2026年员工信息安全培训试卷及答案

2026年员工信息安全培训试卷及答案一、单项选择题（共20题，每题1.5分，总计30分。每题只有1个正确答案，多选、错选、不选均不得分）1.2026年主流公共生成式AI服务普遍采用用户输入数据优化模型的机制，员工在日常办公中使用公共生成式AI工具时，以下输入行为合规的是（）A.输入已对外公开的公司产品宣传文案，要求优化表述B.输入公司未公开的Q3产品迭代roadmap，要求生成需求文档C.输入100条未脱敏的客户手机号与消费记录，要求生成用户画像D.输入公司内部涉密的财务报表数据，要求生成营收分析报告2.根据2025年修订的《网络数据安全管理条例》，企业核心数据出境前需经过哪一部门的安全评估（）A.企业内部数据安全部门B.市级网信部门C.省级以上网信部门D.国家市场监督管理总局3.2026年深伪技术已实现1:1复刻自然人的外貌、声音、动作，员工收到标注为公司CEO的视频通话要求大额转账时，以下做法正确的是（）A.视频中人物与CEO完全一致，直接按要求转账B.要求对方提供加盖公章的转账通知电子版，收到后转账C.立即挂断电话，通过公司官方内部沟通渠道或线下当面核实情况D.将该视频转发到公司工作群，提醒其他同事注意4.公司为应对量子算力撞库风险，为全体员工配发了抗量子加密VPN，以下关于VPN使用的行为合规的是（）A.抗量子加密VPN网速较慢，自行更换为免费公共VPN提高办公效率B.仅在处理涉密工作内容时连接公司抗量子加密VPN，处理普通工作时无需连接C.出差时在公共WIFI环境下，必须连接公司抗量子加密VPN才可访问内部系统D.将公司VPN账号借给来访的合作单位人员使用，方便其访问公司公开资料5.2026年空间计算设备已成为部分岗位的标配办公工具，员工使用公司配发的AR眼镜时，以下行为合规的是（）A.佩戴AR眼镜进入涉密生产车间，自动采集设备参数提高工作效率B.安装公司应用商店认证的办公类应用，不安装来源不明的第三方应用C.录制内部涉密会议的AR场景内容，发送给未参会的同事同步信息D.下班时将AR眼镜带回家，给家人体验娱乐类应用功能6.根据公司数据分类分级规则，以下哪类数据属于核心数据（）A.公司对外公开的招聘简章B.客户的身份证号、人脸信息等生物识别数据C.公司官方公众号发布的产品推广文章D.内部普通员工的公开通讯录信息7.公司已全面落地零信任安全架构，核心原则为“永不信任、始终验证”，以下关于远程办公的行为符合零信任要求的是（）A.家用设备已安装杀毒软件，登录OA系统时无需进行二次身份验证B.同一IP地址连续登录3次后，后续登录可免除身份验证C.每次访问内部涉密系统时，都需进行人脸+动态口令的双重验证D.已获得OA系统访问权限，可直接访问所有内部业务系统无需额外验证8.2026年双勒索型病毒已成为主流勒索攻击方式，不仅加密本地数据还会泄露窃取的敏感数据，员工发现办公电脑感染勒索病毒后，第一时间应采取的措施是（）A.立即拔掉办公电脑的电源，避免数据进一步被加密B.自行联系勒索病毒发布者，支付赎金解密数据C.断开办公电脑的网络连接，第一时间上报公司安全部门D.用U盘拷贝电脑里的重要数据，避免数据丢失9.员工为了提升私域运营效率，自行搭建了个人AI运营助手，以下做法合规的是（）A.将公司的客户运营话术库导入个人AI助手进行训练B.将自己负责的1000条客户信息导入个人AI助手，方便自动回复客户问题C.仅将公开的行业通用运营知识导入个人AI助手，不涉及任何公司内部数据D.将个人AI助手生成的运营方案直接用于公司业务，无需进行内容审核10.