2026年信息安全审计考试题及答案

2026年信息安全审计考试题及答案一、单项选择题（每题2分，共20题，满分40分）1.某单位拟对内部部署的自定义生成式AI大模型开展信息安全审计，本次审计中优先级最高的核心审计事项是（）A.大模型训练数据集的来源合法性、版权合规性与敏感信息脱敏情况B.大模型参数总规模是否符合项目建设预算要求C.大模型单请求推理响应速度是否满足业务SLA要求D.大模型部署所用GPU服务器的带宽利用率是否达标2.在零信任架构落地后的信息安全审计中，审计核心关注的事项是（）A.内网边界防火墙规则的有效性审计B.持续身份验证与授权访问日志的全链路留存审计C.物理门禁权限的定期复核审计D.终端杀毒软件病毒库更新情况审计3.根据《数据安全法》及国家重要数据识别标准，下列选项中属于重要数据范畴的是（）A.某互联网企业公开招聘的岗位信息B.某三甲医院超过10万条的完全脱敏后的患者诊疗数据集C.某省自然资源厅管理的本行政区域内油气主干管道分布坐标数据集D.某上市公司公开发布的2025年年度财务报告4.云服务客户拟对提供IaaS服务的云服务商开展合规性信息安全审计，根据《云计算服务安全评估办法》，客户依法拥有的权利是（）A.要求云服务商提供所有底层物理服务器的超级管理员权限供审计核查B.要求云服务商配合提供符合法规要求的审计日志与合规证明材料C.直接对云服务商平台内的其他租户数据进行审计排查D.要求云服务商修改其平台整体安全架构满足客户个性化审计要求5.开展软件供应链安全审计时，针对第三方引入的开源组件，下列选项中不属于核心审计内容的是（）A.开源组件是否存在已知未修复的CVE高危漏洞B.开源组件的许可证类型是否符合企业商业应用的合规要求C.开源组件下载服务器的地理位置D.开源组件引入后的依赖关系是否存在冲突风险6.开展个人信息保护影响评估（PIA）审计时，下列不属于PIA审计核心要点的是（）A.是否针对处理个人信息的合法性、正当性、必要性进行了评估B.是否评估了个人信息处理对个人权益可能带来的影响C.是否完整记录评估结果并按要求留存评估报告D.是否将评估报告全文公开给所有相关个人信息主体7.根据《中华人民共和国密码法》要求，开展关键信息基础设施密码应用安全性审计时，发现运营者未使用符合国家要求的密码产品保护核心敏感数据，该审计发现应当认定为（）A.一般合规问题，不影响整体安全B.严重违规事项，需要立即整改C.不涉及风险的中性问题D.只需整改无需纳入责任认定8.针对生成式AI服务开展输出内容安全审计，下列场景中需要将其列为最高优先级审计事项的是（）A.用户查询公开的1990-2020年全国平均气温数据B.用户请求生成某行业年度研究报告的基础框架C.用户请求生成恶意软件的代码编写框架D.用户请求生成个人年度工作总结的初稿9.零信任访问控制体系审计中，下列哪项审计发现属于高危安全风险（）A.普通运维人员的身份会话有效期设置为8小时B.所有管理员账号强制要求采用双因素身份认证C.开发人员跨项目访问核心敏感资源时不需要二次身份验证D.所有访问操作日志按要求留存180天以上10.根据《数据出境安全评估办法》，下列哪种情形不需要申报数据出境安全评估（）A.处理100万条个人信息的运营者向境外提供个人信息B.向境外提供涉及国家核心利益的机密级数据C.向境外提供1万条完全脱敏后的个人消费行为统计信息D.关键信息基础设施运营者向境外提供业务相关数据11.针对工业企业SCADA控制系统开展信息安全审计，下列哪项审计发现属于后果最严重的高危风险（）A.SCADA控制网络与企业办公网络之间部署了单向网闸实现逻辑隔离B.SCADA系统核心控制单元使用已经停止官方维护的WindowsXP操作系统，且未部署任何补偿安全控制措施C.SCADA系统操作日志每7天完成一次离线备份D.SCADA系统运维人员每月开展一次安全培训12.开展企业远程办公安全体系审计，下列配置符合信息安全要求的是（）A.允许用户直接通过公共互联网访问内部核心办公系统，不需要VPN接入B.