2021年12月CCAA國家注冊審核員復習題-ITSMS信息技術服務管理基礎含解析

2021年12月CCAA國家注冊審核員復習題—ITSMS信息技術服務管理基礎一、單項選擇題1、考慮不同時段的工作負載的差異收費用于（）。A、故障樹分析(FTA)B、可用性計劃C、服務級別管理D、風險分析和管理法2、目前信息技術服務管理體系的認證周期為()。A、2年B、3年C、4年D、根據(jù)實際情況確定3、組織應進行容量規(guī)劃，包括基于服務需求的（）的容量。A、當前和預測B、時間閾值C、時間尺度D、以往4、目前可以作為信息技術服務管理體系審核依據(jù)的標準是A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:20185、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》規(guī)定，國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務實行()。A、備案制度B、許可制度C、行政監(jiān)管制度D、備案與行政監(jiān)管相結合的管理制度6、某租戶擬將運行于A服務商數(shù)據(jù)中心的CRM統(tǒng)完全轉(zhuǎn)移到B云服務商數(shù)據(jù)中心，轉(zhuǎn)移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通過認證，以下正確的是()。A、需遵循租戶與AB服務商的變更管理B、需遵循四方的變更管理C、需遵循A、B方的變更管理D、需遵循A、B、C方的變更管理7、一家公司為他們的圖形設計工作站建立了局域網(wǎng)，因為大容量的圖表通過網(wǎng)絡傳輸，網(wǎng)絡帶寬必須增加。根據(jù)ISO/IEC20000-1流程可用于滿意的增加寬帶的方案實施ISO/IEC20000-1:2018標準的要求，以下()。A、變更管理B、問題管理C、容量管理D、可用性管理8、根據(jù)ISO/IEC20000-1:2018標準，IT服務管理中，關于“配置管理數(shù)據(jù)庫”，以下說法正確的是()。A、配置管理數(shù)據(jù)庫應包含配置項所有相關詳細信息和重要關系的信息B、配置管理數(shù)據(jù)庫應向所有IT務人員開放，故不再需要訪問控制C、配置管理數(shù)據(jù)庫即資產(chǎn)臺賬D、配置管理數(shù)據(jù)庫指的是計算機系統(tǒng)臺賬，包括軟件硬件9、組織應定義所有事件的記錄、優(yōu)先次序、業(yè)務影響、分類、更新、升級、解決和()。A、報告B、溝通C、回復顧客D、正式關閉10、關鍵信息基礎設施的運營者應當自行或委托網(wǎng)絡安全服務機構()對其網(wǎng)絡的安全性和可能存在的風險檢測評估。A、至少半年一次B、至少兩年一次C、至少一年一次D、至少每年兩次11、容錯是指某組件發(fā)生失效后，IT務或配置項()。A、繼續(xù)正確運行的能力B、繼續(xù)部分正確運行的能力C、失去繼續(xù)正確運行的能力D、繼續(xù)正確運行的流程12、云服務商提供IaaS服務，不適于作為服務方配置項的是A、物理網(wǎng)絡設備B、物理存儲設備C、OA應用軟件D、虛擬服務器13、依據(jù)GB/Z20986，以下說法不正確的是()。A、網(wǎng)絡掃描監(jiān)聽是網(wǎng)絡攻擊事件B、蠕蟲事件是有害程序事件C、僵尸網(wǎng)絡是網(wǎng)絡攻擊事件D、信息篡改是信息破壞事件14、《信息安全技術信息安全事件分類分級指南》中將信息內(nèi)容安全事件分為()個子類。A、5B、6C、7D、415、組織應運行ITSMS，確?；顒雍唾Y源的協(xié)調(diào)。組織應實施要求的（）以交付服務。A、計劃B、活動C、過程D、程序16、一家汽車修理廠根據(jù)ISO/IEC20000-1建立SMS時，以下哪一項說法是錯誤的?()A、將服務的設計、建立和轉(zhuǎn)換過程外包給第三方B、客戶沒有需求，所以可以不建立服務報告管理過程C、對供應商的活動進行監(jiān)視，并要求定期提供工作報告D、在建立服務目錄時，考慮現(xiàn)有服務以及客戶的要求17、()是不確定性對目標的影響。A、風險評估B、風險C、不符合D、風險處置18、根據(jù)ISO/IEC20000-1:2018標準的要求，對于每一交付的服務，組織應根據(jù)文件化的服務要求建立()SLA。A、不同B、一個或多個C、若干D、多個19、根據(jù)《信息安全等級保護管理辦法》，應加強涉密信息系統(tǒng)運行的保密監(jiān)督檢查。對秘密密級、機密密級信息系統(tǒng)每()至少進行一次保密檢查或系統(tǒng)評測。A、2年B、半年C、1年D、1.5年20、根據(jù)ISO/IEC20000-1:2018標準的要求，方針是由最高管理層正式發(fā)布的()A、組織意愿和方向B、組織意圖和計劃C、組織意圖和目標D、組織宗旨和方向21、事件管理的目的是盡快恢復()的服務或響應服務請求。A、協(xié)商一致B、設備檢修C、中斷D、配置管理數(shù)據(jù)庫22、管理體系的初次認證審核應分為哪兩個階段實施?A、預審核和監(jiān)督審核B、第一階段和第二階段C、預審核和初次訪問審核D、第一階段和監(jiān)督審核23、在建立信息技術服務管理體系時所用的風險評估方法必須()。