第1題：

下列對自主訪問控制說法不正確的是:（）

A、自主訪問控制允許客體決定主體對該客體的訪問權(quán)限

B、自主訪問控制具有較好的靈活性擴展性

C、自主訪問控制可以方便地調(diào)整安全策略

D、自主訪問控制安全性不高，常用于商業(yè)系統(tǒng)

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：自主訪問控制（discretionary access control，dac）是這樣的一種控制方式，由客體的屬主對自己的客體進行管理，由屬主自己決定是否將自己的客體訪問權(quán)或部分訪問權(quán)授予其他主體，這種控制方式是自主的。也就是說，在自主訪問控制下，用戶可以按自己的意愿，有選擇地與其他用戶共享他的文件。

第2題：

A top-down approach to the development of operational policies will help ensure:

A、that they are consistent across the organization.

B、that they are implemented as a part of risk assessment.

C、compliance with all policies.

D、that they are reviewed periodically.

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：在制定作業(yè)政策時使用自頂而下的方法有助于確保這些政策

A、在整個組織內(nèi)保持一致

B、被作為風險評估活動的一部分得以實施

C、符合組織中其他政策

D、能被定期審核

注：從公司政策（自上而下的方法）獲得較低級別的政策有助于確保組織的一致性和與其他政策的一致性。自底向上的業(yè)務(wù)政策的發(fā)展方法得出的風險評估的結(jié)果。一個自上而下的方法本身并不能確保合規(guī)性和發(fā)展不確保政策進行審查。