B、管理层

C、执行层

D、既可以划为管理层，又可以划为执行层

25、下列哪一个说法是正确的？（C）

A、风险越大，越不需要保护

B、风险越小，越需要保护

C、风险越大，越需要保护

D、越是中等风险，越需要保护

26、下面哪类访问控制模型是基于安全标签实现的？（B）

A、自主访问控制

B、强制访问控制

C、基于规则的访问控制

D、基于身份的访问控制

27、下面哪项能够提供最佳安全认证功能？（B）

A、这个人拥有什么

B、这个人是什么并且知道什么

C、这个人是什么

D、这个人知道什么

28、下面哪一个是国家推荐性标准？（A）

A、GB/T 18020-1999应用级防火墙安全技术要求

B、SJ/T 30003-93电子计算机机房施工及验收规范

C、GA243-2000计算机病毒防治产品评级准则

D、ISO/IEC 15408-1999信息技术安全性评估准则

29、下面哪一项关于对违反安全规定的员工进行惩戒的说法是错误的？（C）

A、对安全违规的发现和验证是进行惩戒的重要前提

B、惩戒措施的一个重要意义在于它的威慑性

C、处于公平，进行惩戒时不应考虑员工是否是初犯，是否接受过培训

D、尽管法律诉讼是一种严厉有效的惩戒手段，但使用它时一定要十分慎重

30、下面哪一项最好地描述了风险分析的目的？（C）

A、识别用于保护资产的责任义务和规章制度

B、识别资产以及保护资产所使用的技术控制措施

C、识别资产、脆落性并计算潜在的风险

D、识别同责任义务有直接关系的威胁

31、下面哪一项最好地描述了组织机构的安全策略？（A）

A、定义了访问控制需求的总体指导方针

B、建议了如何符合标准

C、表明管理意图的高层陈述

D、表明所使用的技术控制措施的高层陈述

32、下面哪一种风险对电子商务系统来说是特殊的？（D）

A、服务中断