2025年數(shù)據(jù)安全知識(shí)試題及答案一、單項(xiàng)選擇題（每題2分，共30分）1.根據(jù)《數(shù)據(jù)安全法》修訂草案（2024年征求意見(jiàn)稿），關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，確需向境外提供的，應(yīng)當(dāng)通過(guò)（）安全評(píng)估。A.國(guó)家網(wǎng)信部門組織的B.行業(yè)主管部門自行開(kāi)展的C.第三方機(jī)構(gòu)獨(dú)立實(shí)施的D.省級(jí)數(shù)據(jù)安全監(jiān)管部門備案的答案：A2.某醫(yī)療平臺(tái)擬對(duì)患者診療數(shù)據(jù)進(jìn)行匿名化處理后用于醫(yī)學(xué)研究，以下哪項(xiàng)操作不符合“匿名化”技術(shù)要求？A.移除直接標(biāo)識(shí)符（如姓名、身份證號(hào)）B.對(duì)年齡、疾病類型進(jìn)行泛化處理（如將“35歲”標(biāo)注為“30-40歲”）C.保留住院號(hào)作為數(shù)據(jù)關(guān)聯(lián)標(biāo)識(shí)D.增加干擾數(shù)據(jù)（如隨機(jī)插入虛構(gòu)的診療記錄）答案：C（匿名化要求數(shù)據(jù)無(wú)法被復(fù)原識(shí)別，保留住院號(hào)可能導(dǎo)致通過(guò)關(guān)聯(lián)其他信息重新識(shí)別主體）3.依據(jù)《個(gè)人信息保護(hù)法》及配套規(guī)則，處理敏感個(gè)人信息時(shí)，除取得個(gè)人單獨(dú)同意外，還需（）。A.進(jìn)行數(shù)據(jù)安全影響評(píng)估并形成報(bào)告B.向省級(jí)網(wǎng)信部門備案處理方案C.告知個(gè)人處理的具體用途、方式和范圍D.委托第三方機(jī)構(gòu)驗(yàn)證處理過(guò)程合規(guī)性答案：A（敏感個(gè)人信息處理需同時(shí)滿足單獨(dú)同意和安全影響評(píng)估）4.某金融機(jī)構(gòu)發(fā)現(xiàn)客戶交易數(shù)據(jù)泄露風(fēng)險(xiǎn)，需啟動(dòng)數(shù)據(jù)安全事件應(yīng)急預(yù)案。根據(jù)《數(shù)據(jù)安全法》，其向有關(guān)主管部門報(bào)告的時(shí)限應(yīng)為（）。A.知悉事件后24小時(shí)內(nèi)B.事件發(fā)生后48小時(shí)內(nèi)C.采取補(bǔ)救措施后3個(gè)工作日內(nèi)D.確定泄露范圍后72小時(shí)內(nèi)答案：A（法律要求“及時(shí)報(bào)告”，實(shí)踐中通常界定為24小時(shí)內(nèi)）5.以下哪項(xiàng)不屬于數(shù)據(jù)分類分級(jí)的核心依據(jù)？A.數(shù)據(jù)涉及的主體數(shù)量B.數(shù)據(jù)泄露可能造成的危害程度C.數(shù)據(jù)的產(chǎn)生頻率和存儲(chǔ)周期D.數(shù)據(jù)對(duì)組織業(yè)務(wù)的關(guān)鍵程度答案：C（分類分級(jí)主要關(guān)注數(shù)據(jù)的敏感性和影響，存儲(chǔ)周期屬于數(shù)據(jù)生命周期管理范疇）6.某企業(yè)采用聯(lián)邦學(xué)習(xí)技術(shù)聯(lián)合多家機(jī)構(gòu)訓(xùn)練AI模型，需共享模型參數(shù)而非原始數(shù)據(jù)。這種場(chǎng)景下，核心數(shù)據(jù)安全風(fēng)險(xiǎn)是（）。A.參數(shù)反向工程導(dǎo)致原始數(shù)據(jù)泄露B.