CIA内部审计师-科目3：内部审计知识要素-高频考点题-Ⅲ.信息技术

CIA内部审计师-科目3：内部审计知识要素-高频考点题-Ⅲ.信息技术[单选题]1.当在应用层面上对终端用户计算（EUC）控制进行审计时，检查程序应包括：A.评价EUC管理，政策，程序及终端用户支持。B.标（江南博哥）识出EUC应用，对其进行风险分级，并对控制进行文件记录和测试。C.检查培训情形、用户满意程度及数据所有权。D.对物理安全性、逻辑安全性、备份及恢复计划进行评价。正确答案：B参考解析：A.不正确。这些应是组织层面而不是应用层面上的审计工作。B.正确。鉴于EUC应用所固有的潜在风险，有必要对EUC应用进行标识、风险分级和测试。C.不正确。这些仅是构成检查过程中的一些具体操作，而不是应用层面上的检查程序。D.不正确。这些同样仅是构成检查程序的一些具体操作。[单选题]2.能对源程序进行语法检查，并将其翻译成目标代码的程序是A.解释程序。B.编译程序。C.调试程序。D.加密程序。正确答案：B参考解析：A.不正确。解释程序将高级语言程序转换成中间代码，并逐行解释执行。B.正确。编译程序对源程序进行语法检查，并将其翻译成目标代码的程序。C.不正确。调试程序用于跟踪程序的执行，并找到发生错误的代码。D.不正确。加密程序用于对敏感数据进行密码变换，防止信息泄露。[单选题]3.在考虑是开发新系统、购买现成产品、采购并定制产品还是重新设计现有系统等哪种方式时，以下哪一项基于风险的考虑是最重要的？A.开发系统以满足5年后的预期需求。B.外包以获得必要的能力。C.不做任何变动。D.现在开发所需需求的一半来满足预算限制。正确答案：C参考解析：A.不正确。开发系统要做到满足5年后的预期需求有一定的难度并需要投入更多的成本。B.不正确。用外包换取能力是需要投入的。C.正确。对现有系统不作任何变更是确定任何其他建议是否可行的基线。无论是从短期还是长期来看，如果什么都不做反而比其他任何选择都能提供更好的投资回报时，那么它就是最佳选择。D.不正确。直接开发完成一半的需求，需要先投入并承担更多的风险。[单选题]4.某电子公司决定通过应用快速应用程序开发技术来实现某新系统。以下哪项内容将被包括在该新系统的开发之中？A.将系统文档编制的需要延迟到最后模块完成之时。B.把项目管理责任从开发小组转移出去。C.分模块创建系统直至系统完成。D.应用对象开发技术将以往编码的使用减少到最低程度。A.整体测试法在证实账户余额的正确性时可能有用，但是在确定处理控制的存在性时可能没有用。B.测试数据可能进入真实的数据环境。C.应用测试时，整体测试法不能与模拟的主文件记录一起使用。D.测试数据必须由具有丰富技术技能的信息技术职员处理。正确答案：B参考解析：A.不正确。通过设计特定的虚拟交易，ITF可以确定处理控制的存在性。B.正确。在采用ITF时，测试人员需虚构一些记录和交易，并与真实数据—起处理，以分析处理结果。因此测试数据可能进入真实的数据环境。C.不正确。ITF可以使用模拟的主文件记录来测试应用，只要该模拟主文件记录和真实记录不同即可。D.不正确。整体测试法的测试数据处理人员需要精通业务，但不需要很高深的计算机技术技能。[单选题]5.以下哪项措施能够控制对多余的电脑设备的低效使用？A.应急计划。B.系统可行性研究。C.能力计划。D.例外报告。正确答案：C参考解析：A.不正确。应急计划可以保证在系统出现紧急故障时能在有效时间内恢复运行。B.不正确。系统可行性研究确保系统能实现预定的功能和性能指标。C.正确。能力计划包括系统能力的设计目标、现有的设备能力清单以及对未来需求的预测，它能够控制对多余的电脑设备的低效使用。D.不正确。例外报告可以将特殊问题突出显示，以引起相关部门的注意。[单选题]6.为了获取客户数据，操作系统从一个包含键值及对应物理地址的文件中找到主键。在这种情况下，最有可能的客户数据组织形式是A.