银行业信息安全培训试题.docx

《银行业信息安全培训试题.docx》由会员分享，可在线阅读，更多相关《银行业信息安全培训试题.docx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、银行业信息安全培训试题 信息平安培训试题 一、单选 1、信息科技风险指在商业银行运用过程中，由于自然因素、（B）、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不行抗力 2、信息科技风险管理的第一责任人是（A）。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部限制等方面的应用，并包括进行（A），建立完整的管理组织架构，制订完善的管理制度和流程。 A 信息科技治理 B 信息平安管理 C系统持续性管理 D 突发事务管理 4、全部科技

2、风险事务都可以归于信息系统连续性或（D）出问题的事务。 A 保密性 B 完整性 C 可用性 D 平安性 5、设立或指派一个特定部门负责信息科技（D）管理工作，该部门为信息科技突发事务应急响应小组的成员之一。 A 平安 B 审计 C 合规 D 风险 6、内部审计部门设立特地的信息科技风险审计岗位，负责（A）进行审计。 A 信息科技审计制度和流程的实施，制订和执行信息科技审计安排，对信息科技整个生命周期和重大事务等 B制订和执行信息科技审计安排，对信息科技整个生命周期和重大事务等 C 信息科技审计制度和流程的实施，对信息科技整个生命周期和重大事务等 D 信息科技审计制度和流程的实施，制订和执行信息

3、科技审计安排等 7、信息科技风险管理策略，包括但不限于下述领域（C）。 A信息分级与爱护；信息系统开发、测试和维护；信息科技运行和维护；访问限制；物理平安；人员平安 B信息分级与爱护；信息系统开发、测试和维护；访问限制；物理平安；人员平安；业务连续性安排与应急处置 C信息分级与爱护；信息系统开发、测试和维护；信息科技运行和维护；访问限制；物理平安；人员平安；业务连续性安排与应急处置 D 信息分级与爱护；信息科技运行和维护；访问限制；物理平安；人员平安；业务连续性安排与应急处置 8、依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。定义每个业务级别的限制内容，包括最高权限用户的审查

4、、限制对数据和系统的物理和逻辑访问、访问授权（C）为原则、审批和授权、验证和调整。 A以 “最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的（D）等，定期进行更新和公示 A信息科技风险管理制度 B 技术标准 C 操作规程 D 信息科技风险管理制度、技术标准和操作规程 10、制定每种类型操作系统的基本平安要求，确保全部系统满意基本平安要求；明确定义包括（A）等不同用户组的访问权限。 A 终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员 B 终端用户、计算机操作人员、系统管理员和用户管理员 C系统开发人员、系统

5、测试人员、计算机操作人员、系统管理员和用户管理员 D 终端用户、系统开发人员、系统测试人员、计算机操作人员 11、商业银行应保证（C）中包含足够的内容，以便完成有效的内部限制、解决系统故障和满意审计须要。 A 交易日志 B 系统日志 C 交易日志和系统日志 D 监控日志 12、对信息系统的（C）管理制定制度和流程。 A立项 B 投产 C全生命周期 D 终止 13、制定信息系统变更的制度和流程，确保系统的牢靠性、完整性和可维护性。应包括以下要求: （C） A生产系统与开发系统、测试系统有效隔离。 B生产系统与开发系统、测试系统的管理职能相分别。 C生产系统与开发系统、测试系统有效隔离，生产系统与

6、开发系统、测试系统的管理职能相分别。 D生产系统与开发系统、测试系统有限隔离。 14、除得到管理层批准执行紧急修复任务外，禁止（C）进入生产系统，且全部的紧急修复活动都应马上进行记录和审核。 A 应用程序开发 B 维护人员 C 应用程序开发和维护人员 D 全部人员 15、将完成开发和测试环境的程序或系统配置变更应用到生产系统时，应得到（C）的批准，并对变更进行刚好记录和定期复查。 A 信息科技部门 B 业务部门 C 信息科技部门和业务部门 D 机房管理人员 16、全部变更都应记入日志，由信息科技部门和业务部门共同审核签字，并事先进行（A），以便必要时可以复原原来的系统版本和数据文件。 A 备份

