2026年信息安全合规师笔试题库

2026年信息安全合规师笔试题库一、单选题（共10题，每题2分，共20分）1.根据《网络安全法》，以下哪项不属于网络运营者的安全义务？A.建立网络安全管理制度B.对从业人员进行安全教育和培训C.未经用户同意收集其个人信息D.定期进行安全风险评估2.某企业需存储欧盟公民的敏感数据，依据GDPR要求，以下哪种措施是强制性的？A.使用国内云服务商的存储服务B.实施数据加密传输C.提供数据本地化存储选项D.任意第三方可访问该数据3.ISO27001标准中，哪个流程主要针对组织内部的风险评估与管理？A.ISMS建立B.风险评估C.审计准备D.策略发布4.《数据安全法》规定，关键信息基础设施运营者需定期进行安全评估，以下哪项除外？A.云计算平台B.供水供电系统C.交通运输系统D.电子商务网站5.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.SHA-2566.《个人信息保护法》中，哪项行为属于“过度收集”？A.根据用户需求收集必要信息B.同时收集与业务无关的地理位置数据C.明确告知并经用户同意收集D.收集用户身份证号码用于身份验证7.某公司员工使用个人邮箱处理公司机密文件，这种做法违反了以下哪个原则？A.分工协作B.最小权限C.数据隔离D.工作便利8.以下哪种认证方式安全性最高？A.用户名+密码B.动态口令C.生鲜令牌D.知识密码（如生日）9.根据《等保2.0》，哪级系统需部署入侵检测系统（IDS）？A.等级三级B.等级四级C.等级五级D.所有系统10.某企业因数据泄露被监管机构处罚，依据《网络安全法》，以下哪种情况可免于处罚？A.主动发现并报告漏洞B.未经用户同意泄露数据C.未及时修复高危漏洞D.配备专业安全团队二、多选题（共5题，每题3分，共15分）1.以下哪些属于《网络安全法》规定的网络安全事件？A.恶意软件攻击B.数据泄露C.网站篡改D.用户密码泄露2.GDPR中，个人数据处理的合法性基础包括哪些？A.用户明确同意B.合同履行需要C.法律义务D.基于公共利益3.ISO27001的核心要素包括哪些？A.风险管理B.信息安全策略C.物理安全控制D.人员安全4.《数据安全法》中，以下哪些属于数据分类分级的要求？A.关键数据需进行重点保护B.敏感数据需脱敏处理C.所有数据需加密存储D.外部共享需严格审批5.以下哪些措施可降低勒索软件风险？A.定期备份数据B.禁用管理员远程访问C.安装安全软件D.限制USB设备使用三、判断题（共10题，每题1分，共10分）1.《个人信息保护法》规定，企业可通过默认勾选方式收集用户个人信息。2.ISO27005是专门针对信息安全的风险管理标准。3.等保2.0中，等级五系统必须具备灾备能力。4.数据加密后，即使存储介质丢失，数据仍可能被恢复。5.GDPR允许企业将欧盟公民数据转移至美国存储。6.内部员工因疏忽导致数据泄露，企业无需承担责任。7.最小权限原则要求员工只能访问完成工作所需的最少系统。8.SHA-256属于对称加密算法。9.《网络安全法》适用于所有在中国境内的网络活动。10.企业可通过购买保险免除数据泄露的合规责任。四、简答题（共5题，每题5分，共25分）1.简述《网络安全法》中“关键信息基础设施”的定义及保护要求。2.说明ISO27001中“风险评估”流程的主要步骤。3.列举《数据安全法》中对企业数据跨境传输的合规要求。4.解释“纵深防御”信息安全架构的核心思想。5.简述个人信息保护中“目的限制”原则的含义。五、论述题（共1题，10分）结合实际案例，分析企业如何平衡数据合规与业务发展需求？答案与解析一、单选题答案与解析1.C解析：收集个人信息需用户同意，否则违反《网络安全法》和《个人信息保护法》。2.B解析：GDPR强制要求数据加密传输，云存储和本地化是实施方式，第三方访问是禁止行为。3.B解析：ISO27001的核心是风险评估与管理，ISMS建立是框架，审计和策略是实施内容。4.D解析：电子商务网站通常不属于关键信息基础设施，其他选项均需定期评估。5.B解析：AES是典型的对称加密，RSA、ECC是公钥加密，SHA-256是哈希算法。6.B解析：过度收集指收集与业务无关或非必要的个人信息，如地理位置数据。7.C解析：个人邮箱处理公司机密文件违反数据隔离原则，易导致数据泄露。8.C解析：生鲜令牌（动态令牌）需物理设备验证，安全性高于其他选项。9.A解析：等级三级系统需部署IDS，四级及以上需IDS+IPS。10.A解析：主动报告漏洞可减轻处罚，其他选项均属违规行为。二、多选题答案与解析1.A、B、C解析：网络安全事件包括攻击、泄露和篡改，密码泄露属于账号安全范畴。2.A、B、C解析：GDPR合法性基础包括同意、合同、法律义务和公共利益，不包括基于“利益”。3.A、B、C、D解析：ISO27001涵盖风险、策略、物理和人员安全等核心要素。4.A、B、D解析：数据分类分级要求关键数据保护、敏感数据脱敏、跨境共享需审批，无需所有数据加密。5.A、B、C、D解析：备份数据、禁用远程访问、安装安全软件、限制USB均能降低勒索软件风险。三、判断题答案与解析1.×解析：默认勾选违反GDPR，需明确同意。2.√解析：ISO27005是信息安全管理中的风险管理指南。3.√解析：等级五系统需具备灾备能力，符合高安全要求。4.√解析：加密后数据仍可被恢复，但需密钥。5.×解析：GDPR禁止将数据转移至美国（无隐私保护协议），需经SCA认证。6.×解析：企业需承担员工违规的责任。7.√解析：最小权限原则是访问控制的核心。8.×解析：SHA-256是哈希算法，RSA是公钥加密。9.√解析：《网络安全法》适用于中国境内所有网络活动。10.×解析：保险不能免除合规责任，仅提供经济补偿。四、简答题答案与解析1.关键信息基础设施定义及保护要求-定义：涉及国计民生的重要行业和关键领域的信息系统，如能源、交通、金融等。-保护要求：需满足等保三级及以上标准，定期评估，加强监测预警，保障系统稳定运行。2.ISO27001风险评估步骤-识别资产与威胁-评估风险可能性与影响-确定风险等级-制定风险处置计划（规避、转移、减轻）3.数据跨境传输合规要求-依据GDPR/《数据安全法》需经用户同意或合法基础；-转出地与接收地需有数据保护协议（如SCA）；-企业需履行数据安全评估。4.纵深防御核心思想-通过多层安全措施（防火墙、入侵检测、终端安全等）防止单点失效，逐步削弱攻击者能力。5.目的限制原则-个人信息收集需明确用途，不得用于与初始目的无关的其他场景，如禁止将医疗数据用于广告。五、论述题答案与解析企业如何平衡数据合规与业务发展？-合规优先：将合规嵌入业务流程，如通过技术手段（脱敏、加密）降低风险。-用户同意：