廣西壯族自治區(qū)2025年國際注冊信息系統(tǒng)審計師（CISA）資格考試及答案1.單選題（每題1分，共60分。每題只有一個正確答案，請將正確選項字母填入括號內）1.1在評估某自治區(qū)級政務云平臺的IT治理框架時，審計師發(fā)現(xiàn)其COBIT2019治理目標“APO01”的成熟度僅為1級。下列哪項補救措施最能直接提升該目標成熟度至3級？（）A.立即部署零信任網絡架構B.建立由自治區(qū)大數據局牽頭的IT策略委員會并發(fā)布三年滾動戰(zhàn)略C.對所有虛擬機鏡像進行季度漏洞掃描D.將RTO從24小時縮短到4小時1.2某三甲醫(yī)院采用電子病歷系統(tǒng)（EMR），審計師在測試“患者隱私訪問日志”時發(fā)現(xiàn)日志記錄不完整。依據ISO/IEC27799:2019，最優(yōu)先的審計步驟是（）A.檢查是否啟用syslog轉發(fā)B.重新計算EMR系統(tǒng)的資產價值C.抽樣追蹤缺失日志對應的用戶授權表D.評估醫(yī)院是否建立臨床數據分級分類清單1.3廣西某跨境電商平臺2024年“雙十一”峰值TPS達12萬，審計師驗證其容量管理流程時，發(fā)現(xiàn)性能基線未包含東盟國家用戶延遲指標。該缺陷最可能導致（）A.可用性風險B.合規(guī)性風險C.戰(zhàn)略一致性風險D.交付風險1.4在審查某市智慧交通系統(tǒng)項目章程時，審計師注意到項目目標與《廣西數字政府建設“十四五”規(guī)劃》存在偏差。該發(fā)現(xiàn)屬于COBIT2019治理系統(tǒng)哪個組件的失?。浚ǎ〢.流程B.組織結構C.政策與程序D.文化、倫理與行為1.5某農村信用社核心系統(tǒng)遷移至華為云Stack，審計師測試IaaS層密鑰管理時發(fā)現(xiàn)KMS未啟用“密鑰輪換”。該缺陷主要違反ISACA的哪項基本原則？（）A.風險管理B.資源優(yōu)化C.價值交付D.合規(guī)性1.6審計師使用CAATs分析某自治區(qū)社保發(fā)放數據，發(fā)現(xiàn)同一身份證號在5個不同地市同時領取養(yǎng)老金。下一步最恰當的審計程序是（）A.通知媒體B.擴大樣本至100%人口C.執(zhí)行身份證號與公安部人口庫比對D.重新計算ITGC有效性1.7在SDLC審計中，審計師發(fā)現(xiàn)開發(fā)團隊將生產數據用于UAT環(huán)境。依據NISTSP800-53Rev.5，首要控制缺失是（）A.SC-12密鑰管理B.SA-15開發(fā)機構安全C.SA-09內部系統(tǒng)連接D.SA-08安全工程原則1.8某鋁業(yè)集團工控網絡與辦公網通過防火墻隔離，但審計師發(fā)現(xiàn)防火墻規(guī)則含“ANY-ANY”策略。該問題最可能導致（）A.完整性風險B.可用性風險C.機密性風險D.不可否認性風險1.9審計師測試某大學研究生管理系統(tǒng)變更管理流程，發(fā)現(xiàn)緊急變更占比高達42%，且缺少事后審批。該指標最能反映（）A.變更窗口不足B.測試環(huán)境不足C.變更治理失控D.用戶培訓不足1.10廣西某城商行采用RPA處理對賬，審計師發(fā)現(xiàn)機器人賬號擁有“數據庫DROP權限”。該缺陷屬于（）A.職責分離失敗B.授權矩陣過度C.特權賬戶濫用D.認證缺陷1.11在審計某省級醫(yī)保平臺時，審計師發(fā)現(xiàn)API網關缺少速率限制。該漏洞最可能被利用進行（）A.SQL注入B.DDoSC.XSSD.CSRF1.12某市政府采用區(qū)塊鏈技術存證不動產登記信息，審計師驗證其不可篡改性時，應優(yōu)先獲?。ǎ〢.創(chuàng)世區(qū)塊哈希B.節(jié)點IP列表C.智能合約Solidity版本D.數字孿生模型1.13審計師評估某港口集團數據治理成熟度，發(fā)現(xiàn)數據Owner未在數據字典中簽字。該問題最直接影響數據質量的哪項維度？（）A.準確性B.完整性C.