領(lǐng)域4：信息系統(tǒng)的運(yùn)營(yíng)和業(yè)務(wù)恢復(fù)能力[復(fù)制]A4-1某組織正考慮使用新的IT服務(wù)供應(yīng)商。從審計(jì)角度來看，以下哪項(xiàng)是最需要審查的項(xiàng)目？[單選題]*A.該服務(wù)供應(yīng)商的其他客戶的推薦。B.該服務(wù)供應(yīng)商站點(diǎn)的物理安全性。C.與該服務(wù)供應(yīng)商擬議的服務(wù)水平協(xié)議。(正確答案)D.該服務(wù)供應(yīng)商員工的背景調(diào)查。答案解析：A.盡職調(diào)查活動(dòng)（例如，查閱其他客戶的推薦）是很好的做法，但服務(wù)水平協(xié)議（SLA）最為關(guān)鍵，因?yàn)镾LA可規(guī)定需要達(dá)到的具體可用性級(jí)別，以及促使供應(yīng)商按合同提供其所承諾的事宜。B.盡職調(diào)查活動(dòng)（例如，審查物理安全控制）是很好的做法，但服務(wù)水平協(xié)議（SLA）最為關(guān)鍵，因?yàn)镾LA可規(guī)定需要達(dá)到的具體可用性級(jí)別，以及促使供應(yīng)商按合同提供其所承諾的事宜。C.與服務(wù)供應(yīng)商簽訂合同時(shí)，最好與該供應(yīng)商簽訂SLA。SLA是供應(yīng)商按合同提供服務(wù)的保證。信息系統(tǒng)審計(jì)師希望保證績(jī)效和安全要求在SLA有明確約定。D.盡職調(diào)查活動(dòng)（例如，對(duì)服務(wù)供應(yīng)商員工進(jìn)行背景調(diào)查）都是很好的做法，但SLA最為關(guān)鍵，因?yàn)镾LA規(guī)定了需要達(dá)到的安全和勞動(dòng)實(shí)踐的具體級(jí)別，以及促使供應(yīng)商按合同提供其所承諾的事宜。A4-2信息系統(tǒng)審計(jì)師要評(píng)估組織與外包服務(wù)供應(yīng)商之間的服務(wù)水平協(xié)議（SLA）的適用性。該信息系統(tǒng)審計(jì)師應(yīng)對(duì)以下哪項(xiàng)觀察結(jié)果最為重視？該SLA不包含：[單選題]*A.合同到期或終止時(shí)，從舊供應(yīng)商到新供應(yīng)商或返回內(nèi)部處理的過渡條款。(正確答案)B.客戶與供應(yīng)商間的逾期付款條款。C.服務(wù)改善的合同承諾。D.合同方之間的糾紛解決程序。答案解析：A.為特定客戶提供IT服務(wù)總是意味著客戶與服務(wù)供應(yīng)商間聯(lián)系密切。如果沒有合同條款規(guī)定如何執(zhí)行過渡到新供應(yīng)商，則當(dāng)合同到期或終止時(shí)，舊供應(yīng)商可能隨便“終止業(yè)務(wù)”，或不向外包組織或新供應(yīng)商提供數(shù)據(jù)。這是該組織面臨的最大風(fēng)險(xiǎn)。B.有關(guān)付款、服務(wù)改善和糾紛解決的合同事宜很重要，但不比確保當(dāng)組織與新外包服務(wù)供應(yīng)商合作時(shí)，不會(huì)發(fā)生服務(wù)中斷、數(shù)據(jù)丟失或其他重大事件更重要。C.服務(wù)水平協(xié)議（SLA）應(yīng)關(guān)注績(jī)效要求和指標(biāo)并依此報(bào)告所提供服務(wù)的狀況。有相關(guān)的績(jī)效改善承諾是很好的，但它不是強(qiáng)制性的。D.SLA應(yīng)明確爭(zhēng)議解決程序并指定出現(xiàn)法律糾紛時(shí)的司法管轄權(quán)，但這不是SLA最重要的內(nèi)容。A4-3審查與服務(wù)供應(yīng)商簽訂的新外包合同時(shí)，缺少以下哪項(xiàng)最需要信息系統(tǒng)審計(jì)師給予關(guān)注？[單選題]*A.規(guī)定“審計(jì)權(quán)限”（針對(duì)服務(wù)供應(yīng)商進(jìn)行審計(jì)）的條款。(正確答案)B.對(duì)績(jī)效不佳的罰款進(jìn)行定義的條款。C.預(yù)先定義的服務(wù)水平報(bào)告模板。D.有關(guān)供應(yīng)商責(zé)任范圍的條款。答案解析：A.缺少“審計(jì)權(quán)限”條款或缺少其他供應(yīng)商遵守特定標(biāo)準(zhǔn)的證明都可能妨礙信息系統(tǒng)審計(jì)師對(duì)供應(yīng)商各方面績(jī)效進(jìn)行調(diào)查，包括控制缺陷、績(jī)效不佳和法律要求的遵守情況。這是信息系統(tǒng)審計(jì)師重點(diǎn)關(guān)注的地方，因?yàn)樵摻M織將很難評(píng)估合適的控制是否已落實(shí)到位。B.雖然明確定義罰款條款是一種可取的方法，但并不是所有合同都需要規(guī)定對(duì)績(jī)效不佳進(jìn)行罰款，而且當(dāng)需要對(duì)績(jī)效進(jìn)行處罰時(shí)，通常需要根據(jù)具體情況對(duì)這些處罰進(jìn)行協(xié)商。因此，缺少該內(nèi)容不如缺少審計(jì)權(quán)限重要。C.當(dāng)合同里包含服務(wù)水平報(bào)告要求，預(yù)先定義服務(wù)水平報(bào)告模板的做法是可取的，但即便如此，缺少預(yù)定義報(bào)告模板并非需要重點(diǎn)關(guān)注的問題。D.缺少服務(wù)供應(yīng)商責(zé)任范圍條款理論上會(huì)導(dǎo)致供應(yīng)商承擔(dān)無限的責(zé)任，這對(duì)該外包公司是有利的。盡管信息系統(tǒng)審計(jì)師會(huì)強(qiáng)調(diào)缺少該條款，但這不是需要重點(diǎn)關(guān)注的問題。A4-4當(dāng)對(duì)某組織的桌面軟件合規(guī)性進(jìn)行審查時(shí)，安裝的軟件存在以下哪種情況時(shí)最需要信息系統(tǒng)審計(jì)師給予關(guān)注？[單選題]*A.已安裝，但沒有記錄到IT部門記錄中。B.由沒有對(duì)其使用經(jīng)過適當(dāng)培訓(xùn)的用戶使用。C.沒有列于批準(zhǔn)軟件標(biāo)準(zhǔn)的文檔中。(正確答案)D.許可證將在15天后到期。答案解析：A.所有軟件，包括許可，都應(yīng)在IT部門記錄，但這沒有安裝未經(jīng)批準(zhǔn)的軟件問題嚴(yán)重。B.用戶沒有經(jīng)過使用軟件產(chǎn)品的正式培訓(xùn)很常見，這雖然不理想，但大多數(shù)軟件都帶有幫助文件和其他提示，可以幫助用戶學(xué)習(xí)如何有效地使用軟件。C.安裝不為政策允許的軟件是一種嚴(yán)重違規(guī)，會(huì)讓組織面臨安全、法律和財(cái)務(wù)風(fēng)險(xiǎn)。任何允許使用的軟件都應(yīng)已列于標(biāo)準(zhǔn)軟件列表中。這是要審查的第一件事，因?yàn)檫@也顯示了對(duì)政策的遵循性。D.如果存在軟件許可續(xù)期的流程，許可即將到期不構(gòu)成風(fēng)險(xiǎn)。A4-5某衛(wèi)生保健組織考慮由第三方云提供商管理患者健康信息，該組織的信息系統(tǒng)審計(jì)師正在審查第三方云提供商的合同條款和條件。以下哪一項(xiàng)合同條款將成為客戶組織面臨的最大風(fēng)險(xiǎn)？[單選題]*A.數(shù)據(jù)所有權(quán)歸屬客戶組織。B.第三方提供商保留訪問數(shù)據(jù)以執(zhí)行某些操作的權(quán)力。(正確答案)C.未定義批量數(shù)據(jù)撤回機(jī)制。D.客戶組織負(fù)責(zé)備份、歸檔和恢復(fù)數(shù)據(jù)。答案解析：A.客戶組織想要保留數(shù)據(jù)所有權(quán)，因此這不是一種風(fēng)險(xiǎn)。B.某些服務(wù)提供商保留訪問客戶信息以執(zhí)行某些交易和提供某些服務(wù)的權(quán)力（第三方訪問權(quán)）。對(duì)于受保護(hù)的健康信息，法規(guī)可能限制某些訪問權(quán)。組織必須審查云提供商運(yùn)營(yíng)所處的監(jiān)管環(huán)境，因?yàn)樗赡苡凶约旱囊蠡蛳拗啤＝M織隨后必須確定云提供商是否提供適當(dāng)?shù)目刂?，以確保數(shù)據(jù)有適當(dāng)?shù)陌踩Ｕ稀.組織可能最終想要終止第三方云提供商的服務(wù)。組織隨后想要從系統(tǒng)中刪除其數(shù)據(jù)，并確保服務(wù)提供商清除了其在系統(tǒng)中的數(shù)據(jù)（包括任何備份）。有些提供商不提供組織需要用來轉(zhuǎn)移其數(shù)據(jù)的自動(dòng)化或批量數(shù)據(jù)撤回機(jī)制。這些要求應(yīng)當(dāng)在使用第三方提供商之前闡明。D.如果服務(wù)提供商不提供數(shù)據(jù)恢復(fù)流程和程序，或組織對(duì)服務(wù)提供商的流程存有疑慮，組織可能需要規(guī)劃其自己的數(shù)據(jù)恢復(fù)流程和程序。只有客戶組織無法自行完成這些工作時(shí)，才會(huì)是一種風(fēng)險(xiǎn)。A4-6某企業(yè)的多個(gè)辦公室都位于一個(gè)區(qū)域內(nèi)，并且用于恢復(fù)的預(yù)算很有限。以下哪種恢復(fù)策略最適合？[單選題]*A.由企業(yè)維護(hù)的熱備援中心。B.租用商業(yè)冷備援中心。C.在企業(yè)各辦公室之間實(shí)行互惠安排。(正確答案)D.采用第三方熱備援中心。答案解析：A.由企業(yè)維護(hù)的熱備援中心是高成本的解決方案，但可提供高置信度。B.為多個(gè)辦公室租用多個(gè)冷備援中心的可用性差，非有效解決方案。C.對(duì)于多個(gè)辦公室均在一個(gè)區(qū)域內(nèi)的企業(yè)，在其各辦公室之間實(shí)行互惠安排最為合適。每個(gè)辦公室均可作為其他某個(gè)辦公室的恢復(fù)站點(diǎn)，這種方法可以保持置信水平在可接受的程度，并且最廉價(jià)。D.第三方恢復(fù)設(shè)施由傳統(tǒng)的熱備援中心提供。這種方法的成本很高，可提供高置信度。A4-7在應(yīng)用程序?qū)徲?jì)期間，一位信息系統(tǒng)審計(jì)師收到請(qǐng)求，為數(shù)據(jù)庫參照完整性提供保證。該信息系統(tǒng)審計(jì)師應(yīng)對(duì)以下哪項(xiàng)進(jìn)行審查？[單選題]*A.字段定義。B.主表定義。C.復(fù)合鍵。D.外鍵結(jié)構(gòu)。(正確答案)答案解析：A.字段定義描述了表的布局，但與參照完整性沒有直接關(guān)系。B.主表定義描述了數(shù)據(jù)庫結(jié)構(gòu)，但與參照完整性沒有直接關(guān)系。C.復(fù)合鍵描述了鍵是如何創(chuàng)建的，但與參照完整性沒有直接關(guān)系。D.關(guān)聯(lián)數(shù)據(jù)庫中的參照完整性是指相關(guān)（鏈接）表格之間的一致性。通常，通過將主鍵或候選鍵（替代鍵）與外鍵相結(jié)合來保證參照完整性。要保持參照完整性，表中被指明為外鍵的任何字段均應(yīng)只包含父表的主鍵或候選鍵中的值。A4-8一位信息系統(tǒng)審計(jì)師正在審查某組織的數(shù)據(jù)庫安全性。要強(qiáng)化數(shù)據(jù)庫，應(yīng)首先考慮以下哪一項(xiàng)？[單選題]*A.變更默認(rèn)配置。(正確答案)B.使數(shù)據(jù)庫中的所有表非規(guī)范化。C.對(duì)存儲(chǔ)過程和觸發(fā)器進(jìn)行加密。D.變更數(shù)據(jù)庫服務(wù)器使用的服務(wù)端口。答案解析：A.需要變更默認(rèn)數(shù)據(jù)庫配置（例如，默認(rèn)密碼和服務(wù)），否則，數(shù)據(jù)庫很容易受到惡意代碼和入侵者攻擊。B.數(shù)據(jù)庫的非規(guī)范化與性能的關(guān)系比與安全的關(guān)系更強(qiáng)。C.限制對(duì)存儲(chǔ)過程的訪問是一種很有效的安全措施，但不如變更默認(rèn)配置那么重要。D.在可對(duì)數(shù)據(jù)庫進(jìn)行的各種配置變更中，變更數(shù)據(jù)庫使用的服務(wù)端口只是其中一種，其他配置的變更更為重要。A4-9審計(jì)數(shù)據(jù)庫環(huán)境時(shí)，數(shù)據(jù)庫管理員執(zhí)行下列哪項(xiàng)職能時(shí)最令信息系統(tǒng)審計(jì)師擔(dān)憂？[單選題]*A.根據(jù)變更管理流程執(zhí)行數(shù)據(jù)庫變更。B.為操作系統(tǒng)安裝修補(bǔ)程序或?qū)⑵渖?jí)。(正確答案)C.調(diào)整表空間的大小并就表連接限制進(jìn)行協(xié)商。D.執(zhí)行備份和恢復(fù)流程。答案解析：A.根據(jù)變更管理流程執(zhí)行數(shù)據(jù)庫變更是數(shù)據(jù)庫管理員（DBA）的一項(xiàng)正常職能，也符合組織程序。B.為操作系統(tǒng)安裝修補(bǔ)程序或?qū)ζ渖?jí)應(yīng)當(dāng)是系統(tǒng)管理員而不是DBA執(zhí)行的職能。