2025年中级信息安全工程师《安全管理》专项测试.docxVIP

2025年中级信息安全工程师《安全管理》专项测试

考试时间：______分钟总分：______分姓名：______

一、单项选择题（下列每题只有一个选项是正确的，请将正确选项的代表字母填写在答题卡相应位置。每题1分，共25分）

1.信息安全的基本属性不包括以下哪一项？

A.机密性

B.完整性

C.可用性

D.可追溯性

2.在信息安全的三元组CIA中，I代表的是？

A.Confidentiality

B.Integrity

C.Availability

D.Authenticity

3.以下哪种风险评估方法主要依赖专家经验和判断，通常不涉及复杂的数学模型？

A.定量风险评估

B.定性风险评估

C.风险矩阵法

D.蒙特卡洛模拟法

4.根据ISO/IEC27001标准，组织最高管理者正式批准安全方针的文件是？

A.风险评估报告

B.安全事件处理记录

C.安全策略文档

D.内部审计报告

5.以下哪项不属于物理环境安全管理的范畴？

A.门禁控制系统

B.服务器机房的温湿度控制

C.人员安全背景审查

D.网络设备配置管理策略

6.以下哪种安全控制措施属于技术控制？

A.制定安全意识培训计划

B.实施最小权限原则

C.部署入侵检测系统

D.建立安全事件报告流程

7.根据中国《网络安全法》，以下哪项活动属于关键信息基础设施运营者的义务？

A.自主决定是否进行网络安全等级保护测评

B.定期向关键信息基础设施运营者自身通报网络安全风险

C.建立网络安全监测预警和信息通报制度

D.无需对自身运营的网络进行安全保护

8.安全策略的制定应遵循的原则不包括？

A.合法合规性原则

B.经济合理性原则

C.严格保密性原则

D.灵活性原则

9.在访问控制模型中，强制访问控制（MAC）的主要特点是？

A.基于用户身份和权限进行访问控制

B.访问权限由系统管理员根据安全标签和规则强制执行

C.用户可以自行设置访问权限

D.主要用于防止内部人员滥用权限

10.资产管理中，对于组织信息资产的价值评估，以下说法正确的是？

A.只有核心数据才需要评估价值

B.评估价值应考虑资产对业务的贡献和丢失后的影响

C.价值评估只需要财务部门参与

D.价值评估结果不需要写入资产清单

11.以下哪项活动属于安全意识培训的主要内容？

A.网络设备配置优化

B.社会工程学攻击与防范

C.漏洞扫描工具的使用

D.数据加密算法的原理

12.安全事件应急响应流程中，首要环节通常是？

A.根除

B.恢复

C.准备

D.分析

13.业务连续性计划（BCP）的核心目标是？

A.恢复所有丢失的数据

B.将业务中断时间控制在可接受范围内

C.防止所有类型的网络安全事件

D.降低运营成本

14.中国《数据安全法》中，“数据处理”是指什么？

A.对数据进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动

B.仅指对数据进行加密存储

C.仅指对数据进行统计分析

D.仅指对数据进行备份

15.以下哪种方法不属于安全审计的常见方法？

A.日志审计

B.线上实时监控

C.人工抽样检查

D.漏洞扫描

16.在开发与维护安全方面，以下哪个环节是安全管理的重要输入？

A.软件发布后的市场推广计划

B.开发过程中的安全需求分析

C.产品发布后的用户满意度调查

D.软件版本号的更新规则

17.根据风险评估结果，组织选择风险处理策略时，不包括以下哪种方式？

A.风险规避

B.风险转移

C.风险接受

D.风险消除

18.以下哪项属于影响信息系统安全性的组织因素？

A.系统硬件的物理损坏

B.开发人员的安全编码能力不足

C.通信线路的雷击中断

D.操作系统存在已知漏洞

19.以下哪项活动通常在安全事件“遏制”阶段进行？

A.收集事件证据

B.分析事件原因

C.限制事件影响范围

D.恢复受影响的系统和服务

2