2026年信息化合规考试题及答案

2026年信息化合规考试题及答案一、单项选择题（每题1分，共30分）1.2026年3月1日起施行的《个人信息跨境传输安全认证办法》规定，出境个人信息累计达到多少条需向省级以上网信部门备案？A.1万条B.5万条C.10万条D.50万条答案：C解析：办法第六条明确“处理者累计向境外提供达到或超过10万条个人信息”应备案。2.关键信息基础设施运营者（CIIO）采购网络产品或服务时，触发“强制安全审查”的单一合同金额门槛是：A.500万元人民币B.1000万元人民币C.1500万元人民币D.2000万元人民币答案：B解析：《网络安全审查办法》2025修订版第9条将门槛从原2000万元下调至1000万元。3.等保2.0中，对“数据完整性”要求最高的控制点是：A.安全区域边界B.安全计算环境C.安全通信网络D.安全管理中心答案：B解析：安全计算环境中的“数据完整性保护”需采用SM3、HMAC-SM3或同等强度算法，要求最高。4.2026年新版《数据出境安全评估申报指南》将“敏感个人信息”示例由13类调整为：A.15类B.16类C.17类D.18类答案：D解析：新增“基因检测结果”与“消费借贷履约记录”两类，合计18类。5.根据《生成式人工智能服务管理暂行办法》，服务提供者对用户输入信息的保存期限不得超过：A.15日B.30日C.45日D.60日答案：B解析：办法第14条要求“保存期限不得超过30日，法律另有规定除外”。6.在密码应用安全性评估（密评）中，采用SM4-CBC模式对8KB业务数据加密，其初始向量IV的最小推荐长度是：A.64bitB.128bitC.192bitD.256bit答案：B解析：GM/T0009-2023规定SM4-CBC模式IV长度固定为128bit。7.2026年7月起，工业互联网平台企业需在何时完成年度“数据安全风险评估”并报送工信部？A.每年3月31日前B.每年6月30日前C.每年9月30日前D.每年12月31日前答案：C解析：《工业数据安全管理办法（试行）》第22条明确“每年9月30日前”。8.根据《区块链信息服务管理规定》，备案编号格式为：A.京网信备B+11位数字B.京网信备C+10位数字C.京网信备A+12位数字D.京网信备D+9位数字答案：A解析：全国格式统一为“省简称+网信备+B+11位数字”。9.在《信息安全技术网络安全等级保护测评要求》中，四级系统“安全运维”测评周期为：A.每半年一次B.每年一次C.每两年一次D.每季度一次答案：A解析：四级系统涉及国计民生，需每半年完成一次测评。10.2026年新版《网络产品安全漏洞管理规定》将“严重漏洞”通报时限缩短至：A.24小时B.48小时C.72小时D.96小时答案：B解析：修订后将原“72小时”压缩至“48小时”。11.根据《个人信息保护法》，处理者因合并需转移个人信息，应提前多久向个人告知？A.5日B.10日C.15日D.30日答案：C解析：第22条要求“提前15日告知”。12.在《关键信息基础设施安全保护条例》中，对CIIO开展应急演练的最低频次是：A.每季度B.每半年C.每年D.每两年答案：B解析：第19条要求“每半年至少组织一次”。13.2026年发布的《汽车数据安全管理若干规定（二）》将“车外视频图像”敏感区域裁剪比例下限设为：A.50%B.60%C.70%D.80%答案：C解析：规定要求“人脸、车牌区域裁剪比例不低于70%”。14.根据《云计算服务安全评估办法》，政务云评估结果有效期为：A.1年B.2年C.3年D.5年答案：C解析：办法第15条明确“有效期3年”。15.在《网络安全事件应急预案》中，将“大量用户数据泄露”定义为：A.一般事件B.较大事件C.重大事件D.特别重大事件答案：C解析：国家标准GB/Z20986-2025表A.1将其列为“重大事件”。16.2026年新版《个人信息匿名化指南》中，对“K-匿名”参数K的最低推荐值是：A.3B.5C.10D.20答案：B解析：指南5.2.1节建议“K≥5”。17.根据《数据安全法》，违反核心数据出境禁令的最高罚款额度为：A.100万元B.500万元C.1000万元D.上一年度营业额5%答案：D解析：第45条设定“最高可处上一年度营业额5%罚款”。