2.Governance and Management of IT(17%) Flashcards
1."IT控制目标对信息系统审计师是有用的,因为他们提供了对于下列哪项的基础: A.实施具体的控制程序的期望结果 B.对特定实体最好的IT安全控制措施 C.安全信息技术 D.安全策略"
A 一个IT控制目标是,在一个特定的IT活动中通过实施控制程序达到预期的结果或目标的声明定义。控制目标为实施控制提供了实际目标,这个方法未必是最佳的做法。技术是实现一个目标的手段,而安全策略是控制目标的子集。
2."一位IS审计师正在审查意向合同管理流程,以确定一家参与关键业务应用程序的软件供应商是否具备应有的财务实力。IS审计师应确定考察的供应商是否: A.能够按照短期合同进行交付 B.具备与组织同等的财务状况 C.有很重的财务负担,可能会殃及组织 D.能够为组织提供长期支持"
D 供应商的长期财务实力对于为组织带来最大价值是十分必要的—财务稳健的供应商能够成为长期的业务合作伙伴。为企业提供支持的组织,其实力不应局限于合同执行期内。财务评估目标不应限定在短期合同以内,而是应该在长期基础上提供保障。供应商的具体财务状况不是主要的考察对象。
3."企业在公司内部建立了数据中心,但将它的主要财务应用系统的管理外包给其他公司。要确保外包公司的员工是否遵守公司的安全策略,下面那一项控制是最好的? A.要求所有用户在合公司的安全策略上签字表示保证遵守。 B.在与服务商签订的外包合同中规定赔偿的条款。 C.对所有用户实施强制性的安全意识培训。 D.应该由第三方用户修改安全策略,满足其合规性"
B 让服务供应商签署赔偿条款能确保符合企业的安全策略,因为只要发现任何违规行为,都将导致服务供应商承担财务(经济)责任。这也促使企业去监控违规行为。选项A和C也是不错的实践,但是这把遵守责任的义务放在了单个用户身上。选项D不确保用户遵守策略,除非很好的和用户沟通过策略并且提供了安全意识培训。
4."在审查与外部IT服务提供商签订的服务级别协议(SLA)时,IS审计师应考虑的最重要问题是以下哪一项 A.支付条款 B.正常运营时间保证 C.赔偿条款 D.默认解决方法"
B SLA最重要的一条就是可度量的绩效条款,如正常运行时间协议。尽管支付条款、赔偿条款和违约解决条款都很重要,但这几项通常都包含在主协议中,而不是SLA中。
5."审计师发现某企业将软件开发工作外包给一个刚成立的第三方公司。要么确保企业的软件投资得到保护,审计师应该提出哪一个建议? A.应对软件供应商实施尽职调查 B.应对软件供应商设施实施季度审计 C.应签署源代码第三方托管协议 D.应在合同中包含一个高额的违约罚金条款"
C 签署源代码第三方托管协议是一个能保护企业在软件中投资的主要建议,因为这样源代码由科信的第三方托管,即使此第三方倒闭或者软件公司倒闭的话,仍然可以收回源代码。审慎尽责、季度性的审查供应商的设施以及合同中包含赔偿条款都是好的实践,不过他们并不确保源代码的可用性。
6."下列情况适用于软件托管协议? A.系统管理员需要访问软件,以便从灾难中恢复 B.用户请求重新在一块换过的硬盘上加载软件 C.定制化编写的软件供应商停业 D.IT审计师需要访问由组织编写的软件代码"
C 托管是一个软件供应商和客户之间的软件,以保证访问源代码的法律协议。应用的程序源代码是一个信任的按合同办事的第三方提供。这项协议在软件供应商倒闭的事件中是必需的,与客户或软件供应商有合同纠纷而且没有作为一个软件许可协议中承诺的维持软件更新。其它选项是不正确的,因为访问的其他情形的软件应该由一个内部管理的软件库提供的。
7."在一次关于外包的可行性研究中,信息系统审计师对供应商的业务连续性计划(BCP)进行评审是为了: A.评估供应商是否能够连续的提供充足服务的水平 B.评估服务商财务稳定并有能力执行合同 C.评审供应商的工作人员的经验 D.测试BCP"
A 一个外包环境中,成功的关键因素是供应商面对突发事件的应急能力。选项BC是不正确的,因为他们既不是金融的稳定性也没有相关经验的供应商的BCP。选项D不正确,因为IS审计师不需要实质性测试评价BCP。
8."一个信息系统审计师审核IT设施的外包合同,预期它来定义 A.硬件配置 B.访问控制软件 C.知识产权的所有权 D.应用系统开发方法"
C 其中的选择,硬件配置和访问控制软件,一般与功能,可能性和安全性长期不相关都可能受影响,这是具体的合同义务。同样开发方法应该没有真正的关注,然而该合同必须指定拥有的知识产权所有权(即信息在处理处理中,应用程序)。知识产权所有权将有一个显著成本,在一个外包合同中规定是一个重要方面。
9."当一项服务被外包后,下列哪项功能对信息系统管理是最重要的? A.确保发票支付给供应商 B.参与到和供应商一起的系统设计中 C.重新谈判供应商的费用 D.监控外包商的绩效"
D 在一个外包环境,公司视服务供应商的表现而定。因此,关键是对外包供应商的表现进行监测,以确保交付给公司的服务符合要求。付款发票是一种融资功能,这将是每个合同都要求完成的。系统设计参与是一种监测外包供应商的业绩的副产品,而重新谈判的费用通常是一次性的活动。
10."为了降低成本,提高服务水平,外包商应寻求下列哪些合同条款? A.操作系统(OS)和硬件的更新频率 B.分享收益的绩效奖金 C.对违规的处罚 D.和可变成本指标挂钩的费用"
B 因为外包商将分享所取得的收益,绩效奖金为了这些超出合同的规定条款并且能够导致节约客户成本提供一个财务奖励。更新的频率和违规的罚则,只会鼓励外包商去达到最低要求。同样,试着收取变动成本指标不会鼓励外包商寻求可能有利于客户额外的效率。
11."当一个组织外包他们的信息安全功能时,以下哪一项应保留在该组织中不被外包? A.企业安全的问责制 B.企业安全策略定义 C.企业安全策略实施 D.安全程序和指导方针"
A 问责制不能转移到外部,但是选项AB和D可以通过外部实体进行,只要问责是保持在该组织内。
