2025年信息安全管理知识考试试题及答案.docxVIP

2025年信息安全管理知识考试试题及答案

一、单项选择题（每题2分，共40分）

1.信息安全的核心三要素“CIA”指的是？

A.机密性、完整性、可追溯性

B.机密性、完整性、可用性

C.可控性、完整性、可用性

D.机密性、可审计性、可用性

2.依据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的PDCA循环中“C”代表？

A.策划（Plan）

B.实施（Do）

C.检查（Check）

D.改进（Act）

3.某企业将用户密码存储为哈希值时，采用“哈希+盐值”的组合方式，其主要目的是？

A.减少存储占用空间

B.防止彩虹表攻击

C.提升哈希算法速度

D.实现密码加密传输

4.以下哪项不属于《数据安全法》规定的重要数据处理活动应履行的义务？

A.进行数据安全影响评估

B.向社会公开数据处理全流程

C.制定数据安全应急处置预案

D.定期对数据处理活动进行合规审计

5.在访问控制模型中，“主体的权限随其角色变化而变化”属于哪种模型？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

6.某公司发现员工通过私人U盘拷贝公司机密文件，最有效的技术防范措施是？

A.加强员工安全意识培训

B.部署终端数据防泄漏（DLP）系统

C.更新网络防火墙规则

D.限制员工互联网访问权限

7.依据《个人信息保护法》，个人信息处理者向境外提供个人信息时，不需要满足的条件是？

A.通过国家网信部门组织的安全评估

B.与境外接收方订立书面协议

C.取得个人单独同意

D.确保境外接收方数据存储设备为国产

8.以下哪项属于信息安全管理体系（ISMS）内部审核的主要目的？

A.向客户展示合规性

B.识别体系运行中的不符合项

C.获取第三方认证证书

D.完成监管部门要求的备案

9.某企业进行风险评估时，计算某资产面临的风险值为“威胁发生概率×脆弱性被利用的可能性×资产价值”，该方法属于？

A.定性评估

B.半定量评估

C.定量评估

D.模糊评估

10.以下哪种加密技术属于对称加密算法？

A.RSA

B.ECC（椭圆曲线加密）

C.AES

D.哈希（SHA256）

11.依据ISO27002:2022，信息安全策略的制定应首先基于？

A.行业最佳实践

B.管理层的安全目标

C.员工的操作习惯

D.竞争对手的安全措施

12.某系统日志显示，某账户在30分钟内连续尝试15次登录失败，最可能的攻击类型是？

A.SQL注入攻击

B.暴力破解攻击

C.跨站脚本（XSS）攻击

D.分布式拒绝服务（DDoS）攻击

13.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于？

A.匿名化

B.去标识化

C.加密

D.混淆

14.以下哪项是信息安全事件响应流程的正确顺序？

A.准备→检测→遏制→根除→恢复→总结

B.检测→准备→遏制→恢复→根除→总结

C.准备→遏制→检测→根除→恢复→总结

D.检测→遏制→准备→恢复→根除→总结

15.依据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行几次检测评估？

A.1次

B.2次

C.3次

D.4次

16.在零信任架构中，“持续验证访问请求”的核心目的是？

A.减少网络带宽消耗

B.确保任何访问均需动态授权

C.简化身份认证流程

D.降低硬件设备成本

17.以下哪项不属于物理安全控制措施？

A.机房门禁系统（如指纹识别）

B.服务器冗余电源配置

C.网络流量监控软件

D.机房温湿度监控设备

18.某企业将客户个人信息存储于云服务器，若云服务商发生数据泄露，责任主体首先是？

A.云服务商

B.企业（数据处理者）

C.客户（数据主体）

D.网络安全监管部门

19.信息安全管理中，“最小权限原则”要求？

A.用户仅获得完成工作所需的最低权限

B.所有用户权限统一为默认级别

C.管理员拥有所有系统的最高权限

D.临时用户无需权限审批即可访问

20.以下哪项属于信息安全意识培