2021年9月CCAA注册审核员考试题目-ITSMS信息技术服务管理基础含解析

2021年9月CCAA注册审核员考试题目—ITSMS信息技术服务管理基础一、单项选择题1、组织应运行ITSMS，确保活动和资源的协调。组织应实施要求的（）以交付服务。A、计划B、活动C、过程D、程序2、云服务商提供IaaS服务，不适于作为服务方配置项的是A、物理网络设备B、物理存储设备C、OA应用软件D、虚拟服务器3、根据ISO/IEC20000-1:2018标准的要求，信息安全管理的目的是保护与SMS和服务相关的所有形式的信息()。A、保密性、完整性和可用性B、适宜性、充分性和有效性C、法律合规性D、技术合规性4、()是不确定性对目标的影响。A、风险评估B、风险C、不符合D、风险处置5、()主要用于检测软件的功能，性能和其他特性是否与用于需求一致。A、系统测试B、集成测试C、确认测试D、单元测试6、在建立信息技术服务管理体系时所用的风险评估方法必须()。A、遵循风险评估的国际标准B、使用定性的方法C、使用定量的方法D、选用能够产生可比较和可再现结果的方法7、变更请求(RFC)目的是()。A、RFC触发变更流程B、RFC记录由服务申请所产生的变更C、RFC用于申请对服务预算做出变更D、RFC控制变更和发布和部署流程之间的关系8、根据GB/T29264标准，安全运维服务不包括()。A、软件功能修改完善服务B、安全巡检服务C、渗透性测试服务D、脆弱性检查服务9、目前信息技术服务管理体系的认证周期为()。A、2年B、3年C、4年D、根据实际情况确定10、风险评估过程不包括（）。A、风险评价B、风险识别C、风险分析D、风险处置11、为监测过程，控制和减少变异，将样本统计量序列以特定顺序描点绘出，用于分析和判断过程是否处于稳定状态的所使用的带有控制界限的图，是()。A、直方图B、控制图C、散布图D、排列图12、根据ISO/IEC20000-1:2018标准的要求，服务连续性管理中的恢复时间目标是指()。A、关键服务到约定的最低可用性水平的时间B、IT务恢复到约定的可用性水平的时间C、基础约定可行水平的时间D、IT务恢复到约定的最低可用性水平的时间。13、容错是指某组件发生失效后，IT务或配置项()。A、继续正确运行的能力B、继续部分正确运行的能力C、失去继续正确运行的能力D、继续正确运行的流程14、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用（）方式阅读电子邮件。A、程序B、网页C、纯文本D、会话15、组织的外部供应商包括指定的主供应商，不包括主供应商的()。A、内部供应商B、作为供应商的客户C、供应商D、分包商16、设计和转换新的或变更服务的目标是（）。A、为保证新的服务和变更服务的服务接受标准得到完全满足B、为保证新的服务和变更服务的提议完全评价C、为保证新的服务和变更服务的提议得到完全评估和授权D、为保证新的服务和变更服务在约定的成本和服务质量上可交付和可管理17、对服务可用性进行监视,记录其结果并与目标进行比较。()不可用应进行调查并采取必要的行动。A、发生的B、计划外C、可能发生的D、计划内18、变更管理策略不要求对()进行定义。A、每周变更日期B、确定可能对客户和服务产生重大影响变更的判断标准C、变更管理控制下的服务组件或其他项D、变更类别和如何对其进行管理19、IT服务管理中所指“升级(escalation)"即:()。A、针对用户计算机系统实施的升级，包括软件升级以及硬件升级B、为了满足服务水平目标而执行的流程，包括职能性升级和管理性升级C、针对特定顾客提升其服务质量等级的活动，如升级至“金牌服务”D、为了提高顾客满意度而提请更高级管理者与顾客对话的活动20、一家汽车修理厂根据ISO/IEC20000-1建立SMS时，以下哪一项说法是错误的?()A、将服务的设计、建立和转换过程外包给第三方B、客户没有需求，所以可以不建立服务报告管理过程C、对供应商的活动进行监视，并要求定期提供工作报告D、在建立服务目录时，考虑现有服务以及客户的要求21、管理体系的初次认证审核应分为哪两个阶段实施?A、预审核和监督审核B、第一阶段和第二阶段C、预审核和初次访问审核D、第一阶段和监督审核22、关键信息基础设施的运营者应当自行或委托网络安全服务机构()对其网络的安全性和可能存在的风险检测评估。A、至少半年一次B、至少两年一次C、至少一年一次D、至少每年两次23、阐明所取得的结果或提供所完成活动的证据的是文件是()。