A.如果该组织在执行某个特定的过程区域时具备了一个特定级别的部分公共特征时，则这个组织在这个过程区域的能力成熟度未达到此级
B.如果该组织某个过程区域（Process Areas，PA）具备了“定义标准过程”、“执行已定义的过程”两个公共特征，则此过程区域的能力成熟度级别达到3级“充分定义级”
C.如果某个过程区域（Process Areas，PA）包含4个基本实施（Base Practices，BP），执行此PA时执行了3个BP，则此过程区域的能力成熟度级别为0
D.组织在不同的过程区域的能力成熟度可能处于不同的级别上

A.系统工程偏重于对工程的组织与经营管理进行研究
B.系统工程不属于技术实现，而是一种方法论
C.系统工程不是一种对所有系统都具有普遍意义的科学方法
D.系统工程是组织管理系统规划、研究、制造、试验、使用的科学方法

A.IATF（Information Assurance Technical Framework）
B.P2DR（Policy，Protection，Detection，Response）
C.PDCERF（Preparation，Detection，Containment，Eradication，Recovery，Follow-up）
D.PDCA（Plan，Do，Check，Act）

A.监控和反馈ISMS
B.批准和监督ISMS
C.监视和评审ISMS
D.沟通和咨询ISMS

A.资产识别是指对需要保护的资产和系统等进行识别和分类
B.威胁识别是指识别与每项资产相关的可能威胁和漏洞及其发生的可能性
C.脆弱性识别以资产为核心，针对每一项需要保护的资产。识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估
D.确认已有的安全措施仅属于技术层面的工作，牵涉到具体方面包括：物理平台、系统平台、网络平台和应用平台

A.源代码审核有利于发现软件编码中存在的安全问题
B.源代码审核工程遵循PDCA模型
C.源代码审核方式包括人工审核工具审核
D.源代码审核工具包括商业工具和开源工具

A.要求开发人员采用敏捷开发模型进行开发
B.要求所有的开发人员参加软件安全意识培训
C.要求规范软件编码，并制定公司的安全编码准则
D.要求增加软件安全测试环节，尽早发现软件安全问题

A.软件的安全问题可能造成软件运行不稳定，得不到正确结果甚至崩溃
B.软件问题安全问题应依赖于软件开发的设、编程、测试以及部署等各个阶段措施来解决
C.软件的安全问题可能被攻击者利用后影响人身体健康安全
D.软件的安全问题是由程序开发者遗留的，和软件的部署运行环境无关

A.get请求参数
B.post请求参数
C.cookie值
D.以上均有可能

A.跨站脚本（cross site scripting，XSS）攻击
B.TCP会话劫持（TCP HIJACK）攻击
C.ip欺骗攻击
D.拒绝服务（denialservice.dos）攻击