知識點分類練習題答案與解析

1、知識點分類練習題（3）-與題號題目知識點1如果IT支持和最終用戶之間存在職責分離問題，則以下哪一項適合作為補償性控制措施？ A限制對計算設備進行物理 B對交易和應用程序日志進行C在聘用IT之前執(zhí)行背景 D在特定的一段時間無活動后，將用戶會話鎖定B僅對交易和應用程序日志進行 便可直接處理因職責分離不當而造成的 問題。此類 可以檢測不當行為，并且還可以 濫用行為，因為原本打算采取 行為的 會 其有可能被抓獲。如果職責分離不充分，這一點很有可能會在對數(shù)據(jù)和計算資源進行邏輯 時被利用，而不是物理 。選項C是很有用的控制，可以確保IT值得信賴并月盡職盡責，但并不能為缺少最佳職責分離這一問題提供直接有效的

2、解決方案。選項D的作用是防止的用戶獲得系統(tǒng)權限，但如果缺少職責分離，將更容易導致正式獲得的被有意或無意的。IT組織架構、角色和職責的相關知識2一位IS審計師在一家采用交叉培訓實務的組織時，應評估以下哪種風險：A對某個人的依賴性 B接任計劃不充分 C某個人了解系統(tǒng)的所有組成部分 D運營中斷C交叉培訓是指對多個 進行培訓，以使其執(zhí)行具體工作或流程的過程。此實務有助于降低對某個人的依賴程度，并且可為接任計劃提供輔助作用。駕 缺席時，該實務可以提供替補 ，從而保證運營不間斷。然而，使用這種方法時需謹慎，應首先評估目標人員了解系統(tǒng)所有部分將會帶來的風險，以及可能 的 風險。交叉培訓可以降低選項A、B和D

3、中提到的風險。IT組織架構、角色和職責的相關知識3在無法對職責進行適當分離的環(huán)境中，IS審計師將會尋求以下哪一種控制？A控制 B邊界控制C控制 D補償控制D補償控制屬于 控制，在無法適當分離職責時，可以降低現(xiàn)有或潛在控制弱點可能 的風險。 控制是針對同一控制目標或暴露風險實施的兩種控制。由于在無法分離職責或無法適當分離職責時不能實施主要控制，因此很難采取 控制措施。邊界控制用于在計算機系統(tǒng)的目標用戶與計算機系統(tǒng)本身之間建立接口，并且是基于個人而非角色的控制。對資源的 控制基于個人而非角色。IT組織架構、角色和職責的相關知識4下列哪項活動不應該由數(shù)據(jù)庫管理員（DBA）執(zhí)行？ A刪除數(shù)據(jù)庫活動日志

4、B實施數(shù)據(jù)庫優(yōu)化工具C數(shù)據(jù)庫使用情況 D定義備份和恢復流程A因為數(shù)據(jù)庫活動日志的是數(shù)據(jù)庫管理員（DBA）執(zhí)行的活動，所以不應由DBA刪除而應由獨立第三人來刪除。這是一種有助于確保職責分離適當?shù)难a償控制，并且與DBA的職責密切相關。DBA在正常操作中應執(zhí)行其他活動。IT組織架構、角色和職責的相關知識5要求休假或崗位輪換的主要控制目的是： A允許進行交叉培訓，實現(xiàn)個人發(fā)展 B有助于保持員工士氣 C檢查是否存在不恰當或違法的員工行為 D提供有競爭力的員工福利C在一個工作崗位上輪換的做法是一種可檢查是否存在或行為的控制。盡管交叉培訓也是保持業(yè)務持續(xù)性的有益做法，但它不是通過強制休假實現(xiàn)的。休假確實能讓

5、員工士氣高 昂，但它不是保留休假政策的主要理由。休假也是一項很有競爭力的福利，但它同樣不是控制。IT組織架構、角色和職責的相關知識6以下哪個選項屬于交叉培訓風險？ A增加對某個員工的依賴程度 B無法對計劃給予幫助C某個員工可能了解系統(tǒng)的所有組成部分 D對實現(xiàn)連續(xù)運營不提供幫助C進行交叉培訓時的謹慎做法是，首先評估目標了解系統(tǒng)所有部分將會帶來的風險，以及可能的風險。交叉培訓的優(yōu)點 是，可以降低對某個員工的依賴程度，因此，可作為計劃的一部分。當由于任何原因缺席時，交叉培訓也可以提供替 補，從而保證運營不間斷。IT組織架構、角色和職責的相關知識7IS審計師發(fā)現(xiàn)，根據(jù)IS政策，已離職的用戶ID在離職后

6、90天內(nèi)被禁用。該IS審計師應該： A由于禁用發(fā)生在IS政策中規(guī)定的時間范圍內(nèi)，因此報告該控制正在有效運行。B驗證是否基于按需 原則授予用戶 權限。 C建議更改IS政策以確保離職后立即禁用用戶ID。 D建議定期 被終止用戶的活動日志。C雖然政策提供了執(zhí)行IS審計任務的參照標準，但是IS審計師需要審查該政策的適當性。如果IS審計師認為定義的禁用時間范圍不適 當，該審計師需要就此問題與管理部門，并建議對該政策進行更改。雖然禁用發(fā)生在政策中規(guī)定的時間范圍內(nèi)，但不能因此確定該控制為有效。最佳做法是要求立即禁用已終止的用戶ID。授予權限時，有必要驗證是否基于按需原則授予用戶權限。建議定期已終止用戶的活動

7、日志是一種好的做法，但不如在終止用戶ID后立即禁用有效。IT組織架構、角色和職責的相關知識8以下哪項將削弱團隊的獨立性？ A確保遵循開發(fā)方法B檢查測試假設C修正測試過出現(xiàn)的編碼錯誤 D檢查代碼以確保正確C代碼修正不應當是 團隊的責任，因為這樣便無法確保明確的職責分離，從而削弱團隊的獨立性。其他選項都是有效的質(zhì)量保障職能。IT組織架構、角色和職責的相關知識9下列哪個原因能夠最佳地描述強制休假政策的目的？ A保證員工能夠相應地獲得多種職能的交叉培訓B員工士氣C識別業(yè)務過的潛在錯誤或不一致情況 D作為一種節(jié)省成本的方法C強制休假有助于發(fā)現(xiàn)潛在的錯誤或不一致情況。保證有機會接觸到敏感控制或流程的 每年

8、進行一次強制休假最為重要。保證員工能夠相應地獲得多種職能的交叉培訓可以 員工的技能提高員工士氣有助于減少員工倦怠情緒。強制休假不一定是節(jié)省成本的方法，這要視企業(yè)的具體情況而定。IT組織架構、角色和職責的相關知識10某金融服務企業(yè)設有一個小規(guī)模的IT部門，從而需要單個員工身兼數(shù)職。以下哪種做法帶來的風險最大？開發(fā)將代碼應用到生產(chǎn)環(huán)境中。業(yè)務分析編寫相關需求并執(zhí)行功能性測試。 CIT經(jīng)理同時執(zhí)行系統(tǒng)管理工作。 D數(shù)據(jù)庫管理員（DBA）同時執(zhí)行數(shù)據(jù)備份。A如果開發(fā) 能進入生產(chǎn)環(huán)境，則存在將 測試的代碼應用至生產(chǎn)環(huán)境中的風險。在尚未設有專門測試小組的情況下，業(yè)務分析人員通常也可以執(zhí) 試工作，因為分析