根据公司2026年最新口令管理规范，员工办公系统口令的最低要求是（）A.长度8位以上，包含数字和小写字母，每180天更换一次B.长度12位以上，包含数字、大小写字母，每120天更换一次C.长度16位以上，包含数字、大小写字母、特殊字符，每90天更换一次D.长度20位以上，仅使用无意义字母组合，每30天更换一次11.员工导出客户联系信息用于发送营销短信时，对手机号进行中间4位打码处理的操作属于哪类数据安全措施（）A.数据加密B.数据脱敏C.数据备份D.数据销毁12.公司欧洲分部申请调用中国区存储的客户消费数据用于用户分析，根据《个人信息保护法》及GDPR2025年更新条款，以下操作合规的是（）A.直接将全量客户数据传输到欧洲分部的服务器B.获得客户单独同意、完成数据出境安全评估后，传输最小必要的脱敏数据C.仅对数据进行加密后即可传输到欧洲分部D.将数据上传到公共云盘，将链接发给欧洲分部的同事自行下载13.2026年AI生成的钓鱼邮件已基本实现零错别字、高度模仿特定人员语气，员工收到疑似钓鱼邮件时，以下做法错误的是（）A.核对发件人邮箱后缀是否为公司官方后缀，如不是直接删除B.点击邮件中的链接核实内容，如跳转的是公司登录页面则没有问题C.邮件要求提供敏感信息或转账时，立即上报公司安全部门D.不随意下载邮件中的附件，特别是exe、scr等可执行格式的附件14.以下关于办公工位物理安全的操作，合规的是（）A.离开工位10分钟以内无需锁屏，方便回来后继续工作B.将写有办公系统口令的便签贴在电脑显示器下方，避免忘记C.涉密纸质文件使用完后立即放入保密碎纸机粉碎，不随意丢弃D.接待外部访客时，允许访客自行在办公区域走动，无需陪同15.公司召开核心技术涉密会议时，以下物品可带入会场的是（）A.带录音录像功能的智能手表B.支持实时传输的智能眼镜C.关闭电源的普通功能手机D.带5G通信功能的平板电脑16.公司安全部门推送了高危漏洞补丁，要求24小时内完成安装，员工以下做法正确的是（）A.补丁安装会影响工作进度，一周后再安装B.立即按照指引安装补丁，安装完成后反馈给安全部门C.自己的电脑没有重要数据，不需要安装补丁D.屏蔽安全部门的补丁推送通知，避免弹窗影响工作17.员工与外部供应商对接业务时，以下行为合规的是（）A.将公司的核心技术参数直接发送到供应商的个人邮箱B.与供应商签订保密协议后，仅传输合作所需的最小必要数据C.为了方便对接，将公司内部系统的访客账号长期提供给供应商使用D.将供应商拉到公司内部员工工作群，方便实时沟通18.以下关于账号权限管理的操作，合规的是（）A.同事出差无法登录系统，将自己的账号密码借给同事使用B.调岗到新岗位后，保留原岗位的系统权限方便处理遗留工作C.定期梳理自己的系统权限，注销不再使用的权限D.为了提高工作效率，向公司申请超出岗位需求的系统权限19.根据公司信息安全事件上报规范，员工发现信息安全风险或事件后，需在多长时间内上报给安全部门（）A.1小时B.6小时C.12小时D.24小时20.员工更换办公电脑时，对旧硬盘的处理方式合规的是（）A.将旧硬盘格式化后卖给二手回收平台B.将旧硬盘送给亲戚朋友使用C.直接将旧硬盘扔到垃圾桶D.交给IT部门进行消磁或物理粉碎处理二、多项选择题（共15题，每题2分，总计30分。每题有2个及以上正确答案，多选、少选、错选、不选均不得分）1.以下属于2026年企业员工面临的常见信息安全风险的有（）A.公共生成式AI工具泄露上传的内部敏感数据B.深伪技术实施的社交工程诈骗C.