QUESTION 1

A matrice de ressources partagées est une technique couramment utilisée pour localiser :

A. Code malveillant
B. Failles de sécurité
C. Trappes
D. Canaux secrets

Bonne réponse : D
Explication

Explication/Référence :
L'analyse des ressources d'un système est une norme pour localiser les canaux secrets, car la base d'un canal secret est une ressource
partagée. Les propriétés suivantes doivent être conservées pour qu'un canal de stockage existe :

1. Les processus d'envoi et de réception doivent avoir accès au même attribut d'un objet partagé.
2. Le processus d'envoi doit pouvoir modifier l'attribut de l'objet partagé.
3. Le processus de réception doit pouvoir référencer cet attribut de l'objet partagé.
4. Il doit exister un mécanisme permettant d'amorcer les deux processus et de séquencer correctement leurs accès respectifs à la ressource partagée.

Remarque : Des propriétés similaires pour le canal de synchronisation peuvent être répertoriées Les réponses suivantes sont incorrectes : Toutes les autres
réponses n'étaient pas directement liées à la découverte des canaux secrets. Acerbic Publications, Acerbic Publications (Test Series) - CRC Press LLC, Page No.
225 http://www.cs.ucsb.edu/~sherwood/cs290/papers/covert-kemmerer.pdf http://www.cs.utexas.edu/~byoung/cs361/lecture16.pdf
http://www.cs.utexas.edu/~byoung/cs361/lecture16.pdf

QUESTION 2
Vous faites partie d'un personnel de sécurité dans une banque très rentable et chaque jour, tout le trafic sur le réseau est enregistré pour un examen ultérieur.
Chaque vendredi, lorsque des dépôts importants sont effectués, vous voyez une série de bits placés dans le champ « Urgent Pointer » d'un paquet TCP. Ce n'est
que 16 bits, ce qui n'est pas beaucoup, mais cela vous inquiète car :
A. Cela pourrait être un signe de canalisation secrète dans les communications du réseau bancaire et devrait être étudié.
B. Cela pourrait être le signe d'un câble réseau endommagé à l'origine du problème.
C. Il peut s'agir d'un symptôme de carte réseau ou de pilotes défectueux et le système source doit être vérifié pour le problème.
D. Il s'agit d'un trafic normal car parfois la valeur de somme de contrôle 16 bits des champs précédents peut dépasser le champ 16 bits du pointeur urgent, ce qui provoque la condition.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le pointeur urgent est utilisé lorsque certaines informations doivent atteindre le serveur dès que possible.
Lorsque la pile TCP/IP à l'autre extrémité voit un paquet utilisant le pointeur urgent, elle est tenue d'arrêter toutes les activités en cours et d'envoyer immédiatement
ce paquet dans la pile pour un traitement immédiat. Étant donné que le paquet est extrait de la file d'attente de traitement et traité immédiatement, il est connu sous
le nom de paquet hors bande (OOB) et les données sont appelées données hors bande (OOB).

Le pointeur urgent est généralement utilisé en Telnet, où une réponse immédiate (par exemple, l'écho des caractères) est souhaitable.

Les canaux secrets ne sont pas directement synonymes de portes dérobées. Un canal secret consiste simplement à utiliser un protocole de communication d'une
manière qui n'était pas destinée à être utilisé ou à envoyer des données sans passer par les mécanismes ou canaux de contrôle d'accès appropriés. Par exemple,
dans un système de contrôle d'accès obligatoire, un utilisateur secret a trouvé un moyen de communiquer des informations à un utilisateur confidentiel sans passer
par les canaux normaux.
Dans ce cas, le bit Urgent peut être utilisé pour plusieurs raisons :

1. Il peut s'agir d'une tentative de déni de service où l'hôte recevant un paquet avec le bit urgent défini accordera une attention immédiate à la demande et sera en
état d'attente jusqu'à ce que le message urgent soit reçu, si l'expéditeur n'envoie pas le message urgent, il restera simplement là à ne rien faire jusqu'à ce qu'il
expire. Certaines piles TCP/IP avaient un délai d'attente de 600 secondes, ce qui signifie que pendant 10 minutes, personne ne pouvait utiliser le port. En envoyant
des milliers de paquets avec l'indicateur URGENT activé, cela créerait une attaque par déni de service très efficace.

2. Il pourrait être utilisé comme une application client-serveur pour transmettre des données sans passer par les canaux appropriés. Ce serait lent, mais il est
possible d'utiliser des champs et des bits réservés pour transmettre des données en dehors des canaux de communication normaux.

Les autres réponses sont incorrectes http://www.fas.org/irp/nsa/rainbow/tg030.htm document couvrant le sujet

des canaux secrets et voir également : http://gray-world.net/papers.shtml qui est une grande collection de
documents sur les canaux secrets

QUESTION 3
John est le chef de produit d'un système d'information. Son produit a été soumis à un examen de sécurité par un auditeur des SI. John a décidé d'appliquer des
contrôles de sécurité appropriés pour réduire les risques de sécurité suggérés

par un auditeur SI. Laquelle des techniques suivantes est utilisée par John pour traiter le risque identifié fourni par un auditeur de SI ?

A. Atténuation des risques

B. Acceptation des risques
C. Évitement des risques
D. Transfert des risques

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus de vérification du système d'information L'atténuation des risques est la pratique
consistant à éliminer ou à réduire considérablement le niveau de risque présenté.

Pour votre examen, vous devez connaître les informations ci-dessous sur l'évaluation des risques et le traitement :

Une évaluation des risques, qui est un outil de gestion des risques, est une méthode permettant d'identifier les vulnérabilités et les menaces et d'évaluer les impacts
possibles pour déterminer où mettre en œuvre des contrôles de sécurité. Une évaluation des risques est effectuée et les résultats sont analysés. L'analyse des
risques est utilisée pour s'assurer que la sécurité est rentable, pertinente, opportune et réactive aux menaces. La sécurité peut être assez complexe, même pour les
professionnels de la sécurité expérimentés, et il est facile d'appliquer trop de sécurité, pas assez de sécurité ou les mauvais contrôles de sécurité, et de dépenser
trop d'argent dans le processus sans atteindre les objectifs nécessaires. L'analyse des risques aide
Les entreprises hiérarchisent leurs risques et montrent à la direction la quantité de ressources qui doivent être consacrées à la protection contre ces risques de manière raisonnable.

Une analyse des risques a quatre objectifs principaux :

Identifier les actifs et leur valeur pour l'organisation.
Identifiez les vulnérabilités et les menaces.
Quantifiez la probabilité et l'impact commercial de ces menaces potentielles. Assurer un équilibre économique entre l'impact de la menace et le coût de la
contre-mesure.

Traitement des risques

Atténuation des risques L'atténuation des risques est la pratique consistant à éliminer ou à réduire considérablement le niveau de risque présenté. Des exemples
d'atténuation des risques peuvent être observés dans la vie quotidienne et sont facilement apparents dans le monde des technologies de l'information. L'atténuation
des risques implique l'application d'un contrôle approprié pour réduire les risques. Par exemple, pour réduire le risque d'exposer des renseignements personnels et
financiers très sensibles et confidentiels, les organisations mettent en place des contre-mesures, comme des pare-feu, des systèmes de détection et de prévention
des intrusions et d'autres mécanismes, pour dissuader des personnes de l'extérieur malveillantes d'accéder à ces renseignements très sensibles. Dans l'exemple
des conducteurs mineurs, l'atténuation des risques pourrait prendre la forme d'une éducation à la conduite pour les jeunes ou de l'établissement d'une politique
interdisant aux jeunes conducteurs d'utiliser un téléphone cellulaire en conduisant, ou de ne pas laisser les jeunes d'un certain âge avoir plus d'un ami dans la
voiture comme passager à un moment donné.
Transfert de risque Le transfert de risque est la pratique consistant à transférer le risque en question à une autre entité, telle qu'une compagnie d'assurance.
Regardons l'un des exemples présentés ci-dessus d'une manière différente. La famille évalue s'il faut autoriser un conducteur mineur à utiliser la voiture familiale. La
famille décide qu'il est important que le jeune soit mobile, alors elle transfère le risque financier d'un accident à la compagnie d'assurance, qui fournit à la famille une
assurance automobile. Il est important de noter que le transfert de risque peut s'accompagner d'un coût. C'est certainement vrai pour l'exemple d'assurance présenté
précédemment, et peut être vu dans d'autres cas d'assurance, comme l'assurance responsabilité civile d'un fournisseur ou l'assurance souscrite par les entreprises
pour se protéger contre le vol ou la destruction de matériel et de logiciels. Cela peut également être vrai si une organisation doit acheter et mettre en œuvre des
contrôles de sécurité afin de rendre son organisation moins attrayante pour les attaques. Il est important de se rappeler que tous les risques ne peuvent pas être
transférés. Bien que le risque financier soit simple à transférer par l'assurance, le risque de réputation peut presque ne jamais être entièrement

Transféré.

Évitement des risques L'évitement des risques consiste à trouver des solutions de rechange afin que le risque en question ne se réalise pas. Par exemple, avez-vous
déjà entendu un ami, ou les parents d'un ami, se plaindre des coûts d'assurance d'un conducteur mineur ? Qu'en est-il des risques auxquels beaucoup de ces
enfants sont confrontés lorsqu'ils deviennent mobiles ? Certaines de ces familles décideront que l'enfant en question ne sera pas autorisé à conduire la voiture
familiale, mais attendront plutôt qu'il ait atteint l'âge légal (c'est-à-dire 18 ans) avant de s'engager à posséder, assurer et conduire un véhicule à moteur.

Dans ce cas, la famille a choisi d'éviter les risques (et les avantages associés) associés à un conducteur mineur, tels que de mauvaises performances de conduite
ou le coût de l'assurance pour l'enfant. Bien que ce choix puisse être disponible dans certaines situations, il n'est pas disponible pour tous. Imaginez un détaillant
mondial qui, connaissant les risques associés à la conduite des affaires sur Internet, décide d'éviter cette pratique. Cette décision coûtera probablement à l'entreprise
une part importante de ses revenus (si, en effet, l'entreprise a des produits ou des services que les consommateurs souhaitent acheter). En outre, la décision peut
obliger l'entreprise à construire ou à louer un site dans chacun des sites, à l'échelle mondiale, pour lesquels elle souhaite poursuivre ses activités. Cela pourrait avoir
un effet catastrophique sur la capacité de l'entreprise à poursuivre ses activités commerciales
Dans certains cas, il peut être prudent pour une organisation d'accepter simplement le risque présenté dans certains scénarios. L'acceptation du risque est la
pratique consistant à accepter certains risques, généralement en fonction d'une décision commerciale qui peut également peser le coût par rapport aux avantages de
traiter le risque d'une autre manière. Par exemple, un cadre peut être confronté à des risques identifiés au cours d'une évaluation des risques pour son organisation.
Ces risques ont été classés par ordre de priorité en fonction de leur impact élevé, moyen et faible sur l'organisation. Le dirigeant note que pour atténuer ou transférer
les risques de faible niveau, des coûts importants pourraient être impliqués. L'atténuation pourrait impliquer l'embauche de personnel hautement qualifié
supplémentaire et l'achat de nouveau matériel, de logiciels et d'équipements de bureau, tandis que le transfert du risque à une compagnie d'assurance nécessiterait
le paiement de primes. Le dirigeant note ensuite que l'impact sur l'organisation serait minime si l'une des menaces de faible niveau signalées se réalisait. Par
conséquent, il conclut (à juste titre) qu'il est plus sage pour l'organisation de renoncer aux coûts et d'accepter le risque. Dans l'exemple du jeune conducteur,
l'acceptation du risque pourrait être fondée sur l'observation que le jeune a démontré la responsabilité et la maturité nécessaires pour justifier la confiance du parent
dans son jugement.

Les réponses suivantes sont incorrectes :

Transfert de risque - Le transfert de risque est la pratique consistant à transférer le risque en question à une autre entité, telle qu'une compagnie d'assurance.
Regardons l'un des exemples présentés ci-dessus d'une manière différente.

Évitement des risques - L'évitement des risques est la pratique consistant à trouver des alternatives afin que le risque en question ne se réalise pas.

Acceptation du risque - L'acceptation du risque est la pratique consistant à accepter certains risques, généralement sur la base d'une décision commerciale qui
peut également peser le coût par rapport aux avantages de traiter le risque d'une autre manière.
Manuel de révision de la CISA 2014 Page numéro 51 Guide officiel ISC2 du
CISSP CBK 3e édition pages numéros 383, 384 et 385

QUESTION 4
Sam est le responsable de la sécurité d'un institut financier. La direction générale lui a demandé d'effectuer une analyse des risques sur toutes les vulnérabilités
critiques signalées par un auditeur du SI. Après avoir terminé l'analyse des risques, Sam a observé que pour quelques-uns des risques, l'analyse coûts-avantages
montre que le coût de l'atténuation des risques (contre-mesures, contrôles ou mesures de protection) est supérieur à la perte potentielle qui pourrait être encourue.
Quel type de stratégie Sam devrait-il recommander à la haute direction pour traiter ces risques ?

Un. Atténuation des risques

Acceptation des risques
B.
C. Évitement des risques
D. Transfert des risques

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'acceptation des risques du système d'information est la pratique consistant à accepter certains risques, généralement en fonction d'une
décision commerciale qui peut également peser le coût par rapport aux avantages de traiter le risque d'une autre manière.

Pour votre examen, vous devez connaître les informations ci-dessous sur l'évaluation des risques et le traitement :

Une évaluation des risques, qui est un outil de gestion des risques, est une méthode permettant d'identifier les vulnérabilités et les menaces et d'évaluer les impacts
possibles pour déterminer où mettre en œuvre des contrôles de sécurité. Une évaluation des risques est effectuée et les résultats sont analysés. L'analyse des
risques est utilisée pour s'assurer que la sécurité est rentable, pertinente, opportune et réactive aux menaces. La sécurité peut être assez complexe, même pour les
professionnels de la sécurité expérimentés, et il est facile d'appliquer trop de sécurité, pas assez de sécurité ou les mauvais contrôles de sécurité, et de dépenser
trop d'argent dans le processus sans atteindre les objectifs nécessaires. L'analyse des risques aide les entreprises à hiérarchiser leurs risques et montre à la
direction la quantité de ressources qui doivent être appliquées pour se protéger contre ces risques de manière raisonnable.

Une analyse des risques a quatre objectifs

principaux : Identifier les actifs et leur valeur pour
l'organisation. Identifiez les vulnérabilités et les
menaces.
Quantifiez la probabilité et l'impact commercial de ces menaces potentielles. Assurer un équilibre économique entre l'impact de la menace et le coût de l'
contre-mesure.

Traitement des risques

Atténuation des risques L'atténuation des risques est la pratique consistant à éliminer ou à réduire considérablement le niveau de risque présenté. Des exemples
d'atténuation des risques peuvent être observés dans la vie quotidienne et sont facilement apparents dans le monde des technologies de l'information. L'atténuation
des risques implique l'application d'un contrôle approprié pour réduire les risques. Par exemple, pour réduire le risque d'exposer des renseignements personnels et
financiers très sensibles et confidentiels, les organisations mettent en place des contre-mesures, comme des pare-feu, des systèmes de détection et de prévention
des intrusions et d'autres mécanismes, pour dissuader des personnes de l'extérieur malveillantes d'accéder à ces renseignements très sensibles. Dans l'exemple
des conducteurs mineurs, l'atténuation des risques pourrait prendre la forme d'une éducation à la conduite pour les jeunes ou de l'établissement d'une politique
interdisant aux jeunes conducteurs d'utiliser un téléphone cellulaire en conduisant, ou de ne pas laisser les jeunes d'un certain âge avoir plus d'un ami dans la
voiture comme passager à un moment donné.
Transfert de risque Le transfert de risque est la pratique consistant à transférer le risque en question à une autre entité, telle qu'une compagnie d'assurance.
Regardons l'un des exemples présentés ci-dessus d'une manière différente. La famille évalue s'il faut autoriser un conducteur mineur à utiliser la voiture familiale. La
famille décide qu'il est important que le jeune soit mobile, alors elle transfère le risque financier d'un accident à la compagnie d'assurance, qui fournit à la famille une
assurance automobile. Il est important de noter que le transfert de risque peut s'accompagner d'un coût. C'est certainement vrai pour l'exemple d'assurance présenté
précédemment, et peut être vu dans d'autres cas d'assurance, comme l'assurance responsabilité civile d'un fournisseur ou l'assurance souscrite par les entreprises
pour se protéger contre le vol ou la destruction de matériel et de logiciels. Cela peut également être vrai si une organisation doit acheter et mettre en œuvre des
contrôles de sécurité afin de rendre son organisation moins attrayante pour les attaques. Il est important de se rappeler que tous les risques ne peuvent pas être
transférés. Bien que le risque financier soit simple à transférer par le biais de l'assurance, le risque de réputation peut ne presque jamais être entièrement transféré.

Évitement des risques L'évitement des risques consiste à trouver des solutions de rechange afin que le risque en question ne se réalise pas. Par exemple, avez-vous
déjà entendu un ami, ou les parents d'un ami, se plaindre des coûts d'assurance d'un conducteur mineur ? Qu'en est-il des risques auxquels beaucoup de ces
enfants sont confrontés lorsqu'ils deviennent mobiles ? Certaines de ces familles décideront que l'enfant en question ne sera pas autorisé à conduire la voiture
familiale, mais attendront plutôt qu'il ait atteint l'âge légal (c'est-à-dire 18 ans) avant de s'engager à posséder, assurer et conduire un véhicule à moteur.

Dans ce cas, la famille a choisi d'éviter les risques (et les avantages associés) associés à un conducteur mineur, tels que de mauvaises performances de conduite
ou le coût de l'assurance pour l'enfant. Bien que ce choix puisse être disponible dans certaines situations, il n'est pas disponible pour tous. Imaginez un détaillant
mondial qui, connaissant les risques associés à la conduite des affaires sur Internet, décide d'éviter cette pratique. Cette décision coûtera probablement à l'entreprise
une part importante de ses revenus (si, en effet, l'entreprise a des produits ou des services que les consommateurs souhaitent acheter). En outre, la décision peut
obliger l'entreprise à construire ou à louer un site dans chacun des sites, à l'échelle mondiale, pour lesquels elle souhaite poursuivre ses activités. Cela pourrait avoir
un effet catastrophique sur la capacité de l'entreprise à poursuivre ses activités commerciales
Dans certains cas, il peut être prudent pour une organisation d'accepter simplement le risque présenté dans certains scénarios. L'acceptation du risque est la
pratique consistant à accepter certains risques, généralement en fonction d'une décision commerciale qui peut également peser le coût par rapport aux avantages de
traiter le risque d'une autre manière. Par exemple, un cadre peut être confronté à des risques identifiés au cours d'une évaluation des risques pour son organisation.
Ces risques ont été classés par ordre de priorité en fonction de leur impact élevé, moyen et faible sur l'organisation. Le dirigeant note que pour atténuer ou transférer
les risques de faible niveau, des coûts importants pourraient être impliqués. L'atténuation pourrait impliquer l'embauche de personnel hautement qualifié
supplémentaire et l'achat de nouveau matériel, de logiciels et d'équipements de bureau, tandis que le transfert du risque à une compagnie d'assurance nécessiterait
le paiement de primes. Le dirigeant note ensuite que l'impact sur l'organisation serait minime si l'une des menaces de faible niveau signalées se réalisait. Par
conséquent, il conclut (à juste titre) qu'il est plus sage pour l'organisation de renoncer aux coûts et d'accepter le risque. Dans l'exemple du jeune conducteur,
l'acceptation du risque pourrait être fondée sur l'observation que le jeune a démontré la responsabilité et la maturité nécessaires pour justifier la confiance du parent
dans son jugement.

Les réponses suivantes sont incorrectes :

Transfert de risque - Le transfert de risque est la pratique consistant à transférer le risque en question à une autre entité, telle qu'une compagnie d'assurance.
Regardons l'un des exemples présentés ci-dessus d'une manière différente.

Évitement des risques - L'évitement des risques est la pratique consistant à trouver des alternatives afin que le risque en question ne se réalise pas.

Atténuation des risques - L'atténuation des risques est la pratique consistant à éliminer ou à réduire considérablement le niveau de risque présenté.
Manuel d'examen de la CISA 2014 Page numéro 51
et
Guide officiel ISC2 du CISSP CBK 3e édition, page numéro 534-539

QUESTION 5
Laquelle des techniques de gestion des risques suivantes implique la pratique d'être proactif afin que le risque en question ne se réalise pas ?

Un. Atténuation des risques

Acceptation des risques
B.
C. Évitement des risques
D. Transfert des risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information L'évitement des risques consiste à trouver des
solutions de rechange afin que le risque en question ne se réalise pas.

Pour votre examen, vous devez connaître les informations ci-dessous sur l'évaluation des risques et le traitement :

Une évaluation des risques, qui est un outil de gestion des risques, est une méthode permettant d'identifier les vulnérabilités et les menaces et d'évaluer les impacts
possibles pour déterminer où mettre en œuvre des contrôles de sécurité. Une évaluation des risques est effectuée et les résultats sont analysés. L'analyse des
risques est utilisée pour s'assurer que la sécurité est rentable, pertinente, opportune et réactive aux menaces. La sécurité peut être assez complexe, même pour les
professionnels de la sécurité expérimentés, et il est facile d'appliquer trop de sécurité, pas assez de sécurité ou les mauvais contrôles de sécurité, et de dépenser
trop d'argent dans le processus sans atteindre les objectifs nécessaires. L'analyse des risques aide les entreprises à hiérarchiser leurs risques et montre à la
direction la quantité de ressources qui doivent être appliquées pour se protéger contre ces risques de manière raisonnable.
Une analyse des risques a quatre objectifs principaux :
Identifier les actifs et leur valeur pour l'organisation.
Identifiez les vulnérabilités et les menaces.
Quantifiez la probabilité et l'impact commercial de ces menaces potentielles. Assurer un équilibre économique entre l'impact de la menace et le coût de la
contre-mesure.

Traitement des risques

Atténuation des risques L'atténuation des risques est la pratique consistant à éliminer ou à réduire considérablement le niveau de risque présenté. Des exemples
d'atténuation des risques peuvent être observés dans la vie quotidienne et sont facilement apparents dans le monde des technologies de l'information. L'atténuation
des risques implique l'application d'un contrôle approprié pour réduire les risques. Par exemple, pour réduire le risque d'exposer des renseignements personnels et
financiers très sensibles et confidentiels, les organisations mettent en place des contre-mesures, comme des pare-feu, des systèmes de détection et de prévention
des intrusions et d'autres mécanismes, pour dissuader des personnes de l'extérieur malveillantes d'accéder à ces renseignements très sensibles. Dans l'exemple du
conducteur mineur, l'atténuation des risques pourrait prendre la forme d'une éducation à la conduite pour les jeunes ou de l'établissement d'une politique interdisant
ou ne pas laisser les jeunes d'un certain âge avoir plus d'un ami dans la voiture comme passager à un moment donné.

au jeune conducteur d'utiliser un téléphone portable au volant. Regardons l'un des exemples présentés ci-dessus d'une manière différente. La famille évalue s'il faut
autoriser un conducteur mineur à utiliser la voiture familiale. La famille décide qu'il est important que le jeune soit mobile, alors elle transfère le risque financier d'un
accident à la compagnie d'assurance, qui fournit à la famille une assurance automobile. Il est important de noter que le transfert de risque peut s'accompagner d'un
coût. C'est certainement vrai pour l'exemple d'assurance présenté précédemment, et peut être vu dans d'autres cas d'assurance, comme l'assurance responsabilité
civile d'un fournisseur ou l'assurance souscrite par les entreprises pour se protéger contre le vol ou la destruction de matériel et de logiciels. Cela peut également
être vrai si une organisation doit acheter et mettre en œuvre des contrôles de sécurité afin de rendre son organisation moins attrayante pour les attaques. Il est
important de se rappeler que tous les risques ne peuvent pas être transférés. Bien que le risque financier soit simple à transférer par le biais de l'assurance, le risque
de réputation peut ne presque jamais être entièrement transféré.

Évitement des risques L'évitement des risques consiste à trouver des solutions de rechange afin que le risque en question ne se réalise pas. Par exemple,
avez-vous déjà entendu un ami, ou les parents d'un ami, se plaindre des coûts d'assurance d'un conducteur mineur ? Qu'en est-il des risques auxquels beaucoup
de ces enfants sont confrontés lorsqu'ils deviennent mobiles ? Certains d'entre eux

Les familles décideront que l'enfant en question ne sera pas autorisé à conduire la voiture familiale, mais qu'il attendra plutôt d'avoir atteint l'âge légal (c'est-à-dire 18
ans) avant de s'engager à posséder, assurer et conduire un véhicule à moteur.
Dans ce cas, la famille a choisi d'éviter les risques (et les avantages associés) associés à un conducteur mineur, tels que de mauvaises performances de conduite
ou le coût de l'assurance pour l'enfant. Bien que ce choix puisse être disponible dans certaines situations, il n'est pas disponible pour tous. Imaginez un détaillant
mondial qui, connaissant les risques associés à la conduite des affaires sur Internet, décide d'éviter cette pratique. Cette décision coûtera probablement à l'entreprise
une part importante de ses revenus (si, en effet, l'entreprise a des produits ou des services que les consommateurs souhaitent acheter). En outre, la décision peut
obliger l'entreprise à construire ou à louer un site dans chacun des sites, à l'échelle mondiale, pour lesquels elle souhaite poursuivre ses activités. Cela pourrait avoir
un effet catastrophique sur la capacité de l'entreprise à poursuivre ses activités commerciales
Dans certains cas, il peut être prudent pour une organisation d'accepter simplement le risque présenté dans certains scénarios. L'acceptation du risque est la
pratique consistant à accepter certains risques, généralement en fonction d'une décision commerciale qui peut également peser le coût par rapport aux avantages de
traiter le risque d'une autre manière. Par exemple, un cadre peut être confronté à des risques identifiés au cours d'une évaluation des risques pour son organisation.
Ces risques ont été classés par ordre de priorité en fonction de leur impact élevé, moyen et faible sur l'organisation. Le dirigeant note que pour atténuer ou transférer
les risques de faible niveau, des coûts importants pourraient être impliqués. L'atténuation pourrait impliquer l'embauche de personnel hautement qualifié
supplémentaire et l'achat de nouveau matériel, de logiciels et d'équipements de bureau, tandis que le transfert du risque à une compagnie d'assurance nécessiterait
le paiement de primes. Le dirigeant note ensuite que l'impact sur l'organisation serait minime si l'une des menaces de faible niveau signalées se réalisait. Par
conséquent, il conclut (à juste titre) qu'il est plus sage pour l'organisation de renoncer aux coûts et d'accepter le risque. Dans l'exemple du jeune conducteur,
l'acceptation du risque pourrait être fondée sur l'observation que le jeune a démontré la responsabilité et la maturité nécessaires pour justifier la confiance du parent
dans son jugement.

Les réponses suivantes sont incorrectes :

Transfert de risque - Le transfert de risque est la pratique consistant à transférer le risque en question à une autre entité, telle qu'une compagnie d'assurance.
Regardons l'un des exemples présentés ci-dessus d'une manière différente.

Acceptation du risque - L'acceptation du risque est la pratique consistant à accepter certains risques, généralement sur la base d'une décision commerciale qui
peut également peser le coût par rapport aux avantages de traiter le risque d'une autre manière.

Atténuation des risques - L'atténuation des risques est la pratique consistant à éliminer ou à réduire considérablement le
niveau de risque présenté par le Manuel d'examen de la CISA 2014 Page numéro 51
et
Guide officiel ISC2 du CISSP CBK 3e édition, page numéro 534-536

QUESTION 6
Lequel des contrôles suivants est destiné à décourager un attaquant potentiel ?

Un.Dissuasif
B. préventif
C. Correctif
D. Récupération

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du contrôle dissuasif des
systèmes d'information vise à décourager un attaquant potentiel

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.

C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un
employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent compléter l'environnement existant, combler les lacunes dans les contrôles, répondre aux
technique, procédural ou managérial. Bien qu'un système existant puisse ne pas prendre en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent le faire
exigences de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.

D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la
chronologie post-incident.

Les contrôles d'accès sont dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à
l'application du moindre privilège. Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les
organisations à gérer leur stratégie d'accès et les risques de sécurité associés.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut
ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes :

Préventif - Les contrôles préventifs visent à éviter qu'un incident ne se produise Correctif - Le contrôle correctif corrige les composants ou les systèmes après qu'un incident se
soit produit Récupération - Les contrôles de rétablissement visent à ramener l'environnement aux opérations régulières Manuel d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 7
Lequel des contrôles de sécurité suivants vise à éviter qu'un incident ne se produise ?

Un.Dissuasif
B. préventif
C. Correctif
D. Récupération

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Les
contrôles préventifs visent à éviter qu'un incident ne se produise

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.

C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un
employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle place le pouvoir d'action avec le système, obéir au contrôle
n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.
plutôt que de risquer les conséquences d'un contournement du contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Contrôles préventifs

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. Ajustement d'une
application pour prendre en charge le chiffrement en mode natif à des fins d'authentification

peut être trop coûteux. Le protocole SSL (Secure Socket Layer), un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour
prendre en charge l'énoncé de stratégie.

D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et les risques de sécurité associés.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système. Cela peut être utilisé pour détecter l'apparition
d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations d'identification fournies ont été exercées. Le système
de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses) et des tâches exécutées par les utilisateurs autorisés.

Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut
ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes :

Dissuasion - Les contrôles dissuasifs visent à décourager un attaquant potentiel Correctif - Le contrôle correctif corrige les composants ou les systèmes après qu'un incident se
soit produit Récupération - Les contrôles de rétablissement visent à ramener l'environnement aux opérations régulières Manuel d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 8
Lequel des contrôles suivants corrige un composant ou un système après un incident ?

Un.Dissuasif
B. préventif
C. Correctif
D. Récupération

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le contrôle correctif corrige les composants ou les systèmes après qu'un incident se soit produit Pour votre
examen, vous devez connaître les informations ci-dessous sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.

C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un
employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur
d'effectuer une activité ou une fonction. est plus facile d'obéir au contrôle plutôt que de risquer les conséquences d'un contournement du contrôle. En
Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il
d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir au contrôle
n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.

D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et les risques de sécurité associés.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut
ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et
les commandes sont revenues à des opérations normales.

Les réponses suivantes sont incorrectes :

Dissuasion - Les contrôles dissuasifs visent à décourager un attaquant potentiel

Préventif - Les contrôles préventifs visent à éviter qu'un incident ne se produise Rétablissement - Les contrôles de rétablissement visent à ramener
l'environnement aux opérations régulières Manuel d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 9
Lequel des contrôles de sécurité suivants vise à rétablir le fonctionnement normal de l'environnement ?

Un.Dissuasif
B. préventif
C. Correctif
D. Récupération

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus de vérification des contrôles de récupération du système
d'information vise à ramener l'environnement aux opérations normales

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.
C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent également la forme d'une punition
potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un employé installant un point d'accès sans fil non autorisé sera licencié, que
volonté

Déterminez que la plupart des employés n'installent pas de points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.
D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et les risques de sécurité associés.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Il y en a plusieurs

les situations susceptibles d'affecter les contrôles d'accès, leur applicabilité, leur statut ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes :

Dissuasion - Les contrôles dissuasifs visent à décourager un attaquant potentiel

Préventif - Les contrôles préventifs visent à éviter qu'un incident ne se produise

Corrective - Le contrôle correctif corrige les composants ou les systèmes après qu'un incident se soit produit, Manuel d'examen de la CISA 2014, Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 10
Lequel des contrôles suivants permet d'identifier les activités d'un incident et potentiellement un intrus ?

Un.Dissuasif
B. préventif
C. Détective
D. Compensation

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le contrôle de détection
permet d'identifier les activités d'un incident et potentiellement un intrus

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, cela a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.
nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque en appliquant une surveillance à un processus. Cette surveillance agit

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.

C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un
employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle. Contrôles de compensation Les
contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les exigences d'une stratégie. Les
contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre en charge les contrôles requis,
il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les contrôles, répondre aux exigences
de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.

D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et les risques de sécurité associés.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut
ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes :

Dissuasion - Les contrôles dissuasifs visent à décourager un attaquant potentiel Préventif - Les contrôles préventifs visent à éviter qu'un incident ne se produise
Compensation - Les contrôles compensatoires fournissent une mesure de contrôle alternative Manuel d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 11
Lequel des contrôles suivants fournit une mesure alternative de contrôle ?

Un.Dissuasif
B. préventif
C. Détective
D. Compensation

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Pour votre examen, vous
devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à conserver un certain potentiel

les attaquants de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant
réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant la réduction parce qu'un
l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout ce que cela implique, le potentiel d'incidents associés au système est considérablement
attaquant craindra d'être associé à l'incident. S'il n'y a pas de contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent
intrinsèquement l'exposition au risque en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables. Le
meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant des événements
indésirables. Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées, ce qui
réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et d'association avec ses actions est
évité à tout prix. C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent également
la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un employé installant un point d'accès sans fil
non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global. Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus
d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une application pour qu'elle prenne en charge le chiffrement en mode natif à des
fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer), un protocole de chiffrement, peut être utilisé et superposé au processus
d'authentification pour prendre en charge l'énoncé de stratégie. D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité
d'isoler certaines tâches pour compenser les limites techniques du système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que
l'autorisation, la supervision et l'administration, peuvent être utilisés pour compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur stratégie
d'accès et les risques de sécurité associés. Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la
possibilité de réduire l'exposition aux risques des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour
contrôler ce qu'un utilisateur peut effectuer une fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est
endommagé, modifié ou affecté négativement (délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction.
L'environnement de contrôle peut être établi pour consigner l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un
système. Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.

Contrôles correctifs

Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les contrôles correctifs sont
des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un état sécurisé. Un incident
de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont peut-être déclenché une
alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles correctifs peuvent
prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires, doit
être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut ou leur
gestion. Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes
administratives et des situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un
impact négatif sur les contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de
l'installation. De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la
séparation des tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur
les utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales. Pour votre examen, vous devez connaître ci-dessous les informations sur les
différents contrôles de sécurité
Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.

C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un
employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles compensatoires

Les contrôles compensatoires sont introduits lorsque les capacités existantes d'un système ne prennent pas en charge les exigences d'une stratégie. Les
contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre en charge les contrôles requis,
il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les contrôles, répondre aux exigences
de la politique et réduire le risque global.
Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.
D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limitations techniques du système
et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et les risques de sécurité associés.
Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut
ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes :

Dissuasion - Les contrôles dissuasifs visent à décourager un attaquant potentiel Préventif - Les contrôles préventifs visent à éviter qu'un incident ne se produise
Détective - Le contrôle détective aide à identifier les activités d'un incident et potentiellement un intrus Manuel d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 12
Lequel des énoncés suivants n'est PAS un exemple de contrôle préventif ?

Un. Contrôle d'accès physique comme les serrures et la porte Écran de connexion de
B. l'utilisateur qui permet uniquement d'autoriser l'utilisateur à accéder au site Web
C. Crypter les données afin que seul l'utilisateur autorisé puisse les voir
D. Vérification en double d'un calcul

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le mot NOT est utilisé comme mot-clé dans la question. Vous devez trouver un contrôle de sécurité à
partir d'options données qui ne sont pas préventives. La vérification en double d'un calcul est un contrôle détective et non un contrôle préventif.

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables. Le meilleur
exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant des
événements indésirables. Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont
enregistrées et surveillées, ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout
risque d'identification et d'association avec ses actions est évité à tout prix. C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du
contournement par les attaquants. Les mesures dissuasives prennent également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé.
Par exemple, si la stratégie de l'organisation spécifie qu'un employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des
employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur
d'effectuer une activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce que le contrôle

n'est pas facultatif et ne peut pas (facilement) être contourné. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que
de risquer les conséquences du contournement du contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles
préventifs placent le pouvoir d'action avec le système, obéir au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille
dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global. Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus
d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une application pour qu'elle prenne en charge le chiffrement en mode natif à des
fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer), un protocole de chiffrement, peut être utilisé et superposé au processus
d'authentification pour prendre en charge l'énoncé de stratégie. D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité
d'isoler certaines tâches pour compenser les limites techniques du système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que
l'autorisation, la supervision et l'administration, peuvent être utilisés pour compenser les lacunes de l'environnement de contrôle d'accès.
Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur stratégie
d'accès et les risques de sécurité associés. Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la
possibilité de réduire l'exposition aux risques des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour
contrôler ce qu'un utilisateur peut effectuer une fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est
endommagé, modifié ou affecté négativement (délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction.
L'environnement de contrôle peut être établi pour consigner l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un
système. Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.

Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires, doit
être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut ou leur
gestion. Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes
administratives et des situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un
impact négatif sur les contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de
l'installation. De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la
séparation des tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur
les utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.
C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si la stratégie de l'organisation spécifie qu'un
employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.

D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et la sécurité associée

risque.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires,
doit être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut
ou leur gestion. Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes
administratives et des situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un
impact négatif sur les contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de
l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes : Les autres
exemples appartiennent à Contrôle préventif. Manuel
d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 13
Lequel des énoncés suivants n'est PAS un exemple de contrôle correctif ?

Un. Mise à niveau du système

d'exploitation Sauvegarde et
B. restauration
C. d'urgence
D. Surveillance du système

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le mot NOT est utilisé comme mot-clé dans la question. Vous devez trouver un contrôle de sécurité à
partir d'options données qui ne sont pas un contrôle correctif. La surveillance du système est un contrôle de détection et non un contrôle correctif.

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple
fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour
contourner le contrôle est bien supérieur à la récompense potentielle si l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un
attrapé) l'emportent sur les avantages du succès. Par exemple, en forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout
ce que cela implique, le risque d'incidents associés au système est considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de
contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque
en appliquant une surveillance à un processus. Cet oubli a un effet dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables. Le meilleur
exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant des
événements indésirables. Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont
enregistrées et surveillées, ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout
risque d'identification et d'association avec ses actions est évité à tout prix. C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du
contournement par les attaquants. Les mesures dissuasives prennent également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé.
Par exemple, si la stratégie de l'organisation spécifie qu'un employé installant un point d'accès sans fil non autorisé sera déclenché, cela déterminera la plupart des
employés à installer des points d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global. Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus
d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une application pour qu'elle prenne en charge le chiffrement en mode natif à des
fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer), un protocole de chiffrement, peut être utilisé et superposé au processus
d'authentification pour prendre en charge l'énoncé de stratégie. D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité
d'isoler certaines tâches pour compenser les limites techniques du système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que
l'autorisation, la supervision et l'administration, peuvent être utilisés pour compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, le détective

La nature des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur stratégie d'accès et les
risques de sécurité associés. Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de
réduire l'exposition aux risques des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un
utilisateur peut effectuer une fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé,
modifié ou affecté négativement (délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle
peut être établi pour consigner l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système. Cela peut être utilisé
pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations d'identification fournies ont été
exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses) et des tâches exécutées par les
utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Toute modification de l'environnement de contrôle d'accès, que ce soit en cas d'incident de sécurité ou pour offrir des contrôles compensatoires temporaires, doit
être rétablie avec précision et revenir à des opérations normales. Plusieurs situations peuvent affecter les contrôles d'accès, leur applicabilité, leur statut ou leur
gestion. Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes
administratives et des situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un
impact négatif sur les contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de
l'installation. De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la
séparation des tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur
les utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
Pour votre examen, vous devez connaître ci-dessous les informations sur les différents contrôles de sécurité

rapidement possible et les contrôles doivent reprendre leurs activités normales. Les contrôles dissuasifs sont destinés à décourager un attaquant potentiel. Les
contrôles d'accès ont un effet dissuasif sur les menaces et les attaques par le simple fait que l'existence du contrôle suffit à empêcher certains attaquants potentiels
de tenter de contourner le contrôle. Cela est souvent dû au fait que l'effort requis pour contourner le contrôle est bien supérieur à la récompense potentielle si
l'attaquant réussit, ou, à l'inverse, que les implications négatives d'une attaque ratée (ou d'un attrapé) l'emportent sur les avantages du succès. Par exemple, en
forçant l'identification et l'authentification d'un utilisateur, d'un service ou d'une application, et tout ce que cela implique, le risque d'incidents associés au système est
considérablement réduit car un attaquant craint d'être associé à l'incident. S'il n'y a pas de contrôle pour un chemin d'accès donné, le nombre d'incidents et l'impact
potentiel deviennent infinis. Les contrôles réduisent intrinsèquement l'exposition au risque en appliquant une surveillance à un processus. Cet oubli a un effet
dissuasif, freinant l'appétit d'un attaquant face à des répercussions probables.

Le meilleur exemple de contrôle dissuasif est démontré par les employés et leur propension à exécuter intentionnellement des fonctions non autorisées, entraînant
des événements indésirables.

Lorsque les utilisateurs commencent à comprendre qu'en s'authentifiant dans un système pour exécuter une fonction, leurs activités sont enregistrées et surveillées,
ce qui réduit la probabilité qu'ils tentent une telle action. De nombreuses menaces reposent sur l'anonymat de l'agent malveillant, et tout risque d'identification et
d'association avec ses actions est évité à tout prix.

C'est la raison fondamentale pour laquelle les contrôles d'accès sont la cible principale du contournement par les attaquants. Les mesures dissuasives prennent
également la forme d'une punition potentielle si les utilisateurs font quelque chose d'inautorisé. Par exemple, si l'organisation

La politique spécifie qu'un employé installant un point d'accès sans fil non autorisé sera licencié, ce qui déterminera la plupart des employés à installer des points
d'accès sans fil.

Contrôles préventifs Les contrôles préventifs visent à éviter qu'un incident ne se produise. Les contrôles d'accès préventifs empêchent un utilisateur d'effectuer une
activité ou une fonction. Les contrôles préventifs diffèrent des contrôles dissuasifs en ce sens qu'ils ne sont pas facultatifs et ne peuvent pas (facilement) être
contournés. Les contrôles dissuasifs fonctionnent sur la théorie qu'il est plus facile d'obéir au contrôle plutôt que de risquer les conséquences du contournement du
contrôle. En d'autres termes, le pouvoir d'action réside dans l'utilisateur (ou l'attaquant). Les contrôles préventifs placent le pouvoir d'action avec le système, obéir
au contrôle n'est pas facultatif. La seule façon de contourner le contrôle est de trouver une faille dans l'implémentation du contrôle.

Contrôles de compensation Les contrôles de compensation sont introduits lorsque les fonctionnalités existantes d'un système ne prennent pas en charge les
exigences d'une stratégie. Les contrôles compensatoires peuvent être techniques, procéduraux ou de gestion. Bien qu'un système existant puisse ne pas prendre
en charge les contrôles requis, il peut exister d'autres technologies ou processus qui peuvent compléter l'environnement existant, combler les lacunes dans les
contrôles, répondre aux exigences de la politique et réduire le risque global.

Par exemple, la stratégie de contrôle d'accès peut indiquer que le processus d'authentification doit être chiffré lorsqu'il est effectué sur Internet. L'ajustement d'une
application pour qu'elle prenne en charge le chiffrement en mode natif à des fins d'authentification peut être trop coûteux. Le protocole SSL (Secure Socket Layer),
un protocole de chiffrement, peut être utilisé et superposé au processus d'authentification pour prendre en charge l'énoncé de stratégie.

D'autres exemples incluent un environnement de séparation des tâches, qui offre la possibilité d'isoler certaines tâches pour compenser les limites techniques du
système et assurer la sécurité des transactions. En outre, les processus de gestion, tels que l'autorisation, la supervision et l'administration, peuvent être utilisés pour
compenser les lacunes de l'environnement de contrôle d'accès.

Les contrôles de détection avertissent lorsque quelque chose s'est produit et constituent le premier point de la chronologie post-incident. Les contrôles d'accès sont
dissuasifs contre les menaces et peuvent être utilisés de manière agressive pour prévenir les incidents préjudiciables grâce à l'application du moindre privilège.
Cependant, la nature détective des contrôles d'accès peut fournir une visibilité importante sur l'environnement d'accès et aider les organisations à gérer leur
stratégie d'accès et les risques de sécurité associés.

Comme mentionné précédemment, les privilèges d'accès fortement gérés fournis à un utilisateur authentifié offrent la possibilité de réduire l'exposition aux risques
des actifs de l'entreprise en limitant les capacités de l'utilisateur authentifié. Cependant, il existe peu d'options pour contrôler ce qu'un utilisateur peut effectuer une
fois les privilèges fournis. Par exemple, si un utilisateur dispose d'un accès en écriture à un fichier et que ce fichier est endommagé, modifié ou affecté négativement
(délibérément ou non), l'utilisation de contrôles d'accès appliqués offrira une visibilité sur la transaction. L'environnement de contrôle peut être établi pour consigner
l'activité concernant l'identification, l'authentification, l'autorisation et l'utilisation des privilèges sur un système.

Cela peut être utilisé pour détecter l'apparition d'erreurs, les tentatives d'exécution d'une action non autorisée ou pour valider le moment où les informations
d'identification fournies ont été exercées. Le système de journalisation en tant que dispositif de détection fournit des preuves des actions (réussies et infructueuses)
et des tâches exécutées par les utilisateurs autorisés.
Contrôles correctifs Lorsqu'un incident de sécurité se produit, des éléments de l'infrastructure de sécurité peuvent nécessiter des mesures correctives. Les
contrôles correctifs sont des actions qui visent à modifier la posture de sécurité d'un environnement pour corriger les lacunes et rétablir l'environnement dans un
état sécurisé. Un incident de sécurité signale l'échec d'un ou plusieurs contrôles directifs, dissuasifs, préventifs ou compensatoires. Les contrôles de détection ont
peut-être déclenché une alarme ou une notification, mais les contrôles correctifs doivent maintenant fonctionner pour arrêter l'incident dans son élan. Les contrôles
correctifs peuvent prendre de nombreuses formes, toutes en fonction de la situation particulière ou de la défaillance de sécurité particulière à traiter.

Contrôles de récupération Toute modification de l'environnement de contrôle d'accès, que ce soit en cas
d'incident de sécurité ou pour offrir une offre temporaire

les contrôles compensatoires doivent être rétablis avec précision et repris à des opérations normales. Plusieurs situations peuvent affecter les contrôles
d'accès, leur applicabilité, leur statut ou leur gestion.

Les événements peuvent inclure des pannes de système, des attaques, des changements de projet, des exigences techniques, des lacunes administratives et des
situations de catastrophe à part entière. Par exemple, si une application n'est pas correctement installée ou déployée, elle peut avoir un impact négatif sur les
contrôles placés sur les fichiers système ou même avoir des comptes d'administration par défaut implémentés sans le savoir lors de l'installation.

De plus, un employé peut être muté, démissionner ou être en congé temporaire, ce qui peut affecter les exigences de la politique concernant la séparation des
tâches. Une attaque sur les systèmes peut avoir entraîné l'implantation d'un cheval de Troie, exposant potentiellement des informations privées sur les
utilisateurs, telles que des informations de carte de crédit et des données financières. Dans tous ces cas, une situation indésirable doit être corrigée le plus
rapidement possible et les contrôles doivent reprendre leurs activités normales.
Les réponses suivantes sont incorrectes : Les autres
exemples appartiennent au contrôle correctif. Manuel
d'examen de la CISA 2014 Page numéro 44
et
Guide officiel CISSP ISC2 3e édition Page numéro 50 et 51

QUESTION 14
Lequel des audits suivants comprend des tests de contrôle spécifiques pour démontrer le respect d'une réglementation ou d'une norme industrielle spécifique ?

Un. Audit de conformité

B. Audit financier
C. Audit opérationnel
D. Audit judiciaire

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information
Un audit de conformité est un examen complet du respect des directives réglementaires par une organisation. Des consultants indépendants en comptabilité, en
sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les contrôles d'accès des
utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques des contrôles pour
démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais peuvent se concentrer sur
un système ou des données particuliers.
Pour votre examen, vous devez connaître ci-dessous les informations sur les différents types d'audit :

Qu'est-ce qu'un audit ?

En termes généraux, un audit est un processus d'évaluation des comptes d'un individu ou d'une organisation. Cela est généralement fait par un organisme
d'audit indépendant. Ainsi, l'audit implique qu'une personne compétente et indépendante obtienne des éléments probants et les évalue objectivement à l'égard
d'une entité donnée, qui fait l'objet d'un audit en l'espèce, afin d'établir la conformité à un ensemble donné de normes. L'audit peut porter sur une personne, une
organisation, un système, une entreprise, un projet ou un produit.
Audit de conformité
A audit de conformité est un examen complet du respect des directives réglementaires par une organisation.

Des consultants indépendants en comptabilité, en sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs
examinent les politiques de sécurité, les contrôles d'accès des utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de
conformité comprend des tests spécifiques des contrôles pour démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits
chevauchent souvent les audits traditionnels, mais peuvent se concentrer sur un système ou des données particuliers.
Ce qui est examiné précisément dans un audit de conformité variera selon qu'une organisation est une entreprise publique ou privée, le type de données qu'elle
traite et si elle transmet ou stocke des données financières sensibles. Par exemple, les exigences SOX signifient que toute communication électronique doit être
sauvegardée et sécurisée par une infrastructure de reprise après sinistre raisonnable. Les prestataires de soins de santé qui stockent ou transmettent des dossiers
de santé en ligne, comme des informations de santé personnelles, sont soumis aux exigences de la loi HIPAA. Les sociétés de services financiers qui transmettent
des données de carte de crédit sont soumises aux exigences de la norme PCI DSS. Dans chaque cas, l'organisation doit être en mesure de démontrer la conformité
en produisant une piste d'audit, souvent générée par les données d'un logiciel de gestion des journaux d'événements.
Audit financier
Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une opinion d'audit.
L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects
significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit opérationnel L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'audit interne.

L'Institute of Internal Auditor (IIA) définit l'audit opérationnel comme un processus systématique d'évaluation de l'efficacité, de l'efficience et de l'économie d'une
organisation des opérations sous le contrôle de la direction et de la communication aux personnes appropriées des résultats de l'évaluation ainsi que des
recommandations d'amélioration.
Objectifs Évaluer l'efficacité et l'efficience d'une division, d'une activité ou d'un fonctionnement de l'entité dans l'atteinte des
objectifs organisationnels.
Comprendre les responsabilités et les risques auxquels une organisation est confrontée. Identifier, avec la participation de la direction, les possibilités d'améliorer
le contrôle. Fournir à la haute direction de l'organisation une compréhension détaillée des opérations.

Audits intégrés Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également effectuée pour évaluer les objectifs
globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Audit des SI Un audit des technologies de l'information, ou audit des systèmes d'information, est un examen des contrôles de gestion au sein d'une infrastructure de
technologie de l'information (TI). L'évaluation des preuves obtenues permet de déterminer si les systèmes d'information protègent les actifs, maintiennent l'intégrité
des données et fonctionnent efficacement pour atteindre les buts ou objectifs de l'organisation. Ces examens peuvent être effectués conjointement avec une
vérification des états financiers, une vérification interne ou une autre forme de mission d'attestation.

Les principales fonctions d'un audit informatique sont d'évaluer les systèmes en place pour protéger les informations d'une organisation. Plus précisément, les audits
des technologies de l'information sont utilisés pour évaluer la capacité de l'organisation à protéger ses actifs informationnels et à distribuer correctement les
informations aux parties autorisées. L'audit informatique vise à évaluer

les éléments suivants :

Les systèmes informatiques de l'organisation seront-ils disponibles pour l'entreprise en tout temps lorsque cela sera nécessaire ? (connu sous le nom de disponibilité) Les renseignements contenus dans les
systèmes ne seront-ils divulgués qu'aux utilisateurs autorisés ? (connue sous le nom de sécurité et de confidentialité) Les renseignements fournis par le système seront-ils toujours exacts, fiables et
opportuns ? (mesure l'intégrité) De cette façon, l'audit espère évaluer le risque pour l'actif précieux de l'entreprise (ses informations) et établir des méthodes pour les minimiser

Risques.

L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des preuves - dans un
contexte prédéfini - dans le domaine des litiges et/ou des irrégularités juridiques/financières (y compris la fraude) et de donner des conseils préventifs.

L'objectif d'un audit judiciaire est d'utiliser des procédures comptables pour recueillir des preuves en vue de la poursuite ou de l'enquête sur des crimes financiers
tels que le vol ou la fraude. Des vérifications judiciaires peuvent être effectuées pour déterminer si des actes répréhensibles ont été commis ou pour recueillir des
documents pour l'affaire contre un criminel présumé.
Les réponses suivantes sont incorrectes :

Audit financier- Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer
une opinion d'audit. L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans
tous leurs aspects significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière.

Audit opérationnel - L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. [1] L'audit
opérationnel est une forme plus complète d'audit interne.
Audit judiciaire - L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des
preuves - dans un contexte prédéfini - dans le domaine des litiges et / ou des irrégularités juridiques / financières (y compris la fraude) et de donner des conseils
préventifs. Manuel d'examen de la CISA 2014 Page numéro 47 http://searchcompliance.techtarget.com/definition/compliance-audit
http://en.wikipedia.org/wiki/Financial_audit http://en.wikipedia.org/wiki/Operational_auditing http://en.wikipedia.org/wiki/Information_technology_audit
http://www.investorwords.com/16445/forensic_audit.html
QUESTION 15
Lequel des audits suivants évalue l'exactitude des rapports financiers ?

Un. Audit de conformité

B. Audit financier
C. Audit opérationnel
D. Audit judiciaire

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information
Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une opinion d'audit.
L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects
significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents types d'audit :

Qu'est-ce qu'un audit ?

En termes généraux, un audit est un processus d'évaluation des comptes d'un individu ou d'une organisation. Cela est généralement fait par un organisme
d'audit indépendant. Ainsi, l'audit implique qu'une personne compétente et indépendante obtienne des éléments probants et les évalue objectivement à l'égard
d'une entité donnée, qui fait l'objet d'un audit en l'espèce, afin d'établir la conformité à un ensemble donné de normes. L'audit peut porter sur une personne, une
organisation, un système, une entreprise, un projet ou un produit.
Audit de conformité
Un audit de conformité est un examen complet du respect des directives réglementaires par une organisation. Des consultants indépendants en comptabilité, en
sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les contrôles d'accès des
utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques des contrôles pour
démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais peuvent se concentrer sur
un système ou des données particuliers.
Ce qui est examiné précisément dans un audit de conformité variera selon qu'une organisation est une entreprise publique ou privée, le type de données qu'elle
traite et si elle transmet ou stocke des données financières sensibles. Par exemple, les exigences SOX signifient que toute communication électronique doit être
sauvegardée et sécurisée par une infrastructure de reprise après sinistre raisonnable. Les prestataires de soins de santé qui stockent ou transmettent des dossiers
de santé en ligne, comme des informations de santé personnelles, sont soumis aux exigences de la loi HIPAA. Les sociétés de services financiers qui transmettent
des données de carte de crédit sont soumises aux exigences de la norme PCI DSS. Dans chaque cas, l'organisation doit être en mesure de démontrer la conformité
en produisant une piste d'audit, souvent générée par les données d'un logiciel de gestion des journaux d'événements.
Audit financier
Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une opinion d'audit.
L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects
significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit opérationnel L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'audit interne.

L'Institute of Internal Auditor (IIA) définit l'audit opérationnel comme un processus systématique d'évaluation de l'efficacité, de l'efficience et de l'économie d'une
organisation des opérations sous le contrôle de la direction et de la communication aux personnes appropriées des résultats de l'évaluation ainsi que des
recommandations d'amélioration.
Objectifs

Évaluer l'efficacité et l'efficience d'une division, d'une activité ou d'un fonctionnement de l'entité dans l'atteinte des objectifs organisationnels.
Comprendre les responsabilités et les risques auxquels une organisation est confrontée. Identifier, avec la participation de la direction, les possibilités d'améliorer
le contrôle. Fournir à la haute direction de l'organisation une compréhension détaillée des opérations.

Audits intégrés Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également effectuée pour évaluer les objectifs
globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Audit des SI Un audit des technologies de l'information, ou audit des systèmes d'information, est un examen des contrôles de gestion au sein d'une infrastructure de
technologie de l'information (TI). L'évaluation des preuves obtenues permet de déterminer si les systèmes d'information protègent les actifs, maintiennent l'intégrité
des données et fonctionnent efficacement pour atteindre les buts ou objectifs de l'organisation. Ces examens peuvent être effectués conjointement avec une
vérification des états financiers, une vérification interne ou une autre forme de mission d'attestation.

Les principales fonctions d'un audit informatique sont d'évaluer les systèmes en place pour protéger les informations d'une organisation. Plus précisément, les audits
des technologies de l'information sont utilisés pour évaluer la capacité de l'organisation à protéger ses actifs informationnels et à distribuer correctement les
informations aux parties autorisées. L'audit informatique vise à évaluer les éléments suivants :

Les systèmes informatiques de l'organisation seront-ils disponibles pour l'entreprise en tout temps lorsque cela sera nécessaire ? (connu sous le nom de disponibilité) Les renseignements contenus dans les
systèmes ne seront-ils divulgués qu'aux utilisateurs autorisés ? (connue sous le nom de sécurité et de confidentialité) Les renseignements fournis par le système seront-ils toujours exacts, fiables et
opportuns ? (mesure l'intégrité) De cette façon, l'audit espère évaluer le risque pour l'actif précieux de l'entreprise (ses informations) et établir des méthodes pour les minimiser

Risques.

L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des preuves - dans un
contexte prédéfini - dans le domaine des litiges et/ou des irrégularités juridiques/financières (y compris la fraude) et de donner des conseils préventifs.

L'objectif d'un audit judiciaire est d'utiliser des procédures comptables pour recueillir des preuves en vue de la poursuite ou de l'enquête sur des crimes financiers
tels que le vol ou la fraude. Des vérifications judiciaires peuvent être effectuées pour déterminer si des actes répréhensibles ont été commis ou pour recueillir des
documents pour l'affaire contre un criminel présumé.
Les réponses suivantes sont incorrectes :

Audit de conformité - Un audit de conformité est un examen complet du respect par une organisation des directives réglementaires. Des consultants indépendants
en comptabilité, en sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les
contrôles d'accès des utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques
des contrôles pour démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais
peuvent se concentrer sur un système ou des données particuliers.
Audit opérationnel - L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une approche orientée vers l'avenir,
évaluation systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être utilisées,
mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. [1] L'audit opérationnel
est une forme plus complète d'audit interne.
Audit judiciaire - L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des
preuves - dans un contexte prédéfini - dans le domaine des litiges et / ou des irrégularités juridiques / financières (y compris la fraude) et de donner des conseils
préventifs. Manuel d'examen de la CISA 2014 Page numéro 44 http://searchcompliance.techtarget.com/definition/compliance-audit
http://en.wikipedia.org/wiki/Financial_audit http://en.wikipedia.org/wiki/Operational_auditing http://en.wikipedia.org/wiki/Information_technology_audit
http://www.investorwords.com/16445/forensic_audit.html

QUESTION 16
Lequel des audits suivants est principalement conçu pour évaluer la structure de contrôle interne dans un processus ou un domaine donné ?

Un. Audit de conformité

B. Audit financier
C. Audit opérationnel
D. Audit judiciaire

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information L'audit opérationnel est principalement conçu pour évaluer la structure de contrôle interne dans un processus
ou un domaine donné. La vérification opérationnelle est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est
une évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent
être utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'audit interne.

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents types d'audit :

Qu'est-ce qu'un audit ?

En termes généraux, un audit est un processus d'évaluation des comptes d'un individu ou d'une organisation. Cela est généralement fait par un organisme
d'audit indépendant. Ainsi, l'audit implique qu'une personne compétente et indépendante obtienne des éléments probants et les évalue objectivement à l'égard
d'une entité donnée, qui fait l'objet d'un audit en l'espèce, afin d'établir la conformité à un ensemble donné de normes. L'audit peut porter sur une personne, une
organisation, un système, une entreprise, un projet ou un produit.
Audit de conformité
Un audit de conformité est un examen complet du respect des directives réglementaires par une organisation. Des consultants indépendants en comptabilité, en
sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les contrôles d'accès des
utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques des contrôles pour
démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais peuvent se concentrer sur
un système ou des données particuliers.
Ce qui est examiné précisément dans un audit de conformité variera selon qu'une organisation est une entreprise publique ou privée, le type de données qu'elle
traite et si elle transmet ou stocke des données financières sensibles. Par exemple, les exigences SOX signifient que toute communication électronique doit être
sauvegardée et sécurisée par une infrastructure de reprise après sinistre raisonnable. Les prestataires de soins de santé qui stockent ou transmettent des dossiers
de santé en ligne, comme des informations de santé personnelles, sont soumis aux exigences de la loi HIPAA. Les sociétés de services financiers qui transmettent
des données de carte de crédit sont soumises aux exigences de la norme PCI DSS. Dans chaque cas, l'organisation doit être en mesure de démontrer la conformité
en produisant une piste d'audit, souvent générée par les données d'un logiciel de gestion des journaux d'événements.
Audit financier
Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une opinion d'audit.
L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects
significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit opérationnel L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'audit interne.

L'Institute of Internal Auditor (IIA) définit l'audit opérationnel comme un processus systématique d'évaluation de l'efficacité, de l'efficience et de l'économie d'une
organisation des opérations sous le contrôle de la direction et de la communication aux personnes appropriées des résultats de l'évaluation ainsi que des
recommandations d'amélioration.
Objectifs Évaluer l'efficacité et l'efficience d'une division, d'une activité ou d'un fonctionnement de l'entité dans l'atteinte des
objectifs organisationnels.
Comprendre les responsabilités et les risques auxquels une organisation est confrontée. Identifier, avec la participation de la direction, les possibilités d'améliorer
le contrôle. Fournir à la haute direction de l'organisation une compréhension détaillée des opérations.

Audits intégrés Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également effectuée pour évaluer les objectifs
globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Audit des SI Un audit des technologies de l'information, ou audit des systèmes d'information, est un examen des contrôles de gestion au sein d'une infrastructure de
technologie de l'information (TI). L'évaluation des preuves obtenues permet de déterminer si les systèmes d'information protègent les actifs, maintiennent l'intégrité
des données et fonctionnent efficacement pour atteindre les buts ou objectifs de l'organisation. Ces examens peuvent être effectués conjointement avec une
vérification des états financiers, une vérification interne ou une autre forme de mission d'attestation.

Les principales fonctions d'un audit informatique sont d'évaluer les systèmes en place pour protéger les informations d'une organisation. Plus précisément, les audits
des technologies de l'information sont utilisés pour évaluer la capacité de l'organisation à protéger ses actifs informationnels et à distribuer correctement les
informations aux parties autorisées. L'audit informatique vise à évaluer les éléments suivants :

Les systèmes informatiques de l'organisation seront-ils disponibles pour l'entreprise en tout temps lorsque cela sera nécessaire ? (connu sous le nom de disponibilité) Les renseignements contenus dans les
systèmes ne seront-ils divulgués qu'aux utilisateurs autorisés ? (connue sous le nom de sécurité et de confidentialité) Les renseignements fournis par le système seront-ils toujours exacts, fiables et
opportuns ? (mesure l'intégrité) De cette façon, l'audit espère évaluer le risque pour l'actif précieux de l'entreprise (ses informations) et établir des méthodes pour les minimiser

Risques.

L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des preuves - dans un
contexte prédéfini - dans le domaine des litiges et/ou des irrégularités juridiques/financières (y compris la fraude) et de donner des conseils préventifs.

L'objectif d'un audit judiciaire est d'utiliser des procédures comptables pour recueillir des preuves en vue
de la poursuite ou de l'enquête sur des crimes financiers tels que le vol ou la fraude. Des vérifications judiciaires peuvent être effectuées pour déterminer si des
actes répréhensibles ont été commis ou pour recueillir des documents pour l'affaire contre un criminel présumé.

Les réponses suivantes sont incorrectes :

Audit de conformité - Un audit de conformité est un examen complet du respect par une organisation des directives réglementaires. Des consultants indépendants
en comptabilité, en sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les
contrôles d'accès des utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques
des contrôles pour démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais
peuvent se concentrer sur un système ou des données particuliers.
Audit financier- Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une
opinion d'audit. L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs
aspects significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit judiciaire - L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des
preuves - dans un contexte prédéfini - dans le domaine des litiges et / ou des irrégularités juridiques / financières (y compris la fraude) et de donner des conseils
préventifs. Manuel d'examen de la CISA 2014 Page numéro 44 http://searchcompliance.techtarget.com/definition/compliance-audit
http://en.wikipedia.org/wiki/Financial_audit http://en.wikipedia.org/wiki/Operational_auditing http://en.wikipedia.org/wiki/Information_technology_audit
http://www.investorwords.com/16445/forensic_audit.html

QUESTION 17
Lequel des audits suivants combine les étapes de l'audit financier et opérationnel ?

Un. Audit de conformité

B. Audit financier
C. intégrée
D. Audit judiciaire

Bonne réponse : C
Explication

Explication/Référence :
Section : Processus d'audit du système d'information Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également
effectuée pour évaluer les objectifs globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents types d'audit :

Qu'est-ce qu'un audit ?

En termes généraux, un audit est un processus d'évaluation des comptes d'un individu ou d'une organisation. C'est généralement

effectuée par un organisme d'audit indépendant. Ainsi, l'audit implique qu'une personne compétente et indépendante obtienne des éléments probants et les évalue
objectivement à l'égard d'une entité donnée, qui fait l'objet d'un audit en l'espèce, afin d'établir la conformité à un ensemble donné de normes. L'audit peut porter sur
une personne, une organisation, un système, une entreprise, un projet ou un produit.

Audit de conformité
Un audit de conformité est un examen complet du respect des directives réglementaires par une organisation. Des consultants indépendants en comptabilité, en
sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les contrôles d'accès des
utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques des contrôles pour
démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais peuvent se concentrer sur
un système ou des données particuliers.
Ce qui est examiné précisément dans un audit de conformité variera selon qu'une organisation est une entreprise publique ou privée, le type de données qu'elle traite et si elle transmet ou
stocke des données financières sensibles. Par exemple, les exigences SOX signifient que toute communication électronique doit être sauvegardée et sécurisée par une infrastructure de
reprise après sinistre raisonnable. Les prestataires de soins de santé qui stockent ou transmettent des dossiers de santé en ligne, comme des informations de santé personnelles, sont
soumis aux exigences de la loi HIPAA. Les sociétés de services financiers qui transmettent des données de carte de crédit sont soumises aux exigences de la norme PCI DSS. Dans
chaque cas, l'organisation doit être en mesure de démontrer la conformité en produisant une piste d'audit, souvent générée par les données d'un logiciel de gestion des journaux
d'événements.
Audit financier
Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une opinion d'audit.
L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects
significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit opérationnel L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'audit interne.

L'Institute of Internal Auditor (IIA) définit l'audit opérationnel comme un processus systématique d'évaluation de l'efficacité, de l'efficience et de l'économie d'une
organisation des opérations sous le contrôle de la direction et de la communication aux personnes appropriées des résultats de l'évaluation ainsi que des
recommandations d'amélioration.
Objectifs

Évaluer l'efficacité et l'efficience d'une division, d'une activité ou d'un fonctionnement de l'entité dans l'atteinte des objectifs organisationnels.
Comprendre les responsabilités et les risques auxquels une organisation est confrontée. Identifier, avec la participation de la direction, les possibilités d'améliorer
le contrôle. Fournir à la haute direction de l'organisation une compréhension détaillée des opérations.

Audits intégrés Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également effectuée pour évaluer les objectifs
globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Audit des SI Un audit des technologies de l'information, ou audit des systèmes d'information, est un examen
des contrôles de gestion

au sein d'une infrastructure de technologie de l'information (TI). L'évaluation des preuves obtenues permet de déterminer si les systèmes d'information
protègent les actifs, maintiennent l'intégrité des données et fonctionnent efficacement pour atteindre les buts ou objectifs de l'organisation. Ces examens
peuvent être effectués conjointement avec une vérification des états financiers, une vérification interne ou une autre forme de mission d'attestation.
Les principales fonctions d'un audit informatique sont d'évaluer les systèmes en place pour protéger les informations d'une organisation. Plus précisément, les audits
des technologies de l'information sont utilisés pour évaluer la capacité de l'organisation à protéger ses actifs informationnels et à distribuer correctement les
informations aux parties autorisées. L'audit informatique vise à évaluer les éléments suivants :

Les systèmes informatiques de l'organisation seront-ils disponibles pour l'entreprise en tout temps lorsque cela sera nécessaire ? (connu sous le nom de disponibilité) Les renseignements contenus dans les
systèmes ne seront-ils divulgués qu'aux utilisateurs autorisés ? (connue sous le nom de sécurité et de confidentialité) Les renseignements fournis par le système seront-ils toujours exacts, fiables et
opportuns ? (mesure l'intégrité) De cette façon, l'audit espère évaluer le risque pour l'actif précieux de l'entreprise (ses informations) et établir des méthodes pour les minimiser

Risques.

L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des preuves - dans un
contexte prédéfini - dans le domaine des litiges et/ou des irrégularités juridiques/financières (y compris la fraude) et de donner des conseils préventifs.

L'objectif d'un audit judiciaire est d'utiliser des procédures comptables pour recueillir des preuves en vue de la poursuite ou de l'enquête sur des crimes financiers
tels que le vol ou la fraude. Des vérifications judiciaires peuvent être effectuées pour déterminer si des actes répréhensibles ont été commis ou pour recueillir des
documents pour l'affaire contre un criminel présumé.
Les réponses suivantes sont incorrectes :

Audit de conformité - Un audit de conformité est un examen complet du respect par une organisation des directives réglementaires. Des consultants indépendants
en comptabilité, en sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les
contrôles d'accès des utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques
des contrôles pour démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais
peuvent se concentrer sur un système ou des données particuliers.
Audit financier- Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une
opinion d'audit. L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs
aspects significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit judiciaire - L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des
preuves - dans un contexte prédéfini - dans le domaine des litiges et / ou des irrégularités juridiques / financières (y compris la fraude) et de donner des conseils
préventifs. Manuel d'examen de la CISA 2014 Page numéro 44 http://searchcompliance.techtarget.com/definition/compliance-audit
http://en.wikipedia.org/wiki/Financial_audit http://en.wikipedia.org/wiki/Operational_auditing http://en.wikipedia.org/wiki/Information_technology_audit
http://www.investorwords.com/16445/forensic_audit.html

QUESTION 18
Lequel des audits suivants se concentre principalement sur la découverte et la divulgation de fraudes et de crimes ?

Un. Audit de conformité

B. Audit financier
C. intégrée
D. Audit judiciaire

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des
données afin d'obtenir des faits et/ou des preuves - dans un contexte prédéfini - dans le domaine des litiges et / ou des irrégularités juridiques / financières (y
compris la fraude) et de donner des conseils préventifs

Pour votre examen, vous devez connaître ci-dessous les informations sur les différents types d'audit :

Qu'est-ce qu'un audit ?

En termes généraux, un audit est un processus d'évaluation des comptes d'un individu ou d'une organisation. Cela est généralement fait par un organisme
d'audit indépendant. Ainsi, l'audit implique qu'une personne compétente et indépendante obtienne des éléments probants et les évalue objectivement à l'égard
d'une entité donnée, qui fait l'objet d'un audit en l'espèce, afin d'établir la conformité à un ensemble donné de normes. L'audit peut porter sur une personne, une
organisation, un système, une entreprise, un projet ou un produit.
Audit de conformité
Un audit de conformité est un examen complet du respect des directives réglementaires par une organisation. Des consultants indépendants en comptabilité, en
sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les contrôles d'accès des
utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques des contrôles pour
démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais peuvent se concentrer sur
un système ou des données particuliers.
Ce qui est examiné précisément dans un audit de conformité variera selon qu'une organisation est une entreprise publique ou privée, le type de données qu'elle
traite et si elle transmet ou stocke des données financières sensibles. Par exemple, les exigences SOX signifient que toute communication électronique doit être
sauvegardée et sécurisée par une infrastructure de reprise après sinistre raisonnable. Les prestataires de soins de santé qui stockent ou transmettent des dossiers
de santé en ligne, comme des informations de santé personnelles, sont soumis aux exigences de la loi HIPAA. Les sociétés de services financiers qui transmettent
des données de carte de crédit sont soumises aux exigences de la norme PCI DSS. Dans chaque cas, l'organisation doit être en mesure de démontrer la conformité
en produisant une piste d'audit, souvent générée par les données d'un logiciel de gestion des journaux d'événements.
Audit financier
Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une opinion d'audit.
L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects
significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit opérationnel L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'un

Audit interne.

L'Institute of Internal Auditor (IIA) définit l'audit opérationnel comme un processus systématique d'évaluation de l'efficacité, de l'efficience et de l'économie d'une
organisation des opérations sous le contrôle de la direction et de la communication aux personnes appropriées des résultats de l'évaluation ainsi que des
recommandations d'amélioration.
Objectifs

Évaluer l'efficacité et l'efficience d'une division, d'une activité ou d'un fonctionnement de l'entité dans l'atteinte des objectifs organisationnels.
Comprendre les responsabilités et les risques auxquels une organisation est confrontée. Identifier, avec la participation de la direction, les possibilités d'améliorer
la haute direction de l'organisation ayant une compréhension détaillée des opérations.

le contrôle. Pour fournir des audits intégrés Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également effectuée
pour évaluer les objectifs globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Audit des SI Un audit des technologies de l'information, ou audit des systèmes d'information, est un examen des contrôles de gestion au sein d'une infrastructure de
technologie de l'information (TI). L'évaluation des preuves obtenues permet de déterminer si les systèmes d'information protègent les actifs, maintiennent l'intégrité
des données et fonctionnent efficacement pour atteindre les buts ou objectifs de l'organisation. Ces examens peuvent être effectués conjointement avec une
vérification des états financiers, une vérification interne ou une autre forme de mission d'attestation.

Les principales fonctions d'un audit informatique sont d'évaluer les systèmes en place pour protéger les informations d'une organisation. Plus précisément, les audits
des technologies de l'information sont utilisés pour évaluer la capacité de l'organisation à protéger ses actifs informationnels et à distribuer correctement les
informations aux parties autorisées. L'audit informatique vise à évaluer les éléments suivants :

Les systèmes informatiques de l'organisation seront-ils disponibles pour l'entreprise en tout temps lorsque cela sera nécessaire ? (connu sous le nom de disponibilité) Les renseignements contenus dans les
systèmes ne seront-ils divulgués qu'aux utilisateurs autorisés ? (connue sous le nom de sécurité et de confidentialité) Les renseignements fournis par le système seront-ils toujours exacts, fiables et
opportuns ? (mesure l'intégrité) De cette façon, l'audit espère évaluer le risque pour l'actif précieux de l'entreprise (ses informations) et établir des méthodes pour les minimiser

Risques.

L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des preuves - dans un
contexte prédéfini - dans le domaine des litiges et/ou des irrégularités juridiques/financières (y compris la fraude) et de donner des conseils préventifs.

L'objectif d'un audit judiciaire est d'utiliser des procédures comptables pour recueillir des preuves en vue de la poursuite ou de l'enquête sur des crimes financiers
tels que le vol ou la fraude. Des vérifications judiciaires peuvent être effectuées pour déterminer si des actes répréhensibles ont été commis ou pour recueillir des
documents pour l'affaire contre un criminel présumé.
Les réponses suivantes sont incorrectes :

Audit de conformité - Un audit de conformité est un examen complet du respect par une organisation des directives réglementaires. Des consultants indépendants
en comptabilité, en sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les
contrôles d'accès des utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques
des contrôles pour démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces audits chevauchent souvent les audits traditionnels, mais
peuvent se concentrer sur un système ou des données particuliers.
Audit financier- Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer
une opinion d'audit. L'opinion d'audit vise à :

fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs aspects significatifs, et/ou donnent une
image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et indépendant des états financiers, ce qui
augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs dans les états financiers, réduit le risque
pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audits intégrés - Un audit intégré combine les étapes de l'audit financier et opérationnel. Une vérification intégrée est également effectuée pour évaluer les objectifs
globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Manuel d'examen de la CISA 2014 Page numéro 44

http://searchcompliance.techtarget.com/definition/compliance-audit http://en.wikipedia.org/wiki/Financial_audit
http://en.wikipedia.org/wiki/Operational_auditing http://en.wikipedia.org/wiki/Information_technology_audit
http://www.investorwords.com/16445/forensic_audit.html

QUESTION 19
Lequel des risques d'audit suivants est lié à l'exposition d'un processus ou d'une entité à auditer sans tenir compte du contrôle mis en œuvre par la
direction ?

Un. Risque inhérent au

contrôle des risques
B.
C. Risque de détection
D. Risque global de l'audit

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du risque inhérent au système d'information est le niveau de risque ou l'exposition d'un processus ou d'une entité à auditer sans tenir
compte du contrôle que la direction a mis en œuvre. Le risque inhérent existe indépendamment d'une vérification et peut survenir en raison de la nature de
l'entreprise.

Pour votre examen, vous devez connaître les informations ci-dessous sur le risque d'audit :

Le risque d'audit (également appelé risque résiduel) désigne le risque qu'un auditeur émette un rapport sans réserve en raison de son incapacité à détecter des
anomalies significatives dues à une erreur ou à une fraude. Ce risque est composé du risque inhérent (RI), du risque de contrôle (CR) et du risque de détection
(DR), et peut être calculé comme suit :
AR = IR × CR × DR

Risque inhérent

Les auditeurs doivent déterminer les risques lorsqu'ils travaillent avec des clients. Un type de risque à connaître est le risque inhérent. Lorsque vous évaluez ce
niveau de risque, vous ne savez pas si le client a mis en place des contrôles internes (comme un examen secondaire des états financiers) afin d'atténuer le risque
inhérent. Vous tenez compte de la force des contrôles internes lorsque vous évaluez le risque de contrôle du client. Votre travail lors de l'évaluation du risque
inhérent consiste à évaluer dans quelle mesure les affirmations des états financiers sont susceptibles d'entraîner des anomalies significatives compte tenu de la
nature de l'information du client.
affaire. Quelques facteurs clés peuvent augmenter le risque inhérent.

Environnement et facteurs externes : Voici quelques exemples de facteurs environnementaux et externes qui peuvent entraîner un risque inhérent élevé :

Changement rapide : Une entreprise dont les stocks deviennent obsolètes court rapidement un risque inhérent élevé. Brevets expirants : Toute entreprise de
l'industrie pharmaceutique a également un environnement intrinsèquement risqué et des facteurs externes. Les brevets de médicaments finissent par expirer,
ce qui signifie que la société fait face à la concurrence d'autres fabricants commercialisant le même médicament sous une étiquette générique.
État de l'économie : Le niveau général de croissance économique est un autre facteur externe affectant toutes les entreprises. Disponibilité du financement : Un autre facteur externe est les
taux d'intérêt et la disponibilité du financement associé. Si votre client a de la difficulté à faire ses paiements en espèces à court terme, les prêts disponibles à faible taux d'intérêt peuvent faire la
différence entre le fait que votre client reste en affaires ou qu'il doive fermer ses portes. Anomalies de la période antérieure : si une entreprise a commis des erreurs, regroupez les anomalies de
Dans les années précédentes qui n'étaient pas significatives (c'est-à-dire qu'elles n'étaient pas assez importantes pour devoir être modifiées), ces erreurs existent toujours dans les états financiers. Vous devez
la période antérieure avec les anomalies de l'année en cours pour voir si vous devez demander au client d'ajuster le compte pour l'anomalie totale.

Vous pensez peut-être qu'une sous-estimation d'une année compense une surestimation d'une autre année. En audit, cette hypothèse n'est pas vraie. Disons que
vous travaillez dans une caisse enregistreuse et qu'un soir, il vous manque 20 $. La semaine suivante, vous avez en quelque sorte gagné 20 $ de plus que mon
nombre de tirages. Les différences de 20 $ sont additionnées pour représenter le montant total de vos erreurs, qui est de 40 $ et non de zéro. Zéro indiquerait
qu'aucune erreur n'a été commise.
Vulnérabilité au vol ou à la fraude : Si un certain actif est susceptible d'être volé ou frauduleux, le niveau du compte ou du solde peut être considéré comme
intrinsèquement risqué. Par exemple, si un client a beaucoup de clients qui paient en espèces, le compte de trésorerie du bilan présentera un risque de vol ou de
fraude en raison du fait que l'argent liquide est plus facilement détourné que les chèques des clients ou les paiements par carte de crédit.

En examinant les statistiques de l'industrie relatives au vol d'inventaire, vous pouvez également décider de considérer le compte d'inventaire comme intrinsèquement
risqué. Les petits articles en stock peuvent encore augmenter le risque que l'évaluation de ce compte soit incorrecte car ces articles sont plus faciles à dissimuler (et
donc plus faciles à voler).
Le risque de contrôle a été défini comme suit dans les normes internationales d'audit (ISA) :

Le risque qu'une anomalie qui pourrait se produire dans une assertion concernant une catégorie d'opérations, de solde de compte ou d'informations à fournir
et qui pourrait être significative, individuellement ou lorsqu'elle est agrégée à d'autres anomalies, ne soit pas évitée, ou détectée et corrigée, en temps
opportun par le contrôle interne de l'entité.
En termes simples, le risque de contrôle est la probabilité qu'une anomalie significative existe dans une assertion parce que cette anomalie n'a pas été empêchée
d'entrer dans les informations financières de l'entité ou qu'elle n'a pas été détectée et corrigée par le système de contrôle interne de l'entité.

Il incombe à la direction et aux responsables de la gouvernance de mettre en œuvre le système de contrôle interne et de le maintenir de manière appropriée, ce
qui inclut la gestion des risques liés au contrôle.

Il peut y avoir de nombreuses raisons pour lesquelles le risque de contrôle survient et pourquoi il ne peut pas être éliminé absolument. Mais certains d'entre eux sont les suivants :

Contraintes coûts-avantages Contournement

des contrôles Conception inappropriée des
contrôles Application inappropriée des
contrôles Manque d'environnement de contrôle
et de responsabilisation Situations nouvelles
Contrôles obsolètes Séparation inappropriée
des tâches

Détection Risque Le risque de détection est le risque que les auditeurs ne parviennent pas à détecter une anomalie significative dans les états financiers.
L'auditeur doit appliquer des procédures d'audit pour détecter les anomalies significatives dans les états financiers, qu'elles soient dues à une fraude ou à une
erreur. Une mauvaise application ou une omission de procédures d'audit critiques peut faire en sorte qu'une anomalie significative ne soit pas détectée par
l'auditeur. Un certain risque de détection est toujours présent en raison des limites inhérentes à l'audit, comme l'utilisation de l'échantillonnage pour la sélection
des transactions. Les auditeurs peuvent réduire le risque de détection en augmentant le nombre de transactions échantillonnées pour des tests détaillés.

Risque de contrôle - Risque d'erreur importante qui ne serait pas évitée ou détectée en temps opportun par le système de contrôle interne.

Risque de détection - Le risque que des erreurs ou des anomalies significatives qui se sont produites ne soient pas détectées par un auditeur SI.
Risque global de l'audit - La probabilité que l'information ou le rapport financier contienne des erreurs importantes et que l'auditeur ne détecte pas une erreur qui s'est
produite. L'un des objectifs de la formulation de la méthode de vérification est de limiter le risque de vérification dans le secteur sous sécurité afin que le risque global
de vérification soit à un niveau suffisamment faible à la fin de l'examen.
Manuel d'examen de la CISA 2014, page numéro 50 http://en.wikipedia.org/wiki/Audit_risk
http://www.dummies.com/how-to/content/how-to-assess-inherent-risk-in-an-audit.html http://pakaccountants.com/what-is-control-risk/
http://accounting-simplified.com/audit/risk-assessment/audit-risk.html

QUESTION 20
Parmi les risques d'audit suivants, lesquels sont liés à des erreurs importantes et qui ne seraient pas évités ou détectés en temps opportun par le système de contrôles internes ?

Un. Risque inhérent au

contrôle des risques
B.
C. Risque de détection
D. Risque global de l'audit

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus de vérification du système d'information Le risque qu'il existe une erreur importante qui ne serait pas évitée ou détectée en temps
opportun par le système de contrôle interne. Par exemple, le risque de contrôle associé à l'examen manuel peut être élevé parce que les activités
nécessitant une enquête sont souvent facilement manquées en raison du volume d'informations enregistrées.

Pour votre examen, vous devez connaître les informations ci-dessous sur le risque d'audit :

Le risque d'audit (également appelé risque résiduel) désigne le risque qu'un auditeur émette un rapport sans réserve en raison de son incapacité à détecter des
anomalies significatives dues à une erreur ou à une fraude. Ce risque est composé du risque inhérent (RI), du risque de contrôle (CR) et du risque de détection
(DR), et peut être calculé comme suit :
AR = IR × CR × DR

Risque inhérent

Les auditeurs doivent déterminer les risques lorsqu'ils travaillent avec des clients. Un type de risque à connaître est le risque inhérent. Lorsque vous évaluez ce
niveau de risque, vous ne savez pas si le client a mis en place des contrôles internes (comme un examen secondaire des états financiers) afin d'atténuer le risque
inhérent. Vous tenez compte de la force des contrôles internes lorsque vous évaluez le risque de contrôle du client. Votre travail lors de l'évaluation du risque
inhérent consiste à évaluer dans quelle mesure les affirmations des états financiers sont susceptibles d'entraîner des anomalies significatives compte tenu de la
nature de l'entreprise du client. Quelques facteurs clés peuvent augmenter le risque inhérent.
Environnement et facteurs externes : Voici quelques exemples de facteurs environnementaux et externes qui peuvent entraîner un risque inhérent élevé :

Changement rapide : Une entreprise dont les stocks deviennent obsolètes court rapidement un risque inhérent élevé. Brevets expirants : Toute entreprise de
l'industrie pharmaceutique a également un environnement intrinsèquement risqué et des facteurs externes. Les brevets de médicaments finissent par expirer,
ce qui signifie que la société fait face à la concurrence d'autres fabricants commercialisant le même médicament sous une étiquette générique.
État de l'économie : Le niveau général de croissance économique est un autre facteur externe affectant toutes les entreprises. Disponibilité du financement : Un autre facteur externe
est les taux d'intérêt et la disponibilité du financement associé. Si votre client a de la difficulté à faire ses paiements en espèces à court terme, les prêts disponibles à faible taux d'intérêt
peuvent faire la différence entre le fait que votre client reste en affaires ou qu'il doive fermer ses portes. Inexactitudes sur les périodes antérieures : Si une entreprise a commis des
erreurs au cours d'exercices antérieurs qui n'étaient pas significatives (c'est-à-dire qu'elles n'étaient pas assez importantes pour devoir être modifiées), ces erreurs existent toujours
Regrouper les anomalies de la période précédente avec les anomalies de l'année en cours pour voir si vous devez demander au client d'ajuster le compte pour tenir compte de l'anomalie totale.
dans les états financiers. Vous devez penser qu'un euphémisme dans une année compense une surestimation dans une autre année. En audit, cette hypothèse n'est pas vraie. Disons
que vous travaillez dans une caisse enregistreuse et qu'un soir, il vous manque 20 $. La semaine suivante, vous avez en quelque sorte gagné 20 $ de plus que mon nombre de tirages.
Les différences de 20 $ sont additionnées pour représenter le montant total de vos erreurs, qui est de 40 $ et non de zéro. Zéro indiquerait qu'aucune erreur n'a été commise.

Vulnérabilité au vol ou à la fraude : Si un certain actif est susceptible d'être volé ou frauduleux, le niveau du compte ou du solde peut être considéré comme
intrinsèquement risqué. Par exemple, si un client a beaucoup de clients qui paient en espèces, le compte de trésorerie du bilan présentera un risque de vol ou de
fraude en raison du fait que l'argent liquide est plus facilement détourné que les chèques des clients ou les paiements par carte de crédit.

En examinant les statistiques de l'industrie relatives au vol d'inventaire, vous pouvez également décider de considérer le compte d'inventaire comme intrinsèquement
risqué. Les petits articles en stock peuvent encore augmenter le risque que l'évaluation de ce compte soit incorrecte car ces articles sont plus faciles à dissimuler (et
donc plus faciles à voler).
Le risque de contrôle a été défini comme suit dans les normes internationales d'audit (ISA) :

Le risque qu'une anomalie qui pourrait se produire dans une assertion concernant une catégorie d'opérations, de solde de compte ou d'informations à fournir
et qui pourrait être significative, individuellement ou lorsqu'elle est agrégée à d'autres anomalies, ne soit pas évitée, ou détectée et corrigée, en temps
opportun par le contrôle interne de l'entité.
En termes simples, le risque de contrôle est la probabilité qu'une anomalie significative existe dans une assertion parce que cette anomalie n'a pas été empêchée
d'entrer dans les informations financières de l'entité ou qu'elle n'a pas été détectée et corrigée par le système de contrôle interne de l'entité.

Il incombe à la direction et aux responsables de la gouvernance de mettre en œuvre le système de contrôle interne et de le maintenir de manière appropriée, ce
qui inclut la gestion des risques liés au contrôle.

Il peut y avoir de nombreuses raisons pour lesquelles le risque de contrôle survient et pourquoi il ne peut pas être éliminé absolument. Mais certains d'entre eux sont les suivants :

Contraintes coûts-avantages
Contournement des contrôles
Conception inappropriée des
contrôles Application inappropriée
des contrôles
Manque d'environnement de contrôle et de
responsabilisation Situations nouvelles
Contrôles désuets Séparation inappropriée des
tâches

Détection Risque Le risque de détection est le risque que les auditeurs ne parviennent pas à détecter une anomalie significative dans les états financiers.
L'auditeur doit appliquer des procédures d'audit pour détecter les anomalies significatives dans les états financiers, qu'elles soient dues à une fraude ou à une
erreur. Une mauvaise application ou une omission de procédures d'audit critiques peut faire en sorte qu'une anomalie significative ne soit pas détectée par
l'auditeur. Un certain risque de détection est toujours présent en raison des limites inhérentes à l'audit, comme l'utilisation de l'échantillonnage pour la sélection
des transactions. Les auditeurs peuvent réduire le risque de détection en augmentant le nombre de transactions échantillonnées pour des tests détaillés.

Les réponses suivantes sont incorrectes :

Risque inhérent - Il s'agit du niveau de risque ou de l'exposition d'un processus ou d'une entité à auditer sans tenir compte du contrôle mis en œuvre par la direction.

Risque de détection - Le risque que des erreurs ou des anomalies significatives qui se sont produites ne soient pas détectées par un auditeur SI.
Risque global de l'audit - La probabilité que l'information ou le rapport financier contienne des erreurs importantes et que l'auditeur ne détecte pas une erreur qui s'est
produite. L'un des objectifs de la formulation de la méthode de vérification est de limiter le risque de vérification dans le secteur sous sécurité afin que le risque global
de vérification soit à un niveau suffisamment faible à la fin de l'examen.
Manuel d'examen de la CISA 2014, page numéro 50 http://en.wikipedia.org/wiki/Audit_risk
http://www.dummies.com/how-to/content/how-to-assess-inherent-risk-in-an-audit.html http://pakaccountants.com/what-is-control-risk/
http://accounting-simplified.com/audit/risk-assessment/audit-risk.html

QUESTION 21
Lequel des risques d'audit suivants est lié à des erreurs ou des anomalies significatives qui se sont produites et qui ne seront pas détectées par un auditeur du SI ?

Un. Risque inhérent au

contrôle des risques
B.
C. Risque de détection
D. Risque global de l'audit

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le risque que les erreurs ou inexactitudes significatives qui se sont produites ne soient pas détectées par un
auditeur SI. Le risque de détection est le risque que les auditeurs ne parviennent pas à détecter une anomalie significative dans les états financiers. L'auditeur doit
appliquer des procédures d'audit pour détecter les anomalies significatives dans les états financiers, qu'elles soient dues à une fraude ou à une erreur. Une mauvaise
application ou une omission de procédures d'audit critiques peut faire en sorte qu'une anomalie significative ne soit pas détectée par l'auditeur. Un certain risque de
détection est toujours présent en raison des limites inhérentes à l'audit, comme l'utilisation de l'échantillonnage pour la sélection des transactions. Le risque de
détection peut être réduit par
en augmentant le nombre de transactions échantillonnées pour des tests détaillés.

Pour votre examen, vous devez connaître les informations ci-dessous sur le risque d'audit :

Le risque d'audit (également appelé risque résiduel) désigne le risque qu'un auditeur émette un rapport sans réserve en raison de son incapacité à détecter des
anomalies significatives dues à une erreur ou à une fraude. Ce risque est composé du risque inhérent (RI), du risque de contrôle (CR) et du risque de détection
(DR), et peut être calculé comme suit :
AR = IR × CR × DR

Les auditeurs doivent déterminer les risques lorsqu'ils travaillent avec des clients. Un type de risque à connaître est le risque inhérent. Lorsque vous évaluez ce
niveau de risque, vous ne savez pas si le client a mis en place des contrôles internes (comme un examen secondaire des états financiers) afin d'atténuer le risque
inhérent. Vous tenez compte de la force des contrôles internes lorsque vous évaluez le risque de contrôle du client. Votre travail lors de l'évaluation du risque
inhérent consiste à évaluer dans quelle mesure les affirmations des états financiers sont susceptibles d'entraîner des anomalies significatives compte tenu de la
nature de l'entreprise du client. Quelques facteurs clés peuvent augmenter le risque inhérent.

Environnement et facteurs externes : Voici quelques exemples de facteurs environnementaux et externes qui peuvent entraîner un risque inhérent élevé :

Changement rapide : Une entreprise dont les stocks deviennent obsolètes court rapidement un risque inhérent élevé. Brevets expirants : Toute entreprise de
l'industrie pharmaceutique a également un environnement intrinsèquement risqué et des facteurs externes. Les brevets de médicaments finissent par expirer,
ce qui signifie que la société fait face à la concurrence d'autres fabricants commercialisant le même médicament sous une étiquette générique.
État de l'économie : Le niveau général de croissance économique est un autre facteur externe affectant toutes les entreprises. Disponibilité du financement : Un autre facteur externe est que les
les taux d'intérêt et la disponibilité du financement associé. Si votre client a de la difficulté à honorer ses paiements en espèces à court terme, les prêts disponibles à faible taux d'intérêt
taux peuvent faire la différence entre le fait que votre client reste en affaires ou qu'il doive fermer ses portes. Inexactitudes sur les périodes antérieures : Si une entreprise a commis des erreurs au
cours d'exercices antérieurs qui n'étaient pas significatives (c'est-à-dire qu'elles n'étaient pas assez importantes pour devoir être modifiées), ces erreurs existent toujours dans les états financiers.
Vous devez agréger les anomalies de la période antérieure avec les anomalies de l'année en cours pour voir si vous devez demander au client d'ajuster le compte pour l'anomalie totale.

Vous pensez peut-être qu'une sous-estimation d'une année compense une surestimation d'une autre année. En audit, cette hypothèse n'est pas vraie. Disons que
vous travaillez dans une caisse enregistreuse et qu'un soir, il vous manque 20 $. La semaine suivante, vous avez en quelque sorte gagné 20 $ de plus que mon
nombre de tirages. Les différences de 20 $ sont additionnées pour représenter le montant total de vos erreurs, qui est de 40 $ et non de zéro. Zéro indiquerait
qu'aucune erreur n'a été commise.
Vulnérabilité au vol ou à la fraude : Si un certain actif est susceptible d'être volé ou frauduleux, le niveau du compte ou du solde peut être considéré comme
intrinsèquement risqué. Par exemple, si un client a beaucoup de clients qui paient en espèces, le compte de trésorerie du bilan présentera un risque de vol ou de
fraude en raison du fait que l'argent liquide est plus facilement détourné que les chèques des clients ou les paiements par carte de crédit.

En examinant les statistiques de l'industrie relatives au vol d'inventaire, vous pouvez également décider de considérer le compte d'inventaire comme intrinsèquement
risqué. Les petits articles en stock peuvent encore augmenter le risque que l'évaluation de ce compte soit incorrecte car ces articles sont plus faciles à dissimuler (et
donc plus faciles à voler).
Maîtriser les risques

Le risque de contrôle a été défini comme suit dans les normes internationales d'audit (ISA) :

Le risque qu'une anomalie qui pourrait se produire dans une assertion concernant une catégorie d'opérations, de solde de compte ou d'informations à fournir
et qui pourrait être significative, individuellement ou lorsqu'elle est agrégée à d'autres anomalies, ne soit pas évitée, ou détectée et corrigée, en temps
opportun par le contrôle interne de l'entité.
En termes simples, le risque de contrôle est la probabilité qu'une anomalie significative existe dans une assertion parce que cette anomalie n'a pas été empêchée
d'entrer dans l'information financière de l'entité ou qu'elle n'a pas été détectée ;

corrigé par le système de contrôle interne de l'entité.

Il incombe à la direction et aux responsables de la gouvernance de mettre en œuvre le système de contrôle interne et de le maintenir de manière appropriée, ce
qui inclut la gestion des risques liés au contrôle.

Il peut y avoir de nombreuses raisons pour lesquelles le risque de contrôle survient et pourquoi il ne peut pas être éliminé absolument. Mais certains d'entre eux sont les suivants :

Contraintes coûts-avantages Contournement

des contrôles Conception inappropriée des
contrôles Application inappropriée des
contrôles Manque d'environnement de contrôle
et de responsabilisation Situations nouvelles
Contrôles obsolètes Séparation inappropriée
des tâches

Détection Risque Le risque de détection est le risque que les auditeurs ne parviennent pas à détecter une anomalie significative dans les états financiers.
L'auditeur doit appliquer des procédures d'audit pour détecter les anomalies significatives dans les états financiers, qu'elles soient dues à une fraude ou à une
erreur. Une mauvaise application ou une omission de procédures d'audit critiques peut faire en sorte qu'une anomalie significative ne soit pas détectée par
l'auditeur. Un certain risque de détection est toujours présent en raison des limites inhérentes à l'audit, comme l'utilisation de l'échantillonnage pour la sélection
des transactions. Les auditeurs peuvent réduire le risque de détection en augmentant le nombre de transactions échantillonnées pour des tests détaillés.

Les réponses suivantes sont incorrectes :

Risque inhérent - Il s'agit du niveau de risque ou de l'exposition d'un processus ou d'une entité à auditer sans tenir compte du contrôle mis en œuvre par la direction.

Risque de contrôle - Risque d'erreur importante qui ne serait pas évitée ou détectée en temps opportun par le système de contrôle interne.

Risque global de l'audit - La probabilité que l'information ou le rapport financier contienne des erreurs importantes et que l'auditeur ne détecte pas une erreur qui s'est
produite. L'un des objectifs de la formulation de la méthode de vérification est de limiter le risque de vérification dans le secteur sous sécurité afin que le risque global
de vérification soit à un niveau suffisamment faible à la fin de l'examen.
Manuel d'examen de la CISA 2014, page numéro 50 http://en.wikipedia.org/wiki/Audit_risk
http://www.dummies.com/how-to/content/how-to-assess-inherent-risk-in-an-audit.html http://pakaccountants.com/what-is-control-risk/
http://accounting-simplified.com/audit/risk-assessment/audit-risk.html

QUESTION 22
Lequel des énoncés suivants décrit INCORRECTEMENT l'approche d'autoévaluation des contrôles (ASC) ?

Un. CSA est un CSA axé sur les politiques ou les

B. règles CSA Employés habilités/responsables
C. L'ASC met l'accent sur l'amélioration continue et la courbe d'apprentissage
D. Dans la CSA, les états-majors à tous les niveaux, dans toutes les fonctions, sont les principaux analystes de contrôle.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le mot INCORRECTEMENT est le mot-clé utilisé dans la question. Vous devez trouver une
option qui décrit de manière incorrecte l'auto-évaluation des contrôles.

Pour votre examen, vous devez connaître les informations ci-dessous sur l'auto-évaluation du contrôle :

L'auto-évaluation des contrôles est une évaluation des contrôles effectués par le personnel et la direction de l'unité ou des unités concernées. Il s'agit d'une
technique de gestion qui assure aux parties prenantes, aux clients et aux autres parties que les contrôles internes de l'organisation sont fiables.

Avantages de l'ASC

Détection précoce des risques Contrôles internes plus efficaces et améliorés Création d'équipes cohésives grâce à la participation des employés
Développement d'un sentiment d'appropriation des contrôles chez les employés et les responsables des processus, et réduction de leur résistance aux
initiatives d'amélioration des contrôles Sensibilisation accrue des employés aux objectifs organisationnels et connaissance des risques et des contrôles
internes Employés très motivés Amélioration du processus de formation à l'audit Réduction des coûts de contrôle Assurance fournie aux parties
prenantes et clients

Attributs traditionnels et CSA

ASC historique traditionnelle
Attribuer des tâches/superviser le personnel Employés responsabilisés/responsables Axé sur les politiques/règles Amélioration continue/courbe d'apprentissage
Participation limitée des employés Participation et formation étendues des employés Accent restreint sur les parties prenantes Accent général sur les parties
prenantes Auditeurs et autres spécialistes Le personnel à tous les niveaux, dans toutes les fonctions, est le principal analyste du contrôle

Les réponses suivantes sont incorrectes :

Les autres options spécifiées sont correctement décrites sur

CSA. Manuel d'examen de la CISA 2014, pages 61, 62 et 63

QUESTION 23
Lequel des énoncés suivants décrit INCORRECTEMENT l'approche d'audit traditionnelle par rapport à l'approche d'autoévaluation des contrôles ?

