終端訪問控制器訪問控制系統(tǒng)（TERMINAL Access Controller Access-Control System，TACACS），在認證過程中，客戶機發(fā)送一個START包給服務器，包的內(nèi)容包括執(zhí)行的認證類型、用戶名等信息。START包只在一個認證會話開始時使用一個，序列號永遠為（）。服務器收到START包以后，回送一個REPLY包，表示認證繼續(xù)還是結束。

歐美六國和美國商務部國家標準與技術局共同制定了一個供歐美各國通用的信息安全評估標準，簡稱CC標準，該安全評估標準的全稱為（）。

目前應用面臨的威脅越來越多，越來越難發(fā)現(xiàn)。對應用系統(tǒng)潛在的威脅目前還沒有統(tǒng)一的分類，但小趙認為同事小李從對應用系統(tǒng)的攻擊手段角度出發(fā)所列出的四項例子中有一項不對，請問是下面哪一項？（）

組織應定期監(jiān)控、審查、審計（）服務，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問題得到妥善管理。應將管理供應商關系的責任分配給指定的個人或（）團隊。另外，組織應確保落實供應商符合性審查和相關協(xié)議要求強制執(zhí)行的責任。應保存足夠的技術技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實現(xiàn)。當發(fā)現(xiàn)服務交付的不足時，宜采?。ǎ．敼烫峁┑姆?，包括對（）方針、規(guī)程和控制措施的維持和改進等發(fā)生變更時，應在考慮到其對業(yè)務信息、系統(tǒng)、過程的重要性和重新評估風險的基礎上管理。

下列選項中對信息系統(tǒng)審計概念的描述中不正確的是（）。

在某信息系統(tǒng)采用的訪問控制策略中，如果可以選擇值得信任的人擔任各級領導對客體實施控制，且各級領導可以同時修改它的訪問控制表，那么該系統(tǒng)的訪問控制模型采用的自主訪問控制機制的訪問許可模式是（）。

信息安全方面的業(yè)務連續(xù)性管理包含2個（）和4個控制措施。組織應確定在業(yè)務連續(xù)性管理過程或災難恢復管理過程中是否包含了（）。應在計劃業(yè)務連續(xù)性和災難恢復時確定（）。組織應建立、記錄、實施并維持過程、規(guī)程和控制措施以確保在不利情況下信息安全連續(xù)性處于要求級別。在業(yè)務連續(xù)性或災難恢復內(nèi)容中，可能已定義特定的（）。應保護在這些過程和規(guī)程或支持它們的特性信息系統(tǒng)中處理的額信息。在不利情況下，已實施的信息安全控制措施應繼續(xù)實行。若安全控制措施不能保持信息安全，應建立、實施和維持其他控制措施以保持信息安全在（）。

風險評估文檔是指在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結果文檔，其中，明確評估的目的、職責、過程、相關的文檔要求，以及實施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)的文檔是（）。

以下關于開展軟件安全開發(fā)必要性描錯誤的是（）。

下列選項分別是四種常用的資產(chǎn)評估方法，哪個是目前采用最為廣泛的資產(chǎn)評估方法？（）