2025年数据安全治理专业人员（CISP-DSG）真题（附答案）

2025年数据安全治理专业人员（CISP-DSG）练习题（附答案）一、单项选择题（共25题，每题1分，每题只有1个正确答案）1.数据安全治理的核心目标是以下哪项？A.保障数据资产的保密性、完整性、可用性，平衡安全与发展，实现数据价值安全释放B.全面防止所有数据泄露事件发生C.满足监管合规要求即可D.提升数据存储和传输性能答案：A解析：CISP-DSG核心定义明确，数据安全治理不是单纯为了满足合规要求，也不是追求绝对零风险，其核心目标是在保障数据三性（保密性、完整性、可用性）的基础上，平衡安全防护与数据流通利用的关系，最终实现数据价值的安全释放。选项B将目标片面化为防泄露，选项C仅将合规作为目标，未触及核心，选项D属于基础设施性能目标，和数据安全治理无关，因此A正确。2.根据《中华人民共和国数据安全法》，以下哪项描述符合国家核心数据的定义？A.反映宏观经济运行情况的行业统计数据B.关系国家安全、国民经济命脉、重要民生、重大公共利益的数据C.各级政务部门未公开的内部工作数据D.能源领域的企业生产经营重要数据答案：B解析：《中华人民共和国数据安全法》第二十一条明确规定，国家核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益的数据，国家对核心数据实行更严格的保护制度。选项A、C、D均属于重要数据范畴，不符合核心数据的法定定义，因此B正确。3.Gartner经典数据安全治理（DSG）框架定义的核心角色不包括以下哪项？A.数据所有者（DataOwner）B.数据监护人（DataCustodian）C.数据使用者（DataUser）D.系统运维人员答案：D解析：Gartner数据安全治理框架中，明确了三类核心角色：数据所有者负责数据权属和整体策略决策，数据监护人负责数据的日常存储和技术防护，数据使用者负责按权限使用数据。系统运维人员属于执行层具体岗位，不属于框架定义的核心角色范畴，因此D正确。4.我国国家标准《数据分类与分级》（GB/T41479-2022）中，数据分级的主要依据不包括以下哪项？A.数据遭到篡改、破坏、泄露后对不同对象的危害类型B.数据安全事件发生后的危害程度C.数据的采集和存储成本D.数据安全事件发生后的影响范围答案：C解析：GB/T41479-2022明确规定，数据分级以数据遭到篡改、破坏、泄露或者非法获取、非法利用后，对国家安全、公共利益、个人或者组织合法权益的危害对象、危害程度、影响范围作为分级依据，数据的采集存储成本不影响数据的分级结果，因此C正确。5.根据《数据安全治理能力评估方法》（T/CESA1195-2021），数据安全治理能力成熟度一共划分为几个等级？A.3个B.5个C.4个D.6个答案：B解析：《数据安全治理能力评估方法》将数据安全治理能力成熟度划分为5个等级，从低到高依次为：初始级、可重复级、已定义级、已管理级、优化级，因此B正确。6.根据《中华人民共和国个人信息保护法》，处理敏感个人信息不需要满足以下哪项通用要求？A.取得个人的单独同意B.向个人告知处理敏感个人信息的必要性以及对个人权益的影响C.所有处理活动必须向网信部门报备D.具有特定的处理目的和充分的必要性答案：C解析：《个人信息保护法》第二十八条、第二十九条明确规定，处理敏感个人信息应当具有特定的目的和充分的必要性，取得个人的单独同意，并向个人告知处理敏感个人信息的相关事项。仅在法律、行政法规规定需要报备的场景下才需要履行报备程序，并非所有敏感个人信息处理活动都必须报备，因此C正确。7.数据安全风险评估中，量化计算风险值的核心两个维度是？A.威胁严重性和脆弱性严重程度B.资产价值和威胁发生可能性C.威胁发生可能性和事件影响程度D.资产价值和脆弱性程度答案：C解析：CISP-DSG通用风险评估模型中，风险的核心量化逻辑为风险值=威胁发生可能性×事件影响程度，资产价值和脆弱性是影响可能性和影响程度的基础要素，并非直接计算风险值的两个维度，因此C正确。