2.Governance and Management of IT(17%) Flashcards
(222 cards)
1
Q
1."IT控制目标对信息系统审计师是有用的,因为他们提供了对于下列哪项的基础: A.实施具体的控制程序的期望结果 B.对特定实体最好的IT安全控制措施 C.安全信息技术 D.安全策略"
A
A 一个IT控制目标是,在一个特定的IT活动中通过实施控制程序达到预期的结果或目标的声明定义。控制目标为实施控制提供了实际目标,这个方法未必是最佳的做法。技术是实现一个目标的手段,而安全策略是控制目标的子集。
2
Q
2."一位IS审计师正在审查意向合同管理流程,以确定一家参与关键业务应用程序的软件供应商是否具备应有的财务实力。IS审计师应确定考察的供应商是否: A.能够按照短期合同进行交付 B.具备与组织同等的财务状况 C.有很重的财务负担,可能会殃及组织 D.能够为组织提供长期支持"
A
D 供应商的长期财务实力对于为组织带来最大价值是十分必要的—财务稳健的供应商能够成为长期的业务合作伙伴。为企业提供支持的组织,其实力不应局限于合同执行期内。财务评估目标不应限定在短期合同以内,而是应该在长期基础上提供保障。供应商的具体财务状况不是主要的考察对象。
3
Q
3."企业在公司内部建立了数据中心,但将它的主要财务应用系统的管理外包给其他公司。要确保外包公司的员工是否遵守公司的安全策略,下面那一项控制是最好的? A.要求所有用户在合公司的安全策略上签字表示保证遵守。 B.在与服务商签订的外包合同中规定赔偿的条款。 C.对所有用户实施强制性的安全意识培训。 D.应该由第三方用户修改安全策略,满足其合规性"
A
B 让服务供应商签署赔偿条款能确保符合企业的安全策略,因为只要发现任何违规行为,都将导致服务供应商承担财务(经济)责任。这也促使企业去监控违规行为。选项A和C也是不错的实践,但是这把遵守责任的义务放在了单个用户身上。选项D不确保用户遵守策略,除非很好的和用户沟通过策略并且提供了安全意识培训。
4
Q
4."在审查与外部IT服务提供商签订的服务级别协议(SLA)时,IS审计师应考虑的最重要问题是以下哪一项 A.支付条款 B.正常运营时间保证 C.赔偿条款 D.默认解决方法"
A
B SLA最重要的一条就是可度量的绩效条款,如正常运行时间协议。尽管支付条款、赔偿条款和违约解决条款都很重要,但这几项通常都包含在主协议中,而不是SLA中。
5
Q
5."审计师发现某企业将软件开发工作外包给一个刚成立的第三方公司。要么确保企业的软件投资得到保护,审计师应该提出哪一个建议? A.应对软件供应商实施尽职调查 B.应对软件供应商设施实施季度审计 C.应签署源代码第三方托管协议 D.应在合同中包含一个高额的违约罚金条款"
A
C 签署源代码第三方托管协议是一个能保护企业在软件中投资的主要建议,因为这样源代码由科信的第三方托管,即使此第三方倒闭或者软件公司倒闭的话,仍然可以收回源代码。审慎尽责、季度性的审查供应商的设施以及合同中包含赔偿条款都是好的实践,不过他们并不确保源代码的可用性。
6
Q
6."下列情况适用于软件托管协议? A.系统管理员需要访问软件,以便从灾难中恢复 B.用户请求重新在一块换过的硬盘上加载软件 C.定制化编写的软件供应商停业 D.IT审计师需要访问由组织编写的软件代码"
A
C 托管是一个软件供应商和客户之间的软件,以保证访问源代码的法律协议。应用的程序源代码是一个信任的按合同办事的第三方提供。这项协议在软件供应商倒闭的事件中是必需的,与客户或软件供应商有合同纠纷而且没有作为一个软件许可协议中承诺的维持软件更新。其它选项是不正确的,因为访问的其他情形的软件应该由一个内部管理的软件库提供的。
7
Q
7."在一次关于外包的可行性研究中,信息系统审计师对供应商的业务连续性计划(BCP)进行评审是为了: A.评估供应商是否能够连续的提供充足服务的水平 B.评估服务商财务稳定并有能力执行合同 C.评审供应商的工作人员的经验 D.测试BCP"
A
A 一个外包环境中,成功的关键因素是供应商面对突发事件的应急能力。选项BC是不正确的,因为他们既不是金融的稳定性也没有相关经验的供应商的BCP。选项D不正确,因为IS审计师不需要实质性测试评价BCP。
8
Q
8."一个信息系统审计师审核IT设施的外包合同,预期它来定义 A.硬件配置 B.访问控制软件 C.知识产权的所有权 D.应用系统开发方法"
A
C 其中的选择,硬件配置和访问控制软件,一般与功能,可能性和安全性长期不相关都可能受影响,这是具体的合同义务。同样开发方法应该没有真正的关注,然而该合同必须指定拥有的知识产权所有权(即信息在处理处理中,应用程序)。知识产权所有权将有一个显著成本,在一个外包合同中规定是一个重要方面。
9
Q
9."当一项服务被外包后,下列哪项功能对信息系统管理是最重要的? A.确保发票支付给供应商 B.参与到和供应商一起的系统设计中 C.重新谈判供应商的费用 D.监控外包商的绩效"
A
D 在一个外包环境,公司视服务供应商的表现而定。因此,关键是对外包供应商的表现进行监测,以确保交付给公司的服务符合要求。付款发票是一种融资功能,这将是每个合同都要求完成的。系统设计参与是一种监测外包供应商的业绩的副产品,而重新谈判的费用通常是一次性的活动。
10
Q
10."为了降低成本,提高服务水平,外包商应寻求下列哪些合同条款? A.操作系统(OS)和硬件的更新频率 B.分享收益的绩效奖金 C.对违规的处罚 D.和可变成本指标挂钩的费用"
A
B 因为外包商将分享所取得的收益,绩效奖金为了这些超出合同的规定条款并且能够导致节约客户成本提供一个财务奖励。更新的频率和违规的罚则,只会鼓励外包商去达到最低要求。同样,试着收取变动成本指标不会鼓励外包商寻求可能有利于客户额外的效率。
11
Q
11."当一个组织外包他们的信息安全功能时,以下哪一项应保留在该组织中不被外包? A.企业安全的问责制 B.企业安全策略定义 C.企业安全策略实施 D.安全程序和指导方针"
A
A 问责制不能转移到外部,但是选项AB和D可以通过外部实体进行,只要问责是保持在该组织内。
12
Q
12."一个信息系统审计师被分配去审核IT架构和审查最近外包给不同供应商的活动。信息系统审计师应该首先解决哪一项? A.审计条文在所有合同条款中存在 B.每一项合同的服务水平协议(SLA)应当与适当的关键绩效指标(KPI)成立 C.供应商的合同保证支持开组织的业务需求 D.在合同终止时,支持是保证每个新的外包商"
A
C 由责任跟担保的复杂性和相互作用引起复杂的IT结构,可能会影响或丧失这些担保的有效性以及确定合理的业务需求,所以其他的选项很重要,但不是潜在的外包合同的责任和关键领域的各种互相作用的危险。
13
Q
13."对于IT服务外包,一个信息系统审计师应当最为关注的是下列哪些? A.外包活动是组织提供差异化服务的核心优势 B.定期重新谈判卸载外包合同中 C.外包合同不能覆盖所需的一切行动 D.类似的活动外包给一个以上供应商"
A
A 一个组织的核心活动,一般不应外包。因为它们是组织能做的最好的事。信息系统审计师应指出予以关注信息系统审计师不应关注的其他情况,因为在外包合同中定期重新谈判是一个最好的规范做法。外包合同不能指望涵盖所有的行动和有关各方面预计的细节,而来源多样化是一个可以接受的方式来降低风险。
14
Q
14."在进行一项服务供应商的审计中,信息系统审计师认为,一个服务提供商提供了一个外包的部分工作给另一个供应商。由于工作涉及机密信息,信息系统审计师主要关注的应该是: A.保护信息机密性的需求可能会大打折扣 B.可提前终止合同,因为外包商事先未获得批准 C.其它服务供应商为其工作,已经外包的不受审计 D.外包商会接触其它服务提供者直接的进一步开展工作"
A
A 许多国家已制定法规来保护保密的信息要保留在各自的国家和/或与其它国家交换。当服务供应商,其服务的一部分外包给其他服务提供商,有另一个潜在的风险,即信息的保密性将受到损害。选项B和C可关注,但都没有关系能确保信息的保密性。信息系统审计师没有什么理由会选择D。
15
Q
15."作为辅助资产管理的最佳信息源,以下哪个是具有一定法律保障? A.安全事件摘要 B.供应商的最佳实践 C.CERT计算机网络应急技术处理协调中心 D.重大合同"
A
D 合同需要被咨询以确定信息资产管理的来源。供应商的最好做法是提供了一个如何评估企业的竞争力,而安全事件摘要是评估了IT基础设施相关的漏洞。CERT的网站使用于评估在IT基础设施中漏洞的信息来源。
16
Q
16."一个组织外包了帮助平台。一个信息系统审计师在审查合同和相关服务协议(SLA服务级别协议)和供应商之间的组织的规定时,最关心的应为: A.工作人员背景调查的文件 B.独立审计报告或安全审计调查 C.报告每年增量成本减低 D.报告人员更替,发展或培训"
A
B 当一个部门的职能被外包,一个信息系统审计师应确保经费用于独立的涵盖所有重要领域的审计报告,或是外包商的访问取得了全面审计。尽管人员的背景调查文件进行检查是必要的,但这不是重要的审计。财政措施有一个服务水平协议,例如增量成本的降低是可取的,但降低成本都不如独立审计报告或提供完整的审计调查重要。一个SLA可能包括诸如资源规划,员工流失率,发展或人才培训相关措施,但这不如独立报告,也没有外包机构准入条件的全面审核重要。
17
Q
17."当一个组织外包客户信用审核系统给第三方,信息系统审计师考虑最重要的是下列供应商的哪一个? A.达到或超过行业安全标准 B.同意受外部安全审查 C.有经验的服务和良好的市场信誉 D.符合该组织的安全策略"
A
B 至关重要的是外包供应商是独立性的安全检查,因为获得客户的信息将被保存在那里。安全标准或组织的政策法规是重要的。但没有办法验证或证明,这就是没有一个独立的审查的情况。虽然在长期的业务经验和良好的信誉是一个重要的因素来评估服务质量,但企业不能外包给一个气安全控制薄弱的供应商。
18
Q
18."IT 平衡记分卡(BSC)是业务治理工具,旨在监控IT绩效评估指标而不是? A.财务业绩 B.客户满意度 C.内本流程是效率 D.创新能力"
A
A 财务业绩传统上一直是唯一的整体性能指标,在IT平衡记分卡(BSC)是一个在IT业务治理工具,有助于监控IT绩效评估指标出了财务业绩。IT平衡记分卡考虑了其他的关键的成功因素,如客户满意度,创新能力和处理。
19
Q
19."实施IT平衡记分卡(BSC),一个组织必须: A.提供有效和高效的服务 B.定义关键绩效指标 C.提供商业价值的IT项目 D.控制IT开支"
A
B 一个关键绩效指标的定义之前,需要实施一个IT平衡记分卡选项ACD是目标。
20
Q
20."为了帮助实现IT和业务相一致的管理,信息系统审计师应该建议使用: A.控制自我评估CSA B.业务影响分析BIA C.IT平衡记分卡BSC D.业务流程再造BRC"
A
C IT平衡记分卡提供了一个IT目标和业务目标之间的桥梁,通过补充传统财务评价的措施来衡量客户满意度,内部流程和创新实力。控制自我评估,经营影响分析和业务流程重组是不足以IT跟组织的目标相一致,在这个题目中知识点“CSA,BIA,BSC,BRC”代表了什么我们必须熟记。
21
Q
21."以下哪项是一个IT绩效测量过程的主要目标? A.最小化错误 B.收集绩效数据 C.建立绩效基线 D.优化绩效"
A
D “一个IT绩效测量过程可用于优化绩效,测量和管理产品/服务,确保问责制,,并作出预算决定,尽量减少错误是绩效的一方面,但不是绩效管理的首要目标。收集绩效数据是IT衡量过程的一个阶段,被用于评估以前建立绩效基线。
附:绩效测量,关注确保所有IT资源向业务交付既定价值,也在早期识别风险。该流程是基于绩效指标的,他们为价值交付而设定,任何对其显著地偏离将导致重大风险。”
22
Q
22."为了获得一个组织的规划和IT资产投资的有效理解,一个信息系统审计师应该审查? A.企业数据模型 B.IT 平衡记分卡(BSC) C.IT组织结构 D.历史财务报表"
A
B IT平衡计分卡是一种工具,通过传统的财务评价补偿措施提供了IT目标和业务,目标之间的桥梁,用以衡量客户满意程度,内部流程和创新能力。企业数据模型是一个文件,它定义了一个组织的数据结构和数据如何相互关联的。它是有用的,他并没有提供投资信息,IT组织结构提供了一个在IT实体的功能和报告关系的概述。历史的财务报表不提供有关规划信息,不够详细来使得一个人来完全读懂IT资产方面的活动。过去的成本并不一定反应价值,例如资产的数据就没有体现在账目张。
23
Q
23."作为IT治理的掌舵者,对IT的成本,价值和风险清楚地了解主要是通过? A.绩效测量 B.战略调整 C.价值传递 D.资源管理"
A
A 绩效测量包括制定和检测IT进程需要提供(过程和结果)以及如何提供(过程能力和性能)的可计量的目标。战略调整主要集中确保业务联系记忆IT计划。价值传递是关于执行整个周期的价值主张。资源管理是关于最佳投资和关键IT资源管理。而清晰的了解主要是通过绩效测量因为与其他项相比它为利益相关者如何管理好企业提供了信息。
24
Q
24."为使业务和IT之间形成战略一致性,下面哪一个是最好的促成因素? A.成熟度模型 B.目标和指标 C.控制目标 D.RACI(执行人、责任人、咨询人和被通知人)表格"
A
B 目标和指标能确保IT目标是基于业务目标的,并且是战略一致性最好的促成因素。成熟度模型能评估当前的过程能力并能用于过程改进,但他们不能直接的用于战略一致性。根据业务需求,控制目标能促进相关流程的控制实现。RACI表格是用于给职业分配责任的,并不用于保证战略一致性。
25
```
25."审查信息安全政策时,以下哪个选项令IS审计师最为关注?该政策:
A.在IT部门目标的推动下设立
B.公开发布,但未要求用户阅读政策
C.不包含信息安全流程
D.已超过一年没有更新"
```
A 信息安全政策在业务目标的推动下设立,所以IT部门的目标也在业务目标的推动下设立。各种政策应以书面形式记录,这样用户就可以了解每项政策,员工应能够非常方便的获取这些政策。政策中不应包含工作流程。制定工作流程有助于遵守组织的政策。政策应每年审查,但不一定要每年更新,除非环境发生了重大改变,例如颁布了新的法律、规则或法规等。
26
```
26."审查信息安全政策的制定时,IS审计师的主要关注点应放在确保这些政策
A.针对全球普遍接受的行业最佳做法进行了调查
B.得到了董事会和高层管理人员的批准
C.在业务和安全要求之间取得了平衡
D.对执行安全程序提供了指导"
```
C 信息安全政策首先必须根据组织的目标进行调整。公司应根据自己的业务目标采用最佳做法。政策获得批准时必要条件;但这不是政策制定期间的主要关注点。如果没有根据业务要求进行调整,政策就无法提供指导。
27
```
27."一个信息系统审计师验证IT策略发现有些策略还没有得到管理层的批准(策略要求的),但员工严格按照策略执行。审计师首先应该怎样做?
A.因为员工遵循策略,忽视没有管理层的批准
B.建议马上有由管理层批准该策略
C.强调管理层审批的重要性
D.报告未经批准的文件"
```
D 信息系统审计师必须报告调查结果。未经批准的策略,是组织的潜在风险,即使策略被遵守,但因为这可以技术上防止管理层面临一些法律问题。例如,如某些雇员违反了公司的策略而被解雇,但发现该策略没有的得到批准,该公司可能会面临昂贵的诉讼。虽然审计师可能会建议策略应尽快被批准,也可以提出这个问题的关键性,但首先是将问题告知利害相关方。
28
```
28."下列那一项的开发时,高级管理层的参与是最重要的?
A.战略计划
B.信息系统策略
C.信息系统程序
D.标准和指南"
```
A 战略计划为确保企业能够达到预期目标和目标的基础。高级管理人员的参与是关键,以确保该计划充分满足了既定的目标和目的。IS程序,标准和准则都是用以支持整体的战略计划的结果。
29
```
29."在评估一个组织的信息系统策略时,信息系统审计师认为下列哪项是最重要的?
