东软信息安全体系文件考试标准答案

东软信息安全体系文件考试标准答案一、单项选择题（每题2分，共20分）1.东软信息安全体系文件中，明确规定“信息资产分类应基于保密性、完整性、可用性三要素进行赋值”的具体依据是：A.《东软信息安全管理手册》B.《东软信息资产分类与管理程序》C.《东软风险评估操作指南》D.《东软安全事件响应规程》答案：B解析：《东软信息资产分类与管理程序》第3.2条明确规定，资产分类需结合CIA（保密性、完整性、可用性）三要素进行量化赋值，是资产分级的直接依据。2.东软信息安全组织架构中，负责审批年度安全策略与预算的最高决策机构是：A.信息安全管理委员会（ISMC）B.信息安全部（ISD）C.各业务单元安全联络人D.首席信息安全官（CISO）答案：A解析：根据《东软信息安全组织与职责规范》第2.1条，ISMC由公司高管组成，是安全策略的最高决策机构，负责审批年度计划、预算及重大安全策略调整。3.东软风险评估流程中，“残余风险接受”需经哪一层级审批？A.信息安全部负责人B.业务部门负责人C.信息安全管理委员会D.首席信息官（CIO）答案：C解析：《东软风险评估管理程序》第4.5.3款规定，残余风险若超出可接受阈值，需提交ISMC审批，确保风险接受决策的高层背书。4.东软终端安全管理中，强制要求“所有办公终端需安装统一端点防护软件（EPP）”的依据是：A.《东软网络安全技术规范》B.《东软终端安全基线标准》C.《东软数据加密管理办法》D.《东软访问控制实施细则》答案：B解析：《东软终端安全基线标准》第5.1条明确要求，所有接入企业网络的终端必须安装经认证的EPP软件，实现病毒防护、漏洞扫描及进程监控。5.东软数据脱敏的核心原则是：A.最小必要原则B.完全匿名化原则C.可逆还原原则D.数据完整性优先原则答案：A解析：《东软数据安全管理规程》第6.2条规定，脱敏需遵循“最小必要”原则，仅对超出使用需求的敏感字段（如身份证号、银行卡号）进行替换或掩码，保留业务必需的信息颗粒度。6.东软安全事件分级中，“导致核心业务中断超过4小时，影响用户超过10万人”属于：A.一级事件（重大）B.二级事件（较大）C.三级事件（一般）D.四级事件（轻微）答案：A解析：《东软安全事件分级与响应指南》附录A定义，一级事件需满足“核心业务中断≥4小时”或“受影响用户≥10万”任一条件，需启动最高级别响应。7.东软员工离岗安全管理中，“账户权限回收”的完成时限是：A.离岗当日下班前B.离岗后3个工作日内C.离岗后5个工作日内D.离岗后10个工作日内答案：A解析：《东软人员安全管理程序》第7.3.2条规定，人力资源部需在员工离岗当日17:00前，协同信息安全部完成所有系统账户、物理门禁权限的回收与验证。8.东软第三方安全合规审查中，“数据处理者”需额外提交的证明文件是：A.ISO27001认证证书B.个人信息保护影响评估（PIA）报告C.网络安全等级保护备案证明D.业务连续性计划（BCP）答案：B解析：《东软第三方合作安全管理办法》第4.2.3款要求，涉及个人信息处理的第三方需提供PIA报告，证明其数据处理活动符合《个人信息保护法》及东软内部要求。9.东软安全审计的频率要求中，“核心生产系统日志保留期”为：A.3个月B.6个月C.12个月D.24个月答案：C解析：《东软安全审计管理规范》第3.4条规定，核心生产系统（如客户信息系统、财务系统）的操作日志、访问日志需至少保留12个月，非核心系统保留6个月。10.东软密码策略中，“管理员账户密码最小长度”是：A.8位B.10位C.12位D.16位答案：C解析：《东软身份与访问管理（IAM）实施细则》第5.2.1条规定，管理员账户密码需包含大小写字母、数字及特殊符号，最小长度为12位，普通用户为8位。