20176月信息技術服務管理系統(tǒng)體系審核員考試精彩試題和問題詳解解析匯報

1、CCAA言息安全管理體系審核員考試（審核知識與技能）姓 名：身份證號：單位名稱：考試日期：年 月日類別單選題多選題闡述題案例分析題總得分得分閱卷人簽字備注復核人簽字備注一、單項選擇題（從下面各題選項中選出一個最恰當的答案，并將相應字母填在下表相應位置中。每題1分，共40分。）題號1234567891011121314151617181920答案BDCABCDBADBACBDACADA題號2122232425262728293031323334353637383940答案BDBDDBCDADBADCL BBCCDA題號12345考點4.1a4.1a4.1a4.1a4.1a難度34332題號678

2、910 T考點4.1a4.1a4.1a4.1a4.1a難度333333題號1112131415考點4.1a4.1a4.1a4.1a4.1a難度32323題號1617181920 考點4.1a4.1a4.1a4.1a4.1a難度33433題號2122232425考點4.1b4.1b4.1b4.1b4.1c難度33333題號2627282930考點4.2a4.2a4.2b4.2b4.2b難度33333題號3132333435考點4.2b4.2b4.2b4.2b4.2b難度33333題號3637383940考點4.34.3難度34333備注：考點描述按考試大綱的編號給出，其中標準要

3、求部分再添加標準條款號（見上面例子）難度按5級劃分，1級很容易，答題正確率 90鳩上，2級較容易，答題正確率 80-90%之間，3級 中等，答題正確率 70-80%，4級較難，答題正確率 50-70%, 5級很難，答題正確率 50%以下。答題正確 率在30%以下的題不要出。對于目標不確定性的影響是）。A. 風險評估B. 風險C. 不符合D. 風險處置2. 管理體系是（）。A. 應用知識和技能獲得預期結果的本領的系統(tǒng)B. 可引導識別改進的機會或記錄良好實踐的系統(tǒng)C. 對實際位置、組織單元、活動和過程描述的系統(tǒng)D. 建立方針和目標并實現(xiàn)這些目標的體系3. 審核的特征在于其遵循（）。A. 充分性、有

4、效性和適宜性B. 非營利性C. 若干原則D. 客觀性4. 審核員在（）應保持客觀性。A. 整個審核過程B. 全部審核過程C. 完整審核過程7.從審核開始直到審核完成,A. 管理者代表B. 審核方案人員C. 認證機構D. 審核組長D. 現(xiàn)場審核過程5.如果審核目標、范圍或準則發(fā)生變化，應根據（）修改審核方案。A.顧客建議P 車兩 需C.認可規(guī)范D.認證程序6.在審核過程中，出現(xiàn)了利益沖突和能力方面的冋題，審核組的（）可能有必要加以調整。A.審核員和技術專家B.審核組長和審核員C.規(guī)模和組成D.實習審核員）都應對審核的實施負責。8. 當審核不可行時，應向審核委托方提出（）并與受審核方協(xié)商一致。A.

5、 合理化建議B. 替代建議C. 終止建議D. 調整建議9. 文件評審應考慮受審核方管理體系和組織的規(guī)模、性質和復雜程度以及審核的（）A.目標和范圍B. 方針和目標C. 方案和計劃D. 標準和法規(guī)10. 在編制審核計劃時，審核組長不應考慮以下方面（）A 適當的抽樣技術B. 審核組的組成及其整體能力C. 審核對組織形成的風險D. 企業(yè)文化11. 對于初次審核和（），審核計劃的內容和詳略程度可以有所不同。A. 監(jiān)督審核、內部審核和外部審核B. 隨后的審核、內部審核和外部審核C. 監(jiān)督審核、再認證審核和例外審核D. 預審核、一階段審核和二階段審核12. 如果在審核計劃所規(guī)定的時間框架內提供的文件（），

6、審核組長應告知審核方案管理人員和受審核方。A. 不適宜、不充分B. 不是最新版本C. 未經過審批D. 不完整、不準確13. 觀察員應承擔由審核委托方和受審核方（）與健康安全、保安和保密相關的義務。A. 規(guī)定的B. 法定的C. 約定的D. 確定的14. 只有能夠（ ）信息方可作為審核證據。A. 確認的B. 驗證的C. 證實的D. 可追溯的15. 當審核計劃有規(guī)定時，具體的審核發(fā)現(xiàn)應包括具有（）、改進機會以及對受審核方的建議。A .證據支持的審核證據B. 可以驗證的記錄或事實陳述C. 經過確認的審核記錄D. 證據支持的符合事項和良好實踐16. 如果審核計劃中有規(guī)定，審核結論可提出改進的（）或今后審

