2023年安规考试信息类练习试题

第页2023年安规考试信息类练习试题1.依据《中国南方电网有限责任公司网络安全和数字化工作管理规定》（Q/CSG2151001-2021），各级单位应当建立（）分级管控和隐患排查治理双重预防机制。A、IT服务B、事件C、数据安全风险D、网络安全风险【正确答案】：D解析：

《中国南方电网有限责任公司网络安全和数字化工作管理规定》（Q/CSG2151001-2021）

第五章网络安全管理

第三节风险管控与隐患治理

第五十三条各级单位应当建立网络安全风险分级管控和隐患排查治理双重预防机制。2.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），各级数字化管理部门应当定期组织开展（），强化数据安全风险识别、分析、评价、控制的全过程闭环管控。A、案例分析B、数据安全风险评估C、数据分析D、应急演练【正确答案】：B解析：

《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022）

第五章数据安全运营管理

第一节数据安全风险评估管理

第二十六条各级数字化管理部门应当定期组织开展数据安全风险评估，强化数据安全风险识别、分析、评价、控制的全过程闭环管控。3.依据《中国南方电网有限责任公司IT资产管理细则》（Q/CSG2153084-2021），未投入使用的IT资产由（）统一保管，经数字化管理部门审批后调配使用。A、办公室B、供应链部门C、人力资源部门D、数字化运维部门【正确答案】：D解析：

《中国南方电网有限责任公司IT资产管理细则》Q/CSG2153084-2021

第三章日常管理

第七条IT资产的保管

（一）IT资产保管以“谁使用，谁保管”为原则。共用IT资产（如公用打印机、扫描仪、上网卡等），由所在部门指定一人专人负责保管。未投入使用的IT资产由数字化运维部门统一保管，经数字化管理部门审批后调配使用。4.南方电网公司的安全理念是什么A、安全第一、预防为主、综合治理B、坚持人民至上、生命至上C、一切事故都可以预防D、预防为主，预防与应急相结合【正确答案】：C解析：

《中国南方电网有限责任公司安全生产管理规定》Q/CSG2091003-2021

第一章总则

安全生产工作必须坚持党的领导，贯彻“安全第一、预防为主、综合治理”的方针，统筹发展和安全，树牢“一切事故都可以预防”的安全理念5.依据《中国南方电网有限责任公司互联网应用业务指导书》，定期开展互联网应用安全检测评估。存在中危漏洞的，通报后（）小时内采用临时安全防护措施。A、24B、48C、72D、96【正确答案】：D解析：

《中国南方电网有限责任公司互联网应用业务指导书》

4.管理要点

4.5安全管理

4.5.2定期开展互联网应用安全检测评估。存在高危漏洞的，通报后24小时内下线整改，下线前须发布公告；存在中危漏洞的，通报后96小时内采用临时安全防护措施；低危漏洞各单位可通过例行维护完成整改。6.【案例】某数据库脱敏厂商王某来信息中心某部门实施数据脱敏项目，项目涉及人资及财务等核心系统的数据库，王某在未经许可的情况下将含有梳理出来需要脱敏的数据库表及字段的excel清单拷贝至个人U盘并带出信息中心,导致部分敏感信息外泄。【问题】在外部人员访问管理中，获得系统访间授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何（）信息。A、机密B、绝密C、敏感D、商密【正确答案】：C解析：

《信息安全技术网络安全等级保护基本要求》（GB/T22239一2019）

8第三级安全要求

8.1安全通用要求

8.1.8安全管理人员

8.1.8.4外部人员访问管理

本项要求包括：

a)应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案；

b)应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案；

c)外部人员离场后应及时清除其所有的访间权限；

d)获得系统访间授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。7.依据《中华人民共和国网络安全法》，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在（）。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。A、第三方存储B、境内存储C、境外存储D、外部存储器存储【正确答案】：B解析：

《中华人民共和国网络安全法》

第三章网络运行安全

第二节关键信息基础设施的运行安全

第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。8.依据《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022），关基运营单位应当制定关基网络安全应急预案，定期评估修订并持续改进，（）至少组织开展一次应急演练。A、每半年B、每季度C、每两年D、每年【正确答案】：D解析：《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022）第六章监测预警和事件处置第三十五条运营单位应当制定关基网络安全应急预案，定期评估修订并持续改进，每年至少组织开展一次应急演练。9.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），关键信息系统按照重要程度总共分为（）类。A、二B、三C、四D、一【正确答案】：B解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》

（Q/CSG2152010-2022）

附录B：术语和定义

二、关键信息系统

指公司和各分子公司生产经营关键核心业务所依赖的、为其提供数字化支撑的信息系统，一旦遭到破坏、丧失功能或数据泄漏，可能严重影响公司或本单位生产经营，危害公司或本单位安全、利益和形象。关键信息系统按照重要程度主要分为一类关键信息系统、二类关键信息系统、三类关键信息系统。10.依据《中国南方电网有限责任公司网络安全和数字化工作管理规定》（Q/CSG2151001-2021），数字化项目需开展功能、性能、安全等出厂测试。工单模式类项目针对迭代开发的（）部分进行测试。A、核心B、配置C、增量D、主要【正确答案】：C解析：

《中国南方电网有限责任公司网络安全和数字化工作管理规定》（Q/CSG2151001-2021）

第三章数字化管理

第二节数字化建设管理

第十八条项目开发管理

各级数字化管理部门组织编制传统可研类项目的开发方案、项目计划，编制工单模式类项目的迭代开发计划。

数字化项目需开展功能、性能、安全等出厂测试。工单模式类项目针对迭代开发的增量部分进行测试。11.依据《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021），密码应用安全性评估（）与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。A、必须B、不得C、禁止D、可以【正确答案】：D解析：

《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021）

第二章管理内容和要求

第七节密码应用安全性评估管理

第二十七条密码应用安全性评估可以与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。12.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因代码存在fastjson漏洞未及时整改，护网期间黑客利用该漏洞对工作台进行了入侵，导致系统部分数据被窃取和篡改。【问题】信息系统在运行阶段被发现存在（）安全漏洞，若不立即修复可能会引发网络安全事件，导致严重的业务和社会影响。A、高危、中危B、后门、高危C、后门、中危D、中危、低危【正确答案】：A解析：《南方电网公司网络安全合规库（2022年修订版）》TY-YW-002601、通用要求安全运维管理网络和系统安全管理应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为或高危、中危安全漏洞，形成分析报告，并采取必要的应对措施。2、一旦被发现存在高危、中危安全漏洞，若不立即修复将引发网络安全事件或导致严重的业务和社会影响时，建议信息系统运行单位可临时将信息系统关停或与网络断开；漏洞完成整改并通过测评后，信息系统方可重新投运或接入网络。13.依据《中国南方电网有限责任公司互联网应用业务指导书》，严禁将带有各级单位LOGO或业务数据等敏感信息的互联网应用部署于系统开发商或（）机房。A、分子公司B、供电局C、网公司D、运营商【正确答案】：D解析：

