【正确答案】 B

【答案解析】解析：B正确。如果所有的安全活动都发生在安全部门内部，那么安全工作则是局限于一个筒仓里，而不是贯穿整个组织。在一个实施了安全治理项目的公司内，安全职责渗透到整个组织中，从执行官开始沿着命令链自上而下渗透。常见的情况是，业务部门的管理者负责实施他们具体业务部门的风险管理活动。除此之外，员工为他们参与的任何恶意或无意的安全违规行为负责。 A不正确。因为安全治理是组织的董事会和行政管理人员执行的一整套责任和行为，其目的是指明战略方向、确保目标实现、保证风险得以合理管理，以及验证组织的资源得到合理的使用。实施了安全治理项目的组织在适当的时候就会具备一个了解安全重要性、注重组织安全性能和漏洞情况的董事会。 C不正确。因为安全治理是集产品、人员、培训、流程等安全组建于一体的关联系统。因此，安全治理项目到位的组织在适当的时候很可能会购买和部署安全产品、托管服务，并在知情的方式下聘请安全顾问。这些产品、服务和顾问也会不断受到审核以确保他们能产生成本效益。 D不正确。因为安全治理需要绩效考核和监督机制。拥有安全治理项目的组织在适当的时候会不断审核它的流程，包括安全在内，从而达到持续改进的目的。另一方面，缺乏安全治理项目的组织很可能会在不分析其绩效的情况下前行，从而重复地犯相似的错误。