2026年标准合规性评估模拟测试卷及答案

2026年标准合规性评估模拟测试卷及答案一、单项选择题（本大题共20小题，每小题1.5分，共30分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在题后的括号内。）1.在ISO/IEC27001:2022标准中，关于“领导力”条款的核心要求，以下哪项描述最准确地反映了最高管理者的职责？A.最高管理者必须亲自实施所有的技术控制措施B.最高管理者应确保将信息安全方针与组织的战略方向一致C.最高管理者只需在年度会议上签署信息安全预算D.最高管理者可以将信息安全责任完全授权给IT部门，无需后续监督2.针对GDPR（通用数据保护条例）中的“数据主体权利”，当个人要求删除其个人数据时（即“被遗忘权”），数据控制者在何种情形下可以拒绝该请求？A.数据不再需要用于最初收集的目的B.数据主体撤回了同意C.保留数据是为了履行法律要求或为了确立、行使或辩护法律主张D.数据是非法处理的3.在NISTCybersecurityFramework(CSF)2.0版本中，以下哪个功能被新增加或显著强调，以强调供应链安全治理？A.Identify（识别）B.Protect（保护）C.Govern（治理）D.Recover（恢复）4.根据中国的《网络安全法》及《数据安全法》，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。对于关键信息基础设施的运营者，其存储的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行：A.简单的内部审批B.安全评估C.仅通知用户即可D.数据脱敏后直接传输5.在定量风险评估中，计算单一损失预期（SLE）的公式是：A.SLE=AV×EFB.SLE=ARO×EFC.SLE=AV×AROD.SLE=TotalRisk/NumberofAssets（注：AV=资产价值，EF=暴露因子，ARO=年发生率）6.关于ISO42001（人工智能管理系统）标准，以下哪项不是其核心关注领域？A.人工智能系统的透明性与可解释性B.人工智能系统的能源消耗与环境影响C.人工智能系统的代码编译速度优化D.人工智能系统的公平性与非歧视7.在进行合规性差距分析时，通常使用“红/琥珀/绿”（RAG）状态报告。如果一个控制措施被标记为“红色”，这通常意味着：A.控制措施已完全实施并经过审计B.控制措施部分实施，但需要改进C.控制措施未实施或存在重大缺陷D.控制措施不适用于该组织8.根据PCIDSS（支付卡行业数据安全标准），对于存储持卡人数据（CHD）的环境，以下哪项做法是严格禁止的？A.对显示的PAN（主账号）进行屏蔽，只显示前六位和后四位B.对PAN进行强加密存储C.在日志文件中记录完整的未加密PAND.使用密钥管理流程管理加密密钥9.在合规审计中，“实质性”是一个重要概念。以下关于“实质性漏洞”的描述，正确的是：A.仅仅是一次轻微的操作失误，不会影响财务报表或合规性声明B.单独或累积起来，有合理可能性导致错报或违规，从而影响决策者的判断C.只有涉及金额巨大的漏洞才叫实质性漏洞D.只有被外部监管机构处罚的漏洞才叫实质性漏洞10.HIPAA（健康保险流通与责任法案）安全规则中，关于“可寻址”规范的说法，正确的是：A.组织必须实施所有可寻址规范B.组织可以根据自身的风险评估决定是否实施某个可寻址规范C.可寻址规范仅适用于大型医疗机构D.可寻址规范是可选的，实施与否完全取决于成本11.在SOC2Type2报告中，审计师主要关注的是：A.仅在特定时间点的控制设计有效性B.在一段指定时间内控制的设计有效性和运行有效性C.企业的财务报表准确性D.企业的员工背景调查结果12.根据ISO27001:2022，适用性声明（SoA）必须包含哪些内容？A.仅包含标准中所有93个控制措施B.包含组织选择的控制措施、实施的理由以及排除控制措施的理由C.