信息安全管理制度考核试题及答案.docxVIP

信息安全管理制度考核试题及答案

第一部分单项选择题（每题2分，共40分）

1.以下哪项不属于信息安全管理体系（ISMS）的核心要素？

A.风险评估与处置

B.信息资产清单

C.员工绩效考核

D.持续改进机制

2.根据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），第三级信息系统的安全保护要求中，“安全审计”应满足的日志留存时间最低为？

A.30天

B.60天

C.90天

D.180天

3.某企业将用户身份证号、银行账户信息定义为“最高敏感度数据”，其分类依据主要是？

A.数据格式（如文本、图片）

B.数据价值（如经济损失、隐私影响）

C.数据存储位置（如本地、云端）

D.数据生成频率（如实时、批量）

4.以下哪种访问控制模型最适用于“根据用户角色分配权限，且权限随角色变更自动调整”的场景？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

5.某系统采用AES256加密用户密码，其密钥管理的关键要求是？

A.密钥与加密后的数据存储在同一数据库

B.密钥由系统管理员单独保管，无需备份

C.密钥生命周期内定期轮换，且避免明文传输

D.密钥长度可根据业务需求动态缩短

6.关于日志管理的合规要求，以下描述错误的是？

A.日志应包含用户操作时间、IP地址、操作内容

B.日志存储设备应具备防篡改功能（如哈希校验）

C.日志分析只需关注异常登录行为，无需记录正常操作

D.日志访问需进行权限控制，仅授权人员可查看

7.某企业发现生产系统存在高危漏洞（CVSS评分9.8），根据《网络安全漏洞管理规定》，其应在多少小时内完成漏洞修复？

A.24小时

B.48小时

C.72小时

D.96小时

8.以下哪项不属于《个人信息保护法》中“最小必要原则”的具体要求？

A.仅收集实现业务功能必需的个人信息

B.个人信息保存时间不超过实现业务目的所需期限

C.向第三方共享个人信息前需获得用户单独同意

D.存储个人信息时采用最高级别的加密算法

9.信息安全事件分级中，“导致超过10万名用户个人信息泄露，且可能引发大规模社会影响”的事件应划分为？

A.一级（特别重大）

B.二级（重大）

C.三级（较大）

D.四级（一般）

10.某公司实施“双因素认证（2FA）”，以下哪种组合符合要求？

A.用户名+密码

B.密码+手机短信验证码

C.指纹识别+人脸识别

D.动态令牌+硬件U盾

11.以下哪项是ISO/IEC27001标准中“信息安全方针”的核心作用？

A.规定具体技术参数（如加密算法强度）

B.明确信息安全的总体目标和指导原则

C.定义员工绩效考核指标

D.制定年度安全培训计划

12.某企业对重要服务器实施“最小化安装”策略，其主要目的是？

A.降低硬件成本

B.减少潜在攻击面

C.提升数据存储容量

D.简化运维操作

13.根据《数据安全法》，关键信息基础设施运营者在数据出境时，应通过的安全评估机制是？

A.自行组织内部评估

B.经行业主管部门批准

C.通过国家网信部门组织的安全评估

D.委托第三方机构出具报告

14.以下哪项不属于“社会工程学攻击”的常见手段？

A.伪造客服电话索要用户密码

B.发送带恶意链接的钓鱼邮件

C.利用系统漏洞植入木马

D.通过社交平台获取员工个人信息

15.某系统采用“零信任架构”，其核心设计原则是？

A.默认信任内部网络所有终端

B.对所有访问请求进行持续验证

C.仅允许白名单IP访问关键资源

D.依赖边界防火墙实现安全隔离

16.关于数据备份的“321原则”，以下描述正确的是？

A.3份备份、2种介质、1个异地存储

B.3种介质、2份备份、1个本地存储

C.3个存储位置、2种加密方式、1份离线备份

D.3次每日备份、2次每周备份、1次每月备份

17.某企业开展“渗透测试”前，必须完成的关键步骤是？

A.选择高风险目标系统直接测试

B.获得管理层书面授权并明确测试范围

C.公开测试时间以避免影响业务

D.仅使用自动化工具，不进行人工验证

18.以下哪种场景符合“最小权限原则”？

A.财务部门实习生获得全公司文件