2.根据IIA的SAC控制框架，“责任”是指
　　a.与商业机密和其他知识产权相关的属性。
　　b.可以确定交易来源的控制属性。
　　c.对数据处理设备和存储设备的访问限制。
　　d.与员工和客户的个人信息相关的属性。
　　答案：b
　　解题思路：
　　a.不正确。与商业机密和其他知识产权相关的属性与机密性相关。
　　b.正确。“责任”是一种可以确定交易来源的控制属性。它确定员工的角色、行动和责任。用户责任属性可以由数据的所有者关系、访问者的身份与验证来确定。
　　c.不正确。对数据处理设备和存储设备的访问限制与物理安全相关。
　　d.不正确。与员工和客户的个人信息相关的属性与个人隐私相关。

　　3.COBIT是
　　a.对IT流程实施有效控制的辅助指南。
　　b.对风险及对技术挑战的反应www.PPkao.com
　　c.对以前的“系统审计与控制框架”——SAC的升级。
　　d.由COSO委员会出版发行。
　　答案：a
　　解题思路：
　　a.正确。COBIT是由信息系统审计与控制基金会制定的一种IT控制框架。
　　COBIT提供了一套指南来协助管理人员和业务人员对IT流程和资源实施控制。COBIT被设计成一种IT治理工具，有助于理解和管理组织中的信息及与IT相关的风险与利益。
　　b.不正确。对风险及对技术挑战的反应是SAC的特征。
　　c.不正确。Systems Assurance and Control才是对Systems Audit ability and Control的升级。
　　d.不正确。COBIT是由ISACA出版发行的。

　　4.COBIT的目标用户不包括以下哪一类人员?
　　a.管理人员
　　b.用户
　　c.股东。
　　d.审计师。
　　答案：c
　　解题思路：
　　a.不正确。COBIT的目标用户有三类：管理人员、用户及审计师。管理人员必须在风险与控制成本之间进行平衡；用户需要得到内部及外部IT服务的安全和控制的有效保证；审计师需要在获得足够的证据的情况下，对内部控制的状态进行评估，并把审计结论传递给管理人员及其他相关人员。
　　b.不正确。见题解a。
　　c.正确。股东并不直接与组织日常管理中的IT服务相关，他们不是COBIT的目标用户。
　　d.不正确。见题解a。