网络安全题目-拾光志

[单选题]

一、单选（1-540）

1.为了保障( )，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

A.网络自由

B.网络速度

C.网络安全

D.网络信息

答案：C

2.在中华人民共和国境内建设、运营、( )和使用网络，以及网络安全的监督管理，适用本法。

答案：A

A.维护

B.运维

C.运营

D.建设

3.国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、( )、确保安全的方针。

答案：B

A.科学发展

B.依法管理

C.确保安全的方针

D.积极利用

4.国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的( )、工作任务和措施。

答案：C

A.安全策略

B.工作任务

C.网络安全政策

D.措施

5.国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、( )、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

答案：B

A.检测

B.侵入

C.扫描

D.监督

6.国家倡导诚实守信、( )的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

答案：C

A.自由平等

B.团结互助

C.健康文明

D.和平友爱

7.国家积极开展( )、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。

答案：B

A.网络领域

B.网络空间治理

C.地域网络

D.网络空间

8.国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责( )和监督管理工作。

答案：D

A.网络安全

B.设备安全

C.信息安全

D.网络安全保护

9.县级以上地方人民政府有关部门的网络安全保护和( )，按照国家有关规定确定。

答案：C

A.监督

B.监督管理

C.监督管理职责

D.职责

10.网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，( )，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

答案：A

A.诚实信用

B.诚实

C.守信

D.有道德

11.建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的( )、保密性和可用性。

答案：B

A.稳定性

B.完整性

C.一致性

D.机密性

12.网络相关行业组织按照章程，加强行业自律，( )，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

答案：C

A.安全准则

B.加强行业自律

C.制定网络安全行为规范

D.加强网络安全

13.国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，( )，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

答案：D

A.服务水平

B.网络服务

C.业务水平

D.提升网络服务水平

14.任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，( )，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

答案：B

A.危害网络安全

B.不得危害网络安全

C.网络安全

D.社会公德

15.国家支持研究开发有利于未成年人健康成长的网络产品和( )，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

答案：C

A.权利

B.义务

C.服务

D.网络产品

16.任何个人和组织有权对危害网络安全的行为向网信、电信、( )等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

答案：C

A.纪检

B.财政

C.公安

D.法院

17.国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及( )、服务和运行安全的国家标准、行业标准。

答案：D

A.网络

B.技术

C.产品

D.网络产品

18.国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、( )的制定。

答案：A

A.行业标准

B.行业

C.行业准则

D.标准

19.国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持( )的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

答案：D

A.安全

B.网络

C.技术人员

D.网络安全技术

20.国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和( )等安全服务。

答案：C

A.安全认证

B.检测

C.风险评估

D.预防

21.国家鼓励开发网络( )保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

答案：B

A.数据

B.数据安全

C.资料

D.安全

22.国家支持创新( )管理方式，运用网络新技术，提升网络安全保护水平。

答案：C

A.网络

B.安全

C.网络安全

D.网络设备

23.各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并( )有关单位做好网络安全宣传教育工作。

答案：A

A.指导、督促

B.指导

C.督促

D.监督

24.大众传播媒介应当有针对性地( )进行网络安全宣传教育。

答案：D

A.针对大家

B.面向职员

C.社会

D.面向社会

25.国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养( )，促进网络安全人才交流。

答案：B

A.安全人员

B.网络安全人才

C.技术人员

D.人才

26.国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者( )的访问，防止网络数据泄露或者被窃取、篡改。

答案：C

A.已授权

B.破坏

C.未经授权

D.干扰

27.网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置( )；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

答案：A

A.恶意程序

B.病毒

C.木马

D.程序

28.网络产品、服务具有( )功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

答案：C

A.隐私

B.搜索

C.收集用户信息

D.检测信息

29.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全( )，避免重复认证、检测。

答案：D

A.机制

B.检测

C.结果

D.检测结果互认

30.网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户( )信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

答案：B

A.任意身份

B.提供真实身份

C.其他人

D.当事人

31.国家实施网络可信身份战略，支持研究开发安全、方便的( )技术，推动不同电子身份认证之间的互认。

答案：C

A.身份认证

B.检测

C.电子身份认证

D.安全

32.网络运营者应当制定网络安全事件( )，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

答案：A

A.应急预案

B.紧急措施

C.预案

D.措施

33.开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络( )，应当遵守国家有关规定。

答案：A

A.安全信息

B.信息

C.预警

D.连接

34.任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取( )等危害网络安全的活动。

答案：B

A.机密

B.网络数据

C.信息

D.资料

35.不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的( ) 。

答案：C

A.人员

B.程序

C.程序、工具

D.工具

36.明知他人从事危害网络安全的活动的，不得为其提供( )、广告推广、支付结算等帮助。

答案：D

A.工具

B.资金

C.运维

D.技术支持

37.网络运营者应当为公安机关、国家安全机关依法维护( )和侦查犯罪的活动提供技术支持和协助。

答案：B

A.个人安全

B.国家安全

C.人民利益

D.个人利益

38.国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面( )，提高网络运营者的安全保障能力。

答案：A

A.进行合作

B.相互竞争

C.互相协作

D.协同作战

39.有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对( )的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。

答案：B

A.网络

B.网络安全风险

C.安全

D.风险

40.网信部门和有关部门在履行网络安全保护职责中获取的( )，只能用于维护网络安全的需要，不得用于其他用途。

答案：D

A.程序

B.工具

C.利益

D.信息

41.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、( )的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

答案：B

A.国计民生

B.公共利益

C.国家安全

D.个人利益

42.按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的( )基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

答案：C

A.一般信息

B.基础设施

C.关键信息

D.机密

43.建设关键信息基础设施应当确保其具有支持业务稳定、( )，并保证安全技术措施同步规划、同步建设、同步使用。

答案：D

A.持续性

B.连续性

C.稳定性

D.持续运行的性能

44.关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行（）C、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。

A.培训

B.教育

C.网络安全教育

D.学习

45.关键信息基础设施的运营者采购网络产品和服务，可能影响( )的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

答案：A

A.国家安全

B.公共财产

C.人民利益

D.个人安全

46.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订( )协议，明确安全和保密义务与责任。

答案：C

A.保密

B.责

C.安全保密

D.义务

47.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在( )存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

答案：D

A.本地

B.首都

C.境外

D.境内

48.关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和( )每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

答案：C

A.连续性

B.持续性

C.可能存在的风险

D.风险

49.对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托( )对网络存在的安全风险进行检测评估；

答案：A

A.网络安全服务机构

B.网络公司

C.第三方

D.安全部门

50.定期组织关键信息基础设施的运营者进行网络安全( )，提高应对网络安全事件的水平和协同配合能力；

答案：A

A.应急演练

B.教育

C.演示

D.风险

51.促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全( )；

答案：C

A.责任共担

B.义务

C.信息共享

D.有用信息

52.网络运营者应当对其收集的用户信息( )，并建立健全用户信息保护制度。

答案：D

A.全部公开

B.部分公开

C.保守秘密

D.严格保密

53.网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经( )同意。

答案：B

A.使用者

B.被收集者

C.法人

D.人民

54.网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和( )收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

答案：C

A.双方敲定

B.约定

C.双方的约定

D.沟通

55.个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，( )要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

答案：B

A.无权

B.有权

C.有利于

D.有责任

56.任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得( )或者非法向他人提供个人信息。

答案：C

A.有意

B.故意

C.非法出售

D.出售

57.依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密( )，不得泄露、出售或者非法向他人提供。

答案：A

A.严格保密

B.守口如瓶

C.个人信息

D.公开

58.任何个人和组织应当对其( )的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

答案：C

A.上网

B.聊天

C.使用网络

D.网购

59.网络运营者应当加强对其( )的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

答案：A

A.用户发布的信息

B.网民

C.公民

D.用户

60.任何个人和组织发送的电子信息、提供的应用软件，不得设置( )，不得含有法律、行政法规禁止发布或者传输的信息。

答案：B

A.软件

B.恶意程序

C.木马

D.病毒

61.电子信息发送服务提供者和应用软件下载服务提供者，应当履行( )，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

答案：A

A.安全管理义务

B.安全义务

C.管理义务

D.安全责任

62.网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时( )有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

答案：C

A.受理

B.处理

C.受理并处理

D.建议

63.国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求( )停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。

答案：A

A.网络运营者

B.网络使用者

C.网络发布者

D.网络造谣者

64.国家建立网络安全监测预警和信息通报制度。国家网信部门应当( )有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

答案：B

A.统筹

B.统筹协调

C.协调

D.安排

65.负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全( )和信息通报制度，并按照规定报送网络安全监测预警信息。

答案：C

A.检测

B.监测

C.监测预警

D.预警

66.国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织( )。

答案：D

A.演示

B.沟通

C.学习

D.演练

67.网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的( )，并根据网络安全风险的特点和可能造成的危害，采取下列措施：（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。

答案：C

A.权限

B.程序

C.权限和程序

D.流程

68.发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行( )，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

答案：A

A.调查和评估

B.调查

C.评估

D.分析

69.省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大( )或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。

答案：B

A.安全责任

B.安全风险

C.安全事件

D.保密

70.因网络安全事件，发生( )或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

答案：C

A.突发

B.事

C.突发事件

D.时间

71.因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在( )对网络通信采取限制等临时措施。

答案：A

A.特定区域

B.特定时间

C.特定空间

D.网址

72.网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者( )等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

答案：B

A.网络安全服务机构

B.导致危害网络安全

C.危害公共安全

D.公共财产

73.关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全( )的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

答案：C

A.保护

B.责任

C.保护义务

D.义务

74.违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销( )，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

答案：C

A.上网卡

B.资格证

C.营业执照

D.驾驶证

75.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取( )等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

答案：C

A.更改

B.删除

C.消除

D.撤回

76.关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险( )至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

答案：D

A.四年

B.三年

C.两年

D.每年

77.国家实施网络( )战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

答案：B

A.认证身份

B.可信身份

C.信誉身份

D.安全身份

78.根据《网络安全法》的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在( )。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定。

答案：B

A.第三方存储

B.境内存储

C.外部存储器储存

D.境外存储

79.根据《网络安全法》的规定，( )负责统筹协调网络安全工作和相关监督管理工作。

答案：A

A.国家网信部门

B.中国联通

C.中国电信

D.信息部

80.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的( )。

答案：D

A.国家采购审查

B.国家网信安全审查

C.国家网络审查

D.国家安全审查

81.国家鼓励开发网络数据安全保护和利用技术，促进( )开放，推动技术创新和经济社会发展。

答案：D

A.公共学校资源

B.公共图书馆资源

C.国家数据资源

D.公共数据资源

82.国家建立和完善网络安全标准体系。( )和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

答案：A

A.国务院标准化行政主管部门

B.网信部门

C.电信企业

D.电信研究机构

83.根据《网络安全法》的规定，国家实行网络安全( )保护制度。

答案：D

A.结构

B.行政级别

C.分层

D.等级

84.国家推进网络安全( )建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

答案：B

A.社会化识别体系

B.社会化服务体系

C.社会化认证体系

D.社会化评估体系

85.网络产品、服务具有( )的，其提供者应当向用户明示并取得同意，涉及用户个人信息的，还应当遵守《网络安全法》和有关法律、行政法规关于个人信息保护的规定。

答案：D

A.公开用户资料功能

B.提供用户家庭信息功能

C.用户填写信息功能

D.收集用户信息功能

86.《网络安全法》规定，各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并( )有关单位做好网络安全宣传教育工作。

答案：C

A.支持、指导

B.支持、引导

C.指导、督促

D.鼓励、引导

87.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订( )，明确安全和保密义务与责任。

答案：D

A.安全服务合同

B.安全责任条款

C.保密合同

D.安全保密协议

88.国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事( )的活动，为未成年人提供安全、健康的网络环境。

答案：B

A.侵害未成年人受教育权

B.危害未成年人身心健康

C.灌输未成年人错误网络思想

D.针对未成年人黄赌毒

89.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构( )或者安全检测符合要求后，方可销售或者提供。

答案：B

A.认证产品合格

B.安全认证合格

C.认证网速合格

D.认证设备合格

90.网络相关行业组织按照章程，( )，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

答案：C

A.宣传行业规范

B.提升行业标准

C.加强行业自律

D.遵守行业规范

91.根据《网络安全法》的规定，( )应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

答案：C

A.电信科研机构

B.网络合作商

C.网络运营者

D.电信企业

92.网络产品、服务应当符合相关国家标准的( )要求。

答案：B

A.自觉性

B.强制性

C.建议性

D.规范性

93.网络产品、服务的提供者不得设置( )，发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

答案：A

A.恶意程序

B.攻击程序

C.风险程序

D.病毒程序

94.国家( )关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

答案：B

A.引导

B.鼓励

C.支持

D.投资

95. 《中华人民共和国网络安全法》施行时间是( )。

答案：B

A. 2016 年 11 月 7 日

B. 2017 年 6 月 1 日

C. 2017 年 1 月 1 日

D. 2017 年 10 月 1 日

96. 国家坚持网络安全与信息化发展并重，遵循( )的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

答案：A

A. 积极利用、科学发展、依法管理、确保安全

B. 同步规划、同步建设、同步使用

C. 网络实名制

D. 网络安全等级保护制度

97. 国家实行( )制度，采取技术和管理措施，认定网络的安全保护等级，并对等级保护对象采取相应的保护措施。

答案：A

A. 网络安全等级保护

B. 网络安全认证

C. 网络安全监测

D. 网络安全审查

98. 网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：( )

答案：D

①制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

②采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

③采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

④采取数据分类、重要数据备份和加密等措施；

⑤法律、行政法规规定的其他义务。

A. ①②③④

B. ①②③⑤

C. ①②④⑤

D. ①②③④⑤

99. 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供( )。

答案：A

A. 真实身份信息

B. 联系方式

C. 电子邮箱

D. 家庭住址

100. 网络运营者收集、使用个人信息，应当遵循( )的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

答案：A

A. 合法、正当、必要

B. 合法、安全、必要

C. 合法、正当、安全

D. 合法、安全、有效

101. 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的( )。

答案：A

A. 国家安全审查

B. 国家技术认证

C. 国家质量检测

D. 国家性能评估

102. 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行( )检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

答案：A

A. 一次

B. 两次

C. 三次

D. 四次

103. 国家网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于( )。

答案：A

A. 维护网络安全的需要

B. 商业用途

C. 个人用途

D. 科研目的

104. 任何个人和组织有权对危害网络安全的行为向( )等部门举报。

答案：A

A. 网信、电信、公安

B. 工商、税务、公安

C. 工信、环保、公安

D. 财政、审计、公安

105. 网络运营者违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得( )罚款，没有违法所得的，处（）罚款。

答案：A

A. 一倍以上十倍以下；一百万元以下

B. 二倍以上五倍以下；五十万元以下

C. 三倍以上五倍以下；十万元以下

D. 一倍以上五倍以下；五十万元以下

106. 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得( )罚款，没有违法所得的，处（）罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

答案：A

A. 一倍以上十倍以下；一百万元以下

B. 二倍以上五倍以下；五十万元以下

C. 三倍以上五倍以下；十万元以下

D. 一倍以上五倍以下；五十万元以下

107. 关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处违法所得（）罚款，没有违法所得的，处( )罚款；情节严重的，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

答案：A

A. 一倍以上十倍以下；一百万元以下

B. 二倍以上五倍以下；五十万元以下

C. 三倍以上五倍以下；十万元以下

D. 一倍以上五倍以下；五十万元以下

108. 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处( )罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

答案：A

A. 一万元以上十万元以下

B. 五万元以上五十万元以下

C. 十万元以上一百万元以下

D. 五十万元以上二百万元以下

109. 网络产品、服务具有收集用户信息功能的，其提供者应当向用户( )，并取得同意。

答案：B

A. 明示并告知用户

B. 明示收集、使用信息的目的、方式和范围

C. 标准收费方式

D. 公开使用用户信息的用途

110. 因网络安全事件，发生突发事件或者生产安全事故的，应当依照( )等有关法律、行政法规的规定处置。

答案：A

A. 《中华人民共和国突发事件应对法》《中华人民共和国安全生产法》

B. 《中华人民共和国网络安全法》

C. 《中华人民共和国治安管理处罚法》

D. 《中华人民共和国刑法》

111. 国家建立和完善网络安全标准体系。( )和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

答案：A

A. 国务院标准化行政主管部门

B. 国家网信部门

C. 工业和信息化部

D. 公安部

112. 网络运营者应当制定( )，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

答案：A

A. 网络安全事件应急预案

B. 网络安全管理制度

C. 网络安全操作规程

D. 网络安全审计制度

113. ( )负责统筹协调网络安全工作和相关监督管理工作。

答案：A

A. 国家网信部门

B. 国务院电信主管部门

C. 公安部门

D. 国家保密行政管理部门

114. 网络运营者应当为( )、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

答案：A

A. 公安机关

B. 网信部门

C. 工信部门

D. 检察院

115. 国家鼓励开发网络数据安全保护和利用技术，促进( )开放，推动技术创新和经济社会发展。

答案：A

A. 公共数据资源

B. 国家数据资源

C. 企业数据资源

D. 个人数据资源

116. 网络运营者违反本法规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处( )罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

答案：A

A. 五万元以上五十万元以下

B. 十万元以上一百万元以下

C. 二十万元以上二百万元以下

D. 五十万元以上五百万元以下

117. 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订( )，明确安全和保密义务与责任。

答案：C

A. 安全服务合同

B. 保密协议

C. 安全保密协议

D. 安全采购合同

118. 国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全( )等安全服务。

答案：A

A. 认证、检测和风险评估

B. 维护、管理和监督

C. 审计、评估和监测

D. 建设、运营和维护

119. 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者( )其个人信息。

答案：A

A. 及时删除

B. 及时保存

C. 及时更正

D. 及时共享

120. 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取( )等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

答案：D

A. 删除

B. 屏蔽

C. 断开链接

D. 以上都是

121. 国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事( )的活动，为未成年人提供安全、健康的网络环境。

答案：A

A. 危害未成年人身心健康

B. 侵害未成年人受教育权

C. 侵害未成年人财产权

D. 危害未成年人隐私权

122. ( )以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

答案：C

A. 省级

B. 市级

C. 县级

D. 乡级

123. 网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：( )

答案：A

①未将网络安全风险、网络安全事件向有关主管部门报告；

②未按照规定及时告知用户并向有关主管部门报告；

③未制定网络安全事件应急预案或者不按照应急预案采取措施；

④设置恶意程序的。

A. ①②③

B. ①②④

C. ①③④

D. ②③④

124. 网络产品、服务的提供者，应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，( )终止提供安全维护。

答案：A

A. 不得

B. 可以

C. 经批准后可以

D. 视情况可以

125. 国家坚持网络安全与信息化发展并重，遵循( )的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

答案：A

A. 积极利用、科学发展、依法管理、确保安全

B. 同步规划、同步建设、同步使用

C. 网络安全为人民，网络安全靠人民

D. 以上都不对

126. 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过( )进行国家安全审查。

答案：A

A. 国家网信部门会同国务院有关部门

B. 国务院公安部门

C. 省级以上人民政府有关部门

D. 市级以上人民政府有关部门

127. 网络运营者应当按照( )的要求，履行安全保护义务。

答案：D

A. 法律、行政法规

B. 国家标准的强制性要求

C. 行业标准

D. 法律、行政法规和国家标准的强制性要求

128. 网络运营者收集、使用个人信息，应当遵循( )的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

答案：A

A. 合法、正当、必要

B. 合法、公平、必要

C. 合法、合理、必要

D. 合理、公平、正当

129. 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：( )

答案：D

A. 制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任

B. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

C. 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月

D. 以上都是

130. 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者( )。

答案：D

A. 不得设置恶意程序

B. 发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告

C. 应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护

D. 以上都是

131. 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供( )等帮助。

答案：D

A. 技术支持

B. 广告推广

C. 支付结算

D. 以上都是

132. 国家建立网络安全监测预警和( )制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

答案：B

A. 应急处置

B. 应急响应

C. 应急救援

D. 应急管理

133. 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险( )至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

答案：B

A. 每半年

B. 每年

C. 每两年

D. 每三年

134. 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供( )。

答案：A

A. 真实身份信息

B. 联系方式

C. 电子邮箱

D. 以上都不对

135. 因网络安全事件，发生突发事件或者生产安全事故的，应当依照( )等有关法律、行政法规的规定处置。

答案：D

A. 《中华人民共和国突发事件应对法》

B. 《中华人民共和国安全生产法》

C. 《中华人民共和国消防法》

D. A和B

136. 国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事( )的活动，为未成年人提供安全、健康的网络环境。

答案：D

A. 针对未成年人黄赌毒

B. 灌输恐怖主义、极端主义思想

C. 侵害未成年人受教育权

D. 危害未成年人身心健康

137. 网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处( )罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

答案：B

A. 十万元以上五十万元以下

B. 二十万元以上一百万元以下

C. 五十万元以上二百万元以下

D. 一百万元以上五百万元以下

138. 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处( )罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

答案：A

A. 一万元以上十万元以下

B. 二万元以上二十万元以下

C. 五万元以上五十万元以下

D. 十万元以上一百万元以下

139. 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，( )要求网络运营者及时采取删除等措施。

答案：B

A. 无权

B. 有权

C. 经协商可以

D. 以上都不对

140.国家实施网络( )战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

答案：C

A.安全身份

B.信誉身份

C.可信身份

D.认证身份

141.根据《网络安全法》的规定，国家实行网络安全( )保护制度。

答案：D

A.分层

B.行政级别

C.结构

D.等级

142.网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取( )等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

答案：A

A.消除

B.撤回

C.更改

D.删除

143.根据《网络安全法》的规定，( )应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

答案：B

A.网络合作商

B.网络运营者

C.电信企业

D.电信科研机构

144.国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事( )的活动，为未成年人提供安全、健康的网络环境。

答案：A

A.危害未成年人身心健康

B.侵害未成年人受教育权

C.灌输未成年人错误网络思想

D.针对未成年人黄赌毒

145.关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订( )，明确安全和保密义务与责任。

答案：C

A.安全责任条款

B.保密合同

C.安全保密协议

D.安全服务合同

146.国家推进网络安全( )建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

答案：C

A.社会化认证体系

B.社会化识别体系

C.社会化服务体系

D.社会化评估体系

147.关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的( )。

答案：C

A.国家网络审查

B.国家网信安全审查

C.国家安全审查

D.国家采购审查

148.网络相关行业组织按照章程，( )，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

答案：B

A.宣传行业规范

B.加强行业自律

C.提升行业标准

D.遵守行业规范

149.网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构( )或者安全检测符合要求后，方可销售或者提供。

答案：A

A.安全认证合格

B.认证网速合格

C.认证产品合格

D.认证设备合格

150.关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险( )至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

答案：C

A.三年

B.四年

C.每年

D.两年

151.根据《网络安全法》的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在( )。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定。

答案：A

A.境内存储

B.境外存储

C.第三方存储

D.外部存储器储存

152.《网络安全法》规定，各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并( )有关单位做好网络安全宣传教育工作。

答案：C

A.鼓励、引导

B.支持、指导

C.指导、督促

D.支持、引导

153.国家鼓励开发网络数据安全保护和利用技术，促进( )开放，推动技术创新和经济社会发展。

答案：B

A.公共学校资源

B.公共数据资源

C.公共图书馆资源

D.国家数据资源

154.网络产品、服务具有( )的，其提供者应当向用户明示并取得同意，涉及用户个人信息的，还应当遵守《网络安全法》和有关法律、行政法规关于个人信息保护的规定。

答案：B

A.提供用户家庭信息功能

B.收集用户信息功能

C.用户填写信息功能

D.公开用户资料功能

155.国家建立和完善网络安全标准体系。( )和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

答案：C

A.网信部门

B.电信企业

C.国务院标准化行政主管部门

D.电信研究机构

156.根据《网络安全法》的规定，( )负责统筹协调网络安全工作和相关监督管理工作。

答案：C

A.中国电信

B.中国联通

C.国家网信部门

D.信息部

157.网络产品、服务应当符合相关国家标准的( )要求。

答案：A

A.强制性

B.建议性

C.规范性

D.自觉性

158.国家( )关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

答案：D

A.引导

B.投资

C.支持

D.鼓励

159.网络产品、服务的提供者不得设置( )，发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

答案：D

A.风险程序

B.病毒程序

C.攻击程序

D.恶意程序

160.制定《中华人民共和国数据安全法》的目的是为了规范数据处理活动，保障数据安全，促进数据开发和利用，保护个人、组织的（），维护国家主权、安全和( )。

答案：C

A.财产权益，发展利益

B.财产权益，长远利益

C.合法权益，发展利益

D.合法权益，长远利益

161.在( )开展数据处理活动及其安全监管，适用《中华人民共和国数据安全法》。

答案：A

A.我国境内

B.我国境内及境外

C.我国境外

D.我国部分地区

162.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全( )管理制度。

答案：A

A.全流程数据安全

B.“谁处理谁负责”

C.风险评估

D.应急处置

163.《中华人民共和国数据安全法》中的数据，是指任何以电子或者其他方式对( )的记录。

答案：B

A.数据

B.信息

C.文件

D.知识

164.《中华人民共和国数据安全法》是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家( )，制定的法律。

答案：A

A.主权、安全、发展利益

B.安全、权利、稳定

C.主权、安全、稳定发展

D.安全、权利、利益

165.《数据安全法》经十三届全国人大常委会第二十九次会议通过并正式发布，于( )起施行。

答案：C

A.2021 年 6 月 1 日

B.2021 年 8 月 1 日

C.2021 年 9 月 1 日

D.2021 年 10 月 1 日

166.《数据安全法》规定:在中华人民共和国（）开展数据处理活动及其安全监管，适用本法。在中华人民共和国（）开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。( )

答案：B

A.大陆、全境

B.境内、境外

C.国内、国外

D.国内、全境

167.《数据安全法》规定:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。( )依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

答案：C

A.工业和信息化部

B.国家安全部门

C.国家网信部门

D.通信主管部门

168.《数据安全法》从哪个角度为执行者设定了合规的要求( )

答案：D

A.信息保护角度

B.数据保护角度

C.信息安全角度

D.数据与安全的角度

169. 《数据安全法》中的 “数据”，不仅包括电子形式，也包括以其他方式记录的信息。即无论是().或是()的数据都需要受到《数据安全法》的管辖,范围相当宽泛。( )

