數據安全行為進階考試試題一、選擇題1.為什么要安排數據安全相關的培訓（）?[多選題]*A.娛樂員工B.提升員工的數據安全意識，保障公司核心利益√C.團隊建設D.提升員工的數據安全知識和能力√2.數據生命周期是指企業(yè)在開展業(yè)務和進行經營管理的過程中，對數據進行（）的整個過程。[多選題]A.采集√B.傳輸√C.存儲和使用√D.刪除和銷毀√3.以下不具有信息安全意識的場景有（）。[單選題]*A．文控設專區(qū)、專柜、專人，并且在專區(qū)安裝攝像頭、門禁等B．通過IT技術監(jiān)控關鍵信息安全崗位USB口、光驅、硬盤、軟驅、網口等C．電腦設置屏保時間，時間小于3分鐘D．在下班時間向朋友談論與工作內容及相關信息√4.小王是某重點項目關鍵崗位人員，因個人原因小王提交了離職單，你認為下列哪項選項不符合信息安全的規(guī)定（）?[單選題]*A．進行安全審計，包括但不限于電腦日志審計、資產移交審計等B．保留小王的各項權限，待離職后關閉權限√C．對離職人員進行脫密期安排與管理D．離職人員所有信息資產的及時移交進行監(jiān)控管理5.關于保護公司信息安全，以下說法錯誤的是（）。[單選題]*A.暫時離開電腦時，需退出系統登錄并鎖屏，避免因個人電腦、賬號信息被他人登錄、查看、導出信息、惡意操作的風險發(fā)生B.重要的電子文檔數據做好備份，并設置文檔密碼。C.個人工牌只是公司的門禁，不能借用給公司外部的人員使用，同事間可以隨便借用沒關系√D.參加完部門會議后，將白板上的會議內容進行了擦除6.信息安全的CIA三要素是什么（）?[多選題]*A.保密性√B.完整性√C.可用性√D.真實性7.以下做法正確的是（）。[單選題]*A.有陌生人尾隨進入辦公區(qū)域時，應主動上前詢問，讓他進入辦公區(qū)B.快遞人員接待時，可讓快遞人員將快件送到保密區(qū)域來C.打印或復印資料時，應將資料及時取走√D.與朋友聚會聊天時，可談論公司內部信息8.關鍵項目信息安全的控管，對人員管控要求，包括（）。[單選題]*A.關鍵崗位人員檔案的建立和更新B.關鍵崗位人員調職離職，以及脫密程序的規(guī)定C.關鍵崗位人員背景調查D.以上都是√9.以下說法，不正確的是（）。[單選題]*A.對敏感非電子信息，必須存放在文件柜內，并加鎖保護B.不私自復印、摘錄與外傳敏感信息的文檔C.會議室使用完畢后，及時將白板擦拭干凈D.在公共場所（如食堂）談論公司敏感信息√10.公司電腦登錄密碼規(guī)則（）。[單選題]*A.密碼長度小于8位B.密碼只能包含小寫字母C.密碼只能包含大寫字母D.密碼長度最小長度8位，包含字母、符號和數字√11.員工違反公司信息安全要求，依情節(jié)輕重有下列哪些規(guī)定（）?[多選題]*A.無須負責B.給警告處分√C.立刻解除勞動合同√D.停職或降級處分√12.關于使用公用的打印機或者復印機設備，正確操作包含（）。[多選題]*A.及時取走打印件，及時取走復印件和原件√B.發(fā)送了打印指令后，發(fā)現無法出紙，自行處理無效后及時向IT人員報障處理√C.走不開，讓其他同事代取含有敏感信息的打印件D.走不開，待有空時再去取13.研發(fā)部門的小王是XX核心涉密項目的成員，在與同學聚會的時候說起公司即將發(fā)布的新款產品中的XX部分是由其負責，并詳細地介紹了相關參數等信息。不久后，一同聚餐的某同學在行業(yè)論壇上發(fā)帖，介紹了了解到的小道消息，這樣的信息泄露事件可能會造成的危害有（）。[多選題]*A.降低競爭力√B.公司信譽受損√C.影響產品銷量√D.這么點小事對公司沒什么影響14.小王是公司的一名文控，日常工作中小王做了以下操作，其中違反公司規(guī)定的是（）。