A.已被一线经理批准
B.不会因信息系统部门的初步预算而改变
C.符合采购程序
D.支持该组织的业务目标"
```
D 战略规划设置企业或部门目标为行动。长期和短期的战略规划应当与组织更广泛的计划和可实现的商业目标相一致。选项A是不正确的,因为前线管理者已经编制了计划。
30
```
30."信息系统审计师审核的是一个组织的IT战略计划,首先应该评审:
A.现有的IT环境
B.商业计划
C.目前的IT预算
D.目前的技术趋势"
```
B IT战略计划的存在是为了支持该组织的业务计划。评估的IT战略规划,信息系统审计师首要做的。
31
```
31."在评审信息系统战略时,信息系统审计师能最好的评估信息系统策略是否支持组织的业务目标通过决定IS是否:
A.拥有所有的人员和设备的需求
B.计划与经营战略相一致
C.是他的设备和人员的效率有效
D.有充足的能力,以应对不断变化的方向"
```
B 确定IS计划与管理策略有关的IS/IT规划以业务计划是否一致,选项ACD是对于确定IS计划与业务目标和成本组织战略计划相一致的有效方法。
32
```
32 "自下而上的方法来开发组织的策略的优势是策略能够:
A.把组织作为一个整体开发出来
B.更能是来源于风险评估的结果
C.不会和整体组织的策略产生冲突
D.确保整个组织的一致性"
```
B 通过定义业务级别的要求和策略从自下而上的方法开始,这是由于风险评估被衍生和实施的结果。企业级别政策是以一个现有的综合经营政策为基础制定的。选项AC和D是通过自上而下方法是发展组织策略的优点。这种方法确保这些策略将不会与整体公司策略冲突,并确保整个组织的一致性。
33
```
33 "技术变化的速度增加,重要的是:
A.外包的信息系统功能
B.实施执行正确的流程
C.雇佣合格的人员
D.满足用户要求"
```
B 技术变化要求实施和执行良好的变动管理流程。外包的信息系统功能没有直接关系到技术变革的速率。个人在典型的IS部门都是高素质和受过教育的,通常他们并不觉得自己的工作受到威胁,并准备频繁的跳槽。虽然满足用户的需求是重要的,但是他不直接关系到IS环境技术变革的速率。
34
```
34 "一个信息系统审计师发现,并非所有的员工对企业的信息安全策略都很了解。信息系统审计师应该得出这样的结论:
A.这种知识的缺乏可能会导致敏感信息意外泄漏
B.信息安全不是对所有业务功能都重要
C.信息系统审计应提供对员工安全培训
D.审计发现将导致管理层提供持续员工培训"
```
A 所有员工应知道企业的信息安全策略,以防止意外泄漏敏感信息。培训是一种预防性控制。员工对安全的意识,可以防止敏感信息意外泄漏给外人。
35
```
35 "预期在组织的战略计划中发现下列目标?
A.测试新的会计包
B.执行信息技术的评估
C.在未来的一个月内实施一个新的项目计划系统
D.成为提供产品的供应商的机会"
```
D 战略规划设计经营中的企业或部门的目标,综合规划有助于确保有效和高效的经营。战略规划是以时间和项目为导向,但也必须正视和帮助确定优先次序,以满足业务需求长期和短期计划应与组织更广泛的实现自己的目标想一致。选项D代表业务目标,目的是把重点放在了业务的整体方向,从而成为该组织战略计划的一部分。其他的选项只是以项目为向导,不符合业务目标。
36
```
36 "以下哪一项应包括在组织的系统安全策略中?
A.一个关键的需要安全保护的IT资源清单
B.用于访问控制授权的基础
C.具有敏感安全特性的个体
D.相关软件的安全特性"
```
B 安全策略提供了广泛的安全框架规定,并由高级管理层批准。它包括授权访问和授予访问权限的基础。选项AC和D比在策略中需要提供的更详细。
37
```
37 "成功实施和维护一个安全策略,最关键的是?
A.由恰当的相关方一起撰写框架
B.管理层支持和批准实施和维护安全策略
C.任何违反安全规则的惩罚性行动来强化信息安全规则
D.通过访问控制软件来严格执行,检测安全管理人员所执行的规则"
```
A 统一的框架和用户系统的书面安全政策的目的是实现和维护安全政策的成功关键。一个好的密码系统可能存在,但如果该系统的用户把自己的密码保存在办公桌上,密码是没有多大的意义。管理层的支持和承诺,毫无疑问是重要的,但成功关键是实施和维护安全策略。由安全人员访问控制软件的规则,和对于违反安全规则的规定将被严格执行和监督,还需要对用户进行安全重要性的教育。
38
```
38 "一个全面和有效的电子邮件策略应解决电子邮件的结构,策略,执行,监测和什么的问题:
A.恢复
B.保留
C.重建
D.重用"
```
B 除了是一个很好的做法,法律和法规规定也许会要求组织保存关于财务报表方面的信息。那些电子邮件通信是作为与经典“纸”的形式相同,举行正式常规诉讼,使得企业电子邮件的保存是必要的。在一个组织的硬件产生的所有电子邮件是该组织的财产,以及电子邮件策略应保留邮件地址,同时考虑到已知的和不可预见的诉讼。该策略还应该在指定时间保护自然和自身的消息后处理已受损的电子邮件。解决电子邮件的保留问题的策略将有利于邮件的恢复,重建和再利用。
39
```
39 "一个组织里面已经定义了IT安全基线,信息系统审计师应首先确保:
A.实施
B.遵守
C.文档化
D.充分性"
```
D 一个信息系统审计师应先评估,确保充分的控制最低基准水平的定义。文档化,执行和遵守是进一步的步骤。
40
```
40 "建立一个信息安全体系的最初步骤是:
A.开发和实施信息安全标准手册
B.由信息安全审计师实施的全面的安全控制评审
C.企业信息安全策略声明
D.购买安全访问控制软件"
```
C 一个策略声明,反映了目的和执行适当的安全管理所提供的支持,并建立了发展安全计划的出发点。
41
```
41 "以下哪一项降低了社会工程学攻击的潜在影响?
A.符合法规要求
B.提升道德
C.安全意识计划
D.有效地绩效激励机制"
```
C 因为社会工程学是以用户的欺骗为基础,最好的对策或防御是安全意识教育。其他的选项都不是以用户为中心。
42
```
42 "下面哪一项提供了最好的证据,关于安全意识教育程序是充分的?
A.利益相关者,包括各级员工培训
B.利益覆盖整个企业的所有地点
C.不同厂商安全设备的实施
D.定期审查和最佳实践比较"
```
D 通过确定是否定期进行安全审查和跟行业进行比较的最佳做法来评估充分的安全意识的内容,选项AB和C提供了安全意识程序的各个方面的指标,但对评估的内容没有帮助。
43
```
43 "为组织政策开展的自上而下的方法有助于确保?
A.它们在整个组织中保持一致
B.它们作为风险评估的一部分被实施
C.遵守所有政策
D.它们会被定期审查"
```
A 由组织的政策推导出较低层次的政策(自上而下方法)有助于确保整个组织内部以及与其他政策的一致性。自下而上业务政策发展方法可以得出风险评估的结果。自上而下的方法,对其本身并不能保证遵守而这个开展也不确保政策被审查。
44
```
44 "在审查IT战略规划过程中,信息系统审计师应确保该计划?
A.采用最先进的技术
B.解决了所需的操作控制
C.阐述了IT的使命和愿景
D.指定项目管理实践"
```
C IT战略规划必须包括对IT的使命和远景、明确阐述。该计划无需处理技术、运行控制或项目管理实践等问题。
45
```
45 "下面那一个是评估一个组织的安全意识培训评估标准?
A.高级管理层意识到关键信息资产,并发表了他们对足够的保护的关注
B.工作描述包含的信息安全责任制的声明
C.按照风险和业务影响度的规定,有足够的资金用于安全
D.没有实际发生的事情以造成的损失或公共事件"
```
B 安全责任的岗位描述中包括了一个安全培训的形式,并有助于确保工作人员和管理层在信息安全方面的认识。其它三个选项都没有安全意识的培训评估标准。意识是重要的评价标准,体现高级管理层对信息安全的重视。资金是评价安全漏洞是否被解决的辅助标准。对已发生的事件数量是评价风险管理计划是否充足的标准。
46
```
46 "信息系统审计师在检查一个软件报告时发现一个实例中,一个放在雇员办公桌的重要文件被外包的清洁员扔进了垃圾桶。以下哪项是审计员要建议的?
A.应对组织和保洁机构实施更严格的控制
B.不需要采取任何行动,因为这些事件并没有在过去发生过
C.一个清洁办公桌策略应该被实施并严格强制在组织实施
D.一个良好的对所有办公文件备案的策略应该得到实施"
```
A 一个员工离开,其办公桌上有重要文件。清洁人员清除它可能会导致对业务造成严重影响。因此,审计师应建议严格控制本组织和外包机构。这类事件没有发生在过去,并不能减少其影响的严重性。实施和检测一个清洁桌面策略只是这个问题的一部分,与清洁机构签订保密协议,同时确保清洁人员在清洁过程中该做的和不该做的注意事项的教育,同时也应实行相应的管制。这里的风险不是数据流失,认识未授权数据源的数据泄露。备份策略并没有解决,未授权的信息泄露问题。
47
```
47 "一个信息系统审计师正在审查一个项目:银行和支行支付系统时,信息系统审计师首先应该验证:
A.两家之间的支付平台的互操作性
B.总行作为一个服务提供商的总权
C.安全功能到位可以分割支行的交易
D.支行可以加入并作为共同拥有该支付系统的人"
```
B 即使是银行与分行之间的关系,应当在合同约定的地方进行共享服务。这对银行监管组织是重要的。除非被授予作为服务提供商,否则他可能不能合法的为银行扩展业务。技术方面应该始终考虑,但这可能是在确认总行可以作为一个服务提供者。安全方面的一个重要因素,但这应该是在确认总行可以作为服务提供方后。该支付系统的所有权对是否是法律授权经营的不重要。
48
```
48 "在审查企业的IT战略规划时,信息系统审计师应该会发现:
A.评估该组织具有业务目标的应用程序组合是否合适
B.以行动来降低硬件采购资本
C.一个对IT 合同资源认可的供应商列表
D.一个组织的网络边界安全的技术体系结构的描述"
```
A 如何评估一个组织良好的应用程序组合,来支持该组织的业务目标是一个整体的IY战略规划过程中的重要组成部分。IT需求方的规划驱动并转换成一个IT战略意向图。然后可以进一步评估如何取得良好的整体IT组织,包括应用,基础设施,服务,管理流程等。这些能够支持业务目标。运行效率的倡议属于战术规划,而不是战略规划。一个IT战略计划的目的是阐述将如何实现或支持企业的经营目标。一个对IT合同资源支持的供应商的列表是一个战术,而不是一个战略问题。一个IT战略规划通常不会包括具体的技术架构和细节。
49
```
49 "当开发一个安全架构时,以下步骤首先应该执行的是:
A.开发安全程序
B.定义安全政策
C.指定一个访问控制方法
D.定义角色和职责"
```
B 定义信息及关联技术安全政策是建立一个安全架构的第一步。安全政策传达了一个连贯的安全标准对于用户,管理和技术人员。安全策略通常会定出在什么阶段的工具,程序是组织需要的。其他的选项应该在定义一个安全策略后被执行。
50
```
50 "信息系统审计师发现根据信息系统策略,一个被终止用户的ID应在90天内停用。IS应:
A.报告控制在有效运行以来,所发生的停用时限是在信息系统策略规定的时间框架内
B.确认已被授予应有的访问权限的用户
C.建议修订信息系统策略,以确保用户ID在终止时停用
D.建议定期对已被终止的用户的活动日志,进行审核"
```
D 根据信息安全策略,应跟踪审核终止用户的活动日志,确认策略得到有效执行。
51
```
51 "以下哪项提供了设计和开发逻辑访问控制的框架?
A.信息系统安全政策
B.访问控制列表
C.密码管理
D.系统配置文件"
```
A 有组织高级管理人员制定并批准的信息系统安全政策是设计和开发逻辑访问控制的基础。访问控制列表、密码管理和系统配置文件是用于实施访问控制的工具。
52
```
52 "一家服务提供商参与了一个涉及保密信息的政府项目,在为其执行IS审计时,IS审计师注意到该服务提供商将部分IS工作委派给了一家子承包商。以下那个选项最能确保保护信息机密性的要求都得以满足?
A.月度委员会会议中有子承包商方面的IS经理参加
B.管理层每周审查子承包商提交的报告
C.政府机构许可合同事项
D.对子承包商的工作指派定期独立审计"
```
D 定期独立审计能够合理保证,对保护信息机密性的各项要求没有被降低标准。委员会例行会议是监控委派任务的不错办法;但是,独立审查能够提供更好的保证。管理层不应仅仅依赖承包商自己报告的信息。获得政府机构的许可与确保信息机密性无关。
53
```
53 "企业正在评估采用云计算和WEB虚拟化,而不是为开发环境构筑一个新的IT基础设施架构,审计师最需要关注什么?
A.尚未对类似项目的基准指标进行考虑
B.尚未咨询安全人员的意见
C.尚未建立项目的业务案例(大方向!!!!!)
D.已设计的技术体系没有考虑硬件的节约"
```
C 任何的IT投资,都总是要在业务用例中写清楚与之相关的利益和投资回报率(ROI),以便由管理部门共享并获得批准。所有的IT投资都必须支持业务。基准指标是一个好的参照,但是不足以说明这个IT投资的优点。安全人员可能会涉及到决策过程并且参与业务用例的定义,然而,在这种情况下更重要的是,定义明确的涉及所有利益相关者的业务案例。评估硬件的节约是业务用例的一部分,并且仅仅提供了有关投资回报率的一部分信息。另外,并不仅仅是硬件才要节约,包括IT维护和操作人员、软件在内的所有资源都需要节约。
54
```
54 "下列哪些因素是最合理的需要增加额外的信息安全责任分配给用户?
A.由最终用户分发的更大量的数据
B.业务流程更加依赖于IT流程
C.近年来安全技术取得了很大进展
D.IT组织中一般有一个精干的工作人员"
```
A 由最终用户以较少的创建和参与的数据分布在中央的IT组织是一个最相关的因素,要求用户必须更负责人和通知有关安全问题。虽然业务流程更加依赖于IT流程,使IT流程更重要,这并不影响治理和最终用户的扩散。对安全技术的进步以使某些安全责任分配到终端用户,如用户的自主服务密码重置系统。但这些技术并没有明确改变IT安全最终用户的角色,一般IT人员的限制已经由于技术的完善得于补充,所以这不是正确答案。
55
```
55 "有效的IT治理将确保IT计划与组织的什么相一致?
A.商业计划
B.审计计划
C.安全计划
D.投资计划"
```
A 为了有效地IT治理,IT和业务应朝同一方向进行,要求的IT计划与组织的业务计划相一致。审计和投资计划不是IT计划的一部分,而安全计划应在同一层面。
56
```
"谁对IT治理主要负责?
A.首席执行官(CEO)
B.董事会
C.IT 指导委员会
D.审计委员会"
```
B IT治理主要是对管理人员和股东(由董事会代表)的责任。CEO是在董事会的指示中起IT治理的作用。IT指导委员会负责监控,并促进支持计划中具体项目的IT资源分配。审计委员会向董事会报告,并应检测审计建议的执行情况。
57
```
57 "下列哪一个是成功的实施IT治理的最重要的组成部分?
A.实施一个IT记分卡
B.确保组织战略
C.执行风险评估
D.创建一个正式的安全策略"
```
B IT治理方案的主要目标是支持业务,从而确定了组织的战略是必要的,以确保IT与公司治理保持一致。如果没有确定组织战略,剩下的选项即使被实施也将是无效的。
58
```
58 "作为信息安全处理的结果,战略一致性将提供:
A.以企业需要驱动的安全需求
B.遵循最佳实践的安全基线
C.制度化和商品化的解决方案
D.对风险暴露程度的认识"
```
A 信息安全治理,当被正确执行时,应提供四项基本成果:战略一致性,价值交付,风险管理和绩效评估。战略一致性为企业需求推动的安全需求提供资源输入。价值交付提供了一套安全实践的标准做法,即遵循最佳实践的安全基线或制度化或商品化的解决方案。风险管理提供了一个风险的认识。
59
```
59 "以下哪项IT治理是做法可以提高战略一致性?