模型訓(xùn)練結(jié)果偏差過(guò)大C.參與方計(jì)算資源分配不均D.數(shù)據(jù)傳輸過(guò)程中的網(wǎng)絡(luò)攻擊答案：A（聯(lián)邦學(xué)習(xí)的關(guān)鍵風(fēng)險(xiǎn)是通過(guò)參數(shù)分析復(fù)原原始數(shù)據(jù)）7.依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，數(shù)據(jù)處理者向境外提供數(shù)據(jù)時(shí)，以下哪種情形無(wú)需申報(bào)評(píng)估？A.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)出境B.處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)出境C.自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息的數(shù)據(jù)出境D.金融行業(yè)因跨境業(yè)務(wù)需要定期傳輸客戶交易記錄答案：D（D項(xiàng)未達(dá)到評(píng)估觸發(fā)條件，需結(jié)合具體行業(yè)規(guī)則判斷）8.數(shù)據(jù)安全審計(jì)的核心目標(biāo)是（）。A.驗(yàn)證數(shù)據(jù)加密算法的強(qiáng)度B.確保數(shù)據(jù)處理活動(dòng)符合法律法規(guī)和內(nèi)部制度C.評(píng)估數(shù)據(jù)存儲(chǔ)設(shè)備的物理安全性D.統(tǒng)計(jì)數(shù)據(jù)存儲(chǔ)空間的使用效率答案：B（審計(jì)重點(diǎn)是合規(guī)性檢查）9.某電商平臺(tái)擬對(duì)用戶行為數(shù)據(jù)進(jìn)行脫敏處理，以下脫敏方法中，屬于“不可逆脫敏”的是（）。A.對(duì)手機(jī)號(hào)進(jìn)行部分隱藏（如1381234）B.用哈希算法對(duì)用戶ID進(jìn)行轉(zhuǎn)換（如SHA-256）C.對(duì)收貨地址進(jìn)行區(qū)域泛化（如將“北京市朝陽(yáng)區(qū)”改為“北京市”）D.用隨機(jī)數(shù)替換用戶消費(fèi)金額（保持統(tǒng)計(jì)分布不變）答案：B（哈希算法在無(wú)密鑰情況下無(wú)法還原原始數(shù)據(jù)，屬于不可逆）10.根據(jù)《數(shù)據(jù)安全管理認(rèn)證規(guī)則》，數(shù)據(jù)安全管理體系（DSMS）認(rèn)證的核心依據(jù)是（）。A.GB/T35273《信息安全技術(shù)個(gè)人信息安全規(guī)范》B.GB/T39735《信息安全技術(shù)數(shù)據(jù)安全管理規(guī)范》C.ISO/IEC27001《信息安全管理體系要求》D.《網(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”答案：B（DSMS認(rèn)證直接依據(jù)GB/T39735）11.某高校在科研合作中需向境外機(jī)構(gòu)提供學(xué)生科研數(shù)據(jù)，以下哪項(xiàng)是合規(guī)前提？A.學(xué)生已明確同意數(shù)據(jù)出境B.數(shù)據(jù)已通過(guò)去標(biāo)識(shí)化處理且無(wú)法復(fù)原C.合作協(xié)議中約定境外機(jī)構(gòu)僅用于科研目的D.向省級(jí)教育主管部門備案數(shù)據(jù)出境計(jì)劃答案：B（去標(biāo)識(shí)化數(shù)據(jù)不屬于個(gè)人信息，無(wú)需單獨(dú)同意）12.