2026年数据安全管理考试试题及答案

2026年数据安全管理考试试题及答案一、单项选择题（每题2分，共20分）1.根据《数据安全法》及相关规定，以下哪类数据不属于“重要数据”？A.地方人口健康统计数据（覆盖全省80%人口）B.某互联网企业收集的用户网络购物偏好数据（月活用户500万）C.涉及关键信息基础设施的运行数据D.地理信息系统中精度为1:10000的测绘数据答案：B解析：重要数据通常指一旦泄露、篡改、破坏或非法获取、非法利用，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。用户网络购物偏好数据（月活500万）若未达到影响公共利益的程度，一般不认定为重要数据；A、C、D均涉及公共健康、关键基础设施或地理信息安全，属于重要数据范畴。2.某金融机构拟开展数据出境活动，根据《数据出境安全评估办法》，以下哪种情形无需申报安全评估？A.向境外提供10万人以上个人信息B.自上年1月1日起累计向境外提供100万人以上个人信息C.关键信息基础设施运营者向境外提供数据D.金融机构因业务合作需要，向境外母公司提供内部员工考勤数据（共80人）答案：D解析：需申报安全评估的情形包括：关键信息基础设施运营者数据出境；处理100万人以上个人信息的数据出境；自上年1月1日起累计向境外提供10万人以上个人信息；国家网信部门规定的其他情形。D项涉及员工数量未达10万，无需申报。3.数据安全风险评估的核心步骤不包括？A.数据资产梳理B.威胁与脆弱性分析C.数据加密算法选择D.风险等级判定与处置建议答案：C解析：风险评估核心步骤包括：数据资产识别（梳理）、威胁与脆弱性分析、风险计算与等级判定、提出处置建议。加密算法选择属于风险控制措施，非评估步骤。二、多项选择题（每题3分，共15分）1.数据处理者的主要数据安全义务包括？A.制定数据安全管理制度和操作规程B.对数据实行分类分级保护C.定期开展数据安全风险评估并向社会公开评估报告D.采取数据加密、访问控制等技术措施答案：ABD解析：根据《数据安全法》第二十七条，数据处理者需制定制度、分类分级、采取技术措施；风险评估报告无需强制向社会公开（仅特殊行业如关键信息基础设施运营者可能需向监管部门报告）。2.以下属于数据安全技术措施的有？A.基于角色的访问控制（RBAC）B.数据脱敏（如对身份证号隐藏部分字段）C.定期开展数据安全培训D.部署入侵检测系统（IDS）答案：ABD解析：技术措施指通过技术手段实现安全防护，包括访问控制、脱敏、IDS等；安全培训属于管理措施。三、判断题（每题2分，共10分）1.数据匿名化处理后，数据处理者无需遵守《个人信息保护法》的相关规定。（）答案：×解析：匿名化数据无法识别特定自然人且不能复原，不属于个人信息；但数据处理者仍需遵守《数据安全法》中关于数据安全的一般规定。2.关键信息基础设施运营者应当自行对数据安全负责，无需向行业主管部门报告数据安全事件。（）答案：×解析：《数据安全法》第二十九条规定，关键信息基础设施运营者发生数据安全事件，应当立即采取处置措施，并向有关主管部门报告。四、案例分析题（共25分）2025年11月，某电商平台（非关键信息基础设施运营者）发现用户注册信息数据库被外部攻击，导致50万条用户姓名、手机号、收货地址泄露。平台当日启动内部排查，确认泄露数据未被用于非法活动，但未向任何部门报告。10日后，部分用户收到诈骗电话，声称“根据平台泄露信息”实施诈骗，用户报警后，监管部门介入调查。问题：指出该平台在数据安全事件处置中的违规行为，并说明法律依据。答案：违规行为及依据：（1）未及时向监管部门报告数据安全事件。根据《数据安全法》第四十五条，发生数据安全事件，数据处理者应立即采取处置措施，并在24小时内向有关主管部门报告（造成或者可能造成严重后果的，应立即报告）。该平台发现泄露后未报告，违反此规定。（2）未履行用户告知义务。根据《个人信息保护法》第五十七条，个人信息泄露事件发生后，数据处理者应及时通知受影响的个人（除非告知可能造成二次伤害或国家规定可以不告知）。平台未主动通知用户，导致用户因未