《中国南方电网有限责任公司互联网应用业务指导书》

4.管理要点

4.1建设管理

4.1.2严禁将带有各级单位LOGO或业务数据等敏感信息的互联网应用部署于系统开发商或运营商机房。14.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），因业务需要需向境外提供数据的，严格按照国家（）审查制度执行。A、出境B、入境C、数据安全D、网络安全【正确答案】：C解析：

《中国南方电网有限责任公司网络安全管理办法》Q/CSG2152002-2022

第二章管理内容和要求

第六节数据安全管理

第二十四条因业务需要需向境外提供数据的，严格按照国家数据安全审查制度执行。15.依据《中国南方电网有限责任公司安全生产令》，各单位需加强安全监管，健全应急管理体系，深化安全生产巡查检查督查，严肃（）和责任追究。A、处分B、工作纪律C、批评D、事故事件调查【正确答案】：D解析：

《中国南方电网有限责任公司安全生产令》16.依据《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019），第二级安全要求的人员安全管理主要有人员的录用、人员的离岗、（）、外部人员访问管理4个控制点。A、安全意识教育和培训B、人员裁减C、人员教育D、人员审核【正确答案】：A解析：

《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）

7第二级安全要求

7.1安全通用要求

7.1.8安全管理人员17.依据《中国南方电网有限责任公司信息运行事件调查规程（试行）》，四、五、六级信息运行事件由（）组织认定，并报公司数字化部备案。A、地市局数字化部门B、分子公司C、网公司安监部D、网公司数字化部【正确答案】：B解析：

《中国南方电网有限责任公司信息运行事件调查规程（试行）》

5.内容和方法

5.4.信息运行事件顶级

5.4.4信息运行事件最终等级确定

5.4.4.2四、五、六级信息运行事件由分子公司组织认定，并报公司数字化部备案。18.依据《中华人民共和国数据安全法》，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送（）。A、风险评估报告B、故障分析报告C、数据分析报告D、需求分析报告【正确答案】：A解析：

《中华人民共和国数据安全法》

第四章数据安全保护义务

第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。19.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），各级单位应当健全网络安全事件应急机制，（）制定电力监控系统网络安全应急预案。A、安全监管部门B、调度机构C、数字化部门D、应急指挥中心【正确答案】：B解析：

《中国南方电网有限责任公司网络安全管理办法》Q/CSG2152002-2022

第二章管理内容和要求

第十三节网络安全事件与应急管理

第四十二条各级单位应当健全网络安全事件应急机制，数字化部门制定应对网络攻击等通用应急预案，调度机构制定电力监控系统网络安全应急预案，各业务部门制定涉及业务逻辑与权限、数据、业务设备的应急预案，并且报上级单位备案。20.依据《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019），等保四级系统所在机房应设置温湿度自动调节设施，使机房温湿度的变化在（）的范围之内。A、当日气温B、可控C、人体适应D、设备运行所允许【正确答案】：D解析：

《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）

9第四级安全要求

9.1安全通用要求

9.1.1安全物理环境

9.1.1.8温湿度控制

应设置温湿度自动调节设施，使机房温湿度的变化在设备运行所允许的范围之内。21.依据《中国南方电网有限责任公司网络安全奖惩管理细则》（Q/CSG2153091-2022），涉及供应商的网络安全问责，除依据合同追究法律责任之外，问责方式包含以下（）。A、罚款B、禁入C、立即终止合同D、起诉【正确答案】：B解析：

《中国南方电网有限责任公司网络安全奖惩管理细则》Q/CSG2153091-2022

第三章问责

第十九条涉及供应商的网络安全问责，应当按《公司供应商管理办法》执行。对相关供应商，除依据合同追究法律责任之外，问责方式包括：

（一）禁入；

（二）供应商履约扣分；

（三）说清楚。22.依据《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022），运营单位应当每年对关基至少进行（）实战攻防演练或者沙盘推演，A、两次B、三次C、四次D、一次【正确答案】：D解析：《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022）第五章检测和评估第三十三条运营单位应当每年对关基至少进行一次实战攻防演练或者沙盘推演，消除结构性、全局性风险，按年度将演练情况上报保护工作部门。23.依据《中国南方电网有限责任公司信息运行事件调查规程（试行）》，以下属于信息系统恶性误操作的是（）。A、操作对象错误，影响设备、系统运行状态B、错误执行运行方式C、误操作导致机房设备掉电D、误关闭冗余软硬件，导致高可用失效【正确答案】：C解析：

《中国南方电网有限责任公司信息运行事件调查规程（试行）》

3术语和定义

3.6.1恶性误操作

a）误删除数据、重要数据无备份；

b）误关闭网络和安全设备、承载关键信息系统的存储、主机等；

c）误操作导致机房设备掉电；

d）经数字化管理部门认定的其他恶性误操作。

24.依据《中国南方电网有限责任公司信息运行事件调查规程（试行）》，一至三级信息运行事件的调查期限为（）日。A、10B、15C、20D、5【正确答案】：B解析：《中国南方电网有限责任公司信息运行事件调查规程（试行）》5.内容和方法5.5信息运行事件调查5.5.1事件调查5.5.1.2调查期限a）一至三级事件的调查期限为15日；25.依据《中国南方电网有限责任公司安全生产令》，各单位需健全落实横到边纵到底的（）和安全生产制度标准，做到明责知责尽责担责。A、安全生产责任制B、第一责任制C、岗位责任制D、主要责任制【正确答案】：A解析：

《中国南方电网有限责任公司安全生产令》26.各级数字化管理部门应当制定数据安全教育、培训计划，对（）定期开展数据安全法规、知识技能等方面的培训和考核。A、领导人员B、数据安全管理人员C、数据使用人员D、业务人员【正确答案】：B解析：

《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022）

第五章数据安全运营管理

第四节数据安全教育培训管理

第三十二条各级数字化管理部门应当制定数据安全教育、培训计划，对数据安全管理人员定期开展数据安全法规、知识技能等方面的培训和考核。27.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），信息系统并入调管范围内的信息网络运行前，应当开展（）。A、并网管理B、入网管理C、上架管理D、上网管理【正确答案】：A解析：

