領(lǐng)域：治理與管理附有答案

領(lǐng)域2：IT治理與管理[復制]A2-1組織要求員工每年進行強制性休假主要是想要確保：[單選題]*A.在各職能部門之間進行充分的交叉培訓。B.通過提高士氣，建立有效的內(nèi)部控制環(huán)境。C.通過臨時替換發(fā)現(xiàn)潛在的違規(guī)處理。(正確答案)D.降低發(fā)生處理失誤的風險。答案解析：A.交叉培訓是一種很好的做法，但不要求強制性休假也可以實現(xiàn)。B.高昂的員工士氣和高水平的員工滿意度是值得實現(xiàn)的目標，但不應(yīng)將其視為實現(xiàn)有效的內(nèi)部控制體系的方法。C.應(yīng)該要求組織內(nèi)執(zhí)行關(guān)鍵及敏感職能的員工適當休假，這樣有助于確保檢測到違規(guī)和欺詐行為。D.雖然員工輪休有利于減少處理失誤，但這通常不是強制要求休假的原因。A2-2某信息系統(tǒng)審計師在審核IT政策時發(fā)現(xiàn)，一些政策并未經(jīng)過管理人員的審批（政策要求須經(jīng)審批），但員工嚴格遵守這些政策。信息系統(tǒng)審計師首先應(yīng)該做什么？[單選題]*A.忽視管理人員未審批這一事實，因為員工遵守了這些政策。B.建議將這些政策立即提交管理人員審批。C.強調(diào)管理人員審批的重要性。D.提交報告，指出缺少審批文件。(正確答案)答案解析：A.沒有管理人員的審批是一項重要（重大）發(fā)現(xiàn)，雖然目前由于員工對未審批政策的遵守尚未構(gòu)成合規(guī)性問題，但以后可能有問題，所以應(yīng)當予以解決。B.雖然信息系統(tǒng)審計師很可能建議盡快審批這些政策，還可能提醒管理人員此問題的重要性，但第一步應(yīng)是將此問題報告給利益相關(guān)方。C.第一步是就此發(fā)現(xiàn)進行報告，然后再提供建議。D.信息系統(tǒng)審計師必須報告該審計發(fā)現(xiàn)。未經(jīng)審批的政策即使得到遵守，也可能為組織帶來潛在風險，因為在某些情況下，這種技術(shù)性問題可能妨礙管理人員實施政策，并可能引發(fā)法律問題。例如，如果某位員工因違反組織政策而遭解雇，隨后發(fā)現(xiàn)該政策并未經(jīng)過審批，那么組織可能面臨昂貴的訴訟費用。A2-3在審查IT項目與項目管理的優(yōu)先次序和協(xié)調(diào)事宜時，對信息系統(tǒng)審計師而言，主要考慮的因素是什么？[單選題]*A.項目與組織戰(zhàn)略相一致。(正確答案)B.已識別的項目風險得到監(jiān)控和緩解。C.與項目規(guī)劃和預算編制相關(guān)的控制措施是適當?shù)摹.準確報告IT項目指標。答案解析：A.IT項目的主要目標是增加對業(yè)務(wù)的價值，因此它們必須與業(yè)務(wù)戰(zhàn)略相一致才能實現(xiàn)預期結(jié)果。因此，信息系統(tǒng)審計師應(yīng)當首先著重確保這種一致性。B.流程足以監(jiān)控和緩解識別的項目風險很重要，但戰(zhàn)略一致性有助于評估在業(yè)務(wù)領(lǐng)域識別的風險。C.在預定時間和預算內(nèi)完成項目很重要，但項目管理的重點應(yīng)當放在實現(xiàn)與業(yè)務(wù)戰(zhàn)略相一致的、希望達到的項目結(jié)果上。D.充分報告項目狀況很重要，但不一定有助于提供項目交付成果的戰(zhàn)略視角。A2-4在審查組織的人力資源政策和流程時，信息系統(tǒng)審計師應(yīng)對以下哪項的缺失給予最大關(guān)注？[單選題]*A.要求定期崗位輪換。B.正式的離職面談流程。C.離職檢查清單。(正確答案)D.要求新員工簽訂保密協(xié)議。答案解析：A.崗位輪換是確保持續(xù)性運作的一種有用的控制方法，但沒有定期輪換崗位不是最嚴重的人力資源政策風險。B.在可能獲得反饋的情況下舉行離職面談是可取的，但沒有進行離職面談不是重大風險。C.離職檢查清單對于確保企業(yè)的邏輯安全和物理安全至關(guān)重要。除了防止分發(fā)到員工的企業(yè)財產(chǎn)遭受損失，還要考慮到有心懷不滿的離職員工進行未授權(quán)訪問、竊取知識產(chǎn)權(quán)，甚至進行蓄意破壞的風險。D.簽訂保密協(xié)議（NDA）是一種被推薦的人力資源實踐，但沒有NDA不是所列各項中最嚴重的風險。A2-5評估IT治理實施的有效性時，以下哪一個因素最關(guān)鍵？[單選題]*A.確保定義了保證目標。B.確定利益相關(guān)方的要求和參與。(正確答案)C.確定相關(guān)風險及相關(guān)機會。D.確定相關(guān)驅(qū)動因素及其適用性。答案解析：A.利益相關(guān)方的需求及其參與構(gòu)成界定IT治理實施范圍的依據(jù)。這些用于定義保證目標。B.審計IT治理實施情況時，需要考慮的最關(guān)鍵因素是利益相關(guān)方的需求和參與。這將推動項目取得成功。據(jù)此確定保證的范圍和目標。C.相關(guān)風險及相關(guān)機會由保證目標確定和驅(qū)動。D.將依據(jù)保證目標考慮IT治理實施的相關(guān)驅(qū)動因素及其適用性。A2-6以下哪個選項是實施政策對IT員工兼職就業(yè)設(shè)置條件的最佳原因？[單選題]*A.防止濫用公司資源。B.防止出現(xiàn)利益沖突。(正確答案)C.防止出現(xiàn)員工績效問題。D.防止IT資產(chǎn)遭到竊取。答案解析：A.濫用公司資源是一個必須解決的問題，但不一定與兼職有關(guān)。B.實施和強化兼職管理的政策主要是希望防止利益沖突。應(yīng)制定政策控制尋求兼職的IT員工泄露敏感信息或為競爭性組織工作。利益沖突可能造成重大風險，如欺詐、竊取知識產(chǎn)權(quán)或其他不當行為。C.如果員工工作超量或休息時間不足，員工績效肯定會有問題，但這應(yīng)通過管理職能解決，而不是制定兼職政策的主要原因。D.竊取資產(chǎn)是一個問題，但不一定與兼職有關(guān)。A2-7某信息系統(tǒng)審計師被指派審查某公司的信息安全政策。以下哪個問題表現(xiàn)出的潛在風險最高？[單選題]*A.政策已超過一年未更新。B.政策不含任何修改記錄。C.政策由安全管理員審批。(正確答案)D.公司未設(shè)立信息安全政策委員會。答案解析：A.信息安全政策是應(yīng)當定期更新，但具體時間視組織情況而定。雖然每年都進行政策審查是一種良好實踐，但更新政策的頻率可以略低，這并不影響其相關(guān)性和有效性。較舊的政策仍可以實行，但未經(jīng)合理審批的政策絕不能實行。B.沒有與信息系統(tǒng)政策文檔相關(guān)的修改記錄是一個問題，但沒有獲得管理層的批準是更重大的問題。例如，一項新政策可能就沒有任何修訂記錄。C.信息安全政策應(yīng)具有一名負責人，由其來管理安全政策的制定、審查、批準和評估。安全管理員通常是員工級（非管理級）崗位，因此無權(quán)審批政策。此外，還應(yīng)由地位更獨立的個人來審查該政策。在未經(jīng)管理人員合理審批的情況下，強制實行政策可能造成諸多麻煩，導致合規(guī)或安全問題。D.雖然最好設(shè)立由公司人選組成的政策委員會，這有助于制定出更好的政策，但好政策也可以由一人制定，不設(shè)委員會本身并不是問題。A2-8在對業(yè)務(wù)流程再造（BPR）工作進行審查時，以下哪一項是主要關(guān)注的問題？[單選題]*A.簡化BPR工作消除了控制。(正確答案)B.資源不足以支持BPR流程。C.審計部門在BPR工作中沒有咨詢職責。D.BPR工作納入了該流程領(lǐng)域知識有限的員工。答案解析：A.業(yè)務(wù)流程再造（BPR）的主要風險是，再造工作消除了控制。這是主要的問題。B.BPR流程可能是一項資源密集型的舉措，但更重要的問題是，是否因為BPR工作而消除了關(guān)鍵控制。C.盡管BPR工作通常涉及許多不同的業(yè)務(wù)職能部門，但如果審計部門不參與，并不是個嚴重的問題，并且在多數(shù)情況下，審計部門不適合參與此類工作。D.為BPR建議的良好實踐是，納入來自企業(yè)所有部分的人員，即使其在該流程領(lǐng)域的知識有限。因此，這不是個問題。A2-9在審計組織內(nèi)現(xiàn)有的IT治理框架和IT風險管理實踐時，信息系統(tǒng)審計師發(fā)現(xiàn)一些與IT管理和治理角色相關(guān)的職責未定義。以下哪項建議最適用？[單選題]*A.審查IT與業(yè)務(wù)的戰(zhàn)略一致性。B.在組織內(nèi)實行問責制度。(正確答案)C.確保定期執(zhí)行獨立的信息系統(tǒng)審計。D.在組織中設(shè)立首席風險官職位。答案解析：A.雖然IT與業(yè)務(wù)的戰(zhàn)略一致性很重要，但其與本例所述情況并無直接關(guān)系。B.IT風險的管理方法是將問責制度引入組織。信息系統(tǒng)審計師應(yīng)建議實行問責制，以確保明確組織內(nèi)的所有責任。請注意，本題問的是最佳建議，而不是審計發(fā)現(xiàn)本身。C.如果不明確定義和實行問責制度，即使更頻繁地執(zhí)行IS審計也不會有幫助。D.如果不明確定義和實行問責制度，即使建議設(shè)立新職位（例如，首席風險官）也不會有幫助。A2-10某信息系統(tǒng)審計師正在審查組織的軟件質(zhì)量管理流程。第一步應(yīng)該做的是：[單選題]*A.核查組織對標準的遵守情況。B.確定并報告現(xiàn)有控制。C.審查質(zhì)量評估指標。D.要求獲得組織采用的所有標準。(正確答案)答案解析：A.審計師需要知道組織所采用的標準，然后再考察對這些標準的遵守情況。確定組織對標準的遵守情況是在了解標準之后的事情。列出的其他選項，如核查標準的遵守情況、確認相關(guān)控制及審查質(zhì)量指標，相對于確認標準而言都是次要的。B.第一步是了解該組織的標準和強制實施的政策和程序，然后記錄這些控制并檢查其遵守情況。C.在審計師取得描述或要求指標的標準之前，無法對這些指標進行審查。D.因為審計是檢查對組織的標準的遵守情況，審查軟件質(zhì)量管理流程的第一步應(yīng)該是確定評估標準，在形式上表現(xiàn)為組織所采用的標準。