2021年第一期CCAA國家注冊審核員ITSMS信息技術服務管理基礎考試題目一、單項選擇題1、《計算機信息系統安全保護條例》規定:對計算機信息系統中發生的案件，有關使用單位應當在（）小時內向當地縣級以上人民政府公安機關報告。A、8小時內B、12小時內C、24小時內D、48小時內2、以下不屬于網絡安全控制技術的是()。A、防火墻技術B、訪問控制C、差錯控制D、入侵檢測技術3、()主要指的是硬件設備。比如是計算機、交換機、路由器、防火墻、機架、因特網、局域網、存儲設備、主要用到的技術包括虛擬主機技術，操作系統以及各種硬件管理技術。A、IaaSB、SaaSC、MSPD、PaaS4、IT服務管理中所指“升級(escalation)"即:()。A、針對用戶計算機系統實施的升級，包括軟件升級以及硬件升級B、為了滿足服務水平目標而執行的流程，包括職能性升級和管理性升級C、針對特定顧客提升其服務質量等級的活動，如升級至“金牌服務”D、為了提高顧客滿意度而提請更高級管理者與顧客對話的活動5、某租戶擬將運行于A服務商數據中心的CRM統完全轉移到B云服務商數據中心，轉移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通過認證，以下正確的是()。A、需遵循租戶與AB服務商的變更管理B、需遵循四方的變更管理C、需遵循A、B方的變更管理D、需遵循A、B、C方的變更管理6、()是不確定性對目標的影響。A、風險評估B、風險C、不符合D、風險處置7、《信息系統安全等級保護實施指南》將（）作為實施等級保護的第一項內容。A、安全定級B、安全規劃C、安全評估D、安全實施8、組織應()一個服務管理計劃。A、創建、實施和運行B、創建、運行和保持C、創建、實施和保持D、創建、運行和保持9、依據《中華人民共和國網絡安全法》應予以重點保護的信息基礎設施，指的是（）。A、一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數據泄露，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數據泄露，可能危害國家安全、國計民生的信息基礎設施D、一旦遭到破壞、數據泄露，可能危害國家安全、國計民生、公共利益的網絡系統10、根據《信息安全等級保護管理辦法》，信息系統安全保護等級分為()。A、三級，即由低到高為三級，二級，一級B、五級，即由低到高為第一級，第二級，第三級，第四級，第五級C、三級，即由低到高為第一級，第二級，第三級D、三級，即絕密級、機密級、秘密級11、目前信息技術服務管理體系的認證周期為()。A、2年B、3年C、4年D、根據實際情況確定12、《信息安全技術信息技術信息安全事件分類分級指南》中災害性事件是由于()對信息系統物理破壞而導致的信息安全事件。A、網絡攻擊B、不可抗力C、自然災害D、人為因素13、管理體系的初次認證審核應分為哪兩個階段實施?A、預審核和監督審核B、第一階段和第二階段C、預審核和初次訪問審核D、第一階段和監督審核14、根據ISO/IEC20000-1:2018標準的要求，信息安全管理的目的是保護與SMS和服務相關的所有形式的信息()。A、保密性、完整性和可用性B、適宜性、充分性和有效性C、法律合規性D、技術合規性15、根據ISO/IEC20000-1:2018標準的要求，事件應基于需要進行升級，“升級”指()。A、問題管理向變更管理升級B、事件管理向發布管理升級C、服務等級的升級D、將事件、問題轉給具有更高技術的小組或更高級別的管理人員16、對服務可用性進行監視,記錄其結果并與目標進行比較。()不可用應進行調查并采取必要的行動。A、發生的B、計劃外C、可能發生的D、計劃內17、設計和轉換新的或變更服務的目標是（）。A、為保證新的服務和變更服務的服務接受標準得到完全滿足B、為保證新的服務和變更服務的提議完全評價C、為保證新的服務和變更服務的提議得到完全評估和授權D、為保證新的服務和變更服務在約定的成本和服務質量上可交付和可管理18、以下選項不屬于信息安全領域的測量和監視技術的是A、單位時間的訪問流量分析B、呼叫中心話術系統監聽C、網絡行為管理D、入侵檢測系統19、()不是每個過程都需要定義的部分。A、輸出B、資源C、輸入D、活動20、容錯是指某組件發生失效后，IT務或配置項()。A、繼續正確運行的能力B、繼續部分正確運行的能力C、失去繼續正確運行的能力D、繼續正確運行的流程21、根據ISO/IEC20000-1:2018標準的要求，持續服務改進的目標是()。