2025年信息安全管理体系（ISO27001）试题（附答案）

2025年信息安全管理体系（ISO27001）试题（附答案）一、单项选择题（本大题共20小题，每小题2分，共40分。在每小题列出的四个备选项中只有一个是符合题目要求的）1.ISO27001:2022对信息安全管理体系（ISMS）的核心定位是：A.规定了ISMS的要求，适用于各类组织的ISMS建立、实施、保持和持续改进B.给出了ISMS建设的通用指南，不用于认证C.仅适用于信息技术行业的信息安全管理D.规定了信息安全控制措施的实施细则，不涉及体系要求2.根据ISO27001:2022要求，下列哪项属于最高管理者对ISMS的核心职责：A.开展年度信息安全风险评估B.确保ISMS目标与组织战略方向保持一致C.编制适用性声明D.实施日常信息安全控制措施3.下列选项中，不属于ISO27001要求的信息安全风险处置可选策略的是：A.规避风险：停止导致风险的活动B.转移风险：将风险转移给第三方，如购买保险、签署外包服务协议C.隐瞒风险：未上报识别出的风险，避免影响内部考核D.保留风险：基于风险评估结果，由授权主体主动接受风险4.关于ISO27001要求的适用性声明（SOA），下列哪项内容不属于其必须包含的内容：A.已选择的控制目标和控制措施B.选择控制目标和控制措施的合理性说明C.未选择的控制措施及排除的理由D.上年度内部审核的所有不合格项报告5.ISO27001:2022版标准将附录A中的控制措施分为四大类，正确的分类是：A.风险控制、业务控制、安全控制、技术控制B.组织控制、人员控制、物理控制、技术控制C.内部控制、外部控制、物理控制、技术控制D.方针控制、流程控制、人员控制、技术控制6.根据ISO27001对信息安全方针的要求，下列表述错误的是：A.信息安全方针应与组织的业务目标相适应B.信息安全方针应包含对满足信息安全相关要求的承诺C.信息安全方针应包含对持续改进ISMS的承诺D.信息安全方针由组织信息安全负责人批准发布即可7.组织策划信息安全风险评估过程时，首先需要确定的核心内容是：A.风险评估的实施人员名单B.风险评估的时间安排C.信息安全风险评估准则D.风险评估的报告模板8.ISO27001中，“纠正”的核心目的是：A.消除发现的不合格本身B.消除不合格产生的原因，防止不合格再次发生C.预防潜在的不合格发生D.对所有体系运行问题进行责任追究9.下列控制措施中，属于ISO27001:2022附录A人员控制范畴的是：A.信息安全风险识别与评估B.人员背景审查C.机房物理环境防护D.访问权限分配10.根据ISO27001要求，信息安全目标的核心特征是：A.定性描述即可，不需要可测量B.应与信息安全方针保持一致C.由信息安全部门制定，不需要沟通D.一旦制定不得修改11.针对成文信息的控制，ISO27001要求组织不需要确保哪项内容：A.成文信息在需要时可获得并适用B.成文信息得到充分防护，防止泄密、损坏C.所有成文信息必须使用电子形式存储D.更改得到控制，保留版本信息12.组织开展合规性评价的频率要求是：A.至少每半年一次B.至少每年一次C.每两年一次D.仅在认证前开展一次即可13.根据ISO27001要求，内部审核方案的策划不需要基于哪项内容：A.相关过程的重要性B.以往审核的结果C.组织业务的变化D.审核人员的个人偏好14.下列哪项内容不属于ISO27001要求的管理评审输入：A.ISMS绩效和符合性相关信息B.相关方的反馈C.风险评估结果和风险处置情况D.同行业其他组织的认证情况15.ISO27001要求，确定信息安全风险的准则应基于：A.组织的合规要求和业务目标B.审核机构的要求C.行业统一的固定值D.最高管理者的个人经验16.针对离职人员的信息安全管理，下列哪项措施符合ISO27001要求：A.