43.若一个组织声称自己的 ISMS 符合 ISO/IEC 27001 或 GB/T22080 标准要求。其信息安全控制措施通常需要在物理和环境安全方面实施常规控制。物理和环境安全领域包括安全区域和设备安全两个控制目标。安全区域的控制目标是防止对组织场所和信息的未授权物理访问、损坏和干扰。关键或敏感的信息及信息处理设施应放在安全区域内并受到相应保护。该目标可以通过以下控制措施来实现,不包括哪一项

78.关于软件安全问题, 下面描述错误的是()

77.某公司正在进行 IT 系统灾难恢复测试,下列问题中哪个最应该引起关注()

76.风险评估的工具中, () 是根据脆弱性扫描工具扫描的结果进行模拟攻击测试, 判断被非法访问者利用的可能性, 这类工具通常包括黑客工具、脚本文件。

75.社会工程学本质上是一种() , () 通过种种方式来引导受攻击者的() 向攻击者期望的方向发展。罗伯特•B•西奥迪尼( )在科学美国人(2001年 2 月)杂志中总结对() 的研究,介绍了 6 种”人类天性基本倾向”,这些基本倾向都是() 工程师在攻击中所依赖的(有意思或者无意识的) 。

74.1998 年英国公布标准的第二部分《信安全管理体系规范》,规定()管理体系要求与() 要求, 它是一个组织的全面或部分信息安全管理体系评估的() ,它可以作为一个正式认证方案的() 。BS 7799-1 与 BS7799-2 经过修订于 1999 年重新予以发布,1999 版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及()的责任。

73.选择信息系统部署的场地应考虑组织机构对信息安全的需求并将安全性防在重要的位置,信息资产的保护很大程度上取决与场地的安全性,一个部署在高风险场所的额信息系统是很难有效的保障信息资产安全性的。为了保护环境安全,在下列选项中, 公司在选址时最不应该选址的场地是()

72.在规定的时间间隔或重大变化发生时,组织的() 和实施方法(如信息安全的控制目标、控制措施、方针、过程和规程) 应() 。独立评审宜由管理者启动, 由独立被评审范围的人员执行,例如内部审核部、独立的管理人员或专门进行这种评审的第三方组织。从事这些评审的人员宜具备适当的() 。管理人员宜对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其他安全要求进行() 。为了日常评审的效率,可以考虑使用自动测量和() 。评审结果和管理人员采取的纠正措施宜被记录, 且这些记录宜予以维护。

71.当使用移动设备时,应特别注意确保()不外泄。移动设备方针应考虑与非保护环境移动设备同时工作时的风险。当在公共场所、会议室和其他不受保护的区域使用移动计算设施时, 要加以小心。应采取保护措施以避免通过这些设备存储和处理的信息未授权的访问或泄露, 如使用()、强制使用秘钥身份验证信息。要对移动计算设施进行物理保护, 以防被偷窃, 例如, 特别是遗留在汽车和其他形式的交通工具上、旅馆房间、会议中心和会议室。要为移动计算机设施的被窃或丢失等情况建立一个符号法律、保险和组织的其他安全要求的() 。携带重要、敏感和或关键业务信息的设备不宜无人值守,若有可能, 要以物理的方式锁起来,或使用() 来保护设备。对于使用移动计算设施的人员要安排培训,以提高他们对这种工作方式导致的附加风险的意识,并且要实施控制措施。

70.系统安全工程能力成熟度模型评估方法( ) 是专门基于 SSE-CMM 的评估方法。它包含对系统安全工程-能力成熟度模型中定义的组织的()流程能力和成熟度进行评估所需的() 。SSAM 评估过程分为四个阶段, () 、() 、() 、()。

69.社会工程学是() 与() 结合的学科,准确来说,它不是一门科学,因为它不能总是重复合成功, 并且在信息充分多的情况下它会失效。基于系统、体系、协议等技术体系缺陷的() ,随着时间流逝最终都会失效, 因为系统的漏洞可以弥补,体系的缺陷可能随着技术的发展完善或替代,社会工程学利用的是人性的”弱点”,而人性是() ,这使得它几乎是永远有效的()。