2021年9月CCAA国家注册审核员ITSMS信息技术服务管理基础考试题目含解析

2021年9月CCAA国家注册审核员ITSMS信息技术服务管理基础考试题目一、单项选择题1、组织应定义所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和()。A、报告B、沟通C、回复顾客D、正式关闭2、《信息安全技术信息技术信息安全事件分类分级指南》中灾害性事件是由于()对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素3、以下选项不属于信息安全领域的测量和监视技术的是A、单位时间的访问流量分析B、呼叫中心话术系统监听C、网络行为管理D、入侵检测系统4、()是不确定性对目标的影响。A、风险评估B、风险C、不符合D、风险处置5、根据ISO/IEC20000-1:2018标准的要求，以下说法正确的是()。A、一次发布可以针对一个或多个变更进行，每一个变更都应在发布前经过测试B、部署计划往往针对的是多个系统进行的较为复杂的发布C、其他全部D、变更、发布、部署可以是同一个活动6、《中华人民共和国认证认可条例》要求，认证机构及其认证人员对()负责。A、审核发现B、审核证据C、认证结果D、认证结论7、以下不属于网络安全控制技术的是()。A、防火墙技术B、访问控制C、差错控制D、入侵检测技术8、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项内容。A、安全定级B、安全规划C、安全评估D、安全实施9、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是（）。A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄露，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统10、根据ISO/IEC20000-1:2018标准的要求，方针是由最高管理层正式发布的()A、组织意愿和方向B、组织意图和计划C、组织意图和目标D、组织宗旨和方向11、对服务可用性进行监视,记录其结果并与目标进行比较。()不可用应进行调查并采取必要的行动。A、发生的B、计划外C、可能发生的D、计划内12、根据《信息安全等级保护管理办法》，应加强涉密信息系统运行的保密监督检查。对秘密密级、机密密级信息系统每()至少进行一次保密检查或系统评测。A、2年B、半年C、1年D、1.5年13、“多级SLA"是一个三层结构，下列哪层不是这类型SLA的部分?()A、客户级别B、公司级别C、配置级别D、服务级别14、根据《信息安全等级保护管理办法》，信息系统安全保护等级分为()。A、三级，即由低到高为三级，二级，一级B、五级，即由低到高为第一级，第二级，第三级，第四级，第五级C、三级，即由低到高为第一级，第二级，第三级D、三级，即绝密级、机密级、秘密级15、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用（）方式阅读电子邮件。A、程序B、网页C、纯文本D、会话16、根据ISO/IEC20000-1:2018标准，IT服务管理中，关于“配置管理数据库”，以下说法正确的是()。A、配置管理数据库应包含配置项所有相关详细信息和重要关系的信息B、配置管理数据库应向所有IT务人员开放，故不再需要访问控制C、配置管理数据库即资产台账D、配置管理数据库指的是计算机系统台账，包括软件硬件17、根据ISO/IEC20000-1:2018标准的要求，谁需要参与顾客和服务提供方之间的服务评审?()A、除了顾客和其他利益相关方外没有特定要求B、只有供方和业务关系过程经理C、只有业务关系过程经理D、两个机构的高管层18、下列哪项不是监督审核的目的?()A、验证认证通过的ITSMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能弓|起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定19、根据ISO/IEC20000-1:2018标准的要求，应将成本纳入预算，以便对交付的服务进行有效的财务控制和（）A、分摊成本B、回本C、业务决策D、提供服务提供方收费的依据20、组织的外部供应商包括指定的主供应商，不包括主供应商的()。A、内部供应商B、作为供应商的客户C、供应商D、分包商21、关于ISO/IEC20000标准，以下说法正确的是()。