7、 B 验证 C 测试 D 制定方案 17、严格限制（C）进入平安区域，如确需进入应得到适当的批准，其活动也应受到监控。 A 业务人员 B 维护人员 C第三方人员（如服务供应商） D 开发人员 18、针对（C），尤其是从事敏感性技术相关工作的人员，应制定严格的审查程序，包括身份验证和背景调查。 A 临时聘用的技术人员和承包商 B 长期聘用的技术人员和承包商 C 长期或临时聘用的技术人员和承包商 D 来访人员 19、商业银行应实行（C）等措施降低业务中断的可能性，并通过应急支配和保险等方式降低影响。 A 系统复原 B 双机热备处理 C 系统复原和双机热备处理 D 冗余方式 20、商业银行实施重要外

8、包（如数据中心和信息科技基础设施等）应特别谨慎，在打算实施重要外包时应以书面材料正式报告（C）。 A 银监会 B 人民银行 C 银监会或其派出机构 D 董事会 21、全部信息科技外包合同应由（C）和信息科技管理委员会审核通过。 A 信息科技部门 B 审计部门 C 信息科技风险管理部门、法律部门 D 董事会 22、至少应每（C）年进行一次全面审计。 A 一 B 二 C 三 D 四 23、业务连续性管理是指商业银行为有效应对（C），建设应急响应、复原机制和管理实力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。 A 系统宕机 B 通讯中断 C 重要业务运营中断事务

9、 D 系统运行效率降低 24、商业银行业务连续性组织架构包括（C） A 日常管理组织架构 B 应急处置组织架构 C 日常管理组织架构和应急处置组织架构 D 信息科技管理组织架构 25、业务连续性管理主管部门是（B） A 办公室 B风险管理部 C 信息科技部 D 审计部 26、信息科技部门是（A）。 A业务连续性管理执行部门 B业务连续性管理保障部门 C业务连续性管理审计部门 D业务连续性管理主管部门 27、应急处置组织架构应急决策层由（A）组成，负责确定应急处置重大事宜。 A 商业银行高级管理人员 B 信息科技部门人员 C 风险管理部门人员 D 业务条线管理部门人员 28、依据业务重要程度实现

10、差异化管理，商业银行确定各业务复原优先依次和复原指标，商业银行应当至少每（C）年开展一次全面业务影响分析，并形成业务影响分析报告。 A 一 B 二 C 三 D 四 29、原则上，重要业务复原时间目标不得大于（D）小时。 A 一 B 二 C 三 D 四 30、原则上，重要业务复原点目标不得大于（D）小时 A 0.1 B 0.2 C 0.4 D 0.5 31、商业银行应当通过分析（A）的对应关系、信息系统之间的依靠关系，依据业务复原时间目标、业务复原点目标、业务应急响应时间、业务复原的验证时间，确定信息系统RTO、信息系统RPO，明确信息系统重要程度和复原优先级别，并识别信息系统复原所需的必要资源

11、。 A 业务与信息系统 B 开发测试与生产环境 C 重要系统与非重要系统 D 以上都不对 32、商业银行应当重点加强信息系统关键资源的建设，实现信息系统的（C），保障信息系统的持续运行并削减信息系统中断后的复原时间。 A 平安运行 B 顺当投产 C 高可用性 D 高牢靠性 33、商业银行应当设立统一的（A），用于应急决策、指挥与联络，指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。 A 运营中断事务指挥中心场所 B 技术标准 C 规章制度 D 组织架构 34、商业银行应当建立（D）等备用信息技术资源和备用信息系统运行场所资源，并满意银监会关于数据中心相关监管要求。 A 数据中心 B

