CCAA2018年6月信息技术服务管理体系(ITSMS)审核知识试卷(WORD版含答案)

1、中国认证认可协会(CCAA)全国统一考试信息技术服务管理体系(ITSMS)审核知识试卷2018年6月注意事项：1、本试卷满分：120分；考试时间：120分钟；考试形式：笔试闭卷。2、考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内，答案写在试卷指定位置。3、考生座位号务必填写。1、关于ITSMS范围的确定，以下说法正确的是()。应考虑业务活动和过程及其边界因考虑组织单元、组织的物理位置应考虑组织的资产和技术以上全部2、ISO/IEC20000-1:2011中所指内部团体是指:()IT服务提供方组织内，除IT服务交付团队的所有其他职能部门。IT服务提供方组织内，按项目划分的不同服务交付

2、团队。服务提供方组织内，按与服务交付团队的协议参与服务设计等活动的职能部门。以上都对3、从审核开始直到审核完成，()都应对审核的实施负责。管理者代表审核方案人员认证机构审核组长4、IT服务管理中，以下不属于变更管理过程应予以管理的范围是()。与供方的合同的变更用于IT服务连续性目的、部件升级事件中为复原一项服务需要紧急更换一个CPU对依赖IT服务的业务过程的变更5、第三方认证审核时确定审核范围的程序是：组织提出、与审核组协商、认证机构确认、认证合同规定组织申请、认证机构评审、认证合同规定、审核组确认组织提出、与咨询机构协商、认证机构确认认证机构提出、与组织协商、审核组确认、认证合同规定6、对于

3、个人信息的使用，除法律法规另有规定外,应()得到个人信息主体的同意并按约定时间及时删除得到个人信息主体所在组织的同意，不须告知个人信息主体。个人信息持有者自行决定管理措施，不须告知个人信息主体。得到个人信息主体的同意并尽可能长时间保存。7、从审核中获得的()应作为受审核组织的管理体系的持续改进过程的输入审核证据不符合项合理化建议审核发现8、在认证审核时，审核组应()。在审核前将审核计划提交受审核方确认在审核结束时将审核计划提交受审核方确认随着审核的进展与受审核方共同确认审核计划将审核计划提交审核委托方批准方可9、第三方认证审核时，关于审核报告，以下说法正确的是()。每一次审核都必须提交审核报告

4、阶段审核结论不能确认认证注册，因此不一定提交审核报告监督审核可不必审核完整体系，因此不需提交审核报告基于调查性质的属于非正式审核，因此不需要提交审核报告10、当问题管理流程找到一个事件的真实原因和解决的方法，该问题应分类为()已知错误已知事件已知问题已知原因11、对于第三方服务提供方，以下描述正确的是：为了监视和评审第三方提供的服务，第三方人员提供服务时应有人员全程陪同应定期度量和评价第三方遵从商定的安全策略和服务水平的程度第三方服务提供方应有符合ITIL的流程第三方服务的变更须向组织呈报已备案12、服务提供方应监视并报告预算的支出，()，从而管理支出评审财务成本评审财务预报有效的财务控制和授

5、权通过变更管理过程来对服务财务变更进行评估和标准13、关于SLA和OLA的区别和联系，以下说法不正确的是()。SLA定义拟交付的服务，OLA定义为交付服务所需的内部支持。SLA面向外部客户，OLA面向内部客户。SLA具有法律约束力，OLA是可选的最佳实践。SLA定义服务级别要求，OLA定义服务级别指标。14、根据互联网信息服务管理办法的要求，国家对于经营性互联网信息服务实行()。备案制度许可制度行政监管制度备案与行政监管相结合的管理制度15、关于ISO/IEC2OOOO-1:2011体现的ITIL“4P”要素，以下说法正确的是()人员、过程、伙伴、供方人员、过程、产品、技术人员、过程、产品、伙

6、伴人员、产品、技术、伙伴16、运用密码技术对信息系统进行系统等级保护建设和整改的，必须釆用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得釆用()的密码产品；未经批准不得采用含有加密功能的进口信息技术产品。国外引进自行研制委托研制国外引进或者擅自研制17、你是某个IT组织中的服务台人员，有一个用户呼叫电话说他的某个终端设备不能使用了，请问这是()。事件已知错误问题变更请求18、关于服务级别协议(SLAs)，以下说法正确的是：()。正式的服务级别协议即服务提供方与顾客之间的服务合同服务级别协议应包括约定的服务目标、工作量特征服务级别协议仅在服务提供方与顾客之间签署，关于供方的服

