1月1日密评法规+标准（多选02）

1. 渗透测试合规性

按照《关键信息基础设施安全保护条例》的内容，某漏洞平台为增补现有的商用密码系统漏洞库，拟针对某商用密码科研单位实施大规模的渗透性测试，评估并发现潜在的漏洞风险。在实施渗透性测试之前，该商用密码科研单位被认定为关键信息基础设施运营者，则该漏洞平台为了能够合法地实施渗透性测试，需要（）。
(题库题号:522) (1分)

A. 经过国家网信部门批准
B. 经过国务院公安部门批准
C. 经过关键信息基础设施保护工作部门授权
D. 经过该商用密码科研单位授权

2. 内部风险管理机制

根据我国《数据安全法》，以下属于维护数据的完整性、保密性、可用性的内部风险管理机制的是（）。
(题库题号:520) (1分)

A. 备份
B. 加密
C. 访问控制
D. 渗透测试

3. 数据出境安全评估

根据我国《数据安全法》《数据出境安全评估办法》的规定，A 单位对自身的商用密码技术数据申请重要数据出境安全评估，那么安全评估应当重点评估（）。
(题库题号:521) (1分)

A. 数据出境的目的、范围、方式等的合法性、正当性、必要性
B. 出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险
C. 出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，以及数据安全是否能够得到充分有效保障
D. A 单位与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务

4. 网络安全管理岗位禁入

甲系一名商用密码产品的设计人员，在网上兜售自己开发的加密勒索软件工具。针对这一事实，下列表述正确的是（）。
(题库题号:495) (1分)

A. 甲没有直接实施勒索活动，故不构成网络违法犯罪行为
B. 甲如果违法情节轻微，仅受到治安管理处罚，则五年内不得从事网络安全管理和网络运营关键岗位的工作
C. 甲如果违法情节严重，受到刑事处罚，则终身不得从事网络安全管理和网络运营关键岗位的工作
D. 甲如果违法情节轻微，尚不构成犯罪的，公安机关可以没收违法所得，处以拘留，可以并处罚款

5. 数据泄露通知义务

按照《个人信息保护法》，以下关于个人信息处理者在发生数据泄露时应履行通知义务的说法正确的是（）。
(题库题号:498) (1分)

A. 发生个人信息泄露的，应通知履行个人信息保护职责的部门和个人
B. 通知应包括事件发生的原因和可能造成的后果
C. 个人信息处理者如采取了有效的加密措施，能够有效避免信息泄露、篡改、丢失造成危害的，可以不通知个人
D. 通知应包括个人信息处理者的联系方式和采取的补救措施

6. 国家网信部门职责

按照《个人信息保护法》，国家网信部门统筹协调有关部门推进的个人信息保护工作有（）。
(题库题号:499) (1分)

A. 制定个人信息保护各类具体规则、标准，如加密规范等
B. 针对人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准
C. 支持研发包括基于密码的安全电子身份认证技术，推进网络身份认证公共服务建设
D. 推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务

7. 等级保护法规体系

我国涉及网络安全等级保护的法律法规和规范性文件包括（）。
(题库题号:496) (1分)

A. 《网络安全法》
B. 《数据安全法》
C. 《信息安全等级保护管理办法》
D. 《信息安全等级保护商用密码管理办法》

8. 个人信息保护影响评估

《个人信息保护法》规定的个人信息处理者应当进行个人信息保护影响评估的情形包括（）。
(题库题号:497) (1分)

A. 向境外提供个人信息
B. 利用个人信息进行自动化决策
C. 委托第三方通过联邦计算等方式进行数据处理
D. 借助差分隐私方法进行敏感个人信息处理

9. 匿名化与加密

按照《个人信息保护法》，以下关于加密和匿名化的说法正确的是（）。
(题库题号:503) (1分)

A. 加密属于匿名化技术的一种
B. 匿名化处理后的信息不属于个人信息
C. 加密可以实现绝对的匿名化
D. 只有通过不能复原的过程才能实现匿名化

10. 加密与去标识化

按照《个人信息保护法》，以下关于加密和去标识化的说法正确的是（）。
(题库题号:502) (1分)

A. 加密属于去标识化技术的一种
B. 去标识化和加密属于不同的技术措施
C. 去标识化可以和加密同时使用
D. 对于敏感个人信息，去标识化后无必要再采用加密

11. 个人信息安全措施

《个人信息保护法》要求个人信息处理者应当采取哪些确保个人信息安全的措施（）。
(题库题号:501) (1分)

A. 数据分类
B. 加密
C. 去标识化
D. 制定应急预案

12. 违反个人信息保护法行为

以下可能违反《个人信息保护法》的情况有（）。
(题库题号:500) (1分)

