2026年CISM-信息安全审计试题及答案

2026年CISM信息安全审计试题及答案一、单选题（共15题，每题2分）1.在信息安全审计过程中，审计师发现某企业未对员工进行定期的安全意识培训。根据COSO框架，这可能导致哪项风险？（）A.内部控制失效B.数据泄露C.法律合规风险D.系统性能下降答案：A解析：定期安全意识培训是COSO内部控制框架的关键组成部分，缺位会导致员工操作不当引发内部控制失效。2.某金融机构采用“双重控制”策略访问核心数据库，以下哪项措施不属于双重控制范畴？（）A.密码+生物识别B.令牌+动态口令C.证书+密码D.人工审批+系统自动授权答案：D解析：双重控制需依赖技术手段（如密码、令牌、证书等），人工审批属于非技术手段，不符合双重控制定义。3.审计师在测试某企业日志审计系统时，发现系统未记录所有管理员操作。根据ISO27001要求，这违反了哪项原则？（）A.防止不授权访问B.保障系统完整性C.保留安全事件证据D.最小权限原则答案：C解析：ISO27001要求组织必须记录所有安全相关事件，日志审计是关键手段，缺位即违反证据保留原则。4.某跨国公司在欧洲部署了加密通信系统，但未遵守GDPR规定进行数据本地化存储。审计师应重点关注以下哪项风险？（）A.系统可用性下降B.个人数据跨境传输合规性C.网络延迟增加D.设备硬件故障答案：B解析：GDPR强制要求个人数据跨境传输需符合特定条件，违规将面临巨额罚款。5.审计师发现某企业将所有服务器集中部署在单一机房，未实施冗余备份。根据风险管理理论，这属于哪种风险？（）A.操作风险B.战略风险C.信用风险D.法律风险答案：A解析：单点故障属于典型的操作风险，违反了业务连续性设计原则。6.在测试某企业访问控制策略时，审计师发现普通员工可访问财务系统。根据AAA原则，该问题违反了哪项要求？（）A.不可抵赖性B.最小权限原则C.透明性D.保密性答案：B解析：AAA原则中的最小权限要求用户仅能访问完成工作所需资源，过度授权违反该原则。7.某制造企业采用SCADA系统监控生产线，审计师发现该系统未启用网络隔离。根据ITIL框架，这可能导致哪项问题？（）A.服务成本上升B.安全事件扩散C.运维效率提高D.数据完整性增强答案：B解析：未隔离的SCADA系统易受工业病毒攻击，违反ITIL中“隔离故障影响”的设计原则。8.审计师在测试某企业数据备份策略时，发现备份频率为每月一次。根据RTO/RPO要求，该频率是否适用于关键业务系统？（）A.适用，因数据可恢复B.不适用，RPO需≤1小时C.不适用，RTO需≤24小时D.适用，因成本较低答案：C解析：关键业务系统通常要求RPO≤1小时，月度备份无法满足要求。9.某零售企业采用PCIDSS标准进行支付系统审计，审计师发现未对POS机进行定期漏洞扫描。根据标准要求，这可能导致哪项后果？（）A.交易费用增加B.信用卡欺诈风险C.客户投诉率下降D.系统响应速度加快答案：B解析：PCIDSS要求支付终端必须定期扫描漏洞，缺位易导致支付数据泄露。10.审计师发现某企业将离职员工的账号长期保留在系统中。根据零信任架构理念，该做法存在什么问题？（）A.系统性能负担加重B.违反身份认证原则C.提高数据安全性D.符合合规要求答案：B解析：零信任要求“从不信任，始终验证”，离职账号保留违反该原则。11.某政府机构采用电子签章系统，审计师发现未对签章日志进行加密存储。根据《电子签名法》，该做法存在什么风险？（）A.签章文件损坏B.日志篡改风险C.系统卡顿现象D.签章效力降低答案：B解析：加密存储是日志完整性的基本要求，缺位可能导致证据被篡改。12.审计师在测试某企业应急响应预案时，发现未包含供应链中断场景。根据NIST框架，该问题违反了哪项要求？