12."一个信息系统审计师被分配去审核IT架构和审查最近外包给不同供应商的活动。信息系统审计师应该首先解决哪一项? A.审计条文在所有合同条款中存在 B.每一项合同的服务水平协议(SLA)应当与适当的关键绩效指标(KPI)成立 C.供应商的合同保证支持开组织的业务需求 D.在合同终止时,支持是保证每个新的外包商"
C 由责任跟担保的复杂性和相互作用引起复杂的IT结构,可能会影响或丧失这些担保的有效性以及确定合理的业务需求,所以其他的选项很重要,但不是潜在的外包合同的责任和关键领域的各种互相作用的危险。
13."对于IT服务外包,一个信息系统审计师应当最为关注的是下列哪些? A.外包活动是组织提供差异化服务的核心优势 B.定期重新谈判卸载外包合同中 C.外包合同不能覆盖所需的一切行动 D.类似的活动外包给一个以上供应商"
A 一个组织的核心活动,一般不应外包。因为它们是组织能做的最好的事。信息系统审计师应指出予以关注信息系统审计师不应关注的其他情况,因为在外包合同中定期重新谈判是一个最好的规范做法。外包合同不能指望涵盖所有的行动和有关各方面预计的细节,而来源多样化是一个可以接受的方式来降低风险。
14."在进行一项服务供应商的审计中,信息系统审计师认为,一个服务提供商提供了一个外包的部分工作给另一个供应商。由于工作涉及机密信息,信息系统审计师主要关注的应该是: A.保护信息机密性的需求可能会大打折扣 B.可提前终止合同,因为外包商事先未获得批准 C.其它服务供应商为其工作,已经外包的不受审计 D.外包商会接触其它服务提供者直接的进一步开展工作"
A 许多国家已制定法规来保护保密的信息要保留在各自的国家和/或与其它国家交换。当服务供应商,其服务的一部分外包给其他服务提供商,有另一个潜在的风险,即信息的保密性将受到损害。选项B和C可关注,但都没有关系能确保信息的保密性。信息系统审计师没有什么理由会选择D。
15."作为辅助资产管理的最佳信息源,以下哪个是具有一定法律保障? A.安全事件摘要 B.供应商的最佳实践 C.CERT计算机网络应急技术处理协调中心 D.重大合同"
D 合同需要被咨询以确定信息资产管理的来源。供应商的最好做法是提供了一个如何评估企业的竞争力,而安全事件摘要是评估了IT基础设施相关的漏洞。CERT的网站使用于评估在IT基础设施中漏洞的信息来源。
16."一个组织外包了帮助平台。一个信息系统审计师在审查合同和相关服务协议(SLA服务级别协议)和供应商之间的组织的规定时,最关心的应为: A.工作人员背景调查的文件 B.独立审计报告或安全审计调查 C.报告每年增量成本减低 D.报告人员更替,发展或培训"
B 当一个部门的职能被外包,一个信息系统审计师应确保经费用于独立的涵盖所有重要领域的审计报告,或是外包商的访问取得了全面审计。尽管人员的背景调查文件进行检查是必要的,但这不是重要的审计。财政措施有一个服务水平协议,例如增量成本的降低是可取的,但降低成本都不如独立审计报告或提供完整的审计调查重要。一个SLA可能包括诸如资源规划,员工流失率,发展或人才培训相关措施,但这不如独立报告,也没有外包机构准入条件的全面审核重要。
17."当一个组织外包客户信用审核系统给第三方,信息系统审计师考虑最重要的是下列供应商的哪一个? A.达到或超过行业安全标准 B.同意受外部安全审查 C.有经验的服务和良好的市场信誉 D.符合该组织的安全策略"
B 至关重要的是外包供应商是独立性的安全检查,因为获得客户的信息将被保存在那里。安全标准或组织的政策法规是重要的。但没有办法验证或证明,这就是没有一个独立的审查的情况。虽然在长期的业务经验和良好的信誉是一个重要的因素来评估服务质量,但企业不能外包给一个气安全控制薄弱的供应商。
18."IT 平衡记分卡(BSC)是业务治理工具,旨在监控IT绩效评估指标而不是? A.财务业绩 B.客户满意度 C.内本流程是效率 D.创新能力"
A 财务业绩传统上一直是唯一的整体性能指标,在IT平衡记分卡(BSC)是一个在IT业务治理工具,有助于监控IT绩效评估指标出了财务业绩。IT平衡记分卡考虑了其他的关键的成功因素,如客户满意度,创新能力和处理。
19."实施IT平衡记分卡(BSC),一个组织必须: A.提供有效和高效的服务 B.定义关键绩效指标 C.提供商业价值的IT项目 D.控制IT开支"
B 一个关键绩效指标的定义之前,需要实施一个IT平衡记分卡选项ACD是目标。
20."为了帮助实现IT和业务相一致的管理,信息系统审计师应该建议使用: A.控制自我评估CSA B.业务影响分析BIA C.IT平衡记分卡BSC D.业务流程再造BRC"
C IT平衡记分卡提供了一个IT目标和业务目标之间的桥梁,通过补充传统财务评价的措施来衡量客户满意度,内部流程和创新实力。控制自我评估,经营影响分析和业务流程重组是不足以IT跟组织的目标相一致,在这个题目中知识点“CSA,BIA,BSC,BRC”代表了什么我们必须熟记。
21."以下哪项是一个IT绩效测量过程的主要目标? A.最小化错误 B.收集绩效数据 C.建立绩效基线 D.优化绩效"
D “一个IT绩效测量过程可用于优化绩效,测量和管理产品/服务,确保问责制,,并作出预算决定,尽量减少错误是绩效的一方面,但不是绩效管理的首要目标。收集绩效数据是IT衡量过程的一个阶段,被用于评估以前建立绩效基线。
附:绩效测量,关注确保所有IT资源向业务交付既定价值,也在早期识别风险。该流程是基于绩效指标的,他们为价值交付而设定,任何对其显著地偏离将导致重大风险。”
22."为了获得一个组织的规划和IT资产投资的有效理解,一个信息系统审计师应该审查? A.企业数据模型 B.IT 平衡记分卡(BSC) C.IT组织结构 D.历史财务报表"
B IT平衡计分卡是一种工具,通过传统的财务评价补偿措施提供了IT目标和业务,目标之间的桥梁,用以衡量客户满意程度,内部流程和创新能力。企业数据模型是一个文件,它定义了一个组织的数据结构和数据如何相互关联的。它是有用的,他并没有提供投资信息,IT组织结构提供了一个在IT实体的功能和报告关系的概述。历史的财务报表不提供有关规划信息,不够详细来使得一个人来完全读懂IT资产方面的活动。过去的成本并不一定反应价值,例如资产的数据就没有体现在账目张。
