2025年信息系统审计师考试试题及答案.docxVIP

2025年信息系统审计师考试试题及答案

一、单项选择题（每题1分，共30题）

1.在信息系统治理中，以下哪项是董事会的核心职责？

A.制定具体的IT操作流程

B.审批IT战略与投资计划

C.执行日常系统维护

D.设计用户访问权限矩阵

答案：B

解析：董事会的核心职责是监督IT战略与企业目标的一致性，审批重大IT投资和战略规划；具体操作流程、维护和权限设计属于管理层或执行层职责。

2.某企业采用COBIT2019框架进行IT治理，其“评估、指导与监控（EDM）”域的核心目标是？

A.确保IT服务符合成本效益

B.监督IT战略执行与绩效

C.优化系统开发流程

D.管理第三方服务提供商风险

答案：B

解析：COBIT2019的EDM域聚焦于治理层面，包括评估IT与业务目标的一致性、指导战略执行、监控绩效与合规性。

3.以下哪项属于定量风险评估的典型方法？

A.德尔菲法

B.情景分析

C.蒙特卡洛模拟

D.风险矩阵

答案：C

解析：定量评估通过数值量化风险，蒙特卡洛模拟利用概率模型计算潜在损失；德尔菲法、情景分析、风险矩阵多为定性或半定量方法。

4.在系统开发生命周期（SDLC）的需求分析阶段，审计师应重点关注？

A.代码测试覆盖率

B.需求文档的可追溯性

C.硬件配置合理性

D.系统上线后的用户培训计划

答案：B

解析：需求分析阶段的核心是确保需求明确、可验证且与业务目标一致，可追溯性（需求到设计、测试的关联）是关键控制点。

5.某银行核心交易系统采用双因素认证（2FA），以下哪项是审计师应关注的控制缺陷？

A.短信验证码作为第二因素

B.硬件令牌作为第二因素

C.生物识别（如指纹）作为第二因素

D.动态密码器作为第二因素

答案：A

解析：短信验证码易受SIM卡克隆、钓鱼攻击影响，安全性低于硬件令牌、生物识别或动态密码器，属于高风险的2FA实现方式。

6.对于数据库管理系统（DBMS）的审计，以下哪项是确保数据完整性的关键控制？

A.定期备份日志文件

B.实施行级访问控制

C.启用事务日志和回滚机制

D.限制DBA账户的远程登录

答案：C

解析：事务日志和回滚机制（如ACID特性中的原子性和持久性）直接保障数据在异常中断后的完整性；备份日志是恢复手段，访问控制是保密性控制。

7.在IT服务连续性管理（ITSCM）审计中，以下哪项最能反映恢复能力的有效性？

A.灾难恢复计划（DRP）的文档完整性

B.最近一次灾难恢复演练的成功比例

C.备用数据中心的地理位置距离

D.关键业务流程的RTO（恢复时间目标）设定

答案：B

解析：演练的成功比例直接验证计划的可执行性和团队的响应能力；文档、地理位置、RTO设定是计划要素，但未经验证的执行效果无法确认恢复能力。

8.某企业部署了入侵检测系统（IDS），审计师发现其仅记录警报但未触发自动阻断，这可能导致？

A.误报率升高

B.漏报率升高

C.攻击持续时间延长

D.日志存储成本增加

答案：C

解析：IDS的主动阻断功能可及时终止攻击，仅记录不阻断会导致攻击持续，扩大影响；误报/漏报与检测规则相关，日志成本与存储策略相关。

9.在云计算环境审计中，以下哪项属于“责任共担模型”中客户的责任？

A.物理服务器的环境控制

B.虚拟机（VM）的操作系统补丁

C.数据中心的网络防火墙

D.云服务提供商（CSP）的员工背景调查

答案：B

解析：客户负责其托管资源（如VM、应用、数据）的安全，包括操作系统补丁；物理环境、网络防火墙、CSP员工管理属于CSP责任。

10.某企业采用区块链技术存储交易记录，审计师应重点验证的控制是？

A.区块哈希值的不可篡改性

B.节点数量的分布情况

C.共识算法的能源消耗

D.智能合约的代码行数

答案：A

解析：区块链的核心价值在于数据防篡改，审计需验证哈希值的生成与存储机制是否确保历史记录不可修改；节点数量、能耗、代码行数非关键控制。

11.以下哪项是信息系统审计中“穿行测试”的主要目的？

A.评估控制的设计有效性

B.验证控制的运行有效性

C.计算控制的缺陷率

D.确定控制的关键程度

答案：A

解析：穿行测试通过追踪一笔或若干笔业务全流程，确认控制措施是否在设计层面覆盖了风险点；运行有效性需通过实质性测试（如抽样测试）验证。

12.某企业实施数据脱敏，对客户