2022年第三期CCAA國家注冊ITSMS信息技術服務管理基礎審核員模擬試題含解析

2022年第三期CCAA國家注冊ITSMS信息技術服務管理基礎審核員模擬試題一、單項選擇題1、《信息安全技術信息安全事件分類分級指南》中將信息內容安全事件分為()個子類。A、5B、6C、7D、42、目前可以作為信息技術服務管理體系審核依據的標準是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:20183、《中華人民共和國計算機信息系統(tǒng)安全保護條例》所稱的計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、()、檢索等處理的人機系統(tǒng)。A、存儲、加工、處置B、存儲、使用、處置C、存儲、傳輸、使用D、加工、存儲、傳輸4、為監(jiān)測過程，控制和減少變異，將樣本統(tǒng)計量序列以特定順序描點繪出，用于分析和判斷過程是否處于穩(wěn)定狀態(tài)的所使用的帶有控制界限的圖，是()。A、直方圖B、控制圖C、散布圖D、排列圖5、根據ISO/IEC20000-1:2018標準，IT服務管理中，關于“配置管理數(shù)據庫”，以下說法正確的是()。A、配置管理數(shù)據庫應包含配置項所有相關詳細信息和重要關系的信息B、配置管理數(shù)據庫應向所有IT務人員開放，故不再需要訪問控制C、配置管理數(shù)據庫即資產臺賬D、配置管理數(shù)據庫指的是計算機系統(tǒng)臺賬，包括軟件硬件6、組織應()一個服務管理計劃。A、創(chuàng)建、實施和運行B、創(chuàng)建、運行和保持C、創(chuàng)建、實施和保持D、創(chuàng)建、運行和保持7、容錯是指某組件發(fā)生失效后，IT務或配置項()。A、繼續(xù)正確運行的能力B、繼續(xù)部分正確運行的能力C、失去繼續(xù)正確運行的能力D、繼續(xù)正確運行的流程8、組織的外部供應商包括指定的主供應商，不包括主供應商的()。A、內部供應商B、作為供應商的客戶C、供應商D、分包商9、下列哪項不是監(jiān)督審核的目的?()A、驗證認證通過的ITSMS是否得以持續(xù)實現(xiàn)B、驗證是否考慮了由于組織運轉過程的變化而可能弓|起的體系的變化C、確認是否持續(xù)符合認證要求D、做出是否換發(fā)證書的決定10、關于涉密信息系統(tǒng)的管理，以下說法不正確的是A、涉密計算機未經安全技術處理不得改作其他用途B、涉密計算機、存儲設備不得接入互聯(lián)網及其他公共信息網絡C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網11、()主要指的是硬件設備。比如是計算機、交換機、路由器、防火墻、機架、因特網、局域網、存儲設備、主要用到的技術包括虛擬主機技術，操作系統(tǒng)以及各種硬件管理技術。A、IaaSB、SaaSC、MSPD、PaaS12、以下不屬于網絡安全控制技術的是()。A、防火墻技術B、訪問控制C、差錯控制D、入侵檢測技術13、在發(fā)布部署運行環(huán)境中之前，應建立受影響配置項的A、文件B、目錄C、備份D、基線14、變更管理策略不要求對()進行定義。A、每周變更日期B、確定可能對客戶和服務產生重大影響變更的判斷標準C、變更管理控制下的服務組件或其他項D、變更類別和如何對其進行管理15、()主要用于檢測軟件的功能，性能和其他特性是否與用于需求一致。A、系統(tǒng)測試B、集成測試C、確認測試D、單元測試16、國家對計算機信息系統(tǒng)安全專用產品的銷售實行的管理制度是()。A、許可證制度B、備案制度C、申報與審批制度D、測評、認證與審批制度17、根據《互聯(lián)網信息服務管理辦法》規(guī)定，國家對于經營性互聯(lián)網信息服務實行()。A、備案制度B、許可制度C、行政監(jiān)管制度D、備案與行政監(jiān)管相結合的管理制度18、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）小時內向當?shù)乜h級以上人民政府公安機關報告。A、8小時內B、12小時內C、24小時內D、48小時內19、目前信息技術服務管理體系的認證周期為()。A、2年B、3年C、4年D、根據實際情況確定20、根據ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內未能解決的事件將被轉到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題21、以下選項不屬于信息安全領域的測量和監(jiān)視技術的是A、單位時間的訪問流量分析B、呼叫中心話術系統(tǒng)監(jiān)聽C、網絡行為管理D、入侵檢測系統(tǒng)22、《中華人民共和國認證認可條例》要求，認證機構及其認證人員對()負責。