系统开发审计包括在不同时刻进行审查来保证开发活动得到适当的控制和管理。以下各项中不属于审查内容的是？（）A、根据可供利用的硬件、软件和技术资源实施技术可行性研究。B、审查在每个实施阶段用户的参与程度。C、验证为了程序开发、变更和测试而对控制和质量保证技术的使用。D、确定系统、用户以及操作的文件说明是否与正式标准相符。

8、正确错误正确正确
9、ECADB
10、α测试β测试
11、D ACB
8.[解析] 配置测试是要检查计算机系统内各个设备或各种资源之间的相互联结和功能分配中的错误。它主要包括配置命令测试、循环配置测试、修复测试。其中，配置命令测试要求验证全部配置命令的可操作性(有效性)，特别对最大配置和最小配置要进行测试。软件配置和硬件配置都要测试。循环配置测试要求证明对每个设备物理与逻辑的、逻辑与功能的每次循环置换配置都能正常工作。修复测试要求检查每种配置状态及哪个设备是坏的，并用自动或手工的方式进行配置状态间的转换。通常，对硬件配置的要求是硬件配置必须要达到系统运行的最低要求，确保能支持软件正常运行。系统测试的目的在于通过与系统的需求定义做比较，以发现软件与系统的定义不符合或与之矛盾的地方。它通常由开发人员负责完成。验收测试是以使用系统的人员(即用户)为主的测试，软件开发人员和QA(质量保证)人员也应参加。由用户参加设计测试用例，使用生产中的实际数据进行测试。9.[解析] 软件测试实施过程分为单元测试、集成测试、确认测试、系统测试和验收测试等。单元测试也称为模块测试，通常在编码阶段进行，是软件测试的最基本的部分。单元测试对源程序的每一个程序单元进行测试，检查模块内部的错误，并验证每个模块是否满足系统设计说明书的要求。若达不到设计要求或发现编码错误，则应回到编码阶段进行修改。换而言之，单元测试检查各个程序模块是否正确地实现了规定的功能，确保其能正常工作。集成测试也称为组装测试，是把模块在按照设计要求组装起来的同时进行测试，主要目的是验证组成软件系统各模块的接口和交互作用是否错误。具体而言，它的主要任务包括(但不限于)：①将各模块连接起来，检查模块相互调用时，数据经过接口是否丢失；②将各个子功能组合起来，检查能否达到预期要求的各项功能；③一个模块的功能是否会对另一个模块的功能产生不利的影响；④全局数据结构是否有问题，会不会被异常修改；⑤单个模块的误差积累起来，是否被放大，从而达到不可接受的程度。确认测试是检验软件的功能和性能及其他特性是否满足了需求规格说明(或合同)中确定的各种需求，软件配置是否完全、正确，文档资料是否完整，确认人机界面和其他方面是否令用户满意。系统测试是把通过确认测试的软件系统作为整个基于计算机系统的一个元素，与计算机硬件、外设、某些支持软件、数据和人员等其他系统元素结合在一起，以需求规格说明为依据，在实际运行环境下的测试活动。它用于检验软件产品能否与实际运行环境中的系统的其他部分(如硬件、数据库及操作人员等)协调地工作。验收测试是从实际终端用户的使用角度，对软件的功能和性能进行测试，以便发现可能只有最终用户才能发现的错误。换而言之，它是在测试组协助下，由用户代表审查验收文档资料，测试软件系统的功能和性能等。其主要任务是进一步验证软件的有效性，即检查软件的功能和性能是否与用户的要求一致。同时验收测试要进行对软件配置的复审，即要检查软件(源程序、目标程序)和文档(包括面向开发和用户)是否齐全以及分类是否有序。确保文档、资料的正确和完善，以便在维护阶段使用。10.[解析] α测试是由一个用户在开发环境下进行的测试，也可以是公司内部的用户在模拟实际操作环境下进行的测试。其目的是评价软件产品的FLURPS(即功能、局域化、可使用性、可靠性、性能和支持)，尤其注重产品的界面和特色。α测试可以从软件产品编码结束之时开始，或在模块(子系统)测试完成之后开始，也可以在确认测试过程中产品达到一定的稳定和可靠程度之后再开始。β测试是由软件的多个用户在实际使用环境下进行的测试。这些用户返回有关错误信息给开发者。测试时，开发者通常不在测试现场。因此β测试是在开发者无法控制的环境下进行的软件现场应用。β测试主要衡量产品的FLURPS，着重于产品的支持性，包括文档、客户培训和支持产品生产能力。通常，只有当α测试达到一定的可靠程度时，才能开始β测试。11.[解析] 用户界面测试用于核实用户与软件之间的交互，检查用户界面中的设计是否合乎用户的期望或要求，界面中的对象是否按照预期的方式运行。针对界面的正确性、导航性、易用性、协调性、规范性及独特性等进行测试属于界面测试。例如，当用户浏览Web应用系统时是否感到舒适?是否凭直觉就知道要找的信息在什么地方?整个Web应用系统的设计风格是否一致?对整体界面的测试过程，其实是一个对最终用户进行调查的过程。通常，Web应用系统采取在主页上做一个调查问卷的形式来得到最终用户的反馈信息。对所有的用户界面测试而言，都需要有外部人员(与Web应用系统开发没有联系或联系很少的人员)的参与，最好是最终用户的参与。安全性测试是测试系统在应付非授权的内部/外部访问、非法侵入(或故意损坏)时的系统防护能力，检验系统有能力使可能存在的内/外部的损害的风险限制在可接受的水平内。它要检验在系统中已经存在的系统安全性、保密性措施是否发挥作用，有无漏洞。通常，可以通过以下几种破坏方法来检验系统的安全性(包含但不限于)：①正面攻击或从侧面、背面攻击系统中易受损坏的那些部分；②以系统输入为突破口，利用输入的容错性进行正面攻击；③申请和占用过多的资源压垮系统，以破坏安全措施，从而进入系统；④故意使系统出错，利用系统恢复的过程，窃取用户口令及其他有用的信息；⑤通过浏览残留在计算机各种资源中的垃圾(无用信息)，以获取诸如口令、安全码和译码关键字等信息；⑥浏览全局数据，期望从中找到进入系统的关键字；⑦浏览那些逻辑上不存在，但物理上还存在的各种记录和资料等。功能性测试是测试Web应用系统与用户之间的交互功能能否正确执行。安装测试是检测Web应用系统在安装过程中是否有误、是否易操作，安装后是否可立即正常运行。