[單選題]*A.為了提高工作效率，小王打印了未授權的文件√B.對于文檔發(fā)放和使用進行登記C.作廢文件及時使用碎紙機銷毀并記錄D.不把U盤帶入工作區(qū)域15.關于信息安全管理，以下哪一項說法最不合理（）?[單選題]*A.人員是最薄弱的環(huán)節(jié)B.建立信息安全管理體系是最好的解決方法C.只要買最好的安全產品就能做好信息安全√D.信息安全管理關系到公司中的每一個員工16.多久更換一次計算機密碼較為安全（）?[單選題]*A.1到3個月√B.3到6個月C.半年以上D.不設置密碼17.以下日常行為習慣中，存在信息安全泄露隱患的行為是（）?[單選題]*A.將文件發(fā)給打印機進行打印后，及時刪除打印機緩存內的文件記錄B.為防止重要數據丟失，將數據加密后備份到項目組授權的移動硬盤中C.使用自己的私人手機給未上市產品的外觀拍照√D.需要丟棄重要紙質資料時，使用碎紙機粉碎18.惡意軟件的傳播方式主要有（）?[單選題]*A.瀏覽惡意網頁，釣魚郵件和陌生鏈接B.通過可移動媒介傳播，例如U盤、光盤、SD卡等C.未授權的軟件、盜版軟件等D.以上都是√19.發(fā)現產品漏洞時，以下做法哪些正確的（）。[多選題]*A.盡量避免聲張，任何情況下都不能告訴客戶，悄悄修復即可B.應當確保產品安全漏洞得到及時修復√C.員工發(fā)現產品漏洞應當立即直接向外部監(jiān)管部門報告D.應當立即啟動安全應急預案，采取相應的應急處置措施，及時報告上級主管及部門負責人，由公司統一處理√20.以下哪些說法正確（）?[多選題]*A.Windows鎖屏快捷鍵是WIN+L√B.Windows鎖屏快捷鍵是Ctrl+Shift+LC.Mac鎖屏快捷鍵是Cmd+QD.Mac鎖屏快捷鍵是Ctrl+Cmd+Q√21.關于小滿SaaS軟件中的數據，以下說法錯誤的是（）。[多選題]*A.客戶郵箱綁定小滿郵箱，由于都是在處理客戶企業(yè)的事情，因此屬于企業(yè)信息而不是個人信息√B.私自獲取、對外提供、銷售客戶沉淀在小滿軟件中的訂單信息、買家信息，將侵犯客戶的商業(yè)秘密C.公司在做宣傳時，可以將使用軟件比較好的優(yōu)質客戶的使用截圖拿來做公開展示和典范√D.試用軟件的企業(yè)還不是公司客戶，因此其試用時沉淀在軟件中的數據可以隨意處理√22.以下關于個人信息說法正確的是（）。[多選題]*A.個人信息包括以電子或其他方式記錄的已經識別的個人有關的信息√B.個人信息包括以電子或其他方式記錄的能夠識別到個人的有關信息√C.判斷是否個人信息的方法是關聯（從個人到信息）和識別（從信息到個人）√D.個人信息處理的原則包括:正當、合法、必要和誠信原則;目的明確、直接相關原則;最小化原則;公開透明原則;準確性原則;問責性原則√23.以下關于敏感個人信息說法正確的是（）。[多選題]*A.敏感個人信息是指一旦泄露或者非法使用，容易導致個人的權益（包括人身、財產安全或其他權利）遭到侵害的個人信息√B.敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息√C.處理敏感個人信息應當取得個人的單獨同意，同時應當告知處理敏感個人信息的必要性以及對個人權益的影響，并且需要采取嚴格的保護措施√D.個人基因、指紋、體檢報告、生育信息、過往病史、金融賬號、行蹤信息等均屬于敏感個人信息√24.關于數據采買，以下說法正確的是（）。[多選題]*A.只要數據供應商的數據是公司需要的，就可以將其引入進來B.數據供應商的數據來源是否合法，數據真實性準確性都是非常關鍵的考察因素√C.數據供應商引入之前需要對其進行背景調查√D.