量子算力破解弱口令导致账号被盗D.空间计算设备非法采集内部涉密场景信息E.车机系统同步办公数据后泄露敏感内容2.零信任安全架构的核心要求包括（）A.所有用户和设备都需进行唯一身份标识B.对所有访问请求进行持续的权限验证C.按照最小必要原则分配用户权限D.对所有访问行为进行全链路审计E.默认拒绝所有未明确授权的访问请求3.员工使用公共生成式AI工具时，禁止输入的内容包括（）A.公司未公开的产品研发计划、并购方案等涉密信息B.客户的个人信息、消费记录等敏感数据C.公司的内部会议纪要、未公开的财务报表D.已对外公开的公司产品宣传资料E.自己的私人生活记录4.员工收到深伪诈骗信息后，正确的应对措施包括（）A.第一时间上报公司安全部门，说明具体情况B.通过公司官方内部沟通渠道或线下当面与当事人核实情况C.不随意转账、不点击可疑链接、不提供任何敏感信息D.立即将诈骗信息转发到公司所有工作群，提醒同事注意E.自行联系诈骗分子，试图套取相关信息5.以下属于远程办公必须遵守的安全要求的有（）A.必须使用公司配发的抗量子加密VPN访问内部系统B.不在公共WIFI环境下处理涉密敏感信息C.家庭WIFI开启WPA3加密，设置高强度口令D.不允许家人使用公司配发的办公设备E.定期对办公设备进行病毒查杀和漏洞扫描6.根据公司数据分类分级规则，以下属于核心数据的有（）A.公司的核心技术专利、未公开的研发成果B.公司未公开的并购计划、财报数据C.客户的生物识别信息、金融支付信息D.全体员工的薪酬数据、人事任免信息E.公司对外公开的招聘信息7.2026年AI生成的钓鱼邮件的典型特征包括（）A.整体表述流畅、高度模仿特定人员的语气风格B.发件人邮箱后缀与公司官方后缀存在微小差异C.多使用紧急措辞，要求短时间内完成转账、提供敏感信息等操作D.跳转链接的域名与官方域名存在细微差异，多使用同形异义字E.正文存在大量错别字和语法错误8.公司召开涉密会议时，必须遵守的安全要求包括（）A.禁止所有参会人员携带智能电子设备入场B.会场开启信号屏蔽设备，阻断外部通信C.会议纸质资料会后统一收回，按照涉密文件管理规范保管或销毁D.禁止参会人员私自拍摄、录制会议内容E.会议纪要可以发送到参会人员的私人邮箱方便查阅9.以下关于办公系统口令设置的做法，正确的有（）A.使用16位以上无规律的大小写字母、数字、特殊字符组合B.不同系统使用完全不同的口令，避免一个口令泄露所有账号被盗C.使用经过安全认证的密码管理器保管口令D.每90天更换一次口令，不重复使用之前5次以内的口令E.将口令写在便签上贴在电脑旁边，避免忘记10.以下属于预防勒索软件攻击的有效措施的有（）A.定期对重要数据进行离线备份，备份数据与生产网络物理隔离B.不随意点击可疑链接、不下载来源不明的附件C.及时安装系统和软件的安全补丁，修复高危漏洞D.关闭办公设备上不必要的端口和服务E.感染勒索病毒后第一时间支付赎金，避免数据丢失11.处理客户个人信息时，需遵守的原则包括（）A.合法、正当、必要和诚信原则B.最小必要原则，仅处理实现业务目的最少的个人信息C.公开透明原则，公开个人信息处理规则D.质量保障原则，保证个人信息的准确性E.责任明确原则，对个人信息处理活动负责12.以下数据跨境传输的场景，属于违规的有（）A.未经过安全评估直接将核心数据传输到境外B.未获得客户单独同意，将客户个人信息传输到境外C.传输的数据超出出境安全评估批准的范围D.未经国内监管部门批准，配合境外司法机构提供境内存储的数据E.