国际注册内部审计师

典型试题

【例题】良好的计划可以帮助组织在处理中断之后恢复计算机操作。良好的灾难恢复计划应该确保（　）

A.备份／重启程序已嵌入作业流和程序中。

B.变更控制程序不会被操作人员所绕过。

C.对设备工作能力的变更计划与设计好的工作量相容。

D.与应用程序所有者达成服务级别的书面协议。

【答案】A

【解析】

A.正确。备份／重启程序是一个灾难恢复计划的构成要素。

B.不正确。设计灾难恢复计划时无需关心变更控制程序的有效性。

C.不正确。设计灾难恢复计划时无需关心设备能力的变更计划是否与设计好的工作量相容。

D.不正确。与应用程序所有者达成服务级别的书面协议虽然十分必要，但这与灾难恢复计划没有关系。

【例题】某公司的应用系统必须24小时工作。公司高级管理层和信息系统管理部门已经做了很大努力保证灾难恢复计划及时、有效。该公司灾难恢复计划的一个重要方面是保证（　）

A.组织和运营方面的变动在恢复计划中得到体现。

B.对系统的变更在投入生产前已得到全面的测试。

C.必要时管理人员能替代一线人员的工作。

D.能力计划可以准确预测系统负荷的改变。

【答案】A

【解析】

A.正确。公司组织和运营方面的变动可能导致原先的恢复计划失效，因此，这类变动必须在最新的恢复计划中得到体现。

B.不正确。对系统的变更当然要进行全面测试，但这超出了灾难恢复计划的目标范围。

C.不正确。恢复计划确实应考虑必要时如何替代一线工作人员，但通常不应由管理人员来充当。

D.不正确。考察能力计划的准确性超出了灾难恢复计划的目标范围。

【例题】在确定一个组织的灾难构成因素时，以下哪一项是必要的?（　）

A.风险分析。

B.文件和设备备份需求分析。

C.供应商供货协议分析。

D.应急设施合同分析。

【答案】A

【解析】

A.正确。风险分析确定各项风险的级别及可能导致该风险的因素。

B.不正确。文件和设备备份需求分析确定灾难发生后的恢复性需求。

C.不正确。供应商供货协议分析确定供货协议的合理性。

D.不正确。应急设施合同分板确定灾难发生后启动应急设施的可行性。

【例题】在对某组织的灾难恢复能力进行审计时，审计师可能认为以下哪一项是最严重的控制弱点?（　）

A.测试利用了恢复脚本。

B.热站合同有两年时间了。

C.备份介质被保存在现场。

D.每年只测试几个系统。

【答案】C

【解析】

A.不正确。对后续事件来说，使用脚本是常见的实务。

B.不正确。恢复合同不是经常更新的。

C.正确。没能在远离现场的地方保存备份介质是一项非常严重的控制弱点。

D.不正确。一般来说，有限的测试时间仅仅允许测试几个系统。

国际内审师考试经营分析和信息技术辅导应急计划 src="http:///NewsFiles/2010-2/8/00a2.jpg" border=0>

利用以下信息回答5-6题：

在对某全国性抵押贷款服务公司数据中心的年度检查中，内部审计经理注意到该数据中心缺乏足够的应付突发事件的方案。该审计经理尤其关注的是：数据中心邻近一条会偶发大水的河流，又邻近一条主干铁路和高速公路。

【例题】由于公司邻近河流，洪水泛滥时，即使洪水不会淹到数据中心，公司仍会遭受哪方面的风险?（　）

A.顾客可能会拒绝与公司做生意。

B.贵重设备可能需要更换。

C.雇员可能无法提交工作报告。

D.许多顾客可能无法按时付款。

【答案】C

【解析】

A.不正确。只要公司仍能提供有效的抵押贷款服务，顾客没有理由会拒绝与公司做生意。

B.不正确。贵重设备通常集中在数据中心，既然洪水没有淹到数据中心，其贵重设备当然也无需更换。

C.正确。洪水可能导致道路中断，公司雇员本人、家人或财产受到损害等，以致雇员无法提交工作报告

D.不正确。作为一个顾客遍布各地的全国性抵押贷款服务公司，其顾客的付款行为应是在顾客所在地进行，因此尽管受洪水影响区域的部分顾客可能无法按时付款，但大多数顾客的付款并不会受影响。