直接存取文件。B.索引顺序文件。C.顺序文件。D.文本文件。正确答案：B参考解析：A.不正确。直接存取文件可直接根据主键的值得到相应记录的物理位置，不需要主键索引文件。B.正确。索引顺序文件的记录按顺序存储在可直接访问的介质中，可将记录中的主关键字及该记录的物理地址构成索引文件，通过索引顺序访问方法可直接访问任意记录。C.不正确。顺序文件中的记录按顺序存放，并按顺序存取，不需要主键索引文件。D.不正确。文本文件通常用来保存文档，不适合题意。[单选题]7.数据库查询的用户经常需要将几张表进行结合，以便得到他们想要的信息。结合表格的方法之一被称为A.连接（joining）。B.合并（merging）。C.映射（projeCting）。D.指向（pointing）。正确答案：A参考解析：A.正确。连接操作利用不同表格所具有的共同数据元素，可以将多个不同格式的表格的内容结合成用户所需要的形式。B.不正确。合并操作将具有相同格式的表格合并成一个表格。C.不正确。映射操作将数据库表中的部分字段构成一个新的子表。D.不正确。指向操作在不同数据元素之间建立关联。[单选题]8.以下哪项应用程序控制能够为库存数据完整、准确地输入提供合理保证？A.顺序检查。B.批量总额。C.限额检查。D.检验数位。正确答案：B参考解析：A.不正确。顺序检查是一种测试输入完整性的相当好的控制，但它并不测试正确性。B.正确。批量汇总检查对测试输入完整性和正确性都很有效。C.不正确。极限检查只能判定输入的数据是否在可接受的范围内，因此也不能用来测试输入的正确性。D.不正确。数字检验位可以使计算机机械地拒绝错误的输入。生成数字校验位需要进行繁琐的运算，因而这种方法只适用于少数关键的输入项。数字校验位绝不会用于测试成批数据输入的正确性。[单选题]9.对于评估拥有超过15,000台计算机工作站的组织遵守软件许可证规定的情况，以下哪一项是最适合的起点？A.确定软件安装是否被集中控制或者软件的安装是在整个组织内分散进行。B.确定什么样的软件被安装在公司计算机中以及安装的每一个软件的数量。C.确定公司购买了多少套软件。D.确定为监督软件的使用，安装了什么样的设备。正确答案：A参考解析：A.正确。逻辑起点是为了确定各控制点，然后才能对许可证合规性的证据进行评估。B.不正确。在采取这一步骤前，内部审计人员将首先确定是否集中控制了软件的安装，因为这将影响内部审计人员对安装软件运行的信息的判断。C.不正确。这将帮助内部审计人员确定软件是否合法取得，但是内部审计人员还需要通过确定在哪儿安装的软件来开始这一步骤，并且答案A是更加有用的起点。D.不正确。在评估许可证合规性时，监督使用者不如确定安装程序重要。[单选题]10.内部审计人员正在复核一项有关电子邮件的新政策，这个政策应包括除了以下哪项以外的所有因素？A.立即删除已解除雇佣员工的所有电子邮件。B.对通过电话线传输电子邮件信息应该加密。C.限制公司采用的电子邮件软件包的种类。D.规定职员不能用电子邮件发送高度敏感或机密的信息。正确答案：A参考解析：A.正确。已解除雇佣员工的电子邮件中很可能包含有用的客户和业务信息，而且这些电子邮件的存在通常不对组织构成风险，因此没有必要立即删除，而应安排专人接手并检查这些邮件。B.不正确。电话线路很容易被窃听，因此对通过电话线传输电子邮件信息进行加密应包括在政策之内。C.不正确。限制公司采用的电子邮件软件包的种类有利于邮件的安全管理和互通，应包括在政策之内。D.不正确。电子邮件在通过公网传送时，很可能受到各种攻击，因此规定职员不能用电子邮件发送高度敏感或机密的信息应包括在政策之内。[单选题]11.在使用电子资金转账系统后，以下哪一项风险增大了？A.不适当的变更控制程序。B.未经授权的访问和交易活动。C.不充分的在线编辑检查。D.不充分的备份和灾难恢复程序。正确答案：B参考解析：A.不正确。不适当的变更控制程序风险在大多数信息技术环境中普遍存在。