国际注册内部审计师

• 第1页：应急计划相关知识

• 第2页：典型试题

E14　应急计划

14.1 Contingency Planning
应急计划
应急计划或业务持续性计划的目的是当组织及其信息系统在灾难事件发生时，能够减少或避免关键业务中断，保证组织生存且持续运营。应急计划应纳入企业IT总体规划，并成为企业风险管理框架的组成部分。
保证企业的业务持续性是最高管理层的职责，应急计划的制定不是某个人或某个部门的事情，必须组成一个团队，该团队及其领导人应具有足够的权威，能够和相关部门和人员进行充分的沟通。应定期对员工进行风险管理培训，并使每一个人明确其在业务持续性计划中所承担的角色和责任。
完整的应急计划实施包括业务影响分析和目标设定、运行分类和重要性分析、计划制定、计划测试和实施、检测：
◆ 业务影响分析（BIA）是制定应急计划的首发步骤，它对每一种可能影响企业正常运营的潜在风险，如火灾、洪水、飓风、系统崩溃、数据丢失、黑客攻击和恐怖袭击等事件发生的可能性及后果进行评估。
◆ 确定风险后，应根据不同业务可以承受的后果（如宕机时间、恢复成本）对业务进行分类和重要性分析，以此来制定不同类别业务的保护级别和恢复顺序。不同的组织拥有不同的业务分类和优先级，以下是一种可能的分类：
■ 关键（Critical）系统：远程通信和核心处理，如订单处理、开票和发运
■ 重要（Vital）系统：财务（应收／应付、总账）和客服。
■ 敏感（Sensititive）系统：薪资和终端用户数据。
■ 非关键（Noncritical）系统：人力资源、预算和采购。
◆ 制定计划：应急计划应该考虑到方方面面，如备份和恢复的技术手段、财产保险、人员角色和通信方式、恢复阶段的员工交通和生活设施等。以下是恢复计划中应包括的若干内容：
■ 简明介绍
■ 团队职责列表和紧急联系方式
■ 备份计划和异地备份的地点
■ 问题升级的流程
■ 行动计划，包括恢复的时间期限、恢复策略以及关于硬件、软件、网络和远程通信的分类计划
■ 保险文件
◆ 测试和实施计划： 计划有效性的最佳证据是对计划进行了成功的测试。最好的测试是在生产环境，并且拥有同等规模的业务量情况下完成的。有些业务系统可能无法进行全面的实战性测试，只能进行模拟中断测试和纸面上的串行测试，此时应精心设计测试环境，使之尽可能接近实际环境。
◆ 监测：最好的计划如果不进行更新也会过时，当组织的结构和运营发生改变时，灾难恢复计划必须随之改变，以保证恢复计划的及时、有效。
14.2 Backup & Recovery Technologies and Facilities
备份恢复技术和设施
故障弱化保护（fail—soft protection）是发生紧急故障时的第一道屏障，当系统发生自身故障时，故障弱化保护控制可将故障的影响限制在一定范围内，或仅导致系统性能的下降。故障弱化技术包括：
磁盘冗余磁盘阵列RAID：将多只容量较小的、相对廉价的硬盘驱动器进行有机组合，使其性能超过一只昂贵的大硬盘，并且当其中一块或几块硬盘发生故障时，只会降低读写速度而不会丢失数据。 RAID技术使用三种冗余技术：镜像、校验和条带集。
虚拟存储：存储虚拟化概念是将多个物理存储设备结合成一个逻辑虚拟存储设备的方法，存储虚拟化的好处是存储设备可以在无需中断系统的情况下调整。
服务器双机热备：两台服务器同时运行相同或不同的任务，当其中一台服务器故障时，另一台可以接管其关键任务，从而保证关键任务的不间断运行。
负载均衡／服务器集群：通过负载均衡，流量可以被动态分配到一组运行相同应用程序的服务器组中的不同服务器上，这样可以避免某台服务器过载，也可以确保在某一台服务器故障时，不会停机。
数据异地备份是防止系统故障或重大灾难时的数据保存手段，根据备份数据的产生方式可分为脱机和联机备份，根据备份数据的存放地点和防灾难级别可分为异楼备份（防火灾）、异城备份（防地震、洪水）、跨国备份（防战争）。
◆ 脱机异地备份：利用磁带机，定期对数据进行备份（全备份或增量备份）后通过物理手段送至存放地。
◆ 联机异地备份：通过网络进行联机实时备份。
■ 电子链接——通过电子线路自动传送数据备份和实现数据的自动恢复。
■ 远程日志——通过电子线路自动传送处理日志和实现数据的自动恢复（通过重新执行处理日志中记录的处理）。
信息设施异地冗余是防止系统故障或重大灾难时的信息设施恢复手段，以下是几类异地冗余信息设施或方法：
热站（Hot Site）：提供从机房环境、网络、主机、操作系统、数据库、通信等各方面的全部配置，灾难发生后，一般几个小时就可以使业务系统恢复运行。启用时，只需操作人员到位并安装应用程序、数据与文件即可运行。
温站（Warm Site）：只配备了部分设备，通常没有主机，只提供网络连接和一些外部设备（如：磁盘驱动器、磁带驱动与控制器、UPS设备等）。安装计算机或其他所缺少的设备可能要花几天时间。
冷站（Cold Site）：为降低成本，冷站只提供支持信息处理设施运行的基本环境（如电线、空调、场地等）。灾难发生时，所有设备都必须运送到站点上，要从基础设施开始安装，因此故障恢复时间可能会很长，可能要几周时间。
冗余信息处理设施：冗余信息处理设施是组织自己配备的、专用的恢复站点，用来对关键应用系统进行备份与恢复。
移动站点：移动站点是一种特别设计的拖车式计算设备，它可以快速地转移到业务部门或到恢复站点。
组织之间签订互惠协议：组织之间签订互惠协议是指具有相同设备与应用系统的两个组织或多个组织之间互相为对方建立备份的方法。

