关于SSE-CMM的描述错误的是：（）

单项选择题关于SSE-CMM的描述错误的是：（）

A.1993年4月美国国家安全局资助，有安全工业界、美国国防部办公室和加拿大通信安全机构共同组成SSE-CMM项目组。
B.SSE-CMM的能力级别分为6个级别。
C.SSE-CMM将安全工程过程划分为三类：风险、工程和保证。
D.SSE的最高能力级别是量化控制。

1.单项选择题以下关于“最小特权”安全管理原则理解正确的是：（）

A.组织机构内的敏感岗位不能由一个人长期负责
B.对重要的工作进行分解，分配给不同人员完成
C.一个人有且仅有其执行岗位所足够的许可和权限
D.防止员工由一个岗位变动到另一个岗位，累积越来越多的权限

2.单项选择题系统工程是信息安全工程的基础学科，钱学森说：“系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法，使一种对所有系统都具有普遍意义的科学方法”，下列哪项对系统工程的理解是正确的：（）

A.系统工程是一种方法论
B.系统工程是一种技术实现
C.系统工程是一种基本理论
D.系统工程不以人参与系统为研究对象

3.单项选择题下列哪种方法能够满足双因子认证的需求？（）

A.智能卡和用户PIN
B.用户ID与密码
C.虹膜扫描和指纹扫描
D.用户名和PIN

4.单项选择题下列哪一种行为通常不是在信息系统生存周期中的运行维护阶段中发生的？（）

A.进行系统备份
B.管理加密密钥
C.认可安全控制措施
D.升级安全软件

5.单项选择题下列哪一项是对信息系统经常不能满足用户需求的最好解释？（）

A.没有适当的质量管理工具
B.经常变化的用户需求
C.用户参与需求挖掘不够
D.项目管理能力不强

6.单项选择题下列对系统日志信息的操作中哪一项是最不应当发生的：（）

A.对日志内容进行编辑
B.只抽取部分条目进行保存和查看
C.用新的日志覆盖旧的日志
D.使用专用工具对日志进行分析

7.单项选择题对程序源代码进行访问控制管理时，下列哪一种做法是错误的？（）

A.若有可能，在实际生产系统中不保留源程序库
B.对源程序库的访问进行严格的审计
C.技术支持人员应可以不受限制地访问源程序
D.对源程序库的拷贝应受到严格的控制规程的制约

8.单项选择题为了达到组织灾难恢复的要求，备份时间间隔不能超过：（）

A．服务水平目标（SLO）
B．恢复时间目标（RTO）
C．恢复点目标（RPO）
D．停用的最大可接受程度（MAO）

9.单项选择题下列对“信息安全风险”的描述正确的是：（）

A.是来自外部的威胁利用了系统自身存在的脆弱性作用于资产形成风险
B.是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险
C.是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险
D.是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险

10.单项选择题对信息安全风险评估工作成果理解正确的是：（）

A．信息安全风险评估工作的最重要成果是按高中低级排列的风险列表。
B．通过信息安全风险评估工作，不仅能够明确系统安全风险，还能够获得如何控制风险的详细建议。
C．信息安全风险评估工作最终成果是信息系统安全问题（脆弱点）列表。
D．信息安全风险评估工作最终成果是信息系统安全威胁列表。