2025年注册审计师职业资格考试《信息系统审计》备考题库及答案解析

2025年注册审计师职业资格考试《信息系统审计》备考题库及答案解析单位所属部门：________姓名：________考场号：________考生号：________一、选择题1.在信息系统审计过程中，审计师首先需要了解被审计单位的什么内容（）A.组织结构B.业务流程C.技术架构D.法律法规答案：B解析：信息系统审计的核心是评估信息系统的风险和控制，而业务流程是信息系统存在的基础。审计师需要首先了解被审计单位的业务流程，才能判断信息系统是否满足业务需求，以及是否存在潜在的风险和控制缺陷。2.以下哪项不属于信息系统审计的目标（）A.评估信息系统的安全性B.确保信息系统的合规性C.提高信息系统的效率D.优化信息系统的成本结构答案：D解析：信息系统审计的主要目标是评估信息系统的安全性、合规性和效率，以帮助组织实现其业务目标。优化信息系统的成本结构虽然重要，但通常不属于信息系统审计的直接目标，而是属于信息系统管理的范畴。3.在进行信息系统风险评估时，审计师通常采用什么方法（）A.定性分析B.定量分析C.混合分析D.专家判断答案：C解析：信息系统风险评估通常采用混合分析方法，结合定性和定量分析，以全面评估信息系统的风险。定性分析有助于识别潜在的风险因素，而定量分析则有助于评估风险的可能性和影响。4.以下哪项是信息系统控制测试的主要目的（）A.评估控制设计的有效性B.评估控制执行的充分性C.评估控制实施的及时性D.评估控制管理的有效性答案：B解析：信息系统控制测试的主要目的是评估控制执行的充分性，即控制是否能够按照设计要求有效运行。评估控制设计的有效性通常属于控制设计测试的范畴，而评估控制实施的及时性和管理有效性则不属于控制测试的主要目的。5.在信息系统审计过程中，审计师通常采用什么工具进行数据分析（）A.电子表格软件B.数据库管理系统C.数据分析工具D.业务流程图答案：C解析：信息系统审计过程中，审计师通常采用数据分析工具进行数据分析，以识别潜在的风险和控制缺陷。电子表格软件和数据库管理系统虽然可以用于数据处理，但通常不具备数据分析工具的强大功能。6.以下哪项是信息系统审计报告的主要内容（）A.审计目标B.审计范围C.审计发现D.审计建议答案：C解析：信息系统审计报告的主要内容是审计发现，即审计师在审计过程中发现的问题和风险。审计目标、审计范围和审计建议虽然也是审计报告的重要组成部分，但不是主要内容。7.在进行信息系统审计时，审计师通常采用什么方法收集证据（）A.文件审阅B.访谈C.检查D.以上都是答案：D解析：在进行信息系统审计时，审计师通常采用多种方法收集证据，包括文件审阅、访谈和检查等。每种方法都有其优缺点，审计师需要根据具体情况选择合适的方法。8.以下哪项是信息系统审计计划的主要目的（）A.确定审计目标B.确定审计范围C.确定审计方法D.以上都是答案：D解析：信息系统审计计划的主要目的是确定审计目标、审计范围和审计方法等，以指导审计工作的开展。一个详细的审计计划有助于确保审计工作的有效性和效率。9.在进行信息系统审计时，审计师需要考虑什么因素（）A.信息系统的复杂性B.信息系统的规模C.信息系统的风险D.以上都是答案：D解析：在进行信息系统审计时，审计师需要考虑多种因素，包括信息系统的复杂性、规模和风险等。这些因素都会影响审计工作的开展和结果。10.以下哪项是信息系统审计的重要原则（）A.客观性B.独立性C.公正性D.以上都是答案：D解析：信息系统审计需要遵循客观性、独立性和公正性等重要原则，以确保审计结果的准确性和可信度。这些原则是信息系统审计的基本要求，也是审计师必须遵守的职业道德规范。11.信息系统审计中，风险评估的目的是什么（）A.确定审计优先级B.评估控制设计有效性C.评估控制运行有效性D.确定审计范围答案：A解析：风险评估的主要目的是识别、分析和评估信息系统面临的各种风险，从而确定风险的优先级，并据此安排审计资源，确保最重要的风险得到优先处理。