2025年PMP项目管理专业人士资格考试项目管理信息安全管理试题（附答案）.docxVIP

2025年PMP项目管理专业人士资格考试项目管理信息安全管理试题（附答案）

一、单项选择题（每题2分，共60分）

1.某跨国制造企业启动智能工厂改造项目，需收集并处理全球5家工厂的设备运行数据（含设备序列号、传感器实时参数、员工操作日志）。项目团队在制定数据安全策略时，发现部分国家要求“本地数据存储”（数据需存储在本国境内），另一部分国家要求“数据跨境传输需经用户授权”。项目经理应优先参考以下哪项标准或法规？

A.ISO27001信息安全管理体系

B.欧盟《通用数据保护条例》（GDPR）

C.各运营地所在国的网络安全相关法律

D.企业内部《数据分类分级管理办法》

答案：C

解析：根据项目管理中的合规性原则（PMBOK?指南第13章），当项目涉及多国运营时，需优先遵守各属地法律法规。虽然ISO27001（A）是通用标准、GDPR（B）适用于欧盟、企业内部制度（D）是补充要求，但属地法律（C）具有最高优先级，违反可能导致项目终止或法律制裁。

2.某医疗IT项目需开发患者电子病历系统，包含姓名、身份证号、诊断结果等敏感信息。在需求阶段，用户提出“系统需支持医生、护士、药剂师、管理员四类角色访问，且医生仅能查看本科室患者数据，护士可查看负责病房患者数据”。项目经理应将此需求归类为：

A.功能需求

B.安全需求

C.性能需求

D.可维护性需求

答案：B

解析：访问权限控制（基于角色的访问控制，RBAC）属于信息安全中的身份与访问管理（IAM）范畴（PMBOK?指南第11章风险管理）。该需求明确限制不同角色的信息访问范围，核心目的是保护敏感数据不被越权访问，因此属于安全需求（B）。功能需求（A）关注系统能做什么，如“生成病历报告”；性能需求（C）如“查询响应时间≤2秒”；可维护性（D）如“模块解耦设计”，均不符合。

3.某金融科技项目需将客户交易数据从本地数据库迁移至云端，迁移前发现云服务提供商（CSP）的服务级别协议（SLA）中仅约定“数据可用性99.99%”，未明确“数据加密方式”“数据删除后不可恢复”“数据泄露责任划分”。项目经理应采取的最佳措施是：

A.签署SLA，后续通过补充协议完善条款

B.要求CSP在SLA中增加安全相关条款

C.更换云服务提供商

D.内部评估风险后继续迁移

答案：B

解析：根据采购管理中的风险控制原则（PMBOK?指南第12章），与第三方供应商合作时，需在合同（如SLA）中明确安全责任与技术要求。若SLA缺失关键安全条款（如加密、数据删除、责任划分），可能导致数据泄露后责任不清或无法追责。因此，项目经理应要求CSP补充相关条款（B）。直接签署（A）会遗留风险；更换供应商（C）需评估成本与可行性，非最佳；内部评估（D）无法替代合同约束。

4.某政府项目开发公共服务平台，需存储公民姓名、手机号、住址等个人信息。项目团队完成数据分类后，将“住址”标记为“高敏感”，“手机号”标记为“中敏感”，“姓名”标记为“低敏感”。在设计存储方案时，以下哪项措施不符合最小化安全原则？

A.高敏感数据加密存储，密钥与数据分离管理

B.中敏感数据使用哈希算法脱敏处理后存储

C.低敏感数据以明文形式存储在公开数据库

D.所有数据存储前进行去标识化处理（如删除身份证号关联字段）

答案：C

解析：最小化安全原则要求“仅存储必要数据，且采取与其敏感级别匹配的保护措施”（ISO/IEC27002）。低敏感数据（如姓名）虽敏感性较低，但仍属于个人信息，明文存储在公开数据库（C）可能导致泄露（如被爬虫抓取），不符合最小化原则。A、B、D均根据敏感级别采取了适当保护措施。

5.项目团队在测试阶段发现系统日志功能存在缺陷：仅记录用户登录时间，未记录操作内容（如修改了哪些数据）、操作IP地址、操作结果（成功/失败）。项目经理应如何处理？

A.将日志功能缺陷列为次要问题，发布后修复

B.要求开发团队补充日志记录字段，覆盖操作内容、IP、结果

C.认为日志不影响系统核心功能，无需修改

D.增加人工日志记录流程，由测试人员手动补充

答案：B

解析：完整的日志记录是信息安全事件追溯与审计的基础（PMBOK?指南第11章监控风险）。缺失操作内容、IP、结果的日志无法定位数据泄露或误操作源头，属于高风险缺陷。项目经理应要求开发团队完善日志功能（B）。忽略（A、C）会导致后续无法追踪安全事件；人工记录（D）效率低且易出错，不可行。

6.某电商项目上线后，用户反馈“收到非本人操作的订单通知”。经排查，发现攻击者通过伪造用户登录令牌（Token）完成下单。项目团队确认问题根源是“Token生成算法被破解”。此时项目经理应首先：

A.发布系统补丁，更换Token生成算法

B.向受影响用户道歉