题库最后一页all

# 数据安全在线考试题库
## 十一、数据安全合规性评估 30 题
### （一）判断题

1. 目前，针对数据跨境的治理在全球范围内并未形成统一的规制体系。（）

A、正确B、错误

2. 不同国家和地区主要通过双边或多边区域性合作实现对数据跨境的协调管理，其中最为知名影响范围最广的便是欧盟主导推进的数据跨境治理体系，致力于在数据跨境传输过程中为个人数据主体提供充足保护。（）

A、正确B、错误

3. 与国际间积极合作的趋势相对应，不同主权国家基于本国国情也纷纷出台相应数据跨境法规。其中美国、澳大利亚等国奉行宽松的数据跨境流动政策，就美国而言，联邦层面并未立法禁止或限制数据跨境，但针对重点行业或领域的数据实行专门管控;而俄罗斯、巴基斯坦、中国等国受本国特殊政治经济及文化环境影响对国家数据安全及主权更为关注，中国更是施行数据本地化的治理策略。（）

A、正确B、错误

4. 数据本地化是数据跨境管理的一种措施，通常理解为某一主权国家/地区，通过制定法律或规则来限制本国/地区数据向境外流动，是对数据出境进行限制的做法之一。（）

A、正确B、错误

5. 根据欧洲 GDPR、中国个保法、《个人信息安全规范》等制度规范中对个人信息的定义，“直接或间接的可识别性”是判断个人信息的根本依据。（）

A、正确B、错误

6. 个人信息的认定难点在于具有“间接可识别性”的数据，即与其他信息结合能够识别出特定个人的数据范围的不确定性，例如常用设备数据、位置数据等，各法域对间接识别性的解释也存在差异。（）

A、正确B、错误

7. 根据欧洲 GDPR、中国个保法、《个人信息安全规范》等制度规范中对个人信息的定义，“直接或间接的可识别性”是判断个人信息的根本依据。（）

A、正确B、错误

8. 限制性规范，即一国家/地区的数据出境规则，根据当地法律体系、历史传统、风险偏好的区别而呈现出不同严苛程度。目前，尚无国家完全禁止数据出境，或者对数据出境完全不加限制，大部分国家/地区集中分布于中段。（）

A、正确B、错误

9. 中国数据跨境法律法规处于创新制定和持续完善的过程。随着《国家安全法》《数据安全法》《个人信息保护法》（以下简称“个保法”）发布，数据保护相关上位法的“三驾马车”已然形成;相关规范性文件、国家标准等陆续出台构成规则体系。（）

A、正确B、错误

1. 经济合作与发展组织（OECD）在下列哪一年发布《隐私保护和跨境个人数据流动指南》（Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data），鼓励数据跨境和自由流动。（）

A、1967 年B、1968 年C、1990 年D、1980 年

2. 中国现行跨境法律监管体系由“1+3+N”组成，其中“1”代表下列哪项法律?（）

A、《国家安全法》B、《网络安全法》C、《数据安全法》D、《个人信息保护法》

3. 对全球重点国家的数据跨境转移要求划分成高中低风险，依据风险的高低即合规措施模式对各国家/地区进行归类分级，并给每一等级的国家适配统一的合规措施，最终形成包含合规措施的数据跨境传输风险矩阵，不包括下列哪一等级?（）

A、严格管控B、适度管控C、宽松管控D、谨慎管控

4. 结合法律法规的要求、相关行业标准，形成数据跨境合规管控关键管控点，下列哪一项不属于关键管控点?（）

A、数据跨境前的评估B、数据跨境中的执行C、数据跨境后的管理D、数据跨境后的检查

5. 直接可识别性的例子如姓名、身份ID 等基本身份信息，下列哪一项不属于直接可识别性的例子?（）

A、指纹B、声纹C、虹膜D、牙模

6. 下列哪一项不属于数据跨境的场景类型?（）

A、数据跨境B、跨境传输C、跨境采集D、跨境访问

7. 数据本地化要求数据服务器位于本法域境内，在境内存储或处理数据。目前，全球多个国家/地区提出了本地化要求，宽严程度有所不同，几种模式交织并行。下列哪一国家不是采用境内存储、处理模式的?（）

A、美国B、土耳其C、澳大利亚D、俄罗斯

8. 数据本地化是数据跨境管理的一种措施，通常理解为某一主权国家/地区，通过制定法律或规则来限制本国/地区数据向境外流动，是对数据出境进行限制的做法之一。下列哪一国家采取的是境内存储副本，对转移或出境无限制的模式?（）

