2025年7月第1周合规与信息安全考核试卷含答案

2025年7月第1周合规与信息安全考核试卷含答案一、单项选择题（共15题，每题2分，共30分）1.根据《数据安全法》修订版（2024年实施），以下哪类数据不属于“重要数据”范畴？A.金融机构客户征信数据（涉及50万人以上）B.某科研机构采集的全国土壤重金属污染分布数据C.电商平台用户的购物偏好标签（单个用户维度）D.省级交通管理部门的实时路况监控数据（覆盖全省90%路网）答案：C2.某企业拟向境外提供用户个人信息，根据《个人信息保护法》及《数据出境安全评估办法》（2025年最新修订），以下无需申报安全评估的情形是？A.年处理100万人以上个人信息的出境活动B.自上年1月1日起累计向境外提供10万人以上敏感个人信息C.向境外提供5000人以下非敏感个人信息且已通过认证机构认证的标准合同D.涉及关键信息基础设施运营者的用户行为日志出境答案：C3.关于“最小必要原则”在个人信息处理中的应用，以下做法符合要求的是？A.社区APP要求用户授权读取通讯录以完成注册B.银行信贷系统仅收集用户身份证号、收入证明及征信报告（与信贷审核直接相关）C.外卖平台在用户下单时要求提供家庭住址、工作地址及紧急联系人电话D.教育类软件为优化推荐，收集用户近3年所有社交平台发布的内容答案：B4.某公司发生数据泄露事件，造成5000名用户的姓名、手机号及部分交易记录（非金融敏感信息）泄露。根据《网络安全法》及《数据安全事件报告管理办法》，该公司应在多长时间内向属地网信部门报告？A.立即（1小时内）B.24小时内C.48小时内D.72小时内答案：B5.以下哪种加密技术符合《信息安全技术个人信息去标识化指南》（GB/T37964-2023）中“不可逆性”要求？A.SHA-256哈希（无盐值）B.AES-256对称加密（密钥由系统自动轮换）C.RSA非对称加密（私钥由专人保管）D.数据库字段替换（如将“1381234”替换为“13834”）答案：A6.某医疗系统管理员发现，护士张某多次违规查询非负责患者的电子病历。根据《医疗质量安全核心制度要点》及《个人信息保护法》，最合理的处置措施是？A.口头警告并扣除当月绩效B.暂停其系统访问权限，核查违规记录，视情节给予纪律处分或移交司法C.要求张某签署《合规承诺书》后恢复权限D.将张某调岗至不涉及患者信息的岗位，无需额外处理答案：B7.关于日志留存期限，以下符合《网络安全法》及《关键信息基础设施安全保护条例》要求的是？A.一般信息系统日志留存6个月B.金融行业核心交易系统日志留存1年C.医疗HIS系统患者访问日志留存2年D.国家级能源监控平台操作日志留存3年答案：D8.某企业使用AI算法对用户行为数据进行分析，提供“高价值客户”标签。根据《提供式人工智能服务管理暂行办法》（2025年修订），以下需重点关注的合规风险是？A.算法是否基于用户明示同意的范围处理数据B.标签结果是否向用户公开C.算法模型是否通过国家备案D.分析过程是否使用开源框架答案：A9.以下哪项不属于《信息安全技术网络安全等级保护基本要求》（GB/T22239-2022）三级系统的“安全通信网络”要求？A.网络设备支持基于IP地址和端口的访问控制列表（ACL）B.重要通信链路实现冗余备份C.传输敏感数据时采用符合国密标准的加密协议D.对网络流量进行全量捕获和内容深度分析答案：D10.某物流企业拟与第三方云服务商合作存储运单数据，以下哪项不是《云计算服务安全评估办法》要求的审查内容？A.云服务商的股权结构是否涉及境外资本B.运单数据的物理存储位置（境内/境外）C.云服务商的安全事件应急响应流程D.物流企业与云服务商的服务费用分摊方式答案：D11.关于“数据分类分级”工作，以下表述错误的是？A.需结合业务场景确定“数据资产清单”B.分类应基于数据的业务属性（如用户数据、业务数据、管理数据）C.分级只需考虑数据泄露后的影响程度，无需考虑数据量大小D.分级结果需形成文档并定期更新答案：C12.某互联网公司因用户投诉，需验证用户“撤回个人信息处理同意”的功能是否合规。根据《个人信息保护法》，以下关键验证点不包括？A.用户能否通过APP内清晰路径完成撤回操作B.