相关推荐：国际注册内审师考试《经营分析和信息技术》讲义汇总
新添考试应用：
①资讯订阅，查询最新考试信息②章节习题 海量套题全免费体验！！ 

• 第1页：应急计划相关知识

• 第2页：典型试题

典型试题
1.良好的计划可以帮助组织在处理中断之后恢复计算机操作。良好的灾难恢复计划应该确保
a.备份／重启程序已嵌入作业流和程序中。
b.变更控制程序不会被操作人员所绕过。
c.对设备工作能力的变更计划与设计好的工作量相容。
d.与应用程序所有者达成服务级别的书面协议。
『正确答案』a
『解题思路』
a.正确。备份／重启程序是一个灾难恢复计划的构成要素。
b.不正确。设计灾难恢复计划时无需关心变更控制程序的有效性。
c.不正确。设计灾难恢复计划时无需关心设备能力的变更计划是否与设计好的工作量相容。
d.不正确。与应用程序所有者达成服务级别的书面协议虽然十分必要，但这与灾难恢复计划没有关系。
2.某公司的应用系统必须24小时工作。公司高级管理层和信息系统管理部门已经做了很大努力保证灾难恢复计划及时、有效。该公司灾难恢复计划的一个重要方面是保证
a.组织和运营方面的变动在恢复计划中得到体现。
b.对系统的变更在投入生产前已得到全面的测试。
c.必要时管理人员能替代一线人员的工作。
d.能力计划可以准确预测系统负荷的改变。
『正确答案』a
『解题思路』
a.正确。公司组织和运营方面的变动可能导致原先的恢复计划失效，因此，这类变动必须在最新的恢复计划中得到体现。
b.不正确。对系统的变更当然要进行全面测试，但这超出了灾难恢复计划的目标范围。
c.不正确。恢复计划确实应考虑必要时如何替代一线工作人员，但通常不应由管理人员来充当。
d.不正确。考察能力计划的准确性超出了灾难恢复计划的目标范围。
3.在确定一个组织的灾难构成因素时，以下哪一项是必要的?
a.风险分析。
b.文件和设备备份需求分析。
c.供应商供货协议分析。
d.应急设施合同分析。
『正确答案』a
『解题思路』
a.正确。风险分析确定各项风险的级别及可能导致该风险的因素。
b.不正确。文件和设备备份需求分析确定灾难发生后的恢复性需求。
c.不正确。供应商供货协议分析确定供货协议的合理性。
d.不正确。应急设施合同分析确定灾难发生后启动应急设施的可行性。
4.在对某组织的灾难恢复能力进行审计时，审计师可能认为以下哪一项是最严重的控制弱点?
a.测试利用了恢复脚本。
b.热站合同有两年时间了。
c.备份介质被保存在现场。
d.每年只测试几个系统。
『正确答案』c
『解题思路』
a.不正确。对后续事件来说，使用脚本是常见的实务。
b.不正确。恢复合同不是经常更新的。
c.正确。没能在远离现场的地方保存备份介质是一项非常严重的控制弱点。
d.不正确。一般来说，有限的测试时间仅仅允许测试几个系统。
利用以下信息回答5-6题：
在对某全国性抵押贷款服务公司数据中心的年度检查中，内部审计经理注意到该数据中心缺乏足够的应付突发事件的方案。该审计经理尤其关注的是：数据中心邻近一条会偶发大水的河流，又邻近一条主干铁路和高速公路。
5.由于公司邻近河流，洪水泛滥时，即使洪水不会淹到数据中心，公司仍会遭受哪方面的风险?
a.顾客可能会拒绝与公司做生意。
b.贵重设备可能需要更换。
c.雇员可能无法提交工作报告。
d.许多顾客可能无法按时付款。
『正确答案』c
『解题思路』
a.不正确。只要公司仍能提供有效的抵押贷款服务，顾客没有理由会拒绝与公司做生意。
b.不正确。贵重设备通常集中在数据中心，既然洪水没有淹到数据中心，其贵重设备当然也无需更换。
c.正确。洪水可能导致道路中断，公司雇员本人、家人或财产受到损害等，以致雇员无法提交工作报告。
d.不正确。作为一个顾客遍布各地的全国性抵押贷款服务公司，其顾客的付款行为应是在顾客所在地进行，因此尽管受洪水影响区域的部分顾客可能无法按时付款，但大多数顾客的付款并不会受影响。
6.管理层按照内部审计师的建议，准备了一份应付突发事件的计划。这份计划的最关键部分是提供
a.监控恢复过程中的欺诈和滥用行为。
b.继续抵押业务。
c.信息资产的安全与控制。
d.最大程度地降低恢复期间的费用。
『正确答案』b
『解题思路』
