2026年信息安全管理员考核试题(附答案)

2026年信息安全管理员考核试题(附答案)1.根据《生成式人工智能服务管理暂行办法》，提供生成式人工智能服务的提供者应当对训练数据来源的合法性进行审核，以下不属于训练数据合法合规要求的是（）A.不得非法获取个人信息B.可以不经授权使用受著作权保护的作品训练模型C.应当对训练数据开展去标识化处理D.不得收集包含侵害他人合法权益的内容答案：B2.信息安全等级保护2.0中，第三级信息系统的测评频率要求是（）A.每半年一次B.每年一次C.每两年一次D.每三年一次答案：B3.零信任架构的核心设计理念是哪一项（）A.永远信任，持续验证B.从不信任，持续验证C.内部默认信任，外部验证D.基于边界的信任答案：B4.《数据安全法》规定，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送（）A.风险评估报告B.数据安全审计报告C.处理活动清单D.数据资产目录答案：A5.当企业发生10万条以上个人信息泄露事件时，按照《个人信息保护法》要求，个人信息处理者应当在什么时限内通知履行个人信息保护职责的部门和个人（）A.十二小时B.二十四小时C.四十八小时D.七十二小时答案：C6.AI大模型安全威胁中，通过在用户输入中嵌入隐藏指令诱使模型执行攻击者预设操作的攻击方式是（）A.提示注入攻击B.数据投毒攻击C.模型窃取攻击D.对抗样本攻击答案：A7.以下哪一项属于对称加密算法（）A.RSAB.ECCC.AESD.SHA-2答案：C8.在网络安全应急响应流程中，发生入侵事件后第一步应当开展的操作是（）A.彻底清除恶意程序B.对受感染设备进行网络隔离，防止攻击扩散C.恢复业务系统正常运行D.留存证据后提交公安机关答案：B9.以下哪一项不属于《个人信息保护法》规定的个人信息处理合法事由（）A.取得个人的同意B.为订立、履行个人作为一方当事人的合同所必需C.为公共利益实施新闻报道、舆论监督，在合理范围内处理个人信息D.企业基于商业推广需求自行处理用户个人信息答案：D10.将安全管控融入软件全生命周期，在开发阶段就落地安全管控要求的开发运营模式是（）A.DevOpsB.DevSecOpsC.瀑布模型D.敏捷开发答案：B11.根据《网络安全法》规定，关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当遵循哪项存储要求（）A.全部存储在境外B.在境内存储，确需出境的应当按规定完成安全评估C.运营者可自由选择存储地点D.存储在境外第三方云服务商即可答案：B12.纵深防御体系中，保护核心数据资产的最后一道防线是（）A.网络边界防火墙B.终端杀毒软件C.数据加密与细粒度访问控制D.入侵检测系统答案：C13.钓鱼邮件攻击最核心的社会工程学特征是（）A.伪造权威身份，诱导受害者点击恶意链接或下载带毒附件B.发送超大体积文件占用网络带宽C.批量发送合法商业广告占用用户邮箱空间D.利用系统漏洞直接入侵服务器答案：A14.以下哪一种攻击属于利用深度伪造技术实施的诈骗攻击（）A.勒索病毒加密攻击B.AI换脸诈骗C.DDoS流量攻击D.SQL注入攻击答案：B15.CIA信息安全三元组中，C代表的核心属性是（）A.完整性B.可用性C.保密性D.不可否认性答案：C1.生成式人工智能服务提供者应当落实的安全合规义务包含以下哪些选项（）A.建立健全训练数据审核机制和内容审核机制B.对生成的内容进行多轮审核，防范违法违规内容生成传播C.保护用户隐私，不得非法泄露用户交互输入的个人信息D.留存用户生成内容日志不少于一百八十天，以备监管核查答案：ABCD2.零信任架构的核心设计原则包含以下哪些（）A.持续身份验证B.最小权限访问C.动态权限调整D.微分段网络隔离答案：ABCD3.根据《个人信息保护法》，处理敏感个人信息需要满足以下哪些条件（）A.取得个人的单独同意B.具有特定的目的和充分的必要性C.采取比一般个人信息更严格的安全保护措施D.向个人告知处理敏感个人信息的必要性以及对个人权益的影响答案：ABCD4.常见的Web应用高危安全漏洞包含以下哪些（）A.SQL注入漏洞B.跨站脚本XSS漏洞C.跨站请求伪造CSRF漏洞D.远程代码执行漏洞答案：ABCD5.