CISP信息安全管理習(xí)題

1。根據(jù)相關(guān)標(biāo)準(zhǔn)，信息安全風(fēng)險管理可以分為背景建立、風(fēng)險評估，風(fēng)險處理，批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢等階段.模擬該流程.文檔《風(fēng)險分析報告》應(yīng)屬于哪個階段的輸出成果（）.A風(fēng)險評估B風(fēng)險處理C批準(zhǔn)監(jiān)督D監(jiān)控審查2.〈p>某單位在實施信息安全風(fēng)險評估后，形成了若干文檔，下面(）中的文檔不應(yīng)屬于風(fēng)險評估＆ldquo;準(zhǔn)備&rdquo；階段輸出的文檔.〈/p〉A(chǔ)《風(fēng)險評估工作計劃》，主要包括本次風(fēng)險評估的目的、意義、范圍、目標(biāo)、組織結(jié)構(gòu)、角色進(jìn)度安排等內(nèi)容B《風(fēng)險評估方法和工具列表》，主要包括擬用的風(fēng)險評估方法和測試評估工具等內(nèi)容C《已有安全措施列表》，主要包括經(jīng)檢查確認(rèn)后的已有技術(shù)和管理各方面安全措施等內(nèi)容D《風(fēng)險評估準(zhǔn)則要求》,主要包括風(fēng)險評估參考標(biāo)準(zhǔn)、采用的風(fēng)險分析方法、風(fēng)險計算方法、分類準(zhǔn)則等內(nèi)容3。規(guī)范的實施流程和文檔管理,是信息安全風(fēng)險評估結(jié)果取得成果的重要基礎(chǔ),〈spanstyle="line-height：20。8px;”>按照規(guī)范〈/span>的風(fēng)險評估實施流程，下面哪個文檔應(yīng)當(dāng)是風(fēng)險要素識別階段的輸出成果（)A《風(fēng)險評估方案》B《重要保護(hù)的資產(chǎn)清單》C《風(fēng)險計算報告》D《風(fēng)險程度等級列表》定量風(fēng)險分析是從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估，得出可以量化的風(fēng)險分析結(jié)果，準(zhǔn)確度量風(fēng)險的可能性和損失量，小王采用該方法來為單位機(jī)房計算火災(zāi)的風(fēng)險大小，假設(shè)單位機(jī)房的總價值為200萬元人民幣，暴露系數(shù)（ErpomireFactor,EF）是x,年度發(fā)生率（AnnuaIixedRatoofOccurrence,ARO）為0。1，而小王計算的年度預(yù)期損失（AnnuaIixedLossRrpectancy,ALE）值為5萬元人民幣。由此x值應(yīng)該是（）5。不同的信息安全風(fēng)險評估方法可能得到不同的風(fēng)險評估結(jié)果，所以組織機(jī)構(gòu)應(yīng)當(dāng)根據(jù)各自的實際情況，選擇適當(dāng)?shù)娘L(fēng)險評估方法，下面的描述中,錯誤的是（)A定量風(fēng)險分析是用從財務(wù)數(shù)字上對安全風(fēng)險進(jìn)行評估,得出可以量化的風(fēng)險分析結(jié)果，以度量風(fēng)險的可能性和損失量B定量風(fēng)險分析相比定性風(fēng)險分析能得到準(zhǔn)確的數(shù)值，所以在實際工作中應(yīng)使用定量風(fēng)險分析，而不應(yīng)選擇定性風(fēng)險分析C定性風(fēng)險分析過程中，往往需要憑借分析者的經(jīng)驗直接進(jìn)行，所以分析結(jié)果和風(fēng)險評估團(tuán)隊的素質(zhì)、經(jīng)驗和知識技能密切相關(guān)D定性風(fēng)險分析更具有主觀性，而定量風(fēng)險分析更具客觀性6。某單位在一次信息安全風(fēng)險管理活動中，風(fēng)險評估報告提出服務(wù)器A的PTP服務(wù)存在高風(fēng)險的漏洞，隨后該單位在風(fēng)險處理時選擇了關(guān)閉PTP服務(wù)的處理措施，請問該措施屬于哪種風(fēng)險處理方式(）A風(fēng)險降低B風(fēng)險規(guī)避C風(fēng)險轉(zhuǎn)移D風(fēng)險接受7。殘余風(fēng)險是風(fēng)險管理中的一個重要概念,在信息安全風(fēng)險管理中，關(guān)于殘余風(fēng)險描述錯誤的是（)A殘余風(fēng)險是采取了安全措施后，仍然可能存在的風(fēng)險,一般來說,是在綜合考慮了安全成本與效益后不去控制的風(fēng)險B殘余風(fēng)險應(yīng)受到密切監(jiān)理，它會隨著時間的推移而發(fā)生變化，可能會在將來誘發(fā)新的安全事件C實施風(fēng)險處理時，應(yīng)將殘余風(fēng)險清單告知信息系統(tǒng)所在組織的高管,使其了解殘余風(fēng)險的存在和可能造成的后果D信息安全風(fēng)險處理的主要準(zhǔn)則是盡可能降低和控制信息安全風(fēng)險,以最小的殘余風(fēng)險值作為風(fēng)險管理效果評估指標(biāo)9。某公司正在進(jìn)行信息安全風(fēng)險評估，在決定信息資產(chǎn)的分類與分級時，誰負(fù)有最終責(zé)任？A:部門經(jīng)理B:高級管理層C：信息資產(chǎn)所有者D:最終用戶10.以下對信息安全風(fēng)險管理理解最準(zhǔn)確的說法是：A：了解風(fēng)險B：轉(zhuǎn)移風(fēng)險C:了解風(fēng)險并控制風(fēng)險D：了解風(fēng)險并轉(zhuǎn)移風(fēng)險11。在信息安全風(fēng)險管理工作中,識別風(fēng)險時主要重點(diǎn)考慮的要素應(yīng)包括:A：資產(chǎn)及其價值、威脅、脆弱性、現(xiàn)有的和計劃的控制措施B：資產(chǎn)及其價值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計劃的控制措施C:完整性、可用性、機(jī)密性、不可抵賴性D：以上都不正確12。