12、 技术中心 C 研发中心 D 灾备中心 35、商业银行应当明确关键岗位的备份人员及其备份方式，并确保（C）可用，降低关键岗位人员无法刚好履职风险。 A 在岗人员 B 运维人员 C 备份人员 D 科技人员 36、商业银行应当至少每（C）年对全部重要业务开展一次业务连续性安排演练。 A 一 B 二 C 三 D 四 37、商业银行应当至少（A）对业务连续性管理体系的完整性、合理性、有效性组织一次自评估，或者托付第三方机构进行评估，并向高级管理层提交评估报告。 A 每年 B 6个月 C 两年 D 3个月 38、当运营中断事务同时满意多个级别的定级条件时，按（B）级别确定事务等级。 A 最低 B 最高

13、C 平均水平 D 其他 39、灾备中心同城模式是指灾备中心与生产中心位于（A），一般距离数十公里，可防范火灾、建筑物破坏、电力或通信系统中断等事务。 A 同一地理区域 B 不同地理区域 C 距离较远地区 D 同一地点 40、总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行，及省级农村信用联合社应设立（C）。 A 备份介质存储中心 B 同城模式灾备中心 C 异地模式灾备中心 D 其他 41、应具备机房环境监控系统，对基础设施设备、机房环境状况、安防系统状况进行（A）实时监测，监测记录保存时间应满意故障诊断、事后审计的须要。 A 7x24小时 B 5 x8小时 C 5x24小时 D 其

14、他 42、数据中心应用（B）通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。 A 一家 B 两家或多家 C 两家 D 其他 43、商业银行应（A）至少进行一次重要信息系统专项灾备切换演练，每三年至少进行一次重要信息系统全面灾备切换演练，以真实业务接管为目标，验证灾备系统有效接管生产系统及平安回切的实力。 A 每年 B 每两年 C 每半年 D 每季度 44、商业银行应充分识别、分析、评估数据中心外包风险，包括信息平安风险、服务中断风险、系统失控风险以及声誉风险、战略风险等，形成风险评估报告并报董事会和高管层审核。商业银行在实施数据中心整体服务外包以及涉及影响业务、管理和客户敏感数

15、据信息平安的外包前，应向（C）报告。 A 银监会 B 银监会派出机构 C 中国银监会或其派出机构 D 其他 45、突发事务是指银行业金融机构（A）以及为之供应支持服务的电力、通讯等系统突然发生的，影响业务持续开展，须要实行应急处置措施应对的事务。 A 重要信息系统 B 桌面计算机系统 C 内部办公系统 D 笔记本电脑系统 46、突发事务依照其影响范围及持续时间等因素分级。当突发事务同时满意多个级别的定级条件时，按（A）确定突发事务等级。 A 最高级别 B 最低级别 C 系统分类 D 其他 47、复原时间目标（RTO）指（B）复原正常的时间要求。 A 系统功能 B 业务功能 C 系统重启 D 事

16、务关闭 48、复原点目标（RPO）：业务功能复原时能够容忍的（D）。 A 业务数据丢失量 B 客户数据丢失量 C 设备损坏数量 D 数据丢失量 49、银行业金融机构应对关键信息技术资源建立（B）以及相关的日常监测与预警机制。 A 备份策略 B 监测指标体系 C场景模拟 D 风险评估机制 50、银行业金融机构应依据RTO和RPO，结合风险限制策略，从基础设施、网络、信息系统等不同方面，分类制定本机构（B）。 A 应急组织机构 B 应急预案 C 应急报告路途 D 应急保障团队 51、应急预案应包括系统复原流程和应急处置操作手册，尽可能将操作代码化、（A），降低应急处置过程中产生的操作风险； A 自

17、动化 B 可回溯 C 全面性 D 可中断 52、应急预案应明确（B），确保信息系统复原正常业务处理实力。 A 系统重启步骤 B 系统重建步骤 C 系统验证步骤 D 应急评估指标 53、实施应急演练应严格限制应急演练引起的信息系统变更风险，避开因演练导致（C）。 A 数据丢失 B 系统宕机 C 服务中断 D 网络中断 54、应急演练应选择在（D）进行。 A 法定节假日 B 停业时段 C 主要业务时段 D 非主要业务时段 55、应急演练完成后，应保证明施应急预案所需的各项资源（A）。 A 复原正常 B 复原初始状态 C 复原备份数据 D 被验证 56、对于应急预案没有覆盖的突发事务，应马上报告（A

