2026年信息安全合规性评估与改进信息安全测试员真题及答案

2026年信息安全合规性评估与改进信息安全测试员真题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，错选、不选均不得分）1.依据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过以下哪项机制进行安全审查？A.国家互联网信息办公室备案B.国家网络安全审查办公室组织的国家安全审查C.工信部型号核准D.公安部等级保护测评答案：B2.在ISO/IEC27001:2022附录A中，与“安全事件管理”直接对应的控制域编号为：A.A.5.7B.A.5.24C.A.8.16D.A.16.1答案：D3.根据GB/T22239—2019，第三级等级保护对象应在网络边界处部署具备应用层协议识别与管控能力的设备，该要求位于安全控制点：A.边界访问控制B.恶意代码防范C.通信传输D.集中管控答案：A4.某云服务商同时通过ISO27017与ISO27018认证，其中ISO27018主要覆盖：A.云服务信息安全管理体系B.公有云个人数据（PII）保护实践指南C.云连续性管理D.云安全风险评估方法答案：B5.在PCIDSSv4.0中，对于存储的持卡人数据，以下哪项加密算法组合被明确列为“强加密”？A.DES-CBC+MD5B.3DES-EDE+SHA-1C.AES-256-GCM+HMAC-SHA256D.RC4+CRC32答案：C6.依据《个人信息保护法》，个人信息处理者向境外提供个人信息时，必须通过以下哪项机制之一？A.向省级以上网信部门申请行政许可B.通过国家网信部门组织的安全评估C.与境外接收方签订标准格式合同即可，无需评估D.在官网公示30天无异议答案：B7.在NISTSP800-53Rev5中，控制项IR-6“IncidentReporting”要求将安全事件报告给：A.仅组织内部CSIRTB.组织内部及外部相关方，包括法定机构C.媒体与公众D.仅CIO答案：B8.某单位采用COBIT2019进行治理，目标级联中“ManagedRisk”对应的管理目标编号为：A.APO12B.APO13C.DSS05D.EDM03答案：B9.在《数据安全法》中，对“重要数据”进行出境管制，其目录由谁组织制定？A.国家互联网信息办公室会同国务院有关部门B.公安部C.工信部D.国家安全部答案：A10.依据GB/T25070—2019，等级保护2.0“安全计算环境”中，对“剩余信息”保护的技术要求属于：A.访问控制B.数据保密性C.数据完整性D.剩余信息保护答案：D11.在ISO/IEC27701:2019中，为PIMS体系提供“数据主体权利响应”指南的条款号为：A.7.2.2B.7.3.4C.7.4.1D.7.5.3答案：C12.关于《密码法》，以下说法正确的是：A.核心密码用于保护国家秘密信息，普通密码用于保护商业秘密B.商用密码产品必须取得国家密码管理局型号证书方可销售C.商用密码检测认证采用自愿原则，国家不强制D.核心密码和普通密码的科研、生产、销售适用商用密码管理规定答案：B13.在《网络安全审查办法》中，运营者申报审查需提交“采购文件、协议、拟签合同”，该要求位于：A.第八条B.第九条C.第十条D.第十一条答案：B14.依据ISO/IEC27035，信息安全事件分级中，造成“重大业务中断、监管关注”的事件应划分为：A.Level1—CriticalB.Level2—HighC.Level3—MediumD.Level4—Low答案：B15.在GDPR第33条中，数据控制者向监管机构报告个人数据泄露的时限为：A.24小时B.48小时C.72小时D.7天答案：C16.根据《关键信息基础设施安全保护条例》，关键信息基础设施的安全保护等级应不低于：A.第一级B.第二级C.第三级D.第四级答案：C17.在NISTCSFv1.1中，子类ID.RA-6“网络威胁情报接收”属于哪一项核心功能？A.IdentifyB.ProtectC.DetectD.Respond答案：A18.依据GB/T35273—2020《个人信息安全技术规范》，个人信息主体查询其个人信息的最长响应时限为：A.7个工作日B.15个工作日C.30个自然日D.30个工作日答案：B19.在《网络安全等级保护测评要求》中，第三级系统现场测评“安全运维”类控制点数量为：A.9B.11C.13D.15答案：C20.关于《网络产品安全漏洞管理规定》，漏洞发现者应在发现漏洞后几日内向工信部网络安全威胁信息共享平台报送？A.1日B.2日C.3日D.7日答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于ISO/IEC27001:2022中新增的控制项？A.A.5.23信息安全用于云服务B.A.8.10信息删除C.A.8.11数据遮蔽D.A.5.30ICT为业务连续性做好准备答案：A、B、C、D22.