信息系統(tǒng)審計師在確定出有哪些現(xiàn)行標準之前，無法評估組織對自有標準的遵守情況。A2-11某信息系統(tǒng)審計師發(fā)現(xiàn)，組織最近采用的企業(yè)架構(gòu)（EA）具有充分的當前狀態(tài)描述，但該組織又啟動了一個獨立的項目來確立未來狀態(tài)的描述。信息系統(tǒng)審計師應(yīng)：[單選題]*A.建議盡快完成此獨立項目。B.將此問題作為審計發(fā)現(xiàn)寫入審計報告。(正確答案)C.建議采用Zachmann框架。D.調(diào)整審計范圍以將該獨立項目包括在當前審計中。答案解析：A.信息系統(tǒng)審計師通常不會在項目進度方面提出建議，而會針對當前環(huán)境做出評估。在本例中，最重要的問題是企業(yè)架構(gòu)（EA）正在變動，所以信息系統(tǒng)審計師應(yīng)最關(guān)注對此問題的報告。B.EA中涉及未來狀態(tài)是非常重要的，因為當前狀態(tài)與未來狀態(tài)之間的差距將決定IT戰(zhàn)略及戰(zhàn)術(shù)計劃。如果EA不包含對未來狀態(tài)的描述，那么它是不完整的，應(yīng)將此問題作為審計發(fā)現(xiàn)上報。C.組織可以任意選擇EA框架，信息系統(tǒng)審計師不應(yīng)推薦某種特定框架。D.雖然可能需要跟進審計，但不需調(diào)整審計范圍以將第二個項目包括在當前審計中。A2-12某信息系統(tǒng)審計師正在評估管理層對信息系統(tǒng)進行的風險評估。該信息系統(tǒng)審計師應(yīng)該首先審查：[單選題]*A.現(xiàn)有控制。B.控制的有效性。C.風險監(jiān)控機制。D.影響資產(chǎn)的威脅/漏洞。(正確答案)答案解析：A.除非信息系統(tǒng)審計師了解控制想要應(yīng)對的威脅和風險，否則控制并不重要。B.控制的有效性必須用控制想要應(yīng)對的風險（基于資產(chǎn)、威脅和漏洞）來衡量。C.在審查風險監(jiān)控的機制之前，第一步必須確定被管理的風險。D.在評估信息系統(tǒng)的風險時，要考慮的重要因素之一是系統(tǒng)（資產(chǎn)）的價值和影響這些資產(chǎn)的威脅和漏洞。應(yīng)該獨立于已實施的控制措施來評估與信息資產(chǎn)的使用有關(guān)的風險。A2-13企業(yè)架構(gòu)舉措的主要好處是：[單選題]*A.使企業(yè)的投資能夠用于最合適的技術(shù)。(正確答案)B.確保在關(guān)鍵平臺上實施安全控制。C.允許開發(fā)團隊更快地響應(yīng)業(yè)務(wù)要求。D.賦予業(yè)務(wù)單位更大的自主權(quán)，以選擇符合其需求的IT解決方案。答案解析：A.企業(yè)架構(gòu)（EA）的主要關(guān)注點是確保技術(shù)投資與IT組織的平臺、數(shù)據(jù)和開發(fā)標準相一致，因此，EA的目標是幫助組織實施最有效的技術(shù)。B.確保在關(guān)鍵平臺上實施安全控制很重要，但這不是EA的功能。EA可能關(guān)注安全控制的設(shè)計，但EA無助于確保實施安全控制。EA的主要關(guān)注點是確保技術(shù)投資與IT組織的平臺、數(shù)據(jù)和開發(fā)標準相一致。C.盡管EA流程可能促使開發(fā)團隊變得更加高效，因為它們是在基于使用標準編程語言和方法的標準平臺上創(chuàng)建解決方案的，但EA更重要的好處是為所有類型的IT投資提供指導，其涵蓋的內(nèi)容遠不止軟件開發(fā)。D.EA的主要關(guān)注點是定義標準平臺、數(shù)據(jù)庫和界面。進行技術(shù)投資的業(yè)務(wù)單位需要選擇符合其業(yè)務(wù)要求，并且兼容企業(yè)EA的IT解決方案?？赡艽嬖谶@樣一種情況，即建議的解決方案更符合某個業(yè)務(wù)單位，但不兼容企業(yè)EA，因此需要折中處理，以確保該應(yīng)用得到IT部門的支持。大體上，在企業(yè)單位想要實施的潛在IT系統(tǒng)方面，EA對其能力有所限制。在本案例中，支持要求不受影響。A2-14軟件托管協(xié)議會涉及處理以下哪種情況？[單選題]*A.系統(tǒng)管理員要求訪問軟件以執(zhí)行災(zāi)難恢復。B.用戶請求將軟件重新加載到備用硬盤。C.定制軟件供應(yīng)商倒閉。(正確答案)D.信息系統(tǒng)審計師要求訪問組織編寫的軟件代碼。答案解析：A.對軟件的訪問應(yīng)由內(nèi)部管理的軟件庫來管理。托管是指將軟件存放在第三方，而非內(nèi)部庫。B.向用戶提供軟件的備份拷貝不是托管。托管要求將拷貝存放在受信任的第三方。C.軟件托管是軟件供應(yīng)商與客戶之間的法律協(xié)議，用于確保對源代碼的訪問。根據(jù)合同規(guī)定，應(yīng)用程序源代碼由受信任的第三方持有。當出現(xiàn)以下情況時需要用到此協(xié)議：軟件供應(yīng)商倒閉，與客戶發(fā)生合同糾紛，或者軟件供應(yīng)商未按照軟件許可協(xié)議中的承諾維持軟件更新。D.軟件托管用于保護由一個組織開發(fā)并出售給另一組織的軟件知識產(chǎn)權(quán)。它不適用于審計師正在審查的、由其所在的組織編寫的軟件。A2-15信息系統(tǒng)審計師審查組織架構(gòu)圖的主要目的是：[單選題]*A.理解組織結(jié)構(gòu)的復雜性。B.調(diào)查各個溝通渠道。C.了解個人的職責和權(quán)限。(正確答案)D.調(diào)查連接不同員工的網(wǎng)絡(luò)。答案解析：A.理解組織結(jié)構(gòu)的復雜性不是審查組織結(jié)構(gòu)圖的主要原因，因為結(jié)構(gòu)圖并不一定反映復雜性。B.組織架構(gòu)圖是審計師理解員工職能和責任及匯報關(guān)系的關(guān)鍵工具，但不用于檢查溝通渠道。C.組織架構(gòu)圖提供了組織中個人的職責和權(quán)限的相關(guān)信息。這有助于信息系統(tǒng)審計師了解是否存在合理的職能劃分。D.網(wǎng)絡(luò)圖將提供不同溝通渠道的使用情況信息，并顯示用戶與網(wǎng)絡(luò)的連接。A2-16在下列哪一種風險管理方法中，分擔風險是一個重要因素？[單選題]*A.轉(zhuǎn)移風險。(正確答案)B.容忍風險。C.終止風險。D.處理風險。答案解析：A.轉(zhuǎn)移風險（例如，購買保險）是一種分擔風險的方式。B.容忍風險是指接受風險，但不是分擔風險。C.終止風險不涉及分擔風險，因為組織已經(jīng)決定終止與風險相關(guān)的流程。D.有幾種處理或控制風險的方法，它們可能涉及降低或分擔風險，但作為答案，它不如轉(zhuǎn)移風險準確。A2-17某團隊在執(zhí)行風險分析時，難以預測某種風險可能造成的經(jīng)濟損失。要評估潛在的影響，該團隊應(yīng)當：[單選題]*A.計算相關(guān)資產(chǎn)的攤銷。B.計算投資回報率。C.采用定性方法。(正確答案)D.花費相應(yīng)的時間來確定準確的損失金額。答案解析：A.攤銷用在損益表中，而不用于計算潛在損失。B.有可預測的節(jié)約或收益（可以與實現(xiàn)該收益所需的投資進行比較）時才計算投資回報率（ROI）。C.難以計算經(jīng)濟損失時，通常的做法都是采用定性方法，即受到風險影響的管理人員根據(jù)加權(quán)因子來確定影響（例如，1表示對業(yè)務(wù)影響非常小，而5表示對業(yè)務(wù)影響非常大）。D.花費相應(yīng)的時間來確定準確的總金額通常都是一種錯誤的做法。如果很難預計潛在的損失（例如，因黑客攻擊而使組織形象受損，從而造成損失），那么這種情況不太可能發(fā)生改變，結(jié)果也無法進行良好的評估。A2-18在審查質(zhì)量管理系統(tǒng)時，信息系統(tǒng)審計師應(yīng)當主要注重收集證據(jù)，以表明：[單選題]*A.質(zhì)量管理系統(tǒng)遵循良好實踐。B.正在監(jiān)測持續(xù)改進目標。(正確答案)C.每年更新IT標準操作程序。D.定義了關(guān)鍵績效指標。答案解析：A.良好實踐通常根據(jù)業(yè)務(wù)要求采用，因此遵循良好實踐不一定是業(yè)務(wù)要求。B.對質(zhì)量管理系統(tǒng)（QMS）而言，持續(xù)和可衡量的質(zhì)量改進是實現(xiàn)業(yè)務(wù)目標的主要要求。C.更新操作程序是實施QMS的一部分，但它必須是變更管理的一部分，而不是年度活動。D.關(guān)鍵績效指標可在QMS中定義，但若不加以監(jiān)控，則它們沒有多大價值。A2-19某信息系統(tǒng)審計師發(fā)現(xiàn)，實施了未經(jīng)督導委員會批準的多個基于IT的項目。該信息系統(tǒng)審計師最需要關(guān)注什么？[單選題]*A.IT部門的項目資金不足。B.IT項目未遵循系統(tǒng)開發(fā)生命周期流程。C.IT項目未必一直得到正式的批準。D.IT部門未朝著共同的目標而努力。(正確答案)答案解析：A.項目資金可通過不同的預算加以解決，并且可能不需要督導委員會批準。主要關(guān)注的是要確保項目能實現(xiàn)公司目標。B.盡管要求督導委員會批準可能是系統(tǒng)開發(fā)生命周期流程的一部分，但更主要關(guān)注的是項目是否能實現(xiàn)公司目標。未經(jīng)督導委員會批準，則難以確定這些項目是否能實現(xiàn)公司目標。C.盡管具有正式批準流程很重要，但對督導委員會而言，最主要關(guān)注的應(yīng)當是為項目指明方向。D.督導委員會指明方向并提供項目控制，以確保公司做出適當?shù)耐顿Y。未經(jīng)批準，項目未必能朝著公司的目標邁進。A2-20可通過以下哪一項最有效地實現(xiàn)從IT向業(yè)務(wù)的價值傳遞：[單選題]*A.使IT戰(zhàn)略與企業(yè)戰(zhàn)略協(xié)調(diào)一致。(正確答案)B.在企業(yè)中落實問責制。C.提供積極的投資回報率。D.確立企業(yè)風險管理流程。答案解析：A.通過協(xié)調(diào)IT戰(zhàn)略與企業(yè)戰(zhàn)略推動IT向業(yè)務(wù)的價值傳遞。B.