2025年信息安全管理師考試試卷及答案一、單項選擇題（共20題，每題2分，共40分。每題只有一個正確選項）1.信息安全的核心三要素是？A.完整性、可用性、可控性B.機密性、完整性、可用性C.真實性、完整性、不可抵賴性D.機密性、可審計性、可用性答案：B2.根據(jù)ISO/IEC27001:2022標準，信息安全管理體系（ISMS）的PDCA循環(huán)中，“C”指的是？A.策劃（Plan）B.實施（Do）C.檢查（Check）D.改進（Act）答案：C3.以下哪項不屬于風險評估的主要步驟？A.資產(chǎn)識別B.威脅分析C.漏洞掃描D.風險處置答案：C（風險評估步驟通常包括資產(chǎn)識別、威脅分析、脆弱性分析、風險計算，漏洞掃描是技術(shù)手段而非步驟）4.某企業(yè)將用戶密碼存儲為SHA-256哈希值并附加隨機鹽值，這種措施主要保護的是？A.數(shù)據(jù)完整性B.數(shù)據(jù)機密性C.身份真實性D.抗抵賴性答案：B（防止明文密碼泄露）5.依據(jù)《個人信息保護法》，處理敏感個人信息時，除一般同意外還需取得？A.書面同意B.單獨同意C.口頭同意D.默示同意答案：B6.以下哪種訪問控制模型最適用于層級分明的組織架構(gòu)（如軍隊）？A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）答案：B（MAC通過系統(tǒng)強制分配安全標簽，適用于嚴格層級）7.某公司發(fā)現(xiàn)員工通過私人U盤拷貝機密文件，最有效的技術(shù)防范措施是？A.加強安全培訓B.部署終端安全管理系統(tǒng)（EDR）限制USB存儲設(shè)備使用C.增加監(jiān)控攝像頭D.簽訂保密協(xié)議答案：B（技術(shù)控制直接限制行為）8.數(shù)據(jù)脫敏技術(shù)中，將“身份證號44010619900101XXXX”處理為“440106XXXX”屬于？A.匿名化B.去標識化C.加密D.掩碼答案：D（部分信息隱藏）9.以下哪項是ISO27001標準中“信息安全方針”的核心要求？A.明確信息安全目標和范圍B.規(guī)定具體的技術(shù)控制措施C.列出所有信息資產(chǎn)清單D.定義應急響應的具體流程答案：A（方針是高層導向，非具體技術(shù)細節(jié)）10.網(wǎng)絡釣魚攻擊的主要目的是？A.破壞系統(tǒng)可用性B.竊取敏感信息（如賬號密碼）C.傳播惡意軟件D.消耗網(wǎng)絡帶寬答案：B11.某企業(yè)采用“雙因素認證（2FA）”，其中“因素”通常指？A.知識（如密碼）、持有（如動態(tài)令牌）、固有（如指紋）中的兩種B.用戶名、密碼、驗證碼C.內(nèi)網(wǎng)IP、終端MAC地址、用戶賬號D.管理員審批、系統(tǒng)自動驗證、人工復核答案：A12.依據(jù)《網(wǎng)絡安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應當自行或委托第三方每年至少進行幾次網(wǎng)絡安全檢測評估？A.1次B.2次C.3次D.4次答案：A13.以下哪種加密算法屬于對稱加密？A.RSAB.ECC（橢圓曲線加密）C.AESD.SHA-256答案：C（AES是對稱加密，RSA、ECC是非對稱，SHA是哈希算法）14.信息安全事件分級的主要依據(jù)不包括？A.事件影響范圍B.事件持續(xù)時間C.事件造成的經(jīng)濟損失D.事件涉及的技術(shù)復雜度答案：D（分級依據(jù)通常為影響程度，非技術(shù)難度）15.某系統(tǒng)日志顯示大量異常IP嘗試登錄，最可能的威脅是？