首席执行官(CEO)希望对公司的信息安全状况进行内部审计。首席执行官希望避免审计过程中的任何偏见;因此,已指派销售总监进行审核。经过数周的重大互动后,审计得出结论认为,公司的政策和程序是充分、健全和完善的。然后,CEO继续聘请外部渗透测试公司,以展示该组织强大的信息安全立场。该练习揭示了几个关键安全控制的重大缺陷,并表明事件响应过程仍未记录在案。造成审计结果和外部渗透测试结果差异的最可能原因是什么()。
A.审计团队缺乏对提供给他们的数据进行有洞察力和客观评估的技术经验和培训。
B.渗透测试活动和内部审计的范围显着不同。
C.外部渗透测试公司使用了无法预测的自定义零日攻击。
D.信息技术(IT)和治理团队未能向内部审计团队披露相关信息,导致制定的评估不完整。