密评从业人员考核参考题库 401 ~ 500

  本文是国家密码管理局于 2023 年 6 月 28 日发布的《商用密码应用安全性评估从业人员考核参考题库》第 401 至 500 题的题目和参考答案（答案来源于网上各路大神，非官方标准答案，仅供学习参考，敬请不吝指正）。

1. 根据《商用密码应用安全性测评机构管理办法（试行）》，如果商用密码应用安全性测评机构因单位股权、人员等情况发生变动，不符合商用密码应用安全性测评机构基本条件的，国家密码管理局将责令其限期整改。错误

• 测评机构有下列情形之一的，国家密码管理局应取消其商用密码应用安全性测评机构试点资格。（一）因单位股权、人员等情况发生变动，不符合商用密码应用安全性测评机构基本条件的

2. 根据《商用密码应用安全性测评机构管理办法（试行）》，某商用密码应用安全性测评机构故意泄露被测评单位工作秘密、重要信息系统数据信息，国家密码管理局应取消其商用密码应用安全性测评机构试点资格。正确

• 测评机构有下列情形之一的，国家密码管理局应取消其商用密码应用安全性测评机构试点资格。故意泄露被测评单位工作秘密、重要信息系统数据信息的；

3. 根据《商用密码应用安全性测评机构管理办法（试行）》，某商用密码应用安全性测评机构的测评人员未经允许擅自使用商用密码应用安全性评估工作中收集的数据信息，且情形特别严重，应将其从商用密码应用安全性测评人员名单中移除，并对其所在测评机构进行通报。正确

• 测评人员有下列行为之一的，责令测评机构督促其限期改正:情节严重的，责令测评机构暂停其参与测评工作；情形特别严重的，应在商用密码应用安全性测评人员名单中移除，并对其所在测评机构进行通报。（一）未经允许擅自使用或泄露、出售商用密码应用安全性评估工作中收集的数据信息、资料或测评报告的；

4. 根据《电子认证服务密码管理办法》，电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。正确

• 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供

5. 根据《电子认证服务密码管理办法》，申请《电子认证服务使用密码许可证》时，应向所在地的省、自治区、直辖市密码管理机构或者国家密码管理局提交的材料中不包括电子认证服务系统互联互通测试相关技术材料。错误

• 申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后，向所在地的省、自治区、直辖市密码管理机构提交下列材料：（一）《电子认证服务使用密码许可证申请表》；（二）企业法人营业执照或者企业名称预先核准通知书的复印件；（三）电子认证服务系统安全性审查相关技术材料，包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明；（四）电子认证服务系统互联互通测试相关技术材料；（五）电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件；（六）电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。

6. 《电子认证服务使用密码许可证》有效期为5年。正确

• 发证机关和发证日期。《电子认证服务使用密码许可证》有效期为5年。

7. 电子认证服务提供者终止电子认证服务的,原持有的《电子认证服务使用密码许可证》将在15个工作日内失效。错误

• 电子认证服务提供者终止电子认证服务或者《电子认证服务许可证》被吊销的，原持有的《电子认证服务使用密码许可证》自行失效。

8. 按照《商用密码进口许可清单》要求，进口清单所列物项和技术中，加密通信速率1GBps的VPN设备不属于应向商务部申请办理两用物项和技术进口许可证的密码产品。正确

• 加密通信速率 10GBps 以上

9. 根据《密码法》的有关规定，商务部、国家密码管理局、海关总署制定了《商用密码出口管制清单》。正确

• 商务部 国家密码管理局 海关总署公告2020年第63号 根据《中华人民共和国密码法》《中华人民共和国出口管制法》和《中华人民共和国海关法》的有关规定，为维护国家安全、社会公共利益，决定对有关商用密码（见附件1）实施进口许可和出口管制。

10. 《密码法》正式颁布时间为2019年10月26日。正确

• 密码法颁布时间：2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过 施行时间：2020年1月1日

11. 外国投资者可以基于自愿原则和商业规则在中国开展商用密码技术合作。正确

• 国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作

12. 商用密码技术审查鉴定的范围包括密码算法、密码协议、密钥管理机制等商用密码技术的内容。正确

• 国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术进行审查鉴定。

13. 如果某企业承诺适用自我声明公开的企业标准的技术要求，则其应该符合该标准。正确

• 《中华人民共和国密码法》释义：4.自我声明公开的效力 企业生产的产品和提供的服务应当符合企业自我声明公开标准提出的技术要求，不符合企业自我声明公开标准提出的技术要求的，应依法承担相应的责任。

14. 商用密码应用安全性评估属于商用密码认证活动。错误

• 本办法所称商用密码应用安全性评估，是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性等进行评估。

15. 申请商用密码检测机构资质应向国家密码管理部门提出。正确

• 申请商用密码检测机构资质，应当向国家密码管理部门提出书面申请

16. 申请商用密码认证机构资质应向国务院市场监督管理部门提出。正确

• 申请商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申请。

17. 使用商用密码检测机构出具的检测数据的单位，应对检测数据的真实性、准确性负责。错误

• 商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则，在批准范围内独立、公正、科学、诚信地开展商用密码检测，对出具的检测数据、结果负责

