ISC2 Flashcards
A value-added network (VAN) is a privately owned network that performs which of the following functions?
A. Route data transactions between trading partners.
B. Route data within a company’s multiple networks.
C. Provide additional accuracy for data transmissions.
D. Provide services to send marketing data to customers.
A
An executive information system is not characterized by
A.
Supplying advice to top management from an expert (knowledge-based) system.
B.
Supplying financial and nonfinancial information.
C.
Supplying immediate information about an entity’s critical success factors.
D.
Use on both mainframes and personal computer networks.
【A】
Executive Information System (EIS) 的特點包括:
提供高層管理所需的關鍵資訊。
財務和非財務資訊。
關鍵成功因素。
多平台使用。
Expert System (知識型系統) 是一種人工智慧系統,主要用來模擬人類專家的決策過程,提供專業建議或解決複雜問題。這些系統通常基於特定領域的專業知識和規則,旨在提供專家級的建議和支持
A CRM system will allow customers to call a centralized customer service department when they determine it is time to reorder inventory.
T or F?
原敘述中的問題在於,將「呼叫中央客服部門」作為CRM系統的主要功能之一,而實際上,CRM系統應該強調自動化和多渠道的客戶互動管理。以下是修改後的正確敘述:
“A CRM system will enable customers to reorder inventory through various channels such as online portals, automated systems, or customer service representatives.”
這樣的敘述更準確地反映了CRM系統的功能,即支持多渠道的客戶互動和自動化服務,而不僅僅依賴於呼叫中央客服部門。
Enterprise resource planning.
Electronic data interchange.
有什麼不同
ERP vs. EDI
ERP (Enterprise Resource Planning):
- 集成企業各部門功能(財務、HR、供應鏈等)。
- 提供實時數據和報告。
- 自動化內部業務流程。
EDI (Electronic Data Interchange):
- 標準化企業間的電子數據交換(訂單、發票等)。
- 減少手動數據處理,降低錯誤。
- 加速商業交易。
總結:
- ERP 管理企業內部資源和流程。
- EDI 自動化和標準化企業間的數據交換。
The primary purpose of a database system is to have a single storage location for each
A. File.
B. Record.
C. Database.
D. Data item.
正確答案是D(Data item),因為數據庫系統的主要目的是確保每個數據項目(Data item)只有一個存儲位置,從而實現數據的集中管理和避免數據冗餘
數據項目是數據庫中存儲的單個值或信息單元。它是不可再分的基本數據單位,例如一個表格中的單元格內容。
例子:
客戶數據庫:
客戶姓名:John Doe
電子郵件地址:john.doe@example.com
聯繫電話:123-456-7890
每個這樣的值(姓名、電子郵件地址、電話號碼)都是一個數據項目。
One of the general functions of an operating system is to
B. Identify input/output devices and provide the necessary drivers.
D. Provide a graphical user interface (GUI) that allows the user to input text to execute tasks.
【B】
選項D中提到的「提供圖形用戶界面(GUI)以允許用戶輸入文本以執行任務」並不是操作系統的一般功能,而是屬於用戶界面(User Interface)的功能。操作系統的一般功能主要包括管理計算機的資源和提供基本的系統服務。
Question: What’s correct about a client-server system for accessing a customer database?
A. Same OS required.
B. Server needs a network interface card.
C. Server uses peer-to-peer networking.
D. Server and clients must connect to the world wide web.
【B】
A. Same OS required. - 不需要相同的操作系統。
B. Server needs a network interface card. - 服務器需要安裝網絡接口卡。
C. Server uses peer-to-peer networking. - 在客户端-服务器系统中,架构是集中式的,由一个专用服务器为多个客户端提供服务,这与点对点网络不同,在点对点网络中,每个设备都可以同时充当客户端和服务器。
D. Server and clients must connect to the web. - 服務器和客戶端只需連接到局域網LAN。
BASIC, FORTRAN, and COBOL are all examples of
A.
Application languages.
B.
Machine languages.
C.
Procedural languages.
D.
Operating systems.
高水準言語(high-level languages)の分類についての理解を問う問題。
BASIC、FORTRAN、COBOLなどのプログラミング言語は手続き型言語(procedural languages)に属する。手続き型言語とは特定の問題を解決するために必要な手続き(手順)を順序だててプログラムを記述できるように設計された言語である。
従って、正解はc。
aは誤り。cほど適切な答えではない。
bは誤り。機械言語(machine languages)とは、コンピュータが理解できる言語(0と1の2進法)のことである。
dは誤り。手続き型言語(procedural language)はOSではない。
XXX Corp. is using a public cloud-based software provided on a dedicated cloud infrastructure. What is the cloud environment?
A. A public SaaS.
B. A private IaaS.
C. A hybrid cloud.
D. A multi-cloud.
【C】
hybrid cloud 強調私有雲和公有雲的結合,而 multi-cloud 則強調多個不同的公有雲服務提供商的結合。
What is a set of rules used for exchanging data between two computers?
A. Operating system
B. Transmission speed
C. Router
D. Protocol
【D】
The main components of the central processing unit of a computer are
Arithmetic-logic unit, control unit, and primary storage.
The computer operating system performs scheduling, resource allocation, and data retrieval functions based on a set of instructions provided by the
A. interpreter.
B. language processors.
C. compiler.
D. Job control language.
讓我們逐一解釋每個選項:
A. 解釋器(Interpreter):
- 解釋器是一種軟體,用於解釋並執行高階編程語言中的指令。它逐行解釋程式碼,將其轉換為機器語言並立即執行。解釋器通常用於語言如Python和Ruby等,它們不會提供操作系統所需的排程、資源分配和數據檢索功能。
B. 語言處理器(Language Processors):
- 語言處理器是一個更廣泛的術語,包括編譯器(Compiler)、解釋器(Interpreter)、組譯器(Assembler)等。它們是用來將高階編程語言轉換為機器語言的工具,但它們不直接處理操作系統的排程、資源分配和數據檢索。
C. 編譯器(Compiler):
- 編譯器是一種軟體,用於將高階編程語言的原始程式碼一次性地轉換為機器語言的可執行文件。它會將整個程式碼轉換成目標機器的原生語言,並生成可執行文件。儘管編譯器會產生執行文件,但它不直接處理操作系統的排程、資源分配和數據檢索。
D. 作業控制語言(Job Control Language,JCL):
- 作業控制語言是一種用於操作系統的特殊語言,它用於描述作業的執行流程,包括排程、資源分配和數據檢索等。它通常由作業系統提供,用於管理和控制作業的執行。因此,正確答案是D,因為作業控制語言是直接用於操作系統的功能。
Question:
Which of the following represents a risk associated with using smart contracts for an organization’s control activities?
Options:
A. Deficient business logic in smart contracts.
B. Manipulated blockchain records of transactions by smart contracts.
C. Unauthorized transactions by smart contracts without oracle authorization.
D. Invalid blockchain transactions due to consensus protocol manipulation.
【A】
智能合约是一种程序,通过设置,当满足预定义条件时,交易就会自动记录在区块链上。 设置智能合约可以在没有人为干预的情况下在区块链上记录交易,从而防止不当记录或伪造记录。 但是,如果在最初设置智能合约时存在缺陷,则有可能在引入智能合约时造成严重后果。
What does the recovery point objective (RPO) represent?
What does the recovery time objective (RTO) represent?
Options:
A. The maximum acceptable amount of data loss in case of a system failure.
B. The time within which the system must be recovered after a failure.
C. The time it takes to back up data to ensure minimal data loss.
D. The period within which normal business operations can resume after a disruption.
【A】
【B】
恢复点目标(RPO)代表系统宕机时可能丢失的最大数据量:一小时的 RPO 意味着应恢复系统宕机前一小时内的数据。like conduct backups every 30min
另一方面,恢复时间目标(RTO)表示允许恢复宕机系统的最长时间;RTO 为两小时,表示必须在两小时内恢复系统。like failure occured at 6am and recover in 7am
A company’s recovery point objective (RPO) is 12 hours. Which of the following backup methods will minimize the recovery point actual (RPA)?
A. 10-hour file-level incremental backup.
B. 12-hour reverse incremental backup.
C. 11-hour byte-level incremental backup and weekly full backup.
D. 13-hour differential backup.
【A】
關鍵:先看頻率,後看單位
尽管备份单位更小更高效,但关键是频率,11小时频率略低于10小时文件级备份。
Which of the following costs is covered by a third-party cyber liability insurance?