依据GB/T22239—2019，第三级系统“安全区域边界”必须实现：A.边界访问控制B.入侵防范C.恶意代码防范D.可信验证答案：A、B、C、D23.在PCIDSSv4.0中，要求对支付卡数据环境（CDE）进行“分段隔离”时，可接受的证据包括：A.网络扫描报告B.防火墙规则集审查C.渗透测试报告D.物理隔离照片答案：A、B、C24.以下哪些情形触发《网络安全审查办法》规定的主动申报义务？A.关键信息基础设施运营者采购境外上市云服务B.核心数据处理者赴香港上市C.掌握100万用户个人信息的平台赴国外上市D.普通制造企业采购国产防火墙答案：A、B、C25.关于《个人信息保护法》中“敏感个人信息”，正确的有：A.生物识别信息B.14岁以下未成年人的个人信息C.金融账户D.行踪轨迹答案：A、B、C、D26.在NISTSP800-53Rev5中，以下哪些控制族与“供应链风险”直接相关？A.SR—SupplyChainRiskManagementB.SA—SystemandServicesAcquisitionC.CM—ConfigurationManagementD.IR—IncidentResponse答案：A、B27.依据ISO/IEC27701:2019，控制者需对第三方处理者进行哪些管理？A.尽调评估B.合同约束C.定期审计D.事件通报答案：A、B、C、D28.在等级保护测评中，以下哪些属于“安全管理中心”测评控制点？A.系统管理B.安全管控C.集中管控D.安全管理答案：A、C、D29.关于商用密码产品，国家密码管理局规定的检测项包括：A.密码算法合规性B.随机数质量C.侧信道抵抗能力D.电磁兼容性答案：A、B、C、D30.在COBIT2019设计指南中，治理体系设计流程包含：A.识别影响因素B.定义目标级联C.定义治理框架D.实施持续改进答案：A、B、C、D三、填空题（每空1分，共20分）31.在ISO/IEC27001:2022中，最高管理者应按______周期对信息安全管理体系进行评审。答案：计划的时间间隔32.GB/T25070—2019中，第三级安全要求提出“应采用______技术对重要应用程序进行完整性保护”。答案：可信计算33.PCIDSS要求对支付应用进行“______测试”，以验证不存在常见漏洞。答案：渗透34.GDPR第35条要求，当数据处理可能导致高风险时，控制者需进行______评估。答案：数据保护影响（DPIA）35.《网络安全法》第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，在网络安全等级保护制度基础上实行______保护。答案：重点36.NISTCSF中，响应功能下的子类“RS.CO-1”要求建立______计划。答案：沟通37.在ISO/IEC27035-1中，信息安全事件管理共分为五个阶段：准备、识别、______、响应、经验教训。答案：评估38.《数据安全法》第二十一条提出，国家建立数据______制度，对数据实行分类分级保护。答案：分类分级39.依据GB/T35273—2020，个人信息控制者委托处理个人信息时，应对受托方进行______。答案：监督40.在等级保护测评中，第三级系统“安全物理环境”要求机房应设置______区域，防止未授权进入。答案：受控41.《密码法》规定，核心密码、普通密码属于国家秘密，其科研、生产、检测、使用应遵守______保密管理规定。答案：国家42.ISO/IEC27701中，PIMS扩展了ISO27001的______要求，以覆盖隐私管理。答案：附录43.在COBIT2019中，治理目标“EDM01”的中文名称为______。答案：确保治理框架的设置与维护44.根据《网络产品安全漏洞管理规定》，漏洞收集平台应在发现漏洞后______日内向国家平台报送。答案：245.在NISTSP800-53控制项AC-2中，要求对账户进行______管理，包括创建、激活、修改、禁用、删除。答案：生命周期46.GDPR第46条允许在适当保障下将数据传输至第三国，其中“适当保障”不包括______条款。答案：口头47.等级保护2.0中，第三级系统“安全通信网络”要求对通信协议进行______检查，防止恶意指令。答案：协议异常48.ISO27001:2022要求，组织应保留关于“信息安全风险评估过程”的______信息作为文件化信息。答案：文件化49.在PCIDSSv4.0中，要求对持卡人数据进行“______脱敏”，确保非授权人员无法识别。答案：掩码50.《个人信息出境标准合同办法》规定，标准合同应在生效之日起______个工作日内向省级以上网信部门备案。答案：10四、简答题（每题6分，共30分）51.简述ISO/IEC27001:2022与2013版相比在“组织环境”章节的主要变化，并说明其对认证组织的影响。