B.正确。未经授权的访问是一种固有风险，但在电子资金转移的环境中该风险将直接导致资金的流失，因此其风险增大。C.不正确。不充分的在线编辑检查风险在大多数信息技术环境中普遍存在。D.不正确。不充分的备份和灾难恢复程序风险在大多数信息技术环境中都普遍存在。[单选题]12.电子数据交换系统（EDI）可以为组织带来重大利益，但前提是必须清除某些主要障碍。要想成功实施电子数据交换，应从以下哪一项开始？A.画出为实现组织目标所开展的经营活动流程图。B.为EDI系统购买新的硬件。C.选择可靠的翻译、通讯软件供应商。D.将交易格式、数据标准化。正确答案：A参考解析：A.正确。实施EDI不能简单复制现有的作业流程，只有通过大力改进现有流程并与EDI相结合，才能获得显著的效果。一个低效的处理流程在实施EDI后仍然是低效的，只是速度较快而已。B.不正确。EDI获得成功的先决条件是对商业目标、处理过程和流程的理解，以及和外部伙伴的合作。硬件的购置是以后要考虑的问题。C.不正确。选择软件供应商成在确定系统目标后进行。D.不正确。交易格式和数据的标准化工作应在确定系统目标后进行。[单选题]13.当组织转为使用电子数据交换（EDI）时，大部分使用的是增值网络（VAN）。下列哪一项功能通常不能由VAN完成？A.保存一个公司的电子订单以供另一个公司访问。B.提供组织间的公用接口，使组织与贸易伙伴间不需建立计算机直接通讯设施。C.维护公司与其贸易伙伴间所有交易的日志信息。D.将客户计算机应用协议翻译成EDI通讯的标准协议。正确答案：D参考解析：A.不正确。保存一个公司的电子订单以供另一个公司访问是VAN提供的标准服务。B.不正确。提供公司间的公用接口是VAN提供的标准服务。C.不正确。维护公司与其贸易伙伴间所有交易的日志信息是VAN提供的标准服务。D.正确。VAN只能提供公共的和标准的服务，如A、B、C选项。而客户应用程序通常无确定模式，因此VAN不可能预见到各种应用模式并提供将其转换为标准EDI协议的服务，转换过程只能由双方企业负责。[单选题]14.对于电子商务而言，以下哪一项不是潜在的安全问题？A.交易团体的正确标识。B.计算机病毒的扩散。C.决定谁有权做出交易决策。D.支付数据的确认。正确答案：B参考解析：A.不正确。对交易团体的正确标识属于交易身份的标识和验证。与电子商务的安全相关。B.正确。病毒虽然也和计算机系统的安全相关，但不是电子商务特有的。C.不正确。决定谁有权做出交易决策是电子交易的授权机制，与电子商务的安全相关。D.不正确。对支付数据的确认是电子交易的必要流程之一，也与电子商务的安全相关。[单选题]15.对于WeB服务和面向服务的体系结构（SOA），以下哪项描述是正确的？A.此类系统需要验证外部应用程序本身。B.此类系统只能通过安全端口进行通信。C.此类系统无法与传统应用程序一起使用。D.此类系统不能与杀毒软件一起运行。正确答案：A参考解析：A.正确。使用SOA，双方可以自动进行交易。因此，一些由用户交互而创建的职责隔离将会缺失。于是，系统的补偿性控制是根据基于角色的访问权限，自行将创建该接口的机器或系统指定为用户。B.不正确。SOA可以使用多种接口方案进行通讯。C.不正确。SOA可以和传统应用程序一起使用。D.不正确。SOA可以和杀毒软件、防火墙等各种其他软件一起运行。[单选题]16.提供多道程序能力的软件是：A.应用程序软件。B.实用软件。C.操作系统软件。D.数据库管理系统软件。正确答案：C参考解析：A.不正确。具有多道程序能力的是操作系统软件而非应用程序软件。B.不正确。具有多道程序能力的是操作系统软件而非实用软件。C.正确。多道程序执行允许多个程序通过并发地使用一个中央处理单元（CPU）,可在任何时间共享计算机系统资源，是操作系统分享计算机资源的最重要的能力。多道程序设计的目的是提高CPU的利用率，充分发挥计算机部件的并行性和提供整体系统的效率。