官方教材易混淆题目

Question 1

30.当一项新的IT治理政策获得批准时，最好是：
A.有独立主体签字
B.进行穿行测试演练
C.制订沟通计划
D.相应更新IT战略

Answer 1

C是正确答案。
理由：
A.适当时，应在批准之前由外部主体签字同意。
B.应在批准之前基于修订的政策进行穿行测试。
C.如果一个文档（如政策）更新，在整个组织内传达这些变更是
一个好做法。
D.相关政策变更应纳入IT战略，且应包含在沟通计划中。

Question 2

38.在实施企业IT治理时，为促进有效的组织变革，主要关注点应为：
A.记录变革的内容及方式
B.阐明变革的原因
C.沟通愿景
D.展示取得的成果

Answer 2

B是正确答案。
理由：
A.变革的内容及方式描述了变革对组织的影响。但是，如果不了解
变革的原因，那么变革的内容及方式可能不会发挥效力。
B.第一步应该是解释必须进行变革的原因，激发员工的积极性。
C.就愿景进行沟通有助于了解个人角色和职责的变化。仅当确定变
革的原因后，才能进行愿景沟通。
D.向组织展示取得的成果说明企业具备有效运行变革计划的能力。
这是一种正常活动，推动变革朝着目标前进。

Question 3

44.以下哪一项是企业实施IT治理的主要好处？
A.减少低效的资源利用
B.帮助建立明确的职权级别
C.促进对风险管理战略的监控
D.帮助审批财务计划和预算

Answer 3

A是正确答案。
理由：
A.减少低效的资源利用是实施IT治理的一个好处。其他好处包
括：
● 提供流程确保IT投资和业务战略保持一致。
● 有助于有效排定业务部门提出的存在资源竞争的请求的优先
级。
● 减少项目和应用产品组合中的冗余。
● 最大限度地减少业务损失和声誉损害，竭力避免削弱竞争地
位。
● 减少IT举措的失败，实现提议的创新和效益。A是正确答案。
理由：
A.减少低效的资源利用是实施IT治理的一个好处。其他好处包
括：
● 提供流程确保IT投资和业务战略保持一致。
● 有助于有效排定业务部门提出的存在资源竞争的请求的优先
级。
● 减少项目和应用产品组合中的冗余。
● 最大限度地减少业务损失和声誉损害，竭力避免削弱竞争地
位。
● 减少IT举措的失败，实现提议的创新和效益。
B.帮助建立职权级别、促进对风险管理战略的监控以及帮助审批财
务计划均不正确，因为这些都是在董事会一级获得的效益。
C.促进对风险管理战略的监控是管理资源和为企业创造价值方面的
重要流程，但并非实施企业IT治理的收益；它本身不是一个目
标，而是管理交付的一种方法。
D.改进财务计划本身不是一个目标或好处；它是治理流程中的一个
重要流程，但并非主要收益。

Question 4

72.以下哪个角色主要负责批准企业信息的信息资产分类规则？
A.数据治理委员会
B.信息所有者
C.信息保管者
D.企业架构委员会

Answer 4

A是正确答案。
理由：
A.数据治理委员会主要负责建立信息资产分类规则。
B.信息所有者应用信息资产分类规则，不负责制定规则。
C.信息保管者根据数据治理委员会制定的规则处理信息。
D.企业架构委员会专注于企业架构，而不是数据分类。

Question 5

D3 -41.以下哪一项是IT指导委员会监督IT项目的主要原因？
A.提供资源帮助项目取得成功
B.审查项目交付成果的运行可行性
C.确保投资能够实现期望的成果
D.评估项目管理流程的有效性

Answer 5

C是正确答案。
理由：
A.资源是根据项目的优先级和预期成果分配的。
B.项目交付成果是项目/计划团队的责任，通常不在指导委员会的职
责范围内。
C.IT指导委员会的主要职责是确保IT促成的投资实现效益。
D.项目管理流程是计划管理办公室的责任，不在指导委员会的职责
范围内。

Question 6

D3-36.以下哪一项是为系统开发项目准备业务案例的主要好处？
A.缓解项目中涉及的IT风险
B.识别相关的业务利益相关方
C.消除竞争性解决方案选项
D.确认管理层支持

Answer 6

D是正确答案。
理由：
A.战略风险包含在业务案例中，缓解IT风险属于运营活动。
B.识别相关的业务利益相关方是业务案例的一个重要元素，但是若
没有管理层的认同，它并无益处。
C.业务案例将确定解决方案选项，并推荐一个最适当的方案。
D.业务案例是业务投资的依据文档，为关于是否继续投资的业务
决策提供支持；同时作为运营工具，协助对投资的整个经济生
命周期进行管理。业务案例用于获取管理层认同，从而针对效
益实现建立问责制。

Question 7

D3-24.以下哪个指标能够最有效衡量企业IT的绩效？
A.IT投资的回报率
B.在预算内按时交付的IT项目的百分比
C.重大事故的数量
D.与服务等级协议的符合程度

