《ISOIEC 27701 隐私信息管理体系内审员》试题及答案

《ISO/IEC27701隐私信息管理体系内审员》试题及答案一、单项选择题（每题5分）第一方审核是[单选题]*由顾客进行的审核内部审核(正确答案)由独立认证机构进行的审核按照ISO/IEC27001:2013的要求建立信息安全管理体系的目的在于[单选题]*对产品或服务质量进行验证证明组织具有满足利益相关方要求的信息安全管理体系(正确答案)确认客户和股东的信息安全要求如果审核组未发现任何不符合项，那么审核组长应[单选题]*向受审核方解释，审核只是对活动的抽查，也许有不合格项而未被抽到(正确答案)得出信息安全管理体系完美无缺的结论取消末次会议ISO19011是什么样的标准[单选题]*审核指南(正确答案)质量管理模式与质量管理有关的指南下列不是适用性声明（SOA）必须要包括的内容是[单选题]*附录A中选择的控制目标和控制措施，以及选择的理由ISO/IEC27001:2013全部条款的要求(正确答案)对附录A中控制目标和控制措施的删减，以及删减的合理性说明依据ISO/IEC27001:2013，以下符合责任分割原则的是[单选题]*某数据中心机房运维工程师权某负责制定机房访问控制策略，为方便巡检，登录门禁系统为自己配置了各个机房的不限时门禁权限某公司由信息安全官（CIO）负责制定访问控制策略，为信息系统管理员的登录权限授权时，由另外5位副总到场分别输入自己的口令然后完成授权(正确答案)某公司制定了访问权限列表，信息系统权限分配为：董事长拥有全部权限，其次为副总，再其次为主管经理，依次类推，运维工程师因职务最低，故拥有最少权限依据ISO/IEC27001:2013访问控制相关控制措施，以下属于好的做法的是[单选题]*员工岗位变更时，终止其原有的访问权，赋予符合新岗位的访问权(正确答案)关于用户访问权的复查，可以采用每季度抽样的方式，全年度抽样的集合确保所有账号被覆盖到离职员工被回收了公司门禁卡，没有权限再进入公司区域使用公司的电脑，因此其内网系统账号权限可以不必禁用下述哪项活动必须由无直接责任关系的人进行[单选题]*客户服务合同的评审信息安全事件的原因调查信息安全管理体系内部审核(正确答案)某保险公司推出一款APP供投保用户查询保单信息。按照该公司所处司法管辖区金融监管要求，用户需进行实名认证后方可使用上述查询功能。该APP在完成实名认证的过程中，使用用户提交的身份证号、手机号、银行卡号信息，同时为用户开通了与该保险公司存在关联关系的另一家基金公司的账户，并通过隐私声明告知用户这样做的目的是方便用户将保险理赔金转入其货币基金账户，以获得更多的理财收益。这种情况与以下哪一隐私保护原则相冲突？[单选题]*合法透明原则数据最小化原则目的限制原则(正确答案)不冲突，没有违反隐私原则以下哪些情况必须进行PIA隐私影响评估[单选题]*影响PII主体切身利益的自动化决策大规模处理敏感PII（如：个人健康信息、个人金融信息、个人生物识别信息）一家商场在室内公共区域部署包含具有人脸识别功能的视频监控并开展客群分析以上都是(正确答案)根据ISO/ICE27701:2019的要求，以下哪一责任只是控制者的责任而非处理者的责任？[单选题]*确定PII主体的信息(正确答案)处理临时文件PII传输控制以文件化形式详细说明PII可被转移的国家和国际组织二、判断题（每题5分）个人数据经过匿名化之后，将不再属于个人数据。对个人数据使用不可逆的SHA-256哈希算法处理后，属于匿名化的个人数据[判断题]*对错(正确答案)网站或APP的隐私声明应当多使用IT术语、法律术语以及企业自身的业务术语，尽管难以做到通俗易懂，但能够有效防范用户找出隐私声明中的瑕疵，造成纠纷或投诉[判断题]*对错(正确答案)公司B是一家由互联网公司A控股的房地产公司。A公司在自身业务范围内采集了用户个人数据，并在隐私声明中说明会将这些数据用于A公司的广告推广目的，该隐私声明已获得了用户同意。随后A公司将这些数据交由B公司用于房地产广告。此场景违反了个人数据处理的目的限制原则[判断题]*对(正确答案)错ISO/IEC27701:2019隐私信息管理体系国际标准，完全遵从欧盟GDPR法规的要求，当一家公司通过该认证，即意味着该公司完全符合GDPR的要求[判断题]*对错(正确答案)企业申请ISO/IEC27701:2019认证，应确保符合标准正文部分的所有条款，这些条款均为不可裁剪的基本要求[判断题]*对错(正确答案)三、简答题（每题10分）A公司程序文件中声明，除了由公司IT提供的软件外，其它的软件如果没有得到IT经理的允许，不能在公司网络中安装使用。市场部目前正在使用一种新的数据分析工具，该工具是由开发商直接提供给市场部使用的，条件是在市场部同意参与此工具的测试后，将来以获得最终产品的免费版本作为酬谢。

（针对以上案例，判断是否为不符合项。如果为不符合项，则对不符合项给予描述，并说明不符合的依据是ISO/IEC27001:2013的哪个条款，或者是其他哪些依据。如果不足以判断不符合项，则写出您的审核思路）

