2025年注册信息系统审计师(CISA)考试题库（附答案和详细解析）（0812）.docxVIP

2025年注册信息系统审计师(CISA)考试题库（附答案和详细解析）（0812）

注册信息系统审计师(CISA)考试试卷

一、单项选择题（共10题，每题1分，共10分）

在信息系统审计中，风险评估的主要目的是什么？A.确定系统故障的具体原因B.识别和评估与信息资产相关的威胁和脆弱性C.制定系统升级计划D.编写用户操作手册答案：B解析：风险评估的核心是识别潜在威胁和脆弱性，B选项准确描述了这一目的。A选项是故障排除，C选项是系统维护，D选项是用户培训，均非风险评估主旨。

根据COBIT框架，哪个流程主要负责确保信息资产得到适当保护？A.规划和建立业务环境（PBE）B.定义信息架构（DIA）C.保护信息资产（PIA）D.监控信息资产使用（MAU）答案：C解析：COBIT的”保护信息资产”流程（PIA）明确涵盖访问控制、加密等安全措施，A选项是战略规划，B选项是架构设计，D选项是使用监控，与题意不符。

在IT控制测试中，“抽样方法应具有代表性”意味着什么？A.抽样数量必须达到100%B.样本应随机且覆盖关键业务流程C.仅选择用户最常使用的功能测试D.测试数据必须完全真实答案：B解析：代表性抽样需兼顾随机性和覆盖面，确保测试结果能推断总体情况，B选项最符合CISA审计准则。A选项不现实，C选项有偏见，D选项是数据质量要求。

以下哪项不是ITIL服务战略阶段的核心输出？A.服务目录B.服务级别协议（SLA）C.服务连续性计划D.业务需求文档答案：C解析：服务连续性计划属于服务运营阶段，A、B、D均为战略阶段输出，C选项时间错位。

根据ISO27001，组织建立信息安全管理体系（ISMS）时必须遵循的PDCA循环是什么？A.规划-实施-检查-改进B.设计-开发-测试-部署C.需求-分析-设计-实施D.规划-评估-验收-维护答案：A解析：PDCA是ISO27001的核心方法论，对应Plan-Do-Check-Act，A选项完整准确。

在测试数据管理中，“数据脱敏”的主要目的是什么？A.提高数据库查询效率B.保护敏感信息不被泄露C.增加数据存储容量D.简化数据备份流程答案：B解析：脱敏通过替换/遮盖敏感字段实现隐私保护，B选项是直接目的。A、C、D与脱敏功能无关。

以下哪种加密技术属于对称加密？A.RSAB.AESC.SHA-256D.ECC答案：B解析：AES使用相同密钥加密解密，为对称加密；RSA、ECC为非对称加密，SHA-256为哈希算法。

根据萨班斯法案（SOX），管理层对以下哪项负有直接责任？A.系统开发编程B.内部控制有效性评估C.数据库物理安全D.服务器硬件维护答案：B解析：SOX第404条明确要求管理层评估财务报告内部控制，A、C、D属于具体执行职责。

在自动化测试中，“回归测试”的主要目的是什么？A.发现新功能缺陷B.验证代码修改未引入新问题C.评估测试人员技能D.确认系统性能指标答案：B解析：回归测试确保变更不影响现有功能，B选项是核心目标。A是功能测试，C是人力资源评估，D是性能测试。

根据ITIL，服务请求（ServiceRequest）通常处理什么类型的问题？A.紧急系统故障B.需要变更管理流程的事务C.重复性、非紧急的用户需求D.影响核心业务的系统性风险答案：C解析：服务请求处理用户常规需求（如密码重置），C选项描述最准确。A、D需应急响应，B需变更流程。

二、多项选择题（共10题，每题2分，共20分）

以下哪些属于信息系统的CIA三要素？（答案：ABC）A.机密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.可追溯性（Accountability）

根据ITIL，服务设计阶段需要考虑的关键流程有哪些？（答案：ABCD）A.服务目录设计B.服务级别设计C.安全需求设计D.成本效益分析

IT审计计划应包含哪些内容？（答案：ABC）A.审计目标B.范围和资源分配C.风险评估结果D.用户满意度调查

在评估访问控制矩阵时，审计师应关注哪些问题？（答案：AB）A.“权限过宽”（过度授权）B.“权限缺失”（必要权限未设置）C.用户访问时间记录不完整D.系统日志自动清除设置

根据COBIT2019，企业治理应考虑哪些关键原则？（答案：ABCD）A.分散决策权B.明确职责分离C.确保风险偏好透明D.保障利益相关者参与

以下哪些属于常见的IT治理框架？（答案：ABCD）A.COBIT