組織應定期監(jiān)控、審查、審計（）服務，確保協(xié)議中的信息安全條款和條件被遵守，信息安全事件和問題得到妥善管理。應將管理供應商關(guān)系的責任分配給指定的個人或（）團隊。另外，組織應確保落實供應商符合性審查和相關(guān)協(xié)議要求強制執(zhí)行的責任。應保存足夠的技術(shù)技能和資源的可用性以監(jiān)視協(xié)議要求尤其是（）要求的實現(xiàn)。當發(fā)現(xiàn)服務交付的不足時，宜采?。ǎ．敼烫峁┑姆?，包括對（）方針、規(guī)程和控制措施的維持和改進等發(fā)生變更時，應在考慮到其對業(yè)務信息、系統(tǒng)、過程的重要性和重新評估風險的基礎上管理。

某單位在進行內(nèi)部安全評估時，安全員小張使用了單位采購的漏洞掃描軟件進行單位內(nèi)的信息系統(tǒng)漏洞掃描。漏洞掃描報告的結(jié)論為信息系統(tǒng)基本不存在明顯的安全漏洞，然而此報告在內(nèi)部審計時被質(zhì)疑，原因在于小張使用的漏洞掃描軟件采購于三年前，服務已經(jīng)過期，漏洞庫是半年前最后一次更新的。關(guān)于內(nèi)部審計人員對這份報告的說法正確的是（）。

計算機漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。在病毒肆意的信息不安全時代，某公司為減少計算機系統(tǒng)漏洞，對公司計算機系統(tǒng)進行了如下措施，其中錯誤的是（）。

以下哪個組織所屬的行業(yè)的信息系統(tǒng)不屬于關(guān)鍵信息基礎設施？（）

下列選項中對信息系統(tǒng)審計概念的描述中不正確的是（）。

國家對信息安全建設非常重視，如國家信息化領導小組在（）中確定要求，“信息安全建設是信息化的有機組成部分，必須與信息化同步規(guī)劃、同步建設。各地區(qū)各部門在信息化建設中，要同步考慮信息安全建設，保證信息安全設施的運行維護費用?！眹野l(fā)展改革委所下發(fā)的（）要求；電子政務工程建設項目必須同步考慮安全問題，提供安全專項資金，信息安全風險評估結(jié)論是項目驗收的重要依據(jù)。在我國2017年正式發(fā)布的（）中規(guī)定“建設關(guān)鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設、同步使用?！毙畔踩こ叹褪且鉀Q信息系統(tǒng)生命周期的“過程安全”問題。

分析針對Web的攻擊前，先要明白http協(xié)議本身是不存在安全性的問題的，就是說攻擊者不會把它當作攻擊的對象。而是應用了http協(xié)議的服務器或則客戶端、以及運行的服務器的wed應用資源才是攻擊的目標。針對Web應用的攻擊，我們歸納出了12種，小陳列舉了其中的4種，在這四種當中錯誤的是（）。

信息安全管理體系也采用了（）模型，該模型可應用于所有的（）。ISMS把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的（），產(chǎn)生滿足這些要求和期望的（）。

歐美六國和美國商務部國家標準與技術(shù)局共同制定了一個供歐美各國通用的信息安全評估標準，簡稱CC標準，該安全評估標準的全稱為（）。

風險評估文檔是指在整個風險評估過程中產(chǎn)生的評估過程文檔和評估結(jié)果文檔，其中，明確評估的目的、職責、過程、相關(guān)的文檔要求，以及實施本次評估所需要的各種資產(chǎn)、威脅、脆弱性識別和判斷依據(jù)的文檔是（）。