在企業(yè)中落實問責制能夠促進風險管理（企業(yè)治理的另一個要素）。C.盡管投資回報率很重要，但不是評估IT價值的唯一標準。D.企業(yè)風險管理對IT治理至關(guān)重要，但單憑其自身并不能保證IT能夠向業(yè)務(wù)傳遞價值，除非IT戰(zhàn)略與企業(yè)戰(zhàn)略協(xié)調(diào)一致。A2-21在針對外包IT處理的可行性分析過程中，下列哪一項對信息系統(tǒng)審計師審查供應(yīng)商的業(yè)務(wù)連續(xù)性計劃很重要？[單選題]*A.評估供應(yīng)商可在突發(fā)情況下提供的服務(wù)級別是否充分。(正確答案)B.評估服務(wù)單位的財務(wù)穩(wěn)定性及其履行合同的能力。C.審查供應(yīng)商員工的經(jīng)驗。D.測試業(yè)務(wù)連續(xù)性計劃。答案解析：A.在成功的外包環(huán)境中，一個關(guān)鍵因素是供應(yīng)商面對突發(fā)情況和繼續(xù)支持組織處理要求的能力。B.財務(wù)穩(wěn)定性與供應(yīng)商的業(yè)務(wù)連續(xù)性計劃（BCP）無關(guān)。C.供應(yīng)商員工的經(jīng)驗與其BCP無關(guān)。D.在可行性分析期間審查供應(yīng)商的BCP，不是測試供應(yīng)商的BCP的方法。A2-22某信息系統(tǒng)審計師正在評估某組織新制定的一項IT政策。該信息系統(tǒng)審計師認為以下哪一項因素在政策實施后對促進合規(guī)性最重要？[單選題]*A.促成合規(guī)性的現(xiàn)有IT機制。(正確答案)B.政策與業(yè)務(wù)戰(zhàn)略相一致。C.當前和將來的技術(shù)措施。D.政策中定義的監(jiān)管合規(guī)性目標。答案解析：A.組織應(yīng)當能夠在實施后遵守政策。評估新政策時，最重要的考慮因素應(yīng)當是促使組織及其員工遵守政策的現(xiàn)行機制。B.政策應(yīng)當與業(yè)務(wù)戰(zhàn)略相一致，但這不影響組織在實施后遵守政策的能力。C.當前和未來的技術(shù)措施應(yīng)當以業(yè)務(wù)需求為動力，并且不影響組織遵守政策的能力。D.監(jiān)管合規(guī)性目標可在IT政策中定義，但這不會促進政策合規(guī)性。定義目標只能促使組織了解所需的狀況，但無助于實現(xiàn)合規(guī)性。A2-23如果高級管理層未針對IT戰(zhàn)略計劃做出承諾，最有可能產(chǎn)生的影響是：[單選題]*A.缺少技術(shù)投資。B.缺少系統(tǒng)開發(fā)方法。C.技術(shù)與組織目標不一致。(正確答案)D.缺少技術(shù)合同控制。答案解析：A.缺少管理層的支持幾乎肯定會影響投資，但主要損失是IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略缺乏協(xié)調(diào)。B.系統(tǒng)開發(fā)方法是一種與流程相關(guān)的職能，不是管理層主要關(guān)注的問題。C.應(yīng)設(shè)立督導委員會來確保IT戰(zhàn)略支持組織目標。沒有信息技術(shù)委員會或不是由高級管理人員組成的委員會，說明缺乏高級管理層的承諾。這種情況會增加IT與組織戰(zhàn)略不一致的風險。D.合同審批是一種業(yè)務(wù)流程，可通過財務(wù)流程控制措施進行控制。合同控制在此不適用。A2-24以下哪個選項是IT督導委員會的職能？[單選題]*A.監(jiān)控由供應(yīng)商控制的變更控制和測試。B.確保信息處理環(huán)境中的職責分離。C.審批和監(jiān)控IT計劃狀態(tài)及預算。(正確答案)D.在IT部門與最終用戶之間協(xié)調(diào)溝通。答案解析：A.供應(yīng)商變更控制屬于采購類問題，應(yīng)由IT管理人員監(jiān)控。B.確保信息處理環(huán)境中的職責分離是IT管理人員的職責。C.IT督導委員會通常負責重大IT項目的綜合審查，不應(yīng)介入日常運營活動。因此，其職能之一是審批和監(jiān)控重大項目，如IT計劃狀態(tài)及預算。D.在IT部門與最終用戶之間協(xié)調(diào)溝通是各相關(guān)方的職能，不是委員會的責任。A2-25某信息系統(tǒng)審計師正在審查某組織的治理模型。以下哪項是審計師最應(yīng)關(guān)注的問題？[單選題]*A.高級管理層未對信息安全政策進行定期審查。(正確答案)B.未制定旨在確保系統(tǒng)及時安裝補丁的政策。C.審計委員會未審查組織的使命宣言。D.未制定與信息資產(chǎn)保護相關(guān)的組織政策。答案解析：A.數(shù)據(jù)安全政策應(yīng)每年審查/更新一次，以反映組織環(huán)境方面的變化。政策是組織治理結(jié)構(gòu)的基本內(nèi)容，因此最值得關(guān)注。B.盡管未制定與系統(tǒng)補丁安裝相關(guān)的政策確實值得關(guān)注，但更值得關(guān)注的是高級管理人員未對信息安全政策進行定期審查。C.使命宣言傾向于有長期性，因為其具有戰(zhàn)略意義，并且是由董事會和管理人員制定的。這不是信息系統(tǒng)審計師最應(yīng)關(guān)注的問題，因為適當?shù)闹卫肀O(jiān)督有助于達成組織使命宣言的目標。D.盡管未制定與信息資產(chǎn)保護相關(guān)的政策確實值得關(guān)注，但更值得關(guān)注的是高級管理層未對安全政策進行定期審查，因為高層支持是信息安全治理的基礎(chǔ)。A2-26高級管理層的參與對制定以下哪一項最重要？[單選題]*A.戰(zhàn)略計劃。(正確答案)B.IT政策。C.IT流程。D.標準和準則。答案解析：A.戰(zhàn)略計劃為確保企業(yè)實現(xiàn)其目的和目標提供了基礎(chǔ)。高級管理層的參與對于確保計劃能夠?qū)崿F(xiàn)所確立的目的和目標起著至關(guān)重要的作用。B.IT政策由IT管理和信息安全部門制定和實行。其目的是為整體戰(zhàn)略計劃提供支持。C.制定IT流程是為了向IT政策提供支持。高級管理層不參與流程制定。D.制定標準和準則是為了向IT政策提供支持。高級管理層不參與標準、基準和準則的制定。A2-27有效的IT治理可確保IT計劃與組織的哪項計劃保持一致？[單選題]*A.業(yè)務(wù)計劃。(正確答案)B.審計計劃。C.安全計劃。D.投資計劃。答案解析：A.為有效治理IT，IT和業(yè)務(wù)的方向應(yīng)該相同，這要求IT計劃與組織的業(yè)務(wù)計劃保持一致。B.審計計劃不是IT計劃的一部分。C.安全計劃不是IT部門的責任，不需要與IT計劃一致。D.投資計劃不是IT計劃的一部分。A2-28確定可接受風險的等級是誰的責任？[單選題]*A.質(zhì)量保證管理人員。B.高級業(yè)務(wù)管理人員。(正確答案)C.首席信息官。D.首席安全官。答案解析：A.質(zhì)量保證（QA）關(guān)注流程的可靠性和一致性。QA團隊不負責確定可接受的風險水平。B.應(yīng)該由高級管理層來確定可接受風險的等級，因為作為業(yè)務(wù)流程的高級管理人員，他們最終負責組織的有效性和高效運營。此人可以是QA、首席信息官（CIO）或首席安全官（CSO），但責任由業(yè)務(wù)經(jīng)理承擔。C.確定可接受風險的等級是高級業(yè)務(wù)管理人員的責任。CIO是企業(yè)負責IT倡議，協(xié)調(diào)IT與業(yè)務(wù)戰(zhàn)略，為IT服務(wù)的交付、信息和相關(guān)人力資源的部署進行規(guī)劃、籌集資源和進行管理的最高官員。CIO極少決定可接受的風險等級，因為這樣會有利益沖突，除非CIO是高級業(yè)務(wù)流程的所有者。D.確定可接受風險的等級是高級業(yè)務(wù)管理人員的責任。除非CIO是業(yè)務(wù)流程經(jīng)理，否則由CSO負責實施高級管理團隊的決定。A2-29IT治理主要是誰的責任？[單選題]*A.首席執(zhí)行官。B.董事會。(正確答案)C.IT督導委員會。D.審計委員會。答案解析：A.首席執(zhí)行官按照董事會指示在實施IT治理上發(fā)揮重要作用。B.IT治理主要是高管及股東（以董事會為代表）的責任。C.IT督導委員會監(jiān)控并協(xié)助部署具體項目的IT資源，以支持業(yè)務(wù)計劃。IT督導委員會代表董事會實施治理。D.審計委員會向董事會報告，執(zhí)行與治理相關(guān)的審計。審計委員會應(yīng)對審計建議的實施情況進行監(jiān)督。A2-30從控制角度來看，工作說明的關(guān)鍵要素是：[單選題]*A.提供如何實施工作和定義權(quán)限的說明。B.即時更新，記錄在案，并可隨時提供給員工。C.傳達管理人員的具體工作績效期望。D.確定員工行為的責任和義務(wù)。(正確答案)答案解析：A.提供如何實施工作和定義權(quán)限的說明可解決工作管理及流程方面的問題，屬于管理人員的責任。工作說明是與人力資源（HR）相關(guān)的職責，主要用于確立工作要求和責任。B.工作說明是即時更新、記錄在案的，并且可隨時提供給員工，這一點非常重要，但其本身并不是工作說明的關(guān)鍵要素、工作說明是與HR相關(guān)的職責，主要用于說明工作要求和責任。C.傳達管理人員的具體工作績效期望不一定要包含在工作說明中。D.從控制角度來看，工作說明應(yīng)確定責任和義務(wù)。這有助于確保按照定義的工作職責為用戶分配系統(tǒng)訪問權(quán)限，并由其對該權(quán)限的使用負責。A2-31以下哪個選項最能保證新員工的誠信？[單選題]*A.背景篩查。(正確答案)B.推薦。C.綁定。D.簡歷上列出的各種資格。答案解析：A.背景篩查是確保新員工誠信的主要方法。具體可能包括犯罪歷史核查、駕照摘要、財務(wù)狀況檢查、學歷驗證等。B.推薦很重要，但需要進行核實，并且不如背景篩查可靠，因為推薦本身的可信度可能沒有驗證。C.綁定指的是盡職調(diào)查合規(guī)性，不能保證誠信。D.簡歷上列出的資格可說明員工能力，但不能說明誠信。A2-32當員工離職時，最重要的工作是：[單選題]*A.