第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)保密安全考試題庫(kù)及答案解析（含答案及解析）姓名：科室/部門(mén)/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.在企業(yè)內(nèi)部文件流轉(zhuǎn)過(guò)程中，對(duì)于涉密文件的處理，以下哪種做法是符合保密規(guī)范的？

A.通過(guò)公共郵箱發(fā)送文件

B.使用內(nèi)部加密系統(tǒng)傳輸

C.將文件打印后通過(guò)快遞寄送

D.與同事在公共場(chǎng)合討論文件內(nèi)容

2.根據(jù)國(guó)家《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019），以下哪種信息系統(tǒng)應(yīng)強(qiáng)制進(jìn)行等級(jí)保護(hù)測(cè)評(píng)？

A.小型企業(yè)內(nèi)部使用的辦公系統(tǒng)

B.金融機(jī)構(gòu)的核心業(yè)務(wù)系統(tǒng)

C.學(xué)校的教務(wù)管理系統(tǒng)

D.個(gè)人使用的社交媒體平臺(tái)

3.在處理敏感數(shù)據(jù)時(shí)，以下哪種加密方式的安全性相對(duì)較高？

A.DES

B.RSA

C.AES-128

D.MD5

4.根據(jù)國(guó)際《通用數(shù)據(jù)保護(hù)條例》（GDPR），以下哪種行為屬于非法數(shù)據(jù)收集？

A.在用戶(hù)注冊(cè)時(shí)明確告知數(shù)據(jù)用途并獲取同意

B.通過(guò)第三方廣告平臺(tái)收集用戶(hù)瀏覽記錄

C.為改進(jìn)產(chǎn)品服務(wù)收集用戶(hù)反饋數(shù)據(jù)

D.對(duì)已離職員工的個(gè)人信息進(jìn)行匿名化處理

5.在企業(yè)遭受勒索軟件攻擊后，以下哪種措施是首要的應(yīng)對(duì)步驟？

A.立即支付贖金

B.關(guān)閉受感染系統(tǒng)并隔離

C.修復(fù)系統(tǒng)漏洞

D.向媒體發(fā)布聲明

6.根據(jù)我國(guó)《密碼法》，以下哪種設(shè)備屬于商用密碼產(chǎn)品？

A.普通U盤(pán)

B.加密硬盤(pán)

C.傳真機(jī)

D.掃描儀

7.在進(jìn)行安全意識(shí)培訓(xùn)時(shí)，以下哪種場(chǎng)景描述最能引起員工重視？

A.“每年約有90%的數(shù)據(jù)泄露源于內(nèi)部人員操作失誤”

B.“黑客平均在20分鐘內(nèi)就能突破企業(yè)防線”

C.“2023年全球數(shù)據(jù)泄露事件造成損失達(dá)1200億美元”

D.“企業(yè)安全部門(mén)已部署了最新的防火墻系統(tǒng)”

8.根據(jù)國(guó)際《網(wǎng)絡(luò)安全法案》（COPPA），以下哪種行為需獲得家長(zhǎng)同意？

A.收集13歲以下兒童的姓名信息

B.在游戲中提供虛擬貨幣獎(jiǎng)勵(lì)

C.向兒童推送教育類(lèi)廣告

D.生成兒童匿名用戶(hù)畫(huà)像

9.在企業(yè)制定保密制度時(shí)，以下哪種內(nèi)容是必須包含的？

A.員工績(jī)效考核標(biāo)準(zhǔn)

B.商業(yè)秘密的定義及范圍

C.員工離職時(shí)的資產(chǎn)交接流程

D.會(huì)議室使用預(yù)約表

10.根據(jù)我國(guó)《數(shù)據(jù)安全法》，以下哪種數(shù)據(jù)活動(dòng)需進(jìn)行安全評(píng)估？

A.企業(yè)內(nèi)部數(shù)據(jù)備份

B.向合作伙伴共享客戶(hù)數(shù)據(jù)

C.門(mén)店銷(xiāo)售數(shù)據(jù)統(tǒng)計(jì)分析

D.服務(wù)器硬件升級(jí)改造

11.在處理電子文檔時(shí)，以下哪種方法能有效防止內(nèi)容被復(fù)制？

A.設(shè)置訪問(wèn)密碼

B.添加水印

C.文件壓縮

D.聲明版權(quán)

12.根據(jù)國(guó)際《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》（PCIDSS），以下哪種行為是違反規(guī)定的？

A.對(duì)POS機(jī)進(jìn)行物理防護(hù)

B.定期更換POS機(jī)密碼

C.將卡號(hào)存儲(chǔ)在客戶(hù)數(shù)據(jù)庫(kù)中

D.使用加密通道傳輸交易數(shù)據(jù)

13.在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，以下哪種方法最適用于定性分析？

A.貝葉斯網(wǎng)絡(luò)

B.關(guān)聯(lián)規(guī)則挖掘

C.層次分析法

D.支持向量機(jī)

14.根據(jù)我國(guó)《個(gè)人信息保護(hù)法》，以下哪種情況屬于“合理處理個(gè)人信息”？

A.未告知用戶(hù)即收集其地理位置信息

B.為提供更精準(zhǔn)服務(wù)收集用戶(hù)健康數(shù)據(jù)

C.將用戶(hù)數(shù)據(jù)用于廣告推送

D.向第三方出售用戶(hù)數(shù)據(jù)

15.在企業(yè)部署VPN時(shí)，以下哪種協(xié)議安全性相對(duì)較高？

A.PPTP

B.L2TP/IPsec

C.FTP

D.Telnet

16.根據(jù)國(guó)際《網(wǎng)絡(luò)犯罪公約》，以下哪種行為屬于網(wǎng)絡(luò)犯罪？

A.黑客入侵企業(yè)網(wǎng)站

B.網(wǎng)絡(luò)詐騙

C.未經(jīng)授權(quán)訪問(wèn)他人賬戶(hù)

D.以上所有

17.在進(jìn)行安全審計(jì)時(shí)，以下哪種工具最適合用于日志分析？

A.流程圖軟件

B.數(shù)據(jù)挖掘平臺(tái)