A、遵循風險評估的國際標準B、使用定性的方法C、使用定量的方法D、選用能夠產(chǎn)生可比較和可再現(xiàn)結果的方法24、以下不屬于網(wǎng)絡安全控制技術的是()。A、防火墻技術B、訪問控制C、差錯控制D、入侵檢測技術25、電子郵件是傳播惡意代碼的重要途徑，為了防止電子郵件中的惡意代碼的攻擊，用（）方式閱讀電子郵件。A、程序B、網(wǎng)頁C、純文本D、會話26、根據(jù)ISO/IEC20000-1:2018標準的要求，應將成本納入預算，以便對交付的服務進行有效的財務控制和（）A、分攤成本B、回本C、業(yè)務決策D、提供服務提供方收費的依據(jù)27、ISO/IEC20000標準的第2部分與第1部分有何關聯(lián)?A、第1部分是第2部分的子集B、第1部分包括第2部分中規(guī)定的主要要求C、第2部分需要完全實現(xiàn)才能滿足第1部分的要求D、第2部分包含滿足第1部分要求的指導28、根據(jù)ISO/IEC20000-6:2017標準，審核時間包含在客戶場所(物理的或虛擬的)現(xiàn)場的所有時間和在非現(xiàn)場進行的()。A、與客戶人員的互動B、策劃C、其他選項全對D、文件評審29、“多級SLA"是一個三層結構，下列哪層不是這類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別30、組織的外部供應商包括指定的主供應商，不包括主供應商的()。A、內(nèi)部供應商B、作為供應商的客戶C、供應商D、分包商31、根據(jù)ISO/IEC20000-1:2018標準的要求，信息安全管理的目的是保護與SMS和服務相關的所有形式的信息()。A、保密性、完整性和可用性B、適宜性、充分性和有效性C、法律合規(guī)性D、技術合規(guī)性32、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）小時內(nèi)向當?shù)乜h級以上人民政府公安機關報告。A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)33、變更管理策略不要求對()進行定義。A、每周變更日期B、確定可能對客戶和服務產(chǎn)生重大影響變更的判斷標準C、變更管理控制下的服務組件或其他項D、變更類別和如何對其進行管理34、根據(jù)ISO/IEC20000-1:2018標準的要求，誰需要參與顧客和服務提供方之間的服務評審?()A、除了顧客和其他利益相關方外沒有特定要求B、只有供方和業(yè)務關系過程經(jīng)理C、只有業(yè)務關系過程經(jīng)理D、兩個機構的高管層35、國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行的管理制度是()。A、許可證制度B、備案制度C、申報與審批制度D、測評、認證與審批制度36、()指應當盡可能調(diào)查所有與投訴有關的背景和信息A、投訴響應B、投訴終止C、投訴調(diào)查D、受理告知37、關于ISOIEC0000系列標準，目前可以作為信息技術服務管理體系審核依據(jù)的標準是()。A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201838、()主要用于檢測軟件的功能，性能和其他特性是否與用于需求一致。A、系統(tǒng)測試B、集成測試C、確認測試D、單元測試39、依據(jù)《中華人民共和國網(wǎng)絡安全法》應予以重點保護的信息基礎設施，指的是（）。A、一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施B、一旦遭到破壞、數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生的信息基礎設施C、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生的信息基礎設施D、一旦遭到破壞、數(shù)據(jù)泄露，可能危害國家安全、國計民生、公共利益的網(wǎng)絡系統(tǒng)40、根據(jù)《互聯(lián)網(wǎng)信息服務管理辦法》的要求，對于“散布謠言，擾亂社會秩序，破壞社會穩(wěn)定的”由()責令改正。A、公安機關B、備案機關C、省自治區(qū)、直轄市電信管理機構D、發(fā)證機關二、多項選擇題41、OSI(開放系統(tǒng)互聯(lián))模型由哪些組成?()A、網(wǎng)絡層B、會話層C、表示層D、傳輸層42、ISO/IEC200標準中I1服務的預算及核算管理的內(nèi)容包括哪些?()A、預算編制B、計費C、核算D、采購43、計算機網(wǎng)絡拓撲結構是指網(wǎng)絡中各個站點相互連接的形式，主要的拓撲結構有()以及他們的混合型。