23."作为IT治理的掌舵者,对IT的成本,价值和风险清楚地了解主要是通过? A.绩效测量 B.战略调整 C.价值传递 D.资源管理"
A 绩效测量包括制定和检测IT进程需要提供(过程和结果)以及如何提供(过程能力和性能)的可计量的目标。战略调整主要集中确保业务联系记忆IT计划。价值传递是关于执行整个周期的价值主张。资源管理是关于最佳投资和关键IT资源管理。而清晰的了解主要是通过绩效测量因为与其他项相比它为利益相关者如何管理好企业提供了信息。
24."为使业务和IT之间形成战略一致性,下面哪一个是最好的促成因素? A.成熟度模型 B.目标和指标 C.控制目标 D.RACI(执行人、责任人、咨询人和被通知人)表格"
B 目标和指标能确保IT目标是基于业务目标的,并且是战略一致性最好的促成因素。成熟度模型能评估当前的过程能力并能用于过程改进,但他们不能直接的用于战略一致性。根据业务需求,控制目标能促进相关流程的控制实现。RACI表格是用于给职业分配责任的,并不用于保证战略一致性。
25."审查信息安全政策时,以下哪个选项令IS审计师最为关注?该政策: A.在IT部门目标的推动下设立 B.公开发布,但未要求用户阅读政策 C.不包含信息安全流程 D.已超过一年没有更新"
A 信息安全政策在业务目标的推动下设立,所以IT部门的目标也在业务目标的推动下设立。各种政策应以书面形式记录,这样用户就可以了解每项政策,员工应能够非常方便的获取这些政策。政策中不应包含工作流程。制定工作流程有助于遵守组织的政策。政策应每年审查,但不一定要每年更新,除非环境发生了重大改变,例如颁布了新的法律、规则或法规等。
26."审查信息安全政策的制定时,IS审计师的主要关注点应放在确保这些政策 A.针对全球普遍接受的行业最佳做法进行了调查 B.得到了董事会和高层管理人员的批准 C.在业务和安全要求之间取得了平衡 D.对执行安全程序提供了指导"
C 信息安全政策首先必须根据组织的目标进行调整。公司应根据自己的业务目标采用最佳做法。政策获得批准时必要条件;但这不是政策制定期间的主要关注点。如果没有根据业务要求进行调整,政策就无法提供指导。
27."一个信息系统审计师验证IT策略发现有些策略还没有得到管理层的批准(策略要求的),但员工严格按照策略执行。审计师首先应该怎样做? A.因为员工遵循策略,忽视没有管理层的批准 B.建议马上有由管理层批准该策略 C.强调管理层审批的重要性 D.报告未经批准的文件"
D 信息系统审计师必须报告调查结果。未经批准的策略,是组织的潜在风险,即使策略被遵守,但因为这可以技术上防止管理层面临一些法律问题。例如,如某些雇员违反了公司的策略而被解雇,但发现该策略没有的得到批准,该公司可能会面临昂贵的诉讼。虽然审计师可能会建议策略应尽快被批准,也可以提出这个问题的关键性,但首先是将问题告知利害相关方。
28."下列那一项的开发时,高级管理层的参与是最重要的? A.战略计划 B.信息系统策略 C.信息系统程序 D.标准和指南"
A 战略计划为确保企业能够达到预期目标和目标的基础。高级管理人员的参与是关键,以确保该计划充分满足了既定的目标和目的。IS程序,标准和准则都是用以支持整体的战略计划的结果。
29."在评估一个组织的信息系统策略时,信息系统审计师认为下列哪项是最重要的? A.已被一线经理批准 B.不会因信息系统部门的初步预算而改变 C.符合采购程序 D.支持该组织的业务目标"
D 战略规划设置企业或部门目标为行动。长期和短期的战略规划应当与组织更广泛的计划和可实现的商业目标相一致。选项A是不正确的,因为前线管理者已经编制了计划。
30."信息系统审计师审核的是一个组织的IT战略计划,首先应该评审: A.现有的IT环境 B.商业计划 C.目前的IT预算 D.目前的技术趋势"
B IT战略计划的存在是为了支持该组织的业务计划。评估的IT战略规划,信息系统审计师首要做的。
31."在评审信息系统战略时,信息系统审计师能最好的评估信息系统策略是否支持组织的业务目标通过决定IS是否: A.拥有所有的人员和设备的需求 B.计划与经营战略相一致 C.是他的设备和人员的效率有效 D.有充足的能力,以应对不断变化的方向"
B 确定IS计划与管理策略有关的IS/IT规划以业务计划是否一致,选项ACD是对于确定IS计划与业务目标和成本组织战略计划相一致的有效方法。
32 "自下而上的方法来开发组织的策略的优势是策略能够: A.把组织作为一个整体开发出来 B.更能是来源于风险评估的结果 C.不会和整体组织的策略产生冲突 D.确保整个组织的一致性"
B 通过定义业务级别的要求和策略从自下而上的方法开始,这是由于风险评估被衍生和实施的结果。企业级别政策是以一个现有的综合经营政策为基础制定的。选项AC和D是通过自上而下方法是发展组织策略的优点。这种方法确保这些策略将不会与整体公司策略冲突,并确保整个组织的一致性。
33 "技术变化的速度增加,重要的是: A.外包的信息系统功能 B.实施执行正确的流程 C.雇佣合格的人员 D.满足用户要求"
B 技术变化要求实施和执行良好的变动管理流程。外包的信息系统功能没有直接关系到技术变革的速率。个人在典型的IS部门都是高素质和受过教育的,通常他们并不觉得自己的工作受到威胁,并准备频繁的跳槽。虽然满足用户的需求是重要的,但是他不直接关系到IS环境技术变革的速率。
34 "一个信息系统审计师发现,并非所有的员工对企业的信息安全策略都很了解。信息系统审计师应该得出这样的结论: A.这种知识的缺乏可能会导致敏感信息意外泄漏 B.信息安全不是对所有业务功能都重要 C.信息系统审计应提供对员工安全培训 D.审计发现将导致管理层提供持续员工培训"
