1386.根据GM/T 0116《信息系统密码应用测评过程指南》,以下测评风险规避措施,错误的是( )。

好的，我们来分析一下这道题的各个选项以及为什么选择B作为正确答案。 ### 题目背景 这道题目出自《信息系统密码应用测评过程指南》（GM/T 0116），主要考察在进行信息系统密码应用测评时，如何采取有效的风险规避措施。 ### 选项分析 **A. 签署保密协议** - **解释**：签署保密协议是为了确保测评过程中获取的敏感信息不会被泄露。这是常见的风险规避措施之一，可以有效保护客户的商业秘密和数据安全。 - **合理性**：合理，符合标准要求。 **B. 将无法直接接入测试工具采集相关数据的测试对象从测试范围中去除** - **解释**：这一措施意味着如果某个系统或设备无法通过测试工具直接采集数据，就将其排除在测试范围之外。 - **不合理性**：这种做法是不合理的，因为即使某些系统或设备无法直接接入测试工具，它们仍然是整个信息系统的一部分，可能包含重要的安全信息。排除这些系统可能会导致测评结果不全面，遗漏潜在的安全风险。 - **为什么选B**：因为这种做法不符合全面性和完整性的原则，可能会导致测评结果不准确。 **C. 签署测试授权书** - **解释**：签署测试授权书是为了获得客户对测评活动的正式授权，确保测评活动的合法性和合规性。 - **合理性**：合理，符合标准要求。 **D. 工具测试避开业务运行高峰期** - **解释**：在业务运行高峰期进行测试可能会对正常业务造成影响，因此选择在非高峰时段进行测试是一种合理的风险规避措施。 - **合理性**：合理，符合标准要求。 ### 为什么选B 选项B的做法是将无法直接接入测试工具采集相关数据的测试对象从测试范围中去除。这种做法是不合理的，因为它会导致测评范围不完整，可能遗漏重要的安全问题。在密码应用测评中，全面性和完整性是非常重要的原则，因此不能简单地将无法直接接入测试工具的系统排除在外。 ### 示例 假设一个银行的信息系统包括多个子系统，其中一个子系统由于技术限制无法直接接入测试工具。如果按照选项B的做法，将这个子系统排除在测试范围之外，那么可能会遗漏该子系统的安全漏洞，从而影响整个银行信息系统的安全性。