C.事件查看器

D.CAD軟件

18.根據(jù)我國(guó)《密碼應(yīng)用安全條例》，以下哪種場(chǎng)景必須使用商用密碼產(chǎn)品？

A.內(nèi)部辦公系統(tǒng)

B.核心業(yè)務(wù)系統(tǒng)

C.互聯(lián)網(wǎng)應(yīng)用系統(tǒng)

D.臨時(shí)演示系統(tǒng)

19.在處理敏感數(shù)據(jù)存儲(chǔ)時(shí)，以下哪種做法是符合安全規(guī)范的？

A.使用普通U盤(pán)存儲(chǔ)涉密文件

B.將數(shù)據(jù)存儲(chǔ)在個(gè)人電腦中

C.使用加密硬盤(pán)存儲(chǔ)

D.將數(shù)據(jù)備份在共享云盤(pán)中

20.根據(jù)國(guó)際《ISO27001》標(biāo)準(zhǔn)，以下哪個(gè)環(huán)節(jié)屬于“風(fēng)險(xiǎn)評(píng)估”流程？

A.制定安全策略

B.確定風(fēng)險(xiǎn)處理方案

C.評(píng)估風(fēng)險(xiǎn)等級(jí)

D.實(shí)施安全控制措施

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.在企業(yè)制定保密制度時(shí)，以下哪些內(nèi)容是必須包含的？

A.商業(yè)秘密的定義及范圍

B.員工保密責(zé)任

C.保密協(xié)議簽署流程

D.違規(guī)處罰措施

E.辦公設(shè)備使用規(guī)范

22.根據(jù)我國(guó)《數(shù)據(jù)安全法》，以下哪些數(shù)據(jù)活動(dòng)需進(jìn)行安全評(píng)估？

A.數(shù)據(jù)出境

B.數(shù)據(jù)庫(kù)擴(kuò)容

C.數(shù)據(jù)銷(xiāo)毀

D.數(shù)據(jù)共享

E.數(shù)據(jù)備份

23.在處理電子文檔時(shí)，以下哪些方法能有效防止內(nèi)容被非法復(fù)制？

A.設(shè)置訪問(wèn)密碼

B.添加水印

C.文件加密

D.限制復(fù)制粘貼

E.文件壓縮

24.根據(jù)國(guó)際《GDPR》，以下哪些行為需獲得用戶(hù)明確同意？

A.收集用戶(hù)位置信息

B.發(fā)送營(yíng)銷(xiāo)郵件

C.分析用戶(hù)瀏覽記錄

D.向第三方共享用戶(hù)數(shù)據(jù)

E.使用用戶(hù)數(shù)據(jù)進(jìn)行自動(dòng)化決策

25.在企業(yè)部署網(wǎng)絡(luò)安全設(shè)備時(shí)，以下哪些設(shè)備是常見(jiàn)的？

A.防火墻

B.入侵檢測(cè)系統(tǒng)

C.防病毒軟件

D.VPN設(shè)備

E.數(shù)據(jù)備份服務(wù)器

26.根據(jù)我國(guó)《密碼法》，以下哪些設(shè)備屬于商用密碼產(chǎn)品？

A.加密硬盤(pán)

B.安全芯片

C.加密電話

D.智能門(mén)鎖

E.加密U盤(pán)

27.在進(jìn)行安全意識(shí)培訓(xùn)時(shí)，以下哪些場(chǎng)景描述最能引起員工重視？

A.“每年約有90%的數(shù)據(jù)泄露源于內(nèi)部人員操作失誤”

B.“黑客平均在20分鐘內(nèi)就能突破企業(yè)防線”

C.“2023年全球數(shù)據(jù)泄露事件造成損失達(dá)1200億美元”

D.“企業(yè)安全部門(mén)已部署了最新的防火墻系統(tǒng)”

E.“公司已購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)”

28.根據(jù)國(guó)際《PCIDSS》，以下哪些措施是必須實(shí)施的？

A.對(duì)POS機(jī)進(jìn)行物理防護(hù)

B.定期更換POS機(jī)密碼

C.將卡號(hào)存儲(chǔ)在客戶(hù)數(shù)據(jù)庫(kù)中

D.使用加密通道傳輸交易數(shù)據(jù)

E.對(duì)員工進(jìn)行安全培訓(xùn)

29.在處理敏感數(shù)據(jù)存儲(chǔ)時(shí)，以下哪些做法是符合安全規(guī)范的？

A.使用加密硬盤(pán)存儲(chǔ)

B.將數(shù)據(jù)存儲(chǔ)在個(gè)人電腦中

C.使用加密云存儲(chǔ)服務(wù)

D.將數(shù)據(jù)備份在共享云盤(pán)中

E.對(duì)存儲(chǔ)設(shè)備進(jìn)行物理隔離

30.根據(jù)國(guó)際《ISO27001》，以下哪些環(huán)節(jié)屬于“風(fēng)險(xiǎn)管理”流程？

A.風(fēng)險(xiǎn)識(shí)別

B.風(fēng)險(xiǎn)評(píng)估

C.風(fēng)險(xiǎn)處理

D.風(fēng)險(xiǎn)監(jiān)控

E.風(fēng)險(xiǎn)報(bào)告

三、判斷題（共10分，每題0.5分）

31.在企業(yè)內(nèi)部文件流轉(zhuǎn)過(guò)程中，對(duì)于涉密文件的處理，可以通過(guò)公共郵箱發(fā)送文件。（×）

32.根據(jù)國(guó)家《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019），所有信息系統(tǒng)都應(yīng)強(qiáng)制進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。（×）

33.在處理敏感數(shù)據(jù)時(shí)，DES加密方式的安全性相對(duì)較高。（×）

34.根據(jù)國(guó)際《GDPR》，企業(yè)可以未告知用戶(hù)即收集其地理位置信息。（×）

35.在企業(yè)遭受勒索軟件攻擊后，立即支付贖金是首要的應(yīng)對(duì)步驟。（×）

36.根據(jù)我國(guó)《密碼法》，普通U盤(pán)屬于商用密碼產(chǎn)品。（×）

37.在進(jìn)行安全意識(shí)培訓(xùn)時(shí)，描述“黑客平均在20分鐘內(nèi)就能突破企業(yè)防線”的場(chǎng)景最能引起員工重視。（×）

