2025年信息安全管理体系审核员考试易错题及分析 .pdfVIP

长风破浪会有时，直挂云帆济沧海。——李白

2025年信息安全管理体系审核员考试易错题及分析

一、单选题（共40题）

1.关于适用性声明，下面描述错误的是()

A.包含附录A中控制删减的合理性说明

B.不包含未实现的控制

C.包含附录A的控制及其选择的合理性说明

D.包含所有计划的控制

参考答案:B

题目解析:参考GB/T22080-2016/ISO/IEC270016.1.3信息安全风险

处置原文b)-d)，B选项错误，应包含所有的控制，未实现的控制应

包含删减的合理性说明。

2.风险外置是()

A.识别并执行措施来更改风险的过程

B.确定并执行措施来更改风险的过程

C.分析并执行措施来更改风险的过程

D.选择并执行措施来更改风险的过程

参考答案:D

题目解析：参考ISO/IEC27000:2009风险处置，是指选择并且执行

措施来更改风险的过程。

3.信息安全的机密性是指()

A.保证信息不被其他人使用

乐民之乐者，民亦乐其乐；忧民之忧者，民亦忧其忧。——《孟子》

B.信息不被未授权的个人、实体或过程利用或知悉的特性

C.根据授权实体的要求可访问的特性

D.保护信息准确和完整的特性

参考答案:B

题目解析:保密性也称机密性，是不将有用信息泄漏给非授权用户的

特性。

4.关于文件管理下列说法错误的是()

A.文件发布前应得到批准，以确保文件是适宜的

B.必要时对文件进行评审、更新并再次批准

C.应确保文件保持清晰，易于识别

D.作废文件应及时销毁，防止错误使用

参考答案:D

题目解析:参考270017.5.3文件化信息的控制原文。D项错误，根据

原文，作废文件因按照规定进行保留和处置，选项中“及时销毁”表述

不当。

5.内联网intranet)可以建立在一个组织的内部网络上，也可以建立在

互联网上(Internet)上，下面哪项针对内联网的控制在安全上是最弱

的?()

A.用加密的通道传输数据

B.安装加密路由器

C.安装加密防火墙

D.对私有WWW服务器实现门令控制

好学近乎知，力行近乎仁，知耻近乎勇。——《中庸》

参考答案:D

题目解析:270029.4.2安全登录规程，在需要强认证和身份验证时，

宜使用如密码手段、智能卡、令牌或生物特征识别方法等替代口令的

鉴别方法，因此口令是最弱的安全控制方法。

6.灾难恢复目标包括:()

A.灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求

B.灾难发生后，系统和数据必须恢复到的时间点要求

C.A+B

D.A或B

参考答案::C

题目解析:灾难恢复，指自然或人为灾害后，重新启用信息系统的数据，

硬件及软件设备，恢复正常商业运作的过程。灾难恢复规划是涵盖面

更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险

做出评估、防范，特别是对关键性业务数据、流程予以及时记录、备

份、保护。灾难发生后，应建立恢复点目标(RPO)和恢复时间目标

RTO)。其中PRO是指灾难发生后，系统和数据必须恢复到时点要

求:RTO是指信息系统或业务功能从停顿到必须恢复的时