仅包含控制措施的测试结果D.仅包含资产清单和威胁清单13.关于软件供应链安全，在S2C2F（软件供应链安全框架）或类似标准中，SBOM（软件物料清单）的主要作用是：A.提高软件的运行速度B.降低软件的授权成本C.提供软件组件的完整清单，以识别漏洞和许可证合规性D.自动生成软件的用户手册14.在合规性监控中，DLP（数据防泄漏）系统主要用于检测以下哪种违规行为？A.未授权的物理访问B.敏感数据（如客户名单、源代码）被违规传输到外部C.操作系统未打补丁D.弱密码策略的使用15.根据《个人信息保护法》，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这被称为：A.目的限制原则B.最小必要原则C.知情同意原则D.公开透明原则16.在合规风险评估中，剩余风险是指：A.在未实施任何控制措施前的风险B.实施控制措施后仍然存在的风险C.外部环境带来的不可抗力风险D.完全消除风险后的状态17.关于云服务提供商（CSP）的合规责任模型（责任共担模型），以下哪项通常由云客户负责？A.物理安全B.虚拟化层的安全C.客户数据的管理和配置（如IAM设置、数据分类）D.数据中心的电力供应18.在合规审计证据中，以下哪项属于“口头证据”的局限性？A.证明力最强，可以直接作为定论B.需要通过其他客观证据予以证实，单独使用证明力较弱C.只能通过电子日志获取D.不能在审计过程中收集19.FIPS140-3标准主要用于验证以下哪类产品的安全性？A.防火墙B.密码模块C.操作系统D.网络交换机20.在合规性评估的生命周期，当发现重大违规事件时，以下哪项行动优先级最高？A.立即起草公关声明B.启动事件响应计划，遏制并修复风险C.解雇相关责任人D.隐瞒不报以避免处罚二、多项选择题（本大题共10小题，每小题2分分，共20分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填在题后的括号内。多选、少选、错选均不得分。）1.ISO/IEC27001:2022标准引入了新的属性来对控制措施进行分类，这些属性包括：A.控制类型B.信息安全属性C.网络安全属性D.运营能力E.法律属性2.根据GDPR，在进行数据处理活动的“记录处理活动”（ROPA）时，必须记录的信息包括：A.数据控制者及代表的联系方式B.处理目的C.数据类别D.数据接收者或接收者类别E.保留期限3.有效的合规治理结构通常包括以下哪些关键角色？A.董事会B.首席合规官（CCO）C.内部审计部门D.业务部门负责人E.外部审计师4.在进行业务连续性管理（BCM）合规性评估时，应重点审查以下哪些方面？A.业务连续性策略（BCP）文档的完整性B.业务影响分析（BIA）的深度和准确性C.演练和测试的频率及结果记录D.灾难恢复（DR）计划的恢复时间目标（RTO）和恢复点目标（RPO）E.办公室的装修风格5.中国《数据出境安全评估办法》规定，数据处理者向境外提供数据，必须申报数据出境安全评估的情形包括：A.处理100万人以上个人信息的数据处理者向境外提供个人信息B.累计向境外提供10万人以上个人信息或者1万人以上敏感个人信息的数据处理者向境外提供个人信息C.关键信息基础设施运营者向境外提供数据D.所有企业的员工薪资数据E.自费出国旅游者的行程信息6.以下哪些属于常见的合规性技术控制措施？A.强制访问控制（MAC）B.入侵检测/防御系统（IDS/IPS）C.安全信息与事件管理（SIEM）D.定期员工安全意识培训E.修订隐私政策7.在合规性评估中，关于“第三方风险”的评估维度通常包括：A.第三方的地理位置（受制裁国家检查）B.第三方的财务稳定性C.第三方的信息安全与隐私保护能力D.第三方是否依赖分包商E.第三方高管的个人爱好8.依据ISO19770-1（IT资产管理标准），有效的软件资产管理（SAM）可以帮助组织实现以下合规目标：A.