2026年银行数据安全培训试卷及答案

2026年银行数据安全培训试卷及答案一、单项选择题（共20题，每题1分，共20分。每题只有一个正确答案，多选、错选、不选均不得分）1.根据2025年修订的《银行业保险业数据安全管理办法》，银行数据分级体系中最高级别为（）A.重要数据B.核心数据C.敏感个人金融信息D.涉密数据2.下列不属于个人金融敏感信息范畴的是（）A.客户指纹识别信息B.客户银行卡交易密码C.客户公开的工作单位名称D.客户个人征信报告3.银行部署生成式AI大模型用于内部业务支撑时，训练数据禁止包含以下哪类内容（）A.公开的金融监管政策文本B.未脱敏的客户敏感个人信息C.已匿名化的行业交易统计数据D.内部公开的业务操作规范4.银行处理重要数据出境业务时，需首先完成以下哪项法定程序（）A.获得总行信息科技部门审批B.向国家网信部门申报数据出境安全评估C.获得出境目的地监管机构同意D.与数据接收方签署保密协议5.根据《银行业数据安全事件应急管理办法（2025版）》，银行发生特别重大数据安全事件后，需在（）小时内上报至国家金融监督管理总局。A.2B.4C.8D.246.银行数据权限管理需遵循最小必要原则，下列符合该原则的是（）A.业务部门全员拥有生产数据查询权限B.开发人员直接访问生产环境真实数据调试系统C.运维人员操作核心数据库需经过双人审批并全程留痕D.营销人员可导出全量客户联系方式用于业务拓展7.下列哪种数据脱敏方式属于不可逆脱敏，适用于生产数据导出至测试环境的场景（）A.敏感字段掩码展示B.动态数据替换C.哈希加盐处理D.临时权限脱敏8.银行未按规定完成数据分类分级工作且逾期未改正的，根据监管规定最高可处以（）的罚款A.100万元B.500万元C.上一年度营业额1%D.上一年度营业额5%9.银行跨机构开展联邦学习建模合作时，核心数据安全特征是（）A.各参与方原始数据统一汇集至中枢节点运算B.各参与方原始数据不出域，实现数据可用不可见C.各参与方解除所有数据访问权限限制D.各参与方数据经加密后可对外公开10.存储过银行核心数据的机械硬盘报废时，最合规的处理方式是（）A.快速格式化后丢弃B.逻辑删除所有文件后转作他用C.物理粉碎或专业消磁处理D.恢复出厂设置后捐赠11.个人金融信息主体向银行申请查询本人名下所有个人信息存储情况时，银行需在（）个工作日内予以答复，法律另有规定的除外。A.7B.15C.30D.6012.银行发现核心业务系统存在可导致数据泄露的高危漏洞时，需在（）个工作日内完成漏洞修复，无法立即修复的需采取临时防护措施。A.3B.7C.15D.3013.银行境外分支机构收集的境内客户个人金融信息，存储要求为（）A.应当优先存储在境内，确需向境外传输的需符合监管要求B.必须全部存储在境外分支机构所在地C.可自由选择存储地点D.需同时在境内和境外存储两份以上副本14.银行采购第三方数据服务时，需在合作协议中明确的核心条款是（）A.第三方可自由使用银行提供的所有数据B.数据安全责任划分、数据使用范围及销毁要求C.第三方可将银行数据转授给其他关联机构使用D.银行无需对第三方的数据安全操作进行监督15.银行数据安全操作审计日志的保存期限不得少于（），核心系统审计日志需保存至少3年。A.6个月B.1年C.2年D.5年16.银行使用生成式AI大模型生成客户营销内容时，需落实的核心管控要求是（）A.输出内容无需审核直接发送B.可在营销内容中附带其他客户的敏感信息用于精准营销C.所有输出内容需经过合规及隐私审核，确认无敏感信息泄露D.可使用客户敏感信息生成个性化营销内容后直接对外发送17.