A. 电子书 APP 以明文形式存储用户身份证号信息
B. 出行类 APP 收集用户手机相册中的截图信息
C. 电商类 APP 收集用户应用列表信息
D. 天气类 APP 收集用户设备的精准位置（经纬度）信息

13. 密码技术应用场景

在《个人信息保护法》中可以使用密码技术的场景有（）。
(题库题号:504) (1分)

A. 收集个人信息
B. 存储个人信息
C. 个人信息出境
D. 个人信息销毁

14. 侵入密码系统罪名

行为人侵入国家核心密码和普通密码研发系统，可能构成的刑事罪名是（）。
(题库题号:536) (1分)

A. 非法侵入计算机信息系统罪
B. 非法利用信息网络罪
C. 非法获取国家秘密罪
D. 破坏计算机信息系统罪

15. 勒索攻击构成要件

在刑事法律上对勒索攻击需要考虑的构成要件有（）。
(题库题号:535) (1分)

A. 主观上存有故意
B. 实施了侵入、非法控制计算机信息系统的行为
C. 获取该计算机信息系统中或造成计算机信息系统不能正常运行等后果
D. 实施的违法犯罪行为与危害后果之间有因果关系

16. 勒索攻击相关罪名

与勒索攻击有关的刑事罪名有（）。
(题库题号:534) (1分)

A. 非法侵入计算机信息系统罪
B. 非法控制计算机信息系统罪
C. 破坏计算机信息系统罪
D. 侵犯公民个人信息罪

17. 加密勒索攻击罪名

实施加密勒索攻击行为可能触犯的刑事罪名有（）。
(题库题号:533) (1分)

A. 非法侵入计算机信息系统罪
B. 非法控制计算机信息系统罪
C. 拒不履行信息网络安全管理义务罪
D. 提供侵入、非法控制计算机信息系统程序、工具罪

18. 拒不履行安全管理义务罪

某网络运营者未履行对用户敏感个人信息的加密存储义务，如导致以下哪些后果之一的，经监管部门责令采取改正措施而拒不改正，则可能构成拒不履行信息网络安全管理义务罪（）。
(题库题号:537) (1分)

A. 致使用户无法登录账户，需要重置的
B. 致使用户信息泄露，造成严重后果的
C. 致使刑事案件证据灭失，情节严重的
D. 致使用户个人信息错误，需要更正的

19. 密码管制物项出口罪名

我国《刑法》中与出口国家禁止出口的密码管制物项或者未经许可出口密码管制物项有关的罪名有（）。
(题库题号:538) (1分)

A. 走私国家禁止进出口的货物、物品罪
B. 非法经营罪
C. 泄露国家秘密罪
D. 逃避商检罪

20. 漏洞共享合规性

对于在安全研究中发现的密码安全漏洞，在确定是否与境外安全社区共享时，应符合的法律法规和规定包括（）。
(题库题号:481) (1分)

A. 《密码法》
B. 《出口管制法》
C. 《网络产品安全漏洞管理规定》
D. 《数据安全法》

21. 电子签名适用例外

根据《电子签名法》，当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。但下列文书除外的有（）。
(题库题号:482) (1分)

A. 涉及婚姻、收养、继承等人身关系的
B. 涉及停止供水、供热、供气等公用事业服务的
C. 涉及财产交易的民事合同
D. 涉及房屋确权的单证文书

22. 网络安全审查评估因素

按照《网络安全审查办法》，网络安全审查办公室拟对某关键基础设施运营者采购商用密码产品开展网络安全审查工作，其应当重点评估的因素有（）。
(题库题号:479) (1分)

A. 该商用密码产品使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险
B. 该商用密码产品供应中断对关键信息基础设施业务连续性的危害
C. 该商用密码产品的安全性、开放性、透明性、来源的多样性
D. 该商用密码产品提供者遵守我国法律、行政法规、部门规章情况

23. 审查意见不一致处理

根据《网络安全审查办法》，针对某关键信息基础设施采购商用密码产品的活动，网络安全审查工作机制成员单位、相关部门无法形成是否存在国家安全风险的一致性意见，下列相关表述是正确的是（）。
(题库题号:480) (1分)

A. 网络安全审查办公室应当作出允许采购的决定
B. 网络安全审查办公室应当启动特别审查程序处理
C. 网络安全审查办公室应当再次形成审查结论建议
D. 再次形成的审查结论建议应当报请中央网络安全和信息化委员会批准

24. 可靠电子签名条件

根据《电子签名法》规定，电子签名可以被视为可靠的电子签名，应当满足的条件包括（）。
(题库题号:485) (1分)

