银行业信息安全培训试题

一、 单选

1、信息科技风险指在商业银行运用过程中,由于自然因素、（B）、技术漏洞和管理缺陷产生的操作、法律和声誉等风险. A 制度落实 B 技术标准 C 人为因素 D 不可抗力

2、信息科技风险管理的第一责任人是（A)。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他

3、信息科技指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行（A），建立完整的管理组织架构，制订完善的管理制度和流程。

A 信息科技治理 B 信息安全管理 C系统持续性管理

D 突发事件管理

4、所有科技风险事件都可以归于信息系统连续性或（D）出问题的事件. A 保密性 B 完整性 C 可用性 D 安全性

5、设立或指派一个特定部门负责信息科技（D）管理工作，该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险

6、内部审计部门设立专门的信息科技风险审计岗位，负责（A）进行审计。

A 信息科技审计制度和流程的实施，制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等

B制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等

C 信息科技审计制度和流程的实施，对信息科技整个生命周期和重大事件等

D 信息科技审计制度和流程的实施，制订和执行信息科技审计计划

等

7、信息科技风险管理策略，包括但不限于下述领域（C）。 A信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全

B信息分级与保护；信息系统开发、测试和维护；访问控制;物理安全;人员安全;业务连续性计划与应急处置 C信息分级与保护;信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 D 信息分级与保护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置

8、依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。定义每个业务级别的控制内容，包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权(C）为原则、审批和授权、验证和调节。。 A以 “最小授权” B以“必需知道”

C以“必需知道”和“最小授权” D以上都不是

9、信息科技风险管理应制定明确的（D）等，定期进行更新和公示 A信息科技风险管理制度 B 技术标准 C 操作规程

D 信息科技风险管理制度、技术标准和操作规程

10、制定每种类型操作系统的基本安全要求，确保所有系统满足基本安全要求；明确定义包括(A）等不同用户组的访问权限。 A 终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员

B 终端用户、计算机操作人员、系统管理员和用户管理员

C系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员

D 终端用户、系统开发人员、系统测试人员、计算机操作人员 11、商业银行应保证(C)中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要。 A 交易日志 B 系统日志

C 交易日志和系统日志 D 监控日志

12、对信息系统的（C）管理制定制度和流程。. A立项 B 投产 C全生命周期 D 终止

13、制定信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性.应包括以下要求: （C）

A生产系统与开发系统、测试系统有效隔离。 B生产系统与开发系统、测试系统的管理职能相分离.

C生产系统与开发系统、测试系统有效隔离,生产系统与开发系统、测试系统的管理职能相分离。

D生产系统与开发系统、测试系统有限隔离。

14、除得到管理层批准执行紧急修复任务外，禁止(C）进入生产系统,且所有的紧急修复活动都应立即进行记录和审核. A 应用程序开发 B 维护人员

C 应用程序开发和维护人员 D 所有人员

15、将完成开发和测试环境的程序或系统配置变更应用到生产系统时，应得到（C)的批准，并对变更进行及时记录和定期复查。 A 信息科技部门 B 业务部门

C 信息科技部门和业务部门 D 机房管理人员

16、所有变更都应记入日志，由信息科技部门和业务部门共同审核签字，并事先进行（A),以便必要时可以恢复原来的系统版本和数据文件. A 备份

B 验证 C 测试 D 制定方案

17、严格控制（C)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控。 A 业务人员 B 维护人员

C第三方人员(如服务供应商） D 开发人员

18、针对（C），尤其是从事敏感性技术相关工作的人员，应制定严格的审查程序，包括身份验证和背景调查。 A 临时聘用的技术人员和承包商 B 长期聘用的技术人员和承包商 C 长期或临时聘用的技术人员和承包商 D 来访人员

