2.1 对信息和资产进行识别和分类

2.2. 建立信息和资产处理要求

2.3. 安全地提供资源

2.4管理数据生命周期

2.5. 确保适当的资产保留

2.6. 确定数据安全控制和合规要求

1.Angel日是一家银行的信息安全架构师，她被指派确保交易在网络传输过程中是安全的。她建议所有交易都使用 TLS。她最有可能试图阻止什么威胁，井且最有可能使用什么方法来防止这种威胁？ A. 中间人攻击，VPN B. 数据包注入，加密 C.嗅探，加密 D．嗅探，TEMPEST

2.信息和相关技术控制目标（COBIT） 是一种用于信息技术（T) 管理和治理的框架。哪种数据管理角色最有可能选择并应用 COBIT 来平衡安全控制需求和业务需求？ A. 业务所有者(Business owners) B. 数据处理人员(Data processors) C. 数据所有者(Data owners) D. 数据监管人员(Data stewards)

3. Nadia 的公司正在运营一个混合云环境，其中一些系统位于现场，另一些系统位于云上。她在现场有令人满意的监控，但需要将安全策略应用于用户参与的所有活动，并报告她日益增多的云服务的异常情况。最适合实现这一目的的工具类型是什么？ A. 下一代防火墙 (NGFW) B. 云访问安全代理 (CASB) C.人侵检测系统 (1DS) D. 安全自动化与响应平台 (SOAR)

4. 当媒体基于其所包含的数据的分类进行标记时，通常应用于标签的规则是什么？ A. 数据基于其完整性要求进行标记。 B. 媒体基于其所包含的数据的最高分类级别进行标记。 C. 媒体标记包含的所有数据的分类级别。 D.媒体标记包含的数据的最低分类级别。

5.以下哪一个行政流程有助于组织为敏感信息分配适当级别的安全控制？ A. 数据分类(Data classification) B. 残留数据(Remanence) C. 数据传输(Transmitting data) D.清除(Clearing)

6. 数据保留政策如何帮助减少责任？ A. 确保不需要保留无用数据 B.确保犯罪证据数据被销毁 C.确保数据被安全擦除，以防止在法律发现中被恢复 D.减少法律要求的数据存储成本

7. 被委派负贵日常任务的信息技术（IT)部门的员工扮演者什么数据角色？ A. 业务所有者 B. 用户 C. 数据处理人员 D. 保管人员

8. Helen 的公司使用如下图所示的简单数据生命周期。在他们的数据生命周期中，哪个阶段应该首先出现？ A. 数据策略创建 B.数据标记 C.数据收集 D.数据分析

9.Ben 被指派为他所在组织的信息分类系统覆盖的系统确定安全控制措施。Ben 为什么选择使用安全基线？ A. 它适用于所有情况，可以提供一致的安全控制。 B. 它们获得了行业标准机构的批准，可以防止责任。 C.它们提供了一个良好的起点，可以根据组织需求进行调整。 D.它们确保系统始终处于安全状态。

10.Megan 希望准备媒体以便在相同敏感级别的环境中重新使用。下面哪个选项最适合满足她的需求？ A. 清除(Clearing) B. 抹除(Erasing) C. 清除数据(Purging) D．数据消除(Sanitization)

11.Mikayla 想要识别环境中已存在的应该分类的数据。哪种类型的工具最适合用于识别社会安全号码、信用卡号码和类似的常见数据格式？ A. 手动搜索 B. 敏感数据扫描工具 C.资产元数据搜索工具 D.数据丢失预防系统 DLP

12 硬盘上的备用扇区和坏扇区以及现代固态硬盘上的过度配置空间都存在一个共同问题是什么？ A. 它们可以用于隐藏数据。 B. 它们只能被去磁。 C. 它们是不可寻址的，导致数据残留。 D. 它们可能没有被清除，导致数据残留。