A. 电子签名制作数据用于电子签名时，属于电子签名人专有
B. 签署时电子签名制作数据仅由电子签名人控制
C. 签署后对电子签名的任何改动能够被发现
D. 签署后对数据电文内容和形式的任何改动能够被发现

25. 电子签名法律效力

按照《电子签名法》，下列关于电子签名的表述正确的是（）。
(题库题号:486) (1分)

A. 可靠的电子签名其法律效力仅次于手写签名或者盖章
B. 电子签名人知悉电子签名制作数据可能已经失密时，应当终止使用该电子签名制作数据
C. 只要符合双方约定，当事人也可自行选择使用电子签名
D. 境外电子认证服务提供者在境外签发的电子签名认证证书与依据本法认证的电子签名认证证书具有同等法律效力

26. 数据电文收发时间

按照《电子签名法》的内容，关于数据电文的发送、接收时间，下列说法正确的是（）。
(题库题号:483) (1分)

A. 数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间
B. 收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间视为该数据电文的接收时间
C. 未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间
D. 当事人对数据电文的发送时间、接收时间另有约定的，从其约定

27. 关键信息基础设施事故报告

按照《关键信息基础设施安全保护条例》，某商用密码服务机构系统遭受 APT 攻击导致数据泄露，未向主管部门报告。针对该行为，下列表述正确的是（）。
(题库题号:523) (1分)

A. 该机构已经采取了应急处置措施，不需要承担任何法律责任
B. 该机构未向主管部门报告，应当给予警告
C. 对该机构应当处10万元以上100万元以下罚款
D. 对直接负责的主管人员应当处1万元以上10万元以下罚款

28. 关键信息基础设施密码管理

按照《关键信息基础设施安全保护条例》，关于关键信息基础设施中的密码管理，以下说法错误的是（）。
(题库题号:524) (1分)

A. 关键信息基础设施中使用的密码属于普通密码
B. 关键信息基础设施中使用密码产品或服务，一律先行经国家安全审查
C. 国家密码管理局可以依法开展关键信息基础设施网络安全检查
D. 对国家密码管理局依法开展的关键信息基础设施网络安全检查工作不予配合的，可以处以10万元以下罚款

29. 数据电文原件形式

根据《电子签名法》规定，数据电文需要被视为满足法律、法规规定的原件形式应符合的要求包括（）。
(题库题号:484) (1分)

A. 能够有效地表现所载内容
B. 能够可靠地保证自最终形成时起，内容保持完整、未被更改
C. 在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性
D. 可供随时调取查用

30. 密码法律法规遵从

按照《关键信息基础设施安全保护条例》，关键信息基础设施中的密码使用和管理还应当遵守的相关法律、行政法规有（）。
(题库题号:525) (1分)

A. 《密码法》
B. 《电子签名法》
C. 《商用密码管理条例》
D. 《网络安全等级保护基本要求》

31. 安全检查禁止行为

按照《关键信息基础设施安全保护条例》，在开展关键信息基础设施网络安全检查工作中，保护工作部门和其他有关检查部门不应当（）。
(题库题号:526) (1分)

A. 收取费用
B. 要求购买指定密码产品
C. 指定对检查风险进行整改的服务机构
D. 将获取的信息用于非检查工作的其他用途

32. 等保整改不规范做法

依据《信息安全等级保护管理办法》，某单位拟对其信息系统进行整改和升级，下列做法不正确的是（）。
(题库题号:527) (1分)

A. 采用美国最先进的密码产品
B. 使用本单位科研团队研发的先进密码产品
C. 将密码的配备使用情况向国家密码管理机构备案
D. 将信息系统中密码及密码设备的测评工作交由其他单位推荐的专家个人承担

33. 电子认证服务准入

根据《电子签名法》的规定，提供电子认证服务的主体应当具备的条件包括（）。
(题库题号:487) (1分)

A. 具有与提供电子认证服务相适应的专业技术人员和管理人员
B. 具有与提供电子认证服务相适应的资金和经营场所
C. 具有符合国家安全标准的技术和设备
D. 具有国家密码管理机构同意使用密码的证明文件

34. 网络安全审查办法概述

关于《网络安全审查办法》，以下说法正确的是（）。
(题库题号:528) (1分)

A. 网络安全审查涉及的对象包括所有网络运营者
B. 国家网络安全审查工作机制的组建和成员机构包括国家密码管理局
C. 网络安全审查办公室设在国家互联网信息办公室
D. 网络安全审查涉及对所使用的密码产品或服务的安全性评估

35. 认证证书载明内容

根据《电子签名法》规定，电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明的内容包括（）。
(题库题号:488) (1分)