A、中国B、印度C、荷兰D、美国

9. GDPR 第 15 条对隐私仪表盘提出了要求:“数据控制者不得使用任何的技术手段阻止用户行使访问权，在可能的情况下，数据控制者应该给予数据主体远程访问其数据的权利，特别是提供在线服务的访问工具，例如隐私仪表盘。”两年后，西班牙通过了下列哪一项文件?对隐私仪表盘提出了十分详尽的配置要求。（）

A、《默认数据保护指南》B、《数据跨境法律法规清单》C、《数据跨境管控要求清单》D、《受控非密数据清单》

10. 下列属于韩国关于全球数据跨境管控要求清单的是?（）

A、《电子通信法》B、《互联网服务和在线信息管理、提供和使用条例》C、《电子金融交易监管条例》D、《国家数据分享和准入政策》

11. 《网络安全法》第 37 条核心规定包括下列哪一项?（）

A、涉及个人信息和重要数据未做区分设计B、自评估的具体内容C、监管进行安全审查的标准D、需境内存储，若有需要境外提供，需经安全评估

12. 亚太经济合作组织（以下简称“APEC”）在下列哪一年通过了《跨境隐私规则体系》（《Cross Border Privacy Rules System》，以下简称“CBPR”）?（）

A、2010 年B、2003 年C、2008 年D、2013 年

### （三）多项选择题

1. 中国现行跨境法律监管体系由“1+3+N”组成，其中“3”代表下列哪些法律?（）

A、《个人信息保护法》B、《网络安全法》C、《数据安全法》D、《数据出境安全评估办法》

2. 下列哪项需要按照《数据出境安全评估办法》及相关法律法规要求进行数据出境安全评估申报?（）

A、系关键信息基础设施运营者B、传输数据涉及重要数据C、处理 100 万人以上个人信息D、上年度 1 月 1 日起累计向境外提供 10 万人以上的个人信息或上年度 1 月 1 日起累计向境外提供 1 万人以上的个人敏感信息

3. 若数据处理者未按照相应监管要求进行数据跨境传输，视情节轻重可能收到下列哪些处罚?（）

A、警告B、罚款C、停业整顿D、吊销相关业务许可证或吊销营业执照

4. 下列哪些属于数据跨境合规的主要难点?（）

A、数据体量大B、政策限制多C、属性识别难D、载体拆分难

5. 对不同的数据类型提出不同的保护要求，对特定类型的数据提出本地化要求。最常见的受限的数据类型包括?（）

A、生物健康B、金融C、征信D、敏感个人信息

6. 当前各界对数据跨境界定仍存在差异，尚未形成统一认知。通常将其理解为“数据从一法域被转移至另一法域的行为”或“跨越国界对存储在计算机中的机器可读数据进行处理”。以“境外实体接触”为标准，数据跨境主要包括?（）

A、数据跨越国界的传输、转移行为。B、尽管数据尚未跨越国界，但能够被境外的主体进行访问。C、数据跨越国界的提供行为。D、数据跨越国界的服务行为。

7. 全球主要数据跨境限制模式中提倡“数据跨境自由流动，推动跨境数据自由流动规则构建”包括下列哪些国家?（）

A、美国B、日本C、新加坡D、荷兰

8. 数据跨境合规管控中跨境后的管理阶段包括下列哪些要点?（）

A、目的完成后及时删除/销毁数据B、如超出目的范围跨境，重新进行合规评估C、保障数据主体权利响应通道D、开展数据跨境合规审计

9. 《个人信息出境安全评估办法（征求意见稿）》当中核心规定包括下列哪些内容?（）

A、仅涉及个人信息B、安全评估申报材料C、重点评估内容D、出境记录保存要求

## 十二、数据安全监测与分析 5 题

### （一）判断题

1. 我国相关法律对电子数据的审查判断作了明确要求，提出“以收集原始存储介质为原则，以直接提取电子数据为例外”的原则。（）

A、正确B、错误

2. 数字证书应由政府机构签发（）

A、正确B、错误

### （二）单选题

1. 以下不是《电子合同取证流程规范》（标准号:GB/T 39321-2020）中规定的电子取证的原则的（B）A、合法有效B、主观真实C、完整D、防篡改

### （三）多选题

1. 根据《公安机关办理刑事案件电子数据取证规则》的相关规定，冻结电子证据的方法有哪些?（）

A、计算电子数据的完整性校验值B、锁定网络应用账号C、采取写保护措施;D、网上发布禁用通知

2. 《电子合同取证流程规范》（标准号:GB/T 39321-2020）中规定的电子取证的基本流程包含（）

A、申请B、受理C、批准D、验证E、出证

## 十三、数据安全标准题 50 题

1. 根据信息安全技术网络安全等级保护定级指南，等级保护对象的定级要素包括?（）

A. 侵害行为主体B. 受侵害的客体C. 对客体的侵害程度D. 侵害的方式

2. 对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。业务信息安全和系统服务安全受到破坏后,可能产生以下哪些侵害后果?（）

