領(lǐng)域：治理與管理附有答案

領(lǐng)域2：IT治理與管理[復(fù)制]A2-1組織要求員工每年進(jìn)行強(qiáng)制性休假主要是想要確保：[單選題]*A.在各職能部門(mén)之間進(jìn)行充分的交叉培訓(xùn)。B.通過(guò)提高士氣，建立有效的內(nèi)部控制環(huán)境。C.通過(guò)臨時(shí)替換發(fā)現(xiàn)潛在的違規(guī)處理。(正確答案)D.降低發(fā)生處理失誤的風(fēng)險(xiǎn)。答案解析：A.交叉培訓(xùn)是一種很好的做法，但不要求強(qiáng)制性休假也可以實(shí)現(xiàn)。B.高昂的員工士氣和高水平的員工滿意度是值得實(shí)現(xiàn)的目標(biāo)，但不應(yīng)將其視為實(shí)現(xiàn)有效的內(nèi)部控制體系的方法。C.應(yīng)該要求組織內(nèi)執(zhí)行關(guān)鍵及敏感職能的員工適當(dāng)休假，這樣有助于確保檢測(cè)到違規(guī)和欺詐行為。D.雖然員工輪休有利于減少處理失誤，但這通常不是強(qiáng)制要求休假的原因。A2-2某信息系統(tǒng)審計(jì)師在審核IT政策時(shí)發(fā)現(xiàn)，一些政策并未經(jīng)過(guò)管理人員的審批（政策要求須經(jīng)審批），但員工嚴(yán)格遵守這些政策。信息系統(tǒng)審計(jì)師首先應(yīng)該做什么？[單選題]*A.忽視管理人員未審批這一事實(shí)，因?yàn)閱T工遵守了這些政策。B.建議將這些政策立即提交管理人員審批。C.強(qiáng)調(diào)管理人員審批的重要性。D.提交報(bào)告，指出缺少審批文件。(正確答案)答案解析：A.沒(méi)有管理人員的審批是一項(xiàng)重要（重大）發(fā)現(xiàn)，雖然目前由于員工對(duì)未審批政策的遵守尚未構(gòu)成合規(guī)性問(wèn)題，但以后可能有問(wèn)題，所以應(yīng)當(dāng)予以解決。B.雖然信息系統(tǒng)審計(jì)師很可能建議盡快審批這些政策，還可能提醒管理人員此問(wèn)題的重要性，但第一步應(yīng)是將此問(wèn)題報(bào)告給利益相關(guān)方。C.第一步是就此發(fā)現(xiàn)進(jìn)行報(bào)告，然后再提供建議。D.信息系統(tǒng)審計(jì)師必須報(bào)告該審計(jì)發(fā)現(xiàn)。未經(jīng)審批的政策即使得到遵守，也可能為組織帶來(lái)潛在風(fēng)險(xiǎn)，因?yàn)樵谀承┣闆r下，這種技術(shù)性問(wèn)題可能妨礙管理人員實(shí)施政策，并可能引發(fā)法律問(wèn)題。例如，如果某位員工因違反組織政策而遭解雇，隨后發(fā)現(xiàn)該政策并未經(jīng)過(guò)審批，那么組織可能面臨昂貴的訴訟費(fèi)用。A2-3在審查IT項(xiàng)目與項(xiàng)目管理的優(yōu)先次序和協(xié)調(diào)事宜時(shí)，對(duì)信息系統(tǒng)審計(jì)師而言，主要考慮的因素是什么？[單選題]*A.項(xiàng)目與組織戰(zhàn)略相一致。(正確答案)B.已識(shí)別的項(xiàng)目風(fēng)險(xiǎn)得到監(jiān)控和緩解。C.與項(xiàng)目規(guī)劃和預(yù)算編制相關(guān)的控制措施是適當(dāng)?shù)?。D.準(zhǔn)確報(bào)告IT項(xiàng)目指標(biāo)。答案解析：A.IT項(xiàng)目的主要目標(biāo)是增加對(duì)業(yè)務(wù)的價(jià)值，因此它們必須與業(yè)務(wù)戰(zhàn)略相一致才能實(shí)現(xiàn)預(yù)期結(jié)果。因此，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)首先著重確保這種一致性。B.流程足以監(jiān)控和緩解識(shí)別的項(xiàng)目風(fēng)險(xiǎn)很重要，但戰(zhàn)略一致性有助于評(píng)估在業(yè)務(wù)領(lǐng)域識(shí)別的風(fēng)險(xiǎn)。C.在預(yù)定時(shí)間和預(yù)算內(nèi)完成項(xiàng)目很重要，但項(xiàng)目管理的重點(diǎn)應(yīng)當(dāng)放在實(shí)現(xiàn)與業(yè)務(wù)戰(zhàn)略相一致的、希望達(dá)到的項(xiàng)目結(jié)果上。D.充分報(bào)告項(xiàng)目狀況很重要，但不一定有助于提供項(xiàng)目交付成果的戰(zhàn)略視角。A2-4在審查組織的人力資源政策和流程時(shí)，信息系統(tǒng)審計(jì)師應(yīng)對(duì)以下哪項(xiàng)的缺失給予最大關(guān)注？[單選題]*A.要求定期崗位輪換。B.正式的離職面談流程。C.離職檢查清單。(正確答案)D.要求新員工簽訂保密協(xié)議。答案解析：A.崗位輪換是確保持續(xù)性運(yùn)作的一種有用的控制方法，但沒(méi)有定期輪換崗位不是最嚴(yán)重的人力資源政策風(fēng)險(xiǎn)。B.在可能獲得反饋的情況下舉行離職面談是可取的，但沒(méi)有進(jìn)行離職面談不是重大風(fēng)險(xiǎn)。C.離職檢查清單對(duì)于確保企業(yè)的邏輯安全和物理安全至關(guān)重要。除了防止分發(fā)到員工的企業(yè)財(cái)產(chǎn)遭受損失，還要考慮到有心懷不滿的離職員工進(jìn)行未授權(quán)訪問(wèn)、竊取知識(shí)產(chǎn)權(quán)，甚至進(jìn)行蓄意破壞的風(fēng)險(xiǎn)。D.簽訂保密協(xié)議（NDA）是一種被推薦的人力資源實(shí)踐，但沒(méi)有NDA不是所列各項(xiàng)中最嚴(yán)重的風(fēng)險(xiǎn)。A2-5評(píng)估IT治理實(shí)施的有效性時(shí)，以下哪一個(gè)因素最關(guān)鍵？[單選題]*A.確保定義了保證目標(biāo)。B.確定利益相關(guān)方的要求和參與。(正確答案)C.確定相關(guān)風(fēng)險(xiǎn)及相關(guān)機(jī)會(huì)。D.確定相關(guān)驅(qū)動(dòng)因素及其適用性。答案解析：A.利益相關(guān)方的需求及其參與構(gòu)成界定IT治理實(shí)施范圍的依據(jù)。這些用于定義保證目標(biāo)。B.審計(jì)IT治理實(shí)施情況時(shí)，需要考慮的最關(guān)鍵因素是利益相關(guān)方的需求和參與。這將推動(dòng)項(xiàng)目取得成功。據(jù)此確定保證的范圍和目標(biāo)。C.相關(guān)風(fēng)險(xiǎn)及相關(guān)機(jī)會(huì)由保證目標(biāo)確定和驅(qū)動(dòng)。D.將依據(jù)保證目標(biāo)考慮IT治理實(shí)施的相關(guān)驅(qū)動(dòng)因素及其適用性。A2-6以下哪個(gè)選項(xiàng)是實(shí)施政策對(duì)IT員工兼職就業(yè)設(shè)置條件的最佳原因？[單選題]*A.防止濫用公司資源。B.防止出現(xiàn)利益沖突。(正確答案)C.防止出現(xiàn)員工績(jī)效問(wèn)題。D.防止IT資產(chǎn)遭到竊取。答案解析：A.濫用公司資源是一個(gè)必須解決的問(wèn)題，但不一定與兼職有關(guān)。B.實(shí)施和強(qiáng)化兼職管理的政策主要是希望防止利益沖突。應(yīng)制定政策控制尋求兼職的IT員工泄露敏感信息或?yàn)楦?jìng)爭(zhēng)性組織工作。利益沖突可能造成重大風(fēng)險(xiǎn)，如欺詐、竊取知識(shí)產(chǎn)權(quán)或其他不當(dāng)行為。C.如果員工工作超量或休息時(shí)間不足，員工績(jī)效肯定會(huì)有問(wèn)題，但這應(yīng)通過(guò)管理職能解決，而不是制定兼職政策的主要原因。D.竊取資產(chǎn)是一個(gè)問(wèn)題，但不一定與兼職有關(guān)。A2-7某信息系統(tǒng)審計(jì)師被指派審查某公司的信息安全政策。以下哪個(gè)問(wèn)題表現(xiàn)出的潛在風(fēng)險(xiǎn)最高？[單選題]*A.政策已超過(guò)一年未更新。B.政策不含任何修改記錄。C.政策由安全管理員審批。(正確答案)D.公司未設(shè)立信息安全政策委員會(huì)。答案解析：A.信息安全政策是應(yīng)當(dāng)定期更新，但具體時(shí)間視組織情況而定。雖然每年都進(jìn)行政策審查是一種良好實(shí)踐，但更新政策的頻率可以略低，這并不影響其相關(guān)性和有效性。較舊的政策仍可以實(shí)行，但未經(jīng)合理審批的政策絕不能實(shí)行。B.沒(méi)有與信息系統(tǒng)政策文檔相關(guān)的修改記錄是一個(gè)問(wèn)題，但沒(méi)有獲得管理層的批準(zhǔn)是更重大的問(wèn)題。例如，一項(xiàng)新政策可能就沒(méi)有任何修訂記錄。C.信息安全政策應(yīng)具有一名負(fù)責(zé)人，由其來(lái)管理安全政策的制定、審查、批準(zhǔn)和評(píng)估。安全管理員通常是員工級(jí)（非管理級(jí)）崗位，因此無(wú)權(quán)審批政策。此外，還應(yīng)由地位更獨(dú)立的個(gè)人來(lái)審查該政策。在未經(jīng)管理人員合理審批的情況下，強(qiáng)制實(shí)行政策可能造成諸多麻煩，導(dǎo)致合規(guī)或安全問(wèn)題。D.雖然最好設(shè)立由公司人選組成的政策委員會(huì)，這有助于制定出更好的政策，但好政策也可以由一人制定，不設(shè)委員會(huì)本身并不是問(wèn)題。A2-8在對(duì)業(yè)務(wù)流程再造（BPR）工作進(jìn)行審查時(shí)，以下哪一項(xiàng)是主要關(guān)注的問(wèn)題？[單選題]*A.簡(jiǎn)化BPR工作消除了控制。(正確答案)B.資源不足以支持BPR流程。C.審計(jì)部門(mén)在BPR工作中沒(méi)有咨詢職責(zé)。D.BPR工作納入了該流程領(lǐng)域知識(shí)有限的員工。答案解析：A.業(yè)務(wù)流程再造（BPR）的主要風(fēng)險(xiǎn)是，再造工作消除了控制。這是主要的問(wèn)題。B.BPR流程可能是一項(xiàng)資源密集型的舉措，但更重要的問(wèn)題是，是否因?yàn)锽PR工作而消除了關(guān)鍵控制。C.盡管BPR工作通常涉及許多不同的業(yè)務(wù)職能部門(mén)，但如果審計(jì)部門(mén)不參與，并不是個(gè)嚴(yán)重的問(wèn)題，并且在多數(shù)情況下，審計(jì)部門(mén)不適合參與此類工作。D.為BPR建議的良好實(shí)踐是，納入來(lái)自企業(yè)所有部分的人員，即使其在該流程領(lǐng)域的知識(shí)有限。因此，這不是個(gè)問(wèn)題。A2-9在審計(jì)組織內(nèi)現(xiàn)有的IT治理框架和IT風(fēng)險(xiǎn)管理實(shí)踐時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)一些與IT管理和治理角色相關(guān)的職責(zé)未定義。以下哪項(xiàng)建議最適用？[單選題]*A.審查IT與業(yè)務(wù)的戰(zhàn)略一致性。B.在組織內(nèi)實(shí)行問(wèn)責(zé)制度。(正確答案)C.確保定期執(zhí)行獨(dú)立的信息系統(tǒng)審計(jì)。D.在組織中設(shè)立首席風(fēng)險(xiǎn)官職位。答案解析：A.雖然IT與業(yè)務(wù)的戰(zhàn)略一致性很重要，但其與本例所述情況并無(wú)直接關(guān)系。B.IT風(fēng)險(xiǎn)的管理方法是將問(wèn)責(zé)制度引入組織。信息系統(tǒng)審計(jì)師應(yīng)建議實(shí)行問(wèn)責(zé)制，以確保明確組織內(nèi)的所有責(zé)任。請(qǐng)注意，本題問(wèn)的是最佳建議，而不是審計(jì)發(fā)現(xiàn)本身。C.如果不明確定義和實(shí)行問(wèn)責(zé)制度，即使更頻繁地執(zhí)行IS審計(jì)也不會(huì)有幫助。D.如果不明確定義和實(shí)行問(wèn)責(zé)制度，即使建議設(shè)立新職位（例如，首席風(fēng)險(xiǎn)官）也不會(huì)有幫助。A2-10某信息系統(tǒng)審計(jì)師正在審查組織的軟件質(zhì)量管理流程。第一步應(yīng)該做的是：[單選題]*A.核查組織對(duì)標(biāo)準(zhǔn)的遵守情況。B.確定并報(bào)告現(xiàn)有控制。C.審查質(zhì)量評(píng)估指標(biāo)。D.要求獲得組織采用的所有標(biāo)準(zhǔn)。(正確答案)答案解析：A.審計(jì)師需要知道組織所采用的標(biāo)準(zhǔn)，然后再考察對(duì)這些標(biāo)準(zhǔn)的遵守情況。確定組織對(duì)標(biāo)準(zhǔn)的遵守情況是在了解標(biāo)準(zhǔn)之后的事情。列出的其他選項(xiàng)，如核查標(biāo)準(zhǔn)的遵守情況、確認(rèn)相關(guān)控制及審查質(zhì)量指標(biāo)，相對(duì)于確認(rèn)標(biāo)準(zhǔn)而言都是次要的。B.第一步是了解該組織的標(biāo)準(zhǔn)和強(qiáng)制實(shí)施的政策和程序，然后記錄這些控制并檢查其遵守情況。C.在審計(jì)師取得描述或要求指標(biāo)的標(biāo)準(zhǔn)之前，無(wú)法對(duì)這些指標(biāo)進(jìn)行審查。D.