【例题】管理层按照内部审计师的建议，准备了一份应付突发事件的计划。这份计划的最关键部分是提供（　）

A.监控恢复过程中的欺诈和滥用行为。

B.继续抵押业务。

C.信息资产的安全与控制。

D.最大程度地降低恢复期间的费用

【答案】B

【解析】

A.不正确。监控恢复过程中的欺诈和滥用行为应该是计划的一个重要方面，但相比之下，保证抵押业务的正常进行更为关键。

B.正确。该计划的主要目标应该是保持抵押业务的连续性，因为这关系到企业的商业信誉和长远利益，是企业的生命线。

C.不正确。信息资产的安全与控制在任何时候都很重要，但在应付突发事件的计划中，其首要目标应是保证业务不间断。

D.不正确。计划当然应考虑如何最大程度地降低恢复期间的费用，但费用的节省不能以中断业务为代价。

【例题】在对工厂材料存货系统的降型化方案进行评估时，信息中心工作人员认为应该使用廉价冗余磁盘阵列（RAID）来存放存货数据库。使用RAID技术的目的是保证（　）

A.如果一个驱动器发生故障，其所有的数据仍然可以被重构出来。

B.所有数据在驱动器之间均匀分配。

C.所有交易的前期、后期数据都被保留。

D.将写入时间降至最少以避免并发写冲突。

【答案】A

【解析】

A.正确。当冗余磁盘阵列（RAID）的某个驱动器发生故障时，可以从其它非故障磁盘中重构出故障盘中的数据。

B.不正确。RAID中的数据在各驱动器之间不一定均匀分配。

C.不正确。RAID中并不保留交易的前期、后期数据。

D.不正确。RAID盘由于是多盘同时操作，确实可以在一定程度上降低写入时间，但不能避免并发写冲突。

【例题】虽然管理层要求严格遵守有关制度，但是在紧急情况下测试库程序还是被用于企业运营。在紧急情况下使用测试库程序的风险是（　）

A.准备测试库程序的人员可能未被授予编写和修改程序的权限。

B.测试库程序可能未经进一步测试就永久投入运行。

C.测试库的完整性可能受到威胁。

D.操作人员可能对程序的输出不完全满意。

【答案】B

【解析】

A.不正确。测试库程序一旦投入企业运营，对其进行进一步的编写和修改应根据变更控制程序来完成，而不能由准备测试库程序的人员完成。

B.正确.在紧急情况下，测试库程序未经正常的变更控制程序而直接投入运行，就不能保证该测试库程序已经得到了充分的测试，从而可能留下大的隐患。

C.不正确。测试库投入实际运营不会影响到测试库的自身完整性。

D.不正确。对于一个在紧急情况下新投入运行的程序，操作人员可能对程序的输出不完全满意是正常的，只要没有发生数据错误，对输出结果可以通过正常的变更控制程序加以改进。

【例题】通过应用以下哪项措施可以最大程度地降低一个分布式信息技术系统完全停止运行的可能性?（　）

A.例外报告。

B.故障弱化保护。

C.备份和恢复。

D.数据文件安全性。

【答案】B

【解析】

A.不正确。例外报告可用来控制更新的准确性和及时性，但不能最大程度地降低系统中断带来的影响。

B.正确。某个点的计算机停止运行后，其他点的计算机仍可以继续运行的能力称为故障弱化保护，这是分布式系统的一个优势。

C.不正确。备份程序用来防止计算机故障后的恢复过程引入任何错误的改变。

D.不正确。数据文件安全性措施用来防止对数据文件的未经授权的修改。

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页