信息安全管理体系基础考试真题及答案.docxVIP

信息安全管理体系基础考试练习题及答案

一、单项选择题（每题2分，共20题，合计40分）

1.信息安全管理体系（ISMS）的核心依据标准是？

A.ISO/IEC20000

B.ISO/IEC27001

C.ISO9001

D.ISO14001

2.以下哪项不属于信息安全的基本属性？

A.完整性

B.可用性

C.可追溯性

D.保密性

3.在ISMS的PDCA循环中，“C”阶段的核心活动是？

A.制定安全方针和目标

B.实施风险控制措施

C.监控和评审体系有效性

D.改进不符合项

4.风险评估的首要步骤是？

A.识别资产

B.分析威胁

C.确定风险接受准则

D.评估脆弱性

5.以下哪种资产分类方式最符合ISMS的要求？

A.按物理形态（硬件、软件）

B.按业务价值（关键、重要、一般）

C.按所有权（自有、租赁）

D.按存储介质（纸质、电子）

6.信息安全事件的“根本原因分析”应在哪个阶段完成？

A.事件响应

B.事件报告

C.事件调查

D.事件复盘

7.以下哪项是访问控制的“最小权限原则”的典型应用？

A.为所有员工分配相同的系统访问权限

B.根据岗位职能分配仅必要的系统访问权限

C.允许管理员访问所有系统功能

D.定期修改所有用户密码

8.加密技术主要用于保障信息的？

A.完整性

B.可用性

C.保密性

D.不可否认性

9.在ISMS内部审核中，审核员的主要职责不包括？

A.验证控制措施的有效性

B.参与制定纠正措施

C.记录不符合项

D.评估体系与标准的符合性

10.以下哪项不属于人员安全管理的关键措施？

A.入职背景调查

B.定期安全意识培训

C.离职权限回收

D.办公设备物理锁闭

11.风险处理方式中，“风险转移”的典型手段是？

A.购买信息安全保险

B.实施加密措施

C.终止高风险业务

D.定期备份数据

12.信息安全方针的制定主体应为？

A.信息安全部门负责人

B.企业最高管理层

C.IT技术团队

D.法律顾问

13.以下哪项属于技术控制措施？

A.机房门禁系统

B.员工安全培训

C.安全策略文档

D.合同安全条款

14.资产价值评估时，除经济价值外，还需考虑的核心因素是？

A.资产的物理尺寸

B.资产对业务连续性的影响

C.资产的采购时间

D.资产的品牌型号

15.在ISMS中，“业务连续性管理（BCM）”的主要目标是？

A.防止信息泄露

B.确保关键业务在中断后快速恢复

C.提升系统运行速度

D.降低IT设备采购成本

16.以下哪项是信息安全事件的“重大事件”判定标准？

A.影响单个用户的登录问题

B.导致核心业务中断超过4小时

C.员工误删个人文档

D.防火墙日志出现异常访问记录

17.密码策略中，“密码复杂度要求”主要是为了应对哪种威胁？

A.社会工程攻击

B.暴力破解攻击

C.拒绝服务攻击

D.漏洞利用攻击

18.物理安全控制中，“双因素认证”的典型应用场景是？

A.服务器机房入口

B.员工办公桌面

C.打印机使用

D.会议室投影设备

19.以下哪项属于ISMS外部沟通的内容？

A.内部安全培训通知

B.向客户通报数据泄露事件

C.部门间安全策略讨论

D.安全设备采购内部审批

20.风险评估报告的核心内容不包括？

A.资产清单

B.风险处理计划

C.员工绩效数据

D.剩余风险分析

二、多项选择题（每题3分，共10题，合计30分。每题至少2个正确选项，错选、漏选均不得分）

1.信息安全管理体系的关键要素包括？

A.安全方针与目标

B.风险评估与处理

C.控制措施的实施与监控

D.员工绩效考核

2.以下属于ISO/IEC27001要求的文档化信息的有？

A.信息安全方针

B.风险评估报告

C.设备采购合同

D.内部审核记录

3.风险评估的主要方法包括？

A.定性评估（如风险矩阵）

B.定量评估（如ALE计算）

C.德尔菲法

D.头脑风暴法

4.访问控制的主要类型有？

A.强制访问控制（MAC）

B.自主访问控制（D