2025年信息化管理制度试题及答案

2025年信息化管理制度试题及答案一、单项选择题（共20题，每题1分，共20分）1.根据2025年《单位信息化管理总则》要求，信息化工作的第一责任人是？A.信息化部门负责人B.法定代表人/主要负责人C.网络安全管理员D.业务部门经办人答案：B（依据《数据安全法》《网络安全法》要求，单位主要负责人为信息化与网络安全第一责任人）2.单位内部使用生成式AI工具处理工作内容时，以下行为合规的是？A.上传未脱敏的涉密业务数据生成方案B.使用单位统一备案的合规商用AI工具C.将AI生成的未审核内容直接对外发布D.私自下载部署开源AI大模型到内网答案：B（2025年生成式AI应用管控要求所有工作用AI工具必须完成备案与安全评估）3.按照2025年信创建设强制性要求，单位新采购的核心业务系统信创适配率最低要求为？A.70%B.85%C.95%，且核心组件100%国产化D.100%，非核心组件可放宽要求答案：C（2025年全国信创工程验收标准明确核心系统信创适配率不低于95%，芯片、操作系统、数据库等核心组件100%国产化）4.按照《数据安全管理细则》，客户核心隐私数据、单位核心研发技术资料属于哪一级数据？A.一般数据B.重要数据C.核心数据D.公开数据答案：C5.单位核心业务系统的网络安全等级保护最低要求为？A.等保一级B.等保二级C.等保三级D.等保四级答案：C6.员工离职后，信息化部门应当在多久内注销其所有系统访问账号？A.1个工作日内B.3个工作日内C.7个工作日内D.离职当月月底答案：A7.内部核心系统个人账号密码的最长更换周期为？A.1个月B.3个月C.6个月D.12个月答案：B8.内部核心系统账号密码要求长度至少为多少位，且必须同时包含大小写字母、数字、特殊符号？A.8位B.10位C.12位D.16位答案：C（2025年网络安全防护最新标准明确核心系统密码长度不低于12位）9.单位收集的重要数据、核心数据确需出境的，应当首先完成什么流程？A.直接传输到境外服务器B.报行业主管部门和网信部门审批，完成数据出境安全评估C.和境外合作方签订保密协议即可D.自行做风险评估后即可出境答案：B（依据《数据出境安全评估办法》）10.核心业务数据的最低备份频率要求为？A.每日增量备份，每周全量备份B.每周增量备份，每月全量备份C.每月增量备份，每季度全量备份D.无需定期备份，需要时再备份答案：A11.信息系统发现高危安全漏洞后，应当在多久内完成修复？A.24小时内B.72小时内C.7个工作日内D.15个工作日内答案：A12.单位使用公有云服务部署业务系统的，以下说法正确的是？A.可以使用个人实名开通的公有云资源存储单位数据B.必须选用通过网信部门云计算服务安全评估的服务商C.公有云数据无需备份，由服务商负责安全即可D.可以将核心数据存储在境外服务商的公有云节点答案：B13.以下哪种行为符合终端安全管理要求？A.在内网终端上私自安装无线网卡连接外部网络B.在外网终端上存储处理核心业务数据C.安装单位统一部署的终端安全防护软件并定期更新病毒库D.将单位配发的办公笔记本随意转借外部人员使用答案：C14.信息化项目验收时，信创适配测试报告的出具主体必须是？A.项目建设单位自行出具B.具备国家认可资质的第三方测评机构C.项目承建商出具D.信息化部门自行出具答案：B15.用生成式AI生成的对外发布的公共服务内容，审核责任主体是？A.提供AI工具的服务商B.内容发布单位C.使用AI生成内容的经办人D.审核人员个人答案：B（依据《生成式人工智能服务管理暂行办法》，内容发布方承担主体责任）16.按照《个人信息保护法》要求，处理不满多少周岁的未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意？A.10周岁B.12周岁C.14周岁D.16周岁答案：C17.发生三级以上网络安全事件后，单位应当在多久内向属地网信、公安、行业主管部门报告？A.1小时内B.4小时内C.12小时内D.24小时内答案：B（依据《网络安全事件报告管理办法》）18.信息化部门应当至少多久对全单位IT资产进行一次全面盘点，做到账实相符？A.每季度B.每半年C.每年D.