18、）进行应急决策。 A 应急领导小组 B 应急执行小组 C 应急保障小组 D 其他 57、银行业金融机构应在重要信息系统突发事务后（C）分钟之内将突发事务相关状况上报银监会或其派出机构信息系统应急管理部门，并在事务发生后12小时内提交正式书面报告； A 15 B 30 C 60 D 120 58、对造成经济秩序混乱或重大经济损失、影响金融稳定的，或对银行、客户、公众的利益造成损害的突发事务，银行业金融机构要（C）。 A 在规定时间上报 B 马上上报 C 按规定路途报告 D 刚好处置，结束后上报 59、银行业金融机构应将应急处置重大进展状况刚好上报银监会或其派出机构，直至（C）。级突发事务发生后，

19、银行业金融机构应每2小时将应急处置进展状况上报，直至（C）。 A 应急操作完成 B 数据复原 C 应急结束 D 正常营业 60、重要信息系统（A）即为应急结束。 A 复原正常服务 B 数据复原 C 主机运行正常 D 网络复原 61、银行业金融机构应实行必要的（C），确保应急响应通讯刚好有效。 A 备份介质保存措施 B 设备备份措施 C 通讯保障措施 D 人员备份措施 62、银行业金融机构应每年开展一次对突发事务风险防范措施的（C），包括评估风险识别、分析和限制措施的有效性、应急预案的完备性、应急演练的全面性和刚好性等，检验防范措施的有效性，并刚好发觉新的风险，改进风险限制措施，进一步完善应急预

20、案，形成风险防范措施的持续改进。 A 全面评估 B 审计活动 C 全面评估和审计活动 D 全面检查 63、业务、管理部门应协作信息科技部门开展投产及变更工作，开展业务影响分析，制定业务管理方法，组织（B），保证业务资源投入。 A 联调测试 B 用户测试 C 应急演练 D 系统验收 64、审计部门应开展重要信息系统（D）审计工作，针对问题发觉提出整改看法。 A 立项 B 变更 C 投产 D 投产及变更 65、银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。根据（C），实行与风险程度相适应的重要信息系统投产及变更策略。 A 上线时间依次 B 系统重要性 C 对业务影响最小原则 D

21、 对系统影响最小原则 66、银行业金融机构应合理避开（A）支配重要信息系统上线，应提前将重要信息系统投产及变更可能对服务的影响告知客户。 A 业务高峰期和敏感时段 B 敏感时段 C 业务高峰期 D 法定节假日 67、银行业金融机构应建立充分、完整的测试体系，测试结果应经过（D）确认，并形成测试和验收报告，确保系统上线后的正常稳定运行以及系统功能与业务目标的一样性。 A 风险管理部门 B 业务部门 C 审计部门 D 信息科技部门和相关业务部门 68、银行业金融机构应建立（C）的测试环境，测试环境应模拟生产环境的真实状况。 A 运行在生产设备 B 与生产环境互通 C 与生产环境相隔离 D 与生产环

22、境不一样 69、银行业金融机构应建立完善的（B），制定严格的审批、限制和操作流程，保存完整的日志记录。 A 上线方案 B 版本管理制度 C 上线评审制度 D 版本审批流程 70、银行业金融机构应制定重要信息系统投产及变更（A），制定系统回退和应急处置安排和流程，必要时应实施演练。 A 应急预案 B 上线方案 C 绿灯测试方案 D 测试方案 71、应对重要信息系统投产及变更过程产生的各类（B）进行管理，确保（B）的完整性、刚好性和有效性，并满意独立审计要求。 A 上线方案 B 文档资料 C 管理制度 D 研发成果 72、银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。应

23、在重要信息系统投产前至少（C）个工作日、变更前至少（B）个工作日向中国银监会或其派出机构报告。 A 5 B 10 C 20 D 30 7 3、银行业金融机构应在重要信系统投产及变更实施后（A）个月内向中国银监会或其派出机构提交总结报告材料。 A 1 B 2 C 3 D 6 7 4、向银监会及其派出机构提交的投产及变更总结报告材料内容包括但不限于：（D）等 A 后续改进措施 B问题发觉和处理状况 C 投产及变更方案执行状况、效果 D投产及变更方案执行状况、效果，问题发觉和处理状况，后续改进措施 75、安排内事务（预期事务）：由上级行或本级行部署实施的可能影响信息科技服务的增加、修改或删除等变更事

