2020年9⽉⽹络安全考试试题
1.关于数据使⽤说法错误的是:
A.在知识分享、案例中如涉及客户⽹络数据,应取敏感化,不得直接使⽤
B.在公开场合、公共媒体等谈论、传播或发布客户⽹络中的数据,需获得客户书⾯授权或取敏感化,公开渠道获得的除外。
C 客户⽹络数据应在授权范围内使⽤,禁⽌⽤于其他⽬的。
D.项⽬结束后,若客户未明确要求,可以保存⼀些客户⽹络中数据在⼯作电脑上,以便⽇后⽤于对外交流,研讨等引⽤。
正确答案: D
2.下⾯哪项不符合客户书⾯授权⽅式:
A 电⼦流
B 邮件
C.⼝头承诺
D.传真
E.会议纪要
正确答案: C
3.⽹络安全违规⾏为举报邮箱是:
A.ISMS@chinasoftinc
B.CSPP@chinasoftinc
C.CSPP@chinasofti
D.BCGcomplain@chinasofti
正确答案:B
4.所有⽹变更操作都获得三个审批,不属于三审批范围的是:
A.直接主管
B.客户审批
C.项⽬审批
D.技术审批
正确答案:A
5.⽹络安全违规的规定依据是:
A.违规导致的结果
B.违规⾏为
C.客户满意度
D.⾏为⼈是否有主管恶意
正确答案:B
6.在客户交流、演⽰时,使⽤的资料或讲解中,误⽤敏感词汇使客户对华为产⽣⽹络安全的误解,属于()违规。
A.⼀级
B.⼆级
C.三级
D.四级
正确答案:B
7.以下有关个⼈隐私数据处理原则描述错误的是()
A.对于能够识别数据主体的个⼈数据,其储存时间可以超过其处理⽬的所必须的时间。
B.处理过程中应确保个⼈数据的安全,采取合理的技术⼿段、组织措施、避免数据未经授权即被处理或遭到⾮法处理,避免数据发⽣意外毁损或灭失。
C.个⼈数据的处理⽬的应当是为了实现数据处理⽬的⽽适当的、相关的和必要的。
D.个⼈数据应当是准备的,如有必要,必须及时更新;必须采取合理措施确保不准确的个⼈数据,即违反初始⽬的的个⼈数据,及时得到擦除或更正。
正确答案:A
8.⽹络安全是在法律合规下保护()的可⽤性、完整性、机密性、可追溯性和抗攻击性,及保护其所承载的()、客观的信息流动。
A 产品、解决⽅案;客户的产品和系统信息
B 产品、解决⽅案和服务;客户的产品和系统信息
C 产品、解决⽅案和服务;客户或⽤户的通信内容、个⼈数据及隐私
D 产品、服务;客户或⽤户的通信内容、个⼈数据及隐私。
正确答案:C
9.使⽤他⼈账号或⾮授权账号登录设备进⾏操作,属于⽹络安全()违规。
A ⼀级
B ⼆级
C 三级
D 四级
正确答案: A
10.关于数据处置,下列说法错误的是:()
A.包含客户⽹络数据的纸件废弃时必须销毁。
B.员⼯转岗时,应移交并删除本⼈所保留的客户⽹络数据,并申请取消响应信息系统的访问权限。
C.报废设备的客户⽹络数据可不销毁
D.禁⽌私⾃携带客户⽹络数据(含个⼈数据)的设备或存储介质离开客户场所。
正确答案:C
11.下⾯那些操作需要提前获得客户的书⾯授权:()
A.查看设备数据
B.接⼊客户⽹络
C.采集设备数据
D.修改设备数据
E.转移客户和⽹络数据
正确答案:ABCDE
12.中软国际内部运营管理中涉及的个⼈隐私数据包含哪些:()
A.员⼯信息
B.劳务(输⼊和输出)⼈员信息
C.求职者信息
D.以上都不是
正确答案:ABC
13.关于个⼈隐私的基本概念,描述错误的是:()
A.个⼈数据:是与⼀个⾝份与被识别或者⾝份可识别的⾃然(数据主题)相关的任何信息;⾝份可识别的⾃然⼈⾷指其⾝份可以通过注⼊姓名、⾝份这个号、位置数据等识别码或者通过注⼊姓名、⾝份证号码、位置数据等识别码或者通过⼀个或多个与⾃然⼈的⾝体、⽣理、精神、经济、⽂化、或者社会相关的特定因素来直接的被识别的⾃然⼈。
B.数据主体:是指通过个⼈数据可以直接或间接被识别的⾃然⼈。如华为产品、服务的⽤户、顾问、应聘⼈员、员⼯等。