如果DBA執(zhí)行此職能，將會(huì)面臨因職責(zé)分離不當(dāng)而導(dǎo)致的風(fēng)險(xiǎn)。C.DBA要通過幫助設(shè)計(jì)來為業(yè)務(wù)提供支持，創(chuàng)建和維護(hù)數(shù)據(jù)庫和數(shù)據(jù)庫接口。D.DBA經(jīng)常執(zhí)行或支持?jǐn)?shù)據(jù)庫備份和恢復(fù)程序。A4-10對(duì)于恢復(fù)非關(guān)鍵系統(tǒng)，以下哪個(gè)選項(xiàng)最合理？[單選題]*A.溫備援中心。B.移動(dòng)站點(diǎn)。C.熱備援中心。D.冷備援中心。(正確答案)答案解析：A.溫備援中心的成本通常較為適中，并且需要較少的時(shí)間便可投入使用，因此適合需要在適度時(shí)間內(nèi)恢復(fù)的敏感型操作。B.移動(dòng)站點(diǎn)是一種配備有全部所需計(jì)算機(jī)設(shè)備的車輛，可以根據(jù)需要移動(dòng)到任何地點(diǎn)。是否需要移動(dòng)站點(diǎn)，取決于運(yùn)營(yíng)規(guī)模。C.熱備援中心的合同期限較短、成本較高，因此更適合用于恢復(fù)重要和關(guān)鍵的應(yīng)用。D.通常，冷備援中心的合同期限較長(zhǎng)、成本較低。由于需要較長(zhǎng)時(shí)間才能使冷備援中心投入使用，因此通常將其用于非關(guān)鍵應(yīng)用場(chǎng)合。A4-11某信息系統(tǒng)審計(jì)師正在評(píng)估組織的變更管理流程是否有效。要確保系統(tǒng)可用性，信息系統(tǒng)審計(jì)師應(yīng)尋找的最重要的控制措施是什么？[單選題]*A.變更始終都要經(jīng)過IT經(jīng)理授權(quán)。B.執(zhí)行用戶驗(yàn)收測(cè)試并對(duì)其進(jìn)行相應(yīng)記錄。C.具備測(cè)試計(jì)劃和流程，并且嚴(yán)格遵守這些計(jì)劃和流程。(正確答案)D.在每個(gè)開發(fā)項(xiàng)目中，均執(zhí)行容量規(guī)劃。答案解析：A.變更一般需要由業(yè)務(wù)分析師、變更控制委員會(huì)成員或其他授權(quán)代表簽字，不一定需要IT管理層授權(quán)。B.用戶驗(yàn)收測(cè)試很重要，但不是變更控制的關(guān)鍵因素，一般也不會(huì)解決本題所述的可用性問題。C.要確保系統(tǒng)可用性，最重要的控制措施是實(shí)施合理的測(cè)試計(jì)劃和流程，并始終如一地遵守這些計(jì)劃和流程。D.雖然每個(gè)開發(fā)項(xiàng)目都應(yīng)考慮容量計(jì)劃，但這不會(huì)保證系統(tǒng)可用性，也不是變更控制流程的內(nèi)容。A4-12信息系統(tǒng)審計(jì)師使用數(shù)據(jù)流程圖可以：[單選題]*A.識(shí)別關(guān)鍵控制。B.突出顯示高層數(shù)據(jù)定義。C.以圖形方式匯總數(shù)據(jù)路徑和存儲(chǔ)。(正確答案)D.分步描繪數(shù)據(jù)生成的詳細(xì)信息。答案解析：A.識(shí)別關(guān)鍵控制不是數(shù)據(jù)流程圖的關(guān)注重點(diǎn)。正如其名，其關(guān)注重點(diǎn)是數(shù)據(jù)流。B.數(shù)據(jù)字典可能用于記錄數(shù)據(jù)定義，但是數(shù)據(jù)流程圖用于記錄數(shù)據(jù)如何在流程中移動(dòng)。C.數(shù)據(jù)流程圖以圖形或圖表方式表示數(shù)據(jù)流和存儲(chǔ)。數(shù)據(jù)流程圖可從數(shù)據(jù)的起點(diǎn)跟蹤到數(shù)據(jù)的目的地，從而突出顯示數(shù)據(jù)流動(dòng)的路徑和存儲(chǔ)。D.數(shù)據(jù)流程圖的目的是記錄數(shù)據(jù)在流程中的流動(dòng)，而不是主要用于記錄或顯示數(shù)據(jù)是如何生成的。A4-13起草災(zāi)難恢復(fù)計(jì)劃時(shí)，以下哪項(xiàng)陳述有用？[單選題]*A.停機(jī)時(shí)間成本隨著恢復(fù)點(diǎn)目標(biāo)增加而降低。B.停機(jī)時(shí)間成本隨時(shí)間的推移而增加。(正確答案)C.恢復(fù)成本與時(shí)間無關(guān)。D.恢復(fù)成本只能在短期內(nèi)控制。答案解析：A.停機(jī)時(shí)間成本與恢復(fù)點(diǎn)目標(biāo)（RPO）無關(guān)。RPO定義的是與恢復(fù)成本（而非停機(jī)時(shí)間成本）有關(guān)的數(shù)據(jù)備份策略。B.停機(jī)時(shí)間成本，如銷售損失、資源閑置和工資，隨時(shí)間的推移而增加。因此，應(yīng)制訂災(zāi)難恢復(fù)計(jì)劃來盡可能地降低停機(jī)時(shí)間成本。C.允許的恢復(fù)時(shí)間越長(zhǎng)，恢復(fù)成本就越低。例如，在2天內(nèi)恢復(fù)業(yè)務(wù)運(yùn)營(yíng)的成本比在7天內(nèi)恢復(fù)的成本要高。有效的災(zāi)難恢復(fù)計(jì)劃（DRP）的本質(zhì)在于，最大限度地降低不確定性并提高可預(yù)測(cè)性。D.有了良好的規(guī)劃，恢復(fù)成本即可預(yù)測(cè)和保持在可控范圍之內(nèi)。A4-14盡管管理人員已做出說明，但信息系統(tǒng)審計(jì)師仍有理由相信組織正在使用未經(jīng)許可的軟件。在這種情況下，信息系統(tǒng)審計(jì)師應(yīng)該首先：[單選題]*A.將管理層的說明寫入審計(jì)報(bào)告。B.通過測(cè)試證實(shí)軟件在用。(正確答案)C.將該事項(xiàng)寫入審計(jì)報(bào)告。D.與高級(jí)管理層討論該問題，因?yàn)樗赡軐?duì)組織產(chǎn)生負(fù)面影響。答案解析：A.管理層的說明可能包含在審計(jì)報(bào)告中，但審計(jì)師應(yīng)獨(dú)立地驗(yàn)證管理層的說明，以確保其完整性和準(zhǔn)確性。B.如果有跡象表明組織使用的軟件未經(jīng)許可，信息系統(tǒng)審計(jì)師應(yīng)在將其寫入報(bào)告前獲得充分的證據(jù)。C.關(guān)于此類問題，管理層給出的說法無法得到獨(dú)立驗(yàn)證。D.如果組織使用未經(jīng)許可的軟件，為了保持客觀性和獨(dú)立性，信息系統(tǒng)審計(jì)師必須將這一點(diǎn)寫入報(bào)告，但是信息系統(tǒng)審計(jì)師在向高級(jí)管理層呈交之前應(yīng)驗(yàn)證情況的屬實(shí)性。A4-15與其他銅基線纜相比，使用非屏蔽雙絞線（UTP）的一個(gè)優(yōu)點(diǎn)是UTP線：[單選題]*A.減少線纜之間的串?dāng)_。(正確答案)B.提供線路竊聽保護(hù)。C.可用于長(zhǎng)距離網(wǎng)絡(luò)。D.容易安裝。答案解析：A.使用銅質(zhì)非屏蔽雙絞線（UTP）可減少串?dāng)_的可能性。B.盡管介質(zhì)的雙絞線特質(zhì)會(huì)減少電磁干擾靈敏度，但非屏蔽銅質(zhì)電纜對(duì)線路竊聽沒有適當(dāng)?shù)姆雷o(hù)措施。C.如果銅質(zhì)雙絞線使用距離超過100米，則會(huì)開始出現(xiàn)衰減，這時(shí)需要使用中繼器。D.安裝UTP的工具和技術(shù)并不比其他銅質(zhì)電纜簡(jiǎn)單或容易。A4-16下列哪項(xiàng)是有效執(zhí)行災(zāi)難恢復(fù)計(jì)劃的最關(guān)鍵因素？[單選題]*A.異地儲(chǔ)存?zhèn)浞輸?shù)據(jù)。(正確答案)B.關(guān)鍵災(zāi)難恢復(fù)聯(lián)系人名單中的數(shù)據(jù)保持在最新狀態(tài)。C.后備數(shù)據(jù)中心的可用性。D.明確定義的恢復(fù)時(shí)間目標(biāo)。答案解析：A.在上述各項(xiàng)中，遠(yuǎn)程存儲(chǔ)備份數(shù)據(jù)是最關(guān)鍵的災(zāi)難恢復(fù)計(jì)劃（DRP）因素，因?yàn)樵诨謴?fù)系統(tǒng)時(shí)需要訪問備份數(shù)據(jù)。B.擁有關(guān)鍵聯(lián)系人名單很重要，但不如有充分的數(shù)據(jù)備份更重要。C.DRP可使用后備數(shù)據(jù)中心或其他解決方案，如移動(dòng)站點(diǎn)、互惠協(xié)議或外包協(xié)議。D.明確定義的恢復(fù)時(shí)間目標(biāo)對(duì)業(yè)務(wù)連續(xù)性計(jì)劃特別重要，但災(zāi)難恢復(fù)（恢復(fù)IT基礎(chǔ)設(shè)施和能力）的核心要素是數(shù)據(jù)備份。A4-17在審查IT資源能力和性能的持續(xù)監(jiān)測(cè)流程時(shí)，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要確保該流程重點(diǎn)關(guān)注：[單選題]*A.充分監(jiān)測(cè)IT資源和服務(wù)的水平。B.提供數(shù)據(jù)，以確保能夠及時(shí)規(guī)劃能力和性能要求。C.提供有關(guān)IT資源能力的準(zhǔn)確反饋。(正確答案)D.正確預(yù)測(cè)IT資源的性能、能力和吞吐量。答案解析：A.持續(xù)監(jiān)測(cè)有助于確保符合服務(wù)水平協(xié)議（SLA），但這并非監(jiān)測(cè)的主要關(guān)注點(diǎn)。即使系統(tǒng)離線，它也有可能符合SLA的要求。因此，準(zhǔn)確的可用性監(jiān)測(cè)更重要。B.盡管通過能力和性能監(jiān)測(cè)獲得的數(shù)據(jù)將是規(guī)劃流程的一種輸入，但主要關(guān)注點(diǎn)是監(jiān)測(cè)可用性。C.準(zhǔn)確的IT資源能力監(jiān)測(cè)是持續(xù)監(jiān)測(cè)流程的最關(guān)鍵要素。D.盡管持續(xù)監(jiān)測(cè)有助于管理層預(yù)測(cè)可能的IT資源能力，但更關(guān)鍵的是可用性監(jiān)測(cè)要準(zhǔn)確。A4-18作為業(yè)務(wù)影響分析的一部分，以下哪類人是判定一個(gè)應(yīng)用程序系統(tǒng)重要性的最佳信息來源？[單選題]*A.業(yè)務(wù)流程所有者。(正確答案)B.IT管理人員。C.高級(jí)業(yè)務(wù)管理人員。D.行業(yè)專家。答案解析：A.業(yè)務(wù)流程所有者可以提供最有用的信息，因?yàn)闃I(yè)務(wù)影響分析（BIA）是根據(jù)業(yè)務(wù)需求來評(píng)估重要性和恢復(fù)時(shí)限的。B.盡管IT管理人員和高級(jí)管理層必須參與其中，但他們可能無法對(duì)需要受保護(hù)的業(yè)務(wù)流程有全面的了解。C.雖然高級(jí)管理人員必須參與，但他們可能無法完全意識(shí)到需要保護(hù)的應(yīng)用程序的重要性。D.BIA取決于組織的獨(dú)特業(yè)務(wù)需求，行業(yè)專家的建議價(jià)值有限。A4-19一名信息系統(tǒng)審計(jì)師正在審查某組織災(zāi)難恢復(fù)計(jì)劃（DRP）的實(shí)施情況。該項(xiàng)目按時(shí)完成，并且沒有超出預(yù)算。審查期間，該審計(jì)師發(fā)現(xiàn)了幾個(gè)值得關(guān)注的地方。下列哪項(xiàng)帶來的風(fēng)險(xiǎn)最大？[單選題]*A.沒有測(cè)試DRP。B.災(zāi)難恢復(fù)策略中沒有指定使用熱備援中心。C.執(zhí)行了業(yè)務(wù)影響分析，但是沒有使用其結(jié)果。(正確答案)D.負(fù)責(zé)實(shí)施計(jì)劃的災(zāi)難恢復(fù)項(xiàng)目經(jīng)理最近離開了組織。答案解析：A.盡管測(cè)試災(zāi)難恢復(fù)計(jì)劃（DRP）是使災(zāi)難恢復(fù)策略獲得成功的重要因素，但這不是最重大的風(fēng)險(xiǎn)，最重大的風(fēng)險(xiǎn)來自設(shè)計(jì)不合理的計(jì)劃。B.使用熱備援中心是基于可承受的停機(jī)時(shí)間、成本和其他因素做出的戰(zhàn)略性決定。盡管使用熱備援中心可能被視為良好實(shí)踐，但該解決方案的成本非常高，因此組織可能不需要該方案。C.如果災(zāi)難恢復(fù)計(jì)劃未使用業(yè)務(wù)影響分析（BIA）結(jié)果，所帶來的風(fēng)險(xiǎn)就是DRP可能不會(huì)按正確的順序來恢復(fù)最重要的資產(chǎn)。因此，該計(jì)劃可能不足以使組織從災(zāi)難中恢復(fù)。D.如果DRP的設(shè)計(jì)和記錄很合理，即使經(jīng)驗(yàn)豐富的項(xiàng)目經(jīng)理離職，也可以將影響降至最低。如果所制訂的計(jì)劃很差，可能無法滿足業(yè)務(wù)需求，則所帶來的風(fēng)險(xiǎn)將明顯高于項(xiàng)目經(jīng)理離職所導(dǎo)致的風(fēng)險(xiǎn)。