某公司系统安全管理员在建立公司的“安全管理体系”时,根据GB／T20269－2006《信息安全技术 信息系统

正确答案：B
根据GB/T20269-2006《信息安全技术信息系统安全管理要求》，风险分析和评估包括有资产识别和分析、威胁识别和分析、脆弱性识别和分析；对威胁的识别和分析，不同安全等级应有选择地满足以下要求的一项:a)威胁的基本分析:应根据以往发生的安全事件、外部提供的资料和积累的经验等，对威胁进行粗略的分析。题目中提到，分析了常见病毒计算机系统、数据文件的破坏程度及感染特点进行了分析，并制定相应的措施，这是属于威胁的基本分析。b)威胁列表:在a)的基础上，结合业务应用、系统结构特点以及访问流程等因素，建立并维护威胁列表;由于不同业务系统面临的威胁是不同的，应针对每个或者每类资产有一个威胁列表。c)威胁的详细分析:在b)的基础上，考虑威胁源在保密性、完整性或可用性等方面造成损害，对威胁的可能性和影响等属性进行分析，从而得到威胁的等级;威胁等级也可通过综合威胁的可能性和强度的评价获得。d)使用检测工具捕捉攻击:在c)的基础上，对关键区域或部位进行威胁分析和评估，在业务应用许可并得到批准的条件下，可使用检测工具在特定时间捕捉攻击信息进行威胁分析。