关键信息基础设施运营者应当履行的安全保护义务包含以下哪些（）A.定期对从业人员开展网络安全教育和技能考核B.对重要系统和数据库进行多活容灾备份C.制定网络安全事件应急预案，定期开展应急演练D.按照监管要求报送网络安全监测预警和威胁信息答案：ABCD6.《网络数据安全管理条例》要求，处理个人信息达到一百万人以上的个人信息处理者应当履行以下哪些特殊合规义务（）A.按要求开展网络数据安全合规评估B.指定专职个人信息保护负责人，并公开联系方式C.每年开展个人信息保护合规审计，公开审计报告摘要D.核心业务系统上线前开展安全评估答案：ABCD1.信息安全的核心三元组是保密性、完整性、可用性。（）答案：√2.终端只要安装了杀毒软件，就不会感染任何恶意程序。（）答案：×3.个人信息处理者只要将个人信息做匿名化处理，就可以自由出售给任何第三方，无需承担合规责任。（）答案：×4.零信任架构认为不存在绝对可信的内部用户和终端，所有访问请求都需要经过验证授权。（）答案：√5.发生个人信息泄露事件后，为了避免声誉影响，可以隐瞒事件不上报监管部门。（）答案：×6.生成式人工智能企业可以未经授权使用互联网上受著作权保护的内容训练大模型。（）答案：×7.等保2.0将云计算、大数据、物联网、工业控制系统、移动互联网都纳入了等级保护范围。（）答案：√8.非对称加密体系中，公钥可以公开分发，私钥必须由持有者严格保密。（）答案：√9.数据脱敏处理后的个人信息一定不属于个人信息，可以自由使用。（）答案：×10.最小权限原则是指只给用户分配完成工作所必须的最小访问权限，降低越权访问的风险。（）答案：√某东部省份市级政务服务平台，承载本地社保查询、公积金办理、户籍业务预约等公共服务，累计存储个人信息超过520万条，其中包含身份证号、生物识别信息、家庭住址等敏感个人信息超过180万条，该平台经等级保护测评评定为第三级信息系统。2025年8月，平台安全运维人员发现平台存在异常访问流量，经排查确认存在未修复的SQL注入高危漏洞，攻击者已经利用该漏洞窃取了12.7万条个人敏感信息。进一步排查发现，该漏洞是平台2025年2月份新增功能开发时，开发人员未对用户输入参数做合法性过滤产生，漏洞存在长达6个月未被发现，平台运营方未建立常态化漏洞扫描机制，仅在上一次等保测评也就是2023年1月开展过全面漏洞排查，之后未再开展系统性的风险排查，也未按要求更新安全防护策略。问题1：请结合我国现行法律法规，说明该平台运营方存在哪些违规行为？问题2：如果你是该单位的信息安全管理员，针对此类风险应当采取哪些整改和防控措施？答案：问题1：该平台运营方存在以下违规行为：①违反《网络安全法》和《信息安全等级保护管理办法》要求，第三级信息系统应当每年开展一次等级保护测评，定期开展安全漏洞排查整改，本案中运营方超过两年未开展等级保护测评，未建立常态化漏洞排查机制，未及时发现修复高危漏洞，不符合等级保护的要求；②违反《个人信息保护法》要求，个人信息处理者应当采取与个人信息处理活动相匹配的安全技术措施，保障个人信息安全，本案中运营方未落实足够的安全管控措施，导致大量敏感个人信息泄露，违反了个人信息安全保护义务，若未在48小时内上报监管部门通知受影响用户，还违反了个人信息泄露事件上报的相关要求；③违反《数据安全法》要求，处理重要数据和大量个人敏感信息的处理者，应当定期开展数据安全风险评估，落实数据安全保护责任，本案中运营方未定期开展风险评估，未落实数据安全保护主体责任，违反相关规定。问题2：应当采取以下整改和防控措施：①立即按照要求完成漏洞修复，对攻击者入侵痕迹进行全面排查，清除潜在的后门程序，及时恢复业务正常运行，按照法律法规要求，在48小时内向监管部门上报事件，通知受影响用户，采取措施降低事件影响；②严格落实等级保护要求，立即委托有资质的测评机构开展等级保护测评，按照测评要求完成所有问题整改，后续严格遵守每年开展一次测评的要求；③建立常态化安全监测和漏洞排查机制，每月开展一次自动化漏洞扫描，每半年开展一次人工渗透测试，部署Web应用防火墙对SQL注入等常见Web攻击进行拦截，实时监测异常访问行为，及时发现处置攻击；④落实安全开发生命周期要求，将安全管控融入需求分析、开发测试、上线运维全流程，对开