A.DDoS攻擊B.暴力破解C.數(shù)據(jù)泄露D.惡意代碼感染答案：B（異常登錄嘗試通常為暴力破解）16.最小權(quán)限原則（PrincipleofLeastPrivilege）要求用戶僅獲得？A.完成工作所需的最低權(quán)限B.管理員權(quán)限的子集C.訪問所有基礎(chǔ)資源的權(quán)限D(zhuǎn).臨時權(quán)限而非長期權(quán)限答案：A17.以下哪項屬于物理安全控制措施？A.防火墻策略配置B.機房門禁系統(tǒng)C.數(shù)據(jù)備份策略D.員工安全培訓答案：B（物理安全涉及物理環(huán)境防護）18.在漏洞管理流程中，“漏洞修復驗證”應在哪個階段完成？A.漏洞發(fā)現(xiàn)B.漏洞評估C.漏洞修復D.漏洞關(guān)閉答案：D（驗證通過后關(guān)閉漏洞）19.區(qū)塊鏈技術(shù)的哪個特性最有利于提升數(shù)據(jù)完整性？A.去中心化B.共識機制C.不可篡改D.智能合約答案：C20.某企業(yè)需與第三方服務提供商簽訂數(shù)據(jù)處理協(xié)議，根據(jù)GDPR要求，協(xié)議中必須明確？A.數(shù)據(jù)處理的具體技術(shù)方案B.數(shù)據(jù)泄露時的責任劃分C.第三方的員工背景調(diào)查要求D.數(shù)據(jù)存儲的物理位置答案：B（GDPR要求明確責任）二、多項選擇題（共10題，每題3分，共30分。每題有2個或以上正確選項，錯選、漏選均不得分）21.信息安全管理體系（ISMS）的核心組成部分包括？A.信息安全方針與目標B.風險評估與處置C.法律法規(guī)合規(guī)性管理D.網(wǎng)絡帶寬優(yōu)化答案：ABC（D屬于網(wǎng)絡性能管理，非ISMS核心）22.以下屬于數(shù)據(jù)安全技術(shù)措施的有？A.數(shù)據(jù)加密傳輸B.訪問控制列表（ACL）C.數(shù)據(jù)脫敏處理D.安全審計日志答案：ABCD（均為保護數(shù)據(jù)安全的技術(shù)手段）23.風險評估的常用方法包括？A.定性評估（如德爾菲法）B.定量評估（如LEC法）C.漏洞掃描D.滲透測試答案：AB（C、D是技術(shù)檢測手段，非評估方法）24.依據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應履行的義務包括？A.建立數(shù)據(jù)安全管理制度B.開展數(shù)據(jù)安全風險評估C.對重要數(shù)據(jù)進行備份D.公開所有數(shù)據(jù)處理活動細節(jié)答案：ABC（D涉及隱私，無需全部公開）25.以下哪些是社會工程學攻擊的常見手段？A.冒充IT部門索要用戶密碼B.發(fā)送含惡意鏈接的釣魚郵件C.在辦公區(qū)丟棄偽造的“機密文件”誘騙撿拾D.使用漏洞掃描工具探測系統(tǒng)弱點答案：ABC（D是技術(shù)攻擊，非社會工程）26.訪問控制的“三要素”包括？A.主體（如用戶、進程）B.客體（如文件、數(shù)據(jù)庫）C.控制策略（如允許/拒絕規(guī)則）D.認證方式（如密碼、證書）答案：ABC（D是身份驗證要素，非訪問控制三要素）27.應急響應的主要階段包括？A.準備（Preparation）B.檢測與分析（Detection&Analysis）C.遏制（Containment）D.恢復與總結(jié)（Recovery&LessonsLearned）答案：ABCD（完整流程包含四階段）28.以下哪些措施可提升移動終端（如手機、平板）的信息安全？A.