【1】密评法规+标准（单选02） 解析

这道题的答案是 A. 国家密码管理局。

📝 题目解析与知识点拆解

这道题考察的是商用密码进出口管理的职能分工。

1. 核心逻辑（双部门审批制）：

   • 商用密码的进出口涉及国家安全，因此不是商务部一家说了算，必须由行业主管部门配合审查。
   • 商务部：负责贸易行政管理，统一接收申请，颁发许可证。
   • 国家密码管理局：负责技术审查和安全评估（懂行的人）。

2. 为什么不选其他选项？

   • B. 海关：海关是执行部门。他们的职责是看到你手里有商务部发的许可证，才给你放行（验核证件），而不是审批发证。
   • C. 网信办：主要负责网络内容和数据安全，不负责具体的密码产品进出口许可。
   • D. 保密局：负责“国家秘密”（核心密码、普通密码），而这道题问的是“商用密码”。

🧠 放入你的 XMind 知识图谱

建议将这个知识点录入到你刚刚建立的 【分支 1：法律法规与政策】 中：

• 根节点：商用密码评估工程师
  • 分支 1：法律法规与政策
    • 1.2 行政法规与管理
      • 进出口管理
        • 许可清单制度：大众消费类产品不需要许可（这是一个常见考点）。
        • 审批部门：商务部（牵头/发证） + 国家密码管理局（会同审查）。 ✅ (本题考点放这里)
        • 监管/执法部门：海关（凭证放行）。

💡 记忆口诀

商务部收单发证，密码局懂行审查，海关门口看证放人。

以下是第2题到第10题的答案及详细解析。我已为你标记好它们在 XMind 知识图谱 中的归属位置，方便你直接填入。

🔑 参考答案与解析

2. 答案：C. 128位以上

• 解析： 考查《商用密码进口许可清单》的技术参数。
  • 在2020年发布的清单中，针对“加密传真机”，如果其采用的基于椭圆曲线（ECC）的非对称密码算法密钥长度超过 128位，就需要申请进口许可。
  • 注：虽然国密SM2标准推荐256位，但在进出口管制中，为了覆盖更多受控产品，门槛往往设定得比最高安全标准低一些（即只要超过128位就算比较强了，要管起来）。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 进出口管理 -> 进口许可清单参数 -> 传真机(ECC>128位)。

3. 答案：B. 10000

• 解析： 考查《商用密码出口管制清单》的技术参数。
  • 对于“密钥管理产品”（服务端设备），管制红线之一是管理对象的规模。支持管理对象数量在 10,000（一万） 以上的，属于高性能产品，出口受控。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 进出口管理 -> 出口管制清单参数 -> 密钥管理产品(>1万对象)。

4. 答案：A. 10Gbps

• 解析： 考查《商用密码出口管制清单》的技术参数。
  • 对于高性能的VPN设备（IPSec/SSL VPN），如果加密通信速率大于 10Gbps，说明属于电信级或大型企业级设备，出口受限。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 进出口管理 -> 出口管制清单参数 -> VPN设备(>10Gbps)。

5. 答案：D. 《中华人民共和国保守国家秘密法》

• 解析： 考查法律适用范围（非常经典的排他题）。
  • 商用密码的核心定义就是：用于保护不属于国家秘密的信息。
  • 《保守国家秘密法》是管核心密码和普通密码的，跟商用密码的进出口清单制定没有直接法律依据关系。
  • 前三项（密码法、出口管制法、海关法）都是制定该清单的直接上位法。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 法律边界 -> 商密不管国家秘密。

6. 答案：A. 书面审查和现场核查相结合

• 解析： 考查行政监管方式。
  • 根据《电子认证服务密码管理办法》，监管部门不会只看材料（容易造假），也不会每次都跑现场（效率低）。“书面+现场”结合是所有行政监管的标准答案。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 电子认证服务 -> 监管方式。

7. 答案：C. SSL VPN 网关

• 解析： 考查密码设备的应用场景（网络通信层）。
  • 场景：平台与机构之间（系统对系统，Site-to-Site或端对网）。
  • 需求：安全通信保护（链路加密）。
  • 选项分析：
    • Ukey/动态口令卡：用于身份鉴别（证明你是谁），不是建立加密通道的。
    • 验签服务器：用于抗抵赖（验证签名），不负责传输加密。
    • SSL VPN网关：专门建立加密隧道，保护传输数据的机密性和完整性。
• 📥 放入图谱： 分支4: 密码产品 -> 4.1 典型设备 -> 网络通信类 -> VPN网关(链路加密)。

8. 答案：D. 智能密码钥匙

• 解析： 考查高安全等级的身份鉴别。
  • 场景：政务云管理（高风险操作）。
  • 需求：通过安全浏览器登录。
  • 选项分析：
    • GB/T 39786 第三级以上要求身份鉴别必须是双因子（口令+X）。
    • 在政务和军工体系中，“安全浏览器”通常配合硬件**USB Key（智能密码钥匙）**使用，里面存储了数字证书，用于基于数字证书的强身份认证。口令、短信都属于较弱的方式。
• 📥 放入图谱： 分支4: 密码产品 -> 4.1 典型设备 -> 端侧设备 -> 智能密码钥匙(高强度鉴别)。

9. 答案：D. 用户名+口令

• 解析： 考查密码学中的“实体鉴别”概念。
  • 题目问的是“不能实现”的情况。
  • A/B/C（预共享密钥、证书、公钥）：都属于基于密码技术的鉴别机制。它们能通过数学运算，将“实体身份”和“鉴别数据”强绑定。
  • D（用户名+口令）：这是传统的鉴别方式，不属于密码技术鉴别（在密评标准中，仅有口令通常被判定为不符合“采用密码技术进行身份鉴别”的高分项要求，除非口令经过了特殊的密码协议处理，但通常口令被视为弱鉴别）。
• 📥 放入图谱： 分支2: 密码技术 -> 鉴别机制 -> 弱鉴别(口令) vs 强鉴别(基于密钥/证书)。

10. 答案：A. 服务器密码机

• 解析： 考查服务端核心密码设备的功能。
  • 场景：数据库加密、计算MAC（消息认证码）、签名。
  • 选项分析：
    • 服务器密码机：高性能、通用的密码运算设备，专门干这些杂活（加密、杂凑、签名）。
    • 电子签章系统：主要是给公文盖章的（视觉+签名），不负责数据库加密。
    • 证书认证系统（CA）：发证的。
    • 时间戳服务器：证明时间的。
• 📥 放入图谱： 分支4: 密码产品 -> 4.1 典型设备 -> 服务端设备 -> 服务器密码机(通用运算/数据库加密)。

🚀 学习建议：如何整理参数类题目？

第 2、3、4 题属于典型的**“参数记忆题”**。这类题在5000题库中大概有几百道。
建议你在 XMind 的 分支1: 政策法规 下专门开一个子节点叫 【关键数字速查】，把这些数字集中在一起背诵：

• 10 Gbps：VPN出口管制红线。
• 10,000 个：密钥管理产品出口管制红线。
• 128 位：传真机/电话机 ECC 进口许可红线。
• 500 元：电子支付限额（某些旧规，注意鉴别）。
• 1 万 - 10 万：某些轻微违法的罚款区间。

