2021年第四期CCAA注冊ITSMS信息技術服務管理基礎審核員考試題目含解析

2021年第四期CCAA注冊ITSMS信息技術服務管理基礎審核員考試題目一、單項選擇題1、組織應()一個服務管理計劃。A、創(chuàng)建、實施和運行B、創(chuàng)建、運行和保持C、創(chuàng)建、實施和保持D、創(chuàng)建、運行和保持2、根據(jù)ISO/IEC20000-1:2018標準，IT服務管理中，關于“配置管理數(shù)據(jù)庫”，以下說法正確的是()。A、配置管理數(shù)據(jù)庫應包含配置項所有相關詳細信息和重要關系的信息B、配置管理數(shù)據(jù)庫應向所有IT務人員開放，故不再需要訪問控制C、配置管理數(shù)據(jù)庫即資產(chǎn)臺賬D、配置管理數(shù)據(jù)庫指的是計算機系統(tǒng)臺賬，包括軟件硬件3、一家公司為他們的圖形設計工作站建立了局域網(wǎng)，因為大容量的圖表通過網(wǎng)絡傳輸，網(wǎng)絡帶寬必須增加。根據(jù)ISO/IEC20000-1流程可用于滿意的增加寬帶的方案實施ISO/IEC20000-1:2018標準的要求，以下()。A、變更管理B、問題管理C、容量管理D、可用性管理4、風險評估過程不包括（）。A、風險評價B、風險識別C、風險分析D、風險處置5、《中華人民共和國計算機信息系統(tǒng)安全保護條例》所稱的計算機信息系統(tǒng)，是指由計算機及其相關的和配套的設備、設施(含網(wǎng)絡)構(gòu)成的，按照一定的應用目標和規(guī)則對信息進行采集、()、檢索等處理的人機系統(tǒng)。A、存儲、加工、處置B、存儲、使用、處置C、存儲、傳輸、使用D、加工、存儲、傳輸6、組織的外部供應商包括指定的主供應商，不包括主供應商的()。A、內(nèi)部供應商B、作為供應商的客戶C、供應商D、分包商7、一家鋼鐵企業(yè)正在兼并一個競爭對手，兩個公司的IT門，連同IT基礎設施都將合并。根據(jù)ISO/IEC20000-1:2018標準的要求()流程決定在合并后的IT基礎設施上運行所需應用軟件的磁盤和內(nèi)存需求。A、發(fā)布管理B、應用管理C、計算機操作管理D、容量管理8、根據(jù)GB/Z20986標準，計算機信息系統(tǒng)安全專用產(chǎn)品是指()。A、安裝了專用安全協(xié)議的專用計算機B、按安全加固要求設計的專用計算機C、用于保護計算機信息系統(tǒng)安全的專用硬件和軟件產(chǎn)品D、特定用途(如高保密)專用的計算機軟件和硬件產(chǎn)品9、()是不確定性對目標的影響。A、風險評估B、風險C、不符合D、風險處置10、根據(jù)ISO/IEC20000-1:2018標準的要求，應將成本納入預算，以便對交付的服務進行有效的財務控制和（）A、分攤成本B、回本C、業(yè)務決策D、提供服務提供方收費的依據(jù)11、IT服務管理中所指“升級(escalation)"即:()。A、針對用戶計算機系統(tǒng)實施的升級，包括軟件升級以及硬件升級B、為了滿足服務水平目標而執(zhí)行的流程，包括職能性升級和管理性升級C、針對特定顧客提升其服務質(zhì)量等級的活動，如升級至“金牌服務”D、為了提高顧客滿意度而提請更高級管理者與顧客對話的活動12、根據(jù)ISO/IEC20000-6:2017標準，審核時間包含在客戶場所(物理的或虛擬的)現(xiàn)場的所有時間和在非現(xiàn)場進行的()。A、與客戶人員的互動B、策劃C、其他選項全對D、文件評審13、考慮不同時段的工作負載的差異收費用于（）。A、故障樹分析(FTA)B、可用性計劃C、服務級別管理D、風險分析和管理法14、根據(jù)ISO/IEC20000-1:2018標準的要求，一個或多個事件的未知的潛在原因是()。A、問題B、缺陷C、事件D、已知錯誤15、《計算機信息系統(tǒng)安全保護條例》規(guī)定:對計算機信息系統(tǒng)中發(fā)生的案件，有關使用單位應當在（）小時內(nèi)向當?shù)乜h級以上人民政府公安機關報告。