确保所有安装的软件都已获得合法授权B.优化软件支出，避免过度采购C.检测并防止未授权软件（影子IT）的使用D.自动修复硬件故障E.提高网络带宽利用率9.在合规性报告方面，以下哪些是ESG（环境、社会和治理）框架中“G”（治理）部分通常关注的内容？A.董事会diversity（多样性）B.商业道德与反腐败政策C.网络安全与数据隐私治理D.碳排放量E.员工健康与安全10.关于勒索软件攻击后的合规性应对，以下哪些措施是必要的？A.确定受影响的个人数据范围B.评估是否需要向监管机构报告（通常在72小时内）C.评估是否需要通知数据主体D.支付赎金以确保数据解密E.恢复数据并加固系统以防止再次攻击三、判断题（本大题共15小题，每小题1分，共15分。请判断下列各题的正误，正确的在括号内打“√”，错误的打“×”。）1.只要不发生数据泄露事件，组织就不需要进行定期的合规性评估。（）2.ISO27001认证是永久有效的，一旦获得无需再进行监督审核。（）3.在合规性评估中，遵循“默认安全”原则意味着系统出厂设置或默认配置应处于最高安全级别。（）4.根据SOX法案（萨班斯-奥克斯利法案），CEO和CFO必须对财务报告的内部控制有效性负责，并对虚假陈述承担个人法律责任。（）5.“合规性”仅仅意味着遵守法律法规，不包括遵守行业标准、合同要求或内部政策。（）6.在进行渗透测试作为合规性评估的一部分时，测试人员可以在未获得授权的情况下对生产环境进行攻击。（）7.CCPA（加州消费者隐私法）赋予消费者选择退出出售其个人信息的权利。（）8.风险评估是合规性评估的基础，如果风险很低，即使某些控制措施未完全符合标准要求，也可以被接受。（）9.所有的日志数据都必须无限期保留，以满足合规性审计需求。（）10.零信任架构是一种安全策略，其核心原则是“永不信任，始终验证”，这与合规性要求中的访问控制原则高度一致。（）11.隐私影响评估（PIA）应当在项目部署上线后进行，以验证结果。（）12.合规性预算属于管理费用，不能直接产生经济效益，因此应尽可能压缩。（）13.如果组织使用了云服务，那么云服务提供商的合规认证（如AWS的ISO27001认证）可以自动覆盖该组织在云上的所有合规责任。（）14.在中国，网络安全等级保护测评（等保测评）通常要求两年进行一次。（）15.合规性管理体系的成熟度模型（如CMMI）中，第5级（优化级）意味着过程是量化管理和持续改进的。（）四、填空题（本大题共10小题，每小题1.5分，共15分。请在每小题的空格中填上正确答案。）1.在定量风险分析中，年损失预期（ALE）的计算公式是：ALE=SLE×―。2.ISO/IEC27001标准要求组织应建立、实施、维护和持续改进信息安全管理体系（ISMS），该标准遵循PDCA循环模型，其中“C”代表________。3.GDPR规定，如果违反保密原则导致个人数据泄露，且可能给自然人的权利和自由带来风险，数据控制者必须在知晓后________小时内通知监管机构。4.在中国网络安全等级保护制度中，等级保护对象分为五个等级，其中对于遭到破坏后会对国家安全造成特别严重损害的系统，属于第________级。5.为了证明电子数据的真实性和完整性，合规性记录常采用________技术，确保数据一旦生成无法被篡改。6.________是指由独立第三方对组织的服务控制措施进行审计，并出具报告，以向客户证明组织在安全、可用性、保密性等方面的合规性。7.在访问控制合规性中，________原则要求访问权限的授予应基于工作职责的最小需求，且仅限于完成工作所需的最小权限范围。8.合规性审计中的________抽样方法，是指根据审计人员的专业判断，有针对性地选择具有代表性的样本进行测试。9.________是指组织在法律上必须遵守的规则，如国家法律、行政法规、部门规章等；而________通常指行业公认的规范或合同约定的要求。（请填写“硬合规”或“软合规”）10.