版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
第頁2023年安規(guī)考試信息類練習試題1.依據(jù)《中國南方電網有限責任公司網絡安全和數(shù)字化工作管理規(guī)定》(Q/CSG2151001-2021),各級單位應當建立()分級管控和隱患排查治理雙重預防機制。A、IT服務B、事件C、數(shù)據(jù)安全風險D、網絡安全風險【正確答案】:D解析:
《中國南方電網有限責任公司網絡安全和數(shù)字化工作管理規(guī)定》(Q/CSG2151001-2021)
第五章網絡安全管理
第三節(jié)風險管控與隱患治理
第五十三條各級單位應當建立網絡安全風險分級管控和隱患排查治理雙重預防機制。2.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),各級數(shù)字化管理部門應當定期組織開展(),強化數(shù)據(jù)安全風險識別、分析、評價、控制的全過程閉環(huán)管控。A、案例分析B、數(shù)據(jù)安全風險評估C、數(shù)據(jù)分析D、應急演練【正確答案】:B解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022)
第五章數(shù)據(jù)安全運營管理
第一節(jié)數(shù)據(jù)安全風險評估管理
第二十六條各級數(shù)字化管理部門應當定期組織開展數(shù)據(jù)安全風險評估,強化數(shù)據(jù)安全風險識別、分析、評價、控制的全過程閉環(huán)管控。3.依據(jù)《中國南方電網有限責任公司IT資產管理細則》(Q/CSG2153084-2021),未投入使用的IT資產由()統(tǒng)一保管,經數(shù)字化管理部門審批后調配使用。A、辦公室B、供應鏈部門C、人力資源部門D、數(shù)字化運維部門【正確答案】:D解析:
《中國南方電網有限責任公司IT資產管理細則》Q/CSG2153084-2021
第三章日常管理
第七條IT資產的保管
(一)IT資產保管以“誰使用,誰保管”為原則。共用IT資產(如公用打印機、掃描儀、上網卡等),由所在部門指定一人專人負責保管。未投入使用的IT資產由數(shù)字化運維部門統(tǒng)一保管,經數(shù)字化管理部門審批后調配使用。4.南方電網公司的安全理念是什么A、安全第一、預防為主、綜合治理B、堅持人民至上、生命至上C、一切事故都可以預防D、預防為主,預防與應急相結合【正確答案】:C解析:
《中國南方電網有限責任公司安全生產管理規(guī)定》Q/CSG2091003-2021
第一章總則
安全生產工作必須堅持黨的領導,貫徹“安全第一、預防為主、綜合治理”的方針,統(tǒng)籌發(fā)展和安全,樹牢“一切事故都可以預防”的安全理念5.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,定期開展互聯(lián)網應用安全檢測評估。存在中危漏洞的,通報后()小時內采用臨時安全防護措施。A、24B、48C、72D、96【正確答案】:D解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
4.管理要點
4.5安全管理
4.5.2定期開展互聯(lián)網應用安全檢測評估。存在高危漏洞的,通報后24小時內下線整改,下線前須發(fā)布公告;存在中危漏洞的,通報后96小時內采用臨時安全防護措施;低危漏洞各單位可通過例行維護完成整改。6.【案例】某數(shù)據(jù)庫脫敏廠商王某來信息中心某部門實施數(shù)據(jù)脫敏項目,項目涉及人資及財務等核心系統(tǒng)的數(shù)據(jù)庫,王某在未經許可的情況下將含有梳理出來需要脫敏的數(shù)據(jù)庫表及字段的excel清單拷貝至個人U盤并帶出信息中心,導致部分敏感信息外泄?!締栴}】在外部人員訪問管理中,獲得系統(tǒng)訪間授權的外部人員應簽署保密協(xié)議,不得進行非授權操作,不得復制和泄露任何()信息。A、機密B、絕密C、敏感D、商密【正確答案】:C解析:
《信息安全技術網絡安全等級保護基本要求》(GB/T22239一2019)
8第三級安全要求
8.1安全通用要求
8.1.8安全管理人員
8.1.8.4外部人員訪問管理
本項要求包括:
a)應在外部人員物理訪問受控區(qū)域前先提出書面申請,批準后由專人全程陪同,并登記備案;
b)應在外部人員接入受控網絡訪問系統(tǒng)前先提出書面申請,批準后由專人開設賬戶、分配權限,并登記備案;
c)外部人員離場后應及時清除其所有的訪間權限;
d)獲得系統(tǒng)訪間授權的外部人員應簽署保密協(xié)議,不得進行非授權操作,不得復制和泄露任何敏感信息。7.依據(jù)《中華人民共和國網絡安全法》,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在()。因業(yè)務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。A、第三方存儲B、境內存儲C、境外存儲D、外部存儲器存儲【正確答案】:B解析:
《中華人民共和國網絡安全法》
第三章網絡運行安全
第二節(jié)關鍵信息基礎設施的運行安全
第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。8.依據(jù)《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022),關基運營單位應當制定關基網絡安全應急預案,定期評估修訂并持續(xù)改進,()至少組織開展一次應急演練。A、每半年B、每季度C、每兩年D、每年【正確答案】:D解析:《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022)第六章監(jiān)測預警和事件處置第三十五條運營單位應當制定關基網絡安全應急預案,定期評估修訂并持續(xù)改進,每年至少組織開展一次應急演練。9.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),關鍵信息系統(tǒng)按照重要程度總共分為()類。A、二B、三C、四D、一【正確答案】:B解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》
(Q/CSG2152010-2022)
附錄B:術語和定義
二、關鍵信息系統(tǒng)
指公司和各分子公司生產經營關鍵核心業(yè)務所依賴的、為其提供數(shù)字化支撐的信息系統(tǒng),一旦遭到破壞、喪失功能或數(shù)據(jù)泄漏,可能嚴重影響公司或本單位生產經營,危害公司或本單位安全、利益和形象。關鍵信息系統(tǒng)按照重要程度主要分為一類關鍵信息系統(tǒng)、二類關鍵信息系統(tǒng)、三類關鍵信息系統(tǒng)。10.依據(jù)《中國南方電網有限責任公司網絡安全和數(shù)字化工作管理規(guī)定》(Q/CSG2151001-2021),數(shù)字化項目需開展功能、性能、安全等出廠測試。工單模式類項目針對迭代開發(fā)的()部分進行測試。A、核心B、配置C、增量D、主要【正確答案】:C解析:
《中國南方電網有限責任公司網絡安全和數(shù)字化工作管理規(guī)定》(Q/CSG2151001-2021)
第三章數(shù)字化管理
第二節(jié)數(shù)字化建設管理
第十八條項目開發(fā)管理
各級數(shù)字化管理部門組織編制傳統(tǒng)可研類項目的開發(fā)方案、項目計劃,編制工單模式類項目的迭代開發(fā)計劃。
數(shù)字化項目需開展功能、性能、安全等出廠測試。工單模式類項目針對迭代開發(fā)的增量部分進行測試。11.依據(jù)《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021),密碼應用安全性評估()與關鍵信息基礎設施網絡安全測評、網絡安全等級保護測評同步進行。A、必須B、不得C、禁止D、可以【正確答案】:D解析:
《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021)
第二章管理內容和要求
第七節(jié)密碼應用安全性評估管理
第二十七條密碼應用安全性評估可以與關鍵信息基礎設施網絡安全測評、網絡安全等級保護測評同步進行。12.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因代碼存在fastjson漏洞未及時整改,護網期間黑客利用該漏洞對工作臺進行了入侵,導致系統(tǒng)部分數(shù)據(jù)被竊取和篡改?!締栴}】信息系統(tǒng)在運行階段被發(fā)現(xiàn)存在()安全漏洞,若不立即修復可能會引發(fā)網絡安全事件,導致嚴重的業(yè)務和社會影響。A、高危、中危B、后門、高危C、后門、中危D、中危、低危【正確答案】:A解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-YW-002601、通用要求安全運維管理網絡和系統(tǒng)安全管理應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為或高危、中危安全漏洞,形成分析報告,并采取必要的應對措施。2、一旦被發(fā)現(xiàn)存在高危、中危安全漏洞,若不立即修復將引發(fā)網絡安全事件或導致嚴重的業(yè)務和社會影響時,建議信息系統(tǒng)運行單位可臨時將信息系統(tǒng)關停或與網絡斷開;漏洞完成整改并通過測評后,信息系統(tǒng)方可重新投運或接入網絡。13.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,嚴禁將帶有各級單位LOGO或業(yè)務數(shù)據(jù)等敏感信息的互聯(lián)網應用部署于系統(tǒng)開發(fā)商或()機房。A、分子公司B、供電局C、網公司D、運營商【正確答案】:D解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
