2025年國際注冊信息系統(tǒng)審計(jì)師（CISA）資格考試（中文版）復(fù)習(xí)題及答案二一、單項(xiàng)選擇題（每題1分，共40分）1.某組織計(jì)劃將關(guān)鍵財(cái)務(wù)系統(tǒng)遷移至云端，IS審計(jì)師在評估云服務(wù)商時，最應(yīng)關(guān)注下列哪一項(xiàng)控制？A.云服務(wù)商的ISO27001證書是否在有效期內(nèi)B.云服務(wù)商是否允許IS審計(jì)師每年進(jìn)行一次滲透測試C.云服務(wù)商數(shù)據(jù)中心的物理門禁是否采用雙重認(rèn)證D.云服務(wù)商是否將備份介質(zhì)存放于第三方保管庫答案：B解析：滲透測試可直接驗(yàn)證云服務(wù)商對租戶隔離、加密及訪問控制的有效性，比靜態(tài)證書更能反映實(shí)時風(fēng)險(xiǎn)。2.在審計(jì)企業(yè)移動設(shè)備管理（MDM）平臺時，下列哪項(xiàng)指標(biāo)最能反映“設(shè)備合規(guī)率”計(jì)算口徑的合理性？A.已注冊設(shè)備總數(shù)B.已安裝MDMProfile且策略同步成功設(shè)備數(shù)C.過去30天內(nèi)在線設(shè)備數(shù)D.已越獄但已安裝MDM客戶端的設(shè)備數(shù)答案：B解析：合規(guī)率=符合策略設(shè)備/已注冊設(shè)備，只有“已安裝Profile且策略同步成功”才代表真正受控。3.某銀行使用RPA機(jī)器人自動執(zhí)行大額付款指令，IS審計(jì)師發(fā)現(xiàn)機(jī)器人賬號擁有“修改付款指令”與“審批付款指令”雙重角色，這違反了哪項(xiàng)基本原則？A.可用性B.完整性C.職責(zé)分離D.不可否認(rèn)性答案：C4.在SOX404審計(jì)中，管理層對ITGC的“操作系統(tǒng)補(bǔ)丁管理”認(rèn)定出現(xiàn)重大缺陷，最可能導(dǎo)致下列哪項(xiàng)財(cái)務(wù)報(bào)表認(rèn)定出現(xiàn)錯報(bào)風(fēng)險(xiǎn)？A.存在性B.計(jì)價(jià)與分?jǐn)侰.完整性D.權(quán)利與義務(wù)答案：C解析：補(bǔ)丁缺失導(dǎo)致系統(tǒng)被篡改，交易記錄可能被刪除或插入，直接影響完整性認(rèn)定。5.某IS審計(jì)師使用CAATs對1000萬條交易日志進(jìn)行異常檢測，第一步最佳做法是：A.直接運(yùn)行聚類算法B.對日志字段進(jìn)行數(shù)據(jù)剖析（Profiling）C.刪除明顯重復(fù)記錄D.將全部日志導(dǎo)入Excel透視表答案：B6.在審計(jì)容器安全時，發(fā)現(xiàn)Dockerfile中存在“FROMubuntu:latest”，IS審計(jì)師應(yīng)提出哪項(xiàng)建議？A.將latest改為具體版本號并啟用鏡像簽名驗(yàn)證B.將基礎(chǔ)鏡像改為Alpine以降低容量C.刪除MAINTAINER指令D.在CI階段引入SonarQube答案：A7.某組織采用DevOps，審計(jì)師發(fā)現(xiàn)生產(chǎn)Kubernetes集群的kubeconfig文件被上傳至公共代碼倉庫，最緊迫的補(bǔ)救措施是：A.輪換集群證書并吊銷泄露的kubeconfigB.修改倉庫為私有C.啟用倉庫雙因子認(rèn)證D.在集群啟用PodSecurityPolicy答案：A8.