18. 国务院市场监督管理部门在审查商用密码认证机构资质申请时，可直接依据《认证认可条例》做出决定，无需征求国家密码管理部门的意见。错误

• 国务院市场监督管理部门在审查商用密码认证机构资质申请时，应当征求国家密码管理部门的意见

19. 商用密码检测机构、商用密码认证机构都应当具备与从事活动相适应的技术能力。正确

• 申请商用密码认证机构资质，应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外，还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。

20. 未经取得国家密码管理部门同意使用密码的证明文件，任何单位不得采用商用密码技术提供电子认证服务。正确

• 采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。

21. 采用商用密码技术从事电子政务电子认证服务的机构，应当经国务院市场监督管理部门认定，依法取得电子政务电子认证服务机构资质。错误

• 采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质

22. 取得电子政务电子认证服务机构资质，应当具有为政务活动提供年度电子政务电子认证服务的能

力。错误

• 具有为政务活动提供长期电子政务电子认证服务的能力

23. 负责国家电子认证信任源的规划和管理的是国家密码管理部门和国务院工业和信息化部门。错误

• 国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理，会同有关部门推动电子认证服务互信互认。

24. 是否涉及国家安全、社会公共利益是判定商用密码进口许可、出口管制的重要依据。正确

• 涉及国家安全、社会公共利益且具有加密保护功能的商用密码，列入商用密码进口许可清单，实施进口许可。涉及国家安全、社会公共利益或者中国承担国际义务的商用密码，列入商用密码出口管制清单，实施出口管制。

25. 国家支持商用密码在人工智能的模型、算法和数据保护中的规范应用。正确

• 国家支持网络产品和服务使用商用密码提升安全性，支持并规范商用密码在信息领域新技术、新业态、新模式中的应用

26. 根据《密码法》和《网络安全法》，某黑客为炫耀技术能力，非法侵入他人的密码保障系统，则有权对其进行行政处罚的部门是（ ）。B

    A. 密码管理部门

    B. 公安机关

    C. 网信部门

    D. 工信部们

• 《商用密码管理条例》：第五十九条　窃取他人加密保护的信息，非法侵入他人的商用密码保障系统，或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。《中华人民共和国网络安全法》：第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

27. 根据《密码法》和《网络安全法》，某黑客为炫耀技术能力，非法侵入他人的密码保障系统并受到治安管理处罚，则公安机关能够对其进行的行政处罚包括（ ）。D

    A. 使其终身不得从事网络运营关键岗位

    B. 使其二十年内不得从事网络运营关键岗位

    C. 使其十年内不得从事网络运营关键岗位

    D. 使其五年内不得从事网络运营关键岗位

• 《中华人民共和国网络安全法》：违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

28. 根据《标准化法》，关于商用密码标准体系，下列说法错误的是（ ）。B

    A. 商用密码国家标准可能有强制性标准和推荐性标准

    B. 商用密码行业标准可能有强制性标准和推荐性标准

    C. 商用密码团体标准由社会团体制定，只能是推荐性标准

    D. 商用密码企业标准由商用密码企业制定或企业联合制定

• 《标准化法》：标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准，行业标准、地方标准是推荐性标准。第十九条　企业可以根据需要自行制定企业标准，或者与其他企业联合制定企业标准。

29. 《国家政务信息化项目建设管理办法》适用的国家政务信息系统包括（ ）。D

    A. 国家重点业务信息系统

    B. 国家信息资源库

    C. 国家信息安全基础设施

    D. 以上都是

• 本办法适用的国家政务信息系统主要包括：国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施（数据中心、机房等）、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统。

30. 根据《国家政务信息化项目建设管理办法》，（ ）负责牵头编制国家政务信息化建设规划，对各部门审批的国家政务信息化项目进行备案管理。A

    A. 国家发展改革委

    B. 财政部

    C. 国务院办公厅

    D. 中央网信办

• 国家发展改革委负责牵头编制国家政务信息化建设规划

31. 根据《国家政务信息化项目建设管理办法》，可以直接编报项目可行性研究报告的项目是（ ）。B

    A. 党中央、国务院有明确要求的项目

    B. 已经纳入国家政务信息化建设规划的项目

    C. 涉及国家重大战略、国家安全等特殊原因的项目

    D. 前期工作深度达到规定要求的项目

• 感觉ABCD都对 对于已经纳入国家政务信息化建设规划的项目，可以直接编报可行性研究报告。对于党中央、国务院有明确要求，或者涉及国家重大战略、国家安全等特殊原因，情况紧急，且前期工作深度达到规定要求的项目，可以直接编报项目可行性研究报告、初步设计方案和投资概算。