D.不正确。具有多道程序能力的是操作系统软件而非数据库管理系统软件。[单选题]17.ERP系统的一个主要优势是A.程序--数据相关。B.数据冗余。C.不同功能数据的单独修改。D.数据集中。正确答案：D参考解析：A.不正确。ERP系统的数据管理利用了数据库管理系统，而数据库管理系统的特点是其应用程序和数据相对独立。B.不正确。EPR系统消除了数据冗余，这也是数据库管理系统的特征。C.不正确。ERP系统将所有的数据都集中在一个中心数据库中，而且每个数据原则上仅存放一次，任何功能对读数据的修改会立即反映到其他功能上。D.正确。ERP系统的所有数据集中存放在中心数据库中。[单选题]18.制造资源计划（MRP-II）系统A.完成企业ERP系统的后端功能。B.使用一个主产品计划。C.缺乏预测和预算。D.完成企业ERP系统的前端功能。正确答案：B参考解析：A.不正确。MRP-II系统并没有集成组织内部的所有子系统（后端功能），如人力资源及客户服务等。B.正确。MRP-II是一个闭合的制造系统，它包含制造过程的各个方面，包括产品、销售、存货、日程和现金流等，也包括互动的会计和财务功能。MRP-II采用主产品计划来描述特定时期内的特定项目，主产品计划是MRP-II系统的部件之一。C.不正确。MRP-II具有生成现金及其他预算项的预测和计划能力。D.不正确。MRP-II系统不具备与客户、供应商、业主、债权人以及战略伙伴等相连的前端功能。[单选题]19.新一代的ERP软件（ERPII）包含的先进的计划和进度安排系统A.决定零售销路的场所。B.连接组织和联合体内的其他成员。C.通过供应链控制制造商的材料和部件的流动。D.实现对客户订单的跟踪。正确答案：C参考解析：A.不正确。计划和进度安排系统不包括零售销路的场所。B.不正确。伙伴管理管理应用不仅连接联合体内的成员（如客户和供应商），还连接业主、债权人和战略联盟成员。C.正确。先进的计划和进度安排系统是制造商的供应链管理应用的要素。它控制材料和部件在链内的流动，并根据成本、时间和存货来安排进度。D.不正确。计划和进度安排系统不能实现对客户订单的跟踪，这是其他软件的功能。[单选题]20.对于传统的系统，程序变更控制能够保证生产系统是从经批准的程序的正确版本中产生。而在客户机/服务器环境下运行的系统有可能增加程序变更控程序变更控制功能是保证A.程序版本在全网络上同步。B.程序紧急移动手续应制成文档并得到遵守。C.程序变更测试有适当的用户参与。D.从测试库到生产库的传递要受到控制。正确答案：A参考解析：A.正确。客户机/服务器环境下的客户端程序分散在各个客户机中，当升级应用程序版本时，必须保证版本在全网络上的同步，否则旧版的客户程序可能不能正常工作甚至影响到服务器中的数据。而在大型机环境下应用程序集中存放在主机中，只需升级主机中的程序即可。B.不正确。客户机/服务器环境和大型机环境都必须制定程序紧急变更的条文规定并要求遵照执行。C.不正确。两种环境下都要求用户参与程序变更测试。D.不正确。两种环境下从测试库到生产库的传送都应受到控制。[单选题]21.在一个大型组织的会计部门，CD-ROM最有可能被用来A.提供EDI交易的永久审计线索。B.保存该部门收到的文件的图像。C.记录从银行退回的支票正面和背书。D.提供一个检索会计标准和指南的途径。正确答案：D参考解析：A.不正确。由于需要多次写入，采用磁带等磁性介质提供EDI交易的永久审计线索更合适。B.不正确。见题解A。C.不正确。见题解A。D.正确。会计标准和指南是一类相对固定的信息，可以在生产时一次模压成型，因此适合釆用CD-ROM,成本低且易于分发。[单选题]22.要发现局域网响应时间的恶化情况，应用以下哪种方法最好？A.平行测试B.集成测试设施C.性能监视D.程序编码比较软件正确答案：C参考解析：A.不正确。平行测试是一种新系统实施时的测试方法，也是一种软件审计方法。