13. Naomi 知道商业数据通常根据不同的标准进行分类，而不是政府数据。下面哪个选项不是商业数据分类的常见标准？ A. 有用寿命 B. 数据价值 C．对国家安全的影响 D.法规或法律要求

对于问题 14-16， 请参考以下场景： 您的组织定期处理三种类型的数据：与客户共享的信息、用于内部业务的信息以及为组织提供重要竞争优势的商业秘密信息。与客户共享的信息在 Web 服务器上使用和存储，而内部业务数据和商业秘密信息都存储在内部文件服务器和员工工作站上。 14. 最能描述驻留在系统内存中的数据的术语是什么？ A. 静止数据 B.缓冲数据 C.使用中的数据 D.运动中的数据 15. 如果您的商业秘密信息泄露或被盗，并旦您需要对其进行标记以进行识别，您可以使用哪种技术？ A. 分类 B. 对称加密 C.水印 D.元数据 16. 哪种类型的加密最适合用于专有数据的文件服务器，并且在数据传输时如 可保护数据？ A. 静止状态下使用TLS，运动状态下使用 AES B. 静止状态下使用 AES，运动状态下使用 TLS C静止状态下使用 VPN，运动状态下使用 TLS D.静止状态下使用 DES，运动状态下使用 AES

17. 标记数据允许DLP 系统做什么？ A.DLP 系统可以检测标记，并根据规则应用适当的保护措施。 B.DLP 系统可以根据分类方案的变化调整标记。 C.DLP 系统可以修改标记以允许请求的操作。 D.DLP 系统可以删除未标记的数据。

18. 为何购买高质量的介质来存储敏感数据具有成本效益？ A.昂贵的介质较不容易出现故障。 B.数据的价值通常远远超过介质的成本。 C.昂贵的介质更容易加密。 D.更昂贵的介质通常提高数据完整性。

19. Chris 负责公司的工作站，并且知道其中一些工作站用于处理专有信息和高度敏感的商业机密。对于他负责的工作站，以下选项最能描述其生命周期结束 (EOL）时应该发生的事情？ A. 擦除(Erasing) B. 清除(Clearing) C. 消毒(Sanitization) D.销毁(Destruction)

20.Fred 想要使用常见标签对组织的数据进行分类：私有、敏感、公共和专有。根据常见行业惯例，他应该将以下选项应用于最高分类级别的数据？ A. 私有 B.敏感 C. 公共 D.专有

21. 哪种情景描述了数据静止状态？ A. IPsec 隧道中的数据 B. 电子商务交易中的数据 C. 存储在硬盘上的数据 D.存储在RAM 中的数据

22 如果您要为处理信用卡的 Windows 10 系统选择一个安全标准，哪个安全标准是最佳选择？ A. Microsoft 的 Windows 10 安全基线 B.CIS 的Windows 10 基线 C. PCI DSS D. NSA 的 Windows 10 安全主机基线

23CIS 基准是以下哪种实践的例子？ A. 进行风险评估 B. 实施数据标记 C.正确的系统所有权 D.使用安全基线

24. 将CIS道准调整为行合组织的任务和特定的IT系统，需要进行哪两个过程？ A. 范围确定和选择 B. 范围确定和定制 C.基线确定和定制 D.定制和选择

P158 基线的过程：1.对比定制和范围界定 2.选择标准

25. 您应该如何确定将基线中的哪些控制措施应用于特定的系统或软件包？ A. 咨询数据的保管人。 B. 根据所存储或处理的数据的数据分类进行选择。 C.将相同的控制措施应用于所有系统。 D.咨询支持系统或数据的业务所有者。

26.Henry 所在的公司在欧盟运营，，并收集有关客户的数据。他们将这些数据发送给第三方进行分析，并提供报告以帮助公司做出更好的业务决策。最适合描述第三方分析公司的术语是什么？ A. 数据控制器(data controller) B. 数据所有者(data owner) C. 数据主体(data subject) D.数据处理器(data processor)

27 selah被雇佣的国防承包商最近关用了一个重大的研究项目，并计划蛋新利用该项目使用的价值数十万美元的系统和数据存储磁带用于其他目的。当 selah 串查公司的内都流程时，她发现自己无法重新使用磁带，并且手册上写著应该销毀它们。Selah 为什么不能通过退磁然后重新使用磁带来为雇主节省资 A. 数据的持久性可能是一个问题。 B.数据残留是一个问题。 C.磁带可能受到位腐败的影响。 口.通过退磁无法擦除磁带上的数据。

28. 用于区分或追踪个人身份的信息被称为什么类型的信息？ A. 个人可识别信息 (PI) B.个人健康信息 (PHI) C. 社会安全号码 (SSN) 口.安全身份信息 （Si1)

29.在数据静态快态下，以下哪种信息安全风险对组织的声誉影响最大？ A. 不正确的分类 B. 数据泄露 C.解密 D.故意的内部威胁

30. 像微软的 Bitlocker 这样的全盘加密技术用于保护处于什么状态的数据？ A. 数据传输中的数据 B. 静态状态下的数据 C.未标记的数据 D.已标记的数据

31Katie 所在的公司为员工提供用于员工使用的手机，每两年更换新手机。当手机本身仍可使用并接收操作系统更新时，哪种情況最能描述这种做法？ A. 终止生命周期 (EOL) B. 计划性陈旧 C.终止支持 (EOS) D.设备风险管理

32. 数据分类的主要目的是什么？ A. 定量化数据泄露的成本。 B.优先考虑IT支出。 C.符合数据泄露通知法律的要求。 D.确定数据对组织的价值。

33.Fred 应该对将来自他的 Top Secret 项目的系统重新用于 Secret 项目的重用提出以下哪种关注？ A. Top Secret 数据可能与 Secret 数据混合在一起，导致需要重新标记系统。 B. 消毒过程的成本可能超过购买新设备的成本。 C.数据可能在消毒过程中暴露出来。 口. 由于数据标签的不同，组织的DLP 系统可能会标记新系統。

34. 在对数招进行分类时，以下哪种关注不应该成为決策的一部分？ A. 对数据进行分类的成本 B. 数据的敏感性 C. 数据曝露可能造成的损害程度 D. 数据对组织的价值

35 以下哪种方法是从媒体中删除數据效果最低的？ A. 退磁(Degaussing) B. 清除(Purging) C 擦除 D 清除

请参考以下情景回答 36-38 题： 我在超需間產的愛近保地 食然奇的內部政很使用以下要求保护HIPAA数据在 静态和传输中的安全性。 36.适用于传输中的 HIPAA 文档的加密技术是什么？ A. BitLocker B. DES C. TLS D. SSL 37.Amanda 的雇主要求她对带有内部患者标识符的患者×射线数据进行分类，但没有直接识别患者的任何方式。公司的数据所有者认为数据的曝光可能会对组织造成损害（但不是特别严重的损害）。Amanda 应该如何对数据进行分类？ A.公开 B. 敏感 C.私密 D.机密 38. Amanda 的雇主可以实施哪种技术来防止机密数据被通过电子邮什发送到组 织外部？ A.DLP（数据丢失防止） B.IDS（入侵检测系统） C. 防火墙 D. UDP

39. Jacob 的组织适用美国政府的数据分类系统，包括最敏呢、机密、秘密和非机密等级（以最敏感到最不敏感）。Jacob遇到一个包合秘密、机密和最高机 -数据的系统。应该如何对其进行分类？ A. 最高机密 B. 机密 C. 秘密 D. 混合分类

40. Elle 正在规划组织的资产保留工作，并希望确定公司何时格停止使用资产。 以下哪个事件通常是制造商或软件提供商生命周期的最后一个事件？ A. 生命周期结束 B. 支持结束 C. 销售结束 D.一般可用性

41.Amanda 被要求确保她所在组织的控制评估程序与公司使用的特定系统相匹配。以下哪个活动最符合这个任务？ A. 资产管理 B. 合规性 C.定义范围 D.定制

42. Chris 负责他所在组织的安全标准， •并指导选择和实施了一种适用于组织中 的Windows个人电脑的安全基线。Chris 如何能够最有效地确保他负责的工作 站符合合规要求，并且设置已经按需应用？ A. 分配用户进行基线合规性抽查。 B. 使用微软的组策略 (Group Policy)。 C. 创建启动脚本，在系统启动时应用策路。 D. 定期与数据所有者和系统所有者一起审查基线。

