2025年信息系统安全专家法律法规符合性评估与审计专题试卷及解析.pdfVIP

2025年信息系统安全专家法律法规符合性评估与审计专题试卷及解析1

2025年信息系统安全专家法律法规符合性评估与审计专题

试卷及解析

2025年信息系统安全专家法律法规符合性评估与审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品

和服务，可能影响国家安全的，应当通过什么审查？

A、行业自律审查

B、网络安全审查

C、第三方认证

D、内部风险评估

【答案】B

【解析】正确答案是B。《网络安全法》第三十五条规定，关键信息基础设施的运营

者采购网络产品和服务，可能影响国家安全的，应当通过网络安全审查。A选项行业自

律审查不具有法律强制性；C选项第三方认证不是国家安全审查的法定形式；D选项内

部风险评估不能替代国家层面的安全审查。知识点：网络安全审查制度。易错点：容易

混淆不同类型的审查机制，需注意国家安全层面的特殊要求。

2、在信息系统安全审计中，ISO/IEC27001标准要求组织应建立和保持什么文件

化程序？

A、员工绩效考核程序

B、信息安全事故管理程序

C、设备采购审批程序

D、市场推广活动程序

【答案】B

【解析】正确答案是B。ISO/IEC27001附录A.16明确要求建立信息安全事故管理

程序，这是信息安全管理体系的核心要求之一。A、C、D选项虽然也是组织需要的程

序，但不属于信息安全管理体系强制要求的程序。知识点：ISO/IEC27001标准要求。

易错点：容易将一般管理程序与信息安全特定程序混淆。

3、根据《数据安全法》，数据处理者处理个人信息时，应当遵循什么原则？

A、效率优先原则

B、最小必要原则

C、利润最大化原则

D、技术先进性原则

【答案】B

2025年信息系统安全专家法律法规符合性评估与审计专题试卷及解析2

【解析】正确答案是B。《数据安全法》和《个人信息保护法》都明确要求处理个人

信息应遵循最小必要原则，即限于实现处理目的的最小范围。A、C、D选项都不是个

人信息处理的法律原则。知识点：个人信息处理原则。易错点：容易将商业原则与法律

原则混淆。

4、在信息系统安全审计中，以下哪项不属于控制测试的类型？

A、询问程序

B、观察程序

C、重新执行

D、财务报表分析

【答案】D

【解析】正确答案是D。控制测试包括询问、观察、检查、重新执行等程序，而财

务报表分析属于实质性程序。A、B、C都是标准的控制测试方法。知识点：审计程序

分类。易错点：容易混淆控制测试与实质性测试的区别。

5、根据《密码法》，商用密码产品实行什么管理？

A、完全市场化管理

B、自愿认证管理

C、强制检测认证制度

D、行业推荐管理

【答案】C

【解析】正确答案是C。《密码法》第二十六条规定，商用密码产品实行强制检测认

证制度。A、B、D选项都不符合法律要求。知识点：密码产品管理制度。易错点：容

易混淆不同密码产品的管理要求。

6、在信息系统安全审计中，审计证据的适当性是指什么？

A、证据数量足够

B、证据来源可靠且相关

C、证据获取成本低

D、证据格式规范

【答案】B

【解析】正确答案是B。审计证据的适当性指证据的相关性和可靠性，A选项描述

的是充分性，C、D不是审计证据质量的核心要求。知识点：审计证据特性。易错点：容

易混淆适当性与充分性的概念。

7、根据《个人信息保护法》，敏感个人信息包括以下哪项？

A、手机号码

B、电子邮箱

C、生物识别信息

2025年信息系统安全专家法律法规符合性评估与审计专题试卷及解析3

D、家庭住址

【答案】C

【解析】正确答案是C。《个人信息保护法》第二十八条明确将生物识别信息列为敏

感个人信息，A、B