A4-20某供應(yīng)商過去幾個(gè)月發(fā)布了多個(gè)重要的安全修補(bǔ)程序，因此對(duì)管理員及時(shí)測(cè)試和部署修補(bǔ)程序的能力帶來壓力。管理員已詢問能否減少對(duì)修補(bǔ)程序的測(cè)試，該組織應(yīng)當(dāng)采取哪種措施？[單選題]*A.繼續(xù)堅(jiān)持當(dāng)前測(cè)試和應(yīng)用修補(bǔ)程序的流程。(正確答案)B.減少測(cè)試并確保制訂充分的逆向恢復(fù)計(jì)劃。C.推遲安裝修補(bǔ)程序，直到測(cè)試資源可用。D.依靠供應(yīng)商測(cè)試修補(bǔ)程序。答案解析：A.立即應(yīng)用安全軟件修補(bǔ)程序?qū)Υ_保服務(wù)器的安全至關(guān)重要。此外，由于修補(bǔ)程序可能影響其他系統(tǒng)和業(yè)務(wù)經(jīng)營(yíng)，因此測(cè)試修補(bǔ)程序很重要。由于供應(yīng)商最近在短時(shí)間內(nèi)發(fā)布了多個(gè)重要的修補(bǔ)程序，因此這可能是個(gè)暫時(shí)的問題，不需要修訂政策或程序。B.減少測(cè)試會(huì)因?yàn)樾扪a(bǔ)程序有故障或不兼容而加大業(yè)務(wù)經(jīng)營(yíng)中斷的風(fēng)險(xiǎn)。盡管逆向恢復(fù)計(jì)劃有助于減少這種風(fēng)險(xiǎn)，但預(yù)先進(jìn)行全面測(cè)試是更恰當(dāng)?shù)倪x項(xiàng)。C.立即應(yīng)用安全軟件修補(bǔ)程序?qū)Υ_保服務(wù)器的安全至關(guān)重要。推遲安裝修補(bǔ)程序會(huì)因?yàn)橄到y(tǒng)漏洞而加大安全違規(guī)的風(fēng)險(xiǎn)。D.由供應(yīng)商完成的測(cè)試可能不適用于需要部署修補(bǔ)程序的組織的系統(tǒng)和環(huán)境。A4-21信息系統(tǒng)審計(jì)師審查服務(wù)水平協(xié)議（SLA）時(shí)，應(yīng)對(duì)以下哪個(gè)問題最關(guān)注？[單選題]*A.異常報(bào)告導(dǎo)致的服務(wù)調(diào)整需要一天的實(shí)施時(shí)間。B.用于服務(wù)監(jiān)控的應(yīng)用程序日志過于復(fù)雜，導(dǎo)致審查非常困難。C.服務(wù)衡量方式未包括在SLA中。(正確答案)D.文檔每年更新一次。答案解析：A.解決與異常報(bào)告相關(guān)的問題屬于操作性問題，應(yīng)在服務(wù)水平協(xié)議（SLA）中解決，但根據(jù)SLA的條款，一天的響應(yīng)時(shí)間可能是可以接受的。B.應(yīng)用日志的復(fù)雜性是一個(gè)操作性問題，與SLA無關(guān)。C.缺少服務(wù)衡量方式會(huì)對(duì)所提供的IT服務(wù)的效率和有效性難以衡量。D.雖然文檔記錄根據(jù)協(xié)議條款保持更新很重要，但文檔變更的頻率沒有必要短于一年。A4-22對(duì)一家全球企業(yè)的災(zāi)難恢復(fù)計(jì)劃進(jìn)行信息系統(tǒng)審計(jì)期間，審計(jì)師注意到，某些遠(yuǎn)程辦公室的本地IT資源極為有限。以下哪項(xiàng)觀察結(jié)果對(duì)于信息系統(tǒng)審計(jì)師最重要？[單選題]*A.尚未進(jìn)行測(cè)試，無法確保在從災(zāi)難或事故中恢復(fù)時(shí)本地資源可以保持安全性和服務(wù)標(biāo)準(zhǔn)。(正確答案)B.企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃未對(duì)遠(yuǎn)程辦公室中的系統(tǒng)進(jìn)行準(zhǔn)確記錄。C.企業(yè)的安全措施尚未納入測(cè)試計(jì)劃中。D.尚未進(jìn)行測(cè)試，無法確保遠(yuǎn)程辦公室中的備份可供使用。答案解析：A.無論本地IT資源的能力如何，最主要的風(fēng)險(xiǎn)就是缺乏測(cè)試，因?yàn)橥ㄟ^測(cè)試可以識(shí)別恢復(fù)過程中的質(zhì)量問題。B.企業(yè)的業(yè)務(wù)連續(xù)性計(jì)劃可能未包含遠(yuǎn)程辦公室的災(zāi)難恢復(fù)計(jì)劃（DRP）細(xì)節(jié)。保證本地計(jì)劃經(jīng)過測(cè)試是很重要的。C.安全是一個(gè)重要問題，因?yàn)闉?zāi)難期間許多控制可能丟失，但計(jì)劃沒有經(jīng)過測(cè)試的問題更大。D.備份在經(jīng)過測(cè)試前是不可信的，但這應(yīng)作為DRP整體測(cè)試的一部分來完成。A4-23信息系統(tǒng)審計(jì)師應(yīng)使用以下哪種報(bào)告來執(zhí)行檢查，以確定遵守了服務(wù)水平協(xié)議對(duì)正常運(yùn)行時(shí)間的要求？[單選題]*A.使用情況報(bào)告。B.硬件錯(cuò)誤報(bào)告。C.系統(tǒng)日志。D.可用性報(bào)告。(正確答案)答案解析：A.使用情況報(bào)告記錄計(jì)算機(jī)設(shè)備的使用情況，以供管理人員預(yù)測(cè)資源的需求情況。B.硬件錯(cuò)誤報(bào)告提供的信息有助于檢測(cè)硬件故障和采取糾正措施。這些錯(cuò)誤報(bào)告不一定反映了實(shí)際的系統(tǒng)正常運(yùn)行時(shí)間。C.系統(tǒng)日志用于記錄系統(tǒng)的活動(dòng)，不一定反映可用性。D.可用性報(bào)告針對(duì)的是停機(jī)時(shí)間等信息系統(tǒng)無活動(dòng)情況。這些報(bào)告提供了計(jì)算機(jī)可供用戶或其他進(jìn)程使用的時(shí)間段。A4-24信息系統(tǒng)審計(jì)師會(huì)使用下列哪一項(xiàng)來判斷生產(chǎn)程序是否進(jìn)行過未經(jīng)授權(quán)的修改？[單選題]*A.系統(tǒng)日志分析。B.符合性測(cè)試。(正確答案)C.取證分析。D.分析性審查。答案解析：A.系統(tǒng)日志分析會(huì)識(shí)別系統(tǒng)上的變更和活動(dòng)，但除非變更是作為符合性測(cè)試的一部分進(jìn)行的，否則不能確定變更是否經(jīng)過授權(quán)。B.要想判斷生產(chǎn)程序是否只進(jìn)行過經(jīng)過授權(quán)的修改，需要審查變更管理流程，以便評(píng)估是否存在一連串書面證據(jù)。符合性測(cè)試有助于驗(yàn)證變更管理流程的實(shí)施是否始終如一。C.取證分析是針對(duì)犯罪調(diào)查的一項(xiàng)專業(yè)技術(shù)。D.分析性審查可用于評(píng)估組織的常規(guī)控制環(huán)境。A4-25在對(duì)某生產(chǎn)系統(tǒng)進(jìn)行變更控制審計(jì)時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)該變更管理流程沒有保留正式的記錄，并且一些遷移流程失敗。信息系統(tǒng)審計(jì)師接下來應(yīng)該做什么？[單選題]*A.建議重新設(shè)計(jì)變更管理流程。B.通過根本原因分析保證審計(jì)發(fā)現(xiàn)的正確性。(正確答案)C.建議停止程序遷移，直至變更過程得以存檔記錄。D.對(duì)審計(jì)發(fā)現(xiàn)進(jìn)行存檔記錄并呈交給管理人員。答案解析：A.雖然可能有必要重新設(shè)計(jì)變更管理流程，但這只能在進(jìn)行根本原因分析以確定未遵循當(dāng)前流程的原因之后完成。B.變更管理流程對(duì)IT生產(chǎn)系統(tǒng)極為重要。在建議組織采取其他任何行動(dòng)前（例如，停止遷移、重新設(shè)計(jì)變更管理流程），信息系統(tǒng)審計(jì)師應(yīng)確保所報(bào)告的事故與變更管理流程的不足有關(guān)，而并不是由變更管理流程以外的其他流程引起的。C.企業(yè)依賴在必要時(shí)做出變更的能力，安全補(bǔ)丁常常是立即部署的。停止所有變更，直至新流程的開發(fā)是不可行的。D.一旦問題的根本原因分析完成之后，包括對(duì)不合規(guī)的發(fā)現(xiàn)在內(nèi)的審計(jì)結(jié)果將提交給管理人員。A4-26信息系統(tǒng)審計(jì)師在評(píng)估高可用性網(wǎng)絡(luò)的恢復(fù)力時(shí)，最應(yīng)該關(guān)注：[單選題]*A.是否在地理上分散安裝網(wǎng)絡(luò)。B.服務(wù)器匯集在同一站點(diǎn)中。(正確答案)C.熱備援中心是否已準(zhǔn)備好運(yùn)行。D.該網(wǎng)絡(luò)是否實(shí)施了多路由選擇功能。答案解析：A.如果在地理位置上分散安裝，則可在某個(gè)站點(diǎn)遭到破壞時(shí)提供備份。B.如果在一個(gè)站點(diǎn)進(jìn)行群集安裝，則整個(gè)網(wǎng)絡(luò)很容易受到自然災(zāi)害或其他破壞性事件的影響。C.對(duì)于存在單點(diǎn)故障風(fēng)險(xiǎn)的站點(diǎn)來說，熱備援中心也是不錯(cuò)的備用方案。D.多路由提供的是網(wǎng)線不可用時(shí)的電子通信備份。A4-27對(duì)于災(zāi)難恢復(fù)計(jì)劃，管理層考慮了兩種方案；方案A提出用2個(gè)月來進(jìn)行徹底恢復(fù)，方案B提出用8個(gè)月來進(jìn)行徹底恢復(fù)。兩種計(jì)劃的恢復(fù)點(diǎn)目標(biāo)相同?？梢灶A(yù)計(jì)，計(jì)劃B具有更高的：[單選題]*A.停機(jī)時(shí)間成本。(正確答案)B.繼續(xù)運(yùn)營(yíng)成本。C.恢復(fù)成本。D.瀏覽審查成本。答案解析：A.由于管理層在方案B中考慮了較長(zhǎng)的恢復(fù)時(shí)限，因此該方案中包含的停機(jī)時(shí)間成本可能較高。B.由于方案B的恢復(fù)時(shí)間較長(zhǎng)，因此，繼續(xù)運(yùn)營(yíng)成本成本應(yīng)該會(huì)較低。C.由于方案B的恢復(fù)時(shí)間較長(zhǎng)，因此，恢復(fù)成本應(yīng)該會(huì)較低。D.瀏覽審查成本不屬于災(zāi)難恢復(fù)的一部分。A4-28在評(píng)估計(jì)算機(jī)預(yù)防性維護(hù)程序的有效性和充分性時(shí)，信息系統(tǒng)審計(jì)師會(huì)認(rèn)為以下哪項(xiàng)最有幫助？[單選題]*A.系統(tǒng)停機(jī)時(shí)間日志。(正確答案)B.供應(yīng)商的可靠度數(shù)據(jù)。C.定期安排的維護(hù)日志。D.書面預(yù)防性維護(hù)日程表。答案解析：A.系統(tǒng)停機(jī)時(shí)間日志提供了有關(guān)計(jì)算機(jī)預(yù)防性維護(hù)程序的有效性和充分性的證據(jù)。日志是一種檢測(cè)性控制，但因?yàn)樗?yàn)證著維護(hù)程序的有效性，也就驗(yàn)證著預(yù)防性控制。B.供應(yīng)商的可靠度數(shù)據(jù)不是預(yù)防性維護(hù)程序的有效措施。C.審查日志是保證維護(hù)被執(zhí)行的一種良好的檢測(cè)性控制，但系統(tǒng)停機(jī)時(shí)間會(huì)說明預(yù)防性維護(hù)是否真正有效。D.日程表是保證維護(hù)被執(zhí)行的一種良好的檢測(cè)性控制，但系統(tǒng)停機(jī)時(shí)間會(huì)說明預(yù)防性維護(hù)是否真正有效。A4-29某組織使用軟件即服務(wù)（SaaS）操作模式實(shí)施了在線客戶服務(wù)臺(tái)應(yīng)用程序。當(dāng)涉及可用性時(shí)，信息系統(tǒng)審計(jì)師需要建議最佳的控制措施，以監(jiān)控與SaaS供應(yīng)商簽訂的服務(wù)水平協(xié)議（SLA）。以下哪個(gè)選項(xiàng)是信息系統(tǒng)審計(jì)師可提供的最佳建議？[單選題]*A.要求SaaS供應(yīng)商就應(yīng)用程序正常運(yùn)行時(shí)間提供每周報(bào)告。B.實(shí)施在線輪詢工具，以監(jiān)控應(yīng)用程序并記錄中斷。(正確答案)C.記錄用戶報(bào)告的全部應(yīng)用程序中斷，并每周加總中斷時(shí)間。D.與一家獨(dú)立的第三方簽約，為應(yīng)用程序正常運(yùn)行時(shí)間提供周報(bào)。答案解析：A.應(yīng)用程序可用性的每周報(bào)告很有用，但這些報(bào)告只能代表供應(yīng)商的觀點(diǎn)。監(jiān)控這些報(bào)告時(shí)，組織可以提出自己對(duì)不準(zhǔn)確的擔(dān)憂。但是，由于沒有內(nèi)部監(jiān)控，此類擔(dān)憂無法得到證實(shí)。B.實(shí)施在線輪詢工具來監(jiān)控、記錄應(yīng)用程序中斷是組織監(jiān)控軟件即服務(wù)應(yīng)用程序可用性的最佳選擇。