2025年信息系统安全专家SaaS服务等级协议中的安全条款解读专题试卷及解析.pdfVIP

2025年信息系统安全专家SAAS服务等级协议中的安全条款解读专题试卷及解析1

2025年信息系统安全专家SaaS服务等级协议中的安全条

款解读专题试卷及解析

2025年信息系统安全专家SaaS服务等级协议中的安全条款解读专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在SaaS服务等级协议（SLA）中，通常用于衡量服务可用性的核心指标是什么？

A、平均修复时间（MTTR）

B、服务正常运行时间百分比（UptimePercentage）

C、平均无故障时间（MTBF）

D、数据传输速率（DataTransferRate）

【答案】B

【解析】正确答案是B。服务正常运行时间百分比（UptimePercentage）是SaaSSLA

中最核心的可用性指标，直接反映了服务在约定时间内的可访问性。A选项MTTR是

故障恢复指标，C选项MTBF是可靠性指标，D选项是性能指标，均不直接衡量可用

性。知识点：SLA核心指标体系。易错点：容易混淆MTTR和Uptime的区别，前者

关注修复效率，后者关注服务持续可用状态。

2、SaaS服务商在安全条款中承诺的”数据加密存储”通常指哪个层面的加密？

A、传输层加密

B、应用层加密

C、数据库层加密

D、物理存储层加密

【答案】D

【解析】正确答案是D。数据加密存储特指静态数据在物理存储介质上的加密保护，

这是SaaS安全的基本要求。A选项是传输过程保护，B是业务逻辑层保护，C是数据

库引擎级保护，都不完全等同于存储加密。知识点：数据生命周期安全。易错点：容易

将数据库加密与存储加密混淆，前者可能只加密特定字段，后者是全盘加密。

3、当SaaS服务商发生安全事件时，SLA通常规定的通知时限是多久？

A、24小时内

B、72小时内

C、7个工作日内

D、根据事件等级确定

【答案】D

【解析】正确答案是D。现代SaaSSLA普遍采用分级通知机制，根据事件严重程

度（如P1P4级）设定不同通知时限。A、B、C选项的固定时限过于僵化，不符合行业

2025年信息系统安全专家SAAS服务等级协议中的安全条款解读专题试卷及解析2

最佳实践。知识点：安全事件响应流程。易错点：误以为所有事件都需立即通知，实际

上低风险事件可能合并报告。

4、SaaS服务商的安全审计频率通常如何规定？

A、每年一次

B、每季度一次

C、根据风险评估结果动态调整

D、客户要求时进行

【答案】C

【解析】正确答案是C。成熟的SaaS安全体系采用基于风险的动态审计机制，而非

固定周期。A选项频率过低，B选项可能过度审计，D选项过于被动。知识点：持续监

控与审计。易错点：混淆合规审计（如SOC2年度审计）与内部安全审计的区别。

5、在SaaS多租户环境中，租户间数据隔离的主要技术手段是？

A、虚拟专用网络（VPN）

B、逻辑数据分区

C、物理服务器隔离

D、访问控制列表（ACL）

【答案】B

【解析】正确答案是B。逻辑数据分区是SaaS多租户架构的核心隔离技术，通过应

用层逻辑确保数据分离。A是网络隔离，C是物理隔离（成本过高），D是权限控制而

非数据隔离。知识点：多租户安全架构。易错点：误认为ACL能实现数据隔离，实际

它只控制访问权限。

6、SaaS服务商的”数据主权”承诺通常指？

A、数据所有权归客户

B、数据存储地域符合法规

C、数据可随时导出

D、数据加密密钥由客户控制

【答案】B

【解析】正确答案是B。数据主权在SaaS语境下主要指数据存储和处理的地域合

规性，如GDPR要求。A是所有权问题，C是可移植性，D是加密控制权，都不等同

主权。知识点：跨境数据合规。易错点：将数据主权与数据所有权混淆，前者关注地域，

后者关注归属。

7、SaaSSLA中的”安全补丁更新”条款通常要求？

A、漏洞披露后24小时内修复

B、定期批量更新

C、根据CVSS评分分级处理

2025年信息系统安全专家SAAS服务等级协