蘭州市信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)師考試要求試卷及答案考試時(shí)長(zhǎng)：120分鐘滿分：100分題型分值分布：-判斷題（總共10題，每題2分）總分20分-單選題（總共10題，每題2分）總分20分-多選題（總共10題，每題2分）總分20分-案例分析（總共3題，每題6分）總分18分-論述題（總共2題，每題11分）總分22分總分：100分---一、判斷題（每題2分，共20分）1.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)中，等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)必須具備獨(dú)立性和公正性。2.等級(jí)保護(hù)測(cè)評(píng)報(bào)告的結(jié)論分為“通過(guò)”“不通過(guò)”“整改后通過(guò)”三種。3.信息系統(tǒng)定級(jí)時(shí)，未達(dá)到三級(jí)要求的系統(tǒng)不能提升至四級(jí)。4.等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，測(cè)評(píng)人員可以自行修改被測(cè)系統(tǒng)的配置。5.信息系統(tǒng)備案后，無(wú)需定期進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。6.等級(jí)保護(hù)測(cè)評(píng)的測(cè)評(píng)對(duì)象包括硬件、軟件、數(shù)據(jù)、人員、管理五個(gè)方面。7.信息系統(tǒng)備案由省級(jí)公安機(jī)關(guān)負(fù)責(zé)審批。8.等級(jí)保護(hù)測(cè)評(píng)報(bào)告必須由被測(cè)單位蓋章確認(rèn)。9.信息系統(tǒng)定級(jí)時(shí)，涉及國(guó)家秘密的系統(tǒng)必須定級(jí)為三級(jí)或以上。10.等級(jí)保護(hù)測(cè)評(píng)中，測(cè)評(píng)機(jī)構(gòu)需對(duì)測(cè)評(píng)過(guò)程進(jìn)行全程錄音錄像。二、單選題（每題2分，共20分）1.以下哪個(gè)不是信息系統(tǒng)安全等級(jí)保護(hù)的基本要求？（）A.安全策略B.安全組織C.安全技術(shù)D.安全文化2.信息系統(tǒng)定級(jí)時(shí)，以下哪個(gè)場(chǎng)景屬于“大中型系統(tǒng)”？（）A.單個(gè)用戶系統(tǒng)B.涉及100人以上用戶的系統(tǒng)C.涉及10人以下用戶的系統(tǒng)D.僅存儲(chǔ)非敏感數(shù)據(jù)的系統(tǒng)3.等級(jí)保護(hù)測(cè)評(píng)中，以下哪個(gè)階段不屬于測(cè)評(píng)流程？（）A.現(xiàn)場(chǎng)測(cè)評(píng)B.風(fēng)險(xiǎn)評(píng)估C.系統(tǒng)備案D.報(bào)告編寫4.信息系統(tǒng)備案時(shí)，以下哪個(gè)部門負(fù)責(zé)審核？（）A.國(guó)家密碼管理局B.省級(jí)公安機(jī)關(guān)C.市級(jí)工信局D.省級(jí)工信局5.等級(jí)保護(hù)測(cè)評(píng)中，以下哪個(gè)不是三級(jí)系統(tǒng)的要求？（）A.具備災(zāi)備能力B.具備數(shù)據(jù)加密功能C.具備安全審計(jì)功能D.具備雙機(jī)熱備功能6.信息系統(tǒng)定級(jí)時(shí)，以下哪個(gè)場(chǎng)景屬于“重要系統(tǒng)”？（）A.涉及1000萬(wàn)元以上交易的系統(tǒng)B.涉及100人以下用戶的系統(tǒng)C.僅存儲(chǔ)非敏感數(shù)據(jù)的系統(tǒng)D.涉及10人以下用戶的系統(tǒng)7.等級(jí)保護(hù)測(cè)評(píng)中，以下哪個(gè)不是測(cè)評(píng)方法？（）A.文檔審查B.現(xiàn)場(chǎng)訪談C.漏洞掃描D.社會(huì)工程學(xué)測(cè)試8.信息系統(tǒng)備案時(shí)，以下哪個(gè)不是備案材料？（）A.系統(tǒng)定級(jí)報(bào)告B.安全策略文檔C.系統(tǒng)拓?fù)鋱DD.用戶使用手冊(cè)9.等級(jí)保護(hù)測(cè)評(píng)中，以下哪個(gè)不是三級(jí)系統(tǒng)的要求？（）A.具備入侵檢測(cè)系統(tǒng)B.具備漏洞掃描系統(tǒng)C.具備安全審計(jì)系統(tǒng)D.具備數(shù)據(jù)備份系統(tǒng)10.信息系統(tǒng)定級(jí)時(shí)，以下哪個(gè)場(chǎng)景屬于“普通系統(tǒng)”？（）A.涉及1000萬(wàn)元以上交易的系統(tǒng)B.涉及100人以下用戶的系統(tǒng)C.僅存儲(chǔ)非敏感數(shù)據(jù)的系統(tǒng)D.涉及10人以下用戶的系統(tǒng)三、多選題（每題2分，共20分）1.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)中，以下哪些屬于測(cè)評(píng)內(nèi)容？（）A.安全策略B.安全技術(shù)C.安全管理D.安全運(yùn)維2.