A.供应商和合作伙伴的风险管理
B.对客户,产品,市场和流程的知识理解到位
C.提供一个有利于创造和共享商业信息的架构
D.高层管理人员在业务和技术之间协调"
```
D 高层管理人员在业务和数据之间协调是指一个IT战略一致性的最佳做法,对供应商和合作伙伴的风险进行管理是一种风险管理的最佳做法,对客户产品市场和流程的知识理解到位的知识基础,是IT价值交付的最佳选择,提供一个有利于创造和共享商业信息的架构是IT价值交付和风险管理的最佳方法。
60
```
60 "有效的IT治理需要组织的架构和流程,确保:
A.该组织的战略和目标扩充IT战略
B.经营战略是来自IT战略
C.IT治理是独立和有别于整体的治理
D.IT战略支持了组织的战略目标"
```
D 有效的IT治理需要董事会和执行的管理层扩大对IT的治理,并提供领导,组织架构和流程确保该组织的IT维护并支持本组织的战略和目标,而这个战略与业务战略保持一致。选项A.不正确,因为它是由组织目标扩展的IT战略,并非相反的。IT治理不是单独的纪律,他必须成为整个企业管理的组成部分。
61
```
61 "在组织实施时,一个组织的IT治理框架最重要的目标是:
A.IT与业务的一致性
B.问责制
C.IT价值实现
D.加强IT的投资回报"
```
A IT治理的目标是提高IT绩效,以提供最大的商业价值,并确保合规性。实现这些目标的关键做法是IT与业务(选择的)保持战略一致性。为了实现战略一致性,所有其他的选项需要与业务和策略绑定在一起。
62
```
62 "IT治理的最终目的是?
A.推动优化利用IT
B.降低IT成本
C.在整个组织中分散IT控制
D.集中的IT控制"
```
A IT治理是为了指定对企业最好的决策权和责任组合。这是每个企业的不同。降低IT成本可能不是一个企业的最佳IT治理的成果。分散IT组织资源并不总是需要,但他可能是在权利下放环境中所需。集中的IT控制并非总是需要的。
63
```
63 "组织管理者落实公司治理主要目标是:
A.提供战略方向
B.控制业务动向
C.配合企业IT
D.实施最佳实践"
```
A 公司治理是一系列的管理实践从而提升战略方向,进而确认目标是可达到的,风险得到了妥善的解决以及组织的资源得到了适当应用。因此,公司治理的主要目标是提供战略方向。基于战略方向使业务得到指导和控制。
64
```
64 "从一份与IT相关的投资业务中所获得的直接利益是个什么例子?
A.提高声誉
B.提高员工士气
C.新技术的使用
D.市场占有率的提高"
```
D 综合业务在对于任何与IT相关的投资业务提议的情况下,应该由明确的商业利益。用以计算出预期收入,这些利益通常分为两类:直接和间接的。直接利益通常包括,新系统预计将可量化的经济利益。而增强信誉,提高员工士气的潜在利益是难以量化的,但应尽可能地量化。投资IT 不应只是为了为了新技术的缘故,而是应以可量化的业务需求。
65
```
65 "信息系统审计师鉴定分别由财务和市场部门作出的产品盈利能力分析报告,得出不同的结论。进一步的调查结果显示,该产品的定义在这两个部门是不同的。审计师应该建议?
A.投入生产前为各种报告而做出的用户验收测试(UAT)
B.组织数据治理实践是否到位
C.用于报表开发的标准软件工具
D.管理层签署的关于新报告的要求"
```
B 这一选择直接解决了问题,一个组织内部的方法需要达到的数据资产的有效管理、这包括数据元素执行,这是一个数据治理计划一部分的标准定义、其他的选项,都不是解决问题的根本原因。
66
```
66 "以下哪一项在实施风险管理时应首先考虑?
A.对组织的威胁,脆弱性和风险状况的了解
B.对接受的风险和潜在的后果的理解
C.基于潜在的后果确定的风险管理重点
D.一个风险后果保持在可接受的水平的风险缓解策略"
```
A 实施风险管理,作为有效的信息安全治理成果之一,第一步需要对组织的威胁,脆弱性和风险状况有全面的了解。在此基础上,才能确定了解风险暴露和接受的潜在影响。之后,重点基于潜在后果的风险管理便可以得到发展。这将提供一个能保持风险后果与可接受水平的基于风险缓解的战略依据。
67
```
67 "在缺乏有效的信息安全治理的背景下,价值传递的主要目标是:
A.支持业务目标优化安全投资
B.实施一套标准安全实践
C.建立一个基于标准的缓解方案
D.实施一个持续改进的文化"
```
A 在缺乏有效的信息安全治理的背景下,价值传递的实施是为了确保支持业务目标优化安全投资。实施价值传递的工具和技术包括考虑到安全性的一套标准的安全做法,基于标准的制度化的解决方案,以及实现持续改进的文化的实施。而不是一个单独的事件。
68
```
68 "IT治理的责任取决于?
A.IT战略委员会
B.首席信息官(CIO)
C.审计委员会
D.董事会"
```
D 治理是由董事会和以提供战略方向为目标的执行管理行使的责任与实践,从而确保目标可以达到,确定风险被适当的管理以及核实组织资源被负责的使用。审计委员会、首席信息官、和IT战略委员会都会在同一个组织内成功的IT治理实施中扮演了重要的角色,但最终的责任在于董事会。
69
```
69 "当开发一个正式的企业安全方案时,最关键的成功因素(CSF)是:
A.建立一个审查委员会
B.创建一个安全的部门
C.有效的管理层赞助支持
D.选择一个安全过程所有者"
```
C 管理层赞助将支持该组织的战略安全计划的费用,而且将有利于在指导企业的整体安全管理活动。因此,由管理层级别的支持是最关键的成功因素(CSF)的。其它选项都没有比高层管理人员的赞助明显有成效。
70
```
70 "当审计自动化系统时,总是无法确定责任和报告途径,因为:
A.分散的控制使用所有权不相关
B.员工工作变动更加频繁
C.由于资源共享很难准确定所有权
D.随着技术的快速发展,责任经常变化"
```
C 由于数据和应用系统的分散特性,很难确定数据和应用系统的真正所有者。
71
```
71 "审查企业的项目组合时,审计师最应关心的事是:
A.不超过现有的IT预算
B.符合投资战略
C.已经获得IT指导委员会批准
D.符合业务计划"
```
D 项目组合管理应该综合考虑企业整体的IT策略,相应的,它也应该符合业务战略 。业务计划可以为项目组合中的每一个项目提供充分的理由,审计师最主要考虑的就是它。并不是每个企业都会有IT指导委员会。
72
```
72 "在评审组织的IT 治理过程中,审计人员发现,该公司最近实施了IT平衡计分卡(BSC),但是,IS审计师发现,绩效指标衡量不客观。这种情况最主要的风险是?
A.关键性能指标(KPI)不向管理层汇报和管理层不能确定平衡计分卡的有效性
B.IT项目可能成本超支
C.提供导误的IT绩效测量指标给管理层
D.IT服务水平协议(SLA)是 可能不准确"
```
C IT平衡记分卡是设置用来衡量IT绩效。为衡量业绩,以“绩效驱动”过KPI充足的数量必须随着时间的推移加以界定和衡量。如果衡量的绩效指标不客观,那么最严重的风险将是误导的业绩向管理层报告。这可能导致虚假的安全感和保证,因此,IT资源也许会错误的分配或战略决策可能是以不正确的信息为基础。无论是否正确定义绩效指标,结果都将报告给管理层。因此,选项A是不正确的答案。尽管项目管理和绩效管理问题可能造成的绩效指标没有正确定义,误导性陈述绩效管理是一个更重大的风险,因此,选项D是不正确的。
73
```
73 "一个信息系统审计师审核一家大公司的IT项目,要确定进行一年的IT项目是否就是其中已分配优先级最高的业务,带来最大的业务价值,下列什么选项是相关度最高的?
A.能力成熟度模型(CMM)
B.项目组合管理
C.配置管理
D.项目管理知识体系(PMBOK)"
```
B 组合管理的目的是协助定义,确定优先事项,批准和在一个特定的优先组织之行的项目设计。这些数据提供的数据采集,工作流和情景规划的功能,他可以帮助确定最优化的项目(从充满创意的设定)到一个给定的预算范围内推进。一个CMM并不能有助于确定最佳的投资组合的资本项目,因为它是评估者IT组织项目内部的流程的相对成熟度;从级别0开始,(不完整的程序不能执行或无法达到他们的目的)到级别5(优化,指标定义和衡量,并不断改进技术到位)。配置管理数据库(为一个组织的IT系统存储详细配置)是IT服务的重要工具,特别是变更管理。它可以提供信息、这将影响项目的优先次序,但不适用于这一项目的目的。项目管理只是体系是一个管理和项目交付的方法。它提供了在优化项目组合但无具体的指导或协议。
74
```
74 "信息系统审计师审核该企业的IT投资组合项目主要考虑的是:
A.IT预算
B.现有IT环境
C.业务计划
D.投资计划"
```
C 哪些项目获得资助的最重要原因是一是项目多大程度的达到了组织的战略目标,投资组合管理一个公司的整体IT战略观。IT战略应于企业战略相一致,因此,审核业务计划硬是主要的考虑因素。选项AB和D也是重要的,但是比审核业务计划 的重要性低。
75
```
75 "下列哪一个是信息系统审计师应该参考来制定最佳执行路线和组织战略优先次序的IT项目组合?
A.为衡量业绩定义平衡记分卡(BSC)
B.考虑有关键性性能指标(KPI)的用户满意度
C.按商业利益和风险选择项目
D.应该定义项目组合的年度进程"
```
C 给他们带来预期收入的基础效益业务,以及相关风险的优先次序,是项目组合实现组织战略的最好措施。修改的项目组合的定义过程可能会逐年提高,但只有在组合定义的过程中,目前的定义不依赖于对企业战略的意义,但因为困难是在如何维持一致,并不设置它的最初。BSC和KPI的措施是有益的,但是他们并不保证这些项目与业务战略保持一致。
76
```
76 "以下哪项更好的支持了新IT项目的优先次序?
A.内部控制自我评价
B.信息系统审计
C.投资组合分析
D.业务风险评估"
```
C 这里最可取的是对投资组合进行分析,这不仅是确定对目前的投资策略的重点,也是终止不良项目的原因。内部控制自我评价时审计可以提供的有关IT项目的优先次序的一部分。业务风险分析是投资组合分析的一部分、但本身并非是确定的IT项目优先级的最佳实践。
77
```
77 "两个组织合并后,多个由它们自主研发的遗留应用系统,都由一个新的共同平台所取代。下列哪项将是最大的风险?
A.项目管理和进度报告合并于一个由外部顾问驱动的项目管理办公室
B.更换那些没有将资源分配整合到项目组合管理办法的独立的项目
C.熟悉对方公司遗留系统的时候,组织的资源分配是缺乏效率的
D.新平台将使这两个组织在业务领域改变他们的工程流程,这将产生广泛的培训需求"
```
B 应努力确保合并后组织整体策略保持一致 。如果资源分配不集中,单独内部开发的旧应用程序项目,获取关键资源的风险比较高。在兼并后采取整合方案,是项目管理办公室里常见的形式。为了确保规划的标准化水平、信息和报告结构,对集中项目成果或资源的依赖,外部顾问的经验可以是有价值的,因为项目管理并不要求深入的系统的知识。这可以免费得到功能任务的资源,这是一个好办法,首先要熟悉的旧系统,明白需要在迁移中完成什么,来评估技术决策的影响。在大多情况下,合并导致应用程序的变化和各种组织流程发生变化,利用合并的协同效应达到预期的需求。
78
```
78 "公司呼叫中心的信息系统策略要求所有的用户都要分配给一个唯一的用户账号。如果发现不是所有的当前用户都符合此要求,下面哪一个选项是最合适的建议?
A.让运营管理人员批准当前配置
B.确保所有已存在账户都有审核轨迹
C.为所有工作人员实施独立的用户账户
D.修改信息系统的策略以允许共享账户"
```
C 在给出的场景中,最重要的建议是用户的个人账户的交易问责性。选项A和B的建议都不符合企业的策略。共享用户账户无法明确交易问责性。
79
```
79 "一家大型组织的IS审计师正在审查IS功能运行中的角色和职责情况。以下哪种角色组合最令IS审计师关注
A.网络管理员负责质量保证工作
B.安全管理员担任系统程员
C.终端用户担任关键应用程序的安全管理员
D.系统分析师担任数据库管理员"
```
B 如果个人承担多个角色,这表示出现了职责分离问题,同时也给系统带来了相关的风险。安全管理员不应担任系统管理员,因为两个职位的全县具有相关性。从职责分离的角度来看,其他的角色组合是可以的。
80
```
80 "一个IS审计部门正在计划最大限度降低其对关键个人的依赖程度。有助于实现这一目标的活动包括制定工作流程、知识共享、交叉共享、交叉培训,
以及:
A.接班计划
B.员工岗位评估
C.职责定义
D.员工奖励计划"
```
A 接班计划能够确保公司发现和培养 有潜力的内部人员,将他们提拔到关键岗位。岗位评估是指,确定公司中各个岗位的相对价值,以此为基础建立公平公正的薪酬体系的工程。员工职责定义对角色和工作职责详加定义,员工奖励计划提供各种激励手段;但两者均不可最大限度降低对关键个人的依赖程度。
81
```
81 "在一个小型制造企业,一个IT员工正在同时进行生产工作和编程工作。以下哪个是最佳的控制手段来减缓这个场景下的风险?
A.访问限制以防止该员工访问工作环境
B.雇佣更多的员工来实现职责的分离
C.自动记录在生产环境中的所有程序变化
D.相关流程来确保只有经批准的程序变更才能被实施"
```
D 那些只有经批准变更的用于核实和审查的程序才能被实施,这将会在这种情况下得到有效控制。职责分离将防止冲突的功能组合。但选项B.是不正确的,因为访问限制以防止该员工访问生产环境,除非额外的工作人员保留下来,而这对于小型企业是一个不可实现的解决办法同时也许在经济上也是不可行的。选项C是不正确的,因为在生产环境中自动记录的所有程序的变化,并不能防止未经授权的更改。
82
```
82 "一个信息系统审计师已被分配去评审组织的安全策略,下面那个问题代表最高的潜在风险?
A.该策略超过一年没有被更新
B.该策略没有修订历史
C.该策略是安全管理员批准的
D.该公司没有一个信息安全策略委员会"
```
C 信息安全策略应该有一个开发,检阅,评估的责任所有者。对安全管理员是典型的管理层任职的职位(不是管理者),他没有权利批准策略。如果没有适当的管理策略可能会产生问题,导致监管或安全问题而信息安全策略应定期更新,具体根据该组织的不同而有所不同。虽然每年评审各项策略,是一种最佳做法,但是即使策略更新的速度比较频繁,仍然具有相关性和有效性。缺乏的历史修订记录是一个问题,但但它没有缺乏管理层的批准那么严重。策略委员会并不要求制定和实施一个良好的信息安全策略。这个策略可以是由个人完成,只要这个指定的 人有适当的权利和只是去检阅和批准长期策略。虽然策略委员会从整个公司角度是一个实践,并且可能有助于编写更好的策略。但有效地策略可以由人完成,没有策略委员会不是一个问题。
83
```
83 "当审计组织的IT治理和IT风险管理框架实践,信息系统审计师发现一些未经定义的IT管理和治理的职责。以下哪条建议是最合适的?
A.审评IT与业务战略的一致性
B.在组织内实施责任的规则
C.确保独立的定期进行的IT审计
D.建立首席风险官(CRO)在组织中的职责"
```
B IT风险的管理是内嵌到企业的责任。信息系统审计师应当建议问责制实施细则。以确保所有的责任是组织内定义的。虽然IT和企业的策略一致性很重要,但在这种情况下它不直接关系到定义这个差距。同样,如果问责规则都没有明确规定和实施,过于频繁的执行审计或推荐创建一个新的角色(CRO)是没有帮助的。
84
```
84 "企业的IT风险偏好最好由谁来确定?
A.首席法律顾问
B.安全管理人员
C.审计委员会(审计委员会是审计的,是监督的)
D.指导委员会(甲方的高级管理层组成"
```
D 指导委员会是决定企业IT风险偏好最合适的部门,因为它是由高层管理人员组成的。即使首席法律顾问在策略上给出了一个法律上的指导意见,他们也不能确定风险偏好。安全管理人员关注的是安全形势,但是并不决定安全状况。审计委员会没有责任去设定企业风险承受能力或偏好。
85
```
85 "金融企业在明确划分IT战略委员会和IT指导委员会的责任时遇到困难。下面哪一个职责是最可能分配给IT指导委员会?
A.批准IT项目计划和预算
B.使IT符合业务目标
C.针对IT合规性风险提供建议
D.推广IT治理实践"
```
C 一个IT指导委员会肩负多种责任,包括批准IT项目计划和预算。选项B.C.D通常是IT战略委员会的责任,因为要给董事会提供看法和建议。
86
```
86 "缺乏最高级管理层的对IT战略规划的承诺最可能的影响是?
A.技术的投资不足
B.缺乏系统开发的方法论
C.技术和组织的目标不一致
D.对技术合同缺乏控制"
```
C 应该存在一个指导委员会,以确保IT战略支持组织的目标。没有一个信息技术委员会或者委员会不是有高级管理员组成,将出现缺乏高级管理人员的承诺,这种情况会增加,它不会与该组织的战略保持一致风险。
87
```
87 "下列哪项是信息系统指导委员会的功能?
