从系统工程的角度来处理信息安全问题,以下说法错误的是( )
(A)系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南
(B)系统安全工程需对安全机制的正确性和有效性做出诠释,证明安全系统的信任度能够达到企业的要求,或系统遗留的安全薄弱性在可容许范围之内
(C)系统安全工程能力成熟度模型(SSE-CMM)是一种衡量安全工程实践能力的方法,是一种使用面向开发的方法
(D)系统安全工程能力成熟度模型(SSE-CMM)是在原有能力成熟度模型(CMM)的基础上通过对安全工作过程进行管理的途径,将系统安全工程转变为一个完好定义的、成熟的、可测量的先进学科
参考答案
继续答题:下一题
更多CISP证书试题
- 1下面对“零日(zero-day)漏洞”的理解中,正确的是( )
- 2哪一类防火墙具有根据传输信息的内容(如关键字、文件类)来控制访问连接的能力?
- 3若一个国家声称自己的ISMS符合ISO/IBC 27001或GB/T22080标准要求,其信息安全控制措施通常需要在资产管理方面实施常规控制,资产管理包含对资产负责和信息分类两个控制目标。对资产负责的控制目标是实现和保持对组织资产的适当保护。这一控制目标的实现有以下控制措施的落实来保障。不包括哪一项( )
- 4以下哪项制度或标准被作为我国的一项基础制度加以推行,并且有一定强制性,其实施的主要目标是有效的提高我国信息和信息系统安全建设的整体水平,重点保障基础信息网络和重要信息系统的安全( )
- 5某购物网站开发项目经过需求分析进入系统设计阶段,为了保证用户账户的安全,项目开发人员决定用户登陆时除了用户名口令认证方式外,还加入基于数字证书的身份认证功能,同时用户口令使用SHA-1算法加密后存放在后台数据库中,请问以上安全设计遵循的是哪项安全设计原则( )
- 6小张在某单位是负责事信息安全风险管理方面工作的部门领导,主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候,小张主要负责讲解风险评估工作形式,小张认为:1.风险评估工作形式包括:自评估和检查评估;2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估;3.检查评估是信息系统上级管理部门组织或者有关职能部门依法开展的风险评估;4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个,非此即彼;请问小张的所述论点中错误的是哪项: