40.有关系统安全工程-能力成熟度模型( ) ,错误的理解是()。

A. 　概念上,信息安全管理体系有广义和狭义之分,狭义的信息安全管理体系是指按照 ISO27001 标准定义的管理体系,它是一个组织整体管理体系的组成部分

B. 　信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系,包括组织架构、方针、活动、职责及相关实践要素

C. 　同其他管理体系一样,信息安全管理体系也要建立信息安全管理组织机构、健全信息安全管理制度、构建信息安全技术防护体系和加强人员的安全意识等内容

D. 　管理体系 (Management Systems) 是为达到组织目标的策略、程序、指南和相关资源的框架,信息安全管理体系是管理体系思想和方法在信息安全领域的应用

A. 　应用层

B. 　传输层

C. 　应用层

D. 　网络层

A. 　抗抵赖性

B. 　保密性

C. 　可用性

D. 　不可否认性

A. 　认证和授权

B. 　加密和认证

C. 　数字签名和认证

D. 　访问控制和加密

A. 　某网站在访问量突然增加时对用户连接数量进行了限制,保证已登录的用户可以完成操作

B. 　在提款过程中 ATM 终端发生故障,银行业务系统及时对该用户的账户余额进行了冲正操作

C. 　某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作

D. 　李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清洁工的商业间谍无法查看。

A. 　风险评估准备阶段

B. 　风险要素识别阶段

C. 　风险分析阶段

D. 　风险结果判定阶段

A. 　基于SSE-CMM的工程是独立工程,与软件工程、硬件工程、通信工程等分别规划实施

B. 　SSE-CMM可以使安全工程成为一个确定的、成熟的和可度量的科目

C. 　SSE-CMM要求实施组织与其他组织相互作用,如开发方、产品供应商、集成商和咨询服务商等

D. 　SSE-CMM覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动

A. 　信息安全管理体系应体现科学性和全面性的特点,因为要对信息安全管理涉及的方方面面实施较为均衡的管理,避免遗漏某些方面而导致组织的整体信息安全水平过低

B. 　信息安全管理体系的建立应参照国际国内有关标准实施,因为这些标准是标准化组织在总结研究了很多实际的或潜在的问题后,制定的能共同的和重复使用的规则

C. 　信息安全管理体系的建立应基于一次风险评估彻底解决所有安全问题的思想,因为这是国家有关信息安全的法律和法规方面的要求,这体现以预防控制为主的思想

D. 　信息安全管理体系应强调全过程和动态控制的思想,因为安全问题是动态的,系统所处的安全环境也不会一成不变,不可能建设永远安全的系统

A. 　”制定 ISMS 方针”是建产 ISMS 阶段工作内容

B. 　”实施培训和意识教育计划”是实施和运行 ISMS 阶段工作内容

C. 　”进行有效性测量”是监视和评审 ISMS 阶段工作内容

D. 　”实施内部审核”是保护和改进 ISMS 阶段工作内容

A. 　BLP 模型用于保证系统信息的机密性,规则是”向上读,向下写”

B. 　BLP 模型用于保证系统信息的机密性,规则是”向下读,向上写”

C. 　BLP 模型用于保证系统信息的完整性,规则是”向上读,向下写”

D. 　BLP 模型用于保证系统信息的完整性,规则是”向下读,向上写”