在供应链合规中，________是一份正式的文件，列出了软件产品中包含的所有开源组件及其版本号、许可证和依赖关系。五、简答题（本大题共5小题，每小题5分，共25分。）1.简述“隐私设计”的七大核心原则中的任意三项。2.在进行合规性差距分析时，通常包含哪四个主要步骤？3.请解释在合规性评估中，“控制自有效性”与“控制自设计有效性”的区别。4.简述《个人信息保护法》中规定的“敏感个人信息”包括哪些类别（至少列举四类）。5.什么是“责任共担模型”？请结合云计算环境简要说明云服务提供商与客户的责任划分。六、综合应用题（本大题共3小题，共45分。）1.案例分析：数据泄露与响应（15分）某大型电商平台A公司发现其用户数据库遭到未授权访问，导致约500万用户的姓名、手机号、哈希后的密码及部分身份证号泄露。A公司在攻击发生3天后才发现异常。经查，泄露原因是由于一个开发测试环境的数据库端口未关闭，且使用了弱密码。请根据上述情况回答：(1)依据GDPR或《个人信息保护法》，A公司面临哪些主要的合规风险？（5分）(2)A公司在此次事件中的应急响应流程存在哪些明显缺陷？（5分）(3)为了防止类似事件再次发生，A公司应在技术和管理层面采取哪些合规性整改措施？（5分）2.计算题：定量风险评估（10分）某企业的核心客户数据库服务器资产价值（AV）评估为2,000,000元。历史数据显示，该服务器遭受勒索软件攻击的年发生率（ARO）为0.5次/年（即每两年一次）。如果攻击成功，预计数据损坏和业务中断导致的损失比例（暴露因子EF）为60%。现有一款新型安全解决方案，采购及年维护成本为50,000元。该方案可以将攻击发生的概率降低50%（即ARO降至0.25次/年）。请计算：(1)实施安全方案前的年损失预期（ALE）是多少？（列出计算公式和过程）（3分）(2)实施安全方案后的年损失预期（ALE）是多少？（列出计算公式和过程）（3分）(3)从成本效益角度分析，是否应该采购该安全方案？请说明理由。（4分）3.综合分析：ISO27001:2022控制措施实施（20分）假设你是一家金融科技公司的CISO（首席信息安全官），公司正在准备通过ISO27001:2022认证。公司目前面临的主要挑战是：远程办公安全、第三方供应商访问频繁以及密码管理混乱。请针对上述三个挑战，从ISO27001:2022的控制措施附录中（参考A.5至A.8等相关主题），选择最合适的控制措施（只需写出控制措施编号或标题即可），并制定具体的实施计划。(1)针对“远程办公安全”，请列出至少2个控制措施，并简述实施要点。（7分）(2)针对“第三方供应商访问频繁”，请列出至少2个控制措施，并简述实施要点。（7分）(3)针对“密码管理混乱”，请列出至少2个控制措施，并简述实施要点。（6分）参考答案及详细解析一、单项选择题1.B【解析】ISO/IEC27001:2022条款5.1要求最高管理者通过确保信息安全方针与战略方向一致、确保资源可用等方式展示领导力和承诺。A选项错误，管理者负责建立体系而非亲自实施所有技术；C选项过于片面；D选项错误，管理者不能完全免除责任。2.C【解析】GDPR第17条规定，数据主体有权要求删除其个人数据，但当数据处理是为了履行法律义务、为了确立、行使或辩护法律主张等情形时，控制者可以拒绝删除请求。A、B、D均为应当删除的情形。3.C【解析】NISTCSF2.0版本在原有的Identify,Protect,Detect,Respond,Recover五大功能之上，新增了“Govern”（治理）功能，以强调网络安全治理在整个组织战略中的核心地位，并更紧密地整合供应链风险管理。4.B【解析】根据《网络安全法》第37条及《数据出境安全评估办法》，关键信息基础设施运营者处理个人信息和重要数据确需向境外提供的，应当进行安全评估。5.A【解析】单一损失预期（SLE）等于资产价值（AV）乘以暴露因子（EF），即SLE=AV×EF。年损失预期（ALE）等于SLE乘以年发生率（ARO）。