32. 根据《国家政务信息化项目建设管理办法》，对于已经纳入国家政务信息化建设规划的项目，以下环节可以简化掉的是（ ）。A

    A. 编报项目建议书

    B. 编报可行性研究报告

    C. 编报初步设计方案

    D. 编报框架方案

• 国家发展改革委审批或者核报国务院审批的政务信息化项目，以及其他有关部门按照项目审批管理的政务信息化项目，原则上包括编报项目建议书、可行性研究报告、初步设计方案等环节。对于已经纳入国家政务信息化建设规划的项目，可以直接编报可行性研究报告。对于党中央、国务院有明确要求，或者涉及国家重大战略、国家安全等特殊原因，情况紧急，且前期工作深度达到规定要求的项目，可以直接编报项目可行性研究报告、初步设计方案和投资概算。

33. 根据《国家政务信息化项目建设管理办法》，有关部门自行审批新建、改建、扩建的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。其中改建、扩建项目还需提交前期项目（ ）。A

    A. 第三方后评价报告

    B. 密码应用安全性评估报告

    C. 第三方审计报告

    D. 安全风险评估报告

• 其中改建、扩建项目还需提交前期项目第三方后评价报告。

34. 按照《国家政务信息化项目建设管理办法》，以下有关国家政务信息化项目建设单位的规划和审批管理要求，错误的是（ ）。D

    A. 编制信息资源目录

    B. 建立信息共享长效机制

    C. 共享信息使用情况反馈机制

    D. 将数据仅向特定企业、社会组织开放

• 项目建设单位应当编制信息资源目录，建立信息共享长效机制和共享信息使用情况反馈机制，确保信息资源共享，不得将应当普遍共享的数据仅向特定企业、社会组织开放

35. 根据《国家政务信息化项目建设管理办法》，以下关于国家政务信息化项目建设过程中的信息资源共享的表述，错误的是（ ）。D

    A. 可行性研究报告、初步设计方案应当包括信息资源共享分析篇（章）

    B. 咨询评估单位的评估报告应当包括对信息资源共享分析篇（章）的评估意见

    C. 审批部门的批复文件或者上报国务院的请示文件应当包括对信息资源共享分析篇（章）的意见

    D. 项目建设单位可以将应当普遍共享的数据仅向特定企业、社会组织开放

• 项目建设单位应当编制信息资源目录，建立信息共享长效机制和共享信息使用情况反馈机制，确保信息资源共享，不得将应当普遍共享的数据仅向特定企业、社会组织开放

36. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行（ ）。B

    A. 网络安全保障系统

    B. 密码保障系统

    C. 技术保障系统

    D. 以上都是

• 项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

37. 按照《国家政务信息化项目建设管理办法》，下列不属于国家政务信息化项目验收的重要内容的是（ ）。D

    A. 项目软硬件产品的安全可靠情况

    B. 项目密码应用和安全审查情况

    C. 硬件设备和新建数据中心能源利用效率情况

    D. 项目定期安全评估情况

• 项目软硬件产品的安全可靠情况，项目密码应用和安全审查情况，以及硬件设备和新建数据中心能源利用效率情况是项目验收的重要内容。

38. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目建设单位在建设期内每年年底前向项目审批部门提交的项目绩效评价报告包括（ ）。D

    A. 建设进度

    B. 投资计划执行情况

    C. 已投入试运行系统的试运行效果及遇到的问题

    D. 以上都是

• 项目绩效评价报告主要包括建设进度和投资计划执行情况。对于已投入试运行的系统，还应当说明试运行效果及遇到的问题等。

39. 根据《国家政务信息化项目建设管理办法》，对于因开展需求分析、编制可行性研究报告和初步设计、购地、拆迁等确需提前安排投资的政务信息化项目，项目建设单位可以在项目可行性研究报告获批复（ ），向项目审批部门提出申请。B

    A. 前

    B. 后

    C. 同时

    D. 7个工作日内

• 项目建设单位可以在项目可行性研究报告获批复后，向项目审批部门提出申请。

40. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目建成后（ ）内，项目建设单位应当按照国家有关规定申请审批部门组织验收。C

