1.關于資料使用說法錯誤的是:
A.在知識分享、案例中如涉及客戶網絡資料,應取敏感化,不得直接使用
B.在公開場合、公共媒體等談論、傳播或釋出客戶網絡中的資料,需獲得客戶書面授權或取敏感化,公開管道獲得的除外。
C 客戶網絡資料應在授權範圍内使用,禁止用于其他目的。
D.項目結束後,若客戶未明确要求,可以儲存一些客戶網絡中資料在工作電腦上,以便日後用于對外交流,研讨等引用。
正确答案: D
2.下面哪項 不符合客戶書面授權方式:
A 電子流
B 郵件
C.口頭承諾
D.傳真
E.會議紀要
正确答案: C
3.網絡安全違規行為舉報郵箱是:
[email protected]
[email protected]
[email protected]
[email protected]
正确答案:B
4.所有網變更操作都獲得三個審批,不屬于三審批範圍的是:
A.直接主管
B.客戶審批
C.項目審批
D.技術審批
正确答案:A
5.網絡安全違規的規定依據是:
A.違規導緻的結果
B.違規行為
C.客戶滿意度
D.行為人是否有主管惡意
正确答案:B
6.在客戶交流、示範時,使用的資料或講解中,誤用敏感詞彙使客戶對華為産生網絡安全的誤解,屬于()違規。
A.一級
B.二級
C.三級
D.四級
正确答案:B
7.以下有關個人隐私資料處理原則描述錯誤的是()
A.對于能夠識别資料主體的個人資料,其儲存時間可以超過其處理目的所必須的時間。
B.處理過程中應確定個人資料的安全,采取合理的技術手段、組織措施、避免資料未經授權即被處理或遭到非法處理,避免資料發生意外毀損或滅失。
C.個人資料的處理目的應當是為了實作資料處理目的而适當的、相關的和必要的。
D.個人資料應當是準備的,如有必要,必須及時更新;必須采取合理措施確定不準确的個人資料,即違反初始目的的個人資料,及時得到擦除或更正。
正确答案:A
8.網絡安全是在法律合規下保護()的可用性、完整性、機密性、可追溯性和抗攻擊性,及保護其所承載的()、客觀的資訊流動。
A 産品、解決方案;客戶的産品和系統資訊
B 産品、解決方案和服務;客戶的産品和系統資訊
C 産品、解決方案和服務;客戶或使用者的通信内容、個人資料及隐私
D 産品、服務;客戶或使用者的通信内容、個人資料及隐私。
正确答案:C
9.使用他人賬号或非授權賬号登入裝置進行操作,屬于網絡安全()違規。
A 一級
B 二級
C 三級
D 四級
正确答案: A
10.關于資料處置,下列說法錯誤的是:()
A.包含客戶網絡資料的紙件廢棄時必須銷毀。
B.員工轉崗時,應移交并删除本人所保留的客戶網絡資料,并申請取消響應資訊系統的通路權限。
C.報廢裝置的客戶網絡資料可不銷毀
D.禁止私自攜帶客戶網絡資料(含個人資料)的裝置或存儲媒體離開客戶場所。
正确答案:C
11.下面那些操作需要提前獲得客戶的書面授權:()
A.檢視裝置資料
B.接入客戶網絡
C.采集裝置資料
D.修改裝置資料
E.轉移客戶和網絡資料
正确答案:ABCDE
12.中軟國際内部營運管理中涉及的個人隐私資料包含哪些:()
A.員工資訊
B.勞務(輸入和輸出)人員資訊
C.求職者資訊
D.以上都不是
正确答案:ABC
13.關于個人隐私的基本概念,描述錯誤的是:()
A.個人資料:是與一個身份與被識别或者身份可識别的自然(資料主題)相關的任何資訊;身份可識别的自然人食指其身份可以通過注入姓名、身份這個号、位置資料等識别碼或者通過注入姓名、身份證号碼、位置資料等識别碼或者通過一個或多個與自然人的身體、生理、精神、經濟、文化、或者社會相關的特定因素來直接的被識别的自然人。
B.資料主體:是指通過個人資料可以直接或間接被識别的自然人。如華為産品、服務的使用者、顧問、應聘人員、員工等。
C.資料控制者:是指單獨或者與他們共同确定個人資料處理目的和手段的自然人、法人、公共機構、政府部門或其他機構,當多個或多個機構共同決定資料處理的目的和方式,他們被認為是共同控制者。如按照華為的要求為其提供維保服務,中軟國際是資料控制者。
D.資料處理者,是指代表資料控制者處理個人資料的自然人、法人、公共機構、政府部門或者其他機構。如針對使用者在華為雲的注冊資訊,中軟國際是資料處理者。
正确答案:BC
14.對管理責任人的問責,下列說法正确的是:
A.存在管理不力、知情不作為、放任等情形時,需對違規責任人直接或間接主管問責。
B.當出現群體事件或包庇違規人等不誠信行為時,對管理者可加重或從重處罰。
C.違規人員處罰等級為一、二級時,對管理者的處罰可參考執行二三級。
D.直接或間接主管無需承擔管理連帶責任。
正确答案:ABC
15.對于網絡安全誤解的是:
A 網絡安全=資訊安全
B 網絡安全=人身安全
C 網絡安全=網絡平安、網絡保障、網絡運作穩定
D 各國政府、營運商、裝置商、分包商和最終使用者都很關注網絡安全
正确答案:ABC
16.如下有關GDPR說法正确的是?
