2025年数据安全考试题及答案

2025年数据安全考试题及答案一、单项选择题（每题2分，共20分）1.根据《数据安全法》修订草案（2024年征求意见稿），以下哪类数据不属于“重要数据”范畴？A.涉及100万人以上生物识别信息的数据集B.某省年度GDP统计明细数据（非汇总）C.三甲医院内部使用的临床路径管理系统数据D.国家级自然保护区核心区域的生态监测实时数据答案：C2.某智能汽车厂商拟向境外母公司传输车辆位置轨迹数据，根据2025年最新《数据出境安全评估办法》，以下哪种情形无需申报安全评估？A.数据涉及50万用户的连续6个月轨迹记录B.数据处理者上一年度境内业务收入12亿元C.采用去标识化处理后，仍可通过车辆VIN码关联到具体用户D.境外接收方为母公司全资子公司，已通过ISO27701认证答案：D3.某电商平台发现用户注册信息数据库出现异常访问日志，经核查系运维人员误操作导致5000条用户手机号泄露。根据《个人信息保护法》及配套规则，平台应在多长时间内向省级网信部门报告？A.24小时B.48小时C.72小时D.5个工作日答案：B4.关于数据分类分级，以下表述正确的是？A.分类应基于数据的敏感程度，分级应基于数据的业务价值B.金融机构客户交易流水属于“一般数据”，客户征信报告属于“重要数据”C.数据分类分级结果应至少每2年重新评估一次D.分类分级方案需经数据安全负责人审批后实施答案：D5.某AI训练机构使用公共爬取的新闻数据训练内容审核模型，其中包含少量未明确授权的个人通讯信息。根据《提供式人工智能服务管理暂行办法》（2025年修订版），该行为的合规关键在于？A.数据爬取时是否遵守网站robots协议B.是否对含个人信息的数据进行了去标识化处理C.训练模型输出结果是否涉及用户隐私泄露风险D.爬取数据总量是否超过1000万条答案：B6.某医疗APP拟新增“健康档案共享”功能，用户可授权第三方体检机构访问其电子病历。根据《卫生健康数据安全管理规定》，以下哪项不是必须的合规措施？A.向用户明确告知共享数据的具体字段、用途及第三方资质B.与第三方签订数据安全责任书，约定数据使用范围和责任C.对共享数据进行脱敏处理，确保无法识别到特定自然人D.在用户授权界面设置单独的“同意”按钮，不得捆绑其他功能答案：C（注：电子病历属于敏感个人信息，共享时需取得用户单独同意并采取严格保护措施，但并非必须完全脱敏，需结合最小必要原则判断）7.某政务云平台存储了全省人口基础信息库，其数据安全责任主体是？A.云服务提供商B.政务信息系统建设单位C.数据实际使用的政府部门D.省级大数据管理局答案：D8.关于数据安全风险评估，以下哪项不属于评估报告应包含的内容？A.数据处理活动的合法性、正当性、必要性分析B.数据泄露可能造成的社会影响及经济损失测算C.数据安全技术措施的有效性测试记录D.数据安全岗位人员的薪酬水平统计答案：D9.某物流企业开发内部数据看板，展示全国运输路线实时拥堵情况。根据《数据安全法》，该数据看板的安全保护等级应依据？A.数据处理的规模B.数据一旦泄露可能造成的危害程度C.数据存储的介质类型D.数据处理的技术复杂度答案：B10.某高校开展科研合作，需向境外大学传输基因测序数据。根据2025年《人类遗传资源管理条例实施细则》，以下哪项是必要前提？A.获得科技部人类遗传资源行政许可B.与境外大学签订数据共享协议C.对数据进行加密传输D.在合作项目中明确中方科研人员的主导地位答案：A二、多项选择题（每题3分，共30分，多选、错选不得分，少选得1分）1.数据安全管理制度应至少包括以下哪些内容？A.数据分类分级规则B.数据访问权限审批流程C.数据安全事件应急处置预案D.数据安全培训考核办法答案：ABCD2.以下哪些行为可能违反“最小必要原则”？A.电商平台在用户注册时要求提供婚姻状况信息B.银行APP在登录时获取设备IMEI号用于安全验证C.导航软件在后台持续获取位置信息即使未开启导航D.社交平台根据用户聊天记录推荐兴趣群组答案：AC3.