一致性D.可問責性1.14某云服務商為廣西政務部門提供SaaS，合同中含“數據不出境”條款。審計師驗證合規(guī)性時，應優(yōu)先檢查（）A.虛擬機遷移日志B.對象存儲跨區(qū)域復制配置C.CDN緩存策略D.快照保留周期1.15在審計某高校AI科研平臺時，發(fā)現(xiàn)GPU節(jié)點可直接訪問校園卡數據庫。該場景最違反哪項安全原則？（）A.最小權限B.深度防御C.默認拒絕D.隱私保護1.16某自治區(qū)稅務局采用微服務架構，審計師測試服務間通信時發(fā)現(xiàn)mTLS未啟用。該缺陷可能導致（）A.重放攻擊B.中間人攻擊C.拒絕服務D.邏輯炸彈1.17審計師審查某市“一網統(tǒng)管”項目ROI，發(fā)現(xiàn)運營成本高于預算15%。最合理的審計建議是（）A.立即下線系統(tǒng)B.重新評估KPI指標C.引入第三方外包D.進行成本效益再評估1.18某縣級醫(yī)院HIS系統(tǒng)使用默認口令“123456”的Oracle賬戶。審計師應首先（）A.通知院方立即修改并出具例外報告B.繼續(xù)測試其他系統(tǒng)C.重新評估風險矩陣D.更新審計計劃1.19在審計某跨境支付公司時，發(fā)現(xiàn)其使用國密SM4算法加密客戶身份證號，但密鑰托管在阿里云OOS明文Bucket。該問題屬于（）A.算法強度不足B.密鑰管理失敗C.合規(guī)缺失D.傳輸保護不足1.20審計師測試某自治區(qū)“健康碼”系統(tǒng)備份恢復，發(fā)現(xiàn)RPO=4小時，RTO=8小時。在COVID-19突發(fā)流調場景下，該指標（）A.滿足業(yè)務需求B.需要縮短RTO至1小時C.需要縮短RPO至30分鐘D.無需調整1.21某市智慧社區(qū)平臺收集人臉信息，未提供撤回同意功能。該做法違反（）A.GB/T35273-2020B.ISO9001:2015C.ISO20000-1:2018D.ISO22301:20191.22審計師評估某自治區(qū)“桂惠貸”金融服務平臺，發(fā)現(xiàn)日志保留期僅30天。該缺陷影響審計的哪項目標？（）A.存在性B.完整性C.可驗證性D.準確性1.23在審計某鋁業(yè)集團工控系統(tǒng)時，發(fā)現(xiàn)工程師站安裝迅雷軟件。該場景最可能導致（）A.惡意代碼引入B.配置漂移C.拒絕服務D.中間人攻擊1.24某云廠商為廣西政務提供專屬云，審計師發(fā)現(xiàn)宿主機未啟用vTPM。該缺陷影響哪類工作負載的保護？（）A.容器加密B.虛擬機完整性度量C.數據庫TDED.對象存儲客戶端加密1.25審計師測試某大學在線考試系統(tǒng)，發(fā)現(xiàn)考生可通過瀏覽器開發(fā)者工具查看答案接口。該漏洞屬于（）A.身份驗證失敗B.授權失敗C.加密失敗D.日志記錄失敗1.26某自治區(qū)“智桂通”App使用OAuth2.0授權，審計師發(fā)現(xiàn)refreshtoken有效期為1年且不可撤銷。該問題可能導致（）A.跨站請求偽造B.會話固定C.令牌劫持長期有效D.授權碼泄露1.27審計師評估某市級大數據局數據共享交換平臺，發(fā)現(xiàn)缺少數據血緣圖譜。該缺陷最影響（）A.數據可追溯性B.數據可用性C.數據保密性D.數據壓縮率1.28某縣級醫(yī)院將PACS影像備份到公有云，未做加密。審計師應首先（）A.評估影像是否含個人敏感信息B.檢查云廠商ISO27001證書C.測試下載速度D.重新評估業(yè)務影響1.29在審計某自治區(qū)“電子憑證庫”時，發(fā)現(xiàn)電子簽章證書使用RSA1024。該算法長度不滿足（）A.GM/T0003-2012B.GB/T34975-2017C.ISO27002:2022D.NISTSP800-131A1.30審計師測試某城商行核心系統(tǒng)賬戶生命周期，發(fā)現(xiàn)離職柜員UID未及時禁用。該控制缺失最可能導致（）A.數據篡改B.非授權交易C.