2026年CISM信息系统审计与合规性测试题

2026年CISM信息系统审计与合规性测试题一、单选题（共20题，每题1分）1.根据中国《网络安全法》，以下哪项不属于关键信息基础设施运营者的安全义务？A.定期进行安全评估B.建立网络安全事件应急预案C.对员工进行安全意识培训D.实施多因素认证（注：多因素认证是通用安全措施，非该法特定要求）2.在ISO27001合规性审计中，审计员发现某公司未对云存储服务提供商进行定期风险评估。根据风险评估原则，该公司应优先采取什么措施？A.立即终止云服务合同B.重新评估自身数据敏感性C.要求云服务商提供安全证明D.制定第三方风险管控制度3.根据美国萨班斯-奥克斯利法案（SOX），内部审计部门应重点审计哪些领域的合规性？A.IT系统安全控制B.财务报告准确性C.业务连续性计划D.以上所有4.中国《数据安全法》规定，数据处理者需建立数据分类分级制度。以下哪项不属于数据分类标准？A.数据敏感度B.数据访问权限C.数据存储位置D.数据生命周期5.在PCIDSS合规性审计中，POS机终端的物理安全控制应包括以下哪项？A.定期更新操作系统补丁B.安装防病毒软件C.设置访问控制锁D.实施网络隔离6.根据COSO框架，IT治理的关键要素不包括以下哪项？A.风险管理B.信息安全C.业务连续性D.人力资源规划7.在中国《个人信息保护法》下，企业收集用户个人信息需满足什么条件？A.仅在用户同意时收集B.仅在业务必要时收集C.仅在法律法规允许时收集D.以上所有8.以下哪项不属于IT审计中的控制测试方法？A.重新执行交易B.抽查日志记录C.访谈关键人员D.分析系统配置9.根据欧盟GDPR，数据主体有权要求企业删除其个人信息。该权利被称为？A.访问权B.删除权C.修正权D.绝对权10.在IT审计中，以下哪项工具最适合用于测试访问控制逻辑？A.网络抓包工具B.SQL注入测试工具C.模拟攻击工具D.访问日志分析工具11.中国《网络安全等级保护2.0》要求等级保护测评机构具备什么资质？A.ISO27001认证B.CISP认证C.等级保护测评机构资质D.ITIL认证12.在SOX法案下，管理层对财务报告的哪项责任最受审计关注？A.IT系统有效性B.内部控制设计C.舞弊风险评估D.以上所有13.根据NISTSP800-53，以下哪项控制措施主要用于防止未授权访问？A.风险评估B.多因素认证C.业务连续性计划D.数据备份14.在IT审计报告中，审计发现应包含哪些要素？A.审计目标B.审计范围C.审计证据D.以上所有15.中国《密码法》要求关键信息基础设施运营者使用哪种类型的密码？A.对称密码B.非对称密码C.商用密码D.硬件密码16.在PCIDSS中，对POS机终端的磁条数据加密要求属于哪项控制领域？A.数据安全B.访问控制C.传输安全D.日志管理17.根据COSO框架，IT治理的最高层级由什么机构负责？A.内部审计部门B.IT部门C.董事会D.管理层18.在中国《网络安全法》下，网络安全事件的通报要求是什么？A.立即向公安机关报告B.48小时内向网信部门报告C.72小时内向网信部门报告D.24小时内向网信部门报告19.在IT审计中，以下哪项属于实质性测试？A.测试访问控制逻辑B.验证交易准确性C.评估风险评估流程D.审查系统配置20.根据GDPR，企业处理个人信息需满足的“最小必要原则”属于哪项原则？A.数据质量原则B.数据安全原则C.透明原则D.存储限制原则二、多选题（共10题，每题2分）1.根据中国《数据安全法》，企业需建立数据安全管理制度，以下哪些属于制度内容？A.数据分类分级B.数据跨境传输管理C.数据备份恢复D.数据销毁流程2.在ISO27001审计中，审计员应关注哪些风险评估方法？A.定量风险分析B.定性风险分析C.依赖专家判断D.预算风险分配3.根据SOX法案，管理层需对以下哪些财务报告控制进行评估？A.记账凭证控制B.分支机构控制C.禁止交易控制D.舞弊风险评估4.在PCIDSS中，对POS机终端的合规性审计应包括哪些内容？A.磁条数据加密B.安装防病毒软件C.定期进行漏洞扫描D.物理安全控制5.根据COSO框架，IT治理的关键成功因素包括哪些？A.风险管理B.信息安全C.资源分配D.战略执行6.在中国《个人信息保护法》下，企业处理个人信息需满足哪些条件？A.用户同意B.业务必要C.合法目的D.最小必要7.在IT审计中，测试访问控制逻辑的方法包括哪些？A.模拟攻击B.重新执行交易C.抽查权限分配D.访谈关键人员8.根据NISTSP800-53，以下哪些控制措施属于身份认证领域？A.多因素认证B.基于角色的访问控制C.账户锁定策略D.密码复杂度要求9.在IT审计报告中，审计发现应包含哪些要素？A.审计目标B.审计证据C.审计建议D.审计结论10.根据欧盟GDPR，数据主体享有哪些权利？A.访问权B.删除权C.限制处理权D.数据可携权三、判断题（共10题，每题1分）1.根据中国《网络安全法》，关键信息基础设施运营者需对网络安全事件进行通报，通报时间最长可延迟72小时。（×）2.在ISO27001审计中，风险评估需每年至少进行一次。（√）3.根据SOX法案，管理层需对内部控制有效性进行评估。（√）4.PCIDSS要求POS机终端必须使用硬件加密。（√）5.根据COSO框架，IT治理的最高层级由董事会负责。（√）6.中国《个人信息保护法》规定，企业处理个人信息需获得用户明确同意。