2026年信息技術(shù)風(fēng)險(xiǎn)評(píng)估師CRIT備考習(xí)題一、單選題（每題2分，共10題）1.在信息技術(shù)風(fēng)險(xiǎn)評(píng)估中，以下哪項(xiàng)屬于定性風(fēng)險(xiǎn)評(píng)估方法？A.概率-影響矩陣法B.蒙特卡洛模擬法C.貝葉斯網(wǎng)絡(luò)法D.敏感性分析法答案：A2.根據(jù)中國(guó)《網(wǎng)絡(luò)安全法》，以下哪項(xiàng)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的安全義務(wù)？A.建立網(wǎng)絡(luò)安全等級(jí)保護(hù)制度B.定期進(jìn)行風(fēng)險(xiǎn)評(píng)估C.對(duì)從業(yè)人員進(jìn)行安全培訓(xùn)D.主動(dòng)向公眾公開(kāi)所有技術(shù)細(xì)節(jié)答案：D3.在風(fēng)險(xiǎn)評(píng)估中，"可能性"通常用以下哪種方式表示？A.絕對(duì)概率（如0-1）B.定性描述（如高、中、低）C.財(cái)務(wù)金額D.工作量（如人時(shí)）答案：B4.以下哪項(xiàng)是中國(guó)《數(shù)據(jù)安全法》中明確要求的數(shù)據(jù)分類分級(jí)措施？A.所有數(shù)據(jù)必須加密存儲(chǔ)B.按業(yè)務(wù)敏感度進(jìn)行分級(jí)C.僅對(duì)政府?dāng)?shù)據(jù)強(qiáng)制分級(jí)D.數(shù)據(jù)分類需符合國(guó)際標(biāo)準(zhǔn)答案：B5.在ISO27005風(fēng)險(xiǎn)評(píng)估框架中，"威脅情報(bào)"主要指：A.內(nèi)部員工操作記錄B.公開(kāi)披露的攻擊手法C.系統(tǒng)日志分析D.安全設(shè)備告警信息答案：B6.根據(jù)中國(guó)《個(gè)人信息保護(hù)法》，以下哪項(xiàng)屬于敏感個(gè)人信息的處理要求？A.可公開(kāi)披露于社交媒體B.需取得個(gè)人明確同意C.可委托第三方處理D.處理后無(wú)需刪除記錄答案：B7.在風(fēng)險(xiǎn)評(píng)估中，"脆弱性"通常與以下哪項(xiàng)直接相關(guān)？A.業(yè)務(wù)依賴性B.技術(shù)漏洞C.組織架構(gòu)D.法律合規(guī)要求答案：B8.以下哪項(xiàng)是中國(guó)《密碼法》中強(qiáng)調(diào)的密碼應(yīng)用基本要求？A.必須使用國(guó)外廠商產(chǎn)品B.根據(jù)重要性分級(jí)管理C.所有密碼必須一次性更換D.密碼強(qiáng)度需符合國(guó)際標(biāo)準(zhǔn)答案：B9.在風(fēng)險(xiǎn)評(píng)估中，"資產(chǎn)價(jià)值"通常用以下方式評(píng)估？A.市場(chǎng)交易價(jià)格B.業(yè)務(wù)中斷損失金額C.賬面凈值D.供應(yīng)商報(bào)價(jià)答案：B10.根據(jù)中國(guó)《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》，以下哪級(jí)系統(tǒng)需滿足最高安全要求？A.等級(jí)三級(jí)B.等級(jí)四級(jí)C.等級(jí)五級(jí)D.等級(jí)六級(jí)答案：C二、多選題（每題3分，共5題）1.在中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估中，以下哪些屬于常見(jiàn)的數(shù)據(jù)威脅？A.數(shù)據(jù)泄露B.數(shù)據(jù)篡改C.數(shù)據(jù)丟失D.數(shù)據(jù)濫用E.數(shù)據(jù)污染答案：A、B、C、D2.根據(jù)ISO27005，以下哪些因素屬于風(fēng)險(xiǎn)評(píng)估中的威脅來(lái)源？A.黑客攻擊B.自然災(zāi)害C.內(nèi)部人員惡意行為D.設(shè)備故障E.軟件漏洞答案：A、C、E3.在中國(guó)《數(shù)據(jù)安全法》中，以下哪些屬于數(shù)據(jù)處理活動(dòng)的基本要求？A.明確處理目的B.保障數(shù)據(jù)安全C.獲取合法授權(quán)D.實(shí)施數(shù)據(jù)分類E.定期進(jìn)行審計(jì)答案：A、B、C、D、E4.