安全合规面试题目

安全合规主要保障业务开展过程中符合国家法律、法规。往往分为业务合规与技术合规，主要工作包括取得并维护各类安全认证（SOC2、ISO、等级保护等），以及检查不合规并推进整改，以及协作各方完成监管相关检查落地。

法律法规与认知

• ★★☆☆☆ 国内外有哪些主要的网络安全相关法律法规？

  提示：国内（网络安全法、数据安全法、个人信息保护法、等保 2.0）；国际（GDPR、CCPA、SOC2、ISO 27001）。

• ★★☆☆☆ 金融行业和传统互联网行业合规有哪些差异？

  提示：金融受央行、证监会、银保监等多头监管，合规要求更严格；互联网主要对标网安法、数安法。

• ★★☆☆☆ 对于内控、合规、审计的理解？三者的关系是什么？

  提示：内控是机制建设，合规是对标要求，审计是验证落地有效性。考察对岗位要求和公司环境的理解是否匹配，判断视角是否全面。

• ★★☆☆☆ 传统行业和互联网行业的安全建设区别及各自的优劣势？

  提示：传统行业合规驱动，互联网业务驱动；传统行业流程规范但创新慢，互联网灵活但合规意识弱。

• ★★☆☆☆ 信息安全等级保护制度的核心是什么？等保 2.0 相较 1.0 有哪些变化？

  提示：等级保护从被动合规走向主动防御；2.0 增加了云计算、移动互联、物联网等扩展要求。

合规落地

• ★★★☆☆ 如何通过技术手段实现对异常操作的自动化监控？

  提示：行为基线建模、规则策略（异常时间/地点/操作量）、UEBA、日志集中审计。

• ★★★☆☆ 如何对一个应用进行安全评估？

  提示：威胁建模、代码审计、渗透测试、配置检查、第三方组件扫描，覆盖上线前全链路。

• ★★★☆☆ 如何对一个应用进行安全审计？

  提示：操作日志完整性、权限配置合规性、数据访问审计、接口调用记录。

• ★★★☆☆ 如何理解权限分离和最小权限原则？落地时有哪些难点？

  提示：职责分离避免单点权力过大，最小权限减少攻击面；落地难点在于历史存量权限和例外审批管理。

• ★★★☆☆ 转岗、离职等复杂流程中，安全视角需要关注哪些细节？

  提示：账号权限及时注销、数据资产归还、保密协议签署、敏感系统访问记录归档。

• ★★★★☆ 如何平衡监管合规和业务发展的关系？

  提示：合规是底线而不是天花板；找到监管的核心意图，在满足实质要求的前提下给业务留足空间，避免把合规做成形式主义。