信息安全培训考核标准.docxVIP

第PAGE页共NUMPAGES页

2026年信息安全培训考核标准

一、单选题（共10题，每题2分，总计20分）

1.题干：在我国，处理涉密信息时，以下哪种设备最符合安全保密要求？

A.普通笔记本电脑

B.国产商用加密本本

C.涉密专用计算机

D.外置U盘

答案：C

解析：根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2022），涉密信息处理必须使用专用设备，普通设备或商用加密设备均不满足保密级别要求。

2.题干：某企业员工使用个人邮箱传输包含客户数据的文件，这种行为可能导致什么风险？

A.数据泄露

B.网络延迟

C.硬盘故障

D.办公效率低下

答案：A

解析：个人邮箱通常未做加密处理，且缺乏访问控制，传输涉密数据极易被窃取，属于典型数据泄露场景。

3.题干：针对我国金融行业的《网络安全等级保护2.0》标准，以下哪个级别适用于核心交易系统？

A.等级1（用户自主保护）

B.等级2（基本保护）

C.等级3（严格保护）

D.等级4（专控保护）

答案：C

解析：金融核心系统属于国家关键信息基础设施，必须满足等级3或以上保护要求，其中等级3适用于大中型系统。

4.题干：某公司部署了WAF（Web应用防火墙）后，仍出现SQL注入攻击，可能的原因是？

A.WAF版本过旧

B.攻击者使用零日漏洞

C.业务系统存在未修复漏洞

D.WAF未开启HTTPS检测

答案：C

解析：WAF无法防御已存在且未修复的业务漏洞，需结合代码审计修复根本原因。

5.题干：根据《个人信息保护法》，以下哪种情况属于合法收集用户信息？

A.未告知用途即收集指纹数据

B.仅在用户同意下收集人脸信息用于门禁

C.强制用户接受隐私政策后收集所有设备信息

D.以“优化服务”名义无限期存储浏览记录

答案：B

解析：合法收集需遵循“最小必要原则”，仅用于明确目的且获得单独同意。

6.题干：某政府机构采用“零信任”架构，其核心理念是？

A.“默认允许，例外拒绝”

B.“默认拒绝，例外允许”

C.“多因素认证即信任”

D.“物理隔离即安全”

答案：B

解析：零信任强调“永不信任，始终验证”，与“默认拒绝，例外允许”一致。

7.题干：针对我国电力行业的SCADA系统，以下哪项措施最能有效防止恶意篡改？

A.安装杀毒软件

B.增加物理隔离

C.使用数字签名技术

D.定期备份数据

答案：C

解析：数字签名可验证数据完整性，适用于SCADA等关键工业控制系统。

8.题干：某企业员工发现同事电脑屏幕被偷拍，以下哪种行为可能涉及法律？

A.拍下照片发到内部群

B.报告给信息安全部门

C.删除偷拍记录

D.告知被盗员工

答案：A

解析：传播偷拍内容属于侵犯隐私，需按合规流程处置。

9.题干：根据《关键信息基础设施安全保护条例》，以下哪个部门负责统筹协调关键信息基础设施安全？

A.公安部

B.国家网信办

C.国家能源局

D.工业和信息化部

答案：D

解析：工信部主管关键信息基础设施安全保护工作。

10.题干：某公司员工使用弱密码（如“123456”），这种风险属于？

A.操作风险

B.技术风险

C.管理风险

D.法律风险

答案：B

解析：弱密码属于系统漏洞，需通过技术手段（如密码策略）修复。

二、多选题（共5题，每题3分，总计15分）

1.题干：在我国，企业需履行个人信息保护责任，以下哪些措施符合合规要求？

A.客户同意前不收集生物信息

B.定期进行隐私影响评估

C.允许用户一键删除所有数据

D.将隐私政策挂在网站首页

答案：A、B、C

解析：D选项仅挂网站首页不足，需确保用户可便捷访问。

2.题干：针对我国金融行业，以下哪些属于APT攻击常见手法？

A.勒索病毒加密服务器

B.利用供应链漏洞植入后门

C.社会工程学钓鱼邮件

D.扫描弱口令爆破系统

答案：B、C

解析：金融APT攻击多通过供应链或钓鱼入侵，而非普通勒索或弱口令攻击。

3.题干：某政府单位部署态势感知平台，其核心价值包括？

A.实时监测威胁行为

B.自动化响应攻击

C.统计员工加班时长

D.生成安全报表

答案：A、B、D

解析：C选项与安全无关，态势感知主要用于威胁检测、自动化处置和合规报表。

4.题干：根据《密码法》，以下哪些场景必须使用商用密码？

A.私营企业内部通信

B.金融机构核心系统

C.政府部门数据传输

D.普通网页浏览

答案：B、C

解析：金融和政务系统属于关键信息基础设施，必须使用商用密码。

5.题干：某公司员工遭遇钓鱼邮件，以下哪些处置措施正确？

A.立即点击邮件附件

B.向安全部门报告

C.退出网页版邮箱

D.检查邮件发件人地址

答