A、8小時內(nèi)B、12小時內(nèi)C、24小時內(nèi)D、48小時內(nèi)16、根據(jù)ISOIEC0000-1:2018標準的要求，對“問題和事件之間關系”的描述，正確的是()。A、在目標時間內(nèi)未能解決的事件將被轉(zhuǎn)到問題管理B、單個事件永遠不會造成某個問題記錄被打開C、始終會導致某個問題記錄被打開D、一個或多個實際或潛在事件的原因，就是問題17、在建立信息技術服務管理體系時所用的風險評估方法必須()。A、遵循風險評估的國際標準B、使用定性的方法C、使用定量的方法D、選用能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的方法18、變更管理策略不要求對()進行定義。A、每周變更日期B、確定可能對客戶和服務產(chǎn)生重大影響變更的判斷標準C、變更管理控制下的服務組件或其他項D、變更類別和如何對其進行管理19、根據(jù)ISO/IEC20000-1:2018標準的要求，對于每一交付的服務，組織應根據(jù)文件化的服務要求建立()SLA。A、不同B、一個或多個C、若干D、多個20、ISO/IEC20000標準的第2部分與第1部分有何關聯(lián)?A、第1部分是第2部分的子集B、第1部分包括第2部分中規(guī)定的主要要求C、第2部分需要完全實現(xiàn)才能滿足第1部分的要求D、第2部分包含滿足第1部分要求的指導21、《信息安全技術信息技術信息安全事件分類分級指南》中災害性事件是由于()對信息系統(tǒng)物理破壞而導致的信息安全事件。A、網(wǎng)絡攻擊B、不可抗力C、自然災害D、人為因素22、根據(jù)《網(wǎng)絡安全審查辦法》，網(wǎng)絡安全審查重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險，網(wǎng)絡產(chǎn)品和服務使用后帶來的()，以及重要數(shù)據(jù)被竊聽、泄露、損毀的風險。A、關鍵信息基礎設施被非法控制、遭受干擾或破壞B、安全性、開放性C、網(wǎng)絡產(chǎn)品和服務被非法控制、遭受干擾或破壞D、透明性、來源多樣性23、設計和轉(zhuǎn)換新的或變更服務的目標是（）。A、為保證新的服務和變更服務的服務接受標準得到完全滿足B、為保證新的服務和變更服務的提議完全評價C、為保證新的服務和變更服務的提議得到完全評估和授權D、為保證新的服務和變更服務在約定的成本和服務質(zhì)量上可交付和可管理24、關于ISOIEC0000系列標準，目前可以作為信息技術服務管理體系審核依據(jù)的標準是()。A、ISO/IEC20000-1:2018B、ISO/IEC20000-2:2013C、ISO/IEC20000-1:2013D、ISO/IEC20000-2:201825、根據(jù)ISO/IECTR20000-4標準，業(yè)務關系管理過程的結(jié)果是()。A、計劃和實施與客戶的溝通B、確定客戶和利害相關方C、其他選項均正確D、識別和監(jiān)控客戶的需求和期望26、根據(jù)ISO/IEC20000-1:2018標準的要求，方針是由最高管理層正式發(fā)布的()A、組織意愿和方向B、組織意圖和計劃C、組織意圖和目標D、組織宗旨和方向27、()主要指的是硬件設備。比如是計算機、交換機、路由器、防火墻、機架、因特網(wǎng)、局域網(wǎng)、存儲設備、主要用到的技術包括虛擬主機技術，操作系統(tǒng)以及各種硬件管理技術。A、IaaSB、SaaSC、MSPD、PaaS28、某租戶擬將運行于A服務商數(shù)據(jù)中心的CRM統(tǒng)完全轉(zhuǎn)移到B云服務商數(shù)據(jù)中心，轉(zhuǎn)移工作委托C公司完成，A、B、C租房四方均建立ITSMS，并通過認證，以下正確的是()。A、需遵循租戶與AB服務商的變更管理B、需遵循四方的變更管理C、需遵循A、B方的變更管理D、需遵循A、B、C方的變更管理29、“多級SLA"是一個三層結(jié)構(gòu)，下列哪層不是這類型SLA的部分?