以下哪一項不是信息安全風(fēng)險分析過程中所要完成的工作：A:識別用戶B：識別脆弱性C:評估資產(chǎn)價值D:計算機(jī)安全事件發(fā)生的可能性13.王工是某單位系統(tǒng)管理員,他在某次參加了單位組織的風(fēng)險管理工作時，發(fā)現(xiàn)當(dāng)前案例中共有兩個重要資產(chǎn):資產(chǎn)A1和資產(chǎn)A2；其中資產(chǎn)A1面臨兩個主要威脅：威脅T1和威脅T2；而資產(chǎn)A2面臨一個主要威脅:威脅T3;威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性;脆弱性V1和脆弱性V2：威脅T2可以利用資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性,脆弱性V6和脆弱性V7.根據(jù)上述條件，請問：使用相乘法時,應(yīng)該為資產(chǎn)A1計算幾個風(fēng)險值（)A2B3C5D614。A：內(nèi)部計算機(jī)處理B：系統(tǒng)輸入輸出C：通訊和網(wǎng)絡(luò)D：外部計算機(jī)處理15.《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范GB／T20984-2007》中關(guān)于信息系統(tǒng)生命周期各階段的風(fēng)險評估描述不正確的是:A：規(guī)劃階段風(fēng)險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。B：設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境。資產(chǎn)重要性，提出安全功能需求.C：實施階段風(fēng)險評估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)。實施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗證。D:運(yùn)行維護(hù)階段風(fēng)險評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險，是一種全面的風(fēng)險評估,評估內(nèi)容包括對真實運(yùn)行的信息系統(tǒng)、資產(chǎn)、脆弱性等各方面。16.<p〉以下關(guān)于項目的含義，理解錯誤的是（）〈/p〉A(chǔ)項目是為達(dá)到特定的目的，使用一定資源，在確定的期間內(nèi)，為特定發(fā)起人而提供特定的產(chǎn)品，服務(wù)或成果而進(jìn)行的一次性努力B項目有明確的開始日期,結(jié)束日期由項目的領(lǐng)導(dǎo)者根據(jù)項目進(jìn)度來隨機(jī)確定C項目資源指完成項目所需要的人、財、物等D項目目標(biāo)要遵守SWART原則，即項目的目標(biāo)要求具體（Specific）、可測量（Measurehle),需相關(guān)方的一致同意（Agree.to)、現(xiàn)實（Rcalistic）、有一定的時限(Time—oriented）17?！癈C”標(biāo)準(zhǔn)是測評標(biāo)準(zhǔn)類的重要標(biāo)準(zhǔn)，從該標(biāo)準(zhǔn)的內(nèi)容來看，下面哪項內(nèi)容是針對具體的被評測對象,描述了該對象的安全要求及其相關(guān)安全功能和安全措施,相當(dāng)于從廠商角度制定的產(chǎn)品或系統(tǒng)實現(xiàn)方案（）.A：評估對象（TOE）B:保護(hù)輪廓（PP)C:安全目標(biāo)(ST）D：評估保證級（EAL)18.〈p>關(guān)于信息安全管理體系，國際上有標(biāo)準(zhǔn)《InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsRequirements》（ISO/IEC27001:2013)，而我國發(fā)布了《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T22080-2008）,請問，這兩個標(biāo)準(zhǔn)的關(guān)系是（）.</p〉A(chǔ)：IDT（等同采用），此國家標(biāo)準(zhǔn)等同于該國際標(biāo)準(zhǔn)，僅有或沒有編輯性修改B：EQV（等效采用）,此國家標(biāo)準(zhǔn)等效于該國際標(biāo)準(zhǔn)，技術(shù)上只有很小差異C:NEQ(非等效采用）此國家標(biāo)準(zhǔn)不等效于該國際標(biāo)準(zhǔn)D：沒有采用與否的關(guān)系,兩者之間版本不同，不應(yīng)直接比較19.關(guān)于標(biāo)準(zhǔn)，下面哪項理解是錯誤的（).A：標(biāo)準(zhǔn)是在一定范圍內(nèi)為了獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同重復(fù)使用的一種規(guī)范性文件,標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化活動的重要成果B：國際標(biāo)準(zhǔn)是由國際標(biāo)準(zhǔn)化組織通過并公開發(fā)布的標(biāo)準(zhǔn)，同樣是強(qiáng)制性標(biāo)準(zhǔn)，當(dāng)國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的條款發(fā)生沖突時,應(yīng)以國際標(biāo)準(zhǔn)條款為準(zhǔn)C：行業(yè)標(biāo)準(zhǔn)是針對沒有國家標(biāo)準(zhǔn)而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求而制定的標(biāo)準(zhǔn)，同樣是強(qiáng)制性標(biāo)準(zhǔn),當(dāng)行業(yè)標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)的條款發(fā)生沖突時，應(yīng)以國家標(biāo)準(zhǔn)條款為準(zhǔn)D：地方標(biāo)準(zhǔn)由省、自治區(qū)、直轄市標(biāo)準(zhǔn)化行政主管部門制定,并報國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案，在公布國家標(biāo)準(zhǔn)之后，該地方標(biāo)準(zhǔn)即應(yīng)廢止20。