關(guān)于區(qū)塊鏈智能合約審計(jì)，下列哪項(xiàng)最能防止重入攻擊？A.使用tx.origin做身份校驗(yàn)B.先修改狀態(tài)變量再調(diào)用外部合約C.采用OpenZeppelin的ReentrancyGuardD.限制gas上限答案：C9.在審計(jì)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）時，發(fā)現(xiàn)RTO為4小時，但最近一次演練中關(guān)鍵系統(tǒng)恢復(fù)耗時6小時，審計(jì)師應(yīng)：A.出具重大發(fā)現(xiàn)，要求立即降低RTOB.評估差異根因，檢查是否因演練范圍縮小導(dǎo)致C.接受結(jié)果，因?yàn)檠菥毑坏扔谡鎸?shí)災(zāi)難D.建議將RTO調(diào)整為6小時答案：B10.某數(shù)據(jù)中心采用冷通道封閉，IS審計(jì)師使用熱成像儀檢測發(fā)現(xiàn)部分機(jī)柜熱點(diǎn)溫度超過27℃，首要檢查：A.機(jī)房濕度設(shè)定值B.冷通道地板出風(fēng)口風(fēng)速C.UPS負(fù)載率D.消防系統(tǒng)氣體滅火劑類型答案：B11.審計(jì)師測試數(shù)據(jù)庫加密時發(fā)現(xiàn)，TDE（透明數(shù)據(jù)加密）已啟用，但備份文件未加密，最可能違反哪項(xiàng)法規(guī)？A.GDPR第32條B.PCIDSSReq3.4C.ISO27001A.8.2.3D.中國《個人信息保護(hù)法》第51條答案：B12.在審計(jì)特權(quán)訪問管理（PAM）時，發(fā)現(xiàn)域管賬號被多人共享，且近90天未輪換密碼，最佳改進(jìn)措施是：A.強(qiáng)制每30天改密B.啟用Checkout機(jī)制，一人一事一密C.將域管賬號加入日志審計(jì)系統(tǒng)D.降低域管賬號數(shù)量答案：B13.某IS審計(jì)師評估AI模型風(fēng)險(xiǎn)，發(fā)現(xiàn)訓(xùn)練數(shù)據(jù)包含客戶PII，模型輸出可能泄露隱私，應(yīng)優(yōu)先建議：A.對輸出結(jié)果進(jìn)行k-匿名化B.采用差分隱私技術(shù)C.刪除訓(xùn)練數(shù)據(jù)中的PIID.增加模型復(fù)雜度答案：B14.在SDLC審計(jì)中，發(fā)現(xiàn)生產(chǎn)發(fā)布窗口固定在周五晚，但無回滾演練記錄，審計(jì)師應(yīng)：A.建議取消周五發(fā)布B.檢查變更管理流程是否要求回滾演練C.要求每次發(fā)布必須藍(lán)綠部署D.統(tǒng)計(jì)過去失敗次數(shù)答案：B15.審計(jì)日志管理系統(tǒng)時，發(fā)現(xiàn)日志源時間不同步，最大偏差達(dá)5分鐘，最可能導(dǎo)致：A.無法關(guān)聯(lián)多源事件B.日志壓縮率下降C.存儲容量超標(biāo)D.日志被篡改答案：A16.某組織采用零信任架構(gòu)，審計(jì)師驗(yàn)證“設(shè)備信任”時，最應(yīng)檢查：A.設(shè)備是否加入AD域B.設(shè)備證書是否由組織私有的CA簽發(fā)且未吊銷C.設(shè)備是否安裝EDRD.設(shè)備IP是否屬于內(nèi)網(wǎng)段答案：B17.在審計(jì)API網(wǎng)關(guān)時，發(fā)現(xiàn)JWT令牌有效期設(shè)置為365天，最佳建議是：A.