比較內(nèi)部報(bào)告與供應(yīng)商的服務(wù)水平協(xié)議（SLA）報(bào)告可確保供應(yīng)商對(duì)SLA監(jiān)控的準(zhǔn)確性，且所有沖突都得到妥善解決。C.記錄用戶報(bào)告的中斷時(shí)間很有幫助，但是無法提供在線應(yīng)用程序全部中斷的真實(shí)狀況。尤其在中斷間歇發(fā)生的情況下，某些中斷可能沒有報(bào)告。D.雇用第三方實(shí)施可用性監(jiān)控的方法不夠經(jīng)濟(jì)。此外，其結(jié)果是從監(jiān)控SaaS轉(zhuǎn)到了監(jiān)控第三方。A4-30實(shí)施文件保留日期可以確保：[單選題]*A.指定該日期前，無法讀取數(shù)據(jù)。B.在該日期之前，不會(huì)刪除數(shù)據(jù)。(正確答案)C.在該日期后，不再保留備份副本。D.區(qū)分具有相同名稱的數(shù)據(jù)集。答案解析：A.保留日期不會(huì)影響對(duì)文件的讀取。B.保留日期用于確保某個(gè)文件在該日期之前不能被覆蓋或刪除。C.備份副本應(yīng)該具有不同的保留日期，以便可在文件被覆蓋后得到保留。D.創(chuàng)建日期（不是保留日期）用于區(qū)分具有相同名稱的文件。A4-31以下哪種是用于監(jiān)視和記錄網(wǎng)絡(luò)信息的網(wǎng)絡(luò)診斷工具？[單選題]*A.在線監(jiān)視器。B.故障報(bào)告。C.服務(wù)臺(tái)報(bào)告。D.協(xié)議分析器。(正確答案)答案解析：A.在線監(jiān)視器用于衡量電信傳輸以及確定傳輸是否準(zhǔn)確和完整。B.故障報(bào)告跟蹤電信線路和電路的可用性。C.服務(wù)臺(tái)報(bào)告由服務(wù)臺(tái)準(zhǔn)備，服務(wù)臺(tái)由經(jīng)過培訓(xùn)的信息系統(tǒng)技術(shù)支持人員提供支持，他們可解決在信息系統(tǒng)操作流程中所出現(xiàn)的問題。D.協(xié)議分析器是用于監(jiān)視和記錄網(wǎng)絡(luò)信息的網(wǎng)絡(luò)診斷工具，該信息來自與分析器相連的鏈路中所傳輸?shù)臄?shù)據(jù)包。A4-32一位信息系統(tǒng)審計(jì)師需要審查可將軟件應(yīng)用程序的狀態(tài)恢復(fù)到更新前狀態(tài)的流程。因此，該審計(jì)師需要評(píng)估：[單選題]*A.問題管理流程。B.軟件開發(fā)流程。C.逆向恢復(fù)流程。(正確答案)D.事故管理流程。答案解析：A.問題管理流程用于跟蹤用戶反饋和與應(yīng)用操作相關(guān)的問題，以便于趨勢(shì)分析和問題解決。B.如軟件開發(fā)生命周期（SDLC）一類的軟件開發(fā)流程用于管理購置或開發(fā)新軟件或修改后的軟件。C.逆向恢復(fù)流程用于使系統(tǒng)恢復(fù)到先前狀態(tài)，而且是變更控制流程的重要元素。其他選項(xiàng)與變更控制流程不相關(guān)。此流程指明升級(jí)軟件時(shí)升級(jí)失敗而需要回退到其之前的狀態(tài)時(shí)應(yīng)遵守哪些流程。D.事故管理流程用于管理系統(tǒng)操作的錯(cuò)誤和問題，一般用于服務(wù)臺(tái)。如何遵守回退計(jì)劃是事故管理流程之一。A4-33以下哪項(xiàng)是審查服務(wù)臺(tái)業(yè)務(wù)期間主要關(guān)注的問題？[單選題]*A.服務(wù)臺(tái)團(tuán)隊(duì)無法解答某些服務(wù)呼叫中提出的問題。B.未能為服務(wù)臺(tái)團(tuán)隊(duì)指定專用線路。C.事故解決后未洽詢最終用戶即結(jié)案。(正確答案)D.服務(wù)臺(tái)無法發(fā)送即時(shí)消息已超過6個(gè)月。答案解析：A.盡管這確實(shí)值得關(guān)注，但這是在所難免的。應(yīng)制定問題上報(bào)流程來處理此類情況。B.理想情況下，服務(wù)臺(tái)團(tuán)隊(duì)?wèi)?yīng)有專用線路，但這種例外情況不如技術(shù)團(tuán)隊(duì)單方面對(duì)事故結(jié)案嚴(yán)重。C.服務(wù)臺(tái)是一個(gè)以服務(wù)為宗旨的職能部門。必須首先告知最終用戶，然后才能認(rèn)為事故可以結(jié)案。D.發(fā)送即時(shí)消息是一項(xiàng)附加服務(wù)，有助于提高服務(wù)臺(tái)團(tuán)隊(duì)的服務(wù)有效性。只要仍可以撥打電話，無法發(fā)送即時(shí)信息就不能被視為一個(gè)主要問題。A4-34定期測(cè)試異地災(zāi)難恢復(fù)設(shè)施的主要目的是：[單選題]*A.保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的完整性。B.不必制訂詳細(xì)的應(yīng)急計(jì)劃。C.確保應(yīng)急設(shè)施持續(xù)保持兼容性。(正確答案)D.確保程序和系統(tǒng)文檔保持最新。答案解析：A.對(duì)異地設(shè)施進(jìn)行測(cè)試不能保護(hù)數(shù)據(jù)庫的完整性?？梢詼y(cè)試備份的有效性，但不能保護(hù)其完整性。B.對(duì)異地設(shè)施進(jìn)行測(cè)試可驗(yàn)證應(yīng)急計(jì)劃的價(jià)值，而不是取消詳細(xì)計(jì)劃。C.異地硬件測(cè)試的主要目的是保證應(yīng)急設(shè)施的兼容性，以確保應(yīng)急計(jì)劃在真正發(fā)生災(zāi)難時(shí)能夠起作用。D.應(yīng)持續(xù)審查程序和系統(tǒng)文檔記錄的通用性。對(duì)異地設(shè)施進(jìn)行測(cè)試可保證該設(shè)施文檔記錄的通用性，但這不是測(cè)試異地設(shè)施的目的。A4-35一家大型連鎖店在銷售終端設(shè)備上安裝了電子資金轉(zhuǎn)賬系統(tǒng)，并且配備了一個(gè)用于連接到銀行網(wǎng)絡(luò)的中央通信處理器。對(duì)于該通信處理器，以下哪種災(zāi)難恢復(fù)計(jì)劃是最佳方案？[單選題]*A.異地儲(chǔ)存日常備份數(shù)據(jù)。B.現(xiàn)場(chǎng)安裝備用處理器。C.安裝雙工通信線路。D.在其他網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器。(正確答案)答案解析：A.異地儲(chǔ)存?zhèn)浞輸?shù)據(jù)起不到任何幫助作用，因?yàn)殡娮淤Y金轉(zhuǎn)移往往是在線過程，而異地儲(chǔ)存解決不了處理器功能異常問題。B.如果設(shè)備出現(xiàn)問題，則在現(xiàn)場(chǎng)安裝備用處理器將是一種很好的解決方案，但在斷電的情況下就起不到幫助作用，且可能需要專業(yè)技術(shù)來切換到備用設(shè)備上。C.如果僅僅是通信線路發(fā)生故障，則安裝雙工通信線路是最合適的解決方案。D.在其他網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器是最佳解決方案。中央通信處理器不可用時(shí)，對(duì)銀行網(wǎng)絡(luò)的所有訪問都將中斷，從而導(dǎo)致所有商店運(yùn)營(yíng)中斷。這可由設(shè)備、電源或通信故障引起。A4-36數(shù)據(jù)庫管理員提議，可通過使某些表非規(guī)范化來提高數(shù)據(jù)庫效率。這將導(dǎo)致：[單選題]*A.機(jī)密性丟失。B.冗余度增加。(正確答案)C.未經(jīng)授權(quán)的訪問。D.應(yīng)用程序出現(xiàn)故障。答案解析：A.即使涉及機(jī)密信息，非規(guī)范化也不會(huì)導(dǎo)致機(jī)密性丟失。數(shù)據(jù)庫管理員應(yīng)保證數(shù)據(jù)庫的訪問控制一直保持有效。B.正規(guī)化是指使關(guān)聯(lián)數(shù)據(jù)庫增加冗余的設(shè)計(jì)或優(yōu)化流程。涉及資源可用性時(shí)，冗余通常被看作積極因素，而在數(shù)據(jù)庫環(huán)境中，它是消極因素，因?yàn)榇嬖谌哂鄷r(shí)，需要處理原本不必要的額外數(shù)據(jù)。出于功能考慮，有時(shí)建議進(jìn)行非規(guī)范化。C.非規(guī)范化與數(shù)據(jù)庫結(jié)構(gòu)有關(guān)，與訪問控制無關(guān)。非規(guī)范化不會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問。D.非規(guī)范化可能要求數(shù)據(jù)庫與應(yīng)用程序之間的調(diào)用變化，但不會(huì)導(dǎo)致應(yīng)用程序出現(xiàn)故障。A4-37一名信息系統(tǒng)審計(jì)師被分配執(zhí)行一項(xiàng)測(cè)試，比較作業(yè)運(yùn)行日志與計(jì)算機(jī)作業(yè)計(jì)劃表。該信息系統(tǒng)審計(jì)師最需要關(guān)注以下哪一項(xiàng)？[單選題]*A.緊急變更的數(shù)量增加。B.存在某些作業(yè)沒有按時(shí)完成的情況。C.存在某些作業(yè)被計(jì)算機(jī)操作人員覆蓋的情況。(正確答案)D.有證據(jù)顯示僅運(yùn)行了預(yù)先計(jì)劃的作業(yè)。答案解析：A.只要作為流程的一部分妥善記錄，緊急變更是可以接受的。B.作業(yè)沒有按時(shí)完成是個(gè)潛在的問題并應(yīng)該調(diào)查，但不是最需要關(guān)注的問題。C.計(jì)算機(jī)操作人員對(duì)計(jì)算機(jī)處理作業(yè)的覆蓋會(huì)對(duì)數(shù)據(jù)或程序造成未經(jīng)授權(quán)的變更。這屬于控制方面的風(fēng)險(xiǎn)因素，因此通常非常關(guān)鍵。D.審計(jì)師發(fā)現(xiàn)所有預(yù)先計(jì)劃的作業(yè)都運(yùn)行了，而且任何期望結(jié)果都得到了記錄，所以這沒有違反規(guī)定。A4-38某新業(yè)務(wù)要求變更數(shù)據(jù)庫供應(yīng)商。關(guān)于此項(xiàng)要求，信息系統(tǒng)審計(jì)師應(yīng)當(dāng)主要檢查以下哪個(gè)領(lǐng)域？[單選題]*A.數(shù)據(jù)的完整性。(正確答案)B.切換的時(shí)間安排。C.用戶的授權(quán)等級(jí)。D.數(shù)據(jù)的正規(guī)化。答案解析：A.從一個(gè)數(shù)據(jù)庫向另一個(gè)數(shù)據(jù)庫移植數(shù)據(jù)時(shí)的關(guān)鍵問題是數(shù)據(jù)的完整性和確保全面、正確地移植數(shù)據(jù)。B.切換的時(shí)間安排很重要，但由于須將數(shù)據(jù)移植至新的數(shù)據(jù)庫，復(fù)制不應(yīng)該是個(gè)問題。C.用戶的授權(quán)與應(yīng)用的授權(quán)無關(guān)，因?yàn)橛脩魧⑼ㄟ^應(yīng)用連接數(shù)據(jù)庫，并且用戶不直接連接數(shù)據(jù)庫。D.正規(guī)化用于設(shè)計(jì)數(shù)據(jù)庫，不一定與數(shù)據(jù)庫移植有關(guān)。A4-39數(shù)據(jù)庫系統(tǒng)中并行控制的目的是：[單選題]*A.只允許授權(quán)用戶對(duì)數(shù)據(jù)庫進(jìn)行更新。B.確保兩個(gè)進(jìn)程在同時(shí)嘗試更新同一數(shù)據(jù)時(shí)的完整性。(正確答案)C.防止數(shù)據(jù)庫中的數(shù)據(jù)被意外或未授權(quán)地泄露。D.確保數(shù)據(jù)準(zhǔn)確、完整和一致。答案解析：A.訪問控制只允許授權(quán)用戶對(duì)數(shù)據(jù)庫進(jìn)行更新。B.并行控制用于防止出現(xiàn)數(shù)據(jù)完整性問題，當(dāng)兩個(gè)更新進(jìn)程同時(shí)訪問同一數(shù)據(jù)項(xiàng)時(shí)就會(huì)出現(xiàn)此問題。C.防止數(shù)據(jù)庫中的數(shù)據(jù)被意外或未授權(quán)地泄露可用密碼等控制。D.質(zhì)量控制（如編輯）用于確保數(shù)據(jù)庫中數(shù)據(jù)的準(zhǔn)確性、完整性和一致性。A4-40以下哪一種控制可以最大限度地確保數(shù)據(jù)庫的完整性？[單選題]*A.審計(jì)日志流程。B.表鏈接/引用檢查。(正確答案)C.查詢/表訪問時(shí)間檢查。D.回滾和前滾數(shù)據(jù)庫功能。答案解析：A.通過審計(jì)日志流程，可以記錄已確定的所有事件并且有助于追蹤這些事件。但是，它們只指向事件，不能確保數(shù)據(jù)庫內(nèi)容的完整性或準(zhǔn)確性。B.通過執(zhí)行表鏈接/引用檢查，可以檢測(cè)表連接錯(cuò)誤（例如，數(shù)據(jù)庫內(nèi)容的完整性和準(zhǔn)確性），因此可以最大限度地保證數(shù)據(jù)庫完整性。C.