在一个审计过程中，IS审计师注意到组织的业务持续计划（BCP）没有充分考虑到恢复过程的信息机密性。IS审计师应该建议修改计划，包括以下哪项？（）A、业务恢复时需要的信息安全水平B、信息安全的作用和危机管理架构的职责C、信息安全资源的需求。D、信息安全变更管理程序可能会影响业务持续准备工作

第1题：

在对一个全球性企业做灾难恢复计划的信息系统审计期间，审计师发现一些远程办公室有一些非常有限的当地IT资源。下列哪一项发现被信息系统审计师认为是最严重的？（）

• A、当从一个灾难或事件中恢复时，确保当地资源保持安全和质量标准的测试没有做
• B、公司业务持续计划没有被准确的记录远程办公室存在的系统
• C、公司安全措施没包含在测试计划中
• D、确保远程办公室的磁带备份可用性的测试没有做

第2题：

关于业务连续性战略，信息系统审计师在访谈组织中的关键利益相关者，以确定他们是否了解自己的角色和责任。信息系统审计师应该试图评价：（）

• A、清晰和简洁的业务连续性计划
• B、充分的业务连续性计划
• C、业务连续性计划的效益
• D、信息系统的能力和最终用户个人在紧急情况下有效的应对

第3题：

第4题：

信息安全管理中的灾难恢复计划应描述的内容包括（）

• A、灾难后信息系统恢复过程所需要的数据和资源
• B、灾难后信息系统恢复过程所需要的任务和行动计划
• C、A+B
• D、一份描述原信息系统配置清单的文件

第5题：

内部审计师在一次信息安全审计中发现，目前的灾难数据恢复计划是三年前开发的，但从未得到测试。自从该计划开发以来，各信息系统已发生重大变化。面对上述情况，内部审计师应该：（）

• A、审查该恢复计划并将审查发现的薄弱环节报告管理层
• B、将该事项写入审计报告
• C、对恢复计划作为审计工作进行跟踪
• D、建议董事会立即对恢复计划进行测试

第6题：

一位信息系统审计师在检查IT安全风险管理程序，安全风险的测量应该（）。

• A、列举所有的网络风险
• B、对应IT战略计划持续跟踪
• C、考虑整个IT环境
• D、识别对（信息系统）的弱点的容忍度的结果

第7题：

关于信息安全管理，说法错误的是（）

• A、信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动
• B、信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力
• C、实现信息安全，技术和产品是基础，管理是关键
• D、信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程

第8题：

第9题：

内部审计师应该为每项业务制订并记录一个计划。计划过程不应包括以下哪项？（）

• A、确立业务目标和工作范围。
• B、获取有关被审计活动的背景信息。
• C、确认充分的信息以实现业务目标。
• D、确定如何、何时以及向谁沟通业务结果。

第10题：

信息安全管理体系中的BCP指的是（）。

• A、灾难恢复计划
• B、系统扩容计划
• C、业务连续性计划
• D、系统安全性评估