2025年信息系统安全专家安全法律法规与合规性（如等保2.0、GDPR）专题试卷及解析.pdfVIP

2025年信息系统安全专家安全法律法规与合规性（如等保2.0、GDPR）专题试卷及解析1

2025年信息系统安全专家安全法律法规与合规性（如等保

2.0、GDPR）专题试卷及解析

2025年信息系统安全专家安全法律法规与合规性（如等保2.0、GDPR）专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《网络安全法》，网络运营者应当制定网络安全事件应急预案，并定期进行

演练。以下关于应急预案演练的描述，正确的是？

A、每年至少进行一次演练

B、每两年至少进行一次演练

C、每半年至少进行一次演练

D、每季度至少进行一次演练

【答案】C

【解析】正确答案是C。根据《网络安全法》及配套规定，网络运营者应制定网络

安全事件应急预案，并每半年至少进行一次演练。A选项的频率过低，B选项不符合法

规要求，D选项的频率过高，虽然更安全但不是法规强制要求。知识点：网络安全事件

应急预案管理。易错点：容易混淆不同法规对演练频率的要求，如等保2.0对不同级别

系统的要求。

2、在等保2.0中，对于第三级信息系统，以下哪项不是安全物理环境的要求？

A、应具备电子门禁系统

B、应具备视频监控系统

C、应具备防雷击系统

D、应具备电磁屏蔽系统

【答案】D

【解析】正确答案是D。等保2.0第三级要求包括电子门禁、视频监控和防雷击系

统，但电磁屏蔽系统属于更高安全要求，不是第三级的强制要求。A、B、C都是第三

级的明确要求。知识点：等保2.0物理环境安全要求。易错点：容易将所有高级安全措

施都认为是第三级要求。

3、GDPR中，数据控制者处理个人数据的合法依据不包括以下哪项？

A、数据主体的明确同意

B、履行合同必要

C、数据控制者的合法利益

D、数据控制者的商业便利

【答案】D

2025年信息系统安全专家安全法律法规与合规性（如等保2.0、GDPR）专题试卷及解析2

【解析】正确答案是D。GDPR规定的合法依据包括同意、合同履行、法律义务、重

要利益、公共利益和合法利益，但不包括单纯的商业便利。A、B、C都是GDPR明确

列出的合法依据。知识点：GDPR个人数据处理合法依据。易错点：容易将商业便利误

解为合法利益。

4、等保2.0中，关于安全区域边界的描述，错误的是？

A、应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信

B、应在网络边界或区域之间部署访问控制设备

C、应允许非授权设备从内部区域访问外部区域

D、应对非授权设备私自联到内部网络的行为进行检查或限制

【答案】C

【解析】正确答案是C。等保2.0明确要求禁止非授权设备访问，C选项与要求相

反。A、B、D都是等保2.0对安全区域边界的正确要求。知识点：等保2.0安全区域边

界要求。易错点：容易忽略对非授权设备的管控要求。

5、根据GDPR，数据主体有权要求数据控制者删除其个人数据的情况不包括？

A、数据不再必要

B、数据主体撤回同意

C、数据控制者认为数据可能有价值

D、数据被非法处理

【答案】C

【解析】正确答案是C。GDPR规定的删除权适用情况包括数据不再必要、撤回同

意、非法处理等，但数据控制者认为数据有价值不是合法拒绝删除的理由。A、B、D都

是GDPR明确规定的删除权适用情形。知识点：GDPR删除权（被遗忘权）。易错点：

容易混淆数据控制者的利益与数据主体的权利。

6、等保2.0中，关于安全计算环境的描述，正确的是？

A、应确保用户身份标识唯一

B、应允许用户共享账号

C、应弱化密码策略

D、应减少审计日志记录

【答案】A

【解析】正确答案是A。等保2.0要求用户身份标识唯一，B、C、D都与安全要求

相悖。知识点：等保2.0安全计算环境要求。易错点：容易忽视身份唯一性的重要性。

7、GDPR中，数据保护影响评估（DPIA）在什么情况下是必须的？

A、所有数据处理活动

B、仅涉及敏感数据处理

C、高风险数据处理活动

2025年信息系统安全专家安全法律法规与合规性（如等保2.0、GDPR）专题试卷及解析3

D、