2025年信息安全管理师考试试卷及答案

2025年信息安全管理师考试试卷及答案一、单项选择题（共20题，每题2分，共40分。每题只有一个正确选项）1.信息安全的核心三要素是？A.完整性、可用性、可控性B.机密性、完整性、可用性C.真实性、完整性、不可抵赖性D.机密性、可审计性、可用性答案：B2.根据ISO/IEC27001:2022标准，信息安全管理体系（ISMS）的PDCA循环中，“C”指的是？A.策划（Plan）B.实施（Do）C.检查（Check）D.改进（Act）答案：C3.以下哪项不属于风险评估的主要步骤？A.资产识别B.威胁分析C.漏洞扫描D.风险处置答案：C（风险评估步骤通常包括资产识别、威胁分析、脆弱性分析、风险计算，漏洞扫描是技术手段而非步骤）4.某企业将用户密码存储为SHA-256哈希值并附加随机盐值，这种措施主要保护的是？A.数据完整性B.数据机密性C.身份真实性D.抗抵赖性答案：B（防止明文密码泄露）5.依据《个人信息保护法》，处理敏感个人信息时，除一般同意外还需取得？A.书面同意B.单独同意C.口头同意D.默示同意答案：B6.以下哪种访问控制模型最适用于层级分明的组织架构（如军队）？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：B（MAC通过系统强制分配安全标签，适用于严格层级）7.某公司发现员工通过私人U盘拷贝机密文件，最有效的技术防范措施是？A.加强安全培训B.部署终端安全管理系统（EDR）限制USB存储设备使用C.增加监控摄像头D.签订保密协议答案：B（技术控制直接限制行为）8.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于？A.匿名化B.去标识化C.加密D.掩码答案：D（部分信息隐藏）9.以下哪项是ISO27001标准中“信息安全方针”的核心要求？A.明确信息安全目标和范围B.规定具体的技术控制措施C.列出所有信息资产清单D.定义应急响应的具体流程答案：A（方针是高层导向，非具体技术细节）10.网络钓鱼攻击的主要目的是？A.破坏系统可用性B.窃取敏感信息（如账号密码）C.传播恶意软件D.消耗网络带宽答案：B11.某企业采用“双因素认证（2FA）”，其中“因素”通常指？A.知识（如密码）、持有（如动态令牌）、固有（如指纹）中的两种B.用户名、密码、验证码C.内网IP、终端MAC地址、用户账号D.管理员审批、系统自动验证、人工复核答案：A12.依据《网络安全法》，关键信息基础设施的运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？A.1次B.2次C.3次D.4次答案：A13.以下哪种加密算法属于对称加密？A.RSAB.ECC（椭圆曲线加密）C.AESD.SHA-256答案：C（AES是对称加密，RSA、ECC是非对称，SHA是哈希算法）14.信息安全事件分级的主要依据不包括？A.事件影响范围B.事件持续时间C.事件造成的经济损失D.事件涉及的技术复杂度答案：D（分级依据通常为影响程度，非技术难度）15.某系统日志显示大量异常IP尝试登录，最可能的威胁是？A.DDoS攻击B.暴力破解C.数据泄露D.恶意代码感染答案：B（异常登录尝试通常为暴力破解）16.最小权限原则（PrincipleofLeastPrivilege）要求用户仅获得？A.完成工作所需的最低权限B.管理员权限的子集C.访问所有基础资源的权限D.临时权限而非长期权限答案：A17.以下哪项属于物理安全控制措施？A.防火墙策略配置B.机房门禁系统C.数据备份策略D.员工安全培训答案：B（物理安全涉及物理环境防护）18.在漏洞管理流程中，“漏洞修复验证”应在哪个阶段完成？A.漏洞发现B.漏洞评估C.漏洞修复D.漏洞关闭答案：D（验证通过后关闭漏洞）19.区块链技术的哪个特性最有利于提升数据完整性？A.去中心化B.共识机制C.不可篡改D.智能合约答案：C20.某企业需与第三方服务提供商签订数据处理协议，根据GDPR要求，协议中必须明确？A.数据处理的具体技术方案B.数据泄露时的责任划分C.第三方的员工背景调查要求D.数据存储的物理位置答案：B（GDPR要求明确责任）二、多项选择题（共10题，每题3分，共30分。每题有2个或以上正确选项，错选、漏选均不得分）21.信息安全管理体系（ISMS）的核心组成部分包括？A.信息安全方针与目标B.风险评估与处置C.法律法规合规性管理D.网络带宽优化答案：ABC（D属于网络性能管理，非ISMS核心）22.以下属于数据安全技术措施的有？A.数据加密传输B.访问控制列表（ACL）C.数据脱敏处理D.安全审计日志答案：ABCD（均为保护数据安全的技术手段）23.风险评估的常用方法包括？A.定性评估（如德尔菲法）B.