    A. 一年

    B. 三个月

    C. 半年

    D. 九个月

• 国家政务信息化项目建成后半年内，项目建设单位应当按照国家有关规定申请审批部门组织验收

41. 根据《国家政务信息化项目建设管理办法》，项目建设单位应当在项目通过验收并投入运行后（

）内，依据国家政务信息化建设管理绩效评价有关要求，开展自评价，并将自评价报告报送项目审批部门和财政部门。A

**A. 12至24个月**

B. 6至12个月

C. 一年

D. 半年

• 项目建设单位应当在项目通过验收并投入运行后12至24个月内

42. 根据《国家政务信息化项目建设管理办法》，有关项目建设单位新建、改建、扩建政务信息系统的表述，错误的是（ ）。B

    A. 对于未按要求共享数据资源或者重复采集数据的政务信息系统，项目建设单位不得新建、改建、扩建政务信息系统

    B. 对于未纳入国家政务信息系统总目录的系统，项目建设单位不得新建、改建、扩建政务信息系统

    C. 对于不符合密码应用和网络安全要求的系统，项目建设单位不得新建、改建、扩建政务信息系统

    D. 对于存在重大安全隐患的政务信息系统，项目建设单位不得新建、改建、扩建政务信息系统

• （一）对于未按要求共享数据资源或者重复采集数据的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。（二）对于未纳入国家政务信息系统总目录的系统，不安排运行维护经费。（三）对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

43. 根据《国家政务信息化项目建设管理办法》网络安全监管部门应当依法加强对国家政务信息系统的安全监管，并指导监督项目建设单位落实（ ）。A

    A. 网络安全审查制度要求

    B. 网络安全监管要求

    C. 四同步要求

    D. 网络安全监测预警与信息通报要求

• 网络安全监管部门应当依法加强对国家政务信息系统的安全监管，并指导监督项目建设单位落实网络安全审查制度要求。

44. 《网络安全法》规定，网络运营者应当按照网络安全等级保护制度的要求，履行网络安全保护义务，对（ ）采取加密措施。C

    A. 所有数据

    B. 一般数据

    C. 重要数据

    D. 网络日志

• 第二十一条 （四）采取数据分类、重要数据备份和加密等措施；

45. 按照《网络安全法》的要求，关键信息基础设施的运营者应当（ ）对其网络的安全性和可能存在的风险开展检测评估。B

    A. 自行

    B. 自行或者委托网络安全服务机构

    C. 委托网络安全服务机构

    D. 自行并且委托网络安全服务机构

• 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估

46. 按照《网络安全法》的要求，关键信息基础设施的运营者应当对其网络的安全性和可能存在的风险（ ）检测评估。C

    A. 每三个月至少一次

    B. 每半年至少进行一次

    C. 每年至少进行一次

    D. 每两年至少一次

• 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，

47. 某市所属企业为国家政务系统提供运维服务，对其服务过程中产生的大量政务数据不采取加密措施，根据《数据安全法》，可对其实施的处置及处罚措施不包括（ ）。C

    A. 当地公安机关责令其限期整改

    B. 当地公安机关对其给予警告的处罚

    C. 若该单位拒不改正则当地公安机关可对其进行五百万元罚款

    D. 当地公安机关对其处以三十万元罚款

• 《中华人民共和国数据安全法》：第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

48. 某国家机关以明文形式传输大量重要数据，致使数据被黑客窃取后通过暗网在境外销售，按照《数据安全法》的内容，对此下列说法正确的是（ ）。D

    A. 有关主管部门有权对其进行警告

    B. 有关主管部门有权责令其整改

    C. 有关主管部门有权对其处以罚款

    D. 有关主管部门对直接负责的主管人员依法给予处分

49. 根据《个人信息保护法》规定，要求个人信息处理者使用密码保护（ ）。C

    A. 等保第三级以上网络

    B. 关键信息基础设施

    C. 个人信息

    D. 重要数据

• 《中华人民共和国个人信息保护法》：第九条　个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施。

50. 某科技信息公司存有大量个人信息，根据《个人信息保护法》要求，该公司应采取的保护措施，下列说法正确的是（ ）。D

    A. 制定内部管理制度

    B. 定期对从业人员进行安全教育和培训

    C. 采取相应的加密、去标识化等措施

    D. 以上都是

• 同上

51. 按照《个人信息保护法》，某市网约车企业以明文形式存有大量敏感个人信息，后个人信息被境外黑客获取进行售卖，情节严重，则对其进行的处罚，下列说法正确的是（ ）。C