43. Frank 正在审查公司的数据生命周期，并希望在数据收集阶段设立适当的控制措施。以下哪个确保数据主体同意对其数据的处理？ A. 保留 B. 同意 C.认证 D.残留

44. 作为数据库管理员，Amy 在她所在组织的根据角色中包括数据策略和标准的技术实施，以及管理数据存储结构。以下哪个数据角色最行合 Amy的工作？ A.数据保管员 B. 数据所有者 C.数据处理者 D 数据使用者

45 jim所在的公司在过去一年遭受了重大数据泄漏， 现在希望确保知道数据的位置，并且如果数据正在传输、正在复制到一个存储设备，或者位于不应该改存在的网络文件共享中，能够得知这些情况。。以下哪种解决方案报适合对文件的伶输进行标记、监控和限制？ A. 数宇版权管理 (DRM) B. 数据丢失防止 (DLP) C.网络入侵防御系统 (network IPs) D.杀毒软件 (Antivirus)

46. 在备份磁带被盗或丢失的情况下，以下哪项安全措施可以提供额外的安全 控制？ A. 保留多份磁带的副本。 B. 将磁带介质替换为硬盘。 C.使用适当的安全标签。 D.使用 AES-256 加密。

47.J0e 在一家大型制药研发公司工作，负责撰写组织的数据保留政策。作为法律要求的一部分，该组织必须遵守美国食品药品管理局的 《联邦法规第 21章》。为了满足要求，组织必须保留具有电子签名的记录。为什么签名是保留要求的一部分？ A. 它确保有人已经审查了数据。 B.它提供保密性。 C.它确保数据己被更改。 D.它验证了谁批准了数据。

48.Susan 希望根据保留规则来管理她的数据生命周期。她可以使用什么技术来确保已经达到生命周期未端的数据可以根据组织的处理流程进行识别和处置？ A. 轮换 B.数宇版权管理 (DRM) C.数据丢失防止 (DLP) D.标记

49, Ben 被要求清理数据，以删除组织不再需要的数据。Ben 最有可能处于数据生命周期的哪个阶段？ A. 数据保留(Data retention) B. 数据维护(Data maintenance) C. 数据残留(Data remanence) D.数据收集(Data collection)

50 sove对于离职员工通常掌握的专有信息感到担忧，哪项措施对抵御这种威肋最有效？ A. 消毒(Sanitization ) B. 非揭露协议 (NDAs) C.清除(Clearing) D. 加密(Encry ption)

51. Alex在一家受美国联邦政府数据安全要求约束的政府机构工作。为了满足这些要求，Alex 被指派确保数据在创建时可根据其分类级别进行识别。他应该对数据进行什么操作？ A. 对数据进行分类。 B.对数据进行加密。 C对数据进行标记。 D.对数据应用数字版权管理 (DRM)。

52.Ben 正在遵價国家标准与技术研究所 （NIST）的特别出版物 800-88《消毒与处置指南》，该指南如下所示。他正在处理他的组织将其分类为敏感的信息，这是 NIST 模型中的中等安全分类。如果媒体将作为闲置出售，Ben 需要遵循哪个流程？ Security Categorization Clea Purgi Categorizatior Source: NIST SP 800-88. A. 销毁、验证、记录 B. 清除、清除、记录 C. 清除、记录、验证 D 清除、验证、记录

53. 通常用于保护数据在传输过程中的方法是什么？ A. Telnet. ISDN. UDP B. BitLocker, FileVault C. AES. Serpent. IDEA D. TLS. VPN, IPsec

