某单位在制定信息安全策略时采用的下述做法中，正确的是( )。

admin2019-06-06 41

问题某单位在制定信息安全策略时采用的下述做法中，正确的是( )。

选项 A、该单位将安全目标定位为“系统永远不停机、数据永远不丢失、网络永远不瘫痪、信息永远不泄密”
B、该单位采用了类似单位的安全风险评估结果来确定本单位的信息安全保护等级
C、该单位的安全策略由单位授权完成制定，并经过单位的全员讨论修订
D、该单位为减小未经授权的修改、滥用信息或服务的机会，对特定职责和责任领域的管理和执行功能实施职责合并

答案C

解析计算机信息应用系统的“安全策略”就是指：人们为保护因为使用计算机信息应用系统可能导致的对单位资产造成损失而进行保护的各种措施、手段，以及建立的各种管理制度、法规等。一个单位的安全策略决不能照搬别人的，一定是对本单位的计算机信息应用系统的安全风险(安全威胁)进行有效的识别、评估后，为如何避免单位的资产的损失，所采取的一切包括各种措施、手段，以及建立的各种管理制度、法规等。
单位的安全策略由谁来定，由谁来监督执行，对违反规定的人和事，由谁来负责处理。由于信息系统安全的事情涉及单位(企业、党政机关)能否正常运营的大事，所以必须由单位的最高行政执行长官和部门或组织授权完成安全策略的制定，并经过单位的全员讨论修订。
现代信息系统是一个非线性的智能化人机结合的复杂大系统。由于人的能力的局限性，即便有再好的愿望、出于多美好的出发点，信息系统总会存在漏洞，使用和管理系统的人也要犯错误。如果把信息安全目标定位于：“系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密”，那是永远不可能实现的!因此，安全是相对的，是一个风险大小的问题。它是一个动态的过程。我们不能一厢情愿地追求所谓绝对安全，而是要将安全风险控制在合理程度或允许的范围内。这就是风险度的观点。
职责分离是降低意外或故意滥用系统风险的一种方法。为减小未经授权的修改或滥用信息或服务的机会，对特定职责或责任领域的管理和执行功能实施分离。有条件的组织或机构，应执行专职专责。如职责分离比较困难，应附加其他的控制措施，如行为监视、审计跟踪和管理监督。
综合以上信息安全策略的基本概念可知，应选择C选项。

转载请注明原文地址:https://kaotiyun.com/show/3dFZ777K

本试题收录于：信息系统项目管理师上午综合知识考试题库软考高级分类

信息系统项目管理师上午综合知识考试

软考高级

相关试题推荐

随机试题

最新回复(0)

某单位在制定信息安全策略时采用的下述做法中，正确的是( )。

信息系统项目管理师上午综合知识考试

软考高级

对应用系统的运行进行持续的性能监测，其主要目标不包括______。

在数据库设计的需求分析、概念结构设计、逻辑结构设计和物理结构设计的四个阶段中，基本E-R图是(41)；数据库逻辑结构设计阶段的主要工作步骤依次为(42)。(42)

UML中的事物也称为建模元素，(2)在模型中属于静态的部分，代表概念上或物理上的元素。这些元素中，(3)定义了交互的操作。(3)

某风险投资公司拥有的总资金数为25，分期为项目P1、P2、P3、P4投资，各项目投资情况如下表所示。公司的可用资金数为(50)。若P1和P3分别申请资金数l和2，则公司资金管理处(51)。(50)

某软件公司欲开发一个基于Web的考勤管理系统。在项目初期，客户对系统的基本功能、表现形式等要求并不明确，在这种情况下，采用(21)开发方法比较合适。

美国某公司与中国某企业谈技术合作，合同约定使用1件美国专利(获得批准并在有效期内)，该项技术未在中国和其他国家申请专利。依照该专利生产的产品()，中国企业需要向美国公司支付这件美国专利的许可使用费。

利用报文摘要算法生成报文摘要的目的是________。

为维护软件开发者的合法权益，解决自动保护可能产生的权属纠纷，我国实行了(10)。

收益性房地产的价值就是其未来净收益的现值之和,该价值高低主要取决于()这几个因素。

(2005年)价值工程的“价值(V)”对于产品来说，可以表示为V=F／C，F指产品的功能，而C则是指()。

微机中1K字节表示的二进制位数是()。

国家法定休假日、休息日不计入带薪年休假假期。()

下列关于投资组合的风险和报酬的表述中，不正确的是()。

仓库按保管物品种类多少可以分为()。

公共政策的公平目标是指政策执行之后，政策的标的团体所分配到的社会资源、所享受的效益、所负担的成本等公平分配的程度，具体而言，公共政策应当致力于()。

以下不属于国务院职权的有()。

以下选项中不属于姓名权内容的是()