7、核活動的（）。A. 建議建議B. 方法方法C. 途徑途徑D. 步驟步驟17. 對于另一些情況，例如內部審核，末次會議（），只是溝通審核發(fā)現(xiàn)和審核結論。A .可以不舉行B. 必須舉行C. 可以不太正式D. 可以不以會議形式18. 審核的完成（）。A. 當所有策劃的審核活動已經執(zhí)行或出現(xiàn)與審核委托方約定的情形時（例如出現(xiàn)了妨礙完成審核計劃 的非預期情形），審核即告完成B. 當受審核方獲得認證證書時，審核即告完成C. 當審核組長提交審核報告時，審核即告完成D. 當受審核方不符合項整改完成后，審核即告完成19. 從審核中獲得的（）應作為受審核組織的管理體系的持續(xù)改進過程的輸入。A. 整改措施B. 不符

8、合項C. 合理化建議D. 經驗教訓20. 審核員應在從事審核活動時展現(xiàn)（）。A 職業(yè)素養(yǎng)B. 知識技能C. 專業(yè)技能D. 文化素養(yǎng)21. ITSMS認證機構應確?？蛻艚M織通過其（）以及其他適用的方面清晰界定其 ITSMS勺范圍和邊界。A .所提供的服務、交付服務的地點、服務提供所用的技術B. 組織單元、所提供的服務、交付服務的地點、服務提供所用的技術C. 針對每個客戶組織建立審核方案，并對該審核方案進行管理D. 宜說明擬在審核中使用的遠程審核技術22. 適用時，客戶組織應在遞交認證申請時指明（）在ITSMS范圍內的服務活動。A .完全不包含B. 不包含C. 部分包含D. 不完全包含23. IT

9、SMS認證機構宜根據已獲證客戶組織ITSMS的變化對已有的能力需求分析結果進行審查和必要的（）。A .升級B. 更新C. 修訂D. 變換24. 遠程審核技術，例如，電話會議、網絡會議、基于網絡的互動式溝通和（）訪問ITSMS文件和（或）ITSMS過程等方式。A. 遠程通信B. VPN技術C. 電子郵件D. 遠程電子25. 計算機機房應當符合國家標準和國家有關規(guī)定。（）A. 不得在計算機機房附近施工B. 獲得許可方可在計算機機房附近施工C. 在計算機機房附近施工，應做好安全防護D. 在計算機機房附近施工，不得危害計算機信息系統(tǒng)的安全26. 在規(guī)定時刻或規(guī)定時間段內，部件或服務執(zhí)行要求功能的能力是

10、（）。A. 連續(xù)性B. 可用性C. 基線D. 發(fā)布27. 服務提供方與客戶之間簽署的、描述服務和約定服務級別的協(xié)議是（）。A. CMDBB. OLAC. SLAD. MTTR28. 在進入實際運行環(huán)境之前，新服務或變更的服務應由（） 進行驗收。A. 相關方B. 供應商C. 顧客D. 服務提供方29. 與相應服務級別（）一起提供的整體服務范圍，應由相關方進行協(xié)商并記錄。A. 目標和工作量特性B. 計劃和工作量特性C. 方案和指標特性D. 水平和指標特性30. 可用性和服務連續(xù)性的需求應包括（），以及系統(tǒng)部件的端對端可用性。A. 聯(lián)系人清單和配置管理數據庫B. 所有的連續(xù)性測試C. 不可用性D.

11、訪問權和響應次數31. 服務提供方應監(jiān)視并報告預算的支出，（），從而管理支出。A. 評審財務成本B. 評審財務預報C. 有效的財務控制和授權D. 通過變更管理過程來對服務財務變更進行估價和批準32. 所有正式的服務投訴應由服務提供方進行（），并調查原因，采取措施，予以報告并正式關閉。A. 記錄B. 確認C. 評估D. 分析33. 應及時通知（）有關他們所報告的事件或服務請求的進展情況。A. 服務提供方B. 維修方C. 相關方D. 客戶34. 配置管理應提供識別、控制與追蹤服務和基礎設施的（）版本的機制。A. 可識別組件B. 配置項C. 可識別部件D. 系統(tǒng)35. 應（）變更記錄，以檢查變更的增