數據采買必須與供應商簽署書面合同，且走數據采買合同審核的流程√25.關于公司舉辦線上線下沙龍或其他渠道收集到的數據的處理，以下說法錯誤的是（）。[多選題]*A.通過該方式收集到的報名者姓名、手機號碼、所在公司、職位信息、郵箱等均屬于個人信息B.對于小滿收集到的線上線下沙龍等活動的報名信息，既然是客戶主動提交的，就意味著報名者自愿把這些信息提交給公司隨意處理√C.對于公司在此場景中收集到的個人信息，如何使用或處理，均應當告知個人同意，并且不得超范圍使用D.用戶同意公司處理其個人信息后又反悔，要求撤回授權的，不予同意√26.關于網站數據爬取，以下說法正確的是（）。[多選題]*A.因為數據爬取依賴于爬蟲技術，而技術本身是中立的，因此數據爬取合法B.利用爬蟲技術爬取的數據歸屬于其他主體，因此絕對不能爬取C.數據爬取并不必然違法，只要符合一定規(guī)則，是可以爬來為我所用的√D.公司如有數據爬取的需求，均須提交產品部門統一安排，不得擅自爬取√27.關于網站數據爬取，以下說法錯誤的是（）。[多選題]*A.各部門數據爬取的需求，均需要走數據爬取審批流程B.爬取公開的網站時，可以忽略其Robots協議和用戶協議的要求√C.爬取網站時，爬取收集的流量不得超過網站日均流量的2/3√D.若被爬取的網站是需要登錄的，則不能爬取28.關于網站數據爬取，以下說法錯誤的是（）。[多選題]*A.網站爬取時，不得爬取國內個人信息，但可以爬取境外公開的個人信息（如郵箱等），也可以對外宣傳小滿軟件中包含海量境外聯系人信息√B.網站爬取要避免爬取競對網站和政府網站，因為不正當競爭和監(jiān)管的風險較高C.小滿SaaS軟件中搜索功能是對客戶開放的，因此客戶可以爬取軟件中海外企業(yè)的各項信息√D.網站爬取時，遵守了Robots協議即可，無需關注爬取的內容是否侵犯網站運營者的商業(yè)秘密或圖片、視頻等的著作權√29.關于數據的處理，以下說法正確的是（）。[單選題]*A.數據的處理不包括數據的采集、存儲、傳輸和刪除B.客戶購買小滿SaaS軟件后的使用數據（如5015，產品中郵件模塊的使用頻率等）歸屬于公司，公司可以直接傳輸給阿里巴巴國際站C.現階段公司要防范數據不當傳輸至阿里巴巴國際站，公司爬取、采買和未經數據主體（客戶或個人）授權同意的的數據不能直接傳輸給阿里巴巴國際站√D.臺灣和香港均屬于中國的領土，因此數據的跨境傳輸不包含大陸向臺灣香港的數據傳輸，僅包含大陸向國外的數據傳輸30.關于遠程服務，以下說法正確的是（）。[多選題]*A.從保護客戶數據安全的角度考慮，QQ遠程服務只是目前的過渡方案而不是最好的方案√B.客戶有遠程服務的需求時，對于客戶力所能及的操作，應當盡量說服客戶自己操作，我們可以提供相應的指引√C.客戶堅持要求我們提供遠程服務的，應當委婉告知客戶相關的風險及遠程過程中的注意事項√D.對于遠程過程中，超出原定服務內容的，應當再次征得客戶的書面同意√31.在為客戶提供遠程服務過程中，不正確的操作是:（）[多選題]*A.為了客戶信息安全，應當提醒客戶在服務過程中全程停留在電腦前關注整個服務過程B.引導客戶告知密碼，否則就沒法操作了√C.偷偷獲取客戶電腦中的訂單信息、買家信息高價轉賣√D.不需要登記為客戶提供遠程服務的個人QQ號碼，反正出了事也是公司擔責與個人無關√32.各部門覺得有需要在例如媒體、電商等外部平臺以公司名義開設賬號的，以下做法哪些正確（）。A.郵件或釘釘告知部門負責人，經其同意即可B.在釘釘OA-合規(guī)類-“外部平臺賬號申請”提交申請表單，經審批通過后進行開通√C.外部平臺賬號的變更及注銷也需要在釘釘OA-合規(guī)類-“外部平臺賬號申請”提交申請表單，經審批后執(zhí)行√D.