A. Dans l'approche traditionnelle, les états-majors à tous les niveaux, dans toutes les fonctions, sont le principal analyste du contrôle.
B. Approche traditionnelle : attribution des tâches/supervision du personnel
C. traditionnelle est une approche axée sur les politiques
D. L'approche traditionnelle exige une participation limitée des employés.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le mot-clé INCORRECT est utilisé dans la question. Vous devez trouver une
option qui décrit de manière incorrecte l'approche traditionnelle.

Pour votre examen, vous devez connaître les informations ci-dessous sur l'auto-évaluation du contrôle et l'approche traditionnelle :

L'approche traditionnelle peut être résumée comme toute approche dans laquelle la responsabilité principale de l'analyse et de la communication de
l'information sur le contrôle interne et les risques est confiée à l'auditeur et, dans une moindre mesure, au service de contrôle et aux consultants externes.

L'auto-évaluation des contrôles est une évaluation des contrôles effectués par le personnel et la direction de l'unité ou des unités concernées. Il s'agit d'une
technique de gestion qui assure aux parties prenantes, aux clients et aux autres parties que les contrôles internes de l'organisation sont fiables.

Avantages de l'ASC

Détection précoce des risques Contrôles internes plus efficaces et améliorés Création d'équipes cohésives grâce à la participation des employés
Développement d'un sentiment d'appropriation des contrôles chez les employés et les responsables des processus, et réduction de leur résistance aux
initiatives d'amélioration des contrôles Sensibilisation accrue des employés aux objectifs organisationnels et connaissance des risques et des contrôles
internes Employés très motivés Amélioration du processus de formation à l'audit Réduction des coûts de contrôle Assurance fournie aux parties
prenantes et clients

Attributs traditionnels et CSA Historique traditionnel CSA Attribuer des tâches/superviser le personnel Employés
responsabilisés/responsables Axé sur les politiques/règles Amélioration continue/courbe d'apprentissage Participation limitée des
employés Participation et formation étendues des employés Accent restreint sur les parties prenantes Accent général sur les parties
prenantes Auditeurs et autres spécialistes Le personnel à tous les niveaux, dans toutes les fonctions, est le principal analyste du
contrôle

Les réponses suivantes sont incorrectes :

Les autres options spécifiées sont correctement décrites par rapport à

l'approche traditionnelle. Manuel d'examen de la CISA 2014, pages 61, 62 et
63
QUESTION 24
Lequel des éléments suivants est l'avantage le plus important de l'autoévaluation des contrôles (ASE) ?

A. L'ASC est une politique ou une règle

B. Dans l'approche CSA, le risque est identifié plus tôt
C. L'ASC exige une participation limitée des employés
D. Dans l'ASC, les ressources sont utilisées de manière efficace.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'auto-évaluation du contrôle du système d'information est une évaluation des contrôles effectués par le personnel et la direction au sein de
l'unité ou des unités concernées. Il s'agit d'une technique de gestion qui assure aux parties prenantes, aux clients et aux autres parties que les contrôles internes de
l'organisation sont fiables. L'approche CSA nécessite un grand nombre d'employés

participations et formations. Cela aidera les employés à mieux comprendre les risques commerciaux. Cela assurera la détection du risque en temps opportun.

Pour votre examen, vous devez connaître les informations ci-dessous sur l'auto-évaluation du contrôle :

Avantages de la CSA Détection précoce des risques Contrôles internes plus efficaces et améliorés Création d'équipes cohésives grâce à la participation
des employés Développement d'un sentiment d'appropriation des contrôles chez les employés et les responsables des processus, et réduction de leur
résistance aux initiatives d'amélioration des contrôles Sensibilisation accrue des employés aux objectifs organisationnels et connaissance des risques et
des contrôles internes Employés très motivés Amélioration du processus de formation à l'audit Réduction des coûts de contrôle Assurance fournie aux
parties prenantes et aux clients

Attributs traditionnels et CSA Historique traditionnel CSA Attribuer des tâches/superviser le personnel Employés
responsabilisés/responsables Axé sur les politiques/règles Amélioration continue/courbe d'apprentissage Participation limitée des
employés Participation et formation étendues des employés Accent restreint sur les parties prenantes Accent général sur les parties
prenantes Auditeurs et autres spécialistes Le personnel à tous les niveaux, dans toutes les fonctions, est le principal analyste du
contrôle

Les réponses suivantes sont

incorrectes : Les autres options spécifiées sont mal décrites sur
CSA. Manuel d'examen de la CISA 2014, pages 61, 62 et 63

QUESTION 25
Laquelle des procédures de test suivantes est utilisée par l'auditeur lors de l'audit comptable pour vérifier les erreurs dans le bilan et d'autres documents financiers ?

A. Tests de conformité
B. Tests de santé mentale
C. Essais de récupération
D. Tests de corroboration

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information
Procédure utilisée lors des audits comptables pour vérifier les erreurs dans les bilans et autres documents financiers. Un test de fond peut consister à vérifier les
erreurs dans un échantillon aléatoire d'opérations, à comparer les soldes des comptes pour trouver des écarts ou à analyser et examiner les procédures utilisées
pour exécuter et enregistrer les opérations.

Les tests de corroboration sont l'étape d'un audit au cours de laquelle l'auditeur recueille des éléments probants quant à l'étendue des inexactitudes dans les registres comptables
du client ou d'autres informations. Ces éléments probants sont appelés éléments probants de fond et constituent un facteur important pour déterminer l'opinion de l'auditeur sur
l'ensemble des états financiers. Les procédures d'audit utilisées pour recueillir ces éléments probants sont appelées procédures de corroboration, ou tests de corroboration.
Les procédures de corroboration (ou tests de corroboration) sont les activités effectuées par l'auditeur au cours de l'étape des tests de corroboration de l'audit qui
permettent de recueillir des éléments probants quant à l'exhaustivité, à la validité et/ou à l'exactitude des éléments suivants :

les soldes des comptes et les catégories d'opérations sous-jacentes.

Les soldes des comptes et les catégories d'opérations sous-jacentes ne doivent pas contenir d'anomalies significatives. Ils doivent être matériellement
complets, valides et exacts. Les auditeurs recueillent des éléments probants sur ces affirmations en mettant en œuvre des procédures de fond, qui peuvent
inclure :
Examiner physiquement les stocks à la date de solde comme preuve de l'existence réelle des stocks figurant dans les registres comptables (attestation de
validité) ; Demander aux fournisseurs de confirmer par écrit les détails du montant dû à la date du solde comme preuve que les comptes créditeurs sont
complets (attestation d'exhaustivité) ; et S'enquérir auprès de la direction de la possibilité de recouvrer les comptes des clients comme preuve que les
débiteurs commerciaux sont exacts quant à leur évaluation. La preuve qu'un solde de compte ou une catégorie d'opérations n'est pas complet, valide ou exact
constitue la preuve d'une anomalie substantielle.
Les réponses suivantes sont incorrectes :

Test de conformité - Le test de conformité est essentiellement un audit d'un système effectué par rapport à un critère connu.
Test d'intégrité - Test visant à déterminer si une nouvelle version du logiciel est suffisamment performante pour l'accepter pour un effort de test majeur. Si l'application se
bloque lors de la première utilisation, le système n'est pas suffisamment stable pour des tests supplémentaires et la build ou l'application est affectée à la correction.
Test de récupération Test de la capacité d'un système à se remettre d'une panne, d'une panne matérielle ou d'autres problèmes catastrophiques.
Manuel d'examen de la CISA 2014, pages 52 et 53,
http://www.businessdictionary.com/definition/compliance-test.html

QUESTION 26
Laquelle des procédures de test suivantes est utilisée par un auditeur pour vérifier si une entreprise respecte les règles et règlements applicables à une activité ou à une pratique ?

A. Tests de conformité
B. Tests de santé mentale
C. Essais de récupération
D. Tests de corroboration

Bonne réponse : A
Explication

Explication/Référence :
Section : Processus d'audit du système d'information Vérification entrepris pour confirmer si une entreprise respecte les règles et règlements (prescrits par son
autorité interne ou son système de contrôle) applicables à une activité ou à une pratique.

Les tests de conformité sont essentiellement un audit d'un système effectué par rapport à un critère connu. Un test de conformité peut prendre de nombreuses
formes différentes en fonction de la demande reçue, mais peut être divisé en plusieurs types différents :

Systèmes d'exploitation et applications : Une vérification qu'un système d'exploitation et/ou des applications sont configurés de manière appropriée aux besoins de
l'entreprise et aux exigences de verrouillage, fournissant ainsi des contrôles adéquats et robustes pour garantir que la confidentialité, l'intégrité et la disponibilité du
système ne seront pas affectées dans son fonctionnement quotidien normal.
Systèmes en développement : Vérification que le système prévu en cours de développement répond aux normes de configuration et de verrouillage demandées par le client.

Gestion de la TI et de l'architecture d'entreprise : Vérification que l'infrastructure de gestion de la TI en place englobant tous les aspects du soutien du système a été
mise en place. Il s'agit de s'assurer que des procédures efficaces de contrôle des changements, d'audit, de continuité des activités et de sécurité, etc. ont été
formulées, documentées et mises en place. Politique d'interconnexion : Une vérification que des contrôles de sécurité et de continuité des activités adéquats
régissant la connexion à d'autres systèmes, qu'il s'agisse de télécommunications, d'intranets, d'extranets et d'Internet, etc., ont été mis en place, ont été entièrement
documentés et correspondent aux exigences déclarées par les clients.

Les réponses suivantes sont incorrectes :

Tests de validation - Procédure utilisée lors des audits comptables pour vérifier les erreurs dans les bilans et autres documents financiers. Un test de fond peut
consister à vérifier les erreurs dans un échantillon aléatoire d'opérations, à comparer les soldes des comptes pour trouver des écarts ou à analyser et examiner les
procédures utilisées pour exécuter et enregistrer les opérations.

Test d'intégrité - Test visant à déterminer si une nouvelle version du logiciel est suffisamment performante pour l'accepter pour un effort de test majeur. Si
l'application se bloque lors de la première utilisation, le système n'est pas suffisamment stable pour des tests supplémentaires et la build ou l'application est
affectée à la correction.
Test de récupération Test de la capacité d'un système à se remettre d'une panne, d'une panne matérielle ou d'autres problèmes catastrophiques.
Manuel d'examen de la CISA 2014, pages 52 et 53
http://www.wikijob.co.uk/wiki/substantive-testing

QUESTION 27
Quels sont les différents types d'audits ?
A. Conformité, finances, opérations, juricomptabilité et intégration
B. Conformité, finances, opérations, G9 et intégration
C. finances, SA1, juricomptabilité et intégration
D. finances, opérations, criminalistique et capacités

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit de la conformité du système d'information, financier,
opérationnel, judiciaire et intégré sont différents types d'audit.

Pour votre examen, vous devez connaître les informations ci-dessous :

Qu'est-ce qu'un audit ?

En termes généraux, un audit est un processus d'évaluation des comptes d'un individu ou d'une organisation. Cela est généralement fait par un organisme
d'audit indépendant. Ainsi, l'audit implique qu'une personne compétente et indépendante obtienne des éléments probants et les évalue objectivement à l'égard
d'une entité donnée, qui fait l'objet d'un audit en l'espèce, afin d'établir la conformité à un ensemble donné de normes. L'audit peut porter sur une personne, une
organisation, un système, une entreprise, un projet ou un produit.
Audit de conformité Un audit de conformité est un examen complet du respect des directives réglementaires par une organisation. Des consultants indépendants en
comptabilité, en sécurité ou en informatique évaluent la force et la rigueur des préparatifs de conformité. Les auditeurs examinent les politiques de sécurité, les
contrôles d'accès des utilisateurs et les procédures de gestion des risques au cours d'un audit de conformité. L'audit de conformité comprend des tests spécifiques
des contrôles pour démontrer le respect d'une norme réglementaire ou industrielle spécifique. Ces vérifications chevauchent souvent les vérifications traditionnelles,
mais peuvent porter sur :

système ou données particulières.

Ce qui est examiné précisément dans un audit de conformité variera selon qu'une organisation est une entreprise publique ou privée, le type de données qu'elle
traite et si elle transmet ou stocke des données financières sensibles. Par exemple, les exigences SOX signifient que toute communication électronique doit être
sauvegardée et sécurisée par une infrastructure de reprise après sinistre raisonnable. Les prestataires de soins de santé qui stockent ou transmettent des dossiers
de santé en ligne, comme des informations de santé personnelles, sont soumis aux exigences de la loi HIPAA. Les sociétés de services financiers qui transmettent
des données de carte de crédit sont soumises aux exigences de la norme PCI DSS. Dans chaque cas, l'organisation doit être en mesure de démontrer la conformité
en produisant une piste d'audit, souvent générée par les données d'un logiciel de gestion des journaux d'événements.
Audit financier Un audit financier, ou plus précisément, un audit d'états financiers, est la vérification des états financiers d'une entité juridique, en vue d'exprimer une
opinion d'audit. L'opinion de l'auditeur vise à fournir une assurance raisonnable, mais non absolue, que les états financiers sont présentés fidèlement, dans tous leurs
aspects significatifs, et/ou donnent une image fidèle conformément au référentiel d'information financière. L'objectif d'un audit est de fournir un examen objectif et
indépendant des états financiers, ce qui augmente la valeur et la crédibilité des états financiers produits par la direction, augmente ainsi la confiance des utilisateurs
dans les états financiers, réduit le risque pour les investisseurs et, par conséquent, réduit le coût du capital du préparateur des états financiers.

Audit opérationnel L'audit opérationnel est un examen systématique de l'efficacité, de l'efficience et de l'économie d'exploitation. L'audit opérationnel est une
évaluation prospective, systématique et indépendante des activités organisationnelles. Dans le cadre de l'audit opérationnel, des données financières peuvent être
utilisées, mais les principales sources d'éléments probants sont les politiques opérationnelles et les réalisations liées aux objectifs organisationnels. L'audit
opérationnel est une forme plus complète d'audit interne.

L'Institute of Internal Auditor (IIA) définit l'audit opérationnel comme un processus systématique d'évaluation de l'efficacité, de l'efficience et de l'économie d'une
organisation des opérations sous le contrôle de la direction et de la communication aux personnes appropriées des résultats de l'évaluation ainsi que des
recommandations d'amélioration.
Objectifs Évaluer l'efficacité et l'efficience d'une division, d'une activité ou d'un fonctionnement de l'entité dans l'atteinte des
objectifs organisationnels.
Comprendre les responsabilités et les risques auxquels une organisation est confrontée. Identifier, avec la participation de la direction, les possibilités d'améliorer
le contrôle. Fournir à la haute direction de l'organisation une compréhension détaillée des opérations.

Audits intégrés Un audit intégré combine des étapes d'audit financier et opérationnel. Une vérification intégrée est également effectuée pour évaluer les objectifs
globaux d'une organisation, liés à l'information financière et aux actifs, à la protection, à l'efficacité ou aux vérificateurs internes.

Audit des SI Un audit des technologies de l'information, ou audit des systèmes d'information, est un examen des contrôles de gestion au sein d'une infrastructure de
technologie de l'information (TI). L'évaluation des preuves obtenues permet de déterminer si les systèmes d'information protègent les actifs, maintiennent l'intégrité
des données et fonctionnent efficacement pour atteindre les buts ou objectifs de l'organisation. Ces examens peuvent être effectués conjointement avec une
vérification des états financiers, une vérification interne ou une autre forme de mission d'attestation.

Les principales fonctions d'un audit informatique sont d'évaluer les systèmes en place pour protéger les informations d'une organisation. Plus précisément, les audits
des technologies de l'information sont utilisés pour évaluer la capacité de l'organisation à protéger ses actifs informationnels et à distribuer correctement les
informations aux parties autorisées. L'audit informatique vise à évaluer les éléments suivants :

Les systèmes informatiques de l'organisation seront-ils disponibles pour l'entreprise en tout temps lorsque cela sera nécessaire ? (connu sous le nom de
disponibilité) Les renseignements contenus dans les systèmes ne seront-ils divulgués qu'aux utilisateurs autorisés ? (connu sous le nom de sécurité et

Les renseignements fournis par le système seront-ils toujours exacts, fiables et opportuns ? (mesure l'intégrité) De cette façon, l'audit espère évaluer le risque pour
l'actif précieux de l'entreprise (ses informations) et établir des méthodes pour minimiser ces risques.

L'audit judiciaire est l'activité qui consiste à recueillir, vérifier, traiter, analyser et communiquer des données afin d'obtenir des faits et/ou des preuves - dans un
contexte prédéfini - dans le domaine des litiges et/ou des irrégularités juridiques/financières (y compris la fraude) et de donner des conseils préventifs.

L'objectif d'un audit judiciaire est d'utiliser des procédures comptables pour recueillir des preuves en vue de la poursuite ou de l'enquête sur des crimes financiers
tels que le vol ou la fraude. Des vérifications judiciaires peuvent être effectuées pour déterminer si des actes répréhensibles ont été commis ou pour recueillir des
documents pour l'affaire contre un criminel présumé.
Les réponses suivantes sont incorrectes : la conformité, les finances, les opérations, les enquêtes judiciaires et les audits intégrés sont
différents types d'audits. G9, SA1 et la capacité ne sont pas les types d'audit. Manuel d'examen de la CISA 2014 Page numéro 47
http://searchcompliance.techtarget.com/definition/compliance-audit http://en.wikipedia.org/wiki/Financial_audit
http://en.wikipedia.org/wiki/Operational_auditing http://en.wikipedia.org/wiki/Information_technology_audit
http://www.investorwords.com/16445/forensic_audit.html

QUESTION 28
L'échantillonnage statistique n'est PAS fondé sur laquelle des techniques d'échantillonnage de vérification suivantes ?

A. Échantillonnage aléatoire
B. Échantillonnage aléatoire
C. Échantillonnage des cellules
D. Échantillonnage à intervalle fixe

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Le mot-clé NOT est utilisé dans la question. Vous devez trouver une option qui n'est PAS un exemple
d'échantillonnage statistique. L'échantillonnage statistique n'est PAS basé sur un échantillonnage aléatoire.

Pour votre examen, vous devez connaître les informations ci-dessous

Les échantillons de vérification sont sélectionnés dans le but de recueillir des éléments probants représentatifs qui seront soumis à des tests de conformité ou à
des tests de corroboration. L'auditeur doit envisager une technique de sélection qui fournira les éléments probants les plus pertinents étayés par des procédures
analytiques appropriées. Deux types d'échantillons d'audit de base peuvent être conçus par l'auditeur pour répondre à ses exigences : statistiques et non
statistiques. La figure ci-dessous montre les divers échantillons de vérification, ainsi que leurs méthodes de test. Le processus de sélection est soigné afin d'éviter
de tirer une conclusion erronée à partir du mauvais échantillon. C'est ce qu'on appelle un risque d'échantillonnage. Examinons chacun de ces exemples de plus
près.
Échantillonnage statistique L'échantillonnage statistique utilise des techniques mathématiques qui aboutissent à un résultat mathématiquement quantifiable. Les
échantillons statistiques sont généralement présentés en pourcentage. Le but de l'échantillonnage statistique est d'obtenir une représentation objective. Les
échantillons sont sélectionnés par un processus mathématique objectif. L'auditeur doit savoir que si le client dispose de contrôles internes solides, la taille de
l'échantillon peut être plus petite parce que le

les risques de fraude ou d'échec seront plus faibles.

Voici des exemples d'échantillonnage statistique :

Échantillonnage aléatoire Les échantillons sont sélectionnés au hasard.

Échantillonnage des cellules La sélection aléatoire est effectuée à des intervalles prédéfinis. Échantillonnage à intervalle fixe L'échantillon existant à chaque
incrément d'intervalle n + est sélectionné pour le test.

Aucun échantillonnage statistique n'est basé sur le jugement de l'auditeur (également appelé échantillonnage discrétionnaire). L'auditeur détermine la taille de
l'échantillon, la méthode de génération de l'échantillon et le nombre d'éléments à analyser. Il est peu probable que les résultats de l'échantillonnage discrétionnaire
soient représentatifs de la population réelle. Il s'agit d'un processus subjectif généralement basé sur des éléments de risque ou d'importance. Un exemple d'absence
d'échantillonnage statistique comprend l'échantillonnage aléatoire, dans lequel les échantillons sont tirés au hasard pour être testés. Une fois les échantillons
sélectionnés, l'étape suivante consiste à effectuer des tests de conformité ou des tests de corroboration. Comme nous l'avons mentionné précédemment, les
méthodes de test de base utilisées seront soit des tests de conformité, soit des tests de corroboration. Des échantillons de vérification appropriés devront être
générés pour le test.
Test de conformité Test de conformité pour détecter la présence ou l'absence de quelque chose. Les tests de conformité comprennent la vérification que les
politiques et procédures ont été mises en place et la vérification que les droits d'accès des utilisateurs, les procédures de contrôle des modifications de programme
et les journaux d'audit du système ont été activés. Un exemple de test de conformité consiste à comparer la liste des personnes ayant un accès physique au centre
de données à la liste RH des employés actuels. Les tests de conformité sont basés sur l'un des types d'échantillons d'audit suivants :

Échantillonnage d'attributs Généralement populaire dans les tests de conformité. L'objectif est de déterminer si un attribut est présent ou absent dans
l'échantillon de sujets. Le résultat est spécifié par le taux d'occurrence - par exemple, la présence de 1 unité sur 100 serait de 1 %.
Échantillonnage stop-and-go Utilisé lorsque peu d'erreurs sont attendues. L'arrêt et le démarrage permettent d'effectuer le test sans effort excessif
d'échantillonnage et offrent la possibilité d'arrêter le test le plus tôt possible. Il s'agit d'une forme simple de test pour renforcer toute affirmation selon laquelle les
erreurs sont peu probables dans la population échantillonnée.
Échantillonnage de découverte Échantillon à 100 % utilisé pour détecter les fraudes ou lorsque la probabilité d'existence de preuves est faible. La criminalistique est
un excellent exemple d'échantillonnage de découverte. Il s'agit d'une tentative de découvrir des preuves. Précision ou taux d'erreur prévu Le taux de précision
indique la marge d'erreur acceptable entre les échantillons de vérification et la quantité totale de la population visée. Il est généralement exprimé en pourcentage, par
exemple 5 %. Pour obtenir un taux d'erreur très faible, il est nécessaire d'utiliser un très grand échantillon dans les tests. Les vérificateurs sont justifiés d'utiliser un
échantillon de plus petite taille alors que la population totale est censée être exempte d'erreurs. Un échantillon plus grand est nécessaire lorsque l'on s'attend à ce
que des erreurs soient présentes dans la population. L'échantillon plus grand peut donner une moyenne plus élevée. Lorsque des erreurs sont prévues, le
vérificateur doit examiner plus de données pour déterminer si les erreurs réelles se situent dans un taux d'erreur tolérable (erreurs maximales que vous accepteriez).
Les niveaux d'erreur peuvent être déterminés en examinant les résultats d'un audit antérieur et en tenant compte des changements apportés aux procédures de
l'organisation. Utilisez la stratégie d'audit basée sur les risques pour déterminer si vos échantillons et tests disent la vérité sur les audités.
Les tests de validation visent à vérifier le contenu et l'intégrité des preuves. Les tests de validation peuvent inclure des calculs complexes pour vérifier les soldes
des comptes, effectuer des inventaires physiques ou exécuter des transactions d'échantillons pour vérifier l'exactitude des pièces justificatives. Les tests de
corroboration utilisent des échantillons de vérification sélectionnés en fonction de leur valeur monétaire ou pour projeter (prévoir ou estimer) un total pour les
groupes ayant des caractéristiques connexes.

Les tests de corroboration sont fondés sur l'un des types d'échantillons d'audit suivants :

Échantillonnage variable Utilisé pour désigner les valeurs monétaires ou les poids (efficacité) d'une population entière de sujets en calculant au prorata à partir d'un
échantillon plus petit. Considérez le défi de compter de grands volumes de devises par leur poids. L'échantillonnage variable pourrait être utilisé pour compter les
espèces en multipliant le poids physique d'une unité par le poids total de l'échantillon combiné, puis en multipliant par la valeur nominale imprimée sur le billet ou la
pièce. Une démonstration est un seul billet de 50 $ pesant 1,0 gramme, l'échantillon complet de billets de 50 $ pesant 61 grammes au total. Le poids combiné de
l'échantillon indiquerait une quantité totale de 61 billets pour une valeur estimée en dollars

de 3 050 $. Il s'agit d'une technique courante pour prévoir la quantité et la valeur des stocks en fonction de caractéristiques particulières.
Estimation moyenne non satisfaite Utilisée pour tenter de projeter un total estimé pour l'ensemble de la population des sujets. Estimation de la moyenne stratifiée
Utilisée pour calculer une moyenne par groupe, semblable à la démographie, dans laquelle la population entière est divisée (stratifiée) en groupes plus petits en
fonction de caractéristiques similaires. Par exemple, les adolescents de 13 à 19 ans, les personnes de 20 à 29 ans, les personnes de 30 à 39 ans, les hommes ou
les femmes, les fumeurs ou les non-fumeurs, etc. Estimation de la différence Utilisé pour déterminer la différence entre les déclarations de valeur vérifiées et non
vérifiées.
Les réponses suivantes sont incorrectes :

Les autres options telles que l'échantillonnage aléatoire, l'échantillonnage de cellules et l'échantillonnage à intervalle fixe
sont des exemples d'échantillonnage statistique. Manuel de révision de la CISA 2014 page numéro 55 à 56 Guide d'étude
de l'auditeur de système d'information certifié par la CISA Deuxième édition Numéro de page 98 à 101

QUESTION 29
Une organisation effectue des sauvegardes nocturnes mais n'a pas de stratégie formelle. Un auditeur de SI doit d'abord :

A. Évaluer les procédures de sauvegarde actuelles

B. transmettre à la haute direction
C. documenter une politique pour l'organisation
D. recommander une sauvegarde automatisée

Bonne réponse : A
Explication
Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 30
Un auditeur SI examinant les contrôles de confidentialité des données d'une organisation observe que les avis de confidentialité n'indiquent pas clairement
comment l'organisation utilise les données des clients pour ses opérations de traitement. Lequel des principes de protection des données suivants DOIT être mis
en œuvre pour combler cette lacune ?
A. Maintien de l'intégrité des données
B. Accès aux données collectées
C. Conservation des documents de consentement
D. Finalité de la collecte des données

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 31
Un auditeur SI découvre que les contrôles de validation d'une application web ont été déplacés du côté serveur vers le navigateur pour améliorer les
performances. Cela augmenterait TRÈS probablement le risque d'une attaque réussie en :

A. hameçonnage
B. Injection de langage de requête structuré (SQL)
C. de service (DoS)
D. Dépassement de la mémoire tampon

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 32
Lors d'un audit de suivi, un auditeur du SI note que la direction a traité les constatations initiales d'une manière différente de celle convenue à l'origine. Le vérificateur doit :
PREMIER:

A. marquer la recommandation comme satisfaite et fermer le constat

B. vérifier si les mesures prises par la direction atténuent le risque cerné ;
C. refaire l'audit pour évaluer l'environnement de contrôle modifié
D. transmettre l'écart au comité d'audit

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 33
Une organisation envisage d'externaliser le traitement des réclamations d'assurance des clients. Un auditeur du SI note que les données des clients
seront envoyées à l'étranger pour traitement. Lequel des énoncés suivants serait la MEILLEURE façon de faire face au risque d'exposition des données
des clients ?
A. Exiger une vérification des antécédents de tout le personnel du fournisseur de services impliqué dans le traitement des données.
B. Recommander le recours à un fournisseur de services dans le même pays que l'organisation.
C. Déterminer si le fournisseur de services a la capacité de respecter les accords de niveau de service (SLA).
D. Évaluer si le fournisseur de services respecte les politiques de protection des données de l'organisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 34
Une équipe d'audit du SI évalue la documentation relative à la plus récente revue de l'accès utilisateur aux applications effectuée par la direction des TI et des
activités. Il est déterminé que la liste des utilisateurs n'a pas été générée par le système. Lequel des éléments suivants devrait être la PLUS GRANDE
préoccupation ?
A. Source de la liste d'utilisateurs examinée
B. Disponibilité de la liste d'utilisateurs examinée
C. de la liste des utilisateurs examinée
D. Exhaustivité de la liste d'utilisateurs examinée

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 35
Lequel des éléments suivants un auditeur SI devrait-il déterminer en premier lorsqu'il évalue le matériel supplémentaire requis pour soutenir l'acquisition d'un nouveau système comptable ?

A. Un programme de formation a été élaboré pour appuyer le nouveau système comptable.

B. Le fournisseur a de l'expérience dans le support des systèmes comptables.
C. Le matériel spécifié sera conforme à la stratégie informatique actuelle.
D. Le matériel sera installé dans une zone sécurisée et à environnement contrôlé.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 36
Une entreprise exige que toutes les demandes de changement de programme (PCR) soient approuvées et que toutes les modifications soient
automatiquement enregistrées. Laquelle des procédures de vérification des SI suivantes permettra de déterminer le mieux si des modifications non
autorisées ont été apportées aux programmes de production ?
A. Examiner un échantillon de PCR pour une approbation appropriée tout au long du processus de changement de programme.
B. Retracer un échantillon de changements de programme du registre aux formulaires PCR remplis.
C. Utiliser un logiciel de comparaison de code source pour déterminer si des modifications ont été apportées à un échantillon de programmes depuis la dernière date de vérification.
D. Retracer un échantillon de formulaires PCR complets dans le registre de tous les changements apportés au programme.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 37
Un auditeur du SI a soumis des rapports d'audit et a planifié une mission d'audit de suivi avec un client. Le client a demandé à retenir les services du même
vérificateur pour élaborer des contrôles améliorés. Quelle est la PLUS GRANDE préoccupation avec cette demande ?

A. Il faudrait l'approbation du gestionnaire de la vérification.

B. Cela dépasserait la portée de l'audit initial.
C. Il s'agirait d'un conflit d'intérêts possible.
D. Il faudrait modifier le plan de vérification.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 38
Un auditeur du SI évalue l'exhaustivité des procédures de confidentialité impliquant des informations personnelles identifiables (PII). Lequel des éléments suivants
est le plus important pour l'auditeur de vérifier qu'il est inclus dans les procédures ?

A. Exigences réglementaires en matière de protection des renseignements personnels

B. La définition des PII par l'organisation
C. Exigences de cryptage pour la transmission d'informations personnelles à l'extérieur
D. Une description de la façon dont les renseignements personnels sont masqués dans les systèmes clés

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 39
Le risque que l'auditeur du SI ne trouve pas une erreur qui s'est produite est identifié par lequel des termes suivants ?

A. Contrôle
B. Prévention
C. Inhérent
D. Détection

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 40
Un auditeur du SI constate que les serveurs d'applications avaient des paramètres de sécurité incohérents entraînant des vulnérabilités potentielles.
Laquelle des recommandations suivantes est la MEILLEURE de l'auditeur du SI ?

A. Améliorer le processus de gestion du changement

B. Effectuer une revue de configuration
C. Établir des mesures de sécurité
D. Effectuer un test d'intrusion

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 41
Un auditeur des SI qui examine une nouvelle demande pour vérifier la conformité aux principes de confidentialité des informations devrait être le PLUS préoccupé par :

A. Non-répudiation
B. Limitation de la collecte
C. Disponibilité
D. Sensibilisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 42
Laquelle des raisons suivantes est la PRINCIPALE raison pour laquelle un auditeur de SI publie un rapport d'audit intermédiaire ?

A. Pour éviter de publier un rapport d'audit final

B. Permettre à l'auditeur de mener à bien la mission en temps opportun
C. Fournir un retour d'information à l'entité auditée pour qu'il y apporte des mesures correctives en temps opportun
D. Offrir une possibilité de suivi pendant la vérification

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 43
Laquelle des conditions suivantes serait la plus préoccupante pour un auditeur du SI évaluant le risque d'une attaque par force brute réussie de données chiffrées au repos ?

A. Utilisation du cryptage symétrique

B. Utilisation du cryptage asymétrique
C. aléatoire de clés
D. Longueur de clé courte

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 44
Dans laquelle des phases suivantes du CDS le vérificateur du SI s'attendrait-il à constater que les contrôles ont été intégrés aux spécifications du système ?

A. Développement
B. Mise en œuvre
C.
D. Faisabilité

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 45
Un auditeur SI a été invité à rejoindre une équipe projet informatique chargée de construire et de déployer une nouvelle plateforme digitale de marketing client.
Lequel des énoncés suivants est la MEILLEURE façon pour l'auditeur de soutenir ce projet tout en conservant son indépendance ?

A. Élaborer des critères de sélection pour les fournisseurs potentiels de technologies numériques.
B. Effectuer un exercice d'analyse comparative entre pairs de l'industrie et conseiller sur les solutions de rechange.
C. Effectuer une évaluation des risques de l'initiative proposée.
D. Concevoir des contrôles basés sur les exigences réglementaires actuelles pour les technologies numériques.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 46
Un auditeur SI observe un outil de surveillance des performances du système qui indique qu'un serveur critique pour l'organisation utilise en moyenne un
processeur élevé sur un cluster de quatre serveurs virtuels tout au long de la période d'audit. Pour déterminer si une enquête plus approfondie est nécessaire, un
auditeur de SI doit examiner :
A. le journal d'activité du processus système
B. Niveaux de référence du système
C. le nombre de CPU alloués à chaque machine virtuelle
D. Objectifs organisationnels

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 47
Un auditeur du SI a découvert qu'une application basée sur le cloud n'était pas incluse dans un inventaire d'applications qui a été utilisé pour confirmer la
portée d'un audit. Le propriétaire du processus opérationnel a expliqué que l'application sera auditée par un tiers au cours de la prochaine année. La
prochaine étape de l'auditeur devrait être de :
A. évaluer l'impact de l'application cloud sur la portée de l'audit
B. réviser la portée de l'audit pour inclure l'application infonuagique
C. examiner le rapport d'audit lorsqu'il est effectué par le tiers
D. signaler la lacune de contrôle à la haute direction

Bonne réponse : D
Explication
Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 48
Lequel des énoncés suivants devrait le plus préoccuper un auditeur SI examinant un système de détection d'intrusion (IDS) ?

A. Nombre de faux négatifs

B. Nombre de faux positifs
C. Trafic légitime bloqué par le système
D. Fiabilité des journaux IDS

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 49
Plusieurs factures sont généralement reçues pour des bons de commande individuels, car les bons de commande nécessitent des dates de livraison échelonnées.
Laquelle des techniques d'audit suivantes est la MEILLEURE technique pour tester les paiements en double ?

A. Exécutez les données sur les logiciels utilisés pour traiter les paiements des fournisseurs.
B. Utiliser un logiciel d'audit généralisé sur le fichier de transaction de facture.
C. Exécuter les données sur les logiciels utilisés pour traiter les bons de commande.
D. Utiliser un logiciel d'audit généralisé sur le fichier de transaction du bon de commande.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 50
Un auditeur du SI qui considère les risques associés à la mise en file d'attente de rapports sensibles pour l'impression hors ligne sera le PLUS préoccupé par le fait que :

A. les données peuvent être facilement lues par les opérateurs

B. les données peuvent être plus facilement modifiées par des personnes non autorisées
C. des copies non autorisées des rapports peuvent être imprimées
D. la sortie sera perdue en cas de défaillance du système

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 51
Lors d'un audit de centre de données, un auditeur SI constate que le taux d'humidité est très faible. L'auditeur du SI serait LE PLUS préoccupé en raison d'une augmentation attendue des :

A. Malaise des employés

B. Risque d'incendie
C. d'électricité statique
D. Défaillances des bandes de sauvegarde

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 52
Avant de conclure que les contrôles internes peuvent être fiables, l'auditeur du SI doit :

A. discuter des faiblesses du contrôle interne avec l'entité auditée

B. Contrôles de l'application des documents
C. effectuer des tests de conformité
D. Documenter le système de contrôle interne

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 53
L'auditeur du SI a identifié une fraude potentielle perpétrée par l'administrateur réseau. L'auditeur du SI doit :

A. publier un rapport pour assurer un règlement rapide

B. examiner la constatation de l'audit avec le comité d'audit avant toute autre discussion
C. effectuer des tests plus détaillés avant de divulguer les résultats de l'audit
D. partager le résultat potentiel de l'audit avec l'administrateur de la sécurité

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information
QUESTION 54
Parmi les éléments suivants, lesquels un auditeur SI doit-il examiner en premier lors de la planification d'un audit de confidentialité des données client ?

A. Exigences légales et de conformité

B. Contrats clients
C. et procédures de l'Organisation
D. Classification des données

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 55
Lequel des éléments suivants devrait être le plus préoccupant pour un auditeur de SI examinant l'infrastructure à clé publique (PKI) pour la messagerie d'entreprise ?

A. Le certificat de clé privée n'a pas été mis à jour.

B. La liste de révocation des certificats n'a pas été mise à jour.
C. L'énoncé de pratique du certificat n'a pas été publié.
D. La politique de l'ICP n'a pas été mise à jour au cours de la dernière année.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 56
Lequel des éléments suivants devrait être établi en premier lors de la mise en œuvre d'un programme d'auto-évaluation des contrôles dans une petite organisation ?

A. Niveaux de référence des contrôles

B. Questionnaires clients
C. externes
D. animés

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 57
Quelle est la MEILLEURE ligne de conduite d'un auditeur SI s'il est informé par les représentants d'une unité commerciale qu'il est trop occupé pour coopérer à un audit programmé ?

A. Reprogrammer l'audit à un moment plus pratique pour l'unité commerciale.

B. Aviser le dirigeant principal de l'audit qui peut négocier avec le chef de l'unité opérationnelle.
C. Commencez l'audit malgré tout et insistez sur la coopération de l'unité commerciale.
D. Aviser immédiatement le comité d'audit et lui demander d'ordonner que l'audit commence dans les délais prévus.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 58
Un vérificateur des SI a effectué une vérification du système des comptes fournisseurs d'une organisation. Lequel des éléments suivants doit être classé comme le
risque le plus élevé dans le rapport d'audit et nécessite une correction immédiate ?

A. Absence de contrôles de séparation des tâches pour le rapprochement des opérations de paiement
B. Absence de contrôle de la séparation des tâches pour la suppression des dossiers des fournisseurs
C. Absence de contrôles de séparation des tâches pour la mise à jour du fichier principal du fournisseur
D. Absence de contrôles de séparation des tâches pour l'annulation des opérations de paiement

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 59
Un auditeur des SI prévoit d'utiliser l'échantillonnage des attributs pour déterminer le taux d'erreur des demandes de remboursement de soins de santé traitées.
Lequel des facteurs suivants entraînera une diminution de la taille de l'échantillon ?

A. Augmentation de la taille de la population

B. Augmentation attendue du taux d'erreur
C. Diminution acceptable du niveau de risque
D. Augmentation tolérable du taux d'erreur

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 60
Lequel des éléments suivants est le PRINCIPAL avantage de l'utilisation d'une approche de vérification intégrée ?

A. Meilleure acceptation des conclusions des secteurs d'activité audités

B. Éviter les doublons et les recommandations redondantes
C. de l'allocation des ressources et réduction des coûts d'audit
D. Une perspective holistique du risque global et une meilleure compréhension des contrôles

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 61
Lequel des éléments suivants est une procédure d'examen analytique pour un système de paie ?

A. Tentatives d'intrusion dans le système de paie

B. Évaluation du rendement du système de paie à l'aide d'un logiciel d'analyse comparative
C. Effectuer des tests de raisonnabilité en multipliant le nombre d'employés par le taux de salaire moyen
D. Heures de test déclarées sur les feuilles de temps

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 62
Un auditeur des SI observe que le PDG a un accès complet au progiciel de gestion intégré (ERP). L'auditeur du SI doit D'ABORD :

A. accepter le niveau d'accès fourni comme il convient

B. recommander que le privilège soit retiré
C. ne pas tenir compte de l'observation parce qu'elle n'est pas importante pour l'examen
D. documenter la constatation comme un risque potentiel

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 63
Deux serveurs sont déployés dans un cluster pour exécuter une application critique. Pour déterminer si le système a été conçu pour une efficacité optimale,
l'auditeur du SI doit vérifier que :

A. les fonctions de sécurité du système d'exploitation sont toutes activées

B. le nombre de disques dans le cluster répond à la configuration minimale requise
C. les deux serveurs sont exactement de la même configuration
D. l'équilibrage de charge entre les serveurs a été implémenté

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 64
Le PLUS GRAND risque lors de la normalisation des données est :

A. la complexité accrue du modèle de données

B. Duplication des journaux d'audit
C. Réduction de la redondance des données
D. Diminution des performances

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 65
Un auditeur du SI a constaté qu'un fournisseur a cessé ses activités et que le séquestre contient une ancienne version du code source. Quelle est la
MEILLEURE recommandation de l'auditeur pour l'organisation ?

A. Continuer à utiliser l'application existante puisqu'elle répond aux exigences actuelles

B. Préparer un plan de maintenance qui soutiendra l'application en utilisant le code existant
C. Mettre à jour la version du séquestre
D. Entreprendre une analyse pour déterminer le risque opérationnel

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 66
Lequel des éléments suivants est la MEILLEURE façon d'évaluer l'efficacité des contrôles d'accès à un réseau interne ?
A. Effectuer un test d'intrusion du système
B. Tester la conformité aux procédures d'exploitation
C. Examiner les droits d'accès
D. Examiner les tables de configuration du routeur

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 67
Un auditeur du SI trouve un certain nombre de comptes système qui n'ont pas d'approbations documentées. Lequel des éléments suivants doit être effectué en premier par l'auditeur ?

A. Faire supprimer les comptes immédiatement

B. Obtenir l'approbation des comptes par le propriétaire de l'application
C. Documenter une constatation et signaler un contrôle inefficace de l'approvisionnement des comptes
D. Déterminer l'objet et le risque des comptes

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 68
Un auditeur SI est un membre d'une équipe de développement d'applications qui sélectionne des logiciels. Lequel des éléments suivants porterait atteinte à l'indépendance du vérificateur ?

A. Vérification de la pondération de chaque critère de sélection

B. Approbation de la méthode de sélection des fournisseurs
C. de la demande de propositions
D. Assister au processus de sélection des fournisseurs

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 69
Une vérification du contrôle interne a révélé une lacune liée à un système existant où les contrôles compensatoires ne semblent plus efficaces. Lequel des
éléments suivants aiderait le mieux le responsable de la sécurité de l'information à déterminer les exigences de sécurité pour résoudre la lacune de contrôle ?

A. Analyse coûts-avantages
B. Analyse des lacunes
C. des risques
D. Analyse de rentabilisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 70
Un audit du système de gestion de la qualité (SMQ) commence par une évaluation des éléments suivants :

A. Politique de gestion de la qualité de l'organisation

B. Séquence et interaction des processus du SMQ
C. Processus du système de gestion de la qualité et leur application
D. Procédures de contrôle des documents du SGQ

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 71
Un auditeur des SI a effectué un audit du processus de planification stratégique des TI de l'organisation. Laquelle des conclusions suivantes devrait recevoir la PLUS HAUTE priorité ?

A. Le plan stratégique de TI a été achevé avant la formulation du plan stratégique d'affaires

B. Les hypothèses du plan stratégique de TI n'ont pas été communiquées aux intervenants opérationnels
C. plan stratégique de TI a été formulé en fonction des capacités actuelles en matière de TI
D. Le plan stratégique de TI ne comprend pas les ressources nécessaires à la mise en œuvre

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 72
Lequel des éléments suivants fournit la meilleure preuve de téléchargements par lots réussis ?

A. Signature du journal des lots

B. Utilisation des contrôles de séquence
C. des délais de coupure des lots
D. Examen des registres de processus

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 73
Un auditeur SI effectue un examen des politiques informatiques d'un organisme de santé pour le traitement
des dossiers médicaux. Lequel des éléments suivants est le PLUS important à vérifier ?

A. Un processus d'approbation des politiques documenté est en place

B. Les normes de rédaction des politiques sont cohérentes
C. Les politiques sont conformes aux exigences réglementaires
D. Le personnel informatique reçoit une formation continue sur les politiques

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 74
La direction de l'audit vient de terminer le plan d'audit annuel pour l'année à venir, qui consiste entièrement en des processus à haut risque. Cependant, il est
déterminé que les ressources sont insuffisantes pour exécuter le plan. Que faut-il faire ENSUITE ?

A. Supprimer les vérifications du plan annuel pour mieux correspondre au nombre de ressources disponibles
B. Réduire la portée des vérifications pour mieux correspondre au nombre de ressources disponibles
C. Présenter le plan annuel au comité d'audit et demander plus de ressources
D. Examiner le plan de vérification et reporter certaines vérifications à l'année suivante

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 75
Si les opérations de mise à jour simultanées d'un compte ne sont pas traitées correctement, lesquelles des opérations suivantes seront touchées ?

A. Intégrité
B. Confidentialité
C. Disponibilité
D. Responsabilité

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 76
Lors d'un examen de la gestion des incidents de sécurité, un auditeur du SI a constaté qu'il n'y avait pas de processus d'escalade définis. Tous les incidents
sont gérés par le centre de services. Lequel des éléments suivants devrait être la PRINCIPALE préoccupation de l'auditeur ?

A. Utilisation inefficace des ressources du centre de services

B. Manque de sensibilisation de la direction aux incidents à impact élevé
C. dans le règlement des fiches d'incident de faible priorité
D. Incapacité de la direction à assurer le suivi de la résolution des incidents

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 77
Lequel des éléments suivants un auditeur de SI devrait-il se préoccuper le plus lors d'un examen post-mise en œuvre ?

A. Le système n'a pas de plan de maintenance

B. Le système contient plusieurs défauts mineurs
C. Le système dépassait le budget de 15 %
D. Le déploiement du système a été retardé de trois semaines

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 78
Un auditeur SI examine l'accord de niveau de service (SLA) d'une banque avec un fournisseur tiers qui héberge le centre de données secondaire de la banque.
Laquelle des constatations suivantes devrait préoccuper le plus l'auditeur ?

A. L'objectif de point de récupération (RPO) a une durée plus courte que celle indiquée dans le plan de reprise après sinistre
B. L'objectif de temps de récupération (RTO) a une durée plus longue que celle indiquée dans le plan de reprise d'activité
C. Les données de sauvegarde sont hébergées en ligne uniquement
D. Le SLA n'a pas été révisé depuis plus d'un an

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 79
Laquelle des missions suivantes est la responsabilité la plus appropriée d'un auditeur SI impliqué dans un projet de rénovation de datacenter ?

A. Effectuer des examens indépendants des parties responsables engagées dans le projet
B. S'assurer que le projet progresse comme prévu et que les jalons sont atteints
C. les activités quotidiennes pour assurer la bonne réalisation du projet
D. Approbation de la conception des contrôles pour le centre de données

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 80
Lequel des éléments suivants est le PLUS important pour un auditeur SI lorsqu'il examine la façon dont l'équipe d'intervention en cas d'incident de l'organisation
traite les appareils susceptibles d'être impliqués dans des activités criminelles ?

A. Si les appareils sont vérifiés pour les applications malveillantes

B. Si les journaux d'accès sont vérifiés avant de saisir les appareils
C. Si les utilisateurs ont connaissance de leurs dispositifs examinés
D. S'il existe une chaîne de possession pour les appareils

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 81
Lors d'un audit de suivi, un auditeur SI apprend que l'organisation a mis en place un processus automatisé au lieu de l'amélioration initialement convenue du
processus manuel. L'auditeur doit :

A. signaler la constatation selon laquelle les recommandations n'ont pas été suivies d'effet
B. effectuer une analyse coûts-avantages du nouveau procédé
C. vérifier que le nouveau processus répond aux objectifs de contrôle
D. rendre compte de la mise en œuvre de la recommandation

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 82
Lors d'un examen des accès privilégiés, un auditeur du SI observe que de nombreux employés du service d'assistance ont des privilèges dans des
systèmes non nécessaires à leurs fonctions. La mise en œuvre de laquelle des mesures suivantes aurait permis d'éviter cette situation ?

A. Séparation des tâches

B. Authentification multifactorielle
C. au moindre privilège
D. Examens de l'accès privilégié

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 83
La direction n'est pas d'accord avec une constatation d'une ébauche de rapport de vérification et fournit des documents à l'appui. Lequel des éléments suivants
devrait être la prochaine ligne de conduite de l'auditeur du SI ?

A. Désaccord de la direction des documents dans le rapport final

B. Évaluer les documents justificatifs
C. Transmettre le problème à la haute direction avec les documents à l'appui
D. Finaliser le projet de rapport d'audit sans modification

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 84
Laquelle des techniques de vérification suivantes est la PLUS appropriée pour vérifier les contrôles des programmes d'application ?

A. Échantillonnage statistique
B. Examen du code
C. Confirmation des comptes
D. Utilisation des données d'essai

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 85
Une entreprise a demandé une vérification du SI afin de déterminer si les renseignements stockés dans un système d'application sont adéquatement protégés.
Laquelle des mesures suivantes est la plus importante avant le début des travaux d'audit ?

A. Établir des objectifs de contrôle

B. Effectuer une analyse de vulnérabilité
C. Effectuer des tests d'intrusion
D. Examiner les rapports d'assainissement

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 86
Quelle technique d'audit fournit la MEILLEURE assurance que les procédures de gestion des incidents sont efficaces ?

A. Déterminer si les incidents sont catégorisés et traités

B. Effectuer une analyse complète des vulnérabilités et des tests d'intrusion
C. des procédures de gestion des incidents avec les meilleures pratiques
D. Évaluation des résultats de l'enquête sur la satisfaction des utilisateurs finaux

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 87
Laquelle des constatations suivantes serait la plus préoccupante pour un auditeur du SI qui effectue un examen d'une application développée par l'utilisateur
final qui génère des états financiers ?

A. L'application n'est pas suffisamment prise en charge par le service informatique

B. Il n'y a pas de formation adéquate sur l'utilisation de l'application
C. Il n'y a pas de licence d'utilisation adéquate pour l'application
D. Il n'y a pas de contrôle pour assurer l'exactitude des données traitées

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 88
Une organisation prévoit de déployer l'analyse de localisation Wi-Fi pour compter le nombre d'acheteurs par jour dans ses différents points de vente. Que doit
recommander l'auditeur SI comme PREMIÈRE ligne de conduite de la direction informatique ?

A. Effectuer une évaluation des facteurs relatifs à la vie privée

B. Masquer les adresses MAC
C. Interroger les acheteurs pour obtenir des commentaires
D. Élaborer un avis de confidentialité à afficher aux acheteurs

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 89
Un auditeur du SI a découvert des anomalies dans un rapport mensuel généré à partir d'un système mis à niveau il y a six mois. Lequel des éléments suivants
devrait être la PREMIÈRE ligne de conduite de l'auditeur ?

A. Inspecter le code source pour vérifier les anomalies

B. Effectuer un examen de la gestion du changement du système
C. Planifier un examen de l'accès au système
D. Déterminer l'impact des anomalies dans le rapport

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 90
Lors de l'audit de l'efficacité d'un système biométrique, lequel des indicateurs suivants serait le PLUS

Important à revoir ?
A. Faux négatifs
B. Taux de fausses acceptations
C. Taux de non-inscription
D. Temps de réponse du système

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 91
Un auditeur des SI qui effectue des activités de suivi de l'audit apprend que certaines mesures correctives convenues n'ont pas été prises et que le risque associé a
été accepté par la haute direction. Si l'auditeur n'est pas d'accord avec la décision de la direction, quelle est la MEILLEURE façon de régler la situation ?

A. Répéter l'audit en ne couvrant que les domaines où les risques sont acceptés
B. Signaler le problème au dirigeant principal de la vérification pour résolution
C. Recommander de nouvelles mesures correctives pour atténuer le risque accepté
D. Ne prendre aucune mesure depuis que la décision de la direction a été prise

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 92
Lors d'un audit de sécurité, un auditeur SI est chargé d'examiner les entrées de logs obtenues à partir d'un système de prévention des intrusions (IPS)
d'entreprise. Quel type de risque serait associé à la possibilité que l'auditeur manque une séquence d'événements consignés qui pourrait indiquer une erreur dans
la configuration IPS ?
A. Risque inhérent
B. Risque d'échantillonnage
C. Maîtriser le risque
D. Risque de détection

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 93
Une organisation s'inquiète des paiements en double des fournisseurs sur un système complexe avec un volume élevé de transactions. Lequel des éléments
suivants serait le plus utile à un auditeur SI pour déterminer s'il existe des paiements en double avec les fournisseurs ?

A. Technique assistée par ordinateur

B. Essais stop-and-go
C. statistique
D. Échantillonnage discrétionnaire

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 94
Le PRINCIPAL avantage de l'utilisation d'une installation de test intégrée (ITF) comme technique d'audit en ligne est qu'elle permet :

A. une approche rentable de la vérification des contrôles des applications

B. Vérification des enquêtes sur les opérations frauduleuses
C. Les auditeurs testent sans affecter les données de production
D. l'intégration des tests financiers et des tests de vérification

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 95
Lors de l'évaluation de la capacité d'un plan de reprise d'activité (PRA) à permettre la récupération des capacités de traitement informatique, il est TRÈS important
que l'auditeur du SI vérifie que le plan est :

A. entreposé dans un endroit hors site

B. communiqué aux chefs de service
C. régulièrement réexaminé
D. testé périodiquement

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 96
Un auditeur SI analyse un échantillon d'accès enregistré sur le journal système d'une application. L'auditeur a l'intention de lancer une enquête approfondie si
une exception est trouvée. Quelle méthode d'échantillonnage serait appropriée ?
A. Échantillonnage de découverte
B. Échantillonnage variable
C. Échantillonnage stratifié
D. Échantillonnage discrétionnaire

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 97
Les évaluations des systèmes d'information critiques sont basées sur un plan de vérification cyclique qui n'a pas été mis à jour depuis plusieurs années. Lequel
des éléments suivants l'auditeur du SI devrait-il recommander pour remédier au mieux à cette situation ?

A. Utiliser un ensemble de plans d'audit renouvelables pour couvrir tous les systèmes
B. Mettre à jour le plan de vérification tous les trimestres pour tenir compte des retards et des reports d'examens périodiques
C. Valider régulièrement le plan d'audit par rapport aux risques opérationnels
D. Ne pas inclure d'examens périodiques détaillés dans le plan de vérification

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 98
Un auditeur SI évalue les risques associés au partage de fichiers peer-to-peer au sein d'une organisation. Lequel des éléments suivants devrait être la plus préoccupante ?

A. politiques de partage de fichiers n'ont pas été révisées depuis l'année dernière
B. Seuls certains employés sont tenus de suivre une formation de sensibilisation à la sécurité
C. Tous les appareils n'exécutent pas de programmes antivirus
D. L'organisation ne dispose pas d'un processus efficace de gestion des correctifs

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 99
Un auditeur SI examine les processus et procédures de gestion des incidents d'une organisation. Laquelle des observations suivantes devrait être la PLUS
GRANDE préoccupation de l'auditeur ?

A. Classification inefficace des incidents

B. Priorisation inefficace des incidents
C. inefficace des incidents
D. Examen inefficace après l'incident

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 100
Lors d'un audit SI, il est découvert que les configurations de sécurité diffèrent selon la batterie de serveurs virtuels de l'organisation. Laquelle des
recommandations suivantes est la MEILLEURE recommandation de l'auditeur du SI pour améliorer l'environnement de contrôle ?

A. Effectuer un examen indépendant de la configuration de sécurité de chaque serveur

B. Mettre en œuvre une base de configuration de sécurité pour les serveurs virtuels
C. Mettre en œuvre des contrôles de surveillance de la sécurité pour les serveurs virtuels à haut risque
D. Effectuer un examen standard de la gestion des correctifs dans la batterie de serveurs virtuels

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 101
Un vérificateur principal examine les documents de travail préparés par un vérificateur subalterne indiquant qu'une constatation a été supprimée après que
l'audité a dit avoir corrigé le problème. Lequel des énoncés suivants est le plan d'action le plus approprié pour le vérificateur principal ?

A. Approuver les documents de travail tels qu'ils sont rédigés

B. Soumettre la question au directeur de l'audit
C. Faire rétablir les conclusions
D. Demandez à l'entité auditée de repasser le test

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 102
Un auditeur du SI effectue un examen préalable à la mise en œuvre pour déterminer l'état de préparation d'un nouveau système à la production.
La principale préoccupation de l'auditeur devrait être de savoir si :

A. le projet a respecté le budget et la date cible

B. les utilisateurs ont participé aux tests d'assurance de la qualité (AQ)
C. il y a des éléments à risque élevé non résolus
D. la réalisation des avantages a été démontrée

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 103
Un auditeur SI examinant l'évaluation des menaces pour un centre de données serait MOST préoccupé si :

A. toutes les menaces identifiées concernent des entités externes

B. certaines des menaces identifiées sont peu susceptibles de se produire
C. opérations des organisations voisines ont été incluses
D. l'exercice a été réalisé par la direction locale

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 104
Lors du suivi d'une violation de données, un auditeur SI constate qu'un administrateur système a peut-être compromis la chaîne de traçabilité. Lequel des
éléments suivants l'administrateur système aurait-il dû faire en premier pour préserver les preuves ?

A. Effectuer une enquête préalable

B. Aviser les principales parties prenantes
C. en quarantaine du système
D. Aviser l'équipe d'intervention en cas d'incident

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 105
Lequel des éléments suivants un auditeur SI doit-il vérifier lors de l'audit de l'efficacité de la protection antivirus ?

A. Fréquence des examens des journaux IDS

B. Actualité de l'application des correctifs logiciels
C. de migration vers la production
D. Fréquence de l'accès externe à l'Internet

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 106
Lequel des éléments suivants doit être examiné en premier lors de la planification d'un audit SI ?

A. Informations financières récentes

B. Budget annuel de l'unité opérationnelle
C. d'audit des SI
D. L'environnement des affaires

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 107
Un auditeur SI évalue un environnement de serveur virtuel et apprend que le serveur de production, le serveur de développement et la console de gestion sont
hébergés dans le même hôte physique. Quelle devrait être la principale préoccupation de l'auditeur ?

A. L'hôte physique est un point de défaillance unique

B. La console de gestion est un point de défaillance unique
C. Le serveur de développement et la console de gestion partagent le même hôte
D. Les serveurs de développement et de production partagent le même hôte

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 108
La politique d'élimination d'une organisation met l'accent sur l'obtention d'une valeur maximale pour les supports informatiques excédentaires. L'auditeur du SI doit obtenir
l'assurance que :
A. le support est retourné au vendeur pour crédit.
B. toutes les données existantes sont supprimées avant leur élimination
C. Les étiquettes d'identification sont retirées
D. les médias sont recyclés vers d'autres groupes au sein de l'organisation

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 109
Un vérificateur note que l'ID utilisateur de l'administrateur est partagé entre trois gestionnaires financiers pour effectuer les mises à jour de fin de mois.
Laquelle des recommandations suivantes est la MEILLEURE pour s'assurer que l'ID d'administrateur dans le système financier est contrôlé efficacement
?
A. Mettre en œuvre l'utilisation de jetons logiciels individuels
B. Organiser une formation de sensibilisation des employés
C. et surveillance de l'identifiant utilisateur de l'Institut
D. S'assurer que les données des systèmes financiers ont été classifiées

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 110
Lequel des éléments suivants est le plus important à vérifier pour un auditeur SI après avoir constaté que des tentatives d'accès non autorisées répétées ont été enregistrées sur un rapport de sécurité ?

A. Les demandes de réinitialisation de mot de passe ont été confirmées comme légitimes
B. Il existe des preuves que l'incident a fait l'objet d'une enquête
C. Les modifications de configuration du système font l'objet d'un suivi adéquat
D. Une politique d'accès globale a été établie

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 111
Un auditeur SI est impliqué dans un projet et constate qu'une partie prenante du projet informatique souhaite apporter un changement qui pourrait affecter à la fois la
portée et le calendrier du projet. Laquelle des actions suivantes serait la plus appropriée pour le chef de projet en ce qui concerne la demande de changement ?

A. Recommander au promoteur du projet d'approuver ou non le changement

B. Modifier le plan de projet à la suite de la modification
C. Évaluer l'impact du changement
D. Ignorer les demandes hors champ d'application

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 112
Lequel des éléments suivants un auditeur SI doit-il s'attendre à voir dans une évaluation de la vulnérabilité du réseau ?

A. Mauvaise configuration et mises à jour manquantes

B. Logiciels malveillants et logiciels espions
C. Défauts de conception de la sécurité
D. Vulnérabilités zero-day

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 113
Un auditeur SI évalue la sécurité du processus de sauvegarde des données d'une organisation, qui comprend la transmission de sauvegardes incrémentielles
quotidiennes vers un serveur dédié hors site. Laquelle des conclusions suivantes présente le PLUS GRAND risque pour l'organisation ?

A. Les transmissions de sauvegarde ne sont pas cryptées

B. Les transmissions de secours échouent parfois
C. Les tests de récupération des données sont effectués une fois par an
D. Le registre des données archivées est incomplet

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 114
Lors de la mise en place de systèmes de surveillance continue, un auditeur SI doit d'abord identifier :
A. l'emplacement et le format des fichiers de sortie
B. les demandes qui présentent le risque financier le plus élevé
C. Domaines à haut risque au sein de l'organisation
D. les commandes sur lesquelles se concentrer

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 115
Au cours d'une vérification de suivi, un vérificateur du SI conclut qu'un problème déjà identifié n'a pas été corrigé adéquatement. L'entité auditée insiste sur le
fait que le risque a été pris en compte. L'auditeur doit :

A. recommander une évaluation indépendante par un tiers

B. signaler le désaccord selon les procédures établies
C. de la découverte l'année prochaine
D. accepter la position de l'entité auditée et clore la constatation

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 116
Une organisation permet aux employés d'utiliser des appareils mobiles personnels pour la messagerie d'entreprise. Lequel des éléments suivants devrait être la plus grande préoccupation en matière d'audit des SI ?

A. Le transfert d'e-mails vers des appareils privés nécessite une bande passante réseau excessive
B. Il n'existe pas de politique d'entreprise concernant l'utilisation acceptable des appareils privés
C. n'y a pas de suivi adéquat du temps de travail passé en dehors des heures de travail
D. Le service d'assistance n'est pas en mesure de prendre entièrement en charge différents types d'appareils privés

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 117
Laquelle des conclusions suivantes serait la plus grande préoccupation pour un auditeur de SI examinant le programme de sensibilisation à la sécurité en
ligne nouvellement mis en œuvre par une organisation ?

A. Seuls les nouveaux employés sont tenus de participer au programme

B. Le calendrier des mises à jour du programme n'a pas été déterminé
C. Aucune mesure n'a été établie pour évaluer les résultats de la formation
D. Les employés ne reçoivent pas d'avis immédiat des résultats

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 118
Qu'est-ce qui serait le plus préoccupant pour un auditeur SI observant l'utilisation de cartes-clés partagées pour accéder au centre de données d'une organisation ?

A. L'absence d'un système d'authentification multifactorielle

B. L'impossibilité d'identifier qui est entré dans le centre de données
C. L'impossibilité de suivre le nombre de cartes égarées
D. Le manque d'application des politiques et procédures de l'organisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 119
Lequel des éléments suivants est le plus important pour un auditeur SI à s'assurer qu'il est inclus dans la notification de confidentialité des données en ligne d'une organisation mondiale aux clients ?

A. Conséquences pour l'organisation d'une mauvaise gestion des données

B. Conditions de consentement, y compris la finalité de la collecte des données
C. Coordonnées pour signaler les violations du consentement
D. Normes de l'industrie pour la notification des atteintes à la protection des données

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 120
Lors de la planification d'un audit de sécurité, un auditeur SI est informé d'une revue de sécurité réalisée par des consultants externes. Il est TRÈS important pour l'auditeur de :

A. refaire l'examen de sécurité.

B. accepter les constatations et conclusions des consultants.
C. examiner les rapports similaires publiés par les consultants.
D. évaluer l'objectivité et la compétence des consultants.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 121
Laquelle des propositions suivantes est la meilleure stratégie d'audit du SI ?

A. Effectuer des audits en fonction de l'impact et de la probabilité d'erreur et de défaillance.

B. Effectuer des audits de contrôle général et d'application sur une période de deux ans.
C. Effectuer des audits de contrôle général chaque année et des audits d'application en alternance.
D. Limiter les audits aux développements de nouveaux systèmes d'application.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 122
Lequel des éléments suivants est le plus important pour un auditeur SI à examiner lors de l'évaluation de l'efficacité du processus de réponse aux incidents d'une organisation ?

A. Mesures d'intervention antérieures

B. Expérience et qualifications du personnel d'intervention en cas d'incident
C. des tests de gestion des procédures d'intervention en cas d'incident
D. Rôles et responsabilités en matière d'intervention en cas d'incident

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 123
Laquelle des observations suivantes un auditeur SI considèrerait-il comme le PLUS GRAND risque lors de l'audit d'une batterie de serveurs virtuels pour
détecter d'éventuelles vulnérabilités logicielles ?

A. L'hyperviseur est mis à jour tous les trimestres.

B. Les systèmes d'exploitation invités sont mis à jour mensuellement.
C. Un logiciel antivirus a été implémenté sur le système d'exploitation invité uniquement.
D. Différents systèmes d'exploitation invités fonctionnent sur un serveur virtuel.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 124
Un service d'audit interne a récemment mis en place un programme d'assurance de la qualité (AQ). Laquelle des activités suivantes est LA PLUS importante à
inclure dans les exigences du programme d'assurance qualité ?

A. Surveillance continue des activités de vérification

B. Analyse des rapports de satisfaction des utilisateurs des secteurs d'activité.
C. du personnel de l'audit interne
D. à long terme des ressources de l'audit interne

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 125
Lequel des éléments suivants est le MEILLEUR contrôle pour détecter les erreurs dans un système de comptabilité fournisseurs ?

A. Alignement du processus sur les objectifs opérationnels

B. Examen du contrôle de la qualité des nouveaux paiements
C. des paiements par l'Administration
D. Validation des entrées

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 126
Lors de l'audit d'un plan d'assurance qualité, un auditeur du SI doit être LE PLUS préoccupé si :

A. la fonction d'assurance de la qualité est distincte de la fonction de programmation.

B. Le CDS est couplé au plan d'assurance de la qualité.
C. la fonction d'assurance de la qualité est périodiquement examinée par la vérification interne.
D. La portée des activités d'assurance de la qualité n'est pas définie.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 127
La principale raison pour laquelle un auditeur de SI utilise des techniques d'analyse de données est de réduire quel type de risque d'audit ?

A. Risque technologique
B. Risque inhérent
C. Risque de détection
D. Maîtriser le risque

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 128
Un responsable de l'audit du SI a été invité à effectuer une revue de la qualité d'un audit que le même responsable a également

Supervisé. Laquelle des propositions suivantes est la MEILLEURE réponse du gestionnaire à cette situation ?

A. Aviser le comité d'audit de la situation.

B. Transmettre la situation à la haute direction de la vérification.
C. Déterminer si les éléments probants appuient les conclusions de l'audit.
D. Discuter avec l'équipe d'audit pour comprendre comment les conclusions ont été tirées.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 129
En examinant des problèmes similaires dans le système d'assistance d'une organisation, un auditeur du SI constate qu'ils ont été analysés de manière
indépendante et résolus différemment. Cette situation indique très probablement une déficience dans :

A. Gestion des niveaux de service informatique.

B. la gestion du changement.
C. Gestion de la configuration.
D. la gestion des problèmes.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 130
Un auditeur crée un programme d'audit dont l'objectif est d'établir la pertinence des contrôles de confidentialité des données personnelles dans un processus
de paie. Lequel des éléments suivants est le PLUS important à inclure ?

A. Approbation des modifications de données

B. Journalisation de l'audit de l'activité des utilisateurs administratifs
C. de la séparation des tâches
D. Fourniture d'accès utilisateur

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 131
Un auditeur SI vérifiant l'efficacité de l'utilisation d'un site chaud va TRÈS probablement :

A. examiner les accords réciproques.

B. examiner les contrôles d'accès logiques.
C. évaluer les contrôles d'accès physiques.
D. analyser les procédures de restauration du système.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 132
Un auditeur du SI a évalué la politique de sécurité d'un prestataire de services de paie et constate que des sujets importants sont manquants. Lequel des énoncés
suivants est le MEILLEUR plan d'action de l'auditeur ?

A. Recommander au fournisseur de services de mettre à jour sa politique.

B. Aviser le fournisseur de services des écarts.
C. Signaler le risque à la direction interne.
D. Recommander le remplacement du fournisseur de services.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 133
Lors de l'examen d'un site chaud, l'auditeur SI découvre qu'un type de plate-forme matérielle n'est pas installé. L'auditeur du SI doit D'ABORD :

A. recommander l'achat et l'installation de matériel sur le site chaud.

B. signaler immédiatement la constatation à la haute direction du SI.
C. déterminer l'impact commercial de l'absence du matériel.
D. établir le délai de livraison d'une nouvelle machine.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 134
Un auditeur SI examine la mise à niveau d'un système d'exploitation. Lequel des éléments suivants serait la PLUS GRANDE préoccupation de l'audit ?

A. L'absence de notes de version

B. Le manque de contrôle du changement
C. L'absence de protection contre les logiciels malveillants
D. L'absence de journalisation des activités

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 135
Un auditeur du SI a été chargé d'évaluer la sécurité d'un système de base de données récemment migré qui contient des données personnelles et financières
pour les clients d'une banque. Lequel des contrôles suivants est le PLUS important pour que l'auditeur le confirme en place ?

A. Les configurations par défaut ont été modifiées.

B. Toutes les tables de la base de données sont normalisées.
C. Le port de service utilisé par le serveur de base de données a été modifié.
D. Le compte d'administration par défaut est utilisé après avoir modifié le mot de passe du compte.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 136
Lequel des éléments suivants est le facteur déterminant le plus important lors de l'établissement d'échéanciers appropriés pour les activités de suivi liées aux constatations de la vérification ?

A. Périodes de pointe d'activité pour l'entreprise

B. Dates de correction incluses dans les réponses de la direction
C. des ressources d'audit des SI
D. Complexité des processus opérationnels relevés dans le cadre de la vérification

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 137
Un auditeur SI a obtenu un grand ensemble de données contenant plusieurs champs et des données non numériques pour l'analyse. Laquelle des activités
suivantes améliorera la qualité des conclusions tirées de l'utilisation d'un outil d'analyse de données pour cet audit ?

A. Anonymisation des données

B. Classification des données
C. des données
D. Préparation des données

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 138
Laquelle des exigences suivantes est la plus importante qu'un auditeur de SI doit évaluer lors de l'examen d'une transmission d'informations personnelles
identifiables (PII) entre deux organisations ?

A. Exhaustivité
B. Respect des délais
C. Nécessité
D. Exactitude

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 139
Un auditeur du SI a examiné l'analyse de rentabilisation d'un investissement proposé pour virtualiser l'infrastructure de serveurs d'une organisation. Lequel des
éléments suivants est le plus susceptible d'être inclus parmi les avantages de la proposition de projet ?

A. Moins de licences de système d'exploitation

B. Meilleure efficacité des ressources logiques
C. Réduction de l'encombrement matériel
D. Moins de mémoire et d'espace de stockage

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 140
Lequel des éléments suivants est la MEILLEURE façon de faciliter un suivi adéquat des résultats de l'audit ?

A. Planifier une vérification de suivi pendant deux semaines après la fin de la vérification initiale.
B. Effectuer une vérification surprise pour déterminer si des mesures correctives sont en cours.
C. Effectuer un audit de suivi lorsque les constatations dégénèrent en incidents.
D. Planifier un audit de suivi en fonction des dates d'échéance des mesures correctives.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 141
Laquelle des approches suivantes serait la plus efficace, étant donné qu'une approche fondée sur la conformité a été adoptée l'année précédente ?

A. Validez toutes les applications à l'aide de données de test.

B. Interroger le personnel des systèmes pour évaluer tous les contrôles automatisés.
C. Évaluer les contrôles entourant les changements apportés aux programmes.
D. Effectuer un examen des transactions importantes enregistrées dans le système.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 142
Un auditeur du SI testera les contrôles des comptes fournisseurs en effectuant des analyses de données sur l'ensemble des transactions. Lequel des
éléments suivants est le PLUS important pour l'auditeur de confirmer lors de la recherche des données démographiques ?

A. Il n'y a pas d'informations de confidentialité dans les données.

B. Les outils d'analyse des données ont été récemment mis à jour.
C. Les données peuvent être obtenues en temps opportun.
D. Les données sont extraites directement du système.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 143
Lequel des éléments suivants l'auditeur SI doit-il utiliser pour déterminer au mieux si un projet a atteint ses objectifs commerciaux ?

A. Analyse de la valeur acquise

B. Plan de projet achevé
C. Journal des problèmes avec résolutions
D. Document sur la réalisation des avantages

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 144
Un auditeur du SI observe le traitement des transactions et note qu'une tâche de mise à jour hautement
prioritaire n'a pas été dans le séquence. Quel est le risque le plus important de cette observation ?

A. Les emplois précédents ont peut-être échoué.

B. Le travail n'est peut-être pas terminé.
C. Les horaires quotidiens peuvent ne pas être exacts.
D. Le travail est en concurrence avec des données non valides.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 145
Lors d'un audit de la politique de confidentialité des données de l'organisation, l'auditeur du SI a constaté que seules certaines bases de données d'applications
informatiques sont cryptées. Quelle devrait être la PREMIÈRE action de l'auditeur ?

A. Évaluer les ressources nécessaires à la mise en œuvre du chiffrement dans les bases de données non chiffrées.
B. Examinez les résultats les plus récents des tests d'intrusion dans la base de données.
C. Déterminer si des contrôles compensatoires sont en place.
D. Examiner une liste complète des bases de données avec les informations qu'elles contiennent.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 146
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur de SI examinant les mesures prises au cours d'une enquête judiciaire ?

A. Le rapport d'enquête n'indique pas de conclusion.

B. Une copie image du système attaqué n'a pas été prise.
C. Les autorités compétentes n'ont pas été informées.
D. Les procédures de manipulation du système attaqué ne sont pas documentées.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 147
Un auditeur SI évaluant une architecture client/serveur à trois niveaux observe un problème avec les tâches d'interface utilisateur graphique (GUI). Quelle
couche l'auditeur doit-il recommander à l'adresse du client ?

A. Couche de présentation
B. Couche d'application
C. Couche de stockage
D. Couche de transport

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 148
Un auditeur SI est chargé d'examiner le développement d'une application spécifique. Laquelle des étapes suivantes serait la plus importante après l'étude de
faisabilité ?

A. Assister aux réunions d'avancement du projet pour surveiller la mise en œuvre de la demande en temps opportun.
B. Aider les utilisateurs à concevoir des procédures d'essai d'acceptation appropriées.
C. Assurer le suivi auprès du parrain du projet pour connaître les budgets et les coûts réels du projet.
D. Examiner la conception fonctionnelle pour déterminer si des contrôles appropriés sont prévus.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 149
Un rapport d'audit du SI mettant en évidence des contrôles internes réseau inadéquats est contesté car aucun incident grave ne s'est jamais produit. Laquelle des
mesures suivantes effectuées au cours de l'audit aurait le MIEUX étayé les constatations ?

A. Tests de conformité
B. Évaluation de la menace et des risques
C. d'intrusion
D. Évaluation de la vulnérabilité

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 150
Un auditeur du SI effectue une revue post-implémentation d'un système déployé il y a deux ans. Laquelle des constatations suivantes devrait préoccuper le plus
l'auditeur ?
A. Les coûts d'entretien n'ont pas été inclus dans les coûts du cycle de vie du projet.
B. Les avantages énoncés dans l'analyse de rentabilisation n'ont pas été réalisés.
C. Les solutions de rechange dues aux défauts restants ont dû être utilisées plus longtemps que prévu.
D. Le système a fait l'objet de plusieurs demandes de modification afin d'étendre davantage les fonctionnalités.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 151
Lequel des éléments suivants un auditeur SI devrait-il recommander comme LE PLUS critique pour un processus efficace d'amélioration de la performance des services informatiques ?

A. Les progrès réalisés par rapport aux objectifs de rendement sont régulièrement communiqués au conseil d'administration.
B. Les objectifs de rendement sont alignés sur un cadre communément accepté.
C. L'analyse des causes profondes des problèmes de service est utilisée pour établir des objectifs de rendement.
D. La direction accepte la responsabilité de l'atteinte des objectifs de rendement.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 152
Lors de l'examen du plan stratégique de TI, le vérificateur des SI doit déterminer s'il identifie :

A. Principales initiatives en matière de TI.

B. liens avec les plans tactiques opérationnels.
C. du personnel informatique
D. les méthodes de gestion de projet utilisées.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 153
Lors d'un examen de l'accès au système, un auditeur du SI note qu'un employé qui a récemment changé de rôle au sein de l'organisation a toujours des droits
d'accès antérieurs. La prochaine étape de l'auditeur devrait être de :

A. déterminer la raison pour laquelle les droits d'accès n'ont pas été révoqués.
B. recommander un contrôle pour mettre à jour automatiquement les droits d'accès.
C. ordonner à la direction de révoquer les droits d'accès actuels.
D. déterminer si les droits d'accès sont en violation des licences logicielles.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 154
Lors de l'embauche des services d'auditeurs externes, lequel des éléments suivants devrait être établi en premier ?

A. Conditions de résiliation
B. Accords de non-divulgation
C. sur le niveau de service
D. Accords au niveau opérationnel

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 155
Un auditeur du SI examinant un processus de gestion des incidents identifie les informations des clients qui ont été perdues en raison d'attaques par
ransomware. Lequel des éléments suivants minimiserait le plus efficacement l'impact d'événements futurs ?

A. Modifiez l'accès aux données client en lecture seule.

B. Améliorer le programme de sensibilisation aux rançongiciels.
C. Sauvegardez les données des clients plus fréquemment.
D. Surveiller toutes les modifications apportées aux données des clients.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 156
Lequel des éléments suivants est le PRINCIPAL avantage de la mise en œuvre de la gestion de la configuration pour l'informatique ?

A. Il aide à l'audit pour vérifier la conformité informatique aux exigences de l'entreprise.

B. Il établit la dépendance des systèmes applicatifs avec divers actifs informatiques.
C. Il offre une visibilité sur la fonction globale et les attributs techniques des actifs informatiques.
D. Il permet d'automatiser les processus de gestion des changements et des versions dans l'informatique.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 157
L'indépendance d'un auditeur SI auditant une application est maintenue si le rôle de l'auditeur se limite à :

A. créer des spécifications système.

B. définir les besoins des utilisateurs.
C. recommander des améliorations au système.
D. conception de règles de contrôle d'accès.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 158
Laquelle des raisons suivantes est la PRINCIPALE raison pour laquelle un auditeur de SI utilise des techniques d'audit assistées par ordinateur (CAAT) ?

A. Pour tester efficacement une population entière

B. Effectuer des tests directs des données de production
C. Effectuer un échantillonnage automatisé pour les tests
D. Permettre un accès plus rapide à l'information

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 159
Un auditeur SI prévoit d'auditer l'infrastructure d'une organisation pour l'accès, l'application de correctifs et la gestion des changements. Lequel des éléments
suivants est la MEILLEURE façon de hiérarchiser les systèmes ?

A. Complexité de l'environnement
B. Criticité du système
C. des systèmes au sein de l'infrastructure
D. Plan de mise hors service du système

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 160
Lequel des éléments suivants serait la PLUS GRANDE préoccupation d'un auditeur de SI examinant une entente d'externalisation des TI ?

A. Plusieurs membres du personnel informatique remplissent les mêmes fonctions que le fournisseur.
B. Le contrat ne comprend pas d'option de renouvellement.
C. L'élaboration des indicateurs clés de performance qui seront utilisés a été confiée au fournisseur.
D. Certaines pénalités ont été annulées lors des négociations contractuelles.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 161
Pour évaluer si les bénéfices attendus d'un projet ont été atteints, il est TRÈS important pour un auditeur SI d'examiner :

A. les questions postérieures à la mise en œuvre.

B. les résultats de l'assurance de la qualité.
C. le calendrier du projet.
D. l'analyse de rentabilisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 162
Pour évaluer au mieux l'efficacité d'un plan de reprise d'activité (PRA), l'auditeur du SI doit examiner :

A. Plan d'essai et résultats des essais antérieurs.

B. les plans et procédures du plan de continuité des activités (PCA).
C. Capacité des installations de secours.
D. l'inventaire du matériel et des logiciels.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 163
Lors d'un audit d'un système critique hébergé dans un centre de données externalisé, un auditeur du SI découvre que la maintenance de routine contractuelle
du générateur d'énergie alternatif n'a pas été effectuée. Lequel des éléments suivants devrait être la PRINCIPALE préoccupation de l'auditeur ?

A. Comportement frauduleux de l'impartiteur facturant des travaux non effectués

B. Panne de la génératrice de secours pendant une panne de courant
C. Coûts de réparation élevés si les pièces défectueuses du générateur ne sont pas détectées à temps
D. Perte de garantie due à un manque d'entretien du système

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 164
Un service de vérification interne a récemment mis en place un programme d'assurance de la qualité (AQ) dans le cadre de son programme de vérification global.
Laquelle des activités suivantes devrait être incluse dans les exigences du programme d'assurance de la qualité ?

A. Communication des résultats du programme au conseil

B. Examen périodique des normes d'audit
C. Analyse des rapports de satisfaction des utilisateurs des secteurs d'activité
D. Planification à long terme de la dotation en personnel de la vérification interne

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 165
Une recommandation convenue précédemment n'a pas été mise en œuvre parce que l'entité vérifiée n'est plus d'accord avec la constatation initiale. Quelle devrait
être la PREMIÈRE ligne de conduite de l'auditeur SI ?

A. exclure la constatation du rapport de vérification de suivi.

B. transmettre le désaccord au comité d'audit.
C. évaluer la raison du désaccord.
D. exiger la mise en œuvre de la recommandation initiale.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 166
Un auditeur du SI a observé des lacunes dans les données dont dispose l'organisation pour détecter les incidents. Laquelle des recommandations suivantes
serait la MEILLEURE pour améliorer la réponse aux incidents de sécurité de l'organisation

capacité?

A. Documenter les procédures de transmission des incidents.

B. Documenter les procédures de classification des incidents.
C. Corréler les journaux de sécurité collectés à partir de plusieurs sources.
D. Centralisez les alertes et les informations du journal de sécurité.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 167
Lors de l'examen de l'efficacité des opérations du centre de données, l'auditeur du SI établirait d'abord que les performances du système :

A. est surveillé et signalé par rapport aux niveaux de service convenus.

B. reflète les niveaux d'utilisation prévus établis lors de la mise en œuvre.
C. atteint les objectifs attendus spécifiés par le fabricant.
D. se situe dans les niveaux de fiabilité généralement reconnus pour ce système.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 168
Une organisation a acheté un ordinateur central de remplacement pour faire face aux exigences de l'augmentation des activités. Lequel des éléments
suivants devrait être la préoccupation PREMIÈRE d'un auditeur SI ?
A. Le plan de reprise après sinistre a été examiné et mis à jour.
B. Les contrôles d'accès aux applications sont adéquats.
C. Des processus appropriés d'évaluation des soumissions ont été suivis.
D. L'approvisionnement respecte le budget prévu pour l'année.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 169
Un auditeur SI découvre des cas où un logiciel avec la même clé de licence est déployé sur plusieurs postes de travail, en violation du contrat de licence. Laquelle
des recommandations suivantes est la MEILLEURE recommandation de l'auditeur ?

A. Évaluer l'analyse de rentabilisation pour le financement de licences supplémentaires.

B. Exigez l'approbation du propriétaire de l'entreprise avant d'accorder l'accès au logiciel.
C. Supprimez les clés incorporées des packages incriminés.
D. Mettre en œuvre une surveillance des licences logicielles pour gérer les doublons.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 170
Le PLUS GRAND avantage de l'audit axé sur les risques est qu'il :

A. démontre la conformité aux exigences réglementaires.

B. permet d'aligner les ressources sur les secteurs à risque important.
C. permet à une organisation de cerner et d'éliminer les secteurs à faible risque.
D. identifie les problèmes au sein d'une organisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 171
Lesquels des éléments suivants sont les MIEUX adaptés à l'audit continu ?

A. Transactions manuelles
B. Transactions irrégulières
C. de faible valeur
D. Transactions en temps réel

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 172
La politique de conservation des données d'une organisation stipule que toutes les données seront sauvegardées, conservées pendant 10 ans, puis détruites.
Lorsqu'il effectue un audit du programme de sauvegarde hors site à long terme, un auditeur SI doit :

A. vérifier que les propriétaires d'entreprise examinent les données avant qu'elles ne soient détruites.
B. vérifier qu'il existe un processus pour assurer la lisibilité et la capacité de restauration.
C. confirmer que l'assurance contre les pertes d'exploitation est en place.
D. examiner les systèmes de classification des données pour déterminer les niveaux de sécurité appropriés.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 173
Lequel des éléments suivants est le PLUS important pour un auditeur SI lors d'une réunion de sortie avec un audité ?

A. S'assurer que les faits présentés dans le rapport sont exacts.

B. Préciser les dates de mise en œuvre des recommandations.
C. Demander des commentaires pour déterminer les mesures correctives.
D. Communiquer les recommandations à la haute direction.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 174
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur de SI effectuant un audit des procédures d'intervention en cas d'incident ?

A. utilisateurs finaux n'ont pas suivi de formation de sensibilisation à la sécurité.

B. La haute direction ne participe pas au processus d'intervention en cas d'incident.
C. Il n'y a pas de procédure en place pour tirer des leçons des incidents de sécurité précédents.
D. Les incidents critiques ne sont pas enregistrés dans un référentiel centralisé.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 175
Un auditeur du SI constate que des données confidentielles de l'entreprise ont été divulguées par inadvertance par ingénierie sociale. Le moyen le plus efficace
d'aider à prévenir une récurrence de ce problème est de mettre en œuvre :

A. des sanctions contre le personnel pour les violations de la politique de sécurité.

B. une solution tierce de prévention des intrusions.
C. un programme de sensibilisation à la sécurité.
D. logiciel de prévention des pertes de données (DLP).

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 176
Une organisation élabore des normes de classification des données et a demandé à la vérification interne des conseils sur l'harmonisation des normes avec les
pratiques exemplaires. L'audit interne recommanderait TRÈS probablement que les normes soient :

A. en fonction des résultats d'une évaluation des risques à l'échelle de l'organisation.

B. en fonction des exigences opérationnelles en matière de confidentialité des renseignements.
C. harmonisé avec les exigences de l'organisation en matière de séparation des tâches.
D. en fonction des exigences opérationnelles en matière d'authentification des renseignements.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 177
Lequel des éléments suivants un auditeur SI considère-t-il comme le risque le plus important associé à un projet de refonte d'un processus d'entreprise ?

A. L'impact négatif du changement peut ne pas être documenté.

B. Le chef de projet est inexpérimenté en systèmes d'information.
C. Les contrôles existants peuvent être affaiblis ou supprimés.
D. Les processus de base existants peuvent ne pas être signalés à la direction.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 178
Une organisation web est développée en interne par une organisation. Lequel des énoncés suivants fournirait la meilleure preuve à un auditeur du SI que
l'application est à l'abri des attaques externes ?

A. Examen du code par un tiers

B. Mise en œuvre d'un pare-feu d'application Web
C. des tests d'intrusion
D. Journaux de surveillance des applications de base de données

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 179
Les rapports de vérification interne doivent être PRINCIPALEMENT rédigés et communiqués aux personnes suivantes :

A. la gestion de l'audit, car ils sont responsables de la qualité de l'audit.

B. les vérificateurs externes, lorsqu'ils donnent une opinion sur les états financiers.
C. les entités auditées, car elles devront éventuellement mettre en œuvre les recommandations.
D. la haute direction, car elle devrait être informée des risques identifiés.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 180
Lequel des éléments suivants est le plus important à vérifier pour un auditeur SI lors de la révision d'une application métier critique nécessitant une haute disponibilité ?

A. algorithmes sont examinés pour résoudre les inefficacités des processus.

B. Les utilisateurs participent à des tests de continuité des activités hors site.
C. Il n'y a pas de point de défaillance unique.
D. Les accords de niveau de service (SLA) sont surveillés.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 181
Quelle procédure fournit la PLUS grande assurance que des mesures correctives ont été prises à un rapport d'audit ?

A. Effectuer des tests de vérification subséquents pour vérifier la résolution des lacunes
B. S'enquérir de l'état actuel de la recommandation
C. Rendre compte au comité d'audit ou au conseil d'administration des mesures spécifiques prises ou de l'absence de mesures
D. Demander une réponse écrite de la direction au rapport d'audit, indiquant les mesures correctives à prendre pour chaque lacune

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 182
Laquelle des actions suivantes doit être effectuée en premier lieu pour définir efficacement l'univers d'audit informatique d'une entité ayant plusieurs secteurs d'activité ?

A. Identifier les risques informatiques résiduels globaux pour chaque secteur d'activité.
B. Obtenir une liste complète des processus informatiques de l'entité.
C. Obtenir une liste complète des actifs fondamentaux pour les activités de l'entité.
D. Déterminer les principaux objectifs de contrôle pour les processus de base de chaque secteur d'activité.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 183
Un auditeur du SI détermine qu'un plan de continuité des activités n'a pas été examiné et approuvé par la direction. Lequel des éléments suivants est le risque le
plus important associé à cette situation ?

A. planification de la continuité peut être soumise à des contraintes de ressources.

B. Le plan peut ne pas être aligné sur les meilleures pratiques de l'industrie.
C. processus opérationnels essentiels peuvent ne pas être traités de manière adéquate.
D. Le plan n'a pas été examiné par la gestion des risques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 184
Après un audit externe du SI, lequel des éléments suivants devrait être le PRINCIPAL facteur à prendre en compte par la direction des TI pour déterminer l'ordre de priorité des activités de suivi ?

A. Le temps écoulé depuis la fin de la vérification initiale.

B. L'importance des constatations rapportées
C. des vérificateurs externes des comptes
D. Planification des changements majeurs dans l'environnement de contrôle

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 185
Lequel des éléments suivants est le plus important lors de la planification d'un audit de réseau ?

A. Détermination de la plage IP utilisée

B. Isolation des points d'accès non autorisés
C. des nœuds existants
D. Analyse du contenu du trafic

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 186
Lequel des éléments suivants est le moyen le plus efficace d'identifier les transactions anormales lors d'une vérification de fraude à la paie ?

A. Vérification de la qualité des dossiers de paie

B. Analyse des données sur les états de paie
C. Observation du traitement des paiements
D. Examen des talons de paye fondé sur des échantillons

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 187
Au cours d'un audit, lequel des éléments suivants serait le plus utile pour établir une base de référence pour mesurer la qualité des données ?

A. Contrôles intégrés de l'application de prévention des erreurs de données

B. Définitions commerciales standard de l'industrie
C. Commentaires des clients
D. Validation des règles par l'entreprise

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 188
L'audit SI est demandé pour expliquer comment les serveurs de réseaux locaux (LAN) peuvent contribuer à une propagation rapide des virus. La meilleure réponse de l'auditeur du SI est la suivante :

A. le logiciel du serveur est la cible principale et est le premier à être infecté.

B. le système d'exploitation du serveur échange des données avec chaque station à partir de chaque connexion.
C. la fonction de partage de fichiers du serveur facilite la distribution des fichiers et des applications.
D. les utilisateurs d'un serveur donné ont une utilisation similaire des applications et des fichiers.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 189
Une organisation permet aux employés d'utiliser des appareils mobiles personnels pour accéder aux informations personnelles des clients. La PLUS GRANDE
préoccupation d'un auditeur de SI devrait être de savoir si :

A. appareils mobiles sont compatibles avec l'infrastructure de l'entreprise.

B. les appareils ont la capacité de séparer les données professionnelles et personnelles.
C. Des politiques de sécurité des appareils mobiles ont été mises en œuvre.
D. les appareils ont des capacités de stockage et de sauvegarde adéquates.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 190
Lors de l'examen d'un système d'application, un auditeur du SI identifie des contrôles automatisés conçus pour empêcher la saisie de transactions en double.
Quelle est la MEILLEURE façon de vérifier que les contrôles fonctionnent comme prévu ?

A. Mettre en œuvre des rapprochements périodiques.

B. Examiner les résultats des tests d'assurance qualité (AQ).
C. Utiliser un logiciel d'audit généralisé pour rechercher les données correspondant aux transactions en double.
D. Saisissez les transactions en double dans une copie du système actif.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 191
Une banque sélectionne un serveur pour son application de comptes de détail. Pour s'assurer que le serveur peut traiter un volume élevé de transactions avec les
temps de réponse requis, quel test l'auditeur SI doit-il recommander ?

A. Régression
B. Acceptation
C. Indice de référence
D. Intégration

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 192
Lors de la réingénierie des processus métier (BPR) des activités de caissier d'une banque, un auditeur SI doit évaluer :

A. l'impact des processus opérationnels modifiés.

B. le coût des nouveaux contrôles.
C. Plans de projet BPR.
D. des plans d'amélioration continue et de suivi.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 193
Lors d'un audit du processus de gestion des incidents d'une organisation, un auditeur SI apprend que l'équipe des opérations de sécurité inclut des rapports
détaillés sur les attaques récentes dans ses communications aux employés. Lequel des éléments suivants est le PLUS GRAND problème dans cette situation
?
A. employés peuvent ne pas comprendre la gravité des menaces.
B. Les rapports peuvent être trop complexes pour un public non technique.
C. Les employés peuvent utiliser à mauvais escient les informations contenues dans les rapports.
D. Il n'existe pas de procédure documentée pour communiquer les rapports.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 194
Une grande compagnie d'assurance est sur le point de remplacer une application financière majeure. Lequel des éléments suivants est l'objectif principal de
l'auditeur des SI lorsqu'il effectue l'examen préalable à la mise en œuvre ?

A. Mises à jour des procédures

B. Migration des données
C. Manuels du système
D. Tests unitaires

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 195
Une équipe d'audit a un calendrier complet approuvé par le comité d'audit. Après avoir commencé certains des audits prévus, la direction a demandé à l'équipe
d'auditer immédiatement un processus supplémentaire. Il n'y a pas assez de ressources disponibles pour ajouter la vérification supplémentaire au calendrier. Lequel
des énoncés suivants est le MEILLEUR plan d'action ?

A. Réviser la portée des audits programmés.

B. Proposer un calendrier d'audit révisé.
C. Approuver les heures supplémentaires pour s'assurer que la vérification est terminée.
D. Envisagez de planifier l'audit pour la prochaine période.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 196
Une vérification interne a révélé que les correctifs critiques n'ont pas été mis en œuvre dans les délais établis par la politique sans raison valable. Lequel des
énoncés suivants est le MEILLEUR plan d'action pour donner suite aux constatations de l'audit ?

A. Surveiller et informer le personnel informatique des correctifs critiques.

B. Évaluer la formation à la gestion des correctifs.
C. Effectuer des audits réguliers sur la mise en œuvre des correctifs critiques.
D. Évaluez le processus de gestion des correctifs.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 197
Une vérification récente a révélé que les contrôles de sécurité requis par les politiques de l'organisation n'ont pas été mis en œuvre pour une application
particulière. Que doit faire le responsable de la sécurité de l'information pour résoudre ce problème ?

A. Refuser l'accès à l'application jusqu'à ce que le problème soit résolu.

B. Discutez de la question avec les dépositaires de données pour déterminer la raison de l'exception.
C. Signaler le problème à la haute direction et demander des fonds pour le résoudre.
D. Discutez du problème avec les propriétaires de données pour déterminer la raison de l'exception.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 198
Lors d'une évaluation de vulnérabilité, un auditeur du SI trouve une vulnérabilité à haut risque dans un serveur Web public utilisé pour traiter les commandes des
clients en ligne par carte de crédit. L'auditeur du SI doit D'ABORD :
A. aviser la direction.
B. repenser le processus de commande client.
C. documenter la constatation dans le rapport.
D. suspendre le traitement des cartes de crédit.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 199
Lequel des énoncés suivants est l'objectif PRINCIPAL de la fonction d'audit des SI ?

A. Effectuer des examens basés sur des normes élaborées par des organisations professionnelles.
B. Rend compte à la direction du fonctionnement des contrôles internes.
C. Certifier l'exactitude des données financières.
D. Faciliter l'extraction de données informatiques pour les tests de corroboration.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 200
Lequel des éléments suivants devrait être la PREMIÈRE activité d'un auditeur SI lors de la planification d'un audit ?

A. Comprendre le domaine à auditer.

B. Documenter les questions précises du programme de vérification.
C. Créez une liste des contrôles clés à examiner.
D. Identifier les ressources appropriées pour les activités de vérification.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 201
Une organisation a récemment été informée par son organisme de réglementation d'écarts importants dans ses données de déclaration. Une enquête préliminaire a
révélé que les écarts étaient causés par des problèmes de qualité des données de l'organisation. La direction a demandé à l'équipe de la qualité des données
d'améliorer son programme. Le comité de vérification a demandé à la vérification interne d'agir à titre de conseiller dans le cadre du processus. Une fois que
l'équipe de qualité des données a identifié les données du système en cause, laquelle des propositions suivantes l'audit interne devrait-elle recommander comme
étape suivante du processus ?
A. Créer des règles métier qui valident la qualité des données.
B. Élaborer un plan d'amélioration.
C. Identifier la cause profonde des problèmes de qualité des données.
D. Identifier les propriétaires des données sources.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 202
Pour sélectionner un échantillon à tester, qui doit inclure les 80 plus gros soldes de clients et un échantillon aléatoire des autres, l'auditeur du SI doit recommander :

A. trier le fichier avec un utilitaire.

B. l'utilisation d'un logiciel d'audit généralisé.
C. appliquer l'échantillonnage des attributs à l'aide d'un logiciel.
D. la mise en place d'une installation d'essai intégrée (ITF).

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 203
Un administrateur de base de données (DBA) extrait une liste d'utilisateurs pour un auditeur en tant que preuve de test. Lequel des éléments suivants fournira la
PLUS grande assurance que la liste des utilisateurs est fiable ?

A. Demande d'une requête qui renvoie le nombre d'utilisateurs.

B. Demande d'une copie de la requête qui a généré la liste des utilisateurs
C. Obtention de l'approbation de l'AD pour attester que la liste est complète
D. Assister à l'exécution de la requête par l'administrateur de base de données en personne

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 204
Lors d'une vérification, on découvre que plusieurs fournisseurs ayant des commandes permanentes ont été supprimés de la
Fichier principal du fournisseur. Lequel des contrôles suivants aurait MIEUX empêché un tel événement ?

A. Vérification des relations logiques

B. Vérification de l'existence
C. Recherches de tableaux
D. Intégrité référentielle

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 205
Un auditeur SI a découvert qu'un firewall dispose de plus de services que nécessaire. La PREMIÈRE recommandation de l'auditeur du SI devrait être de :

A. Assurez-vous que la journalisation est activée.

B. déployer une équipe de pénétration du réseau.
C. Examiner les configurations.
D. éliminer les services à l'exception de HTTPS.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 206
Un auditeur SI constate que les firewalls sont obsolètes et non supportés par les fournisseurs. Lequel des éléments suivants devrait être la PROCHAINE ligne de conduite de l'auditeur ?

A. Déterminez la valeur du pare-feu.

B. Rendre compte de la posture de sécurité de l'organisation.
C. Signalez les mesures d'atténuation.
D. Déterminez le risque de ne pas remplacer le pare-feu.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 207
Lequel des éléments suivants serait le PLUS important pour un auditeur SI à examiner lors d'un audit d'un processus de surveillance continue automatisé utilisé
par le service financier ?

A. Résilience du service de surveillance

B. Double contrôle et approbations intégrées dans les processus
C. par la direction de la documentation d'essai
D. Configuration de l'outil de surveillance

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 208
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur SI examinant les contrôles d'un processus de publication continue de logiciels ?

A. La documentation de la version n'est pas mise à jour pour refléter le déploiement réussi.
B. Les banques d'essai n'ont pas été examinées depuis plus de six mois.
C. Les développeurs peuvent approuver leurs propres versions.
D. La documentation de test n'est pas jointe aux versions de production.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 209
Dans le cadre de l'exécution des activités de suivi, un auditeur des SI s'inquiète du fait que la direction a mis en œuvre des mesures correctives différentes
de celles qui ont été discutées et convenues à l'origine avec la fonction d'audit. Afin de résoudre la situation, la MEILLEURE ligne de conduite de l'auditeur du
SI serait de :
A. déterminer si les contrôles alternatifs atténuent suffisamment le risque et enregistrer les résultats.
B. rejeter les contrôles alternatifs et redéfinir l'ordre de priorité de l'émission initiale comme étant à risque élevé.
C. reporter les activités de suivi et transmettre les contrôles de rechange à la haute direction de la vérification.
D. planifier une autre vérification en raison de la mise en œuvre d'autres contrôles.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 210
Lequel des modes de communication suivants devrait être la plus grande préoccupation d'un auditeur de SI évaluant la mise en réseau des utilisateurs finaux ?
A. Système à système
B. Peer-to-peer
C. Hôte à hôte
D. Client-à-serveur

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 211
Un auditeur SI examine le système de vente et d'achat d'une organisation en raison de problèmes persistants de qualité des données. Une analyse de laquelle
des informations suivantes fournirait les informations les plus utiles pour déterminer la perte de revenus ?

