2025年信息安全管理考试题及答案解析.docxVIP

2025年信息安全管理考试题及答案解析

一、单项选择题（共10题，每题2分，共20分）

1.信息安全的核心三要素（CIA）中，“可用性（Availability）”的核心目标是？

A.确保信息不被未授权修改

B.确保授权用户在需要时能够访问信息

C.确保信息仅被授权方访问

D.确保信息的完整性和真实性

答案：B

解析：CIA三要素中，保密性（Confidentiality）对应C，确保信息仅被授权方访问（C选项）；完整性（Integrity）对应I，确保信息不被未授权修改（A选项）；可用性（Availability）对应A，确保授权用户及时获取信息（B选项）。D选项描述不准确，真实性属于完整性的延伸。

2.根据ISO/IEC27001:2022《信息安全管理体系要求》，信息安全管理体系（ISMS）的PDCA循环中，“策划（Plan）”阶段的核心活动不包括？

A.确定信息安全方针

B.进行风险评估并制定风险处理计划

C.实施控制措施并监控有效性

D.明确组织的信息安全范围和上下文

答案：C

解析：PDCA循环中，Plan阶段包括确定方针（A）、定义范围（D）、风险评估与处理计划（B）；Do阶段是实施控制措施（C）；Check阶段是监控与评审；Act阶段是改进。

3.某企业采用“基于角色的访问控制（RBAC）”，其核心优势是？

A.直接根据用户身份分配权限，灵活性高

B.通过角色关联权限，降低权限管理复杂度

C.强制所有访问必须经过管理员审批，安全性高

D.支持动态调整单个用户权限，适用于小规模组织

答案：B

解析：RBAC通过“用户角色权限”的三元组模型，将权限与角色绑定，减少直接为用户分配权限的工作量（B正确）。A是自主访问控制（DAC）的特点；C是强制访问控制（MAC）的特点；D描述的是DAC的灵活性，但RBAC更适合中大型组织。

4.以下哪种风险评估方法属于“定性评估”？

A.使用LEC法（风险矩阵）计算风险等级（可能性×影响）

B.通过资产价值（AV）、暴露因子（EF）、年发生率（ARO）计算ALE（年损失期望）

C.基于历史数据统计不同威胁的发生概率

D.采用德尔菲法（专家匿名评估）确定风险优先级

答案：D

解析：定性评估侧重主观判断（如专家打分、德尔菲法），定量评估通过数值计算（如LEC矩阵中的数值、ALE公式）。A中的LEC虽用数值，但本质是半定量；B、C为定量方法；D为定性。

5.《个人信息保护法》规定，处理敏感个人信息时，除“告知同意”外，还需满足的额外条件是？

A.取得个人的书面同意

B.进行个人信息保护影响评估（PIA）

C.向省级网信部门备案

D.明确告知处理的必要性及对个人权益的影响

答案：B

解析：根据《个人信息保护法》第二十九条，处理敏感个人信息应取得个人的单独同意，并进行PIA（B正确）。A错误，同意形式可为书面或电子；C错误，备案非强制；D是“告知”的基本要求，非额外条件。

6.某企业发现员工通过邮件外发公司核心技术文档，最可能触发的安全控制措施是？

A.网络访问控制（NAC）

B.数据丢失防护（DLP）

C.入侵检测系统（IDS）

D.终端安全管理（ESM）

答案：B

解析：DLP通过内容识别、策略控制，防止敏感数据通过邮件、即时通讯等渠道泄露（B正确）。NAC控制设备接入网络；IDS检测网络攻击；ESM管理终端安全配置。

7.以下哪种加密算法属于非对称加密（公钥加密）？

A.AES256

B.RSA

C.SHA256

D.DES

答案：B

解析：非对称加密使用公钥和私钥（如RSA）；对称加密（AES、DES）使用同一密钥；SHA256是哈希算法（C错误）。

8.云服务提供商（CSP）的“责任共担模型”中，以下哪项通常由用户负责？

A.物理服务器的环境安全

B.虚拟机（VM）的操作系统补丁

C.数据中心的网络防火墙

D.云平台的身份认证（IAM）服务

答案：B

解析：责任共担模型中，CSP负责基础设施（物理安全、网络防火墙、IAM服务），用户负责其上的资源（如VM的OS补丁、应用程序安全）。

9.某企业发生数据泄露事件后，未在规定时限内向监管部门报告，可能违反以下哪项法规？

A.《网络安全法》

B.《数据安全法》

C.《个人信息保护法》

D.以上均可能

答案：D

解析：《网络安全法》第二十五条、《数据安全法》第二十九条、《个人信息保护法》第五十一条均要求