A正确。可行性研究应在系统分析阶段实施。B不正确，开发过程中用户的参与很重要，是审查的内容。C不正确，这保证了不同阶段开发过程的质量，是审查的内容。D不正确，没有良好的文件说明，信息系统如果不是不可能的话，也很难进行操作、维护和使用，因此也是审查的内容。

密码屏蔽程序在用户验证时使用(也就是说，保证有效的密码只能由正确的人知道)。选项B不正确，因为访问控制软件中建立用户权限的方法与用户访问系统相关。选项C不正确，因为非活动用户的撤销程序在身份鉴定时使用，非活动用户不再会被接受。

A正确。根据可供利用的硬件、软件和技术资源实施技术可行性研究应在系统分析阶段完成，不属于系统开发阶段的工作，因而不属于审查内容。B不正确，每个实施阶段用户的参与程度是系统开发中管理活动的一个方面，因而属于审查的内容。C不正确，这些控制和质量保证技术是为了程序的开发、变更和测试而使用的，因而属于审查的内容。D不正确，有关的文件说明是否符合标准是系统开发控制和管理活动的一个方面，因而属于审查的内容。

D内部审计审核IT数据输入操作的目标是要确定输入／输出控制是否适当和有效。选项A不正确，确定系统开发标准是否存在以及是否得到遵循，是要确保系统在一个受控的环境下得到开发。选项B不正确，系统开发员需要具备开发系统所要求的技能和知识，但确认系统开发员是否具备这方面的知识和技能，不是内部审计审核IT运营的工作。选项C不正确，内部审计有责任评估IT运营的有效性、效率以及控制的适当性，而利用技术发展水平相当的设备和程序不是既有效又有效率的系统的必备要求。

Ⅰ的描述是系统分析阶段，不是系统开发阶段。

应用终端用户计算的审计应包括确定终端用户计算的应用程序、对应用程序风险进行排列、对控制情况进行文件处理和测试等。

D正确。根据实务公告1310-1质量保证与改进程序的要求，质量保证与改进程序还包括对建议的后续追踪，涉及对资源、技术、过程和程序做出适当、及时的调整。

用户参与到开发过程的各阶段非常重要；验证用于代码转换的质量保证技术，能保证开发过程各个阶段的质量；良好的文档，对信息系统的运行、维护和使用都很重要。

如果审计师参与了系统的设计、安装、程序起草或操作，就会认为审计的客观性受到损害。而选项A、B、C均是内部审计师的职责之一，是不会损害其客观性的。