2025年信息安全管理师职业资格考试试题及答案.docxVIP

2025年信息安全管理师职业资格考试试题及答案

一、单项选择题（每题1分，共20分）

1.信息安全的核心三要素“CIA”指的是？

A.机密性、完整性、可用性

B.可控性、完整性、抗抵赖性

C.机密性、可审计性、可用性

D.完整性、可追溯性、可控性

2.依据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的PDCA循环中“C”代表？

A.策划（Plan）

B.实施（Do）

C.检查（Check）

D.改进（Act）

3.以下哪种风险评估方法属于定性评估？

A.故障树分析（FTA）

B.资产价值量化计算

C.德尔菲法（Delphi）

D.蒙特卡洛模拟

4.某企业采用“用户角色权限”的访问控制模型，该模型属于？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

5.数据脱敏技术中，将“身份证号”中的出生年月替换为“”的操作属于？

A.掩码处理

B.泛化处理

C.变形处理

D.加密处理

6.根据《个人信息保护法》，个人信息处理者向境外提供个人信息时，以下哪项不是必须履行的义务？

A.通过国家网信部门组织的安全评估

B.与境外接收方订立书面协议

C.向个人信息主体告知接收方的基本信息

D.获得所有个人信息主体的单独书面同意

7.以下哪种加密算法属于非对称加密？

A.AES256

B.RSA

C.DES

D.SHA256

8.零信任架构（ZeroTrust）的核心原则是？

A.默认信任内网所有设备

B.持续验证访问请求的合法性

C.仅通过网络边界防御保障安全

D.依赖单一身份认证机制

9.某系统日志显示“用户A在非工作时间登录财务系统并下载敏感报表”，这属于信息安全事件中的？

A.可用性破坏事件

B.完整性破坏事件

C.机密性破坏事件

D.合规性违反事件

10.信息安全管理体系（ISMS）的范围确定需要考虑的关键因素不包括？

A.组织的业务目标

B.法律法规要求

C.竞争对手的安全策略

D.资产的分布与重要性

11.以下哪项是漏洞扫描工具的主要功能？

A.监控网络流量中的异常行为

B.检测系统中存在的已知安全漏洞

C.加密传输中的敏感数据

D.阻止恶意代码的执行

12.依据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行几次检测评估？

A.1次

B.2次

C.3次

D.4次

13.数据分类分级的主要目的是？

A.减少数据存储成本

B.为差异化保护提供依据

C.提高数据处理效率

D.满足数据备份要求

14.以下哪种访问控制措施最符合“最小权限原则”？

A.为普通员工分配系统管理员权限

B.仅为财务人员开放财务系统查询权限

C.所有用户默认拥有文件读写权限

D.临时账户在任务完成后保留30天

15.信息安全事件应急响应流程的正确顺序是？

A.准备→检测→抑制→根除→恢复→总结

B.检测→准备→抑制→根除→恢复→总结

C.准备→抑制→检测→根除→恢复→总结

D.检测→抑制→准备→恢复→根除→总结

16.以下哪项不属于物理安全控制措施？

A.机房门禁系统

B.服务器硬盘加密

C.消防灭火装置

D.监控摄像头覆盖

17.数字签名的主要作用是？

A.保证数据传输的机密性

B.验证数据的完整性和发送方身份

C.防止数据被非法篡改

D.实现数据的安全存储

18.某企业拟开展ISO27001认证，其信息安全方针应由谁批准发布？

A.信息安全部门负责人

B.企业最高管理层

C.外部认证机构

D.法律顾问

19.以下哪种数据泄露场景属于“内部过失”？

A.黑客通过钓鱼邮件窃取数据

B.员工误将敏感文件上传至公共云盘

C.第三方供应商非法出售客户数据

D.竞争对手通过渗透测试获取商业秘密

20.云安全中“共享责任模型”的核心是？

A.云服务商承担全部安全责任

B.用户承担全部安全责任

C.云服务商和用户按服务类型划分责任

D.政府监管部门介入责任划分

二、多项选择题（每题2分，共20分，错选、漏选均不