4.管理要點
4.1建設管理
4.1.2嚴禁將帶有各級單位LOGO或業(yè)務數(shù)據(jù)等敏感信息的互聯(lián)網應用部署于系統(tǒng)開發(fā)商或運營商機房。14.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),因業(yè)務需要需向境外提供數(shù)據(jù)的,嚴格按照國家()審查制度執(zhí)行。A、出境B、入境C、數(shù)據(jù)安全D、網絡安全【正確答案】:C解析:
《中國南方電網有限責任公司網絡安全管理辦法》Q/CSG2152002-2022
第二章管理內容和要求
第六節(jié)數(shù)據(jù)安全管理
第二十四條因業(yè)務需要需向境外提供數(shù)據(jù)的,嚴格按照國家數(shù)據(jù)安全審查制度執(zhí)行。15.依據(jù)《中國南方電網有限責任公司安全生產令》,各單位需加強安全監(jiān)管,健全應急管理體系,深化安全生產巡查檢查督查,嚴肅()和責任追究。A、處分B、工作紀律C、批評D、事故事件調查【正確答案】:D解析:
《中國南方電網有限責任公司安全生產令》16.依據(jù)《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019),第二級安全要求的人員安全管理主要有人員的錄用、人員的離崗、()、外部人員訪問管理4個控制點。A、安全意識教育和培訓B、人員裁減C、人員教育D、人員審核【正確答案】:A解析:
《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019)
7第二級安全要求
7.1安全通用要求
7.1.8安全管理人員17.依據(jù)《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》,四、五、六級信息運行事件由()組織認定,并報公司數(shù)字化部備案。A、地市局數(shù)字化部門B、分子公司C、網公司安監(jiān)部D、網公司數(shù)字化部【正確答案】:B解析:
《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》
5.內容和方法
5.4.信息運行事件頂級
5.4.4信息運行事件最終等級確定
5.4.4.2四、五、六級信息運行事件由分子公司組織認定,并報公司數(shù)字化部備案。18.依據(jù)《中華人民共和國數(shù)據(jù)安全法》,重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關主管部門報送()。A、風險評估報告B、故障分析報告C、數(shù)據(jù)分析報告D、需求分析報告【正確答案】:A解析:
《中華人民共和國數(shù)據(jù)安全法》
第四章數(shù)據(jù)安全保護義務
第三十條重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。19.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),各級單位應當健全網絡安全事件應急機制,()制定電力監(jiān)控系統(tǒng)網絡安全應急預案。A、安全監(jiān)管部門B、調度機構C、數(shù)字化部門D、應急指揮中心【正確答案】:B解析:
《中國南方電網有限責任公司網絡安全管理辦法》Q/CSG2152002-2022
第二章管理內容和要求
第十三節(jié)網絡安全事件與應急管理
第四十二條各級單位應當健全網絡安全事件應急機制,數(shù)字化部門制定應對網絡攻擊等通用應急預案,調度機構制定電力監(jiān)控系統(tǒng)網絡安全應急預案,各業(yè)務部門制定涉及業(yè)務邏輯與權限、數(shù)據(jù)、業(yè)務設備的應急預案,并且報上級單位備案。20.依據(jù)《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019),等保四級系統(tǒng)所在機房應設置溫濕度自動調節(jié)設施,使機房溫濕度的變化在()的范圍之內。A、當日氣溫B、可控C、人體適應D、設備運行所允許【正確答案】:D解析:
《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019)
9第四級安全要求
9.1安全通用要求
9.1.1安全物理環(huán)境
9.1.1.8溫濕度控制
應設置溫濕度自動調節(jié)設施,使機房溫濕度的變化在設備運行所允許的范圍之內。21.依據(jù)《中國南方電網有限責任公司網絡安全獎懲管理細則》(Q/CSG2153091-2022),涉及供應商的網絡安全問責,除依據(jù)合同追究法律責任之外,問責方式包含以下()。A、罰款B、禁入C、立即終止合同D、起訴【正確答案】:B解析:
《中國南方電網有限責任公司網絡安全獎懲管理細則》Q/CSG2153091-2022
第三章問責
第十九條涉及供應商的網絡安全問責,應當按《公司供應商管理辦法》執(zhí)行。對相關供應商,除依據(jù)合同追究法律責任之外,問責方式包括:
(一)禁入;
(二)供應商履約扣分;
(三)說清楚。22.依據(jù)《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022),運營單位應當每年對關基至少進行()實戰(zhàn)攻防演練或者沙盤推演,A、兩次B、三次C、四次D、一次【正確答案】:D解析:《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022)第五章檢測和評估第三十三條運營單位應當每年對關基至少進行一次實戰(zhàn)攻防演練或者沙盤推演,消除結構性、全局性風險,按年度將演練情況上報保護工作部門。23.依據(jù)《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》,以下屬于信息系統(tǒng)惡性誤操作的是()。A、操作對象錯誤,影響設備、系統(tǒng)運行狀態(tài)B、錯誤執(zhí)行運行方式C、誤操作導致機房設備掉電D、誤關閉冗余軟硬件,導致高可用失效【正確答案】:C解析:
《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》
3術語和定義
3.6.1惡性誤操作
a)誤刪除數(shù)據(jù)、重要數(shù)據(jù)無備份;
b)誤關閉網絡和安全設備、承載關鍵信息系統(tǒng)的存儲、主機等;
c)誤操作導致機房設備掉電;
d)經數(shù)字化管理部門認定的其他惡性誤操作。
24.依據(jù)《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》,一至三級信息運行事件的調查期限為()日。A、10B、15C、20D、5【正確答案】:B解析:《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》5.內容和方法5.5信息運行事件調查5.5.1事件調查5.5.1.2調查期限a)一至三級事件的調查期限為15日;25.依據(jù)《中國南方電網有限責任公司安全生產令》,各單位需健全落實橫到邊縱到底的()和安全生產制度標準,做到明責知責盡責擔責。A、安全生產責任制B、第一責任制C、崗位責任制D、主要責任制【正確答案】:A解析:
《中國南方電網有限責任公司安全生產令》26.各級數(shù)字化管理部門應當制定數(shù)據(jù)安全教育、培訓計劃,對()定期開展數(shù)據(jù)安全法規(guī)、知識技能等方面的培訓和考核。A、領導人員B、數(shù)據(jù)安全管理人員C、數(shù)據(jù)使用人員D、業(yè)務人員【正確答案】:B解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022)
第五章數(shù)據(jù)安全運營管理
第四節(jié)數(shù)據(jù)安全教育培訓管理
第三十二條各級數(shù)字化管理部門應當制定數(shù)據(jù)安全教育、培訓計劃,對數(shù)據(jù)安全管理人員定期開展數(shù)據(jù)安全法規(guī)、知識技能等方面的培訓和考核。27.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),信息系統(tǒng)并入調管范圍內的信息網絡運行前,應當開展()。A、并網管理B、入網管理C、上架管理D、上網管理【正確答案】:A解析:
《中國南方電網有限責任公司
信息系統(tǒng)運行管理辦法(試行)》
(Q/CSG2152010-2022)
第三章信息運行調度管理
第一節(jié)并網管理
第六條信息系統(tǒng)并入調管范圍內的信息網絡運行前,應當開展并網管理。28.依據(jù)《中國南方電網有限責任公司安全生產管理規(guī)定》(Q/CSG2091003-2021),南方電網公司堅持()原則,按照國家有關安全生產法律法規(guī)標準,建立事故事件調查分析處理機制。A、“三不一鼓勵”B、“四不放過”C、管生產經營必須管安全D、管業(yè)務必須管安全【正確答案】:B解析:
《中國南方電網有限責任公司安全生產管理規(guī)定》Q/CSG2091003-2021
第四章安全生產監(jiān)督
公司堅持“四不放過”原則,按照國家有關安全生產法律法規(guī)標準,建立事故事件調查分析處理機制。29.依據(jù)《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019),應采用校驗技術或密碼技術保證通信過程中數(shù)據(jù)的()。A、保密性B、可控性C、可用性D、完整性【正確答案】:D解析:
《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019)
8第三級安全要求
8.1安全通用要求