银行全面数据安全风险评估的开展频率最低为（），发生重大系统架构调整、监管要求更新等情况时需及时开展专项评估。A.每半年一次B.每年一次C.每两年一次D.每三年一次18.银行传输个人金融敏感信息时，需采用的加密传输协议为（）A.SSL3.0B.TLS1.0C.TLS1.2D.TLS1.3及以上版本19.银行员工私自拷贝10万条以上客户敏感信息对外出售，尚未造成重大损失的，银行可采取的最严肃处理措施为（）A.口头警告B.扣除当月绩效C.解除劳动合同并移送司法机关D.降职处理20.根据监管规定，单次收集或存储（）条以上个人金融信息的数据集，应当认定为重要数据，需按重要数据管控要求落实防护措施。A.1万B.10万C.100万D.1000万二、多项选择题（共10题，每题2分，共20分。每题有2个及以上正确答案，多选、少选、错选、不选均不得分）1.银行数据全生命周期安全管理覆盖以下哪些阶段（）A.数据采集与存储B.数据传输与使用C.数据加工与提供D.数据销毁2.下列属于个人金融敏感信息范畴的有（）A.客户面部识别特征B.客户银行卡余额及交易流水C.客户家庭住址及紧急联系人信息D.客户客户名下贷款逾期记录3.下列操作属于银行数据安全违规行为的有（）A.使用私人U盘拷贝生产环境敏感数据B.将客户敏感信息发送至个人邮箱处理业务C.测试环境使用未脱敏的生产真实数据D.未经审批访问非本职工作所需的客户数据4.银行数据安全事件分为以下哪些等级（）A.一般事件B.较大事件C.重大事件D.特别重大事件5.银行生成式AI大模型应用需满足的数据安全要求有（）A.训练数据需经过全量脱敏，确保无敏感信息残留B.所有模型输入输出内容需留存日志至少1年C.模型输出内容需经过合规及隐私校验后方可使用D.禁止使用未公开的内部核心业务数据训练公开发布的模型6.数据脱敏技术适用于以下哪些场景（）A.生产数据导出至测试环境用于系统开发B.向外部合作机构提供客户数据用于联合建模C.业务人员开展客户数据分析统计D.客服系统展示客户敏感信息用于服务支撑7.银行各业务部门需承担的数据安全责任有（）A.负责本业务条线的数据分类分级梳理B.落实本业务条线的数据安全管控措施C.开展本部门员工的数据安全培训D.配合监管部门的数据安全检查工作8.银行个人金融信息出境需满足的条件有（）A.获得信息主体的单独同意B.通过国家网信部门的数据出境安全评估C.与接收方签署具有法律效力的保密协议，明确数据安全责任D.接收方所在国家或地区的数据保护水平不低于我国法定要求9.下列属于银行核心数据范畴的有（）A.涉及国家金融安全的储备金管理数据B.未公开的货币政策执行相关涉密数据C.全行业客户交易汇总涉密统计数据D.银行内部员工工资发放数据10.银行数据安全事件应急响应流程包含以下哪些环节（）A.事件监测与研判B.事件上报与通报C.事件处置与溯源D.复盘整改与优化三、判断题（共10题，每题1分，共10分。正确打√，错误打×）1.银行可根据业务拓展需要任意收集客户个人信息，无需告知客户收集用途及范围。（）2.经不可逆匿名化处理后的数据集不属于个人信息范畴，可按一般数据进行管理。（）3.为提升开发效率，银行开发人员可直接访问生产环境真实数据开展调试工作。（）4.银行发生数据安全事件后，可先自行处置，待处置完成后再向监管部门上报。（）5.跨机构联邦学习建模过程中，各参与方原始数据无需离开本地域，符合数据安全最小流出原则。（）6.存储过一般数据的U盘报废时，仅需做格式化处理即可丢弃。（）7.客户向银行申请删除本人所有个人信息时，银行需立即无条件删除所有相关数据。