Answer 7

A是正确答案。
理由：
A.投资回报率是在企业层面打造IT能力的投资财务指标之一。这
是最佳衡量指标，因为它用于衡量总体运营绩效和效率，计算
公式非常简单，即计算期内的净收入除以总投资。
B.IT项目成功的百分比用于衡量企业IT治理举措的成功率，它不是
企业IT能力的绩效衡量指标。
C.高严重性或重大事故的数量有助于确定IT运营绩效，但不代表IT
总体绩效。
D.与服务等级协议的符合程度能够表明在多大程度上满足了服务目
标，但其并不一定代表总体绩效。

Question 8

D1-23.在与董事会沟通IT的商业价值时，以下哪个工具最有效？
A.内部回报率
B.IT平衡计分卡
C.投资回报率
D.流程能力评估

Answer 8

B是正确答案。
理由：
A.内部回报率（IRR）用于衡量一项投资的预期收益率。IRR仅注重
财务效益，不会考虑无形效益。
B.平衡计分卡（BSC）通过合并企业想要了解的有形和无形价值，
从中立公正的角度看待IT为业务实现的总价值。BSC将战略转化
为行动，利用超越传统会计的绩效衡量系统实现目标，衡量信
息时代竞争所需的关系和知识资产：以客户为中心，流程效率
以及学习和成长的能力。
C.投资回报率用于衡量运营绩效和效率，最简单的计算公式是计算
期内的净收入除以总投资。因此，它更像一个财务审查工具，而
不是用于为董事会提供中立公正的观点。
D.流程能力评估提供有关IT流程能力的重要信息，以满足预期目
的。但是，它们回答“我们是否把事情做对了？”，不回答“我
们是否在做正确的事情？”，因而不代表IT以及IT BSC的价值。

Question 9

D3-23.以下哪一项指标最有助于确定业务与IT战略之间的一致程度？符合
以下哪种情况的计划/项目的百分比：
A.在预算内按时交付的计划/项目的百分比
B.利益相关方对所实现的范围感到满意的计划/项目的百分比
C.达到或超过宣称效益的IT促成的投资计划/项目的百分比
D.利益相关方对所达到的质量感到满意计划/项目的百分比

Answer 9

B是正确答案。
理由：
A.计划可能在预算内按时交付，但与业务战略不一致。
B.如果规划的IT计划/项目范围明确支持业务战略，利益相关方将
对此感到满意。
C.即使达到或超过各个IT项目的宣称效益，IT投资也可能与业务战
略和目标不一致（即可能未实现正确的效益）。
D.即使利益相关方对IT计划或项目的质量非常满意，计划也可能不
符合业务战略和方向的要求。

Question 10

D3-33.以下哪项指标可提供有关基于价值的管理实践的绩效的最佳信息？
A.与业务价值驱动因素对应的IT价值驱动因素的百分比
B.已确定并批准的业务案例占总体组合的百分比
C.对IT财务信息的准确性满意的关键利益相关方的百分比
D.IT促成的投资在整个生命周期所管理的总体组合中的百分比

Answer 10

D是正确答案。
理由：
A.与业务价值驱动因素对应的IT价值驱动因素的百分比是价值管理
流程的一个要素。它提供有关IT与业务战略一致性的信息，而不
是为了从全面有效的价值管理实践创造价值。
B.已确定并批准的业务案例占总体组合的百分比衡量所做决策的有
效性，而非实现的价值。
C.确保IT财务信息准确是财务方面的责任，这不会提供有关实践如
何创造必要价值的任何信息。
D.有效的价值管理实践包括开发业务案例、监控和管理进度，以
及按IT治理框架的描述评估结果。IT促成的投资在整个生命周
期所管理的总体组合中的百分比是衡量这些实践有效性的最佳
指标。

Question 11

D3-54.以下哪一项是跟踪IT服务和资产投资对业务的价值的最佳仪表板？
A.执行管理层对业务流程能力的满意度
B.对计划交付成果满意的利益相关方的百分比
C.供应商对供应链能力的满意度
D.达到业务案例宣称效益的IT促成的投资的百分比

Answer 11

D是正确答案。
理由：
A.应了解所有适用利益相关方的满意度，而不仅仅是执行管理层。
B.对计划交付成果满意的利益相关方的百分比虽然重要，但从这个
视角来看所有投资是非常狭隘的。
C.供应商对供应链能力的满意度只反映了对众多利益相关方中的一
个的考虑。这个答案没有基于业务案例说明成功的效益。
D.业务案例定义了对IT促成的投资的价值期望，这是评估投资是
否成功的最关键部分。

Question 12

D3-57.评估重大IT投资时，应执行哪一项分析来提升组合的质量？
A.在价值创造时期进行阶段关卡审查
B.投资阶段中流程成熟度模型能力的差距分析
C.业务案例开发过程中的业务平衡计分卡评估
D.业务案例开发过程中对于成功和失败的事后分析

Answer 12

D是正确答案。
理由：
A.应在整个投资生命周期的计划和项目管理期间定期进行阶段关卡
审查，阶段关卡审查是在实施投资后进行的。
B.在评估一项重大的IT投资之前，应先了解企业当前和期望的流程
能力成熟度。
C.业务平衡计分卡应级联至IT平衡计分卡。在开发业务案例之前，
应有相关的IT开发平衡计分卡，以便业务案例评估投资的一致
性。
D.结构化的事后分析计划使得企业能够从成功和失败中学习，并
不断提升组合的质量。对正在接受评估的一项重大IT投资进行
事后分析，可以为未来的决策提供见解。