系統(tǒng)崩潰D.網絡延遲1.31某跨境電商平臺使用CDN回源，審計師發(fā)現(xiàn)源站僅支持HTTP。該缺陷可能導致（）A.緩存投毒B.源站IP泄露C.中間人篡改內容D.域名劫持1.32審計師評估某自治區(qū)“視頻圖像結構化平臺”，發(fā)現(xiàn)人臉特征向量未脫敏即對外提供API。該做法最可能違反（）A.GB/T38637-2020B.GB/T28181-2016C.GA/T1400-2017D.GB50174-20171.33某市政府采用多云策略，審計師發(fā)現(xiàn)不同云廠商的IAM策略格式不一致。該問題最可能導致（）A.權限蔓延B.成本增加C.可用性降低D.延遲升高1.34審計師測試某大學科研經費系統(tǒng)，發(fā)現(xiàn)PI可審批自己的差旅報銷。該缺陷屬于（）A.授權不當B.認證缺失C.輸入驗證失敗D.審計軌跡缺失1.35在審計某自治區(qū)“公共資源交易平臺”時，發(fā)現(xiàn)評標專家抽取算法可預測。該漏洞最可能被利用進行（）A.圍標B.釣魚C.拒絕服務D.提權1.36某縣級農商銀行使用SFTP傳輸監(jiān)管報表，審計師發(fā)現(xiàn)服務器使用OpenSSH7.4。該版本主要風險是（）A.不支持AES-GCMB.存在CVE-2021-41617C.不支持Ed25519D.默認啟用SSHv11.37審計師評估某鋁業(yè)集團ERP災備演練，發(fā)現(xiàn)演練僅驗證單據查詢功能。該演練缺陷是（）A.范圍不足B.頻率不足C.人員不足D.工具不足1.38某市“智慧停車”平臺采用MQTT協(xié)議，審計師發(fā)現(xiàn)Topic未授權即可訂閱。該缺陷可能導致（）A.計費信息泄露B.拒絕服務C.固件篡改D.證書吊銷1.39審計師測試某自治區(qū)“電子合同平臺”，發(fā)現(xiàn)時間戳服務使用自建NTP。該做法最可能影響（）A.不可否認性B.可用性C.完整性D.可移植性1.40某跨境支付公司使用容器部署應用，審計師發(fā)現(xiàn)Dockerdaemon使用默認Unixsocket且未啟用TLS。該缺陷可導致（）A.容器逃逸B.鏡像投毒C.本地特權提升D.橫向移動1.41審計師評估某自治區(qū)“健康碼”系統(tǒng)個人信息刪除權響應時效，發(fā)現(xiàn)平均需15個工作日。該指標不符合（）A.GB/T35273-20207.9B.ISO27001A.18.1.4C.GB/T22239-20198.2.2D.ISO20000-18.3.31.42某縣級醫(yī)院將護士站PC加入域控，審計師發(fā)現(xiàn)域管賬戶密碼兩年未改。該控制缺失最可能導致（）A.域內橫向移動B.單點故障C.補丁管理失敗D.備份失敗1.43審計師測試某市“智慧城管”系統(tǒng)API，發(fā)現(xiàn)缺少版本控制。該缺陷最可能導致（）A.兼容性風險B.注入風險C.重放風險D.會話風險1.44某自治區(qū)“財政電子票據”系統(tǒng)使用OracleRAC，審計師發(fā)現(xiàn)歸檔日志模式未啟用。該缺陷影響（）A.點恢復B.性能C.加密D.壓縮1.45審計師評估某高校AI訓練平臺，發(fā)現(xiàn)訓練數據含未脫敏學生照片。該做法最可能違反（）A.GB/T37918-2019B.GB/T36627-2018C.ISO27018:2019D.ISO22307:20211.46某跨境電商平臺使用RedisCluster緩存會話，審計師發(fā)現(xiàn)未啟用AUTH。該缺陷可導致（）A.會話劫持B.緩存穿透C.緩存雪崩D.緩存擊穿1.47審計師測試某自治區(qū)“電子招投標”系統(tǒng)，發(fā)現(xiàn)投標文件上傳使用Flash組件。該組件主要風險是（）A.已停止更新B.不支持HTTPSC.不支持AESD.不支持JWT1.48某市“智慧社區(qū)”人臉識別終端存儲人臉底庫明文。審計師應建議（）A.使用SM4加密B.