2021年12月ITSMS信息技术服务管理基础CCAA审核员考试题目含解析

2021年12月ITSMS信息技术服务管理基础CCAA审核员考试题目一、单项选择题1、以下选项不属于信息安全领域的测量和监视技术的是A、单位时间的访问流量分析B、呼叫中心话术系统监听C、网络行为管理D、入侵检测系统2、关键信息基础设施的运营者应当自行或委托网络安全服务机构()对其网络的安全性和可能存在的风险检测评估。A、至少半年一次B、至少两年一次C、至少一年一次D、至少每年两次3、根据ISO/IEC20000-1:2018标准的要求，对于每一交付的服务，组织应根据文件化的服务要求建立()SLA。A、不同B、一个或多个C、若干D、多个4、建立服务目录的价值在于()。A、表现变更对业务的影响B、展示配置项之间的关系C、对交付的IT服务提供一个集中的信息源D、预测IT基础架构事务的根本原因5、设计和转换新的或变更服务的目标是（）。A、为保证新的服务和变更服务的服务接受标准得到完全满足B、为保证新的服务和变更服务的提议完全评价C、为保证新的服务和变更服务的提议得到完全评估和授权D、为保证新的服务和变更服务在约定的成本和服务质量上可交付和可管理6、根据ISOIEC0000-1:2018标准的要求，对“问题和事件之间关系”的描述，正确的是()。A、在目标时间内未能解决的事件将被转到问题管理B、单个事件永远不会造成某个问题记录被打开C、始终会导致某个问题记录被打开D、一个或多个实际或潜在事件的原因，就是问题7、目前可以作为信息技术服务管理体系审核依据的标准是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:20188、组织应运行ITSMS，确保活动和资源的协调。组织应实施要求的（）以交付服务。A、计划B、活动C、过程D、程序9、《中华人民共和国计算机信息系统安全保护条例》所称的计算机信息系统，是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、()、检索等处理的人机系统。A、存储、加工、处置B、存储、使用、处置C、存储、传输、使用D、加工、存储、传输10、根据ISO/IEC20000-1:2018标准的要求，应将成本纳入预算，以便对交付的服务进行有效的财务控制和（）A、分摊成本B、回本C、业务决策D、提供服务提供方收费的依据11、目前信息技术服务管理体系的认证周期为()。A、2年B、3年C、4年D、根据实际情况确定12、根据ISO/IEC20000-1:2018标准的要求，事件应基于需要进行升级，“升级”指()。A、问题管理向变更管理升级B、事件管理向发布管理升级C、服务等级的升级D、将事件、问题转给具有更高技术的小组或更高级别的管理人员13、根据ISO/IEC20000-1:2018标准的要求，谁需要参与顾客和服务提供方之间的服务评审?()A、除了顾客和其他利益相关方外没有特定要求B、只有供方和业务关系过程经理C、只有业务关系过程经理D、两个机构的高管层14、根据ISO/IEC20000-6:2017标准，审核时间包含在客户场所(物理的或虚拟的)现场的所有时间和在非现场进行的()。A、与客户人员的互动B、策划C、其他选项全对D、文件评审15、π服务管理是()保证IT服务提供的质量。A、通过将内部和外部的客户与提供商之间的协定记录记录到正式的文档中B、通过在I组织的所有员工中推行客户导向模式C、通过订立通用的可接受的服务级别标准D、旨在规定建立、实施、维持和持续改进SMS的要求16、云服务商提供IaaS服务，不适于作为服务方配置项的是A、物理网络设备B、物理存储设备C、OA应用软件D、虚拟服务器17、一家汽车修理厂根据ISO/IEC20000-1建立SMS时，以下哪一项说法是错误的?()A、将服务的设计、建立和转换过程外包给第三方B、客户没有需求，所以可以不建立服务报告管理过程C、对供应商的活动进行监视，并要求定期提供工作报告D、在建立服务目录时，考虑现有服务以及客户的要求18、根据ISO/IEC20000-1:2018标准的要求，持续服务改进的目标是()。A、为提高管理服务过程效率所采取的鉴定活动B、在不牺牲顾客满意度的情况下提高IT务的成本效益C、持续改进SMS服务的适宜性、充分性和有效性，以维护客户和相关方的价值D、在用户同意的水平上交付和管理服务的生产活动19、ISO/IEC20000-3与ISO/IEC20000-1之间的关系是A、ISO/IEC20000-3为ISO/IEC20000-1提供了实施指南B、ISO/IEC20000-3为ISO/IEC20000-1提供了范围定义的指南C、ISO/IEC20000-3为ISO/IEC20000-1提供了过程参考模型D、ISO/IEC20000-3为ISO/IEC20000-1提供了实施计划样例20、《信息安全技术信息安全事件分类分级指南》中将信息内容安全事件分为()个子类。