这样考前扫一眼，这几分就稳拿了。

以下是第11题到第20题的答案及详细解析，并附带了 XMind 归类建议。

🔑 参考答案与解析

11. 答案：C

• 解析： 这是一道极高水平的技术实务题，全面考察了你对国密算法应用细节的掌握。
  • A 错误（SM2双证书机制）： SM2协议中，密钥协商应当使用加密证书（用于交换会话密钥），而不是签名证书（用于身份认证）。如果用签名证书协商密钥，破坏了密钥用途隔离原则。
  • B 错误（HMAC机制）： 仅计算杂凑值（Hash）附在后面，如果攻击者截获了日志，修改日志内容并重新计算Hash值替换，接收方是无法发现的。必须使用HMAC（带密钥的杂凑）或者数字签名才能真正保护完整性。
  • C 正确（SM4-CTR模式）： CTR模式的核心要求是计数器（Counter）必须唯一。时间戳+不重复的随机串拼接，可以保证计数器不重复，从而保证流密钥不重复，这是安全的做法。
  • D 错误（SM4-ECB模式）： ECB模式会将相同的明文加密成相同的密文。性别只有“男/女”，如果用ECB加密，数据库里只会有两种密文，攻击者一看就知道谁和谁性别一样，甚至通过频率分析破解。ECB模式严禁用于低熵数据加密。
• 📥 放入图谱： 分支2: 密码技术 -> 2.1 国密算法 -> SM4 -> 模式安全(ECB不安全/CTR需唯一)。

12. 答案：C

✅ 为什么选 C？（核心逻辑：企业自主权 + 商业秘密保护）

1. 企业自主权：根据国家标准化改革精神（企业标准自我声明公开制度），企业在执行标准时，对于公开哪些具体的性能指标、功能类别，拥有一定的自主裁量权。只要这些指标不低于国家强制性标准即可。
2. 核心底线：私钥是密码系统的核心秘密，一旦公开，密码系统就废了。无论什么标准要求公开，私钥绝对不能公开。这不仅符合常识，也是法律底线。
3. 结合点：选项 C 既提到了企业的自主确定权，又强调了不公开私钥的合理性，是表述最严谨、最符合逻辑的。

❌ 为什么 A、B、D 是错的？

• A 错误：“不需要公开相应标准编号” 是错的。
  • 如果你声明执行某个团体标准，你必须告诉公众你执行的是哪一个（即标准编号）。如果不公开编号，消费者怎么知道你合规依据是什么？
• B 错误：“只需要公开标准名称” 是错的。
  • 根据《标准化法》和商用密码管理要求，企业执行企业标准的，应当公开产品的功能指标和性能指标。光说个名字（比如“甲公司加密标准”）是没用的，必须把具体指标亮出来接受监督。
• D 错误：“应当公开……设计细节” 是错的。
  • 产品的设计细节（如源代码、具体电路设计）通常属于企业的商业秘密和核心知识产权。法律只要求公开“功能和性能指标”（能干嘛、有多快），绝不会强制要求公开“设计细节”（怎么实现的）。

📥 知识图谱修正建议

请在你的 XMind 分支1: 政策法规 -> 1.2 行政法规 -> 标准化 节点下，添加以下修正后的考点：

• 企业标准自我声明公开制度：
  • 必须公开：执行标准的编号、名称、以及产品的功能/性能指标。
  • 严禁公开：私钥、设计细节（商业秘密）。
  • 权限：指标类别由企业自主确定（但不得低于强制性国标）。

13. 答案：D. 测评机构

• 解析： 送分题。系统测评工作当然由测评机构承担。公安负责监管，咨询负责出主意，集成负责干活。
• 📥 放入图谱： 分支3: 密评标准体系 -> 角色分工 -> 测评机构(实施测评)。

14. 答案：C. 功能标准符合性检测

• 解析： 考查商密产品检测的分类。
  • 产品检测主要看两点：1. 功能对不对（能不能加密，能不能签名）；2. 安全够不够（会不会被破解）。
  • 所以框架是：安全等级符合性 + 功能标准符合性。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 检测框架。

15. 答案：B. 错误

• 解析： 考查测评依据的完备性。
  • GB/T 39786 是基本要求（最核心的），但绝不是“唯一”依据。
  • 测评还需要依据：《商用密码应用安全性评估管理办法》、GM/T 0115《信息系统密码应用测评过程指南》、相关的行业标准（如金融、电力行业标准）以及系统的安全需求分析报告。
• 📥 放入图谱： 分支3: 密评标准体系 -> 测评依据 -> GB/T 39786 + 过程指南 + 行业标准。

16. 答案：C. 商用密码

• 解析： 考查商用密码的应用范围。
  • 虽然这些系统（金融、二代证、社保）听起来很“国家级”，但它们保护的信息属于非国家秘密（虽然是重要数据或敏感个人信息）。
  • 核心逻辑：只要不涉及“绝密/机密/秘密”级国家秘密，用的就是商用密码。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 密码分类 -> 商用密码应用场景。

17. 答案：B. 测评机构故意泄露被测评单位工作秘密

• 解析： 考查测评机构的职业操守底线（红线）。
  • 一次失误（A）或忘记盖章（C）通常是整改项。
  • 故意泄密（B） 属于严重违反法律法规和职业道德，直接触犯了撤销资格的红线。
• 📥 放入图谱： 分支3: 密评标准体系 -> 机构管理 -> 处罚红线(泄密必死)。

18. 答案：D. 60家

• 解析： 这是一道时政题（数字可能会变，但在特定题库里是固定的）。
  • 根据2023年6月的数据，国家密码管理局公布的目录中，密评试点机构数量调整为 60家（之前是48家，後來擴充）。
  • 注：这类题在真实考试中如果不更新，按教材或发布时的通知为准。
• 📥 放入图谱： 分支5: 错题与陷阱 -> 时政数字 -> 密评机构数量(60)。

**19. 答案：**C. 市场监管总局、国家密码管理局共同

✅ 为什么选 C？（法规原文依据）

1. 原文依据：根据《关于开展商用密码检测认证工作的实施意见》（国密局字〔2020〕229号）第一条规定：

   “市场监管总局、国家密码管理局建立商用密码认证制度，共同发布《商用密码产品认证目录》（以下简称《认证目录》）……”

2. 法理逻辑（双重管理）：

   • 市场监管总局：是国家认证认可工作的行政主管部门（管“认证”这个行为）。
   • 国家密码管理局：是商用密码行业的行政主管部门（管“密码”这个技术）。
   • 因此，商用密码认证目录必须由两家**“握手”**，联合制定、共同发布，缺一不可。

❌ 为什么 A 是不严谨的？

• 虽然市场监管总局是认证的主管部门，但在商用密码这个特定领域，它不能单方面发布目录，必须“会同”密码局。如果选 A，忽略了密码局的行业主管地位。

📥 知识图谱修正建议

请在你的 XMind 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 目录发布 节点下，更新为：

• 发布主体：双部门联合（市监局 + 密码局）。
  • 关键词： “共同发布”、“会同制定”。
  • 记忆点： 认证归市监，技术归密码，两家商量着办。

20. 答案：C. 5-7名

• 解析： 考查评审专家组的构成。
  • 在机构能力评审中，通常需要一个奇数人数的专家组进行投票或打分。5-7名 是行政评审中非常标准的专家组规模配置。
• 📥 放入图谱： 分支3: 密评标准体系 -> 机构管理 -> 评审专家组规模(5-7人)。

