福建省CISA注冊信息系統(tǒng)審計師考試試題庫及答案(2025年)一、單項選擇題（每題1分，共40分。每題只有一個正確答案，請將正確選項的字母填入括號內(nèi)）1.在信息系統(tǒng)審計過程中，審計師發(fā)現(xiàn)某系統(tǒng)存在未授權(quán)訪問的風(fēng)險，以下哪項控制措施最能有效降低該風(fēng)險？A.定期更換系統(tǒng)管理員密碼B.實施基于角色的訪問控制（RBAC）C.啟用系統(tǒng)日志記錄功能D.增加防火墻規(guī)則數(shù)量【答案】B2.某企業(yè)在實施ERP系統(tǒng)時，審計師發(fā)現(xiàn)其未對關(guān)鍵業(yè)務(wù)流程進行充分測試，以下哪項審計程序最能識別由此帶來的風(fēng)險？A.審查項目驗收報告B.訪談最終用戶C.執(zhí)行穿行測試D.檢查系統(tǒng)備份策略【答案】C3.在審計數(shù)據(jù)庫管理系統(tǒng)時，以下哪項最能有效驗證數(shù)據(jù)完整性？A.檢查數(shù)據(jù)庫版本是否為最新B.比對業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫之間的數(shù)據(jù)一致性C.審查數(shù)據(jù)庫管理員權(quán)限D(zhuǎn).檢查數(shù)據(jù)庫是否啟用加密【答案】B4.某單位使用云服務(wù)商提供的IaaS平臺，審計師在審查其數(shù)據(jù)安全時，應(yīng)重點關(guān)注以下哪項？A.云服務(wù)商的財務(wù)報表B.數(shù)據(jù)中心的物理訪問控制C.云服務(wù)商的市場份額D.云服務(wù)商的員工滿意度【答案】B5.在審計IT治理時，以下哪項最能體現(xiàn)高層管理層對信息安全的承諾？A.每年進行一次滲透測試B.設(shè)立信息安全委員會并定期召開會議C.為員工提供信息安全培訓(xùn)D.部署入侵檢測系統(tǒng)【答案】B6.審計師在審查某單位變更管理流程時，發(fā)現(xiàn)某次系統(tǒng)變更未記錄變更原因，以下哪項風(fēng)險最可能發(fā)生？A.系統(tǒng)性能下降B.變更無法回滾C.變更未獲授權(quán)D.系統(tǒng)日志丟失【答案】C7.在審計某單位的數(shù)據(jù)備份策略時，以下哪項最能驗證其備份數(shù)據(jù)的可恢復(fù)性？A.檢查備份日志是否完整B.審查備份介質(zhì)的存儲位置C.執(zhí)行一次完整的恢復(fù)演練D.檢查備份是否加密【答案】C8.某單位使用多因素認(rèn)證（MFA）系統(tǒng)，審計師發(fā)現(xiàn)部分用戶仍使用短信驗證碼，以下哪項最能降低該方式帶來的風(fēng)險？A.強制用戶每月更換密碼B.啟用基于應(yīng)用的動態(tài)令牌C.增加短信驗證碼長度D.限制登錄IP地址【答案】B9.在審計某單位的數(shù)據(jù)分類政策時，以下哪項最能驗證其有效性？A.檢查是否發(fā)布數(shù)據(jù)分類標(biāo)準(zhǔn)B.抽查敏感數(shù)據(jù)是否按政策標(biāo)記C.審查數(shù)據(jù)分類培訓(xùn)記錄D.檢查是否設(shè)立數(shù)據(jù)保護官【答案】B10.某單位在審計中發(fā)現(xiàn)其日志保留期僅為30天，以下哪項最能說明該做法存在風(fēng)險？A.無法滿足合規(guī)要求B.日志文件占用存儲空間過大C.日志分析工具性能下降D.日志格式不統(tǒng)一【答案】A11.在審計某單位的網(wǎng)絡(luò)安全架構(gòu)時，以下哪項最能驗證其網(wǎng)絡(luò)分段的有效性？A.檢查防火墻規(guī)則是否冗余B.