企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估咨詢師崗位招聘考試試卷及答案一、填空題（共10題，每題1分）1.企業(yè)數(shù)據(jù)分類中，涉及核心商業(yè)機(jī)密的通常屬于______級(jí)別。2.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的核心要素包括資產(chǎn)識(shí)別、威脅評(píng)估、______和風(fēng)險(xiǎn)處置。3.我國網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中，數(shù)據(jù)安全屬于______級(jí)安全要求。4.GDPR對(duì)數(shù)據(jù)泄露的處罰上限為全球年收入的______%或2000萬歐元（取高者）。5.風(fēng)險(xiǎn)矩陣的兩個(gè)核心維度是影響程度和______。6.常用的漏洞掃描工具之一是______（舉1例即可）。7.未經(jīng)授權(quán)獲取、披露企業(yè)數(shù)據(jù)的行為稱為______。8.隱私保護(hù)的基本原則之一是______（如最小必要）。9.風(fēng)險(xiǎn)處置的措施包括規(guī)避、降低、轉(zhuǎn)移和______。10.企業(yè)數(shù)據(jù)安全評(píng)估的常規(guī)周期一般不超過______年。二、單項(xiàng)選擇題（共10題，每題2分）1.下列不屬于數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估核心要素的是？A.資產(chǎn)識(shí)別B.威脅評(píng)估C.漏洞分析D.性能測(cè)試2.等保2.0中，數(shù)據(jù)安全屬于第幾級(jí)安全要求？A.1B.2C.3D.43.GDPR中數(shù)據(jù)主體的權(quán)利不包括？A.訪問權(quán)B.刪除權(quán)C.修改權(quán)D.所有權(quán)4.風(fēng)險(xiǎn)矩陣中“高影響高可能性”屬于______風(fēng)險(xiǎn)等級(jí)？A.重大B.較大C.一般D.低5.數(shù)據(jù)泄露應(yīng)急響應(yīng)第一步是？A.遏制B.檢測(cè)C.恢復(fù)D.報(bào)告6.常用漏洞掃描工具是？A.NessusB.ExcelC.PhotoshopD.Word7.企業(yè)核心商業(yè)機(jī)密數(shù)據(jù)屬于______級(jí)別？A.絕密B.機(jī)密C.秘密D.內(nèi)部8.資產(chǎn)價(jià)值計(jì)算不包括？A.物理價(jià)值B.市場(chǎng)價(jià)值C.聲譽(yù)價(jià)值D.使用頻率9.GDPR要求數(shù)據(jù)泄露后______小時(shí)內(nèi)上報(bào)？A.72B.24C.48D.1210.下列屬于數(shù)據(jù)安全風(fēng)險(xiǎn)的是？A.硬件故障B.網(wǎng)絡(luò)攻擊C.數(shù)據(jù)篡改D.以上都是三、多項(xiàng)選擇題（共10題，每題2分）1.數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估步驟包括？A.資產(chǎn)識(shí)別B.威脅識(shí)別C.漏洞分析D.風(fēng)險(xiǎn)處置E.性能優(yōu)化2.數(shù)據(jù)合規(guī)要求包括？A.等保2.0B.GDPRC.個(gè)人信息保護(hù)法D.PCIDSSE.ISO270013.風(fēng)險(xiǎn)矩陣核心維度是？A.影響程度B.可能性C.資產(chǎn)價(jià)值D.漏洞數(shù)量E.威脅類型4.數(shù)據(jù)泄露常見原因包括？A.內(nèi)部誤操作B.黑客攻擊C.系統(tǒng)漏洞D.設(shè)備丟失E.軟件更新5.隱私保護(hù)原則包括？A.最小必要B.目的限制C.透明公開D.權(quán)責(zé)一致E.免費(fèi)使用6.風(fēng)險(xiǎn)處置措施包括？A.規(guī)避B.降低C.轉(zhuǎn)移D.接受E.忽略7.等保2.0數(shù)據(jù)安全子要求包括？A.分類分級(jí)B.傳輸安全C.存儲(chǔ)安全D.數(shù)據(jù)銷毀E.系統(tǒng)備份8.常用風(fēng)險(xiǎn)評(píng)估方法包括？A.德爾菲法B.故障樹法C.風(fēng)險(xiǎn)矩陣法D.SWOT法E.成本效益法9.風(fēng)險(xiǎn)評(píng)估輸出文檔包括？A.風(fēng)險(xiǎn)報(bào)告B.資產(chǎn)清單C.漏洞清單D.處置計(jì)劃E.員工手冊(cè)10.數(shù)據(jù)安全責(zé)任主體包括？A.