使用Base64編碼C.使用MD5哈希D.使用PNG壓縮1.49審計師評估某縣級農商銀行核心系統(tǒng)補丁管理，發(fā)現(xiàn)Windows2008R2仍在運行。該版本主要風險是（）A.停止安全更新B.不支持TPM2.0C.不支持UEFID.不支持GPT1.50某自治區(qū)“公共資源交易”平臺使用區(qū)塊鏈存證，審計師發(fā)現(xiàn)共識算法為PoA且僅3個節(jié)點。該配置最可能影響（）A.去中心化B.吞吐量C.延遲D.分片1.51審計師測試某大學研究生管理系統(tǒng)導出功能，發(fā)現(xiàn)可導出全校學生身份證信息且無日志。該缺陷屬于（）A.過度授權B.注入C.失效訪問控制D.日志記錄不足1.52某市“智慧交通”信號機使用SNMPv2c，審計師發(fā)現(xiàn)community為public。該缺陷可導致（）A.交通信號被篡改B.攝像頭被關閉C.雷達被干擾D.誘導屏被重啟1.53審計師評估某自治區(qū)“電子憑證庫”系統(tǒng)，發(fā)現(xiàn)憑證PDF未加數字簽名。該缺陷影響（）A.完整性B.可用性C.壓縮率D.可搜索性1.54某跨境支付公司使用Kafka傳輸交易數據，審計師發(fā)現(xiàn)未啟用TLS。該缺陷可導致（）A.消息被竊聽B.消息被重放C.消息順序錯亂D.消息丟失1.55審計師測試某縣級醫(yī)院VPN，發(fā)現(xiàn)僅支持PPTP。該協(xié)議主要風險是（）A.MPPE加密強度弱B.不支持AESC.不支持SHA-2D.不支持MFA1.56某自治區(qū)“財政電子票據”系統(tǒng)使用MySQL，審計師發(fā)現(xiàn)root密碼與hostname相同。該缺陷屬于（）A.弱口令B.默認配置C.后門D.注入1.57審計師評估某市“智慧停車”平臺，發(fā)現(xiàn)車牌照片在OSS桶可列舉。該缺陷可導致（）A.隱私泄露B.計費錯誤C.拒絕服務D.偽造支付1.58某高?？蒲邢到y(tǒng)使用JWT，審計師發(fā)現(xiàn)未驗證簽名。該缺陷可導致（）A.令牌偽造B.令牌過期C.令牌撤銷D.令牌刷新1.59審計師測試某自治區(qū)“視頻圖像結構化平臺”，發(fā)現(xiàn)人臉特征向量與身份證號存儲在同一表。該設計違反（）A.數據最小化B.數據分級C.數據脫敏D.數據壓縮1.60某縣級農商銀行使用FTP傳輸監(jiān)管報表，審計師發(fā)現(xiàn)為明文傳輸。該缺陷可導致（）A.報表被篡改B.報表被泄露C.報表被刪除D.報表被重放2.案例情景題（每題10分，共30分）2.1案例背景廣西某跨境口岸保稅區(qū)2024年上線“跨境數字貿易綜合服務平臺”，集成海關、稅務、銀行、物流等12個單位，采用混合云架構：前端Web與App部署在阿里云，核心OracleRAC與IBMMQ部署在本地機房，兩地通過兩條100MMPLS專線互聯(lián)。系統(tǒng)每日處理報關單約8萬份，峰值TPS1.2萬，數據分類含“貿易秘密”“個人隱私”“政府內部”。2025年3月，自治區(qū)審計廳委托你作為CISA對該系統(tǒng)進行綜合審計。審計發(fā)現(xiàn)摘要①阿里云OSSBucket開啟公共讀，存儲報關單PDF；②Oracle數據庫版本為，未打2024年10月后的PSU；③IBMMQ隊列管理器未啟用SSL，通道為明文；④本地機房僅配備一臺磁帶庫，備份窗口不足，RPO=24小時；⑤阿里云RAM策略允許所有ECS對OSSFullAccess；⑥未建立數據分類分級清單，數據Owner未明確；⑦跨境傳輸接口使用RSA1024簽名；⑧未對物流API做速率限制，曾出現(xiàn)峰值600%流量沖擊；⑨變更管理工具為郵件+Excel，缺少版本控制；⑩2024年災備演練僅驗證首頁可打開。問題（1）請根據ISACA審計標準，識別并評估上述發(fā)現(xiàn)中風險最高的三項，說明理由。（3分）（2）針對風險最高的發(fā)現(xiàn)，設計一套詳細測試程序，包括測試目標、步驟、工具與通過標準。