数据安全审计应重点关注的环节包括？A.数据采集的合法性B.数据存储的容灾备份C.数据共享的授权记录D.数据销毁的完整性答案：ACD4.根据《关键信息基础设施安全保护条例》，关键信息基础设施运营者的数据安全义务包括？A.制定数据安全应急预案并定期演练B.每年至少开展一次数据安全检测评估C.将数据安全纳入采购合同条款D.优先采购境内数据安全产品答案：ABC5.个人信息主体的权利包括？A.查阅、复制个人信息的权利B.要求对错误个人信息进行更正的权利C.限制或拒绝处理个人信息的权利D.要求删除个人信息的权利答案：ABCD6.数据安全技术措施应包括？A.数据加密（静态加密、传输加密）B.访问控制（最小权限、多因素认证）C.日志审计（操作记录留存至少6个月）D.数据脱敏（去标识化、匿名化）答案：ABD（注：日志留存时间应为至少6个月，C选项表述不完整）7.以下哪些情形需要进行数据安全影响评估？A.开展数据跨境传输B.使用新技术处理敏感个人信息C.数据处理规模从10万条扩大至100万条D.发生数据泄露事件后整改答案：ABD8.数据安全负责人的职责包括？A.组织制定数据安全管理制度B.监督数据安全措施的落实C.向董事会报告数据安全工作D.处理数据安全投诉举报答案：ABCD9.关于数据销毁，以下正确的做法是？A.纸质数据采用碎纸机粉碎后可视为销毁B.电子数据需进行物理销毁（如格式化硬盘）或逻辑销毁（覆盖写入）C.云存储数据需联系服务商彻底删除，确保无备份D.销毁过程需记录时间、方式、执行人并留存至少3年答案：BCD10.某企业拟建立数据安全管理体系，可参考的标准包括？A.GB/T35273-2020《信息安全技术个人信息安全规范》B.ISO/IEC27001《信息安全管理体系要求》C.《数据安全能力成熟度模型（DSMM）》D.GB/T42479-2023《信息安全技术数据安全管理要求》答案：ABCD三、判断题（每题1分，共10分）1.数据处理者可以将个人信息处理规则以超链接形式嵌入用户协议，无需单独说明。（×）2.重要数据的处理活动应当在境内进行，确需向境外提供的，应通过安全评估。（√）3.数据安全事件发生后，只需向行业主管部门报告，无需向网信部门报告。（×）4.匿名化处理后的数据不属于个人信息，因此可以自由使用。（×）（注：匿名化需达到“无法识别且无法复原”，且需结合场景判断）5.数据分类分级的结果应在企业内部公示，无需向用户告知。（×）6.数据安全培训应覆盖全体员工，包括临时聘用人员。（√）7.数据安全风险评估报告只需由技术部门负责人签字即可。（×）8.存储在离线设备中的数据不需要采取访问控制措施。（×）9.数据处理者可以将用户同意作为处理敏感个人信息的唯一合法基础。（×）（注：敏感个人信息需“单独同意”且满足“特定目的+充分必要性”）10.关键信息基础设施运营者应当自行建设数据安全保护体系，不得委托第三方服务。（×）四、简答题（每题8分，共40分）1.简述数据安全治理的核心要素。答案：数据安全治理的核心要素包括：（1）组织架构：明确数据安全责任主体（如数据安全委员会、数据安全负责人）；（2）制度体系：制定覆盖数据全生命周期的管理制度（分类分级、访问控制、应急响应等）；（3）技术措施：采用加密、脱敏、访问控制、审计等技术手段；（4）人员能力：开展全员培训，提升安全意识和技能；（5）合规评估：定期进行风险评估、合规审计，确保符合法律法规要求。2.数据分类分级的实施步骤有哪些？答案：实施步骤包括：（1）数据资产梳理：识别所有数据资产的类型、存储位置、处理流程；（2）分类标准制定：基于数据属性（如个人信息、业务数据、公共数据）或用途（如用户数据、运营数据）划分类别；（3）分级标准制定：根据数据泄露/篡改可能造成的危害程度（如对个人权益、社会公共利益、国家安全的影响）划分等级（一般、重要、核心）；（4）评估实施：组织业务、技术、合规部门联合评估每条数据的类别和等级；（5）结果审批：经数据安全负责人或管理层审批后发布；（6）动态更新：根据业务变化、风险情况定期（至少每年）重新评估。