[填空题]*_________________________________根据ISO/ICE27701:2019中的指南性条款，请简要说明处理PII的合法性基础（legalbasis）包括哪些。[填空题]*_________________________________参照ISO27701和GB/T35273对个人信息的定义，以下哪一项属于已识别（Identified）个人信息？[单选题]*A.一段电话通话录音B.身份证号(正确答案)C.姓名D.身体健康状况某保险公司推出一款APP供投保用户查询保单信息。按照金融监管要求，用户需实名认证后方可使用查询功能。该APP在完成实名认证的过程中，使用用户提交的身份证号、手机号、银行卡号信息，强制为用户开通了与该保险公司存在关联关系的另一家基金公司的账户，并通过隐私政策声明这样做的目的是方便用户将保险理赔金转入其货币基金账户，获得更多的理财收益。这种情况与以下哪一隐私保护原则相冲突？[单选题]*A.公开透明原则B.最少够用原则C.选择同意原则(正确答案)D.不冲突，没有违反隐私原则参照ISO27701和GB/T35273，何种情况下，数据主体可以“注销账户”？[单选题]*A.发现控制者违反了双方约定时。B.发现控制者的数据处理行为违反法律法规要求时。C.主观上不想再继续使用控制者的服务。D.以上都对。(正确答案)按照ISO27701:2019，以下哪些情况必须进行PIA（隐私影响评估）：[单选题]*A.影响PII主体切身利益的自动化决策。B.大规模处理敏感PII（如：个人健康信息、个人金融信息、个人生物识别信息）。C.一家商场在室内公共区域部署包含具有人脸识别功能的视频监控并开展客群分析。D.以上都是。(正确答案)以下哪些不属于个人生物识别信息：[单选题]*A.医学研究机构从人类皮肤组织中获取的基因信息。B.公安部门从采集的公民指纹图像中提取出的指纹特征代码。C.一张包含人脸的照片。(正确答案)D.从一段对话录音中提取出的人的声纹特征代码。根据ISO/ICE27701:2019的要求，以下哪一责任仅由控制者承担？[单选题]*A.向PII主体提供数据处理的信息。(正确答案)B.处理临时文件。C.PII传输控制。D.以文件化形式详细说明PII可被转移的国家和国际组织。ISO/ICE27701:2019哪一条款符合GB/T35273中的“最小必要”原则？[单选题]*A.A.7.2.5隐私影响评估（Privacyimpactassessment）B.A.7.4.8销毁（Disposal）(正确答案)C.A.7.2.8与PII处理有关的记录（RecordsrelatedtoprocessingPII）D.A.7.3.4提供修改或撤回同意的机制（Providingmechanismtomodifyorwithdrawconsent）个人数据经过匿名化之后，将不再属于个人数据。对个人数据使用不可逆的SHA-256哈希算法处理后，属于匿名化的个人数据。[判断题]*对错(正确答案)网站或APP的隐私声明应当多使用IT术语、法律术语以及企业自身的业务术语，尽管难以做到通俗易懂，但能够有效防范用户找出隐私声明中的瑕疵，造成纠纷或投诉。[判断题]*对错(正确答案)公司B是一家由互联网公司A控股的房地产公司。A公司在自身业务范围内采集了用户个人数据，并在隐私声明中说明会将这些数据用于A公司的广告推广目的，该隐私声明已获得了用户同意。随后A公司将这些数据交由B公司用于房地产广告。此场景违反了个人数据处理的“目的明确”原则。[判断题]*对(正确答案)错ISO/IEC27701:2019隐私信息管理体系国际标准，完全遵从欧盟GDPR法规的要求，当一家公司通过该认证，即意味着该公司完全符合GDPR的要求。[判断题]*对错(正确答案)企业申请ISO/IEC27701:2019认证，应确保符合标准的所有条款，这些条款均为不可裁剪的基本要求。[判断题]*对错(正确答案)数据控制者（Controller）与数据处理者（Processor）的定义有何区别？二者的责任有何区别？[填空题]*_________________________________(答案：请设置答案)根据ISO/ICE27701:2019中的指南性条款，请简要说明处理PII的法律基础（legalbasis）包括哪些。[填空题]*_________________________________(答案：请设置答案)一家财务公司无法找到已根据租购协议停止付款的客户，客户搬家时没有通知财务公司他的新地址。财务公司聘请收债代理公司寻找该客户并寻求偿还债务，并为此目的向代理商披露了客户的个人数据。这种情况与以下哪一隐私保护原则相冲突？[单选题]*公正、合法、透明原则数据最小化原则目的限制原则(正确答案)存储限制原则在处理特殊类别的个人数据时，下述哪一条件需要被满足？[单选题]*数据主体已明示同意的数据处理。基于法规要求进行的必要的数据处理。当事实上无法取得个人同意时，基于保护个人重要利益的目的而进行的必要的数据处理。以上都正确。(正确答案)数据主体拥有以下权利：[单选题]*查看组织持有的该主体的个人数据。要求组织将该主体提交的个人数据返回给他们。要求组织删除该主体的个人数据。以上都正确。(正确答案)在下列情况下，数据控制者对个人数据的处理必须被限制：[单选题]*数据主体对个人数据的准确性提出异议，数据控制者进行核实期间。数据主体反对自动化决策而数据控制者自证合法期间。当控制者对数据的处理是非法的，但数据主体反对擦除而要求限制处理。以上都是。(正确答案)以下哪些情况需要进行PIA（隐私影响性评估）：[单选题]*对PII主体产生法律影响的自动化决策。大规模处理特殊类型PII（如：健康相关信息、种族或民族、政治观点、宗教或哲学信仰、工会成员资格、基因数据或生物识别数据）。针对公共区域的大范围系统性监视。以上都是。(正确答案)根据ISO/ICE