啟用設(shè)備加密（如Android的File-basedEncryption）B.安裝企業(yè)移動設(shè)備管理（MDM）系統(tǒng)C.禁止安裝未經(jīng)驗證的第三方應用D.關(guān)閉設(shè)備定位功能答案：ABC（D與信息安全無直接關(guān)聯(lián)）29.云計算環(huán)境下的信息安全挑戰(zhàn)包括？A.數(shù)據(jù)位置不確定性（跨區(qū)域存儲）B.多租戶隔離風險（資源共享導致的泄露）C.云服務商的安全責任邊界模糊D.網(wǎng)絡帶寬限制答案：ABC（D是性能問題，非安全挑戰(zhàn)）30.以下哪些屬于ISO27001標準中的控制措施類別？A.安全策略B.人力資源安全C.物理和環(huán)境安全D.客戶關(guān)系管理答案：ABC（D屬于業(yè)務管理，非信息安全控制）三、判斷題（共10題，每題1分，共10分。正確填“√”，錯誤填“×”）31.信息安全的“木桶效應”指系統(tǒng)的安全性由最弱的安全環(huán)節(jié)決定。（）答案：√32.哈希算法（如MD5、SHA）可以還原原始數(shù)據(jù)，因此屬于加密算法。（）答案：×（哈希是單向函數(shù)，無法還原）33.定期變更管理員密碼屬于管理控制措施。（）答案：√（屬于人員管理策略）34.數(shù)據(jù)泄露事件發(fā)生后，只需向公司高層報告，無需通知用戶。（）答案：×（需按法規(guī)通知受影響用戶）35.防火墻可以完全防止內(nèi)部人員的惡意操作。（）答案：×（防火墻主要防護外部攻擊，內(nèi)部威脅需其他措施）36.數(shù)字簽名的核心作用是確保數(shù)據(jù)的機密性。（）答案：×（數(shù)字簽名主要用于身份驗證和抗抵賴）37.零信任架構(gòu)（ZeroTrust）的核心是“永不信任，始終驗證”。（）答案：√38.漏洞掃描報告中“高危漏洞”必須在24小時內(nèi)修復。（）答案：×（修復時間需結(jié)合風險評估，非強制24小時）39.員工離職時，只需收回工牌，無需注銷其系統(tǒng)賬號。（）答案：×（需及時注銷賬號以防止越權(quán)訪問）40.物聯(lián)網(wǎng)（IoT）設(shè)備的信息安全風險主要來自設(shè)備計算能力弱、固件更新困難。（）答案：√四、簡答題（共5題，每題6分，共30分）41.簡述ISO27001:2022中PDCA循環(huán)的具體內(nèi)容及其在ISMS中的作用。答案：PDCA循環(huán)即策劃（Plan）、實施（Do）、檢查（Check）、改進（Act）。-策劃（Plan）：確定信息安全方針、目標，進行風險評估并制定處置計劃；-實施（Do）：落實風險處置措施，建立ISMS文件化體系，開展培訓和意識教育；-檢查（Check）：通過內(nèi)部審核、管理評審、績效測量等評估ISMS運行效果；-改進（Act）：針對檢查發(fā)現(xiàn)的問題采取糾正措施，持續(xù)優(yōu)化ISMS。作用：通過閉環(huán)管理確保ISMS的有效性和持續(xù)適應性，符合“持續(xù)改進”的管理原則。42.風險評估的主要步驟包括哪些？請簡要說明每個步驟的關(guān)鍵活動。答案：風險評估步驟通常為：（1）資產(chǎn)識別：明確組織的信息資產(chǎn)（如數(shù)據(jù)、系統(tǒng)、設(shè)備）并賦值（保密性、完整性、可用性）；（2）威脅分析：識別可能威脅資產(chǎn)的事件（如黑客攻擊、自然災害）及其發(fā)生可能性；（3）脆弱性分析：評估資產(chǎn)存在的弱點（如系統(tǒng)漏洞、管理缺失）；（4）風險計算：結(jié)合威脅可能性、脆弱性可利用性、資產(chǎn)價值，計算風險等級（如高、中、低）；（5）風險評價：判斷風險是否可接受，確定需優(yōu)先處理的風險。