CDGA 练习题 - 第7章 数据安全

1、下列哪项不是一个有影响力的数据专员的特征？ (知识点: 第七章 数据安全)
A.在各种数据管理规则和工具方面经验丰富的技术专家
B.他/她与数据所有者合作，以保护和增强他/她控制下的数据资产
C.他/她在整个组织内与数据相关方和其他人写作，识别数据问题
D.他/她是一个有效的沟通者
答案 : A
2、信息机密程度非常高，任何信息访问者都必须签署一份法律协议才能访问数据，并承担保密责任。

这种机密分类级别属于：(知识点: 第七章 数据安全)
A.仅限内部使用
B.机密
C.受限机密
D.绝密
答案 : D
解析 : DMBOK2第七章7.1.3-12
3、请从下列选项中选择不属于数据安全工具的选项：(知识点: 第七章 数据安全)
A.访问控制系统
B.身份管理软件
C.入侵检测或入侵防御软件
D.元数据管理软件
答案 : D
4、数据安全需求和活动分为4个方面，即4A。

这4A包括： (知识点: 第七章 数据安全)
A.访问（Access）、审计（Audit）、验证（Authentication）和授权（Authorization）
B.收集（Acquisition）、访问（Access）、可用性（Availability）、分析（Analysis）
C.认证（Authenticatone）、授权（Authorization）、账号（Account）、审计（Audit）
D.认证（Authenticatone）、授权（Authorization）、账号（Account）、审计（Audit）
答案 : A
解析 : DMBOK2第七章7.1.3-6
5、请从下列选项中选择不正确的数据安全活动： (知识点: 第七章 数据安全)
A.识别数据安全需求
B.制定数据安全制度和细则
C.实施控制和规程
D.制定数据安全绩效指标
答案 : D
6、“最小权限”是指： (知识点: 第七章 数据安全)
A.最大限度限制用户的读写操作权限
B.仅允许用户、进程或程序访问其合法目的所允许的信息
C.拥有超级权限的有效UID
D.未经许可，用户只能在系统内查看最少的数据和执行最小范围的操作
答案 : B
7、以下哪项不是变更数据捕获的技术？ (知识点: 第七章 数据安全)
A.源系统填充特定的数据元素，如时间戳、代码、标记、指示符，提取过程使用规则来标识要提取的行。

B.源系统在变更数据时，添加简单的对象和标识符列表，然后控制数据的选择以用于提取。

C.源系统对已变更复制的数据作为事务的一部分进行单独对象处理，然后将其用于提取处理，该对象不需要存储在数据库中。

D.数据通过时间计划较小粒度的集合处理，或者以事件触发的形式处理数据，如数据更新。

答案 : D
8、组织本身或从外部安全公司聘任的专业人员试图从外部侵入系统，试图识别系统漏洞，这是一种： (知识点: 第七章 数据安全)
A.网络黑客攻击
B.灰盒测试
C.渗透测试
D.模糊测试
答案 : C
解析 : DMBOK2第七章7.1.3-9
9、单点登录系统属于： (知识点: 第七章 数据安全)
A.身份管理技术
B.中央凭据存储库
C.IPS
D.单一账户共享密码系统
答案 : A
解析 : DMBOK2——176页第七章7.3.3
10、关于HTTPS，以下说法错误的是：(知识点: 第七章 数据安全)
A.HTTPS在HTTP的基础上加入SSL，是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性
B.使用HTTPS协议可以认证用户和服务器，确保数据发送到正确的客户机和服务器，因此，是安全的，能够有效防御黑客攻击、拒绝服务攻击和服务器劫持等
C.如果Web 地址以https://开头，则表示网站配备了加密的安全层
D.相同网络环境下，HTTPS协议会增加时延和能耗，还会影响缓存、增加数据开销和功耗
答案 : B
解析 : DMBOK2第七章7.3.2
11、某企业将部分IT运营业务外包，以下说法哪项是正确的： (知识点: 第七章 数据安全)
A.任何形式的外包都增加组织风险，包括失去对技术环境、对组织数据使用方的控制
B.在外包信息技术业务中，维护数据的责任仍在组织方
C.数据安全措施和流程必须将外包供应商的风险既视为外部风险，又视为内部风险
D.以上选项都正确
答案 : D
解析 : DMBOK2第七章7.5.4
12、以下加密算法属于非对称加密算法的是： (知识点: 第七章 数据安全)
A.RSA加密算法
B.3DES三重DES
C.AES高级加密标准
D.IDEA国际数据加密算法
答案 : A
解析 : DMBOK2第七章7.1.3-8
13、关于哈希加密，以下说法错误的是： (知识点: 第七章 数据安全)
A.哈希将任意长度数据转换为固定长度数据表示
B.即使知道所使用的确切算法和应用顺序，也无法解密出原始数据
C.通常哈希用于对传送完整性或身份的验证
D.常见的哈希算法有MD5和DSA
答案 : D
解析 : DMBOK2第七章7.1.3-8：常见的哈希算法有DM5和
14、以下哪项不是时延类型？ (知识点: 第七章 数据安全)
A.批量
B.近实时和事件驱动
C.低延时和流媒体
D.复制
答案 : D
15、在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性的数据元素，这种脱敏方法称为：(知识点: 第七章 数据安全)
A.替换（Substitution）
B.混排（Shuffling）
C.时空变异（Temporal Variance）
D.随机选择（Randomization）
答案 : B
解析 : DMBOK2第七章7.1.3-9
16、关于数据安全需求来源中的政府法规，以下描述正确的是：(知识点: 第七章 数据安全)
A.政府法规制定的目的是为了更好地向特定人群提供数据访问权。

