2025年證券外包測試題及答案一、單項選擇題（每題2分，共30分）1.根據(jù)《證券期貨業(yè)信息系統(tǒng)外包服務(wù)指引》（2024年修訂版），下列哪類外包服務(wù)需在簽訂合同前10個工作日向中國證監(jiān)會備案？A.非核心業(yè)務(wù)的文檔錄入服務(wù)B.網(wǎng)上交易系統(tǒng)的日常運維C.客戶資料的歸檔存儲D.第三方行情軟件的接口開發(fā)答案：B解析：修訂版指引明確，涉及核心業(yè)務(wù)系統(tǒng)（如交易、結(jié)算、賬戶管理系統(tǒng)）的運維、開發(fā)外包需提前備案，網(wǎng)上交易系統(tǒng)屬于核心業(yè)務(wù)系統(tǒng)范疇。2.證券外包服務(wù)中，服務(wù)商因技術(shù)故障導(dǎo)致交易中斷超過2小時，根據(jù)《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》，責任主體應(yīng)為？A.服務(wù)商B.證券公司C.雙方按合同比例分擔D.證監(jiān)會指定責任方答案：B解析：辦法規(guī)定，證券公司作為信息系統(tǒng)運營責任主體，外包不轉(zhuǎn)移安全責任，需對最終結(jié)果負責。3.外包服務(wù)中客戶個人信息的存儲應(yīng)遵循“最小必要”原則，下列哪項不符合該原則？A.僅存儲客戶姓名、身份證號用于身份驗證B.存儲客戶近3年所有交易記錄用于風險分析C.存儲客戶手機號用于交易通知D.存儲客戶家庭住址用于營銷推廣答案：D解析：“最小必要”原則要求僅收集與服務(wù)直接相關(guān)的信息，家庭住址與交易服務(wù)無直接關(guān)聯(lián)，用于營銷推廣超出必要范圍。4.某券商將智能投顧算法開發(fā)外包給科技公司，需重點評估服務(wù)商的哪項能力？A.辦公場地面積B.算法可解釋性技術(shù)C.員工數(shù)量D.歷史財務(wù)報表答案：B解析：智能投顧涉及投資者適當性管理，算法需具備可解釋性以滿足監(jiān)管對“了解客戶”的要求，是核心評估點。5.外包服務(wù)合同中，關(guān)于數(shù)據(jù)所有權(quán)的正確約定應(yīng)為？A.數(shù)據(jù)所有權(quán)歸服務(wù)商，券商擁有使用權(quán)B.數(shù)據(jù)所有權(quán)歸雙方共有C.數(shù)據(jù)所有權(quán)歸券商，服務(wù)商僅獲得處理授權(quán)D.數(shù)據(jù)所有權(quán)按開發(fā)投入比例劃分答案：C解析：客戶數(shù)據(jù)所有權(quán)屬于券商，服務(wù)商僅能在合同約定范圍內(nèi)處理數(shù)據(jù)，不得主張所有權(quán)。6.根據(jù)《證券期貨業(yè)數(shù)據(jù)安全指南》，外包過程中敏感數(shù)據(jù)傳輸應(yīng)采用的加密方式是？A.RSA-1024B.AES-256C.DESD.MD5答案：B解析：指南推薦使用AES-256對稱加密算法，其安全性優(yōu)于RSA-1024（易受量子計算攻擊）、DES（密鑰過短）和MD5（哈希算法不用于傳輸加密）。7.外包服務(wù)商發(fā)生重大股權(quán)變更時，券商應(yīng)在多長時間內(nèi)完成重新評估？A.3個工作日B.10個工作日C.20個工作日D.30個工作日答案：B解析：《證券外包服務(wù)管理細則》規(guī)定，服務(wù)商股權(quán)結(jié)構(gòu)、實際控制人變更可能影響服務(wù)穩(wěn)定性，券商需在10個工作日內(nèi)重新評估風險。8.以下哪項不屬于外包服務(wù)中的操作風險？A.服務(wù)商員工誤刪交易數(shù)據(jù)B.因暴雨導(dǎo)致服務(wù)商機房斷電C.服務(wù)商未按約定備份數(shù)據(jù)D.券商未審核服務(wù)商代碼變更記錄答案：B解析：操作風險主要指人為失誤或流程缺陷，自然災(zāi)害（如暴雨）屬于外部風險中的災(zāi)害風險。9.