30.依據(jù)《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019),以下哪項不屬于等保三級系統(tǒng)所在機房防水防潮措施()。A、應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警B、應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透C、應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透D、應將各類機柜、設施和設備等通過接地系統(tǒng)安全接地【正確答案】:D解析:
《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019)
8第三級安全要求
8.1安全通用要求
8.1.1安全物理環(huán)境
8.1.1.6防水和防潮
本項要求包括:
a)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透;
b)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透;
c)應安裝對水敏感的檢測儀表或元件,對機房進行防水檢測和報警。31.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)應用管理細則》(Q/CSG2153088-2021),因頁面篡改、數(shù)據(jù)泄露等安全原因需要緊急下線數(shù)據(jù)應用的,數(shù)據(jù)應用歸口管理業(yè)務部門應當先執(zhí)行數(shù)據(jù)應用下線,并在下線后()天內完成數(shù)據(jù)應用緊急下線申請,提交數(shù)字化管理部門。A、二B、七C、三D、五【正確答案】:C解析:
《中國南方電網有限責任公司數(shù)據(jù)應用管理細則》(Q/CSG2153088-2021)
第六章數(shù)據(jù)應用下線管理
第二十五條因頁面篡改、數(shù)據(jù)泄露等安全原因需要緊急下線數(shù)據(jù)應用的,數(shù)據(jù)應用歸口管理業(yè)務部門應當先執(zhí)行數(shù)據(jù)應用下線,并在下線后三天內完成數(shù)據(jù)應用緊急下線申請,提交數(shù)字化管理部門。下線期間對業(yè)務產生的影響由相關業(yè)務部門負責解釋。32.依據(jù)《中華人民共和國數(shù)據(jù)安全法》,開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全()管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。A、風險評估B、全流程數(shù)據(jù)安全C、誰處理誰負責D、應急處置【正確答案】:B解析:
《中華人民共和國數(shù)據(jù)安全法》
第四章數(shù)據(jù)安全保護義務
第二十七條開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網等信息網絡開展數(shù)據(jù)處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數(shù)據(jù)安全保護義務。33.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),運維單位應當規(guī)范信息運行工器具管理,工器具應當基于()需求合理配置、規(guī)范使用,防止混用產生風險。A、風險和計劃B、風險和作業(yè)C、管理和作業(yè)D、計劃和作業(yè)【正確答案】:B解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》
(Q/CSG2152010-2022)
第七章運行綜合支持管理
第三十七條運維單位應當規(guī)范信息運行工器具管理,確保使用的工器具處于正常狀態(tài)。工器具應當基于風險和作業(yè)需求合理配置、規(guī)范使用,防止混用產生風險。34.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),關鍵信息系統(tǒng)指公司和各分子公司生產經營關鍵核心業(yè)務所依賴的、為其提供()支撐的信息系統(tǒng),一旦遭到破壞、喪失功能或數(shù)據(jù)泄漏,可能嚴重影響公司或本單位生產經營,危害公司或本單位安全、利益和形象。A、平臺化B、數(shù)字化C、智能化D、自動化【正確答案】:B解析:
《中國南方電網有限責任公司
信息系統(tǒng)運行管理辦法(試行)》
(Q/CSG2152010-2022)
附錄B:術語和定義
二、關鍵信息系統(tǒng)
指公司和各分子公司生產經營關鍵核心業(yè)務所依賴的、為其提供數(shù)字化支撐的信息系統(tǒng),一旦遭到破壞、喪失功能或數(shù)據(jù)泄漏,可能嚴重影響公司或本單位生產經營,危害公司或本單位安全、利益和形象。關鍵信息系統(tǒng)按照重要程度主要分為一類關鍵信息系統(tǒng)、二類關鍵信息系統(tǒng)、三類關鍵信息系統(tǒng)。35.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),網絡安全是公司安全生產體系的重要組成部分,公司()部門負責網絡安全歸口管理。A、安全監(jiān)管B、調度機構C、企業(yè)架構D、數(shù)字化【正確答案】:D解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
第二章管理內容和要求
第一節(jié)總體要求
第五條網絡安全是公司安全生產體系的重要組成部分,公司數(shù)字化部門負責網絡安全歸口管理,調度機構負責電力監(jiān)控系統(tǒng)網絡安全專業(yè)管理和具體實施,安全監(jiān)管部門負責網絡安全綜合監(jiān)督,各業(yè)務部門各司其職。36.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),相關單位或各單位收到《網絡安全信息通報》后,應立即排查整改,并于()小時內向公司網絡安全信息通報中心反饋排查情況。A、12B、24C、36D、48【正確答案】:B解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
《附錄H:中國南方電網有限責任公司網絡安全信息通報業(yè)務指導書》
4.管理要點
4.3常態(tài)化信息通報機制
4.3.3公司網絡安全信息通報中心實時跟蹤網絡安全事件、網絡安全威脅、網絡安全漏洞及其他可能影響公司網絡安全等情況,研判分后析視具體情況編制《網絡安全信息通報》發(fā)至相關單位或各單位。
(1)相關單位或各單位收到《網絡安全信息通報》后,應立即排查整改,并于24小時內向公司網絡安全信息通報中心反饋排查情況。
(2)嚴格按照《網絡安全信息通報》要求限時完成整改,并上報整改報告,以及網絡安全事件調查報告。
(3)涉及網絡安全事件調查的單位,應在整改完成后1周內說清楚情況。37.【案例】某運維流程管理系統(tǒng)于2013年上線,運行已達10年,于2023年1月正式退運。該系統(tǒng)運維人員周某為方便其運維工作,未將數(shù)據(jù)備份就直接將該系統(tǒng)服務器當做跳轉機使用。【問題】()負責配置備份管理,并定期開展備份恢復測試。A、信息安全管理單位(部門)B、信息系統(tǒng)承建單位(部門)C、業(yè)務部門D、運維單位【正確答案】:D解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022)
第四章信息運行維護管理
第一節(jié)維護管理
第十九條信息系統(tǒng)備份包括數(shù)據(jù)備份和配置備份。業(yè)務部門協(xié)同數(shù)字化管理部門制定數(shù)據(jù)備份策略,運維單位負責執(zhí)行。運維單位負責配置備份管理,并定期開展備份恢復測試。關鍵信息系統(tǒng)應當按系統(tǒng)分級分類要求實施異地數(shù)據(jù)災備、同城應用災備。38.依據(jù)《中國南方電網有限責任公司跨境數(shù)據(jù)管理細則》(Q/CSG2153003-2022),國家網信管理部門的數(shù)據(jù)出境安全評估結果有效期為多久A、二年B、三年C、四年D、一年【正確答案】:A解析:
《中國南方電網有限責任公司跨境數(shù)據(jù)管理細則》(Q/CSG2153003-2022)
第五章數(shù)據(jù)出境申報管理
第二十五條國家網信管理部門的數(shù)據(jù)出境安全評估結果有效期為二年。若有效期滿或者在有效期內出現(xiàn)國家規(guī)定影響出境數(shù)據(jù)安全的情形時,應當重新申報評估(具體見附錄H:重新申報數(shù)據(jù)出境安全評估情形)。未按照規(guī)定重新申報評估的,應當停止數(shù)據(jù)出境活動。39.依據(jù)《中華人民共和國網絡安全法》,國家鼓勵開發(fā)網絡數(shù)據(jù)安全保護和利用技術,促進()開放,推動技術創(chuàng)新和經濟社會發(fā)展。A、公共數(shù)據(jù)資源B、公共圖書資源C、公共學校資源D、共享單車資源【正確答案】:A解析:
《中華人民共和國網絡安全法》
第二章網絡安全支持與促進
第十八條國家鼓勵開發(fā)網絡數(shù)據(jù)安全保護和利用技術,促進公共數(shù)據(jù)資源開放,推動技術創(chuàng)新和經濟社會發(fā)展。40.依據(jù)《計算機信息系統(tǒng)安全保護條例》規(guī)定,任何組織或者個人違反條例的規(guī)定,給國家、集體或者他人財產造成損失的,應當依法承擔()。A、民事責任B、其他責任C、違約責任D、刑事責任【正確答案】:A解析:
《計算機信息系統(tǒng)安全保護條例》
第四章法律責任