A、審核發(fā)現(xiàn)B、審核證據C、認證結果D、認證結論23、某租戶擬將運行于A服務商數(shù)據中心的CRM統(tǒng)完全轉移到B云服務商數(shù)據中心，轉移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通過認證，以下正確的是()。A、需遵循租戶與AB服務商的變更管理B、需遵循四方的變更管理C、需遵循A、B方的變更管理D、需遵循A、B、C方的變更管理24、根據ISO/IEC20000-1:2018標準的要求，對于每一交付的服務，組織應根據文件化的服務要求建立()SLA。A、不同B、一個或多個C、若干D、多個25、一家公司為他們的圖形設計工作站建立了局域網，因為大容量的圖表通過網絡傳輸，網絡帶寬必須增加。根據ISO/IEC20000-1流程可用于滿意的增加寬帶的方案實施ISO/IEC20000-1:2018標準的要求，以下()。A、變更管理B、問題管理C、容量管理D、可用性管理26、風險評估過程不包括（）。A、風險評價B、風險識別C、風險分析D、風險處置27、“多級SLA"是一個三層結構，下列哪層不是這類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別28、ITIL和ISO/IEC20000之間有何關系?()A、ITIL基于ISO/IEC20000B、ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準C、ITIL是ISO/IEC20000第1和2部分的子集D、ITIL和ISO/IEC20000相互兼容并適用于服務管理系統(tǒng)的不同部分29、依據《中華人民共和國網絡安全法》應予以重點保護的信息基礎設施，指的是（）。A、一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據泄露，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據泄露，可能危害國家安全、國計民生的信息基礎設施D、一旦遭到破壞、數(shù)據泄露，可能危害國家安全、國計民生、公共利益的網絡系統(tǒng)30、一家汽車修理廠根據ISO/IEC20000-1建立SMS時，以下哪一項說法是錯誤的?()A、將服務的設計、建立和轉換過程外包給第三方B、客戶沒有需求，所以可以不建立服務報告管理過程C、對供應商的活動進行監(jiān)視，并要求定期提供工作報告D、在建立服務目錄時，考慮現(xiàn)有服務以及客戶的要求31、闡明所取得的結果或提供所完成活動的證據的是文件是()。A、報告B、記錄C、演示D、協(xié)議32、根據《信息安全等級保護管理辦法》，應加強涉密信息系統(tǒng)運行的保密監(jiān)督檢查。對秘密密級、機密密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)評測。A、2年B、半年C、1年D、1.5年33、組織應進行容量規(guī)劃，包括基于服務需求的（）的容量。A、當前和預測B、時間閾值C、時間尺度D、以往34、在建立信息技術服務管理體系時所用的風險評估方法必須()。A、遵循風險評估的國際標準B、使用定性的方法C、使用定量的方法D、選用能夠產生可比較和可再現(xiàn)結果的方法35、IT服務管理中所指“升級(escalation)"即:()。A、針對用戶計算機系統(tǒng)實施的升級，包括軟件升級以及硬件升級B、為了滿足服務水平目標而執(zhí)行的流程，包括職能性升級和管理性升級C、針對特定顧客提升其服務質量等級的活動，如升級至“金牌服務”D、為了提高顧客滿意度而提請更高級管理者與顧客對話的活動36、下列描述中()不是最高管理者的管理職責。A、確定建立了服務管理方針和服務管理目標B、溝通有效服務管理的重要性C、促進SMS和服務的持續(xù)改進D、制定具體的服務過程37、ISO/IEC20000標準的第2部分與第1部分有何關聯(lián)?A、第1部分是第2部分的子集B、第1部分包括第2部分中規(guī)定的主要要求C、第2部分需要完全實現(xiàn)才能滿足第1部分的要求D、第2部分包含滿足第1部分要求的指導38、《信息系統(tǒng)安全等級保護實施指南》將（）作為實施等級保護的第一項內容。A、安全定級B、安全規(guī)劃C、安全評估D、安全實施39、根據《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級分為()。A、三級，即由低到高為三級，二級，一級B、五級，即由低到高為第一級，第二級，第三級，第四級，第五級C、三級，即由低到高為第一級，第二級，第三級D、三級，即絕密級、機密級、秘密級40、()不是每個過程都需要定義的部分。A、輸出B、資源C、輸入D、活動二、多項選擇題41、依據GB/Z20986，信息安全事件分級考慮的要素包括().A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度42、根據ISO/IEC20000-1:2018標準的要求，信息安全的控制措施應()。