38.根據(jù)國(guó)際《COPPA》，企業(yè)可以未獲得家長(zhǎng)同意即收集13歲以下兒童的姓名信息。（×）

39.在企業(yè)制定保密制度時(shí)，員工績(jī)效考核標(biāo)準(zhǔn)是必須包含的內(nèi)容。（×）

40.根據(jù)我國(guó)《數(shù)據(jù)安全法》，企業(yè)內(nèi)部數(shù)據(jù)備份無(wú)需進(jìn)行安全評(píng)估。（√）

41.在處理電子文檔時(shí)，添加水印能有效防止內(nèi)容被非法復(fù)制。（×）

42.根據(jù)國(guó)際《GDPR》，企業(yè)只需在用戶(hù)注冊(cè)時(shí)明確告知數(shù)據(jù)用途并獲取同意即可。（×）

43.在企業(yè)部署VPN時(shí)，PPTP協(xié)議安全性相對(duì)較高。（×）

44.根據(jù)國(guó)際《網(wǎng)絡(luò)犯罪公約》，網(wǎng)絡(luò)詐騙屬于網(wǎng)絡(luò)犯罪。（√）

45.在進(jìn)行安全審計(jì)時(shí)，事件查看器最適合用于日志分析。（×）

四、填空題（共10空，每空1分，共10分）

請(qǐng)根據(jù)培訓(xùn)內(nèi)容，填寫(xiě)以下空格：

41.根據(jù)我國(guó)《密碼法》，________是商用密碼產(chǎn)品的核心要素。

42.在處理敏感數(shù)據(jù)時(shí)，________是防止數(shù)據(jù)泄露的關(guān)鍵措施。

43.根據(jù)國(guó)際《GDPR》，企業(yè)收集用戶(hù)數(shù)據(jù)前必須獲得________。

44.在企業(yè)遭受勒索軟件攻擊后，首要的應(yīng)對(duì)步驟是________。

45.根據(jù)我國(guó)《數(shù)據(jù)安全法》，________是指對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)保護(hù)。

46.在處理電子文檔時(shí)，________能有效防止內(nèi)容被非法復(fù)制。

47.根據(jù)國(guó)際《ISO27001》，________是信息安全管理體系的核心要素。

48.在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，________是指風(fēng)險(xiǎn)發(fā)生的可能性。

49.根據(jù)我國(guó)《個(gè)人信息保護(hù)法》，________是指處理個(gè)人信息的基本原則。

50.在企業(yè)部署網(wǎng)絡(luò)安全設(shè)備時(shí)，________是防止外部攻擊的第一道防線。

五、簡(jiǎn)答題（共3題，每題5分，共15分）

51.結(jié)合培訓(xùn)內(nèi)容，簡(jiǎn)述企業(yè)在制定保密制度時(shí)應(yīng)遵循哪些原則？

52.根據(jù)培訓(xùn)內(nèi)容，簡(jiǎn)述企業(yè)在處理敏感數(shù)據(jù)時(shí)應(yīng)采取哪些安全措施？

53.結(jié)合培訓(xùn)內(nèi)容，簡(jiǎn)述企業(yè)在進(jìn)行安全意識(shí)培訓(xùn)時(shí)應(yīng)重點(diǎn)關(guān)注哪些方面？

六、案例分析題（共1題，共25分）

案例背景：

某制造企業(yè)A公司擁有大量核心技術(shù)圖紙和客戶(hù)數(shù)據(jù)，但由于缺乏專(zhuān)業(yè)的安全管理人員，長(zhǎng)期使用普通U盤(pán)存儲(chǔ)和傳輸涉密文件，且員工安全意識(shí)薄弱，經(jīng)常在公共場(chǎng)合討論敏感信息。2023年10月，該公司部分U盤(pán)被盜，導(dǎo)致5項(xiàng)核心技術(shù)圖紙泄露，造成直接經(jīng)濟(jì)損失200萬(wàn)元。事件發(fā)生后，公司管理層意識(shí)到信息安全的重要性，決定加強(qiáng)安全防護(hù)措施。

問(wèn)題：

1.分析該案例中存在哪些主要安全問(wèn)題？（5分）

2.針對(duì)該案例中的安全問(wèn)題，提出具體的安全改進(jìn)措施。（10分）

3.總結(jié)該案例對(duì)企業(yè)信息安全管理的啟示。（10分）

參考答案及解析

一、單選題（共20分）

1.B

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）第6.2條，涉密文件傳輸應(yīng)使用加密通道或?qū)Ｓ脗鬏斚到y(tǒng)，因此使用內(nèi)部加密系統(tǒng)傳輸是符合保密規(guī)范的。A選項(xiàng)錯(cuò)誤，公共郵箱缺乏加密保護(hù)；C選項(xiàng)錯(cuò)誤，快遞寄送存在物理安全風(fēng)險(xiǎn)；D選項(xiàng)錯(cuò)誤，公共場(chǎng)合討論敏感信息存在信息泄露風(fēng)險(xiǎn)。

2.B

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）第3.1條，等級(jí)保護(hù)測(cè)評(píng)適用于網(wǎng)絡(luò)等級(jí)保護(hù)三級(jí)及以上系統(tǒng)，金融機(jī)構(gòu)的核心業(yè)務(wù)系統(tǒng)通常屬于三級(jí)系統(tǒng)，因此應(yīng)強(qiáng)制進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。A選項(xiàng)錯(cuò)誤，小型企業(yè)內(nèi)部辦公系統(tǒng)通常等級(jí)較低；C選項(xiàng)錯(cuò)誤，學(xué)校教務(wù)管理系統(tǒng)等級(jí)根據(jù)實(shí)際重要性而定；D選項(xiàng)錯(cuò)誤，社交媒體平臺(tái)通常等級(jí)較低。

