知识点分类练习题答案与解析

1、知识点分类练习题（3）-与题号题目知识点1如果IT支持和最终用户之间存在职责分离问题，则以下哪一项适合作为补偿性控制措施？ A限制对计算设备进行物理 B对交易和应用程序日志进行C在聘用IT之前执行背景 D在特定的一段时间无活动后，将用户会话锁定B仅对交易和应用程序日志进行 便可直接处理因职责分离不当而造成的 问题。此类 可以检测不当行为，并且还可以 滥用行为，因为原本打算采取 行为的 会 其有可能被抓获。如果职责分离不充分，这一点很有可能会在对数据和计算资源进行逻辑 时被利用，而不是物理 。选项C是很有用的控制，可以确保IT值得信赖并月尽职尽责，但并不能为缺少最佳职责分离这一问题提供直接有效的

2、解决方案。选项D的作用是防止的用户获得系统权限，但如果缺少职责分离，将更容易导致正式获得的被有意或无意的。IT组织架构、角色和职责的相关知识2一位IS审计师在一家采用交叉培训实务的组织时，应评估以下哪种风险：A对某个人的依赖性 B接任计划不充分 C某个人了解系统的所有组成部分 D运营中断C交叉培训是指对多个 进行培训，以使其执行具体工作或流程的过程。此实务有助于降低对某个人的依赖程度，并且可为接任计划提供辅助作用。驾 缺席时，该实务可以提供替补 ，从而保证运营不间断。然而，使用这种方法时需谨慎，应首先评估目标人员了解系统所有部分将会带来的风险，以及可能 的 风险。交叉培训可以降低选项A、B和D

3、中提到的风险。IT组织架构、角色和职责的相关知识3在无法对职责进行适当分离的环境中，IS审计师将会寻求以下哪一种控制？A控制 B边界控制C控制 D补偿控制D补偿控制属于 控制，在无法适当分离职责时，可以降低现有或潜在控制弱点可能 的风险。 控制是针对同一控制目标或暴露风险实施的两种控制。由于在无法分离职责或无法适当分离职责时不能实施主要控制，因此很难采取 控制措施。边界控制用于在计算机系统的目标用户与计算机系统本身之间建立接口，并且是基于个人而非角色的控制。对资源的 控制基于个人而非角色。IT组织架构、角色和职责的相关知识4下列哪项活动不应该由数据库管理员（DBA）执行？ A删除数据库活动日志

4、B实施数据库优化工具C数据库使用情况 D定义备份和恢复流程A因为数据库活动日志的是数据库管理员（DBA）执行的活动，所以不应由DBA删除而应由独立第三人来删除。这是一种有助于确保职责分离适当的补偿控制，并且与DBA的职责密切相关。DBA在正常操作中应执行其他活动。IT组织架构、角色和职责的相关知识5要求休假或岗位轮换的主要控制目的是： A允许进行交叉培训，实现个人发展 B有助于保持员工士气 C检查是否存在不恰当或违法的员工行为 D提供有竞争力的员工福利C在一个工作岗位上轮换的做法是一种可检查是否存在或行为的控制。尽管交叉培训也是保持业务持续性的有益做法，但它不是通过强制休假实现的。休假确实能让

5、员工士气高 昂，但它不是保留休假政策的主要理由。休假也是一项很有竞争力的福利，但它同样不是控制。IT组织架构、角色和职责的相关知识6以下哪个选项属于交叉培训风险？ A增加对某个员工的依赖程度 B无法对计划给予帮助C某个员工可能了解系统的所有组成部分 D对实现连续运营不提供帮助C进行交叉培训时的谨慎做法是，首先评估目标了解系统所有部分将会带来的风险，以及可能的风险。交叉培训的优点 是，可以降低对某个员工的依赖程度，因此，可作为计划的一部分。当由于任何原因缺席时，交叉培训也可以提供替 补，从而保证运营不间断。IT组织架构、角色和职责的相关知识7IS审计师发现，根据IS政策，已离职的用户ID在离职后

6、90天内被禁用。该IS审计师应该： A由于禁用发生在IS政策中规定的时间范围内，因此报告该控制正在有效运行。B验证是否基于按需 原则授予用户 权限。 C建议更改IS政策以确保离职后立即禁用用户ID。 D建议定期 被终止用户的活动日志。C虽然政策提供了执行IS审计任务的参照标准，但是IS审计师需要审查该政策的适当性。如果IS审计师认为定义的禁用时间范围不适 当，该审计师需要就此问题与管理部门，并建议对该政策进行更改。虽然禁用发生在政策中规定的时间范围内，但不能因此确定该控制为有效。最佳做法是要求立即禁用已终止的用户ID。授予权限时，有必要验证是否基于按需原则授予用户权限。建议定期已终止用户的活动

7、日志是一种好的做法，但不如在终止用户ID后立即禁用有效。IT组织架构、角色和职责的相关知识8以下哪项将削弱团队的独立性？ A确保遵循开发方法B检查测试假设C修正测试过出现的编码错误 D检查代码以确保正确C代码修正不应当是 团队的责任，因为这样便无法确保明确的职责分离，从而削弱团队的独立性。其他选项都是有效的质量保障职能。IT组织架构、角色和职责的相关知识9下列哪个原因能够最佳地描述强制休假政策的目的？ A保证员工能够相应地获得多种职能的交叉培训B员工士气C识别业务过的潜在错误或不一致情况 D作为一种节省成本的方法C强制休假有助于发现潜在的错误或不一致情况。保证有机会接触到敏感控制或流程的 每年

