2025年信息安全管理行业考试试题及答案.docxVIP

2025年信息安全管理行业考试试题及答案

一、单项选择题（每题2分，共30分）

1.信息安全管理的核心目标是保障信息的哪三项基本属性？

A.可追溯性、不可否认性、完整性

B.机密性、完整性、可用性

C.真实性、可靠性、可控性

D.可审计性、抗抵赖性、可恢复性

答案：B

2.根据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的PDCA循环中“C”指的是？

A.策划（Plan）

B.实施（Do）

C.检查（Check）

D.改进（Act）

答案：C

3.以下哪项不属于数据生命周期管理的关键阶段？

A.数据采集与创建

B.数据存储与传输

C.数据销毁与归档

D.数据可视化与报表

答案：D

4.某企业在部署访问控制系统时，要求用户仅获得完成当前任务所需的最小权限，这遵循了信息安全的哪项原则？

A.纵深防御原则

B.最小权限原则

C.职责分离原则

D.最小特权原则

答案：B（注：最小权限原则与最小特权原则为同一概念的不同表述，本题以“最小权限”为标准答案）

5.根据《个人信息保护法》，个人信息处理者对敏感个人信息的处理需满足“单独同意”要求，以下哪类信息不属于敏感个人信息？

A.生物识别信息

B.健康信息

C.学历信息

D.行踪轨迹信息

答案：C

6.以下哪项技术最适合用于防范结构化数据库的SQL注入攻击？

A.输入验证与参数化查询

B.防火墙端口过滤

C.数据加密传输（TLS）

D.日志审计与监控

答案：A

7.某公司发现员工通过私人邮箱传输公司机密文件，最有效的管理控制措施是？

A.部署邮件内容过滤系统

B.修订《员工信息安全行为规范》，明确禁止私人邮箱传输敏感数据

C.对涉事员工进行经济处罚

D.加强网络流量监控，限制外部邮箱访问

答案：B（注：管理控制优先于技术控制，需通过制度约束行为）

8.在风险评估中，“资产价值×脆弱性×威胁可能性”计算的是？

A.风险可能性

B.风险影响

C.风险等级

D.风险值

答案：D

9.以下哪项不属于零信任架构（ZeroTrustArchitecture）的核心原则？

A.持续验证访问请求

B.默认不信任网络内外部环境

C.基于角色的访问控制（RBAC）

D.最小化攻击面

答案：C（注：零信任强调“永不信任，始终验证”，RBAC是传统访问控制方式）

10.某企业使用哈希算法对用户密码进行存储，以下哪种哈希算法安全性最高？

A.MD5

B.SHA-1

C.SHA-256

D.HMAC-SHA1

答案：C（注：MD5和SHA-1已被证明存在碰撞风险，HMAC是哈希消息认证码，非存储密码的首选）

11.根据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行几次检测评估？

A.1次

B.2次

C.3次

D.4次

答案：A

12.以下哪项属于物理安全控制措施？

A.服务器机房门禁系统

B.数据库访问审计

C.员工信息安全培训

D.网络边界防火墙

答案：A

13.某系统日志显示大量异常登录尝试，最可能的威胁是？

A.拒绝服务攻击（DoS）

B.暴力破解攻击

C.跨站脚本攻击（XSS）

D.社会工程攻击

答案：B

14.数据脱敏技术中，将“身份证号”替换为“1234”的方法属于？

A.匿名化

B.去标识化

C.加密

D.屏蔽

答案：D

15.信息安全事件响应流程的正确顺序是？

A.准备→检测与分析→抑制→根除→恢复→总结

B.检测与分析→准备→抑制→根除→恢复→总结

C.准备→抑制→检测与分析→根除→恢复→总结

D.检测与分析→抑制→准备→恢复→根除→总结

答案：A

二、多项选择题（每题3分，共15分，多选、少选、错选均不得分）

1.以下属于ISO27001:2022标准中“信息安全控制目标”的有？

A.信息安全策略

B.人力资源安全

C.通信与操作管理

D.业务连续性管理

答案：ABCD（注：ISO27001包含14个控制域，本题列出4个典型域）

2.数据分类的常见依据包括？

A.数据敏感性（如公开、内部、机密）

B.数据产生部门（如市场部、技术部）

C.