关于下面的题目，我想问下，effective staging and job setup procedures这到底是些什么东西？

352. During an audit of the tape management system at a data center, an IS auditor discovered that parameters are set to bypass or ignore the labels written on tape header records. The IS auditor also determined that effective staging and job setup procedures were in place. In this situation, the IS auditor should conclude that the:
A. tape headers should be manually logged and checked by the operators.
B. staging and job setup procedures are not appropriate compensating controls.
C. staging and job setup procedures compensate for the tape label control weakness.
D. tape management system parameters must be set to check all labels.

Explanation:
Compensating controls are an important part of a control structure. They are considered adequate if they help to achieve the control objective and are cost-effective. In this situation, the IS auditor is most likely to conclude that staging and job setup procedures compensate for the tape label control weakness.

The correct answer is:C

这道题，review manual 上有原话，用来举例说明什么是compensating control
As another example of a compensating control, the IS auditor might find that the tape management system at a data center or information facility has a control weakness in that some parameters are set to bypass or ignore the labels written on tape header records. This is a control weakness. However, if the IS auditor finds very strong staging and job setup procedures that are considered to be adequate, the IS auditor may conclude that this control compensates for the control weakness over tape label controls. While a compensating control situation occurs when one stronger control supports a weaker one, overlapping controls are two strong controls. For example, if a data center employs a card key system to control physical access and a guard inside the door requires employees to show their card key or badge, an overlapping control exists. Either control might be adequate to restrict access, and the two complement each other.

同问

我认为tape labeling的小缺陷不是一个重大到影响结论的问题，既然存在有效的备份计划和日程安排程序，针对备份领域的控制目标就可以达到，那最终的结论就应该是有效
有效的备份计划和日程安排程序就可以作为已知缺陷的补偿控制

第一反应应该是这种控制是较弱的，是否可以作为补偿控制还要调查整体管理状况后再做结论，不会以这个小缺陷来断定整体的操作方案。

有没有人把an IS auditor discovered that parameters are set to bypass or ignore the labels written on tape header records这句翻译一下。

跟前面一个问题有点重复！

同惑，staging and job setup 是什么？

IS审计师发现所设置的参数允许（XX人）绕过磁带头部记录的文件标签（进行访问）。
不知道翻译的是否准确。

Staging在这里相当于Arranging。Job Setup可理解为Position Description. 这样你是否比较好理解。

其实我在以前的一个帖子中都谈到过审计中有三种控制方式：
预防控制
检查控制
纠正/补偿控制

这道题的意思是Auditor发现磁带备份时备份系统的参数设置在备份记录的头信息中忽略了标签信息（就像在我们刻光盘时只是刻录内容，而没有给光盘一个Label）这样如果磁带的管理出现问题（如没分类摆放和外部标签被损毁），有时会造成混乱。而该Audit又发现已经有相关的措施纠正了这个缺陷，很好的计划和工作职责（应该有很完善的磁带管理职责描述）。
而后该Auditor应该认为这个control是有效的。

这道题确实有点复杂。

这道题，大家有可能和我当初一样都绕在一个圈里。就是tape header record 和staging & job setup有什么关系.为什么effective stage & job setup 是绕过磁带头参数检查的补偿性控制，这里有着极大的想象空间。绕过的参数可能是，使用次数检查，已用空间检查等等。stage & job setup可能就是每天会人为的对磁带进行检查。

这道题的考点是compensating control。

其实这个题目采用关键字及排除法也不难得出正确答案的。
就如apppa筒子所说的，关键字是compensating control，对照答案，就可以看出只有C才是compensating control。

Staging 有preparing, provisioning的意思。

这道题考点是compensate control是没错的，和前面大家说的都一致。但是如果不知道effective staging and job setup procedures是什么，就根本搞不清楚，考的是预防控制还是补偿控制，还是校正控制。

磁带备份，可以是自动倒带，也可以是手动放带。自动的话，机器手就需要通过扫描仪来扫描磁带上面的bar code（条形码）或通过读取磁头上面的信息来判断使用的是否是正确的磁带。如果设定成bypass或ignore，那就是不管磁带以前是备份的什么，直接向上面写就是了。这可能引起的问题显而易见，昨天刚刚备份的数据可能被复写了，如果想恢复昨天的数据就没有可能了（weakness)。

Job setup procedures 很好理解，自动备份都需要定义备份策略（完全备份、差异备份），就是定义一个策略的方法。
staging是个问题。有时候经常听到staging firewall，搞不清楚这个防火墙是做什么用的，实际上就是临时的平台，用来在把产品放到生产环境前做所需的测试，所以可以理解为测试用的防火墙。staging用在数据领域也是一样，Disk staging的解释可以参看http://en.wikipedia.org/wiki/Disk_staging。

有了有效的数据临时存储空间和正确的Job管理，自然可以理解这道题的关键点了。

有高手，把提干翻译一下，并且讲解一下吗？
谢谢！