A. Corrélation entre le nombre de problèmes et le temps d'arrêt moyen

B. Coût de la mise en œuvre des contrôles de validation des données dans le système
C. du coût d'acquisition des données et de la perte de chiffre d'affaires
D. Corrélation entre les erreurs de données et la perte de valeur des transactions

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 212
Lors d'un examen du système de réclamations d'une compagnie d'assurance, l'auditeur du SI apprend que les réclamations pour des procédures médicales
spécifiques ne sont acceptables que pour les femmes. Voici un exemple de :

A. key vérification.
B. Vérification de l'exhaustivité.
C. Vérification du caractère raisonnable.
D. vérification des relations logiques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 213
Lequel des éléments suivants devrait préoccuper un auditeur SI effectuant un audit logiciel sur des machines virtuelles ?

A. Les licences logicielles ne prennent pas en charge les machines virtuelles.

B. Le logiciel a été installé sur des machines virtuelles par des utilisateurs privilégiés.
C. Plusieurs utilisateurs peuvent accéder aux applications critiques.
D. Les demandes n'ont pas été approuvées par le DPF.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 214
Un auditeur SI évalue le système de gestion des logs d'une organisation disposant d'appareils et de systèmes dans plusieurs emplacements géographiques.
Lequel des éléments suivants est le PLUS important à vérifier pour l'auditeur ?

A. Les fichiers journaux sont cryptés et signés numériquement.

B. Les fichiers journaux des serveurs sont synchronisés.
C. fichiers journaux sont examinés à plusieurs endroits.
D. Les fichiers journaux sont mis à jour simultanément.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 215
Un auditeur SI examine les tickets de contrôle des changements et trouve une demande de changement d'urgence où un responsable informatique a
approuvé le changement, modifié le code sur la plateforme de production et résolu le ticket. Lequel des éléments suivants devrait être la PLUS GRANDE
préoccupation de l'auditeur ?
A. Il n'y a pas eu d'approbation de suivi de la part de l'entreprise.
B. Le changement a été effectué moins d'une heure après la demande.
C. Il n'y a pas eu d'essais avant d'effectuer le changement de production.
D. Le responsable informatique a effectué la modification et résolu le ticket.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 216
Lors d'une revue du service d'assistance, un auditeur du SI détermine que le taux d'abandon d'appel dépasse les niveaux de service convenus. Quelle
conclusion peut-on tirer de ce constat ?
A. Il n'y a pas suffisamment de lignes téléphoniques disponibles pour le service d'assistance.
B. Il n'y a pas assez de personnel pour gérer le volume d'appels au service d'assistance.
C. Le personnel du service d'assistance n'est pas en mesure de résoudre un nombre suffisant de problèmes dès le premier appel.
D. Les utilisateurs trouvent des solutions auprès d'autres sources.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 217
Un auditeur SI commence une mission et identifie les éléments d'audit pour lesquels il n'est pas qualifié pour évaluer. Lequel des énoncés suivants est le
MEILLEUR plan d'action ?

A. Aviser la direction de l'audit pour qu'elle prenne une décision sur la façon de procéder.
B. Terminer l'audit et fournir une information complète dans le rapport d'audit final.
C. Effectuer l'affectation du travail au mieux des capacités de l'auditeur.
D. Exclure les tests associés du plan d'audit et poursuivre l'affectation.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 218
Lors de l'examen des stratégies de sauvegarde, un auditeur SI DOIT vérifier que les intervalles de sauvegarde des systèmes critiques ne dépassent pas lequel des éléments suivants ?

A. Objectif de point de récupération (RPO)

B. Objectif de temps de récupération (RTO)
C. de niveau de service (SLO)
D. Arrêt maximal acceptable (MAO)

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 219
Parmi les projets suivants, lequel serait le plus important à examiner dans le cadre d'un audit des états financiers d'une organisation ?

A. des ressources du progiciel de gestion intégré (ERP)

B. Améliorations de la sécurité de la base de données sur la relation client
C. des processus de gestion des risques opérationnels
D. du système de paie à un prestataire de services externe

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 220
Un auditeur interne du SI recommande que les fichiers de paiement des comptes fournisseurs entrants soient cryptés. Quel type de contrôle l'auditeur recommande-t-il ?

A. Correctif
B. Détective
C. Prévention
D. Directive

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 221
Un auditeur du SI examinant l'utilisation du chiffrement constate que la clé symétrique est envoyée par un message électronique entre les parties.
Laquelle des réponses suivantes est correcte dans cette situation ?

A. Une constatation d'audit est enregistrée, car la clé doit être asymétrique et donc modifiée.
B. Aucune constatation d'audit n'est enregistrée, car il est normal de distribuer une clé de cette nature de cette manière.
C. Aucun résultat d'audit n'est enregistré, car la clé ne peut être utilisée qu'une seule fois.
D. Une constatation de vérification est enregistrée, car la clé doit être distribuée de manière sécurisée.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 222
Lequel des éléments suivants est le PLUS GRAND risque résultant de la réalisation d'examens périodiques de la TI sur plusieurs années en fonction du même programme
d'audit ?
A. Le nombre d'erreurs augmentera car le travail de routine favorise l'inattention.
B. Le risque de détection est accru parce que les entités vérifiées connaissent déjà le programme d'audit.
C. Le risque de vérification est accru parce que les programmes peuvent ne pas être adaptés à la situation actuelle de l'organisation.
D. Le roulement du personnel du service d'audit augmentera parce que le travail sur le terrain deviendra moins intéressant.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 223
Quelle est la PREMIÈRE étape qu'un auditeur doit suivre lorsqu'il commence un audit de suivi ?

A. Examiner les documents de travail de l'audit précédent.

B. Recueillir des preuves de mesures correctives pour effectuer des tests de contrôle.
C. Examiner les conclusions et les plans d'action précédents.
D. Rencontrer l'entité auditée pour discuter des progrès de l'assainissement.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 224
À la suite d'un audit du SI, lequel des types de risques suivants serait le PLUS critique à communiquer aux principales parties prenantes ?

A. Contrôle
B. Résiduel
C. Vérification
D. Inhérent

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 225
Lors d'un audit des procédures de sécurité de l'information de la boutique en ligne d'un grand détaillant, un auditeur SI constate que les correctifs du système
d'exploitation (OS) sont automatiquement déployés dès leur sortie. Lequel des éléments suivants devrait être la plus grande préoccupation pour l'auditeur ?

A. Les correctifs sont en conflit avec les contrats de licence actuels.

B. Les correctifs sont envoyés par le fournisseur, ce qui augmente le trafic Internet.
C. Les correctifs ne sont pas reflétés dans la base de données de gestion de la configuration.
D. Les correctifs ne sont pas testés avant l'installation sur les serveurs critiques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 226
Lequel des énoncés suivants est la MEILLEURE façon de répondre aux préoccupations constantes concernant la qualité et l'exactitude des vérifications internes ?

A. Entreprendre un examen indépendant de la fonction de vérification.

B. Exiger des examens par les pairs des documents de travail d'audit.
C. en œuvre la gestion de la performance des auditeurs des systèmes d'information.
D. Exiger que la direction de l'audit des SI dirige les réunions de départ.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 227
Un auditeur du SI constate que les utilisateurs en lecture seule d'un système de reporting ne sont pas examinés périodiquement. Lequel des éléments suivants
devrait être la prochaine ligne de conduite de l'auditeur du SI ?

A. Obtenir une confirmation verbale du service informatique pour cette exemption.

B. Examiner la liste des utilisateurs finaux et évaluer l'autorisation.
C. Vérifier l'approbation de la direction pour cette exemption.
D. Signaler cette faiblesse du processus de contrôle à la haute direction.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 228
Laquelle des activités suivantes permettrait à un auditeur de SI de maintenir son indépendance tout en facilitant une autoévaluation des contrôles (ASC) ?

A. Élaboration du questionnaire du PAD

B. Élaboration du plan d'assainissement
C. en œuvre du plan d'assainissement
D. Remplir partiellement le PAD

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 229
Que doit faire un auditeur de SI lorsqu'il est informé que certaines recommandations ne peuvent être mises en œuvre en raison de contraintes financières ?

A. Réponse de la direction des documents dans les documents de travail.

B. Insistez pour que les recommandations soient mises en œuvre.
C. Accepter de renoncer aux recommandations.
D. Suggérer à la direction de trouver des solutions de rechange rentables.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 230
Laquelle des procédures d'audit suivantes serait la plus concluante pour évaluer l'efficacité de la routine d'édition d'un système d'application de commerce électronique ?

A. Entrevues avec des utilisateurs avertis

B. Utilisation d'opérations types
C. du code source
D. Examen de la documentation du programme

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 231
Lequel des éléments suivants serait la PLUS grande préoccupation d'un auditeur lors de l'examen des entrées de données des feuilles de calcul dans le système financier de base ?

A. code non documenté formate les données et les transmet directement à la base de données.
B. Il n'existe pas d'inventaire complet des feuilles de calcul et le nom des fichiers n'est pas cohérent.
C. Les feuilles de calcul sont accessibles à tous les membres du service financier.
D. La politique de protection des données du département n'a pas été révisée ou mise à jour depuis deux ans.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 232
Lequel des éléments suivants devrait être la PREMIÈRE action d'un auditeur SI lors de l'évaluation du risque associé aux données non structurées ?

A. Mettre en œuvre un cryptage fort pour les données non structurées.

B. Mettre en place des contrôles d'accès des utilisateurs aux données non structurées.
C. Identifier les référentiels de données non structurées.
D. Identifier les outils appropriés pour la classification des données.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 233
La direction a accepté d'effectuer plusieurs mesures correctives en réponse à un problème d'audit, y compris la mise en œuvre d'un nouveau contrôle.
Lequel des énoncés suivants est le MEILLEUR moment pour qu'un auditeur SI effectue un suivi d'audit de cette question ?

A. Une fois que la direction a pris les mesures requises

B. Lorsque les ressources d'audit sont disponibles
C. Lorsque des ressources de gestion sont disponibles
D. Après que le nouveau contrôle a été en place pendant un an

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 234
Un audit du SI révèle qu'une organisation ne traite pas de manière proactive les vulnérabilités connues. Lequel des éléments suivants l'auditeur du SI
devrait-il recommander à l'organisation de faire en premier ?

A. Vérifiez que le plan de reprise après sinistre (DRP) a été testé.

B. Assurez-vous que le système de prévention des intrusions (IPS) est efficace.
C. Confirmez que l'équipe de réponse aux incidents comprend le problème.
D. Évaluer les risques de sécurité pour l'entreprise.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 235
Un auditeur du SI conclut que la sécurité d'accès d'un réseau local (LAN) est satisfaisante. En examinant le

, le gestionnaire de l'audit devrait :

A. refaire certaines étapes de l'audit pour vérifier la qualité du travail.

B. vérifier que les éléments d'un plan de vérification convenu ont été pris en compte.
C. vérifier l'accord de la direction des utilisateurs avec les résultats.
D. évaluer si le vérificateur avait les compétences appropriées pour effectuer le travail.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 236
Dans le cadre d'une vérification du SI, l'auditeur note les pratiques énumérées ci-dessous. Lequel des éléments suivants constituerait une préoccupation en matière de séparation des tâches ?

A. Les opérateurs démagnétisent les bandes magnétiques pendant les quarts de nuit.
B. Les programmeurs système ont enregistré l'accès aux paramètres du système d'exploitation.
C. Les programmeurs de systèmes remplissent les fonctions d'opérateurs.
D. Les opérateurs agissent en tant que bibliothécaires sur bande en alternance.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 237
Lors d'un audit, le client apprend que l'auditeur du SI a récemment effectué un examen de sécurité similaire chez un concurrent. Le client s'informe des résultats
de l'audit du concurrent. Quelle est la MEILLEURE façon pour l'auditeur de répondre à cette question ?

A. Expliquez qu'il serait inapproprié de discuter des résultats d'un autre client de vérification.
B. Transmettre la question au gestionnaire de la vérification pour qu'il prenne des mesures supplémentaires.
C. Discuter des résultats de la vérification en omettant les détails liés aux noms et aux produits.
D. Obtenir la permission du concurrent d'utiliser les résultats de l'audit comme exemples pour les futurs clients.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 238
Lequel des éléments suivants est le plus important à vérifier pour un auditeur SI lors de l'examen des pratiques de sécurité de l'information d'une organisation
après l'adoption d'un programme BYOD (Bring Your Own Device) ?

A. Seules les applications approuvées par la sécurité de l'information peuvent être installées sur les appareils.
B. Les avantages attendus de l'adoption du programme AVPA se sont concrétisés.
C. Les politiques de sécurité ont été mises à jour pour inclure le BYOD.
D. L'effacement à distance est activé pour les appareils autorisés par BYOD.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 239
Un auditeur SI est appelé à examiner le processus de gestion du changement d'une grande organisation. Laquelle des pratiques suivantes présente le PLUS GRAND risque ?

A. Les changements de code d'urgence sont encouragés sans test d'acceptation par l'utilisateur.
B. Un administrateur système effectue la migration du code sur les temps d'arrêt planifiés.
C. Les tickets de gestion des changements ne contiennent pas de documentation spécifique.
D. Les modifications des données de transaction peuvent être effectuées par un développeur senior.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 240
Lequel des BEST suivants démontre à un auditeur SI qu'une organisation a mis en place des processus efficaces de gestion des risques ?

A. Les actifs essentiels de l'entreprise font l'objet de contrôles supplémentaires.

B. Le registre des risques est révisé périodiquement.
C. Une analyse des répercussions sur les activités (ARA) a été réalisée.
D. L'inventaire des biens de TI comprend la classification des biens.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 241
Lors d'un audit d'un centre de données, la MEILLEURE façon pour un auditeur SI de comprendre les contrôles de sécurité physique est de :

A. Examinez les procédures de sécurité physique du centre de données.

B. contacter le fournisseur d'alarmes et identifier l'emplacement des alarmes dans le centre de données.
C. faire une visite de l'installation et identifier les contrôles de sécurité physique.
D. obtenir les plans d'ingénierie du bâtiment et identifier les points d'entrée.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 242
Un auditeur SI constate que le système de prévention des pertes de données (DLP) d'une organisation est configuré pour utiliser les paramètres par défaut du
fournisseur afin d'identifier les violations. La PRINCIPALE préoccupation de l'auditeur devrait être que :

A. violations ne peuvent pas être classées en fonction du profil de risque de l'organisation.

B. Les rapports d'infraction ne peuvent pas être conservés en fonction du profil de risque de l'organisation.
C. les rapports d'infraction peuvent ne pas être examinés en temps opportun.
D. un nombre important de violations de faux positifs peuvent être signalées.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 243
Laquelle des recommandations suivantes de la vérification des SI aiderait le MIEUX à assurer que des mesures d'atténuation appropriées seront prises pour les faiblesses des contrôles relevées au cours d'une vérification ?

A. Attribuer des actions au personnel responsable et faire un suivi.

B. Rendre compte des progrès au comité d'audit.
C. Effectuer une analyse coûts-avantages de la stratégie d'assainissement.
D. Mettre en œuvre un logiciel pour saisir les points d'action de l'audit SI.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 244
Lors d'un audit de base de données, un auditeur du SI a constaté des problèmes fréquents dus à la taille croissante des tables de commandes. Laquelle des
recommandations suivantes est la MEILLEURE dans cette situation ?

A. Développer une approche d'archivage.

B. Supprimer périodiquement les commandes terminées.
C. Construire plus d'index de table.
D. Migrer vers un autre système de gestion de base de données.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 245
Laquelle des procédures suivantes un auditeur SI doit-il suivre en premier lieu pour évaluer la pertinence des indicateurs clés de performance (KPI) informatiques ?

A. Calculez indépendamment la précision des KPI.

B. Examinez les indicateurs clés de performance qui indiquent une mauvaise performance informatique.
C. Valider les seuils de KPI.
D. Déterminer si les KPI soutiennent les objectifs informatiques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 246
Lors d'un audit des états financiers d'une organisation, un auditeur du SI constate que les contrôles généraux de la TI sont déficients. Que doit recommander l'auditeur du SI ?

A. Augmenter les tests de conformité des contrôles d'application.

B. Se fier davantage aux contrôles de l'application.
C. les tests de corroboration des soldes financiers.
D. S'appuyer davantage sur le cadre de contrôle.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 247
Un examen interne révèle un système de ressources humaines non soutenu. Lequel des éléments suivants est le PLUS important à déterminer lors de
l'évaluation du risque associé ?

A. Fréquence des pannes associées au système hors support

B. Le nombre de personnes accédant au système sans soutien
C. Exposition du système hors support en dehors du réseau
D. Calendrier de remplacement du système de non-soutien

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 248
Lequel des éléments suivants est le PLUS important pour un auditeur de SI à prendre en compte lors de la détermination d'une taille d'échantillon appropriée
dans les situations où la sélection de l'ensemble de la population n'est pas possible ?

A. Erreur tolérable
B. Accessibilité des données
C. des données
D. Réceptivité de l'entité auditée

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 249
Les ingénieurs de service informatique d'une grande entreprise ne sont pas en mesure de hiérarchiser efficacement les alertes générées par le système à partir
de centaines d'applications exécutées sur plusieurs serveurs et bases de données. Par conséquent, de nombreuses alertes sont souvent ignorées, ce qui
entraîne des problèmes majeurs, notamment des temps d'arrêt. Laquelle des recommandations suivantes est la MEILLEURE SI pour remédier à cette situation
?
A. Donnez la priorité aux alertes provenant d'applications héritées qui peuvent nécessiter une assistance à distance de fournisseurs externes.
B. Mettre en place un système de gestion des seuils qui hiérarchise les alertes sur un certain âge.
C. Élaborer un système de classification qui hiérarchise les alertes en fonction de l'impact potentiel sur l'entreprise.
D. Regrouper les alertes des systèmes associés et les transmettre immédiatement au propriétaire de l'application.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 250
Un auditeur SI constate qu'une équipe de montage de prêts hypothécaires reçoit les demandes de prêt hypothécaire des clients via un référentiel partagé. Laquelle
des procédures de test suivantes est la MEILLEURE façon d'évaluer s'il existe des contrôles de confidentialité adéquats sur ce processus ?

A. Valider si le chiffrement est conforme aux exigences de l'organisation.

B. Valider que les données sont saisies avec exactitude et en temps opportun.
C. Valider si les documents sont supprimés conformément aux procédures de conservation des données.
D. Validez si des mots de passe complexes sont requis.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 251
Un auditeur SI observe qu'une organisation effectue des tests de sauvegarde et de restauration des données de manière ponctuelle sans processus défini. Quel
est le résultat le plus probable d'un événement de perturbation des données ?

A. Augmentation de l'impact des sinistres

B. Diminution de la confidentialité des données
C. Probabilité accrue d'événements à risque futurs
D. Diminution de l'intégrité des données

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 252
Lors de l'examen du plan de projet d'un nouveau système avant sa mise en service, un auditeur du SI constate que l'équipe de projet n'a pas documenté de
plan de secours. Laquelle des propositions suivantes serait la MEILLEURE approche de mise en service dans cette situation ?
A. Traitement parallèle
B. Basculement immédiat
C. en temps réel
D. Équilibrage de charge

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 253
Lequel des éléments suivants est le PLUS important pour un auditeur de SI à déterminer lors de l'évaluation d'une base de données pour les risques liés à la vie privée ?

A. Si les copies des données de production sont masquées

B. Si l'intégrité du dictionnaire de données est maintenue
C. Si les procédures d'importation et d'exportation de données sont approuvées
D. Si toutes les tables de base de données sont normalisées

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 254
Lequel des éléments suivants est le PLUS important pour un auditeur SI à prendre en compte lors de l'évaluation d'un accord SaaS (Software as a Service) ?

A. Coût total de possession

B. Fréquence des mises à jour logicielles
C. physique
D. Disponibilité des logiciels

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 255
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur SI lors de l'évaluation de la préparation à la production d'un nouveau système ?

A. Un défaut du système a été détecté lors des tests d'acceptation par l'utilisateur.
B. La documentation de la conception fonctionnelle n'est pas complète.
C. Les exigences fonctionnelles n'ont pas été satisfaites.
D. Les avantages prévus n'ont pas été réalisés.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 256
Laquelle des conclusions suivantes devrait être la plus grande préoccupation pour un auditeur de SI lors de l'audit de l'efficacité d'un test de simulation
d'hameçonnage administré aux membres du personnel ?

A. Les membres du personnel n'ont pas été informés du test à l'avance.

B. Les résultats des tests n'ont pas été communiqués aux membres du personnel.
C. fonctionnaires qui ont échoué au test n'ont pas reçu de formation de suivi.
D. Aucune formation de sensibilisation à la sécurité n'a été offerte avant le test.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 257
Lors d'un examen du processus de réponse aux menaces réseau d'une organisation, l'auditeur du SI a remarqué que la majorité des alertes étaient fermées sans
résolution. La direction a répondu que ces alertes étaient irréalisables en raison d'un manque de renseignements exploitables, et que l'équipe d'assistance était
donc autorisée à les fermer. Quelle est la MEILLEURE façon pour l'auditeur de faire face à cette situation ?

A. Un examen plus approfondi a permis de fermer les alertes non traitées pour identifier les mauvaises manipulations des menaces.
B. Omettre la constatation du rapport, car cette pratique est conforme à la politique actuelle.
C. Recommander que la direction améliore la politique et la formation sur la sensibilisation aux menaces.
D. Rouvrir les alertes non traitées et en faire rapport au comité d'audit.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 258
Un auditeur des SI recommanderait TRÈS probablement à la direction informatique d'utiliser un tableau de bord prospectif pour :
A. s'assurer que le personnel informatique répond aux exigences de performance.
B. former et éduquer le personnel informatique.
C. indiquer si l'organisme respecte les normes de qualité.
D. évaluer les fonctions et les processus informatiques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 259
Lequel des éléments suivants un auditeur SI devrait-il recommander pour réduire la probabilité que des intrus potentiels utilisent l'ingénierie sociale ?

A. Effectuer des simulations d'attaques.

B. Interdire l'utilisation des plateformes de réseaux sociaux.
C. Mettre en place un système de détection d'intrusion (IDS).
D. Déployer un programme de sensibilisation à la sécurité.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 260
Un auditeur des SI note que les avantages attendus d'un projet d'infrastructure en cours ont changé en raison de la récente restructuration organisationnelle.
Laquelle des recommandations suivantes est la MEILLEURE recommandation de l'auditeur des SI ?

A. Examinez et approuvez à nouveau l'analyse de rentabilisation.

B. Réviser les buts et objectifs de l'entreprise.
C. Mener une nouvelle étude de faisabilité.
D. Examiner et mettre à jour l'analyse des répercussions sur les activités (ARA).

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 261
Lors de l'examen d'un système de management de la qualité (SMQ) nouvellement mis en œuvre, lequel des éléments suivants devrait être la PRINCIPALE préoccupation de l'auditeur SI ?

A. Les mesures des avantages du système de gestion de la qualité n'ont pas été incluses dans l'analyse de rentabilisation.
B. La méthodologie de test du SMQ n'est pas clairement documentée.
C. L'examen post-mise en œuvre du système de gestion de la qualité n'est pas terminé.
D. Le SGQ n'est pas mis en correspondance avec certains processus opérationnels de base.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 262
Quelle serait la PLUS GRANDE préoccupation d'un auditeur SI lors de l'utilisation d'un environnement de test pour un audit applicatif ?

A. environnements de test et de production manquent de cryptage des données.

B. Les développeurs ont accès à l'environnement de test.
C. La période de conservation des données d'essai a été dépassée.
D. Les environnements de test et de production ne se reflètent pas.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 263
Après la sortie d'un système applicatif, un auditeur SI souhaite vérifier que le système apporte de la valeur à l'organisation. La MEILLEURE ligne de conduite de
l'auditeur serait de :

A. examiner les résultats des tests de conformité.

B. quantifier les améliorations de la satisfaction des clients.
C. confirmer que le risque a diminué depuis la publication du système d'application.
D. effectuer une analyse des écarts par rapport aux avantages définis dans l'analyse de rentabilisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 264
Quelle est la recommandation BEST d'un auditeur SI pour la direction si une évaluation de la vulnérabilité du réseau confirme que les correctifs critiques n'ont pas
été appliqués depuis la dernière évaluation ?
A. Mettre en œuvre un processus pour tester et appliquer les correctifs appropriés.
B. Appliquez les correctifs disponibles et continuez la surveillance périodique.
C. Configurez les serveurs pour appliquer automatiquement les correctifs disponibles.
D. Supprimez les périphériques non corrigés du réseau.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 265
Lors de l'examen d'un calendrier de production, un auditeur du SI constate qu'un membre du personnel ne respecte pas les procédures opérationnelles obligatoires.
La prochaine étape de l'auditeur devrait être de :

A. déterminer pourquoi les procédures n'ont pas été suivies.

B. inclure la non-conformité dans le rapport d'audit.
C. noter la non-conformité dans les documents de travail de vérification.
D. émettre une note de vérification identifiant la non-conformité.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 266
Lequel des éléments suivants un auditeur de SI devrait-il se préoccuper le plus lorsqu'un système utilise l'identification par radiofréquence (RFID) ?

A. Évolutivité
B. Maintenabilité
C.
D. Protection des renseignements personnels

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 267
Un auditeur SI effectue un examen des rapports d'un fournisseur tiers sur les indicateurs clés de performance (KPI). Laquelle des constatations suivantes
devrait préoccuper le plus l'auditeur ?

A. Certains KPI ne sont pas documentés.

B. Les KPI n'ont jamais été mis à jour.
C. Les données des indicateurs clés de performance ne sont pas analysées.
D. Les indicateurs clés de performance ne sont pas clairement définis.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 268
Un auditeur du SI note que l'application de l'activité du super-utilisateur n'a pas été enregistrée dans les journaux du système. Quel est le MEILLEUR plan d'action de l'auditeur ?

A. Recommander un modèle d'accès au moindre privilège.

B. Rechercher la raison de l'absence d'enregistrement.
C. Signalez le problème au gestionnaire de la vérification.
D. Recommander l'activation de la journalisation de l'activité des super-utilisateurs.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 269
Un auditeur SI découvre un problème récurrent de processus de contrôle logiciel qui impacte gravement l'efficacité d'un processus métier critique. Laquelle des
recommandations suivantes est la MEILLEURE ?

A. Remplacez le système défectueux.

B. Déterminer les contrôles compensatoires.
C. Identifier les autres processus touchés.
D. Déterminez la cause profonde du problème.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 270
Un employé quitte le service de gestion des risques d'une organisation pour devenir l'auditeur principal des SI. Au sein du service de gestion des risques,
l'employé a contribué à l'élaboration des indicateurs clés de performance (KPI) désormais utilisés par l'organisation. Lequel des éléments suivants constituerait la
PLUS GRANDE menace pour l'indépendance de cet auditeur ?
A. Évaluation de l'efficacité des processus de gestion des risques liés aux TI
B. Recommander des contrôles pour gérer les risques informatiques identifiés par les indicateurs clés de performance
C. d'indicateurs clés de performance pour évaluer l'équipe d'audit interne
D. Formation de l'équipe d'audit informatique sur les processus de gestion des risques informatiques

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 271
Suite à une faille de sécurité dans laquelle un pirate a exploité une vulnérabilité bien connue dans le contrôleur de domaine, un auditeur SI a été sollicité pour
réaliser une évaluation de contrôle. La MEILLEURE ligne de conduite de l'auditeur serait de déterminer si :

A. le contrôleur de domaine a été classé pour haute disponibilité.

B. le trafic réseau était surveillé.
C. les correctifs ont été mis à jour.
D. les journaux ont été surveillés.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 272
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur SI effectuant un audit des processus de sauvegarde d'une organisation ?

A. Une stratégie de sauvegarde écrite n'est pas disponible.

B. Les échecs de sauvegarde ne sont pas résolus en temps opportun.
C. Le processus de restauration est lent en raison de problèmes de connectivité.
D. Les niveaux de service ne sont pas atteints.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 273
Les outils de surveillance des performances signalent que les serveurs sont constamment au-dessus de la capacité d'utilisation recommandée.
Laquelle des propositions suivantes est la MEILLEURE recommandation de l'auditeur SI ?

A. Élaborer un plan de capacité basé sur les projections d'utilisation.

B. Déployez des équilibreurs de charge.
C. Surveillez les journaux d'activité.
D. Ajoutez des serveurs jusqu'à ce que l'utilisation atteigne la capacité cible.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 274
Lequel des éléments suivants serait le plus critique pour un auditeur SI lors de l'évaluation des précautions contre l'incendie dans un centre de données habité situé
à l'étage supérieur d'un bâtiment à plusieurs étages ?

A. Présence d'extincteurs portatifs dans des endroits très visibles

B. Documentation des inspections régulières par le service d'incendie local
C. Adéquation du système CVC dans l'ensemble de l'installation
D. Documentation des plans d'évacuation d'urgence testés

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 275
Laquelle des constatations suivantes devrait être la PLUS grande préoccupation d'un auditeur SI lors de l'examen de l'achat de nouveau matériel d'infrastructure informatique par une organisation ?

A. La nouvelle infrastructure est arrivée avec les paramètres système par défaut.
B. La nouvelle infrastructure comporte un risque résiduel dans la tolérance au risque de l'organisation.
C. Les exigences de renforcement de la nouvelle infrastructure sont plus strictes que ne l'exige la politique.
D. La nouvelle infrastructure présente des problèmes de compatibilité avec les systèmes existants.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 276
La méthode la plus efficace pour un auditeur du SI pour déterminer quels contrôles fonctionnent dans un
Le système consiste à :

A. comparer la configuration actuelle à la norme de l'entreprise.

B. consulter le programmeur des systèmes.
C. consulter le fournisseur du système.
D. comparer la configuration actuelle à la configuration par défaut.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 277
Pour tester l'intégrité des données du fichier principal des comptes clients, un auditeur de SI est particulièrement intéressé à examiner les clients dont le solde est
supérieur à 400 000 $. La technique de sélection que l'auditeur du SI utiliserait pour obtenir un tel échantillon s'appelle :

A. sélection aléatoire.
B. sélection systématique.
C. sélection par découverte.
D. stratification.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 278
Lors de la planification de l'audit, un auditeur du SI a passé en revue la conception des contrôles liés à un nouvel outil de prévention des pertes de données
(DLP). Il a été noté que l'outil sera configuré pour alerter la direction informatique lorsque des fichiers volumineux sont envoyés à l'extérieur de l'organisation
par courrier électronique. Quel type de contrôle sera testé ?
A. Détective
B. Correctif
C. Directive
D. Préventif

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 279
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur SI lors de l'audit du programme de sensibilisation à la sécurité de l'information d'une organisation ?

A. La formation de sensibilisation à la sécurité n'est pas incluse dans le processus d'intégration des nouveaux employés.
B. Le nombre d'incidents de sécurité signalés par les employés au service d'assistance a augmenté au cours de la dernière année.
C. Les quiz de formation sont conçus et gérés par une société tierce dans le cadre d'un contrat avec l'organisation.
D. La formation à la sensibilisation à la sécurité est dispensée par l'intermédiaire du portail d'apprentissage en ligne de l'organisation.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 280
Une application héritée s'exécute sur un système d'exploitation qui n'est plus pris en charge par le fournisseur. Si l'organisation continue d'utiliser l'application
actuelle, laquelle des propositions suivantes devrait être la PLUS GRANDE préoccupation du vérificateur du SI ?

A. Exploitation potentielle des vulnérabilités zero-day dans le système

B. Impossibilité de mettre à jour la base de données de l'ancienne application
C. du coût de l'entretien du système
D. Impossibilité d'utiliser le système d'exploitation en raison de problèmes de licence potentiels

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 281
Un plan d'audit quinquennal prévoit des audits généraux tous les ans et des audits d'application en alternance. Pour atteindre une plus grande efficacité, le
responsable de l'audit des SI devrait TRÈS probablement :

A. poursuivre le plan et intégrer toutes les nouvelles applications.

B. alterner chaque année entre l'autoévaluation des contrôles (ARC) et les audits généraux.
C. mettre en œuvre des critères d'évaluation des risques pour déterminer les priorités de vérification.
D. avoir des autoévaluations de contrôle (ARC) et des vérifications officielles des demandes en alternance.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 282
Lequel des éléments suivants serait la PLUS grande préoccupation d'un auditeur SI lors de l'évaluation d'un plan de réponse aux incidents de cybersécurité ?

A. Le plan n'a pas été testé récemment.

B. Les rôles et responsabilités ne sont pas détaillés pour chaque processus.
C. Les coordonnées des intervenants ne sont pas à jour.
D. Le plan n'inclut pas de mesures de réponse aux incidents.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 283
Une organisation a accepté d'effectuer des mesures correctives liées aux constatations de vérification à risque élevé. Le processus de correction implique une
réorganisation complexe des rôles des utilisateurs ainsi que la mise en œuvre de plusieurs contrôles compensatoires qui pourraient ne pas être terminés au cours
du prochain cycle d'audit. Lequel des éléments suivants est la MEILLEURE façon pour un auditeur de SI de suivre les activités ?

A. Examiner régulièrement les progrès de l'assainissement.

B. Fournir à la direction un calendrier de correction et vérifier le respect.
C. Continuer à vérifier les contrôles défaillants conformément au calendrier de vérification.
D. Planifier une révision des contrôles après la date de correction prévue.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 284
Le rôle PREMIER de l'auditeur SI dans l'autoévaluation des contrôles (CSA) est de :

A. évaluer les contrôles.

B. faciliter le processus.
C. identifier les faiblesses.
D. élaborer un plan d'action.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 285
Lequel des énoncés suivants est le MEILLEUR plan d'action d'un auditeur de SI lorsqu'il apprend que les contrôles préventifs ont été remplacés par des contrôles de détection et correctifs ?

A. Signalez le problème à la direction lorsque le niveau de risque a augmenté.

B. Recommander la mise en œuvre de contrôles préventifs en plus des autres contrôles.
C. Vérifier que les contrôles révisés améliorent l'efficacité des processus opérationnels connexes.
D. Évaluer si les nouveaux contrôles gèrent le risque à un niveau acceptable.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 286
Laquelle des actions suivantes l'auditeur SI doit-il faire en premier pour garantir l'intégrité du transfert de données pour les appareils de l'Internet des objets (IoT) ?

A. Vérifiez les listes de contrôle d'accès à la base de données où les données collectées sont stockées.
B. Confirmez que des limites acceptables de bande passante de données sont définies pour chaque périphérique.
C. Assurez-vous que le transport de télémétrie de file d'attente de messages (MQTT) est utilisé.
D. Déterminez comment les périphériques sont connectés au réseau local.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 287
Un auditeur du SI constate que les appareils mobiles d'entreprise utilisés par les employés ont différents niveaux
de paramètres de mot de passe. Laquelle des recommandations suivantes serait la MEILLEURE ?

A. Mettre à jour la politique d'utilisation acceptable pour les appareils mobiles.

B. Demander aux employés de définir des mots de passe à une longueur spécifiée.
C. Chiffrez les données entre la passerelle d'entreprise et les appareils.
D. Appliquez une stratégie de sécurité aux appareils mobiles.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION N° 288
Lors de la planification d'un audit d'application, il est TRÈS important d'évaluer les facteurs de risque en interrogeant :
A. les propriétaires de processus.
B. les propriétaires d'applications.
C. Gestion informatique.
D. utilisateurs de l'application.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 289
Le calendrier des suivis de vérification devrait être fondé PRINCIPALEMENT sur :

A. les coûts et les efforts d'audit impliqués.

B. les engagements de temps de l'entité auditée et de l'auditeur.
C. le risque et l'exposition encourus.
D. les processus de contrôle et de détection.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 290
Un contrat de niveau de service (SLA) fournisseur exige que les sauvegardes soient physiquement sécurisées. Un audit du système de sauvegarde du SI a
révélé qu'un certain nombre de supports de sauvegarde étaient manquants. Laquelle des étapes suivantes devrait être la prochaine étape de l'auditeur ?

A. Recommander un examen du contrat du fournisseur.

B. Recommander l'identification des données stockées sur les supports manquants.
C. Aviser la direction générale.
D. Inclure la constatation de support de sauvegarde manquant dans le rapport d'audit.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 291
Un service de vérification interne a récemment mis en place un programme d'assurance de la qualité (AQ) dans le cadre de son programme de vérification global.
Laquelle des activités suivantes est LA PLUS importante à inclure dans les exigences du programme d'assurance qualité ?

A. Mettre en œuvre des plans de mesures correctives.

B. Examen périodique des normes d'audit
C. Analyse des rapports de satisfaction des utilisateurs des secteurs d'activité
D. Création d'un plan à long terme pour la dotation en personnel de la vérification interne

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 292
Lequel des éléments suivants serait le plus préoccupant pour un auditeur SI évaluant la conception des processus de gestion des incidents d'une organisation ?

A. Les mesures ne sont pas communiquées à la haute direction.

B. Les normes de gestion des services ne sont pas respectées.
C. Le temps prévu pour résoudre les incidents n'est pas précisé.
D. Les critères de priorisation ne sont pas définis.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 293
Lors d'un examen des pratiques de gestion des incidents informatiques d'une organisation, le vérificateur du SI constate que la qualité de la documentation de
résolution des incidents est médiocre. Laquelle des recommandations suivantes est la MEILLEURE pour aider à résoudre ce problème ?

A. Demandez au personnel du centre de services de créer de la documentation en choisissant parmi des réponses présélectionnées dans l'outil de gestion des services.
B. Exiger du personnel du centre de services qu'il n'ouvre les tickets d'incident que lorsqu'il dispose de suffisamment d'informations.
C. Réviser les procédures de résolution des incidents et fournir une formation au personnel du centre de services sur les mises à jour applicables.
D. Exiger un examen par les pairs de la documentation de résolution suivi de l'approbation de la direction du centre de services.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 294
Quelle est la MEILLEURE ligne de conduite d'un auditeur des SI lorsqu'il reçoit une mise à jour indiquant que les recommandations de l'audit relatives à la
séparation des tâches du personnel financier ont été mises en œuvre ?
A. Vérifier que des contrôles suffisants de la séparation des tâches sont en place.
B. Demander de la documentation sur la politique et les procédures de séparation des tâches.
C. Noter la réponse du ministère dans les documents de travail et les dossiers de vérification.
D. Confirmer auprès de l'entreprise que les recommandations sont mises en œuvre.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 295
Lors de l'examen de la surveillance des capacités, un auditeur SI remarque plusieurs incidents où les limites de capacité de stockage ont été atteintes, alors que
l'utilisation moyenne était inférieure à 30 %. Lequel des éléments suivants l'auditeur du SI identifierait-il le plus probablement comme la cause profonde ?

A. La réponse informatique aux alertes a été trop lente.

B. La quantité de données produites était inacceptable pour les opérations.
C. L'espace de stockage aurait dû être agrandi à temps.
D. La dynamique de l'utilisation n'a pas été correctement prise en compte.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 296
Un auditeur des SI examine le processus suivi pour identifier et hiérarchiser les processus opérationnels
critiques. Ce processus s'inscrit dans le cadre :

A. Tableau de bord prospectif.

B. Analyse d'impact sur les activités (BIA).
C. Composante opérationnelle du plan de continuité des activités (PCA).
D. Plan de gestion des risques d'entreprise.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 297
Lors de l'évaluation d'une analyse de rentabilisation dans le cadre d'un examen post-mise en œuvre, l'auditeur du SI doit s'assurer que :

A. La faisabilité d'autres approches de projet a été évaluée.

B. l'analyse de rentabilisation n'a pas été modifiée depuis l'approbation du projet.
C. Des mesures d'assurance de la qualité ont été appliquées tout au long du projet.
D. les modifications apportées à l'analyse de rentabilisation ont été approuvées.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 298
Lors de l'audit du fournisseur de services cloud d'un service informatique, l'auditeur du SI a constaté que la surveillance des accès privilégiés n'est pas effectuée
comme l'exige le contrat. Le fournisseur n'est pas d'accord avec cette question et note que des contrôles compensatoires sont en place. La prochaine ligne de
conduite de l'auditeur des SI devrait être de :
A. tester les contrôles compensatoires dans le cadre de l'audit.
B. définir un plan de remédiation.
C. Examinez les journaux d'accès privilégiés.
D. recommander de réviser l'accord de niveau de service (SLA).

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 299
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur SI examinant le programme de sécurité de l'information d'une organisation ?

A. Le programme n'a pas été officiellement approuvé par le sponsor.

B. Les indicateurs clés de performance (IRC) ne sont pas établis.
C. Le personnel des TI n'est pas tous au courant du programme.
D. Le programme a été mis à jour pour la dernière fois il y a cinq ans.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 300
Lors d'une vérification de la gestion des incidents, un vérificateur du SI constate que plusieurs incidents similaires ont été enregistrés au cours de la période d'audit.
Lequel des énoncés suivants est le plan d'action le plus important de l'auditeur ?
A. Documenter la constatation et la présenter à la direction.
B. Déterminer si une analyse des causes profondes a été effectuée.
C. Valider si tous les incidents ont été traités.
D. Confirmez le délai de résolution des incidents.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 301
Laquelle des responsabilités suivantes de la fonction d'assurance qualité d'une organisation devrait susciter des préoccupations pour un auditeur de SI ?

A. S'assurer que les travaux d'essai appuient les observations

B. Veiller au respect des normes dans le processus d'élaboration
C. Mettre en œuvre des solutions pour corriger les défauts
D. Mise à jour de la méthodologie de développement

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 302
Lequel des documents suivants est le document le plus approprié pour accorder l'autorisation à un auditeur externe du SI dans le cadre d'une mission d'audit avec une organisation cliente ?

A. Énoncé des travaux approuvé

B. Charte d'audit officiellement approuvée
C. Une note interne à toutes les parties concernées
D. Demande de propositions pour des services d'audit

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 303
Lequel des éléments suivants est le PLUS important à évaluer pour un auditeur SI lorsqu'il détermine l'efficacité d'un programme de sécurité de l'information ?

A. Pourcentage d'utilisateurs connaissant les objectifs du programme de sécurité

B. Pourcentage d'exceptions aux politiques qui ont été approuvées avec justification
C. Pourcentage des objectifs de contrôle souhaités atteints
D. Pourcentage d'incidents de sécurité signalés

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 304
Lors de l'audit du processus d'acquisition de logiciels d'une organisation, la MEILLEURE façon pour un auditeur SI de comprendre les avantages logiciels pour
l'organisation serait d'examiner les éléments suivants :

A. demande de propositions (RFP).

B. étude de faisabilité.
C. Alignement sur la stratégie informatique.
D. analyse de rentabilisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 305
Lequel des éléments suivants devrait être la PLUS grande préoccupation d'un auditeur SI évaluant les politiques d'une organisation ?

A. Les politiques ne sont pas officiellement approuvées par la direction.

B. Les politiques ne sont pas officiellement reconnues et signées par les employés.
C. Les politiques n'offrent pas une protection adéquate à l'organisation.
D. Les politiques ne sont pas révisées et mises à jour fréquemment.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 306
Lequel des éléments suivants est la MEILLEURE source d'information pour un auditeur SI lors de la planification d'un audit des contrôles d'une application métier ?

A. Documentation utilisateur
B. Procédures de contrôle des modifications
C. Listes de contrôle d'accès
D. Diagrammes de processus

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 307
Un auditeur du SI note qu'un groupe de gestion des prêts conserve les informations personnelles identifiables (PII) des clients sur un disque partagé. Lequel
des éléments suivants est le plus important pour assurer la conformité aux principes de protection de la vie privée ?

A. Les sauvegardes sont effectuées conformément à la politique de l'organisation.

B. L'accès au lecteur partagé doit être approuvé par le responsable du groupe.
C. Les données sont conservées conformément à la politique de conservation de l'entreprise.
D. Tous les éléments clés des données client sont saisis sur le lecteur partagé.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 308
Un auditeur SI évalue les contrôles d'accès d'une multinationale disposant d'une infrastructure réseau partagée. Lequel des éléments suivants est le PLUS important ?

A. Simplicité des voies de communication de bout en bout

B. Administration du réseau à distance
C. communes en matière de sécurité
D. Enregistrement des informations réseau au niveau de l'utilisateur

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 309
Lequel des éléments suivants est le risque le plus important qu'un auditeur de SI devrait prendre en compte lors de l'examen du système de demande d'une société de cartes de crédit ?

A. Protection des données

B. Délais de traitement
C. du système
D. Notations de crédit

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 310
Lequel des éléments suivants devrait être la principale préoccupation d'un auditeur SI lors de l'évaluation des politiques, procédures et contrôles de sécurité de
l'information d'une organisation pour les fournisseurs tiers ?

A. Les fournisseurs tiers ont leurs propres exigences en matière de sécurité de l'information.
B. L'organisation est toujours responsable de la protection des données.
C. La non-conformité est facilement détectée.
D. Les mêmes procédures et contrôles sont utilisés pour tous les fournisseurs tiers.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 311
Au cours d'une vérification de suivi, un vérificateur des SI constate que certaines recommandations critiques n'ont pas été mises en œuvre, car la direction a
décidé d'accepter le risque. Lequel des énoncés suivants est la MEILLEURE ligne de conduite de l'auditeur des SI ?

A. Ajuster l'évaluation annuelle des risques en conséquence.

B. Exiger de l'entité auditée qu'elle donne suite aux recommandations dans leur intégralité.
C. Évaluer l'acceptation du risque par la haute direction.
D. Mettre à jour le programme d'audit en fonction de l'acceptation du risque par la direction.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 312
Dans le cadre d'un suivi de l'audit d'une année précédente, un auditeur du SI a augmenté le taux d'erreur prévu pour un échantillon. Quel est l'impact ?

A. le degré d'assurance augmente.

B. l'écart-type diminue.
C. le risque d'échantillonnage diminue.
D. augmentation de la taille de l'échantillon requise.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 313
Lors d'un audit de base de données de gestion des fournisseurs, un auditeur SI identifie plusieurs cas de doublons d'enregistrements fournisseurs. Afin d'éviter
que le même problème ne se reproduise, laquelle des recommandations suivantes de l'auditeur du SI à la direction ?

A. Effectuer des vérifications du système pour les valeurs de données uniques sur les champs clés.
B. Demander l'approbation de la haute direction pour tous les détails sur les nouveaux fournisseurs.
C. Exécuter périodiquement des rapports système sur les listes complètes de fournisseurs pour détecter les doublons.
D. Intégrer un contrôle de la séparation des tâches dans le processus de création des fournisseurs.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 314
Lors de la mise en place d'un nouveau système, un auditeur SI doit évaluer si certains calculs automatisés sont conformes aux exigences réglementaires. Lequel
des éléments suivants est la MEILLEURE façon d'obtenir cette assurance ?

A. Inspecter les résultats des tests d'acceptation par l'utilisateur (UAT).

B. Refaites le calcul avec un logiciel d'audit.
C. Examiner les documents d'approbation.
D. Examinez le code source lié au calcul.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 315
Un auditeur SI a été chargé d'examiner un système de management de la qualité (SMQ) récemment mis en place. Lequel des éléments suivants devrait être
l'objectif principal de l'auditeur ?

A. Matériel de formation préparé pour encadrer les employés

B. Processus de mesure du rendement des opérations essentielles à l'entreprise
C. de documentation du système de gestion de la qualité mis en œuvre
D. Stabilité du système de gestion de la qualité mis en œuvre dans le temps

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 316
Lequel des éléments suivants devrait être la préoccupation PRINCIPALE d'un auditeur SI lors de l'examen d'un accord de niveau de service (SLA) informatique externe pour les opérations informatiques ?

A. Pas de plan de relève des employés

B. Les changements dans les services ne sont pas suivis
C. de dispositions relatives à l'entiercement des logiciels
D. Le fournisseur a le contrôle exclusif des ressources informatiques

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 317
Un auditeur du SI constate qu'un employé a un accès non autorisé à des données confidentielles. Le MEILLEUR de l'auditeur SI

La recommandation devrait être la suivante :

A. reclassifier les données à un niveau de confidentialité inférieur.

B. recommander des mesures correctives à prendre par l'administrateur de la sécurité.
C. mettre en œuvre un schéma de mot de passe fort pour les utilisateurs.
D. exiger du propriétaire de l'entreprise qu'il effectue des examens réguliers de l'accès.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 318
Un auditeur SI examine la liste de contrôle d'accès au routeur principal d'une organisation. Lequel des éléments suivants devrait aboutir à une conclusion ?
A. Le groupe de sécurité réseau peut modifier la traduction d'adresses réseau (NAT).
B. Il existe des règles contradictoires en matière d'autorisation et de refus pour le groupe informatique.
C. Il n'y a qu'une seule règle par groupe avec des privilèges d'accès.
D. Les autorisations individuelles remplacent les autorisations de groupe.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 319
Lequel des énoncés suivants décrit le mieux un risque d'audit ?

A. Le rapport financier peut contenir des erreurs matérielles non détectées.

B. La société est poursuivie pour de fausses accusations.
C. Les employés clés n'ont pas pris de vacances depuis 2 ans.
D. Les employés ont détourné des fonds.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 320
Un auditeur du SI note que plusieurs serveurs d'un client sont vulnérables aux attaques en raison de ports et de protocoles ouverts et inutilisés. L'auditeur
recommande à la direction de mettre en œuvre des exigences minimales en matière de sécurité. Quel type de contrôle a été recommandé ?

A. Préventif
B. Correctif
C. Directive
D. Compensation

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 321
Laquelle des raisons suivantes est la PRINCIPALE raison pour laquelle un auditeur SI trace le récit d'un processus métier ?

A. Vérifier que le processus opérationnel est conforme à la lettre de mission

B. Identifier les ressources nécessaires à la réalisation de l'audit
C. l'harmonisation avec les objectifs de l'Organisation
D. Pour mieux comprendre les risques potentiels

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 322
Lequel des énoncés suivants est la MEILLEURE façon pour un auditeur SI d'évaluer l'efficacité des procédures de sauvegarde ?

A. Passez en revue la planification de la sauvegarde.

B. Évaluez la dernière restauration de données.
C. Inspectez les journaux de sauvegarde.
D. Interrogez le propriétaire des données.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 323
Un auditeur SI audite l'infrastructure d'une organisation qui héberge des applications critiques au sein d'un environnement virtuel. Lequel des éléments suivants est
le plus important pour l'auditeur ?

A. La possibilité de copier et de déplacer des machines virtuelles en temps réel

B. Les contrôles en place pour empêcher la compromission de l'hôte
C. découlant de la gestion du système d'une infrastructure virtuelle
D. Qualifications des employés gérant les demandes

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 324
Lors de l'examen d'une base de données appuyée par un tiers fournisseur de services, un auditeur du SI a constaté des lacunes mineures en matière de
contrôle. L'auditeur doit d'abord discuter des recommandations avec :
A. Responsable de l'équipe de support aux prestataires de services
B. Gestionnaire de niveau de service de l'organisation
C. dirigeant principal de l'information (DPI) de l'organisation
D. Liaison contractuelle avec les fournisseurs de services

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 325
À la suite d'un audit informatique, la direction a décidé d'accepter le risque mis en évidence dans le rapport d'audit. Lequel des énoncés suivants fournirait
l'assurance la plus FORTE à l'auditeur du SI que la direction équilibre adéquatement les besoins de l'entreprise avec la nécessité de gérer les risques ?

A. Il existe des critères établis pour accepter et approuver les risques.

B. Le risque identifié est signalé au comité de gestion des risques de l'organisation.
C. L'impact potentiel et la probabilité sont bien documentés.
D. Il existe un plan de communication pour informer les parties touchées par le risque.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 326
Un auditeur du SI effectue une procédure de routine pour tester l'existence éventuelle d'opérations frauduleuses. Étant donné qu'il n'y a aucune raison de
soupçonner l'existence d'opérations frauduleuses, laquelle des techniques d'analyse de données suivantes devrait être utilisée ?

A. Analyse des associations

B. Analyse de classification
C. de détection des anomalies
D. Analyse de régression

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 327
Laquelle des recommandations suivantes est la MEILLEURE recommandation d'un auditeur SI pour atténuer les risques associés à l'expansion rapide des hôtes dans un environnement virtuel ?

A. Limiter l'accès au système d'exploitation de l'hyperviseur et à la console d'administration

B. Assurer un accès rapide aux images mises à jour d'un système d'exploitation invité pour une récupération rapide
C. Envisagez de faire appel à un fournisseur de services tiers pour partager le risque lié à la machine virtuelle
D. Mettre en œuvre des politiques et des processus pour contrôler la gestion du cycle de vie des machines virtuelles (VM)

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 328
Lequel des énoncés suivants est le moyen le plus efficace pour un auditeur SI d'évaluer la création et la suppression de comptes administratifs dans un environnement virtuel ?

A. Passez en revue les procédures de gestion des mots de passe.

B. Examiner les comptes pour déterminer les exigences d'accès.
C. Examiner la gestion des ressources pour les performances de capacité.
D. Examiner les procédures de provisionnement et de déprovisionnement des comptes.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 329
Que doit examiner en priorité un auditeur SI lorsqu'il évalue les résultats d'un test d'intrusion récent pour identifier les vulnérabilités potentielles ?

A. Niveau de compétence du personnel d'appui au réseau

B. Paramètres de l'essai
C. de problèmes critiques relevés
D. Processus d'intervention en cas d'incident

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 330
Lors du suivi d'un rapport d'audit antérieur, un auditeur du SI détermine qu'un certain nombre de recommandations visant à donner suite aux constatations
critiques n'ont pas été mises en œuvre comme convenu. Quelle est la MEILLEURE ligne de conduite pour l'auditeur ?
A. Reclasser les cotes de risque des constatations initiales.
B. Proposer des calendriers de mise en œuvre révisés.
C. Transmettre au niveau de gestion approprié.
D. Réviser la portée de la vérification de suivi

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 331
Lequel des éléments suivants serait la plus grande préoccupation d'un auditeur SI lors de l'audit du service des achats d'une petite organisation ?

A. L'organisation manque d'un agent des achats ayant de l'expérience dans les activités d'achat.
B. Les achats peuvent être approuvés après que les dépenses ont déjà été engagées.
C. Certains membres du département peuvent demander et approuver des paiements pour des demandes d'achat.
D. Les procédures et processus d'achat n'ont pas été mis à jour au cours des deux dernières années.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 332
Laquelle des procédures d'audit suivantes aiderait le mieux un auditeur SI à déterminer l'efficacité d'un plan de continuité d'activité (PCA) ?

A. Évaluation de la documentation des tests de PCA

B. Participation aux réunions de PCA tenues avec les responsables des services utilisateurs
C. Évaluation de la maturité de la méthodologie de PCA par rapport aux normes de l'industrie
D. Observation des essais du PCA effectués au site de traitement alternatif

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 333
Après avoir discuté des conclusions avec un audité, un auditeur du SI est tenu d'obtenir l'approbation du rapport du PDG avant de le remettre au comité
d'audit. Cette exigence concerne PRINCIPALEMENT :

A. Jugement
B. Efficacité
C.
D. intégrité

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 334
Une organisation souhaite classer les tables de base de données selon son schéma de classification des données. Du point de vue d'un auditeur de SI, les
tableaux doivent être classés en fonction des éléments suivants :

A. Nombre d'utilisateurs finaux ayant accès à la table

B. Fréquence des mises à jour du tableau
C. Description des noms de colonne dans le tableau
D. Contenu fonctionnel spécifique de chaque tableau

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 335
Lequel des éléments suivants devrait être le PLUS grand facteur à prendre en compte par un auditeur de SI lorsqu'il planifie des activités de suivi des
réponses convenues de la direction pour corriger les observations d'audit ?

A. Interruption des activités due à la remédiation

B. Contraintes liées à la budgétisation informatique
C. Évaluation du risque des constatations initiales
D. Disponibilité du personnel informatique responsable

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 336
Lequel des éléments suivants est le plus important pour un auditeur SI à prendre en compte lors de l'audit d'une solution logicielle d'analyse des vulnérabilités ?
A. Le logiciel de numérisation a été acheté auprès d'un fournisseur approuvé.
B. Le logiciel de numérisation a été approuvé pour la mise en production.
C. Le logiciel d'analyse couvre les systèmes critiques.
D. Le logiciel de numérisation est rentable.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 337
Un auditeur de SI tente d'échantillonner des variables dans une population d'éléments présentant de grandes différences de valeurs, mais détermine qu'un nombre
déraisonnablement élevé d'éléments d'échantillon doit être sélectionné pour produire le niveau de confiance souhaité. Dans cette situation, laquelle des propositions
suivantes est la MEILLEURE décision d'audit ?
A. Prévoyez plus de temps et testez l'échantillon requis
B. Sélectionner un échantillon de jugement
C. Sélectionner un échantillon stratifié
D. Réduisez le niveau de confiance souhaité

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 338
A vulnérabilité dans lequel des systèmes virtuels suivants devrait être la plus grande préoccupation d'un auditeur SI ?

A. Le serveur de gestion de la machine virtuelle

B. Le serveur d'applications virtuelles
C. Le serveur antivirus virtuel
D. Le serveur de fichiers virtuel

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 339
Quelle est la MEILLEURE ligne de conduite d'un auditeur SI s'il est informé par les représentants d'une unité commerciale qu'il est trop occupé pour coopérer à un audit programmé ?

A. Reprogrammer l'audit à un moment plus pratique pour l'unité commerciale.

B. Commencez l'audit malgré tout et insistez sur la coopération de l'unité commerciale.
C. Aviser immédiatement le comité d'audit et lui demander d'ordonner que l'audit commence dans les délais prévus.
D. Aviser le dirigeant principal de l'audit qui peut négocier avec le chef de l'unité opérationnelle.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 340
Un auditeur SI veut déterminer qui supervise le personnel effectuant une tâche spécifique et fait référence à l'organigramme RACI de l'organisation. Lequel des
rôles suivants dans le graphique fournirait cette information ?

A. informé
B. Responsabilité
C. Consulté
D. Responsable

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 341
Les montants totaux facturés sur les factures sont automatiquement transférés chaque semaine dans le grand livre d'une organisation. Lors d'un audit SI,
l'auditeur découvre qu'une semaine de facturation est manquante dans le grand livre. Lequel des

les domaines suivants que l'auditeur devrait examiner en premier ?

A. Rapprochements annuels
B. Gestion du changement
C. du traitement par lots
D. Droits d'accès aux modules

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 342
Lequel des éléments suivants un auditeur SI doit-il examiner en premier lors de l'évaluation des procédures de gestion des incidents ?
A. Surveillance du centre de commandement
B. Étapes de l'analyse des causes profondes
C. de hiérarchisation
D. Exigences en matière d'évaluation par les pairs

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 343
Lequel des éléments suivants est le PLUS important à comprendre pour un auditeur SI lors de la planification d'un audit SI ?

A. Risque inhérent aux domaines vérifiables

B. Concentration de la direction sur des opérations particulières
C. de processus vérifiables à haut risque
D. Disponibilité des ressources d'audit des SI

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 344
Un auditeur du SI constate que l'analyse des vulnérabilités ad hoc est en place et qu'elle n'est pas clairement alignée sur le programme plus large de gestion
des menaces et des vulnérabilités de l'organisation. Lequel des éléments suivants permettrait le mieux à l'organisation de travailler à l'amélioration dans ce
domaine ?
A. Externalisation de la fonction de gestion des menaces et des vulnérabilités à un tiers
B. Mise en œuvre de la journalisation de sécurité pour améliorer la gestion des menaces et des vulnérabilités
C. Utilisation d'un modèle de maturité des capacités pour déterminer la voie à suivre pour un programme optimisé
D. Tenir à jour un catalogue des vulnérabilités susceptibles d'avoir une incidence sur les systèmes critiques

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 345
Laquelle des observations suivantes devrait préoccuper un auditeur de SI à l'étape du travail sur le terrain d'un audit d'approvisionnement ?

A. Les demandes sont traitées par l'équipe des finances.

B. Le demandeur d'achat reçoit des notifications de livraison de marchandises.
C. Les engagements d'achat sont pris avant l'approbation des demandes.
D. Les demandes sont facilitées par un service d'achat tiers.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 346
Une vérification d'un système de gestion de base de données a révélé que le journal de vérification n'avait pas été redémarré après la maintenance. Lequel des
éléments suivants est la PLUS grande préoccupation pour l'auditeur du SI ?

A. Les modifications apportées par les administrateurs de la base de données ne seront pas enregistrées.
B. L'optimisation de la base de données sera compromise.
C. Les déclencheurs et les pointeurs de la base de données ne seront pas optimisés.
D. Les modifications apportées par les utilisateurs de l'application ne seront pas enregistrées.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 347
Un auditeur SI examine la méthode d'une organisation pour transporter des données sensibles entre les bureaux. Lequel des éléments suivants causerait le plus d'inquiétude à l'auditeur ?

A. La méthode repose exclusivement sur l'utilisation de signatures numériques.

B. La méthode repose exclusivement sur l'utilisation d'algorithmes de chiffrement asymétriques.
C. La méthode repose exclusivement sur l'utilisation d'une infrastructure à clé publique.
D. La méthode repose exclusivement sur l'utilisation d'algorithmes de cryptage symétriques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 348
Au cours d'un audit intégré dans une banque de détail, un auditeur du SI évalue si les frais de service mensuels sont facturés de manière appropriée pour les
comptes professionnels et supprimés pour les comptes de consommateurs individuels. Laquelle des approches de test suivantes utiliserait l'analyse des données
pour faciliter les tests ?
A. Tenter de facturer des frais de service mensuels à un compte de consommateur individuel.
B. Évaluer si les plans de tests d'acceptation par les utilisateurs ont été conçus et exécutés de manière appropriée.
C. Examiner les comptes clients au cours de la dernière année pour déterminer si des frais appropriés ont été appliqués.
D. Comparez les paramètres de configuration du système avec le document sur les exigences de l'entreprise.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 349
Une organisation a migré la plupart de ses serveurs physiques vers des serveurs virtuels dans son propre centre de données. Lequel des éléments suivants
devrait être la plus grande préoccupation d'un auditeur SI examinant l'environnement virtuel ?

A. Les listes de contrôle d'accès de l'hyperviseur sont obsolètes.

B. La base de données de gestion de la configuration (CMDB) n'inclut pas toutes les machines virtuelles.
C. Les hyperviseurs n'ont pas été mis à jour avec les correctifs les plus récents.
D. Les déploiements de machines virtuelles sont effectués sans suivre un modèle approuvé.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 350
Un groupe d'audit effectue une évaluation des risques dans le cadre d'une stratégie d'audit axée sur les risques. Pour s'assurer que les résultats de l'évaluation des
risques sont pertinents pour l'organisation, il est TRÈS important de :

A. comprendre les objectifs de l'organisation et son appétit pour le risque.

B. inclure les départements et les processus opérationnels.
C. déterminer à la fois le risque inhérent et le risque de détection.
D. comprendre les contrôles de l'organisation.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 351
Laquelle des techniques de vérification suivantes serait utilisée pour détecter la validité d'une transaction par carte de crédit en fonction de l'heure, du lieu et de la date d'achat ?

A. de A. Benford
B. Analyse des lacunes
C. Échantillonnage stratifié
D. Exploration de données

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 352
Parmi les activités suivantes, laquelle des activités suivantes un auditeur SI doit-il effectuer en priorité lors d'une évaluation externe de la sécurité du réseau ?

A. Exploitation
B. Dénombrement
C. des vulnérabilités
D. Reconnaissance

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 353
Un auditeur du SI a observé que la plupart des utilisateurs ne se conforment pas aux contrôles d'accès physiques. Le directeur commercial a expliqué que la
conception du contrôle est inefficace. Quel est le MEILLEUR plan d'action de l'auditeur ?

A. Recommander de modifier le processus de contrôle d'accès pour augmenter l'efficacité.

B. Déterminer l'incidence d'une défaillance du contrôle et faire état de la constatation en attribuant une cote de risque.
C. Repenser et tester à nouveau le contrôle d'accès physique.
D. Travailler avec la direction pour concevoir et mettre en œuvre un meilleur contrôle.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 354
Lors d'une vérification de suivi d'une constatation liée à la gestion du changement, un auditeur du SI note que l'un des changements échantillonnés était un
changement d'urgence, qui suit un processus différent. Lequel des énoncés suivants est le MEILLEUR plan d'action de l'auditeur ?
A. Marquez l'échantillon comme non applicable dans le document de travail et passez à l'échantillon suivant.
B. Sélectionnez une modification de remplacement pour le test.
C. Obtenir la preuve que la modification a été approuvée.
D. Notez l'échantillon comme un écart et laissez le résultat ouvert dans le journal de suivi de l'audit.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 355
Dans une petite organisation, un auditeur SI constate que les fonctions d'administration de la sécurité et d'analyse du système sont effectuées par le même
employé. Laquelle des affirmations suivantes est la découverte la plus importante ?

A. La politique de sécurité n'a pas été mise à jour pour refléter la situation.
B. La description de travail officielle de l'employé n'a pas été mise à jour.
C. L'employé n'a pas signé la politique de sécurité.
D. Les activités de l'employé ne font pas l'objet d'un examen indépendant.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 356
L'objectif PRINCIPAL du programme d'amélioration de l'assurance qualité d'un service d'audit interne est d'évaluer lequel des éléments suivants ?

A. Pertinence et qualifications du personnel de vérification interne

B. L'efficacité de la fonction d'audit interne
C. des processus d'audit interne
D. L'exactitude des résultats de la vérification interne de l'exercice précédent

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 357
Pour déterminer au mieux si un projet répond aux exigences opérationnelles tout en gérant le risque associé, lequel des éléments suivants un auditeur SI doit-il
s'attendre à trouver à chaque étape importante ?

A. Tests complets d'acceptation par l'utilisateur final

B. Acceptation formelle par les parties prenantes appropriées
C. Une analyse révisée de l'impact sur l'entreprise et des risques
D. Examen après la mise en œuvre avec les parties touchées

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 358
Un auditeur des SI a effectué une mission de procédures convenues pour le comité directeur des TI de l'organisation. Lequel des éléments suivants serait
l'élément le plus important à inclure dans le rapport ?

A. Contrôles complémentaires des entités utilisatrices

B. Représentation de la direction sur l'efficacité des contrôles
C. Déclaration selon laquelle la mission a respecté les normes
D. Un avis sur l'efficacité des contrôles

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 359
Un auditeur SI constate que plusieurs utilisateurs ne se sont pas connectés à une application depuis plus d'un an. Laquelle des recommandations
suivantes serait la MEILLEURE recommandation ?

A. Examiner périodiquement la politique de sécurité de l'information.

B. Mettre à jour les procédures de résiliation.
C. Vérifier périodiquement l'accès des utilisateurs.
D. Supprimez les ID des utilisateurs concernés.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 360
Un examen de la sécurité axé sur la prévention des pertes de données (DLP) a révélé que l'organisation n'a aucune visibilité sur les données stockées dans le
cloud. Quelle est la MEILLEURE recommandation de l'auditeur du SI pour résoudre ce problème ?
A. Implémentez un scanner de système de fichiers pour découvrir les données stockées dans le cloud.
B. Utilisez un outil DLP sur les ordinateurs de bureau pour surveiller les activités des utilisateurs.
C. Utiliser un courtier de sécurité d'accès au cloud (CASB).
D. Améliorer le pare-feu au niveau du périmètre du réseau.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 361
La MEILLEURE façon pour un auditeur SI de déterminer quels processus métier sont actuellement externalisés à un prestataire spécifique est d'examiner :

A. Diagramme d'architecture d'entreprise (EA).

B. le contrat du fournisseur de services.
C. Politique de gestion des fournisseurs.
D. Réponses aux appels d'offres.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 362
Avant la migration des logiciels acquis en production, il est TRÈS important que l'auditeur du SI examine :

A. Rapport de test d'acceptation par l'utilisateur.

B. Rapport de test du fournisseur.
C. Documentation du système.
D. accord de séquestre du code source.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 363
Lors de l'audit de l'architecture de sécurité d'un environnement e-commerce, un auditeur SI doit d'abord examiner :

A. Configuration du firewall
B. Autres dispositions de pare-feu
C. emplacement du pare-feu dans le réseau
D. Critères utilisés pour sélectionner le pare-feu

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 364
Un auditeur SI examinant un environnement virtuel récemment implémenté remarque des écarts entre des configurations de machines similaires. Lequel des
éléments suivants l'auditeur devrait-il recommander pour minimiser les risques de configuration ?

A. Mettre en œuvre les recommandations des meilleures pratiques du réseau

B. Effectuer une analyse de vulnérabilité architecturale pour comparer les attributs actuels du système à une référence
C. Effectuer des mises à jour logicielles de l'hyperviseur avec les correctifs disponibles pour minimiser les faiblesses de sécurité
D. Mettre en œuvre des modèles pour gérer le déploiement rapide des machines virtuelles

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 365
Une organisation a choisi une solution Web pour réduire les coûts de transaction et améliorer la productivité. Avant la mise en œuvre, un auditeur du SI doit
s'assurer que l'organisation a :

A. a effectué une évaluation de la vulnérabilité.

B. mis en œuvre l'échange de données informatisé.
C. validé la solution par rapport à l'infrastructure informatique actuelle.
D. a abordé le niveau d'exposition au risque.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 366
Une organisation ayant des besoins en ressources de haute disponibilité sélectionne un fournisseur pour le cloud computing. Lequel des éléments suivants
causerait la PLUS grande inquiétude à un auditeur de SI ? Le fournisseur :
A. n'est pas certifié au niveau international pour la haute disponibilité.
B. ne stocke pas de support de sauvegarde hors site.
C. déploie automatiquement les correctifs sans test.
D. héberge des systèmes pour le concurrent de l'organisation.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 367
Lequel des énoncés suivants permet à un service d'audit d'améliorer la qualité du travail effectué par ses auditeurs ?

A. Mise en œuvre des normes de qualité mondiales

B. Financement de ressources supplémentaires pour les travaux d'audit
C. d'outils d'analyse des données liés à l'audit
D. en œuvre de l'examen collégial des travaux d'audit

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 368
Un auditeur du SI découvre que la direction a créé une interface système pour recevoir les données financières et les stocker dans un entrepôt de données. Lequel
des éléments suivants fournit la meilleure assurance que les données de l'entrepôt de données sont exactes ?

A. Processus de gestion des risques établis

B. Un processus documenté de gestion du changement
C. de l'accès de l'administration
D. Rapprochements de la direction

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 369
Un auditeur du SI effectue un audit de suivi et apprend que l'approche adoptée par l'audité pour corriger les constatations diffère de l'approche convenue
confirmée lors du dernier audit. Lequel des éléments suivants devrait être la PROCHAINE ligne de conduite de l'auditeur ?

A. Informer la haute direction du changement d'approche.

B. Effectuer une analyse des risques intégrant le changement.
C. Rendre compte des résultats du suivi au comité d'audit.
D. Évaluer la pertinence des mesures correctives prises.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 370
Un auditeur SI utilise l'analyse de données pour un audit des comptes fournisseurs. Lequel des scénarios de risque potentiels suivants sera LE PLUS
susceptible d'être identifié à l'aide de cette approche ?

A. Vendeurs malveillants ou fantômes

B. Paiements effectués au mauvais fournisseur
C. Numéros de facture consécutifs payés
D. Paiements en double effectués pour un fournisseur

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 371
Un auditeur SI évalue le risque associé au passage d'un système de gestion de base de données (SGBD) à un autre. Lequel des éléments suivants serait le plus
utile pour assurer l'intégrité du système tout au long du changement ?

A. Préserver la même structure de données

B. Préserver les mêmes classifications de données
C. les mêmes interfaces de données
D. Conserver les mêmes données d'entrée

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 372
Un auditeur des SI effectue un audit de suivi et constate que certaines lacunes critiques n'ont pas été corrigées. La MEILLEURE ligne de conduite de l'auditeur est de :
A. évaluer l'impact de ne pas remédier aux lacunes.
B. les raisons pour lesquelles la direction des documents ne corrige pas les lacunes.
C. reporter la vérification jusqu'à ce que les lacunes soient corrigées.
D. fournir de nouvelles recommandations.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 373
Lequel des éléments suivants est le plus important pour un auditeur SI lorsqu'il évalue les processus de contrôle qualité des livrables logiciels ?

A. Le processus d'identification et de gestion des défauts

B. Le processus de vérification du respect des spécifications techniques
C. d'établissement des rapports de contrôle de la qualité
D. Le processus d'examen par les pairs et de mise à l'essai du logiciel

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 374
Un auditeur SI effectue un audit de suivi des résultats identifiés dans le processus de provisionnement des utilisateurs d'une organisation. Laquelle des
populations suivantes est la population la plus appropriée à échantillonner lors d'un test d'assainissement ?

A. Tous les utilisateurs qui ont suivi les processus de provisionnement des utilisateurs fournis par la direction
B. Tous les utilisateurs provisionnés après l'identification initiale du résultat
C. Tous les utilisateurs provisionnés après que la direction a résolu le problème d'audit
D. Tous les utilisateurs approvisionnés après la publication du rapport d'audit final

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 375
Un auditeur du SI examine un échantillon d'incidents de production et constate qu'il n'y a pas d'analyse des causes profondes. Lequel des éléments suivants est
le PLUS GRAND risque associé à cette constatation ?

A. Les incidents futurs peuvent ne pas être résolus en temps opportun.

B. Les incidents futurs peuvent être classés par ordre de priorité de manière inappropriée.
C. Le même incident peut se produire à l'avenir.
D. Les accords de niveau de service (SLA) peuvent ne pas être respectés.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 376
Un auditeur SI conclut qu'une organisation a une politique de sécurité qualité. Lequel des éléments suivants est le PLUS important à déterminer ensuite ? La politique doit être :

A. mis à jour fréquemment.

B. développé par les propriétaires de processus.
C. basé sur les normes de l'industrie.
D. bien compris par tous les employés.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 377
Pour déterminer les vérifications des SI à effectuer au cours de l'année à venir, la direction a demandé à la direction de procéder à plusieurs vérifications de la
division des contrats en raison de constatations de fraude au cours de l'année précédente. Laquelle des propositions suivantes est la MEILLEURE base pour
sélectionner les audits à effectuer ?
A. Sélectionner les audits en fonction d'une évaluation des risques organisationnels.
B. Sélectionner les vérifications en fonction du risque de collusion.
C. Sélectionner les audits en fonction des compétences des auditeurs du SI.
D. Sélectionner les audits en fonction de la suggestion de la direction.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 378
Une organisation envisage la mise en œuvre d'une application métier. L'auditeur du SI doit d'abord s'assurer que :
A. exigences de l'utilisateur sont utilisées pour sélectionner le fournisseur.
B. une analyse de rentabilisation approuvée est en place.
C. les utilisateurs sont représentés dans l'équipe de gestion de projet.
D. les exigences de sécurité sont spécifiées.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 379
Un auditeur SI découvre une option dans une base de données qui permet à l'administrateur de modifier directement n'importe quelle table. Cette option est
nécessaire pour surmonter les bogues dans le logiciel, mais est rarement utilisée. Les modifications apportées aux tables sont automatiquement
enregistrées. La PREMIÈRE action de l'auditeur du SI devrait être de :
A. déterminer si le journal des modifications apportées aux tables est sauvegardé.
B. déterminer si la piste de vérification est sécurisée et examinée.
C. recommander que l'option de modification directe de la base de données soit supprimée immédiatement.
D. recommander que le système nécessite que deux personnes soient impliquées dans la modification de la base de données.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 380
Lequel des énoncés suivants fournit à un auditeur SI la meilleure preuve que le programme de sécurité de l'information d'une organisation est aligné sur les objectifs de l'entreprise ?

A. Tableau de bord prospectif

B. Résultats de l'évaluation des risques
C. Analyse des répercussions sur les activités
D. Analyse coûts-avantages

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 381
Un auditeur SI planifie un audit des processus de paie d'une organisation. Laquelle des procédures suivantes est la MEILLEURE pour fournir une assurance
contre la fraude interne ?

A. Examiner l'approbation par la direction des changements apportés au système de paie.

B. Examiner la validation des bénéficiaires de paiements de paie par la direction.
C. Interviewez le responsable de la paie pour obtenir un flux de travail détaillé.
D. Comparer les contrats de travail des employés avec les heures saisies dans le système de paie.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 382
On a demandé à un vérificateur du SI d'examiner un système d'agrégation des registres d'événements pour s'assurer que les pratiques de gestion des risques ont
été appliquées. Lequel des éléments suivants devrait être le plus préoccupant pour l'auditeur ?

A. Aucun test d'exhaustivité n'a été effectué sur les données du journal.
B. Les normes de cryptage des données n'ont pas été prises en compte.
C. Les flux de journaux sont téléchargés via un traitement par lots.
D. Les données du journal ne sont pas normalisées.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 383
Un auditeur des SI planifie un audit basé sur les risques du département des ressources humaines. Le ministère utilise des systèmes distincts pour ses
fonctions de paie, de formation et d'examen du rendement des employés. Que doit faire l'auditeur du SI en premier avant d'identifier les contrôles clés à tester ?

A. Déterminer le risque inhérent à chaque système.

B. Déterminer le nombre d'échantillons à analyser pour chaque système.
C. Évaluer le risque de contrôle associé à chaque système.
D. Identifier les compétences techniques et les ressources nécessaires pour auditer chaque système.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 384
Laquelle des constatations suivantes devrait être la plus préoccupante pour un auditeur des SI effectuant un examen des opérations informatiques ?
A. L'application de planification des tâches n'a pas été conçue pour afficher des messages d'erreur contextuels.
B. L'accès à l'application Job Scheduler n'a pas été limité à un maximum de deux membres du personnel.
C. Les modifications apportées aux paramètres de l'application de planification des tâches ne sont pas approuvées et examinées par un superviseur des opérations.
D. Les registres de rotation des quarts de travail des opérations ne sont pas utilisés pour coordonner et contrôler l'environnement de traitement.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 385
Laquelle des constatations suivantes devrait être la plus préoccupante pour un auditeur du SI qui examine le plan de continuité d'activité (PCA) d'une organisation ?

A. Un inventaire des applications n'est pas inclus.

B. Un plan d'optimisation des ressources n'est pas inclus.
C. Aucune étude de faisabilité commerciale n'a été réalisée.
D. Aucune analyse des répercussions sur les activités n'a été effectuée.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 386
Laquelle des propositions suivantes est la MEILLEURE façon pour un auditeur externe du SI de déterminer la portée d'un audit pour une grande organisation multinationale ?

A. Accent sur les domaines liés à l'utilisation des technologies émergentes.

B. Auditez par exemple chaque emplacement géographique.
C. Mettre l'accent sur les secteurs à risque élevé identifiés dans l'organisation.
D. Utiliser le travail de l'auditeur interne à chaque emplacement.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 387
Après la fusion de deux organisations, laquelle des tâches suivantes est la plus importante à accomplir pour un auditeur de SI ?

A. Rechercher les dates d'expiration des droits d'accès

B. Vérification de l'examen des privilèges d'accès
C. à jour de la politique de sécurité
D. Mise à jour du plan de continuité des ressources critiques

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 388
Lequel des éléments suivants devrait être l'objectif principal d'un auditeur SI lors de l'évaluation du processus de réponse aux cybercrimes ?

A. Avis aux organismes de réglementation

B. Communication avec les services de détection et de répression
C. d'éléments de preuve
D. Analyse des causes profondes

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 389
Au cours d'un audit, l'indépendance organisationnelle d'un auditeur SI est compromise. L'auditeur du SI doit D'ABORD :

A. informer la direction de l'audit de la situation.

B. informer la haute direction par écrit et procéder à la vérification.
C. obtenir l'approbation de l'entité vérifiée avant de poursuivre l'audit.
D. procéder à l'audit comme prévu après avoir documenté l'incident.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 390
Un auditeur des SI a constaté que certains membres du personnel informatique ont un accès administratif à l'application, à la base de données et au serveur
de planification des ressources de l'entreprise (ERP). La direction informatique a répondu qu'en raison des ressources limitées, les mêmes membres du
personnel informatique doivent prendre en charge les trois couches de l'application ERP. Laquelle des recommandations suivantes serait la MEILLEURE
recommandation de l'auditeur à la direction ?
A. Demander des fonds pour embaucher du personnel informatique supplémentaire afin de permettre la séparation des tâches.
B. Tirer parti du personnel de l'unité commerciale pour servir d'administrateurs de l'application.
C. Surveiller les activités des membres du personnel informatique associés en examinant les journaux générés par le système chaque semaine.
D. Supprimer une partie de l'accès administratif des membres du personnel informatique associés.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 391
Lequel des éléments suivants fournirait la MEILLEURE preuve pour qu'un auditeur de SI détermine si la séparation des tâches est en place ?

A. Examen de l'organigramme
B. Examen des dossiers du personnel
C. Analyse des demandes d'accès des utilisateurs
D. Aperçu des fonctions du poste

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 392
Un auditeur du SI constate qu'un certain nombre de plug-ins d'application actuellement utilisés ne sont plus pris en charge. Laquelle des recommandations suivantes
est la MEILLEURE recommandation de l'auditeur à la direction ?

A. Mettre en œuvre des contrôles d'accès basés sur les rôles.

B. Effectuer une évaluation de la vulnérabilité pour déterminer l'exposition.
C. Passez en revue les procédures de sauvegarde et d'archivage du contenu.
D. Examiner les processus d'intégration et de départ.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 393
Quelle devrait être la base PRINCIPALE pour planifier un audit de suivi ?

A. L'importance des résultats rapportés

B. La réalisation de toutes les mesures correctives
C. des ressources d'audit
D. Le temps écoulé depuis la présentation du rapport d'audit

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 394
L'objectif PRINCIPAL d'un auditeur de SI d'examiner les rapports d'audit antérieurs au cours de la phase de planification d'un audit en cours est de :

A. s'informer sur les processus opérationnels de l'entité auditée.

B. ajuster la portée de la vérification pour réduire les tests dans les domaines liés aux constatations antérieures.
C. déterminer les exigences réglementaires applicables à la présente vérification.
D. veiller à ce que les risques déjà cernés soient pris en compte dans le programme de vérification.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 395
Quelle devrait être la prochaine ligne de conduite d'un auditeur de SI lorsqu'un examen de la structure organisationnelle d'une TI révèle que des membres du personnel de TI ont des fonctions dans d'autres services ?

A. Déterminer s'il existe des conflits de séparation des tâches.

B. Recommander la mise en œuvre de contrôles de la séparation des tâches.
C. Signalez le problème à la direction des ressources humaines (RH).
D. Signaler immédiatement une constatation potentielle au comité d'audit.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 396
Un auditeur SI évalue la mise en œuvre d'un réseau virtuel par une organisation. Laquelle des observations suivantes devrait être considérée comme le risque le
plus important ?

A. Les performances de communication sur le réseau virtuel ne sont pas surveillées.

B. Les périphériques de réseau virtuel sont répliqués et stockés en mode hors ligne.
C. Le trafic sur le réseau virtuel n'est pas visible pour les périphériques de protection de sécurité.
D. Les configurations de réseau physique et virtuel ne sont pas gérées par la même équipe.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 397
Un auditeur SI évalue une migration récente d'applications critiques vers une plateforme virtuelle. Laquelle des observations suivantes présente le PLUS GRAND
risque pour l'organisation ?

A. Un examen post-implémentation de l'hyperviseur n'a pas encore été effectué.

B. Les descriptions de rôle ne reflètent pas fidèlement les nouvelles responsabilités en matière de virtualisation.
C. La migration n'a pas été approuvée par le conseil d'administration.
D. La formation du personnel ayant de nouvelles responsabilités en matière de virtualisation n'a pas été dispensée.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 398
Lequel des éléments suivants devrait être le plus préoccupant pour un auditeur de SI évaluant un programme de juricomptabilité ?

A. Les images médico-légales sont stockées sur des supports amovibles avec cryptage.
B. Les images médico-légales ne sont stockées que pour les employés licenciés involontairement.
C. Les images médico-légales ne sont conservées que pendant 12 mois.
D. Les images médico-légales sont stockées sur des disques partagés.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 399
Une organisation a récemment acquis et mis en œuvre un logiciel d'agent intelligent pour accorder des prêts aux clients. Au cours de l'examen post-mise en œuvre,
laquelle des procédures suivantes serait la procédure clé que l'auditeur du SI devrait effectuer ?

A. Examiner les rapports de contrôle des entrées et des sorties pour vérifier l'exactitude des décisions du système.
B. Examiner la documentation du système pour s'assurer qu'elle est complète.
C. S'assurer qu'un système de détection conçu pour vérifier l'exactitude des transactions est inclus.
D. Examiner les approbations signées pour s'assurer que les responsabilités en matière de décisions du système sont bien définies.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 400
Lequel des éléments suivants devrait être la plus grande préoccupation lors d'un audit de la gestion de l'inventaire logiciel ?

A. Contrats papier manquants

B. Logiciel antivirus non régulièrement mis à jour
C. Logiciel sans licence
D. de développement non incluses dans les inventaires

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 401
Lequel des éléments suivants l'auditeur des SI examinerait-il le plus probablement pour déterminer si des modifications aux paramètres du système d'exploitation ont été autorisées ?

A. Journal de contrôle des modifications

B. Journaux d'initialisation du système
C. du système de sécurité
D. Documentation des routines de sortie

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 402
Lequel des éléments suivants est la MEILLEURE source d'information qu'un auditeur de SI peut utiliser pour déterminer si la politique de sécurité de
l'information d'une organisation est adéquate ?

A. Références de l'industrie
B. Plans du programme de sécurité de l'information
C. des tests d'intrusion
D. Résultats de l'évaluation des risques

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 403
Une vérification interne a révélé un grand nombre d'incidents pour lesquels aucune analyse des causes profondes n'a été effectuée. Lequel des éléments suivants
est le PLUS important à vérifier pour l'auditeur du SI afin de déterminer s'il y a un problème d'audit ?

A. Coût de la résolution des incidents

B. Niveau de gravité des incidents
C. nécessaire pour résoudre les incidents
D. Fréquence des incidents

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 404
Dans l'examen par un auditeur SI des pratiques de gestion de la configuration d'une organisation pour les logiciels, lequel des éléments suivants est le PLUS important ?

A. Accords de niveau de service (SLA) entre la fonction informatique et les utilisateurs

B. d'examen postérieur à la mise en œuvre des activités de développement
C. organisationnelles relatives à la gestion des versions
D. Contrats de location de logiciels ou contrats de location

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 405
Un auditeur des SI note qu'en raison de la petite taille de l'organisation, le personnel des ressources humaines peut créer de nouveaux employés dans le
système de paie et traiter la paie. Laquelle des recommandations suivantes est la MEILLEURE pour remédier à cette situation ?

A. Externaliser le traitement de la paie à un tiers.

B. Mettre en œuvre un examen périodique de l'accès des utilisateurs au système de paie.
C. Mettre en œuvre des examens périodiques des employés dans le système de paie.
D. Embaucher du personnel supplémentaire afin que l'accès aux deux fonctions puisse être séparé.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 406
Lequel des éléments suivants est le PLUS important pour un auditeur lors de l'établissement de la portée d'un audit des contrôles généraux des TI ?

A. Fréquence des changements

B. Calendrier des changements
C. de changements
D. Nombre de modifications

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 407
Quelle serait la MEILLEURE ligne de conduite d'un auditeur SI lorsqu'un problème critique hors du périmètre de l'audit est découvert sur le poste de travail d'un employé ?

A. Ne prenez aucune mesure, car ce problème dépasse la portée de l'audit.

B. Élargir la portée de l'audit pour inclure les audits de bureau.
C. Inclure les conclusions et les recommandations dans le rapport final.
D. Consigner l'observation dans les documents de travail.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 408
Au cours d'une vérification en cours, la direction demande une séance d'information sur les constatations à ce jour. Lequel des énoncés suivants est la MEILLEURE ligne de conduite de l'auditeur des SI ?

A. Examiner les documents de travail avec l'entité vérifiée.

B. Demander à l'entité auditée de fournir des réponses de la direction.
C. Demandez à la direction d'attendre qu'un rapport final soit prêt à être discuté.
D. Présenter les observations pour discussion seulement.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 409
Un auditeur SI constate qu'un collaborateur a perdu un appareil mobile contenant des données sensibles de l'entreprise. Lequel des éléments suivants aurait le MIEUX empêché la fuite de données ?

A. L'employé a rapidement signalé la perte de l'appareil.

B. Les données de l'appareil étaient cryptées.
C. L'employé a reconnu la politique d'utilisation acceptable.
D. Les données de l'appareil ont été sauvegardées.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 410
Lequel des énoncés suivants est l'objectif PRINCIPAL des évaluations externes des systèmes et cadres d'assurance de la qualité de l'audit interne ?

A. Fournir l'assurance que la fonction de vérification interne est conforme aux pratiques professionnelles établies.
B. Fournir l'assurance que le personnel de vérification interne est qualifié pour s'acquitter de ses responsabilités
C. Confirmer l'exactitude et la fiabilité des résultats des audits internes antérieurs
D. Confirmer que le service d'audit interne dispose d'un budget suffisant pour s'acquitter de ses fonctions

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 411
Lequel des rapports suivants aiderait le mieux un auditeur de SI à évaluer l'efficacité de la maintenance préventive ?

A. Temps d'arrêt
B. Service d'assistance
C. Violation
D. Activité

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 412
Lors d'un audit d'un système de comptabilisation des ventes en ligne, l'auditeur SI identifie des exceptions en mode batch qui font que certaines transactions ne sont
pas comptabilisées. Lequel des éléments suivants est le PLUS important à examiner pour l'auditeur ?

A. Procédures de détection et de traitement des erreurs

B. Modifications au programme d'établissement des horaires
C. La vulnérabilité du code source et des paramètres configurés
D. La nature et la fréquence des défaillances de connexion réseau

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 413
Lequel des énoncés suivants indiquerait le mieux l'indépendance de la fonction d'audit interne ?

A. Lettre de mission
B. Charte d'audit
C. organisationnelle
D. Auditeur interne en chef spécialisé

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 414
Quelle approche d'audit est la plus utile pour optimiser l'utilisation des ressources d'audit des SI ?

A. Audit agile
B. Externalisation de l'audit
C. axé sur les risques
D. Audit continu
Bonne réponse : Un
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 415
Lequel des éléments suivants un auditeur SI doit-il prendre en compte lors de la vérification de l'intégrité d'un système de gestion de base de données relationnelle (SGBDR) ?

A. Valeur de contrôle de redondance cyclique

B. Algorithme de clé secrète utilisé
C. de la clé étrangère
D. Valeur de la taille de la base de données

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 416
Le PRINCIPAL avantage d'une méthode d'audit axée sur les risques est de :

A. réduire la portée de l'audit.

B. identifier les contrôles clés.
C. comprendre les processus métier.
D. établir l'ordre de priorité des ressources d'audit.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 417
À la suite d'une vérification interne d'une base de données, la direction s'est engagée à améliorer les contrôles de gestion des mots de passe. Lequel des
énoncés suivants fournit la meilleure preuve que la direction a corrigé la constatation de l'audit ?

A. Captures d'écran d'utilisateurs finaux montrant les paramètres de mot de passe mis à jour
B. Entrevues avec la direction sur l'achèvement des mesures correctives
C. Changer les tickets des mises à jour récentes de la configuration des mots de passe
D. Observation des paramètres de mot de passe mis à jour avec les administrateurs de base de données (DBA)

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 418
Laquelle des techniques d'audit suivantes est la MEILLEURE technique d'audit pour identifier les activités frauduleuses ?

A. Inspecter le flux et le calendrier des autorisations enregistrées par le système.

B. Effectuer une analyse statistique et une classification de toutes les transactions.
C. Inspectez le code source des programmes d'application.
D. Examiner un échantillon de transactions pour vérifier la conformité aux politiques.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 419
La raison PRINCIPALE de communiquer officiellement les résultats de l'audit immédiatement après la fin de l'audit est de s'assurer que :

A. le rapport est pertinent et utile.

B. les délais et les objectifs du service sont respectés.
C. le risque identifié dans le rapport est immédiatement atténué.
D. les auditeurs adhèrent aux pratiques d'audit standard.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 420
Laquelle des conclusions suivantes devrait être la plus grande préoccupation d'un auditeur SI effectuant une analyse judiciaire à la suite d'incidents d'activités
suspectes sur un serveur ?

A. La plupart des activités suspectes ont été créées par des identifiants système.
B. Les journaux d'audit ne sont pas activés sur le serveur.
C. Le système d'exploitation du serveur est obsolète.
D. Le serveur est en dehors du domaine.

Bonne réponse : B
Explication
Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 421
Un auditeur du SI note que le traitement par lots nocturne est souvent incomplet pour une application. L'auditeur doit d'abord examiner les contrôles sur lesquels des éléments suivants ?

A. Journaux d'application
B. Procédures de sauvegarde
C. Avis de travail
D. Planification des tâches

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 422
Quel est le PRINCIPAL avantage d'une approche de vérification qui exige que les constatations soient publiées avec les plans d'action, les propriétaires et les dates cibles connexes ?

A. Il établit la responsabilité des plans d'action

B. Cela permet d'assurer l'exactitude factuelle des conclusions
C. Il impose un consensus sur le plan d'action entre les auditeurs et les entités auditées
D. Cela facilite le suivi des audits

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 423
Lequel des éléments suivants est l'objectif le plus important d'une évaluation des risques effectuée au cours du processus de planification de l'audit annuel ?

A. Identifier les principaux domaines d'intérêt

B. Éliminer les zones à faible risque résiduel
C. de la direction au processus de planification de l'audit
D. Affectation des ressources d'audit

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 424
Un responsable de l'audit des systèmes d'information a été informé que des pirates informatiques sont entrés dans le serveur de commerce électronique de
l'entreprise à plusieurs reprises au cours du mois dernier. Le groupe de vérification des SI ne possède pas l'expertise nécessaire pour enquêter sur cette
situation. Le responsable de l'audit du SI doit :
A. obtenir du soutien en faisant appel à des ressources externes.
B. demander au personnel de sécurité du réseau d'effectuer l'audit.
C. faire en sorte que la direction du SI procède immédiatement à l'auto-évaluation des contrôles (ASC).
D. refuser la demande au motif que le personnel n'est pas préparé à la tâche.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 425
Lors d'un examen interne de la gestion du cycle de vie du développement du système, un auditeur du SI constate que les données de production des clients ont
été affichées dans l'environnement de test d'acceptation par l'utilisateur (UAT). Laquelle des recommandations suivantes est la MEILLEURE recommandation
de l'auditeur ?
A. Demander l'autorisation d'utiliser les données de production dans l'environnement UAT
B. Utiliser des données anonymisées dans l'environnement UAT.
C. Utilisez le chiffrement des données dans l'environnement UAT.
D. Effectuer une évaluation des risques pour établir l'impact de la fuite de données.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 426
Un auditeur SI constate que la gestion de la capacité d'un système clé est effectuée par le service informatique sans intervention de l'entreprise. La principale
préoccupation de l'auditeur serait :

A. augmentation imprévue des besoins en capacité de l'entreprise

B. Incidence sur le financement futur des projets d'entreprise
C. à maximiser l'utilisation du matériel
D. Coût d'une capacité de stockage excessive du centre de données

Bonne réponse : C
Explication
Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 427
Un auditeur des SI examine un programme informatique destiné à l'utilisateur final. Lequel des éléments suivants est le MEILLEUR moyen de maintenir la précision des calculs intégrés dans l'outil ?

A. Attribuez un propriétaire et un développeur pour chaque outil.

B. Maintenir le contrôle de version.
C. Revoir périodiquement les calculs.
D. Utilisez des calculs d'outils standardisés.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 428
Un auditeur du SI détermine que le commis aux comptes fournisseurs a un accès direct au fichier de paiement après sa génération. Le risque le plus
important pour l'organisation est que les paiements peuvent être :

A. rejeté.
B. dupliqué.
C. en retard aux clients.
D. modifié.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 429
Un auditeur SI constate qu'un service informatique n'effectue pas de découverte périodique du matériel et des logiciels déployés dans un environnement.
Quel est le PLUS GRAND risque associé ?

A. Augmentation des licences inutilisées au sein de l'organisation

B. Inventaire inexact du matériel et des logiciels
C. inexactes des coûts du matériel et des logiciels
D. Listes incomplètes pour les audits de licences par des tiers

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 430
Un auditeur SI effectue une revue intermédiaire d'un projet informatique. Lequel des éléments suivants fournirait les informations les plus utiles concernant la performance du projet ?

A. Examen des étapes

B. Analyse de la valeur acquise
C. coûts-avantages
D. Analyse des points de fonction

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 431
Lors de l'examen des transactions, un auditeur SI découvre des incohérences dans une base de données relationnelle. Laquelle des
recommandations suivantes serait la MEILLEURE recommandation de l'auditeur ?

A. Effectuer la modélisation des données.

B. Réindexer la base de données.
C. Normaliser la base de données.
D. Mettre en place des contrôles d'édition.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 432
Lequel des éléments suivants serait le plus utile à un auditeur SI confirmant qu'un service SI respecte ses accords de niveau de service (SLA) ?

A. Rapports sur les temps d'arrêt du système

B. Plan stratégique des SI
C. de planification des capacités
D. Rapports sur l'utilisation du système

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 433
Lequel des énoncés suivants un auditeur SI recommanderait-il le plus pour s'assurer que les systèmes informatiques d'une organisation sont efficacement
tenus à jour en ce qui concerne les vulnérabilités ?

A. Gestion des versions

B. Gestion des versions
C. Gestion des correctifs
D. Gestion des risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 434
Qu'est-ce qui devrait être le plus préoccupant pour un auditeur SI examinant la proposition d'une organisation de combiner ses données de traitement
transactionnel en ligne (OLTP) et son entrepôt de données dans le même environnement de base de données ?

A. La qualité des rapports de veille stratégique peut être affectée.

B. Une quantité importante de ressources informatiques sera nécessaire.
C. combinaison de données statiques et de données dynamiques pourrait réduire la qualité des données.
D. La complexité de la solution pourrait entraîner des retards dans le déploiement.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 435
Un auditeur du SI a constaté que malgré une augmentation des attaques de phishing au cours des deux dernières années, il y a eu une baisse significative du
taux de réussite. Laquelle des raisons suivantes est la PLUS probable de ce déclin ?

A. Mise en place d'un système de détection d'intrusion (IDS)

B. Élaboration d'un plan d'intervention en cas d'incident
C. améliorée pour les intervenants en cas d'incident
D. Mise en œuvre d'un programme de sensibilisation à la sûreté

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 436
Un auditeur SI évalue les appareils en réseau dans l'une des succursales de l'organisation. Laquelle des observations suivantes devrait être la plus
préoccupante ?

A. Les appareils personnels doivent se connecter sans fil à un réseau invité.

B. Un cadre local dispose d'un aquarium sans fil connecté au réseau de l'entreprise.
C. Les ordinateurs portables de l'entreprise avec des caméras intégrées sont observés avec du ruban adhésif opaque bloquant les caméras.
D. Quatre ordinateurs portables personnels avec des mots de passe par défaut sont connectés au réseau de l'entreprise.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 437
Un auditeur externe du SI examine le système de surveillance continue d'une grande banque et note plusieurs problèmes potentiels. Lequel des énoncés suivants
présenterait la PLUS GRANDE préoccupation concernant la fiabilité de l'

système de surveillance ?

A. Les résultats du système ne sont pas régulièrement examinés par la direction.

B. La méthode de mesure varie périodiquement.
C. Le système de surveillance a été configuré par des vérificateurs internes.
D. Le seuil d'alerte est mis à jour périodiquement.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 438
Lequel des énoncés suivants indique à un auditeur SI qu'un projet lié aux TI apportera de la valeur à l'organisation ?

A. Le coût du projet correspond à l'appétit pour le risque de l'organisation.

B. Le projet utilisera l'infrastructure existante pour fournir des services.
C. Les concurrents envisagent des solutions informatiques similaires.
D. Les exigences sont fondées sur les attentes des intervenants.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 439
Un auditeur des SI examinant la solution de gestion des identités d'une organisation financière a constaté que certaines applications métier critiques n'ont pas de
propriétaires identifiés. Laquelle des actions suivantes l'auditeur devrait-il faire ensuite ?

A. Demandez une acceptation des risques commerciaux.

B. Discutez de la question avec l'entité auditée.
C. Rédiger une constatation dans le rapport d'audit.
D. Révoquer les droits d'accès aux applications critiques.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 440
Une équipe d'audit des SI prévoit de s'appuyer sur un rapport généré par le système pour réduire les procédures de fond qu'elle devra effectuer. Laquelle
des procédures suivantes l'auditeur du SI doit-il suivre pour vérifier l'exhaustivité du rapport ?

A. Tester les données pour en vérifier la pertinence.

B. Validez la requête de rapport.
C. Établir des critères pour les résultats attendus et les comparer aux résultats réels.
D. Retracez un échantillon de transactions jusqu'aux transactions internes.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 441
Quelle est la MEILLEURE stratégie pour prioriser le travail lors de la planification d'un audit de suivi ?

A. Ciblez les risques qui sont les plus faciles à atténuer.

B. S'entendre sur les priorités avec les responsables des risques.
C. Cibler les secteurs les plus à risque.
D. Cibler les risques non déclarés comme atténués par les propriétaires de risques.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 442
Lequel des éléments suivants devrait être établi en premier lors de la mise en œuvre d'un programme d'autoévaluation des contrôles (AIC) dans une petite organisation ?

