46.组织应依照已确定的访问控制策略限制对信息和( )功能的访问。对访问的限制要基于各个业务应用要求,访问控制策略还要与组织访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和()时,宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统,并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用,应加以限制并( )。对程序源代码和相关事项(例如设计、说明书、验证计划和确认计划)的访问宜严格控制,以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的( )。对于程序源代码的保存,可以通过这种代码的中央存储控制来实现,更好的是放在( )中。

A. 　GB/T XXXX.X-200X

B. 　GB XXXX-200X

C. 　DBXX/T XXX-200X

D. 　GB/Z XXX-XXX-200X

A. 　识别面临的风险并赋值

B. 　识别存在的脆弱性并赋值

C. 　制定安全措施实施计划

D. 　检查安全措施有效性

A. 　安全保障(方针和组织)

B. 　安全防护(技术和管理)

C. 　深度防御(策略、防护、检测、响应)

D. 　保障要素(管理、工程、技术、人员)

A. 　24 万

B. 　0.09 万

C. 　37.5 万

D. 　9 万

A. 　国家秘密及其密级的具体范围,由国家保密工作部分分别会问外交、公安、国家安全和其他中央有关机关规定

B. 　各级国家机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级具体范围的规定确定密级

C. 　对是否属于国家秘密和属于何种密级不明确的事项,可由各单位自行参考国家要求确定和定级,然后报国家保密工作部分确定

D. 　对是否属于国家秘密和属于何种密级不明确的事项,由国家保密工作部分,省,自治区、直辖市的保密工作部门,省、自治区政府所在地的市和经国务院批准的较大的时的保密工作部分或者国家保密工作部门审定的机关确定

A. 　不下载,不执行、不接收不来历明的软件

B. 　不随意打开来历不明的邮件,不浏览不健康不正规的网站

C. 　使用共享文件夹

D. 　安装反病毒软件和防火墙,安装专门的木马防治软件

A. 　检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估

B. 　检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测

C. 　检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施

D. 　检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点

A. 　风险转移

B. 　风险接受

C. 　风险规避

D. 　风险降低

A. 　统筹规划

B. 　分组建设

C. 　资源共享

D. 　平战结合

A. 　资产

B. 　安全事件

C. 　脆弱性

D. 　安全措施