將員工的所有文件移交給另一位指定員工。B.完成對員工工作的備份。C.將工作解約通知給其他員工。D.禁止該員工訪問系統(tǒng)。(正確答案)答案解析：A.離職員工的所有工作都需要移交給指定員工，但這沒有取消離職員工的訪問權(quán)限重要。B.離職員工的所有工作都需要備份，但這沒有取消離職員工的訪問權(quán)限重要。C.需要將工作解約通知給其他員工，但這沒有取消離職員工的訪問權(quán)限重要。D.離職員工有可能濫用訪問權(quán)限，因此，最重要和最緊迫的工作是禁止離職員工訪問系統(tǒng)。A2-33某業(yè)務(wù)單位已選用新的會計應(yīng)用，但并未在選擇流程中提前咨詢IT部門。主要風險是：[單選題]*A.該應(yīng)用的安全控制可能不符合要求。B.該應(yīng)用可能不符合業(yè)務(wù)用戶的需求。C.該應(yīng)用的技術(shù)可能與企業(yè)架構(gòu)不一致。(正確答案)D.該應(yīng)用可能給IT部門帶來不可預見的支持問題。答案解析：A.盡管安全控制應(yīng)當針對任何應(yīng)用的要求，企業(yè)架構(gòu)（EA）的主要關(guān)注點是確保新應(yīng)用符合企業(yè)標準。盡管采用符合標準的技術(shù)可能更加安全，但這并非EA的主要好處。B.選擇應(yīng)用時，必須考慮業(yè)務(wù)需求以及應(yīng)用是否適合IT環(huán)境。如果業(yè)務(wù)單位繞過IT部門選擇其應(yīng)用，則它們更有可能選擇最適合其業(yè)務(wù)流程的解決方案，而不太看重該解決方案在企業(yè)內(nèi)部的兼容性和支持性，但這不是個問題。C.EA的主要關(guān)注點是確保技術(shù)投資與IT組織的平臺、數(shù)據(jù)和開發(fā)標準相一致。EA定義標準平臺的使用、數(shù)據(jù)庫或編程語言等領(lǐng)域當前及未來的狀態(tài)。如果某業(yè)務(wù)單位選擇的業(yè)務(wù)應(yīng)用不使用EA之內(nèi)的數(shù)據(jù)庫或操作系統(tǒng)，會加大解決方案的成本和復雜度，并且最終減少給業(yè)務(wù)帶來的價值。D.盡管實施任何新的軟件都可能帶來支持問題，EA的主要好處是確保IT解決方案給業(yè)務(wù)帶來價值。降低支持成本也許是EA的一種好處，但在本案例中，缺少IT參與不會影響支持要求。A2-34許多組織都強制要求員工休假（度假）一周或更久，其目的在于：[單選題]*A.確保員工保持良好的生活質(zhì)量，從而提高生產(chǎn)效率。B.減少員工發(fā)生不當操作或非法操作的機會。(正確答案)C.為另一名員工提供合適的交叉培訓。D.消除因某位員工一次休一天假而可能引起的中斷。答案解析：A.保持良好的生活質(zhì)量很重要，但強制休假的主要原因是查找是否有欺詐或錯誤。B.通常強制要求敏感職位員工休假一周或更久，在此期間由其他員工（非正式員工）執(zhí)行休假員工的工作職能，這樣做可以減少發(fā)生不當操作或非法操作的機會。在此休假期間可以發(fā)現(xiàn)發(fā)生的任何欺詐行為。C.提供交叉培訓是一種重要的管理職能，但強制休假的主要原因是查找是否有欺詐或錯誤。D.實行一次強制休假一周的規(guī)定是一項管理決策，但與強制休假政策無關(guān)。強制休假的主要原因是查找是否有欺詐或錯誤。A2-35局域網(wǎng)（LAN）管理員通常不應(yīng)承擔以下哪項責任？[單選題]*A.承擔最終用戶責任。B.向最終用戶經(jīng)理報告工作。C.承擔編程責任。(正確答案)D.負責LAN安全管理。答案解析：A.雖然不是理想情況，但局域網(wǎng)（LAN）管理員可承擔最終用戶責任。B.LAN管理員可以向信息處理設(shè)施（IPF）總監(jiān)報告，或在分散運營的模式下向最終用戶經(jīng)理報告。C.LAN管理員不應(yīng)承擔編程責任，因為這樣意味著允許修改生產(chǎn)程序，而沒有正確地分離職責，但局域網(wǎng)（LAN）管理員可承擔最終用戶責任。D.在小型組織中，LAN管理員還可能負責LAN的安全管理。A2-36決策支持系統(tǒng)用于幫助高級管理人員：[單選題]*A.解決高度結(jié)構(gòu)化問題。B.合并決策模型與預定標準的使用。C.根據(jù)數(shù)據(jù)分析和互動模型做出決策。(正確答案)D.僅支持結(jié)構(gòu)化決策任務(wù)。答案解析：A.決策支持系統(tǒng)（DSS）的目的是解決結(jié)構(gòu)化程度較低的問題。B.DSS將模型和分析技術(shù)的使用與傳統(tǒng)的數(shù)據(jù)訪問和檢索功能相結(jié)合，但不受預定標準的限制。C.DSS通過數(shù)據(jù)分析和使用交互模型（而非固定標準）突出了管理人員決策方式的靈活性。D.DSS支持半結(jié)構(gòu)化的決策任務(wù)。A2-37在審計過程中，信息系統(tǒng)審計師發(fā)現(xiàn)，人力資源（HR）部門用云應(yīng)用程序來管理其員工記錄。HR部門越過正常的供應(yīng)商管理流程參與一份合同，并自行管理應(yīng)用程序。以下哪一項最值得關(guān)注？[單選題]*A.未在合同中定義最長的可接受停機時間。B.IT部門不管理與云供應(yīng)商之間的關(guān)系。C.服務(wù)臺呼叫中心駐在不同的國家，需遵守不同的隱私要求。D.組織定義的安全政策不適用于云應(yīng)用程序。(正確答案)答案解析：A.最長的可接受停機時間是合同中用于確保應(yīng)用可用性的良好指標，但人力資源（HR）應(yīng)用通常不屬于關(guān)鍵型任務(wù)，因此最長的可接受停機時間并非本情景中最顯著的關(guān)注點。B.須指定個人或服務(wù)管理團隊負責管理與第三方之間的關(guān)系，但這些個人或團隊無須歸屬于IT部門。C.組織定義的安全政策可確保服務(wù)臺工作人員不具有個人數(shù)據(jù)的訪問權(quán)限，這屬于安全政策的范圍。最關(guān)鍵的問題是，應(yīng)用程序須遵守安全政策。D.云應(yīng)用程序應(yīng)當遵守組織定義的安全政策，以確保云端數(shù)據(jù)像內(nèi)部應(yīng)用程序一樣得到保護。其中包括但不僅限于密碼政策、用戶訪問管理政策和數(shù)據(jù)分類政策。A2-38在實施IT平衡計分卡之前，組織必須：[單選題]*A.提供有效且高效的服務(wù)。B.定義關(guān)鍵績效指標。(正確答案)C.為IT項目帶來商業(yè)價值。D.控制IT費用。答案解析：A.平衡計分卡（BSC）是一種描述和衡量策略結(jié)果達成情況的方法。它會考察有效和高效服務(wù)的交付情況，但組織在使用BSC之前可能沒有得到這樣的服務(wù)。B.因為BSC是一種績效測量方式，所以需要在實施ITBSC前定義關(guān)鍵績效指標。C.BSC測量的是IT對企業(yè)的價值，而不是相反。D.BSC可測量IT績效，但控制IT費用不是實行BSC的主要要求。A2-39為了支持組織的目標，IT部門應(yīng)具有：[單選題]*A.低成本理念。B.長期和短期計劃。(正確答案)C.領(lǐng)先的技術(shù)。D.采購新硬件和軟件的計劃。答案解析：A.低成本理念雖也是一個目標，但更重要的是成本/效益和IT投資成本與業(yè)務(wù)戰(zhàn)略之間的關(guān)系。B.要推動組織總體目標的實現(xiàn)，IT部門應(yīng)具有短期計劃和長期計劃，這些計劃要與組織層面上較大范圍的戰(zhàn)略性計劃相一致，以便實現(xiàn)組織的目標。C.領(lǐng)先的技術(shù)也是一個目標，但應(yīng)有IT計劃以保證這些計劃與組織目標的一致性。D.采購新硬件和軟件的計劃可以是整體計劃的一部分，但僅當實現(xiàn)組織目標需要硬件或軟件時才需要。A2-40在審查IT短期（戰(zhàn)術(shù)）計劃時，信息系統(tǒng)審計師應(yīng)確定是否：[單選題]*A.IT和業(yè)務(wù)人員都參與項目。(正確答案)B.明確定義IT使命和愿景。C.采用戰(zhàn)略信息技術(shù)計劃計分卡。D.該計劃使業(yè)務(wù)目標與IT目的和目標相關(guān)聯(lián)。答案解析：A.IT和業(yè)務(wù)人員參與項目是一個運營問題，在審查短期計劃時應(yīng)該對此進行考慮。戰(zhàn)略計劃可為IT短期計劃提供框架。B.明確定義IT使命和愿景是戰(zhàn)略計劃的內(nèi)容。C.戰(zhàn)略信息技術(shù)計劃計分卡是戰(zhàn)略計劃的內(nèi)容。D.與IT目的和目標相關(guān)聯(lián)的業(yè)務(wù)目標是戰(zhàn)略計劃的內(nèi)容。A2-41信息系統(tǒng)審計師會認為以下哪項工作與IT部門短期計劃的關(guān)聯(lián)性最大？[單選題]*A.資源分配。(正確答案)B.適應(yīng)不斷變化的技術(shù)。C.開展控制自我評估。D.評估硬件需求。答案解析：A.IT部門應(yīng)具體考慮在短期內(nèi)分配資源的方式。信息系統(tǒng)審計師要保證資源得到恰當管理。B.IT投資需要與高層管理戰(zhàn)略一致而非與短期計劃相關(guān)，并由于技術(shù)的緣故側(cè)重于技術(shù)。C.開展控制自我評估不如IT部門在短期計劃中分配資源那樣重要。D.評估硬件需求不如IT部門在短期計劃中分配資源那樣重要。A2-42組織的戰(zhàn)略計劃預期會有以下哪項目標？[單選題]*A.新軟件測試的結(jié)果。B.對信息技術(shù)需求執(zhí)行評估。C.新規(guī)劃系統(tǒng)的短期項目計劃。D.組織提供經(jīng)批準的產(chǎn)品供應(yīng)商。(正確答案)答案解析：A.新會計軟件包的結(jié)果是一個戰(zhàn)術(shù)性或短期的目標，不會出現(xiàn)在戰(zhàn)略計劃中。B.評估信息技術(shù)需求是衡量績效的一種方式，但不是戰(zhàn)略計劃中的目標。C.短期項目計劃是以項目為導向的目標實施方法，但其本身不是一項目標。目標應(yīng)是改善項目管理——新系統(tǒng)是如何實現(xiàn)該目標的。D.