第二十五條任何組織或者個人違反本條例的規(guī)定,給國家、集體或者他人財產造成損失的,應當依法承擔民事責任。41.依據(jù)《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019),等保二級信息系統(tǒng)所在機房應采用()地板或地面并采用必要的接地防靜電措施。A、防風B、防滑C、防靜電D、防水【正確答案】:C解析:
《信息安全技術-網絡安全等級保護基本要求》(GB/T22239-2019)
7第二級安全要求
7.1安全通用要求
7.1.1安全物理環(huán)境
7.1.1.6防靜電
應采用防靜電地板或地面并采用必要的接地防靜電措施。42.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),信息系統(tǒng)應當納入統(tǒng)一監(jiān)測,并實行()小時運行監(jiān)測。A、5*24B、5*8C、7*24D、7*8【正確答案】:C解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》Q/CSG2152010-2022
第三章信息運行調度管理
第三節(jié)運行控制管理
第十四條信息系統(tǒng)應當納入統(tǒng)一監(jiān)測,并實行7×24小時運行監(jiān)測。43.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),新建信息系統(tǒng)的承建單位應在初驗計劃前()個工作日,向信息系統(tǒng)建設單位提交測試申請,申請附件包括系統(tǒng)的網絡拓撲和資產清單等。A、15B、20C、25D、30【正確答案】:B解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
《附錄F:中國南方電網有限責任公司網絡安全檢測業(yè)務指導書》
4.管理要點
4.1總體要求
4.1.5新建信息系統(tǒng)的承建單位應在初驗計劃前20個工作日,向信息系統(tǒng)建設單位提交測試申請,申請附件包括系統(tǒng)的網絡拓撲和資產清單等。44.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),各級單位在中華人民共和國境內采集和生成的各類數(shù)據(jù)須在()存儲。A、第三方B、境內C、境外D、外部存儲器【正確答案】:B解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》
(Q/CSG2152001-2022)
第四章數(shù)據(jù)生命周期安全管理
第二十二條公司數(shù)字化管理部門應當遵循國家《數(shù)據(jù)出境安全評估辦法》的相關規(guī)定,制定數(shù)據(jù)出境安全評估的相關規(guī)范。各級單位在中華人民共和國境內采集和生成的各類數(shù)據(jù)須在境內存儲。數(shù)據(jù)確需出境時,應當遵循法律法規(guī)及公司相關規(guī)范進行出境安全評估。45.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),系統(tǒng)投運后()個工作日內完成定級備案A、二十B、三十C、十D、四十【正確答案】:B解析:《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)第二章管理內容和要求第八節(jié)網絡安全等級保護管理第二十九條各級單位應當在網絡和信息系統(tǒng)可研階段確定保護等級,系統(tǒng)投運后三十個工作日內完成定級備案;定期開展等級測評,新建第三級及以上網絡和信息系統(tǒng)在通過等級測評后方可投入運行;在等級測評完成后三十個工作日內,履行測評報告?zhèn)浒甘掷m(xù);在信息系統(tǒng)退運三十個工作日內,辦理備案注銷手續(xù)。46.【案例】某數(shù)據(jù)庫脫敏廠商李某來信息中心某部門實施數(shù)據(jù)脫敏項目,項目涉及人資及財務等核心系統(tǒng)的數(shù)據(jù)庫,李某在未經許可的情況下將含有梳理出來需要脫敏的數(shù)據(jù)庫表及字段的excel清單拷貝至個人U盤并帶出信息中心,導致部分敏感信息外泄?!締栴}】在外部人員訪問管理要求中,外部人員離場后應及時清除其所有的訪問()。A、記錄B、權限C、日志D、數(shù)據(jù)【正確答案】:B解析:
《信息安全技術網絡安全等級保護基本要求》(GB/T22239一2019)
9第四級安全要求
9.1安全通用要求
9.1.8安全管理人員
9.1.8.4外部人員訪問管理
本項要求包括:
a)應在外部人員物理訪問受控區(qū)域前先提出書面申請,批準后由專人全程陪同,并登記備案;
b)應在外部人員接入受控網絡訪問系統(tǒng)前先提出書面申請,批準后由專人開設賬戶、分配權限,并登記備案;
c)外部人員離場后應及時清除其所有的訪問權限;
d)獲得系統(tǒng)訪問授權的外部人員應簽署保密協(xié)議,不得進行非授權操作,不得復制和泄露任何敏感信息;
e)對關鍵區(qū)域或關鍵系統(tǒng)不允許外部人員訪問。47.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),()負責組織制定公司電力監(jiān)控系統(tǒng)數(shù)據(jù)安全管理規(guī)章制度和標準規(guī)范。A、公司安全監(jiān)管部B、公司辦公室C、公司調度機構D、公司數(shù)字化管理部門【正確答案】:C解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022)
附錄A:職責和分工
五、公司調度機構
(二)負責組織制定公司電力監(jiān)控系統(tǒng)數(shù)據(jù)安全管理規(guī)章制度和標準規(guī)范。48.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),各級數(shù)據(jù)資產所屬單位應當建立完備的數(shù)據(jù)容災備份和恢復機制,并提供數(shù)據(jù)完整性校驗機制,保障數(shù)據(jù)的()。A、可用性和及時性B、可用性和完整性C、一致性和完整性D、準確性和完整性【正確答案】:B解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法
(試行)》
(Q/CSG2152001-2022)
第四章數(shù)據(jù)生命周期安全管理
第十七條各級數(shù)據(jù)資產所屬單位應當建立完備的數(shù)據(jù)容災備份和恢復機制,并提供數(shù)據(jù)完整性校驗機制,保障數(shù)據(jù)的可用性和完整性,做好數(shù)據(jù)容災應急預案,每年至少開展一次災難恢復演練。一旦發(fā)生數(shù)據(jù)丟失或破壞,各級單位需及時檢測及恢復數(shù)據(jù),保障數(shù)據(jù)安全、用戶權益及業(yè)務連續(xù)性。49.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因代碼存在fastjson漏洞未及時整改,護網期間黑客利用該漏洞對工作臺進行了入侵,導致系統(tǒng)部分數(shù)據(jù)被竊取和篡改。【問題】信息系統(tǒng)運行單位應做好信息系統(tǒng)運行期間的運行環(huán)境、網絡、軟硬件設備設施、介質、()的安全管理工作。A、數(shù)據(jù)B、數(shù)據(jù)傳輸C、數(shù)據(jù)存儲D、應用【正確答案】:A解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-ZD-000201、通用要求安全管理制度管理制度為了令信息系統(tǒng)更好運行,應做好系統(tǒng)運行期間的安全管理工作,包括運行環(huán)境、網絡、軟硬件設備設施、介質、數(shù)據(jù)等方面,并應在安全管理活動中的各類管理內容建立安全管理制度,制度內容涵蓋人員管理、資產管理、采購管理、外包管理、教育培訓等方面。1、建議做好信息系統(tǒng)運行期間的運行環(huán)境、網絡、軟硬件設備設施、介質、數(shù)據(jù)的安全管理工作。50.依據(jù)《中華人民共和國網絡安全法(2017年6月1實施)》,關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規(guī)定與提供者簽訂(),明確安全和保密義務與責任。A、安全保密協(xié)議B、安全責任協(xié)議C、第三方人員安全協(xié)議D、崗位協(xié)議【正確答案】:A解析:
《中華人民共和國網絡安全法(2017年6月1實施)》
第三章網絡運行安全
第三十六條
關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務與責任。51.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),生產控制大區(qū)細分為控制區(qū)和()。A、非控制區(qū)B、內網區(qū)C、生產管理區(qū)D、外網區(qū)【正確答案】:A解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
附錄B:術語和定義
八、生產控制大區(qū)