远程办公终端接入内网后自动授予所有内部资源的访问权限C.远程办公接入采用零信任身份验证，访问敏感资源时要求二次身份验证D.允许任意外接存储设备接入远程办公终端，不做审计与管控13.开展生成式AI内容版权专项审计，发现某企业使用内部生成式AI生成的产品宣传文案大段抄袭公开出版书籍的原创内容，下列责任认定正确的是（）A.生成式AI服务商承担全部侵权责任，企业作为使用者无责B.企业作为AI内容的使用者与发布者，应当承担相应的侵权责任C.原作者无权追责，因为内容由AI生成不属于著作权保护范畴D.AI平台不承担审核责任，因此不需要承担任何责任14.开展企业勒索病毒防护体系审计，下列哪项控制措施被认定为有效的核心防护措施（）A.所有核心数据每天完成全量备份，备份数据与生产网络实时连通便于快速恢复B.核心数据采用离线多版本备份，且定期开展备份恢复测试验证可用性C.只需要在终端安装杀毒软件，不需要定期备份核心数据D.备份数据仅留存一个最新版本，节省存储资源15.信息安全审计师在现场审计过程中接触到被审计单位的核心商业敏感数据，应当遵守的核心要求是（）A.为了学术研究目的，可以摘抄敏感数据用于个人论文发表B.严格遵守审计前签订的保密协议，不得泄露任何审计接触到的敏感信息C.可以将敏感数据分享给第三方安全机构做漏洞研究D.审计结束后不需要销毁工作过程中留存的敏感数据副本16.根据《网络安全等级保护条例》，第三级网络安全保护对象的信息安全审计最低频率要求是（）A.每半年一次B.每年一次C.每两年一次D.每三年一次17.开展生物识别信息处理安全审计，下列处理方式符合合规要求的是（）A.为了方便身份验证，将用户指纹模板明文存储在公开可访问的业务数据库中B.收集用户人脸信息用于门禁验证，超出使用期限后继续留存未删除C.处理生物识别信息前取得了个人的单独同意，明确了处理目的与范围D.将收集到的用户人脸信息直接提供给第三方广告公司用于精准营销18.开展企业API安全专项审计，下列属于API安全核心审计要点的是（）A.API接口的单月总调用量大小B.API接口的访问权限控制与敏感数据泄露防护情况C.API接口开发所使用的编程语言类型D.API接口部署服务器的地理位置19.内部信息安全审计中，发现多名员工将单位内部未公开的项目敏感数据上传到公共生成式AI平台做内容润色，该行为的风险认定正确的是（）A.属于一般操作不规范，不存在实质安全风险B.属于敏感数据泄露高危风险，上传的内容可能被公共大模型留存用于训练，导致敏感信息泄露C.只要员工不是故意泄露，就不需要做任何处理D.公共大模型会自动删除用户上传数据，不存在安全风险20.信息安全审计报告中，针对高危风险事项，最合理的整改要求是（）A.可以在12个月内完成整改即可，不需要做临时管控B.要求立即采取临时管控措施降低风险，整改期限一般不超过30个工作日C.只需要记录在案，不需要整改D.只要管理层签字确认风险，就可以不整改二、多项选择题（每题3分，共10题，满分30分）1.生成式AI大模型信息安全审计应当包含的核心审计领域有（）A.训练数据合规审计B.模型本身安全审计（包括后门、漏洞排查）C.生成输出内容安全审计D.大模型访问控制安全审计2.软件供应链安全审计中，针对引入的第三方组件的常见审计内容包括（）A.已知公开高危漏洞排查B.组件许可证合规性检查C.组件依赖关系梳理与冲突排查D.组件开发者国籍排查3.零信任架构下信息安全审计的主要内容包括（）A.身份治理体系审计B.持续信任评估机制审计C.动态访问控制机制审计D.全链路访问日志审计4.数据安全审计中，重要数据识别工作的审计要点包括（）A.是否按照国家相关标准建立了企业内部重要数据识别流程B.重要数据识别过程是否完整留存记录C.是否对识别出的重要数据进行了分级分类标记D.是否定期更新重要数据识别目录5.根据《中华人民共和国个人信息保护法》，下列属于个人信息处理违规行为，应当认定为安全风险的有（）A.超出业务需要过度收集个人信息B.