A. A ransom to be paid to the cyber attacker.
B. Loss of sales due to reputational damage.
C. Notification costs to regulators and the affected parties.
D. Settlement fees and court judgments.
【D】
A–>虽然网络保险可能涵盖勒索软件攻击中的赎金支付,但这通常属于第一方保险范围,而不是第三方网络责任保险。第一方保险直接覆盖公司自身的损失,而第三方保险覆盖因公司的网络安全事件对第三方造成的损害。
第三方网络责任保险承保遭受网络攻击的公司向第三方支付的赔偿金额,包括以下项目
1.对网络攻击受害者(如信息被泄露的客户)的损害赔偿
2.向监管机构支付的罚款
3.法律费用
Question:
Which one of the following statements about the NIST Cybersecurity Framework functions is incorrect?
Options:
A. Identify - Understand assets, threats, and risks.
B. Protect - Implement safeguards against attacks.
C. Detect - Address detected attacks.
D. Recover - Restore data or services after an attack.
【C】
Explanation of the Correct Functions:
Identify
Understand assets, threats, and risks.
Protect
Implement safeguards against attacks.
Detect
Discover security events.
Respond
Take action on detected events.
Recover
Restore capabilities and services after an attack.
Zero trust security means that
B. A user should be permitted to only the resources that are necessary for its legitimate purpose.
C. All users, whether in or outside of an organization’s network should be authenticated to access the network.
【C】
b–need to know
Need to Know(知需原則)
定義: 用戶只能訪問其工作所需的最少資源。
目的: 減少未經授權的訪問和數據洩漏風險。
例子: HR員工能查看人事檔案,但無法訪問財務記錄。
Zero Trust(零信任)
定義: 對所有用戶和設備不預設信任,無論其在內部網絡還是外部。
目的: 持續驗證每次訪問請求,防止內部和外部威脅。
例子: 每次員工訪問公司資源都需進行身份驗證,包括多因素驗證(MFA)。
Which of the following access controls can achieve organization security in accordance with the principle of least privilege?
A. Mandatory access control (MAC).
B. Role-based access control (RBAC).
C. Discretionary access control (DAC).
D. Access control list (ACL).
【B】
A. Mandatory Access Control (MAC)強制評估控制
定義: 根據系統級別的安全策略,由中央管理系統決定和控制所有資源的訪問權限,用戶無法改變。雖然MAC也符合最小特權原則,因為它強制應用安全策略並確保用戶只能訪問其被授權的資源,但RBAC更適合於動態和多變的企業環境。
B. Role-Based Access Control (RBAC)
定義: 基於用戶的角色分配訪問權限,每個角色擁有不同的權限組合。
C. Discretionary Access Control (DAC) 全權評估控制
定義: 資源所有者(如文件創建者)可以自行決定誰可以訪問該資源。
D. Access Control List (ACL)
定義: 為每個資源定義具體的訪問控制列表,列出哪些用戶或系統組件可以對該資源進行何種操作。
Which of the following risks can be minimized by requiring all employees accessing the information system to use passwords?
A. Collusion
B. Data entry errors
C. Failure of server duplicating function
D. Firewall vulnerability
【D】
Asymmetric encryption uses a pair of keys that are not mathematically related with each other.
不對。對稱加密使用一對密鑰(公鑰和私鑰),它們是數學上相關的。公鑰用於加密數據,私鑰用於解密數據。這種密鑰之間的數學關係是非對稱的,因為從公鑰無法推斷出私鑰,反之亦然。所以句子應該修改為:
“Asymmetric encryption uses a pair of keys that are mathematically related to each other.”
Tokenization is a process of replacing sensitive data with substitutes that
C. Are generated using encryption and intended to be decrypted for use.
D. Allow the original information to be retained without compromising its security.
【D】
C–使用加密技术生成令牌时,并不打算对令牌进行解密。这是因为重要的是,令牌只是通过网络交换重要信息的标识符,其本身没有任何意义。
Tokenization是將敏感數據替換為不敏感的替代品的過程。這些替代品被稱為”token”,它們與原始數據之間是一對一的映射關係。這些token通常是不可逆的,這意味著不能從token恢復回原始數據。通常,token會被存儲,而原始數據則被安全地保留在另一處。這樣做的目的是保護原始數據,同時允許使用token來執行特定操作,而不必暴露原始數據。
一個簡單的例子是信用卡支付過程中的tokenization。當您在網上購物時,通常需要輸入信用卡信息。為了保護這些信息,商戶通常不會直接存儲您的信用卡號碼和安全碼。相反,他們會將這些信息發送給支付處理公司,然後支付處理公司會將這些數據token化。這樣,商戶只會收到一個token,而不是您的實際信用卡信息。當商戶需要處理付款時,他們可以使用這個token,而不需要知道您的信用卡詳細信息。這樣做既保護了您的信用卡信息,又允許商戶進行支付處理。
A software vendor accessed fraudulently to the company’s system using a backdoor account.
insider or outsider threats
insider
STRIDE threat modeling?
S: なりすまし(spoofing)spoof 面具
T: 改ざん(tampering)tamper 調整
R: 否認(repudiation)
I: 情報開示(information disclosure)
D: DoS攻撃(denial of service)
E: 権限昇格(elevation of privilege
Spoofing.
Piggybacking.
An eavesdropping attack.
A denial of service attack.
當然,這裡是每個攻擊類型的簡短例子:
-
Spoofing(欺騙):
- 例子:一個攻擊者偽造電子郵件地址,發送一封看似來自公司CEO的郵件,要求員工提供敏感信息。
-
Piggybacking(搭便車):
- 例子:一個沒有訪問權限的人尾隨合法員工進入受限制的辦公區域,利用合法員工刷卡進門的機會。
-
Eavesdropping Attack(竊聽攻擊):
- 例子:攻擊者使用竊聽設備攔截兩個用戶之間的未加密Wi-Fi通信,獲取他們的敏感信息,如密碼和信用卡號。
-
Denial of Service Attack(拒絕服務攻擊):
- 例子:攻擊者向一個網站發送大量的虛假請求,讓網站無法處理合法用戶的請求,導致網站崩潰或無法訪問。
這些例子展示了每種攻擊類型的基本概念和操作方式。
論理炸彈(Logic Bomb)
論理炸彈(Logic Bomb)是一種惡意軟體,它在特定條件滿足時觸發並執行破壞性行為。這些條件可以是日期、時間、特定的系統事件,或某些程序被執行。論理炸彈通常被秘密地嵌入到合法的軟體或系統中,以便在特定條件下發動攻擊。
特點:
1. 隱藏性:論理炸彈通常隱藏在正常運行的程式或系統中,很難被發現。
2. 觸發條件:只有在特定條件滿足時才會被激活,這些條件可以是時間、日期或特定事件。
3. 破壞性:一旦觸發,論理炸彈可能會刪除文件、損壞數據或使系統崩潰。
例子:
1. 特定日期觸發:一個員工在公司軟體中嵌入了一個論理炸彈,設置在他被解僱的一周後觸發,刪除公司的重要數據。
2. 程序啟動觸發:一個攻擊者在應用程序中嵌入論理炸彈,當某特定功能被使用時,它會啟動並執行破壞性操作,如格式化硬盤或刪除數據庫。
防範措施:
1. 代碼審計:定期檢查和審計代碼,以確保沒有惡意代碼被嵌入。
2. 入侵檢測系統:使用入侵檢測系統來監控和檢測異常活動。
3. 備份數據:定期備份數據,以防止數據丟失。
論理炸彈是一種具有隱蔽性和破壞性的惡意軟體,需要通過嚴格的安全措施來防範和檢測。
Which of the following statements is correct about a distributed denial-of-service attack (DDoS attack)?
A. A botnet in IoT devices is commonly used for a DDoS attack.
D. A layer 7 attack is a DDoS attack that sends a large volume of SYN packet to the targeted server to cause disruption.
【A】
D應該是第四層
各層攻擊的總結
1物理層:破壞實體設備
2數據鏈路層:MAC洪泛
3網絡層:IP洪泛、ICMP洪泛、Smurf攻擊
–通過發送大量IP包或ICMP請求使目標網絡設備過載,影響路由器和防火牆等設備。
4傳輸層:TCP SYN洪泛、UDP洪泛
–針對傳輸層協議(TCP和UDP),通過大量的連接請求或數據包使目標系統過載。
5會話層:SIP洪泛(針對VoIP)
6表示層:數據編碼或解碼操縱
7應用層:HTTP洪泛、DNS洪泛、Slowloris攻擊
water hole attack?