指與電力生產直接相關,具備對電力一次系統(tǒng)數(shù)據(jù)采集、在線監(jiān)視、閉環(huán)控制功能的各電力監(jiān)控系統(tǒng)構成的安全區(qū)域,又細分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)II)。52.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因代碼存在fastjson漏洞未及時整改,護網期間黑客利用該漏洞對工作臺進行了入侵,導致系統(tǒng)部分數(shù)據(jù)被竊取和篡改?!締栴}】發(fā)生網絡安全事件時,信息系統(tǒng)運行單位應該采?。ǎ┗颍ǎ┑扰R時措施。A、開啟WAF、開啟防火墻B、限制訪問、網絡斷開C、信息系統(tǒng)關停、開啟防火墻D、信息系統(tǒng)關停、網絡斷開【正確答案】:D解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-YW-002601、通用要求安全運維管理網絡和系統(tǒng)安全管理應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為或高危、中危安全漏洞,形成分析報告,并采取必要的應對措施。2、一旦被發(fā)現(xiàn)存在高危、中危安全漏洞,若不立即修復將引發(fā)網絡安全事件或導致嚴重的業(yè)務和社會影響時,建議信息系統(tǒng)運行單位可臨時將信息系統(tǒng)關?;蚺c網絡斷開;漏洞完成整改并通過測評后,信息系統(tǒng)方可重新投運或接入網絡。53.依據(jù)《中華人民共和國網絡安全法》,任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、()等危害網絡安全的活動。A、竊取網絡數(shù)據(jù)B、維護網絡功能C、修復網絡漏洞D、在網絡上發(fā)布信息【正確答案】:A解析:
《中華人民共和國網絡安全法》
第三章網絡運行安全
第一節(jié)一般規(guī)定
第二十七條任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數(shù)據(jù)等危害網絡安全的活動;54.【案例】W公司中標2022年IT服務臺運維服務項目,簽訂合同后W公司開始負責該平臺運維工作。2022年9月至10月期間因W公司運維不到位,該平臺多次發(fā)生系統(tǒng)故障,導致系統(tǒng)全年中斷時長累計2小時以上,達到信息安全四級事件?!締栴}】應在與外包運維服務商簽訂的協(xié)議中明確所有相關的()要求,如可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等。A、安全B、效率C、效益D、質量【正確答案】:A解析:
《信息安全技術網絡安全等級保護基本要求》(GB/T22239一2019)
8第三級安全要求
8.1安全通用要求
8.1.10安全運維管理
8.1.10.14外包運維管理
本項要求包括:
a)應確保外包運維服務商的選擇符合國家的有關規(guī)定;
b)應與選定的外包運維服務商簽訂相關的協(xié)議,明確約定外包運維的范圍、工作內容;
c)應保證選擇的外包運維服務商在技術和管理方面均應具有按照等級保護要求開展安全運維工作的能力,并將能力要求在簽訂的協(xié)議中明確;
d)應在與外包運維服務商簽訂的協(xié)議中明確所有相關的安全要求,如可能涉及對敏感信息的訪問、處理、存儲要求,對IT基礎設施中斷服務的應急保障要求等。55.依據(jù)《中國南方電網有限責任公司安全生產令》,各單位需樹立“一切事故都可以預防”的安全理念,堅持系統(tǒng)觀念,持之以恒推進()企業(yè)建設。A、本質安全型B、世界領先C、世界一流D、綜合型【正確答案】:A解析:
《中國南方電網有限責任公司安全生產令》56.依據(jù)《中國南方電網有限責任公司跨境數(shù)據(jù)管理細則》(Q/CSG2153003-2022),對于跨境共享數(shù)據(jù)的安全風險問題,由()負責組織解決。A、公司國際業(yè)務管理部門B、公司數(shù)字化部門C、數(shù)據(jù)產生單位D、數(shù)據(jù)需求單位【正確答案】:C解析:
《中國南方電網有限責任公司跨境數(shù)據(jù)管理細則》(Q/CSG2153003-2022)
第六章數(shù)據(jù)跨境安全監(jiān)控管理
第二十九條對于跨境共享數(shù)據(jù)的安全風險問題,由數(shù)據(jù)產生單位負責組織解決。57.依據(jù)《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022),()統(tǒng)籌關基識別工作,負責組織管理信息系統(tǒng)的關基識別工作。A、關基運營單位B、南網總調C、網公司安全監(jiān)管部D、網公司數(shù)字化管理部門【正確答案】:D解析:
《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022)
第三章識別和認定
第七條公司數(shù)字化管理部門統(tǒng)籌關基識別工作,負責組織管理信息系統(tǒng)的關基識別工作。南網總調負責組織電力監(jiān)控系統(tǒng)的關基識別工作。識別結果由數(shù)字化管理部門統(tǒng)一報送保護工作部門進行認定。58.依據(jù)《中華人民共和國網絡安全法》,關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規(guī)定與提供者簽訂(),明確安全和保密義務與責任。A、安全保密協(xié)議B、安全服務合同C、安全責任條款D、保密合同【正確答案】:A解析:
《中華人民共和國網絡安全法》
第三章網絡運行安全
第三十六條關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規(guī)定與提供者簽訂安全保密協(xié)議,明確安全和保密義務與責任。59.依據(jù)《中華人民共和國網絡安全法》,國家實行網絡安全()保護制度。A、等級B、分層C、結構D、行政級別【正確答案】:A解析:
《中華人民共和國網絡安全法》
第三章網絡運行安全
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數(shù)據(jù)泄露或者被竊取、篡改。60.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),各級業(yè)務部門應當配合數(shù)字化管理部門開展(),確保風險有效防范,隱患及時消除。A、數(shù)據(jù)安全風險控制B、系統(tǒng)開發(fā)C、系統(tǒng)推廣D、需求分析【正確答案】:A解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022)
第五章數(shù)據(jù)安全運營管理
第一節(jié)數(shù)據(jù)安全風險評估管理
第二十七條各級業(yè)務部門應當配合數(shù)字化管理部門開展數(shù)據(jù)安全風險控制,確保風險有效防范,隱患及時消除。61.【案例】2019年3月,某事業(yè)單位集中監(jiān)控系統(tǒng)遭黑客攻擊破壞。經查,該單位網絡安全意識淡薄,曾因存在安全隱患、不落實網絡安全等級保護制度被責令整改。整改期滿后,未采取有效管理措施、技術防護措施。警方依據(jù)《網絡安全法》第21條、第59條規(guī)定,對該單位予以6萬元罰款,對相關責任人予以2萬元罰款,同時責令該單位停機整頓,開展定級備案、測評整改等網絡安全等級保護工作。【問題】根據(jù)公司網絡安全管理要求,各級單位黨委(黨組)對本單位網絡安全負主體責任,()是第一責任人。A、領導班子其他成員B、書記C、數(shù)字化管理部門負責人D、網絡安全分管領導【正確答案】:B解析:
《中國南方電網有限責任公司網絡安全管理辦法》
(Q/CSG2152002-2022)
第二章管理內容和要求
第一節(jié)總體要求
第四條公司網絡安全按照“誰主管、誰負責”和“屬地管理”原則,網、省、地、縣逐級負責。各級單位黨委(黨組)對本單位網絡安全負主體責任,書記是第一責任人,網絡安全分管領導是直接責任人,領導班子其他成員根據(jù)職責分工對職責范圍內的網絡安全承擔領導責任。62.依據(jù)《中華人民共和國網絡安全法(2017年6月1實施)》,任何個人和組織不得從事入侵他人網絡、干擾他人網絡正常功能、竊取網絡數(shù)據(jù)等危害()的活動。A、辦公環(huán)境安全B、數(shù)據(jù)安全C、網絡安全D、信息安全【正確答案】:C解析:
《中華人民共和國網絡安全法(2017年6月1實施)》
第三章網絡運行安全
第一節(jié)一般規(guī)定
第二十二條任何個人和組織不得從事入侵他人網絡、干擾他人網絡正常功能、竊取網絡數(shù)據(jù)等危害網絡安全的活動;63.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),以下哪套系統(tǒng)屬于生產管理區(qū)A、電網管理平臺B、雷電監(jiān)測系統(tǒng)C、協(xié)同辦公系統(tǒng)D、營銷管理系統(tǒng)【正確答案】:B解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
附錄B:術語和定義
十、生產管理區(qū)
指屬于管理信息大區(qū),由與電力調度生產管理工作直接相關的各業(yè)務系統(tǒng)構成的安全區(qū)域,安全等級僅次于非控制區(qū)。典型系統(tǒng)包括電網運行管理系統(tǒng)、雷電監(jiān)測系統(tǒng)等。64.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,互聯(lián)網應用的域名申請、公網IP分配在()同步開展。A、開發(fā)階段B、可研階段C、上線階段D、設計階段【正確答案】:C解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
4.管理要點
4.2上線管理
