1、信息安全培訓試題一、 單選1、信息科技風險指在商業銀行運用過程中，由于自然因素、（B ）、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。A 制度落實B 技術標準C 人為因素D 不可抗力2、信息科技風險管理的第一責任人是（A ）。A 銀行的法定代表人B 信息技術部負責人C CIOD 其他3、信息科技指計算機、通信、微電子和軟件工程等現代信息技術，在商業銀行業務交易處理、經營管理和內部控制等方面的應用，并包括進行（A ），建立完整的管理組織架構，制訂完善的管理制度和流程。A 信息科技治理B 信息安全管理C 系統持續性管理D 突發事件管理4、所有科技風險事件都可以歸于信息系統連續性或（D ）出問題

2、的事件。A 保密性B 完整性C 可用性D 安全性5、設立或指派一個特定部門負責信息科技（D ）管理工作，該部門為信息科技突發事件應急響應小組的成員之一。A 安全B 審計C 合規D 風險6、內部審計部門設立專門的信息科技風險審計崗位，負責（A ）進行審計。A 信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃，對信息科技整個生命周期和重大事件等B 制訂和執行信息科技審計計劃，對信息科技整個生命周期和重大事件等C 信息科技審計制度和流程的實施，對信息科技整個生命周期和重大事件等D 信息科技審計制度和流程的實施，制訂和執行信息科技審計計劃等7、信息科技風險管理策略，包括但不限于下述領域（C ）

3、。A 信息分級與保護；信息系統開發、測試和維護；信息科技運行和維護；訪問控制；物理安全；人員安全B 信息分級與保護；信息系統開發、測試和維護；訪問控制；物理安全；人員安全；業務連續性計劃與應急處置C 信息分級與保護；信息系統開發、測試和維護；信息科技運行和維護；訪問控制；物理安全；人員安全；業務連續性計劃與應急處置D 信息分級與保護；信息科技運行和維護；訪問控制；物理安全；人員安全；業務連續性計劃與應急處置8、依據信息科技風險管理策略和風險評估結果，實施全面的風險防范措施。定義每個業務級別的控制內容，包括最高權限用戶的審查、控制對數據和系統的物理和邏輯訪問、訪問授權（C ）為原則、審批和授權、

4、驗證和調節。A 以 “最小授權”B 以“必需知道”C 以“必需知道”和“最小授權”D 以上都不是9、信息科技風險管理應制定明確的（D ）等，定期進行更新和公示 A 信息科技風險管理制度B 技術標準C 操作規程D 信息科技風險管理制度、技術標準和操作規程10、制定每種類型操作系統的基本安全要求，確保所有系統滿足基本安全要求；明確定義包括（A ）等不同用戶組的訪問權限。A 終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員B 終端用戶、計算機操作人員、系統管理員和用戶管理員C 系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員D 終端用戶、系統開發人員、系

5、統測試人員、計算機操作人員11、商業銀行應保證（C ）中包含足夠的內容，以便完成有效的內部控制、解決系統故障和滿足審計需要。A 交易日志B 系統日志C 交易日志和系統日志D 監控日志12、對信息系統的（C ）管理制定制度和流程。A 立項B 投產C 全生命周期D 終止13、制定信息系統變更的制度和流程，確保系統的可靠性、完整性和可維護性。應包括以下要求: （C ）A 生產系統與開發系統、測試系統有效隔離。B 生產系統與開發系統、測試系統的管理職能相分離。C 生產系統與開發系統、測試系統有效隔離，生產系統與開發系統、測試系統的管理職能相分離。D 生產系統與開發系統、測試系統有限隔離。14、除得到管

6、理層批準執行緊急修復任務外，禁止（C ）進入生產系統，且所有的緊急修復活動都應立即進行記錄和審核。A 應用程序開發B 維護人員C 應用程序開發和維護人員D 所有人員15、將完成開發和測試環境的程序或系統配置變更應用到生產系統時，應得到（C ）的批準，并對變更進行及時記錄和定期復查。A 信息科技部門B 業務部門C 信息科技部門和業務部門D 機房管理人員16、所有變更都應記入日志，由信息科技部門和業務部門共同審核簽字，并事先進行（A ），以便必要時可以恢復原來的系統版本和數據文件。A 備份B 驗證C 測試D 制定方案17、嚴格控制（C ）進入安全區域，如確需進入應得到適當的批準，其活動也應受到監控

