2021年第二期CCAA注冊審核員復習題—ITSMS信息技術服務管理基礎一、單項選擇題1、根據《互聯網信息服務管理辦法》的要求，對于“散布謠言，擾亂社會秩序，破壞社會穩定的”由()責令改正。A、公安機關B、備案機關C、省自治區、直轄市電信管理機構D、發證機關2、根據ISO/IEC20000-1:2018標準的要求，事件應基于需要進行升級，“升級”指()。A、問題管理向變更管理升級B、事件管理向發布管理升級C、服務等級的升級D、將事件、問題轉給具有更高技術的小組或更高級別的管理人員3、根據GB/T29264標準，安全運維服務不包括()。A、軟件功能修改完善服務B、安全巡檢服務C、滲透性測試服務D、脆弱性檢查服務4、關于涉密信息系統的管理，以下說法不正確的是A、涉密計算機未經安全技術處理不得改作其他用途B、涉密計算機、存儲設備不得接入互聯網及其他公共信息網絡C、涉密信息系統中的安全技術程序和管理程序不得擅自卸載D、涉密計算機只有采取了適當防護措施才可接入互聯網5、根據ISO/IECTR20000-4標準，業務關系管理過程的結果是()。A、計劃和實施與客戶的溝通B、確定客戶和利害相關方C、其他選項均正確D、識別和監控客戶的需求和期望6、()主要指的是硬件設備。比如是計算機、交換機、路由器、防火墻、機架、因特網、局域網、存儲設備、主要用到的技術包括虛擬主機技術，操作系統以及各種硬件管理技術。A、IaaSB、SaaSC、MSPD、PaaS7、根據ISO/IEC20000-1:2018標準的要求，應將成本納入預算，以便對交付的服務進行有效的財務控制和（）A、分攤成本B、回本C、業務決策D、提供服務提供方收費的依據8、根據ISO/IEC20000-1:2018標準的要求，對于每一交付的服務，組織應根據文件化的服務要求建立()SLA。A、不同B、一個或多個C、若干D、多個9、設計和轉換新的或變更服務的目標是（）。A、為保證新的服務和變更服務的服務接受標準得到完全滿足B、為保證新的服務和變更服務的提議完全評價C、為保證新的服務和變更服務的提議得到完全評估和授權D、為保證新的服務和變更服務在約定的成本和服務質量上可交付和可管理10、一家公司為他們的圖形設計工作站建立了局域網，因為大容量的圖表通過網絡傳輸，網絡帶寬必須增加。根據ISO/IEC20000-1流程可用于滿意的增加寬帶的方案實施ISO/IEC20000-1:2018標準的要求，以下()。A、變更管理B、問題管理C、容量管理D、可用性管理11、根據ISO/IEC20000-1:2018，()不是每個過程都需要定義的部分。A、輸出B、資源C、輸入D、活動12、《信息系統安全等級保護實施指南》將（）作為實施等級保護的第一項內容。A、安全定級B、安全規劃C、安全評估D、安全實施13、根據ISO/IEC20000-1:2018標準的要求，通常使用()過程對事件信息進行定期分析以確定明顯的趨勢。A、服務級別管理B、問題管理C、變更管理D、事件管理14、()主要用于檢測軟件的功能，性能和其他特性是否與用于需求一致。A、系統測試B、集成測試C、確認測試D、單元測試15、“多級SLA"是一個三層結構，下列哪層不是這類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別16、某租戶擬將運行于A服務商數據中心的CRM統完全轉移到B云服務商數據中心，轉移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通過認證，以下正確的是()。A、需遵循租戶與AB服務商的變更管理B、需遵循四方的變更管理C、需遵循A、B方的變更管理D、需遵循A、B、C方的變更管理17、管理體系的初次認證審核應分為哪兩個階段實施?A、預審核和監督審核B、第一階段和第二階段C、預審核和初次訪問審核D、第一階段和監督審核18、下列哪項不是監督審核的目的?()A、驗證認證通過的ITSMS是否得以持續實現B、驗證是否考慮了由于組織運轉過程的變化而可能弓|起的體系的變化C、確認是否持續符合認證要求D、做出是否換發證書的決定19、組織應進行容量規劃，包括基于服務需求的（）的容量。A、當前和預測B、時間閾值C、時間尺度D、以往20、闡明所取得的結果或提供所完成活動的證據的是文件是()。A、報告B、記錄C、演示D、協議21、下列描述中()不是最高管理者的管理職責。A、確定建立了服務管理方針和服務管理目標B、溝通有效服務管理的重要性C、促進SMS和服務的持續改進D、制定具體的服務過程22、一家鋼鐵企業正在兼并一個競爭對手，兩個公司的IT門，連同IT基礎設施都將合并。