2025年信息系统安全专家云合规与审计要求专题试卷及解析.pdfVIP

2025年信息系统安全专家云合规与审计要求专题试卷及解析1

2025年信息系统安全专家云合规与审计要求专题试卷及解

析

2025年信息系统安全专家云合规与审计要求专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在云服务模型中，哪一种模型下云服务提供商承担了最多的安全责任？

A、IaaS（基础设施即服务）

B、PaaS（平台即服务）

C、SaaS（软件即服务）

D、DaaS（桌面即服务）

【答案】C

【解析】正确答案是C。在SaaS模型中，云服务提供商负责管理从底层基础设施到

应用程序的全部安全，用户仅需管理自己的账户和访问权限。IaaS模型下用户责任最

大，需管理操作系统、中间件、应用和数据；PaaS模型下用户责任居中，需管理应用和

数据；DaaS是SaaS的一种特殊形式，但SaaS是更广泛且提供商责任最全面的模型。

知识点：云服务模型中的责任共担模型。易错点：容易混淆不同模型下用户和提供商的

责任边界，特别是PaaS和SaaS的区别。

2、根据GDPR（通用数据保护条例），当云服务涉及欧盟公民个人数据时，以下哪

项不是数据控制者的核心义务？

A、确保数据处理有合法依据

B、实施数据保护影响评估（DPIA）

C、提供数据加密的默认选项

D、与数据处理者签订包含特定条款的合同

【答案】C

【解析】正确答案是C。GDPR要求数据控制者确保合法依据、进行DPIA（高风

险时）和与处理者签订合规合同，但并未强制要求“默认加密”，而是要求“通过设计默认

的数据保护”（PrivacybyDesignandbyDefault），加密是手段之一但非唯一。知识点：

GDPR核心义务。易错点：将“默认加密”误解为GDPR的强制性要求，而忽略了更广

泛的“默认数据保护”原则。

3、在云环境审计中，审计师验证“职责分离”原则时，最应关注以下哪项配置？

A、同一用户同时拥有开发和运维权限

B、不同用户使用不同的登录凭证

C、所有管理员操作均被记录日志

D、数据备份策略符合RPO要求

【答案】A

2025年信息系统安全专家云合规与审计要求专题试卷及解析2

【解析】正确答案是A。职责分离要求关键任务（如开发和运维）由不同人员执行，

以降低风险。同一用户同时拥有开发和运维权限违反了该原则。B是基本安全要求，C

是审计追踪，D是业务连续性要求，均与职责分离无直接关联。知识点：职责分离原则。

易错点：容易将职责分离与权限管理或日志记录混淆，忽略了其核心是“避免单一人员

掌握关键流程的全部权限”。

4、以下哪项是ISO/IEC27001:2022标准中新增的控制项？

A、访问控制策略

B、威胁情报

C、信息安全事件管理

D、供应商关系安全

【答案】B

【解析】正确答案是B。ISO/IEC27001:2022新增了“威胁情报”（A.5.7）等控制项，

以应对动态威胁环境。A、C、D均为旧版已有控制项。知识点：ISO27001标准更新内

容。易错点：可能因不熟悉新版标准而误选旧版控制项，需关注2022版的变化。

5、在多云环境中，实现统一合规审计的最大挑战是？

A、不同云平台的API接口不兼容

B、跨云数据传输的延迟问题

C、各云服务商的合规报告格式差异

D、云服务商的SLA保障不足

【答案】C

【解析】正确答案是C。多云环境下，各服务商的合规报告格式和审计日志标准不

一，导致统一审计困难。A是技术问题但可通过工具解决，B是性能问题，D是服务问

题，均非合规审计的核心挑战。知识点：多云合规审计挑战。易错点：容易将技术问题

（如API兼容性）误认为合规审计的主要障碍。

6、根据NISTSP80053，以下哪项控制属于“系统与通信保护（SC）”家族？

A、审计与问责（AU）