A.GB/T22239-2008《信息系统等级保护基本要求》
B.GB/T22240-2008《信息系统等级保护等级定级指南》
C.GB/T25070-2010《信息系统等级保护安全设计技术要求》
D.GB/T28449-2012《信息系统等级保护测评过程指南》

A.源代码往往需要大量的时间，采用人工审核费时费力，但可以通过多人并行审核来弥补这个缺点
B.源代码审核工具应当以检查源代码的功能是否完整，是否执行正确为主要功能
C.使用工具进行源代码审核自动化执行代码检查和分析，能够极大提高软件可靠性并节约软件开发和测试的成本己经取代了传统的人工审核
D.源代码审核是指无需运行被测代码，仅对源代码检查分析，检测并报告源代码中可能隐藏的错误和缺陷

A.2.5%
B.25%
C.5%
D.50%

A.既能物理隔离，又能逻辑隔离
B.既能物理隔离，但不能逻辑隔离
C.不能物理隔离，但是能逻辑隔离
D.不能物理隔离，也不能逻辑隔离

A.信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系，包括组织架构，方针，活动，职责以及相关实践要素
B.管理体系是为达到组织目标的策略，程序，指南和相关资源框架，信息安全管理体系是管理体系思想和方法在信息安全领域的应用
C.概念上，信息安全管理体系有广义和狭义之分，狭义的信息安全管理体系是指安全ISO27001标准定义的管理体系，它是一个组织整体管理体系的组成部分
D.同其他管理体系一样，信息安全管理体系也要建立信息安全管理组织机构，健全信息安全管理制度，构建信息安全技术防护体系和加强人员的安全意识等内容

A.“制定ISMS方针”是建立ISMS阶段工作内容
B.“实施培训和意识教育计划”是实施和运行ISMS阶段工作内容
C.“进行有效性测量”是监视和评审ISMS阶段工作内容
D.“实施内部审核”是保持和改进ISMS阶段工作内容

A.风险降低
B.风险规避
C.风险转移
D.风险接受

A.执行（do）
B.检测（detection）
C.数据（data）
D.持续（duration）

A.风险评估方法包括：定性风险分析，定量风险分析以及半定量风险分析
B.定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性
C.定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值
D.半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化

A.在组织中，应由信息技术责任部门（如信息中心）制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求。
B.组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确，可度量，风险管理计划应具体，具备可行性
C.组织的信息安全目标，信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达到客户，合作伙伴和供应商等外部各方
D.组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险