A、星型拓撲B、環(huán)型拓撲C、總線型拓撲D、樹型拓撲44、公安機關對計算機信息系統(tǒng)保護工作行使下列監(jiān)督權A、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作B、查處危害計算機信息系統(tǒng)安全的文法犯罪案件C、履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責D、計算機信息系統(tǒng)實行安全等級保護45、根據(jù)ISO/IEC20000-1:2018標準的要求，服務組件是服務的一部分，與其他元素結合提供完整的服務，“服務組件”包括()。A、許可證B、基礎架構和支持性服務C、信息和資源D、應用程序和文檔46、信息技術服務管理體系的范圍應依據(jù)()確定。A、組織的外部和內(nèi)部事項B、組織所識別的相關的要求C、組織實施的活動之間及其與其他組織實施的活動之間的接口和依賴關系D、ISO/IEC20000-1:2018的標準要求47、依據(jù)ISO20000-6:2017以下可以構成減少ITSMS初審人日的因素包括（）。A、已獲得的認證在最近12個月內(nèi)對其至少實施了一次審核B、擬認證的范圍已獲得ISO/IEC27001證書C、已獲得其他認證的范圍大于擬認證的范圍D、擬認證的范圍與獲得LSMS證書范圍等同48、以下關于網(wǎng)絡釣魚的說法中，正確的是（）。A、網(wǎng)絡釣魚是“社會I程攻擊"的一種形式B、網(wǎng)絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網(wǎng)絡釣魚與Web服務沒有關系D、典型的網(wǎng)絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網(wǎng)站上49、根據(jù)《中華人民共和國認證認可條例》，取得認證機構資質(zhì)，應當符合下列條件()。A、有15名以上相應領域的專職認證人員B、有符合認證認可要求的管理制度C、有固定的場所和必要的設施D、注冊資本不得少于人民幣100萬元50、確定審核時間，時間的分配應考慮以下哪些ITSMS特定因素()。A、在ITSMS范圍內(nèi)，SLAs的水平和所使用的第三方協(xié)議B、適用于認證的標準和法規(guī)C、參與服務提供的其他相關方的數(shù)量，例如:供應商、充當供應商的內(nèi)部小組或顧客D、以往已證實的ITSMS績效51、根據(jù)GBT9264標準，基礎環(huán)境運維服務，包括對保證信息系統(tǒng)正常運行所必需的()。A、空調(diào)B、主機設備的定期巡檢C、安防系統(tǒng)的例行檢查及狀態(tài)監(jiān)控D、機房電力系統(tǒng)故障處理52、依據(jù)GB/Z20986,信息安全事件分級考慮的要素包括A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度53、組織可以使用下列哪些參數(shù)來定義SMS的適用范圍，以確保包含在范圍內(nèi)和排除在范圍外的內(nèi)容清楚明確。(）A、提供的服務B、提供服務的組織，例如，單一部門，多個部門或所有部門C、提供服務的地理位置D、服務的顧客54、關于信息安全產(chǎn)品的使用，以下說法不正確的是A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權B、對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認證目錄的，應取得國家信息安全產(chǎn)品認證機構頒發(fā)的認證證書C、對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設置漏洞55、在IT服務管理中，“部署”活動包括:()。A、實施變更B、對變更的風險進行評估C、將服務組件遷移到生產(chǎn)環(huán)境D、將經(jīng)測試的軟件包轉(zhuǎn)移到生產(chǎn)環(huán)境三、判斷題56、ISO/IEC20000-2為建立、實現(xiàn)、保持和持續(xù)改進一個SMS提供了要求。()57、ISO/IEC20000系列標準由ISO/IECJTC1/SC27進行維護。()58、保密性是指對數(shù)據(jù)的保護以防止未經(jīng)授權的訪問和使用。59、根據(jù)ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()60、根據(jù)GB/T29264標準，呼叫中心服務是運行服務大類中的一個子類。（）61、郵箱服務提供方可定義吞吐量作為閾值指標。62、組織對內(nèi)部供應商應按服務級別管理過程進行管理。63、相關方可以包括不在ITSMS范圍內(nèi)的組織的一部分。64、測量是確定數(shù)值和性質(zhì)的過程。65、根據(jù)GB/Z20986標準，信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務對國家安全、經(jīng)濟建設、社會生活的重要性以及業(yè)務對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。()

參考答案一、單項選擇題1、B2、B3、A4、A5、B6、A7、A8、A9、D10、C11、A12、C13、C14、D15、B16、B17、B解析:參考GB/T29246-2017/ISO/IEC27000:20162.68風險定義:是對目標的