（4分）（3）基于COBIT2019，提出治理改進路線圖（按RACI列出關鍵角色，并給出12個月里程碑）。（3分）2.2案例背景廣西某高校2024年建成“智慧校園大腦”，整合教務、科研、人事、財務、一卡通、安防等18個子系統(tǒng)，數據總量3.2PB，采用華為云Stack+本地Hadoop混合架構，啟用Flink實時計算，Kafka日消息量20億條。2025年5月，教育廳要求對該平臺進行專項數據安全審計。審計發(fā)現(xiàn)摘要①一卡通消費流水含學生身份證號，未脫敏即被科研團隊用于消費行為分析；②Flink作業(yè)使用管理員賬號訪問Kafka，未啟用SASL；③安防人臉庫與教務系統(tǒng)共用MySQL實例，未做隔離；④科研經費系統(tǒng)存在2013年之前的PHPWind論壇代碼，已停止維護；⑤備份數據存放于同機房不同樓層，未異地保存；⑥未建立數據血緣，無法追蹤字段級來源；⑦未對API網關做速率限制，科研接口被爬蟲調用每日超500萬次；⑧未對離職教職工賬號做批量禁用，2024年共327個賬號仍活躍；⑨未對敏感數據下載做水印或審計告警；⑩未建立數據安全事件應急預案。問題（1）請依據GB/T37988-2019《數據安全能力成熟度模型》，評估該校數據安全能力等級并說明依據。（3分）（2）針對發(fā)現(xiàn)①③⑦，設計一套聯(lián)合測試方案，包括測試用例、樣本量、工具與評價標準。（4分）（3）提出一套基于零信任架構的數據訪問控制改進方案，涵蓋身份、設備、網絡、應用、數據五維，并給出實施優(yōu)先級。（3分）2.3案例背景廣西某地級市“城市運行管理指揮中心”2024年整合交通、應急、氣象、水務、電網等23個部門數據，建成“城市大腦”，采用“1+3+N”架構：1個數據中臺，3大中樞（AI、數字孿生、指揮調度），N個場景應用。系統(tǒng)每日接入傳感器數據18TB，API調用峰值8萬次/秒。2025年6月，市委網信辦委托你對該平臺進行業(yè)務連續(xù)性審計。審計發(fā)現(xiàn)摘要①數據中臺Kafka集群共6節(jié)點，單交換機接入，無跨機架；②數字孿生使用B/S架構，Web服務器為Nginx1.14，未打補??；③指揮調度系統(tǒng)依賴單臺Redis主節(jié)點，未啟用哨兵；④未建立業(yè)務影響分析（BIA），RPO/RTO由技術部門自行決定；⑤未對極端天氣（臺風）場景做專項演練；⑥備用機房距主機房僅300米，且同處低洼區(qū)域；⑦未對第三方SaaS（如短信、地圖）做可用性SLA監(jiān)測；⑧未建立危機溝通機制，缺少媒體應對腳本；⑨未對AI模型做版本回滾，2024年一次更新導致交通信號異常2小時；⑩未對關鍵崗位人員做AB角備份。問題（1）請依據ISO22301:2019，評估該平臺業(yè)務連續(xù)性管理成熟度并指出關鍵差距。（3分）（2）針對發(fā)現(xiàn)①③⑥，設計一套高可用驗證測試，包括故障注入方式、觀測指標、通過閾值。（4分）（3）提出一套“雙活+異地冷備”混合容災架構，給出技術選型、投資估算（萬元）與三年ROI測算。（3分）3.論述題（10分）3.1結合廣西“一區(qū)兩地一園一通道”戰(zhàn)略背景，論述信息系統(tǒng)審計如何在RCEP與東盟數字經濟合作框架下，助力跨境數據流動安全與合規(guī)，要求：①從法律、技術、治理三個維度展開；②引用不少于五項國際/國內標準或最佳實踐；③提出可量化的審計指標與評價模型；④字數不少于800字?！緟⒖即鸢浮?.單選題1.1B1.2C1.3A1.4B1.5A1.6C1.7B1.8C1.9C1.10A1.11B1.12A1.13D1.14B1.15A1.16B1.17D1.18A1.19B1.20C1.21A1.22C1.23A1.24B1.25C1.26C1.27A1.28A1.29D1.30B1.31C1.32A1.33A1.34A1.35A1.36B1.37A1.38A1.