（）A.预案可操作性B.业务连续性设计C.风险评估完整性D.技术更新及时性答案：B解析：NIST要求应急预案需覆盖所有潜在威胁，包括供应链风险。13.某企业采用多因素认证（MFA）保护VPN接入，审计师发现仅要求密码+短信验证码组合。根据密码策略，该做法存在什么问题？（）A.认证成本过高B.短信通道易受攻击C.符合合规要求D.认证强度不足答案：D解析：MFA需采用强认证因子组合，短信验证码属于弱因子，违反最佳实践。14.审计师发现某企业将敏感数据存储在共享云盘，未设置访问控制。根据CISControls，该做法违反了哪项控制措施？（）A.控制措施1：保护组织资产B.控制措施3：维护资产安全C.控制措施5：保护系统D.控制措施9：限制访问权限答案：D解析：CISControls要求对敏感数据实施访问控制，缺位违反控制措施9。15.审计师在测试某企业数据加密策略时，发现未对传输中数据加密。根据OWASPTop10，该做法存在什么风险？（）A.数据存储空间不足B.中间人攻击风险C.密码强度不够D.系统响应延迟答案：B解析：传输中数据未加密易受中间人攻击，OWASPTop10将其列为高风险项。二、多选题（共10题，每题3分）16.审计师在测试某企业变更管理流程时，发现以下哪些问题可能导致变更失败？（）A.变更未经审批B.测试环境与生产环境不一致C.变更记录不完整D.变更后未进行业务影响测试答案：A、B、C、D解析：以上均属于变更管理失效的典型表现，任何一项缺失都可能导致变更失败。17.根据ISO27001要求，以下哪些措施属于组织信息安全策略范畴？（）A.访问控制政策B.数据分类标准C.物理安全规定D.员工行为规范答案：A、B、C、D解析：ISO27001要求组织制定全面的信息安全策略，涵盖技术、管理、物理等多方面。18.审计师在测试某企业SOC（安全运营中心）时，发现以下哪些指标可反映安全事件响应效率？（）A.平均检测时间（MTTD）B.平均响应时间（MTTR）C.安全事件数量D.员工安全意识评分答案：A、B解析：MTTD和MTTR是衡量SOC响应效率的核心指标，其余选项与效率无直接关联。19.根据GDPR要求，以下哪些情况需获得个人明确同意？（）A.收集个人位置数据B.推送营销邮件C.记录通话录音D.分析用户行为数据答案：A、B、C、D解析：GDPR要求所有个人数据处理需获得明确同意，以上均属于敏感数据场景。20.审计师在测试某企业勒索软件防护措施时，发现以下哪些做法可降低风险？（）A.启用勒索软件检测工具B.实施网络隔离C.定期备份数据D.禁用可移动存储设备答案：A、B、C解析：D选项过度限制业务，其余选项均为有效防护措施。21.根据CISControls，以下哪些属于“发现”阶段的核心控制措施？（）A.资产发现B.漏洞扫描C.对象识别D.安全配置核查答案：A、B、C解析：D属于“保护”阶段，其余均属于“发现”阶段。22.审计师在测试某企业数据备份策略时，发现以下哪些情况需优先恢复？（）A.生产数据库B.财务报表C.员工邮箱D.测试环境数据答案：A、B解析：根据RTO/RPO要求，生产数据库和财务报表属于关键业务系统。23.根据零信任架构理念，以下哪些场景需实施多因素认证？（）A.远程接入B.文件共享C.应用程序访问D.API调用答案：A、C、D解析：文件共享通常基于内部信任，其余场景需强化认证。24.审计师在测试某企业应急响应预案时，发现以下哪些问题可能导致响应失败？（）A.预案版本过时B.联系人信息错误C.缺乏演练计划D.技术工具不兼容答案：A、B、C、D解析：预案有效性取决于完整性、准确性及可操作性，以上均可能导致失败。25.根据PCIDSS要求，以下哪些措施属于支付安全范畴？（）A.