2024年3月信息安全管理体系基础考试真题参考答案.docxVIP

2024年3月信息安全管理体系基础考试练习题参考答案

一、单项选择题（共20题，每题1.5分，共30分）

1.信息安全管理体系（ISMS）的核心运行模式遵循以下哪项标准提出的PDCA循环？

A.ISO/IEC27002

B.ISO/IEC27001

C.ISO/IEC27005

D.ISO/IEC27032

答案：B

解析：ISO/IEC27001是ISMS的核心标准，明确要求采用PDCA（策划实施检查改进）循环作为体系运行模式。

2.以下哪项是信息安全风险评估的首要步骤？

A.识别信息资产

B.确定风险评估范围

C.分析威胁与脆弱性

D.评估风险等级

答案：B

解析：根据ISO27005，风险评估的第一步是明确评估的范围和边界，包括组织的业务目标、资产范围及相关方需求。

3.在ISO27001中，“信息安全方针”的制定责任通常由谁承担？

A.信息安全经理

B.最高管理层

C.内部审核员

D.合规部门

答案：B

解析：标准要求最高管理层批准信息安全方针，并确保其与组织战略一致。

4.以下哪项不属于信息资产的分类维度？

A.保密性

B.完整性

C.可用性

D.可追溯性

答案：D

解析：信息资产分类通常基于CIA三元组（保密性、完整性、可用性），可追溯性属于控制措施要求，非分类维度。

5.当组织选择“风险转移”作为风险处理方式时，最常见的实现手段是？

A.加强访问控制

B.购买信息安全保险

C.终止相关业务

D.定期漏洞扫描

答案：B

解析：风险转移通过将风险部分或全部转移给第三方（如保险、外包）实现，购买保险是典型手段。

6.ISMS文件体系中，规定“信息安全事件响应流程”的文件属于哪一层级？

A.方针（Policy）

B.程序（Procedure）

C.作业指导书（WorkInstruction）

D.记录（Record）

答案：B

解析：程序文件描述具体流程（如事件响应），是方针的细化，属于第二层级文件。

7.以下哪项是ISO27001中“持续改进”的直接体现？

A.每年进行一次内部审核

B.定期更新信息资产清单

C.管理评审后修订风险处理计划

D.对新员工进行信息安全培训

答案：C

解析：管理评审的输出应包括改进措施（如修订风险处理计划），直接推动体系的持续改进。

8.信息安全管理体系的“范围”文件中，不需要明确的内容是？

A.涉及的物理场所

B.排除的控制措施及理由

C.相关方的具体需求

D.信息资产的具体清单

答案：D

解析：范围文件需明确边界（如场所）、排除控制的理由及相关方需求，但资产清单属于风险评估的输出，不在范围文件中。

9.以下哪项不属于ISO27002中“访问控制”领域的控制措施？

A.网络分段

B.口令复杂度要求

C.系统日志审计

D.数据加密传输

答案：D

解析：数据加密传输属于“密码学”控制领域（ISO27002第12章），访问控制（第9章）包括网络分段、口令管理、日志审计等。

10.在风险评估中，“资产价值”的确定应基于？

A.资产的采购成本

B.资产对业务的关键程度

C.资产的技术复杂度

D.资产的维护成本

答案：B

解析：资产价值需结合业务影响（如中断后的损失），而非单纯财务成本。

11.ISMS内部审核的目的是？

A.证明符合ISO27001要求

B.发现管理层的责任缺陷

C.替代管理评审

D.为外部审核提供资料

答案：A

解析：内部审核的核心目的是验证ISMS是否符合标准要求（ISO27001:9.2）。

12.以下哪项是“信息安全角色与职责”文件必须包含的内容？

A.所有员工的具体联系方式

B.信息安全经理的绩效考核指标

C.不同岗位在风险处理中的责任

D.第三方供应商的安全要求

答案：C

解析：角色与职责文件需明确各岗位在ISMS中的具体责任（如风险处理、事件报告）。

13.当组织外包数据存储服务时，最关键的信息安全控制措施是？

A.要求供应商通过ISO27001认证

B.在合同中明确数据所有权与安全责任

C.定期对供应商进行现场审计

D.要求供应商提供数据加密方案

答案：B

解析：合同中的责任划分是外包安全的基础，未明确责任可能导致纠纷。

14.以下哪项属于“信息安