虽然风险评估也会为评估控制设计和运行提供输入，但其核心目的是支持审计计划的制定和审计优先级的确定。12.在信息系统审计过程中，访谈的主要目的是什么（）A.获取审计证据B.制定审计计划C.设计审计程序D.编写审计报告答案：A解析：访谈是信息系统审计中常用的证据收集方法之一。通过访谈关键人员，审计师可以了解信息系统的实际运作情况、存在的问题以及相关人员的看法，从而获取审计证据，支持审计发现和结论的得出。制定审计计划、设计审计程序和编写审计报告虽然也涉及与人沟通，但访谈的主要目的还是获取信息作为审计证据。13.信息系统控制测试通常包括哪些内容（）A.控制设计测试B.控制运行测试C.控制有效性测试D.以上都是答案：D解析：信息系统控制测试是对信息系统控制的有效性进行评估的过程，它通常包括控制设计测试（评估控制是否被设计得当）和控制运行测试（评估控制是否按照设计要求被有效执行）。因此，控制测试应该涵盖控制设计和运行两个方面，以全面评估控制的有效性。14.以下哪项是信息系统审计证据的主要来源（）A.系统日志B.审计访谈C.内部控制文档D.以上都是答案：D解析：信息系统审计证据可以来自多个来源，包括系统日志、审计访谈、内部控制文档、系统配置文件、测试数据等等。系统日志可以提供系统活动的记录；审计访谈可以获得相关人员的信息和看法；内部控制文档描述了控制的设计和实施情况。审计师需要从多个来源收集证据，以形成充分的审计证据链。15.在进行信息系统审计时，了解被审计单位的业务流程有什么重要性（）A.确定审计重点B.评估控制设计C.评估控制运行D.以上都是答案：D解析：了解被审计单位的业务流程对于信息系统审计至关重要。业务流程是信息系统存在和运作的基础，了解业务流程有助于审计师确定审计重点，评估控制设计和运行是否满足业务需求，以及识别潜在的风险点。因此，了解业务流程对于审计的各个方面都具有重要性。16.信息系统审计报告通常包括哪些部分（）A.审计范围B.审计目标C.审计发现D.以上都是答案：D解析：一份完整的信息系统审计报告通常包括审计范围、审计目标、审计发现、审计证据、审计结论以及审计建议等部分。审计范围界定了审计的工作内容和界限；审计目标明确了审计要达成的目的；审计发现是审计师在审计过程中发现的问题和风险；审计证据支持审计发现；审计结论是对审计结果的总结；审计建议是针对审计发现提出的改进措施。因此，以上都是审计报告的常见组成部分。17.信息系统审计过程中，控制自我评估通常由谁执行（）A.审计师B.内部审计部门C.管理层D.业务用户答案：D解析：控制自我评估（CSA）是一种由业务用户或其他关键人员执行的评估方法，他们根据预先设定的标准和流程，对自己负责的控制进行评估。这种方法通常用于评估操作控制和一般控制的有效性。审计师可能会参与指导或复核控制自我评估的结果，但执行评估的主体通常是业务用户。18.在评估信息系统的安全性时，审计师需要关注哪些方面（）A.访问控制B.数据加密C.安全策略D.以上都是答案：D解析：信息系统的安全性涉及多个方面，包括物理安全、网络安全、应用安全、数据安全等。在评估信息系统的安全性时，审计师需要关注访问控制（确保只有授权用户才能访问系统资源）、数据加密（保护数据的机密性）、安全策略（制定和执行安全规则）、入侵检测和防御、应急响应计划等。因此，以上都是评估信息系统安全性时需要关注的重要方面。19.信息系统审计计划的主要目的是什么（）A.指导审计工作B.确定审计资源C.界定审计范围D.以上都是答案：D解析：信息系统审计计划是审计工作的重要指南，其主要目的是指导整个审计工作的开展，明确审计的目标、范围、内容、方法、时间安排和资源需求。一个清晰的审计计划有助于确保审计工作按照既定目标进行，合理分配审计资源，有效界定审计范围，从而提高审计工作的效率和质量。因此，以上都是审计计划的主要目的。20.以下哪项是信息系统审计中常用的风险评估方法（）A.比率分析B.德尔菲法C.风险矩阵D.