A.權(quán)限最?。河脩糁粦?yīng)具有最小權(quán)限
B.按需授權(quán)：權(quán)限審批時(shí)應(yīng)根據(jù)用戶申請給予審批授權(quán)
C.職責(zé)分離：用戶訪問的請求、授權(quán)應(yīng)實(shí)現(xiàn)職責(zé)分離
D.默認(rèn)拒絕：未經(jīng)明確授權(quán)，一律視為禁止

A.無需定期對承包方人員進(jìn)行信息安全培訓(xùn)
B.所有訪問保密信息的承包方人員宜在給予訪問信息處理設(shè)施權(quán)限之前簽署保密或不泄露協(xié)議
C.信息安全角色和職責(zé)宜在任用前的過程中傳達(dá)給職務(wù)的候選者
D.應(yīng)向雇員和承包方人員明確信息處理設(shè)施和信息服務(wù)有關(guān)的信息分類和組織資產(chǎn)管理的職責(zé)

A.如果必要并可行，對于從組織取走的所有介質(zhì)要要求授權(quán)、所有這種移動(dòng)的記錄要加保持，以保持審核蹤跡
B.要將所有介質(zhì)存儲在安全、保密的環(huán)境中
C.如果數(shù)據(jù)保密性或完整性是重要的考慮事項(xiàng)，宜使用加密技術(shù)來保護(hù)在可移動(dòng)介質(zhì)中的數(shù)據(jù)
D.可移動(dòng)介質(zhì)屬于低值易耗品，因此無需進(jìn)行管理

A.特權(quán)用戶應(yīng)當(dāng)擁有信息系統(tǒng)所有權(quán)限
B.應(yīng)確保賬戶在授權(quán)過程完成之前確保訪問權(quán)限不會被激活
C.對特權(quán)用戶的操作進(jìn)行記錄
D.及時(shí)修改已變更角色或職位的用戶的訪問權(quán)限，立即撤銷或封鎖離開組織的用戶的訪問權(quán)限

A.特洛伊木馬
B.地址欺騙
C.緩沖區(qū)溢出
D.拒絕服務(wù)

A.組織獲證范圍內(nèi)的業(yè)務(wù)活動(dòng)場所、地址變更
B.組織的適用性聲明中對控制措施的選擇相關(guān)內(nèi)容發(fā)生變更
C.組織獲證范圍內(nèi)業(yè)務(wù)應(yīng)用系統(tǒng)發(fā)生重大變更，如系統(tǒng)架構(gòu)變更
D.組織的信息安全管理體系年度內(nèi)部審核計(jì)劃變更

A.客戶信息
B.被放置在IDC機(jī)房的服務(wù)器
C.保潔服務(wù)
D.以上都不對

A.無法被檢測
B.只需要監(jiān)聽網(wǎng)絡(luò)流量
C.速度較快、準(zhǔn)確性較好
D.不需要主動(dòng)發(fā)送網(wǎng)絡(luò)包

A.確定所審核的管理體系或其一部分與審核準(zhǔn)則的符合程度
B.為制定組織信息安全管理體系改進(jìn)計(jì)劃提供輸入
C.評價(jià)管理體系的能力，以確保滿足法律法規(guī)和其他相關(guān)求
D.評價(jià)管理體系在實(shí)現(xiàn)組織信息安全目標(biāo)方面的有效性

A.風(fēng)險(xiǎn)評價(jià)就是將分析過程中發(fā)現(xiàn)的風(fēng)險(xiǎn)程度與先前建立的風(fēng)險(xiǎn)準(zhǔn)則比較
B.風(fēng)險(xiǎn)評價(jià)的輸入是風(fēng)險(xiǎn)分析的結(jié)果
C.風(fēng)險(xiǎn)評價(jià)通過組織的要求和對位置條件定量或者定性來對輸入進(jìn)行分析和評價(jià)
D.風(fēng)險(xiǎn)評價(jià)的輸出是一份有助于確定風(fēng)險(xiǎn)處置措施的風(fēng)險(xiǎn)清單