18.在《信息安全技术个人信息安全影响评估指南》中，对“高风险”判定阈值是：A.分值≥40B.分值≥55C.分值≥70D.分值≥85答案：B解析：附录E表E.1将≥55分定义为“高风险”。19.2026年《未成年人网络保护条例》要求平台对14周岁以下用户开启“青少年模式”的默认时长为：A.20分钟B.30分钟C.40分钟D.60分钟答案：B解析：条例第18条明确“默认单次30分钟”。20.根据《网络暴力信息治理规定》，平台对明显违法信息的最迟处置时限为：A.30分钟B.1小时C.2小时D.6小时答案：B解析：规定第12条要求“最迟1小时内采取处置”。21.在《信息安全技术网络安全审计产品技术要求》中，对日志防篡改采用的摘要算法最低要求是：A.MD5B.SHA-1C.SHA-256D.SM3答案：D解析：标准6.3.2条强制使用国密SM3。22.2026年《人脸识别支付安全技术要求》规定，人脸比对阈值FAR不得超过：A.0.1%B.0.01%C.0.001%D.0.0001%答案：C解析：标准5.1.3条设定FAR≤0.001%。23.根据《工业控制系统信息安全防护指南》，对PLC进行远程维护必须开启：A.TelnetB.FTPC.SSHv2D.Rlogin答案：C解析：指南4.2.1条要求“使用SSHv2及以上加密协议”。24.2026年《网络安全产业高质量发展三年行动计划》提出，到2028年网络安全产业规模突破：A.1000亿元B.2000亿元C.3000亿元D.5000亿元答案：C解析：行动计划明确“产业规模超过3000亿元”。25.在《信息安全技术大数据服务安全能力要求》中，对“数据分级”最低应划分为：A.2级B.3级C.4级D.5级答案：C解析：标准5.1节要求“核心、重要、一般、公开”四级。26.根据《个人信息保护合规审计指引》，对“自动化决策”审计抽样比例不得低于：A.1%B.3%C.5%D.10%答案：C解析：指引附录B表B.1要求“抽样比例≥5%”。27.2026年《IPv6地址备案管理办法》要求，企事业单位申请/48前缀须提交：A.营业执照B.网络安全责任书C.业务场景说明D.以上全部答案：D解析：办法第8条要求三项材料缺一不可。28.在《信息安全技术移动互联网应用程序（App）收集个人信息基本要求》中，对“必要个人信息”判断采用：A.最小够用原则B.用户同意原则C.目的限定原则D.以上全部答案：A解析：标准4.1节以“最小够用”作为核心衡量。29.2026年《量子保密通信网络密码应用规范》要求，QKD链路密钥输出速率≥：A.1MbpsB.10MbpsC.100MbpsD.1Gbps答案：B解析：规范5.2.1条设定“≥10Mbps”。30.根据《网络安全标准实践指南—敏感个人信息识别》，下列哪项不属于“生物识别信息”？A.步态B.声纹C.手写签名D.虹膜答案：C解析：手写签名归入“个人身份信息”，而非生物识别。二、多项选择题（每题2分，共20分）31.以下哪些情形需开展个人信息保护认证？A.处理100万人以上个人信息B.跨境传输员工工资数据C.向境外提供医疗检测数据D.利用个人信息进行用户画像推送广告答案：A、C解析：认监委2026年第3号公告将“100万人以上”及“跨境医疗数据”纳入强制认证范围。32.根据《数据出境安全评估办法》，评估重点包括：A.数据出境目的B.境外接收方所在国法律环境C.数据规模与敏感程度D.数据再转移风险答案：A、B、C、D解析：办法第8条列举四项均需评估。33.等保2.0“安全区域边界”要求包含：A.访问控制B.入侵防范C.恶意代码防护D.可信验证答案：A、B、C、D解析：GB/T22239-2020四级要求四项全部覆盖。34.2026年《工业互联网数据分类分级管理办法》将工业数据分为：A.研发数据B.生产数据C.管理数据D.运营数据答案：A、B、C、D解析：办法附件1表1明确四类。35.根据《个人信息保护法》，个人有权：A.查阅复制B.更正补充C.删除D.撤回同意答案：A、B、C、D解析：第44—48条赋予四项权利。36.开展“个人信息匿名化”时，需遵循：A.去标识化B.不可还原C.效用评估D.