因?yàn)閷徲?jì)是檢查對(duì)組織的標(biāo)準(zhǔn)的遵守情況，審查軟件質(zhì)量管理流程的第一步應(yīng)該是確定評(píng)估標(biāo)準(zhǔn)，在形式上表現(xiàn)為組織所采用的標(biāo)準(zhǔn)。信息系統(tǒng)審計(jì)師在確定出有哪些現(xiàn)行標(biāo)準(zhǔn)之前，無(wú)法評(píng)估組織對(duì)自有標(biāo)準(zhǔn)的遵守情況。A2-11某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，組織最近采用的企業(yè)架構(gòu)（EA）具有充分的當(dāng)前狀態(tài)描述，但該組織又啟動(dòng)了一個(gè)獨(dú)立的項(xiàng)目來(lái)確立未來(lái)狀態(tài)的描述。信息系統(tǒng)審計(jì)師應(yīng)：[單選題]*A.建議盡快完成此獨(dú)立項(xiàng)目。B.將此問(wèn)題作為審計(jì)發(fā)現(xiàn)寫(xiě)入審計(jì)報(bào)告。(正確答案)C.建議采用Zachmann框架。D.調(diào)整審計(jì)范圍以將該獨(dú)立項(xiàng)目包括在當(dāng)前審計(jì)中。答案解析：A.信息系統(tǒng)審計(jì)師通常不會(huì)在項(xiàng)目進(jìn)度方面提出建議，而會(huì)針對(duì)當(dāng)前環(huán)境做出評(píng)估。在本例中，最重要的問(wèn)題是企業(yè)架構(gòu)（EA）正在變動(dòng)，所以信息系統(tǒng)審計(jì)師應(yīng)最關(guān)注對(duì)此問(wèn)題的報(bào)告。B.EA中涉及未來(lái)狀態(tài)是非常重要的，因?yàn)楫?dāng)前狀態(tài)與未來(lái)狀態(tài)之間的差距將決定IT戰(zhàn)略及戰(zhàn)術(shù)計(jì)劃。如果EA不包含對(duì)未來(lái)狀態(tài)的描述，那么它是不完整的，應(yīng)將此問(wèn)題作為審計(jì)發(fā)現(xiàn)上報(bào)。C.組織可以任意選擇EA框架，信息系統(tǒng)審計(jì)師不應(yīng)推薦某種特定框架。D.雖然可能需要跟進(jìn)審計(jì)，但不需調(diào)整審計(jì)范圍以將第二個(gè)項(xiàng)目包括在當(dāng)前審計(jì)中。A2-12某信息系統(tǒng)審計(jì)師正在評(píng)估管理層對(duì)信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估。該信息系統(tǒng)審計(jì)師應(yīng)該首先審查：[單選題]*A.現(xiàn)有控制。B.控制的有效性。C.風(fēng)險(xiǎn)監(jiān)控機(jī)制。D.影響資產(chǎn)的威脅/漏洞。(正確答案)答案解析：A.除非信息系統(tǒng)審計(jì)師了解控制想要應(yīng)對(duì)的威脅和風(fēng)險(xiǎn)，否則控制并不重要。B.控制的有效性必須用控制想要應(yīng)對(duì)的風(fēng)險(xiǎn)（基于資產(chǎn)、威脅和漏洞）來(lái)衡量。C.在審查風(fēng)險(xiǎn)監(jiān)控的機(jī)制之前，第一步必須確定被管理的風(fēng)險(xiǎn)。D.在評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)時(shí)，要考慮的重要因素之一是系統(tǒng)（資產(chǎn)）的價(jià)值和影響這些資產(chǎn)的威脅和漏洞。應(yīng)該獨(dú)立于已實(shí)施的控制措施來(lái)評(píng)估與信息資產(chǎn)的使用有關(guān)的風(fēng)險(xiǎn)。A2-13企業(yè)架構(gòu)舉措的主要好處是：[單選題]*A.使企業(yè)的投資能夠用于最合適的技術(shù)。(正確答案)B.確保在關(guān)鍵平臺(tái)上實(shí)施安全控制。C.允許開(kāi)發(fā)團(tuán)隊(duì)更快地響應(yīng)業(yè)務(wù)要求。D.賦予業(yè)務(wù)單位更大的自主權(quán)，以選擇符合其需求的IT解決方案。答案解析：A.企業(yè)架構(gòu)（EA）的主要關(guān)注點(diǎn)是確保技術(shù)投資與IT組織的平臺(tái)、數(shù)據(jù)和開(kāi)發(fā)標(biāo)準(zhǔn)相一致，因此，EA的目標(biāo)是幫助組織實(shí)施最有效的技術(shù)。B.確保在關(guān)鍵平臺(tái)上實(shí)施安全控制很重要，但這不是EA的功能。EA可能關(guān)注安全控制的設(shè)計(jì)，但EA無(wú)助于確保實(shí)施安全控制。EA的主要關(guān)注點(diǎn)是確保技術(shù)投資與IT組織的平臺(tái)、數(shù)據(jù)和開(kāi)發(fā)標(biāo)準(zhǔn)相一致。C.盡管EA流程可能促使開(kāi)發(fā)團(tuán)隊(duì)變得更加高效，因?yàn)樗鼈兪窃诨谑褂脴?biāo)準(zhǔn)編程語(yǔ)言和方法的標(biāo)準(zhǔn)平臺(tái)上創(chuàng)建解決方案的，但EA更重要的好處是為所有類型的IT投資提供指導(dǎo)，其涵蓋的內(nèi)容遠(yuǎn)不止軟件開(kāi)發(fā)。D.EA的主要關(guān)注點(diǎn)是定義標(biāo)準(zhǔn)平臺(tái)、數(shù)據(jù)庫(kù)和界面。進(jìn)行技術(shù)投資的業(yè)務(wù)單位需要選擇符合其業(yè)務(wù)要求，并且兼容企業(yè)EA的IT解決方案?？赡艽嬖谶@樣一種情況，即建議的解決方案更符合某個(gè)業(yè)務(wù)單位，但不兼容企業(yè)EA，因此需要折中處理，以確保該應(yīng)用得到IT部門(mén)的支持。大體上，在企業(yè)單位想要實(shí)施的潛在IT系統(tǒng)方面，EA對(duì)其能力有所限制。在本案例中，支持要求不受影響。A2-14軟件托管協(xié)議會(huì)涉及處理以下哪種情況？[單選題]*A.系統(tǒng)管理員要求訪問(wèn)軟件以執(zhí)行災(zāi)難恢復(fù)。B.用戶請(qǐng)求將軟件重新加載到備用硬盤(pán)。C.定制軟件供應(yīng)商倒閉。(正確答案)D.信息系統(tǒng)審計(jì)師要求訪問(wèn)組織編寫(xiě)的軟件代碼。答案解析：A.對(duì)軟件的訪問(wèn)應(yīng)由內(nèi)部管理的軟件庫(kù)來(lái)管理。托管是指將軟件存放在第三方，而非內(nèi)部庫(kù)。B.向用戶提供軟件的備份拷貝不是托管。托管要求將拷貝存放在受信任的第三方。C.軟件托管是軟件供應(yīng)商與客戶之間的法律協(xié)議，用于確保對(duì)源代碼的訪問(wèn)。根據(jù)合同規(guī)定，應(yīng)用程序源代碼由受信任的第三方持有。當(dāng)出現(xiàn)以下情況時(shí)需要用到此協(xié)議：軟件供應(yīng)商倒閉，與客戶發(fā)生合同糾紛，或者軟件供應(yīng)商未按照軟件許可協(xié)議中的承諾維持軟件更新。D.軟件托管用于保護(hù)由一個(gè)組織開(kāi)發(fā)并出售給另一組織的軟件知識(shí)產(chǎn)權(quán)。它不適用于審計(jì)師正在審查的、由其所在的組織編寫(xiě)的軟件。A2-15信息系統(tǒng)審計(jì)師審查組織架構(gòu)圖的主要目的是：[單選題]*A.理解組織結(jié)構(gòu)的復(fù)雜性。B.調(diào)查各個(gè)溝通渠道。C.了解個(gè)人的職責(zé)和權(quán)限。(正確答案)D.調(diào)查連接不同員工的網(wǎng)絡(luò)。答案解析：A.理解組織結(jié)構(gòu)的復(fù)雜性不是審查組織結(jié)構(gòu)圖的主要原因，因?yàn)榻Y(jié)構(gòu)圖并不一定反映復(fù)雜性。B.組織架構(gòu)圖是審計(jì)師理解員工職能和責(zé)任及匯報(bào)關(guān)系的關(guān)鍵工具，但不用于檢查溝通渠道。C.組織架構(gòu)圖提供了組織中個(gè)人的職責(zé)和權(quán)限的相關(guān)信息。這有助于信息系統(tǒng)審計(jì)師了解是否存在合理的職能劃分。D.網(wǎng)絡(luò)圖將提供不同溝通渠道的使用情況信息，并顯示用戶與網(wǎng)絡(luò)的連接。A2-16在下列哪一種風(fēng)險(xiǎn)管理方法中，分擔(dān)風(fēng)險(xiǎn)是一個(gè)重要因素？[單選題]*A.轉(zhuǎn)移風(fēng)險(xiǎn)。(正確答案)B.容忍風(fēng)險(xiǎn)。C.終止風(fēng)險(xiǎn)。D.處理風(fēng)險(xiǎn)。答案解析：A.轉(zhuǎn)移風(fēng)險(xiǎn)（例如，購(gòu)買(mǎi)保險(xiǎn)）是一種分擔(dān)風(fēng)險(xiǎn)的方式。B.容忍風(fēng)險(xiǎn)是指接受風(fēng)險(xiǎn)，但不是分擔(dān)風(fēng)險(xiǎn)。C.終止風(fēng)險(xiǎn)不涉及分擔(dān)風(fēng)險(xiǎn)，因?yàn)榻M織已經(jīng)決定終止與風(fēng)險(xiǎn)相關(guān)的流程。D.有幾種處理或控制風(fēng)險(xiǎn)的方法，它們可能涉及降低或分擔(dān)風(fēng)險(xiǎn)，但作為答案，它不如轉(zhuǎn)移風(fēng)險(xiǎn)準(zhǔn)確。A2-17某團(tuán)隊(duì)在執(zhí)行風(fēng)險(xiǎn)分析時(shí)，難以預(yù)測(cè)某種風(fēng)險(xiǎn)可能造成的經(jīng)濟(jì)損失。要評(píng)估潛在的影響，該團(tuán)隊(duì)?wèi)?yīng)當(dāng)：[單選題]*A.計(jì)算相關(guān)資產(chǎn)的攤銷。B.計(jì)算投資回報(bào)率。C.采用定性方法。(正確答案)D.花費(fèi)相應(yīng)的時(shí)間來(lái)確定準(zhǔn)確的損失金額。答案解析：A.攤銷用在損益表中，而不用于計(jì)算潛在損失。B.有可預(yù)測(cè)的節(jié)約或收益（可以與實(shí)現(xiàn)該收益所需的投資進(jìn)行比較）時(shí)才計(jì)算投資回報(bào)率（ROI）。C.難以計(jì)算經(jīng)濟(jì)損失時(shí)，通常的做法都是采用定性方法，即受到風(fēng)險(xiǎn)影響的管理人員根據(jù)加權(quán)因子來(lái)確定影響（例如，1表示對(duì)業(yè)務(wù)影響非常小，而5表示對(duì)業(yè)務(wù)影響非常大）。D.花費(fèi)相應(yīng)的時(shí)間來(lái)確定準(zhǔn)確的總金額通常都是一種錯(cuò)誤的做法。如果很難預(yù)計(jì)潛在的損失（例如，因黑客攻擊而使組織形象受損，從而造成損失），那么這種情況不太可能發(fā)生改變，結(jié)果也無(wú)法進(jìn)行良好的評(píng)估。A2-18在審查質(zhì)量管理系統(tǒng)時(shí)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要注重收集證據(jù)，以表明：[單選題]*A.質(zhì)量管理系統(tǒng)遵循良好實(shí)踐。B.正在監(jiān)測(cè)持續(xù)改進(jìn)目標(biāo)。(正確答案)C.每年更新IT標(biāo)準(zhǔn)操作程序。D.定義了關(guān)鍵績(jī)效指標(biāo)。答案解析：A.良好實(shí)踐通常根據(jù)業(yè)務(wù)要求采用，因此遵循良好實(shí)踐不一定是業(yè)務(wù)要求。B.對(duì)質(zhì)量管理系統(tǒng)（QMS）而言，持續(xù)和可衡量的質(zhì)量改進(jìn)是實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的主要要求。C.更新操作程序是實(shí)施QMS的一部分，但它必須是變更管理的一部分，而不是年度活動(dòng)。D.關(guān)鍵績(jī)效指標(biāo)可在QMS中定義，但若不加以監(jiān)控，則它們沒(méi)有多大價(jià)值。A2-19某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，實(shí)施了未經(jīng)督導(dǎo)委員會(huì)批準(zhǔn)的多個(gè)基于IT的項(xiàng)目。該信息系統(tǒng)審計(jì)師最需要關(guān)注什么？[單選題]*A.IT部門(mén)的項(xiàng)目資金不足。B.IT項(xiàng)目未遵循系統(tǒng)開(kāi)發(fā)生命周期流程。C.IT項(xiàng)目未必一直得到正式的批準(zhǔn)。D.IT部門(mén)未朝著共同的目標(biāo)而努力。(正確答案)答案解析：A.項(xiàng)目資金可通過(guò)不同的預(yù)算加以解決，并且可能不需要督導(dǎo)委員會(huì)批準(zhǔn)。主要關(guān)注的是要確保項(xiàng)目能實(shí)現(xiàn)公司目標(biāo)。B.盡管要求督導(dǎo)委員會(huì)批準(zhǔn)可能是系統(tǒng)開(kāi)發(fā)生命周期流程的一部分，但更主要關(guān)注的是項(xiàng)目是否能實(shí)現(xiàn)公司目標(biāo)。未經(jīng)督導(dǎo)委員會(huì)批準(zhǔn)，則難以確定這些項(xiàng)目是否能實(shí)現(xiàn)公司目標(biāo)。C.盡管具有正式批準(zhǔn)流程很重要，但對(duì)督導(dǎo)委員會(huì)而言，最主要關(guān)注的應(yīng)當(dāng)是為項(xiàng)目指明方向。