9、通過編寫相關需求可以了解系統(tǒng)運行方面的詳細信息。在小規(guī)模的團隊中，只要IT經(jīng)理不同時參與代碼開發(fā)，便允許其執(zhí)行系統(tǒng)管理工作。由于執(zhí)行備份屬于DBA職責的一部分，因此選項D不正確。IT組織架構、角色和職責的相關知識11某關鍵的IT系統(tǒng)開發(fā)突然從某企業(yè)辭職。以下哪個選項屬于最重要的措施？ A安排與人力資源部門（HR）的離職面談。 B啟動交接流程以確保項目的連續(xù)性。C終止此開發(fā)對IT資源的邏輯。 D確保管理部門辦好離職手續(xù)。C為保護IT資產(chǎn)，管理部門確認此員工離職的明確意圖后，首先應終止其對IT資源的邏輯 ，這也是最重要的措施。在最后一個雇傭日安排與HR面談也很必要，但這處于次要地位。只要與指定員工

10、的交接流程能夠在最后一個雇傭日完成，便不存在任何問題。確保管理部門辦好離職手續(xù)固然重要，但與終止系統(tǒng)的 相比，便顯得無足輕重。IT組織架構、角色和職責的相關知識12在執(zhí)行IT安全風險評估時，IS審計師已邀請IT安全專員與用戶及業(yè)務部門代表一同參加風險識別專題研討會。為了會議取得成功和將來不發(fā)生，IS審計師應最重要的建議是什么？ A確保IT安全風險評估具有明確界定的范圍。 B要求IT安全專員在與會期間各風險等級。 C建議安全專員接受業(yè)務部門風險及。 D只選擇上報等級最高的公認風險。AIT風險評估在具有明確界定的范圍時才有效并達到風險識別目標。如適用，IT風險評估應包括與其他領域風險評估的關系。其

11、余選項都是在探討如何為風險 ，但整個評估流程的成功主要在于確保其范圍廣度足以涵蓋所有的風險。如果范圍過大，風險評估將難以開展，這可能導致未來 的發(fā)生。企業(yè)風險管理的知識13組織的 恢復計劃（DRP）中包含互惠協(xié)議時，應采用以下哪項風險應對方法？A轉(zhuǎn)移 B緩解 C回避 D接受B互惠協(xié)議是一種風險緩解形式，它是指兩家組織達成一致，在出現(xiàn)時相互提供計算資源。如果兩家組織的信息處理設施類似，這種合一作形式往往非常有效。因為互惠協(xié)議的期望效果是擁有有效的DRP，所以它是一種風險緩解策略。風險轉(zhuǎn)移是指將風險轉(zhuǎn)移給第，例如，為可能帶來風險的活動保險。風險回避是指，決定停止帶來風險的業(yè)務或活動。例如，一家公司

12、為避免信息而停止接受付款。風險接受是指，組織決定不進行風險緩解或轉(zhuǎn)移，坦然接受風險。企業(yè)風險管理的知識14風險管理流程所產(chǎn)生的結(jié)果可以作為制定以下哪一項的依據(jù)：A業(yè)務計劃。 B審計章程。 C安全政策決策。D設計決策。C風險管理流程針對的是制定安全相關的特定決策（如可接受的風險等級）。選項A、B和D不是風險管理流程的最終目標。企業(yè)風險管理的知識15一名IS審計師受聘請對電子商務的安全性進行。IS審計師首先執(zhí)行的任務是檢查現(xiàn)有的每個電子商務應用程 序，從而確定是否存在。那么，接下來應該執(zhí)行哪項任務？ A立即向首席信息官（CIO）和首席執(zhí)行官（CEO）風險。 B檢查正在開發(fā)的電子商務應用程序。 C確

13、定和發(fā)生概率。 D檢查可用于風險管理的。CIS審計師必須先識別資產(chǎn)、確定是否存在，然后再確定和發(fā)生概率。選項A、B和D應該與CIO進行，然后向CEO提交一份。該應包括結(jié)果、優(yōu)先級和成本。企業(yè)風險管理的知識16制定風險管理方案時，首先執(zhí)行以下哪項活動？ A評估B對數(shù)據(jù)分類 C清點資產(chǎn) D分析重要性C在制定風險管理方案期間，第一步是確定要保護的資產(chǎn)。列出可對這些資產(chǎn)的性能產(chǎn)生影響的 以及執(zhí)行重要性分析都屬于該流程中稍后進行的步驟。在定義 控制以及執(zhí)行重要性分析時才需要對數(shù)據(jù)進行分類。企業(yè)風險管理的知識17一個團隊在執(zhí)行風險分析時，難以推斷某種風險可能造成的經(jīng)濟損失。要評估潛在的損失，該團隊應當：

14、A計算相關資產(chǎn)的攤銷（amorization）。 B計算投資回報（ROI）。G采用定性方法。 D花費相應的時間來準確定義損失金額。C難以計算經(jīng)濟損失時，通常的做法都是采用定性方法，即受到風險影響的管理根據(jù)因子來確定經(jīng)濟損失（例如，1表示對業(yè)務影響非常小，而5表示對業(yè)務影響非常大）。有可儲金或收益（可以與實現(xiàn)該收益所需的投資進行比較）時才計算ROI。攤提用在損益表中，而不用于計算潛在損失?；ㄙM相應的時間來準確定義總金額通常都是一種錯誤的做法。有時很難預計潛在的損失（例如，因而使組織公眾形象受損，從而造成損失），這種情況是不可避免的，可能到最后也無法進行良好的評估。企業(yè)風險管理的知識18以下哪一項

15、表示缺少適當?shù)陌踩刂疲?AB資產(chǎn) C影響 D弱點D缺少適當?shù)陌踩刂凭捅硎敬嬖谌觞c這將使敏感信息和數(shù)據(jù)在風險中，而破壞、或的。這會造成敏感信息丟失、組織喪失信譽。國際標準化組織（150）的 IT安全管理準則中對風險進行了簡要定義：“特定利用某資產(chǎn)或一組資產(chǎn)的弱點，對資產(chǎn)造成損失或破壞的可能性?！痹摱x中的各種要素包括：弱點、資產(chǎn)和影響。在這種情況下，缺乏適當?shù)陌踩δ芫捅硎敬嬖谌觞c。企業(yè)風險管理的知識1估風險時，最好通過以下哪項來完成：A要評估風險，需要使用定性或定量風險評估方法對和進行評估。選項B、C和D可能也會為風險評估流程提供幫助，但就單獨的每一項而言，還夠如果基于對過往的損失進行評估