二、填空题（每题2分，共20分）1.东软信息安全体系文件的三级架构包括：管理手册、程序文件、操作文档。2.信息安全方针的发布需经信息安全管理委员会（ISMC）审批，并通过全员培训与内部公告平台向全体员工传达。3.东软风险评估采用定性与定量结合的方法，其中定量评估的核心指标是资产价值×威胁可能性×脆弱性严重度。4.网络边界安全控制中，东软要求所有外部接入必须通过虚拟专用网络（VPN），且VPN连接需启用双因素认证（2FA）。5.数据分类中，“客户身份证号”属于最高级（S级）数据，“内部会议纪要”属于机密级（C级）数据，“公开招聘信息”属于公开级（P级）数据。6.安全事件响应流程包括：准备、检测与分析、抑制、根除与恢复、总结与改进五个阶段。7.员工安全培训分为新员工入职培训、年度常规培训、特定岗位专项培训三类，其中新员工培训课时不得少于8学时。8.东软采用基于角色的访问控制（RBAC）模型，权限分配需遵循最小权限原则，并每6个月进行一次权限审计。9.物理安全控制中，机房门禁需采用生物识别（如指纹/人脸识别）+密码的双重认证，且访问记录保留至少2年。10.加密管理中，东软要求传输层敏感数据（如支付信息）必须使用TLS1.3及以上协议，存储层数据库加密采用AES256算法。三、简答题（每题8分，共40分）1.简述东软信息安全体系文件的三级架构及各层级的作用。答案：东软信息安全体系文件采用三级分层架构，具体如下：（1）一级文件：《信息安全管理手册》（ISMS手册）。作用：阐明信息安全方针、目标及体系范围，明确高层承诺，是体系的纲领性文件，需经ISMC审批发布。（2）二级文件：程序文件（如《风险评估管理程序》《事件响应规程》《访问控制程序》等）。作用：规定各安全管理流程的具体步骤、责任部门及控制要求，是一级文件的细化，确保流程可执行、可追溯。（3）三级文件：操作文档（如《防火墙配置指南》《日志审计操作手册》《数据脱敏脚本规范》等）。作用：提供具体技术或操作的实施细节，指导一线人员执行安全控制措施，是二级程序的落地工具。2.说明东软风险评估的完整流程，并列举关键输出文档。答案：东软风险评估流程分为五个阶段：（1）准备阶段：明确评估范围、目标及团队，制定评估计划（输出《风险评估计划表》）。（2）资产识别：梳理信息资产（硬件、软件、数据等），完成《资产清单》并赋值（CIA三要素评分）。（3）威胁与脆弱性分析：识别潜在威胁（如恶意软件、人为失误）及资产脆弱性（如未修复漏洞），输出《威胁列表》《脆弱性列表》。（4）风险计算：结合资产价值、威胁可能性、脆弱性严重度，计算风险值（定量：资产价值×威胁×脆弱性；定性：高/中/低），形成《风险评估报告》。（5）风险处理：制定风险应对措施（规避、降低、转移、接受），输出《风险处理计划》，残余风险需经ISMC审批。3.东软终端安全管理的核心控制措施有哪些？请至少列举5项。答案：东软终端安全管理的核心控制措施包括：（1）基线合规：所有终端需符合《终端安全基线标准》，强制安装EPP软件（端点防护）、禁用默认管理员账户、开启自动更新。（2）移动设备管理（MDM）：对BYOD（自带设备）实施严格管控，仅允许接入经批准的应用，敏感数据通过沙箱隔离。（3）外设管控：禁止未经审批的USB存储设备接入，关键岗位终端需禁用USB接口（或启用白名单）。（4）进程监控：EPP软件实时监控异常进程（如未签名程序、高频网络连接），触发阻断或告警。（5）补丁管理：建立漏洞扫描补丁测试批量部署流程，关键系统漏洞需在72小时内修复（高危漏洞24小时）。4.东软安全事件响应中，“抑制阶段”的主要任务是什么？请结合具体场景说明。