7、。A 業務人員B 維護人員C 第三方人員（如服務供應商）D 開發人員18、針對（C ），尤其是從事敏感性技術相關工作的人員，應制定嚴格的審查程序，包括身份驗證和背景調查。A 臨時聘用的技術人員和承包商B 長期聘用的技術人員和承包商C 長期或臨時聘用的技術人員和承包商D 來訪人員19、商業銀行應采取（C ）等措施降低業務中斷的可能性，并通過應急安排和保險等方式降低影響。A 系統恢復B 雙機熱備處理C 系統恢復和雙機熱備處理D 冗余方式20、商業銀行實施重要外包（如數據中心和信息科技基礎設施等）應格外謹慎，在準備實施重要外包時應以書面材料正式報告（C ）。A 銀監會B 人民銀行C 銀監會或其派出機

8、構D 董事會21、所有信息科技外包合同應由（C ）和信息科技管理委員會審核通過。A 信息科技部門B 審計部門C 信息科技風險管理部門、法律部門D 董事會22、至少應每（C ）年進行一次全面審計。A 一B 二C 三D 四23、業務連續性管理是指商業銀行為有效應對（C ），建設應急響應、恢復機制和管理能力框架，保障重要業務持續運營的一整套管理過程，包括策略、組織架構、方法、標準和程序。A 系統宕機B 通訊中斷C 重要業務運營中斷事件D 系統運行效率降低24、商業銀行業務連續性組織架構包括（C ）A 日常管理組織架構B 應急處置組織架構C 日常管理組織架構和應急處置組織架構D 信息科技管理組織架構2

9、5、業務連續性管理主管部門是（B ）A 辦公室B 風險管理部C 信息科技部D 審計部26、信息科技部門是（A ）。A 業務連續性管理執行部門B 業務連續性管理保障部門C 業務連續性管理審計部門D 業務連續性管理主管部門27、應急處置組織架構應急決策層由（A ）組成，負責決定應急處置重大事宜。A 商業銀行高級管理人員B 信息科技部門人員C 風險管理部門人員D 業務條線管理部門人員28、根據業務重要程度實現差異化管理，商業銀行確定各業務恢復優先順序和恢復指標，商業銀行應當至少每（C ）年開展一次全面業務影響分析，并形成業務影響分析報告。A 一B 二C 三D 四29、原則上，重要業務恢復時間目標不得

10、大于（D ）小時。A 一B 二C 三D 四30、原則上，重要業務恢復點目標不得大于（D ）小時A 0.1B 0.2C 0.4D 0.531、商業銀行應當通過分析（A ）的對應關系、信息系統之間的依賴關系，根據業務恢復時間目標、業務恢復點目標、業務應急響應時間、業務恢復的驗證時間，確定信息系統RTO 、信息系統RPO ，明確信息系統重要程度和恢復優先級別，并識別信息系統恢復所需的必要資源。A 業務與信息系統B 開發測試與生產環境C 重要系統與非重要系統D 以上都不對32、商業銀行應當重點加強信息系統關鍵資源的建設，實現信息系統的（C ），保障信息系統的持續運行并減少信息系統中斷后的恢復時間。A

11、安全運行B 順利投產C 高可用性D 高可靠性33、商業銀行應當設立統一的（A ），用于應急決策、指揮與聯絡，指揮場所應當配置辦公與通訊設備以及指揮執行文檔、聯系資料等。A 運營中斷事件指揮中心場所B 技術標準C 規章制度D 組織架構34、商業銀行應當建立（D ）等備用信息技術資源和備用信息系統運行場所資源，并滿足銀監會關于數據中心相關監管要求。A 數據中心B 技術中心C 研發中心D 災備中心35、商業銀行應當明確關鍵崗位的備份人員及其備份方式，并確保（C ）可用，降低關鍵崗位人員無法及時履職風險。A 在崗人員B 運維人員C 備份人員D 科技人員36、商業銀行應當至少每（C ）年對全部重要業務開