回归分析答案：C解析：在信息系统审计中，风险矩阵是一种常用的风险评估方法。通过将风险的可能性和影响程度进行量化或定性描述，并在矩阵中进行交叉分析，可以确定风险的优先级，从而帮助审计师将有限的资源集中在最重要的风险上。比率分析、回归分析通常用于财务或业务数据分析，德尔菲法虽然可以用于风险评估，但不如风险矩阵在信息系统审计中常用。二、多选题1.信息系统审计过程中，识别信息系统风险的主要方法有哪些（）A.流程分析B.资产识别C.情景分析D.风险概率评估E.风险影响评估答案：ABC解析：识别信息系统风险是风险评估的第一步，主要方法包括流程分析（通过分析业务流程识别与之相关的信息系统和潜在风险）、资产识别（识别对组织重要的信息资产及其面临的威胁）以及情景分析（设想可能发生的风险事件及其后果，以识别潜在风险）。风险概率评估和风险影响评估是风险分析阶段的内容，用于评估已识别风险的可能性和后果，而不是主要用于风险识别。2.以下哪些属于信息系统控制类型（）A.预防性控制B.检查性控制C.纠正性控制D.报告性控制E.机械性控制答案：ABCD解析：信息系统控制类型通常分为预防性控制（旨在防止错误或舞弊发生）、检查性控制（旨在发现错误或舞弊）、纠正性控制（旨在纠正已发生的错误或舞弊）和报告性控制（旨在报告错误或舞弊信息）。机械性控制通常指物理环境下的控制，虽然可能与信息系统相关，但不是信息系统的核心控制类型分类。3.信息系统审计证据的充分性和适当性取决于哪些因素（）A.风险评估结果B.审计目标C.审计程序的执行D.审计证据的质量E.审计人员的专业胜任能力答案：ABCD解析：审计证据的充分性是指证据的数量足以支持审计结论，适当性是指证据的质量能够如实反映被审计事项。两者都取决于风险评估结果（风险越高，需要的证据越充分、越适当）、审计目标（不同的目标需要不同类型的证据）、审计程序的执行（执行的程序越有效，获取的evidence越充分、越适当）以及审计证据的质量（证据本身的真实性、可靠性等）。审计人员的专业胜任能力影响证据获取的效率和效果，但不是决定证据充分性和适当性的直接因素。4.在进行信息系统审计时，审计师需要考虑哪些内部控制的要素（）A.授权B.审计追踪C.安全职责D.程序变更控制E.物理安全答案：ABCDE解析：信息系统的内部控制是一个复杂的系统，其要素通常包括授权（确保操作被授权）、审计追踪（记录系统活动以便审查）、安全职责（明确安全相关的责任）、程序变更控制（管理对系统程序和配置的变更）、物理安全（保护硬件和设备免遭未经授权的访问或损坏）等。这些要素共同构成了信息系统的控制环境。5.以下哪些是信息系统审计报告通常包含的内容（）A.审计目标B.审计范围C.审计发现D.审计证据E.审计建议答案：ABCE解析：信息系统审计报告通常包括审计目标（说明审计要达成的目的）、审计范围（说明审计的工作内容和界限）、审计发现（描述审计过程中发现的问题、风险和控制缺陷）、审计建议（针对审计发现提出的改进措施）以及审计结论（对审计工作的总结）。审计证据是形成审计发现的基础，但通常不直接包含在报告的主体部分，而是支持审计发现。6.信息系统审计过程中，数据分析通常用于哪些目的（）A.识别异常交易B.评估控制有效性C.量化风险D.了解业务流程E.评估系统性能答案：ABCE解析：数据分析在信息系统审计中扮演重要角色，常用于识别异常交易（可能指示舞弊或错误）、评估控制有效性（通过分析控制日志或输出验证控制是否按设计运行）、量化风险（估算某些风险发生的可能性和影响程度）以及了解业务流程（通过分析数据流和交易模式理解业务运作方式）。评估系统性能通常属于技术运维范畴，而非审计的主要目的。7.以下哪些属于信息系统的一般控制（）A.用户访问控制B.系统软件变更控制C.数据备份与恢复D.操作系统安全配置E.应用程序开发控制答案：ABCD解析：一般控制（GeneralControls,GC）是指支持应用系统运行的基础环境控制，通常不直接应用于特定应用，而是保障整个信息系统的稳定和安全的控制。