🚀 重点归纳

1. 技术题（第11题）是分水岭：一定要搞懂 SM4-ECB 为什么不安全（数据模式显露），SM4-CTR 为什么计数器不能重用（重用=明文异或破解）。这是密码学常识。
2. 概念题（第16题）：牢记“商用密码 = 非国家秘密”。不要被“国家电力”、“身份证”这些大词吓到以为是核心密码。
3. 数字题（第18、20题）：这种纯记忆题，建议考前突击扫一眼你的 XMind 分支5。

以下是第21题到第30题的答案及详细解析。这组题目重点考察政务信息化项目管理和新版商密条例的罚则。

🔑 参考答案与解析

21. 答案：C. 3

• 解析： 历史时政题。
  • 国家密码管理局分批次发布了密评试点机构目录。截至2023年6月，共发布了3期目录（第1期、第2期、第3期）。
  • 注：此题已标记为“已废弃”，在正式考试中可能不会直接考期数，更多是考查机构资质的有效性。
• 📥 放入图谱： 分支5: 错题与陷阱 -> 时政历史 -> 试点目录发布期数(3期)。

22. 答案：B. 商用密码认证技术委员会

• 解析： 考查认证工作的组织架构。
  • 市场监管总局和国家密码管理局组建的是技术委员会。
  • 关键词是“解决技术问题”、“提供技术支撑”。如果是解决管理协调问题，才可能是协调委员会。但在商密认证体系中，专设的是技术委员会。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 技术支撑机构(认证技术委员会)。

23. 答案：D. 项目定期安全评估情况

• 解析： 考查项目“验收”阶段的内容。
  • A、B、C 都是验收时的“硬指标”：产品是否可靠？密码是否合规（密评）？能源效率达标没？
  • D 错误：“定期安全评估”是运维阶段（投入运行后） 的事情，验收那一刻还没开始“定期”运行呢，所以不属于验收内容，属于运维要求。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 项目验收 -> 验收内容(密评/安审/能效) vs 运维内容(定期评估)。

24. 答案：B. 密码保障系统

• 解析： 考查“三同步”原则的具体对象。
  • 虽然网络安全和技术保障都很重要，但题目明确提到“落实国家密码管理有关法律法规”，对应的必然是 B. 密码保障系统。
  • 这是《密码法》和《国家政务信息化项目建设管理办法》的原文要求。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 三同步原则 -> 同步规划/建设/运行(密码保障系统)。

25. 答案：D

• 解析： 考查政务信息共享原则。
  • 国家政务信息资源的一个核心原则是共享开放。
  • D 错误：政务数据属于公共资源，不能“仅向特定企业”开放（这叫搞垄断或利益输送）。应当依法向社会开放，或者在政府部门间共享。
  • A、B、C 都是强调必须把“信息共享”作为立项和审批的核心考量。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 政务信息化 -> 共享原则(反垄断)。

26. 答案：D

• 解析： 同上题，完全一样的考点。
  • D 错误：将数据仅向特定企业开放是违规的。
• 📥 放入图谱： （同上）。

**27. 答案：**B. 后

✅ 为什么选 B？（法规原文 + 审批逻辑）

1. 法规原文： 根据《国家政务信息化项目建设管理办法》第十二条规定：

   “对于因开展需求分析、编制可行性研究报告和初步设计、购地、拆迁等确需提前安排投资的政务信息化项目，项目建设单位可以在项目可行性研究报告获批复后，向项目审批部门提出申请。”

2. 审批逻辑（时间轴）：

   • 第一步（定生死）：可行性研究报告获批。这代表国家同意你建这个项目了，项目正式“立项”。
   • 第二步（拿急钱）：申请提前安排投资。因为项目已经立项了，虽然最终的初步设计方案还没定，但像拆迁、购地这些必须要干的事，可以先申请钱去干。
   • 第三步（定细节）：审批初步设计方案和投资概算。

❌ 为什么 A 是错的？

• 如果在**可行性研究报告获批复“前”**就申请投资，这时候项目还没有获得国家的正式认可（连可不可行都还没定），财政是不可能拨款的。

28. 答案：D. 以上都是

• 解析： 考查绩效评价的内容。
  • 年底交作业（绩效报告），当然要汇报：干得怎么样了（进度）、钱花哪了（投资执行）、好不好用（试运行效果）。全选。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 绩效评价 -> 报告内容(进度/钱/效果)。

29. 答案：C. 高于

• 解析： 考查标准化的先进性原则。
  • 国家鼓励制定团体标准和企业标准，但前提是你的标准要比国标、行标更严、更先进。
  • 如果你制定的标准比国家标准还低（要求还烂），那这种标准没有存在的意义，甚至是不合规的。
  • 关键词：高于推荐性标准相关技术要求。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 标准化 -> 企标/团标要求(高于国标)。

30. 答案：B. 应当处采购金额1倍以上10倍以下罚款

• 解析： 考查《商用密码管理条例》（2023修订版）的重罚条款。
  • 场景：CII运营者（关键信息基础设施）使用未通过审查的产品。这是极高风险行为。
  • 旧条例：罚得少。
  • 新条例（第65条）：采购金额 1倍以上10倍以下 罚款。这是非常严厉的经济处罚。
  • 同时，直接负责的主管人员也要罚款（1万-10万），主管部门有权责令停止使用。所以 A、C、D 都是错的。
• 📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> CII违法采购 -> 罚款力度(1-10倍采购额)。

🚀 归纳总结

1. 罚款是个大坑：第30题这种“1倍以上10倍以下”是新条例的特征。以前的法律常是固定金额（如2万-10万），现在的法律倾向于按比例罚款（让你痛），特别是针对CII运营者。
2. 政务项目管理：核心词是“共享”。只要看到“独家”、“不共享”、“仅向特定人开放”，基本都是错的。
3. 建设流程：记住“三同步”（规划、建设、运行），缺一不可。

以下是第31题到第40题的答案及详细解析。这组题目的核心考点是等保与密评的关系、外商投资与技术转让保护以及电子政务认证服务。

🔑 参考答案与解析

31. 答案：D. 以上都对

• 解析： 考查密码管理部门的层级职能。
  • 在密码管理体系中，各级密码管理部门（国家、省、市、县）在其职责范围内，都有权对辖区内的密码应用情况进行检查。这体现了属地管理和分级负责的原则。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 监督检查 -> 检查主体(各级密码局)。