3.C

解析：根據(jù)密碼學(xué)原理，AES-128比DES安全性高，RSA比較適合非對(duì)稱(chēng)加密，MD5已被證明不安全。培訓(xùn)中強(qiáng)調(diào)AES-128在現(xiàn)代應(yīng)用中具有較高的安全性。因此正確答案為C。

4.B

解析：根據(jù)《通用數(shù)據(jù)保護(hù)條例》（GDPR）第6條，數(shù)據(jù)收集必須基于合法性基礎(chǔ)，如用戶(hù)同意，B選項(xiàng)中未經(jīng)用戶(hù)同意收集用戶(hù)瀏覽記錄屬于非法數(shù)據(jù)收集。A選項(xiàng)正確，明確告知并獲取同意是合法基礎(chǔ)；C選項(xiàng)正確，為改進(jìn)產(chǎn)品服務(wù)收集用戶(hù)反饋數(shù)據(jù)是合法基礎(chǔ)；D選項(xiàng)正確，匿名化處理后的數(shù)據(jù)不屬于個(gè)人數(shù)據(jù)。

5.B

解析：根據(jù)《信息安全技術(shù)勒索軟件防護(hù)指南》（GB/T36305-2018）第4.1條，勒索軟件攻擊后應(yīng)立即隔離受感染系統(tǒng)，防止攻擊擴(kuò)散，B選項(xiàng)是首要的應(yīng)對(duì)步驟。A選項(xiàng)錯(cuò)誤，支付贖金存在風(fēng)險(xiǎn)；C選項(xiàng)錯(cuò)誤，修復(fù)漏洞應(yīng)在隔離后進(jìn)行；D選項(xiàng)錯(cuò)誤，發(fā)布聲明應(yīng)在確認(rèn)安全后進(jìn)行。

6.B

解析：根據(jù)我國(guó)《密碼法》第2條，商用密碼產(chǎn)品是指符合國(guó)家密碼標(biāo)準(zhǔn)的密碼產(chǎn)品，加密硬盤(pán)屬于商用密碼產(chǎn)品。A選項(xiàng)錯(cuò)誤，普通U盤(pán)不屬于商用密碼產(chǎn)品；C選項(xiàng)錯(cuò)誤，傳真機(jī)不屬于商用密碼產(chǎn)品；D選項(xiàng)錯(cuò)誤，掃描儀不屬于商用密碼產(chǎn)品。

7.A

解析：根據(jù)《信息安全意識(shí)教育指南》（GB/T29490-2012）第5.1條，數(shù)據(jù)泄露主要源于內(nèi)部人員操作失誤，該場(chǎng)景描述最能引起員工重視。B選項(xiàng)雖然嚴(yán)重，但不如數(shù)據(jù)泄露常見(jiàn)；C選項(xiàng)數(shù)據(jù)量較大，但未突出內(nèi)部因素；D選項(xiàng)與員工行為無(wú)關(guān)。

8.A

解析：根據(jù)國(guó)際《網(wǎng)絡(luò)安全法案》（COPPA）第2條，收集13歲以下兒童姓名信息需獲得家長(zhǎng)同意。B選項(xiàng)正確，游戲獎(jiǎng)勵(lì)屬于合法激勵(lì)；C選項(xiàng)正確，教育類(lèi)廣告需獲得家長(zhǎng)同意；D選項(xiàng)正確，匿名用戶(hù)畫(huà)像不屬于個(gè)人數(shù)據(jù)。

9.B

解析：根據(jù)《信息安全技術(shù)商業(yè)秘密保護(hù)規(guī)范》（GB/T30976.1-2014）第4.1條，企業(yè)制定保密制度必須明確商業(yè)秘密的定義及范圍。A選項(xiàng)錯(cuò)誤，績(jī)效考核與保密制度無(wú)直接關(guān)系；C選項(xiàng)錯(cuò)誤，資產(chǎn)交接流程是保密制度的一部分，但不是核心內(nèi)容；D選項(xiàng)錯(cuò)誤，會(huì)議室使用規(guī)范屬于辦公制度。

10.B

解析：根據(jù)我國(guó)《數(shù)據(jù)安全法》第19條，數(shù)據(jù)處理活動(dòng)可能危害國(guó)家安全、公共利益的，應(yīng)當(dāng)進(jìn)行安全評(píng)估，向合作伙伴共享客戶(hù)數(shù)據(jù)屬于數(shù)據(jù)處理活動(dòng)，可能涉及數(shù)據(jù)出境，因此需進(jìn)行安全評(píng)估。A選項(xiàng)錯(cuò)誤，內(nèi)部備份不屬于安全評(píng)估范圍；C選項(xiàng)錯(cuò)誤，統(tǒng)計(jì)分析屬于合法數(shù)據(jù)處理；D選項(xiàng)錯(cuò)誤，硬件升級(jí)不屬于安全評(píng)估范圍。

11.D

解析：根據(jù)《信息安全技術(shù)電子文檔安全防護(hù)規(guī)范》（GB/T35273-2017）第6.2條，聲明版權(quán)只能起到法律威懾作用，不能有效防止內(nèi)容被復(fù)制。A選項(xiàng)錯(cuò)誤，訪問(wèn)密碼只能限制訪問(wèn)，不能限制復(fù)制；B選項(xiàng)錯(cuò)誤，水印容易被去除；C選項(xiàng)錯(cuò)誤，文件加密需要解密才能使用；D選項(xiàng)正確，限制復(fù)制粘貼是有效防止復(fù)制的方法。

12.C

解析：根據(jù)《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》（PCIDSS）第3.4條，禁止將卡號(hào)存儲(chǔ)在客戶(hù)數(shù)據(jù)庫(kù)中。A選項(xiàng)正確，POS機(jī)應(yīng)進(jìn)行物理防護(hù)；B選項(xiàng)正確，定期更換密碼是安全要求；C選項(xiàng)錯(cuò)誤，存儲(chǔ)卡號(hào)是違規(guī)行為；D選項(xiàng)正確，使用加密通道是安全要求。