离职人员的访问权限可保留3个月，方便交接工作B.离职时必须收回所有组织资产，终止所有访问权限C.技术岗离职不需要做保密谈话，只需要签离职协议即可D.核心岗位人员离职不需要带走任何物品，包括个人物品17.下列关于信息资产的要求，表述正确的是：A.组织不需要建立信息资产清单，只需要口头掌握即可B.组织应识别所有与ISMS范围相关的信息资产，并明确资产责任人C.只有电子信息属于信息资产，纸质文档不属于D.资产责任人不需要对资产的安全负责，由信息安全部门统一负责18.信息安全风险评估过程中，风险分析的核心步骤是：A.识别风险源，确定风险发生的可能性和影响程度B.直接判定风险等级，不需要评估影响C.将所有风险统一列为高风险D.只识别技术风险，不需要识别管理风险19.根据ISO27001要求，当组织变更ISMS范围时，应首先完成哪项工作：A.重新开展信息安全风险评估和处置B.直接更换适用性声明即可C.通知认证机构，不需要调整体系内容D.修改方针，不需要更新控制措施20.ISO27001持续改进的核心目的是：A.提高ISMS的适宜性、充分性和有效性B.满足认证机构的要求，不做实质改进C.每年修改体系文件，体现变化D.降低信息安全投入成本二、多项选择题（本大题共10小题，每小题3分，共30分。多选、少选、错选均不得分）1.根据ISO27001:2022要求，最高管理者对ISMS的职责包括：A.分配ISMS相关职责和权限B.批准信息安全方针和信息安全目标C.确保ISMS要求融入组织的业务过程D.开展日常信息安全监控E.向最高管理层报告ISMS绩效2.信息安全风险评估过程需要保留的成文信息包括：A.风险评估的过程描述B.识别出的信息安全风险清单C.风险评估的结果记录D.最高管理者对所有风险的签字批准记录E.风险等级判定的依据3.下列控制措施中，属于ISO27001:2022附录A组织控制范畴的有：A.信息安全方针制定B.信息安全风险评估C.物理安全边界防护D.访问控制策略制定E.业务连续性规划4.ISO27001要求，纠正措施应包括哪项内容：A.识别不合格产生的原因B.确定是否需要采取措施消除不合格原因C.记录纠正措施的结果D.评审纠正措施的有效性E.对产生不合格的责任人进行处罚5.适用性声明（SOA）必须包含的内容有：A.ISMS的范围说明B.已选择的所有控制目标和控制措施C.选择控制措施的合理性说明D.未选择的控制措施及排除理由E.组织所有资产的清单6.ISO27001对信息安全目标的要求包括：A.与信息安全方针保持一致B.可测量（可行时）C.沟通到组织相关层次D.定期评审更新E.必须量化为具体数值7.下列控制措施中，属于ISO27001:2022附录A物理控制范畴的有：A.物理安全边界设置B.设备和资产的物理防护C.工作场所和人员的物理安全管理D.访问权限的定期评审E.恶意代码防护8.ISO27001要求的管理评审输出包括：A.与ISMS持续改进相关的决策和措施B.ISMS变更的需求C.资源需求的调整D.信息安全方针和目标的更新需求E.同行业竞争对手的分析结果9.根据ISO27001要求，组织需要对ISMS相关信息进行沟通的对象包括：A.组织内部员工和管理层B.客户和供应商C.监管机构D.认证机构E.所有社会公众10.组织持续改进ISMS可以通过哪些方式实现：A.利用信息安全方针、风险评估结果、审核结果、管理评审输出持续改进B.纠正和纠正不合格项C.每年更新控制措施，增加安全投入D.跟踪内外部环境变化，及时调整体系内容E.采纳相关方的合理改进建议三、判断题（本大题共10小题，每小题1分，共10分。正确打√，错误打×）1.ISO27001要求组织必须识别与ISMS范围相关的所有信息资产，并建立资产清单。2.