12、展一次業務連續性計劃演練。A 一B 二C 三D 四37、商業銀行應當至少（A ）對業務連續性管理體系的完整性、合理性、有效性組織一次自評估，或者委托第三方機構進行評估，并向高級管理層提交評估報告。A 每年B 6個月C 兩年D 3個月38、當運營中斷事件同時滿足多個級別的定級條件時，按（B ）級別確定事件等級。A 最低B 最高C 平均水平D 其他39、災備中心同城模式是指災備中心與生產中心位于（A ），一般距離數十公里，可防范火災、建筑物破壞、電力或通信系統中斷等事件。A 同一地理區域B 不同地理區域C 距離較遠地區D 同一地點40、總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀行，

13、及省級農村信用聯合社應設立（C ）。A 備份介質存儲中心B 同城模式災備中心C 異地模式災備中心D 其他41、應具備機房環境監控系統，對基礎設施設備、機房環境狀況、安防系統狀況進行（A ）實時監測，監測記錄保存時間應滿足故障診斷、事后審計的需要。A 7x24小時B 5 x8小時C 5x24小時D 其他42、數據中心應用（B ）通信運營商線路互為備份。互為備份的通信線路不得經過同一路由節點。A 一家B 兩家或多家C 兩家D 其他43、商業銀行應（A ）至少進行一次重要信息系統專項災備切換演練，每三年至少進行一次重要信息系統全面災備切換演練，以真實業務接管為目標，驗證災備系統有效接管生產系統及安全

14、回切的能力。A 每年B 每兩年C 每半年D 每季度44、商業銀行應充分識別、分析、評估數據中心外包風險，包括信息安全風險、服務中斷風險、系統失控風險以及聲譽風險、戰略風險等，形成風險評估報告并報董事會和高管層審核。商業銀行在實施數據中心整體服務外包以及涉及影響業務、管理和客戶敏感數據信息安全的外包前，應向（C ）報告。A 銀監會B 銀監會派出機構C 中國銀監會或其派出機構D 其他45、突發事件是指銀行業金融機構（A ）以及為之提供支持服務的電力、通訊等系統突然發生的，影響業務持續開展，需要采取應急處置措施應對的事件。A 重要信息系統B 桌面計算機系統C 內部辦公系統D 筆記本電腦系統46、突發

15、事件依照其影響范圍及持續時間等因素分級。當突發事件同時滿足多個級別的定級條件時，按（A ）確定突發事件等級。A 最高級別B 最低級別C 系統分類D 其他47、恢復時間目標（RTO ）指（B ）恢復正常的時間要求。A 系統功能B 業務功能C 系統重啟D 事件關閉48、恢復點目標（RPO ）：業務功能恢復時能夠容忍的（D ）。A 業務數據丟失量B 客戶數據丟失量C 設備損壞數量D 數據丟失量49、銀行業金融機構應對關鍵信息技術資源建立（B ）以及相關的日常監測與預警機制。A 備份策略B 監測指標體系C 場景模擬D 風險評估機制50、銀行業金融機構應根據RTO 和RPO ，結合風險控制策略，從基礎設

16、施、網絡、信息系統等不同方面，分類制定本機構（B ）。A 應急組織機構B 應急預案C 應急報告路線D 應急保障團隊51、應急預案應包括系統恢復流程和應急處置操作手冊，盡可能將操作代碼化、（A ），降低應急處置過程中產生的操作風險；A 自動化B 可回溯C 全面性D 可中斷52、應急預案應明確（B ），確保信息系統恢復正常業務處理能力。A 系統重啟步驟B 系統重建步驟C 系統驗證步驟D 應急評估指標53、實施應急演練應嚴格控制應急演練引起的信息系統變更風險，避免因演練導致（C ）。A 數據丟失B 系統宕機C 服務中斷D 網絡中斷54、應急演練應選擇在（D ）進行。A 法定節假日B 停業時段C 主要

