2025年信息系统安全专家业务连续性法律法规合规性专题试卷及解析.pdfVIP

2025年信息系统安全专家业务连续性法律法规合规性专题试卷及解析1

2025年信息系统安全专家业务连续性法律法规合规性专题

试卷及解析

2025年信息系统安全专家业务连续性法律法规合规性专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者应当制定网络

安全事件应急预案，并至少多久进行一次演练？

A、每季度

B、每半年

C、每年

D、每两年

【答案】C

【解析】正确答案是C。《网络安全法》第三十四条规定，关键信息基础设施的运

营者应当制定网络安全事件应急预案，并定期进行演练。根据国家网信部门的相关规

定，“定期”通常指每年至少一次。A选项过于频繁，不符合实际操作；B选项虽有一定

合理性，但法律未明确要求半年一次；D选项间隔过长，无法保证应急响应能力的有效

性。知识点：网络安全法对关键信息基础设施的应急演练要求。易错点：容易将”定期”

理解为更频繁的周期，需注意法律条文的实际执行标准。

2、在ISO22301业务连续性管理体系中，以下哪个不属于业务影响分析（BIA）的

核心输出？

A、恢复时间目标（RTO）

B、恢复点目标（RPO）

C、最小业务连续性需求

D、风险评估报告

【答案】D

【解析】正确答案是D。业务影响分析（BIA）主要识别关键业务活动及其中断影响，

核心输出包括RTO、RPO和最小业务连续性需求。风险评估报告是风险分析阶段的输

出，与BIA属于不同流程。A、B、C选项均为BIA的标准输出。知识点：ISO22301

中BIA与风险分析的流程区别。易错点：容易混淆BIA和风险分析的输出内容，需明

确BIA关注业务影响而非风险本身。

3、根据《个人信息保护法》，处理敏感个人信息应当取得个人的单独同意，以下哪

项不属于敏感个人信息？

A、医疗健康信息

B、行踪轨迹信息

C、电子邮箱地址

2025年信息系统安全专家业务连续性法律法规合规性专题试卷及解析2

D、金融账户信息

【答案】C

【解析】正确答案是C。《个人信息保护法》第二十八条明确敏感个人信息包括生物

识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。电子邮箱地址属

于一般个人信息，除非与其他敏感信息关联。A、B、D选项均属于法定敏感信息。知

识点：敏感个人信息的法定范围。易错点：容易将所有联系方式误认为敏感信息，需注

意法律对敏感信息的严格界定。

4、在业务连续性计划（BCP）测试中，哪种测试方法最能验证计划的实际可行性？

A、桌面演练

B、结构化演练

C、全面中断测试

D、预案审查

【答案】C

【解析】正确答案是C。全面中断测试通过模拟真实中断场景，能最直接验证BCP

的可行性。桌面演练和结构化演练仅部分验证流程，预案审查仅检查文档完整性。知识

点：BCP测试方法的验证强度差异。易错点：容易忽视全面中断测试的高价值，因其

成本较高，但这是最有效的验证方式。

5、根据《数据安全法》，国家建立数据分类分级保护制度，以下哪项数据通常被划

分为核心数据？

A、企业内部通讯录

B、国家宏观经济统计数据

C、普通产品销售数据

D、员工考勤记录

【答案】B

【解析】正确答案是B。《数据安全法》第二十一条规定，关系国家安全、国民经济

命脉、重要民生、重大公共利益的数据属于核心数据。国家宏观经济统计数据符合这一

定义。A、C、D选项属于一般或重要数据，不涉及国家安全层面。知识点：数据分类

分级中的核心数据判定标准。易错点：容易将重要数据误认为核心数据，需关注国家安

全和公共利益维度。

6、在业务连续性管理中，RPO（恢复点目标）主要衡量什么？

A、系统恢复所需时间

B、数据可容忍丢失量

C、人员响应速度

D、资源调配效率

【答案】B

2025年信息系统安全专家业务连续性法律法规合规性专题试卷及解析