A. 影响行使工作职能B. 导致业务能力下降C. 引起法律纠纷D. 导致财产损失E. 造成社会不良影响

3. 采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素，下列那项定级方式是错误的（）

A. 作为一个整体独立定级B. 与相关联业务系统一起定级C. 各要素单独定级

4. 作为定级对象的信息系统应具有如下哪些基本特征?（）

A. 具有确定的主要安全责任主体B. 系组件单一C. 承载相对独立的业务应用D. 包含相互关联的多个资源

5. 安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。（）

A. 正确B. 错误

6. 安全等级保护的核心是将等级保护对象划分等级,按标准进行建设、管理和监督。安全等级保护实施过程中应遵循以下哪些基本原则?（）

A. 自主保护原则B. 重点保护原则C. 同步建设原则D. 动态调整原则

7. 网络安全（cybersecurity）是指通过采取必要措施,防范对网络的攻击、侵入,干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性可用性的能力。（）

A. 正确B. 错误

8. 存储介质的清除或销毁指通过采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理，主要包括以下哪些内容?（）

A. 识别要清除或销毁的介质B. 确定存储介质处理方法和流程C. 处理方案审批D. 存储介质处理和记录

9. 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。其中侵害国家安全的事项不包括以下哪些方面?（）

A. 影响国家政权稳固和领土主权、海洋权益完整B. 影响国家统一、民族团结和社会稳定C. 影响社会成员获取公开数据资源D. 影响国家社会主义市场经济秩序和文化实力

10. 关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下哪些基本原则。?（）

A. 以关键业务为核心的整体防控B. 以整体效益为目标的制度保障C. 以风险管理为导向的动态防护D. 以信息共享为基础的协同联防

11. 《信息安全技术关键信息基础设施安全保护要求》规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。（）

A. 正确B. 错误

12. 分析识别指为检验安全防护措施的有效性,发现网络安全风险隐患,应建立相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。（）

A. 正确B. 错误

13. 安全管理机构要求包括?（）

A. 应成立网络安全工作委员会或领导小组，明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作B. 应设置专门的网络安全管理机构,明确机构负责人及岗位，建立并实施网络安全考核及监督问责机制C. 应为每个关键信息基础设施明确一名安全管理责任人D. 应将安全管理机构人员纳入本组织信息化决策体系

14. 数据安全防护要求不包括以下哪项?（）

A. 建立数据安全管理责任和评价考核制度B. 严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全C. 采购网络关键设备和网络安全专用产品目录中的设备产品时，应采购通过国家检测认证的设备和产品。D. 因业务需要，确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估

15. 以下哪个方面不是数据合规审查中需要关注的要点?（）

A. 数据来源的合规性B. 数据使用的合规性C. 数据跨境的合规性D. 数据价值的评估

16. 当发生有可能危害关键业务的安全事件时,应及时向安全管理机构报告,并组织研判,形成事件报告，应及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向供应链涉及的、与事件相关的其他组织通报安全事件。（）

A. 正确B. 错误

17. 企业网络安全管理制度包括?（）

A. 风险管理制度B. 网络安全考核及监督问责制度C. 自动化机制策略D. 人员管理制度E. 安全审计策略

18. 企业应采取网络审计措施，监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于 4 个月。（）

A. 正确B. 错误

19. 企业应针对数据网络安全设置应急预案与实地演练，下列说法错误的是?（）

A. 应每两年至少组织开展 1 次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的，应定期组织或参加跨组织、跨地域的应急演练B. 应在应急预案中明确，一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间C. 应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程D. 应急预案不仅应包括本组织应急事件的处理,也应包括多个运营者间的应急事件的处理

20. 为建立安全通信网络，企业应采取网络审计措施，监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于 6 个月。（）

A. 正确B. 错误

21. 按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。（）

A. 正确B. 错误

22. 依据工业数据分类分级指南，下列哪些属于三级数据?（）

A. 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短B. 对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响C. 恢复工业数据或消除负面影响所需付出的代价较大D. 易引发特别重大生产安全事故或突发环境事件，或造成直接经济损失特别巨大

