2026年外包防护试题及答案

2026年外包防护试题及答案一、单项选择题（每题2分，共30分）1.外包服务中，以下哪项不属于《数据安全法》规定的数据处理者应履行的核心义务？A.对供应商数据处理活动进行监督B.向供应商完全转移数据安全责任C.评估供应商数据安全能力D.制定数据安全事件应急预案答案：B解析：根据《数据安全法》第三十二条，数据处理者委托他人处理数据的，应当对受托方的数据处理活动进行监督，责任不因委托而转移。2.某企业拟外包客户信息管理系统开发，在供应商准入阶段，重点应核查的资质不包括：A.信息安全管理体系（ISO27001）认证B.软件企业认定证书C.个人信息保护影响评估（PIA）报告D.员工社会保险缴纳记录答案：D解析：供应商准入阶段需重点核查与数据安全、技术能力相关的资质，员工社保记录属于企业常规管理范畴，非核心准入条件。3.外包合同中“保密义务”条款的核心要素不包括：A.保密信息的定义范围B.保密期限（含合同终止后）C.供应商员工的保密培训要求D.外包服务费用支付方式答案：D解析：保密义务条款应明确保密对象、期限、责任等，费用支付属于合同商务条款，与保密义务无直接关联。4.以下哪种外包场景需强制进行网络安全审查？A.小微企业外包办公OA系统维护B.关键信息基础设施运营者外包数据跨境传输服务C.电商平台外包客服热线服务D.教育机构外包在线课程开发答案：B解析：根据《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，需申报网络安全审查；数据跨境传输涉及国家安全风险时需强制审查。5.外包服务实施过程中，发现供应商擅自将部分工作转包给第三方，正确的处理措施是：A.立即终止合同并索赔B.要求供应商提交转包方资质证明并重新评估风险C.默许转包行为以保证项目进度D.向行业监管部门举报供应商违规答案：B解析：转包需首先核实转包方资质及风险，若风险可控可要求供应商补充协议；若不可控再考虑终止合同，直接终止可能影响项目连续性。6.外包服务中，个人信息处理的“最小必要原则”要求供应商：A.收集尽可能多的用户信息以提升服务质量B.仅收集完成服务所需的最少种类和数量的信息C.在用户同意后可超范围使用信息D.无需向用户告知信息处理目的答案：B解析：《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围。7.外包风险评估中，“技术成熟度”维度主要评估：A.供应商财务状况是否稳定B.供应商使用的技术是否经过实践验证C.供应商所在国家的政治稳定性D.供应商员工的流动率答案：B解析：技术成熟度评估关注技术方案的可行性、可靠性及历史应用效果，属于技术风险范畴。8.外包服务终止时，供应商应履行的首要义务是：A.退还未使用的服务费用B.清除或返还客户数据C.提供服务总结报告D.协助客户完成系统迁移答案：B解析：数据安全是终止阶段的核心，供应商需确保客户数据不被留存或泄露，清除或返还数据是首要义务。9.以下哪项不属于外包服务中的“操作风险”？A.供应商员工误操作导致数据删除B.供应商系统漏洞被攻击造成数据泄露C.供应商因疫情无法按时交付服务D.供应商内部审计发现员工违规访问数据答案：C解析：操作风险指由人员、流程、系统或外部事件引发的直接或间接损失风险；疫情导致的交付延迟属于外部环境风险（不可抗力），非操作风险。10.某医疗企业外包电子病历系统运维，根据《个人信息保护法》，需向患者告知的内容不包括：A.外包服务的具体内容B.供应商的基本信息C.患者信息的处理方式D.企业与供应商的利润分配比例答案：D解析：告知内容需包括处理者（供应商）的名称、处理目的、方式、信息种类等，利润分配属于企业内部商业信息，无需向患者告知。11.外包服务中，“第三方审计”的主要目的是：A.验证供应商财务报表真实性B.评估供应商安全控制措施有效性C.监督供应商员工绩效考核D.审查外包服务合同法律合规性答案：B解析：第三方审计通常针对信息安全、数据保护等控制措施的执行情况，确保符合合同及法规要求。12.以下哪种情形可认定为“外包过度”？A.企业将核心算法开发外包给专业科技公司B.企业将非核心的IT设备维护外包给本地服务商C.企业将全部客户服务流程外包，自身无客服团队D.企业将年度财务审计外包给第三方会计师事务所答案：C解析：外包过度指企业将关键业务或核心能力完全外包，导致自身失去控制和管理能力；客户服务是直接影响用户体验的关键流程，全部外包属于过度。13.外包合同中“违约责任”条款应明确的内容不包括：A.违约行为的具体情形B.违约金的计算方式C.