2026年信息安全管理師考核核心題庫含答案一、單選題（共20題，每題1分）1.根據(jù)《網(wǎng)絡(luò)安全法》，以下哪項(xiàng)不屬于網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)？A.建立網(wǎng)絡(luò)安全管理制度B.定期開展安全評(píng)估C.對(duì)用戶信息進(jìn)行過度收集D.及時(shí)修復(fù)網(wǎng)絡(luò)安全漏洞2.在信息安全管理體系中，PDCA循環(huán)的“C”代表什么？A.Plan（計(jì)劃）B.Do（執(zhí)行）C.Check（檢查）D.Act（改進(jìn)）3.以下哪種加密算法屬于對(duì)稱加密？A.RSAB.AESC.ECCD.SHA-2564.ISO/IEC27001:2013標(biāo)準(zhǔn)中，哪項(xiàng)流程用于識(shí)別和評(píng)估信息安全風(fēng)險(xiǎn)？A.安全審計(jì)B.風(fēng)險(xiǎn)評(píng)估C.惡意軟件防護(hù)D.物理訪問控制5.勒索軟件攻擊的主要目的是什么？A.刪除系統(tǒng)文件B.盜取銀行賬戶C.阻止用戶訪問文件并索要贖金D.植入后門程序6.以下哪種認(rèn)證方法安全性最高？A.用戶名+密碼B.生物識(shí)別+動(dòng)態(tài)口令C.硬件令牌D.郵箱驗(yàn)證7.數(shù)據(jù)備份的策略中，哪種方式能最快恢復(fù)數(shù)據(jù)？A.全量備份B.增量備份C.差異備份D.磁帶備份8.網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的四個(gè)階段不包括？A.準(zhǔn)備階段B.發(fā)現(xiàn)階段C.分析階段D.法律訴訟階段9.VPN（虛擬專用網(wǎng)絡(luò)）的主要作用是什么？A.加速網(wǎng)絡(luò)速度B.隱藏真實(shí)IP地址C.增加帶寬成本D.減少網(wǎng)絡(luò)延遲10.以下哪種漏洞屬于SQL注入？A.XSS（跨站腳本）B.CSRF（跨站請(qǐng)求偽造）C.SQL注入D.DoS攻擊11.企業(yè)信息安全培訓(xùn)的主要目的是什么？A.提高員工收入B.降低安全意識(shí)C.增強(qiáng)員工的安全防范能力D.減少管理成本12.在BIM（建筑信息模型）項(xiàng)目中，信息安全主要體現(xiàn)在？A.模型美觀度B.數(shù)據(jù)防盜鏈C.渲染速度D.材料成本13.《數(shù)據(jù)安全法》規(guī)定，數(shù)據(jù)處理活動(dòng)必須遵循的原則不包括？A.合法性B.最小必要原則C.收益最大化原則D.目標(biāo)明確原則14.以下哪種技術(shù)可以防止中間人攻擊？A.HTTPSB.HTTPC.FTPD.SMTP15.信息安全管理體系中，哪項(xiàng)文檔用于記錄風(fēng)險(xiǎn)評(píng)估的結(jié)果？A.安全策略B.風(fēng)險(xiǎn)評(píng)估報(bào)告C.操作手冊(cè)D.會(huì)議紀(jì)要16.物聯(lián)網(wǎng)設(shè)備的安全風(fēng)險(xiǎn)主要來自？A.操作系統(tǒng)漏洞B.設(shè)備外觀設(shè)計(jì)C.市場(chǎng)銷量D.生產(chǎn)廠商17.加密算法中，對(duì)稱加密與非對(duì)稱加密的主要區(qū)別是？A.速度B.密鑰長度C.密鑰共享方式D.應(yīng)用場(chǎng)景18.在云計(jì)算環(huán)境中，哪種安全架構(gòu)最能保障數(shù)據(jù)安全？A.對(duì)等架構(gòu)B.分層架構(gòu)C.平臺(tái)架構(gòu)D.分布式架構(gòu)19.以下哪種行為屬于社會(huì)工程學(xué)攻擊？A.利用系統(tǒng)漏洞入侵B.通過釣魚郵件騙取信息C.使用暴力破解密碼D.發(fā)送垃圾郵件20.