19、商业银行应采取（C）等措施降低业务中断的可能性，并通过应急安排和保险等方式降低影响。 A 系统恢复 B 双机热备处理

C 系统恢复和双机热备处理 D 冗余方式

20、商业银行实施重要外包(如数据中心和信息科技基础设施等）应

格外谨慎,在准备实施重要外包时应以书面材料正式报告（C）。 A 银监会 B 人民银行

C 银监会或其派出机构 D 董事会

21、所有信息科技外包合同应由(C)和信息科技管理委员会审核通过。 A 信息科技部门 B 审计部门

C 信息科技风险管理部门、法律部门 D 董事会

22、至少应每（C）年进行一次全面审计. A 一 B 二 C 三 D 四

23、业务连续性管理是指商业银行为有效应对（C），建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。 A 系统宕机 B 通讯中断

C 重要业务运营中断事件 D 系统运行效率降低

24、商业银行业务连续性组织架构包括（C） A 日常管理组织架构 B 应急处置组织架构

C 日常管理组织架构和应急处置组织架构 D 信息科技管理组织架构

25、业务连续性管理主管部门是（B) A 办公室 B风险管理部 C 信息科技部 D 审计部

26、信息科技部门是（A）。 A业务连续性管理执行部门 B业务连续性管理保障部门 C业务连续性管理审计部门 D业务连续性管理主管部门

27、应急处置组织架构应急决策层由（A）组成，负责决定应急处置重大事宜。

A 商业银行高级管理人员 B 信息科技部门人员 C 风险管理部门人员 D 业务条线管理部门人员

28、根据业务重要程度实现差异化管理，商业银行确定各业务恢复

优先顺序和恢复指标,商业银行应当至少每（C）年开展一次全面业务影响分析，并形成业务影响分析报告。 A 一 B 二 C 三 D 四

29、原则上，重要业务恢复时间目标不得大于（D）小时。 A 一 B 二 C 三 D 四

30、原则上,重要业务恢复点目标不得大于（D)小时 A 0。1 B 0。2 C 0.4 D 0.5

31、商业银行应当通过分析（A）的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统RTO、信息系统RPO，明确信息系统重要程度和恢复优先级别，并识别信息系统恢复所需的必要资源。 A 业务与信息系统 B 开发测试与生产环境

C 重要系统与非重要系统 D 以上都不对

32、商业银行应当重点加强信息系统关键资源的建设，实现信息系统的（C），保障信息系统的持续运行并减少信息系统中断后的恢复时间。 A 安全运行 B 顺利投产 C 高可用性 D 高可靠性

33、商业银行应当设立统一的（A），用于应急决策、指挥与联络，指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。 A 运营中断事件指挥中心场所 B 技术标准 C 规章制度 D 组织架构

34、商业银行应当建立(D）等备用信息技术资源和备用信息系统运行场所资源,并满足银监会关于数据中心相关监管要求。 A 数据中心 B 技术中心 C 研发中心 D 灾备中心

35、商业银行应当明确关键岗位的备份人员及其备份方式，并确保

（C)可用，降低关键岗位人员无法及时履职风险。 A 在岗人员 B 运维人员 C 备份人员 D 科技人员

36、商业银行应当至少每（C）年对全部重要业务开展一次业务连续性计划演练。 A 一 B 二 C 三 D 四

37、商业银行应当至少（A）对业务连续性管理体系的完整性、合理性、有效性组织一次自评估，或者委托第三方机构进行评估，并向高级管理层提交评估报告。 A 每年 B 6个月 C 两年 D 3个月

38、当运营中断事件同时满足多个级别的定级条件时，按（B）级别确定事件等级. A 最低 B 最高

C 平均水平 D 其他

39、灾备中心同城模式是指灾备中心与生产中心位于（A),一般距离数十公里，可防范火灾、建筑物破坏、电力或通信系统中断等事件。 A 同一地理区域 B 不同地理区域 C 距离较远地区 D 同一地点

40、总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,及省级农村信用联合社应设立(C）。 A 备份介质存储中心 B 同城模式灾备中心 C 异地模式灾备中心 D 其他