A、报告B、记录C、演示D、协议24、根据ISO/IEC20000-1:2018标准的要求，应将成本纳入预算，以便对交付的服务进行有效的财务控制和（）A、分摊成本B、回本C、业务决策D、提供服务提供方收费的依据25、组织应()一个服务管理计划。A、创建、实施和运行B、创建、运行和保持C、创建、实施和保持D、创建、运行和保持26、《信息安全技术信息技术信息安全事件分类分级指南》中灾害性事件是由于()对信息系统物理破坏而导致的信息安全事件。A、网络攻击B、不可抗力C、自然灾害D、人为因素27、根据ISO/IEC20000-1:2018标准，IT服务管理中，关于“配置管理数据库”，以下说法正确的是()。A、配置管理数据库应包含配置项所有相关详细信息和重要关系的信息B、配置管理数据库应向所有IT务人员开放，故不再需要访问控制C、配置管理数据库即资产台账D、配置管理数据库指的是计算机系统台账，包括软件硬件28、建立服务目录的价值在于()。A、表现变更对业务的影响B、展示配置项之间的关系C、对交付的IT服务提供一个集中的信息源D、预测IT基础架构事务的根本原因29、下列哪项不是监督审核的目的?()A、验证认证通过的ITSMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能弓|起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定30、根据ISOIEC0000-1:2018标准的要求，对“问题和事件之间关系”的描述，正确的是()。A、在目标时间内未能解决的事件将被转到问题管理B、单个事件永远不会造成某个问题记录被打开C、始终会导致某个问题记录被打开D、一个或多个实际或潜在事件的原因，就是问题31、ISO/IEC20000标准的第2部分与第1部分有何关联?A、第1部分是第2部分的子集B、第1部分包括第2部分中规定的主要要求C、第2部分需要完全实现才能满足第1部分的要求D、第2部分包含满足第1部分要求的指导32、一家钢铁企业正在兼并一个竞争对手，两个公司的IT门，连同IT基础设施都将合并。根据ISO/IEC20000-1:2018标准的要求()流程决定在合并后的IT基础设施上运行所需应用软件的磁盘和内存需求。A、发布管理B、应用管理C、计算机操作管理D、容量管理33、根据ISO/IEC20000-6:2017标准，审核时间包含在客户场所(物理的或虚拟的)现场的所有时间和在非现场进行的()。A、与客户人员的互动B、策划C、其他选项全对D、文件评审34、《中华人民共和国计算机信息系统安全保护条例》所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、()、检索等处理的人机系统。A、存储、加工、处置B、存储、使用、处置C、存储、传输、使用D、加工、存储、传输35、根据ISO/IEC20000-1:2018标准的要求，对于每一交付的服务，组织应根据文件化的服务要求建立()SLA。A、不同B、一个或多个C、若干D、多个36、()不是每个过程都需要定义的部分。A、输出B、资源C、输入D、活动37、国家对计算机信息系统安全专用产品的销售实行的管理制度是()。A、许可证制度B、备案制度C、申报与审批制度D、测评、认证与审批制度38、()主要指的是硬件设备。比如是计算机、交换机、路由器、防火墙、机架、因特网、局域网、存储设备、主要用到的技术包括虚拟主机技术，操作系统以及各种硬件管理技术。A、IaaSB、SaaSC、MSPD、PaaS39、依据GB/Z20986，以下说法不正确的是()。A、网络扫描监听是网络攻击事件B、蠕虫事件是有害程序事件C、僵尸网络是网络攻击事件D、信息篡改是信息破坏事件40、根据《互联网信息服务管理办法》规定，国家对于经营性互联网信息服务实行()。A、备案制度B、许可制度C、行政监管制度D、备案与行政监管相结合的管理制度二、多项选择题41、在建立新的服务级别协议时，下列哪项是服务级别管理应该考虑的?()A、变更服务级别协议可能发生的影响能被确定B、变更管理规程C、新的服务级别协议业务目标D、在其它已存在的服务级别协议中的条件能够继续达到要求42、事件管理中以下哪项不是管理性升级的活动()?A、将一个事件的信息通知更多的高层管理者B、将事件转给具有更高技术水平的人解决C、为保持顾客满意使用尽可能多高级专家D、不能满足SLA中规定的事件解决时间要求43、《信息技术服务分类与代码》中规定软件运营服务包括()。