信息安全等級(jí)保護(hù)制度中，三級(jí)保護(hù)適用于哪些機(jī)構(gòu)？A.政府機(jī)構(gòu)B.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者C.一般企業(yè)D.個(gè)人用戶二、多選題（共10題，每題2分）1.以下哪些屬于信息安全管理的核心要素？A.機(jī)密性B.完整性C.可用性D.可追溯性2.勒索軟件的傳播途徑包括？A.郵件附件B.惡意網(wǎng)站C.USB移動(dòng)設(shè)備D.無線網(wǎng)絡(luò)3.企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的方法包括？A.風(fēng)險(xiǎn)矩陣法B.德爾菲法C.模糊綜合評(píng)價(jià)法D.黑盒測(cè)試4.網(wǎng)絡(luò)安全法規(guī)定，網(wǎng)絡(luò)運(yùn)營者必須采取的安全技術(shù)措施包括？A.安裝防火墻B.定期更新系統(tǒng)補(bǔ)丁C.對(duì)用戶密碼進(jìn)行加密存儲(chǔ)D.設(shè)置訪問控制策略5.以下哪些屬于非對(duì)稱加密算法？A.RSAB.DESC.ECCD.Blowfish6.數(shù)據(jù)備份的策略包括？A.全量備份B.增量備份C.差異備份D.云備份7.信息安全事件應(yīng)急響應(yīng)的流程包括？A.準(zhǔn)備階段B.發(fā)現(xiàn)與處置階段C.事后恢復(fù)階段D.法律訴訟階段8.企業(yè)信息安全培訓(xùn)的內(nèi)容包括？A.安全意識(shí)教育B.漏洞利用技巧C.數(shù)據(jù)保護(hù)法規(guī)D.應(yīng)急響應(yīng)流程9.以下哪些屬于BIM項(xiàng)目中的信息安全風(fēng)險(xiǎn)？A.數(shù)據(jù)泄露B.模型篡改C.權(quán)限管理混亂D.設(shè)備硬件故障10.云計(jì)算環(huán)境中的安全架構(gòu)包括？A.身份認(rèn)證與訪問控制B.數(shù)據(jù)加密與脫敏C.安全審計(jì)與日志管理D.分布式拒絕服務(wù)防護(hù)三、判斷題（共20題，每題1分）1.信息安全管理體系（ISO/IEC27001）是強(qiáng)制性標(biāo)準(zhǔn)。2.數(shù)據(jù)備份的頻率越高，恢復(fù)速度越快。3.SQL注入攻擊可以通過直接輸入惡意代碼實(shí)現(xiàn)。4.社會(huì)工程學(xué)攻擊不需要技術(shù)知識(shí)。5.網(wǎng)絡(luò)安全法適用于所有網(wǎng)絡(luò)運(yùn)營者和用戶。6.非對(duì)稱加密算法的公鑰和私鑰可以相互替代。7.勒索軟件攻擊通常不會(huì)導(dǎo)致數(shù)據(jù)永久丟失。8.信息安全風(fēng)險(xiǎn)評(píng)估只需要考慮技術(shù)風(fēng)險(xiǎn)。9.企業(yè)信息安全培訓(xùn)可以完全消除安全事件。10.BIM項(xiàng)目中的信息安全主要依賴防火墻技術(shù)。11.數(shù)據(jù)備份只需要備份一次即可。12.云計(jì)算環(huán)境中的數(shù)據(jù)安全責(zé)任完全由云服務(wù)商承擔(dān)。13.惡意軟件可以通過藍(lán)牙傳輸。14.信息安全等級(jí)保護(hù)制度適用于所有中國機(jī)構(gòu)。15.加密算法的強(qiáng)度主要取決于密鑰長度。16.HTTPS協(xié)議可以防止中間人攻擊。17.物聯(lián)網(wǎng)設(shè)備不需要進(jìn)行安全加固。18.信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果不需要記錄。19.企業(yè)信息安全培訓(xùn)可以降低人為失誤。20.社會(huì)工程學(xué)攻擊的主要目的是植入惡意軟件。四、簡答題（共5題，每題5分）1.簡述信息安全風(fēng)險(xiǎn)評(píng)估的流程。