12、長程度、頻繁重現(xiàn)的類型、呈現(xiàn)的趨勢和其他相關信息。A. 不定期分析B. 定期分析C. 及時分析D. 根據需求分析36.數字簽名包括（）。A.簽署過程B.簽署和驗證兩個過程C.驗證過程D.以上答案都不對37. 信息系統(tǒng)安全等級保護是指（）。A. 對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系 統(tǒng)分等級實行安全保護。B. 對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系 統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理。C. 對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這

13、些信息的信息系統(tǒng)分等級實行安全保護， 對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應和處置。D. 對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系 統(tǒng)分等級實行安全保護，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應和處置。38. 有時候我們需要暫時離開計算機，但經常又會忘記了鎖定系統(tǒng)時，可以設置（）口令。A. CMOSB. 系統(tǒng)賬戶登錄C. 屏保鎖定D. 鎖定39. 若word文件設置的是修改文件時的密碼” ，那么打開該文檔時若不輸入 密碼，就會（）。A .以普通方式打開文檔，允許對文件修改B .不能打開文檔C .不斷

14、出現(xiàn)提示框，直到用戶輸入正確密碼為止D .以只讀的方式打開文檔40. 選擇操作系統(tǒng)輸入法可按下列哪個組合鍵（）A. Ctrl+ShiftB. Ctrl+AltC. Ctrl+空格鍵D. Shift+Alt、多項選擇題（從下面各題選項中選出一個或多個恰當的答案，并將相應字母填在下表相應位置中。每題2分，共10分。）題號12345答案ABCDABCABDBCDBCD題號12345考點4.1a4.1a4.2b4.2b4.3難度33433備注：考點描述按考試大綱的編號給出，其中標準要求部分再添加標準條款號（見上面例子）難度按5級劃分，1級很容易，答題正確率 90鳩上，2級較容易，答題正確率80-90%

15、之間，3級中等，答題正確率 70-80%，4級較難，答題正確率 50-70%, 5級很難，答題正確率50%以下。答題正確率在30%以下的題不要出。1. 審核計劃應包括或涉及下列內容（）A.審核范圍，包括受審核的組織單元、職能單元以及過程B.實施審核活動的地點、日期、預期的時間和期限，包括與受審核方管理者的會議C. 為審核的關鍵區(qū)域配置適當的資源D. 確保所策劃的審核活動能夠實施2. 首次會議的目的是（）A. 確認所有有關方（例如受審核方、審核組）對審核計劃的安排達成一致B. 介紹審核組成員C. 確保所策劃的審核活動能夠實施D. 針對實現(xiàn)審核目標的不確定因素而采取的特定措施3. 服務提供方應實施

16、服務管理計劃，以管理并交付服務，包括（）A. 角色和職責的分配B. 團隊的管理，例如，補充并培養(yǎng)適當的人員，對人員的連續(xù)性進行管理C. 整個組織的改進或多個過程的改進D. 包括服務臺和服務運行組在內的團隊的管理4. 服務提供方應與企業(yè)對（）和硬件的發(fā)布進行策劃A. 組件B. 服務C. 軟件D. 系統(tǒng)5. TCP/IP層次結構有哪些組成？（）A. 鏈路層B. 應用層C. 網絡層和網絡接口層D. 傳輸層二、簡述題（每題 10分，共20分）題號12考點4.2b4.1a難度43備注：考點描述按考試大綱的編號給出，其中標準要求部分再添加標準條款號（見上面例子）難度按5級劃分，1級很容易，答題正確率 90

17、%上, 2級較容易，答題正確率 80-90%之間，3級 中等，答題正確率 70-80%，4級較難，答題正確率 50-70%，5級很難，答題正確率 50%以下。答題正確 率在30%以下的題不要出。1審核員在項目部查看了去年的事件管理記錄共20項，其中有17項已經按照程序要求，進行了業(yè)務影響分析、分類、更新、升級、解決和正式關閉。但有3項事件沒有正式關閉，審核員據此開了不符合項，并結束了此項的審核。這樣的審核是否符合要求？為什么？如果請您去審核，您會怎么做？參考答案說明，答案要點，應簡潔，但要留有靈活性，不能只是固定描述不符合要求，因為沒有及時通知客戶有關他們所報告的事件或服務請求的進展情況。如果

