1. 在相似的信息处理设施环境下，确定性能水平的最佳方法是下列哪一项？

A. 用户满意度。

B. 目标完成情况。

C. 基准检测。

D. 容量和发展规划。

2. 对于中断容忍度低且恢复成本巨大的关键任务系统，信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com原则上会推荐使用以下哪种恢复选项？

A. 移动站点。

B. 温备援中心

C. 冷备援中心。

D. 热备援中心。

3. 对于信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com来说，下列哪一项是用来测试程序变更管理流程最有效的方法？

A. 从系统生成的信息追踪到变更管理文件。

B. 检查变更管理文件以找到证据证明准确性。

C. 从变更管理文件追踪到系统生成的审计轨迹。

D. 检查变更管理文件以找到完整性的证据。

4. 下列哪一项会允许企业将其内联网通过互联网延伸至其业务伙伴？

A. 虚拟私有网络。

B. 客户端/服务器。

C. 拨号访问。

D. 网络服务提供商。

5. 根据软件应用（它是 IS 业务持续计划的一部分）的关键性进行的分类由以下哪项确定？

A. 业务性质及应用程序对业务的价值。

B. 应用程序的替换成本。

C. 供应商为应用程序提供的支持。

D. 应用程序的相关威胁和漏洞。

6. 当执行客户端服务器数据库安全审计时，信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com最应该关注下列哪一项的可用性？

A. 系统实用程序。

B. 应用程序生成器。

C. 系统安全文档。

D. 访问存储的程序。

7. 当审查互联网通信网络时，信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com首先要检查：

A. 密码更改的有效性。

B. 客户端/服务器应用程序的架构。

C. 网络架构和设计。

D. 防火墙保护和代理服务器。

8. 信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com应该参与：

A. 观察灾难恢复计划的测试。

B. 制订 DRP。

C. 维护 DRP。

D. 审查供应商合同中的灾难恢复要求。

9. 在以下哪种情况下，应该将数据镜像作为恢复战略实施?

A. 恢复点目标很低。

B. RPO 很高。

C. 恢复时间目标很高。

D. 容灾能力很强。

10. 下列业务持续计划的哪个要素主要是由组织的 IT 部门负责?

A. 制订 BCP。

B. 选择和批准用于 BCP 的恢复战略。

C. 宣告灾难。

D. 灾难之后还原 IT 系统和数据。

参考答案

1.

A. 用户满意度是保证有效的信息处理操作满足用户要求的量度。

B. 目标完成情况可对性能和预定目标对比的有效性进行评估。

C. 基准检测提供了确定相似信息处理设施环境所提供性能水平的手段。

D. 由于组织内IT的重要性和技术的不断变革，容量和发展规划很有必要。

2.

A. 移动站点是特别设计的拖车，可以快速地将其运输到业务地点或备用站点，以提供就绪状态的信息处理设施。

B. 温备援中心经过部分配置，通常有网络连接和所选的外围设备（如磁盘、驱动器和控制器），但是没有主计算机。

C. 冷备援中心只有运行 IPF 的基本环境。冷备援中心可以接收设备，但是不会在需求未发生前在站点中提供任何组件。

D. 热备援中心可以在数小时之内（有时甚至可以在一小时之内）实现完全配置并做好运行准备。

3.

A. 当测试变更管理时，信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com应从系统产生的信息开始（包含模块上一次更新的日期和时间），并从那里追踪到授权变更的文件。

B. 同样，仅仅关注所检查文档的准确性不能确保实际记录了所有变更。

C. 反方向追踪可能存在漏检未记录变更的风险。

D. 同样地，仅仅关注所检查文档的完整性不能确保实际记录了所有变更。

4.

A. 虚拟私有网络技术允许外部伙伴使用公共网络作为传输或共享的专用网络，来安全地参与外联网。由于成本低，使用公共网络（互联网）作为传输工具是主要的方法。VPN 依靠隧道/封装技术，它们允许互联网协议承载多种不同的协议（如系统网络架构和互联网数据包交换）。

B. 客户端 / 服务器不能解决将网络延伸到业务伙伴的问题(客户端/服务器指通过网络通信连接的组织内的一组计算机，这里客户端是请求机而服务器是供应机)。

C. 企业使用拨号接入的方法延伸其内联网也许在技术上有可能，但这样做并不现实，或者不具备成本效益。

D. 网络服务供应商可以通过提供互联网服务为共享的专用网络提供服务，但其没有延伸组织的内联网。

5.

A. 关键性的分类由应用程序系统在支持组织策略中所扮演的角色确定。

B. 应用程序的更换成本不会反映应用程序对业务的相对价值。

C. 供应商支持不是确定关键性分类的相关因素。

D. 仅在应用程序对业务至关重要时，才会对相关威胁和漏洞进行评估。

6.

A. 系统工具可能允许对客户端服务器数据库中的数据做出未经授权的更改。在数据库安全审计中，对于这类实用程序的控制应该是信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com的主要关注点。

B. 应用程序生成器是客户端服务器技术一个内在的组成部分，而且 IS 审计师 该内容由中审 网 校 所 属w ww . aud it c n .com应该评估生成器访问数据库权限的控制而不是其可用性。

C. 安全文档应该限于获得授权的安全人员，但这不是主要关注点。

D. 访问存储的程序不是主要关注点。

7.

A. 对密码变更有效性的审查会作为实质性测试的一部分执行。

B. 了解网络架构和设计是确定各信息层以及各层之间访问架构（例如客户端 / 服务器应用程序）的起点。

C. 审计网络的第一步是了解网络结构和设计。了解网络架构和设计提供网络及其连接性的总体情况。

D. 了解网络架构和设计是确定各信息层以及各层之间访问架构（例如代理服务器和防火墙）的起点。

8.

A. 当测试灾难恢复计划以确保测试的恢复程序可以达到所需恢复目标且恢复程序快速有效时，信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com应该一直在场并酌情报告结果。

B. 信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com可能会参与计划制订的监督，但是不大可能参与实际的制定过程。

C. 同样，也可以执行计划维护程序的审计，但是信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com师通常不会负责实际维护。

D. 信息系统审计师 该内容由中审 网 校 所 属w ww . aud it c n .com可能会被要求针对供应商合同的各种要素提出意见，但是也并非总是如此。

9.

A. 恢复点目标指的是可接受的恢复数据的最早时间点。换句话说，RPO 指示的是所恢复数据的“年龄”,即数据是在多长时间以前备份或复制的。如果 RPO 非常低，如几分钟，这意味着组织无法承受丢失哪怕只是几分钟的数据。在这样的情况下，应该使用数据镜像（同步数据复制）作为恢复策略。

B. 如果 RPO 很高，如几小时，那就可以使用其他备份程序。

C. 恢复时间目标高意味着灾难中断 / 宣告之后并不立即需要 IT 系统，就是说可以稍后再恢复。

D. RTO 时间从灾难中断 / 宣告开始，其间业务可以容忍无法使用 IT 设施。如果 RTO 很高，可以使用较慢的恢复策略来恢复 IT 系统和设施。

10.

A. 组织的高级管理层主要负责监督制订组织的业务持续计划并对其结果负责。

B. 管理层还要对用作灾难恢复的策略进行选择和审批。

C. IT 可能参与宣告灾难，但不是主要的负责人。

D. 组织的 IT 部门主要负责发生灾难后在指定的时间框架内还原 IT 系统和数据。