A. Registre de contrôle
B. destinés au personnel
C. Compétence de l'évaluateur
D. animés

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 443
Laquelle des missions suivantes est la responsabilité la plus appropriée d'un auditeur SI impliqué dans un projet de rénovation de datacenter ?

A. Effectuer des examens indépendants des parties responsables engagées dans le projet
B. S'assurer que le projet progresse comme prévu et que les jalons sont atteints
C. des fournisseurs pour effectuer les rénovations
D. Approbation de la conception des contrôles pour le centre de données

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 444
Lequel des éléments suivants un auditeur SI doit-il examiner en premier lors de l'évaluation d'un processus métier pour l'audit ?

A. Preuve que les contrôles liés aux SI fonctionnent efficacement

B. Compétence du personnel exécutant le processus
C. de la responsabilité de la gestion des processus
D. Conception et mise en œuvre des contrôles

Bonne réponse : D
Explication
Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 445
Lequel des éléments suivants est l'aspect opérationnel le plus important à prendre en compte par un auditeur de SI lors de l'évaluation d'une chaîne de
montage avec des capteurs de contrôle qualité accessibles via la technologie sans fil ?

A. Mises à jour de l'appareil

B. Utilisation des ressources
C. Sécurité des appareils
D. Vulnérabilités connues

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 446
Lors d'un audit d'un système de contrôle d'accès, un auditeur du SI constate que les lecteurs de cartes RFID ne sont pas connectés via le réseau à un
serveur central. Lequel des éléments suivants est le PLUS GRAND risque associé à cette constatation ?

A. Les cartes perdues ou volées ne peuvent pas être désactivées immédiatement.

B. Les mises à jour du micrologiciel du lecteur de carte ne peuvent pas être déployées automatiquement.
C. Le système n'est pas facilement évolutif pour accueillir un nouvel appareil.
D. Les incidents ne peuvent pas faire l'objet d'une enquête sans un fichier journal centralisé.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 447
Laquelle des constatations suivantes devrait être la plus grande préoccupation d'un auditeur du SI qui examine l'efficacité des pratiques de gestion des problèmes d'une organisation ?

A. Les enregistrements de problèmes sont classés par ordre de priorité en fonction de l'impact des incidents.
B. Certains incidents sont clôturés sans résolution de problème.
C. causes profondes ne sont pas correctement identifiées.
D. Les problèmes sont fréquemment transmis à la direction pour résolution.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 448
Un examen des contrôles de l'interface de TI révèle qu'une organisation n'a pas de processus pour identifier et corriger les enregistrements qui ne sont pas
transférés au système de réception. Laquelle des recommandations suivantes est la MEILLEURE recommandation de l'auditeur des SI ?

A. Mettre en œuvre un logiciel pour effectuer des rapprochements automatiques des données entre les systèmes.
B. Activer le chiffrement, le déchiffrement et la signature électronique automatiques des fichiers de données.
C. Demandez aux codeurs d'effectuer la réconciliation manuelle des données entre les systèmes.
D. Automatiser autant que possible le transfert de données entre les systèmes.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 449
Un auditeur SI constate que l'IT et l'entreprise ont des opinions divergentes sur la disponibilité de leurs serveurs applicatifs. Lequel des éléments suivants
l'auditeur du SI doit-il examiner en premier afin de comprendre le problème ?

A. La documentation régulière des rapports sur le rendement

B. La définition exacte des niveaux de service et leur mesure
C. Le processus d'alerte et de mesure sur les serveurs d'applications
D. La disponibilité réelle des serveurs dans le cadre d'un test de fond

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 450
Lors de l'évaluation des pratiques de gestion d'une organisation tierce fournissant des services externalisés, l'auditeur du SI envisage de s'appuyer sur le
rapport d'un auditeur indépendant. L'auditeur du SI doit d'abord :

A. examiner les objectifs de l'audit.

B. examiner les documents de travail de l'auditeur indépendant.
C. discuter du rapport avec l'auditeur indépendant.
D. déterminer si les recommandations ont été mises en œuvre.

Bonne réponse : A
Explication
Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 451
Lorsqu'une organisation introduit la virtualisation dans son architecture, lequel des éléments suivants doit être le domaine d'intérêt principal d'un auditeur SI
pour vérifier une protection adéquate ?

A. Cycles d'entretien
B. Plusieurs versions du même système d'exploitation
C. de stockage partagé
D. Configuration du système d'exploitation hôte

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 452
Un auditeur du SI examine une application mobile bancaire qui permet aux utilisateurs finaux d'effectuer des transactions financières. Lequel des éléments
suivants présente un risque pour la sécurité de l'organisation ?

A. Vulnérabilités de sécurité non corrigées dans le système d'exploitation mobile

B. Paramètres de réseau mobile obsolètes
C. Défaillances logiques de l'interface de programmation d'applications (API)
D. Absence de mots de passe forts pour les appareils

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 453
Lequel des énoncés suivants est le MEILLEUR moyen pour un auditeur SI de réduire le risque d'échantillonnage lorsqu'il effectue un échantillonnage d'audit
pour vérifier l'adéquation des contrôles internes d'une organisation ?

A. Externaliser le processus d'échantillonnage.

B. Diminuez la taille de l'échantillonnage.
C. Réduisez l'écart type de l'échantillon.
D. Utiliser une méthode d'échantillonnage statistique.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 454
Un ordinateur portable de l'entreprise a été volé et toutes les photos de l'ordinateur portable ont été publiées sur les réseaux sociaux. Lequel des énoncés
suivants est la MEILLEURE ligne de conduite de l'auditeur des SI ?

A. S'assurer que les autorités compétentes ont été informées.

B. Examinez les photos pour déterminer si elles étaient à des fins professionnelles ou personnelles.
C. Vérifier que la politique de l'organisation en matière de signalement des incidents a été respectée.
D. Déterminez si l'ordinateur portable avait le niveau de cryptage approprié.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 455
Le service d'architecture d'entreprise (EA) d'une organisation décide de modifier les composants d'un système hérité tout en conservant ses fonctionnalités
d'origine. Lequel des éléments suivants est le PLUS important à comprendre pour un auditeur de SI lors de l'examen de cette décision ?

A. Les capacités commerciales actuelles fournies par l'ancien système

B. Les relations entre les entités de base de données au sein du système hérité
C. Flux de données entre les composants qui seront utilisés par le système remanié
D. La topologie de réseau proposée pour le système remanié

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 456
Lors d'un examen de la vérification interne de la mise en œuvre d'un système de recrutement des ressources humaines (RH), l'auditeur du SI note que plusieurs
lacunes n'étaient pas corrigées au moment de la mise en service du système. Laquelle des tâches suivantes est la tâche la plus importante de l'auditeur avant de
formuler une opinion d'audit ?
A. Confirmez que le plan de projet a été approuvé.
B. Confirmer la gravité des défauts identifiés.
C. Examinez les résultats du test d'acceptation par l'utilisateur (UAT) pour détecter les défauts.
D. Examiner le plan de mise en œuvre initial pour connaître les échéanciers.
Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 457
Laquelle des observations suivantes devrait être la plus grande préoccupation pour un auditeur SI examinant un environnement virtualisé hébergé où chaque
système d'exploitation invité exécute une application de production ?

A. Toutes les machines virtuelles lancent une tâche de sauvegarde d'application en même temps.
B. Il existe des partages de fichiers entre le système d'exploitation hôte et le système d'exploitation invité.
C. L'accès aux utilitaires et outils de virtualisation dans l'hôte n'est pas limité.
D. L'environnement de test des applications se trouve dans un système d'exploitation invité distinct.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 458
Une organisation multinationale intègre son système de paie existant à un système d'information sur les ressources humaines. Lequel des éléments suivants
devrait être la plus grande préoccupation pour l'auditeur du SI ?

A. Conversion des devises

B. Dérive de la portée
C. d'application
D. Documentation du système

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 459
Laquelle des méthodes d'échantillonnage suivantes est la plus efficace pour un auditeur de SI pour identifier les fraudes et le contournement des réglementations ?

A. Échantillonnage par arrêt ou départ

B. Échantillonnage variable
C. Échantillonnage de découverte
D. Échantillonnage statistique

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information Il s'agit d'un exemple de technique d'échantillonnage par
découverte, où un auditeur examine des échantillons jusqu'à ce qu'une exception soit trouvée.

QUESTION 460
Lequel des énoncés suivants est le MEILLEUR moyen pour un auditeur SI de garder la visibilité d'un projet d'implémentation d'un nouveau système face à des ressources limitées ?

A. Évaluez le plan et les jalons du projet.

B. Assister aux réunions du comité directeur.
C. Évaluer les résultats des tests d'acceptation par l'utilisateur (UAT).
D. Examinez l'environnement de contrôle cible .

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 461
L'indépendance d'un auditeur du SI à l'égard de l'audit d'un système applicatif est PLUS susceptible d'être compromise si l'auditeur :

A. a effectué un examen de l'aménagement de la demande.

B. conçu un module d'audit embarqué pour l'application.
C. sait que la demande contient les opérations personnelles du vérificateur.
D. relève d'une personne responsable de la demande.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 462
Laquelle des informations suivantes fournit les informations les plus utiles à un auditeur SI examinant les relations entre les processus métier critiques et les systèmes informatiques ?

A. Gestion du portefeuille informatique

B. Gestion des services informatiques
C. d'entreprise
D. Base de données de gestion de la configuration (CMDB)

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 463
Laquelle des affirmations suivantes est la MEILLEURE justification pour reporter les tests de correction au prochain audit ?

A. direction de l'entité auditée a accepté toutes les observations rapportées par l'auditeur.
B. L'environnement de vérification a considérablement changé.
C. Le vérificateur qui a effectué la vérification et qui a accepté l'échéancier a quitté l'organisation.
D. Les mesures prévues par la direction sont suffisantes compte tenu de l'importance relative des observations.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 464
Lors d'un examen post-mise en œuvre, la pertinence de l'effort de conversion des données serait MIEUX évaluée en effectuant un examen approfondi des éléments suivants :

A. Règles de conversion fonctionnelle.

B. les résultats des tests d'acceptation par l'utilisateur (UAT) de conversion.
C. Résultats de la conversion de mise en service.
D. modèles détaillés d'approche de conversion.

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 465
Lequel des éléments suivants est le rôle PRINCIPAL d'un auditeur SI dans un atelier d'auto-évaluation des contrôles (CSA) ?

A. des résultats de l'atelier et recommandations à l'administration

B. Collecte d'informations générales avant l'atelier sur l'AS
C. Analyse des écarts entre la conception et le cadre de contrôle
D. Aider les participants à évaluer les risques et les contrôles pertinents

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 466
Un auditeur des SI planifie un audit des processus de comptabilité fournisseurs d'une organisation. Lequel des contrôles suivants est le PLUS important à évaluer dans le cadre de l'audit ?

A. Examen et approbation des bons de commande par la direction

B. Examen par la direction et approbation des niveaux d'autorisation
C. des tâches entre l'émission des bons de commande et le paiement
D. Séparation des tâches entre la réception des factures et l'établissement des limites d'autorisation

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 467
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur de SI effectuant un examen de sécurité d'un système de point de vente (PDV) ?

A. La gestion des systèmes de point de vente est sous-traitée à un fournisseur basé dans un autre pays.
B. Les systèmes de point de vente ne sont pas intégrés aux applications de comptabilité pour le transfert de données.
C. Les informations sur la valeur de vérification de la carte de crédit (CVV) sont stockées sur les systèmes de point de vente locaux.
D. Un scanner optique n'est pas utilisé pour lire les codes-barres pour générer des factures de vente.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 468
Des experts externes ont été utilisés dans le cadre d'une récente mission de vérification des TI. En évaluant le travail des experts externes, l'équipe de vérification
interne a constaté certaines lacunes dans les éléments probants qui pourraient avoir eu une incidence sur ses conclusions. Quelle est la MEILLEURE ligne de
conduite de l'équipe d'audit interne ?
A. Engagez un autre expert pour effectuer les mêmes tests.
B. Recommander aux experts externes d'effectuer des tests supplémentaires.
C. Signaler une limitation de la portée dans leurs conclusions.
D. Transmettre à la haute direction.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 469
Lequel des énoncés suivants est le MEILLEUR pour garantir la qualité et l'intégrité des procédures de test utilisées dans l'analyse d'audit ?

A. Élaborer et communiquer les meilleures pratiques en matière de procédures d'essai aux équipes d'audit
B. des procédures et mise en œuvre d'un examen périodique par les pairs
C. et mise en œuvre d'un référentiel de données d'audit
D. Centralisation des procédures et mise en œuvre du contrôle des changements

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 470
Après avoir remis un rapport d'audit, le responsable de l'audit découvre que des éléments probants ont été négligés lors de l'audit. Ces éléments probants indiquent
qu'un contrôle procédural peut avoir échoué et contredire une conclusion de l'audit. Lequel des risques suivants est le PLUS affecté par cet oubli ?

A. Inhérent
B. Finances
C. Vérification
D. Opérationnel

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 471
Laquelle des étapes suivantes devrait être la PREMIÈRE étape lors de la planification d'un audit SI d'un fournisseur de services tiers qui surveille les activités du réseau ?

A. Évaluer le processus de surveillance par un tiers de l'organisation

B. Déterminer si l'organisation dispose d'une connexion sécurisée avec le fournisseur
C. Examiner les rôles et les responsabilités du fournisseur tiers
D. Examiner les journaux de surveillance et le traitement des incidents du tiers

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 472
Un auditeur SI évalue la stratégie et les plans informatiques d'une organisation. Lequel des éléments suivants serait le plus préoccupant ?

A. La planification stratégique des TI est insuffisamment documentée.

B. La TI n'est pas engagée dans la planification stratégique de l'entreprise
C. Il n'y a pas de politique de sécurité des TI définie
D. Le procès-verbal de la réunion de stratégie d'entreprise n'est pas dérangeant

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 473
Un auditeur SI examine un système de contrôle industriel (SCI) qui utilise une technologie plus ancienne non prise en charge dans le cadre d'un audit à venir.
Quelle est la préoccupation la plus importante pour l'auditeur ?

A. Les spécifications techniques ne sont pas documentées.

B. Les plans de reprise après sinistre (PRA) ne sont pas en place.
C. Les vecteurs d'attaque évoluent pour les systèmes de contrôle industriels.
D. Il existe un plus grand risque d'exploitation du système.

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 474
Laquelle des recommandations suivantes est la MEILLEURE recommandation d'un auditeur SI pour aider une organisation à augmenter l'efficacité des ressources informatiques ?

A. Mises à niveau matérielles

B. Virtualisation
C. Sauvegardes en temps réel
D. Overclocker l'unité centrale de traitement (CPU)

Bonne réponse : B
Explication

Explication/Référence :
Section : Processus d'audit du système d'information
QUESTION 475
Un responsable de l'audit des SI a été temporairement chargé de superviser un chef de projet affecté à la mise à niveau de l'application de paie de l'organisation.
De retour au service d'audit, le responsable de l'audit a été invité à effectuer un audit pour valider l'implantation de l'application de paie. Le responsable de l'audit
est le seul du département d'audit à avoir une expérience de la gestion de projets informatiques. Quel est le MEILLEUR plan d'action ?

A. Transférer l'affectation à un autre responsable de l'audit malgré le manque d'expérience en gestion de projets informatiques
B. Confier la gestion du projet à un auditeur principal des SI et à l'examen final par le responsable de l'audit des SI.
C. l'audit à des ressources indépendantes et qualifiées
D. Gérer la vérification puisqu'il n'y a personne d'autre ayant l'expérience appropriée

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 476
L'audit interne effectue un audit du risque lié aux transactions des clients. Laquelle des raisons suivantes serait la MEILLEURE raison d'utiliser l'analyse de données ?

A. données transactionnelles sont contenues dans plusieurs systèmes discrets qui ont des niveaux de fiabilité variables
B. Les anomalies et les tendances des risques dans l'ensemble de données restent à définir
C. L'audit est effectué pour se conformer à la réglementation exigeant des tests périodiques par échantillonnage aléatoire
D. L'audit porte sur un petit nombre d'opérations prédéfinies à risque élevé

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 477
Lors de l'examen d'un système de classification des données, il est TRÈS important pour un auditeur SI de déterminer si :

A. chaque actif informationnel est affecté à une classification différente.

B. Les cadres supérieurs de la TI sont identifiés comme des propriétaires de l'information.
C. les critères de sécurité sont clairement documentés pour chaque classification.
D. le propriétaire de l'information est tenu d'approuver l'accès à l'actif.

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 478
Un auditeur SI examine un grand livre auxiliaire et un grand livre principal. Lequel des éléments suivants serait la plus grande préoccupation s'il y avait des failles
dans la mise en correspondance des comptes entre deux systèmes ?

A. Modification non autorisée des attributs du compte

B. Inexactitude des rapports financiers
C. à prendre en charge de nouvelles transactions commerciales
D. Double imputation d'une seule écriture de journal

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 479
Lequel des éléments suivants est le but PRINCIPAL de la réalisation d'audits de suivi pour les observations importantes ?

A. Valider l'exactitude des résultats rapportés

B. Évaluer les risques liés à l'environnement de vérification
C. les éléments probants pour l'établissement de rapports de gestion
D. Valider les efforts d'assainissement

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 480
Quel est l'objectif PRINCIPAL de la fonction d'audit interne du SI d'une organisation ?

A. Fournir une assurance à la direction quant à l'efficacité de la gestion des risques et des contrôles internes de l'organisation.
B. Identifier et initier les changements nécessaires dans l'environnement de contrôle pour assurer une amélioration durable.
C. Examiner les politiques et procédures de l'organisation par rapport aux meilleures pratiques et normes de l'industrie.
D. Attester de manière indépendante de la conformité de l'organisation aux exigences légales et réglementaires applicables.

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 481
Un auditeur des SI a indiqué que plusieurs feuilles de calcul sont utilisées pour générer des informations financières clés. Que doit vérifier l'auditeur en premier ?

A. Si les feuilles de calcul répondent aux exigences minimales en matière de contrôles généraux de TI
B. Si les feuilles de calcul sont officiellement examinées par le dirigeant principal des finances (DPF).
C. Existe-t-il un inventaire complet des feuilles de calcul de l'informatique de l'utilisateur final (EUC) ?
D. Si une documentation et une formation adéquates sont disponibles pour les utilisateurs de feuilles de calcul

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 482
Lequel des éléments suivants devrait être le rôle PRINCIPAL d'une fonction d'audit interne dans la gestion des risques opérationnels identifiés ?

A. Fonctionnement du cadre de gestion des risques

B. Établir une propension au risque
C. d'un cadre de gestion des risques
D. Validation de la gestion des risques d'entreprise (GRE)

Bonne réponse : D
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 483
Le fournisseur d'hébergement Web d'une banque vient de terminer un audit interne de sécurité informatique et ne fournit qu'un résumé des conclusions à
l'auditeur de la banque. Lequel des éléments suivants devrait être la plus grande préoccupation de la banque ?

A. Les auditeurs de la banque ne sont pas indépendants du prestataire de services

B. La portée de l'audit n'a peut-être pas abordé des domaines critiques
C. L'audit peut faire double emploi avec les procédures d'audit interne de la banque
D. Les procédures d'audit ne sont pas fournies à la banque

Bonne réponse : A
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 484
Un responsable de l'audit des SI prépare le plan de dotation pour une mission d'audit d'un fournisseur de services cloud. Quelle devrait être la principale
préoccupation du gestionnaire lorsqu'il apprend qu'un nouvel auditeur du service a déjà travaillé pour ce fournisseur ?

A. Compétence
B. Indépendance
C. Intégrité
D. Conduite professionnelle

Bonne réponse : C
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 485
Un auditeur du SI a noté qu'une modification d'un calcul critique avait été apportée à l'environnement de production sans être testée. Lequel des énoncés suivants
est le MEILLEUR moyen d'obtenir l'assurance que le calcul fonctionne correctement ?

A. Vérifier l'exécution régulière du traitement par lots de calcul

B. Effectuer des tests de corroboration à l'aide de techniques de vérification assistée par ordinateur (CAAT)
C. Obtenir l'approbation de la direction après le changement
D. Interviewer le développeur principal du système

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 486
Qu'est-ce qui serait le plus préoccupant pour un auditeur de SI examinant les feuilles de calcul de l'utilisateur final (EUC) utilisées pour l'information financière dans
lesquelles le contrôle de version est appliqué ?

A. Les demandes d'accès sont traitées manuellement

B. Les feuilles de calcul sont conservées à divers endroits
C. Les propriétaires de feuilles de calcul ne sont examinés qu'une fois par an
D. Les feuilles de calcul ne sont pas protégées par un mot de passe

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 487
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur SI qui envisage d'utiliser l'analyse de données lors d'un prochain audit ?

A. Il n'existe pas de modèle de données documenté

B. Les données proviennent de la période de référence précédente
C. données disponibles sont incomplètes
D. Les champs de données sont utilisés à des fins multiples

Bonne réponse : B
Explication

Explication/Référence :
Section : Le processus d'audit du système d'information

QUESTION 488
Lequel des éléments suivants nécessite un consensus des principales parties prenantes sur les buts et objectifs stratégiques de la TI ?

A. Tableaux de bord prospectifs

B. Analyse comparative
C. de maturité
D. Examens par les pairs

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 489
Un auditeur du SI a constaté qu'un dirigeant d'entreprise encourage les employés à utiliser les sites de réseaux sociaux à des fins professionnelles.
Laquelle des recommandations suivantes contribuerait le mieux à réduire le risque de fuite de données ?

A. Exiger la reconnaissance de la politique et les accords de non-divulgation signés par les employés
B. Fournir de l'information et des lignes directrices aux employés sur l'utilisation des sites de réseautage social
C. en place de contrôles rigoureux de l'accès aux données confidentielles
D. Surveillance de l'utilisation des réseaux sociaux par les employés

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 490
Le service de sécurité de l'information d'une organisation crée des procédures pour traiter les preuves numériques qui peuvent être utilisées devant les tribunaux.
Lequel des éléments suivants serait la considération la plus importante du point de vue du risque ?

A. S'assurer que toute l'équipe de sécurité examine les preuves

B. S'assurer que l'analyse est effectuée sur la base des données originales
C. Assurer la confidentialité des données originales
D. Assurer la préservation de l'intégrité des données

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 491
Laquelle des propositions suivantes est la MEILLEURE approche pour prendre des décisions stratégiques en matière de sécurité de l'information ?

A. Établir des rapports réguliers sur l'état de la sécurité de l'information

B. Mettre sur pied des groupes de travail sur la sécurité des unités opérationnelles
C. des réunions périodiques de la haute direction
D. Mettre en place un comité directeur sur la sécurité de l'information

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 492
Une organisation qui utilise beaucoup les services cloud externes se préoccupe de la surveillance des risques et de la réponse rapide. La MEILLEURE façon de
répondre à cette préoccupation est de s'assurer que :

A. la disponibilité d'un soutien technique continu

B. Des normes de sécurité internes sont en place
C. une clause de droit de vérification est incluse dans les contrats
D. des accords de niveau de service (SLA) appropriés sont en place

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 493
L'objectif principal de la documentation des directives de sécurité de l'information à utiliser au sein d'une grande organisation internationale est de :
A. S'assurer que toutes les unités commerciales ont les mêmes objectifs stratégiques de sécurité
B. fournir aux auditeurs la preuve que les pratiques de sécurité sont adéquates
C. expliquer les pratiques privilégiées de l'organisation en matière de sécurité
D. s'assurer que toutes les unités opérationnelles mettent en œuvre des procédures de sécurité identiques

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 494
Laquelle des informations suivantes serait la plus importante à inclure dans une analyse de rentabilisation pour un projet de sécurité de l'information dans un secteur hautement réglementé ?

A. Analyse comparative de l'industrie

B. Constatations critiques de l'audit
C. des risques de conformité
D. d'incidents de sécurité signalés

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 495
Lorsqu'un responsable de la sécurité de l'information présente un rapport sur l'état d'avancement d'un programme de sécurité de l'information à la haute direction, l'objectif principal doit être :

A. key indicateurs de performance (KPI)

B. Indicateurs de risques critiques
C. Valeur actualisée nette (VAN)
D. key évaluation des contrôles

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 496
La haute direction d'une organisation encourage les employés à utiliser les médias sociaux à des fins promotionnelles. Lequel des éléments suivants devrait être
la PREMIÈRE étape du responsable de la sécurité de l'information pour soutenir cette stratégie ?

A. Élaborer une analyse de rentabilisation pour une solution de prévention des pertes de données
B. Élaborer une ligne directrice sur l'utilisation acceptable des médias sociaux
C. Intégrer les médias sociaux au programme de sensibilisation à la sécurité
D. Utiliser une solution de filtrage de contenu Web

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 497
Lequel des énoncés suivants est le MEILLEUR plan d'action pour un responsable de la sécurité de l'information afin d'aligner la sécurité et les objectifs commerciaux ?

A. Revoir la stratégie d'affaires

B. Collaborer activement avec les intervenants
C. Réalisation d'une analyse d'impact sur les activités
D. Définition d'indicateurs de performance clés

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 498
Une organisation s'expose à des amendes et des pénalités sévères si elle ne se conforme pas aux exigences réglementaires locales dans un délai établi. La
haute direction a demandé au responsable de la sécurité de l'information de préparer un plan d'action pour assurer la conformité. Lequel des éléments suivants
fournirait les informations les plus utiles à des fins de planification ?

A. Résultats d'une analyse des répercussions sur les activités

B. Résultats d'une analyse des lacunes
C. des contrôles de sécurité actuellement en place
D. Délai et sanctions en cas de non-conformité

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 499
L'objectif le plus important de la formation de sensibilisation à la sécurité pour le personnel de l'entreprise est de :
A. Comprendre les méthodes d'intrusion
B. réduire les constatations négatives de l'audit
C. Accroître la conformité
D. modifier le comportement

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 500
Si le risque inhérent à une activité commerciale est supérieur au niveau de risque acceptable, le responsable de la sécurité de l'information doit d'abord :

A. transférer le risque à un tiers pour éviter le coût de l'impact

B. mettre en œuvre des contrôles pour atténuer le risque à un niveau acceptable
C. recommander à la direction d'éviter l'activité commerciale
D. évaluer l'écart entre le niveau de risque actuel et le niveau acceptable

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 501
Lequel des éléments suivants est le facteur le plus important lors de l'élaboration d'une stratégie de sécurité de l'information efficace ?

A. Rapports d'audit de sécurité

B. Rapports d'analyse comparative
C. de sécurité de l'information
D. Exigences de conformité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 502
La PREMIÈRE étape de la mise en place d'un programme de sécurité de l'information consiste à :

A. Obtenir l'engagement et le soutien de l'organisation

B. évaluer la conformité de l'organisation aux exigences réglementaires
C. déterminer le niveau de risque acceptable pour la haute direction
D. définir des politiques et des normes qui atténuent les risques de l'organisation

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 503
Laquelle des raisons suivantes est la MEILLEURE raison de certifier une organisation selon une norme de sécurité internationale ?

A. La certification couvre la sécurité de l'entreprise de bout en bout.

B. La certification réduit les risques liés à la sécurité de l'information.
C. La certification garantit que des contrôles optimaux sont en place.
D. La certification apporte de la valeur aux parties prenantes.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 504
Une organisation envisage de permettre à ses employés d'utiliser des appareils informatiques personnels à des fins professionnelles. Pour faciliter au mieux la
décision de la haute direction, le responsable de la sécurité de l'information doit :

A. effectuer une analyse coûts-avantages

B. Adapter la stratégie aux objectifs de l'entreprise
C. effectuer une évaluation des risques
D. élaborer une analyse de rentabilisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 505
A des principaux avantages de l'implication de la direction de l'entreprise dans l'évaluation et la gestion des risques liés à la sécurité de l'information est qu'elle :

A. mieux comprendre l'architecture de sécurité

B. mieux comprendre les risques organisationnels
C. peut équilibrer les risques techniques et commerciaux
D. sont plus objectifs que la gestion de la sécurité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 506
Lequel des éléments suivants est le moyen le plus efficace pour une organisation de s'assurer que ses fournisseurs de services tiers sont conscients des exigences
et des attentes en matière de sécurité de l'information ?

A. Formation à la sécurité de l'information pour le personnel tiers

B. Audit de la prestation de services des fournisseurs tiers
C. de clauses de sécurité de l'information dans les contrats
D. Exiger des tiers qu'ils signent des accords de confidentialité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 507
Lequel des éléments suivants devrait être le facteur le plus important lors de la mise en œuvre d'un cadre de sécurité de l'information ?

A. Exigences de conformité
B. Constatations de l'audit
C. techniques
D. Appétit pour le risque

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 508
Le service informatique d'une organisation entreprend un vaste projet de virtualisation pour réduire l'empreinte de ses serveurs physiques. Lequel des éléments
suivants devrait être la priorité la plus élevée du responsable de la sécurité de l'information ?

A. Déterminer comment les incidents seront gérés

B. Sélection du logiciel de virtualisation
C. à la phase de conception du projet
D. S'assurer que le projet dispose d'un financement approprié pour la sécurité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 509
Un responsable de la sécurité de l'information élabore des procédures de préservation des preuves pour un plan d'intervention en cas d'incident. Lequel des
éléments suivants serait la MEILLEURE source d'orientation pour les exigences associées aux procédures ?

A. Gestion informatique
B. Direction générale
C. juridique
D. Propriétaires des données

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 510
Quel est le rôle le plus important du dépositaire de données d'une organisation à l'appui de la fonction de sécurité de l'information ?

A. Évaluation des fournisseurs de technologies de sécurité des données

B. Application des politiques de sécurité d'approbation
C. Approbation des droits d'accès aux données ministérielles
D. Évaluation des risques liés à la sécurité des données pour l'organisation

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 511
Un responsable de la sécurité de l'information a identifié et mis en œuvre des contrôles de migration conformément aux meilleures pratiques du secteur. Lequel des
éléments suivants est le PLUS GRAND risque associé à cette approche ?

A. Des contrôles de sécurité importants peuvent être manqués sans l'avis de la haute direction.
B. Le coût de la mise en œuvre du contrôle peut être trop élevé.
C. Les mesures relatives à la migration peuvent ne pas être mises à jour en temps voulu.
D. Le programme de sécurité peut ne pas être aligné sur les objectifs de l'organisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 512
À la suite d'une évaluation des risques, de nouvelles contre-mesures ont été approuvées par la direction. Lequel des

suivantes devraient être effectuées ENSUITE ?

A. Planifier la date de fin cible des activités de mise en œuvre.

B. Budgétiser le coût total des activités de mise en œuvre.
C. Élaborer une stratégie de mise en œuvre.
D. Calculer le risque résiduel pour chaque contre-mesure.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 513
Lequel des éléments suivants serait la plus grande préoccupation d'un auditeur SI évaluant la gouvernance des composants de développement open source ?

A. Le projet de développement a dépassé le budget et le temps

B. Les composants de développement open source ne répondent pas aux meilleures pratiques de l'industrie
C. Le logiciel n'est pas analysé pour vérifier sa conformité aux exigences de l'organisation
D. Les politiques open source existantes n'ont pas été approuvées depuis plus d'un an

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 514
L'objectif PRINCIPAL de la création de valeur en matière de gouvernance informatique est de :

A. Augmenter l'efficacité
B. promouvoir les meilleures pratiques
C. optimiser les investissements
D. Assurer la conformité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 515
Lequel des éléments suivants est l'objectif PRINCIPAL de la mise en œuvre de la gouvernance informatique ?

A. Gestion des ressources

B. Mesure du rendement
C. Fourniture de valeur
D. Planification stratégique

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 516
Lequel des éléments suivants est nécessaire pour une gestion efficace des risques dans la gouvernance informatique ?

A. L'évaluation des risques est intégrée aux processus de gestion

B. La stratégie de gestion des risques est approuvée par le comité d'audit
C. Les gestionnaires locaux sont seuls responsables de l'évaluation des risques
D. La gestion des risques liés aux TI est distincte de la gestion des risques organisationnels

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 517
Lequel des éléments suivants devrait être la considération PRINCIPALE d'un auditeur de SI lors de l'évaluation de l'élaboration et de la conception d'un programme de protection de la vie privée ?

A. Procédures de gouvernance et de classification des données

B. Politiques et procédures conformes aux lignes directrices en matière de protection de la vie privée
C. Directives sur les pratiques de l'industrie et la conformité réglementaire
D. Pratiques de sécurité de l'information et de gestion des incidents

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 518
Lequel des éléments suivants est l'objectif PRINCIPAL de la mise en œuvre de contrôles liés à la protection de la vie privée au sein d'une organisation ?

A. Pour identifier les données au repos et les données en transit pour le chiffrement
B. Pour éviter la perte de données confidentielles
C. Pour se conformer aux exigences légales et réglementaires
D. Fournir des options aux individus concernant l'utilisation de leurs données

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 519
Un audit SI des politiques de classification des données d'une organisation révèle que certains domaines des politiques peuvent ne pas être à jour avec les
nouvelles réglementations en matière de confidentialité des données. Que devrait faire la direction en premier pour gérer le risque de

Non-conformité?

A. Effectuer une évaluation des facteurs relatifs à la vie privée pour cerner les lacunes
B. Reclassifier l'information en fonction des étiquettes de classification révisées de l'information
C. Rendre obligatoire la formation sur les nouveaux règlements sur la protection des renseignements personnels
D. Effectuer un exercice de découverte de données pour identifier toutes les données personnelles

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 520
Lequel des éléments suivants est le plus important à prendre en compte lors de l'évaluation de l'étendue des préoccupations en matière de protection de la vie privée pour un projet de TI ?

A. Lois et règlements applicables

B. Droits d'accès des utilisateurs finaux
C. Exigences opérationnelles
D. Classification des données

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 521
Lequel des énoncés suivants présente la PLUS GRANDE préoccupation lors de la mise en œuvre de la circulation transfrontalière des données ?

A. Lois sur le piratage de logiciels

B. Lois nationales sur la protection de la vie privée
C. politiques
D. Incompatibilités d'équipement

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 522
Lorsqu'une organisation met en œuvre un nouveau logiciel sous contrat, lequel des éléments suivants est essentiel pour contrôler l'escalade des coûts due à la dérive des objectifs ?

A. Gestion des problèmes

B. Gestion de la qualité
C. du changement
D. Gestion des risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 523
Laquelle des raisons suivantes est la PLUS importante d'utiliser l'échantillonnage statistique ?

A. Les résultats sont plus défendables

B. Il garantit que tous les cas pertinents sont couverts
C. Il réduit le temps nécessaire aux tests
D. Les résultats peuvent réduire les taux d'erreur

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 524
Lequel des éléments suivants est le plus essentiel au succès d'un programme de sécurité de l'information ?

A. Intégration de la sécurité des entreprises et de l'information

B. Alignement de la sécurité de l'information sur les objectifs informatiques
C. de la direction en faveur de la sécurité de l'information
D. Responsabilité des utilisateurs en matière de sécurité de l'information

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 525
Lequel des éléments suivants est l'objectif PRINCIPAL de la classification des données ?

A. Application des mesures de protection appropriées

B. Assurer la séparation des tâches
C. des exigences en matière de paramètres pour les étiquettes de sécurité
D. Assurer l'intégrité des informations sensibles

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 526
La décision d'accepter un risque de contrôle informatique lié à la qualité des données devrait être la responsabilité de :

A. Équipe de sécurité de l'information

B. dirigeant principal de l'information (DPI)
C. propriétaire d'entreprise
D. Responsable de l'audit SI

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 527
Lequel des éléments suivants serait le plus efficace en termes de temps et d'argent lors de l'exécution d'une auto-évaluation des contrôles (CSA) pour une
organisation comptant un grand nombre d'employés très dispersés ?

A. Analyse descendante et ascendante

B. Entretiens en face à face
C. de l'enquête
D. animés

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 528
Dans l'échantillonnage d'attributs, quelle est la relation entre le taux d'erreur attendu et la taille de l'échantillon ?

A. Le taux d'erreur attendu n'affecte pas la taille de l'échantillon

B. Plus le taux d'erreur attendu est élevé, plus la taille de l'échantillon est petite
C. Plus le taux d'erreur attendu est élevé, plus la taille de l'échantillon est grande
D. Plus la taille de l'échantillon est grande, plus le taux d'erreur attendu est faible

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 529
La raison la plus importante pour laquelle une évaluation des risques informatiques doit être mise à jour régulièrement est la suivante :

A. utiliser les ressources informatiques de manière rentable

B. se conformer aux changements de classification des données
C. se conformer aux politiques de gestion des risques
D. réagir aux changements de l'environnement informatique
Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 530
Un cadre de gouvernance informatique fournit à une organisation :

A. une base pour diriger et contrôler l'informatique.

B. l'assurance qu'il y aura des réductions des coûts informatiques.
C. des structures organisationnelles pour élargir la part de marché grâce à l'informatique.
D. l'assurance qu'il y a des investissements excédentaires en TI.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 531
Lequel des éléments suivants est un facteur clé de succès pour la mise en œuvre de la gouvernance informatique ?

A. Intégration des processus d'assurance de la qualité

B. Mise en place d'un comité de gouvernance des TI
C. Aligner les stratégies informatiques et commerciales
D. Exécution des projets de TI dans les limites du budget

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 532
Lequel des groupes suivants est LE PLUS susceptible d'être responsable de la mise en œuvre des projets de TI ?

A. Comité directeur de la TI
B. Comité de conformité informatique
C. de stratégie informatique
D. Comité de gouvernance des TI

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 533
Le directeur des systèmes d'information (DSI) d'une organisation craint que les politiques de sécurité de l'information ne soient pas complètes. Lequel des éléments
suivants un auditeur de SI devrait-il recommander d'effectuer en premier ?

A. Obtenir une copie des politiques de leurs concurrents.

B. Déterminez s'il existe un processus pour gérer les exceptions aux stratégies.
C. Mettre sur pied un conseil de gouvernance pour assurer le suivi de la conformité aux politiques.
D. Comparez les politiques à un cadre de l'industrie.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 534
Un auditeur des SI peut MIEUX aider la direction à s'acquitter de ses responsabilités en matière de gestion des risques en :

A. mettre en évidence des risques spécifiques qui ne sont pas traités.

B. s'assurer que les rôles de gestion des risques informatiques sont définis.
C. élaborer un cadre de gestion des risques liés aux TI.
D. adopter un mécanisme de signalement des problèmes.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 535
Laquelle des propositions suivantes est la MEILLEURE source pour décrire les objectifs des systèmes d'information d'une organisation ?

A. Responsables des processus opérationnels

B. Utilisateurs finaux
C. informatique
D. Gestion de la sécurité de l'information

Bonne réponse : D
Explication
Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 536
Lequel des énoncés suivants est la MEILLEURE façon pour la direction d'assurer l'efficacité du processus de réponse aux incidents de cybersécurité ?

A. Mise à jour périodique de la documentation du processus d'intervention en cas d'incident

B. Signalement périodique des incidents de cybersécurité aux principales parties prenantes
C. périodiques de simulation avec la participation des principales parties prenantes
D. périodique à la cybersécurité pour le personnel impliqué dans la réponse aux incidents

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 537
Une organisation a récemment été informée par son organisme de réglementation d'écarts importants dans ses données de déclaration. Une enquête préliminaire a
révélé que les écarts étaient causés par des problèmes de qualité des données de l'organisation. La direction a demandé à l'équipe de la qualité des données
d'améliorer son programme. Le comité de vérification a demandé à la vérification interne d'agir à titre de conseiller dans le cadre du processus. Pour s'assurer que
les préoccupations de la direction sont prises en compte, quel ensemble de données la vérification interne devrait-il recommander d'examiner en premier ?

A. Données ayant un impact sur les objectifs commerciaux

B. Données à l'appui des états financiers
C. Données communiquées à l'organisme de réglementation
D. Données contenant des informations personnelles sur les clients

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 538
Un auditeur des SI a été chargé de donner des conseils sur la conception et la mise en œuvre des meilleures pratiques de gestion des TI. Laquelle des
actions suivantes porterait atteinte à l'indépendance de l'auditeur ?

A. Fournir des conseils de consultation pour la gestion des demandes

B. Conception d'un module d'audit intégré
C. en œuvre de la réponse aux risques au nom de la direction
D. Évaluation du processus de gestion des risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 539
Lequel des éléments suivants est le moyen le plus efficace d'aider la direction et le comité de stratégie informatique à surveiller les performances informatiques ?

A. Enquêtes de satisfaction des utilisateurs finaux

B. Analyse des lacunes
C. des niveaux de service par rapport à des paramètres
D. Rapports de surveillance de l'infrastructure

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 540
La direction a décidé d'accepter le risque résiduel d'une constatation de vérification et de ne pas prendre les mesures recommandées. L'équipe de vérification
interne estime que l'acceptation est inappropriée et a discuté de la situation avec la haute direction. Après cette discussion, il y a toujours un désaccord
concernant la décision. Lequel des
suivre est le MEILLEUR plan d'action par audit interne ?

A. Signaler cette question au comité d'audit sans en aviser la haute direction.

B. Documenter dans le rapport d'audit que la direction a accepté le risque résiduel et n'a pris aucune autre mesure.
C. Signaler le problème au comité d'audit lors d'une réunion conjointe avec la haute direction pour résolution.
D. Planifiez une autre réunion avec la direction générale pour la convaincre de prendre les mesures recommandées.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 541
Un auditeur du SI a effectué une vérification de la gestion des niveaux de service liée aux services de gestion des commandes fournis par un tiers. Laquelle
des affirmations suivantes est la découverte la plus importante ?

A. La tierce partie a des accords de soutien à l'étranger.

B. Les pénalités pour les niveaux de service manquants sont limitées.
C. L'accord sur les niveaux de service ne définit pas la façon dont la disponibilité est mesurée.
D. Le support du centre de services n'est pas disponible en dehors des heures d'ouverture de l'entreprise.
Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 542
Pour garantir l'exactitude et l'exhaustivité des résultats informatiques de l'utilisateur final, il est TRÈS important d'inclure des éléments forts :

A. les contrôles de rapprochement.

B. les contrôles de gestion du changement.
C. contrôles de gestion de l'accès.
D. contrôles de la documentation.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 543
Les feuilles de calcul sont utilisées pour calculer les estimations de coûts des projets. Les totaux pour chaque catégorie de coûts sont ensuite saisis dans le
système d'évaluation des coûts des travaux. Quel est le MEILLEUR contrôle pour s'assurer que les données sont saisies avec précision dans le système ?

A. Contrôles du caractère raisonnable pour chaque type de coût

B. Contrôles de validité, empêchant la saisie de données de caractère
C. Affichage des détails du projet après la saisie
D. Rapprochement des montants totaux par projet

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 544
Plutôt que de mettre hors service une application héritée entière, le service informatique d'une organisation a choisi de remplacer des modules spécifiques tout
en conservant ceux qui restent pertinents. Lequel des artefacts suivants est LE PLUS important pour un auditeur SI à examiner ?

A. Exigences relatives au catalogue et au niveau de service de gestion des services informatiques

B. Exigences de sécurité pour le masquage et la destruction des données existantes
C. Accords de licence applicables à la demande
D. Architecture et exigences futures

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 545
Lors d'un examen de la sécurité réseau, le journal système indique un nombre anormalement élevé de tentatives de connexion infructueuses. Laquelle des
techniques d'échantillonnage suivantes est la PLUS appropriée pour sélectionner un échantillon d'identifiants d'utilisateurs pour une enquête plus approfondie ?

A. Stratification
B. Attribut
C. Unité monétaire
D. Variable

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 546
Le rôle PRINCIPAL d'un facilitateur d'autoévaluation des contrôles (ASC) est de :

A. faire rapport sur les faiblesses du contrôle interne.

B. concentrer l'équipe sur les contrôles internes.
C. fournir des solutions aux faiblesses des contrôles.
D. mener des entrevues pour obtenir des renseignements généraux.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 547
Lequel des éléments suivants est le facteur le plus important pour une organisation lorsqu'elle élabore une stratégie pour se conformer aux réglementations en matière de protection de la vie privée ?

A. S'assurer que les membres du personnel ont une connaissance approfondie des règlements sur la protection de la vie privée
B. Assurer une connaissance à jour de l'endroit où les données des clients sont stockées
C. Assurer la mise à jour régulière des contrats avec les tiers qui traitent les données des clients
D. Assurer un accès approprié aux systèmes d'information contenant des renseignements sur la protection de la vie privée.
Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 548
Lequel des éléments suivants serait le mieux adapté pour superviser l'élaboration d'une politique de sécurité de l'information ?

Un. Administrateurs
B. système Utilisateur final
C. de sécurité
D. Administrateurs de sécurité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des TI Le responsable de la sécurité serait la personne la
mieux placée pour superviser l'élaboration de ces politiques.

Les agents de sécurité et leurs équipes ont généralement été chargés de créer les politiques de sécurité. Les politiques doivent être rédigées et communiquées
de manière appropriée pour s'assurer qu'elles peuvent être comprises par les utilisateurs finaux. Les politiques mal rédigées ou écrites à un niveau d'éducation
trop élevé (la pratique courante de l'industrie consiste à concentrer le contenu pour les utilisateurs généraux au niveau de lecture de la sixième à la huitième
année) ne seront pas comprises.
La mise en œuvre des politiques de sécurité et des éléments qui les soutiennent montre le soin apporté par l'entreprise et son personnel de direction.
Informer les employés de ce que l'on attend d'eux et des conséquences de la non-conformité peut se résumer à une question de responsabilité.

Bien que les agents de sécurité puissent être responsables de l'élaboration des politiques de sécurité, l'effort devrait être collaboratif pour s'assurer que les
problèmes opérationnels sont résolus.

Les agents de sécurité bénéficieront d'un meilleur soutien de l'entreprise en incluant d'autres domaines dans l'élaboration des politiques. Cela permet de renforcer
l'adhésion de ces domaines à mesure qu'ils s'approprient davantage le produit final. Envisagez d'inclure des domaines tels que les RH, le juridique, la conformité,
divers domaines informatiques et des représentants de secteurs d'activité spécifiques qui représentent des unités commerciales critiques.

Lorsque les politiques sont développées uniquement au sein du service informatique et ensuite distribuées sans contribution de l'entreprise, elles risquent de passer
à côté de considérations commerciales importantes. Une fois les documents de politique créés, la base pour assurer la conformité est établie. Selon l'organisation,
des documents supplémentaires peuvent être nécessaires pour appuyer la politique. Ce soutien peut prendre la forme de contrôles supplémentaires décrits dans les
normes, les bases de référence ou les procédures pour aider le personnel à se conformer. Une étape importante après la documentation est de faire

la version la plus récente des documents facilement accessible à ceux qui sont censés les suivre. De nombreuses organisations placent les documents sur leur
intranet ou dans des dossiers partagés pour faciliter leur accessibilité. Un tel placement de ces documents ainsi que des listes de contrôle, des formulaires et des
exemples de documents peut rendre la sensibilisation plus efficace.

Pour votre examen, vous devez connaître les informations ci-dessous :

Utilisateur final - L'utilisateur final est responsable de la protection quotidienne des actifs informationnels en respectant les politiques de sécurité qui lui ont été communiquées.

Direction générale/Direction générale - La haute direction conserve la responsabilité globale de la protection des actifs informationnels. Les opérations
commerciales dépendent de la disponibilité, de l'exactitude et de la protection des informations contre les individus sans avoir besoin de savoir.

Responsable de la sécurité - L'agent de sécurité dirige, coordonne, planifie et organise les activités de sécurité de l'information dans toute l'organisation. L'agent
de sécurité travaille avec de nombreuses personnes différentes, telles que la direction exécutive, la direction des unités commerciales, le personnel technique, les
partenaires commerciaux, les auditeurs et les tiers tels que les fournisseurs. Le responsable de la sécurité et son équipe sont responsables de la conception, de
la mise en œuvre, de la gestion et de l'examen des politiques, normes, procédures, bases de référence et directives de sécurité de l'organisation.

Professionnel de la sécurité des systèmes d'information - La rédaction des politiques, des normes et des lignes directrices, des procédures et des bases de
référence à l'appui est coordonnée par ces personnes. Des directives sont fournies pour les questions techniques de sécurité, et les menaces émergentes sont
prises en compte pour l'adoption de nouvelles politiques. Des activités telles que l'interprétation des réglementations gouvernementales et des tendances de
l'industrie et l'analyse des solutions des fournisseurs à inclure dans l'architecture de sécurité qui fait progresser la sécurité de l'organisation sont effectuées dans
ce rôle.
Propriétaires de données/d'informations/d'entreprises/de systèmes - Un dirigeant ou un gestionnaire d'entreprise est généralement responsable d'un actif
d'information. Ce sont les personnes qui attribuent la classification appropriée aux actifs informationnels. Ils veillent à ce que les renseignements commerciaux
soient protégés par des contrôles appropriés. Périodiquement, les propriétaires d'actifs informationnels doivent revoir la classification et les droits d'accès associés
aux actifs informationnels. Les propriétaires, ou leurs délégués, peuvent être tenus d'approuver l'accès à l'information. Les propriétaires doivent également
déterminer la criticité, la sensibilité, la rétention, les sauvegardes et les mesures de protection des informations. Les propriétaires ou leurs délégués sont
responsables de comprendre les risques qui existent en ce qui concerne les informations qu'ils contrôlent.
Dépositaire de données/intendance des données et de l'information - Un dépositaire de données est une personne ou une fonction qui s'occupe des informations
au nom du propriétaire. Ces personnes s'assurent que les informations sont disponibles pour les utilisateurs finaux et sont sauvegardées pour permettre la
récupération en cas de perte ou de corruption de données. Les informations peuvent être stockées dans des fichiers, des bases de données ou des systèmes dont
l'infrastructure technique doit être gérée par des administrateurs système. Ce groupe gère les droits d'accès aux ressources informationnelles.

Auditeur des systèmes d'information - Les auditeurs informatiques déterminent si les utilisateurs, les propriétaires, les dépositaires, les systèmes et les réseaux
sont conformes aux politiques, procédures, normes, bases de référence, conceptions, architectures, orientations de gestion et autres exigences de sécurité
imposées aux systèmes. Les auditeurs fournissent à la direction une assurance indépendante sur la pertinence des contrôles de sécurité. L'auditeur examine les
systèmes d'information et détermine s'ils sont conçus, configurés, mis en œuvre, exploités et gérés de manière à garantir l'atteinte des objectifs organisationnels.
Les auditeurs fournissent à la direction de l'entreprise une vision indépendante des contrôles et de leur efficacité.

Planificateur de la continuité des activités - Les planificateurs de la continuité des activités élaborent des plans d'urgence pour se préparer à tout événement qui
pourrait avoir un impact négatif sur les objectifs de l'entreprise. Les menaces peuvent inclure des tremblements de terre, des tornades, des ouragans, des pannes
d'électricité, des changements dans le climat économique et politique, des activités terroristes, des incendies ou d'autres actions majeures pouvant causer des
dommages importants. Le planificateur de la continuité des activités veille à ce que les processus opérationnels puissent se poursuivre après sinistre et coordonne
ces activités avec les secteurs d'activité et le personnel des technologies de l'information responsables de la reprise après sinistre.
Professionnels des systèmes d'information et de la technologie - Ce personnel est responsable de la conception des contrôles de sécurité dans les systèmes
d'information, de la mise à l'essai des contrôles et de la mise en œuvre des systèmes en production

environnements par le biais de politiques et de procédures opérationnelles convenues. Les professionnels des systèmes d'information travaillent avec les
propriétaires de l'entreprise et les professionnels de la sécurité pour s'assurer que la solution conçue fournit des contrôles de sécurité proportionnels aux exigences
acceptables de criticité, de sensibilité et de disponibilité de l'application.

Administrateur de la sécurité - Un administrateur de la sécurité gère le processus de demande d'accès des utilisateurs et s'assure que les privilèges sont accordés aux personnes qui ont été
autorisées à accéder par les propriétaires d'applications/systèmes/données. Cette personne dispose de privilèges élevés et crée et supprime des comptes et des autorisations d'accès.
L'administrateur de la sécurité met également fin aux privilèges d'accès lorsque les personnes quittent leur emploi ou passent d'une division à l'autre. L'administrateur de la sécurité tient des
registres des approbations des demandes d'accès et produit des rapports sur les droits d'accès pour l'auditeur pendant les tests dans le cadre d'un audit des contrôles d'accès pour
le respect des politiques.

démontrer : Administrateur réseau/systèmes - Un administrateur système (sysadmin/netadmin) configure le matériel réseau et serveur et les systèmes d'exploitation pour s'assurer que les
informations peuvent être disponibles et accessibles. L'administrateur maintient l'infrastructure informatique à l'aide d'outils et d'utilitaires tels que la gestion des correctifs et les mécanismes
de distribution de logiciels pour installer les mises à jour et tester les correctifs sur les ordinateurs de l'organisation. L'administrateur teste et met en œuvre des mises à niveau du système
pour assurer la fiabilité continue des serveurs et des périphériques réseau. L'administrateur assure la gestion des vulnérabilités par le biais de solutions commerciales prêtes à l'emploi et/ou
non COTS pour tester l'environnement informatique et atténuer les vulnérabilités de manière appropriée.

Sécurité physique - Les personnes affectées au rôle de sécurité physique établissent des relations avec les forces de l'ordre externes, telles que les services de
police locaux, la police d'État ou le Federal Bureau of Investigation (FBI) pour aider aux enquêtes. Le personnel de sécurité physique gère l'installation, l'entretien et
le fonctionnement continu des systèmes de surveillance de la télévision en circuit fermé (CCTV), des systèmes d'alarme antivol et des systèmes de contrôle d'accès
des lecteurs de cartes. Des gardes sont placés au besoin pour dissuader les accès non autorisés et assurer la sécurité des employés de l'entreprise. Le personnel
de sécurité physique assure l'interface avec la sécurité des systèmes, les ressources humaines, les installations et les services juridiques et commerciaux pour
s'assurer que les pratiques sont intégrées.
Analyste de sécurité : le rôle d'analyste de sécurité travaille à un niveau plus élevé et plus stratégique que les rôles décrits précédemment et aide à développer des
politiques, des normes et des directives, ainsi qu'à définir diverses bases de référence. Alors que les rôles précédents sont « dans les mauvaises herbes » et se
concentrent sur des éléments et des parties du programme de sécurité, un analyste de sécurité aide à définir les éléments du programme de sécurité et assure le
suivi pour s'assurer que les éléments sont exécutés et pratiqués correctement. Cette personne travaille plus au niveau de la conception qu'au niveau de la mise en
œuvre.
Adjoints administratifs/secrétaires - Ce rôle peut être très important pour la sécurité de l'information ; Dans de nombreuses entreprises de petite taille, il peut s'agir de
la personne qui accueille les visiteurs, signe les colis entrants et sortants, reconnaît les personnes qui souhaitent entrer dans les bureaux et sert de préposé au
filtrage téléphonique pour les cadres. Ces personnes peuvent faire l'objet d'attaques d'ingénierie sociale, par lesquelles l'intrus potentiel tente de solliciter des
informations confidentielles qui pourraient être utilisées pour une attaque ultérieure. Les ingénieurs sociaux exploitent la bonne volonté de l'individu utile pour entrer.
Un assistant correctement formé réduira au minimum le risque de divulguer des informations utiles à l'entreprise ou de fournir une entrée non autorisée.

Administrateur du service d'assistance - Comme son nom l'indique, le service d'assistance est là pour répondre aux questions des utilisateurs qui signalent des
problèmes système. Les problèmes peuvent inclure un temps de réponse insuffisant, des infections virales potentielles, un accès non autorisé, l'impossibilité
d'accéder aux ressources système ou des questions sur l'utilisation d'un programme. Le service d'assistance est également souvent l'endroit où les premiers
signes de problèmes et d'incidents de sécurité seront visibles. Un membre du service d'assistance contacterait l'équipe d'intervention en cas d'incident de sécurité
informatique (CIRT) lorsqu'une situation répond aux critères élaborés par l'équipe. Le support technique réinitialise les mots de passe, resynchronise/réinitialise
les jetons et les cartes à puce, et résout d'autres problèmes de contrôle d'accès.
Superviseur : le rôle de superviseur, également appelé gestionnaire d'utilisateurs, est responsable de toute l'activité des utilisateurs et de toutes les ressources
créées et détenues par ces utilisateurs. Par exemple, supposons que Kathy soit la superviseure de dix employés. Ses responsabilités consisteraient notamment à
s'assurer que ces employés comprennent leurs responsabilités en matière de sécurité ; s'assurer que les informations du compte des employés sont à jour ; et
informer l'administrateur de la sécurité lorsqu'un employé est licencié, suspendu ou transféré. Tout changement qui concerne le rôle d'un employé au sein de
l'entreprise affecte généralement les droits d'accès qu'il devrait et ne devrait pas avoir, de sorte que le

Le gestionnaire d'utilisateurs doit informer immédiatement l'administrateur de la sécurité de ces modifications.

Analyste du contrôle des changements Comme la seule chose qui est constante est le changement, quelqu'un doit s'assurer que les changements se
produisent en toute sécurité. L'analyste du contrôle des modifications est chargé d'approuver ou de rejeter les demandes de modification du réseau, des
systèmes ou des logiciels. Ce rôle doit s'assurer que le changement n'introduira aucune vulnérabilité, qu'il a été correctement testé et qu'il est correctement
déployé. L'analyste du contrôle des modifications doit comprendre comment les différents changements peuvent affecter la sécurité, l'interopérabilité, les
performances et la productivité. Ou bien, une entreprise peut choisir de simplement déployer le changement et de voir ce qui se passe.
Les réponses suivantes sont incorrectes :

Administrateur système - Un administrateur système (sysadmin/netadmin) configure le matériel réseau et serveur et les systèmes d'exploitation pour s'assurer que
les informations peuvent être disponibles et accessibles. L'administrateur maintient l'infrastructure informatique à l'aide d'outils et d'utilitaires tels que la gestion
des correctifs et les mécanismes de distribution de logiciels pour installer les mises à jour et tester les correctifs sur les ordinateurs de l'organisation.
L'administrateur teste et met en œuvre des mises à niveau du système pour assurer la fiabilité continue des serveurs et des périphériques réseau.
L'administrateur assure la gestion des vulnérabilités par le biais de solutions commerciales prêtes à l'emploi et/ou non COTS pour tester l'environnement
informatique et atténuer les vulnérabilités de manière appropriée.
Utilisateur final - L'utilisateur final est responsable de la protection quotidienne des actifs informationnels en respectant les politiques de sécurité qui lui ont été
communiquées. Administrateur de la sécurité - Un administrateur de la sécurité gère le processus de demande d'accès des utilisateurs et s'assure que les privilèges
sont accordés aux personnes qui ont été autorisées à accéder par les propriétaires d'applications/systèmes/données. Cette personne dispose de privilèges élevés et
crée et supprime des comptes et des autorisations d'accès. L'administrateur de la sécurité met également fin aux privilèges d'accès lorsque les personnes quittent
leur emploi ou passent d'une division à l'autre. L'administrateur de la sécurité tient des registres des approbations des demandes d'accès et produit des rapports sur
les droits d'accès pour l'auditeur lors des tests dans le cadre d'un audit des contrôles d'accès afin de démontrer la conformité aux politiques.
Manuel d'examen de la CISA 2014 Page numéro 109 Harris, Shun (2012-10-18). Guide d'examen tout-en-un
CISSP, 6e édition (p. 108). McGraw-Hill. Édition Kindle.

QUESTION 549
Lequel des éléments suivants est l'aspect le plus important concernant le licenciement d'un employé ?

Un.Les détails de l'employé ont été supprimés des fichiers de paie actifs.
B. Les biens de l'entreprise fournis à l'employé ont été restitués.
C. L'identifiant et les mots de passe de l'employé ont été supprimés.
D. Le personnel approprié de l'entreprise est informé de la résiliation.

Bonne réponse : D
Explication

Explication/Référence :
Même si l'accès logique aux informations par un employé licencié est possible si l'identifiant et le mot de passe de l'employé licencié n'ont pas été supprimés, il ne
s'agit que d'une partie des procédures de licenciement. Si l'identifiant de l'utilisateur n'est pas désactivé ou supprimé, il pourrait être possible pour l'employé sans
accès physique de visiter les réseaux de l'entreprise à distance et d'accéder aux informations.

Veuillez noter que cela peut également être vu d'une manière différente : la chose la plus importante à faire pourrait également être d'informer les autres de la
résiliation de la personne, car même si les identifiants et les mots de passe sont supprimés, une personne licenciée pourrait simplement organiser socialement son
retour en appelant une personne avec laquelle elle travaillait et en lui demandant l'accès. Il pourrait s'immiscer dans l'installation ou utiliser d'autres faiblesses pour
accéder à l'information
après avoir été licencié.

En informant le personnel approprié de l'entreprise de la résiliation, il initierait à son tour la résiliation du compte, demanderait à l'employé de restituer les biens de
l'entreprise et toutes les informations d'identification seraient retirées à la personne concernée. Cette réponse est plus complète que la simple désactivation du
compte.
Cela semble dur et froid quand cela se produit réellement, mais trop d'entreprises ont été blessées par des employés vengeurs qui se sont attaqués à l'entreprise
lorsque leurs postes ont été révoqués pour une raison ou une autre. Si un employé est mécontent de quelque manière que ce soit, ou si le licenciement est
inamical, les comptes de cet employé doivent être désactivés immédiatement et tous les mots de passe sur tous les systèmes changés.

Pour votre examen, vous devez connaître les informations ci-dessous :

Processus de licenciement des employés Les employés rejoignent et quittent les organisations tous les jours. Les raisons varient considérablement, en raison
des départs à la retraite, de la réduction des effectifs, des mises à pied, des licenciements avec ou sans motif, des niveaux de soins qui en découlent.
la réinstallation dans une autre ville, les possibilités de carrière chez d'autres employeurs ou les transferts involontaires. Les licenciements peuvent être amicaux ou inamicaux et nécessiteront des

Licenciements à l'amiable Le licenciement régulier se produit lorsqu'il y a peu ou pas de preuves ou de raisons de croire que le licenciement n'est pas acceptable à
la fois pour l'entreprise et l'employé. Un ensemble standard de procédures, généralement maintenu par le service des ressources humaines, régit le licenciement
de l'employé licencié pour s'assurer que les biens de l'entreprise sont restitués et que tout accès est supprimé. Ces procédures peuvent inclure des entretiens de
départ et la restitution des clés, des cartes d'identité, des badges, des jetons et des clés cryptographiques. D'autres biens, tels que des ordinateurs portables, des
cadenas de câble, des cartes de crédit et des cartes téléphoniques, sont également collectés. Le gestionnaire des utilisateurs informe le service de sécurité de la
résiliation afin de s'assurer que l'accès est révoqué pour toutes les plateformes et installations. Certains établissements choisissent de supprimer immédiatement
les comptes, tandis que d'autres choisissent de désactiver les comptes pour une période définie par la police, par exemple, 30 jours, pour tenir compte des
changements ou des prolongations de la date de résiliation finale. Le processus de licenciement doit inclure une conversation avec l'associé sortant au sujet de sa
responsabilité continue en matière de confidentialité des informations.
Des licenciements inconviviaux peuvent survenir lorsque la personne est congédiée, mutée involontairement, mise à pied ou lorsque l'organisation a des raisons
de croire que la personne a les moyens et l'intention de causer un préjudice au système. Les personnes ayant des compétences techniques et des niveaux d'accès
plus élevés, telles que les administrateurs système, les programmeurs informatiques, les administrateurs de bases de données ou toute personne disposant de
privilèges élevés, peuvent présenter un risque plus élevé pour l'environnement. Ces personnes pourraient modifier des fichiers, poser des bombes logiques pour
endommager les fichiers système à une date ultérieure ou supprimer des informations sensibles. D'autres utilisateurs mécontents pourraient entrer des données
erronées dans le système qui pourraient ne pas être découvertes avant plusieurs mois. Dans ces situations, la résiliation immédiate de l'accès aux systèmes est
justifiée au moment de la résiliation ou avant d'informer l'employé de la résiliation. La gestion de l'aspect humain de la sécurité, de la pré-embauche à
l'après-emploi, est essentielle pour s'assurer que des ressources fiables et compétentes sont employées pour atteindre les objectifs commerciaux qui protégeront
les informations de l'entreprise. Chacune de ces actions contribue aux contrôles préventifs, de détection ou correctifs du personnel.

Les réponses suivantes sont incorrectes :

Les autres options sont moins importantes.
Manuel d'examen de la CISA 2014 Page numéro 99 Harris, Shun (2012-10-18). Guide d'examen tout-en-un
CISSP, 6e édition (p. 129). McGraw-Hill. Édition Kindle.

QUESTION 550
Dans lequel des modèles de service de cloud computing suivants les applications sont-elles hébergées par le fournisseur de services et mises à la disposition des clients sur un réseau ?

Un. Logiciel en tant que service

Données en tant que service
B.
C. Plateforme en tant que service
D. Infrastructure en tant que service

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des logiciels informatiques en tant que service (Seas) est un modèle de distribution de logiciels dans lequel les applications sont
hébergées par un fournisseur ou un fournisseur de services et mises à la disposition des clients sur un réseau, généralement Internet. Seas est étroitement lié
aux modèles ASP (Application Service Provider) et aux modèles de livraison de logiciels informatiques à la demande.

Pour votre examen, vous devez connaître les informations ci-dessous sur le Cloud Computing :

Le cloud computing est un modèle permettant un accès réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables
(par exemple, réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement provisionnées et libérées avec un minimum d'effort de gestion ou
d'interaction avec un fournisseur de services. Ce modèle cloud favorise la disponibilité et est composé de cinq caractéristiques essentielles, de trois modèles de
service et de quatre modèles de déploiement. Modèle de service de cloud computing

Modèles de services de cloud computing

Le logiciel en tant que service (Seas) est un modèle de distribution de logiciels dans lequel les applications sont hébergées par un fournisseur ou un fournisseur de
services et mises à la disposition des clients sur un réseau, généralement Internet. Le SaaS est étroitement lié aux modèles ASP (fournisseur de services
d'application) et de fourniture de logiciels informatiques à la demande. IDC identifie deux modèles de prestation légèrement différents pour Seas. Le modèle de
gestion des applications hébergées (AM hébergée) est similaire à ASP : un fournisseur héberge des logiciels disponibles dans le commerce pour les clients et les
fournit sur le Web. Dans le modèle de logiciel à la demande, le fournisseur donne aux clients un accès réseau à une copie unique d'une application créée
spécifiquement pour la distribution Seas.

Le fournisseur permet aux utilisateurs d'accéder à des logiciels d'application spécifiques (CRM, e-mail, jeux). Le fournisseur donne aux clients un accès réseau à
une copie unique d'une application créée spécifiquement pour la distribution Seas

et l'utilisation.

Les avantages du modèle Seas sont les suivants :

administration facilitée, mises à jour automatiques et

compatibilité de la gestion des correctifs : Tous les utilisateurs
auront la même version du logiciel. une collaboration plus
facile, pour la même raison d'accessibilité mondiale.

Platform as a Service (Peas) est un moyen de louer du matériel, des systèmes d'exploitation, du stockage et de la capacité réseau sur Internet. Le modèle de
prestation de services permet au client de louer des serveurs virtualisés et des services associés pour exécuter des applications existantes ou en développer et en
tester de nouvelles.

Les fournisseurs de cloud fournissent une plate-forme informatique, qui peut inclure un système d'exploitation, une base de données et un serveur Web en tant
qu'environnement d'exécution holistique. Là où Iasi est le « réseau informatique brut », Peas est l'environnement logiciel qui fonctionne au-dessus du réseau
informatique.
Platform as a Service (Peas) est une excroissance de Software as a Service (Seas), un modèle de distribution de logiciels dans lequel des applications logicielles
hébergées sont mises à la disposition des clients sur Internet. Peas présente plusieurs avantages pour les développeurs. Avec Peas, les fonctionnalités du système
d'exploitation peuvent être modifiées et mises à niveau fréquemment. Les équipes de développement géographiquement dispersées peuvent travailler ensemble
sur des projets de développement logiciel. Les services peuvent être obtenus auprès de diverses sources qui traversent les frontières internationales. Les coûts
initiaux et permanents peuvent être réduits par l'utilisation des services d'infrastructure d'un seul fournisseur plutôt que par la maintenance de plusieurs installations
matérielles qui exécutent souvent des fonctions en double ou souffrent de problèmes d'incompatibilité. Les dépenses globales peuvent également être minimisées
par l'unification des efforts de développement de la programmation.
En revanche, Peas comporte un certain risque de « verrouillage » si les offres nécessitent des interfaces de service propriétaires ou des langages de
développement. Un autre écueil potentiel est que la flexibilité des offres peut ne pas répondre aux besoins de certains utilisateurs dont les exigences évoluent
rapidement.
Les fournisseurs de cloud d'infrastructure en tant que service (Iasi) offrent l'environnement d'infrastructure d'un centre de données traditionnel dans une méthode de
livraison à la demande. Les entreprises déploient leurs propres systèmes d'exploitation, applications et logiciels sur cette infrastructure fournie et sont responsables
de leur maintenance.

L'infrastructure en tant que service est un modèle de fourniture dans lequel une organisation externalise l'équipement utilisé pour prendre en charge les opérations, y compris le stockage, le matériel, les serveurs et
les composants réseau. Le fournisseur de services est propriétaire de l'équipement et est responsable de son hébergement, de son exploitation et de son entretien. Le client paie généralement Les réponses
par utilisation.

suivantes sont incorrectes :

Données en tant que service : données fournies en tant que service plutôt que d'avoir besoin d'être chargées et préparées localement. Plate-forme en tant que
service - La plate-forme en tant que service (Peas) est un moyen de louer du matériel, des systèmes d'exploitation, du stockage et de la capacité réseau sur Internet.
Le modèle de prestation de services permet au client de louer des serveurs virtualisés et des services associés pour exécuter des applications existantes ou en
développer et en tester de nouvelles. Infrastructure en tant que service - L'infrastructure en tant que service est un modèle de fourniture dans lequel une organisation
externalise l'équipement utilisé pour prendre en charge les opérations, y compris le stockage, le matériel, les serveurs et les composants réseau. Le fournisseur de
services est propriétaire de l'équipement et est responsable de son hébergement, de son exploitation et de son entretien. Le client paie généralement à l'utilisation.
Manuel de révision de la CISA 2014 page numéro 102 Guide officiel ISC2 du CISSP 3e édition Numéro de page 689
http://searchcloudcomputing.techtarget.com/definition/Software-as-a-Service http://searchcloudcomputing.techtarget.com/definition/Platform-as-a-Service-PaaS

http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS

QUESTION 551
Lequel des modèles de services de cloud computing suivants permet de louer des systèmes d'exploitation, du stockage et de la capacité réseau sur Internet ?

Un. Logiciel en tant que service

Données en tant que service
B.
C. Plateforme en tant que service
D. Infrastructure en tant que service

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion de la plate-forme informatique en tant que service (Peas) est un moyen de louer des systèmes d'exploitation, du stockage et de la
capacité réseau sur Internet. Le modèle de prestation de services permet au client de louer des serveurs virtualisés et des services associés pour exécuter des
applications existantes ou en développer et en tester de nouvelles. Pour votre examen, vous devez connaître les informations ci-dessous sur le Cloud Computing :

Le cloud computing est un modèle permettant un accès réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables
(par exemple, réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement provisionnées et libérées avec un minimum d'effort de gestion ou
d'interaction avec un fournisseur de services. Ce modèle cloud favorise la disponibilité et est composé de cinq caractéristiques essentielles, de trois modèles de
service et de quatre modèles de déploiement. Informatique en nuage

Modèles de service de cloud

computing : modèles de service
de cloud computing

Le logiciel en tant que service (Seas) est un modèle de distribution de logiciels dans lequel les applications
sont hébergées par un fournisseur ou un fournisseur de services et mises à la disposition des clients sur un
réseau, généralement Internet. Le SaaS est étroitement lié aux modèles ASP (fournisseur de services d'application) et de fourniture de logiciels informatiques à la
demande. IDC identifie deux modèles de prestation légèrement différents pour Seas. Le modèle de gestion des applications hébergées (AM hébergée) est
similaire à ASP : un fournisseur héberge des logiciels disponibles dans le commerce pour les clients et les fournit sur le Web. Dans le modèle de logiciel à la
demande, le fournisseur donne aux clients un accès réseau à une copie unique d'une application créée spécifiquement pour la distribution Seas.

Le fournisseur permet aux utilisateurs d'accéder à des logiciels d'application spécifiques (CRM, e-mail, jeux). Le fournisseur donne aux clients un accès réseau à
une copie unique d'une application créée spécifiquement pour la distribution et l'utilisation de Seas.

Les avantages du modèle Seas sont les suivants :

administration facilitée, mises à jour automatiques et

compatibilité de la gestion des correctifs : Tous les utilisateurs
auront la même version du logiciel. une collaboration plus
facile, pour la même raison d'accessibilité mondiale.

Platform as a Service (Peas) est un moyen de louer des systèmes d'exploitation, du stockage et de la capacité réseau sur Internet. Le modèle de prestation de
services permet au client de louer des serveurs virtualisés et des services associés pour exécuter des applications existantes ou en développer et en tester de
nouvelles.

Les fournisseurs de cloud fournissent une plate-forme informatique, qui peut inclure un système d'exploitation, une base de données et un serveur Web en tant
qu'environnement d'exécution holistique. Là où Iasi est le « réseau informatique brut », Peas est l'environnement logiciel qui fonctionne au-dessus du réseau
informatique.
Platform as a Service (Peas) est une excroissance de Software as a Service (Seas), un modèle de distribution de logiciels dans lequel des applications logicielles
hébergées sont mises à la disposition des clients sur Internet. Peas présente plusieurs avantages pour les développeurs. Avec Peas, les fonctionnalités du système
d'exploitation peuvent être modifiées et mises à niveau fréquemment. Les équipes de développement géographiquement dispersées peuvent travailler ensemble
sur des projets de développement logiciel. Les services peuvent être obtenus auprès de diverses sources qui traversent les frontières internationales. Les coûts
initiaux et permanents peuvent être réduits par l'utilisation des services d'infrastructure d'un seul fournisseur plutôt que par la maintenance de plusieurs installations
matérielles qui exécutent souvent des fonctions en double ou souffrent de problèmes d'incompatibilité. Les dépenses globales peuvent également être minimisées
par l'unification des efforts de développement de la programmation.
En revanche, Peas comporte un certain risque de « verrouillage » si les offres nécessitent des interfaces de service propriétaires ou des langages de
développement. Un autre écueil potentiel est que la flexibilité des offres peut ne pas répondre aux besoins de certains utilisateurs dont les exigences évoluent
rapidement.
Les fournisseurs de cloud d'infrastructure en tant que service (Iasi) offrent l'environnement d'infrastructure d'un centre de données traditionnel dans une méthode de
livraison à la demande. Les entreprises déploient leurs propres systèmes d'exploitation, applications et logiciels sur cette infrastructure fournie et sont responsables
de leur maintenance.

L'infrastructure en tant que service est un modèle de fourniture dans lequel une organisation externalise l'équipement utilisé pour prendre en charge les opérations, y
compris le stockage, le matériel, les serveurs et les composants réseau. Le fournisseur de services est propriétaire de l'équipement et est responsable de son
hébergement, de son exploitation et de son entretien. Le client paie généralement à l'utilisation.

Les caractéristiques et les composants de Iasi comprennent :

Service informatique utilitaire et modèle de facturation.

Automatisation des tâches administratives.
Mise à l'échelle dynamique.
Virtualisation des postes de travail.
Services fondés sur des politiques.
Connectivité Internet.

L'infrastructure en tant que service est parfois appelée Hardware as a Service (HaaS).

Les réponses suivantes sont incorrectes :

Données en tant que service : données fournies en tant que service plutôt que d'avoir besoin d'être chargées et préparées localement.

Logiciel en tant que service - Le logiciel en tant que service (Seas) est un modèle de distribution de logiciels dans lequel les applications sont hébergées par un
fournisseur ou un fournisseur de services et mises à la disposition des clients sur un réseau, généralement Internet. Seas est étroitement lié aux modèles ASP
(Application Service Provider) et aux modèles de livraison de logiciels informatiques à la demande.

Infrastructure en tant que service - L'infrastructure en tant que service est un modèle de fourniture dans lequel une organisation externalise l'équipement
utilisé pour prendre en charge les opérations, y compris le stockage, le matériel, les serveurs et les composants réseau. Le fournisseur de services est
propriétaire de l'équipement et est responsable de son hébergement, de son exploitation et de son entretien. Le client paie généralement à l'utilisation.
Manuel de révision de la CISA 2014 page numéro 102 Guide officiel ISC2 du CISSP 3e édition Numéro de page 689
http://searchcloudcomputing.techtarget.com/definition/Software-as-a-Service http://searchcloudcomputing.techtarget.com/definition/Platform-as-a-Service-PaaS
http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS

QUESTION 552
Lequel des modèles de services infonuagiques suivants est un modèle de mise à disposition dans lequel une organisation externalise l'équipement utilisé
pour soutenir les opérations, y compris le stockage, le matériel, les serveurs et les composants réseau ?

Un. Logiciel en tant que service

Données en tant que service
B.
C. Plateforme en tant que service
D. Infrastructure en tant que service

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion de l'infrastructure informatique en tant que service est un modèle de fourniture dans lequel une organisation externalise
l'équipement utilisé pour soutenir les opérations, y compris le stockage, le matériel, les serveurs et les composants réseau. Le fournisseur de services est
propriétaire de l'équipement et est responsable de son hébergement, de son exploitation et de son entretien. Le client paie généralement à l'utilisation.

Pour votre examen, vous devez connaître les informations ci-dessous sur le Cloud Computing :

Le cloud computing est un modèle permettant un accès réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables
(par exemple, réseaux, serveurs, stockage, applications et services) qui peuvent être rapidement provisionnées et libérées avec un minimum d'effort de gestion ou
d'interaction avec un fournisseur de services. Ce modèle cloud favorise la disponibilité et est composé de cinq caractéristiques essentielles, de trois modèles de
service et de quatre modèles de déploiement. Informatique en nuage
Modèles de services de cloud computing : Modèles de services de cloud computing Software as a Service (Seas) Le logiciel en tant que service (Seas) est un
modèle de distribution de logiciels dans lequel les applications sont hébergées par un fournisseur ou un fournisseur de services et mises à la disposition des clients
sur un réseau, généralement Internet. IDC identifie deux modèles de prestation légèrement différents pour Seas. Le modèle de gestion des applications hébergées
(AM hébergée) est similaire à ASP : un fournisseur héberge des logiciels disponibles dans le commerce pour les clients et les fournit sur le Web. Dans le modèle
de logiciel à la demande, le fournisseur donne aux clients un accès réseau à une copie unique d'une application créée spécifiquement pour la distribution Seas.

Le fournisseur permet aux utilisateurs d'accéder à des logiciels d'application spécifiques (CRM, e-mail, jeux). Le fournisseur donne aux clients un accès réseau à
une copie unique d'une application créée spécifiquement pour la distribution et l'utilisation de Seas.

Les avantages du modèle Seas sont les suivants :

administration facilitée, mises à jour automatiques et

compatibilité de la gestion des correctifs : Tous les utilisateurs
auront la même version du logiciel. une collaboration plus
facile, pour la même raison d'accessibilité mondiale.

Platform as a Service (Peas) est un moyen de louer du matériel, des systèmes d'exploitation, du stockage et de la capacité réseau sur Internet. Le modèle de
prestation de services permet au client de louer des serveurs virtualisés et des services associés pour exécuter des applications existantes ou en développer et en
tester de nouvelles.

Les fournisseurs de cloud fournissent une plate-forme informatique, qui peut inclure un système d'exploitation, une base de données et un serveur Web en tant
qu'environnement d'exécution holistique. Là où Iasi est le « réseau informatique brut », Peas est l'environnement logiciel qui fonctionne au-dessus du réseau
informatique.
Platform as a Service (Peas) est une excroissance de Software as a Service (Seas), un modèle de distribution de logiciels dans lequel des applications logicielles
hébergées sont mises à la disposition des clients sur Internet. Peas présente plusieurs avantages pour les développeurs. Avec Peas, les fonctionnalités du
système d'exploitation peuvent être modifiées et mises à niveau fréquemment. Les équipes de développement géographiquement dispersées peuvent travailler
ensemble sur des projets de développement logiciel. Les services peuvent être obtenus auprès de diverses sources qui traversent les frontières internationales.
Les coûts initiaux et permanents peuvent être réduits en utilisant les services d'infrastructure d'un seul fournisseur plutôt que de maintenir plusieurs matériels

des installations qui remplissent souvent des fonctions en double ou souffrent de problèmes d'incompatibilité. Les dépenses globales peuvent également être
minimisées par l'unification des efforts de développement de la programmation.

En revanche, Peas comporte un certain risque de « verrouillage » si les offres nécessitent des interfaces de service propriétaires ou des langages de
développement. Un autre écueil potentiel est que la flexibilité des offres peut ne pas répondre aux besoins de certains utilisateurs dont les exigences évoluent
rapidement.
Les fournisseurs de cloud d'infrastructure en tant que service (Iasi) offrent l'environnement d'infrastructure d'un centre de données traditionnel dans une méthode de
livraison à la demande. Les entreprises déploient leurs propres systèmes d'exploitation, applications et logiciels sur cette infrastructure fournie et sont responsables
de leur maintenance.
L'infrastructure en tant que service est un modèle de fourniture dans lequel une organisation externalise l'équipement utilisé pour soutenir les opérations, y compris le stockage, le matériel,
serveurs et composants réseau. Le fournisseur de services est propriétaire de l'équipement et est responsable de son hébergement, de son exploitation et de son
entretien. Le client paie généralement à l'utilisation.

Les caractéristiques et les composants de Iasi comprennent :

Service informatique utilitaire et modèle de facturation.

Automatisation des tâches administratives.
Mise à l'échelle dynamique.
Virtualisation des postes de travail.
Services fondés sur des politiques.
Connectivité Internet.

L'infrastructure en tant que service est parfois appelée Hardware as a Service (HaaS).

Les réponses suivantes sont incorrectes :

Données en tant que service : données fournies en tant que service plutôt que d'avoir besoin d'être chargées et préparées localement.

Logiciel en tant que service - Le logiciel en tant que service (Seas) est un modèle de distribution de logiciels dans lequel les applications sont hébergées par un
fournisseur ou un fournisseur de services et mises à la disposition des clients sur un réseau, généralement Internet. Seas est étroitement lié aux modèles ASP
(Application Service Provider) et aux modèles de livraison de logiciels informatiques à la demande.

Plate-forme en tant que service - La plate-forme en tant que service (Peas) est un moyen de louer du matériel, des systèmes d'exploitation, du stockage et de la
capacité réseau sur Internet. Le modèle de prestation de services permet au client de louer des serveurs virtualisés et des services associés pour exécuter des
applications existantes ou en développer et en tester de nouvelles. Manuel de révision de la CISA 2014 page numéro 102 Guide officiel ISC2 du CISSP 3e édition
Numéro de page 689 http://searchcloudcomputing.techtarget.com/definition/Software-as-a-Service
http://searchcloudcomputing.techtarget.com/definition/Platform-as-a-Service-PaaS
http://searchcloudcomputing.techtarget.com/definition/Infrastructure-as-a-Service-IaaS

QUESTION 553
Lequel des modèles de déploiement cloud suivants fonctionne uniquement pour une organisation ?

Un.Cloud privé Cloud

B. communautaire
C. Public Cloud
D. Cloud hybride

Bonne réponse : A
Explication

Explication/Référence :
Dans le cloud privé, l'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par
exemple, des unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des
locaux.

Pour votre examen, vous devez connaître les informations ci-dessous sur les modèles de déploiement du Cloud Computing :

Cloud privé L'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple, des
unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud privé

Exigences de
L'infrastructure infonuagique est fournie pour une utilisation exclusive par une communauté spécifique de consommateurs provenant d'organisations qui ont des préoccupations communes (p. ex., mission,
sécurité, politiques et considérations de conformité du cloud communautaire). Il peut être détenu, géré et exploité par une ou plusieurs organisations de la
communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.
Cloud communautaire

Cloud public L'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux. Il existe dans les locaux du fournisseur de cloud.

Public Cloud
Cloud hybride L'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent
des entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications
(par exemple, le cloud bursting pour l'équilibrage de charge entre les clouds) hybride
nuage

Les réponses suivantes sont incorrectes :

Cloud communautaire : l'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être détenu,
géré et exploité par une ou plusieurs organisations de la communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.

Cloud public : l'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux.
Il existe dans les locaux du fournisseur de cloud.

Cloud hybride : l'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent des
entités uniques, mais qui sont liées entre elles par des entités standardisées ou propriétaires

technologie qui permet la portabilité des données et des applications (par exemple, le cloud bursting pour
l'équilibrage de charge entre les clouds) Manuel de révision de la CISA 2014 page numéro 102 Guide officiel
ISC2 du CISSP 3e édition Page numéro 689 et 690

QUESTION 554
Lequel des modèles de déploiement cloud suivants peut être partagé par plusieurs organisations ?

Un. Cloud privé\ Cloud

B. communautaire
C. Public Cloud
D. Cloud hybride

Bonne réponse : B
Explication

Explication/Référence :
Dans le cloud communautaire, l'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être détenu,
géré et exploité par une ou plusieurs organisations de la communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.

Pour votre examen, vous devez connaître les informations ci-dessous sur les modèles de déploiement du Cloud Computing :

Cloud privé L'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple, des
unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud privé
Cloud communautaire L'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être
détenu, géré et exploité par une ou plusieurs des organisations de la

communauté, un tiers ou une combinaison de ceux-ci, et il peut exister sur ou hors des
lieux. Cloud communautaire
Cloud public L'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux. Il existe dans les locaux du fournisseur de cloud.

Public Cloud
Cloud hybride L'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent
des entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications
(par exemple, le cloud bursting pour l'équilibrage de charge entre les clouds) hybride
nuage
Les réponses suivantes sont incorrectes :

Cloud privé : l'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple,
des unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud public : l'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux.
Il existe dans les locaux du fournisseur de cloud.

Cloud hybride - L'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent des
entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications (par
exemple, le cloud bursting pour l'équilibrage de charge entre les clouds) Manuel de révision de la CISA 2014 page numéro 102 Guide officiel ISC2 de la 3e édition
de CISSP Page numéro 689 et 690

QUESTION 555
Lequel des modèles de déploiement cloud suivants est provisionné pour une utilisation ouverte au grand public ?

Un.Cloud privé Cloud

B. communautaire
C. Public Cloud
D. Cloud hybride

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion de l'informatique Dans le cloud public, l'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut
être détenu, géré et exploité par une entreprise, un universitaire ou une organisation gouvernementale, ou une combinaison des deux.

Il existe dans les locaux du fournisseur de cloud.

Pour votre examen, vous devez connaître les informations ci-dessous sur les modèles de déploiement du Cloud Computing :

Cloud privé L'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple, des
unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud privé
Cloud communautaire L'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être détenu,
géré et exploité par une ou plusieurs organisations de la communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.

Cloud communautaire
Cloud public L'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux. Il existe dans les locaux du fournisseur de cloud.

Public Cloud
Cloud hybride L'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent
des entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications
(par exemple, le cloud bursting pour l'équilibrage de charge entre les clouds) hybride
nuage
Les réponses suivantes sont incorrectes :

Cloud privé : l'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple,
des unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud communautaire : l'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être détenu,
géré et exploité par une ou plusieurs organisations de la communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.

Cloud hybride - L'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent des
entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications (par
exemple, le cloud bursting pour l'équilibrage de charge entre les clouds) Manuel de révision de la CISA 2014 page numéro 102 Guide officiel ISC2 de la 3e édition
de CISSP Page numéro 689 et 690

QUESTION 556
Lequel des modèles de déploiement cloud suivants est formé par la composition de deux modes de déploiement cloud ou plus ?

Un.Cloud privé Cloud

B. communautaire
C. Public Cloud
D. Cloud hybride

Bonne réponse : D
Explication

Explication/Référence :
Dans le cloud hybride, l'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent
des entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications (par
exemple, le cloud bursting pour l'équilibrage de charge entre les clouds)

Pour votre examen, vous devez connaître les informations ci-dessous sur les modèles de déploiement du Cloud Computing :

Cloud privé L'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple, des
unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud privé
Cloud communautaire L'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être détenu,
géré et exploité par une ou plusieurs organisations de la communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.

Cloud communautaire
Cloud public L'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux. Il existe dans les locaux du fournisseur de cloud.

Public Cloud
Cloud hybride L'infrastructure cloud est une composition de deux ou plusieurs infrastructures cloud distinctes (privée, communautaire ou publique) qui restent
des entités uniques, mais qui sont liées entre elles par une technologie standardisée ou propriétaire qui permet la portabilité des données et des applications
(par exemple, le cloud bursting pour l'équilibrage de charge entre les clouds) hybride
nuage
Les réponses suivantes sont incorrectes :

Cloud privé : l'infrastructure cloud est provisionnée pour une utilisation exclusive par une seule organisation comprenant plusieurs consommateurs (par exemple,
des unités commerciales). Il peut être détenu, géré et exploité par l'organisation, un tiers ou une combinaison des deux, et il peut exister sur ou hors des locaux.

Cloud communautaire : l'infrastructure cloud est provisionnée pour une utilisation exclusive par une communauté spécifique de consommateurs provenant
d'organisations qui ont des préoccupations communes (par exemple, mission, exigences de sécurité, politique et considérations de conformité). Il peut être détenu,
géré et exploité par une ou plusieurs organisations de la communauté, un tiers ou une combinaison d'entre eux, et il peut exister sur place ou hors site.

Cloud public : l'infrastructure cloud est provisionnée pour une utilisation ouverte au grand public. Il peut être détenu, géré et exploité par une entreprise, un
universitaire ou une organisation gouvernementale, ou une combinaison des deux.
Il existe dans les locaux du fournisseur de cloud.
Manuel de révision de la CISA 2014, page numéro 102 Guide
officiel ISC2 du CISSP 3e édition, pages 689 et 690

QUESTION 557
Laquelle des étapes suivantes du PDCA établit les objectifs et les processus nécessaires pour obtenir des résultats conformes aux résultats attendus ?

Un.Plan
B. Do
C. Vérifier
D. Loi

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion du plan de TI - Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus
(la cible ou les buts). En établissant les attentes en matière de résultats, l'exhaustivité et la précision des spécifications font également partie de l'amélioration
ciblée. Si possible, commencez à petite échelle pour tester les effets possibles.

Pour votre examen, vous devez connaître les informations ci-dessous :

Le PDCA (plandocheckact ou plandocheckadjust) est une méthode de gestion itérative en quatre étapes utilisée dans les entreprises pour le contrôle et l'amélioration
continue des processus et des produits. Il est également connu sous le nom de cercle/cycle/roue de Deming, cycle de Stewart, cercle/cycle de contrôle ou plandostudyact
(PDSA). Une autre version de ce cycle PDCA est OPDCA. Le « O » ajouté signifie observation ou, comme le disent certaines versions, « saisir la condition actuelle ».
Les étapes de chaque cycle PDCA successif sont les suivantes :
PLAN
Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts). En établissant les attentes en matière de
résultats, l'exhaustivité et la précision des spécifications font également partie de l'amélioration ciblée. Si possible, commencez à petite échelle pour tester les effets possibles.
FAIRE
Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».
VÉRIFIER
Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats attendus (cibles ou objectifs du « PLAN ») pour
déterminer les différences. Recherchez les écarts dans la mise en œuvre du plan et recherchez également la pertinence et l'exhaustivité du plan pour permettre
l'exécution, c'est-à-dire « Faire ». La cartographie des données peut faciliter la visualisation des tendances sur plusieurs cycles PDCA et la conversion des
données collectées en informations. L'information est ce dont vous avez besoin pour la prochaine étape « AGIR ».
ACTE
Demander des mesures correctives en cas d'écarts importants entre les résultats réels et prévus. Analysez les différences pour déterminer leurs causes profondes.
Déterminez où appliquer les changements qui incluront l'amélioration du processus ou du produit. Lorsqu'un passage par ces quatre étapes n'entraîne pas la
nécessité d'une amélioration, la portée à laquelle le PDCA est appliqué peut être affinée pour planifier et améliorer avec plus de détails dans la prochaine itération du
cycle, ou l'attention doit être placée à une étape différente du processus.

Les réponses suivantes sont incorrectes :

DO - Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes
suivantes « CHECK » et « ACT ». VÉRIFIER - Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats
attendus (cibles ou objectifs du « PLAN ») pour déterminer les différences éventuelles ACT – Demander des mesures correctives sur les écarts significatifs
entre les résultats réels et prévus. Analysez les différences pour déterminer leurs causes profondes. Déterminer où appliquer les changements qui comprendront
l'amélioration du processus ou du produit Manuel d'examen de la CISA 2014, page numéro 107

QUESTION 558
Laquelle des étapes suivantes du PDCA met en œuvre le plan, exécute le processus et fabrique le produit ?

Un.Plan
B. Do
C. Vérifier
D. Loi
Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des TI - Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la
création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».

Pour votre examen, vous devez connaître les informations ci-dessous :

Le PDCA (plandocheckact ou plandocheckadjust) est une méthode de gestion itérative en quatre étapes utilisée dans les entreprises pour le contrôle et l'amélioration
continue des processus et des produits. Il est également connu sous le nom de cercle/cycle/roue de Deming, cycle de Stewart, cercle/cycle de contrôle ou plandostudyact
(PDSA). Une autre version de ce cycle PDCA est OPDCA. Le « O » ajouté signifie observation ou, comme le disent certaines versions, « saisir la condition actuelle ».
Les étapes de chaque cycle PDCA successif sont les suivantes :

PLAN
Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts). En établissant les attentes en matière de
résultats, l'exhaustivité et la précision des spécifications font également partie de l'amélioration ciblée. Si possible, commencez à petite échelle pour tester les effets possibles.
FAIRE
Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».
VÉRIFIER
Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats attendus (cibles ou objectifs du « PLAN ») pour
déterminer les différences. Recherchez les écarts dans la mise en œuvre du plan et recherchez également la pertinence et l'exhaustivité du plan pour permettre
l'exécution, c'est-à-dire « Faire ». La cartographie des données peut faciliter la visualisation des tendances sur plusieurs cycles PDCA et la conversion des
données collectées en informations. L'information est ce dont vous avez besoin pour la prochaine étape « AGIR ».
ACTE
Demander des mesures correctives en cas d'écarts importants entre les résultats réels et prévus. Analysez les différences pour déterminer leurs causes profondes.
Déterminer où appliquer les changements qui incluront l'amélioration de

le procédé ou le produit. Lorsqu'un passage par ces quatre étapes n'entraîne pas la nécessité d'une amélioration, la portée à laquelle le PDCA est appliqué peut
être affinée pour planifier et améliorer avec plus de détails dans la prochaine itération du cycle, ou l'attention doit être placée à une étape différente du processus.

Les réponses suivantes sont

PLANIFIER - Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts).
incorrectes : VÉRIFIER - Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats attendus (cibles ou
objectifs du « PLAN ») pour déterminer les différences AGIR – Demander des mesures correctives sur les différences significatives entre les résultats réels et
prévus. Analysez les différences pour déterminer leurs causes profondes. Déterminer où appliquer les changements qui comprendront l'amélioration du
processus ou du produit Manuel d'examen de la CISA 2014, page numéro 107

QUESTION 559
Laquelle des étapes suivantes du PDCA étudie le résultat réel et le compare au résultat attendu ?

Un.Plan
B. Do
C. Vérifier
D. Loi

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des TI - Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats attendus
(cibles ou objectifs du « PLAN ») pour déterminer les différences. Recherchez les écarts dans la mise en œuvre du plan et recherchez également la pertinence et
l'exhaustivité du plan pour permettre l'exécution, c'est-à-dire « Faire ». La cartographie des données peut faciliter la visualisation des tendances sur plusieurs cycles
PDCA et la conversion des données collectées en informations. L'information est ce dont vous avez besoin pour la prochaine étape « AGIR ».

Pour votre examen, vous devez connaître les informations ci-dessous :

Le PDCA (plandocheckact ou plandocheckadjust) est une méthode de gestion itérative en quatre étapes utilisée dans les entreprises pour le contrôle et l'amélioration
continue des processus et des produits. Il est également connu sous le nom de cercle/cycle/roue de Deming, cycle de Stewart, cercle/cycle de contrôle ou plandostudyact
(PDSA). Une autre version de ce cycle PDCA est OPDCA. Le « O » ajouté signifie observation ou, comme le disent certaines versions, « saisir la condition actuelle ».
Les étapes de chaque cycle PDCA successif sont les suivantes :

PLAN
Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts). En établissant la sortie
attentes, l'exhaustivité et la précision des spécifications font également partie de l'amélioration ciblée. Si possible, commencez à petite échelle pour tester les effets possibles.
FAIRE
Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».
VÉRIFIER
Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats attendus (cibles ou objectifs du « PLAN ») pour
déterminer les différences. Recherchez les écarts dans la mise en œuvre du plan et recherchez également la pertinence et l'exhaustivité du plan pour permettre
l'exécution, c'est-à-dire « Faire ». La cartographie des données peut faciliter la visualisation des tendances sur plusieurs cycles PDCA et la conversion des
données collectées en informations. L'information est ce dont vous avez besoin pour la prochaine étape « AGIR ».
ACTE
Demander des mesures correctives en cas d'écarts importants entre les résultats réels et prévus. Analysez les différences pour déterminer leurs causes profondes.
Déterminez où appliquer les changements qui incluront l'amélioration du processus ou du produit. Lorsqu'un passage par ces quatre étapes n'entraîne pas la
nécessité d'une amélioration, la portée à laquelle le PDCA est appliqué peut être affinée pour planifier et améliorer avec plus de détails dans la prochaine itération du
cycle, ou l'attention doit être placée à une étape différente du processus.

Les réponses suivantes sont incorrectes :

PLANIFIER - Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts).

DO - Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».

ACT - Demander des mesures correctives sur les écarts importants entre les résultats réels et prévus. Analysez les différences pour déterminer leurs causes
profondes. Déterminer où appliquer les changements qui comprendront l'amélioration du processus ou du produit Manuel d'examen de la CISA 2014, page numéro
107

QUESTION 560
Laquelle des étapes suivantes du PDCA demande une action corrective sur les différences significatives entre le résultat réel et le résultat prévu ?

Un.Plan
B. Do
C. Vérifier
D. Loi

Bonne réponse : D
Explication

Explication/Référence :
Section : Loi sur la gouvernance et la gestion des TI - Demander des mesures correctives sur les écarts
importants entre les résultats réels et prévus. Analysez le

différences pour déterminer leurs causes profondes. Déterminez où appliquer les changements qui incluront l'amélioration du processus ou du produit. Lorsqu'un
passage par ces quatre étapes n'entraîne pas la nécessité d'une amélioration, la portée à laquelle le PDCA est appliqué peut être affinée pour planifier et améliorer
avec plus de détails dans la prochaine itération du cycle, ou l'attention doit être placée à une étape différente du processus.

Pour votre examen, vous devez connaître les informations ci-dessous :

Le PDCA (plandocheckact ou plandocheckadjust) est une méthode de gestion itérative en quatre étapes utilisée dans les entreprises pour le contrôle et l'amélioration
continue des processus et des produits. Il est également connu sous le nom de cercle/cycle/roue de Deming, cycle de Stewart, cercle/cycle de contrôle ou plandostudyact
(PDSA). Une autre version de ce cycle PDCA est OPDCA. Le « O » ajouté signifie observation ou, comme le disent certaines versions, « saisir la condition actuelle ».
Les étapes de chaque cycle PDCA successif sont les suivantes :
PLAN
Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts). En établissant les attentes en matière de
résultats, l'exhaustivité et la précision des spécifications font également partie de l'amélioration ciblée. Si possible, commencez à petite échelle pour tester les effets possibles.
FAIRE
Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».
VÉRIFIER
Étudier les résultats réels (mesurés et recueillis dans la section « DO » ci-dessus) et les comparer aux résultats attendus (cibles ou objectifs du « PLAN ») pour
déterminer les différences. Recherchez les écarts dans la mise en œuvre du plan et recherchez également la pertinence et l'exhaustivité du plan pour permettre
l'exécution, c'est-à-dire « Faire ». La cartographie des données peut faciliter la visualisation des tendances sur plusieurs cycles PDCA et la conversion des
données collectées en informations. L'information est ce dont vous avez besoin pour la prochaine étape « AGIR ».
ACTE
Demander des mesures correctives en cas d'écarts importants entre les résultats réels et prévus. Analysez les différences pour déterminer leurs causes profondes.
Déterminer où appliquer les changements qui incluront l'amélioration de

le procédé ou le produit. Lorsqu'un passage par ces quatre étapes n'entraîne pas la nécessité d'une amélioration, la portée à laquelle le PDCA est appliqué peut
être affinée pour planifier et améliorer avec plus de détails dans la prochaine itération du cycle, ou l'attention doit être placée à une étape différente du processus.

Les réponses suivantes sont incorrectes :

PLANIFIER - Établir les objectifs et les processus nécessaires pour obtenir des résultats conformément aux résultats attendus (la cible ou les buts).

