2024年3月信息安全管理體系基礎考試練習題及答案一、單項選擇題（共20題，每題1分，共20分。每題只有一個正確選項）1.依據(jù)ISO/IEC27001:2022標準，信息安全管理體系（ISMS）的PDCA循環(huán)中，"C"階段的核心活動是：A.建立ISMS方針、目標和程序B.監(jiān)控、測量、分析和評價ISMS績效C.實施和運行所策劃的控制措施D.采取措施持續(xù)改進ISMS有效性答案：B2.以下哪項不屬于ISO/IEC27001:2022標準中"相關(guān)方需求和期望"的典型來源？A.客戶的數(shù)據(jù)隱私要求B.供應商的服務級別協(xié)議（SLA）C.員工的職業(yè)發(fā)展需求D.監(jiān)管機構(gòu)的合規(guī)要求答案：C3.信息安全風險評估的基本步驟順序應為：①風險分析②風險識別③風險評價④風險處理A.②→①→③→④B.①→②→③→④C.②→③→①→④D.③→②→①→④答案：A4.在ISO/IEC27002:2022中，"A.9.2.2訪問權(quán)限管理"要求定期評審用戶訪問權(quán)限，其主要目的是：A.減少系統(tǒng)管理員工作量B.確保權(quán)限與當前職責匹配C.降低密碼泄露風險D.滿足審計形式要求答案：B5.某企業(yè)將客戶個人信息存儲于云端，根據(jù)《個人信息保護法》，以下哪項不屬于"最小必要原則"的要求？A.僅收集客戶姓名、聯(lián)系方式和購買記錄B.存儲期限設定為交易完成后3年（行業(yè)慣例為5年）C.向第三方共享前獲得客戶單獨同意D.對敏感信息進行去標識化處理答案：C6.以下哪種場景最符合"信息資產(chǎn)"的定義？A.員工使用的辦公電腦B.存儲客戶數(shù)據(jù)的數(shù)據(jù)庫系統(tǒng)C.記錄內(nèi)部流程的紙質(zhì)文檔D.以上均是答案：D7.在ISMS審核中，"不符合項"的判定依據(jù)是：A.審核員的主觀經(jīng)驗判斷B.組織制定的內(nèi)部管理制度C.ISO/IEC27001標準要求及組織自身要求D.行業(yè)最佳實踐答案：C8.某公司實施"最小特權(quán)原則"，其核心目標是：A.限制員工訪問與工作無關(guān)的系統(tǒng)B.降低因權(quán)限過高導致的潛在風險C.提高系統(tǒng)訪問效率D.簡化權(quán)限管理流程答案：B9.以下哪項不屬于ISO/IEC27001:2022中"信息安全事件"的范疇？A.員工誤刪重要業(yè)務數(shù)據(jù)B.黑客攻擊導致服務器宕機C.因臺風導致機房斷電D.供應商泄露客戶信息答案：C（注：自然災害屬于業(yè)務連續(xù)性事件，非信息安全事件）10.信息安全方針的制定主體應為：A.信息安全部門負責人B.最高管理層C.風險管理委員會D.外部認證機構(gòu)答案：B11.在風險評估中，"資產(chǎn)價值"的評估應考慮：①資產(chǎn)的購買成本②資產(chǎn)對業(yè)務的關(guān)鍵程度③資產(chǎn)的可替代性④資產(chǎn)的維護成本A.①②③B.②③④C.①②④D.①③④答案：A12.ISO/IEC27001:2022要求組織確定"信息安全管理體系范圍"，其輸出文件是：A.風險評估報告B.范圍聲明C.方針聲明D.適用性聲明答案：B13.以下哪項控制措施屬于"管理控制"？A.部署防火墻進行網(wǎng)絡隔離B.制定《數(shù)據(jù)分類與標識規(guī)范》C.對服務器進行定期漏洞掃描D.為敏感數(shù)據(jù)加密存儲答案：B14.根據(jù)《網(wǎng)絡安全法》，關(guān)鍵信息基礎設施的運營者應當：①自行對網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估②在境內(nèi)存儲網(wǎng)絡數(shù)據(jù)，確需向境外提供的應進行安全評估③制定網(wǎng)絡安全事件應急預案并定期演練④公開所有網(wǎng)絡安全防護技術(shù)細節(jié)A.①②③B.①③④C.②③④D.①②④答案：A15.信息安全管理體系的"持續(xù)改進"不包括：A.定期評審ISMS的有效性B.對不符合項采取糾正措施C.保持現(xiàn)有控制措施不變D.根據(jù)業(yè)務變化調(diào)整風險處理策略答案：C16.以下哪項是ISO/IEC27001:2022中"信息安全目標"的特征？A.必須量化且可測量B.僅由信息安全部門負責C.