2025年信息系统安全专家信息安全治理与企业架构专题试卷及解析.pdfVIP

2025年信息系统安全专家信息安全治理与企业架构专题试卷及解析1

2025年信息系统安全专家信息安全治理与企业架构专题试

卷及解析

2025年信息系统安全专家信息安全治理与企业架构专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在企业信息安全治理中，以下哪个框架最强调将信息安全与业务目标对齐？

A、ISO/IEC27001

B、COBIT

C、NISTCybersecurityFramework

D、ITIL

【答案】B

【解析】正确答案是B。COBIT（ControlObjectivesforInformationandRelated

Technologies）框架的核心思想是业务驱动，它提供了一个全面的治理和管理框架，帮助

企业通过IT实现业务目标，其中就包括将信息安全治理与企业的战略目标紧密对齐。A

选项ISO/IEC27001主要关注建立、实施、维护和持续改进信息安全管理体系（ISMS），

更侧重于具体的安全控制措施。C选项NISTCSF主要提供了一个评估和提升网络安

全能力的框架，虽然也涉及业务影响，但其核心是风险管理和功能实现。D选项ITIL

（信息技术基础架构库）主要关注IT服务管理，核心是服务交付和支持，而非信息安全

治理。知识点：信息安全治理框架。易错点：考生容易混淆ISO27001和COBIT，前

者是“怎么做”（具体控制），后者是“为什么做”和“做什么”（治理与目标对齐）。

2、在TOGAF（开放组体系结构框架）中，哪个阶段专门负责定义与信息安全相

关的架构原则和目标？

A、预备阶段

B、架构愿景阶段

C、业务架构阶段

D、信息系统架构阶段

【答案】A

【解析】正确答案是A。预备阶段是TOGAF架构开发方法（ADM）的起始和初始

化阶段，其关键活动之一就是获得授权、建立架构能力，并定义架构原则。这些原则是

整个架构开发过程中所有决策的基础，其中必然包含对安全、合规、风险等方面的基本

原则和约束。B选项架构愿景阶段主要是获得批准、定义范围和约束。C和D阶段则

是基于预备阶段定义的原则来具体设计业务和信息系统架构。知识点：TOGAFADM

阶段。易错点：考生可能认为安全原则应在具体设计阶段（如C或D）定义，但实际

上，原则是指导所有后续阶段的顶层约束，必须在最开始的预备阶段就确立。

3、根据NISTSP80053，以下哪项控制家族直接处理组织的信息安全治理结构？

2025年信息系统安全专家信息安全治理与企业架构专题试卷及解析2

A、访问控制（AC）

B、系统与信息完整性（SI）

C、规划（PL）

D、安全评估与授权（CA）

【答案】C

【解析】正确答案是C。NISTSP80053中的“规划（PL）”控制家族包含了与安全治

理相关的控制项，例如PL1（安全规划）、PL2（系统安全规划）、PL4（规则行为）、PL8

（安全架构原则）等，这些控制项要求组织建立安全规划流程、定义角色职责、制定安

全策略，这些都是信息安全治理的核心组成部分。A、B、D选项分别关注技术层面的

访问控制、系统完整性以及项目生命周期的评估授权，虽然与治理相关，但不是直接处

理治理结构本身的。知识点：NISTSP80053控制家族。易错点：考生容易将“治理”与

具体的技术或流程控制混淆，需要理解治理是更高层次的指导和控制，而规划是实现治

理意图的第一步。

4、在企业架构（EA）中，安全架构通常被定位在哪个层次？

A、业务架构

B、数据架构

C、应用架构

D、技术架构

【答案】D

【解析】正确答案是D。虽然安全需要贯穿所有架构层次，但“安全架构”本身通常被

看作是技术架构的一个关键组成部分。技术架构描述了支持业务、数据和应用所需的基

础设施、硬件、软件和网络通信等，而安全架构则定义了这些技术组件如何被保护，包

括防火墙、入侵检测系统、加密技术、身份认证系统等具体的技术实现。A、B、C是架