2021年第三期CCAA注册审核员ITSMS信息技术服务管理基础复习题含解析

2021年第三期CCAA注册审核员ITSMS信息技术服务管理基础复习题一、单项选择题1、根据ISO/IECTR20000-4标准，业务关系管理过程的结果是()。A、计划和实施与客户的沟通B、确定客户和利害相关方C、其他选项均正确D、识别和监控客户的需求和期望2、容错是指某组件发生失效后，IT务或配置项()。A、继续正确运行的能力B、继续部分正确运行的能力C、失去继续正确运行的能力D、继续正确运行的流程3、根据ISOIEC0000-1:2018标准的要求，对“问题和事件之间关系”的描述，正确的是()。A、在目标时间内未能解决的事件将被转到问题管理B、单个事件永远不会造成某个问题记录被打开C、始终会导致某个问题记录被打开D、一个或多个实际或潜在事件的原因，就是问题4、根据《信息安全等级保护管理办法》，应加强涉密信息系统运行的保密监督检查。对秘密密级、机密密级信息系统每()至少进行一次保密检查或系统评测。A、2年B、半年C、1年D、1.5年5、关于涉密信息系统的管理，以下说法不正确的是A、涉密计算机未经安全技术处理不得改作其他用途B、涉密计算机、存储设备不得接入互联网及其他公共信息网络C、涉密信息系统中的安全技术程序和管理程序不得擅自卸载D、涉密计算机只有采取了适当防护措施才可接入互联网6、在发布部署运行环境中之前，应建立受影响配置项的A、文件B、目录C、备份D、基线7、下列描述中()不是最高管理者的管理职责。A、确定建立了服务管理方针和服务管理目标B、沟通有效服务管理的重要性C、促进SMS和服务的持续改进D、制定具体的服务过程8、()主要用于检测软件的功能，性能和其他特性是否与用于需求一致。A、系统测试B、集成测试C、确认测试D、单元测试9、目前信息技术服务管理体系的认证周期为()。A、2年B、3年C、4年D、根据实际情况确定10、组织应定义所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和()。A、报告B、沟通C、回复顾客D、正式关闭11、《计算机信息系统安全保护条例》规定:对计算机信息系统中发生的案件，有关使用单位应当在（）小时内向当地县级以上人民政府公安机关报告。A、8小时内B、12小时内C、24小时内D、48小时内12、ISO/IEC20000标准的第2部分与第1部分有何关联?A、第1部分是第2部分的子集B、第1部分包括第2部分中规定的主要要求C、第2部分需要完全实现才能满足第1部分的要求D、第2部分包含满足第1部分要求的指导13、下列哪项不是监督审核的目的?()A、验证认证通过的ITSMS是否得以持续实现B、验证是否考虑了由于组织运转过程的变化而可能弓|起的体系的变化C、确认是否持续符合认证要求D、做出是否换发证书的决定14、根据ISO/IEC20000-1:2018标准的要求，持续服务改进的目标是()。A、为提高管理服务过程效率所采取的鉴定活动B、在不牺牲顾客满意度的情况下提高IT务的成本效益C、持续改进SMS服务的适宜性、充分性和有效性，以维护客户和相关方的价值D、在用户同意的水平上交付和管理服务的生产活动15、()主要指的是硬件设备。比如是计算机、交换机、路由器、防火墙、机架、因特网、局域网、存储设备、主要用到的技术包括虚拟主机技术，操作系统以及各种硬件管理技术。A、IaaSB、SaaSC、MSPD、PaaS16、根据《互联网信息服务管理办法》的要求，对于“散布谣言，扰乱社会秩序，破坏社会稳定的”由()责令改正。A、公安机关B、备案机关C、省自治区、直辖市电信管理机构D、发证机关17、事件管理的目的是尽快恢复()的服务或响应服务请求。A、协商一致B、设备检修C、中断D、配置管理数据库18、()是不确定性对目标的影响。A、风险评估B、风险C、不符合D、风险处置19、根据ISO/IEC20000-1:2018标准的要求，对于每一交付的服务，组织应根据文件化的服务要求建立()SLA。A、不同B、一个或多个C、若干D、多个20、对服务可用性进行监视,记录其结果并与目标进行比较。()不可用应进行调查并采取必要的行动。A、发生的B、计划外C、可能发生的D、计划内21、建立服务目录的价值在于()。A、表现变更对业务的影响B、展示配置项之间的关系C、对交付的IT服务提供一个集中的信息源D、预测IT基础架构事务的根本原因22、《中华人民共和国计算机信息系统安全保护条例》所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、()、检索等处理的人机系统。