執(zhí)行網(wǎng)絡(luò)掃描測試C.審查網(wǎng)絡(luò)拓?fù)鋱DD.檢查是否部署IDS/IPS【答案】B12.某單位使用第三方開發(fā)的移動應(yīng)用，審計師應(yīng)重點關(guān)注以下哪項？A.應(yīng)用是否通過應(yīng)用商店審核B.應(yīng)用是否使用HTTPS通信C.應(yīng)用是否收集用戶位置信息D.應(yīng)用是否支持離線模式【答案】B13.在審計某單位的特權(quán)訪問管理時，以下哪項最能驗證其合規(guī)性？A.檢查是否啟用會話錄像B.檢查是否定期審計特權(quán)賬戶C.檢查是否使用共享賬戶D.檢查是否啟用密碼復(fù)雜度策略【答案】B14.某單位在審計中發(fā)現(xiàn)其未對開發(fā)、測試和生產(chǎn)環(huán)境進行隔離，以下哪項風(fēng)險最可能發(fā)生？A.系統(tǒng)性能下降B.生產(chǎn)數(shù)據(jù)被誤用C.系統(tǒng)日志丟失D.網(wǎng)絡(luò)延遲增加【答案】B15.在審計某單位的業(yè)務(wù)連續(xù)性計劃時，以下哪項最能驗證其有效性？A.檢查是否制定BCP文檔B.檢查是否設(shè)立BCP負(fù)責(zé)人C.執(zhí)行一次桌面演練D.檢查是否購買災(zāi)難恢復(fù)保險【答案】C16.某單位使用API接口與外部系統(tǒng)交互，審計師發(fā)現(xiàn)其未對API進行限流控制，以下哪項風(fēng)險最可能發(fā)生？A.數(shù)據(jù)泄露B.服務(wù)被拒絕C.數(shù)據(jù)篡改D.會話劫持【答案】B17.在審計某單位的加密策略時，以下哪項最能驗證其密鑰管理的合規(guī)性？A.檢查是否使用國密算法B.檢查密鑰是否定期輪換C.檢查是否使用硬件加密模塊D.檢查是否啟用TLS1.3【答案】B18.某單位在審計中發(fā)現(xiàn)其未對離職員工的系統(tǒng)權(quán)限進行及時清理，以下哪項控制措施最能降低該風(fēng)險？A.啟用單點登錄（SSO）B.建立自動化的權(quán)限回收流程C.增加審計日志保留期D.啟用賬戶鎖定策略【答案】B19.在審計某單位的漏洞管理流程時，以下哪項最能驗證其響應(yīng)及時性？A.檢查是否使用CVSS評分B.檢查是否設(shè)立漏洞響應(yīng)SLAC.檢查是否部署漏洞掃描工具D.檢查是否定期打補丁【答案】B20.某單位使用容器技術(shù)部署應(yīng)用，審計師發(fā)現(xiàn)其未對鏡像進行安全掃描，以下哪項風(fēng)險最可能發(fā)生？A.鏡像體積過大B.鏡像中存在已知漏洞C.鏡像拉取速度過慢D.鏡像版本不一致【答案】B21.在審計某單位的日志管理策略時，以下哪項最能驗證其日志完整性？A.檢查是否使用Syslog協(xié)議B.檢查是否對日志進行簽名C.檢查是否集中存儲日志D.檢查是否啟用日志輪轉(zhuǎn)【答案】B22.某單位在審計中發(fā)現(xiàn)其未對供應(yīng)商進行安全評估，以下哪項風(fēng)險最可能發(fā)生？A.供應(yīng)商服務(wù)中斷B.供應(yīng)商濫用系統(tǒng)權(quán)限C.供應(yīng)商價格上漲D.供應(yīng)商交付延遲【答案】B23.在審計某單位的數(shù)據(jù)脫敏策略時，以下哪項最能驗證其有效性？A.檢查是否使用掩碼算法B.檢查脫敏后數(shù)據(jù)是否可逆C.檢查是否保留原始數(shù)據(jù)D.檢查是否使用加密存儲【答案】B24.某單位使用DevOps流程，審計師發(fā)現(xiàn)其未對代碼倉庫進行權(quán)限控制，以下哪項風(fēng)險最可能發(fā)生？A.代碼版本沖突B.代碼被惡意篡改C.代碼部署失敗D.代碼審查延遲【答案】B25.