8、进行一次强制休假最为重要。保证员工能够相应地获得多种职能的交叉培训可以 员工的技能提高员工士气有助于减少员工倦怠情绪。强制休假不一定是节省成本的方法，这要视企业的具体情况而定。IT组织架构、角色和职责的相关知识10某金融服务企业设有一个小规模的IT部门，从而需要单个员工身兼数职。以下哪种做法带来的风险最大？开发将代码应用到生产环境中。业务分析编写相关需求并执行功能性测试。 CIT经理同时执行系统管理工作。 D数据库管理员（DBA）同时执行数据备份。A如果开发 能进入生产环境，则存在将 测试的代码应用至生产环境中的风险。在尚未设有专门测试小组的情况下，业务分析人员通常也可以执 试工作，因为分析

9、通过编写相关需求可以了解系统运行方面的详细信息。在小规模的团队中，只要IT经理不同时参与代码开发，便允许其执行系统管理工作。由于执行备份属于DBA职责的一部分，因此选项D不正确。IT组织架构、角色和职责的相关知识11某关键的IT系统开发突然从某企业辞职。以下哪个选项属于最重要的措施？ A安排与人力资源部门（HR）的离职面谈。 B启动交接流程以确保项目的连续性。C终止此开发对IT资源的逻辑。 D确保管理部门办好离职手续。C为保护IT资产，管理部门确认此员工离职的明确意图后，首先应终止其对IT资源的逻辑 ，这也是最重要的措施。在最后一个雇佣日安排与HR面谈也很必要，但这处于次要地位。只要与指定员工

10、的交接流程能够在最后一个雇佣日完成，便不存在任何问题。确保管理部门办好离职手续固然重要，但与终止系统的 相比，便显得无足轻重。IT组织架构、角色和职责的相关知识12在执行IT安全风险评估时，IS审计师已邀请IT安全专员与用户及业务部门代表一同参加风险识别专题研讨会。为了会议取得成功和将来不发生，IS审计师应最重要的建议是什么？ A确保IT安全风险评估具有明确界定的范围。 B要求IT安全专员在与会期间各风险等级。 C建议安全专员接受业务部门风险及。 D只选择上报等级最高的公认风险。AIT风险评估在具有明确界定的范围时才有效并达到风险识别目标。如适用，IT风险评估应包括与其他领域风险评估的关系。其

11、余选项都是在探讨如何为风险 ，但整个评估流程的成功主要在于确保其范围广度足以涵盖所有的风险。如果范围过大，风险评估将难以开展，这可能导致未来 的发生。企业风险管理的知识13组织的 恢复计划（DRP）中包含互惠协议时，应采用以下哪项风险应对方法？A转移 B缓解 C回避 D接受B互惠协议是一种风险缓解形式，它是指两家组织达成一致，在出现时相互提供计算资源。如果两家组织的信息处理设施类似，这种合一作形式往往非常有效。因为互惠协议的期望效果是拥有有效的DRP，所以它是一种风险缓解策略。风险转移是指将风险转移给第，例如，为可能带来风险的活动保险。风险回避是指，决定停止带来风险的业务或活动。例如，一家公司

12、为避免信息而停止接受付款。风险接受是指，组织决定不进行风险缓解或转移，坦然接受风险。企业风险管理的知识14风险管理流程所产生的结果可以作为制定以下哪一项的依据：A业务计划。 B审计章程。 C安全政策决策。D设计决策。C风险管理流程针对的是制定安全相关的特定决策（如可接受的风险等级）。选项A、B和D不是风险管理流程的最终目标。企业风险管理的知识15一名IS审计师受聘请对电子商务的安全性进行。IS审计师首先执行的任务是检查现有的每个电子商务应用程 序，从而确定是否存在。那么，接下来应该执行哪项任务？ A立即向首席信息官（CIO）和首席执行官（CEO）风险。 B检查正在开发的电子商务应用程序。 C确

13、定和发生概率。 D检查可用于风险管理的。CIS审计师必须先识别资产、确定是否存在，然后再确定和发生概率。选项A、B和D应该与CIO进行，然后向CEO提交一份。该应包括结果、优先级和成本。企业风险管理的知识16制定风险管理方案时，首先执行以下哪项活动？ A评估B对数据分类 C清点资产 D分析重要性C在制定风险管理方案期间，第一步是确定要保护的资产。列出可对这些资产的性能产生影响的 以及执行重要性分析都属于该流程中稍后进行的步骤。在定义 控制以及执行重要性分析时才需要对数据进行分类。企业风险管理的知识17一个团队在执行风险分析时，难以推断某种风险可能造成的经济损失。要评估潜在的损失，该团队应当：

14、A计算相关资产的摊销（amorization）。 B计算投资回报（ROI）。G采用定性方法。 D花费相应的时间来准确定义损失金额。C难以计算经济损失时，通常的做法都是采用定性方法，即受到风险影响的管理根据因子来确定经济损失（例如，1表示对业务影响非常小，而5表示对业务影响非常大）。有可储金或收益（可以与实现该收益所需的投资进行比较）时才计算ROI。摊提用在损益表中，而不用于计算潜在损失。花费相应的时间来准确定义总金额通常都是一种错误的做法。有时很难预计潜在的损失（例如，因而使组织公众形象受损，从而造成损失），这种情况是不可避免的，可能到最后也无法进行良好的评估。企业风险管理的知识18以下哪一项

15、表示缺少适当的安全控制？ AB资产 C影响 D弱点D缺少适当的安全控制就表示存在弱点这将使敏感信息和数据在风险中，而破坏、或的。这会造成敏感信息丢失、组织丧失信誉。国际标准化组织（150）的 IT安全管理准则中对风险进行了简要定义：“特定利用某资产或一组资产的弱点，对资产造成损失或破坏的可能性。”该定义中的各种要素包括：弱点、资产和影响。在这种情况下，缺乏适当的安全功能就表示存在弱点。企业风险管理的知识1估风险时，最好通过以下哪项来完成：A要评估风险，需要使用定性或定量风险评估方法对和进行评估。选项B、C和D可能也会为风险评估流程提供帮助，但就单独的每一项而言，还够如果基于对过往的损失进行评估