C.数据控制者:是指单独或者与他们共同确定个⼈数据处理⽬的和⼿段的⾃然⼈、法⼈、公共机构、政府部门或其他机构,当多个或多个机构共同决定数据处理的⽬的和⽅式,他们被认为是共同控制者。如按照华为的要求为其提供维保服务,中软国际是数据控制者。
D.数据处理者,是指代表数据控制者处理个⼈数据的⾃然⼈、法⼈、公共机构、政府部门或者其他机构。如针对⽤户在华为云的注册信息,中软国际是数据处理者。
正确答案:BC
14.对管理责任⼈的问责,下列说法正确的是:
A.存在管理不⼒、知情不作为、放任等情形时,需对违规责任⼈直接或间接主管问责。
B.当出现体事件或包庇违规⼈等不诚信⾏为时,对管理者可加重或从重处罚。
C.违规⼈员处罚等级为⼀、⼆级时,对管理者的处罚可参考执⾏⼆三级。
D.直接或间接主管⽆需承担管理连带责任。
正确答案:ABC
15.对于⽹络安全误解的是:
A ⽹络安全=信息安全
B ⽹络安全=⼈⾝安全
C ⽹络安全=⽹络平安、⽹络保障、⽹络运⾏稳定
D 各国政府、运营商、设备商、分包商和最终⽤户都很关注⽹络安全
正确答案:ABC
16.如下有关GDPR说法正确的是?
A. 只要关于欧盟成员国境内设⽴的公司,必须保护欧盟成员国居民的个⼈隐私西悉尼,此为属地原则
B.即使公司不在欧盟境内成⽴,但⼜涉及接触欧盟成员国居民的个⼈隐私信息,也必循遵守GDPR,此为属⼈原则。
C.如果你收集欧盟公民的数据,你就受到GDPR的管辖。除⾮你的公司⾮常严格的排除了欧盟,否则你还是得处理GDPR得合规问题,所以GDPR全休适⽤。
D.我就是普通研发⼈员,GDPR似乎跟我没有关系。
正确答案:ABC
17.关于产品安全要求,以下说法正确的是:
A.在编码阶段进⾏代码安全扫描,解决⾼风险的代码安全问题。
B.产品如含有开源软件,则须对开源软件的漏洞进⾏监测,并对存在的安全漏洞进⾏修复。
C.为完善产品的功能特性,可以对⾃⼰对产品进⾏修改,⽆需与客户沟通。
D.所有员⼯员⼯⼊职时必循签署《⽹络安全及⽤户隐私保护承诺函》
正确答案:ABD
18.处理个⼈数据的基本原则有哪些?
A 公开、透明
B 可问责
C 保密性
D 数据最⼩化
正确答案: BCD
19.关于配置管理,以下说法正确的是:
A 在产品需求、设计、开发、测试、发布等环节需对研发⽂档进⾏记录和管理
B 对版本/有效管理,包含但不限于系统软件版本管理、硬件版本管理、其他配套件版本管理等。
C 对变更的各类需求、变更流程及关键控制点KCP进⾏有效管理
D 可以使⽤⽹络下载⼯具和配置
正确答案:ABC
20.⽬前,全球⽹络安全⾯临的挑战。如下正确的是:
A 各国⽴法越来越严格,欧盟对通信隐私保护愈加严格
B 业界频繁曝光的⽹络安全事件,对运营商和设备商带来了巨⼤的压⼒。
C ⽹络安全事故对客户正常业务带来了风险和损失,必须加强⽹络安全预防,降低⽹络安全的管理和运维成本。
D.设备商和分包商被要求遵守当地的⽹络安全和相关法律。
正确答案:ABCD
21.下⾯那些⾏为,属于⽹络安全⼀级违规:
A 在提供的产品或服务中植⼊任何恶意代码、恶意软件、后门,预留任何未公开接⼝和账号。
B 未经客户书⾯授权,携带含客户⽹络数据(含个⼈数据)的设备或存储介质离开客户场所。
C 商⽤或转维后,保留或使⽤之前的管理员账号及其⾮授权账号。
D 扩散未经华为正式发布仅在研发活动使⽤的软件⼯具
E 项⽬正式结束后u,未按要求将涉及的数据(如⼯作电脑或服务器)及时移交给客户。
正确答案:ABCE
22.哪些选项属于隐私保护七原则
A 合法、正当、透明
B 数据最⼩化
C 存储周期限最⼩化
D 可共享
E 准确性
F⽬的限制性
正确答案: ABCEF
23.关于⼯具软件的使⽤,下列说法正确的是:
A 来源要合规:禁⽌下载、使⽤来⾃⾮华为正式渠道的软件版本、产品版本、服务交付⼯具。
B 使⽤⽤合规:华为正式发布的软件和⼯具应严格按照说明书要求的使⽤场景、使⽤范围、EOX公告、产品变更通知的相关要求使⽤。
C 客户⼯具要授权:使⽤客户提供的服务⼯具需由客户书⾯授权,明确使⽤要求(如使⽤对象、⽹络、范围、期限等),并由客户提供具体软件试题或下载地址。使⽤者应妥善保存并归档客户书⾯授权书。
D 违规要问责:对于违规的直接责任⼈将依据《中软国际华为业务⽹络安全违规问责制度》进⾏问责
正确答案:ABCD
24.产品安全管理制度中违规员⼯的处罚正确的是:
A ⼀级违规:解除劳动关系,予以出名,且⽤不录⽤
B 触犯国家法律法规,公司依法追究其法律责任
C 对于员⼯出现违规的主管不⽤承担责任
D 员⼯如违反产品安全⾏为规范,将按相应违规等级进⾏处罚,主管承担相应的连带责任
正确答案:ABD
25.不得从事任何危害客户⽹络安全的⾏为如:
A 在研发过程中植⼊恶意代码、恶意软件、后门,预留任何未公开的接⼝和账号等。
B 开发可绕过系统安全机制(认证、权限控制、⽇志记录)对系统或数据进⾏访问的功能
C 利⽤⽹络从事任何危害国家安全、社会公共利益,窃取或者破坏他⼈信息、损害他⼈合法权益的活动。
D 攻击、破坏客户⽹络等通信设施、破解客户账户密码
正确答案:ABCD
26.哪些属于个⼈敏感数据?
A 姓名
B 性取向
C 宗教或哲学信仰
D ⼯资
未识别的网络正确答案: BCD
27.研发⼯程师到客户现场服务交付时,经客户授权分配给研发⼯程师1个账户和密码,研发⼯程师通过邮件把账户密码转发给其他多名研发⼯程师和客户⼯程师使⽤,下列说法正确的是:
A 研发⼯程师⾮故意传播账户和密码,不涉及⽹络安全违规。
B 账号密码提供给多名客户⼯程师,不涉及⽹络安全违规
C 研发⼯程师应该仔细确认客户授权的范围。
D 传播/共享账户和密码,涉及⽹络安全违规
正确答案:CD
28.下列关于⽹络安全的理解,正确的是:
A 管理者和员⼯要真正认识到⽹络安全的重要性,改变思想意识
B ⽹络安全风险⾸先是缺乏⽹络安全意识,不能认为主观上没有恶意就没问题,关键是⾏为要符合⽹络安全规范,提供的产品和服务等不能给客户带来⽹络安全风险。
C 每个员⼯都是⾃⼰做的产品的第⼀安全负责⼈。
D 所交付的产品和服务出现任何问题,都要经得起法律的追溯,但不⽤承担相应法律责任。
正确答案 : ABC
29.关于系统账号管理和访问权限控制描述正确的是:
A 确保每个⼈员有唯⼀的⽤户⾝份证明和密码,仅供本⼈使⽤
B 定期对账号进⾏清理,清理不⽤的离职或调岗员⼯账号
C 定期对设备所有密码进⾏更新,并保证密码的复杂度
D 对访问权限进⾏必要的限制,遵从分权分域、最⼩授权原则。
正确答案:ABCD
30.以下哪些是产品安全要求的安全属性?
A 禁⽌后门、病毒
B 开源软件安全
C 安全测试
D 交付安全
正确答案:ABCD
31.下⾯哪些⾏为,属于⽹络安全⼆级违规:
A 测试的安全问题隐瞒不报
B 在对外交流中,未经客户书⾯授权,展⽰和披露⽹络安全红线问题或漏洞信息。
C 接⼊客户⽹络的电脑、通信终端、存储介质等未进⾏杀毒,导致客户⽹络或检测出病毒。
D 未经客户书⾯授权,传播、使⽤共享账号和密码
E 客户授权到期后,未删除和销毁持有的客户⽹络数据。
F 未经书⾯授权,在公开场合、公共媒体等谈论、传播或发布客户⽹络中的任何数据和信息
正确答案:BCDEF
32.下列⾏为中,哪些属于产品安全违规⾏为:
A 在产品中预留任何隐藏功能
B 测试出的安全问题隐瞒不报
C 借⽤他⼈配置库账号登陆配置库、修改代码、⽂档
D 使⽤他⼈账号或⾮授权账号登陆设备进⾏操作
正确答案:ABCD
发布评论