D.督導(dǎo)委員會(huì)指明方向并提供項(xiàng)目控制，以確保公司做出適當(dāng)?shù)耐顿Y。未經(jīng)批準(zhǔn)，項(xiàng)目未必能朝著公司的目標(biāo)邁進(jìn)。A2-20可通過(guò)以下哪一項(xiàng)最有效地實(shí)現(xiàn)從IT向業(yè)務(wù)的價(jià)值傳遞：[單選題]*A.使IT戰(zhàn)略與企業(yè)戰(zhàn)略協(xié)調(diào)一致。(正確答案)B.在企業(yè)中落實(shí)問(wèn)責(zé)制。C.提供積極的投資回報(bào)率。D.確立企業(yè)風(fēng)險(xiǎn)管理流程。答案解析：A.通過(guò)協(xié)調(diào)IT戰(zhàn)略與企業(yè)戰(zhàn)略推動(dòng)IT向業(yè)務(wù)的價(jià)值傳遞。B.在企業(yè)中落實(shí)問(wèn)責(zé)制能夠促進(jìn)風(fēng)險(xiǎn)管理（企業(yè)治理的另一個(gè)要素）。C.盡管投資回報(bào)率很重要，但不是評(píng)估IT價(jià)值的唯一標(biāo)準(zhǔn)。D.企業(yè)風(fēng)險(xiǎn)管理對(duì)IT治理至關(guān)重要，但單憑其自身并不能保證IT能夠向業(yè)務(wù)傳遞價(jià)值，除非IT戰(zhàn)略與企業(yè)戰(zhàn)略協(xié)調(diào)一致。A2-21在針對(duì)外包IT處理的可行性分析過(guò)程中，下列哪一項(xiàng)對(duì)信息系統(tǒng)審計(jì)師審查供應(yīng)商的業(yè)務(wù)連續(xù)性計(jì)劃很重要？[單選題]*A.評(píng)估供應(yīng)商可在突發(fā)情況下提供的服務(wù)級(jí)別是否充分。(正確答案)B.評(píng)估服務(wù)單位的財(cái)務(wù)穩(wěn)定性及其履行合同的能力。C.審查供應(yīng)商員工的經(jīng)驗(yàn)。D.測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃。答案解析：A.在成功的外包環(huán)境中，一個(gè)關(guān)鍵因素是供應(yīng)商面對(duì)突發(fā)情況和繼續(xù)支持組織處理要求的能力。B.財(cái)務(wù)穩(wěn)定性與供應(yīng)商的業(yè)務(wù)連續(xù)性計(jì)劃（BCP）無(wú)關(guān)。C.供應(yīng)商員工的經(jīng)驗(yàn)與其BCP無(wú)關(guān)。D.在可行性分析期間審查供應(yīng)商的BCP，不是測(cè)試供應(yīng)商的BCP的方法。A2-22某信息系統(tǒng)審計(jì)師正在評(píng)估某組織新制定的一項(xiàng)IT政策。該信息系統(tǒng)審計(jì)師認(rèn)為以下哪一項(xiàng)因素在政策實(shí)施后對(duì)促進(jìn)合規(guī)性最重要？[單選題]*A.促成合規(guī)性的現(xiàn)有IT機(jī)制。(正確答案)B.政策與業(yè)務(wù)戰(zhàn)略相一致。C.當(dāng)前和將來(lái)的技術(shù)措施。D.政策中定義的監(jiān)管合規(guī)性目標(biāo)。答案解析：A.組織應(yīng)當(dāng)能夠在實(shí)施后遵守政策。評(píng)估新政策時(shí)，最重要的考慮因素應(yīng)當(dāng)是促使組織及其員工遵守政策的現(xiàn)行機(jī)制。B.政策應(yīng)當(dāng)與業(yè)務(wù)戰(zhàn)略相一致，但這不影響組織在實(shí)施后遵守政策的能力。C.當(dāng)前和未來(lái)的技術(shù)措施應(yīng)當(dāng)以業(yè)務(wù)需求為動(dòng)力，并且不影響組織遵守政策的能力。D.監(jiān)管合規(guī)性目標(biāo)可在IT政策中定義，但這不會(huì)促進(jìn)政策合規(guī)性。定義目標(biāo)只能促使組織了解所需的狀況，但無(wú)助于實(shí)現(xiàn)合規(guī)性。A2-23如果高級(jí)管理層未針對(duì)IT戰(zhàn)略計(jì)劃做出承諾，最有可能產(chǎn)生的影響是：[單選題]*A.缺少技術(shù)投資。B.缺少系統(tǒng)開(kāi)發(fā)方法。C.技術(shù)與組織目標(biāo)不一致。(正確答案)D.缺少技術(shù)合同控制。答案解析：A.缺少管理層的支持幾乎肯定會(huì)影響投資，但主要損失是IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略缺乏協(xié)調(diào)。B.系統(tǒng)開(kāi)發(fā)方法是一種與流程相關(guān)的職能，不是管理層主要關(guān)注的問(wèn)題。C.應(yīng)設(shè)立督導(dǎo)委員會(huì)來(lái)確保IT戰(zhàn)略支持組織目標(biāo)。沒(méi)有信息技術(shù)委員會(huì)或不是由高級(jí)管理人員組成的委員會(huì)，說(shuō)明缺乏高級(jí)管理層的承諾。這種情況會(huì)增加IT與組織戰(zhàn)略不一致的風(fēng)險(xiǎn)。D.合同審批是一種業(yè)務(wù)流程，可通過(guò)財(cái)務(wù)流程控制措施進(jìn)行控制。合同控制在此不適用。A2-24以下哪個(gè)選項(xiàng)是IT督導(dǎo)委員會(huì)的職能？[單選題]*A.監(jiān)控由供應(yīng)商控制的變更控制和測(cè)試。B.確保信息處理環(huán)境中的職責(zé)分離。C.審批和監(jiān)控IT計(jì)劃狀態(tài)及預(yù)算。(正確答案)D.在IT部門(mén)與最終用戶之間協(xié)調(diào)溝通。答案解析：A.供應(yīng)商變更控制屬于采購(gòu)類問(wèn)題，應(yīng)由IT管理人員監(jiān)控。B.確保信息處理環(huán)境中的職責(zé)分離是IT管理人員的職責(zé)。C.IT督導(dǎo)委員會(huì)通常負(fù)責(zé)重大IT項(xiàng)目的綜合審查，不應(yīng)介入日常運(yùn)營(yíng)活動(dòng)。因此，其職能之一是審批和監(jiān)控重大項(xiàng)目，如IT計(jì)劃狀態(tài)及預(yù)算。D.在IT部門(mén)與最終用戶之間協(xié)調(diào)溝通是各相關(guān)方的職能，不是委員會(huì)的責(zé)任。A2-25某信息系統(tǒng)審計(jì)師正在審查某組織的治理模型。以下哪項(xiàng)是審計(jì)師最應(yīng)關(guān)注的問(wèn)題？[單選題]*A.高級(jí)管理層未對(duì)信息安全政策進(jìn)行定期審查。(正確答案)B.未制定旨在確保系統(tǒng)及時(shí)安裝補(bǔ)丁的政策。C.審計(jì)委員會(huì)未審查組織的使命宣言。D.未制定與信息資產(chǎn)保護(hù)相關(guān)的組織政策。答案解析：A.數(shù)據(jù)安全政策應(yīng)每年審查/更新一次，以反映組織環(huán)境方面的變化。政策是組織治理結(jié)構(gòu)的基本內(nèi)容，因此最值得關(guān)注。B.盡管未制定與系統(tǒng)補(bǔ)丁安裝相關(guān)的政策確實(shí)值得關(guān)注，但更值得關(guān)注的是高級(jí)管理人員未對(duì)信息安全政策進(jìn)行定期審查。C.使命宣言傾向于有長(zhǎng)期性，因?yàn)槠渚哂袘?zhàn)略意義，并且是由董事會(huì)和管理人員制定的。這不是信息系統(tǒng)審計(jì)師最應(yīng)關(guān)注的問(wèn)題，因?yàn)檫m當(dāng)?shù)闹卫肀O(jiān)督有助于達(dá)成組織使命宣言的目標(biāo)。D.盡管未制定與信息資產(chǎn)保護(hù)相關(guān)的政策確實(shí)值得關(guān)注，但更值得關(guān)注的是高級(jí)管理層未對(duì)安全政策進(jìn)行定期審查，因?yàn)楦邔又С质切畔踩卫淼幕A(chǔ)。A2-26高級(jí)管理層的參與對(duì)制定以下哪一項(xiàng)最重要？[單選題]*A.戰(zhàn)略計(jì)劃。(正確答案)B.IT政策。C.IT流程。D.標(biāo)準(zhǔn)和準(zhǔn)則。答案解析：A.戰(zhàn)略計(jì)劃為確保企業(yè)實(shí)現(xiàn)其目的和目標(biāo)提供了基礎(chǔ)。高級(jí)管理層的參與對(duì)于確保計(jì)劃能夠?qū)崿F(xiàn)所確立的目的和目標(biāo)起著至關(guān)重要的作用。B.IT政策由IT管理和信息安全部門(mén)制定和實(shí)行。其目的是為整體戰(zhàn)略計(jì)劃提供支持。C.制定IT流程是為了向IT政策提供支持。高級(jí)管理層不參與流程制定。D.制定標(biāo)準(zhǔn)和準(zhǔn)則是為了向IT政策提供支持。高級(jí)管理層不參與標(biāo)準(zhǔn)、基準(zhǔn)和準(zhǔn)則的制定。A2-27有效的IT治理可確保IT計(jì)劃與組織的哪項(xiàng)計(jì)劃保持一致？[單選題]*A.業(yè)務(wù)計(jì)劃。(正確答案)B.審計(jì)計(jì)劃。C.安全計(jì)劃。D.投資計(jì)劃。答案解析：A.為有效治理IT，IT和業(yè)務(wù)的方向應(yīng)該相同，這要求IT計(jì)劃與組織的業(yè)務(wù)計(jì)劃保持一致。B.審計(jì)計(jì)劃不是IT計(jì)劃的一部分。C.安全計(jì)劃不是IT部門(mén)的責(zé)任，不需要與IT計(jì)劃一致。D.投資計(jì)劃不是IT計(jì)劃的一部分。A2-28確定可接受風(fēng)險(xiǎn)的等級(jí)是誰(shuí)的責(zé)任？[單選題]*A.質(zhì)量保證管理人員。B.高級(jí)業(yè)務(wù)管理人員。(正確答案)C.首席信息官。D.首席安全官。答案解析：A.質(zhì)量保證（QA）關(guān)注流程的可靠性和一致性。QA團(tuán)隊(duì)不負(fù)責(zé)確定可接受的風(fēng)險(xiǎn)水平。B.應(yīng)該由高級(jí)管理層來(lái)確定可接受風(fēng)險(xiǎn)的等級(jí)，因?yàn)樽鳛闃I(yè)務(wù)流程的高級(jí)管理人員，他們最終負(fù)責(zé)組織的有效性和高效運(yùn)營(yíng)。此人可以是QA、首席信息官（CIO）或首席安全官（CSO），但責(zé)任由業(yè)務(wù)經(jīng)理承擔(dān)。C.確定可接受風(fēng)險(xiǎn)的等級(jí)是高級(jí)業(yè)務(wù)管理人員的責(zé)任。CIO是企業(yè)負(fù)責(zé)IT倡議，協(xié)調(diào)IT與業(yè)務(wù)戰(zhàn)略，為IT服務(wù)的交付、信息和相關(guān)人力資源的部署進(jìn)行規(guī)劃、籌集資源和進(jìn)行管理的最高官員。CIO極少?zèng)Q定可接受的風(fēng)險(xiǎn)等級(jí)，因?yàn)檫@樣會(huì)有利益沖突，除非CIO是高級(jí)業(yè)務(wù)流程的所有者。D.確定可接受風(fēng)險(xiǎn)的等級(jí)是高級(jí)業(yè)務(wù)管理人員的責(zé)任。除非CIO是業(yè)務(wù)流程經(jīng)理，否則由CSO負(fù)責(zé)實(shí)施高級(jí)管理團(tuán)隊(duì)的決定。A2-29IT治理主要是誰(shuí)的責(zé)任？[單選題]*A.首席執(zhí)行官。B.董事會(huì)。(正確答案)C.IT督導(dǎo)委員會(huì)。D.審計(jì)委員會(huì)。答案解析：A.首席執(zhí)行官按照董事會(huì)指示在實(shí)施IT治理上發(fā)揮重要作用。B.IT治理主要是高管及股東（以董事會(huì)為代表）的責(zé)任。C.IT督導(dǎo)委員會(huì)監(jiān)控并協(xié)助部署具體項(xiàng)目的IT資源，以支持業(yè)務(wù)計(jì)劃。IT督導(dǎo)委員會(huì)代表董事會(huì)實(shí)施治理。D.審計(jì)委員會(huì)向董事會(huì)報(bào)告，執(zhí)行與治理相關(guān)的審計(jì)。審計(jì)委員會(huì)應(yīng)對(duì)審計(jì)建議的實(shí)施情況進(jìn)行監(jiān)督。A2-30從控制角度來(lái)看，工作說(shuō)明的關(guān)鍵要素是：[單選題]*A.提供如何實(shí)施工作和定義權(quán)限的說(shuō)明。B.即時(shí)更新，記錄在案，并可隨時(shí)提供給員工。C.傳達(dá)管理人員的具體工作績(jī)效期望。D.確定員工行為的責(zé)任和義務(wù)。(正確答案)答案解析：A.提供如何實(shí)施工作和定義權(quán)限的說(shuō)明可解決工作管理及流程方面的問(wèn)題，屬于管理人員的責(zé)任。工作說(shuō)明是與人力資源（HR）相關(guān)的職責(zé)，主要用于確立工作要求和責(zé)任。B.工作說(shuō)明是即時(shí)更新、記錄在案的，并且可隨時(shí)提供給員工，這一點(diǎn)非常重要，但其本身并不是工作說(shuō)明的關(guān)鍵要素、工作說(shuō)明是與HR相關(guān)的職責(zé)，主要用于說(shuō)明工作要求和責(zé)任。C.傳達(dá)管理人員的具體工作績(jī)效期望不一定要包含在工作說(shuō)明中。D.從控制角度來(lái)看，工作說(shuō)明應(yīng)確定責(zé)任和義務(wù)。這有助于確保按照定義的工作職責(zé)為用戶分配系統(tǒng)訪問(wèn)權(quán)限，并由其對(duì)該權(quán)限的使用負(fù)責(zé)。