答案：B

A.涉密，非涉密

B.电子形式，纸质形式

C.国有，非国有

D.商业，非商业

170. 以下哪项属于《数据安全法》出台的目的( )

答案：A

A.规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。

B.维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

C.在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

D.开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

171. 数据安全，是指通过采取必要措施，确保( )处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力

答案：C

A.信息

B.技术

C.数据

D.发展

172. ( )是《数据安全法》三审中新增的内容

答案：B

A.重要数据

B.核心数据

C.商密数据

D.涉密数据

173. 《数据安全法》中，( )是核心数据的范畴。

答案：D

A.涉密数据

B.重要数据

C.商密数据

D.关系国家安全、国民经济命脉、重要民生、重大公共利益等数据

174. 《中华人民共和国数据安全法》自( )起施行。

答案：D

A.2021年6月10日

B.2021年5月31日

C.2020年11月1日

D.2021年9月1日

175. 根据《中华人民共和国数据安全法》规定，维护数据安全，应当坚持总体国家安全观，建立健全数据安全( )，提高数据安全保障能力。

答案：B

A.保障体系

B.治理体系

C.标准体系

D.评估体系

176. 提供智能化公共服务，应当充分考虑( )的需求，避免对他们的日常生活造成障碍。

答案：B

A.妇女和儿童

B.老年人和残疾人

C.欠发达地区群众

D.残疾人

177. 国家建立( )，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

答案：A

A.数据分类分级保护制度

B.数据保护制度

C.数据管理制度

D.数据安全治理制度

178. 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在( )的基础上，履行上述数据安全保护义务。

答案：A

A.网络安全等级保护制度

B.分级保护制度

C.数据安全治理制度

D.数据分级分类保护制度

179. 数据的敏感级别由哪方决定？( )

答案：C

A.数据管理员

B.数据使用者

C.数据所有者

D.都可以

180. 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送 ( )。

答案：B

A.数据安全风险清单

B.风险评估报告

C.风险报告单

D.评估报告单

181. 开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取（）；发生数据安全事件时，应当立即采取( )，按照规定及时告知用户并向有关主管部门报告。

答案：A

A.补救措施、处置措施

B.处置措施、补救措施

C.应急措施、补救措施

D.补救措施、应急措施

182. 下列选项哪个不是数据安全三要素( )

答案：D

A.机密性

B.可用性

C.完整性

D.易用性

183. 违反国家( )，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

答案：C

A.数据分级分类制度

B.网络安全等级保护制度

C.核心数据管理制度

D.安全管理制度

184. 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用的规定( )

答案：A

A.《中华人民共和国网络安全法》

B.《中华人民共和国数据安全法》

C.《个人信息保护法》

D.《刑法》

185. 相对于《网络安全法》，《数据安全法》在( )管辖上实现了突破

答案：D

A.数据所有者

B.信息泄露

C.数据处理

D.境外

186.( )欧盟公布了《欧洲数据战略》。

答案：A

A.2020年3月

B.2021年4月

C.2020年6月

D.2021年3月

187.( )第十三届全国人大常委会第二十次会议对《数据安全法（草案）》进行了初次审议。

答案：A

A.2020年6月28日

B.2021年6月28日

C.2020年6月23日

D.2021年6月23日

188.国家支持( )、社会团体和教育、科研机构等参与标准制定。

答案：A

A.企业

B.家族

C.国际组织

D.执法部门

189.《数据安全法》第二十三条国家建立数据安全( )。

答案：C

A.应急方案

B.规章制度

C.应急处置机制

D.法律法规

190.《数据安全法》第二十四条国家建立( )。

答案：B

A.管理制度

B.安全审查制度

C.管理办法

D.管理团队

191.开展数据处理活动应当( )，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施。

答案：D

A.加强安全管理

B.加强团队管理

C.加强技术培养

D.加强风险监测

192.( )应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

答案：C

A.漏洞扫描报告

B.生产管理报告

C.风险评估报告

D.安全管理文档

193.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用( )的规定。

答案：C

A.《中华人民共和国密码法》

B.《中华人民共和国数据安全法》

C.《中华人民共和国网络安全法》

D.《个人信息保护法》

194.《数据安全法》对中华人民共和国境内的数据提出了数据安全保护的要求，强调未经许可不得( )。

答案：C

A.使用和存储

B.提供和出售

C.提供和存储

D.转借和存储

195.相对于《中华人民共和国网络安全法》，《中华人民共和国数据安全法》在( )管辖上实现了突破。

答案：D

A 数据所有者

B 信息泄露

C 数据治理

D 境外

196.《中华人民共和国数据安全法》中的“数据”，不仅包括电子形式，也包括以其他方式记录的信息。即无论是( ) , 或是（）的数据都需要受到《中华人民共和国数据安全法》的管辖，范围相当宽泛。

答案：B

A 涉密非涉密

B 电子形式纸质形式

C 国有非国有

D 商业非商业

197.( )是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

答案：B

A 网络安全

B 数据安全

C 国家安全

D 财产安全

198.( ) 负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

答案：A

A 中央国家安全领导机构

B 全国人大代表大会

C 中华人民共和国国务院

D 中华人民共和国国家安全部

199.国家支持开展( )宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。

答案：C

A 网络安全知识

B 防诈骗知识

C 数据安全知识

D 人身安全防护

200.国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。( ) 应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

答案：C

A 县级以上人民政府

B 市级以上人民政府

C 省级以上人民政府

D 中华人民共和国国务院

201.国家建立数据( )制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

答案：D

A 分类分级备案

B 分级访问权限

C 分级实时备份

D 分类分级保护

202.国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑( )的需求，避免对其的日常生活造成障碍。

答案：C

A 老年人

B 残疾人

C 老年人残疾人

D 儿童残疾人

203.违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处( )以上（）以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

答案：A

A 二百万元一千万元

B 二百万元二千万元

C 三百万元一千万元

D 三百万元二千万元

204.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送( )。

答案：D

A 数据安全风险清单

B 应急补救措施

C 风险报告单

D 风险评估报告

205. 国家坚持以( )为宗旨，维护数据安全。

答案：A

A. 人民安全

B. 政治安全

C. 经济安全

D. 社会安全

206. ( )负责统筹协调网络数据安全和相关监管工作。

答案：A

A. 国家网信部门

B. 国务院工业和信息化主管部门

C. 国务院公安部门

D. 国务院

207. 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。这里的数据处理不包括( )

答案：D

数据的收集

B. 数据的删除

C. 数据的公开

D. 数据的研究

208. 数据安全有多重含义，以下不属于数据安全内涵的是( )

答案：D

A. 数据本身的安全

B. 数据处理过程的安全

C. 数据传输过程的安全

D. 数据销毁后的安全

209. 数据处理者应当按照规定对其数据处理活动定期开展( )。

答案：A

A. 安全评估

B. 风险监测

C. 应急演练

D. 人员培训

210. 违反《数据安全法》规定，构成犯罪的，依法追究( )。

答案：C

A. 民事责任

B. 行政责任

C. 刑事责任

D. 社会责任

211. 国家建立健全数据交易管理制度，规范数据交易行为，培育( )。

答案：A

A. 数据交易市场

B. 数据交易主体

C. 数据交易平台

D. 数据交易环境

212. 数据安全是指通过采取必要措施，确保数据处于( )的状态，

答案：A

以及具备保障持续安全状态的能力。

有效保护和合法利用

B. 合理存储和有效利用

C. 合法使用和适当保护

D. 安全保护和有效传输

213.《中华人民共和国密码法》自( )起施行。

答案：C

A.2019 年 10 月 1 日

B.2019 年 12 月 1 日

C.2020 年 1 月 1 日

D.2020 年 4 月 15 日

214.密码法所称密码，是指采用特定变换的方法对信息等进行( )的技术、产品和服务。

答案：C

A.加密保护

B.安全认证

C.加密保护、安全认证

D. 加密保护或安全认证

215. 密码分为核心密码、普通密码和( )。

答案：A

A. 商用密码

B. 民用密码

C. 政务密码

D. 社会密码

216.核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为( )。

答案：A

A.绝密级

B.机密级

C.秘密级

D.内部级

217.普通密码保护信息的最高密级为( )。

答案：B

A.绝密级

B.机密级

C.秘密级

D. 内部级

218.( )负责管理全国的密码工作。

答案：A

A.国家密码管理部门

B.国家安全部门

C.国家保密行政管理部门

D.公安机关

219.( )以上地方各级密码管理部门负责管理本行政区域的密码工作。

答案：C

A.省级

B.市级

C.县级

D.乡级

220.国家对密码实行分类管理，其依据是( )。

答案：C

A.密码的功能

B.密码的使用范围

C.密码的重要程度以及使用对象

D.密码的技术难度

221.核心密码、普通密码属于( )，由密码管理部门依法实行严格统一管理。

答案：A

A.国家秘密

B.商业秘密

C.工作秘密

D.个人隐私

222.商用密码用于保护( )信息。

答案：C

A.国家秘密

B.商业秘密

C.不属于国家秘密的

D.个人隐私

223.国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全( )的商用密码市场体系，鼓励和促进商用密码产业发展。

答案：A

A.统一、开放、竞争、有序

B.统一、公平、公正、公开

C.竞争、合作、开放、有序

D.科学、合理、开放、竞争

224.从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构（以下统称密码工作机构）应当按照( )的原则，建立健全安全管理制度，采取严格的保密措施和保密责任制。

答案：B

A.谁主管谁负责

B.业务工作谁主管、保密工作谁负责

C.党政同责

D.一岗双责

225.密码管理部门因工作需要，按照国家有关规定，可以提请( )等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。

答案：A

A.公安、交通运输、海关

B.公安、国家安全、海关

C.国家安全、交通运输、海关

D.公安、国家安全、交通运输

226.国家加强密码人才培养和队伍建设，将密码安全教育纳入( )，建立适应密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

答案：A

A.国民教育体系和公务员教育培训体系

B.高等教育体系

C.职业教育体系

D.中小学教育体系

227.国家采取多种形式加强密码安全教育，将密码安全教育纳入( )，增强公民、法人和其他组织的密码安全意识。

答案：A

A.国民教育体系和公务员教育培训体系

B.义务教育体系

C.职业教育体系

D. 成人教育体系

228. 商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码( )以及该从业单位公开标准的技术要求。

答案：B

A. 行业标准

B. 强制性国家标准

C. 团体标准

D. 企业标准

229.国家推动参与商用密码国际标准化活动，参与制定商用密码A），推进商用密码中国标准与国外标准之间的转化运用。

A.国际标准

B.国家标准

C.行业标准

D.团体标准

230.国家鼓励企业、社会团体和教育、科研机构等参与商用密码( )制定。

答案：B

A.国际标准

B.国家标准、行业标准、团体标准

C.地方标准

D.企业标准

231.涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入( )目录，由具备资格的机构检测认证合格后，方可销售或者提供。

答案：C

A.网络关键设备和网络安全专用产品

B.商用密码产品认证

C.强制性产品认证

D.以上都不对

232.商用密码服务使用网络的，应当按照( )的规定，履行网络安全、数据安全义务。

答案：D

A.《中华人民共和国网络安全法》

B.《中华人民共和国数据安全法》

C.《中华人民共和国国家安全法》

D. 以上都是

233. 国家对密码实行分类管理，密码分为( )。

答案：A

A. 核心密码、普通密码和商用密码

B. 高级密码、中级密码和初级密码

C. 绝密密码、机密密码和秘密密码

D. 军事密码、政务密码和商业密码

234. 核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为( )。

答案：A

A. 绝密级

B. 机密级

C. 秘密级

D. 内部级

235. 普通密码保护信息的最高密级为( )。

答案：B

A. 绝密级

B. 机密级

C. 秘密级

D. 内部级

236. ( )依法对密码工作进行指导、监督和管理。

答案：A

A. 国家密码管理部门

B. 国家安全部门

C. 公安机关

D. 工业和信息化部门

237. 商用密码从业单位开展商用密码活动，应当符合有关( )以及商用密码强制性国家标准的要求。

答案：B

A. 法律、行政法规、商用密码国际标准

B. 法律、行政法规、商用密码行业标准

C. 法律、地方性法规、商用密码国际标准

D. 法律、地方性法规、商用密码行业标准

238. 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照( )的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

答案：A

A. 《中华人民共和国网络安全法》

B. 《中华人民共和国国家安全法》

C. 《中华人民共和国密码法》

D. 《中华人民共和国政府采购法》

239. 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全( )的商用密码市场体系，鼓励和促进商用密码产业发展。

答案：A

A. 统一、开放、竞争、有序

B. 统一、公平、公正、公开

C. 竞争、合作、开放、创新

D. 自主、平等、竞争、发展

240. 国家推动参与商用密码国际标准化活动，参与制定商用密码( )，推进商用密码中国标准与国外标准之间的转化运用。

答案：A

A. 国际标准

B. 行业标准

C. 地方标准

D. 企业标准

241. 密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露( )。

答案：C

A. 所有源代码

B. 所有经营信息

C. 商业秘密

D. 客户信息

242. 密码管理部门因工作需要，按照国家有关规定，可以( )商用密码检测、认证机构的检测、认证结果。

答案：C

A. 查阅

B. 复制

C. 查阅、复制

D. 封存

243. 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入( )目录，由具备资格的机构检测认证合格后，方可销售或者提供。

答案：A

A. 强制性产品认证

B. 自愿性产品认证

C. 推荐性产品认证

D. 行业性产品认证

244. 商用密码检测、认证机构应当依法取得( )。

答案：B

A. 营业执照

B. 相应资格

C. 税务登记证

D. 组织机构代码证

245. 关键信息基础设施的运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与( )同步规划、同步建设、同步运行。

答案：A

A. 关键信息基础设施建设

B. 网络安全建设

C. 信息化建设

D. 业务系统建设

246. 国家推进商用密码( )体系建设，制定相关技术规范、规则。

答案：A

A. 检测认证

B. 安全评估

C. 标准

D. 监管

247. 违反《密码法》规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予( )。

答案：B

A. 行政处罚

B. 处分

C. 刑事处罚

D. 拘留

248. 窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害( )等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

答案：A

A. 国家安全、社会公共利益、他人合法权益

B. 国家安全、商业秘密、个人隐私

C. 国家利益、社会秩序、个人权益

D. 国家主权、社会稳定、人民安全

249. 密码管理部门和有关部门的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私的，依法给予( )。

答案：B

A. 行政处罚

B. 处分

C. 刑事处罚

D. 拘留

250. 国家加强密码人才培养和队伍建设，将密码安全教育纳入( )，鼓励和支持高等学校、职业学校开设密码相关专业。

答案：A

A. 国民教育体系和公务员教育培训体系

B. 义务教育体系和职业教育体系

C. 高等教育体系和成人教育体系

D. 基础教育体系和专业教育体系

251. ( )以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。

答案：C

A. 省级

B. 市级

C. 县级

D. 乡级

252. 国家支持社会团体、企业利用自主创新技术制定( )国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

答案：C

A. 低于

B. 等同于

C. 高于

D. 不同于

253. 商用密码产品检测、认证机构应当依法开展商用密码产品检测认证活动，对其( )负责。

答案：A

A. 检测认证结果

B. 检测认证过程

C. 检测认证人员

D. 检测认证设备

254. 国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的( )。

答案：A

A. 知识产权和商业秘密

B. 发明创造和；商业秘密

C. 知识产权和个人隐私

D. 发明创造和个人隐私

255. 密码管理部门根据工作需要会同有关部门建立( )，加强密码管理部门与有关部门的协同配合和信息共享。

答案：A

A. 密码工作协调机制

B. 密码安全应急机制

C. 密码产业促进机制

D. 密码技术创新机制

256.《中华人民共和国个人信息保护法》自( )起实施。

答案：C

A 2021 年 9 月 1 日

B 2021 年 10 月 1 日

C 2021 年 11 月 1 日

D 2021 年 12 月 1 日

257.处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取( )的方式。

答案：B

A 对个人权益影响最大

B 对个人权益影响最小

C 对个人信息收集最全

D 对个人信息收集最少

258.收集个人信息，应当限于实现处理目的的( )，不得过度收集个人信息。

答案：B

A 最大范围

B 最小范围

C 较多范围

D 适当范围

259. 处理个人信息应当保证个人信息的质量，避免因个人信息( )对个人权益造成不利影响。

答案：D

A 准确完整

B 准确不完整

C 不准确完整

D 不准确不完整

260.除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的( )。

答案：A

A 最短时间

B 最长时间

C 较长时间

D 较短时间

261.( )是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

答案：D

A 自动化决策

B 匿名化

C 信息加密

D 去标识化

262.在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置( )提示标识。

答案：C

A 规范的

B 可见的

C 显著的

D 隐蔽的

263.( )负责统筹协调个人信息保护工作和相关监督管理工作。

答案：C

A 国家公安部门

B 国家保密部门

C 国家网信部门

D 国家工信部门

264.个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括( )。

答案：D

A.姓名

B.身份证号

C.手机号

D.匿名化处理后的信息

265. 处理个人信息应当遵循( ) 原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

答案：A

A.合法、正当、必要和诚信原则

B.合理、正当、必要和诚信原则

C.合理、正当、充分和诚信原则

D.合法、正当、充分和诚信原则

266.处理个人信息应当具有明确、合理的目的，并应当与处理目的( ) 相关，采取对个人权益影响最小的方式。

答案：D

A.间接

B.必须

C.完全

D.直接

267.处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，( ) 处理的目的、方式和范围。

答案：C

A.明确

B.确定

C.明示

D.暗示

268.处理个人信息应当保证个人信息的( )，避免因个人信息不准确、不完整对个人权益造成不利影响。

答案：A

A.质量

B.准确性

C.数量

D.可信度

269.基于个人同意处理个人信息的，个人( ) 撤回其同意。个人信息处理者应当提供（）。

答案：A

A.有权；便捷的撤回同意的方式

B.无权；撤回之后的功能影响说明

C.有权；有效的撤回同意的方式

D.无权；撤回之后的功能影响说明

270.通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，并向个人提供便捷的( ) 方式。

答案：C

A.选择

B.实现

C.拒绝

D.查看

271.在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于( )，不得用于其他目的；取得个人单独同意的除外。

答案：A

A.维护公共安全的目的

B.维护信息安全的目的

C.维护公共安全的相关宣传

D.维护公共秩序

272.( )是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。

答案：B

A.网络数据使用者

B.网络数据处理者

C.网络数据管理者

D.网络数据所有者

273.符合下列哪些条件就可以被定义为大型网络平台？( )。

答案：B

A.注册用户在 1000 万以下

B.注册用户 5000 万以上或者月活跃用户 1000 万以上

C.每月活跃用户在 500 万以下

D.只有当月活跃用户超过 1 亿时

274.( )指两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。

答案：A

A.共同处理

B.委托处理

C.单独处理

D.数据共享

275.《网络数据安全管理条例》的发布的发布是应对新形势下( )的迫切需要。

答案：D

A.传统产业的数字化转型

B.国际网络安全合作

C.网络安全人才培养

D.网络数据安全风险

276.党的二十届三中全会审议通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出“提升( ) 能力，建立高效便利安全的数据跨境流动机制”等要求。

答案：C

A.数据流通治理监管

B.数据存储监管

C.数据安全治理监管

D.数据环境安全

277.网络数据处理者使用自动化工具访问、收集网络数据，应当( )，不得非法侵入他人网络，不得干扰网络服务正常运行。

答案：A

A.评估对网络服务带来的影响

B.忽略服务带来的影响

C.仅关注数据收集的数量

D.禁止使用任何自动化工具

278.生成式人工智能服务提供者必须确保使用具有( )来源的数据和基础模型。

答案：B

A.免费

B.合法

C.公开

D.调查

279.提供生成式人工智能服务的网络数据处理者应当( )，采取有效措施防范和处置网络数据安全风险。

答案：D

A.减少对训练数据的依赖

B.忽略训练数据处理活动的安全管理

C.专注于提升算法效率，不考虑数据安全

D.加强对训练数据和训练数据处理活动的安全管理

280.国家机关委托他人建设、运行、维护电子政务系统，存储、加工政务数据，应当按照( )经过严格的批准程序，明确受托方的网络数据处理权限、保护责任等，监督受托方履行网络数据安全保护义务。

答案：C

A.企业标准

B.行业自律

C.国家有关规定

D.个人意愿

281.网络数据处理者应当建立健全网络数据安全事件应急预案，发生网络数据安全事件时，应当立即( )。

答案：B

A.更新应急预案

B.启动应急预案

C.立即删除数据

D.进行数据备份

282.网络数据处理者应当( )对其处理个人信息遵守法律、行政法规的情况进行合规审计。

答案：B

A.依靠内部员工的自我检查

B.定期自行或者委托专业机构

C.依靠上级部门的定期检查

D.不定期自行或者委托专业机构

283.( )应当明确网络数据安全负责人和网络数据安全管理机构。

答案：B

A.所有网络用户

B.重要数据的处理者

C.平台服务的提供者

D.数据安全监管部门

284.( )，提高重要数据安全管理水平。

答案：D

A.国家鼓励网络数据所有者使用数据标签标识等技术和产品

B.国家要求必须使用特定的技术和产品

C.国家不鼓励网络数据处理者使用数据标签标识等技术和产品

D.国家鼓励网络数据处理者使用数据标签标识等技术和产品

285.( )：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

答案：C

A.重要数据

B.个人信息

C.敏感个人信息

D.隐私数据

286.( )是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

答案：B

A.重要数据

B.个人信息

C.隐私数据

D.敏感个人信息

287.重要数据风险评估和( )的内容重合的，相关结果可以互相采信。

答案：B

A.数据采集

B.网络安全等级测评

C.数据迭代

D.数据存储

288.( )是国家权力机关或行政机关依照政策和法令而制定并发布的，针对政治、经济、文化等各个领域内的某些具体事项而作出的，比较全面系统、具有长期执行效力的法规性公文。

答案：B

A.法律

B.条例

C.制度

D.政策

289.网络安全的本质在( )。

答案：A

A.对抗

B.防御

C.共享

D.加密

290.《网络数据安全管理条例》自( )起施行。

答案：D

A.2022 年 1 月 1 日

B.2023 年 1 月 1 日

C.2024 年 1 月 1 日

D.2025 年 1 月 1 日

291.境外的组织、个人从事危害中华人民共和国国家安全、公共利益，或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的，( )会同有关主管部门可以依法采取相应的必要措施。

答案：C

A.安全部

B.外交部

C.国家网信部门

D.国务院

292. 根据《生成式人工智能服务管理暂行办法》，大模型服务提供者需对用户输入数据承担( )责任。

答案：C

A. 存储备份

B. 安全审计

C. 隐私保护

D. 知识产权

293. 下列哪项符合《数据安全法》对大模型训练数据的要求？( )

答案：B

A. 数据可随意跨境传输

B. 重要数据需本地存储

C. 敏感数据可直接使

D. 无需数据分类分级

294. 大模型“可解释性”技术的核心目标是( )。

答案：C

A. 提高模型效率

B. 降低训练成本

C. 解释决策逻辑

D. 增加参数规模

295. 根据《网络安全等级保护2.0》，大模型平台需落实( )措施。

答案：C

A. 自主保护

B. 系统审计

C. 安全标记

D. 结构化保护

296. 大模型应用中，“隐私计算”技术主要用于( )。

答案：B

A. 数据加密传输

B. 多方数据协同训练

C. 模型压缩

D. 提升响应速度

297. 《人工智能伦理规范》要求，大模型需避免生成( )内容。

答案：B

A. 广告推广

B. 政治敏感

C. 天气预报

D. 学术论文

298. 大模型微调时，使用联邦学习的主要目的是( )。

答案：A

A. 保护数据隐私

B. 减少算力消耗

C. 提高模型精度

D. 简化训练流程

299. 根据《互联网信息服务算法推荐管理规定》，大模型需备案( )。

答案：B

A. 训练数据来源

B. 算法机制机理

C. 用户画像数据

D. 服务器地址

300. 大模型训练数据标注需遵循( )原则。

答案：B

A. 效率优先

B. 最小必要

C. 全面采集

D. 匿名公开

301. 大模型输出内容的知识产权归属需在( )中明确约定。

答案：A

A. 用户协议

B. 技术文档

C. 隐私政策

D. 算法说明

302. 医疗大模型生成诊疗建议时，若直接给出明确诊断结论，需按照( )医疗器械管理。

答案：C

A. 第一类

B. 第二类

C. 第三类

D. 无需分类

303. 大模型性能指标中，“首Token时延”指( )。

答案：B

A. 首个完整句子生成时间

B. 首个Token生成时间

C. 每秒生成Token数量

D. 整句生成总时间

304. 根据《人工智能大模型第1部分：通用要求》，大模型参考架构不包括( )。

答案：D

A. 资源池

B. 工具

C. 行业应用

D. 硬件开发

305. 金融机构使用大模型进行合规审核时，需重点验证( )。

答案：A

A. 生成内容准确性

B. 模型参数规模

C. 响应速度

D. 算力消耗

306. 大模型训练中，“早停法”的作用是( )。

答案：A

A. 防止过拟合

B. 加速模型收敛

C. 降低计算成本

D. 提升泛化能力

307. 智能交通大模型算法备案需提交( )。

答案：B

A. 交通流量数据

B. 算法自评估报告

C. 用户画像数据

D. 服务器配置

308. 大模型服务能力成熟度最高等级是( )。

答案：C

A. 基础应用级

B. 协同优化级

C. 深度赋能级

D. 行业标杆级

309. 医疗大模型生成药品广告时，需遵守( )。

答案：B

A. 《医疗器械监督管理条例》

B. 《广告法》

C. 《网络安全法》

D. 《数据安全法》

310. 大模型测试中，“TP99”指标用于衡量( )。

答案：A

A. 99%请求的最长响应时间

B. 99%请求的最短响应时间

C. 平均响应时间

D. 最大并发数

311. 金融大模型在反欺诈场景中，需重点验证( )。

答案：C

A. 生成内容合规性

B. 模型参数规模

C. 数据来源合法性

D. 响应速度

312. 大模型训练数据中，违法不良信息占比需≤( )。

答案：A

A. 5%

B. 10%

C. 15%

D. 20%

313. 教育娱乐大模型生成内容时，需避免( )。

答案：B

A. 广告推广

B. 版权侵权

C. 多语言支持

D. 个性化服务

314. 大模型部署时，需配置( )监测异常访问行为。

答案：A

A. 安全监控系统

B. 负载均衡器

C. 数据库管理系统

D. 内容分发网络

315. 金融大模型智能审核系统需关联( )。

答案：A

A. 合规知识库

B. 用户画像数据

C. 硬件资源池

D. 第三方API

316. 大模型训练数据标注人员需签署( )。

答案：A

A. 保密协议

B. 劳动合同

C. 投资协议

D. 无要求

317. 医疗大模型生成诊疗建议时，需确保( )。

答案：B

A. 直接给出诊断结论

B. 辅助诊断功能

C. 无需备案

D. 无需标注来源

318. 大模型性能指标中，“QPS”指( )。

答案：A

A. 每秒查询数

B. 并发数

C. 生成速度

D. 响应时间

319. 智能交通大模型算法备案需覆盖( )。

答案：A

A. 路网优化建议

B. 图像识别

C. 语音合成

D. 视频生成

320. 大模型测试中，“生成质量”指标不包括( )。

答案：C

A. 语义连贯性

B. 逻辑准确性

C. 响应速度

D. 内容相关性

321. 金融大模型在信贷风险评估中，需确保( )。

答案：A

A. 数据来源合法

B. 模型参数规模

C. 响应速度

D. 算力消耗

322.《人脸识别技术应用安全管理办法》自( )起施行。

答案：B

A. 2025 年3 月21 日

B. 2025 年6 月1 日

C. 2025 年12 月31 日

D. 2026 年1 月1 日

323. 应用人脸识别技术处理人脸信息活动的首要原则是( )。

答案：B

A. 以盈利为目的

B. 遵守法律法规，尊重社会公德和伦理

C. 优先考虑便捷性

D. 保证技术先进性

324. 基于个人同意处理人脸信息的，应当取得个人在( )前提下自愿、明确作出的单独同意。

答案：A

A. 充分知情

B. 他人告知

C. 不了解处理目的

D. 模糊知晓

325. 除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于( )。

答案：B

A. 互联网云端

B. 人脸识别设备内

C. 第三方数据平台

D. 公共数据库

326. 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到( )人之日起30 个工作日内向所在地省级以上网信部门履行备案手续。

