2025年信息系统安全专家信息安全治理与ISMS高层管理职责专题试卷及解析.pdfVIP

2025年信息系统安全专家信息安全治理与ISMS高层管理职责专题试卷及解析1

2025年信息系统安全专家信息安全治理与ISMS高层管理

职责专题试卷及解析

2025年信息系统安全专家信息安全治理与ISMS高层管理职责专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在信息安全治理中，高层管理者的首要职责是什么？

A、制定具体的技术安全措施

B、分配安全预算并确保资源到位

C、执行日常安全操作

D、编写安全代码

【答案】B

【解析】正确答案是B。高层管理者的核心职责是战略层面的资源分配和决策支持，

包括预算审批和资源保障。A、C、D属于技术或操作层面的职责，应由专业团队执行。

知识点：信息安全治理中的角色分工。易错点：容易将高层职责与执行层职责混淆。

2、ISO/IEC27001标准中，PDCA循环的“D”阶段代表什么？

A、Plan（计划）

B、Do（实施）

C、Check（检查）

D、Act（改进）

【答案】B

【解析】正确答案是B。PDCA循环是ISMS的核心方法论，D阶段指实施计划中

的控制措施。A是计划阶段，C是检查阶段，D是改进阶段。知识点：ISO27001框架。

易错点：容易混淆PDCA各阶段的顺序和含义。

3、以下哪项不属于高层管理者在ISMS中的职责？

A、审批信息安全方针

B、任命信息安全负责人

C、定期评审ISMS绩效

D、配置防火墙规则

【答案】D

【解析】正确答案是D。配置防火墙规则属于技术操作，应由IT安全团队执行。A、

B、C均属于高层管理者的战略职责。知识点：ISMS高层管理职责。易错点：容易将技

术操作与高层职责混淆。

4、信息安全治理的核心目标是什么？

A、实现零安全事故

B、平衡风险与业务目标

2025年信息系统安全专家信息安全治理与ISMS高层管理职责专题试卷及解析2

C、部署最先进的安全技术

D、满足所有合规要求

【答案】B

【解析】正确答案是B。信息安全治理的核心是通过风险管理支持业务目标，而非

追求绝对安全或技术堆砌。A不现实，C是手段而非目标，D是部分目标。知识点：信

息安全治理目标。易错点：容易将手段或局部目标误认为核心目标。

5、在ISMS内部审核中，高层管理者应重点关注什么？

A、技术漏洞扫描结果

B、审核发现的不符合项及纠正措施

C、员工安全培训记录

D、安全设备日志

【答案】B

【解析】正确答案是B。高层管理者需关注体系层面的改进机会，而非技术细节。A、

C、D属于操作层面的内容。知识点：ISMS内部审核。易错点：容易陷入技术细节而

忽视体系改进。

6、以下哪项是信息安全治理委员会的典型职责？

A、开发安全补丁

B、制定信息安全战略

C、监控网络流量

D、编写用户手册

【答案】B

【解析】正确答案是B。治理委员会负责战略决策，A、C、D属于执行层职责。知

识点：信息安全治理委员会职能。易错点：容易混淆治理与执行的界限。

7、ISO/IEC27001要求高层管理者必须做什么？

A、参与每次技术评审

B、提供ISMS所需的资源

C、亲自编写安全策略

D、测试所有安全系统

【答案】B

【解析】正确答案是B。标准明确要求高层管理者提供资源支持，A、C、D并非强

制要求。知识点：ISO27001高层管理要求。易错点：容易将高层职责扩大化或缩小化。

8、风险评估中，高层管理者最应关注的风险指标是什么？

A、具体漏洞数量

B、业务影响程度

C、病毒签名更新频率

2025年信息系统安全专家信息安全治理与ISMS高层管理职责专题试卷及解析3

D、防火墙拦截次数

【答案】B

【解析】正确