2025年信息安全保障人员认证（CISAW）考试题库（附答案和详细解析）（1228）.docxVIP

信息安全保障人员认证（CISAW）考试试卷

一、单项选择题（共10题，每题1分，共10分）

信息安全管理体系（ISMS）的核心标准是？

A.ISO27001

B.ISO9001

C.ISO14001

D.ISO20000

答案：A

解析：ISO27001是国际标准化组织发布的信息安全管理体系（ISMS）的核心标准，规定了建立、实施、维护和改进信息安全管理体系的要求；ISO9001是质量管理体系标准，ISO14001是环境管理体系标准，ISO20000是IT服务管理体系标准，均与信息安全管理无直接关联。

以下哪种风险评估方法属于定性评估？

A.故障树分析（FTA）

B.德尔菲法（Delphi）

C.蒙特卡洛模拟

D.资产价值量化计算

答案：B

解析：定性评估主要依赖专家经验和主观判断，德尔菲法通过多轮匿名征求专家意见进行风险等级划分，属于定性方法；故障树分析、蒙特卡洛模拟和资产价值量化计算均需数值化分析，属于定量评估方法。

对称加密算法的典型代表是？

A.RSA

B.ECC

C.AES

D.SHA-256

答案：C

解析：AES（高级加密标准）是典型的对称加密算法，加密和解密使用同一密钥；RSA和ECC是非对称加密算法，SHA-256是哈希算法，均不属于对称加密。

网络安全等级保护2.0中，第三级信息系统的安全保护要求属于？

A.用户自主保护级

B.系统审计保护级

C.安全标记保护级

D.结构化保护级

答案：D

解析：等保2.0中，第一级为用户自主保护级，第二级为系统审计保护级，第三级为安全标记保护级，第四级为结构化保护级，第五级为访问验证保护级。题目中第三级对应安全标记保护级（注意原题选项可能存在笔误，正确应为第三级对应安全标记保护级，此处按标准表述修正）。

数据脱敏技术中，“将姓名‘张三’替换为‘某先生’”属于？

A.匿名化

B.去标识化

C.泛化

D.掩码

答案：C

解析：泛化是将具体数据替换为更抽象的描述（如“张三”→“某先生”）；匿名化是彻底消除关联个人身份的信息（如删除身份证号），去标识化是移除直接标识符但保留间接标识符（如保留手机号后四位），掩码是覆盖部分数据（如“138****1234”）。

以下哪项不属于安全运维的“三同步”原则？

A.同步规划

B.同步建设

C.同步使用

D.同步审计

答案：D

解析：安全运维的“三同步”原则是指信息系统的安全措施应与主体工程“同步规划、同步建设、同步使用”；同步审计属于安全检查要求，非三同步核心内容。

根据《个人信息保护法》，个人信息处理者向境外提供个人信息时，需通过的安全评估由哪个部门组织？

A.国家网信部门

B.公安机关

C.市场监管部门

D.行业主管部门

答案：A

解析：《个人信息保护法》第三十八条规定，向境外提供个人信息应通过国家网信部门组织的安全评估；公安机关负责网络安全监管，市场监管部门负责企业登记，行业主管部门负责行业内管理，均非安全评估主体。

零信任架构（ZeroTrust）的核心假设是？

A.网络内部是安全的

B.所有访问请求都不可信

C.设备身份无需验证

D.仅验证用户身份即可

答案：B

解析：零信任的核心是“永不信任，始终验证”，假设网络内外的所有访问请求都不可信，需持续验证身份、设备状态、访问环境等多因素；内部网络安全、设备无需验证、仅验证用户均与零信任理念相悖。

以下哪项属于安全审计的主要目的？

A.提高系统运行速度

B.记录和分析安全事件

C.加密传输数据

D.修复系统漏洞

答案：B

解析：安全审计的核心是通过记录系统活动（如用户操作、访问日志），分析潜在安全事件或违规行为；提高运行速度是性能优化目标，加密数据是传输安全措施，修复漏洞是补丁管理任务。

云安全中，“数据主权”问题主要涉及？

A.数据存储位置

B.云服务商技术能力

C.云服务器带宽

D.云终端设备性能

答案：A

解析：数据主权指数据所在国对数据的管辖权，主要涉及数据存储的物理位置（如是否存储在境内）；云服务商技术能力、带宽、终端性能属于服务质量或技术实现问题，与数据主权无直接关联。

二、多项选择题（共10题，每题2分，共20分）

信息安全管理体系（ISMS）的关键要素包括？

A.信息安全方针

B.风险评估与处理

C.控制措施的选择与实施

D.持续监控与改进

答案：ABCD

解析：ISMS的核心是通过“方针制定→风险评估→控制措施实施→监控改进”的PDCA循环实现持续优化，四选项均为关键要素；其他干扰项如“技术设备采购”属于具体执行手段，非体系要素。

风险评估的主要步骤包括？

A.资产识别与赋值

B.威胁与脆弱性分析

C.风险等级计算

D.风险处置策略制定

答案：ABCD

解