Question 13

71.在监控战略举措的相互依存关系及其对所实现价值和风险的影响
时，以下哪一项是最有效的方法？
A.与业务流程的利益相关方进行架构审查
B.与业务流程的利益相关方面谈
C.业务流程映射
D.审查高层领导确定的业务战略

Answer 13

C是正确答案。
理由：
A.架构审查是战略一致性流程中的重要一环，但并不是监控战略举
措相互依存关系的最有效方法。
B.面谈是战略一致性流程中的重要一环，但并不是监控战略举措相
互依存关系的最有效方法。
C.业务流程映射有助于业务流程的利益相关方和IT组织有效地了
解业务流程、相互依存关系、业务要求和关联的信息基础设
施，从而支持业务活动。
D.战略审查是战略一致性流程中的重要一环，但并不是监控战略举
措相互依存关系的最有效方法。

Question 14

D3-68.以下哪一项分析最准确描述了安全指标的治理相关活动？
A.与业务目标相比的安全管理绩效
B.企业在任何特定时期的总体安全态势
C.企业中存在的风险
D.企业处理过的安全事故

Question 15

60.更新绩效指标时，最重要的因素是它们的输出：
A.推动采取措施以提高绩效
B.符合所有监管要求
C.确立责任和职责
D.衡量所有可用的绩效指标

Answer 15

A是正确答案。
理由：
A.提高绩效以实现效益并优化资源是理想的绩效管理治理成果。
B.应采用相同的风险管理方法来满足所有监管要求。
C.应将指标和衡量标准分配给治理框架下的执行角色和责任角色。
衡量标准和指标本身无法确立责任和职责。
D.应采用简单的衡量标准。指标和衡量标准太复杂和/或太多往往会
造成混乱，不利于进行深刻的分析或采取有效的改进措施。指标
少而精优于多而劣。

Question 16

D1-26.以下哪一项好处是使用IT平衡计分卡最重要的原因？
A.与业务保持战略一致性
B.量化成本和效益
C.识别有形和无形效益
D.绩效衡量

Answer 16

A是正确答案。
理由：
A.平衡计分卡（BSC）最初是作为一个绩效管理系统开发的，意在
帮助企业推动其战略和评估。最近，BSC巳经被应用到IT，并带
来可关联到业务BSC的IT BSC，以这种方式支持IT/业务治理和
一致性流程。
B.成本和效益量化只能体现IT所带来价值中非常有限的一部分。
C.有形和无形效益的识别包含在BSC中；但是，这仅是与业务保持战
略一致性的流程的一部分。
D.不太成功的投资可能显著影响企业底层的效益，而不是在企业高
层提供效益。IT BSC是衡量/管理组织绩效的一种方式，而绩效衡
量是实现更有效管理的工具。绩效衡量的结果将告诉企业发生了
什么，而不是为什么会发生，或该怎么处理。

Question 17

D1-27.以下是良好治理实务的最佳指标？
A.IT风险登记表得到良好维护
B.IT政策和程序得到良好维护
C.根据业务制订IT战略计划
D.董事会定期得到IT相关简报

Answer 17

D是正确答案。
理由：
A.风险登记表由管理人员维护，只包含部分风险，并不代表IT的整
体情况，治理所需的是IT整体情况。
B.IT政策和程序的维护是董事会批准的管理职能。
C.IT战略计划根据业务制订，并提交给董事会批准，被视为说明IT
资源将如何支持企业战略目的（目标）的长期计划。
D.董事会要实现有效监控，必须定期获得IT职能相关信息，这一
点至关重要。这将为董事会提供评估和指导的机会。

Question 18

D1-43.以下哪一方最有助于通过提供指导原则确定企业架构？
A.IT指导委员会
B.IT战略委员会
C.董事会
D.首席信息官

Answer 18

B是正确答案。
IT战略委员会—一个董事会级别委员会，负责确保董事会参与重大IT
事宜和决策。范围说明：该委员会主要负责管理IT赋能的投资组合、
IT服务和其他IT资源。该委员会是该组合的所有者
理由：
A.IT指导委员会使用指导原则实施IT战略委员会制定的IT战略。
B.IT战略委员会负责通过企业架构（EA）为与业务保持一致的IT
战略提供指导原则。
C.董事会为业务战略和IT战略提供意见。
D.首席信息官负责使用指导原则来开发IT EA。

Question 19

D1-46.为实现信息治理的有效性，董事会需要首先：
A.定义供业务职能使用所需的信息属性
B.定义数据隐私官的职责和责任
C.建立联合组织模型
D.在一系列不同的质量目标中定义信息质量标准

Answer 19

D是正确答案。
理由：
A.定义供业务职能部门使用所需的信息属性是高级管理层的责任。
B.定义数据隐私官的职责和责任是高级管理层的责任。
C.有效的信息治理可以通过采用不同的组织模型实现，不一定要采
用一个联合的模型。
D.信息应当像员工、实物资产和信誉一样，被视为公司资产。准
确且可信的业务信息及见解能够创造价值，或者有利于执行运
营流程和制定决策。在一系列不同的质量目标中定义董事会级
别的信息质量标准包括相关性、完整性和有限访问，并且可以
触发有效的信息治理。

