2025年信息系统安全专家供应商风险管理第三方安全评估专题试卷及解析.pdfVIP

2025年信息系统安全专家供应商风险管理第三方安全评估专题试卷及解析1

2025年信息系统安全专家供应商风险管理第三方安全评估

专题试卷及解析

2025年信息系统安全专家供应商风险管理第三方安全评估专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在供应商风险管理中，对第三方进行安全评估的首要目的是什么？

A、降低采购成本

B、确保供应商满足组织的安全合规要求

C、缩短供应商选择周期

D、提高供应商服务质量

【答案】B

【解析】正确答案是B。第三方安全评估的核心目标是验证供应商的安全能力是否

符合组织的安全策略和合规要求，从而降低供应链安全风险。A选项关注成本，C选项

关注效率，D选项关注服务质量，虽然都是供应商管理的相关方面，但并非安全评估的

首要目的。知识点：供应商风险管理的基本目标。易错点：容易将供应商管理的其他目

标（如成本、效率）与安全评估的核心目标混淆。

2、下列哪项通常不属于第三方安全评估的初始阶段活动？

A、明确评估范围和目标

B、与供应商签署保密协议

C、执行渗透测试

D、组建评估团队

【答案】C

【解析】正确答案是C。执行渗透测试属于评估实施阶段的技术性活动，而非初始

阶段的准备工作。初始阶段主要包括规划、准备和授权，如明确范围（A）、签署保密协

议（B）和组建团队（D）。知识点：第三方安全评估的生命周期阶段。易错点：容易将

评估过程中的具体技术活动与前期准备工作混淆。

3、在评估供应商的软件开发安全实践时，以下哪个标准最常被用作参考框架？

A、ISO27001

B、OWASPSAMM

C、PCIDSS

D、NISTSP80053

【答案】B

【解析】正确答案是B。OWASPSAMM（软件保证成熟度模型）是专门用于评估和

改进软件安全性的框架，非常适合评估供应商的软件开发安全实践。ISO27001（A）是

通用的信息安全管理体系标准，PCIDSS（C）专注于支付卡行业，NISTSP80053（D）

2025年信息系统安全专家供应商风险管理第三方安全评估专题试卷及解析2

是联邦信息系统安全控制目录，虽然都涉及安全，但不如OWASPSAMM针对软件开

发。知识点：安全评估标准的选择。易错点：容易混淆不同安全标准的适用范围。

4、当供应商拒绝提供必要的安全文档或访问权限时，组织应采取的首要措施是？

A、立即终止合作关系

B、在合同中约定违约责任并执行

C、重新评估与该供应商的合作风险

D、降低该供应商的安全评级

【答案】C

【解析】正确答案是C。供应商拒绝配合时，首要任务是重新评估合作风险，因为

信息不足可能导致风险误判。终止合作（A）是极端措施，执行违约责任（B）和降低评

级（D）是后续可能的行动，但不是首要的。知识点：供应商不配合时的风险应对策略。

易错点：容易跳过风险分析直接采取惩罚性措施。

5、在第三方安全评估中，“尽职调查”（DueDiligence）主要关注的是？

A、供应商的财务状况

B、供应商的安全能力和历史表现

C、供应商的市场声誉

D、供应商的员工背景

【答案】B

【解析】正确答案是B。在安全评估的语境下，尽职调查主要关注供应商的安全能

力，如技术措施、管理流程和历史安全事件。财务状况（A）、市场声誉（C）和员工背

景（D）虽然也是尽职调查的一部分，但不是安全评估的核心。知识点：尽职调查在安

全评估中的应用。易错点：容易将广义的尽职调查与安全领域的尽职调查混淆。

6、以下哪项是评估供应商云服务安全时最需要关注的方面？

A、数据中心的物理安全

B、云服务配置的合规性

C、云服务商的员工数量

D、云服务的价格

【答案】B

【解析】正确答案是B。云服务的安全风险很大程度上源于配置错误，因此配置合

规性是评估重点。物理安全（A）重要但通常由云服务商负责，员工数量（C）和价格

（D）与安全评估的直接关联较小。知识点：云服务安全评估