A2-31以下哪個(gè)選項(xiàng)最能保證新員工的誠(chéng)信？[單選題]*A.背景篩查。(正確答案)B.推薦。C.綁定。D.簡(jiǎn)歷上列出的各種資格。答案解析：A.背景篩查是確保新員工誠(chéng)信的主要方法。具體可能包括犯罪歷史核查、駕照摘要、財(cái)務(wù)狀況檢查、學(xué)歷驗(yàn)證等。B.推薦很重要，但需要進(jìn)行核實(shí)，并且不如背景篩查可靠，因?yàn)橥扑]本身的可信度可能沒(méi)有驗(yàn)證。C.綁定指的是盡職調(diào)查合規(guī)性，不能保證誠(chéng)信。D.簡(jiǎn)歷上列出的資格可說(shuō)明員工能力，但不能說(shuō)明誠(chéng)信。A2-32當(dāng)員工離職時(shí)，最重要的工作是：[單選題]*A.將員工的所有文件移交給另一位指定員工。B.完成對(duì)員工工作的備份。C.將工作解約通知給其他員工。D.禁止該員工訪問(wèn)系統(tǒng)。(正確答案)答案解析：A.離職員工的所有工作都需要移交給指定員工，但這沒(méi)有取消離職員工的訪問(wèn)權(quán)限重要。B.離職員工的所有工作都需要備份，但這沒(méi)有取消離職員工的訪問(wèn)權(quán)限重要。C.需要將工作解約通知給其他員工，但這沒(méi)有取消離職員工的訪問(wèn)權(quán)限重要。D.離職員工有可能濫用訪問(wèn)權(quán)限，因此，最重要和最緊迫的工作是禁止離職員工訪問(wèn)系統(tǒng)。A2-33某業(yè)務(wù)單位已選用新的會(huì)計(jì)應(yīng)用，但并未在選擇流程中提前咨詢IT部門(mén)。主要風(fēng)險(xiǎn)是：[單選題]*A.該應(yīng)用的安全控制可能不符合要求。B.該應(yīng)用可能不符合業(yè)務(wù)用戶的需求。C.該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)不一致。(正確答案)D.該應(yīng)用可能給IT部門(mén)帶來(lái)不可預(yù)見(jiàn)的支持問(wèn)題。答案解析：A.盡管安全控制應(yīng)當(dāng)針對(duì)任何應(yīng)用的要求，企業(yè)架構(gòu)（EA）的主要關(guān)注點(diǎn)是確保新應(yīng)用符合企業(yè)標(biāo)準(zhǔn)。盡管采用符合標(biāo)準(zhǔn)的技術(shù)可能更加安全，但這并非EA的主要好處。B.選擇應(yīng)用時(shí)，必須考慮業(yè)務(wù)需求以及應(yīng)用是否適合IT環(huán)境。如果業(yè)務(wù)單位繞過(guò)IT部門(mén)選擇其應(yīng)用，則它們更有可能選擇最適合其業(yè)務(wù)流程的解決方案，而不太看重該解決方案在企業(yè)內(nèi)部的兼容性和支持性，但這不是個(gè)問(wèn)題。C.EA的主要關(guān)注點(diǎn)是確保技術(shù)投資與IT組織的平臺(tái)、數(shù)據(jù)和開(kāi)發(fā)標(biāo)準(zhǔn)相一致。EA定義標(biāo)準(zhǔn)平臺(tái)的使用、數(shù)據(jù)庫(kù)或編程語(yǔ)言等領(lǐng)域當(dāng)前及未來(lái)的狀態(tài)。如果某業(yè)務(wù)單位選擇的業(yè)務(wù)應(yīng)用不使用EA之內(nèi)的數(shù)據(jù)庫(kù)或操作系統(tǒng)，會(huì)加大解決方案的成本和復(fù)雜度，并且最終減少給業(yè)務(wù)帶來(lái)的價(jià)值。D.盡管實(shí)施任何新的軟件都可能帶來(lái)支持問(wèn)題，EA的主要好處是確保IT解決方案給業(yè)務(wù)帶來(lái)價(jià)值。降低支持成本也許是EA的一種好處，但在本案例中，缺少I(mǎi)T參與不會(huì)影響支持要求。A2-34許多組織都強(qiáng)制要求員工休假（度假）一周或更久，其目的在于：[單選題]*A.確保員工保持良好的生活質(zhì)量，從而提高生產(chǎn)效率。B.減少員工發(fā)生不當(dāng)操作或非法操作的機(jī)會(huì)。(正確答案)C.為另一名員工提供合適的交叉培訓(xùn)。D.消除因某位員工一次休一天假而可能引起的中斷。答案解析：A.保持良好的生活質(zhì)量很重要，但強(qiáng)制休假的主要原因是查找是否有欺詐或錯(cuò)誤。B.通常強(qiáng)制要求敏感職位員工休假一周或更久，在此期間由其他員工（非正式員工）執(zhí)行休假員工的工作職能，這樣做可以減少發(fā)生不當(dāng)操作或非法操作的機(jī)會(huì)。在此休假期間可以發(fā)現(xiàn)發(fā)生的任何欺詐行為。C.提供交叉培訓(xùn)是一種重要的管理職能，但強(qiáng)制休假的主要原因是查找是否有欺詐或錯(cuò)誤。D.實(shí)行一次強(qiáng)制休假一周的規(guī)定是一項(xiàng)管理決策，但與強(qiáng)制休假政策無(wú)關(guān)。強(qiáng)制休假的主要原因是查找是否有欺詐或錯(cuò)誤。A2-35局域網(wǎng)（LAN）管理員通常不應(yīng)承擔(dān)以下哪項(xiàng)責(zé)任？[單選題]*A.承擔(dān)最終用戶責(zé)任。B.向最終用戶經(jīng)理報(bào)告工作。C.承擔(dān)編程責(zé)任。(正確答案)D.負(fù)責(zé)LAN安全管理。答案解析：A.雖然不是理想情況，但局域網(wǎng)（LAN）管理員可承擔(dān)最終用戶責(zé)任。B.LAN管理員可以向信息處理設(shè)施（IPF）總監(jiān)報(bào)告，或在分散運(yùn)營(yíng)的模式下向最終用戶經(jīng)理報(bào)告。C.LAN管理員不應(yīng)承擔(dān)編程責(zé)任，因?yàn)檫@樣意味著允許修改生產(chǎn)程序，而沒(méi)有正確地分離職責(zé)，但局域網(wǎng)（LAN）管理員可承擔(dān)最終用戶責(zé)任。D.在小型組織中，LAN管理員還可能負(fù)責(zé)LAN的安全管理。A2-36決策支持系統(tǒng)用于幫助高級(jí)管理人員：[單選題]*A.解決高度結(jié)構(gòu)化問(wèn)題。B.合并決策模型與預(yù)定標(biāo)準(zhǔn)的使用。C.根據(jù)數(shù)據(jù)分析和互動(dòng)模型做出決策。(正確答案)D.僅支持結(jié)構(gòu)化決策任務(wù)。答案解析：A.決策支持系統(tǒng)（DSS）的目的是解決結(jié)構(gòu)化程度較低的問(wèn)題。B.DSS將模型和分析技術(shù)的使用與傳統(tǒng)的數(shù)據(jù)訪問(wèn)和檢索功能相結(jié)合，但不受預(yù)定標(biāo)準(zhǔn)的限制。C.DSS通過(guò)數(shù)據(jù)分析和使用交互模型（而非固定標(biāo)準(zhǔn)）突出了管理人員決策方式的靈活性。D.DSS支持半結(jié)構(gòu)化的決策任務(wù)。A2-37在審計(jì)過(guò)程中，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，人力資源（HR）部門(mén)用云應(yīng)用程序來(lái)管理其員工記錄。HR部門(mén)越過(guò)正常的供應(yīng)商管理流程參與一份合同，并自行管理應(yīng)用程序。以下哪一項(xiàng)最值得關(guān)注？[單選題]*A.未在合同中定義最長(zhǎng)的可接受停機(jī)時(shí)間。B.IT部門(mén)不管理與云供應(yīng)商之間的關(guān)系。C.服務(wù)臺(tái)呼叫中心駐在不同的國(guó)家，需遵守不同的隱私要求。D.組織定義的安全政策不適用于云應(yīng)用程序。(正確答案)答案解析：A.最長(zhǎng)的可接受停機(jī)時(shí)間是合同中用于確保應(yīng)用可用性的良好指標(biāo)，但人力資源（HR）應(yīng)用通常不屬于關(guān)鍵型任務(wù)，因此最長(zhǎng)的可接受停機(jī)時(shí)間并非本情景中最顯著的關(guān)注點(diǎn)。B.須指定個(gè)人或服務(wù)管理團(tuán)隊(duì)負(fù)責(zé)管理與第三方之間的關(guān)系，但這些個(gè)人或團(tuán)隊(duì)無(wú)須歸屬于IT部門(mén)。C.組織定義的安全政策可確保服務(wù)臺(tái)工作人員不具有個(gè)人數(shù)據(jù)的訪問(wèn)權(quán)限，這屬于安全政策的范圍。最關(guān)鍵的問(wèn)題是，應(yīng)用程序須遵守安全政策。D.云應(yīng)用程序應(yīng)當(dāng)遵守組織定義的安全政策，以確保云端數(shù)據(jù)像內(nèi)部應(yīng)用程序一樣得到保護(hù)。其中包括但不僅限于密碼政策、用戶訪問(wèn)管理政策和數(shù)據(jù)分類政策。A2-38在實(shí)施IT平衡計(jì)分卡之前，組織必須：[單選題]*A.提供有效且高效的服務(wù)。B.定義關(guān)鍵績(jī)效指標(biāo)。(正確答案)C.為IT項(xiàng)目帶來(lái)商業(yè)價(jià)值。D.控制IT費(fèi)用。答案解析：A.平衡計(jì)分卡（BSC）是一種描述和衡量策略結(jié)果達(dá)成情況的方法。它會(huì)考察有效和高效服務(wù)的交付情況，但組織在使用BSC之前可能沒(méi)有得到這樣的服務(wù)。B.因?yàn)锽SC是一種績(jī)效測(cè)量方式，所以需要在實(shí)施ITBSC前定義關(guān)鍵績(jī)效指標(biāo)。C.BSC測(cè)量的是IT對(duì)企業(yè)的價(jià)值，而不是相反。D.BSC可測(cè)量IT績(jī)效，但控制IT費(fèi)用不是實(shí)行BSC的主要要求。A2-39為了支持組織的目標(biāo)，IT部門(mén)應(yīng)具有：[單選題]*A.低成本理念。B.長(zhǎng)期和短期計(jì)劃。(正確答案)C.領(lǐng)先的技術(shù)。D.采購(gòu)新硬件和軟件的計(jì)劃。答案解析：A.低成本理念雖也是一個(gè)目標(biāo)，但更重要的是成本/效益和IT投資成本與業(yè)務(wù)戰(zhàn)略之間的關(guān)系。B.要推動(dòng)組織總體目標(biāo)的實(shí)現(xiàn)，IT部門(mén)應(yīng)具有短期計(jì)劃和長(zhǎng)期計(jì)劃，這些計(jì)劃要與組織層面上較大范圍的戰(zhàn)略性計(jì)劃相一致，以便實(shí)現(xiàn)組織的目標(biāo)。C.領(lǐng)先的技術(shù)也是一個(gè)目標(biāo)，但應(yīng)有IT計(jì)劃以保證這些計(jì)劃與組織目標(biāo)的一致性。D.采購(gòu)新硬件和軟件的計(jì)劃可以是整體計(jì)劃的一部分，但僅當(dāng)實(shí)現(xiàn)組織目標(biāo)需要硬件或軟件時(shí)才需要。A2-40在審查IT短期（戰(zhàn)術(shù)）計(jì)劃時(shí)，信息系統(tǒng)審計(jì)師應(yīng)確定是否：[單選題]*A.IT和業(yè)務(wù)人員都參與項(xiàng)目。(正確答案)B.明確定義IT使命和愿景。C.采用戰(zhàn)略信息技術(shù)計(jì)劃計(jì)分卡。D.該計(jì)劃使業(yè)務(wù)目標(biāo)與IT目的和目標(biāo)相關(guān)聯(lián)。答案解析：A.IT和業(yè)務(wù)人員參與項(xiàng)目是一個(gè)運(yùn)營(yíng)問(wèn)題，在審查短期計(jì)劃時(shí)應(yīng)該對(duì)此進(jìn)行考慮。戰(zhàn)略計(jì)劃可為IT短期計(jì)劃提供框架。B.明確定義IT使命和愿景是戰(zhàn)略計(jì)劃的內(nèi)容。C.戰(zhàn)略信息技術(shù)計(jì)劃計(jì)分卡是戰(zhàn)略計(jì)劃的內(nèi)容。D.與IT目的和目標(biāo)相關(guān)聯(lián)的業(yè)務(wù)目標(biāo)是戰(zhàn)略計(jì)劃的內(nèi)容。A2-41信息系統(tǒng)審計(jì)師會(huì)認(rèn)為以下哪項(xiàng)工作與IT部門(mén)短期計(jì)劃的關(guān)聯(lián)性最大？[單選題]*A.資源分配。(正確答案)B.適應(yīng)不斷變化的技術(shù)。C.開(kāi)展控制自我評(píng)估。D.評(píng)估硬件需求。答案解析：A.IT部門(mén)應(yīng)具體考慮在短期內(nèi)分配資源的方式。信息系統(tǒng)審計(jì)師要保證資源得到恰當(dāng)管理。B.IT投資需要與高層管理戰(zhàn)略一致而非與短期計(jì)劃相關(guān)，并由于技術(shù)的緣故側(cè)重于技術(shù)。C.開(kāi)展控制自我評(píng)估不如IT部門(mén)在短期計(jì)劃中分配資源那樣重要。D.評(píng)估硬件需求不如IT部門(mén)在短期計(jì)劃中分配資源那樣重要。A2-42組織的戰(zhàn)略計(jì)劃預(yù)期會(huì)有以下哪項(xiàng)目標(biāo)？[單選題]*A.新軟件測(cè)試的結(jié)果。B.對(duì)信息技術(shù)需求執(zhí)行評(píng)估。C.新規(guī)劃系統(tǒng)的短期項(xiàng)目計(jì)劃。D.組織提供經(jīng)批準(zhǔn)的產(chǎn)品供應(yīng)商。(正確答案)答案解析：A.新會(huì)計(jì)軟件包的結(jié)果是一個(gè)戰(zhàn)術(shù)性或短期的目標(biāo)，不會(huì)出現(xiàn)在戰(zhàn)略計(jì)劃中。B.