经过安全评估、获得个人同意后，传输最小必要的脱敏一般数据13.以下关于账号权限管理的要求，正确的有（）A.入职时仅申请当前岗位所需的最小权限B.调岗时及时注销原岗位权限，申请新岗位所需的最小权限C.离职时IT部门立即注销所有办公系统的账号和权限D.安全部门每季度梳理全公司的账号权限，清理冗余权限E.可以将自己的账号临时借给同事使用，用完后立即改口令14.以下属于重大信息安全事件的有（）A.核心数据泄露超过1000条B.重要数据泄露超过10000条C.事件造成公司直接经济损失超过100万元D.事件导致公司声誉严重受损，引发舆论负面舆情E.员工私人照片泄露，造成个人不良影响15.员工使用公司配发的空间计算设备时，禁止的操作包括（）A.拍摄、录制内部涉密生产车间、涉密会议的场景内容B.在公共WIFI环境下处理涉密敏感信息C.安装非公司应用商店认证的第三方应用D.将设备借给外单位人员、非公司员工使用E.私自破解设备的安全权限，获取root访问权三、判断题（共10题，每题1分，总计10分。判断正确得1分，判断错误、不答均不得分）1.员工为了提高工作效率，可以将公司未公开的产品方案输入到公共生成式AI工具生成PPT。（）2.收到CEO的深伪视频要求转账，只要视频和声音都与CEO完全一致，就可以直接转账。（）3.公司推送的高危安全补丁，必须在24小时内完成安装，不得无故延迟。（）4.同事出差无法审批流程，员工可以将自己的OA账号密码告诉同事，让同事帮忙审批。（）5.客户的手机号码属于一般数据，导出时不需要进行脱敏处理。（）6.涉密会议结束后，纸质会议资料可以自行带回家保管。（）7.公司配发的抗量子加密VPN速度太慢，员工可以自行更换为免费公共VPN提高网速。（）8.发现公司系统存在安全漏洞，应第一时间上报安全部门，不得私自利用或对外泄露。（）9.员工离职时只要交回办公电脑即可，不需要注销所有系统账号。（）10.为了防止数据丢失，员工可以将公司核心数据备份到自己的私人云盘。（）四、案例分析题（共2题，每题10分，总计20分。需结合信息安全规范作答，表述逻辑清晰）1.案例背景：2026年3月，某互联网公司运营部员工李某为赶项目进度，将公司未公开的Q2营销方案、10万条未脱敏的客户手机号和消费记录输入到某公共生成式AI工具，要求AI生成营销活动策划案。随后该AI工具发生训练数据泄露事件，李某上传的所有内容被公开在暗网，导致公司营销计划被竞争对手提前知晓，直接损失超500万元，同时10万条客户信息泄露，被监管部门依据《网络数据安全管理条例》罚款2000万元，公司股价单日下跌15%。请回答以下问题：（1）李某的操作存在哪些违规行为？（4分）（2）该事件给员工日常办公带来哪些警示？（3分）（3）如果你是李某，需要使用AI工具生成策划案，正确的做法是什么？（3分）2.案例背景：2026年5月，某制造业公司财务部员工王某收到标注为公司CEO张某的视频会议邀请，接通后视频中的人物外貌、声音、动作均与真实的张某完全一致，对方称公司正在推进一笔紧急并购交易，要求王某在1小时内将5000万元转到指定私人账户，同时要求王某严格保密，不得告知任何人。王某信以为真，未进行任何核实就完成转账，之后发现被骗，资金无法追回。请回答以下问题：（1）该攻击属于什么类型的信息安全攻击？（2分）（2）王某的操作存在哪些违规之处？（4分）（3）如果你是王某，收到该要求后正确的做法是什么？（4分）五、实操题（共1题，总计10分。