2026年IT行业合规审查从入门到精通面试题.docxVIP

第PAGE页共NUMPAGES页

2026年IT行业合规审查：从入门到精通面试题

一、单选题（共10题，每题2分，合计20分）

考察点：IT行业合规基础知识、数据保护法规、云服务合规要求。

1.根据《个人信息保护法》，以下哪种行为属于“过度收集”个人信息？

A.根据用户需求动态调整广告推送内容

B.在用户注册时要求填写生日、性别等非必要信息

C.通过用户行为分析优化产品功能

D.在用户同意的前提下收集其位置信息用于精准导航

答案：B

解析：《个人信息保护法》规定，收集个人信息应当具有明确、合理的目的，并限于实现目的所必需的最小范围。选项B中，收集生日、性别等非必要信息属于过度收集。

2.某公司使用AWS云服务存储客户数据，若需满足欧盟《GDPR》要求，以下哪项措施最关键？

A.将数据存储在欧盟境内数据中心

B.与客户签订数据处理协议（DPA）

C.对员工进行数据保护培训

D.使用AWS的加密服务

答案：A

解析：《GDPR》要求个人数据处理应遵循“数据本地化”原则，优先存储在欧盟境内数据中心。虽然B、C、D也是合规措施，但A是最关键的。

3.《网络安全法》规定，关键信息基础设施运营者发生网络安全事件后，应在多久内向有关部门报告？

A.2小时内

B.12小时内

C.24小时内

D.48小时内

答案：C

解析：《网络安全法》规定，关键信息基础设施运营者发生网络安全事件的，应当在24小时内向有关主管部门报告。

4.某公司开发了一款AI推荐系统，若使用用户数据训练模型，需满足以下哪项要求才能合规？

A.用户明确同意使用其数据

B.仅使用匿名化数据

C.不向第三方提供原始数据

D.定期删除训练数据

答案：A

解析：《个人信息保护法》要求处理个人信息需取得个人同意，AI推荐系统使用用户数据训练模型必须获得明确同意。

5.以下哪种加密方式最适合保护传输中的数据？

A.哈希加密（如SHA-256）

B.对称加密（如AES）

C.非对称加密（如RSA）

D.基于区块链的加密

答案：B

解析：对称加密（如AES）效率高，适合保护传输中的数据；哈希加密不可逆，非对称加密密钥管理复杂，区块链适用于特定场景。

6.某公司因未妥善保管客户数据被罚款100万，依据的可能是以下哪部法规？

A.《电子商务法》

B.《数据安全法》

C.《个人信息保护法》

D.《网络安全法》

答案：C

解析：未妥善保管客户数据属于个人信息保护违规，依据的是《个人信息保护法》。

7.在IT审计中，以下哪项属于“控制测试”？

A.评估系统架构是否合理

B.验证用户权限分配是否正确

C.检查数据备份是否有效

D.分析业务流程风险

答案：B

解析：控制测试验证内部控制的执行效果，如权限分配是否正确；A、D属于风险评估，C属于技术测试。

8.某公司使用开源软件，以下哪种情况可能构成合规风险？

A.仅使用MIT许可的软件

B.未经许可修改源代码

C.按要求提供许可证声明

D.使用Apache2.0许可的软件

答案：B

解析：修改开源软件需遵守许可证要求，未经许可修改可能侵犯版权。

9.《网络安全等级保护》中，哪级保护适用于国家关键信息基础设施？

A.等级1（基础保护）

B.等级2（增强保护）

C.等级3（核心保护）

D.等级4（特殊保护）

答案：C

解析：等级3（核心保护）适用于关键信息基础设施。

10.某公司使用第三方API获取用户数据，以下哪项是最佳合规实践？

A.直接调用API无需用户同意

B.在隐私政策中说明API使用情况

C.使用免费API以降低成本

D.仅向授权员工开放API访问

答案：B

解析：使用第三方API需明确告知用户并取得同意，并在隐私政策中说明。

二、多选题（共5题，每题3分，合计15分）

考察点：跨地域合规、合规审计流程、云合规最佳实践。

1.某公司同时服务中国和欧盟客户，以下哪些合规要求需同时满足？

A.《个人信息保护法》

B.《GDPR》

C.《CCPA》

D.《网络安全法》

答案：A、B

解析：中国客户受《个人信息保护法》约束，欧盟客户受《GDPR》约束；C（CCPA）适用于美国加州，D（网络安全法）是通用要求。

2.IT合规审计通常包含哪些阶段？

A.风险评估

B.控制测试

C.符合性检查

D.报告撰写

答案：A、B、C、D

解析：合规审计需依次完成风险评估、控制测试、符合性检查，最后撰写报告。

3.使用AWS云服务时，以下哪些措施有助于满足HIPAA合规要求？

A.启用AWSKMS加密

B.获取HIPAA业务伙伴协议（BAA）

C.将数据存储在HIPAA合规区域

D.定期进行安全审计

答