A、 确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B、 确保整个系统已按照领导要求进行了部署和配置
C、 确保系统使用人员已具备使用系统安全功能和安全特性的能力
D、 确保信息系统的使用已得到授权
答案:B
解析:解析:B 是错误的,不是按照领导要求进行了部署和配置。
A、 确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B、 确保整个系统已按照领导要求进行了部署和配置
C、 确保系统使用人员已具备使用系统安全功能和安全特性的能力
D、 确保信息系统的使用已得到授权
答案:B
解析:解析:B 是错误的,不是按照领导要求进行了部署和配置。
A. 49
B. 0.49
C. 0.00049
D. 0.049
解析:解析:千行代码缺陷率=缺陷数/ (代码行数/1000)
A. 基于信息安全标准的风险评估与管理工具
B. 基于知识的风险评估与管理工具
C. 基于模型的风险评估与管理工具
D. 基于经验的风险评估与管理工具
解析:解析:D 基于经验的风险评估工具不存在。
A. 100 万元人民币
B. 180 万元人民币
C. 400 万元人民币
D. 20 万元人民币
解析:解析:年度预期损失=总价值*暴露系数*年度发生率即 400*25%*0.2=20 万元
A. D 是 Do,指实施、具体运作,实现计划中的内容
B. P 是 Prepare,指准备,包括明确对象、方法,制定活动规划
C. A 是 Act 或 Adjust,指改进、完善和处理,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化,总结失败的教训并加以重视,对没有解决的问题,应该交给下一个 PDCA 循环解决
D. C 是 Check,指检查、总结执行计划的结果,明确效果,找出问题
解析:解析:PDCA(plan-do-check-act 或者 plan-do-check-adjust)循环的 4 个阶段,”策划- 实施-检查-改进”。P94 页。
A. 内部审计人员的质疑是对的,由于没有更新漏洞库,因此这份漏洞扫描报告准确性无法保证
B. 内部审计人员质疑是错的,漏洞扫描软件是正版采购,因此扫描结果是准确的
C. 内部审计人员的质疑是正确的,因为漏洞扫描报告是软件提供,没有经过人为分析,因此结论不会准确
D. 内部审计人员的质疑是错误的,漏洞软件是由专业的安全人员操作的,因此扫描结果是准确的
解析:解析:漏洞库半年不更新又可能会漏报一些最新的漏洞。
A. 攻击者在获得系统的上传权限后,将恶意部署到目标系统
B. 恶意代码自身就是软件的一部分,随软件部署传播
C. 内镶在软件中,当文件被执行时进入目标系统
D. 恶意代码通过网上激活
解析:解析:”恶意代码通过网上激活”错误,一些恶意代码一经下载就可以自动激活运行。
A. 跨站脚本攻击
B. TCP 会话劫持
C. IP 欺骗攻击
D. 拒绝服务攻击
解析:解析:流量突增 5 倍以上,说明是流量性的攻击,最后可能的就是拒绝服务攻击。
A. 仅提供数字签名
B. 仅提供保密性
C. 仅提供不可否认性
D. 保密性和消息完整性
解析:解析:密文 E(K2,M)保障保密性,消息验证码 MAC 为 C(K1,E(K2,M))保障完整性。
A. 应急响应方法和过程并不是唯一的
B. 一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结 6 个阶段,这 6 个阶段的响应方法一定能确保事件处理的成功
C. 一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结 6 个阶段
D. 基于应急响应工作的特点和事件的不规则性,事先制定出事件应急响应方法和过程,有助于一个组织在事件发生时阻止混乱的发生或是在混乱状态中迅速恢复控制,将损失和负面影响降至最低
解析:解析:一定能确保事件处理成功,过于绝对。P152 页。
A. 告诉用户需要收集什么数据及搜集到的数据会如何被使用
B. 当用户的数据由于某种原因要被使用时,给客户选择是否允许
C. 用户提交的用户名和密码属于隐私数据,其他都不是
D. 确保数据的使用符合国家、地方、行业的相关法律法规
解析:解析:客户的私人信息都是隐私数据而不仅仅是用户名和密码。