17、業務時段D 非主要業務時段55、應急演練完成后，應保證實施應急預案所需的各項資源（A ）。A 恢復正常B 恢復初始狀態C 恢復備份數據D 被驗證56、對于應急預案沒有覆蓋的突發事件，應立即報告（A ）進行應急決策。A 應急領導小組B 應急執行小組C 應急保障小組D 其他57、銀行業金融機構應在重要信息系統突發事件后（C ）分鐘之內將突發事件相關情況上報銀監會或其派出機構信息系統應急管理部門，并在事件發生后12小時內提交正式書面報告；A 15B 30C 60D 12058、對造成經濟秩序混亂或重大經濟損失、影響金融穩定的，或對銀行、客戶、公眾的利益造成損害的突發事件，銀行業金融機構要（C ）。A

18、 在規定時間上報B 立即上報C 按規定路線報告D 及時處置，結束后上報59、銀行業金融機構應將應急處置重大進展情況及時上報銀監會或其派出機構，直至（C ）。級突發事件發生后，銀行業金融機構應每2小時將應急處置進展情況上報，直至（C ）。A 應急操作完成B 數據恢復C 應急結束D 正常營業60、重要信息系統（A ）即為應急結束。A 恢復正常服務B 數據恢復C 主機運行正常D 網絡恢復61、銀行業金融機構應采取必要的（C ），確保應急響應通訊及時有效。A 備份介質保存措施B 設備備份措施C 通訊保障措施D 人員備份措施62、銀行業金融機構應每年開展一次對突發事件風險防范措施的（C ），包括評估風險

19、識別、分析和控制措施的有效性、應急預案的完備性、應急演練的全面性和及時性等，檢驗防范措施的有效性，并及時發現新的風險，改進風險控制措施，進一步完善應急預案，形成風險防范措施的持續改進。A 全面評估B 審計活動C 全面評估和審計活動D 全面檢查63、業務、管理部門應配合信息科技部門開展投產及變更工作，開展業務影響分析，制定業務管理辦法，組織（B ），保證業務資源投入。A 聯調測試B 用戶測試C 應急演練D 系統驗收64、審計部門應開展重要信息系統（D ）審計工作，針對問題發現提出整改意見。A 立項B 變更C 投產D 投產及變更65、銀行金融機構應建立重要信息系統投產及變更內容評審和審批、授權機制

20、。按照（C ），采取與風險程度相適應的重要信息系統投產及變更策略。A 上線時間順序B 系統重要性C 對業務影響最小原則D 對系統影響最小原則66、銀行業金融機構應合理避開（A ）安排重要信息系統上線，應提前將重要信息系統投產及變更可能對服務的影響告知客戶。A 業務高峰期和敏感時段B 敏感時段C 業務高峰期D 法定節假日67、銀行業金融機構應建立充分、完整的測試體系，測試結果應經過（D ）確認，并形成測試和驗收報告，確保系統上線后的正常穩定運行以及系統功能與業務目標的一致性。A 風險管理部門B 業務部門C 審計部門D 信息科技部門和相關業務部門68、銀行業金融機構應建立（C ）的測試環境，測試環

21、境應模擬生產環境的真實情況。A 運行在生產設備B 與生產環境互通C 與生產環境相隔離D 與生產環境不一致69、銀行業金融機構應建立完善的（B ），制定嚴格的審批、控制和操作流程，保存完整的日志記錄。A 上線方案B 版本管理制度C 上線評審制度D 版本審批流程70、銀行業金融機構應制定重要信息系統投產及變更（A ），制定系統回退和應急處置計劃和流程，必要時應實施演練。A 應急預案B 上線方案C 綠燈測試方案D 測試方案71、應對重要信息系統投產及變更過程產生的各類（B ）進行管理，確保（B ）的完整性、及時性和有效性，并滿足獨立審計要求。A 上線方案B 文檔資料C 管理制度D 研發成果72、銀行