A、為提高管理服務過程效率所采取的鑒定活動B、在不犧牲顧客滿意度的情況下提高IT務的成本效益C、持續改進SMS服務的適宜性、充分性和有效性，以維護客戶和相關方的價值D、在用戶同意的水平上交付和管理服務的生產活動22、考慮不同時段的工作負載的差異收費用于（）。A、故障樹分析(FTA)B、可用性計劃C、服務級別管理D、風險分析和管理法23、組織的外部供應商包括指定的主供應商，不包括主供應商的()。A、內部供應商B、作為供應商的客戶C、供應商D、分包商24、關于ISO/IEC20000標準，以下說法正確的是()。A、ISO/IEC20000-2為審計實現提供指南B、ISO/IEC20000-2為變更管理、事件管理等管理流程的具體實現提供指南C、ISO/IEC20000-2為ISO/IEC20000-1提供實施服務管理體系指南D、ISO/IEC20000-1是ISO/IEC20000-2的應用指南25、根據ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內未能解決的事件將被轉到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題26、電子郵件是傳播惡意代碼的重要途徑，為了防止電子郵件中的惡意代碼的攻擊，用（）方式閱讀電子郵件。A、程序B、網頁C、純文本D、會話27、云服務商提供IaaS服務，不適于作為服務方配置項的是A、物理網絡設備B、物理存儲設備C、OA應用軟件D、虛擬服務器28、ITIL和ISO/IEC20000之間有何關系?()A、ITIL基于ISO/IEC20000B、ITIL為IT服務管理提供最佳實踐建議，而ISO/IEC20000則定義了IT服務管理的標準C、ITIL是ISO/IEC20000第1和2部分的子集D、ITIL和ISO/IEC20000相互兼容并適用于服務管理系統的不同部分29、建立服務目錄的價值在于()。A、表現變更對業務的影響B、展示配置項之間的關系C、對交付的IT服務提供一個集中的信息源D、預測IT基礎架構事務的根本原因30、根據GB/Z20986標準，計算機信息系統安全專用產品是指()。A、安裝了專用安全協議的專用計算機B、按安全加固要求設計的專用計算機C、用于保護計算機信息系統安全的專用硬件和軟件產品D、特定用途(如高保密)專用的計算機軟件和硬件產品31、根據ISO/IEC20000-1:2018標準的要求，以下說法正確的是()。A、一次發布可以針對一個或多個變更進行，每一個變更都應在發布前經過測試B、部署計劃往往針對的是多個系統進行的較為復雜的發布C、其他全部D、變更、發布、部署可以是同一個活動32、《中華人民共和國認證認可條例》要求，認證機構及其認證人員對()負責。A、審核發現B、審核證據C、認證結果D、認證結論33、根據ISO/IEC20000-1:2018標準的要求，對于每一交付的服務，組織應根據文件化的服務要求建立()SLA。A、不同B、一個或多個C、若干D、多個34、根據ISO/IEC20000-1:2018標準的要求，服務連續性管理中的恢復時間目標是指()。A、關鍵服務到約定的最低可用性水平的時間B、IT務恢復到約定的可用性水平的時間C、基礎約定可行水平的時間D、IT務恢復到約定的最低可用性水平的時間。35、關鍵信息基礎設施的運營者應當自行或委托網絡安全服務機構()對其網絡的安全性和可能存在的風險檢測評估。A、至少半年一次B、至少兩年一次C、至少一年一次D、至少每年兩次36、根據ISO/IECTR20000-4標準，業務關系管理過程的結果是()。A、計劃和實施與客戶的溝通B、確定客戶和利害相關方C、其他選項均正確D、識別和監控客戶的需求和期望37、根據GB/T29264標準，安全運維服務不包括()。A、軟件功能修改完善服務B、安全巡檢服務C、滲透性測試服務D、脆弱性檢查服務38、在建立信息技術服務管理體系時所用的風險評估方法必須()。A、遵循風險評估的國際標準B、使用定性的方法C、使用定量的方法D、選用能夠產生可比較和可再現結果的方法39、闡明所取得的結果或提供所完成活動的證據的是文件是()。A、報告B、記錄C、演示D、協議40、為監測過程，控制和減少變異，將樣本統計量序列以特定順序描點繪出，用于分析和判斷過程是否處于穩定狀態的所使用的帶有控制界限的圖，是()。A、直方圖B、控制圖C、散布圖D、排列圖二、多項選擇題41、根據GBT9264標準，基礎環境運維服務，包括對保證信息系統正常運行所必需的()。