2026年信息安全保障人员认证（CISAW）考试题库（附答案和详细解析）（0609）.docxVIP

信息安全保障人员认证（CISAW）

一、单项选择题（共10题，每题1分，共10分）

答案：B解析：信息安全风险评估的基本流程通常包括：组建评估组、资料收集、资产识别、威胁识别、脆弱性识别、风险计算、风险评价和编制评估报告。其中，“风险计算”是指通过分析资产价值、面临的威胁和存在的脆弱性，计算风险值的过程。选项A、C、D均为准备或分析阶段的工作，而非计算本身。

答案：D解析：风险控制策略主要包括风险规避、风险转移、风险降低和风险接受。选项A（风险避免）通常指停止可能导致风险的活动，而非一种控制策略；选项B（风险转移）通常指通过保险或外包来转移风险；选项C（风险承受）是接受风险。风险降低是信息安全中通过技术和管理手段降低风险发生概率或影响程度的最常用策略。

答案：C解析：ISO/IEC27001:2013标准中，ISMS（信息安全管理体系）的运行阶段主要包括“计划”、“实施”、“检查”和“处置”。其中，“检查”阶段包括内部审核、管理评审和合规性评价，以确定ISMS的适宜性、充分性和有效性。选项A、B、D均为标准中定义的具体活动名称。

答案：A解析：在信息安全保障模型（如PDRR模型）中，保护（Protection）是核心，旨在通过技术和管理手段减少资产的脆弱性。检测（Detection）和响应（Response）通常作为发现安全事件后的补救措施，恢复（Recovery