信息安全等级测评师初级试题（附答案）.docxVIP

信息安全等级测评师初级试题（附答案）

一、单项选择题（每题2分，共20题）

1.依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》，以下哪项不属于第一级（用户自主保护级）系统的基本特征？

A.受到破坏后，会对公民、法人和其他组织的合法权益造成损害

B.不损害国家安全、社会秩序和公共利益

C.系统主要用于小型私营企业内部办公

D.受到破坏后，可能对社会秩序和公共利益造成严重损害

2.网络安全等级保护测评中，“测评单元”的划分依据是？

A.测评对象的物理位置

B.测评指标与测评对象的组合

C.信息系统的业务功能模块

D.测评人员的分工安排

3.以下哪项属于《GB/T28448-2019信息安全技术网络安全等级保护测评要求》中“安全物理环境”的测评指标？

A.应制定人员出入机房的登记制度

B.应实现网络设备的冗余部署

C.应关闭非必要的端口和服务

D.应对重要数据进行加密存储

4.某二级信息系统的测评结论为“不符合”，其核心条件是？

A.存在1个高风险项

B.关键测评项中不符合项的比例超过10%

C.安全控制措施缺失导致保护能力无法满足基本要求

D.存在任意数量的中风险项

5.现场测评时，验证“应启用访问控制功能，依据安全策略控制用户对资源的访问”的主要方法不包括？

A.检查防火墙的访问控制策略配置

B.模拟未授权用户尝试访问受限资源

C.查看系统日志中是否记录访问失败事件

D.访谈系统管理员确认策略制定流程

6.依据等级保护要求，三级系统的安全管理制度中，“安全策略”的更新周期应不超过？

A.1年

B.2年

C.6个月

D.3个月

7.以下哪项不属于“安全通信网络”层面的测评内容？

A.网络架构的冗余设计

B.边界访问控制策略

C.终端设备的防病毒软件安装情况

D.通信过程中的身份认证机制

8.测评过程中，发现某系统数据库的超级管理员账号未设置密码，该问题应归类为？

A.物理安全缺陷

B.网络安全缺陷

C.主机安全缺陷

D.应用安全缺陷

9.关于等级保护测评报告的“结论描述”，以下说法正确的是？

A.结论必须明确为“符合”或“不符合”

B.若存在整改项，结论应为“基本符合”

C.结论需结合不符合项的数量和风险等级综合判定

D.二级系统允许存在高风险项但结论仍为“符合”

10.现场测评时，对“安全审计”功能的验证不包括？

A.检查审计记录的完整性（如时间、用户、操作类型）

B.测试审计日志的存储容量是否满足6个月要求

C.验证审计事件的实时报警功能

D.查看审计策略是否覆盖所有重要操作

11.以下哪类系统必须定级为三级？

A.涉及1000人个人信息的教育机构管理系统

B.地市级金融机构的核心业务系统

C.小型电商平台的用户订单系统

D.社区医院的电子病历系统（服务5000人）

12.等级保护测评中，“单元测评结果”的判定依据是？

A.该单元所有测评指标的符合情况

B.测评人员的主观经验

C.被测评单位的整改承诺

D.上级主管部门的要求

13.某系统采用WindowsServer2019作为服务器操作系统，未安装任何安全补丁，该问题属于？

A.物理安全中的环境安全缺陷

B.主机安全中的身份鉴别缺陷

C.主机安全中的安全配置缺陷

D.应用安全中的代码安全缺陷

14.关于“安全管理机构”的测评要求，以下说法错误的是？

A.应设立信息安全管理委员会

B.应明确安全管理岗位的职责分工

C.二级系统可不设置专职安全管理人员

D.应定期召开安全工作会议

15.现场测评时，对“数据备份与恢复”的验证需检查？

A.备份介质的物理存放位置（如离线存储）

B.备份数据的加密算法强度

C.恢复测试的记录（如最近一次恢复演练的时间）

D.以上都是

16.以下哪项属于“安全扩展要求”的适用场景？

A.第一级系统的通用安全要求

B.涉及公民个人信息的三级系统

C.所有等级系统的基础防护

D.小型企业内部办公系统

17.测评方案编制阶段的核心输出是？

A.测评委托书

B.测评工具清单

C.测评实施计划

D.被测评系统的资产清单

18.某系统的网络边界仅部署了传统防火墙，未部署入侵检测系统（IDS），针对三级系统，该问题