()A、客戶級別B、公司級別C、配置級別D、服務級別30、為監(jiān)測過程，控制和減少變異，將樣本統(tǒng)計量序列以特定順序描點繪出，用于分析和判斷過程是否處于穩(wěn)定狀態(tài)的所使用的帶有控制界限的圖，是()。A、直方圖B、控制圖C、散布圖D、排列圖31、管理體系的初次認證審核應分為哪兩個階段實施?A、預審核和監(jiān)督審核B、第一階段和第二階段C、預審核和初次訪問審核D、第一階段和監(jiān)督審核32、根據(jù)《信息安全等級保護管理辦法》，信息系統(tǒng)安全保護等級分為()。A、三級，即由低到高為三級，二級，一級B、五級，即由低到高為第一級，第二級，第三級，第四級，第五級C、三級，即由低到高為第一級，第二級，第三級D、三級，即絕密級、機密級、秘密級33、關于ISO/IEC20000標準，以下說法正確的是()。A、ISO/IEC20000-2為審計實現(xiàn)提供指南B、ISO/IEC20000-2為變更管理、事件管理等管理流程的具體實現(xiàn)提供指南C、ISO/IEC20000-2為ISO/IEC20000-1提供實施服務管理體系指南D、ISO/IEC20000-1是ISO/IEC20000-2的應用指南34、國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行的管理制度是()。A、許可證制度B、備案制度C、申報與審批制度D、測評、認證與審批制度35、()主要用于檢測軟件的功能，性能和其他特性是否與用于需求一致。A、系統(tǒng)測試B、集成測試C、確認測試D、單元測試36、根據(jù)ISO/IEC20000-1:2018標準的要求，以下說法正確的是()。A、一次發(fā)布可以針對一個或多個變更進行，每一個變更都應在發(fā)布前經(jīng)過測試B、部署計劃往往針對的是多個系統(tǒng)進行的較為復雜的發(fā)布C、其他全部D、變更、發(fā)布、部署可以是同一個活動37、闡明所取得的結(jié)果或提供所完成活動的證據(jù)的是文件是()。A、報告B、記錄C、演示D、協(xié)議38、關于涉密信息系統(tǒng)的管理，以下說法不正確的是A、涉密計算機未經(jīng)安全技術處理不得改作其他用途B、涉密計算機、存儲設備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡C、涉密信息系統(tǒng)中的安全技術程序和管理程序不得擅自卸載D、涉密計算機只有采取了適當防護措施才可接入互聯(lián)網(wǎng)39、在發(fā)布部署運行環(huán)境中之前，應建立受影響配置項的A、文件B、目錄C、備份D、基線40、根據(jù)ISO/IEC20000-1:2018標準的要求，誰需要參與顧客和服務提供方之間的服務評審?()A、除了顧客和其他利益相關方外沒有特定要求B、只有供方和業(yè)務關系過程經(jīng)理C、只有業(yè)務關系過程經(jīng)理D、兩個機構(gòu)的高管層二、多項選擇題41、依據(jù)GB/Z20986,信息安全事件分級考慮的要素包括A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度42、公安機關對計算機信息系統(tǒng)保護工作行使下列監(jiān)督權A、監(jiān)督、檢查、指導計算機信息系統(tǒng)安全保護工作B、查處危害計算機信息系統(tǒng)安全的文法犯罪案件C、履行計算機信息系統(tǒng)安全保護工作的其他監(jiān)督職責D、計算機信息系統(tǒng)實行安全等級保護43、《信息技術服務分類與代碼》中規(guī)定軟件運營服務包括()。A、在線教育平臺B、在線閱讀平臺C、在線企業(yè)資源規(guī)劃D、在線客戶關系管理44、根據(jù)GBT9264標準，基礎環(huán)境運維服務，包括對保證信息系統(tǒng)正常運行所必需的()。A、空調(diào)B、主機設備的定期巡檢C、安防系統(tǒng)的例行檢查及狀態(tài)監(jiān)控D、機房電力系統(tǒng)故障處理45、依據(jù)GB/Z20986，信息安全事件分級考慮的要素包括().A、客戶投訴數(shù)B、社會影響C、系統(tǒng)損失D、信息系統(tǒng)重要程度46、基礎環(huán)境運維服務通常包括（）。