[单选] 某商业银行在A地新增一家机构，根据《计算机信息安全保护等级划分准则》，其新成立机构的信息安全保护等级属于（）

小张的U盘中存储有企业的核心数据。针对该U盘，以下有关信息安全风险评估的描述中，不正确的是（） 风险评估首先要确定资产的重要性，由于该U盘中存储有核心数据，安全性要求高，因此该U盘重要性赋值就高。 如果公司制定了U盘的安全使用制度，小张的U盘就不具有脆弱性。 如果小张的计算机在接入U盘时没断网线，木马病毒就构成对该U盘的威胁。 风险分析要同时考虑资产的重要性、威胁概率和脆弱性严重程度。 某单位在制订信息安全策略时采用的下述做法中，正确的是（） 该单位将安全目标定位为"系统永远不停机、数据永远不丢失、网络永远不瘫痪、信息永远不泄密"。 该单位采用了类似单位的安全风险评估结果来确定本单位的信息安全保护等级。 该单位的安全策略由单位授权完成，并经过单位的全员讨论修订。 该单位为减小未经授权的修改、滥用信息或服务的机会，对特定职责和责任领域的管理和执行功能实施职责合并。 通过安全认证中心（CA）获得证书主体的X.509数字证书后，可以得知（） 主体的主机序列号。 主体的公钥。 主体的属性证书。 主体对该证书的数字签名。 基于角色的访问控制中，角色定义、角色成员的增减、角色分配都是由（）实施的，用户只能被动接受授权规定，不能自主地决定，用户也不能自主地将访问权限传给他人，这是一种非自主型访问控制。 CSO。 安全管理员。 稽查员或审计员。 应用系统的管理员。 为了对计算机信息系统的安全威胁有更全面、更深刻的认识，信息应用系统安全威胁的分类方法一般用（）3种"综合分类"方法。 高、中、低。 对象的价值、实施的手段、影响（结果）。 按风险性质、按风险结果、按风险源。 自然事件、人为事件、系统薄弱环节。 某商业银行在A地新增一家机构，根据《计算机信息安全保护等级划分准则》，其新成立机构的信息安全保护等级属于（）