2021年第三期CCAA注冊審核員復習題-ITSMS信息技術服務管理基礎含解析

2021年第三期CCAA注冊審核員復習題—ITSMS信息技術服務管理基礎一、單項選擇題1、ISO/IEC20000標準的第2部分與第1部分有何關聯(lián)?A、第1部分是第2部分的子集B、第1部分包括第2部分中規(guī)定的主要要求C、第2部分需要完全實現(xiàn)才能滿足第1部分的要求D、第2部分包含滿足第1部分要求的指導2、根據(jù)《網(wǎng)絡安全審查辦法》，網(wǎng)絡安全審查重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險，網(wǎng)絡產(chǎn)品和服務使用后帶來的()，以及重要數(shù)據(jù)被竊聽、泄露、損毀的風險。A、關鍵信息基礎設施被非法控制、遭受干擾或破壞B、安全性、開放性C、網(wǎng)絡產(chǎn)品和服務被非法控制、遭受干擾或破壞D、透明性、來源多樣性3、根據(jù)《信息安全等級保護管理辦法》，應加強涉密信息系統(tǒng)運行的保密監(jiān)督檢查。對秘密密級、機密密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)評測。A、2年B、半年C、1年D、1.5年4、設計和轉(zhuǎn)換新的或變更服務的目標是（）。A、為保證新的服務和變更服務的服務接受標準得到完全滿足B、為保證新的服務和變更服務的提議完全評價C、為保證新的服務和變更服務的提議得到完全評估和授權(quán)D、為保證新的服務和變更服務在約定的成本和服務質(zhì)量上可交付和可管理5、目前信息技術服務管理體系的認證周期為()。A、2年B、3年C、4年D、根據(jù)實際情況確定6、建立服務目錄的價值在于()。A、表現(xiàn)變更對業(yè)務的影響B(tài)、展示配置項之間的關系C、對交付的IT服務提供一個集中的信息源D、預測IT基礎架構(gòu)事務的根本原因7、某租戶擬將運行于A服務商數(shù)據(jù)中心的CRM統(tǒng)完全轉(zhuǎn)移到B云服務商數(shù)據(jù)中心，轉(zhuǎn)移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通過認證，以下正確的是()。A、需遵循租戶與AB服務商的變更管理B、需遵循四方的變更管理C、需遵循A、B方的變更管理D、需遵循A、B、C方的變更管理8、組織應運行ITSMS，確保活動和資源的協(xié)調(diào)。組織應實施要求的（）以交付服務。A、計劃B、活動C、過程D、程序9、根據(jù)ISO/IEC20000-1:2018標準的要求，事件應基于需要進行升級，“升級”指()。A、問題管理向變更管理升級B、事件管理向發(fā)布管理升級C、服務等級的升級D、將事件、問題轉(zhuǎn)給具有更高技術的小組或更高級別的管理人員10、關于涉密信息系統(tǒng)的管理，以下說法不正確的是A、涉密計算機未經(jīng)安全技術處理不得改作其他用途B、涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)11、ITIL和ISO/IEC20000之間有何關系?()A、ITIL基于ISO/IEC20000B、ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準C、ITIL是ISO/IEC20000第1和2部分的子集D、ITIL和ISO/IEC20000相互兼容并適用于服務管理系統(tǒng)的不同部分12、根據(jù)ISO/IEC20000-1:2018標準的要求，服務連續(xù)性管理中的恢復時間目標是指()。A、關鍵服務到約定的最低可用性水平的時間B、IT務恢復到約定的可用性水平的時間C、基礎約定可行水平的時間D、IT務恢復到約定的最低可用性水平的時間。13、關于ISO/IEC20000標準，以下說法正確的是()。A、ISO/IEC20000-2為審計實現(xiàn)提供指南B、ISO/IEC20000-2為變更管理、事件管理等管理流程的具體實現(xiàn)提供指南C、ISO/IEC20000-2為ISO/IEC20000-1提供實施服務管理體系指南D、ISO/IEC20000-1是ISO/IEC20000-2的應用指南14、闡明所取得的結(jié)果或提供所完成活動的證據(jù)的是文件是()。A、報告B、記錄C、演示D、協(xié)議15、一家汽車修理廠根據(jù)ISO/IEC20000-1建立SMS時，以下哪一項說法是錯誤的?()A、將服務的設計、建立和轉(zhuǎn)換過程外包給第三方B、客戶沒有需求，所以可以不建立服務報告管理過程C、對供應商的活動進行監(jiān)視，并要求定期提供工作報告D、在建立服務目錄時，考慮現(xiàn)有服務以及客戶的要求16、“多級SLA"是一個三層結(jié)構(gòu)，下列哪層不是這類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別17、電子郵件是傳播惡意代碼的重要途徑，為了防止電子郵件中的惡意代碼的攻擊，用（）方式閱讀電子郵件。A、程序B、網(wǎng)頁C、純文本D、會話18、根據(jù)ISO/IEC20000-1:2018標準的要求，通常使用()過程對事件信息進行定期分析以確定明顯的趨勢。