評(píng)估信息技術(shù)需求是衡量績(jī)效的一種方式，但不是戰(zhàn)略計(jì)劃中的目標(biāo)。C.短期項(xiàng)目計(jì)劃是以項(xiàng)目為導(dǎo)向的目標(biāo)實(shí)施方法，但其本身不是一項(xiàng)目標(biāo)。目標(biāo)應(yīng)是改善項(xiàng)目管理——新系統(tǒng)是如何實(shí)現(xiàn)該目標(biāo)的。D.經(jīng)批準(zhǔn)的產(chǎn)品供應(yīng)商是用于確定業(yè)務(wù)總體方向的戰(zhàn)略業(yè)務(wù)目標(biāo)，因此，是組織戰(zhàn)略計(jì)劃的一部分。A2-43當(dāng)評(píng)估組織的IT戰(zhàn)略時(shí)，信息系統(tǒng)審計(jì)師會(huì)認(rèn)為以下哪一選項(xiàng)最重要？[單選題]*A.已得到直線管理層的批準(zhǔn)。B.與IT部門(mén)的初步預(yù)算相同。C.符合采購(gòu)流程。D.支持組織的業(yè)務(wù)目標(biāo)。(正確答案)答案解析：A.戰(zhàn)略計(jì)劃是高級(jí)管理層的責(zé)任，會(huì)聽(tīng)取直線經(jīng)理的意見(jiàn)，但不會(huì)由他們批準(zhǔn)。B.預(yù)算不應(yīng)與計(jì)劃不同。C.采購(gòu)流程屬于組織控制方式，但不屬于戰(zhàn)略計(jì)劃。D.戰(zhàn)略計(jì)劃落實(shí)組織或部門(mén)的目標(biāo)。長(zhǎng)期和短期戰(zhàn)略計(jì)劃應(yīng)該與組織層面上較大范圍的計(jì)劃及業(yè)務(wù)目標(biāo)一致，以便實(shí)現(xiàn)這些目標(biāo)。A2-44某組織已與供應(yīng)商就一套用于電子收費(fèi)系統(tǒng)（ETCS）的即用型解決方案簽訂合同。供應(yīng)商在解決方案中提供了其擁有的專有應(yīng)用軟件。該合同應(yīng)要求：[單選題]*A.存在能使用最新數(shù)據(jù)運(yùn)行ETCS操作的備用服務(wù)器。B.存在裝載著所有相關(guān)軟件和數(shù)據(jù)的備用服務(wù)器。C.組織的系統(tǒng)人員接受培訓(xùn)以處理各類事件。D.ETCS應(yīng)用程序的源代碼交由第三方保管。(正確答案)答案解析：A.具有裝載著最新數(shù)據(jù)的備用服務(wù)器雖然很重要，但不如確保源代碼的可用性重要。B.具有相關(guān)軟件的備用服務(wù)器雖然很重要，但不如確保源代碼的可用性重要。C.進(jìn)行員工培訓(xùn)雖然很重要，但不如確保源代碼的可用性重要。D.無(wú)論何時(shí)購(gòu)買(mǎi)專有應(yīng)用軟件，合同都應(yīng)包含源代碼托管協(xié)議。此協(xié)議可確保采購(gòu)方在供應(yīng)商停業(yè)的情況下仍能修改該軟件。A2-45審查IT戰(zhàn)略時(shí)，信息系統(tǒng)審計(jì)師可通過(guò)確定IT是否具備以下哪項(xiàng)特征，最好地評(píng)估該戰(zhàn)略是否支持組織的業(yè)務(wù)目標(biāo)？[單選題]*A.具有所需的所有人員和設(shè)備。B.計(jì)劃與管理戰(zhàn)略一致。(正確答案)C.能夠有效且高效地使用其人員和設(shè)備。D.完全有能力應(yīng)對(duì)不斷變化的趨勢(shì)。答案解析：A.擁有人員和設(shè)備是滿足IT戰(zhàn)略的重要條件，但不能確保IT戰(zhàn)略能支持業(yè)務(wù)目標(biāo)。B.了解IT戰(zhàn)略是否滿足業(yè)務(wù)目標(biāo)的唯一方式是確定IT計(jì)劃是否與管理戰(zhàn)略一致，并使IT規(guī)劃與業(yè)務(wù)計(jì)劃相關(guān)。C.有效且高效地使用其人員和設(shè)備是確定正確管理IT職能的有效方法，但不能確保IT戰(zhàn)略與業(yè)務(wù)目標(biāo)一致。D.完全有能力應(yīng)對(duì)不斷變化的趨勢(shì)對(duì)于具備應(yīng)對(duì)組織變動(dòng)的靈活性很重要，但其本身不是一種確保IT與業(yè)務(wù)目標(biāo)一致的方式。A2-46某大型組織的信息系統(tǒng)審計(jì)師正在審查IT部門(mén)中的角色和職責(zé)情況，發(fā)現(xiàn)有若干個(gè)人擔(dān)任多重角色。以下哪種角色組合應(yīng)最令信息系統(tǒng)審計(jì)師關(guān)注？[單選題]*A.網(wǎng)絡(luò)管理員負(fù)責(zé)質(zhì)量保證工作。B.系統(tǒng)管理員是應(yīng)用編程員。(正確答案)C.終端用戶擔(dān)任關(guān)鍵應(yīng)用程序的安全管理員。D.系統(tǒng)分析師擔(dān)任數(shù)據(jù)庫(kù)管理員。答案解析：A.理想情況下，網(wǎng)絡(luò)管理員不應(yīng)負(fù)責(zé)質(zhì)量保證，因?yàn)檫@樣他們可以批準(zhǔn)他們自己的工作。但這沒(méi)有一人同時(shí)擔(dān)任系統(tǒng)管理員和應(yīng)用程序開(kāi)發(fā)人員的問(wèn)題嚴(yán)重，因?yàn)檫@樣便是允許不受限制的權(quán)力濫用。B.如果個(gè)人承擔(dān)多個(gè)角色，表示出現(xiàn)了職責(zé)分離問(wèn)題，同時(shí)也帶來(lái)了相關(guān)的風(fēng)險(xiǎn)。系統(tǒng)管理員不應(yīng)擔(dān)任應(yīng)用程序開(kāi)發(fā)人員，因?yàn)閮蓚€(gè)職位的權(quán)限具有相關(guān)性。個(gè)人如果同時(shí)具備系統(tǒng)和編程權(quán)限，則幾乎可對(duì)系統(tǒng)進(jìn)行任何操作，包括創(chuàng)建后門(mén)。其他兩種職責(zé)的兼任從職責(zé)分離的角度看是有效的。C.在某些分布式環(huán)境中，特別是員工數(shù)量少的情況下，用戶也可以進(jìn)行安全管理。D.雖然數(shù)據(jù)庫(kù)管理員是一個(gè)很有特權(quán)的職位，但與系統(tǒng)分析師的職責(zé)不沖突。A2-47以下哪項(xiàng)是針對(duì)數(shù)據(jù)和系統(tǒng)所有權(quán)的政策定義不當(dāng)所帶來(lái)的最大風(fēng)險(xiǎn)？[單選題]*A.不存在用戶管理協(xié)調(diào)。B.無(wú)法確定明確的用戶責(zé)任。C.未授權(quán)用戶可能獲得修改數(shù)據(jù)的權(quán)限。(正確答案)D.審計(jì)建議可能不被實(shí)施。答案解析：A.最大的風(fēng)險(xiǎn)是未授權(quán)用戶可以修改數(shù)據(jù)。用戶管理很重要，但不是最大的風(fēng)險(xiǎn)。B.用戶責(zé)任很重要，但不及未授權(quán)用戶的行為風(fēng)險(xiǎn)大。C.如果沒(méi)有政策來(lái)定義負(fù)責(zé)授予具體系統(tǒng)的訪問(wèn)權(quán)限的責(zé)任人，則未授權(quán)用戶獲得（被授予）系統(tǒng)訪問(wèn)權(quán)限的風(fēng)險(xiǎn)將增加。未授權(quán)用戶可修改數(shù)據(jù)的風(fēng)險(xiǎn)大于授權(quán)用戶賬戶控制不當(dāng)?shù)娘L(fēng)險(xiǎn)。D.沒(méi)有實(shí)施審計(jì)建議是一個(gè)管理問(wèn)題，但沒(méi)有未授權(quán)用戶可以修改數(shù)據(jù)的問(wèn)題嚴(yán)重。A2-48信息系統(tǒng)審計(jì)部門(mén)正計(jì)劃盡量減少短期員工的風(fēng)險(xiǎn)。有助于實(shí)現(xiàn)這一目標(biāo)的活動(dòng)包括記錄流程、知識(shí)共享、交叉培訓(xùn)，以及：[單選題]*A.接任計(jì)劃。(正確答案)B.員工崗位評(píng)估。C.責(zé)任定義。D.員工獎(jiǎng)勵(lì)計(jì)劃。答案解析：A.接任計(jì)劃可確保發(fā)現(xiàn)和培養(yǎng)有潛力擔(dān)任組織關(guān)鍵崗位的內(nèi)部人員。B.崗位評(píng)估是指確定公司中各個(gè)崗位的相對(duì)價(jià)值，以建立公平公正的薪酬體系的過(guò)程。C.員工職責(zé)定義對(duì)角色和工作職責(zé)詳加定義；但兩者均不可最大限度地降低對(duì)關(guān)鍵個(gè)人的依賴程度。D.員工獎(jiǎng)勵(lì)計(jì)劃可提供激勵(lì)，但不能最大限度地減少對(duì)關(guān)鍵個(gè)人的依賴。A2-49技術(shù)變化的速度增加了以下哪項(xiàng)重要性？[單選題]*A.外包IT職能。B.實(shí)施和強(qiáng)制執(zhí)行合理的流程。(正確答案)C.雇用合格人員。D.滿足用戶要求。答案解析：A.外包IT職能是一項(xiàng)業(yè)務(wù)決策，與技術(shù)變化的速度沒(méi)有直接關(guān)系，技術(shù)變化速度也不會(huì)增加外包的重要性。B.變更控制需要實(shí)施并強(qiáng)制執(zhí)行良好的變更管理流程。C.典型的IT部門(mén)人員一般會(huì)進(jìn)行新技術(shù)培訓(xùn)以滿足組織的要求。D.盡管滿足用戶要求非常重要，但這與IT環(huán)境的技術(shù)變化速度沒(méi)有直接關(guān)系。A2-50如果信息系統(tǒng)審計(jì)師發(fā)現(xiàn)并不是所有員工都了解企業(yè)的信息安全政策。信息系統(tǒng)審計(jì)師可斷定：[單選題]*A.缺乏該知識(shí)會(huì)導(dǎo)致員工無(wú)意中泄露敏感信息。(正確答案)B.信息安全不是對(duì)所有職能都很重要的。C.信息系統(tǒng)審計(jì)應(yīng)對(duì)員工進(jìn)行安全培訓(xùn)。D.審計(jì)發(fā)現(xiàn)將導(dǎo)致管理人員對(duì)員工進(jìn)行持續(xù)培訓(xùn)。答案解析：A.所有員工都應(yīng)該對(duì)企業(yè)的信息安全政策有所了解，以防止無(wú)意中泄露敏感信息。培訓(xùn)是一種預(yù)防性控制。安全意識(shí)計(jì)劃可防止員工無(wú)意中把敏感信息泄露給外部人員。B.信息安全是每個(gè)人的事情，所有員工都需要參與如何正確處理信息的培訓(xùn)。C.提供安全意識(shí)培訓(xùn)不是IS審計(jì)的職能。D.管理層可同意或拒絕審計(jì)發(fā)現(xiàn)。如果管理層不了解審計(jì)發(fā)現(xiàn)的影響，信息系統(tǒng)審計(jì)師就不能確定管理層會(huì)根據(jù)審計(jì)發(fā)現(xiàn)采取行動(dòng)，因此審計(jì)師必須上報(bào)缺乏安全意識(shí)相關(guān)的風(fēng)險(xiǎn)。A2-51以下哪個(gè)負(fù)責(zé)批準(zhǔn)信息安全政策？[單選題]*A.IT部門(mén)。B.安全委員會(huì)。C.安全管理員。D.董事會(huì)。(正確答案)答案解析：A.IT部門(mén)負(fù)責(zé)執(zhí)行該政策，無(wú)權(quán)制定政策。B.安全委員會(huì)根據(jù)董事會(huì)制定的廣泛性安全政策行使職能。C.安全管理員負(fù)責(zé)實(shí)施、監(jiān)控和執(zhí)行管理人員制定并授權(quán)的安全規(guī)則。D.批準(zhǔn)信息系統(tǒng)安全政策通常是高級(jí)管理層或董事會(huì)的責(zé)任。A2-52在審查組織的IT治理流程時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)公司最近實(shí)施了IT平衡計(jì)分卡（BSC）。實(shí)施已完成，但信息系統(tǒng)審計(jì)師注意到無(wú)法對(duì)績(jī)效指標(biāo)進(jìn)行客觀衡量。這種情況的主要風(fēng)險(xiǎn)是什么？[單選題]*A.關(guān)鍵績(jī)效指標(biāo)未報(bào)告給管理人員，因此管理人員無(wú)法確定BSC的有效性。B.IT項(xiàng)目可能受到成本超支的影響。C.可能將誤導(dǎo)性IT績(jī)效指標(biāo)提供給管理人員。(正確答案)D.IT服務(wù)水平協(xié)議可能不準(zhǔn)確。答案解析：A.如果績(jī)效指標(biāo)不可客觀衡量，則最大的風(fēng)險(xiǎn)是將誤導(dǎo)性績(jī)效結(jié)果報(bào)告給管理人員。這會(huì)導(dǎo)致產(chǎn)生保障錯(cuò)覺(jué)，從而導(dǎo)致錯(cuò)誤地分配IT資源，或者基于錯(cuò)誤的信息制定戰(zhàn)略決策。無(wú)論績(jī)效指標(biāo)是否正確定義，結(jié)果都應(yīng)該報(bào)告給管理人員。B.未正確定義的績(jī)效指標(biāo)可能引發(fā)項(xiàng)目管理問(wèn)題，但將誤導(dǎo)性績(jī)效報(bào)告給管理人員是更大的風(fēng)險(xiǎn)。C.IT平衡計(jì)分卡用于衡量IT績(jī)效。為了衡量績(jī)效，必須定義足夠多的績(jī)效推動(dòng)因素[關(guān)鍵績(jī)效指標(biāo)（KPI）]，并且隨著時(shí)間的推移進(jìn)行度量。沒(méi)有客觀的KPI，可能導(dǎo)致隨意、有誤導(dǎo)性的主觀措施，并導(dǎo)致不合理的決策。D.未正確定義的績(jī)效指標(biāo)可能引發(fā)與服務(wù)水平協(xié)議相關(guān)的績(jī)效管理問(wèn)題，但將誤導(dǎo)性績(jī)效報(bào)告給管理人員是更大的風(fēng)險(xiǎn)。