信息安全制度試題和答案一、單項(xiàng)選擇題（每題2分，共40分）1.以下哪項(xiàng)不屬于信息安全“三要素”？A.機(jī)密性B.完整性C.可用性D.可追溯性2.根據(jù)《網(wǎng)絡(luò)安全法》第二十一條，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)履行的安全保護(hù)義務(wù)不包括：A.制定內(nèi)部安全管理制度和操作規(guī)程B.定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核C.對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份D.向社會(huì)公開網(wǎng)絡(luò)安全漏洞信息3.某企業(yè)將客戶身份證號(hào)、銀行賬號(hào)定義為“最高敏感度數(shù)據(jù)”，其標(biāo)識(shí)應(yīng)采用：A.黃色標(biāo)簽+“內(nèi)部使用”字樣B.紅色標(biāo)簽+“高度敏感”字樣C.藍(lán)色標(biāo)簽+“受限訪問”字樣D.綠色標(biāo)簽+“公共信息”字樣4.信息安全風(fēng)險(xiǎn)評(píng)估的核心步驟是：A.資產(chǎn)識(shí)別→威脅分析→脆弱性分析→風(fēng)險(xiǎn)計(jì)算B.威脅分析→資產(chǎn)識(shí)別→脆弱性分析→風(fēng)險(xiǎn)計(jì)算C.脆弱性分析→資產(chǎn)識(shí)別→威脅分析→風(fēng)險(xiǎn)計(jì)算D.資產(chǎn)識(shí)別→脆弱性分析→威脅分析→風(fēng)險(xiǎn)計(jì)算5.最小權(quán)限原則要求用戶訪問信息系統(tǒng)時(shí)：A.僅授予完成工作所需的最低權(quán)限B.授予與崗位層級(jí)匹配的權(quán)限C.授予跨部門協(xié)作所需的所有權(quán)限D(zhuǎn).授予臨時(shí)任務(wù)的超額權(quán)限6.以下哪項(xiàng)屬于物理安全控制措施？A.防火墻策略配置B.服務(wù)器機(jī)房門禁系統(tǒng)C.數(shù)據(jù)庫加密存儲(chǔ)D.員工信息安全培訓(xùn)7.根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估的頻率至少為：A.每季度一次B.每半年一次C.每年一次D.每?jī)赡暌淮?.某公司研發(fā)部門員工需訪問生產(chǎn)環(huán)境數(shù)據(jù)庫，正確的審批流程應(yīng)為：A.員工申請(qǐng)→直屬領(lǐng)導(dǎo)審批→信息安全部門審核→權(quán)限開通B.員工申請(qǐng)→信息安全部門審批→權(quán)限開通C.員工申請(qǐng)→IT運(yùn)維部門審批→權(quán)限開通D.員工申請(qǐng)→部門負(fù)責(zé)人審批→權(quán)限開通9.以下哪類數(shù)據(jù)不屬于個(gè)人信息？A.姓名+電話號(hào)碼B.身份證號(hào)+住址C.匿名化處理后的用戶行為數(shù)據(jù)D.電子郵箱+職業(yè)10.信息安全事件分級(jí)中，“導(dǎo)致10萬條以上個(gè)人信息泄露或500萬元以上直接經(jīng)濟(jì)損失”屬于：A.一級(jí)事件（特別重大）B.二級(jí)事件（重大）C.三級(jí)事件（較大）D.四級(jí)事件（一般）11.數(shù)據(jù)脫敏技術(shù)中，將處理為“1385678”屬于：A.掩碼處理B.加密處理C.泛化處理D.匿名化處理12.第三方合作中，要求供應(yīng)商簽署的《信息安全協(xié)議》必須包含的條款不包括：A.數(shù)據(jù)使用范圍限制B.供應(yīng)商內(nèi)部安全管理要求C.