Question 20

D1-59.要促进关键利益相关方与治理职能部门之间的合作，最好的方法是
制定：
A.明确的政策和标准
B.清晰的报告结构
C.正式的监督职能
D.监控流程

Answer 20

A是正确答案。
理由：
A.政策和标准为关键利益相关方和治理职能之间的明确合作奠定
了基础。政策是企业管理层总体意图和方向的正式说明。这些
文件通常会记录已决定的概要原则或行动方针。预期目的影响
和引导现在及将来的决策，以便与企业管理团队确定的理念、
目标和战略计划保持一致。标准是由公认的外部标准机构（如
国际标准化组织）批准的强制性要求、实务准则或规范。
B.清晰的报告结构定义了权力和控制措施在整个企业的级联方式，
通常以图表呈现，说明控制线如何触及各职能区域和物理位置。
这本身不会促使关键利益相关方与治理职能部门合作。
C.正式的监督职能是高级管理层提供的关键治理职能，可确保适当
的职责落实到位，但如果没有明确的政策和标准，这不会发挥作
用。
D.监控流程的概念与技术（如绩效管理）相关，用于改进企业IT治
理并将其与组织的迫切需求对应（例如平衡计分卡及其机制用于
将战略转化为可衡量的行动）。

Question 21

D1-61.以下哪一项输出对开发企业架构愿景最重要？
A.战略规划图
B.企业战略
C.组织结构
D.价值主张

Answer 21

D是正确答案。
理由：
A.战略规划图文件中包含以下内容：确定企业为实现战略目标（例
如在线销售）将采取的措施、说明为什么制定该目标（例如提高
竞争效率），以及将如何实现目标（例如建立电子商务网站）。
企业架构（EA）的愿景使用企业的战略规划图提出解决方案（例
如通过架构定义业务流程、信息、数据、应用程序和技术），帮
助企业实现战略目标。
B.企业战略是业务战略，由董事会和高级管理层制定。包括EA愿景
开发在内的所有企业举措中都要考虑该战略。
C.组织结构通过业务部门、地理位置、业务职能、权限级别和报告
层级关系定义人员的分组和分级。在开发EA愿景时通常会考虑这
一点。
D.ISACA的《COBIT 2019框架：治理和管理目标》中指出：架构愿
景是关于基线和目标架构的第一次概要描述，涵盖业务、信
息、数据、应用程序和技术领域。架构愿景为发起人提供了关
键工具，帮助在企业内部积极介绍建议功能的好处，以便说服
利益相关方接受。架构愿景描述了（与I&T战略和目标一致的）
新能力将如何满足企业目标和战略目标，并在实施过程中消除
利益相关方的顾虑。

Question 22

D1-65.企业架构（EA）在以下哪种条件下可为战略计划流程提供最有力的
支持：
A.监控并定期评估EA中的内部控制
B.EA中包含的系统可通过变更控制定制
C.可通过知识库获取EA文件和指导原则
D.EA有助于企业产品和/或服务的开发

Answer 22

D是正确答案。
理由：
A.内部控制评估可证明EA的有效性并为下一轮的战略计划提供依
据，但如果EA不支持业务目标，仅凭此工具将无法使战略计划有
效。
B.系统定制是战略计划中包含的一项决策，但如果EA不支持业务目
标，仅凭此工具将无法使战略计划有效。
C.知识库是一个很好的工具，会存储与EA相关的文档。此知识库还
支持战略计划流程，但如果EA不支持业务目标，仅凭此工具将无
法使战略计划有效。
D.一家组织要保持成功，生产能够带来收益的产品和/或服务至关
重要。EA必须体现这些生产活动的本质，才能为组织创造价
值

Question 23

D1-67.以下哪一项能够在一段时间内最有效地帮助改进企业IT治理的成
果？
A.IT服务管理框架
B.企业架构框架
C.流程成熟度模型
D.IT组织的目标运营模式

Answer 23

C是正确答案。
理由：
A.IT服务管理框架有助于定义IT流程和服务、交付与支持；但是，
它对持续地逐步改进没有帮助。
B.企业架构框架会考虑架构，但不会考虑企业IT整体。
C.流程成熟度模型提供了一种逐步提高成熟度的方法，随着时间
的推移可最有效地帮助改进。
D.IT组织的目标运营模式是IT组织的专有成果，而不是整个企业的
成果。

Question 24

D1-79.实施新IT治理实务的工作主要需要：
A.合规职能部门
B.执行主管
C.风险报告任务组
D.跨职能实施团队

Answer 24

B是正确答案。
理由：
A.合规职能部门通常只解决合规性问题，不负责实施新信息治理实
务的所有其他方面。
B.执行主管对于获取实施支持至关重要，因为这个角色从高层设
定了基调，可提供所需的权限和资源。
C.在本题中，风险报告任务组是次要的。
D.跨职能实施团队可确保利益相关方参与其中，但是如果没有执行
主管的支持无法发挥作用。

Question 25

85.以下哪项管理控制措施可确保组织主动应对有关IT治理的法律和监
管要求？
A.内部审计
B.企业风险管理
C.管理报告
D.管理层监督

Answer 25

D是正确答案。
理由：
A.内部审计是第三道防线，无法最好地确保满足法律和监管要求。
B.企业风险管理是第二道防线，包括整个企业的风险咨询和风险管
理。
C.管理报告是用于传达企业合规活动状态的工具，可帮助管理层进
行监督。
D.当管理层掌握监督控制权时，可确保组织满足强制性的法律和
监管要求。这是第一道防线。