（）8.银行使用生成式AI大模型开展内部业务支撑时，可直接使用未脱敏的客户对话数据训练模型，只要不对外泄露即可。（）9.银行数据安全责任仅由信息科技部门承担，业务部门无需参与数据安全管理工作。（）10.银行内部传输个人金融敏感信息时，可使用公共网络明文传输，只要做好身份认证即可。（）四、案例分析题（共2题，每题15分，共30分）1.案例背景：2026年3月，某全国性股份制银行零售业务部为开展春季理财营销活动，在未向总行数据安全管理部门提交审批的情况下，由部门数据岗人员私自从全行数据仓库导出126万条客户敏感信息，包含客户姓名、手机号、近1年理财交易记录、家庭资产规模、风险承受能力评级等内容，直接发送给合作的第三方营销策划公司，且未对数据做任何脱敏处理。第三方营销公司一名离职员工因不满公司薪酬政策，将该数据集上传至境外暗网出售，导致大量客户收到针对性理财诈骗短信，截至事件发现时已有7名客户被骗共计182万元，引发大范围客户投诉及舆情，监管部门介入调查。请回答以下问题：（1）该银行在本次事件中存在哪些数据安全违规行为？（6分）（2）该事件属于哪一级别的数据安全事件？请说明判定依据。（4分）（3）针对本次事件暴露的问题，银行应采取哪些整改措施？（5分）2.案例背景：2026年5月，某城商行上线基于生成式大模型的智能客服系统，为提升模型对业务场景的适配度，技术部门在未开展数据安全评估的情况下，直接使用近3年累计5200万条客户与人工客服的历史对话数据训练模型，该部分数据包含大量客户身份证号、银行卡号、家庭住址、贷款逾期记录等敏感信息，未做任何脱敏处理。系统上线10天后，有客户反馈，向智能客服咨询理财产品收益率时，客服意外输出了其他客户的完整身份证号、银行卡号及贷款逾期信息，相关截图在社交媒体传播引发舆情，监管部门要求该行立即下线该系统并开展全面整改。请回答以下问题：（1）该行在生成式AI大模型应用过程中存在哪些数据安全隐患？（7分）（2）针对银行生成式AI应用的数据安全管控，应落实哪些核心措施？（8分）五、计算题（共1题，10分，要求写出计算过程，结果保留2位小数）某银行2026年第二季度开展数据安全专项风险评估，采用量化风险评估模型计算数据资产风险值，计算公式为：R其中R为风险值，P为威胁年发生概率，V为脆弱性严重程度（赋值范围1-10，数值越高危害越大），A为数据资产价值（赋值范围1-100，数值越高价值越高）。已知该行个人金融信息核心数据库的资产价值A赋值为92，该数据库存在未授权访问的高危脆弱性，脆弱性严重程度V赋值为8.5，根据近3年行业威胁数据统计，该类脆弱性对应的威胁年发生概率P为18%。请回答以下问题：（1）计算该数据库的风险值R。（5分）（2）该行风险等级判定标准为：R≥80为高风险，60≤R<80为中风险，R<60为低风险。请判断该资产的风险等级，并说明对应等级需采取的核心处置措施。（5分）参考答案及解析一、单项选择题1.答案：B解析：根据2025年修订的《银行业保险业数据安全管理办法》，银行数据分为核心数据、重要数据、敏感个人金融信息、一般数据四级，核心数据为最高级别，指一旦泄露、篡改、损毁会直接危害国家主权、安全、公共利益和金融稳定的数据。2.答案：C解析：客户公开的工作单位名称属于公开信息，不属于敏感个人金融信息范畴，其余选项均属于一旦泄露会危害客户人身、财产安全的敏感信息。3.答案：B解析：根据《生成式人工智能服务管理办法（2025修订版）》，生成式AI训练数据不得包含未脱敏的个人敏感信息，防止模型记忆泄露用户隐私。4.