2024年12月信息安全管理体系考试真题及答案

2024年12月信息安全管理体系考试练习题及答案一、单项选择题（每题2分，共20题，合计40分）1.依据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的核心运行模式是？A.目标管理（MBO）B.戴明环（PDCA）C.敏捷开发（Agile）D.全面质量管理（TQM）2.以下哪项不属于信息安全风险评估的基本要素？A.资产（Asset）B.威胁（Threat）C.漏洞（Vulnerability）D.合规性（Compliance）3.ISO/IEC27001:2022中“信息安全方针”的制定责任主体是？A.信息安全管理员B.最高管理层C.IT部门负责人D.内部审核员4.某企业将客户个人信息存储于云端，需重点关注的ISO27001控制措施是？A.A.9.2访问控制策略B.A.11.2第三方服务交付管理C.A.12.1信息安全事件管理流程D.A.18.1合规性评估5.以下哪项是信息安全事件的“根本原因分析（RootCauseAnalysis）”的主要目的？A.统计事件数量B.确定责任归属C.防止事件再次发生D.向监管机构报告6.在ISO27001风险评估过程中，“残余风险”指的是？A.未被识别的风险B.已采取控制措施后剩余的风险C.超出企业风险承受能力的风险D.由第三方引入的风险7.信息安全管理体系（ISMS）文件中，“程序文件”的主要作用是？A.规定ISMS的总体目标和方向B.描述具体活动的操作步骤C.记录风险评估的详细过程D.展示内部审核的结果8.依据《个人信息保护法》，企业处理敏感个人信息时，除“告知同意”外，还需满足的额外条件是？A.取得个人单独同意B.进行匿名化处理C.向监管机构备案D.经第三方认证9.以下哪项属于“物理安全控制措施”？A.防火墙规则配置B.服务器机房门禁系统C.员工信息安全培训D.数据加密传输协议10.某企业计划通过ISO27001认证，其管理评审的输入不包括？A.内部审核报告B.客户投诉记录C.员工绩效评估结果D.法律法规变更情况11.在信息资产分类中，“客户通讯录”属于？A.硬件资产B.软件资产C.数据资产D.服务资产12.以下哪项是“风险接受”的合理场景？A.风险发生概率低且影响小，控制成本高于风险损失B.风险发生概率高但影响小，企业选择购买保险C.风险影响大但发生概率低，企业部署防火墙D.风险影响极大且发生概率高，企业终止相关业务13.ISO/IEC27005:2018主要规范的内容是？A.信息安全管理体系要求B.信息安全风险管理指南C.信息安全控制措施最佳实践D.信息安全审核与认证流程14.某企业发现员工通过个人邮箱传输公司机密文件，需优先实施的控制措施是？A.加强网络流量监控B.禁用个人邮箱访问公司系统C.开展员工信息安全意识培训D.部署邮件加密系统15.以下哪项不属于“信息安全管理体系持续改进”的证据？A.管理评审会议记录B.风险评估报告更新C.员工年度绩效考核表D.纠正措施实施记录16.依据ISO27001，“外部提供方”的信息安全管理应重点关注？A.外部提供方的员工背景调查B.外部提供方的服务合同中的安全条款C.外部提供方的办公场所物理安全D.外部提供方的信息系统架构17.信息安全事件分级的主要依据是？A.事件发生的时间B.事件涉及的人员数量C.事件对业务的影响程度D.事件的技术复杂度18.以下哪项是“最小权限原则”的具体应用？A.系统管理员拥有所有功能的访问权限B.普通员工仅能访问完成工作所需的最小数据C.所有员工使用同一账号登录内部系统D.临时访客可访问公司全部文档库19.某企业拟将用户数据存储于境外服务器，需首先完成的合规步骤是？A.进行数据出境安全评估B.与境外服务商签订保密协议C.对数据进行加密处理D.向员工告知数据存储位置20.ISO27001认证审核的“监督审核”通常每多久进行一次？A.3个月B.6个月C.12个月D.24个月二、多项选择题（每题3分，共10题，合计30分，多选、少选、错选均不得分）1.以下属于ISO/IEC27001:2022“范围”条款（Clause4）要求的内容有？A.确定ISMS覆盖的物理和逻辑边界B.明确组织的业务环境与相关方需求C.定义信息安全方针的具体目标D.识别影响信息安全的内外部因素2.信息安全风险评估的主要步骤包括？A.资产识别与赋值B.威胁与漏洞分析C.风险计算与评价D.风险处理计划制定3.依据《网络安全法》，关键信息基础设施运营者需履行的义务包括？A.定期进行网络安全检测和风险评估B.优先采购国内品牌的网络产品C.对重要系统和数据库进行容灾备份D.在境内存储收集的个人信息4.以下属于“人员安全控制措施”的有？A.新员工入职前背景调查B.离职员工账号权限及时注销C.服务器机房安装监控摄像头D.定期开展信息安全意识培训5.ISO27001管理评审的输出应包括？A.ISMS改进的决策与措施B.资源需求的调整C.信息安全方针的修订D.内部审核计划的变更6.以下哪些场景需要进行信息安全影响评估（ISIA）？A.部署新的客户关系管理系统（CRM）B.