2021年3月CCAA注册审核员ITSMS信息技术服务管理基础复习题含解析

2021年3月CCAA注册审核员ITSMS信息技术服务管理基础复习题一、单项选择题1、目前可以作为信息技术服务管理体系审核依据的标准是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:20182、()标准描述了用于过程评估的概念和术语。A、ISO/IECTR15504-3B、ISO/IEC15504-2C、ISO/IEC15504-1D、ISO/IECTR15504-43、根据ISO/IEC20000-1:2018标准的要求，应将成本纳入预算，以便对交付的服务进行有效的财务控制和（）A、分摊成本B、回本C、业务决策D、提供服务提供方收费的依据4、根据ISOIEC0000-1:2018标准的要求，对“问题和事件之间关系”的描述，正确的是()。A、在目标时间内未能解决的事件将被转到问题管理B、单个事件永远不会造成某个问题记录被打开C、始终会导致某个问题记录被打开D、一个或多个实际或潜在事件的原因，就是问题5、设计和转换新的或变更服务的目标是（）。A、为保证新的服务和变更服务的服务接受标准得到完全满足B、为保证新的服务和变更服务的提议完全评价C、为保证新的服务和变更服务的提议得到完全评估和授权D、为保证新的服务和变更服务在约定的成本和服务质量上可交付和可管理6、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项内容。A、安全定级B、安全规划C、安全评估D、安全实施7、根据ISO/IEC20000-6:2017标准，审核时间包含在客户场所(物理的或虚拟的)现场的所有时间和在非现场进行的()。A、与客户人员的互动B、策划C、其他选项全对D、文件评审8、在建立信息技术服务管理体系时所用的风险评估方法必须()。A、遵循风险评估的国际标准B、使用定性的方法C、使用定量的方法D、选用能够产生可比较和可再现结果的方法9、云服务商提供IaaS服务，不适于作为服务方配置项的是A、物理网络设备B、物理存储设备C、OA应用软件D、虚拟服务器10、ISO/IEC20000-3是()。A、服务管理要求B、服务管理范围指南C、服务管理指南D、服务管理范围要求11、根据ISO/IEC20000-1:2018，()不是每个过程都需要定义的部分。A、输出B、资源C、输入D、活动12、()是不确定性对目标的影响。A、风险评估B、风险C、不符合D、风险处置13、根据《互联网信息服务管理办法》的要求，对于“散布谣言，扰乱社会秩序，破坏社会稳定的”由()责令改正。A、公安机关B、备案机关C、省自治区、直辖市电信管理机构D、发证机关14、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用（）方式阅读电子邮件。A、程序B、网页C、纯文本D、会话15、下列描述中()不是最高管理者的管理职责。A、确定建立了服务管理方针和服务管理目标B、沟通有效服务管理的重要性C、促进SMS和服务的持续改进D、制定具体的服务过程16、《中华人民共和国计算机信息系统安全保护条例》所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、()、检索等处理的人机系统。A、存储、加工、处置B、存储、使用、处置C、存储、传输、使用D、加工、存储、传输17、根据ISO/IEC20000-1:2018标准的要求，谁需要参与顾客和服务提供方之间的服务评审?()A、除了顾客和其他利益相关方外没有特定要求B、只有供方和业务关系过程经理C、只有业务关系过程经理D、两个机构的高管层18、IT服务管理中所指“升级(escalation)"即:()。A、针对用户计算机系统实施的升级，包括软件升级以及硬件升级B、为了满足服务水平目标而执行的流程，包括职能性升级和管理性升级C、针对特定顾客提升其服务质量等级的活动，如升级至“金牌服务”D、为了提高顾客满意度而提请更高级管理者与顾客对话的活动19、《信息安全技术信息技术信息安全事件分类分级指南》中灾害性事件是由于()对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素20、根据ISO/IEC20000-1:2018标准的要求，持续服务改进的目标是()。A、为提高管理服务过程效率所采取的鉴定活动B、在不牺牲顾客满意度的情况下提高IT务的成本效益C、持续改进SMS服务的适宜性、充分性和有效性，以维护客户和相关方的价值D、在用户同意的水平上交付和管理服务的生产活动21、变更管理策略不要求对()进行定义。