18、我去審核，我將按以下思路審核：1）是否對這3項事件進行了業(yè)務影響分析、分類；2）針對需要更新或升級的項目是否實施；3）是否及時通知客戶有關他們所報告的事件或服務請求的進展情況；4）如果不能滿足他們的服務級別，是否事先警告，并且就此進行了協(xié)商等。評分：第一問回答正確得 2分，第二問回答正確得 3分，第三問以是否及時通知客戶有關他們所報告的事 件或服務請求的進展情況為核心回答，得4分，第四問 回答正確得1分2、審核員在審核上一次的內部審核報告時，發(fā)現(xiàn)這次內審開了10項不符合項，其中有 3項不符合項的受審核部門未簽字確認。就問迎審人員對這3項未確認的不符合項如何處置。迎審人員說：最近項目很忙，沒有來

19、得及處置，等忙完這一陣子就對這3項不符合項進行分析原因，制定糾正措施。他這樣處置，您認為是否遺漏了哪些內容？參考答案說明，答案要點，應簡潔，但要留有靈活性，不能只是固定描述不符合要求，原因如下：1）對不符合是否進行分級；2）是否與受審核部門一起評審不符合，以獲得承認，并確認審核證據的準確性，使受審核部門理解不符合；3 ）是否努力解決對審核證據或審核發(fā)現(xiàn)有分歧的問題，并記錄尚未解決的問題。評分：第一問回答正確得 2分，第二問回答正確得 4分，第三問回答正確得4分四、案例分析題（每題 5分，共30分）題 號123456考 占 八、4.2 b/9.14.2b/8.34.2b/10.14.2b/3.2

20、4.2b/8.24.2b/9.2難 度433334備注：考點描述按考試大綱的編號給出，其中標準要求部分再添加標準條款號（見上面例子）難度按5級劃分，1級很容易，答題正確率 90鳩上，2級較容易，答題正確率 80-90%之間，3級 中等，答題正確率 70-80%，4級較難，答題正確率 50-70%, 5級很難，答題正確率 50%以下。答題正確 率在30%以下的題不要出。1、審核員到某公司進行 ITSMS評審。公司的配置管理數據庫中記錄的一臺交換機的型號為SRW208-K9-CN8口百兆，審核員查看了交換機配置表，發(fā)現(xiàn)最新配置為SF300-24（ SRW224G）24 口百兆，系統(tǒng)管理員說因為端口

21、不夠用，所以更換了交換機，但要等到下次做配置審計時才修改配置管理數據庫中的該配置項的 信息。參考答案：不符合ISO/IEC 20000-1 : 2005 9.1，條款內容：“應管理CMDB以確保其可靠性和準確性?！辈环享検聦崳汗镜呐渲霉芾頂祿熘杏涗浀囊慌_交換機的型號為SRW208-K9-CN 8 口百兆，審核員查看了交換機配置表，發(fā)現(xiàn)最新配置為SF300-24( SRW224G4 24 口百兆。2、審核員從網絡管理員那里了解到，F(xiàn)TP服務器在最近2周的每天早上都會非預期的自動重啟，網絡管理員解釋說不清楚原因，對工作沒有太大影響，也就沒去管它。參考答案：不符合ISO/IEC 20000-1

22、 : 2005 8.3，條款內容：“服務提供方應分析事件和問題的數據和趨勢以識別根本原因和潛在的預防措施”不符合項事實：查 FTP服務器每天早上定期自動重啟，但未能識別問題及其根本原因，并提出問題的 解決方案。3、 審核員審核某公司時， 從系統(tǒng)管理員那里了解到，上個月該公司將 OA系統(tǒng)的由3.0版升級到了 4.0版,但查閱文檔發(fā)現(xiàn)，只有發(fā)布計劃，沒有對該發(fā)布項進行測試。系統(tǒng)管理員解釋說，OA系統(tǒng)已經使用很多年了，一直很穩(wěn)定沒發(fā)生什么問題，沒有必要測試了。參考答案：不符合ISO/IEC 20000-1 : 2005，不符合條款：10.1 “應建立受控的驗收測試環(huán)境，以便在分發(fā)之前 對所有發(fā)布項進行測試”不符合項事實：公司對 OA系統(tǒng)由3.0版升級到了 4.0版，對該發(fā)布沒有進行測試。4、審核員在現(xiàn)場審核時，發(fā)現(xiàn)項目部經理手中的信息技術服務管理手冊為V1.1版，而文件控制清單中的信息技術服務管理手冊為 V1.3版。項目部經理解釋說：信息技術服務管理手冊內容沒有變化，只是格式變了兩次，不影響使用。參考答案：不符合ISO/