信息安全管理體系ISMS是建立和維持信息安全管理體系的（），標準要求組織通過確定信息安全管理系統(tǒng)范圍、制定（）、明確定管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系；體系一旦建立組織應按體系規(guī)定的要求進行運作，保持體系運作的有效性；信息安全管理體系應形成一定的（），即組織應建立并保持一個文件化的信息安全（），其中應闡述被保護的資產、組織安全管理體系應形成一定的（）。

你是單位安全主管，由于微軟剛發(fā)布了數(shù)個系統(tǒng)漏洞補丁，安全運維人員給出了針對此漏洞修補的四個建議方案，請選擇其中一個最優(yōu)方案執(zhí)行（）。

火災是機房日常運營中面臨最多的安全威脅之一，火災防護的工作是通過構建火災預防、檢測和響應系統(tǒng)，保護信息化相關人員和信息系統(tǒng)，將火災導致的影響降低到可接受的程度。下列選項中，對火災的預防、檢測和抑制的措施描述錯誤的選項是（）。

信息安全管理體系也采用了（）模型，該模型可應用于所有的（）。ISMS把相關方的信息安全要求和期望作為輸入，并通過必要的（），產生滿足這些要求和期望的（）。

為了開發(fā)高質量的軟件，軟件效率成為最受關注的話題。那么開發(fā)效率主要取決于以下兩點：開發(fā)新功能是否迅速以及修復缺陷是否及時。為了提高軟件測試的效率，應（）。

在設計信息系統(tǒng)安全保障方案時，以下哪個做法是錯誤的？（）

等級保護實施根據(jù)GB/T25058-2010《信息安全技術信息系統(tǒng)安全等級保護實施指南》分為五大階段；（）、總體規(guī)劃、設計實施、（）和系統(tǒng)終止。但由于在開展等級保護試點工作時，大量信息系統(tǒng)已經建設完成，因此根據(jù)實際情況逐步形成了（）、備案、差距分析（也叫差距測評）、建設整改、驗收測評、定期復查為流程的（）工作流程。和《等級保護實施指南》中規(guī)定的針對（）的五大階段略有差異。

某單位在進行內部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進行單位內的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內部審計時被質疑，原因在于小張使用的漏洞掃描軟件采購于三年前，服務已經過期，漏洞庫是半年前最后一次更新的。關于內部審計人員對這份報告的說法正確的是（）。

組織應定期監(jiān)控、審查、審計（）服務，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問題得到妥善管理。應將管理供應商關系的責任分配給指定的個人或（）團隊。另外，組織應確保落實供應商符合性審查和相關協(xié)議要求強制執(zhí)行的責任。應保存足夠的技術技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實現(xiàn)。當發(fā)現(xiàn)服務交付的不足時，宜采?。ǎ．敼烫峁┑姆?，包括對（）方針、規(guī)程和控制措施的維持和改進等發(fā)生變更時，應在考慮到其對業(yè)務信息、系統(tǒng)、過程的重要性和重新評估風險的基礎上管理。

分析針對Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說攻擊者不會把它當作攻擊的對象。而是應用了http協(xié)議的服務器或則客戶端、以及運行的服務器的wed應用資源才是攻擊的目標。針對Web應用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當中錯誤的是（）。