A、每周变更日期B、确定可能对客户和服务产生重大影响变更的判断标准C、变更管理控制下的服务组件或其他项D、变更类别和如何对其进行管理22、组织应进行容量规划，包括基于服务需求的（）的容量。A、当前和预测B、时间阈值C、时间尺度D、以往23、根据《网络安全审查办法》，网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，网络产品和服务使用后带来的()，以及重要数据被窃听、泄露、损毁的风险。A、关键信息基础设施被非法控制、遭受干扰或破坏B、安全性、开放性C、网络产品和服务被非法控制、遭受干扰或破坏D、透明性、来源多样性24、根据《信息安全等级保护管理办法》，应加强涉密信息系统运行的保密监督检查。对秘密密级、机密密级信息系统每()至少进行一次保密检查或系统评测。A、2年B、半年C、1年D、1.5年25、根据GB/T29264标准，安全运维服务不包括()。A、软件功能修改完善服务B、安全巡检服务C、渗透性测试服务D、脆弱性检查服务26、组织应()一个服务管理计划。A、创建、实施和运行B、创建、运行和保持C、创建、实施和保持D、创建、运行和保持27、一家钢铁企业正在兼并一个竞争对手，两个公司的IT门，连同IT基础设施都将合并。根据ISO/IEC20000-1:2018标准的要求()流程决定在合并后的IT基础设施上运行所需应用软件的磁盘和内存需求。A、发布管理B、应用管理C、计算机操作管理D、容量管理28、根据GB/Z20986标准，计算机信息系统安全专用产品是指()。A、安装了专用安全协议的专用计算机B、按安全加固要求设计的专用计算机C、用于保护计算机信息系统安全的专用硬件和软件产品D、特定用途(如高保密)专用的计算机软件和硬件产品29、ISO/IEC20000标准的第2部分与第1部分有何关联?A、第1部分是第2部分的子集B、第1部分包括第2部分中规定的主要要求C、第2部分需要完全实现才能满足第1部分的要求D、第2部分包含满足第1部分要求的指导30、()指应当尽可能调查所有与投诉有关的背景和信息A、投诉响应B、投诉终止C、投诉调查D、受理告知31、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是（）。A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄露，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统32、《中华人民共和国认证认可条例》要求，认证机构及其认证人员对()负责。A、审核发现B、审核证据C、认证结果D、认证结论33、根据ISO/IEC20000-1:2018标准的要求，信息安全管理的目的是保护与SMS和服务相关的所有形式的信息()。A、保密性、完整性和可用性B、适宜性、充分性和有效性C、法律合规性D、技术合规性34、组织的外部供应商包括指定的主供应商，不包括主供应商的()。A、内部供应商B、作为供应商的客户C、供应商D、分包商35、建立服务目录的价值在于()。A、表现变更对业务的影响B、展示配置项之间的关系C、对交付的IT服务提供一个集中的信息源D、预测IT基础架构事务的根本原因36、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件，有关使用单位应当在（）小时内向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内37、关于涉密信息系统的管理，以下说法不正确的是A、涉密计算机未经安全技术处理不得改作其他用途B、涉密计算机、存储设备不得接入互联网及其他公共信息网络C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机只有采取了适当防护措施才可接入互联网38、管理体系的初次认证审核应分为哪两个阶段实施?A、预审核和监督审核B、第一阶段和第二阶段C、预审核和初次访问审核D、第一阶段和监督审核39、目前信息技术服务管理体系的认证周期为()。A、2年B、3年C、4年D、根据实际情况确定40、一家汽车修理厂根据ISO/IEC20000-1建立SMS时，以下哪一项说法是错误的?()A、将服务的设计、建立和转换过程外包给第三方B、客户没有需求，所以可以不建立服务报告管理过程C、对供应商的活动进行监视，并要求定期提供工作报告D、在建立服务目录时，考虑现有服务以及客户的要求二、多项选择题41、根据ISO/IEC20000-1:2018标准的要求，服务组件是服务的一部分，与其他元素结合提供完整的服务，“服务组件”包括()。