13.C

解析：根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2017）第4.3條，層次分析法適用于定性分析。A選項(xiàng)錯(cuò)誤，貝葉斯網(wǎng)絡(luò)是定量分析工具；B選項(xiàng)錯(cuò)誤，關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘技術(shù)；D選項(xiàng)錯(cuò)誤，支持向量機(jī)是機(jī)器學(xué)習(xí)算法。

14.A

解析：根據(jù)我國(guó)《個(gè)人信息保護(hù)法》第5條，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，A選項(xiàng)中未告知用戶(hù)即收集其地理位置信息屬于非法處理。B選項(xiàng)正確，為改進(jìn)產(chǎn)品服務(wù)收集用戶(hù)反饋數(shù)據(jù)是合法處理；C選項(xiàng)正確，向第三方共享用戶(hù)數(shù)據(jù)需獲得同意；D選項(xiàng)正確，匿名化處理后的數(shù)據(jù)不屬于個(gè)人數(shù)據(jù)。

15.B

解析：根據(jù)《信息安全技術(shù)虛擬專(zhuān)用網(wǎng)絡(luò)》（GB/T28448-2012）第6.1條，L2TP/IPsec比其他協(xié)議安全性更高。A選項(xiàng)錯(cuò)誤，PPTP協(xié)議安全性較低；C選項(xiàng)錯(cuò)誤，F(xiàn)TP不屬于VPN協(xié)議；D選項(xiàng)錯(cuò)誤，Telnet協(xié)議安全性極低。

16.D

解析：根據(jù)國(guó)際《網(wǎng)絡(luò)犯罪公約》第1條，網(wǎng)絡(luò)犯罪包括黑客入侵、網(wǎng)絡(luò)詐騙、未經(jīng)授權(quán)訪問(wèn)他人賬戶(hù)等行為。因此正確答案為D。

17.C

解析：根據(jù)《信息安全技術(shù)信息安全審計(jì)規(guī)范》（GB/T28448-2012）第7.2條，數(shù)據(jù)挖掘平臺(tái)最適合用于日志分析。A選項(xiàng)錯(cuò)誤，流程圖軟件用于可視化；B選項(xiàng)錯(cuò)誤，事件查看器是Windows系統(tǒng)工具；D選項(xiàng)錯(cuò)誤，CAD軟件用于設(shè)計(jì)。

18.B

解析：根據(jù)我國(guó)《密碼應(yīng)用安全條例》第8條，核心業(yè)務(wù)系統(tǒng)必須使用商用密碼產(chǎn)品。A選項(xiàng)錯(cuò)誤，內(nèi)部辦公系統(tǒng)等級(jí)較低；C選項(xiàng)錯(cuò)誤，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等級(jí)根據(jù)實(shí)際情況而定；D選項(xiàng)錯(cuò)誤，臨時(shí)演示系統(tǒng)等級(jí)較低。

19.C

解析：根據(jù)《信息安全技術(shù)電子數(shù)據(jù)存儲(chǔ)安全防護(hù)規(guī)范》（GB/T35273-2017）第5.1條，使用加密硬盤(pán)存儲(chǔ)是符合安全規(guī)范的做法。A選項(xiàng)錯(cuò)誤，普通U盤(pán)安全性較低；B選項(xiàng)錯(cuò)誤，個(gè)人電腦存在安全風(fēng)險(xiǎn)；C選項(xiàng)正確；D選項(xiàng)錯(cuò)誤，共享云盤(pán)存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。

20.C

解析：根據(jù)國(guó)際《ISO27001》第6.1.2條，風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理三個(gè)環(huán)節(jié)，其中風(fēng)險(xiǎn)評(píng)估是指確定風(fēng)險(xiǎn)等級(jí)。A選項(xiàng)錯(cuò)誤，制定安全策略屬于風(fēng)險(xiǎn)管理的一部分；B選項(xiàng)錯(cuò)誤，確定風(fēng)險(xiǎn)處理方案屬于風(fēng)險(xiǎn)處理環(huán)節(jié)；D選項(xiàng)錯(cuò)誤，實(shí)施安全控制措施屬于風(fēng)險(xiǎn)處理環(huán)節(jié)。

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.ABCD

解析：根據(jù)《信息安全技術(shù)商業(yè)秘密保護(hù)規(guī)范》（GB/T30976.1-2014）第4.1條，企業(yè)制定保密制度必須包含商業(yè)秘密的定義及范圍、員工保密責(zé)任、保密協(xié)議簽署流程、違規(guī)處罰措施。E選項(xiàng)雖然重要，但不是保密制度的核心內(nèi)容。

22.ABD

解析：根據(jù)我國(guó)《數(shù)據(jù)安全法》第19條，數(shù)據(jù)出境、數(shù)據(jù)庫(kù)擴(kuò)容、數(shù)據(jù)共享可能危害國(guó)家安全、公共利益的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。A選項(xiàng)正確；B選項(xiàng)正確；C選項(xiàng)錯(cuò)誤，數(shù)據(jù)銷(xiāo)毀不屬于安全評(píng)估范圍；D選項(xiàng)正確；E選項(xiàng)錯(cuò)誤，數(shù)據(jù)備份不屬于安全評(píng)估范圍。

23.ABCD

解析：根據(jù)《信息安全技術(shù)電子文檔安全防護(hù)規(guī)范》（GB/T35273-2017）第6.2條，設(shè)置訪問(wèn)密碼、添加水印、文件加密、限制復(fù)制粘貼都能有效防止內(nèi)容被非法復(fù)制。E選項(xiàng)錯(cuò)誤，文件壓縮不能防止復(fù)制。

24.ABCDE

解析：根據(jù)國(guó)際《GDPR》第6條，收集用戶(hù)位置信息、發(fā)送營(yíng)銷(xiāo)郵件、分析用戶(hù)瀏覽記錄、向第三方共享用戶(hù)數(shù)據(jù)、使用用戶(hù)數(shù)據(jù)進(jìn)行自動(dòng)化決策都需要獲得用戶(hù)明確同意。因此正確答案為ABCDE。