32. 答案：C. 国家密码管理部门应当对商用密码标准的实施进行监督检查

• 解析： 考查商密标准化的管理原则。
  • A 错误：中国积极参与国际标准化活动，推动中国标准与国外标准转化运用（比如SM算法进ISO）。
  • B 错误：国家标准通常由国务院标准化行政主管部门（国标委）制定，或者与密码局联合发布，而不是密码局“独立”负责（那是行业标准）。
  • C 正确：这是《商密条例》明确规定的职责。
  • D 错误：其他领域的标准如果涉及商用密码，必须与商用密码标准保持协调，不能“自搞一套”导致安全漏洞或不兼容。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 标准化 -> 监督检查职责。

33. 答案：B. 国家密码管理局发布的密评试点机构

• 解析： 考查测评机构资质的专属性。
  • 即使是“为节省成本”或“小企业”，只要涉及密码应用安全性评估（密评），就必须找有资质的密评机构。
  • 一般的网络安全专家（A）、普通的等保测评机构（C，如果没拿密评资质）、政府技术团队（D）都没有出具法律效力密评报告的资格。
  • 注：虽然等保和密评经常一起做，但机构必须双资质，或者分别找两家。
• 📥 放入图谱： 分支3: 密评标准体系 -> 角色分工 -> 测评机构资质(必须是目录内机构)。

34. 答案：D. 商用密码检测认证机构应当取得相应资质

• 解析： 考查检测认证机构的管理。
  • A 错误：商用密码检测认证通常是自愿的（除CII等特定情形外），并非“必须”接受。
  • B 错误：通过检测认证只是证明质量合格，进出口该许可还得许可，该办证还得办证，两码事。
  • C 错误：检测认证机构的认定主体通常是市场监管总局（认监委），密码局是会同或推荐，不是单一认定主体。
  • D 正确：机构必须拿资质（《认证认可条例》要求），持证上岗。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 机构资质要求。

35. 答案：C. 采用国外引进的密码产品

• 解析： 考查合规使用密码产品。
  • 在等级保护建设中，尤其是涉及国家安全或社会公共利益的系统，原则上应当使用自主可控的国产密码产品。
  • C 错误：直接使用“国外引进”且未经过任何批准或审查的密码产品，存在巨大的安全后门风险，是违规的。
  • D 正确：如果有特殊需求，必须经过批准，才能使用含有加密功能的进口产品（这叫合规进口）。
• 📥 放入图谱： 分支4: 密码产品 -> 合规采购 -> 国产优先 vs 进口需批。

36. 答案：A. 商务部

• 解析： 重复考点（参考第1题），反向考察。
  • 负责接收申请、会同审查、并在法定期限内作决定的牵头部门是 商务部。
• 📥 放入图谱： （已在第1题中记录）。

37. 答案：D. 行政机关及其工作人员不得利用行政手段强制转让商用密码技术

• 解析： 考查《外商投资法》和《商密条例》对技术转让的保护。
  • A 错误：商用密码技术当然可以通过专利、著作权等知识产权保护。
  • B 错误：技术合作应当基于商业规则（自愿原则），而不是行政要求。
  • C 错误：商用密码本身是非涉密的，科研成果可以发布（除非涉及国家安全需保密）。
  • D 正确：这是为了优化营商环境，禁止政府利用职权强迫外企交出源代码或转让技术。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 营商环境 -> 禁止强制转让技术。

38. 答案：A. 向国家密码管理机构备案

• 解析： 考查备案制度。
  • 注意区分：涉密系统（B/C/D的逻辑可能适用） vs 不涉密系统（商用密码）。
  • 《信息安全等级保护管理办法》规定，三级以上系统如果不涉密，其密码配备使用情况要向国家密码管理机构（或其授权的省级机构）备案，而不是审批。
  • 注：等保备案是去公安，密码备案是去密码局。
• 📥 放入图谱： 分支3: 密评标准体系 -> 管理流程 -> 备案制度(密码去密码局，系统去公安)。

39. 答案：B. 可以对甲公司进行外商投资安全审查

• 解析： 考查外商准入与电子政务安全。
  • 电子政务电子认证（给政府做发证服务）涉及国家安全。
  • A 过于绝对：不是绝对不能，而是要经过严格审查。
  • B 正确：外商投资影响或者可能影响国家安全的，应当进行外商投资安全审查（安审）。
  • C/D 错误：电子政务电子认证服务机构的认定主体是密码管理部门（因为涉及政务安全），而不是单纯的市监局，也不是无需认定。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 外商投资 -> 安全审查(涉及政务/CII)。

40. 答案：C. 行政审批局应当使用由依法设立的电子政务电子认证服务机构提供的电子签名

• 解析： 考查电子政务中的CA选择。
  • 政务活动具有权威性，不能随便找个商业公司做认证。
  • 必须找**“电子政务电子认证服务机构”**（专门资质）。
  • B 错误：密码局是监管部门，自己不干“提供签名”这种具体业务（裁判员不下场踢球）。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 电子认证 -> 政务系统要求(专用CA机构)。

🚀 重点归纳

1. “强制转让技术”是红线：这是保护外商投资的条款，经常考。记住：政府不能逼企业交技术。
2. 电子政务就要用“政务CA”：政府系统用的电子签名服务，必须是特许的“电子政务电子认证服务机构”，不是随便谁都能做的。
3. 备案去哪？：系统定级备案去公安，密码使用备案去密码局。各回各家，各找各妈。

以下是第41题到第50题的答案及详细解析。这组题目重点考察检测认证资质审批、进出口管理的细节（如鉴别程序、再出口）以及行政处罚与检查权限。

🔑 参考答案与解析

41. 答案：C. 应当向国务院市场监督管理部门提出书面申请

• 解析： 考查认证机构资质审批的主体。
  • 核心原则：所有认证机构（不管是搞ISO的还是搞密码的）的资质审批，老大都是国家市场监督管理总局（认监委）。
  • 程序：向市监局申请 $\to$ 市监局征求密码局意见 $\to$ 决定是否批准。
  • A 错误：申请对象错，不是直接找密码局。
  • B 错误：主次颠倒，是市监局征求密码局意见，不是密码局审查。
  • D 错误：不能“独立”审查，必须征求密码管理部门意见（因为密码局懂技术）。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 资质审批(向市监局申请+征求密码局意见)。

42. 答案：A. 每两年

• 解析： 考查涉密信息系统的检查周期。
  • 注意题目说的是“涉密信息系统”（涉及国家秘密），不是普通的商密系统。
  • 《信息安全等级保护管理办法》规定：涉密信息系统建设使用单位应当依据分级保护管理规定和国家保密标准……有关部门应每两年至少进行一次检查和测评。
  • 对比记忆：商用密码（非涉密）三级系统是每年一次。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 涉密系统 -> 检查周期(2年)。

43. 答案：A. 该商用密码产品应当检测认证合格

• 解析： 考查强制检测认证范围。
  • 一般原则：商密检测认证是自愿的。
  • 例外（强制）：列入《网络关键设备和网络安全专用产品目录》的商用密码产品，必须由具备资格的机构检测认证合格（或者安全检测符合要求）后，方可销售或提供。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 强制情形(入目录产品)。

44. 答案：C. 只有在境外商用密码技术被列入商用密码进口许可清单，甲公司才需要取得进口许可

• 解析： 考查进口许可的清单管理制度。
  • A/B 错误：不是“任何情况”都要证，只有在清单里的才要证。
  • D 错误：大众消费类产品所采用的商用密码技术，依法不实行进口许可和出口管制。这是为了方便大家买手机、买路由器。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 清单管理原则(清单内才管，消费类不管)。