41、应具备机房环境监控系统,对基础设施设备、机房环境状况、安防系统状况进行(A)实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。 A 7x24小时 B 5 x8小时 C 5x24小时 D 其他

42、数据中心应用（B）通信运营商线路互为备份.互为备份的通信线

路不得经过同一路由节点。 A 一家 B 两家或多家 C 两家 D 其他

43、商业银行应（A）至少进行一次重要信息系统专项灾备切换演练，每三年至少进行一次重要信息系统全面灾备切换演练，以真实业务接管为目标，验证灾备系统有效接管生产系统及安全回切的能力。 A 每年 B 每两年 C 每半年 D 每季度

44、商业银行应充分识别、分析、评估数据中心外包风险，包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等，形成风险评估报告并报董事会和高管层审核。商业银行在实施数据中心整体服务外包以及涉及影响业务、管理和客户敏感数据信息安全的外包前，应向（C）报告。 A 银监会 B 银监会派出机构

C 中国银监会或其派出机构 D 其他

45、突发事件是指银行业金融机构（A）以及为之提供支持服务的电

力、通讯等系统突然发生的，影响业务持续开展，需要采取应急处置措施应对的事件。 A 重要信息系统 B 桌面计算机系统 C 内部办公系统 D 笔记本电脑系统

46、突发事件依照其影响范围及持续时间等因素分级.当突发事件同时满足多个级别的定级条件时，按（A）确定突发事件等级。 A 最高级别 B 最低级别 C 系统分类 D 其他

47、恢复时间目标(RTO)指（B)恢复正常的时间要求. A 系统功能 B 业务功能 C 系统重启 D 事件关闭

48、恢复点目标（RPO)：业务功能恢复时能够容忍的（D）。 A 业务数据丢失量 B 客户数据丢失量 C 设备损坏数量 D 数据丢失量

49、银行业金融机构应对关键信息技术资源建立（B）以及相关的日常监测与预警机制. A 备份策略 B 监测指标体系 C场景模拟 D 风险评估机制

50、银行业金融机构应根据RTO和RPO，结合风险控制策略，从基础设施、网络、信息系统等不同方面，分类制定本机构（B）。 A 应急组织机构 B 应急预案 C 应急报告路线 D 应急保障团队

51、应急预案应包括系统恢复流程和应急处置操作手册，尽可能将操作代码化、(A),降低应急处置过程中产生的操作风险； A 自动化 B 可回溯 C 全面性 D 可中断

52、应急预案应明确（B），确保信息系统恢复正常业务处理能力。 A 系统重启步骤 B 系统重建步骤 C 系统验证步骤

D 应急评估指标

53、实施应急演练应严格控制应急演练引起的信息系统变更风险，避免因演练导致（C）. A 数据丢失 B 系统宕机 C 服务中断 D 网络中断

、应急演练应选择在（D)进行。 A 法定节假日 B 停业时段 C 主要业务时段 D 非主要业务时段

55、应急演练完成后，应保证实施应急预案所需的各项资源（A）。 A 恢复正常 B 恢复初始状态 C 恢复备份数据 D 被验证

56、对于应急预案没有覆盖的突发事件，应立即报告（A）进行应急决策。

A 应急领导小组 B 应急执行小组 C 应急保障小组

D 其他

57、银行业金融机构应在重要信息系统突发事件后（C）分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门，并在事件发生后12小时内提交正式书面报告； A 15 B 30 C 60 D 120

58、对造成经济秩序混乱或重大经济损失、影响金融稳定的,或对银行、客户、公众的利益造成损害的突发事件，银行业金融机构要（C）。 A 在规定时间上报 B 立即上报 C 按规定路线报告 D 及时处置，结束后上报

59、银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构，直至（C）。Ⅰ级突发事件发生后,银行业金融机构应每2小时将应急处置进展情况上报，直至(C)。 A 应急操作完成 B 数据恢复 C 应急结束 D 正常营业