a.不正确。监控恢复过程中的欺诈和滥用行为应该是计划的一个重要方面，但相比之下，保证抵押业务的正常进行更为关键。
b.正确。该计划的主要目标应该是保持抵押业务的连续性，因为这关系到企业的商业信誉和长远利益，是企业的生命线。
c.不正确。信息资产的安全与控制在任何时候都很重要，但在应付突发事件的计划中，其首要目标应是保证业务不间断。
d.不正确。计划当然应考虑如何最大程度地降低恢复期间的费用，但费用的节省不能以中断业务为代价。
7.在对工厂材料存货系统的降型化方案进行评估时，信息中心工作人员认为应该使用廉价冗余磁盘阵列（RAID）来存放存货数据库。使用RAID技术的目的是保证
a.如果一个驱动器发生故障，其所有的数据仍然可以被重构出来。
b.所有数据在驱动器之间均匀分配。
c.所有交易的前期、后期数据都被保留。
d.将写入时间降至最少以避免并发写冲突。
『正确答案』a
『解题思路』
a.正确。当冗余磁盘阵列（RAID）的某个驱动器发生故障时，可以从其它非故障磁盘中重构出故障盘中的数据。
b.不正确。RAID中的数据在各驱动器之间不一定均匀分配。
c.不正确。RAID中并不保留交易的前期、后期数据。
d.不正确。RAID盘由于是多盘同时操作，确实可以在一定程度上降低写入时间，但不能避免并发写冲突。
8.虽然管理层要求严格遵守有关制度，但是在紧急情况下测试库程序还是被用于企业运营。在紧急情况下使用测试库程序的风险是
a.准备测试库程序的人员可能未被授予编写和修改程序的权限。
b.测试库程序可能未经进一步测试就永久投入运行。
c.测试库的完整性可能受到威胁。
d.操作人员可能对程序的输出不完全满意。
『正确答案』b
『解题思路』
a.不正确。测试库程序一旦投入企业运营，对其进行进一步的编写和修改应根据变更控制程序来完成，而不能由准备测试库程序的人员完成。
b.正确。在紧急情况下，测试库程序未经正常的变更控制程序而直接投入运行，就不能保证该测试库程序已经得到了充分的测试，从而可能留下大的隐患。
c.不正确。测试库投入实际运营不会影响到测试库的自身完整性。
d.不正确。对于一个在紧急情况下新投入运行的程序，操作人员可能对程序的输出不完全满意是正常的，只要没有发生数据错误，对输出结果可以通过正常的变更控制程序加以改进。
9.通过应用以下哪项措施可以最大程度地降低一个分布式信息技术系统完全停止运行的可能性?
a.例外报告。
b.故障弱化保护。
c.备份和恢复。
d.数据文件安全性。
『正确答案』b
『解题思路』
a.不正确。例外报告可用来控制更新的准确性和及时性，但不能最大程度地降低系统中断带来的影响。
b.正确。某个点的计算机停止运行后，其他点的计算机仍可以继续运行的能力称为故障弱化保护，这是分布式系统的一个优势。
c.不正确。备份程序用来防止计算机故障后的恢复过程引入任何错误的改变。
d.不正确。数据文件安全性措施用来防止对数据文件的未经授权的修改。
10.某大型财产保险公司设有多处区域中心供顾客电话索赔。虽然各区域中心并不处于自然灾害易发区，公司仍需要有灾难恢复计划，以便在灾难发生或扩大时保持及时回应顾客要求的能力。保持这种能力的最好的方案是在灾难发生时将顾客的电话转发至：
a.复制了该区域中心设施的冷站点。
b. 复制了该区域中心设施的热站点
c.第三方服务中心
d.未受到灾害影响的其他区域中心
『正确答案』d
『解题思路』
a.不正确。冷站点投入较大，而且没有响应的设备、软件和服务人员，可能难以实现保持及时回应顾客要求的目标。
b.不正确。热站点投入更大，而且仍然没有配备服务人员。
c.不正确。第三方服务中心并没有专门针对该公司业务的训练有素的服务人员，如将区域中心的人员全部转至第三方服务中心，则人员开销将十分昂贵。
d.正确。将业务转至未受到灾害影响的其他区域中心名具有投入最小，顾客能得到熟练的服务，而且公司应对事件的自行控制能力强等多项优势。

相关推荐：国际注册内审师考试《经营分析和信息技术》讲义汇总
新添考试应用：
①资讯订阅，查询最新考试信息②章节习题 海量套题全免费体验！！ 

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页