16、，將無法充分反映公司在IT資產(chǎn)、項目、控制措施和策略環(huán)境方面的必然變化?？晒┰u估的損失數(shù)據(jù)對應的范圍和質(zhì)量也可能存在問題。類似組織在IT資產(chǎn)、控制環(huán)境和策略環(huán)境方面與本組織有所不同。因此，不能直接使用其損失經(jīng)驗來對組織的IT風險進行評 估在審計流確定的控制弱點與評估組織是否在中相關，并且可能需要執(zhí)行進一步分析才能判斷組織是否會受到。視審計覆蓋范圍而定，目前可能只對部分重要的資產(chǎn)和項目進行了審計，并且可能還未對性風險進行充分評估。企業(yè)風險管理的知識A評估與現(xiàn)有IT資產(chǎn)和IT項目相關的。 B利用公司在以前積累的損失經(jīng)驗來確定目前的風險。C對類似組織發(fā)布的有關損失的統(tǒng)計數(shù)據(jù)進行。 D對審計中確定的I

17、T控制弱點進行。20為了應對操作 不執(zhí)行日常備份所帶來的風險，管理人員要求系統(tǒng)管理員簽字認可日常備份。這是以下哪種風險的示例：A規(guī)避。 B轉(zhuǎn)移。 C緩解。 D接受。C風險緩解策略提供了應對所述風險的控制措施及其實施方法。風險規(guī)避策略只是說明了不要執(zhí)行某些可帶來風險的特定活動或流程。風險轉(zhuǎn)移策略說明了與合作伙伴分擔風險，或取得承保范圍。風險接受策略說明了正式承認風險的存在并對其進行 。企業(yè)風險管理的知識21選擇不當以及通過未受保護的通信線路進行數(shù)據(jù)傳送屬于以下哪項的示例：A BC概率 D影響A表示可能會被 利用的信息資源的特性。 是指可能會對信息資源造成損害的環(huán)境或事件。概率表示發(fā)生 的可能性。

18、影響表示某種 在利用 后所產(chǎn)生的結(jié)果或 。企業(yè)風險管理的知識22對風險評估流程進行審計的信息系統(tǒng)審計師首先應該確認：A已確定對信息資產(chǎn)的合理。 B已分析技術與組織。 C已對資產(chǎn)進行標識和等級劃分。 D已對潛在安全的影響進行評估。C通過確定信息資產(chǎn)并對其分級（例如，數(shù)據(jù)重要性、資產(chǎn)所在位 置），可以按照資產(chǎn)在組織中的價值來確定風險評估的基調(diào)或范 圍其次，應根據(jù)資產(chǎn)對組織的價值來分析各種組織資產(chǎn)所的。第三，應確定弱點，以便對控制措施進行評估，從而確定這些措施是否能減少弱點所 的 。第四，分析這些弱點在缺少給定控制措施的情況下，將會對組織信息資產(chǎn)造成何種影響。企業(yè)風險管理的知識23一名IS審計師正在

19、IT安全風險管理方案。解決安全風險的措該：A解決所有網(wǎng)絡風險。 B依照IT策略計劃被持續(xù)。 C考慮整個IT環(huán)境。D確定對的程度。C評估IT安全風險時，考慮整個IT環(huán)境非常重要。解決安全風險的措側(cè)重于重要性最高的那些領域，目的是以盡可能最低的成本來最大程度降低風險。IT策略計劃 以精確地提供相應的措施。必須根據(jù)可衡量的目標來對目標指標進行持續(xù) ，因此，通過將今天的結(jié)果與上周、上個月、上個季度的結(jié)果進行比較，可以使風險管理得到增強。風險解決措施將對網(wǎng)絡上的資產(chǎn)進行 ，以使客觀地衡量 風險。但不會確定 程度。企業(yè)風險管理的知識24以下哪個選項代表與IT相關的預防性控制的示例？數(shù)據(jù)中心的者日志用于用戶

20、登錄印地址的日志服務器 C對IT設施實施證章進入系統(tǒng)D用于對員工的呼叫情況進行的計費系統(tǒng)C預防性控制用于降低發(fā)生不良事件的可能性。證章進入系統(tǒng)將會阻止 的 設施。在大多數(shù)環(huán)境中，對 者日志、日志服務器或 呼叫計費系統(tǒng)進行 都屬于檢測性控制。企業(yè)風險管理的知識25實施風險管理方案時，應首先考慮以下哪一項？ A了解組織中存在的、及風險B了解風險和潛在的危害C確定基于潛在的風險管理優(yōu)先級 D足以使風險所產(chǎn)生的保持在可接受水平的風險緩解策略A風險管理是有效的治理的成果之一，實施風險管理時，首先需要全面了解組織中存在的、弱點及風險概述。在此基礎 上，可以了解風險和危害的潛在。然后，便可確定基于潛在的風險

21、管理優(yōu)先級。這將為制定以下風險緩解策略提供依 據(jù)：足以使風險所產(chǎn)生的保持在可接受的水平。企業(yè)風險管理的知識26在審計流，信息系統(tǒng)審計師注意到某個中等規(guī)模組織的部門不具備單獨的風險管理職能，并且該組織的運營風險文檔中僅包含幾類泛泛而談的風險。在這種情況下，以下哪個選項是最適當?shù)慕ㄗh？ A創(chuàng)建一個IT風險管理部門，并且在外部風險管理的幫助下建立一個IT風險框架。 B使用通用的行業(yè)標準輔助程序?qū)F(xiàn)有風險文檔分為多個單獨的風險類型，以便更易于處理。 C無需任何建議，因為當前的方法適合于中等規(guī)模的組織。D定期召開風險管理會議以確定和評估風險，D定期召開 風險管理會議是在中等規(guī)模的組織中確定和評估相關風險

22、、解決相應的管理責任問題以及保持風險列表和緩解計劃處于 狀態(tài)的最佳方法。中等規(guī)模的組織通常不會設立單獨的 風險管理部門。此外，這些風險通常是很容易處理的，因此無需外部幫助。通用的行業(yè)標準僅適用于常見風險，因此不能解決某個組織在特定情況下 。不在組織內(nèi)進行詳細地評估，將不會發(fā)現(xiàn)具體的風險類型。將一個風險狀況分為多個風險狀況 以解決問題。企業(yè)風險管理的知識27可將特定的總體業(yè)務風險表示為： A影響的可能性和影響大小的乘積（如果成功利用）B影響的大小（如果源成功利用弱點）C特定源利用特定弱點的可能性 D風險評估團隊的集體判斷A選項A考慮到影響的可能性和大小，因此為資產(chǎn)風險提供了最佳的衡量方法。選項B

23、僅提供了利用資產(chǎn)中弱點的可能性，但沒有提供對該資產(chǎn)造成可能損害的程度。同樣，選項C僅考慮到損害程度，但沒有考慮到利用弱點的可能性。選項D基于判斷定義風險，這不適合于科學的風險管理流程，但該方法也經(jīng)常使用而且有時也相當有效。企業(yè)風險管理的知識28組織完成作為風險評估一部分的和分析之后，最終的建議在主要互聯(lián)網(wǎng)網(wǎng)關安裝人侵防御系統(tǒng)（IPS），而且應通過分離所有業(yè)務部門。以下哪項是用于確定是否應采取控制措施的最佳方法？ A成本效益分析B年預期損失（ALE）計算CIPS和成本與業(yè)務系統(tǒng)成本的對比 D業(yè)務影響分析（BIA）A在成本效益分析中，會相對于預期總收益確定總采購和運營/支持成本以及所有活動的預期定