8.按照规范的数据安全治理组织架构设计，企业数据安全治理的最高决策机构通常是？A.专职数据安全管理岗B.数据安全委员会C.首席信息官（CIO）D.合规管理部答案：B解析：规范的数据安全治理组织架构分为决策层、管理层、执行层三个层级，决策层为数据安全委员会，负责制定数据安全治理战略、审批重大事项、协调跨部门资源，是最高决策机构，其他选项均属于管理层或执行层角色，因此B正确。9.根据国家标准《重要数据识别指南》（GB/T42432-2023），以下哪项不属于重要数据识别的基本原则？A.业务驱动、最小必要B.动态识别、谁管谁认C.国家统一标准、行业不得调整D.分类分级、突出重点答案：C解析：《重要数据识别指南》明确规定，重要数据识别遵循“国家统一标准、行业细化补充”的原则，各行业主管部门可以结合本行业业务特点，在国家统一标准基础上细化补充本行业重要数据目录，因此“国家统一标准、行业不得调整”的表述错误，C符合题意。10.根据《数据出境安全评估办法》，以下哪种情况不需要向国家网信部门申报数据出境安全评估？A.处理100万人以上个人信息的数据处理者向境外提供个人信息B.累计向境外提供不超过10万人的普通个人信息C.向境外提供国家核心数据D.向境外提供行业重要数据答案：B解析：《数据出境安全评估办法》第四条明确规定，需要申报出境安全评估的情形包括：向境外提供核心数据、向境外提供重要数据、处理100万人以上个人信息的处理者向境外提供个人信息、累计向境外提供10万人以上个人信息或者1万人以上敏感个人信息。累计不超过10万人的普通个人信息出境不需要申报安全评估，因此B正确。11.以下哪种访问控制模型能够基于数据分类分级属性、主体身份属性等多维度信息实现动态细粒度授权，更符合数据流通场景下的最小权限要求？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：D解析：自主访问控制权限分散，难以实现全局统一管控；强制访问控制安全性高但灵活性差，不适合开放流通场景；基于角色的访问控制适合静态权限分配，难以适配数据流通中多场景动态授权需求；基于属性的访问控制可以结合数据密级、主体岗位、场景上下文等多维度属性动态匹配授权，能够很好适配基于分类分级的细粒度权限管控需求，因此D正确。12.数据安全合规审计的核心目的是？A.排查信息系统的技术漏洞B.验证数据安全治理措施的有效性，识别违规行为，满足合规要求C.打击数据领域违法犯罪活动D.验证数据备份的可恢复性答案：B解析：排查系统漏洞是渗透测试和漏洞扫描工作的核心目的，打击数据犯罪是司法机关的职能，验证备份可恢复性是业务连续性演练的内容；数据安全合规审计的核心目的是通过对数据处理活动和治理措施的审查，验证措施有效性、识别违规行为，满足监管合规要求，因此B正确。13.根据《网络安全等级保护条例》，三级以上网络的运营者应当对哪类数据进行重点保护？A.所有用户产生的数据B.核心数据和重要数据C.仅核心数据D.所有个人信息答案：B解析：《网络安全等级保护条例》明确规定，三级以上网络的运营者应当对核心数据和重要数据实施重点保护，因此B正确。14.数据安全治理中，数据脱敏技术的核心作用是？A.提升数据处理速度B.在保留数据业务可用性的前提下，消除敏感信息的安全风险C.压缩数据存储占用空间D.替代数据加密满足存储安全要求答案：B解析：数据脱敏是指通过对原始敏感数据进行变形、替换等处理，去除可识别自然人或敏感信息的内容，同时保留数据的业务特性，满足开发测试、数据共享等场景的使用需求，核心作用就是平衡可用性和安全性，消除敏感信息风险，其他选项表述均错误，因此B正确。15.以下哪项属于数据安全治理的技术管控措施？A.制定企业数据安全分级分类管理制度B.明确各岗位数据安全权责C.定期开展全员数据安全培训D.部署数据泄漏防护（DLP）系统答案：D解析：选项A、B、C均属于数据安全治理的管理措施，部署DLP系统属于技术防护管控措施，因此D正确。16.