答案：抑制阶段的核心任务是阻止事件扩散、减少损失，分为短期抑制与长期抑制：（1）短期抑制：针对正在发生的事件，采取快速隔离措施。例如，某员工终端感染勒索病毒，需立即断开其网络连接（拔网线/禁用无线），防止病毒横向传播至其他终端。（2）长期抑制：消除事件根源，防止再次发生。例如，若勒索病毒通过未修复的Windows漏洞入侵，需在隔离后立即为全网终端安装漏洞补丁，并启用自动更新机制。以“数据泄露事件”为例：发现某服务器日志显示敏感数据被下载至外部IP后，短期抑制需封禁该IP的访问权限、冻结涉事账户；长期抑制需检查服务器权限配置（是否存在越权访问）、升级访问控制策略（如启用最小权限），并对相关人员进行安全培训。5.东软第三方安全管理的关键环节有哪些？请从合规审查、合同条款、持续监控三方面说明。答案：（1）合规审查：第三方合作前需完成安全尽调，要求提供ISO27001认证、等保备案（若涉及国内业务）、PIA报告（若处理个人信息），并评估其安全管理体系与东软要求的匹配度。（2）合同条款：在合作协议中明确安全责任，包括数据处理范围（最小必要原则）、加密要求（传输/存储需AES256）、事件报告时限（发现安全事件后2小时内通知东软）、违约赔偿（如因第三方原因导致数据泄露，需承担损失赔偿）。（3）持续监控：合作期间每季度进行安全检查（如远程日志审计、现场访谈），每年开展一次第三方安全审计（由东软或第三方独立机构执行），发现问题需限期整改（一般为30个工作日），未整改则终止合作。四、案例分析题（20分）背景：东软某研发中心员工张某（后端开发工程师）因个人原因提出离职，人力资源部于2023年10月10日确认其最后工作日为10月15日。10月16日，安全监控系统发现张某账号于凌晨2:00登录公司代码仓库，下载了某核心项目的源代码（属于S级数据）。问题：1.张某离岗过程中，东软相关部门存在哪些安全管理漏洞？（8分）2.针对此事件，应如何启动安全事件响应？请列出具体步骤。（12分）答案：1.存在的安全管理漏洞：（1）权限回收不及时：根据《人员安全管理程序》，离岗员工账户应于最后工作日下班前（10月15日17:00前）完成回收，但张某账号在10月16日仍可登录，说明权限回收流程未执行或验证缺失。（2）未启用离岗访问监控：对已离职员工的账号，应在回收后立即标记为“离职状态”，并配置异常登录告警（如非工作时间登录），但系统未及时触发告警。（3）代码仓库访问审计缺失：核心代码仓库（S级数据）的访问日志应实时监控，但事件发生后才被发现，说明审计机制未覆盖夜间时段或监控规则配置不严格。2.安全事件响应步骤：（1）准备阶段（01小时）：安全事件响应团队（SIRT）接报后，立即确认事件真实性（验证张某是否已离职、账号登录IP及时间）。启动一级事件响应流程（因涉及S级数据泄露），通知ISMC、法务部、研发部负责人。（2）检测与分析（13小时）：提取代码仓库日志，追溯张某下载的文件内容、数量及流向（是否传输至外部存储）。检查张某终端（若未回收）是否存在拷贝痕迹，通过EPP软件获取终端操作记录。分析数据泄露风险：源代码是否包含关键算法、客户信息，评估对公司或客户的潜在影响。（3）抑制阶段（36小时）：立即禁用张某账号（若未回收），封禁其登录IP（如有外部IP）。隔离代码仓库所在服务器，限制其他开发人员的写权限（防止二次泄露）。联系张某本人（或通过法律途径）要求归还或删除下载的源代码，若拒绝则启动法律程序。（4）根除与恢复（624小时）：审查权限管理流程，确认离岗账户回收的责任部门（HR与ISD）是否存在协作漏洞，修复权限自动回收系统（如与HR系统集成，离职流程完成后自动禁用账号）。对代码仓库进行安全加固：启用多因素认证（2FA）、限制离职员工账