信息安全管理體系ISMS是建立和維持信息安全管理體系的（），標(biāo)準(zhǔn)要求組織通過(guò)確定信息安全管理系統(tǒng)范圍、制定（）、明確定管理職責(zé)、以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)與控制方式等活動(dòng)建立信息安全管理體系；體系一旦建立組織應(yīng)按體系規(guī)定的要求進(jìn)行運(yùn)作，保持體系運(yùn)作的有效性；信息安全管理體系應(yīng)形成一定的（），即組織應(yīng)建立并保持一個(gè)文件化的信息安全（），其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織安全管理體系應(yīng)形成一定的（）。

下列選項(xiàng)中對(duì)信息系統(tǒng)審計(jì)概念的描述中不正確的是（）。

組織應(yīng)定期監(jiān)控、審查、審計(jì)（）服務(wù)，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問(wèn)題得到妥善管理。應(yīng)將管理供應(yīng)商關(guān)系的責(zé)任分配給指定的個(gè)人或（）團(tuán)隊(duì)。另外，組織應(yīng)確保落實(shí)供應(yīng)商符合性審查和相關(guān)協(xié)議要求強(qiáng)制執(zhí)行的責(zé)任。應(yīng)保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實(shí)現(xiàn)。當(dāng)發(fā)現(xiàn)服務(wù)交付的不足時(shí)，宜采?。ǎ?。當(dāng)供應(yīng)商提供的服務(wù)，包括對(duì)（）方針、規(guī)程和控制措施的維持和改進(jìn)等發(fā)生變更時(shí)，應(yīng)在考慮到其對(duì)業(yè)務(wù)信息、系統(tǒng)、過(guò)程的重要性和重新評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上管理。

國(guó)家對(duì)信息安全建設(shè)非常重視，如國(guó)家信息化領(lǐng)導(dǎo)小組在（）中確定要求，“信息安全建設(shè)是信息化的有機(jī)組成部分，必須與信息化同步規(guī)劃、同步建設(shè)。各地區(qū)各部門在信息化建設(shè)中，要同步考慮信息安全建設(shè)，保證信息安全設(shè)施的運(yùn)行維護(hù)費(fèi)用。”國(guó)家發(fā)展改革委所下發(fā)的（）要求；電子政務(wù)工程建設(shè)項(xiàng)目必須同步考慮安全問(wèn)題，提供安全專項(xiàng)資金，信息安全風(fēng)險(xiǎn)評(píng)估結(jié)論是項(xiàng)目驗(yàn)收的重要依據(jù)。在我國(guó)2017年正式發(fā)布的（）中規(guī)定“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。”信息安全工程就是要解決信息系統(tǒng)生命周期的“過(guò)程安全”問(wèn)題。

某IT公司針對(duì)信息安全事件已建立了完善的預(yù)案，在年度企業(yè)信息安全總結(jié)會(huì)上，信息安全管理員對(duì)今年應(yīng)急預(yù)案工作做出了四個(gè)總結(jié)，其中有一項(xiàng)總結(jié)工作是錯(cuò)誤，作為企業(yè)CS哦，請(qǐng)你指出存在在問(wèn)題的是哪個(gè)總結(jié)？（）

在設(shè)計(jì)信息系統(tǒng)安全保障方案時(shí)，以下哪個(gè)做法是錯(cuò)誤的？（）

與PDR模型相比，P2DR模型則更強(qiáng)調(diào)（），即強(qiáng)調(diào)系統(tǒng)安全的（），并且以安全檢測(cè)、（）和自適應(yīng)填充“安全間隙“為循環(huán)來(lái)提高（）。

終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TERMINAL Access Controller Access-Control System，TACACS），在認(rèn)證過(guò)程中，客戶機(jī)發(fā)送一個(gè)START包給服務(wù)器，包的內(nèi)容包括執(zhí)行的認(rèn)證類型、用戶名等信息。START包只在一個(gè)認(rèn)證會(huì)話開始時(shí)使用一個(gè)，序列號(hào)永遠(yuǎn)為（）。服務(wù)器收到START包以后，回送一個(gè)REPLY包，表示認(rèn)證繼續(xù)還是結(jié)束。

下列信息安全評(píng)估標(biāo)準(zhǔn)中，哪一個(gè)是我國(guó)信息安全評(píng)估的國(guó)家標(biāo)準(zhǔn)？（）

信息安全方面的業(yè)務(wù)連續(xù)性管理包含2個(gè)（）和4個(gè)控制措施。組織應(yīng)確定在業(yè)務(wù)連續(xù)性管理過(guò)程或?yàn)?zāi)難恢復(fù)管理過(guò)程中是否包含了（）。應(yīng)在計(jì)劃業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)時(shí)確定（）。組織應(yīng)建立、記錄、實(shí)施并維持過(guò)程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級(jí)別。在業(yè)務(wù)連續(xù)性或?yàn)?zāi)難恢復(fù)內(nèi)容中，可能已定義特定的（）。應(yīng)保護(hù)在這些過(guò)程和規(guī)程或支持它們的特性信息系統(tǒng)中處理的額信息。在不利情況下，已實(shí)施的信息安全控制措施應(yīng)繼續(xù)實(shí)行。若安全控制措施不能保持信息安全，應(yīng)建立、實(shí)施和維持其他控制措施以保持信息安全在（）。