2025年上半年信息系统监理师考试真题含参考答案

2025年上半年信息系统监理师考试练习题含参考答案一、单项选择题（每题1分，共40分。每题只有一个最符合题意的选项）1.某省级政务云项目监理招标文件要求“监理单位须具备国家信息系统工程监理甲级资质”，该要求属于下列哪一类控制措施？A.事前预防性控制B.事中检查性控制C.事后纠正性控制D.运行维护性控制答案：A解析：在招标阶段即对监理单位资质提出硬性要求，属于典型的“事前预防性控制”，目的是从源头规避不合格服务商进入项目。2.在信息系统工程监理规划中，对“四控三管一协调”内容描述最准确的是：A.质量、进度、投资、变更控制；合同、信息、安全管理；组织协调B.质量、进度、投资、安全控制；合同、信息、风险管理；组织协调C.质量、成本、进度、变更控制；合同、信息、安全管理；用户协调D.质量、进度、投资、风险控制；合同、信息、变更管理；组织协调答案：A解析：依据GB/T19668.12020《信息技术服务监理第1部分：总则》，“四控三管一协调”为质量、进度、投资、变更控制；合同、信息、安全管理；组织协调。3.某项目采用敏捷开发模式，监理工程师在迭代评审会上发现用户故事完成度仅60%，但迭代周期已结束。监理应首先：A.要求开发团队无偿加班完成剩余功能B.签发暂停令，等待用户书面确认是否延期C.记录偏差，更新风险登记册，并提交监理报告D.直接建议用户砍掉未完成需求答案：C解析：敏捷强调“可工作的软件高于详尽的文档”，但监理仍需履行监督职责。记录偏差并更新风险登记册是合规动作，避免直接干预团队自组织。4.下列关于信息系统等级保护2.0“安全区域边界”要求的描述，错误的是：A.应在区域边界设置访问控制机制B.区域边界访问控制策略应基于用户角色与标记C.区域边界必须采用物理隔离装置D.应对跨区域边界行为进行审计答案：C解析：等保2.0并未强制要求“物理隔离”，而是根据业务风险选择“逻辑隔离”或“物理隔离”，C选项表述过于绝对。5.某机房工程采用“2N”架构UPS，监理在旁站时发现单路UPS故障后系统未自动切换，最可能的原因是：A.静态旁路开关未配置冗余B.UPS输出端未做负载均分C.电池组未采用恒温充电D.并机板卡通信线缆松动答案：D解析：2N架构依赖并机逻辑，通信线缆松动会导致并机失败，无法完成自动切换。6.根据《政府采购需求管理办法》，采购人可以在需求论证阶段邀请监理参与，此时监理提供的咨询服务属于：A.强制性监理B.阶段性监理C.前期咨询监理D.运维监理答案：C解析：在立项或采购准备阶段，监理以咨询身份介入，属“前期咨询监理”，尚未进入强制监理范围。7.某项目招标文件要求“投标报价不得高于项目预算的95%”，该条款主要体现：A.最高限价条款B.最低限价条款C.价格扣除条款D.价格评分条款答案：A解析：设置预算上限即为“最高限价”，防止投标人恶意抬价。8.在软件测试监理过程中，下列哪项不属于监理对测试用例的审查重点：A.用例是否覆盖全部需求条目B.用例是否包含预期输出C.用例是否采用自动化脚本D.用例是否经过开发人员签字确认答案：D解析：测试用例由测试人员设计，需经评审但无需开发人员“签字确认”，D选项违背独立测试原则。9.某项目采用“净额结算”方式支付监理费，其含义是：A.按实际发生的人月数乘以单价结算B.按合同总价一次性支付C.按合同总价扣除违约金后支付D.按阶段考核得分比例支付答案：A解析：“净额结算”即据实结算，通常以实际投入人月×单价为准。10.根据《信息安全技术网络安全审计产品技术要求》，审计记录存储时间应不少于：A.1个月B.3个月C.6个月D.12个月答案：C解析：GB/T209452020要求审计记录保存至少6个月，满足事后追溯需求。（以下题目11—40略，共40题，每题均含答案与解析，此节仅展示前10题样例，全文完整版含全部40题。）二、多项选择题（每题2分，共20分。