答案：B

A. 1 万

B. 10 万

C. 50 万

D. 100 万

327. 人脸识别技术应用系统应采取多种措施保护人脸信息安全，下列不属于规定措施的是( )。

答案：C

A. 数据加密

B. 安全审计

C. 随意访问

D. 入侵检测和防御

328. 在公共场所安装人脸识别设备，应当为维护( )所必需。

答案：B

A. 商业利益

B. 公共安全

C. 个人隐私

D. 企业形象

329. 任何组织和个人不得以办理业务、提升服务质量等为由，( )个人接受人脸识别技术验证个人身份。

答案：B

A. 引导

B. 误导、欺诈、胁迫

C. 鼓励

D. 宣传

330. 对于不满十四周岁未成年人人脸信息的处理，应当取得( )的同意。

答案：B

A. 未成年人自己

B. 未成年人的父母或者其他监护人

C. 学校老师

D. 未成年人的亲友

331. 个人信息保护影响评估报告和处理情况记录应当至少保存( )年。

答案：C

A. 1 年

B. 2 年

C. 3 年

D. 5 年

332．《关键信息基础设施安全保护条例》规定，国家建立关键信息基础设施安全保护工作( )机制，统筹协调有关部门、保护工作部门、运营者以及网络安全服务机构等之间的关系。

答案：C

A、协同

B、联动

C、协作

D、合作

333．《关键信息基础设施安全保护条例》规定，国家鼓励关键信息基础设施以外的网络运营者自愿参与( )。

答案：A

A、关键信息基础设施安全保护体系

B、网络安全等级保护

C、网络安全监测预警

D、网络安全应急演练

334．《关键信息基础设施安全保护条例》规定，履行关键信息基础设施安全保护职责的部门发现网络安全威胁、漏洞等安全风险，应当按照规定及时( )运营者采取措施消除风险。

答案：C

A、通知

B、要求

C、督促

D、责令

335．《关键信息基础设施安全保护条例》规定，省级人民政府有关部门在各自职责范围内负责( )的关键信息基础设施安全保护和监督管理工作。

答案：B

A、全国

B、本行政区域

C、本行业

D、本系统

336．《关键信息基础设施安全保护条例》规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处( )罚款。

答案：C

A、10万元以上100万元以下

B、20万元以上200万元以下

C、50万元以上500万元以下

D、100万元以上1000万元以下

337.关键信息基础设施运营者采购网络产品和服务，可能影响( )的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

答案：B

A.网络安全

B.国家安全

C.信息安全

D.系统安全

338.关键信息基础设施的界定依据不包括( )

答案：D

A.业务重要性

B.用户数量

C.影响范围

D.设备数量

339.以下哪种不属于关键信息基础设施( )

答案：C

A.铁路

B.医院

C.个人网站

D.银行

340.关键信息基础设施保护工作的牵头部门是( )

答案：C

A.公安部

B.工信部

C.网信办

D.发改委

341.关键信息基础设施运营者应在发生网络安全事件( )小时内报告有关部门。

答案：D

A.1

B.2

C.3

D. 4

342.关键信息基础设施运营者的网络安全应急预案应( )演练。

答案：C

A.每月

B.每季度

C.每年

D.每两年

343.关键信息基础设施运营者采购涉及( )的网络产品和服务，应按照规定进行安全审查。

答案：A

A.核心技术

B.一般技术

C.新兴技术

D.所有技术

344.国家对关键信息基础设施实行( )保护。

答案：D

A.重点

B.全面

C.特殊

D.分级

345.关键信息基础设施运营者应保障( )的安全。

答案：C

A.网络数据

B.个人信息

C.重要数据

D.全部数据

346.根据《关键信息基础设施安全保护条例》，关键信息基础设施的认定应当坚持“谁主管谁负责”和“( )”原则。

答案：C

A. 最小必要

B. 动态调整

C. 分级保护

D. 全面覆盖

347.北京市某地铁运营企业的指挥调度系统被认定为关键信息基础设施，其运营者应当在认定结果公布后( )内，按照《条例》要求制定本单位关键信息基础设施安全保护计划，报保护工作部门备案。

答案：B

A. 15日

B. 30日

C. 45日

D. 60日

348.以下不属于《网络安全法》规定的“关键信息基础设施”范围的是( )。

答案：C

A. 北京市政务云平台

B. 某第三方支付机构的核心交易系统

C. 社区菜市场的电子秤数据管理系统

D. 国家电网北京分公司的智能电网调度控制系统

349.针对关键信息基础设施的网络安全监测预警，公安机关应当与行业主管部门、运营者建立信息共享机制。根据《条例》，运营者发现重大网络安全风险时，应当立即向( )报告。

答案：C

A. 市级公安机关网安部门

B. 国家网信部门

C. 保护工作部门和公安机关

D. 省级通信管理部门

350.某关键信息基础设施运营者因未按要求对重要系统进行容灾备份，导致发生数据全量丢失的网络安全事件。根据《条例》，公安机关可对其直接负责的主管人员处( )罚款。

答案：A

A. 1万元以上10万元以下

B. 2万元以上20万元以下

C. 5万元以上50万元以下

D. 10万元以上100万元以下

351.以下关于关键信息基础设施安全保护中“供应链安全”的表述，错误的是( )。

答案：B

A. 运营者应当对关键设备和软件的供应商进行安全审查

B. 供应商发生合并、分立时，运营者无需重新评估其安全风险

C. 运营者应当建立供应链安全管理清单，明确关键产品和服务范围

D. 涉及国家秘密的关键信息基础设施供应链安全管理，需同时遵守国家保密规定

352.北京市某银行的核心业务系统被检测出存在高危漏洞（CVSS评分9.8），且漏洞利用可导致系统瘫痪。根据《网络安全法》及《条例》要求，运营者应当在( )内完成漏洞修复。

答案：A

A. 24小时

B. 48小时

C. 72小时

D. 5个工作日

353.以下不属于关键信息基础设施安全保护“三同步”要求的是( )。

答案：D

A. 安全措施与关键信息基础设施同步规划

B. 安全措施与关键信息基础设施同步建设

C. 安全措施与关键信息基础设施同步使用

D. 安全措施与关键信息基础设施同步报废

354.某关键信息基础设施运营者开展网络安全应急演练时，模拟遭受APT攻击导致业务中断。根据《条例》，演练结束后应当形成总结报告，并在( )内向保护工作部门和公安机关备案。

答案：A

A. 5个工作日

B. 10个工作日

C. 15个自然日

D. 30个自然日

355.公安机关在关键信息基础设施保护工作中，依法履行的职责不包括( )。

答案：C

A. 指导监督运营者落实安全保护责任

B. 参与关键信息基础设施认定工作

C. 对运营者的网络安全等级保护工作进行备案

D. 组织开展跨部门、跨区域的网络安全事件应急处置

356.以下关于关键信息基础设施安全检测评估的表述，正确的是( )。

答案：A

A. 运营者应当自行或委托第三方每年至少开展1次安全检测评估

B. 检测评估报告无需向保护工作部门和公安机关报送

C. 检测评估可仅针对系统功能进行，无需涉及数据安全

D. 境外组织提供的检测评估服务可直接用于关键信息基础设施

357.某关键信息基础设施运营者因内部员工违规操作导致用户个人信息泄露，造成恶劣社会影响。根据《数据安全法》，公安机关可对其处以最高( )罚款。

答案：B

A. 500万元

B. 1000万元

C. 上一年度营业额5%

D. 上一年度营业额10%

358.北京市某通信运营商的5G核心网被认定为关键信息基础设施，其运营者应当优先采购( )的网络产品和服务。

答案：B

A. 性价比最高

B. 经安全认证或检测符合要求

C. 国外知名品牌

D. 国产替代率达80%以上

359.以下关于关键信息基础设施安全保护中“数据本地化存储”的要求，正确的是( )。

答案：A

A. 所有关键信息基础设施相关数据必须在境内存储

B. 重要数据出境需经安全评估，但一般数据无需限制

C. 涉及国家安全的数据出境应向公安机关备案即可

D. 数据本地化存储仅适用于个人信息，不包括业务数据

360.GB/T 43698-2024《网络安全技术软件供应链安全要求》由( )提出并归口，该信息来源于文件前言部分对标准归口单位的说明。

答案：A

A. 全国网络安全标准化技术委员会（SAC/TC260）

B. 国家市场监督管理总局

C. 国家标准化管理委员会

D. 中国信息安全测评中心

361.软件供应链安全风险管理要求不包括( )

答案：B

A. 基本流程

B. 人员培训

C. 风险评估

D. 风险处置

362.关于GB/T 43698-2024《网络安全技术软件供应链安全要求》件涉及专利的说法，正确的是( )

答案：D

A. 发布机构需识别所有专利

B. 涉及专利的内容不得纳入标准

C. 使用本文件需获得专利许可

D. 发布机构不承担识别专利的责任

363.数据安全风险评估的核心要素是( )。

答案：A

A. 数据和数据处理活动

B. 业务和信息系统

C. 安全措施和风险源

D. 数据处理者和监管部门

364.下列不属于数据处理活动的是( )。

答案：D

A. 数据收集

B. 数据存储

C. 数据传输

D. 数据加密

365.数据安全风险评估的实施流程不包括( )。

答案：B

A. 评估准备

B. 风险处置

C. 信息调研

D. 风险识别

366.处理 1000 万人以上个人信息的数据处理者，应多久开展一次数据安全风险评估( )。

答案：A

A. 每年度

B. 每半年

C. 每季度

D. 每月

367.数据安全风险危害程度从低到高分为( )个级别。

答案：C

A. 3

B. 4

C. 5

D. 6

368.风险发生可能性从低到高分为( )个级别。

答案：A

A. 3

B. 4

C. 5

D. 6

369.下列属于重大安全风险的是( )。

答案：A

A. 可能直接影响国家安全的数据安全风险

B. 可能直接影响经济运行的数据安全风险

C. 可能对企业合法权益造成较严重影响的数据安全风险

D. 可能对个人权益造成一般影响的数据安全风险

370.数据安全风险评估手段不包括( )。

答案：D

A. 人员访谈

B. 文档查验

C. 技术测试

D. 风险处置

371.下列不属于数据安全管理评估内容的是( )。

答案：C

A. 数据安全管理制度

B. 安全组织机构

C. 数据脱敏

D. 合作外包管理

372.数据处理活动安全评估中，数据提供安全不包括( )。

答案：B

A. 数据提供合法正当必要性

B. 数据存储介质安全

C. 数据提供技术措施

D. 数据出境安全

373.数据安全技术评估中，网络安全防护不包括( )。

答案：D

A. 网络隔离

B. 边界防护

C. 安全漏洞处理

D. 数据备份恢复

374.个人信息保护评估中，个人信息处理基本原则不包括( )。

答案：C

A. 合法、诚信原则

B. 正当、必要原则

C. 公开、透明原则

D. 最小化原则

375.下列属于敏感个人信息的是( )。

答案：A

A. 生物特征识别信息

B. 姓名

C. 电话号码

D. 地址

376.数据安全风险源清单不包括( )字段。

答案：D

A. 风险类型

B. 风险描述

C. 涉及的数据及类型、级别

D. 风险处置措施

377.评估准备阶段的主要产出物不包括( )。

答案：C

A. 调研表

B. 评估方案

C. 数据资产清单

D. 工作计划

378.信息调研中，数据资产调研不包括( )。

答案：B

A. 数据资产类型

B. 数据处理目的

C. 数据分类分级情况

D. 个人信息情况

379.风险识别中，已开展测评情况分析的目的是( )。

答案：A

A. 避免重复评估

B. 确定评估范围

C. 组建评估团队

D. 制定评估方案

380.数据安全风险分析与评价中，风险归类分析的结果是( )。

答案：A

A. 数据安全风险源清单

B. 数据安全风险清单

C. 风险处置建议

D. 评估报告

381.评估总结阶段，编制评估报告的内容不包括( )。

答案：D

A. 评估概述

B. 信息调研情况

C. 风险分析与评价

D. 评估团队资质证明

382.下列不属于常见数据安全风险处置措施的是( )。

答案：C

A. 停止收集某些类型的数据

B. 加强人员培训

C. 扩大处理范围

D. 完善管理制度

383.敏感个人信息一旦泄露或非法使用，容易导致自然人的( )受到侵害或人身财产安全受到危害。

答案：A

A. 人格尊严

B. 社会地位

C. 职业发展

D. 人际关系

384.下列不属于敏感个人信息的是( )。

答案：D

A. 生物识别信息

B. 医疗健康信息

C. 金融账户信息

D. 普通住址信息

385..个人信息处理者识别敏感个人信息时，需考虑( )的整体属性影响。

答案：B

A. 单项敏感个人信息

B. 多项一般个人信息汇聚后

C. 机构内部数据

D. 公开渠道获取的信息

386.敏感个人信息处理的基本要求不包括( )。

答案：D

A. 符合 GB/T35273 中个人信息相关要求

B. 具有特定目的和充分必要性

C. 采取严格保护措施

D. 可与一般个人信息合并处理

387.收集敏感个人信息时，若非敏感个人信息可实现处理目的，( )。

答案：A

A. 不应收集敏感个人信息

B. 可少量收集敏感个人信息

C. 需经管理层批准后收集

D. 需向监管部门备案后收集

388.处理敏感个人信息前的告知方式不包括( )。

答案：C

A. 单独弹窗

B. 短信

C. 批量邮件

D. 语音播报

389.基于个人同意处理敏感个人信息的，应取得个人信息主体的( )。

答案：B

A. 口头同意

B. 单独同意

C. 默认同意

D. 事后追认

390.多项敏感个人信息处理活动，应按处理目的和业务功能为个人信息主体提供( )。

答案：A

A. 单独同意机制

B. 捆绑同意选项

C. 一次性授权

D. 长期有效授权

391.敏感个人信息安全保护要求中，( )后应作为一般个人信息进行保护（匿名化处理除外）。

答案：C

A. 存储

B. 传输

C. 去标识化

D. 公开

392.敏感个人信息处理日志记录应保存( )。

答案：B

A. 一年

B. 三年

C. 五年

D. 十年

393.敏感个人信息应采用( )方式存储和传输。

答案：A

A. 加密

B. 压缩

C. 脱敏

D. 公开

394.处理 10 万人以上敏感个人信息的，应指定( )。

答案：C

A. 技术负责人

B. 运营负责人

C. 个人信息保护负责人

D. 法务负责人

395.基于生物识别信息进行身份识别时，应同时提供( )。

答案：D

A. 更高安全级别的验证方式

B. 付费验证渠道

C. 人工审核流程

D. 不基于生物识别信息的替代方式

396.处理宗教信仰信息时，原则上不应处理，( )除外。

答案：A

A. 宗教组织内部范围开展并取得单独同意

B. 商业机构推广需求

C. 社会调研需要

D. 政府统计要求

397.处理医疗健康信息时，对其收集、存储等环节应建立( )。

答案：B

A. 公开透明机制

B. 访问控制权限审批机制

C. 批量处理流程

D. 跨机构共享通道

398.金融账户信息处理时，受理终端不应存储( )。

答案：C

A. 账户基本标识

B. 交易时间

C. 银行卡密码

D. 交易金额

399.持续收集行踪轨迹信息的，应提供( )。

答案：A

A. 持续提示机制

B. 每周汇总通知

C. 月度报告

D. 季度确认

400.处理不满十四周岁未成年人的个人信息，验证其身份时，( )。

答案：B

A. 无需验证监护人身份

B. 宜采取合理措施验证监护人身份

C. 仅需学校证明

D. 仅需社区证明

401.敏感个人信息出境应符合( )。

答案：D

A. 接收方国家规定

B. 国际通用准则

C. 企业内部制度

D. 国家有关部门数据出境规定

402.个人信息主体对其敏感个人信息不享有( )。

答案：C

A. 查阅权

B. 更正权

C. 无限期存储权

D. 删除权

403.《GB/T 43848—2024》规定，软件产品开源代码安全评价要素不包括以下哪项？( )

答案：C

A. 开源代码来源

B. 开源代码安全质量

C. 开源代码销售情况

D. 开源代码知识产权

404.开源代码的定义是( )

答案：B

A. 只有特定人员可以获取源代码的计算机代码

B. 公众可以获取源代码的计算机代码

C. 不能修改和分发的计算机代码

D. 商业公司内部使用的计算机代码

405.以下哪项不属于开源代码来源评价的二级参数？( )

答案：B

A. 开源代码规模与占比

B. 开源代码漏洞率

C. 开源代码著作权人

D. 开源社区安全管理

406.开源许可证的作用是( )

答案：B

A. 禁止公众使用开源代码

B. 允许公众用户根据协议内容使用、修改、复制和分发开源代码

C. 限制开源代码的传播范围

D. 只允许商业公司使用开源代码

407.《GB/T 43848—2024》中，开源代码安全质量评价参数不包括( )

答案：C

A. 开源代码漏洞修复率

B. 开源代码版本更新情况

C. 开源代码托管平台

D. 开源代码漏洞严重性

408.开源社区是指( )

答案：B

A. 以商业公司为主体形成的共同体

B. 以开源代码的贡献者为主体，在开源代码贡献过程中形成的具有特定文化、组织结构、运行机制的共同体

C. 只进行代码编写的封闭组织

D. 政府部门主导的代码管理组织

409.开源代码漏洞率是指( )

答案：B

A. 开源代码中漏洞的修复速度

B. 开源代码模块的原始漏洞数量和千行漏洞率情况

C. 漏洞对系统的影响程度

D. 漏洞被利用的可能性

410.以下哪项不属于开源代码知识产权评价的内容？( )

答案：C

A. 开源许可证遵从度

B. 开源许可证规范性

C. 开源代码的编写工具

D. 开源许可证兼容性

411.《GB/T 43848—2024》中，开源代码管理评价不包括以下哪项？( )

答案：C

A. 开源代码管理团队

B. 开源代码物料清单

C. 开源代码的颜色设计

D. 开源代码设计

412.开源代码物料清单的评价主要关注其( )

答案：A

A. 完备性和可追溯性

B. 长度和复杂度

C. 编写语言和格式

D. 发布时间和地点

413.以下哪项属于开源代码安全质量评价的二级参数？( )

答案：B

A. 开源代码著作权人

B. 开源代码漏洞修复率

C. 开源社区安全管理

D. 开源许可证互惠性

414.开源代码丰富度是指( )

答案：C

A. 开源代码的编写质量

B. 开源代码的漏洞数量

C. 开源代码在功能等方面具有可更换的其他代码（含开源或商业代码）情况

D. 开源代码的下载次数

415.《GB/T 43848—2024》中，开源代码安全评价流程不包括以下哪种方法？( )

答案：C

A. 访谈

B. 检查

C. 猜测

D. 测试

416.开源许可证遵从度是指( )

答案：A

A. 统计软件产品包含的开源代码履行开源许可证规定的相关条款、义务情况

B. 开源许可证的编写规范程度

C. 开源许可证的适用范围大小

D. 开源许可证的专利授权情况

417.以下哪项不属于开源代码知识产权风险的类型？( )

答案：C

A. 版权侵权风险

B. 专利侵权风险

C. 天气影响风险

D. 许可证冲突

418.开源代码版本更新情况评价主要关注( )

答案：B

A. 开源代码的编写人员

B. 开源代码所用版本与开源社区最新发布版本相比的滞后情况

C. 开源代码的销售数据

D. 开源代码的托管平台

419.《GB/T 43848—2024》的归口单位是( )

答案：A

A. 全国网络安全标准化技术委员会（SAC/TC260）

B. 国家市场监督管理总局

C. 中国科学院

D. 工业和信息化部

420.开源代码管理团队评价不包括以下哪项内容？( )

答案：D

A. 是否建立管理团队进行统一管控

B. 是否进行相应管理角色划分

C. 是否建立管理人员白名单和退出机制

D. 团队成员的年龄和性别比例

421.以下哪项属于开源持续性风险？( )

答案：B

A. 开源代码出现漏洞被黑客利用

B. 因外交原因导致开源代码使用中断

C. 违反开源许可证导致的法律纠纷

422.开源代码生成评价主要关注在编译及链接过程中对开源代码采取的( )

答案：B

A. 营销措施

B. 安全措施

C. 包装措施

D. 宣传措施

423.关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能严重危害( )。

答案：D

A. 个人利益

B. 企业利益

C. 行业利益

D. 国家安全、国计民生、公共利益

424.供应链是将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立连续供应关系的( )。

答案：A

A. 组织系列

B. 流程系列

C. 产品系列

D. 服务系列

425.关键信息基础设施安全保护应遵循的基本原则不包括( )。

答案：B

A. 以关键业务为核心的整体防控

B. 以技术防护为核心的静态防护

C. 以风险管理为导向的动态防护

D. 以信息共享为基础的协同联防

426.关键信息基础设施安全保护的主要内容及活动不包括( )。

答案：C

A. 分析识别

B. 安全防护

C. 安全销毁

D. 事件处置

427.分析识别活动中，应梳理( )，明确支撑关键业务的关键信息基础设施分布和运营情况。

答案：A

A. 关键业务链

B. 网络拓扑图

C. 资产清单

D. 风险清单

428.资产识别时，应基于资产类别、资产重要性和支撑业务的重要性，确定资产防护的( )。

答案：B

A. 范围

B. 优先级

C. 措施

D. 责任人

429.风险识别应按照( )等风险评估标准，对关键业务链开展安全风险分析。

答案：A

A. GB/T 20984

B. GB/T 25069

C. GB/T 39204

D. GB/T 20988

430.关键信息基础设施发生改建、扩建、所有人变更等较大变化时，应( )。

答案：D

A. 立即停用

B. 报备后继续使用

C. 评估后继续使用

D. 重新开展识别工作

431.安全防护中，应落实国家网络安全等级保护制度相关要求，开展网络和信息系统的定级、备案、安全建设整改和( )等工作。

答案：C

A. 风险评估

B. 应急演练

C. 等级测评

D. 攻防演练

432.网络安全保护计划应每年至少修订( )次，或发生重大变化时进行修订。

答案：A

A. 1

B. 2

C. 3

D. 4

433.安全策略不包括( )。

答案：D

A. 安全互联策略

B. 安全审计策略

C. 数据安全防护策略

D. 人员招聘策略

434.应成立网络安全工作委员会或领导小组，由组织( )担任其领导职务。

答案：B

A. 安全负责人

B. 主要负责人

C. 技术负责人

D. 运营负责人

435.关键信息基础设施从业人员每人每年网络安全教育培训时长不得少于( )个学时。

答案：C

A. 20

B. 25

C. 30

D. 40

436.人员离岗时，应及时终止离岗人员的所有访问权限，收回与身份鉴别相关的软硬件设备，进行面谈并通知( )。

答案：A

A. 相关人员或角色

B. 上级主管部门

C. 人力资源部门

D. 安全管理机构

437.网络架构应实现通信线路( )的多电信运营商多路由保护。

答案：B

A. 双主一备

B. 一主双备

C. 双主双备

D. 三主三备

438.不同局域网之间远程通信时应采取安全防护措施，例如在通信前基于( )对通信的双方进行验证或鉴别。

答案：D

A. 访问控制技术

B. 加密技术

C. 审计技术

D. 密码技术

439.应对未授权设备进行动态发现及管控，只允许通过( )授权的软硬件运行。

答案：A

A. 运营者

B. 管理者

C. 使用者

D. 维护者

440.网络审计措施应留存相关日志数据不少于( )个月。

答案：C

A. 3

B. 5

C. 6

D. 12

441.对于重要业务操作、重要用户操作或异常用户操作行为，应建立动态的身份鉴别方式，或者采用( )等方式。

答案：B

A. 单因子身份鉴别

B. 多因子身份鉴别

C. 密码身份鉴别

D. 生物身份鉴别

442.应采取技术手段，提高对( )等网络攻击行为的入侵防范能力。

答案：A

A. 高级可持续威胁（APT）

B. 病毒攻击

C. 木马攻击

D. 钓鱼攻击

443.安全建设管理中，应实现网络安全技术措施与关键信息基础设施主体工程( )。

答案：D

A. 同步规划、同步验收、同步使用

B. 同步设计、同步建设、同步验收

C. 同步规划、同步建设、同步验收

D. 同步规划、同步建设、同步使用

444.关键信息基础设施的运维地点应位于( )，如确需境外运维，应符合我国相关规定。

答案：A

A. 中国境内

B. 亚太地区

C. 北半球

D. 发展中国家

445.采购网络关键设备和网络安全专用产品目录中的设备产品时，应采购通过( )的设备和产品。

答案：C

A. 企业检测认证

B. 行业检测认证

C. 国家检测认证

D. 国际检测认证

446.可能影响国家安全的网络产品和服务，应通过( )。

答案：B

A. 行业安全审查

B. 国家网络安全审查

C. 企业安全审查

D. 第三方安全审查

447.应要求网络产品和服务的提供者对网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权获得( )以上授权。