社会工程学是指从心理上诱使他人采取犯罪者所希望的行动。利用人类行为而非系统漏洞(漏洞)的网络攻击(如网络钓鱼)属于社会工程学的范畴。不仅网络攻击,欺诈电话和窃听机密信息等也属于社会工程学的范畴。
灌水漏洞攻击是社会工程学的一种,即劫持目标最喜欢的网站并设置陷阱(如点击点,点击后用户会感染恶意软件),迫使用户输入敏感信息。
Which statement about cyber attacks on smartphones is correct?
A. Smishing targets smartphones by sending emails.
B. Vishing exploits voice assistant vulnerabilities.
C. SIM hijacking fraudulently gains control of a phone number.
D. Smurfing uses fake identities for social engineering attacks.
正確的選項是:
C. SIM hijacking, that is a fraudulent technique to gain control of a target’s phone number.
SIM卡劫持是與智能手機相關的網絡攻擊,這種攻擊通過獲取目標電話號碼的控制來實現。
A–短信(SMS)進行的網絡釣魚攻擊
B–Vishing 是指通過語音通話進行的網絡釣魚攻擊,通常是欺詐者假裝是合法機構,通過電話來誘使受害者提供敏感信息
D–Smurfing 是指一種DDoS攻擊技術,通過偽造源IP地址向目標網絡發送大量ICMP請求,導致網絡擁堵
Reconnaissance
Recon:這部分可以聯想到“Recognize(認識)”或“Recovery(恢復)”,表示在攻擊前對目標進行認識或準備恢復攻擊能力。
naissance:這部分與“naissance(誕生)”相似,可以表示攻擊計劃的“誕生”或“起源”。
因此,“Reconnaissance”可以被理解為對目標的認識或偵察,是攻擊計劃的起點。
In using smart devices, an IT and security team should confirm software used in the devices and the manufacturer’s support to reduce the risk of
B. Eavesdropping.
D. Shadow IT.
【D】
The HIPAA Security and Privacy rules define that availability means the property that
A. Data or information is available for operation and use to meet the entity’s objectives.
C. Data or information is accessible and useable upon demand by an authorized person.
【C】
選項 C 的確是 HIPAA 安全性與隱私規則中 “可用性”(availability)的定義,即資料或資訊能夠在授權人員需求時訪問和使用。
選項 A 描述的是 TSC(Trust Services Criteria)中的 “可用性” 定義,這是更廣泛的框架,用於確保資料和系統的完整性和可用性以達成實體的目標。
BCP(Business Continuity Plan,業務連續性計畫)和 DRP(Disaster Recovery Plan,災難復原計畫)都是企業用來應對突發事件的關鍵計劃,專注於 IT 系統和技術層面的恢復的是?
DRP 是 BCP 的一部分,專注於 IT 系統和技術層面的恢復。
question: According to the GDPR, personal data should:
A. Be adequate to achieve the necessary purposes for processing.
B. erased or rectified without delay if inaccurate.
C. Be collected for specified purposes and not processed further incompatibly.
D. Not be stored longer than necessary for processing purposes.
A.
解釋:這個選項涉及到數據的“相關性和適當性”原則。根據 GDPR,個人數據應該與處理目的相關並且適當,不應過度收集超出必要的範圍。
B.
解釋:這個選項涉及到數據的“準確性”原則。根據 GDPR,個人數據應該準確無誤,如有不準確或錯誤的數據,應該及時刪除或更正。
C.
解釋:這個選項涉及到數據的“目的限制”原則。根據 GDPR,個人數據應該為特定的、明確的和合法的目的收集,並且不得進行與這些目的不相符的進一步處理。
D.
解釋:這個選項涉及到數據的“存儲限制”原則。根據 GDPR,個人數據不應該被存儲超過實現處理目的所需的時間,即使是出於公共利益的存檔目的。
Which of the following actions will be most likely included in a business impact analysis (BIA)?
A. Contract with external parties to outsource the BIA activities.
B. Use a questionnaire to collect information from governmental authorities.
C. Perform drills to verify whether recovery plans are applicable and effective.
D. Issue a BIA report for distribution to all employees.
【A】
A–执行业务影响评估的团队成员应熟悉组织的业务流程。通常会选择组织内部负责这项工作的人员,但也可以外包给具有专业知识的顾问。
B–對象不應該是政府當局
C–復旧計画を確かめるための訓練は、BIAではなく、次の段階であるBCPやDRPのプロセスにおいて実施される。
Which of the following items is included in the categories accounted for the STRIDE threat modeling?
A. Social engineering.
B. Reputational risk.
C. Information disclosure.
D. Exploitability.
STRIDEとは脅威モデリングの手法の一つであり、コンピュータシステムに対する脅威を以下の6つのカテゴリーに分類する。
S: なりすまし(spoofing)
T: 改ざん(tampering)
R: 否認(repudiation)
I: 情報開示(information disclosure)
D: DoS攻撃(denial of service)
E: 権限昇格(elevation of privilege
The processing of transactions by multiple computers on a network, rather than relying on a single computer for processing, is called
A. Multiprocessing.
B. Multi-point processing.
C. Decentralized processing.
D. Distributed processing.
[D]
b, cは誤り。マルチポイント処理(multi-point processing)や非集中処理(decentralized processing)といった言い方は標準的なものではない。
The primary purpose of a system test is to:
A. test the generation of the designed control totals.
B. determine whether the documentation of the system is accurate.
C. evaluate the system functionally.
D. ensure that the system operators become familiar with the new system.
[C]
Aーーapplication control
测试系统的主要目的是评估系统的整体功能。
因此,正确答案是 C。
A 错误。控制总数是应用程序控制测试。
b 不正确。系统文件的准确性不是测试阶段的主要目标。
d 不正确。确保系统操作员熟悉新系统不是主要目标。
Which of the following matters occurring during a SOC 1 engagement is least likely to affect management’s assertion?
Options:
A. Use of a subservice organization with the carve-out method.
B. Identification of complementary user entity controls.
C. Service auditor’s report modified due to an unfairly stated description.
D. Service auditor’s recommendations to improve controls.
Answer: D. Service auditor’s recommendations to improve controls.
Which statement represents the additional focus for engagements using the Trust Services Criteria for assessing the control environment?
Options:
A. Management uses various evaluations, including penetration testing, ISO certifications, and internal audits.
B. The entity considers impacts of new business lines, growth, foreign reliance, and new technologies on internal control.
C. Personnel responsible for system controls receive necessary information and communication about their responsibilities.
D. The entity provides training programs to ensure competency of personnel, contractors, and vendors.
Answer: D. The entity provides training programs to ensure competency of personnel, contractors, and vendors.
錯誤選項的解釋:
A. 管理層使用各種評估,包括滲透測試、ISO認證和內部審計。
- 解釋: 此選項側重於監控和評估控制有效性的活動,如滲透測試和審計。這些屬於持續監控和保證活動的一部分,而不是控制環境本身的基礎。控制環境更多的是關於管理層和員工對內部控制系統的總體態度、意識和行動。
B. 實體考慮新業務線、增長、外部依賴和新技術對內部控制的影響。
- 解釋: 此選項涉及風險評估及業務環境變化對內部控制的影響。儘管考慮這些因素對於適應和維持有效控制至關重要,但這更多是關於理解和應對風險,而不是建立控制環境的基礎。
C. 負責系統控制的人員接收到關於其職責的必要信息和溝通。
- 解釋: 此選項涉及內部控制的信息和溝通組件,確保人員了解其角色和職責。雖然溝通對控制的運行非常重要,但這不是控制環境的主要重點。控制環境更多的是由管理層設定的總體基調、組織的道德價值觀以及控制活動運作的結構。
正確選項:
D. 實體提供培訓計劃以確保人員、承包商和供應商的能力。
- 解釋: 此選項是正確的,因為提供培訓計劃以確保人員、承包商和供應商的能力是控制環境的一個基本方面。這反映了組織對能力的承諾以及對擁有知識和技能的個人能夠有效執行其控制職責的重要性。這與信任服務標準對控制環境作為所有其他內部控制組件基礎的強調一致。
According to COBIT principles, a governance framework of enterprise governance of information and technology (EGIT) should
A. Be based on a component model, identifying the hierarchy of functional components and relationships.
B. Align to the CIS Controls, COSO ERM Framework, CMMI, IIA principles, and other relevant requirements.
【B】
選項 A 的解釋
基於組件模型,識別功能組件和關係的層級結構:這種方法確實是制定治理框架的一種方法,但它僅僅關注於框架的結構和內部組件的關係。雖然這是框架設計中的一部分,但並不足以全面涵蓋治理框架應具備的所有特性和要求。
選項 B 的解釋
對齊CIS Controls、COSO ERM Framework、CMMI、IIA原則及其他相關要求:這意味著該治理框架將參考和整合多種已經被業界認可的標準和框架,以確保其治理框架的全面性和適用性。對齊這些框架可以:
提升一致性:保證企業治理框架和業界標準的一致性,從而提高框架的信任度和應用效果。
滿足合規性:確保企業遵守相關法律法規和行業標準,降低合規風險。
借鑒最佳實踐:從這些標準和框架中吸取最佳實踐,提高治理框架的有效性和效率。
支持風險管理:COSO ERM Framework 等框架特別強調風險管理,對齊這些框架有助於企業更好地管理風險。
Which of the following is correct concerning batch processing of transactions?