16、，将无法充分反映公司在IT资产、项目、控制措施和策略环境方面的必然变化。可供评估的损失数据对应的范围和质量也可能存在问题。类似组织在IT资产、控制环境和策略环境方面与本组织有所不同。因此，不能直接使用其损失经验来对组织的IT风险进行评 估在审计流确定的控制弱点与评估组织是否在中相关，并且可能需要执行进一步分析才能判断组织是否会受到。视审计覆盖范围而定，目前可能只对部分重要的资产和项目进行了审计，并且可能还未对性风险进行充分评估。企业风险管理的知识A评估与现有IT资产和IT项目相关的。 B利用公司在以前积累的损失经验来确定目前的风险。C对类似组织发布的有关损失的统计数据进行。 D对审计中确定的I

17、T控制弱点进行。20为了应对操作 不执行日常备份所带来的风险，管理人员要求系统管理员签字认可日常备份。这是以下哪种风险的示例：A规避。 B转移。 C缓解。 D接受。C风险缓解策略提供了应对所述风险的控制措施及其实施方法。风险规避策略只是说明了不要执行某些可带来风险的特定活动或流程。风险转移策略说明了与合作伙伴分担风险，或取得承保范围。风险接受策略说明了正式承认风险的存在并对其进行 。企业风险管理的知识21选择不当以及通过未受保护的通信线路进行数据传送属于以下哪项的示例：A BC概率 D影响A表示可能会被 利用的信息资源的特性。 是指可能会对信息资源造成损害的环境或事件。概率表示发生 的可能性。

18、影响表示某种 在利用 后所产生的结果或 。企业风险管理的知识22对风险评估流程进行审计的信息系统审计师首先应该确认：A已确定对信息资产的合理。 B已分析技术与组织。 C已对资产进行标识和等级划分。 D已对潜在安全的影响进行评估。C通过确定信息资产并对其分级（例如，数据重要性、资产所在位 置），可以按照资产在组织中的价值来确定风险评估的基调或范 围其次，应根据资产对组织的价值来分析各种组织资产所的。第三，应确定弱点，以便对控制措施进行评估，从而确定这些措施是否能减少弱点所 的 。第四，分析这些弱点在缺少给定控制措施的情况下，将会对组织信息资产造成何种影响。企业风险管理的知识23一名IS审计师正在

19、IT安全风险管理方案。解决安全风险的措该：A解决所有网络风险。 B依照IT策略计划被持续。 C考虑整个IT环境。D确定对的程度。C评估IT安全风险时，考虑整个IT环境非常重要。解决安全风险的措侧重于重要性最高的那些领域，目的是以尽可能最低的成本来最大程度降低风险。IT策略计划 以精确地提供相应的措施。必须根据可衡量的目标来对目标指标进行持续 ，因此，通过将今天的结果与上周、上个月、上个季度的结果进行比较，可以使风险管理得到增强。风险解决措施将对网络上的资产进行 ，以使客观地衡量 风险。但不会确定 程度。企业风险管理的知识24以下哪个选项代表与IT相关的预防性控制的示例？数据中心的者日志用于用户

20、登录印地址的日志服务器 C对IT设施实施证章进入系统D用于对员工的呼叫情况进行的计费系统C预防性控制用于降低发生不良事件的可能性。证章进入系统将会阻止 的 设施。在大多数环境中，对 者日志、日志服务器或 呼叫计费系统进行 都属于检测性控制。企业风险管理的知识25实施风险管理方案时，应首先考虑以下哪一项？ A了解组织中存在的、及风险B了解风险和潜在的危害C确定基于潜在的风险管理优先级 D足以使风险所产生的保持在可接受水平的风险缓解策略A风险管理是有效的治理的成果之一，实施风险管理时，首先需要全面了解组织中存在的、弱点及风险概述。在此基础 上，可以了解风险和危害的潜在。然后，便可确定基于潜在的风险

21、管理优先级。这将为制定以下风险缓解策略提供依 据：足以使风险所产生的保持在可接受的水平。企业风险管理的知识26在审计流，信息系统审计师注意到某个中等规模组织的部门不具备单独的风险管理职能，并且该组织的运营风险文档中仅包含几类泛泛而谈的风险。在这种情况下，以下哪个选项是最适当的建议？ A创建一个IT风险管理部门，并且在外部风险管理的帮助下建立一个IT风险框架。 B使用通用的行业标准辅助程序将现有风险文档分为多个单独的风险类型，以便更易于处理。 C无需任何建议，因为当前的方法适合于中等规模的组织。D定期召开风险管理会议以确定和评估风险，D定期召开 风险管理会议是在中等规模的组织中确定和评估相关风险

22、、解决相应的管理责任问题以及保持风险列表和缓解计划处于 状态的最佳方法。中等规模的组织通常不会设立单独的 风险管理部门。此外，这些风险通常是很容易处理的，因此无需外部帮助。通用的行业标准仅适用于常见风险，因此不能解决某个组织在特定情况下 。不在组织内进行详细地评估，将不会发现具体的风险类型。将一个风险状况分为多个风险状况 以解决问题。企业风险管理的知识27可将特定的总体业务风险表示为： A影响的可能性和影响大小的乘积（如果成功利用）B影响的大小（如果源成功利用弱点）C特定源利用特定弱点的可能性 D风险评估团队的集体判断A选项A考虑到影响的可能性和大小，因此为资产风险提供了最佳的衡量方法。选项B

23、仅提供了利用资产中弱点的可能性，但没有提供对该资产造成可能损害的程度。同样，选项C仅考虑到损害程度，但没有考虑到利用弱点的可能性。选项D基于判断定义风险，这不适合于科学的风险管理流程，但该方法也经常使用而且有时也相当有效。企业风险管理的知识28组织完成作为风险评估一部分的和分析之后，最终的建议在主要互联网网关安装人侵防御系统（IPS），而且应通过分离所有业务部门。以下哪项是用于确定是否应采取控制措施的最佳方法？ A成本效益分析B年预期损失（ALE）计算CIPS和成本与业务系统成本的对比 D业务影响分析（BIA）A在成本效益分析中，会相对于预期总收益确定总采购和运营/支持成本以及所有活动的预期定