A. 隻要關于歐盟成員國境内設立的公司,必須保護歐盟成員國居民的個人隐私西悉尼,此為屬地原則
B.即使公司不在歐盟境内成立,但又涉及接觸歐盟成員國居民的個人隐私資訊,也必循遵守GDPR,此為屬人原則。
C.如果你收集歐盟公民的資料,你就受到GDPR的管轄。除非你的公司非常嚴格的排除了歐盟,否則你還是得處理GDPR得合規問題,是以GDPR全休适用。
D.我就是普通研發人員,GDPR似乎跟我沒有關系。
正确答案:ABC
17.關于産品安全要求,以下說法正确的是:
A.在編碼階段進行代碼安全掃描,解決高風險的代碼安全問題。
B.産品如含有開源軟體,則須對開源軟體的漏洞進行監測,并對存在的安全漏洞進行修複。
C.為完善産品的功能特性,可以對自己對産品進行修改,無需與客戶溝通。
D.所有員工員工入職時必循簽署《網絡安全及使用者隐私保護承諾函》
正确答案:ABD
18.處理個人資料的基本原則有哪些?
A 公開、透明
B 可問責
C 保密性
D 資料最小化
正确答案: BCD
19.關于配置管理,以下說法正确的是:
A 在産品需求、設計、開發、測試、釋出等環節需對研發文檔進行記錄和管理
B 對版本/有效管理,包含但不限于系統軟體版本管理、硬體版本管理、其他配套件版本管理等。
C 對變更的各類需求、變更流程及關鍵控制點KCP進行有效管理
D 可以使用網絡下載下傳工具和配置
正确答案:ABC
20.目前,全球網絡安全面臨的挑戰。如下正确的是:
A 各國立法越來越嚴格,歐盟對通信隐私保護愈加嚴格
B 業界頻繁曝光的網絡安全事件,對營運商和裝置商帶來了巨大的壓力。
C 網絡安全事故對客戶正常業務帶來了風險和損失,必須加強網絡安全預防,降低網絡安全的管理和運維成本。
D.裝置商和分包商被要求遵守當地的網絡安全和相關法律。
正确答案:ABCD
21.下面那些行為,屬于網絡安全一級違規:
A 在提供的産品或服務中植入任何惡意代碼、惡意軟體、後門,預留任何未公開接口和賬号。
B 未經客戶書面授權,攜帶含客戶網絡資料(含個人資料)的裝置或存儲媒體離開客戶場所。
C 商用或轉維後,保留或使用之前的管理者賬号及其非授權賬号。
D 擴散未經華為正式釋出僅在研發活動使用的軟體工具
E 項目正式結束後u,未按要求将涉及的資料(如工作電腦或伺服器)及時移交給客戶。
正确答案:ABCE
22.哪些選項屬于隐私保護七原則
A 合法、正當、透明
B 資料最小化
C 存儲周期限最小化
D 可共享
E 準确性
F目的限制性
正确答案: ABCEF
23.關于工具軟體的使用,下列說法正确的是:
A 來源要合規:禁止下載下傳、使用來自非華為正式管道的軟體版本、産品版本、服務傳遞工具。
B 使用用合規:華為正式釋出的軟體和工具應嚴格按照說明書要求的使用場景、使用範圍、EOX公告、産品變更通知的相關要求使用。
C 客戶工具要授權:使用客戶提供的服務工具需由客戶書面授權,明确使用要求(如使用對象、網絡、範圍、期限等),并由客戶提供具體軟體試題或下載下傳位址。使用者應妥善儲存并歸檔客戶書面授權書。
D 違規要問責:對于違規的直接責任人将依據《中軟國際華為業務群網絡安全違規問責制度》進行問責
正确答案:ABCD
24.産品安全管理制度中違規員工的處罰正确的是:
A 一級違規:解除勞動關系,予以出名,且用不錄用
B 觸犯國家法律法規,公司依法追究其法律責任
C 對于員工出現違規的主管不用承擔責任
D 員工如違反産品安全行為規範,将按相應違規等級進行處罰,主管承擔相應的連帶責任
正确答案:ABD
25.不得從事任何危害客戶網絡安全的行為如:
A 在研發過程中植入惡意代碼、惡意軟體、後門,預留任何未公開的接口和賬号等。
B 開發可繞過系統安全機制(認證、權限控制、日志記錄)對系統或資料進行通路的功能
C 利用網絡從事任何危害國家安全、社會公共利益,竊取或者破壞他人資訊、損害他人合法權益的活動。
D 攻擊、破壞客戶網絡等通信設施、破解客戶賬戶密碼
正确答案:ABCD
26.哪些屬于個人敏感資料?