定量评估（如LEC法）C.漏洞扫描D.渗透测试答案：AB（C、D是技术检测手段，非评估方法）24.依据《数据安全法》，数据处理者应履行的义务包括？A.建立数据安全管理制度B.开展数据安全风险评估C.对重要数据进行备份D.公开所有数据处理活动细节答案：ABC（D涉及隐私，无需全部公开）25.以下哪些是社会工程学攻击的常见手段？A.冒充IT部门索要用户密码B.发送含恶意链接的钓鱼邮件C.在办公区丢弃伪造的“机密文件”诱骗捡拾D.使用漏洞扫描工具探测系统弱点答案：ABC（D是技术攻击，非社会工程）26.访问控制的“三要素”包括？A.主体（如用户、进程）B.客体（如文件、数据库）C.控制策略（如允许/拒绝规则）D.认证方式（如密码、证书）答案：ABC（D是身份验证要素，非访问控制三要素）27.应急响应的主要阶段包括？A.准备（Preparation）B.检测与分析（Detection&Analysis）C.遏制（Containment）D.恢复与总结（Recovery&LessonsLearned）答案：ABCD（完整流程包含四阶段）28.以下哪些措施可提升移动终端（如手机、平板）的信息安全？A.启用设备加密（如Android的File-basedEncryption）B.安装企业移动设备管理（MDM）系统C.禁止安装未经验证的第三方应用D.关闭设备定位功能答案：ABC（D与信息安全无直接关联）29.云计算环境下的信息安全挑战包括？A.数据位置不确定性（跨区域存储）B.多租户隔离风险（资源共享导致的泄露）C.云服务商的安全责任边界模糊D.网络带宽限制答案：ABC（D是性能问题，非安全挑战）30.以下哪些属于ISO27001标准中的控制措施类别？A.安全策略B.人力资源安全C.物理和环境安全D.客户关系管理答案：ABC（D属于业务管理，非信息安全控制）三、判断题（共10题，每题1分，共10分。正确填“√”，错误填“×”）31.信息安全的“木桶效应”指系统的安全性由最弱的安全环节决定。（）答案：√32.哈希算法（如MD5、SHA）可以还原原始数据，因此属于加密算法。（）答案：×（哈希是单向函数，无法还原）33.定期变更管理员密码属于管理控制措施。（）答案：√（属于人员管理策略）34.数据泄露事件发生后，只需向公司高层报告，无需通知用户。（）答案：×（需按法规通知受影响用户）35.防火墙可以完全防止内部人员的恶意操作。（）答案：×（防火墙主要防护外部攻击，内部威胁需其他措施）36.数字签名的核心作用是确保数据的机密性。（）答案：×（数字签名主要用于身份验证和抗抵赖）37.零信任架构（ZeroTrust）的核心是“永不信任，始终验证”。（）答案：√38.漏洞扫描报告中“高危漏洞”必须在24小时内修复。（）答案：×（修复时间需结合风险评估，非强制24小时）39.员工离职时，只需收回工牌，无需注销其系统账号。（）答案：×（需及时注销账号以防止越权访问）40.物联网（IoT）设备的信息安全风险主要来自设备计算能力弱、固件更新困难。（）答案：√四、简答题（共5题，每题6分，共30分）41.简述ISO27001:2022中PDCA循环的具体内容及其在ISMS中的作用。答案：PDCA循环即策划（Plan）、实施（Do）、检查（Check）、改进（Act）。-策划（Plan）：确定信息安全方针、目标，进行风险评估并制定处置计划；-实施（Do）：落实风险处置措施，建立ISMS文件化体系，开展培训和意识教育；-检查（Check）：通过内部审核、管理评审、绩效测量等评估ISMS运行效果；-改进（Act）：针对检查发现的问题采取纠正措施，持续优化ISMS。作用：通过闭环管理确保ISMS的有效性和持续适应性，符合“持续改进”的管理原则。42.风险评估的主要步骤包括哪些？请简要说明每个步骤的关键活动。答案：风险评估步骤通常为：（1）资产识别：明确组织的信息资产（如数据、系统、设备）并赋值（保密性、完整性、可用性）；（2）威胁分析：识别可能威胁资产的事件（如黑客攻击、自然灾害）及其发生可能性；（3）脆弱性分析：评估资产存在的弱点（如系统漏洞、管理缺失）；（4）风险计算：结合威胁可能性、脆弱性可利用性、资产价值，计算风险等级（如高、中、低）；（5）风险评价：判断风险是否可接受，确定需优先处理的风险。43.访问控制的三种主要类型（DAC、MAC、RBAC）的区别是什么？答案：-自主访问控制（DAC）：由资产所有者（如文件创建者）自主设置访问权限（如读、写），灵活性高但易导致权限失控；-强制访问控制（MAC）：系统通过安全标签（如密级、类别）强制分配权限，适用于高安全等级场景（如政府、军队），严格但灵活性低；-基于角色的访问控制（RBAC）：根据用户角色（如“财务人员”“IT管理员”）分配权限，权限与职责绑定，便于大规模管理，是企业常用模式。44.