經(jīng)批準的產(chǎn)品供應(yīng)商是用于確定業(yè)務(wù)總體方向的戰(zhàn)略業(yè)務(wù)目標，因此，是組織戰(zhàn)略計劃的一部分。A2-43當評估組織的IT戰(zhàn)略時，信息系統(tǒng)審計師會認為以下哪一選項最重要？[單選題]*A.已得到直線管理層的批準。B.與IT部門的初步預算相同。C.符合采購流程。D.支持組織的業(yè)務(wù)目標。(正確答案)答案解析：A.戰(zhàn)略計劃是高級管理層的責任，會聽取直線經(jīng)理的意見，但不會由他們批準。B.預算不應(yīng)與計劃不同。C.采購流程屬于組織控制方式，但不屬于戰(zhàn)略計劃。D.戰(zhàn)略計劃落實組織或部門的目標。長期和短期戰(zhàn)略計劃應(yīng)該與組織層面上較大范圍的計劃及業(yè)務(wù)目標一致，以便實現(xiàn)這些目標。A2-44某組織已與供應(yīng)商就一套用于電子收費系統(tǒng)（ETCS）的即用型解決方案簽訂合同。供應(yīng)商在解決方案中提供了其擁有的專有應(yīng)用軟件。該合同應(yīng)要求：[單選題]*A.存在能使用最新數(shù)據(jù)運行ETCS操作的備用服務(wù)器。B.存在裝載著所有相關(guān)軟件和數(shù)據(jù)的備用服務(wù)器。C.組織的系統(tǒng)人員接受培訓以處理各類事件。D.ETCS應(yīng)用程序的源代碼交由第三方保管。(正確答案)答案解析：A.具有裝載著最新數(shù)據(jù)的備用服務(wù)器雖然很重要，但不如確保源代碼的可用性重要。B.具有相關(guān)軟件的備用服務(wù)器雖然很重要，但不如確保源代碼的可用性重要。C.進行員工培訓雖然很重要，但不如確保源代碼的可用性重要。D.無論何時購買專有應(yīng)用軟件，合同都應(yīng)包含源代碼托管協(xié)議。此協(xié)議可確保采購方在供應(yīng)商停業(yè)的情況下仍能修改該軟件。A2-45審查IT戰(zhàn)略時，信息系統(tǒng)審計師可通過確定IT是否具備以下哪項特征，最好地評估該戰(zhàn)略是否支持組織的業(yè)務(wù)目標？[單選題]*A.具有所需的所有人員和設(shè)備。B.計劃與管理戰(zhàn)略一致。(正確答案)C.能夠有效且高效地使用其人員和設(shè)備。D.完全有能力應(yīng)對不斷變化的趨勢。答案解析：A.擁有人員和設(shè)備是滿足IT戰(zhàn)略的重要條件，但不能確保IT戰(zhàn)略能支持業(yè)務(wù)目標。B.了解IT戰(zhàn)略是否滿足業(yè)務(wù)目標的唯一方式是確定IT計劃是否與管理戰(zhàn)略一致，并使IT規(guī)劃與業(yè)務(wù)計劃相關(guān)。C.有效且高效地使用其人員和設(shè)備是確定正確管理IT職能的有效方法，但不能確保IT戰(zhàn)略與業(yè)務(wù)目標一致。D.完全有能力應(yīng)對不斷變化的趨勢對于具備應(yīng)對組織變動的靈活性很重要，但其本身不是一種確保IT與業(yè)務(wù)目標一致的方式。A2-46某大型組織的信息系統(tǒng)審計師正在審查IT部門中的角色和職責情況，發(fā)現(xiàn)有若干個人擔任多重角色。以下哪種角色組合應(yīng)最令信息系統(tǒng)審計師關(guān)注？[單選題]*A.網(wǎng)絡(luò)管理員負責質(zhì)量保證工作。B.系統(tǒng)管理員是應(yīng)用編程員。(正確答案)C.終端用戶擔任關(guān)鍵應(yīng)用程序的安全管理員。D.系統(tǒng)分析師擔任數(shù)據(jù)庫管理員。答案解析：A.理想情況下，網(wǎng)絡(luò)管理員不應(yīng)負責質(zhì)量保證，因為這樣他們可以批準他們自己的工作。但這沒有一人同時擔任系統(tǒng)管理員和應(yīng)用程序開發(fā)人員的問題嚴重，因為這樣便是允許不受限制的權(quán)力濫用。B.如果個人承擔多個角色，表示出現(xiàn)了職責分離問題，同時也帶來了相關(guān)的風險。系統(tǒng)管理員不應(yīng)擔任應(yīng)用程序開發(fā)人員，因為兩個職位的權(quán)限具有相關(guān)性。個人如果同時具備系統(tǒng)和編程權(quán)限，則幾乎可對系統(tǒng)進行任何操作，包括創(chuàng)建后門。其他兩種職責的兼任從職責分離的角度看是有效的。C.在某些分布式環(huán)境中，特別是員工數(shù)量少的情況下，用戶也可以進行安全管理。D.雖然數(shù)據(jù)庫管理員是一個很有特權(quán)的職位，但與系統(tǒng)分析師的職責不沖突。A2-47以下哪項是針對數(shù)據(jù)和系統(tǒng)所有權(quán)的政策定義不當所帶來的最大風險？[單選題]*A.不存在用戶管理協(xié)調(diào)。B.無法確定明確的用戶責任。C.未授權(quán)用戶可能獲得修改數(shù)據(jù)的權(quán)限。(正確答案)D.審計建議可能不被實施。答案解析：A.最大的風險是未授權(quán)用戶可以修改數(shù)據(jù)。用戶管理很重要，但不是最大的風險。B.用戶責任很重要，但不及未授權(quán)用戶的行為風險大。C.如果沒有政策來定義負責授予具體系統(tǒng)的訪問權(quán)限的責任人，則未授權(quán)用戶獲得（被授予）系統(tǒng)訪問權(quán)限的風險將增加。未授權(quán)用戶可修改數(shù)據(jù)的風險大于授權(quán)用戶賬戶控制不當?shù)娘L險。D.沒有實施審計建議是一個管理問題，但沒有未授權(quán)用戶可以修改數(shù)據(jù)的問題嚴重。A2-48信息系統(tǒng)審計部門正計劃盡量減少短期員工的風險。有助于實現(xiàn)這一目標的活動包括記錄流程、知識共享、交叉培訓，以及：[單選題]*A.接任計劃。(正確答案)B.員工崗位評估。C.責任定義。D.員工獎勵計劃。答案解析：A.接任計劃可確保發(fā)現(xiàn)和培養(yǎng)有潛力擔任組織關(guān)鍵崗位的內(nèi)部人員。B.崗位評估是指確定公司中各個崗位的相對價值，以建立公平公正的薪酬體系的過程。C.員工職責定義對角色和工作職責詳加定義；但兩者均不可最大限度地降低對關(guān)鍵個人的依賴程度。D.員工獎勵計劃可提供激勵，但不能最大限度地減少對關(guān)鍵個人的依賴。A2-49技術(shù)變化的速度增加了以下哪項重要性？[單選題]*A.外包IT職能。B.實施和強制執(zhí)行合理的流程。(正確答案)C.雇用合格人員。D.滿足用戶要求。答案解析：A.外包IT職能是一項業(yè)務(wù)決策，與技術(shù)變化的速度沒有直接關(guān)系，技術(shù)變化速度也不會增加外包的重要性。B.變更控制需要實施并強制執(zhí)行良好的變更管理流程。C.典型的IT部門人員一般會進行新技術(shù)培訓以滿足組織的要求。D.盡管滿足用戶要求非常重要，但這與IT環(huán)境的技術(shù)變化速度沒有直接關(guān)系。A2-50如果信息系統(tǒng)審計師發(fā)現(xiàn)并不是所有員工都了解企業(yè)的信息安全政策。信息系統(tǒng)審計師可斷定：[單選題]*A.缺乏該知識會導致員工無意中泄露敏感信息。(正確答案)B.信息安全不是對所有職能都很重要的。C.信息系統(tǒng)審計應(yīng)對員工進行安全培訓。D.審計發(fā)現(xiàn)將導致管理人員對員工進行持續(xù)培訓。答案解析：A.所有員工都應(yīng)該對企業(yè)的信息安全政策有所了解，以防止無意中泄露敏感信息。培訓是一種預防性控制。安全意識計劃可防止員工無意中把敏感信息泄露給外部人員。B.信息安全是每個人的事情，所有員工都需要參與如何正確處理信息的培訓。C.提供安全意識培訓不是IS審計的職能。D.管理層可同意或拒絕審計發(fā)現(xiàn)。如果管理層不了解審計發(fā)現(xiàn)的影響，信息系統(tǒng)審計師就不能確定管理層會根據(jù)審計發(fā)現(xiàn)采取行動，因此審計師必須上報缺乏安全意識相關(guān)的風險。A2-51以下哪個負責批準信息安全政策？[單選題]*A.IT部門。B.安全委員會。C.安全管理員。D.董事會。(正確答案)答案解析：A.IT部門負責執(zhí)行該政策，無權(quán)制定政策。B.安全委員會根據(jù)董事會制定的廣泛性安全政策行使職能。C.安全管理員負責實施、監(jiān)控和執(zhí)行管理人員制定并授權(quán)的安全規(guī)則。D.批準信息系統(tǒng)安全政策通常是高級管理層或董事會的責任。A2-52在審查組織的IT治理流程時，信息系統(tǒng)審計師發(fā)現(xiàn)公司最近實施了IT平衡計分卡（BSC）。實施已完成，但信息系統(tǒng)審計師注意到無法對績效指標進行客觀衡量。這種情況的主要風險是什么？[單選題]*A.關(guān)鍵績效指標未報告給管理人員，因此管理人員無法確定BSC的有效性。B.IT項目可能受到成本超支的影響。C.可能將誤導性IT績效指標提供給管理人員。(正確答案)D.IT服務(wù)水平協(xié)議可能不準確。答案解析：A.如果績效指標不可客觀衡量，則最大的風險是將誤導性績效結(jié)果報告給管理人員。這會導致產(chǎn)生保障錯覺，從而導致錯誤地分配IT資源，或者基于錯誤的信息制定戰(zhàn)略決策。無論績效指標是否正確定義，結(jié)果都應(yīng)該報告給管理人員。B.未正確定義的績效指標可能引發(fā)項目管理問題，但將誤導性績效報告給管理人員是更大的風險。C.IT平衡計分卡用于衡量IT績效。為了衡量績效，必須定義足夠多的績效推動因素[關(guān)鍵績效指標（KPI）]，并且隨著時間的推移進行度量。沒有客觀的KPI，可能導致隨意、有誤導性的主觀措施，并導致不合理的決策。D.未正確定義的績效指標可能引發(fā)與服務(wù)水平協(xié)議相關(guān)的績效管理問題，但將誤導性績效報告給管理人員是更大的風險。A2-53下面哪項應(yīng)包含在組織的信息安全政策中？[單選題]*A.需要保護的關(guān)鍵IT資源的清單。B.訪問控制授權(quán)的基準。(正確答案)C.敏感安全資產(chǎn)的標識。D.相關(guān)軟件安全功能。答案解析：A.需要保護的關(guān)鍵IT資源的清單相比政策內(nèi)容過于詳細。