25.ABCD

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全設(shè)備配置規(guī)范》（GB/T34320-2017）第4.1條，防火墻、入侵檢測(cè)系統(tǒng)、防病毒軟件、VPN設(shè)備都是常見(jiàn)的網(wǎng)絡(luò)安全設(shè)備。E選項(xiàng)錯(cuò)誤，數(shù)據(jù)備份服務(wù)器不屬于網(wǎng)絡(luò)安全設(shè)備。

26.ABC

解析：根據(jù)我國(guó)《密碼法》第2條，商用密碼產(chǎn)品是指符合國(guó)家密碼標(biāo)準(zhǔn)的密碼產(chǎn)品，加密硬盤(pán)、安全芯片、加密電話屬于商用密碼產(chǎn)品。A選項(xiàng)正確；B選項(xiàng)正確；C選項(xiàng)正確；D選項(xiàng)錯(cuò)誤，智能門(mén)鎖不屬于商用密碼產(chǎn)品；E選項(xiàng)錯(cuò)誤，加密U盤(pán)不屬于商用密碼產(chǎn)品。

27.AB

解析：根據(jù)《信息安全意識(shí)教育指南》（GB/T29490-2012）第5.1條，描述“每年約有90%的數(shù)據(jù)泄露源于內(nèi)部人員操作失誤”和“黑客平均在20分鐘內(nèi)就能突破企業(yè)防線”的場(chǎng)景最能引起員工重視。A選項(xiàng)正確；B選項(xiàng)正確；C選項(xiàng)錯(cuò)誤，數(shù)據(jù)量較大，但未突出內(nèi)部因素；D選項(xiàng)錯(cuò)誤，與員工行為無(wú)關(guān)；E選項(xiàng)錯(cuò)誤，與員工行為無(wú)關(guān)。

28.ABD

解析：根據(jù)《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》（PCIDSS）第3條，對(duì)POS機(jī)進(jìn)行物理防護(hù)、定期更換POS機(jī)密碼、使用加密通道傳輸交易數(shù)據(jù)是必須實(shí)施的措施。A選項(xiàng)正確；B選項(xiàng)正確；C選項(xiàng)錯(cuò)誤，禁止存儲(chǔ)卡號(hào)；D選項(xiàng)正確；E選項(xiàng)錯(cuò)誤，安全培訓(xùn)是建議措施。

29.AC

解析：根據(jù)《信息安全技術(shù)電子數(shù)據(jù)存儲(chǔ)安全防護(hù)規(guī)范》（GB/T35273-2017）第5.1條，使用加密硬盤(pán)存儲(chǔ)、使用加密云存儲(chǔ)服務(wù)是符合安全規(guī)范的做法。A選項(xiàng)正確；B選項(xiàng)錯(cuò)誤，個(gè)人電腦存在安全風(fēng)險(xiǎn)；C選項(xiàng)正確；D選項(xiàng)錯(cuò)誤，共享云盤(pán)存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；E選項(xiàng)錯(cuò)誤，物理隔離不是唯一安全措施。

30.ABCD

解析：根據(jù)國(guó)際《ISO27001》第6.1.2條，風(fēng)險(xiǎn)管理包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和風(fēng)險(xiǎn)監(jiān)控四個(gè)環(huán)節(jié)。因此正確答案為ABCD。

三、判斷題（共10分，每題0.5分）

31.×

解析：根據(jù)《信息安全技術(shù)商業(yè)秘密保護(hù)規(guī)范》（GB/T30976.1-2014）第4.1條，企業(yè)制定保密制度必須明確商業(yè)秘密的定義及范圍，但不需要包含辦公設(shè)備使用規(guī)范。

32.×

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）第3.1條，等級(jí)保護(hù)測(cè)評(píng)適用于網(wǎng)絡(luò)等級(jí)保護(hù)三級(jí)及以上系統(tǒng)，并非所有信息系統(tǒng)都應(yīng)強(qiáng)制進(jìn)行等級(jí)保護(hù)測(cè)評(píng)。

33.×

解析：根據(jù)密碼學(xué)原理，AES-128比DES安全性高。培訓(xùn)中強(qiáng)調(diào)AES-128在現(xiàn)代應(yīng)用中具有較高的安全性。因此本題說(shuō)法錯(cuò)誤。

34.×

解析：根據(jù)國(guó)際《GDPR》第5條，收集用戶(hù)數(shù)據(jù)前必須基于合法性基礎(chǔ)，如用戶(hù)同意，因此未告知用戶(hù)即收集其地理位置信息屬于非法數(shù)據(jù)收集。

35.×

解析：根據(jù)《信息安全技術(shù)勒索軟件防護(hù)指南》（GB/T36305-2018）第4.1條，勒索軟件攻擊后應(yīng)立即隔離受感染系統(tǒng)，防止攻擊擴(kuò)散，因此首要的應(yīng)對(duì)步驟是隔離受感染系統(tǒng)，而不是支付贖金。

36.×

解析：根據(jù)我國(guó)《密碼法》第2條，商用密碼產(chǎn)品是指符合國(guó)家密碼標(biāo)準(zhǔn)的密碼產(chǎn)品，普通U盤(pán)不屬于商用密碼產(chǎn)品。

37.×

解析：根據(jù)《信息安全意識(shí)教育指南》（GB/T29490-2012）第5.1條，描述“黑客平均在20分鐘內(nèi)就能突破企業(yè)防線”的場(chǎng)景雖然嚴(yán)重，但不如數(shù)據(jù)泄露常見(jiàn)，因此不一定最能引起員工重視。

38.×

解析：根據(jù)國(guó)際《COPPA》第2條，收集13歲以下兒童姓名信息需獲得家長(zhǎng)同意，因此未獲得家長(zhǎng)同意即收集13歲以下兒童的姓名信息屬于非法數(shù)據(jù)收集。

39.×

解析：根據(jù)《信息安全技術(shù)商業(yè)秘密保護(hù)規(guī)范》（GB/T30976.1-2014）第4.1條，企業(yè)制定保密制度必須明確商業(yè)秘密的定義及范圍，但不需要包含員工績(jī)效考核標(biāo)準(zhǔn)。