守约方的减损义务D.供应商高管的个人财产担保答案：D解析：违约责任条款需明确违约情形、责任承担方式（如赔偿、终止合同），但要求高管个人财产担保超出企业责任范围，不具合法性。14.外包服务中，“数据跨境流动”需遵守的核心法规是：A.《中华人民共和国反垄断法》B.《关键信息基础设施安全保护条例》C.《数据出境安全评估办法》D.《中华人民共和国广告法》答案：C解析：数据跨境流动需通过数据出境安全评估、个人信息保护认证等途径，核心依据是《数据出境安全评估办法》。15.外包服务监控中，“关键绩效指标（KPI）”不包括：A.服务响应时间B.数据泄露次数C.供应商员工满意度D.任务完成及时率答案：C解析：KPI应围绕服务质量和安全目标设定，供应商员工满意度属于其内部管理指标，非客户监控的关键绩效。二、多项选择题（每题3分，共30分，少选得1分，错选不得分）1.外包服务中，数据处理者的“主体责任”包括：A.制定外包数据安全策略B.监督供应商数据处理活动C.对数据泄露事件承担最终责任D.完全依赖供应商的安全措施答案：ABC解析：主体责任要求数据处理者不能完全依赖供应商，需主动管理和监督。2.供应商选择阶段，需评估的“风险维度”包括：A.技术风险（如系统漏洞）B.法律风险（如合规资质）C.财务风险（如资金链稳定性）D.声誉风险（如历史违约记录）答案：ABCD解析：供应商评估需全面覆盖技术、法律、财务、声誉等多维度风险。3.外包合同中“数据所有权”条款应明确：A.客户数据的知识产权归属B.供应商对数据的使用权限C.数据删除/返还的具体要求D.数据备份的存储地点答案：ABC解析：数据所有权条款核心是归属、使用限制及退出处理，存储地点属于技术细节，可在附件中约定。4.外包服务中，“人员管理”的控制措施包括：A.要求供应商对接触数据的员工进行背景调查B.限制供应商员工访问数据的最小权限C.定期对供应商员工进行安全培训D.要求供应商为员工购买高额商业保险答案：ABC解析：商业保险属于风险转移措施，非人员管理的直接控制措施。5.以下属于“外包服务应急响应”内容的有：A.制定数据泄露应急预案B.定期组织应急演练C.与供应商约定事件报告时限D.事件发生后立即向社会公开所有细节答案：ABC解析：事件公开需遵循法规要求（如《个人信息保护法》规定的48小时内通知），而非“立即公开所有细节”。6.《个人信息保护法》对外包服务的要求包括：A.向个人告知外包情况B.取得个人单独同意（如敏感信息）C.与供应商签订书面协议D.允许供应商任意共享个人信息答案：ABC解析：供应商共享个人信息需再次取得同意，不可任意共享。7.外包风险评估报告应包含的内容有：A.风险识别（如数据泄露、交付延迟）B.风险等级（高/中/低）C.风险应对措施（如规避、转移）D.供应商员工简历答案：ABC解析：员工简历属于供应商内部信息，非风险评估报告必要内容。8.外包服务终止阶段，需完成的“知识转移”包括：A.系统操作手册B.供应商内部管理流程C.客户数据备份方法D.历史问题处理记录答案：ACD解析：供应商内部管理流程与客户无关，无需转移。9.以下哪些情形可能导致外包合同无效？A.供应商无相关业务资质B.合同条款违反《网络安全法》C.双方通过电子邮件达成口头协议D.合同未明确服务内容答案：AB解析：书面合同是法定要求（C错误），未明确服务内容属于条款不完善，不必然无效（D错误）。10.外包服务中，“数据分类分级”的作用包括：A.确定不同数据的保护强度B.指导供应商访问权限设置C.简化数据处理流程D.降低数据泄露后的影响答案：ABD解析：数据分类分级会增加处理复杂度（需差异化保护），而非简化流程（C错误）。三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.外包服务中，数据处理者可将个人信息处理责任完全转移给供应商。（）答案：×解析：责任不可转移，数据处理者需承担主体责任。2.供应商发生股权变更时，无需通知客户。（）答案：×解析：股权变更可能影响供应商经营稳定性，需在合同中约定通知义务。3.外包服务中，供应商可将客户数据用于自身业务分析。（）答案：×解析：需取得客户或个人同意，不可擅自使用。4.关键信息基础设施运营者外包网络安全服务时，无需进行安全评估。（）答案：×解析：需按《关键信息基础设施安全保护条例》进行安全评估。5.外包合同中未约定保密期限的，默认保密义务在合同终止后自动失效。（）答案：×解析：保密义务通常延续至数据失效或法律规定期限，不因合同终止而自动失效。6.供应商员工离职后，无需限制其访问原客户数据。