《中国南方电网有限责任公司

信息系统运行管理办法（试行）》

（Q/CSG2152010-2022）

第三章信息运行调度管理

第一节并网管理

第六条信息系统并入调管范围内的信息网络运行前，应当开展并网管理。28.依据《中国南方电网有限责任公司安全生产管理规定》（Q/CSG2091003-2021），南方电网公司坚持（）原则，按照国家有关安全生产法律法规标准，建立事故事件调查分析处理机制。A、“三不一鼓励”B、“四不放过”C、管生产经营必须管安全D、管业务必须管安全【正确答案】：B解析：

《中国南方电网有限责任公司安全生产管理规定》Q/CSG2091003-2021

第四章安全生产监督

公司坚持“四不放过”原则，按照国家有关安全生产法律法规标准，建立事故事件调查分析处理机制。29.依据《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019），应采用校验技术或密码技术保证通信过程中数据的（）。A、保密性B、可控性C、可用性D、完整性【正确答案】：D解析：

《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）

8第三级安全要求

8.1安全通用要求

30.依据《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019），以下哪项不属于等保三级系统所在机房防水防潮措施（）。A、应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警B、应采取措施防止机房内水蒸气结露和地下积水的转移与渗透C、应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透D、应将各类机柜、设施和设备等通过接地系统安全接地【正确答案】：D解析：

《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）

8第三级安全要求

8.1安全通用要求

8.1.1安全物理环境

8.1.1.6防水和防潮

本项要求包括：

a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透；

b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透；

c)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。31.依据《中国南方电网有限责任公司数据应用管理细则》（Q/CSG2153088-2021），因页面篡改、数据泄露等安全原因需要紧急下线数据应用的，数据应用归口管理业务部门应当先执行数据应用下线，并在下线后（）天内完成数据应用紧急下线申请，提交数字化管理部门。A、二B、七C、三D、五【正确答案】：C解析：

《中国南方电网有限责任公司数据应用管理细则》（Q/CSG2153088-2021）

第六章数据应用下线管理

第二十五条因页面篡改、数据泄露等安全原因需要紧急下线数据应用的，数据应用归口管理业务部门应当先执行数据应用下线，并在下线后三天内完成数据应用紧急下线申请，提交数字化管理部门。下线期间对业务产生的影响由相关业务部门负责解释。32.依据《中华人民共和国数据安全法》，开展数据处理活动应当依照法律、法规的规定，建立健全（）管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。A、风险评估B、全流程数据安全C、谁处理谁负责D、应急处置【正确答案】：B解析：

《中华人民共和国数据安全法》

第四章数据安全保护义务

第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。33.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），运维单位应当规范信息运行工器具管理，工器具应当基于（）需求合理配置、规范使用，防止混用产生风险。A、风险和计划B、风险和作业C、管理和作业D、计划和作业【正确答案】：B解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》

（Q/CSG2152010-2022）

第七章运行综合支持管理

第三十七条运维单位应当规范信息运行工器具管理，确保使用的工器具处于正常状态。工器具应当基于风险和作业需求合理配置、规范使用，防止混用产生风险。34.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），关键信息系统指公司和各分子公司生产经营关键核心业务所依赖的、为其提供（）支撑的信息系统，一旦遭到破坏、丧失功能或数据泄漏，可能严重影响公司或本单位生产经营，危害公司或本单位安全、利益和形象。A、平台化B、数字化C、智能化D、自动化【正确答案】：B解析：

《中国南方电网有限责任公司

信息系统运行管理办法（试行）》

（Q/CSG2152010-2022）

附录B：术语和定义

二、关键信息系统

指公司和各分子公司生产经营关键核心业务所依赖的、为其提供数字化支撑的信息系统，一旦遭到破坏、丧失功能或数据泄漏，可能严重影响公司或本单位生产经营，危害公司或本单位安全、利益和形象。关键信息系统按照重要程度主要分为一类关键信息系统、二类关键信息系统、三类关键信息系统。35.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），网络安全是公司安全生产体系的重要组成部分，公司（）部门负责网络安全归口管理。A、安全监管B、调度机构C、企业架构D、数字化【正确答案】：D解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

第二章管理内容和要求

第一节总体要求

第五条网络安全是公司安全生产体系的重要组成部分，公司数字化部门负责网络安全归口管理，调度机构负责电力监控系统网络安全专业管理和具体实施，安全监管部门负责网络安全综合监督，各业务部门各司其职。36.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），相关单位或各单位收到《网络安全信息通报》后，应立即排查整改，并于（）小时内向公司网络安全信息通报中心反馈排查情况。A、12B、24C、36D、48【正确答案】：B解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

《附录H：中国南方电网有限责任公司网络安全信息通报业务指导书》

4.管理要点

4.3常态化信息通报机制

4.3.3公司网络安全信息通报中心实时跟踪网络安全事件、网络安全威胁、网络安全漏洞及其他可能影响公司网络安全等情况，研判分后析视具体情况编制《网络安全信息通报》发至相关单位或各单位。

（1）相关单位或各单位收到《网络安全信息通报》后，应立即排查整改，并于24小时内向公司网络安全信息通报中心反馈排查情况。

（2）严格按照《网络安全信息通报》要求限时完成整改，并上报整改报告，以及网络安全事件调查报告。

（3）涉及网络安全事件调查的单位，应在整改完成后1周内说清楚情况。37.【案例】某运维流程管理系统于2013年上线，运行已达10年，于2023年1月正式退运。该系统运维人员周某为方便其运维工作，未将数据备份就直接将该系统服务器当做跳转机使用。【问题】（）负责配置备份管理，并定期开展备份恢复测试。A、信息安全管理单位（部门）B、信息系统承建单位（部门）C、业务部门D、运维单位【正确答案】：D解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022）

第四章信息运行维护管理

第一节维护管理

第十九条信息系统备份包括数据备份和配置备份。业务部门协同数字化管理部门制定数据备份策略，运维单位负责执行。运维单位负责配置备份管理，并定期开展备份恢复测试。关键信息系统应当按系统分级分类要求实施异地数据灾备、同城应用灾备。38.依据《中国南方电网有限责任公司跨境数据管理细则》（Q/CSG2153003-2022），国家网信管理部门的数据出境安全评估结果有效期为多久A、二年B、三年C、四年D、一年【正确答案】：A解析：

《中国南方电网有限责任公司跨境数据管理细则》（Q/CSG2153003-2022）

第五章数据出境申报管理

第二十五条国家网信管理部门的数据出境安全评估结果有效期为二年。若有效期满或者在有效期内出现国家规定影响出境数据安全的情形时，应当重新申报评估（具体见附录H:重新申报数据出境安全评估情形）。未按照规定重新申报评估的，应当停止数据出境活动。39.依据《中华人民共和国网络安全法》，国家鼓励开发网络数据安全保护和利用技术，促进（）开放，推动技术创新和经济社会发展。A、公共数据资源B、公共图书资源C、公共学校资源D、共享单车资源【正确答案】：A解析：