安装防火墙B.定期磁条检测C.实施AV检测D.授权目录检查答案：A、B、C、D解析：PCIDSS要求全面覆盖支付安全，以上均属于合规措施。三、判断题（共10题，每题1分）26.审计师在测试某企业访问控制策略时，发现仅基于部门权限分配，未考虑角色差异。该做法符合最小权限原则。（×）解析：最小权限原则要求根据具体角色分配权限，而非部门笼统授权。27.根据GDPR要求，个人数据匿名化处理可豁免所有法律义务。（√）解析：匿名化数据已失去个人识别性，无需遵守GDPR规定。28.审计师发现某企业将所有日志集中存储在单一数据库，该做法符合安全审计要求。（×）解析：日志集中存储需考虑隔离与加密，单一数据库易受攻击。29.根据CISControls，控制措施12属于“检测”阶段。（√）解析：控制措施12为“漏洞扫描”，属于检测阶段。30.审计师发现某企业未对离职员工账号进行禁用，该做法符合零信任架构理念。（×）解析：零信任要求“永不信任”，离职账号必须立即禁用。31.根据ISO27001要求，组织必须每年进行信息安全风险评估。（√）解析：风险评估是ISO27001的核心要求，需定期更新。32.审计师发现某企业采用MD5算法加密密码，该做法符合安全标准。（×）解析：MD5已被证明不安全，应采用SHA-256或更高算法。33.根据PCIDSS要求，POS机必须每6个月进行一次磁条检测。（√）解析：PCIDSS明确要求磁条检测周期为6个月。34.审计师发现某企业未对VPN接入进行MFA认证，该做法符合成本效益原则。（×）解析：安全投资应优先保障关键系统，VPN属于高风险场景。35.根据NIST框架，应急响应预案必须包含详细的恢复流程。（√）解析：NISTSP800-61要求预案需覆盖恢复阶段。四、简答题（共5题，每题5分）36.简述ISO27001信息安全管理体系的核心要素。答案：-信息安全策略-风险评估与管理-安全对象治理-资产管理-人力资源安全-物理与环境安全-通信与操作管理-安全事件管理-业务连续性管理-信息安全审核37.阐述零信任架构的核心原则及其在企业中的应用意义。答案：-核心原则：永不信任，始终验证；网络边界模糊化；微分段；多因素认证；持续监控。应用意义：-降低内部威胁风险；-强化数据保护；-提高业务灵活性；-满足合规要求。38.列举三种常见的访问控制模型，并简述其特点。答案：-自主访问控制（DAC）：基于用户权限，如Windows文件权限；-强制访问控制（MAC）：基于安全标签，如SELinux；-基于角色的访问控制（RBAC）：基于角色分配权限，如ERP系统。39.解释什么是RTO/RPO，并举例说明其应用场景。答案：-RTO（恢复时间目标）：业务恢复所需最长时间，如≤1小时；-RPO（恢复点目标）：可接受的数据丢失量，如≤1小时。应用场景：-金融交易系统（RTO≤15分钟，RPO≤5分钟）；-制造业SCADA系统（RTO≤4小时，RPO≤15分钟）。40.分析企业实施数据本地化存储可能带来的优势与风险。答案：优势：-符合合规要求（如GDPR、网络安全法）；-降低跨境传输成本；-提高数据访问速度。风险：-增加运维复杂度；-可能引发地缘政治冲突；-限制全球化业务发展。五、案例分析题（共2题，每题10分）41.某金融机构部署了新式ATM机，审计师发现以下问题：-未启用远程监控；-硬盘未加密；-网络直接接入互联网；-操作系统未打补丁。请分析上述问题可能存在的风险，并提出改进建议。答案：风险：-远程监控缺位可能导致劫持事件；-硬盘未加密易致资金数据泄露；-直接接入互联网易受网络攻击；-未打补丁存在漏洞被利用风险。改进建议：-部署远程监控平台；-采用全盘加密技术；-通过DMZ区接入互联网；-建立自动补丁管理机制。42.某制