单选题 Harrison is evaluating access control products for his company. Which of the following is not a factor he needs to consider when choosing the products?
【正确答案】 B
【答案解析】[解析] B正确。在公司确定自己所需的访问控制产品的类型时,他们首先应该了解公司的法律规定、需要保护系统上的数据敏感程度,以及访问控制系统使用的技术控制类型等。然而,访问控制系统的选择不应该基于员工以前接受的培训。员工应该在访问控制系统首次展示后进行培训,但是在本题目所列出的问题中,培训是最不重要的一个。
A不正确。因为对公司而言,在选择访问控制产品时考虑数据的分类级别十分重要。不同安全机制提供的可用性、完整性和机密性也不尽相同。为了保证公司购买的安全机制合理并得到正确的应用,必须对环境、待保护的数据分类和安全目标进行评估以确保购买和应用正确的安全机制。许多公司常常因为没有遵循这些步骤而去购买最近上市的所谓的新而“炫”产品,从而浪费了大量时间和金钱。
C不正确。因为公司应该考虑身份标识、身份验证、授权和可问责性需求所必需的逻辑访问控制。逻辑访问控制是为系统、程序、流程和信息推行访问控制措施的软件组件。逻辑访问控制可以嵌入到操作系统、应用程序、附加安全包、数据库和电信管理系统中。
D不正确。因为在选择和创建访问控制产品时,法律法规事宜是必须要考虑的。公司必须确保妥善地对待那些对敏感的、处于不同法律法规保护下的数据的访问控制。这些措施可以使公司免受因数据泄露而导致的罚款和其他处罚。