答案：B解析：《数据出境安全评估办法》明确，处理重要数据出境的主体，需首先向国家网信部门申报数据出境安全评估，通过后方可开展出境活动。5.答案：C解析：《银行业数据安全事件应急管理办法（2025版）》要求，特别重大数据安全事件需在2小时内上报属地监管部门，8小时内上报国家金融监督管理总局。6.答案：C解析：最小必要原则要求权限仅授予工作所需的最小范围，核心操作需落实双人审批、全程留痕要求，其余选项均违反最小必要原则。7.答案：C解析：哈希加盐处理为不可逆脱敏方式，无法通过脱敏后的数据还原原始敏感信息，适合生产数据导出至非生产环境的场景，其余选项均为可逆脱敏方式。8.答案：D解析：《银行业保险业数据安全管理办法》明确，未按规定开展数据分类分级且逾期未改正的，最高可处以上一年度营业额5%的罚款，对直接责任人最高处100万元罚款。9.答案：B解析：联邦学习的核心安全特征为数据不动模型动，各参与方原始数据不出本地域，实现数据可用不可见，符合跨机构数据合作的安全要求。10.答案：C解析：存储过核心数据的存储介质报废时，需采用物理粉碎或专业消磁的方式彻底销毁数据，防止数据被恢复泄露，格式化、逻辑删除、恢复出厂设置均存在数据被恢复的风险。11.答案：B解析：《个人金融信息保护管理办法》要求，个人信息主体申请查询本人信息存储情况的，银行需在15个工作日内予以答复，法律另有规定的除外。12.答案：B解析：监管要求核心系统高危漏洞需在7个工作日内完成修复，无法立即修复的需采取临时访问控制、入侵监测等防护措施，防止漏洞被利用。13.答案：A解析：《数据安全法》要求，境内收集的个人信息和重要数据应当优先存储在境内，确需出境的需符合相关监管要求，履行法定程序。14.答案：B解析：第三方数据服务合作协议中需明确数据安全责任划分、数据使用范围、使用期限及到期销毁要求，明确银行的审计监督权，防范第三方数据泄露风险。15.答案：B解析：银行数据安全操作审计日志保存期限不得少于1年，核心系统、重要数据操作审计日志需保存至少3年，满足溯源审计要求。16.答案：C解析：生成式AI输出内容存在不确定性，需经过合规及隐私审核，确认无敏感信息泄露、无违规内容后方可对外发布，防止泄露客户隐私。17.答案：B解析：银行全面数据安全风险评估每年至少开展一次，发生重大系统调整、监管要求更新、重大数据安全事件后需及时开展专项评估。18.答案：D解析：SSL3.0、TLS1.0、TLS1.2均存在已知安全漏洞，监管要求传输敏感信息需采用TLS1.3及以上版本的加密协议，保障传输安全。19.答案：C解析：员工私自拷贝出售客户敏感信息涉嫌侵犯公民个人信息罪，银行有权解除劳动合同，并移送司法机关追究刑事责任。20.答案：B解析：《银行业重要数据识别指南（2025版）》明确，单次收集或存储10万条以上个人金融信息的数据集，应当认定为重要数据，按重要数据管控要求落实防护措施。二、多项选择题1.答案：ABCD解析：数据全生命周期安全管理覆盖采集、存储、传输、使用、加工、提供、销毁所有阶段，需落实全流程安全管控。2.答案：ABCD解析：以上选项均属于一旦泄露会危害客户人身、财产安全的个人金融敏感信息，需落实严格管控措施。3.答案：ABCD解析：以上操作均违反银行数据安全管控要求，属于违规行为，易引发数据泄露风险。4.答案：ABCD解析：银行数据安全事件分为一般、较大、重大、特别重大四个等级，对应不同的响应及上报要求。5.答案：ABCD解析：以上均为银行生成式AI应用需满足的核心数据安全要求，防范模型训练及使用过程中的数据泄露风险。6.