Question 26

D1-87.某组织正在加强其消费者数据保护举措。以下哪个角色最适合负责
批准数据分类？
A.流程所有者
B.系统管理员
C.数据管理员
D.数据所有者

Answer 26

D是正确答案。
理由：（区分流程所有者和数据所有者）
A.流程所有者不负责数据分类。
B.系统管理员被视为保管者，负责数据的保管、传输和存储。
C.数据管理员负责根据数据所有者的要求保护数据。
D.数据所有者负责根据企业的数据分类方案制定数据分类决策。

Question 27

D1-89.在实施企业IT治理框架时，最适合让以下哪一个利益相关方确定如
何利用新技术取得新的战略机会？
A.产品所有者
B.执行管理层
C.IT经理
D.董事会

Answer 27

A是正确答案。
理由：（ 根据业务需求引入新技术。）
A.让业务经理实施企业IT治理框架的主要好处是，他们能够让企
业知道如何最好地利用新技术获取新的战略机会。
B.执行管理层提供有关如何组织和监控整个企业中的IT绩效的指
导。
C.IT经理提供有关如何以最佳方式构建和组织IT部门及管理IT绩效
的指导，主要专注于高效和有效地管理IT。
D.董事会提供有关如何利用IT创造价值的见解。

Question 28

D1-97.进行IT利益相关方管理的最重要的原因是：
A.考虑无法满足预期的风险
B.使IT服务与期望和风险保持一致
C.为每个利益相关方分配风险管理者
D.最大限度降低满足期望的成本

Answer 28

B是正确答案。
理由：
A.考虑无法满足预期的风险只考虑每个利益相关方面临的风险，而
没有考虑到机会。
B.利益相关方管理旨在确保大家对利益相关方的期望达成共识，
并基于风险和机会进行管理。
C.分配风险管理者只是其中一个步骤，因为IT服务交付必须与利益
相关方的需求以及所产生的风险和机会保持一致。
D.最大限度降低成本并不等于优化风险和机会

Question 29

D1-103.新的业务战略要求重新评估IT项目，使其与新的业务目标保持一
致。为完成这项任务，应采用IT治理框架的以下哪些资源？
A.旨在适应业务目标变更的IT组合管理实务
B.成立一个临时委员会，使所有项目与业务目标保持一致
C.重新评估每个项目的所有业务案例
D.全面审查企业架构章程陈述和政策

Answer 29

A是正确答案。
理由：
A.IT组合管理程序包括战略性变更审查活动，表明可以通过常规
的既定程序来应对战略性变更。
B.成立临时委员会表明没有程序可用于重新评估和满足特定委员会
的需求。
C.业务案例不是合适的重新评估工具。
D.企业架构不包括这种类型的审查。

Question 30

D1-105.以下哪个角色对数据质量计划的制订和监控负有最主要的责任？
A.数据所有者
B.数据管理者
C.数据库管理员
D.首席信息官

Answer 30

B是正确答案。
理由：
A.数据所有者或业务所有者对数据负责，但不承担数据的运营责
任。
B.数据管理者的职责是管理信息资产，应负责制订和监控数据质
量计划。
C.数据库管理员是计划的执行人，不对数据质量计划负责。
D.首席信息官不是负责具体计划的最佳人选；但是，他/她可能需要
对整个计划负责。

Question 31

D1-110.以下哪一项是实施企业IT治理框架的主要优势？
A.针对IT相关举措建立问责制
B.通过增加IT投资降低IT相关风险
C.通过改进IT流程降低IT相关成本
D.通过IT指导委员会对IT进行集中控制

Answer 31

A是正确答案。
理由：
A.定义企业战略和明确业务方向后，针对IT相关举措建立问责制
至关重要。部署企业IT治理框架可以实现这一点。
B.降低IT相关风险只是建立问责制的一部分。
C.降低IT相关成本只是建立问责制的一部分。
D.通过IT指导委员会对IT进行集中控制可能是有益的；但这不是实
施企业IT治理框架的主要目标。

Question 32

D2-3.以下哪一项是对IT基础设施进行标准化的最佳理由？
A.减少总拥有成本
B.获取规模经济
C.改进IT服务交付
D.减少攻击途径数量

Answer 32

C是正确答案。
理由：
A.总拥有成本（TCO）包括计算机的原始成本，再加上软件、软硬件
升级、维护、技术支持、培训和用户执行特定活动的成本。
B.获取规模经济是TCO的一部分。
C.如果IT基础设施进行了标准化，业务可以定义一个流程，以统
一且经济有效地满足所有业务需求，因为IT会依据整个企业的
标准环境去回应请求。IT也可以定义标准流程，以满足所有用
户需求，这会确保有效的服务交付。
D.攻击途径是指攻击者访问计算机或网络服务器而采用的一种途径
或方法，这种访问会送来荷载或产生恶意结果。攻击途径使黑客
能够利用系统和人的弱点。假设所有防火墙设备具有相同的结
构，则攻击者通过单一的漏洞就能渗透网络。虽然标准化的IT基
础设施可以减少攻击途径数量，但当考虑安全问题的纵深防御
时，这本身并非优点。