    A. 因其认错态度较好且及时改正，公安机关仅对其进行警告

    B. 当地网信部门对其直接责任人员处以二百万元罚款

    C. 所属省级公安机关对其进行一千万元的罚款

    D. 当地网信部门对其进行三千万元的罚款

• 《中华人民共和国个人信息保护法》：第六十六条　违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

52. 按照《数据安全法》和《商用密码应用与安全性评估》的内容，关于使用密码技术保护数据和系统的做法正确的是（ ）。A

    A. 某科技有限公司在重要数据传输过程中使用商用密码技术进行加密传输

    B. 某科技公司在数据存储阶段使用MD5算法对重要数据进行加密

    C. 某关键信息基础设施运营者使用核心密码保护重要数据

    D. 某银行的重要数据使用核心密码进行加密保护

• 第七条　核心密码、普通密码用于保护国家秘密信息

53. 根据《关键信息基础设施安全保护条例》，（）对关键信息基础设施中的密码使用和管理进行监管。C

    A. 国家互联网信息办公室

    B. 海关总署

    C. 国家密码管理局

    D. 国家数据局

54. 《信息安全等级保护管理办法》规定，信息系统的安全保护等级分为（ ）级。C

    A. 三

    B. 四

    C. 五

    D. 六

55. 《信息安全等级保护管理办法》规定，信息系统受到破坏后，会对（ ）造成特别严重损害的，属于第五级。D

    A. 公民、法人和其他组织的合法权益

    B. 社会秩序

    C. 公共利益

    D. 国际安全

• 信息安全等级保护管理办法 第七条

56. 《信息安全等级保护管理办法》规定，（ ）对第四级信息系统信息安全等级保护工作进行强制监督、检查。B

    A. 国家网信部门

    B. 国家信息安全监管部门

    C. 国家密码管理部门

    D. 工业和信息化部

• 第八条 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

57. 《信息安全等级保护管理办法》规定，国家指定专门部门对第（ ）级信息系统信息安全等级保护工作进行专门监督、检查。C

    A. 三

    B. 四

    C. 五

    D. 六

• 第八条 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

58. 《信息安全等级保护管理办法》规定，对拟确定为第（ ）级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。C

    A. 二

    B. 三

    C. 四

    D. 五

• 第十条 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全等级保护专家评审委员会评审。

59. 《信息安全等级保护管理办法》规定，第三级信息系统应当（ ）至少进行一次等级测评。B

    A. 每半年

    B. 每年

    C. 每一年半

    D. 每两年

60. 《信息安全等级保护管理办法》规定，第四级信息系统应当（ ）至少进行一次等级测评。B

    A. 每三个月

    B. 每半年

    C. 每年

    D. 每一年半

61. 《信息安全等级保护管理办法》规定，第五级信息系统应当（ ）进行等级测评。D

    A. 每三个月

    B. 每半年

    C. 每年

    D. 依据特殊安全需求

• 第十四条 第五级信息系统应当依据特殊安全需求进行等级测评。

62. 《信息安全等级保护管理办法》规定，第三级信息系统应当（ ）至少进行一次自查。B

    A. 每半年

    B. 每年

    C. 每一年半

    D. 每两年

• 第十四条 第三级信息系统应当每年至少进行一次自查。

63. 《信息安全等级保护管理办法》规定，第四级信息系统应当（ ）至少进行一次自查。B

    A. 每三个月

    B. 每半年

    C. 每年

    D. 每一年半

• 第十四条 第四级信息系统应当每半年至少进行一次自查。

64. 《信息安全等级保护管理办法》规定，新建第二级以上信息系统，应当在投入运行后（ ）办理备案手续。C

    A. 10日内

    B. 20日内

    C. 30日内

    D. 60日内

• 第十五条 已运营（运行）或新建的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

65. 《信息安全等级保护管理办法》规定，信息系统备案后，对符合等级保护要求的，公安机关应当在收到备案材料之日起的（ ）内颁发信息系统安全等级保护备案证明。A

    A. 10个工作日内

    B. 20个工作日内

    C. 30个工作日内

    D. 60个工作日内

• 第十七条 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。

66. 《信息安全等级保护管理办法》规定，国家密码管理部门负责等级保护工作中有关（ ）的监督、检查、指导。B

    A. 等保工作

    B. 密码工作

    C. 保密工作

    D. 部门间协调工作

• 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

67. 根据《信息安全等级保护管理办法》规定，在等级保护工作中，采用密码对不涉及国家秘密的信息和信息系统进行保护的，其密码的配备使用情况应当（ ）。A

    A. 向国家密码管理机构备案

    B. 经国家密码管理机构审批

    C. 经国务院公安部门审批

    D. 向国务院公安部门备案

• 第三十六条 采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。

68. 《信息安全等级保护管理办法》规定，企业使用密码技术对信息系统进行系统等级保护建设和整改过程中，下列行为错误的是（ ）。C

    A. 采用经国家密码管理部门批准使用的密码产品进行安全保护

    B. 采用经国家密码管理部门准于销售的密码产品进行安全保护

    C. 采用国外引进的密码产品

    D. 经批准采用含有加密功能的进口信息技术产品

• 第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。

69. 《信息安全等级保护管理办法》规定，为节省成本，小企业不涉密信息系统中的密码应用的测评工作可以由（ ）进行测评。B

    A. 我国专业过硬的网络安全技术专家

    B. 国家密码管理局发布的密评试点机构

    C. 国家认可的不具有密评资质的等保测评机构

    D. 某个有专门技术团队的政府部门

70. 《信息安全等级保护管理办法》规定，（ ）可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评。D