开展员工年度信息安全培训C.与第三方签订数据共享协议D.迁移核心业务系统至云端7.信息安全事件报告的内容应包括？A.事件发生的时间、地点B.事件涉及的资产与影响范围C.已采取的临时处置措施D.事件责任人的处罚决定8.以下属于“技术类信息安全控制措施”的有？A.访问控制列表（ACL）配置B.数据加密算法选择C.员工信息安全责任书签署D.防火墙日志审计9.依据ISO27001，“信息安全目标”的制定应满足？A.与信息安全方针一致B.可测量或可评价C.考虑相关方需求D.仅由IT部门负责实施10.以下哪些情况可能导致ISMS不符合项？A.未按计划进行内部审核B.风险评估报告未更新超过1年C.员工未签署信息安全保密协议D.服务器密码策略符合行业标准三、判断题（每题1分，共10题，合计10分，正确填“√”，错误填“×”）1.信息安全管理体系（ISMS）仅适用于IT部门，与其他业务部门无关。（）2.风险评估的频率应根据组织的风险水平和业务变化调整，并非固定每年一次。（）3.信息安全方针只需由最高管理层批准，无需传达给全体员工。（）4.数据备份属于“预防类”控制措施，而非“恢复类”。（）5.第三方服务提供商的信息安全责任可通过合同完全转移给对方，企业无需监督。（）6.信息安全事件发生后，应优先修复系统，再记录事件细节。（）7.资产赋值时，除考虑经济价值外，还需考虑法律、声誉等非经济价值。（）8.ISO27001认证后，企业无需再进行管理评审。（）9.员工信息安全意识培训的内容应根据岗位风险差异定制，而非“一刀切”。（）10.残余风险必须为零，否则ISMS无法通过认证。（）四、简答题（每题5分，共4题，合计20分）1.简述ISO/IEC27001:2022中“PDCA循环”在ISMS中的具体应用。2.说明“风险评估”与“风险处理”的区别，并列举三种常见的风险处理方式。3.列举《个人信息保护法》中企业处理个人信息需遵守的五项基本原则。4.某企业计划将核心业务系统迁移至云服务提供商（CSP），请从信息安全角度提出至少五项关键控制措施。五、案例分析题（20分）背景：某互联网金融企业（以下简称“A公司”）主要提供网络借贷信息中介服务，存储大量用户身份信息、银行账户信息及借贷交易记录。2024年10月，A公司发现用户数据库出现异常访问记录，经核查，某离职员工通过未及时注销的账号登录系统，下载了5000条用户敏感信息并出售给第三方。事件导致部分用户遭遇诈骗，引发大规模投诉，监管部门介入调查。要求：结合ISO/IEC27001:2022及相关法律法规，分析以下问题：（1）指出A公司在信息安全管理中存在的至少四项漏洞。（8分）（2）针对上述漏洞，提出具体的纠正与预防措施。（12分）参考答案一、单项选择题1.B2.D3.B4.B5.C6.B7.B8.A9.B10.C11.C12.A13.B14.C15.C16.B17.C18.B19.A20.C二、多项选择题1.ABD2.ABCD3.ACD4.ABD5.ABC6.ACD7.ABC8.ABD9.ABC10.ABC三、判断题1.×2.√3.×4.×5.×6.×7.√8.×9.√10.×四、简答题1.PDCA循环应用：策划（Plan）：确定信息安全方针、目标，开展风险评估并制定控制措施；实施（Do）：部署控制措施，执行培训、运行维护等活动；检查（Check）：通过内部审核、管理评审、事件监控等验证ISMS有效性；改进（Act）：针对不符合项采取纠正措施，持续优化ISMS。2.风险评估与处理区别：风险评估是识别、分析和评价风险的过程；风险处理是选择并实施控制措施以降低风险的过程。常见处理方式：风险规避（终止相关活动）、风险降低（实施控制措施）、风险转移（购买保险）、风险接受（明确残余风险）。3.《个人信息保护法》基本原则：合法正当必要原则、最小必要原则、公开透明原则、目的明确原则、信息主体同意原则（或：责任明确原则、安全保障原则）。4.云迁移关键控制措施：选择通过ISO27001/云安全联盟（CSA）认证的CSP；在服务合同中明确数据所有权、责任划分、数据泄露响应要求；对敏感数据进行加密存储和传输（如AES256加密）；实施细粒度访问控制（如基于角色的访问控制RBAC）；定期审计CSP的安全日志与控制措施有效性；制定数据跨境传输的合规方案（如通过数据出境安全评估）。五、案例分析题（1）存在的漏洞：①人员安全管理缺失：离职员工账号未及时注销（违反ISO27001A.8.2.2离职流程）；②访问控制失效：未对离职员工账号实施自动权限回收（违反A.9.2.3访问权限管理）；③事件监控不足：未及时发现异常访问记录（违反A.12.4事件监控与升级）；④数据安全保护薄弱：用户敏感信息未加密存储（违反A.10.1.1加密控制）；⑤合规意识不足：未履行《个人信息保护法》中“采取必要措施保障个人信息安全”的义务。（2）纠正与预防措施：①立即纠正：紧急注销涉事账号，全面核查所有离职员工账号状态；对泄露的用户信息进行加密替换，通知用户修改密码并警惕诈骗；向监管部门提交事件报告，配合调查。②预防措施：完善人员安全流程：实施离职“权限注销清单”制度，系统自动回收账号权限（A