24、性值的权重，以便选择技术最佳、最盈利、成本最低或风险可接受的选项。ALE是针对一年期以上资产估算的预期金钱损失它是确定控制必要性时所应引人的非常有用的计算，但只进行这种计算并不够。应比较硬件资产的成本和资产所保存的信息的总价值，包括数据所在的系统和数据传输所涉及的系统的成本。潜在业务影响只是成本效益分析的一部分。企业风险管理的知识29企业IT的风险偏好最好由谁决定： A首席法务官。安全管理。审计。督导。D企业的IT风险偏好最好由督导决定，因为此的成员均为管理。虽然首席法务官能够为政策提供法律方面的指 导，但仍无法决定公司的风险偏好。安全管理小组主要关注的是安全状况的管理，无法决定安全状况。审计

25、不负责设定企业的风险承受能力或偏好。企业风险管理的知识30对于有效的业务连续性管理，以下哪个选项最重要？ A恢复站点安全可靠并与主站点保持适当距离。 B定期测试恢复计划。 C恢复站点具有经过全面测试的各用硬件。 D多家服务提供商均可提供网络连接。B定期测试恢复计划对于确保任何所做计划和的可行性。其余选项更侧重于策略性考虑，相对于测试，其重要程度略低。如果发生，选项A、C和D将更加重要。序的知识31在审计恢复计划（DRP）时，IS审计师应最关注以下哪种情况？ADRP尚未进试。 B团队新成员尚未阅读DRP。 C负责DRP的管理最近已辞职。 DDRP手册未定期更新。A如果DRP尚未进试，则该计划很有

26、可能不完整或不充分。这种情况应引起IS审计师的注意，因为组织将无法准确评估计划是否切实可行。如果团队新成员对计划不熟悉，现有成员可以提供帮助，所以这不是一个严重问题。虽然流失经验丰富的可能会带来一些问题，但如果该计划的适用性已经过事实验证，那么在发生时，经验的也能够执行所需的工作职能。与未测试DRP相比，未定期更新DRP手册是次要的关注问题。序的知识32某金融机构近期开发和安装了一套连接到客户和自动提款机（ATM）的新型存款系统。项目期间，开发团队与业务连续性团队保持着良好的交流沟通，（BCP）也进行了相应更新以将新系统包括其中。适合在此时执行的BCP测试应是：A使用实际资源模拟系统 B对整体

27、计划进行全面的纸上走查 C对接口应用程序进行渗透测试D在指定的第二站点上执行系统故障转移A预期情况是，新系统的基本恢复机制已被充分理解，恢复基础架构也已部署到位。适合在此时执行的测试就是使用实际资源进行模拟恢复演习。此演习将在受控环境下测试新的恢复基础架构。如果恢复选项已在开发过 得到充分考虑（关键任务系统有此类要求），纸上穿行的价值并不大。安全评估或渗透测试对于任何在互联网上的应用程序都很重要，但应早已在该过执行完毕。选项D不正确，因为执行故障转移测试以评估组织从众多问题中恢复的准备程度。序的知识33某IS审计师正在数据中心执行审计，这时火警器突然响起来。由于审计范围包括恢复，所以该审计师开

28、始观察数据中心员工对警报的响应情况。此时对于数据中心的员工来说，以下哪项措施最重要？ A向当地消防部门通报火警情况。 B准备启动消防系统。C确保数据中心的所有均现场。 D从数据中心转移所有备份磁带。C紧急情况下，生命安全应始终放在第一位；因此，首先要做的是有序 所有现场 。通常没有必要向消防部门通报火警情况，因为大多数数据中心的火警警报器都被配置为自 当地消防部门报警。消防系统也同样设置为自动操作，在 尚未 的情况下启动该系统可能会造成 和 ，导致 受伤甚至 。某些情况下可能需要手动触发该系统，但必须在数据中心的所有其余安全 之后进行。从数据中心转移备份磁带不是适当之举，因为这有可能延误 的

29、。大多数公司都在异地存有备份磁带的副本，以在发生此类 时降低数据损失的风险。序的知识34作为业务持续计划的一部分，一家组织完成了一项业务影业务持续性策略是下一阶段的工作。因为它能够识别最佳的恢复方式。在这一阶段，业务流程的关键性、成本、恢复需要的时间以及安全性都需要考虑。恢复策略和计划制定后才是测试计划。只有完成BCP之后，才能制定培训方案。必须在制定BCP之前确定一个策略。响分析（BIA）。流 A业务持续性策略。 B测试与演练计划。 C用户培训方案。的下一步是制定：A序的知识D业务持续性计划（BCP)。35测试的主要目标是：测试为可能存在的任何限制提供了最佳。使员A使员工熟悉。工熟悉是测试的

30、次要好处。解决中B确保解决所有剩余风险。D的剩余风险并不具有成本效益，并且测试所有可能的切合实际。方案也不C练习所有可能的 D识别方案。 的限制。序的知识36进行业务连续性审计期间，以下哪个选项在信息系统审计师进行验证时是最重要的？A及时执行数据备份。 B与某个恢复站点签约，并且该站点在需要时可用。在任何业务连续性流，最重要的元素是保护人的生命安全。此元素优先于计划的所有其他方面。CC已制定安全规程。序的知识D有足够的承保范围并且按时支付当期保险费。37评估效能的最佳方法是：先前的可为的效能提供。与标准进行的关键方面，A计划并将其与适当标准进行比较 B先前的C应急流程和员工培训比较可在一定程度

