35.在信息安全管理体系的实施过程中,管理者的作用对于信息安全管理体系能否成功实施非常重要,但是以下选项中不属于管理者应有职责的是()。

A. 　残余风险是采取了安全措施后,仍然可能存在的风险,一般来说,是在综合考虑了安全成本与效益后不去控制的风险

B. 　残余风险应受到密切监理,它会随着时间的推移而发生变化,可能会在将来诱发新的安全事件

C. 　实施风险处理时,应将残余风险清单告知信息系统所在组织的高管,使其了解残余风险的存在和可能造成的后果

D. 　信息安全风险处理的主要准则是尽可能降低和控制信息安全风险,以最小的残余风险值作为风险管理效果评估指标

A. 　组织内的信息安全方针文件、信息安全规章制度文件、信息安全相关操作规范文件等文档是组织的工作标准,也是 ISMS 审核的依据

B. 　组织内的业务系统日志文件、风险评估报告等文档是对上一级文件的执行和记录,对这些记录不需要保护和控制

C. 　组织在每份文件的首页,加上文件修订跟踪表,以显示每一版本的版本号、发布日期、编写人、审批人、主要修订等内容

D. 　层次化的文档是 ISMS 建设的直接体现,文档体系应当依据风险评估的结果建立

A. 　数字签名

B. 　非安全信道的密钥交换

C. 　消息认证码

D. 　身份认证

A. 　系统工程只需使用定量分析的方法,通过建立实际对象的数学模型,应用合适的优化算法对模型求解,解决实际问题

B. 　系统工程的目的是实现总体效果最优化,即从复杂问题的总体入手,认为总体大于各部分之和,各部分虽然存在不足,但总体可以优化

C. 　霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤

D. 　系统工程不属于基本理论,也不属于技术基础,它研究的重点是方法论

A. 　只要用户拿到了认证服务器(AS)发送的票据许可票据(TGT)并且该 TGT 没有过期,就可以使用该 TGT 通过票据授权服务器(TGS)完成到任一个服务器的认证而不必重新输入密码

B. 　认证服务器(AS)和票据授权服务器(TGS)是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于 AS 和 TGS 的性能和安全

C. 　该协议通过用户获得票据许可票据、用户获得服务许可票据、用户获得服务三个阶段,仅支持服务器对用户的单向认证

D. 　该协议是一种基于对称密码算法的网络认证协议,随用户数量增加,密钥管理较复杂

A. 　策略

B. 　活动

C. 　组织

D. 　管理者

A. 　对内而言,是一个光花钱不挣钱的事情, 需要组织通过其他方面收入来弥补投入

B. 　对外而言,能起到规范外包工作流程和要求, 帮助界定双方各自信息安全责任

C. 　对外而言,有助于使各利益相关方对组织充满信心

D. 　对内而言,有助于建立起文档化的信息安全管理规范,实现有“法”可依,有章可循, 有据可查

A. 　流程描述、框架、控制目标、管理指南、成熟度模型

B. 　框架、流程描述、管理目标、控制目标、成熟度模型

C. 　框架、流程描述、控制目标、管理指南、成熟度模型

D. 　框架、管理指南、流程描述、控制目标、成熟度模型

A. 　仅提供数字签名

B. 　仅提供保密性

C. 　仅提供不可否认性

D. 　保密性和消息完整性

A. 　检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估

B. 　检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测

C. 　检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施

D. 　检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点