A. Transactions are processed in the order they occur, regardless of type.
C. It is more likely to result in an easy to follow audit trail than is on-line transaction processing.
【C】
batch = same type
An ERP system for supply chain management (SCM) typically integrates business processes of
Procurement, manufacturing, warehouse and distribution.
SCMは製造業における製品の製造から販売に至るまでのプロセスを一貫性のある方法で管理する手法である。具体的には原材料の仕入(procurement)、製造(manufacturing)、倉庫(warehouse)、流通(distribution)の各プロセスを一つの流れとしてとらえ、最適な製造・在庫・流通を決定する手法をいう。
ERPは上記のプロセスに関するデータを一つのデータベースで一括管理しており、SCMに有用なデータを提供する。
The service auditor need not be independent of each user entity.
T or F?
這句話反映了SOC(System and Organization Controls)報告中的一個重要原則,即服務審計師(service auditor)不需要與每個使用實體(user entity)保持獨立性,而只需要與服務組織(service organization)保持獨立性。
具體知識點
1. 服務審計師的獨立性
在SOC 1和SOC 2審計中,服務審計師必須對服務組織保持獨立性,以確保審計報告的公正性和客觀性。這是根據AICPA(American Institute of Certified Public Accountants)的職業道德規範和審計標準所要求的。
- 使用實體的多樣性
服務組織通常為多個使用實體提供服務。這些使用實體可能來自不同的行業和地區。服務審計師無需對這些使用實體逐一保持獨立性,因為其主要審計對象是服務組織本身,而不是這些使用實體。 - 審計對象的範圍
服務審計師的工作範圍集中在評估服務組織的控制環境和相關的控制措施是否設計和運行有效,以保障使用實體的利益。因此,獨立性要求針對的是服務組織,而不是使用實體。
A function of the operating system is to
A. Monitor the system to detect errors.
B. Prevent unauthorized access to a specific application using password protection.
C. Store data for a short-time in a computer device.
D. Analyze financial data to provide metrics.
[A]
Question: Which statement represents a function of a typical ERP system?
A. Uses a decentralized database for various departments.
B. Speeds up financial reporting by streamlining data.
C. Focuses on non-recurring transactions like capital expenditure.
D. Lacks accounting function but assists with budgeting and forecasting.
【B】
企业资源规划系统使用中央数据库集中管理日常交易数据,并立即与其他部门共享这些信息。这样就无需各部门之间进行协调,并加快了财务报告程序。此外,简化不同交易的数据记录,有利于从更广阔的角度进行业务分析,如供应链管理。
C–正確應該是紀錄常規交易
An ERP system for supply chain management (SCM) typically integrates business processes of
A. Acquisition, storage, inventory control and distribution.
B. Marketing, sales, customer service and data analytics.
C. Procurement, manufacturing, warehouse and distribution.
D. Procurement, sales, inventory control and financial reporting.
A 错误。这代表库存管理过程。
B 不正确。这代表客户关系管理 (CRM) 流程。
D 错误。这是财务流程。
Question: A company has replaced its accounting and inventory systems with an ERP system. Which control is most likely affected?
A. Perform accounts receivable aging for doubtful accounts.
B. Compare customer orders with inventory to check stock.
C. Periodically count physical inventory to verify records.
D. Send invoices after verifying orders and shipping documents.
【D】
A–會計系統ERP已經可以
B–涉及實物清點,光靠系統難以勝任
Question: What is the primary advantage of using a value-added network (VAN)?
A. Provides confidentiality for Internet data transmission.
B. Increases security for data transmissions.
C. More cost-effective than Internet data transmission.
D. Enables trend information on data transmissions.
【B】
a 不正确;VAN 是专用网络,而互联网是公共网络。
c 不正确;VAN 一般比互联网昂贵。
d 不正确。在数据传输中收集趋势数据的能力不是 VAN 所固有的,因此不能被视为一种优势。
An auditor would most likely be concerned with which of the following controls in a distributed data processing system?
A. Hardware controls
B. Systems documentation controls
C. Access controls
D. Disaster recovery controls
【C】
在分布式数据处理系统中,连接到主系统(主机)的计算机位于不同的位置。因此,根据用户级别管理访问权限的访问控制(访问控制)非常重要。
因此,正确答案是 C。
Features like Answer, Edit, Forward, Send, Read, and Print indicate which system?
A. Electronic mail.
B. Voice store-and-forward.
C. Desktop publishing.
D. Digital communications.
【A】
电子邮件是一种办公自动化应用程序,可以在计算机之间发送、接收和存储信息,也是一种互联网使用方式。其功能包括回复、编辑、转发、发送、阅读和打印,以及删除、存档和扫描。电子邮件的优点是传输速度快,减少了准备信息的成本,而且可以在方便的时候发送和阅读信息。
因此,正确答案是 A。
B 错误。存储转发语音是一种允许创建、编辑、发送、存储和转发语音信息的系统。
C 错误。桌面出版(DTP)是通过在个人电脑上执行排版等任务,然后用打印机打印出来,从而编辑书籍、报纸和其他出版物的过程。
错误 D.数字通信(数字通信)是指利用计算机和互联网收集、处理、分析和传播信息。
The confusion created by data redundancy makes it difficult for companies to
A. Integrate data from different sources.
B. Use the data in application program.
C. Create a data dictionary.
D. Create online processing capabilities.
【A】
数据冗余是指在多个数据文件中存在相同的数据。由于多个部门独立收集数据,并以不同的名称和内涵进行管理,因此很难收集和整合跨部门的数据。
因此,正确答案是 A。
b、c 和 d 不正确。这些都不是数据冗余造成困难的例子。
The representation of data as they would appear to an application programmer or end user is/are
A. The DBMS
B. The physical view
C. The data manipulation language
D. The logical view
【D】
数据库管理系统提供了一种查看数据的简单方法,无需了解记录数据的计算机即可处理数据,这种视图称为逻辑视图。
因此,正确答案为 D。
A 错误。这不是对数据库管理系统的描述。
b 不正确。存储设备中数据组织和结构的表示方法称为物理视图。
c 不正确。用于访问数据库的语言。
Question: One advantage of a DBMS is?
A. Each unit controls its own data.
B. Reduces cost as users handle data techniques.
C. Decreases vulnerability with security controls.
D. Data independence from application programs.
【D】
数据库的一个基本特征是应用程序与数据库结构无关。在编写使用数据库的程序或设计应用程序时,只需要所需的数据项。数据库管理系统(DBMS)负责所需数据项的定位和检索。
因此,正确答案是 D。
A 错误。每个组织使用数据库开发必要的程序,而不是控制个别数据。
b 不正确。处理数据的技术由数据处理部门负责。
c 不正确:数据库管理系统并不比其他系统更安全。
Data archiving is the process of
A. Copying production data for backups.
B. Managing historical data for timely updates and effective analysis.
C. Storing inactive data in a secured location for a long-time.
D. Destroying unused data immediately to meet compliance requirements.
【C】
存档是指长期存储分析等工作完成后不再使用的数据。
因此,正确答案为 c。
A 错误。备份是指存储业务运营所需的数据。存档则是存储不用于业务目的的数据,与备份不同。
b 不正确。存档的数据基本上从未用于业务目的,因此不会更新或分析。
d 不正确。要存档的数据包括因法律法规要求保存一段时间而不能立即销毁的数据。
Which of the following information technology (IT) departmental responsibilities should be delegated to separate individuals?