信息系統(tǒng)定級(jí)時(shí)，以下哪些屬于“大中型系統(tǒng)”的特征？（）A.用戶數(shù)量超過(guò)100人B.涉及1000萬(wàn)元以上交易C.涉及國(guó)家秘密D.用戶數(shù)量超過(guò)10人3.等級(jí)保護(hù)測(cè)評(píng)中，以下哪些屬于測(cè)評(píng)方法？（）A.文檔審查B.現(xiàn)場(chǎng)訪談C.漏洞掃描D.社會(huì)工程學(xué)測(cè)試4.信息系統(tǒng)備案時(shí)，以下哪些屬于備案材料？（）A.系統(tǒng)定級(jí)報(bào)告B.安全策略文檔C.系統(tǒng)拓?fù)鋱DD.用戶使用手冊(cè)5.等級(jí)保護(hù)測(cè)評(píng)中，以下哪些屬于三級(jí)系統(tǒng)的要求？（）A.具備入侵檢測(cè)系統(tǒng)B.具備漏洞掃描系統(tǒng)C.具備安全審計(jì)系統(tǒng)D.具備數(shù)據(jù)備份系統(tǒng)6.信息系統(tǒng)定級(jí)時(shí)，以下哪些屬于“重要系統(tǒng)”的特征？（）A.涉及1000萬(wàn)元以上交易B.涉及100人以上用戶C.涉及國(guó)家秘密D.用戶數(shù)量超過(guò)10人7.等級(jí)保護(hù)測(cè)評(píng)中，以下哪些屬于測(cè)評(píng)流程？（）A.現(xiàn)場(chǎng)測(cè)評(píng)B.風(fēng)險(xiǎn)評(píng)估C.系統(tǒng)備案D.報(bào)告編寫8.信息系統(tǒng)備案時(shí)，以下哪些部門可能參與審核？（）A.國(guó)家密碼管理局B.省級(jí)公安機(jī)關(guān)C.市級(jí)工信局D.省級(jí)工信局9.等級(jí)保護(hù)測(cè)評(píng)中，以下哪些屬于三級(jí)系統(tǒng)的要求？（）A.具備災(zāi)備能力B.具備數(shù)據(jù)加密功能C.具備安全審計(jì)功能D.具備雙機(jī)熱備功能10.信息系統(tǒng)定級(jí)時(shí)，以下哪些屬于“普通系統(tǒng)”的特征？（）A.涉及100人以下用戶B.僅存儲(chǔ)非敏感數(shù)據(jù)C.涉及1000萬(wàn)元以上交易D.用戶數(shù)量超過(guò)10人四、案例分析（每題6分，共18分）案例一：某企業(yè)開發(fā)了一款涉及1000萬(wàn)元以上交易的電子商務(wù)系統(tǒng)，用戶數(shù)量超過(guò)200人，系統(tǒng)存儲(chǔ)部分敏感數(shù)據(jù)，但未涉及國(guó)家秘密。企業(yè)希望進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，并備案為三級(jí)系統(tǒng)。問(wèn)題：1.該系統(tǒng)是否滿足三級(jí)系統(tǒng)的定級(jí)要求？為什么？2.該企業(yè)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要重點(diǎn)關(guān)注哪些方面？案例二：某政府機(jī)關(guān)開發(fā)了一款內(nèi)部辦公系統(tǒng)，用戶數(shù)量超過(guò)500人，系統(tǒng)存儲(chǔ)部分國(guó)家秘密數(shù)據(jù)，但交易金額未超過(guò)1000萬(wàn)元。該系統(tǒng)已完成定級(jí)為三級(jí)，并已備案。問(wèn)題：1.該系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要重點(diǎn)關(guān)注哪些方面？2.如果測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)存在嚴(yán)重漏洞，企業(yè)應(yīng)如何整改？案例三：某金融機(jī)構(gòu)開發(fā)了一款涉及1000萬(wàn)元以上交易的金融系統(tǒng)，用戶數(shù)量超過(guò)100人，系統(tǒng)存儲(chǔ)部分敏感數(shù)據(jù)，并涉及國(guó)家秘密。該系統(tǒng)已完成定級(jí)為四級(jí)，并已備案。問(wèn)題：1.該系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要重點(diǎn)關(guān)注哪些方面？2.如果測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)存在嚴(yán)重漏洞，企業(yè)應(yīng)如何整改？五、論述題（每題11分，共22分）1.論述信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的意義和流程。2.結(jié)合實(shí)際案例，分析等級(jí)保護(hù)測(cè)評(píng)中常見的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對(duì)措施。---標(biāo)準(zhǔn)答案及解析一、判斷題1.√2.√3.×（三級(jí)系統(tǒng)可提升至四級(jí)）4.×（測(cè)評(píng)人員不得自行修改系統(tǒng)）5.×（備案后需定期測(cè)評(píng)）6.√7.×（備案由省級(jí)公安機(jī)關(guān)負(fù)責(zé)）8.√9.×（未涉及國(guó)家秘密的系統(tǒng)可定級(jí)為二級(jí)）10.