每题至少有两个正确答案，多选、少选、错选均不得分）41.下列属于信息系统监理实施细则必须包含的内容有：A.监理工作流程图B.监理人员进退场计划C.监理工作制度D.监理费报价明细E.旁站监理方案答案：A、B、C、E解析：实施细则侧重操作层面，D项“报价明细”属于投标文件内容，不应出现在实施细则。42.关于软件版本控制，监理应检查开发方的：A.版本号命名规范B.主干与分支策略C.代码合并评审记录D.版本发布审批流程E.软件销售合同答案：A、B、C、D解析：E项与版本控制技术活动无关。43.在数据中心综合布线监理中，必须使用防火等级为CMP的线缆的区域有：A.天花板上方通风空间B.地板下通风空间C.机房内机柜间跳线D.办公区工位到面板E.室外管道答案：A、B解析：CMP适用于强制通风空间（plenums），机柜内跳线常用CMR或CM即可。44.下列关于区块链赋能政务场景的监理要点，正确的有：A.共识算法是否满足政务高并发B.智能合约是否经过第三方审计C.上链数据是否涉及国家秘密D.节点部署是否满足等保三级E.必须使用公有链答案：A、B、C、D解析：政务场景禁止直接使用公有链，应采用可控的联盟链或私有链。45.关于人工智能模型监理，需要关注的伦理风险有：A.训练数据偏见B.模型可解释性C.算法黑箱D.模型更新频率E.用户隐私泄露答案：A、B、C、E解析：D项属于技术性能范畴，与伦理风险无直接关联。（以下题目46—50略。）三、案例分析题（共三道大题，每题20分，共60分）案例一（20分）【背景】某市“智慧交通大脑”项目，总投资2.3亿元，建设周期18个月，采用“EPC+监理”模式。第8个月，监理工程师在审查月度款支付申请时发现：1.承包商提交的《进度完成量报表》中，交通信号优化算法模块完成百分比为75%，但经监理实测，核心函数仅完成接口封装，业务逻辑代码空缺；2.承包商已投入1200万元，占合同额的52%，但经监理核算，对应实物工作量仅值900万元；3.承包商以“疫情导致芯片断供”为由，申请顺延工期3个月，并索赔额外费用200万元。【问题】1.监理工程师应如何处理进度款支付申请？（6分）2.对承包商提出的工期顺延及费用索赔，监理应开展哪些工作？（8分）3.请给出后续监理控制要点，避免类似问题再次发生。（6分）【参考答案】1.监理应：（1）签发《暂停支付通知》，说明虚报进度情节；（2）组织第三方代码审计机构对算法模块进行核量，出具《工程量核定报告》；（3）依据核定结果，仅支付900万元对应款项，扣减300万元虚报部分，并报告业主及财政部门。（每点2分，共6分）2.监理应：（1）要求承包商在7天内提交《工期顺延与费用索赔申请报告》，附疫情证明、芯片采购合同、替代采购记录等证据；（2）依据合同“不可抗力”条款，核查疫情是否构成不可抗力，芯片断供是否影响关键路径；（3）组织业主、承包商、监理三方召开专项协调会，必要时邀请法律顾问；（4）委托第三方造价机构评估索赔费用的合理性；（5）出具《索赔审核报告》，明确同意或不同意的额度及工期天数，报业主审批。（每点1.6分，共8分）3.后续控制要点：（1）将“代码行数+功能点”双指标纳入进度测量体系，避免单一百分比虚报；（2）每月联合业主IT部门进行Git仓库快照取证，形成《代码基线报告》；（3）在合同中增设“关键路径芯片清单”，要求承包商提前6个月锁料；（4）建立“疫情等级”与“工期调整系数”对应表，减少争议空间。（每点1.5分，共6分）案例二（20分）【背景】某省医保信息平台（等保三级）进入上线前安全测试阶段，监理在旁站渗透测试时发现：1.渗透测试方未提供CNAS认可资质证书；2.测试方案未包含“医保处方传输接口”的逆向逻辑测试；3.测试工具BurpSuite版本为2021.8.2，存在公开高危漏洞；4.测试报告模板未体现《GB/T302792020》评分矩阵。