A. Network maintenance and wireless access.
B. Data entry and antivirus management.
C. Data entry and application programming.
D. Data entry and quality assurance.
C 是正确答案的主要原因是,当一个人同时处理数据录入和应用程序编程时,会产生直接的利益冲突和欺诈的可能性。选项 D 虽然不理想,但风险较小,因为质量保证更多的是监督和查错,而不是控制数据或系统。
Generally, in a software development process, acceptance testing is performed
A. By the software developer to evaluate whether the development contract is acceptable.
B. Using a top-down approach or a bottom-up approach.
C. To ensure that the software system meets all of its functional requirements.
D. After testing on the fully integrated software system is completed.
【D】
验收测试是软件开发的最后阶段,依次在系统测试(系统测试)完成后进行。
因此,正确答案为 D。
A 错误。验收测试是测试开发的系统是否满足用户的要求,而不是由承包商决定是否接受合同。
b 不正确。自上而下和自下而上的方法是综合测试的方法;验收测试没有这种方法。
c 不正确。功能要求是在系统测试中验证的,而不是在验收测试中验证的。在验收测试中,是从系统是否符合用户要求、满足业务目标和履行合同要求(如服务水平协议)的角度测试系统的。
单元测试(Unit Testing):
内容:测试单个功能模块或组件,确保其按预期工作。
集成测试(Integration Testing):
内容:测试多个模块或组件的组合,检查它们之间的接口和交互。
系统测试(System Testing):
内容:在完整的系统环境中进行测试,验证整个系统的功能、性能和可靠性。
验收测试(Acceptance Testing):
内容:由最终用户或客户进行测试,确认系统满足业务需求和用户要求。
Which of the following statements is correct about unit testing for software development?
A. It requires the involvement of end-users.
B. It focuses on interaction of individual units of source code.
C. Its objective is to find problems early in the development cycle.
D. It is performed after testing multiple units of source code combined as a group.
【C】
B–interaction 關聯性
单元测试(Unit Testing):
内容:测试单个功能模块或组件,确保其按预期工作。
Which of the following documents can be used to detect an unapproved change in software or hardware?
A. Baseline configurations.
B. Change management policies.
C. Service-level agreements.
D. Snapshots of configuration settings.
基线配置是一份描述系统服务、软件、硬件、设备和其他组件在某一特定时间点的状态和配置的文件,并经过正式审查和同意。它是一份经过正式审核和同意的文件。由于其创建和更新需要组织批准,因此,通过比较系统当前的配置设置和基线配置,可以发现未经批准的系统更改。
因此,正确答案是 A。
b 不正确。变更管理策略(变更管理政策)规定了系统变更的程序和规则,并没有说明实际的系统变更是否经过批准。
c 不正确。服务级别协议(SLA)描述了公司提供服务的级别和目标,不能理解为系统更改是否获得批准。
D 不正确。快照是特定时间点的系统状态记录,但不是正式文件。比较快照可以显示是否进行了系统更改以及更改的性质,但不能读出系统更改是否已获批准。
In testing the new P2P system, which statement is correct for a scenario where a user checks if a purchase order (PO) is registered?
Options:
A. Then: The user logs in.
B. When: The user selects “PO activity.”
C. Given: The user enters PO number.
D. When: The system shows the PO status.
【B】
在制定基于情景的验收标准时,程序分为三个阶段:前提条件(given)、操作(when)和结果(then)。在本问题中,它们分别如下。
Which of the following control activities should be taken to reduce the risk of incorrect processing in a newly installed computerized accounting system?
A. Segregation of duties.
B. Ensure proper authorization of transactions.
C. Adequately safeguard assets.
D. Independently verify the transactions.
[D]
关于控制活动的问题,以减少新安装系统处理不准确的风险。
交易的独立核实(确认)是降低处理不准确风险的最有效控制措施。
因此,正确答案为 D。
a、b 和 c 不正确。这些都是重要的控制措施,但不一定能降低处理不准确的风险。
While processing sales invoices, an input control check of total sales is:
A. check digit.
B. missing data check.
C. control total.
D. hash total.
[C]
控制总额指的是财务数字的总和。
因此,正确答案为 c。
a 不正确。校验数位是加在 ID 编号末尾的一个数字,是一种输入控制,用于检查数据是否因数据处理、传输等原因而被更改,以及是否可在系统中使用。
B 错误。缺失数据检查是一种控制,用于检查输入数据是否存在某些数据缺失。
D 不正确。hash总计是与数据项总和有关的检查。
What is a role of the Cloud Computing Steering Committee in an ERM program?
Options:
A. Promote cloud investment strategies.
B. Monitoring for new laws and regulations that would impact the organization’s cloud solution.
C. Providing oversight to avoid IT resources including cloud services that are not approved by the IT department.
D. Evaluate costs and ROI of cloud services.
【C】
云计算指导委员会在机构风险管理中的作用是监督机构向云迁移的过程并监测云治理情况。应特别注意云服务是否使用了未经本组织信息技术部门批准的信息技术资源。在未进行充分验证的情况下使用云服务,可能会导致组织使用未经组织授权的 IT 资源。这类 IT 资源被称为影子 IT。
因此,正确答案是 C。
A 错误。有关云服务投资的决策由首席执行官做出。
b 不正确。首席法务官负责监控立法的影响。
d 不正确。首席财务官负责评估云服务投资的成本和回报。
An organization using cloud services should review the performance of these services by:
Options:
A. Using balanced scorecards to review the governance process.
B. Assessing the provider’s availability against SLAs.
C. Obtaining SOC reports and audit reports from the provider.
D. Assessing changes with the provider, even if they don’t directly affect the organization.
与审查和修订企业风险管理中的云计算性能有关的问题。
使用云服务的组织应通过以下方式审查这类云服务的性能
1.审查云计算的管理流程。在此过程中可使用平衡计分卡。
2.根据服务水平协议(SLA)评估提供商的可用性。
3.获取提供商的 SOC 报告和审计报告。
4.评估与提供商有关的情况是否发生变化。
关于上述第(4)点,还应评估不直接影响组织的情况变化。例如,如果医疗服务提供者被另一家公司收购,或者在医疗服务提供者内部发现了欺诈行为,这可能不会产生直接影响,但在未来可能会产生重大影响。
因此,正确答案为 D。
A 错误。审查治理情况的是组织,而不是提供方(上述(1))。
b 不正确。与服务级别协议相比,必须评估提供商可用性的是组织,而不是提供商(上述(2))。
c 不正确。必须接受审计或出具 SOC 报告的是提供商(上文第(3)段)。
data mirroring‘s primal objective is to avoid business interruption due to a disaster for business continuing plan.
T or F?
BCP 中的镜像旨在恢复因灾难而丢失的数据,而不是主要为了防止业务中断。
Which statement is correct about the Framework Core of the NIST CSF?
Options:
A. Provides cybersecurity activities for non-governmental for-profit organizations.
B. Used as a checklist for required cybersecurity actions.
C. Offers a one-size-fits-all solution for cybersecurity risk management.
D. Presents key cybersecurity outcomes to facilitate risk management.
Correct Answer:
D. Presents key cybersecurity outcomes to facilitate risk management.
Explanation:
The Framework Core of the NIST CSF is designed to present key cybersecurity outcomes to help organizations manage risks effectively.
A is incorrect: The Framework Core is applicable to a wide range of organizations, not just non-governmental for-profit ones.
B is incorrect: The NIST CSF is not intended to be a checklist but a flexible framework.
C is incorrect: The NIST CSF does not offer a one-size-fits-all solution; it is adaptable to different organizations’ needs.
Which statement is correct about the Core section of the NIST Privacy Framework?
