2025年信息系统安全专家供应链安全风险管理专题试卷及解析.pdfVIP

2025年信息系统安全专家供应链安全风险管理专题试卷及解析1

2025年信息系统安全专家供应链安全风险管理专题试卷及

解析

2025年信息系统安全专家供应链安全风险管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在供应链安全风险管理中，“软件物料清单（SBOM）”的主要作用是什么？

A、记录供应商的财务状况

B、详细列出软件组件及其依赖关系

C、评估硬件设备的物理安全

D、监控员工操作行为

【答案】B

【解析】正确答案是B。SBOM是软件供应链安全的核心工具，用于透明化展示软

件组件、版本和依赖关系，帮助识别潜在漏洞。A选项关注财务风险，C选项涉及物理

安全，D选项属于内部管理范畴，均与SBOM功能无关。知识点：供应链透明化工具。

易错点：混淆SBOM与供应商审计的功能。

2、下列哪项属于供应链安全中的”零信任架构”原则？

A、默认信任内部网络流量

B、基于身份的动态访问控制

C、仅依赖边界防火墙防护

D、允许供应商永久访问权限

【答案】B

【解析】正确答案是B。零信任架构强调”从不信任，始终验证”，通过身份认证和权

限动态调整降低风险。A选项违反零信任原则，C选项是传统边界防护思维，D选项权

限管理过于宽松。知识点：零信任模型。易错点：误认为零信任仅适用于外部威胁。

3、NISTSP800161标准主要针对哪个领域的风险管理？

A、云计算安全

B、供应链安全

C、密码学应用

D、数据库审计

【答案】B

【解析】正确答案是B。NISTSP800161是美国国家标准与技术研究院发布的供应

链风险管理框架，涵盖识别、评估和缓解措施。A、C、D选项分别对应其他NIST标准

（如80053、80057）。知识点：国际标准体系。易错点：混淆NIST不同标准的适用范围。

4、在第三方供应商评估中，“尽职调查”最关键的目标是？

A、降低采购成本

2025年信息系统安全专家供应链安全风险管理专题试卷及解析2

B、验证供应商安全合规性

C、缩短交付周期

D、建立长期合作关系

【答案】B

【解析】正确答案是B。尽职调查的核心是识别供应商的安全风险，如漏洞管理、数

据保护措施等。A、C选项属于商业目标，D选项是合作结果而非调查目的。知识点：

供应商风险管理流程。易错点：将商业目标与安全目标混为一谈。

5、下列哪项技术能有效防止供应链中的”恶意代码注入”？

A、静态应用安全测试（SAST）

B、网络流量分析

C、生物特征认证

D、数据加密存储

【答案】A

【解析】正确答案是A。SAST通过扫描源代码检测漏洞和恶意代码，是供应链开

发阶段的关键防护手段。B选项侧重运行时监控，C、D选项分别针对身份认证和数据

保护。知识点：安全开发生命周期。易错点：混淆开发阶段与运行阶段的安全措施。

6、供应链安全中的”单一供应商依赖”风险主要指？

A、供应商提供的产品功能单一

B、过度依赖某供应商导致中断风险

C、供应商仅支持单一支付方式

D、产品文档语言单一

【答案】B

【解析】正确答案是B。单一供应商依赖可能导致服务中断、议价能力下降等风险。

A、C、D选项描述的是产品特性，而非风险。知识点：供应链韧性设计。易错点：将”

单一”误解为功能而非依赖关系。

7、ISO28000标准体系适用于？

A、财务审计

B、供应链安全管理

C、环境管理体系

D、IT服务管理

【答案】B

【解析】正确答案是B。ISO28000是供应链安全管理的国际标准，涵盖风险评估和

操作控制。A选项对应ISO19011，C选项对应ISO14001，D选项对应ISO20000。知

识点：国际标准分类。易错点：混淆ISO标准编号与领域。

8、在硬件供应链中，“木马化芯片”的典型危害