用户访问控制、系统软件变更控制、数据备份与恢复以及操作系统安全配置都属于一般控制的范畴。应用程序开发控制通常被视为应用控制（ApplicationControls）的一部分。8.在评估信息系统的合规性时，审计师需要关注哪些方面（）A.法律法规要求B.行业标准C.组织内部政策D.第三方服务协议E.人员操作手册答案：ABCD解析：信息系统的合规性评估需要考虑多个方面，包括适用的法律法规要求（如数据保护法、网络安全法）、相关的行业标准（如支付卡行业数据安全标准）、组织内部制定的政策和程序、以及与第三方服务提供商签订的服务协议中关于合规性的条款。人员操作手册属于操作指南，通常不作为合规性评估的主要对象，但手册内容应符合合规要求。9.信息系统审计计划通常包括哪些要素（）A.审计目标B.审计范围C.审计资源D.审计时间表E.审计程序答案：ABCDE解析：一份完整的信息系统审计计划应包含多个关键要素，包括明确的审计目标（说明审计要达成的目的）、清晰的审计范围（界定审计的工作内容和界限）、详细的审计资源计划（包括人员、预算等）、具体的审计时间表（安排各项审计活动的起止时间）以及设计的审计程序（列出将执行的具体审计步骤和方法）。10.以下哪些是信息系统审计中常见的审计程序（）A.文件审阅B.数据分析C.访谈D.检查E.测试数据答案：ABCD解析：信息系统审计中常用的审计程序包括文件审阅（检查系统文档、政策、流程等）、数据分析（分析系统日志、交易数据等）、访谈（与关键人员交流获取信息）、检查（检查系统配置、物理环境等）以及测试数据（使用测试数据验证系统功能）。测试数据本身是审计工具或媒介，而不是一种审计程序，但使用测试数据进行测试则是一种审计程序。11.以下哪些是信息系统风险评估的输出（）A.风险清单B.风险优先级C.控制建议D.审计计划E.风险矩阵答案：ABE解析：信息系统风险评估的主要输出包括风险清单（识别并记录已识别的风险）、风险优先级（根据风险的可能性和影响确定风险的处理顺序）以及风险矩阵（用于分析和展示风险的可能性和影响，帮助确定优先级）。控制建议是在风险评估基础上，针对已识别风险提出的改进措施，属于后续审计阶段的内容。审计计划是在风险评估结果的基础上制定的，用于指导后续审计工作的开展，它依赖于风险评估的输出。12.信息系统审计过程中，收集审计证据的方法有哪些（）A.查看日志B.访谈人员C.重演交易D.检查文件E.观察操作答案：ABCDE解析：信息系统审计证据的收集方法多种多样，包括查看系统日志、访谈关键人员以获取信息、通过重演交易来验证控制有效性、检查相关文件（如系统文档、政策手册）以及直接观察系统操作或人员行为等。这些方法可以单独或组合使用，以获取充分、适当的审计证据。13.以下哪些属于信息系统的应用控制（）A.输入控制B.处理控制C.输出控制D.用户访问控制E.数据备份答案：ABC解析：信息系统的应用控制是针对特定应用系统设计的控制，旨在确保应用程序的输入、处理和输出准确、完整和授权。输入控制（如数据验证）、处理控制（如计算准确性检查）和输出控制（如报告分发控制）都属于应用控制。用户访问控制通常被视为一般控制的一部分，而数据备份属于操作控制或一般控制范畴。14.在进行信息系统审计时，审计师需要考虑哪些组织因素（）A.业务目标B.组织结构C.信息安全策略D.资源分配E.法律法规遵循答案：ABCDE解析：信息系统审计师在执行审计时，需要考虑广泛的组织因素，包括组织的业务目标（信息系统需要支持什么业务活动）、组织结构（谁负责什么，职责如何分离）、信息安全策略（组织对信息安全的承诺和方向）、资源分配（如何分配人力、财力、物力支持信息系统）以及法律法规遵循情况（组织需要遵守哪些外部和内部规定）。这些因素共同构成了信息系统的控制环境。15.信息系统审计报告通常包含哪些类型的信息（）A.审计背景B.审计发现C.审计证据D.审计建议E.