需结合工作场景列出可落地的信息安全要求，至少10条）你是公司市场部员工，现需导出2万条客户联系信息用于发送营销短信，同时需要使用AI工具生成营销文案，最终将审核通过的营销方案发给合作的广告公司对接人，请列出整个操作过程中需要遵守的所有信息安全要求。答案与解析一、单项选择题1.答案：A解析：公共生成式AI工具会将用户输入数据用于模型训练，输入未公开的涉密信息、客户敏感信息都会导致数据泄露，只有已对外公开的宣传文案可以输入公共AI工具优化。2.答案：C解析：2025年修订的《网络数据安全管理条例》明确规定，核心数据出境需经过省级以上网信部门的安全评估，未经评估不得出境。3.答案：C解析：深伪技术可完全复刻自然人的音容笑貌，仅靠视频无法核实身份，必须通过官方内部渠道或当面核实，不得随意转账，也不得随意转发信息造成不必要的恐慌。4.答案：C解析：公共WIFI环境下存在数据被窃听的风险，必须连接公司抗量子加密VPN才可访问内部系统，VPN账号不得转借，不得自行更换公共VPN，访问所有内部资源都需连接公司VPN。5.答案：B解析：空间计算设备具备实时采集音视频、空间数据的功能，不得带入涉密场所、不得录制涉密内容、不得转借他人、不得安装来源不明的应用。6.答案：B解析：核心数据是指一旦泄露会对公司利益、客户权益造成严重损害的数据，客户的生物识别数据属于核心数据，其余选项均为公开或一般数据。7.答案：C解析：零信任架构要求对所有访问请求进行持续验证，每次访问涉密系统都需进行身份验证，不得因为IP地址、历史访问记录就免除验证，不同系统需单独授权。8.答案：C解析：感染勒索病毒后第一时间要断开网络，避免病毒扩散和数据上传到攻击者服务器，然后上报安全部门处理，不得自行支付赎金、拷贝数据，拔掉电源可能会导致数据永久损坏。9.答案：C解析：个人AI助手属于不受公司管控的工具，不得导入任何公司内部数据、客户信息，生成的内容用于公司业务前必须经过审核。10.答案：C解析：2026年量子算力已可快速破解12位以下的口令，公司要求口令长度不低于16位，包含大小写字母、数字、特殊字符，每90天更换一次。11.答案：B解析：数据脱敏是指对敏感数据进行变形处理，避免真实敏感信息泄露，手机号打码属于典型的数据脱敏操作。12.答案：B解析：跨境传输个人信息需同时满足获得个人单独同意、完成数据出境安全评估、传输最小必要的脱敏数据三个条件，不得随意传输。13.答案：B解析：钓鱼邮件的跳转链接可能是仿冒的官方登录页面，会窃取账号密码，不得随意点击可疑链接。14.答案：C解析：离开工位必须锁屏，口令不得明文记录，涉密文件使用完后必须粉碎，外部访客需全程陪同不得自行走动。15.答案：C解析：所有具备通信、录音录像功能的智能设备都不得带入涉密会场，仅可携带关闭电源的普通功能手机。16.答案：B解析：高危漏洞可能会被攻击者利用导致数据泄露，必须在24小时内完成安装，不得延迟或屏蔽补丁推送。17.答案：B解析：与供应商对接需先签订保密协议，仅传输合作所需的最小必要数据，不得发送涉密信息、不得长期提供内部账号、不得将供应商拉入内部工作群。18.答案：C解析：账号不得转借，调岗后需注销原岗位权限，仅可申请当前岗位所需的最小权限，定期梳理注销冗余权限。19.答案：A解析：公司要求发现信息安全事件后1小时内上报安全部门，避免事件扩大。20.答案：D解析：格式化无法彻底清除硬盘数据，必须交给IT部门进行消磁或物理粉碎处理，不得私自处置。二、多项选择题1.答案：ABCDE解析：2026年生成式AI泄露、深伪诈骗、量子撞库、空间计算设备采集、车机数据泄露都是新出现的常见信息安全风险。2.