信息安全管理体系试题及答案.docxVIP

信息安全管理体系试题及答案

一、单项选择题（每题2分，共40分）

1.信息安全管理体系（ISMS）的核心运行模式遵循以下哪项国际标准提出的方法论？

A.ISO/IEC27005

B.ISO/IEC27001

C.ISO/IEC27002

D.ISO/IEC27032

答案：B（ISO/IEC27001是ISMS的要求标准，规定了建立、实施、保持和改进信息安全管理体系的要求。）

2.以下哪项不属于ISO/IEC27001标准中“信息安全”的三大基本目标？

A.保密性（Confidentiality）

B.完整性（Integrity）

C.可用性（Availability）

D.可追溯性（Traceability）

答案：D（信息安全的三大目标为CIA三元组，即可用性、完整性、保密性。）

3.在ISMS的PDCA循环中，“C”（Check）阶段的核心活动是？

A.制定信息安全方针和目标

B.实施风险评估与控制措施

C.监测、测量、审核和评审体系有效性

D.持续改进体系缺陷

答案：C（PDCA循环中，Check阶段强调对体系运行效果的监控和验证，包括内部审核、管理评审等。）

4.某企业在ISMS建设中，对“客户个人信息数据库”进行资产识别时，除数据本身外，还需识别的关联资产不包括？

A.存储数据库的服务器

B.访问数据库的应用系统

C.数据库管理员的岗位职责

D.数据库加密算法文档

答案：C（资产识别需覆盖信息资产及其载体、支持系统和相关文档，岗位职责属于管理要素，不属于资产范畴。）

5.风险评估的基本步骤顺序正确的是？

①资产识别与赋值②风险分析③威胁识别④脆弱性识别⑤风险评价

A.①→③→④→②→⑤

B.①→④→③→②→⑤

C.③→①→④→②→⑤

D.③→④→①→②→⑤

答案：A（风险评估流程为：资产识别→威胁识别→脆弱性识别→风险分析（计算风险值）→风险评价（确定风险等级）。）

6.以下哪种风险处置方式属于“风险转移”？

A.为关键服务器购买网络安全保险

B.对内部员工进行信息安全培训

C.关闭非必要的端口和服务

D.定期备份重要数据

答案：A（风险转移通过保险、外包等方式将风险后果转移给第三方，其他选项分别属于风险降低、风险降低、风险缓解。）

7.ISO/IEC27002标准的主要作用是？

A.规定ISMS的认证要求

B.提供信息安全控制措施的最佳实践

C.规范信息安全风险评估方法

D.定义信息安全事件管理流程

答案：B（ISO/IEC27002是信息安全控制实践准则，提供14个领域的控制措施建议。）

8.某企业将“客户订单系统”的访问权限设置为“仅销售部门主管及以上级别人员可查看完整订单金额”，这一措施对应ISO/IEC27002中的哪个控制目标？

A.访问控制的实施

B.信息分类与控制

C.密码控制

D.操作程序和职责

答案：A（访问控制通过权限分配限制对信息的访问，属于“访问控制”领域的控制措施。）

9.信息安全事件管理的首要目标是？

A.追究事件责任人

B.尽快恢复业务并减少损失

C.收集证据用于法律诉讼

D.更新安全策略

答案：B（事件管理的核心是控制影响、恢复服务，其他为后续步骤。）

10.在ISMS内部审核中，审核员发现“某部门未按规定每月备份财务系统数据”，这一不符合项属于？

A.体系性不符合（方针/流程缺失）

B.实施性不符合（未执行现有流程）

C.效果性不符合（执行但未达目标）

D.技术性不符合（技术措施缺陷）

答案：B（未按规定执行备份操作，属于实施层面的不符合。）

11.以下哪项不属于信息安全方针的必要内容？

A.信息安全的总体目标和范围

B.管理层对信息安全的承诺

C.具体的技术参数（如加密算法强度）

D.员工在信息安全中的责任

答案：C（方针是高层指导性文件，不涉及具体技术参数，后者应在操作手册中规定。）

12.某企业将“客户个人信息”标记为“机密”，并规定“仅授权人员可通过加密通道访问”，这一过程属于ISMS中的？

A.风险评估

B.资产分类与控制

C.合规性管理

D.事件响应

答案：B（信息分类通过标记敏感等级并实施控制措施，属于资产分类与控制。）

13.以下哪种场景最可能触发信息安全管理评审？

A.更换办公场地

B.员工离职率上升