未经个人同意向第三方提供个人信息C.未按要求采取安全存储措施导致个人信息存在泄露风险D.为履行合同所必需处理个人信息6.企业勒索病毒防护体系信息安全审计，应当重点检查哪些控制措施（）A.核心数据备份与恢复机制B.入侵检测与异常预警机制C.终端与网络边界防护机制D.勒索病毒事件应急响应机制7.数据出境安全审计中，下列属于违规数据出境的情形有（）A.未申报安全评估就向境外提供120万条个人信息B.将企业核心重要数据存储在境外未报备的云服务器上C.企业员工个人将负责的涉密工作文档通过邮件发给境外的亲属D.经国家网信部门安全评估合格后，向境外合作方提供合规范围内的业务数据8.工业控制系统信息安全审计中，常见的高危风险包括（）A.工业控制网络直接连接公共互联网B.使用已经停止维护的老旧操作系统未部署补偿控制措施C.未开启控制操作日志审计功能D.所有远程运维访问都要求身份验证9.信息安全审计师应当遵守的职业道德要求包括（）A.保持审计工作的独立性，不受被审计单位干扰B.保持客观性，如实记录审计发现C.严格遵守保密规定D.不得参与被审计单位的利益输送活动10.关键信息基础设施安全保护审计中，下列属于运营者应当履行的法定义务的有（）A.定期开展安全风险评估B.对安全负责人和关键岗位人员进行安全背景审查C.定期开展安全应急演练D.将安全操作日志留存不少于六个月三、案例分析题（每题20分，共2题，满分40分）1.某省级政务服务中心2025年上线面向公众服务的“政务AI助手”，基于开源大模型微调开发，提供政务咨询、办事指南查询等服务，2026年内部审计部门对该系统开展信息安全专项审计，审计过程中发现以下问题：（1）该大模型训练所用数据集包含2018-2025年办理业务留存的120万条公民个人信息，涵盖身份证号、家庭住址、联系方式等内容，训练前仅做了简单关键词替换脱敏，未开展脱敏有效性验证，也未就使用个人信息训练大模型取得个人信息主体的单独同意；该数据集存储在政务外网对象存储服务器中，仅对开发团队开放权限，未开启访问日志审计。（2）该AI助手对外开放的调用接口未设置调用频率限制，也未对用户请求内容做安全检测，已经多次发现恶意请求试图诱导AI生成诈骗话术、违规办事指南。（3）AI助手生成的办事指南多次出现内容错误，部分错误内容不符合现行法规要求，尚未造成公众损失，但已经收到3次相关投诉。（4）该单位未针对该AI系统制定专门的安全应急预案，也未开展过应急演练。问题：（1）请指出本次审计发现的所有风险点，说明对应的违规依据与风险等级；（12分）（2）针对各风险点提出具体可落地的审计整改建议。（8分）2.某国内头部电商企业开展境内线上零售与跨境电商业务，2025年上线用户精准推荐系统，基于用户浏览记录、购买记录、个人基本信息训练推荐模型，2026年企业聘请第三方审计机构开展个人信息保护专项审计，发现以下问题：（1）该企业在用户注册协议中以概括性条款取得用户对个人信息用于精准推荐的授权，未提供单独的同意选项，也未在个人中心提供便捷的关闭精准推荐的入口。（2）该企业为了优化推荐模型，与第三方大数据公司交换了各自掌握的100万条用户个人信息，该合作未告知用户，也未取得用户同意。（3）该企业跨境电商板块为方便境外物流企业配送，将50万条境内买家的姓名、电话、收货地址信息提供给境外物流企业，该事项未申报数据出境安全评估。（4）该企业用户账号密码存储在公有云数据库中，采用明文存储方式，运维人员可以直接查看所有用户的密码信息。问题：（1）请逐一说明上述四个审计发现分别违反了《个人信息保护法》《数据出境安全评估办法》的哪些规定；（12分）（2）针对每个问题提出具体整改措施。（8分）四、综合应用题（满分40分）某集团企业下属12家子公司，业务覆盖金融、零售、工业制造三个核心领域，集团计划2026年开展全集团范围的年度信息安全审计，假设你是本次审计项目的负责人，请完成以下任务：1.结合集团多业务板块的特点，制定本次信息安全审计的核心审计范围，分领域说明具体审计要点；（15分）2.