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的“殘余風(fēng)險(xiǎn)”是指（）。A.未被識(shí)別到的潛在風(fēng)險(xiǎn)B.采取控制措施后仍存在的風(fēng)險(xiǎn)C.由第三方合作方引入的風(fēng)險(xiǎn)D.因技術(shù)更新淘汰產(chǎn)生的新風(fēng)險(xiǎn)答案：B（殘余風(fēng)險(xiǎn)是控制后的剩余風(fēng)險(xiǎn)）13.以下哪項(xiàng)屬于數(shù)據(jù)安全技術(shù)措施中的“訪問(wèn)控制”？A.對(duì)數(shù)據(jù)庫(kù)進(jìn)行異地容災(zāi)備份B.設(shè)置賬戶登錄的IP地址白名單C.定期掃描系統(tǒng)漏洞并修復(fù)D.對(duì)傳輸中的數(shù)據(jù)進(jìn)行AES-256加密答案：B（IP白名單屬于訪問(wèn)控制的身份驗(yàn)證環(huán)節(jié)）14.某物流企業(yè)因系統(tǒng)漏洞導(dǎo)致10萬(wàn)條快遞運(yùn)單信息泄露，運(yùn)單包含收件人姓名、電話、地址。根據(jù)《個(gè)人信息保護(hù)法》，監(jiān)管部門可對(duì)其處以最高（）的罰款。A.200萬(wàn)元B.上一年度營(yíng)業(yè)額5%C.500萬(wàn)元D.違法所得10倍答案：B（法律規(guī)定最高為上一年度營(yíng)業(yè)額5%或500萬(wàn)元，取其高者）15.數(shù)據(jù)安全治理的“三審機(jī)制”通常指（）。A.數(shù)據(jù)采集審核、數(shù)據(jù)存儲(chǔ)審核、數(shù)據(jù)使用審核B.業(yè)務(wù)部門初審、合規(guī)部門復(fù)審、高層終審C.技術(shù)方案審核、風(fēng)險(xiǎn)評(píng)估審核、法律合規(guī)審核D.數(shù)據(jù)分類審核、分級(jí)標(biāo)注審核、權(quán)限分配審核答案：C（三審一般指技術(shù)、風(fēng)險(xiǎn)、法律維度的審核）二、判斷題（每題1分，共10分。正確填“√”，錯(cuò)誤填“×”）1.數(shù)據(jù)處理者可以將“同意收集個(gè)人信息”作為提供產(chǎn)品或服務(wù)的必要條件，即使該信息與服務(wù)功能無(wú)直接關(guān)聯(lián)。（）答案：×（《個(gè)人信息保護(hù)法》規(guī)定不得強(qiáng)制收集非必要信息）2.去標(biāo)識(shí)化數(shù)據(jù)與匿名化數(shù)據(jù)的本質(zhì)區(qū)別在于前者仍有可能通過(guò)其他信息復(fù)原，后者無(wú)法復(fù)原。（）答案：√3.數(shù)據(jù)安全事件發(fā)生后，只要未造成實(shí)際損失，數(shù)據(jù)處理者無(wú)需向用戶告知。（）答案：×（可能造成危害的需告知，除非告知本身風(fēng)險(xiǎn)更大）4.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)自行開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，不得委托第三方機(jī)構(gòu)。（）答案：×（可委托符合要求的第三方）5.數(shù)據(jù)跨境流動(dòng)時(shí)，通過(guò)簽訂標(biāo)準(zhǔn)合同條款（SCC）即可合規(guī)，無(wú)需額外安全評(píng)估。（）答案：×（需結(jié)合數(shù)據(jù)類型、數(shù)量等判斷是否需要評(píng)估）6.數(shù)據(jù)安全責(zé)任主體只能是數(shù)據(jù)控制者，數(shù)據(jù)處理者不承擔(dān)法律責(zé)任。