【问题】1.监理应如何处理上述发现？（8分）2.请写出医保处方传输接口渗透测试的最小测试用例集（至少4条）。（6分）3.针对测试工具版本问题，监理应提出哪些整改要求？（6分）【参考答案】1.监理应：（1）立即签发《监理通知单》，暂停渗透测试；（2）要求测试方5日内补充CNAS证书复印件并加盖公章；（3）组织专家评审会，重新完善测试方案，补充“处方传输接口”测试项；（4）要求升级BurpSuite至2023.10.3以上版本，并提供升级截图；（5）报告业主，将测试暂停情况报备省医保局信息中心。（每点1.6分，共8分）2.最小测试用例集：（1）处方ID越权：使用A医生Token获取B医生处方，验证返回403；（2）处方数据篡改：修改处方金额字段为负数，验证业务逻辑拒绝；（3）重放攻击：重放同一处方上传包，验证系统提示“重复处方”；（4）SQL注入：在处方备注字段输入“'or1=1”，验证WAF拦截并记录日志；（5）接口限速：使用多线程10分钟内发送>1000次请求，验证触发限速429。（任写4条，每条1.5分，共6分）3.整改要求：（1）工具版本需升级至官方最新稳定版，并提供SHA256校验值；（2）测试前须通过漏洞扫描确认工具本身无Critical级漏洞；（3）建立工具MD5白名单，测试完成后再次校验，防止中间人植入；（4）测试环境须与生产隔离，采用VPN+堡垒机方式接入；（5）工具使用过程全程录屏，保存不少于6个月。（每点1.2分，共6分）案例三（20分）【背景】某央企集团ERP国产化替代项目，采用“信创”技术路线，监理范围包括：服务器、操作系统、中间件、数据库、应用系统迁移。第8周，监理发现：1.中标服务器厂商提供的CPU与投标响应表不一致，投标写明“ARMV8.2”，到货为“ARMV8.0”；2.操作系统厂商以“商业授权”为由，拒绝提供内核源码，导致后续信创适配认证无法开展；3.应用系统迁移方使用Oracle专有函数，与国产数据库不兼容，迁移进度滞后40%；4.集团信息中心要求监理出具《信创符合性评估报告》，但现行监理规范无对应模板。【问题】1.针对CPU版本降级，监理应如何处置？（6分）2.操作系统厂商拒绝提供源码，监理应提出哪些解决路径？（6分）3.请设计一份《信创符合性评估报告》最小章节结构，并说明每章核心内容。（8分）【参考答案】1.监理应：（1）签发《不符合项通知单》，要求服务器厂商7日内提交书面说明；（2）组织业主、厂商、第三方检测机构召开评审会，判定ARMV8.0是否满足性能基线；（3）如不满足，要求无条件更换为V8.2版本，并承担停工损失；（4）向招标代理书面报告，视情节提请行政监督部门处罚。（每点1.5分，共6分）2.解决路径：（1）核查合同是否约定“源码托管”条款，如有则要求提交至第三方托管机构；（2）如未约定，监理应建议业主与厂商签订《源码escrow补充协议》，约定在信创认证失败或厂商破产时触发源码释放；（3）推动操作系统厂商联合信创实验室出具“内核接口白皮书”，替代完整源码；（4）必要时启动替代方案评估，更换为开源OpenEuler或麒麟高级版。（每点1.5分，共6分）3.《信创符合性评估报告》最小章节结构：（1）项目概况：建设目标、范围、信创政策依据；（2）评估依据：清单包括CPU、OS、中间件、数据库、应用系统的信创名录版本；（3）检测环境：硬件配置、软件版本、网络拓扑；（4）检测方法：功能对照、性能基准、兼容性、源码（或接口）审计；（5）检测结果：逐项给出“通过/不通过”结论，附测试截图；（6）不符合项及整改建议：列明问题、责任方、整改时限；（7）评估结论：是否满足信创验收条件；（8）附件：测试记录、厂商承诺书、第三方检测报告。（每点1分，共8分）四、论文写作题（共30分）【要求】请围绕“信息系统监理在数字化转型背景下的价值重塑”这一主题，自拟副标题，撰写一篇1500字以上的