A 姓名
B 性取向
C 宗教或哲學信仰
D 工資
正确答案: BCD
27.研發工程師到客戶現場服務傳遞時,經客戶授權配置設定給研發工程師1個賬戶和密碼,研發工程師通過郵件把賬戶密碼轉發給其他多名研發工程師和客戶工程師使用,下列說法正确的是:
A 研發工程師非故意傳播賬戶和密碼,不涉及網絡安全違規。
B 賬号密碼提供給多名客戶工程師,不涉及網絡安全違規
C 研發工程師應該仔細确認客戶授權的範圍。
D 傳播/共享賬戶和密碼,涉及網絡安全違規
正确答案:CD
28.下列關于網絡安全的了解,正确的是:
A 管理者和員工要真正認識到網絡安全的重要性,改變思想意識
B 網絡安全風險首先是缺乏網絡安全意識,不能認為主觀上沒有惡意就沒問題,關鍵是行為要符合網絡安全規範,提供的産品和服務等不能給客戶帶來網絡安全風險。
C 每個員工都是自己做的産品的第一安全負責人。
D 所傳遞的産品和服務出現任何問題,都要經得起法律的追溯,但不用承擔相應法律責任。
正确答案 : ABC
29.關于系統賬号管理和通路權限控制描述正确的是:
A 確定每個人員有唯一的使用者身份證明和密碼,僅供本人使用
B 定期對賬号進行清理,清理不用的離職或調崗員工賬号
C 定期對裝置所有密碼進行更新,并保證密碼的複雜度
D 對通路權限進行必要的限制,遵從分權分域、最小授權原則。
正确答案:ABCD
30.以下哪些是産品安全要求的安全屬性?
A 禁止後門、病毒
B 開源軟體安全
C 安全測試
D 傳遞安全
正确答案:ABCD
31.下面哪些行為,屬于網絡安全二級違規:
A 測試的安全問題隐瞞不報
B 在對外交流中,未經客戶書面授權,展示和披露網絡安全紅線問題或漏洞資訊。
C 接入客戶網絡的電腦、通信終端、存儲媒體等未進行殺毒,導緻客戶網絡或檢測出病毒。
D 未經客戶書面授權,傳播、使用共享賬号和密碼
E 客戶授權到期後,未删除和銷毀持有的客戶網絡資料。
F 未經書面授權,在公開場合、公共媒體等談論、傳播或釋出客戶網絡中的任何資料和資訊
正确答案:BCDEF
32.下列行為中,哪些屬于産品安全違規行為:
A 在産品中預留任何隐藏功能
B 測試出的安全問題隐瞞不報
C 借用他人配置庫賬号登陸配置庫、修改代碼、文檔
D 使用他人賬号或非授權賬号登陸裝置進行操作
正确答案:ABCD
33.<<華為業務群網絡安全違規問責制度>>中明确規定,違規員工或相關責任人如觸犯網絡安全相關法律規定,公司依法追究其法律責任或保留依法追究法律責任的權利
正确 錯誤
正确答案 :正确
34.A公司客戶回報,裝置存在通話中斷問題要求盡快解決。A公司委任工程師Z去現網進行問題分析定位。經客戶書面授權後,工程師Z現場采集了資料驚醒分析定位,但問題一直無法解決。兩周後問題重制,Z為了抓住轉瞬即逝的定位實際,未經客戶書面授權,接入客戶網絡,快速定位分析并解決了問題,該員工行為不涉及我那個羅安全違規。
正确 錯誤
正确答案 :錯誤
35.網絡安全問題不僅是技術問題,已上什未法律問題、政治問題,我們應避免網絡安全問題而導緻公司崩潰的政治風險和法律後果。
正确 錯誤
正确答案: 正确
36.GDPR規定資料控制者和處理者對于能夠識别資料主題個人資料的儲存時限不得超過資料處理目的的必要。
正确 錯誤
正确答案: 正确
37.網絡安全行為紅線是有條件強制要求的在與業務沖突時,需優先滿足業務需要。
正确 錯誤
正确答案 錯誤
38.任何個人群組織不得從事非法侵入他人網絡、幹擾他人網絡正常功能等危害網絡安全的活動。
正确 錯誤
正确答案 正确
39. 獲得客戶書面授權,可以允許共享賬号使用,并嚴格限定在授權的客戶網絡賬号使用者範圍内。
正确 錯誤
正确答案: 正确