證券APP用戶行為日志外包存儲時，日志保留期限至少應(yīng)為？A.6個月B.1年C.3年D.5年答案：C解析：《證券期貨業(yè)客戶信息保護規(guī)定》要求，用戶行為日志作為交易記錄的補充，需至少保留3年以滿足監(jiān)管追溯要求。10.外包測試中，針對交易系統(tǒng)的壓力測試需模擬的最大并發(fā)量應(yīng)為日常峰值的多少倍？A.1.2倍B.1.5倍C.2倍D.3倍答案：C解析：行業(yè)慣例要求壓力測試需覆蓋日常峰值的2倍，以驗證系統(tǒng)在極端情況下的穩(wěn)定性。11.某券商外包開發(fā)的新交易模塊上線后，發(fā)現(xiàn)與原有系統(tǒng)存在兼容性漏洞，責任主要在于？A.服務(wù)商未做兼容性測試B.券商未參與測試過程C.雙方未在合同中明確測試標準D.證監(jiān)會未提前審核答案：C解析：外包合同需明確測試范圍、標準及雙方責任，未約定測試標準導(dǎo)致的漏洞，主要責任在合同條款不完善。12.跨境數(shù)據(jù)外包中，個人信息出境需通過的安全評估是？A.券商自行評估B.服務(wù)商所在地監(jiān)管機構(gòu)評估C.國家網(wǎng)信部門組織的安全評估D.行業(yè)協(xié)會評估答案：C解析：根據(jù)《數(shù)據(jù)出境安全評估辦法》，證券行業(yè)涉及個人信息出境的，需通過國家網(wǎng)信部門組織的安全評估。13.外包服務(wù)中，服務(wù)商的保密義務(wù)在合同終止后仍需持續(xù)多久？A.6個月B.1年C.3年D.5年答案：D解析：行業(yè)慣例及多數(shù)外包合同約定，保密義務(wù)在合同終止后持續(xù)5年，以覆蓋監(jiān)管追溯期。14.以下哪項屬于外包服務(wù)中的合規(guī)風險？A.服務(wù)商使用盜版軟件B.服務(wù)商服務(wù)器帶寬不足C.服務(wù)商員工流動性高D.服務(wù)商辦公場地消防不達標答案：A解析：使用盜版軟件違反知識產(chǎn)權(quán)法規(guī)，屬于合規(guī)風險；其他選項屬于技術(shù)或運營風險。15.券商對外包服務(wù)商的年度現(xiàn)場檢查頻率至少應(yīng)為？A.每季度1次B.每半年1次C.每年1次D.每兩年1次答案：C解析：《證券外包服務(wù)指引》要求，券商需每年至少對服務(wù)商進行1次現(xiàn)場檢查，重點核查安全措施落實情況。二、多項選擇題（每題3分，共30分）1.證券外包服務(wù)中，禁止外包的范圍包括（）A.交易指令的實時執(zhí)行B.客戶賬戶的實時監(jiān)控C.合規(guī)風控的核心算法D.客服熱線的日常接聽答案：ABC解析：核心業(yè)務(wù)操作（如交易執(zhí)行、賬戶監(jiān)控）、核心風控算法屬于禁止外包范圍，客服接聽屬于非核心業(yè)務(wù)可外包。2.外包前盡職調(diào)查需涵蓋的內(nèi)容有（）A.服務(wù)商的行業(yè)資質(zhì)（如ISO27001認證）B.服務(wù)商過往服務(wù)的證券行業(yè)客戶評價C.服務(wù)商實際控制人的背景調(diào)查D.服務(wù)商的員工績效考核制度答案：ABC解析：盡職調(diào)查需關(guān)注資質(zhì)、歷史業(yè)績、實際控制人風險，員工考核制度屬于內(nèi)部管理，非必要調(diào)查項。3.外包服務(wù)合同中必須明確的條款包括（）A.數(shù)據(jù)泄露的賠償標準B.服務(wù)終止后的數(shù)據(jù)歸屬及處理方式C.服務(wù)商的技術(shù)架構(gòu)細節(jié)D.重大故障的響應(yīng)時間（如30分鐘內(nèi)到場）答案：ABD解析：合同需明確責任劃分（如賠償、響應(yīng)時間）、數(shù)據(jù)處理要求，但技術(shù)架構(gòu)細節(jié)屬于服務(wù)商商業(yè)秘密，無需在合同中詳細約定。4.外包服務(wù)中的技術(shù)風險主要包括（）A.系統(tǒng)兼容性不足B.算法模型偏差C.服務(wù)商財務(wù)破產(chǎn)D.