第三次域1错题分析

以下哪一项经常被用做授权工具？
访问控制列表
令牌
用户名
密码

```解析：
这题考我的是AAA协议中的验证部分
访问控制列表用于授权的安全控制工具
标识-验证-授权-审计-记账
标识：用户名，标识主体声明身份和责任的过程。主体必须为系统提供身份标识来启动身份验证，授权和记账过程。
验证：密码，令牌，验证或测试声明的身份是否有效的过程称为身份验证
授权：访问控制列表，一旦通过身份验证，就必须进行身份验证过程
审计：syslog,审计或监控是追踪和记录主体的操作，以便再验证过的系统中让主体为其行为负责的程序化过程。
问责：验证主体身份及追踪其活动。
令牌属于一种验证过程，因为持有令牌的人才代表验证某个用户。令牌只是避免经常输入密码泄露密码的一种方式。

以下哪一项原则把一个广泛的关注标准强加于个人，并且该原则在这种环境下与正常人所以期望的一致？
应尽职责
职责划分
应尽关注
最小特权

```解析：
这题考的是我的应尽关注和应尽职责
应尽关心：一种正式的安全框架，包含安全策略，标准，基线，指南和程序。
应尽审查：将这种安全框架持续应用到组织的IT基础设施之上。
关心是一种指定过程，宏观方面的，审查是一种实施方面的，微观视角。

谁是批准组织业务连续性计划的最理想人选？
首席信息官
首席执行官正确答案
首席信息安全官
首席运营官

```解析：
题目问的是最理想的人选
这题考的是我们签署BCP任务的最佳人选
虽然我们常常说BCP的任务没有CEO，因为CEO很忙，但是忽略了，如果CEO能够签署BCP，那么再BCP的部署过程将会受到重视。
高级管理人员支持BCP，将促进员工积极参加BCP活动，否则它们可能任务BCP是浪费时间，还不如去做运营活动。