2025年开展数据安全防练习试题及答案

2025年开展数据安全防练习试题及答案一、单项选择题（每题2分，共20分）1.某金融机构拟将客户个人征信数据跨境传输至境外母公司用于风险建模，根据2025年最新《数据安全法》及配套法规，下列哪项是必须完成的前置程序？A.向行业主管部门备案B.通过国家网信部门组织的数据出境安全评估C.与境外接收方签订标准合同D.获得客户书面同意即可答案：B解析：根据2025年修订的《数据安全法》第三十一条及《数据出境安全评估办法》第四条，金融行业重要数据出境需通过国家网信部门组织的安全评估，标准合同仅适用于一般数据出境场景。2.某医疗APP在用户注册时要求收集身份证号、病历记录、基因检测结果三类信息，依据《个人信息保护法》及数据分类分级指南，基因检测结果应划定为：A.一般数据B.重要数据C.核心数据D.敏感个人信息答案：D解析：《个人信息保护法》第二十八条明确将生物识别、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息，基因检测结果属于生物识别信息的延伸范畴。3.某企业部署数据加密系统时，选择对数据库静态数据采用AES-256加密，传输数据采用TLS1.3协议，日志文件采用SHA-3哈希存储。其中存在安全隐患的是：A.静态数据加密算法B.传输层加密协议C.日志文件存储方式D.无安全隐患答案：C解析：日志文件包含操作时间、用户ID等关键审计信息，仅用哈希存储无法还原原始内容，不符合《网络安全法》第二十一条关于日志留存的完整性要求，应采用加密存储而非仅哈希。4.某电商平台发现用户订单数据泄露，涉及5000条包含姓名、电话、收货地址的信息。根据《数据安全法》第四十五条，平台应在多长时间内向设区的市级以上主管部门报告？A.立即B.24小时内C.48小时内D.72小时内答案：B解析：2025年实施的《数据安全事件报告管理办法》第三条规定，影响5000人以上的个人信息泄露事件属于较大事件，责任主体需在24小时内提交书面报告。5.某政务部门开展数据安全风险评估，下列哪项不属于评估内容？A.数据处理活动的合法性、正当性、必要性B.数据泄露可能造成的社会影响C.数据存储设备的物理防护等级D.数据处理人员的背景审查记录答案：C解析：《数据安全风险评估指南》（GB/T37988-2023修订版）明确评估范围包括数据处理流程、安全措施有效性、人员管理等，物理防护属于网络安全范畴，不在数据安全风险评估核心内容中。6.某教育机构开发在线学习平台，需对用户行为数据（如观看时长、答题记录）进行匿名化处理。下列哪项操作符合“不可复原性”要求？A.去除姓名、学号等直接标识符B.对IP地址进行截断处理（如192.168.1.）C.将用户ID替换为无关联的随机字符串并销毁映射表D.对时间戳进行按小时聚合答案：C解析：《个人信息匿名化技术指南》（2025）规定，匿名化需满足“无法通过已有的或可预见的技术手段复原个人信息”，销毁映射表的随机ID替换符合该要求，其他选项仍可通过关联分析复原。7.某能源企业建立数据安全管理体系（DSMS），依据ISO/IEC27701:2024标准，下列哪项是PDCA循环中“检查（Check）”阶段的关键活动？A.制定数据分类分级规则B.开展内部审核和管理评审C.实施数据加密改造项目D.修订数据泄露应急响应预案答案：B解析：ISO/IEC27701的PDCA模型中，检查阶段重点是通过内部审核、管理评审、合规性测试等验证体系运行有效性，制定规则属于策划（Plan），实施改造属于执行（Do），修订预案属于改进（Act）。8.某车企车联网系统收集车辆位置（精度0.1米）、驾驶习惯（急加速频率）、车载摄像头影像（含车外环境）三类数据。根据《汽车数据安全管理若干规定（试行）》2025年修订版，哪类数据应重点保护？A.车辆位置数据B.驾驶习惯数据C.车载摄像头影像D.三类均需重点保护答案：C解析：修订版规定，车外环境影像涉及道路基础设施、敏感区域（如政府机关）等公共场景数据，属于重要数据范畴；高精度位置数据（＜1米）和驾驶习惯数据虽敏感，但影像数据因其内容复杂性需更严格保护。9.