31、上保证该计划解决B但不会显示有关其效能的任何信息。应急流程、异地和环境控制可以了解该计划某些方面的详细信息，但不能为该计划的整体效能提供保障。序的知识D异地和环境控制38业务连续性策略时，IS审计师与组织中的主要利益相关者面谈，来确定他们是否理解各自的角色和责任。IS审计师将尝试评估：IS审计师应该与组织中的主要利益相关者面谈，来评估他们对各自角色和责任的理解程度。当所有利益相关者对自身在发生时的角色和责任有很细致的了解时，IS审计帅就能够确信该组织的A的明确性和简洁性。的充分性。的效能。是明确和简洁的。要评估充分性，IS审计师应计划B并将其与适当标准进行比较。要评估效能，IS审计师应先前的A

32、C。这是效能评估的最佳例定方法。主要利益相关者对各自DIS和最终用户员工在紧急情况下的响应能力。角色和责任的理解将有助于确保有效。要评估响应序的知识能力，IS审计师应连续性测试的结果。这样可为IS审计师提供符合目标和恢复时间的保障。需要应急流程和员工培训，以确定该组织是否实施了涉及有效响应的计划。39一份时，IS审计师注意到，某种情况被宣布为 的临界点尚未进行定义。与此相关的主要风险是：A对这种情况的评估可能会延迟。B恢复计划的执行可能受影响。 C可能不会通知相关团队。D潜在识别可能会无效。B如果组织不知道何时宣布，会影响到的执行。选项A、C和D是在了解是否要宣布时必须执行的步骤。问题和严重程

33、度评估可以提供时所必需的信息。识别某个潜在危机后，需要通知负责管理的团队。如果延迟此步骤直到已经宣布，则会使响应团队的设置无效。潜在识别是响应的第一个步骤。序的知识40某个组织刚刚完成了年度风险评估。关于，IS审计师应该建议以下哪个选项作为该组织的下一步骤？A并评估的充分性 B完全模拟C对员工进行与相关的培训和教育D通知中的关键联系人A每当为该组织完成一次风险评估后，都应该。被认为已经适合该组织后，才应该进行员工培训和计划模拟。此时无需通知的联系人。序的知识41观察完整的模拟时，IS审计师注意到组织设施内系统可能会受到组织基础架构的损坏而严重影响。IS审计师可向组织提供的最佳建议是确保： A对

34、抢修团队进行使用通知系统方面的培训。 B通知系统具有备份恢复功能。 C在通知系统中构建冗余。 D将通知系统存放在保险库中。C如果通知系统已受到基础架构损坏的严重影响，冗余将是最好的控制措施。即使接受了使用通知系统方面的培训，抢修团队也无法使用严重损坏 系统。备份恢复不会对通知系统产生任何影响，而如果建筑物损毁，将通知系统存放在保险库的价值并不大。序的知识42IS审计师可以通过以下哪项来验证组织（BCP）的有效性： ABCP是否与行业最佳实践保持一致。 B由IS和最终用户员工执行的业务连续性测试的结果。 C异地设施及其内容、安全性和环境控制。 DBCP活动的年度财务成本与计划实施的预期收益的对比

35、B评估BCP有效性的最佳方法是以往的业务连续性，以了解实现测试所指定的目标的完全性和准确性。其他所有选项均无法保证BCP的有效性。序的知识43一个金融服务组织正在制定并业务连续性措施。IS审计师最有可能在以下哪种情况下提出问题？ A组织使用良好的实践准则而非行业标准，并且依作外部顾问来确保方法的充分性。 B围绕一组精心选择的情景（描述了可能以合理的概率发生的事件）对业务连续性进行了计划。 C恢复时间目标（RTO）未考虑IT恢复约束（例如恢复阶段中的或系统依存关系）。 D组织计划租用一个具有应急工作场所的共享备用站点，该站点只具有可供半数普通员工使用的空间。B对业务连续性进行情景规划是一个常见错

36、误。问题是不可能对每个可能情景的活动进行计划和 。只针对所选情景进行计划否定了这样一个事实：即使不大可能发生的事件也可能导致组织 。最佳实践计划所针对的是可能受到 形响的四个方面：经营场所、系统和供应商以及其他依存关系。可将所有情景归为这四类并同时对其进行处理。只有非常少的特殊情景需要额外的单独分析。针对此类重要使用最佳实践和外部建议不失为一个很好的主意，原因很明显：并不是每个组织都拥有相应水平的预备知识以及对于所采取措施的充分性的良好判断力。恢复时间目标（RTO）是以确保组织生存所需的基本业务流程为基础的，因此，恢复时间目标以能力为基础是不恰当的。最佳实践准则建议应急站点应具有20-40的正

37、常容量；因此，如果没有其他，50的值将不是问题。序的知识44一个IT恢复措施已经实施到位并且进行了多年定期测试的中等规模组织刚刚制定了一个正式的（BCP）。已经成功进行了基本的BCP桌面演练。验证新 BCP的充分性之后，IS审计师接下来应建议进行以下哪项测试？ A全面测试（将包括IT部门在内的所有部门转移到应急站点）对一系列预定义情景（涉及所有关键）进行的穿试IT恢复测试（涉及关键应用程序时涉及业务部门）情景功能测试（有限IT参与）D完成桌面演练之后，下一步将是功能测试，其中包括调配相关实践恢复的管理功能和组织功能。由于恢复的IT部分已经过多年测试，因此在IT实际参与全面测试之前验证和优化BC

38、P会更为有效。全面测试将是进入常规年度测试日常之前的最后一步验证过程。上述情况下的全面测试可能失败，因为这是第一次对计划进行实际演练，并且会浪费大量的资源（包括IT资源）和时间。穿 试是最基本的测试类型。其目的是使关键 熟悉计划及 关键计划要素，而不是验证计划的充分性。应用程序的恢复应始终由业务来验证和 ，而不应完全由IT驱动。 恢复测试不能帮助验证与IT无关的BCP的管理和组织部分。序的知识45以下哪项是成功测试恢复计划（DRP）最重要的要求？A所有已辨别资源的参与 B由管理层测试情景 C事先通知所有受影响的员工 D由IT管理层测试情景B由管理层测试情景有助于确保测试演习与业务要求相关，且符

