信息安全总监岗位招聘考试试卷及答案

信息安全总监岗位招聘考试试卷及答案一、填空题（共10题，每题1分，共10分）1.ISO27001标准的核心是通过______管理信息安全风险。2.网络安全等级保护2.0将安全保护等级分为______个级别。3.属于对称加密算法的是______（举例1个即可）。4.按工作模式划分，防火墙可分为包过滤、应用层网关和______防火墙。5.DDoS攻击的核心目标是______目标系统的正常服务。6.常用漏洞扫描工具包括Nessus、______（举例1个即可）。7.数据分类中，“核心涉密数据”属于______级数据。8.应急响应流程的第一步是______。9.软件安全开发生命周期（SDL）的核心是将______融入开发全流程。10.零信任架构的核心原则是“______”。二、单项选择题（共10题，每题2分，共20分）1.等保2.0定级依据不包括？A.系统重要性B.业务影响C.系统规模D.安全需求2.能检测应用层攻击（如SQL注入）的是？A.包过滤防火墙B.应用层网关C.状态检测D.下一代防火墙（NGFW）3.非对称加密算法是？A.AESB.RSAC.3DESD.DES4.“远程未授权获取核心数据”的漏洞属于？A.高危B.中危C.低危D.信息泄露5.“消除攻击源”属于应急响应的哪个阶段？A.抑制B.根除C.恢复D.总结6.SDL中“威胁建模”通常在哪个阶段？A.需求分析B.设计C.开发D.测试7.零信任核心组件不包括？A.身份验证B.最小权限C.边界防火墙D.持续验证8.数据备份“3-2-1”原则指？A.3份备份、2种介质、1份异地B.3种介质、2份备份、1份异地C.3份异地、2种介质、1份本地D.3份备份、2份异地、1种介质9.被动式安全防护是？A.IDSB.IPSC.防火墙D.杀毒软件10.针对支付卡数据安全的标准是？A.GDPRB.PCIDSSC.ISO27001D.HIPAA三、多项选择题（共10题，每题2分，共20分）1.ISMS核心要素包括？A.风险评估B.控制措施C.持续改进D.人员培训2.等保2.0“安全通信网络”控制点包括？A.保密性B.完整性C.可控性D.不可抵赖性3.常见网络威胁包括？A.勒索病毒B.DDoSC.SQL注入D.钓鱼4.密码技术应用场景包括？A.数据加密B.数字签名C.身份认证D.访问控制5.应急响应步骤包括？A.事件确认B.抑制蔓延C.根除攻击源D.恢复业务6.SDL主要阶段包括？A.需求分析B.设计C.开发D.测试发布7.零信任关键原则包括？A.最小权限B.持续验证C.假设breachD.上下文访问8.数据安全防护措施包括？A.加密B.脱敏C.访问控制D.备份9.安全评估方法包括？A.漏洞扫描B.渗透测试C.风险评估D.合规审计10.合规性要求包括？A.GDPRB.PCIDSSC.HIPAAD.等保2.0四、判断题（共10题，每题2分，共20分）1.等保2.0是所有企业强制要求。（）2.防火墙能完全阻止所有攻击。（）3.漏洞扫描工具可直接利用漏洞攻击。（）4.备份越多安全效果越好。（）5.零信任不需要边界防护。（）6.SDL仅关注开发阶段安全。（）7.GDPR仅适用于欧盟企业。（）8.应急响应无需提前演练。（）9.数据加密后不会泄露。（）10.信息安全是IT部门责任。（）五、简答题（共4题，每题5分，共20分）1.简述ISMS建立步骤。2.等保2.0“安全物理环境”核心控制点有哪些？3.简述应急响应基本流程。4.零信任架构核心原则是什么？六、讨论题（共2题，每题5分，共10分）1.作为信息安全总监，如何平衡业务发展与安全防护？2.面对新型勒索病毒，应制定哪些防护和应急策略？---答案部分一、填空题答案1.风险评估与控制2.53.AES（或DES、3DES）4.状态检测5.阻断6.OpenVAS（或AWVS）7.最高（或绝密）8.事件监测与确认9.安全要求10.永不信任，始终验证二、单项选择题答案1.C2.D3.B4.A5.B6.B7.C8.A9.A10.B三、多项选择题答案1.ABCD2.ABCD3.ABCD4.ABCD5.ABCD6.ABCD7.ABCD8.ABCD9.ABCD10.ABCD四、判断题答案1.×2.×3.×4.×5.×6.×7.×8.×9.×10.×五、简答题答案1.ISMS建立步骤：遵循PDCA循环，①确定范围与目标；②风险评估（识别资产、威胁、脆弱性）；③设计控制措施；④实施运行（部署+培训）；⑤监控改进（定期审核+优化）。2.物理环境控制点：物理位置、访问控制、防盗窃/破坏、防雷、防火、温湿度、电力供应、电磁防护。3.应急响应流程：①监测确认；②抑制蔓延；③根除攻击源；④恢复业务；⑤事后总结；⑥持续改进。4.零信任核心原则：永不信任始终验证、最小权限、持续验证、假设breach、上下文访问、深度防御。六、讨论题答案1.平衡业务与安全：①对齐业务目标（安全融入流程）；②风险导向决策（高价值优先防护）；③分层授权（安全沙箱支持创新）；④定期评估（调整