（）答案：×（處理者在過(guò)錯(cuò)范圍內(nèi)承擔(dān)責(zé)任）7.對(duì)未成年人個(gè)人信息的處理，需取得其父母或其他監(jiān)護(hù)人的同意，且應(yīng)采取更嚴(yán)格的保護(hù)措施。（）答案：√8.數(shù)據(jù)加密后，原數(shù)據(jù)的所有權(quán)和控制權(quán)自動(dòng)轉(zhuǎn)移給加密服務(wù)提供商。（）答案：×（加密不改變數(shù)據(jù)權(quán)屬）9.數(shù)據(jù)安全審計(jì)記錄應(yīng)至少保存6個(gè)月，重要領(lǐng)域需保存更長(zhǎng)時(shí)間。（）答案：×（法律要求至少保存6個(gè)月，關(guān)鍵信息基礎(chǔ)設(shè)施等需保存1年以上）10.企業(yè)內(nèi)部數(shù)據(jù)共享時(shí)，若接收方為同一集團(tuán)下屬公司，可豁免數(shù)據(jù)安全影響評(píng)估。（）答案：×（仍需評(píng)估共享風(fēng)險(xiǎn)）三、簡(jiǎn)答題（每題6分，共30分）1.簡(jiǎn)述數(shù)據(jù)分類分級(jí)的實(shí)施步驟。答案：（1）明確分類分級(jí)目標(biāo)（如合規(guī)、風(fēng)險(xiǎn)管控）；（2）識(shí)別數(shù)據(jù)資產(chǎn)（梳理數(shù)據(jù)類型、來(lái)源、存儲(chǔ)位置）；（3）確定分類維度（如業(yè)務(wù)屬性、主體類型、敏感程度）；（4）制定分級(jí)標(biāo)準(zhǔn)（如核心/重要/一般數(shù)據(jù)，對(duì)應(yīng)高/中/低風(fēng)險(xiǎn)）；（5）標(biāo)注并動(dòng)態(tài)調(diào)整（結(jié)合業(yè)務(wù)變化和風(fēng)險(xiǎn)評(píng)估結(jié)果更新）。2.列舉數(shù)據(jù)安全影響評(píng)估（DSIA）的主要內(nèi)容。答案：（1）數(shù)據(jù)處理的必要性和合法性；（2）數(shù)據(jù)的類型、范圍、數(shù)量及敏感程度；（3）數(shù)據(jù)處理可能對(duì)個(gè)人權(quán)益、組織運(yùn)營(yíng)或國(guó)家安全造成的風(fēng)險(xiǎn)；（4）已采取的安全措施及其有效性；（5）風(fēng)險(xiǎn)應(yīng)對(duì)方案（如補(bǔ)救措施、責(zé)任劃分）；（6）評(píng)估結(jié)論及改進(jìn)建議。3.說(shuō)明“最小必要原則”在數(shù)據(jù)收集環(huán)節(jié)的具體應(yīng)用。答案：（1）僅收集與服務(wù)功能直接相關(guān)的信息（如電商平臺(tái)收集收貨地址，無(wú)需收集學(xué)歷信息）；（2）收集范圍不超過(guò)實(shí)現(xiàn)功能所需的最小范圍（如注冊(cè)時(shí)僅需手機(jī)號(hào)，無(wú)需身份證號(hào)）；（3）收集方式避免過(guò)度（如通過(guò)接口調(diào)用而非全量拷貝）；（4）存儲(chǔ)時(shí)間不超過(guò)必要期限（如交易記錄保存至糾紛處理完畢后即可刪除）。4.簡(jiǎn)述數(shù)據(jù)泄露事件的應(yīng)急處置流程。答案：（1）事件發(fā)現(xiàn)與確認(rèn)（通過(guò)監(jiān)控系統(tǒng)或用戶反饋發(fā)現(xiàn)異常，驗(yàn)證泄露范圍和數(shù)據(jù)類型）；（2）啟動(dòng)應(yīng)急預(yù)案（通知應(yīng)急小組，隔離受影響系統(tǒng)）；（3）控制泄露源（修復(fù)漏洞、凍結(jié)相關(guān)賬戶、終止非法訪問(wèn)）；（4）評(píng)估影響（分析泄露數(shù)據(jù)的敏感程度、可能造成的危害）；（5）通知相關(guān)方（用戶、監(jiān)管部門、合作方，告知補(bǔ)救措施）；（6）事后整改（復(fù)盤原因，完善安全措施，開(kāi)展內(nèi)部培訓(xùn)）。