A.准则（guideline）是灵活的，规程（procedure）是特定的，具体的
B.准则（guideline）是强制的，规程（procedure）是灵活的
C.准则（guideline）特定的，具体的，规程（procedure）是灵活的
D.准则（guideline）是一致的，规程（procedure）是不一致的

A.注入型XSS
B.反射型XSS
C.存储型XSS
D.DOM型XSS

A.工控系统软件的更新需要供应商提供支持，而供应商缺乏duedilligence
B.工控系统很少停机，软件更新困难
C.工控系统是相对封闭的环境，不依赖通过更新软件来提升安全
D.工控系统在设计时就考虑了相对全面的安全要求，不需要频繁更新

A.CC
B.CVE
C.CVSS
D.BSIMM

A.功能测试——测试性能、负载、可靠性等。
B.回归测试——修改了旧代码后，重新进行测试以确认修改没有引入新的错误。
C.结构测试——测试者全面了解程序内部逻辑结构、对所有逻辑路径进行测试。
D.黑盒测试——涉及了软件在功能上正反两面的测试

A.数据恢复
B.数据保留
C.数据处置
D.数据审计

A.识别系统威胁、漏洞和可接受的风险水平
B.正式确认风险分析和风险缓解已完成
C.正式确认对安全策略和标准的符合性
D.验证系统架构以及与其他系统关联的有效性

A.对漏洞进行纠正
B.进行授权的官员接受风险
C.采用标准化的策略和规程
D.安全官的批准

A.用户ID和密码没有设置有效期
B.补丁难以保持一致
C.网络拓扑图没有及时更新
D.网络管理的职责分派给了系统管理员

A.国际和国内的合规要求
B.员工安全违规
C.安全开支增加后导致的资源限制
D.审计发现的安全控制漏洞