與組織整體業(yè)務目標無關(guān)D.無需考慮相關(guān)方需求答案：A17.在"信息資產(chǎn)清單"中，除資產(chǎn)名稱、位置、責任人外，還應包含的關(guān)鍵信息是：A.資產(chǎn)的顏色和尺寸B.資產(chǎn)的購買日期C.資產(chǎn)的分類（如公開/內(nèi)部/機密）D.資產(chǎn)的供應商信息答案：C18.以下哪種情況屬于"信息安全事件"的"升級"？A.事件影響范圍從單個部門擴展至整個企業(yè)B.事件處理人員由工程師更換為經(jīng)理C.事件報告從口頭形式轉(zhuǎn)為書面形式D.事件記錄的時間精確到分鐘答案：A19.某企業(yè)通過簽訂保密協(xié)議約束第三方服務提供商，這屬于風險處理的哪種方式？A.風險規(guī)避B.風險轉(zhuǎn)移C.風險降低D.風險接受答案：B20.ISO/IEC27001:2022標準中，"適用性聲明（SoA）"的作用是：A.說明組織選擇的控制措施及其與標準要求的對應關(guān)系B.聲明組織符合特定行業(yè)的合規(guī)要求C.向客戶承諾信息安全服務水平D.記錄風險評估的詳細過程答案：A二、多項選擇題（共10題，每題2分，共20分。每題有2個或以上正確選項，錯選、漏選均不得分）1.以下屬于ISO/IEC27001:2022"領導作用"條款要求的有：A.制定信息安全方針B.確保資源的可用性C.分配信息安全職責D.定期評審ISMS績效答案：ABCD2.信息安全風險評估的輸入應包括：A.組織的業(yè)務目標和范圍B.法律法規(guī)和合同要求C.已有的信息安全控制措施D.員工的信息安全意識水平答案：ABCD3.根據(jù)ISO/IEC27002:2022，以下屬于"物理和環(huán)境安全"控制目標的有：A.防止未授權(quán)物理訪問B.保護設備免受環(huán)境威脅C.確保設備的安全處置D.管理用戶終端的軟件安裝答案：ABC4.《數(shù)據(jù)安全法》規(guī)定的數(shù)據(jù)處理者義務包括：A.建立健全數(shù)據(jù)安全管理制度B.采取必要技術(shù)措施保障數(shù)據(jù)安全C.定期開展數(shù)據(jù)安全風險評估D.對所有數(shù)據(jù)進行加密存儲答案：ABC5.信息安全事件管理的關(guān)鍵步驟包括：A.事件檢測與報告B.事件分類與定級C.事件響應與處理D.事件總結(jié)與改進答案：ABCD6.以下哪些情況可能導致ISMS范圍變更？A.企業(yè)并購新業(yè)務部門B.停用某條老舊業(yè)務系統(tǒng)C.引入云服務提供商處理客戶數(shù)據(jù)D.調(diào)整信息安全部門組織結(jié)構(gòu)答案：ABC7.信息安全方針應包含的內(nèi)容有：A.信息安全的總體目標和方向B.對遵守法律法規(guī)的承諾C.對持續(xù)改進的承諾D.具體的技術(shù)實現(xiàn)細節(jié)答案：ABC8.在風險分析中，"威脅"的來源包括：A.自然災害（如火災、洪水）B.人為錯誤（如誤操作）C.惡意攻擊（如勒索軟件）D.系統(tǒng)漏洞（如軟件缺陷）答案：ABC（注：系統(tǒng)漏洞屬于脆弱性）9.以下屬于"技術(shù)控制"的有：A.多因素認證（MFA）B.訪問控制列表（ACL）C.安全培訓與意識教育D.數(shù)據(jù)備份與恢復策略答案：AB10.ISO/IEC27001:2022要求的"文檔化信息"包括：A.ISMS范圍聲明B.風險評估報告C.適用性聲明D.員工考勤記錄答案：ABC三、判斷題（共10題，每題1分，共10分。正確填"√"，錯誤填"×"）1.信息安全管理體系的核心是通過技術(shù)手段消除所有安全風險。（×）2.風險接受需要經(jīng)過正式審批并記錄理由。（√）3.所有信息資產(chǎn)都需要進行相同級別的保護。（×）4.信息安全事件僅指惡意攻擊事件，不包括人為失誤。（×）5.最高管理層無需參與ISMS的日常運行，但需確保其有效性。（√）6.適用性聲明（SoA）只需列出組織未實施的控制措施。（×）7.數(shù)據(jù)泄露事件發(fā)生后，只需通知IT部門處理，無需告知管理層。（×）8.信息安全方針應定期評審，當業(yè)務環(huán)境變化時需及時更新。（√）9.第三方服務提供商的信息安全責任可以通過合同完全轉(zhuǎn)移。（×）10.風險評估是一次性活動，完成后無需再次進行。（×）四、簡答題（共5題，每題6分，共30分）1.