DO - Mettre en œuvre le plan, exécuter le processus, fabriquer le produit. Collectez des données pour la création de graphiques et l'analyse dans les étapes suivantes « CHECK » et « ACT ».

VÉRIFIER - Étudier les résultats réels (mesurés et collectés dans la section « DO » ci-dessus) et les comparer aux résultats attendus (cibles ou objectifs du
« PLAN ») pour déterminer les différences dans le manuel de révision de la CISA 2014, page numéro 107

QUESTION 561
Laquelle des réponses suivantes spécifie la séquence correcte des niveaux dans le modèle de maturité des capacités (CMM) ?

Un.Initial, Géré, Défini, Géré quantitativement, Optimisé Initial,

B. Géré, Défini, optimisé, Géré quantitativement
C. Initial, Défini, Géré, Géré quantitativement, Optimisé
D. Initiale, gérée, gérée quantitativement, définie, optimisée

Bonne réponse : A
Explication

Explication/Référence :
Section : Modèle de gouvernance et de
gestion de la maturité informatique

Un modèle de maturité peut être considéré comme un ensemble de niveaux structurés qui décrivent dans quelle mesure les comportements, les pratiques et les
processus d'une organisation peuvent produire de manière fiable et durable les résultats requis.

Un modèle de maturité peut être utilisé comme référence pour la comparaison et comme aide à la compréhension - par exemple, pour l'évaluation comparative de
différentes organisations lorsqu'il y a quelque chose en commun qui peut servir de base de comparaison. Dans le cas du CMM, par exemple, la base de comparaison
serait les processus de développement logiciel des organisations.

Structure

Le modèle comporte cinq aspects :

Niveaux de maturité : un continuum de maturité des processus à 5 niveaux - où le niveau le plus élevé (5e) est un état théorique idéal où les processus
seraient systématiquement gérés par une combinaison d'optimisation des processus et d'amélioration continue des processus.

Principaux domaines de processus : un domaine de processus clé identifie un groupe d'activités connexes qui, lorsqu'elles sont exécutées ensemble, permettent d'atteindre un ensemble d'objectifs considérés comme importants.

Objectifs : les objectifs d'un domaine de processus clé résument les états qui doivent exister pour que ce domaine de processus clé ait été mis en œuvre de
manière efficace et durable. La mesure dans laquelle les objectifs ont été atteints est un indicateur de la capacité que l'organisation a établie à ce niveau de
maturité. Les objectifs signifient la portée, les limites et l'intention de chaque domaine clé du processus.

Caractéristiques communes : les caractéristiques communes comprennent les pratiques qui mettent en œuvre et institutionnalisent un domaine de
processus clé. Il existe cinq types de caractéristiques communes : l'engagement à performer, la capacité à performer, les activités réalisées, la mesure et
l'analyse, et la vérification de la mise en œuvre.
Pratiques clés : Les pratiques clés décrivent les éléments de l'infrastructure et des pratiques qui contribuent le plus efficacement à la mise en œuvre et à
l'institutionnalisation de la zone.

Niveaux Il y a cinq niveaux définis le long du continuum du modèle et, selon le SEI : « La prévisibilité, l'efficacité et le contrôle des processus logiciels d'une
organisation sont censés s'améliorer à mesure que l'organisation progresse dans ces cinq niveaux. Bien qu'elles ne soient pas rigoureuses, les preuves
empiriques à ce jour soutiennent cette croyance ».

Initial (chaotique, ad hoc, héroïsme individuel) - le point de départ de l'utilisation d'un processus de répétition nouveau ou non documenté.
Reproductible - le processus est au moins suffisamment documenté pour que les mêmes étapes puissent être répétées.
Défini - le processus est défini/confirmé comme un processus opérationnel standard et décomposé aux niveaux 0, 1 et 2 (le dernier étant les instructions de
travail). Gestion - le processus est géré quantitativement conformément à des mesures convenues. Optimisation - la gestion des processus comprend
l'optimisation/amélioration délibérée des processus.

Dans chacun de ces niveaux de maturité se trouvent des domaines de processus clés qui caractérisent ce niveau, et pour chacun de ces domaines, il y a cinq
facteurs : objectifs, engagement, capacité, mesure et vérification. Ceux-ci ne sont pas nécessairement propres à CMM, car ils représentent les étapes que les
organisations doivent franchir pour devenir matures.

Le modèle fournit un continuum théorique le long duquel la maturité du processus peut être développée progressivement d'un niveau à l'autre. Sauter des
niveaux n'est pas autorisé/faisable.

Niveau 1 - Initial (chaotique) Les processus de ce niveau se caractérisent par le fait qu'ils sont (généralement) non documentés et dans un état de
changement dynamique, tendant à être pilotés de manière ad hoc, non contrôlée et réactive par les utilisateurs ou les événements. Cela crée un
environnement chaotique ou instable pour les processus.

Niveau 2 - Reproductible Il est caractéristique des processus à ce niveau que certains processus soient reproductibles, éventuellement avec des résultats
cohérents. Il est peu probable que la discipline des processus soit rigoureuse, mais lorsqu'elle existe, elle peut aider à garantir que les processus existants sont
maintenus en période de stress.

Niveau 3 - Défini Il est caractéristique des processus à ce niveau qu'il existe des ensembles de processus normalisés définis et documentés établis et
susceptibles d'être améliorés au fil du temps. Ces processus normalisés sont en place (c.-à-d. qu'il s'agit des processus SI) et utilisés pour assurer l'uniformité
du rendement des processus dans l'ensemble de l'organisation.

Niveau 4 - Gestion Il est caractéristique des processus à ce niveau que, à l'aide de mesures de processus, la direction puisse contrôler efficacement le processus SI
(par exemple, pour le développement de logiciels). En particulier, la direction peut identifier des moyens d'ajuster et d'adapter le processus à des projets particuliers
sans pertes de qualité mesurables ni écarts par rapport aux spécifications.

La capacité de processus est établie à partir de ce niveau.

Niveau 5 - Optimisation Les processus à ce niveau se caractérisent par l'amélioration continue du rendement des processus par des changements et des
améliorations technologiques progressifs et novateurs.

Au niveau de maturité 5, les processus visent à traiter les causes statistiques courantes de variation du processus et à modifier le processus (par exemple, pour
modifier la moyenne de la performance du processus) pour améliorer la performance du processus. Cela se ferait en même temps que le maintien de la
probabilité d'atteindre les objectifs quantitatifs établis d'amélioration des processus.

Les réponses suivantes sont incorrectes : L'autre option spécifiée dans

l'option ne fournit pas l'ordre correct. Manuel de révision de la CISA 2014
Numéro de page 188 Guide d'étude officiel du CISSP page numéro 693

QUESTION 562
Laquelle des interactions dynamiques suivantes d'un modèle d'affaires pour la sécurité de l'information (BMIS) est un modèle de comportements, d'effets,
d'hypothèses, d'attitudes et de façons de faire les choses ?

Un.Gouverner
B. la culture
C. et appui
D. Émergence

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion de la culture informatique est un modèle de comportements, de croyances, d'hypothèses, d'attitudes et de façons de faire les
choses. Elle est émergente et apprise, et elle crée un sentiment de confort. La culture évolue comme un type d'histoire partagée lorsqu'un groupe traverse un
ensemble d'expériences communes. Ces expériences similaires provoquent certaines réponses, qui deviennent un ensemble de comportements attendus et
partagés. Ces comportements deviennent des règles non écrites, qui deviennent des normes partagées par toutes les personnes qui ont cette histoire commune. Il
est important de comprendre la culture de l'entreprise car elle influence profondément les informations considérées, la façon dont elles sont interprétées et ce qui en
sera fait. La culture peut exister à plusieurs niveaux, tels que national (législation/réglementation, politique et traditionnelle), organisationnel (politiques, style
hiérarchique et attentes) et social (famille, étiquette). Il est créé à partir de facteurs externes et internes, et est influencé par les modèles organisationnels.

Pour votre examen, vous devez connaître les informations ci-dessous.

Modèle d'affaires pour la sécurité de l'information Le modèle d'affaires pour la sécurité de l'information (BMIS) est né à l'Institut pour la protection des infrastructures
d'information critiques de la Marshall School of Business de l'Université de Californie du Sud aux États-Unis. L'ISACA a entrepris l'élaboration du modèle de gestion
de la sécurité systémique. Le BMIS adopte une approche axée sur les affaires pour gérer la sécurité de l'information, en s'appuyant sur les concepts fondamentaux
développés par l'Institut. Le modèle utilise la pensée systémique pour clarifier les relations complexes au sein de l'entreprise et ainsi gérer plus efficacement la
sécurité. Les éléments et les interconnexions dynamiques qui constituent la base du modèle établissent les limites d'un programme de sécurité de l'information et
modélisent le fonctionnement et la réaction du programme aux changements internes et externes. Le BMIS fournit le contexte pour des cadres tels que Cubit.

L'essence de la théorie des systèmes est qu'un système doit être considéré de manière holistique, et pas seulement comme une somme de ses parties, pour être
compris avec précision. Une approche holistique examine le système comme une unité fonctionnelle complète. Un autre principe de la théorie des systèmes est
qu'une partie du système permet de comprendre d'autres parties du système. La « pensée systémique » est un terme largement reconnu qui fait référence à
l'examen de la façon dont les systèmes interagissent, du fonctionnement des systèmes complexes et de la raison pour laquelle « le tout est plus que la somme de
ses parties ». La théorie des systèmes est décrite avec plus de précision comme un réseau complexe d'événements, de relations, de réactions, de conséquences,
de technologies, de processus et de personnes qui interagissent de manière souvent invisible et inattendue. L'étude des comportements et des résultats des
interactions peut aider le manager à mieux comprendre le système organisationnel et son fonctionnement. Bien que la gestion de n'importe quelle discipline au sein
de l'entreprise puisse être améliorée en l'abordant du point de vue de la pensée systémique, sa mise en œuvre aidera certainement à gérer les risques.
Le succès de l'approche systémique dans d'autres domaines est de bon augure pour les avantages qu'elle peut apporter à la sécurité. L'incapacité souvent
dramatique des entreprises à traiter les questions de sécurité ces dernières années est due, dans une large mesure, à leur incapacité à définir la sécurité et à la
présenter d'une manière compréhensible et pertinente pour toutes les parties prenantes. L'utilisation d'une approche systémique de la gestion de la sécurité de
l'information aidera les responsables de la sécurité de l'information à gérer des environnements complexes et dynamiques, et générera un effet bénéfique sur la
collaboration au sein de l'entreprise, l'adaptation aux changements opérationnels, la navigation dans l'incertitude stratégique et la tolérance à l'impact des facteurs
externes. Le modèle est représenté ci-dessous.
Comme illustré ci-dessus, le modèle est mieux considéré comme une structure flexible, tridimensionnelle, en forme de pyramide, composée de quatre éléments
reliés entre eux par six interconnexions dynamiques. Tous les aspects du modèle interagissent les uns avec les autres. Si une partie du modèle est modifiée, non
traitée ou gérée de manière inappropriée, l'équilibre du modèle est potentiellement menacé. Les interconnexions dynamiques agissent comme des tensions,
exerçant une force de poussée / traction en réaction aux changements de l'entreprise, permettant au modèle de s'adapter selon les besoins.

Les quatre éléments du modèle sont les suivants :

1. Conception et stratégie organisationnelles Une organisation est un réseau de personnes, d'actifs et de processus qui interagissent les uns avec les autres dans des rôles définis et travaillent à
un objectif commun. La stratégie d'une entreprise précise ses objectifs d'affaires et les objectifs à atteindre ainsi que les valeurs et les missions à poursuivre. C'est la
formule du succès de l'entreprise et définit son orientation de base. La stratégie doit s'adapter aux facteurs externes et internes. Les ressources sont le matériel
principal pour concevoir la stratégie et peuvent être de différents types (personnes, équipements, savoir-faire). Le design définit la manière dont l'organisation met
en œuvre sa stratégie. Les processus, la culture et l'architecture sont importants pour déterminer la conception.

2. Personnes Les ressources humaines et les problèmes de sécurité qui les entourent. Il définit qui met en œuvre (par le biais de la conception) chaque partie de la
stratégie. Il représente un collectif humain et doit prendre en compte les valeurs, les comportements et les préjugés. À l'interne, il est essentiel que le responsable de
la sécurité de l'information travaille avec les services des ressources humaines et juridiques pour aborder des questions telles que : Stratégies de recrutement
(accès, vérification des antécédents, entretiens, rôles et responsabilités) Problèmes d'emploi (emplacement du bureau, accès aux outils et aux données, formation et
sensibilisation, mouvement au sein de l'entreprise) Licenciement (raisons du départ, moment du départ, rôles et responsabilités, accès aux systèmes, accès aux
autres employés). En externe, les clients, les fournisseurs, les médias, les parties prenantes et autres peuvent avoir une forte influence sur l'entreprise et doivent être
pris en compte dans le cadre de la posture de sécurité.

3. Processus Comprend des mécanismes formels et informels (grands et petits, simples et complexes) pour faire avancer les choses et fournit un lien vital vers
toutes les interconnexions dynamiques. Les processus identifient, mesurent, gèrent et contrôlent les risques, la disponibilité, l'intégrité et la confidentialité, et ils
assurent également la responsabilisation. Ils découlent de la stratégie et mettent en œuvre la partie opérationnelle de l'élément organisationnel.
Pour être avantageux pour l'entreprise, les processus doivent : Répondre aux exigences opérationnelles et s'aligner sur la politique Tenir compte de l'émergence et
s'adapter à l'évolution des exigences Être bien documentés et communiqués aux ressources humaines appropriées Être examinés périodiquement, une fois qu'ils
sont en place, pour assurer l'efficience et l'efficacité

4. Technologie Composé de tous les outils, applications et infrastructures qui rendent les processus plus efficaces. En tant qu'élément évolutif qui subit des changements fréquents, il comporte
son propre risque dynamique. Compte tenu de la dépendance de l'entreprise typique à l'égard de la technologie, celle-ci constitue un élément essentiel de l'infrastructure de l'entreprise et un
élément essentiel à l'accomplissement de sa mission. La technologie est souvent considérée par l'équipe de direction de l'entreprise comme un moyen de résoudre les menaces et les risques de
sécurité. Bien que les contrôles techniques soient utiles pour atténuer certains types de risques, la technologie ne doit pas être considérée comme une solution de sécurité de l'information.

La technologie est grandement influencée par les utilisateurs et par la culture organisationnelle. Certaines personnes se méfient encore de la technologie ; certains
n'ont pas appris à s'en servir ; et d'autres pensent que cela les ralentit. Quelle que soit la raison, les responsables de la sécurité de l'information doivent être
conscients que de nombreuses personnes essaieront d'éviter les contrôles techniques.
Interconnexions dynamiques

Les interconnexions dynamiques sont ce qui relie les éléments entre eux et exerce une force multidirectionnelle qui pousse et tire au fur et à mesure que les choses
changent. Les actions et les comportements qui se produisent dans les interconnexions dynamiques peuvent déséquilibrer le modèle ou le ramener à l'équilibre.

Les six interconnexions dynamiques sont les suivantes :

1. Gouverner La gouvernance est le pilotage de l'entreprise et exige un leadership stratégique. La gouvernance définit les limites dans lesquelles une entreprise fonctionne et est mise en œuvre
dans le cadre de processus de surveillance des performances, de description des activités et de conformité, tout en offrant une adaptabilité aux conditions émergentes. Les ressources sont
La gouvernance consiste à s'assurer que les objectifs sont déterminés et définis, à s'assurer que les risques sont gérés de manière appropriée et à vérifier que l'entreprise
utilisées de manière responsable.
2. Culture La culture est un modèle de comportements, de croyances, d'hypothèses, d'attitudes et de façons de faire les choses. Elle est émergente et apprise, et elle
crée un sentiment de confort. La culture évolue comme un type d'histoire partagée lorsqu'un groupe traverse un ensemble d'expériences communes. Ces
expériences similaires provoquent certaines réponses, qui deviennent un ensemble de comportements attendus et partagés. Ces comportements deviennent des
règles non écrites, qui deviennent des normes partagées par toutes les personnes qui ont cette histoire commune. Il est important de comprendre la culture de
l'entreprise car elle influence profondément les informations considérées, la façon dont elles sont interprétées et ce qui en sera fait. La culture peut exister à plusieurs
niveaux, tels que national (législation/réglementation, politique et traditionnelle), organisationnel (politiques, style hiérarchique et attentes) et social (famille, étiquette).
Il est créé à partir de facteurs externes et internes, et est influencé par les modèles organisationnels.
3. Habilitation et soutien L'interconnexion dynamique permettant et soutenant relie l'élément technologique à l'élément de processus. Une façon de s'assurer que les gens se conforment aux
mesures, politiques et procédures de sécurité techniques est de rendre les processus utilisables et faciles. La transparence peut aider à faire accepter les contrôles de sécurité en assurant aux
utilisateurs que la sécurité n'entravera pas leur capacité à travailler efficacement. Bon nombre des actions qui affectent à la fois la technologie et les processus se produisent dans
l'interconnexion dynamique habilitante et de soutien. Les politiques, les normes et les lignes directrices doivent être conçues pour répondre aux besoins de l'entreprise en réduisant ou en
éliminant les conflits d'intérêts, en restant flexibles pour soutenir l'évolution des objectifs commerciaux et en étant acceptables et faciles à suivre pour les gens.

4. Émergence L'émergence qui connote la mise en surface, le développement, la croissance et l'évolution fait référence à des modèles qui apparaissent dans la vie de l'entreprise et qui
semblent n'avoir aucune cause évidente et dont les résultats semblent impossibles à prévoir et à contrôler. L'interconnexion dynamique émergente (entre les personnes et les processus) est
un endroit pour présenter des solutions possibles telles que des boucles de rétroaction ; l'alignement sur l'amélioration des processus ; et la prise en compte des
problèmes émergents dans le cycle de vie de la conception des systèmes, le contrôle des changements et la gestion des risques.
5. Facteurs humains L'interconnexion dynamique des facteurs humains représente l'interaction et l'écart entre la technologie et les personnes et, en tant que telle, est essentielle à
un programme de sécurité de l'information. Si les gens ne comprennent pas comment utiliser la technologie, ne l'adoptent pas ou ne suivent pas les politiques pertinentes, de graves
problèmes de sécurité peuvent évoluer. Des menaces internes telles que la fuite de données, le vol de données et l'utilisation abusive des données peuvent survenir au sein de
cette interconnexion dynamique. Des facteurs humains peuvent survenir en raison de l'âge, du niveau d'expérience et/ou des expériences culturelles. Les facteurs humains étant
des éléments essentiels au maintien de l'équilibre au sein du modèle, il est important de former toutes les ressources humaines de l'entreprise sur les compétences pertinentes.
6. Architecture Une architecture de sécurité est une encapsulation complète et formelle des personnes, des processus, des politiques et de la technologie qui
composent les pratiques de sécurité d'une entreprise. Une architecture d'information d'entreprise robuste est essentielle pour comprendre le besoin de sécurité et
concevoir l'architecture de sécurité. C'est au sein de l'interconnexion dynamique de l'architecture que l'entreprise peut assurer une défense en profondeur. La
conception décrit comment les contrôles de sécurité sont positionnés et comment ils sont liés à l'architecture informatique globale. Une architecture de sécurité
d'entreprise facilite les capacités de sécurité dans tous les secteurs d'activité de manière cohérente et rentable et permet aux entreprises d'être proactives dans
leurs décisions d'investissement en matière de sécurité.
Les réponses suivantes sont incorrectes :

Gouverner - Gouverner est le pilotage de l'entreprise et exige un leadership stratégique. La gouvernance définit les limites dans lesquelles une entreprise fonctionne
et est mise en œuvre dans le cadre de processus de surveillance des performances, de description des activités et de conformité, tout en offrant une adaptabilité
aux conditions émergentes. La gouvernance consiste à s'assurer que les objectifs sont déterminés et définis, à s'assurer que les risques sont gérés de manière
appropriée et à vérifier que les ressources de l'entreprise sont utilisées de manière responsable.

Habilitation et soutien - L'interconnexion dynamique d'habilitation et de soutien relie l'élément technologique à l'élément de processus. Une façon de s'assurer que
les gens respectent les mesures et les politiques de sécurité techniques

et les procédures est de rendre les processus utilisables et faciles. La transparence peut aider à faire accepter les contrôles de sécurité en assurant aux
utilisateurs que la sécurité n'entravera pas leur capacité à travailler efficacement. Bon nombre des actions qui affectent à la fois la technologie et les processus se
produisent dans l'interconnexion dynamique habilitante et de soutien. Les politiques, les normes et les lignes directrices doivent être conçues pour répondre aux
besoins de l'entreprise en réduisant ou en éliminant les conflits d'intérêts, en restant flexibles pour soutenir l'évolution des objectifs commerciaux et en étant
acceptables et faciles à suivre pour les gens.
Émergence L'émergence qui connote la surface, le développement, la croissance et l'évolution fait référence à des modèles qui surgissent dans la vie de l'entreprise
et qui semblent n'avoir aucune cause évidente et dont les résultats semblent impossibles à prévoir et à contrôler. L'interconnexion dynamique émergente (entre les
personnes et les processus) est un lieu pour introduire des solutions possibles telles que les boucles de rétroaction ; l'alignement sur l'amélioration des processus ;
et la prise en compte des problèmes émergents dans le cycle de vie de la conception des systèmes, le contrôle des changements et la gestion des risques.
Manuel d'examen de la CISA 2014, pages numéros 37 et 38
http://www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf

QUESTION 563
Laquelle des interactions dynamiques suivantes d'un modèle d'affaires pour la sécurité de l'information (BMIS) est un endroit pour introduire des solutions possibles
telles que des boucles de rétroaction ; l'alignement sur l'amélioration des processus ; et la prise en compte des problèmes émergents dans le cycle de vie de la
conception des systèmes, le contrôle des changements et la gestion des risques ?
Un. Gouverner

B. la culture
C. et appui
D. Émergence

Bonne réponse : D
Explication

Explication/Référence :
La section : Gouvernance et gestion de l'émergence des technologies de l'information, qui évoque la mise en évidence, le développement, la croissance et
l'évolution, fait référence à des modèles qui apparaissent dans la vie de l'entreprise et qui semblent n'avoir aucune cause évidente et dont les résultats semblent
impossibles à prévoir et à contrôler. L'interconnexion dynamique émergente (entre les personnes et les processus) est un lieu pour introduire des solutions
possibles telles que les boucles de rétroaction ; l'alignement sur l'amélioration des processus ; et la prise en compte des problèmes émergents dans le cycle de
vie de la conception des systèmes, le contrôle des changements et la gestion des risques.

Pour votre examen, vous devez connaître les informations ci-dessous.

Modèle d'affaires pour la sécurité de l'information Le modèle d'affaires pour la sécurité de l'information (BMIS) est né à l'Institut pour la protection des infrastructures
d'information critiques de la Marshall School of Business de l'Université de Californie du Sud aux États-Unis. L'ISACA a entrepris l'élaboration du modèle de gestion
de la sécurité systémique. Le BMIS adopte une approche axée sur les affaires pour gérer la sécurité de l'information, en s'appuyant sur les concepts fondamentaux
développés par l'Institut. Le modèle utilise la pensée systémique pour clarifier les relations complexes au sein de l'entreprise et ainsi gérer plus efficacement la
sécurité. Les éléments et les interconnexions dynamiques qui constituent la base du modèle établissent les limites d'un programme de sécurité de l'information et
modélisent le fonctionnement et la réaction du programme aux changements internes et externes. Le BMIS fournit le contexte pour des cadres tels que Cubit.

L'essence de la théorie des systèmes est qu'un système doit être considéré de manière holistique, et pas seulement comme une somme de ses parties, pour être
compris avec précision. Une approche holistique examine le système comme une unité fonctionnelle complète. Un autre principe de la théorie des systèmes est
qu'une partie du système permet de comprendre d'autres parties de la théorie des systèmes.
système. La « pensée systémique » est un terme largement reconnu qui fait référence à l'examen de la façon dont les systèmes interagissent, du fonctionnement
des systèmes complexes et de la raison pour laquelle « le tout est plus que la somme de ses parties ». La théorie des systèmes est décrite avec plus de précision
comme un réseau complexe d'événements, de relations, de réactions, de conséquences, de technologies, de processus et de personnes qui interagissent de
manière souvent invisible et inattendue. L'étude des comportements et des résultats des interactions peut aider le manager à mieux comprendre le système
organisationnel et son fonctionnement. Bien que la gestion de n'importe quelle discipline au sein de l'entreprise puisse être améliorée en l'abordant du point de vue
de la pensée systémique, sa mise en œuvre aidera certainement à gérer les risques.
Le succès de l'approche systémique dans d'autres domaines est de bon augure pour les avantages qu'elle peut apporter à la sécurité. L'incapacité souvent
dramatique des entreprises à traiter les questions de sécurité ces dernières années est due, dans une large mesure, à leur incapacité à définir la sécurité et à la
présenter d'une manière compréhensible et pertinente pour toutes les parties prenantes. L'utilisation d'une approche systémique de la gestion de la sécurité de
l'information aidera les responsables de la sécurité de l'information à gérer des environnements complexes et dynamiques, et générera un effet bénéfique sur la
collaboration au sein de l'entreprise, l'adaptation aux changements opérationnels, la navigation dans l'incertitude stratégique et la tolérance à l'impact des facteurs
externes. Le modèle est représenté ci-dessous.
Comme illustré ci-dessus, le modèle est mieux considéré comme une structure flexible, tridimensionnelle, en forme de pyramide, composée de quatre
éléments reliés entre eux par six interconnexions dynamiques.

Tous les aspects du modèle interagissent les uns avec les autres. Si une partie du modèle est modifiée, non traitée ou gérée de manière inappropriée, l'équilibre du
modèle est potentiellement menacé. Les interconnexions dynamiques agissent comme des tensions, exerçant une force de poussée / traction en réaction aux
changements de l'entreprise, permettant au modèle de s'adapter selon les besoins.

Les quatre éléments du modèle sont les suivants :

1. Conception et stratégie organisationnelles L'organisation est un réseau de personnes, d'actifs et de processus qui interagissent les uns avec les autres dans des
rôles définis et travaillent vers un objectif commun.

La stratégie d'une entreprise précise ses objectifs d'affaires et les objectifs à atteindre ainsi que les valeurs et les missions à poursuivre. C'est la formule du
succès de l'entreprise et définit son orientation de base. La stratégie doit s'adapter aux facteurs externes et internes. Les ressources sont le matériel principal
pour concevoir la stratégie et peuvent être de différents types (personnes, équipements, savoir-faire). Le design définit la manière dont l'organisation met en
œuvre sa stratégie. Les processus, la culture et l'architecture sont importants pour déterminer la conception.

2. Personnes Les ressources humaines et les problèmes de sécurité qui les entourent. Il définit qui met en œuvre (par le biais de la conception) chaque partie de la
stratégie. Il représente un collectif humain et doit prendre en compte les valeurs, les comportements et les préjugés. À l'interne, il est essentiel que le responsable de
la sécurité de l'information travaille avec les services des ressources humaines et juridiques pour aborder des questions telles que : Stratégies de recrutement
(accès, vérification des antécédents, entretiens, rôles et responsabilités) Problèmes d'emploi (emplacement du bureau, accès aux outils et aux données, formation et
sensibilisation, mouvement au sein de l'entreprise) Licenciement (raisons du départ, moment du départ, rôles et responsabilités, accès aux systèmes, accès aux
autres employés). En externe, les clients, les fournisseurs, les médias, les parties prenantes et autres peuvent avoir une forte influence sur l'entreprise et doivent être
pris en compte dans le cadre de la posture de sécurité.

3. Processus Comprend des mécanismes formels et informels (grands et petits, simples et complexes) pour faire avancer les choses et fournit un lien vital vers
toutes les interconnexions dynamiques. Les processus identifient, mesurent, gèrent et contrôlent les risques, la disponibilité, l'intégrité et la confidentialité, et ils
assurent également la responsabilisation. Ils découlent de la stratégie et mettent en œuvre la partie opérationnelle de l'élément organisationnel.
Pour être avantageux pour l'entreprise, les processus doivent : Répondre aux exigences opérationnelles et s'aligner sur la politique Tenir compte de l'émergence et
s'adapter à l'évolution des exigences Être bien documentés et communiqués aux ressources humaines appropriées Être examinés périodiquement, une fois qu'ils
sont en place, pour assurer l'efficience et l'efficacité

4. Technologie Composé de tous les outils, applications et infrastructures qui rendent les processus plus efficaces. En tant qu'élément évolutif qui subit des changements fréquents, il comporte
son propre risque dynamique. Compte tenu de la dépendance de l'entreprise typique à l'égard de la technologie, celle-ci constitue un élément essentiel de l'infrastructure de l'entreprise et un
élément essentiel à l'accomplissement de sa mission. La technologie est souvent considérée par l'équipe de direction de l'entreprise comme un moyen de résoudre les menaces et les risques de
sécurité. Bien que les contrôles techniques soient utiles pour atténuer certains types de risques, la technologie ne doit pas être considérée comme une solution de sécurité de l'information.

La technologie est grandement influencée par les utilisateurs et par la culture organisationnelle. Certaines personnes se méfient encore de la technologie ; certains
n'ont pas appris à s'en servir ; et d'autres pensent que cela les ralentit. Quelle que soit la raison, les responsables de la sécurité de l'information doivent être
conscients que de nombreuses personnes essaieront d'éviter les contrôles techniques.
Interconnexions dynamiques Les interconnexions dynamiques sont ce qui relie les éléments entre eux et exerce une force multidirectionnelle qui pousse et tire au fur
et à mesure que les choses changent. Les actions et les comportements qui se produisent dans les interconnexions dynamiques peuvent déséquilibrer le modèle ou
le ramener à l'équilibre.
Les six interconnexions dynamiques sont les suivantes :

1. Gouverner La gouvernance est le pilotage de l'entreprise et exige un leadership stratégique. La gouvernance définit les limites dans lesquelles une entreprise
fonctionne et est mise en œuvre dans le cadre de processus de surveillance des performances, de description des activités et de conformité, tout en offrant une
adaptabilité aux conditions émergentes. La gouvernance consiste à s'assurer que les objectifs sont déterminés et définis, à s'assurer que les risques sont gérés de
manière appropriée et à vérifier que les ressources de l'entreprise sont utilisées de manière responsable.

2. Culture La culture est un modèle de comportements, de croyances, d'hypothèses, d'attitudes et de façons de faire les choses. Elle est émergente et apprise, et elle
crée un sentiment de confort. La culture évolue comme un type d'histoire partagée lorsqu'un groupe traverse un ensemble d'expériences communes. Ces
expériences similaires provoquent certaines réponses, qui deviennent un ensemble de comportements attendus et partagés. Ces comportements deviennent des
règles non écrites, qui deviennent des normes partagées par toutes les personnes qui ont cette histoire commune. Il est important de comprendre la culture de
l'entreprise car elle influence profondément les informations considérées, la façon dont elles sont interprétées et ce qui en sera fait. La culture peut exister à de
nombreux niveaux, tels que national (législation/réglementation, politique et
traditionnel), organisationnel (politiques, style hiérarchique et attentes) et social (famille, étiquette). Il est créé à partir de facteurs externes et internes, et est
influencé par les modèles organisationnels.

3. Habilitation et soutien L'interconnexion dynamique permettant et soutenant relie l'élément technologique à l'élément de processus. Une façon de s'assurer que les
gens se conforment aux mesures, politiques et procédures de sécurité techniques est de rendre les processus utilisables et faciles. La transparence peut aider à faire
accepter les contrôles de sécurité en assurant aux utilisateurs que la sécurité n'entravera pas leur capacité à travailler efficacement. Bon nombre des actions qui
affectent à la fois la technologie et les processus se produisent dans l'interconnexion dynamique habilitante et de soutien. Les politiques, les normes et les lignes
directrices doivent être conçues pour répondre aux besoins de l'entreprise en réduisant ou en éliminant les conflits d'intérêts, en restant flexibles pour soutenir
l'évolution des objectifs commerciaux et en étant acceptables et faciles à suivre pour les gens.
4. Émergence L'émergence qui connote la mise en surface, le développement, la croissance et l'évolution fait référence à des modèles qui apparaissent dans la vie
de l'entreprise et qui semblent n'avoir aucune cause évidente et dont les résultats semblent impossibles à prévoir et à contrôler. L'interconnexion dynamique
émergente (entre les personnes et les processus) est un lieu pour introduire des solutions possibles telles que les boucles de rétroaction ; l'alignement sur
l'amélioration des processus ; et la prise en compte des problèmes émergents dans le cycle de vie de la conception des systèmes, le contrôle des changements et la
gestion des risques.
5. Facteurs humains L'interconnexion dynamique des facteurs humains représente l'interaction et l'écart entre la technologie et les personnes et, en tant que telle, est
essentielle à un programme de sécurité de l'information. Si les gens ne comprennent pas comment utiliser la technologie, ne l'adoptent pas ou ne suivent pas les
politiques pertinentes, de graves problèmes de sécurité peuvent évoluer. Des menaces internes telles que la fuite de données, le vol de données et l'utilisation
abusive des données peuvent survenir au sein de cette interconnexion dynamique. Des facteurs humains peuvent survenir en raison de l'âge, du niveau d'expérience
et/ou des expériences culturelles. Les facteurs humains étant des éléments essentiels au maintien de l'équilibre au sein du modèle, il est important de former toutes
les ressources humaines de l'entreprise sur les compétences pertinentes.
6. Architecture Une architecture de sécurité est une encapsulation complète et formelle des personnes, des processus, des politiques et de la technologie qui
composent les pratiques de sécurité d'une entreprise. Une architecture d'information d'entreprise robuste est essentielle pour comprendre le besoin de sécurité et
concevoir l'architecture de sécurité. C'est au sein de l'interconnexion dynamique de l'architecture que l'entreprise peut assurer une défense en profondeur. La
conception décrit comment les contrôles de sécurité sont positionnés et comment ils sont liés à l'architecture informatique globale. Une architecture de sécurité
d'entreprise facilite les capacités de sécurité dans tous les secteurs d'activité de manière cohérente et rentable et permet aux entreprises d'être proactives dans
leurs décisions d'investissement en matière de sécurité.
Les réponses suivantes sont incorrectes : Gouverner - Gouverner est le pilotage de l'entreprise et exige un leadership stratégique. La gouvernance définit les limites
dans lesquelles une entreprise fonctionne et est mise en œuvre dans le cadre de processus de surveillance des performances, de description des activités et de
conformité, tout en offrant une adaptabilité aux conditions émergentes. La gouvernance consiste à s'assurer que les objectifs sont déterminés et définis, à s'assurer
que les risques sont gérés de manière appropriée et à vérifier que les ressources de l'entreprise sont utilisées de manière responsable.

Habilitation et soutien - L'interconnexion dynamique d'habilitation et de soutien relie l'élément technologique à l'élément de processus. Une façon de s'assurer que
les gens se conforment aux mesures, politiques et procédures de sécurité techniques est de rendre les processus utilisables et faciles. La transparence peut aider à
faire accepter les contrôles de sécurité en assurant aux utilisateurs que la sécurité n'entravera pas leur capacité à travailler efficacement. Bon nombre des actions
qui affectent à la fois la technologie et les processus se produisent dans l'interconnexion dynamique habilitante et de soutien. Les politiques, les normes et les
lignes directrices doivent être conçues pour répondre aux besoins de l'entreprise en réduisant ou en éliminant les conflits d'intérêts, en restant flexibles pour
soutenir l'évolution des objectifs commerciaux et en étant acceptables et faciles à suivre pour les gens.
Culture - La culture est un modèle de comportements, de croyances, d'hypothèses, d'attitudes et de façons de faire les choses. Elle est émergente et apprise, et
elle crée un sentiment de confort. La culture évolue comme un type d'histoire partagée lorsqu'un groupe traverse un ensemble d'expériences communes. Ces
expériences similaires provoquent certaines réponses, qui deviennent un ensemble de comportements attendus et partagés. Ces comportements deviennent des
règles non écrites, qui deviennent des normes partagées par toutes les personnes qui ont cette histoire commune. Il est important de comprendre la culture de
l'entreprise car elle influence profondément les informations considérées, la façon dont elles sont interprétées et ce qui en sera fait. La culture peut exister à
plusieurs niveaux, tels que national (législation/réglementation, politique et traditionnelle), organisationnel (politiques, style hiérarchique et attentes) et social
(famille, étiquette). C’est vrai
créé à partir de facteurs externes et internes, et est influencé par et influence les modèles organisationnels.
Manuel d'examen de la CISA 2014, pages numéros 37 et 38
http://www.isaca.org/Knowledge-Center/BMIS/Documents/IntrotoBMIS.pdf

QUESTION 564
A modèle de maturité peut être utilisé pour faciliter la mise en œuvre de la gouvernance informatique en identifiant :

A. facteurs critiques de succès (LCR)

B. Facteurs de performance
C. d'amélioration
D. Responsabilités

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 565
L'efficacité d'un cadre de gouvernance de la sécurité de l'information sera renforcée si :

A. les consultants examinent le cadre de gouvernance de la sécurité de l'information

B. une culture de conformité légale et réglementaire est promue par la direction
C. Les auditeurs des SI sont habilités à évaluer les activités de gouvernance
D. la gestion des risques est intégrée aux activités opérationnelles et stratégiques

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 566
Laquelle des conditions suivantes est la plus importante pour une mise en œuvre réussie de la gouvernance de la sécurité ?
A. Alignement sur un cadre de sécurité international
B. Mise en correspondance avec les stratégies organisationnelles
C. en œuvre d'un tableau de bord équilibré en matière de sécurité
D. Effectuer une évaluation des risques à l'échelle de l'organisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 567
Lequel des BEST BEST démontre une gestion efficace de la sécurité de l'information au sein d'une organisation ?

A. Les employés appuient les décisions prises par la direction de la sécurité de l'information.
B. Une exposition excessive au risque dans un département peut être absorbée par d'autres départements.
C. gouvernance de la sécurité de l'information est intégrée à la gouvernance organisationnelle.
D. La propriété du contrôle est attribuée aux parties qui peuvent accepter les pertes liées à la défaillance du contrôle.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 568
Une organisation multinationale met en place un cadre de gouvernance de la sécurité. Le responsable de la sécurité de l'information s'inquiète du fait que les
pratiques de sécurité régionales diffèrent. Lequel des éléments suivants doit être évalué en premier ?

A. Exigences réglementaires locales

B. Exigences informatiques locales
C. transfrontière des données
D. Objectifs de sécurité de l'Organisation

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 569
Lorsqu'il s'agit de faciliter l'alignement de la gouvernance d'entreprise et de la gouvernance de la sécurité de l'information, lequel des éléments suivants
est le rôle le plus important du comité directeur de la sécurité d'une organisation ?

A. Obtenir l'appui des propriétaires d'entreprise pour l'intégration

B. Obtenir l'approbation du budget de la sécurité de l'information
C. et établissement de rapports sur le degré d'intégration
D. Définir des paramètres pour démontrer l'alignement

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 570
Lequel des éléments suivants est la responsabilité PRINCIPALE d'un comité de gouvernance de la sécurité de l'information ?

A. Approuver l'achat de technologies de sécurité de l'information

B. Approbation de la stratégie de formation de sensibilisation à la sécurité de l'information
C. de la stratégie de sécurité de l'information
D. Analyse des examens de conformité de la politique de sécurité de l'information

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 571
Quel est le moyen le plus efficace de s'assurer que les politiques et procédures de sécurité sont à jour ?

A. Vérifier que les exigences en matière de sécurité sont déterminées et appliquées de manière uniforme.
B. Aligner les pratiques de sécurité de l'organisation sur les normes et les meilleures pratiques du secteur.
C. et documenter la vision de la haute direction quant à l'orientation de la sécurité
D. Éviter que des problèmes d'audit de la documentation de sécurité ne soient soulevés

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 572
Lequel des éléments suivants est le PRINCIPAL avantage de la mise en place d'un cadre de gouvernance de la sécurité de l'information établi lorsqu'une
organisation adopte des technologies émergentes ?
A. Une stratégie sur les technologies émergentes serait en place
B. Un processus d'analyse coûts-avantages serait plus facile à réaliser
C. Un processus efficace de gestion des risques pour la sécurité est établi
D. L'acceptation des nouvelles technologies par les utilisateurs finaux a été établie

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 573
Du point de vue de la gestion des risques, lequel des éléments suivants est le PLUS important à suivre dans le cadre d'une surveillance continue ?

A. Nombre d'attaques déjouées

B. Changements dans l'environnement de la menace
C. Modifications des privilèges des utilisateurs
D. Nombre d'échecs de connexion

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 574
Lequel des éléments suivants devrait être l'objectif PRINCIPAL d'un cadre de gouvernance de la sécurité de l'information ?

A. Augmenter le retour sur investissement de l'organisation en matière de sécurité.

B. Fournir une base de référence pour optimiser le profil de sécurité de l'organisation.
C. S'assurer que les utilisateurs se conforment aux politiques de sécurité de l'information de l'organisation.
D. Démontrer la conformité aux meilleures pratiques de l'industrie aux parties prenantes externes.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 575
Une organisation a élaboré des pratiques de gestion des risques matures qui sont suivies dans tous les départements. Quelle est la façon la plus efficace pour
l'équipe d'audit de tirer parti de cette maturité en matière de gestion des risques ?

A. Animer des ateliers sur l'identification des risques et l'évaluation des risques d'audit
B. Mise en œuvre de réponses aux risques au nom de la direction
C. des assurances à la direction concernant les risques
D. Intégration du registre des risques à des fins de planification de l'audit

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 576
Laquelle des constatations suivantes serait la plus grande préoccupation pour un auditeur du SI effectuant un audit de sécurité de l'information sur les
activités critiques de gestion des journaux de serveur ?

A. Les enregistrements de journal peuvent être écrasés avant d'être examinés.

B. Les procédures d'enregistrement ne sont pas suffisamment documentées.
C. Les enregistrements de journal sont dynamiquement dans différents serveurs.
D. Les journaux sont surveillés à l'aide de processus manuels.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 577
La MEILLEURE façon de valider si un acte malveillant s'est réellement produit dans une application est d'examiner :

A. Séparation des tâches

B. Contrôles d'accès
C. Journaux d'activité
D. Journaux de gestion des changements

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 578
Quel type de contrôle est utilisé lorsqu'une organisation publie des normes et des procédures pour la gestion des vulnérabilités ?

A. Directive
B. Préventif
C. Correctif
D. Détective

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 579
Un auditeur du SI constate que les serveurs applicatifs avaient des configurations incohérentes conduisant à des failles de sécurité potentielles. Lequel des
éléments suivants le vérificateur devrait-il recommander en premier ?

A. Appliquer les normes de base du serveur.

B. Améliorer les processus de gestion du changement à l'aide d'un outil de flux de travail.
C. Tenir le propriétaire de l'application responsable de la surveillance des métriques.
D. Utilisez un seul fournisseur pour les serveurs d'applications.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 580
La mise en œuvre d'une politique de mots de passe forts fait partie de la stratégie de sécurité de l'information d'une organisation pour l'année. Une unité
commerciale estime que la stratégie peut avoir un impact négatif sur l'adoption par un client d'une application mobile récemment développée et a décidé de ne pas
mettre en œuvre la politique. Lequel des énoncés suivants serait la MEILLEURE ligne de conduite pour le responsable de la sécurité de l'information ?

A. Analyser les risques et les répercussions de la non-mise en œuvre de la politique

B. Élaborer et mettre en œuvre une politique de mot de passe pour l'application mobile
C. la non-application de la politique à la haute direction
D. Comparer avec des applications mobiles similaires pour identifier les lacunes

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 581
Dans une organisation multinationale, les réglementations de sécurité locales doivent être mises en œuvre plutôt que la politique de sécurité mondiale pour les raisons suivantes :

A. Les politiques de sécurité mondiales incluent des contrôles inutiles pour les entreprises locales
B. les objectifs commerciaux sont définis par les responsables locaux des unités commerciales
C. Les exigences des réglementations locales prévalent
D. la sensibilisation aux réglementations locales est plus pratique qu'à la politique mondiale

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 582
Laquelle des étapes suivantes constitue une étape dans l'établissement d'une politique de sécurité ?

A. Développer des bases de référence de sécurité au niveau de la plate-forme.

B. Développer les paramètres de configuration du réseau,
C. Mettre en œuvre un processus d'élaboration et de mise à jour de la politique.
D. Création d'une matrice RACI.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 583
Un grand nombre d'exceptions aux normes de sécurité de l'information d'une organisation ont été accordées après que la haute direction a approuvé un
programme BYOD (Bring Your Own Device). Pour remédier à cette situation, il est TRÈS important que la gestion de la sécurité de l'information :

A. introduire une authentification forte sur les appareils

B. Rejeter les nouvelles demandes d'exception
C. exiger l'autorisation d'effacer les appareils perdus
D. mettre à jour la politique de sécurité de l'information

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 584
Lequel des éléments suivants est le PLUS important à vérifier pour l'auditeur SI lors de l'examen du processus d'élaboration d'une politique de sécurité ?

A. Preuve de la participation active des principaux intervenants

B. Résultat du système de gestion des risques de l'entreprise
C. du cadre de contrôle
D. Preuve de l'approbation de la direction

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 585
Laquelle des raisons suivantes devrait être la raison PRINCIPALE d'établir une politique sur les médias sociaux pour tous les employés ?

A. Publier des messages acceptables à utiliser par les employés lors de la publication
B. Sensibiliser et fournir des conseils sur les risques liés aux médias sociaux
C. Restreindre l'accès aux médias sociaux pendant les heures de bureau pour maintenir la productivité
D. Prévenir les publications et les commentaires négatifs sur les médias sociaux

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 586
Un auditeur SI interne découvre qu'une organisation de services n'a pas averti ses clients suite à une violation
de données. Laquelle des actions suivantes l'auditeur devrait-il faire en premier ?

A. Aviser la direction de l'audit de la constatation.

B. Signaler la constatation aux autorités réglementaires.
C. Informez les clients de l'organisation de service.
D. Exiger de l'organisation de service qu'elle informe ses clients.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 587
Une petite organisation connaît une croissance rapide et prévoit de créer une nouvelle politique de sécurité de l'information. Lequel des éléments suivants est le
PLUS pertinent pour la création de la politique ?

A. Normes de l'industrie
B. L'analyse d'impact sur l'entreprise (BIA)
C. Les objectifs commerciaux
D. Recommandations d'audit antérieures

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 588
A PDG demande l'accès aux documents de l'entreprise à partir d'un appareil mobile qui n'est pas conforme à la politique de l'organisation. Le responsable de la sécurité de l'information doit :
PREMIER:

A. évaluer le risque d'entreprise

B. Évaluer une solution tierce
C. lancer un processus d'approbation des exceptions
D. déployer des contrôles de sécurité supplémentaires

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 589
Lequel des éléments suivants est le plus important à prendre en compte lors de l'élaboration d'une politique BYOD (Bring Your Own Device) ?

A. Systèmes d'exploitation pris en charge

B. Procédure d'accès au réseau
C. Restrictions de téléchargement de l'application
D. Procédures d'effacement à distance

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 590
Un comité directeur des TI aide le conseil d'administration à s'acquitter de ses fonctions de gouvernance des TI en :

A. élaborer des politiques et des procédures informatiques pour le suivi des projets.
B. se concentrer sur la fourniture de services et de produits informatiques.
C. superviser les grands projets et l'allocation des ressources informatiques.
D. mettre en œuvre la stratégie informatique.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 591
Lequel des éléments suivants peut fournir l'assurance qu'un projet informatique a produit les avantages escomptés ?

A. Essais d'acceptation par l'utilisateur (UAT)

B. Approbation du comité directeur
C. après la mise en œuvre
D. Évaluation de l'assurance de la qualité

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 592
Lequel des éléments suivants est le plus important lors de l'évaluation de la période de conservation des sauvegardes de données client d'un fournisseur de cloud ?

A. Coût du stockage des données

B. Engagements contractuels
C. d'audit antérieures
D. Meilleures pratiques de l'industrie

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 593
Lequel des éléments suivants est le plus important à inclure dans un contrat avec un fournisseur de services de développement de logiciels ?

A. Une liste d'indicateurs clés de performance (KPI)

B. Propriété intellectuelle
C. sur le niveau de service (SLA)
D. Exigences explicites en matière de résiliation des contrats

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 594
Lequel des éléments suivants est une caractéristique distinctive au plus haut niveau d'un modèle de maturité ?

A. Il existe des normes et des procédures officielles.

B. Les projets sont contrôlés sous la supervision de la direction.
C. Un processus d'amélioration continue est appliqué.
D. Les processus sont surveillés en permanence.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 595
L'objectif PRINCIPAL d'une méthode de diagramme de préséance dans la gestion de projets informatiques est de :

A. surveiller la dérive de la portée du projet.

B. identifier le chemin critique.
C. identifier les étapes clés.
D. minimiser les retards et les dépassements.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 596
Les rapports à l'intention de la direction concernant le rendement des TI devraient porter sur les points suivants :

A. le respect des pratiques organisationnelles par des tiers.

B. Rendement des TI par rapport aux améliorations opérationnelles.
C. Livrables informatiques par rapport aux stratégies organisationnelles.
D. l'efficacité de la planification des capacités au sein de l'organisation.
Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 597
Pour permettre l'alignement des plans de développement du personnel informatique sur la stratégie informatique, laquelle des actions suivantes doit être effectuée en premier ?

A. Inclure des objectifs stratégiques dans les objectifs de performance du personnel informatique.
B. Examiner les descriptions de poste du personnel informatique pour les harmoniser.
C. Identifier les compétences informatiques requises pour soutenir les processus opérationnels clés.
D. Élaborer une formation trimestrielle pour chaque membre du personnel informatique.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 598
Lequel des éléments suivants devrait être la base PRINCIPALE de la planification et de la hiérarchisation des audits de sécurité de l'infrastructure informatique ?

A. Valeur des actifs pour l'organisation

B. Demandes de la direction
C. La propension à prendre des risques de l'organisation
D. Meilleures pratiques en matière de sécurité

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 599
Lequel des éléments suivants est le contrôle le plus efficace pour réduire le risque de fuite d'informations via les médias sociaux ?

A. Utilisation d'enregistreurs de frappe

B. Examen périodique de la politique de classification des données
C. limité aux sites de médias sociaux sur le lieu de travail
D. Formation à la sensibilisation à la sécurité

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 600
Un directeur des opérations est récemment passé à l'audit interne. Lequel des éléments suivants serait la plus grande préoccupation lors de l'attribution de
projets de vérification à cette personne ?

A. Un contrôle dans le cadre de la vérification a été mis en place par le directeur des opérations il y a six mois.
B. Un contrôle dans la portée de l'audit a été rétrogradé à faible risque par le directeur des opérations il y a six mois.
C. Le propriétaire d'un processus visé par l'audit a travaillé pour le directeur des opérations il y a six mois.
D. Un système visé par l'audit est appuyé par une technologie émergente pour laquelle le gestionnaire des opérations manque d'expérience.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 601
Lors de l'élaboration de mesures pour mesurer la contribution de l'informatique à la réalisation des objectifs commerciaux, la considération la plus importante est que les mesures :

A. mesurer l'efficacité des contrôles informatiques dans la réalisation de la stratégie informatique.

B. fournir une mesure quantitative des initiatives informatiques par rapport aux objectifs commerciaux.
C. sont exprimés en termes d'impact des risques informatiques sur la réalisation des objectifs commerciaux.
D. sont utilisés par des industries similaires pour mesurer l'effet des TI sur la stratégie d'entreprise.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 602
Les performances, les risques et les capacités d'une infrastructure informatique sont MIEUX mesurés à l'aide d'un :

A. Tableau de bord prospectif.

B. Examen de la gestion des risques.
C. Accord de niveau de service (SLA).
D. auto-évaluation des contrôles (ASC).

Bonne réponse : A
Explication
Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 603
Lequel des risques suivants est le PRINCIPAL lorsque les unités commerciales achètent des actifs informatiques sans implication informatique ?

A. Les normes d'approvisionnement ministérielles ne sont pas respectées.

B. Les unités commerciales veulent que l'informatique soit responsable des coûts de maintenance.
C. Les exigences en matière de sécurité des données ne sont pas prises en compte.
D. L'inventaire du système devient inexact.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 604
Lequel des éléments suivants serait le plus important à mettre à jour une fois qu'une décision a été prise d'externaliser une application critique à un fournisseur de services cloud ?

A. Portefeuille de projets
B. Plan des ressources informatiques
C. Budget informatique
D. Analyse des répercussions sur les activités

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 605
Communiquer lequel des éléments suivants encouragerait le mieux la direction à prendre les mesures appropriées après la réception des conclusions du rapport ?

A. Incidences des observations sur les risques

B. Délais stricts pour clore toutes les observations
C. Échantillonnage statistique utilisé pour obtenir des observations
D. Recommandations qui s'alignent sur la stratégie d'affaires

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 606
Lequel des énoncés suivants est le meilleur indicateur clé de performance (KPI) pour déterminer dans quelle mesure la politique informatique est alignée sur les exigences de l'entreprise ?

A. Nombre d'exceptions approuvées à la politique

B. Coût total des violations de la politique
C. Coût total à l'appui de la politique
D. Nombre de demandes de renseignements concernant la politique

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 607
Quelle est la meilleure méthode pour déterminer si les dépenses en ressources informatiques sont alignées sur les dépenses prévues du projet ?

A. Analyse de la valeur acquise (EVA)

B. Diagramme de Gantt
C. du retour sur investissement (ROI)
D. Analyse du chemin critique

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 608
Une équipe d'audit externe décide de s'appuyer sur les travaux de l'audit interne pour un audit de conformité annuel. Lequel des éléments suivants est le PLUS
GRAND facteur à prendre en compte lors de la prise de cette décision ?

A. Indépendance du service d'audit interne par rapport à l'influence de la direction

B. Certifications professionnelles détenues par les membres de l'équipe d'audit interne
C. Nombre d'années d'expérience de chacun des auditeurs internes dans la réalisation d'audits de conformité
D. Le niveau de documentation tenu par la vérification interne et les méthodes utilisées pour recueillir les éléments probants

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information
QUESTION 609
Laquelle des méthodes suivantes garantirait le mieux que la stratégie informatique est conforme à la stratégie de l'entreprise ?

A. Analyse du seuil de rentabilité

B. Analyse de la valeur
C. du chemin critique
D. Analyse des répercussions sur les activités

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 610
La responsabilité PRINCIPALE d'un responsable de la sécurité des systèmes d'information pour les applications de processus métier est de :

A. créer des règles basées sur les rôles pour chaque processus métier.
B. s'assurer que les règles d'accès sont conformes aux politiques.
C. autoriser un accès d'urgence sécurisé.
D. approuver la politique de sécurité de l'organisation.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 611
L'un des objectifs de la gestion de la capacité est de s'assurer que :

A. les ressources organisationnelles sont utilisées efficacement.

B. les ressources disponibles sont pleinement utilisées.
C. de nouvelles ressources sont allouées à de nouvelles applications.
D. l'utilisation des ressources ne descend pas en dessous de 85 %.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 612
Une équipe de sécurité de l'information a découvert que les utilisateurs partagent un compte de connexion à une application contenant des informations
sensibles, en violation de la politique d'accès. La gestion des affaires indique que la pratique crée des gains d'efficacité opérationnelle. La MEILLEURE ligne de
conduite du responsable de la sécurité de l'information devrait être de :
A. modifier la politique
B. présenter le risque à la haute direction
C. appliquer la politique
D. créer une exception pour l'écart

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 613
Une politique a été établie exigeant que les utilisateurs installent un logiciel de gestion des appareils mobiles (MDM) sur leurs appareils personnels. Lequel des
éléments suivants atténuerait le mieux le risque créé par le non-respect de cette politique ?

A. Émettre des avertissements et documenter les cas de non-conformité

B. Désactivation de l'accès à distance à partir de l'appareil mobile
C. Émission d'appareils mobiles configurés par l'entreprise
D. Exiger des utilisateurs qu'ils signent les conditions générales

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 614
Pour résoudre le problème selon lequel les pressions sur les performances sur les TI peuvent entrer en conflit avec les contrôles de sécurité de l'information, il est TRÈS important que :

A. la politique de sécurité est modifiée pour tenir compte de la pression exercée sur le rendement des TI
B. des problèmes de non-conformité sont signalés à la haute direction
C. La haute direction fournit des conseils et le règlement des différends
D. La direction de la sécurité de l'information comprend les problèmes de performance de l'entreprise

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 615
Les objectifs de l'amélioration des processus d'affaires devraient PRINCIPALEMENT inclure :

A. Impact minimal sur le personnel

B. Changements progressifs de la productivité
C. des limites de l'Organisation
D. Optimisation des performances

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 616
Lors d'un examen du plan stratégique de TI, un auditeur du SI constate que plusieurs initiatives de TI axées sur la livraison de nouveaux systèmes et de
nouvelles technologies ne sont pas alignées sur la stratégie de l'organisation. Quelle serait la MEILLEURE recommandation de l'auditeur des systèmes
d'information ?
A. Réévaluer le rendement du capital investi des initiatives de TI
B. Modifier les initiatives informatiques qui ne correspondent pas aux stratégies commerciales
C. Utiliser un tableau de bord prospectif pour aligner les initiatives informatiques sur les stratégies commerciales
D. Réévaluer les initiatives de TI qui ne correspondent pas aux stratégies d'affaires

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 617
Une organisation a externalisé certains de ses sous-processus à un fournisseur de services. Lors de l'établissement de la portée de l'audit du fournisseur, l'auditeur interne de l'organisation doit :
PREMIER:

A. évaluer les contrôles opérationnels du fournisseur

B. discuter des objectifs de la vérification avec le fournisseur
C. examiner les rapports d'audit interne du fournisseur
D. revoir le contrat avec le fournisseur

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 618
Une organisation a été gravement touchée après une attaque APT (Advanced Persistent Threat). Par la suite, il a été constaté que la violation initiale s'était produite
un mois avant l'attaque. La PLUS GRANDE préoccupation de la direction devrait être :

A. Résultats du test d'intrusion interne antérieur

B. l'efficacité des processus de surveillance
C. l'installation de correctifs de sécurité critiques
D. Politiques de pare-feu externe

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 619
Des examens d'assurance de la qualité des logiciels sont prévus dans le cadre du développement du système. À quelle étape du processus d'élaboration le
premier examen devrait-il être lancé ?

A. Lors de la planification préalable à la mise en œuvre

B. Dans le cadre de la définition des besoins de l'utilisateur
C. Immédiatement avant les tests d'acceptation par l'utilisateur
D. Pendant l'étude de faisabilité

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 620
Une organisation a pris la décision stratégique de se diviser en entités opérationnelles distinctes pour améliorer sa rentabilité. Cependant, l'infrastructure
informatique reste partagée entre les entités. Lequel des énoncés suivants aiderait le mieux à s'assurer que la vérification des SI couvre toujours les principaux
secteurs de risque de l'environnement de TI dans le cadre de son plan annuel ?
A. Augmentation de la fréquence des audits du SI axés sur les risques pour chaque entité commerciale
B. Révision des plans d'audit des SI pour mettre l'accent sur les changements informatiques introduits après la scission
C. d'un audit des politiques et procédures informatiques nouvellement introduites
D. Élaborer un plan axé sur les risques en tenant compte des processus opérationnels de chaque entité

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information
QUESTION 621
Un auditeur du SI détermine qu'un détaillant en ligne traitant des informations de carte de crédit n'a pas de processus de classification des données. La prochaine
étape de l'auditeur devrait être de :

A. recommander le chiffrement de toutes les données sensibles au repos

B. déterminer les contrôles existants concernant les données sensibles
C. recommander la mise en œuvre d'outils de prévention des pertes de données (DLP)
D. demander s'il y a eu des incidents de perte de données

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 622
Un auditeur SI examine les résultats de l'analyse des vulnérabilités réseau d'une organisation. Lequel des processus suivants les résultats de l'analyse alimenteraient-ils le plus probablement ?

A. Maintenance du pare-feu
B. Gestion des correctifs
C. aux incidents
D. Gestion du trafic

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 623
Lequel des éléments suivants est le plus critique pour la mise en œuvre efficace de la gouvernance informatique ?

A. Engagement de l'auditeur interne

B. Culture d'entreprise favorable
C. pratiques de gestion des risques
D. Politiques documentées

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 624
Lors de l'audit de la gouvernance informatique d'une organisation qui envisage d'externaliser une application financière critique à un fournisseur de cloud, la
considération la plus importante pour l'auditeur doit être :

A. le coût du système externalisé.

B. l'inclusion d'une clause de résiliation du service.
C. Alignement sur les normes de l'industrie.
D. l'harmonisation avec les exigences opérationnelles.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 625
Un auditeur du SI a terminé l'examen d'une entente d'impartition et a cerné des problèmes de gouvernance des TI. Lequel des éléments suivants est le moyen
le plus efficace et le plus efficient de communiquer les problèmes lors d'une réunion avec la haute direction ?

A. Présentez un rapport rempli et discutez des détails.

B. Fournir un rapport détaillé à l'avance et donner la parole aux questions.
C. Présenter un aperçu des principales conclusions.
D. Fournir un plan d'action et des jalons.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 626
L'objectif PRINCIPAL d'un responsable de la sécurité de l'information pour présenter les principaux risques au conseil d'administration est de :

A. réévaluer l'appétit pour le risque.

B. quantifier les risques de réputation.
C. répondre aux exigences de conformité en matière de sécurité de l'information.
D. assurer une gouvernance appropriée de la sécurité de l'information.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des TI Lequel des
QUESTION 627
énoncés suivants est le moyen le plus efficace de s'assurer que les unités opérationnelles se conforment à un cadre de gouvernance de la sécurité de l'information ?

A. Organiser une formation de sensibilisation à la sécurité de l'information

B. Effectuer des évaluations de sécurité et des analyses des lacunes
C. des exigences de sécurité dans les processus
D. Réalisation d'une analyse d'impact sur les activités (ABI)

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 628
Lequel des éléments suivants est le PLUS important pour la mise en œuvre réussie d'un cadre de gouvernance de la sécurité de l'information dans l'ensemble de l'organisation ?

A. La culture de sécurité organisationnelle existante

B. Processus de gestion de la sécurité alignés sur les objectifs de sécurité
C. de sécurité organisationnels mis en œuvre conformément à la réglementation
D. Politiques de sécurité conformes aux meilleures pratiques du secteur

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 629
Après la mise en œuvre d'un cadre de gouvernance de la sécurité de l'information, lequel des éléments suivants fournirait la meilleure information pour élaborer un
plan de projet de sécurité de l'information ?

A. Tableau de bord prospectif

B. Résultats récents de l'audit
C. thermique des risques
D. Analyse des lacunes

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 630
Lequel des éléments suivants est le moyen le plus efficace de réaliser l'intégration de la gouvernance de la sécurité de l'information dans la gouvernance d'entreprise ?

A. S'assurer que la sécurité de l'information s'aligne sur la stratégie informatique.

B. Fournir périodiquement des tableaux de bord prospectifs de TI à la haute direction.
C. Aligner les demandes budgétaires de sécurité de l'information sur les objectifs de l'organisation.
D. S'assurer que les efforts de sécurité de l'information soutiennent les objectifs de l'entreprise.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 631
Dans un cadre de gouvernance de la sécurité, laquelle des caractéristiques suivantes est la plus importante du comité de sécurité de l'information ? Le comité :

A. examine fréquemment la politique de sécurité.

B. comprend un mélange de membres de tous les niveaux de gestion.
C. a une charte et des protocoles de réunion clairement définis.
D. a établi des relations avec des professionnels externes.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 632
L'objectif principal de l'alignement de la sécurité de l'information sur les objectifs de gouvernance d'entreprise est de :

A. identifier la tolérance au risque d'une organisation.

B. réaligner les rôles et les responsabilités.
C. renforcer les capacités pour améliorer les processus de sécurité.
D. gérer systématiquement les secteurs de risque importants.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 633
Dans une organisation où les TI sont essentielles à sa stratégie d'affaires et où il existe un niveau élevé de dépendance opérationnelle à l'égard des TI,
l'engagement de la haute direction envers la sécurité est MIEUX démontré par :
A. la ligne hiérarchique du responsable de la sécurité des systèmes d'information (RSSI).
B. Politique de séparation des tâches.
C. existence d'un comité de pilotage informatique.
D. taille de la fonction de sécurité des TI.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 634
Lequel des éléments suivants serait le plus efficace pour justifier le coût de l'ajout de contrôles de sécurité à une application Web existante ?

A. Résultats de l'évaluation de la vulnérabilité

B. Politique de sécurité des applications
C. Une analyse de rentabilisation
D. Rapports d'audit interne

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 635
En l'absence de contrôles techniques, quelle serait la MEILLEURE façon de réduire les messages texte non autorisés sur les appareils mobiles fournis par l'entreprise ?

A. Mettre à jour la politique d'utilisation des appareils mobiles de l'entreprise pour interdire les textos.
B. Effectuer une analyse d'impact sur les activités (ARA) et fournir le rapport à la direction.
C. Cesser de fournir des appareils mobiles jusqu'à ce que l'organisation soit en mesure de mettre en œuvre des contrôles.
D. Inclure le sujet des textos interdits dans la formation de sensibilisation à la sécurité.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 636
Une grande organisation envisage une politique qui permettrait aux employés d'apporter leurs propres smartphones dans l'environnement organisationnel. La
préoccupation la plus importante pour le responsable de la sécurité de l'information devrait être la suivante :

A. Absence d'une solution de gestion des appareils.

B. diminution de la productivité des utilisateurs finaux.
C. Incidence sur la capacité du réseau.
D. des coûts plus élevés pour soutenir les utilisateurs finaux.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 637
Lequel des énoncés suivants est la MEILLEURE façon de démontrer à la haute direction que les pratiques de sécurité organisationnelles sont conformes aux normes de l'industrie ?

A. Un rapport sur la maturité des contrôles

B. Documentation à jour des politiques et des procédures
C. Existence d'un cadre accepté par l'industrie
D. Résultats d'une évaluation indépendante

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 638
Un responsable de la sécurité de l'information apprend qu'un système ministériel n'est pas conforme aux exigences d'authentification de la politique de sécurité de
l'information. Lequel des éléments suivants devrait être la PREMIÈRE ligne de conduite du responsable de la sécurité de l'information ?

A. Isolez le système non conforme du reste du réseau.

B. Soumettre le problème au comité directeur pour qu'il le fasse remonter.
C. Demander l'acceptation des risques à la haute direction.
D. Effectuer une analyse d'impact pour quantifier le risque associé.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 639
À la suite de changements organisationnels importants, lequel des éléments suivants est le facteur le plus important lors de la mise à jour de la politique informatique ?
A. La politique est intégrée aux descriptions de poste.
B. La politique est approuvée par les cadres supérieurs.
C. La politique est conforme aux lois et règlements pertinents.
D. La politique est conforme aux normes et aux meilleures pratiques de l'industrie.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 640
Lequel des éléments suivants est la PREMIÈRE considération lors de l'élaboration d'une politique de conservation des données ?

A. Détermination du cycle de sauvegarde en fonction de la période de rétention

B. Conception d'une stratégie de stockage d'infrastructure
C. Identification de la durée légale et contractuelle de conservation des données
D. Détermination des privilèges d'accès de sécurité aux données

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 641
Lequel des facteurs suivants favorisera au mieux une gestion efficace de la sécurité de l'information ?

A. Engagement de la haute direction

B. et évaluation des risques liés aux ressources sensibles
C. à la sensibilisation à la sécurité
D. de politique de sécurité

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 642
Un examen de la sécurité Internet a révélé que les utilisateurs ont des comptes d'utilisateur individuels auprès des fournisseurs de services Internet (FSI) et utilisent
ces comptes pour télécharger des données commerciales. L'organisation veut s'assurer que seul le réseau d'entreprise est utilisé. L'organisation doit D'ABORD :

A. utiliser un serveur proxy pour filtrer les sites Internet auxquels il est interdit d'accéder.
B. tenir un journal manuel des accès internes.
C. surveiller les activités d'accès à distance.
D. inclure dans sa politique de sécurité une déclaration sur l'utilisation d'Internet.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 643
Lequel des énoncés suivants indique la nécessité de revoir la politique de sécurité de l'information d'une organisation ?

A. Réalisation de l'évaluation annuelle des risques liés aux TI

B. Complexité croissante des transactions commerciales
C. des exceptions approuvées par l'administration
D. Nombre élevé de constatations à faible risque dans le rapport d'audit

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 644
Lequel des éléments suivants est un contrôle directif ?

A. Mise en place d'une équipe chargée des opérations de sécurité de l'information

B. Mise à jour du logiciel de prévention des pertes de données
C. en œuvre d'une politique de sécurité de l'information
D. Configuration du logiciel de chiffrement des données

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 645
La politique de sécurité informatique d'une organisation exige une formation annuelle de sensibilisation à la sécurité pour tous les employés. Lequel des éléments
suivants fournirait la meilleure preuve de l'efficacité de la formation ?

A. Résultats d'un test d'ingénierie sociale

B. Entrevues avec les employés
C. Diminution des appels à l'équipe d'intervention en cas d'incident
D. Sondages remplis par des employés choisis au hasard

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 646
Quel type de risque influencerait le plus le choix d'une méthode d'échantillonnage ?

A. Contrôle
B. Inhérent
C. Résiduel
D. Détection

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 647
Lequel des éléments suivants est le contrôle le plus efficace pour atténuer l'utilisation abusive involontaire de l'accès autorisé ?

A. Surveillance régulière des journaux d'accès des utilisateurs

B. Approbation annuelle de la politique d'utilisation acceptable
C. à la sensibilisation à la sécurité
D. Mesures disciplinaires officielles

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 648
Lequel des éléments suivants protégera le mieux une organisation contre le spear phishing ?

A. Filtrage du contenu des e-mails

B. Politique d'utilisation acceptable
C. des utilisateurs finals
D. Logiciel antivirus

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 649
Lequel des éléments suivants est le plus susceptible d'être inclus dans une politique de sécurité de l'information d'entreprise ?

A. Exigences relatives à la composition du mot de passe

B. Conséquences du non-respect
C. relatives à l'examen de la piste d'audit
D. Stratégie de surveillance de la sécurité

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 650
Lequel des processus suivants est la PREMIÈRE étape de l'établissement d'une politique de sécurité de l'information ?

A. Évaluation des contrôles de sécurité

B. Évaluation des risques commerciaux
C. des normes mondiales actuelles
D. Audit de sécurité de l'information

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 651
Une unité commerciale utilise une application de commerce électronique avec une politique de mot de passe fort. De nombreux clients se plaignent de ne pas se
souvenir de leurs mots de passe parce qu'ils sont trop longs et complexes. L'unité commerciale affirme qu'il est impératif d'améliorer l'expérience client. Le
responsable de la sécurité de l'information doit D'ABORD :
A. modifier la politique de mot de passe pour améliorer l'expérience client.
B. recommander la mise en œuvre de l'authentification à deux facteurs.
C. rechercher d'autres méthodes sûres de vérification de l'identité.
D. évaluer l'impact de l'expérience client sur les revenus de l'entreprise.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 652
Le PLUS GRAND avantage de l'utilisation d'un modèle de maturité lors de la fourniture de rapports de sécurité à la direction est qu'il présente les éléments suivants :

A. l'état de sécurité actuel et cible de l'entreprise.

B. les priorités du programme de sécurité pour atteindre un niveau de risque accepté.
C. évalué le niveau de risque pour la sécurité à un moment donné.
D. le niveau de conformité à la politique interne.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 653
Un fournisseur de services cloud n'est pas en mesure de fournir une évaluation indépendante des contrôles. Lequel des énoncés suivants est la MEILLEURE façon
d'obtenir l'assurance que le fournisseur peut protéger adéquatement les renseignements de l'organisation ?

A. Vérifier les références fournies par les autres clients du fournisseur.

B. Invoquer le droit d'audit conformément au contrat.
C. Examinez la politique de sécurité de l'information du fournisseur.
D. Examinez l'auto-évaluation du fournisseur.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 654
Lequel des éléments suivants est le plus susceptible de résulter des tests de conformité ?

A. Comparaison des données avec les dénombrements physiques

B. Confirmation des données auprès de sources extérieures
C. des erreurs dues à des erreurs de traitement
D. Découverte de contrôles qui n'ont pas été appliqués

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 655
Lors de la conception d'un plan de réponse aux incidents à convenir avec un fournisseur de cloud computing, lequel des éléments suivants contribuera le
mieux à garantir l'efficacité du plan ?

A. Un programme de formation pour le personnel des fournisseurs

B. Un programme d'audit et de conformité
C. et responsabilités
D. Exigences relatives aux essais de récupération sur place

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 656
Lequel des énoncés suivants aiderait le mieux à assurer la conformité aux exigences de sécurité de l'information d'une organisation par un fournisseur de services informatiques ?

A. Définition du plan de reprise d'activité avec le prestataire informatique

B. Exiger un audit externe de sécurité du fournisseur de services informatiques
C. des exigences en matière de sécurité de l'information avec l'informatique interne
D. Exiger des rapports réguliers du fournisseur de services informatiques

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 657
Lequel des éléments suivants devrait avoir le plus d'influence sur un responsable de la sécurité de l'information lors de l'élaboration de politiques de sécurité informatique ?

A. Menaces passées et actuelles

B. Cadre de sécurité des TI
C. Respect de la réglementation
D. Stratégie d'entreprise
Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 658
Laquelle des approches suivantes est la MEILLEURE pour identifier les problèmes de non-conformité aux exigences légales, réglementaires et contractuelles ?

A. Évaluation de la vulnérabilité
B. Évaluation des risques
C. Analyse des répercussions sur les activités
D. Analyse des lacunes

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 659
Lequel des énoncés suivants fournit la MEILLEURE assurance qu'une organisation alloue les ressources appropriées pour répondre aux événements de sécurité de l'information ?

A. Procédures de classification des incidents

B. Analyse des menaces et rapports de renseignement
C. Un plan de dotation en TI approuvé
D. Politiques et normes de sécurité de l'information.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 660
Lequel des éléments suivants est le plus utile à inclure dans un rapport à la haute direction sur une base régulière pour démontrer l'efficacité du programme de
sécurité de l'information ?

A. Facteurs critiques de succès (CCA)

B. Indicateurs clés de risque (IRC)
C. de maturité des capacités
D. Indicateurs clés de performance (ICP)

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 661
Lorsque le risque inhérent à une activité commerciale est inférieur au niveau de risque acceptable, la MEILLEURE ligne de conduite serait de :

A. mettre en œuvre des contrôles pour atténuer le risque.

B. rendre compte de la conformité à la direction.
C. examiner le niveau de risque résiduel.
D. surveiller les changements opérationnels.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 662
Au cours de l'année écoulée, un responsable de la sécurité de l'information a effectué des évaluations des risques sur plusieurs fournisseurs tiers. Lequel des
critères suivants serait le plus utile pour déterminer le niveau de risque associé appliqué à chaque fournisseur ?

A. Contrôles compensatoires en place pour protéger la sécurité de l'information

B. Violations correspondantes associées à chaque fournisseur
C. du service rendu à l'organisation
D. Exigences de conformité associées au règlement

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 663
Un responsable de la sécurité de l'information s'inquiète du fait que la direction ne soutient pas les initiatives de sécurité de l'information. Laquelle des propositions
suivantes est la MEILLEURE façon de remédier à cette situation ?

A. Démontrer l'alignement de la fonction de sécurité de l'information avec les besoins opérationnels.

B. Faire remonter les problèmes de non-conformité au responsable de la vérification interne.
C. Signaler les risques et l'état du programme de sécurité de l'information au conseil d'administration.
D. Réviser la stratégie de sécurité de l'information pour répondre aux attentes de la direction.
Bonne réponse : Un
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 664
La raison la plus importante pour laquelle l'évaluation des risques de sécurité doit être effectuée fréquemment dans une organisation est que :

A. les menaces qui pèsent sur l'organisation peuvent changer.

B. les contrôles doivent être testés régulièrement.
C. la conformité aux normes légales et réglementaires devrait être réévaluée.
D. l'efficacité du contrôle peut s'affaiblir.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 665
Lequel des éléments suivants est le facteur le plus important à prendre en compte lors de l'établissement d'une hiérarchie de gravité pour les incidents de sécurité de l'information ?

A. Appui à la direction
B. Impact sur les entreprises
C. Conformité réglementaire
D. Risque résiduel

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 666
La principale raison pour laquelle une organisation exigerait que les utilisateurs signent une reconnaissance de leurs responsabilités en matière d'accès au système est de :

A. maintenir la conformité aux meilleures pratiques de l'industrie.

B. servir de preuve de formation de sensibilisation à la sécurité.
C. attribuer la responsabilité des transactions effectuées avec l'identifiant de l'utilisateur.
D. tenir un registre précis des droits d'accès des utilisateurs.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 667
Lequel des éléments suivants fournirait la preuve la plus fiable pour indiquer si l'accès des employés a été désactivé en temps opportun après la cessation
d'emploi ?

A. Comparaison des formulaires de résiliation avec les dates dans le système RH

B. Examen des formulaires de retour d'actifs matériels
C. Interroger les superviseurs pour vérifier que les données sur les employés sont mises à jour immédiatement
D. Comparaison des formulaires de résiliation avec les entrées du journal de transactions du système

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 668
Pour classer efficacement les données, lequel des éléments suivants DOIT être déterminé ?

A. Contrôles des données

B. Propriété des données
C. de données
D. Volume de données

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 669
Lequel des éléments suivants est le moyen le plus efficace de s'assurer que les politiques de sécurité sont pertinentes pour les pratiques commerciales de l'organisation ?

A. Tirer parti de la contribution du comité directeur de la sécurité.

B. Obtenir l'approbation de la haute direction.
C. Intégrer les meilleures pratiques de l'industrie.
D. Effectuer un audit de sécurité à l'échelle de l'organisation.

Bonne réponse : B
Explication
Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 670
Pour intégrer la sécurité dans les processus du cycle de vie du développement des systèmes (SDLC), une organisation DOIT s'assurer que la sécurité :

A. est une condition préalable à l'achèvement des grandes phases.

B. les mesures de rendement ont été atteintes.
C. les rôles et les responsabilités ont été définis.
D. est représenté sur la carte de contrôle de configuration.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 671
Lequel des éléments suivants est le rôle PRINCIPAL d'un dépositaire de données ?

A. Traitement des informations

B. Sécurisation des informations
C. de l'information
D. Validation de l'information

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 672
L'objectif principal d'un programme de formation pour les membres d'une équipe d'intervention en cas d'incident devrait être :

A. la formation technologique.
B. sensibilisation à la sécurité.
C. Communication externe de l'entreprise.
D. formation spécifique aux rôles.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 673
Lequel des éléments suivants devrait être l'objectif PRINCIPAL du processus de réponse aux incidents de sécurité de l'information ?

A. Minimiser les impacts négatifs sur les opérations critiques

B. Communication avec les parties internes et externes
C. des incidents
D. Triage des incidents

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 674
Lequel des éléments suivants est le plus important à inclure dans un contrat avec un fournisseur de services essentiels pour assurer l'alignement avec le
programme de sécurité de l'information de l'organisation ?

A. Voies d'escalade
B. Clause relative au droit d'audit
C. Libellé de la résiliation
D. Indicateurs clés de performance (ICP)

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 675
Lequel des éléments suivants est le PLUS important lors de la sélection d'une mesure de sécurité de l'information ?

A. Définir la métrique en termes quantitatifs

B. Aligner la métrique sur la stratégie informatique
C. de l'indicateur en termes qualitatifs
D. S'assurer que la métrique est reproductible

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des TI
QUESTION 676
L'objectif principal de l'évaluation des actifs pour la gestion de la sécurité de l'information est de :

A. éliminer les actifs les moins importants.

B. fournir une base pour la classification des actifs.
C. déterminer la valeur de chaque actif.
D. établir l'ordre de priorité des activités de gestion des risques.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 677
Lequel des éléments suivants est le plus efficace dans l'alignement stratégique des initiatives de sécurité ?

A. Un comité de pilotage de la sécurité est mis en place au sein de la DSI.

B. Les principales politiques de sécurité de l'information sont mises à jour régulièrement.
C. Les chefs d'entreprise participent à la prise de décision en matière de sécurité de l'information.
D. Les politiques sont créées avec la contribution des responsables d'unité commerciale.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 678
Laquelle des approches suivantes est la MEILLEURE pour déterminer le niveau de maturité d'un programme de sécurité de l'information ?

A. Examiner les résultats de l'audit interne.

B. Engagez un examen par un tiers.
C. Effectuez une auto-évaluation.
D. Évaluer les indicateurs clés de performance (KPI).

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 679
Une organisation dotée d'un programme de réponse aux incidents en cours de maturation effectue des examens post-incident pour tous les incidents majeurs de
sécurité de l'information. L'objectif PRINCIPAL de ces examens devrait être de :

A. identifier les lacunes du programme de sécurité ou les faiblesses systémiques qui doivent être corrigées.
B. préparer des notifications dûment vérifiées concernant les incidents aux parties externes.
C. identifier qui devrait être tenu responsable des incidents de sécurité.
D. documenter et signaler la cause profonde des incidents à la haute direction.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 680
Pour bien comprendre l'impact qu'une nouvelle exigence réglementaire aura sur les contrôles de sécurité de l'information d'une organisation, un responsable de la
sécurité de l'information doit d'abord :

A. effectuer une évaluation des risques.

B. effectuer une analyse des écarts.
C. effectuer une analyse coûts-avantages.
D. interroger la haute direction.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 681
Lequel des éléments suivants est l'objectif PRINCIPAL de la réalisation d'une analyse d'impact sur les activités (BIA) ?

A. Détermination des options d'atténuation des risques

B. Détermination des principaux risques opérationnels
C. des processus opérationnels critiques
D. Identification de l'environnement de menace

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 682
Lequel des éléments suivants aiderait le mieux un responsable de la sécurité de l'information à obtenir le soutien stratégique de la direction ?
A. Recherche sur les tendances des atteintes à la sécurité de l'information à l'échelle mondiale
B. Analyse des risques propres à l'organisation
C. annuel sur les incidents de sécurité au sein de l'organisation
D. Évaluation de la sécurité de l'organisation sur la base des normes internationales

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 683
Un responsable de la sécurité de l'information a développé une stratégie pour faire face aux nouveaux risques de sécurité de l'information résultant des
changements récents dans l'entreprise. Lequel des éléments suivants serait le plus important à inclure lors de la présentation de la stratégie à la haute direction ?

A. L'impact des changements organisationnels sur le profil de risque de sécurité

B. Les coûts associés aux changements de processus opérationnels
C. de l'analyse comparative par rapport aux pairs du secteur
D. Contrôles de sécurité nécessaires pour atténuer les risques

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 684
Lequel des énoncés suivants est la MEILLEURE façon pour un responsable de la sécurité de l'information de justifier un investissement continu dans le
programme de sécurité de l'information lorsque l'organisation est confrontée à des coupes budgétaires importantes ?

A. Démontrer une augmentation des attaques par rançongiciel ciblant les organisations homologues.
B. Démontrer l'état de préparation des plans de continuité des activités.
C. Démontrer que les contrôles de programme mis en œuvre sont efficaces.
D. Démontrer que le programme permet les activités commerciales.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 685
Lequel des éléments suivants est le plus important à prendre en compte lors de la planification d'un test d'intrusion en boîte noire ?

A. Les résultats des tests seront documentés et communiqués à la direction.

B. Des diagrammes de l'architecture réseau de l'organisation sont disponibles.
C. L'environnement et la portée des tests d'intrusion ont été déterminés.
D. La direction de l'organisation cliente est au courant des tests.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 686
Laquelle des pratiques de gestion des ressources humaines suivantes mène le mieux à la détection d'activités frauduleuses ?

A. Vérification des antécédents

B. Rapports de temps
C. de déontologie des employés
D. Congés obligatoires

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 687
Lequel des éléments suivants permettrait le mieux d'aligner l'informatique sur les objectifs de l'entreprise ?

A. Tirer parti d'un cadre de TI

B. Réalisation d'une évaluation des risques informatiques
C. des meilleures pratiques de l'industrie
D. Suivi des indicateurs clés de performance (ICP)

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 688
Laquelle des étapes suivantes est la PREMIÈRE étape lors de la réalisation d'une analyse d'impact sur les activités (BIA) ?
A. Identification des ressources d'information essentielles
B. Identification des événements ayant une incidence sur la continuité des opérations
C. des volumes de transactions passés
D. Création d'un système de classification des données

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 689
Laquelle des conclusions suivantes aurait le plus grand impact sur l'objectif d'un système d'intelligence d'affaires ?

A. Le contrôle des clés n'a pas été testé depuis un an.

B. Les requêtes d'aide à la décision utilisent des fonctions de base de données exclusives au fournisseur.
C. Le site chaud pour la reprise après sinistre n'inclut pas le système d'aide à la décision.
D. Les rapports de gestion n'ont pas été évalués depuis la mise en œuvre.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 690
Lors de l'examen des processus de gouvernance informatique d'une organisation, lequel des éléments suivants fournit la meilleure indication que les attentes en
matière de sécurité de l'information sont satisfaites à tous les niveaux ?

A. Réalisation des mesures de sécurité établies

B. Approbation du programme de sécurité par la haute direction
C. d'une norme de sécurité internationalement reconnue
D. Mise en œuvre d'un programme complet de sensibilisation à la sécurité

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 691
Lequel des éléments suivants est l'avantage le plus important de l'implication de l'audit SI lors de la mise en œuvre de la gouvernance de l'informatique d'entreprise ?

A. Déterminer les rôles pertinents pour un cadre de gouvernance des TI d'entreprise

B. Vérification du respect des exigences légales, réglementaires et contractuelles
C. de décisions concernant la réponse aux risques et la surveillance des risques résiduels
D. Fournir un retour d'information indépendant et objectif pour faciliter l'amélioration des processus informatiques

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 692
Laquelle des actions suivantes est la plus appropriée pour formaliser la gouvernance informatique dans une organisation ?

A. Évaluation de la stratégie informatique

B. Modification des objectifs et de la stratégie informatiques
C. d'un comité directeur informatique
D. Mise en œuvre de la gestion des risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 693
Lequel des éléments suivants est le PLUS important pour un auditeur SI à prendre en compte lors d'un examen de la gouvernance informatique d'une organisation ?

A. Affectation des fonds

B. Méthodologie de gestion des risques
C. de service définis
D. Responsabilités décisionnelles

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 694
Laquelle des conclusions suivantes devrait être la plus préoccupante pour un auditeur SI lors de l'évaluation de la gouvernance de la sécurité de l'information au sein d'une organisation ?

A. Le gestionnaire du centre de données a l'approbation finale des projets de sécurité.

B. Le comité de surveillance de la sécurité de l'information se réunit tous les trimestres.
C. Le département de la sécurité de l'information a du mal à pourvoir les postes vacants.
D. Les politiques de sécurité de l'information ont été mises à jour pour la dernière fois il y a deux ans.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 695
Lors de l'examen des résultats des tests du plan de continuité des activités (PCA), il est TRÈS important pour l'auditeur du SI de déterminer si le test :

A. vérifie la capacité de reprendre les principales activités commerciales.

B. tient compte des changements apportés à l'environnement des systèmes.
C. évalue la capacité de récupérer les documents d'état civil.
D. assure le suivi des activités qui ont eu lieu depuis le test précédent.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 696
Lors de l'examen du plan de continuité d'activité (PCA) d'une organisation, un auditeur SI constate qu'une application récemment développée n'est pas incluse.
L'auditeur du SI doit :

A. s'assurer que la criticité de l'application est déterminée.

B. ignorer l'observation car l'application n'est pas critique.
C. inclure dans les constatations de l'audit que le PCA est incomplet.
D. recommander que la demande soit intégrée au PCA.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 697
La meilleure méthode qu'une organisation puisse utiliser pour aligner son plan de continuité d'activité (PCA) et son plan de reprise après sinistre (PRA) sur les besoins de base de l'entreprise est de :

A. exécuter des revues périodiques des plans.

B. mettre à jour l'analyse des répercussions sur les activités (OPA) pour les changements importants dans les activités.
C. sous-traiter la maintenance du PCA et du PRA à un tiers.
D. inclure les responsabilités en matière de PCA et de PRA dans le cadre de la formation des nouveaux employés.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 698
Lorsqu'il se prépare à évaluer l'efficacité de la stratégie informatique d'une organisation, un auditeur SI doit d'abord examiner :

A. Procédures de sécurité de l'information.

B. le cadre de gouvernance des TI.
C. les résultats de l'audit le plus récent.
D. Processus et procédures informatiques.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 699
Lequel des éléments suivants est le PLUS grand avantage de l'utilisation d'un cadre pour guider la gouvernance informatique d'une organisation ?

A. Il permet d'assurer la cohérence des investissements informatiques stratégiques dans l'ensemble de l'organisation.
B. Il permet une meilleure gestion du budget informatique annuel fourni par le conseil d'administration.
C. Il permet d'améliorer la sécurité des systèmes à haut risque dans l'organisation.
D. Il permet d'atteindre des niveaux de service entre les services informatiques et les véritables départements commerciaux.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 700
Laquelle des observations suivantes devrait être la plus grande préoccupation pour un auditeur des SI qui effectue un examen de la structure de gouvernance des TI d'une organisation ?

A. Le directeur de la gestion des risques est également le directeur de l'information.

B. Il est interdit au directeur des systèmes d'information de prendre des décisions en matière d'investissement concernant les technologies de l'information.
C. Le comité directeur de la TI supervise le budget de la TI.
D. Il n'y a pas d'attentes en matière de TI au sein du conseil d'administration.
Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 701
Une organisation a récemment mis en œuvre un cadre de TI reconnu par l'industrie pour améliorer l'efficacité globale de la gouvernance de la TI. Lequel des
énoncés suivants permettrait le mieux à un auditeur de SI d'accéder à la mise en œuvre par rapport au cadre ?

A. Modèle de maturité des capacités

B. Indicateurs clés de risque (IRC)
C. comparative de l'industrie
D. Tableau de bord prospectif

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 702
Une organisation prévoit permettre à des tiers de collecter des données personnelles sur les clients à partir d'une plateforme de fidélisation de détail via une
interface de programmation d'application (API). Lequel des éléments suivants doit être la considération PRINCIPALE lors de la conception de cette API ?

A. Politiques de gouvernance des données

B. Résilience du système
C. Conformité réglementaire
D. Disponibilité des données

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 703
Lequel des éléments suivants fournirait à la direction l'assurance la plus raisonnable qu'un nouvel entrepôt de données répondra aux besoins de l'organisation ?

A. Nommer des gestionnaires de données pour assurer une gouvernance efficace des données
B. Classification des problèmes de qualité des données en fonction de la gravité de leur incidence sur l'organisation
C. des exigences en matière de données dans le cycle de vie du développement du système (SDLC)
D. Faciliter une communication efficace entre la direction et les promoteurs

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 704
Lequel des éléments suivants a la PLUS grande influence sur le succès de la gouvernance informatique ?

A. La stratégie de TI est intégrée à tous les processus de gestion des risques

B. Alignement des stratégies informatiques sur la vision de l'entité
C. Le DPI est membre du comité d'audit
D. Politiques de SI claires, concises et appliquées

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 705
Laquelle des étapes suivantes est la plus importante dans l'élaboration d'un plan d'action efficace en matière de gouvernance des TI ?

A. Réalisation d'une analyse d'impact sur les activités (ARA)

B. Préparation d'une déclaration de sensibilité
C. en place d'un cadre de gouvernance informatique pour le processus
D. Mesure des indicateurs clés de performance (KPI) de la gouvernance des TI

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 706
Laquelle des fonctions de gouvernance suivantes est chargée de s'assurer que les projets de TI disposent de ressources suffisantes et sont classés par ordre de priorité approprié ?

A. Conseil d'administration
B. Gestion informatique
C. directeur des technologies de l'information
D. Direction générale

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 707
Lequel des éléments suivants est un avantage d'exiger de la direction qu'elle publie un rapport aux parties prenantes concernant les contrôles internes de la TI ?

A. Transparence des coûts informatiques

B. Amélioration de la gestion du portefeuille
C. de la gestion des coûts
D. Accent sur la gouvernance des TI

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 708
Le rôle d'un auditeur de SI en matière de confidentialité et de sécurité est de :

A. aider à l'élaboration d'une stratégie de sécurité du SI.

B. vérifier le respect des lois applicables.
C. mettre en œuvre des méthodes de gestion des risques.
D. aider le comité directeur de la gouvernance à mettre en œuvre une politique de sécurité.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 709
Lequel des éléments suivants devrait être la plus grande préoccupation d'un auditeur des SI qui examine l'initiative d'une organisation d'adopter un cadre de gouvernance d'entreprise ?

A. L'organisation n'a pas identifié les facteurs opérationnels pour l'adoption du cadre.
B. Le département de sécurité de l'organisation n'a pas été impliqué dans l'initiative.
C. L'organisation a essayé d'adopter l'ensemble du cadre en même temps.
D. L'organisation n'a pas fourni de formation officielle aux employés sur le cadre.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 710
Lequel des processus informatiques suivants est susceptible d'avoir le PLUS grand risque réglementaire inhérent ?

A. Gestion de projets informatiques

B. Gestion des données
C. des capacités
D. Gestion des ressources informatiques

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 711
Lequel des énoncés suivants est la meilleure indication qu'une organisation a atteint la conformité légale et réglementaire ?

A. Le conseil d'administration et la haute direction acceptent la responsabilité de la conformité.

B. Un consultant indépendant a été nommé pour assurer la conformité légale et réglementaire.
C. audits externes et internes périodiques n'ont pas permis de déceler de cas de non-conformité.
D. Le processus de gestion des risques intègre la non-conformité comme un risque.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 712
Lequel des éléments suivants est l'obstacle le plus important à la mise en place d'un nouveau programme de protection de la vie privée ?

A. Chevauchement non résolu des rôles et des responsabilités en matière de sécurité et de protection de la vie privée
B. Un programme de formation insuffisant en matière de sensibilisation à la protection de la vie privée
C. paysage juridique et réglementaire complexe
D. Défaut d'effectuer une analyse des répercussions sur les activités (OPA)

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information
QUESTION 713
Lequel des éléments suivants est la meilleure preuve qu'une organisation est au courant des lois et règlements applicables ?

A. La matrice de conformité de l'organisation

B. Historique des actions en justice et de la correspondance réglementaire
C. L'existence d'un programme de formation de sensibilisation des employés
D. Résultats de l'analyse comparative de l'industrie

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 714
Lequel des éléments suivants est le plus important à prendre en compte lors de l'examen d'un contrat de service tiers pour les services de reprise après sinistre ?

A. Les objectifs de point de récupération (RPO) et les objectifs de temps de récupération (RTO) sont inclus dans l'accord.
B. Le prix le plus bas possible est obtenu pour le service rendu.
C. Les exigences en matière de sécurité et de réglementation sont abordées dans l'accord.
D. Des dispositions existent pour conserver la propriété intellectuelle en cas de résiliation.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 715
Une nouvelle réglementation dans un pays d'une organisation mondiale a récemment interdit le transfert transfrontalier de données personnelles. Un auditeur des SI
a été chargé de déterminer le niveau d'exposition de l'organisation dans le pays touché. Lequel des éléments suivants serait le plus utile pour faire cette évaluation ?

A. Identification des menaces à la sécurité des données dans la juridiction concernée

B. Examen des procédures de classification des données associées à la juridiction touchée
C. Identification des processus opérationnels associés à l'échange de données personnelles avec la juridiction concernée
D. Dresser un inventaire de toutes les entités commerciales qui échangent des données personnelles avec la juridiction concernée

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 716
Une nouvelle norme réglementaire pour la confidentialité des données exige qu'une organisation protège les informations personnelles identifiables (PII). Lequel des
éléments suivants est le plus important à inclure dans le plan de mission d'audit pour accéder à la conformité à la nouvelle norme ?

A. Identification des systèmes informatiques qui hébergent des informations personnelles

B. Examen des scénarios de risque de perte de données
C. Identification des informations personnelles non cryptées
D. Examen des procédures de protection des données

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 717
Lequel des tests suivants fournirait la meilleure assurance qu'une organisation de soins de santé traite les données des patients de manière appropriée ?

A. Respect des lois et réglementations locales

B. Conformité aux politiques et procédures de l'organisation
C. des plans d'action résultant des audits récents
D. Conformité aux normes et aux meilleures pratiques de l'industrie

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 718
Laquelle des sources suivantes est la MEILLEURE source d'information qu'un auditeur de SI peut utiliser comme base de référence pour évaluer la pertinence de la politique de confidentialité d'une organisation ?

A. Études comparatives d'organisations similaires

B. Normes et réglementations locales en matière de protection de la vie privée
C. Atteintes historiques à la vie privée et causes profondes connexes
D. Pratiques exemplaires en matière de protection de la vie privée acceptées à l'échelle mondiale

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 719
Un auditeur SI examine les normes et les exigences de conformité liées à un audit des systèmes à venir. L'auditeur note que les normes de l'industrie sont moins élevées
plus strictes que les normes réglementaires locales. Comment l'auditeur doit-il procéder ?

A. Audit selon les normes les plus exigeantes.

B. Audit exclusivement selon les normes de l'industrie.
C. Coordonner avec les agents de réglementation pour déterminer les exigences nécessaires.
D. Vérification des politiques et procédures de l'organisation.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 720
Un nouveau règlement oblige les organisations à signaler les incidents de sécurité importants à l'organisme de réglementation dans les 24 heures suivant
l'identification. Laquelle des recommandations suivantes est la MEILLEURE de l'auditeur du SI pour faciliter la conformité au règlement ?

A. Inclure l'exigence dans le plan d'intervention de la gestion des incidents.

B. Établir des indicateurs clés de performance (KPI) pour identifier rapidement les incidents de sécurité.
C. Améliorer la fonctionnalité d'alerte du système de détection des intrusions (IDS).
D. Engager un expert externe en réponse aux incidents de sécurité pour le traitement des incidents.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 721
À la suite d'une acquisition, il a été décidé que les applications existantes soumises à des exigences de conformité continueront d'être utilisées jusqu'à ce qu'elles
puissent être progressivement supprimées. L'auditeur du SI doit déterminer où il y a des redondances de contrôle et où il peut exister des lacunes. Laquelle des
activités suivantes serait LA PLUS utile pour prendre cette décision ?

A. Auto-évaluation des contrôles

B. Évaluation des risques
C. Essais de contrôle
D. Cartographie des contrôles

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 722
Une région où une organisation exerce ses activités a annoncé des changements dans la législation sur la protection de la vie privée. Lequel des éléments suivants
un auditeur de SI devrait-il faire en premier pour se préparer aux changements ?

A. Effectuer une analyse des lacunes avec les procédures actuelles en matière de protection de la vie privée.
B. Fournir des suggestions de mises à jour des procédures de protection de la vie privée de l'organisation.
C. Communiquer les modifications apportées à la législation sur la protection de la vie privée au service juridique.
D. Concevoir des contrôles compensatoires conformes à la nouvelle législation sur la protection de la vie privée.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 723
Lequel des énoncés suivants est le moyen le plus efficace pour un auditeur SI d'identifier les modifications non autorisées de l'état de production d'une application métier critique ?

A. Exécutez une analyse automatisée de l'environnement de production pour détecter les correctifs logiciels manquants.
B. Comparez une liste de modifications du système de production avec la base de données de gestion de la configuration (CMDB).
C. Examiner les modifications récemment approuvées apportées aux interfaces de programmation d'applications (API) dans l'environnement de production.
D. Examinez les mises à jour récentes de la base de données de gestion de la configuration (CMDB) pour vérifier la conformité aux stratégies informatiques.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 724
Lors de la création d'un nouveau programme de gestion des risques, il est ESSENTIEL de prendre en compte :

A. l'appétit pour le risque.

B. les mesures de conformité.
C. Techniques d'atténuation des risques.
D. Utilisation des ressources.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des TI Lequel des
QUESTION 725
énoncés suivants est le MEILLEUR moyen d'accroître la conformité des utilisateurs finaux aux politiques de sécurité de l'information ?

A. Formation régulière de sensibilisation

B. Audit et examen périodiques
C. d'un logiciel de surveillance
D. Établir une politique de dénonciation

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 726
Un rapport d'audit qui précise la responsabilité de la fermeture des problèmes de non-conformité est MIEUX amélioré en incluant :

A. des mesures d'atténuation détaillées.

B. une liste du personnel de vérification qui supervisera les mesures correctives.
C. Estimations des coûts de l'assainissement.
D. les dates cibles pour l'assainissement.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 727
Un auditeur SI est chargé de revoir les procédures qualité du service SI. En communiquant avec le gestionnaire des SI, le vérificateur constate qu'il existe un
ensemble informel de normes non écrites. Laquelle des mesures suivantes devrait être la prochaine action de l'auditeur ?

A. Finaliser la vérification et faire rapport de la constatation.

B. Faire des recommandations à la direction du SI quant aux normes de qualité appropriées.
C. Reporter l'audit jusqu'à ce que la direction du SI mette en œuvre des normes écrites.
D. Documenter et tester la conformité aux normes informelles.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 728
Quelle fonction du module d'achat d'un système de planification des ressources d'entreprise (ERP) garantit que les paiements ne sont pas émis pour des factures incorrectes ?