A.监控供应商的变更控制和测试
B.确保信息处理环境的职责分离
C.审批和监管重大项目,信息系统计划和预算
D.联系信息系统部门和最终用户"
```
C 该指导委员会通常是作为一般评审委员会为IS工程提供服务,而不应该为常规行动的,因此,他的职能之一是批准和监督的重大项目,计划和预算的地位。卖方变更控制是一个外包的问题,并应由IT管理来监督。确保信息加工环境的职责分离是管理层的责任。信息系统部门和最终用户之间进行联络是一个正常的功能,而不是个别的委员会。
88
```
88 "信息系统指导委员会应该?
A.包括来自不同部门和员工级别成员组成
B.确保系统安全策略和程序以正确执行
C.维持其会议记录和通知董事会
D.在每个供应商会议中听取新趋势和新产品的简要介绍"
```
C 重要的是保留详细的指导委员会的每份策略文件和指导委员会的活动,董事会应及时告知有关的决定。选项A不正确,因为在这个委员会上只有高级管理人员或高级职员,因为他的战略任务委员会。选项B不是这个委员会的职责,但它对安全管理员有责任。D是不正确的选项,因为供应商应邀出席会议只有在适当的时候。
89
```
89 "建立可接受的风险水平是谁的责任?
A.质量保证管理层
B.高级业务管理层
C.首席信息官
D.首席安全官"
```
B 高级管理层应建立可接受的风险水平,因为他们对本组织有效和高效运行有最终的责任,选项A,C和D在确定一个可接受的风险水平时应担任高级管理顾问。
90
```
90 "从控制的角度看,在职务说明中最关键的因素是?
A.提供如何做这份工作的指导
B.最新的记录并随时提供给雇员
C.表明管理层在工作表现上的期望
D.员工的行为承担的责任和义务"
```
D 从控制是角度,工作的描述应建立责任制和问责制。这将有助于确保用户根据定义的职责岗位进入所给的系统。其他的选项是没有直接关系的控制。对于如何做好这项工作提供指导并并且定义管理和程序方面的职责。当前的工作描述是很重要的,记录并随时提供给雇员的,但这本身不是一个控制。对于工作绩效的沟通管理具体期望概述了性能标准,也不会包括控制。
91
```
91 "IT指导委员会评审信息系统主要是为了评估?
A.IT流程是否支持业务需求
B.系统功能是否充足
C.现有软件的稳定
D.以安装的技术的复杂性"
```
A IT指导委员会的作用是确保信息系统部门与与组织的使命和目标的和谐。为了确保这一点,委员会必须确定是否支持业务流程的需求。评估拟议的额外功能,并评估软件的稳定性和技术复杂性的范畴过于狭窄,以确保其过程实际上是支持该组织的目标的。
92
```
92 "一个IT安全策略的审计师的首要目标是确保:
A.他们分布并提供给所有工作人员
B.安全和控制策略支持业务和IT 目标
C.有一个功能描述组织结构
D.职责适当分离"
```
B 业务方向应该是实现安全的主旋律。因此,一个IT安全策略的审计师应主要集中在IT以及相关的安全和控制策略,是否支持业务和IT目标。评审策略是否适用于所有客观存在业务,但分布不确保遵守。具有职位和职责的描述和职责分离的结构图的可能性也许被包括在审评中,但不是一个安全策略审计主要目标。
93
```
93 "开发一个信息系统安全策略最终是谁的责任:
A.信息系统部门
B.安全委员会
C.安全管理员
D.董事会"
```
D 通常情况下,设计信息系统安全策略是高层管理人员或董事会的责任。信息系统部门负责策略的执行,因为他们没有制订策略的权力。安全委员会在广泛的由董事会拟定的安全策略中也有职能。安全管理员负责实施,监督和执行的安全管理,建立和授权规则。
94
```
94 "局域网(LAN)管理员通常会受到以下什么限制?
A.对最终用户有责任
B.对最终用户经理报告
C.有编程的职责
D.为区域网的安全管理工作负责"
```
C 局域网管理员不应该有规划的责任,但可能对最终用户的责任。LAN管理员也许向信息处理设施(低通滤波器)董事长,或者,在一个分散经营里对最终用户管理者报告。在小型组织中,局域网管理员也可以负责包括LAN的安全管理工作。
95
```
95 "一个强大的技术背景和广泛的管理经验的长期信息系统员工申请一个空缺的信息系统审计部门的职位。确定是否雇佣这个人在这个位置应该考虑个人经验,并且考虑:
A.服务期限,因为这将有助于确保技术能力
B.年龄,进行审计技术的培训可能是不切实际的
C.信息系统知识,因为这个会带来更大信任的审计职能
D.作为审计师的能力,是否和现在的信息系统有独立性"
```
D 独立性应不断得到审计师和管理者的评估。这一评估应考虑个人的关系,经济利益,和以前的工作任务和职责的变化等因素,其实雇员在IS部门已经工作多年的也许不能保证有创新能力了。该信息系统审计部门的需求应加以界定并且任何候选人应该根据这些要求被进行评估。服务期限并不能保证技术实力。评估个人的质量以年龄为基础不是一个很好的标准,而且在世界上许多地区是非法的。
96
```
96 "信息系统审计师应该注意以下情况,当一个通信分析员:
A.监控系统的性能和跟踪程序变更而产生的问题
B.回顾了当前和未来的数据交换的网络负荷的要求
C.评估网络的负载终端响应时间和网络数据传输速率的影响
D.建议网络平衡过程和改进"
```
A 通信分析员的职责包括检阅当前和未来的交易量(选项B)所需要的网络负荷,评估网络负荷和终端响应时间和网络数据传输速率(选项C)的影响,建议网络负荷平衡规程和完善(选项D)。由于方案改变导致监控系统的性能和跟踪(选项A)的问题将把该分析员放在一个自我监督的角色上。
97
```
97 "下列哪个信息安全意识项目的有效性最具有象征性?
A.额外的信息安全事件被报告
B.所有员工都签署了信息安全策略
C.大多数员工都参加了信息宣传会议
D.信息安全责任已列入工作说明"
```
A 虽然安全意识的推广是一种预防性控制,也是一个侦探措施,因为他鼓励发现和报告可能是安全违规行为。选项A是正确答案,因为事件的报告暗示,员工正在为安全意识项目的后果的采取行动。存在证据即所有员工都签订了安全策略,这并不能确保安全责任已被理解和应用。面对安全意识计划是目标之一是告知他们的欲望是什么,以及他们的职责是什么,但这种知识并不能确保员工将根据安全手册来执行活动。文件的作用和岗位职责描述中的职责不是意识项目的有效益指标。
98
```
98 "如果IS审计师是IT委员会的成员,那么信息系统审计师对IT组织进行审核时最关心什么?
A.负责项目审批,设定优先级
B.负责制定长期的IT计划
C.向董事会建议IT的相关发展项
D.确定业务目标"
```
D 确定企业目标是高级管理人员的责任,IT指导委员会没有责任。其他的选项是IT指导委员会适当的责任。
99
```
99 "下列哪项控制是信息系统审计师在面对职责不能被适当的分离的环境时所寻找到的?
A.重叠控制
B.边界控制
C.访问控制
D.补偿控制"
```
D 补偿控制是一种内部控制,旨在减少现有的或潜在的控制漏洞的风险可能出现的职责不能适当的分离时。重叠控制两个控制同时控制目标或风险。由于不可能实现主要的控制时,职责不能分开,这时难以使用重叠控制。边界控制是在用户的计算机系统与计算机自身系统之间建立接口,并以个人为基础,而不是基于角色的控制。访问控制的资源是根据个人而不是角色。
100
```
100 "下列数据库管理员(DBA)进行的活动中,应该由不同的人执行?
A.删除数据库活动日志
B.数据库优化工具的使用
C.检测数据库的使用
D.备份和恢复定义的使用"
```
A 由于数据库活动日志由数据库管理员(DBA)进行记录,删除它们应该由DBA以外的人员执行。这是一个补偿控制,有助于确保适当的职责分离,并与DBA的职责相关联。一个DBA应该把履行其他活动作为正常操作的一部分。
101
```
101 "当职责分离的问题存在支撑IT人员和用户之间时,一个合适的补偿控制是?
A.限制物理访问计算机设备
B.查看交易和应用程序日志
C.对雇佣IT员工进行背景调查
D.锁定经过一段指定时间内不活动的用户会话"
```
B 只审查交易和应用程序日志,直接解决了缺少职责分离所带来的威胁。这项审查是检查不恰当行为的方式,也能阻止滥用职权,否则员工可能会受诱惑滥用职权,使用这个方式能使人们产生可能被抓到的意识,缺乏职责分离更有可能通过逻辑访问数据和资源的计算来发现而不是利用物理方案。选项C是一种有效地而控制为了确保IT工作人员是可信的能干的,但不能直接解决缺乏最佳职责分离制。选项D可以作为防止未经授权的用户获得系统访问权,但缺乏职责分离的问题,更多的是滥用已被批准的访问权限。
102
```
102 "一个开放式系统架构的优点是?
A.促进互操作性
B.有利于整合私有的组件
C.将从设备供应商处得到折扣
D.获得在设备上的更多经济成就"
```
A 开放系统是由那些部件的供应商提供的,是公共标准定义的接口,从而促进不同厂商之间制造系统的相互操作性。与此相反,封闭的系统中组件建立专有标准,以便其他供应商的系统不能或不会与现有的的系统对接。所以C和D不正确。
103
```
103 "以下哪些选项是CSO的日常职责?
A.定期审查和评估安全策略
B.执行用户应用程序和对软件的测试和评估
C.对用户访问IT资源进行授权和撤销权限
D.授权访问数据库和应用程序"
```
A 一位首席安全官职能是确保企业安全策略和控制足以防止对企业财产未授权的访问,包括数据,程序以及设备。用户应用程序和其他软件的测试与评估通常是开发和维护职员的责任,对用户访问权限的授权和撤销通常是网管或数据管理员的职能。数据库和应用程序的访问授权是数据所有者的职责。
104
```
104 "以下哪项会影响质量保证小组的独立性?
A.确保开发方式的合规性
B.检验测试用例
C.在测试过程中纠正错误代码
D.检查代码,以确保其适当的文档化"
```
C 纠正错误代码不应该是质量保证小组的职责,否则会破坏职责分离并影响团队的独立性。其他的选项是有效地质量保证小组的职能。质量保证人员通常执行两种不同的任务:质量保证(QA)-帮助IS部门确保确保其人员遵守规定的质量程序。例如:QA可以帮助程序和文档遵守标准及命名规范。质量控制(QC)—负责执行测试或审评,以验证并确保软件不存在缺陷并满足用户预期。他可以在应用系统开发的各个阶段进行,但必须在程序被迁移到生产环境之前进行。
105
```
105 "在应用程序访问审计中,信息系统审计员发现系统管理员管理着关键应用程序的逻辑访问。信息系统审计员应该:
A.关注,因为应用程序所有者应该根据用户工作需要执行的功能限制应用程序的访问。
B.不需要关注,因为系统管理员是管理应用程序的。
C.关注,应为根据业务需求,信息系统的安全管理功能应该限制用户访问。
D.不需要关注,因为信息系统管理员知道每个个体可以访问和不能访问的应用程序。"
```
D 信息系统安全管理员有能力授予或者撤销访问应用程序的权限;但是授权必须得到基于商业需求的应用程序所有者的批准。其他选项不正确,因为这些对责任的描述通常是由审计员执行的。
106
```
106 "一位IS审计师了解到,一家小公司的新任人力资源经理曾是一位IT网络管理员,这位新任HR经理利用自己的IT技术,赋予自己权利阅读员工的电子邮件并监控他们的网络使用情况,这位IS审计师应该
A.记录问题、验证有无违反公司策略
B.请求立即取消HR经理的访问权限
C.什么也不做,因为公司没有隐私权政策
D.联络公司总裁,告知其这一问题"
```
A 从IT角度看次变化的本质并不是最佳方法;但是监控员工的电子通信是HR经理的合法权限,通常也是普遍接受的做法,在小型组织中,通常会出现有关职责分离的问题,HR经理是否具有系统更改权限没有明确说明,因此,IS审计师应记录观察到的状况。IS审计师还应确认这一过程中没有出现违反公司政策的情况。
107
```
107 "可以保护数据管理员遵守企业数据管理工作职务的有效预防控制是哪个?
A.异常报告
B.职责分离
C.检查访问日志和活动
D.管理监督"
```
B 适当的责任隔离能够约束数据管理员在数据所有者的授权下进行活动。异常报告是侦测型控制,被使用指示数据库管理员什么时候执行了未被授权的活动侦测。检查访问日志是经常被使用侦测数据库管理员的活动表现。数据库管理员活动的管理批准是被使用侦测哪个活动未经授权。
108
```
108 "要在IS和最终用户之间实现充分的职责分离,应用程序所有者应行使下列哪项职能?
A.系统分析
B.对数据访问进行授权
C.应用程序编程
D.数据管理"
```
B 应用程序所有者负责对访问数据进行授权。应用程序的开发和编程是IS部门的职能。同样,系统分析应由IS中了解IS和用户需求的合格人员来执行。数据管理是与数据训管理上关的专门功能,应由合格的数据库管理员来执行。
109
```
109 "在组织中,IT安全的职责被明确分配和执行,以及IT安全风险和影响分析被贯彻执行,这些可以代表已经达到信息安全治理成熟度模型的那种水平?
A.已优化
B.已管理
C.已定义
D.可重复"
```
B 董事会以及高级管理层可以利用这些信息安全治理成熟度模型在组织中建立安全排名。该排名是虚拟的,初始级,可重复,已定义,已管理和已优化。当IT安全的职责已被明确分析和执行,以及IT安全风险和影响分析被贯彻执行时,它被认为是”有管理的,可衡量的“。
110
```
110 "当IT平衡记分卡存在的时候,以下哪一项是IT治理成熟度模型的最低等级?
A.可重复但是直观
B.已定义
C.已管理并可测量
D.已优化"
```
B 已定义(第三等级)是定义IT平衡记分卡的最低等级。
111
```
111 "IT安全风险进行评估时,审计师要求IT安全人员参与跟用户和业务单位的代表进行风险识别的研讨会。审计师要取得成果和避免今后的冲突,什么是最重要的建议?
A.确保IT安全风险评估有明确定义的范围
B.IT安全人员要求每个研讨会期间的讨论风险评级得到批准
C.IT安全人员确定风险等级
D.只选择普遍接受且以提交最高评价的风险"
```
A 在IT风险评估应该有一个明确的范围,以有效地满足风险是别的目标。如果IT风险评估合理的话,那么IT 风险评估应该包括其他领取的风险评估。其他的选项涉及风险是如何排名和评级,但整个评估过程的成功因素依赖于确保范围广泛性,这个范围足以包括一切可实行的重大风险。如果范围太广,风险评估过程会很困难,这可能会导致将来的冲突。
112
```
112 "以下哪项是由于对数据和系统的所有权定义的不足产生最大的风险?
A.用户管理协调不存在
B.特定用户责任不能成立
C.未经授权的用户可以访问,修改或删除数据
D.审计的建议可能无法实现"
```
C 如果没有一个明确的策略谁具备了授予访问特定系统的责任,就会增加风险,即某人可以获得系统的访问权当他们不应该得到授权时。通过分配授权访问到特定的用户,有一个更好的机会就是业务目标将得到适当的支持。
113
```
113 "风险管理流程的结果是一种对于什么的输入?
A.业务计划
B.审计章程
C.安全策略的决定
D.软件设计决策"
```
C 在风险管理流程关于特定的,与安全有关的决策如可接受的风险水平,选项ABD不是风险管理流程的最终目标。
114
```
114 "被聘用的信息系统审计师评审电子商务的安全性。信息系统审计师的首要任务是评审每个现有的电子商务应用程序,寻找漏洞。那么接下来的任务是?
A.立即向CIO和CEO报告风险
B.检查在开发中的电子商务应用
C.识别威胁和发生的可能性
D.检查风险管理的预算"
```
C 一个信息系统审计师必须确定资产,漏洞,然后确定威胁和发生的可能性。选项ABD应与CIO进行讨论,并将报告送交给CEO。该报告应包括成本的优先事项和结果。
115
```
115 "当制定风险管理方案,首先要执行的活动是什么?
A.威胁评估
B.分类数据
C.资产清单
D.紧急性分析"
```
C 对所要保护的资产进行鉴定是风险管理计划的第一步,清单中的威胁是指会影响这些资产的效能以及危险性分析是这个流程的下一个步骤。要求数据分类是为了数据定义访问控制和威胁分析。
116
```
116 "一个团队进行威胁分析,从风险角度预测可能造成的经济损失是很困难的,为了评估潜在的损失,团队应该?