通過查詢/監(jiān)控表訪問時(shí)間檢查，可以幫助設(shè)計(jì)人員提高數(shù)據(jù)庫性能，但不能保證其完整性。D.回滾和前滾數(shù)據(jù)庫功能用于確保在異常中斷后恢復(fù)。這些功能可以確保在中斷時(shí)所處理的交易的完整性，但不能保證數(shù)據(jù)庫內(nèi)容的完整性。A4-41以下哪項(xiàng)被公認(rèn)為是網(wǎng)絡(luò)管理的關(guān)鍵要素之一？[單選題]*A.配置和變更管理。(正確答案)B.拓?fù)溆成洹.監(jiān)控工具的應(yīng)用。D.代理服務(wù)器故障排除。答案解析：A.配置管理被公認(rèn)為是所有網(wǎng)絡(luò)的關(guān)鍵要素之一，因?yàn)樗_立了網(wǎng)絡(luò)在內(nèi)外部運(yùn)作的方式，而且還涉及配置管理和性能監(jiān)控。變更管理確保網(wǎng)絡(luò)設(shè)置和管理正確完成，包括管理配置變動(dòng)、刪除默認(rèn)密碼和可能通過禁用不需要的服務(wù)來強(qiáng)化網(wǎng)絡(luò)。B.拓?fù)溆成涓攀隽司W(wǎng)絡(luò)組件和網(wǎng)絡(luò)連通性。這對(duì)解決諸如單點(diǎn)故障和網(wǎng)絡(luò)隔離的問題很重要，但不是網(wǎng)絡(luò)管理的最關(guān)鍵組成部分。C.應(yīng)用監(jiān)控不是網(wǎng)絡(luò)管理最關(guān)鍵的內(nèi)容。D.代理服務(wù)器故障排除用于排除故障，而代理服務(wù)器的管理只是網(wǎng)絡(luò)管理的一小部分。A4-42在評(píng)估對(duì)密碼管理的程序控制時(shí)，信息系統(tǒng)審計(jì)師最有可能參照下列哪一項(xiàng)？[單選題]*A.尺寸檢查。B.散列總計(jì)。C.有效性檢查。(正確答案)D.字段檢查。答案解析：A.尺寸檢查很有用，因?yàn)槊艽a應(yīng)該具有最小長(zhǎng)度，但是其控制作用不如有效性檢查強(qiáng)大。B.密碼通常不是批量輸入的，所以散列總計(jì)無效。更為重要的是，系統(tǒng)不應(yīng)該接受錯(cuò)誤的密碼值，因此作為一種控制，散列總計(jì)找不到任何弱密碼、錯(cuò)誤或遺漏。C.有效性檢查對(duì)于密碼驗(yàn)證最有用，因?yàn)樵摍z查將驗(yàn)證所需格式是否已使用。例如，不使用詞典中的詞，包括非字母字符等。有效的密碼必須含有幾種不同類型的字符：字母、數(shù)字和特殊字符。D.實(shí)施字段檢查不如確定是否符合所有密碼標(biāo)準(zhǔn)的有效性檢查更為有效。A4-43以下哪項(xiàng)表示兩家公司之間簽訂的災(zāi)難恢復(fù)互惠協(xié)議所帶來的最大風(fēng)險(xiǎn)？[單選題]*A.開發(fā)系統(tǒng)可能導(dǎo)致硬件和軟件不兼容。(正確答案)B.必要時(shí)資源不可用。C.無法現(xiàn)場(chǎng)測(cè)試恢復(fù)計(jì)劃。D.這兩家公司的安全基礎(chǔ)架構(gòu)可能不同。答案解析：A.如果其中一家公司更新其硬件和軟件配置，可能意味著該公司的系統(tǒng)與協(xié)議中另一方的系統(tǒng)不再兼容。也就是說，在發(fā)生災(zāi)難后，任何一家公司都無法使用另一家公司的設(shè)施來恢復(fù)其處理系統(tǒng)。B.必要時(shí)資源不可用是所有互惠協(xié)議中存在的固有風(fēng)險(xiǎn)，但這是合同問題而不是最大的風(fēng)險(xiǎn)。C.可通過紙上演練對(duì)該計(jì)劃進(jìn)行測(cè)試，也可以通過公司之間的協(xié)議進(jìn)行測(cè)試。D.安全基礎(chǔ)架構(gòu)不同雖然也是一種風(fēng)險(xiǎn)，但可以克服。A4-44網(wǎng)絡(luò)性能監(jiān)控工具能夠最直接地影響以下哪一項(xiàng)？[單選題]*A.完整性。B.可用性。(正確答案)C.完成度。D.機(jī)密性。答案解析：A.網(wǎng)絡(luò)監(jiān)控工具可用于檢測(cè)通過網(wǎng)絡(luò)擴(kuò)散的錯(cuò)誤，但其主要目的在于控制可靠性，以便網(wǎng)絡(luò)在需要時(shí)可用。B.網(wǎng)絡(luò)監(jiān)控工具可觀察網(wǎng)絡(luò)性能和問題。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)問題時(shí)，它讓管理員能夠采取糾正措施。因此，網(wǎng)絡(luò)監(jiān)控最直接影響的特性是可用性。C.網(wǎng)絡(luò)監(jiān)控工具不會(huì)監(jiān)控通信完成度。完成度由通信中的終點(diǎn)監(jiān)控。D.網(wǎng)絡(luò)監(jiān)控工具可讓網(wǎng)絡(luò)管理人員看到未加密的流量，從而違反機(jī)密性。這要求對(duì)網(wǎng)絡(luò)監(jiān)控工具的使用有仔細(xì)的保護(hù)和政策。A4-45在審計(jì)電子郵件的就地存檔流程時(shí)，信息系統(tǒng)審計(jì)師最應(yīng)關(guān)注：[單選題]*A.是否存在數(shù)據(jù)保留政策。(正確答案)B.存檔解決方案的存儲(chǔ)容量。C.用戶對(duì)電子郵件使用的認(rèn)知水平。D.存檔解決方案提供商的支持和穩(wěn)定性。答案解析：A.如果沒有符合公司業(yè)務(wù)與合規(guī)要求的數(shù)據(jù)保留政策，電子郵件存檔可能無法在必要時(shí)保存和復(fù)制正確信息。B.如果相應(yīng)的電子郵件未得到合理保存而其他郵件又已被刪除，那么存檔解決方案的存儲(chǔ)容量便無關(guān)緊要。C.用戶對(duì)電子郵件使用的認(rèn)知水平不會(huì)直接影響存檔電子郵件的完整性和準(zhǔn)確性。D.存檔解決方案提供商的支持和穩(wěn)定性相比確保保留政策的需求屬于次要問題。供應(yīng)商的支持不會(huì)直接影響存檔電子郵件的完整性和準(zhǔn)確性。A4-46供應(yīng)商發(fā)布了修復(fù)軟件安全漏洞的修補(bǔ)程序。在這種情況下，信息系統(tǒng)審計(jì)師應(yīng)建議執(zhí)行以下哪種操作？[單選題]*A.在安裝修補(bǔ)程序前對(duì)其影響進(jìn)行評(píng)估。(正確答案)B.請(qǐng)求供應(yīng)商提供包含所有修復(fù)程序的新軟件版本。C.立即安裝安全修補(bǔ)程序。D.以后不再與這些供應(yīng)商合作。答案解析：A.應(yīng)立即對(duì)安裝修補(bǔ)程序所帶來的影響進(jìn)行評(píng)估，并根據(jù)評(píng)估結(jié)果決定是否安裝修補(bǔ)程序。無數(shù)案例中一家供應(yīng)商的補(bǔ)丁影響了其他系統(tǒng)，因此有必須在推廣到整個(gè)組織前對(duì)補(bǔ)丁進(jìn)行盡量多的測(cè)試。B.包含所有修復(fù)程序的新軟件版本并不一定有，并且完全安裝也很耗時(shí)。C.如果未事先弄清修補(bǔ)程序可能產(chǎn)生的影響便安裝修補(bǔ)程序，很容易出現(xiàn)問題。安裝補(bǔ)丁還可能影響系統(tǒng)可用性，因此應(yīng)在企業(yè)可接受的情況下推廣補(bǔ)丁的安裝。D.拒絕與供應(yīng)商合作就不能解決缺陷，還可能嚴(yán)重地限制服務(wù)選擇。A4-47要確保生產(chǎn)源代碼和目標(biāo)代碼同步，以下哪種控制最有效？[單選題]*A.版本間的源代碼和目標(biāo)代碼比較報(bào)告。B.用庫控制軟件限制對(duì)源代碼進(jìn)行的更改。C.限制對(duì)源代碼和目標(biāo)代碼的訪問。D.對(duì)源代碼和目標(biāo)代碼的日期和時(shí)間戳進(jìn)行審查。(正確答案)答案解析：A.使用版本控制軟件和比較源代碼與目標(biāo)代碼是一個(gè)好的做法，但當(dāng)源代碼與目標(biāo)代碼是不同版本時(shí)，可能不會(huì)發(fā)現(xiàn)問題。B.所有的生產(chǎn)庫都應(yīng)通過訪問控制加以保護(hù)，這樣可保證源代碼不被篡改，但這不能保證源代碼和目標(biāo)代碼是基于同一版本的。C.保護(hù)所有源代碼和目標(biāo)代碼（即使在開發(fā)中）是一種良好實(shí)踐，但這不能保證源代碼和目標(biāo)代碼同步。D.如果對(duì)源代碼和目標(biāo)代碼的日期和時(shí)間戳進(jìn)行審查，則可確保經(jīng)過編譯的源代碼與生產(chǎn)的目標(biāo)代碼相匹配。這種方法能夠最有效地確保已批準(zhǔn)的生產(chǎn)源代碼經(jīng)過編譯并且是正在使用的代碼。A4-48在正常工作時(shí)間之后需要對(duì)數(shù)據(jù)庫進(jìn)行緊急變更的數(shù)據(jù)庫管理員（DBA）應(yīng)：[單選題]*A.用其指定賬戶登錄進(jìn)行變更。(正確答案)B.用共享DBA賬戶登錄進(jìn)行變更。C.登錄到服務(wù)器管理賬戶進(jìn)行變更。D.使用用戶的賬戶登錄進(jìn)行變更。答案解析：A.在使用數(shù)據(jù)庫管理員（DBA）賬戶前用指定的用戶賬戶登錄會(huì)提供進(jìn)行變更的人的問責(zé)信息。B.DBA賬戶通常是一個(gè)共享的用戶賬戶。由于賬戶共享，系統(tǒng)很難建立執(zhí)行數(shù)據(jù)庫更新的支持用戶的身份。C.服務(wù)器管理賬戶也是共享的，可能由多位支持用戶使用。此外，服務(wù)器特權(quán)賬戶可能無法執(zhí)行數(shù)據(jù)庫更改。D.使用普通用戶賬戶沒有對(duì)數(shù)據(jù)庫進(jìn)行變更的充分權(quán)限。A4-49在評(píng)估軟件開發(fā)實(shí)踐時(shí)，一名信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，開源軟件組件用在了為客戶設(shè)計(jì)的應(yīng)用程序中。關(guān)于開源軟件的使用，該審計(jì)師最關(guān)注什么？[單選題]*A.客戶不為開源軟件組件付費(fèi)。B.組織和客戶必須遵守開源軟件許可條款。(正確答案)C.開源軟件具有安全漏洞。D.開源軟件對(duì)商業(yè)用途不可靠。答案解析：A.利用開源軟件的最大好處是免費(fèi)，客戶不必為開源軟件組件付費(fèi)。然而，開發(fā)組織和客戶都應(yīng)當(dāng)關(guān)注使用的開源軟件組件的許可條款與條件。B.有許多類型的開源軟件許可證，并且各自都有不同的條款和條件。有些開源軟件允許自由使用開源軟件組件，但要求完成的軟件產(chǎn)品也必須允許同樣的權(quán)利。這被稱為“病毒許可”。如果開發(fā)組織不注意，其產(chǎn)品可能因?yàn)殇N售產(chǎn)品謀利而侵犯許可條款。該信息系統(tǒng)審計(jì)師應(yīng)當(dāng)最關(guān)注開源軟件許可合規(guī)問題，以避免意想不到的知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)或法律后果。C.就像任何軟件代碼一樣，開源軟件應(yīng)當(dāng)接受安全漏洞測(cè)試，并且應(yīng)當(dāng)成為正常的系統(tǒng)開發(fā)生命周期（SDLC）流程的一部分。許可合規(guī)問題最值得關(guān)注。D.開源軟件并非天生質(zhì)量不高。就像任何軟件代碼一樣，它應(yīng)當(dāng)接受可靠性測(cè)試，并且應(yīng)當(dāng)成為正常的SDLC流程的一部分。許可合規(guī)問題最值得關(guān)注。A4-50某信息系統(tǒng)審計(jì)師在審查數(shù)據(jù)庫控制時(shí)發(fā)現(xiàn)，在正常工作時(shí)間內(nèi)對(duì)數(shù)據(jù)庫所做的變更是通過一套標(biāo)準(zhǔn)流程處理的。但是，在非正常工作時(shí)間，只須采用簡(jiǎn)單的幾步便可進(jìn)行變更。在這種情況下，可將以下哪項(xiàng)看作一套充分的補(bǔ)償性控制措施？[單選題]*A.只允許使用數(shù)據(jù)庫管理員（DBA）用戶賬戶進(jìn)行變更。B.在授予了普通用戶賬戶的訪問權(quán)限之后再對(duì)數(shù)據(jù)庫進(jìn)行變更。C.使用DBA用戶賬戶進(jìn)行變更，對(duì)變更進(jìn)行記錄并在第二天查閱變更日志。(正確答案)D.使用普通用戶賬戶進(jìn)行變更，對(duì)變更進(jìn)行記錄并在第二天查閱變更日志。答案解析：A.獲得賬戶訪問權(quán)限后，使用不進(jìn)行日志記錄的數(shù)據(jù)庫管理員（DBA）用戶賬戶即可對(duì)數(shù)據(jù)庫執(zhí)行不受限制的變更。B.普通用戶賬戶不能訪問數(shù)據(jù)庫。否則便是允許對(duì)任何數(shù)據(jù)庫進(jìn)行不受控制的變更。C.如果使用DBA用戶賬戶，通?？梢詫?duì)所有變更進(jìn)行記錄，并且最適合用在非正常工作時(shí)間做出的變更。日志則對(duì)變更進(jìn)行記錄，通過使用日志，可以查閱變更。使用簡(jiǎn)便步驟時(shí)，這就是一套充分的補(bǔ)償性控制。