A. Numéros de paiement séquentiels

B. Compatibilité à trois
C. Niveaux de pouvoir d'achat
D. Approbation du flux de travail de gestion

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 729
Lequel des éléments suivants est la MEILLEURE façon pour un enquêteur en informatique de détecter des preuves de stéganographie ?

A. Comparez les hachages de fichiers entre les fichiers image originaux et modifiés.
B. Identifier et analyser les propriétés émergentes dans les métadonnées d'un système de fichiers.
C. Récupérer les fichiers supprimés d'un disque dur suspect à l'aide d'un logiciel d'investigation.
D. Analyser les systèmes d'exploitation informatiques à l'aide d'outils d'administration.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 730
Lequel des contrôles suivants garantit le plus efficacement que les commandes transmises d'un bureau de vente à un entrepôt de production sont reçues de
manière précise et complète ?

A. Les totaux des transactions et le nombre d'enregistrements doivent être envoyés et rapprochés avant le traitement des transactions.
B. La vérification de la parité devrait être intégrée à toutes les transmissions de données.
C. Les données doivent être renvoyées au site d'origine et comparées à celles qui ont été envoyées à la production.
D. La continuité des séquences numériques pour toutes les commandes client doit être vérifiée.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 731
Lequel des éléments suivants un auditeur SI doit-il utiliser pour vérifier qu'une correspondance à trois facteurs s'est produite dans un système de planification des ressources
d'entreprise (ERP) ?
A. Avis de livraison des marchandises
B. Demande d'achat
C. Confirmation bancaire
D. Bon de commande

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 732
Lequel des éléments suivants présente le PLUS grand risque pour l'applicabilité des politiques de mise en réseau dans un environnement virtualisé ?

A. Transmission de données sur les réseaux publics

B. Absence de chiffrement pour les données au repos
C. d'une infrastructure à clé publique
D. Manque de visibilité sur les réseaux

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 733
Lequel des éléments suivants est le plus utile pour établir l'authenticité d'une preuve numérique recueillie sur un disque dur ?

A. Image bit par bit du disque dur

B. Hachage des fichiers sur le disque dur
C. de la chaîne de traçabilité
D. Confirmation par témoins

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 734
Laquelle des solutions suivantes est la solution la plus efficace pour une organisation de soins de santé multi-sites qui souhaite pouvoir accéder aux données
des patients où que les patients se présentent pour des soins ?

A. Segmentation du réseau
B. Fournisseur de logiciels en tant que service (SaaS)
C. dynamique
D. Fournisseur d'infrastructure en tant que service (IaaS)

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 735
Le service SI est évalué mensuellement sur son ratio coûts-revenus, son taux de satisfaction des utilisateurs et les temps d'arrêt des ordinateurs. Cela
peut MIEUX être caractérisé comme une application de :

A. auto-évaluation des contrôles (ASC).

B. tableau de bord prospectif.
C. Analyse de la chaîne de valeur.
D. cadre de contrôle des risques.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 736
Quelle est la MEILLEURE façon de contrôler les mises à jour du fichier principal du fournisseur dans un système de comptabilité fournisseurs ?

A. Utilisation de formulaires de demande prénumérotés et autorisés

B. Avoir une seule personne pour mettre à jour le fichier maître
C. Examiner périodiquement l'ensemble du fichier principal du fournisseur
D. Comparaison des mises à jour par rapport à l'autorisation

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 737
Au cours d'une enquête sur les transactions dans un système bancaire central, des transactions frauduleuses sont découvertes qui nécessiteront l'intervention
des forces de l'ordre. Laquelle des actions suivantes doit être faite en premier ?
A. S'assurer que les preuves sont préservées.
B. Lancer des procédures d'intervention en cas d'incident.
C. Évaluer l'impact sur l'entreprise.
D. Aviser la direction de l'audit interne.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 738
Une organisation a externalisé sa fonction de traitement des données à un fournisseur de services. Lequel des énoncés suivants déterminerait le mieux si le
fournisseur de services continue d'atteindre les objectifs de l'organisation ?

A. Audits périodiques des contrôles par un auditeur indépendant

B. Adéquation de l'assurance du prestataire de services
C. Évaluation des processus de formation du personnel du prestataire
D. Examen des résultats par rapport aux accords sur le niveau de service (SLA)

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 739
Lequel des éléments suivants faciliterait le mieux la mise en œuvre réussie d'un cadre lié aux TI ?

A. Harmonisation du cadre avec les pratiques exemplaires de l'industrie

B. Impliquer une représentation appropriée des entreprises dans le cadre
C. de comités chargés d'appuyer et de superviser les activités du cadre
D. Documentation des politiques et procédures liées à la TI

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 740
La principale raison de remplacer les chèques par des systèmes de transfert électronique de fonds (TEF) dans le domaine des comptes créditeurs est de :

A. accroître la crédibilité de l'organisation.

B. réduire le risque de modifications non autorisées du trafic des paiements.
C. réduire le nombre de formulaires de paiement sur papier.
D. augmenter l'efficacité du processus de paiement.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 741
Dans un environnement où la plupart des services informatiques ont été externalisés, la planification de la continuité est MIEUX contrôlée par :

A. Gestion externalisée des prestataires de services.

B. la gestion d'entreprise.
C. spécialistes de la planification de la continuité.
D. Gestion informatique.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 742
Lequel des éléments suivants est le plus important à inclure dans un plan de continuité des activités (PCA) ?

A. Coordonnées du fournisseur
B. des systèmes critiques
C. des plans d'étage des centres de données
D. Informations sur l'emplacement du site de sauvegarde

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 743
Une organisation souhaite tester la continuité des activités à l'aide d'un scénario dans lequel de nombreux travailleurs à distance tentent d'accéder aux données
de production en même temps. Laquelle des méthodes suivantes est la MEILLEURE méthode de test dans cette situation ?

A. Test de basculement d'application.

B. Tests de résistance du réseau.
C. Essais sur d'autres sites.
D. Tests d'intrusion dans le réseau.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 744
Un auditeur du SI effectue un audit du plan de continuité des activités (PCA) et constate que le plan n'a pas été testé depuis cinq ans. Cependant, le plan
a été activé avec succès lors d'une récente panne de courant prolongée. Lequel des énoncés suivants est la MEILLEURE ligne de conduite de l'auditeur
des SI ?
A. Déterminer si les leçons tirées de l'activation ont été intégrées au plan.
B. Déterminer si l'analyse d'impact sur les activités (BIA) est toujours exacte.
C. Déterminer si une vérification de suivi de la PCA est nécessaire pour cerner les lacunes futures.
D. Déterminer si le programme annuel de formation sur la PCA doit être révisé.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 745
Pour évaluer la priorité accordée aux systèmes couverts par le plan de continuité des activités (PCA) d'une organisation, un auditeur des SI doit D'ABORD :

A. examiner les résultats des tests précédents du plan de continuité des activités (PCA).
B. Passez en revue les processus de sauvegarde et de restauration.
C. vérifier les critères de sélection du site de reprise après sinistre.
D. valider les objectifs de temps de récupération et les objectifs de point de récupération.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 746
Lequel des éléments suivants est la condition préalable la plus importante à la mise en œuvre d'un outil de prévention des pertes de données (DLP) ?

A. Déterminer où se trouvent les données existantes et établir une matrice de classification des données.
B. Exiger des utilisateurs qu'ils enregistrent les fichiers dans des dossiers sécurisés au lieu d'un Drive partagé à l'échelle de l'entreprise
C. des journaux de transfert de données pour déterminer les tendances historiques du flux de données
D. Élaboration d'une politique DLP et exigence d'un accusé de réception signé par les utilisateurs

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 747
La politique de sécurité informatique d'une organisation stipule que les identifiants des utilisateurs doivent identifier de manière unique les personnes et que
les utilisateurs ne doivent pas divulguer leurs mots de passe. Un auditeur du SI découvre que plusieurs identifiants utilisateurs génériques sont utilisés.
Lequel des énoncés suivants est le plan d'action le plus approprié pour l'auditeur ?
A. Enquêter sur la non-conformité.
B. Inclure la constatation dans le rapport de vérification final.
C. Recommander des mesures disciplinaires.
D. Recommander un changement de politique de sécurité.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 748
Une organisation prévoit de lancer une présence sur les médias sociaux dans le cadre d'une nouvelle campagne de service à la clientèle. Lequel des éléments
suivants est le risque le plus important du point de vue d'un litige potentiel ?

A. La politique indiquant ce que les employés peuvent publier au nom de l'organisation n'est pas claire.
B. L'accès aux comptes de médias sociaux parrainés par l'entreprise ne nécessite qu'une authentification à facteur unique.
C. Les employés approuvés peuvent utiliser des appareils personnels pour publier au nom de l'entreprise.
D. Il n'y a pas de procédures claires pour répondre aux clients sur les médias sociaux.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 749
Laquelle des observations suivantes notées lors d'un examen des pratiques de l'organisation en matière de médias sociaux devrait préoccuper le plus le vérificateur du SI ?

A. L'organisation n'a pas besoin d'approbation pour les publications sur les médias sociaux.
B. Plus d'un employé est autorisé à publier sur les médias sociaux au nom de l'organisation.
C. Les employés qui utilisent les médias sociaux n'ont pas tous participé au programme de sensibilisation à la sécurité.
D. L'organisation n'a pas de politique documentée sur les médias sociaux.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 750
Un auditeur SI effectue une revue des systèmes d'information d'une organisation et découvre des données qui ne sont plus nécessaires aux applications métiers.
Laquelle des recommandations suivantes serait la MEILLEURE recommandation de l'auditeur des SI ?

A. Demandez au dépositaire de données de le supprimer après confirmation de l'utilisateur professionnel.

B. Évaluez les données conformément à la politique de conservation.
C. Sauvegardez les données sur un support amovible et stockez-les dans un endroit sécurisé.
D. Conservez les données et protégez-les à l'aide d'une politique de classification des données.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 751
Lequel des énoncés suivants fournit à un auditeur SI la PLUS grande assurance qu'une organisation est conforme aux exigences légales et réglementaires ?

A. Le responsable informatique est responsable de la conformité de l'organisation aux exigences légales et réglementaires.
B. Les contrôles associés aux exigences légales et réglementaires ont été identifiés et mis à l'essai.
C. La haute direction a fourni une attestation de conformité aux lois et aux règlements.
D. Il n'y a pas d'antécédents de plaintes ou d'amendes de la part des organismes de réglementation concernant la non-conformité.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 752
Un auditeur du SI examine les politiques informatiques et a constaté que la plupart des politiques n'ont pas été révisées depuis plus de 3 ans. Le risque le plus
important est que les politiques ne reflètent pas :

A. les exigences légales actuelles.

B. la vision du PDG.
C. la mission de l'organisation.
D. les meilleures pratiques actuelles de l'industrie.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 753
Lequel des éléments suivants est le PLUS important pour s'assurer que les preuves électroniques recueillies au cours d'une enquête médico-légale seront admissibles dans de futures procédures judiciaires ?

A. Restriction de l'accès aux éléments de preuve aux enquêteurs judiciaires certifiés

B. Engager un tiers indépendant pour effectuer l'enquête judiciaire
C. des procédures d'enquête sur les disques durs d'origine plutôt que sur les images des disques durs
D. Documentation du traitement des éléments de preuve par le personnel tout au long de l'enquête médico-légale

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 754
Lors de la planification d'un audit de conformité, un auditeur SI découvre que l'inventaire des exigences de conformité d'une banque n'inclut pas les évolutions
réglementaires récentes liées à la gestion du risque de données. Que doit faire l'auditeur en premier ?

A. Discutez des problèmes réglementaires potentiels avec le service juridique.

B. Demandez à la direction pourquoi les modifications réglementaires n'ont pas été incluses.
C. Exclure les modifications réglementaires récentes de la portée de l'audit.
D. Signaler les mises à jour réglementaires manquantes au dirigeant principal de l'information (DPI).

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 755
Laquelle des données suivantes serait utilisée lors de la réalisation d'une analyse d'impact sur les activités (BIA) ?

A. Impact prévu des activités actuelles sur les activités futures

B. Coût de la conformité réglementaire
C. coûts-avantages de l'exploitation de l'entreprise actuelle
D. Coûts prévus pour le recouvrement de l'entreprise.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 756
Une organisation a décidé de migrer le traitement de la paie vers une nouvelle plateforme hébergée par un tiers dans un autre pays. Lequel des éléments
suivants est le PLUS important à prendre en compte pour l'auditeur SI ?

A. Conformité du fournisseur de services aux réglementations en matière de protection de la vie privée

B. Si le contrat contient une clause de droit de résiliation
C. du Règlement financier par le prestataire de services
D. Frais de stockage facturés par le prestataire de services

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 757
Quelle est la MEILLEURE façon pour un auditeur SI de faire face au risque associé à la surconservation des données personnelles après avoir identifié un grand
nombre de dossiers clients conservés au-delà de la période de conservation définie par la loi ?

A. Recommander l'automatisation de la suppression des enregistrements au-delà de la période de conservation.

B. Planifier des audits internes réguliers pour identifier les enregistrements à supprimer.
C. Signaler la non-conformité de la période de conservation à l'autorité réglementaire.
D. Transmettre le problème de surconservation au responsable de la confidentialité des données pour un suivi.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 758
À la suite d'une atteinte, quelle est la MEILLEURE source pour déterminer le délai maximal avant que les clients ne soient avisés que leurs renseignements
personnels ont pu être compromis ?

A. Normes de l'industrie
B. Politique de sécurité de l'information
C. Plan d'intervention en cas d'incident
D. Réglementation de l'industrie

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 759
Un auditeur du SI identifie les contrôles clés qui ont été annulés par la direction. La prochaine étape que l'auditeur du SI doit prendre est de :

A. effectuer des procédures pour quantifier les irrégularités.

B. signaler l'absence de contrôles clés aux organismes de réglementation.
C. recommander des contrôles compensatoires.
D. se retirer de l'engagement.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 760
Une réglementation de sécurité exige la désactivation de l'accès direct des administrateurs. Cet accès doit se faire par l'intermédiaire d'un serveur
intermédiaire qui contient les mots de passe administrateur de tous les systèmes et enregistre toutes les actions. La principale préoccupation d'un auditeur
de SI avec cette solution serait que :
A. il n'est pas possible de le mettre en œuvre.
B. il représente un point de défaillance unique.
C. la séparation des tâches n'est pas observée.
D. les journaux d'accès peuvent ne pas être conservés.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 761
Lors d'un audit de la gestion des identités et des accès, un auditeur du SI constate que le plan d'audit de la mission ne comprend pas la mise à l'essai des
contrôles qui régissent l'accès des tiers. Lequel des énoncés suivants serait la MEILLEURE ligne de conduite de l'auditeur ?
A. Prévoyez de tester ces contrôles dans le cadre d'une autre vérification.
B. Signaler la lacune à la direction de l'audit.
C. Ajouter la mise à l'essai des contrôles d'accès de tiers à la portée de l'audit.
D. Déterminer si le risque a été identifié dans les documents de planification.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 762
Laquelle des méthodes suivantes est la MEILLEURE pour convertir un fichier dans un format adapté à l'analyse des données dans une enquête médico-légale ?

A. Extraction
B. Normalisation
C. de données
D. Imagerie

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 763
Lequel des éléments suivants est le PLUS important à inclure dans les procédures de collecte et de préservation des données médico-légales ?

A. Maintien de la chaîne de possession

B. Préservation de l'intégrité des données
C. les outils à utiliser
D. Assurer la sécurité physique des appareils

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 764
Une organisation qui a subi une cyberattaque effectue une analyse médico-légale des ordinateurs des utilisateurs touchés. Lequel des éléments suivants devrait être
la plus grande préoccupation pour l'auditeur du SI qui examine ce processus ?

A. La chaîne de possession n'a pas été documentée.

B. Le service juridique n'a pas été engagé.
C. Un processus d'imagination a été utilisé pour obtenir une copie des données de chaque ordinateur.
D. La vérification n'a été effectuée que pendant l'extraction de l'information.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 765
Lequel des éléments suivants est le rôle PRINCIPAL d'un auditeur SI en matière de confidentialité des données ?

A. Assurer le respect des lois sur la confidentialité des données

B. Communication des exigences en matière de confidentialité des données à l'organisation
C. Rédaction de la politique de confidentialité des données de l'organisation
D. Vérifier que les pratiques de confidentialité correspondent aux déclarations de confidentialité

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 766
Lequel des contrôles suivants garantira le mieux que le conseil d'administration reçoit suffisamment d'informations sur les technologies de l'information ?

A. Le DPI rend compte du rendement et des mesures correctives en temps opportun.

B. Des réunions régulières ont lieu entre le conseil d'administration, le DSI et un comité technologique.
C. Le DSI envoie régulièrement des rapports sur les tendances informatiques au conseil d'administration.
D. Les membres du conseil d'administration connaissent bien les TI et le DPI est consulté sur les questions de TI.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 767
Pour les applications critiques avec un faible objectif de temps de récupération (RTO), laquelle des solutions suivantes est la MEILLEURE stratégie de sauvegarde ?

A. Sauvegardes fréquentes sur bande

B. Mise en miroir
C. de librairies de bandes virtuelles
D. Archivage sur disque classique

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 768
Le moyen le plus efficace de déterminer si l'informatique répond aux exigences de l'entreprise est d'établir :

A. les références de l'industrie.

B. objectifs organisationnels.
C. un modèle de capabilité.
D. key indicateurs de performance (KPI).

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 769
Lequel des rôles suivants, combiné au rôle d'administrateur de base de données, créera un conflit de séparation des tâches ?

A. Assurance de la qualité
B. Analyste de systèmes
C. Utilisateur final de l'application
D. Administrateur de la sécurité

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 770
Lors de la mise à l'essai de la séparation des tâches, laquelle des techniques de vérification suivantes fournit les preuves les plus fiables ?

A. Observation des opérations quotidiennes dans la zone concernée

B. Évaluation de la structure du département via l'organigramme
C. des manuels de procédures ministérielles
D. avec les responsables et les utilisateurs finals

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 771
Lesquels des éléments suivants doivent être examinés dans le cadre d'un test d'intégrité des données ?

A. Exhaustivité
B. Confidentialité
C. des données
D. Redondance

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 772
Lequel des énoncés suivants fournirait le mieux à la haute direction des renseignements à jour sur les coûts liés à la TI et les indicateurs de rendement en TI ?

A. Tableau de bord informatique

B. Registre des risques
C. de gestion des services informatiques
D. Rapports d'audit continu

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 773
Lequel des éléments suivants aidera le plus efficacement à gérer les défis associés aux systèmes d'application développés par l'utilisateur final ?

A. Élaborer des classifications fondées sur le risque

B. Mise en place d'une capacité de soutien redondante
C. de créer des fichiers exécutables
D. Application des pratiques de contrôle utilisées par les TI
Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 774
Lequel des énoncés suivants est le MEILLEUR contrôle compensatoire pour un manque de séparation appropriée des tâches dans un service informatique ?

A. Formulaires d'autorisation
B. Examens des pistes de vérification
C. Journalisation de l'activité du système
D. Autoévaluation des contrôles (ASC)

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 775
La MEILLEURE façon d'évaluer un environnement de contrôle partagé est d'obtenir un rapport d'assurance et d'examiner lequel des éléments suivants ?

A. Autoévaluation des contrôles (ASC)

B. Accord de niveau de service (SLA)
C. de services
D. Contrôles complémentaires des entités utilisatrices

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 776
Lequel des éléments suivants est le PRINCIPAL avantage de l'approche de gestion de portefeuille informatique par rapport à l'approche du tableau de
bord prospectif lors de la gestion des investissements informatiques ?

A. L'influence des facteurs qualitatifs sur les décisions d'investissement.

B. Agilité dans l'ajustement des décisions d'investissement.
C. de la stratégie organisationnelle dans les décisions d'investissement.
D. Utilisation de l'appétit pour le risque de l'organisation dans les décisions d'investissement.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 777
Lequel des éléments suivants est le PRINCIPAL avantage d'inclure la direction et le personnel informatiques lors de l'auto-évaluation des contrôles (CSA) au sein d'une organisation ?

A. Il aide à identifier les risques pour l'entreprise.

B. Il améliore l'efficacité des processus opérationnels commerciaux et informatiques.
C. Cela augmente l'adhésion à des contrôles plus stricts.
D. Il réduit la charge de travail des auditeurs externes et internes.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 778
Dans le service des TI, où la séparation des tâches n'est pas possible en raison d'un nombre limité de ressources, un membre de l'équipe remplit les fonctions
d'opérateur informatique et de réviseur des journaux d'application. Laquelle des recommandations suivantes serait la MEILLEURE recommandation de
l'auditeur des SI ?
A. Élaborer des procédures pour vérifier que les journaux d'application ne sont pas modifiés.
B. Empêcher l'opérateur d'effectuer des activités de développement d'applications.
C. Désigner un deuxième examinateur indépendant pour vérifier les journaux de candidature.
D. Restreindre l'accès de l'opérateur informatique à l'environnement de production.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 779
Un tableau de bord prospectif informatique est le plus utile pour déterminer l'efficacité de laquelle des mesures suivantes ?

A. Contrôles clés de la TI
B. Processus de gestion du changement
C. financière du service informatique
D. Gouvernance de l'informatique d'entreprise

Bonne réponse : D
Explication
Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 780
Pour aider à déterminer si une approche axée sur les contrôles pour l'audit des systèmes financiers d'une entreprise doit être utilisée, quelle séquence de
travaux d'audit des SI est la plus appropriée ?

A. Examen des principales applications financières suivi d'un examen des processus de gouvernance des TI
B. Examen des contrôles des applications suivi d'un test des contrôles des processus opérationnels clés
C. Examen des contrôles généraux des SI suivi d'un examen des contrôles des applications
D. Examen détaillé des opérations financières suivi d'un examen du grand livre général

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 781
Une organisation de services financiers vient d'obtenir une licence bancaire. Lequel des éléments suivants est le plus important pour l'organisation lors de la mise à
jour de sa politique de sécurité informatique ?

A. La politique a été approuvée par le conseil d'administration et la direction générale.

B. La politique doit être révisée à intervalles réguliers.
C. La politique est conforme aux politiques pertinentes en matière de ressources humaines.
D. La politique reflète les exigences législatives et réglementaires.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 782
Une organisation a mis en place une politique d'utilisation acceptable, mais les utilisateurs ne reconnaissent pas officiellement cette politique. Lequel des éléments
suivants est le risque le plus important de cette découverte ?

A. Violation des normes de l'industrie

B. Manque de responsabilisation des utilisateurs
C. des exigences en matière de documentation
D. Manque de données pour mesurer la conformité

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 783
Lors de l'examen du programme de sensibilisation à la sécurité d'une organisation, il est TRÈS important de vérifier que la formation a lieu :

A. sur une base continue.

B. au cours des premiers mois d'emploi.
C. avant que l'accès à l'information ne soit accordé.
D. chaque fois que les stratégies de sécurité sont mises à jour.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 784
Lors d'un audit de sécurité de l'information d'une organisation de taille moyenne, un auditeur du SI constate que la politique de sécurité de l'information de
l'organisation n'est pas suffisante. Quelle est la MEILLEURE recommandation de l'auditeur pour l'organisation ?

A. Identifier et combler les lacunes par rapport à un cadre de meilleures pratiques.

B. Effectuer un benchmark avec les politiques des concurrents.
C. Obtenir l'appui d'un consultant externe pour réécrire la politique.
D. Définir les rôles et les responsabilités pour la mise à jour régulière de la politique.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 785
Lequel des éléments suivants est le PLUS important pour un auditeur de SI à examiner lors de l'évaluation de l'exhaustivité de l'inventaire des informations
personnelles identifiables (PII) d'une organisation ?

A. Flux de données
B. Conservation des données
C. des données
D. Politique de données

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 786
Laquelle des procédures d'audit suivantes est la MEILLEURE pour déterminer si un pare-feu est configuré conformément à la politique de sécurité de l'organisation ?

A. Examen du journal système

B. Révision des paramètres
C. Entretien avec l'administrateur du pare-feu
D. Examen des procédures réelles

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 787
Quel est le moyen le plus efficace pour un auditeur SI de déterminer si les employés comprennent la politique de sécurité de l'information de l'organisation ?

A. Assurez-vous que la politique est à jour.

B. Enquêtez auprès des employés.
C. Examiner le registre de formation des employés de l'organisation
D. S'assurer que la politique est communiquée dans toute l'organisation.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 788
Lequel des domaines d'intérêt suivants relève de la responsabilité de la gestion des TI plutôt que de la gouvernance des TI ?

A. Optimisation des risques

B. Optimisation des ressources informatiques
C. en œuvre des contrôles informatiques
D. Réalisation des avantages

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 789
Lors d'un audit de gouvernance informatique, un auditeur du SI constate que les politiques et procédures informatiques ne sont pas régulièrement revues et
mises à jour. La plus grande préoccupation de l'auditeur du SI est que les politiques et procédures pourraient ne pas :

A. reflètent les pratiques actuelles.

B. incorporer les modifications apportées aux lois pertinentes.
C. être soumis à une assurance de la qualité (AQ) adéquate.
D. inclure les nouveaux systèmes et les changements de processus correspondants.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 790
Lequel des éléments suivants entre dans le champ d'application d'un comité de gouvernance de la sécurité de l'information ?

A. Approbation de l'accès aux systèmes financiers essentiels

B. accordée aux initiatives en matière de technologies de l'information
C. du contenu des programmes de sensibilisation à la sécurité de l'information
D. Sélection des auditeurs externes de l'organisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 791
Lequel des énoncés suivants indique qu'une organisation a mis en place une gouvernance efficace ?

A. L'organisation est conforme aux réglementations gouvernementales locales.

B. Le conseil d'administration de l'organisation exécute la stratégie de gestion.
C. Le conseil d'administration de l'organisation examine les mesures des initiatives stratégiques.
D. L'organisation met régulièrement à jour les politiques et procédures liées à la gouvernance.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 792
Lequel des BEST suivants démontre que la stratégie informatique est alignée sur les buts et objectifs de l'organisation ?

A. Les stratégies organisationnelles sont communiquées au dirigeant principal de l'information (DPI).

B. Les parties prenantes de l'entreprise sont impliquées dans l'approbation de la stratégie informatique.
C. Le dirigeant principal de l'information (DPI) participe à l'approbation des stratégies organisationnelles.
D. Les stratégies de TI sont communiquées à toutes les parties prenantes de l'entreprise.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des
https://www.isaca.org/resources/news-and-trends/industry-news/2020/the-value-of-it-governance
informatiques
QUESTION 793
La charte d'audit d'une organisation PRINCIPALEMENT :

A. décrit le pouvoir des vérificateurs d'effectuer des vérifications.

B. documente le processus d'audit et les normes de reporting.
C. enregistre officiellement les plans de vérification annuels et trimestriels.
D. définit le code de conduite des auditeurs.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 794
Pour décider si un tiers peut être utilisé pour résoudre une violation de sécurité présumée, lequel des éléments suivants devrait être le PLUS important à prendre en
compte pour la gestion informatique ?

A. Approbation de l'audit
B. Coût pour compte de tiers
C. de la priorité des incidents
D. Sensibilité des données

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 795
Lequel des éléments suivants aiderait LE MIEUX à hiérarchiser les différents projets du portefeuille informatique d'une organisation ?

A. Analyses de rentabilisation
B. Coût total de possession (TCO)
C. Tendances de l'industrie
D. Architecture d'entreprise (EA)

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 796
Lors de l'évaluation des pratiques de gestion de base de données, lequel des contrôles suivants favoriserait le plus efficacement l'intégrité des données ?

A. Sortie de traitement du système équilibrée pour contrôler les totaux

B. Vérifications de vérification du système
C. d'accès des utilisateurs
D. Déclarations d'opérations en double générées par le système

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 797
Un auditeur des SI qui effectue un audit de suivi apprend que les recommandations financées précédemment n'ont pas été mises en œuvre en raison des récentes
restrictions budgétaires. Laquelle des actions suivantes l'auditeur devrait-il faire ensuite ?

A. Signaler au comité de vérification que les recommandations sont toujours en suspens.

B. Signalez l'affaire au dirigeant principal des finances (DPF) et recommandez le rétablissement du financement.
C. Clôturer les recommandations d'audit dans le registre de suivi.
D. Entreprendre une vérification du processus d'affectation des fonds de projet.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information
QUESTION 798
Lequel des éléments suivants est le PRINCIPAL avantage de l'utilisation d'un modèle de maturité des capacités ?

A. Il fournit des stratégies détaillées de gestion du changement pour améliorer les performances.
B. Il aide l'organisation à élaborer une feuille de route vers le niveau de maturité souhaité dans chaque domaine.
C. Il fournit un moyen de comparer les niveaux de maturité d'organisations similaires.
D. Il aide l'organisation à estimer le temps qu'il faudra pour atteindre le plus haut niveau de maturité dans chaque domaine.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des
https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2016/building-capability-with-cmmi
informatiques
QUESTION 799
Quelle est la conclusion la plus critique lors de l'examen de la gestion de la sécurité de l'information d'une organisation ?

A. Pas d'évaluations périodiques pour identifier les menaces et les vulnérabilités

B. Pas d'agent de sécurité dédié
C. de charte officielle pour le système de gestion de la sécurité de l'information
D. Aucun programme de formation et d'éducation des employés

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 800
Parmi les éléments suivants, qui doit approuver une version d'une application critique qui rendrait l'application inaccessible pendant 24 heures ?

A. Propriétaire des processus opérationnels

B. Responsable de la sécurité des systèmes d'information (RSSI)
C. Dépositaire de données
D. Chef de projet

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 801
Lors d'une entrevue de départ, la haute direction n'est pas d'accord avec certains des faits présentés dans l'ébauche du rapport d'audit et souhaite qu'ils soient
retirés du rapport. Lequel des énoncés suivants serait la MEILLEURE ligne de conduite de l'auditeur ?

A. Réviser l'évaluation en fonction des objections de la haute direction

B. Recueillir des preuves pour analyser les objections de la haute direction.
C. Transmettre le problème à la direction de l'audit.
D. Finaliser le projet de rapport d'audit sans modification.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 802
Lequel des éléments suivants est le PLUS important à mettre en place pour parvenir à un consensus entre les principales parties prenantes sur la rentabilité des TI ?

A. Architecture d'entreprise normalisée

B. Un processus de refacturation informatique uniforme
C. et gestion des projets informatiques
D. Surveillance du rendement des TI et établissement de rapports

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION N° 803
La mise en œuvre d'un cadre de gouvernance des TI exige que le conseil d'administration d'une organisation :

A. approuver la stratégie informatique.

B. être informé de toutes les initiatives informatiques.
C. avoir un comité de stratégie informatique.
D. traiter les questions techniques de TI.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 804
Une organisation cherche à contrôler les coûts liés aux supports de stockage tout au long du cycle de vie des informations tout en respectant les exigences commerciales et réglementaires.
Lequel des éléments suivants est la MEILLEURE façon d'atteindre cet objectif ?

A. Utilisez la mémoire SSD.

B. Mettre en œuvre une politique de conservation des données.
C. Effectuez des sauvegardes périodiques sur bande.
D. Diffusez les sauvegardes dans le cloud.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 805
Lequel des éléments suivants est le facteur le plus important pour un auditeur SI lors de l'évaluation de l'adéquation de la politique de sécurité de l'information d'une organisation ?

A. Objectifs commerciaux
B. Alignement sur le plan tactique des TI
C. Respect des meilleures pratiques de l'industrie
D. Procès-verbal du comité directeur des TI

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 806
Une organisation a mis en place une politique de cybersécurité l'année dernière. Lequel des énoncés suivants est le MEILLEUR indicateur que la politique pourrait avoir besoin d'être révisée ?

A. Une augmentation significative des tentatives d'attaques externes

B. Une augmentation significative des exceptions approuvées
C. Une augmentation significative des résultats des audits de cybersécurité
D. Une augmentation significative des connexions autorisées avec des tiers

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION N° 807
Lors de l'examen des politiques de sécurité de l'information d'une organisation, un auditeur des SI doit vérifier que les politiques ont été définies PRINCIPALEMENT sur la base des éléments suivants :

A. les meilleures pratiques de l'industrie.

B. un cadre de sécurité de l'information.
C. incidents passés en matière de sécurité de l'information.
D. un processus de gestion des risques.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION N° 808
Lequel des énoncés suivants est la MEILLEURE utilisation d'un modèle de maturité dans une petite organisation ?

A. Élaborer une feuille de route pour que l'organisation atteigne le plus haut niveau de maturité
B. Déterminer les mesures nécessaires pour combler l'écart entre les niveaux de maturité actuels et souhaités
C. avec des organisations homologues ayant atteint le niveau de maturité le plus élevé
D. Évaluer le niveau de maturité actuel et le niveau de conformité aux contrôles clés

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION N° 809
Laquelle des exigences de sécurité de l'information suivantes permet le meilleur suivi des données organisationnelles dans un environnement BYOD (Bring Your Own Device) ?

A. Les employés doivent signer une reconnaissance de la politique d'utilisation acceptable des appareils mobiles de l'organisation.
B. Les employés doivent utiliser des fonctions de verrouillage automatique et des mots de passe complexes sur leurs appareils personnels.
C. Les employés doivent immédiatement signaler la perte ou le vol d'appareils mobiles contenant des données organisationnelles.
D. Les employés doivent inscrire leurs appareils personnels au programme de gestion des appareils mobiles de l'organisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 810
Les utilisateurs finaux exigent la possibilité d'utiliser leurs propres appareils pour le travail, mais veulent garder les informations personnelles hors du
contrôle de l'entreprise. Lequel des éléments suivants serait le plus efficace pour réduire le risque d'incidents de sécurité tout en répondant aux exigences
des utilisateurs ?
A. Exiger des mots de passe complexes
B. Mettre en œuvre une politique d'utilisation acceptable
C. Activer les fonctionnalités d'effacement à distance pour les appareils
D. Chiffrer les données d'entreprise sur les appareils

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 811
Lors de la classification des informations, il est TRÈS important d'aligner la classification sur :

A. Normes de l'industrie
B. Politique de sécurité
C. Risque commercial
D. Exigences en matière de conservation des données

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 812
Laquelle des mesures suivantes serait la mesure la plus utile à prendre en compte par la direction lors de l'examen d'un portefeuille de projets ?

A. Coût total de chaque projet

B. Rendement escompté divisé par le coût total du projet
C. Valeur actualisée nette (VAN) du portefeuille
D. Coût des projets divisé par le coût total des TI

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 813
La direction du SI a récemment désactivé certains contrôles d'intégrité référentielle dans le logiciel de gestion de base de données (SGBD) afin d'offrir aux
utilisateurs des performances de requête accrues. Lequel des contrôles suivants compensera le plus efficacement le manque d'intégrité référentielle ?

A. Outils de surveillance du rendement

B. Sauvegardes de données plus fréquentes
C. Vérification des liens avec les tableaux périodiques
D. Contrôles d'accès simultanés

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 814
Lequel des éléments suivants est le PRINCIPAL avantage de la réalisation d'une évaluation du modèle de maturité ?

A. Il identifie et corrige les faiblesses des attributs.

B. Il assure la cohérence et l'amélioration de l'organisation.
C. Il facilite l'exécution d'un plan d'amélioration.
D. Il agit comme un outil de mesure et un indicateur de progrès.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 815
Lequel des éléments suivants est le PLUS important à prendre en compte lors de l'évaluation des performances d'une application Web critique ?

A. Temps de réponse des applications définies par l'entreprise

B. Retour d'expérience sur les enquêtes de satisfaction client
C. Rôles et responsabilités en matière de rapports
D. Stratégie de surveillance des performances des applications dans le cloud

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 816
Pour déterminer si les mesures de performance informatique d'une organisation sont comparables à celles d'autres organisations du même secteur, lequel des
éléments suivants serait le plus utile à examiner ?

A. Rapports d'utilisation
B. Tableau de bord prospectif
C. comparatives
D. Cadres de gouvernance des TI

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 817
Lequel des énoncés suivants est le meilleur indicateur de l'efficacité du programme de gestion de portefeuille d'une organisation ?

A. Pourcentage des placements atteignant la valeur prévue

B. Niveaux de maturité des processus de gestion de la valeur
C. du personnel chargé de la gestion du portefeuille
D. Perception de la valeur des TI par les parties prenantes

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 818
L'objectif PREMIER de la gestion des niveaux de service informatiques est de :

A. améliorer le contrôle des coûts informatiques.

B. accroître la sensibilisation aux services informatiques.
C. gérer les activités d'exploitation informatique.
D. satisfaire les exigences des clients.

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 819
Une unité commerciale principale s'appuie sur un système hérité efficace qui ne répond pas aux normes de sécurité actuelles et menace le réseau de
l'entreprise. Lequel des énoncés suivants est le MEILLEUR plan d'action pour remédier à la situation ?

A. Exiger que de nouveaux systèmes pouvant répondre aux normes soient mis en œuvre.
B. Documenter les lacunes du registre des risques.
C. Élaborer des processus pour compenser les lacunes.
D. Déconnectez le système hérité du reste du réseau.

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION N° 820
Lequel des éléments suivants permettrait le mieux une prise de décision efficace ?

A. Estimations annualisées des pertes déterminées à partir d'événements de sécurité passés.

B. Une liste universellement appliquée des menaces, des impacts et des vulnérabilités génériques
C. formelle de l'analyse des risques par la direction de l'entreprise
D. Un processus cohérent pour analyser les risques liés aux informations nouvelles et historiques

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 821
Un serveur critique pour un hôpital a été crypté par un ransomware. L'hôpital est incapable de fonctionner efficacement sans ce serveur. Lequel des énoncés
suivants permettrait le plus efficacement à l'hôpital d'éviter de payer la rançon ?

A. Un processus de réplication continue du serveur

B. Un système de sauvegarde hors ligne testé en propriété
C. Un pare-feu configuré par une propriété
D. Formation des employés sur les ransomwares

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 822
Lequel des processus de sécurité suivants empêchera LE MIEUX l'exploitation des vulnérabilités du système ?

A. Gestion des correctifs

B. Surveillance des journaux
C. Logiciel antivirus
D. Détection d'intrusion

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 823
Lequel des éléments suivants est le plus susceptible d'être inclus dans les procédures d'exploitation informatique d'un grand centre de données ?

A. Instructions pour la planification des tâches

B. Procédures de reséquençage du code source
C. Procédures de configuration des services publics
D. Directives sur l'établissement des paramètres de sécurité

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 824
Quel est le principal avantage pour la direction lorsque les fonctions d'audit, de risque et de sécurité sont alignées ?

A. Traitement plus efficace des incidents

B. Réduction du nombre de rapports de certification
C. de décision plus efficace
D. Rapports sur les risques plus rapides

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION N° 825
La réévaluation du risque est LA PLUS critique lorsqu'il y a :

A. Résistance à la mise en œuvre de contrôles d'atténuation

B. un changement de politique de sécurité
C. une demande de la direction pour des rapports de sécurité mis à jour
D. un changement dans le paysage des menaces

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 826
Lequel des éléments suivants est le rôle le plus important du responsable de la sécurité de l'information lorsque l'organisation est en train d'adopter des technologies émergentes ?

A. Comprendre l'impact sur les ressources existantes

B. Évaluation de l'impact sur les organisations homologues utilisant les mêmes technologies
C. la formation des utilisateurs finals pour les familiariser avec la nouvelle technologie
D. Examen de la documentation des fournisseurs et des accords sur les niveaux de service

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 827
Lequel des BEST suivants permet au personnel d'accepter les politiques de sécurité de l'information ?

A. Appui solide de la haute direction

B. adéquat de la sécurité
C. assistée par ordinateur
D. Un solide programme d'intervention en cas d'incident

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 828
Lequel des éléments suivants est l'élément le plus important lors de l'élaboration d'une stratégie de sécurité de l'information ?

A. Identification des lois et règlements applicables

B. Identification des actifs informationnels
C. de la méthode de gestion des risques
D. des activités de sécurité sur les objectifs de l'Organisation
Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 829
Une organisation a externalisé de nombreuses activités de développement d'applications à un tiers qui utilise beaucoup de programmeurs contractuels. Lequel des
éléments suivants fournirait la meilleure assurance que les programmeurs contractuels du tiers respectent les politiques de sécurité de l'organisation ?

A. Effectuer des évaluations périodiques de la sécurité des activités des entrepreneurs.

B. Effectuez des analyses périodiques des vulnérabilités de l'application.
C. Inclure des pénalités en cas de non-conformité dans l'accord contractuel.
D. Exiger la signature annuelle d'accords d'adhésion aux politiques de sécurité.

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 830
Lors du choix des meilleurs contrôles pour atténuer les risques à des niveaux acceptables, la décision du responsable de la sécurité de l'information doit être PRINCIPALEMENT motivée par :

A. Analyse coûts-avantages
B. Exigences réglementaires
C. pratiques
D. Cadre de contrôle

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 831
Quelle est la PREMIÈRE ligne de défense contre les activités criminelles d'initiés ?

A. Validation de l'intégrité du personnel

B. Surveillance des activités des employés
C. d'accords de sécurité par le personnel essentiel
D. Contrôles d'accès stricts et imposés

Bonne réponse : D
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 832
Un responsable de la sécurité de l'information participe à l'élaboration de la demande de propositions pour un nouveau service externalisé. Cela nécessitera que le
tiers ait accès à des informations commerciales critiques. Le responsable de la sécurité doit se concentrer PRINCIPALEMENT sur la définition :

A. Exigences de sécurité pour le processus externalisé

B. Mesures de sécurité
C. de niveau de service (SLA)
D. Méthodes d'établissement des rapports sur les risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 833
La technique la plus utile pour maintenir le soutien de la direction au programme de sécurité de l'information est la suivante :

A. identifier les risques et les conséquences du non-respect des normes

B. Évaluation comparative des programmes de sécurité d'organisations comparables
C. mettre en œuvre un programme complet de sensibilisation et de formation en matière de sécurité
D. informer la direction de la sécurité des opérations commerciales

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 834
Une organisation a élaboré un plan stratégique complet de TI sur trois ans. À mi-chemin du plan, un changement législatif majeur ayant un impact sur l'organisation
est adopté. Lequel des éléments suivants devrait être le prochain plan d'action de la direction ?

A. Élaborer des documents procéduraux spécifiques liés à la législation modifiée.

B. Évaluer la législation pour déterminer si des changements doivent être apportés au plan stratégique de TI.
C. Effectuer une évaluation des risques liés aux modifications législatives.
D. Élaborer un nouveau plan stratégique de TI qui englobe la nouvelle loi.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 835
Lequel des éléments suivants est le facteur le plus important lorsqu'une organisation élabore des politiques et des procédures de sécurité de l'information ?

A. Renvois entre les politiques et les procédures

B. de la mission et des objectifs
C. de la réglementation pertinente
D. Consultation avec la direction

Bonne réponse : C
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 836
Lequel des éléments suivants est l'avantage le plus important de participer aux tests bêta de produits logiciels ?

A. Il améliore le soutien et la formation des fournisseurs.

B. Il permet à une organisation de se familiariser avec les nouveaux produits et leurs fonctionnalités.
C. Il augmente la capacité d'une organisation à retenir le personnel qui préfère travailler avec les nouvelles technologies.
D. Il renforce la sécurité et la confidentialité.

Bonne réponse : B
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 837
Le niveau de maturité de la fonction de support à la gestion des problèmes d'une organisation est optimisé lorsque la fonction :

A. fournit des solutions de manière proactive

B. a officiellement documenté le processus de transmission aux échelons supérieurs.
C. analyse les incidents critiques pour identifier la cause profonde
D. répond aux demandes en temps opportun

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 838
Pour préserver la chaîne de possession après une compromission interne du serveur, laquelle des étapes suivantes devrait être la PREMIÈRE étape ?

A. Prendre une image système incluant le vidage de mémoire

B. Arrêtez le serveur en toute sécurité
C. Reproduire l'attaque en utilisant les preuves restantes
D. Tracer la route d'attaque

Bonne réponse : A
Explication

Explication/Référence :
Section : Gouvernance et gestion des technologies de l'information

QUESTION 839
Lors de la planification de la mise en œuvre d'un nouveau système, une organisation optera pour une
exécution parallèle PRINCIPALEMENT pour :

A. s'assurer que le système respecte le temps de réponse requis par l'utilisateur.

B. valider le traitement du système.
C. faciliter la formation du nouveau personnel.
D. vérifier que les interfaces du système ont été mises en œuvre.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 840
Dans une architecture réseau typique utilisée pour le commerce électronique, un équilibreur de charge se trouve normalement entre :

A. les routeurs et les serveurs web.

B. les serveurs de messagerie et les référentiels de messagerie.
C. les utilisateurs et les passerelles externes.
D. les bases de données et les passerelles externes.

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 841
Une organisation choisit des indicateurs clés de performance (KPI) pour sa gestion de la sécurité de l'information. Lequel des indicateurs clés de performance
suivants fournirait aux parties prenantes les informations les plus utiles sur la gestion des risques liés à la sécurité de l'information ?

A. Temps écoulé entre le signalement initial d'un incident et l'escalade appropriée

B. Temps entre l'identification d'une menace pour la sécurité et la mise en œuvre d'une solution
C. de contrôles de sécurité mis en œuvre
D. Nombre d'incidents de sécurité au cours du dernier trimestre

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 842
Lequel des éléments suivants est un contrôle de détection qui peut être utilisé pour découvrir un accès non autorisé aux systèmes d'information ?

A. Exiger des mots de passe longs et complexes pour accéder au système

B. Mise en place d'un système de gestion des informations et des événements de sécurité (SIEM)
C. Exiger de la vérification interne qu'elle effectue des examens périodiques des journaux d'accès au système
D. Protéger l'accès au centre de données avec l'authentification multifacteur

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 843
Lequel des contrôles suivants utiliserait l'analyse des données ?

A. Évaluation des paramètres de configuration du système de demande de carte de crédit

B. Examen des demandes de carte de crédit soumises au cours du dernier mois pour les champs de données vides
C. Tentative de soumettre des demandes de carte de crédit avec des champs de données vides
D. Examen du document sur les exigences opérationnelles pour le système de demande de carte de crédit

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 844
Lequel des éléments suivants est le MEILLEUR moyen de contrôler la dérive de la portée pendant le développement d'un système d'application ?

A. Impliquer les principales parties prenantes.

B. Mettre en œuvre l'examen du comité directeur du projet.
C. Mettre en œuvre un système de gestion de la qualité.
D. Établir des indicateurs clés de performance (KPI).

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 845
Une organisation utilise un seul compte partagé par le personnel pour sa page de marketing de réseau social. Laquelle des méthodes suivantes est la
MEILLEURE méthode pour maintenir la responsabilité sur le compte ?

A. Examen périodique des droits d'accès

B. Intégration du compte avec une authentification unique
C. Surveillance régulière des journaux du serveur proxy
D. Mise en place d'un processus de vérification du mot de passe du compte

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 846
Une organisation a mis en œuvre une politique de mot de passe améliorée pour les applications d'entreprise, ce qui nécessite beaucoup plus de ressources
d'unité d'affaires pour soutenir les clients. La meilleure approche pour obtenir le soutien de la direction des unités commerciales serait de :

A. développer l'impact positif sur la sécurité de l'information.

B. présenter les résultats de l'analyse comparative de l'industrie aux unités commerciales.
C. discuter du risque et de l'impact des incidents de sécurité s'ils ne sont pas mis en œuvre.
D. présenter une analyse des coûts et des avantages des changements.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information
QUESTION 847
Lors de l'utilisation d'une infrastructure de gestion des informations et des événements de sécurité (SIEM) nouvellement mise en œuvre, lequel des éléments suivants doit être considéré en premier ?

A. Distribution des rapports

B. Cryptage
C. Accordage
D. Conservation

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 848
Une organisation dispose d'un programme BYOD (Bring Your Own Device) approuvé. Laquelle des méthodes suivantes est la plus efficace pour appliquer le
contrôle des applications sur les appareils personnels ?

A. Mettre en œuvre une solution de gestion des appareils mobiles.

B. Établir une politique d'utilisation acceptable des appareils mobiles.
C. Mettre en place un pare-feu d'application Web.
D. Éduquer les utilisateurs sur l'utilisation des applications approuvées.

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 849
Le service RH d'une organisation souhaite externaliser son système de gestion des employés vers une solution hébergée dans le cloud en raison des
fonctionnalités et des économies de coûts offertes. La direction a identifié cette solution comme un besoin commercial et souhaite aller de l'avant. Quel devrait être
le rôle PRINCIPAL de la sécurité de l'information dans cet effort ?
A. S'assurer qu'un audit de sécurité est effectué auprès du fournisseur de services.
B. S'assurer que le fournisseur de services possède les certifications appropriées.
C. Déterminez comment mettre en œuvre la solution en toute sécurité.
D. Expliquer à la direction les problèmes de sécurité associés à la solution.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 850
À quelle phase d'un processus d'intervention en cas d'incident les mesures correctives à apporter à la procédure d'intervention doivent-elles être envisagées et mises en œuvre ?

A. Éradication
B. Identification
C. Examen
D. Confinement

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 851
Une modification d'urgence a été apportée à un système informatique à la suite d'une panne. Lequel des éléments suivants devrait être la plus grande préoccupation
pour le responsable de la sécurité de l'information de l'organisation ?

A. L'équipe des opérations a mis en œuvre le changement sans test de régression.

B. Le changement n'incluait pas une évaluation appropriée des risques.
C. La documentation du changement a été faite après la mise en œuvre.
D. Le responsable de la sécurité de l'information n'a pas examiné le changement avant la mise en œuvre.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 852
Lequel des éléments suivants est le plus critique pour la mise en œuvre réussie de la sécurité de l'information au sein d'une organisation ?

A. De solides compétences en gestion des risques existent au sein du groupe de la sécurité de l'information.
B. Un budget est alloué aux outils de sécurité de l'information.
C. Le responsable de la sécurité de l'information est responsable de la définition de la politique de sécurité de l'information.
D. La sécurité est efficacement commercialisée auprès de tous les gestionnaires et employés.

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Lequel des
QUESTION 853
éléments suivants contribuerait à la compréhension des responsabilités des employés en matière de traitement des données ?

A. Exiger que le personnel reconnaisse les politiques de sécurité

B. Étiquetage des documents selon la classification de sécurité appropriée
C. Mettre en œuvre un programme de formation de sensibilisation à la sécurité adapté
D. Démonstration de l'appui de la haute direction au programme de sécurité

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 854
Une organisation a mis en place un programme de formation obligatoire de sensibilisation à la sécurité de l'information il y a un an. Quelle est la MEILLEURE façon de déterminer son efficacité ?

A. Analyser les réponses d'un sondage auprès des employés sur la satisfaction à l'égard de la formation.
B. Analyser les résultats des rapports d'achèvement de la formation.
C. Analyser les résultats d'un test d'ingénierie sociale.
D. Analyser les constatations des rapports d'audit précédents.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 855
La planification de la mise en œuvre d'un programme de sécurité de l'information est PLUS efficace lorsqu'elle :

A. utilise l'analyse fondée sur les risques pour les projets de sécurité.
B. applique des solutions axées sur la technologie aux besoins identifiés.
C. utilise des arbres de décision pour hiérarchiser les projets de sécurité.
D. applique l'analyse des lacunes aux plans d'activités actuels et futurs.

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 856
Les facteurs les plus importants pour déterminer la portée et le calendrier de la mise à l'essai d'un plan de continuité des activités sont les suivants :

A. les capacités de traitement manuel et le lieu de test.

B. l'importance de la fonction à tester et le coût des tests.
C. le niveau d'expérience du personnel et le lieu de la fonction.
D. les résultats des tests antérieurs et le degré de détail du plan de continuité des activités.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 857
Lequel des éléments suivants permettra d'identifier un écart dans le processus de gestion de la sécurité de l'information par rapport aux normes de bonnes pratiques généralement acceptées ?

A. Analyse des lacunes

B. Évaluation des risques
C. Analyse des répercussions sur les activités
D. Tests d'intrusion

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 858
Lequel des éléments suivants est le plus important pour une organisation avant d'élaborer son plan de reprise après sinistre (PRA) ?

A. Analyse des lacunes en matière de compétences du personnel d'appui

B. Inventaire complet des TI
C. Analyse des répercussions sur les activités
D. Évaluation des risques

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 859
Une équipe de développement d'applications promeut également des changements de production pour une application financière critique. Lequel des éléments
suivants serait le MEILLEUR contrôle pour réduire le risque associé ?
A. Mise en œuvre d'une revue du code de gestion du changement
B. Mise en œuvre d'un processus d'examen par les pairs
C. d'audits périodiques
D. Soumettre les journaux des modifications au gestionnaire d'affaires pour examen

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 860
A start-up souhaite développer un programme de prévention des pertes de données (DLP). La PREMIÈRE étape devrait être de mettre en œuvre :

A. cryptage des données.

B. les contrôles d'accès.
C. Classification des données.
D. formation de sensibilisation à la sécurité.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 861
Une organisation est en train de déployer un nouvel outil logiciel d'inventaire pour remplacer une suite de solutions d'inventaire individuelles vérifiées basées sur
des feuilles de calcul. Lequel des éléments suivants est le plus important pour assurer l'intégrité continue des données dans le nouvel outil d'inventaire ?

A. Restriction de l'accès aux modifications du nouvel outil aux seuls propriétaires de données
B. Assurer la qualité des données au point de saisie
C. Exiger que les points de données clés de l'inventaire soient obligatoires dans le nouvel outil
D. Réalisation d'un examen d'assurance de la qualité après la migration

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 862
Lequel des éléments suivants est le plus important à inclure lors de l'élaboration d'une politique de prévention des pertes de données (DLP) ?

A. Identification des canaux de réseau pertinents nécessitant une protection

B. Identification des utilisateurs, des groupes et des rôles auxquels la politique s'appliquera
C. des mesures d'application
D. Identification du contenu à protéger

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 863
Laquelle des méthodes suivantes est la MEILLEURE méthodologie à utiliser pour estimer la complexité du développement d'une grande application d'entreprise ?

A. Analyse des points de fonction

B. Estimation du coût des logiciels
C. de répartition du travail
D. Analyse du chemin critique

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 864
Lequel des droits d'accès suivants présente le plus grand risque lorsqu'il est accordé à un nouveau membre du personnel de développement du système ?

A. Exécuter l'accès aux bibliothèques de programmes de développement

B. Accès en écriture aux bibliothèques de données de développement
C. Exécuter l'accès aux bibliothèques de programmes de production
D. Accès en écriture aux bibliothèques de programmes de production

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 865
Quel est l'objectif PRINCIPAL de l'évaluation de l'état de préparation des systèmes d'information à la mise en œuvre ?

A. Déterminer si les projets de systèmes informatiques respectent l'échéancier.

B. Déterminer si les systèmes sont conformes à la politique de l'organisation.
C. Déterminer si les systèmes répondent aux besoins des utilisateurs.
D. Déterminer si les systèmes répondent aux exigences de l'entreprise.

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 866
Une organisation envisage d'autoriser les utilisateurs à connecter des appareils personnels au réseau de l'entreprise. Laquelle des actions suivantes doit être faite en premier ?

A. Configurer les utilisateurs sur la solution de gestion des appareils mobiles.

B. Créez des enregistrements d'inventaire des appareils personnels.
C. Mettre en œuvre une politique d'utilisation acceptable.
D. Organiser une formation de sensibilisation à la sécurité.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 867
Lequel des éléments suivants est le plus important pour la mise en place réussie d'un programme de gestion des vulnérabilités de sécurité ?

A. Un inventaire complet des actifs

B. Un plan d'intervention en cas d'incident éprouvé
C. Une politique d'application de correctifs approuvée
D. Un plan d'exercices de simulation solide

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 868
La charte d'audit d'une organisation doit :

A. définir l'orientation stratégique de l'entreprise.

B. détailler les objectifs de l'audit.
C. définir le droit d'accès à l'information des vérificateurs.
D. inclure le plan de vérification du SI.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 869
Lequel des éléments suivants est la considération la plus importante en matière de confidentialité pour une organisation qui utilise un fournisseur de services cloud pour traiter les données des clients ?

A. confidentialité des données doit être surveillée conformément aux normes et aux meilleures pratiques de l'industrie.
B. Toutes les données client transférées au fournisseur de services doivent être déclarées à l'autorité réglementaire.
C. Aucun renseignement personnel ne peut être transféré au fournisseur de services sans le consentement du client.
D. La confidentialité des données doit être gérée conformément à la réglementation applicable à l'organisation.

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 870
Lequel des éléments suivants est essentiel à la mise en place réussie d'une architecture informatique d'entreprise ?

A. Une politique de migration des données bien définie

B. de l'architecture avec celle d'autres organisations
C. architecture englobant uniquement les systèmes critiques
D. organisationnel à la normalisation

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 871
Lequel des éléments suivants est le plus important pour déterminer la faisabilité d'un projet ?

A. Le principal concurrent de l'organisation a lancé un projet similaire.

B. Le comité directeur informatique approuve le projet.
C. Une méthodologie de gestion de projet est établie.
D. La valeur du projet est établie dans une analyse de rentabilisation approuvée.
Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 872
La PRINCIPALE considération lors de la conception d'un plan d'escalade d'incident devrait être de s'assurer que :

A. les actifs informationnels sont classifiés.

B. les parties prenantes appropriées sont impliquées.
C. des risques à fort impact ont été identifiés.
D. les exigences couvrent l'analyse médico-légale.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 873
Lequel des éléments suivants devrait être la considération la plus importante d'un responsable de la sécurité de l'information lors de l'examen de la sécurité
physique d'un centre de données externalisé potentiel ?

A. Facteurs environnementaux de l'emplacement environnant

B. Proximité des services de détection et de répression
C. des connexions des circuits réseau
D. Distance du centre de données par rapport au siège social

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 874
Quelle doit être la considération la plus importante du responsable de la sécurité de l'information lors de la planification d'un test de reprise après sinistre ?

A. Procédures de notification des parties prenantes

B. de l'ensemble de l'Organisation
C. sur les systèmes de production
D. Processus d'escalade documentés

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 875
L'utilisation d'une analyse de rentabilisation pour obtenir un financement pour un investissement en sécurité de l'information est PLUS efficace lorsque l'analyse de rentabilisation :

A. traduit les politiques et les normes de sécurité de l'information en exigences opérationnelles.

B. énonce l'intention de la direction et les directives en matière de sécurité de l'information dans un langage clair.
C. relie l'investissement au plan stratégique de l'organisation.
D. réaligne les objectifs de sécurité de l'information sur la stratégie organisationnelle.

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 876
Une organisation décide d'externaliser ses systèmes de gestion de la relation client à un fournisseur situé dans un autre pays. Lequel des éléments suivants
devrait être l'influence PRINCIPALE dans la décision d'externalisation ?

A. Différences de fuseau horaire

B. Plan de reprise d'activité du prestataire
C. internationales sur la protection de la vie privée
D. Conditions géopolitiques actuelles

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 877
Une organisation est PLUS exposée à l'introduction d'un nouveau ver via l'intranet lorsque :

A. code exécutable est exécuté à partir de l'intérieur du pare-feu

B. Le logiciel système ne subit pas de contrôles d'intégrité
C. les hôtes ont des adresses IP statiques
D. Les fichiers de définition de virus de bureau ne sont pas à jour

Bonne réponse : D
Explication
Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 878
Lequel des éléments suivants est le plus important pour un responsable de la sécurité de l'information à s'assurer qu'il est inclus dans une analyse de rentabilité pour un nouveau système ?

A. Avantages intangibles du système

B. Risque associé au système
C. des contrôles
D. Capacités de journalisation des audits

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 879
Lors d'un examen post-incident. la séquence et la corrélation des actions doivent être analysées
PRINCIPALEMENT sur la base :

A. Entrevues avec le personnel

B. un calendrier consolidé de l'événement
C. Journaux des systèmes concernés
D. documents créés pendant l'incident

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 880
Lequel des BEST suivants permet de résoudre efficacement les problèmes de non-conformité ?

A. Assurance contre le risque

B. Auto-évaluation des contrôles
C. des problèmes dans un registre des risques
D. Exécution d'un plan d'atténuation approuvé

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 881
La MEILLEURE façon d'obtenir du financement de la haute direction pour un programme de sensibilisation à la sécurité est de :

A. répondre aux exigences réglementaires

B. produire un rapport d'analyse d'impact des atteintes potentielles
C. démontrer que le programme réduira adéquatement les risques
D. produire un rapport sur les risques organisationnels

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 882
Dans un environnement de technologie cloud, lequel des éléments suivants poserait le PLUS grand défi à l'enquête sur les incidents de sécurité ?

A. Cryptage des données

B. Accès au matériel
C. client compressées
D. Journaux d'événements non standard

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 883
Un directeur du département financier a décidé d'externaliser l'application budgétaire de l'organisation et a identifié des fournisseurs potentiels. Laquelle des actions
suivantes doit être initiée en premier par le responsable de la sécurité de l'information ?

A. Valider que la connectivité au fournisseur de services peut être effectuée en toute sécurité.
B. Obtenir des rapports d'audit sur l'environnement d'hébergement des fournisseurs de services.
C. Examiner les plans de reprise après sinistre (PRA) des fournisseurs.
D. Harmoniser les rôles du personnel de l'organisation et des fournisseurs de services.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 884
Lorsqu'il envisage d'adopter le BYOD, il est TRÈS important que le responsable de la sécurité de l'information s'assure que :

A. Des contrôles de sécurité sont appliqués à chaque appareil lors de la connexion au réseau
B. les chefs d'entreprise comprennent les risques de sécurité
C. les utilisateurs ont lu et signé des accords d'utilisation acceptable
D. les applications sont testées avant la mise en œuvre

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 885
Hamid doit faire passer les utilisateurs de l'utilisation de l'application de l'ancien système existant au système de remplacement (nouveau). Sa gestionnaire, Lily, a
suggéré qu'il utilise une approche dans laquelle le nouveau système est remplacé par l'ancien système à une date et une heure limites et l'ancien système est
abandonné une fois le passage au nouveau système effectué. Laquelle des approches de changement suivantes est suggérée par Lily ?

A. Passage en parallèle
B. Passage progressif
C. brutal
D. Changement de pilote

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Dans l'approche du changement brusque, le nouveau système est remplacé par
l'ancien système à une date et une heure précises, et l'ancien système est abandonné une fois le passage au nouveau système effectué. Le basculement fait
référence à une approche visant à faire passer les utilisateurs de l'utilisation de l'application de l'ancien système existant au système de remplacement (nouveau).

Le passage à un système plus récent comporte quatre étapes ou activités principales : Conversion des fichiers et des programmes ; Test sur
banc d'essai Installation du nouveau matériel, du nouveau système d'exploitation, du nouveau système d'application et des données migrées.
Planification des opérations et des tests pour la mise en service
ou le changement

Parmi les domaines de risque liés au passage à l'euro figurent :

Intégrité des données Efficacité

du système Défis de la gestion
du changement Enregistrements
en double ou manquants

Les réponses suivantes étaient incorrectes :

Cette technique consiste à exécuter l'ancien système, puis à exécuter l'ancien et le nouveau système en parallèle et enfin à passer complètement au nouveau
système après avoir acquis confiance dans le fonctionnement du nouveau système.

Changement progressif - Dans cette approche, l'ancien système est divisé en modules de livrables. Initialement, le premier module de l'ancien système est
progressivement supprimé à l'aide du premier module d'un nouveau système. Ensuite, le deuxième module du système le plus récent est progressivement
supprimé, en utilisant le deuxième module du système le plus récent et ainsi de suite jusqu'à atteindre le dernier module.

Changement de pilote : Type de changement

non valide. Manuel d'examen de la CISA 2014
Page numéro 172
QUESTION 886
Un groupe de gestion informatique a élaboré une liste de contrôle de sécurité normalisée et l'a distribuée aux auto-évaluateurs de contrôle de chaque unité
organisationnelle. Lequel des éléments suivants est le PLUS GRAND risque dans cette approche ?

A. Un retour d'information tardif peut augmenter les expositions

B. Au fil du temps, la liste de contrôle peut devenir obsolète
C. Les évaluateurs peuvent manipuler les résultats
D. Les vulnérabilités spécifiques à l'entreprise peuvent être négligées

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 887
Lequel des éléments suivants créerait le PLUS grand risque lors de la migration d'un système hérité critique vers un nouveau système ?

A. Utiliser la méthodologie de développement agile

B. Suivre une approche progressive
C. une approche de transition directe
D. Maintien de systèmes parallèles

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 888
Le PLUS GRAND avantage de l'utilisation d'une approche de prototypage dans le développement de logiciels est qu'elle permet de :
A. réduire le temps alloué aux tests et à l'examen des utilisateurs
B. réduire au minimum les changements apportés à la portée du système
C. conceptualiser et clarifier les exigences
D. améliorer l'efficacité des tests d'assurance qualité (AQ)

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 889
A entreprise fait appel à un développeur de logiciels pour un projet. À quels points du plan d'assurance qualité (AQ) du logiciel doit-il être élaboré ?

A. Dans le cadre de la définition du logiciel

B. Pendant la phase de faisabilité
C. les essais d'acceptation
D. Dans le cadre de la phase de conception

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 890
Lors de l'élaboration d'une politique de sécurité de l'information, lequel des éléments suivants assurerait le mieux l'alignement sur les objectifs de l'entreprise ?

A. Intégration des meilleures pratiques de l'industrie

B. entre la politique et les procédures
C. d'un tableau de bord prospectif
D. Contribution des parties prenantes concernées

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 891
Pour élaborer des recommandations significatives en vue de constatations, lequel des éléments suivants est le PLUS important à déterminer et à comprendre pour un auditeur de SI ?

A. Critères
B. Partie responsable
C. Incidence
D. Cause profonde

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 892
Lequel des éléments suivants DOIT être inclus dans les procédures de contrôle des changements d'urgence ?

A. Obtention de l'approbation de la direction des utilisateurs avant la mise en œuvre des modifications
B. Mise à jour des bibliothèques de sources de production pour refléter les changements
C. Utilisation d'un identifiant d'urgence pour faire passer les programmes de production en développement
D. Demande au service d'assistance d'effectuer les modifications

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 893
Lequel des éléments suivants démontrerait le mieux qu'un plan de reprise après sinistre (PRA) efficace est en place ?

A. Évaluation périodique des risques

B. Essai de fonctionnement complet
C. fréquents des sauvegardes
D. Tests annuels sur place

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 894
La raison PRINCIPALE d'allouer suffisamment de temps entre la phase de mise en service d'un nouveau système et la réalisation d'un examen post-mise en œuvre est de :

A. mettre à jour les exigences du projet et la documentation de conception

B. accroître la disponibilité des ressources de l'équipe de mise en œuvre du système
C. permettre au système de se stabiliser en production
D. obtenir l'approbation de la portée de l'examen postérieur à la mise en œuvre

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 895
A modèle de maturité est utile dans l'évaluation de la gestion des services informatiques car il :

A. fournit un point de référence pour l'amélioration des processus

B. définit le niveau de contrôle requis pour répondre aux besoins opérationnels
C. indique les niveaux de service requis pour le secteur d'activité
D. précise le mécanisme nécessaire pour atteindre les niveaux de service définis

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 896
Lequel des éléments suivants devrait être la PREMIÈRE étape lors de la rédaction d'un plan de réponse aux incidents pour un nouveau scénario de cyberattaque ?

A. Planifier les tests de réponse

B. Créer une nouvelle équipe d'intervention en cas d'incident
C. Créer un modèle de rapport
D. Identifier les parties prenantes pertinentes

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION N° 897
Laquelle des pratiques suivantes associées à la planification de la capacité fournit la meilleure assurance que les incidents futurs liés aux performances du serveur
seront évités ?

A. Les accords de niveau de service (SLA) actuels resteront inchangés

B. Répartition proportionnelle des charges de travail de traitement actuelles
C. d'accords pour l'acquisition des services d'infonuagique requis
D. Dupliquer les systèmes de disques existants pour améliorer la redondance et le stockage des données

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 898
Dans un SDLC typique (cycle de vie du développement du système), quel groupe est PRINCIPALEMENT responsable de la confirmation

le respect des exigences ?

A. Comité directeur
B. Gestion des risques
C. qualité
D. Audit interne

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 899
Une entreprise envisage de mettre en place un nouveau système administratif sur de nombreux sites. Le nouveau système contient quatre modules
intégrés. Laquelle des approches de mise en œuvre suivantes serait la plus appropriée ?

A. Mise en œuvre parallèle module par module

B. Essai pilote du nouveau système
C. en œuvre intégrale du nouveau système
D. Fonctionnement parallèle à tous les emplacements

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 900
A modification de la portée d'un projet de TI a été officiellement soumise au gestionnaire de projet. Que doit faire le chef de projet ENSUITE ?

A. Mettre à jour le plan de projet pour refléter le changement de portée

B. Discutez du changement avec l'équipe de projet et déterminez s'il doit être approuvé
C. Transmettre le changement au comité consultatif sur les changements pour approbation
D. Déterminer comment le changement affectera le calendrier et le budget

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information
QUESTION 1
Lequel des éléments suivants devrait être la considération la plus importante lors de la priorisation du financement de projets informatiques concurrents ?

A. Critères utilisés pour déterminer les avantages des projets

B. Compétences et capacités au sein de l'équipe de gestion de projet
C. et exactitude de l'inventaire des projets informatiques
D. Préférences de la haute direction

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 2
Laquelle des activités suivantes doit avoir lieu après une analyse d'impact sur les activités (BIA) ?

A. Identifier les menaces pour l'environnement informatique

B. Identifier les applications critiques
C. Analyser les options de récupération
D. Examiner l'environnement informatique et utilisateur

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 3
La fonction la plus importante d'un plan de continuité des activités est de :

A. S'assurer que les fonctions opérationnelles critiques peuvent être récupérées

B. fournir des procédures d'évaluation des tests du plan de continuité des activités
C. fournir un calendrier des événements qui doivent se produire en cas de sinistre
D. s'assurer que toutes les fonctions de l'entreprise sont rétablies

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 4
Lequel des énoncés suivants est le plus utile pour déterminer si les objectifs de l'informatique sont alignés sur les objectifs de l'organisation ?

A. Tableau de bord prospectif

B. Architecture d'entreprise (EA)
C. clés de performance (ICP)
D. Tableau de bord d'entreprise

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 5
Lors d'un examen de la vérification interne de la mise en œuvre d'un système de recrutement des RH, l'auditeur du SI constate un certain nombre de

Les défauts n'étaient pas résolus au moment de la mise en service du système. Laquelle des tâches suivantes est la tâche la plus importante de l'auditeur avant de formuler une opinion d'audit ?

A. Identifiez la cause profonde des défauts pour confirmer la gravité.

B. Examinez les résultats des tests d'acceptation par l'utilisateur.
C. Vérifier l'acceptation des risques par le comité directeur du projet.
D. Confirmez le calendrier de migration des défauts.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 6
Une entreprise a mis en place une politique de séparation des tâches informatiques. Dans un environnement basé sur les rôles, lequel des rôles suivants
peut être attribué à un développeur d'approches ?

A. Opérateur informatique
B. Administration de la base de données
C. du système
D. Aide d'urgence

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information
QUESTION 7
La MEILLEURE façon d'évaluer l'efficacité d'une application nouvellement développée est de :

A. effectuer un examen post-mise en œuvre.

B. analyser les résultats des tests de charge.
C. examiner les résultats des tests d'acceptation.
D. effectuer un examen préalable à la mise en œuvre.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 8
Quel est le meilleur indicateur de la mise en œuvre réussie de la politique de sécurité de l'information d'une organisation ?

A. Réduction du nombre d'incidents de phishing réussis

B. Réduction du nombre d'appels au service d'assistance
C. Réduction du nombre de pénalités pour non-conformité
D. Réduction du nombre d'événements de sécurité faussement positifs

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 9
Une organisation est en train de décider d'autoriser ou non un programme BYOD (Bring Your Own Device). S'il est approuvé, lequel des éléments suivants devrait
être le premier contrôle requis avant la mise en œuvre ?

A. Configurations de base des appareils

B. Enregistrement de l'appareil
C. Une politique d'utilisation acceptable
D. Un programme de sensibilisation

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 10
Un DSI (directeur des systèmes d'information) a demandé à un auditeur SI de mettre en œuvre plusieurs contrôles de sécurité pour les processus et
systèmes informatiques d'une organisation. L'auditeur doit :

A. effectuer la mission et les audits futurs avec le soin nécessaire.

B. obtenir l'approbation de la direction générale pour la mise en œuvre.
C. refuser en raison de problèmes d'indépendance.
D. communiquer le conflit d'intérêts à la direction de l'audit.

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 11
Un auditeur du SI examinant l'acquisition d'un nouvel équipement considérerait lequel des éléments suivants constitue une faiblesse importante ?

A. Le personnel participant à l'évaluation était au courant des fournisseurs évalués.

B. Des consultants indépendants ont préparé les documents de demande de propositions.
C. critères d'évaluation ont été finalisés après l'évaluation initiale des réponses.
D. La date limite de réponse a été reportée à la demande de fournisseurs potentiels.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 12
Une start-up qui acquiert des serveurs pour son système de prise de commandes est incapable de prédire le volume des transactions. Lequel des éléments
suivants est le plus important à prendre en compte pour l'entreprise ?

A. Évolutivité
B. Configuration
C. Optimisation
D. Compatibilité

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information
QUESTION 13
Une société de sécurité et un fournisseur de services ont fusionné, et le PDG a demandé qu'un ensemble complet de politiques de sécurité soit développé pour la
société nouvellement créée. La meilleure recommandation de l'auditeur du SI serait de :

A. effectuer une évaluation des lacunes des politiques.

B. adopter une politique de sécurité standard de l'industrie.
C. mettre en œuvre les politiques du fournisseur de services.
D. mettre en œuvre les politiques de l'entreprise de sécurité.

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 14
Un comité d'audit examine une évaluation annuelle des risques informatiques. Laquelle des affirmations suivantes est la MEILLEURE justification pour les audits sélectionnés ?

A. Probabilité d'une défaillance d'un processus informatique

B. Principaux contrôles généraux des processus de TI
C. Applications touchées
D. Risques commerciaux sous-jacents

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 15
Lors de l'élaboration d'un plan de vérification des SI axé sur les risques, l'accent doit être mis sur les fonctions :

A. considéré comme important par la direction informatique.

B. avec les contrôles les plus inefficaces.
C. avec le plus grand nombre de menaces.
D. considéré comme essentiel aux opérations commerciales.

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 16
Lequel des éléments suivants est le PLUS GRAND risque associé au développement et à la personnalisation de programmes internes ?

A. L'absence d'environnement de test

B. L'absence d'une fonction d'assurance qualité
C. Le manque d'expertise en matière de codage sécurisé
D. Le manque de documentation pour les programmes élaborés.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 17
Laquelle des situations de contrôle d'accès suivantes représente la faiblesse de contrôle la plus grave ?

A. Les opérateurs informatiques ont accès aux organigrammes au niveau du système.

B. Les programmeurs ont accès au matériel de développement.
C. Les utilisateurs finaux ont accès à des outils d'élaboration de programmes.
D. Les développeurs de systèmes ont accès aux données de production.

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 18
Lequel des énoncés suivants un auditeur des SI pourrait-il recommander pour améliorer les ressources estimées nécessaires au développement du système ?

A. Implication des secteurs d'activité

B. Prototypage
C. Analyse des points de fonction
D. Outils CASE

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 19
Lequel des éléments suivants serait le résultat de l'utilisation d'un processus de modèle de maturité descendant ?
A. Un moyen d'évaluer l'efficacité de processus similaires avec des pairs
B. Identification des processus plus anciens et mieux établis pour assurer un examen en temps opportun
C. des processus présentant le plus de possibilités d'amélioration
D. Un moyen de comparer l'efficacité d'autres processus au sein de l'entreprise

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 20
Laquelle des sources suivantes est la MEILLEURE source d'information pour évaluer la durée d'un projet ?

A. Diagramme de GANTT
B. Estimation des effectifs
C. du chemin critique
D. Budget de planification

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 21
Lequel des éléments suivants est le plus important pour un programme d'auto-évaluation efficace des contrôles ?

A. Détermination de la portée de l'appréciation

B. Évaluation de l'évolution de l'environnement de risque
C. le processus opérationnel
D. Exécution de procédures d'essai détaillées

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 22
Un nouveau responsable de la sécurité de l'information est chargé d'examiner et de réviser la stratégie de sécurité de l'information. La PREMIÈRE ligne de conduite
du responsable de la sécurité de l'information doit être de comprendre :

A. Architecture de sécurité
B. Registre des risques
C. de contrôle interne
D. Stratégie commerciale

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 23
Quel dispositif agissant en tant que traducteur est utilisé pour connecter deux réseaux ou applications de la couche 4 à la couche 7 du modèle ISO/OSI ?

A. Pont
B. Répéteur
C. Routeur
D. Passerelle

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Une passerelle est utilisée pour connecter deux réseaux en utilisant des
protocoles différents aux couches inférieures ou au niveau le plus élevé de la pile de protocoles.

Remarque importante :

Pour les besoins de l'examen, vous devez vous rappeler qu'une passerelle n'est pas synonyme du terme pare-feu.

La deuxième chose dont vous devez vous souvenir est le fait qu'une passerelle agit comme un dispositif de traduction. Il pourrait être utilisé pour traduire d'IPX en
TCP/IP par exemple. Il pourrait être utilisé pour convertir différents types de protocoles d'applications et leur permettre de communiquer entre eux. Une passerelle
peut se trouver à n'importe quelle couche OSI, mais a généralement tendance à être plus haut dans la pile.

Pour votre examen, vous devez connaître les informations ci-dessous :

Un répéteur fournit le type de connectivité le plus simple, car il ne répète que les signaux électriques entre les segments de câble, ce qui lui permet d'étendre un
réseau. Les répéteurs fonctionnent au niveau de la couche physique et sont des dispositifs complémentaires permettant d'étendre une connexion réseau sur une
plus grande distance. L'appareil amplifie les signaux car les signaux s'atténuent au fur et à mesure qu'ils doivent voyager.

Les répéteurs peuvent également fonctionner comme conditionneurs de ligne en nettoyant les signaux. Cela fonctionne beaucoup mieux lors de l'amplification de
signaux numériques que lors de l'amplification de signaux analogiques, car les signaux numériques sont des unités discrètes, ce qui rend l'extraction du bruit de fond
beaucoup plus facile pour l'amplificateur. Si l'appareil amplifie des signaux analogiques, tout bruit d'accompagnement est souvent amplifié également, ce qui peut
déformer davantage le signal. Un hub est un répéteur multi-ports. Un hub est souvent appelé concentrateur car il s'agit du dispositif de communication physique qui
permet à plusieurs ordinateurs et appareils de communiquer entre eux. Une centrale ne comprend pas ou ne fonctionne pas avec les adresses IP ou MAC. Lorsqu'un
système envoie un signal à un autre système qui lui est connecté, le signal est diffusé à tous les ports, et donc à tous les systèmes connectés au concentrateur.
Répéteur

Ponts Un pont est un périphérique LAN utilisé pour connecter des segments LAN. Il fonctionne au niveau de la couche liaison de données et fonctionne donc avec
des adresses MAC. Un répéteur ne fonctionne pas avec les adresses ; il transmet simplement tous les signaux qu'il reçoit. Lorsqu'une trame arrive à un pont, le
pont détermine si l'adresse MAC se trouve ou non sur le segment de réseau local. Si l'adresse MAC ne se trouve pas sur le segment de réseau local, le pont
transmet la trame au segment de réseau nécessaire.

Pont

Routeurs Les routeurs sont des périphériques de couche 3, ou couche réseau, qui sont utilisés pour connecter des réseaux similaires ou différents. (Par exemple, ils
peuvent connecter deux réseaux locaux Ethernet ou un réseau local Ethernet à un réseau local à jeton en anneau.) Un routeur est un périphérique qui possède
deux interfaces ou plus et une table de routage afin qu'il sache comment acheminer les paquets vers leurs destinations. Il peut filtrer le trafic en fonction des listes
de contrôle d'accès (ACL) et fragmenter les paquets si nécessaire. Comme les routeurs ont plus de connaissances au niveau du réseau, ils peuvent exécuter des
fonctions de plus haut niveau, telles que le calcul du chemin le plus court et le plus économique entre les hôtes d'envoi et de réception.

Routeur et commutateur
Commutateurs Les commutateurs combinent les fonctionnalités d'un répéteur et celles d'un pont. Un interrupteur amplifie le signal électrique, comme un
répéteur, et possède les circuits intégrés et l'intelligence d'un pont. Il s'agit d'un périphérique de connexion multiport qui fournit des connexions pour des
ordinateurs individuels ou d'autres concentrateurs et commutateurs.

Passerelles La passerelle est un terme général désignant un logiciel fonctionnant sur un appareil qui connecte deux environnements différents et qui agit souvent
comme un traducteur pour eux ou restreint d'une manière ou d'une autre leurs interactions. Habituellement, une passerelle est nécessaire lorsqu'un environnement
parle une langue différente, ce qui signifie qu'il utilise un certain protocole que l'autre environnement ne comprend pas. La passerelle peut traduire les paquets du
protocole IPX (Internetwork Packet Exchange) en paquets IP, accepter le courrier d'un type de serveur de messagerie et le formater de manière à ce qu'un autre
type de serveur de messagerie puisse l'accepter et le comprendre, ou se connecter et traduire différentes technologies de liaison de données telles que FDDI vers
Ethernet.

Serveur de passerelle
Les réponses suivantes sont incorrectes :

Répéteur - Un répéteur fournit le type de connectivité le plus simple, car il ne répète que les signaux électriques entre les segments de câble, ce qui lui permet
d'étendre un réseau. Les répéteurs fonctionnent au niveau de la couche physique et sont des dispositifs complémentaires permettant d'étendre une connexion
réseau sur une plus grande distance. L'appareil amplifie les signaux car les signaux s'atténuent au fur et à mesure qu'ils doivent voyager.

Ponts - Un pont est un périphérique LAN utilisé pour connecter des segments LAN. Il fonctionne au niveau de la couche liaison de données et fonctionne donc
avec des adresses MAC. Un répéteur ne fonctionne pas avec les adresses ; il transmet simplement tous les signaux qu'il reçoit.

Lorsqu'une trame arrive à un pont, le pont détermine si l'adresse MAC se trouve ou non sur le segment de réseau local. Si l'adresse MAC ne se trouve pas sur le
segment de réseau local, le pont transmet la trame au segment de réseau nécessaire.

Routeurs : les routeurs sont des périphériques de couche 3, ou couche réseau, utilisés pour connecter des réseaux similaires ou différents. (Par exemple, ils peuvent connecter deux
réseaux locaux Ethernet ou un réseau local Ethernet à un réseau local à jeton en anneau.) Un routeur est un périphérique qui possède deux interfaces ou plus et une table de routage
afin qu'il sache comment acheminer les paquets vers leurs destinations. Il peut filtrer le trafic en fonction des listes de contrôle d'accès (ACL) et fragmenter les paquets si nécessaire.
Manuel de révision de la CISA 2014 Numéro de page 263 Guide officiel
ISC2 du CISSP CBK 3e édition Numéro de page 229 et 230

QUESTION 24
Lequel des éléments suivants est un appareil de télécommunication qui traduit les données du numérique à l'analogique et de nouveau au numérique ?

Un.Multiplexer
B. Modem
C. Convertisseur de protocole
D. Concentrateur
Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre d'un système d'information Un modem est un dispositif qui traduit des données sous forme numérique, puis
les transmet au numérique pour la communication sur des lignes analogiques.
Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 :
Infrastructure technique et pratiques opérationnelles (page 114).

QUESTION 25
Lequel des supports de transmission suivants ne serait PAS affecté par la diaphonie ou le brouillage ?

Un. Système radio à

B. câble en cuivre
C. radio par satellite
D. Câbles à fibres optiques

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Seuls les câbles à fibres optiques ne sont pas affectés par la diaphonie ou les interférences.

Pour votre examen, vous devez connaître les informations sur les supports de transmission :

Câble en cuivre Le câble en cuivre est très simple à installer et facile à exploiter. Il est principalement utilisé pour les
courtes distances et prend en charge la voix et les données.
Le cuivre est utilisé dans le câblage électrique depuis l'invention de l'électroaimant et du télégraphe dans les années 1820. L'invention du téléphone en 1876 a
créé une nouvelle demande de fil de cuivre comme

conducteur.
Le cuivre est le conducteur électrique dans de nombreuses catégories de câblage électrique. Le fil de cuivre est utilisé dans la production d'énergie, la
transmission d'énergie, la distribution d'énergie, les télécommunications, les circuits électroniques et d'innombrables types d'équipements électriques. Le cuivre et
ses alliages sont également utilisés pour réaliser des contacts électriques. Le câblage électrique dans les bâtiments est le marché le plus important pour
l'industrie du cuivre. Environ la moitié de tout le cuivre extrait est utilisé pour fabriquer des conducteurs de fils et de câbles électriques.
Câble en cuivre
Câble coaxial Le câble coaxial, ou coaxial (prononcé 'ko.aks), est un type de câble qui a un conducteur interne entouré d'une couche isolante tubulaire, entourée
d'un blindage conducteur tubulaire. De nombreux câbles coaxiaux ont également une gaine ou une gaine extérieure isolante. Le terme coaxial vient du
conducteur intérieur et du blindage extérieur partageant un axe géométrique. Le câble coaxial a été inventé par l'ingénieur et mathématicien anglais Oliver
Heaviside, qui a breveté la conception en 1880.Le câble coaxial diffère des autres câbles blindés utilisés pour transporter des signaux de basse fréquence, tels
que des signaux audio, en ce que les dimensions du câble sont contrôlées pour donner un espacement précis et constant des conducteurs, ce qui est nécessaire
pour qu'il fonctionne efficacement comme une ligne de transmission par radiofréquence.

Le câble coaxial est cher et ne prend pas en charge de nombreux réseaux locaux. Il prend en charge les données et la vidéo Câble coaxial
Fibre optique Un câble à fibre optique est un câble contenant une ou plusieurs fibres optiques qui sont utilisées pour transporter la lumière. Les éléments en fibre
optique sont généralement recouverts individuellement de couches de plastique et contenus dans un tube de protection adapté à l'environnement dans lequel le
câble sera déployé. Différents types de câbles sont utilisés pour différentes applications, par exemple les télécommunications longue distance ou la fourniture
d'une connexion de données à haut débit entre différentes parties d'un bâtiment.

Fibre optique utilisée pour les longues distances, difficile à épisser, non vulnérable à la diaphonie et difficile à exploiter. Il prend en charge les données
vocales, l'image et la vidéo. Système radio Les systèmes radio sont utilisés pour les courtes distances, bon marché et faciles à exploiter. La radio est le
rayonnement (transmission sans fil) de signaux électromagnétiques à travers l'atmosphère ou l'espace libre.

L'information, comme le son, est transportée en modifiant systématiquement (modulant) certaines propriétés des ondes rayonnées, telles que leur amplitude, leur
fréquence, leur phase ou leur largeur d'impulsion. Lorsque les ondes radio frappent un conducteur électrique, les champs oscillants induisent un courant alternatif
dans le conducteur. Les informations contenues dans les ondes peuvent être extraites et retransformées dans leur forme originale.

Fibre optique
Système radio micro-ondes La transmission micro-ondes fait référence à la technologie de transmission d'informations ou d'énergie par l'utilisation d'ondes radio
dont les longueurs d'onde sont commodément mesurées en petits nombres de centimètres ; on les appelle des micro-ondes.

Les micro-ondes sont largement utilisées pour les communications point à point car leur petite longueur d'onde permet à des antennes de taille pratique de les diriger
dans des faisceaux étroits, qui peuvent être pointés directement vers l'antenne de réception. Cela permet aux équipements micro-ondes à proximité d'utiliser les
mêmes fréquences sans interférer les uns avec les autres, comme le font les ondes radio à basse fréquence. Un autre avantage est que la haute fréquence des
micro-ondes donne à la bande micro-ondes une très grande capacité de transport d'informations ; La bande micro-ondes a une bande passante 30 fois supérieure à
celle de tout le reste du spectre radio en dessous. Un inconvénient est que les micro-ondes sont limitées à la propagation en ligne de mire ; Ils ne peuvent pas
contourner les collines ou les montagnes comme le peuvent les ondes radio à basse fréquence.
La transmission radio par micro-ondes est couramment utilisée dans les systèmes de communication point à point à la surface de la Terre, dans les
communications par satellite et dans les communications radio dans l'espace lointain. D'autres parties de la bande radio micro-ondes sont utilisées pour les
radars, les systèmes de radionavigation, les systèmes de capteurs et la radioastronomie.
Les systèmes radio à micro-ondes sont des supports pour le signal de données vocales, bon marché et faciles à écouter.

Système radio à micro-ondes

La radio par satellite est un service de radio diffusé par satellite principalement vers les voitures, le signal étant diffusé à l'échelle nationale, sur une zone
géographique beaucoup plus large que les stations de radio terrestres. Il est disponible par abonnement, la plupart du temps sans publicité, et offre aux
abonnés plus de stations et une plus grande variété de programmes

que la radio terrestre.

La liaison radio par satellite utilise un transpondeur pour envoyer des informations et est facile à écouter.

Les réponses suivantes sont incorrectes :

Câble en cuivre - Le câble en cuivre est très simple à installer et facile à exploiter. Il est principalement utilisé pour les courtes distances et prend en charge la voix et les données.
Système radio - Les systèmes radio sont utilisés pour les courtes distances, bon marché et faciles à exploiter. Liaison radio satellite - La liaison radio satellite
utilise un transpondeur pour envoyer des informations et est facile à utiliser.
Manuel de révision de la CISA 2014, page numéro 265 et guide
officiel ISC2 de la CISSP CBK, 3e édition, page numéro 233

QUESTION 26
Pourquoi une base de données serait-elle renormalisée ?

A. Pour garantir l'intégrité des données

B. Pour augmenter l'efficacité du traitement
C. la duplication des données
D. Pour économiser de l'espace de stockage

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Une base de données est renormalisée lorsqu'il est nécessaire d'améliorer l'efficacité du traitement.

Il existe toutefois un risque pour l'intégrité des données lorsque cela se produit. Comme cela implique l'introduction de doublons, cela ne permettra probablement pas d'économiser de l'espace de stockage.

Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 : Infrastructure technique et
pratiques opérationnelles (page 109).

QUESTION 27
Laquelle des méthodes suivantes n'est pas une méthode courante de multiplexage des données ?

A. Multiplexage analytique
B. Multiplexage par répartition dans le temps
C. asynchrone par répartition dans le temps
D. Multiplexage par répartition en fréquence

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information En général, les méthodes de multiplexage des données sont les suivantes : Multiplexage par répartition dans le
temps (MRT) : la largeur de bande de l'information provenant de chaque canal de données est attribuée en fonction d'intervalles de temps préassignés, qu'il y ait ou non des données à transmettre.
Multiplexage asynchrone par répartition dans le temps (ATDM) : les informations des canaux de données se voient allouer de la bande passante selon les besoins, via des intervalles de temps
attribués dynamiquement.
Multiplexage par répartition en fréquence (FDM) : les informations de chaque canal de données se voient attribuer une largeur de bande en fonction de la fréquence
du signal du trafic. Multiplexage statistique : la bande passante est allouée dynamiquement à tous les canaux de données qui ont des informations à transmettre.
Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 : Infrastructure technique et
pratiques opérationnelles (page 114).

QUESTION 28
Laquelle des couches ISO/OSI suivantes effectue des transformations sur les données pour fournir une interface d'application normalisée et fournir des services
de communication courants tels que le chiffrement ?

A. Couche d'application
B. Couche de session
C. Couche de présentation
D. Couche de transport

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information La couche de présentation (couche 6 ISO/OSI) effectue des transformations sur
les données afin de fournir une interface d'application normalisée et de fournir des services de communication communs tels que le cryptage, la compression de
texte et le reformatage. La fonction de la couche de présentation est de s'assurer que le format des données soumises par la couche d'application est conforme à la
norme de réseau applicable. Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 :
Infrastructure technique et pratiques opérationnelles (page 119).

QUESTION 29
Laquelle des tâches suivantes n'est PAS une tâche de base ISO définie liée à la gestion de réseau ?

A. Gestion des pannes

B. Ressources comptables
C. de la sécurité
D. Gestion des communications

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Gestion des pannes : Détecte les appareils qui présentent un certain type de
défaut. Gestion de la configuration : Permet aux utilisateurs de connaître, définir et modifier à distance la configuration de n'importe quel appareil. Ressources
comptables : Contient les enregistrements de l'utilisation des ressources dans le WAN. Gestion des performances : surveille les niveaux d'utilisation et définit des
alarmes lorsqu'un seuil a été dépassé. Gestion de la sécurité : détecte le trafic ou les utilisateurs suspects et génère des alarmes en conséquence.

Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 : Infrastructure technique et
pratiques opérationnelles (page 137).

QUESTION 30
Quel est le moyen le plus efficace de déterminer si les contrôles fonctionnent correctement dans un système d'exploitation ?

A. Entrevue avec un opérateur informatique

B. Examen des fonctions et/ou des paramètres de contrôle du logiciel
C. du manuel du système d'exploitation
D. Entretien avec le fournisseur du produit

Bonne réponse : B
Explication

Explication/Référence :
Divers logiciels de système d'exploitation fournissent des paramètres et des options pour l'adaptation du système et l'activation de fonctions telles que
l'enregistrement des activités. Les paramètres sont importants pour déterminer le fonctionnement d'un système car ils permettent de personnaliser un logiciel
standard pour divers environnements. L'examen des fonctions et/ou des paramètres de contrôle logiciel est le moyen le plus efficace de déterminer comment les
contrôles fonctionnent dans un système d'exploitation et d'évaluer l'intégrité du système d'exploitation.

Le manuel du système d'exploitation devrait fournir des informations sur les paramètres qui peuvent être utilisés, mais ne donnera probablement aucune indication sur la façon dont
les paramètres sont réellement définis. Le fournisseur du produit et l'opérateur informatique ne sont pas nécessairement au courant du réglage détaillé de tous les paramètres.
L'examen des fonctionnalités et/ou des paramètres de contrôle du logiciel fera partie de votre audit de sécurité. Un audit de sécurité est généralement effectué par
un tiers indépendant à la gestion du système. La vérification détermine le degré de mise en œuvre des contrôles requis.

Un examen de sécurité est effectué par le personnel de maintenance ou de sécurité du système pour découvrir les vulnérabilités du système. Une vulnérabilité se
produit lorsque les politiques ne sont pas suivies, que des erreurs sont présentes ou que des failles existent dans le matériel ou les logiciels du système. Les
examens du système sont parfois appelés évaluation de la vulnérabilité.
Schneider, Andrew (2013-04-15). Guide officiel (ISC)2 du CISSP CBK, troisième édition : opérations de sécurité, page 1054, pour les utilisateurs de l'édition Kindle,
consultez les sites 851-855 et l'Association d'audit et de contrôle des systèmes d'information, Certified Information Systems Auditor 2002 review manual, chapitre
3 : Infrastructure technique et pratiques opérationnelles (page 102).

QUESTION 31
Laquelle des caractéristiques suivantes relatives aux bases de données n'est pas vraie ?

A. Un modèle de données doit exister et toutes les entités doivent avoir un nom significatif.
B. Des justifications doivent exister pour les données normalisées.
C. Aucune valeur NULL ne doit être autorisée pour les clés primaires.
D. Toutes les relations doivent avoir une cardinalité spécifique.

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les justifications doivent être fournies lorsque les données sont renormalisées,
et non lorsqu'elles sont normalisées, car cela introduit un risque d'incohérence des données. La renormalisation est généralement introduite à des fins de
performance.
Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 : Infrastructure technique et
pratiques opérationnelles (page 108).

QUESTION 32
Lequel des éléments suivants est le MEILLEUR moyen de détecter les violations de licence logicielle ?

A. Mettre en œuvre une politique d'entreprise sur les violations du droit d'auteur et l'utilisation de logiciels.
B. Exiger que tous les PC soient des stations de travail sans disque.
C. Installation d'un logiciel de mesure sur le réseau local afin que les applications soient accessibles via le logiciel mesuré.
D. Analyser régulièrement les PC en cours d'utilisation pour s'assurer qu'aucune copie non autorisée de logiciels n'a été chargée sur le PC.

Bonne réponse : D
Explication

Explication/Référence :
La meilleure façon de prévenir et de détecter les violations de licence logicielle est d'analyser régulièrement les PC usagés, soit à partir du réseau local, soit
directement, pour s'assurer que des copies non autorisées de logiciels n'ont pas été chargées sur le PC.

D'autres options ne sont pas détectives.

Une politique d'entreprise n'est pas nécessairement appliquée et suivie par tous les employés. Les logiciels peuvent être installés à partir d'autres moyens que les
disquettes ou les CD-ROM (à partir d'un réseau local ou même téléchargés sur Internet) et le contrôle des logiciels ne concerne que les applications enregistrées.

Référence : Information Systems Audit and Control Association, Certified Information Systems Auditor 2002 review manual, Chapitre 3 : Infrastructure technique et
pratiques opérationnelles (page 108).

QUESTION 33
Pour un auditeur, il est très important de comprendre les différentes formes d'organisation de projet et leur implication dans le contrôle des activités de gestion de
projet. Dans lequel des formulaires d'organisation de projet suivants l'autorité de gestion est-elle partagée entre le chef de projet et le chef de service ?

A. Influencer l'organisation du projet

B. Organisation de projet pure
C. du projet Matrix
D. Organisation du projet en aval

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les
formulaires d'organisation de projet.

Trois grandes formes d'alignement organisationnel pour la gestion de projet au sein de l'organisation de l'entreprise sont observées :

Influencer l'organisation du projet Le chef de projet n'a qu'une fonction de personnel sans autorité de gestion formelle. Le chef de projet n'est autorisé à conseiller
que ses pairs et les membres de l'équipe sur les activités à réaliser.
Organisation de projet pure Le chef de projet a une autorité formelle sur les personnes participant au projet. Souvent, cela est renforcé par la mise à disposition
d'un espace de travail spécial pour l'équipe de projet qui est séparé de son espace de bureau normal.
Organisation de projet matricielle L'autorité de gestion est partagée entre le chef de projet et le chef de service.

La demande pour le grand projet doit être soumise au comité directeur du SI et en faire l'objet d'un ordre de priorité. Un gestionnaire de projet devrait être identifié
et nommé par le comité directeur du SI. Le chef de projet, qui n'a pas besoin d'être un membre du personnel du SI

Les réponses suivantes étaient incorrectes :

Influencer l'organisation du projet Le chef de projet n'a qu'une fonction de personnel sans autorité de gestion formelle. Le chef de projet n'est autorisé à conseiller
que ses pairs et les membres de l'équipe sur les activités à réaliser.

Organisation de projet pure Le chef de projet a une autorité formelle sur les personnes participant au projet. Souvent, cela est renforcé par la mise à disposition
d'un espace de travail spécial pour l'équipe de projet qui est séparé de son espace de bureau normal.

Organisation de projet en aval : ce n'est pas un type de formulaire d'organisation de projet valide.
Manuel d'examen de la CISA 2014 Page numéro 148

QUESTION 34
Qui fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir le facteur critique de succès (FSC) ?

A. Promoteur du projet
B. Agent de sécurité
C. Gestion des utilisateurs
D. Direction générale

Bonne réponse : A
Explication

Explication/Référence :
Le promoteur du projet fournit du financement pour le projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir les facteurs critiques de
succès (FSC) et les paramètres permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes mesurables et quantifiables. La
propriété des données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre supérieur responsable de l'unité
commerciale principale que l'application soutiendra

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les rôles et responsabilités des groupes/individus qui peuvent être impliqués dans le
processus de développement sont résumées ci-dessous :

La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.

Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à la
refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs. La gestion des utilisateurs s'intéresse principalement aux questions suivantes : Quelle est la fiabilité du logiciel ?
Les fonctions requises sont-elles disponibles dans le logiciel ?

Quelle est l'efficacité du logiciel ?

Le logiciel est-il facile à utiliser ?
Est-il facile de transférer ou d'adapter d'anciennes données d'un logiciel préexistant vers cet environnement ?

Est-il possible d'ajouter de nouvelles fonctions ?

Est-il conforme aux exigences réglementaires ?

Fournit des orientations générales et assure une représentation appropriée des principales parties prenantes dans les résultats du projet. Le comité directeur du
projet est responsable de tous les livrables, des coûts et des calendriers du projet. Ce comité devrait être composé de représentants principaux de chaque secteur
d'activité qui sera considérablement touché par le nouveau système proposé ou les modifications apportées au système.

Gestion du développement du système Fournit un soutien technique pour l'environnement matériel et logiciel en développant, installant et exploitant le système
demandé.

Assure la gestion et la direction quotidiennes du projet, veille à ce que les activités du projet restent conformes aux orientations générales, assure une
représentation appropriée des départements concernés, s'assure que le projet respecte les normes locales, s'assure que les livrables répondent aux attentes de
qualité des principales parties prenantes, résout les conflits interdépartementaux et surveille et contrôle les coûts des calendriers du projet.

Le parrain du projet fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir les facteurs critiques de succès
(FSC) et les paramètres permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes mesurables et quantifiables. La propriété des
données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre supérieur responsable de l'unité commerciale
principale que l'application soutiendra
Équipe de projet de développement de systèmes Effectue les tâches assignées, communique efficacement avec les utilisateurs en les impliquant activement dans
le processus de développement, travaille selon les normes locales et conseille le gestionnaire de projet des écarts de plan nécessaires.