A 所有员工应知道企业的信息安全策略,以防止意外泄漏敏感信息。培训是一种预防性控制。员工对安全的意识,可以防止敏感信息意外泄漏给外人。
35 "预期在组织的战略计划中发现下列目标? A.测试新的会计包 B.执行信息技术的评估 C.在未来的一个月内实施一个新的项目计划系统 D.成为提供产品的供应商的机会"
D 战略规划设计经营中的企业或部门的目标,综合规划有助于确保有效和高效的经营。战略规划是以时间和项目为导向,但也必须正视和帮助确定优先次序,以满足业务需求长期和短期计划应与组织更广泛的实现自己的目标想一致。选项D代表业务目标,目的是把重点放在了业务的整体方向,从而成为该组织战略计划的一部分。其他的选项只是以项目为向导,不符合业务目标。
36 "以下哪一项应包括在组织的系统安全策略中? A.一个关键的需要安全保护的IT资源清单 B.用于访问控制授权的基础 C.具有敏感安全特性的个体 D.相关软件的安全特性"
B 安全策略提供了广泛的安全框架规定,并由高级管理层批准。它包括授权访问和授予访问权限的基础。选项AC和D比在策略中需要提供的更详细。
37 "成功实施和维护一个安全策略,最关键的是? A.由恰当的相关方一起撰写框架 B.管理层支持和批准实施和维护安全策略 C.任何违反安全规则的惩罚性行动来强化信息安全规则 D.通过访问控制软件来严格执行,检测安全管理人员所执行的规则"
A 统一的框架和用户系统的书面安全政策的目的是实现和维护安全政策的成功关键。一个好的密码系统可能存在,但如果该系统的用户把自己的密码保存在办公桌上,密码是没有多大的意义。管理层的支持和承诺,毫无疑问是重要的,但成功关键是实施和维护安全策略。由安全人员访问控制软件的规则,和对于违反安全规则的规定将被严格执行和监督,还需要对用户进行安全重要性的教育。
38 "一个全面和有效的电子邮件策略应解决电子邮件的结构,策略,执行,监测和什么的问题: A.恢复 B.保留 C.重建 D.重用"
B 除了是一个很好的做法,法律和法规规定也许会要求组织保存关于财务报表方面的信息。那些电子邮件通信是作为与经典“纸”的形式相同,举行正式常规诉讼,使得企业电子邮件的保存是必要的。在一个组织的硬件产生的所有电子邮件是该组织的财产,以及电子邮件策略应保留邮件地址,同时考虑到已知的和不可预见的诉讼。该策略还应该在指定时间保护自然和自身的消息后处理已受损的电子邮件。解决电子邮件的保留问题的策略将有利于邮件的恢复,重建和再利用。
39 "一个组织里面已经定义了IT安全基线,信息系统审计师应首先确保: A.实施 B.遵守 C.文档化 D.充分性"
D 一个信息系统审计师应先评估,确保充分的控制最低基准水平的定义。文档化,执行和遵守是进一步的步骤。
40 "建立一个信息安全体系的最初步骤是: A.开发和实施信息安全标准手册 B.由信息安全审计师实施的全面的安全控制评审 C.企业信息安全策略声明 D.购买安全访问控制软件"
C 一个策略声明,反映了目的和执行适当的安全管理所提供的支持,并建立了发展安全计划的出发点。
41 "以下哪一项降低了社会工程学攻击的潜在影响? A.符合法规要求 B.提升道德 C.安全意识计划 D.有效地绩效激励机制"
C 因为社会工程学是以用户的欺骗为基础,最好的对策或防御是安全意识教育。其他的选项都不是以用户为中心。
42 "下面哪一项提供了最好的证据,关于安全意识教育程序是充分的? A.利益相关者,包括各级员工培训 B.利益覆盖整个企业的所有地点 C.不同厂商安全设备的实施 D.定期审查和最佳实践比较"
D 通过确定是否定期进行安全审查和跟行业进行比较的最佳做法来评估充分的安全意识的内容,选项AB和C提供了安全意识程序的各个方面的指标,但对评估的内容没有帮助。
43 "为组织政策开展的自上而下的方法有助于确保? A.它们在整个组织中保持一致 B.它们作为风险评估的一部分被实施 C.遵守所有政策 D.它们会被定期审查"
A 由组织的政策推导出较低层次的政策(自上而下方法)有助于确保整个组织内部以及与其他政策的一致性。自下而上业务政策发展方法可以得出风险评估的结果。自上而下的方法,对其本身并不能保证遵守而这个开展也不确保政策被审查。
44 "在审查IT战略规划过程中,信息系统审计师应确保该计划? A.采用最先进的技术 B.解决了所需的操作控制 C.阐述了IT的使命和愿景 D.指定项目管理实践"
C IT战略规划必须包括对IT的使命和远景、明确阐述。该计划无需处理技术、运行控制或项目管理实践等问题。
45 "下面那一个是评估一个组织的安全意识培训评估标准? A.高级管理层意识到关键信息资产,并发表了他们对足够的保护的关注 B.工作描述包含的信息安全责任制的声明 C.按照风险和业务影响度的规定,有足够的资金用于安全 D.没有实际发生的事情以造成的损失或公共事件"
B 安全责任的岗位描述中包括了一个安全培训的形式,并有助于确保工作人员和管理层在信息安全方面的认识。其它三个选项都没有安全意识的培训评估标准。意识是重要的评价标准,体现高级管理层对信息安全的重视。资金是评价安全漏洞是否被解决的辅助标准。对已发生的事件数量是评价风险管理计划是否充足的标准。
46 "信息系统审计师在检查一个软件报告时发现一个实例中,一个放在雇员办公桌的重要文件被外包的清洁员扔进了垃圾桶。以下哪项是审计员要建议的? A.应对组织和保洁机构实施更严格的控制 B.不需要采取任何行动,因为这些事件并没有在过去发生过 C.一个清洁办公桌策略应该被实施并严格强制在组织实施 D.一个良好的对所有办公文件备案的策略应该得到实施"
A 一个员工离开,其办公桌上有重要文件。清洁人员清除它可能会导致对业务造成严重影响。因此,审计师应建议严格控制本组织和外包机构。这类事件没有发生在过去,并不能减少其影响的严重性。实施和检测一个清洁桌面策略只是这个问题的一部分,与清洁机构签订保密协议,同时确保清洁人员在清洁过程中该做的和不该做的注意事项的教育,同时也应实行相应的管制。这里的风险不是数据流失,认识未授权数据源的数据泄露。备份策略并没有解决,未授权的信息泄露问题。
