《GBT 45577-2025 数据安全技术 数据安全风险评估方法》巩固测试试卷及参考答案.pdfVIP

《GB/T45577-2025数据安全技术数据安全风险评

估方法》巩固测试试卷及参考答案

试卷部分

一、单项选择题（共15题，每题2分，共30分）

1.《GB/T45577-2025数据安全技术数据安全风险评估方法》的适用范围是（）。

A.仅适用于国家关键信息基础设施运营者

B.适用于指导第三方评估机构，但不适用于数据处理者自行评估

C.适用于指导数据处理者、第三方评估机构开展数据安全风险评估

D.仅适用于个人信息处理者的风险评估活动

2.根据标准中的定义，数据安全风险源的简称是（），它不仅包括安全威胁利

用脆弱性可能导致数据安全事件的风险源，也包括数据处理活动不合理操作可能

造成违法违规处理事件的风险源。

A.风险点

B.风险源

C.脆弱性

D.威胁

3.标准5.2描述了数据安全风险评估的要素关系，其中核心的评估对象是（）。

A.信息系统和网络设备

B.安全威胁和漏洞

C.数据和数据处理活动

D.业务运营和盈利模式

4.数据安全风险评估的实施流程主要包括五个阶段，其正确的顺序是（）。

A.信息调研→评估准备→风险分析与评价→风险识别→评估总结

B.评估准备→信息调研→风险识别→风险分析与评价→评估总结

C.评估准备→风险识别→信息调研→评估总结→风险分析与评价

D.信息调研→风险识别→评估准备→风险分析与评价→评估总结

5.（内容框架图表类）：根据标准中的“数据安全风险评估内容框架”，识别数

据处理活动安全风险时，通常不包括以下哪一项具体活动？（）。

6.参考内容框架图：评估内容主要分为数据安全管理、数据处理活动安全、数据

安全技术、个人信息保护四大块。

A.数据收集安全

B.数据存储安全

C.数据删除安全

D.系统漏洞扫描

7.在“信息调研”阶段，需要形成多项清单，其中用于记录“支撑业务的信息系

统名称、功能、开发及运维方、承载的数据种类等信息”的是（）。

A.数据处理活动清单

B.数据资产清单

C.安全措施情况清单

D.信息系统清单

8.根据标准6.2，当选取组织全部数据和数据处理活动作为评估范围时，推荐遵

循的原则和步骤是（）。

A.随机抽样，选取典型系统进行深入评估

B.全面摸排，重点评估

C.优先评估新上线业务和信息系统

D.仅评估涉及个人信息的数据处理活动

9.（评估手段表格类）：标准5.7描述了数据安全风险评估的四种主要手段。对

于“核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防

护措施情况”，这属于哪种评估手段？（）。

评估手段类型典型描述

人员访谈对相关人员进行访谈，核查落实情况

文档查验查验管理制度、报告等有关材料

____核查系统和设备安全策略、配置等

技术测试应用技术工具、渗透测试等手段检测

A.技术测试

B.文档查验

C.安全核查

D.现场巡视

10.在“风险识别”阶段，标准8.1要求对所有被评估对象首先应进行的步骤是

（）。

A.立即进行技术渗透测试

B.分析已开展的测评工作情况

C.全面检查第三方合作方情况

D.评估数据出境安全

11.根据“个人信息保护”的风险识别要求，如果被评估对象处理个人信息，则

评估内容应在数据安全管理、数据处理活动安全、数据安全技术的基础上（）。

A.不再重复评估，直接引用过往审计结论

B.增加对个人信息保护风险的识别

C.仅评估敏感个人信息的处理风险

D.将个人信息保护作为可选评估项

12.（风险清单表格类）：在风险分析与评价阶段，需要形成“数据安全风险源

清单”（表1）。在填写该清单的“涉及的数据处理活动”字段时，应填写（）。

13.表1数据安全风险源清单

14.（部分字段示意）

15.序号|风险描述|...|涉及的数据处理活动|...

A.评估团队的成员姓名

B.风险可能造成的经济损失金额预估

C.该风险源涉及的数据收集、存储、使用和加工等情况

D.业务部门的年度营收目标

16.根据标准9.2.2，进行“风险危害程度分析”时，应遵循的原则是（）。

A.分别判断，取最低危害等级

B.就高从严、整体分析

C.忽略低价值数据的影响

D.仅考虑直接经济损失

17.在进行