说明本次集团审计项目的完整实施流程，以及各流程阶段的核心工作内容；（15分）3.针对审计发现的不同等级风险，说明后续整改跟踪的分级管理要求。（10分）参考答案与解析一、单项选择题答案与解析1.答案：A解析：生成式AI信息安全审计的核心优先级是数据合规与安全，模型规模、响应速度、带宽利用率属于性能审计范畴，不属于信息安全审计的核心事项，因此选A。2.答案：B解析：零信任架构的核心逻辑是“永不信任，永远验证”，核心审计要点是持续身份验证与全链路审计，内网边界、物理门禁、终端杀毒是传统边界安全的审计内容，因此选B。3.答案：C解析：能源基础设施分布坐标属于关系国家安全、公共利益的重要数据，其余选项均为公开信息或完全脱敏数据，不属于重要数据范畴，因此选C。4.答案：B解析：根据法规要求，客户有权要求云服务商提供合规证明与审计日志，云服务商不需要提供底层管理员权限，也无权让客户审计其他租户数据，更不需要为单个客户修改平台整体架构，因此选B。5.答案：C解析：开源组件下载服务器地理位置不影响软件供应链安全，不属于核心审计内容，漏洞、许可证合规、依赖冲突都是核心审计点，因此选C。6.答案：D解析：PIA报告不需要全文公开给所有个人信息主体，仅需要按要求留存供监管检查，其余三项都是PIA审计的核心要点，因此选D。7.答案：B解析：根据《密码法》，关键信息基础设施必须使用符合要求的密码产品，未按要求使用属于严重违规，因此选B。8.答案：C解析：请求生成恶意软件代码属于恶意使用生成式AI，会带来严重安全风险，属于最高优先级审计事项，其余场景都是合法合规使用，因此选C。9.答案：C解析：零信任要求对每一次跨域访问都进行身份验证，跨项目访问敏感资源不做二次验证违反零信任要求，属于高危风险，其余配置都是符合要求的，因此选C。10.答案：C解析：少量脱敏个人信息出境不需要申报安全评估，其余三种情形都按要求需要申报，因此选C。11.答案：B解析：停服系统未做补偿控制，会存在大量已知未修复漏洞，攻击者可以轻易入侵控制SCADA系统，引发生产安全事故，属于最高危风险，其余配置都是符合要求的，因此选B。12.答案：C解析：远程办公采用零信任二次验证符合安全要求，其余三项都是违规配置，存在安全风险，因此选C。13.答案：B解析：根据现行著作权相关法规与《生成式人工智能服务管理暂行办法》，企业作为AI内容的发布者与使用者，应当对内容的版权合规性负责，因此选B。14.答案：B解析：离线多版本备份加定期恢复测试是勒索病毒防护的核心有效措施，备份连通生产网络、不备份、仅存一个版本都不符合要求，因此选B。15.答案：B解析：保密是信息安全审计师的核心职业道德要求，审计过程中接触的所有敏感信息都不得泄露，审计结束后应当销毁所有副本，因此选B。16.答案：B解析：根据《网络安全等级保护条例》，三级系统每年至少开展一次测评与安全审计，因此选B。17.答案：C解析：处理生物识别信息需要取得个人单独同意，符合合规要求，其余三项都是违规行为，因此选C。18.答案：B解析：API安全的核心是权限控制与敏感数据防护，调用量、编程语言、服务器位置都不是核心安全审计点，因此选B。19.答案：B解析：公共大模型通常会留存用户输入数据用于模型训练，敏感数据上传会导致敏感信息泄露，属于高危风险，因此选B。20.答案：B解析：高危风险需要立即管控，整改期限一般不超过30个工作日，无法立即整改的也要先做临时管控，因此选B。二、多项选择题答案与解析1.答案：ABCD解析：生成式AI大模型信息安全审计覆盖训练数据、模型本身、输出内容、访问控制四个核心领域，四个选项均正确。2.答案：ABC解析：软件供应链开源组件审计不需要排查开发者国籍，其余三项都是核心审计内容，因此选ABC。3.答案：ABCD解析：零信任审计覆盖身份治理、持续信任评估、动态访问控制、全链路日志审计四个核心部分，四个选项均正确。4.答案：ABCD解析：重要数据识别审计的要点包括流程合规、记录留存、分级标记、定期更新，四个选项均正确。