第1题：

以下哪一项是两家公司通过签订互惠协议来作为灾难恢复计划的最大风险？（）

A.各自的发展将导致(互相间)软硬件不兼容。

B.当需要时资源未必可用。

C.恢复计划无法演练。

D.各家公司的安全基础架构可能不同。

信管网参考答案：A

信管网参考解析："如果其中之一的组织更新了他的软硬件配置，可能意味着将于互惠协议中另一方的系统不兼容。这将导致任意一家公司都将无法在灾难之后使用另一家的设施持续其业务操作。

当需要时资源未必可用，(这一情况)是任何互惠协议的内在风险，但这是契约问题而非巨大的风险。

恢复计划可以通过纸面上的预演来进行，而且两家公司间互相同意的话也可能进行演练。

安全基础架构的差异作为风险来说并不是不可避免的。"

第2题：

Corrective action has been taken by an auditee immediately after the identification of a reportable finding. The auditor should:

A、include the finding in the final report, because the IS auditor is responsible for an accurate report of all findings.

B、not include the finding in the final report, because the audit report should include only unresolved findings.

C、not include the finding in the final report, because corrective action can be verified by the IS auditor during the audit.

D、include the finding in the closing meeting for discussion purposes only.

信管网参考答案：A

信管网参考解析：在报告发现被确认后，被审计单位立即采取纠正行动（Corrective action）。审计师应该：

A．在最终报告中包含发现，因为IS审计师有责任得到一份包含所有发现的准确报告

B．在最终报告中不包含发现，因为审计报告只应该包含未解决的发现

C．在最终报告中不包含发现，因为纠正行动可以被IS审计师在审计过程中验证

D．只在结束会议讨论目的时包含发现

在最终报告中包含发现是普遍接受的审计准则。如果一项行动在审计开始后结束前实施，审计报告需要验证发现和描述纠正行动的实施。审计报告要反映环境，因为它存在与审计之前。所有被审计单位的纠正行动都要提交书面报告。