24、务。包括（D）等。 A软硬件维护 B应用系统变更或升级 C基础设施变更 D 软硬件维护、应用系统变更或升级、基础设施变更 76、安排外事务（非预期事务）：因各种非预期缘由影响或可能影响业务应用、系统环境、网络通信、机器设备、机房设施的正常有效运行的事务。包括硬件故障、软件故障、（D）、内外部攻击等。 A网络故障 B操作不当 C 基础设施故障 D基础设施故障、网络故障、操作不当 7 7、安排内事务应至少提前（C）个工作日通过系统报告相关事项。 A 1 B 3 C 5 D10 7 8、安排外事务在事务发生后（A）小时内将相关状况电话报告至天津银监局信息科技监管部门，12小时内通过“报备系统”提交书

25、面报告。 A 1 B 2 C 4 D 8 7 9、要建立有效的部门间协作机制，严格变更管理，杜绝生产变更的（ C ）。 A.无序性 B.有序性 C.随意性 D.随意性 80、落实岗位责任制，杜绝混岗、（ C ）和一人多岗现象。 A.无岗 B.空岗 C.代岗 D.其他 81、要实行主动预防措施，加强日常巡检，（ B ）进行重要设备的深度可用性检查。 A.不定期 B.定期 C.每日 D.每月 82、要实施自动化管理，加强系统及网络的（ B ）审计，实现数据中心各项操作的有效稽核。 A.风险 B.平安 C.保密 D.合规 83、对重要信息的传输、存储要实行肯定强度的( D )措施，规范和强化密钥管理

26、。 A.密级 B.绝密 C.保密 D.加密 84、利用国际互联网供应金融服务的信息系统要与办公网实现（ D ） A.完全隔离 B.物理隔离 C.软件隔离 D.平安隔离 85、依据信息资产重要程度，合理定级，实施信息 ( D ) A.风险评估 B.合规审计 C.加密 D.平安等级爱护 86、要适时备份和平安保存业务数据，定期对冗余备份系统、备份介质进行深度（ A ）检查。 A.可用性 B、平安性 C、时效性 D.合理性 87、信息系统平安管理是对信息系统的（ C ）全过程实施符合平安责任要求的管理。 A.数据访问 B.建设实施 C.全生命周期 D.服务运行 88、行内严禁运用盗版软件和破解工具，

27、不能（A），严禁安装各种嬉戏软件。 A 私自安装应用软件 B 更改口令 C 更新软件 89、未经批准，严禁在银行内部架设（D）等服务器。 A FTP B DHCP C DNS D FTP，DHCP，DNS 90、任何部门和个人不得私自将包括（D）等网络设备接入到行内网络和计算机设备。 A HUB及交换机 B路由器 C无线上网卡 D HUB及交换机、路由器、无线上网卡 91、严禁卸载或关闭平安防护软件和防病毒软件，刚好更新（D）。 A 数据库 B 更改口令 C 用户 D病毒库 92、办公用机不得保存（C）。（C）运用要严格遵照生产系统数据运用的制度要求，进行申请、审批和清除。 A 用户数据 B

28、参数数据 C 客户信息数据 D业务数据 93、信息技术部担当着总行信息委办公室及本部门双重职能，是全行IT探讨与应用的主管部门，负责全行IT系统的运行维护、信息技术项目的开发和推广以及信息系统的（D）。 A 数据管理 B 信息科技风险管理 C 信息科技审计 D平安管理 94、信息平安管理要求建立有效管理（C）的流程。 A 用户认证 B 访问限制 C 用户认证和访问限制 D灾备管理 95、应急演练应做到（D）相结合，一般状况下，银行业金融机构每年至少应组织一次全系统范围内的应急演练。 A 平战结合 B 全面演练 C 专项演练 D全面演练和专项演练 96、银行业金融机构应制定并落实系统运行管理规程

