2026年IT行业软件合规性面试问题集.docxVIP

第PAGE页共NUMPAGES页

2026年IT行业软件合规性面试问题集

一、单选题（每题2分，共20题）

1.数据隐私法规

欧盟GDPR规定，个人数据主体有权要求企业删除其个人数据，该权利被称为？

A.访问权

B.删除权

C.限制处理权

D.更正权

答案：B

2.行业特定合规

银行业软件需要满足哪个国际标准？

A.HIPAA

B.PCIDSS

C.ISO27001

D.GDPR

答案：B

3.加密技术

以下哪种加密方式属于对称加密？

A.RSA

B.AES

C.ECC

D.SHA-256

答案：B

4.合规风险评估

企业进行合规风险评估时，首先应该关注？

A.技术漏洞

B.法律法规变更

C.内部控制缺陷

D.第三方供应商风险

答案：B

5.数据本地化

中国《网络安全法》要求关键信息基础设施运营者在中国境内存储个人信息，该要求属于？

A.数据跨境传输限制

B.数据本地化要求

C.数据分类分级

D.数据加密要求

答案：B

6.API安全

以下哪种API安全测试方法属于静态测试？

A.模糊测试

B.代码审计

C.渗透测试

D.压力测试

答案：B

7.云合规

AWS云服务中，用于满足HIPAA合规性的服务是？

A.S3

B.RDS

C.Glacier

D.CloudTrail

答案：B

8.访问控制

基于角色的访问控制（RBAC）的核心思想是？

A.最小权限原则

B.角色分配原则

C.需要-to-know原则

D.自助服务原则

答案：B

9.日志管理

金融机构需要保留交易日志的最短时间是？

A.3个月

B.6个月

C.1年

D.5年

答案：D

10.供应链安全

软件供应链安全的核心威胁是？

A.DDoS攻击

B.代码注入

C.分布式拒绝服务攻击

D.SQL注入

答案：B

二、多选题（每题3分，共10题）

1.合规框架

ISO27001信息安全管理体系包含哪些核心要素？

A.风险评估

B.安全策略

C.物理安全

D.持续改进

E.人员安全

答案：A,B,D,E

2.数据保护

中国《个人信息保护法》规定的个人信息处理原则包括？

A.合法、正当、必要

B.公开透明

C.最小化处理

D.存储限制

E.透明化

答案：A,B,C,D

3.加密应用

以下哪些场景需要使用数据加密？

A.数据传输

B.数据存储

C.代码审计

D.日志记录

E.身份验证

答案：A,B

4.云合规要求

满足HIPAA合规的云服务提供商需要具备？

A.数据加密

B.审计日志

C.安全漏洞扫描

D.合规认证（如HIPAABusinessAssociateAgreement）

E.数据备份

答案：A,B,D,E

5.访问控制模型

常见的访问控制模型包括？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

E.基于身份的访问控制（IBAC）

答案：A,B,C,D

6.安全开发流程

安全软件开发生命周期（SSDLC）包含哪些阶段？

A.需求分析

B.设计阶段

C.代码开发

D.测试阶段

E.部署与运维

答案：A,B,C,D,E

7.合规审计

软件合规审计通常包括哪些内容？

A.文档审查

B.系统测试

C.面谈访谈

D.漏洞扫描

E.配置核查

答案：A,C,D,E

8.数据跨境传输

中国《网络安全法》允许数据跨境传输的条件包括？

A.获得个人信息主体同意

B.采取技术措施保障安全

C.通过国家网信部门安全评估

D.向境外提供者提供必要信息

E.符合国际标准

答案：A,B,C

9.漏洞管理

软件漏洞管理流程包括？

A.漏洞识别

B.风险评估

C.补丁开发

D.补丁测试

E.补丁部署

答案：A,B,D,E

10.第三方风险管理

评估第三方供应商合规性的方法包括？

A.合规审查

B.签订责任协议

C.定期审计

D.紧急响应测试

E.服务水平协议（SLA）

答案：A,C,E

三、简答题（每题5分，共6题）

1.简述中国《网络安全法》对关键信息基础设施运营者的数据安全要求。

要求：存储在中国境内的个人信息，关键信息基础设施运营者应当在中国境内进行存储；通过国家网信部门会同国务院有关部门组织的国家安全审查；制定内部安全管理规范；定期进行安全评估。

2.解释什么是数据最小化原则，并举例说明在软件开发中的应用。

数据最小化原则指收集和处理个人信息时，仅限于实现特定目的所必需的最少数据。应用示例：用户注册时，仅收集必要的身份