關(guān)于信息安全管理體系的作用，下面理解錯誤的是（)。A：對內(nèi)而言,有助于建立起文檔化的信息安全管理規(guī)范，實現(xiàn)有“法”可依，有章可循，有據(jù)可查B：對內(nèi)而言，是一個光花錢不掙錢的事情，需要組織通過其他方面收入來彌補(bǔ)投入C:對外而言，有助于使各利益相關(guān)方對組織充滿信心D:對外而言，能起到規(guī)范外包工作流程和要求，幫助界定雙方各自信息安全責(zé)任21。以下哪些是需要在信息安全策略中進(jìn)行描述的：A：組織信息系統(tǒng)安全架構(gòu)B：信息安全工作的基本原則C：組織信息安全技術(shù)參數(shù)D:組織信息安全實施手段22.下列哪些內(nèi)容應(yīng)包含在信息系統(tǒng)戰(zhàn)略計劃中？A:已規(guī)劃的硬件采購的規(guī)范B：將來業(yè)務(wù)目標(biāo)的分析C：開發(fā)項目的目標(biāo)日期D:信息系統(tǒng)不同的年度預(yù)算目標(biāo)23。〈p〉ISO27002中描述的11個信息安全管理的控制領(lǐng)域不包括：</p〉A(chǔ):信息安全組織B：資產(chǎn)管理C:內(nèi)容安全D：人力資源安全24?！磒〉SSE-CMM將工程過程區(qū)域分為三類，即風(fēng)險過程、工程過程、和保證過程，下面對于保證過程的說法錯誤的是：</p〉A(chǔ):保證是指安全需求得到滿足的可信任程度B:信任程度來自于對安全工程過程結(jié)果質(zhì)量的判斷C：自驗證與證實安全的主要手段包括觀察、論證、分析和測試D:PA“建立保證論據(jù)”為PA“驗證與證實安全"提供了證據(jù)支持25。<p>根據(jù)SSE—CMM信息安全工程過程可以劃分為三個階段，其中_______確立安全解決方案的置信度并且把這樣的置信度傳遞給顧客?！?p〉A(chǔ):保證過程B:風(fēng)險過程C：工程和保證過程D:安全工程過程26。<p〉SSE—CMM工程過程區(qū)域中的風(fēng)險過程包含哪些過程區(qū)域：</p〉A(chǔ):評估威脅、評估脆弱性、評估影響B(tài)：評估威脅、評估脆弱性、評估安全風(fēng)險C：評估威脅、評估脆弱性、評估影響、評估安全風(fēng)險D：評估威脅、評估脆弱性、評估影響、驗證和證實安全27.一個組織的系統(tǒng)安全能力成熟度達(dá)到哪個級別以后,就可以對組織層面的過程進(jìn)行規(guī)范的定義？A：2級—-計劃和跟蹤B:3級——充分定義C：4級——量化控制D：5級——持續(xù)改進(jìn)28.在風(fēng)險管理準(zhǔn)備階段“建立背景”（對象確立）過程中不應(yīng)該做的是:A:分析系統(tǒng)的體系結(jié)構(gòu)B:分析系統(tǒng)的安全環(huán)境C：制定風(fēng)險管理計劃D:調(diào)查系統(tǒng)的技術(shù)特性29.下面有關(guān)能力成熟度模型的說法錯誤的是：A:能力成熟度模型可以分為過程能力方案（Continuous)和組織能力方案(Staged）兩類B:使用過程能力方案時,可以靈活選擇評估和改進(jìn)哪個或哪些過程域C：使用組織機(jī)構(gòu)成熟度方案時，每一個能力級別都對應(yīng)于一組已經(jīng)定義好的過程域D:SSE-CMM是一種屬于組織能力方案（Staged）的針對系統(tǒng)安全工程的能力成熟度模型30。<p〉下列哪項不是信息系統(tǒng)安全工程能力成熟度模型（SSE-CMM）的主要過程:〈/p〉A(chǔ):風(fēng)險過程B：保證過程C：工程過程D：評估過程31。信息安全管理體系描述不正確的是：A：是一個組織整體管理體系的組成部分B：是有范圍和邊界的C：是風(fēng)險評估的手段D：其基本過程應(yīng)遵循PDCA循環(huán)32。對戴明環(huán)”PDCA"方法的描述不正確的是:A:“PDCA”的含義是P—計劃，D-實施，C-檢查，A—改進(jìn)B：“PDCA"循環(huán)又叫”戴明”環(huán)C：“PDCA"循環(huán)是只能用于信息安全管理體系有效進(jìn)行的工作程序D:“PDCA”循環(huán)是可用于任何一項活動有效進(jìn)行的工作程序33。下述選項中對于”風(fēng)險管理"的描述不正確的是:A：風(fēng)險管理是指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動，它通常包括風(fēng)險評估、風(fēng)險處置、風(fēng)險接受和風(fēng)險溝通。B:風(fēng)險管理的目的是了解風(fēng)險并采取措施處置風(fēng)險并將風(fēng)險消除。C:風(fēng)險管理是信息安全工作的重要基礎(chǔ)，因此信息安全風(fēng)險管理必須貫穿到信息安全保障工作、信息系統(tǒng)的整個生命周期中。D:在網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃設(shè)計階段，應(yīng)通過信息安全風(fēng)險評估進(jìn)一步明確安全需求和安全目標(biāo).34.以下關(guān)于可信計算說法錯誤的是：A：可信的主要目的是要建立起主動防御的信息安全保障體系B:可信計算機(jī)安全評價標(biāo)準(zhǔn)（TCSEC）中第一次提出了可信計算機(jī)和可信計算機(jī)的概念C:可信的整體框架包含終端可信。