A.设计出相关资产摊销
B.计算投资回报
C.使用定性方法
D.花费时间确定损失的确定金额"
```
C 当难以计算的经济损失时,一般的做法,是采取定性方法,其中受风险影响是经理定义经济损失成为是加权因素(如,“1”对于业务是一个非常低的影响,“5”则是一个非常高的影响)。可以计算出投资回报率,当可以预计的节省或者收入即这些实际收入可以所需要的投资进行比较时。摊销是用在损益表中,而不是在计算潜在的损失。所花费的时间来准确定义支出总额,通常是一个错误的算法。如果他已经很难估计潜在损失(例如,音黑客攻击使得公众形象受损导致 的损失),在真一天结束时,这种情况都不可能改变结果将不能给出一个充分支持评价。
117
```
117 "为了解决操作人员未能执行每日备份的风险,管理上要求系统管理员在日常备份上签字。这个例子是一个什么风险?
A.规避
B.转移
C.降低
D.接受"
```
C 降低是一种提供对控制的定义和实施为了解决所描述的风险的策略。规避是不实施某些将招致风险的活动或过程的策略。转移是与合作伙伴共享,或采取保险来保障风险的策略。接受是一种正式承认风险的存在和监控风险的策略。
118
```
118 "下列哪一项代表缺乏充分的安全控制?
A.威胁
B.资产
C.影响
D.漏洞"
```
D 缺乏充分的安全控制表现为漏洞,暴露敏感信息和数据的恶意破坏,黑客攻击或未经授权的访问风险。这可能导致敏感信息的丢失,并导致该组织的商誉损失。一个简明的风险定义是由国际标准化组织(ISO)颁布的IT安全管理准则,它定义风险为”潜在的威胁将暴露资产的漏洞或者引起组织资产的损失又或者毁坏资产“定义的各种要素是指漏洞,威胁,资产,和影响。在这方面缺乏充足的安全功能是一个弱点。
119
```
119 "评估IT风险的最佳途径是?
A.结合现有的IT资产和IT项目评估相关的威胁
B.使用该公司过去实际的损失经验,已确定目前风险。
C.从类似组织中总结得出损失统计
D.从审计报告中查看已确定的IT控制漏洞"
```
A 为了评估IT风险,威胁和漏洞需要进行定性或变量的风险评估方法。选项BC和D是可能有利于输入到风险评估过程中,但他们本身是不足够的。基于对过去损失的评估不能充分反映公司的IT资产,项目,控制和战略环境的不可避免的变化。同时,在这个范围内和可用于评估的损失数据的数量也有可能成为问题。类似的组织机构将会在其IT资产,控制环境好战略环境上存在差异。因此,他们对于损失的经验并不能直接用来评估组织的IT风险。审计中发现的控制漏洞将被暴露在评估中,可能需要进一步分析,为了评估有关威胁的可能性。根据审计范围覆盖,他有可能并非全是重要的IT资产和项目,这些资产和项目最近都已被审核,并有可能战略IT风险没有得到充分评估。
120
```
120 "一个信息系统审计师审核一个组织的风险评估进程应首先:
A.确定信息资产的合理威胁
B.分析技术和组织的漏洞
C.识别和分级信息资产
D.评价一个潜在的安全漏洞影响"
```
C 识别和分级信息资产,如数据排名,资产会定下基准或如何评估有关组织的资产价值的风险范围。第二,该组织面临威胁的资产都应该可以根据组织的价值对自身分析。第三,应查明漏洞,以便进行评估控制,已确定他们是否可以减少漏洞。第四,分析如何在给定的情况下控制这个漏洞,以及它如何影响组织的信息资产。
121
```
121 "一个IS审计师在审查IT安全风险管理方案,安全风险的措施:
A.解决网络所有风险
B.随着时间推移,对IT战略规划跟踪
C.考虑整个IT环境
D.导致漏洞公差的鉴定"
```
C 进行评估IT安全风险时,重要的是考虑到整个IT环境。安全风险的措施应集中于这些从而达到以最低的成本或最大的风险降低的具有最高临界点的领域。IT战略计划不足以提供适当的措施。必须随时跟随指标来衡量目标,从而风险管理能够通过把今天的业绩跟上星期,上个月,上一季的业绩做对比、风险措施将分析网络上的资产,以客观衡量漏洞的威胁。他们不鉴定临界值。
122
```
122 "一个弱的密码并且在无保护的通讯线路传输是什么的例子:
A.漏洞
B.威胁
C.概率
D.影响"
```
A 漏洞代表信息可能被威胁利用的资源特征。威胁是有可能对信息资源造成伤害的事件。概率代表了一种威胁发生的可能性。影响代表一个利用漏洞威胁的结果。
123
```
123 "实施安全计划作为安全管理框架的一部分,其主要优点是?
A.校对有信息系统审计建议的IT活动
B.强制安全风险管理
C.实施首席信息安全官CISO的建议
D.降低IT安全的成本"
```
B 实施安全计划的主要优点是管理层的风险评估和风险减少到适当水平,和剩余风险的监测。理想的信息系统审计师的目标和CISO通常是包含在一个安全的计划之内,但他们不会是主要的benefit。IT安全成本可能会或可能不会减少。
124
124 "在审计期间,审计师注意到一个中型的IT部门并没有独立风险管理功能,该组织的业务风险文档只包含了一些大致IT风险描述。在这种情况下什么建议是适当的?
A.创建IT风险管理部门,建立IT风险与外部风险管理专家的援助框架
B.使用通用的行业标准分为几个单独的风险,会更容易处理存在的风险
C. 没有建立的必要,因为目前的做法是一个中等规模的组织所适合的
D.建立经常性的IT风险管理会议,以确定和评估风险,并创建一个可能覆盖通用的行业标准的该组织的风险"
D 建立经常性的IT风险管理会议,以确定和评估风险,并创建一个可能覆盖通用的行业标准的该组织的风险,但他们不能处理一个组织的具体情况。如果没有一个组织内部的详细评估,个别风险会不会被发现。分制成几个风险状况是不够的。
125
```
125 "以下哪一项是为IT治理实施决定优先权预先范围时最重要的考虑因素。
A.过程成熟度
B.性能指标
C.业务风险
D.保险报告"
```
C 应优先关注在企业运营中已知风险所处的领域。过程成熟度等级,过程性能以及保险报告会反馈到决策过程。企业优先考虑有业务风险的领域。
126
```
126 "针对特定威胁的整体业务风险可以表示为:
A.如果威胁成功利用漏洞,产生的可能性和影响程度
B.威胁成功利用此漏洞的影响程度
C.威胁对某一特定的漏洞利用的可能性的来源
D.对风险评估小组的集体判断"
```
A 选项A考虑到该影响的可能性和规模,并提供最佳的风险资产的措施。选项B只提供了一个开发资产漏洞威胁的可能性,但没有提供该资产可能受到损害的程度。同样,选项C只考虑损害成都,而不是一个利用漏洞的威胁的可能性。选项D的基础上定义一个任意的风险,而不是一个科学的风险管理过程中适当的,但是经常使用,有时也很明智的。
127
```
127 "以下哪项是控制自我评估(CSA)的关键优势?
A.企业管理目标的内部控制得到加强
B.由外部审计转为内部评估时,会减少相关的费用
C.由企业内部员工从事业务测试,有利于检测欺诈行为
D.通过使用评估结果,内部审计人员可以转变为咨询顾问的角色"
```
A 控制自我评估的目的是使企业管理层更好的理解他们在内部控制和公司治理方面的重要性。降低审计费用不是一个CSA的关键优势。欺诈检测是重要的,但并不是一个CSA的主要目的。内部审计人员转变为咨询顾问的角色是一个额外的好处,而不是关键优势。
128
```
128 "下列哪项措施的存在能确保备份站点的信息处理设施可用?
A.备份站点和主站点距离较近来保证快速有效地恢复
B.站点包括最高级的硬件可用性
C.通过监控主站点的工作负载确保充足的可用备份
D.当硬件安装时是经过测试的保证硬件可以正常工作"
```
C 资源的可用性必须被保证,站点的工作负载必须被监控以确保紧急情况下备份的可用性。选择的站点不应该遭受到主站点相同的自然灾害,进一步说,软硬件的适度兼容对于保持备份必须作为备份的基础而存在。最新的硬件不一定能为这个需求提供充分的服务,当站点建立时测试硬件是必不可缺少的,但实际备份数据的常规测试对于确保操作是必需的并且将作为计划持续性。
129
```
129 " 起草业务持续计划(BCP)时,以下哪项陈述是正确的
A.停机时间成本随恢复点目标(RPO)的提高而降低
B.停机时间成本随时间的推移而增加
C.恢复成本与时间无关
D.恢复成本仅可得到短期控制"
```
B 销售损失、资源闲置、薪酬支付等停机时间成本都会随着时间的推移而增加。因此,应制定BCP来尽可能地降低停机时间成本。停机时间成本与RPO无关。RPO定义的是恢复成本(而非停机时间成本)有关的数据备份策略。允许进行恢复的时间越长,恢复成本就越低。例如,在两天内恢复业务运营的成本比在七天内恢复的成本要高。有效BCP的本质在于,最大限度降低不确定性并提高可预测性。有了良好的规划,恢复成本即可保持在可控范围之内。
130
```
130 "一个信息系统审计师正在审评该公司的灾难恢复(DR)战略的变更。信息系统审计师注意到国内公司应用关键的恢复点的目标(RPO)缩短了。这种变更最重要的风险是?
A.现有灾难恢复计划没有更新到实现新的RPO
B.在DR团队在新的RPO下接受过培训
C.缺乏充足的备份以实现新的RPO
D.新的RPO下的计划未经过测试"
```
C RPO的定义即“最早的时候,也是可接受的恢复数据”如果备份不能经常进行,以满足新的RPO,风险产生即该公司将不会在发生灾难时有充足的备份数据。这是最严重的危险由于没有数据那么其他DR所考虑的都是没有用的。如果计划不更新,以反映新的战略目标恢复时间目标(RTO)和RPO的,那么这个计划可能无法实现这些新目标。这是一个比没有提供相应的数据严重性较轻的问题。对新的DR战略缺乏培训,以及修订后不足的计划测试,即引起了团队执行计划的风险,但同样,由于频繁的备份这种风险是不及没有提供适当数据严重。
131
```
131 "在业务持续计划(BCP)发布之后,要有效的实施它,最重要的是BCP应该:
A.存放在公司外部的安全设施中
B.高级管理层批准
C.通报给相关人员
D.通过企业的网络使其可用。"
```
C 只有通知到相关并让他们明白有关BCP所有的情况,BCP的实施才会是有效的。如果把BCP放在一个安全的地方,那它就不会到达用户那里,用户就绝不会实施BCP,因此导致BCP无效。高级管理层的批准是设计BCP的前提。让BCP在企业内的网络中可用并不能保证员工会阅读或者了解。
132
```
132 "业务持续管理需要重点考虑以下那个方面?
A.恢复站点是安全的,和主站点保持适当的距离
B.恢复计划定期进行测试
C.经过全面测试的备份硬件在恢复站点可用
D.网络连接可以从多个服务提供商获取"
```
B 定期对恢复计划的测试是至关重要的,以确保所有已规划和记录是可行的。其他的选项更多的是次要的需求对于进行测试战术上的考虑。如果发生火灾,选项A.C.D将更加重要。
133
```
133 "当审计师进行DRP审计时,下列哪项是一个信息系统审计师最应该关心的?
A.DRP尚未经过测试
B.新的团队成员都没有看到过DRP
C.经理负责对DRP的最近的推出
D.DRP的手册不是定时更新"
```
A 如果没有经过测试的DRP,那么很可能该计划是不完整或不充分的。这种情况将会是一个信息系统审计师最关注的。因为该组织将没有办法准确地评估该计划是否可行。如果团队的成员都对该计划不熟悉,那么目前的成员将会帮到他们,所以这不会是一个重要的问题。而由经验丰富的人员造成的损失会引起一些问题,如果i该计划被证明是适当的。而经验不足的人员将也许能在发生灾难时执行所需要的工作职能。一个DRP的手册,定期更新,是不是次要关注的有一个没有经过测试的DRP。
134
```
134 "金融机构最近开发并安装了新的保证金制度,与他们的客户网站和其自动柜员机(ATM)接口,开发团队和连续性业务团队维护良好的沟通,来更新包括新系统的连续性业务计划(BCP)。下列什么是在这个时间点上合适的BCP测试?
A.用实际资源来模拟系统崩溃
B.详细的贯穿整个计划的测试
C.网站接口应用程序渗透测试
D.在备份站点实施一次故障转移"
```
A 人们期望的是,新系统恢复的基本机制的理解和恢复基础设施已经到位。一个恰当的测试将在模拟的恢复实践中包括实际资源。这个实践将在可控的情况下恢复新的基础设施。假设恢复选项在发展中已被积极考虑(因为他们需要成为关键任务系统),贯穿整个计划的测试只有有限的价值。安全评估或渗透测试对于暴露在Internet的任何应用程序都是至关重要的,但是在这个过程中是早已完成。选项D是不正确的,因为执行故障测试是不足以评估组织准备从更广泛的问题恢复的过程。
135
```
135 "将业务连续性规划(BCP)整合到IT项目中有助于:
A.业务连续性需求的改造
B.一个需求更全面的开发
C.事务流程图的开发
D.确保应用程序满足用户的需求"
```
B 集成BCP到开发进程,以确保该项目的每个阶段的要求的完整覆盖。业务连续性计划的要求的改造,是BCP不纳入开发的方法。事务流程图帮助分析应用程序的控制。业务连续性计划不会直接解决了详细的处理用户的需求。
136
```
136 "一个组织刚刚完成了他们的年度风险评估,对于业务连续性计划,什么是审计师组织应该作为该组织的下一个步骤
A.充分的审查和评估业务连续性设计
B.执行业务连续性计划的完整模拟
C.员工培训和教育关于这个业务连续性计划
D.通知业务连续性计划的关键联系人"
```
A 在组织的每一次风险评估完成后应审查业务连续性计划。执行模拟演练后的业务连续性计划应被视为足够充分。我们没有理由在这个时候通知业务连续性计划的关键联系人。
137
```
137 "在观察一个完整的业务连续性计划的模拟时,信息系统审计师注意到组织设施当中的通知系统可能受到基础设施遭到损坏的严重影响,信息系统审计师向该组织提供的最好建议是确保:
A.训练救援团队使用通知系统
B.为备份恢复提供通知系统
C.建立冗余的通知系统
D.通知系统都存储在一个库中"
```
C 如果通知系统已受到严重破坏的影响,冗余将是最好的控制。救援小组将无法使用严重受损的通知系统,即使他们被训练使用。该备份恢复并没有和通知制度有关系,如果该建筑物被损坏,存储在库的通知系统是没有多大价值的。
138
```
138 "一个企业的业务连续性计划应根据预定的标准激活,这解决了:
A.中断的持续时间
B.中断的类型
C.中断的概率
D.中断的原因"
```
A 一个业务连续性计划的启动,主要根据业务功能中断威胁到组织目标的实现的最长期限来确定。
139
139 "一个组组织外包其广域网(WAN)给第三方服提供商。在这种情况下审计师应该执行业务连接性计划(BCP)和灾难恢复计划(DRP)审计,下列哪个是首要任务?
A.检查服务商的BCP与该组织的BCP和合同义务是否一致
B.检查服务水平协议(SLA)是否包含在出现故障时,以应付发生灾难时的服务水平和处罚条款
C.审查该组织在选择服务供应商时的方法
D.审阅第三方服务提供商时的工作人员的认可"
A 检查服务提供商的BCP过程是否与组织的BCP及合同义务相一致是正确答案,因为服务提供商业务受到的不利影响和干扰直接影响的组织及其客户。依照发生灾难时的服务水平,检查SLA是否包含失败时的惩罚条款不是正确答案,因为存在惩罚条款,尽管说SLA的组成要素,并不是首要考虑的。选择C和D是可能的关注,但不太重要。
140
```
140 "一个IS审计师可以验证一个组织的业务连续性计划(BCP)是有效的,依据审查:
A.与行业最佳实践的BCP一致
B.对系统和最终用户进行业务连续性测试的结果
C.异地设施,其内容,安全和环境控制
D.BCP活动的年度财务费用相对于实施该计划的预期收益"
```
B 该BCP有效性进行评估,最好能审查从以前的业务完整性和连续性测试结果中已完成预定的目标的准确性。其它选项不能保证BCP有效性。
141
141 "一个金融服务机构正在制定和记录业务连续性的措施。在下列情况下信息系统审计师最可能提出的一个问题是?
A.组织使用的做法并不是使用准则和依赖外部顾问的最佳实践
B.业务连续性计划是围绕着精心挑选的场景,某个可能发生的事件来进行的(还有不可能发生的事件,必须也要考虑啊!!!!!
