IS审计师在审查某组织的业务持续计划(BCP)时应最关注以下哪一项？
A.未针对关键的生产文件执行每日完整备份。
B.—个IT与信息安全团队进行了业务影响分析(BIA)。
C.在中断期间手工执行敏感信息流程。
D.不执行BCP年度测试。
答案与解析：B
A.若进行增量备份或差异备份，则可能不需要进行每日完整备份。
B.为确保有效，业务影响分析(BIA)应当利用众多利益相关方的反馈进行。BIA中包含的业务要求对定义平均修复时间和数据点恢复是必不可少的。若没有利益相关方的反馈，这些关键要求可能无法得到正确定义，从而导致忽略关键的资产。
C.若出现业务连续性计划(BCP)事件，只要达到服务交付目标，并按数据分类与处理政策处理数据，则可以手工履行“敏感”职能。
D.在创建BCP方面，测试频率不如业务参与重要。