A、 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定
B、 项目目标要遵守 SMART 原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实 (Realistic)、有一定的时限 (Time-oriented)
C、 项目资源指完成项目所需要的人、财、物等
D、 项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力
答案:A
解析:解析:结束日期并非由领导者随机确定,项目上习惯把验收报告日期视为结束日期,另有约定的以约定为准。
A、 项目有明确的开始日期,结束日期由项目的领导者根据项目进度来随机确定
B、 项目目标要遵守 SMART 原则,即项目的目标要求具体(Specific)、可测量(Measurable)、需相关方的一致同意(Agree to)、现实 (Realistic)、有一定的时限 (Time-oriented)
C、 项目资源指完成项目所需要的人、财、物等
D、 项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力
答案:A
解析:解析:结束日期并非由领导者随机确定,项目上习惯把验收报告日期视为结束日期,另有约定的以约定为准。
A. 应用系统;身份验证;严格控制;保密性;源程序库
B. 身份验证;应用系统;严格控制;保密性;源程序库
C. 应用系统;严格控制;身份验证;保密性;源程序库
D. 应用系统;保密性;身份验证;严格控制;源程序库
解析:解析:教材第 112 页 9.4.5 表格之下的所有部分,到 118 页的最上面一段
A. 有害程序事件特别重大事件( Ⅰ级)
B. 信息破坏事件重大事件( Ⅱ级)
C. 有害程序事件较大事件(Ⅲ级)
D. 信息破坏事件一般事件(Ⅳ级)
解析:解析:木马病毒为有害程序事件,系统数据丢失并使得 OA 系统在随后两天内无法访问属于较大事件(III 级)
A. 可以通过对当前的信息安全策略和相关文档进行复查采集评估信息
B. 可以通过进行实施考察的方式采集评估信息
C. 可以通过建立模型的方法采集评估信息
D. 可以制作问卷,进行调查
解析:解析:基于知识的风险评估方法和基于模型的风险评估方法是并列关系
A. 符合安全策略和标准以及技术符合性
B. 访问控制的业务要求、用户访问管理
C. 符合法律要求
D. 信息系统审核考虑
解析:解析:访问控制的业务要求,用户访问管理不属于符合性常规控制。P127 页。
A. 评估与执行;访问控制;安全状态;安全性
B. 评估与执行;安全状态;访问控制;安全性
C. 访问控制;评估与执行;安全状态;安全性
D. 安全状态,评估与执行;访问控制;安全性
A. 24 万
B. 0.09 万
C. 37.5 万
D. 9 万
解析:解析:计算公式为 100 万*24%*(3/8)=9 万
A. 设计了用户权限分级机制和最小特权原则,导致软件在发布运行后,系统管理员不能查看系统审计信息
B. 设计了缓存用户隐私数据机制以加快系统处理性能,导致软件在发布运行后,被黑客攻击获取到用户隐私数据
C. 设计了采用不加盐(SALT)的 SHA-1 算法对用户口令进行加密存储,导致软件在发布运行后,不同的用户如使用了相同的口令会得到相同的加密结果,从而可以假冒其他用户登录
D. 设计了采用自行设计的加密算法对网络传输数据进行保护,导致软件在发布运行后,被攻击对手截获网络数据并破解后得到明文
解析:解析:首先是软件设计缺陷,其次对应的设计有缺陷导致某一后果。用户权限分级机制和最小特权原则导致系统管理员不能查看系统审计信息,这个在安全、保密等领域是专门这样设计的;BCD 都是由软件缺陷引起的。
A. 残余风险
B. 未识别的风险
C. 可接受的风险
D. 最小的风险
解析:解析:残余风险未必是可接受的风险,如果残余风险不可接受还要进一步处理才行例如风险转移,风险规避。
A. 数学
B. 软件学
C. 运筹学
D. 工程学
解析:解析:软件学科全称:计算机软件工程学,P392 页。
A. 严重违反保密规定行为只要发生,无论产生泄密实际后果,都要依法追究责任
B. 非法获取国家秘密,不会构成刑事犯罪,不需承担刑事责任
C. 过失泄露国家秘密,不会构成刑事犯罪,不需承担刑事责任
D. 承担了刑事责任,无需再承担行政责任和/或其他处分