A、服務級別管理B、問題管理C、變更管理D、事件管理19、ISO/IEC20000-3是()。A、服務管理要求B、服務管理范圍指南C、服務管理指南D、服務管理范圍要求20、根據(jù)ISO/IEC20000-1:2018標準的要求，以下說法正確的是()。A、一次發(fā)布可以針對一個或多個變更進行，每一個變更都應在發(fā)布前經(jīng)過測試B、部署計劃往往針對的是多個系統(tǒng)進行的較為復雜的發(fā)布C、其他全部D、變更、發(fā)布、部署可以是同一個活動21、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）小時內(nèi)向當?shù)乜h級以上人民政府公安機關報告。A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)22、以下不屬于網(wǎng)絡安全控制技術的是()。A、防火墻技術B、訪問控制C、差錯控制D、入侵檢測技術23、國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行的管理制度是()。A、許可證制度B、備案制度C、申報與審批制度D、測評、認證與審批制度24、組織應定義所有事件的記錄、優(yōu)先次序、業(yè)務影響、分類、更新、升級、解決和()。A、報告B、溝通C、回復顧客D、正式關閉25、事件管理的目的是盡快恢復()的服務或響應服務請求。A、協(xié)商一致B、設備檢修C、中斷D、配置管理數(shù)據(jù)庫26、一家鋼鐵企業(yè)正在兼并一個競爭對手，兩個公司的IT門，連同IT基礎設施都將合并。根據(jù)ISO/IEC20000-1:2018標準的要求()流程決定在合并后的IT基礎設施上運行所需應用軟件的磁盤和內(nèi)存需求。A、發(fā)布管理B、應用管理C、計算機操作管理D、容量管理27、()主要用于檢測軟件的功能，性能和其他特性是否與用于需求一致。A、系統(tǒng)測試B、集成測試C、確認測試D、單元測試28、以下選項不屬于信息安全領域的測量和監(jiān)視技術的是A、單位時間的訪問流量分析B、呼叫中心話術系統(tǒng)監(jiān)聽C、網(wǎng)絡行為管理D、入侵檢測系統(tǒng)29、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》的要求，對于“散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的”由()責令改正。A、公安機關B、備案機關C、省自治區(qū)、直轄市電信管理機構(gòu)D、發(fā)證機關30、根據(jù)ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內(nèi)未能解決的事件將被轉(zhuǎn)到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題31、《中華人民共和國計算機信息系統(tǒng)安全保護條例》所稱的計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、()、檢索等處理的人機系統(tǒng)。A、存儲、加工、處置B、存儲、使用、處置C、存儲、傳輸、使用D、加工、存儲、傳輸32、根據(jù)ISO/IEC20000-1:2018，()不是每個過程都需要定義的部分。A、輸出B、資源C、輸入D、活動33、根據(jù)ISO/IEC20000-1:2018標準的要求，應將成本納入預算，以便對交付的服務進行有效的財務控制和（）A、分攤成本B、回本C、業(yè)務決策D、提供服務提供方收費的依據(jù)34、組織應()一個服務管理計劃。A、創(chuàng)建、實施和運行B、創(chuàng)建、運行和保持C、創(chuàng)建、實施和保持D、創(chuàng)建、運行和保持35、組織應進行容量規(guī)劃，包括基于服務需求的（）的容量。A、當前和預測B、時間閾值C、時間尺度D、以往36、根據(jù)ISO/IEC20000-1:2018標準的要求，方針是由最高管理層正式發(fā)布的()A、組織意愿和方向B、組織意圖和計劃C、組織意圖和目標D、組織宗旨和方向37、根據(jù)GB/T29264標準，安全運維服務不包括()。A、軟件功能修改完善服務B、安全巡檢服務C、滲透性測試服務D、脆弱性檢查服務38、云服務商提供IaaS服務，不適于作為服務方配置項的是A、物理網(wǎng)絡設備B、物理存儲設備C、OA應用軟件D、虛擬服務器39、依據(jù)《中華人民共和國網(wǎng)絡安全法》應予以重點保護的信息基礎設施，指的是（）。A、一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生的信息基礎設施D、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生、公共利益的網(wǎng)絡系統(tǒng)40、關于ISOIEC0000系列標準，目前可以作為信息技術服務管理體系審核依據(jù)的標準是()。