《中华人民共和国网络安全法》

第二章网络安全支持与促进

第十八条国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。40.依据《计算机信息系统安全保护条例》规定，任何组织或者个人违反条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担（）。A、民事责任B、其他责任C、违约责任D、刑事责任【正确答案】：A解析：

《计算机信息系统安全保护条例》

第四章法律责任

第二十五条任何组织或者个人违反本条例的规定，给国家、集体或者他人财产造成损失的，应当依法承担民事责任。41.依据《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019），等保二级信息系统所在机房应采用（）地板或地面并采用必要的接地防静电措施。A、防风B、防滑C、防静电D、防水【正确答案】：C解析：

《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）

7第二级安全要求

7.1安全通用要求

7.1.1安全物理环境

7.1.1.6防静电

应采用防静电地板或地面并采用必要的接地防静电措施。42.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），信息系统应当纳入统一监测，并实行（）小时运行监测。A、5*24B、5*8C、7*24D、7*8【正确答案】：C解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》Q/CSG2152010-2022

第三章信息运行调度管理

第三节运行控制管理

第十四条信息系统应当纳入统一监测，并实行7×24小时运行监测。43.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），新建信息系统的承建单位应在初验计划前（）个工作日，向信息系统建设单位提交测试申请，申请附件包括系统的网络拓扑和资产清单等。A、15B、20C、25D、30【正确答案】：B解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

《附录F：中国南方电网有限责任公司网络安全检测业务指导书》

4.管理要点

4.1总体要求

4.1.5新建信息系统的承建单位应在初验计划前20个工作日，向信息系统建设单位提交测试申请，申请附件包括系统的网络拓扑和资产清单等。44.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），各级单位在中华人民共和国境内采集和生成的各类数据须在（）存储。A、第三方B、境内C、境外D、外部存储器【正确答案】：B解析：

《中国南方电网有限责任公司数据安全管理办法（试行）》

（Q/CSG2152001-2022）

第四章数据生命周期安全管理

第二十二条公司数字化管理部门应当遵循国家《数据出境安全评估办法》的相关规定，制定数据出境安全评估的相关规范。各级单位在中华人民共和国境内采集和生成的各类数据须在境内存储。数据确需出境时，应当遵循法律法规及公司相关规范进行出境安全评估。45.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），系统投运后（）个工作日内完成定级备案A、二十B、三十C、十D、四十【正确答案】：B解析：《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）第二章管理内容和要求第八节网络安全等级保护管理第二十九条各级单位应当在网络和信息系统可研阶段确定保护等级，系统投运后三十个工作日内完成定级备案；定期开展等级测评，新建第三级及以上网络和信息系统在通过等级测评后方可投入运行；在等级测评完成后三十个工作日内，履行测评报告备案手续；在信息系统退运三十个工作日内，办理备案注销手续。46.【案例】某数据库脱敏厂商李某来信息中心某部门实施数据脱敏项目，项目涉及人资及财务等核心系统的数据库，李某在未经许可的情况下将含有梳理出来需要脱敏的数据库表及字段的excel清单拷贝至个人U盘并带出信息中心,导致部分敏感信息外泄。【问题】在外部人员访问管理要求中，外部人员离场后应及时清除其所有的访问（）。A、记录B、权限C、日志D、数据【正确答案】：B解析：

《信息安全技术网络安全等级保护基本要求》（GB/T22239一2019）

9第四级安全要求

9.1安全通用要求

9.1.8安全管理人员

9.1.8.4外部人员访问管理

本项要求包括：

a)应在外部人员物理访问受控区域前先提出书面申请，批准后由专人全程陪同，并登记备案；

b)应在外部人员接入受控网络访问系统前先提出书面申请，批准后由专人开设账户、分配权限，并登记备案；

c)外部人员离场后应及时清除其所有的访问权限；

d)获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息；

e)对关键区域或关键系统不允许外部人员访问。47.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），（）负责组织制定公司电力监控系统数据安全管理规章制度和标准规范。A、公司安全监管部B、公司办公室C、公司调度机构D、公司数字化管理部门【正确答案】：C解析：

《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022）

附录A：职责和分工

五、公司调度机构

（二）负责组织制定公司电力监控系统数据安全管理规章制度和标准规范。48.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），各级数据资产所属单位应当建立完备的数据容灾备份和恢复机制，并提供数据完整性校验机制，保障数据的（）。A、可用性和及时性B、可用性和完整性C、一致性和完整性D、准确性和完整性【正确答案】：B解析：

《中国南方电网有限责任公司数据安全管理办法

（试行）》

（Q/CSG2152001-2022）

第四章数据生命周期安全管理

第十七条各级数据资产所属单位应当建立完备的数据容灾备份和恢复机制，并提供数据完整性校验机制，保障数据的可用性和完整性，做好数据容灾应急预案，每年至少开展一次灾难恢复演练。一旦发生数据丢失或破坏，各级单位需及时检测及恢复数据，保障数据安全、用户权益及业务连续性。49.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因代码存在fastjson漏洞未及时整改，护网期间黑客利用该漏洞对工作台进行了入侵，导致系统部分数据被窃取和篡改。【问题】信息系统运行单位应做好信息系统运行期间的运行环境、网络、软硬件设备设施、介质、（）的安全管理工作。A、数据B、数据传输C、数据存储D、应用【正确答案】：A解析：《南方电网公司网络安全合规库（2022年修订版）》TY-ZD-000201、通用要求安全管理制度管理制度为了令信息系统更好运行，应做好系统运行期间的安全管理工作，包括运行环境、网络、软硬件设备设施、介质、数据等方面，并应在安全管理活动中的各类管理内容建立安全管理制度，制度内容涵盖人员管理、资产管理、采购管理、外包管理、教育培训等方面。1、建议做好信息系统运行期间的运行环境、网络、软硬件设备设施、介质、数据的安全管理工作。50.依据《中华人民共和国网络安全法(2017年6月1实施)》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（），明确安全和保密义务与责任。A、安全保密协议B、安全责任协议C、第三方人员安全协议D、岗位协议【正确答案】：A解析：

《中华人民共和国网络安全法(2017年6月1实施)》

第三章网络运行安全

第三十六条

关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。51.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），生产控制大区细分为控制区和（）。A、非控制区B、内网区C、生产管理区D、外网区【正确答案】：A解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