A. 电子认证服务提供者名称
B. 证书持有人名称
C. 证书持有人的电子签名验证数据
D. 电子认证服务提供者的电子签名

36. 漏洞管理合规做法

某安全研究人员发现一款网络产品疑似存在密码漏洞，以下做法不符合《网络产品安全漏洞管理规定》的是（）。
(题库题号:530) (1分)

A. 在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息
B. 披露网络、信息系统及其设备中存在该安全漏洞的细节
C. 将漏洞信息与位于境外的安全社区共享
D. 如发布网络产品安全漏洞的，应同步发布修补或者防范措施

37. 密码审查相关规定

关于《网络安全审查办法》涉及的密码产品或服务，以下说法正确的是（）。
(题库题号:529) (1分)

A. 关键信息基础设施运营者采购密码产品或服务，应当了解其加密算法、密钥管理和协议等主要机制，预判采购后可能带来的国家安全风险
B. 国家密码管理局如果认为可能影响国家安全的密码产品或服务需要进行网络安全审查的，由网络安全审查办公室按程序报批后审查
C. 关键信息基础设施运营者应当强化密码产品和服务的供应链安全风险管理，预判采购后可能带来的国家安全风险
D. 在进行国家安全审查时，向关键信息基础设施运营者或网络平台运营者提供密码产品或服务的供应商需要配合网络安全审查

38. 产品漏洞维护措施

为了有效发现和修复商用密码产品中可能存在的安全漏洞，商用密码产品提供者可以（）。
(题库题号:532) (1分)

A. 为使用该密码产品的用户提供安全维护服务
B. 对发现并通报所提供的产品安全漏洞的组织或者个人给予奖励
C. 对网络上疑似发布产品安全漏洞信息的行为保持密切关注
D. 建立商用密码产品安全漏洞信息接收渠道并保持畅通

39. 密码漏洞性质与义务

关于网络产品的密码相关漏洞，以下说法正确的是（）。
(题库题号:531) (1分)

A. 产品提供者发现其网络产品存在漏洞等风险，应采取补救措施
B. 密码产品提供者应当在产品的质保期内持续提供安全维护
C. 产品提供者可以通过委托网络安全服务机构对使用中的密码产品直接进行漏洞检测评估
D. 密码漏洞不属于《网络安全法》规定的网络产品、服务漏洞

40. 政务项目建设禁令

按照《国家政务信息化项目建设管理办法》，以下属于项目建设单位不得新建、改建、扩建政务信息系统的情形是（）。
(题库题号:514) (1分)

A. 重复采集数据
B. 不符合密码应用要求
C. 不符合网络安全要求
D. 存在重大安全隐患

41. 密码技术秉承原则

中国提出《全球数据安全倡议》，对待密码技术应当秉承（）。
(题库题号:516) 已废弃 (1分)

A. 秉持发展和安全并重的原则
B. 平衡处理密码技术进步与经济发展的关系
C. 平衡处理密码技术进步与国家安全的关系
D. 平衡处理密码技术进步与社会公共利益的关系

42. 政务系统防护架构

根据《国家政务信息化项目建设管理办法》，在构建政务信息系统防护体系时，应按要求采用密码技术，整体安全架构要求是（）。
(题库题号:515) (1分)

A. 全方位
B. 多层次
C. 立体化
D. 一致性

43. 非法控制处罚标准

根据我国《刑法》规定，对计算机信息系统实施非法控制将面临的处罚描述正确的是（）。
(题库题号:518) (1分)

A. 情节严重的，处2年以下有期徒刑或拘役，并处或者单处罚金
B. 情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金
C. 情节特别严重的，处3年以上7年以下有期徒刑，并处罚金
D. 情节特别严重的，处2年以上5年以下有期徒刑，并处罚金

44. 全球数据安全倡议

关于我国在2020年提出的《全球数据安全倡议》，说法正确的有（）。
(题库题号:517) (1分)

A. 各国应积极维护全球信息技术产品和服务的供应链安全
B. 各国应反对利用信息技术破坏他国关键基础设施或窃取重要数据的行为
C. 各国应反对滥用信息技术从事针对他国的大规模监控行为
D. 企业不得利用用户对产品依赖性谋取不正当利益

45. 密码行政许可事项

根据《法律、行政法规、国务院决定设定的行政许可事项清单（2023年版）》的规定，下列属于行政许可事项的是（）。
(题库题号:315) (1分)

A. 商用密码科研成果审查鉴定
B. 商用密码产品质量检测机构审批
C. 电子认证服务使用密码许可
D. 电子政务电子认证服务机构资质认定

46. 废止的密码管理规定

国家密码管理局于2017年12月公布的《国家密码管理局关于废止和修改部分管理规定的决定》中，废止的管理规定有（）。
(题库题号:316) (1分)