C.恢复时间目标(RTO)没有考虑灾难恢复的限制,如:恢复时段的人员或系统依赖性
D.该组织计划租一个共享的紧急备用站点的工作场所、只具备为正常的工作人员一半使用的空间"
B 这是一个常见的使用业务连续性情景规划的错误。问题是,这是不可能为每一个可能发生的情况和文件的行动作出计划。对于刚刚选择的方案规划否定的事实,即使不可能的事件也会导致组织崩溃。最佳实践规划中的四个灾害影响类型:场所、人员、系统、供应商和其他依赖。所有方案可以减少上述四个类型,可以同时处理。在极少数特殊情况下,必须采取额外的单独分析。这是一个好主意,用同样一个重要议题的最佳实践和外部建议,尤其知道准备程度和有关权利所采取的措施是否适当的判断在每个组织提供的。恢复时间目标是根据业务流程的基本要求,以确保组织的生存,因此不适当,它们是基于IT能力。最佳实践指南推荐20%-40%正常能力在一个应急站点上提供,因此,如果没有其他因素,有50%的能力就不是一个问题了。
142
```
142 "一个中等大小的组织,其IT灾难恢复已实施多年,并定期检测,并刚刚开发了一个正式的业务连续性计划(BCP)。一个基本的桌面BCP工作已经顺利完成。接下来信息系统审计师应建议实施哪项策略?
A.安全测试所有部门的应急站点(BCP)是否适当
B.涉及的所有关键人员的一系列的预定义的场景穿行测试
C.对业务部门的IT灾难恢复,进行测试关键应用
D.有限IT投入情形下的业务功能测试"
```
D 桌面工作已经完成后,下一步输功能测试,其中包括工作人员恢复的行政和组织功能。由于IT恢复的一部分已经测试多年,在他会更有效的验证和优化之前,实际上涉及一个全面测试BCP。完全测试在审查进程之前,每年定期测试计划进入最后一步。全面的测试中所描述的可能会失败,因为这是第一次,该计划实际是运行的情况,资源(包括IT)数目及时间的内容,而不是验证其是否充分。应用恢复应始终验证和经批准,而不是纯粹的IT驱动。灾难恢复测试无助于验证BCP当中和IT无关的行政的和组织性的部分。
143
```
143 "测试一个业务连续性计划的主要目标是:
A.员工熟悉业务连续计划
B.确保所有剩余的风险得到处理
C.测试所有可能灾难发生的场景
D.确定业务连续性计划的弱点"
```
D 测试业务连续性计划提供了可能存在的任何弱点的最好证据。熟悉业务连续性计划的员工是这个测试的第二个好处。这是不符合成本效益来解决业务连续性计划的剩余风险,测试所有可能发生的场景是不实际的。
144
```
144 "审计师进行业务连续性审计时下列哪个是最重要的?
A.数据备份及时进行
B.恢复网站签订协议及可根据需要使用
C.人员安全程序到位
D.保险范围是足够的和保费是已交的,保单有效"
```
C 在任何业务连续过程中最重要的因素是保护人的生命。这在该计划的所有其他方面里优先。
145
```
145 "对于评估业务连续性计划的有效性最好方法是审查:
A.计划并把他们作为适当的标准
B.预先的测试结果
C.应急程序和员工培训
D.异地存储和环境监控"
```
B 预先测试结果将提供业务连续性计划的有效性证据。标准比较将提供一些保证,该计划涉及的业务连续性计划的重要方面,但是没有透露任何有关其有效性。检查应急程序,异地存储和环境控制将提供使该计划某些方面的见解,但都低于提供该计划的整体效益的保证。
146
```
146 "关于业务连续性战略,信息系统审计师在访谈组织中的关键利益相关者,以确定他们是否了解自己的角色和责任。信息系统审计师应该试图评价:
A.清晰和简洁的业务连续性计划
B.充分的业务连续性计划
C.业务连续性计划的效益
D.信息系统的能力和最终用户个人在紧急情况下有效的应对"
```
A 信息系统审计师应该访问的关键利益相关者以及评价他们是否了解自己的角色和责任。当所有的利益相关者知道自己的角色和责任,在发生灾难事件的详细情况,审计师可以认为该业务连续性计划是明确和简单的。为了评估是否足够充分,审计时检查计划,并把它们对比适当的标准。为了评估成效,审计师应检查以往测试的结果。这是能最好的评估成效的。一个关键利益相关者对其角色和责任的理解将有助于确保业务连续性计划是有效的。为了评估反应,审计师应审查连续性测试结果。以提供保证,这与恢复时间目标相符合。应急程序和员工培训需要加以审查,以确定该组织是否有实施计划,以便有效的应对。
147
```
147 "一个IS审计师指出,机构对每个单独的业务流程都有适当的业务连续性计划,但是没有一个完整的BCP计划,该审计员最有可能会采取以下行动?
A.建议开发一个全面的业务连续性计划
B.判断现有的业务连续性计划是否一致
C.接受以编写的业务连续性计划
D.建议创建一个单一的业务连续性计划"
```
B 根据该组织的复杂程度可能有一个以上的BCP计划,以解决业务连续性和灾难恢复的不同方面和场景的需求。这些并不一定要整合成一个单一的计划,但每个计划都必须保持一致,以便保证BCP战略统一。
148
```
148 "一个在多个地区拥有办事处的组织已经制定了一个灾难恢复计划,实际动用资源进行测试的话,下面哪个DRP是最有成本效率的?
A.全盘测试
B.预演测试
C.纸面测试
D.回归测试"
```
B 预演测试是每一个分支机构在当地实施测试,来检测灾难恢复时本地操作应对措施的准确性;纸面测试是对BCP计划进行纸上推演的穿行测试,需要在预演测试前实施;全盘测试是在纸面测试和预演测试完成后引导的;回归测试不是灾难恢复的测试而是用于软件维护。
149
```
149 "组织的灾难恢复计划DRP应致力于——的早期恢复?
A.所有信息系统安全程序
B.所有财务处理应用
C.仅信息系统管理员指定的应用程序
D.按照业务管理者定义的流程处理的优先顺序来处理"
```
D 业务主管应该识别关键系统 ,以及在灾难发生前他们如何处理。业务主管需要对DRP的开发和维护负责。灾难发生时不会有足够的时间判断,信息系统和处理设备发挥的作用是协助用户管理人员成功开展工作。
150
```
150 "灾难恢复计划解决的是以下哪方面的需求?
A.业务连续性计划的技术层面
B.业务连续性计划的运行部门
C.业务连续性计划的功能方面
D.业务连续性计划的所有协调工作"
```
A 灾难恢复计划(DRP)是技术方面的业务连续性计划,业务恢复计划解决的是BCP的运行层面。
151
```
151 "一个IS审计师审计一个金融组织的灾难恢复计划(DRP)过程中发现了以下内容:现有的灾难恢复计划是两年前的,由组织IT部门的系统分析师使用业务部的交易流量预测的。该计划交给了行政总裁副批准,待正式发布,但仍然在等待他的审批。该计划一直没有得到更新,测试或并交给管理和工作人员,虽然访谈表明,当灾难发生时每个人都知道采取什么样的行动。IS审计师得报告中应该有怎样的建议:
A.副总裁应该为没有批准计划而被问责
B.应该成立高级管理层位于委员会审查现有的计划
C.现有的计划应该批准并在所有的关键管理者和员工之间传阅
D.需要一个协调者,在规定的时间内,新建一个计划或者修订原有DRP计划"
```
D 关注的首要问题是建立一个可行的灾难恢复计划,这个计划应该现在的业务处理容量需求,以防止任何破坏事件的发生。指责副总裁将无法实现这一点,并且一般不会在一个审计师推荐范围中。建立一个委员会复制计划(这是两年过时了)可以达到一个更新的计划,但不太可能是一个快速的解决方式。在短期内完成一个有效的灾难恢复计划最好的办法是让有经验的经理负责协调其他管理者,在规定的时间范围内制定一个单独的正式的DRP文件。
152
```
152 "下列哪项是成功实施灾难恢复计划(DRP)演练所要的?
A.所有识别出的资源的参与
B.由管理层批准的演练场景
C.提前通知所有受影响的员工
D.由IT管理部门批准演练场景"
```
B 管理层批准演练场景将有助于确保演练的相关性,并与业务需求保持一致,管理层为演练埋单是DRP演练成功的至关重要的因素,选项A是不正确的,因为DRP应具有足够的灵活性以便适用于灾难发生时可用的人员。选项C不正确,因为如果演练预计不会造成服务中断或其他问题,没有必要提前通知所有员工。选择D是不正确的,因为以业务管理层审批的演练更可能反应业务需求,IT管理层可以选择一个演练场景更侧重于IT层次,效果不显著。
153
```
153 "以下哪项业务连续性计划(BCP)测试涉及危机管理/响应小组密切相关成员的参与,以实践妥善的协作?
A.桌面测试
B.功能测试
C.全面演习
D.穿行测试"
```
A 桌面测试主要目的是进行协作演习,因为它涉及到危机处理小组的所有或部分成员,并专注于协调和沟通问题,而不是技术过程中更多的细节问题。功能测试强调在各种不同的地点,动员工作人员和资源。全面演习涉及整个企业以及外部组织的参与。穿行测试是指通过使用最少的资源对各个领域的关键人员推广BCP。
154
```
154 "为确保业务连续性计划(BCP)及时更新,下列哪个是最好的方法?
A.组织针对不同的场景,进行BCP计划全面演习
B.组织确保特定系统可以在异地备用设备上执行
C.组织了解完善的BCP测试
D.进行部门间的沟通,更为有效的应对灾难的情况"
```
A 一个结果严谨的walk-through预演测试,由进行BCP计划全面演习通过收集来自各部门的测试结果及意见,可以发现弱点,确保BCP是最新且可用。特定系统可以再异地备用设备执行,并不能保证组织的业务连续。组织了解完整的BCP测试程序不能保证BCP计划是最新的。同样加强沟通很重要,但不是不能保证BCP计划是最新的。
155
```
155 "一个结构严谨的DRP预演(walk-through)测试,应包含下列哪一方面:
A.召集各个职能领域的代表在一起检查灾难恢复计划
B.所有参加日常运营的员工一起来实施该计划
C.在不同的站点迁移系统,完成处理操作
D.分发计划的副本在各个职能区域以供检查复核"
```
A 针对DRP的预演测试包含各个职能部门的代表一起复核DRP来判断计划中涉及他们职能的部分是否准确和完备,并在需要时有效的实施。选项B是模拟测试,用于训练灾难和中断响应人员选项C是并行测试,确保关键的业务系统能够在备用站点正常运营,选项D是一个checklist测试。
156
```
156 "IS审计师在评审业务连续性计划时,下面哪一项是最值得关注的?
A.灾难级别是基于受损功能的范围上,而非基于灾难产生的时间影响持续上
B.低等级灾难时间和软件故障的区别不清
C.全部的业务连续性计划都被记录下来,但是没有详细的步骤
D.没有明确宣告灾难的职责"
```
D 如果没有宣告灾难的来临,响应和原计划将不会调用,所有其他的关注都被减弱。虽然疏于考虑灾难的持续性是一个问题,但是他不如没有考虑到灾难范围那样重要。事故和低等级灾难的差异总是不清晰。这个差异总是围绕在恢复事故所需的时间上。详细的复原步骤确实应该被记录下来,但实际上只要调用了业务持续性计划,没有记录这些并不意味着不能完成该计划。
157
```
157 "业务连续性计划使用哪种测试方法最合适?
A.试运行
B.纸面
C.单元
D.系统"
```
B 对与业务连续性计划的测试来说,纸面测试是最合适的,他可以预演整个计划,包括推理出特定灾难中执行计划的主要成员,选项ACD对于业务连续性计划是个不合适的。
158
```
158 "下列哪项有助于制定一个有效的业务连续性计划?
A.文档分发给有关各方
B.计划包含所有用户部门
C.高层管理者的批准
D.外部信息系统审计师对BCP实施审计"
```
B 在业务连续性计划中包含用户部门,以便识别业务处理优先次序,业务连续性计划的传阅将使业务连续性计划的文档确保被所有人员收到,虽然重要,但对于业务连续性计划的成功并不是最重要的,高层管理者对业务连续性计划的批准不能确保业务连续性计划的质量,必要的审计也不能提高业务连续性计划的质量。
159
```
159 "根据组织的业务持续性计划的复杂性,该计划可能会发展成为一个以上或多个计划,以解决业务连续性和灾难恢复的不同方面的要求,在这种情况下,至关重要的是:
A.每个计划彼此一致
B.所有计划都集成到一个单一的计划
C.每个计划都需要相互依存
D.对所有计划实施排序"
```
A 对于组织业务连续计划的复杂性,可以有一个或一个以上的计划,来解决业务连续性和灾难恢复的各个方面;并不需要将这些整合到一个单一的计划中。然而每个计划必须与其他计划相符并且与业务连续性策略相一致,对所有计划进行排序是不妥的,因为这些计划依赖于灾难的性质,危险和恢复时间而定。
160
```
160 "当审计一个非常重要的业务领域的灾难恢复计划时,某信息系统审计师发现其没有包含所有的系统。对这个审计员来说,下面哪个行动时最合适的?
A.通知管理层,并评估其没有包含系统的影响度
B.取消审计
C.完成现存DRP涉及的系统审计
D.推迟审计,直至所有系统都被包含到复原计划中"
```
A 信息系统审计师应该让管理层知道灾难恢复计划中漏掉了哪些系统。信息系统审计师应该继续审计且需要评估没有包含系统的影响度。其他选项都是不恰当的行为。
161
```
161 "当开发一个业务连续性计划时,应该用下列哪种形式来获得对组织业务流程的理解?
A.业务连续性自我审计
B.资源恢复分析
C.风险评估
D.差距分析"
```
C 风险评估RA和业务影响评估BIA是理解业务连续性的工具。业务连续性自我评价审计是评估业务连续性计划是否得当的工具。资源恢复分析是确认业务恢复策略的工具。虽然差距分析可以找出业务连续性中不足之处,但不可以用来对业务流程的理解。
162
```
162 "下列哪一项具体解决如何侦测组织IT系统的网络攻击和如何在攻击后恢复?
A.事件响应计划
B.IT意外事件计划
C.业务持续性计划
D.运行持续性计划"
```
A 事件响应计划确定事件的信息安全响应,例如系统或网络上的攻击。这个计划建立使安全人员去识别,消除和从恶意计算机事件中恢复的步骤,例如系统或数据的未授权访问,拒绝服务,或系统硬件或软件的未授权更改。IT意外事件计划解决IT系统崩溃和建立从主要应用或普通支持系统恢复的步骤。意外事件计划涉及从偶然错误中恢复方法,但不是它能解决识别或预防网络攻击。当从一个重大崩溃事件中恢复时,业务持续性计划提供业务过程和持续的业务运营。而一个网络攻击足够满足使业务持续性计划。事件响应程序被用来去阻止攻击,也能在攻击发生后恢复正常运行。运行持续性计划是组织任务的子集,被认为是最关键的,包括支撑短期可更换站点功能的程序。
163
```
163 "下面哪一项持续计划测试使用真实资源模拟系统崩溃以证明计划的有效性,同时符合成本效益原则?
A.桌面测试
B.效果测验
C.仿真测试
D.穿行测试"
```
C 仿真测试就是在当地进行全面测试,模拟系统灾难是所有需要的资源。该测试可以定期对计划的不同方面进行演练,是一个逐步证明计划有效性的、符合成本效益原则的方法,同时提供了是否需要增加额外的计划。桌面测试就是对灾难计划的一次穿行测试,涉及主要的测试恢复人员,这些人员试图确认在计划执行过程中,某一服务中断时会发生什么,桌面测试通常是在准备测试之前进行的,效果测试实际上是一个测试阶段,包括一组活动,如把所有资源都投放到他们合适的地方,断开设备,撤退人员以及第三方删除所有公司数据等,穿行测试主要是模拟灾情时管理层和员工的准备和理解情况,而不是实际的真正资源。
164
```
164 "一个组织在广泛地地理区域有一定数量的分支机构。在成本效益的原则下,为了确保灾难恢复计划的所有方面都评估到,一个IS审计师应该建议使用以下哪项?
A.数据恢复测试。
B.全盘测试。
C.后续测试。
D.准备测试。"
```
D 各个地方办事处/地区都应该进行准备测试,以测试在灾难事件发生时本地操作的准备充分性。这个测试应该针对计划的不同方面定期进行测试,也是一个逐步取得计划适当性证据的成本效益方法。数据恢复测试时一个局部的测试,将不能保证所有方面估计到。全盘测试对于地理上分散的分支机构不具有成本效益。后续测试是测试执行过程的阶段。
165
```
165 "以下哪项灾难恢复测试技术对于检测计划的有效性是最有效?