22、業金融機構應就重要信息系統投產及變更事項向中國銀監會或其派出機構報告。應在重要信息系統投產前至少（C ）個工作日、變更前至少（B ）個工作日向中國銀監會或其派出機構報告。A 5B 10C 20D 3073、銀行業金融機構應在重要信系統投產及變更實施后（A ）個月內向中國銀監會或其派出機構提交總結報告材料。A 1B 2C 3D 674、向銀監會及其派出機構提交的投產及變更總結報告材料內容包括但不限于：（D ）等A 后續改進措施B 問題發現和處理情況C 投產及變更方案執行情況、效果D 投產及變更方案執行情況、效果，問題發現和處理情況，后續改進措施75、計劃內事件（預期事件）：由上級行或本級行部署實

23、施的可能影響信息科技服務的增加、修改或刪除等變更事件。包括（D ）等。 A 軟硬件維護B 應用系統變更或升級C 基礎設施變更D 軟硬件維護、應用系統變更或升級、基礎設施變更76、計劃外事件（非預期事件）：因各種非預期原因影響或可能影響業務應用、系統環境、網絡通信、機器設備、機房設施的正常有效運行的事件。包括硬件故障、軟件故障、（D ）、內外部攻擊等。 A 網絡故障B 操作不當C 基礎設施故障D 基礎設施故障、網絡故障、操作不當77、計劃內事件應至少提前（C ）個工作日通過系統報告相關事項。A 1B 3C 5D1078、計劃外事件在事件發生后（A ）小時內將相關情況電話報告至天津銀監局信息科技監

24、管部門，12小時內通過“報備系統”提交書面報告。A 1B 2C 4D 879、要建立有效的部門間協作機制，嚴格變更管理，杜絕生產變更的（ C ）。A. 無序性B. 有序性C. 隨意性D. 任意性80、落實崗位責任制，杜絕混崗、（ C ）和一人多崗現象。A. 無崗B. 空崗C. 代崗D. 其他81、要采取主動預防措施，加強日常巡檢，（ B ）進行重要設備的深度可用性檢查。A. 不定期B. 定期C. 每日D. 每月82、要實施自動化管理，加強系統及網絡的（ B ）審計，實現數據中心各項操作的有效稽核。A. 風險B. 安全C. 保密D. 合規83、對重要信息的傳輸、存儲要采取一定強度的( D ) 措

25、施，規范和強化密鑰管理。A. 密級B. 絕密C. 保密D. 加密84、利用國際互聯網提供金融服務的信息系統要與辦公網實現（ D ）A. 完全隔離B. 物理隔離C. 軟件隔離D. 安全隔離85、根據信息資產重要程度，合理定級，實施信息 ( D )A. 風險評估B. 合規審計C. 加密D. 安全等級保護86、要適時備份和安全保存業務數據，定期對冗余備份系統、備份介質進行深度（ A ）檢查。A. 可用性B 、安全性C 、時效性D. 合理性87、信息系統安全管理是對信息系統的（ C ）全過程實施符合安全責任要求的管理。A. 數據訪問B. 建設實施C. 全生命周期D. 服務運行88、行內嚴禁使用盜版軟件

26、和破解工具，不能（A ），嚴禁安裝各種游戲軟件。A 私自安裝應用軟件B 更改口令C 更新軟件89、未經批準，嚴禁在銀行內部架設（D ）等服務器。A FTPB DHCPC DNSD FTP，DHCP ，DNS90、任何部門和個人不得私自將包括（D ）等網絡設備接入到行內網絡和計算機設備。A HUB及交換機B 路由器C 無線上網卡D HUB及交換機、路由器、無線上網卡91、嚴禁卸載或關閉安全防護軟件和防病毒軟件，及時更新（D ）。A 數據庫B 更改口令C 用戶D 病毒庫92、辦公用機不得保存（C ）。（C ）使用要嚴格遵照生產系統數據使用的制度要求，進行申請、審批和清除。A 用戶數據B 參數數據C