答案：D

A. 5 年

B. 8 年

C. 10 年

D. 10 年

448.应要求网络产品和服务的提供者提供( )运行维护、二次开发等技术资料。

答案：A

A. 中文版

B. 英文版

C. 多语种版

D. 本地化版

449.数据安全防护中，应建立基于( )的数据安全保护策略。

答案：B

A. 数据大小

B. 数据分类分级

C. 数据格式

D. 数据用途

450.在我国境内运营中收集和产生的个人信息和重要数据应存储在( )。

答案：C

A. 境外服务器

B. 云端服务器

C. 境内

D. 任意地点

451.重要系统和数据库应实现( )备份。

答案：D

A. 本地

B. 云端

C. 同地

D. 异地

452.数据可用性要求高的，应采取数据库( )备份措施。

答案：A

A. 异地实时

B. 本地实时

C. 异地定时

D. 本地定时

453.关键信息基础设施安全检测评估应( )至少进行一次。

答案：B

A. 每半年

B. 每年

C. 每两年

D. 每三年

454.涉及多个运营者时，应定期组织或参加( )的关键信息基础设施安全检测评估。

答案：C

A. 跨行业

B. 跨地区

C. 跨运营者

D. 跨部门

455.关键信息基础设施发生改建、扩建、所有人变更等较大变化时，应进行检测评估，整改后方可( )。

答案：D

A. 备案

B. 验收

C. 测试

D. 上线

456.监测预警制度中，应确定网络安全预警分级准则，明确监测策略、监测内容和( )。

答案：A

A. 预警流程

B. 处置流程

C. 报告流程

D. 评估流程

457.应建立网络安全信息共享机制，共享信息可以是漏洞信息、威胁信息、最佳实践、( )等。

答案：B

A. 商业秘密

B. 前沿技术

C. 个人信息

D. 企业数据

458.应在网络边界、网络出入口等网络关键节点部署( )，发现网络攻击和未知威胁。

答案：C

A. 防火墙

B. 杀毒软件

C. 攻击监测设备

D. 路由器

459.应对关键业务所涉及的系统进行监测，对监测信息采取保护措施，防止其受到未授权的访问、修改和( )。

答案：D

A. 复制

B. 传输

C. 查看

D. 删除

460.应全面收集网络安全日志，构建违规操作模型、攻击入侵模型、( )，强化监测预警能力。

答案：A

A. 异常行为模型

B. 正常行为模型

C. 业务流程模型

D. 网络拓扑模型

461.预警时，当发现可能危害关键业务的迹象时，监测工具应能自动报警，并自动采取相应措施，降低关键业务被影响的( )。

答案：B

A. 损失

B. 可能性

C. 范围

D. 程度

462.内部预警信息的内容应包括基本情况描述、可能产生的危害及程度、可能影响的用户及范围、( )等。

答案：C

A. 责任认定

B. 损失评估

C. 宜采取的应对措施

D. 处理结果

463.主动防御中，应识别和减少互联网和内网资产的互联网协议地址、端口、( )等暴露面。

答案：D

A. 硬件设备

B. 软件版本

C. 操作系统

D. 应用服务

464.应减少对外暴露组织架构、邮箱账号、( )等内部信息，防范社会工程学攻击。

答案：A

A. 组织通信录

B. 员工照片

C. 办公地址

D. 联系电话

465.不应在公共存储空间存储可能被攻击者利用的技术文档，例如网络拓扑图、源代码、( )等。

答案：B

A. 员工手册

B. 互联网协议地址规划

C. 产品介绍

D. 营销方案

466.针对监测发现的攻击活动，应设置多道防线，采取捕获、干扰、阻断、封控、( )等多种技术手段。

答案：C

A. 忽略

B. 记录

C. 加固

D. 上报

467.应及时对网络攻击活动开展溯源，对攻击者进行( )，为案件侦查等提供支持。

答案：D

A. 追踪

B. 定位

C. 处罚

D. 画像

468.攻防演练应围绕关键业务的( )设定演练场景。

答案：A

A. 可持续运行

B. 安全防护

C. 数据保护

D. 网络架构

469.关键信息基础设施跨组织、跨地域运行的，应组织或参加( )的攻防演练。

答案：B

A. 跨行业

B. 实网

C. 模拟

D. 跨部门

470.威胁情报应建立本部门、本单位网络威胁情报共享机制，组织联动上下级单位，开展威胁情报搜集、加工、共享、( )。

答案：C

A. 分析

B. 存储

C. 处置

D. 发布

471.应建立外部协同网络威胁情报共享机制，与权威网络威胁情报机构开展协同联动，实现跨行业领域网络安全( )。

答案：D

A. 集中管理

B. 统一防护

C. 风险评估

D. 联防联控

472.网络安全事件管理制度应明确不同网络安全事件的分类分级、不同类别和级别事件处置的( )等。

答案：A

A. 流程

B. 责任

C. 措施

D. 期限

473.应为网络安全事件处置提供相应资源，组织建立专门网络安全应急支撑队伍、( )，保障安全事件得到及时有效处置。

答案：B

A. 技术队伍

B. 专家队伍

C. 运营队伍

D. 管理队伍

474.应急预案应在国家网络安全事件应急预案的框架下，根据行业和地方的( )，制定网络安全事件应急预案。

答案：C

A. 实际情况

B. 法律法规

C. 特殊要求

D. 技术标准

475.应每年至少组织开展( )次本组织的应急演练。

答案：D

A. 0

B. 2

C. 3

D. 1

476.发生有可能危害关键业务的安全事件时，应及时向( )报告，并组织研判，形成事件报告。

答案：A

A. 安全管理机构

B. 上级主管部门

C. 公安机关

D. 网信部门

477.应及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向供应链涉及的、与事件相关的( )通报安全事件。

答案：B

A. 监管部门

B. 其他组织

C. 用户

D. 合作伙伴

478.事件处理和恢复应按照先应急处置、后( )的原则。

答案：C

A. 责任认定

B. 损失赔偿

C. 调查评估

D. 总结报告

479.事件处理完成后，应形成完整的事件处理报告，包括不同部门对事件的处理记录、事件的状态和取证相关的其他必要信息、( )等。

答案：D

A. 责任认定

B. 处罚结果

C. 整改措施

D. 评估事件细节、趋势和处理

480.恢复关键业务和信息系统后，应对恢复情况进行评估，查找事件原因，并采取措施防止( )。

答案：A

A. 再次破坏

B. 数据泄露

C. 业务中断

D. 责任追究

481.应根据检测评估、监测预警、主动防御中发现的安全隐患或发生的安全事件，以及处置结果，必要时重新开展业务、资产和( )识别工作。

答案：B

A. 威胁

B. 风险

C. 漏洞

D. 脆弱性

482.关键信息基础设施安全保护适用于指导运营者对关键信息基础设施进行( )安全保护。

答案：C

A. 建设阶段

B. 运营阶段

C. 全生存周期

D. 维护阶段

483.《GB/T 22239—2019》的标准名称是( )。

答案：B

A. 信息安全技术信息系统安全等级保护基本要求

B. 信息安全技术网络安全等级保护基本要求

C. 信息安全技术网络安全等级保护测评要求

D. 信息安全技术网络安全等级保护实施指南

484.网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、( )的能力。

答案：C

A. 可追溯性

B. 可复制性

C. 可用性

D. 可修改性

485.等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度等因素，由低到高被划分为( )个安全保护等级。

答案：D

A. 三

B. 四

C. 六

D. 五

486.第一级安全保护能力应能够防护免受来自( )的威胁源发起的恶意攻击等。

答案：A

A. 个人的、拥有很少资源

B. 外部小型组织的、拥有少量资源

C. 外部有组织的团体、拥有较为丰富资源

D. 国家级别的、敌对组织的、拥有丰富资源

487.安全通用要求针对( )保护需求提出，等级保护对象无论以何种形式出现，应根据安全保护等级实现相应级别的安全通用要求。

答案：A

A. 共性化

B. 个性化

C. 特殊化

D. 差异化

488.安全扩展要求针对( )保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现。

答案：B

A. 共性化

B. 个性化

C. 特殊化

D. 差异化

489.本标准针对云计算、移动互联、物联网、( )提出了安全扩展要求。

答案：C

A. 大数据

B. 人工智能

C. 工业控制系统

D. 区块链

490.第一级安全通用要求中，机房出入口应安排专人值守或配置( )，控制、鉴别和记录进入的人员。

答案：B

A. 监控系统

B. 电子门禁系统

C. 报警系统

D. 安检系统

491.第一级安全通用要求中，应采用校验技术保证通信过程中数据的( )。

答案：A

A. 完整性

B. 保密性

C. 可用性

D. 可追溯性

492.第一级安全通用要求中，在网络边界根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口( )所有通信。

答案：D

A. 允许

B. 记录

C. 监控

D. 拒绝

493.第一级安全通用要求中，应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有( )要求并定期更换。

答案：C

A. 简易性

B. 公开性

C. 复杂度

D. 通用性

494.第一级安全通用要求中，应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新( )。

答案：A

A. 恶意代码库

B. 操作系统

C. 硬件驱动

D. 应用程序

495.第一级安全通用要求中，应提供重要数据的( )数据备份与恢复功能。

答案：A

A. 本地

B. 异地

C. 云端

D. 离线

496.云计算安全扩展要求中，应保证云计算基础设施位于( )。

答案：B

A. 北美洲

B. 中国境内

C. 欧洲

D. 亚洲

497.移动互联安全扩展要求中，无线接入设备应开启接入认证功能，并且禁止使用( )方式进行认证。

答案：A

A.WEP

B.WPA2

C.WPA3

D.EAP-TLS

498.物联网安全扩展要求中，应保证只有( )的感知节点可以接入。

答案：C

A. 任意

B. 有线连接

C. 授权

D. 无线连接

499.工业控制系统安全扩展要求中，工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用( )隔离手段。

答案：D

A. 逻辑

B. 无线

C. 虚拟

D. 技术

500.第二级安全通用要求中，机房应设置( )消防系统，能够自动检测火情、自动报警，并自动灭火。

答案：B

A. 手动

B. 火灾自动

C. 气体

D. 液体

501.第二级安全通用要求中，应提供( )的备用电力供应，至少满足设备在断电情况下的正常运行要求。

答案：B

A. 长期

B. 短期

C. 临时

D. 永久

502.第二级安全通用要求中，应提供( )数据备份功能，利用通信网络将重要数据定时批量传送至备用场地。

答案：B

A. 本地

B. 异地

C. 实时

D. 云端

503.第三级安全通用要求中，机房出入口应配置( )，控制、鉴别和记录进入的人员。

答案：A

A. 电子门禁系统

B. 专人值守

C. 密码锁

D. 指纹锁

504.第三级安全通用要求中，应设置( )或并行的电力电缆线路为计算机系统供电。

答案：C

A. 单一

B. 临时

C. 冗余

D. 备用

505.第三级安全通用要求中，应采用密码技术保证通信过程中数据的( )。

答案：B

A. 完整性

B. 保密性

C. 可用性

D. 可追溯性

506.第三级安全通用要求中，应采用口令、密码技术、生物技术等( )或两种以上组合的鉴别技术对用户进行身份鉴别。

答案：B

A. 一种

B. 两种

C. 三种

D. 四种

507.第三级安全通用要求中，应提供( )实时备份功能，利用通信网络将重要数据实时备份至备份场地。

答案：B

A. 本地

B. 异地

C. 云端

D. 离线

508.第四级安全通用要求中，应提供( )供电设施。

答案：D

A. 临时

B. 短期

C. 长期

D. 应急

509.第四级安全通用要求中，应建立( )灾难备份中心，提供业务应用的实时切换。

答案：D

A. 本地

B. 同城

C. 同省

D. 异地

510.等级保护对象定级后，其定级结果组合中，第三级的定级结果组合不包括( )。

答案：D

A.S1A3

B.S2A3

C.S3A3

D.S4A4

511.网络安全等级保护的核心是保证不同安全保护等级的对象具有( )的安全保护能力。

答案：A

A. 相适应

B. 最高级

C. 最低级

D. 统一

512.较高级别等级保护对象的安全建设和安全整改中，应注重使用可信计算技术、强制访问控制、审计追查技术、结构化保护技术和( )等关键技术。

答案：C

A. 虚拟化技术

B. 区块链技术

C. 多级互联技术

D. 人工智能技术

513.烟草行业数据安全管理办法所称行业数据是指行业生产经营管理、专卖执法监管过程中产生、收集、( )和使用的各类电子数据，以及依照有关法律、行政法规和行业有关规定承担保护责任的电子数据。

答案：B

A.存储

B.实践

C.处理

D.销毁

514.关于各单位自行建设信息系统所产生数据的产权归属，以下说法正确的是？( )

答案：C

A. 数据产权归国家局所有

B. 数据产权归行业数据中心所有

C. 数据产权归各单位所有

D. 数据产权属于全行业，由各单位代为管理

515.某省级单位a希望获取另一省级单位b通过其信息系统采集的专有数据，以用于一项合作研究。以下哪种操作是不符合规定的？( )

答案：B

A. 单位a向单位b提出数据共享请求，单位B同意后，通过行业数据中心在授权范围内进行共享。

B. 在双方单位协商一致后，单位a向单位b支付一笔“数据服务费”以换取数据。

C. 因单位b拒绝共享，单位a向国家局申请，由国家局出面指导协调数据共享事宜。

D. 单位a和单位b共同向国家局申请，说明共享的必要性和方案，获得批准后进行数据交换。

516.根据“强化数据安全与项目建设同步管理”的要求，以下哪项说法是错误的？( )

答案：B

A. 数据安全应与网信项目同步规划、同步建设、同步使用。

B. 拟建项目只要业务需求明确，即使未明确数据保护要求，也可以立项建设。

C. 项目建设过程中，必须落实数据保护和共享要求，否则不得验收。

D. 将数据安全纳入网络安全工作责任体系是严格落实相关制度的体现。

517.关于“构建数据集成共享管理模式”，其遵循的原则不包括以下哪一项？( )

答案：B

A. 统一管理

B. 自主维护

C. 授权访问

D. 共享使用

518.在开展数据分类分级工作时，行业单位将数据分为一般数据、重要数据和核心数据三级，其划分的主要依据是？( )

答案：B

A. 数据的存储容量和更新频率

B. 数据对国家安全、公共利益、行业生产经营或者个人、组织合法权益的影响和重要程度

C. 数据的产生部门和业务领域

D. 数据的格式和结构类型

519.根据“实施分类分级保护”的要求，处理重要数据的系统原则上应满足什么要求？( )

答案：C

A. 一级以上网络安全等级保护要求

B. 二级以上网络安全等级保护要求

C. 三级以上网络安全等级保护要求

D. 四级以上网络安全等级保护要求

520.某烟草单位在梳理其数据资产时，包含了烟农个人信息、零售户销售数据以及年度财务审计报告。根据规定，该单位必须将这些数据中的哪一部分作为重点保护，并将其目录及保护措施报行业网信办备案？( )

答案：B

A. 仅年度财务审计报告

B. 烟农个人信息和零售户销售数据

C. 所有数据资产

D. 仅核心数据

521.某省级烟草公司计划向行业外的一家研究机构提供一份经过脱敏处理的年度卷烟销售统计数据。根据《行业数据对外提供操作规范（试行）》，以下哪项是该公司启动此项工作的第一步？( )

答案：B

A. 与研究机构签订正式的数据安全协议。

B. 评估对外提供该数据的必要性，并征得行业信息系统业务主管部门的同意。

C. 直接向行业网信办报送数据共享申请。

D. 对研究机构的数据安全保护能力进行核实。

522.某单位自行建设了一套用于内部管理的信息系统。现因业务合作需要，该单位计划向行业外的一家合作公司提供该系统中产生的部分非敏感数据。根据规范，该单位应向哪个部门提交审核？( )

答案：C

行业信息系统业务主管部门

B. 行业网信办

C. 省级网信办

D. 行业网信领导小组

523.《烟草行业网络安全和信息化工作管理办法》规定，行业网络安全和信息化工作应遵循“三同步”原则，即网络安全与信息化同步规划、同步建设、( )。

答案：A

A. 同步运行

B. 同步验收

C. 同步升级

D. 同步报废

524.烟草行业网络安全和信息化工作的领导决策机构是( )。

答案：C

A. 国家局信息中心

B. 行业网信办

C. 行业网信领导小组

D. 上海容灾中心管理委员会

525.行业网信领导小组办公室（行业网信办）设在( )。

答案：B

A. 总公司

B. 国家局烟草经济信息中心

C. 中国烟草总公司信息系统上海容灾中心

D. 国家局机关各部门

526.根据规定，行业各单位编制的网络安全和信息化专项规划，应报( )备案。

答案：D

A. 行业网信领导小组

B. 国家局

C. 行业网信办

D. 总公司

527.关于网信项目的网络安全预算，本办法明确规定，年度网络安全预算占总预算比例不得低于( )（含）。

答案：C

A. 3%

B. 4%

C. 5%

D. 10%

528.行业推广项目，必须开发、部署、运行在( )或行业云平台、大数据平台、移动互联网平台上。

答案：A

A. 行业统一平台

B. 各单位自建平台

C. 互联网公有云平台

D. 临时指定平台

529.行业政务信息资源共享应遵循的原则是( )。

答案：B

A. “不共享为常态，共享为例外”

B. “共享为常态，不共享为例外”

C. “按需共享，严格审批”

D. “分级共享，谁产生谁负责”

530.关于行业专用信息网络（行业专网）的管理，本办法规定行业专网与互联网、行业外单位网络实行( )。

答案：D

A. 物理隔离

B. 安全连接

C. 定时断开

D. 逻辑隔离

531.根据本办法，所有新建和在用的网信项目须实行( )制度，并按照相应标准进行设计、建设、备案和测评。

答案：A

A. 网络安全等级保护

B. 数据分类分级

C. 项目负责人制

D. 软件正版化

532.本办法对网信人才培训时间做出了明确规定，要求在职人员年度接受网络安全培训时间不得少于( )个学时。

答案：A

A. 4

B. 6

C. 8

D. 12

533.在业务需求分析阶段，针对流程类对象的分类，以下说法正确的是( )。

答案：C

A. 三级流程分类必须严格采用烟草行业业务架构参考模型，不得扩展新增

B. 流程类对象只需识别其在分类框架中的位置，无需梳理包含的业务活动

C. 三级流程分类应首先采用行业参考模型，在不满足业务需求时可扩展新增

D. 流程类对象梳理表仅需包含流程名称和层级，无需其他信息

534.在实体类对象分类中，关于业务实体类对象的描述，以下正确的是( )。

答案：A

A. 业务实体类对象是基于流程类对象所包含的业务活动生成的业务表单

B. 业务实体类对象分类框架需要像资源实体一样逐级扩展细化

C. 业务实体类对象通常包括烟叶、卷烟、资产等核心经营实体

D. 业务实体类对象梳理表仅适用于资源实体类对象

535.在系统设计阶段，服务类对象的分类识别维度包括( )。

答案：D

服务域、业务流程、功能模块、子模块、服务、接口

B. 服务域、业务实体、模块、子模块、功能、服务

C. 业务域、服务范围、模块、功能、子模块、服务

D. 服务域、服务范围（行业统建与省级自建）、模块、子模块、功能、服务

536.根据《烟草行业信息系统容灾备份服务管理规范》，容灾备份服务管理流程包括多个阶段，以下哪个阶段需完成容灾备份建设方案报国家烟草专卖局烟草经济信息中心审批？( )

答案：D

A. 意向评估阶段

B. 需求整理阶段

C. 设计实施阶段

D. 方案审批阶段

537.容灾备份系统在试运行阶段要求的最短试运行时间是？( )

答案：B

A. 1个月

B. 3个月

C. 6个月

D. 12个月

538.根据本规范，以下哪类信息系统不纳入容灾备份服务范围？( )

答案：A

A. 定级为第一级安全保护等级的信息系统

B. 定级为第二级安全保护等级的信息系统

C. 部署在行业云平台上的信息系统

D. 数据可再生的信息系统

539.RTO和RPO指标应符合哪份文件中的要求？( )

答案：C

A. GB/T 22239

B. GB/T 20988

C. YC/Z 583-2019

D. YC/T 583-2018

540.灾难恢复预案应包含《指挥手册》和《操作手册》，其中《操作手册》主要描述的是？( )

答案：D

A. 灾难宣告与预案启动流程

B. 组织人员分工与职责

C. 容灾备份建设背景与目标

D. 灾难场景下的恢复流程及详细技术操作步骤

二、多选（1-309）

1.任何个人和组织应当对其使用网络的行为负责，不得设立用于( )违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

答案：ABCD

A.传授犯罪方法

B.实施诈骗

C.制作或者销售违禁物品

D.制作或者销售管制物品

2.网络运营者不得( )其收集的个人信息，未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

答案：ABD

A.毁损

B.篡改

C.使用

D.泄露

3.国家支持网络运营者之间在网络安全信息( )等方面进行合作，提高网络运营者的安全保障能力。

答案：ABCD

A.通报

B.分析

C.应急处置

D.收集

4.网络运营者收集、使用个人信息，应当遵循( )的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

答案：BCD

A.公平

B.必要

C.合法

D.正当

5.根据《网络安全法》的规定，( )和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

答案：CD

A.中国联通

B.中国移动

C.公安部门

D.国务院电信主管部门

6.根据《网络安全法》的规定，关键信息基础设施的运营者应当履行( )安全保护义务。

答案：ABCD

A.对重要系统和数据库进行容灾备份

B.定期对从业人员进行网络安全教育、技术培训和技能考核

C.制定网络安全事件应急预案，并定期进行演练

D.设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查

7.国家支持( )参与网络安全国家标准、行业标准的制定。

答案：ABCD

A.企业

B.高等学校

C.网络相关行业组织

D.研究机构

8.国家保护公民、法人和其他组织依法使用网络的权利，( )。

答案：ABCD

A.保障网络信息依法有序自由流动

B.促进网络接入普及

C.为社会提供安全、便利的网络服务

D.提升网络服务水平

9.国家支持( )等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

答案：ABC

A.企业

B.职业学校

C.高等学校

D.中小学校

10.任何个人和组织有权对危害网络安全的行为向( )等部门举报。收到举报的部门应当及时依法作出处理，不属于本部门职责的，应当及时移送有权处理的部门。

答案：BCD

A.安监

B.公安

C.网信

D.电信

11.网络运营者应当制定网络安全事件应急预案，及时处置( )安全风险，在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

答案：ABCD

A.网络侵入

B.网络攻击

C.系统漏洞

D.计算机病毒

12.根据《网络安全法》的规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，( )。

答案：ABCD

A.支持网络安全技术的研究开发和应用

B.保护网络技术知识产权

C.支持企业、研究机构和高等学校等参与国家网络安全技术创新项目

D.推广安全可信的网络产品和服务

13.国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列( )措施。

答案：ABCD

A.对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助

B.促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享

C.对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估

D.定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力

14.建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的( )。

答案：ABD

A.可用性

B.完整性

C.技术性

D.保密性

15.根据《网络安全法》的规定，任何个人和组织( )。

答案：ABC

A.明知他人从事危害网络安全的活动的，不得为其提供技术支持

B.不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动

C.不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序

D.明知他人从事危害网络安全的活动的，可以为其进行广告推广

16.网络运营者开展经营和服务活动，必须( )，承担社会责任。

答案：ABCD

A.遵守法律、行政法规、尊重社会公德

B.接受政府和社会的监督

C.履行网络安全保护义务

D.遵守商业道德、诚实信用

17.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害( )的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

答案：ABD

A.国家安全

B.国计民生

C.网速

D.公共利益

18.网络运营者应当按照网络安全等级保护制度的要求，履行( )安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

答案：ABCD

A.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

B.采取数据分类、重要数据备份和加密等措施

C.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月

D.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任

19.网络运营者为用户( )，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

答案：ACD

A.为用户提供信息发布、即时通讯等服务

B.办理监听业务

C.办理固定电话、移动电话等入网手续

D.办理网络接入、域名注册服务

20.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施( )。

答案：BCD

A.同步修改

B.同步使用

C.同步规划

D.同步建设

21.国家支持( )参与网络安全国家标准、行业标准的制定。

答案：ABCD

A.企业

B.高等学校

C.网络相关行业组织

D.研究机构

22.任何个人和组织有权对危害网络安全的行为向( )等部门举报。收到举报的部门应当及时依法作出处理，不属于本部门职责的，应当及时移送有权处理的部门。

答案：ABC

A.电信

B.网信

C.公安

D.安监

23.国家积极开展( )等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。

答案：ABCD

A.网络技术研发

B.标准制定

C.打击网络违法犯罪

D.网络空间治理

24.根据《网络安全法》的规定，任何个人和组织( )。

答案：ABC

A.明知他人从事危害网络安全的活动的，不得为其提供技术支持

B.不得从事非法侵入他人网络、干扰他人网络正常功能等危害网络安全的活动

C.不得提供专门用于从事侵入网络、干扰网络正常功能等危害网络安全活动的程序

D.明知他人从事危害网络安全的活动的，可以为其进行广告推广

25.建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施( )。

答案：ABD

A.同步使用

B.同步规划

C.同步修改

D.同步建设

26.网络运营者为用户( )，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

答案：ABD

A.为用户提供信息发布、即时通讯等服务

B.办理网络接入、域名注册服务

C.办理监听业务

D.办理固定电话、移动电话等入网手续

27.根据《网络安全法》的规定，国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，( )。

答案：ABCD

A.推广安全可信的网络产品和服务

B.保护网络技术知识产权

C.支持企业、研究机构和高等学校等参与国家网络安全技术创新项目

D.支持网络安全技术的研究开发和应用

28.国家支持( )等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

答案：ACD

A.高等学校

B.中小学校

C.职业学校

D.企业

29.根据《网络安全法》的规定，关键信息基础设施的运营者应当履行( )安全保护义务。

答案：ABCD

A.设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查

B.定期对从业人员进行网络安全教育、技术培训和技能考核

C.对重要系统和数据库进行容灾备份

D.制定网络安全事件应急预案，并定期进行演练

30.网络运营者应当按照网络安全等级保护制度的要求，履行( )安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

