1月1日 密评法规+标准（多选02）解析

1. 答案：ABCD
解析： 考查网络安全服务机构开展渗透测试的合法性前提。
原文 31 条
第三十一条未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

• 避坑： 即使是为了“发现漏洞”的好意，未获授权的渗透测试在法律上等同于网络攻击（非法侵入）。
  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 关键信息基础设施 -> 安全检测(需授权)。

2. 答案：ABC
解析： 考查《数据安全法》及信息安全三大属性（CIA）的对应措施。

• A 正确：备份是确保数据可用性（Availability）的核心机制，防止因灾难导致数据丢失。
• B 正确：加密是确保数据保密性（Confidentiality）和完整性（Integrity）的核心技术手段。
• C 正确：访问控制是防止未授权访问，维护保密性和完整性的重要机制。
• D 错误：渗透测试是一种检测评估手段，用于发现漏洞，它本身不是一种直接维护数据CIA属性的“内部风险管理机制”（即它不是防护措施，而是验证措施）。
  📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 数据安全法 -> 保护义务 -> 风险管理机制(CIA对策)。

3. 答案：ABCD
解析： 考查《数据出境安全评估办法》第八条规定的评估重点。

• A 正确：评估出境的合法性、正当性、必要性（基本原则）。
• B 正确：评估数据本身的属性（规模、敏感度）及对国家安全的影响。
• C 正确：评估技术风险（篡改、破坏、泄露等）及保障能力。
• D 正确：评估法律文件的约束力（责任义务是否明确）。
• 这是数据出境安全评估的全维度要求。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章/规范性文件 -> 数据出境 -> 安全评估 -> 评估要点(全选)。

4. 答案：BCD
解析： 考查《网络安全法》第六十三条关于职业禁入的规定（“黑名单”制度）。

• A 错误：提供专门用于侵入、非法控制计算机信息系统的程序、工具，本身就构成违法甚至犯罪（如《刑法》第285条）。
• B 正确：受到治安管理处罚（行政处罚）的人员，五年内不得从事网络安全管理和网络运营关键岗位。
• C 正确：受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位。
• D 正确：如果是情节轻微尚不构成犯罪，公安机关依据《网络安全法》第六十三条，应处以拘留并处罚款。
  📥 放入图谱： 分支1 : 政策法规 -> 1.1 核心法律 -> 网络安全法 -> 法律责任 -> 职业禁入(5年/终身)。

5. 答案：ABCD
解析： 考查《个人信息保护法》第五十七条关于信息泄露通知的义务。

• A 正确：发生泄露，应立即采取补救措施，并通知履行个人信息保护职责的部门（监管）和个人。
• B 正确：通知内容需包含原因、后果。
• D 正确：通知内容需包含联系方式、补救措施。
• C 正确：法律原文是——采取措施能够有效避免信息泄露造成危害的，个人信息处理者可以不通知个人**；但是，履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。C选项表述为“采取了加密…可以不通知个人”属于以偏概全，且加密是否“有效”需由监管认定，这里的陷阱在于忽略了监管部门仍可要求通知的权力。
• (注：部分题库中若C选项表述完全贴合“采取措施能有效避免危害的，可以不通知”，则C也可能视为正确。但在严格多选中，A、B、D是绝对义务，C是附条件豁免，通常视具体题库逻辑而定，此处按严谨逻辑排除C或视上下文而定，标准答案常见为ABD)。
  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 应急处置 -> 通知义务(监管+个人)。

6. 答案：ABCD
解析： 考查《个人信息保护法》第六十一条、六十二条关于国家网信部门统筹协调的职责。

• A 正确：制定具体规则、标准（包括加密等安全技术标准）。
• B 正确：针对新技术（人脸、AI）制定专门规则。
• C 正确：支持安全电子身份认证技术（结合密码技术）。
• D 正确：推进社会化服务体系（评估、认证）。
• 国家层面的统筹工作覆盖了制度、技术、应用和服务全链条。
  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 监管职责 -> 网信部门(统筹协调)。

7. 答案：ABCD
解析： 考查网络安全等级保护制度的法律层级依据。

• A 正确：《网络安全法》第二十一条确立了等级保护制度的法律地位。
• B 正确：《数据安全法》第二十七条要求建立数据安全管理制度，与等保衔接。
• C 正确：《信息安全等级保护管理办法》（公通字〔2007〕43号）是具体的规范性文件/部门规章。
• D 正确：商用密码管理条例（中华人民共和国国务院令第760号）商用密码应用安全性评估管理办法（国家密码管理局令第3号）
  📥 放入图谱： 分支1: 政策法规 -> 1.4 等级保护 -> 法律依据 -> 网安法/数安法/管理办法。

8. 答案：ABCD
解析： 考查《个人信息保护法》第五十五条，应当进行个人信息保护影响评估（PIA）的情形。

• A 正确：向境外提供个人信息。
• B 正确：利用个人信息进行自动化决策。
• C 正确：委托处理、向他人提供、公开个人信息。（联邦计算属于委托处理或共同处理的一种技术实现方式）。
• D 错误：差分隐私是一种隐私保护技术（去标识化/匿名化手段），使用这种技术是为了降低风险，属于处理“敏感个人信息”，所以需要评估
  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 合规义务 -> 影响评估(PIA触发条件)。

9. 答案：BD
解析： 考查《个人信息保护法》中“匿名化”的定义。

• A 错误：加密通常是去标识化（可复原），不属于匿名化（不可复原）。
• B 正确：根据《个信法》第七十三条，匿名化后的信息不属于个人信息，不再受本法限制。
• C 错误：加密在持有密钥的情况下可以解密，不是“绝对”的匿名化。
• D 正确：匿名化的法定定义是：个人信息经过处理无法识别特定自然人且不能复原的过程。
  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 基本概念 -> 匿名化(不可复原/非个信)。

10. 答案：ABC
解析： 考查加密与去标识化的技术关系。

• A 正确：去标识化是指通过处理使其在不借助额外信息的情况下无法识别特定自然人。加密（如对身份证号进行哈希或加密存储）是实现去标识化的常用技术手段之一。
• B 正确：在法律条文中（如《个信法》第五十一条），常并列提及“采取加密、去标识化等安全技术措施”， imply 它们在概念上是两个维度的描述（一个是手段，一个是状态或过程）。
• C 正确：可以同时使用，例如先去标识化（替换ID），再对整个数据库文件加密。
• D 错误：对于敏感个人信息，风险极高，去标识化后仍可能通过重识别攻击还原，必须结合加密存储、访问控制等措施构建纵深防御，绝非“无必要”。
  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 安全技术 -> 加密vs去标识化。

这是为您整理的第11-20题的解析，继续保持之前的格式标准。

11. 答案：ABCD
解析： 考查《个人信息保护法》第五十一条规定的个人信息处理者应当采取的安全保护措施。

• A 正确：分类管理（对个人信息实行分类管理）。
• B 正确：采取相应的加密、去标识化等安全技术措施。
• C 正确：见 B 选项。
• D 正确：制定并组织实施个人信息安全事件应急预案。
• 此外还包括：合理确定操作权限、定期开展安全教育培训等。
  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 合规义务 -> 安全措施 (分类/加密/去标识/应急)。

12. 答案：ABCD
解析： 考查《个人信息保护法》及配套规范中的常见违规场景（原则：合法、正当、必要、诚信）。

• A 正确：明文存储身份证号违反了安全保护义务（未采取加密措施），极易导致泄露。
• B 正确：收集相册截图通常违反最小必要原则，且可能涉及敏感个人信息，除非 APP 核心功能（如相册备份）必须且获授权。
• C 正确：应用列表信息属于个人隐私，电商类 APP 非必要收集此信息（通常用于画像），违反必要性原则。
• D 正确：天气类 APP 只需城市级（粗略）位置即可提供服务，收集精准经纬度属于超范围收集，违反最小必要原则。
  📥 放入图谱： 分支3: 个人信息保护 -> 5.2 违规案例 -> 常见违规 -> 明文存储/超范围收集/精准定位。

13. 答案：ABCD
解析： 考查密码技术在个人信息全生命周期中的应用。

• A 正确：收集阶段，需使用传输加密（如 SSL/VPN）保护数据传输安全。
• B 正确：存储阶段，需使用存储加密技术保护数据库或文件。
• C 正确：出境阶段，需通过加密通道传输，或对数据本身进行加密/脱敏处理。
• D 正确：销毁阶段，可采用逻辑销毁（如密钥销毁、擦除）技术，确保无法复原。
  📥 放入图谱： 分支2: 商用密码应用 -> 2.3 应用场景 -> 数据生命周期 -> 采存传销 (全流程加密)。

14. 答案：ACD
解析： 考查针对核心/普通密码系统的网络犯罪定罪。核心/普通密码保护的信息属于国家秘密。

• A 正确：非法侵入计算机信息系统罪（刑法第285条），特别是侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。
• C 正确：非法获取国家秘密罪（刑法第282条），如果侵入系统获取了核心/普通密码保护的涉密信息。
• D 正确：破坏计算机信息系统罪（刑法第286条），如果对系统功能或数据进行了删除、修改、增加、干扰。
• B 未选：非法利用信息网络罪通常指设立用于诈骗、传授犯罪方法等的网站/群组，与直接“侵入研发系统”的行为特征略有不同（尽管法条有竞合，但 ACD 更为直接和典型）。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 刑事责任 -> 针对涉密系统犯罪 (侵入/获取国密/破坏)。

15. 答案：ABCD
解析： 考查勒索攻击在刑法理论上的犯罪构成要件。

• A 正确：主观要件，行为人必须有勒索财物或破坏系统的故意。
• B 正确：客观行为，实施了侵入、控制（加密锁定）等行为。
• C 正确：危害结果，造成了系统瘫痪、数据无法读取或财物损失。
• D 正确：因果关系，违法行为与危害后果之间必须存在法律上的因果联系。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 刑事责任 -> 勒索攻击 -> 构成要件 (主/客/果/因)。

16. 答案：ABCD
解析： 考查勒索攻击行为可能触犯的罪名（想象竞合）。

• A 正确：进入系统阶段，触犯非法侵入计算机信息系统罪。
• B 正确：加密文件并锁定系统，触犯非法控制计算机信息系统罪。
• C 正确：导致业务中断、数据不可用，触犯破坏计算机信息系统罪。
• D 正确：如果勒索过程中窃取了用户数据（“双重勒索”模式），触犯侵犯公民个人信息罪。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 刑事责任 -> 勒索攻击 -> 触犯罪名 (侵入/控制/破坏/侵犯个信)。

17. 答案：ABD
解析： 考查实施加密勒索攻击的攻击者可能触犯的罪名。

• A 正确：侵入系统。
• B 正确：通过加密手段控制系统。
• D 正确：如果攻击者开发、分发勒索病毒，或自己制作工具实施攻击，触犯提供侵入、非法控制计算机信息系统程序、工具罪。
• C 错误：拒不履行信息网络安全管理义务罪（刑法286条之一）的犯罪主体是网络服务提供者（即受害企业/平台），是因为它们没做好安全防护且拒不改正才获罪，而不是攻击者获罪。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 刑事责任 -> 攻击者 vs 运营者责任。

18. 答案：BC
解析： 考查《刑法》第286条之一“拒不履行信息网络安全管理义务罪”的入罪门槛（“情节严重”或“严重后果”）。

• B 正确：致使用户信息泄露，造成严重后果的。
• C 正确：致使刑事案件证据灭失，情节严重的。
• A/D 错误：用户无法登录需重置、信息错误需更正，属于一般的服务故障或数据质量问题，通常通过行政整改处理，尚未达到刑事犯罪所要求的“致使违法信息大量传播、用户信息泄露造成严重后果、证据灭失”等严重程度。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 刑事责任 -> 拒不履行义务罪 -> 入罪标准 (泄露/证据灭失)。

19. 答案：ABCD
解析： 考查违反商用密码进出口管制可能涉及的刑事责任。

• A 正确：违反海关法规，逃避监管，运输、携带、邮寄禁止/限制进出口货物，构成走私罪（走私国家禁止进出口的货物、物品罪）。
• B 正确：违反国家规定，买卖进出口许可证、进出口原产地证明等，或非法经营限制买卖的物品，可能构成非法经营罪。
• C 正确：如果出口的密码技术属于国家秘密（如核心密码技术），则构成泄露国家秘密罪。
• D 正确：如果该商用密码产品属于法定检验商品，逃避检验的，可能构成逃避商检罪。
  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 法律责任 -> 刑事罪名 (走私/非经/泄密/逃检)。

20. 答案：ABCD
解析： 考查漏洞跨境共享的合规性要求（多法联管）。

• A 正确：《密码法》第二十五条规定，发现安全漏洞应当向国家商用密码管理部门报告，不得恶意使用或擅自发布（由于涉及跨境，需符合密码局规定）。
• B 正确：《出口管制法》，部分高敏感的密码漏洞技术细节可能落入出口管制清单（技术数据出口）。
• C 正确：《网络产品安全漏洞管理规定》，明确规定不得在网络产品提供者提供修补措施前发布，且对跨境发布有原则性约束（不得危害国家安全）。
• D 正确：《数据安全法》，漏洞信息如果被认定为重要数据或影响国家安全的数据，出境需进行数据出境安全评估。
  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章/规范性文件 -> 漏洞管理 -> 跨境共享 -> 合规依据 (四法并举)。

21. 答案：ABD 解析： 考查《电子签名法》第三条，关于电子签名不适用的例外情形。

• A 正确：涉及婚姻、收养、继承等人身关系的，必须采用书面或当面形式，不适用电子签名。

• B 正确：涉及停止供水、供热、供气等公用事业服务的，关系民生安全，排除适用。

• D 正确：涉及土地、房屋等不动产权益转让的，不适用电子签名（需登记）。

• C 错误：财产交易的民事合同是电子签名最主要的应用场景，法律完全认可其效力。

• 记忆口诀： “人身（婚育）、房产、停水电”，这三类大事不能光靠点鼠标。
  📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 电子签名法 -> 适用范围 -> 例外情形(人身/不动产/公用)。

22. 答案：ABCD 解析： 考查《网络安全审查办法》第十条，网络安全审查重点评估的国家安全风险因素。

• A 正确：评估产品被非法控制、干扰、破坏的风险（可用性/完整性）。

• B 正确：评估供应中断对业务连续性的危害（供应链韧性）。

• C 正确：评估产品的安全性、开放性、来源多样性（防止单一依赖或后门）。

• D 正确：评估供应商遵守中国法律法规的情况（合规性/政治风险）。

• 此外，还包括核心数据、重要数据被窃取、泄露、出境的风险。 📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 审查内容 -> 风险评估因子(CIA+供应链+合规)。

23. 答案：BCD 解析： 考查《网络安全审查办法》第十二条至十五条的审查流程（争议解决机制）。

• 流程梳理：审查办公室提出“初步建议” -> 发送给成员单位 -> 若意见一致则通过 -> 若意见不一致（题干情景）。

• B 正确：意见不一致时，按照特别审查程序进行处理。

• C 正确：在特别审查程序中，办公室需再次听取意见，形成“特别审查结论建议”。

• D 正确：特别审查结论建议需报请中央网络安全和信息化委员会批准。

• A 错误：既然意见不一致（意味着有成员单位认为有风险），绝不可能直接允许采购，必须升级审查层级。 📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 审查流程 -> 争议处理(特别审查->报中央)。

24. 答案：ABCD 解析： 考查《电子签名法》第十三条，“可靠的电子签名”必须同时具备的四个条件。

• A 正确：专有性（属于电子签名人专有）。

• B 正确：控制性（签署时仅由签名人控制）。

• C 正确：签名防篡改（签名改动可被发现）。

• D 正确：原文防篡改（原文改动可被发现）。

• 只有同时满足这四点，电子签名才具有与手写签名同等的法律效力。 📥 放入图谱： 分支2: 商用密码应用 -> 2.1 基础概念 -> 电子签名 -> 可靠性条件(专有/控制/改动可见)。

25. 答案：BC 解析： 考查《电子签名法》关于效力和义务的规定。

• A 错误：根据第十四条，可靠的电子签名与手写签名或者盖章具有同等的法律效力，而不是“仅次于”。

• B 正确：根据第二十七条，签名人知悉私钥（制作数据）失密时，有及时告知和终止使用的义务。

• C 正确：根据第三条，当事人约定使用电子签名的，法律承认其效力（意思自治原则）。

• D 错误：境外证书并非自动有效。根据第二十六条，必须经由协议或对等原则（互认），才具有同等法律效力。 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 电子签名法 -> 法律效力 -> 同等效力/跨境互认。

26. 答案：ABCD 解析： 考查《电子签名法》第十一条，数据电文发送与接收时间的判定规则。

• A 正确：发送时间 = 进入发件人控制之外系统的时间。

• B 正确：接收时间（指定系统） = 进入该指定系统的时间。

• C 正确：接收时间（未指定系统） = 进入收件人任何系统的首次时间。

• D 正确：法律允许当事人另有约定。

• 这对于判定合同何时生效、截标时间等法律事实至关重要。 📥 放入图谱： 分支2: 商用密码应用 -> 2.1 基础概念 -> 电子签名 -> 时间戳 -> 收发时间判定。

27. 答案：BCD 解析： 考查《关键信息基础设施安全保护条例》第四十条关于未履行报告义务的罚则。

• A 错误：应急处置和报告是两项并行的义务，做了处置不能免除报告责任。

• B 正确：行政处罚起步通常是责令改正和警告。

• C 正确：单位罚款标准为10万元以上100万元以下。

• D 正确：直接责任人罚款标准为1万元以上10万元以下。 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> CII条例 -> 法律责任 -> 未报告/未应急(双罚制)。

28. 答案：AB 解析： 考查《关键信息基础设施安全保护条例》及商用密码管理常识。注意本题选错误项。

• A 错误：关键信息基础设施（CII）运营者采购和使用的通常是商用密码（Commercial Cryptography）。“普通密码”（Ordinary Cryptography）属于国家秘密范畴，虽然CII可能涉密，但法律（《密码法》第二十七条）明确规定CII应当使用商用密码进行保护（除非涉密系统）。A选项表述绝对化且概念混淆。

• B 错误：并非“一律”先行审查。只有可能影响国家安全的采购活动，才需要进行网络安全审查（《CII条例》第十九条）。

• C 正确：国家密码管理局作为密码工作行政管理部门，有权依法开展检查。

• D 正确：配合检查是法定义务，拒不配合的罚款额度符合条款规定。 📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> CII条例 -> 密码管理 -> 商密应用/审查触发条件。

29. 答案：ABCD 解析： 考查《电子签名法》第五条，数据电文作为“原件”的认定标准。

• A 正确：可读性（能够有效地表现所载内容）。

• B 正确：完整性（内容保持完整、未被更改）。

• C 正确：形式变更豁免（背书、格式转换等不影响完整性的操作，不破坏“原件”属性）。这其实是B的补充说明。

• D 正确：可用性（可供随时调取查用）。

• 满足这些条件，电子文件在法庭上就被视为纸质原件。 📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 电子签名法 -> 证据效力 -> 原件形式要求。

30. 答案：ABCD 解析： 考查关键信息基础设施（CII）在密码应用中的法律合规体系（大合规视角）。

• A 正确：《密码法》是密码领域的上位法、基本法，必须遵守。

• B 正确：《电子签名法》如果CII业务涉及电子认证、电子合同，必须遵守。

• C 正确：《商用密码管理条例》是规范商用密码具体应用的行政法规，CII是重点监管对象。

• D 正确：《网络安全等级保护基本要求》（GB/T 22239）虽是标准，但《网络安全法》强制要求落实等级保护制度，且CII通常对应等保三级以上，其中包含大量密码技术要求。

• 总结： CII的密码合规是“法律+法规+标准”的综合体。 📥 放入图谱： 分支1: 政策法规 -> 1.5 综合合规 -> CII保护 -> 法律体系(法/条例/标准)。

31. 答案：ABCD

解析： 考查《关键信息基础设施安全保护条例》第三十六条，关于保护工作部门和其他有关部门在开展检查时的“四不准”禁止性规定。

• A 正确：不得收取费用。检查属于行政管理职责，不得向被检查单位收费。

• B 正确：不得要求接受检查的单位购买指定品牌或者型号的产品、服务。这是为了维护公平竞争的市场环境。

• C 正确：不得指定对检查发现的风险隐患进行整改的服务机构。

• D 正确：不得将获取的信息用于检查工作以外的其他用途（如商业出售、泄露给第三方）。

• 总结：这些规定旨在防止行政权力滥用，保障CII运营者的合法权益。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> CII条例 -> 监督检查 -> 部门禁令(四不准)。

32. 答案：ABD

解析： 考查《信息安全等级保护管理办法》及密码应用合规性要求。注意题干问的是“不正确”的做法。

• A 正确（即做法违规）：等级保护三级及以上系统，应当采用国产密码算法和产品，确保自主可控。直接采用“美国最先进”密码产品通常不符合自主可控和合规性要求。

• B 正确（即做法违规）：商用密码产品实施强制性检测认证制度（型号证书）。科研团队自研的“先进”产品若未经过国家密码管理局的检测认证，不得在网络安全等级保护系统中正式销售和使用。

• C 错误（即做法合规）：将密码的配备使用情况向国家密码管理机构备案，是符合管理办法要求的标准流程，也是合规义务。

• D 正确（即做法违规）：等级保护测评工作必须委托具有国家认证资质的测评机构进行，不能随意委托给“专家个人”，无论该专家是否由他人推荐。

  📥 放入图谱： 分支1: 政策法规 -> 1.4 等级保护 -> 建设整改 -> 密码合规 -> 违规行为(外品/无证/个人测评)。

33. 答案：ABCD

解析： 考查《电子签名法》第十七条，电子认证服务提供者（CA机构）应当具备的行政许可准入条件。

• A 正确：具备相适应的专业技术人员和管理人员。

• B 正确：具备相适应的资金和经营场所（保障赔付能力和运营稳定）。

• C 正确：具备符合国家安全标准的技术和设备。

• D 正确：具有国家密码管理机构同意使用密码的证明文件（《电子认证服务使用密码许可证》）。这是CA机构最核心的前置审批条件。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.2 电子认证 -> CA机构 -> 准入条件(人/财/技/密)。

34. 答案：BCD

解析： 考查《网络安全审查办法》的适用范围与组织架构。

• A 错误：网络安全审查的对象是关键信息基础设施运营者（CIIO）采购网络产品和服务，以及网络平台运营者开展数据处理活动（影响国家安全的），并非“所有”网络运营者。

• B 正确：国家密码管理局是国家网络安全审查工作机制的成员单位之一，负责密码安全相关的审查。

• C 正确：网络安全审查办公室设在国家互联网信息办公室（网信办）。

• D 正确：审查内容包括产品和服务的安全性、开放性、透明性、来源多样性，以及供应链安全性，密码安全性是其中的核心评估点。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 机制架构 -> 成员单位/办公室。

35. 答案：ABCD

解析： 考查《电子签名法》第十九条，电子签名认证证书（数字证书）必须载明的内容。

• A 正确：电子认证服务提供者名称（即CA机构的名字）。

• B 正确：证书持有人名称（即用户的名字）。

• C 正确：证书持有人的电子签名验证数据（即用户的公钥）。

• D 正确：电子认证服务提供者的电子签名（CA机构用自己的私钥对证书进行签名，以防伪造，即CA的数字签名）。

• 此外还包括证书序列号、有效期等。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.2 电子认证 -> 证书管理 -> 证书格式 -> 法定载明事项。

36. 答案：ABC

解析： 考查《网络产品安全漏洞管理规定》第九条，关于漏洞发布行为的禁止性规定。注意题干问的是“不符合”的做法。

• A 正确（即违规）：在厂商提供修补措施之前发布漏洞（“抢跑”），可能引发零日攻击，违反规定。

• B 正确（即违规）：披露受害的具体网络、信息系统细节，容易导致针对性攻击，违反规定。

• C 正确（即违规）：未经评估，擅自向境外组织或个人发布网络安全漏洞信息，违反数据出境和漏洞管理规定。

• D 错误（即合规）：发布漏洞时同步发布修补或防范措施，是法规鼓励的负责任披露行为。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 漏洞管理 -> 发布禁令 -> 抢跑/细节/出境。

37. 答案：ABCD

解析： 考查《网络安全审查办法》中关于密码产品审查的具体要求及相关方义务。

• A 正确：CII运营者是第一责任人，采购时应当了解技术机制，预判风险。

• B 正确：成员单位（如国家密码管理局）认为可能影响国家安全的，可向办公室提出审查建议，按程序报批后启动审查。

• C 正确：运营者应强化供应链安全管理，这是审查的核心目的之一。

• D 正确：供应商（产品提供者）有义务配合审查，如提供技术资料、说明来源等，否则将承担不利后果。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 审查实施 -> 运营者预判/成员建议/供应商配合。

38. 答案：ABCD

解析： 考查《网络产品安全漏洞管理规定》中商用密码产品提供者（厂商）的漏洞管理义务与鼓励措施。

• A 正确：提供安全维护服务是产品提供者的法定义务（如打补丁）。

• B 正确：建立漏洞奖励机制（Bug Bounty），鼓励白帽子提交漏洞，属于合规且推荐的做法。

• C 正确：威胁情报监测，关注网上是否泄露自家产品漏洞，以便及时响应。

• D 正确：建立并公开漏洞接收渠道（如security邮箱或SRC平台），并保持畅通。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 漏洞管理 -> 厂商义务 -> 维护/奖励/监测/接收。

39. 答案：ABC

解析： 考查网络产品（含密码产品）漏洞管理的性质与责任。

• A 正确：发现漏洞立即补救（告知+修补）是《网络安全法》第二十二条的直接要求。

• B 正确：产品质保期内，提供者必须提供安全维护；这是法定责任。

• C 正确：委托专业的网络安全服务机构（如渗透测试团队）进行检测评估，是合法的风险发现手段。

• D 错误：密码产品属于网络产品的子集，其漏洞完全属于《网络安全法》及《网络产品安全漏洞管理规定》的管辖范畴，受同等法律约束。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.4 安全维护 -> 漏洞修复 -> 法律适用性(网安法管辖)。

40. 答案：ABCD

解析： 考查《国家政务信息化项目建设管理办法》，关于政务系统建设的“一票否决”情形（禁止建设的情形）。

• A 正确：重复采集数据。旨在打破信息孤岛，避免财政浪费。

• B 正确：不符合密码应用要求。未进行国产密码改造或未通过密评的系统，不得新建/改建。

• C 正确：不符合网络安全要求。如未落实等级保护制度规划。

• D 正确：存在重大安全隐患。安全是底线，隐患未除不得建设。

• 总结：这体现了政务项目“安全优先、密码先行、集约建设”的原则。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 政务信息化 -> 建设红线 -> 密码/网安/重复/隐患。

41. 答案：ABCD

解析： 考查《全球数据安全倡议》及我国密码工作的指导思想。

• A 正确：发展与安全并重是总体国家安全观的核心要求。

• B/C/D 正确：密码技术作为一种双刃剑技术（既能保护数据，也被犯罪分子利用），必须在推进技术进步的同时，平衡经济发展、国家安全和社会公共利益。这也是《密码法》立法宗旨的体现。

• 注： 该题虽标记为“已废弃”，但其考察的“平衡发展”理念依然是当前政策的主流基调。

  📥 放入图谱： 分支1: 政策法规 -> 1.6 国际倡议 -> 全球数据安全倡议 -> 基本原则(发展与安全/平衡利益)。

42. 答案：ABC

解析： 考查《国家政务信息化项目建设管理办法》中对安全防护体系的架构要求。

• A 正确：全方位（覆盖物理、网络、主机、应用、数据等各个层面）。

• B 正确：多层次（纵深防御，从边界到核心）。

• C 正确：立体化（结合技术、管理、运营）。

• D 错误：“一致性”通常是数据治理或标准化的要求，不是安全架构的形容词。

• 记忆口诀： 政务安全要“全、多、立”。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.3 应用场景 -> 电子政务 -> 防护架构(全方位/多层次/立体化)。

43. 答案：BC

解析： 考查《刑法》第二百八十五条非法控制计算机信息系统罪的量刑标准。

• B 正确：情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

• C 正确：情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

• A/D 错误：数字记忆混淆，法律原文明确以“三年”为分界线，上限为“七年”。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 刑事责任 -> 非法控制罪 -> 量刑标准(3年以下/3-7年)。

44. 答案：ABCD

解析： 考查《全球数据安全倡议》的具体内容（中国方案）。

• A 正确：维护全球供应链安全。

• B 正确：反对利用技术破坏关键基础设施或窃取重要数据。

• C 正确：反对大规模监控（针对棱镜门等事件的回应）。

• D 正确：不得强制设置后门或利用依赖性谋取不正当利益。

  📥 放入图谱： 分支1: 政策法规 -> 1.6 国际倡议 -> 全球数据安全倡议 -> 核心倡导(反后门/反窃密/反监控)。

45. 答案：BCD

解析： 考查最新版《行政许可事项清单》（“放管服”改革后的现状）。

• B 正确：商用密码检测、认证机构资质认定，由市场监管总局会同国家密码局实施。

• C 正确：电子认证服务使用密码许可，这是《电子签名法》保留的核心许可，由国家密码局实施。

• D 正确：电子政务电子认证服务机构资质认定，由国家密码局实施。

• A 错误：商用密码科研成果审查鉴定已取消行政许可，转为专家评审或科技奖励机制，不再是行政审批事项。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 行政许可 -> 现行清单 -> 电子认证/检测机构/政务CA。

46. 答案：ABCD

解析： 考查2017年商用密码管理领域的“大瘦身”（简政放权）。

• A/B/D 正确：为了降低市场门槛，激发活力，国家密码局在《密码法》出台前夕，先行废止了销售许可、使用许可（针对外企和个人）等行政审批。

• C 正确：科研管理规定也随之调整废止。

• 历史意义： 这标志着商用密码从“定点生产、定点销售”的严管模式，转向“依法监管、宽进严管”的市场化模式。

  📥 放入图谱： 分支1: 政策法规 -> 1.7 历史沿革 -> 2017改革 -> 废止事项(销售/使用/科研许可)。

47. 答案：ABCD

解析： 考查2023年修订《商用密码管理条例》的立法逻辑。

• A 正确：创新与安全（鼓励产业发展，同时守住安全底线）。

• B 正确：放宽准入与规范监管（取消大部分事前审批，加强事中事后监管）。

• C 正确：法律衔接（与《密码法》、《网络安全法》、《出口管制法》衔接）。

• D 正确：全链条监管（事中事后监管）。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 商密条例 -> 修订思路(放管结合/法律衔接)。

48. 答案：BC

解析： 考查《数据安全法》第三十六条，关于数据主权和跨境司法协助的规定。

• A 错误/D 错误：既不能“直接给”，也不是“绝对不能给”。

• B 正确：非经中华人民共和国主管机关（如司法部、外交部、网信办等）批准，境内的组织、个人不得向外国司法或者执法机构提供存储于境内的数据。

• C 正确：无论是公开还是未公开算法，只要是响应外国司法机构的调取要求，都必须走司法协助（MLAT）或外交途径，经过主管机关批准。这是维护国家司法主权的体现。

  📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 数据安全法 -> 数据出境 -> 司法协助(非经批准不得提供)。

49. 答案：ABCD

解析： 考查《国家政务信息化项目建设管理办法》第二十四条，项目竣工验收后的备案内容。

• A 正确：运行维护经费和渠道（确保系统建好后有钱运维）。

• B 正确：信息资源目录和共享开放情况（检查是否打破了信息孤岛）。

• C 正确：网络安全等级保护备案证明（这是基本合规材料）。

• D 正确：密码应用安全性评估报告（即“密评”报告，确保密码合规）。

• 这四项是政务系统“验收合格”并投入运营的必要档案。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章/规范性文件 -> 政务信息化 -> 验收备案 -> 经费/共享/等保/密评。

50. 答案：AD

解析： 考查《商用密码管理条例》关于认证机构的管理。

• A 正确：从事认证活动必须取得资质（属于《行政许可法》范畴）。

• B 错误：申请商用密码认证机构资质，应当向国家市场监督管理总局（而非地方）提出申请，由其会同国家密码管理局办理。因为商用密码认证通常具有全国效力，审批权在国家级。

• C 错误：同上，既然申请主体不对，审查主体也不对（应是国家级征求意见，而非地方）。

• D 正确：持续监督。认证机构必须对自己发出的证书负责，对获证产品/服务实施跟踪调查。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.5 检测认证 -> 认证机构 -> 资质管理(国家级审批/持续监督)。

51. 答案：ABCD

解析： 考查《国家政务信息化项目建设管理办法》第三条，关于项目建设管理的四大基本原则。

• A 正确：统筹规划（避免各自为政）。

• B 正确：共建共享（打通数据壁垒）。

• C 正确：业务协同（跨部门流程优化）。

• D 正确：安全可靠（网络安全与国产化底座）。

• 记忆口诀： “筹、共、协、安”。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 政务信息化 -> 建设原则 -> 四大原则(全选)。

52. 答案：ABCD

解析： 考查《商用密码管理条例》及电子认证服务（CA）的相关规定。

• A 正确：电子认证的核心是PKI体系，必须使用密码技术。

• B 正确：相关技术规范、规则由国家密码管理部门（国密局）制定。

• C 正确：从事电子政务电子认证服务的机构，需经国密局认定（这是比普通CA更严格的许可）。

• D 正确：外商投资涉及关键领域（如电子政务CA），可能影响国家安全的，必须进行网络安全审查（外商投资安全审查制度）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.2 电子认证 -> 监管要求 -> 规范制定/政务CA许可/外资审查。

53. 答案：ABCD

解析： 考查《技术进出口管理条例》及《中国禁止进口限制进口技术目录》的制定考量因素。

• A 正确：国家安全与公共利益（首要考量）。

• B 正确：生态环境（防止引入高污染、高能耗或破坏生态的技术）。

• C 正确：法律法规规定（上位法要求）。

• D 正确：国际公约/协定（如履行防扩散等国际义务）。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 限制进口 -> 考量因素(国安/生态/法律/公约)。

54. 答案：ABCD

解析： 考查《商用密码管理条例》第三十三条，关于进出口监管的**“无死角”**覆盖。

• A 正确：过境、转运、通运、再出口，均纳入监管，防止通过转手规避管制。

• B/C/D 正确：在境外与综合保税区、出口监管仓库、保税物流中心等海关特殊监管区域之间进出的，同样适用进出口规定。

• 核心逻辑： 只要商用密码项号下的货物跨越了关境（无论是物理进出还是特殊区域流转），都需接受进出口许可管理。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 监管范围 -> 特殊区域(保税区/过境)。

55. 答案：ACD

解析： 考查《国家政务信息化项目建设管理办法》在落实网络安全审查时的具体要求。

• A 正确：遵守保密法律法规是基础。

• C 正确：按要求采用密码技术（国密改造）。

• D 正确：定期开展密码应用安全性评估（密评）。

• B 错误：正确的表述应为构建“全方位、多层次、立体化”的防护体系（见第42题），而非“一致性”。在安全架构描述中，“立体化”强调的是物理、网络、管理等多维度的结合，而“一致性”通常指数据或配置的一致，不是该语境下的标准用词。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 政务信息化 -> 安全审查 -> 落实要求(保密/用密/密评)。

56. 答案：ABCD

解析： 考查商务部、科技部发布的《中国禁止出口限制出口技术目录》（涉及密码安全技术部分）。

• A 正确：高速密码算法的芯片设计与实现（防止高性能加密技术外流）。

• B 正确：量子密码技术（前沿敏感技术）。

• C 正确：密码漏洞发现和挖掘技术（属于“网络安全交互防御技术”范畴，具备双刃剑属性，限制出口）。

• D 正确：**片上密码芯片（SOC）**设计与实现（核心硬件技术）。

• 注： 2020年及后续修订目录中，加强了对上述高精尖密码技术的出口管制。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 限制出口 -> 技术清单(芯片/量子/漏洞挖掘)。

57. 答案：ABD

解析： 考查《商用密码管理条例》关于商用密码检测机构的资质与行为规范。

• A 正确：从事产品检测，必须获得商用密码检测机构资质。

• B 正确：从事商用密码应用安全性评估（密评）的机构，也应当具备相应的检测资质（根据2023年新条例，密评机构需具备相关检测能力并符合国家规定，通常纳入检测机构管理体系）。

• C 错误：行政许可必须提出书面申请，口头申请无效。

• D 正确：公正性原则（独立、公正、科学、诚信）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.5 检测认证 -> 检测机构 -> 资质与行为(书面申请/独立公正)。

58. 答案：ACD

解析： 考查《商用密码管理条例》第五条、第六条，关于产业促进与知识产权保护。

• A 正确：依法保护知识产权。

• B 错误：行政机关及其工作人员不得利用行政手段强制转让商用密码技术（这是优化营商环境、外商投资法的核心要求）。

• C 正确：鼓励成果转化和产业化。

• D 正确：支持自主创新。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 商密条例 -> 促进政策 -> 禁强转/保知产/促创新。

59. 答案：CD

解析： 考查《中国禁止进口限制进口技术目录》中关于加密技术的限制标准。

• 背景：为了维护国家信息安全，防止不可控的强加密产品在国内泛滥（可能导致无法监管），或者保护国内相关产业，国家对高强度的加密技术进口实施限制。

• C/D 正确：通常限制安全强度高于256位的加密技术进口（参考旧版目录及行业惯例，256位通常作为高强度加密的分界线）。

• A/B 错误：低强度的加密技术（如64位、128位）在现代计算能力下已较易破解，且属通用技术，通常不需要限制进口。

• (注：具体位数标准随目录版本更新可能调整，但在考试题库中，限制“高强度”是核心逻辑，常选256位及以上)。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 限制进口 -> 强度标准(>256位)。

60. 答案：AB

解析： 考查《商用密码管理条例》第五条，关于外商投资的技术合作原则。

• A 正确：自愿原则（Voluntary）。

• B 正确：商业规则（Commercial Rules）。

• C/D 未选：虽然公平和非歧视是外商投资法的普遍原则，但在《商用密码管理条例》关于**“技术合作”的具体条款表述中，原文明确强调的是“基于自愿原则和商业规则**”。考试需严格遵循法条原文。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 商密条例 -> 外商投资 -> 合作原则(自愿/商业)。

61. 答案：ABCD

解析： 考查商务部、科技部发布的《中国禁止出口限制出口技术目录》（禁止出口部分）。

• A 正确：涉及保密原理、方案及线路设计的卫星数据加密技术（属于核心机密）。

• B 正确：涉及加密与解密软件、硬件的卫星数据加密技术。

• C 正确：卫星及其运载无线电遥控遥测编码和加密技术（涉及航天器控制安全）。

• D 正确：北斗卫星导航系统信息传输加密技术（国家战略基础设施的核心安全技术）。

• 结论：这四项技术均属于“关系国家安全、一旦泄露后果严重”的禁止出口技术（编号059001J等）。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 禁止出口 -> 卫星/北斗加密技术。

62. 答案：ABCD

解析： 考查《商用密码管理条例》第二十二条至二十五条，关于标准化的体系建设。

• A 正确：建立标准实施信息反馈和评估机制（闭环管理）。

• B 正确：国家推动参与商用密码国际标准化活动（中国标准走出去）。

• C 正确：鼓励企业、社会团体参与国际标准化（多元参与）。

• D 正确：其他领域标准（如金融、电力标准）涉及商用密码的，应当与商用密码国家标准保持协调（避免标准打架）。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 商密条例 -> 标准化 -> 国际参与/标准协调。

63. 答案：AB

解析： 考查《商用密码管理条例》第三十四条，关于商用密码出口管制的**“国务院特批”**情形。

• 条款原文：商用密码出口，对国家安全、社会公共利益有重大影响的，由国务院商务主管部门会同国家密码管理部门等有关部门报国务院批准。

• C/D 排除：虽然外交和数据安全很重要，但法条原文明确列举的“重大影响”触发条件是“国家安全”和“社会公共利益”。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 进出口 -> 出口管制 -> 特批情形(国安/公利)。