（√）7.IT审计中的控制测试主要是验证控制设计的有效性。（×）8.根据NISTSP800-53，多因素认证属于身份认证领域。（√）9.在IT审计报告中，审计发现必须包含审计证据。（√）10.欧盟GDPR规定，企业处理个人信息需满足“最小必要原则”。（√）四、简答题（共5题，每题4分）1.简述中国《数据安全法》中对企业数据跨境传输的要求。2.在ISO27001合规性审计中，审计员应关注哪些关键控制要素？3.根据SOX法案，管理层需对哪些财务报告控制进行评估？4.在PCIDSS中，对POS机终端的合规性审计应包括哪些内容？5.根据COSO框架，IT治理的关键成功因素有哪些？五、案例分析题（共2题，每题8分）1.案例背景：某中国银行在2025年进行PCIDSS合规性审计时，发现部分POS机终端未启用磁条数据加密。审计员要求银行立即整改，但银行表示因成本问题暂缓实施。请分析该银行的合规风险，并提出整改建议。2.案例背景：某跨国公司在中国运营，需处理大量用户个人信息。在2025年GDPR合规性审计中，审计员发现公司未建立用户个人信息删除流程。请分析该公司的合规风险，并提出整改建议。答案与解析一、单选题答案与解析1.D解析：多因素认证是通用安全措施，非《网络安全法》特定要求，该法更关注风险评估、应急预案等。2.D解析：ISO27001要求定期风险评估，优先制定第三方风险管控制度可降低云服务风险。3.D解析：SOX法案要求审计财务报告准确性、IT系统安全、内部控制等。4.C解析：数据分类标准包括敏感度、访问权限、生命周期，存储位置非核心标准。5.C解析：PCIDSS要求POS机终端设置物理锁，防病毒软件、补丁更新属于逻辑安全。6.D解析：COSO框架关注风险管理、治理、控制、信息、资源，人力资源规划非核心要素。7.D解析：中国《个人信息保护法》要求在用户同意、必要、合法目的时收集。8.C解析：访谈关键人员属于访谈方法，控制测试方法包括重新执行、抽查日志、分析配置。9.B解析：GDPR中“删除权”允许数据主体要求企业删除信息。10.D解析：访问日志分析工具可测试访问控制逻辑，其他工具不直接用于此目的。11.C解析：等级保护测评机构需具备专项资质，非ISO27001或CISP认证。12.D解析：SOX法案关注财务报告准确性、内部控制、舞弊风险等。13.B解析：多因素认证防止未授权访问，其他选项与物理或逻辑安全相关。14.D解析：审计报告需包含目标、范围、证据、结论等要素。15.D解析：中国《密码法》要求关键信息基础设施使用硬件密码。16.A解析：磁条数据加密属于PCIDSS的数据安全控制领域。17.C解析：COSO框架中，IT治理最高层级由董事会负责。18.C解析：中国《网络安全法》要求72小时内通报网信部门。19.B解析：验证交易准确性属于实质性测试，其他选项为控制测试。20.D解析：GDPR的“存储限制原则”要求数据最小化存储。二、多选题答案与解析1.A,B,D解析：数据安全管理制度包括分类分级、跨境传输、销毁流程，备份恢复属于技术措施。2.A,B,C解析：ISO27001支持定量/定性风险分析，依赖专家判断，但无预算分配风险。3.A,B,C解析：SOX法案关注记账凭证、分支机构、禁止交易控制，舞弊风险评估非直接要求。4.A,C,D解析：PCIDSS要求磁条加密、漏洞扫描、物理安全，防病毒软件非强制。5.A,B,C,D解析：COSO框架关注风险管理、信息安全、资源分配、战略执行。6.A,B,C,D解析：个人信息处理需满足用户同意、业务必要、合法目的、最小必要。7.A,B,C解析：测试访问控制方法包括模拟攻击、重新执行、权限抽查，访谈非直接测试。8.A,B,C,D解析：NISTSP800-53的多因素认证、RBAC、账户锁定、密码复杂度均属身份认证。9.A,B,C,D解析：审计报告要素包括目标、证据、建议、结论。10.A,B,C,D解析：GDPR赋予数据主体访问、删除、限制处理、数据可携权。三、判断题答案与解析1.×解析：《网络安全法》要求关键信息基础设施运营者需在72小时内通报，延迟可能违法。2.√解析：ISO27001要求定期（至少每年）进行风险评估。3.√解析：SOX法案要求管理层对内部控制有效性进行评估。4.√解析：PCIDSS要求POS机终端使用硬件加密保护磁条数据。5.√解析：COSO框架中，IT治理最高层级由董事会负责。6.√解析：中国《个人信息保护法》要求在用户同意、必要、合法目的时收集。7.×解析：控制测试验证控制设计的有效性，实质性测试验证业务准确性。8.√解析：多因素认证属于NISTSP800-53的身份认证控制。9.√解析：审计报告需包含审计证据支持发现。10.√解析：GDPR要求企业处理个人信息需满足最小必要原则。四、简答题答案与解析1.中国《数据安全法》中企业数据跨境传输要求：企业需满足合法性、最小必要、安全保护等条件，经安全评估或认证后方可传输，并需向网信部门申报。2.ISO27001合规性审计关键控制要素：风险评估、访问控制、加密、备份恢复、物理安全、安全意识培训等。3.SOX法案管理层需评估的财务报告控制：记账凭证控制、分支机构控制、禁止交易控制、财务报告流程等。4.PCIDSS对POS机终端的合规性审计内容：磁条数据加密、定期漏洞扫描、物理安全控制、日志管理、禁止存储完整卡号等。5.COSO框架IT治理关键成功因素：风险管理、信息安全、资源分