答案：ABCD

A.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任

B.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月

C.采取数据分类、重要数据备份和加密等措施

D.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

31.国家支持网络运营者之间在网络安全信息( )等方面进行合作，提高网络运营者的安全保障能力。

答案：ABCD

A.分析

B.应急处置

C.收集

D.通报

32.根据《网络安全法》的规定，( )和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

答案：AC

A.国务院电信主管部门

B.中国移动

C.公安部门

D.中国联通

33.网络运营者收集、使用个人信息，应当遵循( )的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

答案：ACD

A.必要

B.公平

C.合法

D.正当

34.根据《网络安全法》的规定，国家采取措施，( )来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

答案：BCD

A.攻击

B.监测

C.防御

D.处置

35.网络运营者应当制定网络安全事件应急预案，及时处置( )安全风险，在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

答案：ABCD

A.系统漏洞

B.网络攻击

C.计算机病毒

D.网络侵入

36.国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列( )措施。

答案：ABCD

A.定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力

B.对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估

C.促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享

D.对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助

37.国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害( )的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

答案：ACD

A.国家安全

B.网速

C.国计民生

D.公共利益

38.建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的( )。

答案：BCD

A.技术性

B.可用性

C.保密性

D.完整性

39.网络运营者开展经营和服务活动，必须( )，承担社会责任。

答案：ABCD

A.遵守法律、行政法规、尊重社会公德

B.遵守商业道德、诚实信用

C.履行网络安全保护义务

D.接受政府和社会的监督

40.国家保护公民、法人和其他组织依法使用网络的权利，( )。

答案：ABCD

A.促进网络接入普及

B.保障网络信息依法有序自由流动

C.为社会提供安全、便利的网络服务

D.提升网络服务水平

41.《数据安全法》的亮点有( ) 。

答案：ABCD

A.增加对数据泄露活动危机国家安全的处罚力度

B.加强对国家数据安全工作的重心，确定行业安全责任、监管与统筹协调的主体

C.更加重视数据安全制度的建设

D.追求维护数据安全与引导数字经济发展之间实现动态化平衡

42.《数据安全法》出台的目的和意义是( )。

答案：ABCDE

A.构建国家安全法律制度体系的重要举措

B.维护国家安全和人民群众利益的重要举措

C.推动数字经济高质量发展的重要举措

D.制定数据安全法是维护国家安全的必然要求。

E.对企业和个人隐私的信息管理和安全加密方面提供依据和保障

43.国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的( )工作。

答案：ABCD

A.获取

B.分析

C.研判

D.预警

E.获知

44.( )等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

答案：AD

A.公安机关

B.网信部门

C.地方政府

D.国家安全机关

45.提供智能化公共服务，应当充分考虑( )的需求，避免对老年人、残疾人的日常生活造成障碍。

答案：BC

A.成年人

B.老年人

C.残疾人

D.军人

46.《中华人民共和国数据安全法》立法目的( )

答案：ABCD

A.规范数据处理活动，保障数据安全

B.促进数据开发利用

C.保护个人、组织的合法权益

D.维护国家主权、安全和发展利益

47.数据处理，包括数据的收集、存储、( ) 公开等。

答案：ABCD

A 使用

B 加工

C 传输

D 提供

48.国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的( ) 工作。

答案：ABCD

A 获取

B 分析

C 研判

D 预警

49.国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的( ) 保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

答案：ABC

A 个人隐私

B 个人信息

C 商业秘密

D 保密流程

50.风险评估报告应当包括处理的重要数据的( )，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

答案：AB

A 种类

B 数量

C 行业

D 格式

51.国家机关应当遵循( )的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。

答案：ABD

A 公正

B 公平

C 公开

D 便民

52.国家制定政务数据开放目录，构建( )的政务数据开放平台，推动政务数据开放利用。

答案：ABC

A 统一规范

B 互联互通

C 安全可控

D 多种多样

53. 国家大力推进电子政务建设，提高政务数据的( )，提升运用数据服务经济社会发展的能力。

答案：ABC

A 科学性

B 准确性

C 时效性

D 合法性

54.国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对( )造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

答案：ABCD

A 国家安全

B 公共利益

C 个人

D 组织合法权益

55.关系( )等数据属于国家核心数据，实行更加严格的管理制度。

答案：ABCD

A 国家安全

B 国民经济命脉

C 重要民生

D 重大公共利益

56. 以下属于《数据安全法》所规定的数据处理活动的有( )

答案：ABCD

A. 数据的收集

B. 数据的存储

C. 数据的使用

D. 数据的加工

57. 国家建立健全数据安全治理体系，提高数据安全保障能力，需要坚持的原则有( )

答案：ABCD

A. 总体国家安全观

B. 统筹发展和安全

C. 维护国家主权、安全、发展利益

D. 促进数据开发利用

58. 数据处理者在数据安全方面应履行的义务包括( )

答案：ABCD

A. 建立健全全流程数据安全管理制度

B. 采取相应的技术措施和其他必要措施

C. 保障数据安全

D. 定期开展数据安全评估

59. 以下哪些主体有义务保障数据安全( )

答案：ABD

A. 国家机关

B. 企业

C. 个人

D. 社会组织

60. 国家支持( )等有关主体在数据安全风险评估、防范、处置等方面开展协作。

答案：ABCD

A. 企业

B. 高等学校

C. 科研机构

D. 行业协会

61. 数据安全事件发生后，有关部门可以采取的措施有( )

答案：ABC

A. 及时处置

B. 组织应急救援和处置

C. 尽快恢复正常的生产生活秩序

D. 对相关责任人进行处罚

62. 数据安全审查的重点评估内容包括( )

答案：ABD

A. 数据处理活动对国家安全、公共利益的影响

B. 数据处理活动对个人、组织合法权益的影响

C. 数据的来源和规模

D. 数据安全风险

63. 从事数据交易中介服务的机构提供服务，应当要求数据提供方说明( )

答案：AC

A. 数据来源

B. 数据用途

C. 数据安全情况

D. 数据交易价格

64. 国家推进数据开发利用技术和数据安全标准体系建设，以下属于标准的有( )

答案：ABCD

A. 国家标准

B. 行业标准

C. 地方标准

D. 企业标准

65. 数据处理者违反《数据安全法》规定，给他人造成损害的，依法

承担（A）

A.民事责任

B.行政责任

C.刑事责任

D.违约责任

66.密码法的立法目的是( )。

答案：ABCD

A.规范密码应用和管理

B.促进密码事业发展

C.保障网络与信息安全

D.维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益

67.密码的主要功能有( )。

答案：AB

A.加密保护

B.安全认证

C.信息存储

D.数据传输

68.以下属于密码管理部门职责的有( )。

答案：ABCD

A.组织贯彻落实国家密码工作重大决策部署

B. 拟订密码工作发展规划、计划

C.拟订密码相关标准

D.负责密码科研、生产、使用、检测、销毁等管理工作

69.核心密码、普通密码的管理原则包括( )。

答案：ABCD

A.严格统一管理

B.依法管理

C.确保安全

D.分级负责

70.国家加强核心密码、普通密码的科学规划、管理和使用，加强( )，提升密码安全保障能力。

答案：ABC

A.制度建设

B.关键信息基础设施安全防护

C.监督检查

D.人才培养

71. 密码工作机构应当建立健全( )等管理制度。

答案：ABCD

A.安全管理制度

B.保密制度

C.应急处置制度

D.人员管理制度

72.商用密码的主要应用领域包括( )。

答案：ABCD

A.金融领域

B.通信领域

C.政务领域

D.电子商务领域

73.国家鼓励和支持( )等参与商用密码技术创新活动。

答案：ABC

A.企业

B.社会团体

C.教育科研机构

D.个人

74.商用密码标准体系包括( )。

答案：ABCD

A.国家标准

B.行业标准

C.团体标准

D.企业标准

75.商用密码检测、认证机构应当( )。

答案：ABC

A.依法取得相关资质

B.按照法律、行政法规的规定和商用密码检测认证技术规范、规则开展检测认证活动

C.对其在商用密码检测认证中所知悉的国家秘密、商业秘密和个人隐私予以保密

D.定期向密码管理部门报送检测认证结果答案：

76.关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照( )的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

答案：AD

A. 《中华人民共和国网络安全法》

B.《中华人民共和国数据安全法》

C.《中华人民共和国国家安全法》

D.《网络产品和服务安全审查办法》

77.国家对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用( )等电子认证服务活动的监督管理。

答案：ABC

A.电子签名

B.数据电文

C.电子认证

D.电子合同

78.密码管理部门和有关部门及其工作人员应当 ( )，不得泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私。

答案：ABCD

A.依法履行职责

B.严格遵守保密规定

C.不得利用职务之便谋取私利

D. 公正廉洁

79. 违反《密码法》规定，( )，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分。

答案：ABCD

A. 销售或者提供未经检测认证或者检测认证不合格的商用密码产品

B. 销售或者提供未按规定进行审查或者审查未通过的涉及商用密码的网络产品或者服务

C. 关键信息基础设施的运营者未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估

D. 电子政务电子认证服务机构未按照规定开展电子政务电子认证服务

80. 违反《密码法》规定，发生( )等情形，由密码管理部门责令改正；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分。

答案：AB

A. 核心密码、普通密码失泄密

B. 发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取应对措施，或者未及时报告

C. 商用密码检测、认证机构违反规定开展商用密码检测认证

D. 密码管理部门和有关部门的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊

81. 《密码法》的立法目的是( )。

答案：ABCD

A. 规范密码应用和管理

B. 促进密码事业发展

C. 保障网络与信息安全

D. 维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益

82. 核心密码、普通密码的管理原则包括( )。

答案：ABCD

A. 严格统一管理

B. 分级负责

C. 科学规划

D. 强化密码安全保障体系

83. 以下属于商用密码应用领域的有( )。

答案：ABCD

A. 金融领域

B. 通信领域

C. 电子政务领域

D. 电子商务领域

84. 国家采取多种形式加强密码安全教育，将密码安全教育纳入( )。

答案：AC

A. 国民教育体系

B. 职业教育体系

C. 公务员教育培训体系

D. 高等教育体系

85. 商用密码从业单位应当加强( )，建立健全（），对其从业人员进行（）。

答案：CDE

A. 商用密码领域的科学技术研究

B. 商用密码应用安全性评估

C. 商用密码安全管理

D. 安全管理制度和保密制度

E. 密码安全教育、培训

86. 商用密码检测、认证机构应当按照( )开展商用密码检测认证活动。

答案：ABC

A. 法律、行政法规的规定

B. 商用密码强制性国家标准

C. 技术规范、规则

D. 行业协会的要求

87. 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，应当遵循( )原则，按照（）与供应商签订安全保密协议。

答案：BD

A. 公开透明

B. 公平竞争

C. 自愿平等

D. 合同约定

E. 交易习惯

88. 国家支持在商用密码领域开展( )等国际交流与合作。

答案：ABCD

A. 学术研讨

B. 技术交流

C. 产业合作

D. 人才培养

89. 密码管理部门依法对( )进行监督检查。

答案：ABCD

A. 核心密码、普通密码的管理和使用

B. 商用密码产品的生产、销售、使用

C. 商用密码服务的提供、使用

D. 关键信息基础设施商用密码应用安全性评估情况

90. 有下列( )情形之一的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。

答案：BC

A. 未经认定从事电子政务电子认证服务

B. 销售或者提供未经检测认证或者检测认证不合格的商用密码产品

C. 提供未经认证或者认证不合格的商用密码服务

D. 关键信息基础设施的运营者未按照要求使用商用密码

91. 密码管理部门和有关部门及其工作人员( )，依法给予处分。

答案：ABCD

A. 在密码工作中滥用职权

B. 在密码工作中玩忽职守

C. 在密码工作中徇私舞弊

D. 泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私

92. 国家对密码实行分类管理的原因包括( )。

答案：BCD

A. 密码种类繁多

B. 不同类型密码的功能、使用范围、管理要求各不相同

C. 保障国家秘密安全和网络与信息安全的需要

D. 促进密码事业健康发展的需要

93. 商用密码的主要功能包括( )。

答案：AB

A. 加密保护

B. 安全认证

C. 数据存储

D. 访问控制

94. 以下关于商用密码标准的说法正确的有( )。

答案：ABC

A. 商用密码国家标准由国务院标准化行政主管部门会同国家密码管理部门制定

B. 商用密码行业标准由国家密码管理部门制定

C. 国家鼓励社会团体、企业制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准

D. 商用密码国际标准由国际标准化组织制定

95. 国家鼓励和支持密码科学技术研究和应用，主要体现在( )。

答案：ABCD

A. 开展密码基础研究

B. 推动密码科技成果转化

C. 促进密码产业发展

D. 加强密码人才培养

96.个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、( ) 删除等。

答案：ABCD

A 加工

B 传输

C 提供

D 公开

97.任何组织、个人不得非法收集、( )他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

答案：ABC

A 使用

B 加工

C 传输

D 仿造

98.个人信息的( ) 发生变更的，应当重新取得个人同意。

答案：ABC

A 处理目的

B 处理方式

C 处理的个人信息种类

99.个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、( ) 以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

答案：ABCD

A 期限

B 处理方式

C 个人信息的种类

D 保护措施

100.个人信息处理者因( ) 等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

答案：ABCD

A 合并

B 分立

C 解散

D 被宣告破产

101.在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法( )。

答案：ABD

A 以向境内自然人提供产品或者服务为目的

B 分析、评估境内自然人的行为

C 以向境外自然人提供产品或者服务为目的

D 法律、行政法规规定的其他情形

102.《中华人民共和国个人信息保护法》的立法宗旨是( )。

答案：ABC

A 保护个人信息权益

B 规范个人信息处理活动

C 促进个人信息合理利用

D 提高个人信息数据质量

103.自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的( ) 等权利；死者生前另有安排的除外。

答案：ABCD

A 查阅

B 复制

C 更正

D 删除

104. 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括( )、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

答案：ABCD

A 生物识别

B 宗教信仰

C 特定身份

D 医疗健康

105.个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知哪些事项？ ( )

答案：ABCD

A.个人信息处理者的名称或者姓名和联系方式

B.个人信息的处理目的、处理方式、处理的个人信息种类、保存期限

C.个人行使本法规定权利的方式和程序

D.法律、行政法规规定应当告知的其他事项

106、敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括( )、（）、特定身份、（）、金融账户、（）等信息，以及不满十四周岁未成年人的个人信息。

答案：ABCD

A.生物识别

B.宗教信仰

C.医疗健康

D.行踪轨迹

E.出生日期

107、个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得( ) 或（），并制定专门的个人信息处理规则。

答案：AC

A.未成年人的父母同意

B.未成年人本人的同意

C.未成年人其他监护人的同意

D.未成年人及其监护人同意

108、下列哪些场景下，个人信息处理者可以处理个人信息？ ( )

答案：ABCD

A.取得了个人的同意

B.履行法定职责或者法定义务所必需

C.为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需

D.为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息

109.国际数据管理协会（DAMA）认为数据是以文本、( )等格式对事实进行表现。

答案：ABCDE

A.数字

B.图形

C.图像

D.声音

E.视频

110.以下哪些法律与网络数据安全直接相关？( )

答案：ABC

A.《中华人民共和国网络安全法》

B.《中华人民共和国数据安全法》

C.《中华人民共和国个人信息保护法》

D.《中华人民共和国反垄断法》

E.《中华人民共和国消费者权益保护法》

111.网络数据处理活动是指网络数据的收集、( )、公开、删除等活动。

答案：ABCDE

A.存储

B.使用

C.加工

D.传输

E.提供

112.重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害( )的数据。

答案：ABCD

A.国家安全

B.经济运行

C.社会稳定

D.公共健康和安全

E.环境安全

113.数据具有数值属性、物理属性。在数据处理上数据又具有 ( )、共同性、指向性以及运算规则及运算约束的特点。 A.集合性

答案：ABCDE

B.隶属性

C.稳定性

D.方便性

E.重复性

114.利用生成式人工智能技术向中华人民共和国境内公众提供生成( )等内容的服务（以下称生成式人工智能服务），适用于《生成式人工智能服务管理暂行办法》。

答案：ABCD

A.文本

B.图片

C.音频

D.视频

E.论文

115.国家支持网络数据相关( )创新。

答案：ABC

A.技术创

B.产品

C.服务

D.资金

E.法律

116.网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的，应当按照规定( )。

答案：ABD

A.向公安机关报案

B.向国家安全机关报案

C.向政府报案

D.配合开展侦查

E.忽略这些线索

117.网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的，应当通过合同等与网络数据接收方约定处理( )等，并对网络数据接收方履行义务的情况进行监督。

答案：ABCD

A.目的

B.方式

C.范围

D.安全保护义务

E.安全保护责任

118.网络数据处理者因( )等原因需要转移网络数据的，网络数据接收方应当继续履行网络数据安全保护义务。

答案：ABCE

A.合并

B.分立

C.解散

D.重组

E.破产

119.通过数据出境安全评估后，网络数据处理者向境外提供个人信息和重要数据的，不得超出评估时明确的数据出境 ( )等。

答案：ABCDE

A.目的

B.方式

C.范围

D.种类

E.规模

120.个人请求( )、限制处理其个人信息，或者个人注销账号、撤回同意的，网络数据处理者应当及时受理，并提供便捷的支持个人行使权利的方法和途径，不得设置不合理条件限制个人的合理请求。

答案：ABCDE

A.查阅

B.复制

C.更正

D.补充

E.删除

121.数据安全管理机构应当定期组织开展网络数据安全( )等活动，及时处置网络数据安全风险和事件。

答案：BCDE

A.定期宣传

B.风险监测

C.风险评估

D.应急演练

E.宣传教育培训

122.( )等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

答案：ABCDE

A.国际贸易

B.跨境运输

C.学术合作

D.跨国生产制造

E.市场营销

123.重要数据的处理者应当( )对其网络数据处理活动开展风险评估，并向（）以上有关主管部门报送风险评估报告，有关主管部门应当及时通报同级网信部门、公安机关。

答案：AC

A.每年度

B.每季度

C.省级

D.市级

E.县级

124.数据的分级分类要求机器( )。

答案：ABC

A.可识别

B.可理解

C.可操作

D.可存储

E.可备份

125.有关主管部门及其工作人员对在履行职责中知悉的( )等网络数据应当依法予以保密，不得泄露或者非法向他人提供。

答案：ABCD

A.个人隐私

B.个人信息

C.商业秘密

D.保密商务信息

E.医疗信息

126.《网络数据安全管理条例》是( )的落实补充和细化。

答案：CDE

A.《中华人民共和国电子商务法》

B.《中华人民共和国保守国家秘密法》

C.《中华人民共和国网络安全法》

D.《中华人民共和国数据安全法》

E.《中华人民共和国个人信息保护法》

127.数据的( )是数据能够流动起来并创造价值的根本基础，应当高度重视。

答案：BCE

A.实时性

B.标准化

C.规范化

D.动态性

E.安全性

128.网络安全的维度包括( )。

答案：ABDE

A.边界安全

B.动态的安全防护

C.终端安全

D.应用安全

E.数据安全

129. 根据《生成式人工智能服务管理暂行办法》，大模型服务提供者需履行的义务包括( )。

答案：ABCD

A. 对生成内容进行标识

B. 建立用户认证机制

C. 保存日志不少于6个月

D. 配合安全评估

130. 大模型数据合规治理措施包括( )。

答案：ABCD

A. 数据分类分级

B. 敏感数据脱敏

C. 跨境传输安全评估

D. 标注数据合规性审核

131. 大模型伦理风险包括( )。

答案：ABC

A. 生成虚假信息

B. 歧视性输出

C. 隐私泄露

D. 算力消耗高

132. 大模型算法备案需提交的材料包括( )。

答案：ABC

A. 算法类型

B. 训练数据来源说明

C. 安全评估报告

D. 服务器地址

133. 大模型训练数据需满足( )。

答案：AB

A. 来源合法

B. 多样性和平衡性

C. 无需标注

D. 包含敏感信息

134. 大模型性能测试指标包括( )。

答案：ABCD

A. 首Token时延

B. 并发数

C. TP95

D. 生成速度

135. 医疗大模型合规要求包括( )。

答案：ABCD

A. 训练数据合法性

B. 医疗器械备案

C. 内容准确性

D. 广告法合规

136. 大模型可解释性技术包括( )。

答案：AC

A. 注意力可视化

B. 模型压缩

C. 特征重要性分析

D. 联邦学习

137. 金融大模型应用场景包括( )。

答案：ABC

A. 智能审核

B. 反欺诈检测

C. 信贷风险评估

D. 天气预报

138. 大模型数据安全措施包括( )。

答案：ABCD

A. 加密传输

B. 访问权限控制

C. 定期审计

D. 数据备份

139. 大模型测试题库需覆盖( )。

答案：ABC

A. 生成内容安全风险

B. 拒答能力

C. 非拒答场景

D. 硬件性能

140. 大模型服务能力成熟度等级包括( )。

答案：ABC

A. 基础应用级

B. 协同优化级

C. 深度赋能级

D. 行业标杆级

141. 智能交通大模型算法备案需提交( )。

答案：ABC

A. 算法机制机理

B. 应用领域

C. 训练数据来源

D. 用户协议

142. 大模型训练中，避免过拟合的方法包括( )。

答案：ABCD

A. 增加训练数据

B. 正则化

C. 交叉验证

D. 降低模型复杂度

143. 大模型生成内容需标注( )。

答案：AB

A. “AI生成”标识

B. 模型名称

C. 开发团队信息

D. 无需标注

144. 金融大模型合规案例中，需验证( )。

答案：ABC

A. 生成内容准确性

B. 数据来源合法性

C. 算法备案

D. 硬件配置

145. 大模型测试中，“生成质量”评估维度包括( )。

答案：ABC

A. 语义连贯性

B. 逻辑准确性

C. 内容相关性

D. 响应速度

146. 大模型部署安全措施包括( )。

答案：ABCD

A. 入侵检测系统

B. 数据加密

C. 访问控制

D. 负载均衡

147. 医疗大模型生成药品广告时，需遵守( )。

答案：AB

A. 《广告法》

B. 《医疗器械监督管理条例》

C. 《网络安全法》

D. 《数据安全法》

148. 大模型服务提供者需建立( )机制。

答案：ABCD

A. 内容审核

B. 投诉举报

C. 应急响应

D. 数据备份

149. 《人脸识别技术应用安全管理办法》制定依据的法律、行政法规包括( )。

答案：ABDE

A. 《中华人民共和国网络安全法》

B. 《中华人民共和国数据安全法》

C. 《中华人民共和国民法典》

D. 《中华人民共和国个人信息保护法》

E. 《网络数据安全管理条例》

150. 应用人脸识别技术处理人脸信息活动时，应当遵守的原

则有（ABCD）。

A. 遵守法律法规

B. 尊重社会公德和伦理

C. 遵守商业道德和职业道德

D. 诚实守信

E. 以侵害个人合法权益为代价

151. 个人信息处理者在应用人脸识别技术处理人脸信息前，

应当向个人告知的事项包括（ABCD）。

A. 个人信息处理者的名称或者姓名和联系方式

B. 人脸信息的处理目的、处理方式，处理的人脸信息保存期限

C. 处理人脸信息的必要性以及对个人权益的影响

D. 个人依法行使权利的方式和程序

E. 个人信息处理者的商业机密

152. 下列关于人脸信息处理的说法正确的是( )。

答案：BDE

A. 取得个人单独同意后，人脸信息可以通过互联网传输

B. 除法律、行政法规另有规定外，人脸信息的保存期限不得超过实现处理目的所必需的最短时间

C. 未经个人同意，可以将人脸信息用于其他目的

D. 个人信息处理者应当事前进行个人信息保护影响评估

E. 人脸识别技术可以作为唯一验证方式，无论是否存在其他非人脸识别技术方式

153. 人脸识别技术应用安全规范包括( )。

答案：ABCE

A. 不得误导、欺诈、胁迫个人接受人脸识别技术验证个人身份

B. 在公共场所安装人脸识别设备，应当为维护公共安全所必需

C. 人脸识别技术应用系统应当采取数据加密等措施保护人脸信息安全

D. 可以在宾馆客房等私密空间内部安装人脸识别设备

E. 鼓励优先使用国家人口基础信息库等渠道实施身份验证

154. 个人信息处理者在应用人脸识别技术处理人脸信息时，应当采取的措施有( )。

答案：ABCD

A. 事前进行个人信息保护影响评估

B. 对处理情况进行记录

C. 制定专门的未成年人人脸信息处理规则

D. 将人脸信息存储于人脸识别设备内，除非有法律、行政法

规规定或取得个人单独同意

E.无条件满足个人撤回同意的要求

155. 下列场所或情形中，禁止安装人脸识别设备的是( )。

答案：ABCD

A. 宾馆客房

B. 公共浴室

C. 公共更衣室

D. 公共卫生间等公共场所中的私密空间内部

E. 为维护公共安全所必需的公共场所

156. 国家人口基础信息库、国家网络身份认证公共服务等渠

道在人脸识别技术应用中的优势是（AC）。

A. 减少人脸信息收集、存储

B. 增加数据处理量

C. 保护人脸信息安全

D. 提高验证便捷性

E. 提升企业盈利水平

157. 个人信息处理者在向网信部门备案时需提交的材料包括( )。

答案：ABCDE

A. 个人信息处理者的基本情况

B. 人脸信息处理目的和处理方式

C. 人脸信息存储数量和安全保护措施

D. 人脸信息的处理规则和操作规程

E. 个人信息保护影响评估报告

158. 网信部门、公安机关和其他履行个人信息保护职责的部门的职责包括( )。

答案：ABCD

A. 建立健全信息共享和通报工作机制

B. 协同开展相关工作

C. 依法对应用人脸识别技术处理个人信息活动实施监督检查

D. 受理投诉、举报并及时处理

E. 保障个人信息处理者的商业利益

159. 关键信息基础设施包括( )

