信息安全管理体系基础)测试题及附答案.docxVIP

信息安全管理体系基础)测试题及附答案

一、单项选择题（每题2分，共40分）

1.信息安全管理体系（ISMS）的核心目标是通过系统化方法实现以下哪项？

A.完全消除信息安全风险

B.将风险控制在可接受范围内

C.确保所有数据实时加密

D.替代传统安全技术措施

答案：B

2.ISO/IEC27001标准中，“信息安全”的定义强调保护信息的哪组属性？

A.完整性、真实性、不可否认性

B.保密性、完整性、可用性（CIA）

C.可靠性、可追溯性、抗抵赖性

D.合规性、可控性、可审计性

答案：B

3.以下哪项是ISMS中“相关方”的典型示例？

A.企业内部的IT运维人员

B.提供云服务的第三方供应商

C.公司的市场部实习生

D.以上均是

答案：D

4.PDCA循环（策划-实施-检查-改进）在ISMS中的应用体现了体系的什么特性？

A.静态合规性

B.持续改进

C.一次性认证通过

D.技术主导性

答案：B

5.风险评估的“残余风险”指的是？

A.未被识别的潜在风险

B.采取控制措施后仍存在的风险

C.已发生但未造成损失的风险

D.历史遗留的过时风险

答案：B

6.以下哪项不属于ISO/IEC27002中定义的“信息安全控制措施”类别？

A.访问控制

B.物理和环境安全

C.人力资源安全

D.设备采购成本控制

答案：D

7.ISMS文件体系中，“信息安全方针”的制定主体通常是？

A.IT部门负责人

B.企业最高管理层

C.合规部门专员

D.外部认证机构

答案：B

8.资产识别时，“信息资产”的范围不包括以下哪项？

A.客户数据库

B.员工考勤记录

C.办公大楼产权证书

D.未发布的产品设计文档

答案：C

9.威胁识别中，“内部误操作”属于哪种威胁源？

A.自然威胁

B.人为恶意威胁

C.人为非恶意威胁

D.技术漏洞威胁

答案：C

10.控制措施的“有效性验证”通常不包括以下哪种方法？

A.定期审计

B.模拟攻击测试

C.员工满意度调查

D.日志分析

答案：C

11.以下哪项是“最小权限原则”在访问控制中的具体应用？

A.所有员工默认拥有系统管理员权限

B.财务人员仅能访问与其职责相关的财务模块

C.新入职员工需等待30天后方可获得系统访问权限

D.高层管理者可访问所有系统数据

答案：B

12.ISO/IEC27001要求的“信息安全事件管理”流程中，首要步骤是？

A.事件分类与定级

B.事件响应与处置

C.事件报告与记录

D.事件预防与准备

答案：D

13.以下哪项不属于“信息安全意识培训”的核心内容？

A.社会工程学攻击防范

B.密码设置与管理规范

C.公司年度财务指标解读

D.数据泄露的法律责任

答案：C

14.风险接受的前提是？

A.风险已被完全消除

B.风险造成的损失小于控制成本

C.外部监管允许接受

D.管理层未关注该风险

答案：B

15.物理安全控制中，“双人访问控制”主要用于保护以下哪类资产？

A.办公区域的打印机

B.数据中心的核心服务器

C.员工个人笔记本电脑

D.公共区域的Wi-Fi路由器

答案：B

16.以下哪项是“信息安全策略”与“信息安全规程”的主要区别？

A.策略是高层指导性文件，规程是具体操作步骤

B.策略由IT部门制定，规程由管理层批准

C.策略包含技术细节，规程仅规定原则

D.策略需定期更新，规程无需调整

答案：A

17.在ISMS审核中，“不符合项”的整改要求不包括？

A.明确整改责任人

B.制定整改时间表

C.提供整改证据

D.更换相关部门负责人

答案：D

18.以下哪项是“数据脱敏”的典型应用场景？

A.财务系统备份数据加密

B.测试环境使用真实客户姓名和手机号

C.对外发布的统计报告隐去个人身份证号

D.员工内部通讯工具消息留存

答案：C

19.以下哪项不属于“第三方信息安全管理”的关键措施？

A.签订包含安全条款的服务协议

B.对供应商进行定期安全审计

C.要求供应商共享其全部客户信息

D.明确数据泄露后的责任划分

答案：C

20.ISMS认证的有效期通