信息安全審計(jì)師筆試試題一、單項(xiàng)選擇題（每題2分，共20分）根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019），第三級(jí)信息系統(tǒng)每年至少開(kāi)展____次等級(jí)測(cè)評(píng)。A.1B.2C.3D.4在ISO/IEC27001:2022信息安全管理體系標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)評(píng)估的核心步驟不包括以下哪項(xiàng)？A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)處理C.風(fēng)險(xiǎn)分析D.風(fēng)險(xiǎn)評(píng)價(jià)以下哪種加密算法不屬于對(duì)稱(chēng)加密算法？A.AESB.DESC.RSAD.3DES依據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全____工作。A.審計(jì)B.評(píng)估C.檢測(cè)D.認(rèn)證以下關(guān)于滲透測(cè)試的說(shuō)法，正確的是？A.滲透測(cè)試只能在系統(tǒng)上線前進(jìn)行B.滲透測(cè)試不需要得到授權(quán)C.黑盒滲透測(cè)試對(duì)測(cè)試者的技術(shù)要求更高D.滲透測(cè)試結(jié)果可直接作為安全防護(hù)的依據(jù)二、多項(xiàng)選擇題（每題3分，共30分，少選得1分，選錯(cuò)不得分）信息安全審計(jì)的主要內(nèi)容包括（）。A.安全管理制度審計(jì)B.安全技術(shù)措施審計(jì)C.人員安全審計(jì)D.應(yīng)急響應(yīng)審計(jì)《個(gè)人信息保護(hù)法》規(guī)定，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，以下屬于敏感個(gè)人信息的有（）。A.生物識(shí)別信息B.宗教信仰信息C.行蹤信息D.電子郵箱地址在進(jìn)行信息系統(tǒng)安全審計(jì)時(shí)，常見(jiàn)的審計(jì)證據(jù)來(lái)源有（）。A.系統(tǒng)日志B.網(wǎng)絡(luò)流量數(shù)據(jù)C.訪談?dòng)涗汥.安全設(shè)備配置文件以下哪些屬于信息安全風(fēng)險(xiǎn)評(píng)估的方法？（）A.德?tīng)柗品˙.層次分析法C.故障樹(shù)分析法D.代碼審計(jì)法依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)履行的安全保護(hù)義務(wù)包括（）。A.定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核B.對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份C.制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練D.自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行檢測(cè)評(píng)估三、判斷題（每題2分，共10分）信息安全審計(jì)過(guò)程中，發(fā)現(xiàn)的所有安全問(wèn)題都必須立即進(jìn)行整改。（）在實(shí)施信息安全審計(jì)前，不需要制定詳細(xì)的審計(jì)計(jì)劃。（）《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)。（）數(shù)字證書(shū)的主要作用是進(jìn)行身份認(rèn)證和數(shù)據(jù)加密。（）安全審計(jì)日志可以隨意刪除，不影響信息系統(tǒng)安全。（）四、簡(jiǎn)答題（每題10分，共20分）簡(jiǎn)述信息安全審計(jì)的流程，并說(shuō)明每個(gè)階段的主要工作內(nèi)容。結(jié)合《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019），闡述第三級(jí)信息系統(tǒng)在訪問(wèn)控制方面的主要要求。五、案例分析題（20分）某企業(yè)的核心業(yè)務(wù)系統(tǒng)近期頻繁遭受網(wǎng)絡(luò)攻擊，導(dǎo)致數(shù)據(jù)泄露和服務(wù)中斷。作為信息安全審計(jì)師，你被委托對(duì)該系統(tǒng)進(jìn)行安全審計(jì)。請(qǐng)回答以下問(wèn)題：（1）請(qǐng)列出你在審計(jì)前需要準(zhǔn)備的工作內(nèi)容。（8分）（2）在審計(jì)過(guò)程中，發(fā)現(xiàn)該系統(tǒng)存在未及時(shí)更新補(bǔ)丁、用戶(hù)權(quán)限分配混亂、缺乏有效的入侵檢測(cè)機(jī)制等問(wèn)題。請(qǐng)針對(duì)這些問(wèn)題提出具體的整改建議。（12分）信息安全審計(jì)師筆試試題答案一、單項(xiàng)選擇題A2.B3.C4.A5.C二、多項(xiàng)選擇題ABCD2.ABC3.ABCD4.ABC5.ABCD三、判斷題×2.×3.√4.√5.×四、簡(jiǎn)答題信息安全審計(jì)流程包括審計(jì)準(zhǔn)備、審計(jì)實(shí)施、審計(jì)分析與評(píng)價(jià)、審計(jì)報(bào)告編制四個(gè)階段。審計(jì)準(zhǔn)備階段主要工作有確定審計(jì)目標(biāo)和范圍，組建審計(jì)團(tuán)隊(duì)，收集相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范及被審計(jì)對(duì)象的資料，制定審計(jì)計(jì)劃和方案；審計(jì)實(shí)施階段通過(guò)訪談、檢查、測(cè)試等方法收集審計(jì)證據(jù)；審計(jì)分析與評(píng)價(jià)階段對(duì)收集的證據(jù)進(jìn)行分析，評(píng)估信息系統(tǒng)安全狀況，識(shí)別安全風(fēng)險(xiǎn)和問(wèn)題；審計(jì)報(bào)告編制階段整理審計(jì)結(jié)果，撰寫(xiě)審計(jì)報(bào)告，提出整改建議。第三級(jí)信息系統(tǒng)在訪問(wèn)控制方面要求：應(yīng)對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)；應(yīng)啟用登錄失敗處理功能；應(yīng)設(shè)置網(wǎng)絡(luò)訪問(wèn)控制策略，限制對(duì)重要網(wǎng)絡(luò)服務(wù)的訪問(wèn)；應(yīng)對(duì)重要主體和客體設(shè)置敏感標(biāo)記；應(yīng)依據(jù)安全策略控制用戶(hù)對(duì)有敏感標(biāo)記重要信息資源的操作。五、案例分析題（1）審計(jì)前準(zhǔn)備工作：收集企業(yè)核心業(yè)務(wù)系統(tǒng)相關(guān)資料，包括系統(tǒng)架構(gòu)、功能模塊、使用的技術(shù)、網(wǎng)絡(luò)拓?fù)涞?；了解系統(tǒng)的業(yè)務(wù)流程和數(shù)據(jù)流向；確定審計(jì)目標(biāo)和范圍；組建審計(jì)團(tuán)隊(duì)，明確各成員職責(zé)；制定詳細(xì)審計(jì)計(jì)劃和方案；準(zhǔn)備審計(jì)工具和相關(guān)標(biāo)準(zhǔn)規(guī)范文檔；與企業(yè)相關(guān)人員溝通，獲取審計(jì)必要的權(quán)限和支持。（2）整改建議：針對(duì)未及時(shí)更新補(bǔ)丁，建立補(bǔ)丁管理制度，定期關(guān)注系統(tǒng)和軟件供應(yīng)商發(fā)布的補(bǔ)丁信息，及時(shí)進(jìn)行測(cè)試和更新；針對(duì)用戶(hù)權(quán)限分配混亂，開(kāi)展用