60、重要信息系统（A)即为应急结束。

A 恢复正常服务 B 数据恢复 C 主机运行正常 D 网络恢复

61、银行业金融机构应采取必要的（C）,确保应急响应通讯及时有效。 A 备份介质保存措施 B 设备备份措施 C 通讯保障措施 D 人员备份措施

62、银行业金融机构应每年开展一次对突发事件风险防范措施的（C），包括评估风险识别、分析和控制措施的有效性、应急预案的完备性、应急演练的全面性和及时性等，检验防范措施的有效性，并及时发现新的风险，改进风险控制措施，进一步完善应急预案，形成风险防范措施的持续改进. A 全面评估 B 审计活动

C 全面评估和审计活动 D 全面检查

63、业务、管理部门应配合信息科技部门开展投产及变更工作，开展业务影响分析，制定业务管理办法,组织（B），保证业务资源投入。 A 联调测试 B 用户测试

C 应急演练 D 系统验收

、审计部门应开展重要信息系统(D)审计工作，针对问题发现提出整改意见。 A 立项 B 变更 C 投产 D 投产及变更

65、银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制.按照（C），采取与风险程度相适应的重要信息系统投产及变更策略。 A 上线时间顺序 B 系统重要性

C 对业务影响最小原则 D 对系统影响最小原则

66、银行业金融机构应合理避开(A）安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。 A 业务高峰期和敏感时段 B 敏感时段 C 业务高峰期 D 法定节假日

67、银行业金融机构应建立充分、完整的测试体系，测试结果应经

过(D)确认，并形成测试和验收报告，确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性.。 A 风险管理部门 B 业务部门 C 审计部门

D 信息科技部门和相关业务部门

68、银行业金融机构应建立(C）的测试环境，测试环境应模拟生产环境的真实情况. A 运行在生产设备 B 与生产环境互通 C 与生产环境相隔离 D 与生产环境不一致

69、银行业金融机构应建立完善的（B），制定严格的审批、控制和操作流程，保存完整的日志记录。 A 上线方案 B 版本管理制度 C 上线评审制度 D 版本审批流程

70、银行业金融机构应制定重要信息系统投产及变更（A），制定系统回退和应急处置计划和流程，必要时应实施演练。 A 应急预案 B 上线方案

C 绿灯测试方案 D 测试方案

71、应对重要信息系统投产及变更过程产生的各类(B）进行管理，确保(B）的完整性、及时性和有效性，并满足审计要求。 A 上线方案 B 文档资料 C 管理制度 D 研发成果

72、银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。应在重要信息系统投产前至少（C）个工作日、变更前至少（B）个工作日向中国银监会或其派出机构报告. A 5 B 10 C 20 D 30

73、银行业金融机构应在重要信系统投产及变更实施后(A）个月内向中国银监会或其派出机构提交总结报告材料。 A 1 B 2 C 3 D 6

74、向银监会及其派出机构提交的投产及变更总结报告材料内容包

括但不限于：（D）等 A 后续改进措施 B问题发现和处理情况

C 投产及变更方案执行情况、效果

D投产及变更方案执行情况、效果，问题发现和处理情况，后续改进措施

75、计划内事件（预期事件）：由上级行或本级行部署实施的可能影响信息科技服务的增加、修改或删除等变更事件。包括(D)等。 A软硬件维护 B应用系统变更或升级 C基础设施变更

D 软硬件维护、应用系统变更或升级、基础设施变更

76、计划外事件（非预期事件）：因各种非预期原因影响或可能影响业务应用、系统环境、网络通信、机器设备、机房设施的正常有效运行的事件。包括硬件故障、软件故障、（D）、内外部攻击等。 A网络故障 B操作不当 C 基础设施故障