7、务则按釆购过程控制A+C。19、服务的连续性是管理一系列影响()，持续提供协定级别服务的能力。单个或多个服务的脆弱点和事件仅是单个服务的风险和事件单个或多个服务的风险和事态单个或多个服务的风险和事件20、只有能够()信息方可作为审核证据。确定的验证的证实的可追溯的21、配置管理数据库(CMDB)中的哪个属性有助于查明某个时刻的哪些配置项正在进行维护？购买日期责任人(Owner)位置状态22、观察员应承担由审核委托方和受审核方()与健康安全相关的义务。规定的法定的约定的确定的23、可用性是安全管理过程要实现的目标之一。以下哪项正确地说明了“可用性”这个术语的含义。对数据的保护以防止未经授权的访问

8、和使用按授权访问数据的能力验证数据正确性的能力对数据安全存储保护，每天做数据校验24、散步图是()。描述成对变量之间关系的图。描述若干变量之间线性关系的图。描述一组变量按正态函数分布的图。描述一组变量按时间分布的图。25、认证审核期间，当审核证据表明审核目的不能达到时，审核组应：()一起讨论，决定后续实施审核组长权衡，决定后续措施由受审核方决定后续措施报告审核委托方并说明理由，确定后续措施26、审核组无权变更的事项包括()。审核组资源分配。审核目的、范围、准则。审核路线。以上都不对。27、我国法律法规执行顺序为()。法律、部门规章、地方政府规章、行政法规法律、行政法规、部门规章或地方政府规章法

9、律、部门规章、行政法规、地方政府规章法律、地方政府规章、部门规章、行政法规注：法律行政法规地方法规地方规章28、信息系统安全等级保护中密码的()等，应当严格执行国家密码管理的有关规定。配备、保管和管理生产、使用和管理配备、使用和管理配备、使用和更新29、以下不属于单点故障的情况是()巡检时发现的唯一故障所有服务器使用一台UPS供电，数据中心仅有此一台UPS所有的IT设备使用一条专线联网，由于带宽资源充足故未构建其他线路所有机房使用同一条供电线路30、下列情况一定属于新变更服务的是()。银行新网银系统的应用。航空公司售票系统的更新。医院挂号系统上线。铁路线下售票服务撤销。二、多选题(每题2分，共

10、20分，请将正确的答案序号添入括号内。)31、当不能正常进入服务场所时，应可以获得()。服务连续性计划联系人名单CMDB应急资源32、服务提供方应确保事件和服务请求流程相关人员能够访问和使用相关信息，相关信息包括()事件和服务请求管理程序已知错误问题解决方案配置管理数据库33、关于商用密码技术和产品，以下说法正确的是()任何组织不得随意进口密码产品，但可以出口商用密码产品商用密码技术属于国家秘密商用密码是对不涉及国家秘密的内容进行加密保护的产品商用密码产品的用户不得转让其使用的商用密码产品34、审核证据是指()。与审核准则有关的信息经证实的信息可通过访谈、查阅文件记录、现场观察获得基于客观事实

11、35、服务提供方应与顾客对()和硬件的发布和部署进行策划。组件服务软件系统36、首次会议的目的是()确认所有有关方(例如受审核方、审核组)对审核计划的安排达成一致介绍审核组成员确保所策划的审核活动能够实施针对实现审核目标的不确定因素而釆取的特定措施37、对于业务关系管理，下列哪些活动是必须的()指定专职人员管理客户关系和客户满意度定期对客户进行拜访，了解其需求了解所有客户的满意程度对服务投诉进行记录和调查38、服务提供方应在服务管理策划中定义和包含服务管理体系(SMS)的范围，考虑下列哪些因素？()客户和他们的位置用于提供服务的技术已知知识服务提供交付服务的地理位置39、信息技术服务管理体系审

12、核的范围即()组织的全部经营管理范围组织的全部信息技术服务管理范围组织根据其业务、组织、位置、资产和技术等方面的特性确定的信息技术服务管理体系范围组织承诺按照GB/T24405.1标准要求建立、实施和保持信息技术服务管理体系的范围40、关于配置管理，以下说法正确的是()。个配置项可以同时是任何其他配置项的一部分。选择合适的配置项颗粒度可在可用性和可控制水平上达到平衡。配置管理是资产管理的一部分。配置管理是变更管理的结果。二、阐述题4一1、举例说明如何在审核过程中采取跟踪的方法，举例场景为在交流过程中了解到的个需要解决问题的服务请求。答：举例场景：在审核某公司中发现一个需要解决电脑不能上网的服务