在風(fēng)險(xiǎn)評(píng)估中，以下哪些屬于常見(jiàn)的資產(chǎn)類型？A.硬件設(shè)備B.軟件系統(tǒng)C.數(shù)據(jù)資源D.業(yè)務(wù)流程E.人員技能答案：A、B、C、D、E5.根據(jù)中國(guó)《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》，以下哪些屬于等級(jí)保護(hù)測(cè)評(píng)的基本內(nèi)容？A.安全策略符合性B.技術(shù)措施有效性C.數(shù)據(jù)備份完整性D.應(yīng)急響應(yīng)能力E.人員安全意識(shí)答案：A、B、C、D、E三、判斷題（每題1分，共10題）1.風(fēng)險(xiǎn)評(píng)估必須完全基于客觀數(shù)據(jù)，不能使用定性方法。（×）2.中國(guó)《密碼法》要求所有信息系統(tǒng)必須使用國(guó)密算法。（√）3.風(fēng)險(xiǎn)發(fā)生的可能性通常用0-1之間的數(shù)值表示。（×）4.敏感個(gè)人信息處理需符合《個(gè)人信息保護(hù)法》的嚴(yán)格規(guī)定。（√）5.風(fēng)險(xiǎn)評(píng)估結(jié)果只能用于技術(shù)整改。（×）6.ISO27005與中國(guó)的《信息安全風(fēng)險(xiǎn)評(píng)估指南》內(nèi)容完全一致。（×）7.數(shù)據(jù)分類分級(jí)的主要目的是為了便于備份。（×）8.風(fēng)險(xiǎn)處置措施只能選擇技術(shù)手段。（×）9.中國(guó)《網(wǎng)絡(luò)安全法》要求所有企業(yè)必須建立風(fēng)險(xiǎn)評(píng)估制度。（×）10.風(fēng)險(xiǎn)評(píng)估中的"影響"主要指經(jīng)濟(jì)損失。（×）答案：1.×；2.√；3.×；4.√；5.×；6.×；7.×；8.×；9.×；10.×四、簡(jiǎn)答題（每題5分，共4題）1.簡(jiǎn)述中國(guó)《網(wǎng)絡(luò)安全法》中關(guān)于風(fēng)險(xiǎn)評(píng)估的主要規(guī)定。答：中國(guó)《網(wǎng)絡(luò)安全法》第21條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)違法犯罪活動(dòng)。第23條要求網(wǎng)絡(luò)運(yùn)營(yíng)者在收集、使用個(gè)人信息時(shí)，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，并明確告知個(gè)人信息處理規(guī)則。第28條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的要求進(jìn)行安全檢查。此外，第34條明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)個(gè)人信息進(jìn)行分類管理，采取加密、去標(biāo)識(shí)化等安全技術(shù)措施，并制定并組織實(shí)施應(yīng)急預(yù)案。這些規(guī)定均要求網(wǎng)絡(luò)運(yùn)營(yíng)者定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別和處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。2.解釋ISO27005風(fēng)險(xiǎn)評(píng)估框架中的"威脅"和"脆弱性"概念。答：在ISO27005框架中，"威脅"是指可能導(dǎo)致組織信息系統(tǒng)資產(chǎn)遭受損害或丟失的不利事件，如黑客攻擊、病毒感染、自然災(zāi)害等。威脅通常具有發(fā)生概率和潛在影響兩個(gè)維度。"脆弱性"是指信息系統(tǒng)資產(chǎn)中存在的弱點(diǎn)或缺陷，可能被威脅利用，導(dǎo)致安全事件發(fā)生，如軟件漏洞、配置錯(cuò)誤、訪問(wèn)控制缺失等。威脅和脆弱性共同作用時(shí)，才會(huì)形成實(shí)際的安全風(fēng)險(xiǎn)。3.根據(jù)中國(guó)《數(shù)據(jù)安全法》，數(shù)據(jù)處理活動(dòng)需滿足哪些基本要求？