27、 客戶信息數據D 業務數據93、信息技術部承擔著總行信息委辦公室及本部門雙重職能，是全行IT 研究與應用的主管部門，負責全行IT 系統的運行維護、信息技術項目的開發和推廣以及信息系統的（D ）。A 數據管理B 信息科技風險管理C 信息科技審計D 安全管理94、信息安全管理要求建立有效管理（C ）的流程。A 用戶認證B 訪問控制C 用戶認證和訪問控制D 災備管理95、應急演練應做到（D ）相結合，一般情況下，銀行業金融機構每年至少應組織一次全系統范圍內的應急演練。A 平戰結合B 全面演練C 專項演練D 全面演練和專項演練96、銀行業金融機構應制定并落實系統運行管理規程、制度，制定、完善相關業務管

28、理辦法、操作規程，（B ），組織必要的培訓，確保投產及變更實施后業務順利開展。A 明確業務管理職責B 明確業務及運行管理職責C 明確運行管理職責D 明確風險管理職責97、突發事件判定的重要依據指由于重要信息系統服務異常，在業務服務時段導致一個省（自治區、直轄市）業務無法正常開展達（A ）個小時（含）以上的突發事件。A 0.5B 1C 1.5D0.298、銀行應組建應急團隊，在發生信息系統突發事件時，能夠做到及時實施專項應急處置工作。應急團隊應包括但不限于（D ）。A 應急領導小組B 應急執行小組C 支持保障小組D 應急領導小組、應急執行小組、支持保障小組98、（B ）應制訂應急管理政策和基本管

29、理制度并報董事會和高級管理層審定，統一組織、協調、指導、檢查本機構信息系統突發事件應急管理。A 信息科技部門B 風險管理部門C 內部審計部門D 信息科技管理委員會100、商業銀行應當依據業務恢復策略，確定（C ）。A 災難恢復資源獲取方式B 災難恢復等級C 災難恢復資源獲取方式和災難恢復等級D 災難恢復流程二、 多選1、信息科技風險管理的關鍵是要建立三道防線，分別是（ADC）。A 、信息科技管理、B 、合規管理C 、審計監督D 、風險管理2、商業銀行應確保設立物理安全保護區域，包括（AB）等重要信息科技設備的區域，明確相應的職責，采取必要的預防、檢測和恢復控制措施。A 、計算機中心或數據中心B

30、 、存儲機密信息或放置網絡設備C 、項目開發區域D 、設備庫房3、商業銀行應根據信息安全級別，將網絡劃分為不同的邏輯安全域（以下簡稱為域）。應該對下列安全因素進行評估，并根據安全級別定義和評估結果實施有效的安全控制，如對每個域和整個網絡進行物理或邏輯分區、實現（ABCDE）等。A 、網絡內容過濾B 、邏輯訪問控制C 、傳輸加密D 、網絡監控E 、記錄活動日志4、商業銀行應評估因意外事件導致其業務運行中斷的可能性及其影響，包括評估可能由下述原因導致的破壞：（ABC）A 、內外部資源的故障或缺失（如人員、系統或其他資產）B 、信息丟失或受損C 、外部事件（如戰爭、地震或臺風等）D 、其他4、商業銀

31、行應當建立業務連續性管理的組織架構，確定重要業務及其恢復目標，（）。A 、制定業務連續性計劃B 、配置必要的資源C 、有效處置運營中斷事件D 、開展演練和業務連續性管理的評估改進5、商業銀行業務連續性日常管理組織架構中包括（ABC）A 、執行部門B 、保障部門C 、審計部門D 、其他部門6、商業銀行業務連續性應急處置理組織架構中包括（ABCD）A 、應急決策層B 、應急指揮層C 、應急執行層D 、應急保障層7、應急處置組織機構的應急指揮層由商業銀行的（）負責人組成，負責運營中斷事件處置應急指揮和組織協調，督導應急處置實施。 應急處置組織架構A 、業務連續性管理主管部門B 、業務連續性管理執行部

32、門C 、業務連續性管理保障部門D 、業務連續性管理科技部門8、數據中心包括（AC）A 、生產中心B 、研發中心C 、災難備份中心D 、備份中心9、商業銀行應于取得金融許可證后兩年內，設立（C ）；生產中心設立后兩年內，設立（D ）。A 、研發中心B 、數據中心C 、生產中心D 、災備中心10、數據中心服務外包包括（BC）A 、項目開發類B 、基礎設施類C 、運營維護類D 、其他類型11、重要信息系統主要包括（ABC）的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統，支撐上述系統運行的前置機、客戶端、機房、網絡等基礎設施也應作為重要信息系統的一部分。A 、面向客戶B 、涉及賬務處理C