13、请求。1、查不能上网这个服务请求是否在服务级别管理下，是否在签订的服务水平协议SLAs中，是否在约定目标和工作量特征和特征内。2、查公司是否按SLAs制定了事件和服务请求管理程序，本次服务请求是否在管理程序下，同时对所有的事件进行了记录、分配优先级、分类、记录更新、升级、解决、关闭。3、查处理电脑不能上网的记录，是否在分配优先级中考虑了影响和紧急程度。4、查此请求是否为与客户约定的重大事件，是否有重大程序管理程序，如满足重大事件定义，是否启动重大事件管理程序，进行的相应管理与分类，汇报公司最高管理层等，如事件最终已关闭，是否进行过评审，查评审记录。5、在处理电脑不能上网的服务请求中，相关人员是

14、否能访问和使用服务请求管理程序、已知错误、问题解决方案和配置管理数据库等相关信息。6、如有对此请求有相关发布和部署信息的信息，查是否能被事件和服务请求管理过程采用。7、查此请求的相关处理记录是否被更新，无论关闭与否，是否按程序告知顾客关于此服务的处理进展情况。8、查请求是否解决，是否按服务请求管理程序得到关闭，如果约定的服务指标不能达到，是否通知顾客和相关方，按程序升级处理。9、如此请求未解决并升级到问题处理，是否有问题管理程序进行处理，并分析此类请求的数据和趋势42、请阐述变更管理过程与其他过程的关系流程关系需要结合关系图进行文字部分的阐述。M2“K1KA堆】:11四、案例分析题43、A公司

15、为其客户提供生产数据平台运维服务，按双方合同，顾客要求需保障该平台可用性99%，年宕机时间不大于8小时，A公司使用B公司的云基础设施资源，支持该生产数据平台的运行，查A公司与B公司之间的服务合同，规定B公司应保障基础设施年可用率为90%，故障响应时间2小时，没有有关中断解决的要求。答：不符合项事实：A公司在与其顾客提供运维服务合同中有相关可用性、中断解决时间要求等约定，而A公司与其供方B公司的合同中可用性指标未达到与顾客的约定，宕机时间未作要求。不符合条款：不符合ISO/IEC20000-1标准中7.2供方管理：服务提供方应与供方就服务级别达成一致，以支持服务提供方和顾客之间的服务级别协议并与

16、之保持一致。不符合项严重程度：一般不符合44、ABC科技有限公司在内部审核时，针对不同部门，组成审核组。在对技术服务部进行审核时，由市场部经理任审核组长，技术服务部副经理任组员，因为他们对技术服务部的工作过程、业务和人员等最为了解。答：不符合项事实：査在对技术服务部进行内审时，存在审核员审核自己工作的情况。不符合条款：不符合ISO/IEC200004.5.4.2“审核员不应该审核自己的工作”不符合项严重程度：一般不符合45、按照安全备份策略，需要每天对主机的数据做增量备份，每周做一个全备份，并且要求备份管理员每天检查备份完成情况，审核时发现，备份日志中存在大量错误日志，表明这些系统的备份没有能

17、够成功，这些错误日志已经持续出现超过2周。当问及管理员如何处理这些错误时，管理员说，不用处理，因为这些错误总是出现，到现在也没出什么事情，所以肯定没有问题。答：不符合项事实：现场审核发现，按备份策略规定做主机备份时，备份日志出现大量错误超过2周，而管理员未做任何处理不符合条款：不符合ISO/IEC20000-1标准中8.2“服务提供方应分析事件和问题的数据和趋势，以识别根本原因和潜在的预防措施”不符合项严重程度：一般不符合46、审核员在GH公司审核时发现，GH为顾客提供TCC业务系统的运维，合同中规定GH公司应在顾客提出要求时为顾客提供系统巡检服务，运维经理告诉审核员，上一年度共提供巡检服务6次，审核员询问巡检的内容、范围、要求等在哪里有规定，运维经理解释说：“这种巡检服务都是顾客临时想做的时候找我们做，合同里没办法具体规定。”答：不符合项事实：GH为顾客提供TCC业务系统的运维，合同中规定GH公司应在顾客提出要求时为顾客提供系统巡检服务，但未对巡检的内容、范围、要求和频次做出规定。不符合条款：不符合ISO/IEC20000-1标准中6