2026年CISM模拟题集企业信息安全风险评估与管理

2026年CISM模拟题集：企业信息安全风险评估与管理一、单选题（共10题，每题1分）1.某金融机构在评估客户数据泄露风险时，发现由于缺乏员工安全意识培训导致操作违规风险较高。根据ISO27005风险评估框架，该机构应优先采取哪种措施降低风险？A.提高系统防火墙配置B.优化数据加密算法C.加强员工安全意识培训D.增加物理访问控制2.某制造业企业采用PDCA（Plan-Do-Check-Act）循环管理信息安全风险，但在“Check”阶段发现数据备份策略存在缺陷。根据风险管理流程，下一步应采取什么行动？A.立即执行“Act”纠正缺陷B.重新评估风险优先级C.暂停“Do”阶段实施D.修改“Plan”阶段目标3.某跨国企业（涉及欧盟、美国、中国三地业务）需评估跨境数据传输合规风险。根据GDPR、CCPA和《网络安全法》，最高优先级的风险控制措施是？A.签署标准合同条款（SCCs）B.实施本地化数据存储C.提供用户数据可删除权D.获取各国监管机构批准4.某零售企业发现供应链中第三方物流服务商存在数据泄露风险，但直接接管供应链成本过高。根据风险规避原则，最可行的解决方案是？A.撤销与该服务商合作B.要求服务商提供安全认证（如ISO27001）C.增加数据传输加密强度D.承担风险并加强审计5.某医疗集团使用机器学习算法进行患者数据风险建模，但模型存在偏差导致低估了某类操作风险。根据风险评估方法，应优先采取什么措施？A.调整算法参数B.增加样本数据量C.替换为传统评分卡D.暂停模型应用6.某政府机构采用定性风险矩阵评估网络安全风险，若某项风险被评为“高”且发生可能性为“很可能”，则应采取什么行动？A.视为低优先级B.制定应急预案C.立即停止相关业务D.延迟评估7.某能源企业需评估自然灾害（如地震）对关键系统的业务影响。根据BIA（业务影响分析），应优先保障哪个环节？A.财务系统恢复B.供应链中断C.生产系统运行D.人力资源数据8.某科技企业使用NISTSP800-30进行风险估计，若威胁发生频率为“每年1次”，影响程度为“灾难性”，则风险值应如何判断？A.低风险B.中风险C.高风险D.极高风险9.某银行采用FAIR（FactorAnalysisofInformationRisk）模型评估欺诈交易风险，若脆弱性因子为“高”，则应优先关注哪个环节？A.网络安全防护B.内部控制流程C.交易监控系统D.客户身份验证10.某电商企业发现用户密码存储未加密，导致数据泄露风险高。根据控制措施成本效益原则，最优先的整改方案是？A.全面更换加密系统B.实施多因素认证（MFA）C.提示用户定期更换密码D.暂停密码存储功能二、多选题（共5题，每题2分）1.某金融机构需评估第三方服务商（如云存储商）的数据安全风险，以下哪些措施属于关键控制点？A.签订数据处理协议（DPA）B.定期审查服务商安全能力C.实施数据隔离措施D.要求服务商提供事故通知机制2.某制造业企业使用风险矩阵评估供应链中断风险，以下哪些因素会影响风险评分？A.供应商集中度B.备选供应商数量C.物流网络复杂度D.法律法规要求3.某跨国企业需评估数据跨境传输的合规风险，以下哪些法律框架需要考虑？A.GDPR（欧盟）B.CCPA（美国加州）C.《网络安全法》（中国）D.HIPAA（美国医疗）4.某零售企业采用AHP（层次分析法）评估信息安全风险，以下哪些因素属于权重输入？A.风险发生频率B.业务影响程度C.控制措施有效性D.监管处罚力度5.某政府机构需评估网络安全事件的应急响应能力，以下哪些措施属于关键准备环节？A.制定事件分级标准B.建立外部协作机制C.定期演练D.采购应急资源三、案例分析题（共2题，每题10分）1.某大型电商平台发现其第三方物流服务商存在数据泄露事件，导致数百万用户订单信息泄露。事件发生后，该平台需采取哪些风险评估与管理措施？请结合ISO27005和NISTSP800-61进行分步分析。2.某金融机构计划推出跨境支付业务，但面临GDPR、CCPA和《网络安全法》等多重合规风险。请设计一套风险评估方案，包括风险识别、分析、控制和监控步骤，并说明如何平衡合规成本与业务发展。答案与解析一、单选题答案与解析1.C-解析：员工操作违规属于人为风险，通过安全意识培训可从源头降低风险。系统防火墙、数据加密、物理控制均属于技术措施，但未解决根本问题。2.B-解析：PDCA循环中，“Check”阶段发现问题后应重新评估风险优先级，确认是否需要调整控制措施或增加资源。3.B-解析：跨境数据传输需同时满足GDPR、CCPA、网络安全法要求，其中本地化存储（如欧盟要求）是最高优先级措施，可规避传输风险。4.B-解析：直接撤销合作成本高，最可行方案是通过认证（如ISO27001）约束服务商行为，平衡风险与成本。5.A-解析：模型偏差需通过调整参数优化，增加样本或更换模型均属于次要方案。6.B-解析：高优先级风险需制定应急预案，立即停止业务成本过高，延迟评估不可取。7.C-解析：能源企业业务连续性关键在于生产系统，其他系统可延后恢复。8.D-解析：根据NISTSP800-30，高影响+高频率=极高风险。9.C-解析：FAIR模型中，脆弱性高意味着控制措施不足，需加强交易监控系统。10.B-解析：MFA成本较低且效果显著，优于全面更换加密系统或提示用户。二、多选题答案与解析1.A、B、C、D-解析：DPA约束责任、审计确保合规、隔离保护数据、事故通知及时止损，均为关键措施。2.A、B、C-解析：供应商集中度、备选数量、物流复杂度直接影响中断风险，法律法规属于合规要求。3.A、B、C-解析：GDPR、CCPA、网络安全法均涉及跨境数据，HIPAA仅限美国医疗领域。4.A、B、C-解析：AHP权重输入包括风险属性，D选项处罚力度非量化指标。5.A、B、C、D-解析：分级标准、协作机制、演练、资源均属应急准备关键环节。三、案例分析题答案与解析1.答案要点：-风险识别：第三方物流服务商数据安全能力不足（脆弱性）；订单信息存储未加密（威胁）。-分析：ISO27005框架下，评估数据泄露对业务、合规、财务的影响（NISTSP800-30定性/定量分析）。-控制：立即暂停服务商业务，要求整改；引入加密传输；加强内部审计（NISTSP800-61应急响应阶段）。-监控：定期审查服务商报告，持续监测数据访问日志。2.答案要点：-风险识别：法律合规冲突（威胁）；支付系统依赖第三方（脆弱性）。-分析：结合I