根據ISO/IEC20000-1:2018標準的要求()流程決定在合并后的IT基礎設施上運行所需應用軟件的磁盤和內存需求。A、發布管理B、應用管理C、計算機操作管理D、容量管理23、對服務可用性進行監視,記錄其結果并與目標進行比較。()不可用應進行調查并采取必要的行動。A、發生的B、計劃外C、可能發生的D、計劃內24、目前信息技術服務管理體系的認證周期為()。A、2年B、3年C、4年D、根據實際情況確定25、根據ISO/IEC20000-1:2018標準的要求，信息安全管理的目的是保護與SMS和服務相關的所有形式的信息()。A、保密性、完整性和可用性B、適宜性、充分性和有效性C、法律合規性D、技術合規性26、ISO/IEC20000-3與ISO/IEC20000-1之間的關系是A、ISO/IEC20000-3為ISO/IEC20000-1提供了實施指南B、ISO/IEC20000-3為ISO/IEC20000-1提供了范圍定義的指南C、ISO/IEC20000-3為ISO/IEC20000-1提供了過程參考模型D、ISO/IEC20000-3為ISO/IEC20000-1提供了實施計劃樣例27、以下選項不屬于信息安全領域的測量和監視技術的是A、單位時間的訪問流量分析B、呼叫中心話術系統監聽C、網絡行為管理D、入侵檢測系統28、IT服務管理中所指“升級(escalation)"即:()。A、針對用戶計算機系統實施的升級，包括軟件升級以及硬件升級B、為了滿足服務水平目標而執行的流程，包括職能性升級和管理性升級C、針對特定顧客提升其服務質量等級的活動，如升級至“金牌服務”D、為了提高顧客滿意度而提請更高級管理者與顧客對話的活動29、事件管理的目的是盡快恢復()的服務或響應服務請求。A、協商一致B、設備檢修C、中斷D、配置管理數據庫30、根據ISO/IEC20000-1:2018標準的要求，誰需要參與顧客和服務提供方之間的服務評審?()A、除了顧客和其他利益相關方外沒有特定要求B、只有供方和業務關系過程經理C、只有業務關系過程經理D、兩個機構的高管層31、風險評估過程不包括（）。A、風險評價B、風險識別C、風險分析D、風險處置32、組織應()一個服務管理計劃。A、創建、實施和運行B、創建、運行和保持C、創建、實施和保持D、創建、運行和保持33、根據ISO/IEC20000-1:2018標準的要求，持續服務改進的目標是()。A、為提高管理服務過程效率所采取的鑒定活動B、在不犧牲顧客滿意度的情況下提高IT務的成本效益C、持續改進SMS服務的適宜性、充分性和有效性，以維護客戶和相關方的價值D、在用戶同意的水平上交付和管理服務的生產活動34、關于ISOIEC0000系列標準，目前可以作為信息技術服務管理體系審核依據的標準是()。A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201835、根據ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內未能解決的事件將被轉到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題36、目前可以作為信息技術服務管理體系審核依據的標準是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201837、根據《信息安全等級保護管理辦法》，應加強涉密信息系統運行的保密監督檢查。對秘密密級、機密密級信息系統每()至少進行一次保密檢查或系統評測。A、2年B、半年C、1年D、1.5年38、()是不確定性對目標的影響。A、風險評估B、風險C、不符合D、風險處置39、云服務商提供IaaS服務，不適于作為服務方配置項的是A、物理網絡設備B、物理存儲設備C、OA應用軟件D、虛擬服務器40、《中華人民共和國認證認可條例》要求，認證機構及其認證人員對()負責。A、審核發現B、審核證據C、認證結果D、認證結論二、多項選擇題41、依據GB/Z20986,信息安全事件分級考慮的要素包括A、客戶投訴數B、社會影響C、系統損失D、信息系統重要程度42、信息技術服務管理體系的范圍應依據()確定。A、組織的外部和內部事項B、組織所識別的相關的要求C、組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系D、ISO/IEC20000-1:2018的標準要求43、計算機網絡拓撲結構是指網絡中各個站點相互連接的形式，主要的拓撲結構有()以及他們的混合型。