23. 工业企业工业数据分类维度包括?（）

A. 管理数据域B. 生产数据域C. 研发数据域D. 运维数据域

24. 工业数据遭篡改、破坏、泄露或非法利用时，企业应根据事先制定的应急预案立即进行应急处置。涉及三级数据时，还应将事件及时上报数据所在地的市级工业和信息化主管部门，并于应急工作结束后 15 日内补充上报事件处置情况。（）

A. 正确B. 错误

25. 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为非重要数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。（）

A. 正确B. 错误

26. 网络安全事件分为?（）

A. 安全隐患事件B. 网络攻击事件C. 数据安全事件D. 信息内容安全事件

27. 网络安全事件是指，由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。（）

A. 正确B. 错误

28. 为了建立向客户提供安全的云计算服务的能力，云服务商应制定安全计划。当云计算平台提供多个应用或服务时，云服务商应可以制定一个统一的安全计划。（）

A. 正确B. 错误

29. 云计算平台的安全计划包括以下哪些内容?（）

A. 系统拓扑B. 系统运营单位C. 与外部系统的互连情况;D. 云能力类型和部署模式

30. 针对 API 访问安全，网络服务提供方应支持哪些功能?（）

A. 支持涉及云服务租户资源操作的服务B. 支持服务 API 调用前实施用户鉴别和鉴权的功能C. 支持用户调用服务 API 的访问控制功能D. 支持服务 API 的调用日志记录的功能

31. 针对数据迁移保护，对网络服务提供方提出以下哪些要求?（）

A. 在客户服务合同到期时,安全地返还云计算平台上的客户数据B. 为客户数据迁移提供技术手段,并协助完成数据迁移C. 在客户定义的时间内,删除云计算平台上存储的客户数据,并确保不能以商业市场的技术手段恢复D. 无需用户同意，自主将数据迁移至关联应用程序服务商

32. 依 ISO 27001 标准制定信息安全管理体系方针应以考虑的输入是?（）

A. 业务战略B. 法律法规要求C. 合同要求D. 以上全部

33. 风险评估过程一般应包括?（）

A. 风险分析B. 风险识别C. 风险评价D. 以上都是

34. 依据 IS0 27001，信息分类方案的目的是?（）

A. 划分信息的数据型，如供销数据、生产数据、开发测试数据，以便于应用大数据技术对其分析。B. 划分信息载体所属的职能以便于明确管理责任C. 划分信息载体的不同介质以便于存储和处理，如纸张、光盘、磁盘。D. 划分信息对于组织业务的关键性和敏感性分类，按此分类确定信息存储、处理、处置的原则

35. 防止计算机中信息被窃采取的手段不包括。（）

A. 用户识别B. 权限控制C. 病毒控制D. 数据加密

36. 关于密码技术和密码产品，以下说法正确的是?（）

A. 未经批准，禁止出口密码技术和密码产品，但进口不受限B. 密码技术和密码产品均是国家秘密，需实行专控管理C. 未经许可，禁止销售商用密码产品，但自行研发供自行使用不受限D. 未经指定，禁止生产商用密码产品

37. 对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包括在（）合同中。（）

A. 管理人员B. 承包方人员C. 第三方人员D. 技术人员

38. 为确保信息资产的安全，设备、信息或软件在( )之前不应带出公司、组织场所。（）

A. 使用B. 检查合格C. 授权D. 识别出薄弱环节

39. 依据 ISO 27001，信息系统审计是 ()。（）

A. 应在系统运行期间进行，以便于准确地发现弱电B. 审计工具在组织内应公开可获取，以便于提升员工的能力C. 发现信息系统脆弱性的手段之一D. 只要定期进行，就可以替代内部 ISMS 审核

40. ISMS 是基于组织的 ( ) 风险角度建立的。（）

A. 财务部门B. 资产安全C. 信息部门D. 整体业务

41. 关于特权访问，下列哪些说法正确的是:（）

A. 特权访问用户必须包含最高管理者B. 特权访问用户通常不包含顾客C. 特权访问用户的访问权限最大权限原则的的应用D. 特殊访问权应与其职能角色一致

42. 依据 ISO 27701，个人信息系统用来存储个人信息的方式为?（）

A. 一个文件存放一个人的信息B. 数据库统一管理C. 电子表格管理D. 存放在内存

43. 以下哪项属于个人信息影响的评估场景?（）

A. 处理敏感个人信息，B. 利用个人信息进行自动化决策C. 委托处理个人信息、向第三方提供个人信息、公开个人信息D. 向境外提供个人信息

44. 网络运营者在公开收集个人信息的过程中，应当（）?（）

A. 不与被收集者沟通B. 取得被收集者同意C. 自动记录个人信息并保存D. 对收集的规则和目的进行公开

45. 网络信息服务商的管理者、服务人员或产品所有者应监控关键系统资源的使用情况。应提供足够的容量可以通过增加容量或减少需求来实现。应考虑以下哪些因素来增加容量?（）