答案：ABCD

A.能源领域

B.通信领域

C.金融领域

D.交通领域

160.关键信息基础设施运营者的义务有( )

答案：ABC

A.安全保护义务

B.定期检测评估义务

C.应急处置义务

D.人员培训义务

161.以下属于关键信息基础设施保护工作内容的有( )

答案：ABC

A.风险评估

B.安全监测

C.应急响应

D.技术研发

162.关键信息基础设施运营者采购网络产品和服务应遵循( )原则。 A. 安全可控

答案：AB

B.公平竞争

C.价格优先

D.技术先进

163.网络安全事件发生后，关键信息基础设施运营者应采取的措施有 ( )

答案：ABC

A.立即启动应急预案

B.及时处置

C.保存相关记录

D.自行修复，无需报告

164.国家建立( )的关键信息基础设施安全保护体系。

答案：AD

A.多层次

B.多维度

C.多领域

D. 多部门协同

165. 关键信息基础设施保护工作需要( )的共同参与。

答案：ABCD

A.政府部门

B.运营者

C.行业组织

D.社会公众

166.关键信息基础设施运营者应履行的网络安全保护职责包括( )

答案：ABCD

A.制定内部安全管理制度

B.采取技术防护措施

C.开展安全审计

D.建立数据备份恢复机制

167.对关键信息基础设施的认定应考虑的因素有( )

答案：ABC

A.业务连续性

B.经济重要性

C.服务对象范围

D.技术创新性

168.关键信息基础设施运营者的安全管理要求包括( )

答案：ABCD

A.人员背景审查

B.安全培训教育

C.建立安全管理机构

D.安全考核机制

169.数据安全风险评估的基本要素包括( )。

答案：ABCD

A. 数据

B. 数据处理活动

C. 业务

D. 信息系统

170数据处理活动包括（ABCDEF）。

A. 数据收集

B. 数据存储

C. 数据使用

D. 数据加工

E. 数据传输

F. 数据删除

171.数据安全风险评估的方式主要有( )。

答案：ABC

A. 自评估

B. 委托第三方评估

C. 检查评估

D. 公众评估

172.下列属于应开展数据安全风险评估的情形有( )。

答案：ABCDE

A. 重要数据处理者每年度对其网络数据处理活动开展评估

B. 处理 1000 万人以上个人信息的数据处理者每年度评估

C. 重要数据的处理者提供重要数据前

D. 数据处理活动发生重大变更

E. 法律要求开展评估的情形

173.数据安全风险评估实施流程包括( )阶段。

答案：ABCDE

A. 评估准备

B. 信息调研

C. 风险识别

D. 风险分析与评价

E. 评估总结

174.数据安全评估内容框架围绕哪些方面开展( )。

答案：ABCD

A. 数据安全管理

B. 数据处理活动安全

C. 数据安全技术

D. 个人信息保护

175.数据安全风险评估手段包括( )。

答案：ABCD

A. 人员访谈

B. 文档查验

C. 安全核查

D. 技术测试

176.评估准备阶段的工作包括( )。

答案：ABCDE

A. 确定评估目标

B. 确定评估范围

C. 组建评估团队

D. 开展前期准备

E. 制定评估方案

177.信息调研包括( )。

答案：ABCDE

A. 数据处理者调研

B. 业务和信息系统调研

C. 数据资产调研

D. 数据处理活动调研

E. 安全防护措施调研

178.风险识别需从哪些方面进行( )。

答案：ABCD

A. 数据安全管理

B. 数据处理活动安全

C. 数据安全技术

D. 个人信息保护

179.风险分析包括( )。

答案：ABC

A. 风险归类分析

B. 风险危害程度分析

C. 风险发生可能性分析

D. 风险处置分析

180.风险危害程度分析需考虑的因素有( )。

答案：AB

A. 数据价值

B. 风险源严重程度

C. 风险发生频率

D. 安全措施有效性

181.风险发生可能性分析需考虑的因素有( )。

答案：ABC

A. 风险源发生频率

B. 安全措施有效性和完备性

C. 风险源关联性

D. 数据价值

182.评估总结阶段的工作包括( )。

答案：ABC

A. 编制评估报告

B. 风险处置建议

C. 残余风险分析

D. 风险识别

183.敏感个人信息一旦泄露或非法使用，可能导致的后果包括( )。

答案：ABC

A. 自然人的人格尊严受到侵害

B. 自然人的人身安全受到危害

C. 自然人的财产安全受到危害

D. 个人信息处理者的商业利益受损

184.个人信息处理者识别敏感个人信息时，应考虑的因素包括( )。

答案：ABCD

A. 单项信息泄露或非法使用的影响

B. 多项一般个人信息汇聚后的整体属性影响

C. 法律法规的规定

D. 泄露或非法使用是否导致人格尊严、人身或财产安全受侵害

185.敏感个人信息处理的基本要求包括( )。

答案：ABC

A. 符合 GB/T35273 中个人信息相关要求

B. 具有特定目的和充分必要性，并采取严格保护措施

C. 基于个人同意处理的，需取得单独同意

D. 可与一般个人信息一并处理，无需单独管理

186.收集敏感个人信息的合法性要求包括( )。

答案：ABCD

A. 不隐瞒收集功能，明确相关信息

B. 不通过欺诈、诱骗等方式收集

C. 不通过技术手段自动收集互联网传输的敏感个人信息

D. 不为犯罪活动收集或使用敏感个人信息

187.收集敏感个人信息的具体要求包括( )。

答案：ABCD

A. 非敏感信息可实现目的的，不收集敏感信息

B. 仅在业务功能使用期间收集所需敏感信息

C. 按业务功能或场景分项收集

D. 移动应用收集需符合 GB/T41391 要求

188.处理敏感个人信息前的告知方式包括( )。

答案：ABCDE

A. 单独弹窗

B. 短信

C. 填写框

D. 转至单独提示界面

E. 语音播报

189.告知敏感个人信息处理相关内容时，应包括( )。

答案：ABCDE

A. 处理者名称或姓名、联系方式

B. 处理目的、方式和必要性

C. 信息种类、保存期限

D. 对个人权益的影响

E. 个人行使权利的方式和途径

190.处理 10 万人以上敏感个人信息的，额外要求包括( )。

答案：ABCD

A. 指定个人信息保护负责人和管理机构

B. 保护负责人具备专业知识和管理经历，由管理层成员担任

C. 对负责人和关键岗位人员进行安全背景审查

D. 制定敏感个人信息处置方案

191.处理生物识别信息的特殊要求包括( )。

答案：ABCDEF

A. 提供非生物识别的替代身份识别方式

B. 不将生物识别作为默认识别方式

C. 非经主动要求或书面同意，不公开生物识别信息

D. 收集用于身份识别的，需取得书面同意

E. 提取特征和摘要信息，实现目的后删除原始信息

F. 用于科学研究需取得书面同意

192.处理宗教信仰信息的特殊要求包括( )。

答案：ABCD

A. 按宗教组织规定收集，需取得单独同意

B. 原则上不处理，宗教组织内部活动除外

C. 未经单独同意，不提供和公开相关信息

D. 不使用宗教信仰信息构建用户画像

193.处理特定身份信息的特殊要求包括( )。

答案：ABCD

A. 可采用非特定身份信息实现目的的，不强制收集

B. 确需收集的，验证和实现目的后及时删除（法律法规另有要求除外）

C. 去标识化显示，完整显示需身份验证

D. 不使用特定身份信息构建用户画像和个性化推荐

194.处理医疗健康信息的特殊要求包括( )。

答案：ABCD

A. 按敏感程度和影响进行分类分级管理

B. 建立访问控制权限审批机制

C. 去标识化显示，完整显示需身份验证

D. 用于研究时宜去标识化后使用

195.处理金融账户信息的特殊要求包括( )。

答案：ABCDEF

A. 按敏感程度和影响进行分类分级管理

B. 收集时使用加密等技术措施

C. 不留存非本机构的账户鉴别信息（经授权除外）

D. 不存储支付敏感信息和生物识别样本数据

E. 去标识化显示，完整显示需身份验证

F. 去标识化覆盖交易页面、管理页面和日志打印等场景

196.处理行踪轨迹信息的特殊要求包括( )。

答案：ABCD

A. 持续收集的，提供持续提示机制

B. 不标注敏感位置区域

C. 仅在相关业务功能使用时，以最小频率和范围调用

D. 加工后构成行踪轨迹的信息，按同等要求保护

197.处理不满十四周岁未成年人个人信息的特殊要求包括( )。

答案：ABCDE

A. 仅在法律法规明确要求时收集身份信息

B. 采取合理措施验证未成年人和监护人身份

C. 提供便捷的查阅、复制、更正、补充和删除权利实现途径

D. 在规定期限内受理并处理相关申请

E. 制定专门处理规则并公开，明示相关功能和模式差异

198.敏感个人信息日志记录的要求包括( )。

答案：AB

A. 记录处理和操作情况

B. 日志保存三年

C. 仅记录重要操作，无需全面记录

D. 可根据业务需要自行确定保存期限

199.敏感个人信息存储的要求包括( )。

答案：ABCD

A. 与可识别个人身份的信息分开存储

B. 去标识化的敏感信息与可恢复识别的信息分开存储

C. 达到重要数据规模的，按重要数据保护

D. 加密存储，采用合规密码技术

200.敏感个人信息传输的要求包括( )。

答案：AB

A. 加密传输

B. 采用符合标准的密码算法和技术

C. 可通过公共网络裸传，无需额外保护

D. 传输日志无需专门管理

201.敏感个人信息访问控制的要求包括( )。

答案：ABCD

A. 基于业务需要授予最少权限

B. 限制权限有效期

C. 实现字段级访问控制

D. 每月对权限进行安全审计

202.敏感个人信息接口安全的要求包括( )。

答案：ABCDEF

A. 定期梳理可访问敏感信息的应用和接口

B. 采用身份鉴别措施

C. 实施访问控制和最小授权

D. 使用安全通道和加密传输

E. 添加时间戳

F. 严格管控接口调用权限

203.敏感个人信息删除的要求包括( )。

答案：ABCD

A. 建立删除机制，提供便利的删除途径

B. 法律法规规定需留存的，到期后及时删除或匿名化

C. 评估删除或匿名化效果，确保不可还原

D. 涵盖处理目的实现、服务停止、保存期限届满等情形

204.个人信息保护影响评估的要求包括( )。

答案：AB

A. 新应用使用前开展评估

B. 评估报告保存三年

C. 仅需对高风险处理活动开展评估

D. 评估结果无需归档

205.敏感个人信息合规审计的要求包括( )。

答案：AB

A. 按国家规定开展个人信息保护合规审计

B. 审核评价敏感个人信息处理活动的合规性

C. 审计频率可自行确定，无需定期开展

D. 审计结果仅内部使用，无需备案

206.敏感个人信息风险监测的要求包括( )。

答案：AB

A. 建立风险监测预警和响应机制

B. 对异常操作及时响应

C. 仅监测外部攻击，无需关注内部操作

D. 监测日志可随意删除

207.敏感个人信息出境的要求包括( )。

答案：A

A. 符合国家有关部门数据出境规定

B. 可自行决定出境，无需额外审批

C. 出境前无需进行安全评估

D. 出境后无需备案

208.软件产品开源代码安全评价的一级参数包括( )

答案：ABCD

A. 开源代码来源

B. 开源代码安全质量

C. 开源代码知识产权

D. 开源代码管理

209.开源代码来源评价的二级参数有( )

答案：ABCD

A. 开源代码规模与占比

B. 开源代码编码语言

C. 开源代码著作权人

D. 开源代码贡献量

210.开源代码安全评价流程中采用的基本方法包括( )

答案：ABC

A. 访谈

B. 检查

C. 测试

D. 推测

211.开源代码知识产权风险包括( )

答案：ABCD

A. 版权侵权风险

B. 专利侵权风险

C. 商标侵权风险

D. 许可证冲突

212.开源代码管理评价的二级参数包括( )

答案：ABCD

A. 开源代码管理团队

B. 开源代码物料清单

C. 开源代码设计

D. 开源代码生成

213.开源社区安全管理评价的内容包括( )

答案：AB

A. 开源社区对于开源代码的安全扫描情况

B. 开源社区对于开源代码的贡献管理

C. 开源社区的地理位置

D. 开源社区的成立时间

214.开源代码安全质量评价的二级参数有( )

答案：ABCD

A. 开源代码漏洞率

B. 开源代码漏洞严重性

C. 开源代码漏洞修复率

D. 开源代码版本更新情况

215.开源代码物料清单评价的内容包括( )

答案：ABCD

A. 是否具备开源代码物料清单

B. 物料清单是否包含直接引入的开源代码相关信息

C. 物料清单是否包含间接依赖的开源代码相关信息

D. 物料清单是否具备可追溯性

216.开源代码生成评价关注的安全措施包括( )

答案：AB

A. 配置检查

B. 漏洞扫描

C. 代码美化

D. 格式调整

217.开源许可证规范性评价涉及的内容包括( )

答案：ABCD

A. 授权范围

B. 授权条件

C. 违约与授权终止

D. 免责声明

218.关键信息基础设施安全保护的基本原则包括( )。

答案：ABD

A. 以关键业务为核心的整体防控

B. 以风险管理为导向的动态防护

C. 以技术升级为重点的持续优化

D. 以信息共享为基础的协同联防

219.分析识别活动的内容包括( )。

答案：ABC

A. 业务识别

B. 资产识别

C. 风险识别

D. 应急识别

220.业务识别需完成的工作有( )。

答案：BCD

A. 制定业务发展规划

B. 识别本组织关键业务及关联外部业务

C. 分析关键业务对外部业务的依赖性

D. 梳理关键业务链

221.资产识别时应建立的资产清单包含( )。

答案：ABCD

A. 网络资产

B. 系统资产

C. 数据资产

D. 服务资产

222.安全管理制度中的安全策略包括( )。

答案：ABC

A. 安全审计策略

B. 数据安全防护策略

C. 供应链安全管理策略

D. 员工考勤管理策略

223.安全管理机构的要求有( )。

答案：ABD

A. 成立网络安全工作委员会或领导小组

B. 设置专门的网络安全管理机构

C. 无需明确安全管理责任人

D. 为每个关键信息基础设施明确安全管理责任人

224.安全管理人员的关键岗位通常包括( )。

答案：ABC

A. 系统管理岗位

B. 网络管理岗位

C. 安全管理岗位

D. 财务管理岗位

225.网络架构的安全要求包括( )。

答案：AB

A. 通信线路 “一主双备” 多路由保护

B. 网络关键节点 “双节点” 冗余备份

C. 单一运营商线路保障

D. 无需考虑线路冗余

226.互联安全需采取的措施有( )。

答案：AC

A. 建立安全互联策略

B. 允许不同系统随意互联

C. 远程通信时验证通信双方身份

D. 无需控制用户身份一致性

227.边界防护的要求包括( )。

答案：AD

A. 严格控制不同系统间的数据交换

B. 允许未授权设备接入

C. 放开信息流向限制

D. 管控未授权设备

228.鉴别与授权可采用的方式有( )。

答案：BC

A. 单一密码鉴别

B. 多因子身份鉴别

C. 基于安全标记的访问控制

D. 无需动态鉴别

229.入侵防范的技术手段应能应对( )。

答案：AB

A. 高级可持续威胁（APT）

B. 病毒行为

C. 内部正常操作

D. 授权访问

230.安全建设管理需实现 “三同步”，即( )。

答案：ACD

A. 同步规划

B. 同步验收

C. 同步建设

D. 同步使用

231.安全运维管理的要求包括( )。

答案：ABD

A. 运维地点优先选择境内

B. 签订安全保密协议

C. 可使用未备案运维工具

D. 未备案工具需经恶意代码检测

232.供应链安全保护中，采购网络产品和服务应( )。

答案：ABC

A. 选择通过国家检测认证的产品

B. 涉及国家安全的需经网络安全审查

C. 签订安全保密协议

D. 无需关注供应方资质

233.数据安全防护对数据存储的要求有( )。

答案：AB

A. 境内收集的个人信息和重要数据存储在境内

B. 重要系统和数据库异地备份

C. 可随意向境外提供数据

D. 无需备份数据

234.检测评估的周期要求包括( )。

答案：AC

A. 每年至少一次

B. 每三年一次

C. 重大变更后需进行

D. 无需定期评估

235.监测预警制度需建立的机制有( )。

答案：BCD

A. 独立处置机制

B. 常态化监测预警机制

C. 通报协作机制

D. 信息共享机制

236.监测需部署设备的位置包括( )。

答案：AB

A. 网络边界

B. 网络出入口

C. 员工个人终端

D. 外部合作单位网络

237.预警信息应包含的内容有( )。

答案：ABD

A. 基本情况描述

B. 可能的危害程度

C. 责任认定结果

D. 应对措施建议

238.收敛暴露面需减少暴露的信息包括( )。

答案：ABC

A. 互联网协议地址、端口

B. 组织架构、邮箱账号

C. 网络拓扑图、源代码

D. 公开的产品信息

239.攻击发现和阻断可采取的措施有( )。

答案：ABCD

A. 设置多道防线

B. 阻断攻击路径

C. 攻击溯源

D. 攻击者画像

240.攻防演练应包含的场景有( )。

答案：AB

A. 关键业务可持续运行

B. 核心供应链安全

C. 日常办公操作

D. 授权访问测试

241.威胁情报共享的对象包括( )。

答案：ABCD

A. 上下级单位

B. 权威威胁情报机构

C. 其他运营者

D. 网络安全服务机构

242.网络安全事件管理制度应明确( )。

答案：ABC

A. 事件分类分级

B. 处置流程

C. 应急预案

D. 责任追究细则

243.应急预案需涵盖的内容有( )。

答案：ABD

A. 关键业务恢复时间

B. 大规模攻击处置流程

C. 员工奖惩条款

D. 多运营者间应急处理

244.应急演练的要求包括( )。

答案：AC

A. 每年至少一次本组织演练

B. 无需跨组织演练

C. 跨地域运行的需组织跨地域演练

D. 演练后无需整改

245.事件报告应通报的对象包括( )。

答案：AB

A. 安全管理机构

B. 受影响的内部部门和人员

C. 社会公众

D. 竞争对手

246.事件处理和恢复的原则有( )。

答案：ABD

A. 先应急处置后调查评估

B. 收集证据并记录响应活动

C. 无需形成事件处理报告

D. 恢复后评估并防止再次发生

247.重新识别的触发条件包括( )。

答案：ABCD

A. 检测评估发现安全隐患

B. 发生安全事件

C. 安全威胁变化

D. 风险变化

248.等级保护对象主要包括( )等。

答案：ABCDE

A. 基础信息网络

B. 云计算平台 / 系统

C. 大数据应用 / 平台 / 资源

D. 物联网 (IoT)

E. 工业控制系统

249.安全通用要求针对共性化保护需求提出，安全扩展要求针对个性化保护需求提出，本标准针对( )提出了安全扩展要求。

答案：ABCD

A. 云计算

B. 移动互联

C. 物联网

D. 工业控制系统

250.第一级安全通用要求中，机房出入口控制措施包括( )。

答案：AB

A. 安排专人值守

B. 配置电子门禁系统

C. 设置密码锁

D. 安装监控摄像头

251.第一级安全通用要求中，网络边界访问控制规则应满足( )。

答案：ABC

A. 默认情况下除允许通信外受控接口拒绝所有通信

B. 删除多余或无效的访问控制规则

C. 对源地址、目的地址、源端口、目的端口和协议等进行检查

D. 允许所有端口的数据进出

252.第一级安全通用要求中，身份鉴别应满足( )。

答案：AB

A. 身份标识具有唯一性

B. 身份鉴别信息具有复杂度要求并定期更换

C. 允许使用默认账户

D. 无需登录失败处理功能

253.云计算安全扩展要求中，基础设施位置应满足( )。

答案：AB

A. 云计算基础设施位于中国境内

B. 云服务客户数据存储于中国境内

C. 可根据需求位于任何国家或地区

D. 允许境外存储敏感数据

254.移动互联安全扩展要求中，无线接入设备认证应( )。

答案：AB

A. 开启接入认证功能

B. 禁止使用 WEP 方式进行认证

C. 允许简单口令认证

D. 无需定期更新认证方式

255.物联网安全扩展要求中，感知节点设备物理防护应( )。

答案：AB

A. 避免物理破坏

B. 正确反映环境状态

C. 可随意安装位置

D. 无需考虑电磁干扰

256.工业控制系统安全扩展要求中，网络架构应( )。

答案：AB

A. 与企业其他系统之间采用技术隔离手段

B. 内部划分不同安全域并采用技术隔离

C. 与互联网直接连接

D. 无需分区管理

257.第二级安全通用要求中，防火措施包括( )。

答案：ABC

A. 设置火灾自动消防系统

B. 采用耐火等级建筑材料

C. 自动检测火情、报警并灭火

D. 仅配备灭火器即可

258.第二级安全通用要求中，数据备份应( )。

答案：AB

A. 提供本地数据备份与恢复

B. 提供异地数据备份

C. 无需定期备份

D. 仅备份一次即可

259.第三级安全通用要求中，电力供应应( )。

答案：ABC

A. 配置稳压器和过电压防护设备

B. 提供短期备用电力

C. 设置冗余电力电缆线路

D. 无需考虑断电情况

260.第三级安全通用要求中，身份鉴别应采用( )等两种或两种以上组合的鉴别技术。

答案：AB

A. 口令

B. 密码技术

C. 单一密码

D. 无需定期更换

261.第三级安全通用要求中，数据备份恢复应( )。

答案：ABC

A. 本地备份

B. 异地实时备份

C. 重要系统热冗余

D. 无需备份敏感数据

262.第四级安全通用要求中，电力供应应( )。

答案：ABCD

A. 配置稳压器和过电压防护

B. 短期备用电力

C. 冗余电力电缆

D. 应急供电设施

263.第四级安全通用要求中，数据备份恢复应( )。

答案：ABCD

A. 本地备份

B. 异地实时备份

C. 系统热冗余

D. 建立异地灾难备份中心

264.安全管理机构应设立的岗位包括( )。

答案：ABC

A. 系统管理员

B. 审计管理员

C. 安全管理员

D. 无需专人负责

265.安全管理人员录用应( )。

答案：ABC

A. 指定专门部门负责

B. 审查身份和安全背景

C. 考核专业资格

D. 无需背景审查

266.安全建设管理中，产品采购应( )。

答案：AB

A. 符合国家有关规定

B. 密码产品符合密码管理要求

C. 可随意采购进口产品

D. 无需测试直接使用

267.安全运维管理中，恶意代码防范应( )。

答案：AB

A. 提高用户防恶意代码意识

B. 定期升级恶意代码库

C. 无需定期查杀

D. 对外来设备无需检查

268.云计算安全扩展要求中，网络架构应( )。

答案：AB

A. 不承载高于其安全等级的业务

B. 实现不同客户虚拟网络隔离

C. 允许客户随意配置网络

D. 无需考虑网络隔离

269.移动互联安全扩展要求中，移动应用管控应( )。

答案：AB

A. 选择应用软件安装、运行

B. 确保应用软件来源可靠

C. 允许安装未知来源应用

D. 无需管理应用权限

270.物联网安全扩展要求中，接入控制应( )。

答案：AB

A. 仅允许授权感知节点接入

B. 限制通信目标地址

C. 允许任何节点接入

D. 无需身份验证

271.工业控制系统安全扩展要求中，控制设备安全应( )。

答案：AB

A. 实现身份鉴别、访问控制等安全要求

B. 经过测试评估后更新补丁

C. 可随意更新固件

D. 无需安全审计

272.安全管理制度应包括( )。

答案：ABC

A. 安全管理制度

B. 操作规程

C. 安全策略

D. 无需书面文件

273.安全事件处置应( )。

答案：ABC

A. 及时报告安全弱点和可疑事件

B. 制定处置流程

C. 记录处理过程并总结

D. 无需报告轻微事件

274.应急预案管理应( )。

答案：ABC

A. 制定应急处理流程

B. 定期培训和演练

C. 定期修订预案

D. 无需专人负责

275.等级保护对象定级结果组合中，第三级包括( )。

答案：ABC

A.S1A3

B.S2A3

C.S3A3

D.S4A4

276.安全要求选择应依据( )。

答案：ABC

A. 安全保护等级

B. 定级结果

C. 新技术应用情况

D. 随意选择

277.较高级别等级保护对象应使用的关键技术包括( )。

答案：ABCDE

A. 可信计算技术

B. 强制访问控制

C. 审计追查技术

D. 结构化保护技术

E. 多级互联技术

278.关于各单位在工作中对个人信息的管理，以下说法正确的有？( )

答案：CDE

A. 某单位通过其官方手机APP收集用户个人信息，只需在APP内明示收集规则并获得用户同意即可，无需其他内部审批或备案流程。

B. 某业务部门从第三方合作公司购买了一批客户名单（含个人信息），该部门对此批信息的保护责任和义务，要低于其直接从客户处收集的信息。

C. 市民张先生向某单位投诉，称其个人信息被不当使用，损害了他的权益。该单位应由最初收集张先生信息的部门来受理此投诉。

D. 某单位计划将收集到的用户行为数据用于内部另一个业务系统的分析，此项操作必须经过收集部门所在单位的领导批准。

E. 某用户要求删除其在某单位所有系统中的个人信息，该单位应由最初收集其信息的部门牵头，协调网信工作部门，在所有相关系统中同步执行删除操作。

279.关于信息系统接入行业外第三方应用的规定，以下说法正确的有？( )