24、性值的權重，以便選擇技術最佳、最盈利、成本最低或風險可接受的選項。ALE是針對一年期以上資產(chǎn)估算的預期金錢損失它是確定控制必要性時所應引人的非常有用的計算，但只進行這種計算并不夠。應比較硬件資產(chǎn)的成本和資產(chǎn)所保存的信息的總價值，包括數(shù)據(jù)所在的系統(tǒng)和數(shù)據(jù)傳輸所涉及的系統(tǒng)的成本。潛在業(yè)務影響只是成本效益分析的一部分。企業(yè)風險管理的知識29企業(yè)IT的風險偏好最好由誰決定： A首席法務官。安全管理。審計。督導。D企業(yè)的IT風險偏好最好由督導決定，因為此的成員均為管理。雖然首席法務官能夠為政策提供法律方面的指 導，但仍無法決定公司的風險偏好。安全管理小組主要關注的是安全狀況的管理，無法決定安全狀況。審計

25、不負責設定企業(yè)的風險承受能力或偏好。企業(yè)風險管理的知識30對于有效的業(yè)務連續(xù)性管理，以下哪個選項最重要？ A恢復站點安全可靠并與主站點保持適當距離。 B定期測試恢復計劃。 C恢復站點具有經(jīng)過全面測試的各用硬件。 D多家服務提供商均可提供網(wǎng)絡連接。B定期測試恢復計劃對于確保任何所做計劃和的可行性。其余選項更側(cè)重于策略性考慮，相對于測試，其重要程度略低。如果發(fā)生，選項A、C和D將更加重要。序的知識31在審計恢復計劃（DRP）時，IS審計師應最關注以下哪種情況？ADRP尚未進試。 B團隊新成員尚未閱讀DRP。 C負責DRP的管理最近已辭職。 DDRP手冊未定期更新。A如果DRP尚未進試，則該計劃很有

26、可能不完整或不充分。這種情況應引起IS審計師的注意，因為組織將無法準確評估計劃是否切實可行。如果團隊新成員對計劃不熟悉，現(xiàn)有成員可以提供幫助，所以這不是一個嚴重問題。雖然流失經(jīng)驗豐富的可能會帶來一些問題，但如果該計劃的適用性已經(jīng)過事實驗證，那么在發(fā)生時，經(jīng)驗的也能夠執(zhí)行所需的工作職能。與未測試DRP相比，未定期更新DRP手冊是次要的關注問題。序的知識32某金融機構近期開發(fā)和安裝了一套連接到客戶和自動提款機（ATM）的新型存款系統(tǒng)。項目期間，開發(fā)團隊與業(yè)務連續(xù)性團隊保持著良好的交流溝通，（BCP）也進行了相應更新以將新系統(tǒng)包括其中。適合在此時執(zhí)行的BCP測試應是：A使用實際資源模擬系統(tǒng) B對整體

27、計劃進行全面的紙上走查 C對接口應用程序進行滲透測試D在指定的第二站點上執(zhí)行系統(tǒng)故障轉(zhuǎn)移A預期情況是，新系統(tǒng)的基本恢復機制已被充分理解，恢復基礎架構也已部署到位。適合在此時執(zhí)行的測試就是使用實際資源進行模擬恢復演習。此演習將在受控環(huán)境下測試新的恢復基礎架構。如果恢復選項已在開發(fā)過 得到充分考慮（關鍵任務系統(tǒng)有此類要求），紙上穿行的價值并不大。安全評估或滲透測試對于任何在互聯(lián)網(wǎng)上的應用程序都很重要，但應早已在該過執(zhí)行完畢。選項D不正確，因為執(zhí)行故障轉(zhuǎn)移測試以評估組織從眾多問題中恢復的準備程度。序的知識33某IS審計師正在數(shù)據(jù)中心執(zhí)行審計，這時火警器突然響起來。由于審計范圍包括恢復，所以該審計師開

28、始觀察數(shù)據(jù)中心員工對警報的響應情況。此時對于數(shù)據(jù)中心的員工來說，以下哪項措施最重要？ A向當?shù)叵啦块T通報火警情況。 B準備啟動消防系統(tǒng)。C確保數(shù)據(jù)中心的所有均現(xiàn)場。 D從數(shù)據(jù)中心轉(zhuǎn)移所有備份磁帶。C緊急情況下，生命安全應始終放在第一位；因此，首先要做的是有序 所有現(xiàn)場 。通常沒有必要向消防部門通報火警情況，因為大多數(shù)數(shù)據(jù)中心的火警警報器都被配置為自 當?shù)叵啦块T報警。消防系統(tǒng)也同樣設置為自動操作，在 尚未 的情況下啟動該系統(tǒng)可能會造成 和 ，導致 受傷甚至 。某些情況下可能需要手動觸發(fā)該系統(tǒng)，但必須在數(shù)據(jù)中心的所有其余安全 之后進行。從數(shù)據(jù)中心轉(zhuǎn)移備份磁帶不是適當之舉，因為這有可能延誤 的

29、。大多數(shù)公司都在異地存有備份磁帶的副本，以在發(fā)生此類 時降低數(shù)據(jù)損失的風險。序的知識34作為業(yè)務持續(xù)計劃的一部分，一家組織完成了一項業(yè)務影業(yè)務持續(xù)性策略是下一階段的工作。因為它能夠識別最佳的恢復方式。在這一階段，業(yè)務流程的關鍵性、成本、恢復需要的時間以及安全性都需要考慮?；謴筒呗院陀媱澲贫ê蟛攀菧y試計劃。只有完成BCP之后，才能制定培訓方案。必須在制定BCP之前確定一個策略。響分析（BIA）。流 A業(yè)務持續(xù)性策略。 B測試與演練計劃。 C用戶培訓方案。的下一步是制定：A序的知識D業(yè)務持續(xù)性計劃（BCP)。35測試的主要目標是：測試為可能存在的任何限制提供了最佳。使員A使員工熟悉。工熟悉是測試的

30、次要好處。解決中B確保解決所有剩余風險。D的剩余風險并不具有成本效益，并且測試所有可能的切合實際。方案也不C練習所有可能的 D識別方案。 的限制。序的知識36進行業(yè)務連續(xù)性審計期間，以下哪個選項在信息系統(tǒng)審計師進行驗證時是最重要的？A及時執(zhí)行數(shù)據(jù)備份。 B與某個恢復站點簽約，并且該站點在需要時可用。在任何業(yè)務連續(xù)性流，最重要的元素是保護人的生命安全。此元素優(yōu)先于計劃的所有其他方面。CC已制定安全規(guī)程。序的知識D有足夠的承保范圍并且按時支付當期保險費。37評估效能的最佳方法是：先前的可為的效能提供。與標準進行的關鍵方面，A計劃并將其與適當標準進行比較 B先前的C應急流程和員工培訓比較可在一定程度