64. 答案：ACD

解析： 考查《国家政务信息化项目建设管理办法》第二十四条，项目验收时必须提交的材料清单。

• A 正确：审计报告（钱花得对不对）。

• C 正确：密码应用安全性评估报告（密评报告，证明密码合规）。

• D 正确：财务报告（决算情况）。

• B 错误：验收时通常要求的是“安全风险评估报告”（风险评估）或“等级保护测评报告”，但在该办法的验收材料列举中，明确提及的是审计、财务、档案、密评报告等。需注意 B 选项若指代不清，通常优先选法条明确列举的 AC 和 D（财务决算）。

• (注：部分题库中若包含“安全风险评估报告”作为必选项，则全选；但严格依据第24条原文，验收重点材料是财务、审计和密评。若必须在多选中取舍，密评报告是密码专项重点)。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 政务信息化 -> 项目验收 -> 提交材料(审计/财务/密评)。

65. 答案：ABD

解析： 考查《国家政务信息化项目建设管理办法》第二十三条，验收的实质内容。

• A 正确：软硬件产品的安全可靠情况（信创/国产化）。

• B 正确：密码应用和安全审查情况（合规性）。

• D 正确：数据中心能源利用效率情况（绿色节能，PUE指标）。

• C 错误：法条原文强调的是“数据中心”的能源效率，而非泛指所有“硬件设备”。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 政务信息化 -> 项目验收 -> 验收指标(安可/密码/PUE)。

66. 答案：ABC

解析： 考查密码应用“三同步”原则。

• 原则：在《网络安全法》和《密码法》中，通用的要求是同步规划、同步建设、同步使用（运行）。

• 选项分析：

  • B 同步规划：项目启动时就要把密码算进去。

  • C 同步建设：施工时密码设施要一起建。

  • D 同步运行：系统上线时密码功能要同时开启。

  • A 同步设计：在工程实施视角中，设计包含在规划或建设的前期，但在法律条文的标准“三同步”表述中，最经典的是“规划、建设、运行”。

• 注：若题库依据《关键信息基础设施安全保护条例》或《国家政务信息化项目建设管理办法》第十五条，原文为“同步规划、同步建设、同步运行”。故选 BCD。

• (若题目选项强制为 A，可能是引用了旧版工程标准“同步设计、同步施工、同步验收”，但在新法环境下，BCD 是标准答案)。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.3 应用场景 -> 三同步原则 -> 规/建/运。

67. 答案：AD

解析： 考查商用密码应用安全性评估（密评）中的合规性判定核心指标。

• 判定逻辑：密评主要看两点——“用对产品”和“用对方法”。

• A 正确：合规产品——密码技术是否由获得批准的商用密码产品实现（是否有国密型号证书/认证证书）。

• D 正确：合规使用——密码技术是否按标准正确使用（参数配置、密钥管理、调用逻辑是否符合 GM/T 标准）。

• B/C 错误：名称和用途只是描述性信息，不是合规性判断的硬性技术指标。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 判定标准 -> 产品合规/使用合规。

68. 答案：ABCD

解析： 考查《商用密码应用安全性评估管理办法》中的监督检查内容。

• 检查对象：既查测评机构（做得规不规范），也查受测单位（系统改没改好）。

• A 正确：查机构的规范性、独立性（是否造假、走过场）。

• B 正确：查报告的真实性（结论是否客观）。

• C 正确：查系统的密码应用情况（是否真用了密码）。

• D 正确：查系统的整改情况（发现问题改了没）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 监督检查 -> 机构行为/系统实况。

69. 答案：D

解析： 考查《网络安全审查办法》第十七条，关于依职权启动（被动触发）审查的程序。

• 场景：单位本该申报而未申报，监管部门（国密局）发现风险。

• 程序：成员单位（国密局）认为影响国家安全的 -> 报送网络安全审查办公室 -> 办公室报请中央网络安全和信息化委员会批准 -> 启动审查。

• D 正确：依职权启动审查（非主动申报）属于重大监管行为，必须报请中央网信委批准。

• A/C 错误：无权“立即”启动，需走报批程序。

• B 错误：虽然可以告知申报，但题干问的是强制启动的法律程序。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 审查程序 -> 依职权启动(需中央批准)。

70. 答案：ACD

解析： 考查商用密码应用解决方案的编制结构（参考 GM/T 0054《信息系统密码应用基本要求》及密评指导书）。

• A 正确：需求分析（现状、风险、需求）。

• C 正确：方案设计（总体架构、技术方案、管理体系、运维体系）。

• D 正确：安全与合规性分析（证明方案符合国标要求）。

• B 错误：潜在威胁分析属于 A（需求/风险分析）的一部分，不是并列的一级目录。

• 结论：完整的方案应包含“分析问题（A） -> 解决问题（C） -> 验证成效（D）”。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 方案编制 -> 需求/设计/合规分析。

71. 答案：ABD

解析： 考查《商用密码应用安全性评估管理办法》中的监督检查范围。

• A 正确：管机构——检查测评机构的规范性（是否依规测评、是否弄虚作假）。

• B 正确：管系统——检查重要领域网络与信息系统的密码应用情况（是否合规使用密码）。

• D 正确：管结果——检查测评报告的真实性、客观性、公正性。

• C 错误：密码产品厂商的合规性通常属于商用密码产品质量检测与市场监管的范畴（产品销售许可/认证监管），而不是“应用安全性评估（密评）”工作的直接监督对象。密评主要看“用得对不对”，产品监管看“做得好不好”。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 监督检查 -> 对象(机构/系统/报告)。

72. 答案：ABCD

解析： 考查商用密码产品的广义定义及核心功能。

• 定义：商用密码产品是指使用商用密码技术，实现密码运算、密钥管理、数字证书管理等功能的硬件、软件、固件或其组合。

• A 正确：密码存储（如智能密码钥匙、TF密码卡，核心功能是安全存储私钥）。

• B 正确：密码鉴别（如动态令牌、身份认证网关）。

• C 正确：密码运算（如加解密、签名验签，这是最基础的功能）。

• D 正确：密码管理（如密钥管理系统KMS、证书管理系统，负责生命周期管理）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.1 基础概念 -> 密码产品 -> 功能分类(存/算/鉴/管)。

73. 答案：ACD

解析： 考查《保守国家秘密法》关于涉密人员的分级管理。

• A 正确：核心涉密人员（接触绝密级）。

• C 正确：重要涉密人员（接触机密级）。

• D 正确：一般涉密人员（接触秘密级）。

• B 错误：法律分类中无“非常重要涉密人员”这一层级名称。

  📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 保密法 -> 人员管理 -> 三级分类(核心/重要/一般)。

74. 答案：ABCD

解析： 考查《商用密码管理条例》第五十三条，关于信用监管体系的构建。

• 机制全貌：国家建立商用密码信用管理机制，涵盖全生命周期。

• A 正确：信用记录（建档）。

• B 正确：分级分类监管（根据信用好坏决定检查频次）。

• C 正确：失信惩戒（黑名单、限制准入）。

• D 正确：信用修复（给改过自新的机会）。

  📥 放入图谱： 分支1: 政策法规 -> 1.2 行政法规 -> 商密条例 -> 监管手段 -> 信用监管(全流程)。

75. 答案：ABCD

解析： 考查《商用密码应用安全性评估机构管理规范》或相关行为准则中的重大事项变更报告义务。

• 原则：影响机构法律主体资格、独立性或核心能力的变更，均需及时（通常10个工作日）上报国密局。

• A 正确：名称变更（主体身份）。

• B 正确：法人变更（法律责任人）。

• C 正确：股权结构变更（影响独立性或控制权）。

• D 正确：主要负责人变更（影响管理能力）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 机构管理 -> 变更报告 -> 关键事项(名/法/股/人)。