撤回同意后，公司是否停止除履行合同必要外的处理行为C.撤回同意是否影响用户已享受的服务（如已完成的交易）D.撤回同意后，公司是否立即删除用户所有历史数据答案：D13.以下哪种场景符合《数据安全法》中“数据交易”的合规要求？A.甲公司将收集的用户位置数据（匿名化处理）出售给广告公司B.乙医院将患者诊疗数据（去标识化）提供给医药企业用于研发C.丙平台将用户手机号列表（未脱敏）以“信息服务费”名义转让给贷款机构D.丁企业将内部经营数据（未分类）通过黑市交易获取利益答案：B14.某企业员工使用私人手机连接公司VPN处理业务，导致设备被植入恶意软件，造成公司内部文档泄露。根据《企业信息安全管理规范》，责任认定的关键依据是？A.员工是否签署《BringYourOwnDevice（BYOD）安全协议》B.恶意软件是否为新型变种（未被现有防护系统识别）C.泄露文档的密级是否超过员工权限D.公司是否对VPN连接设备进行过安全检测（如安装杀毒软件、开启系统更新）答案：A15.关于“隐私计算”技术的应用，以下表述正确的是？A.隐私计算可完全替代数据脱敏，无需额外合规审查B.联邦学习属于隐私计算的一种，允许参与方在不共享原始数据的前提下联合建模C.隐私计算仅适用于个人信息保护，对企业敏感数据无保护作用D.隐私计算技术成熟，所有场景下均可直接使用答案：B二、多项选择题（共10题，每题3分，共30分。每题至少2个正确选项，多选、少选、错选均不得分）1.根据《个人信息保护法》，以下属于“敏感个人信息”的有？A.15周岁未成年人的学习记录B.某上市公司高管的行程轨迹C.银行客户的征信报告D.普通用户的网购收货地址答案：ABC2.关键信息基础设施运营者（CIIO）需履行的特殊合规义务包括？A.自行或委托第三方每年至少开展1次安全检测评估B.优先采购境内网络产品和服务（国家另有规定除外）C.制定网络安全事件应急预案并定期演练D.将重要系统和数据按要求向国家网信部门备案答案：ABCD3.数据安全管理体系（DSMS）的核心要素包括？A.数据分类分级制度B.数据生命周期管理流程C.数据安全责任追究机制D.数据安全培训与意识提升答案：ABCD4.以下哪些行为可能违反《反不正当竞争法》中的“数据获取”规定？A.爬虫程序绕过目标网站反爬机制抓取公开商品信息B.诱导用户授权读取其他APP数据（如社交关系链）C.未经允许复制竞争对手数据库中的用户评价数据D.通过合法接口获取合作方的业务数据并用于自身营销答案：BC5.关于“数据出境”的合规路径，以下正确的有？A.通过国家网信部门组织的安全评估B.与境外接收方签订经备案的标准合同C.由专业认证机构进行数据出境安全认证D.仅向与我国签订数据保护互认协议的国家出境答案：ABC6.信息安全事件分级的主要依据包括？A.受影响的信息系统数量或用户规模B.泄露数据的敏感程度和数量C.事件对业务连续性的影响时长D.事件是否由内部人员故意行为导致答案：ABC7.访问控制的“三要素”包括？A.主体（如用户、程序）B.客体（如文件、数据库）C.权限（如读取、修改）D.审计（如日志记录）答案：ABC8.以下属于“暗网威胁”防范措施的有？A.定期监控暗网平台是否存在本公司数据售卖B.对员工进行暗网风险意识培训C.购买暗网数据泄露监测服务D.关闭所有未授权的网络端口答案：ABC9.根据《网络安全审查办法》（2025年修订），以下需申报网络安全审查的情形包括？A.关键信息基础设施运营者采购云计算服务（服务提供商境外上市）B.数据处理者开展数据跨境传输（年处理100万人以上个人信息）C.人工智能服务提供者采购算法模型（涉及用户画像）D.中小电商平台采购普通服务器（无敏感数据存储）答案：ABC10.个人信息处理者的“告知义务”需包含的内容有？A.个人信息的处理目的、方式、范围B.个人信息的保存期限C.个人信息主体的权利及行使方式D.个人信息处理者的联系方式答案：ABCD三、判断题（共10题，每题1分，共10分。正确填“√”，错误填“×”）1.企业收集14周岁以下儿童个人信息，只需取得儿童本人同意即可。（×）2.数据脱敏后（如手机号隐藏中间四位），即可视为“匿名化数据”，无需遵守个人信息保护相关规定。