A. 《商用密码产品销售管理规定》
B. 《商用密码产品使用管理规定》
C. 《商用密码科研管理规定》
D. 《境外组织和个人在华使用密码产品管理办法》

47. 条例修订思路

修订《商用密码管理条例》的总体思路包括（）。
(题库题号:317) (1分)

A. 坚持创新发展与保障安全相结合
B. 坚持放宽准入与规范监管相结合
C. 处理好条例与相关法律法规的关系
D. 坚持事中与事后监管相结合

48. 境外执法协助合规

A 公司接到某国刑事司法调查机构的协助执法函，要求提供相关的密码算法和密钥数据。根据我国《数据安全法》，下列表述是正确的是（）。
(题库题号:519) (1分)

A. 由于涉及司法调查，A 公司有义务提供相关密码数据
B. 如果相关密钥存储于境内，则 A 公司非经我国主管机关批准，不得提供
C. 如果使用的是未公开的密码算法，则 A 公司非经我国主管机关批准，不得提供
D. A 公司在任何情况下均不得提供商用密码算法和密钥

49. 政务项目备案文件

按照《国家政务信息化项目建设管理办法》，以下属于备案文件的有（）。
(题库题号:509) (1分)

A. 运行维护经费和渠道情况
B. 信息资源目录和共享开放情况
C. 等级保护或者分级保护备案情况
D. 密码应用方案和密码应用安全性评估报告

50. 商用密码认证机构

根据《商用密码管理条例》，以下关于商用密码认证机构的表述，正确的是（）。
(题库题号:322) (1分)

A. 从事商用密码认证活动的机构，应当依法取得商用密码认证机构资质
B. 申请商用密码认证机构资质，应当向地方市场监督管理部门提出书面申请
C. 地方市场监督管理部门在审查商用密码认证机构资质申请时，应当征求国家密码管理部门的意见
D. 商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查

51. 政务项目建设原则

按照《国家政务信息化项目建设管理办法》，国家政务信息化项目的建设管理应当坚持的原则有（）。
(题库题号:510) (1分)

A. 统筹规划
B. 共建共享
C. 业务协同
D. 安全可靠

52. 电子认证服务规范

根据《商用密码管理条例》，以下有关电子认证的表述，正确的是（）。
(题库题号:323) (1分)

A. 电子认证服务机构应当使用密码提供电子认证服务
B. 电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布
C. 采用商用密码技术从事电子政务电子认证服务的机构，应当经国家密码管理部门认定
D. 外商投资电子政务电子认证服务，可能影响国家安全的，应当依法进行网络安全审查

53. 限制进口技术因素

按照商务部、科技部《中国禁止进口限制进口技术目录》，是否限制进口时考虑的因素包括（）。
(题库题号:542) (1分)

A. 进口后将对国家安全、社会公共利益造成的不利影响
B. 进口后对生态环境产生的不利影响
C. 依照法律、行政法规的规定需要限制进口
D. 根据我国缔结或者参加的国际公约、国际协定的规定需要限制进口

54. 密码进出口适用情形

根据《商用密码管理条例》，商用密码的（），适用商用密码进出口规定。
(题库题号:324) (1分)

A. 过境、转运、通运、再出口
B. 在境外与综合保税区等海关特殊监管区域之间进出
C. 在境外与出口监管仓库之间进出
D. 在境外与保税物流中心之间进出

55. 政务项目安全监管

按照《国家政务信息化项目建设管理办法》，各部门在落实网络安全审查制度要求时应做到（）。
(题库题号:508) (1分)

A. 严格遵守有关保密等法律法规规定
B. 构建全方位、多层次、一致性的防护体系
C. 按要求采用密码技术
D. 定期开展密码应用安全性评估

56. 限制出口密码技术

按照商务部《中国禁止出口限制出口技术目录》，以下属于限制出口的密码的技术或产品包括（）
(题库题号:540) (1分)

A. 高速密码算法的密码芯片设计和实现技术
B. 量子密码技术
C. 密码漏洞发现和挖掘技术
D. 片上密码芯片（SOC）设计与实现技术

57. 商用密码检测机构

根据《商用密码管理条例》，以下对商用密码检测机构的表述正确的是（）。
(题库题号:318) (1分)

A. 从事商用密码产品检测活动的机构应当依法取得商用密码检测机构资质
B. 从事商用密码应用安全性评估活动的机构应当依法取得商用密码检测机构资质
C. 申请商用密码检测机构资质，可以向国家密码管理部门提出口头申请
D. 商用密码检测机构应当在批准范围内独立、公正、科学、诚信地开展商用密码检测

58. 商用密码保护与鼓励

下列有关《商用密码管理条例》的表述，正确的是（）。
(题库题号:319) (1分)