×（測(cè)評(píng)過(guò)程需記錄，但無(wú)需全程錄音錄像）二、單選題1.D2.B3.C4.B5.A6.A7.D8.D9.A10.B三、多選題1.ABCD2.ABC3.ABCD4.ABCD5.ABCD6.ABC7.ABD8.BCD9.ABCD10.AB四、案例分析案例一：1.該系統(tǒng)不滿足三級(jí)系統(tǒng)的定級(jí)要求。根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)條例》，三級(jí)系統(tǒng)需滿足“涉及國(guó)家秘密”或“用戶數(shù)量超過(guò)1000人”或“交易金額超過(guò)1000萬(wàn)元”的條件，而該系統(tǒng)僅滿足“交易金額超過(guò)1000萬(wàn)元”和“用戶數(shù)量超過(guò)100人”，但未涉及國(guó)家秘密，因此應(yīng)定級(jí)為二級(jí)系統(tǒng)。2.該企業(yè)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要重點(diǎn)關(guān)注以下方面：-安全策略：是否制定完善的安全管理制度。-安全技術(shù)：是否具備防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密等安全措施。-安全管理：是否進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急演練。-安全運(yùn)維：是否定期進(jìn)行系統(tǒng)漏洞掃描和安全加固。案例二：1.該系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要重點(diǎn)關(guān)注以下方面：-安全策略：是否制定符合國(guó)家秘密保護(hù)要求的安全管理制度。-安全技術(shù)：是否具備物理隔離、數(shù)據(jù)加密、入侵檢測(cè)等安全措施。-安全管理：是否進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急演練。-安全運(yùn)維：是否定期進(jìn)行系統(tǒng)漏洞掃描和安全加固。2.如果測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)存在嚴(yán)重漏洞，企業(yè)應(yīng)采取以下措施整改：-立即停止使用存在漏洞的系統(tǒng)。-修復(fù)漏洞并重新進(jìn)行安全測(cè)試。-完善安全管理制度并加強(qiáng)人員培訓(xùn)。-定期進(jìn)行安全評(píng)估和應(yīng)急演練。案例三：1.該系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)時(shí)，需要重點(diǎn)關(guān)注以下方面：-安全策略：是否制定符合國(guó)家秘密保護(hù)要求的安全管理制度。-安全技術(shù)：是否具備物理隔離、數(shù)據(jù)加密、入侵檢測(cè)、災(zāi)備系統(tǒng)等安全措施。-安全管理：是否進(jìn)行安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急演練。-安全運(yùn)維：是否定期進(jìn)行系統(tǒng)漏洞掃描和安全加固。2.如果測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)存在嚴(yán)重漏洞，企業(yè)應(yīng)采取以下措施整改：-立即停止使用存在漏洞的系統(tǒng)。-修復(fù)漏洞并重新進(jìn)行安全測(cè)試。-完善安全管理制度并加強(qiáng)人員培訓(xùn)。-定期進(jìn)行安全評(píng)估和應(yīng)急演練。五、論述題1.信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的意義和流程信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的意義在于：-保障信息系統(tǒng)安全運(yùn)行，防止數(shù)據(jù)泄露、系統(tǒng)癱瘓等安全事件。-符合國(guó)家法律法規(guī)要求，避免因安全問(wèn)題導(dǎo)致的法律風(fēng)險(xiǎn)。-提升企業(yè)信息安全水平，增強(qiáng)用戶信任度。測(cè)評(píng)流程包括：-系統(tǒng)定級(jí)：根據(jù)系統(tǒng)重要性和敏感程度確定系統(tǒng)等級(jí)。-備案：向公安機(jī)關(guān)備案系統(tǒng)信息。-測(cè)評(píng)準(zhǔn)備：制定測(cè)評(píng)方案并組建測(cè)評(píng)團(tuán)隊(duì)。-現(xiàn)場(chǎng)測(cè)評(píng)：進(jìn)行文檔審查、現(xiàn)場(chǎng)訪談、技術(shù)測(cè)試等。-報(bào)告編寫：撰寫測(cè)評(píng)報(bào)告并提出整改建議。-整改復(fù)查：驗(yàn)證整改效果并出具測(cè)評(píng)結(jié)論。2.等級(jí)保護(hù)測(cè)評(píng)中常見的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對(duì)措施常見風(fēng)險(xiǎn)點(diǎn)包括