Équipe de projet de l'utilisateur Effectue les tâches assignées, communique efficacement avec les développeurs du système en s'impliquant activement dans le
processus de développement en tant qu'expert en la matière (SME) et travaille selon les normes locales, et informe le chef de projet des écarts prévus et réels du
projet.
S'assure que les contrôles du système et les processus de soutien offrent un niveau de protection efficace, en fonction de la classification des données
établie conformément aux politiques et procédures de sécurité de l'entreprise : consulter tout au long du cycle de vie sur les mesures de sécurité
appropriées qui doivent être intégrées au système.

Personnel d'assurance de la qualité qui examine les résultats et les livrables au cours de chaque phase et à la fin de chaque phase, et confirme la conformité aux
exigences. Leur objectif est de s'assurer de la qualité du projet en mesurant l'adhésion du personnel de projet au cycle de vie du développement logiciel (SDLC) de
l'organisation, de conseiller sur l'écart et de proposer des recommandations pour l'amélioration des processus ou des points de contrôle plus importants en cas
d'écart.
Les réponses suivantes étaient incorrectes :

S'assure que les contrôles du système et les processus de soutien offrent un niveau de protection efficace, en fonction de la classification des données
établie conformément aux politiques et procédures de sécurité de l'entreprise : consulter tout au long du cycle de vie sur les mesures de sécurité
appropriées qui doivent être intégrées au système.

Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à
la refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs.
La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.
Manuel d'examen de la CISA 2014 Page numéro 150

QUESTION 35
Qui est responsable de veiller à ce que les contrôles du système et les processus de soutien offrent un niveau de protection efficace, en fonction de la
classification des données établie conformément aux politiques et procédures de sécurité de l'entreprise ?

Un. Responsable de la
sécurité du sponsor du
B. projet
C. Gestion des utilisateurs
D. Direction générale

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information L'agent de sécurité veille à ce que les contrôles du système et les processus
de soutien offrent un niveau de protection efficace, en fonction de la classification des données établie conformément aux politiques et procédures de sécurité de
l'entreprise : consulter tout au long du cycle de vie sur les mesures de sécurité appropriées qui devraient être intégrées au système. Pour l'examen CISA, vous
devez connaître les informations ci-dessous sur les rôles et responsabilités des groupes/individus qui peuvent être impliqués dans le processus de
développement sont résumées ci-dessous :
La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.

Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à la
refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs. La gestion des utilisateurs s'intéresse principalement aux questions suivantes :

Les fonctions requises sont-elles disponibles dans le logiciel ?

Quelle est la fiabilité du logiciel ?
Quelle est l'efficacité du logiciel ?
Le logiciel est-il facile à utiliser ?
Est-il facile de transférer ou d'adapter d'anciennes données d'un logiciel préexistant vers cet environnement ? Est-il possible
d'ajouter de nouvelles fonctions ? Est-il conforme aux exigences réglementaires ?

Fournit des orientations générales et assure une représentation appropriée des principales parties prenantes dans les résultats du projet. Le comité directeur du
projet est responsable de tous les livrables, des coûts et des calendriers du projet. Ce comité devrait être composé de représentants principaux de chaque secteur
d'activité qui sera considérablement touché par le nouveau système proposé ou les modifications apportées au système.

Gestion du développement du système Fournit un soutien technique pour l'environnement matériel et logiciel en développant, installant et exploitant le système
demandé.

Assure la gestion et la direction quotidiennes du projet, veille à ce que les activités du projet restent conformes aux orientations générales, assure une
représentation appropriée des départements concernés, s'assure que le projet respecte les normes locales, s'assure que les livrables répondent aux attentes de
qualité des principales parties prenantes, résout les conflits interdépartementaux et surveille et contrôle les coûts des calendriers du projet.
Le parrain du projet fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet

définir les facteurs critiques de succès (CSF) et les mesures permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes
mesurables et quantifiables. La propriété des données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre
supérieur responsable de l'unité commerciale principale que l'application soutiendra

Équipe de projet de développement de systèmes Effectue les tâches assignées, communique efficacement avec les utilisateurs en les impliquant activement dans
le processus de développement, travaille selon les normes locales et conseille le gestionnaire de projet des écarts de plan nécessaires.

Équipe de projet de l'utilisateur Effectue les tâches assignées, communique efficacement avec les développeurs du système en s'impliquant activement dans le
processus de développement en tant qu'expert en la matière (SME) et travaille selon les normes locales, et informe le chef de projet des écarts prévus et réels du
projet.
S'assure que les contrôles du système et les processus de soutien offrent un niveau de protection efficace, en fonction de la classification des données
établie conformément aux politiques et procédures de sécurité de l'entreprise : consulter tout au long du cycle de vie sur les mesures de sécurité
appropriées qui doivent être intégrées au système.

Personnel d'assurance de la qualité qui examine les résultats et les livrables au cours de chaque phase et à la fin de chaque phase, et confirme la conformité aux
exigences. Leur objectif est de s'assurer de la qualité du projet en mesurant l'adhésion du personnel de projet au cycle de vie du développement logiciel (SDLC) de
l'organisation, de conseiller sur l'écart et de proposer des recommandations pour l'amélioration des processus ou des points de contrôle plus importants en cas
d'écart.
Les réponses suivantes étaient incorrectes :

Le parrain du projet fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir les facteurs critiques de succès
(FSC) et les paramètres permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes mesurables et quantifiables. La propriété des
données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre supérieur responsable de l'unité commerciale
principale que l'application soutiendra
Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à
la refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs.
La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.
Manuel d'examen de la CISA 2014 Page numéro 150

QUESTION 36
Qui est responsable de l'examen des résultats et des livrables au cours et à la fin de chaque phase, ainsi que de la confirmation de la conformité aux exigences ?

Un. Assurance qualité du

B. promoteur du projet
C. Gestion des utilisateurs
D. Direction générale

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Le personnel d'assurance de la qualité examine les résultats et les livrables au
cours de chaque phase et à la fin de chaque phase, et confirme la conformité aux exigences. Leur objectif est de s'assurer de la qualité du projet en mesurant
l'adhésion du personnel de projet au cycle de vie du développement logiciel (SDLC) de l'organisation, de conseiller sur l'écart et de proposer des recommandations
pour l'amélioration des processus ou des points de contrôle plus importants en cas d'écart.

Pour l'examen CISA, vous devez connaître ci-dessous les informations sur les rôles et responsabilités des groupes/individus qui peuvent être impliqués dans le
processus de développement sont résumées ci-dessous :

La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.

Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à la
refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs. La gestion des utilisateurs s'intéresse principalement aux questions suivantes :

Les fonctions requises sont-elles disponibles dans le logiciel ?

Quelle est la fiabilité du logiciel ?
Quelle est l'efficacité du logiciel ?
Le logiciel est-il facile à utiliser ?
Est-il facile de transférer ou d'adapter d'anciennes données d'un logiciel préexistant vers cet environnement ? Est-il possible
d'ajouter de nouvelles fonctions ? Est-il conforme aux exigences réglementaires ?

Fournit des orientations générales et assure une représentation appropriée des principales parties prenantes dans les résultats du projet. Le comité directeur du
projet est responsable de tous les livrables, des coûts et des calendriers du projet. Ce comité devrait être composé de représentants principaux de chaque secteur
d'activité qui sera considérablement touché par le nouveau système proposé ou les modifications apportées au système.

Gestion du développement du système Fournit un soutien technique pour l'environnement matériel et logiciel en développant, installant et exploitant le système
demandé.

Assure la gestion et la direction quotidiennes du projet, veille à ce que les activités du projet restent conformes aux orientations générales, assure une
représentation appropriée des départements concernés, s'assure que le projet respecte les normes locales, s'assure que les livrables répondent aux attentes de
qualité des principales parties prenantes, résout les conflits interdépartementaux et surveille et contrôle les coûts des calendriers du projet.

Le parrain du projet fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir les facteurs critiques de succès
(FSC) et les paramètres permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes mesurables et quantifiables. La propriété des
données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre supérieur responsable de l'unité commerciale
principale que l'application soutiendra
Équipe de projet de développement de systèmes Effectue les tâches assignées, communique efficacement avec les utilisateurs en les impliquant activement dans
le processus de développement, travaille selon les normes locales et conseille le gestionnaire de projet des écarts de plan nécessaires.

Équipe de projet de l'utilisateur Effectue les tâches assignées, communique efficacement avec les développeurs du système en s'impliquant activement dans le
processus de développement en tant qu'expert en la matière (SME) et travaille selon les normes locales, et informe le chef de projet des écarts prévus et réels du
projet.
S'assure que les contrôles du système et les processus de soutien offrent un niveau de protection efficace, en fonction de la classification des données
établie conformément aux politiques et procédures de sécurité de l'entreprise : consulter tout au long du cycle de vie sur les mesures de sécurité
appropriées qui doivent être intégrées au système.

Personnel d'assurance de la qualité qui examine les résultats et les livrables au cours de chaque phase et à la fin de chaque phase, et confirme la conformité aux
exigences. Leur objectif est de s'assurer de la qualité du projet en mesurant l'adhésion du personnel de projet au cycle de vie du développement logiciel (SDLC) de
donner des conseils sur l'écart et proposer des recommandations pour l'amélioration du processus ou des points de contrôle plus importants en cas d'écart.

l'organisation.

Le parrain du projet fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir les facteurs critiques de succès
(FSC) et les paramètres permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes mesurables et quantifiables. La propriété des
données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre supérieur responsable de l'unité commerciale
principale que l'application soutiendra
Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à
la refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs.
La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.
Manuel d'examen de la CISA 2014 Page numéro 150

QUESTION 37
Qui est responsable de fournir un soutien technique pour l'environnement matériel et logiciel en développant, installant et exploitant le système demandé ?

A. Gestion du développement du système

B. Assurance de la qualité
C. Gestion des utilisateurs
D. Direction générale

Bonne réponse : A
Explication

Explication/Référence :
La Section : Acquisition, développement et mise en œuvre des systèmes d'information Gestion du développement des systèmes fournit un appui technique
pour l'environnement matériel et logiciel en développant, installant et exploitant le système demandé.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les rôles et responsabilités des groupes/individus qui peuvent être impliqués dans le
processus de développement sont résumées ci-dessous :

La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.

Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à la
refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs. La gestion des utilisateurs s'intéresse principalement aux questions suivantes :

Les fonctions requises sont-elles disponibles dans le logiciel ?

Quelle est la fiabilité du logiciel ?

Quelle est l'efficacité du logiciel ?
Le logiciel est-il facile à utiliser ?
Est-il facile de transférer ou d'adapter d'anciennes données d'un logiciel préexistant vers cet environnement ? Est-il possible
d'ajouter de nouvelles fonctions ? Est-il conforme aux exigences réglementaires ?

Fournit des orientations générales et assure une représentation appropriée des principales parties prenantes dans les résultats du projet. Le comité directeur du
projet est responsable de tous les livrables, des coûts et des calendriers du projet. Ce comité devrait être composé de représentants principaux de chaque secteur
d'activité qui sera considérablement touché par le nouveau système proposé ou les modifications apportées au système.

Gestion du développement du système Fournit un soutien technique pour l'environnement matériel et logiciel en développant, installant et exploitant le système
demandé.

Assure la gestion et la direction quotidiennes du projet, veille à ce que les activités du projet restent conformes aux orientations générales, assure une
représentation appropriée des départements concernés, s'assure que le projet respecte les normes locales, s'assure que les livrables répondent aux attentes de
qualité des principales parties prenantes, résout les conflits interdépartementaux et surveille et contrôle les coûts des calendriers du projet.
Le parrain du projet fournit le financement du projet et travaille en étroite collaboration avec le gestionnaire de projet pour définir les facteurs critiques de succès
(FSC) et les paramètres permettant de mesurer le succès du projet. Il est crucial que le succès se traduise en termes mesurables et quantifiables. La propriété des
données et des applications est attribuée à un parrain de projet. Un parrain de projet est généralement le cadre supérieur responsable de l'unité commerciale
principale que l'application soutiendra
Équipe de projet de développement de systèmes Effectue les tâches assignées, communique efficacement avec les utilisateurs en les impliquant activement dans
le processus de développement, travaille selon les normes locales et conseille le gestionnaire de projet des écarts de plan nécessaires.

Équipe de projet de l'utilisateur Effectue les tâches assignées, communique efficacement avec les développeurs du système en s'impliquant activement dans le
processus de développement en tant qu'expert en la matière (SME) et travaille selon les normes locales, et informe le chef de projet des écarts prévus et réels du
projet.
S'assure que les contrôles du système et les processus de soutien offrent un niveau de protection efficace, en fonction de la classification des données
établie conformément aux politiques et procédures de sécurité de l'entreprise : consulter tout au long du cycle de vie sur les mesures de sécurité
appropriées qui doivent être intégrées au système.

Personnel d'assurance de la qualité qui examine les résultats et les livrables au cours de chaque phase et à la fin de chaque phase, et confirme la conformité aux
exigences. Leur objectif est de s'assurer de la qualité du projet en mesurant l'adhésion du personnel de projet au cycle de vie du développement logiciel (SDLC) de
l'organisation, de conseiller sur l'écart et de proposer des recommandations pour l'amélioration des processus ou des points de contrôle plus importants en cas
d'écart.
Les réponses suivantes étaient incorrectes :

Personnel d'assurance de la qualité qui examine les résultats et les livrables au cours de chaque phase et à la fin de chaque phase, et confirme la conformité aux
exigences. Leur objectif est de s'assurer de la qualité du projet en mesurant l'adhésion du personnel de projet au cycle de vie du développement logiciel (SDLC) de
l'organisation, de conseiller sur l'écart et de proposer des recommandations pour l'amélioration des processus ou des points de contrôle plus importants en cas
d'écart.
Gestion des utilisateurs Assumer la responsabilité du projet et du système qui en résulte, affecter des représentants qualifiés à l'équipe et participer activement à
la refonte des processus opérationnels, à la définition des exigences du système, à l'élaboration de cas de test, aux tests d'acceptation et à la formation des
utilisateurs.
La haute direction démontre son engagement envers le projet et approuve les ressources nécessaires pour mener à bien le projet. Cet engagement de la
haute direction permet d'assurer la participation des personnes nécessaires à la réalisation du projet.
Manuel d'examen de la CISA 2014 Page numéro 150

QUESTION 38
Lequel des facteurs suivants est le MOINS important dans la mesure des facteurs critiques de succès de la productivité dans les phases SDLC ?

A. Dollars dépensés par utilisation

B. Nombre de transactions par mois
C. Nombre de transactions par utilisateur
D. Nombre d'occurrences de détection de fraude/abus

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Le MOINS est le mot-clé utilisé dans cette question, vous devez trouver un
facteur MOINS important dans la mesure de la productivité.

Pour l'examen CISA, vous devez connaître le tableau ci-dessous qui contient des informations sur la mesure d'un facteur de réussite critique.

Mesure des facteurs critiques de succès

Productivité Dollars dépensés par
utilisation Nombre de transactions par
mois Nombre de transactions par
utilisateur

Qualité Nombre d'écarts Nombre de litiges

Nombre d'occurrences de détection de
fraude/abus Valeur économique

Réduction du temps de traitement total Valeur

momentanée des coûts administratifs Service à
la clientèle Délai d'exécution pour le traitement
des questions des clients Fréquence des
communications utiles à l'utilisateur.

Les réponses suivantes étaient incorrectes : Les autres options présentées sont plus importantes dans la mesure
du facteur de succès critique de la productivité. Manuel d'examen de la CISA 2014 Page numéro 159

QUESTION 39
Laquelle des affirmations suivantes décrit correctement la différence entre QAT et UAT ?

A. QAT se concentre sur l'aspect technique de l'application et l'UAT se concentre sur l'aspect fonctionnel de l'application
B. L'UAT se concentre sur l'aspect technique de l'application et le QAT se concentre sur l'aspect fonctionnel de l'application
C. UAT et QAT se concentrent tous deux sur l'aspect fonctionnel de l'application
D. UAT et QAT se concentrent tous deux sur l'aspect technique de l'application

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information - Il comporte deux parties principales : les tests d'assurance qualité (QAT)
axés sur l'aspect technique de l'application et les tests d'acceptation par l'utilisateur axés sur l'aspect fonctionnel de l'application.

Pour l'examen CISA, vous devez connaître les types de tests ci-dessous :

Test unitaire Test d'un programme ou d'un module individuel. Les tests unitaires utilisent un ensemble de cas de test qui se concentrent sur la structure de
contrôle de la conception procédurale. Ces tests assurent le fonctionnement interne des programmes selon le cahier des charges.
Test d'interface ou d'intégration Test matériel ou logiciel qui évalue la connexion de deux composants ou plus qui transmettent des informations d'une zone à une
autre. L'objectif est de prendre un module testé unitairement et de construire une structure intégrée dictée par la conception. Le terme test d'intégration est
également appelé test qui vérifie et valide le fonctionnement de l'application testée avec d'autres systèmes, où un ensemble de données est transféré d'un
système à un autre.
Tests du système Une série de tests conçus pour s'assurer que les programmes, les objets, le schéma de base de données, etc. modifiés, qui constituent
collectivement un système nouveau ou modifié, fonctionnent correctement. Ces procédures de test sont souvent effectuées dans un environnement de
test/développement hors production par des développeurs de logiciels désignés comme équipe de test. L'analyse spécifique suivante peut être effectuée lors des
tests du système.
Test de récupération Vérification de la capacité du système à récupérer après une défaillance logicielle ou matérielle.

S'assurer que le système modifié/nouveau comprend des dispositions pour un contrôle d'accès approprié et n'introduit aucune faille de sécurité qui pourrait
compromettre d'autres systèmes.

Test de charge Test d'une application avec de grandes quantités de données pour évaluer ses performances pendant les heures de pointe.

Test de volume Étude de l'impact sur l'application en effectuant des tests avec un volume incrémentiel d'enregistrements pour déterminer le volume maximal
d'enregistrements que l'application peut traiter.

Étude de l'impact sur l'application en testant avec un nombre incrémentiel d'utilisateurs/services simultanés sur l'application afin de déterminer le nombre maximum
d'utilisateurs/services simultanés que l'application peut traiter.

Comparaison des performances du système à d'autres systèmes équivalents à l'aide de benchmarks bien définis.

Il comporte deux parties principales : les tests d'assurance qualité (QAT) axés sur l'aspect technique de l'application et les tests d'acceptation par l'utilisateur axés
sur l'aspect fonctionnel de l'application. Le QAT se concentre sur les spécifications documentées et la technologie utilisée. Il vérifie que l'application fonctionne
comme documenté en testant la conception logique et la technologie elle-même. Il garantit également que l'application répond aux spécifications techniques et aux
livrables documentés. Le QAT est principalement effectué par le département SI. La participation de l'utilisateur final est minimale et sur demande. QAT ne se
concentre pas sur les tests de fonctionnalité. UAT prend en charge le processus visant à garantir que le système est prêt pour la production et répond à toutes les
exigences documentées. Les méthodes comprennent : Définition des stratégies et procédures de test.

Conception de cas de test et de

scénarios Exécution des tests.
Utilisation du résultat pour vérifier l'état de préparation du système.
Les critères d'acceptation sont des critères définis auxquels un livrable doit répondre pour satisfaire les besoins prédéfinis de l'utilisateur. Un plan d'UAT doit être
documenté pour le test final du système terminé. Les tests sont écrits du point de vue de l'utilisateur et doivent tester le système d'une manière aussi proche que
possible de la production.
Les réponses suivantes étaient incorrectes :

Les autres options présentées décrivent de manière incorrecte la différence entre le QAT et l'UAT Manuel d'examen de la CISA 2014 Page numéro 166
QUESTION 40
Lequel des types de tests suivants utilise un ensemble de cas de test qui se concentrent sur la structure de contrôle de la conception procédurale ?

A. Tests d'interface
B. Tests unitaires
C. Essais du système
D. Essais de réception finale

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre de systèmes d'information Les tests unitaires sont les tests d'un programme ou d'un module individuel. Les
tests unitaires utilisent un ensemble de cas de test qui se concentrent sur la structure de contrôle de la conception procédurale. Ces tests assurent le
fonctionnement interne des programmes selon le cahier des charges.
Pour l'examen CISA, vous devez connaître les types de tests ci-dessous :

Test unitaire Test d'un programme ou d'un module individuel. Les tests unitaires utilisent un ensemble de cas de test qui se concentrent sur la structure de
contrôle de la conception procédurale. Ces tests assurent le fonctionnement interne des programmes selon le cahier des charges.
Test d'interface ou d'intégration Test matériel ou logiciel qui évalue la connexion de deux composants ou plus qui transmettent des informations d'une zone à une
autre. L'objectif est de prendre un module testé unitairement et de construire une structure intégrée dictée par la conception. Le terme test d'intégration est
également appelé test qui vérifie et valide le fonctionnement de l'application testée avec d'autres systèmes, où un ensemble de données est transféré d'un
système à un autre.
Tests du système Une série de tests conçus pour s'assurer que les programmes, les objets, le schéma de base de données, etc. modifiés, qui constituent
collectivement un système nouveau ou modifié, fonctionnent correctement. Ces procédures de test sont souvent effectuées dans un environnement de
test/développement hors production par des développeurs de logiciels désignés comme équipe de test. L'analyse spécifique suivante peut être effectuée lors des
tests du système.
Test de récupération Vérification de la capacité du système à récupérer après une défaillance logicielle ou matérielle.

S'assurer que le système modifié/nouveau comprend des dispositions pour un contrôle d'accès approprié et n'introduit aucune faille de sécurité qui pourrait
compromettre d'autres systèmes.

Test de charge Test d'une application avec de grandes quantités de données pour évaluer ses performances pendant les heures de pointe.

Test de volume Étude de l'impact sur l'application en effectuant des tests avec un volume incrémentiel d'enregistrements pour déterminer le volume maximal
d'enregistrements que l'application peut traiter.

Étude de l'impact sur l'application en testant avec un nombre incrémentiel d'utilisateurs/services simultanés sur l'application afin de déterminer le nombre maximum
d'utilisateurs/services simultanés que l'application peut traiter.

Comparaison des performances du système à d'autres systèmes équivalents à l'aide de benchmarks bien définis.

Il comporte deux parties principales : les tests d'assurance qualité (QAT) axés sur l'aspect technique de l'application et les tests d'acceptation par l'utilisateur axés
sur l'aspect fonctionnel de l'application. Le QAT se concentre sur les spécifications documentées et la technologie utilisée. Il vérifie que l'application fonctionne
comme documenté en testant la conception logique et la technologie elle-même. Il garantit également que l'application répond aux spécifications techniques et aux
livrables documentés. Le QAT est principalement effectué par le département SI. La participation de l'utilisateur final est minimale et sur demande. QAT ne se
concentre pas sur les tests de fonctionnalité. UAT prend en charge le processus visant à garantir que le système est prêt pour la production et répond à toutes les
exigences documentées. Les méthodes comprennent : Définition des stratégies et procédures de test.
Conception de cas de test et de
scénarios Exécution des tests.
Utilisation du résultat pour vérifier l'état de préparation du système.
Les critères d'acceptation sont des critères définis auxquels un livrable doit répondre pour satisfaire les besoins prédéfinis de l'utilisateur. Un plan d'UAT doit être
documenté pour le test final du système terminé. Les tests sont écrits du point de vue de l'utilisateur et doivent tester le système d'une manière aussi proche que
possible de la production.
Les réponses suivantes étaient incorrectes :

Test d'interface ou d'intégration Test matériel ou logiciel qui évalue la connexion de deux composants ou plus qui transmettent des informations d'une zone à une
autre. L'objectif est de prendre un module testé unitairement et de construire une structure intégrée dictée par la conception. Le terme test d'intégration est
également appelé test qui vérifie et valide le fonctionnement de l'application testée avec d'autres systèmes, où un ensemble de données est transféré d'un
système à un autre.
Tests du système Une série de tests conçus pour s'assurer que les programmes, les objets, le schéma de base de données, etc. modifiés, qui constituent
collectivement un système nouveau ou modifié, fonctionnent correctement. Ces procédures de test sont souvent effectuées dans un environnement de
test/développement hors production par des développeurs de logiciels désignés comme équipe de test.

Au cours de cette phase de test, les méthodes de test définies à appliquer doivent être intégrées à la méthodologie d'assurance qualité de l'organisation.
Manuel d'examen de la CISA 2014 Page numéro 166

QUESTION 41
Lequel des types de tests suivants comporte deux catégories principales : QAT et UAT ?

A. Tests d'interface
B. Tests unitaires
C. Essais du système
D. Essais de réception finale

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information

QUESTION 42
Lequel des types de tests suivants valide le fonctionnement de l'application testée avec un autre système, où un ensemble de données est transféré d'un
système à un autre ?

A. Tests d'interface
B. Tests unitaires
C. Essais du système
D. Essais de réception finale
Bonne réponse : Un
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre de systèmes d'information Les tests d'interface ou d'intégration sont des tests matériels ou logiciels qui
évaluent la connexion de deux ou plusieurs composants qui transmettent des informations d'une zone à une autre. L'objectif est de prendre un module testé
unitairement et de construire une structure intégrée dictée par la conception. Le terme test d'intégration est également appelé test qui vérifie et valide le
fonctionnement de l'application testée avec d'autres systèmes, où un ensemble de données est transféré d'un système à un autre.

Pour l'examen CISA, vous devez connaître les types de tests ci-dessous :

Test unitaire Test d'un programme ou d'un module individuel. Les tests unitaires utilisent un ensemble de cas de test qui se concentrent sur la structure de
contrôle de la conception procédurale. Ces tests assurent le fonctionnement interne des programmes selon le cahier des charges.
Test d'interface ou d'intégration Test matériel ou logiciel qui évalue la connexion de deux composants ou plus qui transmettent des informations d'une zone à une
autre. L'objectif est de prendre un module testé unitairement et de construire une structure intégrée dictée par la conception. Le terme test d'intégration est
également appelé test qui vérifie et valide le fonctionnement de l'application testée avec d'autres systèmes, où un ensemble de données est transféré d'un
système à un autre.
Tests du système Une série de tests conçus pour s'assurer que les programmes, les objets, le schéma de base de données, etc. modifiés, qui constituent
collectivement un système nouveau ou modifié, fonctionnent correctement. Ces procédures de test sont souvent effectuées dans un environnement de
test/développement hors production par des développeurs de logiciels désignés comme équipe de test. L'analyse spécifique suivante peut être effectuée lors des
tests du système.
Test de récupération Vérification de la capacité du système à récupérer après une panne logicielle ou matérielle.

S'assurer que le système modifié/nouveau comprend des dispositions pour un contrôle d'accès approprié et n'introduit aucune faille de sécurité qui pourrait
compromettre d'autres systèmes.

Test de charge Test d'une application avec de grandes quantités de données pour évaluer ses performances pendant les heures de pointe.

Test de volume Étude de l'impact sur l'application en effectuant des tests avec un volume incrémentiel d'enregistrements pour déterminer le volume maximal
d'enregistrements que l'application peut traiter.

Étude de l'impact sur l'application en testant avec un nombre incrémentiel d'utilisateurs/services simultanés sur l'application afin de déterminer le nombre maximum
d'utilisateurs/services simultanés que l'application peut traiter.

Comparaison des performances du système à d'autres systèmes équivalents à l'aide de benchmarks bien définis.

Il comporte deux parties principales : les tests d'assurance qualité (QAT) axés sur l'aspect technique de l'application et les tests d'acceptation par l'utilisateur axés
sur l'aspect fonctionnel de l'application. Le QAT se concentre sur les spécifications documentées et la technologie utilisée. Il vérifie que l'application fonctionne
comme documenté en testant la conception logique et la technologie elle-même. Il garantit également que l'application répond aux spécifications techniques et aux
livrables documentés. Le QAT est principalement effectué par le département SI. La participation de l'utilisateur final est minimale et sur demande. QAT ne se
concentre pas sur les tests de fonctionnalité. UAT prend en charge le processus visant à garantir que le système est prêt pour la production et répond à toutes les
exigences documentées. Les méthodes comprennent : Définition des stratégies et procédures de test.
Conception de cas de test et de
scénarios Exécution des tests.
Utilisation du résultat pour vérifier l'état de préparation du système.
Les critères d'acceptation sont des critères définis auxquels un livrable doit répondre pour satisfaire les besoins prédéfinis de l'utilisateur. Un plan d'UAT doit être
documenté pour le test final du système terminé. Les tests sont écrits du point de vue de l'utilisateur et doivent tester le système d'une manière aussi proche que
possible de la production.
Les réponses suivantes étaient incorrectes :

Test unitaire Test d'un programme ou d'un module individuel. Les tests unitaires utilisent un ensemble de cas de test qui se concentrent sur la structure de
contrôle de la conception procédurale. Ces tests assurent le fonctionnement interne des programmes selon le cahier des charges.
Tests du système Une série de tests conçus pour s'assurer que les programmes, les objets, le schéma de base de données, etc. modifiés, qui constituent
collectivement un système nouveau ou modifié, fonctionnent correctement. Ces procédures de test sont souvent effectuées dans un environnement de
test/développement hors production par des développeurs de logiciels désignés comme équipe de test.
Au cours de cette phase de test, les méthodes de test définies à appliquer doivent être intégrées à la méthodologie d'assurance qualité de l'organisation.
Manuel d'examen de la CISA 2014 Page numéro 166

QUESTION 43
Identifiez l'instruction INCORRECTE parmi les types de test mentionnés ci-dessous

Un.Tests de récupération S'assurer que le système modifié/nouveau comprend des dispositions pour un contrôle d'accès approprié et n'introduit aucune faille
de sécurité qui pourrait compromettre d'autres systèmes Test de charge Test d'une application avec de grandes quantités de données pour évaluer ses
B. performances pendant les heures de pointe
C. Évaluation du volume Étude de l'incidence sur la demande en effectuant des essais avec un volume supplémentaire de documents afin de déterminer le
volume maximal de documents que la demande peut traiter
D. Simulation de crise Étudier l'impact sur l'application en effectuant des essais avec un nombre supplémentaire d'utilisateurs ou de services simultanés sur
l'application afin de déterminer le nombre maximal d'utilisateurs ou de services simultanés que l'application peut traiter

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Le mot INCORRECT est le mot-clé utilisé dans cette question. Vous devez
trouver l'option incorrecte spécifiée ci-dessus. Le terme test de récupération est mal défini dans les options ci-dessus. La description correcte des tests de
récupération est la suivante : Test de récupération Vérification de la capacité du système à récupérer après une défaillance logicielle ou matérielle

Pour l'examen CISA, vous devez connaître les types de tests ci-dessous :

Test unitaire Test d'un programme ou d'un module individuel. Les tests unitaires utilisent un ensemble de cas de test qui se concentrent sur la structure de
contrôle de la conception procédurale. Ces tests assurent le fonctionnement interne des programmes selon le cahier des charges.
Test d'interface ou d'intégration Test matériel ou logiciel qui évalue la connexion de deux composants ou plus qui transmettent des informations d'une zone à une
autre. L'objectif est de prendre un module testé unitairement et de construire une structure intégrée dictée par la conception. Le terme test d'intégration est
également appelé test qui vérifie et valide le fonctionnement de l'application testée avec d'autres systèmes, où un ensemble de données est transféré d'un
système à un autre.
Tests du système Une série de tests conçus pour s'assurer que les programmes, les objets, le schéma de base de données, etc. modifiés, qui constituent
collectivement un système nouveau ou modifié, fonctionnent correctement. Ces procédures de test sont souvent effectuées dans un environnement de
test/développement hors production par des développeurs de logiciels désignés comme équipe de test. L'analyse spécifique suivante peut être effectuée lors des
tests du système.
Test de récupération Vérification de la capacité du système à récupérer après une défaillance logicielle ou matérielle.

S'assurer que le système modifié/nouveau comprend des dispositions pour un contrôle d'accès approprié et n'introduit aucune faille de sécurité qui pourrait compromettre
d'autres systèmes. Test de charge Test d'une application avec de grandes quantités de données pour évaluer ses performances pendant les heures de pointe. demande
Étude de l'impact sur l'application en effectuant des tests avec un volume incrémentiel d'enregistrements pour déterminer le volume maximal d'enregistrements qui
peut traiter.

Étude de l'impact sur l'application en testant avec un nombre incrémentiel d'utilisateurs/services simultanés sur l'application afin de déterminer le nombre maximum
d'utilisateurs/services simultanés que l'application peut traiter.

Comparaison des performances du système à d'autres systèmes équivalents à l'aide de benchmarks bien définis.

Il comporte deux parties principales : les tests d'assurance qualité (QAT) axés sur l'aspect technique de l'application et les tests d'acceptation par l'utilisateur axés
sur l'aspect fonctionnel de l'application. Le QAT se concentre sur les spécifications documentées et la technologie utilisée. Il vérifie que l'application fonctionne
comme documenté en testant la conception logique et la technologie elle-même. Il garantit également que l'application répond aux spécifications techniques et aux
livrables documentés. Le QAT est principalement effectué par le département SI. La participation de l'utilisateur final est minimale et sur demande. QAT ne se
concentre pas sur les tests de fonctionnalité. UAT prend en charge le processus visant à garantir que le système est prêt pour la production et répond à toutes les
exigences documentées. Les méthodes comprennent : Définition des stratégies et procédures de test.
Conception de cas de test et de
scénarios Exécution des tests.
Utilisation du résultat pour vérifier l'état de préparation du système.
Les critères d'acceptation sont des critères définis auxquels un livrable doit répondre pour satisfaire les besoins prédéfinis de l'utilisateur. Un plan d'UAT doit être
documenté pour le test final du système terminé. Les tests sont écrits du point de vue de l'utilisateur et doivent tester le système d'une manière aussi proche que
possible de la production.
Les réponses suivantes étaient incorrectes : Les
autres options présentées contiennent des définitions
valides. Manuel d'examen de la CISA 2014 Page
numéro 166
QUESTION 44
Lequel des éléments suivants est le processus de répétition d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que

Les changements dans le système d'information n'ont pas introduit d'erreurs ?

A. Test parallèle
B. Tests en boîte noire
C. Tests de régression
D. Essais pilotes

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre de systèmes d'information Les tests de régression sont le processus de réexécution d'une partie d'un
scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont pas introduit de nouvelles erreurs. Les données utilisées dans les
tests de régression doivent être les mêmes que les données originales.
Pour l'examen CISA, vous devez connaître les types de tests mentionnés ci-dessous

Test alpha et bêta Une version alpha est une version antérieure du système d'application soumise à l'utilisateur interne pour test. La version alpha peut ne pas
contenir toutes les fonctionnalités prévues pour la version finale. En règle générale, les logiciels passent par deux étapes de test avant d'être considérés comme
terminés. La première étape appelée test alpha est souvent effectuée uniquement par l'utilisateur au sein de l'organisation qui développe le logiciel. La deuxième
étape est appelée test bêta, une forme de test d'acceptation par l'utilisateur, implique généralement un nombre limité d'utilisateurs externes. Le test bêta est la
dernière étape du test et implique normalement une exposition dans le monde réel, l'envoi de la version bêta du produit à des sites de test bêta indépendants ou
l'offre gratuite à l'utilisateur intéressé.
Test pilote Test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais plutôt à
fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec seulement
des fonctionnalités de base.
Tests en boîte blanche Évaluez l'efficacité de la logique d'un logiciel. Plus précisément, les données de test sont utilisées pour déterminer la précision de la
procédure ou les conditions du chemin logique spécifique d'un programme. Cependant, tester tous les chemins logiques possibles dans un grand système
d'information n'est pas faisable et serait prohibitif, et n'est donc utilisé que sur une base sélective.

Forme de test basée sur l'intégrité associée à l'évaluation des composants de l'efficacité opérationnelle « fonctionnelle » d'un système d'information sans tenir
compte d'une structure de programme interne spécifique.
Applicable aux tests d'intégration et d'acceptation par les utilisateurs.

Tests de fonctionnement/validation : Il est similaire aux tests de système, mais il est souvent utilisé pour tester la fonctionnalité du système par rapport aux
exigences détaillées afin de s'assurer que le logiciel qui a été construit est traçable aux exigences du client.

Test de régression Processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Test parallèle Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de sociabilité Le but de ces tests est de confirmer qu'un système nouveau ou modifié peut fonctionner dans son environnement cible sans avoir d'impact négatif
sur le système existant. Cela devrait couvrir non seulement la plate-forme qui effectuera le traitement primaire de l'application et l'interface avec d'autres systèmes,
mais, dans un serveur client et un développement Web, les modifications apportées à l'environnement de bureau. Plusieurs applications peuvent s'exécuter sur le
bureau de l'utilisateur, potentiellement simultanément, il est donc important de tester l'impact de l'installation de nouvelles bibliothèques de liens dynamiques (DLL),
de la modification du registre du système d'exploitation ou du fichier de configuration, et éventuellement de l'utilisation supplémentaire de la mémoire.
Les réponses suivantes étaient incorrectes :

Test parallèle Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Forme de test basée sur l'intégrité associée à l'évaluation des composants de l'efficacité opérationnelle « fonctionnelle » d'un système d'information sans tenir
compte d'une structure de programme interne spécifique.
Applicable aux tests d'intégration et d'acceptation par les utilisateurs.

Test pilote Test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais plutôt à
fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec seulement
des fonctionnalités de base. Manuel de révision de la CISA 2014 Page numéro 167

QUESTION 45
Lequel des énoncés suivants est le processus consistant à introduire des données d'essai dans deux systèmes, le système modifié et le système alternatif, et à comparer le résultat ?

A. Test parallèle
B. Tests en boîte noire
C. Tests de régression
D. Essais pilotes
Bonne réponse : Un
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les tests parallèles sont le processus d'alimentation des données d'essai
dans deux systèmes, le système modifié et un système alternatif, et de comparaison des résultats.

Pour l'examen CISA, vous devez connaître les types de tests mentionnés ci-dessous

Test alpha et bêta Une version alpha est une version antérieure du système d'application soumise à l'utilisateur interne pour test. La version alpha peut ne pas
contenir toutes les fonctionnalités prévues pour la version finale. En règle générale, les logiciels passent par deux étapes de test avant d'être considérés comme
terminés. La première étape appelée test alpha est souvent effectuée uniquement par l'utilisateur au sein de l'organisation qui développe le logiciel. La deuxième
étape est appelée test bêta, une forme de test d'acceptation par l'utilisateur, implique généralement un nombre limité d'utilisateurs externes. Le test bêta est la
dernière étape du test et implique normalement une exposition dans le monde réel, l'envoi de la version bêta du produit à des sites de test bêta indépendants ou
l'offre gratuite à l'utilisateur intéressé.
Test pilote Test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais plutôt à
fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec seulement
des fonctionnalités de base.
Tests en boîte blanche Évaluez l'efficacité de la logique d'un logiciel. Plus précisément, les données de test sont utilisées pour déterminer la précision de la
procédure ou les conditions du chemin logique spécifique d'un programme. Cependant, tester tous les chemins logiques possibles dans un grand système
d'information n'est pas faisable et serait prohibitif, et n'est donc utilisé que sur une base sélective.

Forme de test basée sur l'intégrité associée à l'évaluation des composants de l'efficacité opérationnelle « fonctionnelle » d'un système d'information sans tenir
compte d'une structure de programme interne spécifique.

Applicable aux tests d'intégration et d'acceptation par les utilisateurs.

Tests de fonctionnement/validation : Il est similaire aux tests de système, mais il est souvent utilisé pour tester la fonctionnalité du système par rapport aux
exigences détaillées afin de s'assurer que le logiciel qui a été construit est traçable aux exigences du client.

Test de régression Processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Test parallèle Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de sociabilité Le but de ces tests est de confirmer qu'un système nouveau ou modifié peut fonctionner dans son environnement cible sans avoir d'impact négatif
sur le système existant. Cela devrait couvrir non seulement la plate-forme qui effectuera le traitement primaire de l'application et l'interface avec d'autres systèmes,
mais, dans un serveur client et un développement Web, les modifications apportées à l'environnement de bureau. Plusieurs applications peuvent s'exécuter sur le
bureau de l'utilisateur, potentiellement simultanément, il est donc important de tester l'impact de l'installation de nouvelles bibliothèques de liens dynamiques (DLL),
de la modification du registre du système d'exploitation ou du fichier de configuration, et éventuellement de l'utilisation supplémentaire de la mémoire.
Les réponses suivantes étaient incorrectes : Test de régression Processus consistant à renvoyer une partie d'un scénario de test ou d'un plan de test pour
s'assurer que les modifications ou les corrections n'ont pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les
mêmes que les données originales.

Forme de test basée sur l'intégrité associée à l'évaluation des composants de l'efficacité opérationnelle « fonctionnelle » d'un système d'information sans tenir
compte d'une structure de programme interne spécifique.
Applicable aux tests d'intégration et d'acceptation par les utilisateurs.

Test pilote Test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais plutôt à
fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec seulement
des fonctionnalités de base. Manuel de révision de la CISA 2014 Page numéro 167

QUESTION 46
Laquelle des affirmations suivantes décrit correctement la différence entre les tests en boîte noire et les tests en boîte blanche ?

Un.Les tests en boîte noire se concentrent sur l'efficacité fonctionnelle du programme logiciel, tandis que les tests en boîte blanche se
B. concentrent sur l'efficacité fonctionnelle du logiciel, tandis que la boîte noire évalue l'efficacité de la logique du logiciel
C. Les tests en boîte blanche et en boîte noire se concentrent sur l'efficacité opérationnelle fonctionnelle d'un système d'information sans tenir compte de la structure interne du programme
D. Les tests en boîte blanche et en boîte noire se concentrent sur l'efficacité de la logique du logiciel

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Pour l'examen CISA, vous devez connaître les types de tests mentionnés ci-dessous

Test alpha et bêta Une version alpha est une version antérieure du système d'application soumise à l'utilisateur interne pour test. La version alpha peut ne pas
contenir toutes les fonctionnalités prévues pour la version finale. En règle générale, les logiciels passent par deux étapes de test avant d'être considérés comme
terminés. La première étape appelée test alpha est souvent effectuée uniquement par l'utilisateur au sein de l'organisation qui développe le logiciel. La deuxième
étape est appelée test bêta, une forme de test d'acceptation par l'utilisateur, implique généralement un nombre limité d'utilisateurs externes. Le test bêta est la
dernière étape du test et implique normalement une exposition dans le monde réel, l'envoi de la version bêta du produit à des sites de test bêta indépendants ou
l'offre gratuite à l'utilisateur intéressé.
Test pilote Test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais plutôt à
fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec seulement
des fonctionnalités de base.
Tests en boîte blanche Évaluez l'efficacité de la logique d'un logiciel. Plus précisément, les données de test sont utilisées pour déterminer la précision de la
procédure ou les conditions du chemin logique spécifique d'un programme. Cependant, tester tous les chemins logiques possibles dans un grand système
d'information n'est pas faisable et serait prohibitif, et n'est donc utilisé que sur une base sélective.

Forme de test basée sur l'intégrité associée à l'évaluation des composants de l'efficacité opérationnelle « fonctionnelle » d'un système d'information sans tenir
compte d'une structure de programme interne spécifique.
Applicable aux tests d'intégration et d'acceptation par les utilisateurs.
Tests de fonctionnement/validation : Il est similaire aux tests de système, mais il est souvent utilisé pour tester la fonctionnalité du système par rapport aux
exigences détaillées afin de s'assurer que le logiciel qui a été construit est traçable aux exigences du client.

Test de régression Processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Test parallèle Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de sociabilité Le but de ces tests est de confirmer qu'un système nouveau ou modifié peut fonctionner dans son environnement cible sans avoir d'impact négatif sur le
système existant. Cela devrait couvrir non seulement la plate-forme qui effectuera le traitement primaire de l'application et l'interface avec d'autres systèmes, mais, dans un
serveur client et un développement Web, les modifications apportées à l'environnement de bureau. Plusieurs applications peuvent s'exécuter sur le bureau de l'utilisateur,
potentiellement simultanément, il est donc important de tester l'impact de l'installation de nouvelles bibliothèques de liens dynamiques (DLL), de la modification du registre du
système d'exploitation ou du fichier de configuration, et éventuellement de l'utilisation supplémentaire de la
mémoire. Les réponses suivantes étaient incorrectes : Les autres options présentées ne font pas la différence
entre les tests en boîte noire et en boîte blanche. Manuel d'examen de la CISA 2014 Page numéro 167

QUESTION 47
Lequel des contrôles de validation des données suivants valide les données d'entrée par rapport à des valeurs de plage prédéfinies ?

A. Vérification de l'autonomie
B. Recherches de tables
C. Vérification de l'existence
D. Vérification du caractère raisonnable

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Dans la plage Les données de contrôle ne doivent pas dépasser une plage de valeurs prédéfinie

Pour l'examen CISA, vous devez connaître les contrôles et vérifications de validation des données mentionnés ci-dessous

Vérification de séquence : Le numéro de contrôle suit séquentiellement et toute séquence ou numéro de contrôle dupliqué est rejeté ou noté sur un rapport
d'exception à des fins de suivi. Par exemple, les factures sont numérotées séquentiellement. La facture du jour commence par 12001 et se termine par 15045. Si
une facture supérieure à 15045 est rencontrée pendant le traitement, cette facture sera rejetée en tant que numéro de facture non valide.

Les données de contrôle de limite ne doivent pas dépasser un montant prédéfini. Par exemple, les chèques de paie ne doivent pas dépasser 4000 $ US. Si un
chèque dépasse 4000 dollars américains, les données seront rejetées pour une vérification ou une autorisation supplémentaire.

Contrôle de validité Vérification programmée de la validité des données selon des critères prédéfinis. Par exemple, un enregistrement de paie contient un champ
pour l'état civil et les codes d'état acceptables sont M ou S. Si un autre code est entré, l'enregistrement doit être rejeté.

Les données de vérification de plage ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide. Vérification du caractère raisonnable : les données d'entrée sont mises en
correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par exemple, un fabricant de widgets reçoit généralement une commande de 20
widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme informatique doit être conçu pour imprimer le dossier avec un avertissement
indiquant que la commande semble déraisonnable.
Les données d'entrée sont conformes à des critères prédéfinis conservés dans un tableau informatisé des valeurs possibles. Par exemple, un contrôle d'entrée entre
un code de ville compris entre 1 et 10. Ce numéro correspond à une table informatisée qui fait correspondre un code à un nom de ville.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification des touches Le processus de saisie des clés est répété par une personne distincte à l'aide d'une machine qui compare la frappe d'origine à la saisie
répétée. Par exemple, le numéro de l'ouvrier est saisi deux fois et comparé pour vérifier le processus de saisie.

Chiffre de contrôle Une valeur numérique qui a été calculée mathématiquement est ajoutée à une donnée pour s'assurer que les données d'origine n'ont pas été
modifiées ou incorrectes, mais qu'une valeur valide a été remplacée. Ce contrôle est efficace pour détecter les erreurs de transposition et de transcription. Par ex.
Un chiffre de contrôle est ajouté à un numéro de compte afin qu'il puisse être vérifié pour son exactitude lorsqu'il est utilisé.

Vérification de l'exhaustivité d'un fichier doit toujours contenir des données plutôt que des zéros ou des blancs. Une vérification de chaque octet de ce champ doit
être effectuée pour déterminer qu'une certaine forme de données, ou non des blancs ou des zéros, est présente. Par ex. Un numéro de travailleur sur un nouvel
enregistrement d'employé est laissé vide. Il est identifié comme une clé dans le classement et l'enregistrement serait rejeté, avec une demande que le champ soit
rempli avant que l'enregistrement ne soit accepté pour traitement.
La vérification en double de la nouvelle transaction est mise en correspondance avec celles précédemment saisies pour s'assurer qu'elles n'ont pas déjà été saisies.
Par ex. Un numéro de facture fournisseur correspond à la facture précédemment enregistrée pour s'assurer que la commande en cours n'est pas un doublon et, par
conséquent, que le fournisseur ne sera pas payé deux fois.
Relation logique Vérifiez si une condition particulière est vraie, alors une ou plusieurs conditions supplémentaires ou relation d'entrée de données peuvent être
requises pour être vraies et considérer l'entrée comme valide. Par ex. Les données d'embauche d'un employé peuvent être tenues d'être vraies et de considérer
l'entrée comme valide. Par ex. La date d'embauche d'un employé peut être requise de plus de 16 ans après sa date de naissance.

Les réponses suivantes étaient incorrectes :

Les données d'entrée sont conformes à des critères prédéfinis conservés dans un tableau informatisé des valeurs possibles. Par exemple, un contrôle d'entrée entre
un code de ville compris entre 1 et 10. Ce numéro correspond à une table informatisée qui fait correspondre un code à un nom de ville.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.
Manuel d'examen de la CISA 2014 Numéro de page 215

QUESTION 48
Lequel des contrôles suivants permet de s'assurer que les données d'entrée sont conformes aux critères prédéfinis conservés dans le tableau informatisé des valeurs possibles ?

A. Vérification de l'autonomie
B. Recherches de tables
C. Vérification de l'existence
D. Vérification du caractère raisonnable

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Dans les recherches, les données d'entrée sont conformes à des critères
prédéfinis conservés dans la table informatisée des valeurs possibles. Par exemple, un contrôle d'entrée entre un code de ville compris entre 1 et 10. Ce numéro
correspond à une table informatisée qui fait correspondre un code à un nom de ville.

Pour l'examen CISA, vous devez connaître les contrôles et vérifications de validation des données mentionnés ci-dessous

Vérification de séquence Le numéro de contrôle suit séquentiellement et toute séquence ou numéro de contrôle dupliqué est rejeté ou noté sur un rapport d'exception pour est
à des fins de suivi. Par exemple, les factures sont numérotées séquentiellement. La facture du jour commence par 12001 et se termine par 15045. Si une facture supérieure à 15045
rencontré pendant le traitement, cette facture serait rejetée en tant que numéro de facture non valide.

Les données de contrôle de limite ne doivent pas dépasser un montant prédéfini. Par exemple, les chèques de paie ne doivent pas dépasser 4000 $ US. Si un
chèque dépasse 4000 dollars américains, les données seront rejetées pour une vérification ou une autorisation supplémentaire.

Contrôle de validité Vérification programmée de la validité des données selon des critères prédéfinis. Par exemple, un enregistrement de paie contient un champ
pour l'état civil et les codes d'état acceptables sont M ou S. Si un autre code est entré, l'enregistrement doit être rejeté.

Les données de vérification de plage ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.

Les données d'entrée sont conformes à des critères prédéfinis conservés dans un tableau informatisé des valeurs possibles. Par exemple, un contrôle d'entrée entre
un code de ville compris entre 1 et 10. Ce numéro correspond à une table informatisée qui fait correspondre un code à un nom de ville.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification des touches Le processus de saisie des clés est répété par une personne distincte à l'aide d'une machine qui compare la frappe d'origine à la saisie
répétée. Par exemple, le numéro de l'ouvrier est saisi deux fois et comparé pour vérifier le processus de saisie.

Chiffre de contrôle Une valeur numérique qui a été calculée mathématiquement est ajoutée à une donnée pour s'assurer que les données d'origine n'ont pas été
modifiées ou incorrectes, mais qu'une valeur valide a été remplacée. Ce contrôle est efficace pour détecter les erreurs de transposition et de transcription. Par ex.
Un chiffre de contrôle est ajouté à un numéro de compte afin qu'il puisse être vérifié pour son exactitude lorsqu'il est utilisé.

Vérification de l'exhaustivité d'un fichier doit toujours contenir des données plutôt que des zéros ou des blancs. Une vérification de chaque octet de ce champ doit
être effectuée pour déterminer qu'une certaine forme de données, ou non des blancs ou des zéros, est présente. Par ex. Un numéro de travailleur sur un nouvel
enregistrement d'employé est laissé vide. Il est identifié comme une clé dans le classement et l'enregistrement serait rejeté, avec une demande que le champ soit
rempli avant que l'enregistrement ne soit accepté pour traitement. La vérification en double de la nouvelle transaction est mise en correspondance avec celles
précédemment saisies pour s'assurer qu'elles n'ont pas déjà été saisies. Par ex. Un numéro de facture fournisseur correspond à la facture précédemment
enregistrée pour s'assurer que la commande en cours n'est pas un doublon et, par conséquent, que le fournisseur ne sera pas payé deux fois.
Relation logique Vérifiez si une condition particulière est vraie, alors une ou plusieurs conditions supplémentaires ou relation d'entrée de données peuvent être
requises pour être vraies et considérer l'entrée comme valide. Par ex. Les données d'embauche d'un employé peuvent être tenues d'être vraies et de considérer
l'entrée comme valide. Par ex. La date d'embauche d'un employé peut être requise de plus de 16 ans après sa date de naissance.

Les réponses suivantes étaient incorrectes :

Les données de vérification de plage ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.
Manuel d'examen de la CISA 2014 Numéro de page 215

QUESTION 49
John avait mis en place une vérification de validation sur le champ de l'état civil d'un dossier de paie. Un enregistrement de paie contient un champ pour l'état civil
et le code d'état acceptable est M pour Marié ou S pour Célibataire. Si un autre code est entré, l'enregistrement doit être rejeté. Lequel des contrôles de validation
des données suivants a été mis en œuvre par John ?

A. Vérification de l'autonomie
B. Contrôle de validité
C. Vérification de l'existence
D. Vérification du caractère raisonnable

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Dans un contrôle de validité, contrôle programmé de la validité des données selon
des critères prédéfinis. Par exemple, un enregistrement de paie contient un champ pour l'état civil et les codes d'état acceptables sont M ou S. Si un autre code est
entré, l'enregistrement doit être rejeté.

Pour l'examen CISA, vous devez connaître les contrôles et vérifications de validation des données mentionnés ci-dessous

Vérification de séquence : Le numéro de contrôle suit séquentiellement et toute séquence ou numéro de contrôle dupliqué est rejeté ou noté sur un rapport
d'exception à des fins de suivi. Par exemple, les factures sont numérotées séquentiellement. La facture du jour commence par 12001 et se termine par 15045. Si
une facture supérieure à 15045 est rencontrée pendant le traitement, cette facture sera rejetée en tant que numéro de facture non valide.

Les données de contrôle de limite ne doivent pas dépasser un montant prédéfini. Par exemple, les chèques de paie ne doivent pas dépasser 4000 $ US. Si un
chèque dépasse 4000 dollars américains, les données seront rejetées pour une vérification ou une autorisation supplémentaire. Contrôle de validité Vérification
programmée de la validité des données selon des critères prédéfinis. Par exemple, un enregistrement de paie contient un champ pour l'état civil et les codes d'état
acceptables sont M ou S. Si un autre code est entré, l'enregistrement doit être rejeté.
Les données de vérification de plage ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.

Les données d'entrée sont conformes à des critères prédéfinis conservés dans un tableau informatisé des valeurs possibles. Par exemple, un contrôle d'entrée entre
un code de ville compris entre 1 et 10. Ce numéro correspond à une table informatisée qui fait correspondre un code à un nom de ville.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification des touches Le processus de saisie des clés est répété par une personne distincte à l'aide d'une machine qui compare la frappe d'origine à la saisie
Par exemple, le numéro de l'ouvrier est saisi deux fois et comparé pour vérifier le processus de saisie.

répétée. Pour le chiffre de contrôle, une valeur numérique qui a été calculée mathématiquement est ajoutée à une donnée pour s'assurer que les données d'origine
n'ont pas été modifiées ou incorrectes, mais remplacées par une valeur valide. Ce contrôle est efficace pour détecter les erreurs de transposition et de transcription.
Par ex. Un chiffre de contrôle est ajouté à un numéro de compte afin qu'il puisse être vérifié pour son exactitude lorsqu'il est utilisé.

Vérification de l'exhaustivité d'un fichier doit toujours contenir des données plutôt que des zéros ou des blancs. Une vérification de chaque octet de ce champ doit
être effectuée pour déterminer qu'une certaine forme de données, ou non des blancs ou des zéros, est présente. Par ex. Un numéro de travailleur sur un nouvel
enregistrement d'employé est laissé vide. Il est identifié comme une clé dans le classement et l'enregistrement serait rejeté, avec une demande que le champ soit
rempli avant que l'enregistrement ne soit accepté pour traitement.
La vérification en double de la nouvelle transaction est mise en correspondance avec celles précédemment saisies pour s'assurer qu'elles n'ont pas déjà été saisies.
Par ex. Un numéro de facture fournisseur correspond à la facture précédemment enregistrée pour s'assurer que la commande en cours n'est pas un doublon et, par
conséquent, que le fournisseur ne sera pas payé deux fois.
Relation logique Vérifiez si une condition particulière est vraie, alors une ou plusieurs conditions supplémentaires ou relation d'entrée de données peuvent être
requises pour être vraies et considérer l'entrée comme valide. Par ex. Les données d'embauche d'un employé peuvent être tenues d'être vraies et de considérer
l'entrée comme valide. Par ex. La date d'embauche d'un employé peut être requise de plus de 16 ans après sa date de naissance.

Les réponses suivantes étaient incorrectes :

Vérification de plage : les données ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.
Manuel d'examen de la CISA 2014 Numéro de page 215

QUESTION 50
Lors de la mise en œuvre d'un système de facturation, Lily a mis en place un contrôle de base de données qui vérifie que les nouvelles transactions sont mises
en correspondance avec celles précédemment saisies pour s'assurer qu'elles n'ont pas déjà été saisies. Lequel des contrôles suivants est mis en œuvre par
Lily ?
A. Vérification de l'autonomie
B. Vérification des doublons
C. Vérification de l'existence
D. Vérification du caractère raisonnable

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Dans un contrôle de vérification en double, les nouvelles transactions sont
appariées à celles précédemment saisies pour s'assurer qu'elles n'ont pas déjà été saisies. Par ex. Un numéro de facture fournisseur correspond à la facture
précédemment enregistrée pour s'assurer que la commande en cours n'est pas un doublon et, par conséquent, que le fournisseur ne sera pas payé deux fois.

Pour l'examen CISA, vous devez connaître les contrôles et vérifications de validation des données mentionnés ci-dessous

Vérification de séquence : Le numéro de contrôle suit séquentiellement et toute séquence ou numéro de contrôle dupliqué est rejeté ou noté sur un rapport
d'exception à des fins de suivi. Par exemple, les factures sont numérotées séquentiellement. La facture du jour commence par 12001 et se termine par 15045. Si
une facture supérieure à 15045 est rencontrée pendant le traitement, cette facture sera rejetée en tant que numéro de facture non valide.

Les données de contrôle de limite ne doivent pas dépasser un montant prédéfini. Par exemple, les chèques de paie ne doivent pas dépasser 4000 $ US. Si un
chèque dépasse 4000 dollars américains, les données seront rejetées pour une vérification ou une autorisation supplémentaire.

Contrôle de validité Vérification programmée de la validité des données selon des critères prédéfinis. Par exemple, un enregistrement de paie contient un champ
pour l'état civil et les codes d'état acceptables sont M ou S. Si un autre code est entré, l'enregistrement doit être rejeté.

Les données de vérification de plage ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.

Les données d'entrée sont conformes à des critères prédéfinis conservés dans un tableau informatisé des valeurs possibles. Par exemple, un contrôle d'entrée entre
un code de ville compris entre 1 et 10. Ce numéro correspond à une table informatisée qui fait correspondre un code à un nom de ville.

Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification des touches Le processus de saisie des clés est répété par une personne distincte à l'aide d'une machine qui compare la frappe d'origine à la saisie
répétée. Par exemple, le numéro de l'ouvrier est saisi deux fois et comparé pour vérifier le processus de saisie.

Chiffre de contrôle Une valeur numérique qui a été calculée mathématiquement est ajoutée à une donnée pour s'assurer que les données d'origine n'ont pas été
modifiées ou incorrectes, mais qu'une valeur valide a été remplacée. Ce contrôle est efficace pour détecter les erreurs de transposition et de transcription. Par ex.
Un chiffre de contrôle est ajouté à un numéro de compte afin qu'il puisse être vérifié pour son exactitude lorsqu'il est utilisé.

Vérification de l'exhaustivité d'un fichier doit toujours contenir des données plutôt que des zéros ou des blancs. Une vérification de chaque octet de ce champ doit
être effectuée pour déterminer qu'une certaine forme de données, ou non des blancs ou des zéros, est présente. Par ex. Un numéro de travailleur sur un nouvel
enregistrement d'employé est laissé vide. Il est identifié comme une clé dans le classement et l'enregistrement serait rejeté, avec une demande que le champ soit
rempli avant que l'enregistrement ne soit accepté pour traitement.
La vérification en double de la nouvelle transaction est mise en correspondance avec celles précédemment saisies pour s'assurer qu'elles n'ont pas déjà été saisies.
Par ex. Un numéro de facture fournisseur correspond à la facture précédemment enregistrée pour s'assurer que la commande en cours n'est pas un doublon et, par
conséquent, que le fournisseur ne sera pas payé deux fois.
Relation logique Vérifiez si une condition particulière est vraie, alors une ou plusieurs conditions supplémentaires ou relation d'entrée de données peuvent être
requises pour être vraies et considérer l'entrée comme valide. Par ex. Les données d'embauche d'un employé peuvent être tenues d'être vraies et de considérer
l'entrée comme valide. Par ex. La date d'embauche d'un employé peut être requise plus de 16 ans après sa date de naissance.

Les réponses suivantes étaient incorrectes :

Les données de vérification de plage ne doivent pas dépasser une plage de valeurs prédéfinie. Par exemple, le code de type de produit varie de 100 à 250. Tout
code en dehors de cette plage doit être rejeté comme un type de produit non valide.
Les données de vérification d'existence sont saisies correctement et correspondent à des critères prédéfinis valides. Par exemple, un code de transaction valide
doit être saisi dans le champ du code de transaction.

Vérification du caractère raisonnable : les données d'entrée sont mises en correspondance avec des limites raisonnables ou des taux d'occurrence prédéfinis. Par
exemple, un fabricant de widgets reçoit généralement une commande de 20 widgets maximum. Si une commande de plus de 20 widgets est reçue, le programme
informatique doit être conçu pour imprimer le dossier avec un avertissement indiquant que la commande semble déraisonnable.
Manuel d'examen de la CISA 2014 Numéro de page 215

QUESTION 51
William s'est vu confier une tâche de changement. Il doit décomposer l'ancien système en modules livrables. Dans un premier temps, le premier module de l'ancien
système est progressivement supprimé à l'aide du premier module d'un nouveau système. Ensuite, le deuxième module de l'ancien système est progressivement
supprimé, en utilisant le deuxième module du nouveau système et ainsi de suite
jusqu'à atteindre le dernier module. Lequel des systèmes de changement suivant William doit mettre en œuvre ?

A. Passage en parallèle
B. Passage progressif
C. brutal
D. Changement de pilote

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Dans le cadre d'une approche de basculement progressif, l'ancien système est divisé en modules de
produits livrables. Initialement, le premier module de l'ancien système est progressivement supprimé à l'aide du premier module d'un nouveau système. Ensuite, le deuxième module du
système le plus récent est progressivement supprimé, en utilisant le deuxième module du système le plus récent et ainsi de suite jusqu'à atteindre le dernier module.
Voici quelques-uns des domaines de risque qui peuvent exister dans la zone de transition progressive :

Extension du cycle de vie du projet pour couvrir deux

systèmes.
Gestion des changements pour les exigences et les personnalisations afin de maintenir la prise en charge continue des anciens systèmes.

Le basculement fait référence à une approche visant à faire passer les utilisateurs de l'utilisation de l'application de l'ancien système existant au système de remplacement (nouveau).

Le passage à un système plus récent comporte quatre étapes ou activités principales : Conversion des fichiers et des programmes ; Test sur
banc d'essai Installation du nouveau matériel, du nouveau système d'exploitation, du nouveau système d'application et des données migrées.
Planification des opérations et des tests pour la mise en service
ou le changement

Parmi les domaines de risque liés au passage à l'euro figurent :

Intégrité des données Efficacité

du système Défis de la gestion
du changement Enregistrements
en double ou manquants

Les réponses suivantes étaient incorrectes :

Cette technique consiste à exécuter l'ancien système, puis à exécuter l'ancien et le nouveau système en parallèle et enfin à passer complètement au nouveau
système après avoir acquis confiance dans le fonctionnement du nouveau système.

Dans l'approche du changement brusque, le nouveau système est remplacé par l'ancien système à une date et une heure limites, et l'ancien système est
abandonné une fois que le passage au nouveau système a eu lieu.

Changement de pilote : Type de changement

non valide. Manuel d'examen de la CISA 2014
Page numéro 172
QUESTION 52
Dans lequel des modes de paiement suivants, le payeur crée des instructions de virement, les signe numériquement et les envoie à l'émetteur ?

A. Modèle de monnaie électronique

B. Modèle de contrôle électronique
C. de transfert électronique
D. Modèle de retrait électronique

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les systèmes électroniques sont le plus simple des trois modèles de paiement.
Le payeur crée simplement des instructions de transfert de paiement, les signe numériquement et les envoie à l'émetteur. L'émetteur vérifie ensuite la signature sur
la demande et effectue le transfert. Ce type de système exige que le payeur soit en ligne et non le bénéficiaire.

Pour l'examen CISA, vous devez connaître ci-dessous les informations sur les systèmes de paiement Il existe deux types de parties impliquées dans tous les
systèmes de paiement : l'émetteur et l'utilisateur. Un émetteur est une entité qui exploite le service de paiement. Un émetteur détient les éléments que le paiement
représente. L'utilisateur du service de paiement remplit deux fonctions principales : effectuer des paiements et recevoir des paiements et peut donc être décrit
comme un payeur ou un bénéficiaire réceptif.
Modèle de monnaie électronique L'objectif des systèmes de monnaie électronique est d'émuler l'argent physique. Un émetteur tente de le faire en créant des
certificats numériques, qui sont ensuite achetés par les utilisateurs qui les rachètent auprès de l'émetteur à une date ultérieure. Dans l'intervalle, les certificats
peuvent être transférés entre les utilisateurs pour échanger des biens ou des services. Pour que le certificat prenne certains des attributs de l'argent physique,
certaines techniques sont utilisées de sorte que lorsqu'un certificat est déposé, l'émetteur ne peut pas déterminer le retrait initial du certificat. Cela fournit un
certificat électronique avec une incertitude inconditionnelle.
Modèle de contrôle électronique Modèle de système de contrôle électronique Contrôles du monde réel assez bien et donc relativement simple à comprendre et à
mettre en œuvre. Un utilisateur rédige un chèque électronique, qui est une instruction de paiement signée numériquement. Celui-ci est transféré à un autre
utilisateur, qui dépose ensuite le chèque électronique auprès de l'émetteur. L'émetteur vérifiera la signature du payeur sur le paiement et transférera le fonds du
compte du payeur au compte du bénéficiaire.
Modèle de transfert électronique Les systèmes électroniques sont le plus simple des trois modèles de paiement. Le payeur crée simplement des instructions de
transfert de paiement, les signe numériquement et les envoie à l'émetteur. L'émetteur vérifie ensuite la signature sur la demande et effectue le transfert. Ce type de
système exige que le payeur soit en ligne et non le bénéficiaire.
Les réponses suivantes étaient
incorrectes : Modèle de monnaie électronique L'objectif des systèmes de monnaie électronique est d'émuler l'argent physique. Un émetteur tente de le faire en créant des certificats
numériques, qui sont ensuite achetés par les utilisateurs qui les rachètent auprès de l'émetteur à une date ultérieure. Dans l'intervalle, les certificats peuvent être transférés entre les
utilisateurs pour échanger des biens ou des services. Pour que le certificat prenne certains des attributs de l'argent physique, certaines techniques sont utilisées de sorte que
lorsqu'un certificat est déposé, l'émetteur ne peut pas déterminer le retrait initial du certificat. Cela fournit un certificat électronique avec une incertitude inconditionnelle.

Modèle de contrôle électronique Modèle de système de contrôle électronique Contrôles du monde réel assez bien et donc relativement simple à comprendre et à
mettre en œuvre. Un utilisateur rédige un chèque électronique, qui est une instruction de paiement signée numériquement. Celui-ci est transféré à un autre
utilisateur, qui dépose ensuite le chèque électronique auprès de l'émetteur. L'émetteur vérifiera la signature du payeur sur le paiement et transférera le fonds du
compte du payeur au compte du bénéficiaire.
Modèle de retrait électronique Ce n'est pas un type de système
de paiement valide. Manuel d'examen de la CISA 2014 Page
numéro 183
QUESTION 53
Dans lequel des modes de paiement suivants, un émetteur tente d'émuler de l'argent physique en créant des certificats numériques, qui sont achetés par les
utilisateurs qui les rachètent auprès de l'émetteur à une date ultérieure ?

A. Modèle de monnaie électronique

B. Modèle de contrôle électronique
C. de transfert électronique
D. Modèle de retrait électronique

Bonne réponse : A
Explication

Explication/Référence :
Dans un modèle de monnaie électronique, l'émetteur tente de le faire en créant des certificats numériques, qui sont ensuite achetés par les utilisateurs qui les
rachètent auprès de l'émetteur à une date ultérieure. Dans l'intervalle, les certificats peuvent être transférés entre les utilisateurs pour échanger des biens ou des
services. Pour que le certificat prenne certains des attributs de l'argent physique, certaines techniques sont utilisées de sorte que lorsqu'un certificat est déposé,
l'émetteur ne peut pas déterminer le retrait initial du certificat. Cela fournit un certificat électronique avec une incertitude inconditionnelle.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les systèmes de paiement

Il existe deux types de parties impliquées dans tous les systèmes de paiement : l'émetteur et l'utilisateur. Un émetteur est une entité qui exploite le service de
paiement. Un émetteur détient les éléments que le paiement représente. L'utilisateur du service de paiement remplit deux fonctions principales : effectuer des
paiements et recevoir des paiements et peut donc être décrit comme un payeur ou un bénéficiaire réceptif.

Modèle de monnaie électronique L'objectif des systèmes de monnaie électronique est d'émuler l'argent physique. Un émetteur tente de le faire en créant des
certificats numériques, qui sont ensuite achetés par les utilisateurs qui les rachètent auprès de l'émetteur à une date ultérieure. Dans l'intervalle, les certificats
peuvent être transférés entre les utilisateurs pour échanger des biens ou des services. Pour que le certificat prenne certains des attributs de l'argent physique,
certaines techniques sont utilisées de sorte que lorsqu'un certificat est déposé, l'émetteur ne peut pas déterminer le retrait initial du certificat. Cela fournit un
certificat électronique avec une incertitude inconditionnelle.
Modèle de contrôle électronique Modèle de système de contrôle électronique Contrôles du monde réel assez bien et donc relativement simple à comprendre et à
mettre en œuvre. Un utilisateur rédige un chèque électronique, qui est une instruction de paiement signée numériquement. Celui-ci est transféré à un autre
utilisateur, qui dépose ensuite le chèque électronique auprès de l'émetteur. L'émetteur vérifiera la signature du payeur sur le paiement et transférera le fonds du
compte du payeur au compte du bénéficiaire.
Modèle de transfert électronique Les systèmes électroniques sont le plus simple des trois modèles de paiement. Le payeur crée simplement des instructions de
transfert de paiement, les signe numériquement et les envoie à l'émetteur. L'émetteur vérifie ensuite la signature sur la demande et effectue le transfert. Ce type de
système exige que le payeur soit en ligne et non le bénéficiaire.
Les réponses suivantes étaient incorrectes :

Modèle de contrôle électronique Modèle de système de contrôle électronique Contrôles du monde réel assez bien et donc relativement simple à comprendre et à
mettre en œuvre. Un utilisateur rédige un chèque électronique, qui est une instruction de paiement signée numériquement. Celui-ci est transféré à un autre
utilisateur, qui dépose ensuite le chèque électronique auprès de l'émetteur. L'émetteur vérifiera la signature du payeur sur le paiement et transférera le fonds du
compte du payeur au compte du bénéficiaire. Modèle de transfert électronique - Les systèmes électroniques sont les plus simples des trois modèles de paiement.
Le payeur crée simplement des instructions de transfert de paiement, les signe numériquement et les envoie à l'émetteur. L'émetteur vérifie ensuite le
signature sur la demande et effectue le transfert. Ce type de système exige que le payeur soit en ligne et non le bénéficiaire.

Modèle de retrait électronique Ce n'est pas un type de système

de paiement valide. Manuel d'examen de la CISA 2014 Page
numéro 183
QUESTION 54
Identifiez le modèle de paiement à partir de la description présentée ci-dessous :
Un utilisateur écrit un chèque électronique, qui est signé numériquement avec l'instruction de payer. Celui-ci est transféré à un autre utilisateur, qui dépose ensuite
le chèque électronique auprès de l'émetteur. L'émetteur vérifiera la signature du payeur sur le paiement et transférera le fonds du compte du payeur au compte du
bénéficiaire.
A. Modèle de monnaie électronique
B. Modèle de contrôle électronique
C. de transfert électronique
D. Modèle de retrait électronique

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Modèle de système de contrôle électronique Contrôles dans le monde réel assez
bien et donc relativement simple à comprendre et à mettre en œuvre. Un utilisateur rédige un chèque électronique, qui est une instruction de paiement signée
numériquement. Celui-ci est transféré à un autre utilisateur, qui dépose ensuite le chèque électronique auprès de l'émetteur. L'émetteur vérifiera la signature du
payeur sur le paiement et transférera le fonds du compte du payeur au compte du bénéficiaire.
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les systèmes de paiement

Il existe deux types de parties impliquées dans tous les systèmes de paiement : l'émetteur et l'utilisateur. Un émetteur est une entité qui exploite le service de
paiement. Un émetteur détient les éléments que le paiement représente. L'utilisateur du service de paiement remplit deux fonctions principales : effectuer des
paiements et recevoir des paiements et peut donc être décrit comme un payeur ou un bénéficiaire réceptif.

Modèle de monnaie électronique L'objectif des systèmes de monnaie électronique est d'émuler l'argent physique. Un émetteur tente de le faire en créant des
certificats numériques, qui sont ensuite achetés par les utilisateurs qui les rachètent auprès de l'émetteur à une date ultérieure. Dans l'intervalle, les certificats
peuvent être transférés entre les utilisateurs pour échanger des biens ou des services. Pour que le certificat prenne certains des attributs de l'argent physique,
certaines techniques sont utilisées de sorte que lorsqu'un certificat est déposé, l'émetteur ne peut pas déterminer le retrait initial du certificat. Cela fournit un
certificat électronique avec une incertitude inconditionnelle.
Modèle de contrôle électronique Modèle de système de contrôle électronique Contrôles du monde réel assez bien et donc relativement simple à comprendre et à mettre en œuvre. Un utilisateur rédige
un chèque électronique, qui est une instruction de paiement signée numériquement. Celui-ci est transféré à un autre utilisateur, qui dépose ensuite le chèque électronique auprès de l'émetteur. Le
vérifiera la signature du payeur sur le paiement et transférera les fonds du compte du payeur au compte du bénéficiaire.

modèle de transfert électronique de l'émetteur Les systèmes électroniques sont le plus simple des trois modèles de paiement. Le payeur crée simplement des instructions de transfert de paiement, les
signe numériquement et les envoie à l'émetteur. L'émetteur vérifie ensuite la signature sur la demande et effectue le transfert. Ce type de système exige que le payeur soit en ligne et non le bénéficiaire.

Les réponses suivantes étaient incorrectes :

Modèle de monnaie électronique L'objectif des systèmes de monnaie électronique est d'émuler l'argent physique. Un émetteur tente de le faire en créant des
certificats numériques, qui sont ensuite achetés par les utilisateurs qui les rachètent auprès de l'émetteur à une date ultérieure. Dans l'intervalle, les certificats
peuvent être transférés entre les utilisateurs pour échanger des biens ou des services. Pour que le certificat prenne certains des attributs de l'argent physique,
certaines techniques sont utilisées de sorte que lorsqu'un certificat est déposé, l'émetteur ne peut pas déterminer le retrait initial du certificat. Cela fournit un
certificat électronique avec une incertitude inconditionnelle. Modèle de transfert électronique Les systèmes électroniques sont le plus simple des trois modèles de
paiement. Le payeur crée simplement des instructions de transfert de paiement, les signe numériquement et les envoie à l'émetteur. L'émetteur vérifie ensuite la
signature sur la demande et effectue le transfert. Ce type de système exige que le payeur soit en ligne et non le bénéficiaire.
Modèle de retrait électronique Ce n'est pas un type de système
de paiement valide. Manuel d'examen de la CISA 2014 Page
numéro 183
QUESTION 55
Lequel des modèles de commerce électronique suivants couvre toutes les transactions entre les entreprises et les organisations gouvernementales ?

A. Relations B-to-C
B. Relations B-to-B
C. Relations B-to-E
D. Relations B-to-G

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les relations entre les entreprises et les gouvernements (B-to-G) couvrent
toutes les transactions entre les entreprises et les organisations gouvernementales. Actuellement, cette catégorie n'en est qu'à ses débuts, mais elle pourrait se
développer rapidement à mesure que le gouvernement utilise ses propres opérations pour promouvoir la sensibilisation et la croissance du commerce électronique.
Outre les marchés publics, les administrations peuvent également offrir la possibilité d'un échange électronique pour des transactions telles que les déclarations de
TVA et le paiement de l'impôt sur les sociétés.
Pour l'examen CISA, vous devez connaître ci-dessous les modèles de commerce électronique :

Le plus grand pouvoir potentiel du commerce électronique provient de sa capacité à redéfinir la relation avec les clients en créant un nouveau canal pratique et peu
coûteux pour effectuer des transactions. Les entreprises peuvent adapter leurs stratégies marketing aux besoins et aux désirs de chaque client. Au fur et à mesure
que ses activités se déplacent en ligne, une entreprise aura une meilleure capacité à suivre la façon dont ses clients interagissent avec elle.

Relations interentreprises (B-to-B) La relation entre les services de vente de deux entreprises ou plus ouvre la possibilité de réorganiser les processus
commerciaux au-delà des frontières qui séparent traditionnellement les entités externes les unes des autres. En raison de la facilité d'accès et de l'omniprésence
d'Internet, par exemple, les entreprises peuvent créer des processus commerciaux qui combinent des activités auparavant séparées. Il en résulte un ensemble de
transactions plus rapides, de meilleure qualité et moins coûteuses. Le marché a toujours créé une subdivision des relations B-to-B appelées relations d'entreprise à
petite entreprise (B-to-SB)
Relations entre les entreprises et les employés (B-to-E) Les technologies Web aident également à la diffusion d'informations aux employés d'une organisation.

Les relations entre les entreprises et les gouvernements (B-to-G) couvrent toutes les transactions entre les entreprises et les organisations gouvernementales.
Actuellement, cette catégorie n'en est qu'à ses débuts, mais elle pourrait se développer rapidement à mesure que le gouvernement utilise ses propres opérations
pour promouvoir la sensibilisation et la croissance du commerce électronique. Outre les marchés publics,
les administrations peuvent également offrir la possibilité d'un échange électronique pour des opérations telles que les déclarations de TVA et le paiement de l'impôt sur les sociétés.

Les réponses suivantes étaient incorrectes :

Les autres options présentées ne couvrent pas toutes les transactions entre les entreprises et les organisations
gouvernementales. Manuel d'examen de la CISA 2014 Numéro de page 175

QUESTION 56
Lequel des langages de quatrième génération suivants dépend de systèmes de gestion de bases de données autonomes ?

A. Générateur de requêtes et de rapports

B. Base de données intégrée 4GL
C. de données relationnelle 4GL
D. Générateurs d'applications

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Base de données intégrée Les 4GL dépendent de systèmes autonomes de
gestion de bases de données. Ces caractéristiques les rendent souvent plus conviviaux, mais peuvent également conduire à des applications qui ne sont pas bien
intégrées à d'autres applications de produits. Par exemple, FOCUS, RAMIS II et NOMAD 2.

Pour l'examen CISA, vous devez connaître les types de 4GL mentionnés ci-dessous

Générateur de requêtes et de rapports Ces langages spécialisés peuvent extraire et produire des rapports. Récemment, un langage plus puissant a été produit
qui peut accéder à des enregistrements de bases de données, produire des résultats complexes en ligne et être développé dans un langage presque naturel.

Base de données embarquée 4GL Ceux-ci dépendent de systèmes de gestion de base de données autonomes. Ces caractéristiques les rendent souvent plus
conviviaux, mais peuvent également conduire à des applications qui ne sont pas bien intégrées à d'autres applications de produits. Par exemple, FOCUS, RAMIS II
et NOMAD 2.
Base de données relationnelle 4GL Ces produits linguistiques de haut niveau sont généralement une fonctionnalité facultative de la gamme de produits
SGBD du fournisseur. Ceux-ci permettent au développeur d'applications de mieux utiliser le produit SGBD, mais ils ne sont souvent pas orientés vers
l'utilisateur final. Par exemple, SQL+, MANTIS et NATURAL.
Ces outils de développement génèrent des langages de programmation de bas niveau (3GL) tels que COBOL et C. L'application peut être adaptée et
personnalisée. Le personnel de développement du traitement des données, et non l'utilisateur final, utilise des générateurs d'applications.

Les réponses suivantes étaient incorrectes :

Générateur de requêtes et de rapports Ces langages spécialisés peuvent extraire et produire des rapports. Base de données relationnelle 4GL Ces produits
linguistiques de haut niveau sont généralement une fonctionnalité facultative de la gamme de produits SGBD du fournisseur.
Ces outils de développement génèrent des langages de programmation de bas niveau (3GL) tels que COBOL et C.
Manuel d'examen de la CISA 2014 Page numéro 209

QUESTION 57
Lequel des langages de quatrième génération suivants est un outil de développement pour générer des langages de programmation de bas niveau ?

A. Générateur de requêtes et de rapports

B. Base de données intégrée 4GL
C. de données relationnelle 4GL
D. Générateurs d'applications

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et implémentation de systèmes d'information Générateurs d'applications Ces outils de développement génèrent des
langages de programmation de bas niveau (3GL) tels que COBOL et C. L'application peut être adaptée et personnalisée. Le personnel de développement du
traitement des données, et non l'utilisateur final, utilise des générateurs d'applications.

Pour l'examen CISA, vous devez connaître les types de 4GL mentionnés ci-dessous

Générateur de requêtes et de rapports Ces langages spécialisés peuvent extraire et produire des rapports. Récemment, un langage plus puissant a été produit
qui peut accéder à des enregistrements de bases de données, produire des résultats complexes en ligne et être développé dans un langage presque naturel.

Base de données embarquée 4GL Ceux-ci dépendent de systèmes de gestion de base de données autonomes. Ces caractéristiques les rendent souvent plus
conviviaux, mais peuvent également conduire à des applications qui ne sont pas bien intégrées à d'autres applications de produits. Par exemple, FOCUS, RAMIS II
et NOMAD 2.
Base de données relationnelle 4GL Ces produits linguistiques de haut niveau sont généralement une fonctionnalité facultative de la gamme de produits
SGBD du fournisseur. Ceux-ci permettent au développeur d'applications de mieux utiliser le produit SGBD, mais ils ne sont souvent pas orientés vers
l'utilisateur final. Par exemple, SQL+, MANTIS et NATURAL.
Ces outils de développement génèrent des langages de programmation de bas niveau (3GL) tels que COBOL et C. L'application peut être adaptée et
personnalisée. Le personnel de développement du traitement des données, et non l'utilisateur final, utilise des générateurs d'applications.

Les réponses suivantes étaient incorrectes :

Générateur de requêtes et de rapports Ces langages spécialisés peuvent extraire et produire des rapports.

Base de données relationnelle 4GL Ces produits linguistiques de haut niveau sont généralement une fonctionnalité facultative de la gamme de produits SGBD du fournisseur.

Base de données embarquée 4GL Ceux-ci dépendent de systèmes de gestion de base de données autonomes. Ces caractéristiques les rendent souvent plus
conviviaux, mais peuvent également conduire à des applications qui ne sont pas bien intégrées à d'autres applications de produits.
Manuel d'examen de la CISA 2014 Page numéro 209

QUESTION 58
Laquelle des fonctions suivantes dans le processus EDI traditionnel est utilisée pour transmettre et recevoir des documents électroniques entre partenaires
commerciaux via des lignes commutées, un réseau public commuté ou un RVA ?

A. Lois sur la communication

B. EDI Interface
C. Système d'application
D. Traducteur EDI

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Gestionnaire de la communication Processus de transmission et de réception
de documents électroniques entre partenaires commerciaux via des lignes commutées, des réseaux publics commutés, des lignes spécialisées multiples ou un
réseau à valeur ajoutée (RVA).
Pour votre examen, vous devez connaître ci-dessous les informations sur les fonctions EDI traditionnelles.

Le transfert de données dans un processus de transmission par lots par le biais du processus EDI traditionnel implique généralement trois fonctions au sein du système informatique de chaque partenaire commercial

Processus de transmission et de réception de documents électroniques entre partenaires commerciaux via des lignes commutées, des réseaux publics commutés,
plusieurs lignes dédiées ou un réseau à valeur ajoutée (VAN). Le RVA utilise des capacités de commutation et de stockage de messages informatisées pour fournir
des services de boîte aux lettres électronique semblables à ceux des bureaux de poste. Le réseau virtuel reçoit toutes les transactions sortantes d'une organisation,
les trie par destination et les transmet aux précipitants lorsqu'ils se connectent pour vérifier leur boîte aux lettres et recevoir la transmission.

Interface EDI Fonction d'interface qui manipule et achemine les données entre le système d'application et le gestionnaire de communication. L'interface se
compose de deux composants

Traducteur EDI L'appareil traduit les données entre le format standard (ANSI X12) et les informations exclusives du partenaire commercial.
Interface d'application Cette interface déplace les transactions électroniques vers ou depuis les systèmes d'application et effectue le mappage des données. Le
mappage des données est le processus par lequel les données sont extraites du processus de traduction EDI et intégrées aux données ou au processus de
l'entreprise destinataire.
3. Système d'application Le programme qui traite les données envoyées ou reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être
développés pour l'interface EDI, le contrôle des applications existantes, s'il reste inchangé, n'est généralement pas affecté.

Les réponses suivantes étaient incorrectes :

Interface EDI Fonction d'interface qui manipule et achemine les données entre le système d'application et le gestionnaire de communication.

Système d'application Programme qui traite les données envoyées ou reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être
développés pour l'interface EDI, le contrôle des applications existantes, s'il reste inchangé, n'est généralement pas affecté.

Traducteur EDI L'appareil traduit les données entre le format standard (ANSI X12) et les informations exclusives du
partenaire commercial. Manuel d'examen de la CISA 2014 Page numéro 178

QUESTION 59
Laquelle des fonctions suivantes dans le processus EDI traditionnel manipule et achemine les données entre le système d'application et le gestionnaire de communication ?

A. Lois sur la communication

B. EDI Interface
C. Système d'application
D. Traducteur EDI

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information L'interface EDI manipule et achemine les données entre le système
d'application et le gestionnaire de communication.

Pour votre examen, vous devez connaître ci-dessous les informations sur les fonctions EDI traditionnelles.

Le transfert de données dans un processus de transmission par lots par le biais du processus EDI traditionnel implique généralement trois fonctions au sein du système informatique de chaque partenaire commercial

Processus de transmission et de réception de documents électroniques entre partenaires commerciaux via des lignes commutées, des réseaux publics commutés,
plusieurs lignes dédiées ou un réseau à valeur ajoutée (VAN). Le RVA utilise des capacités de commutation et de stockage de messages informatisées pour fournir
des services de boîte aux lettres électronique semblables à ceux des bureaux de poste. Le réseau virtuel reçoit toutes les transactions sortantes d'une organisation,
les trie par destination et les transmet aux précipitants lorsqu'ils se connectent pour vérifier leur boîte aux lettres et recevoir la transmission.

Interface EDI Fonction d'interface qui manipule et achemine les données entre le système d'application et le gestionnaire de communication. L'interface se
compose de deux composants

Traducteur EDI L'appareil traduit les données entre le format standard (ANSI X12) et les informations exclusives du partenaire commercial.
Interface d'application Cette interface déplace les transactions électroniques vers ou depuis les systèmes d'application et effectue le mappage des données. Le
mappage des données est le processus par lequel les données sont extraites du processus de traduction EDI et intégrées aux données ou au processus de
l'entreprise destinataire.
3. Système d'application Le programme qui traite les données envoyées ou reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être
développés pour l'interface EDI, le contrôle des applications existantes, s'il reste inchangé, n'est généralement pas affecté.

Les réponses suivantes étaient incorrectes :

Processus de transmission et de réception de documents électroniques entre partenaires commerciaux via des lignes commutées, des réseaux publics commutés,
plusieurs lignes dédiées ou un réseau à valeur ajoutée (VAN).

Système d'application Programme qui traite les données envoyées ou reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être
développés pour l'interface EDI, le contrôle des applications existantes, s'il reste inchangé, n'est généralement pas affecté.

Traducteur EDI L'appareil traduit les données entre le format standard (ANSI X12) et les informations exclusives du
partenaire commercial. Manuel d'examen de la CISA 2014 Page numéro 178

QUESTION 60
Laquelle des fonctions suivantes de l'EDI traditionnel traduit les données entre le format standard et le format propriétaire du partenaire commercial ?

A. Lois sur la communication

B. Interface de l'application
C. Système d'application
D. Traducteur EDI

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre de systèmes d'information Le traducteur EDI traduit les données entre le format standard (ANSI X12)
et les informations exclusives du partenaire commercial.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les fonctions EDI traditionnelles. Le transfert de données dans un processus de
transmission par lots par le biais du processus EDI traditionnel implique généralement trois fonctions au sein du système informatique de chaque partenaire
commercial
Processus de transmission et de réception de documents électroniques entre partenaires commerciaux via des lignes commutées, des réseaux publics commutés,
plusieurs lignes dédiées ou un réseau à valeur ajoutée (VAN). Le RVA utilise des capacités de commutation et de stockage de messages informatisées pour fournir
des services de boîte aux lettres électronique semblables à ceux des bureaux de poste. Le réseau virtuel reçoit toutes les transactions sortantes d'une organisation,
les trie par destination et les transmet aux précipitants lorsqu'ils se connectent pour vérifier leur boîte aux lettres et recevoir la transmission.

Interface EDI Fonction d'interface qui manipule et achemine les données entre le système d'application et le gestionnaire de communication. L'interface se
compose de deux composants

Traducteur EDI L'appareil traduit les données entre le format standard (ANSI X12) et les informations exclusives du partenaire commercial.

Interface d'application Cette interface déplace les transactions électroniques vers ou depuis les systèmes d'application et effectue le mappage des données. Le
mappage des données est le processus par lequel les données sont extraites du processus de traduction EDI et intégrées aux données ou au processus de
l'entreprise destinataire.
3. Système d'application Le programme qui traite les données envoyées ou reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être
développés pour l'interface EDI, le contrôle des applications existantes, s'il reste inchangé, n'est généralement pas affecté.

Les réponses suivantes étaient incorrectes :

Processus de transmission et de réception de documents électroniques entre partenaires commerciaux via des lignes commutées, des réseaux publics commutés,
plusieurs lignes dédiées ou un réseau à valeur ajoutée (VAN).

Système d'application Programme qui traite les données envoyées ou reçues du partenaire commercial. Bien que de nouveaux contrôles doivent être
développés pour l'interface EDI, le contrôle des applications existantes, s'il reste inchangé, n'est généralement pas affecté.

Interface d'application Cette interface déplace les transactions électroniques vers ou depuis les systèmes d'application et effectue
le mappage des données. Manuel d'examen de la CISA 2014 Page numéro 178

QUESTION 61
Lequel des composants suivants d'un système expert permet au système expert de collecter des données provenant de sources non humaines, telles que les
instruments de mesure d'une centrale électrique ?

A. Arbre de décision
B. Règles
C. sémantiques
D. Interface de données

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information L'interface de données permet au système expert de collecter des données
provenant de sources non humaines, telles que les instruments de mesure d'une centrale électrique.
Pour l'examen CISA, vous devez connaître ci-dessous les informations sur l'intelligence artificielle et le système expert L'intelligence artificielle est l'étude et
l'application des principes par lesquels :

Les connaissances sont acquises

et utilisées Les objectifs sont
générés et atteints L'information
est communiquée La collaboration
est réalisée Les concepts sont
formés Les langues sont
développées
Deux principaux langages de programmation développés pour l'intelligence artificielle sont LISP et PROLOG. Les systèmes experts sont des composants
primaires compromis, appelés shells, lorsqu'ils ne sont pas remplis de données particulières, et les shells sont conçus pour héberger un nouveau
système expert.
La clé du système est la base de connaissances (KB), qui contient des informations spécifiques ou des modèles de faits associés à un sujet particulier et la règle
d'interprétation de ces faits. La base de connaissances s'interface avec une base de données pour obtenir des données permettant d'analyser un problème
particulier et de tirer une conclusion d'expert. Les informations contenues dans la base de connaissances peuvent être exprimées de plusieurs manières :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact.

Règle : Exprimer la connaissance déclarative par l'utilisation de relations si-alors. Par exemple, si la température corporelle d'un patient est supérieure à 39 degrés
Celsius et que son pouls est inférieur à 60, il peut souffrir d'une certaine maladie.

Réseaux sémantiques Consiste en un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent la relation entre les nœuds.
Les réseaux sémantiques ressemblent à un diagramme de flux de données et utilisent un mécanisme d'héritage pour empêcher la duplication d'une donnée.

En outre, le moteur d'inférence présenté est un programme qui utilise la base de connaissances et détermine le résultat le plus approprié en fonction des
informations fournies par l'utilisateur. De plus, un système expert comprend les composants suivants

Interface de connaissances Permet à l'expert d'entrer des connaissances dans le système sans la médiation traditionnelle d'un ingénieur logiciel.

Interface de données Permet au système expert de collecter des données provenant de sources non humaines, telles que les instruments de mesure d'une centrale électrique.

Les réponses suivantes étaient incorrectes :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact.

Règle - Exprimer des connaissances déclaratives par l'utilisation de relations si-alors.

Réseaux sémantiques - Les réseaux sémantiques consistent en un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent
la relation entre les nœuds.
Manuel d'examen de la CISA 2014 Page numéro 187

QUESTION 62
Lequel des composants suivants d'un système expert permet à l'expert d'entrer des connaissances dans le système sans l'intermédiaire traditionnel d'un
ingénieur logiciel ?

Un. Règles de l'arbre

B. de décision
C. sémantiques
D. Interface de connaissances

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information L'interface de connaissance permet à l'expert d'entrer des connaissances dans le
système sans l'intermédiaire traditionnel d'un ingénieur logiciel.

Pour l'examen CISA, vous devez connaître ci-dessous les informations sur l'intelligence artificielle et le système expert L'intelligence artificielle est l'étude et
l'application des principes par lesquels :

Les connaissances sont acquises

et utilisées Les objectifs sont
générés et atteints L'information
est communiquée La collaboration
est réalisée Les concepts sont
formés Les langues sont
développées
Deux principaux langages de programmation développés pour l'intelligence artificielle sont LISP et PROLOG. Les systèmes experts sont des composants
primaires compromis, appelés shells, lorsqu'ils ne sont pas remplis de données particulières, et les shells sont conçus pour héberger un nouveau
système expert.
La clé du système est la base de connaissances (KB), qui contient des informations spécifiques ou des modèles de faits associés à un sujet particulier et la règle
d'interprétation de ces faits. La base de connaissances s'interface avec une base de données pour obtenir des données permettant d'analyser un problème
particulier et de tirer une conclusion d'expert. Les informations contenues dans la base de connaissances peuvent être exprimées de plusieurs manières :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact.

Règle : Exprimer la connaissance déclarative par l'utilisation de relations si-alors. Par exemple, si la température corporelle d'un patient est supérieure à 39 degrés
Celsius et que son pouls est inférieur à 60, il peut souffrir d'une certaine maladie.

Réseaux sémantiques Consiste en un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent la relation entre les nœuds.
Les réseaux sémantiques ressemblent à un diagramme de flux de données et utilisent un mécanisme d'héritage pour empêcher la duplication d'une donnée.
En outre, le moteur d'inférence présenté est un programme qui utilise la base de connaissances et détermine le résultat le plus approprié en fonction des
informations fournies par l'utilisateur. De plus, un système expert comprend les composants suivants

Interface de connaissances Permet à l'expert d'entrer des connaissances dans le système sans la médiation traditionnelle d'un ingénieur logiciel.

Interface de données Permet au système expert de collecter des données provenant de sources non humaines, telles que les instruments de mesure d'une centrale électrique.

Les réponses suivantes étaient incorrectes :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact. Règle - Exprimer des connaissances déclaratives par l'utilisation de relations si-alors.

Les réseaux sémantiques sont constitués d'un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent la relation entre les
nœuds.
Manuel d'examen de la CISA 2014 Page numéro 187

QUESTION 63
Laquelle des méthodes suivantes d'expression de la base de connaissances consiste en un graphe dans lequel les nœuds représentent des objets physiques ou
conceptuels et les arcs décrivent la relation entre les nœuds ?

A. Arbre de décision
B. Règles
C. sémantiques
D. Interface de connaissances

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les réseaux sémantiques consistent en un graphe dans lequel le nœud
représente un objet physique ou conceptuel et les arcs décrivent la relation entre les nœuds.

Pour l'examen CISA, vous devez connaître ci-dessous les informations sur l'intelligence artificielle et le système expert L'intelligence artificielle est l'étude et
l'application des principes par lesquels :

Les connaissances sont acquises

et utilisées Les objectifs sont
générés et atteints L'information
est communiquée La collaboration
est réalisée Les concepts sont
formés
Les langues sont développées

Deux principaux langages de programmation développés pour l'intelligence artificielle sont LISP et PROLOG. Les systèmes experts sont des composants
primaires compromis, appelés shells, lorsqu'ils ne sont pas remplis de données particulières, et les shells sont conçus pour héberger un nouveau
système expert.
La clé du système est la base de connaissances (KB), qui contient des informations spécifiques ou des modèles de faits associés à un sujet particulier et la règle
d'interprétation de ces faits. La base de connaissances s'interface avec une base de données pour obtenir des données permettant d'analyser un problème
particulier et de tirer une conclusion d'expert. Les informations contenues dans la base de connaissances peuvent être exprimées de plusieurs manières :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact.

Règle : Exprimer la connaissance déclarative par l'utilisation de relations si-alors. Par exemple, si la température corporelle d'un patient est supérieure à 39 degrés
Celsius et que son pouls est inférieur à 60, il peut souffrir d'une certaine maladie.

Réseaux sémantiques Consiste en un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent la relation entre les nœuds.
Les réseaux sémantiques ressemblent à un diagramme de flux de données et utilisent un mécanisme d'héritage pour empêcher la duplication d'une donnée.
En outre, le moteur d'inférence présenté est un programme qui utilise la base de connaissances et détermine le résultat le plus approprié en fonction des
informations fournies par l'utilisateur. De plus, un système expert comprend les composants suivants

Interface de connaissances Permet à l'expert d'entrer des connaissances dans le système sans la médiation traditionnelle d'un ingénieur logiciel.

Interface de données Permet au système expert de collecter des données provenant de sources non humaines, telles que les instruments de mesure d'une centrale électrique.

Les réponses suivantes étaient incorrectes :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact.

Règle : Exprimer la connaissance déclarative par l'utilisation de relations si-alors.

Réseaux sémantiques - Les réseaux sémantiques consistent en un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent
la relation entre les nœuds.
Manuel d'examen de la CISA 2014 Page numéro 187

QUESTION 64
Les informations contenues dans la base de connaissances peuvent être exprimées de plusieurs manières. Laquelle des méthodes suivantes utilise des
questionnaires pour guider l'utilisateur à travers une série de choix jusqu'à ce qu'une conclusion soit atteinte ?

A. Arbre de décision
B. Règles
C. sémantiques
D. Interface de connaissances

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information L'arbre de décision utilise des questionnaires pour guider l'utilisateur à travers
une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car l'utilisateur doit répondre aux questions dans un ordre exact.
Pour l'examen CISA, vous devez connaître ci-dessous les informations sur l'intelligence artificielle et le système expert L'intelligence artificielle est l'étude et
l'application des principes par lesquels :

Les connaissances sont acquises

et utilisées Les objectifs sont
générés et atteints L'information
est communiquée La collaboration
est réalisée Les concepts sont
formés Les langues sont
développées
Deux principaux langages de programmation développés pour l'intelligence artificielle sont LISP et PROLOG. Les systèmes experts sont des composants
primaires compromis, appelés shells, lorsqu'ils ne sont pas remplis de données particulières, et les shells sont conçus pour héberger un nouveau
système expert.
La clé du système est la base de connaissances (KB), qui contient des informations spécifiques ou des modèles de faits associés à un sujet particulier et la règle
d'interprétation de ces faits. La base de connaissances s'interface avec une base de données pour obtenir des données permettant d'analyser un problème
particulier et de tirer une conclusion d'expert. Les informations contenues dans la base de connaissances peuvent être exprimées de plusieurs manières :

Utiliser des questionnaires pour guider l'utilisateur à travers une série de choix, jusqu'à ce qu'une conclusion soit atteinte. La flexibilité est compromise car
l'utilisateur doit répondre aux questions dans un ordre exact.

Règle : Exprimer la connaissance déclarative par l'utilisation de relations si-alors. Par exemple, si la température corporelle d'un patient est supérieure à 39 degrés
Celsius et que son pouls est inférieur à 60, il peut souffrir d'une certaine maladie.