Question 33

D2-10.以下哪一种来源能够最有效地确定战略性IT举措所需人力资源的数
量和类型？
A.资源采购成本报告
B.资源差距分析报告
C.技能依赖性矩阵图
D.IT组织结构图

Answer 33

B是正确答案。
理由：
A.资源采购成本报告将有助于确定人力资源获取成本，但从技能集
合的角度来讲没有帮助，只是从成本角度来讲有帮助。
B.资源差距分析报告可以根据项目需求和所需的技能组合提供未
来的要求，并确定预期需求与当前可用人力资源之间的差距。
资源差距分析报告的这些功能将有助于确定战略IT举措所需的
资源。
C.技术依赖性矩阵图将有助于确定职位所需的技能集合，但对于建
立数量和类型没有帮助，因为它不会评估当前状况，以及识别与
未来状况要求之间的差距。
D.IT组织结构图可以说明上司下属关系，但对于建立战略性IT举措
所需IT人力资源的数量和类型没有帮助。

Question 34

D2-14.在企业中，以下哪一个治理流程对资源开发战略优化最重要？
A.制定服务等级协议
B.调查利益相关方的满意度
C.审查财务报告
D.监控IT服务交付绩效

Answer 34

D是正确答案。
理由：
A.通过制定服务等级协议，可提供一些衡量指标来设立IT服务等级
期望。
B.通过调查利益相关方的满意度，可提供一种衡量IT绩效的手段。
C.财务报告提供了一种衡量IT绩效的手段。
D.为了确保IT资源使用情况达到最佳状态，管理层必须了解IT资
源的性能情况并将其与预期会实现的价值相比较。服务交付衡
量和监控流程可以提供这一活动的相关依据信息。

Question 35

D2-18.在实施新的IT举措时，需要额外的资源。IT经理希望雇佣更多的员
工，而业务经理则希望考虑外包。在一个实施了IT治理框架的企业
里，以下哪种资源将最有助于解决这个问题？
A.供应商管理
B.业务案例
C.IT指导委员会
D.IT战略委员会

Answer 35

C是正确答案。
理由：
A.供应商管理包括管理向企业交付IT服务和产品的第三方的流程，
以便获得最大效益并降低相关风险。它不能用于解决这个资源问
题。
B.业务案例必须作为基本的依据信息提供给IT指导委员会用于制定
决策，但不是唯一的决定因素。
C.IT指导委员会是执行管理层级别的委员会，它协助实现IT战
略、监督IT服务交付和IT项目的日常管理，重点关注实施方
面。IT指导委员会将会制定有关IT举措资源分配的决策。
D.IT战略委员会是一个董事会级别的委员会，负责确保董事会参与
重大IT事宜和决策。IT战略委员会不会参与运营决策。

Question 36

21.以下哪一项最能保证外包安排的资源优化？
A.服务交付的总体绩效审计
B.重新评估服务指标
C.根据需求监控服务等级
D.定期对服务提供商进行现场审计

Answer 36

A是正确答案。
理由：
A.绩效审计可以最好地确定服务交付是否取得预期的业务成果。
B.重新评估服务指标只会刷新要衡量的信息，而不是取得的成果。
C.根据需求监控服务等级可提供有关原始需求是否得到满足的信
息，而非是否取得预期的业务成果。从项目开始到当前状态，状
况可能已经发生改变。
D.定期对服务提供商进行现场审计可以确保出具服务等级协议报
告，但不能充分评估实现预期业务成果的进度。

Question 37

24.一家企业的数据中心仍在使用旧版系统和老化的基础设施。以下哪
种方法最能帮助企业解决这一问题？
A.创建一个业务案例，将数据中心的运营外包出去
B.制订一个正式的技术生命周期管理计划
C.增加可用的预算来更换系统
D.聘请额外的专业技能性资源

Answer 37

B是正确答案。
理由：
A.外包战略可能有所帮助，但这不能解决基础设施老化的问题。
B.为解决信息技术可能过时的问题，组织必须识别从采购到停用
的整个生命周期。
C.执行合同不是IT管理层最重要的职能。在某些情况下，该职能可
以由组织中的其他角色来执行。
D.可能需要聘请技能性资源，但这不能解决基础设施老化的问题

Question 38

25.对外包出去的IT服务，IT管理层最重要的职能是：
A.对服务提供商的合规性进行定期审计
B.根据服务等级协议来评估绩效
C.执行与服务提供商签订的合同和服务等级协议
D.确保服务提供商雇用相应的技能性资源

Answer 38

B是正确答案。
理由：
A.定期审计最好由独立于IT运营和服务交付的职能部门来执行。
B.IT管理层的主要职能是根据服务等级协议来评估服务提供商的
绩效，以确保所提供的服务符合预期。
C.执行合同不是IT管理层最重要的职能。在某些情况下，该职能可
以由组织中的其他角色来执行。
D.确保服务提供商雇用技能性资源不是IT管理层最重要的职能。应
由IT管理层外部的机制来确保这一点