終端應(yīng)用可信。操作系統(tǒng)可信.網(wǎng)絡(luò)互聯(lián)可信?；ヂ?lián)網(wǎng)交易等應(yīng)用系統(tǒng)可信D：可信計算平臺出現(xiàn)后會取代傳統(tǒng)的安全防護(hù)體系和方法35.〈p>風(fēng)險是需要保護(hù)的（)發(fā)生損失的可能性，它是(）和(）綜合結(jié)果。〈/p〉A(chǔ):資產(chǎn)，攻擊目標(biāo)，威脅事件B：設(shè)備，威脅，漏洞C:資產(chǎn)，威脅，脆弱性D：以上都不對36。以下列哪種處置方法屬于轉(zhuǎn)移風(fēng)險？A:部署綜合安全審計系統(tǒng)B：對網(wǎng)絡(luò)行為進(jìn)行實時監(jiān)控C：制訂完善的制度體系D：聘用第三方專業(yè)公司提供維護(hù)外包服務(wù)37.對操作系統(tǒng)打補(bǔ)丁和系統(tǒng)升級是以下哪種風(fēng)險控制措施?A:降低風(fēng)險B:規(guī)避風(fēng)險C:轉(zhuǎn)移風(fēng)險D：接受風(fēng)險38.以下哪一項可認(rèn)為是具有一定合理性的風(fēng)險?A:總風(fēng)險B：最小化風(fēng)險C:可接受風(fēng)險D：殘余風(fēng)險39.在風(fēng)險管理工作中“監(jiān)控審查”的目的，一是:________二是_________。A:保證風(fēng)險管理過程的有效性，保證風(fēng)險管理成本的有效性B:保證風(fēng)險管理結(jié)果的有效性,保證風(fēng)險管理成本的有效性C:保證風(fēng)險管理過程的有效性,保證風(fēng)險管理活動的決定得到認(rèn)可D:保證風(fēng)險管理結(jié)果的有效性，保證風(fēng)險管理活動的決定得到認(rèn)可40.風(fēng)險管理四個步驟的正確順序是：A:背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督B：背景建立、風(fēng)險評估、審核批準(zhǔn)、風(fēng)險控制C：風(fēng)險評估、對象確立、審核批準(zhǔn)、風(fēng)險控制D:風(fēng)險評估、風(fēng)險控制、對象確立、審核批準(zhǔn)41.在風(fēng)險管理的過程中，”建立背景"（即"對象確立”）的過程是哪四個活動？A：風(fēng)險管理準(zhǔn)備、信息系統(tǒng)調(diào)查、信息系統(tǒng)分析、信息安全分析B:風(fēng)險管理準(zhǔn)備、信息系統(tǒng)分析、信息安全分析、風(fēng)險政策的制定C：風(fēng)險管理準(zhǔn)備、風(fēng)險管理政策的制定、信息系統(tǒng)分析、信息安全分析D：確定對象、分析對象、審核對象、總結(jié)對象42.<p>下列對風(fēng)險分析方法的描述正確的是：〈/p〉A(chǔ):定量分析比定性分析方法使用的工具更多B:定性分析比定量分析方法使用的工具更多C:同一組織只能使用一種方法進(jìn)行評估D:符合組織要求的風(fēng)險評估方法就是最優(yōu)方法43.<p>在一個有充分控制的信息處理計算中心中，下面哪一項可以由同一個人執(zhí)行？〈/p〉A(chǔ):安全管理和變更管理B:計算機(jī)操作和系統(tǒng)開發(fā)C：系統(tǒng)開發(fā)和變更管理D:系統(tǒng)開發(fā)和系統(tǒng)維護(hù)44.以下關(guān)于“最小特權(quán)"安全管理原則理解正確的是：A：組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)B：對重要的工作進(jìn)行分解，分配給不同人員完成C:一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn)：防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限45。以下哪一個是對“崗位輪換”這一人員安全管理原則的正確理解?A:組織機(jī)構(gòu)內(nèi)的敏感崗位不能由一個人長期負(fù)責(zé)B:對重要的工作進(jìn)行分解，分配給不同人員完成C：一個人有且僅有其執(zhí)行崗位所足夠的許可和權(quán)限D(zhuǎn):防止員工由一個崗位變動到另一個崗位，累積越來越多的權(quán)限46。在構(gòu)建一個單位的內(nèi)部安全管理組織體系的時候，以下哪一項不是必需考慮的內(nèi)容？A:高級管理層承諾對安全工作的支持B:要求雇員們遵從安全策略的指示C：在第三方協(xié)議中強(qiáng)調(diào)安全D：清晰地定義部門的崗位的職責(zé)47.風(fēng)險管理中使用的控制措施,不包括以下哪種類型？A:預(yù)防性控制措施B:管理性控制措施C：檢查性控制措施D:糾正性控制措施48。風(fēng)險管理中的控制措施不包括以下哪一方面？A：行政B：道德C：技術(shù)D：管理49。風(fēng)險評估不包括以下哪個活動？A:中斷引入風(fēng)險的活動B:識別資產(chǎn)C：識別威脅D：分析風(fēng)險50.在信息安全風(fēng)險管理工作中,識別風(fēng)險時主要重點(diǎn)考慮的要素應(yīng)包括：A：資產(chǎn)及其價值、威脅、脆弱性、現(xiàn)有的和計劃的控制措施B:資產(chǎn)及其價值、系統(tǒng)的漏洞、脆弱性、現(xiàn)有的和計劃的控制措施C:完整性、可用性、機(jī)密性、不可抵賴性D：以上都不正確51.以下哪一項不是信息安全風(fēng)險分析過程中所要完成的工作:A:識別用戶B：識別脆弱性C:評估資產(chǎn)價值D:計算機(jī)安全事件發(fā)生的可能性52。