2026年3月份cisp试题答案

2026年3月份cisp试题答案

一、单项选择题（10题，每题2分）1.以下哪项不属于信息安全的基本属性？A.机密性B.完整性C.可用性D.真实性2.CISP的中文全称是？A.注册信息安全专业人员B.信息系统安全认证C.国家网络安全认证D.计算机信息系统安全管理员3.以下哪种算法属于非对称加密算法？A.AESB.RSAC.DESD.IDEA4.数据备份策略中，全量备份的主要特点是？A.备份速度快，存储占用小B.仅备份新增数据，恢复需全量+增量C.一次性备份所有数据，恢复简单D.需定期执行，适合实时数据备份5.基于角色的访问控制（RBAC）中，核心逻辑是？A.用户直接关联权限B.角色与权限关联，用户与角色关联C.强制分配用户权限D.基于对象属性动态授权6.风险评估过程中，“识别资产的价值”属于哪个阶段？A.风险分析B.风险评估C.风险处理D.风险识别7.ISO27001标准的核心框架基于什么模型？A.PDCAB.ITILC.COBITD.NISTSP800-538.业务连续性计划（BCP）的首要目标是？A.确保关键业务系统7×24小时运行B.灾难发生后快速恢复业务功能C.建立冗余系统避免单点故障D.制定数据备份和恢复流程9.以下哪项不属于恶意代码的常见防护技术？A.行为检测B.特征码扫描C.入侵检测系统（IDS）D.漏洞补丁管理10.《网络安全法》规定，关键信息基础设施运营者应当履行的义务不包括？A.安全检测和风险评估义务B.安全事件应急预案制定义务C.数据跨境传输安全评估义务D.网络安全等级保护备案义务二、填空题（10题，每题2分）1.数据备份的“3-2-1”原则是指：至少3份备份、2种不同介质、1份__________存储。2.信息安全管理体系（ISMS）的PDCA循环中，“P”代表__________。3.风险评估的三要素是资产、威胁和__________。4.安全事件按影响程度分为一般、较大、重大和__________事件。5.应急响应的标准流程包括准备、检测、遏制、根除、恢复和__________。6.密码学中，用于加密传输数据的算法分为对称密钥算法和__________密钥算法。7.数字证书由__________机构（CA）颁发，用于证明公钥合法性。8.安全意识培训的主要形式包括新员工入职培训、定期安全通报和__________演练。9.业务连续性计划（BCP）的测试频率应至少为__________一次。10.《个人信息保护法》规定，处理敏感个人信息需取得个人的__________同意。三、判断题（10题，每题2分）1.所有病毒均需通过感染其他文件实现传播。2.自主访问控制（DAC）中，用户可自主决定将权限授予其他用户。3.风险评估结果会直接影响安全策略的制定。4.备份数据无需加密，因存储介质已隔离。5.匿名化处理后的个人信息仍受《个人信息保护法》约束。6.ISO27001是全球企业必须遵守的强制性信息安全标准。7.哈希函数（如SHA-256）输出固定长度且不可逆。8.防火墙可完全阻止所有外部网络攻击。9.安全审计需定期执行，结果作为策略改进依据。10.漏洞扫描与渗透测试均用于发现系统安全漏洞。四、简答题（4题，每题5分）1.简述信息安全管理体系（ISMS）建立的关键步骤。2.列举数据备份的三种常见策略，并说明适用场景。3.简述风险评估的基本流程。4.业务连续性管理（BCM）的核心目标是什么？五、讨论题（4题，每题5分）1.结合企业数字化转型，分析如何平衡业务发展与信息安全需求。2.企业应如何有效开展第三方供应商信息安全风险评估？3.分析《个人信息保护法》对企业数据合规管理的影响。4.网络钓鱼攻击持续升级，企业可采取哪些针对性防御措施？一、单项选择题答案及解析1.D解析：信息安全基本属性为CIA（机密性、完整性、可用性），真实性属于扩展属性，非核心基本属性。2.A解析：CISP为“CertifiedInformationSecurityProfessional”的中文简称，即注册信息安全专业人员。3.B解析：RSA为典型非对称加密算法，AES、DES、IDEA均为对称加密算法。4.C解析：全量备份一次性备份所有数据，恢复流程最简单但存储占用大，适用于数据量小或需快速恢复场景。5.B解析：RBAC核心是“用户-角色-权限”三层关联，通过角色间接管理权限。6.D解析：风险识别阶段包括资产识别、威胁识别、脆弱性识别。7.A解析：ISO27001基于PDCA（计划-执行-检查-改进）模型构建ISMS。