A、星型拓撲B、環型拓撲C、總線型拓撲D、樹型拓撲44、《信息技術服務分類與代碼》中規定軟件運營服務包括()。A、在線教育平臺B、在線閱讀平臺C、在線企業資源規劃D、在線客戶關系管理45、依據ISO20000-6:2017以下可以構成減少ITSMS初審人日的因素包括（）。A、已獲得的認證在最近12個月內對其至少實施了一次審核B、擬認證的范圍已獲得ISO/IEC27001證書C、已獲得其他認證的范圍大于擬認證的范圍D、擬認證的范圍與獲得LSMS證書范圍等同46、系統安全分析主要包括調查和評價可能出現的初始的、誘發的和起作用的危害之間的相互關系。可用于IT系統安全風險分析的方法包括()。A、危害分析與關鍵控制點(HACCP)B、攻擊路徑分析法(ATA）C、場景分析法D、失效模式分析法(FMEA）47、根據IT礎架構庫(ITIL)，有關服務管理，應考慮()維度。A、伙伴和供應商B、組織和人員C、價值流和流程D、信息和技術48、公安機關對計算機信息系統保護工作行使下列監督權A、監督、檢查、指導計算機信息系統安全保護工作B、查處危害計算機信息系統安全的文法犯罪案件C、履行計算機信息系統安全保護工作的其他監督職責D、計算機信息系統實行安全等級保護49、OSI(開放系統互聯)模型由哪些組成?()A、網絡層B、會話層C、表示層D、傳輸層50、根據ISOIEC0000-1:2018標準的要求，對于擬轉移的服務，策劃還應包括服務轉移的()的傳遞和交接。A、其他服務B、日期和數據C、文檔、知識D、服務組件51、根據《信息安全等級保護管理辦法》，辦理信息系統安全保護等級備案手續時，應當填寫《信息系統安全等級保護備案表》，第三級以上信息系統應同時提供以下材料()。A、信息系統安全保護等級專家評審意見B、系統拓撲結構及說明C、系統安全組織結構D、管理制度52、根據《中華人民共和國認證認可條例》，取得認證機構資質，應當符合下列條件()。A、有15名以上相應領域的專職認證人員B、有符合認證認可要求的管理制度C、有固定的場所和必要的設施D、注冊資本不得少于人民幣100萬元53、組織可以使用下列哪些參數來定義SMS的適用范圍，以確保包含在范圍內和排除在范圍外的內容清楚明確。(）A、提供的服務B、提供服務的組織，例如，單一部門，多個部門或所有部門C、提供服務的地理位置D、服務的顧客54、事件管理中以下哪項不是管理性升級的活動()?A、將一個事件的信息通知更多的高層管理者B、將事件轉給具有更高技術水平的人解決C、為保持顧客滿意使用盡可能多高級專家D、不能滿足SLA中規定的事件解決時間要求55、以下關于網絡釣魚的說法中，正確的是（）。A、網絡釣魚是“社會I程攻擊"的一種形式B、網絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網絡釣魚與Web服務沒有關系D、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上三、判斷題56、開展信息技術服務管理體系認證必須以正式發布的國家標準為依據。57、組織對內部供應商應按服務級別管理過程進行管理。58、ISO/IEC20000系列標準由ISO/IECJTC1/SC27進行維護。()59、根據ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()60、根據GB/Z20986標準，信息系統的重要程度主要考慮信息系統所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度，劃分為特別重要信息系統、重要信息系統和一般信息系統。()61、測量是確定數值和性質的過程。62、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。63、保密性是指對數據的保護以防止未經授權的訪問和使用。64、事件報告可以通過電話、語音郵件、訪問、信件、傳真或電子郵件，用戶也可以通過訪問事件記錄系統或自動監測軟件直接記錄。()65、郵箱服務提供方可定義吞吐量作為閾值指標。

參考答案一、單項選擇題1、C2、D3、A4、D5、C6、A7、C8、B9、A10、A11、B12、A13、B14、C15、C16、A17、B18、D19、A20、B21、D22、D23、B24、B25、A26、B27、B28、B