2025年信息系统安全专家安全运营中心合规性要求与标准框架专题试卷及解析.pdfVIP

2025年信息系统安全专家安全运营中心合规性要求与标准框架专题试卷及解析1

2025年信息系统安全专家安全运营中心合规性要求与标准

框架专题试卷及解析

2025年信息系统安全专家安全运营中心合规性要求与标准框架专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全运营中心（SOC）的合规性框架中，以下哪项标准主要关注个人信息处

理者的义务？

A、ISO27001

B、GDPR

C、NISTSP80053

D、PCIDSS

【答案】B

【解析】正确答案是B。GDPR（通用数据保护条例）是欧盟关于个人信息保护的

法规，明确规定了个人信息处理者的义务。A选项ISO27001是信息安全管理体系的国

际标准，更侧重于整体安全管理；C选项NISTSP80053是美国联邦政府信息系统的

安全控制指南；D选项PCIDSS专注于支付卡行业数据安全。知识点：数据保护法规。

易错点：混淆不同标准的适用范围。

2、SOC在实施合规性监控时，以下哪项技术最适合用于实时检测异常行为？

A、防火墙日志分析

B、SIEM系统

C、漏洞扫描

D、数据加密

【答案】B

【解析】正确答案是B。SIEM（安全信息和事件管理）系统能够实时收集、分析日

志并检测异常行为，是SOC的核心工具。A选项防火墙日志分析仅限于网络层；C选

项漏洞扫描是定期检查而非实时监控；D选项数据加密是防护措施而非检测技术。知识

点：SOC技术工具。易错点：误认为漏洞扫描或防火墙日志分析能实现实时检测。

3、根据ISO27001，以下哪项是SOC必须建立的关键文档？

A、应急响应计划

B、员工考勤记录

C、财务审计报告

D、市场营销策略

【答案】A

【解析】正确答案是A。ISO27001要求建立应急响应计划以应对安全事件，这是

SOC合规性的核心要求。B、C、D选项与信息安全管理无关。知识点：ISO27001文

2025年信息系统安全专家安全运营中心合规性要求与标准框架专题试卷及解析2

档要求。易错点：忽略应急响应计划的重要性。

4、在SOC合规性审计中，以下哪项属于“技术控制”？

A、安全培训

B、访问控制策略

C、入侵检测系统

D、物理门禁

【答案】C

【解析】正确答案是C。入侵检测系统（IDS）是技术控制，用于实时监控和检测威

胁。A、B、D选项分别属于管理控制、策略控制和物理控制。知识点：安全控制分类。

易错点：混淆技术控制与管理控制。

5、SOC在满足PCIDSS合规性时，以下哪项是必须定期执行的？

A、员工满意度调查

B、渗透测试

C、产品发布计划

D、客户回访

【答案】B

【解析】正确答案是B。PCIDSS要求定期进行渗透测试以验证系统安全性。A、C、

D选项与支付卡数据安全无关。知识点：PCIDSS合规要求。易错点：忽视渗透测试的

强制性。

6、以下哪项是SOC在NIST网络安全框架（CSF）中“识别”阶段的核心活动？

A、事件响应

B、资产管理

C、数据备份

D、漏洞修复

【答案】B

【解析】正确答案是B。NISTCSF的“识别”阶段强调资产管理，即了解系统、数据

和风险。A、C、D选项分别属于响应、恢复和保护阶段。知识点：NISTCSF阶段划

分。易错点：混淆各阶段的核心活动。

7、SOC在合规性报告中，以下哪项内容最可能被监管机构重点审查？

A、员工绩效评估

B、安全事件日志

C、办公设备采购记录

D、年度旅游计划

【答案】B

2025年信息系统安全专家安全运营中心合规性要求与标准框架专题试卷及解析3

【解析】正确答案是B。安全事件日志是SOC合规性报告的核心内容，反映安全事