信息安全制度试题和答案.docxVIP

信息安全制度试题和答案

一、单项选择题（每题2分，共40分）

1.以下哪项不属于信息安全“三要素”？

A.机密性

B.完整性

C.可用性

D.可追溯性

2.根据《网络安全法》第二十一条，关键信息基础设施的运营者应当履行的安全保护义务不包括：

A.制定内部安全管理制度和操作规程

B.定期对从业人员进行网络安全教育、技术培训和技能考核

C.对重要系统和数据库进行容灾备份

D.向社会公开网络安全漏洞信息

3.某企业将客户身份证号、银行账号定义为“最高敏感度数据”，其标识应采用：

A.黄色标签+“内部使用”字样

B.红色标签+“高度敏感”字样

C.蓝色标签+“受限访问”字样

D.绿色标签+“公共信息”字样

4.信息安全风险评估的核心步骤是：

A.资产识别→威胁分析→脆弱性分析→风险计算

B.威胁分析→资产识别→脆弱性分析→风险计算

C.脆弱性分析→资产识别→威胁分析→风险计算

D.资产识别→脆弱性分析→威胁分析→风险计算

5.最小权限原则要求用户访问信息系统时：

A.仅授予完成工作所需的最低权限

B.授予与岗位层级匹配的权限

C.授予跨部门协作所需的所有权限

D.授予临时任务的超额权限

6.以下哪项属于物理安全控制措施？

A.防火墙策略配置

B.服务器机房门禁系统

C.数据库加密存储

D.员工信息安全培训

7.根据《数据安全法》，数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送评估报告。风险评估的频率至少为：

A.每季度一次

B.每半年一次

C.每年一次

D.每两年一次

8.某公司研发部门员工需访问生产环境数据库，正确的审批流程应为：

A.员工申请→直属领导审批→信息安全部门审核→权限开通

B.员工申请→信息安全部门审批→权限开通

C.员工申请→IT运维部门审批→权限开通

D.员工申请→部门负责人审批→权限开通

9.以下哪类数据不属于个人信息？

A.姓名+电话号码

B.身份证号+住址

C.匿名化处理后的用户行为数据

D.电子邮箱+职业

10.信息安全事件分级中，“导致10万条以上个人信息泄露或500万元以上直接经济损失”属于：

A.一级事件（特别重大）

B.二级事件（重大）

C.三级事件（较大）

D.四级事件（一般）

11.数据脱敏技术中，将处理为“1385678”属于：

A.掩码处理

B.加密处理

C.泛化处理

D.匿名化处理

12.第三方合作中，要求供应商签署的《信息安全协议》必须包含的条款不包括：

A.数据使用范围限制

B.供应商内部安全管理要求

C.合作终止后的数据清除义务

D.供应商员工的薪资标准

13.信息安全管理体系（ISMS）的核心标准是：

A.ISO9001

B.ISO27001

C.ISO14001

D.ISO45001

14.以下哪项不符合移动办公设备安全管理要求？

A.员工私人手机安装企业VPN客户端

B.移动设备必须启用设备锁（密码/指纹）

C.禁止通过微信传输客户敏感信息

D.移动设备丢失后2小时内上报信息安全部门

15.日志留存时间应符合法规要求，关键系统日志至少留存：

A.3个月

B.6个月

C.1年

D.2年

16.数据分类分级的依据不包括：

A.数据泄露可能造成的影响范围

B.数据的产生部门

C.数据的敏感程度

D.数据的法律保护要求

17.信息安全培训的重点对象是：

A.高层管理者

B.全体员工

C.技术研发人员

D.新入职员工

18.以下哪项属于主动防御技术？

A.入侵检测系统（IDS）

B.入侵防御系统（IPS）

C.防火墙

D.antivirus软件

19.签订数据跨境传输合同时，必须通过的合规审查不包括：

A.数据接收方所在国的法律风险评估

B.数据出境安全评估（如有）

C.数据加密传输的技术方案

D.数据接收方的员工数量

20.信息安全审计的主要目的是：

A.发现系统漏洞并修复

B.验证安全控制措施的有效性

C.统计系统访问次数

D.记录员工操作行为

二、判断题（每题1分，共10分）

1.信息安全仅涉及技术层面，与管理无关。