答案：ABCDE解析：五个选项均为零信任安全架构的核心要求。3.答案：ABC解析：公共AI工具禁止输入涉密信息、客户敏感信息、内部非公开信息，公开资料和私人生活记录可以输入。4.答案：ABC解析：收到深伪诈骗信息后需第一时间上报、官方渠道核实、不提供敏感信息，不得随意转发造成恐慌，也不得自行联系诈骗分子。5.答案：ABCDE解析：五个选项均为远程办公必须遵守的安全要求。6.答案：ABCD解析：对外公开的招聘信息不属于核心数据，其余选项均为核心数据。7.答案：ABCD解析：AI生成的钓鱼邮件基本没有错别字和语法错误，其余选项均为典型特征。8.答案：ABCD解析：涉密会议纪要不得发送到私人邮箱，其余选项均为涉密会议的安全要求。9.答案：ABCD解析：口令不得明文记录，其余选项均为正确的口令设置做法。10.答案：ABCD解析：感染勒索病毒后不得自行支付赎金，其余选项均为有效的预防措施。11.答案：ABCDE解析：五个选项均为《个人信息保护法》规定的个人信息处理原则。12.答案：ABCD解析：经过安全评估、获得个人同意后传输脱敏一般数据属于合规操作，其余选项均为违规。13.答案：ABCD解析：账号不得转借他人，其余选项均为正确的账号权限管理要求。14.答案：ABCD解析：员工私人照片泄露属于个人事件，不属于公司重大信息安全事件，其余选项均属于重大事件。15.答案：ABCDE解析：五个选项均为空间计算设备的禁止操作。三、判断题1.答案：×解析：未公开的产品方案属于涉密信息，不得输入公共生成式AI工具，避免泄露。2.答案：×解析：深伪技术可完全复刻自然人音容笑貌，仅靠视频无法核实身份，必须通过官方渠道核实。3.答案：√解析：高危漏洞会带来严重的安全风险，必须在24小时内完成安装。4.答案：×解析：账号仅限本人使用，不得转借他人，避免出现安全问题无法溯源。5.答案：×解析：客户手机号属于重要敏感数据，导出时必须进行脱敏处理。6.答案：×解析：涉密会议资料属于涉密文件，会后需统一收回或销毁，不得私自留存。7.答案：×解析：公共VPN存在数据泄露的风险，不得自行更换，必须使用公司配发的抗量子加密VPN。8.答案：√解析：发现漏洞需第一时间上报，不得私自利用或泄露，避免被攻击者利用。9.答案：×解析：员工离职时必须注销所有系统账号，避免离职人员非法访问内部系统。10.答案：×解析：私人云盘不受公司管控，存在数据泄露的风险，不得将核心数据备份到私人云盘。四、案例分析题1.参考答案：（1）李某的违规行为包括：①违反公司数据安全管理规定，私自将未公开的涉密营销方案上传到公共AI工具；②违反客户个人信息保护规定，私自导出未脱敏的客户敏感信息上传到不受管控的第三方工具；③未遵守生成式AI使用规范，使用公共AI工具处理涉密敏感工作内容；④未对上传数据的安全性进行评估，导致数据大规模泄露。（每点1分，共4分）（2）警示包括：①使用公共生成式AI工具时不得上传任何内部涉密信息和客户敏感信息；②处理客户敏感数据必须遵守最小必要、脱敏处理的要求，不得随意导出传输；③赶进度不能成为违反信息安全规范的理由，所有操作都必须符合安全要求；④数据泄露会给公司带来巨大的经济损失和声誉损失，个人也会承担相应的法律责任。（答出3点即可得3分）（3）正确做法：①使用公司内部部署的可信生成式AI工具，不得使用公共AI工具；②输入到AI工具的内容仅包括已公开的产品信息、营销规则，不得包含涉密营销方案和客户敏感信息；③如需使用客户数据，需提前向数据安全部门申请，使用脱敏后的最小必要数据集。（每点1分，共3分）2.参考答案：