每两年答案：C19.外包人员接入单位内网的权限有效期最长不得超过？A.1个月B.外包服务合同期限C.6个月D.1年答案：B20.信息化项目预算超过多少万元的，必须开展前置可行性论证和信创适配评估？A.10万元B.50万元C.100万元D.200万元答案：B二、多项选择题（共10题，每题3分，共30分，多选、少选、错选均不得分）1.以下属于2025年单位信息化管理范畴的工作有？A.信创体系建设B.数据安全管理C.生成式AI应用管控D.网络安全防护E.信息化项目全生命周期管理答案：ABCDE2.以下哪些数据属于核心数据范畴，严禁对外泄露？A.客户身份信息、交易记录B.单位核心研发技术资料C.涉密业务数据D.内部公开的规章制度E.员工薪酬信息答案：ABCE3.使用生成式AI工具开展工作时，禁止以下哪些行为？A.上传涉密、敏感、未脱敏的内部数据B.使用未备案的非合规AI工具处理工作内容C.将AI生成的内容直接作为正式公文、对外公告发布D.利用AI工具伪造、变造官方文件、证明材料E.在AI生成内容标注来源后经过审核对外发布答案：ABCD4.信息化项目全生命周期管理包含以下哪些环节？A.立项论证、招标采购B.开发建设、测试验收C.上线运行、运维保障D.下线废止、数据销毁E.信创适配评估贯穿全流程答案：ABCDE5.以下属于等保三级系统必须落实的安全要求的有？A.每年开展一次等保测评B.落实双因子认证登录C.定期开展渗透测试、漏洞扫描D.核心数据加密存储、传输E.落实724小时安全运维值守答案：ABCDE6.数据共享过程中，应当遵循以下哪些原则？A.最小够用B.授权审批C.全程留痕D.谁提供谁负责、谁使用谁负责E.无条件共享所有内部数据答案：ABCD7.以下哪些行为属于违反信息化管理制度的行为，将依规追责？A.私自搭建内网WIFI接入外部网络B.泄露个人账号密码给他人使用C.篡改、删除单位业务系统数据D.私自拷贝核心数据到个人存储介质E.按照流程申请访问业务数据答案：ABCD8.信创体系建设要求以下哪些核心组件必须实现国产化替代？A.服务器芯片、操作系统B.数据库、中间件C.办公软件、业务应用系统D.网络安全设备E.核心存储设备答案：ABCDE9.网络安全应急响应事件等级分为哪几级？A.特别重大事件（一级）B.重大事件（二级）C.较大事件（三级）D.一般事件（四级）E.轻微事件（五级）答案：ABCD10.以下关于个人信息保护的说法正确的有？A.收集个人信息应当遵循合法、正当、必要、诚信原则B.不得过度收集个人信息，不得强制同意非必要的权限申请C.个人有权查询、更正、删除其个人信息D.处理个人信息应当公开处理规则E.可以随意向第三方提供个人信息无需告知本人答案：ABCD三、判断题（共10题，每题1分，共10分，正确打√，错误打×）1.单位信息化部门是信息化工作的第一责任主体，法定代表人无需承担责任。（×）答案：法定代表人/主要负责人是信息化工作第一责任人2.生成式AI工具生成的内容不需要审核，可以直接对外发布。（×）答案：必须经过人工审核确认合规后方可发布，发布单位承担主体责任3.2025年单位新上线的业务系统必须100%完成核心组件信创适配，否则不得上线运行。（√）4.员工个人账号可以转借给其他同事使用，只要不泄露密码即可。（×）答案：个人账号仅限本人使用，严禁转借、共享5.核心业务数据备份只需存储在本地服务器即可，无需异地灾备。（×）答案：核心数据必须落实本地+异地多副本备份，重要数据必须落实异地灾备6.外包人员接入内网需要经过信息化部门和业务部门双重审批，权限到期自动注销。（√）7.发现网络安全事件后可以先自行处置，不需要上报主管部门。（×）答案：发生三级以上网络安全事件必须在4小时内上报属地主管部门8.数据分级分类完成后不需要定期更新，长期有效。（×）答案：应当每年至少开展一次数据分级分类复核更新，数据属性发生变化的及时调整等级9.单位采购的信息化设备可以随意处置，不需要进行数据销毁。（×）答案：报废的信息化存储设备必须经过专业数据销毁，确保数据无法恢复后方可处置10.可以将单位内部的重要数据存储在个人网盘、个人移动存储介质中。（×）答案：严禁将单位敏感、重要、核心数据存储在个人存储介质或非单位管控的云服务中四、简答题（共4题，每题5分，共20分）1.