A、空調B、主機設備的定期巡檢C、安防系統的例行檢查及狀態監控D、機房電力系統故障處理42、根據《中華人民共和國認證認可條例》，取得認證機構資質，應當符合下列條件()。A、有15名以上相應領域的專職認證人員B、有符合認證認可要求的管理制度C、有固定的場所和必要的設施D、注冊資本不得少于人民幣100萬元43、關于信息安全產品的使用，以下說法不正確的是A、對于所有的信息系統，信息安全產品的核心技術、關鍵部件須具有我國自主知識產權B、對于三級以上信息系統，已列入信息安全產品認證目錄的，應取得國家信息安全產品認證機構頒發的認證證書C、對于四級以上信息系統，信息安全產品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統，信息安全產品研制單位須聲明沒有故意留有或設置漏洞44、《信息技術服務分類與代碼》中規定軟件運營服務包括()。A、在線教育平臺B、在線閱讀平臺C、在線企業資源規劃D、在線客戶關系管理45、計算機網絡拓撲結構是指網絡中各個站點相互連接的形式，主要的拓撲結構有()以及他們的混合型。A、星型拓撲B、環型拓撲C、總線型拓撲D、樹型拓撲46、根據ISO/IEC20000-1:2018標準的要求，信息安全的控制措施應()。A、由顧客制定，服務提供方組織通常沒有對這些措施的訪問權B、獨立執行，不受變更管理過程的影響C、評估和記錄SMS服務的信息安全風險D、支持信息安全策略并處置已識別的信息安全風險47、OSI(開放系統互聯)模型由哪些組成?()A、網絡層B、會話層C、表示層D、傳輸層48、根據IT礎架構庫(ITIL)，有關服務管理，應考慮()維度。A、伙伴和供應商B、組織和人員C、價值流和流程D、信息和技術49、根據ISOIEC0000-1:2018標準的要求，對于擬轉移的服務，策劃還應包括服務轉移的()的傳遞和交接。A、其他服務B、日期和數據C、文檔、知識D、服務組件50、確定審核時間，時間的分配應考慮以下哪些ITSMS特定因素()。A、在ITSMS范圍內，SLAs的水平和所使用的第三方協議B、適用于認證的標準和法規C、參與服務提供的其他相關方的數量，例如:供應商、充當供應商的內部小組或顧客D、以往已證實的ITSMS績效51、以下關于網絡釣魚的說法中，正確的是（）。A、網絡釣魚是“社會I程攻擊"的一種形式B、網絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網絡釣魚與Web服務沒有關系D、典型的網絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網站上52、下列哪項的變化受變更管理控制（）?A、服務目錄B、SLAC、服務需求D、供方合同53、ISO/IEC200標準中I1服務的預算及核算管理的內容包括哪些?()A、預算編制B、計費C、核算D、采購54、在IT服務管理中，“部署”活動包括:()。A、實施變更B、對變更的風險進行評估C、將服務組件遷移到生產環境D、將經測試的軟件包轉移到生產環境55、信息技術服務管理體系的范圍應依據()確定。A、組織的外部和內部事項B、組織所識別的相關的要求C、組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系D、ISO/IEC20000-1:2018的標準要求三、判斷題56、發生中斷事件后，必須啟動問題管理。57、開展信息技術服務管理體系認證必須以正式發布的國家標準為依據。58、風險源是指那些可能導致消極后果或積極后果的因素和危害的來源。59、根據GB/Z20986標準，信息系統的重要程度主要考慮信息系統所承載的業務對國家安全、經濟建設、社會生活的重要性以及業務對信息系統的依賴程度，劃分為特別重要信息系統、重要信息系統和一般信息系統。()60、根據ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()61、ISO/IEC20000系列標準由ISO/IECJTC1/SC27進行維護。()62、郵箱服務提供方可定義吞吐量作為閾值指標。63、事件報告可以通過電話、語音郵件、訪問、信件、傳真或電子郵件，用戶也可以通過訪問事件記錄系統或自動監測軟件直接記錄。()64、《中華人民共和國網絡安全法》中明確，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每兩年至