合作終止后的數(shù)據(jù)清除義務(wù)D.供應(yīng)商員工的薪資標(biāo)準(zhǔn)13.信息安全管理體系（ISMS）的核心標(biāo)準(zhǔn)是：A.ISO9001B.ISO27001C.ISO14001D.ISO4500114.以下哪項(xiàng)不符合移動(dòng)辦公設(shè)備安全管理要求？A.員工私人手機(jī)安裝企業(yè)VPN客戶端B.移動(dòng)設(shè)備必須啟用設(shè)備鎖（密碼/指紋）C.禁止通過微信傳輸客戶敏感信息D.移動(dòng)設(shè)備丟失后2小時(shí)內(nèi)上報(bào)信息安全部門15.日志留存時(shí)間應(yīng)符合法規(guī)要求，關(guān)鍵系統(tǒng)日志至少留存：A.3個(gè)月B.6個(gè)月C.1年D.2年16.數(shù)據(jù)分類分級(jí)的依據(jù)不包括：A.數(shù)據(jù)泄露可能造成的影響范圍B.數(shù)據(jù)的產(chǎn)生部門C.數(shù)據(jù)的敏感程度D.數(shù)據(jù)的法律保護(hù)要求17.信息安全培訓(xùn)的重點(diǎn)對(duì)象是：A.高層管理者B.全體員工C.技術(shù)研發(fā)人員D.新入職員工18.以下哪項(xiàng)屬于主動(dòng)防御技術(shù)？A.入侵檢測(cè)系統(tǒng)（IDS）B.入侵防御系統(tǒng)（IPS）C.防火墻D.antivirus軟件19.簽訂數(shù)據(jù)跨境傳輸合同時(shí)，必須通過的合規(guī)審查不包括：A.數(shù)據(jù)接收方所在國(guó)的法律風(fēng)險(xiǎn)評(píng)估B.數(shù)據(jù)出境安全評(píng)估（如有）C.數(shù)據(jù)加密傳輸?shù)募夹g(shù)方案D.數(shù)據(jù)接收方的員工數(shù)量20.信息安全審計(jì)的主要目的是：A.發(fā)現(xiàn)系統(tǒng)漏洞并修復(fù)B.驗(yàn)證安全控制措施的有效性C.統(tǒng)計(jì)系統(tǒng)訪問次數(shù)D.記錄員工操作行為二、判斷題（每題1分，共10分）1.信息安全僅涉及技術(shù)層面，與管理無關(guān)。（）2.員工離職時(shí)，只需收回物理設(shè)備，無需注銷系統(tǒng)賬號(hào)。（）3.數(shù)據(jù)備份應(yīng)采用“三地兩中心”模式，確保主備分離。（）4.外部人員訪問內(nèi)部系統(tǒng)時(shí)，可使用固定賬號(hào)，無需單獨(dú)創(chuàng)建。（）5.信息安全事件發(fā)生后，應(yīng)優(yōu)先恢復(fù)業(yè)務(wù)，再進(jìn)行原因調(diào)查。（）6.加密后的數(shù)據(jù)無需再進(jìn)行訪問控制管理。（）7.定期開展信息安全演練（如數(shù)據(jù)泄露演練）是必要的合規(guī)要求。（）8.個(gè)人信息處理者可以將用戶同意作為處理所有個(gè)人信息的唯一合法依據(jù)。（）9.服務(wù)器端口開放應(yīng)遵循“最小化原則”，僅開放必要端口。（）10.第三方供應(yīng)商的信息安全責(zé)任可通過合同完全轉(zhuǎn)移，企業(yè)無需監(jiān)督。（）三、簡(jiǎn)答題（每題8分，共40分）1.簡(jiǎn)述企業(yè)信息安全管理制度的三層架構(gòu)及其核心內(nèi)容。2.列舉數(shù)據(jù)生命周期各階段的安全控制要點(diǎn)（至少5個(gè)階段）。3.說明風(fēng)險(xiǎn)評(píng)估中“殘余風(fēng)險(xiǎn)”的定義，并闡述企業(yè)對(duì)殘余風(fēng)險(xiǎn)的處理措施。4.