    A. 省级密码管理部门

    B. 市级密码管理部门

    C. 县级密码管理部门

    D. 以上都对

• 第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

71. 根据《信息安全等级保护管理办法》规定，某企业有重要涉密信息系统，其密码配备、使用和管理情况，有关部门应（ ）至少进行一次检查和测评。A

    A. 每两年

    B. 每年

    C. 每六个月

    D. 每三个月

• 第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

72. 根据《中国禁止出口限制出口技术目录》，（ ）不属于我国限制出口的量子密码技术。D

    A. 量子密码实现方法

    B. 量子密码工程实现技术

    C. 量子密码的传输技术

    D. 量子密码的对抗技术

• 2.量子密码技术（量子密码实现方法、量子密码的传输技术、量子密码网络、量子密码工程实现技术）

73. 根据《中国禁止出口限制出口技术目录》，（ ）不属于我国限制出口的密码芯片设计和实现技术。B

    A. 高速密码算法

    B. 祖冲之序列密码算法

    C. 并行加密技术

    D. 密码芯片的安全设计技术

• 1.密码芯片设计和实现技术（高速密码算法、并行加密技术、密码芯片的安全设计技术、片上密码芯片（SOC）设计与实现技术、基于高速算法标准的高速芯片实现技术）

74. 根据《电子签名法》规定，从事电子认证服务，应当向（ ）提出申请。A

    A. 国务院信息产业主管部门

    B. 国务院公安部门

    C. 国家密码管理部门

    D. 国家市场监管总局

• 第十八条　从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。

75. 根据《电子签名法》规定，有关主管部门接到从事电子认证服务申请后经依法审查，征求（ ）等有关部门意见后，在一定期限内作出许可或者不予许可的决定。A

    A. 国务院商务主管部门

    B. 国家数据局

    C. 国家科技委员会

    D. 国家网信部门

• 同上

76. 按照《网络安全审查办法》的内容，某国家机关系被认定的关键信息基础设施运营者，其欲采购某款境外设计的商用密码产品，下列表述正确的是（ ）。ABC

    A. 该国家机关应当首先自行预判该商用密码产品是否可能产生国家安全风险

    B. 如果该国家机关认为使用该商用密码产品可能产生国家安全风险，应当申报网络安全审查

    C. 如果国家密码管理局认为使用该商用密码产品可能产生国家安全风险，网络安全审查办公室可以依职权对该国家机关启动网络安全审查

    D. 由于该国家机关采购的是境外设计的商用密码产品，故只能通过国家机关申请来启动网络安全审查，网络安全审查办公室无权自行启动网络安全审查

• 第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

77. 根据《网络安全审查办法》，申报商用密码国家安全审查，关键基础设施运营者应当提供的申报材料包括（ ）。ABCD

    A. 申报书

    B. 采购文件或协议

    C. 关于影响或者可能影响国家安全的分析报告

    D. 网络安全审查工作需要的其他材料

• 第八条　当事人申报网络安全审查，应当提交以下材料：（一）申报书；（二）关于影响或者可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；（四）网络安全审查工作需要的其他材料。

78. 国家密码管理局在日常检查中发现，某市一军工科研单位的系统已被列入关键信息基础设施，其在2022年采购了一批境外A公司生产的商用密码产品，但并未申报网络安全审查。国家密码管理局发现A公司具有从事网络间谍的前科，则下列表述正确的是（ ）。CD

    A. 国家密码管理局应当立即启动网络安全审查

    B. 国家密码管理局应当告知该军工科研单位自行申报网络安全审查

    C. 应当由网络安全审查办公室启动网络安全审查，国家密码管理局无权自行启动网络安全审查

    D. 网络安全审查办公室应当报请中央网络安全和信息化委员会批准，才能够启动网络安全审查

• 第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

79. 按照《网络安全审查办法》，网络安全审查办公室拟对某关键基础设施运营者采购商用密码产品开展网络安全审查工作，其应当重点评估的因素有（ ）。ABCD

    A. 该商用密码产品使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险

    B. 该商用密码产品供应中断对关键信息基础设施业务连续性的危害

    C. 该商用密码产品的安全性、开放性、透明性、来源的多样性

    D. 该商用密码产品提供者遵守我国法律、行政法规、部门规章情况

• 第十条　网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

80. 根据《网络安全审查办法》，针对某关键信息基础设施采购商用密码产品的活动，网络安全审查工作机制成员单位、相关部门无法形成是否存在国家安全风险的一致性意见，下列相关表述是正确的是（ ）。BCD

    A. 网络安全审查办公室应当作出允许采购的决定

    B. 网络安全审查办公室应当启动特别审查程序处理

    C. 网络安全审查办公室应当再次形成审查结论建议

    D. 再次形成的审查结论建议应当报请中央网络安全和信息化委员会批准

• 第十二条　网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按照特别审查程序处理，并通知当事人。第十三条　按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。

81. 对于在安全研究中发现的密码安全漏洞，在确定是否与境外安全社区共享时，应符合的法律法规和规定包括（ ）。ABCD

    A. 《密码法》

    B. 《出口管制法》

    C. 《网络产品安全漏洞管理规定》

    D. 《数据安全法》

• ABCD/AC

82. 根据《电子签名法》，当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。但下列文书除外的有（ ）。AB