31、上保證該計劃解決B但不會顯示有關其效能的任何信息。應急流程、異地和環(huán)境控制可以了解該計劃某些方面的詳細信息，但不能為該計劃的整體效能提供保障。序的知識D異地和環(huán)境控制38業(yè)務連續(xù)性策略時，IS審計師與組織中的主要利益相關者面談，來確定他們是否理解各自的角色和責任。IS審計師將嘗試評估：IS審計師應該與組織中的主要利益相關者面談，來評估他們對各自角色和責任的理解程度。當所有利益相關者對自身在發(fā)生時的角色和責任有很細致的了解時，IS審計帥就能夠確信該組織的A的明確性和簡潔性。的充分性。的效能。是明確和簡潔的。要評估充分性，IS審計師應計劃B并將其與適當標準進行比較。要評估效能，IS審計師應先前的A

32、C。這是效能評估的最佳例定方法。主要利益相關者對各自DIS和最終用戶員工在緊急情況下的響應能力。角色和責任的理解將有助于確保有效。要評估響應序的知識能力，IS審計師應連續(xù)性測試的結(jié)果。這樣可為IS審計師提供符合目標和恢復時間的保障。需要應急流程和員工培訓，以確定該組織是否實施了涉及有效響應的計劃。39一份時，IS審計師注意到，某種情況被宣布為 的臨界點尚未進行定義。與此相關的主要風險是：A對這種情況的評估可能會延遲。B恢復計劃的執(zhí)行可能受影響。 C可能不會通知相關團隊。D潛在識別可能會無效。B如果組織不知道何時宣布，會影響到的執(zhí)行。選項A、C和D是在了解是否要宣布時必須執(zhí)行的步驟。問題和嚴重程

33、度評估可以提供時所必需的信息。識別某個潛在危機后，需要通知負責管理的團隊。如果延遲此步驟直到已經(jīng)宣布，則會使響應團隊的設置無效。潛在識別是響應的第一個步驟。序的知識40某個組織剛剛完成了年度風險評估。關于，IS審計師應該建議以下哪個選項作為該組織的下一步驟？A并評估的充分性 B完全模擬C對員工進行與相關的培訓和教育D通知中的關鍵聯(lián)系人A每當為該組織完成一次風險評估后，都應該。被認為已經(jīng)適合該組織后，才應該進行員工培訓和計劃模擬。此時無需通知的聯(lián)系人。序的知識41觀察完整的模擬時，IS審計師注意到組織設施內(nèi)系統(tǒng)可能會受到組織基礎架構的損壞而嚴重影響。IS審計師可向組織提供的最佳建議是確保： A對

34、搶修團隊進行使用通知系統(tǒng)方面的培訓。 B通知系統(tǒng)具有備份恢復功能。 C在通知系統(tǒng)中構建冗余。 D將通知系統(tǒng)存放在保險庫中。C如果通知系統(tǒng)已受到基礎架構損壞的嚴重影響，冗余將是最好的控制措施。即使接受了使用通知系統(tǒng)方面的培訓，搶修團隊也無法使用嚴重損壞 系統(tǒng)。備份恢復不會對通知系統(tǒng)產(chǎn)生任何影響，而如果建筑物損毀，將通知系統(tǒng)存放在保險庫的價值并不大。序的知識42IS審計師可以通過以下哪項來驗證組織（BCP）的有效性： ABCP是否與行業(yè)最佳實踐保持一致。 B由IS和最終用戶員工執(zhí)行的業(yè)務連續(xù)性測試的結(jié)果。 C異地設施及其內(nèi)容、安全性和環(huán)境控制。 DBCP活動的年度財務成本與計劃實施的預期收益的對比

35、B評估BCP有效性的最佳方法是以往的業(yè)務連續(xù)性，以了解實現(xiàn)測試所指定的目標的完全性和準確性。其他所有選項均無法保證BCP的有效性。序的知識43一個金融服務組織正在制定并業(yè)務連續(xù)性措施。IS審計師最有可能在以下哪種情況下提出問題？ A組織使用良好的實踐準則而非行業(yè)標準，并且依作外部顧問來確保方法的充分性。 B圍繞一組精心選擇的情景（描述了可能以合理的概率發(fā)生的事件）對業(yè)務連續(xù)性進行了計劃。 C恢復時間目標（RTO）未考慮IT恢復約束（例如恢復階段中的或系統(tǒng)依存關系）。 D組織計劃租用一個具有應急工作場所的共享備用站點，該站點只具有可供半數(shù)普通員工使用的空間。B對業(yè)務連續(xù)性進行情景規(guī)劃是一個常見錯

36、誤。問題是不可能對每個可能情景的活動進行計劃和 。只針對所選情景進行計劃否定了這樣一個事實：即使不大可能發(fā)生的事件也可能導致組織 。最佳實踐計劃所針對的是可能受到 形響的四個方面：經(jīng)營場所、系統(tǒng)和供應商以及其他依存關系?？蓪⑺星榫皻w為這四類并同時對其進行處理。只有非常少的特殊情景需要額外的單獨分析。針對此類重要使用最佳實踐和外部建議不失為一個很好的主意，原因很明顯：并不是每個組織都擁有相應水平的預備知識以及對于所采取措施的充分性的良好判斷力。恢復時間目標（RTO）是以確保組織生存所需的基本業(yè)務流程為基礎的，因此，恢復時間目標以能力為基礎是不恰當?shù)摹Ｗ罴褜嵺`準則建議應急站點應具有20-40的正

37、常容量；因此，如果沒有其他，50的值將不是問題。序的知識44一個IT恢復措施已經(jīng)實施到位并且進行了多年定期測試的中等規(guī)模組織剛剛制定了一個正式的（BCP）。已經(jīng)成功進行了基本的BCP桌面演練。驗證新 BCP的充分性之后，IS審計師接下來應建議進行以下哪項測試？ A全面測試（將包括IT部門在內(nèi)的所有部門轉(zhuǎn)移到應急站點）對一系列預定義情景（涉及所有關鍵）進行的穿試IT恢復測試（涉及關鍵應用程序時涉及業(yè)務部門）情景功能測試（有限IT參與）D完成桌面演練之后，下一步將是功能測試，其中包括調(diào)配相關實踐恢復的管理功能和組織功能。由于恢復的IT部分已經(jīng)過多年測試，因此在IT實際參與全面測試之前驗證和優(yōu)化BC

