2025年信息安全管理考试题及答案.docxVIP

2025年信息安全管理考试题及答案

一、单项选择题（每题2分，共20分）

1.信息安全管理中，以下哪项不属于“CIA三元组”的核心要素？

A.机密性（Confidentiality）

B.完整性（Integrity）

C.可用性（Availability）

D.不可否认性（Nonrepudiation）

2.根据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的PDCA循环中，“A（改进）”阶段的核心活动是？

A.制定安全策略与目标

B.实施风险处理计划

C.监控与测量控制措施有效性

D.评审ISMS绩效并持续优化

3.某企业采用LEC法（作业条件危险性评价法）评估某信息系统的操作风险，其中事故发生的可能性（L）评分为3（可能但不经常），暴露于危险环境的频繁程度（E）评分为6（每天工作时间暴露），发生事故产生的后果（C）评分为7（严重伤残），则该风险的危险性分值（D）为？

A.126

B.84

C.63

D.42

4.以下哪种访问控制模型最适用于需要动态调整权限、基于用户当前上下文（如位置、时间、设备）的场景？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

5.根据《个人信息保护法》，个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的？

A.书面同意

B.口头同意

C.明示同意

D.默示同意

6.以下哪项不属于数据脱敏的常用技术？

A.数据加密

B.数据替换（如将真实姓名替换为“用户A”）

C.数据泛化（如将“25岁”泛化为“2030岁”）

D.数据遮蔽（如将身份证号显示为“4403011234”）

7.在云安全管理中，“责任共担模型”要求云服务提供商（CSP）和客户分别承担部分安全责任。以下哪项通常由客户负责？

A.物理服务器的物理安全

B.虚拟机（VM）之间的隔离

C.客户数据的加密与访问控制

D.云平台底层网络的防火墙配置

8.某企业发现员工通过私人邮箱外发敏感业务数据，最有效的技术控制措施是？

A.加强员工安全意识培训

B.部署数据防泄漏（DLP）系统，监控并阻断违规外发行为

C.限制员工使用私人邮箱

D.定期审计员工邮件记录

9.以下哪项是ISO/IEC27005:2018《信息安全风险管理》标准中定义的“风险处理”的核心目标？

A.消除所有风险

B.选择并实施控制措施，将风险降低到可接受水平

C.识别风险源和威胁

D.评估风险发生的可能性和影响

10.某金融机构拟采购第三方安全服务，根据《网络安全法》及相关法规，以下哪项不属于必须审查的内容？

A.服务提供商的网络安全等级保护备案情况

B.服务提供商的股权结构与实际控制人

C.服务过程中涉及的个人信息和重要数据的处理方式

D.服务提供商的安全事件响应能力

二、多项选择题（每题3分，共15分。每题至少有2个正确选项，错选、漏选均不得分）

1.信息安全管理体系（ISMS）的文件化信息通常包括？

A.信息安全方针与目标

B.风险评估报告与风险处理计划

C.关键岗位的安全职责说明书

D.员工安全意识培训记录

2.以下哪些属于《数据安全法》中定义的“重要数据”？

A.某电商平台收集的用户购物偏好数据

B.某能源企业的电网调度数据

C.某科研机构的基因测序原始数据

D.某社交平台的用户好友关系数据

3.零信任架构（ZeroTrustArchitecture,ZTA）的核心原则包括？

A.从不信任，始终验证（NeverTrust,AlwaysVerify）

B.最小权限访问（LeastPrivilegeAccess）

C.基于网络边界的防御（PerimeterbasedDefense）

D.持续动态评估（ContinuousDynamicAssessment）

4.以下哪些措施可有效防范社会工程学攻击？

A.对员工进行钓鱼邮件识别培训

B.部署多因素认证（MFA）系统

C.制定并严格执行物理访问控制流程（如访客登记、陪同制度）

D.定期更新系统漏洞补丁

5.在信息安全事件响应过程中，“遏制阶段（Containment）”的