    A. 涉及婚姻、收养、继承等人身关系的

    B. 涉及停止供水、供热、供气等公用事业服务的

    C. 涉及财产交易的民事合同

    D. 涉及房屋确权的单证文书

• 第三条　民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。前款规定不适用下列文书：（一）涉及婚姻、收养、继承等人身关系的；（二）涉及停止供水、供热、供气等公用事业服务的；（三）法律、行政法规规定的不适用电子文书的其他情形。

83. 按照《电子签名法》的内容，关于数据电文的发送、接收时间，下列说法正确的是（ ）。ABCD

    A. 数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间

    B. 收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间视为该数据电文的接收时间

    C. 未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间

    D. 当事人对数据电文的发送时间、接收时间另有约定的，从其约定

• 第十一条　数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间。收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间，视为该数据电文的接收时间；未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间。当事人对数据电文的发送时间、接收时间另有约定的，从其约定。

84. 根据《电子签名法》规定，数据电文需要被视为满足法律、法规规定的原件形式应符合的要求包括（ ）。ABCD

    A. 能够有效地表现所载内容

    B. 能够可靠地保证自最终形成时起，内容保持完整、未被更改

    C. 在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性

    D. 可供随时调取查用

• 第五条　符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：（一）能够有效地表现所载内容并可供随时调取查用；（二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。

85. 根据《电子签名法》规定，电子签名可以被视为可靠的电子签名，应当满足的条件包括（ ）。ABCD

    A. 电子签名制作数据用于电子签名时，属于电子签名人专有

    B. 签署时电子签名制作数据仅由电子签名人控制

    C. 签署后对电子签名的任何改动能够被发现

    D. 签署后对数据电文内容和形式的任何改动能够被发现

• 第十三条　电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。

86. 按照《电子签名法》，下列关于电子签名的表述正确的是（ ）。BCD

    A. 可靠的电子签名其法律效力仅次于手写签名或者盖章

    B. 电子签名人知悉电子签名制作数据可能已经失密时，应当终止使用该电子签名制作数据

    C. 只要符合双方约定，当事人也可自行选择使用电子签名

    D. 境外电子认证服务提供者在境外签发的电子签名认证证书与依据本法认证的电子签名认证证书具有同等法律效力

• 第三条　民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。第十四条　可靠的电子签名与手写签名或者盖章具有同等的法律效力。第十五条　电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。第二十六条　经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。

87. 根据《电子签名法》的规定，提供电子认证服务的主体应当具备的条件包括（ ）。ABCD

    A. 具有与提供电子认证服务相适应的专业技术人员和管理人员

    B. 具有与提供电子认证服务相适应的资金和经营场所

    C. 具有符合国家安全标准的技术和设备

    D. 具有国家密码管理机构同意使用密码的证明文件

• 第十七条　提供电子认证服务，应当具备下列条件：（一）取得企业法人资格；（二）具有与提供电子认证服务相适应的专业技术人员和管理人员；（三）具有与提供电子认证服务相适应的资金和经营场所；（四）具有符合国家安全标准的技术和设备；（五）具有国家密码管理机构同意使用密码的证明文件；（六）法律、行政法规规定的其他条件。

88. 根据《电子签名法》规定，电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明的内容包括（ ）。ABCD

    A. 电子认证服务提供者名称

    B. 证书持有人名称

    C. 证书持有人的电子签名验证数据

    D. 电子认证服务提供者的电子签名

• 第二十一条　电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。

89. 根据《电子签名法》规定，开展电子认证服务应当遵循的规范要求包括（ ）。ABCD

    A. 依法制定并公布电子认证业务规则

    B. 签发证书应查验申请人身份并对有关材料进行审查，确保所签发的证书准确无误，确保证书内容在有效期内完整、准确

    C. 暂停或者终止服务前应就业务承接及其他有关事项进行妥善安排

    D. 妥善保存与认证相关的信息

• 第十九条　电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。

  电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。第二十二条　电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。第二十三条　电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。第二十四条　电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年

90. 根据《网络安全法》，国家实行网络安全等级保护制度，网络运营者应当按照要求履行安全保护义务，除实施加密措施外，安全保护义务还包括（ ）。ABCD

    A. 确定网络安全负责人

    B. 采取防范网络攻击的技术措施

    C. 数据分类

    D. 重要数据备份

• 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。

91. A平台系大型网络电商平台，为更好地形成“用户画像”，要求对于用户交易数据不实行加密，后因受到第三方网络攻击而导致用户数据大规模泄露。针对这一情况，下列表述正确的是（ ）。BD

    A. 我国立法中没有明确规定，故不属于违法行为

    B. 违反《网络安全法》关于网络安全保护的规定

    C. 由于用户数据泄露系第三方网络攻击造成，故A平台不承担法律责任

    D. 对A平台及其直接负责的主管人员均应当处以罚款

92. 2017年，Wannacry病毒席卷全球，该款勒索软件通过加密受害者信息系统中的重要文件，强迫受害者支付赎金。我国能够用于规制该勒索行为的现行立法包括（ ）。ABCD