A.准备测试。
B.书面推演。
C.全面测试。
D.实际业务中断。"
```
A 准备测试涉及整个业务环境,同时帮助团队更好的理解和准备真正的测试方案。选项B,C和D对于获得测试证据不符合成本效益原则。书面推演即演练整个计划,但是没有环境模拟,能够获得的信息也很少。它也不利于团队获得理解测试计划的证据信息。选项D在大多数情况下不建议实施。选项C需要管理层同意,同时在大多数情况下也不容易测试而且有可能测试本身会造成灾难。
166
```
166 "对于一家医疗保健组织,以下哪个理由最能说明患者的福利数据仓库应留在组织内部,而不能外包出去进行离岸运营
A.存在有关数据隐私方面的法规
B.会员服务代表培训的成本过于高昂
C.监控远程数据库的难度较大
D.时区差异会对客户服务造成影响"
```
A 法规禁止个人可识别信息(PII)的跨境流动,这样也就不可能将包含客户/会员信息的数据仓库放到其他国家。培训成本、远程数据库监控和时区差异问题普遍且可管理,无论数据仓库所处何地。
167
```
167 "评估IT外包策略时,策略中包括以下哪一项时IS审计师最为关注
A.法律合规性责任的转移
B.推动签订长期而非短期合同
C.仅以子公司作为外包对象
D.没有成立跨职能合同管理团队"
```
A 遵守所有适用法律法规的最终责任应由进行外包或通过合同获得服务的公司,而非外部提供商承担。因此,转移此类责任既不可行,也与公司利益不符。尽管以上选项都成问题,但是在通过策略转移组织的法律合规性责任时,IS审计师最为担忧。
168
```
168 "当审计公司的电子邮件归档,审计师应最重视?
A.存在数据保留策略
B.归档解决方案的存储容量
C.用户使用电子邮件是认识水平
D.解决制造商的支持和稳定性的归档方案"
```
A 如果没有和公司的管理和法律法规遵从要求一致的数据保留策略,电子邮件归档和保存和复制也许不能满足要求选项B是不正确的,因为如果电子邮件没有的到很好的保存,该归档解决方案的存储是无关紧要的。选项C和D是不正确的,因为有关的用户认知水平和使用电子邮件以及解决制造商的支持和稳定性的归档方案不直接影响存档电子邮件的准确性和完整性。
169
```
169 "为了确保组织遵守隐私要求,一个信息系统审计师应首先评审:
A.IT基础设施
B.组织策略,标准和程序
C.法律和法规的要求
D.组织的策略,标准和程序"
```
C 为了确保该组织遵守关于隐私问题,一个信息系统审计师首先应解决法律和监管的要求。为了遵守法律法规和监管要求,组织需要采取适当的基础设施。在了解法律和监管的要求,审计师应该评估组织的策略,标准和程序,以确定它们是否充分解决隐私要求,然后复查遵守这些具体的策略,标准和程序。
170
```
170 "以下哪项最有可能是使一个客户数据仓库应该留在内部,而不是被外包出去的原因?
A.时区差异可能会阻碍IT团队之间的通讯
B.通讯费用可能远远高于开始的一年
C.隐私法律可能会阻碍跨境的信息流
D.软件开发可能需要更多的详细规格"
```
C 隐私权法律规定禁止个人身份信息跨境流动,即有一个包含本地客户的数据仓库不可能在另一个国家存在。那么时差和更高的通信费用更易于管理。在外包时,软件开发通常需要更详细的规格。
171
```
171 "下列哪个保险是由于雇员的欺诈行为所引起的损失?
A.业务中断
B.忠诚度保证
C.错误和遗漏
D.额外开支"
```
B 忠诚度保证损失是由雇员不诚实或欺诈行为所引起的。业务中断保险承担利润的损失,在一个组织的业务运作。错误和遗漏保险在事件中为有法律责任的专业人员的行为引起的客户损失提供保障。额外费用保险的目的是持续经营业务以涵盖以下灾难/组织内部中断的额外费用。
172
```
172 "下面那一个原因最好的描述了强制休假策略的目的?
A.确保员工能在多个职能中得到合适的交叉培训
B.提高员工的士气
C.在业务流程中识别潜在的错误和矛盾
D.作为成本节约的方法"
```
C 强制休假将帮助发现潜在的欺诈和不一致。为确保谁能访问敏感的内部控制或者流程而采取强制性的年度休假是最重要的。确保员工能在多个职能中得到合适的交叉培训可以提升员工的技能。提升员工的士气将帮助降低员工的倦怠。强制休假不一定是成本节约方法,要看企业的具体情况。
173
```
173 "要求休假或岗位轮换的主要控制目的是
A.允许进行交叉培训,实现个人发展
B.有助于保持员工士气
C.检查是否存在不恰当或违法的员工行为
D.提供有竞争力的员工福利"
```
C 在一个工作岗位上轮换工作人员的做法是一种可检查是否存在违规或欺诈行为的控制手段。尽管交叉培训也是保持业务持续性的有益做法,但它不是通过强制休假实现的。休假确实能让员工士气高昂,但他不是保留休假政策的主要理由。休假也是一项很有竞争力的福利,但它同样不是控制手段。
174
```
174 "在人力资源策略和组织内部的程序进行评审时,以下哪项的缺失,将会是信息系统审计师最关注的?
A.要求岗位定期轮换
B.正式的离职面谈过程
C.返还钥匙和公司财务,撤销所有访问权限的离职检查列表
D.对员工要求签署一份表格,表示其以阅读本组织的策略"
```
C 离职检查清单是至关重要的,确保了企业的逻辑和物理安全。除了防止发放的公司财产的损失,防止未经授权的访问,知识产权盗窃的风险,防止了一个心怀不满的前雇员对公司的破坏。而其它的选项是最佳实践,他们没有致力于公司最关键的风险。
175
```
175 "下列哪一个是实施一个IT员工兼职的最佳原因?
A.为确保公司职员不滥用公司资源
B.为了防止利益冲突
C.为了防止员工绩效问题
D.为了防止盗窃IT资产"
```
B 最好的理由来实施和执行规范兼职策略是为了防止利益冲突。利益冲突可能导致严重的风险,如欺诈,知识产权或其他不正当行为盗窃。其他选项是不正确的,因为这些问题如企业资源的滥用,IT资产的盗窃问题,并没有并没有严重的利益冲突。
176
```
176 "某金融服务公司有一个小规模的IT部门,其员工身兼多职。下面哪一个行为带来的风险最大?
A.开发者在生产环境中升级代码
B.业务分析员编写相关需求并执行了功能测试
C.IT经理同时兼任系统管理员
D.DBA同时执行数据备份"
```
A 如果开发人员能访问生产环境,则存在未经测试的代码会应用到生产环境中去的风险。在没有测试组的情况下,业务分析员经常做测试工作,是因为通过编写相关需求可以了解系统运行方面的详细信息。在一个小规模的团队当中,IT经理兼系统管理员是可以接受的,只要他不开发程序代码。选项D是不正确的,因为做备份是DBA的义务。
177
```
177 "一个关键的IT系统开发人员突然离职,下面哪一个选项是最重要的措施?
A.由HR和他进行一次离职面谈
B.启动交接程序,确保项目继续进行,
C.中止这个开发人员对IT资源的逻辑访问权限
D.确保管理部门办理好离职手续"
```
C 为了保护IT资产,管理层确认此员工离开企业的意图后,首先应该终止其对IT资源的逻辑访问。在雇佣关系的最后一天和HR面谈是必要的,但是这是次重要的事。只要在雇佣关系的最后一天移交资料给指定的人,这都没有问题。确保签署了离职手续固然重要的,但是不如终止IT系统访问权限来的关键。
178
```
178 "许多组织要求员工每年强制一周(或两周)休假,这是因为组织想确保?
A.组织不同职能的员工获得充足的交叉培训
B.维护员工士气和满意度,有助于确保有效的内部控制环境
C.通过临时替换一名雇员来发现进程中的一些违规行为
D.维持员工的满意度,以减少处理错误的风险"
```
C 一个组织内执行关键和敏感的职能的员工应该被要求停止工作一段时间,以确保检测出违规和欺诈。交叉培训是一种好的锻炼方法,但是,即使没有要求强制休假也能实现这样的效果。保持良好的员工士气和高度的满意度是有价值的目标,但是不应该被视为一种实现有效的内部控制制度的手段。尽管较高的员工满意度可能有助于减少工作失误,但这不是典型要求强制休假的理由。
179
```
179 "当员工服务终止时,最重要的行动是?
A.交出员工的所有文件到另一个指定雇员
B.完成对员工的工作备份
C.通知其他雇员他已经终止服务
D.禁用该员工的逻辑访问"
```
D 有一种可能性即终止服务的雇员可能滥用访问权限,因此,禁用终止服务的雇员的逻辑访问是最重要的需要采取的行动。所有的终止服务的员工的工作需要交给 一个指定雇员,但是这应是执行选项D后实施。所有终止服务的员工的工作需要进行备份和终止服务的员工需要通知给其他雇员,但这不应该在选项D行动之前。
180
```
180 "当火警开始响起的时候,一个信息系统审计师在数据中心执行审计。审计范围包括,灾难恢复,因此审计师需要观察数据中心新的工作人员对警报的反应,下列哪一项对数据中心的工作人员来说是最重要的活动?
A.通知当地消防部门
B.准备启动灭火系统
C.确保在数据中心的所有人员被疏散
D.从数据中心删除所有备份磁带"
```
C 在紧急情况下生命安全永远是第一优先的,该设施的完整和有秩序的疏散员工将是最重要的活动。通知消防部门的报警通常不需要,以为大多数中心配置为自动想地方当局报警,报告所需的数据。灭火系统也被设计为自动操作,并和激活时,工作人员尚未撤离可能会造成系统混乱和恐慌,导致伤亡甚至死亡。手动触发系统在一定条件下是必须的,但只有当所有其他数据中心的工作人员都安全撤离后。从数据中心备份磁带删除是不前档的行为,因为它可能延缓人员疏散。大多数公司会在异地存储备份磁带副本,以减轻灾害对这种类型的数据丢失的风险。
181
```
181 "许多组织要求雇员参加强制性休假一个星期或更长时间,该活动的目的是?
A.保持员工良好的生活质量
B.减少雇员的不当或违法行为的机会
C.提供适当的交叉培训的机会
D.防止员工休每次假只休一天而造成的潜在破坏"
```
B 要求比普通员工持续放假或休假一个星期以上的其他执行工作职能往往是强制性的对于一些敏感职位因为这减低了去犯不当或违法行为的机会,在这段期间,有可能出现更多正在发生的任何诈欺活动。选项ACD都是组织从强制休假当中获得的利益,但他们并不是这个策略简历的原因。
182
```
182 "一个组织的管理层已经决定建立安全宣传方案。以下哪个最有可能成为该计划的一部分?
A.利用入侵检测系统事件报告
B.强制规定使用密码来访问所有的软件
C.安装一个有效的用户登录系统跟踪每个用户的行动
D.定期对所有的员工进行培训"
```
D "利用入侵检测系统,报告事故发生是一个安全计划的实施,而不是建立一个有效的安全
| 安全意识计划。选项C没有解决意识问题。培训是唯一的安全意识宣传选择。"
183
```
183 "一个信息系统审计师审核一个组织使用交叉培训的方法时应该评估什么风险?
A.依赖一个人
B.继任规划不足
C.一个人知道系统的所有部分
D.操作中断"
```
C 交叉培训是培养一个执行更多的特定工作或程序的过程。这种做法有助于减少对一个人的依赖和协助继任规则,在人员短缺时这将提供一个备用,从而保障业务连续性。然而,在只用这种方法时谨慎的做法是先评估所知的任何一个系统和相关的所有部分的人的风险。交叉训练可以减少选项AB和D所面临的风险。
184
```
184 "下列哪项是交叉培训的风险?
A.增加了对员工的依赖
B.不能协助继任计划
C.一个员工可能知道系统的所有部件
D.无助于实现业务连续性"
```
C 当交叉培训时,审慎的做法是先评估所知的系统的任何一个部件会引起什么风险。交叉培训具有减少对员工的依赖性的优点,因此,可以是后续规划的一部分。由于员工因任何理由缺席时,它还可以提供备用人员,从而促进了业务的连续性。
185
```
185 "在审计业务连续性计划期间,某信息系统审计师发现:虽然所有的部门都在同一个办公楼内办公,但是每个部门都有独立的业务连续性计划。他建议将这些业务连续一致起来,下列哪个领域该被首先统一起来:
A.撤退计划
B.复原优先级
C.备份存贮
D.呼叫树"
```
A 在灾难相关的事件中人力资源的保护该被首先处理,独立的业务连续性计划可能导致与撤退计划之间的冲突,危害到员工及客户的人身安全,选项BCD仍然应该被讨论,以防他们之间冲突,或者减少花费的可能。但是,这些选项只有在人员安全问题被分析过后在考虑。
186
```
186 "业务连续性和灾难恢复计划中的首要目的?
A.保护关键信息系统资产
B.提供操作的连续性
C.最小化组织的损失
D.保护人员的生命"
```
D 因为人员的生命是无价的,所以业务连续性的灾难恢复计划中首要的优先级是确保生命,其他所有的优先级是重要的,但却是业务连续性和灾难恢复计划的第二目标。
187
```
187 "灾难恢复后的计划部署后,组织的灾难前和灾难后的成本将:
A.减少
B.维持不变
C.增加
D.增加或减少,由业务性质而定"
```
C 所有活动都有成本,灾难恢复计划DRP也不例外。灾难恢复计划DRP肯定有成本,但是部署DRP的话会导致未知的成本发生。
188
```
188 "作为业务持续计划的一部分,一家组织完成了一项业务影响分析(BIA)。流程中的下一步是制定:
A.业务持续性策略
B.测试与演练计划
C.用户培训方案
D.业务持续性计划"
```
A 业务持续性策略是下一阶段的工作,因为它能够识别最佳的恢复方式。在这一阶段,业务流程的关键性、成本、恢复需要的时间以及安全性都需要考虑。恢复策略和计划制定后才是测试计划。只有完成BCP之后,才能制定培训方案。必须在制定BCP之前确定一个策略。
189
```
189 "恢复策略的选择应该最有可能取决于:
A.基础设施和系统的修复费用
B.恢复站点的可用性
C.业务流程的关键性
D.时间响应过程"
```
C 选择恢复策略时,关键的业务流程是最重要的元素。在业务影响分析(BIA)时各项业务流程和支持应用程序的关键性和风险水平是被确定的。恢复基础设施的成本和系统的首要考虑不是用来确定恢复策略。但这并不意味着不关心成本,而在灾难情况下首先需要什么战略来保持业务运作。一个恢复站点的可用性不是一个因素,而是一个成果。在每一个组织中事件响应过程都是需要的,用以处理任何事件的类型。尽管如此,恢复策略的选择将不依赖于过程。
190
```
190 "在审查业务连续性计划时,信息系统审计师注意到何种情况将宣布为危机还没有做出定义。与此相关的重大风险是:
A.对形势的评估可能会推迟
B.灾难恢复计划的执行将受到影响
C.团队可能不会得到通知
D.识别潜在的危机可能无效"
```
B 灾难恢复计划的执行将受到影响,如果该组织不知道什么时候宣布危机。选项AC和D必须执行才知道是否宣布危机的步骤。问题和严重程度的评估,提供信息,宣布必要的灾难。一旦潜在的危机是公认 的,负责危机管理团队需要通知。延缓这一步,直到灾难已经宣布将否定影响小组的作用。潜在的危机识别是在应对灾难的第一步。
191
```
191 "要优化企业的业务连续计划(BCP)。审计师应建议业务影响分析(BIA),以确定:
A.业务流程为组织创造最大的经济价值,因此,首先必须恢复
B.优先事项和恢复秩序以确保和本组织的业务战略保持一致
C.企业关键业务必须在灾难后恢复,以确保组织生存
D.优先事项和恢复秩序将在短期内尽可能多的恢复"
```
C 为了保证组织的灾难后生存,重要的是要恢复最关键的业务流程。A.是一个常见的错误,是过分强调紧迫性。例如,当收入的抵押贷款支付的处理很重要,从财务角度看,它可能会推迟在灾难发生后的几天。另一方面,线上资金贷款,没有产生直接收入,更是由于管理问题,客户投诉和信誉问题的可能性更是至关重要。选择B和D是不正确的,因为长期的业务策略也不是单纯的恢复系统数量在这个时间点的直接影响。
192
```
192 "最佳业务连续性策略的一个实例,是由:
A.最低停机成本和最高恢复成本
B.最低停机成本和恢复成本总和
C.最高停机成本和最低恢复成本
D.停机成本和恢复成本的平均值"
```
B 这两种成本必须最小化,并且该策略是最低成本的最佳策略。最高的恢复成本策略不能是最佳的。最高的停机成本策略不能成为最佳战略。停机成本和恢复的成本的平均值将高于最低的当机时间和恢复的综合成本较高。
193
```
193 "在确定关键业务流程在可接受的时间内恢复时:
A.只有停机费用需要考虑
B.恢复操作进行分析
C.同时对停机成本和恢复成本进行评估
D.间接停机费用应该被忽略"
```
C 停机成本和恢复成本需要在确定之前,在关键业务流程可接受的时间内评价。该业务影响分析(BIA)的结果应该是一个恢复策略,表述最佳平衡。停机时间成本不能孤立的加以研究。信息资产越快可以得到恢复和业务恢复,停机时间成本越小。然而,有关开支需要有多余的能力恢复所需信息资源,可能是不重要的业务流程忽略。恢复操作不会确定为关键业务流程可接收时间恢复,间接费用应在停机是被认为直接产生现金流,由于业务中断,严重扰乱了正常的商业活动,例如,客户和供应商的商誉,以及市场份额的损失,间接成为实际上可能超过直接成本,随着时间段推移,从而达到在企业的生存能力的威胁顶点。
194
```
194 "在一项业务连续性计划的设计期间,业务影响分析(BIA)确定关键流程和支持的应用程序。这将主要影响:
A.维持业务连续性计划和责任
B.甄选恢复站点的提供者
C.恢复战略
D.关键人员的职责"
```
C 在最合适的战略选择的基础上相对风险程度及危害性,和BIA的标准确定。其他的选项都是在作出选择或适当的恢复战略的设计之后。
195
```
195 "在一项业务连续性计划的设计时期,业务影响分析(BIA)确定关键流程和支持的应用程序。这将主要影响:
A.维持业务连续性计划的责任
B.甄选恢复站点的提供者
C.恢复策略
D.关键人员的策略"
```
C 在最合适的战略选择的基础上性对风险程度及危害性,和BIA的标准确定。其他的选项都是在做出选择或适当的恢复战略的设计之后。
196
```
196 "下列哪种方法能使业务连续性管理过程中建立最优化的次序?