〈p〉關(guān)于外包的論述不正確的是：〈/p>A:企業(yè)經(jīng)營管理中的諸多操作服務(wù)都可以外包B：通過業(yè)務(wù)外包，企業(yè)也把相應(yīng)的風(fēng)險承擔(dān)者轉(zhuǎn)移給了外包商，企業(yè)從此不必對外包業(yè)務(wù)負(fù)任何直接或間接的責(zé)任C:雖然業(yè)務(wù)可以外包，但是對與外包業(yè)務(wù)的可能的不良后果，企業(yè)仍然承擔(dān)責(zé)任D:過多的外包業(yè)務(wù)可能產(chǎn)生額外的操作風(fēng)險或其他隱患53。<p〉以下對PDCA循環(huán)解釋不正確的是:〈/p〉A(chǔ):處理B:實施C：檢查D:行動以下工作哪個不是計算機(jī)取證準(zhǔn)備階段的工作A:獲得授權(quán)B：準(zhǔn)備工具C：介質(zhì)準(zhǔn)備D:保護(hù)數(shù)據(jù)以下關(guān)于ISO/IEC27001標(biāo)準(zhǔn)說法不正確的是：A：本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估,審核的重點(diǎn)就是組織信息安全的現(xiàn)狀，對布屬的信息安全控制是好的還是壞的做出評判B：本標(biāo)準(zhǔn)采用一種過程方法來建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)一個組織的ISMSC：目前國際標(biāo)準(zhǔn)化組織推出的四個管理體系標(biāo)準(zhǔn)：質(zhì)量管理體系,職業(yè)健康安全管理體系、環(huán)境管理體系、信息安全管理體系,都采用了相同的方法,即PDCA模型D:本標(biāo)準(zhǔn)注重監(jiān)視和評審，因為監(jiān)視和評審是持續(xù)改進(jìn)的基礎(chǔ)，如果缺乏對執(zhí)行情況和有效性的測量，改進(jìn)就成了“無的放矢"平行模擬法是指A.開發(fā)一個模擬系統(tǒng)，將被審計單位真實數(shù)據(jù)放入模擬系統(tǒng)中運(yùn)行，觀察其輸出是否與被審計單位信息系統(tǒng)相一致B。在信息系統(tǒng)中建立虛擬實體，然后將有關(guān)數(shù)據(jù)與真實運(yùn)行數(shù)據(jù)一起輸入信息系統(tǒng)中處理，將虛擬實體的運(yùn)行結(jié)果與預(yù)期進(jìn)行比較C.將已處理過的真實數(shù)據(jù)在相同的信息系統(tǒng)或程序副本上再處理一次,將二次結(jié)果與以前結(jié)果進(jìn)行比較D。以上都不對下面哪一項安全控制措施不是用來檢測未經(jīng)授權(quán)的信息處理活動的：A：設(shè)置網(wǎng)絡(luò)連接時限B：記錄并分析系統(tǒng)錯誤日志C:記錄并分析用戶和管理員操作日志D：啟用時鐘同步下列安全控制措施的分類中，哪個分類是正確的(P—預(yù)防性的，D—檢測性的以及C—糾正性的控制）：1。網(wǎng)絡(luò)防火墻2.RAID級別33。銀行賬單的監(jiān)督復(fù)審4。分配計算機(jī)用戶標(biāo)識5。交易日志A：P，P，C，D，andCB：D，C,C，D,andDC:P，C，D，P，andDD：P，D，P，P，andC風(fēng)險評估主要包括風(fēng)險分析準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析和風(fēng)險結(jié)果判定四個主要過程，關(guān)于這些過程，以下的說法哪一個是正確的？A:風(fēng)險分析準(zhǔn)備的內(nèi)容是識別風(fēng)險的影響和可能性B：風(fēng)險要素識別的內(nèi)容是識別可能發(fā)生的安全事件對信息系統(tǒng)的影響程度C:風(fēng)險分析的內(nèi)容是識別風(fēng)險的影響和可能性D:風(fēng)險結(jié)果判定的內(nèi)容是發(fā)生系統(tǒng)存在的威脅、脆弱性和控制措施你來到服務(wù)器機(jī)房隔壁的一間辦公室，發(fā)現(xiàn)窗戶壞了。由于這不是你的辦公室，你要求在這里辦公的員工請維修工來把窗戶修好。你離開后，沒有再過問這扇窗戶的事情.這件事的結(jié)果對與特定脆弱性相關(guān)的威脅真正出現(xiàn)的可能性會有什么影響？A：如果窗戶被修好，威脅真正出現(xiàn)的可能性會增加B:如果窗戶被修好，威脅真正出現(xiàn)的可能性會保持不變C：如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會下降D：如果窗戶沒有被修好，威脅真正出現(xiàn)的可能性會增加計算機(jī)應(yīng)急響應(yīng)小組的簡稱是?A：CERTB：FIRSTC：SANAD:CEAT在金融交易的電子數(shù)據(jù)交換(EDI)通信過程中，對金額字段計算校驗和是為確保A.完整性B.實性C。授權(quán)D。不可否認(rèn)性數(shù)據(jù)輸入、處理和輸出控制審計屬于下列哪一項審計的范疇A。應(yīng)用控制審計B。一般控制審計C。項目管理審計D.以上都不對選擇審計流程時，信息安全審計師應(yīng)運(yùn)用自己的專業(yè)性判斷，以確保A.收集充分的證據(jù)B.所有識別出的重大缺陷在合理的期限內(nèi)均得以糾正C。識別出所有嚴(yán)重漏洞D.將審計成本控制在最低水平執(zhí)行計算機(jī)取證調(diào)查時，對于收集到證據(jù),IS審計師最應(yīng)關(guān)注的是A。證據(jù)的分析B。證據(jù)的評估C。證據(jù)的保存D.證據(jù)的泄露下列哪種說法針對審計證據(jù)可靠性的說法是錯誤的A。間接獲取的審計證據(jù)比直接獲取的審計證據(jù)更可靠B。從被審計單位直接觀察測試獲取的審計證據(jù)比經(jīng)被審計單位加工處理后提交的審計證據(jù)更可靠C.原件形式的審計證據(jù)比復(fù)制件形式的審計證據(jù)更可靠D。以上都不對在以下那種情況下，組織應(yīng)當(dāng)對公眾和媒體告知其信息系統(tǒng)中發(fā)生的信息安全事件？A