    A. 《密码法》

    B. 《网络安全法》

    C. 《刑法》

    D. 《治安管理处罚法》

93. 商用密码产品和服务提供者应当承担必要的产品和服务安全义务，下列行为会导致商用密码产品和服务提供者承担相应的法律责任的有（ ）。ABCD

    A. 设置恶意程序

    B. 对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施

    C. 未按照规定及时告知用户并向有关主管部门报告

    D. 擅自终止为其产品、服务提供安全维护

• 《中华人民共和国网络安全法》：第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：（一）设置恶意程序的；（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；（三）擅自终止为其产品、服务提供安全维护的。

94. 某漏洞平台擅自将挖掘的某款商用密码产品漏洞公布在自己的网站上，导致短时期内该款商用密码产品遭受到大量利用披露漏洞的攻击活动，针对这一行为，下列表述正确的是（ ）。BCD

    A. 该平台披露漏洞的行为无主观恶意，故不需要承担法律责任

    B. 不得在商用密码产品提供者提供漏洞修补措施之前发布漏洞信息

    C. 主管部门可责令该平台暂停相关业务

    D. 可对该平台的直接负责主管人员和其他直接责任人员处以罚款

95. 甲系一名商用密码产品的设计人员，受Wannacry事件启发，甲认为加密勒索是一项“来钱快”的生财之道，但自己又没有直接实施勒索的勇气，遂在网上兜售自己开发的加密勒索软件工具。针对这一事实，下列表述正确的是（ ）。BCD

    A. 甲没有直接实施勒索活动，故不构成网络违法犯罪行为

    B. 甲如果违法情节轻微，仅受到治安管理处罚，则五年内不得从事网络安全管理和网络运营关键岗位的工作

    C. 甲如果违法情节严重，受到刑事处罚，则终身不得从事网络安全管理和网络运营关键岗位的工作

    D. 甲如果违法情节轻微，尚不构成犯罪的，公安机关可以没收违法所得，处以拘留，可以并处罚款

• 《中华人民共和国网络安全法》第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

96. 我国涉及网络安全等级保护的法律法规和规范性文件包括（ ）。ABCD

    A. 《网络安全法》

    B. 《数据安全法》

    C. 《信息安全等级保护管理办法》

    D. 《信息安全等级保护商用密码管理办法》

• 涉及网络安全等级保护的主要法律法规和规范性文件在中国包括：《网络安全法》：这是中国网络安全的主要法律，其中明确了网络安全等级保护制度的存在和执行。《数据安全法》：这个法律涉及到数据的收集、存储、处理和传输等方面的安全问题，其中可能包括对网络安全等级保护的相关规定。《信息安全等级保护管理办法》：这个文件详细规定了网络安全等级保护制度的实施和管理方法。《信息安全等级保护商用密码管理办法》：这个文件规定了商用密码在信息安全等级保护中的使用和管理方法。

97. 《个人信息保护法》规定的个人信息处理者应当进行个人信息保护影响评估的情形包括（ ）。ABCD

    A. 向境外提供个人信息

    B. 利用个人信息进行自动化决策

    C. 委托第三方通过联邦计算等方式进行数据处理

    D. 借助差分隐私方法进行敏感个人信息处理

• 第五十五条　有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。

98. 按照《个人信息保护法》，以下关于个人信息处理者在发生数据泄露时应履行通知义务的说法正确的是（ ）。ABCD

    A. 发生个人信息泄露的，应通知履行个人信息保护职责的部门和个人

    B. 通知应包括事件发生的原因和可能造成的后果

    C. 个人信息处理者如采取了有效的加密措施，能够有效避免信息泄露、篡改、丢失造成危害 的，可以不通知个人

    D. 通知应包括个人信息处理者的联系方式和采取的补救措施

• 第五十七条　发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

99. 按照《个人信息保护法》，国家网信部门统筹协调有关部门推进的个人信息保护工作有（ ）。ABCD

    A. 制定个人信息保护各类具体规则、标准，如加密规范等

    B. 针对人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准

    C. 支持研发包括基于密码的安全电子身份认证技术，推进网络身份认证公共服务建设

    D. 推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务

100. 以下可能违反《个人信息保护法》的情况有（ ）。ABCD

**A. 电子书APP以明文形式存储用户身份证号信息**

**B. 出行类APP收集用户手机相册中的截图信息**

**C. 电商类APP收集用户应用列表信息**

**D. 天气类APP收集用户设备的精准位置（经纬度）信息**