40.√

解析：根據(jù)我國(guó)《數(shù)據(jù)安全法》第19條，數(shù)據(jù)處理活動(dòng)可能危害國(guó)家安全、公共利益的，應(yīng)當(dāng)進(jìn)行安全評(píng)估，內(nèi)部數(shù)據(jù)備份通常不涉及國(guó)家安全或公共利益，因此無(wú)需進(jìn)行安全評(píng)估。

41.×

解析：根據(jù)《信息安全技術(shù)電子文檔安全防護(hù)規(guī)范》（GB/T35273-2017）第6.2條，添加水印只能起到法律威懾作用，不能有效防止內(nèi)容被非法復(fù)制。

42.×

解析：根據(jù)國(guó)際《GDPR》第6條，數(shù)據(jù)收集必須基于合法性基礎(chǔ)，如用戶(hù)同意，因此企業(yè)只需在用戶(hù)注冊(cè)時(shí)明確告知數(shù)據(jù)用途并獲取同意是不夠的。

43.×

解析：根據(jù)《信息安全技術(shù)虛擬專(zhuān)用網(wǎng)絡(luò)》（GB/T28448-2012）第6.1條，L2TP/IPsec比其他協(xié)議安全性更高，PPTP協(xié)議安全性較低。

44.√

解析：根據(jù)國(guó)際《網(wǎng)絡(luò)犯罪公約》第1條，網(wǎng)絡(luò)犯罪包括網(wǎng)絡(luò)詐騙等行為，因此網(wǎng)絡(luò)詐騙屬于網(wǎng)絡(luò)犯罪。

45.×

解析：根據(jù)《信息安全技術(shù)信息安全審計(jì)規(guī)范》（GB/T28448-2012）第7.2條，事件查看器是Windows系統(tǒng)工具，不適合用于日志分析，數(shù)據(jù)挖掘平臺(tái)更適合用于日志分析。

四、填空題（共10空，每空1分，共10分）

41.商用密碼產(chǎn)品

解析：根據(jù)我國(guó)《密碼法》第2條，商用密碼產(chǎn)品是指符合國(guó)家密碼標(biāo)準(zhǔn)的密碼產(chǎn)品，其核心要素是商用密碼產(chǎn)品。

42.防止數(shù)據(jù)泄露

解析：根據(jù)培訓(xùn)內(nèi)容，防止數(shù)據(jù)泄露是處理敏感數(shù)據(jù)的關(guān)鍵措施，主要通過(guò)加密、訪問(wèn)控制、安全審計(jì)等方法實(shí)現(xiàn)。

43.用戶(hù)同意

解析：根據(jù)國(guó)際《GDPR》第6條，數(shù)據(jù)收集必須基于合法性基礎(chǔ)，如用戶(hù)同意，因此企業(yè)收集用戶(hù)數(shù)據(jù)前必須獲得用戶(hù)同意。

44.隔離受感染系統(tǒng)

解析：根據(jù)《信息安全技術(shù)勒索軟件防護(hù)指南》（GB/T36305-2018）第4.1條，勒索軟件攻擊后應(yīng)立即隔離受感染系統(tǒng)，防止攻擊擴(kuò)散，因此首要的應(yīng)對(duì)步驟是隔離受感染系統(tǒng)。

45.數(shù)據(jù)分類(lèi)分級(jí)保護(hù)

解析：根據(jù)我國(guó)《數(shù)據(jù)安全法》第19條，數(shù)據(jù)處理活動(dòng)可能危害國(guó)家安全、公共利益的，應(yīng)當(dāng)進(jìn)行安全評(píng)估，這體現(xiàn)了數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的原則。

46.限制復(fù)制粘貼

解析：根據(jù)《信息安全技術(shù)電子文檔安全防護(hù)規(guī)范》（GB/T35273-2017）第6.2條，限制復(fù)制粘貼能有效防止內(nèi)容被非法復(fù)制。

47.信息安全管理體系

解析：根據(jù)國(guó)際《ISO27001》標(biāo)準(zhǔn)，信息安全管理體系（ISMS）是信息安全管理的核心要素，包括安全策略、組織結(jié)構(gòu)、流程和資源等。

48.風(fēng)險(xiǎn)發(fā)生的可能性

解析：根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2017）第4.3條，風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)發(fā)生的可能性和影響程度兩個(gè)維度，其中風(fēng)險(xiǎn)發(fā)生的可能性是指風(fēng)險(xiǎn)發(fā)生的概率。

49.合法、正當(dāng)、必要

解析：根據(jù)我國(guó)《個(gè)人信息保護(hù)法》第5條，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，這是處理個(gè)人信息的基本原則。

50.防火墻

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全設(shè)備配置規(guī)范》（GB/T34320-2017）第4.1條，防火墻是防止外部攻擊的第一道防線，主要用于控制網(wǎng)絡(luò)流量。

五、簡(jiǎn)答題（共3題，每題5分，共15分）

51.答：企業(yè)在制定保密制度時(shí)應(yīng)遵循以下原則：

①明確性原則：明確商業(yè)秘密的定義及范圍，避免模糊不清。

②合法性原則：符合國(guó)家相關(guān)法律法規(guī)要求。

③完整性原則：覆蓋企業(yè)所有涉密信息及處理環(huán)節(jié)。

④可操作性原則：措施具體可行，便于執(zhí)行。

⑤動(dòng)態(tài)性原則：根據(jù)實(shí)際情況及時(shí)更新完善。

根據(jù)培訓(xùn)內(nèi)容，保密制度是企業(yè)信息安全管理的核心內(nèi)容，必須認(rèn)真制定和執(zhí)行。

52.答：企業(yè)在處理敏感數(shù)據(jù)時(shí)應(yīng)采取以下安全措施：

①數(shù)據(jù)分類(lèi)分級(jí)：根據(jù)數(shù)據(jù)敏感性進(jìn)行分類(lèi)分級(jí)，采取差異化保護(hù)措施。