A. 国家依法保护商用密码领域的知识产权
B. 行政机关及其工作人员可以利用行政手段强制转让商用密码技术
C. 国家鼓励和支持商用密码科学技术成果转化和产业化应用
D. 国家支持商用密码科学技术自主创新

59. 限制进口加密强度

按照商务部《中国禁止进口限制进口技术目录》，以下属于限制进口的密码的技术或产品包括（）。
(题库题号:541) (1分)

A. 安全强度不高于64位加密算法的加密技术
B. 安全强度不高于128位加密算法的加密技术
C. 安全强度高于256位加密算法的加密技术
D. 安全强度高于1024位加密算法的加密技术

60. 外商投资合作原则

根据《商用密码管理条例》，国家鼓励在外商投资过程中基于（）开展商用密码技术合作。
(题库题号:320) (1分)

A. 自愿原则
B. 商业规则
C. 公平原则
D. 非歧视原则

61. 禁止出口密码技术

按照商务部《中国禁止出口限制出口技术目录》，以下属于禁止出口的密码的技术或产品包括（）。
(题库题号:539) (1分)

A. 涉及保密原理、方案及线路设计技术的卫星数据加密技术
B. 涉及加密与解密软件、硬件的卫星数据加密技术
C. 卫星及其运载无线电遥控遥测编码和加密技术
D. 北斗卫星导航系统信息传输加密技术

62. 商用密码标准化

根据《商用密码管理条例》，以下关于商用密码标准化要求，正确的是（）。
(题库题号:321) (1分)

A. 建立商用密码标准实施信息反馈和评估机制
B. 国家推动参与商用密码国际标准化活动
C. 鼓励企业、社会团体等参与商用密码国际标准化活动
D. 其他领域的标准涉及商用密码的，应当与商用密码国家标准保持协调

63. 重大影响出口审批

根据《商用密码管理条例》，对（）有重大影响的商用密码出口，由国务院商务主管部门会同国家密码管理部门等有关部门报国务院批准。
(题库题号:325) (1分)

A. 国家安全
B. 社会公共安全 (若选项为社会公共利益亦选)
C. 外交政策
D. 数据安全

64. 政务项目验收材料

按照《国家政务信息化项目建设管理办法》，国家政务信息化项目验收时，应提交的材料包括（）。
(题库题号:513) (1分)

A. 审计报告
B. 安全风险评估报告
C. 密码应用安全性评估报告
D. 财务报告

65. 政务项目验收内容

按照《国家政务信息化项目建设管理办法》，国家政务信息化项目验收的重要内容包括（）。
(题库题号:512) (1分)

A. 软硬件产品的安全可靠情况
B. 密码应用和安全审查情况
C. 硬件设备能源利用效率情况
D. 数据中心能源利用效率情况

66. 密码保障系统同步要求

根据《国家政务信息化项目建设管理办法》，建设单位在落实密码保障系统的要求时，应考虑（）。
(题库题号:511) (1分)

A. 同步设计
B. 同步规划
C. 同步建设
D. 同步运行

67. 密码合规性判断

测评过程中，重点从哪些方面，判断密码技术是否合规（）
(题库题号:5056) (1分)

A. 密码技术是否是由获得批准的商用密码产品实现
B. 密码技术的用途
C. 密码技术名称
D. 密码技术是否按标准正确使用

68. 密评监督检查内容

在国家和地方密码管理部门开展密码应用安全性评估工作监督检查过程中，检查的主要内容包括：
(题库题号:5068) (1分)

A. 测评机构开展测评工作的规范性、客观性、公正性、独立性
B. 测评报告的真实性、客观性、公正性
C. 重要领域的网络与信息系统的密码应用情况
D. 重要领域的网络与信息系统的密码应用整改情况

69. 职权启动审查

国家密码管理局发现某军工科研单位采购境外 A 公司商用密码产品，未申报审查。则下列表述正确的是（）。
(题库题号:478) (1分)

A. 国家密码管理局应当立即启动网络安全审查
B. 国家密码管理局应当告知该军工科研单位自行申报网络安全审查
C. 应当由网络安全审查办公室启动网络安全审查
D. 网络安全审查办公室应当报请中央网络安全和信息化委员会批准，才能够启动网络安全审查

70. 密码方案主要内容

密码应用解决方案主要包括哪几部分？
(题库题号:5065) (1分)

A. 系统现状分析，安全风险及控制需求，密码应用需求
B. 潜在的安全威胁（风险）分析
C. 总体方案设计、密码技术方案设计、管理体系设计与运维体系设计
D. 安全与合规性分析

71. 密评监督对象

密码应用安全性评估工作的监督检查的主要对象包括：
(题库题号:5064) (1分)

