题目：审核员在审核人力资源部时，查阅了SD公司2023年度的培训计划与实施记录，发现年度档案中仅存有新入职员工的《信息安全承诺书》签署记录和入职引导培训签到表。审核员随后前往市场部，随机访谈了已在公司任职5年的销售经理张某（工号308）。当审核员询问其是否了解公司上个月刚刚修订并发布的《敏感数据防泄露管理规定》中关于“客户资料必须加密发送”的具体要求时，张某表示“完全不知情”，并坦言自入职以来，除了业务技能培训外，未再参加过任何形式的信息安全主题培训或考试。人力资源经理（工号601）对此解释道：“业务部门平时跑客户非常忙，很难召集大家坐下来集中培训，目前我们主要采取将新制度文件上传至OA系统‘通知公告’栏，由员工自行下载学习的方式，为了不增加员工负担，也没有进行阅读确认或效果测试。”查阅《人员安全管理程序》，文件中明确规定：“公司应针对全体员工定期（至少每年一次）开展信息安全意识教育和培训，并确保员工理解最新的安全策略和规程”。

题目：审核员在SD公司开发部的开放式办公区审核时，发现多名程序员在工作时间暂时离开工位（如去开会、抽烟）时，其办公电脑均未执行锁屏操作，屏幕上清晰地显示着正在编辑的源代码和内部技术文档。审核员尝试操作了一台无人看管的电脑，可以无障碍地访问其本地磁盘和网络共享盘中的所有文件，存在极大的信息泄露风险。询问部门经理（工号802），经理表示公司有要求人离锁屏的标语，但并未将其作为一项强制性的安全策略通过技术手段（如配置操作系统超时自动锁屏）来执行，也从未对违规行为进行过处罚。《设备使用安全规定》中只有“应妥善保管设备”的原则性描述，未见到对终端设备安全（特别是在无人看管时）的具体、可探作的技术和管理要求。

题目：审核员在SD公司的办公网络中发现，工程师小王（工号904）电脑上安装了未经授权的软件，包括各类游戏、P2P下载工具及非正版设计软件。审核员继续追踪，其通过管理员权限安装了经测试的开源软件用于处理工作数据，同时，电脑上未安装公司统一的杀毒软件，使用的是某款从互联网下载的免费杀毒软件。信息安全经理（工号905）表示，公司有“推荐软件列表”，但并没有通过技术手段（如白名单软件）来限制用户安装或运行列表之外的软件。《终端安全管理规定》中有“防止安装未授权软件”要求，当前正在寻求合适的技术控制措施进行软件安装限制。

题目：审核员在审核SD科技公司的研发部门时，随机抽查了“产品设计数据库”的访问权限列表。该数据库系统权限设置为所有20名研发部员工（包括5名刚转正3个月的应届生）均拥有“读写删除”的最高权限。审核员询问系统管理员（工号501）为何采用此种权限策略，管理员解释“为了方便项目协作，减少审批流程”，并承认自系统上线三年来，从未对用户访问权限进行评审和调整。进一步核查《用户访问管理程序》，发现程序规定了新员工账号的申请流程、关于定期评审权限的要求以及不同岗位（如新员工、普通研发工程师与研发项目经理）的最小化权限原则。审核员询问是否任何一名研发部员工都可随意修改或删除所有核心设计图纸，系统管理员回答：“是的，研发部掌握我公司的产品线核心技术，研发部员工的访问权限严格管控，非研发部人员不能访问产品设计资料”。

题目：日志管理是安全管理和事件管理的基础数据来源，请从技术角度回答“日志管理”应具备哪些关键功能？

题目：简述什么是风险评估？风险评估过程的关键步骤有哪些？

题目：依据《中华人民共和国保守国家秘密法》机密级国家秘密是最重要的国家秘密，泄露会使国家安全和利益遭受特别严重的损害。（）

题目：计算机信息系统安全保护，是按照国家安全、法人和其他组织及公民的所有信息进行采集、加工、存储、传输、检索等处理的人机系统进行安全保护。（）

题目：防火墙规则集应该尽可能的简单，规则集越简单，错误配置的可能性就越小，系统就越安全。（）

题目：如果采用正确的用户名和口令成功登录网站，则证明这个网站不是仿冒的。（）