A2-53下面哪項(xiàng)應(yīng)包含在組織的信息安全政策中？[單選題]*A.需要保護(hù)的關(guān)鍵IT資源的清單。B.訪問(wèn)控制授權(quán)的基準(zhǔn)。(正確答案)C.敏感安全資產(chǎn)的標(biāo)識(shí)。D.相關(guān)軟件安全功能。答案解析：A.需要保護(hù)的關(guān)鍵IT資源的清單相比政策內(nèi)容過(guò)于詳細(xì)。B.安全政策提供由高級(jí)管理層制定和批準(zhǔn)的廣泛性安全框架。安全政策包括定義可授予訪問(wèn)權(quán)限的人員和授予訪問(wèn)權(quán)限的依據(jù)。C.敏感安全資產(chǎn)的標(biāo)識(shí)相比政策內(nèi)容過(guò)于詳細(xì)。D.相關(guān)軟件安全功能列表相比政策內(nèi)容過(guò)于詳細(xì)。A2-54以下哪一項(xiàng)是創(chuàng)建防火墻政策的第一步？[單選題]*A.對(duì)保護(hù)應(yīng)用程序的方法進(jìn)行成本效益分析。B.確定可被外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用程序。(正確答案)C.確定與可被外部訪問(wèn)的網(wǎng)絡(luò)應(yīng)用程序相關(guān)的漏洞。D.創(chuàng)建應(yīng)用程序流量矩陣，說(shuō)明保護(hù)方法。答案解析：A.確定用于保護(hù)已發(fā)現(xiàn)漏洞的方法及其對(duì)比成本效益分析是第三步。B.第一步應(yīng)確定整個(gè)網(wǎng)絡(luò)中需要的應(yīng)用程序。確定完之后，根據(jù)這些應(yīng)用程序在網(wǎng)絡(luò)和網(wǎng)絡(luò)模型中的物理位置，負(fù)責(zé)人即可了解控制對(duì)這些應(yīng)用程序的訪問(wèn)的需求和可行方法。C.確定可被外部訪問(wèn)的應(yīng)用程序后，下一步是確定與網(wǎng)絡(luò)應(yīng)用程序相關(guān)的漏洞（弱點(diǎn)）。D.第四步是分析應(yīng)用程序流量并創(chuàng)建矩陣，說(shuō)明如何保護(hù)各類流量。A2-55以下哪個(gè)選項(xiàng)是決策支持系統(tǒng)過(guò)程中的實(shí)施風(fēng)險(xiǎn)？[單選題]*A.管理控制。B.半結(jié)構(gòu)化維度。C.無(wú)法明確目標(biāo)和使用模式。(正確答案)D.決策過(guò)程中的變化。答案解析：A.管理控制不是一種風(fēng)險(xiǎn)，而是決策支持系統(tǒng)（DSS）的一種特性。B.半結(jié)構(gòu)化維度不是一種風(fēng)險(xiǎn)，而是DSS的一種特性。C.無(wú)法明確目標(biāo)和使用模式是開(kāi)發(fā)人員在實(shí)施DSS時(shí)需要預(yù)先考慮到的風(fēng)險(xiǎn)。D.決策過(guò)程中的變化不是一種風(fēng)險(xiǎn)，而是DSS的一種特性。A2-56以下哪項(xiàng)對(duì)成功實(shí)施和維護(hù)安全政策最重要？[單選題]*A.讓所有相關(guān)方熟悉書(shū)面安全政策的框架和目的。(正確答案)B.管理人員支持并批準(zhǔn)安全政策的實(shí)施和維護(hù)。C.通過(guò)對(duì)任何違反安全規(guī)則的行為實(shí)施處罰以執(zhí)行安全規(guī)則。D.通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行、監(jiān)控和實(shí)施安全專員制定的規(guī)則。答案解析：A.讓所有級(jí)別的管理人員和系統(tǒng)用戶熟悉書(shū)面安全政策框架和目的，對(duì)于成功實(shí)施和維護(hù)安全政策至關(guān)重要。如果一項(xiàng)政策沒(méi)有落實(shí)到日常行為中，便不會(huì)有效。B.毫無(wú)疑問(wèn)，管理人員的支持和承諾很重要，但要成功實(shí)施和維護(hù)安全政策，最重要的是讓用戶了解安全的重要性。C.政策的執(zhí)行需要處罰措施，但處罰不是成功執(zhí)行的關(guān)鍵。D.通過(guò)訪問(wèn)控制軟件嚴(yán)格執(zhí)行、監(jiān)督和實(shí)施安全規(guī)則以及對(duì)違反安全規(guī)則的行為實(shí)施處罰很重要，但這仍依賴管理人員和用戶的支持及對(duì)安全重要性的教育。A2-57全面有效的電子郵件政策可解決的問(wèn)題應(yīng)該包括電子郵件結(jié)構(gòu)、政策實(shí)施、監(jiān)控和[單選題]*A.恢復(fù)。B.保留。(正確答案)C.重建。D.重復(fù)使用。答案解析：A.電子郵件政策應(yīng)解決電子郵件保留的業(yè)務(wù)和法律要求問(wèn)題。在電子郵件政策中解決保留問(wèn)題可為其恢復(fù)提供方便。B.除了作為良好實(shí)踐，法規(guī)可能要求組織保留對(duì)財(cái)務(wù)報(bào)表有影響的信息。由于電子郵件常常在訴訟中被視為與傳統(tǒng)的紙質(zhì)正式信件具有同樣的效力，因此企業(yè)電子郵件保留政策成為必需。在企業(yè)的硬件上生成的所有電子郵件都?xì)w企業(yè)所有，電子郵件政策應(yīng)解決消息保留的問(wèn)題，這要考慮已知的和不可預(yù)見(jiàn)的訴訟。該政策還應(yīng)解決在指定時(shí)間后銷毀電子郵件的問(wèn)題，以保護(hù)消息本身的特性和機(jī)密性。C.電子郵件政策應(yīng)解決電子郵件保留的業(yè)務(wù)和法律要求問(wèn)題。解決電子郵件的保留問(wèn)題可為其修復(fù)提供方便。D.電子郵件政策應(yīng)解決電子郵件保留的業(yè)務(wù)和法律要求問(wèn)題。電子郵件的重復(fù)使用不是政策問(wèn)題。A2-58某組織正考慮給出大筆投資進(jìn)行技術(shù)升級(jí)。以下哪一項(xiàng)是需要考慮的最重要因素？[單選題]*A.成本分析。B.當(dāng)前技術(shù)的安全風(fēng)險(xiǎn)。C.與現(xiàn)有系統(tǒng)的兼容性。D.風(fēng)險(xiǎn)分析。(正確答案)答案解析：A.信息系統(tǒng)解決方案應(yīng)當(dāng)具有成本效益，但這不是最重要的方面。B.當(dāng)前技術(shù)的安全風(fēng)險(xiǎn)是風(fēng)險(xiǎn)分析的一部分，其本身并非最重要的因素。C.與現(xiàn)有系統(tǒng)的兼容性是考慮因素之一，但新系統(tǒng)可能是不兼容現(xiàn)有系統(tǒng)的一種重大升級(jí)，因此并非最重要的考慮因素。D.在實(shí)施新技術(shù)之前，組織應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，然后將其提交給業(yè)務(wù)單位管理層供其審閱和驗(yàn)收。A2-59要求督導(dǎo)委員會(huì)監(jiān)督IT投資的主要好處是以下哪一項(xiàng)？[單選題]*A.進(jìn)行可行性分析，以證明IT的價(jià)值。B.確保根據(jù)業(yè)務(wù)需求進(jìn)行投資。(正確答案)C.確保強(qiáng)制落實(shí)適當(dāng)?shù)陌踩刂拼胧?。D.確保實(shí)施標(biāo)準(zhǔn)的開(kāi)發(fā)方法。答案解析：A.督導(dǎo)委員會(huì)可能在審查中使用可行性分析，但它并不負(fù)責(zé)實(shí)施/執(zhí)行此項(xiàng)分析。B.督導(dǎo)委員會(huì)由來(lái)自業(yè)務(wù)和IT部門(mén)的代表組成，負(fù)責(zé)確保根據(jù)業(yè)務(wù)目標(biāo)而不是IT優(yōu)先級(jí)進(jìn)行IT投資。C.督導(dǎo)委員會(huì)不負(fù)責(zé)強(qiáng)制落實(shí)安全控制措施。D.督導(dǎo)委員會(huì)不負(fù)責(zé)開(kāi)發(fā)方法的實(shí)施。A2-60信息系統(tǒng)控制目標(biāo)對(duì)于信息系統(tǒng)審計(jì)師來(lái)說(shuō)非常有用。它們?yōu)閷徲?jì)師了解以下哪個(gè)方面奠定了基礎(chǔ)？[單選題]*A.實(shí)施特定控制流程的預(yù)期結(jié)果或目的。(正確答案)B.與特定實(shí)體相關(guān)的最佳信息系統(tǒng)安全控制實(shí)務(wù)。C.保證信息安全的技術(shù)。D.安全政策。答案解析：A.信息系統(tǒng)（IS）控制目標(biāo)的定義是：在特定IS活動(dòng)中實(shí)施控制流程所要達(dá)到的預(yù)期結(jié)果或目的的說(shuō)明。B.控制目標(biāo)為控制措施的實(shí)施提供了實(shí)際目標(biāo)，但不一定基于良好實(shí)踐。C.技術(shù)是實(shí)現(xiàn)目標(biāo)的方式，但與了解技術(shù)本身相比，更重要的是要知道控制的原因和目的。D.安全政策可強(qiáng)制要求進(jìn)行IS控制，但控制不可用來(lái)了解政策。A2-61制訂信息安全計(jì)劃的第一步是：[單選題]*A.制定和實(shí)施信息安全標(biāo)準(zhǔn)手冊(cè)。B.由信息系統(tǒng)審計(jì)師執(zhí)行全面的安全控制審查。C.采用公司信息安全政策聲明。(正確答案)D.購(gòu)買(mǎi)安全訪問(wèn)控制軟件。答案解析：A.安全計(jì)劃由政策驅(qū)動(dòng)，標(biāo)準(zhǔn)由計(jì)劃驅(qū)動(dòng)。第一步是制定政策并保證計(jì)劃以政策為基礎(chǔ)。B.對(duì)計(jì)劃相關(guān)的控制進(jìn)行審計(jì)和監(jiān)督是計(jì)劃制訂之后的事情。C.政策聲明反映了執(zhí)行管理部門(mén)希望獲得適當(dāng)安全性的意向以及所提供的支持，并且確立了制訂安全計(jì)劃的起始點(diǎn)。D.訪問(wèn)控制軟件是一項(xiàng)重要的安全控制，但需要先制定政策和計(jì)劃。A2-62如果已將服務(wù)外包，下列哪一項(xiàng)是IT管理部門(mén)要執(zhí)行的最重要的職能？[單選題]*A.確保提供商的發(fā)票已支付。B.與提供商一同參與系統(tǒng)設(shè)計(jì)。C.重新商談提供商的費(fèi)用。D.監(jiān)督外包提供商的績(jī)效。(正確答案)答案解析：A.支付發(fā)票屬于財(cái)務(wù)職能，需要按照合同要求完成。B.參與系統(tǒng)設(shè)計(jì)是監(jiān)督外包提供商績(jī)效的附帶結(jié)果。C.重新協(xié)商費(fèi)用一般為一次性活動(dòng)，沒(méi)有監(jiān)督供應(yīng)商的績(jī)效重要。D.在外包環(huán)境中，企業(yè)依賴服務(wù)提供商的績(jī)效。因此，必須對(duì)外包提供商的績(jī)效進(jìn)行監(jiān)控，以確保按要求向企業(yè)提供服務(wù)。A2-63某組織購(gòu)買(mǎi)了一款第三方應(yīng)用程序并對(duì)其進(jìn)行了重大的修改。在審計(jì)這一面向客戶的關(guān)鍵應(yīng)用程序的開(kāi)發(fā)流程時(shí)，信息系統(tǒng)審計(jì)師注意到供應(yīng)商開(kāi)展業(yè)務(wù)的時(shí)間才只有一年。以下哪項(xiàng)有助于緩解持續(xù)支持應(yīng)用程序有關(guān)的風(fēng)險(xiǎn)？[單選題]*A.對(duì)供應(yīng)商進(jìn)行生存能力研究。B.簽署軟件第三方托管協(xié)議。(正確答案)C.對(duì)供應(yīng)商進(jìn)行財(cái)務(wù)評(píng)估。D.簽署未來(lái)增強(qiáng)方面的合同協(xié)議。答案解析：A.盡管對(duì)供應(yīng)商進(jìn)行生存能力研究在一定程度上能夠保證供應(yīng)商為該組織提供服務(wù)的長(zhǎng)期可用性，但在這種情況下，組織擁有源代碼的相關(guān)權(quán)利更為重要。B.考慮到供應(yīng)商開(kāi)展業(yè)務(wù)的時(shí)間僅有一年，最大的問(wèn)題是供應(yīng)商的財(cái)務(wù)穩(wěn)定性或生存能力以及供應(yīng)商倒閉的風(fēng)險(xiǎn)。應(yīng)對(duì)這一風(fēng)險(xiǎn)的最佳方式是針對(duì)應(yīng)用程序的源代碼簽署軟件第三方托管協(xié)議，以便該實(shí)體可以在供應(yīng)商倒閉時(shí)訪問(wèn)源代碼。C.考慮到供應(yīng)商開(kāi)展業(yè)務(wù)的時(shí)間僅有一年，對(duì)供應(yīng)商進(jìn)行財(cái)務(wù)評(píng)估沒(méi)有多大價(jià)值，并且不能保證供應(yīng)商可為該組織提供長(zhǎng)期的服務(wù)。在這種情況下，組織擁有源代碼的相關(guān)權(quán)利更為重要。D.合同協(xié)議雖然具有約束力，但在供應(yīng)商倒閉后將無(wú)法執(zhí)行或僅有有限的價(jià)值。A2-64信息系統(tǒng)審計(jì)師在審查IT設(shè)施的外包合約時(shí)，希望其中規(guī)定了：[單選題]*A.硬件配置。B.訪問(wèn)控制軟件。C.知識(shí)產(chǎn)權(quán)的所有權(quán)。(正確答案)D.應(yīng)用程序開(kāi)發(fā)方法。答案解析：A.只要功能性、可用性和安全性會(huì)受到影響，硬件配置通常無(wú)關(guān)緊要，這些在合同中有具體的規(guī)定。B.