Réseaux sémantiques Consiste en un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent la relation entre les nœuds.
Les réseaux sémantiques ressemblent à un diagramme de flux de données et utilisent un mécanisme d'héritage pour empêcher la duplication d'une donnée.

En outre, le moteur d'inférence présenté est un programme qui utilise la base de connaissances et détermine le résultat le plus approprié en fonction des
informations fournies par l'utilisateur. De plus, un système expert comprend les composants suivants

Interface de connaissances Permet à l'expert d'entrer des connaissances dans le système sans la médiation traditionnelle d'un ingénieur logiciel.

Interface de données Permet au système expert de collecter des données provenant de sources non humaines, telles que les instruments de mesure d'une centrale électrique.

Les réponses suivantes étaient incorrectes :

Règle : Exprimer la connaissance déclarative par l'utilisation de relations si-alors.

Les réseaux sémantiques sont constitués d'un graphe dans lequel le nœud représente un objet physique ou conceptuel et les arcs décrivent la relation entre les
nœuds.
Interface de connaissances Permet à l'expert d'entrer des connaissances dans le système sans la médiation traditionnelle d'un
ingénieur logiciel. Manuel d'examen de la CISA 2014 Page numéro 187

QUESTION 65
Un auditeur SI doit connaître les différents modèles d'analyse utilisés par l'architecture des données. Lequel des modèles d'analyse suivants décrit les entités de données et leur relation ?

Un. Diagrammes de contexte

Diagrammes d'activités
B.
C. Diagrammes des couloirs
D. Diagrammes entité-relation

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre d'un système d'information Diagramme des relations entre les entités Décrivez les entités de données et
leurs relations. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le développement d'un modèle de données d'entreprise.
Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus. De cette façon, il est possible de bien comprendre
l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une configuration de données sous-optimale à partir de systèmes
et de bases de données existants dans DW.
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et
évaluer le rendement organisationnel.
Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture des flux de données

d'entreprise (EDFA) Une architecture de
données logique
Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utiliser des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme

Ventes dans toutes les gammes de produits par client et groupe de clients en fonction de la durée de l'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.
Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations provenant de l'unité de données de base sélectionnées et organisées pour répondre aux besoins d'une unité commerciale ou d'une entreprise particulière

ligne. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).

Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme de contexte Décrivez les principaux processus d'une organisation et les parties externes avec lesquelles l'entreprise interagit.

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

Diagramme de contexte Décrivez les principaux processus d'une organisation et les parties externes avec lesquelles
l'entreprise interagit. Diagramme d'activité ou de couloir Déconstruire les processus métier.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 66
Un auditeur SI doit connaître les différents modèles d'analyse utilisés par l'architecture des données. Lequel des modèles d'analyse suivants décrit le
processus principal d'une organisation et les parties externes avec lesquelles l'entreprise interagit ?

Un. Diagrammes de contexte

Diagrammes d'activités
B.
C. Diagrammes des couloirs
D. Diagrammes entité-relation

Bonne réponse : A
Explication

Explication/Référence :
Section : Schéma de contexte d'acquisition, de développement et de mise en œuvre des systèmes d'information Décrivez les principaux processus d'une
organisation et les parties externes avec lesquelles l'entreprise interagit.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et
évaluer le rendement organisationnel.
Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture de flux de données d'entreprise (EDFA)

A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations provenant de l'unité de données de base sélectionnées et
organisées pour répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données
relationnelles ou une structure de données OLAP (On-Line Analytical Processing).
Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

Diagramme de contexte Décrivez les principaux processus d'une organisation et les parties externes avec lesquelles
l'entreprise interagit. Diagramme d'activité ou de couloir Déconstruire les processus métier.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 67
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise concerne la communication de données de base ?

Un. Couche de préparation des

données Couche d'accès au
B. bureau
C. Internet/Intranet
D. Couche d'accès aux données

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Couche Internet/Intranet Cette couche concerne la communication de
données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et
évaluer le rendement organisationnel.
Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture de flux de données d'entreprise (EDFA)

A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec le

compagnie.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations provenant de l'unité de données de base sélectionnées et
organisées pour répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données
relationnelles ou une structure de données OLAP (On-Line Analytical Processing).
Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.
Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans

les magasins de données. La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.

Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 68
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise concerne le transport d'informations entre les différentes couches ?

Un. Couche de préparation des

données Couche d'accès au
B. bureau
C. Couche de messagerie applicative
D. Couche d'accès aux données

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Couche de messagerie applicative Cette couche s'occupe du transport de
l'information entre les différentes couches. Outre les données commerciales, cette couche englobe la génération, le stockage et la communication ciblée des
messages de contrôle. Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et
évaluer le rendement organisationnel.
Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture de flux de données d'entreprise (EDFA)

A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Un bien constitué

DW devrait soutenir trois formes de base d'enquête.

En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations provenant de l'unité de données de base sélectionnées et
organisées pour répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données
relationnelles ou une structure de données OLAP (On-Line Analytical Processing).
Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.
Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les data marts. La pratique
habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.

Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 69
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise planifie les tâches nécessaires à la création et à la maintenance de l'entrepôt
de données (DW) et alimente également les Data Marts ?

Un. Couche de préparation des données

Couche d'accès au bureau
B.
C. Couche de gestion d'entrepôt
D. Couche d'accès aux données

Bonne réponse : C
Explication

Explication/Référence :
Section : Couche de gestion d'entrepôt d'acquisition, de développement et de mise en œuvre du système d'information La fonction de cette couche est la
planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage des data marts. Cette couche est également impliquée dans
l'administration de la sécurité. Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer le
rendement organisationnel. Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de
données complète se compose de deux composants
L'architecture de flux de données d'entreprise (EDFA)
A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché.
Données non opérationnelles Informations requises par l'utilisateur final qui ne sont pas actuellement conservées dans un format accessible par ordinateur.

Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour répondre aux
ligne. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).
besoins d'une unité commerciale ou d'une couche de qualité et de mise en scène des données particulières. Il est particulièrement important que seules des
données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement posés par les systèmes opérationnels, tels
que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial que les personnes bien informées

L'opérateur commercial est impliqué dans le processus. De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela
atténue également le risque de réplication d'une configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.

Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les data marts. La pratique
habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.

Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 70
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise représente un sous-ensemble d'informations de l'entrepôt de données de
base sélectionné et organisé pour répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier ?

Un. Couche de préparation des données

Couche d'accès au bureau
B.
C. Couche Data Mart
D. Couche d'accès aux données

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Couche de magasin de données Le magasin de données représente un
sous-ensemble d'informations provenant de l'entrepôt de données de base sélectionné et organisé pour répondre aux besoins d'une unité commerciale ou d'un
secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :
L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer le
rendement organisationnel. Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de
données complète se compose de deux composants
L'architecture de flux de données d'entreprise (EDFA)
A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.
Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations provenant de l'unité de données de base sélectionnées et
organisées pour répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données
relationnelles ou une structure de données OLAP (On-Line Analytical Processing).
Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier. Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes
d'analyse des données jouent évidemment un rôle important dans le développement d'un modèle de données d'entreprise. Cependant, il est également crucial
qu'un opérateur commercial compétent soit impliqué dans le processus. De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des
données. Cela atténue également le risque de réplication d'une configuration de données sous-optimale à partir de systèmes et de bases de données existants
dans DW.
Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les data marts. La pratique
habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.

Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 71
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise concerne l'assemblage et la préparation des données pour le chargement dans les data marts ?

Un. Couche de préparation des données

Couche d'accès au bureau
B.
C. Couche Data Mart
D. Couche d'accès aux données

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Couche de préparation des données Cette couche concerne l'assemblage et la
préparation des données pour le chargement dans les magasins de données. La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées
dans les référentiels de données OLAP pour augmenter la vitesse d'accès. Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business
Intelligence :
L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer le
rendement organisationnel. Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de
données complète se compose de deux composants
L'architecture de flux de données d'entreprise (EDFA)
A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.
Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de magasin de données Le magasin de données représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour répondre aux
ligne. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).

besoins d'une unité commerciale ou d'une couche de qualité et de mise en scène des données particulières. Il est particulièrement important que seules des
données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement posés par les systèmes opérationnels, tels
que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données métier, cette
couche englobe la génération, le stockage et la communication ciblée

des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier. Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes
d'analyse des données jouent évidemment un rôle important dans le développement d'un modèle de données d'entreprise. Cependant, il est également crucial
qu'un opérateur commercial compétent soit impliqué dans le processus. De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des
données. Cela atténue également le risque de réplication d'une configuration de données sous-optimale à partir de systèmes et de bases de données existants
dans DW.
Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche du magasin de données Le magasin de données représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour répondre aux
besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données
OLAP (On-Line Analytical Processing).
Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 72
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise est responsable de la copie des données, de la transformation au format
Data Warehouse (DW) et du contrôle qualité ?

Un. Couche de staging et de qualité des

B. données Couche d'accès au bureau
C. Couche Data Mart
D. Couche d'accès aux données

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des données du système d'information Couche de staging et de qualité Cette couche est responsable de la
copie des données, de la transformation au format DW et du contrôle qualité. Il est particulièrement important que seules des données fiables soient transmises au
noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement posés par les systèmes opérationnels, tels que le changement de format des
numéros de compte et la réutilisation des anciens comptes et numéros de client. Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la
Business Intelligence :
L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer le
rendement organisationnel. Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de
données complète se compose de deux composants
L'architecture de flux de données d'entreprise (EDFA)
A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de déclarer les ventes
mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer le nouveau client effectif de la capacité Data
pour fidéliser les clients existants.

Mart Layer Data Mart représente un sous-ensemble d'informations de l'entrepôt de données de base sélectionné et organisé pour répondre aux besoins d'une unité commerciale ou d'un
secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).

Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier. Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes
d'analyse des données jouent évidemment un rôle important dans le développement d'un modèle de données d'entreprise. Cependant, il est également crucial
qu'un opérateur commercial compétent soit impliqué dans le processus. De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des
données. Cela atténue également le risque de réplication d'une configuration de données sous-optimale à partir de systèmes et de bases de données existants
dans DW.
Les réponses suivantes étaient incorrectes : La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les
informations. Cette couche comprend des outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et
d'analyse proposées par des fournisseurs tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des
tableaux de bord numériques.

Couche du magasin de données Le magasin de données représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour répondre aux
besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données
OLAP (On-Line Analytical Processing).
Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 73
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise représente des sous-ensembles d'informations de l'entrepôt de données principal ?

Un. Couche de présentation

B. Couche d'accès au bureau
C. Couche Data Mart
D. Couche d'accès aux données

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Couche de magasin de données Le magasin de données représente un
sous-ensemble d'informations provenant du DW de base sélectionné et organisé pour répondre aux besoins d'une unité commerciale ou d'un secteur d'activité
particulier. Les data mart peuvent être des bases de données relationnelles ou
structure de données de traitement analytique en ligne (OLAP).
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer le
rendement organisationnel. Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de
données complète se compose de deux composants
L'architecture de flux de données d'entreprise (EDFA)
A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de la couche source de données de l'entreprise proviennent de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de déclarer les ventes
mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer le nouveau client effectif de la capacité Data
pour fidéliser les clients existants.

Mart Layer Data Mart représente un sous-ensemble d'informations de l'entrepôt de données de base sélectionné et organisé pour répondre aux besoins d'une unité commerciale ou d'un
secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).

Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les magasins de données. La
pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de
données identifie souvent des modèles contre-intuitifs en raison du nombre et de la
complexité des relations entre les données. La qualité des données doit être très élevée pour ne pas corrompre le résultat.

Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la
couche source de données et, ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet
désormais l'accès SQL aux données même si elles ne sont pas stockées dans une base de données relationnelle. Manuel d'examen de la CISA 2014 Page numéro
188
QUESTION 74
Laquelle des couches suivantes d'une architecture de flux de données d'entreprise capture toutes les données d'intérêt pour une organisation et les organise
pour faciliter la création de rapports et l'analyse ?

Un. Couche d'accès au bureau Couche

de préparation des données
B.
C. de données de base
D. Couche d'accès aux données

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Entrepôt de données de base C'est là que toutes les données d'intérêt pour
une organisation sont saisies et organisées pour faciliter la production de rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases
de données relationnelles. Une propriété constituée DW doit soutenir trois formes de base d'enquête.
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et
évaluer le rendement organisationnel.
Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture des flux de données

d'entreprise (EDFA) Une architecture de
données logique
Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Les informations de l'entreprise proviennent d'un certain nombre de sources : Données opérationnelles Données capturées et gérées par les systèmes
existants d'une organisation, et généralement conservées dans une base de données spécifique au système ou des fichiers plats. Données externes
Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les données démographiques des clients et les
informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui ne sont pas actuellement conservées dans
un format accessible par ordinateur.
Entrepôt de données de base : c'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de déclarer les ventes
mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer le nouveau client effectif de la capacité Data
pour fidéliser les clients existants.

Mart Layer Data Mart représente un sous-ensemble d'informations de l'entrepôt de données de base sélectionné et organisé pour répondre aux besoins d'une unité commerciale ou d'un
secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line Analytical Processing).

Couche de staging et de qualité des données Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle qualité. Il est
particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes périodiquement
posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros de client.

Couche d'accès aux données Cette couche permet de connecter la couche de stockage et de qualité des données aux magasins de données de la couche source
de données et, ce faisant, d'éviter d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL
aux données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données Cette couche concerne l'assemblage et la préparation des données pour le chargement dans

les magasins de données. La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour
augmenter la vitesse d'accès. L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de
l'information. L'exploration de données identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La
qualité des données doit être très élevée pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt La fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Divers modèles d'analyse utilisés par les architectes de

données/analyse sont les suivants : Diagramme d'activité ou de
couloir Déconstruire les processus métier.
Diagramme entité-relation Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

La couche d'accès au bureau ou la couche de présentation est l'endroit où les utilisateurs finaux traitent directement les informations. Cette couche comprend des
outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs
tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche d'accès aux données : cette couche fonctionne pour connecter la couche de stockage et de qualité des données avec les magasins de données dans la couche source de données et,
ce faisant, éviter d'avoir besoin de savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL aux données même si elles ne sont
pas stockées dans une base de données relationnelle. Couche de préparation des données - Cette couche concerne l'assemblage et la préparation des données pour le chargement dans les
magasins de données. La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 75
Laquelle des couches suivantes dans une architecture de flux de données d'entreprise dérive les informations d'entreprise des données opérationnelles, externes et non opérationnelles ?

Un. Couche de préparation des données

Couche de source de données
B.
C. Couche de data mart
D. Couche d'accès aux données

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information L'information sur les entreprises provient de plusieurs sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique au système ou des fichiers plats.

Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les données démographiques des clients et les informations sur les parts de marché.

Données non opérationnelles Informations requises par l'utilisateur final qui ne sont pas actuellement conservées dans un format accessible par ordinateur.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer le
rendement organisationnel. Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de
données complète se compose de deux composants : L'architecture de flux de données d'entreprise (EDFA) Une architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de source de données - Les informations d'entreprise proviennent d'un certain nombre de sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base - C'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.
Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, telles que la somme des ventes dans toutes les gammes de produits par client et par groupe
de clients en fonction de la durée de l'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de magasin de données - Le magasin de données représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour

répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une
structure de données OLAP (On-Line Analytical Processing).

Couche de staging et de qualité des données - Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle de la
qualité. Il est particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes
périodiquement posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros
de client.
Couche d'accès aux données - Cette couche sert à connecter la couche de stockage et de qualité des données aux magasins de données de la couche source de
données et, ce faisant, évite d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL aux
données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données : cette couche s'occupe de l'assemblage et de la préparation des données pour le chargement dans les magasins de données.
La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées - Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées doivent s'étendre
au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de métadonnées doit avoir une portée
complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation des règles de transformation et de validation.
Couche de gestion d'entrepôt : la fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application - Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation -Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

Couche de magasin de données : le magasin de données représente un sous-ensemble d'informations provenant du DW de base sélectionné et organisé pour
répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une
structure de données OLAP (On-Line Analytical Processing).
Couche d'accès aux données - cette couche sert à connecter la couche de stockage et de qualité des données aux magasins de données dans la couche source de données et, ce
faisant, évite d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL aux données même si elles ne sont pas
stockées dans une base de données relationnelle. Couche de préparation des données - Cette couche concerne l'assemblage et la préparation des données pour le chargement dans
les magasins de données. La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 76
Laquelle des couches suivantes dans une architecture de flux de données d'entreprise est directement morte par l'utilisateur final avec des informations ?

Un. Couche d'accès au bureau Couche

de préparation des données
B.
C. Couche de data mart
D. Couche d'accès aux données

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information La couche de présentation/d'accès au bureau est l'endroit où les utilisateurs finaux traitent directement
l'information. Cette couche comprend des outils de bureau familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par
des fournisseurs tels que Congas et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur la Business Intelligence :

L'intelligence d'affaires (BI) est un vaste domaine de l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et
évaluer le rendement organisationnel.
Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture des flux de données

d'entreprise (EDFA) Une architecture de
données logique
Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de source de données - Les informations d'entreprise proviennent d'un certain nombre de sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base - C'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.
Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.

Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de data mart - Le data mart représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour répondre aux besoins d'une unité
commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line
Analytical Processing).
Couche de staging et de qualité des données - Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle de la
qualité. Il est particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes
périodiquement posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros
de client.
Couche d'accès aux données - Cette couche sert à connecter la couche de stockage et de qualité des données aux magasins de données de la couche source de
données et, ce faisant, évite d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL aux
données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données : cette couche s'occupe de l'assemblage et de la préparation des données pour le chargement dans les magasins de données.
La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées - Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt : la fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application - Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation -Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

Couche de magasin de données : le magasin de données représente un sous-ensemble d'informations provenant du DW de base sélectionné et organisé pour
répondre aux besoins d'une unité commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une
structure de données OLAP (On-Line Analytical Processing).
Couche d'accès aux données - cette couche sert à connecter la couche de stockage et de qualité des données aux magasins de données dans la couche source de
données et, ce faisant, évite d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL aux
données même si elles ne sont pas stockées dans une base de données relationnelle. Couche de préparation des données - Cette couche concerne l'assemblage et
la préparation des données pour le chargement dans les données
Marts. La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 77
Laquelle des propriétés suivantes de la couche d'entrepôt de données principale d'une architecture de flux de données d'entreprise utilise des attributs communs
pour accéder à une section transversale d'une information dans l'entrepôt ?

Un.Drill up
B. Drill down
C. Percer à travers
D. Analyse historique

Bonne réponse : C
Explication

Explication/Référence :
Utilisez des attributs communs pour accéder à un échantillon représentatif d'informations dans l'entrepôt, tels que la somme des ventes de toutes les gammes
de produits par client et groupe de clients en fonction de la durée d'association avec l'entreprise.

Pour l'examen CISA, vous devez connaître ci-dessous les informations sur l'intelligence d'affaires : L'intelligence d'affaires (BI) est un vaste domaine de
l'informatique qui englobe la collecte et l'analyse d'informations pour aider à la prise de décision et évaluer les performances organisationnelles.

Pour fournir une BI efficace, les organisations doivent concevoir et mettre en œuvre une architecture de données. L'architecture de données complète se compose de deux composants

L'architecture de flux de données d'entreprise (EDFA)

A architecture de données logique

Les différentes couches/composants de cette architecture de flux de données sont les suivants :

Couche d'accès à la présentation/bureau C'est là que les utilisateurs finaux traitent directement les informations. Cette couche comprend des outils de bureau
familiers tels que des feuilles de calcul, des outils d'interrogation directe, des combinaisons de reporting et d'analyse proposées par des fournisseurs tels que Congas
et des objets métier, et des applications spécialisées telles que des cartes sources équilibrées et des tableaux de bord numériques.

Couche de source de données - Les informations d'entreprise proviennent d'un certain nombre de sources :

Données opérationnelles Saisies et gérées par les systèmes existants d'une organisation, et généralement conservées dans une base de données spécifique
au système ou des fichiers plats. Données externes Données fournies à une organisation par des sources externes. Il peut s'agir de données telles que les
données démographiques des clients et les informations sur les parts de marché. Données non opérationnelles Informations requises par l'utilisateur final qui
ne sont pas actuellement conservées dans un format accessible par ordinateur.
Entrepôt de données de base - C'est là que toutes les données d'intérêt pour une organisation sont capturées et organisées pour faciliter la production de
rapports et l'analyse. Les DW sont normalement instituées en tant que grandes bases de données relationnelles. Une propriété constituée DW doit soutenir
trois formes de base d'enquête.
En utilisant la dimension d'intérêt pour l'entreprise, il devrait être possible d'agréger

données ainsi que l'exploration. Les attributs disponibles aux niveaux les plus granulaires de l'entrepôt peuvent également être utilisés pour affiner l'analyse.

Utilisez des attributs communs pour accéder à un échantillon d'informations dans l'entrepôt, tels que la somme des ventes sur toutes les lignes de produits par
client et groupe de clients en fonction de la durée d'association avec l'entreprise.
Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.

Couche de data mart - Le data mart représente un sous-ensemble d'informations du DW de base sélectionné et organisé pour répondre aux besoins d'une unité
commerciale ou d'un secteur d'activité particulier. Les data mart peuvent être des bases de données relationnelles ou une structure de données OLAP (On-Line
Analytical Processing).
Couche de staging et de qualité des données - Cette couche est responsable de la copie des données, de la transformation au format DW et du contrôle de la
qualité. Il est particulièrement important que seules des données fiables soient transmises au noyau DW. Cette couche doit être capable de traiter les problèmes
périodiquement posés par les systèmes opérationnels, tels que le changement de format des numéros de compte et la réutilisation des anciens comptes et numéros
de client.
Couche d'accès aux données - Cette couche sert à connecter la couche de stockage et de qualité des données aux magasins de données de la couche source de
données et, ce faisant, évite d'avoir à savoir exactement comment ces magasins de données sont organisés. La technologie permet désormais l'accès SQL aux
données même si elles ne sont pas stockées dans une base de données relationnelle.
Couche de préparation des données : cette couche s'occupe de l'assemblage et de la préparation des données pour le chargement dans les magasins de données.
La pratique habituelle consiste à calculer par ordre de résultat les valeurs chargées dans les référentiels de données OLAP pour augmenter la vitesse d'accès.
L'exploration de données consiste à explorer un grand volume de données pour déterminer les modèles et les tendances de l'information. L'exploration de données
identifie souvent des modèles contre-intuitifs en raison du nombre et de la complexité des relations entre les données. La qualité des données doit être très élevée
pour ne pas corrompre le résultat.
Couche de référentiel de métadonnées - Les métadonnées sont des données sur les données. Les informations contenues dans la couche de métadonnées
doivent s'étendre au-delà des noms et des formats de structure de données pour fournir des détails sur l'objectif et le contexte de l'entreprise. La couche de
métadonnées doit avoir une portée complète, couvrant les données au fur et à mesure qu'elles circulent entre les différentes couches, y compris la documentation
des règles de transformation et de validation.
Couche de gestion d'entrepôt : la fonction de cette couche est la planification des tâches nécessaires à la création et à la maintenance du DW et au remplissage
des data marts. Cette couche est également impliquée dans l'administration de la sécurité.

Couche de messagerie d'application - Cette couche concerne le transport d'informations entre les différentes couches. Outre les données
commerciales, cette couche englobe la génération, le stockage et la communication ciblée des messages de contrôle.

Couche Internet/Intranet Cette couche concerne la communication de données de base. L'interface utilisateur basée sur un navigateur et la mise en réseau TCP/IP sont incluses.

Les différents modèles d'analyse utilisés par les architectes de données sont les suivants :

Diagramme d'activité ou de couloir Déconstruire les processus métier.

Diagramme entité-relation -Décrivez les entités de données et leur relation. Ces méthodes d'analyse des données jouent évidemment un rôle important dans le
développement d'un modèle de données d'entreprise. Cependant, il est également crucial qu'un opérateur commercial compétent soit impliqué dans le processus.
De cette façon, il est possible de bien comprendre l'objectif commercial et le contexte des données. Cela atténue également le risque de réplication d'une
configuration de données sous-optimale à partir de systèmes et de bases de données existants dans DW.
Les réponses suivantes étaient incorrectes :

En utilisant la dimension d'intérêt pour l'entreprise, il doit être possible d'agréger les données et d'effectuer des analyses vers le bas. Les attributs disponibles aux
niveaux plus granulaires de l'entrepôt peuvent également être utilisés

pour affiner l'analyse.

Analyse historique L'entrepôt doit prendre en charge cela en conservant des données historiques variantes dans le temps. Un exemple d'analyse historique serait de
déclarer les ventes mensuelles des magasins, puis de répéter l'analyse en utilisant uniquement les clients qui étaient préexistants au début de l'année afin de séparer
le nouveau client effectif de la capacité de générer des affaires répétées avec les clients existants.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 78
Lequel des niveaux suivants du modèle CMMI se concentre sur l'innovation des processus et l'optimisation continue ?

Un. Niveau 4

B. Niveau 5
C. Niveau 3
D. Niveau 2

Bonne réponse : B
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Le niveau 5 est le processus d'optimisation et l'accent mis sur l'innovation
des processus et l'intégration continue.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur le mode CMMI (Capability Maturity Model Integration) :

Modèle de maturité
Un modèle de maturité peut être considéré comme un ensemble de niveaux structurés qui décrivent dans quelle mesure les comportements, les pratiques et les
processus d'une organisation peuvent produire de manière fiable et durable les résultats requis.

Niveaux CMMI
Un modèle de maturité peut être utilisé comme référence pour la comparaison et comme aide à la compréhension - par exemple, pour l'évaluation comparative de
différentes organisations lorsqu'il y a quelque chose en commun qui peut servir de base de comparaison. Dans le cas du CMM, par exemple, la base de comparaison
serait les processus de développement logiciel des organisations.
Structure

Le modèle comporte cinq aspects :

Niveaux de maturité : un continuum de maturité des processus à 5 niveaux - où le niveau le plus élevé (5e) est un état théorique idéal où les processus
seraient systématiquement gérés par une combinaison d'optimisation des processus et d'amélioration continue des processus.
Principaux domaines de processus : un domaine de processus clé identifie un groupe d'activités connexes qui, lorsqu'elles sont exécutées ensemble, permettent
d'atteindre un ensemble d'objectifs considérés comme importants. Objectifs : les objectifs d'un domaine de processus clé résument les états qui doivent exister
pour que ce domaine de processus clé ait été mis en œuvre de manière efficace et durable. La mesure dans laquelle les objectifs ont été atteints est un indicateur
de la capacité que l'organisation a établie à ce niveau de maturité. Les objectifs signifient la portée, les limites et l'intention de chaque domaine clé du processus.
Caractéristiques communes : les caractéristiques communes comprennent les pratiques qui mettent en œuvre et institutionnalisent un domaine de processus clé. Il existe cinq
types de caractéristiques communes : l'engagement à performer, la capacité à performer, les activités réalisées, la mesure et l'analyse, et la vérification de la mise en œuvre.
Pratiques clés : Les pratiques clés décrivent les éléments de l'infrastructure et des pratiques qui contribuent le plus efficacement à la mise en œuvre et à
l'institutionnalisation de la zone.

Niveaux Il y a cinq niveaux définis le long du continuum du modèle et, selon le SEI : « La prévisibilité, l'efficacité et le contrôle des processus logiciels d'une
organisation sont censés s'améliorer à mesure que l'organisation progresse dans ces cinq niveaux. Bien qu'elles ne soient pas rigoureuses, les preuves empiriques
à ce jour soutiennent cette croyance ». [citation nécessaire]

Initial (chaotique, ad hoc, héroïsme individuel) - le point de départ de l'utilisation d'un processus de répétition nouveau ou non documenté.
Reproductible - le processus est au moins suffisamment documenté pour que les mêmes étapes puissent être répétées.
Défini - le processus est défini/confirmé comme un processus opérationnel standard et décomposé aux niveaux 0, 1 et 2 (le dernier étant les instructions de
travail). Gestion - le processus est géré quantitativement conformément à des mesures convenues. Optimisation - la gestion des processus comprend
l'optimisation/amélioration délibérée des processus.

Dans chacun de ces niveaux de maturité se trouvent des domaines de processus clés qui caractérisent ce niveau, et pour chacun de ces domaines, il y a cinq
facteurs : objectifs, engagement, capacité, mesure et vérification. Ceux-ci ne sont pas nécessairement propres à CMM, car ils représentent les étapes que les
organisations doivent franchir pour devenir matures.

Le modèle fournit un continuum théorique le long duquel la maturité du processus peut être développée progressivement d'un niveau à l'autre. Sauter des
niveaux n'est pas autorisé/faisable.
Niveau 1 - Initial (Chaotique)
Les processus à ce niveau se caractérisent par le fait qu'ils sont (généralement) non documentés et dans un état de dynamique

le changement, qui tend à être impulsé de manière ponctuelle, incontrôlée et réactive par les utilisateurs ou les événements. Cela crée un environnement
chaotique ou instable pour les processus.

Niveau 2 - Reproductible Il est caractéristique des processus à ce niveau que certains processus soient reproductibles, éventuellement avec des résultats
cohérents. Il est peu probable que la discipline des processus soit rigoureuse, mais lorsqu'elle existe, elle peut aider à garantir que les processus existants sont
maintenus en période de stress.

Niveau 3 - Défini Il est caractéristique des processus à ce niveau qu'il existe des ensembles de processus normalisés définis et documentés établis et
susceptibles d'être améliorés au fil du temps. Ces processus normalisés sont en place (c.-à-d. qu'il s'agit des processus SI) et utilisés pour assurer l'uniformité
du rendement des processus dans l'ensemble de l'organisation.

Niveau 4 - Gestion Il est caractéristique des processus à ce niveau que, à l'aide de mesures de processus, la direction puisse contrôler efficacement le processus SI
(par exemple, pour le développement de logiciels). En particulier, la direction peut identifier des moyens d'ajuster et d'adapter le processus à des projets particuliers
sans pertes de qualité mesurables ni écarts par rapport aux spécifications.

La capacité de processus est établie à partir de ce niveau.

Niveau 5 - Optimisation Les processus à ce niveau se caractérisent par l'amélioration continue du rendement des processus par des changements et des
améliorations technologiques progressifs et novateurs.

Au niveau de maturité 5, les processus visent à traiter les causes statistiques courantes de variation du processus et à modifier le processus (par exemple, pour
modifier la moyenne de la performance du processus) pour améliorer la performance du processus. Cela se ferait en même temps que le maintien de la
probabilité d'atteindre les objectifs quantitatifs établis d'amélioration des processus.

Les réponses suivantes étaient incorrectes :

Niveau 4 : Se concentrer sur la gestion et le contrôle des

processus Niveau 3 : Définition et déploiement des processus.
Niveau 2 : Gestion du rendement et gestion des produits du travail.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 79
Lequel des niveaux suivants du modèle CMMI se concentre sur la définition et le déploiement des processus ?

Un. Niveau 4

B. Niveau 5
C. Niveau 3
D. Niveau 2

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Le niveau 3 est l'étape définie et se concentre sur la définition et le déploiement des processus.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur le mode CMMI (Capability Maturity Model Integration) :

Modèle de maturité
Un modèle de maturité peut être considéré comme un ensemble de niveaux structurés qui décrivent dans quelle mesure les comportements, les pratiques et les
processus d'une organisation peuvent produire de manière fiable et durable les résultats requis.

Niveaux CMMI
Un modèle de maturité peut être utilisé comme référence pour la comparaison et comme aide à la compréhension - par exemple, pour l'évaluation comparative de
différentes organisations lorsqu'il y a quelque chose en commun qui peut servir de base de comparaison. Dans le cas du CMM, par exemple, la base de comparaison
serait les processus de développement logiciel des organisations.
Structure

Le modèle comporte cinq aspects :

Niveaux de maturité : un continuum de maturité des processus à 5 niveaux - où le niveau le plus élevé (5e) est un état théorique idéal où les processus
seraient systématiquement gérés par une combinaison d'optimisation des processus et d'amélioration continue des processus.
Principaux domaines de processus : un domaine de processus clé identifie un groupe d'activités connexes qui, lorsqu'elles sont exécutées ensemble, permettent
d'atteindre un ensemble d'objectifs considérés comme importants. Objectifs : les objectifs d'un domaine de processus clé résument les états qui doivent exister
pour que ce domaine de processus clé ait été mis en œuvre de manière efficace et durable. La mesure dans laquelle les objectifs ont été atteints est un indicateur
de la capacité que l'organisation a établie à ce niveau de maturité. Les objectifs signifient la portée, les limites et l'intention de chaque domaine clé du processus.
Caractéristiques communes : les caractéristiques communes comprennent les pratiques qui mettent en œuvre et institutionnalisent un domaine de processus clé. Il existe cinq
types de caractéristiques communes : l'engagement à performer, la capacité à performer, les activités réalisées, la mesure et l'analyse, et la vérification de la mise en œuvre.
Pratiques clés : Les pratiques clés décrivent les éléments de l'infrastructure et des pratiques qui contribuent le plus efficacement à la mise en œuvre et à
l'institutionnalisation de la zone.

Niveaux Il y a cinq niveaux définis le long du continuum du modèle et, selon le SEI : « La prévisibilité, l'efficacité et le contrôle des processus logiciels d'une
organisation sont censés s'améliorer à mesure que l'organisation progresse dans ces cinq niveaux. Bien qu'elles ne soient pas rigoureuses, les preuves empiriques
à ce jour soutiennent cette croyance ». [citation nécessaire] Initial (chaotique, ad hoc, héroïsme individuel) - le point de départ de l'utilisation d'un processus de
répétition nouveau ou non documenté.

Reproductible - le processus est au moins suffisamment documenté pour que les mêmes étapes puissent être répétées.
Défini - le processus est défini/confirmé comme un processus opérationnel standard et décomposé aux niveaux 0, 1 et 2 (le dernier étant les instructions de
travail). Gestion - le processus est géré quantitativement conformément à des mesures convenues. Optimisation - la gestion des processus comprend
l'optimisation/amélioration délibérée des processus.

Dans chacun de ces niveaux de maturité se trouvent des domaines de processus clés qui caractérisent ce niveau, et pour chacun de ces domaines, il y a cinq
facteurs : objectifs, engagement, capacité, mesure et vérification. Ceux-ci ne sont pas nécessairement propres à CMM, car ils représentent les étapes que les
organisations doivent franchir pour devenir matures.

Le modèle fournit un continuum théorique le long duquel la maturité du processus peut être développée progressivement d'un niveau à l'autre. Sauter des
niveaux n'est pas autorisé/faisable.

Niveau 1 - Comportement
Il est caractéristique des processus à ce niveau qu'ils soient (généralement) non documentés et dans un état de changement dynamique, tendant à être conduits de manière ad hoc,
initial (chaotique) incontrôlé et réactif par les utilisateurs ou les événements. Cela crée un environnement chaotique ou instable pour les processus.

Niveau 2 - Reproductible Il est caractéristique des processus à ce niveau que certains processus soient reproductibles, éventuellement avec des résultats
cohérents. Il est peu probable que la discipline des processus soit rigoureuse, mais lorsqu'elle existe, elle peut aider à garantir que les processus existants sont
maintenus en période de stress.

Niveau 3 - Défini Il est caractéristique des processus à ce niveau qu'il existe des ensembles de processus normalisés définis et documentés établis et
susceptibles d'être améliorés au fil du temps. Ces processus normalisés sont en place (c.-à-d. qu'il s'agit des processus SI) et utilisés pour assurer l'uniformité
du rendement des processus dans l'ensemble de l'organisation.

Niveau 4 - Gestion Il est caractéristique des processus à ce niveau que, à l'aide de mesures de processus, la direction peut contrôler efficacement le processus SI
(par exemple, pour le développement de logiciels). En particulier, la direction peut identifier des moyens de s'adapter et de

adapter le processus à des projets particuliers sans pertes de qualité mesurables ni écarts par rapport aux
spécifications. La capacité de processus est établie à partir de ce niveau.

Niveau 5 - Optimisation Les processus à ce niveau se caractérisent par l'amélioration continue du rendement des processus par des changements et des
améliorations technologiques progressifs et novateurs.

Au niveau de maturité 5, les processus visent à traiter les causes statistiques courantes de variation du processus et à modifier le processus (par exemple, pour
modifier la moyenne de la performance du processus) pour améliorer la performance du processus. Cela se ferait en même temps que le maintien de la
probabilité d'atteindre les objectifs quantitatifs établis d'amélioration des processus.

Les réponses suivantes étaient incorrectes :

Niveau 4 : Accent sur la gestion et le contrôle des processus

Niveau 5 : Innovation et optimisation continue des processus.
Niveau 2 : Gestion du rendement et gestion des produits du travail.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 80
La norme ISO 9126 est une norme d'aide à l'évaluation de la qualité d'un produit. Lequel des éléments suivants est défini comme un ensemble d'attributs qui
portent sur l'existence d'un ensemble de fonctions et de leurs propriétés spécifiées ?

Un. Fiabilité
Facilité
B. d'utilisation
C. Fonctionnalité
D. Maintenabilité

Bonne réponse : C
Explication

Explication/Référence :
Section : Fonctionnalités d'acquisition, de développement et de mise en œuvre des systèmes d'information - Ensemble d'attributs qui portent sur l'existence d'un
ensemble de fonctions et de leurs propriétés spécifiées.

Les fonctions sont celles qui répondent à des besoins

déclarés ou implicites. Adéquation Précision Interopérabilité
Sécurité Fonctionnalité Conformité

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur le modèle ISO 9126 :

ISO/IEC 9126 Génie logiciel -- La qualité des produits était une norme internationale pour l'évaluation de la qualité des logiciels. Elle a été remplacée par la norme
ISO/IEC 25010:2011. [1] L'objectif fondamental de la norme ISO/IEC 9126 est de s'attaquer à certains des biais humains bien connus qui peuvent affecter
négativement la livraison et la perception d'un projet de développement logiciel. Ces biais incluent le changement de priorités après le début d'un projet ou l'absence
de définition claire du « succès ». En clarifiant, puis en convenant des priorités du projet et en convertissant ensuite les priorités abstraites (conformité) en valeurs
mesurables (les données de sortie peuvent être validées par rapport au schéma X sans intervention), l'ISO/IEC 9126 tente de développer une compréhension
commune des objectifs et des buts du projet.
Norme ISO 9126
La norme est divisée en quatre parties :

Modèle de qualité
Métriques externes
Métriques internes
Métriques de qualité
d'utilisation.
Modèle de qualité Le modèle de qualité présenté dans la première partie de la norme, ISO/IEC 9126-1[2],
classe la qualité des logiciels dans un

Ensemble structuré de caractéristiques et de sous-caractéristiques comme suit :

Fonctionnalité - Un ensemble d'attributs qui portent sur l'existence d'un ensemble de fonctions et leurs
propriétés spécifiées. Les fonctions sont celles qui répondent à des besoins déclarés ou implicites.
Adéquation Précision
Interopérabilité Sécurité
Fonctionnalité Conformité

Fiabilité - Ensemble d'attributs qui influent sur la capacité d'un logiciel à maintenir son niveau de performance dans des conditions déterminées pendant une
période donnée. Maturité Tolérance aux pannes Récupération Fiabilité Conformité

Utilisabilité - Un ensemble d'attributs qui ont une incidence sur l'effort nécessaire à l'utilisation, et sur l'évaluation individuelle d'une telle utilisation, par
un ensemble d'utilisateurs déclaré ou implicite. Compréhensibilité Capacité d'apprentissage Opérabilité Attractivité Utilisabilité Conformité

Efficacité - Ensemble d'attributs qui influent sur la relation entre le niveau de performance du logiciel et la quantité de ressources utilisées, dans des conditions
déterminées.
Temps Comportement
Utilisation des
ressources Efficacité
Maintenabilité - Un ensemble d'attributs qui portent sur l'effort nécessaire pour apporter des modifications spécifiées.
Conformité Analysabilité
Variabilité Stabilité
Testabilité Maintenabilité
Conformité

Portabilité : ensemble d'attributs qui influent sur la capacité d'un logiciel à être transféré d'un environnement à un
autre. Adaptabilité Capacité d'installation Coexistence Capacité de remplacement Portabilité Conformité

Chaque sous-caractéristique de la qualité (par exemple, l'adaptabilité) est ensuite divisée en attributs. Un attribut est une entité qui peut être vérifiée ou
mesurée dans le produit logiciel. Les attributs ne sont pas définis dans la norme, car ils varient selon les différents logiciels.

Le produit logiciel est défini au sens large : il englobe les exécutables, le code source, les descriptions d'architecture, etc. De ce fait, la notion d'utilisateur
s'étend aussi bien aux opérateurs qu'aux programmeurs, qui sont des utilisateurs de composants tels que les bibliothèques logicielles.

La norme fournit un cadre permettant aux organisations de définir un modèle de qualité pour un produit logiciel. Ce faisant, cependant, il laisse à chaque
organisation le soin de spécifier précisément son propre modèle. Cela peut se faire, par exemple, en spécifiant des valeurs cibles pour les mesures de qualité qui
évaluent le degré de présence des attributs de qualité.

Les métriques internes sont celles qui ne reposent pas sur l'exécution d'un logiciel
(mesure statique)

Les métriques externes s'appliquent aux logiciels en

cours d'exécution.
Métriques de qualité d'usage

Les mesures de qualité d'utilisation ne sont disponibles que lorsque le produit final est utilisé dans des conditions réelles. Idéalement, la qualité interne détermine
la qualité externe et la qualité externe détermine la qualité d'utilisation.

Cette norme découle du modèle GE pour décrire la qualité logicielle, présenté en 1977 par McCall et al., qui s'organise autour de trois types de
caractéristiques de qualité :

Facteurs (à préciser) : Ils décrivent la vue externe du logiciel, telle qu'elle est vue par les utilisateurs. Critères (à construire) : Ils décrivent la vue interne du logiciel,
telle que vue par le développeur. Métriques (à contrôler) : Elles sont définies et utilisées pour fournir une échelle et une méthode de mesure.

L'ISO/CEI 9126 fait la distinction entre un défaut et une non-conformité, un défaut étant le non-respect des exigences d'utilisation prévues, tandis qu'une
non-conformité est le non-respect des exigences spécifiées. Une distinction similaire est faite entre la validation et la vérification, connue sous le nom de V&V dans
le commerce des essais.
Les réponses suivantes étaient incorrectes : Fiabilité - Ensemble d'attributs qui influent sur la capacité d'un logiciel à maintenir son niveau de performance
dans des conditions déterminées pendant une période donnée. Utilisabilité - Un ensemble d'attributs qui ont une incidence sur l'effort nécessaire à
l'utilisation, et sur l'évaluation individuelle d'une telle utilisation, par un ensemble d'utilisateurs déclaré ou implicite. Maintenabilité - Un ensemble d'attributs
qui portent sur l'effort nécessaire pour apporter des modifications spécifiées.
Manuel d'examen de la CISA 2014 Page numéro 188

QUESTION 81
Laquelle des propriétés ACID suivantes garantit que la transaction fera passer la base de données d'un état valide à un autre ?

Un. Cohérence
B. de l'atomicité
C. Isolement
D. Durabilité

Bonne réponse : B
Explication

Explication/Référence :
Section : Cohérence de l'acquisition, du développement et de la mise en œuvre des systèmes d'information - La propriété consistency garantit que toute
transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la base de données doivent être valides selon toutes
les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute combinaison de ceux-ci. Cela ne garantit pas
l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la responsabilité du code au niveau de
l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.
Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les propriétés ACID dans le SGBD :

Atomicité - L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, le

La transaction entière échoue et l'état de la base de données reste inchangé. Un système atomique doit garantir l'atomicité dans toutes les situations, y compris les
pannes de courant, les erreurs et les crashs. Pour le monde extérieur, une transaction validée apparaît (par ses effets sur la base de données) comme indivisible («
atomique »), et une transaction avortée ne se produit pas.

Cohérence : la propriété de cohérence garantit que toute transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la
base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute
combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la
responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.

Isolation - La propriété isolation garantit que l'exécution simultanée des transactions aboutit à un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre. L'isolement est l'objectif principal du contrôle de la concurrence. Selon la méthode de contrôle de la
concurrence, les effets d'une transaction incomplète peuvent même ne pas être visibles pour une autre transaction. [citation nécessaire]

Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage ou d'erreur. Dans une
base de données relationnelle, par exemple, une fois qu'un groupe d'instructions SQL s'exécute, les résultats doivent être stockés de manière permanente (même si
la base de données se bloque immédiatement après). Pour se défendre contre les coupures de courant, les transactions (ou leurs effets) doivent être enregistrées
dans une mémoire non volatile.
Les réponses suivantes étaient incorrectes : Atomicité - L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, la
transaction entière échoue et l'état de la base de données reste inchangé.

Isolation - La propriété isolation garantit que l'exécution simultanée des transactions aboutit à un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre.
Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage ou d'erreur.
Manuel d'examen de la CISA 2014 Numéro de page 218

QUESTION N° 82
Laquelle des propriétés ACID suivantes dans le SGBD nécessite que chaque transaction soit « tout ou rien » ?

A. Atomicité
B. Cohérence
C. Isolement
D. Durabilité

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la
transaction échoue, la transaction entière échoue et l'état de la base de données reste inchangé.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les propriétés ACID dans le SGBD :

Atomicité - L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, la transaction entière échoue et l'état de la base
de données reste inchangé. Un système atomique doit garantir l'atomicité

dans toutes les situations, y compris les pannes de courant, les erreurs et les pannes. Pour le monde extérieur, une transaction validée apparaît (par ses effets sur la
base de données) comme indivisible (« atomique »), et une transaction avortée ne se produit pas.

Cohérence : la propriété de cohérence garantit que toute transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la
base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute
combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la
responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.

Isolation - La propriété isolation garantit que l'exécution simultanée des transactions aboutit à un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre. L'isolement est l'objectif principal du contrôle de la concurrence. Selon la méthode de contrôle de la
concurrence, les effets d'une transaction incomplète peuvent même ne pas être visibles pour une autre transaction. [citation nécessaire]

Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage ou d'erreur. Dans une
base de données relationnelle, par exemple, une fois qu'un groupe d'instructions SQL s'exécute, les résultats doivent être stockés de manière permanente (même si
la base de données se bloque immédiatement après). Pour se défendre contre les coupures de courant, les transactions (ou leurs effets) doivent être enregistrées
dans une mémoire non volatile.
Les réponses suivantes étaient incorrectes : Cohérence : la propriété consistency garantit que toute transaction fera passer la base de données d'un état valide à un
autre. Toutes les données écrites dans la base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les
cascades, les déclencheurs et toute combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de
l'application aurait pu souhaiter (c'est la responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune
règle définie.

Isolation - La propriété isolation garantit que l'exécution simultanée des transactions aboutit à un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre.

Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage
ou d'erreur. Manuel d'examen de la CISA 2014 Numéro de page 218

QUESTION N° 83
Laquelle des propriétés ACID suivantes dans le SGBD signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de
panne ou d'erreur ?

A. Atomicité
B. Cohérence
C. Isolement
D. Durabilité

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Durabilité - La durabilité signifie qu'une fois qu'une transaction a été engagée,
elle le restera, même en cas de coupure de courant, de panne ou d'erreur.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les propriétés ACID dans le SGBD :

Atomicité - L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, la transaction entière échoue et l'état de la base
de données reste inchangé. Un système atomique doit garantir l'atomicité dans toutes les situations, y compris les pannes de courant, les erreurs et les crashs.
Pour le monde extérieur, une transaction validée apparaît (par ses effets sur la base de données) comme indivisible (« atomique »), et une transaction avortée ne
se produit pas.
Cohérence : la propriété de cohérence garantit que toute transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la
base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute
combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la
responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.

Isolation - La propriété isolation garantit que l'exécution simultanée des transactions aboutit à un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre. L'isolement est l'objectif principal du contrôle de la concurrence. Selon la méthode de contrôle de la
concurrence, les effets d'une transaction incomplète peuvent même ne pas être visibles pour une autre transaction. [citation nécessaire]

Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage ou d'erreur. Dans une base de
données relationnelle, par exemple, une fois qu'un groupe d'instructions SQL s'exécute, les résultats doivent être stockés de manière permanente (même si la base de données
se bloque immédiatement après). Pour se défendre contre les coupures de courant, les transactions (ou leurs effets) doivent être enregistrées dans une mémoire non volatile.
Les réponses suivantes étaient incorrectes :

Cohérence : la propriété de cohérence garantit que toute transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la
base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute
combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la
responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.
Isolation : la propriété d'isolation garantit que l'exécution simultanée des transactions entraîne un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre.

L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, la transaction entière échoue et l'état de la base de données
reste inchangé. Manuel d'examen de la CISA 2014 Numéro de page 218

QUESTION 84
Laquelle des propriétés ACID suivantes dans SGBD garantit que l'exécution simultanée des transactions aboutit à un état du système qui serait obtenu
si les transactions étaient exécutées en série, c'est-à-dire l'une après l'autre ?

A. Atomicité
B. Cohérence
C. Isolement
D. Durabilité

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Isolation - La propriété isolation garantit que l'exécution simultanée des
transactions aboutit à un système

qui serait obtenu si les transactions étaient exécutées en série, c'est-à-dire l'une après l'autre.

Pour l'examen CISA, vous devez connaître les informations ci-dessous sur les propriétés ACID dans le SGBD :

Atomicité - L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, la transaction entière échoue et l'état de la base
de données reste inchangé. Un système atomique doit garantir l'atomicité dans toutes les situations, y compris les pannes de courant, les erreurs et les crashs.
Pour le monde extérieur, une transaction validée apparaît (par ses effets sur la base de données) comme indivisible (« atomique »), et une transaction avortée ne
se produit pas.
Cohérence : la propriété de cohérence garantit que toute transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la
base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute
combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la
responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.

Isolation - La propriété isolation garantit que l'exécution simultanée des transactions aboutit à un état système qui serait obtenu si les transactions étaient
exécutées en série, c'est-à-dire l'une après l'autre. L'isolement est l'objectif principal du contrôle de la concurrence. Selon la méthode de contrôle de la
concurrence, les effets d'une transaction incomplète peuvent même ne pas être visibles pour une autre transaction. [citation nécessaire]

Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage ou d'erreur. Dans une
base de données relationnelle, par exemple, une fois qu'un groupe d'instructions SQL s'exécute, les résultats doivent être stockés de manière permanente (même si
la base de données se bloque immédiatement après). Pour se défendre contre les coupures de courant, les transactions (ou leurs effets) doivent être enregistrées
dans une mémoire non volatile.
Les réponses suivantes étaient incorrectes :

Cohérence : la propriété de cohérence garantit que toute transaction fera passer la base de données d'un état valide à un autre. Toutes les données écrites dans la
base de données doivent être valides selon toutes les règles définies, y compris, mais sans s'y limiter, les contraintes, les cascades, les déclencheurs et toute
combinaison de ceux-ci. Cela ne garantit pas l'exactitude de la transaction de toutes les manières que le programmeur de l'application aurait pu souhaiter (c'est la
responsabilité du code au niveau de l'application), mais simplement que les erreurs de programmation ne violent aucune règle définie.

Durabilité - La durabilité signifie qu'une fois qu'une transaction a été validée, elle le restera, même en cas de coupure de courant, de plantage ou d'erreur.

L'atomicité exige que chaque transaction soit « tout ou rien » : si une partie de la transaction échoue, la transaction entière échoue et l'état de la base de données
reste inchangé. Manuel d'examen de la CISA 2014 Numéro de page 218

QUESTION 85
Laquelle des méthodes de développement logiciel suivantes est basée sur un développement itératif et incrémental, où les exigences et les solutions évoluent
grâce à la collaboration entre des équipes interfonctionnelles auto-organisées ?

A. Développement agile
B. Prototypage de logiciels
C. rapide des applications
D. Développement basé sur les composants

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Pour votre examen, vous devez connaître les informations ci-dessous sur le développement agile :

Le développement logiciel agile est un groupe de méthodes de développement logiciel basées sur le développement itératif et incrémental, où les exigences et les
solutions évoluent grâce à la collaboration entre des équipes interfonctionnelles auto-organisées. Il favorise la planification adaptative, le développement et la
livraison évolutifs, une approche itérative limitée dans le temps et encourage une réponse rapide et flexible au changement. Il s'agit d'un cadre conceptuel qui
favorise les itérations serrées prévues tout au long du cycle de développement.

Développement agile
Le Manifeste Agile a introduit le terme en 2001. Depuis lors, le mouvement Agile, avec toutes ses valeurs, principes, méthodes, pratiques, outils, champions et
praticiens, philosophies et cultures, a considérablement changé le paysage du génie logiciel moderne et du développement de logiciels commerciaux à l'ère
d'Internet.

Principes agiles

Le Manifeste Agile repose sur douze principes :

Satisfaction des clients grâce à la livraison rapide de logiciels utiles Accueillir l'évolution des besoins, même en retard de développement, Les logiciels de travail
sont livrés fréquemment (des semaines plutôt que des mois) Une coopération étroite et quotidienne entre les professionnels et les développeurs Les projets sont
construits autour d'individus motivés, en qui il faut avoir confiance La conversation en face à face est la meilleure forme de communication (colocation) Les logiciels
de travail sont la principale mesure du progrès Développement durable, capable de maintenir un rythme constant Attention continue à l'excellence technique et à
une bonne conception La simplicité - l'art de maximiser la quantité de travail non fait - est essentielle Équipes auto-organisées Adaptation régulière aux
circonstances changeantes

Qu'est-ce que Scrum ?

Scrum est le moyen le plus populaire d'introduire l'agilité en raison de sa simplicité et de sa flexibilité. En raison de cette popularité, de nombreuses organisations
prétendent « faire Scrum » mais ne font rien qui se rapproche de la définition réelle de Scrum. Scrum met l'accent sur le feedback empirique, l'autogestion de
l'équipe et la volonté de créer des incréments de produits correctement testés en courtes itérations. Faire Scrum tel qu'il est défini entre généralement en conflit
avec les habitudes existantes dans les organisations établies non agiles.

Les réponses suivantes étaient incorrectes :

Prototypage de logiciels - Le prototypage de logiciels fait référence à l'activité de création de prototypes d'applications logicielles, c'est-à-dire de versions
incomplètes du logiciel en cours de développement. C'est une activité qui peut se produire dans le développement de logiciels et qui est comparable au
prototypage tel qu'il est connu dans d'autres domaines, tels que l'ingénierie mécanique ou la fabrication.

Le développement rapide d'applications (RAD) est une méthodologie de développement logiciel qui utilise une planification minimale au profit du prototypage rapide.
La « planification » des logiciels développés à l'aide de RAD est entrelacée avec l'écriture du logiciel lui-même. L'absence de planification approfondie permet
généralement d'écrire des logiciels beaucoup plus rapidement et facilite la modification des exigences.

Développement basé sur les composants - Il s'agit d'une approche basée sur la réutilisation pour définir, mettre en œuvre et composer des composants
indépendants faiblement couplés dans des systèmes. Cette pratique vise à apporter un degré d'avantages tout aussi large à court et à long terme pour le logiciel
lui-même et pour les organisations qui parrainent de tels logiciels.
Manuel d'examen de la CISA 2014 Numéro de page 194

QUESTION N° 86
Laquelle des méthodologies de développement logiciel suivantes est une approche basée sur la réutilisation pour définir, implémenter et composer des
composants indépendants faiblement couplés dans des systèmes ?

Un. Développements agiles

B. Prototypage de logiciels
C. rapide des applications
D. Développement basé sur les composants

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Le génie logiciel basé sur les composants (CBSE) (également connu sous le
nom de développement basé sur les composants (CBD)) est une branche du génie logiciel qui met l'accent sur la séparation des préoccupations en ce qui
concerne la large gamme de fonctionnalités disponibles dans un système logiciel donné. Il s'agit d'une approche basée sur la réutilisation pour définir, mettre en
œuvre et composer des composants indépendants faiblement couplés dans des systèmes. Cette pratique vise à apporter un degré d'avantages aussi large à
court et à long terme pour le logiciel lui-même que pour les organisations qui sponsorisent ce logiciel.

Les ingénieurs logiciels considèrent les composants comme faisant partie de la plate-forme de départ pour l'orientation service. Les composants jouent ce rôle, par
exemple, dans les services Web et, plus récemment, dans les architectures orientées services (SOA), où un composant est converti par le service Web en service
et hérite ensuite d'autres caractéristiques au-delà de celles d'un composant ordinaire.

Les composants peuvent produire ou consommer des événements et peuvent être utilisés pour les architectures pilotées par les événements (EDA).

Définition et caractéristiques des composants

Un composant logiciel individuel est un progiciel, un service Web, une ressource Web ou un module qui encapsule un ensemble de fonctions (ou de données)
associées. Tous les processus système sont placés dans des composants séparés afin que toutes les données et fonctions à l'intérieur de chaque composant
soient sémantiquement liées (tout comme avec le contenu des classes). En raison de ce principe, on dit souvent que les composants sont modulaires et
cohérents.
En ce qui concerne la coordination à l'échelle du système, les composants communiquent entre eux par le biais d'interfaces. Lorsqu'un composant offre des services
au reste du système, il adopte une interface fournie qui spécifie les services que les autres composants peuvent utiliser et comment ils peuvent le faire. Cette
interface peut être considérée comme une signature du composant - le client n'a pas besoin de connaître le fonctionnement interne du composant (implémentation)
pour l'utiliser. Ce principe donne lieu à des composants dits encapsulés. Les illustrations UML de cet article représentent les interfaces fournies par un symbole de
sucette attaché au bord extérieur du composant.

Cependant, lorsqu'un composant a besoin d'utiliser un autre composant pour fonctionner, il adopte une interface utilisée qui spécifie les services dont il a besoin.
Dans les illustrations UML de cet article, les interfaces utilisées sont représentées par un symbole de socket ouvert attaché au bord extérieur du composant. Un
exemple simple de plusieurs composants logiciels - illustrés dans un système hypothétique de réservation de vacances représenté dans UML 2.0.

Un autre attribut important des composants est qu'ils sont substituables, de sorte qu'un composant peut en remplacer un autre (au moment de la conception ou
de l'exécution), si le composant successeur répond aux exigences du composant initial (exprimées via les interfaces). Par conséquent, les composants peuvent
être remplacés par une version mise à jour ou une alternative sans casser le système dans lequel le composant fonctionne.

En règle générale, pour les ingénieurs qui remplacent des composants, le composant B peut immédiatement remplacer le composant A, si le composant B
fournit au moins ce que le composant A a fourni et n'utilise pas plus que ce que le composant A a utilisé.

Les composants logiciels prennent souvent la forme d'objets (et non de classes) ou de collections d'objets (issus de la programmation orientée objet), sous une
forme binaire ou textuelle, adhérant à un langage de description d'interface (IDL) afin que le composant puisse exister de manière autonome par rapport aux
autres composants d'un ordinateur.
Lorsqu'un composant doit être accédé ou partagé entre des contextes d'exécution ou des liaisons réseau, des techniques telles que la sérialisation ou le
marshalling sont souvent utilisées pour livrer le composant à sa destination.

La réutilisabilité est une caractéristique importante d'un composant logiciel de haute qualité. Les programmeurs doivent concevoir et implémenter des composants
logiciels de manière à ce que de nombreux programmes différents puissent les réutiliser.

De plus, les tests d'utilisabilité basés sur les composants doivent être envisagés lorsque les composants logiciels interagissent directement avec les utilisateurs.

Il faut beaucoup d'efforts et de sensibilisation pour écrire un composant logiciel qui soit effectivement réutilisable. Le composant doit être :

Entièrement documenté, soigneusement testé, robuste - avec un

contrôle complet de la validité des entrées, capable de renvoyer
les messages d'erreur appropriés ou les codes de retour, conçu
en sachant qu'il sera utilisé à des fins imprévues

Les réponses suivantes étaient incorrectes :

Développement agile - Le développement logiciel agile est un groupe de méthodes de développement logiciel basées sur le développement itératif et
incrémental, où les exigences et les solutions évoluent grâce à la collaboration entre des équipes interfonctionnelles auto-organisées.

Prototypage de logiciels - Le prototypage de logiciels fait référence à l'activité de création de prototypes d'applications logicielles, c'est-à-dire de versions
incomplètes du logiciel en cours de développement. C'est une activité qui peut se produire dans le développement de logiciels et qui est comparable au
prototypage tel qu'il est connu dans d'autres domaines, tels que l'ingénierie mécanique ou la fabrication.
Le développement rapide d'applications (RAD) est une méthodologie de développement logiciel qui utilise une planification minimale au profit du prototypage rapide.
La « planification » des logiciels développés à l'aide de RAD est entrelacée avec l'écriture du logiciel lui-même. L'absence de planification approfondie permet
généralement d'écrire des logiciels beaucoup plus rapidement et facilite la modification des exigences.
Manuel d'examen de la CISA 2014 Numéro de page 194

QUESTION N° 87
Laquelle des méthodologies de développement logiciel suivantes utilise une planification minimale et favorise le prototypage rapide ?

A. Développements agiles
B. Prototypage de logiciels
C. rapide des applications
D. Développement basé sur les composants

Bonne réponse : C
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre de systèmes d'information Le développement rapide d'applications (RAD) est une méthodologie de développement
logiciel qui utilise un minimum de planification au profit du prototypage rapide. La « planification » des logiciels développés à l'aide de RAD est entrelacée avec l'écriture du
logiciel lui-même. L'absence de planification approfondie permet généralement d'écrire des logiciels beaucoup plus rapidement et facilite la modification des exigences.
Développement rapide d'applications
Quatre phases de la phase de planification des exigences de la SAR combinent des éléments des phases de planification et d'analyse des systèmes du cycle de
vie du développement des systèmes (SDLC). Les utilisateurs, les responsables et les membres du personnel informatique discutent et se mettent d'accord sur les
besoins de l'entreprise, la portée du projet, les contraintes et les exigences du système. Il se termine lorsque l'équipe se met d'accord sur les questions clés et
obtient l'autorisation de la direction pour continuer.
Phase de conception de l'utilisateur Au cours de cette phase, les utilisateurs interagissent avec les analystes de systèmes et développent des modèles et des
prototypes qui représentent tous les processus, entrées et sorties du système. Les groupes ou sous-groupes RAD utilisent généralement une combinaison de
techniques de développement d'applications conjointes (JAD) et d'outils CASE pour traduire les besoins des utilisateurs en modèles de travail. La conception
utilisateur est un processus interactif continu qui permet aux utilisateurs de comprendre, de modifier et éventuellement d'approuver un modèle de fonctionnement
du système qui répond à leurs besoins.
La phase de construction se concentre sur la tâche de développement de programmes et d'applications similaire au SDLC. Dans RAD, cependant, les utilisateurs
continuent de participer et peuvent toujours suggérer des changements ou des améliorations au fur et à mesure que des écrans ou des rapports sont développés.
Ses tâches sont la programmation et le développement d'applications, le codage, l'intégration unitaire et les tests de systèmes.

La phase de basculement ressemble aux tâches finales de la phase de mise en œuvre du SDLC, notamment la conversion des données, les tests, le passage au
nouveau système et la formation des utilisateurs. Par rapport aux méthodes traditionnelles, l'ensemble du processus est comprimé. En conséquence, le nouveau
système est construit, livré et mis en service beaucoup plus tôt.
Les réponses suivantes étaient incorrectes :

Développement agile - Le développement logiciel agile est un groupe de méthodes de développement logiciel basées sur le développement itératif et
incrémental, où les exigences et les solutions évoluent grâce à la collaboration entre des équipes interfonctionnelles auto-organisées.

Prototypage de logiciels - Le prototypage de logiciels fait référence à l'activité de création de prototypes d'applications logicielles, c'est-à-dire de versions
incomplètes du logiciel en cours de développement. C'est une activité qui peut se produire dans le développement de logiciels et qui est comparable au
prototypage tel qu'il est connu dans d'autres domaines, tels que l'ingénierie mécanique ou la fabrication.

Développement basé sur les composants - Il s'agit d'une approche basée sur la réutilisation pour définir, mettre en œuvre et composer des composants
indépendants faiblement couplés dans des systèmes. Cette pratique vise à apporter un degré d'avantages tout aussi large à court et à long terme pour le logiciel
lui-même et pour les organisations qui parrainent de tels logiciels.
Manuel d'examen de la CISA 2014 Numéro de page 195

QUESTION N° 88
Laquelle des techniques suivantes est une technique d'estimation où les résultats peuvent être mesurés par la taille fonctionnelle de

un système d'information basé sur le nombre et la complexité des entrées, des sorties, de l'interface et des requêtes ?

Un. Analyse de points fonctionnels

B. Diagramme de Gantt
C. Gestion des blocs de temps
D. Méthode du chemin critique

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Pour l'examen CISA, vous devez connaître les informations ci-dessous sur l'analyse des points fonctionnels :

L'analyse des points fonctionnels (FPA) est une méthode reconnue par l'ISO pour mesurer la taille fonctionnelle d'un système d'information. La taille fonctionnelle
reflète la quantité de fonctionnalités pertinentes et reconnues par l'utilisateur dans l'entreprise. Il est indépendant de la technologie utilisée pour mettre en œuvre
le système.
L'unité de mesure est les « points de fonction ». Ainsi, le FPA exprime la taille fonctionnelle d'un système d'information en un certain nombre de points de fonction
(par exemple : la taille d'un système est de 314 fop).
La taille fonctionnelle peut être utilisée :

Pour budgétiser les coûts de développement ou d'amélioration des applications Pour budgétiser les coûts de maintenance annuels du portefeuille d'applications
Pour déterminer la productivité du projet après l'achèvement du projet Pour déterminer le logiciel Toutes les applications logicielles comporteront de nombreux
Taille pour l'estimation des coûts

processus élémentaires ou des processus indépendants pour déplacer les données. Les transactions (ou processus élémentaires) qui acheminent des données de
l'extérieur du domaine d'application (ou de la limite de l'application) vers l'intérieur de cette limite d'application sont appelées entrées externes. Les transactions (ou
processus élémentaires) qui font passer des données d'une position de repos (normalement sur un fichier) à l'extérieur du domaine d'application (ou de la limite de
l'application) sont appelées sorties externes ou enquêtes externes. Les données au repos gérées par l'application en question sont classées comme des fichiers
logiques internes. Les données au repos qui sont gérées par une autre application en question sont classées comme des fichiers d'interface externes.
Types de nombres de points de fonction :

Les points de fonction peuvent être comptés à toutes les phases d'un projet de développement, des exigences à la mise en œuvre. Ce type de dénombrement est
associé aux nouveaux travaux de développement. La dérive de la portée peut être suivie et surveillée en comprenant la taille fonctionnelle à chaque phase d'un
projet. Souvent, ce type de comptage est appelé dénombrement ponctuel de fonction de base.

Nombre de points de la fonction de projet d'amélioration

Il est courant d'améliorer les logiciels après leur mise en production. Ce type de nombre de points de fonction tente de dimensionner les projets d'amélioration.
Toutes les applications de production évoluent au fil du temps. En suivant la taille de l'amélioration et les coûts associés, une base de données historique pour
votre organisation peut être construite. De plus, il est important de comprendre comment un projet de développement a changé au fil du temps.

Le comptage des points d'application est effectué sur les applications de production existantes. Ce « nombre de référence » peut être utilisé avec des mesures
globales de l'application, telles que le nombre total d'heures de maintenance. Cette mesure peut être utilisée pour suivre les heures de maintenance par point de
fonction. Il s'agit d'un exemple de métrique normalisée. Il ne suffit pas d'examiner uniquement la maintenance, mais il faut examiner le rapport entre les heures de
maintenance et la taille de l'application pour obtenir une image fidèle.
Productivité:

La définition de la productivité est le rapport extrant-intrants au cours d'une période donnée, compte tenu de la qualité. Productivité = extrants/intrants (au cours
d'une période, qualité considérée)

La formule indique que la productivité peut être améliorée (1) en augmentant les extrants avec les mêmes intrants, (2) en diminuant les intrants mais en
maintenant les mêmes extrants, ou (3) en augmentant les extrants et en diminuant les intrants modifient favorablement le ratio.

Productivité logicielle = Points de fonction / Entrées

Efficacité vs efficience : La productivité implique l'efficacité et l'efficience de la performance individuelle et organisationnelle. L'efficacité est l'atteinte des
objectifs. L'efficacité est la réalisation des objectifs avec le moins de ressources possible.

La productivité logicielle est définie comme heures/points de fonction ou points de fonction/heures. Il s'agit du coût moyen de développement d'un logiciel ou du
coût unitaire d'un logiciel. Une chose à garder à l'esprit est que le coût unitaire des logiciels n'est pas fixe en fonction de la taille. Ce que les données de
l'industrie montrent, c'est que le coût unitaire des logiciels augmente avec la taille.
Le coût moyen est le coût total de production d'une quantité particulière de production divisé par cette quantité. Dans ce cas, en points de coût/fonction totaux. Le
coût marginal est la variation du coût total attribuable à une variation d'une unité de la production.

Il existe diverses raisons pour lesquelles les coûts marginaux des logiciels augmentent à mesure que la taille augmente. Voici une liste de
certaines des raisons pour lesquelles la taille augmente, la complexité augmente.
À mesure que la taille augmente, un plus grand nombre de tâches doivent être accomplies. À mesure que la taille augmente, le nombre de membres du
personnel augmente et ils deviennent plus difficiles à gérer.

Les points de fonction sont le résultat du processus de développement logiciel. Les points de fonction sont l'unité du logiciel. Il est très important de comprendre
que les points de fonction restent constants, quel que soit le développeur du logiciel ou la langue dans laquelle le logiciel est développé. Les coûts unitaires
doivent être examinés de très près. Pour calculer le coût unitaire moyen, tous les éléments (unités) sont combinés et divisés par le coût total. D'autre part, pour
estimer avec précision le coût d'une application, le coût de chaque composant doit être estimé.

Déterminer le type de nombre de points de fonction Déterminer la limite de l'application Identifier et évaluer les
types de fonctions transactionnelles pour déterminer leur contribution au nombre de points de fonction non ajusté.

Identifier et évaluer les types de fonctions de données pour déterminer leur contribution au nombre de points de fonction non ajusté.
Déterminer le facteur d'ajustement de la
valeur (VAF) Calculer le nombre de points de
fonction ajusté.
Pour effectuer un dénombrement de points de fonction, une connaissance des règles de points de fonction et de la documentation de l'application est nécessaire.
L'accès à un expert en application peut améliorer la qualité du comptage. Une fois que la limite de l'application a été établie, l'APP peut être divisée en trois
parties principales
FPA pour les types de fonctions
transactionnelles FPA pour les
types de fonctions de données FPA
pour les GSC
La cote des transactions dépend à la fois de l'information contenue dans les transactions et du nombre de dossiers référencés, il est recommandé de compter les
transactions en premier. En même temps, un décompte doit être tenu de tous les FTR (types de fichiers référencés) auxquels les transactions font référence.
Chaque FTR doit comporter au moins une ou plusieurs transactions. Chaque transaction doit être un processus élémentaire. Un processus élémentaire est la plus
petite unité d'activité qui a un sens pour l'utilisateur final dans l'entreprise. Il doit être autonome et laisser l'entreprise dans un état cohérent

Les réponses suivantes étaient incorrectes :

Méthodologie du chemin critique - La méthode du chemin critique (CPM) est un algorithme permettant de planifier un ensemble d'activités de projet

Diagramme de Gantt - Un diagramme de Gantt est un type de diagramme à barres, développé par Henry Gantt dans les années 1910, qui illustre un calendrier de
projet. Les diagrammes de Gantt illustrent les dates de début et de fin des éléments terminaux et des éléments récapitulatifs d'un projet. Les éléments terminaux et
les éléments récapitulatifs constituent la structure de répartition du travail du projet. Les diagrammes de Gantt modernes montrent également les relations de
dépendance (c'est-à-dire le réseau de priorité) entre les activités. Les diagrammes de Gantt peuvent être utilisés pour afficher l'état actuel de la planification à l'aide
d'ombrages en pourcentage d'achèvement et d'une ligne verticale « AUJOURD'HUI », comme illustré ici.
Gestion des blocs de temps - Dans la gestion des blocs-temps, un bloc-temps alloue une période fixe, appelée bloc-temps, à chaque activité planifiée. Plusieurs
approches de gestion de projet utilisent le time boxing. Il est également utilisé pour un usage individuel afin d'accomplir des tâches personnelles dans un laps de
temps plus court. Il s'agit souvent d'avoir des livrables et des délais, ce qui améliorera la productivité de l'utilisateur.
Manuel d'examen de la CISA 2014 Page numéro 154

QUESTION N° 89
Laquelle des techniques suivantes est une technique de gestion de projet pour définir et déployer des livrables logiciels dans un délai relativement court et fixe, et
avec des ressources spécifiques prédéterminées ?

Un. Analyse de points fonctionnels

B. Diagramme de Gantt
C. du chemin critique
D. Gestion des blocs de temps

Bonne réponse : D
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information La gestion des boîtes de temps est une technique de gestion de projet
permettant de définir et de déployer des livrables logiciels dans un délai relativement court et fixe, et avec des ressources spécifiques prédéterminées. Il est
nécessaire d'équilibrer la qualité du logiciel et de répondre aux exigences de livraison dans les délais impartis. Le chef de projet dispose d'un certain degré de
flexibilité et fait preuve de discrétion pour définir la portée de l'exigence. La gestion des blocs de temps peut être utilisée pour réaliser des prototypes ou des
applications de type RAPID dans lesquelles les fonctionnalités clés doivent être livrées dans un court laps de temps.

Les réponses suivantes étaient incorrectes :

Méthode du chemin critique -La méthode du chemin critique (CPM) est un algorithme permettant de planifier un ensemble d'activités de projet Diagramme de Gantt
-Un diagramme de Gantt est un type de diagramme à barres, développé par Henry Gantt dans les années 1910, qui illustre un calendrier de projet. Les
diagrammes de Gantt illustrent les dates de début et de fin des éléments terminaux et des éléments récapitulatifs d'un projet. Les éléments terminaux et les
éléments récapitulatifs constituent la structure de répartition du travail du projet. Les diagrammes de Gantt modernes montrent également les relations de
dépendance (c'est-à-dire le réseau de priorité) entre les activités. Les diagrammes de Gantt peuvent être utilisés pour afficher l'état actuel de la planification à l'aide
d'ombrages en pourcentage d'achèvement et d'une ligne verticale « AUJOURD'HUI », comme illustré ici.
Analyse des points fonctionnels - L'analyse des points fonctionnels (FPA) est une méthode reconnue par l'ISO pour mesurer la taille fonctionnelle d'un système
d'information. La taille fonctionnelle reflète la quantité de fonctionnalités pertinentes et reconnues par l'utilisateur dans l'entreprise. Il est indépendant de la
technologie utilisée pour mettre en œuvre le système.
Manuel d'examen de la CISA 2014 Page numéro 154

QUESTION 90
Qui est principalement responsable de la protection des actifs informationnels qui lui sont confiés au quotidien en définissant qui peut accéder aux données, leur
niveau de sensibilité, leur type d'accès et le respect des politiques de sécurité de l'information de l'entreprise ?

A. Propriétaire des données

B. Agent de sécurité
C. direction
D. Utilisateur final

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information Le propriétaire des données est la personne à qui l'on a confié un ensemble de
données appartenant à l'entreprise. En tant que tels, ils sont responsables de classer les données en fonction de leur valeur et de leur sensibilité. Le propriétaire
des données décide qui aura accès aux données, quel type d'accès sera accordé. Le propriétaire des données indiquera au dépositaire des données ou à
l'administrateur système l'accès à configurer dans les systèmes.
Un dirigeant ou un gestionnaire d'entreprise est généralement responsable d'un actif informationnel. Ce sont les personnes qui attribuent la classification appropriée
aux actifs informationnels. Ils veillent à ce que les renseignements commerciaux soient protégés par des contrôles appropriés. Périodiquement, les propriétaires
d'actifs informationnels doivent revoir la classification et les droits d'accès associés aux actifs informationnels. Les propriétaires, ou leurs délégués, peuvent être
tenus d'approuver l'accès à l'information. Les propriétaires doivent également déterminer la criticité, la sensibilité, la rétention, les sauvegardes et les mesures de
protection des informations. Les propriétaires ou leurs délégués sont responsables de comprendre les risques qui existent en ce qui concerne les informations qu'ils
contrôlent.
Les réponses suivantes sont incorrectes :

Direction générale/haute direction - La haute direction assume la responsabilité globale de la protection des actifs informationnels. Les opérations commerciales
dépendent de la disponibilité, de l'exactitude et de la protection des informations contre les individus sans avoir besoin de savoir.

Responsable de la sécurité - L'agent de sécurité dirige, coordonne, planifie et organise les activités de sécurité de l'information dans toute l'organisation. L'agent
de sécurité travaille avec de nombreuses personnes différentes, telles que la direction exécutive, la direction des unités commerciales, le personnel technique, les
partenaires commerciaux, les auditeurs et les tiers tels que les fournisseurs. Le responsable de la sécurité et son équipe sont responsables de la conception, de
la mise en œuvre, de la gestion et de l'examen des politiques, normes, procédures, bases de référence et directives de sécurité de l'organisation.

Utilisateur final - L'utilisateur final ne décide pas de la classification des données du manuel d'examen de la CISA
2014, page numéro 108, guide officiel ISC2 du CISSP, 3e édition, page numéro 342

QUESTION 91
Laquelle des méthodes de test suivantes examine les fonctionnalités d'une application sans examiner sa structure interne ou connaître les détails de ses composants internes ?

A. Tests en boîte noire

B. Test parallèle
C. Tests de régression
D. Essais pilotes

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les tests en boîte noire sont une méthode de test de logiciels qui examine la
fonctionnalité d'une application (par exemple, ce que fait le logiciel) sans examiner ses structures internes ou son fonctionnement (voir tests en boîte blanche).
Cette méthode de test peut être appliquée à pratiquement tous les niveaux de test logiciel : unité, intégration, système et acceptation. Il comprend généralement la
plupart, sinon la totalité, des tests de haut niveau, mais peut également dominer les tests unitaires.

Pour votre examen, vous devez connaître les informations ci-dessous :

Test alpha et bêta - Une version alpha est une version antérieure du système d'application soumise à l'utilisateur interne pour test. La version alpha peut ne pas
contenir toutes les fonctionnalités prévues pour la version finale. En règle générale, les logiciels passent par deux étapes de test avant d'être considérés comme
terminés. La première étape appelée test alpha est souvent effectuée uniquement par l'utilisateur au sein de l'organisation qui développe le logiciel. La deuxième
étape est appelée test bêta, une forme de test d'acceptation par l'utilisateur, implique généralement un nombre limité d'utilisateurs externes. Le test bêta est la
dernière étape du test et implique normalement une exposition dans le monde réel, l'envoi de la version bêta du produit à des sites de test bêta indépendants ou
l'offre gratuite à l'utilisateur intéressé.
Essai pilote - Un test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais
plutôt à fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec
seulement des fonctionnalités de base.
Test en boîte blanche - Évaluez l'efficacité d'une logique de programme logiciel. Plus précisément, les données de test sont utilisées pour déterminer la précision
de la procédure ou les conditions du chemin logique spécifique d'un programme. Cependant, tester tous les chemins logiques possibles dans un grand système
d'information n'est pas faisable et serait prohibitif, et n'est donc utilisé que sur une base sélective.
Tests en boîte noire - Une forme de test basée sur l'intégrité associée à l'essai des composants de l'efficacité opérationnelle « fonctionnelle » d'un système
d'information sans tenir compte d'une structure de programme interne spécifique.
Applicable aux tests d'intégration et d'acceptation par les utilisateurs.

Tests de fonctionnement/validation : Il est similaire aux tests de système, mais il est souvent utilisé pour tester la fonctionnalité du système par rapport aux
exigences détaillées afin de s'assurer que le logiciel qui a été construit est traçable aux exigences du client.

Test de régression : processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Test parallèle - Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de sociabilité - Le but de ces tests est de confirmer que le système nouveau ou modifié peut fonctionner dans son environnement cible sans avoir d'impact négatif sur le
système existant. Cela devrait couvrir non seulement la plate-forme qui effectuera le traitement primaire de l'application et l'interface avec d'autres systèmes, mais, dans un
serveur client et un développement Web, les modifications apportées à l'environnement de bureau. Plusieurs applications peuvent s'exécuter sur le bureau de l'utilisateur,
potentiellement simultanément, il est donc important de tester l'impact de l'installation de nouvelles bibliothèques de liens dynamiques (DLL), de la modification du registre du
système d'exploitation ou du fichier de configuration, et éventuellement de l'utilisation supplémentaire de la mémoire.
Les réponses suivantes sont incorrectes :

Test parallèle - Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de régression : processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Essai pilote - Un test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais
plutôt à fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec
seulement des fonctionnalités de base Manuel de révision de la CISA 2014 Numéro de page 167 Guide officiel ISC2 du CISSP CBK 3e édition Numéro de page 176

QUESTION 92
Laquelle des méthodes de test suivantes examine la structure interne ou le fonctionnement d'une application ?

Un. Test en boîte blanche

B. Test parallèle
C. Tests de régression
D. Essais pilotes

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre des systèmes d'information Les tests en boîte blanche (également connus sous le nom de tests en boîte
transparente, tests en boîte en verre, tests en boîte transparente et tests structurels) sont une méthode de test d'un logiciel qui teste les structures internes ou le
fonctionnement d'une application, par opposition à sa fonctionnalité (c'est-à-dire les tests en boîte noire). Dans les tests en boîte blanche, une perspective interne
du système, ainsi que des compétences en programmation, sont utilisées pour concevoir des cas de test. Le testeur choisit des entrées pour tester les chemins à
travers le code et déterminer les sorties appropriées. C'est analogue au test des nœuds dans un circuit, par exemple le test en circuit (ICT).
Les tests en boîte blanche peuvent être appliqués au niveau de l'unité, de l'intégration et du système du processus de test logiciel. Bien que les testeurs traditionnels aient tendance à
penser que les tests en boîte blanche étaient effectués au niveau de l'unité, ils sont utilisés plus fréquemment pour les tests d'intégration et de système aujourd'hui. Il peut tester les
chemins au sein d'une unité, les chemins entre les unités pendant l'intégration et entre les sous-systèmes lors d'un test au niveau du système. Bien que cette méthode de conception de
test puisse révéler de nombreuses erreurs ou problèmes, elle peut manquer des parties non implémentées de la spécification ou des exigences manquantes.
Pour votre examen, vous devez connaître les informations ci-dessous :

Test alpha et bêta - Une version alpha est une version antérieure du système d'application soumise à l'utilisateur interne pour test. La version alpha peut ne pas
contenir toutes les fonctionnalités prévues pour la version finale. En règle générale, les logiciels passent par deux étapes de test avant d'être considérés comme
terminés. La première étape appelée test alpha est souvent effectuée uniquement par l'utilisateur au sein de l'organisation qui développe le logiciel. La deuxième
étape est appelée test bêta, une forme de test d'acceptation par l'utilisateur, implique généralement un nombre limité d'utilisateurs externes. Le test bêta est la
dernière étape du test et implique normalement une exposition dans le monde réel, l'envoi de la version bêta du produit à des sites de test bêta indépendants ou
l'offre gratuite à l'utilisateur intéressé.
Essai pilote - Un test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais
plutôt à fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec
seulement des fonctionnalités de base.
Test en boîte blanche - Évaluez l'efficacité d'une logique de programme logiciel. Plus précisément, les données de test sont utilisées pour déterminer la précision
de la procédure ou les conditions du chemin logique spécifique d'un programme. Cependant, tester tous les chemins logiques possibles dans un grand système
d'information n'est pas faisable et serait prohibitif, et n'est donc utilisé que sur une base sélective.

Tests en boîte noire - Une forme de test basée sur l'intégrité associée à l'essai des composants de l'efficacité opérationnelle « fonctionnelle » d'un système
d'information sans tenir compte d'une structure de programme interne spécifique.
Applicable aux tests d'intégration et d'acceptation par les utilisateurs.

Tests de fonctionnement/validation : Il est similaire aux tests de système, mais il est souvent utilisé pour tester la fonctionnalité du système par rapport aux
exigences détaillées afin de s'assurer que le logiciel qui a été construit est traçable aux exigences du client.

Test de régression : processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Test parallèle - Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de sociabilité - Le but de ces tests est de confirmer que le système nouveau ou modifié peut fonctionner dans son environnement cible sans avoir d'impact négatif sur le
système existant. Cela devrait couvrir non seulement la plate-forme qui effectuera le traitement primaire de l'application et l'interface avec d'autres systèmes, mais, dans un
serveur client et un développement Web, les modifications apportées à l'environnement de bureau. Plusieurs applications peuvent s'exécuter sur le bureau de l'utilisateur,
potentiellement simultanément, il est donc important de tester l'impact de l'installation de nouvelles bibliothèques de liens dynamiques (DLL), de la modification du registre du
système d'exploitation ou du fichier de configuration, et éventuellement de l'utilisation supplémentaire de la mémoire.
Les réponses suivantes sont incorrectes :

Test parallèle - Il s'agit du processus d'alimentation des données de test dans deux systèmes, le système modifié et un système alternatif, et de comparaison du résultat.

Test de régression : processus de réexécution d'une partie d'un scénario de test ou d'un plan de test pour s'assurer que les modifications ou les corrections n'ont
pas introduit de nouvelles erreurs. Les données utilisées dans les tests de régression doivent être les mêmes que les données originales.

Essai pilote - Un test préliminaire qui se concentre sur un aspect spécifique et prédéfini d'un système. Il ne vise pas à remplacer d'autres méthodes de test, mais
plutôt à fournir une évaluation limitée du système. Les preuves de concept sont des tests pilotes précoces, généralement sur une plate-forme provisoire et avec
seulement des fonctionnalités de base Manuel de révision de la CISA 2014 Numéro de page 167 Guide officiel ISC2 du CISSP CBK 3e édition Numéro de page 176
QUESTION 93
Identifier la séquence correcte du processus d'analyse comparative de la réingénierie des processus métier (BPR) parmi les choix donnés ci-dessous ?

Un. PLANIFIER, RECHERCHER, OBSERVER, ANALYSER, ADOPTER et AMÉLIORER

B. OBSERVER, PLANIFIER, RECHERCHER, ANALYSER, ADOPTER et AMÉLIORER

C. PLANIFIER, OBSERVER, RECHERCHER, ANALYSER, ADOPTER et AMÉLIORER
D. PLANIFIER, RECHERCHER, ANALYSER, OBSERVER, ADOPTER et AMÉLIORER

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information La séquence correcte de l'analyse comparative du BRP est PLANIFIER, RECHERCHER, OBSERVER,
ANALYSER, ADOPTER et AMÉLIORER.

Pour votre examen, vous devez connaître les informations ci-dessous :

Aperçu de la réingénierie des processus d'affaires L'un des principes qui reste constant dans les affaires est la nécessité d'améliorer vos processus et procédures. La
plupart des magazines spécialisés contiennent aujourd'hui des discussions sur la planification détaillée nécessaire à la mise en œuvre du changement dans une
organisation. Le concept de changement doit être accepté comme un principe fondamental. Des termes tels que l'évolution de l'entreprise et l'amélioration continue
ricochent dans la salle lors des réunions d'affaires. C'est un fait que les organisations qui ne changent pas sont vouées à périr.

En tant que CISA, vous devez être prêt à vérifier si les changements de processus au sein de l'organisation sont pris en compte avec la documentation appropriée.
Tous les cadres de contrôle interne exigent que la direction soit tenue responsable de la protection de tous les actifs appartenant à son organisation. La direction est
également responsable de l'augmentation des revenus.

L'ISACA cite six étapes de base dans son approche générale de la BPR. Ces six étapes sont simplement une extension du modèle de gestion de projets de
Stewart : Envisager - Visualiser un besoin (imaginer). Développez une estimation du retour sur investissement créé par le changement proposé. Élaborez sur
l'avantage avec un plan de projet préliminaire pour obtenir un parrainage de l'organisation. Le plan doit définir les domaines à examiner et clarifier le résultat
souhaité à la fin du projet (c'est-à-dire l'objectif de l'état final). Les livrables de la phase d'approbation sont les suivants : Le champion du projet travaille avec le
comité directeur pour obtenir l'approbation de la haute direction Une brève description de la portée, des buts et des objectifs du projet Description des livrables
spécifiques de ce projet avec une charte préliminaire pour prouver l'approbation de la direction, le projet peut passer à la phase d'initiation.

Initier - Cette phase consiste à fixer des objectifs de BPR avec le sponsor. Concentrez-vous sur la planification de la collecte des preuves détaillées nécessaires à
l'élaboration du plan de BPR ultérieur pour la refonte du processus. Les produits livrables de la phase de lancement sont les suivants : Détermination des
exigences internes et externes (spécifications du projet) Analyse de rentabilisation expliquant pourquoi ce projet est logique (justification) et le rendement du
capital investi estimé par rapport au coût total (retour sur investissement net) Plan de projet officiel avec budget, calendrier, plan de dotation, plan
d'approvisionnement, produits livrables et analyse des risques du projet Niveau d'autorité du gestionnaire de projet BPR et composition de tout comité ou tâche de
soutien Force qui sera requise À partir de l'état des résultats (P&L), identifiez le numéro de ligne d'élément dont l'argent sera débité pour payer ce projet et
identifiez le numéro de ligne P&L spécifique sous lequel le rendement financier apparaîtra plus tard (pour assurer un suivi strict de la performance du retour sur
investissement) Charte de projet formelle signée par les sponsors Il est important de réaliser que certains projets BPR iront de l'avant comme prévu conclusion et
d'autres peuvent être interrompus en raison de preuves insuffisantes. Une fois qu'un plan est officiellement approuvé, le projet BPR peut passer à la phase de
diagnostic.

Diagnostiquer Documenter les processus existants. Il est maintenant temps de voir ce qui fonctionne et d'identifier la source de chaque exigence. Chaque étape du
processus est examinée pour calculer la valeur qu'elle crée. L'objectif de la phase de diagnostic est de mieux comprendre les processus existants. Les données
collectées lors de la phase de diagnostic constituent la base de toutes les décisions de planification : Documentation détaillée du processus existant Mesure de la
performance des différentes étapes du processus Preuve des étapes spécifiques du processus qui ajoutent de la valeur au client Identification des étapes du
processus qui n'ajoutent pas de valeur Définition des attributs qui créent de la valeur et de la qualité Faites un effort supplémentaire pour faire un bon travail de
collecte et d'analyse des preuves. Toutes les hypothèses futures seront

sur la base des données probantes de la phase de diagnostic.

Reconception - En utilisant les preuves de la phase de diagnostic, il est temps de développer le nouveau processus. Cela nécessitera plusieurs itérations de
planification pour s'assurer que les objectifs stratégiques sont atteints. Les plans de refonte officiels seront examinés par les promoteurs et les intervenants. Un plan
final sera présenté au comité directeur pour approbation. Voici un exemple de livrables de la phase de refonte. Comparaison de l'objectif envisagé aux spécifications
réelles Analyse des solutions de rechange (AoA) Prototypage et mise à l'essai du processus remanié Documentation officielle de la conception finale Le projet devra
être approuvé officiellement pour passer à la phase de reconstruction. Sinon, la refonte est interrompue en attendant un examen plus approfondi tout en comparant
la conception proposée avec les preuves disponibles. Des preuves insuffisantes justifient l'arrêt du projet.

Reconstruire Une fois l'approbation officielle reçue, il est temps de commencer la phase de mise en œuvre. Les processus actuels sont déconstruits et
réassemblés selon le plan. La reconstruction peut prendre la forme d'un processus parallèle, de changements modulaires ou d'une transition complète. Chaque
méthode présente une opportunité unique de risque et de récompense. Les livrables de cette phase sont les suivants : Plan de conversion avec dépendances
dans la séquence temporelle Gestion du contrôle des changements Exécution du plan de conversion avec suivi des progrès Formation des utilisateurs et du
personnel de soutien Mise en œuvre pilote pour assurer une migration en douceur Approbation formelle par le promoteur. Le processus reconstruit doit être
officiellement approuvé par la direction pour attester de son consentement à l'aptitude à l'utilisation. La gouvernance informatique stipule que la direction générale
doit être tenue responsable de tout échec et être reconnue pour ses résultats exceptionnels. Les performances du système seront à nouveau évaluées après
l'entrée en production.

Évaluer (après l'évaluation) Le processus reconstruit est surveillé pour s'assurer qu'il fonctionne et qu'il produit la valeur stratégique prévue dans la
justification initiale.
Comparaison des prévisions initiales et des performances réelles Identification des leçons apprises Plan de gestion de la qualité totale pour maintenir le nouveau
processus Une méthode d'amélioration continue est mise en œuvre pour suivre les objectifs initiaux par rapport aux performances réelles du processus. Une
réévaluation annuelle est nécessaire pour adapter de nouvelles exigences ou de nouvelles opportunités.

L'analyse comparative en tant qu'outil BPR L'analyse comparative est le processus de comparaison des données de performance (alias métriques). Il peut être
utilisé pour évaluer les processus métier qui sont à l'étude pour une réingénierie. Les données sur le rendement peuvent être obtenues au moyen d'une
auto-évaluation ou d'une vérification de la conformité à une norme (norme de référence). Les données probantes recueillies pendant la phase de diagnostic sont
considérées comme la clé pour identifier les domaines d'amélioration du rendement et documenter les obstacles. L'ISACA propose les directives générales
suivantes pour la réalisation des benchmarks :

Planifier Identifiez les processus critiques et créez des techniques de mesure pour les classer. Recherche Utilisez des informations sur le processus et collectez régulièrement des données
(échantillons) pour établir une base de comparaison. Tenez compte des commentaires de vos clients et utilisez des données analogues provenant d'autres secteurs. Observer Rassembler en
et des données externes d'un partenaire de référence pour aider les résultats de la comparaison. Les données de référence peuvent également être comparées aux normes publiées. Analyser
interne Rechercher les relations de cause à effet et autres dépendances profondes dans le processus. Utilisez des outils et des procédures prédéfinis pour rassembler les données collectées à partir
de toutes les sources disponibles. Adapter Traduire les résultats en hypothèses sur la façon dont ces résultats aideront ou nuiront aux objectifs stratégiques de l'entreprise.
Concevoir un test pilote pour prouver ou réfuter les hypothèses.
Améliorer Mettre en œuvre un prototype des nouveaux processus. Étudiez l'impact et notez tout résultat inattendu. Réviser le processus en utilisant la
gestion contrôlée des changements. Mesurez à nouveau les résultats du processus. Utiliser des procédures rétablies telles que la gestion de la qualité
totale pour une amélioration continue.
Les réponses suivantes sont incorrectes :

Les autres options spécifiées ne représentent pas la séquence correcte des étapes d'analyse
comparative BRP. Manuel de révision de la CISA 2014, pages numéros 219 à 211, guide d'étude
des auditeurs de systèmes d'information certifiés par la CISA, deuxième édition, numéros de page
154 à 158
QUESTION 94
Identifier la séquence correcte des étapes d'application de la réingénierie des processus métier (BPR) parmi les choix ci-dessous ?

Un.Envisager, initier, diagnostiquer, reconcevoir, reconstruire et évaluer

B. initier, imaginer, diagnostiquer, reconcevoir, reconstruire et évaluer
C. Envisager, diagnostiquer, initier, redessiner, reconstruire et évaluer
D. Évaluer, imaginer, initier, diagnostiquer, reconcevoir, reconstruire

Bonne réponse : A
Explication

Explication/Référence :
Section : Acquisition, développement et mise en œuvre du système d'information La séquence correcte de l'étape de l'application du PRA est Imaginer,
Initier, Diagnostiquer, Reconcevoir, Reconstruire et Évaluer.

Pour votre examen, vous devez connaître les informations ci-dessous :

Aperçu de la réingénierie des processus d'affaires L'un des principes qui reste constant dans les affaires est la nécessité d'améliorer vos processus et procédures. La
plupart des magazines spécialisés contiennent aujourd'hui des discussions sur la planification détaillée nécessaire à la mise en œuvre du changement dans une
organisation. Le concept de changement doit être accepté comme un principe fondamental. Des termes tels que l'évolution de l'entreprise et l'amélioration continue
ricochent dans la salle lors des réunions d'affaires. C'est un fait que les organisations qui ne changent pas sont vouées à périr.

En tant que CISA, vous devez être prêt à vérifier si les changements de processus au sein de l'organisation sont pris en compte avec la documentation appropriée.
Tous les cadres de contrôle interne exigent que la direction soit tenue responsable de la protection de tous les actifs appartenant à son organisation. La direction est
également responsable de l'augmentation des revenus.

L'ISACA cite six étapes de base dans son approche générale de la BPR. Ces six étapes sont simplement une extension du modèle de gestion de projets de
Stewart : Envisager - Visualiser un besoin (imaginer). Développez une estimation du retour sur investissement créé par le changement proposé. Élaborez sur
l'avantage avec un plan de projet préliminaire pour obtenir un parrainage de l'organisation. Le plan doit définir les domaines à examiner et clarifier le résultat
souhaité à la fin du projet (c'est-à-dire l'objectif de l'état final). Les livrables de la phase d'approbation sont les suivants : Le champion du projet travaille avec le
comité directeur pour obtenir l'approbation de la haute direction Une brève description de la portée, des buts et des objectifs du projet Description des livrables
spécifiques de ce projet avec une charte préliminaire pour prouver l'approbation de la direction, le projet peut passer à la phase d'initiation.

Initier - Cette phase consiste à fixer des objectifs de BPR avec le sponsor. Concentrez-vous sur la planification de la collecte des preuves détaillées nécessaires
à l'élaboration du plan de BPR ultérieur pour la refonte du processus. Les produits livrables de la phase de lancement sont les suivants :

Identification des exigences internes et externes (spécifications du projet) Analyse de rentabilisation expliquant pourquoi ce projet a du sens (justification) et le
retour sur investissement estimé par rapport au coût total (retour sur investissement net) Plan de projet formel avec budget, calendrier, plan de dotation, plan
d'approvisionnement, livrables et risques du projet

analyse Niveau d'autorité du gestionnaire de projet BPR et composition de tout comité de soutien ou groupe de travail qui sera requis À partir de l'état des
résultats (P&L), identifiez le numéro de ligne d'élément dont l'argent sera débité pour payer ce projet et identifiez le numéro de ligne P&L spécifique sous lequel
le rendement financier apparaîtra plus tard (pour assurer un suivi strict de la performance du retour sur investissement) Formel Charte de projet signée par les
sponsors

Il est important de réaliser que certains projets de BPR iront de l'avant jusqu'à leur conclusion prévue et que d'autres pourraient être arrêtés en raison de preuves
insuffisantes. Une fois qu'un plan est officiellement approuvé, le projet BPR peut passer à la phase de diagnostic.

Diagnostiquer Documenter les processus existants. Il est maintenant temps de voir ce qui fonctionne et d'identifier la source de chaque exigence. Chaque étape du
processus est examinée pour calculer la valeur qu'elle crée. L'objectif de la phase de diagnostic est de mieux comprendre les processus existants. Les données
recueillies lors de la phase de diagnostic constituent la base de toutes les décisions de planification :

Documentation détaillée du processus existant Mesure de la performance des différentes étapes du processus Preuve d'étapes spécifiques du processus qui
ajoutent de la valeur au client Identification des étapes du processus qui n'ajoutent pas de valeur Définition des attributs qui créent de la valeur et de la qualité
Faites un effort supplémentaire pour faire un bon travail de collecte et d'analyse des preuves. Toutes les hypothèses futures seront fondées sur les données
probantes de la phase de diagnostic.

Reconception - En utilisant les preuves de la phase de diagnostic, il est temps de développer le nouveau processus. Cela nécessitera plusieurs itérations de
planification pour s'assurer que les objectifs stratégiques sont atteints. Les plans de refonte officiels seront examinés par les promoteurs et les intervenants. Un plan
final sera présenté au comité directeur pour approbation. Voici un exemple de livrables de la phase de refonte.

Comparaison de l'objectif envisagé avec les spécifications réelles Analyse des alternatives
(AoA) Prototypage et test du processus repensé Documentation formelle de la conception
finale

Le projet devra être approuvé officiellement pour passer à la phase de reconstruction. Sinon, la refonte est interrompue en attendant un examen plus approfondi
tout en comparant la conception proposée avec les preuves disponibles. Des preuves insuffisantes justifient l'arrêt du projet.

Reconstruire Une fois l'approbation officielle reçue, il est temps de commencer la phase de mise en œuvre. Les processus actuels sont déconstruits et
réassemblés selon le plan. La reconstruction peut prendre la forme d'un processus parallèle, de changements modulaires ou d'une transition complète. Chaque
méthode présente une opportunité unique de risque et de récompense. Les résultats attendus de cette phase sont les suivants :

Plan de conversion avec dépendances dans la séquence

temporelle Gestion du contrôle des changements Exécution
du plan de conversion avec suivi de l'avancement Mise en
Formation des utilisateurs et du personnel de soutien
œuvre pilote pour assurer une migration en douceur
Approbation formelle par le sponsor.

Le processus reconstruit doit être officiellement approuvé par la direction pour attester de son consentement à l'aptitude à l'utilisation. La gouvernance informatique
stipule que la direction générale doit être tenue responsable de tout échec et être reconnue pour ses résultats exceptionnels. Les performances du système seront
à nouveau évaluées après l'entrée en production.

Évaluer (après l'évaluation) Le processus reconstruit est s