當(dāng)信息安全事件的負(fù)面影響擴(kuò)展到本組織以外時B

只要發(fā)生了安全事件就應(yīng)當(dāng)公告C

只有公眾的生命財產(chǎn)安全受到巨大危害時才公告D

當(dāng)信息安全事件平息后

信息安全管理體系（informationSecurltyManagementSystem.簡稱ISMS）要求建立過程體系，該過程體系是在如下(）基礎(chǔ)上構(gòu)建的。A：IATF（InformationAssuranceTechnicalFramework)B：P2DR(Policy，Protection，Detection，Response）C：PDCERF（Preparation，Detection,Containment，Eradication，Recovery,Follow-up)D:PDCA（Plan，Do，Check，Act）關(guān)于風(fēng)險要素識別階段工作內(nèi)容敘述錯誤的是：A:資產(chǎn)識別是指對需要保護(hù)的資產(chǎn)和系統(tǒng)等進(jìn)行識別和分類B：威脅識別是指識別與每項資產(chǎn)相關(guān)的可能威脅和漏洞及其發(fā)生的可能性C：脆弱性識別以資產(chǎn)為核心，針對每一項需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點(diǎn)，并對脆弱性的嚴(yán)重程度進(jìn)行評估D：確認(rèn)已有的安全措施僅屬于技術(shù)層面的工作，牽涉到具體方面包括：物理平臺、系統(tǒng)平臺、網(wǎng)絡(luò)平臺和應(yīng)用平臺企業(yè)資源規(guī)劃中的總帳設(shè)置功能允許設(shè)定會計期間。對此功能的訪問被授予財務(wù)、倉庫和訂單錄入部門的用戶。這種廣泛的訪問最有可能是因為：A：經(jīng)常性地修改會計期間的需要B：需要向關(guān)閉的會計期間過入分錄C：缺乏適當(dāng)?shù)穆氊?zé)分工政策和步驟D：需要創(chuàng)建和修改科目表及其分配許多組織強(qiáng)制要求雇員休假一周或更長時間,以便：A:確保雇員維持生產(chǎn)質(zhì)量，從而生產(chǎn)力更高B:減少雇員從事不當(dāng)或非法行為的機(jī)會C:為其他雇員提供交叉培訓(xùn)D:消除當(dāng)某個雇員一次休假一天造成的潛在的混亂文檔體系建設(shè)是信息安全管理體系(ISMS)建設(shè)的直接體現(xiàn)，下列說法不正確的是:A:組織內(nèi)的信息安全方針文件.信息安全規(guī)章制度文件。信息安全相關(guān)操作規(guī)范文件等文檔是組織的工作標(biāo)準(zhǔn)，也是ISMS審核的依據(jù)B：組織內(nèi)的業(yè)務(wù)系統(tǒng)日志文件.風(fēng)險評估報告等文檔是對上一級文件的執(zhí)行和記錄，對這些記錄不需要保護(hù)和控制C:組織在每份文件的首頁,加上文件修訂跟蹤表，以顯示每一版本的版本號.發(fā)布日期.編寫人。審批人.主要修訂等內(nèi)容D：層次化的文檔是ISMS建設(shè)的直接體現(xiàn)，文檔體系應(yīng)當(dāng)依據(jù)風(fēng)險評估的結(jié)果建立信息安全風(fēng)險的三要素是指:A：資產(chǎn)、威脅、脆弱性B：資產(chǎn)、使命、威脅C：使命、威脅、脆弱性D:威脅、脆弱性、使命下列哪個領(lǐng)域經(jīng)常面臨微型計算機(jī)迅速發(fā)展帶來的風(fēng)險？1、備份和恢復(fù)。2、應(yīng)用程序開發(fā)成本。3、記錄的批量更新。4、訪問的安全.5、違反版權(quán)法。A:4、2、2B:2、3、4C：3、4、5D:1、4、5如果已決定買進(jìn)軟件而不是內(nèi)部自行開發(fā),那么這一決定通常發(fā)生于：A:項目需求定義階段B：項目可行性研究階段C:項目詳細(xì)設(shè)計階段D：項目編程階段某銀行信息系統(tǒng)為了滿足業(yè)務(wù)發(fā)展的需要準(zhǔn)備進(jìn)行升級改造，以下哪一項不是此次改造中信息系統(tǒng)安全需求分析過程需要考慮的主要因素?A：信息系統(tǒng)安全必須遵循的相關(guān)法律法規(guī),國家以及金融行業(yè)安全標(biāo)準(zhǔn)B:信息系統(tǒng)所承載該銀行業(yè)務(wù)正常運(yùn)行的安全需求C:消除或降低該銀行信息系統(tǒng)面臨的所有安全風(fēng)險D:該銀行整體安全策略某集團(tuán)公司根據(jù)業(yè)務(wù)需要，在各地分支機(jī)構(gòu)部署前置機(jī),為了保證安全，集團(tuán)總部要求前置機(jī)開放日志共享,由總部服務(wù)器采集進(jìn)行集中分析，在運(yùn)行過程中發(fā)現(xiàn)攻擊者也可通過共享從前置機(jī)中提取日志，從而導(dǎo)致部分敏感信息泄露，根據(jù)降低攻擊面的原則，應(yīng)采取以下哪項處理措施?A:由于共享導(dǎo)致了安全問題，應(yīng)直接關(guān)閉日志共享,禁止總部提取日志進(jìn)行分析B:為配合總部的安全策略，會帶來一定的安全問題，但不影響系統(tǒng)使用，因此接受此風(fēng)險C：日志的存在就是安全風(fēng)險,最好的辦法就是取消日志，通過設(shè)置讓前置機(jī)不記錄日志D:只允許特定的IP地址從前置機(jī)提取日志，對日志共享設(shè)置訪問密碼且限定訪問的時間在契約性協(xié)議包含源代碼第三方保存契約(escrow)的目的是：A：保證在供應(yīng)商不存在時源代碼仍然有效B:允許定制軟件以滿足特定的業(yè)務(wù)需求C：審核源代碼以保證控制的充分性D：保證供應(yīng)商已遵從法律要求為了保護(hù)企業(yè)的知識產(chǎn)權(quán)和其它資產(chǎn)，當(dāng)終止與員工的聘用關(guān)系時下面哪一項是最好的方法？