A、5B、6C、7D、421、组织的外部供应商包括指定的主供应商，不包括主供应商的()。A、内部供应商B、作为供应商的客户C、供应商D、分包商22、依据《中华人民共和国网络安全法》应予以重点保护的信息基础设施，指的是（）。A、一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施B、一旦遭到破坏、数据泄露，可能严重危害国家安全、国计民生的信息基础设施C、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生的信息基础设施D、一旦遭到破坏、数据泄露，可能危害国家安全、国计民生、公共利益的网络系统23、电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用（）方式阅读电子邮件。A、程序B、网页C、纯文本D、会话24、根据GB/T29264标准，安全运维服务不包括()。A、软件功能修改完善服务B、安全巡检服务C、渗透性测试服务D、脆弱性检查服务25、考虑不同时段的工作负载的差异收费用于（）。A、故障树分析(FTA)B、可用性计划C、服务级别管理D、风险分析和管理法26、对服务可用性进行监视,记录其结果并与目标进行比较。()不可用应进行调查并采取必要的行动。A、发生的B、计划外C、可能发生的D、计划内27、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项内容。A、安全定级B、安全规划C、安全评估D、安全实施28、根据ISO/IEC20000-1:2018标准的要求，通常使用()过程对事件信息进行定期分析以确定明显的趋势。A、服务级别管理B、问题管理C、变更管理D、事件管理29、ISO/IEC20000标准的第2部分与第1部分有何关联?A、第1部分是第2部分的子集B、第1部分包括第2部分中规定的主要要求C、第2部分需要完全实现才能满足第1部分的要求D、第2部分包含满足第1部分要求的指导30、根据《信息安全等级保护管理办法》，信息系统安全保护等级分为()。A、三级，即由低到高为三级，二级，一级B、五级，即由低到高为第一级，第二级，第三级，第四级，第五级C、三级，即由低到高为第一级，第二级，第三级D、三级，即绝密级、机密级、秘密级31、()指应当尽可能调查所有与投诉有关的背景和信息A、投诉响应B、投诉终止C、投诉调查D、受理告知32、一家公司为他们的图形设计工作站建立了局域网，因为大容量的图表通过网络传输，网络带宽必须增加。根据ISO/IEC20000-1流程可用于满意的增加宽带的方案实施ISO/IEC20000-1:2018标准的要求，以下()。A、变更管理B、问题管理C、容量管理D、可用性管理33、关于ISO/IEC20000标准，以下说法正确的是()。A、ISO/IEC20000-2为审计实现提供指南B、ISO/IEC20000-2为变更管理、事件管理等管理流程的具体实现提供指南C、ISO/IEC20000-2为ISO/IEC20000-1提供实施服务管理体系指南D、ISO/IEC20000-1是ISO/IEC20000-2的应用指南34、()是不确定性对目标的影响。A、风险评估B、风险C、不符合D、风险处置35、IT服务管理中所指“升级(escalation)"即:()。A、针对用户计算机系统实施的升级，包括软件升级以及硬件升级B、为了满足服务水平目标而执行的流程，包括职能性升级和管理性升级C、针对特定顾客提升其服务质量等级的活动，如升级至“金牌服务”D、为了提高顾客满意度而提请更高级管理者与顾客对话的活动36、《中华人民共和国认证认可条例》要求，认证机构及其认证人员对()负责。A、审核发现B、审核证据C、认证结果D、认证结论37、关于ISOIEC0000系列标准，目前可以作为信息技术服务管理体系审核依据的标准是()。A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201838、下列描述中()不是最高管理者的管理职责。