A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:2018二、多項選擇題41、根據(jù)ISO/IEC20000-1:2018標準的要求，服務組件是服務的一部分，與其他元素結(jié)合提供完整的服務，“服務組件”包括()。A、許可證B、基礎架構(gòu)和支持性服務C、信息和資源D、應用程序和文檔42、依據(jù)GB/Z20986，信息安全事件分級考慮的要素包括().A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度43、系統(tǒng)安全分析主要包括調(diào)查和評價可能出現(xiàn)的初始的、誘發(fā)的和起作用的危害之間的相互關系?？捎糜贗T系統(tǒng)安全風險分析的方法包括()。A、危害分析與關鍵控制點(HACCP)B、攻擊路徑分析法(ATA）C、場景分析法D、失效模式分析法(FMEA）44、基礎環(huán)境運維服務通常包括（）。A、蓄水/蓄冷罐的維護維修B、主機設備的定期巡檢C、機房電力系統(tǒng)預防性維護D、安防系統(tǒng)的實時監(jiān)測45、ISO/IEC200標準中I1服務的預算及核算管理的內(nèi)容包括哪些?()A、預算編制B、計費C、核算D、采購46、依據(jù)ISO20000-6:2017以下可以構(gòu)成減少ITSMS初審人日的因素包括（）。A、已獲得的認證在最近12個月內(nèi)對其至少實施了一次審核B、擬認證的范圍已獲得ISO/IEC27001證書C、已獲得其他認證的范圍大于擬認證的范圍D、擬認證的范圍與獲得LSMS證書范圍等同47、事件管理中以下哪項不是管理性升級的活動()?A、將一個事件的信息通知更多的高層管理者B、將事件轉(zhuǎn)給具有更高技術水平的人解決C、為保持顧客滿意使用盡可能多高級專家D、不能滿足SLA中規(guī)定的事件解決時間要求48、根據(jù)ISO/IEC20000-1:2018標準的要求，信息安全的控制措施應()。A、由顧客制定，服務提供方組織通常沒有對這些措施的訪問權(quán)B、獨立執(zhí)行，不受變更管理過程的影響C、評估和記錄SMS服務的信息安全風險D、支持信息安全策略并處置已識別的信息安全風險49、依據(jù)GB/Z20986,信息安全事件分級考慮的要素包括A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度50、根據(jù)ISOIEC0000-1:2018標準的要求，對于擬轉(zhuǎn)移的服務，策劃還應包括服務轉(zhuǎn)移的()的傳遞和交接。A、其他服務B、日期和數(shù)據(jù)C、文檔、知識D、服務組件51、下列哪項的變化受變更管理控制（）?A、服務目錄B、SLAC、服務需求D、供方合同52、以下關于網(wǎng)絡釣魚的說法中，正確的是（）。A、網(wǎng)絡釣魚是“社會I程攻擊"的一種形式B、網(wǎng)絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網(wǎng)絡釣魚與Web服務沒有關系D、典型的網(wǎng)絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網(wǎng)站上53、關于信息安全產(chǎn)品的使用，以下說法不正確的是A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權(quán)B、對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認證目錄的，應取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書C、對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設置漏洞54、在IT服務管理中，“部署”活動包括:()。A、實施變更B、對變更的風險進行評估C、將服務組件遷移到生產(chǎn)環(huán)境D、將經(jīng)測試的軟件包轉(zhuǎn)移到生產(chǎn)環(huán)境55、信息技術服務管理體系的范圍應依據(jù)()確定。A、組織的外部和內(nèi)部事項B、組織所識別的相關的要求C、組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系D、ISO/IEC20000-1:2018的標準要求三、判斷題56、根據(jù)GB/Z20986標準，信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家安全、經(jīng)濟建設、社會生活的重要性以及業(yè)務對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。()57、根據(jù)ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()58、ISO/IEC20000-2為建立、實現(xiàn)、保持和持續(xù)改進一個SMS提供了要求。()59、組織對內(nèi)部供應商應按服務級別管理過程進行管理。60、保密性是指對數(shù)據(jù)的保護以防止未經(jīng)授權(quán)的訪問和使