47 "一个信息系统审计师正在审查一个项目:银行和支行支付系统时,信息系统审计师首先应该验证: A.两家之间的支付平台的互操作性 B.总行作为一个服务提供商的总权 C.安全功能到位可以分割支行的交易 D.支行可以加入并作为共同拥有该支付系统的人"
B 即使是银行与分行之间的关系,应当在合同约定的地方进行共享服务。这对银行监管组织是重要的。除非被授予作为服务提供商,否则他可能不能合法的为银行扩展业务。技术方面应该始终考虑,但这可能是在确认总行可以作为一个服务提供者。安全方面的一个重要因素,但这应该是在确认总行可以作为服务提供方后。该支付系统的所有权对是否是法律授权经营的不重要。
48 "在审查企业的IT战略规划时,信息系统审计师应该会发现: A.评估该组织具有业务目标的应用程序组合是否合适 B.以行动来降低硬件采购资本 C.一个对IT 合同资源认可的供应商列表 D.一个组织的网络边界安全的技术体系结构的描述"
A 如何评估一个组织良好的应用程序组合,来支持该组织的业务目标是一个整体的IY战略规划过程中的重要组成部分。IT需求方的规划驱动并转换成一个IT战略意向图。然后可以进一步评估如何取得良好的整体IT组织,包括应用,基础设施,服务,管理流程等。这些能够支持业务目标。运行效率的倡议属于战术规划,而不是战略规划。一个IT战略计划的目的是阐述将如何实现或支持企业的经营目标。一个对IT合同资源支持的供应商的列表是一个战术,而不是一个战略问题。一个IT战略规划通常不会包括具体的技术架构和细节。
49 "当开发一个安全架构时,以下步骤首先应该执行的是: A.开发安全程序 B.定义安全政策 C.指定一个访问控制方法 D.定义角色和职责"
B 定义信息及关联技术安全政策是建立一个安全架构的第一步。安全政策传达了一个连贯的安全标准对于用户,管理和技术人员。安全策略通常会定出在什么阶段的工具,程序是组织需要的。其他的选项应该在定义一个安全策略后被执行。
50 "信息系统审计师发现根据信息系统策略,一个被终止用户的ID应在90天内停用。IS应: A.报告控制在有效运行以来,所发生的停用时限是在信息系统策略规定的时间框架内 B.确认已被授予应有的访问权限的用户 C.建议修订信息系统策略,以确保用户ID在终止时停用 D.建议定期对已被终止的用户的活动日志,进行审核"
D 根据信息安全策略,应跟踪审核终止用户的活动日志,确认策略得到有效执行。
51 "以下哪项提供了设计和开发逻辑访问控制的框架? A.信息系统安全政策 B.访问控制列表 C.密码管理 D.系统配置文件"
A 有组织高级管理人员制定并批准的信息系统安全政策是设计和开发逻辑访问控制的基础。访问控制列表、密码管理和系统配置文件是用于实施访问控制的工具。
52 "一家服务提供商参与了一个涉及保密信息的政府项目,在为其执行IS审计时,IS审计师注意到该服务提供商将部分IS工作委派给了一家子承包商。以下那个选项最能确保保护信息机密性的要求都得以满足? A.月度委员会会议中有子承包商方面的IS经理参加 B.管理层每周审查子承包商提交的报告 C.政府机构许可合同事项 D.对子承包商的工作指派定期独立审计"
D 定期独立审计能够合理保证,对保护信息机密性的各项要求没有被降低标准。委员会例行会议是监控委派任务的不错办法;但是,独立审查能够提供更好的保证。管理层不应仅仅依赖承包商自己报告的信息。获得政府机构的许可与确保信息机密性无关。
53 "企业正在评估采用云计算和WEB虚拟化,而不是为开发环境构筑一个新的IT基础设施架构,审计师最需要关注什么? A.尚未对类似项目的基准指标进行考虑 B.尚未咨询安全人员的意见 C.尚未建立项目的业务案例(大方向!!!!!) D.已设计的技术体系没有考虑硬件的节约"
C 任何的IT投资,都总是要在业务用例中写清楚与之相关的利益和投资回报率(ROI),以便由管理部门共享并获得批准。所有的IT投资都必须支持业务。基准指标是一个好的参照,但是不足以说明这个IT投资的优点。安全人员可能会涉及到决策过程并且参与业务用例的定义,然而,在这种情况下更重要的是,定义明确的涉及所有利益相关者的业务案例。评估硬件的节约是业务用例的一部分,并且仅仅提供了有关投资回报率的一部分信息。另外,并不仅仅是硬件才要节约,包括IT维护和操作人员、软件在内的所有资源都需要节约。
54 "下列哪些因素是最合理的需要增加额外的信息安全责任分配给用户? A.由最终用户分发的更大量的数据 B.业务流程更加依赖于IT流程 C.近年来安全技术取得了很大进展 D.IT组织中一般有一个精干的工作人员"
A 由最终用户以较少的创建和参与的数据分布在中央的IT组织是一个最相关的因素,要求用户必须更负责人和通知有关安全问题。虽然业务流程更加依赖于IT流程,使IT流程更重要,这并不影响治理和最终用户的扩散。对安全技术的进步以使某些安全责任分配到终端用户,如用户的自主服务密码重置系统。但这些技术并没有明确改变IT安全最终用户的角色,一般IT人员的限制已经由于技术的完善得于补充,所以这不是正确答案。
55 "有效的IT治理将确保IT计划与组织的什么相一致? A.商业计划 B.审计计划 C.安全计划 D.投资计划"
A 为了有效地IT治理,IT和业务应朝同一方向进行,要求的IT计划与组织的业务计划相一致。审计和投资计划不是IT计划的一部分,而安全计划应在同一层面。
"谁对IT治理主要负责? A.首席执行官(CEO) B.董事会 C.IT 指导委员会 D.审计委员会"
B IT治理主要是对管理人员和股东(由董事会代表)的责任。CEO是在董事会的指示中起IT治理的作用。IT指导委员会负责监控,并促进支持计划中具体项目的IT资源分配。审计委员会向董事会报告,并应检测审计建议的执行情况。
57 "下列哪一个是成功的实施IT治理的最重要的组成部分? A.实施一个IT记分卡 B.确保组织战略 C.执行风险评估 D.创建一个正式的安全策略"