A. 雇用新员工;B. 获得新的设施或空间;C. 获得更强大的处理系统、内存和存储;D. 利用云计算，它具有直接解决容量问题的固有特征。云计算具有恢复力和可扩展性，可以按需快速扩展和减少特定应用程序和服务可用的资源。

46. 防范恶意软件应基于恶意软件检测和修复软件、信息安全意识、适当的系统访问和变更管理控制，下列哪些防范措施是正确的?（）

A. 实施防止或检测使用未经授权软件的规则和控制B. 实施防止或检测使用已知或可疑恶意网站的控制C. 减少可被恶意软件利用的漏洞[例如:通过技术漏洞管理D. 安装并定期更新恶意软件检测和修复软件，以扫描计算机和电子存储介质

47. 下列哪项关于区块链的定义是错误的?（）

A. 区块链信息服务是基于区块链技术或系统，通过互联网站、应用程序等网络平台提供的信息服务。B. 时间戳是对时间和其他待签名数据进行签名得到的,用于表明数据时间属性的数据C. 上链是具有特定功能的区块链组件,可独立运行的单元D. 智能合约是存储在分布式账本中的计算机程序,由区块链用户部署并自动执行,其任何执行结果都记录在分布式账本中

48. 区块链信息服务在传播违法信息、不良信息,实施网络违法犯罪行为,破坏网络生态秩序等方面,存在与互联网信息服务相似的安全风险。区块链技术特征增加了违法信息、不良信息处置等信息内容安全管理难度，进一步加剧了区块链信息服务的安全风险。区块链信息服务安全风险主要包括?（）

A. 记录在区块链上的信息难以被修改和删除,导致违法信息、不良信息在上链后难以被有效处置B. 区块链分布式存储和去中心化的特征,数据存储在各节点服务器,导致违法信息、不良信息难以被清除C. 区块链上运行的智能合约存在代码漏洞、恶意调用、执行异常等问题,导致无法提供正常的信息服务D. 使用 P2P 网络、共识机制等技术构建区块链网络,面临网络攻击、节点故障、隐私数据泄露等安全问题

49. 区块链信息服务提供者应（）。（）

A. 对存储在链上和链下的信息进行溯源B. 使用数字签名来标识交易发送主体的身份，识别交易发送账号C. 对交易信息进行记录,包括交易发送账号、接收账号、交易生成的时间戳等D. 提供查询交易信息和交易回执的接口E. 检测交易是否被恶意修改

50. 区块链信息服务提供者应对不同类型的节点和节点管理人员设置不同权限,明确不同权限所对应的节点操作内容。记录每次对节点读写和访问、节点管理人员身份变更和管理权限变更等操作。（）

A. 正确B. 错误

## 十五、数据分类分级 43 题

1 : 常见的数据格式有哪些（）

A : 结构化数据B : 非结构化数据C : 半结构化数据D : 以上全是

2 : 常见的非数据化数据有哪些（）

A : 视频B : 图片C : 日志D : 文档

3 : 常见的半数据化数据有哪些（）

A : 日志B : XMLC : JSOND : 文档

4 : 数据分类分级是开展数据安全体系建设的基础（TRUE）

解析:数据分类分级是数据安全体系的基础。

5 : 常见的数据分类方法有哪些（）

A : 根据数据类型分B : 根据数据内容分C : 根据数据权限分D : 根据数据全生命周期分E : 根据数据敏感程度分

6 : 单位只需做一次数据分类分级就可以了，以后就不需要再做了。（FALSE）

解析:数据分类分级需动态调整，并非一劳永逸。

7 : 《重要数据识别指南》中的“重要数据”是指哪些（）

A : 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据B : 一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全C : 未公开的政府信息，大面积人口、基因健康、地理、矿产资源等D : 以上都是

8 : 一个人的面部特征是属于（）的个人信息。

A : 重要B : 敏感C : 公开D : 隐私

9 : 个人信息是一种特殊的数据类型。（TRUE）

解析:个人信息是具有可识别性的特殊数据。

10 : 《网络数据安全管理条例（征求意见稿）》中没有对“个人信息”进行定级。（TRUE）

解析:该条例未对个人信息单独定级，而是纳入数据分类分级体系。

11 : 国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以（）为关键要素的数字经济发展。

A : 信息B : 数据C : 技术D : 创新

12 : 下列不属于核心数据的是（）

A : 关系国家安全的数据B : 关系国民经济命脉的数据C : 关系重要民生的数据D : 关系公共利益的数据

13 : 以下数据安全分类分级标准不属于行业标准的是?（）

A : GB/T 39725-2020《信息安全技术健康医疗数据安全指南》B : 工信 (2020] 6 号《工业数据分类分级指南》C : JR/T0197-2020《金融数据安全数据安全分级指南》D : DB14/T 2442-2022《政务数据分类分级要求》

