(2025年)CISA模拟考试试题及答案.docxVIP

(2025年)CISA模拟考试试题及答案

一、单项选择题（共30题，每题2分，共60分）

1.某企业计划对核心财务系统开展信息系统审计，审计团队在制定审计计划时，发现该系统近期完成了一次重大升级，且升级过程中未保留完整的变更记录。审计团队首先应采取的措施是：

A.直接扩大实质性测试范围

B.评估升级过程中的控制缺陷对审计风险的影响

C.要求管理层立即补全变更记录

D.调整审计资源分配以重点审查升级后的系统功能

答案：B

解析：审计计划阶段需评估现有控制环境对审计风险的影响。系统升级无完整变更记录属于控制缺陷，审计师应首先分析该缺陷对整体审计风险的影响，再决定后续程序（如是否扩大测试范围或调整资源），而非直接采取行动（A、D）或强制要求补记录（C）。

2.某银行采用零信任架构（ZTA）管理内部网络访问，审计师在评估其有效性时，最应关注的控制措施是：

A.所有终端设备均安装统一的端点检测与响应（EDR）工具

B.访问请求需基于用户身份、设备状态、网络位置等多因素动态验证

C.网络边界部署了下一代防火墙（NGFW）进行流量过滤

D.员工定期参加零信任架构的培训

答案：B

解析：零信任的核心是“永不信任，始终验证”，强调动态持续验证访问请求的多维度属性（如身份、设备健康状态、上下文环境等）。A、C、D是支持措施，但非核心控制。

3.某制造企业的生产管理系统（MES）与供应商的库存系统通过API实现数据自动同步，审计师发现同步过程中未对传输数据进行完整性校验。这一缺陷最可能导致的风险是：

A.数据被未授权修改后无法检测

B.供应商系统被恶意入侵

C.数据传输延迟影响生产计划

D.员工误操作导致数据错误

答案：A

解析：完整性校验（如哈希值、数字签名）用于确保数据在传输过程中未被篡改或损坏。缺乏校验会导致数据被修改后无法识别（A）。B涉及系统安全而非数据完整性；C是性能问题；D是操作风险，与传输控制无关。

4.某保险公司的客户信息数据库采用角色基础访问控制（RBAC），审计师发现部分离职员工的账户仍保留“客户信息查询”角色权限。这一问题违反了访问控制的哪项原则？

A.最小权限原则

B.职责分离原则

C.双因素认证原则

D.及时撤销原则

答案：D

解析：及时撤销原则要求在用户不再需要系统访问权限（如离职）时，立即终止其权限。题目中离职员工仍保留权限，违反此原则。最小权限（A）强调权限仅满足工作需要；职责分离（B）关注不相容职责的拆分；双因素认证（C）是认证方式，与权限撤销无关。

5.审计师对某电商平台的支付系统进行审计时，发现其将用户的信用卡CVV码（安全码）存储在数据库中。根据PCIDSS要求，这一行为的主要违规点是：

A.未对CVV码进行加密存储

B.存储了本应禁止留存的敏感数据

C.未限制CVV码的访问权限

D.未定期删除过期的CVV码

答案：B

解析：PCIDSS明确规定，禁止任何系统留存信用卡CVV码（因CVV仅用于交易验证，无需长期存储）。即使加密（A）或限制访问（C），留存行为本身已违规。D涉及数据生命周期管理，但非核心违规点。

6.某政府机构的电子档案系统采用区块链技术存储档案哈希值，以确保数据不可篡改。审计师验证其有效性时，最应检查的是：

A.区块链节点的分布是否符合去中心化要求

B.哈希值提供算法是否为SHA-256等行业标准

C.档案原文与链上哈希值的对应关系是否可追溯

D.区块链网络的共识机制是否为工作量证明（PoW）

答案：C

解析：区块链用于数据存证的核心是“原文-哈希-链上存储”的可验证性。若无法证明链上哈希对应真实档案原文（如哈希提供时未包含完整元数据），则无法保证不可篡改性。A、B、D是技术实现细节，非审计重点。

7.某零售企业的POS终端系统启用了终端安全管理（TSM），审计师发现部分终端的操作系统版本已停止官方维护（EOL）。这一问题最可能导致的风险是：

A.终端无法连接企业内网

B.缺乏漏洞修复导致被攻击

C.终端运行速度下降影响交易

D.员工无法使用新功能

答案：B

解析：EOL系统因厂商停止提供安全补丁，存在已知漏洞无法修复，易被利用攻击（如恶意软件入侵）。A、C、D是功能性影响，非主要安全风险。

8.某跨国企业的IT治理委员会拟修订IT战略，审计师在评估战略制定流程时，最应关注的是：

A.IT战略是否由CIO主导制定

B.IT战略与企业业务战略的对齐程度

C.IT战略中技术选型的成本效益分析

D.IT