CDGA 认证-第七章 数据安全（重点章节）习题集解析_数据安全活动的主要驱动因素,以下说法错误的是 组织可能因不遵守法规而被罚款

1. 数据安全架构是企业架构的一部分，描述了在企业内部如何实现数据安全以满足业务规则和外部法规，以下选项不属于安全架构所涉及内容的是（ ）

A 数据加密标准和机制
B 通过互联网的数据传送协议
C 远程访问标准
D 内部系统和业务部门

【答案解析】DAMA-DMBOK2 P198-199
数据安全架构涉及的内容为：
1. 用于管理数据安全的工具。
2. 数据加密标准和机制。
3. 外部供应商和承包商的数据访问指南。
4. 通过互联网的数据传送协议。
5. 文档要求。
6. 远程访问标准。
7. 安全漏洞事件报告规程。

2. 以下属于数据安全意识指标的是（ ）

A 相关方遵守安全制度的动机
B 业务行为和声誉分析，包括员工培训
C 补丁有效性审计
D 通过防止入侵节省的安全成本投资回报

【答案解析】DAMA-DMBOK2 P199-201
安全意识指标主要有：
1. 风险评估结果。
2. 风险事件和配置文件。
3. 正式的反馈调查和访谈。
4. 事故复盘、经验教训和受害者访谈。
5. 补丁有效性审计。

3. 以下选项中不属于恶意软件的是（ ）

A 广告软件
B 特洛伊木马
C 病毒
D 网络钓鱼

【答案解析】DAMA-DMBOK2 P182-183
恶意软件包括：
1. 广告软件
2. 间谍软件
3. 特洛伊木马
4. 病毒
5. 蠕虫

4. 以下不属于组织进行数据分类分级所要开展的流程是（ ）

A 识别敏感数据资产并分类分级
B 在行业中查找敏感数据
C 确定保护每项资产的方法
D 识别信息与业务流程如何交互

【答案解析】DAMA-DMBOK2 P167
信息安全管理首先对组织数据进行分类分级，以便识别需要保护的数据。整个流程包括以下步骤：
1. 识别敏感数据资产并分类分级。
2. 在企业中查找敏感数据。
3. 确定保护每项资产的方法。
4. 识别信息与业务流程如何交互。

5. 以下关于数据安全业务驱动因素描述正确的是（ ）

A 降低风险和促进利润増长是数据安全活动的主要驱动因素
B 信息安全管理首先对组织数据进行分类分级，以便识别需要保护的数据
C 数据安全在业务单元层面开展
D 主数据是管理敏感数据的方法之一

【答案解析】DAMA-DMBOK2 P166-168
A错，降低风险和促进业务增长是数据安全活动的主要驱动因素。
C错，与数据管理的其他职责类似，数据安全最好在企业层面开展。
D错，元数据是管理敏感数据的方法之一。

6. 风险分类描述了数据的敏感性以及处于恶意目的对数据访问的可能性。以下不属于风险分类包含的内容的是（ ）

A 关键风险数据
B 高风险数据
C 中等风险数据
D 一般风险数据

【答案解析】DAMA-DMBOK2 P170
数据安全风险分类包括以下三个方面：
1. 关键风险数据
2. 高风险数据
3. 中等风险数据

7. 许多组织都面临着数据安全挑战，以下不属于数据安全指标的是（ ）

A 安全实施指标
B 关键数据扩散
C 安全事件指标
D 安全意识指标

【答案解析】DAMA-DMB0K2 P199-201
数据安全指标包括以下5类：
1. 安全实施指标
2. 安全意识指标
3. 数据保护指标
4. 安全事件指标
5. 机密数据扩散