33、 、時效性要求較高D 、內部辦公用12、銀行業金融機構在（ABCD）等關鍵信息技術資源發生重大變更及業務種類和交易量發生重大變化時，應重新識別、分析、控制風險，并更新剩余風險評估和風險事件監測與預警。A 、系統上線B 、系統升級C 、網絡改造D 、設備更新13、應急預案應說明重要信息系統的業務影響范圍、（BC）以及信息系統包括的系統資源，明確資源的物理位置、設備型號、軟件資源、網絡配置等關鍵信息。A 、系統功能B 、恢復時間目標C 、恢復點目標D 、系統運維責任人14、應急預案應說明應急場景，至少覆蓋電力故障、火情水災、治安、病毒爆發、網絡攻擊、人為破壞、不可抗力、（ABCD）以及其他各類與信

34、息系統相關的故障；A 、計算機硬件故障B 、操作系統故障C 、系統漏洞、D 、應用系統故障15、在技術保障方面應達到以下要求： （AB）A 、建立應急事件預警平臺，確保及時發現應急事件，并及時通知有關人員啟動應急響應B 、明確相關廠商的技術支持服務水平，確保應急處置過程中相關廠商能夠提供及時有效的技術支持C 、儲備一定數量應急設備或物資，并確保物資供應渠道暢通D 、建立應急響應專項資金預算管理與審批制度，確保應急響應過程中及時進行應急物資采購16、 重要信息系統投產及變更主要指（ABCD）A 、 重要信息系統投產B 、支撐重要信息系統運行的機房和網絡基礎設施投產。C 、影響全轄或一個（含）以上

35、分行系統服務、重要業務中斷時間3小時（含）以上的重要信息系統以及支持其運行的基礎設施變更，包括機房場地遷移、網絡及核心業務系統應用架構變更、核心業務系統版本變更等。D 、其他對銀行重要業務運營及重要信息系統的可用性、完整性、安全性具有較大潛在影響的投產及變更。17、信息科技部門應建立重要信息系統（BC），承擔技術管理工作，協調業務、管理部門開展重要信息系統投產及變更工作，保障信息科技資源投入。A 、檢測機制B 、投產及變更管理機制C 、制度與流程D 、運行維護流程18銀行業金融機構應充分識別、分析、評估重要信息系統投產及變更風險，包括（ABCD）或其他因素可能造成的操作風險、法律風險和聲譽風險

36、，并形成風險評估報告。A 、系統功能缺陷B 、客戶信息泄露C 、業務中斷、D 、交易緩慢19、測試環境中使用的敏感生產數據應進行（AB）處理A 、脫敏B 、變形C 、備份、D 、核對20、歷史數據遷移需要的，應制定詳細的數據遷移計劃，并提前進行（ACD），確保遷移后數據的完整性、安全性和可用性。A 、數據遷移測試B 、數據清洗C 、數據有效性驗證D 、數據兼容性驗證21、銀行業金融機構應按照屬地監管原則提交報告材料，報送路線如下（AB）A 、銀行業金融機構法人組織實施投產及變更的，由該法人機構統一向中國銀監會或其派出機構提交報告材料。B 、銀行業金融機構分行組織實施投產及變更的，由分行向所在地

37、中國銀監會派出機構提交報告材料。C 、銀行業金融機構法人組織實施投產及變更的，由分行向所在地中國銀監會派出機構提交報告材料。D 、銀行業金融機構分行組織實施投產及變更的，由該法人機構統一向中國銀監會或其派出機構提交報告材料。22、因信息科技基礎設施或計算機信息系統原因引發或可能引發天津市轄內全部或部分銀行業務無法正常開展的事件，應向監管部門報備, 包括（BD）。A 、應急演練B 、計劃內事件C 、突發事件D 、計劃外事件23、銀行業金融機構應將（BC）的變更信息向監管部門報備A 、法人代表B 、信息科技風險管理“三道防線”相關負責人C 、和信息科技風險報備聯絡人D 、信息科技委員會主任24、符