A. 测评机构开展工作的规范性检查
B. 重要领域的网络与信息系统的密码应用情况
C. 密码产品厂商产品合规性、一致性和有效性的检查
D. 测评报告的真实性、客观性、公正性的检查

72. 商用密码产品定义

商用密码产品是指实现（）等密码相关功能的硬件、软件、固件或其组合。 (1分)

A. 密码存储
B. 密码鉴别
C. 密码运算
D. 密码管理

73. 涉密人员分类

我国涉密人员分为（）。
(题库题号:627) (1分)

A. 核心涉密人员
B. 非常重要涉密人员
C. 重要涉密人员
D. 一般涉密人员

74. 信用监管机制

根据《商用密码管理条例》，密码管理部门和有关部门依法建立推行商用密码经营主体（）等机制。
(题库题号:326) (1分)

A. 信用记录
B. 信用分级分类监管
C. 失信惩戒
D. 信用修复

75. 密评机构事项变更报告

密评机构发生下列（）事项变更时，应在10个工作日内向国家密码管理局报告。
(题库题号:5052) (1分)

A. 测评机构名称发生变更
B. 测评机构法人发生变更
C. 测评机构股权结构发生变更
D. 测评机构主要负责人发生变更

76. 安全审查申报材料

根据《网络安全审查办法》，关键基础设施运营者申报商用密码国家安全审查，应当提供的材料包括（）。
(题库题号:477) (1分)

A. 申报书
B. 采购文件或协议
C. 关于影响或者可能影响国家安全的分析报告
D. 网络安全审查工作需要的其他材料

77. 国家机关采购审查启动

按照《网络安全审查办法》的内容，某国家机关欲采购某款境外设计的商用密码产品，下列表述正确的是（）。
(题库题号:476) (1分)

A. 该国家机关应当首先自行预判是否可能产生国家安全风险
B. 如果该机关认为可能产生国家安全风险，应当申报网络安全审查
C. 如果国家密码管理局认为可能产生国家安全风险，审查办公室可以依职权启动审查
D. 只能通过国家机关申请来启动网络安全审查

78. 测评准备表单

在测评准备活动中，需要准备和打印各类表单，主要包括：（）
(题库题号:5037) (1分)

A. 现场测评授权书
B. 风险告知书
C. 作业指导书
D. 文档交接单

79. 测评活动潜在风险

密码应用安全性测评工作的开展可能会给被测信息系统带来一定安全风险，主要有：
(题库题号:5038) (1分)

A. 验证测试可能影响系统正常运行
B. 工具测试可能影响系统正常运行
C. 可能导致业务数据被泄露
D. 可能导致加密机制被泄露

80. 风险分析赋值依据

在风险分析过程中，测评机构根据（），对被测信息系统面临的安全风险进行赋值。
(题库题号:5039) (1分)

A. 资产价值
B. 威胁类型及频率
C. 标准要求
D. 自身经验

81. 商用密码从业单位

商用密码从业单位主要包括（）等单位。
(题库题号:5048) (1分)

A. 科研
B. 生产
C. 销售
D. 服务

82. 密码保障系统示例

以下属于密码保障系统的是（）。
(题库题号:5009) (1分)

A. 数字证书认证系统
B. 城市污水净化处理系统
C. 增值税发票防伪税控系统
D. 政务服务平台电子印章系统

83. 现场测评活动内容

现场测评过程中，主要的活动包括（）
(题库题号:5017) (1分)

A. 确认密码部署是否合规
B. 对密码产品进行功能标准符合性检测
C. 实地检测密码配置是否正确
D. 授权接入系统后确认密码使用是否有效

84. 测评报告评审依据

测评报告初稿编制完成后，测评机构应组织内部评审，评审的主要依据：
(题库题号:5035) (1分)

A. 委托测评协议书
B. 测评委托单位提交的相关文档
C. 测评原始记录
D. 测评方案

85. 测评报告更改情况

发生以下情况时，可以对测评机构发出的报告进行更改。（）
(题库题号:5036) (1分)

A. 由于测评委托单位自身原因提出且合理的
B. 申诉后经复验证明原报告存在问题的
C. 测评机构发现测评报告存在问题的
D. 测评委托单位完成整改后要求做相应更改的

86. 测评实施能力要求

测评实施能力要求包括（）。
(题库题号:5050) (1分)

A. 测评人员应熟悉密码应用安全性评估相关管理规定
B. 测评机构应具备密评技术测评实施能力
C. 测评机构应具备密码应用安全性管理测评实施能力
D. 测评机构应具备系统整体评估能力

87. 测评机构人员要求

测评机构关于人员方面的要求包括（）。
(题库题号:5049) (1分)

