信息安全管理体系审核知识考试题

ITSMS审核员考试审核知识试卷201706一、单选题1、 某制造企业A的关键工序由唯一的一台自动控制系统设备完成，该设备系统的运维外包给了一家小型私营公司B，一下哪项是ISO/IEC20000:2011的要求？（）（A） A与B应签署运维合同或协议，运维合同或协议应考虑A的客户合同以及生产运行要求制定服务内容和指标。（B） A与B应签署运维合同或协议，由采购部门维护B在A公司合格供应商名录中的地位。（C） B声称能做到随叫随到，此情景下运维合同或协议可以省略（D） 由B完全负责管控，A不必干涉2、 投诉处理过程的有关信息的形式应（）（A） 不使任何被投诉者处于不利地位（B） 不使任何投诉者处于不利地位（C） 不使任何外包方处于不利地位（D） IT服务方组织根据情况决定是否向投诉者披露3、 某银行信用卡呼叫中心为了提高效率，制定了与每一业务对应的“标准话述”，供坐席人员应答客户关于信用卡使用的问题时使用，依据ISO/IEC20000-1:2011,这些“标准话述”的的维护和更新对应（）（A） 事件管理的职责（B） 问题管理的职责（C） 服务设计的职责（D） 服务转换的职责4、 以下属于单点故障的情况是（）（A） 巡检时发现的唯一故障（B） 所有服务器使用一台UPS为供电，数据中心仅有此一台UPS（C） 所有的IT设备使用一条专线联网，由于带宽资源充足故未构建其他线路（D）（B）+（C）5、 服务连续性管理中，恢复时间目标指（）（A） IT服务复原到正常工作状态的时间（B） IT服务复原到约定的最低可用性水平的时间（C） 关键服务恢复到约定的最低可用性水平的时间（D） 基础设施服务恢复到约定的可用性水平的时间6、对于个人信息的使用，除法律法规另有规定外，应（）（A） 得到个人信息主体的同意并按约定时间及时删除（B） 得到个人信息主体所在组织的同意，不须告知个人信息主体。（C） 个人信息持有者自行决定管理措施，不须告知个人信息主体。（D） 得到个人信息主体的同意并尽可能长时间保存。7、下列选项中描述正确的是（）（A） 服务提供方不可以对ISO/IEC20000-1：2011中的任何条款进行删减（B） 服务提供方不可以对ISO/IEC20000-1：2011中4-9章的任何条款进行删减（C） 服务提供方必须自己提供满足ISO/IEC20000-1：2011中4-9章要求的全部证据（D） 服务提供方可以请其他相关方提供其满足ISO/IEC20000-1：2011中4-9章要求的部分证据8、关于ISO/IEC20000-1：2011体系ITIL“4P”要素，一下说法正确的是（）（A） 人员、过程、伙伴、供方（B） 人员、过程、产品、技术（C） 人员、过程、产品、伙伴（D） 人员、产品、技术、伙伴9、 对于IT服务交付中涉及的信息安全，以下说法正确的是（）（A） 若IT服务提供方获得了ISMS认证，可以默认ISO/IEC20000-1标准6.6条已满足要求（B） 审批信息安全策略及遵从这些策略的重要性应与顾客和相关方沟通（C） 。。。供方人员（D） 。。。供方等没有关系。10、 第三方认证审核是，以下不违反审核公正性原则的是（）（A） 审核员来自受审核方，熟悉情况，有利于获取审核证据（B） 审核员来自受审核方的行政上级，有利于督促审核方提供证据（C） 审核员来自受审核方的客户，可保持对抽样的影响力（D） 以上都不对11、 关于审核“供方关系过程”，以下说法正确的是（）（A） 应审核受审核方如何管理供方合同与SLA的一致性（B） 应抽样审核受审核方的供方的分包现场已验证供方对其分包方的控制（C） 应抽样审核受审核方的供方以验证其遵从SLA的程度（D） 受审核方的供方对其分包方与SLA的一致性不在审核范围内。12、 对计算机信息系统中发生的案件，有关使用单位应当在（）小时内向当地县级以上人民政府公安机关报告。TOC\o"1-5"\h\z（A） 24（B） 12（C） 36（D） 813、 下列关于配置项保护的环境要求描述错误的是（）。（A） 保护配置项不受未经授权的访问、变更或破坏（B） 可提供灾难后的恢复方法（C） 保存设备应物理隔离、不能联入网络（D） 允许对受控备份的受控恢复14、 当某个应用的最新版本被安装时，哪个从负责检查和判断其它应用是否有必要测试或者重新安装？