A:進(jìn)行離職談話,讓員工簽署保密協(xié)議，禁止員工賬號，更改密碼B：進(jìn)行離職談話，禁止員工賬號，更改密碼C：讓員工簽署跨邊界協(xié)議D:列出員工在解聘前需要注意的所有責(zé)任下面哪種方法產(chǎn)生的密碼是最難記憶的？A：將用戶的生日倒轉(zhuǎn)或是重排B:將用戶的年薪倒轉(zhuǎn)或是重排C：將用戶配偶的名字倒轉(zhuǎn)或是重排D:用戶隨機(jī)給出的字母在信息安全策略體系中，下面哪一項屬于計算機(jī)或信息安全的強(qiáng)制性規(guī)則？A：標(biāo)準(zhǔn)（Standard)B:安全策略（Securitypolicy)C:方針（Guideline）D:流程（Procedure）軟件的供應(yīng)商或是制造商可以在他們自己的產(chǎn)品中或是客戶的計算機(jī)系統(tǒng)上安裝一個“后門"程序。以下哪一項是這種情況面臨的最主要風(fēng)險?A:軟件中止和黑客入侵B：遠(yuǎn)程監(jiān)控和遠(yuǎn)程維護(hù)C:軟件中止和遠(yuǎn)程監(jiān)控D:遠(yuǎn)程維護(hù)和黑客入侵以下哪一項計算機(jī)安全程序的組成部分是其它組成部分的基礎(chǔ)？A:制度和措施B:漏洞分析C:意外事故處理計劃D：采購計劃ISMS所要求的文件應(yīng)予以保護(hù)和控制，應(yīng)編制形成文件控制程序，下列哪項不是該程序所規(guī)定的管理措施？A：確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識B:防止作廢文件的非預(yù)期使用C:確保文件可以為需要者所獲得，但防止需要者對文件進(jìn)行轉(zhuǎn)移、存儲和銷毀D：確保在使用處可獲得適用文件的最新版本以下對于信息安全事件理解錯誤的是：A:信息安全事件，是指由于自然或者人為以及軟硬件本身缺陷或故障的原因,對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件B:對信息安全事件進(jìn)行有效管理和響應(yīng)，最小化事件所造成的損失和負(fù)面影響，是組織信息安全戰(zhàn)略的一部分C：應(yīng)急響應(yīng)是信息安全事件管理的重要內(nèi)容D：通過部署信息安全策略并配合部署防護(hù)措施，能夠?qū)π畔⒓靶畔⑾到y(tǒng)提供保護(hù)，杜絕信息安全事件的發(fā)生小王是某大學(xué)計算科學(xué)與技術(shù)專業(yè)的畢業(yè)生，大四上學(xué)期開始找工作，期望謀求一份技術(shù)管理的職位，一次面試中,某公司的技術(shù)經(jīng)理讓小王談一談信息安全風(fēng)險管理中的“背景建立"的基本概念與認(rèn)識，小王的主要觀點(diǎn)包括：（1)背景建立的目的是為了明確信息安全風(fēng)險管理的范圍和對象，以及對象的特性和安全要求，完成信息安全風(fēng)驗管理項目的規(guī)劃和準(zhǔn)備;（2)背景建立根據(jù)組織機(jī)構(gòu)相關(guān)的行業(yè)經(jīng)驗執(zhí)行，雄厚的經(jīng)驗有助于達(dá)到事半功倍的效果；（3)背景建立包括：風(fēng)險管理準(zhǔn)備.信息系統(tǒng)調(diào)查.信息系統(tǒng)分析和信息安全分析；（4）背景建立的階段性成果包括：風(fēng)險管理計劃書，信息系統(tǒng)的描述報告，信息系統(tǒng)的分析報告,信息系統(tǒng)的安全要求報告。請問小王的所述論點(diǎn)中錯誤的是哪項：A:第一個觀點(diǎn)，背景建立的目的只是為了明確信息安全風(fēng)險管理的范圍和對象B：第二個觀點(diǎn)，背景建立的依據(jù)是國家.地區(qū)域行業(yè)的相關(guān)政策、法律、法規(guī)和標(biāo)準(zhǔn)C：第三個觀點(diǎn)，背景建立中的信息系統(tǒng)調(diào)查與信息系統(tǒng)分析是同一件事的兩個不同名字D：第四個觀點(diǎn)，背景建立的階段性成果中不包括有風(fēng)險管理計劃書關(guān)于信息安全管理，說法錯誤的是：A：信息安全管理是管理者為實現(xiàn)信息安全目標(biāo)(信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù)）而進(jìn)行的計劃、組織、指揮和控制的一系列活動。B：信息安全管理是一個多層面。多因素的過程，依賴于建立信息安全組織、明確信息安全角色及職責(zé)、制訂信息安全方針策略標(biāo)準(zhǔn)規(guī)范、建立有效的監(jiān)督審計機(jī)制等多方面的非技術(shù)性的努力。C:實現(xiàn)信息安全,技術(shù)和產(chǎn)品是基礎(chǔ),管理是關(guān)鍵。D:信息安全是人員、技術(shù)、操作三者緊密合作的系統(tǒng)工程,是一個靜態(tài)過程。職責(zé)分離的主要目的是：A:不允許任何一個人可以從頭到尾控制某一工作的整個流程B：不同部門的雇員不可以在一起工作C：對于所有的資源都必須有保護(hù)措施D：對于所有的設(shè)備都必須有操作控制措施以下哪一個是對人員安全管理中“授權(quán)蔓延”這概念的正確理解？A:往來人員在進(jìn)行系統(tǒng)維護(hù)時沒有受到足夠的監(jiān)控B：一個人擁有了不是其完成工作所必要的權(quán)限C：敏感崗位和重要操作長期有一個人獨(dú)自負(fù)責(zé)D:員工有一個崗位變動到另一個崗位，累積越來越多的權(quán)限信息系統(tǒng)的業(yè)務(wù)特性應(yīng)該從哪里獲取？