3.数据出境安全评估的重点内容包括哪些？答案：重点内容包括：（1）数据出境的必要性和正当性：是否符合“最小必要”原则，是否存在境内处理替代方案；（2）接收方的数据安全保护能力：包括技术措施、管理体系、所在国法律环境；（3）数据泄露风险：出境后可能面临的安全威胁及影响程度；（4）用户权益保障：是否取得用户明确同意，是否告知数据出境后的处理方式；（5）应急响应机制：数据泄露时的跨境协作与补救措施；（6）法律责任划分：境内外处理者的数据安全责任约定。4.个人信息“最小必要原则”的具体要求是什么？答案：具体要求包括：（1）采集最小化：仅采集实现服务功能必需的个人信息，不得超范围收集（如社交APP无需采集银行账户信息）；（2）处理必要化：处理方式（存储、使用、共享）应与服务目的直接相关，不得进行无关处理；（3）保存时间最小化：在实现目的后及时删除，无明确目的的应设定合理保存期限；（4）权限最小化：授予系统权限（如位置、相机）应与功能直接相关，不得默认开启所有权限；（5）共享最小化：向第三方共享时仅提供必要字段，不得共享完整数据集。5.数据安全审计的主要内容有哪些？答案：主要内容包括：（1）制度合规性：检查数据安全管理制度是否覆盖全生命周期，是否符合法律法规要求；（2）操作规范性：审计数据采集、存储、使用、共享、销毁等环节的操作记录，是否存在违规访问、越权操作；（3）技术有效性：验证加密、访问控制、日志审计等技术措施是否正常运行，是否存在漏洞；（4）事件处置：检查历史安全事件的响应流程是否规范，整改措施是否落实；（5）人员履职：评估数据安全岗位人员是否履行职责（如权限审批、培训实施）；（6）外部接口：审计与第三方合作的数据交互过程，是否存在违规传输或泄露风险。五、案例分析题（20分）2025年3月，某城市商业银行（以下简称“甲银行”）发现其手机银行APP用户交易明细数据库被外部攻击，导致20万用户近1年的交易记录（包含金额、对方账户、交易时间）泄露。经调查：（1）数据库未启用加密存储，仅设置简单密码；（2）运维人员曾将数据库访问账号共享给外包测试团队；（3）日志系统仅记录最近30天的操作记录，攻击发生时的关键日志已被覆盖；（4）用户协议中约定“银行有权根据业务需要共享用户数据”，但未明确共享范围和方式。问题：1.分析甲银行在数据安全管理中存在的合规漏洞（8分）。2.提出应急响应的具体措施（6分）。3.针对漏洞提出改进建议（6分）。答案：1.合规漏洞：（1）技术措施缺失：数据库未加密存储（违反《数据安全法》第二十一条“采取加密等安全技术措施”）；访问密码简单（未符合最小安全强度要求）。（2）访问控制违规：运维人员共享账号（违反“最小权限原则”和《个人信息保护法》第五十一条“严格限制访问权限”）。（3）日志管理不规范：日志留存时间不足（至少6个月，违反《网络安全法》第二十一条“日志留存不少于六个月”）。（4）用户告知不充分：用户协议中未明确数据共享的具体范围和方式（违反《个人信息保护法》第十七条“明确、具体告知处理规则”）。（5）风险评估缺失：未对数据库等重要数据处理活动进行安全风险评估（违反《数据安全法》第三十条“重要数据处理应进行风险评估”）。2.应急响应措施：（1）立即阻断攻击：关闭数据库公网访问，重置所有访问账号密码，启用多因素认证。（2）评估影响范围：统计泄露数据的具体用户、数据类型及可能造成的危害（如电信诈骗风险）。（3）通知用户：通过APP推送、短信等方式告知用户数据泄露情况，提示修改账户密码，关注异常交易。（4）报告监管：24小时内向银行业监管部门（银保监会）和省级网信部门报告事件详情、影响及处置措施。（5）追溯调查：联合网络安全机构分析攻击路径，固定证据，追究相关责任人（如违规共享账号的运维人员）责任。（6）临时补救：为受影响用户提供免费的账户安全监测服务，开通快速挂失通道。3.改进建议：（1）技术层面：对重要数据（如交易记录）实施加密存储（静态加密+传输加密），采用符合国密标准的加密算法；部