答案：ABCD解析：数据脱敏技术适用于所有非生产环境使用生产数据、对外提供数据、敏感信息展示等场景，降低敏感信息泄露风险。7.答案：ABCD解析：数据安全实行“谁主管谁负责、谁使用谁负责”原则，各业务部门需承担本业务条线的数据安全主体责任，以上均为业务部门需履行的责任。8.答案：ABCD解析：以上均为个人金融信息出境需满足的法定条件，未满足要求的不得开展数据出境活动。9.答案：ABC解析：核心数据是指危害国家金融安全、公共利益的数据，银行内部员工工资数据属于重要数据，不属于核心数据范畴。10.答案：ABCD解析：应急响应流程覆盖监测研判、上报通报、处置溯源、复盘整改全环节，实现事件闭环管理。三、判断题1.答案：×解析：银行收集客户个人信息需遵循最小必要原则，明确告知客户收集用途、范围及存储期限，获得客户同意后方可收集。2.答案：√解析：不可逆匿名化处理后的数据集无法识别到特定个人，不属于个人信息范畴，可按一般数据管理。3.答案：×解析：开发人员不得直接访问生产环境真实数据，需使用脱敏后的测试数据开展调试工作。4.答案：×解析：发生数据安全事件后需按监管要求的时限上报，不得迟报、瞒报、漏报。5.答案：√解析：联邦学习的核心特征为原始数据不出域，仅传输模型参数，符合数据安全最小流出要求。6.答案：×解析：格式化处理存在数据被恢复的风险，报废存储介质需进行数据擦除或消磁处理后方可丢弃。7.答案：×解析：客户申请删除个人信息时，若存在未结清业务、法律法规要求留存的情形，银行可拒绝删除，待留存期限届满后再进行销毁。8.答案：×解析：生成式AI训练数据需经过全量脱敏，未脱敏的敏感信息训练模型易出现隐私泄露问题。9.答案：×解析：数据安全责任覆盖所有部门，业务部门承担本业务条线的数据安全主体责任，信息科技部门承担技术支撑责任。10.答案：×解析：传输个人金融敏感信息需采用加密协议，禁止明文传输，防止数据被截获泄露。四、案例分析题1.参考答案：（1）违规行为：①违反数据出库审批要求，零售业务部未履行审批流程私自导出大规模敏感数据；②违反数据对外提供安全要求，未对提供给第三方的数据进行脱敏处理；③违反第三方供应链安全管理要求，未对第三方的数据安全能力进行评估，未签署明确的数据安全责任协议；④数据安全监测机制缺失，未对大规模敏感数据导出的异常操作进行监测告警，导致事件发现滞后；⑤数据安全责任落实不到位，业务部门未承担数据安全主体责任，员工数据安全意识薄弱。（每点2分，答满3点得6分）（2）事件等级：重大数据安全事件。（1分）判定依据：根据《银行业数据安全事件应急管理办法（2025版）》，涉及100万条以上个人信息泄露，或者造成100万元以上直接经济损失的数据安全事件属于重大事件，本次事件泄露126万条客户信息，造成直接经济损失182万元，符合重大事件判定标准。（3分）（3）整改措施：①立即启动应急响应，上报监管部门，发布客户风险提示，配合公安机关开展案件调查，做好客户安抚及赔付工作；②完善数据出库审批流程，所有敏感数据导出需经过业务、数据安全、合规部门三方审批，落实操作留痕、双人复核要求；③部署数据脱敏系统，所有非生产环境使用、对外提供的数据必须经过不可逆脱敏处理，敏感字段全部替换或掩码；④完善第三方数据安全管理机制，建立第三方准入评估、定期审计、退出全流程管控，明确数据安全责任及违约处罚条款；⑤部署数据泄露监测系统，对大规模数据导出、异常数据访问行为进行实时告警，提升事件发现能力；⑥开展全员数据安全培训，建立数据安全考核问责机制，明确业务部门主体责任。（每点1分，答满5点得5分）2.参考答案：（1）安全隐患：①训练数据未脱敏，大量客户敏感信息直接用于