审计结论答案：ABDE解析：一份完整的信息系统审计报告通常包括审计背景（介绍审计的基本情况）、审计发现（描述审计过程中发现的主要问题、风险和控制缺陷）、审计建议（针对审计发现提出的改进措施）以及审计结论（对整个审计工作的总结和评价）。审计证据是支持审计发现和结论的基础，但通常不直接详细列在报告主体中，而是体现在发现和结论的描述里。16.评估信息系统控制设计有效性的方法有哪些（）A.文件审阅B.控制描述C.符合性测试D.流程分析E.风险评估答案：ABD解析：评估信息系统控制设计有效性的主要方法包括文件审阅（检查控制文档是否完整、清晰、合理）、控制描述（获取并理解对控制的描述）、流程分析（分析业务流程中控制的应用点是否恰当）以及访谈相关人员（了解控制设计的实际意图和执行情况）。符合性测试是评估控制运行有效性的方法，风险评估是确定审计重点的方法，它们不是评估控制设计有效性的直接手段。17.以下哪些是信息系统审计中常见的风险（）A.数据泄露B.系统拒绝服务C.未授权访问D.业务流程中断E.资金损失答案：ABCDE解析：信息系统面临的风险多种多样，常见的风险包括数据泄露（敏感信息被非法获取或泄露）、系统拒绝服务（系统无法提供预期的服务）、未授权访问（非授权用户访问系统或数据）、业务流程中断（信息系统故障导致业务无法进行）以及资金损失（由于系统错误或舞弊导致财务损失）。这些都是信息系统审计需要关注的重要风险领域。18.信息系统审计过程中，确定审计范围需要考虑哪些因素（）A.风险评估结果B.审计资源C.审计目标D.组织环境E.可获取的审计证据答案：ABCD解析：确定信息系统审计范围是一个关键决策，需要综合考虑多个因素。风险评估结果（优先审计高风险领域）、审计资源（可用的人员、时间和预算限制）、审计目标（要达成的具体审计目的）以及组织的整体环境（业务特点、技术架构、合规要求等）都是确定审计范围时需要考虑的重要因素。可获取的审计证据虽然会影响审计深度，但通常不是确定审计广度（范围）的首要因素。19.以下哪些活动可能构成信息系统舞弊（）A.隐藏/篡改数据B.绕过控制C.创建虚假交易D.内部人员串通E.外部攻击答案：ABCD解析：信息系统舞弊是指利用系统或利用对系统的访问权限进行欺骗、窃取或破坏的行为。常见的舞弊活动包括隐藏或篡改数据、绕过或禁用控制、创建虚假的交易记录或用户账户、以及内部人员与其他人员串通进行舞弊。外部攻击（如黑客入侵）虽然可能造成损失，但通常不直接归类为内部人员的舞弊行为，尽管攻击者可能试图绕过控制或窃取数据。20.信息系统审计过程中，沟通的重要性体现在哪些方面（）A.与被审计单位管理层沟通审计计划B.向审计客户报告审计发现C.与审计团队成员沟通风险D.向业务用户解释控制要求E.与监管机构汇报审计结果答案：ABCD解析：沟通在信息系统审计过程中至关重要，体现在多个方面。需要与被审计单位管理层沟通审计计划、范围和目标；向审计客户（通常是管理层）清晰报告审计发现和结论；在审计团队内部，需要就风险、发现、程序等进行有效沟通；有时也需要向业务用户解释控制的要求或审计的目的。向监管机构汇报通常不是内部审计的职责，除非有特定要求。三、判断题1.信息系统审计的目标是评估信息系统的风险和控制，并确保其符合组织的政策和外部法规要求。（）答案：正确解析：信息系统审计的核心目标确实是评估信息系统的风险状况和内部控制的有效性，判断其是否能够保障组织信息资产的安全，并确保系统运行符合组织的政策、程序以及相关的法律法规要求。这包括对安全性、合规性、可靠性和效率等方面的评估。2.风险评估是信息系统审计的最后一个阶段。（）答案：错误解析：风险评估是信息系统审计过程中非常关键的一个阶段，它通常在审计计划阶段进行，目的是识别、分析和评估信息系统面临的风险，从而确定审计重点和优先级。风险评估不是审计的最后一个阶段，通常在审计计划之后，审计现场工作之前进行，其结果将直接影响审计程序的设计和执行。3.控制测试是评估控制设计有效性的主要方法。（）答案：错误解析：控制测试（也称为控制运行有效性测试）的主要目的是评估控制是否按照设计要求在实际运行中有效执行。