2025年信息系统安全专家技术合规性检查专题试卷及解析.pdfVIP

2025年信息系统安全专家技术合规性检查专题试卷及解析1

2025年信息系统安全专家技术合规性检查专题试卷及解析

2025年信息系统安全专家技术合规性检查专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《网络安全法》，关键信息基础设施的运营者应当对网络安全事件至少多久

进行一次应急演练？

A、每季度

B、每半年

C、每年

D、每两年

【答案】C

【解析】正确答案是C。《网络安全法》第三十四条规定，关键信息基础设施的运营

者应当对网络安全事件至少每年进行一次应急演练。选项A、B、D不符合法律规定。

知识点：网络安全法合规要求。易错点：容易混淆一般企业（建议每半年）和关键信息

基础设施运营者的不同要求。

2、在ISO27001信息安全管理体系中，以下哪个属于A.9访问控制域的核心控制

措施？

A、业务连续性计划

B、密码策略

C、物理安全边界

D、供应商关系管理

【答案】B

【解析】正确答案是B。ISO27001的A.9访问控制域主要管理用户访问权限，密

码策略是其核心控制措施。A属于A.17业务连续性，C属于A.11物理安全，D属于

A.15供应商关系。知识点：ISO27001控制域划分。易错点：容易将访问控制与物理安

全控制混淆。

3、根据GDPR，处理个人数据的合法性基础不包括以下哪项？

A、数据主体同意

B、履行合同必要

C、商业利益最大化

D、法律义务要求

【答案】C

【解析】正确答案是C。GDPR第6条规定合法性基础包括同意、合同履行、法律

义务等，但”商业利益最大化”不是合法依据。知识点：GDPR合法性基础。易错点：容

易将”合法利益”与”商业利益最大化”混淆。

2025年信息系统安全专家技术合规性检查专题试卷及解析2

4、在进行等级保护测评时，二级系统要求的安全审计覆盖范围是？

A、仅重要操作

B、所有用户操作

C、系统管理员操作

D、安全相关操作

【答案】D

【解析】正确答案是D。根据GB/T222392019，二级系统要求对安全相关操作进行

审计，而非所有操作。知识点：等保2.0审计要求。易错点：容易高估二级系统的审计

范围要求。

5、在云计算环境中，以下哪项通常属于客户方的安全责任？

A、物理环境安全

B、虚拟化层安全

C、数据分类与标记

D、基础设施维护

【答案】C

【解析】正确答案是C。根据共享责任模型，客户负责数据安全，包括分类标记。A、B、

D通常由云服务商负责。知识点：云安全责任划分。易错点：容易混淆IaaS/PaaS/SaaS

不同模式下的责任边界。

6、根据《数据安全法》，数据处理者应当多久进行一次风险评估？

A、每月

B、每季度

C、每半年

D、每年

【答案】D

【解析】正确答案是D。《数据安全法》第三十条规定，重要数据处理者应当每年进

行一次风险评估。知识点：数据安全法合规要求。易错点：容易忽略”重要数据”处理者

的特殊要求。

7、在渗透测试中，以下哪项行为可能违反《刑法》第285条？

A、经授权的漏洞扫描

B、模拟社会工程学测试

C、未授权的系统入侵

D、公开已修复漏洞

【答案】C

【解析】正确答案是C。《刑法》第285条禁止非法侵入计算机系统。A、B、D在

合规情况下不违法。知识点：网络安全测试法律边界。易错点：容易忽视”授权”这一关

2025年信息系统安全专家技术合规性检查专题试卷及解析3

键要素。

8、根据等保2.0要求，三级系统应部署的入侵检测系统覆盖范围是？

A、仅网络边界

B、仅重要服务器

C、网络边界和关键节点

D、所有终端设备

【答案】C

【解析】正确答案是C。等保2.0三级