D基础设施故障、网络故障、操作不当

77、计划内事件应至少提前（C）个工作日通过系统报告相关事项。 A 1 B 3

C 5 D10

78、计划外事件在事件发生后（A）小时内将相关情况电话报告至天津银监局信息科技监管部门,12小时内通过“报备系统”提交书面报告。 A 1 B 2 C 4 D 8

79、要建立有效的部门间协作机制，严格变更管理，杜绝生产变更的（ C )。 A.无序性 B。有序性 C。随意性 D。任意性

80、落实岗位责任制，杜绝混岗、（ C ）和一人多岗现象。 A。无岗 B.空岗 C.代岗 D.其他

81、要采取主动预防措施，加强日常巡检,( B ）进行重要设备的深度可用性检查。

A.不定期 B.定期 C。每日 D.每月

82、要实施自动化管理,加强系统及网络的（ B )审计，实现数据中心各项操作的有效稽核。 A。风险 B.安全 C。保密 D。合规

83、对重要信息的传输、存储要采取一定强度的（ D ）措施,规范和强化密钥管理。 A。密级 B。绝密 C。保密 D。加密

84、利用国际互联网提供金融服务的信息系统要与办公网实现（ D ） A。完全隔离 B。物理隔离 C。软件隔离 D.安全隔离

85、根据信息资产重要程度，合理定级，实施信息 （ D ）

A.风险评估 B.合规审计 C.加密

D。安全等级保护

86、要适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度（ A ）检查。 A. 可用性 B、安全性 C、时效性 D。合理性

87、信息系统安全管理是对信息系统的( C ）全过程实施符合安全责任要求的管理。 A。数据访问 B。建设实施 C。 全生命周期 D.服务运行

88、行内严禁使用盗版软件和破解工具，不能（A），严禁安装各种游戏软件。

A 私自安装应用软件 B 更改口令 C 更新软件

、未经批准，严禁在银行内部架设(D）等服务器。

A FTP B DHCP C DNS

D FTP,DHCP，DNS

90、任何部门和个人不得私自将包括（D）等网络设备接入到行内网络和计算机设备. A HUB及交换机 B路由器 C无线上网卡

D HUB及交换机、路由器、无线上网卡

91、严禁卸载或关闭安全防护软件和防病毒软件，及时更新（D）. A 数据库 B 更改口令 C 用户 D病毒库

92、办公用机不得保存（C）.（C）使用要严格遵照生产系统数据使用的制度要求,进行申请、审批和清除。 A 用户数据 B 参数数据 C 客户信息数据 D业务数据

93、信息技术部承担着总行信息委办公室及本部门双重职能,是全行

IT研究与应用的主管部门,负责全行IT系统的运行维护、信息技术项目的开发和推广以及信息系统的(D）。 A 数据管理 B 信息科技风险管理 C 信息科技审计 D安全管理

94、信息安全管理要求建立有效管理(C）的流程。 A 用户认证 B 访问控制

C 用户认证和访问控制 D灾备管理

95、应急演练应做到（D）相结合，一般情况下,银行业金融机构每年至少应组织一次全系统范围内的应急演练. A 平战结合 B 全面演练 C 专项演练

D全面演练和专项演练

96、银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程，（B），组织必要的培训，确保投产及变更实施后业务顺利开展。 A明确业务管理职责 B明确业务及运行管理职责

C明确运行管理职责 D明确风险管理职责

97、突发事件判定的重要依据指由于重要信息系统服务异常，在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达（A）个小时（含)以上的突发事件。 A 0.5 B 1 C 1。5 D0.2

98、银行应组建应急团队，在发生信息系统突发事件时，能够做到及时实施专项应急处置工作。应急团队应包括但不限于（D）。 A 应急领导小组 B应急执行小组 C支持保障小组

D应急领导小组、应急执行小组、支持保障小组

98、（B）应制订应急管理和基本管理制度并报董事会和高级管理层审定，统一组织、协调、指导、检查本机构信息系统突发事件应急管理。 A 信息科技部门 B风险管理部门 C内部审计部门 D信息科技管理委员会

100、商业银行应当依据业务恢复策略，确定（C）。 A 灾难恢复资源获取方式 B灾难恢复等级

C灾难恢复资源获取方式和灾难恢复等级 D灾难恢复流程 二、 多选

1、信息科技风险管理的关键是要建立三道防线，分别是（A\\D\\C)。 A、信息科技管理、 B、合规管理 C、审计监督 D、风险管理

2、商业银行应确保设立物理安全保护区域，包括（A\\B)等重要信息科技设备的区域，明确相应的职责，采取必要的预防、检测和恢复控制措施.