A、存储、加工、处置B、存储、使用、处置C、存储、传输、使用D、加工、存储、传输23、《中华人民共和国认证认可条例》要求，认证机构及其认证人员对()负责。A、审核发现B、审核证据C、认证结果D、认证结论24、一家公司为他们的图形设计工作站建立了局域网，因为大容量的图表通过网络传输，网络带宽必须增加。根据ISO/IEC20000-1流程可用于满意的增加宽带的方案实施ISO/IEC20000-1:2018标准的要求，以下()。A、变更管理B、问题管理C、容量管理D、可用性管理25、国家对计算机信息系统安全专用产品的销售实行的管理制度是()。A、许可证制度B、备案制度C、申报与审批制度D、测评、认证与审批制度26、关键信息基础设施的运营者应当自行或委托网络安全服务机构()对其网络的安全性和可能存在的风险检测评估。A、至少半年一次B、至少两年一次C、至少一年一次D、至少每年两次27、某租户拟将运行于A服务商数据中心的CRM统完全转移到B云服务商数据中心，转移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通过认证，以下正确的是()。A、需遵循租户与AB服务商的变更管理B、需遵循四方的变更管理C、需遵循A、B方的变更管理D、需遵循A、B、C方的变更管理28、根据ISO/IEC20000-1:2018，()不是每个过程都需要定义的部分。A、输出B、资源C、输入D、活动29、根据ISO/IEC20000-1:2018标准的要求，信息安全管理的目的是保护与SMS和服务相关的所有形式的信息()。A、保密性、完整性和可用性B、适宜性、充分性和有效性C、法律合规性D、技术合规性30、《信息安全技术信息安全事件分类分级指南》中将信息内容安全事件分为()个子类。A、5B、6C、7D、431、根据ISO/IEC20000-1:2018标准的要求，谁需要参与顾客和服务提供方之间的服务评审?()A、除了顾客和其他利益相关方外没有特定要求B、只有供方和业务关系过程经理C、只有业务关系过程经理D、两个机构的高管层32、组织的外部供应商包括指定的主供应商，不包括主供应商的()。A、内部供应商B、作为供应商的客户C、供应商D、分包商33、风险评估过程不包括（）。A、风险评价B、风险识别C、风险分析D、风险处置34、根据ISO/IEC20000-1:2018标准的要求，方针是由最高管理层正式发布的()A、组织意愿和方向B、组织意图和计划C、组织意图和目标D、组织宗旨和方向35、组织应运行ITSMS，确保活动和资源的协调。组织应实施要求的（）以交付服务。A、计划B、活动C、过程D、程序36、()不是每个过程都需要定义的部分。A、输出B、资源C、输入D、活动37、根据GB/Z20986标准，计算机信息系统安全专用产品是指()。A、安装了专用安全协议的专用计算机B、按安全加固要求设计的专用计算机C、用于保护计算机信息系统安全的专用硬件和软件产品D、特定用途(如高保密)专用的计算机软件和硬件产品38、阐明所取得的结果或提供所完成活动的证据的是文件是()。A、报告B、记录C、演示D、协议39、根据《网络安全审查办法》，网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，网络产品和服务使用后带来的()，以及重要数据被窃听、泄露、损毁的风险。A、关键信息基础设施被非法控制、遭受干扰或破坏B、安全性、开放性C、网络产品和服务被非法控制、遭受干扰或破坏D、透明性、来源多样性40、()指应当尽可能调查所有与投诉有关的背景和信息A、投诉响应B、投诉终止C、投诉调查D、受理告知二、多项选择题41、根据ISO/IEC20000-1:2018标准的要求采用SMS是组织的战略决策，受组织()的影响。A、服务生命周期中涉及的其他各方B、治理C、目标D、服务有效性和韧性42、根据ISO/IEC20000-1:2018标准的要求，信息安全的控制措施应()。A、由顾客制定，服务提供方组织通常没有对这些措施的访问权B、独立执行，不受变更管理过程的影响C、评估和记录SMS服务的信息安全风险D、支持信息安全策略并处置已识别的信息安全风险43、系统安全分析主要包括调查和评价可能出现的初始的、诱发的和起作用的危害之间的相互关系。可用于IT系统安全风险分析的方法包括()。A、危害分析与关键控制点(HACCP)B、攻击路径分析法(ATA）C、场景分析法D、失效模式分析法(FMEA）44、根据GBT9264标准，基础环境运维服务，包括对保证信息系统正常运行所必需的()。