B.不正确。集成测试设施是一种软件审计和测试方法。C.正确。性能监视是对运行结果，如交易速率、响应时间、故障率等进行系统化的测量和评价。性能监视可以揭示出对处理能力的使用趋势，从而可以在用户产生不满之前就对处理能力进行升级。D.不正确。程序编码比较软件用于比较两个编码文件之间的异同。[单选题]23.用以连接异构网络的设备叫做A.网关。B.网桥。C.路由器。D.集线器。正确答案：A参考解析：A.正确。网关在两种或多种不同的协议簇之间进行翻译，从而使两种不同类型网络的连接成为可能。网关通常由软件来实现。B.不正确。网桥连接不同网段，并使其显得像是只有一个物理网段。C.不正确。路由器连接两个或更多个相同协议的网段，使这些网络段之间可以通讯。D.不正确。集线器可与来自同一局域网的几台PC机的双绞线连接。[单选题]24.相对于公共交换电话网络（PSTN）和虚拟专用网（VPN），IP电话（VoIP）具有以下哪一项特性？A.VoIP上的所有通讯均被加密，因此搭线窃听会很困难。B.VPN的安全性不如PSTN或VoIP。C.通过VoIP系统来攻击提供VoIP服务的服务器是不可能的。D.VoIP的应用可能会降低计算机网络中其他应用的性能。正确答案：D参考解析：A.不正确。除非采用特殊的加密VoIP系统，否则VoIP系统的通讯是不加密的。B.不正确。VPN采用加密技术来保证通讯信息的安全，因此其安全性比PSTN或VoIP要好。C.不正确。VoIP服务器和VoIP系统通过网络连接，完全有可能遭受攻击。D.正确。VoIP将语音信息数字化后通过计算机网络传输，需要占用较大的带宽，通常会影响网络中其他应用的性能。[单选题]25.—家金融服务公司的管理层正在考虑一项有关扩展其现有局域网（LAN）的战略决策，以增强公司的客户服务功能。扩展后系统的下列哪方面对管理层来说是最不重要的战略问题？A.如何开发指标来衡量扩展系统实现其业务目标的情况。B.扩展后的系统如何有助于公司的长期业务计划。C.扩展后的系统如何支持日常业务运作。D.扩展后的系统将如何有助于降低运营成本。正确答案：D参考解析：A.不正确。扩展系统是否能够实现其业务目标是重要的战略问题。B.不正确。从战略角度看，扩展后的系统应有助于公司的长期业务发展计划。C.不正确。客户服务功能属于日常业务运作，是扩展系统的主要目的。D.正确。削减成本本身是最不重要的问题。回报或成本回报是一个更相夫的战略考虑。[单选题]26.以下除哪项外都是信息安全主管的职责？A.制定组织的信息安全政策。B.维护和更新用户密码列表。C.评价新应用软件中的安全控制。D.监测和调查不成功的访问企图。正确答案：B参考解析：A.不正确。制定组织的信息安全政策是信息安全主管的职责。B.正确。维护和更改用户密码列表应由用户自己完成。C.不正确。评价新应用软件中的安全控制是信息安全主管的职责。D.不正确。对失败的访问企图进行监测和调查是信息安全主管的职责。[单选题]27.一个组织的计算机帮助平台功能通常由哪个部门负责？A.应用开发部门。B.系统编程部门。C.计算机运行部门。D.用户部门。正确答案：C参考解析：A.不正确。应用开发部门负责系统的开发。B.不正确。系统编程部门负责系统的程序说计。C.正确。计算机运行部门负责系统的日常运行维护，计算机帮助平台是其功能之一。D.不正确。用户部门负责操作和使用计算机系统。[单选题]28.一个大型组织在开发一个内部广泛使用的新应用程序的时候，信息系统部门与其他部门之间的主要联络人通常是A.终端用户。B.应用程序员。C.维护程序员。D.系统分析员。正确答案：D参考解析：A.不正确。终端用户使用信息系统。B.不正确。应用程序员根据需求分析报告设计并编码实现系统功能。C.不正确。维护程序员负责修复系统运行过程中暴露的软件故障。D.正确。系统分析员负责系统的需求分析，在进行需求分析时需要不断和其他业务部门进行交流，因此通常成为信息系统部门与其他部门之间的主要联络人。