對(duì)比“訪問控制列表（ACL）”與“基于角色的訪問控制（RBAC）”的優(yōu)缺點(diǎn)。5.簡(jiǎn)述《個(gè)人信息保護(hù)法》中“最小必要原則”的具體要求及在企業(yè)中的應(yīng)用場(chǎng)景。四、案例分析題（每題15分，共30分）案例1：某電商企業(yè)客服部門員工張某，通過內(nèi)部系統(tǒng)查詢并下載了5萬條客戶訂單信息（包含姓名、電話、收貨地址），隨后將數(shù)據(jù)出售給第三方營(yíng)銷公司。事件發(fā)生后，企業(yè)發(fā)現(xiàn)：張某的系統(tǒng)賬號(hào)擁有“訂單查詢”權(quán)限，但無“批量導(dǎo)出”權(quán)限；系統(tǒng)日志顯示張某通過多次單條查詢后手動(dòng)復(fù)制粘貼完成數(shù)據(jù)下載；客服部門未對(duì)員工操作行為進(jìn)行實(shí)時(shí)監(jiān)控；企業(yè)未對(duì)訂單信息進(jìn)行脫敏處理。問題：（1）分析該數(shù)據(jù)泄露事件的直接原因和管理漏洞；（2）提出至少3項(xiàng)針對(duì)性的改進(jìn)措施。案例2：某金融機(jī)構(gòu)計(jì)劃與云服務(wù)提供商合作存儲(chǔ)客戶交易數(shù)據(jù)，需簽訂《云服務(wù)安全協(xié)議》。已知客戶交易數(shù)據(jù)屬于“高敏感數(shù)據(jù)”，且涉及跨境傳輸（數(shù)據(jù)將存儲(chǔ)于境外服務(wù)器）。問題：（1）協(xié)議中必須明確的安全條款有哪些？（至少5項(xiàng)）；（2）跨境數(shù)據(jù)傳輸需滿足哪些合規(guī)要求？（至少3項(xiàng)）。答案一、單項(xiàng)選擇題1.D2.D3.B4.A5.A6.B7.C8.A9.C10.B11.A12.D13.B14.A15.B16.B17.B18.B19.D20.B二、判斷題1.×2.×3.√4.×5.×6.×7.√8.×9.√10.×三、簡(jiǎn)答題1.三層架構(gòu)及核心內(nèi)容：第一層：信息安全方針（綱領(lǐng)性文件）。由最高管理層發(fā)布，明確企業(yè)信息安全的總體目標(biāo)、原則（如“最小權(quán)限”“默認(rèn)拒絕”）及責(zé)任歸屬。第二層：管理制度（具體規(guī)則）。包括《數(shù)據(jù)安全管理辦法》《訪問控制制度》《事件響應(yīng)流程》等，規(guī)定各場(chǎng)景下的操作規(guī)范（如數(shù)據(jù)分類標(biāo)準(zhǔn)、權(quán)限審批流程）。第三層：操作指南（執(zhí)行細(xì)則）。如《服務(wù)器運(yùn)維手冊(cè)》《日志審計(jì)操作指南》，提供具體技術(shù)步驟（如防火墻策略配置參數(shù)、備份介質(zhì)離線存儲(chǔ)要求）。2.數(shù)據(jù)生命周期安全控制要點(diǎn)（示例）：采集階段：明確采集目的（符合“最小必要”原則），取得用戶授權(quán)（如個(gè)人信息需單獨(dú)同意）。存儲(chǔ)階段：按分類分級(jí)結(jié)果采用加密存儲(chǔ)（如敏感數(shù)據(jù)AES256加密），設(shè)置訪問權(quán)限（如“只讀”“讀寫”區(qū)分）。處理階段：限制處理范圍（僅授權(quán)人員操作），記錄操作日志（包含時(shí)間、賬號(hào)、操作內(nèi)容）。傳輸階段：使用安全通道（如HTTPS/TLS1.3），敏感數(shù)據(jù)需額外加密（如SSLVPN隧道）。銷毀階段：采用不可逆方法（如數(shù)據(jù)擦除工具DBAN覆蓋7次），記錄銷毀過程（包括介質(zhì)編號(hào)、執(zhí)行人、時(shí)間）。3.