答：根據(jù)中國(guó)《數(shù)據(jù)安全法》，數(shù)據(jù)處理活動(dòng)需滿足以下基本要求：①合法合規(guī)，即數(shù)據(jù)處理需有法律、行政法規(guī)、部門(mén)規(guī)章等依據(jù)；②目的明確，即數(shù)據(jù)處理需具有明確、合理的目的；③最小化原則，即僅收集和處理實(shí)現(xiàn)目的所必需的數(shù)據(jù)；④確保安全，采取加密、去標(biāo)識(shí)化等技術(shù)措施保障數(shù)據(jù)安全；⑤透明公開(kāi)，明確告知數(shù)據(jù)處理的規(guī)則和方式；⑥數(shù)據(jù)質(zhì)量，確保數(shù)據(jù)真實(shí)、準(zhǔn)確、完整；⑦定期審計(jì)，對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行定期檢查和評(píng)估。4.簡(jiǎn)述風(fēng)險(xiǎn)評(píng)估中"風(fēng)險(xiǎn)處置"的常用措施。答：風(fēng)險(xiǎn)處置是指根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，采取的降低、轉(zhuǎn)移或接受風(fēng)險(xiǎn)的方法，常用措施包括：①風(fēng)險(xiǎn)規(guī)避，通過(guò)停止相關(guān)活動(dòng)消除風(fēng)險(xiǎn)；②風(fēng)險(xiǎn)降低，通過(guò)技術(shù)或管理措施降低風(fēng)險(xiǎn)發(fā)生的可能性或影響；③風(fēng)險(xiǎn)轉(zhuǎn)移，通過(guò)保險(xiǎn)或外包等方式將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方；④風(fēng)險(xiǎn)接受，在風(fēng)險(xiǎn)影響較小時(shí)，通過(guò)持續(xù)監(jiān)控接受風(fēng)險(xiǎn)。實(shí)際操作中，通常采用組合措施，如對(duì)高風(fēng)險(xiǎn)項(xiàng)采用降低+轉(zhuǎn)移，對(duì)低風(fēng)險(xiǎn)項(xiàng)采用接受。五、案例分析題（每題10分，共2題）1.某中國(guó)金融機(jī)構(gòu)需評(píng)估其核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄露風(fēng)險(xiǎn)。系統(tǒng)存儲(chǔ)客戶敏感信息（如身份證號(hào)、銀行卡號(hào)），采用加密存儲(chǔ)，但存在部分接口未授權(quán)訪問(wèn)的漏洞。假設(shè)風(fēng)險(xiǎn)發(fā)生可能導(dǎo)致客戶投訴增加（影響值5）、監(jiān)管處罰（影響值8）、品牌聲譽(yù)受損（影響值7）。威脅是黑客利用漏洞攻擊（可能性值6）。請(qǐng)?jiān)u估該風(fēng)險(xiǎn)等級(jí)并給出處置建議。答：①計(jì)算風(fēng)險(xiǎn)值：風(fēng)險(xiǎn)值=可能性×影響=6×（5+8+7）=93。②根據(jù)中國(guó)《信息安全風(fēng)險(xiǎn)評(píng)估指南》，風(fēng)險(xiǎn)值≥80屬于高等級(jí)風(fēng)險(xiǎn)。③處置建議：-降低措施：立即修復(fù)接口漏洞，加強(qiáng)訪問(wèn)控制；-轉(zhuǎn)移措施：購(gòu)買(mǎi)數(shù)據(jù)泄露保險(xiǎn)；-監(jiān)控措施：部署入侵檢測(cè)系統(tǒng)，加強(qiáng)日志審計(jì)；-教育措施：對(duì)開(kāi)發(fā)人員進(jìn)行安全培訓(xùn)。2.某中國(guó)制造業(yè)企業(yè)需評(píng)估其ERP系統(tǒng)的停機(jī)風(fēng)險(xiǎn)。系統(tǒng)支撐生產(chǎn)計(jì)劃、庫(kù)存管理、財(cái)務(wù)核算等業(yè)務(wù)，但備份數(shù)據(jù)恢復(fù)時(shí)間較長(zhǎng)（RTO=12小時(shí)）。假設(shè)停機(jī)可能導(dǎo)致生產(chǎn)線停工（影響值6）、庫(kù)存積壓（影響值5）、財(cái)務(wù)延遲結(jié)算（影響值4）。威脅是硬件故障（可能性值5）。請(qǐng)?jiān)u估該風(fēng)險(xiǎn)等級(jí)并給出處置建議。答：①計(jì)算風(fēng)險(xiǎn)值：風(fēng)險(xiǎn)值=可能性×影響=5×（6+5+4）=75。根據(jù)標(biāo)準(zhǔn)，風(fēng)險(xiǎn)值61-90屬于