29、、制度，制定、完善相关业务管理方法、操作规程，（B），组织必要的培训，确保投产及变更实施后业务顺当开展。 A明确业务管理职责 B明确业务及运行管理职责 C明确运行管理职责 D明确风险管理职责 97、突发事务判定的重要依据指由于重要信息系统服务异样，在业务服务时段导致一个省（自治区、直辖市）业务无法正常开展达（A）个小时（含）以上的突发事务。 A 0.5 B 1 C 1.5 D0.2 9 8、银行应组建应急团队，在发生信息系统突发事务时，能够做到刚好实施专项应急处置工作。应急团队应包括但不限于（D）。 A 应急领导小组 B应急执行小组 C支持保障小组 D应急领导小组、应急执行小组、支持保障小组

30、98、（B）应制订应急管理政策和基本管理制度并报董事会和高级管理层审定，统一组织、协调、指导、检查本机构信息系统突发事务应急管理。 A 信息科技部门 B风险管理部门 C内部审计部门 D信息科技管理委员会 100、商业银行应当依据业务复原策略，确定（C）。 A 灾难复原资源获得方式 B灾难复原等级 C灾难复原资源获得方式和灾难复原等级 D灾难复原流程 二、多选 1、信息科技风险管理的关键是要建立三道防线，分别是（ADC）。 A、信息科技管理、B、合规管理 C、审计监督 D、风险管理 2、商业银行应确保设立物理平安爱护区域，包括（AB）等重要信息科技设备的区域，明确相应的职责，实行必要的预防、检测

31、和复原限制措施。 A、计算机中心或数据中心 B、存储机密信息或放置网络设备 C、项目开发区域 D、设备库房 3、商业银行应依据信息平安级别，将网络划分为不同的逻辑平安域（以下简称为域）。应当对下列平安因素进行评估，并依据平安级别定义和评估结果实施有效的平安限制，如对每个域和整个网络进行物理或逻辑分区、实现（ABCDE）等。 A、网络内容过滤 B、逻辑访问限制 C、传输加密 D、网络监控 E、记录活动日志 4、商业银行应评估因意外事务导致其业务运行中断的可能性及其影响，包括评估可能由下述缘由导致的破坏：（ABC） A、内外部资源的故障或缺失（如人员、系统或其他资产） B、信息丢失或受损 C、外部

32、事务（如斗争、地震或台风等） D、其他 4、商业银行应当建立业务连续性管理的组织架构，确定重要业务及其复原目标，（）。 A、制定业务连续性安排 B、配置必要的资源 C、有效处置运营中断事务 D、开展演练和业务连续性管理的评估改进 5、商业银行业务连续性日常管理组织架构中包括（ABC） A、执行部门 B、保障部门 C、审计部门 D、其他部门 6、商业银行业务连续性应急处置理组织架构中包括（ABCD） A、应急决策层 B、应急指挥层 C、应急执行层 D、应急保障层 7、应急处置组织机构的应急指挥层由商业银行的（）负责人组成，负责运营中断事务处置应急指挥和组织协调，督导应急处置实施。 应急处置组织架

33、构 A、业务连续性管理主管部门 B、业务连续性管理执行部门 C、业务连续性管理保障部门 D、业务连续性管理科技部门 8、数据中心包括（AC） A、生产中心 B、研发中心 C、灾难备份中心 D、备份中心 9、商业银行应于取得金融许可证后两年内，设立（C）；生产中心设立后两年内，设立（D）。 A、研发中心 B、数据中心 C、生产中心 D、灾备中心 10、数据中心服务外包包括（BC） A、项目开发类 B、基础设施类 C、运营维护类 D、其他类型 11、重要信息系统主要包括（ABC）的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应

