2025年信息系统安全供应商与第三方人员权限管理专题试卷及解析.pdfVIP

2025年信息系统安全供应商与第三方人员权限管理专题试卷及解析1

2025年信息系统安全供应商与第三方人员权限管理专题试

卷及解析

2025年信息系统安全供应商与第三方人员权限管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在供应商权限管理中，以下哪项是”最小权限原则”的核心要求？

A、为供应商提供所有可能需要的权限

B、仅授予供应商完成其工作所必需的最小权限

C、根据供应商级别分配权限

D、定期审查供应商权限

【答案】B

【解析】正确答案是B。最小权限原则要求只授予完成任务所必需的最小权限，这

是安全管理的核心原则。A选项违反了最小权限原则，C选项的级别分配不是最小权限

原则的体现，D选项是权限管理的重要措施但不是最小权限原则的核心内容。知识点：

最小权限原则。易错点：容易将最小权限原则与权限审查混淆。

2、第三方人员访问生产系统前，必须签署的法律文件是？

A、保密协议

B、服务合同

C、访问授权书

D、安全承诺书

【答案】A

【解析】正确答案是A。保密协议(NDA)是第三方访问生产系统前必须签署的核心

法律文件，用于明确保密义务。B选项服务合同是商业文件，C选项访问授权书是内部

文件，D选项安全承诺书虽然重要但法律效力不如保密协议。知识点：第三方访问法律

要求。易错点：容易混淆各类法律文件的优先级。

3、供应商权限审计的最佳频率是？

A、每年一次

B、每季度一次

C、根据风险等级确定

D、供应商离职时

【答案】C

【解析】正确答案是C。审计频率应根据供应商访问的系统重要性和风险等级来确

定，高风险系统需要更频繁的审计。A、B选项过于绝对，D选项只是触发审计的时点

之一。知识点：权限审计频率管理。易错点：容易忽视风险分级的重要性。

4、以下哪项不是供应商权限管理的典型风险？

2025年信息系统安全供应商与第三方人员权限管理专题试卷及解析2

A、权限过度授予

B、权限未及时回收

C、供应商员工流动

D、系统性能下降

【答案】D

【解析】正确答案是D。系统性能下降是技术问题而非权限管理风险。A、B、C都

是供应商权限管理的典型风险。知识点：供应商权限风险识别。易错点：容易将技术问

题与管理风险混淆。

5、第三方人员临时访问权限的有效期通常不应超过？

A、24小时

B、7天

C、30天

D、90天

【答案】B

【解析】正确答案是B。临时访问权限通常不应超过7天，这是行业最佳实践。A

选项过短可能影响工作效率，C、D选项过长会增加安全风险。知识点：临时权限管理。

易错点：容易忽视临时权限的时间控制。

6、供应商权限管理中，“职责分离”原则主要用于防范？

A、权限滥用

B、系统故障

C、数据丢失

D、网络攻击

【答案】A

【解析】正确答案是A。职责分离原则通过分散权限来防范权限滥用风险。B、C、D

选项是其他安全措施要解决的问题。知识点：职责分离原则。易错点：容易混淆不同安

全原则的适用场景。

7、以下哪项是供应商权限管理的技术控制措施？

A、签订安全协议

B、实施多因素认证

C、定期安全培训

D、建立管理制度

【答案】B

【解析】正确答案是B。多因素认证是技术控制措施。A、C、D都是管理控制措施。

知识点：权限管理控制分类。易错点：容易混淆技术控制与管理控制。

8、供应商离职后，其系统访问权限应在多长时间内回收？

2025年信息系统安全供应商与第三方人员权限管理专题试卷及解析3

A、立即回收

B、24小时内

C、3个工作日内

D、1周内

【答案】A

【解析】正确答案是A。供应商离职后应立即回收所有权限，这是安全管理