2025年证券外包测试题及答案

2025年证券外包测试题及答案一、单项选择题（每题2分，共30分）1.根据《证券期货业信息系统外包服务指引》（2024年修订版），下列哪类外包服务需在签订合同前10个工作日向中国证监会备案？A.非核心业务的文档录入服务B.网上交易系统的日常运维C.客户资料的归档存储D.第三方行情软件的接口开发答案：B解析：修订版指引明确，涉及核心业务系统（如交易、结算、账户管理系统）的运维、开发外包需提前备案，网上交易系统属于核心业务系统范畴。2.证券外包服务中，服务商因技术故障导致交易中断超过2小时，根据《证券期货业网络和信息安全管理办法》，责任主体应为？A.服务商B.证券公司C.双方按合同比例分担D.证监会指定责任方答案：B解析：办法规定，证券公司作为信息系统运营责任主体，外包不转移安全责任，需对最终结果负责。3.外包服务中客户个人信息的存储应遵循“最小必要”原则，下列哪项不符合该原则？A.仅存储客户姓名、身份证号用于身份验证B.存储客户近3年所有交易记录用于风险分析C.存储客户手机号用于交易通知D.存储客户家庭住址用于营销推广答案：D解析：“最小必要”原则要求仅收集与服务直接相关的信息，家庭住址与交易服务无直接关联，用于营销推广超出必要范围。4.某券商将智能投顾算法开发外包给科技公司，需重点评估服务商的哪项能力？A.办公场地面积B.算法可解释性技术C.员工数量D.历史财务报表答案：B解析：智能投顾涉及投资者适当性管理，算法需具备可解释性以满足监管对“了解客户”的要求，是核心评估点。5.外包服务合同中，关于数据所有权的正确约定应为？A.数据所有权归服务商，券商拥有使用权B.数据所有权归双方共有C.数据所有权归券商，服务商仅获得处理授权D.数据所有权按开发投入比例划分答案：C解析：客户数据所有权属于券商，服务商仅能在合同约定范围内处理数据，不得主张所有权。6.根据《证券期货业数据安全指南》，外包过程中敏感数据传输应采用的加密方式是？A.RSA-1024B.AES-256C.DESD.MD5答案：B解析：指南推荐使用AES-256对称加密算法，其安全性优于RSA-1024（易受量子计算攻击）、DES（密钥过短）和MD5（哈希算法不用于传输加密）。7.外包服务商发生重大股权变更时，券商应在多长时间内完成重新评估？A.3个工作日B.10个工作日C.20个工作日D.30个工作日答案：B解析：《证券外包服务管理细则》规定，服务商股权结构、实际控制人变更可能影响服务稳定性，券商需在10个工作日内重新评估风险。8.以下哪项不属于外包服务中的操作风险？A.服务商员工误删交易数据B.因暴雨导致服务商机房断电C.服务商未按约定备份数据D.券商未审核服务商代码变更记录答案：B解析：操作风险主要指人为失误或流程缺陷，自然灾害（如暴雨）属于外部风险中的灾害风险。9.证券APP用户行为日志外包存储时，日志保留期限至少应为？A.6个月B.1年C.3年D.5年答案：C解析：《证券期货业客户信息保护规定》要求，用户行为日志作为交易记录的补充，需至少保留3年以满足监管追溯要求。10.外包测试中，针对交易系统的压力测试需模拟的最大并发量应为日常峰值的多少倍？A.1.2倍B.1.5倍C.2倍D.3倍答案：C解析：行业惯例要求压力测试需覆盖日常峰值的2倍，以验证系统在极端情况下的稳定性。11.某券商外包开发的新交易模块上线后，发现与原有系统存在兼容性漏洞，责任主要在于？A.服务商未做兼容性测试B.券商未参与测试过程C.双方未在合同中明确测试标准D.证监会未提前审核答案：C解析：外包合同需明确测试范围、标准及双方责任，未约定测试标准导致的漏洞，主要责任在合同条款不完善。12.跨境数据外包中，个人信息出境需通过的安全评估是？A.券商自行评估B.服务商所在地监管机构评估C.国家网信部门组织的安全评估D.行业协会评估答案：C解析：根据《数据出境安全评估办法》，证券行业涉及个人信息出境的，需通过国家网信部门组织的安全评估。