14 : 导致数据发生升降级的主要因素不包括（）

A : 数据汇聚融合B : 生产数据脱敏C : 特定时间或事件后信息失去原有敏感性D : 对数据复制

15 : 发生以下情况数据安全等级需要升级的是（）

A : 数据汇聚融合B : 生产数据脱敏C : 特定时间或事件后信息失去原有敏感性D : 删除关键字段

16 : 发生以下情况数据安全等级需要降级的是（）

A : 生产数据脱敏B : 数据量增加C : 特定时间或事件后信息具有高安全等级D : 数据汇聚融合

17 : 数据分类分级的流程不包括（）

A : 数据资产梳理B : 元数据管理C : 数据分类D : 数据分级

18 : 以下不属于数据分类分级的收益是（）

A : 满足合规要求B : 发现安全漏洞C : 提升数据使用价值D : 满足自身发展

19 : 按照金融行业数据分类分级标准，客户的个人姓名和病例信息分别属于哪个级别的数据?（）

A : L4 敏感数据、L3 较敏感数据B : L3 较敏感数据、L3 较敏感数据C : L3 较敏感数据、L4 敏感数据D : L2 低敏感数据、L3 较敏感数据

20 : 以下是数据安全分类分级最终输出成果物的是（）

A : 数据资产清单B : 数据字典C : 数据资源目录D : 数据安全分类分级清单

21 : 下列哪些数据属于自然人身份标志分类（）

A : 通信联系方式B : 自然人用户姓名C : 住址D : 身份证号码

22 : 以下属于数据分类方法的是（）

A : 线分类法B : 面分类法C : 矩阵分类法D : 混合分类法

23 : 以下选项属于数据安全分类分级原则的是（）

A : 合法合规B : 弃低取高C : 动态调整法D : 弃高取低

24 : 数据分类分级用的技术包括（）

A : 数据扫描B : 机器学习C : 知识算法法D : 人工分类

25 : 数据处理包括（）

A : 采集B : 使用C : 传输D : 传输（重复）

26 : 数据安全能力成熟度中有多少个过程域（）

A : 10B : 20C : 30D : 40

27 : 收集个人信息，应当限于实现处理目的的（），不得过度收集个人信息。

A : 最大范围B : 最小范围C : 适当范围D : 较小范围

28 : （）负责统筹协调个人信息保护工作和相关监督管理工作。

A : 国家公安部门B : 国家保密部门C : 国家工信部门D : 国家网信部门

29 : 数据安全能力成熟度 PA 体系包含哪些方面（）

A : 数据全生命周期过程域B : 数据生存周期过程域C : 基础过程域D : 通用过程域

30 : 在《基础电信企业数据分类分级方法》中指出，将基础电信企业的数据分为哪几类（）

A : 公民个人数据B : 用户相关数据C : 通用数据D : 企业自身数据

31 : 政府数据是指政府各职能部门依法在办理业务及进行决策时产生的数据资源，包括（）

A : 对社会公民及法人进行数据采集B : 业务处理和业务决策产生的数据资源C : 企业上报数据D : 互联网采集公共数据

32 : 贵州省在《政府数据数据分类分级指南》中，将政府数据资源按照面分类可以构造（）个关键词标签。

A : 18B : 23C : 30D : 33

33 : 去标识化是建立在个体基础之上，不保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对信息主体的标识。（FALSE）

解析:去标识化保留个体颗粒度，仅替换标识。

34 : 个人浏览网页的记录是个人信息吗?（TRUE）

解析:网页浏览记录可结合其他信息识别个人，属于个人信息。

35 : 14 岁以下（含）儿童的个人信息和自然人的隐私信息都属于个人敏感信息（TRUE）

解析:这是《个人信息保护法》的明确规定。

36 : 重要数据包括国家秘密数据和海量个人信息数据（FALSE）

解析:重要数据与国家秘密数据是不同概念，海量个人信息也不一定属于重要数据。

37 : 水下地形属于地理空间数据中的（）数据。

A : L1B : L2C : L3D : L4

38 : 因业务需要，将来自不同途径或不同系统的数据汇聚在一起，数据的原始用途或所在系统发生改变，不需要对数据进行重新确定类别，但需要重新进行定级;（FALSE）