A. 应配备测评技术负责人1人
B. 应配备质量负责人1人
C. 测评人员应为签订正式合同的员工
D. 测评人员应通过密码应用安全性测评人员考核

88. 检测认证工作原则

根据《关于开展商用密码检测认证工作的实施意见》，应当坚持的基本原则包括（）。
(题库题号:314) (1分)

A. 统一管理
B. 共同实施
C. 规范有序
D. 保障安全

89. 取消证明事项

按照《关于取消证明事项的通知》，以下事项不再要求企业提供书面证明的有（）。
(题库题号:313) (1分)

A. 申请商用密码科研成果审查鉴定的知识产权证明
B. 申请商用密码产品质量检测机构审批时的质量检测能力其它证明
C. 申请商用密码产品出口许可的法人资格证明
D. 申请电子认证使用密码许可证名称变更的名称变更证明

90. 商用密码产品目录示例

以下属于商用密码产品的有（）。
(题库题号:312) (1分)

A. 可信密码模块
B. 云服务器密码机
C. 随机数发生器
D. 安全浏览器密码模块

91. 测评工具使用确认

使用测评工具前，测评人员应确定如下内容（）
(题库题号:5059) (1分)

A. 测评对象
B. 测评指标
C. 测评工具接入点
D. 测评内容

92. 个人信息主体权利

按照《个人信息保护法》，以下属于个人信息的主体可以合理行使的权利有（）。
(题库题号:506) (1分)

A. 要求复制一份自己的个人信息
B. 拒绝填写非必填内容的个人资料
C. 要求对所使用的加密技术进行说明
D. 要求删除自己的个人信息并提供删除凭证

93. 个人信息安全保护措施

为确保个人信息处理活动合规，处理者应当采取下列哪些措施（）。
(题库题号:507) (1分)

A. 制定内部管理制度和操作规程
B. 对个人信息实行分类管理
C. 采取相应的加密、去标识化等安全技术措施
D. 制定并组织实施个人信息安全事件应急预案

94. 个人信息出境保护机制

按照《个人信息保护法》，在个人信息出境前，应考虑的安全保护机制有（）。
(题库题号:505) (1分)

A. 制定出境计划
B. 开展出境评估
C. 进行加密或采取去标识化措施
D. 签订出境合同

95. 漏洞擅自披露法律责任

某漏洞平台擅自将挖掘的某款商用密码产品漏洞公布在网站上，针对这一行为，下列表述正确的是（）。
(题库题号:494) (1分)

A. 该平台披露漏洞的行为无主观恶意，故不需要承担法律责任
B. 不得在商用密码产品提供者提供漏洞修补措施之前发布漏洞信息
C. 主管部门可责令该平台暂停相关业务
D. 可对该平台的直接负责主管人员和其他直接责任人员处以罚款

96. 产品服务安全义务

商用密码产品和服务提供者应当承担必要的产品和服务安全义务，下列行为会导致法律责任的有（）。
(题库题号:493) (1分)

A. 设置恶意程序
B. 对存在的安全缺陷、漏洞未立即采取补救措施
C. 未按照规定及时告知用户并向有关主管部门报告
D. 擅自终止为其产品、服务提供安全维护

97. 勒索行为规制法律

我国能够用于规制 Wannacry 勒索行为的现行立法包括（）。
(题库题号:492) (1分)

A. 《密码法》
B. 《网络安全法》
C. 《刑法》
D. 《治安管理处罚法》

98. 电商平台数据泄露责任

A 平台为形成“用户画像”，要求对用户交易数据不实行加密，后导致数据大规模泄露。下列表述正确的是（）。
(题库题号:491) (1分)

A. 我国立法中没有明确规定，故不属于违法行为
B. 违反《网络安全法》关于网络安全保护的规定
C. 由于泄露系第三方攻击造成，故 A 平台不承担法律责任
D. 对 A 平台及其直接负责的主管人员均应当处以罚款

99. 电子认证服务规范要求

根据《电子签名法》规定，开展电子认证服务应当遵循的规范要求包括（）。
(题库题号:489) (1分)

A. 依法制定并公布电子认证业务规则
B. 确保证书准确无误，在有效期内完整、准确
C. 暂停或终止服务前应对业务承接进行妥善安排
D. 妥善保存与认证相关的信息

100. 等级保护安全保护义务

根据《网络安全法》，网络运营者应当履行的安全保护义务除加密外，还包括（）。
(题库题号:490) (1分)

A. 确定网络安全负责人
B. 采取防范网络攻击的技术措施
C. 数据分类
D. 重要数据备份

1月1日 密评法规+标准（多选02）