在審計某單位的終端安全管理時，以下哪項最能驗證其合規(guī)性？A.檢查是否啟用磁盤加密B.檢查是否安裝殺毒軟件C.檢查是否禁用USB接口D.檢查是否啟用屏幕保護密碼【答案】A26.某單位在審計中發(fā)現(xiàn)其未對API接口進行身份驗證，以下哪項控制措施最能降低該風(fēng)險？A.啟用OAuth2.0B.啟用HTTPSC.啟用IP白名單D.啟用請求限流【答案】A27.在審計某單位的郵件系統(tǒng)時，以下哪項最能驗證其防釣魚能力？A.檢查是否啟用SPF記錄B.檢查是否啟用DKIM簽名C.檢查是否啟用DMARC策略D.檢查是否啟用反垃圾郵件網(wǎng)關(guān)【答案】C28.某單位使用虛擬化技術(shù)，審計師發(fā)現(xiàn)其未對虛擬機進行隔離，以下哪項風(fēng)險最可能發(fā)生？A.虛擬機性能下降B.虛擬機之間互相攻擊C.虛擬機無法遷移D.虛擬機快照丟失【答案】B29.在審計某單位的安全事件響應(yīng)流程時，以下哪項最能驗證其響應(yīng)能力？A.檢查是否設(shè)立SOC中心B.檢查是否制定響應(yīng)流程圖C.執(zhí)行一次模擬攻擊演練D.檢查是否使用SIEM系統(tǒng)【答案】C30.某單位在審計中發(fā)現(xiàn)其未對移動設(shè)備進行管理，以下哪項控制措施最能降低數(shù)據(jù)泄露風(fēng)險？A.啟用設(shè)備加密B.啟用遠(yuǎn)程擦除功能C.啟用應(yīng)用白名單D.啟用VPN連接【答案】B31.在審計某單位的數(shù)據(jù)庫訪問控制時，以下哪項最能驗證其最小權(quán)限原則？A.檢查是否啟用審計日志B.檢查是否使用數(shù)據(jù)庫角色C.檢查是否定期審計用戶權(quán)限D(zhuǎn).檢查是否啟用SSL連接【答案】C32.某單位使用SaaS服務(wù)，審計師發(fā)現(xiàn)其未對數(shù)據(jù)進行本地備份，以下哪項風(fēng)險最可能發(fā)生？A.服務(wù)供應(yīng)商破產(chǎn)B.數(shù)據(jù)被供應(yīng)商鎖定C.服務(wù)價格上漲D.服務(wù)性能下降【答案】B33.在審計某單位的身份管理系統(tǒng)時，以下哪項最能驗證其唯一性？A.檢查是否使用LDAPB.檢查是否啟用賬戶唯一標(biāo)識C.檢查是否啟用密碼策略D.檢查是否啟用雙因子認(rèn)證【答案】B34.某單位在審計中發(fā)現(xiàn)其未對系統(tǒng)補丁進行管理，以下哪項控制措施最能降低該風(fēng)險？A.啟用自動更新B.建立補丁管理流程C.啟用漏洞掃描D.啟用入侵檢測系統(tǒng)【答案】B35.在審計某單位的網(wǎng)絡(luò)訪問控制時，以下哪項最能驗證其零信任架構(gòu)？A.檢查是否啟用VPNB.檢查是否啟用微分段C.檢查是否啟用NATD.檢查是否啟用VLAN【答案】B36.某單位使用AI模型進行業(yè)務(wù)決策，審計師發(fā)現(xiàn)其未對模型進行偏差檢測，以下哪項風(fēng)險最可能發(fā)生？A.模型過擬合B.模型輸出歧視性結(jié)果C.模型訓(xùn)練時間過長D.模型部署失敗【答案】B37.在審計某單位的數(shù)據(jù)共享協(xié)議時，以下哪項最能驗證其合規(guī)性？A.檢查是否簽署NDAB.檢查是否定義數(shù)據(jù)用途C.檢查是否啟用加密傳輸D.檢查是否設(shè)立數(shù)據(jù)責(zé)任人【答案】B38.某單位在審計中發(fā)現(xiàn)其未對系統(tǒng)賬戶進行生命周期管理，以下哪項控制措施最能降低該風(fēng)險？A.啟用賬戶鎖定策略B.建立賬戶生命周期流程C.啟用審計日志D.啟用單點登錄【答案】B39.