工程等分别规划实施
D.SSE-CMM 覆盖整个组织的活动,包括管理、组织和工程活动等,而不仅仅是系统安全的工程活动
83.下面关于信息系统安全保障的说法不正确的是:
A.信息系统安全保障与信息系统的规划组织、开发采购、实施交付、运行维护和废弃等生命周期密切相关
B.信息系统安全保障要素包括信息的完整性、可用性和保密性 C.信息系统安全需要从技术、工程、管理和人员四个领域进行综合保障
D.信息系统安全保障需要将信息系统面临的风险降低到可接受的程度,从而实现其业务使命
84.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时,正确的理解是: A.测量单位是基本实施(Base Practices,BP) B.测量单位是通用实施(Generic Practices,GP) C.测量单位是过程区域(Process Areas,PA) D.测量单位是公共特征(Common Features,CF) 85.下面关于信息系统安全保障模型的说法不正确的是: A.国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T20274.1-2006)中的信息系统安全保障模型将风险和策略作为基础和核心
B.模型中的信息系统生命周期模型是抽象的概念性说明模型,在信
息系统安全保障具体操作时,可根据具体环境和要求进行改动和细化 C.信息系统安全保障强调的是动态持续性的长效安全,而不仅是某时间点下的安全
D.信息系统安全保障主要是确保信息系统的保密性、完整性和可用性,单位对信息系统运行维护和使用的人员在能力和培训方面不需要投入
86.信息系统安全工程(ISSE)的一个重要目标就是在IT 项目的各个阶段充分考虑安全因素,在IT 项目的立项阶段,以下哪一项不是必须进行的工作:
A.明确业务对信息安全的要求 B.识别来自法律法规的安全要求 C.论证安全要求是否正确完整
D.通过测试证明系统的功能和性能可以满足安全要求
87.关于信息安全保障技术框架(IATF),以下说法不正确的是: A.分层策略允许在适当的时候采用低安全级保障解决方案以便降低信息安全保障的成本
B.IATF 从人、技术和操作三个层面提供一个框架实施多层保护,使攻击者即使攻破一层也无法破坏整个信息基础设施
C.允许在关键区域(例如区域边界)使用高安全级保障解决方案,确保系统安全性
D.IATF 深度防御战略要求在网络体系结构的各个可能位置实现所有信息安全保障机制
88.以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述?
A.应基于法律法规和用户需求,进行需求分析和风险评估,从信息系统建设的开始就综合信息系统安全保障的考虑
B.应充分调研信息安全技术发展情况和信息安全产品市场,选择最先进的安全解决方案和技术产品
C.应在将信息安全作为实施和开发人员的一项重要工作内容,提出安全开发的规范并切实落实
D.应详细规定系统验收测试中有关系统安全性测试的内容 89.信息安全工程监理的职责包括:
A.质量控制、进度控制、成本控制、合同管理、信息管理和协调 B.质量控制、进度控制、成本控制、合同管理和协调
C.确定安全要求、认可设计方案、监视安全态势、建立保障证据和协调
D.确定安全要求、认可设计方案、监视安全态势和协调 90.关于信息安全保障的概念,下面说法错误的是:
A.信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
B.信息安全保障已从单纯的保护和防御阶段发展为集保护、检测和响应为一体的综合阶段
C.在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全
D.信息安全保障把信息安全从技术扩展到管理,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统及业务使命的保障 91.关于监理过程中成本控制,下列说法中正确的是? A.成本只要不超过预计的收益即可 B.成本应控制得越低越好
C.成本控制由承建单位实现,监理单位只能记录实际开销 D.成本控制的主要目的是在批准的预算条件下确保项目保质按期完成
92.有关危害国家秘密安全的行为,包括:
A.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
B.严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
C.严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
D.严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为
93.下列关于ISO15408 信息技术安全评估准则(简称CC)通用性的特
点,即给出通用的表达方式,描述不正确的是______。
A.如果用户、开发者、评估者和认可者都使用CC 语言,互相就容易理解沟通
B.通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C.通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要
D.通用性的特点使得CC 也适用于对信息安全建设工程实施的成熟度进行评估
94.信息系统建设完成后, ( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格后方可投入使用。 A.二级以上 B.三级以上 C.四级以上 D.五级以上
95.有关国家秘密,错误的是:
A.国家秘密是关系国家安全和利益的事项 B.国家秘密的确定没有正式的法定程序
C.除了明确规定需要长期保密的,其他的园家秘密都是有保密期限的 D.国家秘密只限一定范围的人知悉
96.在可信计算机系统评估准则(TCSEC)中,下列哪一项是满足强制保护要求的最低级别?