（）答案：×解析：需及时撤销离职员工的系统权限，防止数据泄露。7.外包服务中，数据跨境传输只需供应商同意即可。（）答案：×解析：需符合《数据出境安全评估办法》，可能需经国家网信部门评估。8.外包风险评估只需在供应商准入阶段进行一次。（）答案：×解析：需定期（如每年）或在重大变更时重新评估。9.外包服务中，客户可要求供应商提供安全审计报告。（）答案：√解析：合同中可约定供应商配合客户或第三方的安全审计。10.小微企业外包服务时，无需遵守《个人信息保护法》。（）答案：×解析：所有个人信息处理者均需遵守，与企业规模无关。四、简答题（每题6分，共30分）1.简述外包服务中“供应商尽职调查”的主要内容。答案：（1）资质核查：营业执照、行业许可（如ISP证、增值电信业务许可证）、信息安全认证（ISO27001、PCIDSS）等；（2）技术能力：过往项目经验、核心技术团队资质、系统安全防护措施（如加密、访问控制）；（3）合规记录：历史法律纠纷、行政处罚、数据泄露事件；（4）财务状况：资产负债表、现金流、是否存在重大债务风险；（5）人员管理：接触数据员工的背景调查制度、安全培训记录。2.列举外包合同中“数据安全”条款应包含的5项核心内容。答案：（1）数据处理范围：明确供应商可处理的信息种类、用途；（2）安全技术要求：如加密方式（AES-256）、存储位置（境内/境外）；（3）访问控制：供应商员工的最小权限原则、权限审批流程；（4）事件响应：数据泄露时的报告时限（如2小时内）、协同处置要求；（5）数据归属与处置：合同终止后数据清除/返还的时间（如30日内）、验证方式（如客户确认）。3.说明外包服务中“持续监控”的主要手段。答案：（1）指标监控：设定服务可用性（如99.9%）、数据泄露次数（0次/月）等KPI，通过自动化工具实时采集；（2）现场检查：定期（每季度）派人员到供应商现场核查安全措施执行情况；（3）日志审计：要求供应商保留操作日志（至少6个月），抽样检查访问记录；（4）第三方评估：每年委托独立机构进行安全认证（如SOC2）或渗透测试；（5）沟通机制：每月召开例会，通报问题并跟踪整改。4.分析外包服务中“数据泄露”的常见原因及预防措施。答案：常见原因：（1）员工违规：供应商员工越权访问、恶意泄露数据；（2）系统漏洞：供应商系统存在未修复的SQL注入、XSS等漏洞；（3）传输风险：数据在公网传输时未加密，被中间人攻击；（4）转包失控：供应商擅自转包给无资质第三方，管理漏洞导致泄露。预防措施：（1）人员管控：背景调查、签订保密协议、定期安全培训；（2）技术防护：部署WAF、IDS，采用TLS1.3加密传输，实施数据库加密存储；（3）合同约束：明确禁止转包，约定转包需经客户书面同意；（4）监控预警：部署数据泄露检测（DLP）系统，实时报警异常访问。5.简述“外包过度”的危害及应对策略。答案：危害：（1）丧失核心能力：企业依赖供应商，自身技术、管理能力退化；（2）议价能力下降：供应商垄断服务，导致成本上升；（3）风险不可控：关键流程由外部控制，数据泄露、交付延迟等风险难以应对；（4）合规风险：监管可能要求企业保留核心业务自主管理（如金融机构核心系统）。应对策略：（1）明确外包边界：制定“核心业务不外包”清单（如银行风控模型开发）；（2）培养内部团队：保留关键岗位（如数据安全负责人），与供应商形成互补；（3）多供应商策略：关键服务选择2-3家供应商，避免单一依赖；（4）加强知识转移：要求供应商提供详细文档，确保内部人员可接管服务。五、案例分析题（每题10分，共20分）案例1：某互联网金融公司（甲）将客户信用评分系统开发外包给科技公司（乙），合同约定乙需遵守《个人信息保护法》及甲的安全要求。开发过程中，乙的程序员张某因对薪资不满，将部分客户身份证号、银行卡信息（共5000条）导出至个人移动硬盘。事件发生后，乙未及时通知甲，直至甲通过日志审计发现异常。问题：（1）分析甲、乙在事件中的责任；（2）提出甲的后续应对措施。答案：（1）责任分析：乙的责任：员工违规操作导致数据泄露，违反合同中“安全操作”义务；未履行事件报告义务（《个人信息保护法》规定需在72小时内通知个人和监管部门），需承担直接责任。甲的责任：作为数据处理者，未完全履行监督义务（如未实时监控乙的开发环境），需承担主体责任（向客户赔偿、接受监管处罚）。（2）应对措施：立即启动应急预案：暂停乙的系统访问权限，冻结张某账号；数据溯源：确认泄露数据范围（是否已扩散），联系银行对涉事银行卡采取保护措施；客户通知：通过APP、短信告知受影响客户风险，指导修改密码、监控账户；监管向属地网信部门