39、合业务要求。获得管理层对测试的支持对于成功完成恢复测试。选项A不正确，因为D对应足够灵活，以便在有任何可用适用。选项C不正确，因为如果未计划在测试演习中引起中断或其他问题，则不必事先通知受影响的员工。选项D不正确，因为由企业管理的测试情景往往更能反映业务需求。IT管理层可选择一种更注重IT优先级的测试情景，但这可能不会很有效。序的知识46为了进行适当协调，以下哪项（BCP）测桌面测试的主要目的是进行适当协调，因为其涉及团队的所有试需要管理/响应团队的相关成员的参与？成员或某些成员，而且更加关注于协作和交流问题而非技木细节。A桌面测试 B功能测试 C全面测试功能测试涉及各个地理位置的和资源的调配

40、。全面测试涉及企A业范围的参与及外部组织的全面加入。在给定的选项中，穿试所需的投入最少。其目标是促使所有领域的关键都熟悉BCP。序的知识D穿试47以下哪项是确保方法？（BCP）保持的最佳结构化穿定弱点。试汇集了来自各个部门的代表，他们将计划并确确保特定系统可以在备用异地设施中实际充分发挥作A B对计划的不同情景进行穿行（从开始到结束）。确保特定系统可在备用的异地设施中实际充分发用的能力是一种并试，这种测试不涉及会议。集闭对于完程度最大的测试。A全中断测试程序的认识是对常规运营和业务挥作用。尽管加强沟通很重要但这并不是最有效的方法。序的知识C了解完全中断测试的程序。D提倡部门间的沟通，以便更好地

41、对作出应对。48恢复计划的结构化穿行性测试包括： A来自各个职能领域的代表集中到一起共同评审计划。 B参与日常运营的所有员工集中到一起在实践中执行计划。C将系统移动到备用处理站点并执行处理操作。恢复计划的结构化穿试涉及来自各个职能领域的代表集中到一起共同评审计划以确定分属于各个职能领域的计划是否正确和完整，以及是否可以在需要时实施。选项B是一种模拟测试，用于A培训响应和中断所需的。选项C是一种并试，用于确保关键系统在备用站点正常运行。选项D是一种测试。序的知识D将计划副本分发到各个职能领域进行。49实施将：恢复计划之后，组织的前和后运营成本所有活动都具有与之相关的成本，恢复计划也不例外。尽管存

42、恢复计划未得到实施，在与恢复计划相关的成本，但如果A降低。 B不变（保持相同）。 C提高。D提高或降低（取决于业务的性质）。会导致一些未知的成本。C序的知识50信息系统审计师注意到组织具有针对各个单独流程的充分根据组织复杂程度的不同，可以针对业务连续性和恢复的不同的，但不具有全面的。信方面制定多个计划。不必将这些计划整合为一个单独的计划；但是，每个计划都应与其他计划保持一致，从而实现可行的息系统审计师最应采取以下哪项行动？ A建议额外制定一个全面的B（BCP）策略。B确定是否一致。序的知识C接受 D建议制定单独的。51某个具有遍布于广大地域多个办事处的组织制定了一个灾难恢复计划。使用实际资源时

43、，以下哪项是最具有成本效益的 恢复计划测试？A全面运试 B准备情况测试 C纸上测试 D回归测试B准备情况测试由各当地办事处/区域执行，目的是测试当地运营机构是否为恢复做好了充分准备。纸上测试是恢复计划的结构化穿试，此测试应在准备情况测试之前进行。全面运试在纸上测试和准备情况测试之后进行。回归测试不是恢复计划测试，该测试用于。序的知识52组织的恢复计划应尽早解决以下哪项恢复： A所有信息系统流程。 B所有财务处理应用程序。 C只有IS经理指定的应用程序。 D按照业务管理制定的优先级顺序处理。D业务管理部门应了解哪些系统 以及需要在 发生前的什么时候对这些系统进行适当处理。制定和 计划是管理 的责

44、任。一旦发生 ，便不会有充足的时间对此进行决策。IS和信息处理场所是辅助一般用户管理 成功完成工作的服务组织。序的知识53恢复计划（DRP）可设法解决：A（BCP）的技术方面。 BBCP的运营部分。 CBCP的功能方面。 DBCP的整体协调。ADRP是BCP的技术方面。业务恢复计划所针对的是BCP的运营部分。序的知识54财务处理组织的恢复计划（DRP）的IS审计师发现了以下问题：现有的恢复计划是两年以前由组织IT部门的一名系统分析利用运营部门的交易流程计划编制的。该计划已经提交给了首席执行官（CEO）进行和正式发布，但仍处于等待的阶段。从未对该计划进行更新和测试，也没有在关键管理和员工之间传阅

45、该计划，尽管面谈表明每个人都了解当其所处的领域发生破坏性事件时所应采取的行动。 IS审计师应在中提出建议：ACEO未批准该计划。 B设立由高级经理组成的理事会来现有计划。 C批准现有计划并在所有关键管理和员工之间进行传阅。 D由一名经理负责在指定的时间期限内协调制定一个新的计划或修订的计划D主要问题是制定一个能够反映当前处理量的切实可行的恢复计划，以保护组织免受任何破坏性事件的影响。CEO无法实现这一目标，而通常这也并不是IS审计师的建议范畴。设立理事会对计划（已过期两年）进行到更新的计划，但这似乎不会在短期内完成；在未确保现有计划切实可行的情况下便对其进行发布是很荒唐的。在短时间内制定出恢复

