2025年《云计算服务安全评估办法》评估要求安全试题库及答案.docxVIP

2025年《云计算服务安全评估办法》评估要求安全试题库及答案

一、单项选择题（每题2分，共20题）

1.根据2025年《云计算服务安全评估办法》（以下简称《办法》），云服务提供商在数据出境时，需通过以下哪项评估？

A.数据分类分级评估

B.个人信息保护影响评估

C.网络安全等级保护评估

D.密码应用安全性评估

答案：B

解析：《办法》第十三条明确，云服务提供商在数据出境前，需完成个人信息保护影响评估，并向省级以上网信部门报备评估报告。

2.云服务提供商应建立覆盖全生命周期的数据安全管理制度，其中“数据销毁”环节的核心要求是？

A.仅需删除存储介质中的文件索引

B.确保数据不可恢复且无残留

C.由用户自行完成销毁操作

D.销毁记录保存期限不低于1年

答案：B

解析：《办法》第二十一条规定，数据销毁应采用符合国家标准的技术手段（如物理销毁、安全擦除），确保数据无法通过任何技术手段恢复，销毁记录需保存至少3年。

3.关于云服务中的身份认证，《办法》要求对关键操作（如敏感数据访问、管理权限变更）应采用？

A.单因素认证

B.双因素或多因素认证

C.基于设备指纹的静态认证

D.由用户自主选择认证方式

答案：B

解析：《办法》第十四条明确，关键操作需采用双因素或多因素认证（如短信验证码+动态令牌、生物特征+密码），以提升身份认证的可靠性。

4.云服务提供商的安全审计日志应至少保存多长时间？

A.6个月

B.1年

C.2年

D.3年

答案：C

解析：《办法》第二十五条规定，安全审计日志（包括用户操作、系统异常、访问记录等）需完整保存至少2年，且支持按时间、用户、操作类型等维度检索。

5.当云服务发生安全事件（如数据泄露、服务中断）时，云服务提供商应在多长时间内向省级以上网信部门报告？

A.1小时内

B.2小时内

C.24小时内

D.48小时内

答案：B

解析：《办法》第三十二条规定，发生I级（特别重大）或II级（重大）安全事件时，需在2小时内通过安全事件报告平台提交初步报告，48小时内提交详细报告。

6.云服务提供商与第三方合作提供服务时，需对第三方的安全能力进行？

A.年度自评估

B.独立安全审计

C.风险分级评估

D.合规性备案

答案：B

解析：《办法》第三十条要求，与第三方合作前需委托具备资质的机构对第三方进行独立安全审计，审计内容包括数据安全、网络安全、应急响应等，审计报告需留存备查。

7.云服务中的“数据隔离”应至少实现？

A.物理隔离

B.逻辑隔离

C.混合隔离（物理+逻辑）

D.由用户自行配置隔离策略

答案：B

解析：《办法》第十九条规定，云服务提供商需通过虚拟专用网络（VPN）、网络访问控制列表（NACL）、安全组等技术手段实现租户间逻辑隔离，关键业务数据需额外采用物理隔离。

8.云服务提供商的灾难恢复能力应满足？

A.重要数据恢复点目标（RPO）≤1小时，恢复时间目标（RTO）≤4小时

B.重要数据RPO≤30分钟，RTO≤2小时

C.所有数据RPO≤15分钟，RTO≤1小时

D.由用户与云服务商协商确定

答案：A

解析：《办法》第二十八条明确，重要业务数据的RPO应不超过1小时，RTO不超过4小时；核心业务数据需进一步提升至RPO≤30分钟，RTO≤2小时。

9.云服务用户的个人信息（如账号、联系方式）存储时，必须采用以下哪种方式？

A.明文存储

B.哈希存储（无盐值）

C.加密存储（符合国密标准）

D.由云服务商自主选择存储方式

答案：C

解析：《办法》第十七条规定，用户个人信息存储时需采用符合《信息安全技术密码模块安全要求》（GM/T0028）的加密算法（如SM4），并对密钥进行独立管理。

10.云服务提供商的安全管理机构应至少多久召开一次安全专题会议？

A.每月

B.每季度

C.每半年

D.每年

答案：B

解析：《办法》第二十三条要求，安全管理机构（如安全委员会）需每季度召开一次专题会议，审议安全策略、重大事件处理、资源投入等事项，并形成会议纪要。

11.云服务中的“漏洞管理”要求对高危漏洞的修复时限是？

A.发现后24小时内

B.发现后48小时内

C.发现后72小时内

D.发现后1周内

答案：A

解析：《办法》第二十六条规定，高危漏洞（CVSS评分≥7.0）需在发现后24小时内完成修复，中危漏洞（4.0≤CVSS7.0）需在72小时内修复，