云计算环境下，信息技术审计的特殊风险点包括

云计算环境下，信息技术审计的特殊风险点包括

1. 云计算环境下，信息技术审计的特殊风险点包括（）

A. 云服务提供商的控制措施不可见，审计证据获取难度大

B. 数据跨地域存储，合规性风险增加

C. 云服务中断对业务的影响范围更广

D. 云环境下无需关注传统的访问控制风险

答案：ABC

解析：云计算环境下，审计面临云服务商控制不可见、证据获取难，数据跨地域存储引发合规问题，服务中断影响范围广等特殊风险，A、B、C正确；访问控制是核心安全风险，云环境下仍需重点关注，D错误。

2. 信息系统开发审计中，针对“需求分析阶段”的审计要点包括（）

A. 需求文档是否经过业务部门和IT部门共同确认

B. 需求是否清晰、完整且可验证

C. 需求变更是否有规范的审批流程

D. 系统开发语言是否先进

答案：ABC

解析：需求分析阶段审计需确保需求的真实性（业务与IT共同确认）、质量（清晰完整可验证）及变更管控规范，A、B、C正确；开发语言的先进性属于技术实现细节，并非需求分析阶段的审计要点，D错误。

3. 信息系统访问日志审计中，审计人员应重点识别的异常行为是（）

A. 普通员工在工作时间登录系统

B. 管理员在非工作时间批量修改用户权限

C. 员工登录系统后查询本人权限范围内的业务数据

D. 系统自动生成的常规操作日志

答案：B

解析：异常行为通常表现为与常规操作不符的行为，管理员非工作时间批量修改权限，超出正常工作需求，可能存在恶意操作风险，需重点识别；A、C属于正常操作，D是系统常规日志，均非异常，故B正确。

4. 下列关于信息技术审计报告的说法，错误的是（）

A. 报告应明确指出审计发现的问题及风险等级

B. 报告应包含针对问题的整改建议

C. 报告只需提交给被审计单位的IT部门

D. 报告应客观反映审计范围、方法和结论

答案：C

解析：信息技术审计报告需提交给被审计单位管理层、治理层（如董事会审计委员会），而非仅IT部门，以确保管理层了解IT风险并推动整改；A、B、D均为审计报告的核心要素，故C错误。

5. 信息系统安全审计中，针对“钓鱼攻击防范”的审计重点是（）

A. 钓鱼邮件的过滤规则是否有效且定期更新

B. 员工的邮箱容量大小

C. 邮件发送的附件大小限制

D. 邮箱的登录界面设计

答案：A

解析：防范钓鱼攻击的核心是通过有效过滤规则拦截钓鱼邮件，且规则需定期更新以应对新的攻击手段；邮箱容量、附件限制、界面设计与钓鱼攻击防范无直接关联，故A正确。

6. 下列哪种审计方法最适合验证信息系统数据处理逻辑的正确性（）

A. 询问IT运维人员

B. 检查系统开发文档

C. 进行数据穿行测试

D. 观察系统的运行状态

答案：C

解析：穿行测试是指模拟真实业务数据在系统中的处理流程，直接验证数据输入、处理、输出的逻辑是否正确，最具针对性；询问、检查文档、观察均为间接方法，无法直接验证处理逻辑的正确性，故C正确。