B.政府法规制定的目的是为了限制信息访问。

C.有些政府法规制定的目的是为了限制信息访问，有些政府法规制定的目的是为了明确公开、透明或问责。

D.以上选项都不正确
答案 : C
17、审计数据安全和合规活动中，以下说法错误的是： (知识点: 第七章 数据安全)
D.审计是客观地评估管理是否达到目标的支持过程
答案 : B
解析 : DMBOK2第七章7.2.5
18、请选择关于数据安全需求来源描述正确的选项：(知识点: 第七章 数据安全)
A.利益相关方，应识别利益相关方的隐私和保密需求，包括客户、病人、学生、公民、供应商或商业合作伙伴等
B.政府法规，政府法规制定的出发点是保护利益相关方的利益
C.特定业务关注点，每个组织特有需要保护的数据
D.以上选项都正确
答案 : D
19、无附加价值的信息通常也不会被删除，因为： (知识点: 第七章 数据安全)
A.它不应该被移除，所有数据都是有价值的
B.我们可能在以后的某个阶段需要这些信息
C.规程中不明确是否应该保留
D.数据是一种资产，它很可能在未来被认为是有价值的
答案 : A
20、下列选项中属于生物特征识别方法的是： (知识点: 第七章 数据安全)
A.用户ID和密码组合
B.询问和核对用户的个人隐私信息
C.使用系统定制的、在本系统专用的IC卡进行识别
D.通过识别用户的脸部信息来鉴别
答案 : D
解析 : DMBOK2第七章7.1.3-11
21、请选择关于数据安全业务驱动因素描述正确的选项： (知识点: 第七章 数据安全)
A.降低风险
B.业务增长
C.提高竞争力
D.以上选项都正确
答案 : D
22、数据安全活动目标，不包括以下哪项：(知识点: 第七章 数据安全)
A.支持适当访问并防止对企业数据资产的不当访问
B.支持对隐私、保护和保密制度、法规的遵从
C.防御网络攻击和防范数据泄漏、惩罚网络犯罪
D.确保满足利益相关方对隐私和保密的要求
答案 : C
解析 : DMBOK2第七章7.1.2-1
23、在数据安全制约因素中，各国政府会对指定元素进行特定的保护，下列哪项不属于上述描述之一？ (知识点: 第七章 数据安全)
A.个人身份信息（PII）
B.电子邮箱信息
C.个人健康信息
D.教育记录
答案 : B
解析 : P178-179.监管限制的数据
24、组织应基于自己的业务和法规要求制定数据安全制度，管理与企业安全相关的行为需要不同级别的制度，下列哪项不属于这些安全制度？ (知识点: 第七章 数据安全)
A.员工访问设施的部分策略
B.密码策略
C.数据库角色
D.用户组和信息敏感性的类别
答案 : A
解析 : P186.制定数据安全制度
25、以下不属于系统安全风险评估的是？ (知识点: 第七章 数据安全)
A.存储或传送的数据敏感性
B.保护数据的要求
C.现有的安全保护措施
D.用户信息的保密性
答案 : D
解析 : P189.评估当前安全风险
26、以下关于静态数据脱敏，说法正确的是？ (知识点: 第七章 数据安全)
A.在数据源和目标相同时，使用不落地脱敏
B.静态数据脱敏可以逆转更改数据
C.当目标环境移动需要脱敏时，采用落地脱敏
D.部分数据在脱敏过程中遇到问题，可重新运行脱敏过程
答案 : D
解析 : P173页.静态数据脱敏
27、为了保证数据的安全性，我们在实践中有很多种做法，下列哪个做法不能保证数据的安全？ (知识点: 第七章 数据安全)
A.将数据混淆或脱敏
B.删除不应出现在测试系统中的数据
C.在供应商发票中混排供应商名称
D.将机密文件夹设置为隐藏
答案 : D
解析 : P172-173.混淆或脱敏
28、数据安全活动包括确定需求环节，在这个环节中，区分不同内容规则很重要，以下不属于需要优先关注的规则内容是（）(知识点: 第七章 数据安全)
A.业务需求
B.外部监管限制
C.系统软件产品
D.应用软件产品
答案 : C
解析 : P185
29、数据安全策略的实施和管理主要由安全管理员负责，组织必须实施适当的控制和规程，以下哪项不属于控制和规程应涵盖的内容？ (知识点: 第七章 数据安全)
A.数据管理专员负责评估和确定适当的数据密级
B.根据组织的需求制定数据安全方案而不是根据法规的要求分类
C.管理和维护数据安全
D.确保遵循制度并有效维护控制的日常活动