②數(shù)據(jù)加密：對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸。

③訪問(wèn)控制：嚴(yán)格控制數(shù)據(jù)訪問(wèn)權(quán)限，實(shí)施最小權(quán)限原則。

④安全審計(jì)：對(duì)數(shù)據(jù)訪問(wèn)和處理進(jìn)行監(jiān)控和審計(jì)。

⑤數(shù)據(jù)脫敏：對(duì)非必要場(chǎng)景下的數(shù)據(jù)進(jìn)行脫敏處理。

根據(jù)培訓(xùn)內(nèi)容，敏感數(shù)據(jù)處理是企業(yè)信息安全管理的重要環(huán)節(jié)，必須嚴(yán)格把控。

53.答：企業(yè)在進(jìn)行安全意識(shí)培訓(xùn)時(shí)應(yīng)重點(diǎn)關(guān)注以下方面：

①信息安全法律法規(guī)：讓員工了解相關(guān)法律法規(guī)要求。

②安全管理制度：讓員工掌握企業(yè)安全管理制度。

③安全操作技能：讓員工掌握安全操作技能，避免誤操作。

④案例分析：通過(guò)真實(shí)案例分析，提高員工安全意識(shí)。

⑤責(zé)任意識(shí)：讓員工明確自身信息安全責(zé)任。

根據(jù)培訓(xùn)內(nèi)容，安全意識(shí)是企業(yè)信息安全管理的基礎(chǔ)，必須持續(xù)加強(qiáng)。

六、案例分析題（共1題，共25分）

案例背景：

某制造企業(yè)A公司擁有大量核心技術(shù)圖紙和客戶(hù)數(shù)據(jù)，但由于缺乏專(zhuān)業(yè)的安全管理人員，長(zhǎng)期使用普通U盤(pán)存儲(chǔ)和傳輸涉密文件，且員工安全意識(shí)薄弱，經(jīng)常在公共場(chǎng)合討論敏感信息。2023年10月，該公司部分U盤(pán)被盜，導(dǎo)致5項(xiàng)核心技術(shù)圖紙泄露，造成直接經(jīng)濟(jì)損失200萬(wàn)元。事件發(fā)生后，公司管理層意識(shí)到信息安全的重要性，決定加強(qiáng)安全防護(hù)措施。

問(wèn)題：

1.分析該案例中存在哪些主要安全問(wèn)題？（5分）

答：該案例中存在以下主要安全問(wèn)題：

①數(shù)據(jù)存儲(chǔ)安全風(fēng)險(xiǎn)：使用普通U盤(pán)存儲(chǔ)和傳輸涉密文件，存在物理安全風(fēng)險(xiǎn)。

②員工安全意識(shí)薄弱：?jiǎn)T工經(jīng)常在公共場(chǎng)合討論敏感信息，存在信息泄露風(fēng)險(xiǎn)。

③缺乏專(zhuān)業(yè)安全管理：企業(yè)缺乏專(zhuān)業(yè)的安全管理人員，導(dǎo)致安全管理制度不完善。

④數(shù)據(jù)分類(lèi)分級(jí)不到位：未對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，導(dǎo)致保護(hù)措施不差異化。

⑤安全審計(jì)缺失：未對(duì)數(shù)據(jù)訪問(wèn)和處理進(jìn)行監(jiān)控和審計(jì)，無(wú)法及時(shí)發(fā)現(xiàn)異常。

2.針對(duì)該案例中的安全問(wèn)題，提出具體的安全改進(jìn)措施。（10分）

答：針對(duì)該案例中的安全問(wèn)題，可采取以下安全改進(jìn)措施：

①數(shù)據(jù)存儲(chǔ)安全：使用加密硬盤(pán)、加密云存儲(chǔ)服務(wù)存儲(chǔ)和傳輸涉密文件，并對(duì)存儲(chǔ)設(shè)備進(jìn)行物理隔離。

②員工安全意識(shí)：加強(qiáng)安全意識(shí)培訓(xùn)，提高員工安全意識(shí)，明確保密責(zé)任。

③專(zhuān)業(yè)安全管理：聘請(qǐng)專(zhuān)業(yè)的安全管理人員，完善安全管理制度。

④數(shù)據(jù)分類(lèi)分級(jí)：對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，采取差異化保護(hù)措施。

⑤安全審計(jì)：對(duì)數(shù)據(jù)訪問(wèn)和處理進(jìn)行監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)異常。

⑥技術(shù)防護(hù)：部署防火墻、入侵檢測(cè)系統(tǒng)等安全設(shè)備，加強(qiáng)技術(shù)防護(hù)。

⑦應(yīng)急預(yù)案：制定信息安全應(yīng)急預(yù)案，及時(shí)應(yīng)對(duì)安全事件。

3.總結(jié)該案例對(duì)企業(yè)信息安全管理的啟示。（10分）

答：該案例對(duì)企業(yè)信息安全管理有以下啟示：

①信息安全是企業(yè)管理的重要組成部分，必須高度重視。

②安全管理制度必須完善，并嚴(yán)格執(zhí)行。

③員工安全意識(shí)是基礎(chǔ)，必須持續(xù)加強(qiáng)。

④數(shù)據(jù)分類(lèi)分級(jí)是關(guān)鍵，必須科學(xué)合理。

⑤技術(shù)防護(hù)是手段，必須不斷升級(jí)。

⑥應(yīng)急預(yù)案是保障，必須及時(shí)完善。

⑦信息安全需要全員參與，形成安全文化。

參考答案及解析

一、單選題（共20分）

1.B

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）第6.2條，涉密文件傳輸應(yīng)使用加密通道或?qū)Ｓ脗鬏斚到y(tǒng)，因此使用內(nèi)部加密系統(tǒng)傳輸是符合保密規(guī)范的。A選項(xiàng)錯(cuò)誤，公共郵箱缺乏加密保護(hù)；C選項(xiàng)錯(cuò)誤，快遞寄送存在物理安全風(fēng)險(xiǎn)；D選項(xiàng)錯(cuò)誤，公共場(chǎng)合討論敏感信息存在信息泄露風(fēng)險(xiǎn)。

2.B

解析：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)