A.信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充
B.信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)以檢查評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充
C.自評(píng)估和檢查評(píng)估時(shí)相互排斥的，單位應(yīng)慎重地從兩種工作形式選擇一個(gè)，并長(zhǎng)期使用
D.自評(píng)估和檢查評(píng)估是相互排斥的，無(wú)特殊理由的單位均應(yīng)選擇檢查評(píng)估，以保證安全效果

A.ISO 27001 《Information technology–Security techniques–Informtion security management systems-Requirements》
B.X.509《Information Technology–Open Systems–The Directory：Authentication Framcwork》
C.SP 800-37《Guide for Applying the Risk Management Framcwork to FederalInformationSystems》
D.RFC 2402《IP Authenticat Header》

A.信息安全管理體系的建立應(yīng)參照國(guó)際國(guó)內(nèi)有關(guān)標(biāo)準(zhǔn)實(shí)施，因?yàn)檫@些標(biāo)準(zhǔn)是標(biāo)準(zhǔn)化組織在總結(jié)研究了很多實(shí)際的或潛在的問(wèn)題后，制定的能共同的和重復(fù)使用的規(guī)則
B.信息安全管理體系的建立應(yīng)基于最新的信息安全技術(shù)，因?yàn)檫@是國(guó)家有關(guān)信息安全的法律和法規(guī)方面的要求，這體現(xiàn)以預(yù)防控制為主的思想
C.信息安全管理體系應(yīng)強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制的思想，因?yàn)榘踩珕?wèn)題是動(dòng)態(tài)的，系統(tǒng)所處的安全環(huán)境也不會(huì)一成不變的，不可能建設(shè)永遠(yuǎn)安全的系統(tǒng)
D.信息安全管理體系應(yīng)體現(xiàn)科學(xué)性和全面性的特點(diǎn)，因?yàn)橐獙?duì)信息安全管理設(shè)計(jì)的方方面面實(shí)施較為均衡的管理，避免遺漏某些方面而導(dǎo)致組織的整體信息安全水平過(guò)低

A.最小共享機(jī)制原則
B.經(jīng)濟(jì)機(jī)制原則
C.不信任原則
D.默認(rèn)故障處理保護(hù)原則

A.設(shè)計(jì)了用戶權(quán)限分級(jí)機(jī)制和最小特權(quán)原則，導(dǎo)致軟件在發(fā)布運(yùn)行后，系統(tǒng)管理員不能查看系統(tǒng)審計(jì)信息
B.設(shè)計(jì)了采用不加鹽（SALT）的SHA-1算法對(duì)用戶口令進(jìn)行加密存儲(chǔ)，導(dǎo)致軟件在發(fā)布運(yùn)行后，不同的用戶如使用了相同的口令會(huì)得到相同的加密結(jié)果，從而可以假冒其他用戶登錄
C.設(shè)計(jì)了緩存用戶隱私數(shù)據(jù)機(jī)制以加快系統(tǒng)處理性能，導(dǎo)致軟件在發(fā)布運(yùn)行后，被黑客攻擊獲取到用戶隱私數(shù)據(jù)
D.設(shè)計(jì)了采用自行設(shè)計(jì)的加密算法對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行保護(hù)，導(dǎo)致軟件在發(fā)布運(yùn)行后，被攻擊對(duì)手截獲網(wǎng)絡(luò)數(shù)據(jù)并破解后得到明文