A、计算机中心或数据中心 B、存储机密信息或放置网络设备 C、项目开发区域 D、设备库房

3、商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域（以下简称为域）。应该对下列安全因素进行评估，并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进行物理或逻辑分区、实现（A\\B\\C\\D\\E）等。

A、网络内容过滤 B、逻辑访问控制 C、传输加密 D、网络监控 E、记录活动日志

4、商业银行应评估因意外事件导致其业务运行中断的可能性及其影响，包括评估可能由下述原因导致的破坏：（A\\B\\C） A、内外部资源的故障或缺失(如人员、系统或其他资产） B、信息丢失或受损

C、外部事件（如战争、地震或台风等） D、其他

4、商业银行应当建立业务连续性管理的组织架构，确定重要业务及其恢复目标，（）。 A、制定业务连续性计划 B、配置必要的资源 C、有效处置运营中断事件

D、开展演练和业务连续性管理的评估改进

5、商业银行业务连续性日常管理组织架构中包括（A\\B\\C) A、执行部门 B、保障部门 C、审计部门 D、其他部门

6、商业银行业务连续性应急处置理组织架构中包括(A\\B\\C\\D） A、应急决策层 B、应急指挥层 C、应急执行层 D、应急保障层

7、应急处置组织机构的应急指挥层由商业银行的（）负责人组成，负责运营中断事件处置应急指挥和组织协调，督导应急处置实施。 应急处置组织架构

A、业务连续性管理主管部门 B、业务连续性管理执行部门 C、业务连续性管理保障部门 D、业务连续性管理科技部门 8、数据中心包括（A\\C） A、生产中心 B、研发中心 C、灾难备份中心 D、备份中心

9、商业银行应于取得金融许可证后两年内，设立（C)；生产中心设立后两年内，设立（D). A、研发中心 B、数据中心 C、生产中心

D、灾备中心

10、 数据中心服务外包包括(B\\C） A、项目开发类 B、基础设施类 C、运营维护类 D、其他类型

11、重要信息系统主要包括（A\\B\\C）的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。 A、面向客户 B、涉及账务处理 C、时效性要求较高 D、内部办公用

12、银行业金融机构在（A\\B\\C\\D）等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时，应重新识别、分析、控制风险，并更新剩余风险评估和风险事件监测与预警. A、系统上线 B、系统升级 C、网络改造 D、设备更新

13、应急预案应说明重要信息系统的业务影响范围、（B\\C）以及信息系统包括的系统资源,明确资源的物理位置、设备型号、软件资源、

网络配置等关键信息. A、系统功能 B、恢复时间目标 C、恢复点目标 D、系统运维责任人

14、应急预案应说明应急场景,至少覆盖电力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、(A\\B\\C\\D）以及其他各类与信息系统相关的故障； A、计算机硬件故障 B、操作系统故障 C、系统漏洞、 D、应用系统故障

15、在技术保障方面应达到以下要求： （A\\B）

A、建立应急事件预警平台,确保及时发现应急事件,并及时通知有关人员启动应急响应

B、明确相关厂商的技术支持服务水平，确保应急处置过程中相关厂商能够提供及时有效的技术支持

C、储备一定数量应急设备或物资,并确保物资供应渠道畅通 D、建立应急响应专项资金预算管理与审批制度，确保应急响应过程中及时进行应急物资采购

16、 重要信息系统投产及变更主要指(A\\B\\C\\D） A、 重要信息系统投产

B、支撑重要信息系统运行的机房和网络基础设施投产.

C、影响全辖或一个（含)以上分行系统服务、重要业务中断时间3小时(含）以上的重要信息系统以及支持其运行的基础设施变更，包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。

D、其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更.