A、在线教育平台B、在线阅读平台C、在线企业资源规划D、在线客户关系管理44、依据GB/Z20986，信息安全事件分级考虑的要素包括().A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度45、系统安全分析主要包括调查和评价可能出现的初始的、诱发的和起作用的危害之间的相互关系。可用于IT系统安全风险分析的方法包括()。A、危害分析与关键控制点(HACCP)B、攻击路径分析法(ATA）C、场景分析法D、失效模式分析法(FMEA）46、根据ISO/IEC20000-1:2018标准的要求，信息安全的控制措施应()。A、由顾客制定，服务提供方组织通常没有对这些措施的访问权B、独立执行，不受变更管理过程的影响C、评估和记录SMS服务的信息安全风险D、支持信息安全策略并处置已识别的信息安全风险47、以下关于网络钓鱼的说法中，正确的是（）。A、网络钓鱼是“社会I程攻击"的一种形式B、网络钓鱼融合了伪装、欺骗等多种攻击方式C、网络钓鱼与Web服务没有关系D、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上48、信息技术服务管理体系的范围应依据()确定。A、组织的外部和内部事项B、组织所识别的相关的要求C、组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系D、ISO/IEC20000-1:2018的标准要求49、根据ISOIEC0000-1:2018标准的要求，对于拟转移的服务，策划还应包括服务转移的()的传递和交接。A、其他服务B、日期和数据C、文档、知识D、服务组件50、下列哪项的变化受变更管理控制（）?A、服务目录B、SLAC、服务需求D、供方合同51、组织可以使用下列哪些参数来定义SMS的适用范围，以确保包含在范围内和排除在范围外的内容清楚明确。(）A、提供的服务B、提供服务的组织，例如，单一部门，多个部门或所有部门C、提供服务的地理位置D、服务的顾客52、公安机关对计算机信息系统保护工作行使下列监督权A、监督、检查、指导计算机信息系统安全保护工作B、查处危害计算机信息系统安全的文法犯罪案件C、履行计算机信息系统安全保护工作的其他监督职责D、计算机信息系统实行安全等级保护53、在运行ITSMS，应给予不满意的投诉者以尽可能多的途径求助和参与争议解决过程。包括()。A、电话B、电子邮件C、网上提交D、传真54、根据IT础架构库(ITIL)，有关服务管理，应考虑()维度。A、伙伴和供应商B、组织和人员C、价值流和流程D、信息和技术55、基础环境运维服务通常包括（）。A、蓄水/蓄冷罐的维护维修B、主机设备的定期巡检C、机房电力系统预防性维护D、安防系统的实时监测三、判断题56、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。57、邮箱服务提供方可定义吞吐量作为阈值指标。58、保密性是指对数据的保护以防止未经授权的访问和使用。59、事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件，用户也可以通过访问事件记录系统或自动监测软件直接记录。()60、根据ISO/IEC20000-1:2018标准的要求，该标准仅用于信息技术领域的组织建立SMS。()61、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每两年至少进行一次检测评估。62、根据ISO/IEC20000-1:2018标准的要求，按照策划的时间间隔应监视、评审和报告问题解决的有效性。()63、组织对内部供应商应按服务级别管理过程进行管理。64、服务的连续性计划应包含服务中断后恢复到正常工作条件的方法。65、ISO/IEC20000-2:2019标准的条款结构符合ISO/IEC20000-1:2018，使用的术语特合ISO/IEC20000-1:2018和ISO/IEC20000-10:2018()

参考答案一、单项选择题1、B2、C3、A4、B解析:参考GB/T29246-2017/ISO/IEC27000:20162.68风险定义:是对目标的不确定性影响。5、C6、D7、A8、A9、B10、D11、B12、B13、A14、C15、D16、A17、B18、A19、B20、B21、B22、C23、B24、C25、C26、B解析:参考《信息技术信息安全事件分类分级指南》4.2.6灾害性事件原文:灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。27、A28、C解析