[单选题]29.在一个大型组织里，信息中心帮助平台没有配备足够人员的最大风险是A.增加了实施应用审计的难度。B.应用系统缺乏足够的文档。C.增加了使用未经授权的程序代码的可能性。D.用户操作系统时不断出现错误。正确答案：D参考解析：A.不正确。无论帮助平台是否配备足够的人员，应用审计的难度是相同的。B.不正确。文档制作是开发职能，而不是帮助平台的职能。C.不正确。使用未经许可程序代码的可能性也不是帮助平台的职能，而是变更控制的职能。D.正确。信息中心帮助平台没有配备足够人员的最大风险是用户在和系统交互过程中将无意识地持续出错。[单选题]30.用户和管理人员都需认可最初的建议、设计规划、转换计划和信息系统测试计划。这是以下哪项控制的例证？A.实施控制。B.硬件控制。C.计算机运行控制。D.数据安全性控制。正确答案：A参考解析：A.正确。实施控制应存在于系统开发过程的各个环节，以确保系统实施处于适当的控制和管理之下。B.不正确。硬件控制用以保证计算机硬件的物理安全和检查设备的故障。C.不正确。计算机运行控制应用在计算机部门的工作中，保证程序化的作业规程在数据的存储和处理过程中得到一贯正确地执行。D.不正确。数据安全性控制保证在磁盘或磁带上的数据文件不被非法访问、修改或毁坏。[单选题]31.为了避免非法数据的输入，某银行在每个账号结尾新加一个数字并对新加的数字进行一种计算，此种技术被称为：A.光学字符识别。B.校验数位。C.相关性检验。D.格式检验。正确答案：B参考解析：A.不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码。B正确。校验数位是对某字段进行某种计算后得出，并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较，可以发现该字段内容是否已发生变化。C.不正确。相关性检验用于检查多个字段之间是否存在某种关联，来判断字段内容的正确性。D.不正确。格式检验用于检查字段内容是否遵循某种特定的格式，如日期字段应该具有如下格式：YYYY：MM：DD。[单选题]32.用来确定应用程序系统需要建立多少控制的标准不包括以下哪项内容？A.数据在系统中的重要性。B.应用网络监测软件的可行性。C.某项活动或处理没有受到适当控制所产生的风险水平。D.每种控制措施的效率复杂性和费用。正确答案：B参考解析：A.不正确。例如，重要的财务和会计系统，如证券交易所的股票买卖跟踪系统，相对于记录员工培训和技能的系统而言，必须具有更高的控制标准。B.正确。网络监测软件并不参与应用系统内部的控制。C.不正确。问题的发生频率及其潜在的危害应决定在一个系统中建立多少控制。D.不正确。例如，在一个每天处理成千上万笔支付业务的系统中，全的逐项检查可能过于费时而不可操作，但如仅检查关键的数据则可能是可行的，如检查金额、账号而忽略姓名和地址。[单选题]33.根据IIA的SAC控制框架，“责任”是指A.与商业机密和其他知识产权相关的属性。B.可以确定交易来源的控制属性。C.对数据处理设备和存储设备的访问限制。D.与员工和客户的个人信息相关的属性。正确答案：B参考解析：A.不正确。与商业机密和其他知识产权相关的属性与机密性相关。B.正确。“责任”是一种可以确定交易来源的控制属性。它确定员工的角色、行动和责任。用户责任属性可以由数据的所有者关系、访问者的身份与验证来确定。C.不正确。对数据处理设备和存储设备的访问限制与物理安全相关。D.不正确。与员工与客户的个人信息相关的属性与个人隐私相关。[单选题]34.COBIT是A.对IT流程实施有效控制的辅助指南。B.对风险及对技术挑战的反应。C.对以前的系统可审计性与控制报告的修订。D.由COSO委员会出版发行。正确答案：A参考解析：A.正确。