數(shù)據(jù)傳輸延遲答案：ABD解析：財務(wù)破產(chǎn)屬于信用風險，非技術(shù)風險。5.根據(jù)《證券期貨業(yè)信息系統(tǒng)備份與恢復(fù)指引》，外包系統(tǒng)的備份要求包括（）A.本地實時備份B.異地異質(zhì)備份C.備份數(shù)據(jù)的加密存儲D.每月至少1次恢復(fù)演練答案：ABCD解析：指引要求“兩地三中心”備份模式（本地+異地），數(shù)據(jù)加密，且每月演練確保恢復(fù)能力。6.外包服務(wù)商的退出機制應(yīng)包含（）A.提前通知期限（如6個月）B.數(shù)據(jù)遷移的技術(shù)支持C.未結(jié)項目的責任劃分D.退出后的保密義務(wù)延續(xù)答案：ABCD解析：退出機制需涵蓋通知期、數(shù)據(jù)遷移、責任劃分及保密延續(xù)，確保業(yè)務(wù)連續(xù)性。7.客戶信息外包處理中，需遵守的原則有（）A.目的明確原則（僅用于約定服務(wù)）B.最少夠用原則（僅收集必要信息）C.公開透明原則（告知客戶外包情況）D.自主控制原則（券商保留最終管理權(quán)）答案：ABCD解析：四者均為《個人信息保護法》及證券行業(yè)規(guī)范要求的核心原則。8.外包服務(wù)中的聲譽風險可能來源于（）A.服務(wù)商被媒體曝光數(shù)據(jù)泄露B.外包系統(tǒng)故障導(dǎo)致客戶投訴C.服務(wù)商員工發(fā)表不當言論關(guān)聯(lián)券商D.券商未及時披露外包信息答案：ABC解析：未及時披露外包信息屬于合規(guī)風險，非聲譽風險。9.智能風控系統(tǒng)外包開發(fā)時，需重點測試的內(nèi)容有（）A.模型的誤報率和漏報率B.算法的可解釋性（如能說明風控規(guī)則）C.系統(tǒng)的響應(yīng)延遲（如≤500ms）D.模型訓(xùn)練數(shù)據(jù)的來源合法性答案：ABCD解析：智能風控需關(guān)注準確性（誤報/漏報）、可解釋性、效率（響應(yīng)時間）及數(shù)據(jù)合規(guī)性。10.外包服務(wù)審計中，需檢查的文檔包括（）A.服務(wù)商的安全事件報告記錄B.券商與服務(wù)商的溝通日志C.外包系統(tǒng)的測試用例及結(jié)果D.服務(wù)商員工的社保繳納記錄答案：ABC解析：社保記錄屬于服務(wù)商內(nèi)部管理，非審計必要文檔。三、判斷題（每題1分，共10分）1.證券外包服務(wù)中，券商可將客戶身份識別（KYC）的全部流程外包給第三方。（）答案：×解析：KYC是反洗錢核心環(huán)節(jié)，券商需保留最終審核權(quán)，不得完全外包。2.服務(wù)商因技術(shù)升級需變更系統(tǒng)架構(gòu)時，只需通知券商，無需重新評估風險。（）答案：×解析：系統(tǒng)架構(gòu)變更可能影響服務(wù)穩(wěn)定性，需重新評估并報券商確認。3.外包數(shù)據(jù)的銷毀需采用物理破壞（如磁盤格式化）即可，無需記錄過程。（）答案：×解析：數(shù)據(jù)銷毀需采用不可逆方式（如消磁、安全擦除），并留存銷毀記錄備查。4.跨境外包中，服務(wù)商可將客戶數(shù)據(jù)轉(zhuǎn)存至其在境外的服務(wù)器，只需告知客戶。（）答案：×解析：數(shù)據(jù)出境需通過安全評估，僅告知客戶不滿足合規(guī)要求。5.券商可將外包服務(wù)的日常監(jiān)控外包給另一服務(wù)商，以降低管理成本。（）答案：×解析：監(jiān)控是券商的主體責任，不得二次外包。6.服務(wù)商發(fā)生重大安全事件（如數(shù)據(jù)泄露）時，需在24小時內(nèi)向券商報告。（）答案：√解析：《證券外包服務(wù)管理細則》規(guī)定，重大事件需24小時內(nèi)報告，緊急情況需即時報告。7.外包測試中，只需驗證功能正確性，無需測試異常場景（如輸入錯誤數(shù)據(jù)）。（）答案：×解析：異常場景測試是確保系統(tǒng)健壯性的關(guān)鍵，必須覆蓋。8.