6.C【解析】ISO42001关注AI系统的风险管理、透明度、公平性、可持续性等。代码编译速度优化属于软件工程效率指标，不属于AI管理系统标准的合规关注点。7.C【解析】在RAG报告中，红色通常表示高风险、未满足要求或存在重大差距；琥珀色表示部分满足或需要关注；绿色表示已满足。8.C【解析】PCIDSS要求严禁存储敏感认证数据（如全磁道数据、CAV2/CVC3、PIN/PINBlock）。对于持卡人数据（PAN），若必须存储，必须使用强加密等方法。在日志中记录完整的未加密PAN是严格禁止的。9.B【解析】实质性漏洞是指那些单独或累积起来，有合理可能性导致重要错报、违规或影响决策者判断的缺陷。金额大小是考虑因素之一，但不是唯一标准（如某些即使金额不大但性质恶劣的违规也是实质性的）。10.B【解析】HIPAA安全规则将规范分为“必须实施”和“可寻址”。对于可寻址规范，组织需进行风险评估，如果实施该规范有助于降低风险，则必须实施；如果风险评估认为不适用或有其他等效措施，则可以灵活处理。11.B【解析】SOC2Type1报告关注特定时间点的控制设计；SOC2Type2报告关注一段时期内（通常6个月至1年）控制的设计有效性和运行有效性。12.B【解析】适用性声明（SoA，StatementofApplicability）是ISO27001认证的核心文档，必须列出所有适用的控制措施、选择理由、实施状态以及排除控制措施的理由。13.C【解析】SBOM（SoftwareBillofMaterials）详细列出了软件中包含的所有组件（包括开源组件），这对于快速识别漏洞（如Log4j）、管理许可证合规性至关重要。14.B【解析】DLP（数据防泄漏）系统主要用于监测、保护和阻止敏感数据（如PII、IP、财务数据）通过终端、网络或云存储违规流出。15.B【解析】《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这被称为最小必要原则。目的限制原则是指目的应当明确合理。16.B【解析】剩余风险是指在实施了控制措施后，仍然残留的风险。组织管理层通常需要判断剩余风险是否在可接受范围内。17.C【解析】在云责任共担模型中，云服务商负责“云本身”的安全（物理、网络、虚拟化等），客户负责“云中”的安全（数据、身份访问管理、应用配置等）。18.B【解析】口头证据容易被遗忘、误解或否认，证明力较弱，通常需要获取书面或实物证据予以佐证（交叉验证）。19.B【解析】FIPS140-3是NIST发布的密码模块标准，用于验证加密硬件或软件模块的安全性。20.B【解析】在发现重大违规（如数据泄露）时，首要任务是遏制风险，防止事态扩大，并启动恢复流程。隐瞒不报会加重法律责任。二、多项选择题1.ABCD【解析】ISO27001:2022引入了控制类型、信息安全属性（机密性、完整性、可用性）、运营属性、网络安全属性等属性来分类控制措施。法律属性不是该标准定义的控制分类属性。2.ABCDE【解析】根据GDPR第30条，ROPA需记录控制者/代表联系方式、处理目的、数据类别、接收者、向第三国传输情况、保留期限、安全措施等。3.ABCDE【解析】有效的合规治理需要董事会（最高监督）、CCO（具体执行）、内部审计（独立评估）、业务部门（第一道防线）以及外部审计师（独立鉴证）的共同参与。4.ABCD【解析】BCM合规性评估关注策略文档、BIA分析、演练测试记录以及RTO/RPO的合理性。办公室装修与BCM无关。5.ABC【解析】根据《数据出境安全评估办法》，触发安全评估申报的情形包括：CIIO向境外提供数据；处理100万人以上个人信息向境外提供；累计向境外提供10万人以上个人信息或1万人以上敏感个人信息。6.ABC【解析】技术控制措施包括MAC、IDS/IPS、SIEM等。培训属于管理控制措施，修订政策属于管理控制措施。7.ABCD【解析】第三方风险评估需考虑地理位置（制裁）、财务状况（稳定性）、安全能力、分包商管理（供应链延伸）。