在審計某單位的供應(yīng)鏈安全時，以下哪項最能驗證其第三方風(fēng)險？A.檢查是否簽署SLAB.檢查是否進行安全評估C.檢查是否啟用合同條款D.檢查是否設(shè)立聯(lián)絡(luò)人【答案】B40.某單位使用區(qū)塊鏈技術(shù)存儲交易數(shù)據(jù)，審計師發(fā)現(xiàn)其未對智能合約進行審計，以下哪項風(fēng)險最可能發(fā)生？A.合約執(zhí)行失敗B.合約存在漏洞被利用C.合約部署延遲D.合約版本不一致【答案】B二、多項選擇題（每題2分，共30分。每題有兩個或兩個以上正確答案，請將所有正確選項的字母填入括號內(nèi)，漏選、錯選均不得分）41.以下哪些措施可有效降低內(nèi)部人員濫用特權(quán)的風(fēng)險？A.實施最小權(quán)限原則B.啟用會話錄像C.定期審計特權(quán)賬戶D.啟用賬戶共享機制【答案】A、B、C42.在審計某單位的數(shù)據(jù)中心時，以下哪些屬于物理安全控制？A.門禁系統(tǒng)B.視頻監(jiān)控C.防火墻規(guī)則D.生物識別【答案】A、B、D43.以下哪些屬于信息系統(tǒng)審計的基本流程？A.計劃B.實施C.報告D.開發(fā)【答案】A、B、C44.以下哪些屬于合規(guī)性審計的常見標(biāo)準(zhǔn)？A.ISO27001B.GB/T22239C.COBITD.Scrum【答案】A、B、C45.以下哪些屬于數(shù)據(jù)泄露的常見原因？A.弱密碼B.未加密傳輸C.社會工程攻擊D.數(shù)據(jù)壓縮【答案】A、B、C46.以下哪些屬于有效的安全意識培訓(xùn)內(nèi)容？A.釣魚郵件識別B.密碼管理C.數(shù)據(jù)分類D.編程技巧【答案】A、B、C47.以下哪些屬于安全事件響應(yīng)的關(guān)鍵階段？A.識別B.遏制C.根除D.開發(fā)【答案】A、B、C48.以下哪些屬于云安全責(zé)任共擔(dān)模型的內(nèi)容？A.云服務(wù)商負(fù)責(zé)基礎(chǔ)設(shè)施安全B.客戶負(fù)責(zé)數(shù)據(jù)安全C.云服務(wù)商負(fù)責(zé)應(yīng)用安全D.客戶負(fù)責(zé)身份管理【答案】A、B、D49.以下哪些屬于有效的漏洞管理措施？A.定期掃描B.建立補丁策略C.漏洞評級D.忽略低危漏洞【答案】A、B、C50.以下哪些屬于數(shù)據(jù)加密的最佳實踐？A.使用強算法B.定期輪換密鑰C.密鑰與數(shù)據(jù)分離存儲D.使用固定密鑰【答案】A、B、C三、判斷題（每題1分，共10分。請判斷下列說法是否正確，正確的填“√”，錯誤的填“×”）51.信息系統(tǒng)審計僅關(guān)注技術(shù)控制，不涉及管理控制?！敬鸢浮俊?2.所有日志數(shù)據(jù)都必須永久保留，才能滿足審計要求。【答案】×53.審計師在審計過程中發(fā)現(xiàn)重大風(fēng)險，應(yīng)立即向管理層報告?！敬鸢浮俊?4.數(shù)據(jù)備份只需在本地保存一份即可，無需異地備份。【答案】×55.審計師可以對被審計單位的系統(tǒng)進行修復(fù)操作?！敬鸢浮俊?6.審計證據(jù)的充分性和適當(dāng)性是審計結(jié)論的基礎(chǔ)?！敬鸢浮俊?7.審計報告應(yīng)僅由審計部門保存，無需提交管理層。【答案】×58.審計師應(yīng)具備獨立性和客觀性?！敬鸢浮俊?9.審計過程中發(fā)現(xiàn)的控制缺陷必須立即整改?！敬鸢浮俊?0.審計師可以根據(jù)風(fēng)險評估結(jié)果調(diào)整審計范圍。【答案】√四、簡答題（每題10分，共20分）61.簡述信息系統(tǒng)審計中“穿行測試”的作用及實施步驟?！敬鸢浮看┬袦y試用于驗證系統(tǒng)