（）（A） 变更管理（B） IT服务持续性管理（C） 测试管理（D）发布管理15、 供应商管理过程中，下列文件哪些不是必须有的（）（A） 主供应商与分包供应商之间的职责和关系（B） 服务提供方和供应商之间的合同纠纷管理（C） 供应商的服务报告（D） 供应商合同16、 应（）变更记录，以检查变更的增长程度，频繁重现的类型、呈现的趋势和其他相关信息。（A） 不定期分析（B） 定期分析（C） 及时分析（D） 根据需求分析17、 如果在审核计划所规定的时机框架内提供的文件（），审核组长应告知审核方案管理任何和受审核方。（A） 不适宜、不充分（B） 不是最新版本（C） 为经过审批（D） 不完整、不准确18、 对于目标不确定的影响是（）（A） 风险评估（B） 风险（C） 不符合（D） 风险处置19、 下面不属于服务交付的过程是？（）（A） 服务级别管理（B） 服务连续性和可用性管理（C） 计划和实施新的或变更的服务（D） 服务报告20、 运输、携带、邮寄计算机信息媒体进出境的，应当如实向（）申报。（A） 公安局（B） 安全局（C） 工商局（D） 海关21、 当审核不可行时，应向审核委托方提出（）并与受审核方协商一致。（A） 合理化建议（B） 替代建议（C） 终止建议（D） 调整建议22、 如果审核计划中有规定，审核结论可提出改进的（）或今后审核活动的（）。（A） 建议，建议（B） 方法，方法（C） 途径，途径（D） 步骤，步骤23、 配置管理应提供识别、控制与追踪服务和基础设施的（）版本的机制。（A） 可识别组件（B） 配置项（C） 可识别部件（D） 系统24、 与相应服务级别（）一起提供的整体服务范围，应由相关方进行协商并记录（A） 目标和工作量特征（B） 计划和工作量特征（C） 方案和指标特征（D） 水平和指标特征25、 数字签名包括（）。（A） 签署过程（B） 签署和验证两个过程（C） 验证过程（D） 以上答案都不对26、 在审核过程中，出现了利益冲突和能力方面的问题，审核组的（）可能有必要加以调整。（A） 审核员和技术专家（B） 审核组长和审核员（C） 规模和组成（D） 实习审核员27、 服务提供方应对（）进行监视、评审和持续改进（A） 服务和服务管理（B） 服务管理体系（C） 服务和服务管理体系（D） 服务、服务管理体系和流程28、 在认证审核时，审核组在现场有权限决定变更的事项包括（）（A） 审核准则（B） 审核人日数（C） 审核路线（D） 受审核的业务过程29、 下列关于服务方针的描述不正确的是（）（A） 是可量化的（B） 与服务提供方的宗旨相适应（C） 包括对满足服务需求的承诺（D） 在连续的适宜性方面通过评审30、 在编制审核计划时，审核组长不应考虑以下方面（）（A）适当的抽样技术（B） 审核组的组成及其整体能力（C） 审核对组织形成的风险（D） 企业文化31、 信息技术服务管理体系认证审核时，为了获取审核证据，应考虑的信息源为（）（A） 受审核方的办公自动化系统管理与维护相关的过程和活动（B） 受审核方场所内已确定为涉及国家秘密的相关过程和活动（C） 受审核方的核心财务系统的管理与维护相关的过程和活动（D） 受审核方申请认证范围内的业务过程和活动32、 下列哪种表述最准确地说明了容量管理的目的？（）（A） 将成本和性能水平降低到最低（B） 确保总是有充分的可用能力以满足全体客户的要求（C） 确保业务需求是可负担且可实现的（D） 为满足约定的系统性能对资源进行监视和调整33、 以下哪一项是IT服务从消息管理流程的典型活动？（）（A） 通知终端用户有关系统故障方面的情况（B） 将后备方案（FallbackArrangement）文档化（C） 提供可用性方面的报告（D） 确保配置项始终是最新的34、 适用时，客户组织应在递交认证申请时指明（）在ITSMS范围内的服务活动。（A） 完全不包含（B） 不包含（C） 部分包含（D） 不完全包含35、 信息技术服务管理体系认证过程包含了（）（A） 现场审核首次会议开始到末次会议结束的所有活动（B） 从审核准备到审核报告提交期间的所有活动（C） 一次初审以及至少2次监督审核的所有活动（D） 从受理认证到证书到期期间所有的审核以及认证服务和管理活动36、 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供（）。