纠正措施是为了消除已发现的不合格本身，纠正的目的是消除不合格原因，防止再发生。3.信息安全方针需要传达给组织内部所有相关人员，必要时也需要提供给外部相关方。4.组织只要识别出信息安全风险，就必须采取控制措施降低风险，不可以直接接受风险。5.ISO27001仅要求组织识别内部风险，不需要识别外部相关方带来的信息安全风险。6.管理评审是最高管理者组织开展的，用于评审ISMS的持续适宜性、充分性和有效性。7.适用性声明是组织对外证明控制措施选择合理性的核心文件，必须保留成文信息。8.访问控制要求组织仅需要在员工入职时分配权限，不需要定期评审权限。9.组织开展信息安全风险评估的方法必须符合国家统一标准，不可以结合自身实际定制。10.持续改进是ISO27001的核心原则，贯穿ISMS运行的整个周期。四、案例分析题（本大题共1小题，共20分）某国内中型零售电商企业计划申请ISO27001认证，建立了覆盖用户数据和核心交易系统的信息安全管理体系，认证机构现场审核时发现以下情况：1.公司CEO表示，已任命CTO全权负责ISMS所有工作，公司最高管理层从未将ISMS目标与公司“保障用户数据安全、提升用户信任”的整体业务目标对齐评审，公司的信息安全方针由CTO签字批准发布。2.公司2024年度信息安全风险评估中，识别出“用户收货地址信息未加密存储”等18项风险，评估人员将12项风险值低于7分的风险直接判定为可接受，未经过公司授权管理层审批。3.公司编制的适用性声明仅列出了选择实施的控制措施，未说明附录A中未选择实施的控制内容及不实施的理由。4.公司核心交易系统机房位于办公楼15层，审核发现机房入口门禁系统因故障已经停用7天，期间仅靠前台保安登记进出人员，未核实人员身份，也未制定临时管控措施。5.公司最近一次管理评审是在20个月前开展的，管理层表示ISMS运行没有出现重大安全事件，不需要每年开展管理评审。问题：1.请结合ISO27001:2022要求，逐一指出上述场景对应的不符合项，说明违反了标准的核心要求，并说明理由（12分）2.请列出该公司针对上述不符合项应采取的纠正及纠正措施（8分）参考答案及解析一、单项选择题答案及解析1.答案：A解析：ISO27001的核心定位是规定ISMS的要求，可用于各类组织的内部认证、第三方认证，适用于所有类型规模的组织，因此A正确，B、C错误；控制措施的选择由组织根据自身情况确定，标准仅给出附录A作为参考，D错误。2.答案：B解析：开展风险评估、编制适用性声明、实施日常控制均是中层或执行层的职责，最高管理者的核心职责是确保ISMS目标与组织战略方向一致，因此B正确。3.答案：C解析：ISO27001规定的风险处置策略包括规避、保留（接受）、转移、改变风险的可能性/影响（降低），隐瞒风险不符合要求，因此C正确。4.答案：D解析：适用性声明的核心内容是控制选择与排除的说明，不需要包含内部审核不合格项报告，因此D正确。5.答案：B解析：2022版ISO27001附录A将93个控制措施分为组织控制、人员控制、物理控制、技术控制四大类，因此B正确。6.答案：D解析：信息安全方针必须由组织最高管理者批准发布，因此D错误，符合题干要求。7.答案：C解析：策划风险评估过程首先需要确定风险评估准则，包括风险接受准则、风险影响分级准则等，是风险评估开展的基础，因此C正确。8.答案：A解析：纠正针对的是已经发生的不合格本身，如纠正门禁故障；纠正措施针对的是不合格产生的原因，防止再次发生，因此A正确。9.答案：B背景审查针对人员，属于人员控制范畴；风险评估属于组织控制，机房防护属于物理控制，权限分配属于技术控制，因此B正确。10.答案：B解析：ISO27001要求信息安全目标必须与方针一致，可行时可测量，不需要强制量化，需要定期评审更新，因此B正确。11.