D.用戶應(yīng)無法進(jìn)行變更。日志記錄僅提供所做變更的相關(guān)信息，但不能限定這些變更都是由被授權(quán)者進(jìn)行的變更。A4-51對(duì)于信息系統(tǒng)審計(jì)師來說，執(zhí)行以下哪項(xiàng)測(cè)試能夠最有效地確定對(duì)組織變更控制流程的遵守情況？[單選題]*A.審查軟件遷移記錄，并對(duì)審批進(jìn)行核查。B.識(shí)別所做的變更，并對(duì)審批進(jìn)行核查。(正確答案)C.審查變更控制記錄，并對(duì)審批進(jìn)行核查。D.確保只有相關(guān)員工才能將變更遷移到生產(chǎn)中。答案解析：A.軟件遷移記錄可能沒有列出全部變更，可能有已經(jīng)做出的變更沒有包括在遷移記錄中。B.最有效的方法是確定做了哪些變更（檢查日志和修改日期），然后驗(yàn)證這些變更是否得到了批準(zhǔn)。C.變更控制記錄可能沒有列出全部變更。D.確保只有相關(guān)員工才能將變更遷移到生產(chǎn)中，這是關(guān)鍵的控制程序，但其本身并不會(huì)驗(yàn)證合規(guī)性。A4-52組織的災(zāi)難恢復(fù)計(jì)劃中包含互惠協(xié)議時(shí)，采用了以下哪項(xiàng)風(fēng)險(xiǎn)應(yīng)對(duì)方法？[單選題]*A.轉(zhuǎn)移。B.緩解。(正確答案)C.規(guī)避。D.接受。答案解析：A.風(fēng)險(xiǎn)轉(zhuǎn)移是指將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方（例如，為可能帶來風(fēng)險(xiǎn)的活動(dòng)購買保險(xiǎn)）。B.接受互惠協(xié)議是一種風(fēng)險(xiǎn)緩解措施，它是指兩家組織達(dá)成一致，在出現(xiàn)災(zāi)難時(shí)相互提供計(jì)算資源。如果兩家組織的信息處理設(shè)施類似，這種合作形式往往非常有效。因?yàn)榛セ輩f(xié)議的期望效果是擁有有效的災(zāi)難恢復(fù)計(jì)劃，所以它是一種風(fēng)險(xiǎn)緩解策略。C.風(fēng)險(xiǎn)規(guī)避是指決定停止帶來風(fēng)險(xiǎn)的業(yè)務(wù)或活動(dòng)。例如，一家公司為避免信用卡信息泄露的風(fēng)險(xiǎn)而停止接受信用卡付款。D.當(dāng)一家組織決定接受風(fēng)險(xiǎn)的現(xiàn)狀而不做任何緩解或轉(zhuǎn)移風(fēng)險(xiǎn)的事情，即是風(fēng)險(xiǎn)接受。A4-53編程人員為了改變數(shù)據(jù)而惡意修改了生產(chǎn)程序，隨后又重新恢復(fù)為原始代碼。下列哪一項(xiàng)能夠最有效地檢測(cè)此惡意行為？[單選題]*A.比較源代碼。B.審查系統(tǒng)日志文件。(正確答案)C.比較目標(biāo)代碼。D.審查可執(zhí)行代碼和源代碼的完整性。答案解析：A.比較源代碼是無效的，因?yàn)樵汲绦蛞训玫交謴?fù)，并且修改后的程序已不存在。B.審查系統(tǒng)日志文件是唯一的跟蹤方式，可以獲得有關(guān)生產(chǎn)庫中未經(jīng)授權(quán)活動(dòng)的信息。C.比較目標(biāo)代碼是無效的，因?yàn)樵汲绦蛞训玫交謴?fù)，并且修改后的程序已不存在。D.審查可執(zhí)行代碼和源代碼的完整性不是一種有效的控制，因?yàn)樵创a被改回了原始的樣子且與當(dāng)前可執(zhí)行代碼一致。A4-54一位信息系統(tǒng)審計(jì)師正在審查某組織的災(zāi)難恢復(fù)情況。在這次災(zāi)難中，并非恢復(fù)業(yè)務(wù)運(yùn)營(yíng)所需的所有關(guān)鍵數(shù)據(jù)都得到了保留。這是因?yàn)殄e(cuò)誤定義了以下哪個(gè)選項(xiàng)？[單選題]*A.中斷時(shí)限。B.恢復(fù)時(shí)間目標(biāo)。C.服務(wù)交付目標(biāo)。D.恢復(fù)點(diǎn)目標(biāo)。(正確答案)答案解析：A.中斷時(shí)限是指組織從故障發(fā)生到關(guān)鍵服務(wù)/應(yīng)用程序恢復(fù)這段時(shí)間內(nèi)不能維持運(yùn)作的時(shí)長(zhǎng)。B.恢復(fù)時(shí)間目標(biāo)是根據(jù)運(yùn)營(yíng)中斷情況下可接受的停機(jī)時(shí)間確定的。C.服務(wù)交付目標(biāo)（SDO）與業(yè)務(wù)需求直接相關(guān)。SDO是恢復(fù)正常狀況之前，在備用流程模式期間要達(dá)到的服務(wù)水平。D.恢復(fù)點(diǎn)目標(biāo)（RPO）是根據(jù)運(yùn)營(yíng)中斷時(shí)可接受的數(shù)據(jù)丟失量確定的。RPO定義一個(gè)時(shí)間點(diǎn)，在此點(diǎn)之后需要開始恢復(fù)數(shù)據(jù)并按時(shí)間量化中斷時(shí)所允許的數(shù)據(jù)損失量。A4-55IT經(jīng)理對(duì)技術(shù)能力進(jìn)行監(jiān)控的主要好處是：[單選題]*A.識(shí)別新硬件和存儲(chǔ)購置的需要。B.根據(jù)使用量確定未來的能力需求。C.保證服務(wù)水平要求得到滿足。(正確答案)D.保證系統(tǒng)以最佳能力運(yùn)行。答案解析：A.這是監(jiān)控技術(shù)能力的好處之一，因?yàn)槟軌驇椭A(yù)測(cè)未來需求，而不僅僅是對(duì)系統(tǒng)故障做出反應(yīng)。但I(xiàn)T經(jīng)理的主要責(zé)任是滿足總體要求，以保證IT滿足企業(yè)的服務(wù)水平預(yù)期。B.確定未來能力是技術(shù)能力監(jiān)控的一個(gè)明確的好處。C.能力監(jiān)控有多個(gè)目標(biāo)，但主要的目標(biāo)是保證符合業(yè)務(wù)和IT之間的內(nèi)部服務(wù)水平協(xié)議。D.IT管理人員對(duì)保證系統(tǒng)以最佳能力運(yùn)行很感興趣，但他們的主要義務(wù)是保證IT滿足企業(yè)的服務(wù)水平要求。A4-56信息系統(tǒng)審計(jì)師在審查組織的災(zāi)難恢復(fù)計(jì)劃時(shí)，應(yīng)首先驗(yàn)證該計(jì)劃是否：[單選題]*A.每隔半年測(cè)試一次。B.定期進(jìn)行重檢和更新。(正確答案)C.經(jīng)過首席執(zhí)行官批準(zhǔn)。D.傳達(dá)到了組織中所有部門的負(fù)責(zé)人。答案解析：A.必須定期對(duì)該計(jì)劃進(jìn)行測(cè)試，但測(cè)試間隔還要取決于組織性質(zhì)、組織變化的多少以及信息系統(tǒng)的相對(duì)重要性。在不同情況下，合適的間隔可能是3個(gè)月，也可能是一年。B.應(yīng)該按合適的間隔對(duì)該計(jì)劃進(jìn)行重檢，具體取決于組織性質(zhì)以及系統(tǒng)和人員的更換速度。否則，計(jì)劃將過時(shí)，因而不再有效。C.雖然災(zāi)難恢復(fù)計(jì)劃應(yīng)該得到高級(jí)管理層批準(zhǔn)，但不一定要得到首席執(zhí)行官批準(zhǔn)，只要其他同樣適合或更適合的執(zhí)行官批準(zhǔn)即可。對(duì)于僅與信息系統(tǒng)相關(guān)的計(jì)劃，負(fù)責(zé)技術(shù)的執(zhí)行官也可以批準(zhǔn)此計(jì)劃。D.雖然業(yè)務(wù)連續(xù)性計(jì)劃可能傳播到整個(gè)組織，但信息系統(tǒng)災(zāi)難恢復(fù)計(jì)劃通常是技術(shù)文檔，僅與信息系統(tǒng)和傳訊人員有關(guān)。A4-57有幾種方法可用來確保電子通信連續(xù)性。通過分離的電纜或重復(fù)的電纜設(shè)施為流量進(jìn)行路由選擇的方法稱為：[單選題]*A.替代路由。B.多路由選擇。(正確答案)C.長(zhǎng)距離網(wǎng)絡(luò)多樣化。D.最后1英里（1英里≈1.6千米）電路保護(hù)。答案解析：A.替代路由是通過備用介質(zhì)（如銅質(zhì)電纜或光纖）對(duì)信息進(jìn)行路由選擇的方法。此方法涉及在正常網(wǎng)絡(luò)不可用時(shí)使用其他網(wǎng)絡(luò)、電路或端點(diǎn)。B.多路由選擇是通過分離的電纜設(shè)施或重復(fù)的電纜設(shè)施為流量進(jìn)行路由選擇的。這可以通過不同的和/或重復(fù)的電纜護(hù)套來實(shí)現(xiàn)。如果使用的是不同的電纜護(hù)套，則電纜可能位于同一導(dǎo)線管中，因此，可能受到該電纜所后援的電纜相同的中斷。雖然連接客戶駐地的入口和出口可能位于同一導(dǎo)線管中，但通信服務(wù)用戶可通過設(shè)置備用路徑來復(fù)制設(shè)施。用戶可以從當(dāng)?shù)剡\(yùn)營(yíng)商獲取多路由選擇和替代路由，包括雙入口設(shè)施。這種訪問很耗費(fèi)時(shí)間，成本也高。C.長(zhǎng)距離網(wǎng)絡(luò)多樣化是一種多樣化的長(zhǎng)途網(wǎng)絡(luò)，在主要的長(zhǎng)途運(yùn)營(yíng)商之間采用不同的數(shù)據(jù)包交換電路。這可確保在任何一家運(yùn)營(yíng)商出現(xiàn)網(wǎng)絡(luò)故障時(shí)，仍可正常進(jìn)行長(zhǎng)途訪問。D.最后1英里電路保護(hù)是以冗余方式將當(dāng)?shù)剡\(yùn)營(yíng)商T-1線路（歐洲為E-1）、微波和/或同軸電纜組合使用來訪問本地通信環(huán)路。這使得該設(shè)施在本地運(yùn)營(yíng)商發(fā)生通信災(zāi)難期間仍能夠訪問。此外，此方法還使用了備用本地運(yùn)營(yíng)商路由。A4-58為信息處理場(chǎng)所制定恢復(fù)流程的最佳依據(jù)是：[單選題]*A.恢復(fù)時(shí)間目標(biāo)。(正確答案)B.恢復(fù)點(diǎn)目標(biāo)。C.最大可容許的運(yùn)行中斷。D.信息安全政策。答案解析：A.恢復(fù)時(shí)間目標(biāo)（RTO）是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時(shí)間量。RTO是基于最大可容許的運(yùn)行中斷（MTO）和可用的恢復(fù)選項(xiàng)的期望恢復(fù)時(shí)間的。B.恢復(fù)點(diǎn)目標(biāo)（RPO）對(duì)給定數(shù)據(jù)的恢復(fù)策略影響最大。它是根據(jù)在發(fā)生運(yùn)營(yíng)中斷時(shí)可接受的數(shù)據(jù)損失確定的。RPO有效地量化了在發(fā)生運(yùn)營(yíng)中斷時(shí)允許的數(shù)據(jù)丟失量。C.MTO是在發(fā)生災(zāi)難后，恢復(fù)業(yè)務(wù)功能或資源所允許的時(shí)間量。它代表組織面臨崩潰威脅前服務(wù)必須被恢復(fù)的時(shí)間。D.信息安全政策并不涉及恢復(fù)流程。A4-59某信息系統(tǒng)審計(jì)師正在數(shù)據(jù)中心執(zhí)行審計(jì)，這時(shí)火警報(bào)警器突然響起。由于審計(jì)范圍包括災(zāi)難恢復(fù)，所以該審計(jì)師開始觀察數(shù)據(jù)中心員工對(duì)警報(bào)的響應(yīng)情況。此時(shí)對(duì)于數(shù)據(jù)中心的員工來說，以下哪項(xiàng)措施最重要？[單選題]*A.向當(dāng)?shù)叵啦块T通報(bào)火警情況。B.準(zhǔn)備啟動(dòng)消防系統(tǒng)。C.確保數(shù)據(jù)中心的所有人員均撤離現(xiàn)場(chǎng)。(正確答案)D.從數(shù)據(jù)中心轉(zhuǎn)移所有備份數(shù)據(jù)。答案解析：A.生命安全始終是第一要?jiǎng)?wù)，而向消防部門通報(bào)火警情況通常沒有必要，因?yàn)榇蠖鄶?shù)數(shù)據(jù)中心的火警警報(bào)器都被配置為自動(dòng)向當(dāng)?shù)叵啦块T報(bào)警。B.消防系統(tǒng)同樣設(shè)置為自動(dòng)操作，在人員尚未撤離的情況下啟動(dòng)該系統(tǒng)可能造成混亂和恐慌，導(dǎo)致人員受傷甚至死亡。在某些情況下可能需要手動(dòng)觸發(fā)該系統(tǒng)，但必須在數(shù)據(jù)中心的所有人員安全撤離之后進(jìn)行。C.緊急情況下，生命安全應(yīng)始終放在第一位。因此，最重要的事情是有序撤離所有現(xiàn)場(chǎng)人員。D.從數(shù)據(jù)中心轉(zhuǎn)移備份數(shù)據(jù)不是適當(dāng)之舉，因?yàn)檫@有可能延誤人員撤離。大多數(shù)公司都異地儲(chǔ)存了備份數(shù)據(jù)的副本，以便在發(fā)生此類災(zāi)難時(shí)降低數(shù)據(jù)損失的風(fēng)險(xiǎn)。