43.訪問控制的三種主要類型（DAC、MAC、RBAC）的區(qū)別是什么？答案：-自主訪問控制（DAC）：由資產(chǎn)所有者（如文件創(chuàng)建者）自主設(shè)置訪問權(quán)限（如讀、寫），靈活性高但易導致權(quán)限失控；-強制訪問控制（MAC）：系統(tǒng)通過安全標簽（如密級、類別）強制分配權(quán)限，適用于高安全等級場景（如政府、軍隊），嚴格但靈活性低；-基于角色的訪問控制（RBAC）：根據(jù)用戶角色（如“財務人員”“IT管理員”）分配權(quán)限，權(quán)限與職責綁定，便于大規(guī)模管理，是企業(yè)常用模式。44.數(shù)據(jù)安全生命周期管理包括哪些關(guān)鍵環(huán)節(jié)？每個環(huán)節(jié)的核心任務是什么？答案：數(shù)據(jù)安全生命周期分為：（1）數(shù)據(jù)產(chǎn)生：明確數(shù)據(jù)類型（如普通、敏感、重要），制定分類分級規(guī)則；（2）數(shù)據(jù)存儲：選擇安全存儲介質(zhì)（如加密硬盤、安全云存儲），實施訪問控制和備份策略；（3）數(shù)據(jù)傳輸：采用加密協(xié)議（如TLS1.3），驗證傳輸雙方身份，監(jiān)控傳輸過程；（4）數(shù)據(jù)使用：限制訪問權(quán)限（最小權(quán)限原則），記錄使用日志，防止越權(quán)操作；（5）數(shù)據(jù)共享：與第三方簽訂安全協(xié)議，脫敏處理敏感數(shù)據(jù)，明確責任邊界；（6）數(shù)據(jù)歸檔：標識歸檔數(shù)據(jù)的保留期限，確保歸檔介質(zhì)的物理和邏輯安全；（7）數(shù)據(jù)銷毀：采用安全銷毀方法（如物理粉碎、邏輯擦除），驗證銷毀效果并記錄。45.云環(huán)境下信息安全面臨的主要挑戰(zhàn)有哪些？請列舉至少5項并簡要說明。答案：云環(huán)境下的信息安全挑戰(zhàn)包括：（1）數(shù)據(jù)主權(quán)與合規(guī)性：數(shù)據(jù)可能存儲在多個國家/地區(qū)，需符合不同司法管轄區(qū)的法規(guī)（如GDPR、《數(shù)據(jù)安全法》）；（2）多租戶隔離風險：共享云基礎(chǔ)設(shè)施可能導致不同租戶間的數(shù)據(jù)泄露（如通過側(cè)信道攻擊）；（3）云服務商安全責任不明確：需明確“客戶責任邊界”（如IaaS層中，云服務商負責物理安全，客戶負責數(shù)據(jù)和應用安全）；（4）數(shù)據(jù)遷移風險：數(shù)據(jù)入云、出云過程中可能因傳輸漏洞或接口缺陷導致泄露；（5）API安全：云服務依賴API交互，API漏洞（如身份驗證薄弱、輸入驗證缺失）可能導致未授權(quán)訪問；（6）彈性計算帶來的安全管理難度：動態(tài)擴展的云資源（如彈性虛擬機）可能因配置錯誤（如開放不必要的端口）引入風險。五、綜合分析題（共2題，每題15分，共30分）46.某電商企業(yè)近期發(fā)生用戶信息泄露事件，泄露數(shù)據(jù)包括10萬條用戶姓名、手機號、收貨地址及部分支付密碼（加密存儲）。假設(shè)你是該企業(yè)的信息安全主管，請設(shè)計應急響應流程，并說明每個階段的具體行動。