附录B：术语和定义

八、生产控制大区

指与电力生产直接相关，具备对电力一次系统数据采集、在线监视、闭环控制功能的各电力监控系统构成的安全区域，又细分为控制区（安全区I）和非控制区（安全区II）。52.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因代码存在fastjson漏洞未及时整改，护网期间黑客利用该漏洞对工作台进行了入侵，导致系统部分数据被窃取和篡改。【问题】发生网络安全事件时，信息系统运行单位应该采取（）或（）等临时措施。A、开启WAF、开启防火墙B、限制访问、网络断开C、信息系统关停、开启防火墙D、信息系统关停、网络断开【正确答案】：D解析：《南方电网公司网络安全合规库（2022年修订版）》TY-YW-002601、通用要求安全运维管理网络和系统安全管理应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为或高危、中危安全漏洞，形成分析报告，并采取必要的应对措施。2、一旦被发现存在高危、中危安全漏洞，若不立即修复将引发网络安全事件或导致严重的业务和社会影响时，建议信息系统运行单位可临时将信息系统关停或与网络断开；漏洞完成整改并通过测评后，信息系统方可重新投运或接入网络。53.依据《中华人民共和国网络安全法》，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、（）等危害网络安全的活动。A、窃取网络数据B、维护网络功能C、修复网络漏洞D、在网络上发布信息【正确答案】：A解析：

《中华人民共和国网络安全法》

第三章网络运行安全

第一节一般规定

第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；54.【案例】W公司中标2022年IT服务台运维服务项目，签订合同后W公司开始负责该平台运维工作。2022年9月至10月期间因W公司运维不到位，该平台多次发生系统故障，导致系统全年中断时长累计2小时以上，达到信息安全四级事件。【问题】应在与外包运维服务商签订的协议中明确所有相关的（）要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。A、安全B、效率C、效益D、质量【正确答案】：A解析：

《信息安全技术网络安全等级保护基本要求》（GB/T22239一2019）

8第三级安全要求

8.1安全通用要求

8.1.10安全运维管理

8.1.10.14外包运维管理

本项要求包括：

a)应确保外包运维服务商的选择符合国家的有关规定；

b)应与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；

c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力，并将能力要求在签订的协议中明确；

d)应在与外包运维服务商签订的协议中明确所有相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求，对IT基础设施中断服务的应急保障要求等。55.依据《中国南方电网有限责任公司安全生产令》，各单位需树立“一切事故都可以预防”的安全理念，坚持系统观念，持之以恒推进（）企业建设。A、本质安全型B、世界领先C、世界一流D、综合型【正确答案】：A解析：

《中国南方电网有限责任公司安全生产令》56.依据《中国南方电网有限责任公司跨境数据管理细则》（Q/CSG2153003-2022），对于跨境共享数据的安全风险问题，由（）负责组织解决。A、公司国际业务管理部门B、公司数字化部门C、数据产生单位D、数据需求单位【正确答案】：C解析：

《中国南方电网有限责任公司跨境数据管理细则》（Q/CSG2153003-2022）

第六章数据跨境安全监控管理

第二十九条对于跨境共享数据的安全风险问题，由数据产生单位负责组织解决。57.依据《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022），（）统筹关基识别工作，负责组织管理信息系统的关基识别工作。A、关基运营单位B、南网总调C、网公司安全监管部D、网公司数字化管理部门【正确答案】：D解析：

《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022）

第三章识别和认定

第七条公司数字化管理部门统筹关基识别工作，负责组织管理信息系统的关基识别工作。南网总调负责组织电力监控系统的关基识别工作。识别结果由数字化管理部门统一报送保护工作部门进行认定。58.依据《中华人民共和国网络安全法》，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订（），明确安全和保密义务与责任。A、安全保密协议B、安全服务合同C、安全责任条款D、保密合同【正确答案】：A解析：

《中华人民共和国网络安全法》

第三章网络运行安全

第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。59.依据《中华人民共和国网络安全法》，国家实行网络安全（）保护制度。A、等级B、分层C、结构D、行政级别【正确答案】：A解析：

《中华人民共和国网络安全法》

第三章网络运行安全

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。60.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），各级业务部门应当配合数字化管理部门开展（），确保风险有效防范，隐患及时消除。A、数据安全风险控制B、系统开发C、系统推广D、需求分析【正确答案】：A解析：

《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022）

第五章数据安全运营管理

第一节数据安全风险评估管理

第二十七条各级业务部门应当配合数字化管理部门开展数据安全风险控制，确保风险有效防范，隐患及时消除。61.【案例】2019年3月，某事业单位集中监控系统遭黑客攻击破坏。经查，该单位网络安全意识淡薄，曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后，未采取有效管理措施、技术防护措施。警方依据《网络安全法》第21条、第59条规定，对该单位予以6万元罚款，对相关责任人予以2万元罚款，同时责令该单位停机整顿，开展定级备案、测评整改等网络安全等级保护工作。【问题】根据公司网络安全管理要求，各级单位党委（党组）对本单位网络安全负主体责任，（）是第一责任人。A、领导班子其他成员B、书记C、数字化管理部门负责人D、网络安全分管领导【正确答案】：B解析：

《中国南方电网有限责任公司网络安全管理办法》

（Q/CSG2152002-2022）

第二章管理内容和要求

第一节总体要求

第四条公司网络安全按照“谁主管、谁负责”和“属地管理”原则，网、省、地、县逐级负责。各级单位党委（党组）对本单位网络安全负主体责任，书记是第一责任人，网络安全分管领导是直接责任人，领导班子其他成员根据职责分工对职责范围内的网络安全承担领导责任。62.依据《中华人民共和国网络安全法(2017年6月1实施)》，任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害（）的活动。A、办公环境安全B、数据安全C、网络安全D、信息安全【正确答案】：C解析：

《中华人民共和国网络安全法(2017年6月1实施)》

第三章网络运行安全

第一节一般规定

第二十二条任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；63.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），以下哪套系统属于生产管理区A、电网管理平台B、雷电监测系统C、协同办公系统D、营销管理系统【正确答案】：B解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

附录B：术语和定义

十、生产管理区

指属于管理信息大区，由与电力调度生产管理工作直接相关的各业务系统构成的安全区域，安全等级仅次于非控制区。典型系统包括电网运行管理系统、雷电监测系统等。64.依据《中国南方电网有限责任公司互联网应用业务指导书》，互联网应用的域名申请、公网IP分配在（）同步开展。A、开发阶段B、可研阶段C、上线阶段D、设计阶段【正确答案】：C解析：