殘余風(fēng)險(xiǎn)定義及處理措施：殘余風(fēng)險(xiǎn)：經(jīng)過現(xiàn)有安全控制措施處理后仍未消除的風(fēng)險(xiǎn)（如因成本限制未部署某高級(jí)防護(hù)設(shè)備，導(dǎo)致部分漏洞殘留）。處理措施：①接受風(fēng)險(xiǎn)（需管理層審批，記錄接受原因及監(jiān)控計(jì)劃）；②轉(zhuǎn)移風(fēng)險(xiǎn)（如購買網(wǎng)絡(luò)安全保險(xiǎn)）；③降低風(fēng)險(xiǎn)（補(bǔ)充控制措施，如增加漏洞掃描頻率）。4.ACL與RBAC對(duì)比：ACL（訪問控制列表）：優(yōu)點(diǎn)是靈活性高（可針對(duì)單個(gè)用戶/資源設(shè)置權(quán)限）；缺點(diǎn)是維護(hù)成本高（用戶數(shù)量大時(shí)需逐條配置），權(quán)限分散易導(dǎo)致沖突。RBAC（基于角色的訪問控制）：優(yōu)點(diǎn)是管理效率高（按角色批量授權(quán)，如“客服崗”“研發(fā)崗”）；缺點(diǎn)是角色劃分需精準(zhǔn)（角色重疊可能導(dǎo)致權(quán)限冗余），不適用于需細(xì)粒度控制的場(chǎng)景（如特定文件的單獨(dú)訪問）。5.最小必要原則要求及應(yīng)用場(chǎng)景：要求：處理個(gè)人信息時(shí)，僅收集實(shí)現(xiàn)目的所需的最少數(shù)據(jù)類型和數(shù)量，且數(shù)據(jù)用途需與收集時(shí)的目的一致（不得超范圍使用）。應(yīng)用場(chǎng)景示例：①電商APP注冊(cè)時(shí)，僅要求提供手機(jī)號(hào)（而非身份證號(hào)）；②醫(yī)療系統(tǒng)調(diào)取患者病歷，僅開放當(dāng)前就診相關(guān)的診斷記錄（而非全部歷史記錄）；③會(huì)員系統(tǒng)發(fā)送營(yíng)銷信息，需用戶主動(dòng)勾選“接受推送”（不可默認(rèn)勾選）。四、案例分析題案例1答案：（1）直接原因：張某利用系統(tǒng)權(quán)限漏洞（單條查詢未限制次數(shù)），通過手動(dòng)復(fù)制粘貼非法導(dǎo)出數(shù)據(jù)；管理漏洞：①權(quán)限設(shè)計(jì)缺陷（未限制“單條查詢”的頻次/總量）；②監(jiān)控缺失（未對(duì)客服端操作行為進(jìn)行實(shí)時(shí)審計(jì)）；③數(shù)據(jù)脫敏不足（訂單信息未脫敏，降低泄露危害）；④安全意識(shí)薄弱（員工未認(rèn)識(shí)到數(shù)據(jù)出售的違法性）。（2）改進(jìn)措施：①優(yōu)化權(quán)限控制（對(duì)“訂單查詢”功能增加“每日查詢上限”“導(dǎo)出需二次審批”）；②部署行為分析系統(tǒng)（監(jiān)控異常操作，如“短時(shí)間內(nèi)高頻單條查詢”觸發(fā)警報(bào)）；③實(shí)施數(shù)據(jù)脫敏（對(duì)電話、地址進(jìn)行部分掩碼，如“1385678”“XX市XX區(qū)路”）；④加強(qiáng)員工培訓(xùn)（定期開展“數(shù)據(jù)安全法律責(zé)任”專題教育）。案例2答案：（1）協(xié)議必須明確的安全條款：①數(shù)據(jù)使用范圍（僅限云服務(wù)提供存儲(chǔ)，禁止用于其他用途）；②安全技術(shù)要求（如數(shù)據(jù)加密方式、存儲(chǔ)位置、備份策略）；③訪問控制措施（云服務(wù)商員工訪問需企業(yè)審批）；④事件響應(yīng)義務(wù)（數(shù)據(jù)泄露后需在24小時(shí)內(nèi)通知企業(yè)，并配合調(diào)查）；⑤數(shù)據(jù)主權(quán)歸屬（明確數(shù)據(jù)所有權(quán)歸金融機(jī)構(gòu)，云服務(wù)商無處置權(quán)