5.答案：ABC解析：为履行合同处理个人信息属于合法行为，其余三项都是违规行为，因此选ABC。6.答案：ABCD解析：勒索病毒防护需要备份、检测、防护、应急全流程控制，四个选项均正确。7.答案：ABC解析：经评估合格的数据出境属于合规行为，其余三项都是违规出境，因此选ABC。8.答案：ABC解析：远程访问要求身份验证是合规控制，其余三项都是高危风险，因此选ABC。9.答案：ABCD解析：四项都是信息安全审计师必须遵守的职业道德要求，全部正确。10.答案：ABCD解析：根据《关键信息基础设施安全保护条例》，四项都是运营者的法定义务，全部正确。三、案例分析题参考答案1.（1）风险点认定：①训练数据合规风险：属于高危风险，违反《个人信息保护法》关于个人信息处理应当取得同意、敏感信息处理应当单独同意、脱敏应当保证有效性的规定，同时违反网络安全法关于日志留存审计的要求，可能导致大规模个人信息泄露，面临监管处罚。②接口安全风险：属于高危风险，违反《网络安全法》关于网络安全防护的要求、《生成式人工智能服务管理暂行办法》关于内容安全审核的要求，容易被恶意利用生成违法内容，引发法律责任。③输出内容质量与安全风险：属于中高危风险，违反生成式AI服务安全管理要求，错误内容会误导公众，引发舆情与行政责任。④应急管理风险：属于高危风险，违反《网络安全法》关于网络运营者应当制定应急预案定期演练的要求，发生安全事件后无法有效处置，扩大事件影响。（2）整改建议：①针对训练数据：无法取得个人单独同意的，删除训练数据中的所有个人信息，对保留的数据集重新开展脱敏，并验证脱敏有效性，开启数据集访问日志审计，日志留存不少于6个月。②针对接口安全：增加调用频率限制，部署内容安全检测模型，拦截恶意请求，记录异常请求并告警。③针对输出内容：建立AI输出内容分级审核机制，面向公众的内容增加人工复核环节，建立错误内容反馈通道，定期更新训练数据保证内容合规。④针对应急管理：制定AI系统专项应急预案，每年至少开展一次应急演练，明确应急处置流程与责任分工。2.（1）违规认定：①第一项问题：违反《个人信息保护法》规定，个人信息处理者处理个人信息用于精准营销的，应当取得个人单独同意，并提供便捷的拒绝方式，不得通过概括同意强制授权。②第二项问题：违反《个人信息保护法》规定，个人信息处理者向第三方提供个人信息的，应当取得个人单独同意，告知第三方相关信息，未经同意交换个人信息属于严重违规。③第三项问题：违反《数据出境安全评估办法》规定，向境外提供超过10万人个人信息的，应当申报数据出境安全评估，未申报属于违规出境。④第四项问题：违反《个人信息保护法》《网络安全法》关于个人信息存储安全的规定，用户密码属于敏感信息，必须加密存储，明文存储属于严重违规。（2）整改措施：①第一项问题：修订用户注册协议，增加精准推荐单独授权选项，在个人中心增加一键关闭精准推荐的入口，为现有用户提供关闭渠道。②第二项问题：立即停止个人信息交换，删除双方交换的所有个人信息，告知受影响用户相关情况，后续确需合作的，按要求取得个人单独同意后再开展合作。③第三项问题：立即停止向境外提供完整个人信息，补充向国家网信部门申报数据出境安全评估，评估完成前，仅向境外提供配送必需的最小范围信息，且采取加密传输等安全措施。④第四项问题：立即对所有用户密码进行哈希加盐加密存储，修订数据库权限管理制度，限制运维人员访问敏感信息的权限，开启数据库访问审计。四、综合应用题参考答案1.核心审计范围与要点：（1）基础架构安全审计：覆盖集团全公司的核心网络、终端，审计要点包括：边界防火墙规则有效性、入侵检测规则更新、终端EDR部署覆盖率、远程访问安全控制、日志留存合规性。（2）数据安全与个人信息保护分领域审计：金融板块重点审计客户金融敏感数据的分级分类、加密存储、交易日志合规；零售板块重点审计消费者个人信息处理合规、精准营销授权管理；工业制造板块重点审计核心设计数据、供应链数据的保护；全集