解析:数据汇聚后需要重新确定类别和定级。

39 : 常见的数据分类分级的技术有哪些?（）

A : 人工手动分B : 系统自动分C : 人工+智能分D : 专用工具分

40 : 数据资产的基本特征总结为（）

A : 非实体性B : 依托性C : 多样性D : 价值易变性E : 可加工性

41 : 数据确权要解决（）基本问题

A : 数据权利属性B : 数据权利主体C : 数据权利内容D : 以上全是

42 : 数据公有产权包括哪些（）

A : 控制权B : 管理权C : 开放权D : 安全权

43 : 数据私有产权不包括哪些（）

A : 控制权B : 管理权C : 开放权D : 使用权

## 十六、数据安全风险评估 24 题

1、下列关于数据安全风险评估的说法，错误的是?（）

A、数据安全风险评估应当由数据处理者自行进行B、数据安全风险评估应当定期进行C、数据安全风险评估结果应当作为改进数据安全保护措施的依据D、数据安全风险评估不需要考虑外部环境的变化

2、在进行数据安全风险评估时，以下哪项是关键的第一步?（）

A、制定详细的风险应对措施B、选择合适的风险评估方法和工具C、识别并确定评估的范围和对象D、汇总并报告评估结果

3、根据数据安全能力成熟度模型，企业在数据安全事件发生后，应首先采取什么措施?（）

A、掩盖事件真相B、立即恢复数据服务C、进行事件应急响应D、追究相关责任

4、数据安全风险评估过程中，最重要的是什么?（）

A、数据收集B、风险评估方法选择C、风险识别与分析D、风险应对措施制定

5、数据安全风险评估应遵循哪些原则?（）

A、科学性、公正性、客观性B、主观性、随意性、灵活性C、高效性、便捷性、低成本D、保密性、封闭性、排他性

6、数据安全能力成熟度模型强调，企业在数据安全方面应首先确立哪项内容?（）

A、数据安全目标B、业务发展计划C、信息安全政策D、数据治理架构

7、数据安全风险评估结果应如何应用?（）

A、仅作为内部参考B、公开披露给所有利益相关者C、指导数据安全管理和风险控制D、直接作为法规执行依据

8、《信息安全技术数据安全能力成熟度模型》主要评估企业的哪项能力?（）

A、信息技术应用能力B、数据安全保护能力C、网络安全防御能力D、业务流程优化能力

9、数据安全风险评估中，哪些因素不是评估的重点?（）

A、数据泄露的可能性B、数据处理的合规性C、企业员工的个人喜好D、数据访问的控制措施

10、数据安全风险评估报告应包含哪些内容?（）

A、评估人员的个人信息B、风险评估的具体方法和工具C、风险评估的结果和建议措施D、企业的商业机密信息

11、开展数据安全风险评估，以下哪项不是风险评估的主要方法?（）

A、定性评估B、定量评估C、主观臆断D、综合评估

12、在数据安全能力成熟度模型中，哪个阶段开始注重数据安全的量化管理和优化?（）

A、非正式执行级B、计划跟踪级C、充分定义级D、量化控制级

13、在进行数据安全风险评估时，应重点关注哪些数据?（）

A、所有类型的数据B、敏感数据C、公开数据D、过期数据

14、《信息安全技术数据安全能力成熟度模型》适用于哪些组织?（）

A、仅适用于大型企业B、仅适用于政府机构C、适用于所有涉及数据处理的组织D、仅适用于信息技术企业

15、数据安全风险评估的主要目的是什么?（）

A、增加数据处理量B、提高数据处理速度C、识别和控制数据安全风险D、降低数据安全投入成本

16、开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取（）;发生数据安全事件时，应当立即采取（），按照规定及时告知用户并向有关主管部门报告。（）

