정하기 위해 작성된 소스 코드로 프로그램의 기계 코드를 역전시키는 것을 포함합니다. 다르게 설계된 프로세서. 프로토타이핑은 통제된 시행착오를 통해 시스템을 개발하는 것입니다. 소프트웨어 재사용은 이전에 개발된 소프트웨어 구성 요소를 계획, 분석 및 사용하는 프로세스입니다. 재사용 가능한 구성 요소는 현재 소프트웨어 제품에 체계적으로 통합됩니다.
Q47. IT 서비스의 가용성 및 연속성을 위한 IT 모범 사례는 다음과 같아야 합니다.
A. 재해 복구 구성 요소와 관련된 비용 최소화
B. 합의된 비즈니스 요구를 충족할 수 있는 충분한 용량 제공
C. 고객에 대해 동의한 의무가 내가 될 수 있다는 합리적인 확신을 제공합니다.
D. 시기적절한 성과 지표 보고서 생성
정답
답: C
협상 및 합의된 약속(예: 서비스 수준 계약[SLA])을 항상 이행할 수 있는 것이 중요합니다. 이를 달성할 수 없는 경우 IT는 이러한 요구 사항에 동의하지 않아야 합니다. 그러한 약속을 하는 것은 비즈니스에 오해를 불러일으킬 수 있기 때문입니다. 이 맥락에서 '항상'은 '합의된 의무'와 직접 관련되며 서비스가 100% 이용 가능해야 함을 의미하지는 않습니다. 비용은 가용성 및 서비스 연속성 관리의 결과이며 부분적으로만 제어할 수 있습니다. 이러한 비용은 합의된 의무를 직접 반영합니다. 용량 관리는 필요하지만 그렇지 않습니다.
충분, 가용성 조건. 용량 부족으로 인해 가용성 문제가 발생할 수 있음에도 불구하고 서비스의 원활한 운영에 필요한 용량 제공은 가용성 관리가 아닌 용량 관리 내에서 이루어집니다. 보고서 생성은 가용성 및 서비스 연속성 관리 작업일 수 있지만 이는 다른 많은 관심 영역(예: 인시던트, 문제, 용량 및 변경 관리)에서도 마찬가지입니다.
Q48.인사(HR) 감사 중에 IS 감사인은 IT 부서와 HR 부서 간에 예상되는 IT 서비스 수준에 대해 구두 합의가 있음을 알립니다. 이러한 상황에서 IS 감사인은 가장 먼저 무엇을 해야 합니까?
A. 계약이 문서화될 때까지 감사 연기
B. 고위 경영진에게 문서화되지 않은 계약의 존재를 보고합니다.
C. 양 부서와 합의 내용 확인
D. 두 부서에 대한 서비스 수준 계약(SLA) 초안
정답
답: C
IS 감사인은 권장 사항을 작성하기 전에 먼저 현재 관행을 확인하고 이해해야 합니다. 계약이 성립된 후에 계약을 문서화할 수 있습니다. 서면 합의가 없다고 해서 감사 연기가 정당화되는 것은 아니며 감사의 이 단계에서 고위 경영진에게 보고할 필요가 없습니다. 서비스 수준 계약(SLA) 초안 작성은 IS 감사인의 책임이 아닙니다.
Q49. 다음 중 네트워크에 불법 소프트웨어 패키지를 로드하는 것을 가장 효과적으로 감지하는 절차는 무엇입니까?
A. 디스크 없는 워크스테이션 사용
B. 하드 드라이브의 정기 점검
C. 최신 바이러스 백신 소프트웨어의 사용
D. 위반 시 즉시 해고되는 정책
정답
답: B
하드 드라이브를 주기적으로 확인하는 것이 네트워크에 로드된 불법 소프트웨어 패키지를 식별하는 가장 효과적인 방법입니다. 바이러스 백신 소프트웨어는 소프트웨어에 바이러스가 포함되어 있지 않은 한 불법 소프트웨어를 반드시 식별하지는 않습니다. 디스크가 없는 워크스테이션은 예방적 제어 역할을 하며 사용자가 디스크가 없는 워크스테이션이 아닌 다른 곳에서 소프트웨어를 다운로드할 수 있기 때문에 효과적이지 않습니다. 정책은 소프트웨어 로드에 대한 규칙을 제시하지만 실제 발생을 감지하지는 않습니다.
Q50.권한 있는 감독 상태에 액세스할 수 있는 사용자를 결정하려면 다음 중 IS 감사인이 검토해야 하는 것은 무엇입니까?
A. 시스템 액세스 로그 파일
B. 활성화된 액세스 제어 소프트웨어 매개변수
C. 접근통제 위반 기록
D. 사용된 제어 옵션에 대한 시스템 구성 파일
정답
답: D
사용된 제어 옵션에 대한 시스템 구성 파일을 검토하면 권한 있는 감독 상태에 액세스할 수 있는 사용자가 표시됩니다. 시스템 액세스 로그 파일과 액세스 위반 로그는 모두 본질적으로 탐지적입니다. 액세스 제어 소프트웨어는 운영 체제에서 실행됩니다.
'공부 > 자격증' 카테고리의 다른 글
| CISSP 한글 기출문제 (01-20) (1) | 2022.12.06 |
|---|---|
| CISA Domain05 기출문제 #01 (1) | 2022.11.10 |
| CISA Domain02 기출문제 #02 (0) | 2022.11.09 |
| CISA Domain01 기출문제 (121-150) (0) | 2022.11.08 |
| CISA Domain01 기출문제 (91-120) (0) | 2022.11.05 |
댓글