8. 应用一个随机因素（正负一个百分比，小到足以保持趋势）属于以下哪种脱敏方法？（ ）

A 替换
B 混排
C 时空变异
D 数据变异

【答案解析】DAMA-DMB0K2 P173
数据变异（数值变异）。应用一个随机因素（正负一个百分比，小到足以保持趋势），重要到足以使它不可识别。

9. 当今全球环境瞬息万变，组织需要遵从的法律法规越来越多，为了有效管理安全相关的法规，可以创建一份清单，以下选项中，关于清单内容描述不正确的是？（ ）

A 所有相关数据法规
B 受每项法规影响的数据流
C 为法规遵从而制定的相关安全策略
D 实施的控制措施之间建立链接关系

【答案解析】DAMA-DMB0K2 P185
当今全球环节瞬息万变，组织需遵从的法律法规越来越多。创建一份完整的清单，其中包含：

• 所有相关数据法规；
• 受每项法规影响的数据主题域；
• 在为法规遵从而制定的相关安全策略；
• 实施的控制措施之间建立链接关系。

10. 数据安全活动包括确定需求环节，在这个环节中，区分不同内容的规则很重要，以下不属于需要优先关注的规则内容是（ ）

A 业务需求
B 外部监管限制
C 系统软件产品
D 应用软件产品

【答案解析】DAMA-DMB0K2 P185
区分业务需求、外部监管 限制、和应用软件产品的规则很重要。

11. 关于外包 IT 运营描述错误的是（ ）

A 外包増加了跨组织和地理边界共担数据责任的人数
B 数据安全措施和流程必须将外包供应的风险既视为外部风险，又视为内部风
险
C 跟踪跨系统和个人的数据血缘或流转对于维护“监管链“至关重要
D CRUD 矩阵可成为合同协议和数据安全制度的一部分

【答案解析】DAMA-DMB0K2 P197-198
RACI矩阵可成为合同协议和数据安全制度的一部分。

12. 数据安全不仅涉及到不当访问，还涉及对数据的适当访问。以下选项中保护数据访问的笫一道防线是（ ）

A 设施安全
B 设备安全
C 密码
D 身份管理系统

【答案解析】DAMA-DMB0K2 P176-177
设施安全是抵御恶意行为人员的第一道防线。
密码是保护数据访问的第一道防线。

13. 在不更改基础数据的情况下，在最终用户或系统中改变数据的外观，是哪种脱敏方法？（ ）

A 动态数据脱敏
B 不落地脱敏
C 落地脱敏
D 都不对

【答案解析】DAMA-DMB0K2 P173
动态数据脱敏是在不更改基础数据的情况下，在最终用户或系统中改变数据的外观。

14. 脆弱性是系统中容易遭受攻击的弱点或缺陷，以下不属于脆弱性内容的是？

A 存在过期安全补丁的网络计算机
B 不受可靠密码保护的网页
C 不受技术命令保护的公司软件
D 发送到组织感染病毒的电子邮件附件

【答案解析】DAMA-DMB0K2 P169
脆弱性的例子如：
存在过期安全补丁的网络计算机；
不受可靠密码保护的网页；
来自未知发件人的电子邮件附件的用户；
不受技术命令保护的公司软件。

15. 管理与企业安全相关的行为需要不同级别的制度，员工访问设施和其他资产的全局策略属于以下哪种制度？（ ）

A 企业安全制度
B IT 安全制度
C 数据安全制度
D 以上都不属于

【答案解析】DAMA-DMB0K2 P186
企业安全制度。员工访问设施和其他资产的全局政策、电子邮件标准和策略、基于职位或职务的安全访问级别以及安全漏洞报告策略。

16. 以下关于数据安全活动描述错误的是（ ）

A 识别数据安全现状
B 制定数据安全制度
C 定义数据安全细节
D 评估当前安全风险

【答案解析】DAMA-DMB0K2 P167
活动：
1. 识别数据安全需求
2. 制定数据安全制度
3. 制定数据安全细则
4. 评估当前安全风险
5. 实施控制和规程

17. 以下选项中可以作为抵御恶意行为人员策一道防线的是（ ）

A 设施安全
B 设备安全
C 凭据安全
D 电子通信安全

【答案解析】DAMA-DMB0K2 P176-177
设施安全是抵御恶意行为人员的第一道防线。
密码是保护数据访问的第一道防线。

18. 安全风险包括可能危及网络或数据库的因素，识别风险的第一步是确定敏感数据的存储位置，以及这些数据需要哪些保护措施，这个过程应当对每个系统进行评估，以下不属于需要评估的内容的是（ ）

A 存储或传送的数据敏感性
B 保护数据的要求
C 现有的安全保护措施
D 待实施的安全保护措施

【答案解析】DAMA-DMB0K2 P189
评估内容为：

1. 存储或传送的数据敏感性。
2. 保护数据的要求。
3. 现有的安全保护措施。

19. 数据安全需求和过程分为四个方面，以下不属于四个方面内容的是（ ）

A 访问
B 权限
C 验证
D 授权

【答案解析】DAMA-DMB0K2 P171
数据安全需求和过程分为四个方面（4A）
Access 访问
Audit 审计
Authentication 验证（认证）
Authorization 授权

20. 以下选项中不属于以管理信息安全的决定因素的是 （ ）

A 组织规模
B 网络架构
C 要保护的数据类型
D 数据安全管理人员

【答案解析】DAMA-DMB0K2 P194
管理信息安全取决于：
1. 组织规模
2. 网络架构
3. 要保护的数据类型
4. 组织采纳的安全策略和标准