46、计划的最佳方法是安排一个有经验的经理负责在指定的时间期限内对其他经理的知识进行整合，生成正式的文件。序的知识55对于恢复/连续性计划，以下哪点可为灾后恢复提供最大保证？ A备用设施在原始信息处理场所得到恢复之前始终可用。B用户管理参与关键系统及与其关联的关键恢复期的确定。C将计划副本存放在关键的家中。 D向管理提供反馈，使管理确信业务连续性计A备用设 在原始站点恢复之前始终可用，这样才能对灾后恢复提供最大保证。如果没有这一保证，计划将不会成功。其他所有选项确保的是计划的优先顺序或执行。序的知识56为确保信息处理场所的可用性，下列哪一项必须成立？A站点靠近主站点以确保快速而高效地实现恢复 B站点

47、中包含最先进的可用硬件 C监测主站点的工作量以确保备份充足 D安装硬件时对其进试以确保硬件可以正常工作C必须确保资源的可用性。必须监测站点的工作量以确保应急备份的可用性不受影响。所选站点不应该受到与主站点相同的自然 的影响。此外，硬件/ 适度的兼容性是备份的基础。最近或的硬件可能 以满足这一要求。建立站点时对硬件进 试非常重要，但对实际备份数据进行定期测试也有必要，因为可以确保其按计划持续运行。序的知识57与没有恢复计划相比，有恢复计划时持续的成本最有可能：A增加。 B降低。 C保持不变。 D无法。A由于采用恢复计划措施会产生额外成本，因此任何组织的正常成本在恢复计划实施后总会有所增加，也就是

48、说在没有灾难期间，有恢复计划的正常成本会比没有恢复计划的成本高。序的知识58完成业务影响分析（BIA）后，（BCP）过的下一步是什么？A测试和计划 B制定具体计划 C制定恢复策略 D实施计划C在连续性计划的制定过 ，下一阶段是识别出各种恢复策略并选出最适用于 恢复的策略。选出策略之后，才会制定、测试和实施具体计划。序的知识59下列哪种测试方法适用于？ A试点测试B纸上测试 C单元测试 D系统测试B纸上测试是最适合测试的方法。整个或部分计划将得到详细的逐步测试，会涉及到计划执行过可推断出特定中可能发生什么情况的主要参与者。选项A、C和D都不适用于。序的知识60下列哪个选项最能促使形成有效的？ A

49、文件分发给所有相关方。 B所有用户部门均参与计划。 C计划得到高级管理层的批准。 D审计由外部IS审计师执行。B确定业务处理的优先顺序时，得到用户部门的参与。通过分发可以确保所有用户均收到文件。尽管这很重要，但是却无法决定成功与否。即使通过了高级管理层的，的质量也无法保证，而进行审计也不一定会提高其质量。序的知识61和恢复计划的主要目标是： A保护关键的IS资产。 B为连续运营做好准备。 C尽量减少组织损失。D保护人身安全。D生命无价，因此任何和恢复计划都应该将保护人身安全放在第一位所有其他优先事项固然重要，但都是和恢复计划所要实现的次要目标。序的知识62根据组织复杂程度的不同，可将计划制定为

50、多个计划的组合，以便解决业务连续性和恢复不同方面。在此情况下，有必要做到： A各计划彼此之间保持一致。 B所有计划可以综合到一个单独的计划中。 C各计划彼此依存。 D所有计划的实施顺序得以确定。A根据组织复杂程度的不同，可以针对业务连续性和 恢复的不同方面制定多个计划。这些计划不必综合到同一个计划中。但是各计划必须与其他计划保持一致，这样才能形成一个可行的策略。实施计划的顺序可能无法确定，因为这取决于 的性质、重要程度、恢复时间等。序的知识63在审计关键业务领域的恢复计划时，某IS审计师发现此计划没有涵盖所有系统。下列哪项是该IS审计师最应该采取的行动？ A向管理层发出警告并评估不涵盖所有系统

51、的影响。 B取消审计C完成现有恢复计划所涵盖系统的审计工作。 D推迟审计直至将相关系统添加到恢复计划中。AIS审计师应该让管理 了解到 恢复计划中遗漏了某些系统。 IS审计师应该继续审计工作，同时还应评估 恢复计划不涵盖所有系统的影响。取消审计、忽略有些系统未被涵盖的事实或推迟审为不得当的行为。序的知识64在制定时，应该使用下列哪种工具来了解组织的业务流程？A业务连续性自我审计 B资源恢复分析 C风险评估 D差距分析C风险评估和业务影响评估均是用于了解业务之间连续性计划的工具。业务连续性自我审计是用于评估是否充分的工 具，资源恢复分析是用于确定业务恢复策略的工具，而差距分析在（BCP）中的作用

52、是判断计划中的缺陷。这些都不能用来了解业务。序的知识65IS审计师在时，以下哪种情况最令其担忧？级别的确定以受损职能的涉及范围为基础，而不以持续时间为基础。低级别和事故之间的区别不明确。c虽然了整体，但并没有具体说明详细的恢复步骤。D没有确定由谁负责宣布的发生。D如果没有人宣布 的发生，响应和恢复计划就不会被调用，这比其他所有担心 都严重。尽管没有将持续时间考虑在内确实是个问题，但是持续时间并没有涉及范围重要，而且二者也没有让某人调用计划重要。事故和低级别 之间的区别始终是不明确的，而且这一区别通常由纠正损害所需的时间决定。缺少详细步骤这一情况应当存档 ，但是如果实际上有人调用了计划，缺少详细

53、步骤这一情况并不意味着恢复不充分。序的知识66审计期间，某IS审计师发现，尽管所有部门在同筑物中办公，但是每个部门都有各自独立的。该IS审计师建议协调。应该首先协调以下哪一个领域？A疏散计划 B恢复优先级 C备份 D呼叫树A在与相关的事件中应该先保护人力资源。如果互相独立，则可能导致各疏散计划彼此，进而危及到员工和客户的安全。选项B、C和D对于不同的部门可能属于特有问题，而且可以单独处理，但是仍应该其中可能存在的和/或降低成本的可能性，但是这些只能在分析完人身安全问题之后予以解决。序的知识67为了使（BCP）能够在开发后得到有效实施，最重要的是BCP应该：在公司外部的安全设施中。得到管理批准。

