数据安全与合规面试题中级.docxVIP

第PAGE页共NUMPAGES页

数据安全与合规面试题中级

一、单选题（每题2分，共10题）

1.题目：在GDPR合规框架下，个人数据主体有权要求企业删除其个人数据，该权利被称为？

A.更正权

B.删除权

C.访问权

D.可携带权

2.题目：以下哪种加密方式属于对称加密？

A.RSA

B.AES

C.ECC

D.SHA-256

3.题目：在中国《网络安全法》中，关键信息基础设施运营者未履行数据安全保护义务的，可被处以的罚款上限为？

A.50万元

B.100万元

C.500万元

D.2000万元

4.题目：某公司采用数据脱敏技术处理用户姓名，但保留了用户身份证号的最后两位，这种做法是否合规？

A.合规

B.不合规

C.视具体场景判断

D.无所谓

5.题目：在HIPAA框架下，医疗机构对电子健康记录（EHR）的访问控制应遵循什么原则？

A.开放访问

B.最小权限

C.随机分配

D.统一管理

6.题目：以下哪项不属于《个人信息保护法》中规定的敏感个人信息？

A.生物识别信息

B.行踪信息

C.财务账户信息

D.电子邮箱地址

7.题目：某企业通过第三方云服务商存储数据，根据《网络安全法》，该企业对云端数据的安全责任如何界定？

A.完全由云服务商负责

B.企业和云服务商共同负责

C.企业负责，云服务商仅提供技术支持

D.由监管部门指定责任方

8.题目：在数据分类分级中，“公开数据”通常指的是什么？

A.仅限内部使用的数据

B.经脱敏后可对外公开的数据

C.法律规定必须公开的数据

D.无任何安全限制的数据

9.题目：某公司员工离职后，其访问权限未及时撤销，导致其能访问公司敏感数据。根据信息安全理论，该事件属于哪种风险？

A.配置错误

B.人为疏忽

C.系统漏洞

D.外部攻击

10.题目：在CCPA（加州消费者隐私法案）中，消费者有权要求企业删除其个人信息的时限是多久？

A.30天

B.60天

C.90天

D.180天

二、多选题（每题3分，共10题）

1.题目：在中国《数据安全法》中，数据处理活动应遵循哪些基本原则？

A.合法正当

B.公开透明

C.最小必要

D.安全可控

2.题目：以下哪些属于数据泄露的常见原因？

A.系统漏洞

B.内部人员恶意泄露

C.账号密码强度不足

D.物理环境安全措施缺失

3.题目：根据GDPR，企业需建立的数据保护影响评估（DPIA）应包含哪些内容？

A.数据处理目的

B.受影响个人群体的权利

C.数据泄露风险

D.合规措施

4.题目：以下哪些加密算法可用于数据传输加密？

A.TLS

B.DES

C.RSA

D.AES

5.题目：在中国《个人信息保护法》中，哪些行为属于“过度收集个人信息”？

A.收集与服务无关的信息

B.未明确告知收集目的

C.通过不正当方式收集信息

D.强制用户同意收集

6.题目：HIPAA对医疗数据的访问控制要求包括哪些？

A.基于角色的访问控制

B.审计日志记录

C.数据加密存储

D.定期权限审查

7.题目：CCPA赋予消费者哪些权利？

A.查询个人信息

B.要求删除个人信息

C.控制第三方共享个人信息

D.选择退出定向广告

8.题目：数据脱敏的常见方法包括哪些？

A.隐藏部分字符

B.替换敏感数据

C.数据泛化

D.添加随机噪声

9.题目：企业应对数据安全事件的应急响应计划应包含哪些要素？

A.事件发现与报告

B.恢复措施

C.沟通机制

D.责任追究

10.题目：以下哪些属于关键信息基础设施的范畴？

A.通信网络

B.金融服务系统

C.交通运输系统

D.能源供应系统

三、判断题（每题1分，共10题）

1.题目：根据GDPR，企业处理不满14周岁的儿童数据时无需获得监护人同意。

2.题目：在中国，《网络安全法》要求所有企业必须进行数据分类分级。

3.题目：HIPAA仅适用于美国境内的医疗机构。

4.题目：数据匿名化处理后，原始数据无法被还原。

5.题目：CCPA适用于所有在美国运营的企业，无论其是否盈利。

6.题目：数据备份属于数据安全防护措施，但不在合规审查范围内。

7.题目：根据《数据安全法》，数据出境需经国家网信部门安全评估。

8.题目：云存储服务商对用户数据负有完全的安全责任。

9.题目：数据访问日志记录不属于数据安全审计范畴。

10.题目：敏感个人信息的处理可完全基于“合法利益”而不需获得个人同意。

四、简答题（每题5分，共5题）

1.题目：简述《个人信息保护法》中“最小必要”原则的具体要求。

2.题目：解释数据分类分级的基本流程。

3.题目