2025年信息系统安全专家安全审计法律法规与合规性要求专题试卷及解析.pdfVIP

2025年信息系统安全专家安全审计法律法规与合规性要求专题试卷及解析1

2025年信息系统安全专家安全审计法律法规与合规性要求

专题试卷及解析

2025年信息系统安全专家安全审计法律法规与合规性要求专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者应当对网络安

全事件进行至少多长时间的留存？

A、30天

B、60天

C、90天

D、180天

【答案】D

【解析】正确答案是D。《网络安全法》第二十一条规定，网络运营者应当采取监测、

记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于

六个月。关键信息基础设施运营者作为特殊的网络运营者，适用此规定。选项A、B、C

的留存时间均低于法定要求。知识点：网络安全日志留存要求。易错点：容易将一般日

志留存时间与特定场景（如安全事件调查）的留存要求混淆。

2、欧盟《通用数据保护条例》（GDPR）中，对违反数据处理基本原则的罚款上限

是多少？

A、1000万欧元或全球年营业额的2%

B、2000万欧元或全球年营业额的4%

C、500万欧元或全球年营业额的1%

D、5000万欧元或全球年营业额的5%

【答案】B

【解析】正确答案是B。GDPR第83条规定，对于违反数据处理基本原则（如合

法性、公平性、透明性）和数据主体权利的行为，罚款上限为2000万欧元或企业上一

财年全球总营业额的4%，以较高者为准。选项A的额度是针对其他较轻违规行为的处

罚。知识点：GDPR处罚机制。易错点：容易混淆不同违规行为对应的罚款档次。

3、根据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），对于第

三级系统，安全审计的要求不包括以下哪项？

A、应启用安全审计功能，审计覆盖到每个用户

B、审计记录应包括事件的日期和时间

C、审计记录应包括事件的结果

D、审计记录必须实时上传至上级监管部门

【答案】D

2025年信息系统安全专家安全审计法律法规与合规性要求专题试卷及解析2

【解析】正确答案是D。在等保2.0三级要求中，安全审计管理要求对审计记录的

内容（如时间、用户、事件、结果等）和保存、保护、审计分析有明确规定，但并未要

求必须实时上传至上级监管部门。实时上传通常是在特定行业监管要求或发生重大安

全事件时才可能被要求。选项A、B、C均是三级系统对安全审计记录内容的基本要求。

知识点：等级保护安全审计要求。易错点：将技术标准要求与特定行业或事件驱动的监

管要求混为一谈。

4、在信息系统安全审计中，“职责分离”（SegregationofDuties,SoD）原则的主要目

的是什么？

A、提高系统运行效率

B、降低单一人员滥用权限或犯错的风险

C、简化审计流程

D、减少系统维护成本

【答案】B

【解析】正确答案是B。职责分离是内部控制和审计中的一个核心原则，旨在通过

将关键任务的授权、执行、记录和复核等环节分配给不同的人员，来防止欺诈、错误和

未经授权的活动。它虽然可能间接影响效率或成本，但其根本目的在于加强风险控制。

选项A、C、D都不是SoD原则的直接或主要目的。知识点：安全审计基本原则。易错

点：将SoD的副作用（如可能降低效率）误认为其主要目的。

5、根据《中华人民共和国数据安全法》，国家建立数据分类分级保护制度。对于关

系国家安全、国民经济命脉、重要民生、重大公共利益等数据，属于什么级别？

A、一般数据

B、重要数据

C、核心数据

D、敏感数据

【答案】C

【解析】正确答案是C。《数据安全法》第二十一条规定，国家建立数据分类分级保

护制度，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心

数据，实行更加严格的管理制度。选项B“重要数据”是另一类别，其重要程度低于核心

数据。选项A和D不是该法中定义的官方分类级别。知识点：数据分类分级。易错点：

容易混淆“重要