54.以下哪个数据角色对数据承担最终组织责任？ A. 系统所有者 B. 业务所有者 C.数据所有者 D. 任务所有者

55. Shandra 想要保护一个加密密钥。如果该密钥在该位置保管和使用，哪个位 置最难以保护？ A. 本地网络上 B.硬盘上 C.内存中 D.公共网络上

对于问题 56 至 58， 请参考以下情景： Chris 最近被一家新组织聘用。Chris 所属的组织使用以下分类过程： 1. 设定数据分类的标准。 2，为每种类型的数据确定数据所有者。 3. 对数据进行分类。 4. 为每种分类选择所需的控制措施。 5.为组织选择基线安全标准。 6. 确定和调整控制措施的范围。 7. 应用和执行控制措施。 8. 授子和管理访问权限。 56. 如果 Chris 是该组织的数据所有者之一，他最有可能负责这个过程中的需些 步骤？ A. 他负责步骤 3、4和5。 B. 他负费步聚 1、2和3。 C. 他负责步骤5、6和7。 D. 所有步骤都是他直接负责的。 57.Chris 管理一个系统管理员团队。如果他们执行分类过程中的步骤6、7和8，他们在履行哪个数据角色？ A 他们是系统所有和管理员。 B.他们是管理员和保管人。 C.他们是数据所有者和管理员。 D 他们是保管人和用户 58 如果 Chris 的公司在欧盟运营，并被合同委托处理第三方的数据，那么在使用该过程对数据进行分类和处理时，他的公司粉演的角色是什么？ A. 业务所有者(Business owners) B. 任务所有者(Mission owners) C. 数据处理者(Data processors) D.数据管理员(Data administrators)

关于第59-62 题，请参考以下情景： 克里斯被安排负责他的组织的1服务管理工作，这项工作的一部分包括创建有形和无形资产的清单。作为一名安全专家，你被要求就以下每个主题向克里斯提供安全相关的指导。你的目标是向克里斯提供每个选项中的最佳答案，要知道在某些情况下，不止一个答案可以接受。 59.Chris 需要识别网络上所有活动的系统和设备。以下哪种技术将为他提供最完整的连接设备列表？ A. 查询 Active Directory 以获取所有计算机对象的列表。 B. 对网络上的所有系统进行端口扫描。 C.要求所有员工填写一份列出其所有系统和设备的表格。 D.使用网络日志识别所有连接的设备，并从那里跟踪它们。 60. Chris 知道他的清单只在完成时是准确的。他如何最好地确保它保持更新？ A.对网络连接设备进行一次性查询，并根据所发现的内容更新列表。 B. 确保采购和获取流程在部署之前将新设备添加到清单中。 C.要求每个员工每季度提供其负责的设备的更新清单。 D.每年手动验证每个组织位置中的每个设备。 61.Chris 知道他的组织不仅拥有物理资产，实际上，他的组织的业务还涉及重要的知识产权资产，包括设计和配方。Chais还需經跟感型语處说选灣，。他如何最有效地确保可以根据其分类或类型识别和管理整个组织中的数据？ A跟踪常见数据类型的文件扩展名。 B. 确保根据数据类型和使用该数据的组进行特定网络共享位置的数据收集。 C. 使用基于数据类型或安全级别的元数据标记。 D.根据文件扩展名自动标记数据。 62 Chris 被指派识别无形资产，但需要向他的团队提供他们将清点的资产列表。以下哪项不是无形资产的例子？ A. 专利 B.数据库 C.配方 D.员工

63. 在数据隐私法律和法规下，以下哪项不是对数据收集的常见要求？ A. 只收集所需的数据。 B.数据应合法地和通过公平的方法获得。 C. 只能在获得被收集数据的个人的同意下收集数据。 D.数据应平等地从所有个人收集。

64. Suson 所在的组织特所有可移动介质标记为包含数据的分类级别，包括公共数据。为什么 Susan 的雇主标记所有介质而不仅标记可能造成损害的数据介质？ A. 订购所有预标记介质成本更低。 B.防止敏感介质被错误地标记。 C.防止将公共介质再次用于敏感数据。 D.标记所有介质是 HIPAA 的要求。

65. 存储在 RAM 中的数据最适合描述为哪种类型的数据？ A. 静止数据 B. 正在使用的数据 C. 在传输中的数据 D.大规模数据

66. NIST SP 800-88 样本清除认证证书 （如下所示）的验证部分旨在帮助预防哪 个问题？ A.销毁 B. 重复使用 C.数据残留 D.归属问题

67. 为什么很少选择解密作为介质再利用的选项？ A. 清除对于敏感数据已足够。 B. 擦除是首选的数据删除方法。 C.它比新媒体更昂贵，可能仍然存在问题。 D. 首先需要进行清除。