Question 39

16.以下哪一项是在设计控制框架时最重要的考虑因素？
A.风险偏好
B.工作指导书
C.员工士气
D.监控要求

Answer 39

A是正确答案。
理由：
A.要营造最佳的内部控制环境，最好要了解风险偏好。一旦明确
了风险偏好，就可以确定实施控制框架所需的投资力度。
B.工作指导书的操作性太强，在设计控制框架时不需要考虑。
C.员工士气和基本的组织文化是在设计控制框架时需要重点考虑的
因素。强有力的控制措施可减少实施欺诈的机会，从而抵消员工
士气低下的环境中借口增多的状况。尽管如此，在设计控制框架
时，首先应了解企业的风险偏好，以便组织制定适合其特定环境
的控制措施。
D.监控要求可能只涵盖控制框架的一部分；因此，它不是最重要的
考虑因素。

Question 40

17.接受风险的责任由以下哪一方承担？
A.企业风险委员会
B.执行管理层
C.业务流程所有者
D.审计委员会

Answer 40

B是正确答案。
理由：
A.企业风险委员会监督风险治理状况，但接受风险的责任仍由执行
管理层承担。
B.接受风险是执行管理层或其指定代表的责任。
C.业务流程所有者通常会将风险接受请求上报到执行管理层进行审
批。
D.审计委员会识别风险，但服从执行管理层的风险接受决策

Question 41

20.为企业选择风险缓解战略时，以下哪一项最重要？
A.资产价值和重要性
B.风险偏好和容忍度
C.威胁发生的可能性和频率
D.资产总拥有成本

Answer 41

B是正确答案。
理由：
A.资产价值和重要性是具体风险缓解活动的主要依据信息，但不是
风险缓解战略最重要的信息。
B.风险缓解战略用于将残余风险尽量降低至可接受的水平。风险
偏好和容忍度是制定风险缓解战略的主要考虑因素。
C.威胁发生的可能性和频率是开展具体风险缓解活动的主要依据信
息，但不是风险缓解战略最重要的信息。
D.总拥有成本与风险缓解战略没有直接关联。

Question 42

21.以下哪个角色负责IT风险管理决策？
A.首席财务官
B.合规部门
C.内部审计
D.首席信息官

Answer 42

D是正确答案。
理由：
A.首席财务官是负责财务管理所有方面事务的最高官员，包括财务
风险和控制以及可靠、准确的账目。
B.合规部门负责在企业内给予法律、监管和合同合规性方面的指
导。
C.内部审计负责提供企业内部的审计工作。
D.首席信息官是企业内负责让IT和业务战略保持一致，并负责计
划、资源调配和管理IT服务及解决方案交付以支持企业目标的
最高官员。这包括指导IT风险管理决策。

Question 43

22.以下最佳中，哪一项能实现风险管理目标？
A.确定企业愿意承担的IT相关风险的水平
B.倡导IT风险意识文化，增强企业主动识别IT风险的能力。
C.向董事会或执行委员会报告任何风险管理问题
D.让关键利益相关方审查企业既定目标的进展情况

Answer 43

A是正确答案。
理由：
A.实现风险管理目标的最佳方法是确定企业的风险偏好是否适
合，并确保识别和管理使用IT给企业价值带来的风险。
B.倡导IT风险意识文化有助于指导风险管理实践，但无助于实现风
险管理目标。
C.报告风险管理问题可以帮助监控风险管理流程，但对实现风险管
理目标没有帮助。
D.让关键利益相关方审查进展可以帮助监控风险管理流程，但对实
现风险管理目标没有帮助。

Question 44

23.要使IT风险管理计划有效，以下哪一项最重要？
A.企业风险管理框架
B.IT目标与企业目标保持一致
C.高级管理层的意见
D.保守的风险偏好

Answer 44

C是正确答案。
理由：
A.一个有效的IT风险管理计划不一定需要企业风险管理框架。
B.IT目标与企业目标保持一致是企业IT治理的重要部分，但不一定
会使IT风险管理计划有效。
C.要使IT风险管理计划有效，最需要高级管理层的意见，因为管
理层负责定义风险阈值并最终负责评估、指导和监控风险管理
活动。
D.保守的风险偏好不一定会使IT风险管理计划有效；但确保风险不
超过风险偏好则是IT风险管理计划中的重要因素。

Question 45

24.在建立IT风险管理实务时，以下哪一项依据信息最重要？
A.企业风险管理计划
B.风险分析结果
C.监管要求
D.IT风险管理政策

Answer 45

A是正确答案。
理由：
A.IT风险管理实务应与企业风险管理（ERM）一致。
B.风险分析结果是监控风险管理实务的依据信息，而非建立风险管
理实务的依据信息。
C.虽然监管要求是风险管理流程的重要依据信息，但它对风险管理
过程的影响不如对整个企业风险管理计划的影响大。
D.IT风险管理政策是创建风险管理实务的输出结果。

Question 46

26.在考虑新的IT举措之前执行风险评估的主要目标是：
A.为IT资产提供适当级别的保护
B.确定风险偏好和风险容忍度水平
C.使管理层能够基于风险制定决策
D.确保新的举措与战略一致
C是正确答案。
理由：
A.如果管理层决定继续投资新举措，风险评估将有助于选择和实施
控制措施以保护IT资产；但这不是考虑新IT举措时的主要依据信
息。
B.新举措的相关决策应基于企业当前已在企业层面确定的风险偏好
和风险容忍度。
C.执行风险评估的主要目标是：向企业详细说明新举措相关威胁
可能造成的正面和负面影响。这将帮助管理层适当地决定继续/
停止新举措。
D.IT举措的复杂性不断增长，只有当管理层能够基于IT治理观点做
出明智决策并且把风险分析作为流程的一部分时，才能确保这些
举措与业务战略的一致性。