B IT治理方案的主要目标是支持业务,从而确定了组织的战略是必要的,以确保IT与公司治理保持一致。如果没有确定组织战略,剩下的选项即使被实施也将是无效的。
58 "作为信息安全处理的结果,战略一致性将提供: A.以企业需要驱动的安全需求 B.遵循最佳实践的安全基线 C.制度化和商品化的解决方案 D.对风险暴露程度的认识"
A 信息安全治理,当被正确执行时,应提供四项基本成果:战略一致性,价值交付,风险管理和绩效评估。战略一致性为企业需求推动的安全需求提供资源输入。价值交付提供了一套安全实践的标准做法,即遵循最佳实践的安全基线或制度化或商品化的解决方案。风险管理提供了一个风险的认识。
59 "以下哪项IT治理是做法可以提高战略一致性? A.供应商和合作伙伴的风险管理 B.对客户,产品,市场和流程的知识理解到位 C.提供一个有利于创造和共享商业信息的架构 D.高层管理人员在业务和技术之间协调"
D 高层管理人员在业务和数据之间协调是指一个IT战略一致性的最佳做法,对供应商和合作伙伴的风险进行管理是一种风险管理的最佳做法,对客户产品市场和流程的知识理解到位的知识基础,是IT价值交付的最佳选择,提供一个有利于创造和共享商业信息的架构是IT价值交付和风险管理的最佳方法。
60 "有效的IT治理需要组织的架构和流程,确保: A.该组织的战略和目标扩充IT战略 B.经营战略是来自IT战略 C.IT治理是独立和有别于整体的治理 D.IT战略支持了组织的战略目标"
D 有效的IT治理需要董事会和执行的管理层扩大对IT的治理,并提供领导,组织架构和流程确保该组织的IT维护并支持本组织的战略和目标,而这个战略与业务战略保持一致。选项A.不正确,因为它是由组织目标扩展的IT战略,并非相反的。IT治理不是单独的纪律,他必须成为整个企业管理的组成部分。
61 "在组织实施时,一个组织的IT治理框架最重要的目标是: A.IT与业务的一致性 B.问责制 C.IT价值实现 D.加强IT的投资回报"
A IT治理的目标是提高IT绩效,以提供最大的商业价值,并确保合规性。实现这些目标的关键做法是IT与业务(选择的)保持战略一致性。为了实现战略一致性,所有其他的选项需要与业务和策略绑定在一起。
62 "IT治理的最终目的是? A.推动优化利用IT B.降低IT成本 C.在整个组织中分散IT控制 D.集中的IT控制"
A IT治理是为了指定对企业最好的决策权和责任组合。这是每个企业的不同。降低IT成本可能不是一个企业的最佳IT治理的成果。分散IT组织资源并不总是需要,但他可能是在权利下放环境中所需。集中的IT控制并非总是需要的。
63 "组织管理者落实公司治理主要目标是: A.提供战略方向 B.控制业务动向 C.配合企业IT D.实施最佳实践"
A 公司治理是一系列的管理实践从而提升战略方向,进而确认目标是可达到的,风险得到了妥善的解决以及组织的资源得到了适当应用。因此,公司治理的主要目标是提供战略方向。基于战略方向使业务得到指导和控制。
64 "从一份与IT相关的投资业务中所获得的直接利益是个什么例子? A.提高声誉 B.提高员工士气 C.新技术的使用 D.市场占有率的提高"
D 综合业务在对于任何与IT相关的投资业务提议的情况下,应该由明确的商业利益。用以计算出预期收入,这些利益通常分为两类:直接和间接的。直接利益通常包括,新系统预计将可量化的经济利益。而增强信誉,提高员工士气的潜在利益是难以量化的,但应尽可能地量化。投资IT 不应只是为了为了新技术的缘故,而是应以可量化的业务需求。
65 "信息系统审计师鉴定分别由财务和市场部门作出的产品盈利能力分析报告,得出不同的结论。进一步的调查结果显示,该产品的定义在这两个部门是不同的。审计师应该建议? A.投入生产前为各种报告而做出的用户验收测试(UAT) B.组织数据治理实践是否到位 C.用于报表开发的标准软件工具 D.管理层签署的关于新报告的要求"
B 这一选择直接解决了问题,一个组织内部的方法需要达到的数据资产的有效管理、这包括数据元素执行,这是一个数据治理计划一部分的标准定义、其他的选项,都不是解决问题的根本原因。
66 "以下哪一项在实施风险管理时应首先考虑? A.对组织的威胁,脆弱性和风险状况的了解 B.对接受的风险和潜在的后果的理解 C.基于潜在的后果确定的风险管理重点 D.一个风险后果保持在可接受的水平的风险缓解策略"
A 实施风险管理,作为有效的信息安全治理成果之一,第一步需要对组织的威胁,脆弱性和风险状况有全面的了解。在此基础上,才能确定了解风险暴露和接受的潜在影响。之后,重点基于潜在后果的风险管理便可以得到发展。这将提供一个能保持风险后果与可接受水平的基于风险缓解的战略依据。
67 "在缺乏有效的信息安全治理的背景下,价值传递的主要目标是: A.支持业务目标优化安全投资 B.实施一套标准安全实践 C.建立一个基于标准的缓解方案 D.实施一个持续改进的文化"
A 在缺乏有效的信息安全治理的背景下,价值传递的实施是为了确保支持业务目标优化安全投资。实施价值传递的工具和技术包括考虑到安全性的一套标准的安全做法,基于标准的制度化的解决方案,以及实现持续改进的文化的实施。而不是一个单独的事件。
68 "IT治理的责任取决于? A.IT战略委员会 B.首席信息官(CIO) C.审计委员会 D.董事会"
D 治理是由董事会和以提供战略方向为目标的执行管理行使的责任与实践,从而确保目标可以达到,确定风险被适当的管理以及核实组织资源被负责的使用。审计委员会、首席信息官、和IT战略委员会都会在同一个组织内成功的IT治理实施中扮演了重要的角色,但最终的责任在于董事会。
69 "当开发一个正式的企业安全方案时,最关键的成功因素(CSF)是: A.建立一个审查委员会 B.创建一个安全的部门 C.有效的管理层赞助支持 D.选择一个安全过程所有者"
C 管理层赞助将支持该组织的战略安全计划的费用,而且将有利于在指导企业的整体安全管理活动。因此,由管理层级别的支持是最关键的成功因素(CSF)的。其它选项都没有比高层管理人员的赞助明显有成效。