38、合以下哪些條件的計算機安全事件必須報告： （ ABCD ）A. 計算機信息系統中斷或運行不正常超過4小時B. 造成直接經濟損失超過100萬元C. 嚴重威脅銀行資金安全D. 因計算機安全事件造成銀行不能正常運營，且影響范圍超過一個縣級行政區域25、災難恢復策略主要包括：（ ABCD ）A 災難恢復建設計劃B. 災難恢復能力等級C. 災難恢復建設模式D. 災難備份中心布局26、行內重點工作崗位嚴格限制使用包括（ABCD）等的移動存儲設備。A 、移動硬盤B 、U 盤C 、MP3D 、帶存儲卡的設備27、不得以任何方式將銀行計算機系統信息（包括（ABCD）等）告知不相關的人員。A 、網絡拓撲B 、IP

39、 地址C 、安全策略、D 、帳號或口令28、內部計算機的操作系統、中間件軟件、數據庫以及各種系統應用中，必須設置用戶口令，嚴禁使用（ABC）。A 、空口令B 、弱口令C 、缺省口令D 、高強度口令29、信息安全管理要求采取加密技術，防范涉密信息在（ABC）過程中出現泄露或被篡改的風險，并建立密碼設備管理制度。A 、傳輸B 、處理C 、存儲D 、轉移30、信息安全管理要求制定相關制度和流程，嚴格管理客戶信息的采集、處理、存貯、傳輸、分發（ABCD）。A 、備份B 、恢復C 、清理D 、銷毀三、 判斷1、我行信息技術部是全行信息科技管理、信息科技應用、新產品開發和安全運維的決策與協調機構。 （&#

40、215;）2、中國人民銀行、中國銀行業監督管理委員會是商業銀行信息安全監督管理部門，按照屬地監管原則實施監管職能。 （）3、信息安全策略應涉及以下領域：安全制度管理、信息安全組織管理、資產管理、人員安全管理、物理與環境安全管理、通信與運營管理、訪問控制管理、系統開發與維護管理、信息安全事故管理、業務連續性管理、合規性管理。 （）4、用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制，并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的限度。 （）5、用戶調動到新的工作崗位或離開商業銀行時，應在系統中及時檢查、更新或注銷用戶身份。 （）6、商業銀行應根據信息安全級別，將網絡劃分

41、為不同的邏輯安全域。（）7、對所有員工進行必要的培訓，使其充分掌握信息科技風險管理制度和流程，了解違反規定的后果，并對違反安全規定的行為采取零容忍政策。 （）8、商業銀行可以將其信息科技管理責任外包。 （×）9、被審計的商業銀行應根據外部審計機構出具的審計報告提出整改計劃，并在規定的時間內實施整改。 （）10、重要業務恢復時間目標指業務RTO （）11、商業銀行應當開展業務連續性計劃演練，檢驗應急預案的完整性、可操作性和有效性，驗證業務連續性資源的可用性，提高運營中斷事件的綜合處置能力。 （）12、災備中心異地模式是指災備中心與生產中心處于不同地理區域，一般距離在幾十公里以上，不會同時面臨同類區域性災難風險，如地震、臺風和洪水等。 （×）13、商業銀行內部審計部門應至少每三年進行一次數據中心內部審計。商業銀行在采取有效信息安全控制措施的前提下，可聘請合格的外部審計機構定期對數據中心進行審計。 （）14、業務服務時段是指銀行業金融機構重要信息系統所承載業務對客戶提供服務的時間。 （）15、特別重大突發事件（級）指：（1）銀行業金融機構由于重要信息系統服務中斷或重要數據損毀、丟失、泄露，造成經濟秩序混亂或重大經濟損失、影響金融穩定的，或對公眾利益造成特別嚴重損害的突發事件；（2）由于重要信息系統服務異常，在業務服務時段導致銀行業金融機構兩個（含）