A、由顧客制定，服務提供方組織通常沒有對這些措施的訪問權B、獨立執(zhí)行，不受變更管理過程的影響C、評估和記錄SMS服務的信息安全風險D、支持信息安全策略并處置已識別的信息安全風險43、根據《中華人民共和國認證認可條例》，取得認證機構資質，應當符合下列條件()。A、有15名以上相應領域的專職認證人員B、有符合認證認可要求的管理制度C、有固定的場所和必要的設施D、注冊資本不得少于人民幣100萬元44、組織可以使用下列哪些參數(shù)來定義SMS的適用范圍，以確保包含在范圍內和排除在范圍外的內容清楚明確。(）A、提供的服務B、提供服務的組織，例如，單一部門，多個部門或所有部門C、提供服務的地理位置D、服務的顧客45、內審策劃文件中應包括()A、不符合準則B、審核范圍C、審核頻次和方法D、審核結論46、基礎環(huán)境運維服務通常包括（）。A、蓄水/蓄冷罐的維護維修B、主機設備的定期巡檢C、機房電力系統(tǒng)預防性維護D、安防系統(tǒng)的實時監(jiān)測47、根據《信息安全等級保護管理辦法》，辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫《信息系統(tǒng)安全等級保護備案表》，第三級以上信息系統(tǒng)應同時提供以下材料()。A、信息系統(tǒng)安全保護等級專家評審意見B、系統(tǒng)拓撲結構及說明C、系統(tǒng)安全組織結構D、管理制度48、系統(tǒng)安全分析主要包括調查和評價可能出現(xiàn)的初始的、誘發(fā)的和起作用的危害之間的相互關系?？捎糜贗T系統(tǒng)安全風險分析的方法包括()。A、危害分析與關鍵控制點(HACCP)B、攻擊路徑分析法(ATA）C、場景分析法D、失效模式分析法(FMEA）49、下列哪項的變化受變更管理控制（）?A、服務目錄B、SLAC、服務需求D、供方合同50、依據GB/Z20986,信息安全事件分級考慮的要素包括A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度51、關于信息安全產品的使用，以下說法不正確的是A、對于所有的信息系統(tǒng)，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統(tǒng)，已列入信息安全產品認證目錄的，應取得國家信息安全產品認證機構頒發(fā)的認證證書C、對于四級以上信息系統(tǒng)，信息安全產品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全產品研制單位須聲明沒有故意留有或設置漏洞52、確定審核時間，時間的分配應考慮以下哪些ITSMS特定因素()。A、在ITSMS范圍內，SLAs的水平和所使用的第三方協(xié)議B、適用于認證的標準和法規(guī)C、參與服務提供的其他相關方的數(shù)量，例如:供應商、充當供應商的內部小組或顧客D、以往已證實的ITSMS績效53、根據ISOIEC0000-1:2018標準的要求，對于擬轉移的服務，策劃還應包括服務轉移的()的傳遞和交接。A、其他服務B、日期和數(shù)據C、文檔、知識D、服務組件54、以下關于網絡釣魚的說法中，正確的是（）。A、網絡釣魚是“社會I程攻擊"的一種形式B、網絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網絡釣魚與Web服務沒有關系D、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上55、ISO/IEC200標準中I1服務的預算及核算管理的內容包括哪些?()A、預算編制B、計費C、核算D、采購三、判斷題56、事件報告可以通過電話、語音郵件、訪問、信件、傳真或電子郵件，用戶也可以通過訪問事件記錄系統(tǒng)或自動監(jiān)測軟件直接記錄。()57、開展信息技術服務管理體系認證必須以正式發(fā)布的國家標準為依據。58、根據ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()59、測量是確定數(shù)值和性質的過程。60、根據ISO/IEC20000-1:2018標準的要求，按照策劃的時間間隔應監(jiān)視、評審和報告問題解決的有效性。()61、保密性是指對數(shù)據的保護以防止未經授權的訪問和使用。62、根據ISO/IEC20000-1:2018標準的要求，該標準僅用于信息技術領域的組織建立SMS。()63、發(fā)生中斷事件后，必須啟動問題管理。64、相關方可以包括不在ITSMS范圍內的組織的一部分。65、郵箱服務提供方可定義吞吐量作為閾值指標。

參考答案一、單項選擇題1、D2、A3、D4、B5、A6、C7、A8、D9、D10、D11、A12、C13、D解析:參考ISO/IEC20000-1:20188.5.3發(fā)布與部署管理:在發(fā)布部署到實際運行環(huán)境之前，應建立受影響的配置