縮短至15分鐘并啟用刷新令牌B.將簽名算法由RS256改為HS256C.在JWT中加入用戶角色D.啟用API限流答案：A18.某IS審計(jì)師使用Nmap掃描發(fā)現(xiàn)公網(wǎng)IP的3389端口開放，但防火墻規(guī)則顯示已關(guān)閉，最可能原因是：A.防火墻規(guī)則未生效B.該主機(jī)位于DMZC.防火墻使用了NAT回流D.掃描源IP被加入白名單答案：A19.在審計(jì)數(shù)據(jù)分類分級時，發(fā)現(xiàn)“公開”級別的數(shù)據(jù)被存儲在加密磁盤，而“機(jī)密”數(shù)據(jù)未加密，審計(jì)師應(yīng)：A.接受，因?yàn)榧用艽疟P提供額外保護(hù)B.出具發(fā)現(xiàn)，要求調(diào)整控制措施與分級匹配C.建議將機(jī)密數(shù)據(jù)降級D.建議取消公開數(shù)據(jù)加密以節(jié)省資源答案：B20.審計(jì)師驗(yàn)證漏洞管理流程時，發(fā)現(xiàn)CVSS9.8的漏洞超過SLA30天未修復(fù)，且無書面豁免，應(yīng)：A.直接報(bào)告給董事會B.評估是否已采取補(bǔ)償控制C.接受，因?yàn)闃I(yè)務(wù)系統(tǒng)不能停機(jī)D.建議降低CVSS評分答案：B21.在審計(jì)云存儲桶配置時，發(fā)現(xiàn)某桶被設(shè)置為“PublicRead”，但桶內(nèi)為加密日志文件，審計(jì)師應(yīng)：A.接受，因?yàn)槲募鸭用蹷.檢查加密密鑰是否也公開C.立即關(guān)閉PublicReadD.評估日志是否含敏感數(shù)據(jù)答案：D22.某組織使用AI聊天機(jī)器人處理客戶投訴，審計(jì)師發(fā)現(xiàn)機(jī)器人未記錄對話日志，最可能違反：A.可用性B.可審計(jì)性C.保密性D.可靠性答案：B23.在審計(jì)IT外包合同時，發(fā)現(xiàn)合同未明確審計(jì)權(quán)條款，IS審計(jì)師應(yīng)：A.拒絕出具審計(jì)報(bào)告B.建議增加“審計(jì)權(quán)”及“審計(jì)配合”條款C.接受，因?yàn)橥獍桃淹ㄟ^ISO27001D.建議更換外包商答案：B24.審計(jì)師測試數(shù)據(jù)庫審計(jì)日志時發(fā)現(xiàn)，DBA可刪除日志記錄，最佳改進(jìn)是：A.將日志寫入只讀光盤B.將日志實(shí)時發(fā)送到SIEM并啟用WORM存儲C.每日導(dǎo)出CSV并壓縮D.增加DBA監(jiān)控?cái)z像頭答案：B25.在審計(jì)電子簽章系統(tǒng)時，發(fā)現(xiàn)證書私鑰存儲在HSM中，但簽名過程未記錄哈希值，審計(jì)師應(yīng)：A.建議增加哈希記錄以實(shí)現(xiàn)不可否認(rèn)B.接受，因?yàn)镠SM已保證不可否認(rèn)C.建議更換HSM廠商D.建議縮短證書有效期答案：A26.某IS審計(jì)師評估紅隊(duì)演練報(bào)告，發(fā)現(xiàn)演練未通知運(yùn)維團(tuán)隊(duì)，導(dǎo)致生產(chǎn)告警風(fēng)暴，審計(jì)師應(yīng)：A.批評紅隊(duì)B.檢查演練是否獲得書面授權(quán)及隔離方案C.建議取消紅隊(duì)演練D.建議增加告警閾值答案：B27.