數(shù)據(jù)所有者B.數(shù)據(jù)管理員C.安全運(yùn)維D.法定代表人E.普通員工四、判斷題（共10題，每題2分）1.數(shù)據(jù)安全評(píng)估只需關(guān)注外部威脅，無需內(nèi)部風(fēng)險(xiǎn)。（）2.等保2.0要求所有企業(yè)必須開展數(shù)據(jù)安全評(píng)估。（）3.GDPR數(shù)據(jù)泄露處罰上限為年收入4%或2000萬歐元（取高）。（）4.風(fēng)險(xiǎn)矩陣“低影響低可能性”屬于可接受風(fēng)險(xiǎn)。（）5.數(shù)據(jù)分類分級(jí)是風(fēng)險(xiǎn)評(píng)估的前提。（）6.個(gè)人信息保護(hù)法要求收集時(shí)明確告知用途。（）7.漏洞掃描可完全替代滲透測(cè)試。（）8.數(shù)據(jù)銷毀方法包括物理銷毀和邏輯銷毀。（）9.風(fēng)險(xiǎn)評(píng)估報(bào)告無需向監(jiān)管部門報(bào)備。（）10.數(shù)據(jù)安全風(fēng)險(xiǎn)是靜態(tài)不變的。（）五、簡(jiǎn)答題（共4題，每題5分）1.簡(jiǎn)述數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的核心流程。2.數(shù)據(jù)分類分級(jí)的主要原則是什么？3.簡(jiǎn)述GDPR中數(shù)據(jù)主體的主要權(quán)利。4.數(shù)據(jù)泄露應(yīng)急響應(yīng)的關(guān)鍵步驟有哪些？六、討論題（共2題，每題5分）1.如何平衡企業(yè)數(shù)據(jù)利用與數(shù)據(jù)安全風(fēng)險(xiǎn)？2.針對(duì)AI、大數(shù)據(jù)等新興技術(shù)，企業(yè)應(yīng)如何更新數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法？---答案部分一、填空題答案1.機(jī)密2.風(fēng)險(xiǎn)分析3.24.45.可能性6.Nessus（或綠盟、nessus等）7.數(shù)據(jù)泄露8.最小必要（或目的限制等）9.接受10.1二、單項(xiàng)選擇題答案1.D2.B3.D4.A5.A6.A7.B8.D9.A10.D三、多項(xiàng)選擇題答案1.ABCD2.ABCDE3.AB4.ABCD5.ABCD6.ABCD7.ABCD8.ABC9.ABCD10.ABCD四、判斷題答案1.×2.×3.√4.√5.√6.√7.×8.√9.×10.×五、簡(jiǎn)答題答案1.核心流程：①資產(chǎn)識(shí)別與分類（梳理數(shù)據(jù)資產(chǎn)并分級(jí)）；②威脅識(shí)別（分析內(nèi)外部威脅源）；③漏洞分析（發(fā)現(xiàn)資產(chǎn)安全漏洞）；④風(fēng)險(xiǎn)評(píng)價(jià)（結(jié)合威脅、漏洞計(jì)算風(fēng)險(xiǎn)等級(jí)）；⑤風(fēng)險(xiǎn)處置（針對(duì)等級(jí)采取規(guī)避/降低等措施）；⑥跟蹤驗(yàn)證（確認(rèn)處置有效性并更新）。2.主要原則：①重要性（按數(shù)據(jù)價(jià)值分級(jí)）；②最小必要（僅收集必要數(shù)據(jù)）；③一致性（分級(jí)標(biāo)準(zhǔn)統(tǒng)一）；④動(dòng)態(tài)調(diào)整（隨業(yè)務(wù)更新）；⑤合規(guī)性（符合監(jiān)管要求）。3.核心權(quán)利：①訪問權(quán)（查詢自身數(shù)據(jù)）；②刪除權(quán)（被遺忘權(quán)）；③修改權(quán)（更正不準(zhǔn)確數(shù)據(jù)）；④數(shù)據(jù)可攜帶權(quán)（轉(zhuǎn)移數(shù)據(jù)給第三方）；⑤限制處理權(quán)（特定情況限制處理）；⑥反對(duì)權(quán)（反對(duì)合法利益處理）。4.關(guān)鍵步驟：①遏制（隔離受影響系統(tǒng)）；②檢測(cè)（定位泄露源/范圍）；③報(bào)告（按合規(guī)要求上報(bào)）；④恢復(fù)（修復(fù)漏洞并恢復(fù)系統(tǒng)）；⑤事后分析（總結(jié)原因更新預(yù)案）；⑥整改（落實(shí)改進(jìn)措施）。六、討論題答案1.平衡策略：①分類分級(jí)管控（高價(jià)值數(shù)據(jù)嚴(yán)格，低價(jià)值簡(jiǎn)化）；②最小必要原則（僅收集業(yè)務(wù)必需數(shù)據(jù)）；③技術(shù)防護(hù)（加密、訪問控制等）；④合規(guī)嵌入（業(yè)務(wù)設(shè)計(jì)時(shí)嵌入安全要求）；⑤動(dòng)態(tài)評(píng)估（定期跟