下列选项分别是四种常用的资产评估方法，哪个是目前采用最为广泛的资产评估方法？（）

信息时流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；面对于信息本身，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的截体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。

以下哪个组织所属的行业的信息系统不属于关键信息基础设施？（）

保护-检测-响应（Protection-Detection-Response，PDR）模型是（）工作中常用的模型，七思想是承认（）中漏洞的存在，正视系统面临的（），通过采取适度防护、加强（）、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

在某信息系统采用的访问控制策略中，如果可以选择值得信任的人担任各级领导对客体实施控制，且各级领导可以同时修改它的访问控制表，那么该系统的访问控制模型采用的自主访问控制机制的访问许可模式是（）。

计算机漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在病毒肆意的信息不安全时代，某公司为减少计算机系统漏洞，对公司计算机系统进行了如下措施，其中错误的是（）。

组织应依照已确定的访问控制策略限制对信息和（）功能的访问。对访问的限制要基于各个业务应用要求，访问控制策略还要与组织访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和（）时，宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（）。对程序源代码和相关事项（例如设计、说明书、验证计划和确认计划）的访问宜严格控制，以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的（）。对于程序源代码的保存，可以通过这种代码的中央存储控制来实现，更好的是放在（）中。

某单位在进行内部安全评估时，安全员小张使用了单位采购的漏洞扫描软件进行单位内的信息系统漏洞扫描。漏洞扫描报告的结论为信息系统基本不存在明显的安全漏洞，然而此报告在内部审计时被质疑，原因在于小张使用的漏洞扫描软件采购于三年前，服务已经过期，漏洞库是半年前最后一次更新的。关于内部审计人员对这份报告的说法正确的是（）。

（）在实施攻击之前，需要尽量收集伪装身份（），这些信息是攻击者伪装成功的（）。例如攻击者要伪装成某个大型集团公司总部的（）。那么他需要了解这个大型集团公司所处行业的一些行规或者（）、公司规则制度、组织架构等信息，甚至包括集团公司相关人员的绰号等等。

信息安全管理体系ISMS是建立和维持信息安全管理体系的（），标准要求组织通过确定信息安全管理系统范围、制定（）、明确定管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织安全管理体系应形成一定的（）。