A4-60某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，某公司的災(zāi)難恢復(fù)計(jì)劃（DRP）不包含托管在云端的某關(guān)鍵應(yīng)用。管理層答復(fù)稱，由云供應(yīng)商負(fù)責(zé)災(zāi)難恢復(fù)（DR）和DR相關(guān)測(cè)試。信息系統(tǒng)審計(jì)師應(yīng)采取的下一步行動(dòng)是什么？[單選題]*A.制訂云供應(yīng)商審計(jì)計(jì)劃。B.審查供應(yīng)商合同，以確定其DR能力。(正確答案)C.審查獨(dú)立審計(jì)師關(guān)于云供應(yīng)商的報(bào)告。D.從云供應(yīng)商處請(qǐng)求DRP副本。答案解析：A.審計(jì)云供應(yīng)商會(huì)有用，但這只在合同要求供應(yīng)商提供災(zāi)難恢復(fù)（DR）服務(wù)時(shí)才有用。B.只有在合同中清晰載明，并附帶定義明確的恢復(fù)時(shí)間目標(biāo)和恢復(fù)點(diǎn)目標(biāo)時(shí)，才能指望供應(yīng)商提供DR服務(wù)。若無合同約定，供應(yīng)商不必提供DR服務(wù)。C.可以審查認(rèn)證業(yè)務(wù)標(biāo)準(zhǔn)聲明第16號(hào)文件之類的獨(dú)立審計(jì)師DR能力報(bào)告，以核實(shí)供應(yīng)商的DR能力，但這只在供應(yīng)商須按合同提供DR服務(wù)時(shí)才有用。D.可以索要DRP副本以審查其充分性，但這只在供應(yīng)商須按合同提供DR服務(wù)時(shí)才有用。A4-61信息系統(tǒng)審計(jì)師正在對(duì)某金融機(jī)構(gòu)使用的災(zāi)難恢復(fù)熱備援中心執(zhí)行審查。以下哪一項(xiàng)是最值得關(guān)注的問題？[單選題]*A.系統(tǒng)管理員使用在熱備援中心永不過期的共享賬戶。B.未及時(shí)更新磁盤空間使用數(shù)據(jù)。(正確答案)C.熱備援中心的物理安全控制不如主站點(diǎn)穩(wěn)固。D.熱備援中心的服務(wù)器與主站點(diǎn)的服務(wù)器規(guī)格不同。答案解析：A.盡管安全管理員共享不過期的賬戶不是良好實(shí)踐，但在此場(chǎng)景下，磁盤空間不足的風(fēng)險(xiǎn)更大。B.如果不了解使用了多少磁盤空間，也就不知道在災(zāi)難恢復(fù)站點(diǎn)上需要多大空間，這會(huì)在出現(xiàn)災(zāi)難事件時(shí)造成重大問題。C.盡管物理安全控制很重要，應(yīng)該受到重視，但其重要性不及磁盤空間不足高。災(zāi)難恢復(fù)站點(diǎn)的具體物理特性可能需要不同的控制，這些控制可能看起來不如主站點(diǎn)穩(wěn)固，但是，此類風(fēng)險(xiǎn)可以通過政策和流程，或在需要時(shí)額外增加人員來加以解決。D.只要熱備援中心的服務(wù)器能夠運(yùn)行災(zāi)難恢復(fù)情況下需要的程序，則熱備援中心服務(wù)器精確性就不是主要風(fēng)險(xiǎn)。雖然我們需要確保軟件配置和設(shè)置與主站點(diǎn)服務(wù)器相符，但是在備用服務(wù)器功能稍遜的情況下，主站點(diǎn)為日常生產(chǎn)使用而配備更新、更強(qiáng)大的服務(wù)器也是很常見的。A4-62信息系統(tǒng)審計(jì)師在審查系統(tǒng)參數(shù)時(shí)，應(yīng)該主要考慮：[單選題]*A.參數(shù)設(shè)置滿足安全性和性能要求。(正確答案)B.變更已記錄到審計(jì)軌跡中并定期進(jìn)行了審查。C.變更經(jīng)過授權(quán)，并得到了相應(yīng)文檔的支持。D.限制對(duì)系統(tǒng)參數(shù)的訪問。答案解析：A.應(yīng)主要考慮在安全性與性能之間找到平衡點(diǎn)。將變更記錄到審計(jì)軌跡中并定期對(duì)其進(jìn)行審查，這屬于檢測(cè)性控制。但是，如果參數(shù)設(shè)置不符合業(yè)務(wù)規(guī)則，對(duì)變更進(jìn)行監(jiān)測(cè)可能也不是有效的控制措施。B.對(duì)變更進(jìn)行審查以確保其得到相應(yīng)文檔的支持，這也是一種檢測(cè)性控制。C.如果參數(shù)設(shè)置不正確，即使有相關(guān)的文檔并且對(duì)變更進(jìn)行了授權(quán)，也不會(huì)降低影響。D.通過限制對(duì)參數(shù)的訪問，可以確保只有授權(quán)人員能夠訪問參數(shù)。但是，如果參數(shù)設(shè)置不正確，限制訪問也會(huì)產(chǎn)生不利影響。A4-63配有電線、空調(diào)和地板，但沒有計(jì)算機(jī)或通信設(shè)備的異地信息處理場(chǎng)所被稱為：[單選題]*A.冷備援中心。(正確答案)B.溫備援中心。C.撥號(hào)站點(diǎn)。D.備份處理設(shè)施。答案解析：A.冷備援中心可以隨時(shí)接收設(shè)備，但不會(huì)提前提供任何所需的組件。B.溫備援中心屬于異地備份設(shè)施，僅進(jìn)行了局部配備，包括網(wǎng)絡(luò)連接和所選的外圍設(shè)備（如磁盤和磁帶單元、控制器和中央處理器），以運(yùn)行信息處理場(chǎng)所。C.撥號(hào)站點(diǎn)用于遠(yuǎn)程訪問，而不是異地信息處理。D.備份信息處理場(chǎng)所屬于完全開發(fā)的專用恢復(fù)站點(diǎn)，可以備份關(guān)鍵應(yīng)用程序。A4-64為組織優(yōu)化的災(zāi)難恢復(fù)計(jì)劃應(yīng)該：[單選題]*A.縮短恢復(fù)時(shí)間，降低恢復(fù)成本。(正確答案)B.延長(zhǎng)恢復(fù)時(shí)間，提高恢復(fù)成本。C.縮短恢復(fù)的持續(xù)時(shí)間，提高恢復(fù)成本。D.不影響恢復(fù)時(shí)間和成本。答案解析：A.災(zāi)難恢復(fù)計(jì)劃（DRP）的目標(biāo)之一是縮短災(zāi)難恢復(fù)的持續(xù)時(shí)間，降低恢復(fù)成本。B.DRP在災(zāi)難發(fā)生之前和之后，都會(huì)增加運(yùn)營(yíng)成本。C.DRP可以縮短恢復(fù)到正常運(yùn)營(yíng)的時(shí)間。D.DRP可降低因?yàn)?zāi)難引起的成本。A4-65某組織的財(cái)務(wù)系統(tǒng)的災(zāi)難恢復(fù)計(jì)劃規(guī)定，恢復(fù)點(diǎn)目標(biāo)為零，并且恢復(fù)時(shí)間目標(biāo)為72小時(shí)。下列哪一項(xiàng)是最具成本效益的解決方案？[單選題]*A.熱備援中心可在8小時(shí)內(nèi)投入使用，并對(duì)交易日志記錄進(jìn)行異步備份。B.對(duì)多個(gè)位置處的分布式數(shù)據(jù)庫系統(tǒng)進(jìn)行異步更新。C.對(duì)熱備援中心中的數(shù)據(jù)和備用系統(tǒng)進(jìn)行同步更新。D.對(duì)于可在48小時(shí)內(nèi)投入使用的溫備援中心，以遠(yuǎn)程方式同步復(fù)制其中的數(shù)據(jù)。(正確答案)答案解析：A.熱備援中心能夠滿足恢復(fù)時(shí)間目標(biāo)（RTO），但會(huì)產(chǎn)生高于必要的成本。B.對(duì)分布在各位置處的數(shù)據(jù)庫進(jìn)行異步更新并不符合恢復(fù)點(diǎn)目標(biāo)（RPO）的要求。C.對(duì)熱備援中心中的數(shù)據(jù)和備用系統(tǒng)進(jìn)行同步更新可以滿足RPO和RTO的要求，但其成本比溫備援中心解決方案昂貴。D.同步復(fù)制所存儲(chǔ)的數(shù)據(jù)可實(shí)現(xiàn)RPO目標(biāo)，可在48小時(shí)內(nèi)投入使用的溫備援中心可滿足RTO的要求。A4-66每天要處理數(shù)百萬筆交易的金融機(jī)構(gòu)有一臺(tái)中央通信處理器（交換機(jī)），用于連接到自動(dòng)提款機(jī)。以下哪項(xiàng)應(yīng)急計(jì)劃對(duì)該通信處理器最有利？[單選題]*A.與另一個(gè)組織簽訂互惠協(xié)議。B.在相同位置安裝備用處理器。C.在另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)安裝備用處理器。(正確答案)D.安裝雙工通信線路。答案解析：A.互惠協(xié)議將會(huì)使該機(jī)構(gòu)依賴其他組織，因而引起隱私權(quán)、競(jìng)爭(zhēng)和法規(guī)方面的問題。B.在相同位置安裝備用處理器可以解決設(shè)備問題，但是，如果故障是因環(huán)境（如斷電）引起的，這將不起作用。C.中央通信處理器不可用時(shí)，對(duì)銀行網(wǎng)絡(luò)的所有訪問都將中斷。這可由設(shè)備、電源或通信故障引起。在另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)安裝可用于備用處理的雙重處理器是最好的解決方案。D.僅當(dāng)故障因通信線路引起時(shí)，安裝雙工通信線路才有用。A4-67以下哪個(gè)選項(xiàng)能夠最好地證明組織災(zāi)難恢復(fù)能力就緒情況？[單選題]*A.有災(zāi)難恢復(fù)計(jì)劃（DRP）。B.有備用站點(diǎn)提供商的客戶參考。C.有維持DRP的流程。D.有測(cè)試及練習(xí)結(jié)果。(正確答案)答案解析：A.有計(jì)劃很重要，但計(jì)劃只能經(jīng)過測(cè)試才能認(rèn)為有效。B.客戶參考在選擇替代的站點(diǎn)提供商時(shí)可提供幫助，但不能保證計(jì)劃的有效性。C.災(zāi)難恢復(fù)計(jì)劃必須通過定期維護(hù)和復(fù)核日程表保持更新，但這不如測(cè)試重要。D.只有測(cè)試和練習(xí)才能證明計(jì)劃的適當(dāng)性，并為組織的災(zāi)難恢復(fù)能力就緒情況提供合理保證。A4-68一名信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，數(shù)據(jù)庫管理員（DBA）能夠訪問數(shù)據(jù)庫服務(wù)器上的日志位置，并且能夠從系統(tǒng)中清除日志。以下哪一項(xiàng)是確保DBA活動(dòng)能夠得到有效監(jiān)測(cè)的最佳審計(jì)建議？[單選題]*A.更改權(quán)限，以防DBA清除日志。B.將數(shù)據(jù)庫日志轉(zhuǎn)發(fā)到DBA沒有訪問權(quán)限的中央日志服務(wù)器。(正確答案)C.要求對(duì)數(shù)據(jù)庫的重要變更進(jìn)行審批。D.將數(shù)據(jù)庫日志備份到磁帶。答案解析：A.變更數(shù)據(jù)庫管理員（DBA）權(quán)限以防DBA清除日志也許不可行，并且不足以保護(hù)數(shù)據(jù)庫日志的可用性和完整性。B.為保護(hù)數(shù)據(jù)庫日志的可用性和完整性，最可行的辦法是將數(shù)據(jù)庫日志轉(zhuǎn)發(fā)到DBA沒有訪問權(quán)限的中央日志服務(wù)器。C.要求審批對(duì)數(shù)據(jù)庫的重要變更不足以保護(hù)數(shù)據(jù)庫日志的可用性和完整性。D.將數(shù)據(jù)庫日志備份到磁帶不足以保護(hù)數(shù)據(jù)庫日志的可用性和完整性。A4-69在審查一個(gè)關(guān)鍵的第三方應(yīng)用程序時(shí)，信息系統(tǒng)審計(jì)師最關(guān)心的是發(fā)現(xiàn)：[單選題]*A.保證系統(tǒng)充分移植性的程序不完備。B.系統(tǒng)的操作記錄不完整。C.替代服務(wù)商列表不足。D.軟件第三方托管協(xié)議不完備。(正確答案)答案解析：A.如果有確保系統(tǒng)得到開發(fā)以便可送至其他系統(tǒng)平臺(tái)的流程，將有助于確保系統(tǒng)在基礎(chǔ)設(shè)施發(fā)生變化時(shí)，仍能繼續(xù)運(yùn)行，而不會(huì)對(duì)業(yè)務(wù)流程造成影響。這不如軟件的可用性重要。B.操作記錄不完整是一種風(fēng)險(xiǎn)，但沒有軟件的可用性重要。C.盡管在供應(yīng)商停業(yè)時(shí)可以選擇備選服務(wù)提供商，但是能夠通過軟件第三方托管協(xié)議獲得源代碼更為重要。D.在協(xié)議中納入要求軟件代碼放于托管方的條款有助于確保在供應(yīng)商停業(yè)的情況下，客戶可以繼續(xù)使用軟件和/或得到技術(shù)支持。A4-70將主要信息處理場(chǎng)所中的硬件進(jìn)行更換后，業(yè)務(wù)連續(xù)性經(jīng)理應(yīng)該首先采取下列哪項(xiàng)行動(dòng)？[單選題]*A.檢驗(yàn)與熱備援中心的兼容性。B.審查實(shí)施報(bào)告。C.對(duì)災(zāi)難恢復(fù)計(jì)劃執(zhí)行瀏覽審查。D.更新信息技術(shù)資產(chǎn)清單。(正確答案)答案解析：A.