5.以下除哪项外都是信息安全主管的职责?　　

　　a.制定组织的信息安全政策。
　　b.维护和更新用户密码列表。
　　c.评价新应用软件中的安全控制。
　　d.监测和调查不成功的访问企图。
　　【答案】b
　　【解析】
　　a.不正确。制定组织的信息安全政策是信息安全主管的职责。
　　b.正确。维护和更改用户密码列表应由用户自己完成。
　　C.不正确。评价新应用软件中的安全控制是信息安全主管的职责。
　　d.不正确。对失败的访问企图进行监测和调查是信息安全主管的职责。

　　6.在信息系统安全方面，以下哪一项是高层管理人员的主要职责?
　　a.评估风险。
　　b.分配系统访问权。
　　C.确认数据所有权。
　　d.对雇员进行安全教育。
　　【答案】a
　　【解析】
　　a.正确。评估风险是高层管理人员的职责。
　　b.不正确。分配系统访问权是信息安全主管的职责。
　　c.不正确。确认数据所有权是信息安全主管的职责。来自www.PPkao.com
　　d.不正确。对雇员进行安全教育是信息安全主管的职责。

　　7.建立数据所有权关系的任务应当是以下哪一种人的责任?
　　a.职能部门用户。
　　b.内部审计师。
　　C.数据处理人员。
　　d.外部审计师。
　　【答案】a
　　【解析】
　　a.正确。职能部门的用户拥有储存在计算机系统中的各种数据，因此他们有切身的利益和不可推卸的责任来建立数据所有权关系计划。
　　b.不正确。内部审计师无权建立数据所有权关系计划，甚至也不能给出推荐意见。
　　c.不正确。外部审计师也无权建立数据所有权关系计划，甚至也不能给出推荐意见。
　　d.不正确。因为数据处理人员只是用户数据的保管员，无权确定数据所有权关系。
　　8.在一个计算机环境下，以下哪种访问设置是否适当的？

　　【答案】a
　　【解析】
　　a.正确。用户需要通过应用程序来修改数据。
　　b.不正确。应用程序员不能直接修改生产程序，而应该将修改内容提交给变动控制部门。
　　c.不正确。应用程序员绝不能修改生产数据。用户也毫无修改生产程序的理由。
　　d.不正确。见题解b和c。