Options:
A. It is a set of privacy protection activities, desired outcomes, and applicable references.
B. It defines five Functions: Identify, Protect, Detect, Respond, and Recover.
C. Each Function has Categories and Subcategories that correspond with the NIST Cybersecurity Framework.
D. Organizations may use the Cybersecurity Framework Functions in conjunction with the Privacy Framework Functions.
解释:
NIST 隐私框架旨在与 NIST 网络安全框架兼容和结合使用。这样,企业就可以将隐私风险管理和网络安全风险管理完美地结合起来。以下是其他选项不正确的原因:
A 不正确:虽然隐私框架确实涉及活动、结果和参考,但陈述过于笼统,没有抓住 D 中强调的独特整合方面。
B 不正确:五个功能(识别、保护、检测、响应、恢复)是 NIST 网络安全框架的特定功能,而不是隐私框架。
C 错误:虽然隐私框架有类别和子类别,但它们不一定与网络安全框架的类别和子类别直接对应。隐私框架有自己独特的结构。
D 中强调的正确方面强调了框架的兼容性,使组织能够有效管理隐私和网络安全风险。
The NIST Special Publication 800-53 establishes controls for systems and organizations that address the requirements of the implementation of minimum controls prescribed by:
Options:
A. The Federal Information Security Modernization Act (FISMA).
B. The Health Insurance Portability and Accountability Act (HIPAA).
C. The Sarbanes-Oxley Act (SOX).
D. The Control Objective for Information and Related Technologies (COBIT).
A.联邦信息安全现代化法案》(FISMA)。
解释:
NIST 特别出版物 800-53 提供了联邦信息系统和组织的安全和隐私控制目录。它主要用于支持《联邦信息安全现代化法案》(FISMA)的实施。
B 错误:虽然 HIPAA 要求采取特定的安全措施来保护健康信息,但它不是 NIST SP 800-53 的主要重点。
C 不正确:SOX 法案的重点是财务报告和公司治理,而不是 NIST SP 800-53 中特别列出的信息安全控制措施。
D 错误:COBIT 是企业 IT 治理和管理框架,但不是 NIST SP 800-53 中控制措施的基础。
If an implementation specification is “addressable” under HIPAA, which interpretation is correct?
Options:
A. It is optional, and entities can choose not to implement it.
B. Entities can adopt an alternative measure if it is not reasonable or appropriate.
C. Entities must implement it, but business associates do not have to.
D. It is a requirement related to a law other than HIPAA.
【B】
HIPAA 规则中有两类规定:”要求 “和 “可处理”。这里的 “可处理 “规定是指,如果适用实体确定该规定不合理、不适当,则允许其采用更合理、更适当的替代措施。
因此,正确答案为 b。
a 不正确。这并不意味着可以任意应用该规则(可选),而是说如果确定该规则不合理且不适当,则必须应用替代措施。
C 不正确:HIPAA 规则不仅适用于受保实体(承保实体),也适用于其相关方(业务合作方),尽管在某些情况下,”可指定 “条款同时适用于受保实体和相关方。
D 错误。没有这个意思,”可指定 “条款是 HIPAA 规则规定的一部分。
What is the primary advantage of using an application firewall rather than a network firewall?
A. It is less expensive.
B. It offers easier access to applications.
C. It provides additional user authentication.
D. It is easier to install.
【C】
应用防火墙在 OSI 模型的更高层运行,可以根据特定的应用数据检查和过滤流量,从而实现更细粒度的控制,并能够执行特定用户策略,包括额外的身份验证措施。
One of the objectives of using data loss prevention (DLP) is to
A. Provide assurance about processing integrity of transaction data.
B. Address risks that personal information is obtained without consent of individuals.
C. Identify and manage data that is sensitive and critical for business.
D. Comply with regulations SEC Regulations S-X and S-K.
【C】
DLP 工具旨在检测和防止未经授权访问、使用或传输敏感数据,从而保护数据不被泄露,并确保关键信息在组织内得到妥善处理。
a 不正确;DLP 主要关注保密性,而非处理完整性。
b 不正确;DLP 的重点是防止和检测数据泄露,如数据盗窃、未经授权的使用和未经授权的披露,而不是主要检测数据获取方式的泄露。
d 不正确;使用 DLP 的目的是遵守与个人数据保护相关的法律法规,如 HIPAA、PCI DSS、GDRP 等。
Which of the following controls is most effective to protect network environment from zero-day attacks?
A. Anomaly-based IDS.
B. Anomaly-based IPS.
C. Signature-based IPS.
D. Antivirus quarantine.
入侵防御系统 (IPS) 可检测网络中的未授权行为并阻止网络。与基于签名的 IPS 相比,基于anomaly异常的 IPS 更有可能检测到零日攻击,因为它们遵循某些规则来识别未经授权的行为。
因此,正确答案是 b。
a 不正确。入侵检测系统(IDS)只能在检测到未经授权的访问时向管理员发出警报,但没有关闭网络的能力。因此,仅靠 IDS 无法防止网络攻击。
C 错误。基于签名的 IPS 根据过去的网络攻击模式检测未经授权的行为,可能无法检测到尚未建立解决方案的零日攻击。
d 不正确。这里的隔离是指反病毒软件隔离受病毒感染的文件和电子邮件以防止它们感染计算机的功能。换句话说,它是在网络攻击发生后提供帮助的功能,而不是预防网络攻击的功能。
Which of the following activities is most likely included in a vulnerability management process?
A. Identifying vulnerabilities that runs automatically using vulnerability scanner software.
B. Penetration testing by users to verify whether information system meets acceptance requirements.
【A】
漏洞管理通常涉及软件和硬件漏洞的识别、分类、补救和缓解。使用自动漏洞扫描软件是有效识别潜在安全漏洞的常用方法。
渗透测试虽然对安全很重要,但更多的是测试和利用漏洞,而不是持续管理和系统地解决这些问题。
disclosure of an entity’s principal cybersecurity objectives related to
A. Availability, confidentiality, integrity of data, and integrity of processing.
B. Completeness, validity, accuracy, timeliness, and authorization of system processing.
C. Infrastructure, software, people, procedures, and data.
D. Security, availability, processing integrity, confidentiality and privacy.
管理層在描述實體的網絡安全風險管理計劃時,應披露實體的主要網絡安全目標,包括:
A. Availability, confidentiality, integrity of data, and integrity of processing.
這些目標涉及數據的可用性、機密性、完整性以及處理的完整性,這是網絡安全風險管理計劃的核心要素。
Which of the following situations will most likely make a company to define higher risk appetite?
A. Technologies that the company is highly dependent on to operate its core business.
B. Early business expansion that is likely to cause higher reputational risks in the market.
C. Assets that are insignificant for the company to achieve its primary business objectives.
D. Systems that are not met the company’s risk tolerance threshold.
【C】
机构风险管理中的风险偏好是指公司为实现价值而愿意接受的风险程度。高风险偏好意味着公司愿意接受高水平的风险,或换句话说,不必采取行动来减轻风险。例如,对于那些对实现公司主要业务目标并不关键的资产,风险偏好可能会很高,因为从成本效益的角度来看,公司很可能会决定不敢应对风险,接受更高的风险。
因此,正确答案是 C。
A 错误。公司核心业务所依赖的技术对公司更为重要,因此需要采取应对措施来降低风险,这被认为会导致较低的风险偏好。
b 不正确。如果一家公司很早就扩大了业务,并预期会面临较高的市场声誉风险,它就需要考虑采取行动来减轻风险,其风险偏好就可能较低。
d 不正确。风险承受能力是在确定风险偏好后用于制定业务目标的风险承受能力,因此风险偏好不是根据风险承受能力确定的。
Question:
Which of the following statements is correct regarding the relationship between the Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, and Privacy) and the COSO framework?
Options:
A. Trust Services Criteria are supplemental to the COSO framework, used for SOC 1 engagements.
B. Trust Services Criteria use COSO principles, with added points of focus for each criterion.
C. Trust Services Criteria add criteria and points of focus to the COSO control environment principle.
D. Users should assess if each point of focus in the Trust Services Criteria and COSO framework is addressed.
【B】
A. Trust Services Criteria 是 COSO 框架的補充標準,適用於 SOC 1 服務機構的控制評估和報告。
這個選項表示 Trust Services Criteria 是 COSO 框架的補充標準,專門適用於 SOC 1 engagement,也就是對服務機構的控制進行評估和報告,這些控制與用戶實體的內部控制有關。
B. Trust Services Criteria 使用 COSO 框架的原則,但對每個標準提供了額外的重點。
這個選項說明 Trust Services Criteria 基於 COSO 框架的原則,但在每個標準中增加了額外的重點,以提供更具體的指導。
C. Trust Services Criteria 包括補充 COSO 控制環境原則的附加標準和重點。
這個選項表示 Trust Services Criteria 不僅使用 COSO 框架的控制環境原則,還補充了一些附加標準和重點來增強這些原則。
D. 使用者應評估 Trust Services Criteria 和 COSO 框架的每個重點是否得到解決。
這個選項強調使用者在應用 Trust Services Criteria 時,應該評估每個 COSO 框架中的重點,以及 Trust Services Criteria 中的附加重點是否得到了適當處理。
Which of the following is correct about the Trust Services Criteria categories?