在檢驗(yàn)新硬件與恢復(fù)站點(diǎn)兼容之前，業(yè)務(wù)連續(xù)性經(jīng)理應(yīng)更新業(yè)務(wù)連續(xù)性計(jì)劃中的所有設(shè)備和IT資產(chǎn)清單。B.實(shí)施報(bào)告對(duì)業(yè)務(wù)連續(xù)性經(jīng)理的價(jià)值有限，因?yàn)樵O(shè)備已經(jīng)安裝了。C.計(jì)劃的瀏覽審查只應(yīng)在資產(chǎn)清單更新后進(jìn)行。D.信息系統(tǒng)資產(chǎn)清單是業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)計(jì)劃的基本輸入信息，此類計(jì)劃必須根據(jù)IT基礎(chǔ)設(shè)施的變化隨時(shí)更新。A4-71在進(jìn)行災(zāi)難恢復(fù)審計(jì)時(shí)，信息系統(tǒng)審計(jì)師會(huì)認(rèn)為下列哪一項(xiàng)最需要進(jìn)行審查？[單選題]*A.簽訂某熱備援中心，并且該站點(diǎn)在需要時(shí)可用。B.具有現(xiàn)行業(yè)務(wù)連續(xù)性手冊(cè)。C.承保范圍得當(dāng)并且按時(shí)支付當(dāng)期保險(xiǎn)費(fèi)。D.及時(shí)備份數(shù)據(jù)并實(shí)施異地儲(chǔ)存。(正確答案)答案解析：A.熱備援中心很重要，但如果沒有它可以使用的備份數(shù)據(jù)則沒有用處。B.業(yè)務(wù)連續(xù)性手冊(cè)是有用的，但不是災(zāi)難恢復(fù)審計(jì)中最重要的。C.承保范圍應(yīng)足夠覆蓋成本，但不如有數(shù)據(jù)備份重要。D.如果沒有數(shù)據(jù)可處理，所有其他恢復(fù)工作都是徒勞的。在沒有計(jì)劃的情況下，如果沒有數(shù)據(jù)可處理，任何形式的恢復(fù)工作也都將是不切實(shí)際的。A4-72信息系統(tǒng)審計(jì)師應(yīng)當(dāng)審查以下哪一項(xiàng)，以確保服務(wù)器經(jīng)過最優(yōu)配置以支援處理要求？[單選題]*A.基準(zhǔn)指標(biāo)測(cè)試結(jié)果。B.服務(wù)器日志。C.故障報(bào)告。D.服務(wù)器利用的數(shù)據(jù)。(正確答案)答案解析：A.基準(zhǔn)指標(biāo)測(cè)試旨在利用標(biāo)準(zhǔn)化的衡量標(biāo)準(zhǔn)比較系統(tǒng)性能，然而，基準(zhǔn)指標(biāo)測(cè)試并不能提供最佳數(shù)據(jù)，以確保組織內(nèi)服務(wù)器的最理想配置。B.服務(wù)器日志包含顯示在服務(wù)器上所執(zhí)行的活動(dòng)的數(shù)據(jù)，但不包含確保服務(wù)器最理想配置所需要的數(shù)據(jù)。C.故障報(bào)告識(shí)別由于機(jī)器故障導(dǎo)致計(jì)算機(jī)無法正確運(yùn)轉(zhuǎn)的時(shí)間，但無助于確定最理想的服務(wù)器配置。D.監(jiān)測(cè)服務(wù)器利用情況能夠識(shí)別未得到充分利用的服務(wù)器，同時(shí)監(jiān)測(cè)服務(wù)器總體利用情況。未得到充分利用的服務(wù)器不能向業(yè)務(wù)提供最理想的成本效益。通過監(jiān)測(cè)服務(wù)器使用情況，IT管理層可以采取適當(dāng)措施提高利用率，并提供最有效的投資回報(bào)。A4-73以下哪項(xiàng)連續(xù)性計(jì)劃測(cè)試可模擬系統(tǒng)崩潰并使用實(shí)際資源，以便經(jīng)濟(jì)高效地獲得有關(guān)計(jì)劃有效性的證據(jù)？[單選題]*A.紙上測(cè)試。B.事后測(cè)試。C.準(zhǔn)備情況測(cè)試。(正確答案)D.瀏覽審查。答案解析：A.紙上測(cè)試是對(duì)整個(gè)計(jì)劃的瀏覽審查，這將涉及主要參與者，這些參與者將嘗試判斷出在特定類型的服務(wù)中斷時(shí)執(zhí)行計(jì)劃的過程中可能發(fā)生什么情況。紙上測(cè)試通常在準(zhǔn)備情況測(cè)試之前進(jìn)行。B.事后測(cè)試實(shí)際上只是一個(gè)測(cè)試階段，由一系列活動(dòng)組成，如所有資源返回恰當(dāng)位置、斷開設(shè)備連接、歸還人員并從第三方系統(tǒng)中刪除所有公司數(shù)據(jù)。C.準(zhǔn)備情況測(cè)試是完整測(cè)試的本地化版本，測(cè)試中會(huì)模擬系統(tǒng)崩潰并耗用資源。此測(cè)試應(yīng)定期針對(duì)計(jì)劃的不同方面執(zhí)行，且不失為一種逐步獲得計(jì)劃有效性方面證據(jù)的劃算方法，還可以通過此測(cè)試逐步改善計(jì)劃。D.瀏覽審查測(cè)試會(huì)涉及一種模擬的災(zāi)難情形，用以測(cè)試管理人員和普通員工的準(zhǔn)備情況以及對(duì)情形的了解程度，并非測(cè)試實(shí)際資源。A4-74為某航空公司的訂票系統(tǒng)設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）時(shí)，最適用于異地?cái)?shù)據(jù)轉(zhuǎn)移/備份的方法是：[單選題]*A.影子文件處理。(正確答案)B.電子遠(yuǎn)程磁帶保存。C.硬盤鏡像。D.熱備援中心配置。答案解析：A.在影子文件處理中，與文件完全相同的副本會(huì)保存在同一站點(diǎn)或遠(yuǎn)程站點(diǎn)，兩個(gè)文件將同時(shí)進(jìn)行處理。這種方法適用于關(guān)鍵數(shù)據(jù)文件，如航空公司訂票系統(tǒng)。B.電子遠(yuǎn)程磁帶保存是指通過電子的方式將數(shù)據(jù)轉(zhuǎn)移至直接訪問存儲(chǔ)設(shè)備、光盤或其他存儲(chǔ)介質(zhì)，銀行通常采用此方法。其實(shí)時(shí)性一般不如影子文件系統(tǒng)。C.如果主硬盤發(fā)生故障，硬盤鏡像可提供冗余。所有交易與操作在同一服務(wù)器的兩個(gè)硬盤上進(jìn)行。D.熱備援中心是備用站點(diǎn)，準(zhǔn)備在發(fā)生任何業(yè)務(wù)中斷的幾小時(shí)內(nèi)接管業(yè)務(wù)操作，這不屬于數(shù)據(jù)備份方法。A4-75下列哪一項(xiàng)是確定生產(chǎn)環(huán)境中各應(yīng)用系統(tǒng)重要性的最佳方法？[單選題]*A.會(huì)見應(yīng)用程序編程人員。B.執(zhí)行差距分析。C.審查最近的應(yīng)用程序?qū)徲?jì)工作。D.執(zhí)行業(yè)務(wù)影響分析。(正確答案)答案解析：A.會(huì)見應(yīng)用程序編程人員只能獲得與系統(tǒng)重要性相關(guān)的有限信息。B.差距分析與系統(tǒng)開發(fā)和項(xiàng)目管理有關(guān)，但不能確定應(yīng)用的重要性。C.審計(jì)中可能不包含所需信息，或者可能最近并未進(jìn)行過審計(jì)。D.通過業(yè)務(wù)影響分析（BIA）可了解每個(gè)應(yīng)用程序丟失后可能產(chǎn)生的影響。BIA是協(xié)同能夠準(zhǔn)確說明系統(tǒng)重要性及其對(duì)企業(yè)的重要性的企業(yè)代表一起執(zhí)行。A4-76代碼在生產(chǎn)發(fā)布時(shí)被錯(cuò)誤地移除，其后繞過正常的變更程序，被轉(zhuǎn)入生產(chǎn)環(huán)境。對(duì)執(zhí)行實(shí)施后審查的信息系統(tǒng)審計(jì)師而言，以下哪一項(xiàng)最值得關(guān)注？[單選題]*A.代碼在初步實(shí)施時(shí)被遺漏。B.變更未經(jīng)變更管理批準(zhǔn)。(正確答案)C.錯(cuò)誤在實(shí)施后審查過程中被發(fā)現(xiàn)。D.發(fā)布團(tuán)隊(duì)使用了相同的變更順序號(hào)。答案解析：A.盡管遺漏某個(gè)發(fā)布組件反映了流程缺陷，但更值得關(guān)注的是，遺漏的變更未經(jīng)管理層批準(zhǔn)即被引入生產(chǎn)環(huán)境。B.變更管理批準(zhǔn)可降低變更未經(jīng)授權(quán)即被引入生產(chǎn)環(huán)境的風(fēng)險(xiǎn)。未經(jīng)授權(quán)的變更可能導(dǎo)致系統(tǒng)中斷或欺詐。因此，務(wù)必確保每一次變更均得到適當(dāng)?shù)淖兏芾砼鷾?zhǔn)。C.多數(shù)發(fā)布/變更控制錯(cuò)誤都在實(shí)施后審查過程中被發(fā)現(xiàn)。更值得關(guān)注的是，變更在被發(fā)現(xiàn)后，未經(jīng)管理層批準(zhǔn)即被引入生產(chǎn)環(huán)境。D.使用相同的變更順序號(hào)與本案例無關(guān)。A4-77在什么情況下，可將實(shí)施熱備援中心作為恢復(fù)策略？[單選題]*A.停機(jī)容災(zāi)能力很低。(正確答案)B.恢復(fù)點(diǎn)目標(biāo)很高。C.恢復(fù)時(shí)間目標(biāo)很高。D.可容忍的最長(zhǎng)停機(jī)時(shí)間很長(zhǎng)。答案解析：A.停機(jī)容災(zāi)指的是IT設(shè)備無法使用時(shí)業(yè)務(wù)能夠得以維持的時(shí)間間隔。如果這一時(shí)間間隔很短，應(yīng)使用能在短時(shí)期內(nèi)實(shí)施的恢復(fù)策略，如熱備援中心。B.恢復(fù)點(diǎn)目標(biāo)（RPO）指的是數(shù)據(jù)恢復(fù)能夠進(jìn)行的最早時(shí)間點(diǎn)?；謴?fù)點(diǎn)目標(biāo)（RPO）很高意味著該流程會(huì)導(dǎo)致更大的數(shù)據(jù)損失。C.恢復(fù)時(shí)間目標(biāo)較高表示實(shí)施恢復(fù)策略時(shí)可用額外的時(shí)間，因此可以采用其他可行的備選恢復(fù)方案，如溫備援中心或冷備援中心。D.如果可容忍的最長(zhǎng)停機(jī)時(shí)間很長(zhǎng)，則溫或冷備援中心是更有成本效率的方案。A4-78下列哪種情況最適于將實(shí)施數(shù)據(jù)鏡像作為恢復(fù)策略？[單選題]*A.容災(zāi)能力很高。B.恢復(fù)時(shí)間目標(biāo)很高。C.恢復(fù)點(diǎn)目標(biāo)很低。(正確答案)D.恢復(fù)點(diǎn)目標(biāo)很高。答案解析：A.數(shù)據(jù)鏡像是一種數(shù)據(jù)恢復(fù)技術(shù)，而容災(zāi)解決的是業(yè)務(wù)中斷的可允許時(shí)間。B.恢復(fù)時(shí)間目標(biāo)（RTO）是一個(gè)容災(zāi)指標(biāo)。數(shù)據(jù)鏡像解決的是數(shù)據(jù)丟失，而非RTO。C.恢復(fù)點(diǎn)目標(biāo)（RPO）指明了保證數(shù)據(jù)恢復(fù)可能得以進(jìn)行的最近時(shí)間點(diǎn)。它決定了為使數(shù)據(jù)損失最小而必須備份數(shù)據(jù)的頻率。如果RPO低，則組織不希望丟失更多數(shù)據(jù)，而必須使用如數(shù)據(jù)鏡像這樣的流程來防止數(shù)據(jù)丟失。D.如果RPO很高，則可使用較為廉價(jià)的備份策略。數(shù)據(jù)鏡像不應(yīng)作為數(shù)據(jù)恢復(fù)策略予以實(shí)施。A4-79在制訂業(yè)務(wù)連續(xù)性計(jì)劃方面，以下哪一個(gè)利益相關(guān)方最重要？[單選題]*A.流程所有者。(正確答案)B.應(yīng)用程序所有者。C.董事會(huì)。D.IT管理層。答案解析：A.流程所有者對(duì)確定所需要的關(guān)鍵業(yè)務(wù)功能、恢復(fù)時(shí)間和資源至關(guān)重要。B.業(yè)務(wù)連續(xù)性計(jì)劃（BCP）關(guān)注的是業(yè)務(wù)流程的連續(xù)性，而應(yīng)用并不一定支持關(guān)鍵業(yè)務(wù)流程。C.董事會(huì)可以批準(zhǔn)計(jì)劃，但通常不制定BCP的細(xì)節(jié)。D.IT管理層將按業(yè)務(wù)流程所有者的定義，確定支持關(guān)鍵業(yè)務(wù)功能所需要的IT資源、服務(wù)器和基礎(chǔ)設(shè)施。A4-80在測(cè)試變更控制流程的設(shè)計(jì)有效性方面，以下哪種方式最有效且足夠可靠？[單選題]*A.測(cè)試變更請(qǐng)求的樣本總體。B.測(cè)試已授權(quán)變更的樣本。C.約談變更控制流程的負(fù)責(zé)人。D.對(duì)流程執(zhí)行端到端的瀏覽審查。(正確答案)答案解析：A.測(cè)試變更請(qǐng)求的樣本總體是對(duì)符合度和運(yùn)作有效性進(jìn)行的測(cè)試，旨在確保用戶提交正確的記錄/請(qǐng)求，它并不測(cè)試設(shè)計(jì)的有效性。B.測(cè)試已授權(quán)變更的樣本可能不能