答案：2022版在“组织环境”中新增“理解相关方需求与期望”必须识别隐私合规要求；将“信息安全管理体系范围”明确为文件化信息并需考虑云服务供应链；引入“确定信息安全风险与机会”条款，要求与业务战略对齐。影响：认证组织需更新相关方清单、范围说明书，并在管理评审中增加隐私合规与供应链风险议题，审核时需提供云服务相关方协议及风险分析记录。52.依据GB/T22239—2019，第三级系统“安全区域边界”中“入侵防范”控制点的三条主要技术要求。答案：1.应在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为；2.应具备对新型攻击、DDoS、APT的检测与告警能力；3.检测到攻击后应记录攻击源、类型、目标、时间，并支持溯源分析与联动阻断。53.说明GDPR中“数据保护官（DPO）”的法定任命条件、职责及豁免情形。答案：条件：公共机构、大规模系统监控、大规模处理敏感数据需任命；职责：独立监督合规、提供咨询、与监管机构沟通、维护记录；豁免：非公共机构且监控/敏感处理规模不大时可不任命，但需记录评估。54.概述《网络安全审查办法》中“风险导向”审查原则的五项评估重点。答案：1.产品和服务被非法控制、干扰、中断风险；2.产品服务供应链中断风险；3.业务数据、重要数据被泄露、非法利用、出境风险；4.核心网络设施、信息系统被中断、破坏风险；5.其他危害关键信息基础设施、网络安全与数据安全的风险。55.简述NISTSP800-53Rev5中“SupplyChainRiskManagement（SR）”控制族的核心目标与三项关键控制。答案：核心目标：确保系统与服务在全生命周期内识别、评估、缓解供应链风险；关键控制：SR-1政策与程序、SR-2供应链风险评估、SR-3供应链合同安全要求。五、应用题（共60分）56.计算与分析题（12分）某电商平台日均订单100万笔，每订单产生0.5MB日志，需满足PCIDSSv4.0“10.2.2审计日志保留至少12个月，且前3个月在线”要求。（1）计算全年日志存储总量（GB），并给出计算公式。（2）若采用压缩比1:5的冷热分层方案，热存储使用SSD单价0.12元/GB/月，冷存储使用对象存储单价0.03元/GB/月，求全年存储成本。（3）指出该方案在等级保护2.0“安全审计”控制点下的两项潜在风险，并提出改进措施。答案：（1）全年总量=100万×0.5MB×365=182.5TB=186880GB。（2）热存储3个月在线：186880GB×0.2×0.12×3=13415.04元；冷存储9个月：186880GB×0.8×0.03×9=40396.48元；全年成本=53811.52元。（3）风险：1.日志未做完整性校验，存在被篡改可能；2.冷热分层迁移过程缺乏加密，传输链路可被嗅探。改进：1.采用HMAC-SHA256对每日子日志签名并离线存证；2.迁移链路使用TLS1.3加密，并对对象存储桶启用服务端加密（SSE-KMS）。57.合规评估题（12分）某金融科技公司拟上线人脸识别支付系统，处理用户人脸、身份证、银行卡号。请依据《个人信息保护法》完成以下任务：（1）判断是否需进行个人信息保护影响评估（PIA），并说明理由。（2）列出PIA报告必须包含的六项内容。（3）指出在“告知同意”环节需向个人告知的八项要素。答案：（1）需进行PIA，因处理敏感个人信息（人脸、银行卡号）且涉及自动化决策，符合《个保法》第五十五条。（2）1.处理目的、方式、范围；2.必要性对个人权益影响；3.安全风险；4.保护措施及合规能力；5.拟采取加密、去标识化技术；6.结论与风险等级。（3）1.处理者身份与联系方式；2.处理目的、方式、范围；3.存储期限、地点；4.个人行使权利的方式与程序；5.敏感信息处理必要性；6.自动化决策逻辑及影响；7.数据提供对象；8.跨境提供情形。58.综合案例分析题（18分）背景：某省级政务云平台承载50个厅局业务，已通过等级保护第三级测评，现拟引入境外SaaS邮件服务，需进行合规评估。问题：（1）依据《网络安全审查办法》，判断是否触发主动申报，并说明流程与时限。（2）从ISO27017角度列出云客户与云服务商在数据删除方面的责任矩阵。（3）依据GB/T35273—2020，设计“个人信息出境标准合同”中需约定的三项技术安全保障条款。（4）若该邮件服务处理“重要数据”，依据《数据安全法》指出需履行的两项额外义务。答案：（1）触发，因政务云为关键信息基础设施，采购境外SaaS。流程：运营者向网络安全审查办公室提交材料→办公室30工作日内完成审查，特殊情况可延长15工作日。（2）责任矩阵：云客户负责识别需删除数据、发出删除指令；云服务商负责在SLA时间内完成删除、提供删除报告；共同责任：验证删除不可恢复、记录删除日志。（3）技术条款：1.采用AES-256-GCM加密传输与存储，密钥由客户自持；2.数据在出境前进行去标识化，确保无法直接或间接识别个人；3.建立跨境数据泄露24小时应急响应与通报机制。（4）额外义务：1.自行或委托