76. 答案：ABCD

解析： 考查《网络安全审查办法》第八条，申报审查时必须提交的材料清单。

• A 正确：申报书（正式申请）。

• B 正确：采购文件、协议（证明交易真实性及条款）。

• C 正确：分析报告（关于影响或者可能影响国家安全的分析报告，这是核心自证材料）。

• D 正确：其他材料（兜底条款）。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 申报材料 -> 申报书/协议/分析报告。

77. 答案：ABC

解析： 考查《网络安全审查办法》的审查启动机制（主动申报+依职权启动）。

• A 正确：预判义务——采购方（CIIO/国家机关）是第一责任人，需先行预判风险。

• B 正确：主动申报——预判有风险的，应当申报。

• C 正确：依职权启动——成员单位（如国密局）认为有风险的，审查办公室按程序报批后可启动审查。

• D 错误：审查不仅限于主动申请，监管部门发现漏网之鱼可主动介入（即依职权启动）。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 网络安全审查办法 -> 启动机制 -> 主动申报vs依职权。

78. 答案：ABD

解析： 考查密评现场测评前的准备工作（表单与法律文件）。

• A 正确：现场测评授权书（Legal Authorization）——必须获得被测单位书面授权，否则是非法入侵。

• B 正确：风险告知书（Risk Notice）——告知对方测试可能导致系统崩溃等风险，明确责任。

• D 正确：文档交接单（Document Handover）——记录借阅了哪些涉密或敏感资料，确保归还。

• C 排除：作业指导书（Work Instruction）通常是测评机构内部的技术操作指南，用于指导测评师如何测试，而不是现场与客户交互、签署的“准备表单”。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 测评流程 -> 准备阶段 -> 交互表单(授权/告知/交接)。

79. 答案：ABC

解析： 考查密评工作对业务系统的潜在风险（CIA影响）。

• A 正确：验证测试（如抓包、重放）可能占用资源，影响系统运行（可用性）。

• B 正确：工具测试（如漏洞扫描、压力测试）可能导致服务崩溃或数据损坏（可用性/完整性）。

• C 正确：数据泄露（保密性）——测评人员在接触系统时可能看到敏感业务数据。

• D 错误：加密机制（算法/协议）通常是公开标准（如SM2/SM4），不属于保密对象。真正怕泄露的是密钥。虽然“机制被泄露”听起来不好，但在标准风险描述中，主要关注的是业务中断和数据泄露，而非公开的算法逻辑。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 风险管理 -> 测评风险 -> 中断/泄露。

80. 答案：AB

解析： 考查风险评估的基本原理（Risk = Asset × Threat × Vulnerability）。

• 测评逻辑：在密评中，对发现的不合规项进行风险赋值，主要依据该保护对象的重要性（资产）和面临威胁的程度。

• A 正确：资产价值（系统或数据越重要，风险越高）。

• B 正确：威胁类型及频率（攻击可能性越大，风险越高）。

• C/D 排除：“标准要求”是基线，不是风险变量；“自身经验”是辅助判断手段，不是客观依据的核心要素。风险计算模型通常基于资产、威胁和脆弱性。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 风险分析 -> 赋值依据 -> 资产+威胁。

81. 答案：ABCD

解析： 考查商用密码产业链的构成。

• 定义：商用密码从业单位是指从事商用密码科研、生产、销售、服务等活动的法人或者其他组织。

• 全链条：根据《商用密码管理条例》（2023修订版），监管对象覆盖了从研发到售后的全生命周期环节，这些环节的从业者共同构成了商用密码的产业生态。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.1 基础概念 -> 产业生态 -> 从业单位类型(研/产/销/服)。

82. 答案：ACD

解析： 考查对“密码保障系统”概念的理解。

• 辨析逻辑：密码保障系统是指以提供密码服务（认证、加密、防伪）为核心功能的系统，而非仅仅“使用了密码技术”的业务系统。

• A 正确：数字证书认证系统（CA系统），核心就是提供身份认证和证书签发，是典型的密码保障系统。

• C 正确：增值税发票防伪税控系统，核心是利用密码芯片进行税务防伪和数据防篡改，属于密码专用系统。

• D 正确：电子印章系统，核心是提供电子签章服务，属于密码应用支撑平台。

• B 错误：城市污水净化处理系统属于工业控制系统（业务系统）。虽然它应当使用密码技术进行保护（如指令加密），但它本身是处理污水的，不是用来提供密码服务的，所以它属于“被保护对象”而非“密码保障系统”。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.3 应用场景 -> 典型系统 -> 区分(保障系统vs业务系统)。

83. 答案：ACD

解析： 考查商用密码应用安全性评估（密评）的现场测评活动范围。

• A 正确：合规性检查（看拓扑图、看机房，确认部署位置对不对）。

• C 正确：配置检查（登录设备，查看配置参数，如是否开启了SSL，是否使用了弱口令）。

• D 正确：有效性测试（授权接入后，抓包查看是否真加密，调用接口看是否通畅）。

• B 错误：产品功能标准符合性检测（如检测随机数质量、算法正确性）通常是商用密码产品检测中心（实验室）在产品申请型号证书时做的工作。密评测评人员在现场主要是验证该产品是否持有合法有效的证书，并验证其在当前系统中的配置是否正确，一般不会在用户现场重新进行深度的产品级标准符合性检测。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 测评流程 -> 现场测评 -> 活动内容(查部署/查配置/测有效)。

84. 答案：ACD

解析： 考查密评报告内部评审的依据（QA环节）。

• 逻辑：评审是为了确保报告写得准、对得上、不越界。

• A 正确：委托测评协议书（检查是否完成了约定的工作范围）。

• C 正确：测评原始记录（检查报告结论是否有数据支撑，是否与现场记录一致）。

• D 正确：测评方案（检查是否按照预定的步骤和方法执行）。

• B 排除：用户提交的文档（如设计方案）是测评的参考对象和证据来源，但不是用来评审“测评报告质量”的标准依据。评审报告主要看的是“过程合规性”和“结论一致性”。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 质量管理 -> 报告评审 -> 依据(协议/记录/方案)。

85. 答案：ABC

解析： 考查测评报告发出后的变更管理（严谨性要求）。

• A 正确：用户原因（如单位改名、基本信息填错），且合理，可变更。

• B 正确：申诉成功（用户对结果不服，经复验确实是测错了），必须更正报告。

• C 正确：机构自查发现问题（内部发现笔误或计算错误），主动更正。

• D 错误：用户整改后。如果用户整改了，系统的状态已经改变，不能直接修改原报告（原报告是对整改前状态的快照）。此时应当进行“复测”或“整改确认”，并出具新的报告或整改确认报告，而不是涂改旧报告。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 质量管理 -> 报告变更 -> 禁改情形(整改后应出新报告)。

86. 答案：ABCD

解析： 考查密评机构的技术实施能力要求（全能型选手）。

• A 正确：人员要懂法（政策理解）。

• B 正确：机构要懂技术（技术测评，如协议分析、渗透测试）。

• C 正确：机构要懂管理（管理测评，如制度审查、人员访谈）。

• D 正确：机构要有大局观（整体评估，能综合判定系统风险）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 机构能力 -> 实施能力(人员/技术/管理/综合)。

87. 答案：ABCD

解析： 考查密评机构的人员资质硬性指标。

• A 正确：配备测评技术负责人（把控技术关）。

• B 正确：配备质量负责人（把控流程关）。

• C 正确：必须是正式员工（签订劳动合同，禁止临时工、外包工核心作业，确保责任可追溯）。

• D 正确：必须通过考核（持证上岗，通过国家密码管理局组织的密评人员考核）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 机构管理 -> 人员要求(岗位/合同/考核)。

88. 答案：ABCD

解析： 考查《关于开展商用密码检测认证工作的实施意见》确立的工作体制原则。

• A 正确：统一管理（国家市场监管总局、国家密码管理局联合管理）。

• B 正确：共同实施（两部门分工协作，发布统一目录、规则）。

• C 正确：规范有序（打击乱发证、乱检测）。

• D 正确：保障安全（检测认证的最终目的是服务于安全）。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 检测认证 -> 工作原则(统一/共同/规范/安全)。