A、蓄水/蓄冷罐的維護維修B、主機設備的定期巡檢C、機房電力系統(tǒng)預防性維護D、安防系統(tǒng)的實時監(jiān)測47、根據(jù)IT礎架構(gòu)庫(ITIL)，有關服務管理，應考慮()維度。A、伙伴和供應商B、組織和人員C、價值流和流程D、信息和技術48、下列哪項的變化受變更管理控制（）?A、服務目錄B、SLAC、服務需求D、供方合同49、組織可以使用下列哪些參數(shù)來定義SMS的適用范圍，以確保包含在范圍內(nèi)和排除在范圍外的內(nèi)容清楚明確。(）A、提供的服務B、提供服務的組織，例如，單一部門，多個部門或所有部門C、提供服務的地理位置D、服務的顧客50、根據(jù)ISO/IEC20000-1:2018標準的要求，信息安全的控制措施應()。A、由顧客制定，服務提供方組織通常沒有對這些措施的訪問權B、獨立執(zhí)行，不受變更管理過程的影響C、評估和記錄SMS服務的信息安全風險D、支持信息安全策略并處置已識別的信息安全風險51、系統(tǒng)安全分析主要包括調(diào)查和評價可能出現(xiàn)的初始的、誘發(fā)的和起作用的危害之間的相互關系。可用于IT系統(tǒng)安全風險分析的方法包括()。A、危害分析與關鍵控制點(HACCP)B、攻擊路徑分析法(ATA）C、場景分析法D、失效模式分析法(FMEA）52、在運行ITSMS，應給予不滿意的投訴者以盡可能多的途徑求助和參與爭議解決過程。包括()。A、電話B、電子郵件C、網(wǎng)上提交D、傳真53、根據(jù)《中華人民共和國認證認可條例》，取得認證機構(gòu)資質(zhì)，應當符合下列條件()。A、有15名以上相應領域的專職認證人員B、有符合認證認可要求的管理制度C、有固定的場所和必要的設施D、注冊資本不得少于人民幣100萬元54、關于信息安全產(chǎn)品的使用，以下說法不正確的是A、對于所有的信息系統(tǒng)，信息安全產(chǎn)品的核心技術、關鍵部件須具有我國自主知識產(chǎn)權B、對于三級以上信息系統(tǒng)，已列入信息安全產(chǎn)品認證目錄的，應取得國家信息安全產(chǎn)品認證機構(gòu)頒發(fā)的認證證書C、對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制的主要技術人員須無犯罪記錄D、對于四級以上信息系統(tǒng)，信息安全產(chǎn)品研制單位須聲明沒有故意留有或設置漏洞55、以下關于網(wǎng)絡釣魚的說法中，正確的是（）。A、網(wǎng)絡釣魚是“社會I程攻擊"的一種形式B、網(wǎng)絡釣魚融合了偽裝、欺騙等多種攻擊方式C、網(wǎng)絡釣魚與Web服務沒有關系D、典型的網(wǎng)絡釣魚攻擊都將被攻擊者引誘到一個通過精心設計的釣魚網(wǎng)站上三、判斷題56、根據(jù)ISO/IEC20000-1:2018標準的要求，該標準僅用于信息技術領域的組織建立SMS。()57、ISO/IEC20000-2:2019標準的條款結(jié)構(gòu)符合ISO/IEC20000-1:2018，使用的術語特合ISO/IEC20000-1:2018和ISO/IEC20000-10:2018()58、《中華人民共和國網(wǎng)絡安全法》中明確，關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每兩年至少進行一次檢測評估。59、測量是確定數(shù)值和性質(zhì)的過程。60、ISO/IEC20000-2為建立、實現(xiàn)、保持和持續(xù)改進一個SMS提供了要求。()61、根據(jù)GB/T29264標準，呼叫中心服務是運行服務大類中的一個子類。（）62、服務的連續(xù)性計劃應包含服務中斷后恢復到正常工作條件的方法。63、ISO/IEC20000系列標準由ISO/IECJTC1/SC27進行維護。()64、根據(jù)ISO/IEC20000-1:2018標準的要求，本標準中的供應商管理指的是外部供應商的管理。()