A、空调B、主机设备的定期巡检C、安防系统的例行检查及状态监控D、机房电力系统故障处理45、关于信息安全产品的使用，以下说法不正确的是A、对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权B、对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书C、对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录D、对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞46、计算机网络拓扑结构是指网络中各个站点相互连接的形式，主要的拓扑结构有()以及他们的混合型。A、星型拓扑B、环型拓扑C、总线型拓扑D、树型拓扑47、OSI(开放系统互联)模型由哪些组成?()A、网络层B、会话层C、表示层D、传输层48、确定审核时间，时间的分配应考虑以下哪些ITSMS特定因素()。A、在ITSMS范围内，SLAs的水平和所使用的第三方协议B、适用于认证的标准和法规C、参与服务提供的其他相关方的数量，例如:供应商、充当供应商的内部小组或顾客D、以往已证实的ITSMS绩效49、根据ISO/IEC20000-1:2018标准的要求，服务组件是服务的一部分，与其他元素结合提供完整的服务，“服务组件”包括()。A、许可证B、基础架构和支持性服务C、信息和资源D、应用程序和文档50、根据ISOIEC0000-1:2018标准的要求，对于拟转移的服务，策划还应包括服务转移的()的传递和交接。A、其他服务B、日期和数据C、文档、知识D、服务组件51、《信息技术服务分类与代码》中规定软件运营服务包括()。A、在线教育平台B、在线阅读平台C、在线企业资源规划D、在线客户关系管理52、依据GB/Z20986,信息安全事件分级考虑的要素包括A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度53、根据《中华人民共和国认证认可条例》，取得认证机构资质，应当符合下列条件()。A、有15名以上相应领域的专职认证人员B、有符合认证认可要求的管理制度C、有固定的场所和必要的设施D、注册资本不得少于人民币100万元54、根据《信息安全等级保护管理办法》，办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应同时提供以下材料()。A、信息系统安全保护等级专家评审意见B、系统拓扑结构及说明C、系统安全组织结构D、管理制度55、事件管理中以下哪项不是管理性升级的活动()?A、将一个事件的信息通知更多的高层管理者B、将事件转给具有更高技术水平的人解决C、为保持顾客满意使用尽可能多高级专家D、不能满足SLA中规定的事件解决时间要求三、判断题56、根据GB/T29264标准，呼叫中心服务是运行服务大类中的一个子类。（）57、发生中断事件后，必须启动问题管理。58、开展信息技术服务管理体系认证必须以正式发布的国家标准为依据。59、GB/Z20986《信息安全技术信息安全事件分类分级指南》中，对信息安全事件的定义是指由于自然或人为以及软硬件本身缺陷或故障原因，对信息系统造成危害，或对社会造成负面影响的事件。()60、测量是确定数值和性质的过程。61、根据GB/Z20986标准，信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。()62、保密性是指对数据的保护以防止未经授权的访问和使用。63、组织对内部供应商应按服务级别管理过程进行管理。64、根据ISO/IEC20000-1:2018标准的要求，本标准中的供应商管理指的是外部供应商的管理。()65、事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件，用户也可以通过访问事件记录系统或自动监测软件直接记录。()

参考答案一、单项选择题1、C2、A3、D4、A5、D6、D解析:参考ISO/IEC20000-1:20188.5.3发布与部署管理:在发布部署到实际运行环境之前，应建立受影响的配置项的基线。7、D8、C9、B10、D11、C12、D13、D14、C15、A16、C17、A18、B解析:参考GB/T29246-2017/ISO/IEC27000:20162.68风险定义:是对目标的不确定性影响。19、B20、B21、C解析:参考ISO/IEC20000-1:20183.2.17服务目