答案：應急響應流程需遵循“準備-檢測-遏制-恢復-總結(jié)”的邏輯，具體行動如下：（1）準備階段（事前）：-已建立應急響應團隊（IRT），包括技術(shù)、法律、公關(guān)成員；-制定《信息安全事件應急預案》，明確職責和流程；-定期開展應急演練（如模擬數(shù)據(jù)泄露場景）。（2）檢測與分析階段（事中）：-發(fā)現(xiàn)途徑：日志監(jiān)控系統(tǒng)報警（如數(shù)據(jù)庫異常訪問）、用戶反饋收到詐騙短信；-初步分析：確認泄露數(shù)據(jù)范圍（10萬條）、泄露源（內(nèi)部員工越權(quán)訪問/外部攻擊）、加密支付密碼的安全性（需驗證加密算法強度，如是否使用鹽值、迭代次數(shù)）；-上報：立即向管理層匯報，啟動應急預案。（3）遏制階段（事中）：-技術(shù)遏制：關(guān)閉異常訪問賬號，修復數(shù)據(jù)庫權(quán)限配置（如收回不必要的超級用戶權(quán)限），臨時凍結(jié)受影響用戶的支付功能；-法律遏制：聯(lián)系法務部門，評估是否觸發(fā)《個人信息保護法》的72小時上報要求（若造成重大影響需向監(jiān)管部門報告）；-外部溝通：暫不公開信息，避免引發(fā)恐慌。（4）恢復階段（事后）：-數(shù)據(jù)恢復：對數(shù)據(jù)庫進行全面掃描，確認無殘留漏洞；重新加密存儲支付密碼（若原加密方式不安全，升級為更安全算法如AES-256）；-用戶補救：通過短信、APP通知受影響用戶修改密碼，為高風險用戶提供免費身份保護服務（如信用監(jiān)控）；-系統(tǒng)加固：部署數(shù)據(jù)庫審計系統(tǒng)，加強訪問日志記錄；對員工進行權(quán)限審計，實施最小權(quán)限原則。（5）總結(jié)階段（事后）：-事件復盤：分析泄露根本原因（如員工權(quán)限過大、日志監(jiān)控不足）；-改進措施：修訂《訪問控制策略》，增加多因素認證（2FA）；升級日志分析系統(tǒng)，實現(xiàn)異常行為實時預警；-報告提交：向管理層提交詳細報告，包括損失評估（如用戶流失、賠償成本）、改進計劃；-公開聲明：在事件可控后，通過官方渠道如實說明情況，致歉并承諾加強安全措施，重建用戶信任。47.某中小企業(yè)（員工200人，業(yè)務涉及電商平臺運營）計劃建立信息安全管理體系（ISMS）。假設(shè)你是咨詢顧問，請設(shè)計實施方案，包括主要步驟、關(guān)鍵活動及預期成果。答案：中小企業(yè)ISMS實施方案需結(jié)合實際資源，遵循“規(guī)劃-實施-認證-持續(xù)改進”路徑，具體如下：（1）步驟1：啟動與規(guī)劃（1-2個月）-關(guān)鍵活動：-高層承諾：召開管理層會議，明確ISMS建設(shè)目標（如通過ISO27001認證、滿足《數(shù)據(jù)安全法》要求）；-成立ISMS小組：由IT主管、法務、業(yè)務代表組成，指定管理者代表；-確定范圍：界定ISMS覆蓋的業(yè)務（如電商平臺、用戶數(shù)據(jù)、支付系統(tǒng)）和物理邊界（總部機房、云服務器）；-資源預算：申請資金用于培訓、工具（如漏洞掃描軟件）、外部認證。-預期成果：《ISMS建設(shè)啟動報告》《ISMS范圍聲明》。（2）步驟2：風險評估與處置（2-3個月）-關(guān)鍵活動：-資產(chǎn)清單編制：識別核心資產(chǎn)（用戶數(shù)據(jù)庫、交易系統(tǒng)、客戶名單），完成《信息資產(chǎn)清單》；-風險評估：采用定性方法（如德爾菲法）評估風險（如數(shù)據(jù)庫泄露、DDoS攻擊、員工誤操作），形成《風險評估報告》；-風險處置：對高風險項制定措施（如為數(shù)據(jù)庫部署加密、購買DD