答案 : B
解析 : P189-190.实施控制和规程
30、下面（）不属于数据安全活动的是 (知识点: 第七章 数据安全)
A.保密等级分类是重要的元数据特征，用于指导用户如何获得权限
B.安全分级和监管分类对数据安全至关重要
C.审计数据安全和合规活动
D.外包世界中的数据安全
答案 : D
解析 : P184-P192
31、当管理一家企业时，我们必须明确企业的组织管理目标，下列说法不符合数据安全的是？ (知识点: 第七章 数据安全)
A.理解客户的信息需求得到满足
B.确保客户的数据隐私和保密性
C.未经授权可以访问信息和数据
D.确保数据和信息的质量
答案 : C
解析 : P2.组织管理数据的目标
32、在不更改基础数据的情况下 ，在最终用户或系统中改变数据的外观 ， 是哪种脱敏方法？ (知识点: 第七章 数据安全)
A.动态数据脱敏
B.不落地脱敏
C.落地脱敏
D.都不对
答案 : A
33、以下哪个选项属于漏洞敞口？ (知识点: 第七章 数据安全)
A.给电脑加密
B.从官网下载正规的软件
C.在QQ音乐里听歌
D.收到未知发件人的电子邮件
答案 : D
解析 : P169页.脆弱性
34、数据安全细则是对数据安全制度的补充，对制度如何实施做了详细的规定，下列哪项不属于数据安全细则的范畴？ (知识点: 第七章 数据安全)
A.定义数据保密等级
B.定义数据监管类别
C.对用户身份数据和角色组成员身份集中管理
D.定义数据安全风险
答案 : D
解析 : P187-188.定义数据安全细则
35、管理与企业安全相关的行为不需要以下哪项制度？ (知识点: 第七章 数据安全)
A.企业安全制度
B.IT安全制度
C.网络安全制度
D.数据安全制度
答案 : C
解析 : P186页.制定数据安全制度
36、组织数据安全往往要遵循多种指导原则，下列哪项描述是遵守指导原则的行为？ (知识点: 第七章 数据安全)
A.数据安全是一项企业层面的工作，由总经办负责即可
B.必须有非常明确的角色和职责界定RACI
C.数据安全管理基于被动触发和主动发现
D.数据安全工作要避免外部团队的介入
答案 : B
解析 : P169.组织数据安全遵循的原则
37、在数据安全的活动中，首先应当解决的就是识别数据安全的需求，下列哪项不是安全需求之一？ (知识点: 第七章 数据安全)
A.全面了解组织的业务需求
B.通过分析业务规则和流程，确定安全接触点
C.充分了解组织所在地对数据的法律法规限制
D.系统软件对数据安全的要求低于业务需求的安全要求
答案 : D
解析 : P185.识别数据安全需求
38、数据安全不仅涉及防止不当访问，也涉及对数据的适当访问，下列理解不正确的是（） (知识点: 第七章 数据安全)
A.强密码，有助于提高破解风险
B.安全专家建议45-180天修改一次密码
C.用户要尽量使用多套密码和账户
D.具有高度敏感信息权限的用户都应使用双重因素识别技术登录网络
答案 : A
解析 : P176-P177【数据安全类型】
39、下列描述的情境中，会带来系统安全风险的是哪项？ (知识点: 第七章 数据安全)
A.在授予数据访问权限时，采用了最小特权原则
B.医护人员经特别授权查看患者的病例
C.金融机构的软件开发人员获得数据库的管理权限
答案 : C
解析 : P179-182.系统安全风险
40、关于数据安全需求的来源，以下说法正确的是？ (知识点: 第七章 数据安全)
A.数据安全可以适当繁重
B.政府法规制定的出发点是保护利益相关方的利益
C.合同对数据安全没有影响
D.组织在保护数据安全的同时无需启用合法访问
答案 : B
解析 : P165页.
41、关于数据安全的监管要求法规清单，不包括（） (知识点: 第七章 数据安全)
A.组织应该创建一份完成的清单，包含所有相关数据法规
B.清单应该包括所影响的数据流
C.相关安全策略链接
D.控制措施
答案 : B
解析 : P185 【表7-1法规清单实例表】
42、以下不属于安全意识指标的是？ (知识点: 第七章 数据安全)
A.记录在案的，可访问的的安全标准
B.风险评估结果
C.正式的反馈调查和访谈
D.补丁有效性审计
答案 : A
解析 : P200.安全意识指标