A、ISO/IEC20000-2为审计实现提供指南B、ISO/IEC20000-2为变更管理、事件管理等管理流程的具体实现提供指南C、ISO/IEC20000-2为ISO/IEC20000-1提供实施服务管理体系指南D、ISO/IEC20000-1是ISO/IEC20000-2的应用指南22、云服务商提供IaaS服务，不适于作为服务方配置项的是A、物理网络设备B、物理存储设备C、OA应用软件D、虚拟服务器23、根据ISOIEC0000-1:2018标准的要求，对“问题和事件之间关系”的描述，正确的是()。A、在目标时间内未能解决的事件将被转到问题管理B、单个事件永远不会造成某个问题记录被打开C、始终会导致某个问题记录被打开D、一个或多个实际或潜在事件的原因，就是问题24、一家钢铁企业正在兼并一个竞争对手，两个公司的IT门，连同IT基础设施都将合并。根据ISO/IEC20000-1:2018标准的要求()流程决定在合并后的IT基础设施上运行所需应用软件的磁盘和内存需求。A、发布管理B、应用管理C、计算机操作管理D、容量管理25、设计和转换新的或变更服务的目标是（）。A、为保证新的服务和变更服务的服务接受标准得到完全满足B、为保证新的服务和变更服务的提议完全评价C、为保证新的服务和变更服务的提议得到完全评估和授权D、为保证新的服务和变更服务在约定的成本和服务质量上可交付和可管理26、根据ISO/IEC20000-1:2018标准的要求，服务连续性管理中的恢复时间目标是指()。A、关键服务到约定的最低可用性水平的时间B、IT务恢复到约定的可用性水平的时间C、基础约定可行水平的时间D、IT务恢复到约定的最低可用性水平的时间。27、考虑不同时段的工作负载的差异收费用于（）。A、故障树分析(FTA)B、可用性计划C、服务级别管理D、风险分析和管理法28、关于ISOIEC0000系列标准，目前可以作为信息技术服务管理体系审核依据的标准是()。A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201829、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件，有关使用单位应当在（）小时内向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内30、组织应运行ITSMS，确保活动和资源的协调。组织应实施要求的（）以交付服务。A、计划B、活动C、过程D、程序31、变更管理策略不要求对()进行定义。A、每周变更日期B、确定可能对客户和服务产生重大影响变更的判断标准C、变更管理控制下的服务组件或其他项D、变更类别和如何对其进行管理32、组织应()一个服务管理计划。A、创建、实施和运行B、创建、运行和保持C、创建、实施和保持D、创建、运行和保持33、根据《互联网信息服务管理办法》的要求，对于“散布谣言，扰乱社会秩序，破坏社会稳定的”由()责令改正。A、公安机关B、备案机关C、省自治区、直辖市电信管理机构D、发证机关34、根据ISO/IEC20000-1:2018标准的要求，对于每一交付的服务，组织应根据文件化的服务要求建立()SLA。A、不同B、一个或多个C、若干D、多个35、建立服务目录的价值在于()。A、表现变更对业务的影响B、展示配置项之间的关系C、对交付的IT服务提供一个集中的信息源D、预测IT基础架构事务的根本原因36、在发布部署运行环境中之前，应建立受影响配置项的A、文件B、目录C、备份D、基线37、容错是指某组件发生失效后，IT务或配置项()。A、继续正确运行的能力B、继续部分正确运行的能力C、失去继续正确运行的能力D、继续正确运行的流程38、目前可以作为信息技术服务管理体系审核依据的标准是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201839、在建立信息技术服务管理体系时所用的风险评估方法必须()。A、遵循风险评估的国际标准B、使用定性的方法C、使用定量的方法D、选用能够产生可比较和可再现结果的方法40、ITIL和ISO/IEC20000之间有何关系?()A、ITIL基于ISO/IEC20000B、ITIL为IT服务管理提供最佳实践建议，而ISO/IEC20000则定义了IT服务管理的标准C、ITIL是ISO/IEC20000第1和2部分的子集D、ITIL和ISO/IEC20000相互兼容并适用于服务管理系统的不同部分二、多项选择题41、根据ISO/IEC20000-1:2018标准的要求，信息安全的控制措施应()。A、由顾客制定，服务提供方组织通常没有对这些措施的访问权B、独立执行，不受变更管理过程的影响C、评估和记录SMS服务的信息安全风险D、支持信息安全策略并处置已识别的信息安全风险42、在运行ITSMS，应给予不满意的投诉者以尽可能多的途径求助和参与争议解决过程。