70 "当审计自动化系统时,总是无法确定责任和报告途径,因为: A.分散的控制使用所有权不相关 B.员工工作变动更加频繁 C.由于资源共享很难准确定所有权 D.随着技术的快速发展,责任经常变化"
C 由于数据和应用系统的分散特性,很难确定数据和应用系统的真正所有者。
71 "审查企业的项目组合时,审计师最应关心的事是: A.不超过现有的IT预算 B.符合投资战略 C.已经获得IT指导委员会批准 D.符合业务计划"
D 项目组合管理应该综合考虑企业整体的IT策略,相应的,它也应该符合业务战略 。业务计划可以为项目组合中的每一个项目提供充分的理由,审计师最主要考虑的就是它。并不是每个企业都会有IT指导委员会。
72 "在评审组织的IT 治理过程中,审计人员发现,该公司最近实施了IT平衡计分卡(BSC),但是,IS审计师发现,绩效指标衡量不客观。这种情况最主要的风险是? A.关键性能指标(KPI)不向管理层汇报和管理层不能确定平衡计分卡的有效性 B.IT项目可能成本超支 C.提供导误的IT绩效测量指标给管理层 D.IT服务水平协议(SLA)是 可能不准确"
C IT平衡记分卡是设置用来衡量IT绩效。为衡量业绩,以“绩效驱动”过KPI充足的数量必须随着时间的推移加以界定和衡量。如果衡量的绩效指标不客观,那么最严重的风险将是误导的业绩向管理层报告。这可能导致虚假的安全感和保证,因此,IT资源也许会错误的分配或战略决策可能是以不正确的信息为基础。无论是否正确定义绩效指标,结果都将报告给管理层。因此,选项A是不正确的答案。尽管项目管理和绩效管理问题可能造成的绩效指标没有正确定义,误导性陈述绩效管理是一个更重大的风险,因此,选项D是不正确的。
73 "一个信息系统审计师审核一家大公司的IT项目,要确定进行一年的IT项目是否就是其中已分配优先级最高的业务,带来最大的业务价值,下列什么选项是相关度最高的? A.能力成熟度模型(CMM) B.项目组合管理 C.配置管理 D.项目管理知识体系(PMBOK)"
B 组合管理的目的是协助定义,确定优先事项,批准和在一个特定的优先组织之行的项目设计。这些数据提供的数据采集,工作流和情景规划的功能,他可以帮助确定最优化的项目(从充满创意的设定)到一个给定的预算范围内推进。一个CMM并不能有助于确定最佳的投资组合的资本项目,因为它是评估者IT组织项目内部的流程的相对成熟度;从级别0开始,(不完整的程序不能执行或无法达到他们的目的)到级别5(优化,指标定义和衡量,并不断改进技术到位)。配置管理数据库(为一个组织的IT系统存储详细配置)是IT服务的重要工具,特别是变更管理。它可以提供信息、这将影响项目的优先次序,但不适用于这一项目的目的。项目管理只是体系是一个管理和项目交付的方法。它提供了在优化项目组合但无具体的指导或协议。
74 "信息系统审计师审核该企业的IT投资组合项目主要考虑的是: A.IT预算 B.现有IT环境 C.业务计划 D.投资计划"
C 哪些项目获得资助的最重要原因是一是项目多大程度的达到了组织的战略目标,投资组合管理一个公司的整体IT战略观。IT战略应于企业战略相一致,因此,审核业务计划硬是主要的考虑因素。选项AB和D也是重要的,但是比审核业务计划 的重要性低。
75 "下列哪一个是信息系统审计师应该参考来制定最佳执行路线和组织战略优先次序的IT项目组合? A.为衡量业绩定义平衡记分卡(BSC) B.考虑有关键性性能指标(KPI)的用户满意度 C.按商业利益和风险选择项目 D.应该定义项目组合的年度进程"
C 给他们带来预期收入的基础效益业务,以及相关风险的优先次序,是项目组合实现组织战略的最好措施。修改的项目组合的定义过程可能会逐年提高,但只有在组合定义的过程中,目前的定义不依赖于对企业战略的意义,但因为困难是在如何维持一致,并不设置它的最初。BSC和KPI的措施是有益的,但是他们并不保证这些项目与业务战略保持一致。
76 "以下哪项更好的支持了新IT项目的优先次序? A.内部控制自我评价 B.信息系统审计 C.投资组合分析 D.业务风险评估"
C 这里最可取的是对投资组合进行分析,这不仅是确定对目前的投资策略的重点,也是终止不良项目的原因。内部控制自我评价时审计可以提供的有关IT项目的优先次序的一部分。业务风险分析是投资组合分析的一部分、但本身并非是确定的IT项目优先级的最佳实践。
77 "两个组织合并后,多个由它们自主研发的遗留应用系统,都由一个新的共同平台所取代。下列哪项将是最大的风险? A.项目管理和进度报告合并于一个由外部顾问驱动的项目管理办公室 B.更换那些没有将资源分配整合到项目组合管理办法的独立的项目 C.熟悉对方公司遗留系统的时候,组织的资源分配是缺乏效率的 D.新平台将使这两个组织在业务领域改变他们的工程流程,这将产生广泛的培训需求"
B 应努力确保合并后组织整体策略保持一致 。如果资源分配不集中,单独内部开发的旧应用程序项目,获取关键资源的风险比较高。在兼并后采取整合方案,是项目管理办公室里常见的形式。为了确保规划的标准化水平、信息和报告结构,对集中项目成果或资源的依赖,外部顾问的经验可以是有价值的,因为项目管理并不要求深入的系统的知识。这可以免费得到功能任务的资源,这是一个好办法,首先要熟悉的旧系统,明白需要在迁移中完成什么,来评估技术决策的影响。在大多情况下,合并导致应用程序的变化和各种组织流程发生变化,利用合并的协同效应达到预期的需求。
78 "公司呼叫中心的信息系统策略要求所有的用户都要分配给一个唯一的用户账号。如果发现不是所有的当前用户都符合此要求,下面哪一个选项是最合适的建议? A.让运营管理人员批准当前配置 B.确保所有已存在账户都有审核轨迹 C.为所有工作人员实施独立的用户账户 D.修改信息系统的策略以允许共享账户"
C 在给出的场景中,最重要的建议是用户的个人账户的交易问责性。选项A和B的建议都不符合企业的策略。共享用户账户无法明确交易问责性。