A、许可证B、基础架构和支持性服务C、信息和资源D、应用程序和文档42、系统安全分析主要包括调查和评价可能出现的初始的、诱发的和起作用的危害之间的相互关系。可用于IT系统安全风险分析的方法包括()。A、危害分析与关键控制点(HACCP)B、攻击路径分析法(ATA）C、场景分析法D、失效模式分析法(FMEA）43、ISO/IEC2000-1到-6中哪些是要求类标准A、20000-6B、20000-4C、20000-2D、20000-144、计算机网络拓扑结构是指网络中各个站点相互连接的形式，主要的拓扑结构有()以及他们的混合型。A、星型拓扑B、环型拓扑C、总线型拓扑D、树型拓扑45、组织可以使用下列哪些参数来定义SMS的适用范围，以确保包含在范围内和排除在范围外的内容清楚明确。(）A、提供的服务B、提供服务的组织，例如，单一部门，多个部门或所有部门C、提供服务的地理位置D、服务的顾客46、依据GB/Z20986,信息安全事件分级考虑的要素包括A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度47、在IT服务管理中，“部署”活动包括:()。A、实施变更B、对变更的风险进行评估C、将服务组件迁移到生产环境D、将经测试的软件包转移到生产环境48、基础环境运维服务通常包括（）。A、蓄水/蓄冷罐的维护维修B、主机设备的定期巡检C、机房电力系统预防性维护D、安防系统的实时监测49、在运行ITSMS，应给予不满意的投诉者以尽可能多的途径求助和参与争议解决过程。包括()。A、电话B、电子邮件C、网上提交D、传真50、信息技术服务管理体系的范围应依据()确定。A、组织的外部和内部事项B、组织所识别的相关的要求C、组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系D、ISO/IEC20000-1:2018的标准要求51、依据GB/Z20986，信息安全事件分级考虑的要素包括().A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度52、关于信息安全产品的使用，以下说法不正确的是A、对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权B、对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书C、对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录D、对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞53、根据ISOIEC0000-1:2018标准的要求，对于拟转移的服务，策划还应包括服务转移的()的传递和交接。A、其他服务B、日期和数据C、文档、知识D、服务组件54、OSI(开放系统互联)模型由哪些组成?()A、网络层B、会话层C、表示层D、传输层55、根据ISO/IEC20000-1:2018标准的要求，信息安全的控制措施应()。A、由顾客制定，服务提供方组织通常没有对这些措施的访问权B、独立执行，不受变更管理过程的影响C、评估和记录SMS服务的信息安全风险D、支持信息安全策略并处置已识别的信息安全风险三、判断题56、事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件，用户也可以通过访问事件记录系统或自动监测软件直接记录。()57、ISO/IEC20000-2为建立、实现、保持和持续改进一个SMS提供了要求。()58、根据ISO/IEC20000-1:2018标准的要求，本标准中的供应商管理指的是外部供应商的管理。()59、保密性是指对数据的保护以防止未经授权的访问和使用。60、ISO/IEC20000-2:2019标准的条款结构符合ISO/IEC20000-1:2018，使用的术语特合ISO/IEC20000-1:2018和ISO/IEC20000-10:2018()61、相关方可以包括不在ITSMS范围内的组织的一部分。62、开展信息技术服务管理体系认证必须以正式发布的国家标准为依据。63、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。64、组织对内部供应商应按服务级别管理过程进行管理。65、根据GB