4.2.2域名申請、公網IP分配在上線階段同步開展,嚴禁采用IP+端口方式直接對外發(fā)布。65.【案例】某網公司需要建設客戶服務平臺,通過公開招標W公司中標該平臺的開發(fā)項目。W公司在開發(fā)過程中未將開發(fā)測試環(huán)境與生產運行環(huán)境有效隔離,為了方便代碼共享管理,將開發(fā)測試系統(tǒng)上傳至GitHub。同時為了方便對開發(fā)中的功能進行調試和驗證,將客戶真實數(shù)據(jù)未進行脫敏直接導入開發(fā)環(huán)境進行測試,后因GitHub上的代碼和測試數(shù)據(jù)被黑客獲取,最終導致該在建系統(tǒng)的敏感數(shù)據(jù)泄漏?!締栴}】因測試工作需要申請導入生產數(shù)據(jù)時,()應向信息系統(tǒng)相關業(yè)務部門提出申請,業(yè)務部門負責對測試數(shù)據(jù)申請進行審批。()A、信息系統(tǒng)測試單位B、信息系統(tǒng)建設單位C、信息系統(tǒng)開發(fā)單位D、信息中心【正確答案】:B解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-JSG-002601、通用要求安全建設管理外包軟件開發(fā)開發(fā)單位應提供軟件源代碼,并委托第三方專業(yè)機構審查軟件中可能存在的后門和隱蔽信道;同時,在開展測試工作時,測試工作需要申請導入生產數(shù)據(jù)時,應進行申請、審批流程;其中涉及敏感數(shù)據(jù)時,開展數(shù)據(jù)脫敏與數(shù)據(jù)遷移工作。3、建議因測試工作需要申請導入生產數(shù)據(jù)時,信息系統(tǒng)建設單位應向信息系統(tǒng)相關業(yè)務部門提出申請,業(yè)務部門負責對測試數(shù)據(jù)申請進行審批。66.依據(jù)《中華人民共和國網絡安全法(2017年6月1實施)》,網絡運營者應當制定網絡安全事件應急預案,及時處置()、計算機病毒、網絡入侵、網絡攻擊等安全風險;在發(fā)生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規(guī)定向有關主管部門報告。A、安全故障B、系統(tǒng)報錯C、系統(tǒng)故障D、系統(tǒng)漏洞【正確答案】:D解析:
《中華人民共和國網絡安全法(2017年6月1實施)》
第三章網絡運行安全
第一節(jié)一般規(guī)定
第二十一條網絡運營者應當制定網絡安全事件應急預案,及時處置系統(tǒng)漏洞、計算機病毒、網絡入侵、網絡攻擊等安全風險;在發(fā)生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規(guī)定向有關主管部門報告。67.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),因業(yè)務或監(jiān)管需要必須提供外,原則上各級單位不得對外提供()信息數(shù)據(jù)。A、公告B、客戶個人C、停電信息D、新聞【正確答案】:B解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法
(試行)》
(Q/CSG2152001-2022)
第四章數(shù)據(jù)生命周期安全管理
第二十一條原則上各級單位不得對外提供客戶個人信息數(shù)據(jù),因業(yè)務或監(jiān)管需要必須提供時,應當遵循相關法律法規(guī)和公司管理要求,對個人信息處理活動以及采取的保護措施等進行管控審查。68.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)共享開放管理細則》(Q/CSG2153076-2020),公司數(shù)據(jù)開放應當在合法合規(guī)的前提下開展,遵循()的原則。A、“誰申請、誰獲利、誰負責”B、“誰使用、誰獲利、誰負責”C、“誰使用、誰主管、誰負責”D、“誰主管、誰獲利、誰負責”【正確答案】:B解析:
《中國南方電網有限責任公司數(shù)據(jù)共享開放管理細則》
(Q/CSG2153076-2020)
第四章數(shù)據(jù)開放管理
第十五條公司數(shù)據(jù)開放應當在合法合規(guī)的前提下開展,遵循“誰使用、誰獲利、誰負責”的原則。公司總部各部門、各分子公司應當依托公司數(shù)據(jù)中心實施數(shù)據(jù)開放。如果數(shù)據(jù)中心暫時無法滿足開放需求,數(shù)據(jù)需求方應當與本單位數(shù)字化管理部門協(xié)商數(shù)據(jù)開放方案,經公司數(shù)字化管理部門審批后,方可通過其他合規(guī)途徑對外提供數(shù)據(jù)。
69.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),備品備件管理以()為原則,數(shù)字化管理部門組織運維單位編制品類清單并定期更新,規(guī)范化管理定額測算、采購、使用、退運等全過程。A、“按需配置、合理定額、及時補齊”B、“先搶通、后搶修”C、“應試必試、試必試全”D、“預防為主、及時檢修”【正確答案】:A解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》Q/CSG2152010-2022
第四章信息運行維護管理
第二節(jié)檢修試驗管理
第二十五條備品備件管理以“按需配置、合理定額、及時補齊”為原則,數(shù)字化管理部門組織運維單位編制品類清單并定期更新,規(guī)范化管理定額測算、采購、使用、退運等全過程。70.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),公司業(yè)務部門負責本業(yè)務領域系統(tǒng)()、業(yè)務數(shù)據(jù)訪問權限的安全管理。A、訪問權限B、網絡策略C、運行維護D、作業(yè)計劃【正確答案】:A解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
附錄A:職責和分工
八、公司業(yè)務部門
(四)負責本業(yè)務領域系統(tǒng)訪問權限、業(yè)務數(shù)據(jù)訪問權限的安全管理。71.依據(jù)《信息安全-技術網絡安全等級保護定級指南》(GB/T22240-2020),網絡安全等級保護有()等級。A、六個B、三個C、四個D、五個【正確答案】:D解析:
《信息安全-技術網絡安全等級保護定級指南》(GB/T22240-2020)
4定級原理及流程
4.1安全保護等級72.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),第二十條各級單位應當建立互聯(lián)網應用備案機制,統(tǒng)一在()部署互聯(lián)網應用,并做好內容審查和監(jiān)測。A、阿里云平臺B、各單位IDCC、各單位云平臺D、南網云平臺【正確答案】:D解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
第二章管理內容和要求
第五節(jié)信息系統(tǒng)安全管理
第二十條各級單位應當建立互聯(lián)網應用備案機制,統(tǒng)一在南網云平臺部署互聯(lián)網應用,并做好內容審查和監(jiān)測。73.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因代碼存在fastjson漏洞未及時整改,護網期間黑客利用該漏洞對工作臺進行了入侵,導致系統(tǒng)部分數(shù)據(jù)被竊取和篡改?!締栴}】信息系統(tǒng)運行單位除了應該監(jiān)測記錄信息系統(tǒng)的運行狀態(tài)和網絡安全狀態(tài),還應并采取措施防范()等網絡安全威脅。A、病毒木馬、數(shù)據(jù)泄漏、數(shù)據(jù)篡改B、病毒木馬、網絡攻擊、人員違規(guī)操作C、數(shù)據(jù)泄漏、網絡攻擊、人員違規(guī)操作D、網絡攻擊、數(shù)據(jù)篡改、人員誤操作【正確答案】:B解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-YW-000801、通用要求安全運維管理資產管理應監(jiān)測記錄信息系統(tǒng)的運行狀態(tài)和網絡安全狀態(tài),并采取措施防范病毒木馬、網絡攻擊、人員違規(guī)操作等網絡安全威脅,并根據(jù)資產的重要程度對資產進行標識管理,根據(jù)資產的價值選擇相應的管理措施。1、建議監(jiān)測記錄信息系統(tǒng)的運行狀態(tài)和網絡安全狀態(tài),并采取措施防范病毒木馬、網絡攻擊、人員違規(guī)操作等網絡安全威脅。74.違反《中華人民共和國網絡安全法》,關鍵信息基礎設施的運營者使用未經安全審查或者安全審查未通過的網絡產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上()以下罰款。A、十倍B、五百萬C、五倍D、一千萬【正確答案】:A解析:
《中華人民共和國網絡安全法》
第六章法律責任
第六十五條關鍵信息基礎設施的運營者違反本法第三十五條規(guī)定,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。75.依據(jù)《中華人民共和國網絡安全法》,我國實行網絡安全()制度。A、等級保護B、分層保護C、結構保護D、行政級別【正確答案】:A解析:
《中華人民共和國網絡安全法》
第三章網絡運行安全
第一節(jié)一般規(guī)定
第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數(shù)據(jù)泄露或者被竊取、篡改:
76.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因與其他系統(tǒng)交互的數(shù)據(jù)傳輸采用明文傳輸,導致系統(tǒng)敏感數(shù)據(jù)被他人竊取?!締栴}】采用加密或其它措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲的()保護。A、保密性B、完整性C、一致性D、準確性【正確答案】:A解析:
《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》
TY-JS-0101
應對通信過程中的整個報文或會話過程進行加密。