A:機(jī)構(gòu)的使命B：機(jī)構(gòu)的戰(zhàn)略背景和戰(zhàn)略目標(biāo)C:機(jī)構(gòu)的業(yè)務(wù)內(nèi)容和業(yè)務(wù)流程D:機(jī)構(gòu)的組織結(jié)構(gòu)和管理制度注重安全管理體系建設(shè),人員意識的培訓(xùn)和教育，是信息安全發(fā)展哪一個階段的特點(diǎn)?A：通信安全B：計算機(jī)安全C：信息安全D：信息安全保障能夠最佳地提供本地服務(wù)器上的將處理的工資數(shù)據(jù)的訪問控制的是：A:將每次訪問記入個人信息（即:作日志）B：對敏感的交易事務(wù)使用單獨(dú)的密碼/口令C：使用軟件來約束授權(quán)用戶的訪問D：限制只有營業(yè)時間內(nèi)才允許系統(tǒng)訪問以下哪一項在防止數(shù)據(jù)介質(zhì)被濫用時是不推薦使用的方法：A：禁用主機(jī)的CD驅(qū)動、USB接口等I/O設(shè)備B：對不再使用的硬盤進(jìn)行嚴(yán)格的數(shù)據(jù)清除C：將不再使用的紙質(zhì)文件用碎紙機(jī)粉碎D：用快速格式化刪除存儲介質(zhì)中的保密文件以下關(guān)于CSIRT的說法錯誤的是：A：CSIRT是“計算機(jī)安全應(yīng)急響應(yīng)小組”的英文縮寫B(tài)：CSIRT應(yīng)當(dāng)包括法律、技術(shù)和其他專家，以及刑偵管理人員C：CSIRT應(yīng)當(dāng)是一個常設(shè)機(jī)構(gòu)，其成員應(yīng)當(dāng)專職從事應(yīng)急響應(yīng)，以便最快速地做出反應(yīng)D：應(yīng)急響應(yīng)工作本質(zhì)上是被動的，因此CSIRT應(yīng)當(dāng)在事件發(fā)生前做好充分準(zhǔn)備,盡可能爭取主動隨著()的增加，信息系統(tǒng)的安全風(fēng)險降低。A:威脅B：脆弱性C：資產(chǎn)的重要度D:控制措施以下哪一項措施不是用來支持“最小權(quán)限原則”的：A：嚴(yán)格限制系統(tǒng)管理員的數(shù)量B：管理員應(yīng)使用普通用戶身份進(jìn)行常規(guī)操作，如閱讀郵件C：將系統(tǒng)用戶的角色分為管理員、審計員和普通用戶D:只允許系統(tǒng)軟件和應(yīng)用系統(tǒng)需要使用的數(shù)據(jù)通過防火墻在信息系統(tǒng)設(shè)計階段，“安全產(chǎn)品選擇”處于風(fēng)險管理過程的哪個階段？A:背景建立B:風(fēng)險評估C:風(fēng)險處理D:批準(zhǔn)監(jiān)督以下哪個不是計算機(jī)取證工作的作用？A：通過證據(jù)查找肇事者B：通過證據(jù)推斷犯罪過程C:通過證據(jù)判斷受害者損失程度D：恢復(fù)數(shù)據(jù)降低損失信息系統(tǒng)生命周期階段正確的劃分是：A：設(shè)計、實施、運(yùn)維、廢棄B：規(guī)劃、實施、運(yùn)維、廢棄C：規(guī)劃、設(shè)計、實施、運(yùn)維、廢棄D：設(shè)計、實施、運(yùn)行某網(wǎng)站為了開發(fā)的便利,SA連接數(shù)據(jù)庫,由于網(wǎng)站腳本中被發(fā)現(xiàn)存在SQL注入漏洞，導(dǎo)致攻擊者利用內(nèi)置存儲過程xp_cmdshell刪除了系統(tǒng)中的一個重要文件，在進(jìn)行問題分析時，作為安全專家,你應(yīng)該指出該網(wǎng)站設(shè)計違反了以下哪項原則:A:權(quán)限分離原則B:最小特權(quán)原則C：保護(hù)最薄弱環(huán)節(jié)的原則D:縱深防御的原則對每個字符和每一幀都傳輸冗余信息，可以實現(xiàn)對錯誤的檢測和校正，這種方法稱為：A:反饋錯誤控制B：塊求和校驗C：轉(zhuǎn)發(fā)錯誤控制D：循環(huán)冗余校驗以下哪一個不是我國信息安全事件分級的分級要素？A:信息系統(tǒng)的重要程度B：系統(tǒng)損失C:系統(tǒng)保密級別D:社會影響“通知相關(guān)人員ISMS的變更”是建立信息安全管理體系哪個階段的活動?A:規(guī)劃和建立B:實施和運(yùn)行C:監(jiān)視和評審D:保持和改進(jìn)以下哪項不是信息安全策略變更的原因？A：每年至少一次管理評審B:業(yè)務(wù)發(fā)生重大變更C:管理機(jī)構(gòu)發(fā)生變更D:設(shè)備發(fā)生變更以下哪項不是風(fēng)險評估階段應(yīng)該做的？A:對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價B：對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估C:對已存在的成規(guī)劃的安全控制措施進(jìn)行界定。D：根據(jù)評估結(jié)果實施相應(yīng)的安全控制措施以下哪個選項不是信息安全需求較為常見的來源？A:法律法規(guī)與合同條約的要求B：組織的原則、目標(biāo)和規(guī)定C:風(fēng)險評估的結(jié)果D：安全架構(gòu)和安全廠商發(fā)布的漏洞、病毒預(yù)警信息安全管理體系是基于(）的方法，來建立、實施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全。A:信息安全B：業(yè)務(wù)風(fēng)險C：信息系統(tǒng)防護(hù)D:安全風(fēng)險依照《信息安全事件分級分類指南》中對信息安全事件分類的規(guī)定，以下哪一項屬于有害程序事件？A:信息被篡改B:黃色反動信息傳播C:網(wǎng)絡(luò)釣魚D：木馬攻擊以下哪一項不是《信息安全事件分級分類指南》中信息安全事件分級需要參考的三個重要因素之一？A:信息系統(tǒng)的重要程度B:信息系統(tǒng)的用戶數(shù)量C：事件造成的系統(tǒng)損失D：事件造成的社會影響如果對于程序變動的手工控制收效甚微，以下哪一種方法將是最有效的?A：自動軟件管理B:書面化制度C：書面化方案D：書面化標(biāo)準(zhǔn)在許多組織機(jī)構(gòu)中，產(chǎn)生總體安全性問題的主要原因是:A:缺少安全性管理B：缺少故障管理C：缺少風(fēng)險分析D：缺少技術(shù)控制機(jī)制從風(fēng)險的觀點(diǎn)來看，一個具有任務(wù)緊急