第1题：

下列对自主访问控制说法不正确的是:（）

A、自主访问控制允许客体决定主体对该客体的访问权限

B、自主访问控制具有较好的灵活性扩展性

C、自主访问控制可以方便地调整安全策略

D、自主访问控制安全性不高，常用于商业系统

信管网参考答案：A

信管网参考解析：自主访问控制（discretionary access control，dac）是这样的一种控制方式，由客体的属主对自己的客体进行管理，由属主自己决定是否将自己的客体访问权或部分访问权授予其他主体，这种控制方式是自主的。也就是说，在自主访问控制下，用户可以按自己的意愿，有选择地与其他用户共享他的文件。

第2题：

A top-down approach to the development of operational policies will help ensure:

A、that they are consistent across the organization.

B、that they are implemented as a part of risk assessment.

C、compliance with all policies.

D、that they are reviewed periodically.

信管网参考答案：A

信管网参考解析：在制定作业政策时使用自顶而下的方法有助于确保这些政策

A、在整个组织内保持一致

B、被作为风险评估活动的一部分得以实施

C、符合组织中其他政策

D、能被定期审核

注：从公司政策（自上而下的方法）获得较低级别的政策有助于确保组织的一致性和与其他政策的一致性。自底向上的业务政策的发展方法得出的风险评估的结果。一个自上而下的方法本身并不能确保合规性和发展不确保政策进行审查。