评估控制设计有效性的主要方法是控制设计测试（或设计评价），它关注的是控制是否被适当地设计出来以应对特定的风险。设计测试通常通过审阅文档、流程图和访谈来实现。4.信息系统审计证据的质量比证据的数量更重要。（）答案：正确解析：在信息系统审计中，审计证据的质量至关重要。高质量的证据是真实、相关、可靠且具有说服力的，能够有效地支持审计发现和结论。虽然证据的数量也很重要，以确保审计的充分性，但如果证据质量低下，数量再多也无法得出可靠的审计结论。因此，审计师应努力获取高质量的证据。5.审计发现是指审计师在审计过程中发现的所有问题。（）答案：错误解析：审计发现不仅仅是发现的问题，它是指审计师在审计过程中识别出的、关于被审计单位信息系统方面的重要情况，这些情况可能表明存在控制缺陷、风险未得到适当管理、不符合政策或法规，或者未能实现预定目标。审计发现通常包括对情况的描述、对原因的分析以及潜在的影响评估。6.内部控制是组织内部用于管理风险、实现目标而建立的一系列政策和程序。（）答案：正确解析：内部控制确实是指组织内部由董事会、管理层和其他员工实施的政策和程序，旨在为实现组织目标提供合理保证。这些目标通常涵盖运营的效率效果、财务报告的可靠性、法律法规的遵循以及资产的安全防护等方面。内部控制是一个动态的系统，需要根据内外部环境的变化进行持续的监控和改进。7.信息系统审计报告的目的是向被审计单位提供详细的改进建议。（）答案：错误解析：信息系统审计报告的主要目的是向报告的使用者（通常是管理层）沟通审计结果，包括审计发现、评估的风险以及审计结论。报告确实会包含审计建议，但这些建议是针对审计发现提出的，旨在帮助被审计单位改进其信息系统的风险管理、控制和流程。报告的目的不是仅仅提供建议，而是全面沟通审计工作及其结果。8.审计计划是在审计现场工作开始之前制定的。（）答案：正确解析：审计计划是信息系统审计工作的蓝图，它详细说明了审计的目标、范围、方法、时间安排、资源需求和责任分配等。一份良好的审计计划需要在审计现场工作开始之前制定完成，以便指导整个审计过程的顺利进行，确保审计活动是有目的、有组织、高效率地开展的。9.数据分析只能用于评估控制有效性，不能用于风险识别。（）答案：错误解析：数据分析在信息系统审计中既是评估控制有效性的有力工具，也是识别风险的重要手段。通过分析系统日志、交易数据、配置文件等，审计师可以识别异常模式、趋势变化、潜在的错误或舞弊迹象，从而发现未预见到的风险或确认已识别风险的严重程度。数据分析贯穿于风险评估和控制的整个审计过程。10.信息系统审计师需要具备技术知识，但不需要了解业务流程。（）答案：错误解析：信息系统审计师不仅需要具备扎实的技术知识，以理解信息系统的架构、技术组件、安全机制和操作原理，还需要深入理解被审计单位的业务流程。只有将技术与业务相结合，审计师才能有效地评估信息系统是否能够支持业务目标的实现，是否存在因业务理解偏差导致的风险或控制不足。业务理解是信息系统审计的基础。四、简答题1.简述信息系统风险评估的主要步骤。答案：信息系统风险评估通常包括以下主要步骤：（1）风险识别：通过流程分析、资产识别、访谈、文档审阅等方法，识别出信息系统所面临的潜在风险，并记录在风险清单中。（2）风险分析：对已识别的风险进行分析，通常包括风险概率评估（评估风险发生的可能性）和风险影响评估（评估风险一旦发生可能造成的后果严重程度）。分析可以采用定性、定量或混合方法。（3）风险评价/优先级排序：根据风险分析的结果，结合风险承受能力，对风险进行排序或分类，确定哪些风险需要优先处理。这通常使用风险矩阵等工具完成。风险评估是一个持续的过程，需要随着系统环境的变化而定期进行或更新。2.简述信息系统一般控制与应用控制的主要区别。答案：信息系统的一般控制（GeneralControls,GC）和应用控制（ApplicationControls,AC）的主要区别在于它们的范围和目的：（1）范围：一般控制支持整个信息系统的运行，保护基础环境和基础应用，影响多个应用系