A.分配到每个系统的恢复时间目标
B.对信息进行机密性分级
C.恢复技术表示了系统架构的建立
D.估计可能容忍的停运行期业务收益损失"
```
A RTO是一个在业务连续管理过程中用于建立计划次序重要的参数,来自于业务影响性分析的结果,恢复目标时间用于决定最优恢复次序,一个较低信息保密级别系统可以拥有比较紧迫的恢复时间需求。例如市场价格服务体系中的坚定的投资,商人通常不会在没有数据和信息的情况下为任何人最大量交易,因此,分机型保密措施,将舞蹈优先次序的判断,BCP中可能包含一些技术分来实施,因而,收益损失不是一个制定恢复任务次序目的第一手资料。
197
```
197 "下列哪一个灾难恢复或连续性计划在灾难发生后提供了最大的恢复保证:
A.使用备用设施直到原来信息处理设施恢复
B.用户管理层来识别关键系统以及关键系统相关的关键时间点
C.计划的恢复时间取决于主要决策人员
D.对管理者题反馈,确认业务连续性计划的当前的规程是实际的、可运行的"
```
A 灾难发生后备用设施应该可用,直到保证恢复在灾难发生之前。如果没有这个保证,计划将不会成功,所有其他的选项都是优先保证这个计划的执行。
198
```
198 "在准备灾难恢复计划时下列哪一个任务是应该最先被执行的?
A.制定恢复策略
B.进行业务影响分析(BIA)
C.描述出软件系统,硬件系统和网络系统等组件
D.任命恢复团队的人员、角色和等级"
```
B 灾难恢复计划的第一步是执行一个业务影响分析(BIA),所有其他任务紧接着开始。
199
```
199 "组织通过风险评估的完成威胁和脆弱性分析,最终报告建议主要互联网网关应部署入侵防御系统(IPS),此外所有的业务单位应通过代理防火墙隔离。为确保控制是否该实施,以下哪个是最好的方法?
A.成本效益分析
B.年率预期损失计算
C.比较IPS、防火墙和业务系统成本
D.业务影响分析(BIA)"
```
A 成本效益分析是通过比较项目的成本和效益来评估项目价值的一种方法,以寻求在投资决策上如何以最小的成本获得最大的效益。预期的ALE是指损失超过一年的资产估计,在判断控制必要性方面是一个有用的计算方式,但并不充分;硬件资产的成本应该与硬件资产保护信息的整个价值作比较,包括存放数据的系统成本。潜在的业务冲击只是成本收益分析的一部分。选项C和D是站在这个问题的角度没有考虑到整体。
200
```
200 "业务影响分析(BIA)的主要目的是?
A.提供灾难后运营的计划
B.识别影响组织运行持续性的事件
C.公开对机构物理和逻辑安全的评鉴
D.提供一个有效的灾难恢复计划的框架"
```
B 业务影响分析是开发BCP的关键步骤。BIA需要识别各种影响组织运行连续性的事件。IS审计师应该能够评估BIA。在其职责说明中其任务描述为:评估组织的BCP以确保在IT中断期间基本业务运营的持续性的能力。审计师有必要知道BIA过程包含什么内容以便其能恰当的评估它。然而,一个CISA考生不考BIA如何执行或用什么方法执行。
201
```
201 "完成业务影响性分析(BIA)后,应该处理下面的哪个步骤:
A.测试和维护计划
B.制定准备计划
C.制定恢复策略
D.落实计划"
```
C 制定连续性计划的下一步是识别不同的恢复策略,并选择最恰当的灾难恢复战略,选定后需要开发。测试以及部署特定的BCP计划。
202
```
202 "下列业务连续性计划的哪一部分需要首先在业务影响分析中被识别。
A.组织风险,如单点失效和基础设施风险
B.关键业务流程的威胁
C.确定关键业务的恢复优先级
D.恢复业务的资源分析"
```
C 关于业务的恢复优先级是首先需要确认的,组织风险应该在关键业务威胁之后紧接着确认,业务重新开始的资源应该在之后提及。
203
```
203 "制定一个成功的业务连续性计划,最终用户在下列那个阶段涉入是最关键的?
A.业务恢复战略
B.制定详细计划
C.业务影响分析(BIA)
D.测试和维护"
```
C 最终用户在业务影响分析阶段涉入最关键。在这个阶段中,需要理解当前业务需求的现行运行方式和评估各种灾难对于业务的冲击。最终用户是提供信息最合适的人选。在这个步骤中最终用户参与不充足可能造成对业务优先级错误的理解,会影响BCP对机构真实需求的满足程度。
204
```
204 "在业务连续性审计期间,某信息系统审计师发现业务连续性计划仅包括了重要系统,该审计员应如何做?
A.建议业务系统持续性计划包括所有业务系统
B.评估未包括的系统的影响
C.向IT经理报告
D.重新定义重要系统"
```
B 业务影响分析BIA需要被更新。以评估计划未包含过程的价值,这应该是所有的过程,包括成本可能会超出这些成本的价值,审计是应该分析风险来证实这一点。
205
```
205 "审查灾难恢复计划(DRP)时,IS审计师应在发现缺乏以下那个选项时最为关注
A.流程负责人的参与
B.详细记录的测试程序
C.备用的处理设施
D.详细记录的数据分类方案"
```
A 流程负责人的参与是业务影响分析(BIA)的重要组成部分,BIA用于创建DRP,如果IS审计师确定流程负责人并未参与,则会林人非常担忧。尽管详细记录的测试程序很重要,但除非流程负责人参与否则无法了解测试程序是否有效。可能需要备用处理设施来满足业务需求,但此类决策需求确是以BIA为基础的。数据分类方案对确保数据控制恰当非常重要,但是,仍然不及缺乏流程负责人的参与令人担忧。
206
```
206 "业务影响分析(BIA)的主要目标是?
A.定义恢复策略
B.确定可选择的另一个站点
C.改进恢复测试
D.计算年度损失预期"
```
A 主要业务影响评估(BIA)的主要成果之一是获得恢复时间目标和恢复点目标,即帮助定义恢复策略。主要业务影响评估BIA(业务影响分析)本质上不能帮助确定可选择的另一个站点和改进恢复测试。关键业务资产和流程是的年度损失预期是由主要业务影响评估提供的,但是他不是首要的优势。
207
```
207 "如下哪一项能够最好的帮助定义灾难恢复策略?
A.年度损失预期和暴露因素
B.最大可容忍的停机时间和数据损失
C.已经存在的服务器和网络冗余
D.数据备份和离线存储需求"
```
B 业务影响分析的一个关键成果是获得恢复时间目标和恢复点目标,即最大可容忍的停机时间和数据损失。它可以为恢复策略的制定提供进一步的帮助。年度损失预期和暴露因素通常更多是与风险关联的。知道已经存在的服务器和网络冗余也是好的,但是RTO和RPO是设计恢复策略所必需的。数据备份和离线存储需求对与业务连续计划是一个重要的方面,但是这些不能独立的帮助制定灾难恢复策略。
208
```
208 "为了实施业务影响分析来确定应用系统的关键性,需要咨询的重要的人群是?
A.业务过程所有者
B.IT管理人员
C.高级业务管理人员
D.工业专家"
```
A 业务过程所有者拥有最相关的业务信息,既然业务影响分析被指定评估业务需要的关键性,选项B和C是不正确的,因为,尽管IT管理人员和高级管理人员必须参与,但是他们可能不是完全知道需要被保护的业务过程。选项D是不正确的,因为业务影响分析取决于组织特有的业务需要。
209
```
209 "一个信息系统审计师被安排检查一个组织的技术恢复策略的充分性,审计师主要检查下列哪个因素?
A.恢复时间目标
B.业务影响分析
C.严重灾难的恢复能力
D.恢复点目标"
```
B 业务影响分析能识别出在一个业务过程或IT服务中由于一个中断引起的财政的,运行的和服务影响,因此业务影响分析驱动技术恢复策略。恢复时间目标是灾难发生后,业务或IT服务需要多么快被恢复的要求。所有类型的事件中恢复的能力应该被检查而不是仅检查严重灾难的恢复能力。恢复点目标一个组织及时恢复数据的点。
210
```
210 "在生产环境中,以下哪一个是确定每一个应用系统关键程度的最好方法?
A.访谈应用程序员
B.差距分析
C.审查最近的应用审计
D.业务影响分析"
```
D 业务影响分析给出了每个应用系统故障的影响程度。访谈应用程序员尽可以获得少量关于系统关键程度的信息;差距分析只是于系统开发和项目管理有关;审计可能不包含所需要的信息或者最近就没有做过。
211
```
211 "组织实施了灾难恢复计划,下面要进行哪一步?
A.获得高级管理层支持
B.识别业务需求
C.进行桌面测试
D.进行系统恢复测试"
```
C 最佳实践就是要进行桌面测试,高级管理层的支持和业务需求的识别都是在制定计划之前要做的。计划制定之后。第一步要做的就是桌面测试,然后就是系统测试或者是全面测试。
212
```
212 "IS审计师在执行一项独立系统分类审计时,应该把系统可以在可接受成本范围内进行长期手动运行的系统分类为?
A.关键的
B.重要的
C.敏感的
D.不关键的"
```
C 敏感系统是最符合在可接受的成本范围内长时间手动操作要求的。关键的动能除非被相同的功能替代,否则他们不能被手动。重要的功能指那些可以被手动操作但不仅限于短时间内的。这是因为和关键功能相比,它中断成本更低。不关键的功能被长时间中断也可能只对企业造成很小的损失或没有损失。因此需要很少时间或成本来重新运营。
213
```
213 "维护灾难恢复计划的运营开销与没有灾难恢复计划的运营开销相比,下列描述最接近的是:
A.增加
B.减少
C.相同
D.无法预知"
```
A 由于灾难恢复计划的措施需要额外的费用,在一个灾难恢复计划实施后对于任何组织来说费用通常都是增加的,非灾难周期的正常操作的开销要比没有灾难恢复计划时的大。
214
```
214 "信息系统审计师发现企业架构(EA)是采取最近当前状态的组织。不过,该组织已启动了一个独立的项目开展优化未来状态。信息系统审计师应该?
A.建议单独的项目应尽快完成
B.在审计报告中作为一个结论来报告这个问题
C.推荐采用的Zachmann架构
D.重新审核,把单独项目包括在新的范围内 "
```
B 这是至关重要的环境评估,包括未来的状态,因为当前状态和未来状态的差距将决定它的战略和战术计划。如果EA..不包括未来状态,踏实不完整的,而这一问题应作为一项调查结果报告。选项A不正确,因为审计师通常不会提供对项目投入的时间,而是提供了目前的环境价格评价。在这种情况下最关键的问题是,EA是尚未完成,因此,审计人员最应报告这个问题。选项C是不正确的,因为该公司可以自由选择任何EA框架而信息系统设计师不应该建议一个具体的框架。选项D不正确,因为该变量一个审计项目的范围包括二级项目不是一个现实的项目。
215
```
215 "为了支持企业目标,信息系统部门应该有:
A.低成本理念
B.长期和短期计划
C.领先的技术
D.购买新的硬件和软件的计划"
```
B 为确保组织的总体目标的实现,信息系统部门应该有长期和短期计划,该计划与组织更广泛的计划有一致的可实现的目标。选项A和C是目标,并且这些计划将需要划定将每项目标将如何得以实现。选项D是一个整体计划的一部分,但他将被要求只有硬件或软件需要达成组织的目标。
216
```
216 "在审计短期战术计划,信息系统审计师应确定:
A.在项目中IS跟业务人员的整合
B.对IS使命和远景的明确定义
C.信息技术战略规划方法到位
D.该计划与业务目标和IS目标相关"
```
A 在项目中IS跟业务人员的整合是操作问题,在审评短期计划时应该考虑到。一个战略计划将为短期计划提供一个框架。选项BCD是由战略计划所包含的区域。
217
```
217 "下列哪项是信息系统审计师需要考虑的和短期规划最相关的?
A.分配资源
B.保持目前技术的先进性
C.开展控制自我评估
D.硬件需求评估"
```
A 信息系统部门应详细的考虑到在短期内在哪里分配那些资源的方式。投资在IT中需要与最高管理层的战略相一致,而不是由于技术原因以技术为中心。开展控制自我评估和评估硬件需求并不如在短期内为信息系统部门分配资源来得关键。
218
```
218 "为了协助正在规划IT 投资的组织,信息系统审计师应该推荐使用:
A.项目管理工具
B.面向对象的架构
C.战术规划
D.企业架构(EA)"
```
D 在结构化的方法中,EA包括记录组织的IT资产和流程以便IT投资理解,管理和规划。这既包括当前状态和未来最佳状态。尝试完成一个EA,组织可以解决无论是从技术的角度还是业务的过程问题。项目管理不考虑IT投资方面,它是一个工具在提出项目时用以援助。面向对象的架构是一个软件开发方法,不能协助规划IT投资,战术规划是经过高层次是IT投资做出的决策。
219
```
219 "当审计基于角色的访问控制系统(RBAC)时,信息系统审计师发现一些IT安全员工已经在某些服务器上具有修改或删除事务日志的管理系统管理员权限。以下哪个是该系统审计师应给的最佳建议?
A.确保这些员工得到充分的监管
B.确保交易日志备份保留
C.实时控制以检测这些更改
D.确保在事务日志实时写入只能一次写入和多次读取的(WORM)驱动器"
```
D 因为需要拥有系统管理员权限做他们的工作,IT安全员工访问事务日志通常是不可必免的。在这种情况下最好的控制来避免未未经授权的事物修改日志,是实时把事务日志写到WORM驱动器中。值得注意的是,简单的将事务日志备份到磁带是不够的,因为数据可能在每日备份作业执行前(通常是晚上)被修改。选项A是不正确的,因为IT安全员工不能按传统的方法进行监督,除非是主管监控他的每次在工作站上的按键操作,这显然不是一个实现的选择输入。选项B是不正确的,因为事务日志备份保留组织不了备份前未被授权的修改。选项C是正确的,因为日志文件本身是一个未经授权更改的主要证据是,这是一个充足的检测控制。保护日志文件以防止修改需要预防控制,如安全记录日志。
220
```
220 "电子邮件的什么策略最有可能降低收集相关电子证据的风险:
A.销毁策略
B.安全策略
C.归档策略
D.审计策略"
```
C 在不透露其他机密电子邮件记录的情况下,凭借良好的归档电子邮件记录,访问或检索特定电子邮件记录的策略是有可能的安全性和/或审核策略不会解决记录检索的效率,并且摧毁电子邮件,可能是一种非法行为。
221
```
221 "下列哪项代表了对于IT人员预防控制方面的例子?
A.审查数据中心的访客日志
B.一个跟踪用户IP地址登录的日志服务器
C.IT设施中进入系统的证章制度的执行情况
D.一个可以追踪员工电话的记账本"
```
C 预防性控制是用来降低不良事件发生的概率、证章进入制度将防止未经许可进入设施。审查日志,日志服务器或电话呼叫计费系统在大多数情况下是检查控制。
222
```
222 "一个信息系统审计师正在执行组织的软件质量管理过程评审,第一步应该是?
A.验证组织如何遵循该标准
B.识别和报告目前适当的控制
C.评审品质的评价指标
D.要求获取所有被该组织接受的标准"
```
D 该软件的质量管理过程审评的第一步应该是确定该组织通过了的标准形式的评价指标。除非审计师以确定存在什么样的标准,确定先关的控制和评审的质量指标,是次要的标准鉴定。