68. 焚化、粉碎、撕碎和破碎都描述了介质生命周期中的哪个阶段？ A. 清除(Sanitization ) B. 磁化消磁(Degaussing ) C. 擦除(Purging) D，销毀(Destruction)

69. 如何描述处方和X射线等信息？ A. PHI B 专有数据 C PID D PII

70. 为什么组织会在处理不同分类级别数据的工作站上使用独特的屏籍背景或设计？ A. 表示正在使用的软件版本 B. 推广公司信息 C. 促进可用性 D. 表示数据或系统的分类级别

71.为了将用于存储私密数据的介质降级，Charles 被要求遵循什么流程？ A. 消磁驱动器，然后将其重新贴上较低的分类级别标签。 B. 粉碎驱动器，然后根据其包含的数据重新分类。 C.遵循组织的清除流程，然后降级和更换标签。 口.更改介质的标签，然后按照组织的清除流程确保介质与标签匹配。

72.根据 NIST SP 800-18，以下哪项任务不是系统所有者执行的任务？ A. 制定系统安全计划 B. 建立适当使用和保护数据的规则 C.确定并实施安全控制 D.确保系统用户接受适当的安全培训

73.NIST SP 800-60提供了以下图表所示的用于评估信息系统的过程。该图表展示的是哪个过程？ A. 选择标准并实施 B. 分类和选择控制 C.基线和选择控制 D.分类和清除

以下图來通系了二不典型的工作站和服务路以及它们之间以及与互联网的造接。有关问题74-76，请参考此圈表。 Server User workstation 74. 在这个图表中，哪些位置可能包含静止数据？ A.A、 B和C B.C和E C.A和E D.B、D和F 75. 如何最好地保护点B、D和F上的数据？ A. AES-256 B. SSL C.TLS D. 3DES 76. 如何最好地保护从工作站 A 通过互联网服务（C）发送到远程服务器E的文件？ A. 在点A 使用静止的 AES，并通过B和口在传输中使用 TLS。 B.加密数据文件并发送。 C.使用3DES 和TLS提供双重安全性。 D.在A和E点使用全盘加密，并在B和口点使用 SSL。

77. Susen 需要为电子邮件提供一套最低安全要求。她应该建议组织采取哪些步骤来确保电子邮件保持安全？ A. 所有电子邮件应该加密。 8.所有电子邮件应该加密并标记。 C.敏感电子邮件应该加密并标记。 D.只有高度敏感的电子邮件应该加密。

78.数据保留政策如何降低风险责任？ A.通过减少使用的存储量 B. 通过限制数据分类的数量 C.通过滅少可能需要提供给诉讼的数据量 D. 通过减少违规的法律处罚

79 一个用于处理数据的系然扮演着哪种数据角色？ A. 任务所有者 B. 数据所有者 C.数据处理器 D.数据保管员

80.以下哪一项在美国联邦政府的法规中不被视为个人身份信息(PI)？ A. 姓名 B. 社会保障号码 C.学生身份证号码 D.邮政编码

81. 健康保险便携与责任法案 (HIPAA）要求保护哪种类型的健康信息？ A. 个人身份信息 (P1) B. 受保护的健康信息 (PHI) C. 特殊健康信息(SHI) D.高度保护的健康信息 (HPHD)

82. lan 建立的系统将数据库字段中的数据替换为保持相同的随机宇符字符串。 他使用了哪种技术？ A. 数据脱敏 B. 令牌化 C. 匿名化 D.DES 加密

83,Juanita 的公司处理信用卡，并希望选择适当的数据安全标准。她最有可能 霧要使用和遵守哪个数据安全标准？ A. CC-Comply B. PCI-DSS C. GLBA D. GDPR

84对于清除固态硬盘（SSD），最佳的消毒方法是什么？ A. 清除 (Clearing) B. 零填充 (Zero fill) C. 粉碎 (Disintegration) D.磁化消除 (Degaussing)