5.對(duì)比“數(shù)據(jù)脫敏”與“數(shù)據(jù)加密”的區(qū)別。答案：（1）目的不同：脫敏用于非授權(quán)場(chǎng)景下防止數(shù)據(jù)泄露（如對(duì)外提供測(cè)試數(shù)據(jù)），加密用于授權(quán)場(chǎng)景下保護(hù)數(shù)據(jù)隱私（如傳輸存儲(chǔ)）；（2）可逆性不同：脫敏通常不可逆（如哈希、泛化），加密可逆（需密鑰解密）；（3）應(yīng)用場(chǎng)景不同：脫敏用于數(shù)據(jù)輸出，加密用于數(shù)據(jù)傳輸存儲(chǔ)；（4）技術(shù)手段不同：脫敏包括替換、隱藏、亂序等，加密使用對(duì)稱/非對(duì)稱算法。四、案例分析題（每題15分，共30分）案例1：某社交平臺(tái)因服務(wù)器被攻擊，導(dǎo)致500萬(wàn)用戶的賬號(hào)信息（含用戶名、密碼哈希值、綁定手機(jī)號(hào)）泄露。經(jīng)調(diào)查，平臺(tái)未對(duì)密碼哈希值進(jìn)行鹽值（salt）處理，且未及時(shí)啟用登錄異常監(jiān)測(cè)功能。問(wèn)題：（1）分析平臺(tái)在數(shù)據(jù)安全保護(hù)中的違規(guī)點(diǎn)；（2）提出整改建議。答案：（1）違規(guī)點(diǎn)：①未采取足夠強(qiáng)度的密碼保護(hù)措施（未使用鹽值哈希，增加了彩虹表破解風(fēng)險(xiǎn)）；②未履行監(jiān)測(cè)義務(wù)（未及時(shí)發(fā)現(xiàn)登錄異常，違反《數(shù)據(jù)安全法》第二十一條“監(jiān)測(cè)、記錄數(shù)據(jù)安全事件”要求）；③可能違反《個(gè)人信息保護(hù)法》關(guān)于“采取加密等安全技術(shù)措施”的規(guī)定。（2）整改建議：①優(yōu)化密碼存儲(chǔ)方案，采用“鹽值+PBKDF2/BCrypt”等慢哈希算法；②部署實(shí)時(shí)異常登錄監(jiān)測(cè)系統(tǒng)（如基于行為分析的AI模型）；③開(kāi)展數(shù)據(jù)安全影響評(píng)估，重點(diǎn)評(píng)估用戶信息存儲(chǔ)和傳輸環(huán)節(jié)的風(fēng)險(xiǎn)；④向用戶告知泄露情況并提示修改密碼，對(duì)受影響用戶提供身份驗(yàn)證增強(qiáng)服務(wù)（如短信驗(yàn)證碼、二次認(rèn)證）；⑤完善應(yīng)急預(yù)案，定期進(jìn)行滲透測(cè)試和漏洞掃描。案例2：某跨國(guó)車企擬將中國(guó)境內(nèi)收集的用戶車輛行駛數(shù)據(jù)（含位置軌跡、駕駛習(xí)慣）傳輸至境外總部用于自動(dòng)駕駛算法訓(xùn)練。已知該車企在中國(guó)境內(nèi)運(yùn)營(yíng)的關(guān)鍵信息基礎(chǔ)設(shè)施涉及車聯(lián)網(wǎng)系統(tǒng)，2024年在中國(guó)境內(nèi)處理的個(gè)人信息數(shù)量為120萬(wàn)人。問(wèn)題：（1）判斷數(shù)據(jù)出境是否需要申報(bào)安全評(píng)估，并說(shuō)明依據(jù)；（2）若需評(píng)估，應(yīng)提交哪些材料？答案：（1）需要申報(bào)安全評(píng)估。依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》第四條：①關(guān)鍵信息基礎(chǔ)設(shè)施