45. 答案：B. 密码工作

• 解析： 考查部门职能边界。
  • 国家密码管理部门（密码局）在等保工作中，只管密码那一摊子事（配备、使用、管理）。
  • A（等保工作整体）归公安管；C（保密工作）归保密局管。
• 📥 放入图谱： 分支3: 密评标准体系 -> 角色分工 -> 监管部门 -> 密码局(只管密码)。

46. 答案：B. 乙公司向丙公司出售，仍然应当获得我国的出口许可证

• 解析： 考查出口管制中的**“再出口”**原则（防扩散）。
  • 如果A国乙公司把从中国买的受控商密产品转卖给B国丙公司，这在出口管制法理上可能涉及再出口或最终用户变更。
  • 通常，出口许可证是发给特定最终用户（乙公司）用于特定用途的。如果乙公司要转卖，必须重新获得中国许可，或者符合中国关于最终用户和最终用途管理的规定。
  • 注：本题核心在于强调中国对受控物项的持续管控力，防止通过第三国转运规避管制。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 再出口管控。

47. 答案：B. 运行后每年至少评估一次

• 解析： 考查关键信息基础设施（CII）的评估周期。
  • 《密码法》和《商密条例》明确规定：关键信息基础设施的商用密码应用安全性评估，应当每年至少进行一次。
  • 这与等保三级及以上的测评周期也是一致的。
• 📥 放入图谱： 分支3: 密评标准体系 -> 3.1 总体要求 -> CII评估周期(1年)。

48. 答案：C. 海关应当首先向甲公司提出质疑

✅ 为什么选 C？（法定程序顺序）
法规依据： 根据《商用密码管理条例》（2023年修订版）第二十九条规定：
“海关在办理通关手续时，发现商用密码进出口经营者应当提交许可证件而未提交的，应当提出质疑，经营者应当向海关说明情况。”

程序逻辑：
第一步（提出质疑）：海关觉得你有问题，必须先问你（甲公司），给你一个解释的机会。这就是选项 C。
第二步（说明情况）：甲公司提供材料证明自己不需要办证，或者承认错误。
第三步（组织鉴别）：如果甲公司解释不清，或者双方这就“是不是商密”吵起来了，海关才会去请国家密码管理局进行技术鉴别（这是后续步骤，不是第一步）。
❌ 为什么 B 不是最佳答案？
B（提出组织鉴别）：这是在“质疑”环节无法解决问题之后的后续救济措施。题目问的是海关认为有问题时的处理方式，法律规定海关“应当”做的第一件事是“提出质疑”。

49. 答案：B. 在没收违法所得同时，可以并处10万元以上30万元以下罚款

✅ 为什么选 B？（罚款分界线计算）

1. 法规依据： 根据**《商用密码管理条例》（2023版）第51条**：

   “商用密码检测机构……出具的检测数据、结果、认证结论虚假或者失实……没收违法所得；

   • 违法所得30万元以上的，并处违法所得1倍以上3倍以下罚款；
   • 没有违法所得或者违法所得不足30万元的，并处10万元以上30万元以下罚款。”

2. 数学计算：

   • 题目条件：违法所得 25万元。
   • 判定：25万元 < 30万元（分界线）。
   • 适用条款：适用“不足30万元”的那一档。
   • 处罚结果：并处 10万元以上30万元以下 罚款。

3. 结论：选项 B 完全符合法规原文。

❌ 为什么 A 是错的？

• A（1倍以上3倍以下）：这适用的前提是违法所得超过 30万元。本题中25万没达到这个门槛，所以不能按倍数罚，只能按固定区间罚。

50. 答案：D. 查阅、复制有关合同、票据、账簿以及其他有关资料

• 解析： 考查行政检查权限的边界。
  • 根据《商密条例》第56条，密码管理部门在监督检查时，可以：
    • 进入现场；
    • 查阅、复制资料（D 正确）；
    • 查封、扣押相关的设施、设备（不是查封场所 A）；
  • B 错误：不能强制要求披露源代码（保护知识产权）。
  • C 错误：行政检查通常无权直接冻结账户（这是公安或法院的权限）。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 监督检查 -> 权限边界(可查资料/封设备，不可封场所/冻账户/看源码)。

🚀 重点归纳

1. 谁是认证的老大？：只要看到“认证机构资质”，找市场监管总局。
2. 谁是技术的裁判？：只要看到“进出口鉴别”、“是否属于商密”，找国家密码管理局。
3. 处罚看倍数：新条例对经济处罚很重，检测造假罚5-10倍，非法采购罚1-10倍。如果你在选项里看到“1万-3万”这种毛毛雨，通常是错的（或者是旧法）。
4. CII必考点：关键信息基础设施（CII） = 每年一测 = 必须用商密 = 采购要审查。

以下是第51题到第60题的答案及详细解析。这组题目主要考察法律责任（举证责任倒置）、法规历史沿革以及电子认证服务的管理细节。

🔑 参考答案与解析

51. 答案：C. 电子政务电子认证机构需要证明自己无过错，否则就需要进行赔偿

• 解析： 考查《电子签名法》中的举证责任倒置原则。
  • 在电子认证服务中，认证机构（CA）是专家，用户是小白。如果签名失效导致损失，法律为了保护弱势方（用户），规定：CA机构必须自证清白。
  • A 错误：用户不需要证明CA有错，只需要证明我有损失且用了你的签名。
  • B 错误：赔偿的前提是CA有过错（或者无法证明无过错），不是无条件赔偿。
  • C 正确：CA机构不能证明自己无过错的，应当承担赔偿责任。
  • D 错误：混合过错实行按比例分担责任，不能完全“免于赔偿”。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 电子签名法 -> 民事赔偿(举证责任倒置)。

52. 答案：A. 商务部

• 解析： 重复考点（进出口发证）。
  • 商务部是行政许可的主体，负责颁发《两用物项和技术进出口许可证》。密码局负责审查，海关负责验放。
• 📥 放入图谱： （已在第1题记录）。

53. 答案： D（商用密码管理条例）

✅ 为什么 D 是正确答案？

• 时间背景：这份文件发布于 2020年。当时生效的《商用密码管理条例》还是 1999年旧版。
• 立法冲突：1999年旧条例的核心是“行政审批”（许可制），而2020年实施的《密码法》核心是“检测认证”（市场化）。旧条例的理念已经过时且与新法冲突，所以2020年的新文件故意没有依据旧条例，而是直接依据了上位的《密码法》和通用的《认证认可条例》、《产品质量法》。

• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 检测认证 -> 法规依据。

**54. 答案：B 商用密码检测、认证机构应当按照有关规定报送商用密码检测、认证实施情况及检测、认证证书信息 **

• 选项 B 强行把“检测机构”拉进来了，并且要求它报送“认证证书信息”，这既不符合原文，也不符合逻辑（检测机构手里没证书）。
• 选项 C 和 D（保密义务）在原文第六款里明确写了“商用密码检测、认证机构应当……”，所以是对的。
• 选项 A（委托检测）也是对的，符合认证检测分离原则。