对于问题 85至 87，请参考以下情景： 如下所示的安全生命周期图（基于 NIST 参考架构），NIST 在风险管理中使用了一个由五个步骤组成的过程。根据您对数据角色和实践的了解，回答以下基于 NIST 框架过程的问题。 85- 谁特拥者第工步-信想系统的分类的责任，他们将委托给谁执行给2 步：哪个数据角色特负责第3步？ A 数据所有者、系统所有者、数据保管者日 数据处理者、数据保管者、用户、 •.业务所有者、管理员、数据保管者口.系统所有者、业务所有者、管理员 86 如果正在评估的系统都处理信用卡信息 （而不涉及其他敏感数据），PCIDSS 在哪一步聚中首次发挥重要作用？ A. 第1步 B. 第2步 C 第3步 D.第4步 87.哪个数据安全角色主要负责第5步？ A. 数据所有者 B. 数据处理者 C.数据保管者 D用户

88. Susan 的组织在将硬盘送往第三方机构进行粉碎前，会对硬盘擦除。她的组织试图避免什么问题？ A.数据保留超过策略中定义的时间 B. 第三方对驱动器的处理不当 C.分类错误 D.数据的永久性

89. Mike 希望在组织内设备和设备被移动时追踪硬件资产。哪种类型的系统可以在无需员工逐个检查条形码或序列号的情况下实现这一目标？ A. 视觉库存 B.WiFi MAC 地址跟踪 C.RFID 标签 D.隐写术

90. 根据需要保留和维护信息直至不再需要的做法被称为什么？ A. 数据存储策略 B. 数据存储 C. 资产维护 D. 记录保留

91. 以下哪项活动在数据分类过程中不需要考虑？ A. 谁可以访问数据 B. 如果数据丢失或遭到泄露，会产生什么影响 C. 数据的创建成本 D.数据可能需要的保护法规

92. 数据静态存储通常使用哪种类型的加密？ A. 非对称加密 B. 对称加密 C. DES D. OTP

93. 哪种数据角色负责应用适当的访问权限给员工？ A. 数据处理者 B. 业务所有者 C.数据保管者 D. 管理员

94. 资产安全的哪个元素通常通过确定资产的所有者来确定？ A 它确定负责保护资产的个人或团队 B. 在发生盗窃时提供执法机构的联系方式。 C.它有助于确定资产的价值。 D.它決定资产的安全分类。

95.Fred 准备將备份磁带送往一个安全的第三方存储设施。在將磁带送往该设施之前，Fred 应采取环些步骤？ A 确保根据磁带的分类，以与原始媒体相同的方式处理磁带。 B，提高磁带的分类级别，因为它们离开了公司的控制。 C.清除磁带，以确保不会丢失机密数据。 D. 解密磁带，以防止在传输过程中丢失。

96. 以下哪项不描述数据在传输过程中的状态？ A.发往存储设施的备份磁带上的数据 B.TCP 数据包中的数据 C.电子商务交易中的数据 D.在不同位置之间复制的文件中的数据

97. 新通过了一项法律，如果该法律所涵盖的数据被窃取或无意问泄露，将对贵公司造成重大的财务损害。对此，您的组织应该采取什么措施？ A.选择一个新的安全基线。 B.对数据重新进行分类。 C.对静态和传输中的所有数据进行加密。 D．申查数据分类，并适当地对数据进行分类。

98. 在公司内部而不是作为第三方承包关系中，以下哪些数据角色通常存在？ (选择所有适用项。） A.数据所有者 B. 数据控制者 C. 数据保管者 D.数据处理者

99. 对于包含在企业网站上的数据，哪种商业数据分类最合适？ A. 私有 B. 敏感 C.公共 D. 专有

100. 将下列编号的数据元素与宇母类别相匹配。您可以使用类别一次、多次或不使用。如果一个数据元素符合多个类别，请选择最具体的类别。 数据元素 1.医疗记录 2. 商业机密 3. 社会安全号码 4. 驾驶执照号码 类别 A. 专有数据 B. 受保护的健康信息 C.可以识别的个人信息

数据角色需要重点掌握，角色的责任和涉及的工作容易混淆

数据状态

数据分类

数据销毁方法

安全基线

多做题