在審計(jì)數(shù)據(jù)治理時，發(fā)現(xiàn)數(shù)據(jù)Owner未每季度評審訪問權(quán)限，審計(jì)師應(yīng)：A.建議將評審周期改為每年B.出具發(fā)現(xiàn)，要求按季度執(zhí)行并留存證據(jù)C.接受，因?yàn)镮AM系統(tǒng)已自動回收D.建議取消數(shù)據(jù)Owner角色答案：B28.審計(jì)師測試防火墻變更管理，發(fā)現(xiàn)一條臨時規(guī)則已存在180天，最佳建議是：A.接受，因?yàn)闃I(yè)務(wù)需要B.要求每30天重新申請并評審C.將規(guī)則改為永久D.增加規(guī)則描述答案：B29.在審計(jì)開源組件治理時，發(fā)現(xiàn)項(xiàng)目使用Log4j2.14.1，審計(jì)師應(yīng)：A.立即升級至2.17.1以上并運(yùn)行SCA掃描B.接受，因?yàn)橐汛蜓a(bǔ)丁C.建議改用LogbackD.建議關(guān)閉日志功能答案：A30.某組織使用生物識別門禁，IS審計(jì)師發(fā)現(xiàn)指紋模板存儲在本地讀卡器，未加密，應(yīng)：A.接受，因?yàn)樽x卡器在機(jī)房內(nèi)B.建議加密模板并啟用防拆檢測C.建議改用IC卡D.建議增加保安答案：B31.在審計(jì)云原生微服務(wù)時，發(fā)現(xiàn)服務(wù)間通信使用mTLS，但證書有效期5年，應(yīng)：A.接受，因?yàn)閙TLS已安全B.建議縮短至13個月并啟用自動輪換C.建議改為JWTD.建議增加IP白名單答案：B32.審計(jì)師驗(yàn)證災(zāi)備演練時，發(fā)現(xiàn)數(shù)據(jù)庫切換后數(shù)據(jù)丟失15分鐘，應(yīng)：A.建議調(diào)整RPO并檢查日志同步機(jī)制B.接受，因?yàn)镽TO已達(dá)標(biāo)C.建議縮短演練周期D.建議增加帶寬答案：A33.在審計(jì)物聯(lián)網(wǎng)（IoT）平臺時，發(fā)現(xiàn)設(shè)備固件可通過HTTP升級，且未驗(yàn)證簽名，應(yīng)：A.建議啟用HTTPS并驗(yàn)證簽名B.建議關(guān)閉升級功能C.建議增加設(shè)備白名單D.建議降低升級頻率答案：A34.某IS審計(jì)師評估數(shù)據(jù)湖安全，發(fā)現(xiàn)S3桶未啟用訪問日志，應(yīng)：A.建議啟用日志并發(fā)送到中央SIEMB.接受，因?yàn)橥耙鸭用蹸.建議改用HDFSD.建議增加IAM角色答案：A35.在審計(jì)敏捷項(xiàng)目時，發(fā)現(xiàn)Sprint回顧會議未記錄安全缺陷，應(yīng)：A.建議在回顧會新增安全檢查點(diǎn)B.接受，因?yàn)槊艚莶粡?qiáng)調(diào)文檔C.建議增加安全SprintD.建議更換ScrumMaster答案：A36.審計(jì)師測試電力系統(tǒng)時，發(fā)現(xiàn)UPS電池運(yùn)行時間僅30秒，應(yīng)：A.立即更換電池并測試放電B.接受，因?yàn)橛邪l(fā)電機(jī)C.建議關(guān)閉非關(guān)鍵設(shè)備D.建議增加UPS數(shù)量答案：A37.在審計(jì)安全意識培訓(xùn)時，發(fā)現(xiàn)phishing演練點(diǎn)擊率45%，應(yīng)：A.建議增加培訓(xùn)頻次并針對性輔導(dǎo)B.接受，因?yàn)樾袠I(yè)平均50%C.建議取消演練D.