79 "一家大型组织的IS审计师正在审查IS功能运行中的角色和职责情况。以下哪种角色组合最令IS审计师关注 A.网络管理员负责质量保证工作 B.安全管理员担任系统程员 C.终端用户担任关键应用程序的安全管理员 D.系统分析师担任数据库管理员"
B 如果个人承担多个角色,这表示出现了职责分离问题,同时也给系统带来了相关的风险。安全管理员不应担任系统管理员,因为两个职位的全县具有相关性。从职责分离的角度来看,其他的角色组合是可以的。
80 "一个IS审计部门正在计划最大限度降低其对关键个人的依赖程度。有助于实现这一目标的活动包括制定工作流程、知识共享、交叉共享、交叉培训, 以及: A.接班计划 B.员工岗位评估 C.职责定义 D.员工奖励计划"
A 接班计划能够确保公司发现和培养 有潜力的内部人员,将他们提拔到关键岗位。岗位评估是指,确定公司中各个岗位的相对价值,以此为基础建立公平公正的薪酬体系的工程。员工职责定义对角色和工作职责详加定义,员工奖励计划提供各种激励手段;但两者均不可最大限度降低对关键个人的依赖程度。
81 "在一个小型制造企业,一个IT员工正在同时进行生产工作和编程工作。以下哪个是最佳的控制手段来减缓这个场景下的风险? A.访问限制以防止该员工访问工作环境 B.雇佣更多的员工来实现职责的分离 C.自动记录在生产环境中的所有程序变化 D.相关流程来确保只有经批准的程序变更才能被实施"
D 那些只有经批准变更的用于核实和审查的程序才能被实施,这将会在这种情况下得到有效控制。职责分离将防止冲突的功能组合。但选项B.是不正确的,因为访问限制以防止该员工访问生产环境,除非额外的工作人员保留下来,而这对于小型企业是一个不可实现的解决办法同时也许在经济上也是不可行的。选项C是不正确的,因为在生产环境中自动记录的所有程序的变化,并不能防止未经授权的更改。
82 "一个信息系统审计师已被分配去评审组织的安全策略,下面那个问题代表最高的潜在风险? A.该策略超过一年没有被更新 B.该策略没有修订历史 C.该策略是安全管理员批准的 D.该公司没有一个信息安全策略委员会"
C 信息安全策略应该有一个开发,检阅,评估的责任所有者。对安全管理员是典型的管理层任职的职位(不是管理者),他没有权利批准策略。如果没有适当的管理策略可能会产生问题,导致监管或安全问题而信息安全策略应定期更新,具体根据该组织的不同而有所不同。虽然每年评审各项策略,是一种最佳做法,但是即使策略更新的速度比较频繁,仍然具有相关性和有效性。缺乏的历史修订记录是一个问题,但但它没有缺乏管理层的批准那么严重。策略委员会并不要求制定和实施一个良好的信息安全策略。这个策略可以是由个人完成,只要这个指定的 人有适当的权利和只是去检阅和批准长期策略。虽然策略委员会从整个公司角度是一个实践,并且可能有助于编写更好的策略。但有效地策略可以由人完成,没有策略委员会不是一个问题。
83 "当审计组织的IT治理和IT风险管理框架实践,信息系统审计师发现一些未经定义的IT管理和治理的职责。以下哪条建议是最合适的? A.审评IT与业务战略的一致性 B.在组织内实施责任的规则 C.确保独立的定期进行的IT审计 D.建立首席风险官(CRO)在组织中的职责"
B IT风险的管理是内嵌到企业的责任。信息系统审计师应当建议问责制实施细则。以确保所有的责任是组织内定义的。虽然IT和企业的策略一致性很重要,但在这种情况下它不直接关系到定义这个差距。同样,如果问责规则都没有明确规定和实施,过于频繁的执行审计或推荐创建一个新的角色(CRO)是没有帮助的。
84 "企业的IT风险偏好最好由谁来确定? A.首席法律顾问 B.安全管理人员 C.审计委员会(审计委员会是审计的,是监督的) D.指导委员会(甲方的高级管理层组成"
D 指导委员会是决定企业IT风险偏好最合适的部门,因为它是由高层管理人员组成的。即使首席法律顾问在策略上给出了一个法律上的指导意见,他们也不能确定风险偏好。安全管理人员关注的是安全形势,但是并不决定安全状况。审计委员会没有责任去设定企业风险承受能力或偏好。
85 "金融企业在明确划分IT战略委员会和IT指导委员会的责任时遇到困难。下面哪一个职责是最可能分配给IT指导委员会? A.批准IT项目计划和预算 B.使IT符合业务目标 C.针对IT合规性风险提供建议 D.推广IT治理实践"
C 一个IT指导委员会肩负多种责任,包括批准IT项目计划和预算。选项B.C.D通常是IT战略委员会的责任,因为要给董事会提供看法和建议。
86 "缺乏最高级管理层的对IT战略规划的承诺最可能的影响是? A.技术的投资不足 B.缺乏系统开发的方法论 C.技术和组织的目标不一致 D.对技术合同缺乏控制"
C 应该存在一个指导委员会,以确保IT战略支持组织的目标。没有一个信息技术委员会或者委员会不是有高级管理员组成,将出现缺乏高级管理人员的承诺,这种情况会增加,它不会与该组织的战略保持一致风险。
87 "下列哪项是信息系统指导委员会的功能? A.监控供应商的变更控制和测试 B.确保信息处理环境的职责分离 C.审批和监管重大项目,信息系统计划和预算 D.联系信息系统部门和最终用户"
C 该指导委员会通常是作为一般评审委员会为IS工程提供服务,而不应该为常规行动的,因此,他的职能之一是批准和监督的重大项目,计划和预算的地位。卖方变更控制是一个外包的问题,并应由IT管理来监督。确保信息加工环境的职责分离是管理层的责任。信息系统部门和最终用户之间进行联络是一个正常的功能,而不是个别的委员会。
88 "信息系统指导委员会应该? A.包括来自不同部门和员工级别成员组成 B.确保系统安全策略和程序以正确执行 C.维持其会议记录和通知董事会 D.在每个供应商会议中听取新趋势和新产品的简要介绍"
C 重要的是保留详细的指导委员会的每份策略文件和指导委员会的活动,董事会应及时告知有关的决定。选项A不正确,因为在这个委员会上只有高级管理人员或高级职员,因为他的战略任务委员会。选项B不是这个委员会的职责,但它对安全管理员有责任。D是不正确的选项,因为供应商应邀出席会议只有在适当的时候。