（×）3.关键信息基础设施发生重大网络安全事件，运营者可直接向行业主管部门报告，无需同步网信部门。（×）4.员工离职后，企业应立即删除其所有访问过的系统日志。（×）5.未发生数据泄露事件的企业，无需开展数据安全风险评估。（×）6.加密后的数据在传输过程中，无需再通过访问控制限制查看权限。（×）7.第三方合作方要求提供用户数据时，企业只需审查合作方的资质，无需约定数据使用范围。（×）8.企业制定的内部合规制度与法律法规冲突时，以内部制度为准。（×）9.个人信息主体要求查阅其个人信息时，企业可收取合理成本费用。（√）10.云服务提供商因技术故障导致客户数据丢失，客户仍需对数据安全负主体责任。（√）四、简答题（共5题，每题6分，共30分）1.简述“数据安全责任到人”原则的具体落实措施。答案：①明确数据安全第一责任人（如法定代表人）；②设立数据安全负责人（DSO），统筹管理数据安全工作；③按业务条线划分数据安全岗位（如数据管理员、系统安全员），制定岗位安全职责；④将数据安全纳入员工绩效考核，对违规行为追责；⑤定期开展数据安全培训，确保员工知悉自身责任。2.列举《提供式人工智能服务管理暂行办法》中对“算法透明度”的要求。答案：①提供服务时，需以显著方式提示用户数据来源和提供逻辑；②对用户输入数据和输出结果进行记录，保存期限不少于6个月；③不得利用算法诱导用户作出非自愿选择（如虚假信息提供）；④涉及用户权益的提供结果，需提供人工复核渠道。3.说明“零信任架构”在信息安全防护中的核心设计理念及关键措施。答案：核心理念：“永不信任，持续验证”，默认不信任任何内部或外部访问请求，需通过动态验证确认身份、设备、环境等安全状态后再授权访问。关键措施：①身份认证（多因素认证MFA）；②设备安全状态检查（如安装杀毒软件、系统补丁）；③最小权限访问（按需授权）；④持续监控与自适应策略调整；⑤加密传输（全链路TLS/国密加密）。4.简述个人信息“可携带权”的定义及企业需满足的技术要求。答案：定义：个人信息主体有权要求处理者将其个人信息转移至指定的其他处理者（需符合技术可行原则）。技术要求：①提供标准化数据接口（如CSV、JSON格式）；②确保数据转移过程中的完整性（无缺失、篡改）；③保护数据转移中的安全性（加密传输、访问控制）；④在合理期限内（通常不超过15个工作日）完成转移。5.列举《数据安全法》中“数据安全风险评估”的主要内容。答案：①数据处理活动的合法性、合规性；②数据的安全性（如加密、访问控制措施）；③数据泄露、篡改、丢失的风险及影响；④已采取的风险应对措施的有效性；⑤数据处理对国家安全、公共利益的影响。五、案例分析题（共2题，每题15分，共30分）案例1：某电商平台（非关键信息基础设施运营者）2025年6月发现，因系统漏洞导致20万用户的姓名、手机号及近1年购物订单（含商品名称、金额）泄露至暗网。经核查，漏洞存在时间为3个月，平台在漏洞发现前未进行过系统安全扫描；泄露数据中包含5000名用户的“生鲜冷链接触史”（属于敏感个人信息）。问题：（1）分析该平台存在的合规违规点；（2）提出事件发生后的应急处置措施。答案：（1）违规点：①未按《网络安全法》要求定期开展系统安全检测（漏洞存在3个月未发现）；②未对敏感个人信息（生鲜冷链接触史）采取额外保护措施（如加密存储、严格访问控制）；③未按《数据安全事件报告管理办法》在24小时内向网信部门报告（假设平台未及时报告）；④违反《个人信息保护法》中“采取必要措施保障个人信息安全”的义务。（2）应急处置措施：①立即修复系统漏洞，关闭相关数据接口；②启动事件响应预案，成立专项小组（技术、法务、公关）；③向属地网信部门、行业主管部门报告事件详情（时间、影响范围、已采取措施）；④通过APP公告、短信等方式通知受影响用户（尤其是5000名敏感信息泄露用户），告知补救措施（如修改账号密码、关注异常交易）；⑤委托第三方机构对数据泄露影响进行评估，制定赔偿方案（如赠送优惠券、免费身份保护服务）；⑥对内部安全管理流程进行复盘，完善漏洞扫描、敏感数据分类等制度；⑦配合监管部门调查，落实整改要求。案例2：某连锁医院（属于关键信息基础设施运营者）与第三方健康管理公