54、传达到相关。 D通过内联网提供。C相关得到通知且了解BCP的各个方面后，BCP的实施才能生效。如果将BCP置于安全的地方，则无法传达到具体用户，用户也便无法实施BCP，从而导致BCP无效。管理的是设计BCP的先决条件。将BCP置于企业内联网上也无法保证员工都能阅读或了解到此BCP。序的知识68以下哪一项专门针对的是如何检测对组织IT系统进行的网络以及如何从中恢复？ A事故应对计划（IRP）BIT应急计划C（BCP）D运营连续性计划（COOP）AIRP用于确定对诸如系统和/或网络受到网络等事故做出的信息安全响应。此计划建立的流程能够使安全确定和减少计算机事故（例如，对系统或数据的、服务（DoS）

55、或对系统硬件或的更改）以及从这些事故中恢复。IT应急计划针对的是IT系统中断问题，并且建立了从主要应用程序或常规支持系统中恢复的流程。该应急计划提供了从意外故障中恢复的方法，但无法确定或预防网络。BCP针对的是各种业务流程，并提供了从 中断事故中恢复时维持基本业务 的流程。当网络 严重到需要采用BCP时，可以使用IRP来确定应采取的措施，包括停止 的措施以及在受到 后恢复正常运营的措施。 COOP针对的是组织最重视的一部分任务，并且描述了短时间内在备用站点维持这些功能的流程。序的知识69以下哪项是可模拟系统并使用实际资源进行有效的连续性计划测试，以获得是否符本效益的？ A纸上测试B事后测试 C

56、准备情况测试 D穿行性测试C准备情况测试是完整测试的本地化版本，测试中会模拟系统并耗用资源。此测试应定期针对计划的不同方面执行，且不失为一种逐步获得计划有效性方面的划算方法。此测试还是一种稳步改善计划段。纸上测试是对整个计划的穿行性测试，这将涉及到主要参与者，这些参与者将尝试判断出在特定类型的服务中断时执行计划的过可能发生什么情况。纸上测试通常在准备情况测试之前进行。事后测试实际上只是一个测试阶段，由一系列活动组 成，如所有资源返回恰当位置、断开设备连接、归还并从第三方系统中删除所有公司数据。穿行性测试这种测试会涉及到一种模拟的情形，用以测试管理和普通员工的准备情况以从对情形的了解程度，并非测

57、试实际资源。序的知识70为确保组织遵守隐私要求，IS审计师首先应： AIT基础架构。B组织的政策、标准和流程。C要求D对组织政策、标准和流程的遵守情况。C为确保组织遵守隐私问题，IS审计师首先应确保满足 要求。要符合 要求，组织必须采用合适的基础架构。了解了法律 要求后，IS审计师应对组织的政策、标准和流程进行评估，以确定其完全满足隐私要求，然后再 对这些具体政策、标准和流程的遵守情况。影响组织的相关和行业标准71以下哪一项最有可能表明，仓库应设置在而不是外包给海外公司？ A时区差异可能会妨碍IT团队间的交流。 B第一年的电信成本可能要高得多。C隐私法律可以信息传输。D开发可能需要更详细的规范

58、。C隐私法律可个人相关信息传输，因而使得包含的数据仓库无法定位在其他国家/地区。时区差异和较高的电信成本比较容易控制。涉及到离岸时，开发通常需要更为详细的规范。影响组织的相关和行业标准72对于一家医疗 组织，以下哪个理由最能说明患者的福利数据仓库应留在组织 ，而不能外包出去进行离岸运营？A存在有关数据隐私方面的。 B会员服务代表培训的成本过于高昂。C数据库的难度较大。D 时区差异会对客户服务造成影响。A个人可识别信息（PII）的，这样，也就不可能将包含客户/会员信息的数据仓库放到其他国家。培训成本、数据库和时区差异问题非常普遍且可管理，无论数据仓库所处何方。影响组织的相关和行业标准73IS审计

59、师正在一个项目，该项目是在总行与分行之间实施一个支付系统。该IS审计师应该首先验证： A两个机构间的技术是否可以彼此协作。B总行是否已被作为服务提供商。 C安全功能是否已经就绪，可以的交易。D是否可以作为此支付系统的共同拥有加入。B即使在总公司与之间，也必须签好合同协议以实施共享服 务，这在极其规范的组织中（例如业）尤其重要。除非已被授权作为服务提供商，否则总行将业务扩展到分行将是不合法的。应该始终考虑到技术方面；但是，可在确认总行可以作为服务提供商之后再开始处理这些问题。安全是另一个重要；但是，必须在确认总行可以作为服务提供商之后再考虑该。该支付系统的所与操作该系统的合法相比，是次要的。影响

60、组织的相关和行业标准74以下哪种保险类型针对因员工行为造成的损失？ A业务中断B忠诚保险 C错误和遗漏 D额外支出B忠诚保险针对因员工不诚实或 行为造成的损失。业务中断保险针对组织运营中断导致的利润损失。错误和遗漏保险在由于专业从业 的不当行为而给客户造成经济损失时提供 保护。额外支出保险旨在覆盖组织中发生 /中断后继续运营的额外成本。用于启动的人力资源管理实践方面的知识75在某小型企业的审计期间，IS审计师注意到IS总监具有超级用户 ，这使得该总监可以处理应用程序 角色（ 类型）的更改请求。该IS审计师应建议以下哪个选项？A针对应用程序角色更改请求实施已经适当 的流程。 B雇佣额外的职员以实