某云服务提供商为客户提供数据存储服务，客户要求“数据不出境”。下列哪项操作违反约定？A.将数据副本存储于境内异地灾备中心B.因故障将数据临时调用至境外总部技术团队分析C.在境内完成数据清洗后返回客户D.使用境内节点的CDN加速数据访问答案：B解析：“数据不出境”要求数据的任何形式处理（包括临时调用）均需在境内完成，境外技术团队访问违反物理位置约束，灾备中心和CDN均属境内范围。10.某企业数据安全负责人在年度总结中提出“今年数据泄露事件数量下降40%，但事件平均发现时间从2天延长至5天”。这反映出：A.主动防御能力提升，监测能力下降B.应急响应效率提升，安全意识下降C.数据分类效果提升，加密强度下降D.访问控制效果提升，审计能力下降答案：A解析：泄露数量下降可能因主动防御（如访问控制、加密）加强，但发现时间延长说明监测预警（如日志分析、异常检测）能力不足，属于监测阶段的问题。二、多项选择题（每题3分，共15分，错选、漏选均不得分）1.下列哪些行为违反《个人信息保护法》“最小必要”原则？A.购物APP注册时要求读取通讯录B.外卖软件获取精确地理位置（精度10米）C.视频平台在用户关闭个性化推荐后仍收集浏览记录D.银行APP更新时要求开放麦克风权限用于身份验证答案：AC解析：最小必要原则要求收集范围限于实现服务功能必需，通讯录非购物APP注册必需（A违反）；关闭个性化推荐后不应继续收集浏览记录（C违反）；外卖需位置、银行用麦克风验证属合理需求（B、D符合）。2.数据安全审计应重点记录的内容包括：A.数据访问时间、用户、IP地址B.数据操作类型（查询、修改、删除）C.数据处理结果（如导出文件大小）D.数据访问终端的操作系统版本答案：ABC解析：《数据安全审计技术规范》（GB/T42479-2025）规定，审计需记录主体（用户）、客体（数据）、行为（操作）、时间地点等关键信息，终端系统版本非必要（D不选）。3.某制造企业拟建立数据安全责任体系，正确的责任分配包括：A.法定代表人：数据安全第一责任人B.数据安全总监：统筹协调数据安全工作C.车间主任：负责生产设备产生的操作数据安全D.IT工程师：确保数据存储系统的技术防护答案：ABCD解析：《数据安全管理条例》（2025）第二十三条明确“主要负责人是第一责任人，设置数据安全总监，业务部门负责人对本领域数据安全负责，技术团队承担技术防护责任”，四选项均符合。4.数据脱敏的常用技术包括：A.掩码（如身份证号显示前6后4）B.泛化（如将年龄“28岁”改为“20-30岁”）C.置换（如将“北京”替换为“城市A”）D.加密（如用AES算法对数据加密）答案：ABC解析：脱敏是将敏感数据转换为非敏感形式，加密属于保护手段但未改变数据敏感性（解密后可复原），故D不属于脱敏技术。5.应对数据勒索攻击的正确措施包括：A.立即支付赎金获取解密密钥B.断开受感染设备与网络的连接C.使用最近的有效备份恢复数据D.向公安机关和行业主管部门报告答案：BCD解析：支付赎金可能鼓励犯罪且无法保证解密（A错误）；断网防止扩散（B正确）；备份恢复是核心手段（C正确）；报告是法定要求（D正确）。三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.数据安全风险评估报告只需内部留存，无需向任何外部机构提供。（）答案：×解析：《数据安全法》第二十五条规定，关键信息基础设施运营者的风险评估报告需报送行业主管部门。2.匿名化处理后的数据集不属于个人信息，因此可以不受《个人信息保护法》约束。（）答案：√解析：《个人信息保护法》第四条明确“匿名化处理后的信息不属于个人信息”，不适用该法。3.企业可以将数据安全责任完全外包给第三方服务提供商，自身无需承担责任。（）答案：×解析：《数据安全管理条例》第三十一条规定“委托处理数据的，委托方仍需承担数据安全主体责任”。4.数据分类分级的核心是根据数据价值确定保护措施，与数据涉及的主体数量无关。（）答案：×解析：《数据分类分级指南》（GB/T35273-2024）指出，分类需考虑数据主体类型（如个人、企业），分级需考虑影响范围（如涉及主体数量）。5.员工离职时，只需删除其账号即可，无需检查其是否拷贝了公司数据。