34、作为重要信息系统的一部分。 A、面对客户 B、涉及账务处理 C、时效性要求较高 D、内部办公用 12、银行业金融机构在（ABCD）等关键信息技术资源发生重大变更及业务种类和交易量发生重大改变时，应重新识别、分析、限制风险，并更新剩余风险评估和风险事务监测与预警。 A、系统上线 B、系统升级 C、网络改造 D、设备更新 13、应急预案应说明重要信息系统的业务影响范围、（BC）以及信息系统包括的系统资源，明确资源的物理位置、设备型号、软件资源、网络配置等关键信息。 A、系统功能 B、复原时间目标 C、复原点目标 D、系统运维责任人 14、应急预案应说明应急场景，至少覆盖电力故障、火情水灾、治安、病

35、毒爆发、网络攻击、人为破坏、不行抗力、（ABCD）以及其他各类与信息系统相关的故障； A、计算机硬件故障 B、操作系统故障 C、系统漏洞、D、应用系统故障 15、在技术保障方面应达到以下要求： （AB） A、建立应急事务预警平台，确保刚好发觉应急事务，并刚好通知有关人员启动应急响应 B、明确相关厂商的技术支持服务水平，确保应急处置过程中相关厂商能够供应刚好有效的技术支持 C、储备肯定数量应急设备或物资，并确保物资供应渠道畅通 D、建立应急响应专项资金预算管理与审批制度，确保应急响应过程中刚好进行应急物资选购 16、重要信息系统投产及变更主要指（ABCD） A、重要信息系统投产 B、支撑重要信息

36、系统运行的机房和网络基础设施投产。 C、影响全辖或一个（含）以上分行系统服务、重要业务中断时间3小时（含）以上的重要信息系统以及支持其运行的基础设施变更，包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。 D、其他对银行重要业务运营及重要信息系统的可用性、完整性、平安性具有较大潜在影响的投产及变更。 17、信息科技部门应建立重要信息系统（BC），担当技术管理工作，协调业务、管理部门开展重要信息系统投产及变更工作，保障信息科技资源投入。 A、检测机制 B、投产及变更管理机制 C、制度与流程 D、运行维护流程 18银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风

37、险，包括（ABCD）或其他因素可能造成的操作风险、法律风险和声誉风险，并形成风险评估报告。 A、系统功能缺陷 B、客户信息泄露 C、业务中断、D、交易缓慢 19、测试环境中运用的敏感生产数据应进行（AB）处理 A、脱敏 B、变形 C、备份、D、核对 20、历史数据迁移须要的，应制定具体的数据迁移安排，并提前进行（ACD），确保迁移后数据的完整性、平安性和可用性。 A、数据迁移测试 B、数据清洗 C、数据有效性验证 D、数据兼容性验证 21、银行业金融机构应根据属地监管原则提交报告材料，报送路途如下（AB） A、银行业金融机构法人组织实施投产及变更的，由该法人机构统一向中国银监会或其派出机构提交

38、报告材料。 B、银行业金融机构分行组织实施投产及变更的，由分行向所在地中国银监会派出机构提交报告材料。 C、银行业金融机构法人组织实施投产及变更的，由分行向所在地中国银监会派出机构提交报告材料。 D、银行业金融机构分行组织实施投产及变更的，由该法人机构统一向中国银监会或其派出机构提交报告材料。 22、因信息科技基础设施或计算机信息系统缘由引发或可能引发天津市辖内全部或部分银行业务无法正常开展的事务，应向监管部门报备,包括（BD）。 A、应急演练 B、安排内事务 C、突发事务 D、安排外事务 23、银行业金融机构应将（BC）的变更信息向监管部门报备 A、法人代表 B、信息科技风险管理“三道防线”

39、相关负责人 C、和信息科技风险报备联络人 D、信息科技委员会主任 24、符合以下哪些条件的计算机平安事务必需报告： （ ABCD ） A.计算机信息系统中断或运行不正常超过4小时 B.造成干脆经济损失超过100万元 C.严峻威逼银行资金平安 D.因计算机平安事务造成银行不能正常运营，且影响范围超过一个县级行政区域 25、灾难复原策略主要包括：（ ABCD ） A灾难复原建设安排 B.灾难复原实力等级 C.灾难复原建设模式 D.灾难备份中心布局 26、行内重点工作岗位严格限制运用包括（ABCD）等的移动存储设备。 A、移动硬盘 B、U盘 C、MP3 D、带存储卡的设备 27、不得以任何方式将银行

