2016年6月信息技术服务管理体系审核员考试试题及答案(审核部分)

中国认证认可协会PAGEPAGE6CCAA信息安全管理体系审核员考试（审核知识与技能）姓名： 身份证号： 单位名称： 考试日期： 年 月 日类别单选题多选题阐述题案例分析题总得分得分阅卷人签字备注复核人签字备注一、单项选择题(从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。每题1分，共40分。)题号1234567891011121314151617181920答案BDCABCDBADBACBDACADA题号2122232425262728293031323334353637383940答案BDBDDBCDADBADCBBCCDA题号12345考点4.1a4.1a4.1a4.1a4.1a难度34332题号678910考点4.1a4.1a4.1a4.1a4.1a难度333333题号1112131415考点4.1a4.1a4.1a4.1a4.1a难度32323题号1617181920考点4.1a4.1a4.1a4.1a4.1a难度33433题号2122232425考点4.1b4.1b4.1b4.1b4.1c难度33333题号2627282930考点4.2a4.2a4.2b4.2b4.2b难度33333题号3132333435考点4.2b4.2b4.2b4.2b4.2b难度33333题号3637383940考点4.34.3难度34333备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子） 难度按5级划分，1级很容易，答题正确率90%以上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80%，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。答题正确率在30%以下的题不要出。1．对于目标不确定性的影响是（）。A．风险评估B．风险C．不符合D．风险处置2．管理体系是（）。A．应用知识和技能获得预期结果的本领的系统B．可引导识别改进的机会或记录良好实践的系统C．对实际位置、组织单元、活动和过程描述的系统D．建立方针和目标并实现这些目标的体系3．审核的特征在于其遵循（）。A．充分性、有效性和适宜性B．非营利性C．若干原则D．客观性4.审核员在（）应保持客观性。A．整个审核过程B．全部审核过程C．完整审核过程D．现场审核过程5.如果审核目标、范围或准则发生变化，应根据（）修改审核方案。A．顾客建议B．需要C．认可规范D．认证程序6.在审核过程中，出现了利益冲突和能力方面的问题，审核组的（）可能有必要加以调整。A．审核员和技术专家B．审核组长和审核员C．规模和组成D．实习审核员7.从审核开始直到审核完成，（）都应对审核的实施负责。A．管理者代表B．审核方案人员C．认证机构D．审核组长8.当审核不可行时，应向审核委托方提出（）并与受审核方协商一致。A．合理化建议B．替代建议C．终止建议D．调整建议9.文件评审应考虑受审核方管理体系和组织的规模、性质和复杂程度以及审核的（）A．目标和范围B．方针和目标C．方案和计划D．标准和法规27.服务提供方与客户之间签署的、描述服务和约定服务级别的协议是（）。A．CMDBB．OLAC．SLAD．MTTR28.在进入实际运行环境之前，新服务或变更的服务应由()进行验收。A．相关方B．供应商C．顾客D．服务提供方29.与相应服务级别（）一起提供的整体服务范围，应由相关方进行协商并记录。A．目标和工作量特性B．计划和工作量特性C．方案和指标特性D．水平和指标特性30.可用性和服务连续性的需求应包括（），以及系统部件的端对端可用性。A．联系人清单和配置管理数据库B．所有的连续性测试C．不可用性D．访问权和响应次数31.服务提供方应监视并报告预算的支出，()，从而管理支出。A．评审财务成本B．评审财务预报C．有效的财务控制和授权D．通过变更管理过程来对服务财务变更进行估价和批准32.所有正式的服务投诉应由服务提供方进行（），并调查原因，采取措施，予以报告并正式关闭。A．记录B．确认C．评估D．分析33.应及时通知（）有关他们所报告的事件或服务请求的进展情况。A．服务提供方B．维修方C．相关方D．客户34.配置管理应提供识别、控制与追踪服务和基础设施的（）版本的机制。A．可识别组件B．配置项C．可识别部件D．系统35.应（）变更记录，以检查变更的增长程度、频繁重现的类型、呈现的趋势和其他相关信息。A．不定期分析B．定期分析C．及时分析D．根据需求分析36.数字签名包括（）。A.签署过程B.签署和验证两个过程C.验证过程D.以上答案都不对37.信息系统安全等级保护是指（）。A．对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。B．对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理。C．对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应和处置。D．对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应和处置。38.有时候我们需要暂时离开计算机，但经常又会忘记了锁定系统时，可以设置（）口令。A．CMOSB．系统账户登录C．屏保锁定D．锁定39.若word文件设置的是“修改文件时的密码”，那么打开该文档时若不输入密码，就会（）。A．以普通方式打开文档，允许对文件修改B．不能打开文档C．不断出现提示框，直到用户输入正确密码为止D．以只读的方式打开文档40.选择操作系统输入法可按下列哪个组合键()A.Ctrl+ShiftB.Ctrl+AltC.Ctrl+空格键D.Shift+Alt

二、多项选择题(从下面各题选项中选出一个或多个恰当的答案，并将相应字母填在下表相应位置中。每题2分，共10分。)题号12345答案ABCDABCABDBCDBCD题号12345考点4.1a4.1a4.2b4.2b4.3难度33433备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子） 难度按5级划分，1级很容易，答题正确率90%以上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80%，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。答题正确率在30%以下的题不要出。1.审核计划应包括或涉及下列内容()A.审核范围，包括受审核的组织单元、职能单元以及过程B.实施审核活动的地点、日期、预期的时间和期限，包括与受审核方管理者的会议C.为审核的关键区域配置适当的资源D.确保所策划的审核活动能够实施首次会议的目的是()A.确认所有有关方（例如受审核方、审核组）对审核计划的安排达成一致B.介绍审核组成员C.确保所策划的审核活动能够实施D.针对实现审核目标的不确定因素而采取的特定措施服务提供方应实施服务管理计划，以管理并交付服务，包括()A.角色和职责的分配B.团队的管理，例如，补充并培养适当的人员，对人员的连续性进行管理C.整个组织的改进或多个过程的改进D.包括服务台和服务运行组在内的团队的管理服务提供方应与企业对()和硬件的发布进行策划A.组件B.服务C.软件D.系统TCP/IP层次结构有哪些组成？（）A.链路层B.应用层C.网络层和网络接口层D.传输层

