A、 可以建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B、 可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C、 可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D、 可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的ISO9001认证
答案:D
A、 可以建立起文档化的信息安全管理规范,实现有“法”可依,有章可循,有据可查
B、 可以强化员工的信息安全意识,建立良好的安全作业习惯,培育组织的信息安全企业文化
C、 可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心
D、 可以深化信息安全管理,提高安全防护效果,使组织通过国际标准化组织的ISO9001认证
答案:D
A. 如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通
B. 通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C. 通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要
D. 通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估
解析:解析:解释:SSE-CMM用于对安全建设工程的成熟度进行评估。CC是信息技术产品或系统的规划、设计、研发、测试、
A. 自评估是由信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估
B. 自评估应参照相应标准、依据制定的评估方案和准则,结合系统特定的安全要求实施
C. 自评估应当是由发起单位自行组织力量完成,而不应委托社会风险评估服务机构来实施
D. 周期性的自评估可以在评估流程上适当简化,如重点针对上次评估后系统变化部分进行
解析:解析:解释:自评估可以委托社会风险评估服务机构来实施。
A. 1——2——3
B. 3——2——1
C. 2——1——3
D. 3——1——2
A. 主体是访问的发起者,是一个主动的实体,可以操作被动实体的相关信息或数据
B. 客体也是一个实体,是操作的对象,是被规定需要保护的资源
C. 主体是动作的实施者,比如人、进程或设备等均是主体,
D. 一个主体为了完成任务,可以创建另外的主体,这些主体可以独立运行
A. 涉密信息系统的风险评估应按照《信息安全等级保护管理办法》等国家有关保密规定和标准进行
B. 非涉密信息系统的风险评估应按照《非涉及国家秘密的信息系统分级保护管理办法》等要求进行
C. 可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告
D. 此通知不要求将“信息安全风险评估”作为电子政务项目验收的重要内容
解析:解析:解释:C为正确描述。
A. 接入互联网时,同时采用不同电信运营商线路,相互备份且互不影响。
B. 核心层、汇聚层的设备和重要的接入层设备均应双机设备。
C. 规划网络IP地址,制定网络IP地址分配策略
D. 保证网络带宽和网络设备的业务处理能力具务冗余空间,满足业务高峰期和业务发展需求
A. 权限分离原则
B. 最小特权原则
C. 保护最薄弱环节的原则
D. 纵深防御的原则
解析:解析:解释:SA是数据库最大用户权限,违反了最小特权原则。
A. ARP协议是一个无状态的协议
B. 为提高效率,ARP信息在系统中会缓存
C. ARP缓存是动态的,可被改写
D. ARP协议是用于寻址的一个重要协议
解析:解析:解释:D不是导致欺骗的根源。
A. BP是基于最新技术而制定的安全参数基本配置
B. 大部分BP是没有进过测试的
C. 一项BP适用于组织的生存周期而非仅适用于工程的某一特定阶段
D. 一项BP可以和其他BP有重叠
解析:解析:解释:A答案中BP是基于工程实践总结的工程单元。B答案中BP是经过测试和实践验证的。C答案中一项BP适用于组织的生存周期是正确的。D一项BP不能和其他BP重叠。
A. PP2P
B. L2TP
C. SSL
D. IPSec