条文 （五）商用密码认证机构应当按照有关规定报送商用密码认证实施情况及认证证书信息。

55. 答案：C. 1999年10月7日

• 解析： 考查历史知识。
  • 题目问的是《商用密码管理条例》的颁布时间（最初版），而不是修订版的发布时间。
  • 1999年10月7日，国务院令第273号发布了第一版条例。
  • 注：2023年4月（A）是修订版签署时间，2023年7月1日是修订版施行时间。审题要看清是问“旧版颁布”还是“新版修订”。
• 📥 放入图谱： 分支5: 错题与陷阱 -> 时政历史 -> 旧条例颁布时间(1999)。

56. 答案：B. 2020年8月20日

• 解析： 历史考点（已废弃）。
  • 密码法2020年1月1日实施后，密码局在2020年8月公开征求《商用密码管理条例（修订草案征求意见稿） 》的意见。。
• 📥 放入图谱： （了解即可，不用深记）。

57. 答案：C

• 解析： 考查修订背景（排除法）。
  • C 选项描述的是1996年的历史背景，那是制定旧版条例（1999版）的原因，而不是2023年修订的原因。
  • A（十八大以来改革）、B（密码法出台）、D（新时代需求）都是促成2023年修订的直接动因。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 历史沿革 -> 修订背景。

58. 答案：D. 《商用密码科研管理规定》

• 解析： 考查“放管服”改革中的废止文件。
  • 2017年为了简政放权，废止了一批行政审批色彩浓厚的文件。
  • A、B、C（销售许可、使用许可、境外使用许可）统统被废止了。现在买商密产品不需要“准购证”了，外企用也不需要特批了（大众类）。
  • D（科研管理规定）当时修改了部分条款，并没有完全废止。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 历史沿革 -> 废止许可(销售/使用许可已取消)。

59. 答案：C. 商用密码

• 解析： 考查密码分类。
  • 对象：为社会公众提供服务。
  • 性质：第三方电子认证（如支付宝用的数字证书、银行U盾）。
  • 结论：这属于典型的商用密码应用范围。核心密码/普通密码是给党政军保护国家秘密用的，不可能给社会公众用。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 密码分类 -> 商用密码定义(面向公众/非涉密)。

60. 答案：A. 5个工作日内

• 解析： 考查行政许可的时限（转报时限）。
  • 申请电子认证服务许可证，先交给省里。省里只是受理窗口，没权批。
  • 省局收到材料后，必须快马加鞭，在 5个工作日 内报给国家密码管理局（真正的大佬）。
  • 记忆技巧：转手递材料这种事，越快越好，所以是能够选的最短时间（5天）。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 电子认证 -> 时限(省局转报5天)。

🚀 重点归纳

1. CA机构的责任：电子签名法对CA机构很严，实行举证责任倒置。出了事，CA得证明自己没毛病，否则就得赔。
2. 行政许可改革：牢记现在的商用密码管理是**“轻事前、重事中事后”**。以前的“销售许可证”、“使用许可证”都废除了，现在除了CII等特殊领域，大家都自由买卖。
3. 时间数字：省局转报国家局是 5天。这个数字在行政法里很常见。

以下是第61题到第70题的答案及详细解析。这组题目重点考察电子认证服务管理细节、等级保护（四级/五级）的高阶要求以及**《数安法》《个保法》中的罚则**。

🔑 参考答案与解析

61. 答案：B. 安全性审查和互联互通测试

• 解析： 考查电子认证服务系统的审查标准。
  • 想要拿到许可证，系统必须过两关：
    1. 安全性审查：证明你的系统是安全的，私钥不会丢。
    2. 互联互通测试：证明你的证书别人能认，能跟上下游系统打通。
  • 两者缺一不可，所以是**“和”**关系。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 电子认证 -> 审查内容(安全+互通)。

62. 答案：C. 30日内

• 解析： 考查行政许可变更时限。
  • 企业改名了，证件也得换。
  • 行政管理中，变更登记的典型时限通常是 30日。这是一个通用的行政时限常识。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 电子认证 -> 变更时限(30天)。

63. 答案：C. 四

• 解析： 考查等保定级评审的层级。
  • 三级系统（比如普通的地市级重要系统）通常由地方专家评审即可。
  • 四级以上（涉及国家安全、国计民生核心）太重要了，地方说了不算，必须请国家信息安全保护等级专家评审委员会来评审。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 定级评审 -> 四级需国家级评审。

64. 答案：B. 每年

• 解析： 考查等保测评周期（送分题）。
  • 三级系统：每年至少一次。
  • 四级系统：每半年至少一次。
  • 本题问三级，选 B。
• 📥 放入图谱： 分支3: 密评标准体系 -> 3.1 总体要求 -> 测评周期 -> 三级(1年)。

65. 答案：B. 国家信息安全监管部门

• 解析： 考查高等级系统的监管主体（文字游戏）。
  • 根据《信息安全等级保护管理办法》原文：对第四级信息系统，由国家信息安全监管部门进行强制监督、检查。
  • 注：在实际工作中这通常指公安部十一局（网安局），但题目考的是《办法》里的原文表述，选 B 最准确。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 监管部门 -> 四级(国家监管)。

66. 答案：C. 五

• 解析： 考查最高等级系统的监管。
  • 第五级（属于极端情况，如核武器指挥系统等），已经超出了一般监管范畴，由国家指定专门部门进行专门监督。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 监管部门 -> 五级(专门部门)。

67. 答案：C. 个人信息

• 解析： 考查《个人信息保护法》的保护对象。
  • 这道题是逻辑题。根据《个保法》，处理者当然要保护个人信息。
  • A、B 是系统级别或设施名称，D 是数安法的对象。个保法只关注“个人信息”这个客体。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 个保法 -> 保护对象(个人信息)。

68. 答案：D. 有关部门对直接负责的主管人员依法给予处分

• 解析： 考查《数据安全法》对国家机关的罚则。
  • 注意主体是**“某国家机关”**。
  • 对国家机关，通常不能像罚企业一样“罚款”或“吊销执照”。
  • 法律规定：国家机关不履行数据安全保护义务的，由上级机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分（记过、降级、撤职等）。
  • A、B、C 是针对企业或个人的行政处罚，D 是针对体制内人员的处分。
• 📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 主体区分 -> 国家机关(处分)。

69. 答案：C. …五百万元罚款

• 解析： 考查《数据安全法》的罚款上限。
  • C 错误：根据《数据安全法》第45条，未履行保护义务的，拒不改正的，处5万元以上50万元以下罚款；造成严重后果的，处50万元以上200万元以下罚款。
  • 500万是违反国家核心数据管理制度或向境外提供数据等极严重情形的顶格罚款。仅因“不采取加密措施”（属于一般保护义务缺失），罚不到500万这么高。
• 📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 数安法 -> 一般违规上限(200万) vs 核心违规(1000万)。

70. 答案：C. 每年至少进行一次

• 解析： 考查《网络安全法》对CII的评估要求。
  • 关键信息基础设施（CII） 运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
  • 这与密评的周期（每年一次）是完全对齐的。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 网安法 -> CII评估周期(1年)。