B.安全政策提供由高級管理層制定和批準的廣泛性安全框架。安全政策包括定義可授予訪問權(quán)限的人員和授予訪問權(quán)限的依據(jù)。C.敏感安全資產(chǎn)的標識相比政策內(nèi)容過于詳細。D.相關(guān)軟件安全功能列表相比政策內(nèi)容過于詳細。A2-54以下哪一項是創(chuàng)建防火墻政策的第一步？[單選題]*A.對保護應(yīng)用程序的方法進行成本效益分析。B.確定可被外部訪問的網(wǎng)絡(luò)應(yīng)用程序。(正確答案)C.確定與可被外部訪問的網(wǎng)絡(luò)應(yīng)用程序相關(guān)的漏洞。D.創(chuàng)建應(yīng)用程序流量矩陣，說明保護方法。答案解析：A.確定用于保護已發(fā)現(xiàn)漏洞的方法及其對比成本效益分析是第三步。B.第一步應(yīng)確定整個網(wǎng)絡(luò)中需要的應(yīng)用程序。確定完之后，根據(jù)這些應(yīng)用程序在網(wǎng)絡(luò)和網(wǎng)絡(luò)模型中的物理位置，負責人即可了解控制對這些應(yīng)用程序的訪問的需求和可行方法。C.確定可被外部訪問的應(yīng)用程序后，下一步是確定與網(wǎng)絡(luò)應(yīng)用程序相關(guān)的漏洞（弱點）。D.第四步是分析應(yīng)用程序流量并創(chuàng)建矩陣，說明如何保護各類流量。A2-55以下哪個選項是決策支持系統(tǒng)過程中的實施風險？[單選題]*A.管理控制。B.半結(jié)構(gòu)化維度。C.無法明確目標和使用模式。(正確答案)D.決策過程中的變化。答案解析：A.管理控制不是一種風險，而是決策支持系統(tǒng)（DSS）的一種特性。B.半結(jié)構(gòu)化維度不是一種風險，而是DSS的一種特性。C.無法明確目標和使用模式是開發(fā)人員在實施DSS時需要預先考慮到的風險。D.決策過程中的變化不是一種風險，而是DSS的一種特性。A2-56以下哪項對成功實施和維護安全政策最重要？[單選題]*A.讓所有相關(guān)方熟悉書面安全政策的框架和目的。(正確答案)B.管理人員支持并批準安全政策的實施和維護。C.通過對任何違反安全規(guī)則的行為實施處罰以執(zhí)行安全規(guī)則。D.通過訪問控制軟件嚴格執(zhí)行、監(jiān)控和實施安全專員制定的規(guī)則。答案解析：A.讓所有級別的管理人員和系統(tǒng)用戶熟悉書面安全政策框架和目的，對于成功實施和維護安全政策至關(guān)重要。如果一項政策沒有落實到日常行為中，便不會有效。B.毫無疑問，管理人員的支持和承諾很重要，但要成功實施和維護安全政策，最重要的是讓用戶了解安全的重要性。C.政策的執(zhí)行需要處罰措施，但處罰不是成功執(zhí)行的關(guān)鍵。D.通過訪問控制軟件嚴格執(zhí)行、監(jiān)督和實施安全規(guī)則以及對違反安全規(guī)則的行為實施處罰很重要，但這仍依賴管理人員和用戶的支持及對安全重要性的教育。A2-57全面有效的電子郵件政策可解決的問題應(yīng)該包括電子郵件結(jié)構(gòu)、政策實施、監(jiān)控和[單選題]*A.恢復。B.保留。(正確答案)C.重建。D.重復使用。答案解析：A.電子郵件政策應(yīng)解決電子郵件保留的業(yè)務(wù)和法律要求問題。在電子郵件政策中解決保留問題可為其恢復提供方便。B.除了作為良好實踐，法規(guī)可能要求組織保留對財務(wù)報表有影響的信息。由于電子郵件常常在訴訟中被視為與傳統(tǒng)的紙質(zhì)正式信件具有同樣的效力，因此企業(yè)電子郵件保留政策成為必需。在企業(yè)的硬件上生成的所有電子郵件都歸企業(yè)所有，電子郵件政策應(yīng)解決消息保留的問題，這要考慮已知的和不可預見的訴訟。該政策還應(yīng)解決在指定時間后銷毀電子郵件的問題，以保護消息本身的特性和機密性。C.電子郵件政策應(yīng)解決電子郵件保留的業(yè)務(wù)和法律要求問題。解決電子郵件的保留問題可為其修復提供方便。D.電子郵件政策應(yīng)解決電子郵件保留的業(yè)務(wù)和法律要求問題。電子郵件的重復使用不是政策問題。A2-58某組織正考慮給出大筆投資進行技術(shù)升級。以下哪一項是需要考慮的最重要因素？[單選題]*A.成本分析。B.當前技術(shù)的安全風險。C.與現(xiàn)有系統(tǒng)的兼容性。D.風險分析。(正確答案)答案解析：A.信息系統(tǒng)解決方案應(yīng)當具有成本效益，但這不是最重要的方面。B.當前技術(shù)的安全風險是風險分析的一部分，其本身并非最重要的因素。C.與現(xiàn)有系統(tǒng)的兼容性是考慮因素之一，但新系統(tǒng)可能是不兼容現(xiàn)有系統(tǒng)的一種重大升級，因此并非最重要的考慮因素。D.在實施新技術(shù)之前，組織應(yīng)當進行風險評估，然后將其提交給業(yè)務(wù)單位管理層供其審閱和驗收。A2-59要求督導委員會監(jiān)督IT投資的主要好處是以下哪一項？[單選題]*A.進行可行性分析，以證明IT的價值。B.確保根據(jù)業(yè)務(wù)需求進行投資。(正確答案)C.確保強制落實適當?shù)陌踩刂拼胧?。D.確保實施標準的開發(fā)方法。答案解析：A.督導委員會可能在審查中使用可行性分析，但它并不負責實施/執(zhí)行此項分析。B.督導委員會由來自業(yè)務(wù)和IT部門的代表組成，負責確保根據(jù)業(yè)務(wù)目標而不是IT優(yōu)先級進行IT投資。C.督導委員會不負責強制落實安全控制措施。D.督導委員會不負責開發(fā)方法的實施。A2-60信息系統(tǒng)控制目標對于信息系統(tǒng)審計師來說非常有用。它們?yōu)閷徲嫀熈私庖韵履膫€方面奠定了基礎(chǔ)？[單選題]*A.實施特定控制流程的預期結(jié)果或目的。(正確答案)B.與特定實體相關(guān)的最佳信息系統(tǒng)安全控制實務(wù)。C.保證信息安全的技術(shù)。D.安全政策。答案解析：A.信息系統(tǒng)（IS）控制目標的定義是：在特定IS活動中實施控制流程所要達到的預期結(jié)果或目的的說明。B.控制目標為控制措施的實施提供了實際目標，但不一定基于良好實踐。C.技術(shù)是實現(xiàn)目標的方式，但與了解技術(shù)本身相比，更重要的是要知道控制的原因和目的。D.安全政策可強制要求進行IS控制，但控制不可用來了解政策。A2-61制訂信息安全計劃的第一步是：[單選題]*A.制定和實施信息安全標準手冊。B.由信息系統(tǒng)審計師執(zhí)行全面的安全控制審查。C.采用公司信息安全政策聲明。(正確答案)D.購買安全訪問控制軟件。答案解析：A.安全計劃由政策驅(qū)動，標準由計劃驅(qū)動。第一步是制定政策并保證計劃以政策為基礎(chǔ)。B.對計劃相關(guān)的控制進行審計和監(jiān)督是計劃制訂之后的事情。C.政策聲明反映了執(zhí)行管理部門希望獲得適當安全性的意向以及所提供的支持，并且確立了制訂安全計劃的起始點。D.訪問控制軟件是一項重要的安全控制，但需要先制定政策和計劃。A2-62如果已將服務(wù)外包，下列哪一項是IT管理部門要執(zhí)行的最重要的職能？[單選題]*A.確保提供商的發(fā)票已支付。B.與提供商一同參與系統(tǒng)設(shè)計。C.重新商談提供商的費用。D.監(jiān)督外包提供商的績效。(正確答案)答案解析：A.支付發(fā)票屬于財務(wù)職能，需要按照合同要求完成。B.參與系統(tǒng)設(shè)計是監(jiān)督外包提供商績效的附帶結(jié)果。C.重新協(xié)商費用一般為一次性活動，沒有監(jiān)督供應(yīng)商的績效重要。D.在外包環(huán)境中，企業(yè)依賴服務(wù)提供商的績效。因此，必須對外包提供商的績效進行監(jiān)控，以確保按要求向企業(yè)提供服務(wù)。A2-63某組織購買了一款第三方應(yīng)用程序并對其進行了重大的修改。在審計這一面向客戶的關(guān)鍵應(yīng)用程序的開發(fā)流程時，信息系統(tǒng)審計師注意到供應(yīng)商開展業(yè)務(wù)的時間才只有一年。以下哪項有助于緩解持續(xù)支持應(yīng)用程序有關(guān)的風險？[單選題]*A.對供應(yīng)商進行生存能力研究。B.簽署軟件第三方托管協(xié)議。(正確答案)C.對供應(yīng)商進行財務(wù)評估。D.簽署未來增強方面的合同協(xié)議。答案解析：A.盡管對供應(yīng)商進行生存能力研究在一定程度上能夠保證供應(yīng)商為該組織提供服務(wù)的長期可用性，但在這種情況下，組織擁有源代碼的相關(guān)權(quán)利更為重要。B.考慮到供應(yīng)商開展業(yè)務(wù)的時間僅有一年，最大的問題是供應(yīng)商的財務(wù)穩(wěn)定性或生存能力以及供應(yīng)商倒閉的風險。應(yīng)對這一風險的最佳方式是針對應(yīng)用程序的源代碼簽署軟件第三方托管協(xié)議，以便該實體可以在供應(yīng)商倒閉時訪問源代碼。C.考慮到供應(yīng)商開展業(yè)務(wù)的時間僅有一年，對供應(yīng)商進行財務(wù)評估沒有多大價值，并且不能保證供應(yīng)商可為該組織提供長期的服務(wù)。在這種情況下，組織擁有源代碼的相關(guān)權(quán)利更為重要。D.合同協(xié)議雖然具有約束力，但在供應(yīng)商倒閉后將無法執(zhí)行或僅有有限的價值。A2-64信息系統(tǒng)審計師在審查IT設(shè)施的外包合約時，希望其中規(guī)定了：[單選題]*A.硬件配置。B.訪問控制軟件。C.知識產(chǎn)權(quán)的所有權(quán)。(正確答案)D.應(yīng)用程序開發(fā)方法。答案解析：A.只要功能性、可用性和安全性會受到影響，硬件配置通常無關(guān)緊要，這些在合同中有具體的規(guī)定。B.只要功能性、可用性和安全性會受到影響，訪問控制軟件通常無關(guān)緊要，這些在合同中有具體的規(guī)定。C.合同中必須明確規(guī)定知識產(chǎn)權(quán)（被處理的信息和應(yīng)用程序）的所有者。