（A） 信息内容及其发布者姓名、互联网地址或者域名（B） 信息内容及其发布时间、互联网地址或者MAC地址（C） 信息来源及其发布时间、互联网地址或者域名（D） 信息内容及其发布时间、互联网地址或者域名37、 当问题管理流程侦察到一个事件的真实原因和找到解决的方法，该问题应分类为（）（A） 已知错误（B） 已知时间（C）38、 互联网信息服务提供者应当在其网站主页的显著位置标明其（）。（A） 营业执照编号或者备案编号（B） 组织机构代码证编号或者备案编号（C） 生产许可证编号或者备案编号（D） 经营许可证编号或者备案编号39、 服务提供方应实施服务管理计划，以管理并交付服务，包括（）、（A） 资金和预算的分配（B） 项目和职责的分配（C） 安全风险的识别和管理（D） 以上都不是40、 下列内容哪项不是能力计划必须包括的内容（）（A） 当前和预测的服务需求（B） 服务能力升级的时间跨度、阈值和成本（C） 能力升级的资源需求（D） 新技术和新工艺的潜在影响二、多选题41、 服务提供方应在服务管理策划中定义和包含服务管理体系（SMS）的范围，考虑下列哪些因素？（）（A） 客户和他们的位置（B） 用于提供服务的技术（C） 一直知识（D） 服务提供方交付服务的地理位置42、 TCP/IP层次结构有哪些组成？（）（A） 链路层（B） 应用层（C） 网络层和网络接口层（D） 传输层43、 服务提供方应与客户相关方策划、部署新的或变更的服务和服务组件到时间环境中区，策划应（）（A） 配置管理数据库中的记录应随成功部署的变更更新（B） 与变更管理过程协调并保护对相关的变更请求，已知错误和通过该发布所关闭问题的引用（C） 包括对每个发布的部署日期、部署的可行性和部署方法（D） 变更请求应根据计划的时间间隔分析和识别趋势44、 服务提供方应确保事件和服务请求流程相关人员能够访问和使用相关信息，相关信息包括（）（A） 事件和服务请求管理程序（B） 已知错误（C） 问题解决方案（D） 配置管理数据库45、 IT服务指（）（A） IT的规划和实现（B） IT所交付的服务IT的运行服务IT设施的升级改造三、阐述题46、 AZ信息科技公司的业务之一是想外部合同客户提供呼叫中心服务，审核员在审核期服务连续性是，看到项目计划中“服务连续性”条款下有两条要求：“当发生灾难性海啸时，与24小时之内恢复一条顾客热线，与6个月完全恢复呼叫中心业务。”审核员认为ISO/IEC20000-1:2011已得到满足，结束了审核。你认为该审核员的审核是否可接受？为什么？如果你是审核员，你将如何审核？47、 某公司对合约客户通数据中心和基础设施运维和支持服务，在2015年根据公司的战略转型，拟在IT增值服务中，增加云计算服务，根据客户的个性要求，提供私有云服务。请根据ISO/IEC20000-1：2011标准的要求，提出IT服务过程中，需要完善和遵循的过程。四、案例分析48、 审核员在数据中心现场进行现场审核时看到，受审核方由于机房空间不足，为了满足客户的需求，受审核方在其他数据中心租赁了一间机房，在查看受审核方该供应商提供的报告中看到由于受审核方与供应商对机房的管理流程不同，造成受审核方流程文件中要的父辈监控活动供应商无法提供监控结果，受审核人员解释说由于他们无法对供应商的机房进行直接管理，这些监控项已经对供应商提供了要求，但不能决定对方的改进进度，只能49、 审核员在查阅事件记录时，发现一个一个月签订事件未解决，而顾客要求一周内解决，审核员询问对不能满足客户要求的管理级别时该怎么处理，二线经理回答：不需要什么特别的处理，他们也没有催我们，也应该知道我们还没有拿出解决方案，我们抓紧时间解决就可以了。50、 审核员到某公司进行ITSMS评审，公司的配置管理数据库中积累的一台业务系统服务器的使用内存为4G,审核员查看了服务器配置表，发现最新配置为6G，系统管理员说因为内存不够用，所以增加内存了，但要等到下次做配置审计时才配置管理数据库中的该配置项的信息。51、 审核员在审核某银行IT运维部时，看到一份“供销合同”，合同甲方为该银行，一份为某信息安全服务公司，合同中乙方交付条款中规定了交付时间为“2016年12月前完成”，交付内容仅描述为“渗透测试服务”，审核员问是否还有详细的补充协议规定测试针对的服务范围。测试过程安全要求以及测试结果如何交付等。该IT运维部负责人回答道：“没有补充协议了，我们所有的采购都用的是这个标准的供销合同模板。”审核员提出看看测试报告