数据安全治理项目实施过程中，数据资产梳理环节的核心输出成果是？A.企业数据资产分布图与数据资产目录B.企业网络拓扑结构图C.员工系统权限清单D.信息系统漏洞扫描报告答案：A解析：数据资产梳理的核心目标是理清企业所有数据资产的分布、权属、敏感程度，核心输出成果是数据资产目录和数据资产分布图。网络拓扑是基础设施梳理成果，权限清单是权限梳理成果，漏洞扫描报告是风险评估成果，因此A正确。17.根据《中华人民共和国数据安全法》，国家建立数据安全审查制度的核心目的是？A.防范数据处理活动带来的国家安全风险，维护国家安全和公共利益B.打击网络诈骗等违法犯罪活动C.提升国内数据流通交易效率D.规范企业内部数据管理流程答案：A解析：《中华人民共和国数据安全法》第二十四条明确规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动开展国家安全审查，核心目的是防范国家安全风险，维护公共利益，其他选项均不是核心目的，因此A正确。18.规范的数据分类分级工作流程中，正确的工作顺序是？A.先分级后分类B.先分类后分级C.分类分级必须同时开展D.分类分级没有固定顺序答案：B解析：数据分类分级的标准流程是先按照数据的业务属性、来源、用途等维度对数据进行分类，再在分类的基础上，根据数据的敏感程度和危害影响进行分级，先分类后分级是行业通用的规范流程，因此B正确。19.以下哪项属于数据安全治理的外部合规性要求？A.企业董事会制定的企业数据安全战略要求B.行业监管机构出台的行业数据安全管理规范C.企业内部发布的数据安全管理制度要求D.业务部门提出的数据访问权限要求答案：B解析：外部合规要求是指企业外部的法律法规、监管规则、标准规范提出的强制性要求，行业监管机构发布的管理规范属于外部合规要求，其他选项均属于企业内部管理要求，因此B正确。20.发生数据泄露安全事件后，应急响应流程中首先应当开展的工作是？A.第一时间向社会公众发布事件公告B.立即切断泄露源，停止泄露渠道，控制事件影响范围C.排查并追责相关责任人D.开展受损系统和数据的恢复工作答案：B解析：数据泄露应急响应的第一步是遏制阶段，核心工作是第一时间切断泄露源，阻止泄露范围进一步扩大，之后再开展排查影响、发布公告、追责恢复等后续工作，因此B正确。21.《中华人民共和国个人信息保护法》规定，处理个人信息应当遵循的基本原则不包括以下哪项？A.合法、正当、必要B.诚信C.公开透明D.最大化收集数据满足业务需求答案：D解析：《个人信息保护法》明确规定，处理个人信息应当遵循合法、正当、必要、诚信、公开透明的原则，不得过度收集个人信息，因此最大化收集数据不属于法定原则，D符合题意。22.数据安全治理能力成熟度模型中，能够实现数据安全治理流程可量化、可监控，并且持续优化改进的是哪个等级？A.初始级B.可重复级C.已管理级D.优化级答案：D解析：成熟度各等级特征：初始级无统一治理，流程混乱；可重复级有基本流程，能够重复执行；已管理级有明确流程定义，能够对过程进行管理；优化级能够基于量化数据持续优化治理流程，是最高成熟度等级，因此D正确。23.以下哪种技术体系可以实现数据流通场景下的“数据可用不可见”，兼顾数据流通利用和安全保护？A.静态数据脱敏B.差分隐私C.同态加密D.隐私计算答案：D解析：隐私计算是一类面向数据流通的隐私保护技术体系，核心特性是在不输出原始数据的前提下实现数据的联合计算和价值挖掘，实现“数据可用不可见”，破解数据流通和安全保护的矛盾。选项A、B、C均属于单一隐私保护技术，不属于体系化满足数据流通需求的技术，因此D正确。24.根据监管要求和国标规范，企业制定完成的重要数据目录应当至少多久更新一次？A.至少1年更新一次B.至少2年更新一次C.至少3年更新一次D.不需要定期更新，变化再更新答案：A解析：《重要数据识别指南》明确要求，重要数据目录应当至少每年更新一次，发生重大业务变化或监管要求调整时应当及时更新，因此A正确。25.数据安全治理核心角色中，数据所有者的核心职责是？