知識產(chǎn)權(quán)的所有權(quán)成本巨大，也是需要在外包合同中規(guī)定的重要方面。D.開發(fā)方法在外包合同中不是真正需要考慮的問題。A2-65對服務(wù)提供商進行審計時，信息系統(tǒng)審計師發(fā)現(xiàn)，該服務(wù)提供商已將部分工作外包給了其他提供商。由于此工作涉及機密信息，因此，信息系統(tǒng)審計師應(yīng)當首先考慮：[單選題]*A.保護信息安全的要求可能受到影響。(正確答案)B.合同可能因為外包商未獲得事先許可而被終止。C.提供部分外包工作的其他服務(wù)提供商不需要接受審計。D.外包商將直接與其他服務(wù)提供商進行接觸，以便進一步開展工作。答案解析：A.許多國家均制定了相關(guān)法規(guī)，用來保護本國維護的或與其他國家交換的信息的機密性。當服務(wù)提供商將部分服務(wù)外包給其他服務(wù)提供商時，有對信息的機密性造成危害的潛在風險。B.可能因為違反合同條款而終止合同，但這與確保信息安全無關(guān)。C.外包商不需要接受審計可能是個問題，但這與確保信息安全無關(guān)。D.外包商直接與其他服務(wù)提供商進行接觸以便進一步開展工作，這根本不是信息系統(tǒng)審計師需要關(guān)心的問題。A2-66開放式系統(tǒng)架構(gòu)的好處是：[單選題]*A.促進不同系統(tǒng)內(nèi)的互操作性。(正確答案)B.便于集成專有組件。C.將成為設(shè)備供應(yīng)商提供批量折扣的基礎(chǔ)。D.考慮了設(shè)備將要實現(xiàn)更大的規(guī)模經(jīng)濟。答案解析：A.在開放式系統(tǒng)的供應(yīng)商所提供的組件中，組件接口是由公共標準定義的，因此便于在不同供應(yīng)商制造的系統(tǒng)之間實現(xiàn)互操作性。B.封閉式系統(tǒng)組件是基于專有標準構(gòu)建的，因此，其他供應(yīng)商的系統(tǒng)無法或不會與現(xiàn)有系統(tǒng)進行連接。C.批量折扣是通過大宗購買或從主要供應(yīng)商那兒取得的，而不是通過開放式系統(tǒng)架構(gòu)取得的。D.開放式系統(tǒng)可能比專有系統(tǒng)便宜，具體取決于供應(yīng)商，但開放式系統(tǒng)架構(gòu)的主要好處是供應(yīng)商之間的互操作性。A2-67以下哪種電子郵件政策最有可能降低與收集電子證據(jù)相關(guān)的風險？[單選題]*A.銷毀政策。B.安全政策。C.存檔政策。(正確答案)D.審計政策。答案解析：A.電子郵件保留政策包括對電子郵件的銷毀或刪除。它必須符合保留電子郵件的法律要求。B.安全政策的層次過高，不能解決沒有充分保留電子郵件或在需要時不能訪問電子郵件的風險。C.借助對電子郵件記錄進行精心存檔的政策，可以依據(jù)法律要求對特定的電子郵件記錄進行訪問或檢索。D.審計政策不會滿足提供電子郵件作為電子證據(jù)的法律要求。A2-68風險管理流程的結(jié)果可以作為制定以下哪一項的依據(jù)？[單選題]*A.業(yè)務(wù)計劃。B.審計章程。C.安全政策決策。(正確答案)D.軟件設(shè)計決策。答案解析：A.制訂業(yè)務(wù)計劃不是風險管理流程的最終目的。B.風險管理有助于制訂審計計劃，但無助于制定審計章程。C.風險管理流程針對的是制定與安全相關(guān)的特定決策，如可接受的風險等級。D.風險管理會推動軟件的安全控制設(shè)計，但對安全政策的影響更重要。A2-69某信息系統(tǒng)審計師受聘對電子商務(wù)的安全性進行審查。信息系統(tǒng)審計師首先執(zhí)行的任務(wù)是檢查現(xiàn)有的每個電子商務(wù)應(yīng)用程序，從而確定是否存在漏洞。那么，接下來應(yīng)該執(zhí)行哪項任務(wù)？[單選題]*A.立即向首席信息官和首席執(zhí)行官報告風險。B.檢查正在開發(fā)的電子商務(wù)應(yīng)用程序。C.確定威脅和發(fā)生概率。(正確答案)D.檢查可用于風險管理的預算。答案解析：A.只有在記錄所有威脅、發(fā)生概率和漏洞后才可確定風險。B.第一步是確定現(xiàn)有應(yīng)用程序的風險水平，然后將其應(yīng)用于開發(fā)中的應(yīng)用程序。只有在威脅和發(fā)生概率確定之后才能認定風險。C.為確定與電子商務(wù)相關(guān)的風險，信息系統(tǒng)審計師必須先識別資產(chǎn)、確定是否存在漏洞，然后再確定威脅和發(fā)生概率。D.可用于風險管理的預算在此時不相關(guān)，因為風險尚未確定。A2-70審查IT組織的信息系統(tǒng)審計師最關(guān)注的是IT督導委員會是否：[單選題]*A.負責項目審批以及優(yōu)先級的確定。B.負責制訂長期的IT計劃。C.向董事會報告IT項目的狀況。D.負責確定業(yè)務(wù)目標。(正確答案)答案解析：A.IT督導委員會負責項目審批以及優(yōu)先級的確定。B.IT督導委員會負責監(jiān)督長期IT計劃的制訂。C.IT督導委員會就IT發(fā)展狀況向董事會提供建議。D.負責確定業(yè)務(wù)目標的是高級管理人員，而不是IT督導委員會。IT應(yīng)支持業(yè)務(wù)目標并受業(yè)務(wù)的驅(qū)動，而不是相反。A2-71某信息系統(tǒng)審計師應(yīng)要求審查針對某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后是否遵守合同條款的最佳途徑是什么？[單選題]*A.要求供應(yīng)商提供月度狀況報告。B.與客戶IT經(jīng)理定期召開會議。C.對供應(yīng)商進行定期審計檢查。(正確答案)D.要求在合同中明確性能參數(shù)。答案解析：A.盡管提供月度狀況報告也許能夠表明供應(yīng)商遵守合同條款，但若不進行獨立驗證，這些數(shù)據(jù)也許并不可靠。B.與客戶IT經(jīng)理定期召開會議有助于了解目前與供應(yīng)商之間的關(guān)系，但會議可能不包含定期審計檢查需考慮的供應(yīng)商審計報告、狀況報告和其他信息。C.對供應(yīng)商進行定期審查可確保合同中的協(xié)議以令人滿意的方式履行。若在簽署合同后不進行日后的審計檢查，供應(yīng)商可能不太看重服務(wù)等級協(xié)議以及客戶的安全控制要求，并且效果可能打折。定期審計檢查允許客戶檢查供應(yīng)商目前的狀況，以確保該供應(yīng)商是其想要繼續(xù)合作的人選。D.要求在合同中說明性能參數(shù)很重要，但只有進行定期審查才能確保達到性能參數(shù)。A2-72以下哪一項對戰(zhàn)略性IT舉措的決策流程最有價值？[單選題]*A.項目管理流程的成熟度。B.監(jiān)管環(huán)境。C.過去的審計結(jié)果。D.IT項目組合分析。(正確答案)答案解析：A.相比執(zhí)行戰(zhàn)略規(guī)劃，項目管理流程的成熟度在管理IT的日常運營中更為重要。B.監(jiān)管要求可能推動某些技術(shù)和舉措方面的投資，但必須符合監(jiān)管要求通常不是IT和業(yè)務(wù)戰(zhàn)略的主要關(guān)注點。C.過去的審計結(jié)果可能推動某些技術(shù)和舉措方面的投資，但必須針對過去的審計結(jié)果采取補救措施通常不是IT和業(yè)務(wù)戰(zhàn)略的主要關(guān)注點。D.組合分析為與規(guī)劃戰(zhàn)略性IT舉措相關(guān)的決策流程提供了最有價值的信息。IT組合分析提供有關(guān)已規(guī)劃的舉措、項目和正在進行的IT服務(wù)的可比信息，有助于IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。A2-73缺少充分的安全控制代表以下哪一項？[單選題]*A.威脅。B.資產(chǎn)。C.影響。D.漏洞。(正確答案)答案解析：A.威脅是能夠?qū)Y產(chǎn)造成損害的任何事物（如物體、物質(zhì)和人）。無論是存在還是缺少控制，威脅始終存在。B.資產(chǎn)是具有有形價值或無形價值的、值得保護的東西，包括人員、信息、基礎(chǔ)設(shè)施、財務(wù)和聲譽。缺少控制不影響資產(chǎn)價值。C.影響表示某種威脅利用漏洞后所產(chǎn)生的結(jié)果或后果。缺少控制的影響可能更大，但缺少控制的定義是漏洞而非影響。D.缺少適當?shù)陌踩刂凭捅硎敬嬖诼┒矗@將使敏感信息和數(shù)據(jù)暴露在風險中，遭受黑客惡意破壞、攻擊或未經(jīng)授權(quán)的訪問。這可造成敏感信息丟失，并導致組織喪失商譽。國際標準化組織（ISO）出版的《IT安全管理準則》中對風險進行了簡要定義：“特定威脅利用某資產(chǎn)或一組資產(chǎn)的漏洞，對資產(chǎn)造成損失或破壞的可能性。”該定義中的各種要素包括漏洞、威脅、資產(chǎn)和影響。在這種情況下，缺少適當?shù)陌踩刂凭捅硎敬嬖诼┒?。A2-74以下哪一項是IT績效衡量流程的主要目標？[單選題]*A.將錯誤減至最少。B.收集績效數(shù)據(jù)。C.建立績效基準。D.優(yōu)化績效。(正確答案)答案解析：A.將錯誤減至最少只是績效的一個方面，但不是績效管理的主要目標。B.收集績效數(shù)據(jù)是測量IT績效的必要工作，但不是該流程的目標。C.績效評估流程將實際績效與基線進行比較，但不是該流程的目標。D.IT績效衡量流程可用于優(yōu)化績效，衡量和管理產(chǎn)品/服務(wù)，確保實施問責制度，以及制定預算決策。A2-75作為信息安全治理的結(jié)果，戰(zhàn)略一致性提供了：[單選題]*A.由企業(yè)需求驅(qū)動的安全要求。(正確答案)B.遵循良好實踐的基線安全性。C.制度化和商品化的解決方案。D.對風險敞口的了解。答案解析：A.信息安全治理如果實施得當，應(yīng)產(chǎn)生4個基本成果：戰(zhàn)略一致性、價值實現(xiàn)、風險管理和績效衡量。策略一致性為由企業(yè)需求所驅(qū)動的信息安全要求提供了依據(jù)。B.戰(zhàn)略一致性保證安全與業(yè)務(wù)目標的一致性。