17、信息科技部门应建立重要信息系统(B\\C）,承担技术管理工作，协调业务、管理部门开展重要信息系统投产及变更工作，保障信息科技资源投入。 A、检测机制

B、投产及变更管理机制 C、制度与流程 D、运行维护流程

18银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险，包括（A\\B\\C\\D）或其他因素可能造成的操作风险、法律风险和声誉风险，并形成风险评估报告。 A、系统功能缺陷 B、客户信息泄露 C、业务中断、 D、交易缓慢

19、测试环境中使用的敏感生产数据应进行(A\\B)处理

A、脱敏 B、变形 C、备份、 D、核对

20、历史数据迁移需要的,应制定详细的数据迁移计划，并提前进行（A\\C\\D），确保迁移后数据的完整性、安全性和可用性。 A、数据迁移测试 B、数据清洗 C、数据有效性验证 D、数据兼容性验证

21、银行业金融机构应按照属地监管原则提交报告材料，报送路线如下（A\\B）

A、银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。

B、银行业金融机构分行组织实施投产及变更的，由分行向所在地中国银监会派出机构提交报告材料。

C、银行业金融机构法人组织实施投产及变更的，由分行向所在地中国银监会派出机构提交报告材料.

D、银行业金融机构分行组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。

22、因信息科技基础设施或计算机信息系统原因引发或可能引发天津市辖内全部或部分银行业务无法正常开展的事件，应向监管部门报

备，包括（B\\D）。 A、应急演练 B、计划内事件 C、突发事件 D、计划外事件

23、银行业金融机构应将（B\\C）的变更信息向监管部门报备 A、法人代表

B、信息科技风险管理“三道防线”相关负责人 C、和信息科技风险报备联络人 D、信息科技委员会主任

24、符合以下哪些条件的计算机安全事件必须报告: （ A\\B\\C\\D ） A。计算机信息系统中断或运行不正常超过4小时 B.造成直接经济损失超过100万元 C。严重威胁银行资金安全

D。因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域

25、灾难恢复策略主要包括：（ ABCD ） A．灾难恢复建设计划 B.灾难恢复能力等级 C。 灾难恢复建设模式 D。灾难备份中心布局

26、行内重点工作岗位严格使用包括（A\\B\\C\\D）等的移动存

储设备。 A、移动硬盘 B、U盘 C、MP3

D、带存储卡的设备

27、不得以任何方式将银行计算机系统信息（包括（A\\B\\C\\D）等）告知不相关的人员. A、网络拓扑 B、IP地址 C、安全策略、 D、帐号或口令

28、内部计算机的操作系统、中间件软件、数据库以及各种系统应用中，必须设置用户口令,严禁使用（A\\B\\C）。 A、空口令 B、弱口令 C、缺省口令 D、高强度口令

29、信息安全管理要求采取加密技术，防范涉密信息在(A\\B\\C）过程中出现泄露或被篡改的风险，并建立密码设备管理制度. A、传输 B、处理 C、存储

D、转移

30、信息安全管理要求制定相关制度和流程，严格管理客户信息的采集、处理、存贮、传输、分发（A\\B\\C\\D). A、备份 B、恢复 C、清理 D、销毁 三、 判断

1、我行信息技术部是全行信息科技管理、信息科技应用、新产品开发和安全运维的决策与协调机构. （×）

2、中国人民银行、中国银行业监督管理委员会是商业银行信息安全监督管理部门，按照属地监管原则实施监管职能. （√） 3、信息安全策略应涉及以下领域:安全制度管理、信息安全组织管理、资产管理、人员安全管理、物理与环境安全管理、通信与运营管理、访问控制管理、系统开发与维护管理、信息安全事故管理、业务连续性管理、合规性管理。 （√)

4、用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。 （√)

5、用户调动到新的工作岗位或离开商业银行时，应在系统中及时检查、更新或注销用户身份. （√）

6、商业银行应根据信息安全级别，将网络划分为不同的逻辑安全域。

（√)