只要功能性、可用性和安全性會(huì)受到影響，訪問(wèn)控制軟件通常無(wú)關(guān)緊要，這些在合同中有具體的規(guī)定。C.合同中必須明確規(guī)定知識(shí)產(chǎn)權(quán)（被處理的信息和應(yīng)用程序）的所有者。知識(shí)產(chǎn)權(quán)的所有權(quán)成本巨大，也是需要在外包合同中規(guī)定的重要方面。D.開(kāi)發(fā)方法在外包合同中不是真正需要考慮的問(wèn)題。A2-65對(duì)服務(wù)提供商進(jìn)行審計(jì)時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，該服務(wù)提供商已將部分工作外包給了其他提供商。由于此工作涉及機(jī)密信息，因此，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)首先考慮：[單選題]*A.保護(hù)信息安全的要求可能受到影響。(正確答案)B.合同可能因?yàn)橥獍涛传@得事先許可而被終止。C.提供部分外包工作的其他服務(wù)提供商不需要接受審計(jì)。D.外包商將直接與其他服務(wù)提供商進(jìn)行接觸，以便進(jìn)一步開(kāi)展工作。答案解析：A.許多國(guó)家均制定了相關(guān)法規(guī)，用來(lái)保護(hù)本國(guó)維護(hù)的或與其他國(guó)家交換的信息的機(jī)密性。當(dāng)服務(wù)提供商將部分服務(wù)外包給其他服務(wù)提供商時(shí)，有對(duì)信息的機(jī)密性造成危害的潛在風(fēng)險(xiǎn)。B.可能因?yàn)檫`反合同條款而終止合同，但這與確保信息安全無(wú)關(guān)。C.外包商不需要接受審計(jì)可能是個(gè)問(wèn)題，但這與確保信息安全無(wú)關(guān)。D.外包商直接與其他服務(wù)提供商進(jìn)行接觸以便進(jìn)一步開(kāi)展工作，這根本不是信息系統(tǒng)審計(jì)師需要關(guān)心的問(wèn)題。A2-66開(kāi)放式系統(tǒng)架構(gòu)的好處是：[單選題]*A.促進(jìn)不同系統(tǒng)內(nèi)的互操作性。(正確答案)B.便于集成專有組件。C.將成為設(shè)備供應(yīng)商提供批量折扣的基礎(chǔ)。D.考慮了設(shè)備將要實(shí)現(xiàn)更大的規(guī)模經(jīng)濟(jì)。答案解析：A.在開(kāi)放式系統(tǒng)的供應(yīng)商所提供的組件中，組件接口是由公共標(biāo)準(zhǔn)定義的，因此便于在不同供應(yīng)商制造的系統(tǒng)之間實(shí)現(xiàn)互操作性。B.封閉式系統(tǒng)組件是基于專有標(biāo)準(zhǔn)構(gòu)建的，因此，其他供應(yīng)商的系統(tǒng)無(wú)法或不會(huì)與現(xiàn)有系統(tǒng)進(jìn)行連接。C.批量折扣是通過(guò)大宗購(gòu)買(mǎi)或從主要供應(yīng)商那兒取得的，而不是通過(guò)開(kāi)放式系統(tǒng)架構(gòu)取得的。D.開(kāi)放式系統(tǒng)可能比專有系統(tǒng)便宜，具體取決于供應(yīng)商，但開(kāi)放式系統(tǒng)架構(gòu)的主要好處是供應(yīng)商之間的互操作性。A2-67以下哪種電子郵件政策最有可能降低與收集電子證據(jù)相關(guān)的風(fēng)險(xiǎn)？[單選題]*A.銷毀政策。B.安全政策。C.存檔政策。(正確答案)D.審計(jì)政策。答案解析：A.電子郵件保留政策包括對(duì)電子郵件的銷毀或刪除。它必須符合保留電子郵件的法律要求。B.安全政策的層次過(guò)高，不能解決沒(méi)有充分保留電子郵件或在需要時(shí)不能訪問(wèn)電子郵件的風(fēng)險(xiǎn)。C.借助對(duì)電子郵件記錄進(jìn)行精心存檔的政策，可以依據(jù)法律要求對(duì)特定的電子郵件記錄進(jìn)行訪問(wèn)或檢索。D.審計(jì)政策不會(huì)滿足提供電子郵件作為電子證據(jù)的法律要求。A2-68風(fēng)險(xiǎn)管理流程的結(jié)果可以作為制定以下哪一項(xiàng)的依據(jù)？[單選題]*A.業(yè)務(wù)計(jì)劃。B.審計(jì)章程。C.安全政策決策。(正確答案)D.軟件設(shè)計(jì)決策。答案解析：A.制訂業(yè)務(wù)計(jì)劃不是風(fēng)險(xiǎn)管理流程的最終目的。B.風(fēng)險(xiǎn)管理有助于制訂審計(jì)計(jì)劃，但無(wú)助于制定審計(jì)章程。C.風(fēng)險(xiǎn)管理流程針對(duì)的是制定與安全相關(guān)的特定決策，如可接受的風(fēng)險(xiǎn)等級(jí)。D.風(fēng)險(xiǎn)管理會(huì)推動(dòng)軟件的安全控制設(shè)計(jì)，但對(duì)安全政策的影響更重要。A2-69某信息系統(tǒng)審計(jì)師受聘對(duì)電子商務(wù)的安全性進(jìn)行審查。信息系統(tǒng)審計(jì)師首先執(zhí)行的任務(wù)是檢查現(xiàn)有的每個(gè)電子商務(wù)應(yīng)用程序，從而確定是否存在漏洞。那么，接下來(lái)應(yīng)該執(zhí)行哪項(xiàng)任務(wù)？[單選題]*A.立即向首席信息官和首席執(zhí)行官報(bào)告風(fēng)險(xiǎn)。B.檢查正在開(kāi)發(fā)的電子商務(wù)應(yīng)用程序。C.確定威脅和發(fā)生概率。(正確答案)D.檢查可用于風(fēng)險(xiǎn)管理的預(yù)算。答案解析：A.只有在記錄所有威脅、發(fā)生概率和漏洞后才可確定風(fēng)險(xiǎn)。B.第一步是確定現(xiàn)有應(yīng)用程序的風(fēng)險(xiǎn)水平，然后將其應(yīng)用于開(kāi)發(fā)中的應(yīng)用程序。只有在威脅和發(fā)生概率確定之后才能認(rèn)定風(fēng)險(xiǎn)。C.為確定與電子商務(wù)相關(guān)的風(fēng)險(xiǎn)，信息系統(tǒng)審計(jì)師必須先識(shí)別資產(chǎn)、確定是否存在漏洞，然后再確定威脅和發(fā)生概率。D.可用于風(fēng)險(xiǎn)管理的預(yù)算在此時(shí)不相關(guān)，因?yàn)轱L(fēng)險(xiǎn)尚未確定。A2-70審查IT組織的信息系統(tǒng)審計(jì)師最關(guān)注的是IT督導(dǎo)委員會(huì)是否：[單選題]*A.負(fù)責(zé)項(xiàng)目審批以及優(yōu)先級(jí)的確定。B.負(fù)責(zé)制訂長(zhǎng)期的IT計(jì)劃。C.向董事會(huì)報(bào)告IT項(xiàng)目的狀況。D.負(fù)責(zé)確定業(yè)務(wù)目標(biāo)。(正確答案)答案解析：A.IT督導(dǎo)委員會(huì)負(fù)責(zé)項(xiàng)目審批以及優(yōu)先級(jí)的確定。B.IT督導(dǎo)委員會(huì)負(fù)責(zé)監(jiān)督長(zhǎng)期IT計(jì)劃的制訂。C.IT督導(dǎo)委員會(huì)就IT發(fā)展?fàn)顩r向董事會(huì)提供建議。D.負(fù)責(zé)確定業(yè)務(wù)目標(biāo)的是高級(jí)管理人員，而不是IT督導(dǎo)委員會(huì)。IT應(yīng)支持業(yè)務(wù)目標(biāo)并受業(yè)務(wù)的驅(qū)動(dòng)，而不是相反。A2-71某信息系統(tǒng)審計(jì)師應(yīng)要求審查針對(duì)某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后是否遵守合同條款的最佳途徑是什么？[單選題]*A.要求供應(yīng)商提供月度狀況報(bào)告。B.與客戶IT經(jīng)理定期召開(kāi)會(huì)議。C.對(duì)供應(yīng)商進(jìn)行定期審計(jì)檢查。(正確答案)D.要求在合同中明確性能參數(shù)。答案解析：A.盡管提供月度狀況報(bào)告也許能夠表明供應(yīng)商遵守合同條款，但若不進(jìn)行獨(dú)立驗(yàn)證，這些數(shù)據(jù)也許并不可靠。B.與客戶IT經(jīng)理定期召開(kāi)會(huì)議有助于了解目前與供應(yīng)商之間的關(guān)系，但會(huì)議可能不包含定期審計(jì)檢查需考慮的供應(yīng)商審計(jì)報(bào)告、狀況報(bào)告和其他信息。C.對(duì)供應(yīng)商進(jìn)行定期審查可確保合同中的協(xié)議以令人滿意的方式履行。若在簽署合同后不進(jìn)行日后的審計(jì)檢查，供應(yīng)商可能不太看重服務(wù)等級(jí)協(xié)議以及客戶的安全控制要求，并且效果可能打折。定期審計(jì)檢查允許客戶檢查供應(yīng)商目前的狀況，以確保該供應(yīng)商是其想要繼續(xù)合作的人選。D.要求在合同中說(shuō)明性能參數(shù)很重要，但只有進(jìn)行定期審查才能確保達(dá)到性能參數(shù)。A2-72以下哪一項(xiàng)對(duì)戰(zhàn)略性IT舉措的決策流程最有價(jià)值？[單選題]*A.項(xiàng)目管理流程的成熟度。B.監(jiān)管環(huán)境。C.過(guò)去的審計(jì)結(jié)果。D.IT項(xiàng)目組合分析。(正確答案)答案解析：A.相比執(zhí)行戰(zhàn)略規(guī)劃，項(xiàng)目管理流程的成熟度在管理IT的日常運(yùn)營(yíng)中更為重要。B.監(jiān)管要求可能推動(dòng)某些技術(shù)和舉措方面的投資，但必須符合監(jiān)管要求通常不是IT和業(yè)務(wù)戰(zhàn)略的主要關(guān)注點(diǎn)。C.過(guò)去的審計(jì)結(jié)果可能推動(dòng)某些技術(shù)和舉措方面的投資，但必須針對(duì)過(guò)去的審計(jì)結(jié)果采取補(bǔ)救措施通常不是IT和業(yè)務(wù)戰(zhàn)略的主要關(guān)注點(diǎn)。D.組合分析為與規(guī)劃戰(zhàn)略性IT舉措相關(guān)的決策流程提供了最有價(jià)值的信息。IT組合分析提供有關(guān)已規(guī)劃的舉措、項(xiàng)目和正在進(jìn)行的IT服務(wù)的可比信息，有助于IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。A2-73缺少充分的安全控制代表以下哪一項(xiàng)？[單選題]*A.威脅。B.資產(chǎn)。C.影響。D.漏洞。(正確答案)答案解析：A.威脅是能夠?qū)Y產(chǎn)造成損害的任何事物（如物體、物質(zhì)和人）。無(wú)論是存在還是缺少控制，威脅始終存在。B.資產(chǎn)是具有有形價(jià)值或無(wú)形價(jià)值的、值得保護(hù)的東西，包括人員、信息、基礎(chǔ)設(shè)施、財(cái)務(wù)和聲譽(yù)。缺少控制不影響資產(chǎn)價(jià)值。C.影響表示某種威脅利用漏洞后所產(chǎn)生的結(jié)果或后果。缺少控制的影響可能更大，但缺少控制的定義是漏洞而非影響。D.缺少適當(dāng)?shù)陌踩刂凭捅硎敬嬖诼┒?，這將使敏感信息和數(shù)據(jù)暴露在風(fēng)險(xiǎn)中，遭受黑客惡意破壞、攻擊或未經(jīng)授權(quán)的訪問(wèn)。這可造成敏感信息丟失，并導(dǎo)致組織喪失商譽(yù)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）出版的《IT安全管理準(zhǔn)則》中對(duì)風(fēng)險(xiǎn)進(jìn)行了簡(jiǎn)要定義：“特定威脅利用某資產(chǎn)或一組資產(chǎn)的漏洞，對(duì)資產(chǎn)造成損失或破壞的可能性。”該定義中的各種要素包括漏洞、威脅、資產(chǎn)和影響。在這種情況下，缺少適當(dāng)?shù)陌踩刂凭捅硎敬嬖诼┒?。A2-74以下哪一項(xiàng)是IT績(jī)效衡量流程的主要目標(biāo)？[單選題]*A.將錯(cuò)誤減至最少。B.收集績(jī)效數(shù)據(jù)。C.建立績(jī)效基準(zhǔn)。D.優(yōu)化績(jī)效。(正確答案)答案解析：A.將錯(cuò)誤減至最少只是績(jī)效的一個(gè)方面，但不是績(jī)效管理的主要目標(biāo)。B.收集績(jī)效數(shù)據(jù)是測(cè)量IT績(jī)效的必要工作，但不是該流程的目標(biāo)。C.績(jī)效評(píng)估流程將實(shí)際績(jī)效與基線進(jìn)行比較，但不是該流程的目標(biāo)。D.IT績(jī)效衡量流程可用于優(yōu)化績(jī)效，衡量和管理產(chǎn)品/服務(wù)，確保實(shí)施問(wèn)責(zé)制度，以及制定預(yù)算決策。A2-75作為信息安全治理的結(jié)果，戰(zhàn)略一致性提供了：[單選題]*A.由企業(yè)需求驅(qū)動(dòng)的安全要求。(正確答案)B.遵循良好實(shí)踐的基線安全性。C.制度化和商品化的解決方案。D.對(duì)風(fēng)險(xiǎn)敞口的了解。答案解析：A.信息安全治理如果實(shí)施得當(dāng)，應(yīng)產(chǎn)生4個(gè)基本成果：戰(zhàn)略一致性、價(jià)值實(shí)現(xiàn)、風(fēng)險(xiǎn)管理和績(jī)效衡量。策略一致性為由企業(yè)需求所驅(qū)動(dòng)的信息安全要求提供了依據(jù)。B.戰(zhàn)略一致性保證安全與業(yè)務(wù)目標(biāo)的一致性。