38、P會更為有效。全面測試將是進入常規(guī)年度測試日常之前的最后一步驗證過程。上述情況下的全面測試可能失敗，因為這是第一次對計劃進行實際演練，并且會浪費大量的資源（包括IT資源）和時間。穿 試是最基本的測試類型。其目的是使關鍵 熟悉計劃及 關鍵計劃要素，而不是驗證計劃的充分性。應用程序的恢復應始終由業(yè)務來驗證和 ，而不應完全由IT驅(qū)動。 恢復測試不能幫助驗證與IT無關的BCP的管理和組織部分。序的知識45以下哪項是成功測試恢復計劃（DRP）最重要的要求？A所有已辨別資源的參與 B由管理層測試情景 C事先通知所有受影響的員工 D由IT管理層測試情景B由管理層測試情景有助于確保測試演習與業(yè)務要求相關，且符

39、合業(yè)務要求。獲得管理層對測試的支持對于成功完成恢復測試。選項A不正確，因為D對應足夠靈活，以便在有任何可用適用。選項C不正確，因為如果未計劃在測試演習中引起中斷或其他問題，則不必事先通知受影響的員工。選項D不正確，因為由企業(yè)管理的測試情景往往更能反映業(yè)務需求。IT管理層可選擇一種更注重IT優(yōu)先級的測試情景，但這可能不會很有效。序的知識46為了進行適當協(xié)調(diào)，以下哪項（BCP）測桌面測試的主要目的是進行適當協(xié)調(diào)，因為其涉及團隊的所有試需要管理/響應團隊的相關成員的參與？成員或某些成員，而且更加關注于協(xié)作和交流問題而非技木細節(jié)。A桌面測試 B功能測試 C全面測試功能測試涉及各個地理位置的和資源的調(diào)配

40、。全面測試涉及企A業(yè)范圍的參與及外部組織的全面加入。在給定的選項中，穿試所需的投入最少。其目標是促使所有領域的關鍵都熟悉BCP。序的知識D穿試47以下哪項是確保方法？（BCP）保持的最佳結(jié)構化穿定弱點。試匯集了來自各個部門的代表，他們將計劃并確確保特定系統(tǒng)可以在備用異地設施中實際充分發(fā)揮作A B對計劃的不同情景進行穿行（從開始到結(jié)束）。確保特定系統(tǒng)可在備用的異地設施中實際充分發(fā)用的能力是一種并試，這種測試不涉及會議。集閉對于完程度最大的測試。A全中斷測試程序的認識是對常規(guī)運營和業(yè)務揮作用。盡管加強溝通很重要但這并不是最有效的方法。序的知識C了解完全中斷測試的程序。D提倡部門間的溝通，以便更好地

41、對作出應對。48恢復計劃的結(jié)構化穿行性測試包括： A來自各個職能領域的代表集中到一起共同評審計劃。 B參與日常運營的所有員工集中到一起在實踐中執(zhí)行計劃。C將系統(tǒng)移動到備用處理站點并執(zhí)行處理操作。恢復計劃的結(jié)構化穿試涉及來自各個職能領域的代表集中到一起共同評審計劃以確定分屬于各個職能領域的計劃是否正確和完整，以及是否可以在需要時實施。選項B是一種模擬測試，用于A培訓響應和中斷所需的。選項C是一種并試，用于確保關鍵系統(tǒng)在備用站點正常運行。選項D是一種測試。序的知識D將計劃副本分發(fā)到各個職能領域進行。49實施將：恢復計劃之后，組織的前和后運營成本所有活動都具有與之相關的成本，恢復計劃也不例外。盡管存

42、恢復計劃未得到實施，在與恢復計劃相關的成本，但如果A降低。 B不變（保持相同）。 C提高。D提高或降低（取決于業(yè)務的性質(zhì)）。會導致一些未知的成本。C序的知識50信息系統(tǒng)審計師注意到組織具有針對各個單獨流程的充分根據(jù)組織復雜程度的不同，可以針對業(yè)務連續(xù)性和恢復的不同的，但不具有全面的。信方面制定多個計劃。不必將這些計劃整合為一個單獨的計劃；但是，每個計劃都應與其他計劃保持一致，從而實現(xiàn)可行的息系統(tǒng)審計師最應采取以下哪項行動？ A建議額外制定一個全面的B（BCP）策略。B確定是否一致。序的知識C接受 D建議制定單獨的。51某個具有遍布于廣大地域多個辦事處的組織制定了一個災難恢復計劃。使用實際資源時

43、，以下哪項是最具有成本效益的 恢復計劃測試？A全面運試 B準備情況測試 C紙上測試 D回歸測試B準備情況測試由各當?shù)剞k事處/區(qū)域執(zhí)行，目的是測試當?shù)剡\營機構是否為恢復做好了充分準備。紙上測試是恢復計劃的結(jié)構化穿試，此測試應在準備情況測試之前進行。全面運試在紙上測試和準備情況測試之后進行。回歸測試不是恢復計劃測試，該測試用于。序的知識52組織的恢復計劃應盡早解決以下哪項恢復： A所有信息系統(tǒng)流程。 B所有財務處理應用程序。 C只有IS經(jīng)理指定的應用程序。 D按照業(yè)務管理制定的優(yōu)先級順序處理。D業(yè)務管理部門應了解哪些系統(tǒng) 以及需要在 發(fā)生前的什么時候?qū)@些系統(tǒng)進行適當處理。制定和 計劃是管理 的責

44、任。一旦發(fā)生 ，便不會有充足的時間對此進行決策。IS和信息處理場所是輔助一般用戶管理 成功完成工作的服務組織。序的知識53恢復計劃（DRP）可設法解決：A（BCP）的技術方面。 BBCP的運營部分。 CBCP的功能方面。 DBCP的整體協(xié)調(diào)。ADRP是BCP的技術方面。業(yè)務恢復計劃所針對的是BCP的運營部分。序的知識54財務處理組織的恢復計劃（DRP）的IS審計師發(fā)現(xiàn)了以下問題：現(xiàn)有的恢復計劃是兩年以前由組織IT部門的一名系統(tǒng)分析利用運營部門的交易流程計劃編制的。該計劃已經(jīng)提交給了首席執(zhí)行官（CEO）進行和正式發(fā)布，但仍處于等待的階段。從未對該計劃進行更新和測試，也沒有在關鍵管理和員工之間傳閱

45、該計劃，盡管面談表明每個人都了解當其所處的領域發(fā)生破壞性事件時所應采取的行動。 IS審計師應在中提出建議：ACEO未批準該計劃。 B設立由高級經(jīng)理組成的理事會來現(xiàn)有計劃。 C批準現(xiàn)有計劃并在所有關鍵管理和員工之間進行傳閱。 D由一名經(jīng)理負責在指定的時間期限內(nèi)協(xié)調(diào)制定一個新的計劃或修訂的計劃D主要問題是制定一個能夠反映當前處理量的切實可行的恢復計劃，以保護組織免受任何破壞性事件的影響。CEO無法實現(xiàn)這一目標，而通常這也并不是IS審計師的建議范疇。設立理事會對計劃（已過期兩年）進行到更新的計劃，但這似乎不會在短期內(nèi)完成；在未確保現(xiàn)有計劃切實可行的情況下便對其進行發(fā)布是很荒唐的。在短時間內(nèi)制定出恢復