二、简述题（每题10分，共20分）题号12考点4.2b4.1a难度43备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子） 难度按5级划分，1级很容易，答题正确率90%以上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80%，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。答题正确率在30%以下的题不要出。1、审核员在项目部查看了去年的事件管理记录共20项，其中有17项已经按照程序要求，进行了业务影响分析、分类、更新、升级、解决和正式关闭。但有3项事件没有正式关闭，审核员据此开了不符合项，并结束了此项的审核。这样的审核是否符合要求？为什么？如果请您去审核，您会怎么做？参考答案说明，答案要点，应简洁，但要留有灵活性，不能只是固定描述不符合要求，因为没有及时通知客户有关他们所报告的事件或服务请求的进展情况。如果我去审核，我将按以下思路审核：是否对这3项事件进行了业务影响分析、分类；针对需要更新或升级的项目是否实施；是否及时通知客户有关他们所报告的事件或服务请求的进展情况；如果不能满足他们的服务级别，是否事先警告，并且就此进行了协商等。评分：第一问回答正确得2分，第二问回答正确得3分，第三问以是否及时通知客户有关他们所报告的事件或服务请求的进展情况为核心回答，得4分，第四问回答正确得1分审核员在审核上一次的内部审核报告时，发现这次内审开了10项不符合项，其中有3项不符合项的受审核部门未签字确认。就问迎审人员对这3项未确认的不符合项如何处置。迎审人员说：最近项目很忙，没有来得及处置，等忙完这一阵子就对这3项不符合项进行分析原因，制定纠正措施。他这样处置，您认为是否遗漏了哪些内容？参考答案说明，答案要点，应简洁，但要留有灵活性，不能只是固定描述不符合要求，原因如下：1）对不符合是否进行分级；2）是否与受审核部门一起评审不符合，以获得承认，并确认审核证据的准确性，使受审核部门理解不符合；3）是否努力解决对审核证据或审核发现有分歧的问题，并记录尚未解决的问题。评分：第一问回答正确得2分，第二问回答正确得4分，第三问回答正确得4分四、案例分析题（每题5分，共30分）题号123456考点4.2b/9.14.2b/8.34.2b/10.14.2b/3.24.2b/8.24.2b/9.2难度433334备注：考点描述按考试大纲的编号给出，其中标准要求部分再添加标准条款号（见上面例子） 难度按5级划分，1级很容易，答题正确率90%以上，2级较容易，答题正确率80-90%之间，3级中等，答题正确率70-80%，4级较难，答题正确率50-70%，5级很难，答题正确率50%以下。答题正确率在30%以下的题不要出。1、审核员到某公司进行ITSMS评审。公司的配置管理数据库中记录的一台交换机的型号为\o"思科品质。官网型号：SF-302-08"SRW208-K9-CN8口百兆，审核员查看了交换机配置表，发现最新配置为SF300-24（SRW224G4）24口百兆，系统管理员说因为端口不够用，所以更换了交换机，但要等到下次做配置审计时才修改配置管理数据库中的该配置项的信息。参考答案：不符合ISO/IEC20000-1：20059.1，条款内容：“应管理CMDB以确保其可靠性和准确性。”不符合项事实：公司的配置管理数据库中记录的一台交换机的型号为\o"思科品质。官网型号：SF-302-08"SRW208-K9-CN8口百兆，审核员查看了交换机配置表，发现最新配置为SF300-24（SRW224G4）24口百兆。审核员从网络管理员那里了解到，FTP服务器在最近2周的每天早上都会非预期的自动重启，网络管理员解释说不清楚原因，对工作没有太大影响，也就没去管它。参考答案：不符合ISO/IEC20000-1：20058.3，条款内容：“服务提供方应分析事件和问题的数据和趋势以识别根本原因和潜在的预防措施”不符合项事实：查FTP服务器每天早上定期自动重启，但未能识别问题及其根本原因，并提出问题的解决方案。3、审核员审核某公司时，从系统管理员那里了解到，上个月该公司将OA系统的由3.0版升级到了4.0版，但查阅文档发现，只有发布计划，没有对该发布项进行测试。系统管理员解释说，OA系统已经使用很多年了，一直很稳定没发生什么问题，没有必要测试了。参考答案：不符合ISO/IEC20000-1：2005，不符合条款：10.1“应建立受控的验收测试环境，以便在分发之前对所有发布项进行测试”不符合项事实：公司对OA系统由3.0版升级到了4.0版，对该发布没有进行测试。审核员在现场审核时，发现项目部经理手中的《信息技术服务管理手册》为V1.1版，而文件控制清单中的《信息技术服务管理手册》为V1.3版。项目部经理解释说：《信息技术服务管理手册》内容没有变化，只是格式变了两次，不影响使用。参考答案：不符合ISO/IEC20000-1：2005，不符合条款：3.2文件要求“应建立、评审、批准、维护、处置和控制不同类型的文件和记录的程序和职责。”不符合项事实：文件控制清单中的《信息技术服务管理手册》与使用者使用的同一