提供一套標(biāo)準(zhǔn)的信息安全實(shí)務(wù)操作（例如，遵循最佳實(shí)踐的基線安全性，或制度化和商品化的解決方案）是價(jià)值實(shí)現(xiàn)的一部分。C.價(jià)值交付解決的是方案的有效性和效率問(wèn)題，但不是戰(zhàn)略一致性的結(jié)果。D.風(fēng)險(xiǎn)管理是IT治理的主要目標(biāo)，但戰(zhàn)略一致性關(guān)注的不是對(duì)風(fēng)險(xiǎn)敞口的了解。A2-76審查信息安全政策時(shí)，信息系統(tǒng)審計(jì)師應(yīng)最關(guān)注以下哪個(gè)選項(xiàng)？該政策：[單選題]*A.由IT部門(mén)的目標(biāo)驅(qū)動(dòng)。(正確答案)B.已經(jīng)公布，但沒(méi)有要求用戶閱讀。C.沒(méi)有包含信息安全流程。D.政策已經(jīng)一年多未更新。答案解析：A.業(yè)務(wù)目標(biāo)驅(qū)動(dòng)著信息安全政策，而信息安全政策驅(qū)動(dòng)著IT部門(mén)目標(biāo)的選擇。由IT目標(biāo)驅(qū)動(dòng)的政策存在著與業(yè)務(wù)目標(biāo)不一致的風(fēng)險(xiǎn)。B.各種政策應(yīng)以書(shū)面形式記錄，這樣用戶就可以了解每項(xiàng)政策，員工應(yīng)能夠非常方便地獲取這些政策。用戶沒(méi)有閱讀政策不是最大的問(wèn)題，因?yàn)樗麄兛赡苋匀蛔袷卣?。C.政策中不應(yīng)包含工作流程。制定工作流程是為了幫助政策的實(shí)施和遵守。D.政策應(yīng)當(dāng)每年審查一次，但除非環(huán)境發(fā)生重大變化，例如有新的法律、法規(guī)或規(guī)定公布，否則不一定需要每年更新。A2-77在IT治理方面的良好實(shí)踐中，以下哪一項(xiàng)可以改善戰(zhàn)略一致性？[單選題]*A.對(duì)供應(yīng)商與合作伙伴風(fēng)險(xiǎn)進(jìn)行管理。B.建立一個(gè)有關(guān)客戶、產(chǎn)品、市場(chǎng)和流程的知識(shí)庫(kù)。C.提供一種便于創(chuàng)建和分享業(yè)務(wù)信息的結(jié)構(gòu)。D.高級(jí)管理層對(duì)業(yè)務(wù)要求與技術(shù)要求進(jìn)行協(xié)調(diào)。(正確答案)答案解析：A.對(duì)供應(yīng)商與合作伙伴帶來(lái)的風(fēng)險(xiǎn)進(jìn)行管理屬于風(fēng)險(xiǎn)管理方面的良好實(shí)踐，但不是戰(zhàn)略職能。B.建立有關(guān)客戶、產(chǎn)品、市場(chǎng)和流程的知識(shí)庫(kù)是IT價(jià)值實(shí)現(xiàn)的良好實(shí)踐，但不能確保戰(zhàn)略一致性。C.提供便于創(chuàng)建和分享業(yè)務(wù)信息的結(jié)構(gòu)是IT價(jià)值交付和風(fēng)險(xiǎn)管理的良好實(shí)踐，但沒(méi)有高級(jí)管理層參與業(yè)務(wù)和技術(shù)的協(xié)調(diào)更加有效。D.高級(jí)管理層對(duì)業(yè)務(wù)要求與技術(shù)要求進(jìn)行協(xié)調(diào)是IT戰(zhàn)略一致性方面的良好實(shí)踐。A2-78要實(shí)現(xiàn)有效的IT治理，組織的結(jié)構(gòu)和流程應(yīng)確保：[單選題]*A.風(fēng)險(xiǎn)維持在IT管理可接受的水平。B.業(yè)務(wù)戰(zhàn)略源自IT戰(zhàn)略。C.IT治理與總體治理分離，且有所不同。D.IT戰(zhàn)略是對(duì)組織的戰(zhàn)略和目標(biāo)的擴(kuò)展。(正確答案)答案解析：A.風(fēng)險(xiǎn)接受水平由高級(jí)管理層而非IT管理人員決定。B.業(yè)務(wù)戰(zhàn)略驅(qū)動(dòng)IT戰(zhàn)略，而非相反。C.IT治理不是孤立的規(guī)范，必須成為企業(yè)總體治理不可或缺的一部分。D.要實(shí)現(xiàn)有效的IT治理，董事會(huì)和執(zhí)行管理部門(mén)需要將治理擴(kuò)展到IT領(lǐng)域，并且提供相應(yīng)的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)和流程，用來(lái)確保組織的IT能夠維持并擴(kuò)展組織的戰(zhàn)略和目標(biāo)，同時(shí)還確保該戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。A2-79評(píng)估IT風(fēng)險(xiǎn)時(shí)，最好通過(guò)以下哪項(xiàng)來(lái)完成？[單選題]*A.評(píng)估現(xiàn)有IT資產(chǎn)和IT項(xiàng)目相關(guān)的威脅和漏洞。(正確答案)B.利用組織以前積累的實(shí)際損失經(jīng)驗(yàn)來(lái)確定目前的風(fēng)險(xiǎn)敞口。C.審查類似組織發(fā)布的損失統(tǒng)計(jì)數(shù)據(jù)。D.審核審計(jì)報(bào)告中確定的IT控制弱點(diǎn)。答案解析：A.要評(píng)估信息技術(shù)風(fēng)險(xiǎn)，需要使用定性或定量風(fēng)險(xiǎn)評(píng)估方法對(duì)威脅和漏洞進(jìn)行評(píng)估。B.如果基于對(duì)過(guò)往的損失進(jìn)行評(píng)估，將無(wú)法充分反映組織在IT資產(chǎn)、項(xiàng)目、控制措施和戰(zhàn)略環(huán)境方面的新威脅或必然變化?？晒┰u(píng)估的損失數(shù)據(jù)對(duì)應(yīng)的范圍和質(zhì)量也可能存在問(wèn)題。C.類似組織在IT資產(chǎn)、控制環(huán)境和戰(zhàn)略環(huán)境方面與本組織有所不同。因此，不能直接使用其損失統(tǒng)計(jì)數(shù)據(jù)來(lái)對(duì)組織的IT風(fēng)險(xiǎn)進(jìn)行評(píng)估。D.在審計(jì)流程中確定的控制弱點(diǎn)對(duì)于評(píng)估組織是否暴露在威脅中是重要的，并且可能需要執(zhí)行進(jìn)一步分析以評(píng)估組織受到威脅的可能性。視審計(jì)覆蓋范圍而定，目前可能只對(duì)部分重要的信息技術(shù)資產(chǎn)和項(xiàng)目進(jìn)行了審計(jì)，并且可能還未對(duì)戰(zhàn)略性信息技術(shù)風(fēng)險(xiǎn)進(jìn)行充分評(píng)估。A2-80如果IT支持人員和最終用戶之間存在職責(zé)分離問(wèn)題，則以下哪一項(xiàng)適合作為補(bǔ)償性控制措施？[單選題]*A.限制對(duì)計(jì)算設(shè)備的物理訪問(wèn)。B.對(duì)交易和應(yīng)用程序日志進(jìn)行審查。(正確答案)C.在聘用IT人員之前執(zhí)行背景調(diào)查。D.在特定的一段時(shí)間無(wú)活動(dòng)后，將用戶會(huì)話鎖定。答案解析：A.IT支持人員一般需要物理訪問(wèn)計(jì)算設(shè)備以執(zhí)行其工作職能。采取這種措施是不合理的。B.對(duì)交易和應(yīng)用程序日志進(jìn)行審查便可直接處理因職責(zé)分離不當(dāng)而造成的威脅問(wèn)題。此類審查可以檢測(cè)不當(dāng)行為，并且還可以阻止濫用行為，因?yàn)橛胁涣计髨D的人員會(huì)意識(shí)到其可能被逮到。C.進(jìn)行背景調(diào)查是很有用的控制，可以確保IT人員值得信賴并且足以勝任，但并不能直接解決缺少最佳職責(zé)分離的問(wèn)題。D.在特定的一段時(shí)間無(wú)活動(dòng)后鎖定用戶會(huì)話的作用是防止未經(jīng)授權(quán)的用戶獲得系統(tǒng)訪問(wèn)權(quán)限，但缺少職責(zé)分離的問(wèn)題主要是正式授予的訪問(wèn)特權(quán)被有意或無(wú)意地濫用。A2-81采用自上而下的方法來(lái)制定運(yùn)營(yíng)政策有助于確保：[單選題]*A.這些政策在整個(gè)組織內(nèi)保持一致。(正確答案)B.將這些政策作為風(fēng)險(xiǎn)評(píng)估的一部分來(lái)實(shí)施。C.遵守所有政策。D.定期對(duì)這些政策進(jìn)行審查。答案解析：A.根據(jù)企業(yè)政策得出較低級(jí)別的政策（自上而下的方法），有助于確保這些政策在整個(gè)組織內(nèi)保持一致，并且與其他政策也保持一致。B.政策會(huì)受風(fēng)險(xiǎn)評(píng)估的影響，但使用自上而下的方法的主要原因是確保政策在整個(gè)組織內(nèi)保持一致。C.自上而下的方法本身不能確保對(duì)政策的遵從。D.自上而下的方法本身不能確保對(duì)政策的審查。A2-82某信息系統(tǒng)審計(jì)師在審查一家采用交叉培訓(xùn)實(shí)務(wù)的組織時(shí)，應(yīng)評(píng)估以下哪種風(fēng)險(xiǎn)？[單選題]*A.對(duì)某個(gè)人的依賴性。B.接任計(jì)劃不充分。C.某個(gè)人了解系統(tǒng)的所有組成部分。(正確答案)D.運(yùn)營(yíng)中斷。答案解析：A.交叉培訓(xùn)有助于降低對(duì)單個(gè)人的依賴。B.交叉培訓(xùn)有助于接任計(jì)劃。C.交叉培訓(xùn)是指對(duì)多個(gè)人員進(jìn)行培訓(xùn)，以使其執(zhí)行具體工作或流程的過(guò)程。然而，使用這種方法之前須謹(jǐn)慎，應(yīng)評(píng)估目標(biāo)人員了解系統(tǒng)所有部分將會(huì)帶來(lái)的風(fēng)險(xiǎn)，以及可能面臨的與特權(quán)濫用相關(guān)的風(fēng)險(xiǎn)敞口。D.當(dāng)有人員缺勤時(shí)，交叉培訓(xùn)可以提供替補(bǔ)人員，從而保證運(yùn)營(yíng)不間斷。A2-83信息系統(tǒng)審計(jì)師在審查外部IT服務(wù)提供商的管理時(shí)，應(yīng)主要關(guān)注以下哪一項(xiàng)？[單選題]*A.將所提供服務(wù)的成本降至最低。B.禁止提供商轉(zhuǎn)包服務(wù)。C.評(píng)估向IT部門(mén)轉(zhuǎn)移知識(shí)的流程。D.確定是否按合同提供服務(wù)。(正確答案)答案解析：A.盡量降低成本（如果適用且可實(shí)現(xiàn)，具體取決于客戶需求）在傳統(tǒng)上并不是信息系統(tǒng)審計(jì)師工作的一部分，通常由IT部門(mén)管理人員完成。此外，在審計(jì)期間才盡量降低服務(wù)成本已為時(shí)過(guò)晚。B.轉(zhuǎn)包提供商可以作為一個(gè)關(guān)注點(diǎn)，但不是主要關(guān)注點(diǎn)。這個(gè)問(wèn)題應(yīng)在合同中加以解決。C.在特定情況下，可能需要將知識(shí)轉(zhuǎn)移到內(nèi)部IT部門(mén)，但在審核IT服務(wù)提供商及其管理時(shí)，不應(yīng)成為信息系統(tǒng)審計(jì)師的主要關(guān)注點(diǎn)。D.從信息系統(tǒng)審計(jì)師的角度來(lái)看，審計(jì)服務(wù)提供商管理水平的主要目標(biāo)應(yīng)該是確定要求的服務(wù)的提供方式是否可接受、無(wú)縫且符合合同協(xié)議。A2-84以下哪一項(xiàng)最有可能表明，客戶數(shù)據(jù)倉(cāng)庫(kù)應(yīng)保留在內(nèi)部而不是外包給海外公司？[單選題]*A.時(shí)區(qū)差異可能妨礙IT團(tuán)隊(duì)間的交流。B.第一年的電信成本可能要高得多。C.隱私法律可能禁止信息跨境傳輸。(正確答案)D.軟件開(kāi)發(fā)可能需要更詳細(xì)的規(guī)范。答案解析：A.時(shí)區(qū)差異對(duì)于外包方案是可以管理的問(wèn)題。B.更高的電信成本是成本效益分析的一部分，一般不是在內(nèi)部保留數(shù)據(jù)的原因。C.隱私法律可能禁止個(gè)人相關(guān)信息跨境傳輸，因而不允許將包含客戶信息的數(shù)據(jù)倉(cāng)庫(kù)置于其他國(guó)家/地區(qū)。D.軟件開(kāi)發(fā)在離岸操作時(shí)一般要求更詳細(xì)的規(guī)范，但這不是禁止外包方案的因素。A2-85審查組織批準(zhǔn)的軟件產(chǎn)品列表時(shí)，以下哪一個(gè)是需要驗(yàn)證的最重要事項(xiàng)？[單選題]*A.對(duì)與產(chǎn)品使用相關(guān)的風(fēng)險(xiǎn)進(jìn)行定期評(píng)估。(正確答案)B.為每個(gè)產(chǎn)品列出最新的軟件版本。C.由于許可問(wèn)題，列表不包含開(kāi)源軟件。D.提供營(yíng)業(yè)時(shí)間之后的支持。答案解析：A.由于供應(yīng)商周圍的業(yè)務(wù)條件可能發(fā)生變化，因此組織對(duì)供應(yīng)商軟件列表進(jìn)行定期的風(fēng)險(xiǎn)評(píng)估十分重要。最好將其納入信息技術(shù)風(fēng)險(xiǎn)管理流程。B.組織可能沒(méi)有使用產(chǎn)品的最新版本。C.視業(yè)務(wù)需求和相關(guān)風(fēng)險(xiǎn)的情況，列表可能包含開(kāi)源軟件。D.支持可由內(nèi)部或外部提供，技術(shù)支持的安排應(yīng)視軟件的重要性而定。A2-86在審查信息安全政策的制定時(shí)，信息系統(tǒng)審計(jì)師的主要關(guān)注點(diǎn)