89. 答案：ABCD

解析： 考查商用密码领域**“放管服”**改革（减证便民）的具体成果。

• 背景：国家密码管理局《关于取消证明事项的通知》（2019年）取消了一批不必要的纸质证明，改由内部核查或信用承诺。

• A 正确：科研成果审查，不再要知识产权证明（已废止相关许可，且内部可查）。

• B 正确：检测机构审批，不再要“其他证明”。

• C 正确：出口许可，不再要法人资格证明（营业执照联网可查）。

• D 正确：许可证变更，不再要名称变更证明（工商数据共享）。

  📥 放入图谱： 分支1: 政策法规 -> 1.7 历史沿革 -> 2019改革 -> 放管服 -> 取消证明事项。

90. 答案：ABCD

解析： 考查《商用密码产品认证目录》中的典型产品形态。

• A 正确：可信密码模块（TCM/TPM芯片），构建计算环境信任根。

• B 正确：云服务器密码机（Cloud HSM），为云计算环境提供虚拟化密码服务。

• C 正确：随机数发生器（RNG），密码产品的基石。

• D 正确：安全浏览器密码模块（软件形态），实现国密算法（SM2/SM3/SM4）的浏览器组件。

• 结论：无论是芯片、整机（硬件）还是软件模块，只要核心功能是密码处理，都属于商用密码产品。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.1 基础概念 -> 产品目录 -> 典型产品(芯片/整机/软件)。

91. 答案：ABCD

解析： 考查商用密码应用安全性评估（密评）中工具使用的前置确认工作（依据测评指导书）。

• A 正确：测评对象（明确测哪台服务器、哪个数据库）。

• B 正确：测评指标（明确测哪个考点，如“身份鉴别”还是“数据完整性”）。

• C 正确：测评工具接入点（明确工具接在核心交换机镜像口，还是直接串联，防止网络风暴）。

• D 正确：测评内容（明确具体跑什么脚本或用例）。

• 原则：工具测试风险较高，必须“四清楚”后方可下手。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.6 密评 -> 测评实施 -> 工具使用 -> 确认事项(对象/指标/接入点/内容)。

92. 答案：ABD

解析： 考查《个人信息保护法》第四章“个人在个人信息处理活动中的权利”。

• A 正确：复制权（第四十五条：个人有权查阅、复制其个人信息）。

• B 正确：拒绝权/决定权（基于“自愿同意”原则，对于非核心业务功能的非必填项，个人有权拒绝提供）。

• D 正确：删除权（第四十七条：处理目的已实现或撤回同意的，有权要求删除）。

• C 错误：知情权（第四十八条）通常指要求解释“个人信息处理规则”（如算法逻辑、处理目的），而非要求解释具体的加密技术实现细节。加密技术的具体实现属于企业的安全管控机密，过度公开可能增加被攻击风险，且通常不属于普通用户的知情权范畴。

  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 个人权利 -> 复制/删除/拒绝(C排除)。

93. 答案：ABCD

解析： 考查《个人信息保护法》第五十一条，个人信息处理者的合规义务。

• A 正确：制度规程（内控基础）。

• B 正确：分类管理（分级分类保护）。

• C 正确：技术措施（加密、去标识化是法定的核心技术手段）。

• D 正确：应急预案（应对泄露事件）。

• 此外：还包括操作权限管理、安全教育培训等。

  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 合规义务 -> 管理+技术+应急。

94. 答案：ABCD

解析： 考查《个人信息保护法》第三十八条及出境安全管理相关规定。

• A 正确：出境计划（业务需求分析，明确出境目的、范围）。

• B 正确：出境评估（关键环节，包括申报安全评估、认证或备案）。

• C 正确：技术措施（确保传输过程和落地后的安全，加密/去标识化是必要手段）。

• D 正确：签订合同（通过标准合同约束境外接收方的义务）。

  📥 放入图谱： 分支3: 个人信息保护 -> 5.1 核心法律 -> 个信法 -> 数据出境 -> 合规路径(评估/合同/技术)。

95. 答案：BCD

解析： 考查《网络产品安全漏洞管理规定》及相关法律责任。

• A 错误：法律责任看的是行为后果和违法事实。擅自披露导致风险扩散，即使无主观恶意（如为了炫技），也违反了“不得在修补前发布”的法定红线，需承担行政责任。

• B 正确：“抢跑”禁令（第九条）。

• C 正确：行政处罚（暂停业务）。

• D 正确：双罚制（罚单位+罚个人）。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 规章 -> 漏洞管理 -> 法律责任 -> 违规披露(行政处罚)。

96. 答案：ABCD

解析： 考查《网络安全法》第二十二条及《商用密码管理条例》中产品提供者的义务。

• A 正确：设置恶意程序（严厉禁止）。

• B 正确：未补救（发现漏洞必须修）。

• C 正确：未报告（必须告知用户并报监管）。

• D 正确：擅自断供（终止服务需公示或告知，不得随意“甩手”）。

  📥 放入图谱： 分支1: 政策法规 -> 1.1 核心法律 -> 网络安全法 -> 产品服务 -> 提供者义务(反恶意/补救/报告/持续服务)。

97. 答案：ABCD

解析： 考查勒索病毒（如Wannacry）涉及的法律法规体系（综合治理）。

• A 正确：《密码法》第三十二条，禁止利用密码从事危害国家安全、社会公共利益的活动（勒索软件恶意使用加密算法锁死文件，属于非法使用密码）。

• B 正确：《网络安全法》禁止非法侵入、干扰系统（勒索病毒传播过程涉及漏洞攻击）。

• C 正确：《刑法》涉及破坏计算机信息系统罪、敲诈勒索罪等。

• D 正确：《治安管理处罚法》针对尚不构成犯罪的轻微破坏行为。

  📥 放入图谱： 分支1: 政策法规 -> 1.5 综合合规 -> 案件定性 -> 勒索软件 -> 法律适用(全法域)。

98. 答案：BD

解析： 考查《网络安全法》中关于未履行安全保护义务的法律责任。

• A 错误：《网络安全法》第二十一条明确规定了网络运营者应当采取数据分类、重要数据备份和加密等措施。

• B 正确：不实行加密导致泄露，直接违反了网安法关于“采取技术措施保障数据安全”的规定。

• C 错误：主体责任不免除。虽然是第三方攻击，但A平台“裸奔”（未加密）属于重大过失，是导致泄露扩大的直接原因，必须承担未履行保护义务的责任。

• D 正确：双罚制（对单位罚款，对直接负责的主管人员罚款）。

  📥 放入图谱： 分支1: 政策法规 -> 1.3 罚则 -> 行政责任 -> 数据泄露 -> 未加密责任(不免责/双罚)。

99. 答案：ABCD

解析： 考查《电子签名法》中电子认证服务提供者（CA）的运营规范。

• A 正确：公布规则（CPS，电子认证业务规则，让用户知道怎么用）。

• B 正确：证书准确（保证公钥和身份对应无误）。

• C 正确：退出机制（不干了要提前90天通知，并移交业务给其他CA）。

• D 正确：保存记录（保存相关信息至少5年/10年，用于日后举证）。

  📥 放入图谱： 分支2: 商用密码应用 -> 2.2 电子认证 -> 运营规范 -> 规则/准确/退出/存证。

100. 答案：ABCD

解析： 考查《网络安全法》第二十一条，等级保护制度下的网络运营者义务。

• A 正确：确定负责人（落实安全责任制）。

• B 正确：防范攻击（防入侵、防病毒）。

• C 正确：数据分类（虽重点在数据安全法，但网安法21条也提及了“数据分类、重要数据备份和加密”）。

• D 正确：数据备份（容灾恢复）。

• 总结：这是等保合规的“老四样”。

  📥 放入图谱： 分支1: 政策法规 -> 1.4 等级保护 -> 运营义务 -> 管理+技术(负责人/防攻/分类/备份)。

🎉 总结

至此，1-100题 的商用密码与法律法规题库解析已全部完成！

这套题库完整覆盖了：

1. 法律体系：《密码法》、《网络安全法》、《数据安全法》、《个人信息保护法》的交叉适用。

2. 行政法规：《商用密码管理条例》、《关键信息基础设施安全保护条例》的监管红线。

3. 实务操作：密评（测评流程、工具、人员）、电子认证（CA）、进出口管制。

4. 罚则：行政处罚与刑事责任的界定。