🚀 重点归纳

1. 等保周期表（必背）：
   • 三级：1年测一次。
   • 四级：半年测一次。
   • 五级：专门部门管。
2. 罚则看主体：
   • 罚企业：罚款、停业整顿、吊销证照。
   • 罚国家机关：责令改正、处分责任人（不能罚机关的钱）。
3. 罚则看金额：
   • 数安法一般违规（保护不力）：最高 200万。
   • 数安法严重违规（核心数据/出境）：最高 1000万。
   • 如果你看到 500万 罚一般的加密缺失，通常是错的（罚太重了）。

以下是第71题到第80题的答案及详细解析。这组题目重点考察CII运营者义务、出口技术管制目录以及政务项目的时间节点。

🔑 参考答案与解析

71. 答案：B. 自行或者委托网络安全服务机构

• 解析： 考查《网络安全法》原文。
  • 法律给了CII运营者选择权：你可以自己组建团队测（自行），也可以花钱请专业公司测（委托）。
  • 法律并没有强制要求必须找第三方，只要能完成评估任务即可。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 网安法 -> CII评估方式(自行/委托均可)。

72. 答案：C. 重要数据

• 解析： 考查数据保护的分级原则。
  • 《网络安全法》第21条规定，网络运营者应当采取数据分类、重要数据备份和加密措施。
  • A 错误：对“所有数据”加密不现实也没必要（效率太低）。
  • C 正确：资源有限，必须保护核心——即重要数据。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 网安法 -> 加密对象(重要数据)。

73. 答案：A. 网络安全审查制度要求

• 解析： 考查《国家政务信息化项目建设管理办法》的具体条款。
  • 该办法第30条：网络安全监管部门应当依法加强对国家政务信息系统的安全监管，并指导监督项目建设单位落实网络安全审查制度要求。
  • 这是因为政务系统往往涉及关键信息基础设施或重要数据，必须过审查这关。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 监管要求 -> 网络安全审查。

**74. 答案：B. 祖冲之序列密码算法 **

• 解析： 考查《中国禁止出口限制出口技术目录》中的密码技术细节。
  • 我国限制出口的是特定的、核心的设计技术。
  • B（祖冲之）：不在名录上
  • C/D（并行加密/安全设计）：涉及芯片的高端实现工艺，限制出口。
  • A（高速密码算法）：在名录上，属于限制出口。

原文 1.密码芯片设计和实现技术〔高速密码算法、并行加密技术、密码芯片的安全设计技术、片上密码芯片（SOC）设计与实现技术、基于高速算法标准的高速芯片实现技术〕2.量子密码技术。包括量子密码实现方法、传输技术、网络技术、工程实现技术等

• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 限制技术目录。

75. 答案：D. 量子密码的对抗技术

• 解析： 考查量子密码技术的管制范围。
  • 我国在量子通信领域处于世界领先地位，因此限制出口相关核心技术。
  • 目录中包括：量子密码实现方法（A）、工程实现技术（B）、传输技术（C）。
  • D（对抗技术/攻击技术）：通常不在出口限制技术目录的“密码技术”类目下描述，或者表述不准确。目录主要保护的是建设/实现技术，防止别人学会怎么造量子保密通信网。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 量子技术管制。

76. 答案：C. 半年

• 解析： 考查政务项目验收时限。
  • 项目建成后，不能拖着不验收。
  • 《管理办法》规定：建成后 半年（6个月） 内，必须申请验收。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 时间节点 -> 验收申请(建成后半年内)。

77. 答案：A. 12至24个月

• 解析： 考查政务项目后评价（自评价）时限。
  • 验收并通过并投入运行后，要跑一段时间看看效果。
  • 第二十七条 项目建设单位应当在项目通过验收并投入运行后12至24个月内，依据国家政务信息化建设管理绩效评价有关要求，开展自评价，并将自评价报告报送项目审批部门和财政部门。项目审批部门结合项目建设单位自评价情况，可以委托相应的第三方咨询机构开展后评价。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 时间节点 -> 自评价(运行后12至24个月)。

78. 答案：A. 国务院商务主管部门

• 解析： 考查电子认证服务许可的会商机制。
  • 电子认证（CA）不仅是技术问题，还涉及跨境贸易、电子商务等应用场景。
  • 第十八条　从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。
  • 注：注意这是《电子签名法》的规定，针对的是通用的电子认证服务，而非纯粹的政务CA。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 电子签名法 -> 许可征求意见(商务部)。

**79. 答案：B 对于未纳入国家政务信息系统总目录的系统，项目建设单位不得新建、改建、扩建政务信息系统 **

• 解析： 考查政务项目的“一票否决”情形（反向逻辑）。
  • A/C 正确：如果是重复建设（不共享）、不安全（不符合密码要求），国家是严禁你再投钱新建改建的。
  • B错误：未纳入可以自行建设，只是中央不给钱了 条文 （二）对于未纳入国家政务信息系统总目录的系统，不安排运行维护经费。
  • D 描述正确但是不全 ： （三）对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 政务信息化 -> 禁止建设情形(重复/黑户/不合规)。

80. 答案：A. 国务院信息产业主管部门

• 解析： 考查《电子签名法》的行政许可主体。
  • 根据《电子签名法》原文，从事电子认证服务，应当向国务院信息产业主管部门（现在是工业和信息化部）提出申请。
  • *注：这里容易混淆。**电子认证服务（通用）*归工信部管；电子政务电子认证（给政府用的）归密码局管。做题时看清有没有“政务”两个字。本题依据《电子签名法》，指通用CA，选A。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 电子签名法 -> 许可主体(工信部)。

以下是第81题到第90题的答案及详细解析。这组题目重点考察等保定级标准、个保法高额罚款、密码合规应用以及政务项目审批流程简化。

🔑 参考答案与解析

81. 答案：D. 国家安全

• 解析： 考查等保定级标准（最高级）。
  • 第五级是最高等级，其判定标准非常严苛：必须是对国家安全造成特别严重损害。
  • A（公民权益）通常对应一级或二级。
  • B/C（社会秩序、公共利益）通常对应三级或四级。
  • 只有涉及国家安全且后果是特别严重的，才上五级。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 定级标准 -> 五级(国家安全+特别严重)。

**82. 答案：B. 当地网信部门对其直接责任人员处以二百万元罚款 **。

• 解析： 考查《个人信息保护法》

  • 这里是滴滴那个实际案例，CEO和总裁各罚了100万，共两百万，选B
  • 公司罚了80多亿 ，营业额百分之五（顶格处罚，没罚5000万）

  原文

  有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

• 📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 个保法 -> 严重违规(5000万或5%营收)。

83. 答案：A. …使用商用密码技术进行加密传输

• 解析： 考查商用密码的正确应用。
  • A 正确：科技公司处理的重要数据（非国家秘密），应当使用商用密码进行保护。
  • B 错误：MD5 算法早已被证明不安全（容易发生碰撞），且不属于合规的国密算法。应当使用 SM3。
  • C/D 错误：关键信息基础设施（CII）和银行处理的数据虽然重要，但仍属于非国家秘密。核心密码是保护国家秘密的，企业无权使用，也不能用错对象。
• 📥 放入图谱： 分支2: 密码技术 -> 合规应用 -> 对象匹配(商密保商密) + 算法选择(弃用MD5)。