数据安全生命周期管理包括哪些关键环节？每个环节的核心任务是什么？答案：数据安全生命周期分为：（1）数据产生：明确数据类型（如普通、敏感、重要），制定分类分级规则；（2）数据存储：选择安全存储介质（如加密硬盘、安全云存储），实施访问控制和备份策略；（3）数据传输：采用加密协议（如TLS1.3），验证传输双方身份，监控传输过程；（4）数据使用：限制访问权限（最小权限原则），记录使用日志，防止越权操作；（5）数据共享：与第三方签订安全协议，脱敏处理敏感数据，明确责任边界；（6）数据归档：标识归档数据的保留期限，确保归档介质的物理和逻辑安全；（7）数据销毁：采用安全销毁方法（如物理粉碎、逻辑擦除），验证销毁效果并记录。45.云环境下信息安全面临的主要挑战有哪些？请列举至少5项并简要说明。答案：云环境下的信息安全挑战包括：（1）数据主权与合规性：数据可能存储在多个国家/地区，需符合不同司法管辖区的法规（如GDPR、《数据安全法》）；（2）多租户隔离风险：共享云基础设施可能导致不同租户间的数据泄露（如通过侧信道攻击）；（3）云服务商安全责任不明确：需明确“客户责任边界”（如IaaS层中，云服务商负责物理安全，客户负责数据和应用安全）；（4）数据迁移风险：数据入云、出云过程中可能因传输漏洞或接口缺陷导致泄露；（5）API安全：云服务依赖API交互，API漏洞（如身份验证薄弱、输入验证缺失）可能导致未授权访问；（6）弹性计算带来的安全管理难度：动态扩展的云资源（如弹性虚拟机）可能因配置错误（如开放不必要的端口）引入风险。五、综合分析题（共2题，每题15分，共30分）46.某电商企业近期发生用户信息泄露事件，泄露数据包括10万条用户姓名、手机号、收货地址及部分支付密码（加密存储）。假设你是该企业的信息安全主管，请设计应急响应流程，并说明每个阶段的具体行动。答案：应急响应流程需遵循“准备-检测-遏制-恢复-总结”的逻辑，具体行动如下：（1）准备阶段（事前）：-已建立应急响应团队（IRT），包括技术、法律、公关成员；-制定《信息安全事件应急预案》，明确职责和流程；-定期开展应急演练（如模拟数据泄露场景）。（2）检测与分析阶段（事中）：-发现途径：日志监控系统报警（如数据库异常访问）、用户反馈收到诈骗短信；-初步分析：确认泄露数据范围（10万条）、泄露源（内部员工越权访问/外部攻击）、加密支付密码的安全性（需验证加密算法强度，如是否使用盐值、迭代次数）；-上报：立即向管理层汇报，启动应急预案。（3）遏制阶段（事中）：-技术遏制：关闭异常访问账号，修复数据库权限配置（如收回不必要的超级用户权限），临时冻结受影响用户的支付功能；-法律遏制：联系法务部门，评估是否触发《个人信息保护法》的72小时上报要求（若造成重大影响需向监管部门报告）；-外部沟通：暂不公开信息，避免引发恐慌。（4）恢复阶段（事后）：-数据恢复：对数据库进行全面扫描，确认无残留漏洞；重新加密存储支付密码（若原加密方式不安全，升级为更安全算法如AES-256）；-用户补救：通过短信、APP通知受影响用户修改密码，为高风险用户提供免费身份保护服务（如信用监控）；-系统加固：部署数据库审计系统，加强访问日志记录；对员工进行权限审计，实施最小权限原则。（5）总结阶段（事后）：-事件复盘：分析泄露根本原因（如员工权限过大、日志监控不足）；-改进措施：修订《访问控制策略》，增加多因素认证（2FA）；升级日志分析系统，实现异常行为实时预警；-报告提交：向管理层提交详细报告，包括损失评估（如用户流失、赔偿成本）、改进计划；-公开声明：在事件可控后，通过官方渠道如实说明情况，致歉并承诺加强安全措施，重建用户信任。47.某中小企业（员工200人，业务涉及电商平台运营）计划建立信息安全管理体系（ISMS）。假设你是咨询顾问，请设计实施方案，包括主要步骤、关键活动及预期成果。答案：中小企业ISMS实施方案需结合实际资源，遵循“规划-实施-认证-持续改进”路径，具体如下：（1）步骤1：启动与规划（1-2个月）-关键活动：-高层承诺：召开管理层会议，明确ISMS建设目标（如通过ISO27001认证、满足《数据安全法》要求）；-成立ISMS小组：由IT主管、法务、业务代表组成，指定管理者代表；-确定范围：界定ISMS覆盖的业务（如电商平台、用户数据、支付系统）和物理边界（总部机房、云服务器）；-资源预算：申请资金用于培训、工具（如漏洞扫描软件）、外部认证。-预期成果：《ISMS建设启动报告》《ISMS范围声明》。（2）步骤2：风险评估与处置（2-3个月）-关键活动：-资产清单编制：识别核心资产（用户数据库、交易系统、客户名单），完成《信息资产清单》；-风险评估：采用定性方法（如德尔菲法）评估风险（如数据库泄露、DDoS攻击、员工误操作），形成《风险评估报告》；-风险处置：对高风险项制定措施（如为数据库部署加密、购买DD