40、计算机系统信息（包括（ABCD）等）告知不相关的人员。 A、网络拓扑 B、IP地址 C、平安策略、D、帐号或口令 28、内部计算机的操作系统、中间件软件、数据库以及各种系统应用中，必需设置用户口令，严禁运用（ABC）。 A、空口令 B、弱口令 C、缺省口令 D、高强度口令 29、信息平安管理要求实行加密技术，防范涉密信息在（ABC）过程中出现泄露或被篡改的风险，并建立密码设备管理制度。 A、传输 B、处理 C、存储 D、转移 30、信息平安管理要求制定相关制度和流程，严格管理客户信息的采集、处理、存贮、传输、分发（ABCD）。 A、备份 B、复原 C、清理 D、销毁 三、推断 1、我行信息技术

41、部是全行信息科技管理、信息科技应用、新产品开发和平安运维的决策与协调机构。 （） 2、中国人民银行、中国银行业监督管理委员会是商业银行信息平安监督管理部门，根据属地监管原则实施监管职能。 （） 3、信息平安策略应涉及以下领域：平安制度管理、信息平安组织管理、资产管理、人员平安管理、物理与环境平安管理、通信与运营管理、访问限制管理、系统开发与维护管理、信息平安事故管理、业务连续性管理、合规性管理。 （） 4、用户对数据和系统的访问必需选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的限度。 （） 5、用户调动到新的工作岗位或离开商业银行时，应在系统中

42、刚好检查、更新或注销用户身份。 （） 6、商业银行应依据信息平安级别，将网络划分为不同的逻辑平安域。（） 7、对全部员工进行必要的培训，使其充分驾驭信息科技风险管理制度和流程，了解违反规定的后果，并对违反平安规定的行为实行零容忍政策。 （） 8、商业银行可以将其信息科技管理责任外包。 （） 9、被审计的商业银行应依据外部审计机构出具的审计报告提出整改安排，并在规定的时间内实施整改。 （） 10、重要业务复原时间目标指业务RTO （） 11、商业银行应当开展业务连续性安排演练，检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事务的综合处置实力。 （） 12、灾备中

43、心异地模式是指灾备中心与生产中心处于不同地理区域，一般距离在几十公里以上，不会同时面临同类区域性灾难风险，如地震、台风和洪水等。 （） 13、商业银行内部审计部门应至少每三年进行一次数据中心内部审计。商业银行在实行有效信息平安限制措施的前提下，可聘请合格的外部审计机构定期对数据中心进行审计。 （） 14、业务服务时段是指银行业金融机构重要信息系统所承载业务对客户供应服务的时间。 （） 15、特殊重大突发事务（级）指：（1）银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失、影响金融稳定的，或对公众利益造成特殊严峻损害的突发事务；（2）由于重要信息系

44、统服务异样，在业务服务时段导致银行业金融机构两个（含）以上省（自治区、直辖市）业务无法正常开展达3个小时（含）以上，或一个省（自治区、直辖市）业务无法正常开展达6个小时（含）以上的突发事务；（3）业务服务时段以外，重要信息系统出现的故障或事务救治未果，可能产生上述1至2类的突发事务。 （） 16、重大突发事务（级）指：（1）银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对银行或客户利益造成严峻损害的突发事务；（2）由于重要信息系统服务异样，在业务服务时段导致银行金融机构两个（含）以上省（自治区、直辖市）业务无法正常开展达半个小时（含）以上，或一个省（自治区、直辖市）业务无法正常开展达3个小时（含）以上的突发事务；（3）业务服务时段以外，出现的重要信息系统故障或事务救治未果，可能产生上述1至2类的突发事务。 （） 17、较大突发事务（级）指：（1）银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对银行或客户利益造成较大损害的突发事务；（2）由于重要信息系统服务异样，在业务服务时段导致一个省（自治区、直辖市）业务无法正常开展达半个小时（含）以