风险再识别答案：B、C、D解析：匿名化强调“不可还原”，需评估与再识别风险。37.以下属于《关键信息基础设施安全保护条例》规定的“安全背景审查”对象：A.高管B.核心运维人员C.外包驻场人员D.保洁员答案：A、B、C解析：条例第21条将高管、核心岗位及外包驻场纳入审查。38.2026年《网络安全事件分级指南》将事件分为：A.一般B.较大C.重大D.特别重大答案：A、B、C、D解析：指南4.1节保持四级分类。39.根据《信息安全技术网络安全态势感知平台技术要求》，平台应具备：A.数据采集B.威胁情报关联C.态势预测D.攻防演练答案：A、B、C解析：标准5.2节未强制“攻防演练”。40.在《个人信息跨境传输标准合同办法》中，标准合同需包含：A.传输方与接收方义务B.第三方受益人条款C.违约责任D.争议解决答案：A、B、C、D解析：办法附件合同模板四项全部列出。三、判断题（每题1分，共10分）41.2026年起，所有App必须通过工信部“实名备案”后方可上架。答案：正确解析：《移动互联网应用程序备案管理办法》第5条已实施。42.等保三级系统可使用RSA-1024进行数据加密。答案：错误解析：等保2.0要求“非对称算法≥2048位或同等强度国密算法”。43.根据《数据安全法》，政务数据开放一律免费。答案：错误解析：第41条允许“依法收取成本费用”。44.个人信息处理者设立境外分支机构，无需单独履行告知同意。答案：错误解析：需按《个人信息保护法》第38条单独告知。45.2026年《量子通信密钥分发网络标准》规定，QKD设备必须通过国密局认证。答案：正确解析：标准7.1条强制认证。46.在《网络安全审查办法》中，港股上市无需申报审查。答案：错误解析：2025修订版将港股纳入审查范围。47.根据《个人信息匿名化指南》，匿名化后的数据可自由跨境传输。答案：正确解析：指南8.1条明确“匿名化数据不再受出境限制”。48.工业控制系统中，使用默认口令属于“重大安全隐患”。答案：正确解析：工信部2026年通报将其列入重大隐患清单。49.2026年起，所有浏览器必须支持SM2国密算法。答案：正确解析：国密局公告2026年第2号强制要求。50.《网络暴力信息治理规定》仅适用于微博、短视频平台。答案：错误解析：规定第2条覆盖“所有提供信息发布的网络服务”。四、填空题（每题2分，共20分）51.2026年《个人信息保护合规审计指引》要求，对“敏感个人信息”处理活动抽样比例不低于________%。答案：1052.根据《数据出境安全评估办法》，评估材料需使用________电子印章系统加盖。答案：国家政务服务平台53.等保四级系统“安全计算环境”要求，密钥存储须采用________或________模块。答案：HSM、SE54.2026年《人脸识别支付安全技术要求》规定，活体检测错误接受率FAR≤________。答案：0.1%55.《关键信息基础设施安全保护条例》第17条要求，CIIO应建立________小时应急值守制度。答案：7×2456.根据《网络安全标准实践指南—敏感个人信息识别》，________信息被首次纳入“行踪轨迹”。答案：电动滑板车路线57.2026年《工业互联网数据分类分级管理办法》将“工艺参数”划为________级数据。答案：重要58.《个人信息跨境传输标准合同办法》要求，合同文本应以________与________两种文字签署。答案：中文、英文59.在《信息安全技术网络安全态势感知平台技术要求》中，威胁情报数据格式应遵循________标准。答案：STIX2.160.2026年《IPv6地址备案管理办法》规定，备案信息变更须在________日内更新。答案：15五、简答题（每题10分，共20分）61.简述2026年新版《个人信息匿名化指南》中“K-匿名+噪声注入”组合技术的实施步骤与关键参数。答案与解析：步骤：1)数据预处理：删除直接标识符，对quasi-identifier进行泛化；2)K-匿名：对每条记录确保相同quasi-identifier组合至少K条，推荐K≥5；3)噪声注入：对连续变量采用差分隐私Laplace机制，ε≤0.5；4)效用评估：采用分类任务F1下降不超过5%；5)再识别风险测试：模拟攻击者背景