IS审计师评估逻辑访问控制时首先应该：（）

当评估逻辑访问控制时，IS审计师应该首先通过评审相关的文档、询问并执行风险评估来掌握和理解信息处理面临的风险。记录和估计是在评估充分性。高效性、有效性的第二步，从而确定控制的缺陷或冗余。第三步是测试访问路径一来决定控制是否起作用。最后，IS审计师评估安全环境以评估其充分性，一般通过评审已有的政策文件、观察实践并与适当的安全最佳实践相比来评估。点评：审计计划：了解业务—法律法规—风险评估—审计目标。