《中国南方电网有限责任公司互联网应用业务指导书》

4.管理要点

4.2上线管理

4.2.2域名申请、公网IP分配在上线阶段同步开展，严禁采用IP+端口方式直接对外发布。65.【案例】某网公司需要建设客户服务平台，通过公开招标W公司中标该平台的开发项目。W公司在开发过程中未将开发测试环境与生产运行环境有效隔离，为了方便代码共享管理，将开发测试系统上传至GitHub。同时为了方便对开发中的功能进行调试和验证，将客户真实数据未进行脱敏直接导入开发环境进行测试，后因GitHub上的代码和测试数据被黑客获取，最终导致该在建系统的敏感数据泄漏。【问题】因测试工作需要申请导入生产数据时，（）应向信息系统相关业务部门提出申请，业务部门负责对测试数据申请进行审批。（）A、信息系统测试单位B、信息系统建设单位C、信息系统开发单位D、信息中心【正确答案】：B解析：《南方电网公司网络安全合规库（2022年修订版）》TY-JSG-002601、通用要求安全建设管理外包软件开发开发单位应提供软件源代码，并委托第三方专业机构审查软件中可能存在的后门和隐蔽信道；同时，在开展测试工作时，测试工作需要申请导入生产数据时，应进行申请、审批流程；其中涉及敏感数据时，开展数据脱敏与数据迁移工作。3、建议因测试工作需要申请导入生产数据时，信息系统建设单位应向信息系统相关业务部门提出申请，业务部门负责对测试数据申请进行审批。66.依据《中华人民共和国网络安全法(2017年6月1实施)》，网络运营者应当制定网络安全事件应急预案，及时处置（）、计算机病毒、网络入侵、网络攻击等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。A、安全故障B、系统报错C、系统故障D、系统漏洞【正确答案】：D解析：

《中华人民共和国网络安全法(2017年6月1实施)》

第三章网络运行安全

第一节一般规定

第二十一条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。67.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），因业务或监管需要必须提供外，原则上各级单位不得对外提供（）信息数据。A、公告B、客户个人C、停电信息D、新闻【正确答案】：B解析：

《中国南方电网有限责任公司数据安全管理办法

（试行）》

（Q/CSG2152001-2022）

第四章数据生命周期安全管理

第二十一条原则上各级单位不得对外提供客户个人信息数据，因业务或监管需要必须提供时，应当遵循相关法律法规和公司管理要求，对个人信息处理活动以及采取的保护措施等进行管控审查。68.依据《中国南方电网有限责任公司数据共享开放管理细则》（Q/CSG2153076-2020），公司数据开放应当在合法合规的前提下开展，遵循（）的原则。A、“谁申请、谁获利、谁负责”B、“谁使用、谁获利、谁负责”C、“谁使用、谁主管、谁负责”D、“谁主管、谁获利、谁负责”【正确答案】：B解析：

《中国南方电网有限责任公司数据共享开放管理细则》

（Q/CSG2153076-2020）

第四章数据开放管理

第十五条公司数据开放应当在合法合规的前提下开展，遵循“谁使用、谁获利、谁负责”的原则。公司总部各部门、各分子公司应当依托公司数据中心实施数据开放。如果数据中心暂时无法满足开放需求，数据需求方应当与本单位数字化管理部门协商数据开放方案，经公司数字化管理部门审批后，方可通过其他合规途径对外提供数据。

69.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），备品备件管理以（）为原则，数字化管理部门组织运维单位编制品类清单并定期更新，规范化管理定额测算、采购、使用、退运等全过程。A、“按需配置、合理定额、及时补齐”B、“先抢通、后抢修”C、“应试必试、试必试全”D、“预防为主、及时检修”【正确答案】：A解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》Q/CSG2152010-2022

第四章信息运行维护管理

第二节检修试验管理

第二十五条备品备件管理以“按需配置、合理定额、及时补齐”为原则，数字化管理部门组织运维单位编制品类清单并定期更新，规范化管理定额测算、采购、使用、退运等全过程。70.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），公司业务部门负责本业务领域系统（）、业务数据访问权限的安全管理。A、访问权限B、网络策略C、运行维护D、作业计划【正确答案】：A解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

附录A：职责和分工

八、公司业务部门

（四）负责本业务领域系统访问权限、业务数据访问权限的安全管理。71.依据《信息安全-技术网络安全等级保护定级指南》（GB/T22240-2020），网络安全等级保护有（）等级。A、六个B、三个C、四个D、五个【正确答案】：D解析：

《信息安全-技术网络安全等级保护定级指南》（GB/T22240-2020）

4定级原理及流程

4.1安全保护等级72.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），第二十条各级单位应当建立互联网应用备案机制，统一在（）部署互联网应用，并做好内容审查和监测。A、阿里云平台B、各单位IDCC、各单位云平台D、南网云平台【正确答案】：D解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

第二章管理内容和要求

第五节信息系统安全管理

第二十条各级单位应当建立互联网应用备案机制，统一在南网云平台部署互联网应用，并做好内容审查和监测。73.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因代码存在fastjson漏洞未及时整改，护网期间黑客利用该漏洞对工作台进行了入侵，导致系统部分数据被窃取和篡改。【问题】信息系统运行单位除了应该监测记录信息系统的运行状态和网络安全状态，还应并采取措施防范（）等网络安全威胁。A、病毒木马、数据泄漏、数据篡改B、病毒木马、网络攻击、人员违规操作C、数据泄漏、网络攻击、人员违规操作D、网络攻击、数据篡改、人员误操作【正确答案】：B解析：《南方电网公司网络安全合规库（2022年修订版）》TY-YW-000801、通用要求安全运维管理资产管理应监测记录信息系统的运行状态和网络安全状态，并采取措施防范病毒木马、网络攻击、人员违规操作等网络安全威胁，并根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。1、建议监测记录信息系统的运行状态和网络安全状态，并采取措施防范病毒木马、网络攻击、人员违规操作等网络安全威胁。74.违反《中华人民共和国网络安全法》，关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上（）以下罚款。A、十倍B、五百万C、五倍D、一千万【正确答案】：A解析：

《中华人民共和国网络安全法》

第六章法律责任

第六十五条关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。75.依据《中华人民共和国网络安全法》，我国实行网络安全（）制度。A、等级保护B、分层保护C、结构保护D、行政级别【正确答案】：A解析：

《中华人民共和国网络安全法》

第三章网络运行安全

第一节一般规定

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

76.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因与其他系统交互的数据传输采用明文传输，导致系统敏感数据被他人窃取。【问题】采用加密或其它措施实现系统管理数据、鉴别信息和重要业务数据存储的（）保护。A、保密性B、完整性C、一致性D、准确性【正确答案】：A解析：

《南方电网公司网络安全合规库（2022年修订版）》

TY-JS-0101

应对通信过程中的整个报文或会话过程进行加密。

采用加密或其它措施实现系统管理数据、鉴别信息和重要业务数据存储的保密性保护。77.依据《中国南方电网有限责任公司网络安全奖惩管理细则》（Q/CSG2153091-2022），以下（）是对供应商的奖励形式。A、表扬信B、加分C、奖金D、先进集体【正确答案】：A解析：