答案：DE

A. 某单位的信息系统计划接入一个外部供应商提供的在线地图服务，该单位的信息系统业务主管部门只需与供应商签订合同，明确数据安全要求后即可直接接入，无需进行任何审批。

B. 某单位信息系统业务主管部门在组织审核一个第三方应用时，发现其运营者资质不全，存在安全隐患。为规避风险，该部门决定在合同中增加更严苛的违约条款，然后仍批准其接入。

C. 一个由国家局在全行业推广使用的办公软件，需要接入一个外部的即时通讯工具。此次接入的审批工作，应由该软件的业务主管部门所在单位负责。

D. 某单位接入的第三方云存储服务被黑客攻击，导致部分数据泄露。经调查，原因是该云服务商未履行合同中约定的加密义务。在此情况下，该单位的信息系统业务主管部门仍需承担相应的责任。

E. 某单位在监测中发现，其接入的一个第三方数据分析应用正在非法上传用户数据至境外服务器。根据规定，该单位应当立即终止该应用的接入。

280.根据“规范数据采集”的规定，从个人或外部机构采集数据时，必须遵循的原则和要求包括哪些？( )

答案：ABC

A. 合法、正当、必要

B. 必须获得数据主体的同意

C. 采集个人信息应明示使用目的、方式和保存期限

D. 所有采集的数据都必须进行加密存储

281.根据“规范数据传输和存储”的要求，对于个人敏感信息、经营分析数据、重要业务数据等重要数据，数据处理者应当采取哪些安全措施？( )

答案：ABC

A. 加密传输

B. 加密存储

C. 容灾备份

D. 定期向公众公开

282.“规范数据使用”中提到的关键安全控制措施包括哪些？( )

答案：ABC

A. 按照“最小授权”原则划分数据访问权限

B. 实行数据授权访问和操作权限控制策略

C. 建立数据活动全流程记录机制

D. 允许所有员工访问全部业务数据以提高效率

283.在“规范数据共享”环节，当需要向外部单位提供重要数据和核心数据时，数据提供方必须履行的安全管控义务包括哪些？( )

答案：ABCD

A. 对数据接收方的数据安全保护能力进行核实

B. 与数据接收方签订数据安全协议

C. 报行业网信办审批

D. 采取数据脱敏、审计监控等措施

284.根据“规范数据销毁”的要求，建立数据销毁管理制度和执行销毁活动时，应包含哪些关键要素？( )

答案：ABC

A. 明确销毁对象、流程和技术要求

B. 对销毁活动进行记录和留存

C. 加强销毁过程的登记、备案、审批管理

D. 确保数据存储介质可以循环利用

285.根据《行业数据对外提供操作规范（试行）》，以下哪些类型的信息，原则上不对行业外单位提供？( )

答案：ABCD

A. 行业关键信息基础设施产生的信息

B. 行业卷烟销售统计数据

C. 行业干部职工的行踪轨迹信息

D. 不满十四周岁未成年人的个人信息

286.某单位计划通过行业统一建设的信息系统向行业外提供数据，在向行业网信办报送的数据共享申请中，必须包含哪些内容？( )

答案：ABD

A. 对外提供数据的必要性

B. 与数据接收方就数据安全达成的意向协议情况

C. 数据接收方承诺将数据用于任何商业用途的声明

D. 核实数据接收方数据安全保护能力的情况

287.根据规范，在确需对外提供行业数据时，关于数据共享方式的要求，以下说法正确的有哪些？( )

答案：BCD

可以直接开通实时数据接口进行共享，以提高效率

B. 应当事先评估可能带来的安全风险

C. 必须采取必要的脱密、脱敏等措施

D. 应当采取定期共享的方式

288.根据《规范烟草行业网信项目对外合作加强网络和数据安全管理办法（试行）》，规范烟草行业网信项目对外合作，加强网络和数据安全工作，必须坚持的四项原则是？( )

答案：ABCD

A. 保护知识产权

B. 保障技术安全

C. 保守商业秘密

D. 坚持归口管理

289.根据规定，关于行业网信项目对外合作中的网络和数据安全责任，以下说法正确的有？( )

答案：ABD

A. 行业各单位对本单位及所属单位网信项目建设产生的网络和数据安全负主体责任

B. 项目建设单位及其主要负责同志负直接责任

C. 网信项目外包给合作企业后，网络和数据安全主体责任随之转移

D. 安全管理责任、数据归属关系、安全管理标准不随外包而转移

290.根据办法规定，对于行业关键信息基础设施和集中存储处理行业重要数据、敏感个人信息或注册用户超过100万人以上的信息系统，在对外合作建设时应遵循的要求包括？( )

答案：BCD

A. 必须由行业内技术实力最强的企业统一承建，以确保技术一致性

B. 基础设施、应用系统、安全防护等建设内容，原则上应分开采购

C. 不得由同一企业全部承建，避免由一家或少数几家企业集中建设

D. 提供数据安全服务的企业，不得与系统建设方为同一企业

291.根据办法，行业各单位在与合作企业签订合同时，应明确禁止的行为包括？( )

答案：ABCD

A. 将其承包的网信项目全部转包

B. 将中标项目分解后分别向其他企业或个人转让

C. 将网信项目主体和关键部分分包

D. 因转包和层层分包导致安全管理主体不明、安全责任边界不清

292.根据办法规定，行业各单位应要求合作企业，在参与行业网信项目建设过程中，对数据及相关信息的处理方式包括？( )

答案：BCD

A. 为方便后续运维，合作企业可留存一份完整的数据副本

B. 不得擅自留存、使用、泄露或向第三方提供

C. 不得擅自用于商业用途

D. 不得擅自向境外提供数据

293.根据办法，行业各单位在加强网信项目建设的漏洞安全管理时，应采取的措施包括？( )

答案：ABCD

A. 明确合作企业负责其承建或运维系统的漏洞排查、整改修复等工作

B. 建立严格的授权访问机制

C. 机房、服务器等的最高管理员权限必须由本单位工作人员专人负责

D. 按照最小必要原则对合作企业人员进行精细化授权

294.根据办法，行业各单位应建立健全针对合作企业的供应链安全管理制度，其内容应包括？( )

答案：ABCD

A. 制订并定期更新合作企业、产品及其安全隐患整改清单

B. 加强对供应链产品高危漏洞的监测发现、定位修复和影响范围评估

C. 在使用开源软件时，要求合作企业提供相关技术文档和技术支持

D. 定期开展隐患排查和整改加固

295.根据办法，行业各级单位网信工作部门、网信项目建设单位在履行监督管理职责时，可以采取的措施包括？( )

答案：ABC

A. 定期对本单位及所属单位供应链安全管理情况进行检查

B. 采取现场检查、网络监测等方式加强安全检查检测

C. 发现安全风险隐患时，要求合作企业及时整改加固

D. 直接接管存在安全隐患的合作企业系统进行运维

296.根据办法，运行维护特定重要信息系统的合作企业，每年应向行业网信项目建设单位提交网络安全情况报告，该报告应包括的内容有？( )

答案：ABCD

A. 网信项目建设情况

B. 运营、维护情况

C. 数据安全管理情况

D. 核心软硬件供应链安全情况

297.根据办法，行业各单位建立的对合作企业的网络和数据安全工作评价管理机制，其评价结果可以用于？( )

答案：ABC

A. 纳入行业网信领域供应商评价体系进行综合评价

B. 对违反管理要求的企业采取重点监管、停工整顿或解除合作关系等措施

C. 作为未来项目采购时选择合作企业的重要依据

D. 向社会公开发布，以警示其他行业企业

298.根据《烟草行业网络攻防演习云平台防守安全指南（试行）》，云平台防守工作的目标包括哪些？( )

答案：ABCD

A. 检验行业云平台体系安全防护、监测、响应能力

B. 全面提升行业新型数字基础设施实战化、体系化、常态化”的综合防御对抗能力

C. 确保一体化平台和云上应用安全稳定

D. 保障行业生产经营正常运行

299.《烟草行业网络攻防演习云平台防守安全指南（试行）》中提出的云平台防守策略包括哪些？( )

答案：ABCD

A. 将云平台防护纳入全行业统一指挥调度体系

B. 将云平台防护纳入全方位纵深防御体系

C. 将云平台防护纳入全天候监测溯源处置体系

D. 坚持统一指挥、全员参与，分域把守、主动防御，联防联控、应急联动”的防守战术战法

300.《烟草行业网络攻防演习云平台防守安全指南（试行）》中对云平台进行安全分区分域，建议划分的区域包括哪些？( )

答案：ABC

A. 生产业务区、业务测试区、支撑服务区

B. 安全审计区、互联网接入区、内网接入区

C. 外联单位接入区、互联DMZ区、外联单位DMZ区

D. 核心交换区、边界路由区、网络监控区

301.在云平台区域安全隔离方面，《烟草行业网络攻防演习云平台防守安全指南（试行）》建议采取的隔离措施包括哪些？( )

答案：ABCD

A. 通过VPC网络实现不同租户网络间的严格隔离

B. 使用网络ACL、安全组、虚拟防火墙等技术手段实现访问控制

C. 在不同安全域边界部署防火墙、入侵防御系统等安全设备

D. 对跨安全域的访问进行严格的访问控制策略限制和审计

302《烟草行业网络攻防演习云平台防守安全指南（试行）》中，关于云平台边界安全防护的要求包括哪些？（ABCD）

A. 在互联网出口、第三方接入、专线接入等边界部署下一代防火墙、入侵防御系统、抗DDoS系统等安全设备

B. 部署Web应用防火墙对Web服务进行安全防护

C. 对进出网络边界的流量进行深度检测和过滤

D. 部署网络流量分析系统，对异常流量进行实时监测和告警

303.《烟草行业网络攻防演习云平台防守安全指南（试行）》中，对云平台主机安全加固的要求包括哪些？( )

答案：ABCD

A. 对云主机进行安全基线配置，关闭不必要的端口和服务

B. 安装主机入侵检测系统、防病毒软件等安全软件

C. 对主机系统进行漏洞扫描和补丁管理

D. 对特权账号进行严格管理和审计

304.《烟草行业网络攻防演习云平台防守安全指南（试行）》中，对云平台数据安全防护的要求包括哪些？( )

答案：ABCD

A. 对重要业务数据和身份鉴别信息进行加密存储

B. 使用密码技术对存储数据进行完整性保护

C. 对涉及个人信息的敏感数据进行加密、匿名化、去标识化处理

D. 建立数据备份和恢复机制

305.《烟草行业网络攻防演习云平台防守安全指南（试行）》中，对云平台数据库安全防护的要求包括哪些？( )

答案：ABCD

A. 按最小权限原则配置数据库的IP访问白名单

B. 数据库系统应配置强密码并定期修改，删除无用及默认账号，禁止多人共用同一账号

C. 配置数据库防火墙或数据库审计，对进出数据库的SQL语句进行甄别和阻断

D. 使用静态数据加密等方式对数据库中关键字段进行加密，并优化配置参数如修改默认监听端口

306.《烟草行业网络攻防演习云平台防守安全指南（试行）》中，对集权账号权限治理”提出的措施包括哪些？( )

答案：ABCD

A. 检查并整改云资源管理、堡垒机等系统的弱口令问题

B. 对长期不登录的账号及时感知、停用

C. 开启双因子登录

D. 梳理账户权限需求，收敛账户权限，并在攻防演练前更换所有相关账号密码

307.《烟草行业网络攻防演习云平台防守安全指南（试行）》中对云上应用安全加固”的要求，涉及Web应用、移动APP、API接口等多个方面，以下哪些是其中包含的具体措施？( )

答案：ABCD

A. 对Web应用提前开展漏洞扫描与渗透测试，进行输入验证和过滤，按最小化原则进行权限管理

B. 对移动APP使用代码混淆技术，对敏感数据进行加密存储与传输

C. 对API接口实施严格的身份验证和授权管理，限制访问权限，对传入数据进行验证和过滤

D. 对应用后台限制访问权限，使用安全的身份验证机制，严禁映射到互联网，并对业务数据进行加密和完整性保护

308.关于烟草行业信息编码，以下说法正确的有？( )

答案：BCD

A. 数字对象分类框架的一级和二级编码可由各单位根据自身业务需要自行制定。

B. 数字对象分类扩展细化编码应继承行业统一的两级分类框架编码，并根据扩展细化结果进行分级编码。

C. 数字对象实例编码需继承数字对象编码结果，选取核心属性及流水码，明确编码规则，以实现“一物一码”。

D. 数字对象分类框架编码、分类扩展细化编码、实例编码三者之间存在逐一递进、继承细化的关系。

E. 数字对象实例编码只需包含流水码，无需考虑核心属性或其他编码规则。

309.关于烟草行业数据能力要素编码设计，以下说法正确的有？( )

答案：ABD

A. 以资源实体和业务实体数字对象分类编码为根本，设计统一的数据能力要素编码结构。

B. 数据能力要素编码包括数据元、数据模型等，旨在保障信息系统在“业务数据化、数据业务化”过程中具备统一的关键数据能力。

C. 数据能力要素编码仅适用于行业统建系统，省级自建系统无需遵循。

D. 关键数据能力要素编码应实现全行业范围内的可识别、可共享。

三、判断（1-337）

1.《GB/T 22239—2019》代替了 GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》。( )

答案：A

A. 正确

B. 错误

2.网络安全等级保护对象由低到高被划分为四个安全保护等级。( )

答案：B

A. 正确

B. 错误

3.第一级安全保护能力应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击。( )

答案：A

A. 正确

B. 错误

4.安全通用要求针对个性化保护需求提出，安全扩展要求针对共性化保护需求提出。( )

答案：B

A. 正确

B. 错误

5.本标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。( )

答案：A

A. 正确

B. 错误

6.第一级安全通用要求中，机房出入口无需安排专人值守或配置电子门禁系统。( )

答案：B

A. 正确

B. 错误

7.第一级安全通用要求中，应采用校验技术保证通信过程中数据的完整性。( )

答案：A

A. 正确

B. 错误

8.第一级安全通用要求中，在网络边界根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口允许所有通信。( )

答案：B

A. 正确

B. 错误

9.云计算安全扩展要求中，应保证云计算基础设施位于中国境内。( )

答案：A

A. 正确

B. 错误

10.移动互联安全扩展要求中，无线接入设备可以使用 WEP 方式进行认证。( )

答案：B

A. 正确

B. 错误

11.物联网安全扩展要求中，应保证只有授权的感知节点可以接入。( )

答案：A

A. 正确

B. 错误

12.工业控制系统安全扩展要求中，工业控制系统与企业其他系统之间无需采用技术隔离手段。( )

答案：B

A. 正确

B. 错误

13.第二级安全通用要求中，机房应设置火灾自动消防系统。( )

答案：A

A. 正确

B. 错误

14.第二级安全通用要求中，不需要提供异地数据备份功能。( )

答案：B

A. 正确

B. 错误

15.第三级安全通用要求中，机房出入口应配置电子门禁系统。( )

答案：A

A. 正确

B. 错误

16.第三级安全通用要求中，应采用密码技术保证通信过程中数据的保密性。( )

答案：A

A. 正确

B. 错误

17.第三级安全通用要求中，访问控制的粒度无需达到主体为用户级或进程级，客体为文件、数据库表级。( )

答案：B

A. 正确

B. 错误

18.第四级安全通用要求中，应提供应急供电设施。( )

答案：A

A. 正确

B. 错误

19.第四级安全通用要求中，无需建立异地灾难备份中心。( )

答案：B

A. 正确

B. 错误

20.等级保护对象定级后，第三级的定级结果组合包括 S1A3、S2A3 等。( )

答案：A

A. 正确

B. 错误

21.安全要求的选择中，根据系统服务保证性等级选择相应级别的系统服务保证类（A 类）安全要求。( )

答案：A

A. 正确

B. 错误

22.网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。( )

答案：A

A. 正确

B. 错误

23.构建纵深的防御体系是保证等级保护对象整体安全保护能力的总体性要求之一。( )

答案：A

A. 正确

B. 错误

24.较高级别等级保护对象的安全建设和安全整改中不需要使用可信计算技术。( )

答案：B

A. 正确

B. 错误

25.云计算平台的运维地点可以位于中国境外。( )

答案：B

A. 正确

B. 错误

26.移动互联应用场景中，移动终端管理系统负责对移动终端的管理。( )

答案：A

A. 正确

B. 错误

27.物联网的感知层不需要特殊的安全要求，按照安全通用要求进行保护即可。( )

答案：B

A. 正确

B. 错误

28.工业控制系统中，现场控制层不需要安全扩展要求。( )

答案：B

A. 正确

B. 错误

29.大数据系统的特征是数据体量小、种类少、聚合慢、价值低。( )

答案：B

A. 正确

B. 错误

30.第五级安全要求在本标准中进行了详细描述。( )

答案：B

A. 正确

B. 错误

31.关键信息基础设施仅指公共通信和信息服务、能源、交通等重要行业和领域的网络设施。( )

答案：B

A.正确

B. 错误

32.供应链中的每个组织仅充当供方角色。( )

答案：B

A.正确

B.错误

33.关键业务链是组织的一个或多个相互关联的业务构成的关键业务流程。( )

答案：A

A.正确

B. 错误

34.关键信息基础设施安全保护无需遵循网络安全等级保护制度。( )

答案：B

A.正确

B. 错误

35.关键信息基础设施安全保护的基本原则包括以关键业务为核心的整体防控。( )

答案：A

A.正确

B. 错误

36.分析识别是开展安全防护等其他活动的基础。( )

答案：A

A.正确

B. 错误

37.业务识别只需识别本组织的关键业务，无需关注外部业务。( )

答案：B

A.正确

B. 错误

38.资产识别时无需建立资产清单。( )

答案：B

A.正确

B. 错误

39.风险识别应按照 GB/T20984 等风险评估标准开展。( )

答案：A

A.正确

B. 错误

40.关键信息基础设施发生重大变更时，无需重新开展识别工作。( )

答案：B

A.正确

B. 错误

41.网络安全等级保护工作包括网络和信息系统的定级、备案等。( )

答案：A

A.正确

B.错误

42.网络安全保护计划无需形成文档。( )

答案：B

A.正确

B. 错误

43.安全策略不包括数据安全防护策略。( )

答案：B

A.正确

B. 错误

44.应成立网络安全工作委员会或领导小组，由组织主要负责人担任领导职务。( )

答案：A

A.正确

B. 错误

45.关键岗位无需配备专人管理。( )

答案：B

A.正确

B. 错误

46.关键信息基础设施从业人员每人每年教育培训时长不得少于 30 个学时。( )

答案：A

A.正确

B. 错误

47.人员离岗时，无需终止其访问权限。( )

答案：B

A.正确

B. 错误

48.网络架构应实现通信线路 “一主双备” 的多电信运营商多路由保护。( )

答案：A

A.正确

B. 错误

49.不同局域网之间远程通信无需采取安全防护措施。( )

答案：B

A.正确

B. 错误

50.应对未授权设备进行动态发现及管控。( )

答案：A

A.正确

B.错误

51.网络审计相关日志数据留存不少于 3 个月即可。( )

答案：B

A.正确

B. 错误

52.对于重要业务操作等，可采用多因子身份鉴别方式。( )

答案：A

A.正确

B. 错误

53.无需采取技术手段防范高级可持续威胁（APT）等网络攻击。( )

答案：B

A.正确

B. 错误

54.应使用自动化工具支持系统账户、配置等的管理。( )

答案：A

A.正确

B. 错误

55.安全建设管理中，网络安全技术措施与主体工程无需同步规划。( )

答案：B

A.正确

B. 错误

56.关键信息基础设施的运维地点可随意选择。( )

答案：B

A.正确

B. 错误

57.运维前无需与维护人员签订安全保密协议。( )

答案：B

A.正确

B. 错误

58.采购网络关键设备应采购通过国家检测认证的产品。( )

答案：A

A.正确

B. 错误

59.可能影响国家安全的网络产品和服务无需通过网络安全审查。( )

答案：B

A.正确

B.错误

60.应建立合格供应方目录。( )

答案：A

A.正确

B. 错误

61.采购网络产品和服务时，无需明确提供者的安全责任。( )

答案：B

A.正确

B. 错误

62.应与网络产品和服务提供者签订安全保密协议。( )

答案：A

A.正确

B. 错误

63.数据安全防护无需建立数据安全管理责任制度。( )

答案：B

A.正确

B. 错误

64.应将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。( )

答案：A

A.正确

B. 错误

65.重要系统和数据库无需实现异地备份。( )

答案：B

A.正确

B. 错误

66.数据可用性要求高的，应采取数据库异地实时备份措施。( )

答案：A

A.正确

B. 错误

67.关键信息基础设施安全检测评估每年至少进行一次。( )

答案：A

A.正确

B. 错误

68.涉及多个运营者时，无需组织跨运营者的检测评估。( )

答案：B

A.正确

B.错误

69.关键信息基础设施发生重大变化时，无需进行检测评估。( )

答案：B

A.正确

B. 错误

70.应建立常态化监测预警、快速响应机制。( )

答案：A

A.正确

B. 错误

71.无需关注国内外关键信息基础设施安全事件。( )

答案：B

A.正确

B.错误

72.应建立网络安全信息共享机制。( )

答案：A

A.正确

B.错误

73.无需在网络关键节点部署攻击监测设备。( )

答案：B

A.正确

B. 错误

74.应对关键业务涉及的系统进行监测。( )

答案：A

A.正确

B. 错误

75.无需收集网络安全日志。( )

答案：B

A.正确

B. 错误

76.监测工具发现可能危害关键业务的迹象时，应自动报警。( )

答案：A

A.正确

B. 错误

77.内部预警信息无需包括应对措施。( )

答案：B

A.正确

B.错误

78.主动防御中应识别和减少资产暴露面。( )

答案：A

A.正确

B. 错误

79.可在公共存储空间存储网络拓扑图等技术文档。( )

答案：B

A.正确

B. 错误

80.针对攻击活动，无需采取阻断等技术手段。( )

答案：B

A.正确

B. 错误

81.应及时对网络攻击活动开展溯源。( )

答案：A

A.正确

B.错误

82.无需定期组织攻防演练。( )

答案：B

A.正确

B. 错误

83.应建立网络威胁情报共享机制。( )

答案：A

A.正确

B. 错误

84.无需建立网络安全事件管理制度。( )

答案：B

A.正确

B. 错误

85.应急预案无需包括多个运营者间的应急事件处理。( )

答案：B

A.正确

B. 错误

86.每年至少组织开展 1 次本组织的应急演练。( )

答案：A

A.正确

B. 错误

87.发生安全事件时，无需向安全管理机构报告。( )

答案：B

A.正确

B. 错误

88.事件处理应按照先应急处置、后调查评估的原则。( )

答案：A

A.正确

B. 错误

89.恢复关键业务后，无需评估恢复情况。( )

答案：B

A.正确

B. 错误

90.必要时应重新开展业务、资产和风险识别工作。( )

答案：A

A.正确

B. 错误

91.《GB/T 43848—2024》适用于对软件产品包含的开源代码成分进行静态安全评价。( )

答案：A

A.正确

B.错误

92.开源代码的著作权人通过开源许可证将代码的复制、修改、再发布的权利向公众开放。( )

答案：A

A.正确

B.错误

93.开源代码安全评价的目的不包括对可控性的判断。( )

答案：B

A.正确

B.错误

94.开源社区是指以商业公司为主体形成的共同体。( )

答案：B

A.正确

B.错误

95.开源代码漏洞率是指统计软件产品包含的开源代码模块的原始漏洞数量和千行漏洞率情况。( )

答案：A

A.正确

B.错误

96.开源代码知识产权评价的主要目的是实现对合规性的判断。( )

答案：A

A.正确

B.错误

97.信息安全技术网络安全漏洞分类分级指南是 GB/T 30279—2020。( )

答案：A

A.正确

B.错误

98.开源代码物料清单不需要包含开源代码的原始供应方信息。( )

答案：B

A.正确

B.错误

99.开源代码设计评价不关注设计文档的完备性。( )

答案：B

A.正确

B.错误

100.开源许可证兼容性是指各开源许可证之间的兼容情况。( )

答案：A

A.正确

B.错误

101.开源代码安全评价流程中的访谈对象不包括技术团队负责人。( )

答案：B

A.正确

B.错误

102.开源代码下载平台评价不需要关注其对开源代码完整性的保障情况。( )

答案：B

A.正确

B.错误

103.开源代码安全质量评价的目的是实现对其安全性的判断。( )

答案：A

A.正确

B.错误

104.开源许可证互惠性是指许可证明确需分发修改后的源码的情况。( )

答案：A

A.正确

B.错误

105.开源代码管理评价的主要目的是实现对稳定性的判断。( )

答案：A

A.正确

B.错误

106.开源代码漏洞严重性的评价不需要参考相关标准。( )

答案：B

A.正确

B.错误

107.开源代码贡献量只包括各贡献者贡献的代码量及占比。( )

答案：B

A.正确

B.错误

108.开源网络安全风险是指由于源代码公开，在出现漏洞时容易被黑客读取，降低黑客攻击门槛。( )

答案：A

A.正确

B.错误

109.开源代码版本更新情况评价不需要关注所用版本与最新版本的滞后情况。( )

答案：B

A.正确

B.错误

110.开源代码管理团队不需要进行角色划分。( )

答案：B

A.正确

B.错误

111.数据安全风险评估的对象包括数据和数据处理活动。( )

答案：A

A.正确

B.错误

112.数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。( )

答案：A

A.正确

B.错误

113.数据处理活动仅包括数据收集、存储、使用，不包括传输、提供等( )

答案：B

A.正确

B.错误

114.数据安全风险源仅指安全威胁利用脆弱性可能导致数据安全事件的风险源。( )

答案：B

A.正确

B. 错误

115.数据安全风险评估的方式主要包括自评估、委托第三方评估和检查评估。( )

答案：A

A.正确

B. 错误

116.重要数据处理者每年度应对其网络数据处理活动开展数据安全风险评估。( )

答案：A

A.正确

B.错误

117.数据安全风险评估实施流程包括评估准备、信息调研、风险识别、风险分析与评价、评估总结五个阶段。( )

答案：A

A.正确

B.错误

118.数据安全风险评估内容框架围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。( )

答案：A

A.正确

B.错误

119.风险识别时，所有数据处理者都需识别个人信息保护风险情况。( )

