2025年信息安全管理师考试试卷及答案.docxVIP

2025年信息安全管理师考试试卷及答案

一、单项选择题（共20题，每题2分，共40分。每题只有一个正确选项）

1.信息安全的核心三要素是？

A.完整性、可用性、可控性

B.机密性、完整性、可用性

C.真实性、完整性、不可抵赖性

D.机密性、可审计性、可用性

答案：B

2.根据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的PDCA循环中，“C”指的是？

A.策划（Plan）

B.实施（Do）

C.检查（Check）

D.改进（Act）

答案：C

3.以下哪项不属于风险评估的主要步骤？

A.资产识别

B.威胁分析

C.漏洞扫描

D.风险处置

答案：C（风险评估步骤通常包括资产识别、威胁分析、脆弱性分析、风险计算，漏洞扫描是技术手段而非步骤）

4.某企业将用户密码存储为SHA-256哈希值并附加随机盐值，这种措施主要保护的是？

A.数据完整性

B.数据机密性

C.身份真实性

D.抗抵赖性

答案：B（防止明文密码泄露）

5.依据《个人信息保护法》，处理敏感个人信息时，除一般同意外还需取得？

A.书面同意

B.单独同意

C.口头同意

D.默示同意

答案：B

6.以下哪种访问控制模型最适用于层级分明的组织架构（如军队）？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：B（MAC通过系统强制分配安全标签，适用于严格层级）

7.某公司发现员工通过私人U盘拷贝机密文件，最有效的技术防范措施是？

A.加强安全培训

B.部署终端安全管理系统（EDR）限制USB存储设备使用

C.增加监控摄像头

D.签订保密协议

答案：B（技术控制直接限制行为）

8.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于？

A.匿名化

B.去标识化

C.加密

D.掩码

答案：D（部分信息隐藏）

9.以下哪项是ISO27001标准中“信息安全方针”的核心要求？

A.明确信息安全目标和范围

B.规定具体的技术控制措施

C.列出所有信息资产清单

D.定义应急响应的具体流程

答案：A（方针是高层导向，非具体技术细节）

10.网络钓鱼攻击的主要目的是？

A.破坏系统可用性

B.窃取敏感信息（如账号密码）

C.传播恶意软件

D.消耗网络带宽

答案：B

11.某企业采用“双因素认证（2FA）”，其中“因素”通常指？

A.知识（如密码）、持有（如动态令牌）、固有（如指纹）中的两种

B.用户名、密码、验证码

C.内网IP、终端MAC地址、用户账号

D.管理员审批、系统自动验证、人工复核

答案：A

12.依据《网络安全法》，关键信息基础设施的运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？

A.1次

B.2次

C.3次

D.4次

答案：A

13.以下哪种加密算法属于对称加密？

A.RSA

B.ECC（椭圆曲线加密）

C.AES

D.SHA-256

答案：C（AES是对称加密，RSA、ECC是非对称，SHA是哈希算法）

14.信息安全事件分级的主要依据不包括？

A.事件影响范围

B.事件持续时间

C.事件造成的经济损失

D.事件涉及的技术复杂度

答案：D（分级依据通常为影响程度，非技术难度）

15.某系统日志显示大量异常IP尝试登录，最可能的威胁是？

A.DDoS攻击

B.暴力破解

C.数据泄露

D.恶意代码感染

答案：B（异常登录尝试通常为暴力破解）

16.最小权限原则（PrincipleofLeastPrivilege）要求用户仅获得？

A.完成工作所需的最低权限

B.管理员权限的子集

C.访问所有基础资源的权限

D.临时权限而非长期权限

答案：A

17.以下哪项属于物理安全控制措施？

A.防火墙策略配置

B.机房门禁系统

C.数据备份策略

D.员工安全培训

答案：B（物理安全涉及物理环境防护）

18.在漏洞管理流程中，“漏洞修复验证”应在哪个阶段完成？

A.漏洞发现

B.漏洞评估

C.漏洞修复

D.漏洞关闭

答