《中国南方电网有限责任公司网络安全奖惩管理细则》（Q/CSG2153091-2022）

第二章奖励

第十条供应商奖励形式为表扬信。78.依据《中国南方电网有限责任公司互联网应用业务指导书》，互联网应用应制定专项灾备恢复应急预案，非关键互联网应用至少（）一次演练。A、半年B、两年C、三年D、一年【正确答案】：D解析：

《中国南方电网有限责任公司互联网应用业务指导书》

4.管理要点

4.5安全管理

4.5.1制定专项灾备恢复应急预案，关键互联网应用至少半年一次演练，非关键互联网应用至少每年一次演练。79.依据《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022），（）负责组织电力监控系统的关基识别工作。A、关基运营单位B、南网总调C、网公司安全监管部D、网公司数字化管理部门【正确答案】：B解析：

《中国南方电网有限责任公司关键信息基础设施安全保护管理细则》（Q/CSG2153009-2022）

第三章识别和认定

第七条公司数字化管理部门统筹关基识别工作，负责组织管理信息系统的关基识别工作。南网总调负责组织电力监控系统的关基识别工作。识别结果由数字化管理部门统一报送保护工作部门进行认定。80.依据《中国南方电网有限责任公司互联网应用业务指导书》，公司关键互联网应用是指网级一级部署全网应用或等级保护（）及以上的互联网应用。A、第二级B、第三级C、第四级D、第一级【正确答案】：B解析：

《中国南方电网有限责任公司互联网应用业务指导书》

附录E-2术语和定义

三、公司关键互联网应用

是指网级一级部署全网应用或等级保护第三级及以上的互联网应用。81.依据《中国南方电网有限责任公司信息运行事件调查规程（试行）》，七级至八级信息运行事件的调查期限为（）日。A、10B、15C、20D、5【正确答案】：D解析：

《中国南方电网有限责任公司信息运行事件调查规程（试行）》

5.内容和方法

5.5信息运行事件调查

5.5.1事件调查

5.5.1.2调查期限

c）七级至八级事件的调查期限为5日；82.依据《中华人民共和国网络安全法(2017年6月1实施)》，网络运营者对其收集的公民个人信息必须严格保密，不得泄露、（）、毁损，不得出售或者非法向他人提供。A、传播B、篡改C、倒卖D、非法使用【正确答案】：B解析：

《中华人民共和国网络安全法(2017年6月1实施)》

第四章网络信息安全

第三十六条

网络运营者对其收集的公民个人信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。83.依据《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022），被测信息系统须满足高风险整改率（），方可通过网络安全等级测评。A、0.8B、0.9C、0.95D、1【正确答案】：D解析：

《中国南方电网有限责任公司网络安全管理办法》（Q/CSG2152002-2022）

附录F：中国南方电网有限责任公司网络安全检测业务指导书

4.管理要点

4.2管理要求

4.2.1网络安全等级测评

4.2.1.2被测信息系统须满足高风险整改率100%，方可通过网络安全等级测评。84.依据《中华人民共和国数据安全法》，数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续（）状态的能力。A、安全B、公开C、共享D、稳定【正确答案】：A解析：

《中华人民共和国数据安全法》

第一章总则

第三条数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。85.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因与其他系统交互的数据传输采用明文传输，导致系统敏感数据被他人窃取。【问题】各级（）部门应当建立完善的数据安全日常监测预警机制，明确日常监测预警的策略、方法、流程等。各级（）负责建立电力监控系统数据安全日常监测预警机制。A、安全监管部门、调度机构B、调度机构、数字化管理C、数字化管理、单位D、数字化管理、调度机构【正确答案】：D解析：

《中国南方电网有限责任公司数据安全管理办法》Q/CSG2152001-2022

第五章数据安全运营管理

第二节数据安全监测预警

第二十八条各级数字化管理部门应当建立完善的数据安全日常监测预警机制，明确日常监测预警的策略、方法、流程等。各级调度机构负责建立电力监控系统数据安全日常监测预警机制。86.依据《中国南方电网有限责任公司信息系统运行管理办法（试行）》（Q/CSG2152010-2022），信息系统账号应当采用实名制，按（）原则配置权限。A、“按岗位”B、“按需”C、“最大化”D、“最小化”【正确答案】：D解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》

（Q/CSG2152010-2022）

第四章信息运行维护管理

第一节维护管理

第二十条业务部门负责本业务领域的业务账号权限管理，运维单位负责运维账号权限管理。信息系统账号应当采用实名制，按“最小化”原则配置权限，并与岗位职责要求一致。账号权限应当设置有效期并定期清查，禁止多人共享同一账号。

87.依据《中国南方电网有限责任公司信息运行事件调查规程（试行）》，事件处置结束后（）内应启动调查流程。A、两周B、三周C、四周D、一周【正确答案】：D解析：

《中国南方电网有限责任公司信息运行事件调查规程（试行）》

5.内容和方法

5.5信息运行事件调查

5.5.1事件调查

5.5.1.5调查流程

5.5.1.5.1事件处置结束后一周内应启动调查流程。88.【案例】某部门新开发上线的个人工作台V2.0投入使用后，因代码存在fastjson漏洞未及时整改，护网期间黑客利用该漏洞对工作台进行了入侵，导致系统部分数据被窃取和篡改。【问题】若发生网络安全事件后，信息系统要重新投入使用或接入网络，需要完成（）并通过（）后。A、测评、安全加固B、打补丁、测评C、基线整改、安全加固D、整改、测评【正确答案】：D解析：《南方电网公司网络安全合规库（2022年修订版）》TY-YW-002601、通用要求安全运维管理网络和系统安全管理应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为或高危、中危安全漏洞，形成分析报告，并采取必要的应对措施。2、一旦被发现存在高危、中危安全漏洞，若不立即修复将引发网络安全事件或导致严重的业务和社会影响时，建议信息系统运行单位可临时将信息系统关停或与网络断开；漏洞完成整改并通过测评后，信息系统方可重新投运或接入网络。89.【案例】2019年3月，某事业单位集中监控系统遭黑客攻击破坏。经查，该单位网络安全意识淡薄，曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后，未采取有效管理措施、技术防护措施。警方依据《网络安全法》第21条、第59条规定，对该单位予以6万元罚款，对相关责任人予以2万元罚款，同时责令该单位停机整顿，开展定级备案、测评整改等网络安全等级保护工作。【问题】根据公司信息系统运行管理要求，（）组织开展信息系统运行风险管控和隐患治理，建立分类、分级、分层管控机制，落实责任和措施，确保各类信息运行风险可控在控、隐患及时治理。A、监督单位B、数字化管理部门C、业务部门D、运维单位【正确答案】：B解析：