包括()。A、电话B、电子邮件C、网上提交D、传真43、依据GB/Z20986,信息安全事件分级考虑的要素包括A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度44、系统安全分析主要包括调查和评价可能出现的初始的、诱发的和起作用的危害之间的相互关系。可用于IT系统安全风险分析的方法包括()。A、危害分析与关键控制点(HACCP)B、攻击路径分析法(ATA）C、场景分析法D、失效模式分析法(FMEA）45、事件管理中以下哪项不是管理性升级的活动()?A、将一个事件的信息通知更多的高层管理者B、将事件转给具有更高技术水平的人解决C、为保持顾客满意使用尽可能多高级专家D、不能满足SLA中规定的事件解决时间要求46、根据《中华人民共和国认证认可条例》，取得认证机构资质，应当符合下列条件()。A、有15名以上相应领域的专职认证人员B、有符合认证认可要求的管理制度C、有固定的场所和必要的设施D、注册资本不得少于人民币100万元47、在建立新的服务级别协议时，下列哪项是服务级别管理应该考虑的?()A、变更服务级别协议可能发生的影响能被确定B、变更管理规程C、新的服务级别协议业务目标D、在其它已存在的服务级别协议中的条件能够继续达到要求48、确定审核时间，时间的分配应考虑以下哪些ITSMS特定因素()。A、在ITSMS范围内，SLAs的水平和所使用的第三方协议B、适用于认证的标准和法规C、参与服务提供的其他相关方的数量，例如:供应商、充当供应商的内部小组或顾客D、以往已证实的ITSMS绩效49、ISO/IEC2000-1到-6中哪些是要求类标准A、20000-6B、20000-4C、20000-2D、20000-150、根据ISO/IEC20000-1:2018标准的要求，服务组件是服务的一部分，与其他元素结合提供完整的服务，“服务组件”包括()。A、许可证B、基础架构和支持性服务C、信息和资源D、应用程序和文档51、信息技术服务管理体系的范围应依据()确定。A、组织的外部和内部事项B、组织所识别的相关的要求C、组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系D、ISO/IEC20000-1:2018的标准要求52、依据ISO20000-6:2017以下可以构成减少ITSMS初审人日的因素包括（）。A、已获得的认证在最近12个月内对其至少实施了一次审核B、拟认证的范围已获得ISO/IEC27001证书C、已获得其他认证的范围大于拟认证的范围D、拟认证的范围与获得LSMS证书范围等同53、根据GBT9264标准，基础环境运维服务，包括对保证信息系统正常运行所必需的()。A、空调B、主机设备的定期巡检C、安防系统的例行检查及状态监控D、机房电力系统故障处理54、根据ISO/IEC20000-1:2018标准的要求采用SMS是组织的战略决策，受组织()的影响。A、服务生命周期中涉及的其他各方B、治理C、目标D、服务有效性和韧性55、关于信息安全产品的使用，以下说法不正确的是A、对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权B、对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书C、对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录D、对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞三、判断题56、测量是确定数值和性质的过程。57、ISO/IEC20000-2为建立、实现、保持和持续改进一个SMS提供了要求。()58、根据ISO/IEC20000-1:2018标准的要求，本标准中的供应商管理指的是外部供应商的管理。()59、根据GB/Z20986标准，信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。()60、ISO/IEC20000系列标准由ISO/IECJTC1/SC27进行维护。()61、根据ISO/IEC20000-1:2018标准的要求，按照策划的时间间隔应监视、评审和报告问题解决的有效性。()62、开展信息技术服务管理体系认证必须以正式发布的国家标准为依据。63、发生中断事件后，必须启动问题管理。64、相关方可以包括不在ITSMS范围内的组织的一部分。65、事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件，用户也可以通过访问事件记录系统或自动监测软件直接记录。()

参考答案一