采用加密或其它措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲的保密性保護。77.依據(jù)《中國南方電網有限責任公司網絡安全獎懲管理細則》(Q/CSG2153091-2022),以下()是對供應商的獎勵形式。A、表揚信B、加分C、獎金D、先進集體【正確答案】:A解析:
《中國南方電網有限責任公司網絡安全獎懲管理細則》(Q/CSG2153091-2022)
第二章獎勵
第十條供應商獎勵形式為表揚信。78.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,互聯(lián)網應用應制定專項災備恢復應急預案,非關鍵互聯(lián)網應用至少()一次演練。A、半年B、兩年C、三年D、一年【正確答案】:D解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
4.管理要點
4.5安全管理
4.5.1制定專項災備恢復應急預案,關鍵互聯(lián)網應用至少半年一次演練,非關鍵互聯(lián)網應用至少每年一次演練。79.依據(jù)《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022),()負責組織電力監(jiān)控系統(tǒng)的關基識別工作。A、關基運營單位B、南網總調C、網公司安全監(jiān)管部D、網公司數(shù)字化管理部門【正確答案】:B解析:
《中國南方電網有限責任公司關鍵信息基礎設施安全保護管理細則》(Q/CSG2153009-2022)
第三章識別和認定
第七條公司數(shù)字化管理部門統(tǒng)籌關基識別工作,負責組織管理信息系統(tǒng)的關基識別工作。南網總調負責組織電力監(jiān)控系統(tǒng)的關基識別工作。識別結果由數(shù)字化管理部門統(tǒng)一報送保護工作部門進行認定。80.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,公司關鍵互聯(lián)網應用是指網級一級部署全網應用或等級保護()及以上的互聯(lián)網應用。A、第二級B、第三級C、第四級D、第一級【正確答案】:B解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
附錄E-2術語和定義
三、公司關鍵互聯(lián)網應用
是指網級一級部署全網應用或等級保護第三級及以上的互聯(lián)網應用。81.依據(jù)《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》,七級至八級信息運行事件的調查期限為()日。A、10B、15C、20D、5【正確答案】:D解析:
《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》
5.內容和方法
5.5信息運行事件調查
5.5.1事件調查
5.5.1.2調查期限
c)七級至八級事件的調查期限為5日;82.依據(jù)《中華人民共和國網絡安全法(2017年6月1實施)》,網絡運營者對其收集的公民個人信息必須嚴格保密,不得泄露、()、毀損,不得出售或者非法向他人提供。A、傳播B、篡改C、倒賣D、非法使用【正確答案】:B解析:
《中華人民共和國網絡安全法(2017年6月1實施)》
第四章網絡信息安全
第三十六條
網絡運營者對其收集的公民個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。83.依據(jù)《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022),被測信息系統(tǒng)須滿足高風險整改率(),方可通過網絡安全等級測評。A、0.8B、0.9C、0.95D、1【正確答案】:D解析:
《中國南方電網有限責任公司網絡安全管理辦法》(Q/CSG2152002-2022)
附錄F:中國南方電網有限責任公司網絡安全檢測業(yè)務指導書
4.管理要點
4.2管理要求
4.2.1網絡安全等級測評
4.2.1.2被測信息系統(tǒng)須滿足高風險整改率100%,方可通過網絡安全等級測評。84.依據(jù)《中華人民共和國數(shù)據(jù)安全法》,數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)()狀態(tài)的能力。A、安全B、公開C、共享D、穩(wěn)定【正確答案】:A解析:
《中華人民共和國數(shù)據(jù)安全法》
第一章總則
第三條數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。85.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因與其他系統(tǒng)交互的數(shù)據(jù)傳輸采用明文傳輸,導致系統(tǒng)敏感數(shù)據(jù)被他人竊取。【問題】各級()部門應當建立完善的數(shù)據(jù)安全日常監(jiān)測預警機制,明確日常監(jiān)測預警的策略、方法、流程等。各級()負責建立電力監(jiān)控系統(tǒng)數(shù)據(jù)安全日常監(jiān)測預警機制。A、安全監(jiān)管部門、調度機構B、調度機構、數(shù)字化管理C、數(shù)字化管理、單位D、數(shù)字化管理、調度機構【正確答案】:D解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法》Q/CSG2152001-2022
第五章數(shù)據(jù)安全運營管理
第二節(jié)數(shù)據(jù)安全監(jiān)測預警
第二十八條各級數(shù)字化管理部門應當建立完善的數(shù)據(jù)安全日常監(jiān)測預警機制,明確日常監(jiān)測預警的策略、方法、流程等。各級調度機構負責建立電力監(jiān)控系統(tǒng)數(shù)據(jù)安全日常監(jiān)測預警機制。86.依據(jù)《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》(Q/CSG2152010-2022),信息系統(tǒng)賬號應當采用實名制,按()原則配置權限。A、“按崗位”B、“按需”C、“最大化”D、“最小化”【正確答案】:D解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》
(Q/CSG2152010-2022)
第四章信息運行維護管理
第一節(jié)維護管理
第二十條業(yè)務部門負責本業(yè)務領域的業(yè)務賬號權限管理,運維單位負責運維賬號權限管理。信息系統(tǒng)賬號應當采用實名制,按“最小化”原則配置權限,并與崗位職責要求一致。賬號權限應當設置有效期并定期清查,禁止多人共享同一賬號。
87.依據(jù)《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》,事件處置結束后()內應啟動調查流程。A、兩周B、三周C、四周D、一周【正確答案】:D解析:
《中國南方電網有限責任公司信息運行事件調查規(guī)程(試行)》
5.內容和方法
5.5信息運行事件調查
5.5.1事件調查
5.5.1.5調查流程
5.5.1.5.1事件處置結束后一周內應啟動調查流程。88.【案例】某部門新開發(fā)上線的個人工作臺V2.0投入使用后,因代碼存在fastjson漏洞未及時整改,護網期間黑客利用該漏洞對工作臺進行了入侵,導致系統(tǒng)部分數(shù)據(jù)被竊取和篡改?!締栴}】若發(fā)生網絡安全事件后,信息系統(tǒng)要重新投入使用或接入網絡,需要完成()并通過()后。A、測評、安全加固B、打補丁、測評C、基線整改、安全加固D、整改、測評【正確答案】:D解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-YW-002601、通用要求安全運維管理網絡和系統(tǒng)安全管理應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審,發(fā)現(xiàn)可疑行為或高危、中危安全漏洞,形成分析報告,并采取必要的應對措施。2、一旦被發(fā)現(xiàn)存在高危、中危安全漏洞,若不立即修復將引發(fā)網絡安全事件或導致嚴重的業(yè)務和社會影響時,建議信息系統(tǒng)運行單位可臨時將信息系統(tǒng)關?;蚺c網絡斷開;漏洞完成整改并通過測評后,信息系統(tǒng)方可重新投運或接入網絡。89.【案例】2019年3月,某事業(yè)單位集中監(jiān)控系統(tǒng)遭黑客攻擊破壞。經查,該單位網絡安全意識淡薄,曾因存在安全隱患、不落實網絡安全等級保護制度被責令整改。整改期滿后,未采取有效管理措施、技術防護措施。警方依據(jù)《網絡安全法》第21條、第59條規(guī)定,對該單位予以6萬元罰款,對相關責任人予以2萬元罰款,同時責令該單位停機整頓,開展定級備案、測評整改等網絡安全等級保護工作?!締栴}】根據(jù)公司信息系統(tǒng)運行管理要求,()組織開展信息系統(tǒng)運行風險管控和隱患治理,建立分類、分級、分層管控機制,落實責任和措施,確保各類信息運行風險可控在控、隱患及時治理。A、監(jiān)督單位B、數(shù)字化管理部門C、業(yè)務部門D、運維單位【正確答案】:B解析:
《中國南方電網有限責任公司信息系統(tǒng)運行管理辦法(試行)》
(Q/CSG2152010-2022)
第六章信息運行風險管理
第三十二條按照“識別評估、制定措施、過程控制、回顧改進”的管控思路,數(shù)字化管理部門組織開展信息系統(tǒng)運行風險管控和隱患治理,建立分類、分級、分層管控機制,落實責任和措施,確保各類信息運行風險可控在控、隱患及時治理。嚴防風險管控措施失效、弱化形成隱患。90.依據(jù)《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021),各級單位關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統(tǒng),()至少完成一次密碼應用安全性評估。A、每半年B、每兩年C、每年D、每三年【正確答案】:C解析:
《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021)
第二章管理內容和要求
第七節(jié)密碼應用安全性評估管理
第二十六條各級單位關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統(tǒng),每年都至少完成一次密碼應用安全性評估。發(fā)生與密碼相關的重大安全事件、重大調整或者特殊緊急情況,應當重新開展密碼應用安全性評估。91.依據(jù)《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021),在信息系統(tǒng)初步驗收階段,應當對等級保護第三級及以上信息系統(tǒng)開展()安全性評估。A、風險B、密碼應用C、人身D、數(shù)據(jù)【正確答案】:B解析:《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021)第二章管理內容和要求第十條在信息系統(tǒng)初步驗收階段,應當對等級保護第三級及以上信息系統(tǒng)開展密碼應用安全性評估。92.依據(jù)《中華人民共和國網絡安全法》,違法設立用于實施違法犯罪活動的網站、通訊群組,或者利用網絡發(fā)布涉及實施違法犯罪活動的信息,尚不構成犯罪的,由公安機關處()以下拘留,可以并處一萬元以上十萬元以下罰款。A、六日B、三日C、四日D、五日【正確答案】:D解析:
《中華人民共和國網絡安全法》
第六章法律責任
第六十七條違反本法第四十六條規(guī)定,設立用于實施違法犯罪活動的網站、通訊群組,或者利用網絡發(fā)布涉及實施違法犯罪活動的信息,尚不構成犯罪的,由公安機關處五日以下拘留,可以并處一萬元以上十萬元以下罰款;情節(jié)較重的,處五日以上十五日以下拘留,可以并處五萬元以上五十萬元以下罰款。關閉用于實施違法犯罪活動的網站、通訊群組。93.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,嚴禁部署在公司內部機房的互聯(lián)網應用向互聯(lián)網開放管理后臺訪問權限進行內容發(fā)布操作,禁止對互聯(lián)網應用及所屬信息基礎設施的()。A、遷移B、升級C、業(yè)務訪問D、遠程維護【正確答案】:D解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
4.管理要點
4.3運維管理
4.3.2嚴禁部署在公司內部機房的互聯(lián)網應用向互聯(lián)網開放管理后臺訪問權限進行內容發(fā)布操作,禁止對互聯(lián)網應用及所屬信息基礎設施的遠程維護。94.依據(jù)《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021),新建、改建、擴建的信息系統(tǒng)應當切實落實密碼應用“同步規(guī)劃、同步建設、同步運行、()”要求。A、定期調整B、定期評估C、同步備案D、同步撤銷【正確答案】:B解析:
《中國南方電網有限責任公司密碼管理辦法》(Q/CSG2152001-2021)
第二章管理內容和要求
第一節(jié)總體要求
第四條信息系統(tǒng)(包括但不限于通過技改、科技、信息化等項目新建、改建、擴建的管理信息系統(tǒng)、電力監(jiān)控系統(tǒng))應當切實落實密碼應用“同步規(guī)劃、同步建設、同步運行、定期評估”要求。95.【案例】某網公司需要建設客戶服務平臺,通過公開招標W公司中標該平臺的開發(fā)項目。W公司在開發(fā)過程中未將開發(fā)測試環(huán)境與生產運行環(huán)境有效隔離,為了方便代碼共享管理,將開發(fā)測試系統(tǒng)上傳至GitHub。同時為了方便對開發(fā)中的功能進行調試和驗證,將客戶真實數(shù)據(jù)未進行脫敏直接導入開發(fā)環(huán)境進行測試,后因GitHub上的代碼和測試數(shù)據(jù)被黑客獲取,最終導致該在建系統(tǒng)的敏感數(shù)據(jù)泄漏。【問題】測試工作涉密及敏感數(shù)據(jù)時,業(yè)務部門提出數(shù)據(jù)脫敏要求,信息系統(tǒng)建設單位根據(jù)要求開展()工作。A、數(shù)據(jù)加密、數(shù)據(jù)遷移B、數(shù)據(jù)加密、數(shù)據(jù)脫敏C、數(shù)據(jù)遷移、數(shù)據(jù)備份D、數(shù)據(jù)脫敏、數(shù)據(jù)遷移【正確答案】:D解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-JSG-002601、通用要求安全建設管理外包軟件開發(fā)開發(fā)單位應提供軟件源代碼,并委托第三方專業(yè)機構審查軟件中可能存在的后門和隱蔽信道;同時,在開展測試工作時,測試工作需要申請導入生產數(shù)據(jù)時,應進行申請、審批流程;其中涉及敏感數(shù)據(jù)時,開展數(shù)據(jù)脫敏與數(shù)據(jù)遷移工作。4、測試工作涉密及敏感數(shù)據(jù)時,建議依據(jù)數(shù)據(jù)脫敏要求,開展數(shù)據(jù)脫敏與數(shù)據(jù)遷移工作。96.依據(jù)《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》,互聯(lián)網應用應制定專項災備恢復應急預案,關鍵互聯(lián)網應用至少()一次演練。A、半年B、兩年C、三年D、一年【正確答案】:A解析:
《中國南方電網有限責任公司互聯(lián)網應用業(yè)務指導書》
4.管理要點
4.5安全管理
4.5.1制定專項災備恢復應急預案,關鍵互聯(lián)網應用至少半年一次演練,非關鍵互聯(lián)網應用至少每年一次演練。97.依據(jù)《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法(試行)》(Q/CSG2152001-2022),各級單位應當明確個人信息數(shù)據(jù)采集的范圍、目的和用途,在基于個人充分知情并取得同意的前提下,限于實現(xiàn)處理目的的()進行數(shù)據(jù)采集。A、最大范圍B、最全面C、最完整D、最小范圍【正確答案】:D解析:
《中國南方電網有限責任公司數(shù)據(jù)安全管理辦法
(試行)》
(Q/CSG2152001-2022)
第四章數(shù)據(jù)生命周期安全管理
第十二條各級單位應當明確個人信息數(shù)據(jù)采集的范圍、目的和用途,在基于個人充分知情并取得同意的前提下,限于實現(xiàn)處理目的的最小范圍進行數(shù)據(jù)采集,確保數(shù)據(jù)采集的合法性、正當性和必要性,并對數(shù)據(jù)采集的環(huán)境、設施和技術采取必要的管控措施。98.依據(jù)《中國南方電網有限責任公司跨境數(shù)據(jù)管理細則》(Q/CSG2153003-2022),出境數(shù)據(jù)中涉及個人信息的,需取得()同意,告知個人信息處理目的、處理方式等事項。A、個人B、公安部門C、國家安全部門D、數(shù)字化管理部門【正確答案】:A解析:
《中國南方電網有限責任公司跨境數(shù)據(jù)管理細則》(Q/CSG2153003-2022)
第五章數(shù)據(jù)出境申報管理
第二十三條出境數(shù)據(jù)中涉及個人信息的,需取得個人同意,告知個人信息處理目的、處理方式等事項。99.【案例】W公司中標2022年IT服務臺運維服務項目,簽訂合同后W公司開始負責該平臺運維工作。2022年9月至10月期間因W公司運維不到位,該平臺多次發(fā)生系統(tǒng)故障,導致系統(tǒng)全年中斷時長累計2小時以上,達到信息安全四級事件?!締栴}】因外包商的行為不當導致公司發(fā)生網絡安全缺陷或事件的,納入()供應商評價考核。A、半年B、季度C、年度D、月度【正確答案】:C解析:《南方電網公司網絡安全合規(guī)庫(2022年修訂版)》TY-RY-001901、通用要求安全管理人員外部人員訪問管理與合約方簽訂的外包服務協(xié)議中應具有對供應商年度評價考核條款。2、因外包商的行為不當導致公司發(fā)生網絡安全缺陷或事件的、開發(fā)外包商交付系統(tǒng)的網絡安全質量等,應納入年度供應商評價考核。100.依據(jù)《中國南方電網有限責任公司網絡安全和數(shù)字化工作管理規(guī)定》(Q/CSG2151001-2021),信息系統(tǒng)上線投運、變更發(fā)布前應
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《保護好自己的眼睛》課件
- 【培訓課件】金融市場與交易
- 《項目管理小案例》課件
- 房地產自查報告的范文
- 2025年張掖貨運從業(yè)資格證在哪里練題
- 2025年湖南貨運從業(yè)資格考試模擬考試題目及答案
- 2025年寧夏道路運輸從業(yè)人員資格考試內容有哪些
- 《設計場地調研分析》課件
- 2025年郴州貨車資格證考試題
- 2025年云南貨車從業(yè)資格證題目庫
- 2024年四川省眉山市公開招聘警務輔助人員(輔警)筆試專項訓練題試卷(3)含答案
- 湖南工業(yè)大學《自然語言處理》2022-2023學年第一學期期末試卷
- 2024-2030年撰寫:中國軟件行業(yè)發(fā)展趨勢及競爭調研分析報告
- 2024年律師協(xié)會工作計劃樣本(三篇)
- 護理各類風險評估及防范
- 《技術創(chuàng)新體系建設》課件
- 2024年-2025年電梯檢驗員考試題庫及答案
- 2024艾滋病知識講座
- 2024年度技術轉讓合同及技術交付
- 電力變壓器生產項目可行性研究報告
- 充電樁知識培訓
評論
0/150
提交評論