7、对所有员工进行必要的培训，使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果，并对违反安全规定的行为采取零容忍. （√）

8、商业银行可以将其信息科技管理责任外包。 （×)

9、被审计的商业银行应根据外部审计机构出具的审计报告提出整改计划，并在规定的时间内实施整改。 （√） 10、重要业务恢复时间目标指业务RTO (√）

11、商业银行应当开展业务连续性计划演练，检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。 （√)

12、灾备中心异地模式是指灾备中心与生产中心处于不同地理区域，一般距离在几十公里以上，不会同时面临同类区域性灾难风险，如地震、台风和洪水等。 （×）

13、商业银行内部审计部门应至少每三年进行一次数据中心内部审计。商业银行在采取有效信息安全控制措施的前提下，可聘请合格的外部审计机构定期对数据中心进行审计。 （√）

14、业务服务时段是指银行业金融机构重要信息系统所承载业务对客户提供服务的时间. （√）

15、特别重大突发事件(Ⅰ级）指：(1)银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失、影响金融稳定的，或对公众利益造成特别严重损害的突

发事件；(2)由于重要信息系统服务异常,在业务服务时段导致银行业金融机构两个（含）以上省(自治区、直辖市）业务无法正常开展达3个小时(含)以上，或一个省（自治区、直辖市)业务无法正常开展达6个小时(含）以上的突发事件；（3)业务服务时段以外，重要信息系统出现的故障或事件救治未果,可能产生上述1至2类的突发事件。 （√）

16、重大突发事件(Ⅱ级)指：(1）银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的突发事件；(2）由于重要信息系统服务异常，在业务服务时段导致银行金融机构两个（含）以上省（自治区、直辖市）业务无法正常开展达半个小时（含）以上，或一个省（自治区、直辖市）业务无法正常开展达3个小时(含）以上的突发事件;（3）业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1至2类的突发事件。 （√）

17、较大突发事件（Ⅲ级）指:（1）银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的突发事件；（2）由于重要信息系统服务异常，在业务服务时段导致一个省（自治区、直辖市）业务无法正常开展达半个小时（含）以上的突发事件;(3）业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1至2类的突发事件。 (√） 18、在突发事件处置的人员保障方面应确保主、备岗机制的落实和确保主、备岗人员定期进行互换，避免一人兼过多的岗位. （√)

19、银行业金融机构应统一组织协调重要信息系统投产及变更工作，制定投产及变更规则,编制实施计划和方案，确定实施策略和步骤，明确岗位职责，确保关键岗位职责分离。 （×）

20、重要信息系统投产及变更如失败需要重新安排的,银行业金融机构不必再次向中国银监会或其派出机构报告. （×）

21、银行业金融机构接受外部审计、外部检查时,如外部人员需对核心业务系统和客户信息直接访问，应按计划内事件类别向监管部门报备。 （√）

22、原则上外来设备可以接入银行内部网络,如有业务需要，需申请审批通过后方可使用. （×)

23、开发用机未经批准，严禁转移到行内业务网络、或将业务电脑转移到开发内网使用 （√） 24、离开电脑可以不锁屏 （×）

25、未经许可可以开启和使用远程访问端口（telnet、FTP等）。 （×） 26、业务连续性管理保障部门（包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门）。 （×） 27、应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门人员组成，负责运营中断事件处置应急指挥和组织协调,督导应急处置实施. （×)

28、生产中心与灾备中心的场所应保持合理距离，避免同时遭受同类风险；应选址于电力供给可靠，交通、通信便捷地区；远离水灾和火灾隐患区域；远离易燃、易爆场所等危险区域；远离强振源和强噪

声源，避开强电磁场干扰；避免选址于地震、地质灾害高发区域。 （√） 29、生产中心与灾备中心应具备机房环境监控系统，对基础设施设备、机房环境状况、安防系统状况进行7x24小时实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。 (√)

30、银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认，并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。（√)