1. 为使管理层能够有效地监控工作流程和应用程序的一致性，下列哪种措施最为理想?

A. 中央文档库。

B. 知识管理系统。

C. 仪表板。

D. 准测试。

2. 下面哪项应包含在信息系统战略计划中？

A. 计划硬件采购规范。

B. 未来业务目标分析。

C. 开发项目的目标日期。

D. IT 部门的年度预算目标。

3. 下面哪种表述能最恰当地描述 IT 部门的战略规划过程?

A. 根据组织层面上较大范围的计划和目标，IT 部门既需要制订短期计划也需要制订长期计划。

B. IT 部门的战略计划应从时间和项目出发，但不必详细到可用于解决和帮助确定满足业务需求优先级别的程度。

C. IT 部门的长期规划应反映企业目标、技术优势和监管要求。

D. 无须将 IT 部门的短期规划纳入企业的短期计划，因为技术进步对 IT 部门计划变革的推动速度要比企业计划快得多。

4. 以下哪一项是企业数据安全官最重要的职责?

A. 建议和监控数据安全政策。

B. 在企业内提高安全意识。

C. 确立 IT 安全政策程序。

D. 管理物理和逻辑访问控制。

5. 以下哪一项被视为成功实施信息安全方案的最关键要素?

A. 有效的企业风险管理框架。

B. 高级管理层的承诺。

C. 充分的预算流程。

D. 严谨的方案规划。

6. 信息系统审计师 该 内容 由 中 审 网 校所属w ww. a u ditcn.com应确保 IT 治理绩效指标能够：

A. 评估 IT 监管委员会的活动。

B. 提供战略性IT推动因素。

C. 符合监管报告标准和定义。

D. 评估 IT 部门。

7. 下面哪项任务可以由控制良好的信息处理计算机中心中的同一名人员执行?

A. 安全管理和变更管理。

B. 计算机操作和系统开发。

C. 系统开发和变更管理。

D. 系统开发和系统维护。

8. 下面各项数据库管理（Database Administration, DBA）控制手段中哪一项最重要?

A. DBA 活动审批。

B. 访问权限授予 / 取消方面的职责分离。

C. 审查访问日志和活动。

D. 审查数据库工具的使用。

9. 当在线系统环境中无法实现完全的职责分离时，下面哪一项职能应与其他职能相分离?

A. 来源。

B. 授权。

C. 记录。

D. 纠正。

10. 在难以实现职责分离的小型企业中，由一名职员兼任计算机操作员和应用程序开发人员的职能。信息系统审计师 该 内容 由 中 审 网 校所属w ww. a u ditcn.com应推荐采取以下哪一项控制手段?

A. 自动记录对开发库的更改。

B. 安排额外员工提供 SoD。

C. 实施相关流程，确保仅执行经过批准的程序变更。

D. 设立访问控制以预防操作员修改程序。

参考答案

1.

A. 虽然中央文档贮存库拥有大量数据，但可能没有监控和确保合规性过程所需的特定信息。

B. 知识管理系统可提供有价值的信息，但管理层并不将其用于合适的目的。

C. 仪表板提供了一系列信息来说明流程、应用程序和可配置元素的合规性，并使企业向既定方向发展。

D. 基准检测过程提供的信息可帮助管理层根据趋势和环境及时对企业进行调整。

2.

A. 计划硬件采购规范不属于战略信息。

B. 信息系统战略计划必须考虑业务需要并能够满足未来的业务目标。可能会概述硬件采购规范，但不会具体制定；预算目标和开发项目也都不是正确的选项。

C. 开发项目的目标日期不属于战略信息。

D. IT 部门的年度预算目标不属于战略信息。

3.

A. 通常情况下，IT部门会制订同组织计划一致并与之整合的短期或长期计划。

B. 这些计划必须以时间和项目为导向，并且符合企业层面上为实现目标而制订的较大范围计划。

C. IT 部门的长期规划应反映企业目标、技术优势和监管要求。

D. IT 部门的短期规划应当整合到企业的短期计划之中，以便 IT 部门能够更加敏捷地响应符合企业目的和目标的技术进步需求。

4.

A. 数据安全专员的首要责任是对数据安全政策提出建议并对其进行监控。

B. 在企业内提高安全意识是数据安全官的职责之一。然而，其重要性不如建议和监控数据安全政策。

C. 为数据安全官建议的 IT 安全政策确立程序是 IT 部门（而不是数据安全官）的责任。

D. 管理物理和逻辑访问控制是 IT 部门（而不是数据安全官）的责任。

5.

A. 有效的企业风险管理框架不是信息安全方案取。得成功的关键因素。

B. 高级管理层的承诺是成功实施信息安全方案的基础。

C. 虽然有效的信息安全预算流程有助于成功，但是高级管理层的承诺才是关键要素。

D. 方案规划很重要，但是如果没有高级管理层的承诺还是不足以成功。

6.

A. 评估董事会和委员会提供监管的活动是治理的一个重要方面，应该对其进行衡量。

B. 提供战略性 IT 推动因素与 IT 治理绩效衡量指标评估无关。

C. 遵守监管报告标准和定义与 IT 治理绩效衡量指标评估无关。

D. 评估 IT 部门与 IT 治理绩效衡量指标评估无关。

7.

A. 安全管理和变更管理是不相容的两种职能。安全管理访问权限的级别可能允许在不为人察觉的情况下发生变更。

B. 计算机操作和系统开发是错误的选项，因为如果是这样，操作员就可能运行其修改过的程序。

C. 系统开发和变更控制的组合可能允许程序修改绕过变更控制审批。

D. 由同一个人执行系统开发和维护十分常见。在这两个任务中，编程人员都需要在开发环境中访问源代码，但在生产环境中不应允许其访问。

8.

A. 审批数据库管理活动不能预防冲突功能的组合。审查访问日志和活动属于检测性控制。

B. 职责分离可以预防将相互冲突的职能授予同一人。这属于预防性控制，同时也是最关键的 DBA 控制手段。

C. 如果没有正确批准 DBA 活动，那么审查访问日志和活动可能无法降低风险。

D. 审查数据库工具的使用也不能降低风险，因为这只是检测性控制，不能预防将相互冲突的职能授予同一人。

9.

A. 创建与记录和纠正相结合并不能使得交易在记录系统内获准处理和得到承诺。

B. 授权过程应该与记录保存的各项活动（创建、记录和纠正）分离。这种分离会提高检测未经授权交易记录的能力。

C. 记录与创建和纠正相结合并不能使交易获得处理授权并在记录系统内提交。

D. 纠正与创建和记录相结合并不能使交易获得处理授权并在记录系统内提交。

10.

A. 记录开发库的变更不能检测发现生产库的变更。

B. 在较小的企业中，通常无法招募额外职员来完成严格的职责分离。信息系统审计师 该 内容 由 中 审 网 校所属w ww. a u ditcn.com必须考虑替代方案。

C. 信息系统审计师 该 内容 由 中 审 网 校所属w ww. a u ditcn.com应该对生产资源和目标代码的更改的检测过程（如代码比较）提出建议，这样更改才可以由第三方定期审查。这属于补偿性控制流程。

D. 采取访问控制预防操作员修改程序并要求第三方来执行变更，这对小型企业而言不切实际。