提供一套標準的信息安全實務(wù)操作（例如，遵循最佳實踐的基線安全性，或制度化和商品化的解決方案）是價值實現(xiàn)的一部分。C.價值交付解決的是方案的有效性和效率問題，但不是戰(zhàn)略一致性的結(jié)果。D.風險管理是IT治理的主要目標，但戰(zhàn)略一致性關(guān)注的不是對風險敞口的了解。A2-76審查信息安全政策時，信息系統(tǒng)審計師應(yīng)最關(guān)注以下哪個選項？該政策：[單選題]*A.由IT部門的目標驅(qū)動。(正確答案)B.已經(jīng)公布，但沒有要求用戶閱讀。C.沒有包含信息安全流程。D.政策已經(jīng)一年多未更新。答案解析：A.業(yè)務(wù)目標驅(qū)動著信息安全政策，而信息安全政策驅(qū)動著IT部門目標的選擇。由IT目標驅(qū)動的政策存在著與業(yè)務(wù)目標不一致的風險。B.各種政策應(yīng)以書面形式記錄，這樣用戶就可以了解每項政策，員工應(yīng)能夠非常方便地獲取這些政策。用戶沒有閱讀政策不是最大的問題，因為他們可能仍然遵守政策。C.政策中不應(yīng)包含工作流程。制定工作流程是為了幫助政策的實施和遵守。D.政策應(yīng)當每年審查一次，但除非環(huán)境發(fā)生重大變化，例如有新的法律、法規(guī)或規(guī)定公布，否則不一定需要每年更新。A2-77在IT治理方面的良好實踐中，以下哪一項可以改善戰(zhàn)略一致性？[單選題]*A.對供應(yīng)商與合作伙伴風險進行管理。B.建立一個有關(guān)客戶、產(chǎn)品、市場和流程的知識庫。C.提供一種便于創(chuàng)建和分享業(yè)務(wù)信息的結(jié)構(gòu)。D.高級管理層對業(yè)務(wù)要求與技術(shù)要求進行協(xié)調(diào)。(正確答案)答案解析：A.對供應(yīng)商與合作伙伴帶來的風險進行管理屬于風險管理方面的良好實踐，但不是戰(zhàn)略職能。B.建立有關(guān)客戶、產(chǎn)品、市場和流程的知識庫是IT價值實現(xiàn)的良好實踐，但不能確保戰(zhàn)略一致性。C.提供便于創(chuàng)建和分享業(yè)務(wù)信息的結(jié)構(gòu)是IT價值交付和風險管理的良好實踐，但沒有高級管理層參與業(yè)務(wù)和技術(shù)的協(xié)調(diào)更加有效。D.高級管理層對業(yè)務(wù)要求與技術(shù)要求進行協(xié)調(diào)是IT戰(zhàn)略一致性方面的良好實踐。A2-78要實現(xiàn)有效的IT治理，組織的結(jié)構(gòu)和流程應(yīng)確保：[單選題]*A.風險維持在IT管理可接受的水平。B.業(yè)務(wù)戰(zhàn)略源自IT戰(zhàn)略。C.IT治理與總體治理分離，且有所不同。D.IT戰(zhàn)略是對組織的戰(zhàn)略和目標的擴展。(正確答案)答案解析：A.風險接受水平由高級管理層而非IT管理人員決定。B.業(yè)務(wù)戰(zhàn)略驅(qū)動IT戰(zhàn)略，而非相反。C.IT治理不是孤立的規(guī)范，必須成為企業(yè)總體治理不可或缺的一部分。D.要實現(xiàn)有效的IT治理，董事會和執(zhí)行管理部門需要將治理擴展到IT領(lǐng)域，并且提供相應(yīng)的領(lǐng)導層、組織結(jié)構(gòu)和流程，用來確保組織的IT能夠維持并擴展組織的戰(zhàn)略和目標，同時還確保該戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。A2-79評估IT風險時，最好通過以下哪項來完成？[單選題]*A.評估現(xiàn)有IT資產(chǎn)和IT項目相關(guān)的威脅和漏洞。(正確答案)B.利用組織以前積累的實際損失經(jīng)驗來確定目前的風險敞口。C.審查類似組織發(fā)布的損失統(tǒng)計數(shù)據(jù)。D.審核審計報告中確定的IT控制弱點。答案解析：A.要評估信息技術(shù)風險，需要使用定性或定量風險評估方法對威脅和漏洞進行評估。B.如果基于對過往的損失進行評估，將無法充分反映組織在IT資產(chǎn)、項目、控制措施和戰(zhàn)略環(huán)境方面的新威脅或必然變化?？晒┰u估的損失數(shù)據(jù)對應(yīng)的范圍和質(zhì)量也可能存在問題。C.類似組織在IT資產(chǎn)、控制環(huán)境和戰(zhàn)略環(huán)境方面與本組織有所不同。因此，不能直接使用其損失統(tǒng)計數(shù)據(jù)來對組織的IT風險進行評估。D.在審計流程中確定的控制弱點對于評估組織是否暴露在威脅中是重要的，并且可能需要執(zhí)行進一步分析以評估組織受到威脅的可能性。視審計覆蓋范圍而定，目前可能只對部分重要的信息技術(shù)資產(chǎn)和項目進行了審計，并且可能還未對戰(zhàn)略性信息技術(shù)風險進行充分評估。A2-80如果IT支持人員和最終用戶之間存在職責分離問題，則以下哪一項適合作為補償性控制措施？[單選題]*A.限制對計算設(shè)備的物理訪問。B.對交易和應(yīng)用程序日志進行審查。(正確答案)C.在聘用IT人員之前執(zhí)行背景調(diào)查。D.在特定的一段時間無活動后，將用戶會話鎖定。答案解析：A.IT支持人員一般需要物理訪問計算設(shè)備以執(zhí)行其工作職能。采取這種措施是不合理的。B.對交易和應(yīng)用程序日志進行審查便可直接處理因職責分離不當而造成的威脅問題。此類審查可以檢測不當行為，并且還可以阻止濫用行為，因為有不良企圖的人員會意識到其可能被逮到。C.進行背景調(diào)查是很有用的控制，可以確保IT人員值得信賴并且足以勝任，但并不能直接解決缺少最佳職責分離的問題。D.在特定的一段時間無活動后鎖定用戶會話的作用是防止未經(jīng)授權(quán)的用戶獲得系統(tǒng)訪問權(quán)限，但缺少職責分離的問題主要是正式授予的訪問特權(quán)被有意或無意地濫用。A2-81采用自上而下的方法來制定運營政策有助于確保：[單選題]*A.這些政策在整個組織內(nèi)保持一致。(正確答案)B.將這些政策作為風險評估的一部分來實施。C.遵守所有政策。D.定期對這些政策進行審查。答案解析：A.根據(jù)企業(yè)政策得出較低級別的政策（自上而下的方法），有助于確保這些政策在整個組織內(nèi)保持一致，并且與其他政策也保持一致。B.政策會受風險評估的影響，但使用自上而下的方法的主要原因是確保政策在整個組織內(nèi)保持一致。C.自上而下的方法本身不能確保對政策的遵從。D.自上而下的方法本身不能確保對政策的審查。A2-82某信息系統(tǒng)審計師在審查一家采用交叉培訓實務(wù)的組織時，應(yīng)評估以下哪種風險？[單選題]*A.對某個人的依賴性。B.接任計劃不充分。C.某個人了解系統(tǒng)的所有組成部分。(正確答案)D.運營中斷。答案解析：A.交叉培訓有助于降低對單個人的依賴。B.交叉培訓有助于接任計劃。C.交叉培訓是指對多個人員進行培訓，以使其執(zhí)行具體工作或流程的過程。然而，使用這種方法之前須謹慎，應(yīng)評估目標人員了解系統(tǒng)所有部分將會帶來的風險，以及可能面臨的與特權(quán)濫用相關(guān)的風險敞口。D.當有人員缺勤時，交叉培訓可以提供替補人員，從而保證運營不間斷。A2-83信息系統(tǒng)審計師在審查外部IT服務(wù)提供商的管理時，應(yīng)主要關(guān)注以下哪一項？[單選題]*A.將所提供服務(wù)的成本降至最低。B.禁止提供商轉(zhuǎn)包服務(wù)。C.評估向IT部門轉(zhuǎn)移知識的流程。D.確定是否按合同提供服務(wù)。(正確答案)答案解析：A.盡量降低成本（如果適用且可實現(xiàn)，具體取決于客戶需求）在傳統(tǒng)上并不是信息系統(tǒng)審計師工作的一部分，通常由IT部門管理人員完成。此外，在審計期間才盡量降低服務(wù)成本已為時過晚。B.轉(zhuǎn)包提供商可以作為一個關(guān)注點，但不是主要關(guān)注點。這個問題應(yīng)在合同中加以解決。C.在特定情況下，可能需要將知識轉(zhuǎn)移到內(nèi)部IT部門，但在審核IT服務(wù)提供商及其管理時，不應(yīng)成為信息系統(tǒng)審計師的主要關(guān)注點。D.從信息系統(tǒng)審計師的角度來看，審計服務(wù)提供商管理水平的主要目標應(yīng)該是確定要求的服務(wù)的提供方式是否可接受、無縫且符合合同協(xié)議。A2-84以下哪一項最有可能表明，客戶數(shù)據(jù)倉庫應(yīng)保留在內(nèi)部而不是外包給海外公司？[單選題]*A.時區(qū)差異可能妨礙IT團隊間的交流。B.第一年的電信成本可能要高得多。C.隱私法律可能禁止信息跨境傳輸。(正確答案)D.軟件開發(fā)可能需要更詳細的規(guī)范。答案解析：A.時區(qū)差異對于外包方案是可以管理的問題。B.更高的電信成本是成本效益分析的一部分，一般不是在內(nèi)部保留數(shù)據(jù)的原因。C.隱私法律可能禁止個人相關(guān)信息跨境傳輸，因而不允許將包含客戶信息的數(shù)據(jù)倉庫置于其他國家/地區(qū)。D.軟件開發(fā)在離岸操作時一般要求更詳細的規(guī)范，但這不是禁止外包方案的因素。A2-85審查組織批準的軟件產(chǎn)品列表時，以下哪一個是需要驗證的最重要事項？[單選題]*A.對與產(chǎn)品使用相關(guān)的風險進行定期評估。(正確答案)B.為每個產(chǎn)品列出最新的軟件版本。C.由于許可問題，列表不包含開源軟件。D.提供營業(yè)時間之后的支持。答案解析：A.由于供應(yīng)商周圍的業(yè)務(wù)條件可能發(fā)生變化，因此組織對供應(yīng)商軟件列表進行定期的風險評估十分重要。最好將其納入信息技術(shù)風險管理流程。B.組織可能沒有使用產(chǎn)品的最新版本。C.視業(yè)務(wù)需求和相關(guān)風險的情況，列表可能包含開源軟件。D.支持可由內(nèi)部或外部提供，技術(shù)支持的安排應(yīng)視軟件的重要性而定。A2-86在審查信息安全政策的制定時，信息系統(tǒng)審計師的主要關(guān)注點