外部平臺賬號的日常運營及管理需要根據公司已發(fā)布的《外部平臺賬號及信息發(fā)布管理規(guī)范》進行√33.目前公司的對外數據披露分為哪幾種類別（）。[多選題]*A.司法行政類:配合司法機關或行政主管機構調查及協查要求的數據提供√B.對客/公開類:銷售素材、培訓材料、成功案例、官網發(fā)布內容及公開的線上協議等√C.合作方披露:提供合作方的相關信息和數據，包括產品化/常規(guī)化披露和單次披露兩個類別√D.審計/認證類:配合會計師事務所或認證機構審閱需求的資料提供√34.各部門有對外數據披露需求時，正確的說法是（）。[多選題]*A.部門負責人審批同意后，即可對外進行披露B.需要遵照公司發(fā)布的《數據分級及披露管理規(guī)范》執(zhí)行√C.除在《數據分級及披露管理規(guī)范》配套的“對外披露場景清單”中明確注明“無需提交對外披露審批流程”外，其他對外數據披露需求均需提交對外披露申請√D.數據對外披露申請?zhí)峤宦窂?釘釘OA-合規(guī)類-“對外披露審批流程”√35.在數據分級及使用方面，以下說法正確的是（）。[多選題]*A.數據安全委員會由總經辦、內控部、法務部組成，負責數據安全相關事項的最終審批和決策√B.研發(fā)中心作為數據的技術實現者和托管者，負責數據在系統的落地√C.研發(fā)中心負責實施安全保護技術手段來保護數據的安全√D.內控部負責對數據使用涉及的法律合規(guī)風險進行審核36.各部門在數據分級及使用方面的主要職責為（）。[多選題]*A.對本部門數據，作為數據的所有者，對數據承擔第一道責任√B.負責對本部門數據進行定義、解釋，對數據質量負責√C.負責對本部門數據的業(yè)務重要性、敏感程度和數據級別進行最終界定D.涉及對外數據披露時，應按規(guī)定事先獲得審批√37.內控部在數據分級及使用方面的主要職責為（）。[多選題]*A.負責制定及更新公司的數據分級及使用管理規(guī)范√B.梳理并搭建數據內部使用、對外披露的審批流程√C.組織各部門開展數據梳理和分級工作√D.對數據使用的適當性及其風險進行審核√38.不同級別的公司數據，一旦丟失、未經授權使用或公開，可能會對公司的經營、資產和/個人產生的影響程度為（）。[多選題]*A.L1公開數據:無影響√B.L2受限數據:有限影響√C.L3保密數據:中等影響√D.L4機密數據:嚴重影響√39.公司的數據分級包括4類，關于公司的數據分級，以下說法正確的是（）。[多選題]*A.L1公開數據，無需采取安全措施進行保護，數據可以對內對外公開√B.L2受限數據，需要最小限度安全措施，數據可以內部公開，其他范圍公開需要部門負責人審批√C.L3保密數據，需要安全措施，數據僅限特定部門內公開，其他范圍公開需要部門分管領導審批，僅基于“need-to-know”原則√D.L4機密數據，需要嚴格安全措施，數據僅限特定項目組內部公開，其他范圍公開需要CEO審批，僅基于“need-to-know”原則√40.以下數據等級描述正確的是（）。[多選題]*A.公開可查詢的公司企業(yè)信息是公開數據√B.新員工培訓資料、組織架構新消息等是受限數據√C.戰(zhàn)略規(guī)劃會記錄，合同文件等是保密數據√D.客戶數據，員工人事記錄，程序代碼是受限數據41.各部門提交對外披露審批流程時，以下說法正確的是（）。[多選題]*A.按OA“對外披露審批流程”的要求，列明披露類型、內容、場景、目的、受眾、渠道、業(yè)務部門風險自評及審核意見√B.申請?zhí)峤蝗藨采w《數據披露部門審核指引》內容，對未能滿足或未能充分滿足的情況，在風險自