A、确定建立了服务管理方针和服务管理目标B、沟通有效服务管理的重要性C、促进SMS和服务的持续改进D、制定具体的服务过程39、管理体系的初次认证审核应分为哪两个阶段实施?A、预审核和监督审核B、第一阶段和第二阶段C、预审核和初次访问审核D、第一阶段和监督审核40、组织应进行容量规划，包括基于服务需求的（）的容量。A、当前和预测B、时间阈值C、时间尺度D、以往二、多项选择题41、内审策划文件中应包括()A、不符合准则B、审核范围C、审核频次和方法D、审核结论42、依据GB/Z20986,信息安全事件分级考虑的要素包括A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度43、事件管理中以下哪项不是管理性升级的活动()?A、将一个事件的信息通知更多的高层管理者B、将事件转给具有更高技术水平的人解决C、为保持顾客满意使用尽可能多高级专家D、不能满足SLA中规定的事件解决时间要求44、依据GB/Z20986，信息安全事件分级考虑的要素包括().A、客户投诉数B、社会影响C、系统损失D、信息系统重要程度45、依据ISO20000-6:2017以下可以构成减少ITSMS初审人日的因素包括（）。A、已获得的认证在最近12个月内对其至少实施了一次审核B、拟认证的范围已获得ISO/IEC27001证书C、已获得其他认证的范围大于拟认证的范围D、拟认证的范围与获得LSMS证书范围等同46、关于信息安全产品的使用，以下说法不正确的是A、对于所有的信息系统，信息安全产品的核心技术、关键部件须具有我国自主知识产权B、对于三级以上信息系统，已列入信息安全产品认证目录的，应取得国家信息安全产品认证机构颁发的认证证书C、对于四级以上信息系统，信息安全产品研制的主要技术人员须无犯罪记录D、对于四级以上信息系统，信息安全产品研制单位须声明没有故意留有或设置漏洞47、组织可以使用下列哪些参数来定义SMS的适用范围，以确保包含在范围内和排除在范围外的内容清楚明确。(）A、提供的服务B、提供服务的组织，例如，单一部门，多个部门或所有部门C、提供服务的地理位置D、服务的顾客48、信息技术服务管理体系的范围应依据()确定。A、组织的外部和内部事项B、组织所识别的相关的要求C、组织实施的活动之间及其与其他组织实施的活动之间的接口和依赖关系D、ISO/IEC20000-1:2018的标准要求49、在建立新的服务级别协议时，下列哪项是服务级别管理应该考虑的?()A、变更服务级别协议可能发生的影响能被确定B、变更管理规程C、新的服务级别协议业务目标D、在其它已存在的服务级别协议中的条件能够继续达到要求50、系统安全分析主要包括调查和评价可能出现的初始的、诱发的和起作用的危害之间的相互关系。可用于IT系统安全风险分析的方法包括()。A、危害分析与关键控制点(HACCP)B、攻击路径分析法(ATA）C、场景分析法D、失效模式分析法(FMEA）51、《信息技术服务分类与代码》中规定软件运营服务包括()。A、在线教育平台B、在线阅读平台C、在线企业资源规划D、在线客户关系管理52、根据ISO/IEC20000-1:2018标准的要求，服务组件是服务的一部分，与其他元素结合提供完整的服务，“服务组件”包括()。A、许可证B、基础架构和支持性服务C、信息和资源D、应用程序和文档53、根据ISO/IEC20000-1:2018标准的要求，信息安全的控制措施应()。A、由顾客制定，服务提供方组织通常没有对这些措施的访问权B、独立执行，不受变更管理过程的影响C、评估和记录SMS服务的信息安全风险D、支持信息安全策略并处置已识别的信息安全风险54、OSI(开放系统互联)模型由哪些组成?()A、网络层B、会话层C、表示层D、传输层55、在运行ITSMS，应给予不满意的投诉者以尽可能多的途径求助和参与争议解决过程。包括()。A、电话B、电子邮件C、网上提交D、传真三、判断题56、邮箱服务提供方可定义吞吐量作为阈值指标。57、发生中断事件后，必须启动问题管理。58、事件报告可以通过电话、语音邮件、访问、信件、传真或电子邮件，用户也可以通过访问事件记录系统或自动监测软件直接记录。()59、根据ISO/IEC20000-1:2018标准的要求，该标准仅用于信息技术领域的组织建立SMS。()60、风险源是指那些可能导致消极后果或积极后果的因素和危害的来源。61、保密性是指对数据的保护以防止未经授权的访问和使用。62、根据GB/Z20986标准，信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。()63、《中华人民共和国网络安全法》中明确，关键信息基础设施的运营者应当自行或者委托网络安