内部审计师在一次信息安全审计中发现，目前的灾难数据恢复计划是三年前开发的，但从未得到测试。自从该计划开发以来，各信息系统已发生重大变化。面对上述情况，内部审计师应该：（）A、审查该恢复计划并将审查发现的薄弱环节报告管理层B、将该事项写入审计报告C、对恢复计划作为审计工作进行跟踪D、建议董事会立即对恢复计划进行测试

第1题：

第2题：

在评估一个重要业务范围的灾难恢复计划，信息系统审计员发现它并没有涵盖所有系统。下列哪个选项是审计员最正确的行为？（）

• A、通知管理层并评估没有涵盖所有系统的影响
• B、取消审计
• C、根据已存的灾难恢复计划完成系统审计
• D、延后审计知道所有的系统都被包含到灾难恢复计划中

第3题：

第4题：

对于一个灾难恢复计划，一个IS审计师的任务应包括？（）

• A、确定关键的应用
• B、在恢复测试中确定外部服务提供商
• C、观测灾难恢复计划的测试
• D、确定建立恢复时间目标（RTO）的标准

第5题：

在一个审计过程中，IS审计师注意到组织的业务持续计划（BCP）没有充分考虑到恢复过程的信息机密性。IS审计师应该建议修改计划，包括以下哪项？（）

• A、业务恢复时需要的信息安全水平
• B、信息安全的作用和危机管理架构的职责
• C、信息安全资源的需求。
• D、信息安全变更管理程序可能会影响业务持续准备工作

第6题：

在对一个全球性企业做灾难恢复计划的信息系统审计期间，审计师发现一些远程办公室有一些非常有限的当地IT资源。下列哪一项发现被信息系统审计师认为是最严重的？（）

• A、当从一个灾难或事件中恢复时，确保当地资源保持安全和质量标准的测试没有做
• B、公司业务持续计划没有被准确的记录远程办公室存在的系统
• C、公司安全措施没包含在测试计划中
• D、确保远程办公室的磁带备份可用性的测试没有做

第7题：

一个信息系统审计师在评审组织从一场没有留下任何关键数据的灾难中恢复，下列哪个指标是被错误的定义的？（）

• A、中断窗口
• B、恢复时间目标
• C、提供服务的目标
• D、恢复点目标（RPO）

第8题：

第9题：

一个信息系统审计师正在审评该公司的灾难恢复（DR）战略的变更。信息系统审计师注意到国内公司应用关键的恢复点的目标（RPO）缩短了。这种变更最重要的风险是？（）

• A、现有灾难恢复计划没有更新到实现新的RPO
• B、在DR团队在新的RPO下接受过培训
• C、缺乏充足的备份以实现新的RPO
• D、新的RPO下的计划未经过测试

第10题：

在确定某公司灾难恢复计划的适当性时，最有可能生成相关证据的审计工作应当注重于（）。

• A、该计划关于设备、运行、通信、安全和数据处理的完整性
• B、在灾难事件中所需替代设备清单的充分性
• C、该计划是否在计划或者开发阶段
• D、内部审计部门在开发和测试该计划中的角色