2026年CISP-E（数据安全风险评估）考试题及答案.docVIP

2026年CISP-E（数据安全风险评估）考试题及答案

班级______姓名______

（考试时间：90分钟满分100分）

一、单项选择题（总共10题，每题4分，每题的备选项中，只有1个最符合题意）

1.以下关于数据安全风险评估的说法，正确的是（）

A.风险评估只需要关注技术层面的漏洞

B.评估过程无需考虑业务影响

C.要综合考虑资产价值、威胁可能性和脆弱性等因素

D.风险评估完成后无需进行跟踪

2.数据资产价值评估中，以下哪种因素对价值影响最小（）

A.数据的完整性

B.数据的存储位置

C.数据的敏感性

D.数据的可用性

3.对于威胁可能性评估，以下哪种情况威胁发生可能性相对较高（）

A.有成熟防护措施的场景

B.漏洞已公开但未修复的系统

C.人员安全意识很强的环境

D.物理安全防护完善的区域

4.以下不属于数据安全脆弱性的是（）

A.弱密码策略

B.过时的操作系统

C.正常的网络流量

D.缺乏数据加密机制

5.在风险评估中，计算风险值通常采用的公式是（）

A.风险值=资产价值×威胁可能性

B.风险值=资产价值×脆弱性

C.风险值=资产价值×威胁可能性×脆弱性

D.风险值=威胁可能性+脆弱性

6.数据安全风险评估的流程中，首先要进行的是（）

A.识别资产

B.评估威胁

C.评估脆弱性

D.计算风险值

7.以下哪种数据资产在评估价值时通常被认为价值较高（）

A.普通办公文档

B.企业核心业务数据

C.已过期的市场调研报告

D.日常的员工通讯记录

8.对于威胁情报的利用，在风险评估中主要用于（）

A.美化报告

B.增加评估的趣味性

C.准确判断威胁可能性

D.提升报告的专业性

9.数据安全风险评估报告中不应该包含的内容是（）

A.评估目的

B.评估方法

C.风险应对建议

D.未来业务发展规划

10.当风险评估结果显示某项风险处于高风险级别时，首先应采取的措施是（）

A.忽视该风险

B.立即进行风险处置

C.重新评估风险

D.向上级汇报

二、多项选择题（总共5题，每题6分，每题的备选项中，有2个或2个以上符合题意，至少有1个错项。错选，本题不得分；少选，所选的每个选项得2分）

1.数据安全风险评估中，资产识别应考虑的因素包括（）

A.数据的所有者

B.数据的存储介质

C.数据的访问频率

D.数据的备份策略

E.数据的更新周期

2.威胁可能性评估时，需要考虑的方面有（）

A.外部威胁源

B.内部人员违规操作可能性

C.技术漏洞的可利用性

D.行业安全态势

E.数据的重要性

3.数据安全脆弱性评估可从以下哪些角度进行（）

A.网络安全

B.系统安全

C.数据本身安全

D.人员安全意识

E.物理安全

4.在风险评估过程中，获取数据的途径可以有（）

A.问卷调查

B.漏洞扫描

C.访谈相关人员

D.查阅历史安全事件记录

E.直接猜测

5.风险评估报告的作用包括（）

A.为管理层决策提供依据

B.指导安全措施的制定

C.记录企业安全现状

D.满足合规要求

E.替代安全管理工作

三、简答题（总共2题，每题10分）

1.简述数据安全风险评估中资产识别的主要步骤。

2.说明如何根据风险评估结果制定合理的数据安全风险应对策略。

四、案例分析题（总共1题，每题20分）

某企业主要从事电商业务，拥有大量客户信息、交易数据等。近期，该企业频繁遭受网络攻击，业务受到一定影响。为了全面评估数据安全风险，企业委托专业机构进行风险评估。专业机构通过多种方式收集数据，对企业的资产、威胁和脆弱性进行了详细分析。

已知该企业客户信息数据库存在弱密码策略，且部分服务器软件版本过时。同时，行业内近期频繁出现针对电商企业的新型网络攻击手段。

请根据上述案例，回答以下问题：

1.指出该企业数据安全方面存在的主要资产、威胁和脆弱性。

2.针对这些问题，提出相应的数据安全风险应对建议。

五、论述题（总共1题，每题20分）

论述数据安全风险评估在企业数字化转型过程中的重要性，并结合实际案例说明如何通过有效的风险评估保障企业数字化转型的顺利进行。

答案：

一、1.C2.B3.B4.C5.C6.A7.B8.C9.D10.B

二、1.ABCE2.ABCD3.ABCDE4.ABCD5.ABCD

三、1.首先要明确评估范围，确定需要评估的各类数据资产。然后对资产进行分类，如按照数据的重要性、敏感性等分类。接着识别资产的所有者、存储位置、访问方式等信息。最后对资产进行赋值，确定其相对价值。

2.