Options:
A. Processing integrity ensures system processing is complete, valid, accurate, timely, and authorized.
B. Privacy ensures sensitive information is properly managed to meet objectives.
C. Security requires applying both common and additional criteria.
D. Confidentiality has additional criteria classified into eight sub-categories.
【A】
5個方面
1.Security (安全性)
Protects system and data from unauthorized access and disclosure. only common criteria!
2.Availability (可用性)
Ensures system availability and service continuity.
3.Processing Integrity (處理的完整性)
Ensures completeness, validity, accuracy, timeliness, and authorization of system processing.
4.Confidentiality (機密保持)
Protects sensitive information from unauthorized access.
5.Privacy (私隱)
Manages 【personal information】 to meet privacy laws and policies.
D–因为保密类别的附加标准没有具体划分为八个子类别。虽然 “信任服务标准”(TSC)确实包括详细的保密标准,但并没有明确将其划分为八个具体的子类别。
According to the Trust Services Criteria, which criterion involves obtaining, using, and communicating relevant, quality information regarding processing objectives?
Options:
A. Common criteria for communication and information.
B. Common criteria for control activities.
C. Additional criteria for availability.
D. Additional criteria for processing integrity.
【D】
TSC 包括通用标准和针对具体类别的附加标准。通用标准适用于整个 TSC 类别(TSC 所适用系统的目的),而附加标准则适用于详细审查单个类别时,例如根据工作性质。
从 “与处理有关 “这一短语可以看出,问题文本中引用的标准与处理完整性有关。这意味着该标准专门适用于技术服务类别中的加工完整性,是一项附加标准。
因此,正确答案为 D。
Question:
Which statement focuses specifically on additional areas when using the Trust Services Criteria to assess the control environment?
Options:
A. Management conducts various evaluations like penetration testing, ISO certifications, and internal audits.
B. The entity considers impacts of new business lines, changes in existing lines, acquisitions, growth, foreign reliance, and technology.
C. Personnel involved in system controls receive communications about their responsibilities.
D. Training programs ensure skill development for personnel and vendors.
【D】
Trust Services Criteria(TSC)的通用標準(Common Criteria)包括以下幾個方面,這些標準是適用於整個TSC的:
1.Communication and Information(溝通和信息):
確保有效的溝通和信息流動,包括確保產品和服務的使用所需的信息是準確和及時的。– C
2.Risk Management(風險管理):
確定和評估相關風險,並制定適當的應對措施來減少風險對目標達成的影響。–B
3.Control Environment(控制環境):
創造和維護一個有效的內部控制環境,包括管理層對控制的承諾和組織對控制的態度。
4.Monitoring Activities(監控活動):
實施監控活動來評估內部控制的有效性和執行情況,並進行必要的調整和改進。–A
5.Logical and Physical Access Controls(邏輯和物理訪問控制):
確保對系統和數據的訪問是合法和適當的,並保護系統免受未經授權的訪問。
以下哪個屬於TSC的附加標準?
1.Choice and consent
2.Disclaimer
3.Quality
4.Use, transmission, and duplication
1+3
“P series”は以下の8つのカテゴリーに分類される。
�) 目的の通知及び伝達(notice and communication of objectives)
�) 選択と同意(choice and consent)
�) 収集(collection)
�) 使用、保持及び廃棄(use, retention, and disposal)
�) アクセス(access)
�) 開示及び通知(disclosure and notification)
�) 品質(quality)
�) モニタリング及び強制(monitoring and enforcement)
In a SOC 1 engagement, which information is most likely included in management’s description of a service organization’s system?
Options:
A. Procedures for recording transactions in financial statements.
B. Principal service commitments and system requirements.
C. Criteria from the Trust Services Criteria that are not relevant.
D. Other aspects of the control environment related to services provided.
SSAE AT-C 320 列出了 SOC 1 业务描述的最低要求。这些要求包括 “服务机构控制环境的其他方面、风险评估以及与服务机构提供的服务相关的内部控制的其他组成部分(包括服务机构的控制环境、风险评估、信息和通信(包括相关业务流程)、控制和沟通)”。服务机构的管控环境、风险评估程序、信息和沟通(包括相关业务流程)、管控活动的其他方面,以及与服务机构提供的服务相关的监控活动。与所提供服务相关的监控活动)”。
因此,正确答案为 D。
a 不正确。这句话不是关于财务报表,而是关于受托公司提供服务的程序。
b 不正确。服务承诺和系统要求是 SOC 2 和 SOC 3 操作中特有的概念,不适用于 SOC 1 操作。
c 不正确:信托服务标准不适用于 SOC 1 业务。
Question:
In a SOC 2 examination of controls relevant to availability, which system event should be disclosed in the management’s description of the service organization’s system?
Options:
A. CFO manually entered a significant transaction, bypassing approval.
B. Former sales manager stole customer data using an active account.
C. Employees’ personal data was disclosed due to malware via phishing.
D. Denial-of-service attack disrupted the transportation system.
未经授权的访问、信息泄漏、系统故障或其他导致公司服务承诺和系统要求无法履行的事件被称为系统事件,其中需要承包商公司做出响应的事件被称为系统事故(system incidents)。在管理层对承包商系统的描述中,必须披露与 SOC 2 操作控制有关的系统事件。
本问题中的 SOC 2 工作与可用性有关,拒绝服务 (DoS) 攻击就是可用性相关系统事件的一个例子。这是一种网络攻击,即一次性发送超过系统处理能力的大量数据,从而降低系统功能并中断其运行。
因此,正确答案为 D。
a 不正确。这被认为与处理完整性有关。
b 不正确。这被认为与保密或隐私有关。
c 错误。这被认为与隐私有关。
请注意,a、b、c 和 d 也被认为与安全性有关。
Question:
According to the Description Criteria for a SOC 2 Report, if the service organization uses the inclusive method, which information should be included?
A. Applicable Trust Services Criteria met by subservice organization controls.
B. Types of complementary subservice organization controls (CSOCs).
C. Relevant aspects of the subservice organization’s infrastructure, software, people, procedures, and data.
D. Controls at the subservice organization necessary, with user entities’ controls, to achieve service commitments and system requirements.
在标准作业程序中使用包容性方法时,说明应包括以下内容
子服务组织所提供服务的性质。
子服务组织的必要控制措施,结合子服务组织的控制措施,合理保证满足子服务组织的服务承诺和系统要求。结合服务组织的控制措施,合理保证服务组织的服务承诺和系统要求得以实现。与服务机构的控制措施相结合,合理保证服务机构的服务承诺和系统要求得以实现)
子服务组织的必要控制措施,结合服务组织的控制措施,合理保证服务组织的服务承诺和系统要求得以实现子服务组织的基础设施、软件、人员、程序和数据的相关方面
iv) 可归属于子服务组织的系统部分。
根据上文 iii),正确答案为 C。
a、b 不正确。只有在采用 “分割 “方法时才需要这些内容。
d 不正确。说明重新委托实体的控制措施,这些措施需要与委托实体的控制措施结合起来,而不是委托实体的控制措施(见上文 ii)。
包容性方法 (Inclusive Method)
總結:服務組織描述包含次服務組織的相關控制和系統元素。
例子:A公司使用B公司作為其數據存儲服務。A公司的SOC 2報告詳細描述了B公司的基礎設施、軟體、員工、程序和數據,因為A公司採用了包容性方法。
除外方法 (Carve-Out Method)
總結:服務組織描述排除次服務組織的控制,並披露其存在。
例子:A公司使用B公司作為其數據存儲服務。A公司的SOC 2報告中不詳細描述B公司的控制,只是提到B公司提供數據存儲服務,因為A公司採用了除外方法。
A service auditor engaged in a SOC 1 engagement should assess the risk of material misstatement. Which of the following risks is most likely focused on?
C. Inherent risks related to items presented in the user entities’ financial statements.
D. Inherent risks related to changed controls at the service organizations.
[D]
SOC 1 运作的主题是管理层对受托公司系统的描述以及与描述相关的内部控制。因此,风险评估的重点是与作为描述主题的控制措施相关的固有风险。例如,新的或已变更的控制措施、系统变更、处理量的重大变化、主要管理层或人员的变更、新产品或新技术(新的或已变更的控制措施、系统变更、处理量的重大变化、新人员或新技术的重大变化)。新产品或技术)等。
因此,正确答案为 D。
c 不正确;SOC 1 工作的主题只是书面说明,而不是财务报表。因此,受委托公司财务报表中的项目不太可能成为风险评估的直接对象。
which is correct?
B.
Commitments includes ones that are designed to meet individual customer needs and result in the implementation of processes or controls, in addition to those required to meet the baseline commitments.