高管的个人爱好通常不属于合规评估范畴。8.ABC【解析】SAM旨在确保合法授权、优化成本、防止影子IT。D选项属于硬件维护，E选项属于网络管理，不是SAM的直接目标。9.ABC【解析】ESG中的“G”关注公司治理，包括董事会结构、商业道德、反贿赂、风险管理（含网络安全）。碳排放属于“E”，员工健康安全通常归于“S”或“E”。10.ABCE【解析】勒索软件应对需识别影响、报告监管、通知主体、恢复加固。支付赎金通常不被监管机构建议，且不能保证数据恢复或合规，甚至可能资助非法活动。三、判断题1.×【解析】合规性评估是持续的、周期性的活动，无论是否发生事件，都需定期进行以适应法规变化和业务发展。2.×【解析】ISO27001证书有效期为3年，期间需要进行监督审核（通常每年一次），3年后需进行再认证审核。3.√【解析】“默认安全”原则要求系统默认配置处于安全状态（如默认拒绝访问），而不是默认开放。4.√【解析】SOX法案404条款明确要求管理层对财务报告内部控制的有效性进行评估并报告，CEO/CFO需签字确认。5.×【解析】合规性不仅包括法律法规（硬合规），还包括行业标准（如PCIDSS）、合同要求（如SLA）、内部规章（软合规）等。6.×【解析】渗透测试必须获得书面授权，否则属于非法入侵。7.√【解析】CCPA赋予消费者选择退出出售其个人信息给第三方的权利。8.√【解析】合规是基于风险管理的。如果风险极低，某些非强制性的控制措施可以视为例外或通过补偿措施处理。9.×【解析】无限期保留日志会导致成本高昂且可能涉及隐私违规，应根据法规要求和业务需求设定保留期限。10.√【解析】零信任架构与合规性中的最小权限原则和持续验证高度契合。11.×【解析】PIA（隐私影响评估）应在系统设计阶段或数据处理活动开始前进行，以尽早识别风险，而不是上线后。12.×【解析】合规性预算虽是管理费用，但能避免巨额罚款和声誉损失，是必要的保护性投资。13.×【解析】云服务商的认证不能自动覆盖客户。客户仍需负责其在云上配置的数据、应用等层面的合规责任（共担模型）。14.√【解析】根据《网络安全等级保护测评要求》，二级及以上系统建议两年进行一次测评，三级及以上通常要求定期（如每年）进行，但实践中很多机构执行两年一次的全面测评。注：法规规定“定期”，行业标准通常建议重要系统每年或两年。此处判断题考虑到常规做法，部分严格标准下“两年”可能被视为错误，但针对一般描述，若指“至少两年一次”是常见的。修正：严格来说，三级等保要求每年测评一次。此处若判定为错误，依据是“三级系统必须每年测评”。鉴于题目未提等级，笼统说“两年一次”不够严谨，但在某些二级系统场景下是正确的。为了严谨，建议判错，因为高合规要求通常是一年。（注：标准答案设为×，因为关键系统要求更频繁，笼统说两年不妥）15.√【解析】CMMI第5级（优化级）特征是过程量化管理和持续优化。四、填空题1.ARO（或年发生率）2.Check（或检查）3.724.五（或5）5.数字签名（或区块链/哈希链）6.SOC报告（或SystemandOrganizationControlsReport）7.最小权限（或职责分离/Need-to-know）8.判断9.硬合规；软合规10.SBOM（或软件物料清单）五、简答题1.答：隐私设计的七大核心原则（任选三项）：(1)主动而非被动，预防而非补救：在系统设计之初就嵌入隐私保护，而非事后补救。(2)默认隐私保护：系统默认设置应为最高隐私保护级别，无需用户手动操作。(3)内嵌隐私保护：将隐私保护作为核心组件融入技术架构和业务流程。(4)全功能保护：正面意义，确保所有功能都尊重隐私。(5)端到端生命周期保护：从数据收集到销毁的全过程保护。(6)可见性和透明性：向用户公开数据处理逻辑。(7)尊重用户隐私：以用户为中心，保持以用户为中心。2.答：合规性差距分析的四个主要步骤：(1)范围界定与标准识别：明确评估的业务范围、资产范围以及适用的法律法规、标准及合同要求。