计算机系统审计师考试模拟试卷.docxVIP

计算机系统审计师考试模拟试卷

一、单项选择题（共10题，每题2分）

1.在IT治理框架中，COBIT的主要关注点是（）

A.技术实施细节

B.业务流程优化

C.战略目标与IT对齐

D.硬件性能提升

2.业务连续性计划（BCP）中，进行业务影响分析（BIA）的首要目的是（）

A.确定备份策略

B.识别关键业务流程及其恢复优先级

C.测试灾难恢复流程

D.采购应急设备

3.以下哪种访问控制模型基于“最小权限原则”？（）

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.属性基访问控制（ABAC）

4.信息系统审计中，检查入侵检测系统（IDS）日志的主要目标是（）

A.评估系统吞吐量

B.发现潜在安全事件

C.优化网络带宽

D.验证软件版本

5.根据ISO/IEC27001，建立信息安全管理体系（ISMS）的第一步是（）

A.实施安全控制措施

B.定义信息安全策略

C.进行风险评估

D.开展内部审计

6.在数据加密标准中，AES算法属于（）

A.非对称加密

B.哈希函数

C.对称加密

D.数字签名

7.审计IT项目时，评估“关键路径”的目的是（）

A.确定项目总成本

B.识别最短完工时间及关键任务

C.分配团队资源

D.制定质量保证计划

8.SOX法案第404条要求审计师重点关注（）

A.财务报告内部控制有效性

B.员工薪酬结构

C.市场营销策略

D.产品研发流程

9.云服务中“共享责任模型”明确要求客户负责（）

A.物理基础设施安全

B.应用层数据保护

C.hypervisor维护

D.区域网络冗余

10.数字取证中，保持证据链完整性的核心要求是（）

A.实时监控系统

B.记录证据的收集、传输及存储过程

C.加密所有数据

D.使用开源工具

二、多项选择题（共10题，每题2分）

1.IT通用控制（ITGC）通常包括（）

A.程序变更管理

B.系统开发生命周期

C.备份与恢复管理

D.市场营销策略

2.风险应对策略可包括（）

A.风险规避

B.风险转移

C.风险接受

D.风险忽略

3.数据隐私保护法规（如GDPR）要求组织必须（）

A.实施数据加密

B.明确数据处理的法律依据

C.任命数据保护官（DPO）

D.定期删除所有历史数据

4.有效的IT灾难恢复计划应包含（）

A.备用站点规格

B.恢复时间目标（RTO）

C.员工培训记录

D.恢复点目标（RPO）

5.审计日志应具备的关键特性有（）

A.不可篡改性

B.实时可视化

C.时间戳准确性

D.完整记录用户操作

6.萨班斯-奥克斯利法案（SOX）合规要求涉及（）

A.财务报告透明度

B.内部控制评估

C.首席执行官对财务报告的确认

D.IT基础设施扩容

7.信息系统生命周期包含的阶段有（）

A.规划与需求分析

B.系统设计与开发

C.测试与部署

D.运维与退役

8.网络安全威胁中，社会工程学攻击的典型形式包括（）

A.钓鱼邮件

B.尾随进入安全区域

C.DDoS攻击

D.假冒技术支持

9.云计算审计中，需关注的服务模型有（）

A.IaaS（基础设施即服务）

B.PaaS（平台即服务）

C.SaaS（软件即服务）

D.BaaS（区块链即服务）

10.合规性审计中，常参考的国际标准包括（）

A.ISO/IEC27001

B.PCI-DSS

C.NISTCSF

D.ITIL

三、判断题（共10题，每题2分）

1.IT审计的唯一目标是发现技术漏洞。（）

2.渗透测试与漏洞评估的含义完全相同。（）

3.业务连续性计划（BCP）应每五年测试一次。（）

4.哈希函数可用于验证数据完整性。（）

5.公有云中所有安全责任均由服务商承担。（）

6.SOX法案仅适用于美国上市公司。（）

7.安全事件响应计划应包含事后总结与改进环节。（）

8.逻辑访问控制仅针对操作系统层面。（）

9.IT治理框架COBIT