簡述ISO/IEC27001:2022標準中"PDCA循環(huán)"在ISMS中的具體應用。答案：PDCA循環(huán)包括：策劃（Plan）：確定ISMS范圍、方針、目標，進行風險評估并策劃控制措施；實施（Do）：實施所策劃的控制措施，包括培訓、運行控制和事件管理；檢查（Check）：監(jiān)控、測量ISMS績效，進行內(nèi)部審核和管理評審；改進（Act）：對不符合項采取糾正措施，持續(xù)改進ISMS的有效性。2.請說明"信息資產(chǎn)分類"的作用及常見分類維度。答案：作用：確保不同重要程度的資產(chǎn)得到與其價值匹配的保護，優(yōu)化資源配置。常見分類維度：敏感性（公開、內(nèi)部、機密、絕密）；業(yè)務關(guān)鍵性（關(guān)鍵、重要、一般）；數(shù)據(jù)類型（個人信息、財務數(shù)據(jù)、知識產(chǎn)權(quán)）；存儲介質(zhì)（電子、紙質(zhì)、移動設備）。3.列舉《個人信息保護法》中"告知同意"原則的主要要求。答案：主要要求包括：明確告知個人信息處理的目的、方式、范圍、保存期限等；同意需由個人自愿、明確作出；處理敏感個人信息需取得單獨同意；告知內(nèi)容發(fā)生變更時需重新取得同意；個人有權(quán)撤回同意，撤回不影響已進行的處理。4.簡述信息安全事件響應的"黃金三步驟"及其核心任務。答案：準備（Preparation）：建立應急預案，組建響應團隊，儲備技術(shù)工具；響應（Response）：快速遏制事件擴散（如隔離受影響系統(tǒng)），收集證據(jù)（如日志備份），恢復業(yè)務功能；總結(jié)（LessonsLearned）：分析事件根因，評估控制措施有效性，更新預案和流程。5.解釋ISO/IEC27002:2022中"A.12.1.1信息系統(tǒng)的安全要求"的主要內(nèi)容。答案：該控制目標要求在信息系統(tǒng)的設計、開發(fā)和采購過程中明確安全要求，具體包括：定義系統(tǒng)的安全目標和需求（如保密性、完整性、可用性）；確保安全要求與業(yè)務需求、法律法規(guī)一致；在系統(tǒng)生命周期各階段（規(guī)劃、實施、運維）融入安全要求；對第三方開發(fā)的系統(tǒng)進行安全需求審核。五、案例分析題（共2題，每題10分，共20分）案例1：某醫(yī)療科技公司主要提供在線健康咨詢服務，存儲了大量患者的姓名、病歷、檢查報告等信息。2023年12月，公司發(fā)現(xiàn)用戶數(shù)據(jù)庫被非法訪問，約5000條患者信息泄露。經(jīng)調(diào)查，漏洞原因為：①數(shù)據(jù)庫默認使用弱密碼（"admin123"）未修改；②未對數(shù)據(jù)庫訪問日志進行監(jiān)控；③安全團隊未定期進行漏洞掃描。問題：（1）請根據(jù)ISO/IEC27001:2022標準，指出該事件暴露出的ISMS運行缺陷（至少4項）。（2）提出針對性的改進措施（至少4項）。答案：（1）缺陷：①訪問控制措施失效（弱密碼未修改，違反A.9.2.1用戶身份驗證）；②監(jiān)控與檢測機制缺失（未監(jiān)控數(shù)據(jù)庫日志，違反A.12.4.1監(jiān)控信息系統(tǒng)）；③漏洞管理不到位（未定期掃描，違反A.12.6.1信息系統(tǒng)漏洞管理）；④風險評估未識別數(shù)據(jù)庫安全風險（違反6.1.2風險評估要求）。（2）改進措施：①實施強密碼策略（如長度≥12位，包含大小寫字母、數(shù)字和符號）；②部署日志監(jiān)控系統(tǒng)，對數(shù)據(jù)庫異常訪問（如非工作時間登錄）進行實時告警；③建立漏洞掃描計劃（每月一次全面掃描+關(guān)鍵系統(tǒng)每周掃描），及時修復高危漏洞；④重新開展風險評估，重點評估患者數(shù)據(jù)存儲系統(tǒng)的風險，補充相應控制措施（如加密存儲、訪問審計）。案例2：某制造企業(yè)計劃通過ISO/IEC27001認證，已完成ISMS范圍確定、風險評估和控制措施策劃，現(xiàn)進入體系運行階段。但部分部門反映"安全控制影響工作效率"，例如研發(fā)部門需填寫復雜的權(quán)限申請單，生產(chǎn)部門認為設備訪問審計增加了操作步驟。問題：（1）分析員工抵觸的可能原因（至少3項）。（2）提出提升員工合規(guī)意愿的解決方案（至少3項）。答案：（1）可能原因：①控制措施與實際工作流程脫節(jié)（如權(quán)限申請流