券商與服務(wù)商簽訂“責任全部轉(zhuǎn)移”條款后，外包風險由服務(wù)商完全承擔。（）答案：×解析：監(jiān)管明確外包不轉(zhuǎn)移責任，此類條款無效。9.外包服務(wù)的應(yīng)急預(yù)案只需由服務(wù)商制定，券商無需參與。（）答案：×解析：券商需主導(dǎo)制定應(yīng)急預(yù)案，并與服務(wù)商協(xié)同演練。10.為降低成本，券商可選擇未通過ISO27001認證的服務(wù)商提供非核心外包服務(wù)。（）答案：√解析：非核心服務(wù)可根據(jù)實際情況選擇服務(wù)商，但需評估其安全能力。四、簡答題（每題6分，共30分）1.簡述證券外包服務(wù)中“三審三備”的具體內(nèi)容。答案：“三審”指外包前對服務(wù)商的資質(zhì)審核、技術(shù)能力審核、合規(guī)記錄審核；“三備”指核心系統(tǒng)外包需向證監(jiān)會備案、外包合同關(guān)鍵條款向公司合規(guī)部門備案、外包風險評估報告向董事會備案。2.列舉外包服務(wù)中數(shù)據(jù)安全管理的5項關(guān)鍵措施。答案：（1）數(shù)據(jù)分類分級（區(qū)分一般數(shù)據(jù)、敏感數(shù)據(jù)、核心數(shù)據(jù)）；（2）傳輸加密（使用AES-256等高強度算法）；（3）訪問控制（最小權(quán)限原則，多因素認證）；（4）備份與恢復(fù)（異地異質(zhì)備份，定期演練）；（5）銷毀管理（不可逆銷毀，記錄留存）。3.券商對外包服務(wù)商進行現(xiàn)場檢查時，需重點核查哪些方面？答案：（1）物理安全：機房門禁、消防、監(jiān)控等設(shè)施；（2）數(shù)據(jù)安全：存儲設(shè)備的訪問日志、加密措施；（3）人員管理：接觸敏感數(shù)據(jù)員工的背景調(diào)查記錄；（4）應(yīng)急管理：應(yīng)急預(yù)案的完備性及最近一次演練記錄；（5）合規(guī)情況：是否存在使用盜版軟件、違規(guī)處理數(shù)據(jù)等行為。4.智能投顧外包開發(fā)中，需關(guān)注的特有風險有哪些？答案：（1）算法偏差風險：模型訓(xùn)練數(shù)據(jù)可能存在偏見，導(dǎo)致投資建議不公平；（2）可解釋性風險：黑箱算法無法向客戶說明決策邏輯，違反適當性管理要求；（3）動態(tài)調(diào)整風險：市場變化時算法未及時更新，導(dǎo)致策略失效；（4）數(shù)據(jù)合規(guī)風險：訓(xùn)練數(shù)據(jù)可能涉及未授權(quán)的客戶信息。5.外包服務(wù)終止時，券商需完成哪些數(shù)據(jù)處理步驟？答案：（1）數(shù)據(jù)回收：要求服務(wù)商清空所有存儲的客戶數(shù)據(jù)，并提供數(shù)據(jù)銷毀證明；（2）數(shù)據(jù)驗證：通過技術(shù)手段（如哈希校驗）確認數(shù)據(jù)已徹底刪除；（3）遷移評估：評估數(shù)據(jù)遷移至新服務(wù)商或自有系統(tǒng)的完整性和安全性；（4）存檔留存：保留數(shù)據(jù)處理過程的記錄（如銷毀證明、遷移日志）至少5年。五、案例分析題（共20分）案例：2025年5月，某券商將手機交易APP的開發(fā)與運維外包給科技公司X。上線3個月后，部分客戶反饋登錄時收到短信驗證碼被攔截，經(jīng)排查發(fā)現(xiàn)X公司在開發(fā)過程中未對短信接口進行加密，導(dǎo)致驗證碼在傳輸中被中間人攻擊截取。事件造成200余名客戶賬戶被盜，損失合計約150萬元。問題1：分析該事件中券商和X公司的責任劃分。（10分）答案：券商責任：（1）未在合同中明確數(shù)據(jù)傳輸?shù)募用芤螅瑢?dǎo)致技術(shù)標準缺失；（2）未對X公司的開發(fā)過程進行有效監(jiān)控，未發(fā)現(xiàn)接口未加密的漏洞；（3）作為信息安全責任主體，需對客戶損失承擔最終賠償責任。X公司責任：（1）違反合同約定的安全義務(wù)（未執(zhí)行加密