13.外包服务中，服务商的保密义务在合同终止后仍需持续多久？A.6个月B.1年C.3年D.5年答案：D解析：行业惯例及多数外包合同约定，保密义务在合同终止后持续5年，以覆盖监管追溯期。14.以下哪项属于外包服务中的合规风险？A.服务商使用盗版软件B.服务商服务器带宽不足C.服务商员工流动性高D.服务商办公场地消防不达标答案：A解析：使用盗版软件违反知识产权法规，属于合规风险；其他选项属于技术或运营风险。15.券商对外包服务商的年度现场检查频率至少应为？A.每季度1次B.每半年1次C.每年1次D.每两年1次答案：C解析：《证券外包服务指引》要求，券商需每年至少对服务商进行1次现场检查，重点核查安全措施落实情况。二、多项选择题（每题3分，共30分）1.证券外包服务中，禁止外包的范围包括（）A.交易指令的实时执行B.客户账户的实时监控C.合规风控的核心算法D.客服热线的日常接听答案：ABC解析：核心业务操作（如交易执行、账户监控）、核心风控算法属于禁止外包范围，客服接听属于非核心业务可外包。2.外包前尽职调查需涵盖的内容有（）A.服务商的行业资质（如ISO27001认证）B.服务商过往服务的证券行业客户评价C.服务商实际控制人的背景调查D.服务商的员工绩效考核制度答案：ABC解析：尽职调查需关注资质、历史业绩、实际控制人风险，员工考核制度属于内部管理，非必要调查项。3.外包服务合同中必须明确的条款包括（）A.数据泄露的赔偿标准B.服务终止后的数据归属及处理方式C.服务商的技术架构细节D.重大故障的响应时间（如30分钟内到场）答案：ABD解析：合同需明确责任划分（如赔偿、响应时间）、数据处理要求，但技术架构细节属于服务商商业秘密，无需在合同中详细约定。4.外包服务中的技术风险主要包括（）A.系统兼容性不足B.算法模型偏差C.服务商财务破产D.数据传输延迟答案：ABD解析：财务破产属于信用风险，非技术风险。5.根据《证券期货业信息系统备份与恢复指引》，外包系统的备份要求包括（）A.本地实时备份B.异地异质备份C.备份数据的加密存储D.每月至少1次恢复演练答案：ABCD解析：指引要求“两地三中心”备份模式（本地+异地），数据加密，且每月演练确保恢复能力。6.外包服务商的退出机制应包含（）A.提前通知期限（如6个月）B.数据迁移的技术支持C.未结项目的责任划分D.退出后的保密义务延续答案：ABCD解析：退出机制需涵盖通知期、数据迁移、责任划分及保密延续，确保业务连续性。7.客户信息外包处理中，需遵守的原则有（）A.目的明确原则（仅用于约定服务）B.最少够用原则（仅收集必要信息）C.公开透明原则（告知客户外包情况）D.自主控制原则（券商保留最终管理权）答案：ABCD解析：四者均为《个人信息保护法》及证券行业规范要求的核心原则。8.外包服务中的声誉风险可能来源于（）A.服务商被媒体曝光数据泄露B.外包系统故障导致客户投诉C.服务商员工发表不当言论关联券商D.券商未及时披露外包信息答案：ABC解析：未及时披露外包信息属于合规风险，非声誉风险。9.智能风控系统外包开发时，需重点测试的内容有（）A.模型的误报率和漏报率B.算法的可解释性（如能说明风控规则）C.系统的响应延迟（如≤500ms）D.模型训练数据的来源合法性答案：ABCD解析：智能风控需关注准确性（误报/漏报）、可解释性、效率（响应时间）及数据合规性。10.外包服务审计中，需检查的文档包括（）A.服务商的安全事件报告记录B.券商与服务商的沟通日志C.外包系统的测试用例及结果D.服务商员工的社保缴纳记录答案：ABC解析：社保记录属于服务商内部管理，非审计必要文档。三、判断题（每题1分，共10分）1.证券外包服务中，券商可将客户身份识别（KYC）的全部流程外包给第三方。（）答案：×解析：KYC是反洗钱核心环节，券商需保留最终审核权，不得完全外包。2.