信息安全管理体系ISMS真题及答案.docxVIP

信息安全管理体系ISMS练习题及答案

一、单项选择题（每题2分，共20题，40分）

1.以下哪项是ISO/IEC27001:2022标准中定义的信息安全核心目标？

A.确保信息的必威体育官网网址性、完整性和可用性（CIA三元组）

B.实现信息系统的高可靠性

C.满足所有利益相关方的合规要求

D.降低信息资产的采购成本

答案：A

解析：ISO/IEC27001明确将信息安全定义为保护信息的必威体育官网网址性（Confidentiality）、完整性（Integrity）和可用性（Availability），即CIA三元组。

2.在信息安全管理体系（ISMS）的PDCA循环中，A（改进）阶段的核心活动是？

A.制定信息安全方针和目标

B.定期进行内部审核和管理评审

C.实施风险评估和控制措施

D.监控信息安全事件并记录

答案：B

解析：PDCA循环中，A（改进）阶段主要通过内部审核、管理评审等活动，识别体系运行中的问题并推动持续改进。

3.某企业在进行信息安全风险评估时，采用资产价值×脆弱性×威胁计算风险值，这种方法属于？

A.定性评估法

B.半定量评估法

C.定量评估法

D.基于场景的评估法

答案：C

解析：通过具体数值（资产价值、脆弱性、威胁）相乘计算风险值属于定量评估法，而定性评估通常使用高/中/低等描述。

4.根据ISO/IEC27001要求，信息安全方针的制定主体应为？

A.信息安全部门负责人

B.最高管理层

C.IT运维团队

D.第三方认证机构

答案：B

解析：标准明确要求信息安全方针需由最高管理层批准，以确保战略层面的支持和资源保障。

5.以下哪项不属于ISO/IEC27002:2022规定的信息安全控制措施类别？

A.物理和环境安全

B.人力资源安全

C.数据备份与恢复

D.供应链安全

答案：C

解析：ISO/IEC27002将控制措施分为14个类别（如A.6人力资源安全、A.9物理和环境安全、A.15供应链安全），数据备份属于A.10（操作安全）下的具体控制项。

6.当组织确定某个信息安全风险的剩余风险可接受时，应采取的处理策略是？

A.风险规避（终止相关活动）

B.风险转移（购买保险）

C.风险接受（保持现有控制）

D.风险降低（增加控制措施）

答案：C

解析：剩余风险可接受时，组织选择接受风险并持续监控；若不可接受则需采取降低、转移或规避措施。

7.ISMS文件化信息的最低要求不包括？

A.信息安全方针

B.风险评估报告

C.岗位操作手册

D.范围声明

答案：C

解析：ISO/IEC27001要求的文件化信息包括方针、范围、风险评估方法、风险处理计划等，岗位操作手册属于组织内部可选的支持性文件。

8.某银行开展ISMS认证时，认证机构现场审核的重点是？

A.信息系统的技术参数

B.体系与ISO/IEC27001要求的符合性和有效性

C.员工的信息安全培训时长

D.过去一年的信息安全事件数量

答案：B

解析：认证审核的核心是验证ISMS是否符合标准要求（符合性），以及是否有效运行（有效性）。

9.在信息资产分类中，客户交易记录属于？

A.硬件资产

B.软件资产

C.数据资产

D.服务资产

答案：C

解析：客户交易记录属于结构化或非结构化的数字信息，归类为数据资产。

10.以下哪项是信息安全事件管理的首要目标？

A.追究事件责任人

B.快速恢复业务并减少影响

C.向监管机构报告事件

D.更新安全策略

答案：B

解析：事件管理的核心是通过快速响应将业务影响降到最低，其次才是分析、报告和改进。

11.ISO/IEC27001:2022相比2013版，新增的关键要求是？

A.强调领导力和业务环境理解

B.明确风险评估的具体方法

C.增加云服务安全控制

D.规定内部审核的频率

答案：A

解析：2022版标准强化了领导力（Leadership）和理解组织及其环境（Contextoftheorganization）的要求，体现了与ISO管理体系标准族（如ISO9001）的一致性。

12.某企业将用户密码存储策略从6位数字改为8位以上字母+数字+符号组合，这属于哪种风险处理策略？

A.风险规避

B.风险降低

C.风险转移

D.风险接受

答案：B

解析：通过增强密码复杂度要求（技术控制措施）降低密码被破解的风险，属于风险降低策略