43、以下哪个不属于数据安全需求和过程？ (知识点: 第七章 数据安全)
A.访问（Access）
B.授权（Authorization）
C.操作(Action）
D.验证（Authentication）
答案 : C
解析 : P171页.安全过程
44、下列哪种方式不能让组织提高合规性？ (知识点: 第七章 数据安全)
A.制度的一致性
B.衡量安全性的收益
C.持续沟通
D.减轻压迫感
答案 : D
解析 : P196.就绪评估/风险评估
45、关于数据安全与企业架构中，安全架构没有涉及的是？ (知识点: 第七章 数据安全)
A.数据加密标准和机制
B.安全操作、物理安全和场所保护统计信息
C.安全漏洞事件报告规程
D.通过互联网的数据传输协议
答案 : B
解析 : P198.数据安全和企业架构
46、关于数据安全的类型，我们在实践中需要考虑的有很多，下列所述不符合数据安全描述的是哪项？ (知识点: 第七章 数据安全)
A.确保员工拥有保护设施数据的工具和接受相关培训
B.不鼓励使用包含系统员ID号的电子邮件或网络ID
C.通过社交媒体传输信息并不是数据安全潜在的漏洞
D.建议用户每隔45-180天应当更改一次密码
答案 : C
解析 : P176.数据安全的类型
47、以下不属于风险分类的是？ (知识点: 第七章 数据安全)
A.低风险数据
B.关键风险数据
C.中等风险数据
D.高风险数据
答案 : A
解析 : P170页.风险分类
48、以下哪种脱敏方法是错误的？ (知识点: 第七章 数据安全)
D.键值脱敏
答案 : B
解析 : P174页.脱敏方法
49、以下（）属于倒数第二高机密 (知识点: 第七章 数据安全)
A.内部使用
B.注册机密
C.绝密
D.受限机密
答案 : D
解析 : P178【机密数据】
50、虽然数据安全的详细情况因行业和国家有所不同，但是数据安全实践的目标是相同的，对于数据安全需求的来源有多个方面，关于这些需求的来源描述不正确的是？ (知识点: 第七章 数据安全)
A.客户信息的隐私和保密
B.法规可能会限制获取某些信息
C.研究及其他知识产权
D.所有的业务访问需求
答案 : D
解析 : P166.数据安全需求的来源
51、下列不属于管理法规遵从性的是？ (知识点: 第七章 数据安全)
A.衡量授权细则和程序的合规性
B.确保所有数据需求都是可衡量的
C.发现潜在不合规问题以及存在违反法规遵从性时，自行处理
D.使用标准工具和流程保护存储和运行中的受监管数据
答案 : C
解析 : P192.管理法规遵从性
52、近年来，安全漏洞的负面影响对知名品牌造成了巨大经济损失和客户信任度的下降，对信息和数据进行安全管理成为重中之重，因此我们要先对数据进行分类以便识别需要保护的数据，下列步骤描述错误的是？ (知识点: 第七章 数据安全)
A.识别敏感数据资产并分类分级
B.在企业中查找敏感数据
C.对所有数据进行覆盖式的安全措施
D.识别信息与业务流程的交互
答案 : C
解析 : P167.对数据进行分类分级的步骤
53、数据加密的方法 包括？ (知识点: 第七章 数据安全)
A.哈希
B.对称加密
C.非对称加密
D.以上都是
答案 : D
54、抵御恶意行为人员的第一道防线是（）(知识点: 第七章 数据安全)
A.设备安全
B.凭证安全
C.设施安全
D.电子通信安全
答案 : C
解析 : P176 【设施安全】
55、数据安全活动的主要驱动因素，以下说法错误的是？ (知识点: 第七章 数据安全)
A.组织可能因不遵守法规而被罚款
B.数据安全最好在企业级层面开展
C.主数据是管理敏感数据的方法
D.强大的信息安全能够推动交易进行并建立客户的信心
答案 : C
解析 : P166-168页.业务驱动因素
56、管理信息安全不取决于（） (知识点: 第七章 数据安全)
A.组织规模
B.网络架构
C.应用平台
D.要保护的数据类型
答案 : C
解析 : P194【方法】
57、下列关于安全风险描述不正确的是（）(知识点: 第七章 数据安全)
A.关键风险数据会导致公司遭受重大处罚，增加挽留客户和员工的成本
B.低风险的数据会对公司荣誉受损
C.高风险的数据会导致法律风险
D.中风险的数据会对公司产生负面影响 答案 : B
解析 : P170【风险分类】。