服务商因技术升级需变更系统架构时，只需通知券商，无需重新评估风险。（）答案：×解析：系统架构变更可能影响服务稳定性，需重新评估并报券商确认。3.外包数据的销毁需采用物理破坏（如磁盘格式化）即可，无需记录过程。（）答案：×解析：数据销毁需采用不可逆方式（如消磁、安全擦除），并留存销毁记录备查。4.跨境外包中，服务商可将客户数据转存至其在境外的服务器，只需告知客户。（）答案：×解析：数据出境需通过安全评估，仅告知客户不满足合规要求。5.券商可将外包服务的日常监控外包给另一服务商，以降低管理成本。（）答案：×解析：监控是券商的主体责任，不得二次外包。6.服务商发生重大安全事件（如数据泄露）时，需在24小时内向券商报告。（）答案：√解析：《证券外包服务管理细则》规定，重大事件需24小时内报告，紧急情况需即时报告。7.外包测试中，只需验证功能正确性，无需测试异常场景（如输入错误数据）。（）答案：×解析：异常场景测试是确保系统健壮性的关键，必须覆盖。8.券商与服务商签订“责任全部转移”条款后，外包风险由服务商完全承担。（）答案：×解析：监管明确外包不转移责任，此类条款无效。9.外包服务的应急预案只需由服务商制定，券商无需参与。（）答案：×解析：券商需主导制定应急预案，并与服务商协同演练。10.为降低成本，券商可选择未通过ISO27001认证的服务商提供非核心外包服务。（）答案：√解析：非核心服务可根据实际情况选择服务商，但需评估其安全能力。四、简答题（每题6分，共30分）1.简述证券外包服务中“三审三备”的具体内容。答案：“三审”指外包前对服务商的资质审核、技术能力审核、合规记录审核；“三备”指核心系统外包需向证监会备案、外包合同关键条款向公司合规部门备案、外包风险评估报告向董事会备案。2.列举外包服务中数据安全管理的5项关键措施。答案：（1）数据分类分级（区分一般数据、敏感数据、核心数据）；（2）传输加密（使用AES-256等高强度算法）；（3）访问控制（最小权限原则，多因素认证）；（4）备份与恢复（异地异质备份，定期演练）；（5）销毁管理（不可逆销毁，记录留存）。3.券商对外包服务商进行现场检查时，需重点核查哪些方面？答案：（1）物理安全：机房门禁、消防、监控等设施；（2）数据安全：存储设备的访问日志、加密措施；（3）人员管理：接触敏感数据员工的背景调查记录；（4）应急管理：应急预案的完备性及最近一次演练记录；（5）合规情况：是否存在使用盗版软件、违规处理数据等行为。4.智能投顾外包开发中，需关注的特有风险有哪些？答案：（1）算法偏差风险：模型训练数据可能存在偏见，导致投资建议不公平；（2）可解释性风险：黑箱算法无法向客户说明决策逻辑，违反适当性管理要求；（3）动态调整风险：市场变化时算法未及时更新，导致策略失效；（4）数据合规风险：训练数据可能涉及未授权的客户信息。5.外包服务终止时，券商需完成哪些数据处理步骤？答案：（1）数据回收：要求服务商清空所有存储的客户数据，并提供数据销毁证明；（2）数据验证：通过技术手段（如哈希校验）确认数据已彻底删除；（3）迁移评估：评估数据迁移至新服务商或自有系统的完整性和安全性；（4）存档留存：保留数据处理过程的记录（如销毁证明、迁移日志）至少5年。五、案例分析题（共20分）案例：2025年5月，某券商将手机交易APP的开发与运维外包给科技公司X。上线3个月后，部分客户反馈登录时收到短信验证码被拦截，经排查发现X公司在开发过程中未对短信接口进行加密，导致验证码在传输中被中间人攻击截取。事件造成200余名客户账户被盗，损失合计约150万元。问题1：分析该事件中券商和X公司的责任划分。（10分）答案：券商责任：（1）未在合同中明确数据传输的加密要求，导致技术标准缺失；（2）未对X公司的开发过程进行有效监控，未发现接口未加密的漏洞；（3）作为信息安全责任主体，需对客户损失承担最终赔偿责任。X公司责任：（1）违反合同约定的安全义务（未执行加密