Question 46

26.在考虑新的IT举措之前执行风险评估的主要目标是：
A.为IT资产提供适当级别的保护
B.确定风险偏好和风险容忍度水平
C.使管理层能够基于风险制定决策
D.确保新的举措与战略一致

Answer 46

C是正确答案。
理由：
A.如果管理层决定继续投资新举措，风险评估将有助于选择和实施
控制措施以保护IT资产；但这不是考虑新IT举措时的主要依据信
息。
B.新举措的相关决策应基于企业当前已在企业层面确定的风险偏好
和风险容忍度。
C.执行风险评估的主要目标是：向企业详细说明新举措相关威胁
可能造成的正面和负面影响。这将帮助管理层适当地决定继续/
停止新举措。
D.IT举措的复杂性不断增长，只有当管理层能够基于IT治理观点做
出明智决策并且把风险分析作为流程的一部分时，才能确保这些
举措与业务战略的一致性。

Question 47

40.以下哪一项是IT高级管理层在总体风险管理中扮演的主要角色？
A.将IT相关风险记录到企业风险组合
B.识别企业对IT风险管理的偏好
C.识别IT风险对业务的影响
D.了解IT风险管理

Answer 47

A是正确答案。
理由：
A.IT高级管理层在总体风险管理中的角色是识别所有IT相关风险
并记录到企业风险组合。
B.识别企业的风险偏好是董事会和高级管理层的责任。
C.识别IT风险对业务的影响是业务管理层和业务流程所有者的责
任。
D.了解风险管理是每个员工的责任。

Question 48

46.以下哪一项最能帮助IT管理层和董事会对与涉及外包协议的IT风险
相关的监管要求做出响应？
A.建立针对第三方关系的IT风险管理流程
B.制定用于选择第三方的IT风险管理战略
C.制定用于监督第三方服务的IT风险流程
D.开展独立的IT风险审查以有效管理第三方

Answer 48

A是正确答案。
理由：(完整的生命周期）
A.建立针对第三方关系的IT风险管理流程能够最有效地帮助IT管
理层响应监管要求，以管理从确认到终止的整个第三方关系生
命周期风险。
B.制定用于选择第三方的IT风险管理战略是第三方IT风险管理流程
的一部分。
C.制定用于监督第三方的IT风险流程是第三方IT风险管理流程的一
部分。
D.开展独立的IT风险审查以有效管理第三方是第三方IT风险管理流
程的一部分。

Question 49

49.以下哪一项是与业务流程再造项目相关的最重要实施风险？
A.范围风险
B.用户支持风险
C.领导风险
D.文化风险
C是正确答案。
理由：
A.如果项目范围定义不当，会引起严重问题。但是，范围是在设计
期间定义的，因此范围风险是设计风险。
B.如果用户不为业务流程再造项目提供必要的支持，则最终建立的
流程可能行不通。用户支持是设计阶段的一部分，有助于实施阶
段的测试。但是，如果没有领导支持，项目甚至不会进入实施阶
段。
C.要成功完成项目，C级高管必须提供支持。
D.文化风险是项目设计、实施和运作阶段的一部分。在项目所有阶
段采取措施来缓解文化风险是管理层的工作职责。

Answer 49

审题，实施风险（领导、技术、转换、范围）
C是正确答案。
理由：
A.如果项目范围定义不当，会引起严重问题。但是，范围是在设计
期间定义的，因此范围风险是设计风险。
B.如果用户不为业务流程再造项目提供必要的支持，则最终建立的
流程可能行不通。用户支持是设计阶段的一部分，有助于实施阶
段的测试。但是，如果没有领导支持，项目甚至不会进入实施阶
段。
C.要成功完成项目，C级高管必须提供支持。
D.文化风险是项目设计、实施和运作阶段的一部分。在项目所有阶
段采取措施来缓解文化风险是管理层的工作职责。
● 支持风险—首席高级管理人员级别的管理层不支持这项工作。高层
未能提供充分支持所产生的危害如同让错误的人选来主导项目。沟
通不畅也是一个大问题。

Question 50

53以下哪种方法最有助于制定关键IT风险指标？
A.通过面谈了解关键利益相关方关注的问题
B.对照同行业的同类企业进行基准检测
C.对过去三年执行的风险评估进行结果分析
D.对影响IT目标实现的风险进行分析

Answer 50

D是正确答案。
理由：
A.通过面谈了解关键利益相关方关注的问题，或许能够提供额外的
依据信息来分析影响IT目标实现的风险。
B.基准检测可以提供额外信息，有助于分析影响IT目标实现的风
险。
C.分析过去三年执行的风险评估或许能够提供额外的依据信息来分
析影响IT目标实现的风险，但不能保证识别出当前所面临的风
险。
D.由于IT目标源于业务目标，因此通过对影响IT目标实现的风险
进行分析，能够以最佳方式设定关键风险指标