请简述2025年单位信息化管理制度对生成式AI应用的管控要求。答案：（1）备案准入：所有用于工作的生成式AI工具必须提前向信息化部门报备，仅可使用通过安全评估、合规性审核的统一采购/备案工具，严禁私自使用未备案工具；（2）数据管控：严禁上传涉密、敏感、未脱敏的核心数据、重要数据到任何AI工具，处理非敏感数据也必须进行脱敏处理；（3）内容审核：所有AI生成的用于对外发布、正式业务场景的内容必须经过业务部门、合规部门双重人工审核，标注AI生成来源，确保内容准确、合规，不存在侵权、虚假内容；（4）责任落实：使用AI工具的业务部门承担内容主体责任，经办人承担直接责任，因违规使用AI造成数据泄露、内容违规的，依规追责。2.请简述数据全生命周期管理的核心环节及各环节管控要求。答案：（1）数据收集：遵循合法、正当、最小必要原则，明确收集范围、用途，取得相关方授权，严禁过度收集；（2）数据存储：按照分级分类要求加密存储，核心数据落实多副本、异地灾备，定期校验备份有效性；（3）数据使用：严格落实权限管控、审批流程，最小权限分配，所有操作全程留痕可追溯；（4）数据共享：遵循授权审批、最小够用原则，签订共享协议，明确双方安全责任，严禁违规对外提供数据；（5）数据销毁：数据过期、失效或设备报废时，采用符合国家规范的方式销毁，确保数据不可恢复，全程记录销毁过程。3.请简述信创信息化项目的验收标准。答案：（1）功能达标：所有需求文档列明的功能全部实现，测试通过率100%，无影响核心业务的中高危bug；（2）信创适配：核心组件100%国产化，在信创环境下运行稳定，适配率不低于95%，具备第三方测评机构出具的信创适配合格报告；（3）安全合规：符合等保对应等级要求，完成等保测评，数据安全、个人信息保护符合法律法规要求，无高危安全漏洞；（4）文档齐全：交付完整的项目文档，包括需求说明书、设计文档、测试报告、运维手册、用户手册等；（5）培训到位：完成对运维人员、业务用户的操作培训，具备独立运维、使用能力。4.请简述网络安全事件的应急处置流程。答案：（1）发现告警：安全运维人员发现安全事件或接到告警后，第一时间进行初步核查，确认事件真实性、等级；（2）先期处置：立即切断攻击源，隔离受影响的系统、设备，防止事态扩大，完整保护现场；（3）事件评估：组织技术、业务、合规部门评估事件影响范围、损失、等级，三级以上事件立即在4小时内上报属地网信、公安、行业主管部门；（4）事件处置：制定专项处置方案，修复漏洞、恢复系统运行，全面排查风险隐患，防止同类事件再次发生；（5）溯源复盘：对事件进行溯源，查明原因，认定责任，完善管理制度和防护措施，形成处置报告上报主管部门，对相关责任人依规追责。五、案例分析题（共1题，20分）案例背景：某国企2025年3月新上线客户服务系统，建设过程中未开展信创适配评估，使用了非国产的数据库和操作系统，上线后未开展等保三级测评，也未落实数据加密存储要求。2025年6月，该系统被黑客攻击，泄露120万条客户个人信息，同时该单位业务人员使用未备案的境外生成式AI工具分析泄露的客户数据，将未脱敏的数据上传到AI工具，导致数据二次泄露。问题：1.请指出该单位存在哪些违反信息化管理制度的行为？（10分）2.请提出针对性整改措施。（10分）参考答案：1.违规行为：（1）信息化项目未开展信创适配评估，核心组件未实现国产化，违反2025年信创建设强制性要求，未达标即上线运行；（2）核心业务系统未按要求开展等保三级测评，未落实数据加密存储等安全防护要求，违反网络安全等级保护制度；（3）业务人员使用未备案的境外生成式AI工具，上传未脱敏的客户核心数据，违反生成式AI管控要求和数据安全管理规定；（4）数据安全防护措施不到位，未落实核心数据加密、漏洞定期扫描、724小时安全值守等要求，导致数据泄露；（5）事件发生后未按要求及时上报主管部门，违规处置泄露数据，导致二次泄露，扩大事件影响。2.整改措施：（1）应急处置：立即关停违规系统，开展数据泄露事件专项处置，排查受影响客户，依法履行告知义务，全力配合监管部门调查；（2）信创改造：对现有系统进行全面信创改造，替换为国产操作系统、数据库、中间件等核心