《中国南方电网有限责任公司信息系统运行管理办法（试行）》

（Q/CSG2152010-2022）

第六章信息运行风险管理

第三十二条按照“识别评估、制定措施、过程控制、回顾改进”的管控思路，数字化管理部门组织开展信息系统运行风险管控和隐患治理，建立分类、分级、分层管控机制，落实责任和措施，确保各类信息运行风险可控在控、隐患及时治理。严防风险管控措施失效、弱化形成隐患。90.依据《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021），各级单位关键信息基础设施、网络安全等级保护第三级及以上信息系统，（）至少完成一次密码应用安全性评估。A、每半年B、每两年C、每年D、每三年【正确答案】：C解析：

《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021）

第二章管理内容和要求

第七节密码应用安全性评估管理

第二十六条各级单位关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年都至少完成一次密码应用安全性评估。发生与密码相关的重大安全事件、重大调整或者特殊紧急情况，应当重新开展密码应用安全性评估。91.依据《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021），在信息系统初步验收阶段，应当对等级保护第三级及以上信息系统开展（）安全性评估。A、风险B、密码应用C、人身D、数据【正确答案】：B解析：《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021）第二章管理内容和要求第十条在信息系统初步验收阶段，应当对等级保护第三级及以上信息系统开展密码应用安全性评估。92.依据《中华人民共和国网络安全法》，违法设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处（）以下拘留，可以并处一万元以上十万元以下罚款。A、六日B、三日C、四日D、五日【正确答案】：D解析：

《中华人民共和国网络安全法》

第六章法律责任

第六十七条违反本法第四十六条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。93.依据《中国南方电网有限责任公司互联网应用业务指导书》，严禁部署在公司内部机房的互联网应用向互联网开放管理后台访问权限进行内容发布操作，禁止对互联网应用及所属信息基础设施的（）。A、迁移B、升级C、业务访问D、远程维护【正确答案】：D解析：

《中国南方电网有限责任公司互联网应用业务指导书》

4.管理要点

4.3运维管理

4.3.2严禁部署在公司内部机房的互联网应用向互联网开放管理后台访问权限进行内容发布操作，禁止对互联网应用及所属信息基础设施的远程维护。94.依据《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021），新建、改建、扩建的信息系统应当切实落实密码应用“同步规划、同步建设、同步运行、（）”要求。A、定期调整B、定期评估C、同步备案D、同步撤销【正确答案】：B解析：

《中国南方电网有限责任公司密码管理办法》（Q/CSG2152001-2021）

第二章管理内容和要求

第一节总体要求

第四条信息系统（包括但不限于通过技改、科技、信息化等项目新建、改建、扩建的管理信息系统、电力监控系统）应当切实落实密码应用“同步规划、同步建设、同步运行、定期评估”要求。95.【案例】某网公司需要建设客户服务平台，通过公开招标W公司中标该平台的开发项目。W公司在开发过程中未将开发测试环境与生产运行环境有效隔离，为了方便代码共享管理，将开发测试系统上传至GitHub。同时为了方便对开发中的功能进行调试和验证，将客户真实数据未进行脱敏直接导入开发环境进行测试，后因GitHub上的代码和测试数据被黑客获取，最终导致该在建系统的敏感数据泄漏。【问题】测试工作涉密及敏感数据时，业务部门提出数据脱敏要求，信息系统建设单位根据要求开展（）工作。A、数据加密、数据迁移B、数据加密、数据脱敏C、数据迁移、数据备份D、数据脱敏、数据迁移【正确答案】：D解析：《南方电网公司网络安全合规库（2022年修订版）》TY-JSG-002601、通用要求安全建设管理外包软件开发开发单位应提供软件源代码，并委托第三方专业机构审查软件中可能存在的后门和隐蔽信道；同时，在开展测试工作时，测试工作需要申请导入生产数据时，应进行申请、审批流程；其中涉及敏感数据时，开展数据脱敏与数据迁移工作。4、测试工作涉密及敏感数据时，建议依据数据脱敏要求，开展数据脱敏与数据迁移工作。96.依据《中国南方电网有限责任公司互联网应用业务指导书》，互联网应用应制定专项灾备恢复应急预案，关键互联网应用至少（）一次演练。A、半年B、两年C、三年D、一年【正确答案】：A解析：

《中国南方电网有限责任公司互联网应用业务指导书》

4.管理要点

4.5安全管理

4.5.1制定专项灾备恢复应急预案，关键互联网应用至少半年一次演练，非关键互联网应用至少每年一次演练。97.依据《中国南方电网有限责任公司数据安全管理办法（试行）》（Q/CSG2152001-2022），各级单位应当明确个人信息数据采集的范围、目的和用途，在基于个人充分知情并取得同意的前提下，限于实现处理目的的（）进行数据采集。A、最大范围B、最全面C、最完整D、最小范围【正确答案】：D解析：

《中国南方电网有限责任公司数据安全管理办法

（试行）》

（Q/CSG2152001-2022）

第四章数据生命周期安全管理

第十二条各级单位应当明确个人信息数据采集的范围、目的和用途，在基于个人充分知情并取得同意的前提下，限于实现处理目的的最小范围进行数据采集，确保数据采集的合法性、正当性和必要性，并对数据采集的环境、设施和技术采取必要的管控措施。98.依据《中国南方电网有限责任公司跨境数据管理细则》（Q/CSG2153003-2022），出境数据中涉及个人信息的，需取得（）同意，告知个人信息处理目的、处理方式等事项。A、个人B、公安部门C、国家安全部门D、数字化管理部门【正确答案】：A解析：

《中国南方电网有限责任公司跨境数据管理细则》（Q/CSG2153003-2022）

第五章数据出境申报管理

第二十三条出境数据中涉及个人信息的，需取得个人同意，告知个人信息处理目的、处理方式等事项。99.【案例】W公司中标2022年IT服务台运维服务项目，签订合同后W公司开始负责该平台运维工作。2022年9月至10月期间因W公司运维不到位，该平台多次发生系统故障，导致系统全年中断时长累计2小时以上，达到信息安全四级事件。【问题】因外包商的行为不当导致公司发生网络安全缺陷或事件的，纳入（）供应商评价考核。A、半年B、季度C、年度D、月度【正确答案】：C解析：《南方电网公司网络安全合规库（2022年修订版）》TY-RY-001901、通用要求安全管理人员外部人员访问管理与合约方签订的外包服务协议中应具有对供应商年度评价考核条款。2、因外包商的行为不当导致公司发生网络安全缺陷或事件的、开发外包商交付系统的网络安全质量等，应纳入年度供应商评价考核。100.依据《中国南方电网有限责任公司网络安全和数字化工作管理规定》（Q/CSG2151001-2021），信息系统上线投运、变更发布前应