（）答案：×解析：《数据安全法》第三十条要求“员工离职时应清理权限并核查数据持有情况”，防止数据带走风险。四、简答题（每题8分，共32分）1.简述数据安全“三同步”原则的具体内容及实施要点。答案：“三同步”原则指数据安全措施与数据采集、处理、使用过程同步规划、同步建设、同步运行。实施要点：（1）同步规划：在数据处理系统设计阶段纳入安全需求，明确加密、访问控制等措施；（2）同步建设：安全功能与业务功能同时开发测试，避免后期改造成本；（3）同步运行：系统上线后安全措施与业务功能同时启用，定期验证有效性。2.列举数据泄露事件应急响应的主要步骤，并说明每一步的关键操作。答案：（1）事件发现与确认：通过日志分析、监测工具或外部报告发现异常，验证泄露数据范围、类型及影响；（2）隔离控制：断开涉事系统网络连接，冻结相关账号权限，防止进一步扩散；（3）损害评估：统计泄露数据量、涉及用户数，分析可能造成的隐私侵害或经济损失；（4）用户通知：按《个人信息保护法》要求，在72小时内（紧急情况立即）告知受影响用户泄露情况及补救措施；（5）溯源整改：调查泄露原因（如系统漏洞、内部违规），修复漏洞并完善安全措施；（6）报告备案：向行业主管部门和网信部门提交事件报告，保存记录至少3年。3.说明数据分类分级与数据安全保护措施的对应关系，并举例说明。答案：数据分类分级是确定保护措施的基础，不同级别数据需匹配不同强度的保护。（1）一般数据（如公开新闻信息）：采用基础保护（如访问日志记录）；（2）重要数据（如企业客户名单）：需加强保护（如访问控制、加密存储、定期备份）；（3）核心数据（如国家级科研数据）：需最高级别保护（如多重加密、物理隔离、严格审批流程）。例如：某银行将客户交易记录（重要数据）采用AES-256加密+访问白名单控制，而银行公告（一般数据）仅需记录访问日志即可。4.简述隐私计算技术在数据安全中的应用场景及优势。答案：应用场景：（1）跨机构数据协作（如银行与保险公司联合风控）；（2）政府部门数据共享（如公安与税务数据交叉核验）；（3）企业内部敏感数据分析（如用户行为数据建模）。优势：（1）“数据可用不可见”，在不泄露原始数据的前提下完成计算；（2）符合“最小必要”原则，仅输出计算结果而非原始数据；（3）降低数据传输风险，减少跨域流动带来的泄露隐患。五、案例分析题（共23分）案例1（12分）：某生鲜电商平台2025年3月发生数据泄露事件，经调查发现：平台为优化推荐算法，长期收集用户姓名、电话、地址、购物偏好、健康状况（如过敏史）等信息；数据库未启用加密，仅设置简单弱口令（如“123456”）；系统日志仅保存7天，无法追溯泄露路径；客服部门在用户咨询时直接查询原始数据库，无访问审批流程；事件发生后，平台未及时通知用户，直至15天后被媒体曝光。问题：（1）分析平台在数据安全管理中存在的5项违规或缺陷；（8分）（2）提出至少3项针对性整改措施。（4分）答案：（1）违规或缺陷：①超范围收集个人信息：健康状况（过敏史）非生鲜电商必要信息，违反“最小必要”原则（《个人信息保护法》第六条）；②数据存储安全缺失：数据库未加密、弱口令违反《数据安全法》第二十一条“采取加密等技术措施”要求；③日志留存不足：《网络安全法》第二十一条规定日志留存不少于6个月，7天不符合要求；④访问控制缺失：客服直接查询原始数据库无审批，违反“最小权限”原则；⑤未及时通知用户：《个人信息保护法》第五十七条要求“知道或应当知道泄露后72小时内通知”，15天严重超时。（2）整改措施：①精简数据收集范围，仅保留姓名、电话、地址等必要信息，健康状况停止收集并删除历史数据；②数据库启用AES-256加密，设置复杂口令（≥12位，含字母数字符号），定期更换；③延长日志留存至180天，启用日志审计功能，监控异常访问；④建立数据库访问审批流程，客服仅能查询脱敏后数据（如隐藏电话中间4位），关键操作需主管审核；⑤制定《数据泄露应急响应预案》，明确72小时通知机制，事件发生后立即启动用户告知程序。案例2（11分）：某智能手表厂商推出新款产品，可采集心率、血压、睡眠质量、运动轨迹（精度5米）、实时位置（每5分钟上传