2.列舉三種常見的社會(huì)工程學(xué)攻擊手段。3.簡述云計(jì)算環(huán)境中的數(shù)據(jù)安全防護(hù)措施。4.簡述信息安全事件應(yīng)急響應(yīng)的四個(gè)階段。5.簡述企業(yè)信息安全培訓(xùn)的重要性。五、論述題（共2題，每題10分）1.結(jié)合實(shí)際案例，論述勒索軟件攻擊的防范措施。2.結(jié)合中國《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》，論述企業(yè)數(shù)據(jù)安全管理的合規(guī)要求。答案與解析一、單選題答案1.C2.C3.B4.B5.C6.B7.A8.D9.B10.C11.C12.B13.C14.A15.B16.A17.C18.B19.B20.B解析：-第5題：勒索軟件的主要目的是通過加密用戶文件并索要贖金來獲利。-第12題：BIM項(xiàng)目涉及大量高價(jià)值數(shù)據(jù)，信息安全主要體現(xiàn)在數(shù)據(jù)防盜鏈和訪問控制。-第20題：三級(jí)保護(hù)適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，如金融、能源、交通等機(jī)構(gòu)。二、多選題答案1.A,B,C2.A,B,C3.A,B,C4.A,B,C,D5.A,C6.A,B,C,D7.A,B,C8.A,C,D9.A,B,C10.A,B,C,D解析：-第4題：防火墻、系統(tǒng)補(bǔ)丁、密碼加密和訪問控制都是網(wǎng)絡(luò)安全法要求的技術(shù)措施。-第10題：云計(jì)算安全架構(gòu)涵蓋身份認(rèn)證、數(shù)據(jù)加密、審計(jì)日志和DDoS防護(hù)等多個(gè)方面。三、判斷題答案1.×（ISO/IEC27001是自愿性標(biāo)準(zhǔn)，但可轉(zhuǎn)化為法規(guī)要求）2.√3.√4.√5.√6.×（公鑰和私鑰功能不同，不可替代）7.×（勒索軟件通常要求贖金后解密，但數(shù)據(jù)可能永久丟失）8.×（還需考慮管理、物理等風(fēng)險(xiǎn)）9.×（培訓(xùn)可降低風(fēng)險(xiǎn)但不能完全消除）10.×（BIM安全需綜合技術(shù)和管理措施）11.×（需定期備份）12.×（云服務(wù)商負(fù)責(zé)基礎(chǔ)設(shè)施安全，客戶需負(fù)責(zé)應(yīng)用和數(shù)據(jù)安全）13.√14.√15.√16.√17.×（物聯(lián)網(wǎng)設(shè)備易受攻擊，需加固）18.×（風(fēng)險(xiǎn)評(píng)估結(jié)果需記錄存檔）19.√20.×（主要目的是騙取信息，而非植入軟件）四、簡答題答案1.信息安全風(fēng)險(xiǎn)評(píng)估流程：-識(shí)別資產(chǎn)與威脅-分析脆弱性-評(píng)估風(fēng)險(xiǎn)等級(jí)-制定應(yīng)對(duì)措施2.常見的社會(huì)工程學(xué)攻擊手段：-魚叉郵件（針對(duì)特定目標(biāo)）-誘騙電話（冒充客服等）-偽裝網(wǎng)站（騙取賬號(hào)密碼）3.云計(jì)算數(shù)據(jù)安全防護(hù)措施：-數(shù)據(jù)加密（傳輸和存儲(chǔ)）-訪問控制（RBAC）-安全審計(jì)與日志監(jiān)控4.應(yīng)急響應(yīng)四個(gè)階段：-準(zhǔn)備階段（預(yù)案制定）-發(fā)現(xiàn)與處置階段（隔離、分析）-事后恢復(fù)階段（數(shù)據(jù)恢復(fù)）-總結(jié)改進(jìn)階段（復(fù)盤優(yōu)化）5.信息安全培訓(xùn)的重要性：-提高員工安全意識(shí)-減少人為失誤導(dǎo)致的風(fēng)險(xiǎn)-合規(guī)要求（如《網(wǎng)絡(luò)安全法》）五、論述題答案1.勒索軟件防范措施：-定期備份并離線存