答案：B

A.正确

B.错误

120.被评估方已开展网络安全等级保护测评的，可不再重复评估相关内容。( )

答案：A

A.正确

B.错误

121.数据存储安全评估包括数据存储适当性、逻辑存储安全、存储介质安全等。( )

答案：A

A.正确

B.错误

122.数据传输安全仅需考虑传输链路安全性，无需考虑可靠性。( )

答案：B

A.正确

B.错误

123.数据安全技术中的身份鉴别与访问控制包括身份鉴别、访问控制、授权管理等。( )

答案：A

A.正确

B.错误

124.个人信息处理无需遵循合法、诚信原则。( )

答案：B

A.正确

B.错误

125.处理敏感个人信息无需取得个人的单独同意。( )

答案：B

A.正确

B.错误

126.风险危害程度从低到高可分为低、中、较高、高、很高 5 个级别。( )

答案：A

A.正确

B.错误

127.风险发生可能性从低到高分为低、中、高 3 个级别。( )

答案：A

A.正确

B.错误

128.重大安全风险一般指可能直接影响国家安全的数据安全风险。( )

答案：A

A.正确

B.错误

129.数据安全风险清单是在风险源清单基础上形成的。( )

答案：A

A.正确

B.错误

130.评估报告无需包含数据处理者基本信息。( )

答案：B

A.正确

B.错误

131.风险处置建议中，被评估方无法及时完成整改的，可不采取临时安全措施。( )

答案：B

A.正确

B.错误

132.数据安全管理制度体系建设包括数据分类分级、数据安全评估等制度。( )

答案：A

A.正确

B.错误

133.安全组织机构评估包括数据安全组织架构、数据安全岗位设置等。( )

答案：A

A.正确

B.错误

134.数据资产调研无需梳理非结构化数据。( )

答案：B

A.正确

B.错误

135.数据出境安全评估不属于数据提供安全的评估内容。( )

答案：B

A.正确

B.错误

136.数据脱敏评估包括数据脱敏规则、脱敏方法和脱敏数据的使用限制等。( )

答案：A

A.正确

B.错误

137.个人信息主体权利包括查阅、复制、可携带、更正、补充、删除等。( )

答案：A

A.正确

B.错误

138.典型数据安全风险类型不包括数据泄露风险。( )

答案：B

A.正确

B.错误

139.数据安全风险评估报告模板是规范性附录。( )

答案：B

A.正确

B.错误

140.评估团队在检查评估中获取的信息，可用于其他任务目的。( )

答案：B

A.正确

B.错误

141.敏感个人信息一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或人身财产安全受到危害。( )

答案：A

A. 正确

B. 错误

142.宗教信仰信息不属于敏感个人信息。( )

答案：B

A. 正确

B. 错误

143.个人信息处理者识别敏感个人信息时，只需考虑单项信息的属性，无需考虑多项信息汇聚后的影响。( )

答案：B

A. 正确

B. 错误

144.法律法规规定为敏感个人信息的，应从其规定进行识别。( )

答案：A

A. 正确

B. 错误

145.敏感个人信息处理无需特定目的，只要取得个人同意即可。( )

答案：B

A. 正确

B. 错误

146.基于个人同意处理敏感个人信息的，应取得个人信息主体的单独同意。( )

答案：A

A. 正确

B. 错误

147.个人信息处理者可通过欺诈方式收集敏感个人信息，只要最终获得个人同意即可。( )

答案：B

A. 正确

B. 错误

148.若收集非敏感个人信息可实现处理目的，个人信息处理者不应收集敏感个人信息。( )

答案：A

A. 正确

B. 错误

149.处理敏感个人信息前，告知方式只能采用单独弹窗。( )

答案：B

A. 正确

B. 错误

150.紧急情况下为保护自然人的生命健康和财产安全无法及时告知的，紧急情况消除后无需再告知。( )

答案：B

A. 正确

B. 错误

151.持续收集敏感个人信息的，宜提供持续提示或间隔提示机制。( )

答案：A

A. 正确

B. 错误

152.处理敏感个人信息时，可将多项敏感个人信息处理活动捆绑取得同意。( )

答案：B

A. 正确

B. 错误

153.在公共场所安装图像采集设备的，所收集的个人图像信息只能用于维护公共安全目的。( )

答案：A

A. 正确

B. 错误

154.个人信息处理者应建立敏感个人信息目录并及时更新。( )

答案：A

A.正确

B.错误

155.敏感个人信息去标识化后应作为敏感个人信息继续保护。( )

答案：B

A. 正确

B. 错误

156.个人信息处理者应对敏感个人信息的内部共享、对外提供等重要操作进行审批。( )

答案：A

A. 正确

B. 错误

157.涉及敏感个人信息处理的新应用使用前无需进行个人信息保护影响评估。( )

答案：B

A. 正确

B. 错误

158.敏感个人信息处理日志记录应保存三年。( )

答案：A

A. 正确

B. 错误

159.敏感个人信息应加密存储和加密传输。( )

答案：A

A. 正确

B. 错误

160.敏感个人信息在产品和内部系统显示时，应默认进行去标识化处理。( )

答案：A

A. 正确

B. 错误

161.处理 10 万人以上敏感个人信息的，无需指定个人信息保护负责人。( )

答案：B

A. 正确

B. 错误

162.基于生物识别信息进行身份识别时，应同时提供不基于生物识别信息的其他替代可选身份识别方式。( )

答案：A

A. 正确

B. 错误

163.个人信息处理者可随意公开生物识别信息，无需取得个人同意。( )

答案：B

A. 正确

B. 错误

164.原则上不应处理个人宗教信仰信息，宗教组织内部范围开展并取得单独同意的除外。( )

答案：A

A. 正确

B. 错误

165.处理特定身份信息时，可使用个人特定身份信息构建用户画像。( )

答案：B

A. 正确

B. 错误

166.医疗健康信息应依据行业法律和行政法规进行分类分级管理和保护。( )

答案：A

A. 正确

B. 错误

167.金融账户信息处理时，受理终端可存储银行卡密码等支付敏感信息。( )

答案：B

A. 正确

B. 错误

168.持续收集行踪轨迹信息的，应提供持续提示机制。( )

答案：A

A. 正确

B. 错误

169.关键信息基础设施运营者无需对从业人员进行安全培训。( )

答案：B

A.正确

B.错误

170.个人网站属于关键信息基础设施。( )

答案：B

A.正确

B.错误

171. 关键信息基础设施运营者发生网络安全事件可不报告。( )

答案：B

A.正确

B.错误

172.国家对关键信息基础设施实行统一的保护措施。( )

答案：B

A.正确

B.错误

173.关键信息基础设施运营者采购网络产品和服务无需考虑安全问题。( )

答案：B

A.正确

B.错误

174.关键信息基础设施保护工作仅由运营者负责。( )

答案：B

A.正确

B.错误

175.关键信息基础设施运营者应建立数据备份恢复机制。( )

答案：A

A.正确

B.错误

176.安全监测不是关键信息基础设施保护工作内容。( )

答案：B

A.正确

B.错误

177.关键信息基础设施运营者无需制定网络安全应急预案。( )

答案：B

A.正确

B.错误

178.关键信息基础设施运营者对网络安全事件处置结果无需公示。 ( )

答案：A

A.正确

B.错误

179. 人脸识别技术应用与人脸信息安全紧密相关，受到社会各方高度关注。( )

答案：A

A.正确

B.错误

180. 应用人脸识别技术处理人脸信息活动时，可以不遵守商业道德和职业道德。( )

答案：B

A.正确

B.错误

181. 基于个人同意处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的同意。( )

答案：A

A.正确

B.错误

182. 除法律、行政法规另有规定外，人脸信息的保存期限可以超过实现处理目的所必需的最短时间。( )

答案：B

A.正确

B.错误

183. 人脸识别技术应用系统无需采取数据加密等措施保护人脸信息安全。( )

答案：B

A.正确

B.错误

184. 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10 万人之日起30 个工作日内向所在地省级以上网信部门履行备案手续。( )

答案：A

A.正确

B.错误

185. 任何组织和个人都有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。( )

答案：A

A.正确

B.错误

186. 违反《人脸识别技术应用安全管理办法》规定的，依照有关法律、行政法规的规定处理；构成犯罪的，依法追究刑事责任。( )

答案：A

A.正确

B.错误

187. 人脸信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息，包括匿名化处理后的信息。( )

答案：B

A.正确

B.错误

188. 应用人脸识别技术验证个人身份的，必须优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。( )

答案：B

A.正确

B.错误

189.大模型训练数据可直接使用未授权的公开社交媒体内容。( )

答案：B

A.正确

B.错误

190. 生成式AI服务需对用户输入数据进行安全审计。( )

答案：A

A.正确

B.错误

191. 大模型可自主决定是否标注生成内容来源。( )

答案：B

A.正确

B.错误

192. 数据标注人员无需签署数据保密协议。( )

答案：B

A.正确

B.错误

193. 大模型微调需使用经过授权的合法数据。( )

答案：A

A.正确

B.错误

194. 开源模型修改后可自由商用，无需遵守原协议。( )

答案：B

A.正确

B.错误

195. 大模型系统需部署入侵防御系统（IPS）。( )

答案：A

A.正确

B.错误

196. 敏感个人信息经匿名化处理后可用于模型训练。( )

答案：A

A.正确

B.错误

197. 大模型伦理审查仅需在开发阶段进行。( )

答案：B

A.正确

B.错误

198. 生成内容的版权归属需在服务协议中明确。( )

答案：A

A.正确

B.错误

199. 医疗大模型生成诊疗建议时，直接给出诊断结论无需备案。( )

答案：B

A.正确

B.错误

200. 大模型性能指标中，“QPS”指每秒查询数。( )

答案：A

A.正确

B.错误

201. 根据《人工智能大模型第1部分：通用要求》，大模型参考架构包括硬件开发模块。( )

答案：B

A.正确

B.错误

202. 金融大模型智能审核系统无需关联合规知识库。( )

答案：B

A.正确

B.错误

203. 大模型训练中，“早停法”可防止过拟合。( )

答案：A

A.正确

B.错误

204. 智能交通大模型算法备案需提交服务器配置。( )

答案：B

A.正确

B.错误

205. 大模型服务能力成熟度最高等级是协同优化级。( )

答案：B

A.正确

B.错误

206. 教育娱乐大模型生成内容时，无需考虑版权问题。( )

答案：B

A.正确

B.错误

207. 大模型测试中，“TP99”指标用于衡量平均响应时间。( )

答案：B

A.正确

B.错误

208. 金融大模型在反欺诈场景中，无需验证数据来源合法性。( )

答案：B

A.正确

B.错误

209.在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。( )

答案：A

A.正确

B.错误

210.有关主管部门应当对投诉、举报人的相关信息合法公示，保护投诉、举报人的合法权益。( )

答案：B

A.正确

B.错误

211.窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。( )

答案：A

A.正确

B.错误

212.国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。( )

答案：A

A.正确

B.错误

213.从事数据交易中介服务的机构提供服务，不必要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。 ( )

答案：B

A.正确

B.错误

214.公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。 ( )

答案：A

A.正确

B.错误

215.任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。( )

答案：A

A.正确

B.错误

216.基于个人同意处理个人信息的，该同意应当由个人在相对知情的前提下自愿、明确作出。( )

答案：B

A.正确

B.错误

217.基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。( )

答案：A

A.正确

B.错误

218.个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外。( )

答案：A

A.正确

B.错误

219.紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。( )

答案：A

A.正确

B.错误

220.个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。( )

答案：A

A.正确

B.错误

221.个人信息保护影响评估报告和处理情况记录应当至少保存一年。( )

答案：B

A.正确

B.错误

222.履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送检察机关依法处理。( )

答案：B

A.正确

B.错误

223.个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。( )

答案：A

A.正确

B.错误

224.个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。( )

答案：A

A.正确

B.错误

225.处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。( )

答案：A

A.正确

B.错误

226.国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。( )

答案：A

A.正确

B.错误

227.处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。( )

答案：A

A.正确

B.错误

228.个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 ( )

答案：A

A.正确

B.错误

229、个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。( )

答案：A

A.正确

B.错误

230.收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。( )

答案：A

A.正确

B.错误

231.个人信息收集者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。( )

答案：B

A.正确

B.错误

232.基于个人同意处理个人信息的，个人有权撤回其同意。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。( )

答案：A

A.正确

B.错误

233.个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。( )

答案：A

A.正确

B.错误

234.个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，无需重新取得个人同意。( )

答案：B

A.正确

B.错误

235.通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，并向个人提供便捷的选择方式。( )

答案：B

A.正确

B.错误

236.个人对其个人信息的处理享有绝对的知情权、决定权，任何情况下，都有权限制或者拒绝他人对其个人信息进行处理。( )

答案：B

A.正确

B.错误

237. 密码是指采用特定变换的方法对信息等进行加密保护的技术、产品和服务。( )

答案：B

A.正确

B.错误

238. 核心密码、普通密码和商用密码都属于国家秘密，由密码管理部门依法实行严格统一管理。( )

答案：B

A.正确

B.错误

239. 国家密码管理部门负责管理全国的密码工作，县级以上地方各级密码管理部门负责管理本行政区域的密码工作。( )

答案：A

A.正确

B.错误

240. 核心密码保护信息的最高密级为机密级，普通密码保护信息的最高密级为秘密级。( )

答案：B

A.正确

B.错误

241. 商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。( )

答案：A

A.正确

B.错误

242. 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业发展。( )

答案：A

A.正确

B.错误

243. 密码工作机构应当按照“谁主管谁负责”的原则，建立健全安全管理制度，采取严格的保密措施和保密责任制。( )

答案：B

A.正确

B.错误

244. 密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利，有关部门应当予以协助。( )

答案：A

A.正确

B.错误

245. 国家加强密码人才培养和队伍建设，将密码安全教育纳入国民教育体系和公务员教育培训体系。( )

答案：A

A.正确

B.错误

246. 商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。( )

答案：A

A.正确

B.错误

247. 国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。( )

答案：A

A.正确

B.错误

248. 涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入强制性产品认证目录，由具备资格的机构检测认证合格后，方可销售或者提供。( )

答案：A

A.正确

B.错误

249. 商用密码服务使用网络的，只需按照《中华人民共和国网络安全法》的规定，履行网络安全义务。( )

答案：B

A.正确

B.错误

250. 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》和《网络产品和服务安全审查办法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。( )

答案：A

A.正确

B.错误

251. 密码管理部门和有关部门及其工作人员可以根据工作需要，向他人提供在履行职责中知悉的商业秘密和个人隐私。( )

答案：B

A.正确

B.错误

252. 密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。( )

答案：A

A.正确

B.错误

253. 核心密码、普通密码属于国家秘密，用于保护国家秘密信息，由密码管理部门依法实行严格统一管理。( )

答案：A

A.正确

B.错误

254. 商用密码用于保护不属于国家秘密的信息，公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。( )

答案：A

A.正确

B.错误

255. 国家密码管理部门负责管理全国的密码工作，县级以上地方各级密码管理部门负责管理本行政区域的密码工作。( )

答案：A

A.正确

B.错误

256. 国家对密码产品和服务实行统一的市场准入制度。( )

答案：B

A.正确

B.错误

257. 商用密码从业单位开展商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该单位自行制定的技术规范的要求。( )

答案：B

A.正确

B.错误

258. 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，不需要进行国家安全审查。( )

答案：B

A.正确

B.错误

259. 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用，但是不允许外国企业参与商用密码市场竞争。( )

答案：B

A.正确

B.错误

260. 商用密码检测、认证机构应当依法取得相应资格，并依照法律、行政法规的规定和商用密码强制性国家标准、技术规范开展商用密码检测认证活动。( )

答案：A

A.正确

B.错误

261. 关键信息基础设施的运营者可以不开展商用密码应用安全性评估。( )

答案：B

A.正确

B.错误

262. 涉及国家安全、国计民生、社会公共利益的商用密码产品，必须经过检测认证合格后，方可销售或者提供。( )

答案：A

A.正确

B.错误

263. 密码管理部门和有关部门及其工作人员可以要求商用密码从业单位和商用密码检测、认证机构向其披露所有经营信息。( )

答案：B

A.正确

B.错误

264. 违反《密码法》规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。( )

答案：A

A.正确

B.错误

265. 国家不支持社会团体、企业利用自主创新技术制定商用密码团体标准、企业标准。( )

答案：B

A.正确

B.错误

266. 密码管理部门因工作需要，按照国家有关规定，可以查阅、复制、封存商用密码检测、认证机构的检测、认证结果。( )

答案：B

A.正确

B.错误

267.为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定《数据安全法》。( )

答案：A

A.正确

B.错误

268.《数据安全法》共七章五十六条。( )

答案：B

A.正确

B.错误

269.数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。( )

答案：A

A.正确

B.错误

270.《数据安全法》所称数据，是指任何以文本、电子或者其他方式对信息的记录。( )

答案：B

A.正确

B.错误

271.违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。( )

答案：A

A.正确

B.错误

272.《数据安全法》适用于在中华人民共和国境内外开展数据处理活动及其安全监管。( )

答案：B

A.正确

B.错误

273.《数据安全法》适用于在中华人民共和国境内开展的数据处理活动及其安全监管。( )

答案：A

A.正确

B.错误

274.数据处理者可以随意向境外提供重要数据。( )

答案：B

A.正确

B.错误

275.国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度。( )

答案：A

A.正确

B.错误

276.数据安全评估只需要关注数据本身的安全性。( )

答案：B

A.正确

B.错误

277. 任何组织和个人都有权对危害数据安全的行为向有关部门举报。( )

答案：A

A.正确

B.错误

278.数据交易必须通过数据交易平台进行。( )

答案：B

A.正确

B.错误

279.关键信息基础设施的运营者不适用《数据安全法》。( )

答案：B

A.正确

B.错误

280.数据处理者采取了一定的数据安全措施，就不需要再承担数据全责任。( )

答案：B

A.正确

B.错误

281.国家不鼓励企业、社会组织开展数据安全知识宣传普及活动。( )

答案：B

A.正确

B.错误

282. 违反《数据安全法》规定，尚不构成犯罪的，不会受到处罚。( )

答案：B

A.正确

B.错误

283.国家实行网络安全等级保护制度。( )

答案：A

A.正确

B.错误

284. 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。( )

答案：A

A.正确

B.错误

285. 任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。( )

答案：A

A.正确

B.错误

286. 关键信息基础设施的运营者可以自行采购网络产品和服务，无需进行安全审查。( )

答案：B

A.正确

B.错误

287.网络运营者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，可以不要求用户提供真实身份信息。( )

答案：B

A.正确

B.错误

288. 国家网信部门和有关部门在履行网络安全保护职责中获取的信息，可以用于商业用途。( )

答案：B

A.正确

B.错误

289. 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。( )

答案：A

A.正确

B.错误

290. 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，无权要求网络运营者删除其个人信息。( )

答案：B

A.正确

B.错误

291.网络运营者不履行本法规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。( )

答案：B

A.正确

B.错误

292.关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行两次检测评估。( )

答案：B

A.正确

B.错误

293.国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。( )

答案：A

A.正确

B.错误

294.网络产品、服务的提供者可以在其产品、服务中设置恶意程序。( )

答案：B

A.正确

B.错误

295.网络运营者应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。( )

答案：A

A.正确

B.错误

296.省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人进行约谈。( )

答案：A

A.正确

B.错误

297.违反本法规定，被吊销许可证的网络服务提供者，自吊销许可证之日起三年内，不得再次申请相关许可。( )

答案：A

A.正确

B.错误

298.国家网信部门负责统筹协调网络安全工作和相关监督管理工作。( )

答案：A

A.正确

B.错误

299.网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。( )

答案：A

A.正确

B.错误

300.任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。( )

答案：A

A.正确

B.错误

301.关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。( )

答案：A

A.正确

B.错误

302.网络运营者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，可以不要求用户提供真实身份信息。( )

答案：B

A.正确

B.错误

303.国家不支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。( )

答案：B

A.正确

B.错误

304.受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作。( )

答案：A

A.正确

B.错误

305.网络运营者为用户办理固定电话、移动电话等入网手续时，不需要要求用户提供真实身份信息。( )

答案：B

A.正确

B.错误

306.国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行相应的安全保护义务。( )

答案：A

A.正确

B.错误

307.个人和组织只能向有关部门举报危害网络安全的行为，不能自行采取措施制止。( )

答案：B

A.正确

B.错误

308.行业各级网信工作部门对数据安全检查中发现的问题，只需向存在问题的部门（单位）提出整改要求即可。( )

答案：B

A.正确

B.错误

309.行业各单位通过国家相关数据安全管理认证是强制性要求，必须执行。( )

答案：B

A.正确

B.错误

310.发生个人信息泄露等数据安全事件时，相关单位网信工作部门应当立即采取补救措施，并按规定向上级和当地主管部门报告，同时还要告知个人信息主体。( )

答案：A

A.正确

B.错误

311.对于违反烟草行业数据安全管理办法的行为行业网信办将根据情节给予通报批评；有行业相关制度规定的问责情形，由相关部门启动问责程序；构成犯罪的，依法追究法律责任。( )

答案：A

A.正确

B.错误

312.行业各单位在开展数据活动时，只要遵循了“谁生产谁负责、谁收集谁负责、谁使用谁负责”的原则，就可以不将数据安全保护作为网络安全工作的重要内容。( )

答案：B

A.正确

B.错误

313.根据规定，为提高运维效率，可以将信息系统的操作系统、数据库和机房的最高管理员权限委托给长期合作的第三方单位人员统一管理。( )

答案：B

A.正确

B.错误

314.只要云平台通过了国家云计算服务安全评估，行业单位就可以将包含重要政务数据的信息系统托管在该云平台上。( )

答案：B

A.正确

B.错误

315.某省级单位计划建设一个处理消费者个人信息的信息系统，预计存储的个人信息数量为15万条。根据规定，该系统应被确定为三级网络安全保护等级，并通过个人信息安全检测。( )

答案：A

A.正确

B.错误

316.商业企业从行业公共数据平台获取了卷烟生产经营统计数据后，可以根据自身分析需求，对原始数据进行适当的修正和补充，以提高数据分析的准确性。( )

答案：B

A.正确

B.错误

317.根据数据安全自主可控的要求，一个处理重要数据的系统，其基础设施和应用系统可以由某公司承建，安全防护部分则必须选择另一家不同的公司来负责。( )

答案：A

A.正确

B.错误

318.只要经过省级网信办的初审同意，行业单位就可以向行业外组织或个人提供数据。( )

答案：B

A.正确

B.错误

319.对外提供涉及烟农、零售户等个人信息的数据，无论该数据是否属于行业统一建设的信息系统，都必须报行业网信办审核。( )

答案：A

A.正确

B.错误

320.在对外提供数据前，必须与数据接收方就数据安全保护责任、数据使用范围、时限、用途及违约责任等达成意向协议。( )

答案：A

A.正确

B.错误

321.行业统一建设的信息系统，其产生的数据和相关信息产权属于行业，任何单位都不得擅自将其转接或转交给任何第三方。( )

答案：A

A.正确

B.错误

322.如果行业单位在对外提供数据后，发现数据接收方发生了严重的网络安全事件，但该事件并未直接影响到已提供的数据，那么数据提供方无需暂停数据共享。( )

答案：B

A.正确

B.错误

323.隐式网页篡改通常是指在网页中植入色情、诈骗等非法链接，其目的是为了牟取非法经济利益，相比显式篡改更不易被普通用户直接发现。( )

答案：A

A. 正确

B. 错误

324.WebShell攻击是一种常见的网页篡改方式，攻击者通过WebShell与服务器的数据交换通常使用非标准端口，因此容易被防火墙检测和阻断。( )

答案：B

A. 正确

B. 错误

325.SQL注入攻击主要是利用网页系统的漏洞，在访问网页时构造特定的参数，从而实现对Web系统后台数据库的非法操作，常用于非法修改动态网页数据。( )

答案：A

A. 正确

B. 错误

326.当发现网站遭受网页篡改攻击时，如果网站没有备用服务器，应立即对主服务器进行断网隔离，以保护现场并中止攻击。( )

答案：A

A. 正确

B. 错误

327.在网页篡改应急响应中，修改网站和服务器密码是重要的一步，新设置的密码只要长度足够长（如15位以上）即可，是否包含大小写字母、数字和特殊符号并不重要。( )

答案：B

A. 正确

B. 错误

328.网站页面TDK（标题、描述、关键词）被篡改是一种非常明显的攻击方式，用户在正常浏览网页时能立刻发现页面内容异常。( )

答案：B

A. 正确

B. 错误

329.JS脚本劫持是一种隐匿的篡改手法，其特点是用户通过浏览器直接输入域名URL访问时可能一切正常，但通过搜索引擎点击链接时则可能被跳转到恶意页面。( )

答案：A

A. 正确

B. 错误

330.在排查被攻击的后门时，对于Linux系统，只需要检查/etc/crontab目录下的计划任务即可，其他目录如/etc/cron.daily/*等无需关注。( )

答案：B

A. 正确

B. 错误

331.在确认网页篡改事件后，为了尽快恢复网站正常服务，应立即清理所有被标记为可疑的文件，无需进行备份和保留现场。( )

答案：B

A. 正确

B. 错误

332.日志分析是网页篡改应急响应中的重要环节，通过分析操作系统、中间件和安全设备的日志，不仅可以帮助定位攻击者，还可以帮助还原攻击路径并找到网站存在的安全漏洞。( )

答案：A

A. 正确

B. 错误

333.根据规范，容灾备份建设实施过程中如有与原设计方案不符的内容，需编制需求变更说明后方可实施。( )

答案：A

A. 正确

B. 错误

334.烟草行业容灾备份服务以应用级灾备为主，审慎提供数据级灾备服务。( )

答案：B

A. 正确

B. 错误

335.容灾备份系统运维阶段要求每个工作日对容灾链路、主机运行状态、数据复制策略执行结果等进行监控。( )

答案：A

A. 正确

B. 错误

336.容灾演练的周期要求是每半年至少一次。( )

答案：B

A. 正确

B. 错误

337.容灾备份建设方案需包含拟采用的容灾备份数据复制技术、网络带宽规划、行业共用容灾平台资源需求等内容。( )

答案：A

A. 正确

B. 错误

目录CONTENT

网络安全题目

评论区