建議處罰員工答案：A38.審計(jì)師驗(yàn)證加密密鑰管理，發(fā)現(xiàn)密鑰加密密鑰（KEK）與數(shù)據(jù)密鑰（DEK）存放于同一HSM分區(qū)，應(yīng)：A.建議分離KEK至獨(dú)立HSM并啟用角色分離B.接受，因?yàn)镠SM已防篡改C.建議降低密鑰長度D.建議增加HSM數(shù)量答案：A39.在審計(jì)軟件許可時，發(fā)現(xiàn)企業(yè)使用盜版PDF工具，應(yīng)：A.建議立即購買正版并建立軟件資產(chǎn)清單B.接受，因?yàn)槊赓M(fèi)版功能不足C.建議改用開源D.建議卸載答案：A40.審計(jì)師測試容器鏡像倉庫，發(fā)現(xiàn)鏡像漏洞掃描在CI階段跳過，應(yīng)：A.建議強(qiáng)制阻斷高危漏洞鏡像B.接受，因?yàn)樯a(chǎn)已運(yùn)行C.建議每日手動掃描D.建議降低漏洞閾值答案：A二、多項(xiàng)選擇題（每題2分，共30分，每題至少兩個正確答案，多選少選均不得分）41.下列哪些做法可有效降低供應(yīng)鏈投毒風(fēng)險(xiǎn)？A.引入SBOM（軟件物料清單）B.對依賴包進(jìn)行哈希校驗(yàn)C.使用私有倉庫并同步官方源D.關(guān)閉所有第三方庫答案：ABC42.在審計(jì)云函數(shù)（Serverless）時，發(fā)現(xiàn)函數(shù)執(zhí)行角色擁有“:”權(quán)限，可能導(dǎo)致：A.橫向移動B.數(shù)據(jù)泄露C.費(fèi)用暴增D.冷啟動延遲答案：ABC43.關(guān)于數(shù)據(jù)主權(quán)，下列哪些場景需關(guān)注跨境傳輸？A.中國公司將ERP數(shù)據(jù)備份至新加坡RegionB.歐盟子公司將HR數(shù)據(jù)傳至美國總部C.美國公司將日志傳至印度運(yùn)維中心D.中國公司本地?cái)?shù)據(jù)中心內(nèi)部流轉(zhuǎn)答案：ABC44.審計(jì)師評估AI模型偏見時，可采用：A.混淆矩陣B.平等機(jī)會差異指標(biāo)C.LIME解釋D.dropout正則化答案：ABC45.在審計(jì)數(shù)字孿生平臺時，發(fā)現(xiàn)工業(yè)協(xié)議Modbus未加密，可能導(dǎo)致：A.指令注入B.數(shù)據(jù)篡改C.DDoSD.物理設(shè)備損壞答案：ABD46.下列哪些控制可降低Deepfake語音詐騙風(fēng)險(xiǎn)？A.引入聲紋活體檢測B.關(guān)鍵操作需雙人視頻確認(rèn)C.使用一次性口令D.關(guān)閉語音通道答案：ABC47.審計(jì)師驗(yàn)證云賬單異常，發(fā)現(xiàn)凌晨出現(xiàn)巨額出流量，可能原因：A.數(shù)據(jù)被外部攻擊者竊取B.鏡像倉庫被配置為PublicC.員工誤傳大文件到公網(wǎng)D.CDN回源策略異常答案：ABCD48.在審計(jì)隱私增強(qiáng)計(jì)算（PEC）時，可接受的技術(shù)包括：A.聯(lián)邦學(xué)習(xí)B.安全多方計(jì)算C.同態(tài)加密D.明文數(shù)據(jù)共享答案：ABC49.審計(jì)師測試量子加密準(zhǔn)備度，應(yīng)檢查：A.現(xiàn)有密鑰長度是否≥2048B.是否已試點(diǎn)QKDC.是否制定抗量子算法遷移路線圖D.是否關(guān)閉TLS1.0答案：BC50.下列哪些屬于零信任成熟度“高級”階段特征？