C.
System objectives refer to how the system should function to achieve the entity’s commitments to customers relevant laws and regulations, or guidelines of industry groups, such as trade or business associations.
[B]
分析:
基线承诺(Baseline Commitments):这些是服务组织针对所有客户都必须满足的基本承诺。
个别承诺(Individual Commitments):这些是为了满足某些特定客户的需求而额外作出的承诺。
结论:
在TSC中,承诺不仅包括基线承诺,还包括为满足个别客户需求而设立的额外承诺。因此,B选项正确地反映了管理层在TSC中对承诺的定义和描述。
C 错误。关于系统应如何运作以实现承诺的说明称为 “系统要求”,而不是 “系统目标”。
In a SOC 1 engagement using the inclusive method, from whom should the service auditor obtain written representations?
A. Management of the service organization only.
B. Management of the service organization and user entities.
C. Management of the service organization and subservice organization.
D. Management of the service organization, user entities, and subservice organizations.
【C】
正确答案是 C。包容性方法涉及子服务组织的控制,因此审计师需要服务组织和子服 务组织的书面陈述。
在 SOC 1 项目中,服务审计师决定在第 2 类报告中发表未经修订的意见。服务机构使用子服务机构。如果使用 “例外 “方法,则要求在报告中包含以下声明:
A. The controls including complementary subservice organization controls operated effectively.
B. The control operated effectively if complementary subservice organization operated effectively.
C. The control operated effectively except for complementary subservice organization controls.
【B】
差异摘要:
选项 B:服务组织控制措施的有效性取决于子服务组织的控制措施。这反映了服务组织的控制环境与子服务组织的控制环境融为一体。
选项 C:独立评估服务组织的控制措施,明确将子服务组织的控制措施排除在评估之外。这反映了服务组织的控制与子服务组织的控制之间的分离。
正确答案:
对于 SOC 1 业务约定中的 “例外 “方法,服务审计师需要说明服务组织控制措施的有效性取决于补充子服务组织的控制措施。这种依赖性意味着,只有当子服务组织的控制措施也有效时,服务组织的控制措施才能被视为有效。
A payroll service organization states,
“Controls provide reasonable assurance that physical access to computer equipment, storage media, and program documentation is adequate.”
The service auditor will most likely find this control objective:
A. Reasonable.
B. Not relevant.
C. Incomplete.
D. Not measurable.
【D】
可衡量性要求:
审计师要对控制目标进行有效评估,该目标必须是可衡量的。这意味着应该有明确的标准或规范,审计师可以据此衡量控制的有效性。
模糊术语:
控制目标中的 “充分 “一词是模糊和主观的。它没有提供具体的、可衡量的标准来说明什么是适当的物理访问控制。
确定控制目标是否合理的标准与确定标准适用性的标准相同。换句话说,如果控制具有以下特征,那么它就是合理的。
1) 与基本主题相关。
2) 客观
3) 可衡量
4) 完整。
What is most likely described in the “Other Information” section of a SOC 2 report?
A. Subsequent event affecting the system description or management assertion.
B. Comparison of performance with service-level agreements.
C. System incidents with ineffective controls.
D. Internal audit tests of controls.
【B】
SOC 2 报告中的 “其他信息 “部分可能包括
1.与服务水平协议 (SLA) 相关的绩效指标。
2.有关服务机构的实践、成就或未来计划的补充说明。
3.用户或客户的评价和反馈。
4.有关服务机构对持续改进或未来提升的承诺的信息。
5.有关服务机构业务环境和市场地位的一般信息。
When will a SOC 3 report most likely need to be restricted?
A. Management omits the system boundaries.
B. Management limits the auditor’s access to information.
C. Management refuses to provide written representations.
D. The service organization makes a specific commitment to one customer.
【A】
SOC 3 报告最初是发布给一般用户使用的。然而,由于缺乏有关系统边界、服务承诺和系统要求的信息,不了解承包商系统的用户无法正确理解报告的范围,这超出了 SOC 3 报告的初衷,因此限制了报告的受众(通常是承包商及其董事会)。报告的受众仅限于董事会。
因此,正确答案是 A。
b 不正确。如果对工作范围的限制是重大且广泛的,则受委托的审计师会在报告中表示无法表示意见。
c 不正确。如果管理层没有向签约审计师提供书面确认,这就构成了工作范围限制,签约审计师应在报告中表达保留意见或无法表示意见。
d 不正确,因为 SOC 3 报告范围中包括的服务承诺是对受托人大多数客户的主要服务承诺,而对特定客户的服务承诺不包括在 SOC 3 报告范围中。SOC 3 报告的范围不包括对特定客户的服务承诺。
Cybersecurity Framework (CSF):
1. Identify (ID)
2. Protect (PR)
3.
4.
5.
Privacy Framework (PF):
1. Identify (ID)
2.
3.
4.
5. Protect (PR)
Remembering Tips:
CSF 網絡安全框架–網安架-
RR哋
recover
response
detect
PF 隱私框架-私架-
CCG(私私架)
control
communicate
govern
Which of the following CIS Controls most likely includes controls such as securely managing the network, ensuring the network components are up-to-date, and establishing and maintaining a secure network architecture?
A. Control 12: Network Infrastructure Management
C. Control 13: Network Monitoring and Defense
【A】
选项A:Control 12: Network Infrastructure Management
【安全管理网络基础设施:确保网络设备的安全配置和管理,包括路由器、交换机、防火墙等。
【确保网络基础设施更新:定期更新和补丁管理,以修复已知的漏洞和安全缺陷。
【建立和维护安全的网络架构architecture:设计和实施一个安全的网络架构,确保网络分段和访问控制。
选项C:Control 13: Network Monitoring and Defense
【收集网络流量日志:监控和记录网络流量,以检测异常活动和潜在的威胁。
【管理远程资产的访问控制:确保远程设备和用户对网络资源的访问是受控和安全的。
【集中安全事件报警:将安全事件的警报和日志集中管理,以便及时响应和处理。
【framework core- function】
- Data Protection Policies, Processes, and Procedures
- Identity Management, Authentication, and Access Control, change management, redundancy
- Data Security
- Maintenance
- Protective Technology
Cybersecurity Framework (CSF)-
Privacy Framework (PF)-
-Protect (PR)
- 数据保护政策、流程和程序
- 身份管理、身份验证和访问控制,变更管理,冗余
保障和访问以及定期更新
【framework core- function】
- Anomalies and Events
- Security Continuous Monitoring
- Detection Processes
Cybersecurity Framework (CSF)-Detect (DE)
确定了检测主动网络安全攻击所需的工具和资源。
【framework core- function】
- Response Planning
- Communications
- Analysis
- Mitigation
- Improvements
Cybersecurity Framework (CSF)-Respond (RS)
【framework core- function】
- Recovery Planning
- Improvements
- Communications
Cybersecurity Framework (CSF)-Recover (RC)
通过修复设备、恢复备份文件或环境以及让员工采取正确的应对措施来支持网络恢复正常运行。
【framework core- function】
- Inventory and Mapping
- Business Environment
- Risk Assessment
- Data Processing Ecosystem Risk Management
how the organization answers what the company’s privacy risks related to data processing activities are
Cybersecurity Framework (CSF)-
Privacy Framework (PF)-
Identify (ID)
创建组织用于支持信息处理操作的资产的规范记录。公司网络的恢复工作在 NIST 框架核心的 “恢复 “部分进行。
组织如何回答公司与数据处理活动相关的隐私风险是什么
【framework core- function】
- Governance Policies, Processes, and Procedures
- Risk Management Strategy
- Awareness and Training
- Monitoring Review
helps the organization determine what the best governance structure is for privacy risks related to data processing activities.
Privacy Framework (PF)-Govern (GV)與風險相關
- 治理政策、流程和程序
- 风险管理战略
- 认识和培训
- 监督审查
帮助组织确定与数据处理活动相关的隐私风险的最佳治理结构。
【framework core- function】
- Data Processing Policies, Processes, and Procedures
- Data Processing Management
- Disassociated Processing
helps the organization determine what the best 【management structure】 is for 【privacy risks】 related to 【data processing activities】.
Privacy Framework (PF)-Control (CT)與數據相關
- 数据处理政策、流程和程序
- 数据处理管理
- 分离处理
帮助组织确定与数据处理活动相关的隐私风险的最佳管理结构。
【framework core- function】
- Communication Policies, Processes, and Procedures
- Data Processing Awareness
Privacy Framework (PF)-Communicate (CM)
