2026年安全审计考试题库及答案.pdfVIP

2026年安全审计考试题库及答案

一、单选题（每题2分，共20题）

1.在进行信息系统安全审计时，以下哪项不属于安全审计的主要

目标？

A.识别和估系统安全风险

B.验证安全策略的合规性

C.监控异常用户行为

D.直接修复系统漏洞

答案：D

解析：安全审计的主要目标是估和监控，而非直接修复。修复系

统漏洞属于系统维护或安全响应的范畴。

2.根据中国《网络安全法》规定，关键信息基础设施运营者应当

在哪个时间范围内制定网络安全事件应急预案？

A.30日内

B.60日内

C.90日内

1）.120日内

答案：C

解析：《网络安全法》第三十九条规定，关键信息基础设施运营者

应当在90日内制定网络安全事件应急预案。

3.在进行数据库安全审计时，以下哪项指标不属于关键审计指标?

A.数据库访问频率

B.数据备份完整性

C.SQL注入尝试次数

D.数据库版本信息

答案：D

解析：数据库版本信息属于系统配置信息，不属于安全审计指标。

其他三项均与数据库安全直接相关。

4.以下哪种加密算法属于对称加密算法？

A.RSA

B.ECC

C.AES

D.Diffie-Hellman

答案：C

解析：AES（高级加密标准）是对称加密算法。RSA、ECC和

Diffie-Hellman属于非对称加密算法或密钥交换算法。

5.在进行网络设备安全审计时，以下哪项配置不符合安全最佳实

践？

A.关闭不使用的端口

B.启用设备防火墙

C.使用默认的管理密码

D.定期更新设备固件

答案：C

解析：使用默认管理密码存在严重安全风险，应立即更换为强密码。

6.根据ISO27001标准，组织应建立哪项机制来确保安全策略的

持续适宜性？

A.安全风险估

B.风险接受处置

C.策略定期审

D.安全事件响应

答案：C

解析：ISO27001要求组织定期审安全策略，确保其持续适宜、

充分和有效。

7.在进行渗透测试审计时，以下哪种行为属于不道德的测试行为?

A.测试未授权访问

B.估系统漏洞利用风险

C.在测试前未经授权方同意

D.提供详细的测试报告

答案：C

解析：渗透测试必须在获得明确授权后进行，未经授权的测试属于

违法行为。

8.根据中国《数据安全法》，以下哪种数据处理活动需要履行告

知-同意义务？

A.处理公开可访问的数据

B.为公共利益处理个人数据

C.处理经过去标识化的健康数据

I).处理已获得个人明确同意的数据

答案：D

解析：告知-同意原则适用于处理个人数据，已获得明确同意的属

于合处理情形。

9.在进行应用安全审计时，以下哪种测试方不属于静态代码分

析？

A.代码审查

B.动态应用扫描

C.代码复杂度分析

D.语检查

答案：B

解析：动态应用扫描属于动态测试方，其他三项均属于静态代码

分析技术。

10.根据中国《密码》，以下哪种密钥管理方式不符合要求？

A.密钥分级保护

B.密钥定期更换

C.使用国外商用密码产品

D.建立密钥备份和恢复机制

答案：C

解析：密码要求商用密码产品应符合国家密码标准，优先使用国

产密码产品。

二、多选题每（题3分，共10题）

1.安全审计的主要