2025年信息安全管理工程师认证考试试题及答案.docxVIP

2025年信息安全管理工程师认证考试试题及答案

一、单项选择题（共20题，每题2分，共40分）

1.某企业计划通过ISO/IEC27001认证，在体系运行阶段发现部分安全控制措施未达到预期效果。根据PDCA循环，下一步应优先开展的活动是（）。

A.重新制定安全方针

B.对不符合项进行纠正与预防

C.开展管理评审

D.实施内部审核

答案：B

解析：PDCA循环中，“改进（Act）”阶段的核心是对不符合项采取纠正和预防措施，以持续优化体系。内部审核（D）属于“检查（Check）”阶段，管理评审（C）是高层对体系适宜性的评估，重新制定方针（A）通常在规划阶段（Plan）。

2.某金融机构采用FAIR（FactorAnalysisofInformationRisk）方法进行风险评估，其中“威胁事件频率（ThreatEventFrequency,TEF）”和“脆弱性（Vulnerability,V）”是计算（）的关键参数。

A.潜在损失幅度（LossMagnitude）

B.预期损失频率（LossEventFrequency,LEF）

C.风险偏好（RiskAppetite）

D.剩余风险（ResidualRisk）

答案：B

解析：FAIR模型中，LEF=TEF×V，即威胁事件频率乘以脆弱性概率，得出损失事件发生的频率。潜在损失幅度（A）涉及影响分析，风险偏好（C）是企业可接受的风险水平，剩余风险（D）是控制措施实施后的风险。

3.某电商平台为不同岗位（如客服、运营、财务）分配不同的系统操作权限，客服仅能查看订单基本信息，财务可修改支付记录。这种访问控制模型属于（）。

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：C

解析：RBAC通过角色（如客服、财务）定义权限，符合岗位与权限的绑定特征。DAC（A）由对象所有者授权，MAC（B）基于安全标签，ABAC（D）根据用户属性（如部门、时间）动态授权。

4.某企业使用AES256对客户敏感数据进行加密存储，以下关于AES算法的描述中，正确的是（）。

A.属于非对称加密算法，需使用公钥和私钥

B.密钥长度固定为128位，256位为扩展版本

C.适用于大量数据的快速加密，常用于传输层加密

D.安全性依赖于大整数分解的数学难题

答案：C

解析：AES是对称加密算法（A错误），支持128/192/256位密钥（B错误），适合大量数据加密（如SSL/TLS中的数据加密）。非对称加密（如RSA）依赖大整数分解（D错误）。

5.某跨国企业处理欧盟用户个人数据时，需遵守GDPR要求。以下行为中，违反GDPR的是（）。

A.用户要求删除其注册信息，企业以“数据已匿名化”为由拒绝

B.因系统故障导致用户数据泄露，企业在72小时内通知监管机构

C.对13岁以下儿童个人数据，经其监护人同意后收集

D.数据处理目的变更时，重新获得用户明确同意

答案：A

解析：GDPR规定，数据主体有权要求删除个人数据（被遗忘权），除非数据已匿名化（匿名化数据不视为个人数据）。若企业声称数据已匿名化但实际仍可关联到个人，则拒绝删除属于违规（A错误）。

6.根据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），三级信息系统的“安全通信网络”要求中，必须实现的是（）。

A.网络设备支持双机热备

B.对通信过程中的关键操作进行审计

C.采用密码技术保证通信过程中数据的完整性

D.部署入侵检测系统（IDS）并实现与防火墙联动

答案：C

解析：三级系统要求“采用密码技术保证通信过程中数据的完整性”（C正确）。双机热备（A）属于可选增强措施，操作审计（B）属于“安全管理中心”要求，IDS联动（D）无强制要求。

7.某企业监测到网络流量异常增大，服务器响应延迟，经分析发现大量ICMP请求指向内部服务器但无响应。该事件最可能属于（）。

A.SQL注入攻击

B.DDoS攻击

C.勒索软件攻击

D.中间人攻击

答案：B

解析：ICMP洪水（PingFlood）是DDoS攻击的一种形式，通过大量ICMP请求耗尽目标带宽或资源（B正确）。SQL注入（A）涉及数据库攻击，勒索软件（C）加密数据勒索，中间人（D）截获传输数据。

8.某金融机构根据《个人金融信息保护技术规范》（JR/T，需对用户登录日志进行存储。日志中