下列选项中对信息系统审计概念的描述中不正确的是（）。

信息安全管理体系ISMS是建立和维持信息安全管理体系的（），标准要求组织通过确定信息安全管理系统范围、制定（）、明确定管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的（），即组织应建立并保持一个文件化的信息安全（），其中应阐述被保护的资产、组织安全管理体系应形成一定的（）。

以下哪个组织所属的行业的信息系统不属于关键信息基础设施？（）

等级保护实施根据GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》分为五大阶段；（）、总体规划、设计实施、（）和系统终止。但由于在开展等级保护试点工作时，大量信息系统已经建设完成，因此根据实际情况逐步形成了（）、备案、差距分析（也叫差距测评）、建设整改、验收测评、定期复查为流程的（）工作流程。和《等级保护实施指南》中规定的针对（）的五大阶段略有差异。

欧美六国和美国商务部国家标准与技术局共同制定了一个供欧美各国通用的信息安全评估标准，简称CC标准，该安全评估标准的全称为（）。

信息时流动的，在信息的流动过程中必须能够识别所有可能途径的（）与（）；面对于信息本身，信息的敏感性的定义是对信息保护的（）和（），信息在不同的环境存储和表现的形式也决定了（）的效果，不同的截体下，可能体现出信息的（）、临时性和信息的交互场景，这使得风险管理变得复杂和不可预测。

终端访问控制器访问控制系统（TERMINAL Access Controller Access-Control System，TACACS），在认证过程中，客户机发送一个START包给服务器，包的内容包括执行的认证类型、用户名等信息。START包只在一个认证会话开始时使用一个，序列号永远为（）。服务器收到START包以后，回送一个REPLY包，表示认证继续还是结束。

与PDR模型相比，P2DR模型则更强调（），即强调系统安全的（），并且以安全检测、（）和自适应填充“安全间隙“为循环来提高（）。

你是单位安全主管，由于微软刚发布了数个系统漏洞补丁，安全运维人员给出了针对此漏洞修补的四个建议方案，请选择其中一个最优方案执行（）。

组织应依照已确定的访问控制策略限制对信息和（）功能的访问。对访问的限制要基于各个业务应用要求，访问控制策略还要与组织访问策略一致。应建立安全登录规程控制实现对系统和应用的访问。宜选择合适的身份验证技术以验证用户身份。在需要强认证和（）时，宜使用加密、智能卡、令牌或生物手段等替代密码的身份验证方法。应建立交互式的口令管理系统，并确保使用优质的口令。对于可能覆盖系统和应用的控制措施的实用工具和程序的使用，应加以限制并（）。对程序源代码和相关事项（例如设计、说明书、验证计划和确认计划）的访问宜严格控制，以防引入非授权功能、避免无意识的变更和维持有价值的知识产权的（）。对于程序源代码的保存，可以通过这种代码的中央存储控制来实现，更好的是放在（）中。