A.動態(tài)信任評估B.微分段至workload級C.持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評估（CARTA）D.僅基于網(wǎng)絡(luò)位置信任答案：ABC51.在審計(jì)云安全代理（CASB）時，發(fā)現(xiàn)未對SaaS上傳文件進(jìn)行DLP檢測，可能導(dǎo)致：A.源代碼泄露B.客戶PII外泄C.惡意軟件上傳D.帶寬占用答案：AB52.審計(jì)師評估車聯(lián)網(wǎng)安全，應(yīng)關(guān)注：A.OTA簽名驗(yàn)證B.車內(nèi)CAN總線認(rèn)證C.第三方APP權(quán)限D(zhuǎn).充電樁協(xié)議答案：ABCD53.在審計(jì)數(shù)字錢包時，發(fā)現(xiàn)私鑰存儲在軟件沙箱，未使用TEE，可能導(dǎo)致：A.越獄設(shè)備私鑰泄露B.交易篡改C.雙花攻擊D.助記詞丟失答案：AB54.下列哪些可有效防止AI訓(xùn)練數(shù)據(jù)中毒？A.數(shù)據(jù)血緣追蹤B.多源交叉驗(yàn)證C.訓(xùn)練前簽名驗(yàn)簽D.降低學(xué)習(xí)率答案：ABC55.審計(jì)師驗(yàn)證云硬盤銷毀，應(yīng)檢查：A.是否使用KMS密鑰粉碎B.是否提供銷毀證明C.是否多次覆寫D.是否物理粉碎答案：AB三、案例分析題（共30分）56.案例背景（15分）某跨國電商公司2025年“618”大促期間，其基于Kubernetes的訂單集群遭遇“容器逃逸+橫向移動”攻擊，攻擊者通過漏洞CVE-2025-1234獲取宿主機(jī)root，繼而訪問MySQL主庫，篡改訂單狀態(tài)為“已發(fā)貨”，導(dǎo)致千萬級資金損失。事后調(diào)查發(fā)現(xiàn)：1.集群未啟用PodSecurityPolicy/PSP替代方案；2.MySQL賬戶使用簡單口令且共享；3.審計(jì)日志被攻擊者清理；4.缺少Runtime檢測。問題：（1）作為IS審計(jì)師，指出三條導(dǎo)致事件的根本原因。（3分）（2）針對每條根本原因，提出一項(xiàng)可量化的改進(jìn)控制指標(biāo)。（6分）（3）設(shè)計(jì)一個覆蓋“檢測—響應(yīng)—恢復(fù)”的KPI矩陣，包含指標(biāo)、閾值、責(zé)任人。（6分）答案：（1）根本原因①缺乏強(qiáng)制安全基線（PodSecurityPolicy缺失）；②共享高權(quán)賬戶且口令脆弱；③審計(jì)日志未受保護(hù)，可被篡改。（2）改進(jìn)控制指標(biāo)①強(qiáng)制安全基線覆蓋率=已啟用安全策略的Pod數(shù)/總Pod數(shù)×100%，目標(biāo)100%；②MySQL特權(quán)賬戶口令復(fù)雜度達(dá)標(biāo)率=符合≥15位含特殊字符賬戶數(shù)/總賬戶數(shù)×100%，目標(biāo)100%；③審計(jì)日志防篡改率=寫入WORM存儲的日志條數(shù)/總?cè)罩緱l數(shù)×100%，目標(biāo)100%。（3）KPI矩陣檢測：Runtime異常行為告警數(shù)，閾值≤5次/周，責(zé)任人：SOC負(fù)責(zé)人；響應(yīng)：MTTR（平均響應(yīng)時間），閾值≤30分鐘，責(zé)任人：值班工程師；恢復(fù)：數(shù)據(jù)一致性校驗(yàn)通過率，閾值100%，責(zé)任