84. 答案：C. 国家密码管理局

• 解析： 考查监管职能分工。
  • 只要看到“密码使用和管理”，监管主体永远是 国家密码管理局。
  • 网信办管统筹，公安管保护，海关管进出口，数据局管数据发展。密码局专管密码。
• 📥 放入图谱： 分支3: 密评标准体系 -> 角色分工 -> CII密码监管(密码局)。

85. 答案：C. 五

• 解析： 常识题。
  • 信息安全等级保护分为 五级（1-5级）。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 分级数量(5级)。

86. 答案：D. 以上都是

• 解析： 考查《个人信息保护法》的合规义务。
  • 企业为了保护个信，必须“软硬兼施”：
    • 制度（A）：要有规矩。
    • 人员（B）：要培训，防止内鬼或小白。
    • 技术（C）：要加密（去标识化）。
  • 这三者缺一不可。
• 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 个保法 -> 合规义务(管理+技术)。

87. 答案：B. 已经纳入国家政务信息化建设规划的项目

• 解析： 考查审批简化流程。
  • 通常流程：项目建议书 $\to$ 可行性研究报告 $\to$ 初步设计。
  • 简化条件：如果这个项目早就写进国家的大规划里了，那就说明“立项”这个环节（建议书）已经默认通过了。所以可以直接编报可行性研究报告，省去编写建议书的步骤。
  • A（党中央要求）通常也适用，但B是《办法》第11条明确列出的标准简化情形。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 审批简化 -> 免建议书情形(入规划)。

88. 答案：A. 国家发展改革委

• 解析： 考查政务项目的“总管家”。
  • 负责编制规划、审批项目、备案管理的牵头部门，是管钱管项目的 国家发展改革委（发改委）。
  • 财政部管预算，网信办管安全前置审查，发改委管立项审批。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 主管部门(发改委)。

89. 答案：A. 第三方后评价报告

• 解析： 考查改建项目的特殊要求。
  • 你想改建/扩建，得先证明你之前建得怎么样。
  • 所以必须提交前一期项目的验收报告或者第三方后评价报告。如果之前建得一塌糊涂，肯定不让你扩建。
• 📥 放入图谱： 分支4: 密码产品与实战 -> 4.2 建设流程 -> 改扩建要求 -> 提交后评价报告。

90. 答案：A. 编报项目建议书

• 解析： 与第87题是同一个考点。
  • 纳入规划的项目，可以简化掉 项目建议书 环节，直接从可研报告开始。
• 📥 放入图谱： （同第87题）。

🚀 重点归纳

1. 等保定级：
   • 五级 = 损害国家安全 + 特别严重。
   • 一级 = 损害公民权益 + 一般。
2. 个保法罚款：5000万 或 5%营收。这是个保法最吓人的牙齿，考试只要问罚款最重的，选这个大概率对。
3. 政务审批简化：入规划 = 免建议书。
4. 算法避坑：MD5 是弃用的，AES/RSA 是国际的（要用SM4/SM2替代），核心密码 是国家的（企业不能用）。商密考试里，SM系列 永远是正确答案。

这是最后这10道题的解析。恭喜你，我们把这100道典型题目的骨架搭建完了！这组题目主要考察行政处罚（禁业期）、标准体系分类以及等保的时间节点（非常密集）。

🔑 参考答案与解析

91. 答案：D. 使其五年内不得从事网络运营关键岗位

• 解析： 考查《网络安全法》第63条的“职业禁入”条款。
  • 对于从事危害网络安全活动受到治安管理处罚的人员，公安机关可以决定其 5年内 不得从事网络安全管理和网络运营关键岗位的工作。
  • 如果是受到刑事处罚（判刑了），则是终身不得从事。
  • 本题明确说是“受到治安管理处罚”，所以选 5年。
• 📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 网安法 -> 禁业期(治安罚5年 vs 刑罚终身)。

92. 答案：B. 公安机关

• 解析： 考查执法主体。
  • 黑客入侵行为，属于危害计算机信息系统安全的行为，主要由 公安机关 依据《网络安全法》和《治安管理处罚法》进行查处。
  • 密码管理部门主要管的是合规（你有没有按规定用密码），而不是去抓黑客。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 监督检查 -> 网络犯罪查处(公安)。

93. 答案：D. 以上都是

• 解析： 考查政务信息系统的定义范围。
  • 国家政务信息系统是个大筐，包括：
    • 业务系统（A，如税务系统）；
    • 资源库（B，如人口库）；
    • 基础设施（C，如政务云、政务网）。
  • 这些都得按《办法》来管。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 政务信息化 -> 适用范围(全覆盖)。

94. 答案：B. 商用密码行业标准可能有强制性标准和推荐性标准

• 解析： 考查《标准化法》的改革成果。
  • A 正确：国家标准分为强制性（GB）和推荐性（GB/T）。
  • B 错误：根据新《标准化法》，行业标准一般都是推荐性标准（GM/T），原则上不再制定强制性行业标准。强制性要求应上升为国家标准。
  • C/D 正确：团体标准和企业标准都属于市场自主制定的推荐性标准。
• 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 标准化 -> 标准性质(行标原则推荐)。

95. 答案：D. 依据特殊安全需求

• 解析： 考查五级系统的测评周期。
  • 五级系统极其特殊（如核指挥），不能用常规的“半年/一年”来硬套。
  • 规定是：依据特殊安全需求进行测评。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 测评周期 -> 五级(按需)。

96. 答案：B. 每半年

• 解析： 考查四级系统的测评周期。
  • 三级是一年一测，四级更重要，所以加倍，每半年至少一次。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 测评周期 -> 四级(半年)。

97. 答案：B. 每半年

• 解析： 考查自查周期。
  • 《信息安全等级保护管理办法》规定：第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查。
  • 规律：自查周期 = 测评周期。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 自查周期 -> 四级(半年)。

98. 答案：B. 每年

• 解析： 考查三级系统的自查周期。
  • 三级系统：每年至少自查一次。
• 📥 放入图谱： 分支3: 密评标准体系 -> 等保关系 -> 自查周期 -> 三级(1年)。

99. 答案：A. 10个工作日内

• 解析： 考查等保备案的发证时限。
  • 你去公安局备案，材料没问题的话，公安局得在 10个工作日 内把《备案证明》发给你。
  • 这是行政效能的要求，要快。
• 📥 放入图谱： 分支3: 密评标准体系 -> 管理流程 -> 等保备案 -> 发证时限(10天)。

100. 答案：C. 30日内

• 解析： 考查等保备案的申请时限。
  • 系统建好投入运行后，你不能拖太久不去备案。
  • 规定是：运行后 30日内，去当地公安机关办理备案。
• 📥 放入图谱： 分支3: 密评标准体系 -> 管理流程 -> 等保备案 -> 申请时限(运行后30天)。

🚀 终极总结：这100道题教给你的“数字密码”

把这100道题涉及的所有关键时间数字汇总在这里，考前必看：