A.负责数据资产的日常安全技术防护B.负责数据资产的权属管理、分类分级审批、安全策略制定C.负责数据存储介质的日常运维D.负责按照权限访问使用数据答案：B解析：数据所有者是拥有数据权属的责任主体，核心职责是对数据全生命周期的整体管理，包括分类分级审批、安全策略制定等；数据监护人负责技术防护和存储运维；数据使用者负责按权限使用数据，因此B正确。二、多项选择题（共10题，每题2分，每题至少有2个正确答案，多选、少选、错选均不得分）1.以下属于我国数据安全领域现行有效国家级法律的有（）A.《中华人民共和国数据安全法》B.《中华人民共和国个人信息保护法》C.《中华人民共和国网络安全法》D.《数据安全治理指南》E.《重要数据识别指南》答案：ABC解析：选项D是行业指引文件，选项E是国家标准，两者都不属于国家法律范畴；《数据安全法》《个人信息保护法》《网络安全法》是我国数据安全领域三部基础性国家级法律，因此选ABC。2.下列关于数据安全治理和传统网络安全治理的区别，说法正确的有（）A.传统网络安全治理以边界防护、基础设施安全为核心，数据安全治理以数据资产本身为核心保护对象B.传统网络安全治理不关注合规，数据安全治理只关注合规C.传统网络安全治理侧重静态边界防护，数据安全治理侧重全生命周期动态治理D.数据安全治理更关注安全与价值的平衡，支撑数据价值释放，传统网络安全治理更侧重风险防控E.数据安全治理只关注管理措施，传统网络安全治理只关注技术措施答案：ACD解析：选项B错误，两者都将合规作为核心目标之一；选项E错误，两者都需要结合管理措施和技术措施，不存在只关注单一类型措施的情况；选项ACD正确表述了两者的核心区别，因此选ACD。3.根据我国现行数据出境监管规则，合法的数据出境路径包括以下哪几种（）A.通过国家网信部门组织的数据出境安全评估B.签订经备案的个人信息出境标准合同C.取得个人信息保护认证后出境D.关键信息基础设施运营者可自行决定向境外提供数据E.所有数据出境都不需要审批，企业可自行处置答案：ABC解析：我国现行数据出境监管框架下，合法出境路径主要包括三种：数据出境安全评估、标准合同、个人信息保护认证；关键信息基础设施运营者向境外提供核心数据、重要数据等必须申报评估，不能自行决定，因此DE错误，选ABC。4.数据资产梳理作为数据安全治理的基础性工作，核心工作内容包括以下哪几项（）A.摸清企业数据资产的存量和分布情况B.理清所有数据资产的权属关系C.识别数据资产中的敏感数据、重要数据D.整理形成完整的企业数据资产目录E.对所有梳理出的数据进行加密存储答案：ABCD解析：加密存储是数据资产梳理完成后的管控措施，不属于数据资产梳理工作本身的内容，选项ABCD均为数据资产梳理的核心工作内容，因此选ABCD。5.根据《中华人民共和国个人信息保护法》，以下属于敏感个人信息的有（）A.生物识别信息、宗教信仰信息B.特定身份信息、医疗健康信息C.金融账户信息、行踪轨迹信息D.不满十四周岁未成年人的个人信息E.普通公开的工作单位名称信息答案：ABCD解析：《个人信息保护法》明确规定，敏感个人信息是一旦泄露容易导致自然人人格尊严受侵害、人身财产安全受危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹，以及不满十四周岁未成年人个人信息，选项E属于普通个人信息，因此选ABCD。6.数据安全风险评估按照实施周期可以划分为以下哪几种类型（）A.自评估B.专项风险评估C.定期风险评估D.检查评估E.应急风险评估答案：BCE解析：数据安全风险评估按照实施主体可以划分为自评估和检查评估，按照实施周期可以划分为专项评估、定期评估、应急评估，因此选BCE。7.数据共享交换环节的安全管控措施，以下说法正确的有（）A.数据共享前应当开展数据共享安全风险评估B.数据共享双方应当签订安全协议，明确各方数据安全责任C.共享的敏感数据应当按要求进行脱敏处理D.共享方应当对共享数据的使用情况进行全程审计监控E.数据共享后风险由