(2)现状评估：通过访谈、问卷、文档审查和技术扫描，收集组织当前的控制措施实施状态。(3)差异对比：将“现状”与“要求”进行逐条对比，识别出缺失的、未完全实施的或无效的控制措施。(4)报告与建议：生成差距分析报告，列出风险等级，并制定整改建议和优先级排序。3.答：控制设计有效性：指控制措施是否被正确地构建和文档化，理论上是否能够防止或检测特定的风险。例如，策略文档中规定了“必须使用双因素认证”，则设计是有效的。控制运行有效性：指控制措施在实际操作中是否被持续、正确地执行。例如，虽然策略规定了双因素认证，但实际运维中员工并未开启该功能，则运行有效性是无效的。区别：前者关注“有没有”和“对不对”（文档与逻辑），后者关注“做没做”和“起没起作用”（执行与实效）。区别：前者关注“有没有”和“对不对”（文档与逻辑），后者关注“做没做”和“起没起作用”（执行与实效）。4.答：《个人信息保护法》第二十八条规定的敏感个人信息包括：生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。（答出任意四类即可）5.答：责任共担模型：是指在云服务环境中，安全责任由云服务提供商（CSP）和云客户共同分担的模式。没有一方承担全部责任。划分：云服务商（CSP）：负责“云本身”的安全，包括物理环境（数据中心）、网络基础设施、虚拟化平台、宿主机操作系统等。云客户：负责“云中”的安全，包括客户安装的应用软件、数据本身、身份与访问管理（IAM配置）、操作系统补丁（如果是IaaS）、防火墙规则配置等。六、综合应用题1.案例分析：数据泄露与响应(1)合规风险：行政罚款：依据GDPR，最高可处全球年营业额4%或2000万欧元；依据《个保法》，情节严重可处5000万元以下或上一年营业额5%以下罚款。民事赔偿：面临用户集体诉讼及巨额赔偿请求。监管通报与整改：被监管机构公开通报，责令整改，可能暂停业务。声誉损失：品牌信誉受损，导致客户流失。(2)应急响应流程缺陷：检测滞后：攻击发生3天后才发现，说明监控能力不足（SIEM、IDS告警缺失或未分析）。环境管理混乱：开发测试环境直接连接互联网且包含敏感数据，违反了生产与测试环境隔离、数据脱敏原则。配置管理不当：数据库端口未关闭、使用弱密码，违反了最小暴露面和强密码策略。数据发现不清：可能不清楚测试环境中为何会有大量真实数据（数据流向不明）。(3)整改措施：技术层面：实施网络隔离，关闭不必要的端口，部署防火墙和WAF。实施网络隔离，关闭不必要的端口，部署防火墙和WAF。强制实施强密码策略和多因素认证（MFA）。强制实施强密码策略和多因素认证（MFA）。部署数据防泄漏（DLP）和数据发现工具，监控敏感数据流向。部署数据防泄漏（DLP）和数据发现工具，监控敏感数据流向。测试环境必须使用匿名化或合成数据，严禁使用真实生产数据。测试环境必须使用匿名化或合成数据，严禁使用真实生产数据。管理层面：建立并定期演练应急响应计划（IRP）。建立并定期演练应急响应计划（IRP）。加强开发生命周期安全（DevSecOps），在上线前进行安全测试。加强开发生命周期安全（DevSecOps），在上线前进行安全测试。定期进行配置审计和漏洞扫描。定期进行配置审计和漏洞扫描。加强员工安全意识培训，防止弱密码和违规操作。加强员工安全意识培训，防止弱密码和违规操作。2.计算题：定量风险评估(1)实施前的ALE计算：SLE=AV×EF=2,000,000×60%=1,200,000元SLE=AV×EF=2,000,000×60%=1,200,000元ALEbefore=SLE×ARO=1,200,000×0.5=600,000(2)实施后的ALE计算：新的ARO=0.25次/年新的ARO=0.25次/年ALEafter=SLE×AR(3)成本效益分析：风险降低值=ALEbeforeAL方案成本=50,000元方案成本=