COBIT是由信息系统审计与控制基金会制定的一种IT控制框架。COBIT提供了一套指南来协助管理人员和业务人员对IT流程和资源实施控制。COBIT被设计成一种IT治理工具，有助于理解和管理组织中的信息及与IT相关的风险与利益。B.不正确。对风险及对技术挑战的反应是eSAC的特征。C.不正确。SystemsAssurAnCeAnDControl才是对SystemsAuDitABilityAnDControl的升级。D.不正确。COBIT是由ISACA出版发行的。[单选题]35.关于COBIT，下列哪项说法是错误的？A.它可以无缝集成到其他治理框架中以提供单一的组织指导来源。B.它可以为企业的IT治理和管理需要提供整体解决方案。C.它侧重于强化治理与管理的凝聚。D.它可以帮助专业人员指出IT流程管理的缺陷正确答案：C参考解析：A.不正确。COBIT模型的第三个原则是运用单一集成框架，即可与其他治理框架集成，以为组织提供单一的指导来源。B.不正确。COBIT模型的第四个原则是采用一个整体全面的方法，从而为企业的IT治理和管理需要提供一种整体解决方案。C.正确。COBIT模型的第五个原则是将治理与管理区分开而不是凝聚。从计划到运营阶段，COBIT提供了一种整体方法来理解IT在组织战略中的角色。D.不正确。COBIT的目的是通过平衡来实现利益相关者的利益，帮助组织实现有效的IT管理。[单选题]36.良好的计划可以帮助组织在处理中断之后恢复计算机操作。良好的灾难恢复计划应该确保A.备份/重启程序已嵌入作业流和程序中。B.变更控制程序不会被操作人员所绕过。C.对设备工作能力的变更计划与设计好的工作量相容。D.与应用程序所有者达成服务级别的书面协议。正确答案：A参考解析：A.正确。备份/重启程序是一个灾难恢复计划的构成要素。B.不正确。设计灾难恢复计划时无需关心变更控制程序的有效性。C.不正确。设计灾难恢复计划时无需关心设备能力的变更计划是否与设计好的工作量相容。D.不正确。与应用程序所有者达成服务级别的书面协议虽然十分必要，但这与灾难恢复计划没有关系。[单选题]37.某公司的应用系统必须24小时工作。公司高级管理层和信息系统管理部门已经做了很大努力保证灾难恢复计划及时、有效。该公司灾难恢复计划的一个重要方面是保证A.组织和运营方面的变动在恢复计划中得到体现。B.对系统的变更在投入生产前已得到全面的测试。C.必要时管理人员能替代一线人员的工作。D.能力计划可以准确预测系统负荷的改变。正确答案：A参考解析：A.正确。公司组织和运营方面的变动可能导致原先的恢复计划失效，因此，这类变动必须在最新的恢复计划中得到体现。B.不正确。对系统的变更当然要进行全面测试，但这超出了灾难恢复计划的目标范围。C.不正确。恢复计划确实应考虑必要时如何替代一线工作人员，但通常不应由管理人员来充当。D.不正确。考察能力计划的准确性超出了灾难恢复计划的目标范围。[单选题]38.在对某组织的灾难恢复能力进行审计时，内部审计人员可能认为以下哪一项是最严重的控制弱点？A.测试利用了恢复脚本。B.热站合同有两年时间了。C.备份介质被保存在现场。D.每年只测试几个系统。正确答案：C参考解析：A.不正确。对后续事件来说，使用脚本是常见的实务。B.不正确。恢复合同不是经常更新的。C.正确。没能在远离现场的地方保存备份介质是一项非常严重的控制弱点。D.不正确。一般来说，有限的测试时间仅仅允许测试几个系统。[单选题]39.在确定一个组织的灾难构成因素时，以下哪一项是必要的？A.风险分析。B.文件和设备备份需求分析。C.供应商供货协议分析。D.应急设施合同分析。正确答案：A参考解析：A.正确。风险分析确定各项风险的级别及可能导致该风险的因素。B.不正确。文件和设备备份需求分析确定灾难发生后的恢复性需求。C.不正确。供应商供货协议分析确定供货协议的合理性。D.不正确。应急设施合同分析确定灾难发生后启动应急设施的可行性。[单选题]4