8.B解析：BCP核心目标是灾难发生后快速恢复关键业务功能，减少业务中断时间。9.C解析：入侵检测系统（IDS）属于入侵防御系统（IPS）的基础，主要用于检测而非防护恶意代码。10.C解析：关键信息基础设施运营者需履行安全检测、应急预案制定、安全事件报告义务，数据跨境传输安全评估是《数据安全法》要求，非《网络安全法》直接义务。二、填空题答案1.异地2.计划（Plan）3.脆弱性4.特别重大5.总结6.非对称7.证书认证（CA）8.季度/年度9.年度10.单独三、判断题答案1.错误解析：部分病毒（如引导型病毒）无需感染文件即可传播。2.正确解析：DAC允许用户自主配置权限分配。3.正确解析：风险评估结果是制定安全策略的核心依据。4.错误解析：备份数据若包含敏感信息，需加密存储以防止泄露。5.正确解析：匿名化处理后数据不再具有个人身份识别性，不适用个人信息保护法。6.错误解析：ISO27001为推荐性标准，企业可自愿采用。7.正确解析：哈希函数输出固定长度散列值，不可逆。8.错误解析：防火墙仅能基于规则过滤流量，无法阻止未知攻击或内部威胁。9.正确解析：安全审计需定期执行，结果用于策略优化。10.错误解析：漏洞扫描侧重发现漏洞，渗透测试侧重模拟攻击验证系统安全性，二者目的不同。四、简答题答案1.信息安全管理体系（ISMS）建立步骤：①领导决策与组建团队；②信息安全方针制定；③资产识别与分类；④威胁与脆弱性评估；⑤风险分析与风险评价；⑥风险处理方案制定；⑦控制措施实施；⑧体系文件编制；⑨内部审核与管理评审；⑩持续改进。核心为PDCA循环，需覆盖从风险识别到体系优化的全流程。2.数据备份策略及适用场景：①全量备份：适用于数据量小、需快速恢复场景（如小型企业核心数据）；②增量备份：仅备份新增数据，存储占用小，需配合全量+增量恢复（如大型数据库实时备份）；③差异备份：备份上一次全量后变化的数据，恢复效率介于全量与增量之间（如每日差异+每周全量组合）；④镜像备份：实时同步数据到镜像介质，适用于对数据一致性要求极高场景（如金融交易系统）。3.风险评估基本流程：①准备阶段：明确目标、组建团队、制定计划；②资产识别：梳理信息资产（硬件、软件、数据、服务等）并分类分级；③威胁识别：识别可能导致资产受损的外部/内部威胁源；④脆弱性识别：评估资产存在的漏洞或控制措施不足；⑤风险分析：结合威胁发生可能性和脆弱性被利用概率，计算风险值；⑥风险评价：对比风险可接受准则，确定风险等级；⑦风险处理：制定风险规避、转移、降低或接受策略；⑧报告与改进：输出风险评估报告，持续跟踪风险变化。4.业务连续性管理（BCM）核心目标：确保关键业务在灾难事件（如自然灾害、网络攻击）发生后，通过有效规划和执行，快速恢复关键业务功能，最小化业务中断损失，保障企业持续运营能力。核心组成部分：①业务影响分析（BIA）：识别关键业务及恢复目标；②风险评估：识别潜在中断因素及影响；③业务连续性计划（BCP）：制定恢复策略、流程和责任人；④应急响应计划：针对突发事件的处置流程；⑤演练与维护：定期测试计划有效性，持续优化BCM体系。五、讨论题答案1.平衡业务发展与信息安全：①战略层面：将信息安全融入企业数字化战略，建立“安全优先”文化；②资源分配：优先投入关键系统安全建设（如核心数据库、支付系统），非核心系统采用轻量化安全方案；③技术层面：采用零信任架构（默认不信任）实现最小权限访问，部署SDP（软件定义边界）隔离业务系统；④流程优化：建立“安全左移”机制，在业务设计阶段同步嵌入安全需求；⑤培训机制：开展全员安全意识培训，将安全责任纳入业务部门KPI考核。2.第三方供应商安全评估：①前期尽职调查：审查供应商安全资质（如ISO27001认证）、过往安全事件记录；②现场评估：考察供应商安全管理制度、技术防护措施（如防火墙、IDS）；③测试验证：要求供应商配合进行渗透测试、漏洞扫描，验证安全能力；④合同约束：在服务协议中明确数据保护责任、安全事件响应要求；⑤持续监控：定期复查供应商安全状况，建立退出机制（如重大违规时终止合作）。3.《个人信息保护法》影响：①合规要求：企业需建立个人信息分类分级管理制度，明确敏感信息处理规则；②数据收集：不得过度收集，仅收集业务必需信息，且需明示用途；③处理流程：建立数据全生命周期管理流程，从收集到删除全程可追溯；④技术措施：对敏感个人信息需加密存储、脱敏处理，防止泄露；⑤主体权利：保障个人信息查询、更正、删除、撤回同意等权利，