46、計劃的最佳方法是安排一個有經(jīng)驗的經(jīng)理負責在指定的時間期限內(nèi)對其他經(jīng)理的知識進行整合，生成正式的文件。序的知識55對于恢復/連續(xù)性計劃，以下哪點可為災后恢復提供最大保證？ A備用設施在原始信息處理場所得到恢復之前始終可用。B用戶管理參與關鍵系統(tǒng)及與其關聯(lián)的關鍵恢復期的確定。C將計劃副本存放在關鍵的家中。 D向管理提供反饋，使管理確信業(yè)務連續(xù)性計A備用設 在原始站點恢復之前始終可用，這樣才能對災后恢復提供最大保證。如果沒有這一保證，計劃將不會成功。其他所有選項確保的是計劃的優(yōu)先順序或執(zhí)行。序的知識56為確保信息處理場所的可用性，下列哪一項必須成立？A站點靠近主站點以確保快速而高效地實現(xiàn)恢復 B站點

47、中包含最先進的可用硬件 C監(jiān)測主站點的工作量以確保備份充足 D安裝硬件時對其進試以確保硬件可以正常工作C必須確保資源的可用性。必須監(jiān)測站點的工作量以確保應急備份的可用性不受影響。所選站點不應該受到與主站點相同的自然 的影響。此外，硬件/ 適度的兼容性是備份的基礎。最近或的硬件可能 以滿足這一要求。建立站點時對硬件進 試非常重要，但對實際備份數(shù)據(jù)進行定期測試也有必要，因為可以確保其按計劃持續(xù)運行。序的知識57與沒有恢復計劃相比，有恢復計劃時持續(xù)的成本最有可能：A增加。 B降低。 C保持不變。 D無法。A由于采用恢復計劃措施會產(chǎn)生額外成本，因此任何組織的正常成本在恢復計劃實施后總會有所增加，也就是

48、說在沒有災難期間，有恢復計劃的正常成本會比沒有恢復計劃的成本高。序的知識58完成業(yè)務影響分析（BIA）后，（BCP）過的下一步是什么？A測試和計劃 B制定具體計劃 C制定恢復策略 D實施計劃C在連續(xù)性計劃的制定過 ，下一階段是識別出各種恢復策略并選出最適用于 恢復的策略。選出策略之后，才會制定、測試和實施具體計劃。序的知識59下列哪種測試方法適用于？ A試點測試B紙上測試 C單元測試 D系統(tǒng)測試B紙上測試是最適合測試的方法。整個或部分計劃將得到詳細的逐步測試，會涉及到計劃執(zhí)行過可推斷出特定中可能發(fā)生什么情況的主要參與者。選項A、C和D都不適用于。序的知識60下列哪個選項最能促使形成有效的？ A

49、文件分發(fā)給所有相關方。 B所有用戶部門均參與計劃。 C計劃得到高級管理層的批準。 D審計由外部IS審計師執(zhí)行。B確定業(yè)務處理的優(yōu)先順序時，得到用戶部門的參與。通過分發(fā)可以確保所有用戶均收到文件。盡管這很重要，但是卻無法決定成功與否。即使通過了高級管理層的，的質(zhì)量也無法保證，而進行審計也不一定會提高其質(zhì)量。序的知識61和恢復計劃的主要目標是： A保護關鍵的IS資產(chǎn)。 B為連續(xù)運營做好準備。 C盡量減少組織損失。D保護人身安全。D生命無價，因此任何和恢復計劃都應該將保護人身安全放在第一位所有其他優(yōu)先事項固然重要，但都是和恢復計劃所要實現(xiàn)的次要目標。序的知識62根據(jù)組織復雜程度的不同，可將計劃制定為

50、多個計劃的組合，以便解決業(yè)務連續(xù)性和恢復不同方面。在此情況下，有必要做到： A各計劃彼此之間保持一致。 B所有計劃可以綜合到一個單獨的計劃中。 C各計劃彼此依存。 D所有計劃的實施順序得以確定。A根據(jù)組織復雜程度的不同，可以針對業(yè)務連續(xù)性和 恢復的不同方面制定多個計劃。這些計劃不必綜合到同一個計劃中。但是各計劃必須與其他計劃保持一致，這樣才能形成一個可行的策略。實施計劃的順序可能無法確定，因為這取決于 的性質(zhì)、重要程度、恢復時間等。序的知識63在審計關鍵業(yè)務領域的恢復計劃時，某IS審計師發(fā)現(xiàn)此計劃沒有涵蓋所有系統(tǒng)。下列哪項是該IS審計師最應該采取的行動？ A向管理層發(fā)出警告并評估不涵蓋所有系統(tǒng)

51、的影響。 B取消審計C完成現(xiàn)有恢復計劃所涵蓋系統(tǒng)的審計工作。 D推遲審計直至將相關系統(tǒng)添加到恢復計劃中。AIS審計師應該讓管理 了解到 恢復計劃中遺漏了某些系統(tǒng)。 IS審計師應該繼續(xù)審計工作，同時還應評估 恢復計劃不涵蓋所有系統(tǒng)的影響。取消審計、忽略有些系統(tǒng)未被涵蓋的事實或推遲審為不得當?shù)男袨?。序的知識64在制定時，應該使用下列哪種工具來了解組織的業(yè)務流程？A業(yè)務連續(xù)性自我審計 B資源恢復分析 C風險評估 D差距分析C風險評估和業(yè)務影響評估均是用于了解業(yè)務之間連續(xù)性計劃的工具。業(yè)務連續(xù)性自我審計是用于評估是否充分的工 具，資源恢復分析是用于確定業(yè)務恢復策略的工具，而差距分析在（BCP）中的作用

52、是判斷計劃中的缺陷。這些都不能用來了解業(yè)務。序的知識65IS審計師在時，以下哪種情況最令其擔憂？級別的確定以受損職能的涉及范圍為基礎，而不以持續(xù)時間為基礎。低級別和事故之間的區(qū)別不明確。c雖然了整體，但并沒有具體說明詳細的恢復步驟。D沒有確定由誰負責宣布的發(fā)生。D如果沒有人宣布 的發(fā)生，響應和恢復計劃就不會被調(diào)用，這比其他所有擔心 都嚴重。盡管沒有將持續(xù)時間考慮在內(nèi)確實是個問題，但是持續(xù)時間并沒有涉及范圍重要，而且二者也沒有讓某人調(diào)用計劃重要。事故和低級別 之間的區(qū)別始終是不明確的，而且這一區(qū)別通常由糾正損害所需的時間決定。缺少詳細步驟這一情況應當存檔 ，但是如果實際上有人調(diào)用了計劃，缺少詳細

53、步驟這一情況并不意味著恢復不充分。序的知識66審計期間，某IS審計師發(fā)現(xiàn)，盡管所有部門在同筑物中辦公，但是每個部門都有各自獨立的。該IS審計師建議協(xié)調(diào)。應該首先協(xié)調(diào)以下哪一個領域？A疏散計劃 B恢復優(yōu)先級 C備份 D呼叫樹A在與相關的事件中應該先保護人力資源。如果互相獨立，則可能導致各疏散計劃彼此，進而危及到員工和客戶的安全。選項B、C和D對于不同的部門可能屬于特有問題，而且可以單獨處理，但是仍應該其中可能存在的和/或降低成本的可能性，但是這些只能在分析完人身安全問題之后予以解決。序的知識67為了使（BCP）能夠在開發(fā)后得到有效實施，最重要的是BCP應該：在公司外部的安全設施中。得到管理批準。

