2025年信息系统安全专家信息安全管理体系基础与原则专题试卷及解析.pdfVIP

2025年信息系统安全专家信息安全管理体系基础与原则专题试卷及解析1

2025年信息系统安全专家信息安全管理体系基础与原则专

题试卷及解析

2025年信息系统安全专家信息安全管理体系基础与原则专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在ISO/IEC27001信息安全管理体系中，PDCA循环的“C”阶段主要指什么？

A、策划（Plan）

B、实施（Do）

C、检查（Check）

D、处置（Act）

【答案】C

【解析】正确答案是C。PDCA循环是ISO/IEC27001的核心方法论，其中“C”代

表检查（Check），旨在监控和评审ISMS的绩效，识别不符合项。A选项策划是“P”阶

段，B选项实施是“D”阶段，D选项处置是“A”阶段。知识点：PDCA循环模型。易错

点：容易混淆PDCA各阶段的具体含义，尤其是检查与处置的区别。

2、以下哪项不属于ISO/IEC27002中提供的控制措施类别？

A、访问控制

B、物理和环境安全

C、信息安全事件管理

D、密码学应用

【答案】D

【解析】正确答案是D。ISO/IEC27002将控制措施分为14个类别，包括访问控制、

物理和环境安全、信息安全事件管理等，但密码学应用属于控制措施的具体实施领域，

而非独立类别。知识点：ISO/IEC27002控制措施分类。易错点：容易将具体技术措施

与控制措施类别混淆。

3、信息安全管理体系（ISMS）的适用范围（Scope）定义应考虑的首要因素是？

A、组织的预算限制

B、业务需求和信息安全目标

C、技术架构的复杂性

D、法律法规的最低要求

【答案】B

【解析】正确答案是B。ISMS范围定义的核心是业务需求和信息安全目标，确保体

系与组织战略一致。A、C、D是次要考虑因素。知识点：ISMS范围定义原则。易错点：

容易忽视业务需求对范围的决定性作用。

4、在风险评估中，资产价值（AV）与威胁（T）的关系是？

2025年信息系统安全专家信息安全管理体系基础与原则专题试卷及解析2

A、资产价值越高，威胁越大

B、资产价值与威胁无直接关联

C、威胁决定资产价值

D、资产价值影响威胁的优先级

【答案】D

【解析】正确答案是D。资产价值越高，针对该资产的威胁需要更高优先级处理，但

威胁本身与资产价值无直接因果关系。知识点：风险评估要素关系。易错点：容易误认

为资产价值与威胁存在线性关系。

5、以下哪项是ISO/IEC27001认证的强制性要求？

A、实施所有ISO/IEC27002控制措施

B、建立内部审核程序

C、使用特定加密算法

D、每年更换所有密码

【答案】B

【解析】正确答案是B。ISO/IEC27001要求建立内部审核程序，但控制措施的选

择需基于风险评估，非全部强制实施。知识点：ISO/IEC27001认证要求。易错点：容

易混淆强制性与推荐性要求。

6、信息安全方针（InformationSecurityPolicy）的制定责任主体是？

A、IT部门

B、最高管理层

C、安全团队

D、外部顾问

【答案】B

【解析】正确答案是B。信息安全方针需由最高管理层制定并承诺，以确保其权威

性和资源支持。知识点：信息安全方针制定原则。易错点：容易误认为技术部门负责方

针制定。

7、在ISMS中，适用性声明（SoA）的主要作用是？

A、列出所有控制措施的实施细节

B、证明控制措施选择的合理性

C、记录风险评估结果

D、定义安全事件响应流程

【答案】B

【解析】正确答案是B。适用性声明用于解释控制措施的选择、排除及理由，是认

证审核的关键文件。知识点：适用性声明功能。易错点：容易与风险评估报告混淆。

8、以下哪项不属于ISMS持续改进的输入？

2025年信息系统安全专家信息