PDCA 循环又叫戴明环，是管理学常用的一种模型。关于 PDCA 四个字母，下面理解错误的是（）。 | NISP二级3练习题三卷

单选题某集团公司根据业务需要，在各地分支机构部署前置机，为了保证安全，集团总部要求前置机开放日志共享，由总部服务器采集进行集中分析，在运行过程中发现攻击者也可通过共享从前置机中提取日志，从而导致部分敏感信息泄露，根据降低攻击面的原则，应采取以下哪项处理措施 ()

A、日志的存在就是安全风险，最好的办法就是取消日志，通过设置让前置机不记录日志

B、只允许特定的 IP 地址从前置机提取日志，对日志共享设置访问密码且限定访问的时间

C、由于共享导致了安全问题，应直接关闭日志共享，禁止总部提取日志进行分析

D、为配合总部的安全策略，会带来一定的安全问题，但不影响系统使用，因此接受此风险

查看答案

单选题以下关于威胁建模流程步骤说法不正确的是（）。

A、威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁

B、评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险

C、消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁

D、识别威胁是发现组件或进程存在的威胁，它可能是恶意的，也可能不是恶意的，威胁就是漏洞

查看答案

单选题以下有关系统工程说法错误的是（）。

A、系统工程只需使用定量分析的方法，通过建立实际对象的数学模型，应用合适的优化算法对模型求解，解决实际问题

B、系统工程的目的是实现总体效果最优化，即从复杂问题的总体入手，认为总体大于各部分之和，各部分虽然存在不足，但总体可以优化

C、霍尔三维结构将系统工程整个活动过程分为前后紧密衔接的 7 个阶段和 7 个步骤

D、系统工程不属于基本理论，也不属于技术基础，它研究的重点是方法论

查看答案

单选题规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下（）中的输出结果。

A、风险要素识别

B、风险结果判定

C、风险分析

D、风险评估准备

查看答案

单选题信息系统安全保障是在信息系统的整个生命周期中，通过对信息系统的风险分析，制定并执行相应的安全保障策略，从技术、管理、工程和人员等方面提出安全保障要求，确保信息系统的保密性、完整性和可用性，降低安全风险到可接受的程度，从而保障系统实现组织机构的业务。信息系统保障工作如图所示。从该图不难得出，信息系统是（）。信息系统安全风险的因素主要有 ()

A、

用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和；信息系统自身存在的漏洞

B、

用于采集、处理整个基础设施、组织结构、人员和组件的总和；信息系统自身存在的漏洞、来自系统外部的威胁和人为操作引入的安全风险

C、

用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和；信息系统来自系统外部的威胁和人为操作引入的安全风险

D、

用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和；信息系统自身存在的漏洞和来自系统外部的威胁

查看答案

单选题即使最好用的安全产品也存在（）。结果，在任何的系统中敌手最终都能够找出一个被开发出的漏洞。一种有效的对策是在敌手和它的目标之间配备多种（）。每一种机制都应包括（）两种手段。

A、安全缺陷；安全机制；外边和内部

B、安全机制；安全缺陷；保护和检测

C、安全缺陷；安全机制；保护和检测

D、安全缺陷；保护和检测；安全机制

查看答案

单选题关于信息安全事件管理和应急响应，以下说法错误的是（）。

A、应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施

B、根据信息安全事件的分级参考要素，可将信息安全事件划分为 4 个级别：特别重大事件（I 级）、重大事件（II 级）、较大事件（III 级）和一般事件（IV 级）

C、应急响应方法，将应急响应管理过程分为遏制、根除、处置、恢复、报告和跟踪 6 个阶段

D、对信息安全事件的分级主要参考信息系统的重要程度、系统损失和社会影响三方面因素

查看答案

单选题我国标准《信息安全风险管理指南》（GB/Z 24364）给出了信息安全风险管理的内容和过程，可以用下图来表示。图中空白处应该填写（）。

A、

风险评价

B、

风险计算

C、

风险预测

D、

风险处理

查看答案