答案：C解析：成文信息可以是纸质也可以是电子形式，标准不强制要求全部电子化，因此C正确。12.答案：B解析：ISO27001要求合规性评价至少每年开展一次，因此B正确。13.答案：D解析：审核方案策划需要基于过程重要性、以往审核结果、业务变化，不能基于审核人员个人偏好，因此D正确。14.答案：D解析：同行业其他组织的认证情况不属于本组织管理评审的必要输入，因此D正确。15.答案：A解析：风险准则需要结合组织自身的合规要求和业务目标制定，没有统一固定值，因此A正确。16.答案：B解析：离职人员必须立即收回资产，终止所有访问权限，因此B正确，A错误；核心岗位离职必须做保密谈话，C错误，不禁止个人合法物品带出，D错误。17.答案：B解析：组织必须建立信息资产清单，明确资产责任人，所有对组织有价值的信息载体都是信息资产，因此B正确。18.答案：A解析：风险分析的核心是识别风险源，评估可能性和影响，因此A正确。19.答案：A解析：变更ISMS范围后，需要重新开展风险评估和处置，更新适用性声明，因此A正确。20.答案：A解析：持续改进的核心目的是提升ISMS的适宜性、充分性、有效性，因此A正确。二、多项选择题答案及解析1.答案：ABC解析：开展日常监控是执行层职责，报告绩效是管理者代表的职责，因此D、E错误，ABC正确。2.答案：ABCE解析：不是所有风险都需要最高管理者签字，仅需要接受的不可接受风险需要授权批准，因此D错误，ABCE正确。3.答案：ABDE解析：物理边界防护属于物理控制，C错误，ABDE正确。4.答案：ABCD解析：纠正措施关注原因消除，不强制要求处罚责任人，因此E错误，ABCD正确。5.答案：ABCD解析：资产清单不属于适用性声明的必要内容，E错误，ABCD正确。6.答案：ABCD解析：可行时可测量，强制量化的要求错误，不可行时可以定性描述，因此E错误，ABCD正确。7.答案：ABC解析：访问权限评审属于技术控制，恶意代码防护属于技术控制，因此DE错误，ABC正确。8.答案：ABCD解析：竞争对手分析不属于管理评审输出，E错误，ABCD正确。9.答案：ABCD解析：不需要向所有社会公众公开沟通，E错误，ABCD正确。10.答案：ABDE解析：持续改进不代表必须增加投入，C错误，ABDE正确。三、判断题答案及解析1.√解析：ISO27001要求识别ISMS范围内的所有资产，建立资产清单，因此正确。2.×解析：表述完全颠倒，纠正是消除不合格本身，纠正措施是消除原因防止再发生，因此错误。3.√解析：信息安全方针需要内部传达，外部相关方有需求时需要提供，因此正确。4.×解析：符合风险接受准则的风险可以由授权主体批准后接受，不需要全部采取控制措施，因此错误。5.×解析：需要同时识别内外部风险，包括供应商、第三方带来的风险，因此错误。6.√解析：管理评审是最高管理者组织的体系评审活动，核心是评审体系的持续适宜性、充分性、有效性，因此正确。7.√解析：适用性声明是ISO27001要求的核心成文信息，用于证明控制选择的合理性，因此正确。8.×解析：要求定期评审访问权限，至少每年一次，因此错误。9.×解析：组织可以结合自身业务特点和规模选择定制合适的风险评估方法，标准不强制统一方法，因此错误。10.√解析：ISO27001遵循PDCA循环，持续改进是核心原则，因此正确。四、案例分析题参考答案1.不符合项识别及理由：（1）场景1不符合：违反了ISO27001关于领导力和最高管理者职责的要求。理由：最高管理者需要确保ISMS目标与组织战略方向对齐，信息安全方针必须由最高管理者批准发布，该公司最高管理者未履行核心职责，将所有职责下放，不符合标准要求。（3分）（2）场景2不符合：违反了ISO27001关于信息安全风险接受的要求。理由：所有接受的风险必须经过授权主体的批准，不能