A、补救措施、处置措施B、处置措施、补救措施C、应急措施、补救措施D、补救措施、应急措施

17、（）应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。（）

A、漏洞扫描报告B、生产管理报告C、风险评估报告D、安全管理文档

18、数据安全风险评估中，下列哪项不是重要评估内容之一（）

A、数据处理目的、方式、范围是否合法、正当、必要B、数据安全管理制度、流程策略的制定和落实情况C、数据备份策略的落实情况D、数据安全技术防护能力建设及应用情况

19、重要数据和核心数据处理者委托第三方评估机构开展数据安全风险评估时，应确保评估过程具备哪些要素（）

A、随机选择的评估团队成员B、完备的评估工作方案和有效的技术评测工具C、与行业无关的评估标准D、仅包括技术保障方面的评估内容

20、开展数据处理活动应当（），发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施。（）

A、加强安全管理B、加强团队管理C、加强技术培养D、加强风险监测

21、工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年至少开展（）次安全评估、（）

A、1B、2C、3D、4

22、重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送（）。（）

A、数据安全风险清单B、风险报告单C、风险评估报告D、应急补救措施

23、数据安全风险评估是指:（）

A.对数据安全进行全面评估和分析的过程B.对数据网络设备进行性能测试的过程C.对数据网络连接进行速度测试的过程D.对数据网络用户进行身份验证的过程

24、下面对于数据安全治理形容错误的是（）?（）

A.以数据的安全使用为目标B.以数据分类分级为基础，以信息合理、安全流动为目标C.以信息使用过程的安全管理和技术支撑为手段D.面向外部黑客，以对外部黑客或入侵者的防控为主要对象

## 补充:数据隐私保护

1、数据泛化是常用的数据匿名化方法，是将数据中的属性值替换为更一般或抽象的值（）

A、TRUEB、FALSE

2、K-匿名模型的实施，使得观察者无法以高于 1/k 的置信度通过准标识符来识别用户（）

A、TRUEB、FALSE

3、增加/删除 k 条数据的 ε-DP 机制满足 (kε)-DP（）

A、TRUEB、FALSE

4、一个数据集中存在 Bob 的数据，即使数据集的其他部分（除了 Bob）是已知的，差分隐私也能阻止攻击者识别 Bob（）

A、TRUEB、FALSE

5、在本地差分隐私中，用户数量越多，服务器的聚合结果越准确（）

A、TRUEB、FALSE

6、对差分隐私的结果进行后处理，结果仍保持差分隐私（）

A、TRUEB、FALSE

7、布隆过滤器目的是检查某个元素是否存在于集合中。（）

A、TRUEB、FALSE

8、当二进制向量长度一定时，布隆过滤器的误报率随数据块的增长而增长。（）

A、TRUEB、FALSE

9、采用多个独立的哈希算法同时进行映射，可以有效的降低布隆过滤器误报率。（）

A、TRUEB、FALSE

10、URL 过滤（URL Filter），一般简称为 URLF，是指对用户访问的 URL 进行控制，对用户访问的 Web 资源执行允许或禁止操作。（）

A、TRUEB、FALSE

11、HTTP 定义了很多头字段用于描述 HTTP 信息，可以针对各种类型的头字段进行过滤。（）

A、TRUEB、FALSE

12、在多数不诚实设置中，协议不能达到公平性（）

A、TRUEB、FALSE

13、K 匿名算法中参数 K 越大，隐私保护效果越好（）

A、TRUEB、FALSE

14、以下哪个选项不是数据匿名化的优势（）

A、让数据的非敏感部分仍然能比广泛利用B、避免数据滥用和隐私数据泄露C、增加从数据中提取有意义信息的能力D、强化数据管理和一致性

15、以下哪种做法不能保护隐私数据（）

A、将年龄值 30 岁的个体泛化为年龄段为 30-40 岁B、将原始数据中的薪资值加上一个随机的偏移量C、将原始数据集中两个不同个体的出生日期进行交换D、将增加原始数据集的数据量

16、（）需要一个可信的第三方来收集、储存未处理的用户原始隐私数据，经过隐私处理（如加噪）之后再统一对外发布（）

A、指数差分隐私B、远程差分隐私C、本地化差分隐私D、中心化差分隐私

17、本地化差分隐私和中心化差分隐私最主要的区别在于（）

A、名字不同B、敏感度定义不同C、是否依赖可信第三方D、数据种类不同

18、一下属于数据匿名化的技术手段的是（）

A、数据掩蔽B、数据混排C、数据扰动D、数据抽样

19、K-匿名技术能做到的是（）

A、攻击者无法知道某特定个人是否在公开的数据中B、可以有效抵抗同质攻击、背景知识攻击与补充数据攻击C、给定一个人，攻击者无法确认他是否有某项敏感属性D、攻击者无法确认某条数据对应的是哪个人

20、下列说法错误的是（）

A、对数据进行匿名化处理后，往往会产生一定程度的信息失真B、删除所有的显示标识符，可最大程度上保护个人隐私C、K-匿名技术可以有效阻止身份信息的公开与属性信息的公开D、当公开的数据有多种类型，如果他们的 K-匿名方法不同，那么攻击者可以通过关联多种数据推测用户信息

更多问卷复制此问卷