54、傳達到相關。 D通過內(nèi)聯(lián)網(wǎng)提供。C相關得到通知且了解BCP的各個方面后，BCP的實施才能生效。如果將BCP置于安全的地方，則無法傳達到具體用戶，用戶也便無法實施BCP，從而導致BCP無效。管理的是設計BCP的先決條件。將BCP置于企業(yè)內(nèi)聯(lián)網(wǎng)上也無法保證員工都能閱讀或了解到此BCP。序的知識68以下哪一項專門針對的是如何檢測對組織IT系統(tǒng)進行的網(wǎng)絡以及如何從中恢復？ A事故應對計劃（IRP）BIT應急計劃C（BCP）D運營連續(xù)性計劃（COOP）AIRP用于確定對諸如系統(tǒng)和/或網(wǎng)絡受到網(wǎng)絡等事故做出的信息安全響應。此計劃建立的流程能夠使安全確定和減少計算機事故（例如，對系統(tǒng)或數(shù)據(jù)的、服務（DoS）

55、或?qū)ο到y(tǒng)硬件或的更改）以及從這些事故中恢復。IT應急計劃針對的是IT系統(tǒng)中斷問題，并且建立了從主要應用程序或常規(guī)支持系統(tǒng)中恢復的流程。該應急計劃提供了從意外故障中恢復的方法，但無法確定或預防網(wǎng)絡。BCP針對的是各種業(yè)務流程，并提供了從 中斷事故中恢復時維持基本業(yè)務 的流程。當網(wǎng)絡 嚴重到需要采用BCP時，可以使用IRP來確定應采取的措施，包括停止 的措施以及在受到 后恢復正常運營的措施。 COOP針對的是組織最重視的一部分任務，并且描述了短時間內(nèi)在備用站點維持這些功能的流程。序的知識69以下哪項是可模擬系統(tǒng)并使用實際資源進行有效的連續(xù)性計劃測試，以獲得是否符本效益的？ A紙上測試B事后測試 C

56、準備情況測試 D穿行性測試C準備情況測試是完整測試的本地化版本，測試中會模擬系統(tǒng)并耗用資源。此測試應定期針對計劃的不同方面執(zhí)行，且不失為一種逐步獲得計劃有效性方面的劃算方法。此測試還是一種穩(wěn)步改善計劃段。紙上測試是對整個計劃的穿行性測試，這將涉及到主要參與者，這些參與者將嘗試判斷出在特定類型的服務中斷時執(zhí)行計劃的過可能發(fā)生什么情況。紙上測試通常在準備情況測試之前進行。事后測試實際上只是一個測試階段，由一系列活動組 成，如所有資源返回恰當位置、斷開設備連接、歸還并從第三方系統(tǒng)中刪除所有公司數(shù)據(jù)。穿行性測試這種測試會涉及到一種模擬的情形，用以測試管理和普通員工的準備情況以從對情形的了解程度，并非測

57、試實際資源。序的知識70為確保組織遵守隱私要求，IS審計師首先應： AIT基礎架構。B組織的政策、標準和流程。C要求D對組織政策、標準和流程的遵守情況。C為確保組織遵守隱私問題，IS審計師首先應確保滿足 要求。要符合 要求，組織必須采用合適的基礎架構。了解了法律 要求后，IS審計師應對組織的政策、標準和流程進行評估，以確定其完全滿足隱私要求，然后再 對這些具體政策、標準和流程的遵守情況。影響組織的相關和行業(yè)標準71以下哪一項最有可能表明，倉庫應設置在而不是外包給海外公司？ A時區(qū)差異可能會妨礙IT團隊間的交流。 B第一年的電信成本可能要高得多。C隱私法律可以信息傳輸。D開發(fā)可能需要更詳細的規(guī)范

58、。C隱私法律可個人相關信息傳輸，因而使得包含的數(shù)據(jù)倉庫無法定位在其他國家/地區(qū)。時區(qū)差異和較高的電信成本比較容易控制。涉及到離岸時，開發(fā)通常需要更為詳細的規(guī)范。影響組織的相關和行業(yè)標準72對于一家醫(yī)療 組織，以下哪個理由最能說明患者的福利數(shù)據(jù)倉庫應留在組織 ，而不能外包出去進行離岸運營？A存在有關數(shù)據(jù)隱私方面的。 B會員服務代表培訓的成本過于高昂。C數(shù)據(jù)庫的難度較大。D 時區(qū)差異會對客戶服務造成影響。A個人可識別信息（PII）的，這樣，也就不可能將包含客戶/會員信息的數(shù)據(jù)倉庫放到其他國家。培訓成本、數(shù)據(jù)庫和時區(qū)差異問題非常普遍且可管理，無論數(shù)據(jù)倉庫所處何方。影響組織的相關和行業(yè)標準73IS審計

59、師正在一個項目，該項目是在總行與分行之間實施一個支付系統(tǒng)。該IS審計師應該首先驗證： A兩個機構間的技術是否可以彼此協(xié)作。B總行是否已被作為服務提供商。 C安全功能是否已經(jīng)就緒，可以的交易。D是否可以作為此支付系統(tǒng)的共同擁有加入。B即使在總公司與之間，也必須簽好合同協(xié)議以實施共享服 務，這在極其規(guī)范的組織中（例如業(yè)）尤其重要。除非已被授權作為服務提供商，否則總行將業(yè)務擴展到分行將是不合法的。應該始終考慮到技術方面；但是，可在確認總行可以作為服務提供商之后再開始處理這些問題。安全是另一個重要；但是，必須在確認總行可以作為服務提供商之后再考慮該。該支付系統(tǒng)的所與操作該系統(tǒng)的合法相比，是次要的。影響

60、組織的相關和行業(yè)標準74以下哪種保險類型針對因員工行為造成的損失？ A業(yè)務中斷B忠誠保險 C錯誤和遺漏 D額外支出B忠誠保險針對因員工不誠實或 行為造成的損失。業(yè)務中斷保險針對組織運營中斷導致的利潤損失。錯誤和遺漏保險在由于專業(yè)從業(yè) 的不當行為而給客戶造成經(jīng)濟損失時提供 保護。額外支出保險旨在覆蓋組織中發(fā)生 /中斷后繼續(xù)運營的額外成本。用于啟動的人力資源管理實踐方面的知識75在某小型企業(yè)的審計期間，IS審計師注意到IS總監(jiān)具有超級用戶 ，這使得該總監(jiān)可以處理應用程序 角色（ 類型）的更改請求。該IS審計師應建議以下哪個選項？A針對應用程序角色更改請求實施已經(jīng)適當 的流程。 B雇傭額外的職員以實