2025年信息系统安全专家信息安全战略规划与企业架构专题试卷及解析.pdfVIP

2025年信息系统安全专家信息安全战略规划与企业架构专题试卷及解析1

2025年信息系统安全专家信息安全战略规划与企业架构专

题试卷及解析

2025年信息系统安全专家信息安全战略规划与企业架构专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在企业信息安全战略规划中，以下哪项最能体现“安全与业务对齐”的核心原则？

A、部署最先进的防火墙设备

B、确保安全投资能够支持业务目标的实现

C、制定严格的安全管理制度

D、定期进行安全漏洞扫描

【答案】B

【解析】正确答案是B。信息安全战略规划的核心是将安全活动与业务目标紧密结

合，确保安全投资能够为业务创造价值。A、C、D都是具体的安全措施，但未体现与

业务对齐的战略高度。知识点：信息安全战略规划原则。易错点：容易将具体安全措施

与战略原则混淆。

2、在TOGAF企业架构框架中，以下哪个阶段专门处理信息安全架构？

A、业务架构阶段

B、信息系统架构阶段

C、技术架构阶段

D、机会与解决方案阶段

【答案】B

【解析】正确答案是B。TOGAF框架中，信息系统架构阶段包括数据架构和应用

架构，其中会详细设计安全架构。A阶段关注业务流程，C阶段关注技术基础设施，D

阶段关注实施规划。知识点：TOGAF架构开发方法。易错点：容易误认为安全架构属

于技术架构阶段。

3、以下哪项是制定信息安全战略时最优先考虑的因素？

A、安全预算限制

B、合规性要求

C、业务关键资产

D、技术发展趋势

【答案】C

【解析】正确答案是C。信息安全战略必须首先保护对业务最关键的资产，这是风

险管理的核心原则。B是重要考虑因素，但应基于资产重要性来评估。A和D是次要

考虑因素。知识点：信息安全战略制定优先级。易错点：容易将合规性或预算作为首要

考虑因素。

2025年信息系统安全专家信息安全战略规划与企业架构专题试卷及解析2

4、在企业架构中，以下哪种安全控制属于“管理控制”类别？

A、入侵检测系统

B、安全意识培训

C、数据加密技术

D、网络隔离设备

【答案】B

【解析】正确答案是B。管理控制是指通过政策、程序和人员管理实现的安全控制，

安全意识培训属于此类。A、C、D都属于技术控制。知识点：安全控制分类。易错点：

容易混淆管理控制与技术控制的区别。

5、以下哪项最能体现“纵深防御”战略在企业架构中的应用？

A、单一防火墙保护网络边界

B、多层安全控制保护关键资产

C、仅依赖加密保护数据

D、定期更换密码策略

【答案】B

【解析】正确答案是B。纵深防御强调通过多层次、多维度的安全控制来提供保护。

A、C、D都是单一措施，不符合纵深防御理念。知识点：纵深防御战略。易错点：容易

将单一安全措施误认为纵深防御。

6、在信息安全战略规划中，以下哪项工具最适合用于评估业务流程中的安全风险？

A、渗透测试工具

B、业务流程建模notation(BPMN)

C、漏洞扫描器

D、SIEM系统

【答案】B

【解析】正确答案是B。BPMN可以帮助可视化业务流程，识别其中的安全风险点。

A、C是技术评估工具，D是安全监控工具。知识点：业务流程安全分析。易错点：容

易误选技术工具而非业务分析工具。

7、以下哪项是企业架构中“安全域”划分的主要目的？

A、提高网络传输速度

B、限制安全事件的影响范围

C、简化系统管理

D、降低硬件成本

【答案】B

【解析】正确答案是B。安全域划分的核心目的是通过隔离来控制安全事件的扩散。

A、C、D是可能的附加收益，但不是主要目的。知识点：安全域划分原则。易错点：容

2025年信息系统安全专家信息安全战略规划与企业架构专题试卷及解析3

易将次要目的误认为主要目的。

8、在制定信息安全战